病毒及防范措施課件

1第4章病毒及防范措施1第4章24.1計(jì)算機(jī)病毒1977年科幻小說《TheAdolescenceofP-1》構(gòu)思了一種能夠自我復(fù)制、利用通信進(jìn)行傳播的計(jì)算機(jī)程序。1983年FredAdleman首次在VAX11/750上試驗(yàn)病毒；1987年Brain病毒在全世界傳播；1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒襲擊美國6000臺(tái)計(jì)算機(jī)，直接損失盡億美元；八十年代末，病毒開始傳入我國；24.1計(jì)算機(jī)病毒1977年科幻小說《TheAdoles34.1.1計(jì)算機(jī)病毒的概念《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中隊(duì)計(jì)算機(jī)病毒進(jìn)行了明確的定義： “計(jì)算機(jī)病毒（ComputerVirus）是指編制的或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”為什么稱為病毒？是借用生物學(xué)中“病毒”的概念，因?yàn)檫@種特殊的計(jì)算機(jī)程序與生物學(xué)中的病毒就有相似的特征。生物學(xué)中的病毒具有哪些特征呢？結(jié)構(gòu)簡單、寄生性、自我繁殖、傳播性、破壞性34.1.1計(jì)算機(jī)病毒的概念《中華人民共和國計(jì)算機(jī)信息系41、計(jì)算機(jī)病毒產(chǎn)生的背景（1）是計(jì)算機(jī)犯罪的新形式：計(jì)算機(jī)病毒是高技術(shù)犯罪，具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證，風(fēng)險(xiǎn)小破壞大。（2）計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因。（3）微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境。4.1.2病毒的產(chǎn)生及特性 它的產(chǎn)生是計(jì)算機(jī)技術(shù)和社會(huì)信息化發(fā)展到一定階段的必然產(chǎn)物41、計(jì)算機(jī)病毒產(chǎn)生的背景4.1.2病毒的產(chǎn)生及特性 它52、計(jì)算機(jī)病毒產(chǎn)生的原因開玩笑、惡作劇個(gè)別人的報(bào)復(fù)心理用于版權(quán)保護(hù)的目的用于特殊目的3、病毒發(fā)展的階段（略）52、計(jì)算機(jī)病毒產(chǎn)生的原因3、病毒發(fā)展的階段（略）64、病毒的特征：（1）傳染性；傳染性是病毒的基本特征。計(jì)算機(jī)病毒會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，使被感染的計(jì)算機(jī)工作失常甚至癱瘓。 病毒程序一般通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中，利用這種方法達(dá)到病毒的傳染和擴(kuò)散。（被嵌入的程序叫做宿主程序。）；64、病毒的特征：7（2）破壞性

對(duì)系統(tǒng)來講，所有的計(jì)算機(jī)病毒都存在一個(gè)共同的危害，即占用系統(tǒng)資源，降低計(jì)算機(jī)系統(tǒng)的工作效率。 同時(shí)計(jì)算機(jī)病毒的破壞性性主要取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的，如果病毒設(shè)計(jì)者的目的是徹底破壞系統(tǒng)的正常運(yùn)行，那么這種病毒對(duì)于計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊造成的后果是難以設(shè)想的，它可以毀掉系統(tǒng)的部分?jǐn)?shù)據(jù)，也可以破壞全部數(shù)據(jù)并使之無法恢復(fù)。并非所有的病毒都有惡劣的破壞作用，有些病毒除了占用磁盤和內(nèi)存外，沒有別的危害。但有時(shí)幾種本沒有多大破壞作用的病毒交叉感染，也會(huì)導(dǎo)致系統(tǒng)崩潰。7（2）破壞性8（3）潛伏性

：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)。潛伏性越好，其在系統(tǒng)中的存在時(shí)間就會(huì)越長，病毒的傳染范圍就會(huì)越大，它的危害就越大

潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測(cè)程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤里呆上很長時(shí)間，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就四處繁殖、擴(kuò)散。潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。

8（3）潛伏性：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后9（4）可執(zhí)行性

計(jì)算機(jī)病毒與其他合法程序一樣，是一段可執(zhí)行的程序，但它不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序中。

只有在執(zhí)行時(shí)，才具有傳染性、破壞性未經(jīng)授權(quán)而執(zhí)行： 病毒通過悄悄地篡奪合法程序的系統(tǒng)控制權(quán)而得到運(yùn)行的機(jī)會(huì)。 一般正常的程序是由用戶啟動(dòng)，完成用戶交給的任務(wù)，其目的對(duì)用戶是可見的。而病毒隱藏在合法程序中，當(dāng)用戶啟動(dòng)合法程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行。病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。9（4）可執(zhí)行性未經(jīng)授權(quán)而執(zhí)行：10（5）可觸發(fā)性：病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。病毒的觸發(fā)機(jī)制用來控制感染和破壞動(dòng)作的頻率。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動(dòng)感染或破壞動(dòng)作；如果不滿足，使病毒繼續(xù)潛伏。如CIH，觸發(fā)條件：26日10（5）可觸發(fā)性：病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施11（6）隱蔽性：病毒一般是具有很高編程技巧、短小精悍的程序。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別的。一般在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。

一是傳染的隱蔽性，大多數(shù)病毒在傳染時(shí)速度是極快的，不易被人發(fā)現(xiàn)。二是病毒程序存在的隱蔽性，一般的病毒程序都附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。

11（6）隱蔽性：病毒一般是具有很高編程技巧、短小精悍的程序12（7）衍生性：分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染和破壞部分反映了設(shè)計(jì)者的設(shè)計(jì)思想和設(shè)計(jì)目的。但是，這可以被其他掌握原理的人進(jìn)行任意改動(dòng)，從而又衍生出一種不同于原版本的新的計(jì)算機(jī)病毒（又稱為變種），這就是計(jì)算機(jī)病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴(yán)重得多。（8）寄生性：病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對(duì)宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁衍。

12（7）衍生性：分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染和破壞部分反134.1.3病毒的分類：按破壞性分為：無害型無危險(xiǎn)型危險(xiǎn)型非常危險(xiǎn)型。按激活時(shí)間分為定時(shí)隨機(jī)134.1.3病毒的分類：14按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。“蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。14按照病毒特有的算法分為：15按傳染方式分為：文件型：病毒一般附著在可執(zhí)行文件上；引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存，控制系統(tǒng)；混合型：既可感染引導(dǎo)區(qū)，又可感染文件。宏病毒：感染MSOffice文檔其他類型15按傳染方式分為：16病毒的組成：安裝模塊：提供潛伏機(jī)制；傳播模塊：提供傳染機(jī)制；觸發(fā)模塊：提供觸發(fā)機(jī)制；其中，傳染機(jī)制是病毒的本質(zhì)特征，防治、檢測(cè)及殺毒都是從分析病毒傳染機(jī)制入手的。病毒的癥狀：啟動(dòng)或運(yùn)行速度明顯變慢；文件大小、日期變化；死機(jī)增多；莫名其妙地丟失文件；磁盤空間不應(yīng)有的減少；有規(guī)律地出現(xiàn)異常信息；自動(dòng)生成一些特殊文件；無緣無故地出現(xiàn)打印故障。16病毒的組成：17計(jì)算機(jī)病毒的傳播途徑1）硬件設(shè)備傳播：通過不可移動(dòng)的設(shè)備進(jìn)行傳播較少見，但破壞力很強(qiáng)。2）移動(dòng)存儲(chǔ)設(shè)備傳播：這是最廣泛的傳播途徑之一3）通過網(wǎng)絡(luò)進(jìn)行傳播：這是最廣泛的傳播途徑之二4）無線傳播：通過點(diǎn)對(duì)點(diǎn)通訊系統(tǒng)和無線通道傳播預(yù)計(jì)將來會(huì)成為兩大傳播渠道4.1.4病毒的傳播及危害傳播的途徑：理論上，與外界交換數(shù)據(jù)的所有場(chǎng)合都有可能。17計(jì)算機(jī)病毒的傳播途徑4.1.4病毒的傳播及危害傳播的18病毒的危害直接破壞數(shù)據(jù)占用磁盤空間搶占系統(tǒng)資源影響計(jì)算機(jī)運(yùn)行速度錯(cuò)誤的不可預(yù)見性給用戶造成心理壓力18病毒的危害19病毒破壞行為的常見表現(xiàn)BIOS病毒現(xiàn)象

1、開機(jī)運(yùn)行幾秒后突然黑屏

2、外部設(shè)備無法找到

3、硬盤無法找到

4、電腦發(fā)出異樣聲音

硬盤引導(dǎo)區(qū)病毒現(xiàn)象

1、無法正常啟動(dòng)硬盤

2、引導(dǎo)時(shí)出現(xiàn)死機(jī)現(xiàn)象

3、執(zhí)行C盤時(shí)顯示“NotreadyerrordriveAAbort，Retry，F(xiàn)ail?”

19病毒破壞行為的常見表現(xiàn)20病毒破壞行為的常見表現(xiàn)操作系統(tǒng)病毒現(xiàn)象

1、引導(dǎo)系統(tǒng)時(shí)間變長

2、計(jì)算機(jī)處理速度比以前明顯放慢

3、系統(tǒng)文件出現(xiàn)莫名其妙的丟失，或字節(jié)變長，日期修改等現(xiàn)象

4、系統(tǒng)生成一些特殊的文件

5、驅(qū)動(dòng)程序被修改使得某些外設(shè)不能正常工作

6、軟驅(qū)、光驅(qū)丟失

7、計(jì)算機(jī)經(jīng)常死機(jī)或重新啟動(dòng)

20病毒破壞行為的常見表現(xiàn)21病毒破壞行為的常見表現(xiàn)應(yīng)用程序病毒現(xiàn)象

1、啟動(dòng)應(yīng)用程序出現(xiàn)“非法錯(cuò)誤”對(duì)話框

2、應(yīng)用程序文件變大

3、應(yīng)用程序不能被復(fù)制、移動(dòng)、刪除

4、硬盤上出現(xiàn)大量無效文件

5、某些程序運(yùn)行時(shí)載入時(shí)間變長

21病毒破壞行為的常見表現(xiàn)224.2網(wǎng)絡(luò)病毒的防范措施傳統(tǒng)的網(wǎng)絡(luò)病毒定義是指利用網(wǎng)絡(luò)進(jìn)行傳播的病毒?，F(xiàn)在的網(wǎng)絡(luò)病毒定義是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)產(chǎn)生安全威脅的所有程序的總稱。224.2網(wǎng)絡(luò)病毒的防范措施傳統(tǒng)的網(wǎng)絡(luò)病毒定義是指利用234.2.1網(wǎng)絡(luò)病毒的新特點(diǎn)傳染速度快擴(kuò)散面廣傳播形式復(fù)雜多樣難以徹底清除破壞性大潛在危險(xiǎn)性大234.2.1網(wǎng)絡(luò)病毒的新特點(diǎn)傳染速度快24增加安全意識(shí)小心郵件挑選網(wǎng)絡(luò)版殺毒軟件4.2.2基于網(wǎng)絡(luò)安全體系的防病毒技術(shù)24增加安全意識(shí)4.2.2基于網(wǎng)絡(luò)安全體系的防病毒技術(shù)254.3防毒策略與常用殺毒軟件 防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離 查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計(jì)、報(bào)警 殺毒：從感染對(duì)象中清除病毒；恢復(fù)功能4.3.1病毒的防治策略（參見教材P82）4.3.2防毒殺毒軟件254.3防毒策略與常用殺毒軟件 防毒：預(yù)防入侵；26反病毒軟件的選擇1）能查殺的病毒數(shù)量多2）掃描速度快3）快速、方便地升級(jí)著名殺毒軟件公司瑞星 RAV北京江民 KV系列，如KV3000冠群金辰 KILL金山 金山毒霸卡巴斯基 Kaspersky

賽門鐵克 NortonAntiVirus26反病毒軟件的選擇27CIH病毒臺(tái)灣陳盈豪編寫，一般每月26日發(fā)作。不僅破壞硬盤的引導(dǎo)扇區(qū)和分區(qū)表，還破壞系統(tǒng)FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。病毒長1KB，由于使用VXD技術(shù)，只感染32位Windows系統(tǒng)可執(zhí)行文件中的.PE格式文件。修復(fù)硬盤分區(qū)表：信源公司()的免費(fèi)軟件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美國Symantec公司的Kill_CIH4.4常見的病毒及清除（1）27CIH病毒4.4常見的病毒及清除（1）284.4常見的病毒及清除（2）宏病毒 宏(Macro)：為避免重復(fù)操作而設(shè)計(jì)的一組命令。在打開文件時(shí)，先執(zhí)行“宏”，然后載入文件內(nèi)容。因此如果“宏”帶有病毒，則在編輯文件時(shí)病毒自動(dòng)載入。宏病毒的特點(diǎn):感染數(shù)據(jù)文件、多平臺(tái)交叉感染 容易編寫、容易傳播宏病毒的癥狀：1）用Word或Excel打開文件時(shí)，出現(xiàn)“文檔未打開”、“內(nèi)存不夠”、“WordBasicErr=514”等；2）保存文件時(shí)，強(qiáng)制將文件按“.dot”類型存儲(chǔ)，或強(qiáng)制在指定目錄存放。284.4常見的病毒及清除（2）宏病毒29幾種宏病毒：AAAZAOMacro：Concept病毒，第一個(gè)宏病毒；TaiwanNO.1：第一個(gè)中文word病毒；RainbowMacro：能改變桌面顏色；FormatC：格式化C盤，第一個(gè)木馬型宏病毒；HotMacro：第一個(gè)調(diào)用WindowsAPI的宏病毒；NuclearMacro:第一個(gè)干擾打印機(jī)、硬盤的宏病毒。29幾種宏病毒：30宏病毒的防治除殺毒軟件以外，還可嘗試下列方法：1）按住<Shift>鍵再啟動(dòng)Word，禁止宏自動(dòng)運(yùn)行；2）工具宏，檢查并刪除所有可能帶病毒的宏；3）使用DisableAutoMacros宏

SubMain

DisableAutoMacros1

EndSub”4）將模板文件如normal.dot的屬性設(shè)為只讀。30宏病毒的防治31第4章病毒及防范措施1第4章324.1計(jì)算機(jī)病毒1977年科幻小說《TheAdolescenceofP-1》構(gòu)思了一種能夠自我復(fù)制、利用通信進(jìn)行傳播的計(jì)算機(jī)程序。1983年FredAdleman首次在VAX11/750上試驗(yàn)病毒；1987年Brain病毒在全世界傳播；1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒襲擊美國6000臺(tái)計(jì)算機(jī)，直接損失盡億美元；八十年代末，病毒開始傳入我國；24.1計(jì)算機(jī)病毒1977年科幻小說《TheAdoles334.1.1計(jì)算機(jī)病毒的概念《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中隊(duì)計(jì)算機(jī)病毒進(jìn)行了明確的定義： “計(jì)算機(jī)病毒（ComputerVirus）是指編制的或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！睘槭裁捶Q為病毒？是借用生物學(xué)中“病毒”的概念，因?yàn)檫@種特殊的計(jì)算機(jī)程序與生物學(xué)中的病毒就有相似的特征。生物學(xué)中的病毒具有哪些特征呢？結(jié)構(gòu)簡單、寄生性、自我繁殖、傳播性、破壞性34.1.1計(jì)算機(jī)病毒的概念《中華人民共和國計(jì)算機(jī)信息系341、計(jì)算機(jī)病毒產(chǎn)生的背景（1）是計(jì)算機(jī)犯罪的新形式：計(jì)算機(jī)病毒是高技術(shù)犯罪，具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證，風(fēng)險(xiǎn)小破壞大。（2）計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因。（3）微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境。4.1.2病毒的產(chǎn)生及特性 它的產(chǎn)生是計(jì)算機(jī)技術(shù)和社會(huì)信息化發(fā)展到一定階段的必然產(chǎn)物41、計(jì)算機(jī)病毒產(chǎn)生的背景4.1.2病毒的產(chǎn)生及特性 它352、計(jì)算機(jī)病毒產(chǎn)生的原因開玩笑、惡作劇個(gè)別人的報(bào)復(fù)心理用于版權(quán)保護(hù)的目的用于特殊目的3、病毒發(fā)展的階段（略）52、計(jì)算機(jī)病毒產(chǎn)生的原因3、病毒發(fā)展的階段（略）364、病毒的特征：（1）傳染性；傳染性是病毒的基本特征。計(jì)算機(jī)病毒會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，使被感染的計(jì)算機(jī)工作失常甚至癱瘓。 病毒程序一般通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中，利用這種方法達(dá)到病毒的傳染和擴(kuò)散。（被嵌入的程序叫做宿主程序。）；64、病毒的特征：37（2）破壞性

對(duì)系統(tǒng)來講，所有的計(jì)算機(jī)病毒都存在一個(gè)共同的危害，即占用系統(tǒng)資源，降低計(jì)算機(jī)系統(tǒng)的工作效率。 同時(shí)計(jì)算機(jī)病毒的破壞性性主要取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的，如果病毒設(shè)計(jì)者的目的是徹底破壞系統(tǒng)的正常運(yùn)行，那么這種病毒對(duì)于計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊造成的后果是難以設(shè)想的，它可以毀掉系統(tǒng)的部分?jǐn)?shù)據(jù)，也可以破壞全部數(shù)據(jù)并使之無法恢復(fù)。并非所有的病毒都有惡劣的破壞作用，有些病毒除了占用磁盤和內(nèi)存外，沒有別的危害。但有時(shí)幾種本沒有多大破壞作用的病毒交叉感染，也會(huì)導(dǎo)致系統(tǒng)崩潰。7（2）破壞性38（3）潛伏性

：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)。潛伏性越好，其在系統(tǒng)中的存在時(shí)間就會(huì)越長，病毒的傳染范圍就會(huì)越大，它的危害就越大

潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測(cè)程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤里呆上很長時(shí)間，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就四處繁殖、擴(kuò)散。潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。

8（3）潛伏性：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后39（4）可執(zhí)行性

計(jì)算機(jī)病毒與其他合法程序一樣，是一段可執(zhí)行的程序，但它不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序中。

只有在執(zhí)行時(shí)，才具有傳染性、破壞性未經(jīng)授權(quán)而執(zhí)行： 病毒通過悄悄地篡奪合法程序的系統(tǒng)控制權(quán)而得到運(yùn)行的機(jī)會(huì)。 一般正常的程序是由用戶啟動(dòng)，完成用戶交給的任務(wù)，其目的對(duì)用戶是可見的。而病毒隱藏在合法程序中，當(dāng)用戶啟動(dòng)合法程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行。病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。9（4）可執(zhí)行性未經(jīng)授權(quán)而執(zhí)行：40（5）可觸發(fā)性：病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。病毒的觸發(fā)機(jī)制用來控制感染和破壞動(dòng)作的頻率。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動(dòng)感染或破壞動(dòng)作；如果不滿足，使病毒繼續(xù)潛伏。如CIH，觸發(fā)條件：26日10（5）可觸發(fā)性：病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施41（6）隱蔽性：病毒一般是具有很高編程技巧、短小精悍的程序。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別的。一般在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。

一是傳染的隱蔽性，大多數(shù)病毒在傳染時(shí)速度是極快的，不易被人發(fā)現(xiàn)。二是病毒程序存在的隱蔽性，一般的病毒程序都附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。

11（6）隱蔽性：病毒一般是具有很高編程技巧、短小精悍的程序42（7）衍生性：分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染和破壞部分反映了設(shè)計(jì)者的設(shè)計(jì)思想和設(shè)計(jì)目的。但是，這可以被其他掌握原理的人進(jìn)行任意改動(dòng)，從而又衍生出一種不同于原版本的新的計(jì)算機(jī)病毒（又稱為變種），這就是計(jì)算機(jī)病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴(yán)重得多。（8）寄生性：病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對(duì)宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁衍。

12（7）衍生性：分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染和破壞部分反434.1.3病毒的分類：按破壞性分為：無害型無危險(xiǎn)型危險(xiǎn)型非常危險(xiǎn)型。按激活時(shí)間分為定時(shí)隨機(jī)134.1.3病毒的分類：44按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。“蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。14按照病毒特有的算法分為：45按傳染方式分為：文件型：病毒一般附著在可執(zhí)行文件上；引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存，控制系統(tǒng)；混合型：既可感染引導(dǎo)區(qū)，又可感染文件。宏病毒：感染MSOffice文檔其他類型15按傳染方式分為：46病毒的組成：安裝模塊：提供潛伏機(jī)制；傳播模塊：提供傳染機(jī)制；觸發(fā)模塊：提供觸發(fā)機(jī)制；其中，傳染機(jī)制是病毒的本質(zhì)特征，防治、檢測(cè)及殺毒都是從分析病毒傳染機(jī)制入手的。病毒的癥狀：啟動(dòng)或運(yùn)行速度明顯變慢；文件大小、日期變化；死機(jī)增多；莫名其妙地丟失文件；磁盤空間不應(yīng)有的減少；有規(guī)律地出現(xiàn)異常信息；自動(dòng)生成一些特殊文件；無緣無故地出現(xiàn)打印故障。16病毒的組成：47計(jì)算機(jī)病毒的傳播途徑1）硬件設(shè)備傳播：通過不可移動(dòng)的設(shè)備進(jìn)行傳播較少見，但破壞力很強(qiáng)。2）移動(dòng)存儲(chǔ)設(shè)備傳播：這是最廣泛的傳播途徑之一3）通過網(wǎng)絡(luò)進(jìn)行傳播：這是最廣泛的傳播途徑之二4）無線傳播：通過點(diǎn)對(duì)點(diǎn)通訊系統(tǒng)和無線通道傳播預(yù)計(jì)將來會(huì)成為兩大傳播渠道4.1.4病毒的傳播及危害傳播的途徑：理論上，與外界交換數(shù)據(jù)的所有場(chǎng)合都有可能。17計(jì)算機(jī)病毒的傳播途徑4.1.4病毒的傳播及危害傳播的48病毒的危害直接破壞數(shù)據(jù)占用磁盤空間搶占系統(tǒng)資源影響計(jì)算機(jī)運(yùn)行速度錯(cuò)誤的不可預(yù)見性給用戶造成心理壓力18病毒的危害49病毒破壞行為的常見表現(xiàn)BIOS病毒現(xiàn)象

1、開機(jī)運(yùn)行幾秒后突然黑屏

2、外部設(shè)備無法找到

3、硬盤無法找到

4、電腦發(fā)出異樣聲音

硬盤引導(dǎo)區(qū)病毒現(xiàn)象

1、無法正常啟動(dòng)硬盤

2、引導(dǎo)時(shí)出現(xiàn)死機(jī)現(xiàn)象

3、執(zhí)行C盤時(shí)顯示“NotreadyerrordriveAAbort，Retry，F(xiàn)ail?”

19病毒破壞行為的常見表現(xiàn)50病毒破壞行為的常見表現(xiàn)操作系統(tǒng)病毒現(xiàn)象

1、引導(dǎo)系統(tǒng)時(shí)間變長

2、計(jì)算機(jī)處理速度比以前明顯放慢

3、系統(tǒng)文件出現(xiàn)莫名其妙的丟失，或字節(jié)變長，日期修改等現(xiàn)象

4、系統(tǒng)生成一些特殊的文件

5、驅(qū)動(dòng)程序被修改使得某些外設(shè)不能正常工作

6、軟驅(qū)、光驅(qū)丟失

7、計(jì)算機(jī)經(jīng)常死機(jī)或重新啟動(dòng)

20病毒破壞行為的常見表現(xiàn)51病毒破壞行為的常見表現(xiàn)應(yīng)用程序病毒現(xiàn)象

1、啟動(dòng)應(yīng)用程序出現(xiàn)“非法錯(cuò)誤”對(duì)話框

2、應(yīng)用程序文件變大

3、應(yīng)用程序不能被復(fù)制、移動(dòng)、刪除

4、硬盤上出現(xiàn)大量無效文件

5、某些程序運(yùn)行時(shí)載入時(shí)間變長

21病毒破壞行為的常見表現(xiàn)524.2網(wǎng)絡(luò)病毒的防范措施傳統(tǒng)的網(wǎng)絡(luò)病毒定義是指利用網(wǎng)絡(luò)進(jìn)行傳播的病毒?，F(xiàn)在的網(wǎng)絡(luò)病毒定義是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)產(chǎn)生安全威脅的所有程序的總稱。224.2網(wǎng)絡(luò)病毒的防范措施傳統(tǒng)的網(wǎng)絡(luò)病毒定義是指利用534.2.1網(wǎng)絡(luò)病毒的新特點(diǎn)傳染速度快擴(kuò)散面廣傳播形式復(fù)雜多樣難以徹底清除破壞性大潛在危險(xiǎn)性大234.2.1網(wǎng)絡(luò)病毒的新特點(diǎn)傳染速度快54增加安全意識(shí)小心郵件挑選網(wǎng)絡(luò)版殺毒軟件4.2.2基于網(wǎng)絡(luò)安全體系的防病毒技術(shù)24增加安全意識(shí)4.2.2基于網(wǎng)絡(luò)安全體系的防病毒技術(shù)554.3防毒策略與常用殺毒軟件 防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離 查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計(jì)、報(bào)警 殺毒：從感染對(duì)象中清除病毒；恢復(fù)功能4.3.1病毒的防治策略（參見教材P82）4.3.2防毒殺毒軟件254.3防毒策略與常用殺毒軟件 防毒：預(yù)防入侵；56反病毒軟件的選擇1）能查殺的病毒數(shù)量多2）掃描速度快