第9章 病毒的防治 9.1 常见病毒及其基本原理 9.2 病毒的防治 9.3 杀毒软件的安装 9.4 个人版网络防火墙的安装

Presentation on theme: "第9章 病毒的防治 9.1 常见病毒及其基本原理 9.2 病毒的防治 9.3 杀毒软件的安装 9.4 个人版网络防火墙的安装"— Presentation transcript:

1 第9章 病毒的防治 9.1 常见病毒及其基本原理 9.2 病毒的防治 9.3 杀毒软件的安装 9.4 个人版网络防火墙的安装
第9章 病毒的防治 9.1 常见病毒及其基本原理 9.2 病毒的防治 9.3 杀毒软件的安装 9.4 个人版网络防火墙的安装 9.5 上网助手的安装

2 9.1 常见病毒及其基本原理 9.1.1 病毒的特性 1．非授权可执行性 用户运行一个程序时，操作系统会把微机系统的部分控制权交给这个程序，并分配给它相应系统资源，从而使之能够运行以完成用户的需求。计算机病毒是非法程序，用户不会在自己的微机上运行带毒程序。但计算机病毒具有正常程序的一切特性，如可存储性、可执行性，它通常隐藏在合法的程序或数据中。当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行，它的运行用户往往是不知道的。

3 2．隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常附着在程序、磁盘引导扇区、磁盘上标为坏簇的扇区以及一些空闲的扇区中。它是以一种很隐蔽的方式存在着。 3．传染性 传染性是它最重要的特征，是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可被感染的程序或者磁介质，然后通过自我复制迅速传播。由于目前计算机网络日益发达，计算机病毒可以在极短的时间内通过像Internet这样的网络传遍世界。

4 4．潜伏性 病毒的寄生能力，病毒传染合法的程序和系统后不立即发作，而是悄悄隐藏起来，然后在用户不察觉的情况下进行传染。这样，病毒的潜伏性越好，它在系统中存在的时间也就越长，病毒传染的范围也越广，其危害性也越大。 5．表现性或破坏性 无论何种病毒程序侵入系统，都会对操作系统的运行造成不同程度的影响。 6．可触发性 计算机病毒都有一个或者几个触发条件。满足其触发条件或者会激活病毒的传染机制，使之进行传染或发作。

5 9.1.2按照病毒的分类 1计算机病毒攻击的操作系统分类： (1)攻击DOS系统的病毒 (2)攻击Windows系统的病毒 (3)攻击其他操作系统的病毒 2．按寄生方式分类 (1)引导型病毒 引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。引导型病毒按照其在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区；分区引导记录病毒感染硬盘的活动分区引导记录。

6 (2)文件型病毒 文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。 (3)复合型病毒 复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径，它既感染磁盘的引导记录，又感染可执行文件。用染有此病毒的磁盘来引导系统或执行染毒文件时，病毒都会被激活。因此在检测、清除复合型病毒时，必须全面彻底地根治。如果只发现该病毒的一个特性，把它只当作引导型或文件型病毒进行清除，则表面上像是已经清除，但还留有隐患，这种经过“消毒”后的“洁净”系统更具有攻击性。

7 3．按破坏性分类 (1)良性病毒 良性病毒是指那些只表现自身，并不彻底破坏系统和数据，但会大量占用CPU时间、增加系统开销、降低系统工作效率的一类计算机病毒。 (2)恶性病毒 恶性病毒是指一旦发作后，就会破坏系统或数据、造成计算机系统瘫痪的一类计算机病毒。 4．按照计算机病毒的链结方式分类 (1)源码型病毒 这种病毒攻击高级语言编写的程序，在正常的程序源代码中插入病毒代码，作为程序的一部分。

8 (2)嵌入型病毒 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。 (3)外壳型病毒 外壳型病毒将其自身包围在主程序的四周，对原来的程序不做修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知是否感染这种病毒。 (4)操作系统型病毒 这种病毒将自身的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可能导致整个系统的瘫痪。

9 5．新时代网络病毒的概念 网络病毒是指以网络为平台、对计算机安全产生威胁的所有程序的总和。 (1)木马病毒(Trojan) 木马是一种伪装成正常程序的病毒程序，它可以窃取计算机的有关信息，向其他计算机发送，或者整个计算机都受其他计算机(人)控制。它的发展： 第一代：简单的密码窃取、发送等。 第二代：在技术上有了很大的进步。 第三代：在数据传输技术上改进，出现了ICMP等类型的木马，利用畸形报文传输数据。 第四代木马在进程隐藏方面做了大的改进，采用了内核插入式的嵌入方式，利用远程插入线程技术嵌入DLL线程；或者挂接PSAPI，实现木马程序的隐藏。

10 (2)蠕虫病毒(worm) 蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序，当年的“莫里斯”病毒就是典型的蠕虫病毒。它利用网络的缺陷在网络中大量繁殖，导致几千台服务器无法正常提供服务。 (3)捆绑器病毒(binder) 捆绑器病毒是一个新概念，人们编写这些程序的最初目的是希望通过一次鼠标单击同时运行多个程序，然而这一工具却成了病毒的帮凶。 (4)网页病毒 网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，主要利用软件或操作系统平台等安全漏洞，通过执行嵌入在HTML网页文件内的Java

11 Applet代码、JavaScript脚本程序、ActiveX代码支持可自动执行的病毒程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源，盗取用户文件，或恶意删除硬盘文件，格式化硬盘。 (5)黑客程序(Hack) 黑客程序其实不能算作病毒，因为黑客程序只是一个工具，它有界面且不会传染。但黑客常常利用病毒来进行攻击，最常用的工具是木马，即在被攻击的计算机里植入一个木马，这样黑客就可以随心所欲地控制被攻击的计算机了。 黑客还有很多其他攻击方法，一般都是利用计算机上的安全漏洞，特别是一些服务端口的漏洞、ASP漏洞、操作系统漏洞等。

12 9.1.3 病毒的主要危害 1．对计算机数据的直接破坏 ● 对整个磁盘或磁盘的特定磁道进行格式化。如“磁盘杀手”病毒。
病毒的主要危害 1．对计算机数据的直接破坏 ● 对整个磁盘或磁盘的特定磁道进行格式化。如“磁盘杀手”病毒。 ● 删除磁盘上特定的可执行文件或数据文件。如“黑色星期五”、“新世纪”病毒。 ● 修改或破坏文件中的数据。如DBASE病毒。 ● 对系统中用户储存的文件进行加密或解密。如“密码”病毒。 ● 破坏文件分配表。如SRI848病毒。 ● 改变磁盘上目标信息的存储状态。如DIR病毒。 ● 更改或重新写入磁盘的卷标。如Brain病毒。 ● 在磁盘上产生“坏”的扇区，减少磁盘空间， 达到破坏有关程序或数据文件的目的。如“雪球”病毒。 ● 改变磁盘分配，使数据写入错误的盘区。

13 2．占用磁盘空间 引导型病毒的一般侵占方式是病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。文件型病毒修改被感染文件，一般使文件变大，而且会越来越大。有些病毒会产生大量的临时文件或病毒文件，造成磁盘空间的浪费。 3．抢占系统资源 大多数病毒都是常驻内存的，这就必然会抢占一部分系统资源。病毒所占用的基本内存长度与病毒本身长度大致相当。病毒抢占内存，导致内存减少，使得一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。

14 4．影响计算机运行速度 病毒进驻内存后不但干扰系统运行，还会影响计算机运行速度。 （1）病毒在运行过程中需要不断地监控计算机的运行，执行了大量的额外指令，从而导致计算机变慢； （2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行； （3）而病毒运行结束时再用一段程序对病毒重新加密。

15 5．死机及其他不可预见错误 被病毒感染的计算机经常会出现死机、黑屏等不可预见的错误，有多种可能的原因： （1）病毒编写时可能预先设计成会产生这种后果； （2）可能是由病毒的平台兼容性较差而造成，病毒的编写者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机； （3）病毒本身也有漏洞，病毒大都是个别人在一台计算机上编写调试后就向外传播，这种病毒在运行过程中会发生病毒编写者也不可预知的现象； （4）错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编写软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。

16 9.1.4 计算机受病毒感染后的表现 受感染的计算机有各种不同的表现，当计算机出现如下现象时，就表明它可能已经感染了病毒： (1)运行速度明显变慢、系统引导、打印速度变慢。 (2)经常出现内存不足的错误 (3)硬盘灯不停地闪烁，有时要求对软盘进行写操作 (4)出现异常信息、异常图形 (5)经常无缘无故地死机 (6)操作系统无法正常启动 (7)系统文件的时间、日期、大小发生变化

17 (8)打开Word文档后，该文件另存时只能以模板方式保存 (9)磁盘空间迅速减少 (10)网络驱动器卷或共享目录无法调用 (11)基本内存变小 (12)自动拨号上网到一些陌生的网站

18 9.2 病毒的防治 计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。 “防毒”是指根据系统特性采取相应的系统安全措施，预防病毒侵入计算机。“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括内存、文件、引导区(含主导区)及网络等。“解毒”是指根据不同类型病毒对感染对象的修改及病毒的感染特性进行恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区(含主引导区)、可执行文件、文档文件、网络等。

19 9.2.1 计算机病毒的来源 ● 新购的计算机系统等软件中带有病毒。 ● 使用已经感染了病毒的磁盘。 ● 一些染有病毒的游戏软件。
计算机病毒的来源 ● 新购的计算机系统等软件中带有病毒。 ● 使用已经感染了病毒的磁盘。 ● 一些染有病毒的游戏软件。 ● 在安装盗版软件时感染病毒。 ● 计算机生产、经营单位销售的机器和软件中有病毒。 ● 维修部门交叉感染。 ● 敌对分子以病毒进行宣传和破坏。 ● 网络中病毒自动感染，如蠕虫病毒。 ● 浏览网页时感染病毒。 ● 接收电子邮件时感染病毒。 ● 遭到黑客的攻击。

20 9.2.2 病毒的预防 可以从如下方面来防止计算机感染病毒。 (1)保证新购置的计算机硬盘无病毒 (2)安全地使用软盘 (3)慎用盗版软件 (4)安装杀毒软件(防火墙)，并及时升级在计算机上安装杀毒软件是必要的安装杀毒软件后还要及时地更新升级，因为现在的病毒发展是非常快的，相应的杀毒软件也必须在病毒库中不断增加新病毒的特征代码。 (5)安装网络防火墙

21 (6)不访问不保证安全的网站 (7)安装系统保护和修复工具 (8)谨慎下载网上的程序 (9)不随意打开邮件，尤其是附件 (10)提高浏览器的安全级别 (11)关注计算机的异常情况 当计算机出现前面小节中提到的异常现象(如速度慢，死机等)时，就应该怀疑计算机感染了病毒，这时要尽快地对计算机进行查毒和杀毒。

22 9.3 杀毒软件的安装 常用的杀毒软件有Norton AntiVirus、瑞星、江民KV系列、冠群的KILL系列、趋势、金山、熊猫卫士系列和LANVRV 系列等。 下面介绍瑞星2004杀毒软件的安装。 (1)运行rav.exe，出现自动安装程序界面，开始运行瑞星安装程序。 (2)弹出语言选择对话框，选择要安装的语言版本，单击“确定”按钮，开始安装。 (3)进入欢迎安装界面，单击“下一步”按钮，进入“用户许可协议”界面。

23 (4)阅读“最终用户许可协议”，选中“我接受”单选按钮，接受用户许可协议，单击“下一步”按钮。 (5)输入产品序列号和用户ID，这两个号码可以在软件安装盘上找到。 (6)通过序列号验证后，先要进行内存的病毒扫描，以保证系统是安全的。 (7)选择安装的程序组。 (8)选择安装方式，一般选择“默认安装” 。 (9)瑞星杀毒软件可以嵌入到下载工具中，下面选择要嵌入的工具。 (10)开始复制文件

24 (11)选择是否要在桌面上建立快捷方式。 (12)这时安装已经完成，选择要启动的项目，单击“完成”按钮。 (13)执行瑞星杀毒程序，出现瑞星杀毒软件的主界面

25 9.4 个人版网络防火墙的安装 个人版网络防火墙的作用是监控端口，保护本机不受黑客的攻击。建议用户在经常联网的计算机上安装个人版网络防火墙。 常用的个人版网络防火墙有天网防火墙、金山网镖、瑞星防火墙以及其他杀毒软件所带的防火墙。 以“天网防火墙个人版”为例，介绍防火墙的安装。 (1)下载天网防火墙。天网防火墙可以从网上下载，它是一个共享软件。 (2)双击下载到本机上的安装程序，出现一个欢迎界面，单击“下一步”按钮。

26 (3)选择安装目录，单击“下一步”按钮。 (4)选择“程序管理器程序组”，单击“下一步”按钮。 (5)系统提示可以开始安装，单击“下一步”按钮。 (6)开始安装程序，结束后单击“完成”按钮， 系统提示重新启动计算机 (7)重启计算机后，就可以运行“天网防火墙个人版”了。运行后，在任务栏的右侧会出现一个小图标。双击该图标，可以对程序进行配置、查看网络上的攻击情况等。下图是对IP规则进行设置，一般接受默认值即可，若用户比较熟悉TCP/IP协议，则可以进行自定义设置。

27 自定义IP规则的设置

28 9.5 上网助手的安装 3721上网助手对IE有保护作用，主要体现在: ● IE修复专家：清理IE快捷菜单、清理IE工具栏。 ● 安全防护：屏蔽恶意代码、即时保护IE、自动屏蔽插件、清理恶意程序、在线杀毒。 ● 隐私保护：清理使用痕迹、选择性清理地址栏、自动清理痕迹、设置老板键。 ● 系统加速：加速电脑启动、清理垃圾文件、优化XP系统、优化网络参数、加速网页浏览。 ● 广告拦截：拦截弹出窗口、拦截弹出插件、拦截浮动广告、拦截Flash广告、拦截信使。

29 ● 地址栏搜索：强力搜索、个性搜索定制。 ● 短信助手：设置自发短信、手机铃声、手机图片、彩图和弦。 ● 便民服务：提供天气、交通、彩票、电视节目、手机归属、日历运程、出行参考、邮编区号等信息。 ● 上网导航：提供新闻、聊天、游戏、下载、军事、音乐、FLASH、硬件、体育、购物、证券等相关网站的导航。 单击浏览器上的“上网助手”图标，出现下图所示的设置界面。用户可根据自己的要求进行相应的设置。

30