《典型计算机病毒的原理、防范和清除》.ppt

计算机病毒防范和清除的基本原则和技术 计算机病毒防范的概念和原则 计算机病毒预防基本技术 漏洞扫描技术 防范计算机病毒的基本措施 计算机病毒防范的概念和原则 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。 防治计算机病毒应以预防为主。 预防计算机病毒是主动的，主要表现在监测行为的动态性和防范方法的广谱性。 消毒是被动的，只有发现计算机病毒后，对其剖析、选取特征串，才能设计出该“已知”计算机病毒的杀毒软件。 计算机病毒预防基本技术 （1）将大量的杀毒软件汇集一体，检查是否存在已知计算机病毒，如在开机时或执行每一个可执行文件前执行扫描程序。 （2）检测一些计算机病毒经常要改变的系统信息，如引导区、中断向量表、可用内存空间等，以确定是否存在计算机病毒行为。 （3）监测写盘操作，对引导区（BR）或主引导区（MBR）的写操作报警。 （4）对计算机系统中的文件形成一个密码检验码，实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配即报警。 （5）设计计算机病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与计算机病毒程序行为，是否误报警取决于知识库选取的合理性。 （6）设计计算机病毒特征库（静态）、病毒行为知识库（动态）、受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机制。 漏洞扫描技术 漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。对一个信息系统来说，它的安全性不在于它是否采用了必威体育精装版的加密算法，而是由系统的最薄弱处--漏洞决定的。 漏洞扫描器是一种自动检测远程或本地主机安全脆弱点的程序，它采用模拟攻击的形式，对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。 漏洞扫描器分为： （1）主机扫描器：又称本地扫描器，它与待检查系统运行于同一个节点，执行对自身的检查。例如，360安全卫士。 （2）网络扫描器：又称远程扫描器，它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞，根据扫描结果向系统管理员提供周密可靠的安全性分析报告。例如，NSS（网络安全扫描器）、Strobe、SATAN等工具。 典型病毒的原理、防范和清除 病毒防范和清除的基本原则和技术 引导区病毒 文件型病毒 脚本病毒 宏病毒 特洛伊木马病毒 蠕虫病毒 防范计算机病毒的基本措施 （1）经常对硬盘上的文件进行备份，这样不但在硬盘遭受破坏或无意格式化操作后能及时得到恢复，而且在计算机病毒侵害后也能得以恢复。 （2）对硬盘的引导扇区及分区表做一备份。 （3）要经常检查可执行程序（.EXE和.COM文件）的长度，对这些文件采取一些简单的加密，防止程序被感染。 （4）凡不需要再写入数据的磁盘都应该具有防写保护。 （5）不要使用来历不明或不是正当途径复制的程序盘。 （6）对于执行重要工作的计算机要专机专用、专盘专用；对交换的软件及数据文件要进行检查，确定无计算机病毒时方可使用。 （7）已发现计算机遭受计算机病毒感染，应尽快隔离此计算机病毒 （8）使用国家安全部门认可的杀病毒软件，定期对计算机进行杀毒。 引导区病毒 引导型病毒，也叫开机型病毒，主要感染计算机系统硬盘的主引导扇区和I/O分区的引导扇区，对于软盘则侵占软盘的引导扇区。其中，感染主引导扇区的病毒称作MBR病毒，感染引导区的病毒称为BR病毒。 传播方式：由含有病毒的系统感染在该系统中进行读、写操作的软盘，然后再由这些软盘以复制的方式（静态传染）和引导进入到其他计算机系统的方式（动态传染），感染其他计算机系统。 著名的引导区病毒：Disk Killer，巴基斯坦大脑病毒 引导区病毒的工作原理 引导区病毒感染前后比较 软盘中毒前的正常开机程序： 开机→执行BIOS→自我测试POST→填入中断向量表→启动扇区(Boot sector)→IO.SYS→MSDOS.SYS→COMMAND.COM 软盘中毒之后的开机程序： 开机→执行BIOS→自我测试POST→填入中断向量表→开机型病毒→启动扇区→IO.SYS→MSDOS.SYS→COMMAND.COM 硬盘中毒前的正常开机程序： 开机→执行BIOS→自我测试POST→填入中断向量表→硬盘分区表(Partition Table)→启动扇区→IO.SYS→MSDOS.SYS→COMMAND.COM 硬盘中毒之后的开机程序： 开机→执行BIOS→自我测试POST→填入中断向量表→硬盘分区表→开机型病毒→启动扇区→IO.SYS→MSD