计算机病毒介绍.ppt

计算机病毒介绍,病毒的种类及防范,第一部分 什么是计算机病毒,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。如今从广义上讲，一切危害用户计算机数据、偷盗用户隐私、损害他人利益及影响用户正常操作的程序或代码都可被定义为计算机病毒。,第二部分 计算机病毒的基本特点,1，感染模块 这是病毒最关键的部分，为了自身的生存，病毒必须不断感染一个又一个正常的程序或系统，借此来传播自己。这一点和生物病毒有着相似之处，可以理解为病毒执行写操作，把病毒代码“写”到正常程序中。,第二部分 计算机病毒的基本特点,2，传播模块 计算机病毒是不甘心仅仅感染一个正常程序或系统的，病毒感染其它正常程序或系统的过程就是传播。不同病毒的传播模块是不同的，文件型病毒每次新感染一个宿主程序，就完成了自身的传播，而蠕虫病毒的传播可能只是一个复制命令。,第二部分 计算机病毒的基本特点,3，触发模块 只有满足破坏条件后病毒才能发作，实现破坏，这就是触发模块。病毒在成功感染后，一边很小心地隐藏自己，一边判断是否够条件来发作。条件不成熟时，病毒所做的只是隐藏和进一步感染，而不会表现出任何破坏，只有这样，病毒才可能有更强的生命力，避免短时间内就被用户发现并消灭。,第二部分 计算机病毒的基本特点,4，破坏模块 当病毒判断满足条件可以发作时，就表现出破坏，破坏的表现形式很多，这一个模块是给计算机病毒定性的根本依据。同一个病毒还可以在不同的触发条件下进行不同的破坏表现。病毒作者在编写病毒时，已经告诉了病毒在什么条件下进行什么破坏，并允许其他人对这些信息进行修改，这就是很多病毒出现变种的原因。,第三部分 引导型病毒,什么是引导型病毒 引导型病毒，就是感染磁盘引导区的病毒。引导型病毒分为两类：主引导区病毒和DOS引导区病毒。小知识：硬盘被分区后，就由分区程序建立的主引导区，固定大小 为515字节，里面包括硬盘引导程序和硬盘分区表。硬盘被高级格式化后，格式化程序建立了DOS引导区，存放系统的引导信息，负责对系统的引导。,第三部分 引导型病毒,引导型病毒的感染原理 引导型病毒驻留内存，通过两种方式感染主引导区或DOS引导区。利用一切办法把自身的代码全部或部分复制到原来的引导区，覆盖或修改了正常的引导文件，导致系统不能正常引导。把自身的代码连接到正常的引导程序中，使得任何情况下只要启动计算机，在引导过程中病毒就被执行，这样病毒就早于操作系统而获得控制权。,第三部分 引导型病毒,感染引导型病毒的现象 感染引导型病毒后，开机时可能出现以下错误信息：DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER（磁盘引导失败）Invalid partition table（无效的分区表信息）Error loading operating system（不能加载操作系统，DOS引导记录出错）Missing operating system（缺少操作系统，DOS引导记录出错）,第三部分 引导型病毒,如何清除引导型病毒 杀毒软件清除。目前的杀毒软件基本上都可以清除各种类型的引导型病毒，而且操作十分简单。手动清除。无论是主引导区病毒，还是DOS引导区病毒，清除的基本思想都是用正确的引导区信息去覆盖受到破坏的引导区信息。这样既可以清除病毒，又可以恢复系统。在进行操作前，必须保证内存中无毒，并用无毒的软件盘光盘进行引导，然后再通过SYS命令将启动盘上的系统引导信息传递给系统盘。,第四部分 文件型病毒,什么是文件型病毒 文件型病毒的感染对象是“.exe”、“.com”等类型的可执行文件。文件型病毒的一个共同的特征，就是被感染的对象首先要可以被执行，否则它们就是失去了继续感染的机会。文件型病毒在感染文件时，采取直接连接，覆盖，修改，插空等方法，把自身代码和正常程序融合。,第四部分 文件型病毒,文件型病毒的特点 感染和破坏能力强 1，在内存中感染病毒后，对所有.exe或.com文件的任何操作（包括查看文件大小）都可能使立即染毒。这两个格式又恰恰是最常用的两种，这就是文件型病毒感染能力特别强的原因。2，由于文件型病毒必须将自身的代码以各种形式融合到宿主程序中去，这必然就破坏了宿主程序原来的结构，严重的话很可能导致宿主程序不能正常执行或根本不能执行，而且也无法完全清除。宿主程序：就是病毒寄生的对象。病毒依赖宿主程序的存在而存在，消亡而消亡。,第四部分 文件型病毒,文件型病毒的特点 清除比较困难 1，最初的文件型病毒，感染文件一般是将病毒代码直接附加到宿主程序代码前或最后，宿主程序本身代码不会改变，清除比较方便，只需要把病毒代码从宿主程序中分离出去就成了。2，后来的文件型病毒改变了这种感染模式，他们开始将病毒代码附加到宿主程序的中间，而且是分段存放，甚至采用加密技术，对清除工作造成了很大的困难。,第四部分 文件型病毒,文件型病毒是如何工作的 1）如果病毒只存在于宿主程序中，而该宿主程序并未被执行，此时的病毒处于静态下，不能表现感染和破坏作用。2）当宿主程序被执行时，病毒代码首先被执行，这时的病毒由静态转变为动态。3）动态病毒一般都驻留内存，监视所有可执行文件的任何动作，一旦发现内存中有宿主程序存在，判断是否已经被感染，如果已经被感染就继续寻找其它宿主程序，如果未被感染就立刻感染并做上“已感染”的标记。4）感染后的宿主程序同样成为一个新的病毒源，重复第一个步骤。,第四部分 文件型病毒,如何防御文件型病毒 及时备份 任何时候感染了病毒，只需要利用备份进行覆盖，就可以达到清除病毒并恢复系统的目的。小知识：使用系统自带的备份工具ntbackup.exe进行文件备份。备份文件的扩展名为.bkf，不是可执行文件，所以不会被文件型病毒感染而成为宿主程序。,第四部分 文件型病毒,系统备份工具ntbackup,第四部分 文件型病毒,如何防御文件型病毒 利用杀毒软件 目前杀毒软件的反病毒技术已经比较成熟，实时监控的功能可以即时检测当前系统的状况，如果发现当前内存中有带有病毒特征码的程序，立刻终止其进程的操作，并清除病毒。这样有可以有效地防止文件型病毒驻留内存。,第四部分 文件型病毒,感染文件型病毒后如何处理 利用杀毒软件清除被感染的文件 杀毒软件的杀毒引擎可以剥离宿主程序中的病毒代码，还原文件的初始状态，但对于一些被破坏严重的文件，可能已经无法正常运行，杀毒软件也不能保证恢复文件。利用备份的文件覆盖被感染的文件。,第五部分 宏病毒,什么是宏病毒 宏病毒是一种比较特殊的数据型病毒，专门感染OFFICE办公自动化软件的Word和Excel文档。宏病毒主要是利用隐藏在Word文档和Excel文档中的宏命令来进行破坏。小知识：所谓“宏”，是指一组可以被执行的指令的集合，用来实现复杂操作的自动化执行，从而大大简化了工作步骤，提高了效率。（可以理解为bat批处理文件）,第五部分 宏病毒,什么是宏病毒 在Word和Excel中包含以下几种特殊的自动宏。AutoOpen 打开文档时 AutoClose 关闭文档时 AutoNew 新建文档时 AutoExec 打开Word和Excel时 AutoExit 退出时 由于用户对Word和Excel文档执行操作时必须要执行“打开”、“关闭”、“新建”、“退出”这四个操作中至少一个，那么也就至少需要执行AutoOpen、AutoClose、AutoNew、AutoExit四个宏中的任意一个，那么隐藏在里面的宏病毒就不知不觉地被激活了。,第五部分 宏病毒,宏病毒和文件型病毒的区别 相同点：都需要宿主程序，只要在宿主程序被打卡时才感染系统。不同点：1）宏病毒的宿主为Word和Excel文档，文件型病毒的宿主为可执行文件。2）宏病毒只存在于Word和Excel环境下，如果没有安装Word或者Excel，就不会感染宏病毒。,第五部分 宏病毒,宏病毒有哪些特点 感染和传播隐蔽：宏病毒隐藏在模板或word文档中。当打开一个word文档时，先加载的是被调用的模板，文档里的宏病毒便直接感染了模板，然后所有调用此模板的文档都会感染宏病毒。由于宏病毒的感染和传播过程，都发生在打开，关闭或保存word文档的时候，所以用户根本无法察觉。,第五部分 宏病毒,小知识：Word工作原理 所有的Word文档都是通过模板建立的，当建立一个Word文档时，Word先会打开一个默认的模板，或者由用户选择模板，在此模板的基础上对文件进行编辑，最后保存一个.doc的文件。模板文件的位置 C：Documents and settings用户名Application DateMicrosoftTemplates*.dot,第五部分 宏病毒,Word模板的选择（分为公共模板和文档模板）模板里包含了字体，自动图文集，页面设置，菜单等格式,第五部分 宏病毒,宏病毒有哪些特点 破坏性强：宏病毒使用VB语言编写指令，由于VB语言的功能十分强大，甚至可以直接利用DOS功能来执行如Format(格式化）一类的命令，导致隐藏在其中的宏病毒可以执行一些很危险的破坏性操作。另外由于VB语言是开放性语言，任何人都可以对已存在的宏病毒进行简单修改，这样，一个新的宏病毒就随之产生了。,第五部分 宏病毒,感染宏病毒有哪些症状 内存占用严重，系统资源匮乏。选择“另存为”时，只能保存为.dot模板格式，无法选择其它格式。自动建立，关闭Word文档。关闭Word文档时不对已经修改的文档提示保存。当出现上述的任何一种情况，就应该怀疑是中了宏病毒，特别是第二种情况，可以确定是中了宏病毒，应及时清除。,第五部分 宏病毒,如何预防宏病毒 安装杀毒软件预防 目前几乎所有的杀毒软件都完全可以检测和清除隐藏在Word文档里的宏病毒，使系统恢复正常。对于新出现的宏病毒，需要对杀毒软件的病毒库进行更新。,第五部分 宏病毒,如何预防宏病毒 使用Word本身的设置进行预防 1）设置宏安全级别 具体方法：打开Word，选择工具选项安全性宏安全性，打开宏的安全级别设置选项，将安全级别设置为“非常高”。经过这样的设置后只可以运行Word默认的宏。2）运行宏前自动提示 在宏安全性选项里切换到“可靠发行商”，取消“信任所有安装的的加载项和模板”前面的勾选，这样设置后当打开含有宏的文档时，会提示宏已经被禁止。,第五部分 宏病毒,设置宏的安全级别 运行宏前自动提示,第五部分 宏病毒,Word2007 默认设置为禁用所有宏，并发出通知,第五部分 宏病毒,如何清除宏病毒 使用杀毒软件清除 1）由于宏病毒在感染后会驻留内存，因此使用杀毒软件清除是最简单的方法，注意杀毒的时候关闭Word文档，保证杀毒正常顺利进行。2）宏病毒只感染Word文档，所以无需进行全盘杀毒，只需要搜索出来所有的.doc和.dot的文件进行快捷杀毒即可，这样既有针对性，又有较高的效率。,第五部分 宏病毒,如何清除宏病毒 手动清除 原则：手动清除宏病毒时，先要清除模板中的病毒，因为模板是其它Word文档操作的基础。方法：1）按住Shift键打开模板或者文档，避免宏被执行。2）选择工具宏宏，把宏列表里的除了自己建的以外的宏逐个删除，如果自己没有建立过，可以全部删除。,第五部分 宏病毒,查看模板或文档的宏列表,第六部分 脚本病毒,什么是脚本病毒 脚本病毒也叫做VBS病毒或JS病毒，这一类病毒是用Visual Basic Script或Java Script语言编写的，执行方式为解释执行。即一边把高级语言的代码转化成可被计算机识别的语言一边执行，也就是说转化和执行是同时进行的。这类病毒的扩展名一般是.vbs或.js，它们可以通过自我复制来感染文件，甚至jpg和mp3这种格式的文件都可能被感染，病毒中的大部分代码都可以直接附加到同类程序的代码中。,第六部分 脚本病毒,脚本病毒的特点 破坏性大，感染力强 脚本语言功能强大，可以直接调用Windows组件，迅速获得对系统文件和注册表的控制权，造成很大的破坏。如耗费系统资源、制造系统垃圾、滥发电子邮件、阻塞网络等。脚本语言是解释执行的方式，使得它的感染变得非常简单。电子邮件、局域网共享、网页浏览等都是它感染的良好途径。,第六部分 脚本病毒,脚本病毒的特点 欺骗性强，不易清除 脚本病毒很善于伪装自己，如给邮件的附件加双扩展名，比如“我的照片.jpg.vbs”或者“一封情书.txt.vbs”等，诱骗计算机用户运行，使得脚本病毒的传播变得隐蔽和容易。脚本病毒的生命另十分顽强，可以感染很多格式的文件，使得彻底清除它有一定的难度。,第六部分 脚本病毒,脚本病毒的特点 编写简单，变种繁多 脚本病毒是用VB或Java语言编写的，一个没有语言基础的人也可以短时间内学习，并编写出一个脚本病毒。脚本病毒的结构简单，只要弄到了源代码，稍加改动，一个新的脚本病毒就诞生了。,第六部分 脚本病毒,如何有效的预防脚本病毒 防止网页中的病毒 浏览网页也会中毒，脚本病毒很好的地利用了网络这个有效资源来传播自己，为了避免下载带有病毒的页，我们可以对浏览器进行一些配置。具体方法：1）打开IE，选择工具Internet选项安全自定义级别。2）把“ActiveX控件及插件”的一切选项设置为禁用。通过上面的设置，就能使网页中包含的VBS脚本病毒不能被执行。,第六部分 脚本病毒,设置自定义级别 禁用Active控件及插件,第六部分 脚本病毒,如何有效的预防脚本病毒 防止局域网感染 利用局域网传播是脚本病毒传播的一大途径，很多用户在清除病毒后又被很快感染，主要原因就是局域网有可写的共享没有关闭。脚本病毒在局域网内传播的速度出奇的快，只要它感染了一台机器，其它任何机器上只要打开了可写的共享，它就会以最快的速度进行感染 对付脚本病毒局域网传播的最简单的办法：1）安装杀毒软件，开启实时监控对病毒感染进行拦截；2）修改所有的共享文件夹属性为“只读”,第六部分 脚本病毒,如何有效的预防脚本病毒 防止邮件中的病毒 电子邮件是脚本病毒传播的重要途径。通常情况下，脚本病毒会自动搜索Outlook通讯簿中的所有用户，从第一个有合法Email的用户开始计算要发送邮件的数量，如果发现第一个用户的资料不合法，就认为通讯簿中没有可发送的E-mail地址。因此我们只需要伪造通讯簿中第一个人资料，是病毒认为整个通讯簿中没有可发送的E-mail地址，这样就有效阻止了病毒通过电子邮件的传播。,第六部分 脚本病毒,注意：在填写联系人资料时，只需要在“名”文本框中填写一个引文的句号即可，其它任何地方都不再填写。,第六部分 脚本病毒,如何有效的预防脚本病毒 养成良好的使用计算机习惯 设置显示文件的扩展名，避免被双扩展名的病毒所欺骗。安装杀毒软件，开启实时监控，及时升级病毒库。不要轻易打开陌生邮件中的附件，正确的做法是把附件保存到硬盘，经杀毒软件检测无毒后再打开。,第七部分 蠕虫病毒,什么是蠕虫病毒 蠕虫以网络为传播途径，以个体计算机为感染目标，以系统漏洞和共享文件夹等入口，在网络上肆虐，如同一条虫子一样穿梭于网络上的计算机，所以称这种病毒为“蠕虫”。著名的蠕虫病毒：蠕虫王（2003）冲击波（2003）震荡波（2004）熊猫烧香（2006）威金（2006）磁碟机（2008）,第七部分 蠕虫病毒,感染蠕虫病毒的现象 系统运行速度严重变慢 上网速度严重变慢 系统不断报警甚至崩溃 EXE文件无法执行,第七部分 蠕虫病毒,蠕虫病毒的特点 独立存在，无须宿主 蠕虫病毒可以以一个独立的个体而存在于一台计算机上，其它病毒都是寄生类病毒。蠕虫病毒不需要宿主程序，自身就可以完成复制、传播、感染、破坏等所有功能。,第七部分 蠕虫病毒,蠕虫病毒的特点 危害巨大、破坏性强 蠕虫病毒的以下行为对网络危害非常大，造成巨大经济损失。1）网络扫描 蠕虫病毒大范围基于IP地址的系统漏洞进行扫描和入侵的行为将浪费大量的网络资源，这会造成阻塞网络、影响网络正常秩序等严重后果。2）DDos攻击 蠕虫还会对某些网站进行大规模的DDos攻击，造成网站服务器瘫痪。3）捆绑盗号木马和后门程序 蠕虫病毒大多和盗号木马、黑客程序、恶意程序等相结合，一旦感染，会下载大量盗号木马并开启后门，给用户造成损失，威胁系统安全。,第七部分 蠕虫病毒,蠕虫病毒的特点 传播模式特殊，传播速度快 1）蠕虫病毒利用系统漏洞进行传播，由于广大计算机用户的安全意识相对薄弱，没有及时更新系统补丁，直接造成了病毒传播快的局面。2）蠕虫病毒感染的模式比较特殊，每一台被感染的计算机都将成为新的病毒源，这样蠕虫病毒的感染速度将呈2n增长，在很短的时间内就可以感染大量的计算机。,第七部分 蠕虫病毒,蠕虫病毒的特点 主动入侵，感染能力强 普通病毒在没有被执行前是不可能感染的，但蠕虫病毒可以利用系统漏洞主动进行感染。这种很强的主动入侵方式，使得蠕虫病毒的感染能力远非其它病毒所能比。,第七部分 蠕虫病毒,蠕虫病毒的特点 传播途径广，难以防范 1）蠕虫病毒的传播途径非常广泛，浏览网页、收发电子邮件、文件共享、下载程序等操作均可能被感染，令人防不胜防。2）蠕虫病毒变种多，而且还经常和各种黑客技术相结合，在系统中留下后门，因此彻底防范蠕虫病毒存在一定的难度。,第七部分 蠕虫病毒,蠕虫病毒如何预防 堵住系统漏洞，预防蠕虫病毒 1）查找系统漏洞，并打上补丁。2)给系统设置复杂的密码。3）禁止共享和IPC连接。4）删除脚本解释器防止脚本蠕虫WScript和CScript。5）设置IE浏览器的安全级别，禁用ActiveX控件和Java脚本。,第七部分 蠕虫病毒,蠕虫病毒如何预防 警惕电子邮件中的蠕虫病毒 1）观察邮件主题，如果是英文主题，建议直接删除邮件。2)查看邮件的大小，邮件的大小如果大于30K，一般都带有附件。3）对邮件附件先进行杀毒处理。4）对Outlook的通讯簿进行设置，防止蠕虫通过电子邮件传播。,第七部分 蠕虫病毒,蠕虫病毒如何预防 利用杀毒软件和防火墙预防蠕虫病毒 1）安装正版杀毒软件，打开实时监控，监视系统的一举一动，并及时更新病毒库。2)利用防火墙，通过关闭特定的端口，对蠕虫进行扫描的数据包进行过滤，阻断病毒对系统的入侵。,第七部分 蠕虫病毒,感染蠕虫后如何处理 切断传播途径 切断传播途径的目的是为了将损失降到最低。由于蠕虫病毒传播非常迅速，在很短时间内就能造成大范围蔓延，因此在感染蠕虫病毒后，首先要做的就是切断蠕虫的传播途径。等杀毒并打好补丁后，再接通网络。最有效的方法就是拔掉网线，或者利用防火墙断开网络。,第七部分 蠕虫病毒,感染蠕虫后如何处理 清除病毒 这一步是对蠕虫病毒进行清除的过程，可以利用杀毒软件进行查杀或手动查杀。,第七部分 蠕虫病毒,感染蠕虫后如何处理 杜绝再次感染 对于反复感染同一个蠕虫病毒的情况是比较常见的，原因就是在杀毒后没有堵住系统漏洞，或进行了同样的误操作（如打开了病毒邮件的附件）。为了杜绝反复感染，需要做到：1）打补丁 很多蠕虫病毒都是利用系统漏洞进行入侵，打上安全补丁就可以有效地杜绝这一类蠕虫病毒。2）对系统进行基本的安全配置。包括设置管理员帐户的复杂密码，提高浏览器安全级别，配置电子邮箱的通讯簿，设置合理的防火墙规则等。,