计算机病毒技术基础.pptVIP

计算机病毒技术基础 2011年3月28 实验说明 一、计算机病毒概述与分类 二、宏病毒 三、脚本病毒 四、蠕虫病毒 五、防毒原则 六、碰到病毒后的解决办法 七、著名网站 一、计算机病毒概述与分类 1、计算机病毒的定义 计算机病毒是能够具有潜伏性、传染性、破坏性等特征的程序。 2、计算机病毒的危害 如果病毒的实施模块被激发时，可以进行删除文件、破坏系统和格式化磁盘、破坏网络系统与计算机系统、堵塞网络流通、毁坏计算机与网络硬件资源等严重的破坏活动。 具体如下： 攻击文件：包括可执行文件、数据文件、删除文件和数据。 使系统操作和运行速度下降。 扰乱键盘操作。 浪费系统资源。 干扰打印机的正常工作。 攻击Boot、系统中断向量、FAT、硬盘的主引导区和目录区。 侵占和删除空间。 修改系统配置，攻击CMOS。 格式化磁盘。 干扰和修改屏幕的正常显示。 大面积清除数据文件、更改文件内容、文件名称，对文件加密。 修改系统文件和数据结构。 攻击内存：大量占用和消耗内存空间，占用CPU时间，阻扰内存中常驻程序正常运行。 攻击邮件。 阻塞网络。 3、计算机病毒的特征 程序性：计算机病毒是一段具有特定功能的、严谨精巧的计算机程序。 传染性：能自我复制、自我繁殖、感染或再生等重要属性。 潜伏性：一般潜伏一定时期，等待条件成熟才会激活。 干扰与破坏：能够对计算机资源进行破坏。 可触发性：一般有触发条件。 4、计算机病毒分类 （1）按操作系统分类 攻击DOS系统、攻击Windows系统、攻击UNIX系统、攻击OS/2系统。 （2）按计算机病毒链接方式分类 操作系统型病毒、外壳型病毒、嵌入式病毒、源码型病毒。 （3）按传染方式分类 引导型病毒、文件型病毒、混合型病毒。 （4）按计算机病毒的寄生方式分类 覆盖式寄生病毒、链接式寄生病毒、填充式寄生病毒、转储式寄生病毒。 （5）按功能方式分类 文件型病毒、引导型病毒、宏病毒、木马病毒、脚本病毒、邮件病毒、蠕虫病毒。 二、宏病毒 宏是某些应用程序中的重要指令集，起着重要的作用，宏的编程简单易学，导致宏病毒的大量传播。。 1、常见宏病毒 (1)? 只进行自身的传播，并不具有破坏性的类型。如较常见的有一种AutoOpen宏病毒，这种病毒只是将文档保存为模板，并进行自身复制，当打开带病毒的文档时，病毒就将自身传染到Word的Normal．dot模板，然后再传染给干净的文档。 （2）只对用户进行骚扰，但不破坏系统的类型。如“台湾No．1”宏病毒、Helper病毒、Aliance病毒、Phardera病毒等。 2、宏病毒的特征 由于宏病毒利用了word的文档机制进行传播，寄生于Word的文档中，它不感染EXE和COM文件，只感染文档文件。 在Word启动时，自动加载Startup下模板及Normal.dot模板，以及它们所包含的宏。你可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动Word或打开文档，就自动执行具有特殊命令的宏。 （1）宏病毒的特点 (a)?传播极快。Word宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型，这给Word宏病毒传播带来很多便利。 (b)?制作、变种方便。Word使用宏语言Word Basic来编写宏指令。宏病毒同样用WordBasic来编写。 (c)?破坏可能性极大。Word Basic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用Windows API，调用DDE、DLI等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。 （2）宏病毒的驱动方式 当Word处理文档时，需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据材料以及储存和打印等。每一个动作其实都是对应着特定的宏命令，如存文件与FilwSave相对应，改名则对应FileSaveAS，打印则对应FilePrint；再例如当打开文件时，首先检查是否有AutoOpen宏是否存在，如有才能自动打开Word文档，在关闭文档时则执行AutoClose宏，当某个Doc文件感染了这类Word宏病毒，再运行这类自动宏时就是运行了病毒的本身，当关闭文档时，它会自动将所有的通用宏（也包括病毒在内）保存在模板文件中 。 三、脚本病毒 脚本程序的执行离不开WSH（Windows Script Host，Windows 脚本宿主）环境，WSH为宿主脚本创建环境。也就是