计算机病毒防治 课件PPT 73页

'计算机网络安全技术与应用广东工业大学华立学院网络工程系 对计算机病毒的防治一直是有关专家的研究课题，但在计算机病毒与防治病毒的战争中，正义的一方并没有占据明显的优势。计算机病毒对安全的危害随着互联网的发展而逐渐升级。但互联网也成为了防病毒厂商、安全团体及时发布消息的主要途径，而且绝大多数防病毒软件都可以通过互联网对病毒库和防病毒程序进行在线升级。本章将从计算机病毒的概念、发展、危害及其特点等方面谈起，介绍计算机病毒的分类，并结合具体的例子介绍恶意代码、计算机病毒尤其是典型计算机病毒的检测与清除。最后，简单回顾计算机病毒的现状和发展趋势。计算机网络安全技术与应用 第七章计算机病毒防治了解计算机病毒的基本概念、发展、特点、分类、危害。掌握计算机病毒的工作机理。了解恶意代码的分类及其特点。了解木马的基本概念、特点、工作过程、危害。掌握木马的检测和清除以及预防方法。了解蠕虫的基本概念、分类、特点、危害。掌握蠕虫的基本结构、传播方式及其防范措施。本章学习要求 熟悉计算机病毒的传播途径和防治管理措施。了解预防计算机病毒应注意的问题。掌握计算机病毒的检测和清除方法。熟悉常用计算机病毒防治软件名称及其特点。掌握瑞星杀毒软件的安装、卸载、菜单功能、使用和升级方法。掌握计算机网络病毒、宏病毒的检测和清除方法。了解计算机病毒的现状和发展趋势。本章学习要求第七章计算机病毒防治 7.1计算机病毒的特点与分类7.2恶意代码7.3计算机病毒的检测与清除7.4典型计算机病毒的检测与清除7.5计算机病毒的现状和发展趋势主要内容第七章计算机病毒防治 7.1计算机病毒的特点与分类7.1.1计算机病毒的概念1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有法律效力和权威性。计算机病毒赖以生存的基础是现代计算机都具有相同的工作原理和操作系统的脆弱性，以及网络协议中的安全漏洞。特别是在个人计算机中，系统的基本控制功能对用户是公开的，可以通过调用和修改系统的中断，取得对系统的控制权，从而对系统程序和其他程序进行任意处理。 7.1计算机病毒的特点与分类7.1.2计算机病毒的发展从1986年出现第一个感染PC机的计算机病毒开始，至今短短30年，已经经历了3个阶段。第一个阶段为DOS、Windows等传统病毒，此时编写病毒完全是基于对技术的探求，这一阶段的顶峰应该算是CIH病毒；第二个阶段为基于Internet的网络病毒，例如“红色代码”、“冲击波”、“震荡波”等病毒皆属于此阶段，这类病毒往往利用系统漏洞进行世界范围内的大规模传播；目前计算机病毒已经发展到了第三阶段，我们所面临的不再是一个简简单单的病毒，而是集病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。 7.1.3计算机病毒的特点1.发生侵害的主动性2．传染性3．隐蔽性4．表现性5．破坏性6．难确定性7.1计算机病毒的特点与分类 7.1.4计算机病毒的分类1．按其破坏性可分为：良性病毒和恶性病毒。2．按其传染途径可分为：驻留内存型病毒和非驻留内存型病毒。3．按连接方式可分为：源码型、入侵型、操作系统型和外壳型病毒。4．按寄生方式可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。5．其他一些分类方式按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。7.1计算机病毒的特点与分类 7.1.5计算机病毒的危害1．病毒激发对计算机数据信息的直接破坏作用2．占用磁盘空间3．抢占系统资源4．影响计算机的运行速度7.1计算机病毒的特点与分类 7.1.6计算机病毒的工作机理1．计算机病毒的结构计算机病毒在结构上有着共同性，一般由引导模块、传染模块、表现模块3部分组成。必须指出的是，不是任何病毒都必须包含这3个模块。2．计算机病毒的工作机理因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者往往在不同的平台上是各不相同的，因此大多数计算机病毒都是针对某种处理器和操作系统编写的。计算机病毒能够感染的只有可执行代码，按照可执行代码的种类可以将计算机病毒分为引导型病毒、文件型病毒、宏病毒和网络病毒四大类。7.1计算机病毒的特点与分类 （1）引导型病毒的工作机理引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在CPU的运行过程中最先获得对CPU的控制权，病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他扇区中。当系统需要访问这些引导数据信息时，病毒程序会将系统引导到存储这些引导信息的新扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。引导型病毒可以将感染进行有效的传播。7.1计算机病毒的特点与分类 （2）文件型病毒的工作机理文件型病毒攻击的对象是可执行程序，病毒程序将自己附着或追加在后缀名为.exe或.com的可执行文件上。当感染了该类病毒的可执行文件运行时，病毒程序将在系统中进行它的破坏行动。同时，它将驻留在内存中，试图感染其他文件。当该类病毒完成了它的工作之后，其宿主程序才得到运行，使一切看起来很正常。7.1计算机病毒的特点与分类 （3）宏病毒的工作机理为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏。之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可乘之机。宏病毒是一种专门感染Office系列文档的恶性病毒。1995年，世界上发现了第一个宏病毒Concept。由于宏的编程语言VBA简单易学，因此大量的宏病毒层出不穷，短短两年时间其数量就上升至20000多种!7.1计算机病毒的特点与分类 （4）网络病毒的工作机理以典型的“远程探险者”（RemoteExplorer）病毒为例，它是真正的网络病毒，一方面它需要通过网络方可实施有效的传播；另一方面，它要想真正地攻入网络（无论是局域网还是广域网），本身必须具备系统管理员的权限，如果不具备此权限，则它只能够对当前被感染的主机中的文件和目录起作用。该病毒仅在WindowsNTServer和WindowsNTWorkstation平台上起作用，专门感染.exe文件。RemoteExplorer的破坏作用主要表现在：加密某些类型的文件，使其不能再用，并且能够通过局域网或广域网进行传播。7.1计算机病毒的特点与分类 7.1计算机病毒的特点与分类7.1.7常见计算机网络病毒举例1．Internet病毒这种病毒以三种途径侵入Internet网络：（1）通过网络中BerkeleyUNIX4.3sendmail的程序故障使调试位呈通态。（2）在finger程序的一部分中使缓冲器过载，让其对病毒的另一部分进行编译和连接。（3）通过获取口令进入系统。病毒入侵后，通过网络不断扩散，使得受感染的系统负载变得非常重，直接影响网上SUN和VAX系统的运行。 7.1计算机病毒的特点与分类2．“震荡波”病毒2004年5月1日，当人们正沉浸在黄金周的快乐之中时，一个新的病毒——“震荡波（Worm.Sasser）”开始在互联网上肆虐。“震荡波”病毒跟“冲击波”病毒非常类似，它是利用微软的系统漏洞MS04-011进行传播的。用户的计算机一旦感染该病毒，系统将开启上百个线程去攻击他人，造成计算机系统运行异常缓慢、网络不畅通，并让系统不停地进行重新启动。值得注意的是，在2004年4月13日，微软对此漏洞发布过级别为严重的安全公告。 7.1计算机病毒的特点与分类如果计算机出现下列现象之一，则表明该计算机系统可能已经中毒，用户应该立刻采取措施，清除该病毒。（1）出现系统错误对话框（2）系统资源被大量占用（3）系统内存中出现名为avserve的进程（4）系统目录中出现名为avserve.exe的病毒文件。（5）注册表中出现病毒键值 7.1计算机病毒的特点与分类3．电子邮件病毒所谓电子邮件病毒，就是以电子邮件方式作为传播途径的计算机病毒。该类病毒的特点如下：（1）电子邮件可以夹带任何类型的文件，夹带的文件可能带毒。（2）有些计算机病毒，能自动通过电子邮件进行传染、扩散。病毒通过电子邮件传播，具有以下两个特点：（1）速度快，范围广。（2）破坏力大。 7.2.1常见的恶意代码7.2恶意代码图7-3恶意代码分类示意图 1．后门（Backdoor）2．逻辑炸弹（LogicBomb）3．特洛伊木马（TrojanHorse）4．病毒（Virus）5．蠕虫（Worm）7.2恶意代码 7.2.2木马1．木马病毒概述“特洛伊木马”的英文名称为TrojanHorse（其名称取自希腊神话的《特洛伊木马记》），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。7.2恶意代码 木马的运行，可以采用以下3种模式。（1）潜伏在正常的程序应用中，附带执行独立的恶意操作。（2）潜伏在正常的程序应用中，但会修改正常的应用进行恶意操作。（3）完全覆盖正常的程序应用，执行恶意操作。7.2恶意代码 2．木马的特点木马具有隐蔽性和非授权性的特点。所谓隐蔽性，是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。这样，被控制端即使发现感染了木马，也不能确定其准确的位置。所谓非授权性，是指一旦控制端与被控制端连接后，控制端将享有被控制端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被控制端赋予的，而是通过木马程序窃取的。7.2恶意代码 2．木马的工作过程木马对网络主机的入侵过程，可大致分为6个步骤。（1）配置木马（2）传播木马（3）运行木马（4）信息泄露（5）连接建立（6）远程控制7.2恶意代码 4．木马的危害木马是一种远程控制工具，以简便、易行、有效而深受黑客青睐。木马主要以网络为依托进行传播，窃取用户隐私资料是其主要目的；而且多具有引诱性与欺骗性，是病毒新的危害趋势。木马可以说是一种后门程序，它会在受害者的计算机系统里打开一个“后门”，黑客经由这个被打开的特定“后门”进入系统，然后就可以随心所欲地操纵计算机了。木马不仅是一般黑客的常用工具，更是网上情报刺探的一种主要手段，对国家安全造成了巨大威胁。7.2恶意代码 2004年国内危害最严重的10种木马是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜蜂大盗、黑洞木马、广告木马。这些木马会随着电子邮件、即时通信工具、网页浏览等方式感染用户计算机。系统漏洞就像给了木马一把钥匙，使它能够很轻易地在计算机中潜伏下来，达到其窃取隐私信息的险恶目的。根据木马的特点及其危害范围，可将其分为针对网络游戏的木马、针对网上银行的木马、针对即时通信工具的木马、给计算机开后门的木马和推广广告的木马等五大类别。7.2恶意代码 5．木马的检测和清除可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等对木马进行检测，检测到计算机感染木马后，就要根据木马的特征来进行清除；此外，也可查看是否有可疑的启动程序、可疑的进程存在，是否修改了Win.ini、System.ini系统配置文件和注册表，如果存在可疑的程序和进程，则按照特定的方法进行清除。7.2恶意代码 （1）查看开放端口（2）查看和恢复Win.ini和System.ini系统配置文件（3）查看启动程序并删除可疑的启动程序（4）查看系统进程并停止可疑的系统进程（5）查看和还原注册表（6）使用杀毒软件和木马查杀工具检测和清除木马7.2恶意代码 手工查杀木马的方法如下：（1）检查注册表（2）检查启动组（3）查看Win.ini和System.ini（4）查看C:WINDOWSwinstart.bat和C:WINDOWSwininit.ini（5）查看可执行文件7.2恶意代码 6．木马的预防（1）不随意打开来历不明的电子邮件，阻塞可疑邮件（2）不随意下载来历不明的软件（3）及时修补漏洞和关闭可疑的端口（4）尽量少用共享文件夹（5）运行实时监控程序（6）经常升级系统和更新病毒库（7）限制使用不必要的具有传输能力的文件7.2恶意代码 7.2.2蠕虫1．蠕虫的定义蠕虫病毒和普通病毒有着很大的区别。普通病毒主要是感染文件和引导区，而蠕虫则是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。在破坏性上，蠕虫病毒也不是普通病毒所能比的，网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络，造成网络瘫痪。7.2恶意代码 7.2恶意代码表7-1蠕虫病毒与一般病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机 2．蠕虫的分类（1）根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。面向企业用户的蠕虫病毒利用系统漏洞，主动进行攻击，可以对整个网络造成瘫痪性的后果，以“红色代码”、“尼姆达”、“SQL蠕虫王”为代表；面向个人用户的蠕虫病毒通过网络（主要是电子邮件、恶意网页形式等）迅速传播，以“爱虫”、“求职信”蠕虫为代表。（2）按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。其中以利用系统漏洞进行破坏的蠕虫病毒最多，占蠕虫病毒总数量的69%；邮件蠕虫居第二位，占蠕虫病毒总数量的27%；其他传统蠕虫病毒占4%。7.2恶意代码 4．蠕虫的传播蠕虫程序的一般传播过程如下：（1）扫描。由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。（2）攻击。攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得一个Shell。（3）复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。7.2恶意代码 5．蠕虫的破坏性病毒名称发作时间特点及造成损失莫里斯蠕虫1988年6000多台计算机停机，直接经济损失高达9600万美元美丽莎1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元爱虫病毒2000年5月众多用户计算机被感染，损失超过100亿美元以上红色代码2001年8月网络瘫痪，直接经济损失超过26亿美元尼姆达2001年9月通过电子邮件、网络共享、IIS漏洞和网络浏览等多途径传播，造成众多网络瘫痪求职信2001年10月大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪，银行自动取款机运行中断，直接经济损失超过26亿美元冲击波2003年8月利用RPC漏洞传播，并相继出现了病毒变种和一系列利用RPC漏洞传播的病毒。数日内，国内数百万台计算机被攻击震荡波2004年5月1日三天内出现第二个变种，破坏性超过“冲击波”病毒，全球各地上百万用户遭到攻击，并造成重大损失7.2恶意代码 6．蠕虫的特点蠕虫病毒具有以下特点。（1）传播迅速，难以清除。（2）利用操作系统和应用程序的漏洞主动进行攻击。（3）传播方式多样。（4）病毒制作技术与传统的病毒不同。（5）与黑客技术相结合。7.2恶意代码 7．蠕虫病毒的防范与普通病毒不同，蠕虫病毒往往能够利用漏洞来入侵、传播。这里的漏洞（或者说是缺陷）分为软件缺陷和人为缺陷两类。软件缺陷（例如远程溢出、微软IE和Outlook的自动执行漏洞等）需要软件厂商和用户共同配合，不断地升级软件来解决。人为缺陷主要是指计算机用户的疏忽。对于企业用户来说，威胁主要集中在服务器和大型应用软件上；而对个人用户，主要是防范第二种缺陷。7.2恶意代码 （1）企业类蠕虫病毒的防范当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业管理信息系统MIS、Internet应用等领域。网络具有便利的信息交换特性，蠕虫病毒也可以充分利用网络快速传播以达到其阻塞网络的目的。企业在充分利用网络进行业务处理的同时，也要考虑病毒的防范问题，以保证关系企业命运的业务数据的完整性和可用性。企业防治蠕虫病毒需要考虑病毒的查杀能力、病毒的监控能力和新病毒的反应能力等几个问题。企业防病毒的一个重要方面就是管理策略。7.2恶意代码 建议企业防范蠕虫病毒的策略如下：①加强网络管理员的安全管理水平，提高安全意识。②建立病毒检测系统，能够在第一时间内检测到网络的异常和病毒的攻击。③建立应急响应系统，将风险降到最低。④建立备份和容灾系统，对于数据库和数据系统，必须采用定期备份、多机备份和容灾等措施，防止意外灾难下的数据丢失。7.2恶意代码 （2）个人用户蠕虫病毒的分析和防范对于个人用户而言，威胁大的蠕虫病毒一般采取电子邮件和恶意网页传播方式。这些蠕虫病毒对个人用户的威胁最大，同时也最难以根除，造成的损失也更大。网络蠕虫对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞，所以防范此类病毒需要注意以下几点。①购买合适的杀毒软件。②经常升级病毒库。③提高防杀病毒意识。④不随意查看陌生邮件，尤其是带有附件的邮件。7.2恶意代码 7.3.1计算机病毒的传播途径计算机病毒是通过某个入侵点进入系统进行传染的。最常见的入侵点是从工作站传到工作站的软盘或U盘等移动存储设备。在网络中可能的入侵点还有服务器、E-mail、BBS上/下载的文件、WWW站点、FTP文件下载、网络共享文件及常规的网络通信、盗版软件、示范软件、计算机实验室和其他共享设备。病毒传播进入系统的途径主要有以下3种：1．通过计算机网络进行传播2．通过移动存储设备来进行传播3．通过通信系统进行传播7.3计算机病毒的检测与清除 7.3.3病毒预防1．使用正版软件2．从可靠渠道下载软件3．安装防病毒软件、防火墙等防病毒工具，准备一套具有查毒、防毒、杀毒及修复系统的工具软件，并定期对软件进行升级、对系统进行查毒。4．对电子邮件提高警惕5．经常对系统中的文件进行备份6．备好启动盘，并设置写保护7.3计算机病毒的检测与清除 7．开机时使用本地硬盘8．做好系统配置9．尽量做到专机专用10．新购置的计算机软件或硬件也要先查毒再使用11．使用复杂的密码12．注意自己的机器最近有无异常13．了解一些病毒知识7.3计算机病毒的检测与清除 7.3.4病毒检测病毒检测就是要在特定的系统环境中，通过各种检测手段来识别病毒，并对可疑的异常情况进行报警。病毒检测主要是通过病毒扫描、系统完整性检查、分析法、校验和法和行为封锁法等5种手段进行。1．病毒扫描这是早期使用得较多的一种病毒检测手段。病毒扫描一般通过下面两种方法进行：（1）将原始备份与检测的对象进行比较（2）寻找病毒特征7.3计算机病毒的检测与清除 2．系统完整性检查这种防病毒软件利用病毒行为对文件或系统所产生的影响，即病毒对文件或系统做了些什么，来发现和确定病毒。这种方法的主要缺点是：病毒必须已经对文件或系统进行了破坏，系统完整性检查程序才能发现病毒。因此，如果系统在安装这种软件之前已经感染，或者病毒仍处于潜伏期，则系统完整性检查程序就无能为力了。此外，这种方法也可能会对某些正常操作产生较多的“误诊”。7.3计算机病毒的检测与清除 3．分析法使用分析法的步骤如下：（1）确认被观察的磁盘引导扇区和程序中是否含有计算机病毒。（2）确认计算机病毒的类型，判断其是否是一种新型的计算机病毒。（3）弄清计算机病毒体的大致结构，提取用于特征识别的字节串或特征字，并将其添加到计算机病毒代码库中，供病毒扫描和识别程序使用。（4）详细分析计算机病毒代码，为相应的防杀计算机病毒措施制定方案。分析病毒的过程有静态分析和动态分析两类。7.3计算机病毒的检测与清除 4．校验和法对正常文件的内容，计算其校验和，将该校验和写入此文件或其他文件中保存，在文件使用过程中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而发现文件是否被感染，这种方法称为校验和法。使用校验和法的优点是方法简单，能发现未知病毒，也能发现被查文件的细微变化；缺点是有误报警、不能识别病毒类型和名称、不能对付隐蔽型病毒。7.3计算机病毒的检测与清除 5．行为封锁法行为封锁型软件采用驻留内存后台工作的方式，监视可能因病毒引起的异常行为。如发现异常行为，便及时报告用户，由用户决定其行为是否继续。此类软件试图阻止任何病毒的异常行为，因此可防止新型未知病毒的传播和破坏。当然，有时被认为的“可疑行为”是正常的，所以出现误报是难免的。此类技术的进一步发展方向是成为智能探测器。7.3计算机病毒的检测与清除 7.3.5病毒清除1．清除方法预防和发现病毒是非常重要的，但是一旦发现文件或系统已经感染了病毒，显然这时要做的第一件事就是进行杀毒。因为病毒也是程序，所以可以使用多种不同的方法进行杀毒处理，例如使用DOS的DEL命令，或者使用一个商业化的防病毒软件。现在，许多防病毒软件都采用了实时扫描技术。网络中的病毒活动状况对于网络管理员来说是非常重要的。通过了解网络中的病毒活动情况，网络管理员可以了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及病毒的具体特征等，以便修改病毒防范策略以及了解病毒的来源情况，方便进行用户、文件资源的安全管理。7.3计算机病毒的检测与清除 2．著名杀毒软件公司的站点网址站点或公司名称网址冠群金辰www.kill.com.cn瑞星公司www.rising.com.cn北京江民新技术公司www.jiangmin.com信源公司www.vrv.com.cn北京时代先锋（行天88）www.sdxf.com赛门铁克www.symantec.comMcAfeeVirusScanwww.mcafee.com/down/downeval.aspF-Prot（文件保护神）www.dataFellows.com/Dr.solomo’sAntiVirustoolkit（所罗门医生）www.drsolomon.com/7.3计算机病毒的检测与清除 3．染毒后的紧急处理（1）隔离。（2）报警。（3）查毒源。（4）采取应对方法和对策。（5）修复前备份数据。（6）清除病毒。（7）重启和恢复。7.3计算机病毒的检测与清除 7.3.6病毒防治软件介绍1．常用病毒防治软件简介（1）国际品牌级①卡巴斯基。②诺顿。③NOD32。（2）国产品牌级国产防病毒软件占有了国内80%的市场，其中包括江民KV系列、金山毒霸、瑞星杀毒软件、熊猫卫士等一批优秀的品牌。7.3计算机病毒的检测与清除 2．杀毒软件实例简介（1）瑞星杀毒软件的安装（2）瑞星杀毒软件的卸载（3）瑞星杀毒软件的使用（4）瑞星杀毒软件的升级7.3计算机病毒的检测与清除 7.4.1网络病毒的检测与清除方法计算机网络病毒实际上是一个笼统的概念。一种情况是，计算机网络病毒专指在网络上传播并对网络进行破坏的病毒；另一种情况是，计算机网络病毒指的是HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。1．网络病毒的传播方式事实上，并不是所有的病毒都能够通过计算机网络进行传播。网络病毒的出现和传播成为当前影响Internet正常运转的主要障碍。网络病毒首先来自于文件下载。7.4典型计算机病毒的检测与清除 网络病毒的另一种主要来源是电子邮件。随着即时聊天工具的流行，通过聊天工具进行病毒传播成为网络病毒传播的第三大途径。蠕虫病毒则是利用系统漏洞进行传播的一种网络病毒。2．网络病毒的特点计算机网络的主要特点是资源共享，一旦共享资源感染上病毒，网络各节点间信息的频繁传输将把病毒传染到共享的所有机器上，从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。7.4典型计算机病毒的检测与清除 网络病毒的另一种主要来源是电子邮件。在网络环境中，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有如下一些新特点。（1）感染速度快。（2）扩散面广。（3）传播的形式复杂多样。（4）难以彻底清除。（5）破坏性大。7.4典型计算机病毒的检测与清除 3．网络防病毒技术目前成熟的防病毒软件已经可以做到对所有的已知病毒进行预防和清除，例如瑞星、KV、KILL、诺顿、金山毒霸等。（1）实时监视技术实时监视技术通过修改操作系统，使操作系统本身具备防病毒功能，拒病毒于计算机系统之外。该技术可时刻监视系统中的病毒活动、系统状况以及软盘、光盘、互联网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。（2）全平台防病毒技术目前病毒活跃的平台有DOS、Windows、WindowsNT、NetWare、Exchange等。为了使防病毒软件做到与系统的底层无缝连接，实时地检查和清除病毒，必须在不同的平台上使用相应平台的防病毒软件。7.4典型计算机病毒的检测与清除 4．网络病毒的防治网络病毒的防治工作具有如下特点。（1）网络防病毒技术的安全度是基于“木桶理论”的。被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力取决于系统中安全防护能力最薄弱的环节。（2）网络防病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则。（3）网络防病毒技术的兼容性是网络防病毒的重点与难点。7.4典型计算机病毒的检测与清除 5．网络病毒检测与清除的方法举例网络病毒的检测与清除，主要依赖于防病毒软件和防火墙的安装。也可以通过如下一些方法，检查系统是否感染了网络病毒。（1）检查注册表。（2）检查磁盘文件。（3）检查共享文件夹。（4）检查进程。（5）检查端口。（6）其他异常症状。不同网络病毒的清除方法各不相同，但大多要涉及到注册表的修改、系统程序的恢复和病毒服务程序的删除。7.4典型计算机病毒的检测与清除 6．网络病毒实例——电子邮件病毒（1）电子邮件病毒的特点①邮件格式不统一，杀毒困难。②传播速度快，传播范围广，破坏力大。（2）电子邮件病毒的防范措施①不要轻易打开陌生人来信中的附件文件，尤其对于一些“.exe”之类的可执行程序文件，更要慎之又慎!②对于比较熟悉、了解的朋友寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。7.4典型计算机病毒的检测与清除 ③给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。另外，切忌盲目转发。④不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。⑤使用优秀的防病毒软件对电子邮件进行专门的保护。⑥使用防病毒软件同时保护客户机和服务器。⑦使用特定的SMTP杀毒软件。7.4典型计算机病毒的检测与清除 7.4.2宏病毒的检测与清除方法1．宏病毒的检测由于宏病毒在运行时离不开运行其的软件平台Word、PowerPoint等Office软件，所以通过操作系统和Office软件平台的异常现象，就能准确地反映出宏病毒的存在。（1）检查通用模板中出现的宏。（2）无故出现存盘操作。（3）Word功能混乱，无法使用。（4）Word菜单命令消失。（5）Word文档的内容发生变化。7.4典型计算机病毒的检测与清除 2．Word宏病毒的防范对于Word宏病毒的防范，要注意以下几点。（1）对于已染病毒的Normal.dot文件，应先将Normal.dot中的自动宏清除，然后将Normal.dot设置成只读方式。（2）对于其他已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。（3）平时使用时要加强防范：定期检查活动宏表，对来历不明的宏最好予以删除；如果发现后缀为.doc的文件变成模板（.dot）时，则可怀疑其已感染宏病毒。（4）在启动Word、创建文档、打开文档、关闭文档以及退出Word时，按住Shift键可以阻止自动宏的运行。（5）存储一个文档时，务必明确指定该文档的扩展名。7.4典型计算机病毒的检测与清除 3．Word宏病毒的清除对于Word宏病毒，最简单的清除步骤如下。（1）在没打开任何文件（文档文件或模板文件）的情况下，启动Word。（2）选择“工具”|“模板和加载项”命令，打开“模板和加载项”对话框，单击“管理器”按钮，打开“管理器”对话框。（3）选择“宏方案项”选项卡，删除左右两个列表框中除了自己定义之外的所有宏，单击“关闭”按钮关闭对话框。（4）选择“工具”|“宏”命令，若有AutoOpen、AutoNew、AutoClose等宏，则删除。由于Word宏病毒会寄生在任何.doc文档中，可在打开.doc文件后，重复上面步骤（2）～（4），然后将文件存盘，以清除.doc文档中的病毒。7.4典型计算机病毒的检测与清除 7.5.1计算机病毒的现状手机病毒主要是通过短信、下载文件、红外、蓝牙等无线网络连接方式进行传播。手机病毒与传统计算机病毒的区别在于：手机病毒利用了手机的无线扩展功能进行传播，而计算机病毒则是利用了电子邮件、浏览网页、即时通信等进行传播。同时，手机病毒与计算机病毒又有着很大的联系，它们同属于计算机病毒。可以说，计算机是智能手机病毒扩散的源头，任何手机病毒都要通过计算机进行编写。7.5计算机病毒的现状和发展趋势 7.5.2计算机病毒的发展趋势1．病毒的网络化2．病毒功能的综合化3．传播途径的多样化4．病毒的多平台化5．攻击对象趋于混合型6．使用反跟踪技术7.5计算机病毒的现状和发展趋势 7．增强隐蔽性病毒通过各种手段，尽量避免出现容易使用户产生怀疑的病毒感染特征。（1）避开修改中断向量值。（2）请求在内存中的合法身份。（3）维持宿主程序的外部特性。（4）不使用明显的感染标志。8．进行加密技术处理（1）对程序段进行动态加密。（2）对显示信息进行加密。（3）对宿主程序段进行加密。9．病毒不断繁衍不同变种7.5计算机病毒的现状和发展趋势 小结计算机病毒防治是信息系统安全的一个重要方面，了解病毒的发展历史、病毒特点、分类等基本知识，理解病毒的作用机理，掌握基本的病毒检查、清除方法和防治管理措施，对于构建安全的信息系统、减小病毒所造成的损失具有积极的作用。计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。它具有发生侵害的主动性、传染性、隐蔽性、表现性、破坏性、难确定性等特点。它们在结构上有着共同性，一般由引导模块、传染模块、表现模块3部分组成。计算机病毒能够感染的只有可执行代码，按照可执行代码的种类可以将计算机病毒分为引导型病毒、文件型病毒、宏病毒和网络病毒四大类。各类病毒的工作机理不尽相同。了解计算机病毒工作机理对于防范计算机病毒、查杀计算机病毒和恢复染毒后的系统有着积极的意义。 小结恶意代码可以分成需要宿主的程序和可以独立运行的程序两类，其中包含了后门、逻辑炸弹、特洛伊木马、病毒和蠕虫等。木马通常包含控制端和被控制端两部分，具有隐蔽性和非授权性的特点。它是一种远程控制工具，以简便、易行、有效而深受黑客青睐。木马病毒主要以网络为依托进行传播，窃取用户隐私资料是其主要目的。而且这些木马病毒多具有引诱性与欺骗性，是病毒新的危害趋势。可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等对木马进行检测。检测到计算机感染木马后，就要根据木马的特征来进行清除。最好的情况是不出现木马，这就要求我们平时要有对木马的预防意识和措施，做到防患于未然。 小结蠕虫的基本程序结构包含传播模块、隐藏模块和目的功能模块。其传播过程一般包括扫描、攻击和复制3个阶段。它具有传播迅速、难以清除、利用操作系统和应用程序的漏洞主动进行攻击、传播方式多样、病毒制作技术与传统的病毒不同、与黑客技术相结合等特点。对于企业用户来说，蠕虫病毒形成的威胁主要集中在服务器和大型应用软件上；而对个人用户，主要是要防范电子邮件和恶意网页传播方式与社会工程学结合所形成的威胁。计算机病毒的防治是一个综合治理的社会问题，只有完善的规章制度和健全的管理体制，才能使措施到位，防患于未然，减少病毒入侵后所造成的损失。病毒预防是指根据系统特性，采取相应的系统安全措施预防病毒入侵计算机系统。 小结病毒检测就是要在特定的系统环境中，通过各种检测手段来识别病毒，并对可疑的异常情况进行报警。病毒检测主要是通过病毒扫描、系统完整性检查、分析法、校验和法和行为封锁法等5种手段进行。较为流行的防病毒软件包括卡巴斯基、诺顿、NOD32等国际品牌和江民KV系列、金山毒霸、瑞星杀毒软件、熊猫卫士等国产品牌。计算机网络病毒实际上是一个笼统的概念。一种情况是，计算机网络病毒专指在网络上传播并对网络进行破坏的病毒；另一种情况是，计算机网络病毒指的是HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。它除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有感染速度快、扩散面广、传播的形式复杂多样、难以彻底清除和破坏性大等新特点。网络病毒查杀的重点应放在注册表和系统程序的维护上。 小结宏病毒由于易于理解、易于编写和修改，形成了变种多、传播广的特点，也为查杀病毒带来一定的难度。了解宏病毒的特征，正确维护宏病毒赖以生存的系统平台，可积极有效地防范宏病毒。根据病毒的发展演变，可预见未来计算机病毒的更新换代将向多元化方向发展，可能具有病毒的网络化、病毒功能的综合化、传播途径的多样化、病毒的多平台化、攻击对象趋于混合型、使用反跟踪技术、增强隐蔽性、进行加密技术处理和不断繁衍不同变种等发展趋势。'