第13章 计算机病毒远离及防治

主编：步山岳章慧副主编：王媛媛刘虎唐朝霞陈宏明高等教育出版社2010.09计算机系统维护技术（第2版）-封面第13章计算机病毒原理及防治13.1计算机病毒的概述13.2计算机病毒制作技术13.3反计算机病毒技术13.4特洛伊木马13.5计算机病毒的防范13.6手工杀毒基本方法13.7杀病毒软件简介第13章计算机病毒原理及防治什么是计算机病毒？计算机病毒都有什么特征？第13章计算机病毒原理及防治13.1计算机病毒的概述计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。这个定义明确表明了计算机病毒就是具有破坏性的计算机程序。第13章计算机病毒原理及防治13.1计算机病毒的概述（CONTD…）破坏性隐蔽性传染性潜伏性可触发性不可预见性计算机病毒的特征第13章计算机病毒原理及防治13.1计算机病毒的概述（CONTD…）软件产品的脆弱性是产生计算机病毒根本的技术原因。社会因素是产生计算机病毒的土壤。经济利益驱动是产生计算机病毒的动力计算机病毒的产生原因：计算机病毒的传播途径：计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播，移动存储设备和网络是主要传播路径。第13章计算机病毒原理及防治13.1计算机病毒的概述（CONTD…）计算机病毒的分类：大致有8种类型引导型病毒文件型病毒宏病毒蠕虫病毒特洛伊木马型病毒网页病毒移动病毒混合病毒。第13章计算机病毒原理及防治引导型病毒：主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统，引导型病毒是一种开机即可启动的病毒，优先于操作系统而存在。该病毒几乎常驻内存，激活时即可发作，破坏性大，早期的计算机病毒大多数属于这类病毒。文件型病毒：它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体，当运行可执行文件时就可以激活病毒。宏病毒：宏病毒是一种寄存于文档或模板的宏中的计算机病毒，是利用宏语言编写的。第13章计算机病毒原理及防治黑客程序：特洛伊木马型病毒实际上就是黑客程序。黑客程序一般不对计算机系统进行直接破坏，而是通过网络窃取国家、部门或个人宝贵的秘密信息，占用其它计算机系统资源等现象。网页病毒：网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。混合型病毒：兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。第13章计算机病毒原理及防治13.1计算机病毒的概述（CONTD…）计算机病毒的表现现象：1．突然经常性无缘无故地死机2．运行速度明显变慢3．打印和通讯发生异常4．磁盘空间迅速减少5．收到陌生人发来的电子邮件6．自动链接到一些陌生的网站7．计算机不识别硬盘8．操作系统无法正常启动9．部分文档丢失或被破坏10．网络瘫痪11.手机中毒声音变调、死机，自动打电话第13章计算机病毒原理及防治13.1计算机病毒的概述（CONTD…）计算机病毒程序一般构成：1．安装模块:病毒程序必须通过自身的程序实现自启动并安装到计算机系统中。2．传染模块:包括传染控制部分、传染判断部分、传染操作部分。3．破坏模块:包括两部分：一是激发控制，当病毒满足一个条件,病毒就发作；另一个就是破坏操作，不同病毒有不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件等。第13章计算机病毒原理及防治脚本语言与ActiveX技术13.2计算机病毒制作技术采用自加密技术采用变形技术对抗计算机病毒防范系统采用特殊的隐形技术反跟踪技术利用中断处理机制第13章计算机病毒原理及防治1．脚本语言与ActiveX技术新型计算机病毒却利用JavaScript或VBScrip脚本语言和ActiveX技术直接将病毒写到网页上，完全不需要宿主程序。2.采用自加密技术防止被计算机病毒检测程序扫描出来，并被轻易地反汇编。13.2计算机病毒制作技术第13章计算机病毒原理及防治3．采用变形技术当某些计算机病毒编制者通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，称这种新出现的计算机病毒是原来被修改计算机病毒的变形。4．采用特殊的隐形技术当计算机病毒采用特殊的隐形技术后，可以在计算机病毒进入内存后，使计算机用户几乎感觉不到它的存在。13.2计算机病毒制作技术第13章计算机病毒原理及防治5．对抗计算机病毒防范系统计算机病毒采用对抗计算机病毒防范系统技术时，当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名时，就会删除这些杀毒软件或文件，造成杀毒软件失效，甚至引起计算机系统崩溃。6．反跟踪技术计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译能力和伪装能力。13.2计算机病毒制作技术第13章计算机病毒原理及防治7．利用中断处理机制病毒设计者则会篡改中断功能为达到传染、激发和破坏等目的。如INT13H是磁盘输入输出中断，引导型病毒就是用它来传染病毒和格式化磁盘的。13.2计算机病毒制作技术第13章计算机病毒原理及防治病毒防火墙13.3反计算机病毒技术虚拟机技术主动内核保护技术启发扫描的反病毒技术第13章计算机病毒原理及防治1.病毒防火墙对系统实施实时监控，对流入、流出系统的数据中可能含有的病毒代码进行过滤。2.虚拟机技术虚拟机杀毒技术具体的做法是：用程序代码虚拟一个CPU，同样也虚拟CPU的各个寄存器，硬件端口，用调试程序调入被调的“样本”，将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行情况。第13章计算机病毒原理及防治3．主动内核技术主动内核技术是从操作系统内核这一深度，主动给操作系统和网络系统打了一个个“补丁”，这些补丁将从安全的角度对系统或网络进行管理和检查，对系统的漏洞进行修补，任何文件在进入系统之前，作为主动内核的反病毒模块都将首先使用各种手段对文件进行检测处理。4．启发扫描的反病毒技术一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机。第13章计算机病毒原理及防治13.4特洛伊木马特洛伊木马实际上是一种典型的黑客程序，它是一种基于远程控制的黑客工具，现在已成为黑客程序的代名词。特洛伊木马的启动方式特洛伊木马的端口特洛伊木马的隐藏特洛伊木马查杀第13章计算机病毒原理及防治13.5计算机病毒的防范1．安装防病毒和防火墙软件并及时更新病毒库2.不要打开来历不明的电子邮件3．插入可移动存储介质时先对其进行病毒扫描4．不要浏览危险网站或从不可靠的网站下载软件5．使用*.txt等形式的文档6．及时更新操作系统7．备份重要资料8．做好密码管理工作9．手机病毒的防范第13章计算机病毒原理及防治13.6手工杀毒基本方法手工杀毒步骤一般为8个步骤：观察病毒表现；查找相关病毒资料；分析病毒；发现病毒进程；终止病毒进程；删除病毒文件；修复注册表；免疫病毒。第13章计算机病毒原理及防治13.7杀病毒软件简介目前市场上提供的杀毒软件的品种很多，其中比较著名的杀毒软件如下：北京江民公司的KV系列北京瑞星计算机科技公司的瑞星系列俄罗斯的卡巴斯基（Kaspersky）系列美国赛门铁克（Symamtec）的诺顿系列金山公司的金山毒霸第13章计算机病毒原理及防治考试题型：选择填空名词解释简答故障分析第13章计算机病毒原理及防治实验16周周一3、4节：CMOS实验周三1-4节：综合实验17周周二3、4节：各班学习委员把综合实验报告和实验报告收齐交到基础一实验室。第13章计算机病毒原理及防治第13章计算机病毒原理及防治简述计算机病毒的定义和特征。计算机病毒的传播途径有哪些？？简述计算机病毒程序的一般构成？什么是特洛伊木马？Let’sTry