《计算机病毒与防护计算机病毒防范与免疫.ppt》由会员分享,可在线阅读,更多相关《计算机病毒与防护计算机病毒防范与免疫.ppt(31页珍藏版)》请在第壹文秘上搜索。
1、Virus教学单元4-1 防范与免疫病毒防范与免疫病毒 讨论日常防范病毒的常规做法讨论日常防范病毒的常规做法病毒的危害病毒的危害系统地学习病毒防范技术系统地学习病毒防范技术第一讲第一讲 如何做好病毒的防范与免疫如何做好病毒的防范与免疫计算机病毒与防治课程小组 免疫知识简介免疫知识简介计算机病毒的免疫技术计算机病毒的免疫技术讨论病毒的危害哪位同学能给我们讲一讲自己经历过的中病毒的经历,可以是计算机病毒,也可以是U盘病毒等越形象越生动越好哦!列举病毒的危害p 比如熊猫烧香p 震荡波p QQ尾巴病毒p SXS.exe病毒(可以盗取QQ账号和密码,获取聊天内容)大家一起列举常见的计算机病毒以及它们的危
2、害总结病毒的危害1.破坏计算机的重要信息数据,所采用的手段主要有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMOS设置等。2.占用磁盘空间和对信息的破坏,比如引导型病毒一般采用由病毒本身占据磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位。文件型病毒则利用一些DOS功能进行传染,非法占用磁盘空间。计算机病毒与防治课程小组大家一起来总结计算机病毒的主要危害:总结病毒的危害3.抢占系统资源,病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内 存外,病毒还抢占中断,干扰系统运行。4.影响计算机运行速度 5.破坏主板上BIOS内容,让计算机无法工作
3、。总结病毒的危害6.破坏屏幕正常显示,干扰用户的操作7.破坏键盘输入程序,使用户的输入出现错误8.攻击喇叭,使机器发出噪音。9.干扰打印机,假报警,间断性打印、更改字符等。讨论日常生活中防范病毒的常规做法讨论日常生活中防范病毒的常规做法安装杀毒软件,定时杀毒 安装防火墙 及时备份文件及时打补丁,更新系统不随便打开陌生网站 计算机病毒与防治课程小组大家一起来讨论大家一起来讨论病毒防范措施列举计算机病毒与防治课程小组1.安装防病毒产品并保证更新最新的病毒库。2.不要用共享的软盘或闪存、移动硬盘等介质安装软件,或者是复制共享的软盘或闪存、移动硬盘等。 3.对于多人共用一台计算机的环境,例如实验室这种
4、情况,应建立登记上机制度 。4.用常识进行判断不明文件。5.不要从任何不可靠的渠道下载软件6.使用其它形式的文档7.禁用Windows Scripting HostWindows Scripting Host8.使用基于客户端的防火墙或过滤措施病毒防范措施列举9.记住一些典型文件的长度10.重要资料,必须备份11.上网浏览时,要加强安全防范。12.将应用软件升级到最新版本 病毒防范措施计算机病毒与防治课程小组13. 启动Novell网或其他网络的服务器时,一定要坚持用硬盘引导启动 。14.安装服务器时应保证没有病毒存在,即安装环境不能带病毒 15.网络系统管理员应将系统卷设置成对其他用户为只读
5、状态 16.系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。计算机病毒免疫技术 u 什么是免疫?(让同学解答)u 大家都打过防疫针没有?为什么打防疫针?u 防疫针的原理?u 有没有一种类似防疫针的软件?(病毒疫苗)装到计算机上就像给计算机打了防疫针一样就不会再感染病毒呢?我们先来看下计算机病毒传染的机制。 (分组讨论,让代表回答,组内其他成员可以补充)大家一起来讨论大家一起来讨论计算机病毒免疫技术什么叫病毒免疫?病毒免疫是指系统曾感染过病毒,已经被清除,如果再有同类病毒攻击,将不再受感染。接下来请大家看病毒传染的机理计算机病毒免疫技术
6、计算机病毒的传染机制: 计算机病毒的传染由传染模块来完成。计算机病毒的传染模块一般包括传染条件判断和实施传染两个部分。计算机病毒与防治课程小组接下来请大家看病毒传染的过程计算机病毒免疫技术病毒传染过程: 在病毒被激活的状态下,病毒程序通过判断传染条件的满足与否,以决定是否对目标对象进行传染。一般情况下,病毒程序在传染完一个对象后,都要给被传染对象加上传染标识,传染条件的判断就是检测被攻击对象是否存在这种标识,若存在这种标识,则病毒程序不对该对象进行传染;若不存在这种标识,则病毒程序就对该对象实施传染。 思考:能在正常对象中加上传染标识,就可以不受病毒的传染,起到免疫的作用呢? 计算机病毒免疫技
7、术计算机病毒与防治课程小组 根据病毒免疫的机制,仿照人类世界中的疫苗原理,人们发明了计算机病毒疫苗,这种疫苗会在正常对象中加上病毒感染的标识,这样当病毒准备传染某台机器时,发现标识就会以为该机器已经被感染而不对它进行再次感染。 梅丽莎病毒免疫技术 梅丽莎病毒疫苗程序会修改Windows注册表项:HKEY_CURRENT_USERSoftwareMicrosoftOffiece,它将增加表项:Melissa,并给其赋值为:by Kwyjibo,这是病毒避免进行重复感染的标识。如果在一台没有感染梅丽莎病毒的机器上事先设立这项注册表值,那么当梅丽莎病毒准备感染这台机器时,由于发现存在该键值会认为该机
8、器已经被感染而不对它进行再次感染。这样就达到了对这台机器进行免疫的目的。 计算机病毒与防治课程小组梅丽莎病毒免疫原理计算机病毒免疫技术 类似于梅丽莎病毒的免疫方法对某些早期病毒是有效的,这种方法多基于感染标志判定,或者采用以毒攻毒的方法,但并非所有病毒都可以免疫。目前有的病毒采用强制感染,对系统和软件进行重复感染。 从实现计算机病毒免疫的角度看病毒的传染,可以将病毒的传染分成两种:计算机病毒与防治课程小组接下来请大家看病毒的两种传染方式计算机病毒免疫技术v 一种是像香港病毒、1575病毒、梅丽莎病毒这样,在传染前先检查待传染的扇区或程序里是否含有病毒代码,如果没有找到则进行传染,如果找到了则不
9、再进行传染。这种用作判断是否为病毒自身的病毒代码被称作传染标志,或免疫标志。v 第二种是在传染时不判断是否存在免疫标志,病毒只要找到一个可传染对象就进行一次传染。就像黑色星期五那样,一个文件可能被黑色星期五反复传染多次,滚雪球一样越滚越大。常用的免疫方法目前常用的免疫方法有两种:F第1种.针对某一种病毒进行的计算机病毒免疫F第2种基于自我完整性检查的计算机病毒的免疫方法常用的免疫方法较第1种方法针对某一种病毒进行的计算机病毒免疫举例:对小球病毒,在DOS引导扇区的1FCH处填上1357H,小球病毒一检查到这个标志就不再对它进行传染了。对于1575文件型病毒,免疫标志是文件尾的内容为0CH和0A
10、H的两个字节,1575病毒若发现文件尾含有这两个字节,则不进行传染。梅丽莎病毒免疫也属于第一种种方式。这种方法的优点是可以有效地防止某一种特定病毒的传染。但缺点也较严重,主要有以下几点: 第1种方法的缺点(1)对于不设有感染标识的病毒不能达到免疫的目的;有的病毒只要激活的状态下,会无条件的把病毒传染给被攻击对象,而不论这种对象是否已经被感染过或者是否具有某种标识。(2)当出现这种病毒的变种不再使用这个免疫标志时,或出现新病毒时,免疫标志发挥不了作用。(3)某些病毒的免疫标志不容易仿制,非要加上这种标志不可,则对原来的文件要做大的改动。例如对大麻病毒就不容易做免疫标志。(4)由于病毒的种类较多,
11、又由于技术上的原因,不可能对一个对象加上各种病毒的免疫标识,这就使得该对象不能对所有的病毒具有免疫作用。(5)这种方法能阻止传染,却不能阻止病毒的破坏行为,仍然放任病毒驻留在内存中。目前使用这种免疫方法的商品化反病毒软件已不多见了。第1种方法的应用sxs病毒免疫sxs.exe病毒一般是通过U盘进行传播的,当U盘被插入至感染病毒的电脑后,病毒会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件,如果没有,病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下;如果有,病毒会设置sxs.exe的属性为只读且为系统文件,以达到隐藏自身的目的,并把原有的aut
12、orun.inf删除,重新创建一个autorun.inf文件,并写入数据。了解了病毒的传播方式,我们就可以有针对性地提出两种免疫方案:第1种方法的应用sxs病毒免疫v 第一种方案,通过在每一个盘符下放一个空白的sxs.exe文件,这样,病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。v 第二种方案,新建一个文本文档,不用写入任何数据,重命名为:sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。这样,就不会中真的sxs.exe了。计算机病毒与防治课程小组第2种免疫方法第2种基于自我完整性检查的计算机病毒的免疫方法 目前这种方法只能用于文件而不能用于引导扇区。 这种方法
13、的原理是,为可执行程序增加一个免疫外壳,同时在免疫外壳中记录有关用于恢复自身的信息。免疫外壳占1KB至3KB。执行具有这种免疫功能的程序时,免疫外壳首先得到运行,检查自身的程序大小、校验和,生成日期和时间等情况,没有发现异常后,再转去执行受保护的程序。 第2种免疫方法优点 优点: 不论什么原因使这些程序本身的特性受到改变或破坏,免疫外壳都可以检查出来,并发出告警,可供用户选择的回答有自毁、重新引导启动计算机、自我恢复到未受改变前的情况和继续操作,而不理睬所发生的变化。 这种免疫方法可以看作是一种通用的自我完整性检验方法。这种方法不只是针对病毒的,由于其他原因造成的文件变化,在大多数情况下免疫外
14、壳程序都能使文件自身得到复原。第2种免疫方法缺点第2种方法仍存在一些缺点和不足: (1)每个受到保护的文件都要增加1KB至3KB,需要额外的存储空间。 (2)现在使用中的一些校验码算法不能满足防病毒的需要,被某些种类的病毒感染的文件不能被检查出来。 (3)无法对付覆盖方式的文件型病毒。 (4)有些类型的文件不能使用外加免疫外壳的防护方法,这样将使那些文件不能正常执行。 (5)当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件,而该文件又被免疫外壳包在里面时,这个病毒就象穿了“保护盔甲”,使查毒软件查不到它,而它却能在得到运行机会时跑出来继续传染扩散。病毒免疫技术总结 从以上的讨论中,我们可以看到,在采取了技术上和管理上的综合治理措施之后,尽管目前尚不存在完美通用的计算机病毒免疫方法,但计算机用户仍然完全可以控制住局势,可以将时间和精力用于更具有建设性的工作上。本讲小结计算机病毒的危害有哪些?常见的计算机病毒有哪些?计算机病毒的防范措施有哪些?什么是计算机病毒免疫?有哪些免疫方法?它们各自的优缺点。 掌握关于病毒防范与免疫的基础知识Virus