重庆科创学院精品课件——学习情境16计算机病毒防治

新防护策略： 1、多层次保护策略 一个多层次的保护策略应该能够将防毒产品安装在网络中重要的三个网



络层中，一个多层的战略可以由一个厂商的产品进行实施，也可以在三 个层次上安装不同厂商的产品，不过这样会造成兼容性或管理的问题。 2、集中式管理策略 集中式管理是新的防护策略的重要部分。一个集中式管理的防毒产品可 以将网络中的三个层次〔网关、服务器、桌面工作站）通过一个中央控 制平台进行管理。通过这种集中式管理，可以自动统一地通过网络部署 策略，更新代码，升级病毒库以及定时进行扫描等，无需用户干预。这 样不仅可以防止由于人为疏忽造成的损害，也能够提高管理水平，及时 了解网络中病毒 发作和查杀的情况。 3、病毒爆发预防策略 预防服务可以帮助用户尽早地限制一些新的病毒发作。这些服务可以针 对每次攻击进行定制。一旦一种新型的威胁被识别，客户会得到警报。 在新的防毒代码完成前，管理员可以利用中央控制平台，定制由产品提 供的策略建议，自动封堵安装了产品的设备的特定的端口 和限制-些通 信，直到新的代码更新后，会自动解除。
防毒产品技术：
1．实时监视技术
2．自动解压缩技术 3．全平台反病毒技术
十一、防毒产品介绍
1．趋势防病毒软件 2．赛门铁克 3．金山毒霸 4．瑞星
PE病毒：

PE病毒，是指感染Windows PE格 式文件的病毒。 PE 病毒是目前影响力 极大的一类病毒。 PE 病毒同时也是所 有病毒中数量极多、破坏性极大、技巧 性最强的一类病毒。如FunLove、“中 国黑客”等病毒都属于这个范畴。
七、计算机病毒的检测
（1）使用无毒的系统软件和应用软件。 （2）CMOS设置。 （3）使用最新的系统安全更新。 （ 4 ）禁用 Windows Script Host （ WSH ）和
四、计算机病毒的组成
计算机病毒程序一般由感染模块、触发 模块、破坏模块和主控模块组成，相应为 感染机制、触发机制和破坏机制三种。但 有些病毒并不具备所有的模块，例如巴基 斯坦智囊病毒就没有破坏模块。 1．感染模块 2．触发模块 3．破坏模块 4．主控模块

五、计算机病毒的种类
计算机病毒的分类方法也有多种 ，一般按病毒对计算机破坏的程度和 传染方式、算法及链接方式来分 。 1．按病毒的传染方式 2．按病毒的破坏程度 3．按病毒的算法分类 4．按病毒的链接方式
4．网络病毒阶段
5．病毒发展的未来趋势

（1）网络化 （2）隐蔽化 （3）多样化 （4）破坏性强 （5）简单化
三、计算机病毒的特征
（1）可执行性。 （2）传染性。 （3）潜伏性。 （4）隐蔽性。 （5）破坏性。 （6）不可预见性。 （7）夺取系统控制权
混和型病毒在传染方式上兼具引导型病毒 和文件型病毒的特点。这种病毒的原始状态是 依附在可执行文件上，以该文件为载体进行传 播。当被感染文件执行时，会感染硬盘的主引 导记录。以后用硬盘启动系统时，就会实现从 文件型病毒转变为引导型病毒。例如 BloodBound.A ， 该 病 毒 也 称 为 Tchechen.3420 ， 主 要 感 染 COM 、 EXE 和 MBR 。它将自己附着在可执行文件的尾部， 将破坏性的代码放入 MBR 中，然后清除硬盘 中的文件。

4．网络病毒的清除 （1）系统加固。 （2）建立病毒预警检测系统。 （ 3 ）在互联网接入口处安装防病
毒网关，将病毒隔离在外部网络。
九、病毒实例
1．CIH病毒 2．冲击波病毒
3．爱虫病毒
4．梅丽莎病毒 5．红色代码病毒
十、防毒策略
传统的防毒策略 1.基于点的保护战略 针对传统的病毒特点，很多病毒产品都是基于点的病毒防护策
1．引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是 在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其 他的方法进行恢复。 引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以 下步骤： （1）用Windows 95/98 的干净启动盘启动计算机。 （2）在命令行中键入下列命令： fdisk /mbr （用来更新主引导记录，也称硬盘分区表） Sys C: （恢复硬盘引导扇区） （3）重启计算机。 在Windows 2000/XP平台下，可以用以下方法进行恢复： （1）用Windows 2000/XP 安装光盘启动。 （2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。 （3）选择正确的要修复的机器的数量。 （4）键入管理员密码，如果没有密码，则直接回车。 （5）在命令行键入下面的命令： FIXMBR 回车 FIXBOOT 回车 （6）键入EXIT，重启计算机。
在 20 世纪 60 年代初，美国贝尔实验室 中 3 个年轻的程序员，道格拉斯 · 麦耀莱 、维特· 维索斯基和罗伯在工作之余编制 了一个游戏“磁芯大战”（Core War） ，这个游戏是通过不断复制自身的方式 来摆脱对方进程的控制，从而获取最后 的胜利。可以说这个程序是病毒的先驱 。
2．DOS病毒阶段 3．Windows平台阶段
知识应用
一、计算机病毒的定义

在 1994 年我国颁布实施的《中华 人民共和国计算机系统安全保护条例》 中，对计算机病毒有如下定义：“计算 机病毒是编制或在计算机程序中插入的 破坏计算机功能或毁坏数据，影响计算 机使用，并能自我复制的一组计算机指 令或者程序代码”。
二、计算机病毒的发展过程
1．早期病毒的产生
学习情境16计算机病毒防治
项目分析 项目目标 知识应用
1 2 3
项目分析
使用计算机就必然会感染病毒。因此， 不论是病毒的预防还是病毒的查杀都
是非常重要的。
项目目标
知识目标：
1、了解计算机病毒的定 义和病毒的危害性 2、掌握计算机病毒的特 征和种类
能力目标：
1、掌握如何预防、检测 和清除病毒 2、了解主要防毒产品的 功能特点
2．文件型病毒的清除 （1）检查注册表
（2）检查win.ini文件
（3）检查system.ini文件 （ 4 ）重新启动计算机，然后根据
文件名，在硬盘找到这个程序，将 其删除。
3．宏病毒的清除
在Micrsoft Office应用程序中打开“工具”→ “宏 ”→“Visual Basic编辑器”，早期的版本为宏管理器。 进入到编辑器窗口，用户可以查看Normal模板，若发现 有AutoOpen、AutoNew、AutoClose等自动宏以及 FileSave、FileSaveAs、FileExit等文件操作宏或一些怪 名字的宏，如XXYY等，而自己又没有加载这类特殊模板 ，这就极可能是宏病毒在作祟，因为大多数Normal模板 中是不包含上述宏的。确定是宏病毒后，可以在通用模 板中删除被认为是病毒的宏。 还有一种方法更为简单，通过搜索系统文件，找到 Autoexec.dot和Nomal.dot文件，直接删除即可。Office 应用程序启动后会重新生成一个干净的模板文件。
略。这些产品安装在单个的计算机上。无论升级代码，更新病 毒库，都需要每台计算机单独进行，无法进行集中式的管理。 单机式的防护只能对本地计算机资源进行防护，无法对企业网 络进行有效的防护。当企 业内部网络中基于点防毒策略的一些 计算机，由于人为原因，没有及时更新病毒库，就会造成网络 的非正常流量或者网络中的其他资源遭受病毒的攻击，严重时 会导致网络带宽耗尽，直至瘫痪。 2.被动式保护战略 这些产品一般只能防护已知的病毒。对于新出现的病毒，只有 在系统被感染以后，用户或系统管理员才会与防毒产品的厂商 进行联络，希望厂商能够为他们提供所需的新防毒代码文 件和 其他的专杀工具扫描和清除病毒。
宏病毒的工作方式：

宏病毒是利用宏语句编写的。 它们通常利用宏的自动化功能进行 感染，当一个感染的宏被运行时， 它会将自己安装在应用的模板中， 并感染应用创建和打开的所有文档 。Office中的Word、Excel和 PowerPoint都有宏。
Java病毒：
Java是由Sun公司创建的一种用于互联网环境中的 编程语言。Java应用程序不会直接运行在操作系统中， 而是运行在Java虚拟机（JVM）上。因此用Java编写的 应用程序的移植性非常强，包括现在的手机中的一些程 序也是用Java编写的。 Java Applet是一种内嵌在HTML网页中的可携式 Java小程序。具有Java功能的浏览器可以运行这个小程 序。Java Applet可供Web开发人员建立含有功能更丰富 的交互式动态Web网页。它们会在使用者访问网页时被 执行。黑客、病毒作者或其他恶意人士可能会用Java恶 意程序代码当作武器攻击使用者的系统。
系统启动 引导程序 病毒跳转到内存并 获得系统控制权 N
系统启动 运行.COM，.EXE 文件 病毒随文件到内存 并获得系统控制权 N
符合条件? Y 激活病毒 传染或破坏 驻留等待 执行正常的系统引导
符合条件? Y 激活病毒 传染或破坏 驻留等待 文件正常执行
（a）引导型病毒
（b）文件型病毒
混和型病毒工作方式：


FSO对象。 （6）启动防火墙 。 （7）启用宏病毒警告 。 （8）邮件附件的处理。 （9）安装杀毒软件。
计算机病பைடு நூலகம்的检测方法： 1．特征代码法
2．校验和法
3．行为监测法 4．软件模拟法 5．启发式扫描技术
八、计算机病毒的清除






六、病毒的工作方式
引导型病毒的工作方式
文件型病毒的工作方式：

在目前已知的病毒中，大多数属于 文件型病毒。文件型病毒一般只传染 磁盘上的可执行文件（COM、EXE） 。在用户调用染毒的可执行文件时， 病毒首先被运行，然后病毒驻留内存 伺机传染其他文件或直接传染其他文 件。其常见的传染方式是附着于正常 程序文件，成为程序文件的一个外壳 或部件。

网络病毒：

随着互联网的高速发展，计 算机病毒从原来的磁盘进行传播 发展到现在的通过网络的漏洞进 行传播。到如今，网络病毒已经 成为计算机网络安全的最大威胁 之一。网络病毒中又以蠕虫病毒 出现最早，传播最为广泛，例如 “冲击波”、“红色代码”病毒 等。
脚本病毒：

脚本病毒也是一种特殊的网络病毒。脚 本是指从一个数据文档中执行一个任务的一 组指令，它也是嵌入到一个文件中，常见的 是嵌入到网页文件中。脚本病毒依赖于一些 特殊的脚本语言（例如VBScript、JavaScript 、 Jscript 、 PerlScript 、 PHP 、 Flash 等）。 有些脚本语言，例如VBScript（Visual Basic Script ） 以 及 JavaScript 病 毒 ， 必 须 通 过 Microsoft 的Windows Scripting Host （ WSH ）才能够激活执行以及感染其他文件。