《第八章计算机病毒及防治详解》由会员分享,可在线阅读,更多相关《第八章计算机病毒及防治详解(76页珍藏版)》请在金锄头文库上搜索。
1、8 8. .1 1计计算算机机病病毒毒概概述述第八章计算机病毒及防治第八章计算机病毒及防治8.18.1计算机病毒概述计算机病毒概述8.28.2DOSDOS环境下的病毒环境下的病毒8.38.3宏病毒宏病毒8.48.4网络计算机病毒网络计算机病毒8.58.5反病毒技术反病毒技术8.68.6软软件防件防病毒病毒技术技术8.78.7典型病毒实例典型病毒实例CIHCIH病毒介绍病毒介绍8 8. .1 1计计算算机机病病毒毒概概述述本章学习目标本章学习目标(1)了了解解计计算算机机病病毒毒的的定定义义、发发展展历历史史、分分类类、特特点点、入侵途径、流行特征、破坏行为、作用机制。入侵途径、流行特征、破坏行
2、为、作用机制。(2)了了解解DOS环环境境下下的的病病毒毒、宏宏病病毒毒和和网网络络计计算算机机病病毒的分类、传染过程、防治和清除方法。毒的分类、传染过程、防治和清除方法。(3)熟熟悉悉基基本本的的反反病病毒毒技技术术,包包括括计计算算机机病病毒毒的的检检测测、防防治治与与感感染染病病毒毒后后的的修修复复;掌掌握握杀杀毒毒软软件件的的选选购购指指标标、反病毒软件的原理。反病毒软件的原理。(4)掌握如何恢复被)掌握如何恢复被CIH病毒破坏的硬盘信息。病毒破坏的硬盘信息。返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.18.1计算机病毒概述计算机病毒概述8.1.18.1.1计算机病毒
3、的定义计算机病毒的定义8.1.28.1.2计算机病毒的发展历史计算机病毒的发展历史8.1.38.1.3计算机病毒的分类计算机病毒的分类8.1.48.1.4计算机病毒的特点计算机病毒的特点8.1.58.1.5计算机病毒的隐藏之处和入侵途径计算机病毒的隐藏之处和入侵途径8.1.68.1.6现代计算机病毒的流行特征现代计算机病毒的流行特征8.1.78.1.7计算机病毒的破坏行为计算机病毒的破坏行为8.1.88.1.8计算机病毒的作用机制计算机病毒的作用机制返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.1.18.1.1计算机病毒的定义计算机病毒的定义 “计计算算机机病病毒毒”最最早早是
4、是由由美美国国计计算算机机病病毒毒研研究究专专家家F.Cohen博博士士提提出出的的。 “计计算算机机病病毒毒”有有很很多多种种定定义义,国国外外最最流流行行的的定定义义为为:计计算算机机病病毒毒,是是一一段段附附着着在在其其他他程程序序上上的的可可以以实实现现自自我我繁繁殖殖的的程程序序代代码码。在在中中华华人人民民共共和和国国计计算算机机信信息息系系统统安安全全保保护护条条例例中中的的定定义义为为:“计计算算机机病病毒毒是是指指编编制制或或者者在在计计算算机机程程序序中中插插入入的的破破坏坏计计算算机机功功能能或或者者数数据据,影影响响计计算算机机使使用用并并且且能能够够自自我我复复制制的
5、的一一组组计计算算机机指指令令或或者者程程序序代代码码”。返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.28.1.2计算机病毒的发展历史计算机病毒的发展历史1计算机病毒发展简史计算机病毒发展简史 世界上第一例被证实的计算机病毒是在世界上第一例被证实的计算机病毒是在1983年,年,出现了计算机病毒传播的研究报告。同时有人提出出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;了蠕虫病毒程序的设计思想;1984年,美国人年,美国人Thompson开发出了针对开发出了针对UNIX操作系统的病毒程序。操作系统的病毒程序。 1988年年11月月2日晚,美国康尔大学研究生
6、罗特日晚,美国康尔大学研究生罗特莫莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。的计算机都受到影响,直接经济损失近亿美元。 8 8. .1 1计计算算机机病病毒毒概概述述2计算机病毒在中国的发展情况计算机病毒在中国的发展情况 在我国,在我国,80年代末,有关计算机病毒问题的研年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。究和防范已成为计算机安全方面的重大课题。 1982年年“黑色星期五黑色星期五”病
7、毒侵入我国;病毒侵入我国;1985年在年在国内发现更为危险的国内发现更为危险的“病毒生产机病毒生产机”,生存能力和,生存能力和破坏能力极强。这类病毒有破坏能力极强。这类病毒有1537、CLME等。进入等。进入90年代,计算机病毒在国内的泛滥更为严重。年代,计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。机的主板,并可造成网络的瘫痪。8 8. .1 1计计算算机机病病毒毒概概述述3计算机病毒发展的计算机病毒发展的10个阶段个阶段(1)DOS引导阶段引导阶段 (2)DOS可执行文件阶段可执
8、行文件阶段 (3)混合型阶段)混合型阶段 (4)伴随型阶段)伴随型阶段 (5)多形型阶段)多形型阶段 (6)生成器,变体机阶段)生成器,变体机阶段 (7)网络,蠕虫阶段)网络,蠕虫阶段 (8)Windows阶段阶段 (9)宏病毒阶段)宏病毒阶段 (10)Internet阶段阶段 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.38.1.3计算机病毒的分类计算机病毒的分类病毒种类众多,分类如下:病毒种类众多,分类如下:1按按传传染染方方式式分分为为引引导导型型、文文件件型型和和混混合合型型病病毒毒2按按连连接接方方式式分分为为源源码码型型、入入侵侵型型、操操作作系系统统型和外壳型病
9、毒型和外壳型病毒3按破坏性可分为良性病毒和恶性病毒按破坏性可分为良性病毒和恶性病毒4网络病毒网络病毒返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.48.1.4计算机病毒的特点计算机病毒的特点(1)刻意编写,人为破坏)刻意编写,人为破坏 (2)自我复制能力)自我复制能力 (3)夺取系统控制权)夺取系统控制权 (4)隐蔽性)隐蔽性 (5)潜伏性)潜伏性 (6)不可预见性)不可预见性 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.58.1.5计算机病毒的隐藏之处和入侵途径计算机病毒的隐藏之处和入侵途径1病毒的隐藏之处病毒的隐藏之处 (1)可执行文件。)可执行文件。 (
10、2)引导扇区。)引导扇区。( 3)表格和文档。)表格和文档。 (4)Java小程序小程序和和ActiveX控件。控件。 2病毒的入侵途径病毒的入侵途径 (1)传统方法)传统方法 (2)Internet 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.68.1.6现代计算机病毒的流行特征现代计算机病毒的流行特征1攻击对象趋于混合型攻击对象趋于混合型 2反跟踪技术反跟踪技术 3增强隐蔽性增强隐蔽性 4加密技术处理加密技术处理 5病毒繁衍不同变种病毒繁衍不同变种 8 8. .1 1计计算算机机病病毒毒概概述述增强隐蔽性:增强隐蔽性:(1)避开修改中断向量值)避开修改中断向量值 (2)请
11、求在内存中的合法身份)请求在内存中的合法身份 (3)维持宿主程序的外部特性)维持宿主程序的外部特性 (4)不使用明显的感染标志)不使用明显的感染标志 8 8. .1 1计计算算机机病病毒毒概概述述加密技术处理加密技术处理 :(1)对程序段动态加密)对程序段动态加密 (2)对显示信息加密)对显示信息加密 (3)对宿主程序段加密)对宿主程序段加密 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.78.1.7计算机病毒的破坏行为计算机病毒的破坏行为(1)攻击系统数据区)攻击系统数据区 (2)攻击文件)攻击文件 (3)攻击内存)攻击内存 (4)干扰系统运行,使运行速度下降)干扰系统运行,
12、使运行速度下降 (5)干扰键盘、喇叭或屏幕)干扰键盘、喇叭或屏幕 (6)攻击)攻击CMOS (7)干扰打印机干扰打印机 (8)网络病毒破坏网络系统)网络病毒破坏网络系统 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.1.88.1.8计算机病毒的作用机制计算机病毒的作用机制1计算机病毒的一般构成计算机病毒的一般构成 2计算机病毒的引导机制计算机病毒的引导机制 3计算机病毒的传染机制计算机病毒的传染机制 4计算机病毒的破坏机制计算机病毒的破坏机制 8 8. .1 1计计算算机机病病毒毒概概述述一个引导病毒传染的实例一个引导病毒传染的实例 假假定定用用硬硬盘盘启启动动,且且该该硬硬盘盘已
13、已染染上上了了小小球球病病毒毒,那那么么加加电电自自举举以以后后,小小球球病病毒毒的的引引导导模模块块就就把把全全部部病病毒毒代代码码1024字字节节保保护护到到了了内内存存的的最最高高段段,即即97C0:7C00处处;然然后后修修改改INT 13H的的中中断断向向量量,使使之之指指向向病病毒毒的的传传染染模模块块。以以后后,一一旦旦读读写写软软磁磁盘盘的的操操作作通通过过INT 13H的的作作用用,计计算算机机病病毒毒的的传传染染块块便便率率先先取取得得控控制制权权,它它就就进行如下操作:进行如下操作:8 8. .1 1计计算算机机病病毒毒概概述述1)读入目标软磁盘的自举扇区()读入目标软磁
14、盘的自举扇区(BOOT扇区)。扇区)。2)判断是否满足传染条件。判断是否满足传染条件。3)如如果果满满足足传传染染条条件件(即即目目标标盘盘BOOT区区的的01FCH偏偏移移位位置置为为5713H标标志志),则则将将病病毒毒代代码码的的前前512字字节节写写入入BOOT引引导导程程序序,将将其其后后512字字节节写写入入该该簇簇,随随后后将将该该簇簇标标以以坏坏簇簇标标志志,以保护该簇不被重写。以保护该簇不被重写。4)跳转到原跳转到原INT 13H的入口执行正常的磁盘系的入口执行正常的磁盘系统操作。统操作。 8 8. .1 1计计算算机机病病毒毒概概述述一个文件病毒传染的实例一个文件病毒传染的
15、实例 假假如如VVV.COM(或或.EXE)文文件件已已染染有有耶耶路路撒撒冷冷病病毒毒,那那么么运运行行该该文文件件后后,耶耶路路撒撒冷冷病病毒毒的的引引导导模模块块会会修修改改INT 21H的的中中断断向向量量,使使之之指指向向病病毒毒传传染染模模块块,并并将将病病毒毒代代码码驻驻留留内内存存,此此后后退退回回操操作作系系统统。以以后后再再有有任任何何加加载载执执行行文文件件的的操操作作,病病毒毒的的传传染染模模块块将将通通过过INT 21H的的调用率先获得控制权,并进行以下操作:调用率先获得控制权,并进行以下操作:8 8. .1 1计计算算机机病病毒毒概概述述1)读出该文件特定部分。)读
16、出该文件特定部分。2)判断是否传染。判断是否传染。3)如如果果满满足足条条件件,则则用用某某种种方方式式将将病病毒毒代代码码与与该该可可执执行行文文件件链链接接,再再将将链链接接后后的的文文件件重重新新写写入磁盘。入磁盘。4)转转回回原原INT 21H入入口口,对对该该执执行行文文件件进进行行正正常加载。常加载。8 8. .1 1计计算算机机病病毒毒概概述述计算机病毒的传染过程计算机病毒的传染过程计算机病毒的传染过程计算机病毒的传染过程1)驻入内存。)驻入内存。2)判断传染条件。判断传染条件。3)传染。传染。 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.28.2DOSDOS环境下
17、的病毒环境下的病毒8.2.18.2.1DOSDOS基本知识介绍基本知识介绍8.2.28.2.2常见常见DOSDOS病毒分析病毒分析返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.2.18.2.1DOSDOS基本知识介绍基本知识介绍1DOS的基本结构的基本结构 2DOS启动过程启动过程 3DOS的程序加载过程的程序加载过程 4DOS的中断系统的中断系统 8 8. .1 1计计算算机机病病毒毒概概述述1DOS的基本结构的基本结构 (1)引导记录模块)引导记录模块 (2)基本输入输出管理模块)基本输入输出管理模块 (3)核心模块)核心模块 (4)SHELL模块模块 8 8. .1 1计
18、计算算机机病病毒毒概概述述2DOS启动过程启动过程 PC X86系系列列计计算算机机设设计计时时,都都使使地地址址0FFFF0H处处于于ROM区区中中,并并将将该该地地址址的的内内容容设设计计为为一一条条跳跳转转指指令令并并首首先先执执行行它它,这这样样就就将将控控制制权权交交给给了了自自检检程程序序和和ROM引引导导装装入入程程序序。启启动动过过程程为为:硬硬件件自自检检自自举举系系统统初初始始化化内内 核核 初初 始始 化化 建建 立立 系系 统统 运运 行行 环环 境境COMMAND.COM初始化。初始化。8 8. .1 1计计算算机机病病毒毒概概述述3DOS的程序加载过程的程序加载过程
19、 (1)COMMAND处理命令的过程处理命令的过程 (2).EXE文件的加载文件的加载 (3).COM文件的加载文件的加载 8 8. .1 1计计算算机机病病毒毒概概述述4DOS的中断系统的中断系统 (1)中断向量表)中断向量表 (2)中断响应过程)中断响应过程 (3)计算机病毒经常使用的中断)计算机病毒经常使用的中断 8 8. .1 1计计算算机机病病毒毒概概述述多数病毒经常使用磁盘服务中断和时钟中断。多数病毒经常使用磁盘服务中断和时钟中断。1)ROM BIOS软中断软中断INT 13H。 2)磁盘逻辑扇区读磁盘逻辑扇区读/写中断写中断INT 25H、INT 26H。 3)间隔时钟中断间隔时
20、钟中断INT 1CH。 4)时钟中断时钟中断INT 8H。是是ROM BIOS硬中断,其向量地硬中断,其向量地址为址为0000:0020H0000:0023H。 5)屏幕显示中断屏幕显示中断INT 10H。向量地址为向量地址为0000:0040H0000:0043H。 6)程序正常结束中断程序正常结束中断INT 20H。是是DOS软中断,其向软中断,其向量地址为量地址为0000:00800000:0083H。 7)系统功能调用中断系统功能调用中断INT 21H。 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.2.28.2.2常见常见DOSDOS病毒分析病毒分析1引导记录病毒引导记录
21、病毒 (1)引)引导型型病毒的传播、破坏过程病毒的传播、破坏过程 (2)引导型病毒实例:火炬病毒)引导型病毒实例:火炬病毒 2文件型病毒文件型病毒(1)文件型病毒的类型)文件型病毒的类型 (2)文件型病毒的感染方式)文件型病毒的感染方式 (3).COM文件的感染文件的感染 (4).EXE文件的感染文件的感染 (5).SYS文件的感染文件的感染 8 8. .1 1计计算算机机病病毒毒概概述述 (a)引导型病毒引导型病毒 (b)文件型病毒文件型病毒图图8.1病毒的传播、破坏过程病毒的传播、破坏过程返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.38.3宏病毒宏病毒8.3.18.3.1宏病
22、毒的分类宏病毒的分类8.3.28.3.2宏病毒的行为和特征宏病毒的行为和特征8.3.38.3.3宏病毒的特点宏病毒的特点8.3.48.3.4宏病毒的防治宏病毒的防治和清除方法和清除方法返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.3.18.3.1宏病毒的分类宏病毒的分类1公(共)用宏病毒公(共)用宏病毒这这类类宏宏病病毒毒对对所所有有的的Word文文档档有有效效,其其触触发发条条件件是是在在启启动动或或调调用用Word文文档档时时,自自动动触触发发执执行行。它它有有两两个个显显著的特点:著的特点:1) 只只 能能 用用 “Autoxxxx”来来 命命 名名 , 即即 宏宏 名名
23、 称称 是是 用用“Auto”开开头头,xxxx表表示示的的是是具具体体的的一一种种宏宏文文件件名名。如如AutoOpen、AutoClose、AutoCopy等。等。2)它它们们一一定定要要附附加加在在Word共共用用模模板板上上才才有有“公公用用”作作用用。通通常常在在用用户户不不规规定定和和另另行行编编制制其其他他的的公公用用模模板板时时,它它们们应应是是附附加加在在Normal.dot模模板板上上,或或者者首首先先要要能将自己写进这样的模板才行。能将自己写进这样的模板才行。8 8. .1 1计计算算机机病病毒毒概概述述2私用宏病毒私用宏病毒私私用用宏宏病病毒毒与与公公用用宏宏病病毒毒的
24、的主主要要区区别别是是:前前者者一一般般放放在在用用户户自自定定义义的的Word模模板板中中,仅仅与与使使用用这这种种模模板板的的Word文文档档有有关关,即即只只有有使使用用这这个个特特定定模模板板的的文文档档,该该宏宏病病毒毒才才有有效效,而而对对使使用用其其他模板的文档,私用宏病毒一般不起作用。他模板的文档,私用宏病毒一般不起作用。返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.3.28.3.2宏病毒的行为和特征宏病毒的行为和特征 宏病毒是一种新形态的计算机病毒,也是宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。可以在一种跨平台式计算机病毒。可以在Windows、
25、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒行为。等操作系统上执行病毒行为。 宏病毒的主要特征如下:宏病毒的主要特征如下:1)宏病毒会感染)宏病毒会感染.DOC文档和文档和.DOT模板文件。模板文件。 2)宏病毒的传染通常是)宏病毒的传染通常是Word在打开一个带宏在打开一个带宏病毒的文档或模板时,激活宏病毒。病毒的文档或模板时,激活宏病毒。 8 8. .1 1计计算算机机病病毒毒概概述述3)多数宏病毒包含)多数宏病毒包含AutoOpen、AutoClose、AutoNew和和AutoExit等自动宏,通过这些自动等自动宏,通过这些自动宏病
26、毒取得文档(模板)操作权。宏病毒取得文档(模板)操作权。 4)宏病毒中总是含有对文档读写操作的宏命令。)宏病毒中总是含有对文档读写操作的宏命令。5) 宏宏 病病 毒毒 在在 .DOC文文 档档 、 .DOT模模 板板 中中 以以BFF(Binary File Format)格格式式存存放放,这这是是一一种种加加密密压压缩缩格格式式,每每个个Word版版本本格格式式可可能能不不兼容。兼容。6)宏病毒具有兼容性。)宏病毒具有兼容性。 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.3.38.3.3宏病毒的特点宏病毒的特点1传播极快传播极快 2制作、变种方便制作、变种方便3破坏可能性极大破
27、坏可能性极大 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.3.48.3.4宏病毒的防治宏病毒的防治和清除方法和清除方法 Word宏病毒,是近年来被人们谈论得最宏病毒,是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比,宏病毒的防治要容编程语言编制的病毒相比,宏病毒的防治要容易得多!在了解了易得多!在了解了Word宏病毒的编制、发作过宏病毒的编制、发作过程之后,即使是普通的计算机用户,不借助任程之后,即使是普通的计算机用户,不借助任何杀毒软件,就可以较好地对其进行防冶。何杀毒软件,就可以较好地对其进行防冶。
28、1查看查看“可疑可疑”的宏的宏 2按使用习惯编制宏按使用习惯编制宏 3防备防备Autoxxxx宏宏 8 8. .1 1计计算算机机病病毒毒概概述述4小心使用外来的小心使用外来的Word文档文档 5使用选项使用选项“Prompt to Save Normal Template” 6通过通过Shift键来禁止运行自动宏键来禁止运行自动宏 7查看宏代码并删除查看宏代码并删除 8使用使用Disable Auto Marcros宏宏 9使用使用OFFICE 97的报警设置的报警设置 10设置设置Normal.dot的只读属性的只读属性 11Normal.dot的密码保护的密码保护 12创建创建Paylo
29、ad宏宏 13使用使用Word Viewer或或Word Pad 14将文档存储为将文档存储为RTF格式格式 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.48.4网络计算机病毒网络计算机病毒8.4.18.4.1网络计算机病毒的特点网络计算机病毒的特点8.4.28.4.2网络对病毒的敏感性网络对病毒的敏感性8.4.38.4.3网络病毒实例网络病毒实例电子邮件病毒电子邮件病毒返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.4.18.4.1网络计算机病毒的特点网络计算机病毒的特点在在网网络络环环境境中中,计计算算机机病病毒毒具具有如下一些新的特点:有如下一些新的特点:(1
30、)传染方式多)传染方式多 (2)传染速度快染速度快 (3)清除难度大)清除难度大 (4)破坏性强)破坏性强 (5)可激发性)可激发性 (6)潜潜在性在性 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.4.28.4.2网络对病毒的敏感性网络对病毒的敏感性1网络对文件病毒的敏感性网络对文件病毒的敏感性2网络对引导病毒的敏感性网络对引导病毒的敏感性 3网络对宏病毒的敏感性网络对宏病毒的敏感性 8 8. .1 1计计算算机机病病毒毒概概述述1网络对文件病毒的敏感性网络对文件病毒的敏感性(1)网络服务器上的文件病毒)网络服务器上的文件病毒 (2)端到端网络上的文件病毒)端到端网络上的文件病毒
31、 (3)Internet上的文件病毒上的文件病毒 8 8. .1 1计计算算机机病病毒毒概概述述2网络对引导病毒的敏感性网络对引导病毒的敏感性 (1)网络服务器上的引导病毒)网络服务器上的引导病毒 (2)端到端网络上的引导病毒)端到端网络上的引导病毒 (3)Internet上的引导病毒上的引导病毒 8 8. .1 1计计算算机机病病毒毒概概述述3网络对宏病毒的敏感性网络对宏病毒的敏感性 (1)网络服务器上的宏病毒)网络服务器上的宏病毒 (2)端到端网络上的宏病毒)端到端网络上的宏病毒 (3)Internet上的宏病毒上的宏病毒 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.4.38
32、.4.3网络病毒实例网络病毒实例电子邮件病毒电子邮件病毒1电子邮件病毒的特点电子邮件病毒的特点(1)邮件格式件格式不统一,杀毒困难不统一,杀毒困难 (2)传播速度快,传播范围广,破坏力大)传播速度快,传播范围广,破坏力大 2电子邮件病毒的防范措施电子邮件病毒的防范措施 1)首先,不要轻易打开陌生人来信中的附件文)首先,不要轻易打开陌生人来信中的附件文件。件。 2)对于比较熟悉、了解的朋友们寄来的信件,)对于比较熟悉、了解的朋友们寄来的信件,如果其信中夹带了程序附件,但是他却没有在如果其信中夹带了程序附件,但是他却没有在信中提及或是说明,也不要轻易运行。信中提及或是说明,也不要轻易运行。 8 8
33、. .1 1计计算算机机病病毒毒概概述述3)给别人发送程序文件甚至包括电子贺卡时,)给别人发送程序文件甚至包括电子贺卡时,一定要先在自己的计算机中试试,确认没有问一定要先在自己的计算机中试试,确认没有问题后再发,以免好心办了坏事。题后再发,以免好心办了坏事。 4)不不断断完完善善“网网关关”软软件件及及病病毒毒防防火火墙墙软软件件,加强对整个网络入口点的防范。加强对整个网络入口点的防范。5)使用优秀的防毒软件对电子邮件进行专门的)使用优秀的防毒软件对电子邮件进行专门的保护。保护。 6)使用防毒软件同时保护客户机和服务器。)使用防毒软件同时保护客户机和服务器。 7)使用特定的)使用特定的SMTP
34、杀毒软件。杀毒软件。 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.58.5反病毒技术反病毒技术8.5.18.5.1计算机病毒的检测计算机病毒的检测8.5.28.5.2计算计算机病毒的防治机病毒的防治8.5.38.5.3计算机感染病毒后的修复计算机感染病毒后的修复返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.5.18.5.1计算机病毒的检测计算机病毒的检测1异常情况判断异常情况判断2计算机病毒的检查计算机病毒的检查8 8. .1 1计计算算机机病病毒毒概概述述1异常情况判断异常情况判断计算机工作出现下列异常现象,则有可能感染了病毒:计算机工作出现下列异常现象,则有可
35、能感染了病毒:1)屏屏幕幕出出现现异异常常图图形形或或画画面面,这这些些画画面面可可能能是是一一些些鬼鬼怪怪,也也可可能能是是一一些些下下落落的的雨雨点点、字字符符、树树叶叶等等,并并且且系统很难退出或恢复。系统很难退出或恢复。2)扬扬声声器器发发出出与与正正常常操操作作无无关关的的声声音音,如如演演奏奏乐乐曲曲或或是随意组合的、杂乱的是随意组合的、杂乱的声音。声音。3)磁磁盘盘可可用用空空间间减减少少,出出现现大大量量坏坏簇簇,且且坏坏簇簇数数目目不不断增多,直到无法继断增多,直到无法继续工作。续工作。4)硬盘不能引导系统。)硬盘不能引导系统。5)磁盘上的文件或程序丢失。)磁盘上的文件或程序
36、丢失。 8 8. .1 1计计算算机机病病毒毒概概述述6)磁盘读)磁盘读/写文件明显变慢,访问的时间加长。写文件明显变慢,访问的时间加长。7)系系统统引引导导变变慢慢或或出出现现问问题题,有有时时出出现现“写写保保护错护错”提示。提示。8)系统经常死机或出现异常的重启动现象。)系统经常死机或出现异常的重启动现象。9)原原来来运运行行的的程程序序突突然然不不能能运运行行,总总是是出出现现出出错提示。错提示。10)打印机不能正常启动。)打印机不能正常启动。8 8. .1 1计计算算机机病病毒毒概概述述2计算机病毒的检查计算机病毒的检查(1)检查磁盘主引导扇区)检查磁盘主引导扇区(2)检查)检查FA
37、T表表(3)检查中断向量)检查中断向量(4)检查可执行文件)检查可执行文件(5)检查内存空间)检查内存空间(6)根据特征查找)根据特征查找返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.5.28.5.2计算计算机病毒的防治机病毒的防治1建立、健全法律和管理制度建立、健全法律和管理制度 2加强教育和宣传加强教育和宣传 3采取更有效的技术措施采取更有效的技术措施 4网络计算机病毒的防治网络计算机病毒的防治 8 8. .1 1计计算算机机病病毒毒概概述述采取更有效的技术措施采取更有效的技术措施 (1)系统安全)系统安全 (2)软件过滤)软件过滤 (3)文件加密)文件加密 (4)生产过程控制
38、)生产过程控制 (5)后备恢复)后备恢复 (6)其他有效措施)其他有效措施 8 8. .1 1计计算算机机病病毒毒概概述述其他有效措施其他有效措施 1)重要的磁盘和重要的带后缀重要的磁盘和重要的带后缀.COM和和.EXE的文件赋予的文件赋予只读功能,避免病毒写到磁盘上或可执行文件中。只读功能,避免病毒写到磁盘上或可执行文件中。 2)消灭传染源。消灭传染源。 3)建立程序的特征值档案。建立程序的特征值档案。4)严格内存管理。)严格内存管理。 5)严格中断向量的管理。)严格中断向量的管理。 6)强化物理访问控制措施强化物理访问控制措施 7)一旦发现病毒蔓延,要采用可靠的杀毒软件和请一旦发现病毒蔓延
39、,要采用可靠的杀毒软件和请有经验的专家处理,必要时需有经验的专家处理,必要时需报告计算机安全监察部报告计算机安全监察部门,特别要注意不要使其继续扩散。门,特别要注意不要使其继续扩散。8 8. .1 1计计算算机机病病毒毒概概述述防范计算机网络病毒的一些措施:防范计算机网络病毒的一些措施: 1)在网络中,尽量多用无盘工作站,不用或少用有软)在网络中,尽量多用无盘工作站,不用或少用有软驱的工作站。驱的工作站。 2)在网络中,要保证系统管理员有最高的访问权限,)在网络中,要保证系统管理员有最高的访问权限,避免过多地出现超级用户。避免过多地出现超级用户。 3)对对非非共共享享软软件件,将将其其执执行行
40、文文件件和和覆覆盖盖文文件件如如*.COM、*.EXE、*.OVL等等备备份份到到文文件件服服务务器器上上,定定期期从从服服务务器器上拷贝到本地硬盘上进行重写操作。上拷贝到本地硬盘上进行重写操作。4)接接收收远远程程文文件件输输入入时时,一一定定不不要要将将文文件件直直接接写写入入本本地地硬硬盘盘,而而应应将将远远程程输输入入文文件件写写到到软软盘盘上上,然然后后对对其其进行查毒,确认无毒后再拷贝到本地硬盘上。进行查毒,确认无毒后再拷贝到本地硬盘上。8 8. .1 1计计算算机机病病毒毒概概述述5)工作站采用防病毒芯片,这样可防止引导型病毒。)工作站采用防病毒芯片,这样可防止引导型病毒。6)正
41、确设置文件属性,合理规范用户的访问权限。)正确设置文件属性,合理规范用户的访问权限。 7)建立健全的网络系统安全管理制度,严格操作规程)建立健全的网络系统安全管理制度,严格操作规程和规章制度,定期作文件备份和病毒检测。和规章制度,定期作文件备份和病毒检测。 8)目目前前预预防防病病毒毒最最好好的的办办法法就就是是在在计计算算机机中中安安装装防防病病毒毒软软件件,这这和和人人体体注注射射疫疫苗苗是是同同样样的的道道理理。采采用用优优秀秀的的网网络络防防病病毒毒软软件件,如如LAN Protect和和LAN Clear for NetWare等。等。9)为解决网络防病毒的要求,已出现了病毒防火墙,
42、)为解决网络防病毒的要求,已出现了病毒防火墙,在局域网与在局域网与Internet,用户与网络之间进行隔离。用户与网络之间进行隔离。 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.5.38.5.3计算机感染病毒后的修复计算机感染病毒后的修复1修复引导记录病毒修复引导记录病毒(1)修复感染的软盘)修复感染的软盘(2)修复感染的主引导记录)修复感染的主引导记录(3)利用反病毒软件修复)利用反病毒软件修复8 8. .1 1计计算算机机病病毒毒概概述述2修复可执行文件病毒修复可执行文件病毒 即即使使有有经经验验的的用用户户也也会会认认为为修修复复文文件件病病毒毒感感染染很很困困难难。一一般
43、般要要先先用用杀杀病病毒毒软软件件杀杀毒毒,再再用用未未感感染染的的备备份份拷拷贝贝代代替替它它,这这是是修修复复被被感感染染程程序序文文件件的的最最有有效效途途径径。如如果果得得不不到到备备份份,反反病病毒毒程程序序一一般般使使用用它它们们的的病病毒毒扫扫描描器器组组件件检检测测并并修修复复感感染染的的程程序序文文件件。如如果果文文件件被被非非覆覆盖盖型型病毒感染,那么这个程序很可能会被修复。病毒感染,那么这个程序很可能会被修复。返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.68.6软软件防件防病毒病毒技术技术8.6.18.6.1防、杀毒软件的选择防、杀毒软件的选择8.6.28.
44、6.2反病毒软件反病毒软件8.6.38.6.3常用反病毒软件产品常用反病毒软件产品返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.6.18.6.1防、杀毒软件的选择防、杀毒软件的选择1防、杀毒软件的选购指标防、杀毒软件的选购指标 2上网一族常用的防、杀毒软件上网一族常用的防、杀毒软件 3著名杀毒软件公司的站点地址著名杀毒软件公司的站点地址 8 8. .1 1计计算算机机病病毒毒概概述述1防、杀毒软件的选购指标防、杀毒软件的选购指标 (1)扫描速度)扫描速度 (2)识别率)识别率 (3)病毒清除测试)病毒清除测试 8 8. .1 1计计算算机机病病毒毒概概述述2上网一族常用的防、杀
45、毒软件上网一族常用的防、杀毒软件 Commands F PROT专专 业业 版版 For Win95。Norton AntiVirus For Win95。Norton AntiVirus For WinNT。PCCillin AntiVirus For Win95。Virus Scan For Win95。Web ScanX For Win95或或NT。eSafe Protect For Win95等等。等等。8 8. .1 1计计算算机机病病毒毒概概述述3著名杀毒软件公司的站点地址著名杀毒软件公司的站点地址 表表8.1著名杀毒软件公司的著名杀毒软件公司的网址网址返回本节8 8. .1 1计
46、计算算机机病病毒毒概概述述8.6.28.6.2反病毒软件反病毒软件1病毒扫描程序病毒扫描程序 2内存扫描程序内存扫描程序 3完整性检查器完整性检查器 4行为监视器行为监视器 8 8. .1 1计计算算机机病病毒毒概概述述1病毒扫描程序病毒扫描程序 (1)串扫描算法)串扫描算法 (2)入口点扫描算法)入口点扫描算法 (3)类属解密法)类属解密法 8 8. .1 1计计算算机机病病毒毒概概述述2内存扫描程序内存扫描程序 内内存存扫扫描描程程序序采采用用与与病病毒毒扫扫描描程程序序同同样样的的基基本本原原理理进进行行工工作作。它它的的工工作作是是扫扫描描内内存存以以搜搜索索内内存驻留文件和引导记录病
47、毒。存驻留文件和引导记录病毒。尽尽管管病病毒毒可可以以毫毫无无觉觉察察的的把把自自己己隐隐藏藏在在程程序序和和文文件件中中,但但病病毒毒不不能能在在内内存存中中隐隐藏藏自自己己。因因此此内内存存扫扫描描程程序序可可以以直直接接搜搜索索内内存存,查查找找病病毒毒代代码码。如如果果一一个个反反病病毒毒产产品品不不使使用用内内存存扫扫描描,其其病病毒毒检检测测技技术术是是很很不不完完善善的的,很很可可能能漏漏查查、漏漏杀某些病毒。杀某些病毒。8 8. .1 1计计算算机机病病毒毒概概述述3完整性检查器完整性检查器 完整性检查器的工作原理基于如下的假设:在正常完整性检查器的工作原理基于如下的假设:在正
48、常的计算机操作期间,大多数程序文件和引导记录不会改的计算机操作期间,大多数程序文件和引导记录不会改变。这样,计算机在未感染状态,取得每个可执行文件变。这样,计算机在未感染状态,取得每个可执行文件和引导记录的信息指纹,将这一信息存放在硬盘的数据和引导记录的信息指纹,将这一信息存放在硬盘的数据库中。库中。 完完整整性性检检查查器器是是一一种种强强有有力力的的防防病病毒毒保保护护方方式式。因因为为几几乎乎所所有有的的病病毒毒都都要要修修改改可可执执行行文文件件引引导导记记录录,包包括括新新的的未未发发现现的的病病毒毒,所所以以它它的的检检测测率率几几乎乎百百分分之之百百。引引起起完完整整性性检检查查
49、器器失失效效的的可可能能有有:有有些些程程序序执执行行时时必必须须要要修修改改它它自自己己;对对已已经经被被病病毒毒感感染染的的系系统统再再使使用用这这种种方方法法时,可能遭到病毒的蒙骗等。时,可能遭到病毒的蒙骗等。8 8. .1 1计计算算机机病病毒毒概概述述4行为监视器行为监视器 行行为为监监视视器器又又叫叫行行为为监监视视程程序序,它它是是内内存存驻驻留留程程序序,这这种种程程序序静静静静地地在在后后台台工工作作,等等待待病病毒毒或或其其他他有有恶恶意意的的损损害害活活动动。如如果果行行为为监监视视程程序序检检测测到到这这类类活活动动,它它就就会会通通知知用用户户,并并且且让用户决定这一
50、类活动是否继续。让用户决定这一类活动是否继续。返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.6.38.6.3常用反病毒软件产品常用反病毒软件产品 随随着着世世界界范范围围内内计计算算机机病病毒毒的的大大量量流流行行,病病毒毒编编制制花花样样不不断断变变化化,反反病病毒毒软软件件也也在在经经受受一一次次又又一一次次考考验验,各各种种反反病病毒毒产产品品也也在在不不断断地地推推陈陈出出新新、更更新新换换代代。这这些些产产品品的的特特点点表表现现为为技技术术领领先先、误误报报率率低低、杀杀毒毒效效果果明明显显、界界面面友友好好、良良好好的的升升级级和和售售后后服服务务技技术术支支特特、与
51、与各各种种软软硬硬件件平平台台兼兼容容性性好好等等方方面面。常常用用的的反反病病毒毒软软件有件有KV3000、瑞星(瑞星(2001版)等。版)等。返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.78.7典型病毒实例典型病毒实例CIHCIH病毒介绍病毒介绍8.7.18.7.1CIHCIH病毒简介病毒简介8.7.28.7.2恢复被恢复被CIHCIH病毒破坏的硬盘信息病毒破坏的硬盘信息8.7.38.7.3CIHCIH病毒病毒的免疫的免疫返回本章首页8 8. .1 1计计算算机机病病毒毒概概述述8.7.18.7.1CIHCIH病毒简介病毒简介1CIH病毒分析病毒分析 CIH病病毒毒是是迄迄今
52、今为为止止发发现现的的最最阴阴险险、危危害害最最大大的的病病毒毒之之一一。它它发发作作时时不不仅仅破破坏坏硬硬盘盘的的引引导导扇扇区区和和分分区区表表,而而且且破破坏坏计计算算机机系系统统FLASH BIOS芯芯片片中中的的系系统统程程序序,导致主板损坏。导致主板损坏。2CIH病毒发作时的现象病毒发作时的现象 CIH病病毒毒发发作作时时,将将用用凌凌乱乱的的信信息息覆覆盖盖硬硬盘盘主主引引导导区区和和系系统统BOOT区区,改改写写硬硬盘盘数数据据,破破坏坏FLASH BIOS,用用随随机机数数填填充充FLASH内内存存,导导致致机机器器无无法法运运行行。所所以该病毒发作时仅会破坏可升级主板的以
53、该病毒发作时仅会破坏可升级主板的FLASH BIOS。返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.7.28.7.2恢复恢复被被CIHCIH病毒破坏的硬盘信息病毒破坏的硬盘信息1修复硬盘分区表信息修复硬盘分区表信息 2恢复恢复C分区上的数据分区上的数据 3查杀查杀CIH病毒后的遗留问题病毒后的遗留问题 8 8. .1 1计计算算机机病病毒毒概概述述1修复硬盘分区表信息修复硬盘分区表信息 1)准准备备一一张张无无病病毒毒的的启启动动盘盘,注注意意要要根根据据原原有有操操作作系系统统及及分区情况制作分区情况制作FAT16或或FAT32的系统引导盘。的系统引导盘。2)把把下下载载的的VR
54、VFIX.EXE文文件件拷拷入入该该引引导导盘盘,要要确确保保还还有有足够的剩余空间,并打开写保护。足够的剩余空间,并打开写保护。3)用用这这张张引引导导盘盘引引导导染染毒毒的的计计算算机机(如如果果主主板板的的BIOS已已被被CIH病病毒毒破破坏坏,可可把把硬硬盘盘拆拆下下,拿拿到到别别的的计计算算机机上上进进行行,也也可可 先先 把把 主主 板板 BIOS修修 复复 好好 后后 再再 处处 理理 硬硬 盘盘 ) , 运运 行行VRVFIX.EXE,按按Enter开开始始计计算算分分区区信信息息并并自自动动恢恢复复,当当出出现现提提示示时时,按按Enter,直直到到出出现现“Make Par
55、tition Table ok”。4)至至此此,修修复复完完成成,用用引引导导盘盘重重新新引引导导系系统统,除除C盘盘以以外外的的其其他他逻逻辑辑分分区区(D、E、F.)的的数数据据已已经经修修复复,但但仍仍然然无无法访问法访问C分区。分区。8 8. .1 1计计算算机机病病毒毒概概述述2恢复恢复C分区上的数据分区上的数据 1)制作一张无病毒的引导盘,然后在)制作一张无病毒的引导盘,然后在CONFIG.SYS文件中文件中加入。加入。 2)把下载的)把下载的Tiramisu压缩包里的所有文件解压缩到引导盘压缩包里的所有文件解压缩到引导盘上。上。3)用这张引导盘引导计算机,运行)用这张引导盘引导计
56、算机,运行Tiramisu.exe,在在“File”菜单中选择菜单中选择“Start recovery”菜单项,程序开始菜单项,程序开始自动自动从从C分区上寻找目录结构。分区上寻找目录结构。4)C分区的目录结构搜索结束后,会显示目录搜索结果分区的目录结构搜索结束后,会显示目录搜索结果 。5)Tiramisu的的工工作作原原理理是是在在内内存存中中重重建建一一个个目目录录结结构构映映射射表,让用户通过这个目录结构表把硬盘上的数据备份出来。表,让用户通过这个目录结构表把硬盘上的数据备份出来。8 8. .1 1计计算算机机病病毒毒概概述述3查杀查杀CIH病毒后的遗留问题病毒后的遗留问题 由于由于Wi
57、ndows系统运行设置条件和被传染的系统运行设置条件和被传染的文件头数据模块的大小不一样,被文件头数据模块的大小不一样,被CIH病毒感染后,病毒感染后,小部分文件会产生各种各样的不正常的特殊的传染小部分文件会产生各种各样的不正常的特殊的传染结果。有些杀毒软件,只简单地把文件中的结果。有些杀毒软件,只简单地把文件中的CIH病病毒第一碎块中的文件映像开始执行指针参数恢复,毒第一碎块中的文件映像开始执行指针参数恢复,或去掉病毒头的少量字节,没把病毒隐藏在文件体或去掉病毒头的少量字节,没把病毒隐藏在文件体中的各个碎块清理掉。但这样简单杀毒后,完整的中的各个碎块清理掉。但这样简单杀毒后,完整的或不完整的
58、病毒体残留在文件中,即留有病毒僵尸。或不完整的病毒体残留在文件中,即留有病毒僵尸。 返回本节8 8. .1 1计计算算机机病病毒毒概概述述8.7.38.7.3CIHCIH病毒病毒的免疫的免疫此此处处的的CIH病病毒毒疫疫苗苗ANT-CIHv1.00是是CIH作作者者所所作作,已已 经经 在在 网网 上上 免免 费费 发发 放放 。 网网 址址 是是 :http:/ 95/98,将将CIH.ZIP解解压压缩缩后后,释释放放出出三三个个文文件件,执执行行其其中中的的SETUP.EXE即即可可进进行行安安装装,系系统统会会自自动动重重新新启启动动。安安装装完完毕毕后后,可可以以将将这这三三个疫苗文件删除。个疫苗文件删除。返回本节8 8. .1 1计计算算机机病病毒毒概概述述THANK YOU VERY MUCH !本章到此结束,本章到此结束,谢谢您的光临!谢谢您的光临!返回本章首页结束放映
