第十五章计算机病毒-Read.pptVIP

第十五章 计算机病毒 计算机病毒 病毒概述 计算机病毒概述 计算机病毒的表现 病毒的起源与发展 病毒产生的背景 病毒发展 病毒分类 病毒分析 病毒特征 病毒程序结构及机制 计算机病毒 网络蠕虫病毒技术 蠕虫病毒与一般病毒的异同 蠕虫的破坏和发展趋势 网络蠕虫病毒分析 企业防范蠕虫病毒措施 对个人用户产生直接威胁的蠕虫病毒 个人用户对蠕虫病毒的防范措施 小结 计算机病毒 CIH 病毒的表现形式、危害及传染途径 病毒的运行机制 病毒的清除 exe型病毒MyVirus Word宏病毒 宏的概念 宏病毒分析 CtoL宏病毒代码及流程 宏病毒的判断方法 宏病毒的防治和清除 计算机病毒 脚本病毒 邮件型病毒 病毒的检测和防治 病毒检测 病毒防治 计算机系统的修复 计算机病毒概述 与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。 能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 计算机病毒的表现 根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类：发作前、发作时和发作后的表现现象。 计算机病毒发作前的表现现象 计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。 在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。 计算机病毒发作前的表现现象 现象： 平时运行正常的计算机突然经常性无缘无故地死机；病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生。 操作系统无法正常启动；关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。 运行速度明显变慢；可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。 以前能正常运行的软件经常发生内存不足的错误。可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。 打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。 计算机病毒发作前的表现现象 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。 以前能正常运行的应用程序经常发生死机或者非法错误。可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。 系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加，文件的访问和修改日期和时间也会被改成感染时的时间。 运行Word，打开Word文档后，该文件另存时只能以模板方式保存。无法另存为一个DOC文档，只能保存成模板文档（DOT）。这往往是打开的Word文档中感染了Word宏病毒的缘故。 计算机病毒发作前的表现现象 磁盘空间迅速减少。没有安装新的应用程序，而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。 基本内存发生变化。在DOS下用mem /c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小，一般少1Kb～2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。 陌生人发来的电子函件。收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话，或者一封情书等，又带有附件的电子函件。 自动链接到一些陌生的网站。没有在上网，计算机会自动拨号并连接到因特网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。这种联接大多是黑