第4章 病毒及防范措施.pptVIP

4.1 计算机病毒 1977年科幻小说《The Adolescence of P-1》构思了一种能够自我复制、利用通信进行传播的计算机程序。 1983年Fred Adleman首次在VAX 11/750上试验病毒； 1987年Brain病毒在全世界传播； 1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元； 八十年代末，病毒开始传入我国； 4.1.1 计算机病毒的概念 4.1.2 病毒的产生及特性 1、计算机病毒产生的背景 （1）是计算机犯罪的新形式：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。 （2）计算机软硬件产品的脆弱性是根本的技术原因。 （3）微机的普及应用是计算机病毒产生的必要环境。 2、计算机病毒产生的原因 开玩笑、恶作剧 个别人的报复心理 用于版权保护的目的 用于特殊目的 4.1.3 病毒的分类： 按破坏性分为： 无害型 无危险型 危险型 非常危险型。 按激活时间分为 定时 随机 按照病毒特有的算法分为： 伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。 寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。 变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 按传染方式分为： 文件型：病毒一般附着在可执行文件上 ； 引导型：当系统引导时进入内存，控制系统； 混合型：既可感染引导区，又可感染文件。 宏病毒：感染MS Office文档 其他类型 病毒的组成： 安装模块：提供潜伏机制； 传播模块：提供传染机制； 触发模块：提供触发机制； 其中，传染机制是病毒的本质特征，防治、检测及 杀毒都是从分析病毒传染机制入手的。 病毒的症状： 启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。 4.1.4 病毒的传播及危害 计算机病毒的传播途径 1）硬件设备传播：通过不可移动的设备进行传播 较少见，但破坏力很强。 2）移动存储设备传播： 这是最广泛的传播途径之一 3）通过网络进行传播： 这是最广泛的传播途径之二 4）无线传播：通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道 病毒的危害 直接破坏数据 占用磁盘空间 抢占系统资源 影响计算机运行速度 错误的不可预见性 给用户造成心理压力 病毒破坏行为的常见表现 BIOS病毒现象1、开机运行几秒后突然黑屏2、外部设备无法找到3、硬盘无法找到4、电脑发出异样声音 硬盘引导区病毒现象1、无法正常启动硬盘2、引导时出现死机现象3、执行C盘时显示“Not ready error drive A Abort，Retry，Fail?” 病毒破坏行为的常见表现 操作系统病毒现象1、引导系统时间变长2、计算机处理速度比以前明显放慢3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象4、系统生成一些特殊的文件5、驱动程序被修改使得某些外设不能正常工作6、软驱、光驱丢失7、计算机经常死机或重新启动  病毒破坏行为的常见表现 应用程序病毒现象1、启动应用程序出现“非法错误”对话框2、应用程序文件变大3、应用程序不能被复制、移动、删除4、硬盘上出现大量无效文件5、某些程序运行时载入时间变长  4.2 网络病毒的防范措施 传统的网络病毒定义是指利用网络进行传播的病毒。 现在的网络病毒定义是指以网络为平台，对计算机产生安全威胁的所有程序的总称。 4.2.1 网络病毒的新特点 传染速度快 扩散面广 传播形式复杂多样 难以彻底清除 破坏性大 潜在危险性大 4.2.2 基于网络安全体系的防病毒技术 增加安全意识 小心邮件 挑选网络版杀毒软件 4.3 防毒策略与常用杀毒软件 防毒：预防入侵； 病毒过滤、监控、隔离 查毒：发现和追踪病毒； 统计、报警 杀毒：从感染对象中清除病毒；恢复功能 4.3.1 病毒的防治策略（参见教材P82） 4.3.2 防毒杀毒软件 反病毒软件的选择 1）能查杀的病毒数量多 2）扫描速度快 3）快速、方便地升级 著名杀毒软件公司 瑞星 RAV 北京江民 KV系列，如KV3000 冠群金辰 KILL 金山 金山毒霸 卡巴斯基 Kaspersky 赛门