病毒防范技术要点.pptx

病毒防范技术;2014-11-4;2014-11-4;章节目录;计算机病毒定义;病毒产生背景;病毒的来源;病毒发展简历;;章节目录;计算机病毒特征;;;;计算机病毒的分类;;;;;;;;;;现代计算机病毒;现代计算机病毒;现代计算机病毒;计算机病毒的传播途径;2014-11-4;病毒的表现形式;;;;病毒的工作机制;计算机病毒的工作步骤分析;在潜伏阶段，病毒程序处于休眠状态，用户根本感觉不到病毒的存在，但并非所有病毒均会经历潜伏阶段。 如果某些事件发生(如特定的日期、某个特定的程序被执行等)，病毒就会被激活，并从而进入传染阶段。处于传染阶段的病毒，将感染其他程序----将自身程序复制到其他程序或者磁盘的某个区域上。 经过传染阶段，病毒程序已经具备运行的条件，一旦病毒被激活，则进入触发阶段。在触发阶段，病毒执行某种特定功能从而达到既定的目标。 病毒在触发条件成熟时即可发作。处于发作阶段的病毒将为了既定目的而运行(如破坏文件、感染其他程序等〉。 ;病毒程序的功能模块：为了实现病毒生命周期的转换，病毒程序必须具有相应的功能模块。病毒程序的典型组成包括引导模块、传染模块和表现模块 ;1.计算机病毒的引导模块 主要实现将计算机病毒程序引入计算机内存，并使得传染和表现模块处于活动状态。为了避免计算机病毒程序被清除(如杀毒程序的处理等)，引导模块需要提供自保护功能，从而避免在内存中的自身代码不被覆盖或清除。一旦引导模块将计算机病毒程序引入内存后，它还将为传染模块和表现模块设置相应的启动条件，以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块。 ;?2. 计算机病毒的感染模块 ?计算机病毒的传染模块有两个功能: 依据引导模块设置的传染条件，判断当前系统环境是否满足传染条件； 如果传染条件满足，则启动传染功能，将计算机病毒程序附加到其他宿主程序上。 相应地，感染模块分为感染条件判断子模块和传染功能实现子模块两个部分。 ;?3. 计算机病毒的表现模块 ?与计算机病毒传染模块相似，其表现模块功能也包括两个部分 根据引导模块设置的触发条件，判断当前系统环境是否满足所需要的触发条件; 一旦触发条件满足，则启动计算机病毒程序，按照预定的计划执行(如删除程序、盗取数据等)。 因此，表现模块包含两个子模块:表现条件判断子模块和表现功能实现子模块。前者判断激活条件是否满足，则而后者则实现功能。 需要说明的是，并非所有计算机病毒程序都需要上述3个模块，如引导型计算机病毒没有表现模块，而某些文件型计算机病毒则没有引导模块。 ;计算机病毒的触发机制;;;;章节目录;;病毒检测技术;外观检测法;比较法;特征代码法;特征代码法实现步骤 ;特征代码法优缺点 ;特征代码法优缺点 ;行为监测法(实时监控法);监测病毒的行为特征;;病毒防火墙;病毒防火墙的优越性;;校验和法;感染实验法;病毒分析法;计算机病毒清除;;2. 在注册表中清除 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可疑的程序进行删除 。一般情况下，可执行文件病毒，可以在如下的注册表中清除。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce ;HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion Explorer/ShellFolders Startup=C:/windows/start menu/programs/startup ;3. 在染毒的文件代码中摘除 一些系统文件，如win.ini、system.ini、config.sys、autoexec.bat 等，都是病毒经常侵入的文件，我们应该知道正常的文件内容，如果发现非正常语句，一般都是病毒，应及时摘除。 例