网络安全与实训教程-电子教案2

第2章计算机病毒计算机病毒（ComputerVires）其实是某些计算机高手利用计算机所固有的弱点编制的具有特殊功能指令的一种程序，是具有恶意攻击并破坏计算机软硬件的程序。这种程序和生物医学上的“病毒”一样，也有传染性和破坏性，并具有再生能力。第2章计算机病毒它会自动地通过修改其他程序并把本身嵌入其他程序或者将自身复制到其他存储介质中，从而“感染”其他程序。在满足一定条件时，该程序可干扰计算机正常工作，搞乱或破坏已存储的信息，甚至引起整个计算机系统不能正常工作。第2章计算机病毒2.1计算机病毒的原理2.2计算机病毒的表现现象2.3计算机病毒的技术防范2.4计算机病毒检测方法2.5计算机系统感染病毒后的修复2.1计算机病毒的原理2.1.1计算机病毒的产生过程2.1.2计算机病毒的基本特征2.1.3计算机病毒的产生背景2.1.4计算机病毒的来源及危害性2.1.5计算机病毒的类型2.1.1计算机病毒的产生过程计算机病毒的产生过程是：设计→传播→潜伏→触发→破坏。2.1.2计算机病毒的基本特征（1）传染性（2）隐蔽性（3）破坏性（4）潜伏性2.1.3计算机病毒的产生背景计算机病毒是计算机犯罪的一种新的衍化形式。微型计算机的普及应用为计算机病毒的产生提供了必要环境。2.1.4计算机病毒的来源及危害性计算机病毒的来源包括以下几方面。（1）计算机专业人员和业余爱好者的恶作剧、寻开心制造出的病毒，例如圆点一类的良性病毒。（2）软件公司及用户为保护自己的软件不被非法复制而采取的报复性惩罚措施。（3）用于研究或有益目的而设计的程序，由于某种原因失去控制或产生了意想不到的效果。2.1.4计算机病毒的来源及危害性对于计算机病毒，主要采取以“防”为主，以“治”为辅的方法，阻止病毒的侵入比病毒侵入后再去发现和排除它重要得多。2.1.4计算机病毒的来源及危害性1．预防和堵塞病毒传播的主要途径（1）应该谨慎使用公共和共享的软件，因为这种软件使用的人多而杂，所以它们携带病毒的可能性较大。（2）应尽量不使用办公室外带来的软盘，特别是在公用计算机上使用过的软盘，以及本办公室职员带回家使用过的软盘，减少被感染的机率。2.1.4计算机病毒的来源及危害性（3）密切关注有关媒体发布的反病毒信息，特别是某些定期发作的病毒，如CIH病毒会在4月26日发作等，在这个时间不开计算机。（4）保护所有系统盘和文件。（5）提高病毒防范意识，使用软件时，尽量用正版软件，尽可能不使用盗版软件和来历不明的软件。2.1.4计算机病毒的来源及危害性（6）除非是原始盘，否则绝不用软盘去引导硬盘。不要随意复制、使用不明来源的软盘、光盘。对外来盘要查、杀毒，确认无毒后再使用。自己的软盘也不要拿到别的计算机上使用。（7）对重要的数据、资料、CMOS以及分区表要进行备份，创建一张无毒的启动软盘，用于重新启动或安装系统。2.1.4计算机病毒的来源及危害性（8）安装正版杀毒软件，定期用正版杀毒软件对引导系统进行查毒、杀毒。建议配备多套杀毒软件，因为每种杀毒软件都有自己的特点，用不同种杀毒软件进行交叉杀毒则可以确保杀毒的效果，并且对杀毒软件要及时进行升级。2.1.4计算机病毒的来源及危害性（9）使用病毒防火墙，病毒防火墙具有实时监控的功能，能抵抗大部分的病毒入侵。很多杀毒软件都带有病毒防火墙功能。但是对于计算机的各种异常现象，即使安装了“防火墙”系统，也不要掉以轻心，因为杀毒软件对未知的病毒也是无可奈何的。2.1.4计算机病毒的来源及危害性（10）将新搬到本办公室的机器“消毒”后再使用。（11）绝不把用户数据或程序写到系统盘上。（12）绝不执行不知来源的程序。2.1.4计算机病毒的来源及危害性2．目前发现的计算机病毒的主要症状（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来，磁盘坏簇莫名其妙地增多。（2）由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量增大。（3）由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。2.1.4计算机病毒的来源及危害性（5）由于病毒程序的异常活动，造成异常的磁盘访问。（6）由于病毒程序附加或占用引导部分，使系统导引变慢。（7）丢失数据和程序。（8）中断向量发生变化。（9）打印出现问题。2.1.4计算机病毒的来源及危害性（10）死机现象增多。（11）生成不可见的表格文件或特定文件。（12）系统出现异常动作，例如，突然死机，又在无任何外界介入下自行起动。（13）出现一些无意义的画面问候语等显示。2.1.4计算机病毒的来源及危害性（14）程序运行出现异常现象或不合理的结果。（15）磁盘的卷标名发生变化。（16）系统不认识磁盘或硬盘不能引导系统等。2.1.4计算机病毒的来源及危害性（17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。（18）在使用未写保护的软盘时，屏幕上出现软盘写保护的提示。（19）异常要求用户输入口令。2.1.5计算机病毒的类型计算机病毒按破坏性可分为以下4类。（1）良性病毒（2）恶性病毒（3）极恶性病毒（4）灾难性病毒2.1.5计算机病毒的类型按其传染方式分为以下3类。（1）文件型病毒（2）混合型病毒（3）宏病毒2.1.5计算机病毒的类型按连接方式可将病毒分为以下4种。（1）源码型病毒（2）入侵型病毒（3）操作系统型病毒（4）外壳型病毒2.1.5计算机病毒的类型根据病毒特有的算法可将病毒分为以下5种。（1）伴随型病毒（2）“蠕虫”型病毒（3）寄生型病毒（4）练习型病毒（5）诡秘型病毒（6）变型病毒（又称幽灵病毒）2.1.5计算机病毒的类型整个病毒代码虽短小但也包含3部分：（1）引导部分（2）传染部分（3）表现部分2.2计算机病毒的表现现象2.2.1计算机病毒发作前的表现现象2.2.2计算机病毒发作时的表现现象2.2.3计算机病毒发作后的表现现象2.2.1计算机病毒发作前的表现现象1．平时运行正常的计算机突然经常性无缘无故地死机2．操作系统无法正常启动3．运行速度明显变慢4．以前能正常运行的软件经常发生内存不足的错误5．打印和通信发生异常2.2.1计算机病毒发作前的表现现象6．无意中要求对软盘进行写保护操作7．以前能正常运行的应用程序经常发生死机或者非法错误8．系统文件的时间、日期或大小发生变化9．打开Word文档后，另存文件时只能以模板方式保存10．磁盘空间迅速减少2.2.1计算机病毒发作前的表现现象11．网络驱动器卷或共享目录无法调用12．基本内存发生变化13．收到陌生人发来的电子邮件14．自动链接到一些陌生的网站2.2.2计算机病毒发作时的表现现象1．提示一些不相干的话2．发出一段音乐3．产生特定的图像4．硬盘灯不断闪烁5．进行游戏算法2.2.2计算机病毒发作时的表现现象6．Windows桌面图标发生变化。7．计算机突然死机或自动重启8．自动发送电子邮件9．鼠标自己在动2.2.3计算机病毒发作后的表现现象1．硬盘无法启动，数据丢失2．系统文件丢失或被破坏3．文件目录发生混乱4．部分文档丢失或被破坏5．部分文档自动加密码2.2.3计算机病毒发作后的表现现象6．修改Autoexec.bat文件，增加FormatC：一项，导致计算机重启时格式化硬盘7．使部分可升级软件主板的BIOS程序混乱，主板被破坏8．网络瘫痪，无法提供正常的服务2.3计算机病毒的技术防范2.3.1计算机病毒的技术预防措施2.3.2网络环境下计算机病毒的防范2.3.3引导型计算机病毒的识别和防范2.3.4文件型计算机病毒的识别和防范2.3.5宏病毒的识别和防范2.3.6电子邮件计算机病毒的识别和防范2.3.1计算机病毒的技术预防措施1．新购置的计算机硬软件系统的测试2．计算机系统的启动3．单台计算机系统的安全使用4．重要数据文件要有备份2.3.1计算机病毒的技术预防措施5．不要随便直接运行或直接打开电子邮件中夹带的附件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。2.3.1计算机病毒的技术预防措施6．计算机网络的安全使用（1）安装网络服务器时，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。2.3.1计算机病毒的技术预防措施（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。2.3.1计算机病毒的技术预防措施（3）一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而是影响到整个网络的中枢。（4）为各个卷分配不同的用户权限。（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。2.3.1计算机病毒的技术预防措施（6）系统管理员的职责包括以下4点。①严格管理系统管理员的口令，不泄漏，不定期地予以更换，保护网络系统不被非法存取，不被感染上计算机病毒或遭受破坏。2.3.1计算机病毒的技术预防措施②在安装应用程序软件时，应由系统管理员进行，或由系统管理员临时授权进行。以保护网络用户使用安全无毒的共享资源。2.3.1计算机病毒的技术预防措施③系统管理员对网络内的共享电子邮件系统、共享存储区域和用户数据卷应定期进行计算机病毒扫描，发现异常情况及时处理。如果可能，应在共享的应用程序卷中安装最新版本的防杀计算机病毒软件供用户使用。2.3.1计算机病毒的技术预防措施④系统管理员在做好日常管理事务的同时，还要准备应急措施，以便及时处理计算机病毒感染的问题。2.3.2网络环境下计算机病毒的防范一、网络环境下计算机病毒的特点1．主动通过网络和邮件系统传播2．传播速度极快3．危害性极大2.3.2网络环境下计算机病毒的防范4．变种多5．难以控制6．难以根治，容易引起多次疫情7．具有病毒、蠕虫和后门（黑客）程序的功能2.3.2网络环境下计算机病毒的防范二、网络环境下计算机病毒的防治策略1．依法治毒2．建立一套行之有效的病毒防治体系3．制定严格的病毒防治技术规范2.3.3引导型计算机病毒的识别和防范引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的磁盘的BOOT区。预防引导型计算机病毒，通常采用以下一些方法。（1）坚持从不带计算机病毒的硬盘引导系统。（2）安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀病毒软件进行检查。2.3.3引导型计算机病毒的识别和防范（3）经常备份系统引导扇区。（4）某些主板上提供引导扇区计算机病毒保护功能（VirusProtect），启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件（如Windows95/98，WindowsNT以及多系统启动软件等）安装失败。2.3.4文件型计算机病毒的识别和防范大多数的计算机病毒都属于文件型计算机病毒。文件型计算机病毒一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，计算机病毒首先被运行，然后病毒驻留内存伺机传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。2.3.5宏病毒的识别和防范宏病毒（MacroVirus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件，只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。2.3.5宏病毒的识别和防范轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。