计算机病毒及防治方法.ppt

第九章　计算机病毒及防治;本章学习目标;9.1　计算机病毒概述;9.1.1　计算机病毒的定义;9.1.2　计算机病毒的发展历史;9.1.3　计算机病毒的分类;9.1.4　计算机病毒的特点 ;9.1.5　计算机病毒的隐藏之处和入侵途径;9.1.6　现代计算机病毒的流行特征;增强隐蔽性： （1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持宿主程序的外部特性 （4）不使用明显的感染标志 ;加密技术处理 ： （1）对程序段动态加密 （2）对显示信息加密 （3）对宿主程序段加密 ;9.1.7　计算机病毒的破坏行为 ;9.1.8　计算机病毒的作用机制 ;一个引导病毒传染的实例;1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。 ;一个文件病毒传染的实例 ;1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。 4）转回原INT 21H入口，对该执行文件进行正常加载。;计算机病毒的传染过程;9.2　DOS环境下的病毒;9.2.1　DOS基本知识介绍 ;1．DOS的基本结构 ;2．DOS启动过程 ;3．DOS的程序加载过程 ;4．DOS的中断系统 ;多数病毒经常使用磁盘服务中断和时钟中断。;9.2.2　常见DOS病毒分析; （a）引导型病毒 ;9.3　宏病毒;9.3.1　宏病毒的分类;2．私用宏病毒 私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。 ;9.3.2　宏病毒的行为和特征;3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。 5）宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。 6）宏病毒具有兼容性。 ;9.3.3　宏病毒的特点;9.3.4　宏病毒的防治和清除方法;4．小心使用外来的Word文档 5．使用选项“Prompt to Save Normal Template” 6．通过Shift键来禁止运行自动宏 7．查看宏代码并删除 8．使用Disable Auto Marcros宏 9．使用OFFICE的报警设置 10．设置Normal.dot的只读属性 11．Normal.dot的密码保护 12．创建Payload宏 13．使用Word Viewer或Word Pad 14．将文档存储为RTF格式 ;9.4　网络计算机病毒;9.4.1　网络计算机病毒的特点 ;9.4.2　网络对病毒的敏感性;1．网络对文件病毒的敏感性;2．网络对引导病毒的敏感性 ;3．网络对宏病毒的敏感性 ;;9.4.3　网络病毒实例——电子邮件病毒;3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。 4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。 5）使用优秀的防毒软件对电子邮件进行专门的保护。 6）使用防毒软件同时保护客户机和服务器。 7）使用特定的SMTP杀毒软件。 ;专攻网络的GPI病毒;9.5　反病毒技术;9.5.1　计算机病毒的检测;1．异常情况判断;6）磁盘读/写文件明显变慢，访问的时间加长。 7）系统引导变慢或出现问题，有时出现“写保护错”提示。 8）系统经常死机或出现异常的重启现象。 9）原来运行的程序突然不能运行，总是出现出错提示。 10）打印机不能正常启动。;2．计算机病毒的检查;9.5.2　计算机病毒的防治;采取更有效的技术措施 ;其他有效措施 ;防范计算机网络病毒的一些措施： ;5）工作站采用防病毒芯片，这样可防止引导型病毒。 6）正确设置文件属性，合理规范用户的访问权限。 7）建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。 8）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LAN Protect和LAN Clear for NetWare等网络防火墙。 9