计算机病毒概述.pptxVIP

计算机病毒概述01DOS环境下的病毒02宏病毒03网络计算机病毒04反病毒技术05软件防病毒技术06典型病毒实例——CIH病毒介绍07第八章计算机病毒及防治

了解计算机病毒的定义、发展历史、分类、特点、入侵途径、流行特征、破坏行为、作用机制。了解DOS环境下的病毒、宏病毒和网络计算机病毒的分类、传染过程、防治和清除方法。熟悉基本的反病毒技术，包括计算机病毒的检测、防治与感染病毒后的修复；掌握杀毒软件的选购指标、反病毒软件的原理。掌握如何恢复被CIH病毒破坏的硬盘信息。返回本章首页本章学习目标

计算机病毒的定义计算机病毒的发展历史计算机病毒的分类计算机病毒的特点计算机病毒的隐藏之处和入侵途径现代计算机病毒的流行特征计算机病毒的破坏行为计算机病毒的作用机制返回本章首页128.1计算机病毒概述

“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。返回本节计算机病毒的定义

世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。011988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。021．计算机病毒发展简史计算机病毒的发展历史

计算机病毒在中国的发展情况在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。

3．计算机病毒发展的10个阶段（1）DOS引导阶段（2）DOS可执行文件阶段（3）混合型阶段（4）伴随型阶段（5）多形型阶段（6）生成器，变体机阶段（7）网络，蠕虫阶段（8）Windows阶段（9）宏病毒阶段（10）Internet阶段返回本节

病毒种类众多，分类如下：按传染方式分为引导型、文件型和混合型病毒按连接方式分为源码型、入侵型、操作系统型和外壳型病毒按破坏性可分为良性病毒和恶性病毒网络病毒返回本节计算机病毒的分类

刻意编写，人为破坏自我复制能力夺取系统控制权隐蔽性潜伏性不可预见性返回本节12计算机病毒的特点

计算机病毒的隐藏之处和入侵途径1．病毒的隐藏之处（1）可执行文件。（2）引导扇区。（3）表格和文档。（4）Java小程序和ActiveX控件。2．病毒的入侵途径（1）传统方法（2）Internet返回本节

01攻击对象趋于混合型03增强隐蔽性02反跟踪技术05病毒繁衍不同变种04加密技术处理现代计算机病毒的流行特征

避开修改中断向量值1请求在内存中的合法身份2维持宿主程序的外部特性3不使用明显的感染标志4增强隐蔽性：

加密技术处理：对程序段动态加密对显示信息加密对宿主程序段加密返回本节12

0102攻击系统数据区攻击文件攻击内存干扰系统运行，使运行速度下降干扰键盘、喇叭或屏幕攻击CMOS干扰打印机网络病毒破坏网络系统返回本节计算机病毒的破坏行为

01计算机病毒的一般构成02计算机病毒的引导机制03计算机病毒的传染机制04计算机病毒的破坏机制计算机病毒的作用机制

一个引导病毒传染的实例假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：

读入目标软磁盘的自举扇区（BOOT扇区）。01判断是否满足传染条件。02如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。03跳转到原INT13H的入口执行正常的磁盘系统操作。04

一个文件病毒传染的