ch计算机病毒及其防治.pptxVIP

ch计算机病毒及其防治第1页/共38页 27.1 计算机病毒概述7.1.1. 计算机病毒的概念计算机病毒-----是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。第2页/共38页 3计算机病毒的生命周期包含以下几个阶段：1、隐藏阶段2、传播阶段3、触发阶段4、执行阶段第3页/共38页 47.1.2. 计算机病毒的产生 病毒的产生可能有以下情况：开个玩笑，一个恶作剧产生于个别人的报复心理用于版权保护用于经济、军事和政治目的第4页/共38页 57.1.3. 计算机病毒的特征破坏性传染性隐蔽性潜伏性不可预见性衍生性针对性第5页/共38页 67.1.4. 计算机病毒的分类通常，计算机病毒可有下列分类方法：按破坏程度的强弱不同可分为良性病毒和恶性病毒；按传染方式的不同，计算机病毒可分为文件型病毒、引导型病毒和混合型病毒；按连接方式的不同，计算机病毒可分为源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。 第6页/共38页 77.1.5．计算机病毒的传播病毒传播进入系统主要有以下三种途径：网络可移动的存储设备(3) 通信系统第7页/共38页 87.1.6. 计算机病毒的危害计算机病毒的主要危害有：攻击系统数据区：攻击文件：抢占系统资源：占用磁盘空间和对信息的破坏：干扰系统运行，使运行速度下降：攻击CMOS：攻击和破坏网络系统：第8页/共38页 97.2 网络病毒及其预防 7.2.1. 网络病毒概述 网络病毒可以从两方面理解:一是网络病毒专门指在网络上传播、并对网络进行破坏的病毒；二是网络病毒是指与Internet有关的病毒，如HTML病毒、电子邮件病毒、Java病毒等。 第9页/共38页 101、网络病毒的传播2、网络病毒的特点 传播方式复杂传播速度快传染范围广清除难度大破坏危害大病毒变种多病毒功能多样化难于控制第10页/共38页 113、病毒的防治 预防、检测、清除 防毒、查毒、解毒第11页/共38页 127.2.2. 网络病毒的预防 1、严格的管理2、成熟的技术第12页/共38页 137.2.3. 网络病毒的检测(1) 异常情况判断(2) 病毒检测的主要目标病毒检测的主要目标(病毒破坏的主要区域)：磁盘的主引导扇区、分区表。文件分配表、文件目录区。中断向量。可执行文件。内存空间。特征字符串（病毒的明显特征）。第13页/共38页 14(3) 病毒的检查方法检测的原理主要是基于下列几种方法：被检测对象与原始备份的比较法，利用病毒特征代码串的扫描法，病毒体内特定位置的特征字识别法运用反汇编技术对被检测对象的分析法和检验和法 。 第14页/共38页 15比较法：比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。 第15页/共38页 16扫描法扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。扫描程序由两部分组成：病毒代码库和对该代码库进行扫描的程序。扫描法的优点是检测准确、快速，可识别病毒名称和类别，误报警率低，容易对病毒进行清除处理；但缺点是不能检测未知病毒，收集已知病毒的特征代码的费用开销大。第16页/共38页 17特征字识别法计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。它是基于特征串扫描法发展起来的一种新方法。该方法优点是由于要处理的字节很少，所以工作起来速度更快、误报警更少，缺点和扫描法类似。第17页/共38页 18分析法本方法是运用相应技术分析被检测对象，确认是否为病毒的。该方法的优点是运用专业的分析技术，检测准确，能识别未知病毒，缺点是速度慢，需要专业知识。第18页/共38页 19校验和法对正常文件的内容，计算其校验和，将该校验和写入此文件或其它文件中保存，在文件使用过程中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否被感染，这种方法称为校验和法。使用校验和法的优点是方法简单，能发现未知病毒，也能发现被查文件的细微变化；缺点是有误报警、不能识别病毒类型和名称、不能对付隐蔽型病毒。 第19页/共38页 207.2. 4. 网络病毒的清除染毒后的紧急处理：系统感染病毒后可采取以下措施进行紧急处理： 隔离。报警。查毒源。采取应对方法和对策。修复前备份数据。清除病毒。重启和恢复。第20页/共38页 21（2）病毒的查杀1、病毒扫描型这类软件采用特征扫描法，根据病毒特征扫描可能的感染对象来发现病毒。2、完整性检测型这类软件采用比较法和校验和法，监视观察对象的属性和内容是否发生变化。3、行为封锁型这类软件采用驻留内存后台工作的方式，监视可能因病毒引起的异常行为。第21页/共38页