课件：计算机病毒的防治.ppt

病毒的预防 （1）对新购置的计算机系统用检测病毒软件检查已知病毒，用人工检测方法检查未知病毒。 （2）对硬盘可以进行检测或进行低级格式化，因为对硬盘只做DOS的Format格式化是不能去除主引导区（分区表扇区）病毒的。 （3）新安装的计算机软件也要进行病毒检测。 （4）在网络服务器安装生成时，应将整个文件系统划分成多文件卷系统，而不是只划分成不区分系统、应用程序和用户独占的单卷文件系统。 病毒的预防 （5）安装服务器时应保证没有病毒存在，即安装环境不能带病毒，而网络操作系统本身不感染病毒。 （6）网络系统管理员应将SYS系统卷设置成对其它用户为只读状态，屏蔽其它网络用户对系统卷除读取以外的其它所有操作，如修改、改名、删除、创建文件和写文件等操作权限。 （7）在应用程序卷安装共享软件时，应由系统管理员进行，或由系统管理员临时授权进行。 （8）系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描，发现异常情况应及时处理，不使其扩散。 病毒的预防 （9）系统管理员的口令应严格管理，为了防止泄漏，要定期或不定期地进行更换，保护网络系统不被非法存取、感染上病毒或遭受破坏。 （10）在网络工作站上采取必要的抗病毒技术措施，可使网络用户一开机就有一个良好的上机环境，不必再担心来自网络内和网络工作站本身病毒。 （11）在服务器上安装防病毒系统。 （12）及时安装系统补丁。 病毒的预防 作为应急措施，网络系统管理员应牢记下列几条。 （1）在因特网中，由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染，因此，当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进行处理。不应让系统带病毒继续工作下去，要按照特别情况查清整个网络，使病毒无法反复出现来干扰工作。 （2）由于计算机病毒在网络中传播得非常迅速，很多用户不知应如何处理。因此，应立即请求专家的帮助 （3）注意观察下列现象： ●文件的大小和日期是否变化； ●系统启动速度是否比平时慢； 病毒的预防 ●系统运行速度异常慢； ●检查内存发现不该驻留的程序已驻留； ●键盘、打印或显示有异常现象； ●有特殊文件自动生成； ●磁盘空间自动产生坏簇或磁盘空间减少； ●文件莫名其妙地丢失； ●系统异常死机的次数增加。 病毒的检查 计算机病毒要进行传染，必然会留下痕迹。检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中，因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。 1．病毒的检查方法 检测的原理主要是基于下列四种方法，比较被检测对象与原始备份的比较法，利用病毒特征代码串的搜索法，病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。 病毒的检查 （1）比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 （2）搜索法 搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 （3）计算机病毒特征字的识别法 计算机病毒特征字的识别法是基于特征串扫描法发展起来的一种新方法。它工作起来速度更快、误报警更少。特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。 病毒的检查 （4）分析法 本方法由专业反病毒技术人员使用。 分析法的目的在于： ①确认被观察的磁盘引导区和程序中是否含有病毒； ②确认病毒的类型和种类，判定其是否是一种新病毒； ③搞清楚病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到病毒代码库供病毒扫描和识别程序用； ④详细分析病毒代码，为制定相应的反病毒措施制定方案。 病毒的检查 2．病毒扫描程序 这种程序找到病毒的主要办法之一就是寻找扫描串，也被称为病毒特征。这些病毒特征能唯一地识别某种类型的病毒，扫描程序能在程序中寻找这种病毒特征。 3．完整性检查程序 另一类反病毒程序，它是通过识别文件和系统的改变来发现病毒，或病毒的影响。 4．行为封锁软件 该软件的目的是防止病毒的破坏。通常，这种软件试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时，行为封锁软件就会检测到病毒并警告用户。 病毒的清除 计算机感染病毒后的恢复 1．防止和修复引导记录病毒 防止软引导记录、主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序，避免从软盘引导。必须从软盘引导时，应该确认该软盘无毒。 （1）修复感染的软盘 （2）修复感染的主引导记录 （3）利用反病毒软件修复 2．防止和修复可执行文件病毒 病毒的清除 1．引导型病毒的处理 与引导型病毒有关的扇区大概有下面三个部分。