计算机病毒的防治1.pptxVIP

;12.1 计算机病毒的定义;12.2 计算机病毒的发展;到了1987 年，第一个电脑病毒C-BRAIN 终于诞生了。这个病毒程序是由一对巴基斯坦兄弟：巴斯特和阿姆捷特所写的，他们在当地经营一家贩卖个人电脑的商店， 由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。 1.第一代病毒 第一代病毒的产生年代通常认为在1986至1989年之间,这一期间出现的病毒称之为传统病毒,是计算机病毒的萌芽和滋生时期?此时计算机的应用软件少，而且大多是单机运行环境,因此病毒没有大量流行，流行病毒的种类也很有限,病毒的清除工作相对来说较容易? 2.第二代病毒 第二代病毒又称为混合型病毒,其产生的年代在1989至1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段?第二代病毒有如下特点： (1)病毒攻击的目标趋于混合型,即一种病毒既可感染磁盘引导扇区,又可感染可执行文件? (2)病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和感染目标? (3)病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被感染文件原来的建立日期和时间等等? (4)病毒程序往往采取了自我保护措施,如加密技术?反跟踪技术,制造各种障碍,增加人们剖析病毒的难度,也增加了病毒的发现与杀除难度?;(5)出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大? 3.第三代病毒 第三代病毒的产生是从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒?所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,侵入宿主程序中的病毒程序大部分都是可变的,即在收集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点?正是由于这一特点,传统的利用特征码法检测病毒的产品很难检测出此类病毒? 4.第四代病毒 20世纪90年代中后期,随着因特网?远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传播至局域网内,再在局域网内传播扩散?随着因特网的普及,电子邮件的使用,以及 Office系列办公软件被广泛应用,夹杂于电子邮件内的 Office宏病毒成为当时病毒的主流?由于宏病毒编写简单?破坏性强和清除繁杂,加上微软对文档结构没有公开,给直接基于文档结构的宏病毒清除带来了诸多不便? 这一时期的病毒的最大特点是利用Internet作为其主要传播途径,传播对象从传统的引导型和依附于可执行程序文件而转向流通性更强的文档文件中?因而,病毒传播快,隐蔽性强?破坏性大?这些都给病毒防治带来新的挑战?;根据多年对计算机病毒的研究，计算机病毒按照存储介质、破坏力等方法可分类如下： 1、根据病毒存在的媒体 根据病毒存在的媒体，病毒可以划分为： 网络病毒通过计算机网络传播感染网络中的可执行文件 文件病毒感染计算机中的用户文件（如：COM，EXE，DOC等） 引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。 2、根据病毒破坏的能力 根据病毒破坏的能力可划分为以下几种： 无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。 无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型：这类病毒在计算机系统操作中造成严重的错误。 非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。;这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。 3、根据病毒特有的算法 根据病毒特有的算法，病毒可以划分为： 伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM.病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。;“蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网