《计算机网络安全课件》第六章计算机病毒的防治..pptVIP

第六章 计算机病毒的防治 什么是计算机病毒 计算机病毒的传播 计算机病毒的特点及破坏行为 宏病毒及网络病毒 病毒的预防、检查和清除 病毒防御解决方案 6.1 什么是计算机病毒 计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能生成自身的复制并将其插入其他的程序中，执行恶意的行动。 计算机病毒可分为下列几类：P134 1）文件病毒：该病毒在操作系统招待文件时取得控制权并把自己依附在可执行文件上，然后利用这些指令来调用附在文件中某处的病毒代码。 2）引导扇区病毒：它潜伏在软盘的引导扇区，或在硬盘的引导扇区，或主引导记录。 3）多裂变病毒： 4）秘密病毒； 5）异形病毒； 6）宏病毒。 6.2 计算机病毒的传播 6.2.1 计算机病毒的由来 计算机病毒是由计算机黑客们编写的，这些人想证明他们能编写出不但可以干扰和摧毁计算机而且能将破坏传播到其他系统的程序。 6.2.2 计算机病毒的传播 计算机病毒通过某个入侵点进入系统来感染系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中，可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、3W站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验和其他共享设备。 病毒进入系统后的传播方式： 1）通过磁盘的关键区域； 2）在可执行的文件中。 6.2.3 计算机病毒的工作方式 病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒所能表现出来的特性或功能有： 1）感染 引导扇区病毒： 对软盘和硬盘的引导扇区攻击； 文件型病毒： 攻击磁盘上的文件。有两种类型：驻留型、非驻留型。P138 2）变异（变异是病毒可以创建类似自己，但又不同于自身“品种”的一种技术，它使病毒扫描程序难以检测。） 3）触发 4）破坏（如：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。） 5）高级功能病毒（能逃避检测，有的甚至被设计成能够躲开病毒扫描软件和反病毒软件的程序。） 6.3 计算机病毒的特点及破坏行为 6.3.1 计算机病毒的特点 1、刻意编写人为破坏 计算机病毒不是偶然自发产生的，而是人为编写的有意破坏、严谨精巧的程序段，它是严格组织的程序代码，与所在环境相互适应并紧密配合。P140 2、自我复制能力 再生机制是判断是不是计算机病毒的最重要依据。 3、夺取系统控制权 病毒将自身与系统软件挂起钩来，取得系统控制权，系统每执行一次操作，病毒就有机会执行它预先设计的操作，完成病毒代码的传播或进行破坏活动。 4、隐蔽性 不经过程序代码或计算机病毒代码扫描，病毒程序与正常程序不易区别开。 5、潜伏性 大部分病毒在感染系统后一般不会马上发作，它可长期隐藏在系统中，除了传染外，不表现出破坏性，只有在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。 6、不可预见性 不同种类病毒的代码千差万别，病毒的制作技术也在不断地提高，病毒比反病毒软件永远是超前的。 6.3.2 计算机病毒的破坏行为 计算机病毒的破坏性表现为病毒的杀伤能力。根据有关病毒资料可以把病毒的破坏目标和攻击部位归纳如下： 1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰键盘 6、攻击CMOS 7、干扰打印机 8、网络病毒破坏网络系统 6.4 宏病毒及网络病毒 6.4.1 宏病毒 宏----就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。 1、宏病毒的行为和特征 宏病毒----就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows 9x、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒。 1）宏病毒行为机制（P142） 2）宏病毒特征（P143） 2、宏病毒的防治和清除方法 1）使用选项“提示保存Normal”； 2）通过Shift键来禁止运行自动宏； 3）查看宏代码； 4）使用DisableAutoMacros宏； 5）使用Word 97的报警设置； 6）设置Normal.dot的只读属性； 7）Normal.dot的保护。 6.4.2 网络病毒 1、网络病毒的特点 计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而形成多种共享资源的交叉感染。因此，网络环境下病毒的防治就显得更加重要。 2、病