第11章计算机病毒防治名师编辑PPT课件.ppt

《第11章计算机病毒防治名师编辑PPT课件.ppt》由会员分享，可在线阅读，更多相关《第11章计算机病毒防治名师编辑PPT课件.ppt（92页珍藏版）》请在优知文库上搜索。

1、第第11章章 计算机病毒的防治计算机病毒的防治主要内容主要内容u 第一节第一节计算机病毒概述计算机病毒概述第二节第二节计算机病毒分析计算机病毒分析第三节第三节计算机病毒的防范、检测、清除计算机病毒的防范、检测、清除第四节第四节计算机病毒破坏后的恢复计算机病毒破坏后的恢复第五节第五节 常见杀毒软件的使用常见杀毒软件的使用、计算机病毒产生的历史、计算机病毒产生的历史u 19771977年，年，Thomas j RyanThomas j Ryan在科幻小说在科幻小说P-1P-1的青春的青春中幻想中幻想一种计算机病毒可以从一台计算机传染到另一台计算机，一种计算机病毒可以从一台计算机传染到另一台计算机，

2、最终控制了最终控制了70007000台计算机。台计算机。u 19831983年美国计算机安全专家年美国计算机安全专家Fred CohenFred Cohen博士在博士在VAX-11VAX-11上通上通过实验证明了计算机病毒的存在。过实验证明了计算机病毒的存在。u 19861986年，巴基斯坦年，巴基斯坦为为其其巴基斯坦巴基斯坦病毒，成了世界上公认的第一个传染病毒，成了世界上公认的第一个传染PCPC兼兼容机的病毒，并且很快在全球流行。容机的病毒，并且很快在全球流行。u 19871987年年1010月，美国发现世界上第一例计算机病毒月，美国发现世界上第一例计算机病毒(Brain)(Brain)u

3、19881988年。小球病毒传入我国，在几个月之内迅速传染了年。小球病毒传入我国，在几个月之内迅速传染了20 20 多个省、市，成为我国第一个病毒案例。多个省、市，成为我国第一个病毒案例。u 此后，如同打开的潘多拉的盒子，各种计算机病毒层出不此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷。穷。、计算机病毒的定义、计算机病毒的定义u 狭义定义狭义定义计算机病毒是一种靠修改其它程序来插入或进行自身拷计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一种程序。贝，从而感染其它程序的一种程序。Fred Cohen Fred Cohen博士对计算机病毒的定义。博士对计算机病毒的

4、定义。u 广义定义广义定义能够引起计算机故障，破坏计算机数据，影响计算机系能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。统的正常使用的程序代码。u 我国定义我国定义我国我国中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第二十八条：第二十八条：计算机病毒，是指编制或者在计算机程序计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。用，并能自我复制的一组计算机指令或者程序代码。、计算机病毒的发展历史、计算机病毒的发

5、展历史u DOSDOS时代时代、计算机病毒的发展历史、计算机病毒的发展历史u InternetInternet时代时代可以这样说，网络病毒大多是可以这样说，网络病毒大多是WindowsWindows时代宏病毒的延续时代宏病毒的延续，它们往往利用强大的宏语言读取用户，它们往往利用强大的宏语言读取用户E-mailE-mail软件的地软件的地址簿，并将自身作为附件发向地址簿内的那些址簿，并将自身作为附件发向地址簿内的那些E-mailE-mail地地址去。由于网络的快速和便捷，网络病毒的传播是以几址去。由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。何级数进行

6、的，其危害比以前的任何一种病毒都要大。、计算机病毒的特征、计算机病毒的特征基本特征基本特征、计算机病毒的特征、计算机病毒的特征其它特征其它特征、计算机病毒的分类、计算机病毒的分类u 按宿主分类按宿主分类、计算机病毒的分类、计算机病毒的分类u 按宿主分类按宿主分类、计算机病毒的分类、计算机病毒的分类u 按宿主分类按宿主分类、计算机病毒的分类、计算机病毒的分类u 按传播媒介分为按传播媒介分为、计算机病毒的分类、计算机病毒的分类u 宏病毒宏病毒、计算机病毒的危害性、计算机病毒的危害性1 1、攻击系统数据区、攻击系统数据区攻击部位包括硬盘主引导扇区、攻击部位包括硬盘主引导扇区、BootBoot扇区、扇

7、区、FATFAT表、文件表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。受损的数据不易恢复。2 2、攻击文件、攻击文件病毒对文件的攻击方式很多，如删除、改名、替换内容病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。、丢失簇和对文件加密等。3 3、攻击内存、攻击内存内存是计算机的重要资源，也是病毒攻击的重要目标。内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内

8、存总行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。量、禁止分配和蚕食内存等。、计算机病毒的危害性、计算机病毒的危害性4 4、干扰系统运行，使运行速度下降、干扰系统运行，使运行速度下降此类行为也是花样繁多，如不执行命令、干扰内部命令此类行为也是花样繁多，如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时，系统时间延迟程序启动，串并接口等等。病毒激活时，系统时间延迟程序启动，在时钟

9、中纳入循环计数，迫使计算机空转，运行速度明在时钟中纳入循环计数，迫使计算机空转，运行速度明显下降。显下降。5 5、干扰键盘、喇叭或屏幕，、干扰键盘、喇叭或屏幕，适应胡无法正常操作适应胡无法正常操作病毒干扰键盘操作，如响铃、封锁键盘、换字、抹掉缓病毒干扰键盘操作，如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时，会使计算机存区字符、输入紊乱等。许多病毒运行时，会使计算机的喇叭发出响声。病毒扰乱显示的方式很多，如字符跌的喇叭发出响声。病毒扰乱显示的方式很多，如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。、抖

10、动、乱写等。、计算机病毒的危害性、计算机病毒的危害性6 6、攻击、攻击CMOSCMOS，破坏，破坏系统硬件系统硬件在机器的在机器的CMOSCMOS中，保存着系统的重要数据，如系统时钟中，保存着系统的重要数据，如系统时钟、磁盘类型和内存容量等，并具有校验和。有的病毒激、磁盘类型和内存容量等，并具有校验和。有的病毒激活时，能够对活时，能够对CMOSCMOS进行写入动作，破坏进行写入动作，破坏CMOSCMOS中的数据。中的数据。例如例如CIHCIH病毒破坏计算机硬件，乱写某些主板病毒破坏计算机硬件，乱写某些主板BIOSBIOS芯片，芯片，损坏硬盘。损坏硬盘。7 7、干扰打印机、干扰打印机如假报警、间

11、断性打印或更换字符。如假报警、间断性打印或更换字符。8 8、干扰网络正常运行、干扰网络正常运行网络病毒破坏网络系统，非法使用网络资源，破坏电子网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽、阻塞网络、造成邮件，发送垃圾信息，占用网络带宽、阻塞网络、造成拒绝服务等。拒绝服务等。、计算机病毒的结构及工作机理、计算机病毒的结构及工作机理u 计算机病毒的结构计算机病毒的结构、计算机病毒的结构及工作机理、计算机病毒的结构及工作机理u 引导过程引导过程也就是病毒的初始化部分，它随着宿主程序的执行而进也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。

12、入内存，为传染部分做准备。u 传染过程传染过程作用是将病毒代码复制到目标上去。一般病毒在对目标作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如是否已经感染过该目标等，如CIHCIH病毒只针对病毒只针对Windows Windows 95/9895/98操作系统操作系统u 表现过程表现过程是病毒间差异最大的部分，前两部分是为这部分服务的是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出。它破坏被传染系统或者在被传染系统的设备上表现

13、出特定的现象。大部分病毒都是在一定条件下才会触发其特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。表现部分的。、计算机病毒实例分析、计算机病毒实例分析u 引导型病毒引导型病毒、计算机病毒实例分析、计算机病毒实例分析u 引导型病毒引导型病毒、计算机病毒实例分析、计算机病毒实例分析u 引导型病毒引导型病毒主引导记录（主引导记录（MBR）A、计算机病毒实例分析、计算机病毒实例分析u 引导型病毒引导型病毒系统引导过程系统引导过程Power OnCPU&ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Ta

14、ble LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded、计算机病毒实例分析、计算机病毒实例分析u 引导型病毒引导型病毒感染与执行过程感染与执行过程病毒执行病毒驻留带毒执行带毒执行。、计算机病毒实例分析、计算机病毒实例分析u 文件型病毒文件型病毒、计算机病毒实例分析、计算机病毒实例分析u 文件型病毒文件型病毒文件型病毒与引导扇区病毒最大的不同之处是，它攻击文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是磁盘上的文件。它将自己依附在可执行的文件（通常是.com和和.exe）中，并等待程序

15、的运行。这种病毒会感染其）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常切都很正常、计算机病毒实例分析、计算机病毒实例分析u 文件型病毒文件型病毒传染机理传染机理、计算机病毒实例分析、计算机病毒实例分析u 宏病毒宏病毒、计算机病毒实例分析、计算机病毒实例分析u 宏病毒宏病毒、计算机病毒实例分析、计算机病毒实例分析u 宏病毒宏病毒工作机理工作机理写入启动、计算机病毒实例分析、计算机病毒实例分析u word

16、宏病毒的清除方法宏病毒的清除方法1、手工清除、手工清除Word宏病毒宏病毒为为对于宏病毒最简单的清除步骤为：对于宏病毒最简单的清除步骤为：（1 1）关闭）关闭WordWord中的所有文档。中的所有文档。（2 2）选择）选择“工具工具/模板模板/管理器管理器/宏宏”选项。选项。（3 3）删除左右两个列表框中所有的宏（除了自己定义的）（）删除左右两个列表框中所有的宏（除了自己定义的）（一般病毒宏为一般病毒宏为AutoOpenAutoOpen、AutoNewAutoNew或或AutoCloseAutoClose）。）。（4 4）关闭对话框。）关闭对话框。（5 5）选择）选择“工具工具/宏宏”选项。若有选项。若有 AutoOpenAutoOpen、AutoNewAutoNew或或AutoCloseAutoClose等宏，删除之。等宏，删除之。2、使用杀毒软件清除、使用杀毒软件清除Word宏病毒宏病毒、计算机病毒实例分析、计算机病毒实例分析u 蠕虫病毒蠕虫病毒、计算机病毒实例分析、计算机病毒实例分析u 蠕虫病毒蠕虫病毒、计算机病毒实例分析、计算机病毒实例分析u 蠕虫病毒实例蠕虫病毒实例、计算机病