计算机病毒及防治.pptxVIP

计算机病毒及防治;计算机病毒的定义;计算机病毒的发展历史;2．计算机病毒在中国的发展情况 在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。;3．计算机病毒发展的10个阶段 （1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段 ;计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程可分为： 程序设计→传播→潜伏→触发、运行→实行攻击。 究其产生的原因不外乎以下几种： （1）一些计算机爱好者出于好奇或兴趣 （2）产生于个别人的报复心理 （3）来源于软件加密 （4）产生于游戏 （5）用于研究或实验而设计的“有用”程序 （6）由于政治经济和军事等特殊目的;计算机病毒的分类;计算机病毒的特点 ;计算机病毒的隐藏之处和入侵途径;现代计算机病毒的流行特征;计算机病毒的破坏行为 ;一个引导病毒传染的实例;一个文件病毒传染的实例 ;计算机病毒的一般构成;计算机病毒的传染过程;计算机病毒的触发机制;4．感染触发：许多病毒的感染需要某些条件触发， 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 5．启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 6．访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。;7．调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 8．CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件， 这 种病毒的触发方式奇特罕见。 病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组 合起来的触发条件。 ;计算机病毒的传染机制;计算机病毒的破坏机制;计算机病毒的引导机制;中断与计算机病毒;2．中断与计算机病毒 　与病毒有关的重要中断有： INT 08H和INT 1CH定时中断，有些病毒利用它们的记时判断激发条件。 INT 09H键盘输入中断，病毒用于监视用户击键情况。 INT 10H屏幕输入输出中断，一些病毒用于在屏幕上显示字符图形表现自己。 INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘。 ;INT 21H DOS功能调用，包含了DOS的大部分功能，已发现的绝大多数文件型病毒修改INT 21H中断， 因此也成为防 病毒的重点监视部位。 INT 24H DOS的严重错误处理中断，文件型病毒常进行修改，以防止传染写保护磁盘时被发现。 ;　计算机病毒的检测;1、特征代码法;特征代码法的优点是： 　检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。 其缺点是： 　不能检测未知病毒；搜集已知病毒的特征代码，费用开销大；在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。;特征代码法特点： ;2、校验和法;优点： 　方法简单，能发现未知病毒，被查文件的细微变化也能发现。 缺点： 　发布通行记录正常态的校验和，会误报警，不能识别病毒名称，不能对付隐蔽型病毒。 ;校验和法特点;3、行为监测法 ;监测病毒的行为特征;优点： 　可发现未知病毒、可相当准确地预报未知的多数病毒。 缺点： 　可能误报警、不能识别病毒名称、实现时有一定难度。;4、软件模拟法 ;5、先知扫描法;6、实时I/O扫描;8.2.2 异常情况判断;6）磁盘读/写文件明显变慢，访问的时间加长。 7）系统引导变慢或出现问题，有时出现“写保护错”提示。 8）系统经常死机或出现异常的重启动现象。 9）原来运行的程序突然不能运行，总是出现出错提示。 10）打印机不能正常启动。;　计算机病毒的防治;采取更有效的技术措施 ;其他有效措施 ;8.3　宏病毒;　宏病毒的分类;2．私用宏病毒 私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。