第一讲 计算机病毒的概述

病毒的特点
4 ．潜伏性 : 计算机病毒侵入计算机以后 可潜伏在合法的文件中并不立即发作。 经过一段时间或一旦买组了某些条件病 毒便开始发作，触发计算机条件可以是 某个日期、某个时间等。各种病毒潜伏 期不同，短这数天、数月，长者可达数 年之久。 5．不可预见性
病毒的传播途径
1. 通过移动存储设备来传播（包括软盘、 光盘、U盘等）。 2. 通过计算机网络进行传播。 3. 通过点对点通信系统和无线通道传播。
网络病毒的传播
对等网：使用网络的另一种方式是对等网络， 在端到端网络上，用户可以读出和写入每个连接的 工作站上本地硬盘中的文件。因此，每个工作站都 可以有效地成为另一个工作站的客户和服务器。而 且，端到端网络的安全性很可能比专门维护的文件 服务器的安全性更差。这些特点使得端到端网络对 基于文件的病毒的攻击尤其敏感。如果一台已感染 病毒的计算机可以执行另一台计算机中的文件，那 么这台感染病毒计算机中的活动的、内存驻留病毒 能够立即感染另一台计算机硬盘上的可执行文件。
1.病毒发作常见的现象
下列一些异常现象可以作为检测病毒的参考： 程序装入时间比平时长，运行异常； 有规律的发现异常信息； 用户访问设备（例如打印机）时发现异常情况，如打印机不 能联机或打印符号异常； 磁盘的空间突然变小了，或不识别磁盘设备； 程序和数据神秘的丢失了，文件名不能辨认； 显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、 圆点等）； 机器经常出现死机现象或不能正常启动； 发现可执行文件的大小发生变化或发现不知来源的隐藏文件。
病毒的危害
4、干扰系统运行。不执行用户指令、干扰指令的运 行、内部栈溢出、占用特殊数据区、时钟倒转、自动 重新启动计算机、死机等。 5、速度下降。不少病毒在时钟中纳入了时间的循环 计数，迫使计算机空转，计算机速度明显下降。 6、攻击磁盘。攻击磁盘数据、不写盘、写操作变读 操作、写盘时丢字节等。 7、扰乱屏幕显示。字符显示错乱、跌落、环绕、倒 置、光标下跌、滚屏、抖动、吃字符等。
网络病毒及其防治
• • • • • 网络病毒的特点 网络病毒的传播 网络病毒的防治 网络反病毒技术的特点 病毒防火墙的反病毒的特点
网络病毒的特点
1．传染方式多 2．传播速度快 3．清除难度大 4．破坏性强
网络病毒的传播
1．文件病毒在网络上的传播与表现 局域网：大多数公司使用局域网文件 服务器，用户直接从文件服务器复制已 感染的文件。用户在工作站上执行一个 带毒操作文件，这种病毒就会感染网络 上其他可执行文件。用户在工作站上执 行内存驻留文件带毒，当访问服务器上 的可执行文件时进行感染。
病毒的分类
一、按传染方式分类 1．系统引导病毒 系统引导病毒又称引导区型病毒。直到20 世纪90年代中期，引导区型病毒是最流行的病 毒类型，主要通过软盘在DOS操作系统里传播。 引导区型病毒侵染软盘中的引导区，蔓延到用 户硬盘，并能侵染到用户硬盘中的“主引导记 录”。一旦硬盘中的引导区被病毒感染，病毒 就试图侵染每一个插入计算机的从事访问的软 盘的引导区。
网络反病毒技术的特点
2 ．网络反病毒技术尤其是网络病毒实时监测技术应符 合“最小占用”原则 该技术符合“最小占用”原则，对网络运行效率 不产生本质影响。 网络反病毒产品是网络应用的辅助产品，因此对 网络反病毒技术，尤其是网络病毒实时监测技术，在 自身的运行中不应影响网络的正常运行。 网络反病毒技术的应用，理所当然会占用网络系 统资源（增加网络负荷、额外占用 CPU、占用服务器 内存等）。正由于此，网络反病毒技术应符合“最小 占用”原则，以保证网络反病毒技术和网络本身都能 发挥出应有的正常功能。
• 宏病毒 • 电子邮件病毒 • 几个病毒实例
宏病毒
1．宏病毒的定义 所谓宏，就是软件设计者为了在使用软件 工作时，避免一再的重复相同的动作而设计出 来的一种工具。它利用简单的语法，把常用的 动作写成宏，当再工作时，就可以直接利用事 先写好的宏自动运行，去完成某项特定的任务， 而不必再重复相同的工作。所谓宏病毒，就是 利用软件所支持的宏命令编写成的具有复制、 传染能力的宏。
病毒的分类
2．文件型病毒 文件型病毒是文件侵染者，也被称为 寄生病毒。它运作在计算机存储器里， 通常它感染扩展名为COM、EXE、DRV、 BIN、OVL、SYS等文件。每一次它们激 活时，感染文件把自身复制到其他文件 中，并能在存储器里保存很长时间，直 到病毒又被激活。
病毒的分类
3. 复合型病毒 复合型病毒有引导区型病毒和文件型病毒两者的特征。 既感染引导区又感染文件，因此扩大了这种病毒的传染 途径。 4 .宏病毒 宏病毒一般是指用 Word Basic 书写的病毒程序，寄存 在 Microsoft Office 文档上的宏代码。它影响对文档 的各种操作，如打开、存储、关闭或清除等。当打开 Office文档时，宏病毒程序就会被执行，即宏病毒处于 活动状态，当触发条件满足时，宏病毒才开始传染、表 现和破坏。
网络反病毒技术的特点
3 . 网络反病毒技术的兼容性是网络防毒的重点与难 点 网络上集成了那么多的硬件和软件，流行的网 络操作系统也有好几种，按照一定网络反病毒技术 开发出来的网络反病毒产品，要运行于这么多的软、 硬件之上，与它们和平共处，实在是非常之难，远 比单机反病毒产品复杂。这既是网络反病毒技术必 须面对的难点，又是其必须解决的重点。
3．Internet时代 可以这样说，网络病毒大多是 Windows时代宏病毒的延续，它们往往 利用强大的宏语言读取用户E-mail软件 的地址簿，并将自身作为附件发向地址 簿内的那些E-mail地址去。由于网络的 快速和便捷，网络病毒的传播是以几何 级数进行的，其危害比以前的任何一种 病毒都要大。
网络病毒的防治
2．基于服务器的防治方法 目前，基于服务器的防治病毒方法大都采用了 以NLM（NetwWare Loadable Module）可装载模块技 术进行程序设计，以服务器为基础，提供实时扫描 病毒能力。市场上较有代表性的产品，如： Intel 公司的 LANdesk Virus Protect和Symantec公司的 Center PointAnti一Virus和 S&SSoftware International公司的 Dr．Solomon’s Anti— Virus Toolkit，以及我国北京威尔德电脑公司的 LANClear
网络蠕虫的传统威胁
• 消耗网络资源导致网络拥塞甚至瘫痪 • 特点： – 不可控（感染范围、所阻塞的网络） – 攻击者不（直接）受益 • 趋势： – 更强的能力（感染规模、蔓延速度） – “定向”能力（IPv6地地址分配规则确定之 后会更容易？） – “自适应”能力 • 争议：是否还是主要威胁？
典型病毒介绍
病毒的识别与防治
2.病毒预防 在计算机上安装病毒监控程序； 使用他人的软盘、U盘要先查毒； 不使用盗版软件； 使用从网络上下载的软件要先查毒； 不接受来历不明的电子邮件。 3.病毒清除 目前病毒的破坏力越来越强，几乎所有的软、硬件故障 都可能与病毒有牵连，所以，当操作时发现计算机有异常情 况，首先应怀疑的就是病毒在作怪，而最佳的解决办法就是利 用杀毒软件对计算机进行一次全面的清查。
病毒的结构
3 . 表现部分 是病毒间差异最大的部分，前两部分 是为这部分服务的。它破坏被传染系统 或者在被传染系统的设备上表现出特定 的现象。大部分病毒都是在一定条件下 才会触发其表现部分的。
Βιβλιοθήκη Baidu
病毒的危害
1 、攻击系统数据区。攻击部位包括硬盘主引导扇区、 Boot扇区、FAT表、文件目录。一般来说，攻击系统数 据区的病毒是恶性病毒，受损的数据不易恢复。 2、攻击文件。病毒对文件的攻击方式很多，如删除、改 名、替换内容、丢失簇和对文件加密等。 3、攻击内存。内存是计算机的重要资源，也是病毒攻击 的重要目标。病毒额外地占用和消耗内存资源，可导 致一些大程序运行受阻。病毒攻击内存的方式有大量 占用、改变内存总量、禁止分配和蚕食内存等。
病毒的发展史
1．DOS时代 DOS是一个安全性较差的操作系统， 所以在 DOS 时代，计算机病毒无论是数 量还是种类都非常多。按照传染方式可 以分为：系统引导病毒、外壳型病毒、 复合型病毒。各类病毒的具体内容见 “病毒的分类”。
2．Windows时代 1995年8月，微软发布Windows95， 标志着个人电脑的操作系统全面进入了 Windows9X时代，而Windows9X对DOS 的弱依赖性则使得计算机病毒也进入了 Windows时代。这个时代的最大特征便 是大量DOS病毒的消失以及宏病毒的兴 起。
病毒的危害
8、攻击键盘。响铃、封锁键盘、换字、抹掉 缓存区字符、重复输入。 9、攻击喇叭。发出各种不同的声音，如演奏 曲子、警笛声、炸弹噪声、鸣叫、咔咔声、 嘀嗒声 10、攻击CMOS。对CMOS区进行写入动作，破 坏系统CMOS中的数据。 11 、干扰打印机。间断性打印、更换字符等。
病毒的识别与防治
病毒的分类
二、按破坏性分类 1、良性病度:可能只显示些画面或出点 音乐、无聊的语句，或者根本没有任何 破坏动作，但会占用系统资源。 2、恶性病毒:有明确得目的，或破坏数 据、删除文件或加密磁盘、格式化磁盘， 有的对数据造成不可挽回的破坏。
病毒的结构
计算机病毒在结构上有着共同性，一般由引 导部分、传染部分、表现部分三部分组成。 1.引导部分 也就是病毒的初始化部分，它随着宿主程序的 执行而进入内存，为传染部分做准备。 2.传染部分 作用是将病毒代码复制到目标上去。一般病毒 在对目标进行传染前，要首先判断传染条件是否 满足，判断病毒是否已经感染过该目标等，如CIH 病毒只针对Windows 95/98操作系统。
病毒的特点
1 ．传染性 : 传染性是病毒的基本特征。计算机病毒 也会通过各种渠道从已被感染的计算机扩散到未 被感染的计算机，在某些情况下造成被感染的计 算机工作失常甚至瘫痪。 2 ．破坏性 : 计算机病毒可以破坏系统，删除或修改 数据，占用系统资源，干扰计算机的正常工作， 严重的可使整个系统陷于瘫痪。 3 ．隐蔽性 : 计算机病毒进入计算机以后常常不是立 即发生，它可以有足够的时间去实现感染和破坏 作用。
网络反病毒技术的特点
1 ．网络反病毒技术的安全度取决于“木桶理论” 被计算机安全界广泛采用的著名的“木桶 理论”认为，整个系统的安全防护能力，取决 于系统中安全防护能力最薄弱的环节。计算机 网络病毒防治是计算机安全极为重要的一个方 面，它同样也适用于这一理论。一个计算机网 络，对病毒的防御能力取决于网络中病毒防护 能力最薄弱的一个节点。
第一 讲
计算机病毒的概述
课程目标
• • • • • • 理解病毒的概念 熟悉病毒的发展史 掌握病毒的特点 掌握病毒的分类 掌握病毒的结构 掌握病毒的识别与防治
病毒的概念
计算机病毒在《中华人民共和国计 算机信息系统安全保护条例》中的定义 为：“指编制或者在计算机程序中插入 的破坏计算机功能或者数据，影响计算 机使用并且能够自我复制的一组计算机 指令或者程序代码”。
网络病毒的传播
Internet：文件病毒可以通过Internet 毫无困难地发送。而可执行文件病毒不 能通过Internet在远程站点感染文件。此 时Internet是文件病毒的载体。
网络病毒的防治
1．基于工作站的防治方法 工作站病毒防护芯片 : 将防病毒功能集成在一个 芯片上，安装于网络工作站，以便经常性地保护工作 站及其通往服务器的途径。其基本原理是:网络上的每 个工作站都要求安装网络接口卡，而网络接口上有一 个 Boot ROM 芯卡，因为多数网卡的 Boot ROM 并没有充 分利用，都会剩余一些使用空间，所以如果防毒程序 够小的话，就槽内，用户可以免去许多繁琐的管理工 作。可以安装在网络的 Boot ROM 的剩余空间内，而不 必另插一块芯片。这样，将工作站存取控制与病毒保 护能力合二为一地插在网卡的RPROM