计算机病毒及防治.ppt

《计算机病毒及防治.ppt》由会员分享，可在线阅读，更多相关《计算机病毒及防治.ppt（109页珍藏版）》请在三一办公上搜索。

1、第6章 计算机病毒及其防范,6.1 计算机病毒概述6.2 计算机病毒的特征和分类 6.3 计算机病毒的隐藏之处和入侵途径6.4 计算机病毒的作用机制 6.5 网络计算机病毒6.6 文件型病毒6.7 宏病毒6.8 反病毒技术6.9 小结习题与思考题,本章学习目标,（1）了解计算机病毒的定义、发展历史、分类、特点、入侵途径、流行特征、破坏行为、作用机制。（2）了解文件型病毒、宏病毒和网络计算机病毒的分类、传染过程、防治和清除方法。（3）熟悉基本的反病毒技术，包括计算机病毒的检测、防治与感染病毒后的修复；掌握杀毒软件的选购指标、反病毒软件的原理。,6.1计算机病毒概述,6.1.1计算机病毒的定义6.

2、1.2计算机病毒的发展历史6.1.3计算机病毒的破坏行为,6.1.1计算机病毒的定义,“计算机病毒”的概念最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义：国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。,在中华人民共和国计算机信息系统安全保护条例中的定义为：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。,6.1.2计算机病毒的发展历史,20 世纪 80 年代早期出现了第一批计算机病毒；1986 年，报道了攻击Microsoft MS-DOS个人

3、计算机的第一批病毒，这些首批病毒包括 Virdem（第一个文件病毒）和 PC-Write（第一个特洛伊木马病毒）；1988 年出现了第一个 Internet 蠕虫病毒；,1计算机病毒发展简史,1990年，网上出现了病毒交流布告栏，成为病毒编写者合作和共享知识的平台。并且开发出了第一个多态病毒（通常称为 Chameleon 或 Casper）。1992 年，出现了第一个多态病毒引擎和病毒编写工具包。1998年，出现首例破坏计算机硬盘的CIH病毒。CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。CIH病毒产于台湾，是台湾大学生陈盈豪编写的。目前发现至少有五个版本，发

4、作时间一般是每月26日。,现在，由于网络的普及，计算机成为开放网络的一个结点，使得病毒可以长驱直入。计算机病毒非但没有得到抑制，数量反而与日俱增，所造成的危害也越来越大，甚至会造成网络的一时瘫痪。,1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1999年，CIH病毒在我国大规模爆发。,2计算机病毒在中国的发展情况,（1）DOS引导阶段（2）DOS可执行文件阶段（3）伴随、批次性阶段（4）幽灵、多形阶段（5）生成器、变体机阶段（6

5、）蠕虫阶段（7）Windows阶段（8）宏病毒阶段（9）Internet阶段（10）邮件炸弹阶段,3计算机病毒发展的10个阶段,6.1.3计算机病毒的破坏行为,（1）攻击系统数据区（2）攻击文件（3）攻击内存（4）干扰系统运行，使运行速度下降（5）干扰键盘、喇叭或屏幕（6）攻击CMOS（7）干扰打印机（8）网络病毒破坏网络系统,6.2计算机病毒的特征与分类,6.2.1 计算机病毒的特征6.2.2 计算机病毒的分类,6.2.1计算机病毒的特征,计算机病毒是一种特殊的程序，它除了具有与其他正常程序一样的特性外，还具有与众不同的基本特征。,计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。

6、传染性是病毒的基本属性，是判断一个可疑程序是否是病毒的主要依据。,1.传染性,只要一台计算机感染病毒，如果没有得到及时的控制，那么病毒会很快在这台计算机上扩散，被感染的文件又成了新的传染源，通过与其他计算机进行信息交换，进行更大范围的传染。如果是联网的计算机感染了病毒，那么病毒的传播速度将更快。计算机病毒一般有自己的标志。当染毒程序被运行时，病毒被激活，它监视着计算机系统的运行，一旦发现某个程序没有自己的标志，就立刻发起攻击，传染无毒程序。,计算机病毒的潜伏性是指病毒感染计算机后，并非马上发作，而是潜伏一段时间。病毒程序为了达到不断传播并破坏系统的目的，一般不会在传染某一程序后立即发作，否则就

7、暴露了自身。因此，它通常附着在正常程序或磁盘较隐蔽的地方，也有个别的病毒以隐含文件的方式出现。,2.潜伏性,计算机病毒的破坏性是指病毒对被感染系统所产生的影响。病毒破坏文件或数据，甚至损坏主板，干扰系统的正常运行。病毒的破坏性只有在病毒发作时才能体现出来。病毒破坏的严重程度取决于病毒制造者的目的和技术水平。轻者只是影响系统的工作效率，占用系统资源，造成系统运行不稳定。重者则可以破坏或删除系统的重要数据和文件，或者加密文件、格式化磁盘，甚至攻击计算机硬件，导致整个系统瘫痪。,3.破坏性,计算机病毒通常附着在正常程序或磁盘较隐蔽的地方，使人不宜察觉。隐蔽性越好，在系统中存在的时间就会越长，病毒的传

8、染范围也就会越大。,4.隐蔽性,计算机病毒的可触发性是指病毒因某个事件或某个数值的出现，诱发病毒发作。为了不让用户发现，病毒必须隐藏起来，少做动作。但如果完全不动，又失去了作用。因此，病毒为了又隐蔽自己，又保持杀伤力，就必须设置合理的触发条件。每种计算机病毒都有自己预先设计好的触发条件，这些条件可能是时间、日期、文件类型或使用文件的次数这样特定的数据等。满足触发条件的时候，病毒发作，对系统或文件进行感染或破坏。条件不满足的时候，病毒继续潜伏。,5.触发性,计算机病毒可以演变，在演变过程中形成多种形态，即计算机病毒具有衍生性。计算机病毒是一段特殊的程序或代码，只要了解病毒程序的人就可以将程序随意

9、改动，只要原程序有所变化，也许只是将发作日期，或者是攻击对象发生简单变化，表现出不同的症状，便衍生出另一种不同于原版病毒的新病毒，这种衍生出的病毒被称为病毒的变种。由于病毒的变种，对于病毒的检测来说，病毒变得更加不可预测，加大了反病毒的难度。,6.衍生性,寄生性是指病毒对其他文件或系统进行一系列非法操作，使其带有这种病毒，成为该病毒的一个新的传染源。,7.寄生性,8.持久性,持久性是指计算机病毒被发现后，数据和程序难以恢复。,6.2.2计算机病毒的分类,传染是计算机病毒的一个主要特征。计算机病毒按其传染方式可分为三种类型，分别是引导型、文件型和混合型病毒。,目前出现的计算机病毒种类繁多，同时，

10、一种病毒也可能发生多种变形。根据计算机病毒的特征和表现的不同，计算机病毒有多种分类方法：,1.按传染途径分类,引导型病毒：指传染计算机存储介质的引导扇区的计算机病毒。它是一种开机即可启动的病毒，先于操作系统而存在。这类病毒的典型例子有大麻病毒、小球病毒等。文件型病毒：指传染可执行文件的计算机病毒。在用户调用染毒的执行文件时，病毒被激活。这类病毒的典型例子有黑色星期五病毒、维也纳病毒和宏病毒等。混合型病毒：指传染可执行文件又传染引导程序的计算机病毒。它兼有文件型和引导型病毒的特点。,单机病毒 指在DOS、Windows以及多操作系统下运行的宏病毒。它的传播媒介是磁盘。网络病毒 通过计算机网络传播

11、感染网络中的可执行文件。它的传播媒介是计算机网络。,2.按传播媒介分类,严格地说，只要是计算机病毒，就会对系统造成一定的危害性，只是不同的计算机病毒造成的危害程度不同。计算机病毒按其表现性质可分为三种类型，分别为良性病毒、恶性病毒和中性病毒。,3.按表现性质分类,良性病毒 又称表现型病毒。它只是为了以一种特殊的方式表现其存在，如只显示某项信息、发出蜂鸣声，或播放一段音乐，相对而言对系统的危害较小。但是这类病毒还是具有潜在的破坏性，它使内存空间减少，占用磁盘空间，与操作系统和应用程序争抢CPU的控制权，降低系统运行效率等。恶性病毒 又称破坏型病毒。它的目的就是对计算机的软件和硬件进行恶意的攻击，

12、使系统遭到严重的破坏。因此恶性病毒非常危险，造成的危害十分严重。,中性病毒 指那些既不对计算机系统造成直接破坏，又没有表现症状，只是疯狂地复制自身的计算机病毒，也就是常说的蠕虫型病毒。蠕虫型计算机病毒比较特殊，它不会攻击其他程序，不需要寄主。蠕虫型计算机病毒不做其他破环，一般只是在硬盘上疯狂地复制自身，挤占硬盘的大量存储空间，只影响一些文件的存储；但是它的大量复制，耗尽了系统资源，使系统不堪重负而崩溃，造成严重的危害。典型的蠕虫有Exporer.Zip.Worm、Melissa、红色代码等。,攻击DOS的病毒 在已发现的病毒中，攻击DOS的病毒种类最多、数量最多，且每种病毒都有变种，所以这种病

13、毒传播得非常广泛。小球病毒是国内发现的第一个DOS病毒。攻击Windows的病毒 攻击Windows的病毒多种多样，其中的宏病毒变形很多，其中感染Word的宏病毒最多。Concept病毒是世界上首例攻击Windows的宏病毒。,4.按攻击对象划分,攻击网络的病毒 随着网上用户的增加，网络病毒的传播速度更快，范围更广，病毒造成的危害更大。GPI病毒是世界上第一个专门攻击计算机网络的病毒。,6.3计算机病毒的隐藏之处和入侵途径,6.3.1 计算机病毒的隐藏之处6.3.2 计算机病毒的入侵途径,6.3.1 计算机病毒的隐藏之处,这是磁盘和硬盘中的一个特别扇区，它包含一个程序，当启动电脑时该程序将被执

14、行。它也作为病毒可能隐藏的地点。,1.可执行文件,病毒“贴附”在这些文件上，使其能被执行。,2.引导扇区,某些程序允许内置一些宏文件，宏文件随着该文件的打开而被执行。病毒利用宏的存在进入其当中。,3.表格和文档,4.Java小程序和ActiveX控件,这是两个最新隐藏病毒的地方，Java小程序和ActiveX控件都是与网页相关的小程序，通过访问包含它们的网页，可以执行这些程序。,压缩文件是一个包含其他文件的文件。压缩文件包含的任何一个文件都可能被病毒感染，因为这些文件不是处于正常格式下，所以很难发现其中的病毒。,5.压缩文件,电子邮件信息可能包含感染病毒的文件。此外，电子邮件信息通常属于一个信

15、息数据库，所有这一切使侦测病毒变得非常困难。,6.电子邮件,6.3.2 计算机病毒的入侵途径,1.传统方法,磁盘、CD-ROMs及网络是病毒感染电脑的传统方法，病毒在文件交换、执行或电脑启动的过程中感染你的电脑，电脑上所有接受信息的方式都可能使病毒入侵。,国际互联网的普及，使得Internet逐步成为病毒入侵的主要途径。电子邮件，网页和文件下载（FTP）是病毒通过Internet感染电脑的主要方法。,2.Internet,6.4 计算机病毒的作用机制,6.4.1 计算机病毒的构成6.4.2 计算机病毒的引导机制6.4.3 计算机病毒的传染机制6.4.4 计算机病毒的破坏机制,6.4.1计算机病

16、毒的构成,引导模块：将病毒主体加载到内存，为传染模块做准备。传染模块：将病毒代码复制到传染目标。破坏模块：是病毒的核心。它破坏被传染系统，或在被传染的系统上表现出特定的现象。,病毒程序一般有三个基本模块组成：,对于一个病毒来说，引导模块、传染模块是必不可少的，而破坏模块可以直接隐含在传染模块中，也可以单独构成一个模块。,6.4.2 计算机病毒的引导机制,病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。,计算机病毒的引导过程一般包括以下三方面：,1.驻留内存,病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等

17、待时机成熟后，进行感染和破坏的目的。,2.窃取系统控制权,在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。,3.恢复系统功能,（a）引导型病毒,（b）文件型病毒,6.4.3 计算机病毒的传染机制,传染是指计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。这种载体一般为磁盘或磁带，它是计算机病毒赖以生存和进行传染的媒介。促成病毒的传染有一个先决条件，可分为两种情况：被动传染和主动传染。,1.计算机病毒的传染方式,被动传染：在进行拷贝磁盘或文件时，把一个病毒由一个载

18、体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。主动传染：以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要满足传染条件，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。,随着拷贝磁盘或文件工作的进行而进行。,2.计算机病毒的传染过程,（1）病毒被动传染的传染过程,在系统运行时，病毒通过病毒载体即系统的外存储器，进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。在病毒引导模块将病毒传染模块驻留内存的过程中，通常还要修改系统中断向量入口地址（例如INT 13H或INT 21H），使该中断向量指向病毒程序传染模块

19、。,（2)病毒主动传染的传染过程,一旦系统执行磁盘读写操作或系统功能调用，病毒传染模块就被激活，传染模块在判断传染条件满足的条件下，利用系统INT 13H读写磁盘中断把病毒自身传染给被读写的磁盘或被加载的程序，即实施病毒的传染，然后再转移到原中断服务程序执行原有的操作。,6.4.4 计算机病毒的破坏机制,病毒的破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址（一般为时钟中断INT 8H，或与时钟中断有关的其他中断，如INT 1CH），使该中断向量指向病毒程序的破坏模块。当系统或被加载的程序访问该中断向量时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系

20、统或磁盘上的文件进行破坏活动。,6.5 网络计算机病毒,6.5.1 网络计算机病毒的特点6.5.2 网络计算机病毒的传播方式6.5.3 网络计算机病毒的危害性6.5.4 网络病毒实例电子邮件病毒,6.5.1 网络计算机病毒的特点,计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的，但传播的形式复杂多样。,在网络环境下，网络病毒除了具有传染性、针对性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：,1.传染方式多,在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。,2.传染速度快,3.清除难度大,网络中只要有一台工

21、作站未能消毒干净就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。,网络病毒激发条件多种多样，由于网络的扩展性，病毒可以按照病毒设计者的要求，在任意时刻、任意位置激发并发起攻击。,4.破坏性强,网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。,5.可激发性,网络一旦感染病毒，即使病毒已经清除，其潜在危险也是巨大的。,6.潜在性,6.5.2 网络计算机病毒的传播方式,计算机应用的普及使信息交换日益频繁，信息共享也成为一种发展趋势，所以病毒入侵计算机系统的途径也成倍增长。通常把病毒入侵

22、途径划分为两大类：传统方式 Internet方式,病毒传播方式,病毒通过软盘、硬盘、CD-ROM及局域网络感染可以归为病毒入侵的传统方式。在计算机进行文件交换、执行程序或启动过程中，病毒可能入侵计算机。因此，计算机上所有接受信息的方式都使病毒入侵成为可能。,1.传统方式,Internet正在逐步成为病毒入侵的主要途径。病毒可以通过Internet上的电子邮件、网页和文件下载入侵联网计算机。此外还有利用操作系统的漏洞主动入侵联网计算机系统的病毒。如果在互联网中网页只是单纯用HTML写成的话，那么要传播病毒的机会可以说是非常小的。但是，为了让网页看起来更生动、更丰富，许多语言被开发出来，其中最有名

23、的就数Java和ActiveX了。,2.Internet方式,Java和ActiveX的执行方式，是把程序码写在网页上，使该网页成为新一代病毒的寄生场所。另外，被宏病毒感染的文档可以很容易地通过Internet以几种不同的方式发送，如电子邮件、FTP或Web浏览器。同样，在打开莫名其妙的邮件或者下载一些有毒程序的时候，计算机已经通过互联网中毒了。,6.5.3 网络计算机病毒的危害性,由于计算机网络系统中存在着某些漏洞和薄弱环节，现阶段网络软件方面的保护机制还不完善，使得病毒通过感染网络服务器，进而在网络上快速蔓延，影响网络用户的数据安全以及机器的正常运行。一些恶性病毒会明确地破坏计算机的系统资

24、源和用户信息，造成无法弥补的损失。所以计算机网络一旦染上病毒，其影响要远比单机染毒更大，破坏性也更大。,6.5.4 网络病毒实例电子邮件病毒,邮件病毒的传播是指数级的，可能导致邮件服务器耗尽资源而瘫痪，并严重影响网络运行。部分病毒甚至可能破坏本地硬盘上的数据和文件。目前，通过E-mail大量传播的病毒类型有宏病毒、文件型病毒、VBS病毒及JavaScript蠕虫。,邮件病毒除了具备普通病毒可传播性、可执行性、破坏性、可触发性特征之外，还有如下两个特点：邮件格式不统一，杀毒困难；传播速度快，传播范围广，破坏力大。,邮件病毒的特征,美丽杀手病毒Syndicate.A病毒Happy 99病毒I Lo

25、ve You病毒等,典型的邮件病毒,6.6 文件型病毒,6.6.1 中断6.6.2 文件型病毒感染过程,6.6.1 中断,所谓中断，就是CPU暂停当前程序的执行，转而执行处理紧急事务，并在该事务处理完成后能自动恢复执行原程序的过程。中断是一种特殊的指令，它挂起当前执行的程序，并把当前状态保存在堆栈中，然后转向相应的中断处理子程序并运行它。当这一子程序执行结束之后，原先的程序就会像什么都未发生一样继续运行。,中断的定义,计算机提供很多中断，合理合法地修改中断，会给计算机增加非常有用的新功能。但这也给了病毒可乘之机，计算机病毒篡改中断为其达到传染、激发等服务目的。与病毒有关的重要中断有以下几种：,

26、2.中断向量表,中断向量表是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址（偏移量和段地址）。,3.中断与计算机病毒,INT 08H 和INT 1CH：定时中断，每秒调用18.2次，有些病毒利用它们计时判断激发条件。INT 09H：键盘输入中断，病毒用于监视用户击键情况。INT 10H：屏幕输入输出中断，一些病毒用于在屏幕上显示字符图形表现自己。INT 13H：磁盘输入输出中断，引导型病毒用于传染病毒和格式磁盘。,INT 21H：DOS功能调用中断，包含了DOS的大部分功能。INT 24H：DOS的严重错误处理中断，文件型病毒常进行修改，以防止传染写保护磁盘时被发现。INT 25H：

27、DOS绝对磁盘读功能。INT 26H：DOS绝对磁盘写功能。,6.6.2 文件型病毒感染过程,无论是.COM文件还是.EXE文件，或是操作系统的可执行文件（包括.SYS、.OVL、.PRG、.DLL文件），当启动已感染文件型病毒的程序（HOST程序）时，暂时中断该程序，病毒完成陷阱（激活条件）的布置、感染工作后，再继续执行HOST程序，使计算机使用者初期觉得可正常执行，而实际上，在执行期间，病毒已暗做传染的工作，时机成熟时，病毒发作。,1.基本原理,文件型病毒基本原理,PE文件 目前流行的Windows操作系统均采用PE文件格式作为其可执行文件格式。PE文件使用的是一个平面地址空间，所有代码和

28、数据都被合并在一起，组成一个很大的结构。文件的内容被分割为不同的区块(section，又称区段、节等)，块中包含代码或数据，各个块按页边界来对齐，块没有大小限制，是一个连续结构。每个块都有它自己在内存中的一套属性。,2.感染PE文件,PE文件感染 典型的PE文件型病毒修改PE文件，将病毒体代码写入PE文件中，更新PE文件头部相关的数据结构，使得修改后的PE文件仍然是合法的PE文件，然后将PE文件入口指针改为指向病毒代码入口，这样在系统加载PE文件后，病毒代码就首先获取了控制权，在执行完感染或破坏代码后，再将控制权转移给正常的程序代码，这样病毒代码就悄悄地运行了。,感染PE文件的几种方案添加一个

29、新的段。将病毒代码写入到新的段中，修改相应段表以及PE文件头中文件大小等属性值。将病毒代码附加在最后一个段上。修改最后一个段表的大小和属性以及文件头中文件大小等属性值。将病毒代码写入到PE文件各个段所保留的未用空间中。,LaborDayVirus病毒只感染和其自身在同一目录下的EXE文件，当系统时间为五月一日时发作。执行感染病毒的EXE文件时会首先弹出一个对话框，对话框关闭后再将控制权转移给正常的程序执行。LaborDayVirus病毒采用将病毒代码附加在被感染文件的最后一个段上的方式感染文件。,3.LaborDayVirus病毒,获取病毒代码在运行期的起始地址；获取kernel32动态链接库

30、的加载基址；解析kernel32导出表，获取三个重要的API函数地址（GetModuleHandleA、GetProcAddress和LoadLibraryA）；获取所有需要的API函数地址；枚举当前目录下的可执行文件，并向其中注入病毒；,LaborDayVirus病毒执行流程,修改文件属性创建内存映射文件PE文件头校验PE文件其它信息校验(特征码等)修改PE文件头病毒复制恢复文件属性检查触发条件（系统时间五月一日）以决定是否发作（弹出对话框）；返回到程序正常路径执行。,6.7 宏病毒,6.7.1 宏病毒的定义6.7.2 宏病毒的分类6.7.3 宏病毒的特点6.7.4 宏病毒的行为和特征6.7

31、.5 宏病毒的预防和清除,6.7.1 宏病毒的定义,宏病毒是一种寄存在文档或模板的宏中的计算机程序，这种程序具有破坏能力、隐藏能力以及自我复制能力（传播能力）。它主要是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是目前最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。,6.7.2 宏病毒的分类,宏病毒根据传染的宿主的不同可以分为：传染Word的宏病毒传染Excel的宏病毒传染AmiPro的宏病毒,Word宏病毒是一种用专门的Visual Basic for Word语言即VBA编写的程序。与其他计算机病毒一样，它能对系统中的可执行文件和数据

32、、文本类文件造成破坏。Word宏病毒可分为两大类：公用宏病毒私用宏病毒,这类宏病毒对所有的Word文档有效，其触发条件是在启动或调用Word文档时，自动触发执行。两个显著特点：只能用“Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。一定要附加在Word共用模板上才有“公用”作用。在用户不规定和另行编制其他的公用模板时，它们必须附加在Normal.dot模板上。,公用宏病毒,私用宏病毒一般放在用户自定义的Word模板中，即只有使用这个特定模板的文档时，该宏病毒才有效，而对使用其他模板的文档不起

33、作用。,私用宏病毒,6.7.3 宏病毒的特点,宏病毒通过计算机文档进行自我复制及传播，而计算机文档是交流最广的文件类型。,传播速度快,以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏语言形式出现，所以编写和修改宏病毒比以往病毒更容易。,2.制作变种方便,由于宏病毒大多使用VBA编写，VBA作为一门高级程序设计语言提供了许多系统级底层操作，这些操作均可能对系统直接构成威胁，破坏系统的指令很容易被执行。,3.破坏性大,4.跨平台交叉感染,宏病毒冲破了以往病毒在单一平台上传播的局限，当WORD、EXCEL这类著名应用软件在不同平台上运行时，都会被宏病毒交叉感染。,6.7

34、.4 宏病毒的行为和特征,宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒行为。Word宏病毒在发作时，会使Word运行出现怪现象，如自动创建文件、打开窗口、内存总是不够、关闭Word不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机无法正常打印。,宏病毒的行为,Word宏病毒在传染时，会使原有文件属性和类型发生改变，或Word自动对磁盘进行操作等。当内存中有Word宏病毒时，原Word文档无法另存为其他格式的文件，只能以模板形式进行存储。目前发现的几种主

35、要的Word宏病毒有：Wazzu、Concept和13号(又称“台湾一号”)病毒。,宏病毒会感染.DOC文档和.DOT模板文件。宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。,2.宏病毒的特征,宏病毒中总是含有对文档读写操作的宏命令。宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。宏病毒具有兼容性。,6.7.5 宏病毒的预防和清除,保护

36、Word模板文件，将常用的模板文件改为只读属性，可防止系统被宏感染。屏蔽自动执行宏。宏病毒是通过自动执行宏的方式来激活并进行传染破坏的，所以将自动执行宏屏蔽掉，即使有宏病毒存在，也无法被激活，无法发作、传染、破坏。,宏病毒的预防,手工检查并清除宏病毒过程比较复杂，通常使用宏管理器察看模板文件中是否含有来历不明的自动执行宏，如果有，将其删除。应用VBA编写宏检查并清除的程序，自动清除宏病毒。使用专业的杀毒软件，是清除宏病毒最简单且最有效的手段。,2.检查与清除,6.8 反病毒技术,6.8.1 反病毒技术概述6.8.2 计算机病毒的检测 6.8.3 计算机病毒的防治 6.8.4 反病毒软件,6.8

37、.1 反病毒技术概述,计算机病毒检测计算机病毒防治反病毒软件,1.主要的反病毒技术,签名扫描 通过搜索目标（宿主计算机、磁盘驱动器或文件）来查找表示恶意软件的模式。这些模式通常存储在被称为“签名文件”的文件中，由软件供应商定期更新，以确保防病毒扫描器能尽可能多地识别已知的恶意软件攻击。此技术的主要问题是，防病毒软件必须已更新为应对恶意软件，之后扫描器才可识别它。,2.反病毒技术的工作原理,反病毒技术的工作原理主要有签名扫描和启发式扫描两种。,启发式扫描 通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是：它并不依赖于签名文件来识别和应对恶意软件。但是，启发式扫

38、描具有许多特定问题，包括错误警报、慢速扫描、新特征可能被遗漏、行为阻止等。,6.8.2 计算机病毒的检测,检测计算机上是否被病毒感染，通常可以分两种方法：手工检测和自动检测。,通过一些工具软件进行病毒的检测，如D。利用这些工具软件，对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测，然后与正常情况下的状态对比，判断是否被病毒感染。该方法适合计算机专业人员，无法普及，但是可以检测和识别未知的新病毒。,手工检测,自动检测是通过一些诊断软件和杀毒软件，来判断一个系统或磁盘是否有毒，如使用瑞星、金山毒霸等。该方法可以方便地检测大量病毒，且操作简单，一般用户都可以进行。但是它的发展总是滞后于病毒的发展。

39、,自动检测,对病毒进行检测可以采用手工方法和自动方法相结合的方式。常用的有以下六种技术：,1.病毒码扫描法,病毒码扫描法是将新发现的病毒加以分析后，根据其特征，编成病毒码，加入资料库中的方法。,2.对比法,对比法是将原始备份的正常无毒对象与被检测的可疑对象进行比较，如果相比较后发现内容不一致，就可以认为有病毒存在。,行为监测法是一种监测电脑行为的常驻式扫描技术。通过对病毒的深入分析和总结，发现病毒的一些共同行为。,3.行为监测法,软件模拟实验技术专门用来对付多态性的病毒，即没有固定病毒码的病毒。它通过在虚拟机器(Virtual Machine)上模拟CPU的执行过程，让CPU假执行病毒的变体引

40、擎解码程序，安全并确实地将多态性病毒解开，使其显露原本的面目。,4.软件模拟法,实时I/O扫描的目的在于即时地对计算机上的输入/输出数据做病毒码比对的工作，希望能够在病毒尚未被执行之前，就能够防堵下来，即将病毒防御于门外。,5.实时I/O扫描,网络监测法是一种检查、发现网络病毒的方法。通过流量监视、端口扫描和网络监听来发现病毒，这种方法对查找局域网内感染网络病毒的计算机比较有效。,6.网络监测法,6.8.3 计算机病毒的防治,病毒的繁衍方式、传播方式不断地变化，反病毒技术也应该在与病毒对抗的同时不断推陈出新。防治计算机病毒要从以下几个方面着手：,加强立法、健全管理制度加强教育和宣传，打击盗版,

41、在思想和制度方面,系统安全软件过滤软件加密备份恢复建立严密的病毒监视体系在内部网络出口进行访问控制,2.在技术措施方面,6.8.4 反病毒软件,用反病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。反病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，反病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。,目前，市场上流行的反病毒软件很多，让人眼花缭乱，无从选择。不同的反病毒软件具有不同的功能和特点，必须对其了解，才能正确使用。使用防病毒软件是治标不治本的办法，它对病毒的防止作用总是被动的。它永远落后于计算机病毒的发展，所以计算机病毒的防治根本还是在于完善操作系统的

42、安全机制。,选购防病毒、杀病毒软件，需要注意的指标包括扫描速度、识别率、误报率、技术支持水平、升级的难易度、安全性和兼容性、可管理性以及警示手段等多个方面。扫描速度识别率病毒清除效果,1.防、杀毒软件的选购指标,目前，市场上杀毒软件品种很多。国外的有Norton、Web ScanX和eSafe Protect等。国内有瑞星杀毒软件、金山毒霸以及江民杀毒软件等。这些软件杀毒效果较好，建议选择正版软件使用。,2.网上常用的防、杀毒软件,3.著名杀毒软件公司的站点地址,瑞星杀毒软件网络版采用分布式的体系结构。整个防病毒体系是由四个相互关联的子系统组成：系统中心 服务器端 客户端“移动式”管理员控制台

43、,4.瑞星杀毒软件网络版,(1)系统结构,分布式体系结构,瑞星杀毒软件网络版具有全面集中管理和全网设置的功能，网络管理员可以十分轻松地实现全网的统一设置，以及对客户端进行分组管理。在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置、查毒、杀毒、通知升级、启动/关闭实时监控等。,(2)安全管理,未知病毒和未知宏病毒查杀技术内存监控 Windows共享文件杀毒硬盘备份和恢复工具实现在DOS环境下查杀NTFS分区SMTP与POP3邮件监控支持查杀多种压缩格式文件,(3)技术特点,6.9 小 结,本章介绍了计算机网络病毒的定义、发展历史、分类、特点、传播途径和危害性；介绍了反病毒技术的相关内容。通过本章的学习，要求能加强对计算机病毒的防范意识，能对计算机病毒进行检测，以及对感染病毒后的计算机做修复工作。目前，防范计算机病毒入侵的工作处于防御阶段，重点在于保证计算机系统的完整性和安全性。,习题与思考题,1.什么是病毒？简述计算机病毒的特征及危害。2.简述计算机病毒的分类及各自特点。3.杀毒软件的选购指标有哪些？目前常用的有哪些杀毒软件？4.怎样预防和消除计算机网络病毒？5.简述检测计算机病毒的常用方法。,