《计算机信息安全技术》

第6章计算机病毒防范技术本章：3学时理论讲授2学时，上机实验1学时第6章计算机病毒防范技术熟练掌握：计算机病毒程序的一般构成和基本工作原理、计算机病毒的诊断和防范措施、网络病毒的防范和清除。掌握：计算机病毒的特征和分类、杀毒软件的选择和使用。了解：计算机病毒的定义和特征、宏病毒分析和蠕虫病毒的分析、清除计算机病毒的原则。第6章计算机病毒防范技术6.1计算机病毒概述6.2计算机病毒分析6.3计算机病毒的诊断和防范本章小结实验13-2杀毒软件的配置与使用6.1计算机病毒概述6.1.1计算机病毒的起源1983年11月3日，弗雷德.科恩（FredCohen）博士研制出了一种在运行过程中可以复制自身的破坏性程序。伦.艾德勒曼（LenAdleman）将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出，提出8小时候后，专家们在VAX11/750计算机系统上运行这个程序，第一个病毒实验成功。1988年底，我国国家统计部门发现的小球病毒是我国最早发现的计算机病毒。业界较为一致的看法：计算机病毒起源于“磁芯大战”，大家公认的计算机病毒的起源地是美国。6.1计算机病毒概述6.1.2计算机病毒的定义和特征广义上，能够引起计算机故障，破坏计算机数据的程序都可称为计算机病毒。狭义上，特别是我国“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒的主要特征：破坏性、传染性、隐蔽性、寄生性、潜伏性、可触发性、针对性、不可预见性。计算机病毒的破坏性、传染性、隐蔽性是计算机病毒的基本特征。6.1计算机病毒概述6.1.3计算机病毒的分类根据各种计算机病毒的特点及特征可把计算机病毒大致归结为以下几种类型：1.引导型病毒2.文件型病毒3.复合型病毒4.宏病毒5.特洛伊木马型病毒6.蠕虫病毒7.破坏性程序病毒8.网页病毒传统型病毒6.2计算机病毒分析6.2.1计算机病毒程序的组成计算机病毒程序一般由三大模块组成：引导模块、传染模块、破坏/表现模块。对任何一个病毒程序来说，引导模块、传染模块是必不可少的，而破坏/表现模块可以直接隐含在传染模块中，也可以单独构成一个模块。传染模块和破坏/表现模块这两个模块中分别包含一段触发条件的检查代码，检查是否满足传染和破坏的触发条件，只有在满足相应的条件时，计算机病毒才会进行传染和破坏。6.2计算机病毒分析6.2.1计算机病毒程序的组成1.引导模块引导模块的作用是把计算机病毒由外存引入到内存，使传染模块和破坏/表现模块处于活动状态。2.传染模块传染模块的主要作用是将病毒传染到其他对象上去。该模块通常包括两部分：传染条件判断部分和实施传染部分。3.破坏/表现模块破坏/表现模块是计算机病毒的主体模块，主要作用是实施计算机病毒的破坏/表现动作。破坏/表现模块也分为触发条件判断和实施破坏两部分。6.2计算机病毒分析6.2.2计算机病毒的工作原理1.计算机病毒标识计算机病毒对磁盘或文件进行传染后，一般都要在磁盘或宿主程序上留下自己的病毒标识。大多数计算机病毒的标识都是由26个英文字母和数字组成的字符串，它位于程序的某个特定位置。通过对计算机病毒标识的查找可以检测计算机病毒的存在。也有一些病毒没有病毒标识，比如大麻病毒。6.2计算机病毒分析6.2.2计算机病毒的工作原理2.计算机病毒的工作机制不同种类型的计算机病毒，其工作机制也各不相同。（1）引导型病毒的工作机制引导型病毒常驻计算机系统引导区，通过改变计算机系统引导区的正常分区来达到破坏的目的。（2）文件型病毒的工作机制文件型病毒的工作方式可分为3类：覆盖型、前/后附加型和伴随型。6.2计算机病毒分析6.2.3宏病毒分析1.宏病毒的工作机制宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性。宏病毒将特定的宏命令代码附加在指定的文档文件上，通过文档文件的打开或关闭操作来获得系统的控制权，实现宏病毒在不同文档文件之间的共享和传递，达到传染的目的。2.宏病毒的表现特征及危害一旦宏被执行，宏病毒就会将自身复制到其他文档文件中。感染宏病毒后的表现各不相同。6.2计算机病毒分析6.2.3宏病毒分析3.宏病毒的预防（1）将常用的模板文件改为只读属性（2）将自动执行宏的功能禁止4.宏病毒的清除（1）手工删除宏（2）使用杀毒软件清除6.2计算机病毒分析6.2.4蠕虫病毒分析1.蠕虫病毒的特点蠕虫病毒的特点:（1）利用操作系统和应用程序的漏洞主动攻击（2）传播方式的多样性（3）病毒制作技术的先进性（4）与黑客技术相结合2.蠕虫病毒的分类蠕虫病毒的分类:面向企业级的用户和局域网的蠕虫病毒、针对个人用户的蠕虫病毒。6.2计算机病毒分析6.2.4蠕虫病毒分析3.蠕虫病毒的结构蠕虫病毒的结构分为实体结构和功能结构。（1）蠕虫病毒的实体结构蠕虫病毒的实体结构分为6部分，对于一个具体的蠕虫病毒而言，可能仅有其中的几部分。6.2计算机病毒分析6.2.4蠕虫病毒分析（2）蠕虫病毒的功能结构蠕虫病毒的功能结构包括基本功能模块（搜索模块、攻击模块、传输模块、信息搜集模块、繁殖模块）和扩展功能模块（隐藏模块、破坏模块、通信模块、控制模块）两大部分。6.2计算机病毒分析6.2.4蠕虫病毒分析4.蠕虫病毒的传播蠕虫病毒的传播分三步进行，分别是扫描、攻击、复制。5.蠕虫病毒的防范蠕虫病毒是利用漏洞进行传播和攻击的。漏洞可分为两类：系统软件和应用程序的漏洞和人的缺陷。防范：分为企业级用户和个人用户两种情况对待。6.3计算机病毒的诊断和防范6.3.1计算机病毒的诊断常用计算机病毒的诊断检测方法有：特征码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。这些方法所依据的原理各不相同，实现时所需要的费用也不同，检测范围和能力各不相同，各有所长。6.3计算机病毒的诊断和防范6.3.1计算机病毒的诊断1、特征码法2、校验和法3、行为监测法4、软件模拟法5、VICE先知扫描法6.3计算机病毒的诊断和防范6.3.2计算机病毒的防范措施解决计算机病毒对计算机系统和用户造成危害的理想方法是预防，即在第一时间阻止计算机病毒进入计算机系统。1.理论上预防计算机病毒的方法计算机病毒专家弗莱德·科恩从理论上提出了预防计算机病毒的方法：（1）基本隔离法（2）分割法（3）流模型法（4）限制解释法6.3计算机病毒的诊断和防范6.3.2计算机病毒的防范措施1.理论上预防计算机病毒的方法通过对计算机病毒理论的研究，弗莱德·科恩得到了一个很有意义的结论：要使通用的系统共享和计算机病毒防护共存，实际上是不可能的，我们只能综合权衡找到一个相对来说比较合理的方案加以解决。6.3计算机病毒的诊断和防范6.3.2计算机病毒的防范措施2.制定科学的操作规范预防计算机病毒的操作规范：（1）安全启动计算机系统（2）安全使用单台计算机系统（3）对重要的数据、文件要定期备份（4）谨慎从网上下载资源文件（5）安全使用网络计算机系统（6）电子邮件病毒的防范6.3计算机病毒的诊断和防范6.3.2计算机病毒的防范措施3.建立计算机防病毒体系目前，我国已经基本建立的计算机防病毒体系大致由以下机构组成：公安部和各地公共信息网络安全监察部门、国家计算机网络与信息安全管理中心、计算机病毒防治产品检验中心、国家计算机病毒应急处理小组、计算机病毒防治产品生产与开发单位等。6.3计算机病毒的诊断和防范6.3.3网络病毒的防范网络环境下的计算机病毒的防治已成为计算机防毒领域的研究重点。1.网络病毒的特征（1）传播方式多样化（2）传播速度更快（3）难以彻底清除（4）破坏性更大（5）网络病毒触发条件的多样化（6）潜在的危险更大6.3计算机病毒的诊断和防范6.3.3网络病毒的防范2.基于网络安全体系的防护措施对于计算机安全必须给予足够的重视，增强防范意识，健全安全管理制度，加强网络管理，使用合法软件，以减少计算机病毒入侵的机会。6.3计算机病毒的诊断和防范6.3.4计算机病毒的清除一般来说，要实现计算机病毒的清除，首先必须充分了解具体病毒的工作过程和感染机理，然后按照病毒感染过程的逆过程进行逐步清除。1.清除计算机病毒的原则（1）清除计算机病毒之前，一定要备份所有重要的数据文件。（2）做好磁盘引导区文件的备份工作。6.3计算机病毒的诊断和防范6.3.4计算机病毒的清除，，，，，，，，，，（3）清除计算机病毒时，一定要保证整个清除过程是在无毒的环境下进行的，否则，计算机病毒会重新感染已经清除过病毒的文件。对于某些网络病毒，应断开网络进行杀毒。（4）清除计算机病毒时，应尽量在病毒非活动状态下进行。（5）计算机病毒的清理应全面进行。（6）操作过程中应谨慎处理，对处理的数据文件要进行认真检查、核对，确认无误后再进行相关的操作。6.3计算机病毒的诊断和防范6.3.4计算机病毒的清除2.清除计算机病毒的方法常用的清除计算机病毒的方法有：（1）杀毒软件清除法（2）主引导区信息恢复法（3）程序覆盖法（4）格式化磁盘法（5）手工清除法6.3计算机病毒的诊断和防范6.3.4计算机病毒的清除3.杀毒软件的选择使用杀毒软件来预防和查杀计算机病毒仍是大多数计算机用户的首要选择。一个比较好的杀毒软件应具有的特点：（1）首先好的杀毒软件安全性、可靠性要强，能查杀的计算机病毒的数量要多。（2）要同时有实时反病毒的“防火墙”技术。6.3计算机病毒的诊断和防范6.3.4计算机病毒的清除（3）杀毒软件运行时对系统的内存占有量要低。（4）杀毒软件恢复数据的能力要强。（5）杀毒软件要有及时的更新升级服务。本章小结通过本章的学习，大家能够系统的了解到计算机病毒方面的知识，对计算机病毒的检测和防范会有一个清晰的思路。同时，也要对计算机安全给予足够的重视，增强防范意识，健全安全管理制度，加强网络管理，以减小计算机病毒对我们的工作和生活所造成的影响。实验实训13-2杀毒软件的配置与使用1.掌握常用杀毒软件的安装与使用。2.学会使用杀毒软件进行计算机病毒和木马的查杀与清除。3.掌握常用杀毒软件的配置。