計(jì)算機(jī)病毒的防治-2.ppt

第六章 計(jì)算機(jī)病毒的防治,6.1 計(jì)算機(jī)病毒概述 6.2 計(jì)算機(jī)病毒的工作方式 6.3 病毒的預(yù)防、檢測和清除 6.4 防毒戰(zhàn)略和相關(guān)產(chǎn)品,本章學(xué)習(xí)目標(biāo),（1）了解計(jì)算機(jī)病毒的定義和病毒的危害性 （2）掌握計(jì)算機(jī)病毒的特征和種類 （3）掌握計(jì)算機(jī)病毒的特征和種類 （4）掌握如何預(yù)防、檢測和清除病毒 （5）了解主要防毒產(chǎn)品的功能特點(diǎn),6.1 計(jì)算機(jī)病毒概述,6.1.1 計(jì)算機(jī)病毒的定義 6.1.2 計(jì)算機(jī)病毒的發(fā)展過程 6.1.3 計(jì)算機(jī)病毒的特征 6.1.4 計(jì)算機(jī)病毒的組成 6.1.5 計(jì)算機(jī)病毒的種類,6.1.1 計(jì)算機(jī)病毒的定義,在1994年我國頒布實(shí)施的中華人民共和國計(jì)算機(jī)系統(tǒng)安全保護(hù)條例中，對計(jì)算機(jī)病毒有如下定義：“計(jì)算機(jī)病毒是編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。,6.1.2 計(jì)算機(jī)病毒的發(fā)展過程,1早期病毒的產(chǎn)生 在20世紀(jì)60年代初，美國貝爾實(shí)驗(yàn)室中3個(gè)年輕的程序員，道格拉斯麥耀萊、維特維索斯基和羅伯在工作之余編制了一個(gè)游戲“磁芯大戰(zhàn)”（Core War），這個(gè)游戲是通過不斷復(fù)制自身的方式來擺脫對方進(jìn)程的控制，從而獲取最后的勝利?？梢哉f這個(gè)程序是病毒的先驅(qū)。,2DOS病毒階段 3Windows平臺階段 4網(wǎng)絡(luò)病毒階段 5病毒發(fā)展的未來趨勢 （1）網(wǎng)絡(luò)化 （2）隱蔽化 （3）多樣化 （4）破壞性強(qiáng) （5）簡單化,6.1.3 計(jì)算機(jī)病毒的特征,（1）可執(zhí)行性。 （2）傳染性。 （3）潛伏性。 （4）隱蔽性。 （5）破壞性。 （6）不可預(yù)見性。 （7）奪取系統(tǒng)控制權(quán),6.1.4 計(jì)算機(jī)病毒的組成,計(jì)算機(jī)病毒程序一般由感染模塊、觸發(fā)模塊、破壞模塊和主控模塊組成，相應(yīng)為感染機(jī)制、觸發(fā)機(jī)制和破壞機(jī)制三種。但有些病毒并不具備所有的模塊，例如巴基斯坦智囊病毒就沒有破壞模塊。 1感染模塊 2觸發(fā)模塊 3破壞模塊 4主控模塊,6.1.5 計(jì)算機(jī)病毒的種類,計(jì)算機(jī)病毒的分類方法也有多種，一般按病毒對計(jì)算機(jī)破壞的程度和傳染方式、算法及鏈接方式來分 。 1按病毒的傳染方式 2按病毒的破壞程度 3按病毒的算法分類 4按病毒的鏈接方式,6.2 計(jì)算機(jī)病毒的工作方式,6.2.1 引導(dǎo)型病毒的工作方式 6.2.2 文件型病毒的工作方式 6.2.3 混合型病毒的工作方式 6.2.4 宏病毒的工作方式 6.2.5 Java病毒 6.2.6 網(wǎng)絡(luò)病毒 6.2.7 腳本病毒 6.2.8 PE病毒,6.2.1 引導(dǎo)型病毒的工作方式,6.2.2 文件型病毒的工作方式,在目前已知的病毒中，大多數(shù)屬于文件型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM、EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其常見的傳染方式是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。,（a）引導(dǎo)型病毒,（b）文件型病毒,6.2.3 混和型病毒工作方式,混和型病毒在傳染方式上兼具引導(dǎo)型病毒和文件型病毒的特點(diǎn)。這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，以該文件為載體進(jìn)行傳播。當(dāng)被感染文件執(zhí)行時(shí)，會感染硬盤的主引導(dǎo)記錄。以后用硬盤啟動系統(tǒng)時(shí)，就會實(shí)現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑?dǎo)型病毒。例如BloodBound.A，該病毒也稱為Tchechen.3420，主要感染COM、EXE和MBR。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入MBR中，然后清除硬盤中的文件。,6.2.4 宏病毒的工作方式,宏病毒是利用宏語句編寫的。它們通常利用宏的自動化功能進(jìn)行感染，當(dāng)一個(gè)感染的宏被運(yùn)行時(shí)，它會將自己安裝在應(yīng)用的模板中，并感染應(yīng)用創(chuàng)建和打開的所有文檔。Office中的Word、Excel和PowerPoint都有宏。,6.2.5 Java病毒,Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。Java應(yīng)用程序不會直接運(yùn)行在操作系統(tǒng)中，而是運(yùn)行在Java虛擬機(jī)（JVM）上。因此用Java編寫的應(yīng)用程序的移植性非常強(qiáng)，包括現(xiàn)在的手機(jī)中的一些程序也是用Java編寫的。 Java Applet是一種內(nèi)嵌在HTML網(wǎng)頁中的可攜式Java小程序。具有Java功能的瀏覽器可以運(yùn)行這個(gè)小程序。Java Applet可供Web開發(fā)人員建立含有功能更豐富的交互式動態(tài)Web網(wǎng)頁。它們會在使用者訪問網(wǎng)頁時(shí)被執(zhí)行。黑客、病毒作者或其他惡意人士可能會用Java惡意程序代碼當(dāng)作武器攻擊使用者的系統(tǒng)。,6.2.6 網(wǎng)絡(luò)病毒,隨著互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)病毒從原來的磁盤進(jìn)行傳播發(fā)展到現(xiàn)在的通過網(wǎng)絡(luò)的漏洞進(jìn)行傳播。到如今，網(wǎng)絡(luò)病毒已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全的最大威脅之一。網(wǎng)絡(luò)病毒中又以蠕蟲病毒出現(xiàn)最早，傳播最為廣泛，例如“沖擊波”、“紅色代碼”病毒等。,6.2.7 腳本病毒,腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。腳本是指從一個(gè)數(shù)據(jù)文檔中執(zhí)行一個(gè)任務(wù)的一組指令，它也是嵌入到一個(gè)文件中，常見的是嵌入到網(wǎng)頁文件中。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。有些腳本語言，例如VBScript（Visual Basic Script）以及JavaScript病毒，必須通過Microsoft的Windows Scripting Host（WSH）才能夠激活執(zhí)行以及感染其他文件。,6.2.8 PE病毒,PE病毒，是指感染W(wǎng)indows PE格式文件的病毒。PE病毒是目前影響力極大的一類病毒。PE病毒同時(shí)也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強(qiáng)的一類病毒。如FunLove、“中國黑客”等病毒都屬于這個(gè)范疇。,6.3 病毒的預(yù)防、檢測和清除,6.3.1 計(jì)算機(jī)病毒的預(yù)防 6.3.2 計(jì)算機(jī)病毒的檢測方法 6.3.3 計(jì)算機(jī)病毒的清除 6.3.4 病毒實(shí)例,6.3.1 計(jì)算機(jī)病毒的檢測,（1）使用無毒的系統(tǒng)軟件和應(yīng)用軟件。 （2）CMOS設(shè)置。 （3）使用最新的系統(tǒng)安全更新。 （4）禁用Windows Script Host（WSH）和FSO對象。 （6）啟動防火墻 。 （7）啟用宏病毒警告 。 （8）郵件附件的處理。 （9）安裝殺毒軟件。,6.3.2 計(jì)算機(jī)病毒的檢測方法,1特征代碼法 2校驗(yàn)和法 3行為監(jiān)測法 4軟件模擬法 5啟發(fā)式掃描技術(shù),6.3.3 計(jì)算機(jī)病毒的清除,1引導(dǎo)型病毒的清除 引導(dǎo)型病毒的一般清理辦法是用Format命令格式化磁盤，但這種方法的缺點(diǎn)是在病毒被殺掉的同時(shí)有用的數(shù)據(jù)也被清除掉了。除了格式化的方法外，還可以用其他的方法進(jìn)行恢復(fù)。 引導(dǎo)型病毒在不同的平臺上清除方法有所不同，在Windows 95/98下，可以執(zhí)行以下步驟： （1）用Windows 95/98 的干凈啟動盤啟動計(jì)算機(jī)。 （2）在命令行中鍵入下列命令： fdisk /mbr （用來更新主引導(dǎo)記錄，也稱硬盤分區(qū)表） Sys C: （恢復(fù)硬盤引導(dǎo)扇區(qū)） （3）重啟計(jì)算機(jī)。 在Windows 2000/XP平臺下，可以用以下方法進(jìn)行恢復(fù)： （1）用Windows 2000/XP 安裝光盤啟動。 （2）在“歡迎安裝”的界面中按R鍵進(jìn)行修復(fù)，啟動Windows的修復(fù)控制臺。 （3）選擇正確的要修復(fù)的機(jī)器的數(shù)量。 （4）鍵入管理員密碼，如果沒有密碼，則直接回車。 （5）在命令行鍵入下面的命令： FIXMBR 回車 FIXBOOT 回車 （6）鍵入EXIT，重啟計(jì)算機(jī)。,2文件型病毒的清除 （1）檢查注冊表 （2）檢查win.ini文件 （3）檢查system.ini文件 （4）重新啟動計(jì)算機(jī)，然后根據(jù)文件名，在硬盤找到這個(gè)程序，將其刪除。,3宏病毒的清除 在Micrsoft Office應(yīng)用程序中打開“工具” “宏”“Visual Basic編輯器”，早期的版本為宏管理器。進(jìn)入到編輯器窗口，用戶可以查看Normal模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又沒有加載這類特殊模板，這就極可能是宏病毒在作祟，因?yàn)榇蠖鄶?shù)Normal模板中是不包含上述宏的。確定是宏病毒后，可以在通用模板中刪除被認(rèn)為是病毒的宏。 還有一種方法更為簡單，通過搜索系統(tǒng)文件，找到Autoexec.dot和Nomal.dot文件，直接刪除即可。Office應(yīng)用程序啟動后會重新生成一個(gè)干凈的模板文件。,4網(wǎng)絡(luò)病毒的清除 （1）系統(tǒng)加固。 （2）建立病毒預(yù)警檢測系統(tǒng)。 （3）在互聯(lián)網(wǎng)接入口處安裝防病毒網(wǎng)關(guān)，將病毒隔離在外部網(wǎng)絡(luò)。,6.3.4 病毒實(shí)例,1CIH病毒 2沖擊波病毒 3愛蟲病毒 4梅麗莎病毒 5紅色代碼病毒,6.4 防毒戰(zhàn)略和相關(guān)產(chǎn)品,6.4.1 傳統(tǒng)的防毒策略 6.4.2 新防護(hù)策略 6.4.3 防毒產(chǎn)品技術(shù) 6.4.4 防毒產(chǎn)