第7章计算机网络安全技术〔第二版〕.pptVIP

第7章　计算机病毒及防治 本章主要内容 病毒的分类、特点和特征、运行机制 反病毒涉及的主要技术 病毒的检测和防治技术、措施 防病毒软件的性能特点、选购指标、工作原理 构筑防毒体系的基本原则 7.1　计算机病毒概述 7.1.1　计算机病毒的定义 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“病毒”一词来源于生物学，因为通过分析研究，人们发现计算机病毒在很多方面与生物病毒有着相似之处。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。 7.1.2　病毒的发展历史 1．计算机病毒发展简史 2. 计算机病毒在中国的发展情况 7.1.3　病毒的分类 病毒种类众多，分类如下： 1．按感染方式分为引导型、文件型和混合型病毒 2．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒 3．按破坏性可分为良性病毒和恶性病毒 4．网络病毒 7.1.4　病毒的特点和特征(1) 根据对计算机病毒的产生、感染和破坏行为的分析，总结出病毒的几个主要特点 （1）刻意编写，人为破坏 （2）自我复制能力 （3）夺取系统控制权 （4）隐蔽性 （5）潜伏性 （6）不可预见性 7.1.4　病毒的特点和特征(2) 现在的计算机病毒具有如下特征： （1）攻击对象趋于混合型 （2）反跟踪技术 （3）增强隐蔽性 （4）加密技术处理 （5）病毒繁衍不同变种 7.1.5　病毒的运行机制(1) 病毒能隐藏在不同的地方。主要隐藏之处如下： 1）可执行文件。病毒“贴附”在这些文件上，使其能被执行。 2）引导扇区。这是磁盘和硬盘中的一个特别扇区，它包含一个程序，当启动计算机时该程序将被执行。它也是病毒可能隐藏的地点。 3）表格和文档。某些程序允许内置一些宏文件，宏文件随着该文件的打开而被执行。病毒利用宏的存在进入其当中。 4）Java小程序和ActiveX控件。这是两个最新隐藏病毒的地方。Java小程序和ActiveX控件都是与网页相关的小程序，通过访问包含它们的网页，可以执行这些程序。 7.1.5　病毒的运行机制(2) 典型的病毒运行机制可以分为感染、潜伏、繁殖和发作四个阶段。 （1）感染是指病毒自我复制并传播给其他程序； （2）潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为； （3）繁殖是病毒程序不断地由一部计算机向其他计算机进行传播的状态； （4）发作是非法程序所实施的各种恶意行动。 7.1.5　病毒的运行机制(3) 病毒的破坏行为、主要破坏目标和破坏程度取决于病毒制作者的主观愿望和其技术能力。不同的病毒，其破坏行为各不相同，现归纳如下： （1）攻击系统数据区 （2）攻击文件 （3）攻击内存 （4）干扰系统运行，使运行速度下降 （5）干扰键盘、喇叭或屏幕 （6）攻击CMOS （7）干扰打印机 （8）网络病毒破坏网络系统 7.2　网络计算机病毒 网络计算机病毒实际上是一个笼统的概念。一种情况是，网络计算机病毒专指在网络上传播、并对网络进行破坏的病毒；另一种情况是指HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。 7.2.1　网络计算机病毒的特点 在网络环境中，计算机病毒具有如下一些新的特点： （1）感染方式多 （2）感染速度快 （3）清除难度大 （4）破坏性强 （5）可激发性 （6）潜在性 7.2.2　网络对病毒的敏感性(1) 1．网络对文件病毒的敏感性 一般的文件病毒可以通过以下三种网络环境传播： （1）网络服务器上的文件病毒 （2）端到端网络上的文件病毒 （3）Internet上的文件病毒 7.2.2　网络对病毒的敏感性(2) 2．网络对引导病毒的敏感性 （1）网络服务器上的引导病毒 （2）端到端网络上的引导病毒 （3）Internet上的引导病毒 7.2.2　网络对病毒的敏感性(3) 3．网络对宏病毒的敏感性 （1）网络服务器上的宏病毒 （2）端到端网络上的宏病毒 （3）Internet上的宏病毒 7.3　反病毒技术 7.3.1 反病毒涉及的主要技术 1．实时监视技术 2．自动解压缩技术 3．全平台反病毒技术 7.3.2　病毒的检测(1) 计算机病毒对系统的破坏离不开当前计算机的资源和技术水平。对病毒的检测主要从检查系统资源的异常情况入手，逐步深入。 1．异常情况判断 计算机工作时，如出现下列异常现象，则有可能感染了病毒： 1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。 2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。 3）磁盘可用空间减少，