病毒，木马，间谍软件.pptVIP

计算机病毒、木马和间谍软件与防治 6.1 计算机病毒概述 6.1.1 计算机病毒的概念 计算机病毒（virus）的传统定义是指人为编制或在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。 现在计算机病毒的定义已远远超出了以上的定义，其中破坏的对象不仅仅是计算机，同时还包括交换机、路由器等网络设备；影响的不仅仅是计算机的使用，同时还包括网络的运行性能。 就像许多生物病毒具有传染性一样，绝大多数计算机病毒具有独特的复制能力和感染良性程序的特性。 6.1.2 计算机病毒的特征 1． 非授权可执行性 由于计算机病毒具有正常程序的一切特性：可存储性和可执行性，当计算机病毒隐藏在合法的程序或数据中，在用户运行正常程序时，病毒便会伺机窃取到系统的控制权，并得以抢先运行。 2． 隐蔽性 计算机病毒是一种由编程人员编写的短小精悍的可执行程序。它通常附着在正常程序或磁盘的引导扇区中，同时也会存储在表面上看似损坏的磁盘扇区中，因此计算机病毒具有非法可存储性。 3．传染性 传染性是计算机病毒最重要的特征，也是各类查病毒软件判断一段程序代码是否为计算机病毒的一个重要依据。病毒程序一旦侵入计算机系统就开始有哪些信誉好的足球投注网站可以传染的程序或者磁介质，然后通过自我复制迅速进行传播。 4． 潜伏性 计算机病毒具有依附于其他程序的能力，所以计算机病毒具有寄生能力。将用于寄生计算机病毒的程序（良性程序）称之为计算机病毒的宿主。 5． 破坏性 无论是何种病毒程序，一旦侵入计算机系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统的资源（如内存空间、磁盘存储空间等）。 6． 可触发性 计算机病毒一般都有一个或者几个触发条件，当满足该触发条件后计算机病毒便会开始发作。 6.1.3 计算机病毒的分类 1． 文件传染源病毒 文件传染源病毒感染程序文件。这些病毒通常感染可执行代码，例如 .com 和 .exe 文件等。 2． 引导扇区病毒 引导扇区病毒感染磁盘的系统区域，即软盘、U盘和硬盘的引导记录。 3． 主引导记录病毒 主引导记录病毒是内存驻留型病毒，它感染磁盘的方式与引导扇区病毒相同。这两种病毒类型的区别在于病毒代码的位置。 4． 复合型病毒 复合型病毒同时感染引导记录和程序文件，并且被感染的记录和程序较难修复。 5． 宏病毒 宏病毒是目前最常见的病毒类型，它主要感染数据文件。随着Microsoft Office 97中Visual Basic的出现，编写的宏病毒不仅可以感染数据文件，还可以感染其他文件。宏病毒可以感染Microsoft Office Word、Excel、PowerPoint 和 Access 文件。现在，这类新威胁也出现在其他程序中。 6.1.4 病毒、蠕虫和木马 1． 病毒的特点 计算机病毒是编写的一段程序，它可以在未经用户许可，甚至在用户不知情的情况下改变计算机的运行方式。病毒必须满足两个条件： · 必须能自行执行。 · 必须能自我复制。 · 与蠕虫相比，病毒可破坏计算机硬件、软件和数据。 2． 蠕虫的特点 蠕虫属于计算机病毒的子类，所以也称为“蠕虫病毒”。通常，蠕虫的传播无需人为干预，并可通过网络进行自我复制，在复制过程中可能有改动。与病毒相比，蠕虫可消耗内存或网络带宽，并导致计算机停止响应。 与病毒类似，蠕虫也在计算机与计算机之间自我复制，但蠕虫可自动完成复制过程，因为它接管了计算机中传输文件或信息的功能。 3． 木马的特点 木马与病毒的重大区别是木马并不像病毒那样复制自身。木马包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件等。 目前，木马主要通过两种途径进行传播：电子邮件和文件下载。 6.1.5 计算机病毒的演变过程 1986 年，媒体报道了攻击 Microsoft MS-DOS个人计算机的第一批病毒，人们普遍认为 Brain病毒是这些计算机病毒中的第一种病毒。 1988年出现了第一个通过Internet传播的蠕虫病毒Morris Worm，它曾导致Internet的通信速度大大地降低。 从1990 年开始，Internet的应用为计算机病毒编写者提供了一个可实现快速交流的平台，一些典型的计算机病毒使是大量病毒编写者“集体智慧的结晶”。同年，开发出了第一个多态病毒（通常称为 Chameleon 或 Casper）。 接着在 1992 年，出现了第一个多态病毒引擎和病毒编写工具包。从此开始，病毒就变得越来越复杂 。 6.2 蠕虫的清除和防治方法 6.2.1 蠕虫的特征