《计算机信息安全技术》.pptVIP

第6章 计算机病毒防范技术 本章：3 学时 理论讲授2学时，上机实验1学时 第6章 计算机病毒防范技术 熟练掌握：计算机病毒程序的一般构成和基本工作原理、计算机病毒的诊断和防范措施、网络病毒的防范和清除。 掌握：计算机病毒的特征和分类、杀毒软件的选择和使用。 了解：计算机病毒的定义和特征、宏病毒分析和蠕虫病毒的分析、清除计算机病毒的原则。 第6章 计算机病毒防范技术 6.1 计算机病毒概述 6.2 计算机病毒分析 6.3 计算机病毒的诊断和防范 本章小结 实验 13-2 杀毒软件的配置与使用 6.1 计算机病毒概述 6.1.1 计算机病毒的起源 1983年11月3日，弗雷德.科恩（Fred Cohen）博士研制出了一种在运行过程中可以复制自身的破坏性程序。伦.艾德勒曼（Len Adleman）将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出，提出8小时候后，专家们在VAX11/750计算机系统上运行这个程序，第一个病毒实验成功。 1988年底，我国国家统计部门发现的小球病毒是我国最早发现的计算机病毒。 业界较为一致的看法：计算机病毒起源于“磁芯大战”，大家公认的计算机病毒的起源地是美国。 6.1 计算机病毒概述 6.1.2 计算机病毒的定义和特征 广义上，能够引起计算机故障，破坏计算机数据的程序都可称为计算机病毒。 狭义上，特别是我国 “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 计算机病毒的主要特征：破坏性、传染性、隐蔽性、寄生性、潜伏性、可触发性、针对性、不可预见性。 计算机病毒的破坏性、传染性、隐蔽性是计算机病毒的基本特征。 6.1 计算机病毒概述 6.1.3 计算机病毒的分类 根据各种计算机病毒的特点及特征可把计算机病毒大致归结为以下几种类型： 1. 引导型病毒 2. 文件型病毒 3. 复合型病毒 4. 宏病毒 5. 特洛伊木马型病毒 6. 蠕虫病毒 7. 破坏性程序病毒 8. 网页病毒 6.2 计算机病毒分析 6.2.1 计算机病毒程序的组成 计算机病毒程序一般由三大模块组成：引导模块、传染模块、破坏/表现模块。 对任何一个病毒程序来说，引导模块、传染模块是必不可少的，而破坏/表现模块可以直接隐含在传染模块中，也可以单独构成一个模块。传染模块和破坏/表现模块这两个模块中分别包含一段触发条件的检查代码，检查是否满足传染和破坏的触发条件，只有在满足相应的条件时，计算机病毒才会进行传染和破坏。 6.2 计算机病毒分析 6.2.1 计算机病毒程序的组成 1. 引导模块 引导模块的作用是把计算机病毒由外存引入到内存，使传染模块和破坏/表现模块处于活动状态。 2. 传染模块 传染模块的主要作用是将病毒传染到其他对象上去。该模块通常包括两部分：传染条件判断部分和实施传染部分。 3. 破坏/表现模块 破坏/表现模块是计算机病毒的主体模块，主要作用是实施计算机病毒的破坏/表现动作。破坏/表现模块也分为触发条件判断和实施破坏两部分。 6.2 计算机病毒分析 6.2.2 计算机病毒的工作原理 1. 计算机病毒标识 计算机病毒对磁盘或文件进行传染后，一般都要在磁盘或宿主程序上留下自己的病毒标识。 大多数计算机病毒的标识都是由26个英文字母和数字组成的字符串，它位于程序的某个特定位置。 通过对计算机病毒标识的查找可以检测计算机病毒的存在。 也有一些病毒没有病毒标识，比如大麻病毒。 6.2 计算机病毒分析 6.2.2 计算机病毒的工作原理 2. 计算机病毒的工作机制 不同种类型的计算机病毒，其工作机制也各不相同。 （1）引导型病毒的工作机制 引导型病毒常驻计算机系统引导区，通过改变计算机系统引导区的正常分区来达到破坏的目的。 （2）文件型病毒的工作机制 文件型病毒的工作方式可分为3类：覆盖型、 前/后附加型和伴随型。 6.2 计算机病毒分析 6.2.3 宏病毒分析 1. 宏病毒的工作机制 宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性。宏病毒将特定的宏命令代码附加在指定的文档文件上，通过文档文件的打开或关闭操作来获得系统的控制权，实现宏