2009年 8月 20日星期四
12时 5分 10秒 病毒 1
第六章 病毒本章内容:
第一节 计算机病毒简介第二节 网络病毒及其防治第三节 典型病毒介绍第四节 常用杀毒软件介绍
2009年 8月 20日星期四
12时 5分 10秒 病毒 2
知识点
病毒的定义,分类,特点及防治
网络病毒的特点,传播及防治
网络反病毒技术的特点
2009年 8月 20日星期四
12时 5分 10秒 病毒 3
难 点
网络反病毒技术
宏病毒的清除方法
2009年 8月 20日星期四
12时 5分 10秒 病毒 4
要求熟练掌握以下内容,
病毒的定义、分类、特点及防治
网络病毒的特点、传播及防治
常用杀毒软件的使用了解以下内容,
病毒的结构
典型病毒
2009年 8月 20日星期四
12时 5分 10秒 病毒 5
第一节 计算机病毒简介
病毒的概念
病毒的发展史
病毒的特点
病毒的分类
病毒的结构
病毒的识别与防治
2009年 8月 20日星期四
12时 5分 10秒 病毒 6
6.1.1 病毒的概念计算机病毒在,中华人民共和国计算机信息系统安全保护条例,中的定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
2009年 8月 20日星期四
12时 5分 10秒 病毒 7
6.1.2 病毒的发展史
1,DOS时代
DOS是一个安全性较差的操作系统,
所以在 DOS时代,计算机病毒无论是数量还是种类都非常多 。 按照传染方式可以分为:系统引导病毒,外壳型病毒,
复合型病毒 。 各类病毒的具体内容见
,病毒的分类,。
2009年 8月 20日星期四
12时 5分 10秒 病毒 8
2,Windows时代
1995年 8月,微软发布了 Windows95,
标志着个人电脑的操作系统全面进入了
Windows9X时代,而 Windows9X对 DOS
的弱依赖性则使得计算机病毒也进入了
Windows时代。这个时代的最大特征便是大量 DOS病毒的消失以及宏病毒的兴起。
2009年 8月 20日星期四
12时 5分 10秒 病毒 9
3,Internet时代可以这样说,网 络 病 毒 大 多 是
Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户 E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些 E-mail地址去 。 由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 10
6.1.3 病毒的特点
1,传染性
2,破坏性
3,隐蔽 性
4,潜伏 性
5,不可预见 性
2009年 8月 20日星期四
12时 5分 10秒 病毒 11
6.1.4 病毒的分类
1,系统引导病毒系统引导病毒又称引导区型病毒。直到 20
世纪 90年代中期,引导区型病毒是最流行的病毒类型,主要通过软盘在 DOS操作系统里传播。
引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。
2009年 8月 20日星期四
12时 5分 10秒 病毒 12
2,文件型病毒文件型病毒是文件侵染者,也被称为寄生病毒 。 它运作在计算机存储器里,
通常它感染扩展名为 COM,EXE,DRV、
BIN,OVL,SYS等文件 。 每一次它们激活时,感染文件把自身复制到其他文件中,并能在存储器里保存很长时间,直到病毒又被激活 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 13
3,复合型病毒复合型病毒有引导区型病毒和文件型病毒两者的特征 。
4,宏病毒宏病毒一般是指用 Word Basic书写的病毒程序,寄存在 Microsoft Office文档上的宏代码 。 它影响对文档的各种操作,如打开,存储,关闭或清除等 。 当打开 Office
文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染,表现和破坏 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 14
6.1.5 病毒的结构计算机病毒在结构上有着共同性,一般由引导部分,传染部分,表现部分三部分组成 。
1,引导部分也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备 。
2,传染部分作用是将病毒代码复制到目标上去 。 一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,
如 CIH病毒只针对 Windows 95/98操作系统 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 15
3,表现部分是病毒间差异最大的部分,前两部分是为这部分服务的 。 它破坏被传染系统或者在被传染系统的设备上表现出特定的现象 。 大部分病毒都是在一定条件下才会触发其表现部分的 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 16
6.1.6 病毒的识别与防治
1,病毒发作常见的现象下列一些异常现象可以作为检测病毒的参考:
( 1) 程序装入时间比平时长,运行异常;
( 2) 有规律的发现异常信息;
( 3) 用户访问设备 ( 例如打印机 ) 时发现异常情况,如打印机不能联机或打印符号异常;
( 4) 磁盘的空间突然变小了,或不识别磁盘设备;
( 5) 程序和数据神秘的丢失了,文件名不能辨认;
( 6) 显示器上经常出现一些莫名其妙的信息或异常显示 ( 如白斑,
圆点等 ) ;
( 7) 机器经常出现死机现象或不能正常启动;
( 8) 发现可执行文件的大小发生变化或发现不知来源的隐藏文件 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 17
2,病毒预防
( l)用管理手段预防计算机病毒的传染
( 2)用技术手段预防计算机病毒的传染
3,病毒清除目前病毒的破坏力越来越强,几乎所有的软、硬件故障都可能与病毒有牵连,所以,当操作时发现计算机有异常情况,首先应怀疑的就是病毒在作怪,
而最佳的解决办法就是利用杀毒软件对计算机进行一次全面的清查。
2009年 8月 20日星期四
12时 5分 10秒 病毒 18
第二节 网络病毒及其防治
网络病毒的特点
网络病毒的传播
网络病毒的防治
网络反病毒技术的特点
病毒防火墙的反病毒的特点
2009年 8月 20日星期四
12时 5分 10秒 病毒 19
6.2.1 网络病毒的特点
1,传染方式多
2,传播速度快
3,清除难度大
4,破坏性强
2009年 8月 20日星期四
12时 5分 10秒 病毒 20
6.2.2 网络病毒的传播
1,文件病毒在网络上的传播与表现局域网:大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件 。 用户在工作站上执行一个带毒操作文件,这种病毒就会感染网络上其他可执行文件 。 用户在工作站上执行内存驻留文件带毒,当访问服务器上的可执行文件时进行感染 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 21
对等网:使用网络的另一种方式是对等网络,在端到端网络上,用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此,
每个工作站都可以有效地成为另一个工作站的客户和服务器。而且,端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。
这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件,那么这台感染病毒计算机中的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。
2009年 8月 20日星期四
12时 5分 10秒 病毒 22
Internet:文件病毒可以通过 Internet
毫无困难地发送 。 而可执行文件病毒不能通过 Internet在远程站点感染文件 。 此时 Internet是文件病毒的载体 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 23
6.2.3 网络病毒的防治
1,基于工作站的防治方法工作站病毒防护芯片,将防病毒功能集成在一个芯片上,安装于网络工作站,以便经常性地保护工作站及其通往服务器的途径 。 其基本原理是,网络上的每个工作站都要求安装网络接口卡,而网络接口上有一个 Boot ROM芯卡,因为多数网卡的 Boot ROM并没有充分利用,都会剩余一些使用空间,所以如果防毒程序够小的话,就可以安装在网络的 BOOt ROM的剩余空间内,而不必另插一块芯片 。 这样,将工作站存取控制与病毒保护能力合二为一地插在网卡的 RPROM槽内,
用户可以免去许多繁琐的管理工作 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 24
2,基于服务器的防治方法目前,基于服务器的防治病毒方法大都采用了以 NLM( NetwWare Loadable Module)
可装载模块技术进行程序设计,以服务器为基础,提供实时扫描病毒能力。市场上较有代表性的产品,如,Intel公司的 LANdesk Virus
Protect和 Symantec公司的 Center PointAnti一
Virus和 S&SSoftware International公司的
Dr,Solomon’s Anti—Virus Toolkit,以及我国北京威尔德电脑公司的 LANClear For
2009年 8月 20日星期四
12时 5分 10秒 病毒 25
6.2.4 网络反病毒技术的特点
1,网络反病毒技术的安全度取决于,木桶理论,
被计算机安全界广泛采用的著名的“木桶理论”认为,整个系统的安全防护能力,取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面,它同样也适用于这一理论。一个计算机网络,对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。
2009年 8月 20日星期四
12时 5分 10秒 病毒 26
2,网络反病毒技术尤其是网络病毒实时监测技术应符合,最小占用,原则该技术符合,最小占用,原则,对网络运行效率不产生本质影响 。
网络反病毒产品是网络应用的辅助产品,
因此对网络反病毒技术,尤其是网络病毒实时监测技术,在自身的运行中不应影响网络的正常运行 。
网络反病毒技术的应用,理所当然会占用网络系统资源 ( 增加网络负荷,额外占用
CPU,占用服务器内存等 ) 。 正由于此,网络反病毒技术应符合,最小占用,原则,以保证网络反病毒技术和网络本身都能发挥出应有的正常功能 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 27
3,网络反病毒技术的兼容性是网络防毒的重点与难点网络上集成了那么多的硬件和软件,流行的网络操作系统也有好几种,按照一定网络反病毒技术开发出来的网络反病毒产品,要运行于这么多的软,硬件之上,与它们和平共处,实在是非常之难,远比单机反病毒产品复杂 。 这既是网络反病毒技术必须面对的难点,又是其必须解决的重点 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 28
第三节 典型病毒介绍
宏病毒
电子邮件病毒
几个病毒实例
2009年 8月 20日星期四
12时 5分 10秒 病毒 29
6.3.1 宏病毒
1,宏病毒的定义所谓宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,
而不必再重复相同的工作。所谓宏病毒,就是利用软件所支持的宏命令编写成的具有复制、
传染能力的宏。
2009年 8月 20日星期四
12时 5分 10秒 病毒 30
2,宏病毒的分类宏病毒根据传染的宿主的不同可以分为:传染 Word的宏病毒,传染 Excel的宏病毒和传染 AmiPro的宏病毒 。 由于目前国内 Word系统应用较多,所以大家谈论的宏病毒一般是指 Word宏病毒 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 31
3,Word宏病毒的特点
( 1) 以数据文件方式传播,隐蔽性好,
传播速度快,难于杀除
( 2) 制作宏病毒以及在原型病毒上变种非常方便
( 3) 破坏可能性极大
2009年 8月 20日星期四
12时 5分 10秒 病毒 32
4,Word宏病毒的表现
Word宏病毒在发作时,会使 Word运行出现怪现象,如自动建文件,开窗口,内存总是不够,关闭 WORD不对已修改文件提出未存盘警告,存盘文件丢失等,有的使打印机无法正常打印 。 Word宏病毒在传染时,会使原有文件属性和类型发生改变,或 Word自动对磁盘进行操作等 。 当内存中有 Word宏病毒时,原
Word文档无法另存为其他格式的文件,只能以模板形式进行存储 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 33
5,Word宏病毒的防范
( 1) 对于已染病毒的 NORMAL.DOT文件,首先应将 NORMAL.DOT中的自动宏清除,然后将 NORMAL.DOT置成只读方式 。
( 2) 对于其它已感染病毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的 。
( 3) 平时使用时要加强防范 。 定期检查活动宏表,对来历不明的宏最好予以删除;如果发现后缀为,DOC的文件变成模板 (,DOT) 时,则可怀疑其已染宏病毒,其主要表现是在 Save
As文档是,选择文件类型的框变为灰色 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 34
( 4) 在启动 Word,创建文档,打开文档,关闭文档以及退出 Word时,按住 SHIFT键可以阻止自动宏的运行 。 例如,当用含有 AutoNew宏的模板新建一文档时,在,新建,对话框中单击,确定,按钮时按住 SHIFT键,就可以阻止
AutoNew宏的执行 。
( 5) 存储一个文档时,务必明确指定该文档的扩展名 。 宏病毒总是试图把模板文件的扩展名加到你指定的文件名后面,无论扩展名是否已经存在 。 例如,你指定文件名如下 TEST.DOC,
最终这个文件名会变为 TEST.DOC.DOT,显然这个文件名在 DOS下不可接受的 。 由此就可以察觉到宏病毒的存在 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 35
6,宏病毒的清除
( 1) 手工清除 Word宏病毒
( 2) 使用杀毒软件清除 Word宏病毒
2009年 8月 20日星期四
12时 5分 10秒 病毒 36
6.3.2 电子邮件病毒电子邮件病毒的防范,
( 1) 思想上要有防毒意识
( 2) 使用防毒软件
2009年 8月 20日星期四
12时 5分 10秒 病毒 37
6.3.3 几个病毒实例
1,CIH病毒
CIH病毒是一种文件型病毒,主要传染
Windows 95/ 98应用程序。该病毒发作时,破坏计算机系统 Flash Memory芯片中的 BIOS系统程序,导致系统主板损坏,同时破坏硬盘中的数据。 CIH病毒是首例直接攻击、破坏硬件系统的计算机病毒,是迄今为止破坏力最为严重的病毒之一。
2009年 8月 20日星期四
12时 5分 10秒 病毒 38
2.,台湾 1号,宏病毒在每月 13日,若用户使用打开一个带,台湾
1号,宏病毒的 Word文档 ( 模板 ) 时,该病毒会被激发 。 激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至
Word内存不够,Word出错为止;如心算题作对,会提示用户,什么是巨集病毒 ( 宏病毒 )?,,回答是,我就是巨集病毒,,再提示用户:,如何预防巨集病毒?,,回答是
,不要看我,。
2009年 8月 20日星期四
12时 5分 10秒 病毒 39
3,电子邮件炸弹电子邮件炸弹是指发件者以不明来历的电子邮件地址,不断重复将电子邮件寄于同一个收件人 。 由于情况就像是战争时利用某种战争工具对同一个地方进行大轰炸,因此称为电子邮件炸弹 ( E
- mail Bomber) 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 40
瑞星杀毒软件
KV3000
KILL2000
第四节 常用杀毒软件介绍
2009年 8月 20日星期四
12时 5分 10秒 病毒 41
6.4.1 瑞星杀毒软件
“瑞星杀毒软件,是北京瑞星电脑科技开发有限责任公司针对流行于国内外危害较大的计算机病毒和有害程序,自主研制的反病毒安全工具 。 用于对已知病毒,黑客等的查找,
实时监控和清除,恢复被病毒感染的文件或系统,维护计算机系统的安全 。 能全面清除感染 DOS,Windows,Office等系统的病毒以及危害计算机安全的各种,黑客 ’ 等有害序 。
,瑞星杀毒软件,分为世纪版,标准版和
OEM版 。
注:对于杀毒软件的特点,使用需要上机演示,
这里不在赘述 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 42
6.4.2 KV3000
1,KV3000可以查杀更多的计算机病毒的种类和数量
2,KV3000提供更加完善的硬盘救护箱功能
3,KV3000内部增加了多种查杀计算机病毒的方法
4,KV3000可识别的压缩文件的格式更多
5,KV3000升级更加方便、快捷
6,KV3000清除宏病毒的功能得到很大的提高
7,KV3000提供详细的检查病毒的报告文件
8,KV3000提供清除病毒向导功能
9,KV3000提供自动定时扫描功能
2009年 8月 20日星期四
12时 5分 10秒 病毒 43
6.4.3 KILL2000
1,KILL2000单机版简介
( 1) KILL 2000单机系列产品
KILL for Win2000 Professional
KILL for Win95/98
KILL for Windows NT Workstation
KILL for Win&Dos
2009年 8月 20日星期四
12时 5分 10秒 病毒 44
( 2) KILL 2000单机版产品特点经国际计算机安全协会认证对病毒能够 100%的快速有效清除,使用简单、
功能强大、性能突出。全面兼容
WINDOWS 2000系列。针对所有流行单机平台实现有效的病毒和黑客的实时监控和清除功能。
2009年 8月 20日星期四
12时 5分 10秒 病毒 45
2,KILL2000网络 版简介
( 1) KILL2000系列网络反病毒产品
KILL2000 for Windows NT/2000 server
KILL2000 for Netware Server
KILL2000 for Exchange Server(插件)
KILL2000 for Notes Server(插件)
KILL2000 for 95/98 client pack
KILL2000 for NT/2000 client pack
KILL2000 Internet Protector
2009年 8月 20日星期四
12时 5分 10秒 病毒 46
( 2) KILL 2000网络系列反病毒产品特点具有强大的网络管理能力和病毒防杀能力,通过网关 -服务器 -邮件系统 -客户端的系统安全体系,实现全面网络安全解决方案,与冠群金辰公司的其它网络安全软件组合,能够确保企业网络安全 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 47
小结:
随着计算机在各行各业的大量应用,计算机病毒也随之渗透到计算机世界的每个角落,常以人们意想不到的方式侵入计算机系统 。 计算机病毒的流行引起人们的普遍关注,成为影响计算机安全运行的一个重要因素 。
本章主要介绍病毒的基础知识,包括病毒的定义、特点、分类、结构、预防及清除方法。
并针对网络病毒独有的特点进行讨论,提出网络病毒的防治措施。同时,还介绍了几种典型病毒以及常用杀毒软件的功能特点。
12时 5分 10秒 病毒 1
第六章 病毒本章内容:
第一节 计算机病毒简介第二节 网络病毒及其防治第三节 典型病毒介绍第四节 常用杀毒软件介绍
2009年 8月 20日星期四
12时 5分 10秒 病毒 2
知识点
病毒的定义,分类,特点及防治
网络病毒的特点,传播及防治
网络反病毒技术的特点
2009年 8月 20日星期四
12时 5分 10秒 病毒 3
难 点
网络反病毒技术
宏病毒的清除方法
2009年 8月 20日星期四
12时 5分 10秒 病毒 4
要求熟练掌握以下内容,
病毒的定义、分类、特点及防治
网络病毒的特点、传播及防治
常用杀毒软件的使用了解以下内容,
病毒的结构
典型病毒
2009年 8月 20日星期四
12时 5分 10秒 病毒 5
第一节 计算机病毒简介
病毒的概念
病毒的发展史
病毒的特点
病毒的分类
病毒的结构
病毒的识别与防治
2009年 8月 20日星期四
12时 5分 10秒 病毒 6
6.1.1 病毒的概念计算机病毒在,中华人民共和国计算机信息系统安全保护条例,中的定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
2009年 8月 20日星期四
12时 5分 10秒 病毒 7
6.1.2 病毒的发展史
1,DOS时代
DOS是一个安全性较差的操作系统,
所以在 DOS时代,计算机病毒无论是数量还是种类都非常多 。 按照传染方式可以分为:系统引导病毒,外壳型病毒,
复合型病毒 。 各类病毒的具体内容见
,病毒的分类,。
2009年 8月 20日星期四
12时 5分 10秒 病毒 8
2,Windows时代
1995年 8月,微软发布了 Windows95,
标志着个人电脑的操作系统全面进入了
Windows9X时代,而 Windows9X对 DOS
的弱依赖性则使得计算机病毒也进入了
Windows时代。这个时代的最大特征便是大量 DOS病毒的消失以及宏病毒的兴起。
2009年 8月 20日星期四
12时 5分 10秒 病毒 9
3,Internet时代可以这样说,网 络 病 毒 大 多 是
Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户 E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些 E-mail地址去 。 由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 10
6.1.3 病毒的特点
1,传染性
2,破坏性
3,隐蔽 性
4,潜伏 性
5,不可预见 性
2009年 8月 20日星期四
12时 5分 10秒 病毒 11
6.1.4 病毒的分类
1,系统引导病毒系统引导病毒又称引导区型病毒。直到 20
世纪 90年代中期,引导区型病毒是最流行的病毒类型,主要通过软盘在 DOS操作系统里传播。
引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。
2009年 8月 20日星期四
12时 5分 10秒 病毒 12
2,文件型病毒文件型病毒是文件侵染者,也被称为寄生病毒 。 它运作在计算机存储器里,
通常它感染扩展名为 COM,EXE,DRV、
BIN,OVL,SYS等文件 。 每一次它们激活时,感染文件把自身复制到其他文件中,并能在存储器里保存很长时间,直到病毒又被激活 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 13
3,复合型病毒复合型病毒有引导区型病毒和文件型病毒两者的特征 。
4,宏病毒宏病毒一般是指用 Word Basic书写的病毒程序,寄存在 Microsoft Office文档上的宏代码 。 它影响对文档的各种操作,如打开,存储,关闭或清除等 。 当打开 Office
文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染,表现和破坏 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 14
6.1.5 病毒的结构计算机病毒在结构上有着共同性,一般由引导部分,传染部分,表现部分三部分组成 。
1,引导部分也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备 。
2,传染部分作用是将病毒代码复制到目标上去 。 一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,
如 CIH病毒只针对 Windows 95/98操作系统 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 15
3,表现部分是病毒间差异最大的部分,前两部分是为这部分服务的 。 它破坏被传染系统或者在被传染系统的设备上表现出特定的现象 。 大部分病毒都是在一定条件下才会触发其表现部分的 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 16
6.1.6 病毒的识别与防治
1,病毒发作常见的现象下列一些异常现象可以作为检测病毒的参考:
( 1) 程序装入时间比平时长,运行异常;
( 2) 有规律的发现异常信息;
( 3) 用户访问设备 ( 例如打印机 ) 时发现异常情况,如打印机不能联机或打印符号异常;
( 4) 磁盘的空间突然变小了,或不识别磁盘设备;
( 5) 程序和数据神秘的丢失了,文件名不能辨认;
( 6) 显示器上经常出现一些莫名其妙的信息或异常显示 ( 如白斑,
圆点等 ) ;
( 7) 机器经常出现死机现象或不能正常启动;
( 8) 发现可执行文件的大小发生变化或发现不知来源的隐藏文件 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 17
2,病毒预防
( l)用管理手段预防计算机病毒的传染
( 2)用技术手段预防计算机病毒的传染
3,病毒清除目前病毒的破坏力越来越强,几乎所有的软、硬件故障都可能与病毒有牵连,所以,当操作时发现计算机有异常情况,首先应怀疑的就是病毒在作怪,
而最佳的解决办法就是利用杀毒软件对计算机进行一次全面的清查。
2009年 8月 20日星期四
12时 5分 10秒 病毒 18
第二节 网络病毒及其防治
网络病毒的特点
网络病毒的传播
网络病毒的防治
网络反病毒技术的特点
病毒防火墙的反病毒的特点
2009年 8月 20日星期四
12时 5分 10秒 病毒 19
6.2.1 网络病毒的特点
1,传染方式多
2,传播速度快
3,清除难度大
4,破坏性强
2009年 8月 20日星期四
12时 5分 10秒 病毒 20
6.2.2 网络病毒的传播
1,文件病毒在网络上的传播与表现局域网:大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件 。 用户在工作站上执行一个带毒操作文件,这种病毒就会感染网络上其他可执行文件 。 用户在工作站上执行内存驻留文件带毒,当访问服务器上的可执行文件时进行感染 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 21
对等网:使用网络的另一种方式是对等网络,在端到端网络上,用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此,
每个工作站都可以有效地成为另一个工作站的客户和服务器。而且,端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。
这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件,那么这台感染病毒计算机中的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。
2009年 8月 20日星期四
12时 5分 10秒 病毒 22
Internet:文件病毒可以通过 Internet
毫无困难地发送 。 而可执行文件病毒不能通过 Internet在远程站点感染文件 。 此时 Internet是文件病毒的载体 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 23
6.2.3 网络病毒的防治
1,基于工作站的防治方法工作站病毒防护芯片,将防病毒功能集成在一个芯片上,安装于网络工作站,以便经常性地保护工作站及其通往服务器的途径 。 其基本原理是,网络上的每个工作站都要求安装网络接口卡,而网络接口上有一个 Boot ROM芯卡,因为多数网卡的 Boot ROM并没有充分利用,都会剩余一些使用空间,所以如果防毒程序够小的话,就可以安装在网络的 BOOt ROM的剩余空间内,而不必另插一块芯片 。 这样,将工作站存取控制与病毒保护能力合二为一地插在网卡的 RPROM槽内,
用户可以免去许多繁琐的管理工作 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 24
2,基于服务器的防治方法目前,基于服务器的防治病毒方法大都采用了以 NLM( NetwWare Loadable Module)
可装载模块技术进行程序设计,以服务器为基础,提供实时扫描病毒能力。市场上较有代表性的产品,如,Intel公司的 LANdesk Virus
Protect和 Symantec公司的 Center PointAnti一
Virus和 S&SSoftware International公司的
Dr,Solomon’s Anti—Virus Toolkit,以及我国北京威尔德电脑公司的 LANClear For
2009年 8月 20日星期四
12时 5分 10秒 病毒 25
6.2.4 网络反病毒技术的特点
1,网络反病毒技术的安全度取决于,木桶理论,
被计算机安全界广泛采用的著名的“木桶理论”认为,整个系统的安全防护能力,取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面,它同样也适用于这一理论。一个计算机网络,对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。
2009年 8月 20日星期四
12时 5分 10秒 病毒 26
2,网络反病毒技术尤其是网络病毒实时监测技术应符合,最小占用,原则该技术符合,最小占用,原则,对网络运行效率不产生本质影响 。
网络反病毒产品是网络应用的辅助产品,
因此对网络反病毒技术,尤其是网络病毒实时监测技术,在自身的运行中不应影响网络的正常运行 。
网络反病毒技术的应用,理所当然会占用网络系统资源 ( 增加网络负荷,额外占用
CPU,占用服务器内存等 ) 。 正由于此,网络反病毒技术应符合,最小占用,原则,以保证网络反病毒技术和网络本身都能发挥出应有的正常功能 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 27
3,网络反病毒技术的兼容性是网络防毒的重点与难点网络上集成了那么多的硬件和软件,流行的网络操作系统也有好几种,按照一定网络反病毒技术开发出来的网络反病毒产品,要运行于这么多的软,硬件之上,与它们和平共处,实在是非常之难,远比单机反病毒产品复杂 。 这既是网络反病毒技术必须面对的难点,又是其必须解决的重点 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 28
第三节 典型病毒介绍
宏病毒
电子邮件病毒
几个病毒实例
2009年 8月 20日星期四
12时 5分 10秒 病毒 29
6.3.1 宏病毒
1,宏病毒的定义所谓宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,
而不必再重复相同的工作。所谓宏病毒,就是利用软件所支持的宏命令编写成的具有复制、
传染能力的宏。
2009年 8月 20日星期四
12时 5分 10秒 病毒 30
2,宏病毒的分类宏病毒根据传染的宿主的不同可以分为:传染 Word的宏病毒,传染 Excel的宏病毒和传染 AmiPro的宏病毒 。 由于目前国内 Word系统应用较多,所以大家谈论的宏病毒一般是指 Word宏病毒 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 31
3,Word宏病毒的特点
( 1) 以数据文件方式传播,隐蔽性好,
传播速度快,难于杀除
( 2) 制作宏病毒以及在原型病毒上变种非常方便
( 3) 破坏可能性极大
2009年 8月 20日星期四
12时 5分 10秒 病毒 32
4,Word宏病毒的表现
Word宏病毒在发作时,会使 Word运行出现怪现象,如自动建文件,开窗口,内存总是不够,关闭 WORD不对已修改文件提出未存盘警告,存盘文件丢失等,有的使打印机无法正常打印 。 Word宏病毒在传染时,会使原有文件属性和类型发生改变,或 Word自动对磁盘进行操作等 。 当内存中有 Word宏病毒时,原
Word文档无法另存为其他格式的文件,只能以模板形式进行存储 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 33
5,Word宏病毒的防范
( 1) 对于已染病毒的 NORMAL.DOT文件,首先应将 NORMAL.DOT中的自动宏清除,然后将 NORMAL.DOT置成只读方式 。
( 2) 对于其它已感染病毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的 。
( 3) 平时使用时要加强防范 。 定期检查活动宏表,对来历不明的宏最好予以删除;如果发现后缀为,DOC的文件变成模板 (,DOT) 时,则可怀疑其已染宏病毒,其主要表现是在 Save
As文档是,选择文件类型的框变为灰色 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 34
( 4) 在启动 Word,创建文档,打开文档,关闭文档以及退出 Word时,按住 SHIFT键可以阻止自动宏的运行 。 例如,当用含有 AutoNew宏的模板新建一文档时,在,新建,对话框中单击,确定,按钮时按住 SHIFT键,就可以阻止
AutoNew宏的执行 。
( 5) 存储一个文档时,务必明确指定该文档的扩展名 。 宏病毒总是试图把模板文件的扩展名加到你指定的文件名后面,无论扩展名是否已经存在 。 例如,你指定文件名如下 TEST.DOC,
最终这个文件名会变为 TEST.DOC.DOT,显然这个文件名在 DOS下不可接受的 。 由此就可以察觉到宏病毒的存在 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 35
6,宏病毒的清除
( 1) 手工清除 Word宏病毒
( 2) 使用杀毒软件清除 Word宏病毒
2009年 8月 20日星期四
12时 5分 10秒 病毒 36
6.3.2 电子邮件病毒电子邮件病毒的防范,
( 1) 思想上要有防毒意识
( 2) 使用防毒软件
2009年 8月 20日星期四
12时 5分 10秒 病毒 37
6.3.3 几个病毒实例
1,CIH病毒
CIH病毒是一种文件型病毒,主要传染
Windows 95/ 98应用程序。该病毒发作时,破坏计算机系统 Flash Memory芯片中的 BIOS系统程序,导致系统主板损坏,同时破坏硬盘中的数据。 CIH病毒是首例直接攻击、破坏硬件系统的计算机病毒,是迄今为止破坏力最为严重的病毒之一。
2009年 8月 20日星期四
12时 5分 10秒 病毒 38
2.,台湾 1号,宏病毒在每月 13日,若用户使用打开一个带,台湾
1号,宏病毒的 Word文档 ( 模板 ) 时,该病毒会被激发 。 激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至
Word内存不够,Word出错为止;如心算题作对,会提示用户,什么是巨集病毒 ( 宏病毒 )?,,回答是,我就是巨集病毒,,再提示用户:,如何预防巨集病毒?,,回答是
,不要看我,。
2009年 8月 20日星期四
12时 5分 10秒 病毒 39
3,电子邮件炸弹电子邮件炸弹是指发件者以不明来历的电子邮件地址,不断重复将电子邮件寄于同一个收件人 。 由于情况就像是战争时利用某种战争工具对同一个地方进行大轰炸,因此称为电子邮件炸弹 ( E
- mail Bomber) 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 40
瑞星杀毒软件
KV3000
KILL2000
第四节 常用杀毒软件介绍
2009年 8月 20日星期四
12时 5分 10秒 病毒 41
6.4.1 瑞星杀毒软件
“瑞星杀毒软件,是北京瑞星电脑科技开发有限责任公司针对流行于国内外危害较大的计算机病毒和有害程序,自主研制的反病毒安全工具 。 用于对已知病毒,黑客等的查找,
实时监控和清除,恢复被病毒感染的文件或系统,维护计算机系统的安全 。 能全面清除感染 DOS,Windows,Office等系统的病毒以及危害计算机安全的各种,黑客 ’ 等有害序 。
,瑞星杀毒软件,分为世纪版,标准版和
OEM版 。
注:对于杀毒软件的特点,使用需要上机演示,
这里不在赘述 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 42
6.4.2 KV3000
1,KV3000可以查杀更多的计算机病毒的种类和数量
2,KV3000提供更加完善的硬盘救护箱功能
3,KV3000内部增加了多种查杀计算机病毒的方法
4,KV3000可识别的压缩文件的格式更多
5,KV3000升级更加方便、快捷
6,KV3000清除宏病毒的功能得到很大的提高
7,KV3000提供详细的检查病毒的报告文件
8,KV3000提供清除病毒向导功能
9,KV3000提供自动定时扫描功能
2009年 8月 20日星期四
12时 5分 10秒 病毒 43
6.4.3 KILL2000
1,KILL2000单机版简介
( 1) KILL 2000单机系列产品
KILL for Win2000 Professional
KILL for Win95/98
KILL for Windows NT Workstation
KILL for Win&Dos
2009年 8月 20日星期四
12时 5分 10秒 病毒 44
( 2) KILL 2000单机版产品特点经国际计算机安全协会认证对病毒能够 100%的快速有效清除,使用简单、
功能强大、性能突出。全面兼容
WINDOWS 2000系列。针对所有流行单机平台实现有效的病毒和黑客的实时监控和清除功能。
2009年 8月 20日星期四
12时 5分 10秒 病毒 45
2,KILL2000网络 版简介
( 1) KILL2000系列网络反病毒产品
KILL2000 for Windows NT/2000 server
KILL2000 for Netware Server
KILL2000 for Exchange Server(插件)
KILL2000 for Notes Server(插件)
KILL2000 for 95/98 client pack
KILL2000 for NT/2000 client pack
KILL2000 Internet Protector
2009年 8月 20日星期四
12时 5分 10秒 病毒 46
( 2) KILL 2000网络系列反病毒产品特点具有强大的网络管理能力和病毒防杀能力,通过网关 -服务器 -邮件系统 -客户端的系统安全体系,实现全面网络安全解决方案,与冠群金辰公司的其它网络安全软件组合,能够确保企业网络安全 。
2009年 8月 20日星期四
12时 5分 10秒 病毒 47
小结:
随着计算机在各行各业的大量应用,计算机病毒也随之渗透到计算机世界的每个角落,常以人们意想不到的方式侵入计算机系统 。 计算机病毒的流行引起人们的普遍关注,成为影响计算机安全运行的一个重要因素 。
本章主要介绍病毒的基础知识,包括病毒的定义、特点、分类、结构、预防及清除方法。
并针对网络病毒独有的特点进行讨论,提出网络病毒的防治措施。同时,还介绍了几种典型病毒以及常用杀毒软件的功能特点。
