ch7计算机病毒及其防治

1第7章计算机病毒防治2本章要求：•了解计算机病毒的特征、类别、传播途径和危害；•连接计算机病毒的预防、检测和清除；•了解木马和蠕虫病毒的原理分析、危害（破坏）、预防和清除措施；•了解现代计算机病毒的特征和发展趋势。37.1计算机病毒概述7.1.1.计算机病毒的概念计算机病毒-----是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。4•计算机病毒的生命周期包含以下几个阶段：1、隐藏阶段2、传播阶段3、触发阶段4、执行阶段57.1.2.计算机病毒的产生•病毒的产生可能有以下情况：1.开个玩笑，一个恶作剧2.产生于个别人的报复心理3.用于版权保护4.用于经济、军事和政治目的67.1.3.计算机病毒的特征(1)破坏性(2)传染性(3)隐蔽性(4)潜伏性(5)不可预见性(6)衍生性(7)针对性77.1.4.计算机病毒的分类•通常，计算机病毒可有下列分类方法：按破坏程度的强弱不同可分为良性病毒和恶性病毒；按传染方式的不同，计算机病毒可分为文件型病毒、引导型病毒和混合型病毒；按连接方式的不同，计算机病毒可分为源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。87.1.5．计算机病毒的传播•病毒传播进入系统主要有以下三种途径：(1)网络(2)可移动的存储设备(3)通信系统97.1.6.计算机病毒的危害•计算机病毒的主要危害有：1.攻击系统数据区：2.攻击文件：3.抢占系统资源：4.占用磁盘空间和对信息的破坏：5.干扰系统运行，使运行速度下降：6.攻击CMOS：7.攻击和破坏网络系统：107.2网络病毒及其预防7.2.1.网络病毒概述网络病毒可以从两方面理解:•一是网络病毒专门指在网络上传播、并对网络进行破坏的病毒；•二是网络病毒是指与Internet有关的病毒，如HTML病毒、电子邮件病毒、Java病毒等。111、网络病毒的传播2、网络病毒的特点①传播方式复杂②传播速度快③传染范围广④清除难度大⑤破坏危害大⑥病毒变种多⑦病毒功能多样化⑧难于控制123、病毒的防治预防、检测、清除防毒、查毒、解毒137.2.2.网络病毒的预防•1、严格的管理•2、成熟的技术147.2.3.网络病毒的检测(1)异常情况判断(2)病毒检测的主要目标病毒检测的主要目标(病毒破坏的主要区域)：•磁盘的主引导扇区、分区表。•文件分配表、文件目录区。•中断向量。•可执行文件。•内存空间。•特征字符串（病毒的明显特征）。15(3)病毒的检查方法检测的原理主要是基于下列几种方法：•被检测对象与原始备份的比较法，•利用病毒特征代码串的扫描法，•病毒体内特定位置的特征字识别法•运用反汇编技术对被检测对象的分析法和检验和法。16•比较法：比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。17•扫描法扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。扫描程序由两部分组成：病毒代码库和对该代码库进行扫描的程序。扫描法的优点是检测准确、快速，可识别病毒名称和类别，误报警率低，容易对病毒进行清除处理；但缺点是不能检测未知病毒，收集已知病毒的特征代码的费用开销大。18•特征字识别法计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。它是基于特征串扫描法发展起来的一种新方法。该方法优点是由于要处理的字节很少，所以工作起来速度更快、误报警更少，缺点和扫描法类似。19•分析法本方法是运用相应技术分析被检测对象，确认是否为病毒的。该方法的优点是运用专业的分析技术，检测准确，能识别未知病毒，缺点是速度慢，需要专业知识。20•校验和法对正常文件的内容，计算其校验和，将该校验和写入此文件或其它文件中保存，在文件使用过程中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否被感染，这种方法称为校验和法。使用校验和法的优点是方法简单，能发现未知病毒，也能发现被查文件的细微变化；缺点是有误报警、不能识别病毒类型和名称、不能对付隐蔽型病毒。217.2.4.网络病毒的清除(1)染毒后的紧急处理：系统感染病毒后可采取以下措施进行紧急处理：•隔离。•报警。•查毒源。•采取应对方法和对策。•修复前备份数据。•清除病毒。•重启和恢复。22（2）病毒的查杀1、病毒扫描型这类软件采用特征扫描法，根据病毒特征扫描可能的感染对象来发现病毒。2、完整性检测型这类软件采用比较法和校验和法，监视观察对象的属性和内容是否发生变化。3、行为封锁型这类软件采用驻留内存后台工作的方式，监视可能因病毒引起的异常行为。23(3)网络防病毒技术•实时监视技术：实时监视技术为计算机构筑起一道动态、实时的防病毒防线，通过修改操作系统，使操作系统本身具备防病毒功能，拒病毒于计算机系统之外。•全平台防病毒技术：247.3恶意代码7.3.1．常见的恶意代码1、普通病毒：2、木马：3、蠕虫：4、移动代码：5、复合型病毒：257.3.2.木马1木马病毒概述木马的传播方式主要有三种：•一种是通过E-mail•第二种是软件下载•第三种是通过会话软件（如QQ）的“传送文件”进行传播262木马的原理•木马的运行可有以下三种模式：潜伏在正常的程序应用中，附带执行独立的恶意操作；潜伏在正常的程序应用中，但会修改正常的应用进行恶意操作；完全覆盖正常的程序应用，执行恶意操作。273木马的危害•国内危害最严重的十种木马是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马。28•根据木马的特点及其危害范围，木马可分为以下五大类别：1.网游木马2.网银木马3.即时通信木马4.后门木马5.广告木马294木马的检测和清除•查看开放端口•查看和恢复win.ini和system.ini系统配置文件•查看启动程序并删除可疑的启动程序•查看系统进程并停止可疑的系统进程•查看和还原注册表可使用杀毒软件和木马查杀工具检测和清除木马。305木马的预防•不随意下载来历不明的软件•不随意打开来历不明的邮件，阻塞可疑邮件•及时修补漏洞和关闭可疑的端口•尽量少用共享文件夹•运行实时监控程序•经常升级系统和更新病毒库•限制使用不必要的具有传输能力的文件317.3.3.蠕虫•蠕虫病毒以计算机为载体，以网络为攻击对象。•蠕虫也是一种病毒。但是蠕虫病毒和普通病毒有着很大的区别。32•蠕虫病毒与一般病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机33•蠕虫的类别：根据使用者情况的不同蠕虫可分为2类：面向企业用户的蠕虫和面向个人用户的蠕虫。按其传播和攻击特征蠕虫可分为3类：漏洞蠕虫、邮件蠕虫和传统蠕虫。34•蠕虫的基本结构和传播：蠕虫的基本程序结构包含三个功能模块：1.传播模块2.隐藏模块3.目的功能模块蠕虫程序的一般传播过程：1.扫描2.攻击3.复制35•蠕虫的特点：传播迅速，难以清除利用操作系统和应用程序漏洞主动进行攻击传播方式多样病毒制作技术与传统的病毒不同与黑客技术相结合36•蠕虫病毒的分析和防范（1）恶意蠕虫病毒的分析（2）企业类蠕虫病毒的防范：（3）个人用户蠕虫病毒的分析和防范377.4计算机病毒的现状和发展趋势•7.4.1计算机病毒的现状•7.4.2计算机病毒的发展趋势1.病毒的网络化2.病毒功能的综合化3.传播途径的多样化4.病毒的多平台化•7.4.3计算机病毒的防范对策38为了使现代防病毒技术跟上时代发展的步伐，保证网络时代信息系统安全，这就要求对付新型计算机病毒的防病毒软件必须能做到：1、全面地域Internet结合，不仅能够进行手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵。2、有快速反应的病毒检测网，在病毒爆发的第一时间即能够提供解决方案。3、完善的在线升级服务，使用户随时拥有最新的防病毒能力。4、对病毒经常攻击的应用程序提供重点保护。5、提供完整、即时的防病毒咨询，提高用户防病毒意识，尽快地使用户了解新型病毒的特征和解决方案。