8计算机病毒防范的技术.pptVIP

第8章 计算机病毒防范技术;8.1 计算机病毒概述;计算机病毒的特性;8.1.2 计算机病毒简史 -1;8.1.2 计算机病毒简史 -2;8.1.2 计算机病毒简史 -3;8.1.2 计算机病毒简史 -4;8.1.2 计算机病毒简史 -5;8.1.3 计算机病毒的特征;8.1.4 计算机病毒的主要危害;8.2 计算机病毒的工作原理和分类;8.2.1 计算机病毒的工作原理;（1） 病毒的逻辑结构;（2）病毒的磁盘存储结构;（2）病毒的磁盘存储结构;（2）病毒的磁盘存储结构;（3）病毒的内存驻留结构;（3）病毒的内存驻留结构;2．计算机病毒的作用机制;（1）中断与计算机病毒;病毒有关的重要中断;病毒利用中断;（2）计算机病毒的传染机制;（3）计算机病毒的破坏机制;8.2.2 计算机病毒的分类;2．按照病毒的攻击机型分类 （1）攻击微型计算机的病毒。 （2）攻击小型机的计算机病毒。 （3）攻击工作站的计算机病毒。;3．按照病毒的链结方式分类 （1）源码型病毒 （2）嵌入型病毒 （3）外壳型病毒 （4）操作系统型病毒;4．按照病毒的破坏情况分类 （1）良性计算机病毒 （2）恶性计算机病毒 5．按照病毒的寄生方式分类 （1）引导型病毒 （2）文件型病毒 （3）复合型病毒 ;6．按照病毒的传播媒介分类 （1）单机病毒 （2）网络病毒;8.2.3 病毒实例分析;（1）CIH病毒的表现形式;（2）CIH病毒的行为机制;2．宏病毒 所谓宏，就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法，把常用的动作编写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作。 所谓“宏病毒”，是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在Windows 9X、Windows NT/2000、OS/2和Macintosh System 7等操作系统上执行。;（1）宏病毒的行为机制;（2）Word宏病毒特征;3．网络病毒 网络病毒专指在网络传播、并对网络进行破坏的病毒； 网络病毒也指HTML病毒、E-mail病毒、Java病毒等与因特网有关的病毒。;网络病毒的特点;4．电子邮件病毒 “电子邮件病毒”其实和普通的计算机病毒一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为“电子邮件病毒”。;电子邮件病毒的特点;8.3 计算机病毒的检测与防范;8.3.1 计算机病毒的检测;（5）磁盘上的文件或程序丢失。 （6）磁盘读/写文件明显变慢，访问的时间加长。 （7）系统引导变慢或出现问题，有的出现“写保护错”提示。 （8）系统经常死机或出现异常的重启动现象。 （9）原来运行的程序突然不能运行，总是出现出错提示。 （10）连接的打印机不能正常启动。 观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和 清除做好准备。 ;2．检测的主要依据 （1）检查磁盘主引导扇区 （2）检查FAT表 （3）检查中断向量 （4）检查可执行文件 （5）检查内存空间 （6）检查特征串;3．计算机病毒的检测手段;（2）校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。 优点：方法简单，能发现未知病毒、被查文件的细微变化也能发现。 缺点：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。;校验和法查病毒;（3）行为监测法 利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。这些能够作为监测病毒的行为特征如下： A. 占有INT 13H B. 改DOS系统为数据区的内存总量 C. 对COM、EXE文件做写入动作 D. 病毒程序与宿主程序的切换 优点：可发现未知病毒、可相当准确地预报未知的多数病毒。 缺点：可能误报警、不能识别病毒名称、实现时有一定难度。;8.3.2 计算机病毒的防范;8.3.2 计算机病毒的防范;8.3.3 计算机病毒的发展方向和趋势;8.3.3 计算机病毒的发展方向和趋势;8.4 恶意代码;8.4.2 恶意代码的特征与分类 ;8.4.2 恶意代码的特征与分类 ;8.4.3 恶意代码的关键技术 ;8.4.3 恶意代码的关键技术 ;8.4.3 恶意代码的关键技术 ;8.4.4 网络蠕虫 ;网络蠕虫的功