微机系统维护-计算机病毒解剖.ppt

第13章 计算机病毒 第13章 计算机病毒 13.1 计算机病毒概述 13.2 病毒的预防 13.3 杀毒软件技术 13.4 杀毒软件的使用 13.1 计算机病毒概述 1988年，计算机病毒（Computer Virus）首次被人发现。从出现至今虽然只有二十年的历史，但其数量和种类已多得无法统计。尽管人们采取了各种各样的措施，但更隐蔽、更巧妙、危害更大的计算机病毒仍在不断出现，令人防不胜防。 1.计算机病毒的定义 1994年2月，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。 2.计算机病毒的特征 一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，对用户来说其目的是可见的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。计算机病毒与生物学的病毒有类似的特征，它的主要特点是传染性、隐蔽性、潜伏性和破坏性。 （1）传染性 正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 （2）隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。 试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人不易被察觉。 （3）潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。这样的状态可能保持几天、几个月甚至几年。使计算机病毒发作的触发条件主要有：利用系统时钟提供的时间作为触发器，如“黑色星期五”病毒、CIH病毒等；利用病毒自带的计数器作为触发器，病毒利用计数器记录某种事件发生的次数，一旦计数器达到设定值，就执行破坏操作；利用计算机内执行的某些特定操作作为触发器，特定操作可以是用户按下某些特定键的组合。 （4）破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。一旦病毒发作，其破坏程度也随不同的病毒而表现得多种多样。以下是可能出现的破坏行为： ·对磁盘进行未加警告的格式化。 ·破坏、覆盖、改写磁盘的引导扇区、目录区、文件分配表。 ·破坏、覆盖、改写硬盘主引导扇区和分区表。 ·改写、破坏、删除、覆盖、添加文件。 ·将磁盘上好的扇区(簇)标上“坏”标记，减少磁盘空间。 ·病毒程序在内存中不断复制，使系统瘫痪。 ·病毒程序不断复制自己以至于文件越来越长，直至占满整个磁盘空间。 ·改写COMS数据，使系统配置参数混乱，系统瘫痪。 ·破坏快闪内存中的BIOS系统。 ·封锁外部设备，如打印机、通讯工具等。 （5）不可预见性。 从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。 13.2 病毒的预防 1.病毒的主要来源 病毒是人为制造的，虽然目的各不相同，但造成的结果却是一样的。 （1）恶作剧 （2）软件保护 （3）蓄意破坏 （4）其它原因 2.病毒流行的原因 （1）计算机的广泛应用 （2）Windows等系统的脆弱性 （3）磁盘的脆弱性 （4）网络的脆弱性 （1）计算机的广泛应用 目前，计算机已渗透到包括