计算机网络安全8计算机病毒防范技术.pptVIP

（1）CIH病毒的表现形式 受感染的.EXE文件的文件长度没有改变； DOS以及WIN 3.1 格式（NE格式）的可执行文件不受感染，并且在Win NT中无效。 用资源管理器中“工具查找文件或文件夹”的“高级包含文字”查找EXE特征字符串——“CIH v”，在查找过程中，显示出一大堆符合查找特征的可执行文件。 若4月26日开机，显示器突然黑屏，硬盘指示灯闪烁不停，重新开机后，计算机无法启动。 第三十页，共五十六页。 （2）CIH病毒的行为机制 CIH病毒直接进入Windows内核。没有改变宿主文件的大小，而是采用了一种新的文件感染机制即碎洞攻击（fragmented cavity attack），将病毒化整为零，拆分成若干块，插入宿主文件中去；最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性，向计算机主板的BIOS端口写入乱码，开创了病毒直接进攻计算机主板芯片的先例。可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向。 第三十一页，共五十六页。 2．宏病毒 宏的定义 所谓宏，就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法，把常用的动作编写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作。 所谓“宏病毒”，是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在Windows 9X、Windows NT/2000、OS/2和Macintosh System 7等操作系统上执行。 第三十二页，共五十六页。 （1）宏病毒的行为机制 Word模式定义出一种文件格式，将文档资料以及该文档所需要的宏混在一起放在后缀为doc的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方法。正因为这种宏也是文档资料，便产生了宏感染的可能性。 Word宏病毒通过doc文档和dot模板进行自我复制及传播。计算机文档是交流最广的文件类型。这就为Word宏病毒传播带来了很多便利，特别是Internet网络的普及和E-mail的大量应用更为Word宏病毒的传播“拓展”了道路。 第三十三页，共五十六页。 （2）Word宏病毒特征 Word宏病毒会感染doc文档和dot模板文件。 Word宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒宏将自身复制到Word通用（Normal）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 多数Word宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 Word宏病毒中总是含有对文档读写操作的宏命令。 Word宏病毒在doc文档、dot模板中以BFF（Binary ）格式存放，这是一种加密压缩格式，不同Word版本格式可能不兼容。 第三十四页，共五十六页。 3．网络病毒 网络病毒专指在网络传播、并对网络进行破坏的病毒； 网络病毒也指HTML病毒、E-mail病毒、Java病毒等与因特网有关的病毒。 第三十五页，共五十六页。 网络病毒的特点 传染方式多 传播速度比较快 清除难度大 破坏性强 潜在性深 第三十六页，共五十六页。 4．电子邮件病毒 “电子邮件病毒”其实和普通的计算机病毒一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为“电子邮件病毒”。 第三十七页，共五十六页。 电子邮件病毒的特点 传统的杀毒软件对检测此类格式的文件无能为力 传播速度快 传播范围广 破坏力大 第三十八页，共五十六页。 8.3 计算机病毒的检测与防范 第三十九页，共五十六页。 8.3.1 计算机病毒的检测 1．异常情况判断 计算机工作时，如出现下列异常现象，则有可能感染了病毒： （1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。 （2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。 （3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。 （4）硬盘不能引导系统。 第四十页，共五十六页。 第八章 计算机病毒防范技术 * 第8章 计算机病毒防范技术 内容提要： 概述 计算机病毒的工作原理和分类 计算机病毒的检测与防范 计算机病毒的发展方向和趋势 第一页，共五十六页。 8.1 概 述 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功