计算机病毒的引导机制.pptVIP

* * * * * * * * * 10.4　计算机病毒的检测与防治 　　计算机病毒的危害性非常大，一旦计算机被感染了病毒必须要及时发现，但是计算机病毒的隐蔽性使得及时发现病毒是一件难以完成的任务。尽管如此，用户也应该提高警惕，即使不能够在病毒发作前发现它，也应该在它造成更大危害前发现并清除它。 　　对于人身疾病，中医讲究“望、闻、问、切”，即对病人病情进行诊断，只有正确地掌握了病情，才能对症下药，药到病除。对于计算机病毒，清除病毒之前也必须进行检测以确定病毒的种类和症状，才能准确有效地清除病毒，否则不但无法清除病毒，反而可能造成更大的破坏。 * 10.4　计算机病毒的检测与防治 　计算机病毒的检测 　计算机病毒的清除 　计算机病毒的防范 1、计算机病毒的检测 目前计算机病毒检测的常用方法 特征代码法 校验和法 行为监测法 虚拟执行法 提取病毒样本的特征代码，作为检查依据 具有检测准确、误报率低的优点，病毒清除效果较好。 缺点： 1）无法检测新病毒。 2）特征代码库必须及时更新。 3）检测速度慢，所需时间长。 4）不能检测没有特征代码的病毒。 特征代码法： 为了对付新病毒，特征代码库必须能够及时地得到更新。 因为不掌握新出现病毒的特征代码，因此不能够检测新出现的病毒。 对于待检测的每一个文件，需要将每一种已知病毒的特征代码查找一遍，随着已知病毒数量的增长，检测所需时间也越来越长 如果有些病毒根本就没有特征代码或者特征代码总是不停地变化，则这种病毒就无法使用特征代码法检测出来 计算正常文件的校验和，以后使用此文件时重新计算校验和，并与之前的校验和进行比较，如果不一致则此文件被感染。 优点：既可以检测出已知的病毒，也可以检测出未知病毒；检测一个文件只需检查一次，速度快，耗时少。 缺点： 1）误报率高。 2）不能识别病毒名称。 3）难以进行病毒清除。 校验和法： 不能把病毒感染的情况和用户或程序对文件的正常修改区分开来，会把对文件的正常修改误认为是病毒感染，就会发生误报警。 因为不知道具体是哪一种病毒，因此难以采取有效的办法清除病毒。 * 　　行为监测法 　　反病毒研究者对计算机病毒多年的研究发现病毒也具有一些共性的、与正常程序不同的行为，这些异常行为可以作为是否是病毒的一种判断依据。这些异常行为包括以下几方面。 （1）修改系统配置 （2）修改COM、EXE文件 （3）自动联网 （4）占用INT 13H （5）修改DOS系统数据区的内存总量 很多病毒会修改系统的配置，比如写注册表。 病毒很喜欢感染可执行程序，而正常情况下可执行程序是不会被修改的，因此对COM、EXE等可执行程序的修改多是计算机病毒所为。 很多病毒会自动联网，特别是蠕虫和木马病毒。 引导型病毒会攻击磁盘的BOOT扇区或主引导扇区，通过占用INT 13H中断功能，使自身在系统的启动过程中获得执行权。 病毒为了感染更多的文件经常会常驻内存，在进驻内存之后会修改内存总量以防止DOS系统在其所用内存区域写入数据而将其覆盖。 * 　计算机病毒的检测 　　虚拟执行法 使用虚拟机技术，是目前较为前沿的一种反病毒技术。 以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒，查毒准确率几乎可达100％。 2、计算机病毒的清除 即将病毒模块从被感染的系统或文件中摘除的过程，也就是人们常说的杀毒。 反病毒产品发展史 80年代中期，病毒开始流行，消病毒程序软件出现 1 2 3 4 5 80s末－90s初，病毒数量激增，硬件防病毒卡出现 90s中杀防集成化，90s末出现实时防毒的反病毒软件 2000年前后，出现集中控制分布处理的网络杀毒软件 2003年左右，出现具备防毒功能的硬件网关设备 * 　计算机病毒的清除 　计算机病毒的感染对象主要是系统（磁盘引导区）和文件（包括系统文件在内的各种文件），要采用不同的方法。 （1）引导型病毒的清除 　　引导型病毒感染和破坏的主要是磁盘的引导扇区等特殊存储区域 引导型病毒比感染文件的病毒更难以清除，一般需要先用干净无毒的系统引导盘启动系统后才可以进行病毒的清除工作。 计算机病毒清除的原理 * 　计算机病毒的清除 （2）文件型病毒的清除 病毒对文件的感染如果是通过嵌入或外壳等重新链接的方式感染，则病毒是可以被清除的。通过恢复链接，删除病毒代码可以安全地清除这类病毒，被感染文件也可以安全地被恢复。 如果病毒是采用覆盖的方式进行感染，则被感染文件难以恢复，只能将其删除。 3、计算机病毒的防范 1．备份重要数据（包括操作系统本身和主要应用数据）并妥善保管； 2 ．安装正版的杀毒软件及防火墙程序，设定必要的安全策略，经常更新病毒库； 3 ．及时修补操作系统及常用软件的漏洞； 4 ．禁用G