计算机病毒PPT.ppt

《计算机病毒PPT.ppt》由会员分享，可在线阅读，更多相关《计算机病毒PPT.ppt（24页珍藏版）》请在第壹文秘上搜索。

1、u7.1 计算机病毒的特点与分类计算机病毒的特点与分类 u7.2 计算机病毒的检测与清除计算机病毒的检测与清除u7.3 典型计算机病毒的检测与清除典型计算机病毒的检测与清除 主要内容主要内容第七章第七章 计算机病毒防治计算机病毒防治 7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 7.1.1 7.1.1 计算机病毒的概念计算机病毒的概念 1994年年2月月18日，我国正式颁布实施了中华人民共日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：八条中明确指出：“计算机病毒计算机病毒，是指编制或者在计

2、算机，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。使用并能自我复制的一组计算机指令或者程序代码。”此此定义具有定义具有法律效力法律效力和和权威性权威性。 计算机病毒赖以生存的基础计算机病毒赖以生存的基础是现代计算机都具有相同是现代计算机都具有相同的工作原理和操作系统的脆弱性，以及网络协议中的安全的工作原理和操作系统的脆弱性，以及网络协议中的安全漏洞。特别是在个人计算机中，系统的基本控制功能对用漏洞。特别是在个人计算机中，系统的基本控制功能对用户是公开的，可以通过调用和修改系

3、统的中断，取得对系户是公开的，可以通过调用和修改系统的中断，取得对系统的控制权，从而对系统程序和其他程序进行任意处理。统的控制权，从而对系统程序和其他程序进行任意处理。 7.1. 7.1.2 2 计算机病毒的特点计算机病毒的特点 1. 发生侵害的主动性发生侵害的主动性 2传染性传染性 3隐蔽性隐蔽性 4表现性表现性 5破坏性破坏性 6难确定性难确定性7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类7.1.7.1.3 3 计算机病毒的分类计算机病毒的分类 1按其破坏性按其破坏性 可分为：良性病毒和恶性病毒。可分为：良性病毒和恶性病毒。 2按其传染途径按其传染途径 可分为：驻留内存型病

4、毒和非驻留内存型病毒。可分为：驻留内存型病毒和非驻留内存型病毒。 3按连接方式按连接方式 可分为：源码型、入侵型、操作系统型和外壳型病毒。可分为：源码型、入侵型、操作系统型和外壳型病毒。 4按寄生方式按寄生方式 可分为：引导型病毒、文件型病毒以及集两种病毒特性于一可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。体的复合型病毒和宏病毒、网络病毒。 5其他一些分类方式其他一些分类方式 按照计算机病毒攻击的操作系统；按照计算机病毒激活的时按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。间；按计算机病毒攻击的机型。7.1 7.1 计

5、算机病毒的特点与分类计算机病毒的特点与分类 7.1. 7.1.4 4 计算机病毒的危害计算机病毒的危害 1病毒激发对计算机数据信息的直接破坏作用病毒激发对计算机数据信息的直接破坏作用 2占用磁盘空间占用磁盘空间 3抢占系统资源抢占系统资源 4影响计算机的运行速度影响计算机的运行速度7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类7.1.7.1.5 5 计算机病毒的工作机理计算机病毒的工作机理 1计算机病毒的结构计算机病毒的结构 计算机病毒在结构上有着共同性，一般由计算机病毒在结构上有着共同性，一般由引导模块、引导模块、传染模块、触发模块，表现模块传染模块、触发模块，表现模块部分组成

6、。部分组成。 2计算机病毒的工作机理计算机病毒的工作机理 因为计算机病毒的传染和发作需要使用一些系统函数因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者往往在不同的平台上是各不相同的，因此及硬件，而后者往往在不同的平台上是各不相同的，因此大多数计算机病毒都是大多数计算机病毒都是针对某种处理器和操作系统针对某种处理器和操作系统编写的。编写的。 计算机病毒能够感染的只有可执行代码，按照可执行计算机病毒能够感染的只有可执行代码，按照可执行代码的种类可以将计算机病毒分为代码的种类可以将计算机病毒分为引导型病毒、文件型病引导型病毒、文件型病毒、宏病毒和网络病毒毒、宏病毒和网络病毒四大类。四大

7、类。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 如果计算机出现如果计算机出现下列现象之一下列现象之一，则表明该计算机系，则表明该计算机系统可能已经中毒，用户应该立刻采取措施，清除该病统可能已经中毒，用户应该立刻采取措施，清除该病毒。毒。 （1）出现系统错误对话框）出现系统错误对话框 （2）系统资源被大量占用）系统资源被大量占用 （3）系统内存中出现名为）系统内存中出现名为avserve的进程的进程 （4）系统目录中出现名为）系统目录中出现名为avserve.exe的病毒文的病毒文件。件。 （5）注册表中出现病毒键值）

8、注册表中出现病毒键值 7. 7.2 2.1 .1 计算机病毒的传播途径计算机病毒的传播途径 计算机病毒是通过某个入侵点进入系统进行传染计算机病毒是通过某个入侵点进入系统进行传染的。的。最常见的入侵点最常见的入侵点是从工作站传到工作站的软盘或是从工作站传到工作站的软盘或U盘等移动存储设备。盘等移动存储设备。 在网络中可能的入侵点还有服务在网络中可能的入侵点还有服务器、器、E-mail、BBS上上/下载的文件、下载的文件、WWW站点、站点、FTP文件下载、网络共享文件及常规的网络通信、盗版软文件下载、网络共享文件及常规的网络通信、盗版软件、示范软件、计算机实验室和其他共享设备。件、示范软件、计算机

9、实验室和其他共享设备。 病毒传播进入系统的病毒传播进入系统的途径途径主要有以下主要有以下3种：种： 1通过计算机网络进行传播通过计算机网络进行传播 2通过移动存储设备来进行传播通过移动存储设备来进行传播 3通过通信系统进行传播通过通信系统进行传播7.7.2 2 计算机病毒的检测与清除计算机病毒的检测与清除 7.7.2 2. .2 2 病毒预防病毒预防 1.使用正版软件使用正版软件 2.从可靠渠道下载软件从可靠渠道下载软件 3.安装防病毒软件、防火墙等防病毒工具，准安装防病毒软件、防火墙等防病毒工具，准备一套具有查毒、防毒、杀毒及修复系统的工具软备一套具有查毒、防毒、杀毒及修复系统的工具软件，并

10、定期对软件进行升级、对系统进行查毒件，并定期对软件进行升级、对系统进行查毒 。 4.对电子邮件提高警惕对电子邮件提高警惕 5.经常对系统中的文件进行备份经常对系统中的文件进行备份 6.备好启动盘，并设置写保护备好启动盘，并设置写保护7.7.2 2计算机病毒的检测与清除计算机病毒的检测与清除 7.开机时使用本地硬盘开机时使用本地硬盘 8.做好系统配置做好系统配置 9.尽量做到专机专用尽量做到专机专用 10.新购置的计算机软件或硬件也要先查毒再使新购置的计算机软件或硬件也要先查毒再使用用 11使用复杂的密码使用复杂的密码 12注意自己的机器最近有无异常注意自己的机器最近有无异常 13了解一些病毒知

11、识了解一些病毒知识 7.7.2 2 计算机病毒的检测与清除计算机病毒的检测与清除 7.7.2 2. .3 3 病毒检测病毒检测 病毒检测病毒检测就是要在特定的系统环境中，通过各就是要在特定的系统环境中，通过各种检测手段来识别病毒，并对可疑的异常情况进行种检测手段来识别病毒，并对可疑的异常情况进行报警。病毒检测主要是通过报警。病毒检测主要是通过病毒扫描、系统完整性检病毒扫描、系统完整性检查、分析法、校验和法和行为封锁法查、分析法、校验和法和行为封锁法等等5种手段进行。种手段进行。 1病毒扫描病毒扫描 这是这是早期早期使用得较多的一种病毒检测手段。使用得较多的一种病毒检测手段。 病毒扫描一般通过下

12、面两种病毒扫描一般通过下面两种方法方法进行：进行： （1）将原始备份与检测的对象进行比较）将原始备份与检测的对象进行比较 （2）寻找病毒特征）寻找病毒特征7.7.2 2 计算机病毒的检测与清除计算机病毒的检测与清除 2系统完整性检查系统完整性检查 这种防病毒软件利用病毒行为对文件或系统所这种防病毒软件利用病毒行为对文件或系统所产生的影响，即病毒对文件或系统做了些什么，来产生的影响，即病毒对文件或系统做了些什么，来发现和确定病毒。发现和确定病毒。 这种方法的这种方法的主要缺点主要缺点是：病毒必须已经对文件或是：病毒必须已经对文件或系统进行了破坏，系统完整性检查程序才能发现病系统进行了破坏，系统完

13、整性检查程序才能发现病毒。因此，如果系统在安装这种软件之前已经感染，毒。因此，如果系统在安装这种软件之前已经感染，或者病毒仍处于潜伏期，则系统完整性检查程序就或者病毒仍处于潜伏期，则系统完整性检查程序就无能为力了。无能为力了。 此外，这种方法也可能会对某些正常操作产生此外，这种方法也可能会对某些正常操作产生较多的较多的“误诊误诊” 。 7.7.2 2 计算机病毒的检测与清除计算机病毒的检测与清除 3分析法分析法 使用分析法的使用分析法的步骤步骤如下：如下： （1）确认被观察的磁盘引导扇区和程序中是否含）确认被观察的磁盘引导扇区和程序中是否含有计算机病毒。有计算机病毒。 （2）确认计算机病毒的类

14、型，判断其是否是一种）确认计算机病毒的类型，判断其是否是一种新型的计算机病毒。新型的计算机病毒。 （3）弄清计算机病毒体的大致结构，提取用于特）弄清计算机病毒体的大致结构，提取用于特征识别的字节串或特征字，并将其添加到计算机病征识别的字节串或特征字，并将其添加到计算机病毒代码库中，供病毒扫描和识别程序使用。毒代码库中，供病毒扫描和识别程序使用。 （4）详细分析计算机病毒代码，为相应的防杀计）详细分析计算机病毒代码，为相应的防杀计算机病毒措施制定方案。算机病毒措施制定方案。 分析病毒的过程有分析病毒的过程有静态分析静态分析和和动态分析动态分析两类。两类。7.7.2 2 计算机病毒的检测与清除计算

15、机病毒的检测与清除 7.7.2 2. .4 4 病毒清除病毒清除 1清除方法清除方法 预防和发现病毒是非常重要的，但是一旦发现文件或预防和发现病毒是非常重要的，但是一旦发现文件或系统已经感染了病毒，显然这时要做的第一件事就是进行系统已经感染了病毒，显然这时要做的第一件事就是进行杀毒。因为病毒也是程序，所以可以使用多种不同的方法杀毒。因为病毒也是程序，所以可以使用多种不同的方法进行杀毒处理，例如使用进行杀毒处理，例如使用DOS的的DEL命令，或者使用一个命令，或者使用一个商业化的防病毒软件。商业化的防病毒软件。 现在，许多防病毒软件都采用了现在，许多防病毒软件都采用了实时扫描技术实时扫描技术。

16、网络中的病毒活动状况网络中的病毒活动状况对于网络管理员来说是非常重对于网络管理员来说是非常重要的。通过了解网络中的病毒活动情况，网络管理员可以要的。通过了解网络中的病毒活动情况，网络管理员可以了解哪些病毒活动比较频繁、哪些计算机或者用户的文件了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及病毒的具体特征等，以便修改病毒比较容易感染病毒以及病毒的具体特征等，以便修改病毒防范策略以及了解病毒的来源情况，方便进行用户、文件防范策略以及了解病毒的来源情况，方便进行用户、文件资源的安全管理。资源的安全管理。7.7.2 2 计算机病毒的检测与清除计算机病毒的检测与清除 2著名杀毒公司的站点网址著名杀毒公司的站点网址 站点或公司名称站点或公司名称启明星辰启明星辰瑞星公司瑞星公司北京江民新技术公司北京江民新技术公司junipersonicwall赛门铁克赛门铁克飞塔飞塔网神网神思科思科7.7.2 2 计算机病毒的检测与清除计算机病毒的检测与清除 3染毒后的紧急处理染毒后的紧急处理 （1）隔离。）隔离。 （2）报警。）报警。 （3）查毒源。）查毒源。 （4）采取应对方法和对策。）采