计算机网络安全技术课件.pptxVIP

第八章　计算机病毒及防治;本章学习目标;8.1　计算机病毒概述;8.1.1　计算机病毒的定义;8.1.2　计算机病毒的发展历史;2．计算机病毒在中国的发展情况 在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。;3．计算机病毒发展的10个阶段 （1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段 ;8.1.3　计算机病毒的分类;8.1.4　计算机病毒的特点 ;8.1.5　计算机病毒的隐藏之处和入侵途径;8.1.6　现代计算机病毒的流行特征;;;8.1.7　计算机病毒的破坏行为 ;8.1.8　计算机病毒的作用机制 ;一个引导病毒传染的实例;1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。 ;一个文件病毒传染的实例 ;1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。 4）转回原INT 21H入口，对该执行文件进行正常加载。;计算机病毒的传染过程;8.2　DOS环境下的病毒;8.2.1　DOS基本知识介绍 ;1．DOS的基本结构 ;2．DOS启动过程 ;3．DOS的程序加载过程 ;4．DOS的中断系统 ;多数病毒经常使用磁盘服务中断和时钟中断。;8.2.2　常见DOS病毒分析;;8.3　宏病毒;8.3.1　宏病毒的分类;2．私用宏病毒 私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关???即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。 ;8.3.2　宏病毒的行为和特征;3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。 5）宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。 6）宏病毒具有兼容性。 ;8.3.3　宏病毒的特点;8.3.4　宏病毒的防治和清除方法;4．小心使用外来的Word文档 5．使用选项“Prompt to Save Normal Template” 6．通过Shift键来禁止运行自动宏 7．查看宏代码并删除 8．使用Disable Auto Marcros宏 9．使用OFFICE 97的报警设置 10．设置Normal.dot的只读属性 11．Normal.dot的密码保护 12．创建Payload宏 13．使用Word Viewer或Word Pad 14．将文档存储为RTF格式 ;8.4　网络计算机病毒;8.4.1　网络计算机病毒的特点 ;8.4.2　网络对病毒的敏感性;1．网络对文件病毒的敏感性;2．网络对引导病毒的敏感性 ;3．网络对宏病毒的敏感性 ;8.4.3　网络病毒实例——电子邮件病毒;3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。 4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。 5）使用优秀的防毒软件对电子邮件进行专门的保护。 6）使用防毒软件同时保护客户机和服务器。 7）使用特定的SMTP杀毒软件。 ;8.5　反病毒技术;8.5.1　计算机病毒的检测;1．异常情况判断;6）磁盘读/写文件明显变慢，访问的时间加长。 7）系统引导变慢或出现问题，有时出现“写保护错”提示。 8）系统经常死机或出现异常的重启动现象。 9）原来运行的程序突然不能运行，总是出现出错提示。 10）打印机不能正常启动。;2．计算机病毒的检查;8.5.2　计算机病毒的防治;采取更有效的技术措施