计算机病毒防治PPT课件.pptVIP

第七章 计算机病毒防治 7.1 计算机病毒的特点与分类 7.1.1 计算机病毒的概念 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有法律效力和权威性。 计算机病毒赖以生存的基础是现代计算机都具有相同的工作原理和操作系统的脆弱性，以及网络协议中的安全漏洞。特别是在个人计算机中，系统的基本控制功能对用户是公开的，可以通过调用和修改系统的中断，取得对系统的控制权，从而对系统程序和其他程序进行任意处理。 7.1 计算机病毒的特点与分类 宏病毒 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。 宏病毒危害 主要在以下方面： 一、宏病毒的主要破坏 WORD宏病毒的破坏在两方面： 1．对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单； 文件无法正常编辑。如Taiwan No.l Macro病毒每月13日发作，所有编写工作无法进行。 2．对系统的破坏是：Word Basic语言能够调用系统命令，造成破坏。 二、宏病毒隐蔽性强，传播迅速，危害严重，难以防治 与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。 7.1 计算机病毒的特点与分类 2．“震荡波”病毒 2004年5月1日，当人们正沉浸在黄金周的快乐之中时，一个新的病毒——“震荡波（Worm.Sasser）”开始在互联网上肆虐。 “震荡波”病毒跟“冲击波”病毒非常类似，它是利用微软的系统漏洞MS04-011进行传播的。用户的计算机一旦感染该病毒，系统将开启上百个线程去攻击他人，造成计算机系统运行异常缓慢、网络不畅通，并让系统不停地进行重新启动。 值得注意的是，在2004年4月13日，微软对此漏洞发布过级别为严重的安全公告。 7.1 计算机病毒的特点与分类 如果计算机出现下列现象之一，则表明该计算机系统可能已经中毒，用户应该立刻采取措施，清除该病毒。 （1）出现系统错误对话框 （2）系统资源被大量占用 （3）系统内存中出现名为avserve的进程 （4）系统目录中出现名为avserve.exe的病毒文件。 （5）注册表中出现病毒键值 7.1 计算机病毒的特点与分类 3．电子邮件病毒 所谓电子邮件病毒，就是以电子邮件方式作为传播途径的计算机病毒。 该类病毒的特点如下： （1）电子邮件可以夹带任何类型的文件，夹带的文件可能带毒。 （2）有些计算机病毒，能自动通过电子邮件进行传染、扩散。 病毒通过电子邮件传播，具有以下两个特点： （1）速度快，范围广。 （2）破坏力大。 1．后门（Backdoor） 2．逻辑炸弹（Logic Bomb） 3．特洛伊木马（Trojan Horse） 4．病毒（Virus） 5．蠕虫（Worm） 7.2.2 木马 1．木马病毒概述 “特洛伊木马”的英文名称为Trojan Horse（其名称取自希腊神话的《特洛伊木马记》），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。 计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马