计算机病毒与反病毒技术.pptVIP

导 读 计算机病毒的发展历史及危害 计算机病毒的基本特征和传播方式 病毒的结构 常用的反病毒技术 常用的病毒防范方法 9.1.1 计算机病毒的历史 病毒的产生 它的产生是计算机技术和社会信息化发展到一定阶段的必然产物. 1、计算机病毒产生的背景 （1）是计算机犯罪的新形式：计算机病毒是高技术 犯罪，具有瞬时性、动态性和随机性。不易取 证，风险小破坏大。 （2）计算机软硬件产品的脆弱性是根本的技术原因。 （3）微机的普及应用是计算机病毒产生的必要环境。 2、计算机病毒产生的原因 搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒, 例如象圆点一类的良性病毒。 个别人的报复心理。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒, 就是雇员在工作中受挫或被辞退时故意制造的。 用于版权保护的目的而采取的报复性惩罚措施。 用于研究或有益目的而设计的程序, 由于某种原因失去控制或产生了意想不到的效果。 9.1.2 病毒的本质 病毒的定义借用了生物学病毒的概念, 计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络, 危害正常工作的“病原体”。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。 与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的, 有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单的纯计算机学术问题, 而是一个严重的社会问题了。 病毒的生命周期 （1）隐藏阶段：这个阶段的病毒不进行操作，而是等待事件触发。 （2）传播阶段：病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。 （3）触发阶段：病毒将被激活去执行病毒设计者预先设计好的功能。 （4）执行阶段：这一阶段病毒将执行预先设计的功能直至执行完毕。 病毒的生存周期: 1. 判断部分 判断是否满足发作条件 2. 执行部分 执行恶意代码 3. 伪装、复制部分 1)伪装成正常程序，或者隐藏自身。（木马常用） 2)复制自身代码依附到其他正常程序上（传染），这是传统病毒的特征。 （2）破坏性 对系统来讲，所有的计算机病毒都存在一个共同的危害，即占用系统资源，降低计算机系统的工作效率。 计算机病毒可能会彻底破坏系统的正常运行它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复。并非所有的病毒都有恶劣的破坏作用，有些病毒除了占用磁盘和内存外，没有别的危害。但有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃。 （3）潜伏性 ： 计算机病毒程序进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性越好，它的危害就越大 潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的。 潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。 （5）可触发性： 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。 病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。 如CIH，触发条件：26日 （6）隐蔽性： 病毒一般不经过代码分析，很难与正常程序是区分出来。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。 一是传染的隐蔽性，大多数病毒在传染时速度是极快的，不易被人发现。 二是病毒程序存在的隐蔽性，一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。 （7）衍生性： 分析计算机病毒的结构可知，传染和破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种），这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。 9.1.3 病毒的分类 按破坏性分为： 无害型 无危险型 危险型 非常危险型 按激活时间分为 定时 随机 按照病毒特有的算法分为： 伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。 寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。 变型病毒（幽灵病毒）：使用复杂算法，每传播一次