第3章节 计算机病毒及防治.pptVIP

第3章 计算机病毒及防治 3.1 计算机病毒概述　 3.2 计算机病毒的工作机理　 3.3 计算机病毒实例 3.4 计算机病毒的检测和清除　　 3.1 计算机病毒概述 计算机病毒的定义 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒的发展历史 1986年1月，首例病毒：巴基斯坦病毒(Pakistan或称Brain病毒) ，1986-1995 年间主要通过软盘传播。 1989年春，在我国发现了首例计算机病毒——小球病毒 1999年email出现之前，利用微软Word等程序的宏病毒将散布时间从数周甚至数月缩短到了数天。 1998年的CIH 1998年以后：红色代码、尼姆达、冲击波… 3.1.1 计算机病毒的概念和发展史 1．萌芽阶段 2．DOS平台阶段 3．Windows平台阶段 4．互联网阶段 3.1.2 计算机病毒的特征 计算机病毒一般具有以下几个特征。 1．传染性 病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。 2．非授权性 隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用户是未知的，未经用户许可的。 3．隐蔽性 不经过代码分析，很难将病毒程序与正常程序区别开来。 4．潜伏性 一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发现。 5．破坏性 一旦发作会造成系统或数据的损伤甚至毁灭。 6．不可预见性 不同种类的病毒，它们的代码千差万别 3.1.3 计算机病毒的种类 1．按病毒的寄生方式分类 （1）文件型病毒 （2）引导型病毒 （3）混合型病毒 2．按病毒的传染方法分类 （1）驻留型病毒 （2）非驻留型病毒 3．按病毒的破坏能力分类 （1）无害性 具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。 （2）无危害性 这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出声音等。 （3）危险性 这类病毒在计算机系统操作中造成严重的错误。 （4）非常危险性 这类病毒会删除程序，破坏数据，清除系统内存区和操作系统中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大的。 4．按病毒特有的算法分类 （1）伴随型病毒 （2）“蠕虫”病毒 （3）寄生型病毒 5．按病毒的链接方式分类 （1）源码型病毒 （2）嵌入型病毒 （3）外壳病毒 （4）操作系统型病毒 3.2 计算机病毒的工作机理 3.2.1 引导型病毒 1．引导区的结构 2．计算机的引导过程 3．引导型病毒的基本原理 覆盖型和转移型 3.2.2 文件型病毒 （1）内存驻留的病毒首先检查系统内存，查看内存是否已有此病毒存在，如果没有则将病毒代码装入内存进行感染。 （2）对于内存驻留病毒来说，驻留时还会把一些DOS或者基本输入输出系统（BIOS）的中断指向病毒代码 （3）执行病毒的一些其他功能，如破坏功能，显示信息或者病毒精心制作的动画等。 （4）这些工作后，病毒将控制权返回被感染程序，使正常程序执行。 3.2.3 混合型病毒 混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒，它们可以感染可执行文件，也可以感染引导区，并使之相互感染，具有相当强的感染力。 3.2.4 宏病毒 宏病毒是计算机病毒历史上发展最快的病毒，它也是传播最广泛，危害最大的一类病毒。据国际计算机安全协会（International Computer Security Association）的统计报道，在当前流行的病毒中，宏病毒占全部病毒的80%左右。 宏病毒是一类使用宏语言编写的程序，依赖于微软Office办公套件Word、Excel和PowerPoint等应用程序传播。 1．宏病毒的特征 （1）宏病毒与传统的文件型病毒有很大的不同。 （2）宏病毒的感染必须通过宏语言的执行环境（如Word和Excel程序）的功能，不能直接在二进制的数据文件中加入宏病毒代码。 （3）宏病毒是一种与平台无关的病毒，任何可以正确打开和理解Word文件宏代码的平台都可能感染宏病毒。 （4）此外宏病毒编写容易，破坏性强。它使用Visual Basic For Applications（VBA）这样的高级语言编写，编写比较简单，功能比较强大，只要掌握一些基本的“宏”编写手段，即可编写出破坏力很大的宏病毒。 （5）宏病毒的传播速度极快。由于网络的普及，Email和FTP服务使人们更加方便快捷地获取