第4章计算机病毒及其防治.ppt

4.4.4 基于工作站与服务器的防毒技术 基于服务器的NLM防毒技术 基于服务器的NLM防毒技术一般具备以下功能： 实时在线扫描 服务器扫描 工作站扫描 4.4 网络病毒的防治 4.4.5 网络病毒清除方法 立即使用BROADCAST命令，通知所有用户退网，关闭文件服务器。 用带有写保护的、“干净”的系统盘启动系统管理员工作站，并立即清除本机病毒。 用带有写保护的、“干净”的系统盘启动文件服务器，系统管理员登录后，使用DISABLE LOGIN命令禁止其他用户登录。 将文件服务器的硬盘中的重要资料备份到“干净的”软盘上。 用杀毒软件扫描服务器上所有卷的文件，恢复或删除发现被病毒感染的文件，重新安装被删文件。 用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。 用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。 在确信病毒已经彻底清除后，重新启动网络和工作站。 4.4 网络病毒的防治 第4章 计算机病毒及其防治 卢 荣 计算机病毒与生物病毒（甲型H1N1流感病毒）一样吗？ 计算机病毒 生物病毒 现代病毒利用人性的弱点 隐蔽性更强 伪装成开玩笑的邮件 伪装求职 甚至伪装防病毒厂家的技术支持 附在图片上 很多时候用户被感染不知道 用一些很有吸引力的标题 — 如点击XX站点可以赚钱 — 打开邮件就会得到免费的礼物 4.1 计算机病毒的概念 4.2 计算机病毒的分析 4.3 计算机病毒的防范 4.4 网络病毒的防治 4.5 常用的防杀毒软件 4.1 计算机病毒的概念 4.1.1 计算机病毒的产生 4.1.2 计算机病毒的特征 4.1.3 计算机病毒的分类 4.1 计算机病毒的概念 计算机病毒：编制或者在计算机程度中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 ——《中华人民共和国计算机信息系统安全保护条例》 4.1.1 计算机病毒的产生 计算机病毒最早大约出现在２０世纪６０年代末 计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享 计算机病毒产生的来源多种多样 归根结底，计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力 4.1 计算机病毒的概念 病毒产生的原因： 计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧； 2）出于报复心理。 4.1.2 计算机病毒的特征 程序性 传染性 潜伏性 可触发性 破坏性 攻击的主动性 有针对性 隐蔽性 非授权性 衍生性 寄生性（依附性） 持久性 4.1 计算机病毒的概念 4.1.3 计算机病毒的分类 按攻击的对象分类 可以分为攻击微机型、攻击小型机、攻击大型机、攻击工作站、攻击便携式电子设备、攻击计算机网络6种 按攻击的操作系统分类 可以分为攻击DOS系统、攻击Windows 系统、攻击UNIX系统、攻击OS/2系统、攻击嵌入式操作系统5种 按表现性质分类 可以分为良性病毒、恶性病毒、中性病毒3种 按激活时间分为：定时；随机 按传染方式分为： 引导型：当系统引导时进入内存，控制系统； 文件型：病毒一般附着在可执行文件上 ； 混合型：既可感染引导区，又可感染文件。 按连接方式分为： OS型：替换OS的部分功能，危害较大； 源码型：要在源程序编译之前插入病毒代码；较少； 外壳型：附在正常程序的开头或末尾；最常见； 入侵型：病毒取代特定程序的某些模块；难发现。 4.1 计算机病毒的概念 按照病毒特有的算法分为： 伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。 寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。 变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 4.1.3 计算机病毒的分类 按寄生的方式分类 可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、填充式寄生病毒和转储式寄生病毒5种 按感染的方式分类 可以分为引导扇区病毒、文件感染病毒、综合型感染病毒3种 按侵入途径分类 可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒4种 4.1 计算机病毒的概念 病毒的组成： 安装模块：提供潜伏机制； 传播模块：提供传染机制； 触发模块：提供触发机制； 其中，传染机制是病毒的本质特征，防治、检测及 杀毒都是从分析病毒传染机制入手的。 病毒的症状： 启动或运行速度明