计算机网络安全技术第9章 计算机病毒与防御.pptVIP

木马程序通常分为服务器和客户端两个部分。客户端由病毒的操控者掌握，而服务器端被埋藏于被攻击的计算机中，并诱使被攻击者执行木马程序，这一点与蠕虫病毒很象。 木马程序的主要目的是窃取计算机中的秘密并安全的发送给木马的操控者，而传染性不是木马的主要目的。 怎样发现计算机中是否感染木马程序？最有效的方法是在计算机中安装个人防火墙软件，监视所有的进出数据，如果发现有程序毫无道理的对外发送数据或自动发送电子邮件，可以怀疑可能有木马程序在。 木马程序代码：以独立文件的形式存在或依附于一个宿主文件。 木马代码执行方法：诱惑用户点击执行或修改注册表而自动启动。 杀除方法：直接删除木马程序文件。 9.3 计算机病毒的查杀与防范方法 9.3.1 杀毒软件工作原理 9.3.2 如何使用杀毒软件 9.3.3 计算机病毒的预防 9.3.1 杀毒软件工作原理 目前常用的检测病毒方法有： 特征代码法 校验和法 行为监测法等 特征代码法 每一个病毒都是一段程序，每一个新病毒一定有一段与众不同的程序代码。这个与众不同的代码就构成这段程序的特征。通过分析病毒程序，找出该病毒与众不同的特征代码，将其提取出来加入查毒软件病毒特征库，查毒软件在查毒过程中将每一个被检查的程序和病毒特征代码库中的病毒特征代码相比较，如果产生吻合就可以断定被检测的程序已被具有此种特征的病毒所感染。 特征代码法的特点 需要不断更新病毒代码特征库 检测准确快速 可识别病毒名称、可做杀毒处理 不能检测未知的病毒 随着病毒数量的增多，查毒开销很大 校验和法 软件作者在制作出软件后，计算出软件的校验和件，并将校验和与软件一起发布。如果软件被病毒所感染，校验和就会发生变化，软件使用者或杀毒软件根据软件的校验和是否发生变化判断软件是否被病毒所感染。 校验和法的特点 可以发现未知病毒 不能判断病毒的类型和名称，不能杀除病毒 误报率较高 第9章 计算机病毒与防御 本章要求 掌握计算机病毒的概念义 了解计算机病毒的发展史与危害 熟悉计算机病毒的主要特性 掌握计算机病毒的分类、查杀与防范方法。 本章主要内容 9.1 计算机病毒的概念 9.2 计算机病毒的种类 9.3 计算机病毒的查杀与防范方法 9.1.1 计算机病毒的定义 9.1.2 计算机病毒的发展史 9.1.3 计算机病毒的危害 9.1.4 计算机病毒的主要特性 9.1.1 计算机病毒的定义 在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，计算机病毒是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 从广义上讲，一些恶意程序虽然不能自我复制，但会对计算机系统产生破坏或严重损害计算机使用者的利益，这些程序往往也被归类为计算机病毒，如木马程序等。 9.1.2 计算机病毒的发展史 最早提出电脑病毒概念的是电脑的先驱者冯·诺伊曼。在他的一篇论文《复杂自动装置的理论及组识的进行》里，勾勒出病毒程序自我繁殖的基本原理。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。 第一次验证了计算机病毒存在的可能性是在1983年11月，美国电脑专家弗雷德?科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，并将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出，之后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功。但这个病毒程序仅存在于实验室，证明计算机病毒是可以被制造出来的，但其并没有对外扩散。 第一个真正的电脑病毒诞生于1987年。 这个病毒程序是由一对巴基斯坦兄弟：巴斯特和阿姆捷特所写。此兄弟二人在当地经营一家个人电脑的商店，由于当地盗拷软件的风气盛行，他们为了防止他们的软件被任意盗拷，编写出一个特殊的程序，只要有人盗拷他们的软件，这个程序就会发作，将盗拷者的硬盘剩余空间给吃掉。这个程序命名为Pakistani Brain(巴基斯坦大脑)，被公认为是世界上第一个计算机病毒，这个病毒在其后的一年时间里扩散到世界各地。 第一代病毒 第一代病毒的产生年代通常认为在1986-1989年之间，这一期间出现的病毒称之为传统病毒，是计算机病毒的萌芽和滋生时期。 这一阶段的计算机病毒具有如下的一些特点： （1）病毒攻击的目标比较单一，有些传染磁盘引导扇区，有些传染可执行文件。 （2）病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染。 （3）病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加、文件建立的日期和时间发生变化等等。这些特征容易被人工或查毒软件所发现。 （4）病毒程序不具有自我保护的措施，容易被人们分析和解剖，从而使得人们容易编制相