第08章计算机病毒的防治.ppt

计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 第8章 计算机病毒 主要内容： 1．概述 2．病毒原理 3．病毒技术 4．反病毒技术 5 ．常用反病毒软件 6.1 概述 6.1.1 定义 广义：凡能够引起计算机故障，破坏数据的程序。 权威定义：编制或者插入计算机程序中的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。《中华人民共和国计算机信息安全保护条例》 6.1.2 特征 寄生性（宿主程序） 传染性 隐蔽性 潜伏性 触发性 破坏性 6.1.3 传播途径 通过不可移动的计算机硬件设备 通过可移动存储设备 通过计算机网络 通过无线通道 6.1.4 分类 按攻击的OS 按传播媒介 按危害程度 按寄生方式 从广义病毒定义 按攻击的OS： 攻击DOS 攻击WINDOWS 攻击UNIX/LINUX 攻击嵌入式OS 按传播媒介： 单机病毒：磁盘 网络病毒：网络，当今最多 按危害程度： 良性病毒 恶性病毒 中性病毒 按寄生方式： 引导型 文件型（..bat.dll.vxd.sys） 混合型 从广义定义： 传统病毒 特洛伊木马 蠕虫 特洛伊木马 定义：泛指那些内部包含有为完成特定任务而编制的程序，一种潜伏执行非授权功能的技术。本质上属于远程控制工具。 原理： c/s模式 传播途径 email附件 用户间的文件交换 被其它恶意代码携带 互联网下载的文件 6.2 病毒原理 3个功能模块： 引导模块 传染模块 破坏模块 习题与思考题 1．什么是计算机病毒？ 2．计算病毒的基本特征是什么？ 3．简述计算机病毒攻击的对象及所造成的危害。 4．病毒按寄生方式分为哪几类？ 5．计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？ 6．简述检测计算机病毒的常用方法。 7．简述宏病毒的特征及其清除方法。 8．什么是计算机病毒免疫？ 9．简述计算机病毒的防治措施。 10．什么是网络病毒，防治网络病毒的要点是什么？ * 特征和行为 不自我复制； 被感染计算机变慢或出现异常行为； 多出一个或多个任务； 注册表或配置文件被修改 预防： 不执行来历不明的程序 必备杀毒软件 蠕虫 定义：通过网络来传播特定信息或错误，破坏网络信息或造成网络服务中断的病毒。 特点： 利用网络软件的缺陷，进行自我复制和主动传播。 传统病毒（引导型、文件型） 引导型病毒工作流程 文件型病毒工作流程 宏病毒 宏：一系列组合在一起的命令或指令，它们形成一个命令，以实现任务执行自动化。 宏病毒：存储于文档、模版中的病毒 特点：只感染微软数据文件 机制：用VB高级语言编写的病毒代码，直接混杂在文档中传播。当打开一个染毒文档或执行触发宏病毒的操作时，病毒激活，并存储在normal.dot在，以后保存的文档被自动感染。 工作流程 网络病毒 种类：蠕虫、木马 传播方式：email、网页、文件传输 如：loveletter、happytime 6.3 病毒技术 寄生技术 驻留技术 加密变形技术 隐藏技术 寄生技术 将病毒代码加入正常程序中，原正常程序功能的部分或全部保留。 头寄生 尾寄生 插入寄生 文件型病毒使用最多 驻留技术 当染毒文件执行时，将病毒部分功能模块进入内存，即使程序结束，仍驻留内存。 如果杀毒软件只清除文件中病毒，而不清除内存中病毒，仍会感染。 加密变形技术 对不同传染实例呈现多样性。 传统病毒在代码中总有自身特点，反病毒软件厂商利用这些特点编制特征码，进行检测。 隐藏技术 病毒在进入系统后，会采取种种方法隐藏行踪，使不易被发现。 6.4 反病毒技术 6.4.1 发现病毒 系统运行迟钝 程序加载时间过长 简单操作，硬盘花费很长时间 异常错误信息出现 内存、磁盘空间忽然大量减少 程序文件大小、属性、内容改变 经常死机 出现不明常驻任务 异常声音、画面 6.4.2 检测技术 比较法：进行原始的或正常的特征与被检测对象特征进行比较 文件长度、内容、内存、中断向量 优点：简单、方便、不需专用软件 缺点：无法确认病毒种类、名称 校验和法：计算正常文件的校验和，并保存，然后定期比较 优点：可侦测各式病毒，包括未知病毒 缺点：误判率高，无法确认病毒种类 分析法：该法使用人员主要是反毒技术人员 有哪些信誉好的足球投注网站法：用病毒含有的特定字符串对被检测对象进行扫描。 特征字符串的选择好坏，起决定作用。 缺点：扫描时间长；不易选取合适特征串；病毒特征码未更新时，无法识别新病毒和并行病毒。 目前使用最普遍。 6.4.