计算机病毒原理与防范 第6章 典型计算机病毒的原理、防范和清除.ppt

第6章 典型计算机病毒的原理、防范和清除 计算机病毒原理与防范 秦志光, 张凤荔 第6章 典型计算机病毒的原理、防范和清除 计算机病毒防范和清除的基本原则和技术 引导区计算机病毒 文件型病毒 文件与引导复合型病毒 脚本病毒 宏病毒 特洛伊木马病毒 蠕虫病毒 黑客型病毒 后门病毒 32位操作系统下的计算机病毒 压缩文件病毒 安全建议 6.1 计算机病毒防范和清除的基本原则和技术 计算机病毒防范的概念和原则 计算机病毒预防基本技术 清除计算机病毒的一般性原则 清除计算机病毒的基本方法 治疗计算机病毒的一般过程 计算机病毒预防技术 计算机病毒免疫技术 漏洞扫描技术 实时反病毒技术 防范计算机病毒的特殊方法 计算机病毒防范的概念和原则 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。 计算机病毒的侵入必将对系统资源构成威胁，即使是良性计算机病毒，至少也要占用少量的系统空间，影响系统的正常运行。防治计算机病毒应以预防为主。 预防计算机病毒是主动的，主要表现在监测行为的动态性和防范方法的广谱性。 防毒的重点是控制计算机病毒的传染，防毒的关键是对计算机病毒行为的判断，如何有效地辨别计算机病毒行为与正常程序行为是防毒成功与否的重要因素，防毒对于不按现有计算机病毒机理设计的新计算机病毒也可能无能为力。 消毒是被动的，只有发现计算机病毒后，对其剖析、选取特征串，才能设计出该“已知”计算机病毒的杀毒软件。一方面，发现计算机病毒时，可能该计算机病毒已经流行起来或者已经造成破坏；另一方面，就是管理上的问题，许多人并不是警钟长鸣，也不可能随时随地去执行杀毒软件。 被动消除计算机病毒只能治标，只有主动预防计算机病毒才是防治计算机病毒的根本。因此，“预防胜于治疗”。 计算机病毒防治应采取“主动预防为主，被动处理结合”的策略，偏废哪一方面都是不应该的。 计算机病毒预防基本技术 （1）将大量的消毒/杀毒软件汇集一体，检查是否存在已知计算机病毒，如在开机时或在执行每一个可执行文件前执行扫描程序。 （2）检测一些计算机病毒经常要改变的系统信息，如引导区、中断向量表、可用内存空间等，以确定是否存在计算机病毒行为。 （3）监测写盘操作，对引导区（BR）或主引导区（MBR）的写操作报警。若有一个程序对可执行文件进行写操作，就认为该程序可能是计算机病毒，阻击其写操作，并报警。 （4）对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现象即报警。 （5）智能判断型：设计计算机病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与计算机病毒程序行为，是否误报警取决于知识库选取的合理性。 （6）智能监察型：设计计算机病毒特征库（静态）、计算机病毒行为知识库（动态）、受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机制。 清除计算机病毒的一般性原则 （1）计算机病毒的清除工作最好在无毒的环境中进行。 （2）在启动系统的系统盘和杀毒软件盘上加写保护标签。 （3）在清除计算机病毒之前，一定要确认系统或文件确实存在计算机病毒，并且准确判断出计算机病毒的种类，以保证杀毒的有效性。 （4）杀毒工作要深入而全面，为保证其工作过程的正确性，要对检测到的计算机病毒进行认真的分析研究，找出计算机病毒的宿主程序，确定其计算机病毒标识符和感染对象，即搞清楚计算机病毒感染的是引导区还是文件，或者是既感染引导区，又感染文件，同时要弄清计算机病毒感染宿主程序的方法，对自身加密的计算机病毒要引起重视，把修改过的文件转换过来，以便找出清除计算机病毒的最佳方法。如果随便清除计算机病毒，可能造成系统或文件不能运行。 （5）尽量不要使用激活计算机病毒的方法检测计算机病毒，因为在激活计算机病毒的同时，计算机系统有可能已经被破坏了。 （6）一般不能用计算机病毒标识免疫方法清除计算机病毒。 （7）一定要干净彻底地清除计算机及磁盘上所有的同一计算机病毒，对于混合型计算机病毒，既要清除文件中的计算机病毒代码，还要清除引导区中的计算机病毒代码，以防止这些计算机病毒代码再次重新生成计算机病毒。 （8）对于同一宿主程序被几个计算机病毒交叉感染或重复感染的，要按感染的逆顺序从后向前依次清除计算机病毒。 清除计算机病毒的基本方法 简单工具治疗: 使用Debug等简单工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机病毒代码。 专用工具治疗: 专用计算机病毒治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。 治疗计算机病毒的一般过程 剖析计