信息安全课件capter02.ppt

第二章 计算机病毒 2.1 病毒基本概念 2.2 引导型病毒 2.3 文件型病毒 2.4 混合型病毒 2.5 宏病毒 2.6 网络病毒与防护 2.7 典型病毒原理及防治方法 必威体育精装版统计信息 从去年1月1日至12月31日，计算机病毒预警监测系统共截获病毒近110万种，较上一年病毒种类增长201.9%。 从感染的计算机数量来看，病毒疫情最严重的月份集中在上半年。1月份全国感染计算机总数达到年度峰值341万台，成为年度疫情最严重的月份。2月份到9月份有一定幅度下滑，10月份达到年度低谷129万台，11月、12月有微幅上扬趋势。 从全年的病毒种类来看，去年平均每月监测到的病毒种类为10万左右，在所截获的病毒中，木马病毒占78%，后门病毒占10%，广告程序占4%，蠕虫病毒占6%，其它类型恶意代码为2%。相较于2007年，木马、后门类病毒占病毒总数的比例增长了10%，这说明去年网络安全最大的威胁仍然来自于木马、后门类病毒。 2.1 病毒基本概念 2.1.1 病毒的起源 2.1.2病毒的本质 2.1.3病毒的特点 2.1.4病毒的种类 2.1.5 病毒的基本结构 2.1.6计算机病毒与存储结构 2.1.7计算机病毒与中断 2.1.8病毒的危害 2.1.9病毒的防治 2.1.10 病毒的免疫 2.1.1 病毒的起源 计算机病毒的发源地源于美国。 真正的计算机病毒，首先产生在贝尔研究所 计算机界真正认识到计算机病毒的存在是在1983年。 计算机病毒的广泛传染始于1987年。 在1988年才开始得到人们的重视。 2001年全世界已知的计算机病毒超过60000种。 计算机病毒已经成为计算机通信信息安全的主要威胁。 2.1.2 病毒的本质 1、计算机病毒定义 目前，对计算机病毒定义有多种形式。 计算机病毒的定义最早是由美国计算机专家弗雷德·科恩博士给出的： 计算机病毒是一种程序，它用修改其他程序的方法将自己的精确拷贝或者可能深化的形式放入其他程序中，从而感染它们。由于这种感染特性，病毒可在信息交流的途径中迅速传播并且破坏信息的完整性。 2.1.2 病毒的本质 狭义定义，即计算机病毒是能自我繁殖并向无毒的计算机扩散的加密性指令集； 广义定义，即计算机病毒是不断滋长的且危及越来越多的计算机系统工作的程序或指令集。 计算机病毒本质上是一段程序，这段程序具有隐蔽性、传染性、潜伏性和破坏性。 2.1.2 病毒的本质 2、病毒传播载体 网络 电磁性介质 光学介质 3、病毒传染的基本条件 计算机系统的运行 读写介质（磁盘）上的数据和程序 2.1.2 病毒的本质 4、病毒的传播步骤 计算机病毒主要通过三个步骤进行传播。 驻留内存。 寻找传染的机会。 进行传染。 5、病毒传染方式 引导扇区（包括硬盘的主引导扇区）传染类，叫做引导型病毒； 可执行文件传染类，叫做文件型病毒。 2.1.3 病毒的特点 隐蔽性：隐藏在操作系统的引导扇区、可执行文件、数据文件、标记的坏扇区。 传染性：自我复制 潜伏性：定期发作 可触发性：控制条件，日期、时间、标识、计数器 表现性或破坏性：干扰系统、破坏数据、占用资源 2.1.3 病毒的特点 计算机病毒的表现： （1） 机器不能正常启动 （2） 运行速度降低 （3） 磁盘空间迅速变小 （4） 文件内容和长度有所改变 （5） 经常出现“死机”现象 （6） 外部设备工作异常 2.1.4 病毒的种类 可以将病毒按不同标准进行分类。 一、按破坏性分类 就计算机病毒破坏性产生的后果而言，一般将计算机病毒分为良性病毒和恶性病毒两大类。 良性病毒：是指那些只是为了表现自己而并不破坏系统数据，只占用系统CPU资源或干扰系统工作的一类计算机病毒。 恶性病毒：是指病毒制造者在主观上故意要对被感染的计算机实施破坏，这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘，使系统处于瘫痪状态。 2.1.4 病毒的种类 二、按寄生方式分类 就计算机病毒的寄生方式来说，一般将计算机病毒分为四种类型。 系统引导型 特点：系统引导时病毒装入内存，同时获得对系统的控制权，对外传播病毒，并且在一定条件下发作，实施破坏。 案例：小球病毒、大麻病毒、磁盘杀手等。 文件型（外壳型） 特点：将自身包围在系统可执行文件的周围、对原文件不作修改、运行可执行文件时，病毒程序首先被执行，进入到系统中，获得对系统的控制权。 案例：黑色星期五病毒、杨基都督病毒等。 2.1.4 病毒的种类 源码型 特点：在源被编译之前，插入到源程序中，经编译之后，成为合法程序的一部分。 案例：宏病毒 入侵型 特点：将自身入侵到现有程