第7章 病毒防护.pptVIP

第7章 病毒防护 主讲：××× 7.1 病毒的基本特征 7.1.1 常见的计算机的病毒 7.1.2 计算机病毒的基本结构 7.1.3 计算机病毒的共同特征 7.1.4 计算机病毒的新特点 7.1.1 入侵检测方法 1.木马病毒 木马病毒源于古希腊的特洛伊木马神话，它是把自己伪装在正常程序内部的病毒，这种病毒的伪装性强，通常使用户很难判断它到底是合法程序还是木马。木马病毒带有黑客性质，它有强大的控制和破坏能力，可窃取密码、控制系统、操作文件等。 7.1.1 入侵检测方法 2.宏病毒 宏是一系列由用户编写或录制的命令和指令，用来实现任务执行的自动化。 宏病毒是使用Word的VBA编程接口，编写的具有病毒特征的宏集合。它的危害性大，以二进制文件加密压缩格式存入.doc或.dot文件中，它通过小文档或模板进行大量自我复制及传染。一旦运行宏病毒，相应的Normal模板会被传染，所有打开的Word文档都会在自动保存时被传染。 7.1.1 入侵检测方法 3.宏病毒 蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它消耗大量系统资源，使其他程序运行减慢甚至停止，最后导致系统和网络瘫痪。蠕虫病毒的传染目标是互联网内的所有计算机，其传播方式分为两类：一类是利用系统漏洞主动进行攻击,另外一类是通过网络服务传播。 7.1.1 入侵检测方法 4.宏病毒 PE病毒是指所有感染Windows操作系统中PE文件格式的病毒。PE病毒大多数采用Win 32汇编语言编写。该病毒感染普通PE文件（如EXE文件）并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体， PE病毒没有.data段，变量和数据全部放在.code段，病毒本身没有什么危害，但被感染的文件可能被破坏。 7.1.1 入侵检测方法 5.宏病毒 脚本病毒通常是用JavaScript或者VBScript代码编写的恶意代码病毒。JavaScript脚本病毒通过网页进行传播，一旦用户运行了带有病毒的网页，病毒就会修改IE首页、修改注册表等信息，给用户使用计算机带来不便。 VBS脚本病毒是使用VBScript编写的，以宏病毒和新欢乐时光病毒为典型代表。VBS脚本病毒编写简单，破坏力大，感染力强。这类病毒通过.htm文档，E-mail附件或其他方式传播，因此传播范围大。 7.1.1 入侵检测方法 5.恶意网页病毒 网页病毒主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML（超文本标记语言）内的Java Applet小应用程序、JavaScript脚本语言程序或ActiveX控件，强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源，盗取用户文件，或恶意删除硬盘文件、格式化硬盘。这种网页病毒容易编写，使用户防不胜防，最好的办法是选用有网页监控功能的杀毒软件。 7.1.2 计算机病毒的基本结构 对计算机病毒的代码进行分析和比较,可以看出整个病毒代码虽然短小，但包含以下三个部分： （1）引导部分。该部分的作用是将病毒主体加载到内存，为传染部分做准备。很多病毒采用驻留内存、修改中断、修改高端内存、保存原中断向量等操作入侵系统。 （2）传染部分。该部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式、传染条件上各有不同。 （3）表现部分。该部分是病毒间差异最大的部分，引导部分和传染部分是为表现部分服务的，大部分的病毒都是有一定条件才会触发其表现部分的。 7.1.3 计算机病毒的共同特征 计算机病毒的共同特征有以下5种: （1）传染性。传染性是病毒的最基本特征。计算机病毒有很强的再生机制，病毒程序一旦加到运行的程序体上，就能感染其他程序，并且迅速扩散到整个计算机系统，当与网络进行数据交换时，也将使病毒在网上传播。 （2）破坏性。病毒指的是带有破坏性质的恶意程序，所以病毒对系统的破坏性成为其重要的衡量方式。根据计算机病毒破坏能力的不同，将其分为良性病毒和恶性病毒。恶性病毒指的是一旦病毒感染系统就立即爆发，实现对系统的破坏过程。良性病毒是指不包含立即直接破坏的代码，它的特征不很明显，但是当系统大量感染的时候，会大量占用系统资源，导致系统中断和网络瘫痪。 （3）隐蔽性。大多数计算机病毒是代码设计非常短小的程序。它通常把自己隐蔽在系统正常程序中，以防止用户发现。隐蔽性是病毒的反侦察