《计算机网络安全技术(第二版).ppt》由会员分享,可在线阅读,更多相关《计算机网络安全技术(第二版).ppt(36页珍藏版)》请在金锄头文库上搜索。
1、第7章计算机病毒及防治 本章主要内容本章主要内容n病毒的分类、特点和特征、运行机制n反病毒涉及的主要技术n病毒的检测和防治技术、措施n防病毒软件的性能特点、选购指标、工作原理n构筑防毒体系的基本原则 123457.1计算机病毒概述n7.1.1计算机病毒的定义n“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“病毒”一词来源于生物学,因为通过分析研究,人们发现计算机病毒在很多方面与生物病毒有着相似之处。“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。7.1.2病毒的发展历史n 1计算机病毒发展简史n 2. 计算
2、机病毒在中国的发展情况7.1.3病毒的分类n病毒种类众多,分类如下:n1按感染方式分为引导型、文件型和混合型病毒n2按连接方式分为源码型、入侵型、操作系统型和外壳型病毒 n3按破坏性可分为良性病毒和恶性病毒n4网络病毒7.1.4病毒的特点和特征(1)n根据对计算机病毒的产生、感染和破坏行为的分析,总结出病毒的几个主要特点 n(1)刻意编写,人为破坏n(2)自我复制能力n(3)夺取系统控制权n(4)隐蔽性n(5)潜伏性n(6)不可预见性7.1.4病毒的特点和特征(2)n现在的计算机病毒具有如下特征:n(1)攻击对象趋于混合型n(2)反跟踪技术n(3)增强隐蔽性n(4)加密技术处理n(5)病毒繁衍
3、不同变种7.1.5病毒的运行机制(1)n病毒能隐藏在不同的地方。主要隐藏之处如下:n1)可执行文件。病毒“贴附”在这些文件上,使其能被执行。n2)引导扇区。这是磁盘和硬盘中的一个特别扇区,它包含一个程序,当启动计算机时该程序将被执行。它也是病毒可能隐藏的地点。n3)表格和文档。某些程序允许内置一些宏文件,宏文件随着该文件的打开而被执行。病毒利用宏的存在进入其当中。n4)Java小程序和ActiveX控件。这是两个最新隐藏病毒的地方。Java小程序和ActiveX控件都是与网页相关的小程序,通过访问包含它们的网页,可以执行这些程序。7.1.5病毒的运行机制(2)n典型的病毒运行机制可以分为感染、
4、潜伏、繁殖和发作四个阶段。 n(1)感染是指病毒自我复制并传播给其他程序; n(2)潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为; n(3)繁殖是病毒程序不断地由一部计算机向其他计算机进行传播的状态; n(4)发作是非法程序所实施的各种恶意行动。 7.1.5病毒的运行机制(3)n病毒的破坏行为、主要破坏目标和破坏程度取决于病毒制作者的主观愿望和其技术能力。不同的病毒,其破坏行为各不相同,现归纳如下:n(1)攻击系统数据区n(2)攻击文件n(3)攻击内存n(4)干扰系统运行,使运行速度下降n(5)干扰键盘、喇叭或屏幕n(6)攻击CMOSn(7)干扰打印机n(8)网络病
5、毒破坏网络系统7.2网络计算机病毒 n网络计算机病毒实际上是一个笼统的概念。一种情况是,网络计算机病毒专指在网络上传播、并对网络进行破坏的病毒;另一种情况是指HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。 7.2.1网络计算机病毒的特点n在网络环境中,计算机病毒具有如下一些新的特点:n(1)感染方式多n(2)感染速度快 n(3)清除难度大n(4)破坏性强n(5)可激发性n(6)潜在性7.2.2网络对病毒的敏感性(1)n1网络对文件病毒的敏感性 一般的文件病毒可以通过以下三种网络环境传播:n(1)网络服务器上的文件病毒 n(2)端到端网络上的文件病毒n(3)Inte
6、rnet上的文件病毒7.2.2网络对病毒的敏感性(2)n2网络对引导病毒的敏感性n(1)网络服务器上的引导病毒n(2)端到端网络上的引导病毒n(3)Internet上的引导病毒7.2.2网络对病毒的敏感性(3)n3网络对宏病毒的敏感性n(1)网络服务器上的宏病毒n(2)端到端网络上的宏病毒n(3)Internet上的宏病毒7.3反病毒技术n7.3.1 反病毒涉及的主要技术n1实时监视技术 n2自动解压缩技术 n3全平台反病毒技术 7.3.2病毒的检测(1)n计算机病毒对系统的破坏离不开当前计算机的资源和技术水平。对病毒的检测主要从检查系统资源的异常情况入手,逐步深入。n1异常情况判断n计算机工
7、作时,如出现下列异常现象,则有可能感染了病毒:n1)屏幕出现异常图形或画面,这些画面可能是一些鬼怪,也可能是一些下落的雨点、字符、树叶等,并且系统很难退出或恢复。n2)扬声器发出与正常操作无关的声音,如演奏乐曲或是随意组合的、杂乱的声音。n3)磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作。7.3.2病毒的检测(2)n1异常情况判断n4)硬盘不能引导系统。n5)磁盘上的文件或程序丢失。n6)磁盘读/写文件明显变慢,访问的时间加长。n7)系统引导变慢或出现问题,有时出现“写保护错”提示。n8)系统经常死机或出现异常的重启动现象。n9)原来运行的程序突然不能运行,总是出现出错
8、提示。n10)打印机不能正常启动。 7.3.2病毒的检测(3)n2计算机病毒的检查n(1)检查磁盘主引导扇区n(2)检查FAT表n(3)检查中断向量n(4)检查可执行文件n(5)检查内存空间n(6)根据特征查找7.3.3病毒的防治(1)n就像治病不如防病一样,杀毒不如防毒。防治感染病毒的途径可概括为两类:一是用户遵守和加强安全操作控制措施;二是使用硬件和软件防病毒工具。n由于在病毒治疗过程上,存在对症下药的问题,即只能是发现一种病毒以后,才可以找到相应的治疗方法,因此具有很大的被动性。而对病毒进行预防,则可掌握工作的主动权,所以治疗的重点应放在预防上。根治计算机病毒要从以下几个方面着手: 7.
9、3.3病毒的防治(2)n1建立、健全法律和管理制度n法律是国家强制实施的、公民必须遵循的行为准则。国家和部门的管理制度也是约束人们行为的强制措施。必须在相应的法律和管理制度中明确规定禁止使用计算机病毒攻击、破坏的条文,以制约人们的行为,起到威慑作用。n除国家制定的法律、法规外,凡使用计算机的单位都应制定相应的管理制度,避免蓄意制造、传播病毒的事件发生。例如,对接触重要计算机系统的人员进行选择和审查;对系统的工作人员和资源进行访问权限划分;对外来人员上机或外来磁盘的使用严格限制,特别是不准用外来系统盘启动系统;不准随意玩游戏;规定下载文件要经过严格检查,有时还规定下载文件、接收E-mail等需要
10、使用专门的终端和帐号,接收到的程序要严格限制执行等。7.3.3病毒的防治(3)n2加强教育和宣传n加强计算机安全教育特别重要。要大力宣传计算机病毒的危害,引起人们的重视。要宣传可行的预防病毒的措施,使大家提高警惕。要普及计算机硬、软件的基本知识,使人们了解病毒入侵计算机的原理和感染方法,以便及早发现、及早清除。建立安全管理制度,提高包括系统管理员和用户在内的技术素质和职业道德素质。n计算机软件市场的混乱也是造成病毒泛滥的根源之一。大量盗版的软件、光盘存在,以及非法拷贝软件、游戏盘的现象是我国计算机病毒流行的一个重要原因。因此,加强软件市场管理,加强版权意识的教育,打击盗版软件的非法出售是防止计
11、算机病毒蔓延的一种有效办法。7.3.3病毒的防治(4)n3采取更有效的技术措施n(1)系统安全n(2)软件过滤n(3)文件加密n(4)生产过程控制n(5)后备恢复n(6)其他有效措施 7.3.3病毒的防治(5)n4网络计算机病毒的防治n网络防病毒不同于单机防病毒,单机版的杀毒软件并不能在网络上彻底有效地查杀病毒。网络计算机病毒的防治是一个颇让人棘手但又很简单的问题,在实际应用中,多用几种防毒软件比较好,因为每一种防毒软件都有它的特色,几种综合起来使用可以优势互补,产生最强的防御效果。防范网络病毒应从两方面着手。第一,加强网络管理人员的网络安全意识,有效控制和管理内部网与外界进行数据交换,同时坚
12、决抵制盗版软件的使用;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品 7.3.3病毒的防治(6)n5电子邮件病毒的防范措施n电子邮件病毒一般是通过邮件中“附件”夹带的方法进行扩散,无论是文件型病毒或是引导型病毒,如果用户没有运行或打开附件,病毒是不会被激活的(Bubbleboy除外);如果运行了该附件中的病毒程序,才能够使计算机染毒。对于各E-mail用户而言,杀毒不如防毒。知道了这一点,对电子邮件病毒就可以从下面几个方面采取相应的防范措施了。7.4软件防病毒技术 n防治计算机病毒的最常用方法是使用防病毒软件。但使用防病毒软件是治标不治本的办法,一旦有新的计算机病毒出
13、现,防病毒软件就要被迫相应地升级,它永远落后于计算机病毒的发展,所以计算机病毒的防治根本还是在于完善操作系统的安全机制。 7.4.1防病毒软件的选择(1)n1防病毒软件的性能特点 好的防病毒软件具有如下性能特点:n(1)能实时监控病毒可能的入口。n(2)能扫描多种文件,包括:压缩文件,电子邮件,网页和下载的文件等。n(3)能定期更新。n(4)用户界面友好,能进行远程安装和管理。n(5)服务优良,技术支持及时、到位,即发现一个新病毒后很短时间内就能获得防治方法。 7.4.1防病毒软件的选择(2)n2防病毒软件的选购指标n选购防病毒、杀病毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技
14、术支持水平、升级的难易度、可管理性和警示手段等多个方面。7.4.1防病毒软件的选择(3)n3上网一族常用的防病毒软件n经常上网的计算机用户常被病毒的侵袭而困扰:上网之后,不仅可执行文件会带有病毒,就连Word文件,E-mail信件都可能带入病毒。上网一族应多装载一些著名的防杀毒软件,以防万一。从下面的站点:http:/ 7.4.1防病毒软件的选择(4)n4著名杀毒软件公司的站点地址n随着世界范围内计算机病毒的大量流行,病毒编制花样不断变化,反病毒软件也在经受一次又一次考验,各种反病毒产品也在不断地推陈出新、更新换代。这些产品的特点表现为技术领先、误报率低、杀毒效果明显、界面友好、良好的升级和售
15、后服务技术支特、与各种软硬件平台兼容性好等方面。常用的反病毒软件有瑞星、金山毒霸等。7.4.2防病毒软件工作原理n防病毒软件按其工作原理可分为病毒扫描程序、内存扫描程序、完整性检查器和行为监视器。n1病毒扫描程序n2内存扫描程序n3完整性检查器n4行为监视器7.4.3构筑防病毒体系的基本原则n1化被动为主动n2全方位保护 n3技术管理双保险n4循序渐进部署合适的防病毒体系 7.4.4金山毒霸网络版中小企业网络防病毒解决方案n金山公司以金山毒霸网络版为核心,采用单级管理、多重防护的整体架构,对网络中的电子邮件、文件、网页等进行全面防护。 本章复习重点n病毒的分类、特点和特征、运行机制n反病毒涉及
16、的主要技术n病毒的检测和防治技术、措施n防病毒软件的性能特点、选购指标、工作原理n构筑防毒体系的基本原则习题七 (1)n 7-1简述计算机病毒的定义、分类、特点、感染途径。n7-2典型的病毒运行机制可以分为哪四个阶段。n7-3简述网络计算机病毒的特点,网络对病毒的敏感性。n7-4试述反病毒涉及的主要技术。n7-5感染病毒的计算机会出现哪些异常情况?n7-6什么是网络病毒,防治网络病毒的要点是什么?详述电子邮件病毒的防范措施。习题七 (2)n 7-7根治计算机病毒要从哪几个方面着手?n7-8简述防病毒软件的性能特点、选购指标。n7-9简述防病毒软件的工作原理。n7-10简述构筑防病毒体系的基本原则。n7-11上机练习一:熟练地使用KV3000杀毒软件,备份硬盘主引导文件。n7-12上机练习二:金山毒霸网络版或其他具有网络杀毒功能的应用软件的安装与配置、使用。并用其检测你的网络系统,将实验结果写成分析报告。第七章完谢谢大家! 谢谢大家! 谢谢大家!
