河大版信息技术五上第16课防治计算机病毒课件1

《河大版信息技术五上第16课防治计算机病毒课件1》由会员分享，可在线阅读，更多相关《河大版信息技术五上第16课防治计算机病毒课件1（76页珍藏版）》请在装配图网上搜索。

1、 对计算机病毒的防治一直是有关专家的研究课对计算机病毒的防治一直是有关专家的研究课题，但在计算机病毒与防治病毒的战争中，正义的题，但在计算机病毒与防治病毒的战争中，正义的一方并没有占据明显的优势。一方并没有占据明显的优势。计算机病毒对安全的危害随着互联网的发展而计算机病毒对安全的危害随着互联网的发展而逐渐升级。逐渐升级。但互联网也成为了防病毒厂商、安全团但互联网也成为了防病毒厂商、安全团体及时发布消息的主要途径，而且绝大多数防病毒体及时发布消息的主要途径，而且绝大多数防病毒软件都可以通过互联网对病毒库和防病毒程序进行软件都可以通过互联网对病毒库和防病毒程序进行在线升级。在线升级。本章将从计算机

2、病毒的概念、发展、危害及其本章将从计算机病毒的概念、发展、危害及其特点等方面谈起，介绍计算机病毒的分类，并结合特点等方面谈起，介绍计算机病毒的分类，并结合具体的例子介绍恶意代码、计算机病毒尤其是典型具体的例子介绍恶意代码、计算机病毒尤其是典型计算机病毒的检测与清除。最后，简单回顾计算机计算机病毒的检测与清除。最后，简单回顾计算机病毒的现状和发展趋势。病毒的现状和发展趋势。计算机网络安全技术与应用计算机网络安全技术与应用http:/ 中小学课件网u7.1 计算机病毒的特点与分类计算机病毒的特点与分类 u7.2 恶意代码恶意代码 u7.3 计算机病毒的检测与清除计算机病毒的检测与清除u7.4 典型

3、计算机病毒的检测与清除典型计算机病毒的检测与清除 u7.5 计算机病毒的现状和发展趋势计算机病毒的现状和发展趋势 主要内容主要内容第七章第七章 计算机病毒防治计算机病毒防治 http:/ 中小学课件网有部分课件由于控制文件大小，内容不完整，请联系购买完整版7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 7.1.1 7.1.1 计算机病毒的概念计算机病毒的概念 1994年年2月月18日，我国正式颁布实施了日，我国正式颁布实施了中华人民共中华人民共和国计算机信息系统安全保护条例和国计算机信息系统安全保护条例，在，在条例条例第二十第二十八条中明确指出：八条中明确指出：“计算机病毒计算机

4、病毒，是指编制或者在计算机，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。使用并能自我复制的一组计算机指令或者程序代码。”此此定义具有定义具有法律效力法律效力和和权威性权威性。计算机病毒赖以生存的基础计算机病毒赖以生存的基础是现代计算机都具有相同是现代计算机都具有相同的工作原理和操作系统的脆弱性，以及网络协议中的安全的工作原理和操作系统的脆弱性，以及网络协议中的安全漏洞。特别是在个人计算机中，系统的基本控制功能对用漏洞。特别是在个人计算机中，系统的基本控制功能对用户是公开的，

5、可以通过调用和修改系统的中断，取得对系户是公开的，可以通过调用和修改系统的中断，取得对系统的控制权，从而对系统程序和其他程序进行任意处理。统的控制权，从而对系统程序和其他程序进行任意处理。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类7.1.2 7.1.2 计算机病毒的发展计算机病毒的发展 从从1986年年出现第一个感染出现第一个感染PC机的计算机病毒开始，机的计算机病毒开始，至今短短至今短短30年，已经经历了年，已经经历了3个阶段个阶段。第一个阶段为。第一个阶段为DOS、Windows等等传统病毒传统病毒，此时编写病毒完全是基，此时编写病毒完全是基于对技术的探求，这一阶段的顶峰

6、应该算是于对技术的探求，这一阶段的顶峰应该算是CIH病毒病毒；第二个阶段为基于第二个阶段为基于Internet的的网络病毒网络病毒，例如，例如“红色代红色代码码”、“冲击波冲击波”、“震荡波震荡波”等病毒皆属于此阶段，等病毒皆属于此阶段，这类病毒往往这类病毒往往利用系统漏洞利用系统漏洞进行世界范围内的大规模进行世界范围内的大规模传播；目前计算机病毒已经发展到了第三阶段，我们传播；目前计算机病毒已经发展到了第三阶段，我们所面临的不再是一个简简单单的病毒，而是集病毒、所面临的不再是一个简简单单的病毒，而是集病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于黑客攻击、木马、间谍软件等多种危害于一身

7、的基于Internet的网络威胁。的网络威胁。7.1.3 7.1.3 计算机病毒的特点计算机病毒的特点 1.发生侵害的主动性发生侵害的主动性 2传染性传染性 3隐蔽性隐蔽性 4表现性表现性 5破坏性破坏性 6难确定性难确定性7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类7.1.4 7.1.4 计算机病毒的分类计算机病毒的分类 1按其破坏性按其破坏性 可分为：良性病毒和恶性病毒。可分为：良性病毒和恶性病毒。2按其传染途径按其传染途径 可分为：驻留内存型病毒和非驻留内存型病毒。可分为：驻留内存型病毒和非驻留内存型病毒。3按连接方式按连接方式 可分为：源码型、入侵型、操作系统型和外壳型

8、病毒。可分为：源码型、入侵型、操作系统型和外壳型病毒。4按寄生方式按寄生方式 可分为：引导型病毒、文件型病毒以及集两种病毒特性于一可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。体的复合型病毒和宏病毒、网络病毒。5其他一些分类方式其他一些分类方式 按照计算机病毒攻击的操作系统；按照计算机病毒激活的时按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。间；按计算机病毒攻击的机型。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类宏病毒宏病毒n 宏病毒是一种寄存在文档或模板的宏中的计算机病宏病毒是一种寄存在文档或模板的宏中

9、的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留于是宏病毒就会被激活，转移到计算机上，并驻留在在Normal模板上。从此以后，所有自动保存的文档模板上。从此以后，所有自动保存的文档都会都会“感染感染”上这种宏病毒，而且如果其他用户打上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算开了感染病毒的文档，宏病毒又会转移到他的计算机上。如果某个文档中包含了宏病毒，我们称此文机上。如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果档感染了宏病毒；如果WORD系统中的模板包含了

10、系统中的模板包含了宏病毒，我们称宏病毒，我们称WORD系统感染了宏病毒。系统感染了宏病毒。宏病毒危害宏病毒危害n主要在以下方面：主要在以下方面：n一、宏病毒的主要破坏一、宏病毒的主要破坏nWORD宏病毒的破坏在两方面：宏病毒的破坏在两方面：n1对对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；复制文件；封闭有关菜单；n文件无法正常编辑。如文件无法正常编辑。如Taiwan No.l Macro病毒每月病毒每月13日发作，所有编写工作无法进行。日发作，所有编写工作无法进行。n2对系

11、统的破坏是：对系统的破坏是：Word Basic语言能够调用系统命令，造成破坏。语言能够调用系统命令，造成破坏。n二、宏病毒隐蔽性强，传播迅速，危害严重，难以防治二、宏病毒隐蔽性强，传播迅速，危害严重，难以防治n与感染普通与感染普通.EXE或或.COM文件的病毒相比，文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。重，难以防治等特点。7.1.5 7.1.5 计算机病毒的危害计算机病毒的危害 1病毒激发对计算机数据信息的直接破坏作用病毒激发对计算机数据信息的直接破坏作用 2占用磁盘空间占用磁盘空间 3抢占系统资源抢占系统资源 4

12、影响计算机的运行速度影响计算机的运行速度7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类7.1.6 7.1.6 计算机病毒的工作机理计算机病毒的工作机理 1计算机病毒的结构计算机病毒的结构 计算机病毒在结构上有着共同性，一般由计算机病毒在结构上有着共同性，一般由引导模块、引导模块、传染模块、触发模块，表现模块传染模块、触发模块，表现模块部分组成。部分组成。2计算机病毒的工作机理计算机病毒的工作机理 因为计算机病毒的传染和发作需要使用一些系统函数因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者往往在不同的平台上是各不相同的，因此及硬件，而后者往往在不同的平台上是各不相同的

13、，因此大多数计算机病毒都是大多数计算机病毒都是针对某种处理器和操作系统针对某种处理器和操作系统编写的。编写的。计算机病毒能够感染的只有可执行代码，按照可执行计算机病毒能够感染的只有可执行代码，按照可执行代码的种类可以将计算机病毒分为代码的种类可以将计算机病毒分为引导型病毒、文件型病引导型病毒、文件型病毒、宏病毒和网络病毒毒、宏病毒和网络病毒四大类。四大类。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 （1）引导型病毒的工作机理引导型病毒的工作机理 引导扇区引导扇区是硬盘或软盘的第一个扇区，是存放引导指是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统的装载

14、起着十分重令的地方，这些引导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在要的作用。一般来说，引导扇区在CPU的运行过程中最先的运行过程中最先获得获得对对CPU的控制权的控制权，病毒一旦控制了引导扇区，也就意，病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。味着病毒控制了整个计算机系统。引导型病毒引导型病毒程序会用自己的代码替换原始的引导扇区程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他扇区中。当系统需信息，并把这些信息转移到磁盘的其他扇区中。当系统需要访问这些引导数据信息时，病毒程序会将系统引导到存要访问这些引导数据信息时，病毒程序会将系统

15、引导到存储这些引导信息的新扇区，从而使系统无法发觉引导信息储这些引导信息的新扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。的转移，增强了病毒自身的隐蔽性。引导型病毒可以将感染进行有效的传播。引导型病毒可以将感染进行有效的传播。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 （2）文件型病毒的工作机理文件型病毒的工作机理 文件型病毒文件型病毒攻击的对象是可执行程序，病毒程序攻击的对象是可执行程序，病毒程序将自己附着或追加在后缀名为将自己附着或追加在后缀名为.exe或或.com的可执行文的可执行文件上。当感染了该类病毒的可执行文件运行时，病毒件上。当感染了该类病毒的

16、可执行文件运行时，病毒程序将在系统中进行它的破坏行动。同时，它将驻留程序将在系统中进行它的破坏行动。同时，它将驻留在内存中，试图感染其他文件。当该类病毒完成了它在内存中，试图感染其他文件。当该类病毒完成了它的工作之后，其宿主程序才得到运行，使一切看起来的工作之后，其宿主程序才得到运行，使一切看起来很正常。很正常。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 （3）宏病毒的工作机理）宏病毒的工作机理 为了减少用户的重复劳作，例如进行相似的操作，为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓提供了一种所谓宏宏的功能。利用这个功能，用的功能。利用这个功能，用户

17、可以把一系列的操作记录下来，作为一个宏。之后户可以把一系列的操作记录下来，作为一个宏。之后只要运行这个宏，计算机就能自动地重复执行那些定只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可的计算机用户，另一方面却也给病毒制造者提供了可乘之机。乘之机。宏病毒宏病毒是一种专门感染是一种专门感染 Office系列文档的恶性病系列文档的恶性病毒。毒。1995年，世界上发现了第一个宏病毒年，世界上发现了第一个宏病毒Concept。由于宏的编程语言由于宏的编程语言VBA简单易

18、学，因此大量的宏病毒简单易学，因此大量的宏病毒层出不穷，短短两年时间其数量就上升至层出不穷，短短两年时间其数量就上升至20000多种多种!7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 （4）网络病毒的工作机理）网络病毒的工作机理 以典型的以典型的“远程探险者远程探险者”（Remote Explorer）病毒）病毒为例，它是为例，它是真正的网络病毒真正的网络病毒，一方面它需要通过网络方一方面它需要通过网络方可实施有效的传播；另一方面，它要想真正地攻入网可实施有效的传播；另一方面，它要想真正地攻入网络（无论是局域网还是广域网），本身必须具备系统络（无论是局域网还是广域网），本身必须

19、具备系统管理员的权限，如果不具备此权限，则它只能够对当管理员的权限，如果不具备此权限，则它只能够对当前被感染的主机中的文件和目录起作用。前被感染的主机中的文件和目录起作用。该病毒仅在该病毒仅在Windows NT Server和和Windows NT Workstation平台上起作用，专门感染平台上起作用，专门感染.exe文件。文件。Remote Explorer的的破坏作用破坏作用主要表现在：加密某些主要表现在：加密某些类型的文件，使其不能再用，并且能够通过局域网或广域类型的文件，使其不能再用，并且能够通过局域网或广域网进行传播。网进行传播。7.1 7.1 计算机病毒的特点与分类计算机病毒

20、的特点与分类7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 2“震荡波震荡波”病毒病毒 2004年年5月月1日，当人们正沉浸在黄金周的快乐之日，当人们正沉浸在黄金周的快乐之中时，一个新的病毒中时，一个新的病毒“震荡波震荡波（Worm.Sasser）”开始在互联网上肆虐。开始在互联网上肆虐。“震荡波震荡波”病毒跟病毒跟“冲击波冲击波”病毒非常类似，它病毒非常类似，它是利用是利用微软的系统漏洞微软的系统漏洞MS04-011进行传播的。用户的进行传播的。用户的计算机一旦感染该病毒，系统将开启上百个线程去攻计算机一旦感染该病毒，系统将开启上百个线程去攻击他人，造成计算机系统运行异常缓慢、

21、网络不畅通，击他人，造成计算机系统运行异常缓慢、网络不畅通，并让系统不停地进行并让系统不停地进行重新启动重新启动。值得注意的是，在值得注意的是，在2004年年4月月13日，微软对此漏日，微软对此漏洞发布过洞发布过级别为严重的安全公告级别为严重的安全公告。7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 如果计算机出现如果计算机出现下列现象之一下列现象之一，则表明该计算机系，则表明该计算机系统可能已经中毒，用户应该立刻采取措施，清除该病统可能已经中毒，用户应该立刻采取措施，清除该病毒。毒。（1）出现系统错误对话框）出现系统错误对话框 （2）系统资源被大量占用）系统资源被大量占用 （3

22、）系统内存中出现名为）系统内存中出现名为avserve的进程的进程 （4）系统目录中出现名为）系统目录中出现名为avserve.exe的病毒文的病毒文件。件。（5）注册表中出现病毒键值）注册表中出现病毒键值 7.1 7.1 计算机病毒的特点与分类计算机病毒的特点与分类 3电子邮件病毒电子邮件病毒 所谓所谓电子邮件病毒电子邮件病毒，就是以电子邮件方式作为传，就是以电子邮件方式作为传播途径的计算机病毒。播途径的计算机病毒。该类病毒的该类病毒的特点特点如下：如下：（1）电子邮件可以夹带任何类型的文件，夹带的）电子邮件可以夹带任何类型的文件，夹带的文件可能带毒。文件可能带毒。（2）有些计算机病毒，能自

23、动通过电子邮件进行）有些计算机病毒，能自动通过电子邮件进行传染、扩散。传染、扩散。病毒病毒通过电子邮件传播通过电子邮件传播，具有以下两个，具有以下两个特点特点：（1）速度快，范围广。）速度快，范围广。（2）破坏力大。）破坏力大。7.2.1 7.2.1 常见的恶意代码常见的恶意代码 7.2 7.2 恶意代码恶意代码恶意代码需要宿主的程序可以独立运行的程序后门逻辑炸弹特洛伊木马病毒细菌蠕虫复制图图7-3 恶意代码分类示意图恶意代码分类示意图 1后门（后门（Backdoor）2逻辑炸弹（逻辑炸弹（Logic Bomb）3特洛伊木马（特洛伊木马（Trojan Horse）4病毒（病毒（Virus）5蠕

24、虫（蠕虫（Worm）7.2 7.2 恶意代码恶意代码 7.2.2 7.2.2 木马木马 1木马病毒概述木马病毒概述 “特洛伊木马特洛伊木马”的英文名称为的英文名称为Trojan Horse（其名称（其名称取自希腊神话的取自希腊神话的特洛伊木马记特洛伊木马记），是指表面看上去对），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。性是隐蔽的。计算机中的木马计算机中的木马是一种基于远程控制的黑客工具，采是一种基于远程控制的黑客工具，采用客户机用客户机/服务器工作模式。它通常包含服务器工作模式。它通常包含控制端控制端和和被

25、控制端被控制端两部分。两部分。被控制端的木马程序一旦植入受害者的计算机被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。端和被控制端通过网络进行交互。7.2 7.2 恶意代码恶意代码 木马的木马的运行运行，可以采用以下，可以采用以下3种模式种模式。（1）潜伏在正常的程序应用中，附

26、带执行独立的）潜伏在正常的程序应用中，附带执行独立的恶意操作。恶意操作。（2）潜伏在正常的程序应用中，但会修改正常的）潜伏在正常的程序应用中，但会修改正常的应用进行恶意操作。应用进行恶意操作。（3）完全覆盖正常的程序应用，执行恶意操作。）完全覆盖正常的程序应用，执行恶意操作。7.2 7.2 恶意代码恶意代码 2木马的木马的特点特点 木马具有木马具有隐蔽性隐蔽性和和非授权性非授权性的特点。的特点。所谓所谓隐蔽性隐蔽性，是指，是指木马的设计者为了防止木马被木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。发现，会采用多种手段隐藏木马。这样，被控制端即这样，被控制端即使发现感染了木马，也不能确

27、定其准确的位置。使发现感染了木马，也不能确定其准确的位置。所谓所谓非授权性非授权性，是指，是指一旦控制端与被控制端连接一旦控制端与被控制端连接后，控制端将享有被控制端的大部分操作权限，包括后，控制端将享有被控制端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被控制端赋予的，而是通过木马程序窃取的力并不是被控制端赋予的，而是通过木马程序窃取的。7.2 7.2 恶意代码恶意代码 2木马的工作过程木马的工作过程 木马木马对网络主机的入侵过程对网络主机的入侵过程，可大致分为，可大致分为6个步骤个步骤。（1）配置木马）配置木马

28、（2）传播木马）传播木马 （3）运行木马）运行木马 （4）信息泄露）信息泄露 （5）连接建立）连接建立 （6）远程控制）远程控制 7.2 7.2 恶意代码恶意代码 4木马的危害木马的危害 木马是一种木马是一种远程控制工具远程控制工具，以简便、易行、有效，以简便、易行、有效而深受黑客青睐。而深受黑客青睐。木马主要以网络为依托进行传播，木马主要以网络为依托进行传播，窃取用户隐私资料是其主要目的；而且多具有引诱性窃取用户隐私资料是其主要目的；而且多具有引诱性与欺骗性，是病毒新的危害趋势与欺骗性，是病毒新的危害趋势。木马可以说是一种木马可以说是一种后门程序后门程序，它会在受害者的计，它会在受害者的计算

29、机系统里打开一个算机系统里打开一个“后门后门”，黑客经由这个被打开，黑客经由这个被打开的特定的特定“后门后门”进入系统，然后就可以随心所欲地操进入系统，然后就可以随心所欲地操纵计算机了。纵计算机了。木马不仅是一般黑客的常用工具，更是木马不仅是一般黑客的常用工具，更是网上情报网上情报刺探的一种主要手段刺探的一种主要手段，对国家安全造成了巨大威胁。，对国家安全造成了巨大威胁。7.2 7.2 恶意代码恶意代码 2004年国内年国内危害最严重危害最严重的的10种木马是：种木马是：QQ木马、木马、网银木马、网银木马、MSN木马、传奇木马、剑网木马、木马、传奇木马、剑网木马、BOT系系列木马、灰鸽子、蜜蜂

30、大盗、黑洞木马、广告木马。列木马、灰鸽子、蜜蜂大盗、黑洞木马、广告木马。这些木马会随着电子邮件、即时通信工具、网页浏览这些木马会随着电子邮件、即时通信工具、网页浏览等方式感染用户计算机。系统漏洞就像给了木马一把等方式感染用户计算机。系统漏洞就像给了木马一把钥匙，使它能够很轻易地在计算机中潜伏下来，达到钥匙，使它能够很轻易地在计算机中潜伏下来，达到其窃取隐私信息的险恶目的。其窃取隐私信息的险恶目的。根据木马的特点及其危害范围，可将其分为根据木马的特点及其危害范围，可将其分为针对针对网络游戏的木马、针对网上银行的木马、针对即时通信工网络游戏的木马、针对网上银行的木马、针对即时通信工具的木马、给计算

31、机开后门的木马和推广广告的木马具的木马、给计算机开后门的木马和推广广告的木马等五等五大类别。大类别。7.2 7.2 恶意代码恶意代码 5木马的检测和清除木马的检测和清除 可以通过可以通过查看系统端口开放的情况、系统服务情查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等及运行速度有无异常等对木马进行对木马进行检测检测，检测到计算，检测到计算机感染木马后，就要机感染木马后，就要根据木马的特征根据木马的特征来进行来进行清除清除；此；此外，也可外，也可查看是否有可疑的启动程序、可疑的进程存查看是否有可疑的

32、启动程序、可疑的进程存在，是否修改了在，是否修改了Win.ini、System.ini系统配置文件和系统配置文件和注册表注册表，如果存在可疑的程序和进程，则按照特定的，如果存在可疑的程序和进程，则按照特定的方法进行清除。方法进行清除。7.2 7.2 恶意代码恶意代码 （1）查看开放端口）查看开放端口 （2）查看和恢复）查看和恢复Win.ini和和System.ini系统配置文件系统配置文件 （3）查看启动程序并删除可疑的启动程序）查看启动程序并删除可疑的启动程序 （4）查看系统进程并停止可疑的系统进程）查看系统进程并停止可疑的系统进程 （5）查看和还原注册表）查看和还原注册表 （6）使用杀毒软

33、件和木马查杀工具检测和清除木马）使用杀毒软件和木马查杀工具检测和清除木马7.2 7.2 恶意代码恶意代码 手工查杀木马手工查杀木马的方法如下：的方法如下：（1）检查注册表）检查注册表 （2）检查启动组）检查启动组 （3）查看）查看Win.ini和和System.ini （4）查看）查看C:WINDOWSwinstart.bat和和C:WINDOWSwininit.ini （5）查看可执行文件）查看可执行文件7.2 7.2 恶意代码恶意代码 6木马的木马的预防预防 （1）不随意打开来历不明的电子邮件，阻塞可疑）不随意打开来历不明的电子邮件，阻塞可疑邮件邮件 （2）不随意下载来历不明的软件）不随意

34、下载来历不明的软件 （3）及时修补漏洞和关闭可疑的端口）及时修补漏洞和关闭可疑的端口 （4）尽量少用共享文件夹）尽量少用共享文件夹 （5）运行实时监控程序）运行实时监控程序 （6）经常升级系统和更新病毒库）经常升级系统和更新病毒库 （7）限制使用不必要的具有传输能力的文件）限制使用不必要的具有传输能力的文件7.2 7.2 恶意代码恶意代码 7.2.2 7.2.2 蠕虫蠕虫 1蠕虫的定义蠕虫的定义 蠕虫病毒和普通病毒有着很大的区别蠕虫病毒和普通病毒有着很大的区别。普通病毒普通病毒主要是感染文件和引导区，而蠕虫则是一种通过网络主要是感染文件和引导区，而蠕虫则是一种通过网络进行传播的恶性代码。进行传

35、播的恶性代码。它具有普通病毒的一些它具有普通病毒的一些共性共性，例如例如传播性、隐蔽性、破坏性传播性、隐蔽性、破坏性等；同时也具有一些自等；同时也具有一些自己的特征，例如己的特征，例如不利用文件寄生、可对网络造成拒绝不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合服务、与黑客技术相结合等。蠕虫的等。蠕虫的传染目标传染目标是是网络网络内的所有计算机内的所有计算机。在。在破坏性破坏性上，蠕虫病毒也不是普通上，蠕虫病毒也不是普通病毒所能比的，病毒所能比的，网络的发展使得蠕虫可以在短短的时网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络，造成网络瘫痪间内蔓延到整个网络，造成网络瘫痪。7.2 7

36、.2 恶意代码恶意代码7.2 7.2 恶意代码恶意代码表表7-1 蠕虫病毒与一般病毒的区别蠕虫病毒与一般病毒的区别普普 通通 病病 毒毒蠕蠕 虫虫 病病 毒毒存在形式存在形式寄存文件寄存文件独立程序独立程序传染机制传染机制宿主程序运行宿主程序运行主动攻击主动攻击传染目标传染目标本地文件本地文件网络计算机网络计算机 2蠕虫的分类蠕虫的分类 （1）根据使用者情况的不同，可将蠕虫病毒分为两类，）根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。面向企业用户的蠕虫病毒面向企业用户的蠕虫病毒利用利用系统漏洞系统

37、漏洞，主动进行攻，主动进行攻击，可以对整个网络造成瘫痪性的后果，以击，可以对整个网络造成瘫痪性的后果，以“红色代码红色代码”、“尼姆达尼姆达”、“SQL蠕虫王蠕虫王”为代表；为代表；面向个人用户的蠕虫面向个人用户的蠕虫病毒病毒通过通过网络网络（主要是电子邮件、恶意网页形式等）迅速传（主要是电子邮件、恶意网页形式等）迅速传播，以播，以“爱虫爱虫”、“求职信求职信”蠕虫为代表。蠕虫为代表。（2）按其）按其传播和攻击特征传播和攻击特征，可将蠕虫病毒分为，可将蠕虫病毒分为3类，即类，即漏洞蠕虫、邮件蠕虫和传统蠕虫漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。病毒。其中以利用系统漏洞进行破坏的蠕虫病毒最多，占蠕虫其

38、中以利用系统漏洞进行破坏的蠕虫病毒最多，占蠕虫病毒总数量的病毒总数量的69%；邮件蠕虫居第二位，占蠕虫病毒总数量；邮件蠕虫居第二位，占蠕虫病毒总数量的的27%；其他传统蠕虫病毒占；其他传统蠕虫病毒占4%。7.2 7.2 恶意代码恶意代码n 蠕虫病毒是一种常见的计算机病毒。它的传染机理蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在和电子邮件。最初的蠕虫病毒定义是因为在DOS环环境下，病毒发作时会在屏幕上出现一条类似虫子的境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱

39、吞吃屏幕上的字母并将其改形。蠕虫病东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序，它能传播自身功能的拷贝或自毒是自包含的程序，它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中。身的某些部分到其他的计算机系统中。n!蠕虫病毒：一种自身复制并干涉软件功能或破坏储蠕虫病毒：一种自身复制并干涉软件功能或破坏储存信息的程序存信息的程序n 比如危害很大的比如危害很大的“尼姆亚尼姆亚”病毒就是蠕虫病毒的一病毒就是蠕虫病毒的一种，种，2006年年春天流行年年春天流行“熊猫烧香熊猫烧香”以及其变种也以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的是蠕虫病毒。这一病毒利用了微软视窗

40、操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。播，最终破坏用户的大部分重要数据。4蠕虫的传播蠕虫的传播 蠕虫程序的一般蠕虫程序的一般传播过程传播过程如下：如下：（1）扫描。扫描。由蠕虫的扫描功能模块负责收集目标主机由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点。当程序向某个主机发的信息，寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个送探测漏洞的信息并收到成功

41、的反馈信息后，就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操作系统类型、主机名、用户名、开放的机，探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。端口、开放的服务、开放的服务器软件版本等。（2）攻击。攻击。攻击模块按步骤自动攻击前面扫描中找到攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得的对象，取得该主机的权限（一般为管理员权限），获得一个一个Shell。（3）复制。复制。复制模块通过原主机和新主机的交互将蠕复制模块通过原主机和新主机的

42、交互将蠕虫程序复制到新主机中并启动。虫程序复制到新主机中并启动。7.2 7.2 恶意代码恶意代码 5蠕虫的蠕虫的破坏性破坏性 病病 毒毒 名名 称称发发 作作 时时 间间特点及造成损失特点及造成损失莫里斯蠕虫莫里斯蠕虫1988年年6000多台计算机停机，直接经济损失高达多台计算机停机，直接经济损失高达9600万美元万美元美丽莎美丽莎1999年年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元亿美元爱虫病毒爱虫病毒2000年年5月月众多用户计算机被感染，损失超过众多用户计算机被感染，损失超过100亿美元以上亿美元以上红色代码红

43、色代码2001年年8月月网络瘫痪，直接经济损失超过网络瘫痪，直接经济损失超过26亿美元亿美元尼姆达尼姆达2001年年9月月通过电子邮件、网络共享、通过电子邮件、网络共享、IIS漏洞和网络浏览等多途径传播，漏洞和网络浏览等多途径传播，造成众多网络瘫痪造成众多网络瘫痪求职信求职信2001年年10月月大量病毒邮件堵塞服务器，损失达数百亿美元大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王蠕虫王2003年年1月月网络大面积瘫痪，银行自动取款机运行中断，直接经济损失超过网络大面积瘫痪，银行自动取款机运行中断，直接经济损失超过26亿美元亿美元冲击波冲击波2003年年8月月利用利用RPC漏洞传播，并相继

44、出现了病毒变种和一系列利用漏洞传播，并相继出现了病毒变种和一系列利用RPC漏漏洞传播的病毒。数日内，国内数百万台计算机被攻击洞传播的病毒。数日内，国内数百万台计算机被攻击震荡波震荡波2004年年5月月1日日三天内出现第二个变种，破坏性超过三天内出现第二个变种，破坏性超过“冲击波冲击波”病毒，全球各地病毒，全球各地上百万用户遭到攻击，并造成重大损失上百万用户遭到攻击，并造成重大损失7.2 7.2 恶意代码恶意代码 6蠕虫的蠕虫的特点特点 蠕虫病毒具有以下蠕虫病毒具有以下特点特点。（1）传播迅速，难以清除。）传播迅速，难以清除。（2）利用操作系统和应用程序的漏洞主动进行攻击。）利用操作系统和应用程

45、序的漏洞主动进行攻击。（3）传播方式多样。）传播方式多样。（4）病毒制作技术与传统的病毒不同。）病毒制作技术与传统的病毒不同。（5）与黑客技术相结合。）与黑客技术相结合。7.2 7.2 恶意代码恶意代码 7蠕虫病毒的防范蠕虫病毒的防范 与普通病毒不同，蠕虫病毒往往能够利用漏洞与普通病毒不同，蠕虫病毒往往能够利用漏洞来入侵、传播。这里的来入侵、传播。这里的漏洞漏洞（或者说是缺陷）分为（或者说是缺陷）分为软件缺陷和人为缺陷两类。软件缺陷和人为缺陷两类。软件缺陷软件缺陷（例如远程溢（例如远程溢出、微软出、微软IE和和Outlook的自动执行漏洞等）需要软的自动执行漏洞等）需要软件厂商和用户共同配合，

46、不断地升级软件来解决。件厂商和用户共同配合，不断地升级软件来解决。人为缺陷人为缺陷主要是指计算机用户的疏忽。主要是指计算机用户的疏忽。对于企业用户来说，威胁主要集中在服务器和大型对于企业用户来说，威胁主要集中在服务器和大型应用软件上；而对个人用户，主要是防范第二种缺陷。应用软件上；而对个人用户，主要是防范第二种缺陷。7.2 7.2 恶意代码恶意代码 （1）企业类蠕虫病毒的防范）企业类蠕虫病毒的防范 当前，企业网络主要应用于文件和打印服务共当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业管理信息系统享、办公自动化系统、企业管理信息系统MIS、Internet应用等领域。网络具有便

47、利的信息交换特应用等领域。网络具有便利的信息交换特性，蠕虫病毒也可以充分利用网络快速传播以达到性，蠕虫病毒也可以充分利用网络快速传播以达到其阻塞网络的目的。企业在充分利用网络进行业务其阻塞网络的目的。企业在充分利用网络进行业务处理的同时，也要考虑病毒的防范问题，以保证关处理的同时，也要考虑病毒的防范问题，以保证关系企业命运的业务数据的完整性和可用性。系企业命运的业务数据的完整性和可用性。企业防治蠕虫病毒需要考虑病毒的查杀能力、企业防治蠕虫病毒需要考虑病毒的查杀能力、病毒的监控能力和新病毒的反应能力等几个问题。病毒的监控能力和新病毒的反应能力等几个问题。企业防病毒的一个重要方面就是企业防病毒的一

48、个重要方面就是管理策略管理策略。7.2 7.2 恶意代码恶意代码 建议企业防范蠕虫病毒的策略如下：建议企业防范蠕虫病毒的策略如下：加强网络管理员的安全管理水平，提高安全加强网络管理员的安全管理水平，提高安全意识。意识。建立病毒检测系统，能够在第一时间内检测建立病毒检测系统，能够在第一时间内检测到网络的异常和病毒的攻击。到网络的异常和病毒的攻击。建立应急响应系统，将风险降到最低。建立应急响应系统，将风险降到最低。建立备份和容灾系统，对于数据库和数据系建立备份和容灾系统，对于数据库和数据系统，必须采用定期备份、多机备份和容灾等措施，统，必须采用定期备份、多机备份和容灾等措施，防止意外灾难下的数据丢

49、失。防止意外灾难下的数据丢失。7.2 7.2 恶意代码恶意代码 （2）个人用户蠕虫病毒的分析和防范）个人用户蠕虫病毒的分析和防范 对于个人用户而言，威胁大的蠕虫病毒一般采取电对于个人用户而言，威胁大的蠕虫病毒一般采取电子邮件和恶意网页传播方式。这些蠕虫病毒对个人用户子邮件和恶意网页传播方式。这些蠕虫病毒对个人用户的威胁最大，同时也最难以根除，造成的损失也更大。的威胁最大，同时也最难以根除，造成的损失也更大。网络蠕虫对个人用户的攻击主要还是通过社会工程网络蠕虫对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞，所以学，而不是利用系统漏洞，所以防范此类病毒防范此类病毒需要注意需要注意以下几

50、点。以下几点。购买合适的杀毒软件。购买合适的杀毒软件。经常升级病毒库。经常升级病毒库。提高防杀病毒意识。提高防杀病毒意识。不随意查看陌生邮件，尤其是带有附件的邮件。不随意查看陌生邮件，尤其是带有附件的邮件。7.2 7.2 恶意代码恶意代码 7.3.1 7.3.1 计算机病毒的传播途径计算机病毒的传播途径 计算机病毒是通过某个入侵点进入系统进行传染计算机病毒是通过某个入侵点进入系统进行传染的。的。最常见的入侵点最常见的入侵点是从工作站传到工作站的软盘或是从工作站传到工作站的软盘或U盘等移动存储设备。盘等移动存储设备。在网络中可能的入侵点还有服务在网络中可能的入侵点还有服务器、器、E-mail、B

51、BS上上/下载的文件、下载的文件、WWW站点、站点、FTP文件下载、网络共享文件及常规的网络通信、盗版软文件下载、网络共享文件及常规的网络通信、盗版软件、示范软件、计算机实验室和其他共享设备。件、示范软件、计算机实验室和其他共享设备。病毒传播进入系统的病毒传播进入系统的途径途径主要有以下主要有以下3种：种：1通过计算机网络进行传播通过计算机网络进行传播 2通过移动存储设备来进行传播通过移动存储设备来进行传播 3通过通信系统进行传播通过通信系统进行传播7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 7.3.3 7.3.3 病毒预防病毒预防 1使用正版软件使用正版软件 2从可靠渠道下

52、载软件从可靠渠道下载软件 3安装防病毒软件、防火墙等防病毒工具，准安装防病毒软件、防火墙等防病毒工具，准备一套具有查毒、防毒、杀毒及修复系统的工具软备一套具有查毒、防毒、杀毒及修复系统的工具软件，并定期对软件进行升级、对系统进行查毒件，并定期对软件进行升级、对系统进行查毒。4对电子邮件提高警惕对电子邮件提高警惕 5经常对系统中的文件进行备份经常对系统中的文件进行备份 6备好启动盘，并设置写保护备好启动盘，并设置写保护7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 7开机时使用本地硬盘开机时使用本地硬盘 8做好系统配置做好系统配置 9尽量做到专机专用尽量做到专机专用 10新购置的计

53、算机软件或硬件也要先查毒再新购置的计算机软件或硬件也要先查毒再使用使用 11使用复杂的密码使用复杂的密码 12注意自己的机器最近有无异常注意自己的机器最近有无异常 13了解一些病毒知识了解一些病毒知识 7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 7.3.4 7.3.4 病毒检测病毒检测 病毒检测病毒检测就是要在特定的系统环境中，通过各就是要在特定的系统环境中，通过各种检测手段来识别病毒，并对可疑的异常情况进行种检测手段来识别病毒，并对可疑的异常情况进行报警。病毒检测主要是通过报警。病毒检测主要是通过病毒扫描、系统完整性检病毒扫描、系统完整性检查、分析法、校验和法和行为封锁法查

54、、分析法、校验和法和行为封锁法等等5种手段进行。种手段进行。1病毒扫描病毒扫描 这是这是早期早期使用得较多的一种病毒检测手段。使用得较多的一种病毒检测手段。病毒扫描一般通过下面两种病毒扫描一般通过下面两种方法方法进行：进行：（1）将原始备份与检测的对象进行比较）将原始备份与检测的对象进行比较 （2）寻找病毒特征）寻找病毒特征7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 2系统完整性检查系统完整性检查 这种防病毒软件利用病毒行为对文件或系统所这种防病毒软件利用病毒行为对文件或系统所产生的影响，即病毒对文件或系统做了些什么，来产生的影响，即病毒对文件或系统做了些什么，来发现和确定病

55、毒。发现和确定病毒。这种方法的这种方法的主要缺点主要缺点是：病毒必须已经对文件或是：病毒必须已经对文件或系统进行了破坏，系统完整性检查程序才能发现病系统进行了破坏，系统完整性检查程序才能发现病毒。因此，如果系统在安装这种软件之前已经感染，毒。因此，如果系统在安装这种软件之前已经感染，或者病毒仍处于潜伏期，则系统完整性检查程序就或者病毒仍处于潜伏期，则系统完整性检查程序就无能为力了。无能为力了。此外，这种方法也可能会对某些正常操作产生此外，这种方法也可能会对某些正常操作产生较多的较多的“误诊误诊”。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 3分析法分析法 使用分析法的使用分析

56、法的步骤步骤如下：如下：（1）确认被观察的磁盘引导扇区和程序中是否含）确认被观察的磁盘引导扇区和程序中是否含有计算机病毒。有计算机病毒。（2）确认计算机病毒的类型，判断其是否是一种）确认计算机病毒的类型，判断其是否是一种新型的计算机病毒。新型的计算机病毒。（3）弄清计算机病毒体的大致结构，提取用于特）弄清计算机病毒体的大致结构，提取用于特征识别的字节串或特征字，并将其添加到计算机病征识别的字节串或特征字，并将其添加到计算机病毒代码库中，供病毒扫描和识别程序使用。毒代码库中，供病毒扫描和识别程序使用。（4）详细分析计算机病毒代码，为相应的防杀计）详细分析计算机病毒代码，为相应的防杀计算机病毒措施

57、制定方案。算机病毒措施制定方案。分析病毒的过程有分析病毒的过程有静态分析静态分析和和动态分析动态分析两类。两类。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 4校验和法校验和法 对正常文件的内容，计算其校验和，将该校验对正常文件的内容，计算其校验和，将该校验和写入此文件或其他文件中保存，在文件使用过程和写入此文件或其他文件中保存，在文件使用过程中或使用之前，定期地检查由现有内容算出的校验中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而发现文件是和与原来保存的校验和是否一致，从而发现文件是否被感染，这种方法称为否被感染，这种方法称为校验和法校验和法。

58、使用校验和法的使用校验和法的优点优点是方法简单，能发现未知是方法简单，能发现未知病毒，也能发现被查文件的细微变化；病毒，也能发现被查文件的细微变化；缺点缺点是有误是有误报警、不能识别病毒类型和名称、不能对付隐蔽型报警、不能识别病毒类型和名称、不能对付隐蔽型病毒。病毒。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 5行为封锁法行为封锁法 行为封锁型软件行为封锁型软件采用驻留内存后台工作的方式，采用驻留内存后台工作的方式，监视可能因病毒引起的异常行为。如发现异常行为，监视可能因病毒引起的异常行为。如发现异常行为，便及时报告用户，由用户决定其行为是否继续。此便及时报告用户，由用户决定

59、其行为是否继续。此类软件试图阻止任何病毒的异常行为，因此可防止类软件试图阻止任何病毒的异常行为，因此可防止新型未知病毒的传播和破坏。当然，有时被认为的新型未知病毒的传播和破坏。当然，有时被认为的“可疑行为可疑行为”是正常的，所以出现误报是难免的。是正常的，所以出现误报是难免的。此类技术的进一步发展方向是成为此类技术的进一步发展方向是成为智能探测器智能探测器。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 7.3.5 7.3.5 病毒清除病毒清除 1清除方法清除方法 预防和发现病毒是非常重要的，但是一旦发现文件或预防和发现病毒是非常重要的，但是一旦发现文件或系统已经感染了病毒，显然

60、这时要做的第一件事就是进行系统已经感染了病毒，显然这时要做的第一件事就是进行杀毒。因为病毒也是程序，所以可以使用多种不同的方法杀毒。因为病毒也是程序，所以可以使用多种不同的方法进行杀毒处理，例如使用进行杀毒处理，例如使用DOS的的DEL命令，或者使用一个命令，或者使用一个商业化的防病毒软件。商业化的防病毒软件。现在，许多防病毒软件都采用了现在，许多防病毒软件都采用了实时扫描技术实时扫描技术。网络中的病毒活动状况网络中的病毒活动状况对于网络管理员来说是非常重对于网络管理员来说是非常重要的。通过了解网络中的病毒活动情况，网络管理员可以要的。通过了解网络中的病毒活动情况，网络管理员可以了解哪些病毒活

61、动比较频繁、哪些计算机或者用户的文件了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及病毒的具体特征等，以便修改病毒比较容易感染病毒以及病毒的具体特征等，以便修改病毒防范策略以及了解病毒的来源情况，方便进行用户、文件防范策略以及了解病毒的来源情况，方便进行用户、文件资源的安全管理。资源的安全管理。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 2著名杀毒公司的站点网址著名杀毒公司的站点网址 站点或公司名称站点或公司名称启明星辰启明星辰瑞星公司瑞星公司北京江民新技术公司北京江民新技术公司junipersonicwall赛门铁克赛门铁克飞塔飞塔网神网神思科思科7.

62、3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 3染毒后的紧急处理染毒后的紧急处理 （1）隔离。）隔离。（2）报警。）报警。（3）查毒源。）查毒源。（4）采取应对方法和对策。）采取应对方法和对策。（5）修复前备份数据。）修复前备份数据。（6）清除病毒。）清除病毒。（7）重启和恢复。）重启和恢复。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 7.3.6 7.3.6 病毒防治软件介绍病毒防治软件介绍 1常用病毒防治软件简介常用病毒防治软件简介 （1）国际品牌级）国际品牌级 卡巴斯基。卡巴斯基。诺顿。诺顿。NOD32。（2）国产品牌级）国产品牌级 国产防病毒软件占有了国内国

63、产防病毒软件占有了国内80%的市场，其中的市场，其中包括包括江民江民KV系列、金山毒霸、瑞星杀毒软件、熊猫卫士系列、金山毒霸、瑞星杀毒软件、熊猫卫士等一批优秀的品牌等一批优秀的品牌。7.3 7.3 计算机病毒的检测与清除计算机病毒的检测与清除 7.4.1 7.4.1 网络病毒的检测与清除方法网络病毒的检测与清除方法 计算机网络病毒实际上是一个笼统的概念。一计算机网络病毒实际上是一个笼统的概念。一种情况是，种情况是，计算机网络病毒计算机网络病毒专指在网络上传播并对网专指在网络上传播并对网络进行破坏的病毒；另一种情况是，计算机网络病络进行破坏的病毒；另一种情况是，计算机网络病毒指的是毒指的是HTM

64、L病毒、病毒、E-mail病毒、病毒、Java病毒等与病毒等与Internet有关的病毒。有关的病毒。1网络病毒的传播方式网络病毒的传播方式 事实上，并不是所有的病毒都能够通过计算机事实上，并不是所有的病毒都能够通过计算机网络进行传播。网络进行传播。网络病毒的出现和传播成为当前影响网络病毒的出现和传播成为当前影响Internet正正常运转的主要障碍。网络病毒首先来自于常运转的主要障碍。网络病毒首先来自于文件下载文件下载。7.4 7.4 典型计算机病毒的检测与清除典型计算机病毒的检测与清除 网络病毒的另一种主要来源是网络病毒的另一种主要来源是电子邮件电子邮件。随着随着即时聊天工具即时聊天工具的流

65、行，通过聊天工具进行病的流行，通过聊天工具进行病毒传播成为网络病毒传播的第三大途径。毒传播成为网络病毒传播的第三大途径。蠕虫病毒蠕虫病毒则是利用系统漏洞进行传播的一种网则是利用系统漏洞进行传播的一种网络病毒。络病毒。2网络病毒的特点网络病毒的特点 计算机网络的主要特点是计算机网络的主要特点是资源共享资源共享，一旦共享，一旦共享资源感染上病毒，网络各节点间信息的频繁传输将资源感染上病毒，网络各节点间信息的频繁传输将把病毒传染到共享的所有机器上，从而形成多种共把病毒传染到共享的所有机器上，从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作享资源的交叉感染。病毒的迅速传播、再生、发作将造成比

66、单机病毒更大的危害。将造成比单机病毒更大的危害。7.4 7.4 典型计算机病毒的检测与清除典型计算机病毒的检测与清除 网络病毒的另一种主要来源是网络病毒的另一种主要来源是电子邮件电子邮件。在网络环境中，网络病毒除了具有可传播性、在网络环境中，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的可执行性、破坏性、可触发性等计算机病毒的共性共性外，外，还具有如下一些还具有如下一些新特点新特点。（1）感染速度快。）感染速度快。（2）扩散面广。）扩散面广。（3）传播的形式复杂多样。）传播的形式复杂多样。（4）难以彻底清除。）难以彻底清除。（5）破坏性大。）破坏性大。7.4 7.4 典型计算机病毒的检测与清除典型计算机病毒的检测与清除 3网络防病毒技术网络防病毒技术 目前成熟的防病毒软件已经可以做到对所有的目前成熟的防病毒软件已经可以做到对所有的已知病毒进行预防和清除，例如瑞星、已知病毒进行预防和清除，例如瑞星、KV、KILL、诺顿、金山毒霸等。诺顿、金山毒霸等。（1）实时监视技术实时监视技术 实时监视技术通过实时监视技术通过修改操作系统修改操作系统，使操作系统，使操作系统本身具备