教学目标

了解计算机病毒的特性和分类 　 了解计算机病毒的识别和防治

教学内容

计算机病毒的特性和分类 　 　     一些常见操作系统防范的措施以及还存在着的隐患。 　 计算机病毒的识别及防治 　 　     存放在计算机中的数据价值极高，它们时刻受到各个方面的威胁。这些威胁可能导致数据被非法复制、修改或者丢失。而数据一旦被非法复制、修改或者丢失，将对数据的拥有者带来不可估量的损失。所以人们通过数据加密和数据备份来保护自己的数据。 　 网络病毒的识别及防治 　 　 　　对于病毒，可以用杀毒软件来防治，采用防火墙技术防范黑客的入侵。

重点/难点

病毒的识别和防治

计算机病毒的特性和分类

1. 计算机病毒的概念 　　广义上讲，凡是能够引起计算机故障、破坏计算机数据的程序均可称为计算机病毒。我国在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。该定义具有法律性和权威性。 　　2. 计算机病毒的特性 　　计算机病毒具有以下特性。 　☆　传染性：病毒可自我复制和自动传播，这是计算机病毒的基本特征。 　☆　破坏性：病毒入侵计算机，会导致机器变慢、系统崩溃、文件丢失、网络瘫痪等，甚至会格式化硬盘，损害硬件，给用户带来巨大损失。 　☆　隐蔽性：病毒常常附加在正常的程序中，或者以隐含文件形式出现。普通的用户无法发觉病毒。一些病毒还会自己变形，悄悄躲藏在计算机中。 　☆　潜伏性：多数的病毒都有潜伏期。在潜伏期内，病毒快速传染，但不破坏文件。等到适当的触发条件出现，病毒开始兴风作浪。 　☆　未经授权而执行：病毒常常窃取系统的控制权，优先于正常程序执行。病毒的目的、动作对用户来说是未知的，是未经用户许可的。 　☆　不可预知性：病毒对杀毒软件来说永远是超前的。病毒变化多端，新的病毒的表现存在不可预知性。 　　3. 计算机病毒的分类 　　计算机病毒按传染方式可分为系统引导病毒、文件型病毒、复合型病毒、宏病毒等。 　　(1) 系统引导病毒：系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒感染软盘中的引导区，蔓延到用户硬盘，并能感染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染，病毒就试图感染每一个插入计算机的软盘的引导区。 　　(2) 文件型病毒：文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时，感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。如CIH病毒。 　　(3) 复合型病毒：复合型病毒有引导区型病毒和文件型病毒两者的特征。因此扩大了传染途径。 　　(4) 宏病毒：宏病毒一般是寄存在Microsoft Office文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。 　　计算机病毒按破坏性可分为良性病毒和恶性病毒。良性病毒不会对计算机产生恶意的破坏，只是显示某一句话炫耀技巧。恶性病毒则对计算机产生恶意的破坏，目前大多数病毒都是恶性病毒。

计算机病毒的识别及防治

1. 计算机病毒引起的异常现象 　　假如计算机有以下的异常现象，用户要考虑可能是有病毒。 　☆　程序装入时间比平时长，运行异常； 　☆　有规律的发现异常信息； 　☆　用户访问设备（例如打印机）时发现异常情况，如打印机不能联机或打印符号异常； 　☆　磁盘的空间突然变小了，或不识别磁盘设备； 　☆　程序和数据神秘的丢失了，文件名不能辨认； 　☆　显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）； 　☆　机器经常出现死机现象或不能正常启动； 　☆　发现可执行文件的大小发生变化或发现不知来源的隐藏文件。 　　2. 预防病毒 　　计算机病毒的预防要做到管理与技术相结合。出现病毒后进行消除只是一种被动的补救措施，只有做到行动上防毒才能防患于未然。 　☆　管理手段：专机专用，特别是重要的机器要防止无关人员上机。只使用规定的干净的软盘，避免使用外来的软盘。关键重要的机器要与互联网物理上隔离。不要随便打开陌生人发来的电子邮件。 　☆　技术手段：安装正版软件，不用盗版软件。安装杀毒软件，并且定期升级，更新病毒代码库。正确配置系统，定期检查敏感文件。 　　3. 清除病毒 　　一旦怀疑计算机中了病毒，应该采取有效措施，建议采用以下方法： 　　(1) 备份自己的重要数据和文件。因为即使文件已经被病毒感染，也要以防万一杀毒失败造成文件不可使用。 　　(2) 马上杀毒。最好用正版的杀毒软件，并且保证该软件的病毒代码库为最新版本。杀毒软件要设置为对引导区、内存、邮件和所有本地磁盘彻底杀毒。最好先杀一次，启动，重新再杀毒一次。 　　(3) 若是杀毒结束后仍然怀疑有未清除的病毒，就停止使用该计算机。把病毒向病毒监测中心汇报，最好把怀疑样本送到反病毒研究中心。 　　4. 常用杀毒软件简介 　　(1) 瑞星杀毒软件 　　瑞星杀毒软件是北京瑞星科技股份有限公司设计开发的。它采用了多项新技术，有效提升了对未知病毒、变种病毒、木马和恶意网页的查杀能力，在降低系统资源消耗、提升杀毒速度、快速智能升级等多方面进行了改进。 　　瑞星提供的注册表修复工具，可以快速修复被病毒、恶意网页篡改的注册表内容，排除故障，保障系统安全稳定。 　　瑞星安全助手可以在 Office 2000（及其以上版本）的文档在打开之前对该文件进行查毒，将宏病毒封杀在宏启动之前。同时，瑞星安全助手还可以对 IE 5（及其以上版本）下载的控件在本地运行之前先行查毒，杜绝恶意代码通过IE下载的控件进行传播。 　　(2) 金山毒霸 　　金山公司是国内著名的软件公司，其开发的金山毒霸对查毒速度做了优化，可以快速、彻底的查杀多种流行病毒，在普通配置的计算机上，“闪电杀毒”扫描一个40GB的硬盘只要4分钟。 　　金山网镖集合了金山毒霸网络个人防火墙、IE防火墙、实时监控网络安全状态等功能，为用户提供全面的病毒防护。此外，金山网镖的系统漏洞监测程序可以检测用户当前系统可能的安全漏洞隐患。 　　(3) AntiViral Toolkit Pro 3.0 (AVP) 　　由莫斯科的Kaspersky Lab 公司出品的AVP是一款共享软件。它功能强大，技术先进，高效、安全可靠，容易使用；缺点是没有中文版本。 　　AVP可以查杀多种压缩格式文件中的病毒，它的启发式代码分析器可以监测出80％的未知新病毒。AVP首先使用了“虚拟机”技术，是不少国内程序员学习编写反病毒软件的优秀范例。

网络病毒的识别及防治

计算机网络使人们共享资源更方便，但也给病毒传播创造了更有利的条件。网络条件下的病毒按指数增长模式进行传播，传播范围更广泛、危害更为严重。网络环境下病毒防治是计算机反病毒领域的研究重点。 　　1. 网络病毒的特点 　　网络病毒的特点是传染方式多、传播速度快、清除难度大、破坏性强。 　　2. 网络病毒的传播与表现 　　局域网：大多数公司使用局域网文件服务器，用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上其他可执行文件。用户在工作站上执行内存驻留文件带毒，当访问服务器上的可执行文件时进行感染。 　　对等网：使用网络的另一种方式是对等网络，在端到端网络上，用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此，每个工作站都可以有效地成为另一个工作站的客户和服务器。而且，端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件，那么这台感染病毒计算机中的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。 　　Internet：文件病毒可以通过Internet毫无困难地发送，而可执行文件病毒不能通过Internet在远程站点感染文件，此时Internet是文件病毒的载体。 　　3. 网络病毒的防治 　　(1) 基于工作站的防治方法 　　有一种工作站病毒防护芯片可以把防病毒功能集成在一个芯片上，安装于网络工作站，以便经常性地保护工作站及其通往服务器的途径。其基本原理是:网络上的每个工作站都要求安装网络接口卡，而网络接口上有一个Boot ROM芯卡，因为多数网卡的Boot ROM并没有充分利用，都会剩余一些使用空间，所以如果防毒程序够小的话，就可以安装在网络的BOOt ROM的剩余空间内，而不必另插一块芯片。这样，将工作站存取控制与病毒保护能力合二为一地插在网卡的RPROM槽内，用户可以免去许多繁琐的管理工作。 　　(2) 基于服务器的防治方法 　　目前，基于服务器的防治病毒方法大都采用了以NLM（NetwWare Loadable Module）可装载模块技术进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上较有代表性的产品，如： Intel公司的 LANdesk Virus Protect和Symantec公司的 Center PointAnti一Virus和 S&SSoftware International公司的 Dr．Solomon’s Anti—Virus Toolkit，以及我国北京威尔德电脑公司的LANClear For NetWare。 　　4. 网络反病毒技术的特点 　　(1) 网络反病毒技术的安全度取决于“木桶理论” 　　被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面，它同样也适用于这一理论。一个计算机网络，对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。 　　(2) 网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则 　　网络反病毒产品是网络应用的辅助产品，因此对网络反病毒技术，尤其是网络病毒实时监测技术，在自身的运行中不应影响网络的正常运行。 　　网络反病毒技术的应用，理所当然会占用网络系统资源（增加网络负荷、额外占用CPU、占用服务器内存等）。正由于此，网络反病毒技术应符合“最小占用”原则，以保证网络反病毒技术和网络本身都能发挥出应有的正常功能。 　　(3) 网络反病毒技术的兼容性是网络防毒的重点与难点 　　网络上集成了那么多的硬件和软件，流行的网络操作系统也有好几种，按照一定网络反病毒技术开发出来的网络反病毒产品，要运行于这么多的软、硬件之上，与它们和平共处，实在是非常之难，远比单机反病毒产品复杂。这既是网络反病毒技术必须面对的难点，又是其必须解决的重点。