计算机网络安全_03病毒知识介绍.ppt

第3章 病毒知识介绍 知识点 病毒的定义、识别和防治 网络病毒的特点及防治 典型病毒 杀毒软件的使用 难点 病毒的识别和防治 要求 熟练掌握以下内容： 病毒定义、识别和防治 网络病毒的特点及防治 杀毒软件的使用 了解以下内容： 病毒的发展历史 典型病毒 3.1 计算机病毒简介 3.1.1 病毒的概念 计算机病毒是一个程序，一段可执行代码。就像生物病毒一样，计算机病毒有独特的复制能力，可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起转移。 计算机病毒（Computer Virus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 3.1.2 病毒的发展史 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景如下。 1．制造计算机病毒是计算机犯罪的一种新的衍化形式 制造计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性，不易取证，风险小破坏大，从而刺激了犯罪意识和犯罪活动，是某些人恶作剧和报复心态在计算机应用领域的表现。 3.1.2 病毒的发展史 2．计算机软硬件产品的脆弱性是根本的技术原因 计算机是电子产品。数据从输入、存储、处理、输出等环节，易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式，效率低且生产周期长；人们至今没有办法事先了解一个程序有没有错误，只能在运行中发现、修改错误，并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。 3.1.2 病毒的发展史 3．微机的普及应用是计算机病毒产生的必要环境 1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延，到我国是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施，能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解得越来越清楚，不同的目的可以做出截然不同的选择。目前，在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。 3.1.3 病毒的特点 计算机病毒一般具有以下几个特点。 （1）破坏性。凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现为：占用CPU时间和内存开销，从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示等。 （2）隐蔽性。病毒程序大多夹在正常程序之中，很难被发现。 （3）潜伏性。病毒侵入后，一般不立即活动，需要等一段时间，条件成熟后才作用。 （4）传染性。对于绝大多数计算机病毒来讲，传染是它的一个重要特性。它通过修改别的程序，并把自身的拷贝包括进去，从而达到扩散的目的。 3.1.4 病毒的分类 计算机病毒一般可分成4种主要类别：系统引导病毒、文件型病毒、复合型病毒和宏病毒。 1．系统引导病毒 系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。 引导区型病毒是这样工作的：由于病毒隐藏在软盘的第一扇区，使它可以在系统文件装入内存之前先进入内存，从而获得对DOS的完全控制，这就使它得以传播和造成危害。 3.1.4 病毒的分类 2．文件型病毒 文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次激活它们时，感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。 目前，有数千种文件型病毒，它类似于引导区型病毒，极大多数文件型病毒活动在DOS环境中。然而，也有一些文件型病毒能很成功地感染微软 Windows、 IBM OS/2和 Macintosh环境。 3．复合型病毒 复合型病毒具有引导区型病毒和文件型病毒两者的特征。 4．宏病毒 宏病毒一般是指用 Basic书写的病毒程序，寄存在 Microsoft Office文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态。当触发条件满足时，宏病毒才开始传染、表现和破坏。 3.1.5 病毒的结构 计算机病毒一般由引导模块、感染模块、破坏模块、触发模块四大部分组成。