《计算机病毒及其预防.ppt》由会员分享,可在线阅读,更多相关《计算机病毒及其预防.ppt(42页珍藏版)》请在金锄头文库上搜索。
1、第第1212章章 计算机病毒及其预防计算机病毒及其预防 第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.1 计算机病毒的起源计算机病毒的起源12.2 计算机病毒的概念计算机病毒的概念 12.3 计算机病毒的预防计算机病毒的预防12.4 常用杀毒软件介绍常用杀毒软件介绍思考与练习题思考与练习题第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.1 12.1 计算机病毒的起源计算机病毒的起源 病毒不是来源于突发或偶然的原因,一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。病毒则是一种比较完美的、严谨的代码,按照严格的秩序
2、组织起来,与所在的系统网络环境相适应和配合。病毒不会偶然形成,并且需要一定的长度,这个基本长度从概率上来讲是不可能通过随机代码产生的。第第1212章章 计算机病毒及其预防计算机病毒及其预防 病毒是人为的特制程序。现在流行的病毒都是人为编写的,多数病毒可以找到作者信息和产地信息。通过大量的资料分析统计来看,病毒产生的原因是:一些天才的程序员为了表现和证明自己的能力,或出于对上司的不满、好奇、报复、得到控制口令等个人目的,而编写的具有破坏性的计算机程序。当然,也有因政治、军事、宗教、民族、专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。 第第1212章章 计算机病毒及其预
3、防计算机病毒及其预防 12.2 计算机病毒的概念计算机病毒的概念 12.2.1 计算机病毒的定义计算机病毒的定义计算机病毒在中华人民共和国计算机信息系统安全保护条例中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.2.2 计算机病毒的特征计算机病毒的特征计算机病毒一般具有如下特征:1病毒的传染性病毒的传染性传染性是所有病毒程序都具有的共同特性。源病毒具有很强的再生能力,在系统运行过程中,病毒程序通过修改磁盘扇区信息或文件内容,并把自身嵌入其中,
4、进而不断地进行病毒的传染和扩散。 第第1212章章 计算机病毒及其预防计算机病毒及其预防 2病毒的破坏性病毒的破坏性病毒程序一旦侵入当前的程序体内,就会很快扩散到整个系统,凡是软件手段能触及到的地方,均可能受到计算机病毒的危害。于是,就表现出破坏磁盘文件的内容、删除数据、修改文件、抢占CPU时间和内存空间、打乱屏幕的显示,从而中断一个大型计算中心的正常工作或使一个计算机网络系统瘫痪,甚至造成灾难性的后果。第第1212章章 计算机病毒及其预防计算机病毒及其预防 3病毒的隐蔽性病毒的隐蔽性计算机病毒的隐蔽性表现在两方面:一是传染的隐蔽性,大多数病毒在进行传染时速度极快,一般没有外部表现,不易被人发
5、现;二是病毒存在的隐蔽性,病毒程序大多潜伏在正常的程序之中,在其发作或产生破坏作用之前,一般不易被察觉和发现,而一旦发作,往往已经给计算机系统造成了不同程度的破坏。4病毒的潜伏性病毒的潜伏性病毒具有依附其它媒体而寄生的能力。病毒侵入系统后,一般不立即发作,它可以在几周、几个月或更长时间内,在系统的备份设备内复制和传染病毒程序而不被发现,在满足激发条件时才发作。第第1212章章 计算机病毒及其预防计算机病毒及其预防 5病毒的可激发性病毒的可激发性等满足一定的条件时,通过外界刺激可使病毒程序活跃起来。激发是一种条件控制,根据病毒炮制者的设定,如在某个时间或日期、特定的用户标识符的出现、特定文件的出
6、现或使用、一个文件使用的次数等。病毒程序在运行时,每次都要检测发作条件,在条件得到满足时,使病毒体激活并对正常程序发起攻击。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.2.3 计算机病毒的分类计算机病毒的分类计算机病毒的种类很多,据资料统计,目前已发现的计算机病毒约有数万种,而且极易生成许多新的变种病毒。对于计算机病毒可以从不同的角度进行分类。1病毒入侵的途径病毒入侵的途径根据入侵的途径,计算机病毒可分为以下几类:(1) 源码型病毒 (Source Code Viruses):该病毒在源程序被编译之前,插入到FORTRAN、COBOL、PASCAL、C等编写的源程序中。由于编
7、制这类病毒程序的难度较大,且受病毒程序感染的程序对象有一定的限制,故此类病毒较为少见。第第1212章章 计算机病毒及其预防计算机病毒及其预防 (2) 入侵型病毒(Instrusive Viruses):该病毒一般是针对某些特定程序而写的,它是把病毒程序的一部分插入到主程序。它一旦侵入到某个程序中,若不破坏主程序就难以除掉病毒程序。此类病毒编写也较难。(3) 操作系统型病毒(Operating System Viruses):该病毒试图加入或替代部分操作系统进行工作。它能将正常DOS等系统盘上的引导程序搬移到其它扇区,使自身占据磁盘引导扇区,在DOS等启动时,病毒乘机进入计算机内存,使系统处于带
8、毒状态,造成病毒程序对系统持续不断地传染和攻击。常见的“小球”、“大麻”等病毒均属此类。第第1212章章 计算机病毒及其预防计算机病毒及其预防 (4) 外壳型病毒(Shell Vireses):该病毒常隐藏在主程序的首尾,一般情况下对原来的程序不作修改。由于这种病毒易于编制,大约有半数以上的病毒是采用这种方式传播的。这种病毒也容易检测和清除,只要检测可执行文件的大小便可发现它们,采用简单覆盖方法即可清除。以上所述的外壳型、入侵型和源码型病毒均属文件型病毒,它们攻击的对象是文件。目前,出现最多的病毒是操作系统型和外壳型,其中外壳型病毒更为多见。第第1212章章 计算机病毒及其预防计算机病毒及其预
9、防 2病毒破坏程度病毒破坏程度根据破坏程度,计算机病毒可分为如下两类:(1) 良性病毒:良性病毒只对系统的正常工作进行某些干扰,但不破坏磁盘数据和文件,如“小球”病毒。(2) 恶性病毒:恶性病毒的危害性很大,它一旦发作,就会删除和破坏磁盘数据和文件内容,使系统处于瘫痪状态,如“黑色星期五”病毒。第第1212章章 计算机病毒及其预防计算机病毒及其预防 3病毒攻击的机型病毒攻击的机型根据攻击的机型,计算机病毒可分为如下几类:(1) 攻击微型机的病毒:此类病毒是目前世界上存在最广泛的计算机病毒,大约有4000多种。(2) 攻击小型机的病毒:小型机的应用范围极为广泛,它既可以作为计算机网络的结点机,也
10、可以作为网络的主机。自1988年11月Internet网络受到Worm(蠕虫)病毒攻击后,人们开始重视了病毒对小型机的进攻。第第1212章章 计算机病毒及其预防计算机病毒及其预防 (3) 攻击工作站的病毒。(4) 攻击大型机的病毒目前还没发现,但很难肯定计算机病毒不会对大型机进行攻击。4攻击的系统攻击的系统根据攻击的系统,计算机病毒可分为如下几类:(1) 攻击DOS系统的病毒;(2) 攻击Windows系统的病毒;(3) 攻击UNIX系统的病毒;(4) 攻击OS/2系统的病毒。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.2.4 变型病毒变型病毒变型病毒又称幽灵病毒,这一类病毒
11、使用一个复杂的算法,使自己所传播的一份都具有不同的内容和长度。它们一般是由一段混有无关指令的解码算法和被变化过的病毒体组成的。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.3 计算机病毒的预防计算机病毒的预防 12.3.1 计算机感染病毒的常见现象计算机感染病毒的常见现象计算机感染病毒后的表现形式主要有以下几种情况:1机器不能正常启动机器不能正常启动加电后机器根本不能启动,或者可以启动,但所需的时间比原来的启动时间变长了;有时会突然出现黑屏现象。第第1212章章 计算机病毒及其预防计算机病毒及其预防 2运行速度降低运行速度降低如果发现在运行某个程序时,读取数据的时间比原来长,存
12、文件或调文件的时间都增加了,那就可能是由于病毒造成的。3磁盘空间迅速变小磁盘空间迅速变小由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。第第1212章章 计算机病毒及其预防计算机病毒及其预防 4文件内容和长度有所改变文件内容和长度有所改变一个文件存入磁盘后,本来它的长度和内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码,有时文件内容无法显示或显示后又消失了。5经常出现经常出现“死机死机”现象现象正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。如果机器经常死机,那可能是由于系统被病毒感染了。第第121
13、2章章 计算机病毒及其预防计算机病毒及其预防 6外部设备工作异常外部设备工作异常 因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。以上仅列出一些比较常见的病毒表现形式,肯定还会遇到一些其他的特殊现象,这就需要由用户自己判断了。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.3.2 计算机病毒的预防方法计算机病毒的预防方法1预防病毒的传播预防病毒的传播计算机病毒应以预防为主,而预防计算机病毒,主要是堵塞病毒的传播途径。目前,病毒的主要传播途径是通过计算机网络和软件。网络中的共享文件一旦感染上病毒,病毒就会以
14、很快的速度传播到各个网点上。隐藏病毒的软盘只要在无毒的机器上一经使用,该机的内存、硬盘就会被感染而成为新的病源。为了防止病毒的传播,可以采取的措施是:(1) 管理上应制定出严格的规章制度。第第1212章章 计算机病毒及其预防计算机病毒及其预防 系统软盘应指定专用,并有写保护;有硬盘的机器,一律从硬盘启动,不用软盘启动。 严禁在工作机器上进行游戏。有很多游戏软件为了防止拷贝,使用了一些加密手段,并带有病毒,作为对非法拷贝者的惩罚。凡不需要再写入数据或不再修改的软盘,都应采取写保护。在系统中不应使用来历不明的软盘,对交换的软件或数据文件,使用前必须先检查,确定无病毒后方可使用。对重要的系统盘、数据
15、盘及硬盘中的重要文件,要经常进行备份,以使系统或数据遭到破坏后能及时得到恢复。第第1212章章 计算机病毒及其预防计算机病毒及其预防 对网络上的计算机用户,要遵守网络软件的使用规定,不能在网络上随意使用外来的软件。定期检查软盘、硬盘和系统,以便及时发现和清除病毒。(2) 用技术手段实现对病毒的预防措施。病毒防治的技术措施,目前最常用的是利用防病毒卡和防病毒软件。防病毒卡和防病毒软件对病毒能起到预防作用。防病毒软件的应用:防病毒软件种类很多,如以在DOS6.0以上版本提供的防病毒软件VSAFE为例,VSAFE运行后驻留于内存,担任在线病毒警戒,监视计算机是否有病毒,若发现病毒,则显示告警信息。第
16、第1212章章 计算机病毒及其预防计算机病毒及其预防 防病毒卡的应用:防病毒卡是一种将软件和硬件相结合的防毒技术。它被制成一块插件板,插于主机箱内的扩展槽中。其优点是不占内存,在系统启动时,防病毒卡上的程序能为系统自动地运行,即开机后立即监视系统的各种异常举动,如异常的磁盘读写操作等。它只允许合法程序驻留系统内存,不允许非法程序在内存中常驻,出现异常情况及时报警。防病毒卡的种类很多,使用时参阅防病毒卡手册。第第1212章章 计算机病毒及其预防计算机病毒及其预防 (3) 尽早察觉计算机病毒。一般来说,不论何种病毒,一旦侵入系统,都会或多或少、或隐或显地给系统带来不正常的现象,根据这些现象可以及早
17、发现病毒,并及时把它们从计算机中清除掉。下面一些现象可以作为发现病毒的参考: 屏幕上的异常现象:当屏幕出现一些非正常信息、特殊符号、异常画面,如白斑、圆点等,或屏幕突然变暗,信息消失等现象,应考虑到可能是病毒感染。第第1212章章 计算机病毒及其预防计算机病毒及其预防 系统运行时的异常现象:系统启动速度变慢或系统运行速度变慢;机器常出现死机或不能正常启动的现象;系统设备无故不能使用;内存空间变小。绝大部分病毒要通过驻留内存进行传染,驻留内存肯定要占据一定的内存空间。如果用CHKDSK命令或MEM命令检查用户可用内存时,会发现比原来小。第第1212章章 计算机病毒及其预防计算机病毒及其预防 程序
18、装入的时间比平时长、运行异常;中断向量被无故修改;原来能正常执行的程序在执行过程中出现异常或死机。磁盘及磁盘启动的异常现象:磁盘上非正常出现坏扇区;一些程序或数据丢失,文件不能辨识,或发现不知来源的隐藏文件;文件长度变长,这是因为病毒程序加进到正常文件中所致; 第第1212章章 计算机病毒及其预防计算机病毒及其预防 磁盘空间突然变小或不识别磁盘设备;在进行其它操作时,系统无故在读写磁盘,表现为磁盘驱动器指示灯亮。打印机的异常现象:打印机速度变慢,或不能正常打印,或打印异常符号。总之,机器在运行中,凡出现无法解释的非正常现象,就很可能是感染病毒,应及时检测和消除病毒。第第1212章章 计算机病毒
19、及其预防计算机病毒及其预防 2检测和消除病毒检测和消除病毒为了阻止计算机病毒的扩散,一方面要预防,一方面还需经常检测和消除病毒。检测和消除病毒的方法有两种,一是人工检测和消除,一是软件检测和消除。人工检测和消除难度大,技术复杂,而软件检测和消毒方法则操作简单、使用方便,适合于一般的计算机用户使用。用于检测和消毒的软件种类很多:(1) 瑞星科技股份有限公司研制的瑞星杀毒软件。(2) 金山公司研制开发的金山毒霸。(3) 江民公司研制开发的江民杀毒王。第第1212章章 计算机病毒及其预防计算机病毒及其预防 除上面列举的之外,还有很多其他的检测和杀毒软件,这里不一一列举。需要说明的是,由于新的计算机病
20、毒可能不断出现,因此新的杀毒软件版本也会随之产生。对用户来说,就必须不断更新杀毒软件版本,才可能有效地预防和消除新的计算机病毒。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.4 常用杀毒软件介绍常用杀毒软件介绍 12.4.1 瑞星杀毒软件瑞星杀毒软件图12-1所示为瑞星杀毒软件的主程序界面。该主程序界面包括“操作”、“视图”、“设置”、“帮助”四个主要菜单项,在“查杀目录”中显示有当前待扫描的目标。在右窗格上方,显示了软件的当前版本和更新日期。在右窗格中央区域是信息中心,在未连接网络的情况下显示瑞星杀毒软件徽标,在连接网络的情况下显示瑞星网站主页,在查杀病毒时显示病毒的详细信息
21、,在下方还会显示扫描病毒的进度条。在右窗格下方,包括“查杀病毒”、“详细设置”和“在线升级”三个主要操作按钮。第第1212章章 计算机病毒及其预防计算机病毒及其预防 图12-1 瑞星杀毒软件的主程序界面 第第1212章章 计算机病毒及其预防计算机病毒及其预防 瑞星公司是目前中国最大的提供全系列反病毒及信息安全产品的专业厂商,软件产品全部拥有自主知识产权。在2000年中国公安部组织的所有在中国境内销售的病毒防治产品统一标准评测中,“瑞星杀毒软件”单机版、网络版双双荣获总分第一的殊荣,是中国主流的信息安全产品和服务提供商。采用瑞星独创的智能解包还原技术,解决了杀毒软件无法有效查杀因使用各种公开、非
22、公开的自解压程序对病毒进行压缩打包而产生大量变种病毒的世界难题,彻底根治此类变种病毒造成的危害。第第1212章章 计算机病毒及其预防计算机病毒及其预防 瑞星首创的“行为判断查杀未知病毒”技术再次实现突破,不仅可查杀 DOS 、邮件、脚本以及宏病毒等未知病毒,还可自动查杀 Windows 未知病毒。在国际上率先使杀毒软件走在了病毒前面,并将防病毒能力拓展到防范 Windows 新病毒。通过对实时监控系统的全面优化集成,使文件系统、内存系统、协议层邮件系统及互联网监控系统的多层次实时监控有机融合成单一系统,各个子系统更好地协调工作,使监控系统更有效地与脚本解释器的多层次实时监控完整地融合,有效降低
23、了系统资源消耗,提升了监控效率,让您可以放心地打开陌生文件和网页、邮件。第第1212章章 计算机病毒及其预防计算机病毒及其预防 瑞星杀毒软件在秉承传统特征值扫描技术的基础上,又增加了瑞星独有的行为模式分析(BMAT)和脚本判定(SVM)两项查杀病毒技术。检测内容经过三重检测和分析,既能通过特征值查出已知病毒,又可以通过程序分析出未知的病毒。三个杀毒引擎相互配合,从根本上保证了系统的安全。瑞星杀毒软件采用国际领先的 VST II 病毒扫描引擎技术,该技术是一项多引擎技术,可快速、全面地查杀DOS、Windows 3.x/9x/Me/NT/2000/XP/2003 等操作系统平台上的病毒。在公安部
24、举行的杀毒软件评测中,瑞星杀毒软件名列第一,在很大程度上归功于此技术。 第第1212章章 计算机病毒及其预防计算机病毒及其预防 采用超容压缩数据保护技术,无须用户干预,定时自动保护电脑系统中的核心数据,即使在硬盘数据遭到病毒破坏,甚至格式化硬盘后,都可以迅速恢复硬盘中的宝贵数据。通过屏保杀毒功能,计算机会在运行屏幕保护程序的同时,启动瑞星杀毒软件进行后台杀毒,充分利用计算机空闲时间。在Internet连接状态下,程序的主界面会自动获取瑞星网站公布的最新信息。诸如重大病毒疫情预警、最新安全漏洞和安全资讯等信息,用户能及时做好相应的预防措施。上网用户再也不必为软件升级操心,主动式智能升级技术会自动
25、检测最新的版本,只需轻松点一下鼠标,系统将自动为您升级。第第1212章章 计算机病毒及其预防计算机病毒及其预防 瑞星最新提供的注册表修复工具,可以帮助您快速修复被病毒、恶意网页篡改的注册表内容,排除故障,保障系统安全稳定。用户可在瑞星设置中快速灵活的选择已定制的安全级别设置:低安全级别、中安全级别和高安全级别,也能在自定义级别设置中按照传统方式自行调整。 使用瑞星杀毒软件的光盘即可引导系统,直接查杀病毒,并能够自动寻找和使用硬盘中的最新版本进行病毒查杀。瑞星杀毒软件支持 DOS、Windows、UNIX 等系统的几十种压缩格式,如ZIP、GZIP、ARJ、CAB、RAR、ZOO、ARC等,使得
26、病毒无处藏身,并且支持多重压缩以及对ZIP、RAR、ARJ、ARC、LZH等多种压缩包内文件的杀毒。第第1212章章 计算机病毒及其预防计算机病毒及其预防 12.4.2 金山毒霸金山毒霸金山毒霸具有双引擎杀毒设计。一是由金山公司自主开发研制的杀毒引擎,融入快速命令查毒、虚拟机杀毒、规则语言查毒等国际先进技术。二是俄罗斯科学院计算中心研制开发的Dr.Web杀毒软件的杀毒引擎。这两种独具特色的杀毒引擎使金山毒霸在功能上得以互补和增强,杀毒效果更为显著。图12-2所示为金山毒霸的主界面。金山毒霸提供功能完善的病毒隔离系统,在将可疑文件放入金山毒霸病毒隔离系统之前自动对可疑文件进行压缩,以节省大量的硬
27、盘空间。第第1212章章 计算机病毒及其预防计算机病毒及其预防 金山毒霸查毒种类多,查毒范围广,可快速防治新病毒;可查杀传统的DOS、Windows和Word、Excel宏病毒,还能查杀国内其他反病毒软件尚不能处理的Word 2000XP宏病毒,以及Java、HTML、VBScript、JavaScript等多种新型病毒;可查杀数百种黑客程序、特洛伊木马和蠕虫病毒及其变种;可查杀超过28 000种病毒家族及各类变种。金山毒霸可检测包括ZIP、CAB、RAR、ARJ等多种流行压缩和自解压文件内的病毒,可检测包含在E-mail附件的病毒。第第1212章章 计算机病毒及其预防计算机病毒及其预防 图1
28、2-2 金山毒霸的主界面 第第1212章章 计算机病毒及其预防计算机病毒及其预防 金山毒霸具备病毒防火墙实时反病毒技术。金山毒霸防火墙能够自动检测、清除来自软盘、硬盘、光盘、网络邻居、网络服务器、Internet、E-mail等途径的病毒,任何文件打开、关闭、保存、读、写、拷贝、移动、压缩和解压缩等操作都能被自动监控。金山毒霸支持网络路径查杀病毒。金山毒霸能够方便地查杀网上邻居、服务器、共享目录中的病毒,直接支持如“NTSVR1SOFTWAREKINGSOFT”形式的网络路径,无需映射驱动器。金山毒霸拥有最新的硬盘修复工具。金山毒霸硬盘数据修复工具主要提供的功能有硬盘数据备份、硬盘数据恢复和分区表重建。第第1212章章 计算机病毒及其预防计算机病毒及其预防 小结小结本章主要介绍了计算机病毒的概念和起源,并对计算机病毒的预防方法给出了阐述,最后介绍了常用杀毒软件瑞星和金山毒霸的界面和功能。这里要说明一点的是,计算机新病毒每天都在不断的出现,各种杀毒软件也不是万能的。在使用杀毒软件的时候,我们必须保持严肃而科学的态度来对待:使用正版杀毒软件,使用最新版本的杀毒软件,及时下载杀毒软件升级包以增加查杀病毒的数量和查杀新型病毒的能力。第第1212章章 计算机病毒及其预防计算机病毒及其预防 思考与练习题思考与练习题 1什么是计算机病毒?2计算机病毒的预防方法有哪些?
