病毒知识培训ppt.ppt

反病毒知识培训教程 培训讲师：付欲华 第一部分 病毒知识 （一）病毒基础知识 一、病毒的概念和特点 1.病毒的定义 计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机发展过程中，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。 在我国，1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》对计算机病毒作出了明确的定义，《条例》第二十八条中规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 第一部分 病毒知识 2.病毒的特征 破坏性 隐藏性 传染性 潜伏性 第一部分 病毒知识 破坏性 破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确得目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。 隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。 第一部分 病毒知识 传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。 潜伏性 许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。 第一部分 病毒知识 3.病毒的通用命名规则 病毒名是由以下6字段组成的： 主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#内部信息 其中字段之间使用“.”或“-”分隔，#号以后属于内部信息，为推举结构。 主行为类型与病毒子行为类型 　　 病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。 病毒主行为类型与病毒子行为类型存在对应关系，下表将描述这一对应关系： 第一部分 病毒知识 第一部分 病毒知识 第一部分 病毒知识 第一部分 病毒知识 第一部分 病毒知识 第一部分 病毒知识 宿主文件 宿主文件是指病毒所使用的文件类型，目前的宿主文件有以下几种。 JS 说明：JavaScript脚本文件 VBS 说明：VBScript脚本文件 HTML 说明：HTML文件 Java 说明：Java的Class文件 COM 说明：Dos下的Com文件 EXE 说明：Dos下的Exe文件 Boot 说明：硬盘或软盘引导区 Word 说明：MS公司的Word文件 Excel 说明：MS公司的Excel文件 PE 说明：PE文件 WinREG 说明：注册表文件 Ruby 说明：一种脚本 Python 说明：一种脚本. BAT 说明：BAT脚本文件 IRC 说明：IRC脚本 Lisp 说明：一种解释语言 第一部分 病毒知识 主名称 病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。 内部信息 #号后为内部信息，通常不在杀毒软件上显示，用于杀毒软件厂商标识内部信息。 版本信息（只允许为数字） 对于版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需