课件：计算机病毒与木马.ppt

* * 触发条件可以是单个条件或复合条件 1.单条件触发 2.复合条件触发 （1）时间触发条件 （2）功能触发条件 （3）宿主触发条件 4.2.4 常见的计算机病毒 （1）引导型、病毒文件型病毒和复合型病毒 引导型病毒有：大麻病毒、2708病毒、火炬病毒、小球病毒、Girl病毒等。 文件型病毒有：1575/1591病毒、848病毒（感染.COM和.EXE等可执行文件）Macro/Concept、Macro/Atoms等宏病毒（感染.DOC文件）。 复合型病毒有：Flip病毒、新世际病毒、One-half病毒等。 （2）良性病毒和恶性病毒 良性病毒有：小球病毒、1575/1591病毒、救护车病毒、扬基病毒、Dabi病毒等等。恶性病毒有：黑色星期五病毒、火炬病毒、米开朗基罗病毒等。 4.3　计算机病毒的检测与防范 4.3.1计算机病毒检测方法 1. 比较法 2. 加总对比法 3. 搜索法 4. 分析法 5. 人工智能陷阱技术和宏病毒陷阱技术 6. 软件仿真扫描法 7. 先知扫描法 4.3.2 常见计算机病毒的防范 1. 文件型计算机病毒 (1) 安装最新版本的、功能强大的防杀计算机病毒软件，如瑞星、卡巴斯基等。 (2) 及时更新查杀计算机病毒引擎，特别是发生计算机病毒突发事件时要立即更新。 (3) 经常使用防杀计算机病毒软件对系统进行计算机病毒检查。 (4) 对关键文件，如系统文件、保密的数据等，在没有计算机病毒的环境下经常 备份。 (5) 在不影响系统正常工作的情况下对系统文件设置最低的访问权限，以防止计算机病毒的侵害。 (6) 当使用Windows操作系统时，修改文件夹窗口中的默认属性。 2. 引导型计算机病毒 引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。主引导记录病毒感染硬盘的主引导区，如大麻病毒、2708病毒、火炬病毒等；分区引导记录病毒感染硬盘的活动分区引导记录，如小球病毒、Girl病毒等。 (1) 坚持从硬盘引导系统。 (2) 安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。 (3) 经常备份系统引导扇区。 (4) 有效利用主板上提供引导扇区计算机病毒保护功能(Virus Protect)。 3 宏病毒 1.宏病毒 2.宏病毒的判断方法 （1）在打开“宏病毒防护功能”的情况下，当打开一个你自己写的文档时，系统会弹出相应的警告框。而你并没有在其中使用宏或并不知道宏到底怎么用，那么你可以完全肯定你的文档已经感染了宏病毒。 （2）同样情况下，你的OFFICE文档中一系列的文件在打开时都给出宏警告。可以肯定这些文档中有宏病毒。 （3）如果软件中关于宏病毒防护选项启用后，一旦发现你的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则你的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。 3.宏病毒的防治和清除 （1）用最新版的反病毒软件清除宏病毒。 （2）用写字板或WORD 6.0文档作为清除宏病毒的桥梁。 4 蠕虫病毒 个人用户对蠕虫病毒的防范措施有以下几点： （1）选购合适的杀毒软件。 （2）经常升级病毒库。蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。 （3）提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！ 当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高”。 （4）不随意查看陌生邮件，尤其是带有附件的邮件。 4.3.3 计算机病毒的发展趋势 1. 主流病毒皆为综合利用多种编程新技术产生 2. ARP病毒仍是局域网的最大祸害 3. 网游病毒把逐利当作唯一目标 4. 不可避免的面对驱动级病毒 4.4　木马病毒 4.4.1 木马的概述 木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的本意是特洛伊，即指特洛伊木马，也就是木马计的故事）。 4.4.2 木马的发展历史 4.4.2 木马的发展历史 第一代木马：伪装性病毒。 第二代木马 ：AIDS型木马。 第三代木马：网络传播性木马。 1、添加了“后门”功能。 2、添加了击键记录功能。 4.4.3 木马的分类 1. 网络游戏木马 2. 网银木马 3. 即时通讯