计算机网络安全技术刘永华第7章网络病毒防治技术课件教学.pptVIP

计算机网络安全技术 主编 刘永华 第7章 网络病毒防治技术 本章主要内容： 计算机病毒的概念、特点和分类 计算机网络病毒的危害，几种典型病毒的原理、特征及预防措施，计算机病毒的症状，反病毒技术 计算机病毒发展的新技术，防杀网络病毒的软件 本章要求： 掌握： 计算机病毒的概念、特点和分类，计算机网络病毒的危害，几种典型病毒的原理、特征及预防措施，计算机病毒（发作前、发作时和发作后）的症状，反病毒技术（预防病毒技术、检测病毒技术、杀毒技术）。 了解：计算机病毒发展的新技术，防杀网络病毒的软件。 7.1 计算机网络病毒的特点及危害 7.1.1 计算机病毒的概念 “计算机病毒”与医学上的“病毒”不同，它是根据计算机软、硬件所固有的弱点，编制出的具有特殊功能的程序。由于这种程序具有传染性和破坏性，与医学上的“病毒”有相似之处，因此习惯上将这些“具有特殊功能的程序”称为“计算机病毒”。 从广义上讲，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。 1994年2月18日，我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出，计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能，或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。 7.1.2 计算机病毒的特点 1. 传染性 2. 隐蔽性 3. 潜伏性 4. 破坏性（表现性） 5. 不可预见性 6. 触发性 7. 针对性 8. 寄生性（依附性） 7.1.3 计算机病毒的分类 按照计算机病毒的特点，对计算机病毒可从不同角度进行分类。计算机病毒的分类方法有许多种，因此，同一种病毒可能有多种不同的分法。 1. 基于破坏程度分类 基于破坏程度分类是最流行、最科学的分类方法之一，按照此种分类方法，病毒可以分为良性病毒和恶性病毒。 2. 基于传染方式分类 按照传染方式不同，病毒可分为引导型病毒、文件型病毒和混合型病毒3种。 3. 基于算法分类 按照病毒特有的算法，可以划分为伴随型病毒、蠕虫型病毒和寄生型病毒。 (1) 伴随型病毒并不改变文件本身，而是根据算法产生. EXE文件的伴随体，与文件具有同样的名字和不同的扩展名，例如CCR. EXE的伴随体是CCR. COM。当DOS加载文件时，伴随体优先被执行，再由伴随体加载执行原来的. EXE文件。 (2) 蠕虫型病毒通过计算机网络进行传播，它不改变文件和资料信息，而是根据计算机的网络地址，将病毒通过网络发送，蠕虫病毒除了占用内存外一般不占用其他资源。 (3) 寄生型病毒：除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中，通过 4. 基于链接方式分类 按照病毒的链接方式，可以分为源码型病毒、入侵型病毒、外壳型病毒和操作系统型病毒。 5. 基于传播的媒介分类 按照病毒传播的媒介，可以分为网络病毒和单机型病毒。 (1) 网络病毒通过计算机网络传播感染网络中的可执行文件。这种病毒的传染能力强，破坏力大。 (2) 单机型病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，再由软盘传染其他系统。 6. 基于攻击的系统分类 按照计算机病毒攻击的系统，可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒和攻击OS/2系统的病毒。 7. 基于激活的时间分类 按照病毒激活的时间，可分为定时病毒和随机病毒。 定时病毒仅在某一特定时间才发作；而随机病毒一般不是由时钟来激活的。 7.1.4 计算机网络病毒的概念 1. 计算机网络病毒的定义 严格地说，网络病毒是以网络为平台，能在网络中传播、复制及破坏的计算机病毒，像网络蠕虫病毒等一些威胁到计算机，及计算机网络正常运行和安全的病毒才可以算作计算机网络病毒。“网络病毒”与单机病毒有较大区别。计算机网络病毒专门使用网络协议（如TCP/IP、FTP、UDP、HTTP、SMTP和POP3等）来进行传播，它们通常不修改系统文件或硬盘的引导区，而是感染客户计算机的内存，强制这些计算机向网络发送大量信息，因而导致网络速度下降甚至完全瘫痪。由于网络病毒保留在内存中，因此传统的基于磁盘的文件I/O扫描方法通常无法检测到它们。 2. 计算机网络病毒的传播方式 Internet技术的进步同样给许多恶毒的网络攻击者提供了一条便捷的攻击路径，他们利用网络来传播病毒，其破坏性和隐蔽性更强。 一般来说，计算机网络的基本构成包括网络服务器和网络节点（包括有盘工作站、无盘工作站和远程工作站）。病毒在网络环境下的传播，实际上是按“工作站——服务器——工作站”的方式进行循环传播。计算机病毒一般先通过有盘工作