第8章计算机病毒防范技术8.1概述计算机病毒的特性计算机病毒简史-1计算机病毒简史-2计算机病毒简史-3计算机病毒简史-4计算机病毒的特征计算机病毒的主要危害8.2计算机病毒的工作原理和分类8.2.1计算机病毒的工作原理（1）病毒的逻辑结构（2）病毒的磁盘存储结构（2）病毒的磁盘存储结构（2）病毒的磁盘存储结构（3）病毒的内存驻留结构（3）病毒的内存驻留结构2．计算机病毒的作用机制（1）中断与计算机病毒病毒有关的重要中断病毒利用中断（2）计算机病毒的传染机制（3）计算机病毒的破坏机制8.2.2计算机病毒的分类2．按照病毒的攻击机型分类（1）攻击微型计算机的病毒。（2）攻击小型机的计算机病毒。（3）攻击工作站的计算机病毒。3．按照病毒的链结方式分类（1）源码型病毒（2）嵌入型病毒（3）外壳型病毒（4）操作系统型病毒4．按照病毒的破坏情况分类（1）良性计算机病毒（2）恶性计算机病毒5．按照病毒的寄生方式分类（1）引导型病毒（2）文件型病毒（3）复合型病毒6．按照病毒的传播媒介分类（1）单机病毒（2）网络病毒8.2.3病毒实例分析（1）CIH病毒的表现形式（2）CIH病毒的行为机制2．宏病毒宏的定义所谓宏，就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法，把常用的动作编写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作。所谓“宏病毒”，是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在Windows9X、WindowsNT/2000、OS/2和MacintoshSystem7等操作系统上执行。（1）宏病毒的行为机制（2）Word宏病毒特征3．网络病毒网络病毒专指在网络传播、并对网络进行破坏的病毒；网络病毒也指HTML病毒、E-mail病毒、Java病毒等与因特网有关的病毒。网络病毒的特点4．电子邮件病毒“电子邮件病毒”其实和普通的计算机病毒一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为“电子邮件病毒”。电子邮件病毒的特点8.3计算机病毒的检测与防范8.3.1计算机病毒的检测（5）磁盘上的文件或程序丢失。（6）磁盘读/写文件明显变慢，访问的时间加长。（7）系统引导变慢或出现问题，有的出现“写保护错”提示。（8）系统经常死机或出现异常的重启动现象。（9）原来运行的程序突然不能运行，总是出现出错提示。（10）连接的打印机不能正常启动。观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和清除做好准备。2．检测的主要依据（1）检查磁盘主引导扇区（2）检查FAT表（3）检查中断向量（4）检查可执行文件（5）检查内存空间（6）检查特征串3．计算机病毒的检测手段（2）校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。优点：方法简单，能发现未知病毒、被查文件的细微变化也能发现。缺点：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。校验和法查病毒（3）行为监测法利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。这些能够作为监测病毒的行为特征如下：A.占有INT13HB.改DOS系统为数据区的内存总量C.对COM、EXE文件做写入动作D.病毒程序与宿主程序的切换优点：可发现未知病毒、可相当准确地预报未知的多数病毒。缺点：可能误报警、不能识别病毒名称、实现时有一定难度。8.3.2计算机病毒的防范电子邮件病毒的防治8.4计算机病毒的发展方向和趋势8.4.1计算机病毒的新特性8.4.2计算机病毒发展的趋势及对策新一代的反病毒软件应具备的能力8.5小结计算机病毒一般包括三大功能模块，即引导模块、传染模块和破坏/表现模块。从不同的角度，计算机病毒有不同的分类方法。计算机病毒的检测要从检查系统资源的异常情况入手。防治感染病毒的途径可概括为两类：一是用户遵守和加强安全操作控制措施，二是使用防病毒工具。未来的计算机病毒将更加智能化，其破坏力和影响力将不断增强，计算机病毒防治工作将成为信息系统安全的重要因素。返回本章首页