收藏
下载资源 加入VIP免费专享

计算机病毒知识.ppt

上传人:牧羊曲112 文档编号:6023777 上传时间:2023-09-15 格式:PPT 页数:80 大小:1.57MB
返回 下载 相关 举报
计算机病毒知识.ppt_第1页
第1页 / 共80页
计算机病毒知识.ppt_第2页
第2页 / 共80页
计算机病毒知识.ppt_第3页
第3页 / 共80页
计算机病毒知识.ppt_第4页
第4页 / 共80页
计算机病毒知识.ppt_第5页
第5页 / 共80页
点击查看更多>>
资源描述

《计算机病毒知识.ppt》由会员分享,可在线阅读,更多相关《计算机病毒知识.ppt(80页珍藏版)》请在三一办公上搜索。

1、Main Title,60 pt.,U/L caseLS=.8 lines,计算机病毒介绍,计算机病毒的特点,传染性:通过各种渠道从已被感染的计算机扩散到未被感染的计算机。隐蔽性:病毒通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。潜伏性:大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其破坏模块。破坏性:任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。可执行性,Main Title,60 pt.,U/L caseLS=.8 lines,计算机病毒概述,什么是病毒?,医学上的病毒定义:是一类比较原始的、有生命特征的、

2、能够自我复制和在细胞内寄生的非细胞生物。,什么是计算机病毒?,计算机病毒:是指在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,Main Title,60 pt.,U/L caseLS=.8 lines,计算机病毒起源、历史和发展,计算机病毒起源,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚蓄意破坏,它分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为,而政府行为则是有组织的战略战术手段。4.用于研究或实验而设计的“有用”程序,由于某种原因失去控 制扩散

3、出实验室或研究所,从而成为危害四方的计算机病毒。,计算机病毒历史,1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等 1989年 全世界的计算机病毒攻击十分猖獗。1989年10月13日为“世界计算机病毒流行日”,计算机病毒历史,1991年“海湾战争”中美军将计算机病毒用于实战。1992年 出现针对杀毒软件的“幽灵”病毒。1996年 首次出现针对微软公司Office的“宏病毒”。1998年 被公认为计算机反病毒界的CIH病毒年。1999年 完全通过Internet传播的病毒的出现,从而使病毒在极短的时间内遍布全球。,2001年 9月一种名为“

4、尼姆达”的蠕虫病毒席卷世界。“尼姆达”病毒在全球各地侵袭了830万部电脑,总共造成约5.9亿美元的损失。2003年 1月25日,一种新的蠕虫病毒再次震惊了世界。人们给这一病毒起了不同的名字:“2003蠕虫王”、“强风”、“SQL杀手”等等。这一蠕虫病毒攻击互联网开始于北京时间25日13时15分左右,除我国外,全球已经有2.2万个网络服务器受到这一病毒的攻击而瘫痪。,计算机病毒历史,蠕虫病毒:就是像蠕虫一样“寄生”在其他东西上进行传播的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件,Main Title,60 pt.,U/L caseLS=.8 lines,传统计

5、算机病毒类型介绍,传统病毒的分类,DOS病毒,Windows病毒,宏病毒,脚本病毒,引导型病毒,病毒的不同类型,引导型病毒,计算机启动时使用了被病毒感染的磁盘,启动病毒感染硬盘,在此以后所有使用的磁盘都会感染,Windows 病毒,程序/可执行 文件 NE,PE(*.EXE),其它带有可执行代码的文件(*.SCR,*.HLP,*.OCX),设备驱动程序 LE,PE(*.DLL,*.DRV,*.VXD),通常感染的文件类型:,Windows 病毒,可执行文件信息的改变(例如文件大小,时间标记,行为等),任何异常的任务/进程,注册表或者配置文件的异常或可疑的改动,病毒防护检查内容:,Windows

6、 病毒,许多Windows病毒都是将自己的代码插入到载体文件中去,从而文件长度会有所增加。,其它一些复杂的Windows 病毒会自动查找可执行程序的空闲空间,将自身程序分成小段插入进去,因此文件长度不会改变。,Virus,Virus,Virus,Virus,Virus,Virus,Virus,宏病毒,WordBasic,Visual basic for Applications(VBA),当病毒长驻在通用模板中时,它会自动生成一些额外的拷贝到别的被Word打开的文档中去,通用模板用于文档设置和宏的基本设定,Word 文档中的宏病毒,当启动文件夹中有宏病毒时,它会在所有用Excel打开的电子表格

7、中添夹自身的副本。,当Excel启动的时候,在启动文件夹中的Excel文件中的宏会被自动执行。,Excel 文档中的宏病毒,宏病毒,某些症状被感染的文件的大小会增加当你关闭文件时程序会问你是否要保存所做的更改,而实际上你并没有对文件做任何改动。普通的文件被当作模板保存起来(针对Word宏病毒),Main Title,60 pt.,U/L caseLS=.8 lines,现代计算机病毒类型介绍,现代计算机病毒类型,现代计算机病毒类型,特洛伊木马程序,蠕虫,玩笑程序,恶意程序dropper,后门程序,DDos 攻击程序,特洛伊木马程序,特洛伊木马程序往往表面上看起来无害,但是会执行一些未预料或未经

8、授权,通常是恶意的操作。,蠕虫,计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。,玩笑程序,玩笑程序是普通的可执行程序,这些程序建立的目的是用于和计算机用户开玩笑。,这些玩笑程序设计时不是致力于破坏用户的数据,但是某些不知情的用户可能会引发不正当的操作,从而导致文件的损坏和数据的丢失。,玩笑程序,常见表现特征:类似常见的普通可执行程序 不会感染其它程序不会造成直接破坏可能给用户带来烦恼和困惑可能不容易中断和停止某些设备(例如鼠标或键盘)可能会暂时工作反常,病毒或恶意程序Droppers,病毒或恶意程序Droppers被执行后,会在被感染系统中植入病毒或是恶意程序,

9、在病毒或恶意程序植入后,可以感染文件和对系统造成破坏,用于生成病毒或恶意程序的计算机程序,后门程序,后门程序是一种会在系统中打开一个秘密访问方式的程序,经常被用来饶过系统安全策略,DDos攻击程序,DDos攻击程序用于攻击并禁用目标服务器的web服务,导致合法用户无法获得正常服务,Main Title,60 pt.,U/L caseLS=.8 lines,病毒的常见症状及传播途径,1系统频繁死机。可能是因为病毒打开了许多文件或占用了大量内存。2系统无法启动。系统启动时间加长或不能正常启动。可能是病毒修改了硬盘的引导信息或删除了某些启动文件,如引导型病毒引导文件损坏。3打不开文件。可能是病毒修改

10、了文件格式或修改了文件链接位置。4经常报告内存不够。可能是病毒非法侵占了大量内存。5提示硬盘空间不够。可能是病毒复制了大量的病毒文件6软盘等设备未访问时出现读写信号。7生成不可见的表格文件或出现大量来历不明的文件。8开机时出现黑屏,无法正常启动。,9数据丢失。可执行文件没有经删除突然丢失,可能是病毒删除了文件。10浏览网页时,经常出现一些不明网页。11系统不认识磁盘或硬盘,不能引导系统等。12生成不可见的表格文件或特定文件。13磁盘卷标名发生变化。14在未经您授权的情况下,有程序试图访问互联网15您的收件箱内收到了大量没有发送地址和主题的邮件。16硬盘被频繁访问,硬盘灯狂闪17IE无法使用或未

11、经授权自动打开18运行速度降低,病毒的常见症状,电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作,磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了,病毒的常见症状,内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称,扩展名,日期,属性被更改过,病毒的常见传播途径,文件传输介质例如CIH病毒,通过复制感染程序传播电子邮件例如梅丽莎病毒,第一个通过电子邮件传播的病毒网络共享例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播文件共享软件例如WORM_LIRVA.C病毒可以通过Kaz

12、aa点对点文件共享软件传播,什么是黑客程序?,纯粹的黑客程序(也称远程访问木马程序)是一种客户机服务器式的程序,目的是破坏系统的安全。通常,服务器端程序是被植入的,就象别的特洛伊木马程序一样,而且往往带有蠕虫的特点,更有利于其传播。服务器端一旦安装上以后,其充当了一个类似于网关的角色,黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量,往往可以通过个人防火墙或相关的软件将其找到。,如何清除主引导区中的病毒?,有两种方法:使用防毒软件或者运行FDISK/MBR命令。大部分防毒软件都能清除引导区内的病毒,但是有一些可能在特定的环境中有些问题。这时

13、可以考虑运行FDISK/MBR。但是除非你对此行为将产生的后果十分清楚,否则将是非常不明智的。在运行FDISK/MBR命令后,你有可能无法访问硬盘上的数据。,重新格式化硬盘可以清除引导区病毒吗?,不一定。格式化(FORMAT)命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒,但可以通过其它方法来清除引导型病毒。,防毒原则,1.不使用盗版或来历不明的软件。2.绝不把用户数据写到系统盘上。3.安装真正有效的防毒软件,并经常进行升级。4.新购买的电脑要在使用之前首先要进行病毒检查,以免机器带毒。5

14、.准备一张干净的系统引导盘,并将常用的工具软件拷贝到该软盘上保存。此后一旦系统受病毒侵犯,我们就可以使用该盘引导系统,然后进行检查、杀毒等操作。,防毒原则,6.对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用。7.经常对重要数据进行备份,防患于未然。8.随时注意计算机的各种异常现象(如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等),一旦发现,应立即用杀毒软件仔细检查。,碰到病毒之后的解决办法,1.在解毒之前,要先备份重要的数据文件。2.启动反病毒软件,并对整个硬盘进行扫描。3

15、.发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。4.某些病毒在Windows 状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。反病毒软件 1、软件的安装 2、病毒库的升级 3、系统盘、杀毒盘的制作,Main Title,60 pt.,U/L caseLS=.8 lines,常见问题,为什么有些病毒清除不了(非运行中),只能隔离而不能清除?所谓的杀病毒,就防毒软件而言有两种情况:一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的

16、病毒变成了12K,经过杀毒之后,恢复成10K的正常档案),这就是所谓的清除一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒,这种状况就是采取的隔离措施,7.常见问题,对于隔离区的清除不了病毒的文件,是否可以等到新的解药出来后,清除文件中的病毒就可以了?清除不了病毒的文件可能有以下两种情况:该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施,因为文件中包含的只有病毒代码,不存在清除的问题。病毒在感染文件时采取了一些特殊的方法,对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是

17、,并不排除随着防病毒软件的改进而可以清除的可能。,7.常见问题,病毒码更新,扫描引擎不更新的话,会不会继续中病毒?病毒码中包含的是病毒的具体特征,而扫描引擎就是使用这些特征对文件进行比对,以确定被扫描的文件是否为病毒。因此,理论上只要病毒码包含了相关病毒的特征,则该病毒即可被检测到。,7.常见问题,为什么现在有很多木马程序杀不掉?造成这个问题是以下原因:在Windows操作系统下运行的程序,其执行的原始文件往往会处在一个受保护的状态,使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目,因此往往系统已启动木马已在系统中运行,

18、造成防病毒软件无法对木马程序进行有效处理。,7.常见问题,各类病毒的传播方式病毒的常见传播方式有:通过电子邮件通过网络共享通过点对点的文件共享软件以磁盘之类的介质,7.常见问题,对于病毒清除后的残余文件,是否会随着病毒清除后自动删除?不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件,用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据,与通常的纯数据文件并没有什么差别,其本身并不具备执行的能力,因此并不会被检测,相应的该文件也不会被采取一些自动的措施进行处理。,7.常见问题,为什么有时候有些防病毒软件认为一个文件是病毒,而有些防病毒软件却认为不是病毒

19、?各防病毒厂商在对病毒的认定标准上存在一些细小的差异,导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说,如果一个程序在执行时需要客户认可其最终用户许可协议,趋势科技即不将其检测为病毒,而其他厂家则可能会检测该程序为病毒。,7.常见问题,对于被隔离的病毒文件如果是系统文件的话,应该如何处理?由于系统文件是操作系统的一部分,建议客户使用原始的操作系统安装盘恢复相应的文件。,7.常见问题,病毒发作有的有周期的,是否本机时间改掉就可以了?修改系统时间确实可以阻止一些周期性发作的病毒的发作,但是并不是绝对可行。有些病毒由于其触发机制的复杂性,修改系统时间并不能完全阻止其发作。,7.常见问题,

20、蠕虫、病毒的特征和区别计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生于计算机与计算机之间。,7.常见问题,不同的病毒生成的文件是什么类型的要视病毒具体感染的文件类型而定,宏病毒通常会感染Word文档文件以及Excel电子数据表文件;脚本病毒通常会感染网页类型文件;文件型病毒通常感染可执行程序,如exe文件。,7.常见问题,如果遇到病毒感染了系统文件怎么办?如果删除了或者杀死病毒造成系统不稳定,但不想重新装系统,怎么解决?碰到这种情况,请记录相关的文件名称,并使用原始的操作系统安装盘进行相关文件的恢复,7.常见问题,哪些病毒有潜伏期的

21、病毒是否具有潜伏期要视病毒的具体触发条件而定,只有那些触发条件是使用特定时间的病毒才具有潜伏期。,7.常见问题,防病毒软件的作用是什么?,清除从被感染文件中清除病毒代码。隔离加密无法清除的文件并将它存放到某个特定的位置,以避免该文件中的病毒代码的运行。删除直接删除被感染的文件。,如何设置防病毒软件中的处理方式?,当载体文件被PE病毒、宏病毒或脚本病毒感染时,清除功能可以将病毒从被感染文件中除去。如果恶意程序的类型是蠕虫、特洛伊木马或后门程序时,由于这一类型的病毒本身就是一个病毒程序,不会感染其他文件,因此需要备份的情况下,请采取隔离的方式,否则直接删除即可。,病毒会感染哪些文件?,病毒只会感染

22、程序文件或带有可执行代码的文件,任何支持可执行命令的文件格式都有可能被病毒感染。病毒不会感染纯粹的数据文件只会破坏它们。尽管病毒能够成功的将指令插入这些文件中,它们相应的查看器或播放器只会将它们显示出来,而不会执行这些指令。,计算机的 CMOS 会被感染吗?,不会。计算机的系统信息存在的区域一般是通过输入/输出(I/O)端口进行访问的,不能被直接访问。当然,恶意程序可以更改CMOS中的数据,但不会通过其传播。任何隐藏在CMOS中的病毒都会找机会去感染可执行体,然后将写在CMOS中的内容执行起来。,防病毒软件可能被病毒感染吗?,是的,有这种可能性。防毒软件本身也是一种可能被病毒感染的可执行程序。

23、因此,尽量使用可信的介质或防毒软件安装程序。,我该使用多少种防毒软件?,如果你只是一个家庭用户,并且与其他用户的文件交换频率比较低的话,使用一种防毒软件就足够了。否则,可以使用多种防毒软件来检查系统以降低感染病毒的几率,什么是黑客程序?,纯粹的黑客程序(也称远程访问木马程序)是一种客户机服务器式的程序,目的是破坏系统的安全。通常,服务器端程序是被植入的,就象别的特洛伊木马程序一样,而且往往带有蠕虫的特点,更有利于其传播。服务器端一旦安装上以后,其充当了一个类似于网关的角色,黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量,往往可以通过个人防

24、火墙或相关的软件将其找到。,FDISK/MBR命令有什么作用?,FDISK/MBR会清除主引导区记录。一般来说不一定会更改分区信息,但对普通用户而言,通常会造成严重后果。如果主引导区记录的最后两个字节不是55 AA的话,FDISK/MBR这条命令会删除分区表中的数据。如果你对分区表没有足够的认识的话,请不要轻易使用FDISK/MBR 命令,因为你会丢失数据。,如何清除主引导区中的病毒?,有两种方法:使用防毒软件或者运行FDISK/MBR命令。大部分防毒软件都能清除引导区内的病毒,但是有一些可能在特定的环境中有些问题。这时可以考虑运行FDISK/MBR。但是除非你对此行为将产生的后果十分清楚,否

25、则将是非常不明智的。在运行FDISK/MBR命令后,你有可能无法访问硬盘上的数据。,重新格式化硬盘可以清除引导区病毒吗?,不一定。格式化(FORMAT)命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒,但可以通过其它方法来清除引导型病毒。,引导型病毒可以感染非引导盘吗?,可以。所有格式化过的磁盘都可以携带引导型病毒,因为任何正确格式化过的DOS磁盘在引导扇区内(可启动的或不可启动的)都有可执行代码,导致可以被病毒感染。,使用DIR命令会感染我的系统吗?,使用DIR命令不会感染一个“干净的系统

26、”,即使所浏览的目的磁盘上有病毒也没关系。但是如果你的计算机已经感染了病毒,该命令有可能使“干净”的磁盘感染上病毒。,将文件的属性设为只读可以保护其不被病毒感染吗?,一般来说,不会。只读属性只会防住少数病毒,大部分病毒还是会通过覆盖的方式感染文件的。因此,虽然将可执行文件的属性设为只读是个好主意(可以防止误操作)但从防病毒角度讲,没什么大用。,写保护可以防止病毒感染吗?,一般来说,可以。在IBM PC(和某些兼容机)上的写保护装置可以很好的保护不受病毒的干扰。因为写保护是基于硬件的。而病毒只是一个程序,是软件,不可能违背一些通用的规则。如果启用了写保护的软盘在被感染病毒的系统里使用,它也不会被

27、感染。,DOS病毒会在Windows环境下工作吗?,绝大多数的DOS病毒不能在Windows环境下运行,但是有一小部分可以(在限制的条件下)。总的来说,以Windows专用内存方式运行的系统要比纯DOS对病毒的抵抗性能要好。这是因为许多病毒与Windows的内存管理方式不兼容。进一步讲,大部分现存的病毒如果想要通过以前的方式来感染EXE文件的话,将会破坏这些Windows程序。但是许多仅感染COM文件的病毒在Windows提供的虚拟DOS环境下就会很好的运行。,在阅读电子邮件和浏览新闻组时会中毒吗?,绝大多数情况下,恶意程序只有当其中的可执行代码被运行才会被激活。有些电子邮件程序会自动执行邮件

28、中所带的可执行代码,例如JavaScript,Word宏语句等。在这种情况下,如果其中的代码是恶意的话,病毒就会感染系统,因此强烈建议禁用自动执行的特性。,如果我的MS Word关着还会感染Word宏病毒吗?,关于各个程序的宏病毒只会在自身程序中才能被执行,因此如果Word程序关着,Word宏病毒是不会被执行起来的(别的相应的各个程序的宏病毒也是如此)。,恶意病毒会破坏硬件吗?,到目前为止,还没有任何一个病毒会对硬件造成物理上的破坏。但这并不是说病毒不可能破坏硬件,只是目前还没有而已。,什么是CARO和EICAR?什么是EICAR测试文件?,CARO(Computer Antivirus Re

29、search Organization)计算机防病毒研究组织是计算机防病毒领域的研究者,许多成员是来自防病毒厂商。EICAR(European Institute for Computer Antivirus Research)欧洲防病毒研究协会是由学院,商业协会,媒体政府机构等一起组成的一个团体,主要成员有网络安全专家,法律专家等。这个组织致力于控制计算机病毒和计算机资源的滥用。同时也是EICAR测试文件的提供者。EICAR 测试文件是一个用来测试防毒软件的文件。使用该文件就可以不必使用真正的病毒来实验了。,什么是实时扫描?,实时扫描是防毒软件的一种处理方法。当您访问任何一个文件的时候,这些

30、文件都会先被防毒软件扫描,这种扫描是基于后台的,并不为用户所察觉,在这种情况下,任何恶意程序在执行或打开的时候,都会被事先扫描到。,什么是完整性检查?,完整性检查会去检查一个文件的校验和或者哈希值,以此来判别文件是否被改动过。这种技术可以对文件的任何改动做出判断,不管是已知的或是未知的病毒都可以适用,因为这是通用的检查。另外,除了病毒以外的别的任何改动也可以被查出来。通常情况下,可以让用户来判断哪种情况是有意的,哪种是由于病毒的原因造成的,某些产品提供了相关的帮助来协助用户做相应的判断。,什么是启发式扫描?,启发式扫描通过检查可执行程序的代码来查找可能存在的未知病毒。通常有一系列的规则可以用来

31、参考,当相关的条件满足时会发出警报。有些防毒软件用这种技术来补充基于字符串匹配的扫描方式(查找已知病毒),以便更好的查到未知病毒。这种扫描方式并不是非常可靠,有时候会产生误报,在完整性检查的软件里有时也会应用这种技术。,什么是误报?,假报警顾名思义就是防毒软件给出的错误诊断。有两种错误警报:防毒软件报告被检测文件感染了某个病毒或恶意程序,但实际上,该文件没有感染病毒或者是感染了另外的不同于所报告的病毒。防毒软件没有对感染了病毒的文件做出中毒的警告。,我可以从哪里获得关于某个病毒的具体信息?,许多相关的网站都会提供具体的病毒信息。趋势科技网站提供的链接是:http:/(中文)orhttp:/(英文)只需提供病毒或恶意程序的名称即可。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号