第一讲 计算机病毒的概述

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

病毒的特点
4 .潜伏性 : 计算机病毒侵入计算机以后 可潜伏在合法的文件中并不立即发作。 经过一段时间或一旦买组了某些条件病 毒便开始发作,触发计算机条件可以是 某个日期、某个时间等。各种病毒潜伏 期不同,短这数天、数月,长者可达数 年之久。 5.不可预见性
病毒的传播途径
1. 通过移动存储设备来传播(包括软盘、 光盘、U盘等)。 2. 通过计算机网络进行传播。 3. 通过点对点通信系统和无线通道传播。
网络病毒的传播
对等网:使用网络的另一种方式是对等网络, 在端到端网络上,用户可以读出和写入每个连接的 工作站上本地硬盘中的文件。因此,每个工作站都 可以有效地成为另一个工作站的客户和服务器。而 且,端到端网络的安全性很可能比专门维护的文件 服务器的安全性更差。这些特点使得端到端网络对 基于文件的病毒的攻击尤其敏感。如果一台已感染 病毒的计算机可以执行另一台计算机中的文件,那 么这台感染病毒计算机中的活动的、内存驻留病毒 能够立即感染另一台计算机硬盘上的可执行文件。
1.病毒发作常见的现象
下列一些异常现象可以作为检测病毒的参考: 程序装入时间比平时长,运行异常; 有规律的发现异常信息; 用户访问设备(例如打印机)时发现异常情况,如打印机不 能联机或打印符号异常; 磁盘的空间突然变小了,或不识别磁盘设备; 程序和数据神秘的丢失了,文件名不能辨认; 显示器上经常出现一些莫名其妙的信息或异常显示(如白斑、 圆点等); 机器经常出现死机现象或不能正常启动; 发现可执行文件的大小发生变化或发现不知来源的隐藏文件。
病毒的危害
4、干扰系统运行。不执行用户指令、干扰指令的运 行、内部栈溢出、占用特殊数据区、时钟倒转、自动 重新启动计算机、死机等。 5、速度下降。不少病毒在时钟中纳入了时间的循环 计数,迫使计算机空转,计算机速度明显下降。 6、攻击磁盘。攻击磁盘数据、不写盘、写操作变读 操作、写盘时丢字节等。 7、扰乱屏幕显示。字符显示错乱、跌落、环绕、倒 置、光标下跌、滚屏、抖动、吃字符等。
网络病毒及其防治
• • • • • 网络病毒的特点 网络病毒的传播 网络病毒的防治 网络反病毒技术的特点 病毒防火墙的反病毒的特点
网络病毒的特点
1.传染方式多 2.传播速度快 3.清除难度大 4.破坏性强
网络病毒的传播
1.文件病毒在网络上的传播与表现 局域网:大多数公司使用局域网文件 服务器,用户直接从文件服务器复制已 感染的文件。用户在工作站上执行一个 带毒操作文件,这种病毒就会感染网络 上其他可执行文件。用户在工作站上执 行内存驻留文件带毒,当访问服务器上 的可执行文件时进行感染。
病毒的分类
一、按传染方式分类 1.系统引导病毒 系统引导病毒又称引导区型病毒。直到20 世纪90年代中期,引导区型病毒是最流行的病 毒类型,主要通过软盘在DOS操作系统里传播。 引导区型病毒侵染软盘中的引导区,蔓延到用 户硬盘,并能侵染到用户硬盘中的“主引导记 录”。一旦硬盘中的引导区被病毒感染,病毒 就试图侵染每一个插入计算机的从事访问的软 盘的引导区。
网络反病毒技术的特点
2 .网络反病毒技术尤其是网络病毒实时监测技术应符 合“最小占用”原则 该技术符合“最小占用”原则,对网络运行效率 不产生本质影响。 网络反病毒产品是网络应用的辅助产品,因此对 网络反病毒技术,尤其是网络病毒实时监测技术,在 自身的运行中不应影响网络的正常运行。 网络反病毒技术的应用,理所当然会占用网络系 统资源(增加网络负荷、额外占用 CPU、占用服务器 内存等)。正由于此,网络反病毒技术应符合“最小 占用”原则,以保证网络反病毒技术和网络本身都能 发挥出应有的正常功能。
• 宏病毒 • 电子邮件病毒 • 几个病毒实例
宏病毒
1.宏病毒的定义 所谓宏,就是软件设计者为了在使用软件 工作时,避免一再的重复相同的动作而设计出 来的一种工具。它利用简单的语法,把常用的 动作写成宏,当再工作时,就可以直接利用事 先写好的宏自动运行,去完成某项特定的任务, 而不必再重复相同的工作。所谓宏病毒,就是 利用软件所支持的宏命令编写成的具有复制、 传染能力的宏。
病毒的分类
2.文件型病毒 文件型病毒是文件侵染者,也被称为 寄生病毒。它运作在计算机存储器里, 通常它感染扩展名为COM、EXE、DRV、 BIN、OVL、SYS等文件。每一次它们激 活时,感染文件把自身复制到其他文件 中,并能在存储器里保存很长时间,直 到病毒又被激活。
病毒的分类
3. 复合型病毒 复合型病毒有引导区型病毒和文件型病毒两者的特征。 既感染引导区又感染文件,因此扩大了这种病毒的传染 途径。 4 .宏病毒 宏病毒一般是指用 Word Basic 书写的病毒程序,寄存 在 Microsoft Office 文档上的宏代码。它影响对文档 的各种操作,如打开、存储、关闭或清除等。当打开 Office文档时,宏病毒程序就会被执行,即宏病毒处于 活动状态,当触发条件满足时,宏病毒才开始传染、表 现和破坏。
网络反病毒技术的特点
3 . 网络反病毒技术的兼容性是网络防毒的重点与难 点 网络上集成了那么多的硬件和软件,流行的网 络操作系统也有好几种,按照一定网络反病毒技术 开发出来的网络反病毒产品,要运行于这么多的软、 硬件之上,与它们和平共处,实在是非常之难,远 比单机反病毒产品复杂。这既是网络反病毒技术必 须面对的难点,又是其必须解决的重点。
3.Internet时代 可以这样说,网络病毒大多是 Windows时代宏病毒的延续,它们往往 利用强大的宏语言读取用户E-mail软件 的地址簿,并将自身作为附件发向地址 簿内的那些E-mail地址去。由于网络的 快速和便捷,网络病毒的传播是以几何 级数进行的,其危害比以前的任何一种 病毒都要大。
网络病毒的防治
2.基于服务器的防治方法 目前,基于服务器的防治病毒方法大都采用了 以NLM(NetwWare Loadable Module)可装载模块技 术进行程序设计,以服务器为基础,提供实时扫描 病毒能力。市场上较有代表性的产品,如: Intel 公司的 LANdesk Virus Protect和Symantec公司的 Center PointAnti一Virus和 S&SSoftware International公司的 Dr.Solomon’s Anti— Virus Toolkit,以及我国北京威尔德电脑公司的 LANClear
网络蠕虫的传统威胁
• 消耗网络资源导致网络拥塞甚至瘫痪 • 特点: – 不可控(感染范围、所阻塞的网络) – 攻击者不(直接)受益 • 趋势: – 更强的能力(感染规模、蔓延速度) – “定向”能力(IPv6地地址分配规则确定之 后会更容易?) – “自适应”能力 • 争议:是否还是主要威胁?
典型病毒介绍
病毒的识别与防治
2.病毒预防 在计算机上安装病毒监控程序; 使用他人的软盘、U盘要先查毒; 不使用盗版软件; 使用从网络上下载的软件要先查毒; 不接受来历不明的电子邮件。 3.病毒清除 目前病毒的破坏力越来越强,几乎所有的软、硬件故障 都可能与病毒有牵连,所以,当操作时发现计算机有异常情 况,首先应怀疑的就是病毒在作怪,而最佳的解决办法就是利 用杀毒软件对计算机进行一次全面的清查。
病毒的结构
3 . 表现部分 是病毒间差异最大的部分,前两部分 是为这部分服务的。它破坏被传染系统 或者在被传染系统的设备上表现出特定 的现象。大部分病毒都是在一定条件下 才会触发其表现部分的。
Βιβλιοθήκη Baidu
病毒的危害
1 、攻击系统数据区。攻击部位包括硬盘主引导扇区、 Boot扇区、FAT表、文件目录。一般来说,攻击系统数 据区的病毒是恶性病毒,受损的数据不易恢复。 2、攻击文件。病毒对文件的攻击方式很多,如删除、改 名、替换内容、丢失簇和对文件加密等。 3、攻击内存。内存是计算机的重要资源,也是病毒攻击 的重要目标。病毒额外地占用和消耗内存资源,可导 致一些大程序运行受阻。病毒攻击内存的方式有大量 占用、改变内存总量、禁止分配和蚕食内存等。
病毒的发展史
1.DOS时代 DOS是一个安全性较差的操作系统, 所以在 DOS 时代,计算机病毒无论是数 量还是种类都非常多。按照传染方式可 以分为:系统引导病毒、外壳型病毒、 复合型病毒。各类病毒的具体内容见 “病毒的分类”。
2.Windows时代 1995年8月,微软发布Windows95, 标志着个人电脑的操作系统全面进入了 Windows9X时代,而Windows9X对DOS 的弱依赖性则使得计算机病毒也进入了 Windows时代。这个时代的最大特征便 是大量DOS病毒的消失以及宏病毒的兴 起。
病毒的危害
8、攻击键盘。响铃、封锁键盘、换字、抹掉 缓存区字符、重复输入。 9、攻击喇叭。发出各种不同的声音,如演奏 曲子、警笛声、炸弹噪声、鸣叫、咔咔声、 嘀嗒声 10、攻击CMOS。对CMOS区进行写入动作,破 坏系统CMOS中的数据。 11 、干扰打印机。间断性打印、更换字符等。
病毒的识别与防治
病毒的分类
二、按破坏性分类 1、良性病度:可能只显示些画面或出点 音乐、无聊的语句,或者根本没有任何 破坏动作,但会占用系统资源。 2、恶性病毒:有明确得目的,或破坏数 据、删除文件或加密磁盘、格式化磁盘, 有的对数据造成不可挽回的破坏。
病毒的结构
计算机病毒在结构上有着共同性,一般由引 导部分、传染部分、表现部分三部分组成。 1.引导部分 也就是病毒的初始化部分,它随着宿主程序的 执行而进入内存,为传染部分做准备。 2.传染部分 作用是将病毒代码复制到目标上去。一般病毒 在对目标进行传染前,要首先判断传染条件是否 满足,判断病毒是否已经感染过该目标等,如CIH 病毒只针对Windows 95/98操作系统。
病毒的特点
1 .传染性 : 传染性是病毒的基本特征。计算机病毒 也会通过各种渠道从已被感染的计算机扩散到未 被感染的计算机,在某些情况下造成被感染的计 算机工作失常甚至瘫痪。 2 .破坏性 : 计算机病毒可以破坏系统,删除或修改 数据,占用系统资源,干扰计算机的正常工作, 严重的可使整个系统陷于瘫痪。 3 .隐蔽性 : 计算机病毒进入计算机以后常常不是立 即发生,它可以有足够的时间去实现感染和破坏 作用。
网络反病毒技术的特点
1 .网络反病毒技术的安全度取决于“木桶理论” 被计算机安全界广泛采用的著名的“木桶 理论”认为,整个系统的安全防护能力,取决 于系统中安全防护能力最薄弱的环节。计算机 网络病毒防治是计算机安全极为重要的一个方 面,它同样也适用于这一理论。一个计算机网 络,对病毒的防御能力取决于网络中病毒防护 能力最薄弱的一个节点。
第一 讲
计算机病毒的概述
课程目标
• • • • • • 理解病毒的概念 熟悉病毒的发展史 掌握病毒的特点 掌握病毒的分类 掌握病毒的结构 掌握病毒的识别与防治
病毒的概念
计算机病毒在《中华人民共和国计 算机信息系统安全保护条例》中的定义 为:“指编制或者在计算机程序中插入 的破坏计算机功能或者数据,影响计算 机使用并且能够自我复制的一组计算机 指令或者程序代码”。
网络病毒的传播
Internet:文件病毒可以通过Internet 毫无困难地发送。而可执行文件病毒不 能通过Internet在远程站点感染文件。此 时Internet是文件病毒的载体。
网络病毒的防治
1.基于工作站的防治方法 工作站病毒防护芯片 : 将防病毒功能集成在一个 芯片上,安装于网络工作站,以便经常性地保护工作 站及其通往服务器的途径。其基本原理是:网络上的每 个工作站都要求安装网络接口卡,而网络接口上有一 个 Boot ROM 芯卡,因为多数网卡的 Boot ROM 并没有充 分利用,都会剩余一些使用空间,所以如果防毒程序 够小的话,就槽内,用户可以免去许多繁琐的管理工 作。可以安装在网络的 Boot ROM 的剩余空间内,而不 必另插一块芯片。这样,将工作站存取控制与病毒保 护能力合二为一地插在网卡的RPROM
相关文档
最新文档