18、第十八章电脑病毒研讨.ppt

病毒一、冲击波电脑病毒冲击全球染病症状：电脑反复重启(图文) 病毒二、震荡波病毒： CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破坏性，感染Windows? PE可执行文件。v1.1版本能自动判断运行系统，如是Windows NT，则自我隐藏，被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码，成为恶性病毒。感染ZIP自解压包文件，导致ZIP压缩包在解压时出现错误警告信息，发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序，发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息，发作日为每月26日。 特征：该计算机病毒属于W32家族，感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性，可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX)，其后果是使用户的计算机无法启动，唯一的解决方法是替换系统原有的芯片（chip），该计算机病毒于4月26日发作，它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。 　 第十八章 电脑病毒 * * 第十八章 电脑病毒 第十八章 电脑病毒 一、计算机病毒的定义和特征: 1、定义： 指能够通过自身复制、传染而起破坏作用的一种计算机程序 2、特征 ： 2.1 传染性： 自行复制传染并感染其他文件。 2.2 危害性： 破坏系统，修改数据等 2.3 隐蔽性： 没有或不易找出文件名 2.4 可触发性： 悄悄感染，当满足条件时才显示病毒程序 2.5 欺骗性： 用欺骗的手段寄生在其它文件之上 2.6 不可预见性 ： 先有病毒,才有杀毒软件 第十八章 电脑病毒 二、计算机病毒的分类： 1、操作系统型病毒（引导病毒） 病毒作为系统的一个模块运行，激发后，病毒工作 2、文件型病毒： 寄生在文件上，装载文件时，首先运行病毒，然后再运行指定的文件 3、复合型病毒： 既感染文件，又感染引导区 4、宏病毒 ： 针对Office的 5、电子邮件病毒 ： 针对电子邮件 三、计算机病毒的模块和机理: 病毒程序 安装模块 感染模块 破坏模块 机器启动安装 调用文件安装 病毒程序常驻内存 感染控制部份 感染判断部份 感染操作部份 激发控制部分 破坏操作部份 第十八章 电脑病毒 第十八章 电脑病毒 2、机理： 2.1引导型： 通过抢占系统引导扇区，计算机启动时抢先运行，满足条件就工作。 2.2文件型： 病毒附在可执行文件之上，将此文件读入内存时病毒程序首先运行，开始工作. 3、各模块的工作： 3.1 安装模块： 引导型： 机器启动时首先运行引导扇区中的程序，病毒放在此 处执行 文件型： 病毒附在可执行文件上,调用文件时病毒首先进入内存并驻留 3.2 感染模块： 感染控制： 病毒有一控制条件，满足就感染 感染判断: 病毒有一标记，感染时的标记 感染操作： 满足条件就进行感染操作 第十八章 电脑病毒 四：电脑病毒的基本规律和现象 1、内存少了1KB 2、引导扇区被强占 3、文件被加长 4、机器运行有问题： 运行速度慢： 病毒窃取CPU时间 第十八章 电脑病毒 现象： 病毒被放在磁盘的引导扇区或可执行文件后面，病毒程序被驻留在内存的高端，且被保护，每个病毒有一标记，感染时通过修改磁盘的读写地址，感染病毒。运行慢，文件加长，屏幕可能出现一些非法画面 五、病毒防范: 1、切断传播路径 2、减少PC交叉使用 第十八章 电脑病毒 3、软件备份 4、冷静诊治 5、防病毒软件 第十八章 电脑病毒 六、杀毒软件的功能和机理 : 1、功能： 备份主引导区 快查内存 自我检查、修复、自我解除自身感染的病毒 检测、修复、重建硬盘分区表功能 机器不启动： 引导扇区被感染 读盘时间长： 病毒要感染磁盘上所有可执行文件 设置Virus.dat(库文件)存放病毒特征 检查代码: 库文件向杀毒执行文件提供已知病毒 杀除代码: 根据代码、发现病毒、杀除 七、杀毒软件的使用： 杀毒软件： 瑞星杀毒 KV杀毒王 金山毒霸 2、杀毒机理： 第十八章 电脑病毒 瑞星杀毒软件： 1、实时监控“防火墙功能”。 2、可以检测压缩和解压文件格式 3、完全修复病毒破坏的硬盘数据 4、可以清除“黑客”程序 黑客： 指侵入者或侵入行为 5、解决“宏病毒”问题 可以区分病毒宏和正常宏 6、定时预约查毒 7、提供检查结果报告和实时监控技术 第十八章 电脑病毒 这是弹出ＲＰＣ服