人教版信息技术五上第14课《防治计算机病毒》ppt幻灯片1.ppt

计算机病毒及防治;8.1　计算机病毒概述;8.1.1　计算机病毒的定义;8.1.2　计算机病毒的发展历史;2．计算机病毒在中国的发展情况 在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。;3．计算机病毒发展的10个阶段 （1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段 ;　　计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程可分为： 程序设计→传播→潜伏→触发、运行→实行攻击。;究其产生的原因不外乎以下几种：;8.1.3　计算机病毒的分类;8.1.4　计算机病毒的特点 ;8.1.5　计算机病毒的隐藏之处和入侵途径;8.1.6　现代计算机病毒的流行特征;增强隐蔽性： （1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持宿主程序的外部特性 （4）不使用明显的感染标志 ;加密技术处理 ： （1）对程序段动态加密 （2）对显示信息加密 （3）对宿主程序段加密 ;8.1.7　计算机病毒的破坏行为 ;8.1.8　计算机病毒的作用机制 ;一个引导病毒传染的实例;1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。 ;一个文件病毒传染的实例 ;1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。 4）转回原INT 21H入???，对该执行文件进行正常加载。;计算机病毒的一般构成;3 . 表现部分 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。 ;计算机病毒的传染过程;计算机病毒的触发机制;4．感染触发：许多病毒的感染需要某些条件触发， 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 5．启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 6．访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。;7．调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 8．CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件， 这 种病毒的触发方式奇特罕见。 病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组 合起来的触发条件。 ;计算机病毒的传染机制;计算机病毒的破坏机制;计算机病毒的引导机制;中断与计算机病毒;2．中断与计算机病毒 　与病毒有关的重要中断有： INT 08H和INT 1CH定时中断，有些病毒利用它们的记时判断激发条件。 INT 09H键盘输入中断，病毒用于监视用户击键情况。 INT 10H屏幕输入输出中断，一些病毒用于在屏幕上显示字符图形表现自己。 INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘。 ;INT 21H DOS功能调用，包含了DOS的大部分功能，已发现的绝大多数文件型病毒修改INT 21H中断， 因此也成为防 病毒的重点监视部位。 INT 24H DOS的严重错误处理中断，文件型病毒常进行修改，以防止传染写保护磁盘时被发现。 ;8.2.1　计算机病毒的检测;1、特征代码法;特征代码法的优点是： 　检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。 其缺点是： 　不能检测未知病毒；搜集已知病毒的特征代码，费用开销大；在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。;特征代码法特点： ;2、校验和法;