ch7计听算机病毒及其防治.ppt

第7章 计算机病毒防治 本章要求： 了解计算机病毒的特征、类别、传播途径和危害； 连接计算机病毒的预防、检测和清除； 了解木马和蠕虫病毒的原理分析、危害（破坏）、预防和清除措施； 了解现代计算机病毒的特征和发展趋势。 7.1 计算机病毒概述 7.1.1. 计算机病毒的概念 计算机病毒-----是指编制或者在计算机程 序中插入的破坏计算机功能或者毁坏数 据，影响计算机使用，并能自我复制的一 组计算机指令或者程序代码。 计算机病毒的生命周期包含以下几个阶段： 1、隐藏阶段 2、传播阶段 3、触发阶段 4、执行阶段 7.1.2. 计算机病毒的产生 病毒的产生可能有以下情况： 开个玩笑，一个恶作剧 产生于个别人的报复心理 用于版权保护 用于经济、军事和政治目的 7.1.3. 计算机病毒的特征 破坏性 传染性 隐蔽性 潜伏性 不可预见性 衍生性 针对性 7.1.4. 计算机病毒的分类 通常，计算机病毒可有下列分类方法： 按破坏程度的强弱不同可分为良性病毒和恶性病毒； 按传染方式的不同，计算机病毒可分为文件型病毒、引导型病毒和混合型病毒； 按连接方式的不同，计算机病毒可分为源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。 7.1.5．计算机病毒的传播 病毒传播进入系统主要有以下三种途径： 网络 可移动的存储设备 (3) 通信系统 7.1.6. 计算机病毒的危害 计算机病毒的主要危害有： 攻击系统数据区： 攻击文件： 抢占系统资源： 占用磁盘空间和对信息的破坏： 干扰系统运行，使运行速度下降： 攻击CMOS： 攻击和破坏网络系统： 7.2 网络病毒及其预防 7.2.1. 网络病毒概述 网络病毒可以从两方面理解: 一是网络病毒专门指在网络上传播、并对网络进行破坏的病毒； 二是网络病毒是指与Internet有关的病毒，如HTML病毒、电子邮件病毒、Java病毒等。 1、网络病毒的传播 2、网络病毒的特点 传播方式复杂 传播速度快 传染范围广 清除难度大 破坏危害大 病毒变种多 病毒功能多样化 难于控制 3、病毒的防治 预防、检测、清除 防毒、查毒、解毒 7.2.2. 网络病毒的预防 1、严格的管理 2、成熟的技术 7.2.3. 网络病毒的检测 (1) 异常情况判断 (2) 病毒检测的主要目标 病毒检测的主要目标(病毒破坏的主要区域)： 磁盘的主引导扇区、分区表。 文件分配表、文件目录区。 中断向量。 可执行文件。 内存空间。 特征字符串（病毒的明显特征）。 (3) 病毒的检查方法 检测的原理主要是基于下列几种方法： 被检测对象与原始备份的比较法， 利用病毒特征代码串的扫描法， 病毒体内特定位置的特征字识别法 运用反汇编技术对被检测对象的分析法和检验和法 。 比较法： 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。 扫描法 扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 扫描程序由两部分组成：病毒代码库和对该代码库进行扫描的程序。 扫描法的优点是检测准确、快速，可识别病毒名称和类别，误报警率低，容易对病毒进行清除处理；但缺点是不能检测未知病毒，收集已知病毒的特征代码的费用开销大。 特征字识别法 计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。它是基于特征串扫描法发展起来的一种新方法。 该方法优点是由于要处理的字节很少，所以工作起来速度更快、误报警更少，缺点和扫描法类似。 分析法 本方法是运用相应技术分析被检测对象，确认是否为病毒的。 该方法的优点是运用专业的分析技术，检测准确，能识别未知病毒，缺点是速度慢，需要专业知识。 校验和法 对正常文件的内容，计算其校验和，将该校验和写入此文件或其它文件中保存，在文件使用过程中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否被感染，这种方法称为校验和法。 使用校验和法的优点是方法简单，能发现未知病毒，也能发现被查文件的细微变化；缺点是有误报警、不能识别病毒类型和名称、不能对付隐蔽型病毒。 7.2. 4. 网络病毒的清除 染毒后的紧急处理： 系统感染病毒后可采取以下措施进行紧急处理： 隔离。 报警。 查毒源。 采取应对方法和对策。 修复前备份数据。 清除病毒。 重启和恢复。 （2）病毒的查杀 1、病毒扫描型 这类软件采用特征扫描法，根据病毒特征扫描可能的感染对象来发现病毒。 2、完整性检测型 这类软件采用比较法和校验和法，监视观察对象的属性和内容是否发生变化。 3、行为封锁型 这类软件采用驻留内存后台工作的方式，监视可能因病毒引起的异常行为。 (3) 网络防病毒技术