第章计算机病毒及防范.ppt

第7章 网络病毒防范与清杀 7.1 计算机病毒基础知识 7.2 网络病毒的防范和清杀 7.3 典型网络病毒介绍 7.4 常用杀毒软件介绍 7.1 计算机病毒基础知识 7.1.1 计算机病毒定义 7.1.2 计算机病毒的发展历史 7.1.3 计算机病毒的特点 7.1.4 计算机病毒的种类 7.1.5 计算机病毒的工作原理 7.1.6 计算机病毒的检测、防范和清杀 7.1.1 计算机病毒定义 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性、权威性。 7.1.2 计算机病毒的发展历史  早在1949年，计算机先驱者冯.诺依曼就在他的论文《复杂计算机组织论》中，提出了计算机程序能够在内存中自我复制，勾勒出了病毒程序的蓝图。 1983年11月3日，弗雷德.科恩博士研制出了一种在运行过程中可以自我复制坏性程序，伦.艾德勒曼将它名命为计算机病毒，在VAX11/750计算机系统上运行，第一个病毒实验成功，从而在实验上验证了计算机病毒的存在。 1985年初，在巴基斯坦的拉合尔，巴喜特和阿姆杰得两兄弟为了防盗版，编写了“巴基斯坦智囊”（PaKistan Brain）病毒，该病毒传染软盘引导，一年后病毒以强劲势头流传到了全世界。这是最早在世界上流行的一个真正的病毒。几乎同时，世界上各地的计算机用户也发现了形形色色的计算机病毒，如黑色星期五、大麻等。 。 7.1.3 计算机病毒的特点 在计算机病毒所具有的特征中,传染性、潜伏性、触发性和破坏性是它的基本特征。其次，它还有隐蔽性、针对性、衍生性和不可预见性等。 1．传染性 病毒的传染性也称为自我复制和可传播性，这是计算机病毒的本质特征，在一定条件下，病毒通过某种渠道从一个文件或一台计算机传染到另外没有被感染的文件或计算机，轻则造成被感染的计算机数据或工作失常；重则便计算机瘫痪。。 2．潜伏性 具有依附于其他媒体寄生的能力。一个编制巧妙的病毒程序，可以在几周或几个月内进行传播和再生而不被发觉。 3．触发性 触发性是指计算机病毒的发作一般都有一个激发条件，即一个条件控制。 4．破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。 5．隐蔽性 病毒一般是指编写巧妙、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。 6．针对性 计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBM/PC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。如小球病毒是针对IBM PC机及其兼容机上的ＤＯＳ操作系统的。 7．衍生性 这种特性为病毒制造者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的，但是，这可以被其他掌握原理的人以其个人的企图进行任意改动，从而以衍生出一种不同于原版本的新的计算机病毒（又称为变种）。这就是它的衍生性。 8．不可预见性 不同种类病毒的代码千差万别，病毒的制作技术也在不断地提高，病毒比反病毒软件永远是超前的。 7.1.4 计算机病毒的种类 按照基本类型划分，可归纳为6种类型，引导型病毒、可执行病毒、宏病毒、混合型病毒、特洛伊木马病毒和Web网页病毒。 1．引导型病毒 主要是感染软盘、硬盘的引导扇区或主引导扇区，在用户对软盘、硬盘进行读写操作时进行感染活动。。 2．可执行文件病毒 它主要是感染可执行文件（对于DOS或Windows来说是感染.COM和.EXE等可执行文件）。 3． 宏病毒 它是利用高级语言——宏语言编制的病毒。宏病毒仅向WORD、EXCEL、ACCESS、POWER POINET和PROJECT等办公自动化程序编制的文档进行传染，而不会传染给可执行文件。 4．混合型病毒 顾名思义，是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。国内流行的混合型病毒有：One_half、Casper、Natas、Flip。 5．特洛伊木马型病毒 也叫黑客程序或后门病毒。一般这种病毒分成服务器端和客户端两部分，如计算机网络中服务器端被此程序感染，别人可通过网络中其他计算机任意控制此计算机，并获得重要文件。国内流行的此类病毒有BO、NETSPY等。 6．Web网页病毒 7.1.5 计算机病毒的工作原理 1．计算机病毒的工作过程 计算机病毒的完整工作过程一般应包括以下几个环节