第十章计算机恶意程序与病毒第十章计算机恶意程序与病毒五、宏病毒.ppt

??OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板（Normal．dot），里面包含了基本的宏。只要一启动Word，就会自动运行Normal．dot文件。如果在Word中重复进行某项工作，可用宏使其自动执行。Word提供了两种创建宏的方法： 宏录制器和Visual Basic编辑器。 宏病毒具有如下特征： ①与操纵系统平台无关 它可以感染DOS, Windows, Win95, WinNT, MAC等系统下的文档和模板。 ②利用MS Word字处理软件特性自动装载病毒宏代码 ③感染数据文件 宏病毒可以感染DOC, DOT, XLS等类型的数据文件 ④检测消除困难 第十章计算机恶意程序与病毒 产生的问题： 用户反感、怀疑、愤怒、不愿使用。 反病毒技术和消病毒软件失去实用性，可信性。这种副作用在病毒变异和病毒交叉感染情况下尤其严重，对病毒的错误消除将产生文件或者系统的不可能恢复。 第十章计算机恶意程序与病毒 错误检测将导致错误消除，可能引起系统崩溃、死机，使系统不能恢复。 目前，很多病毒不能安全清除，或清除后系统恢复不全。 不能清除的原因: 新型病毒机理不完全了解，计算有误，恢复点不完全，重要数据已经丢失。 不能恢复的原因: 破坏性感染，复盖型感染，转移型 + 复盖性感染，物理性删除等。 最后形成：系统安全恢复，系统部分恢复，系统带毒运行，系统不能恢复。 第十章计算机恶意程序与病毒 四、计算机病毒的预防与免疫 防患于未来，反病毒技术的宗旨。 没有一劳永益的事， 能有一种反病毒软、硬件能防止未来的病毒吗？否！ 免疫法和以毒攻毒的办法能否有效？对某些病毒有效，有些无效。并非所有病毒都是可以免疫的。 由于病毒的变异，某些病毒免疫标志也会发生变化，甚至消失。这样，免疫法在时过境迁的情况下是不能阻止病毒的再次感染，也不能防止未来的病毒。以毒攻毒的办法只适合于某类病毒，并非都有效。 第十章计算机恶意程序与病毒 必须防止以毒攻毒办法的滥用。 反病毒技术是针对一定的硬件环境，针对病毒的机理和技术形成的，要防止未来形病毒，必须找出计算机系统本身的薄弱点，加强系统本身的安全。 如果只是针对病毒而寻找反病毒方法，研究反病毒技术，将永远是被动的，会永远受病毒技术制约，落后于病毒技术。 第十章 计算机安全与恶意程序 几种重要病毒 1。CIH病毒（病毒编写人：陈益豪，台湾） CIH病毒又名“切尔诺贝利病毒”（病毒被设定在前苏联切尔诺贝利核电站事故的周年纪念日发作），是已知计算机病毒中危害最大的一种，传染力强、破坏性非常大，甚至会对硬件设备造成损害。与一般计算机病毒不同，它既破坏软件，又破坏与硬件有关的固件（firmware：存储有程序指令和数据的硬件芯片）中的内容，使计算机主板失效（注意，不是直接摧毁硬件，这是一个概念问题）。 第十章 计算机安全与恶意程序 几种重要病毒 截止2000年，CIH病毒有３个重要版本：1.2版本（４月26日爆发），1.3版本（6月26日爆发），1.4版本（5月26日爆发），变异版本（每月26日爆发）。 CIH病毒的防范措施： 1）提前检查和清除病毒，可利用各种反病毒软件。 2）人工在病毒发作前修改计算机上的时间，避开病毒爆发。 3）病毒入侵途径通过国际互联网，建议用户在下载网上文件时一定要谨慎。 第十章 计算机安全与恶意程序 第二代CIH病毒 第二代CIH病毒主要攻击ＮＴ网和汉字简码库，主要针对我国计算机系统进行攻击，新病毒具有微软Windows.NT版和微软Windows汉字简码库两个版本进行攻击，造成NT整个网络瘫痪和所有汉字系统破坏。 第十章 计算机安全与恶意程序 CIH病毒受损修复方法 　 CIH病毒发作后的现象：硬盘不能正常启动，所有逻辑分区丢失，显示器不能正常显示，系统BIOS被病毒改写，软盘不能正常启动计算机。 　 1．磁盘修复 　对于已经被C