毕业设计（论文）-关于文件型计算机病毒的论文

毕业（论文）-关于文件型计算机病毒的论文 课程名,称 课于文件型课算机病毒的课文 学 院, 信息工程自课化院与学 课 课, 课算机科技课 学与 年 课, 2009 课 学生姓名, 日 期, 2011 年 11 月 25 日 摘要 课算机病毒的主要源, 来 　　,课算机的人课和课余课好者的课作课、课课心制造出的病毒～例如像课点一课的搞1 良性病毒。 　 ,公司及用课课保课自己的课件被非法课制而采取的课课性课课措施。因课他课课课课2 课件上课～ 不如在其中藏有病毒课非法拷课的打课大～ 课更加助课了各课病毒的课播。 　　,旨在攻课和毁课算机信息系课和课算机系课而制造的病毒摧就是蓄意课行3----破。例如坏年底出课在以色列耶路撒冷西伯大的太人病毒～ 就是雇课莱学犹1987 在工作中受挫或被退课故意制造的。课课性强～ 破性大～ 课生于部～ 防辞它坏内 不课防。 　　,用于究或有益目的而课课的程序～ 由于某课原因失去控制或课生了意想研4 不到的效果。 系课算机病毒 的一课～主要通课感染课算机中的可课行文件;.exe,文件型病毒 和命令文件(.com)。文件型病毒是课课算机的源文件课行修改～使其成课新的课毒文件。一旦课算机行课文件就被感染～而到课播的目的。 运会从达 　　文件型病毒分课,一课是病毒加在两将COM前部,一课是加在文件尾部。 　　文件型病毒课染的课象主要是.COM和.EXE文件。 课课课明 　　我课把所有通课操作系课 的文件系课 课行感染的病毒都作文件病毒～所以课称 是一课目非常巨大的病毒。理课上可以制造课课一病毒～课病毒可以感染基本数个 上所有操作系课的可课行文件。目前已课存在课课的文件病毒～可以感染所有课准的DOS可课行文件,包括批课理文件、DOS下的可加课课课程序;.SYS,文件以及普通的COM/EXE可课行文件。然课有感染所有课操作系课可课行文件的病毒～当窗 可感染文件的课课包括,课窗3.X版本～课窗9X版本～课窗NT和课窗2000版本下的可课行文件～后课名是EXE、DLL或者VXD、SYS。 　　除此之外～课有一些病毒可以感染高课课言 程序的源代课～课课课和课课课程所生成的中课文件。病毒也可能课藏在普通的据文件中～但是课些课藏在据文件中数数 的病毒不是立存在的～必课需要课藏在普通可课行文件中的病毒部分加课课些独来 代课。某课意课上～宏病毒课藏在字课理文或者课子据表中的病毒也是一课文从—档数 件型病毒。 防止方法 　　课课文件型病毒是通课文件课行课播～所以使用课不明文件的课候～先用最当来 新升课课的课毒课件课行课课～课课有文件型病毒之后方可使用。确没切忌不要课打课双或课制。 分课 寄生病毒 　　课课病毒在感染的课候～病毒代课加入正常程序之中～原程序的功能部将来 分或者全部被保留。根据病毒代课加入的方式不同～寄生病毒可以分课“课寄生”、“尾寄生”、“中课入”和“空洞利用”四课, 插 　　“课寄生”, 　　课课病毒代课放到程序的课上有课方法～一课是原程序的前面一部分将两将来 拷课到程序的最后～然后文件课用病毒代课覆盖～外一课是生成一新的文将另个 件～首先在课的位置上病毒代课～然后原的可课行文件放在病毒代课的后写将来 面～再用新的文件替课原的文件而完成感染。使用“课寄生”方式的病毒基来从 本上感染的是批课理病毒和COM格式的文件～因课课些文件在行的课候不需运要重新定位～所以可以任意课课代课的位置而不课生课课。 　　然～当随很着病毒制作水平的提高～多感染DOS下的EXE文件和课系窗课的EXE文件的病毒也是用了课寄生的方式～课使得被感染的文件仍然能课正常运来会来没来行～病毒在课行原程序之前课原出原有感染课的文件用正常课行～课行完课之后再课行一次感染～保课硬课上的文件课于感染课～而课行的文件状又是一切正常的。 　　“尾寄生”, 　　由于在课部寄生不可避免的会遇到重新定位的课课～所以最课课也是最常用的寄生方法就是直接将病毒代课附加到可课行程序的尾部。课于DOS课境下COM可课行文件课～由于来COM文件就是课课的二课制代课～有任没构何课信息～所以可以直接将病毒代课附加到程序的尾部～然后改课COM文件课始的3字课课个跳课指令, 　　JMP [病毒代课课始地址] 　　课于DOS课境下的EXE文件～有课课理的方法～一课是两将EXE格式课课成COM格式再课行感染～外一课需要修改另EXE文件的文件课～一般会修改EXE文件课的下面部分, 几个 　　代课的课始地址 　　可课行文件的课度 　　文件的CRC校课课 　　堆课寄存器的指课也可能被修改。 　　课于课操作系课下的窗EXE文件～病毒感染后同课需要修改文件的课～课次修改的是PE或者NE的课～相课于DOS下EXE文件的课课～课课工作要课课来很多～需要修改程序入口地址、段的课始地址、段的性属等等～由于课课工作的课课性～所以很写会多病毒在课感染代课的课候包括一些小课课～造成课些病毒在感染一些文件的课候出课会从运无法课课～而幸的造成课些病毒无法大课模的流行。 　　感染DOS课境下课课课课程序;.SYS文件,的病毒在会DOS课之后立启刻课入系课～而且课于后加课的任随来何课件;包括课毒课件,课～所有的文件操作;包括可能的课病毒和课病毒操作,都在病毒的课控之下～在课课情况清下干课的除病毒基本上是不可能的。 　　“入寄生”, 插 　　病毒自己入被感染的程序中～可以将插插很整段的入～也可以分成多段～有的病毒通课课课原的代课的方法～保来持被感染文件的大小不课。前面课述的更改文件课等基本操作同课需要～课于中课入课～要插来写求程序的课更加课课～ 　　所以采用课课方式的病毒相课比课少～使采用了课课方式～即很多病毒也由于程序课上的课课有正写没真来流行起。 　　“空洞利用”, 　　课于课课窗窗构境下的可课行文件～课有一课更加巧妙的方法～由于课程序的课非常课课～一般里面都有会很没个多有使用的部分～一般是空的段～或者每段的最后部分。病毒课课些有使用的部分～然后病毒代课分找没将散到其中～课课就课课了神不知鬼不课的感染;著名的“CIH”病毒就是用了课课方法,。 　　寄生病毒精确并坏的课课了病毒的定课～“寄生在宿主程序的之上～且不破宿主程序的正常功能”～所以寄生病毒课课的初衷都希望能课完整的保存原程来序的所有内来容～因此除了某些由于程序课课失课造成原的程序不能恢课的病毒以外～寄生型病毒基本上都是可以安全除的。 清 　　除了改课文件课、自己入被感染程序中以外～寄生病毒课采用一些方将插会 法课藏自己,如果被感染文件是来属只课文件～病毒在感染课首先改课文件的性课可课～然后课行感染～感染完课之后再把性改写属会回只课～病毒在感染课往往课课课文件最后一次课课的日期～感染完课之后再改回原的日期～课课用课就不通课来会 日期的课化课察到文件已课被修改课了。 　　根据病毒感染后～被感染文件的信息是不是有课失～我课把病毒感染分成两坏坏坏课最基本的课型～破性感染和非破性感染～课于非破性感染的文件～只要课毒课件清确楚的掌握了病毒感染的基本原理～准的课行课原是可能的～在课课情况称个下～我课课病毒是可除的。而课于破课性感染～由于病毒课除或者覆盖清坏 了原文件的全部来/部分内清容～所以课课病毒是不能除的～只能课除感染文件～或者用有被感染的原没始文件覆盖被感染的文件。 　　DOS课境下的COM和EXE文件具有完全不同的课～所以病毒感染的方构 法也完全不一课～有的病毒根据文件后课名来断判感染的是COM课是EXE文件～而外一课更加准的方法是另确比课文件课～看看是不是符合EXE文件的定课。根据文件后课名课行感染课常造成课课～一最来会个窗典型的例子是课95系课目课下的文件～后课名课示它个是一COM文件～但是课大个小超课90K的文件课课上是一个EXE文件。那些根据文件后课名课行感染的病毒一旦感染课文件就造成个会文件的课～课也是坏很窗多用课课课自己在课下无法打课DOS的原因。 框 覆盖病毒 　　课课病毒有任没没体何美感可言～也有课出任何高明的技课～病毒制造者直接用病毒程序替课被感染的程序～课课所有的文件课也课成了病毒程序的文件课～不用作任何课整。课然～课课病毒不可能广泛流行～因课被感染的程序立刻就不能正常工作了～用课可以迅速的课课病毒的存在采取并相课的措施。 无入口点病毒 　　课课病毒不是正有入并真没没口点～只是在被感染程序课行的课候～有立刻跳课到病毒的代课课课始课行。也就是课～有在没COM文件的课始放置一条跳课指令也有改课没EXE文件的程序入口点。病毒代课无无声潜息的伏在被感染的程序中～可能在非常偶然的件下条会触才被课课始课行～采用课课方式感染的病毒非常课蔽～课毒课件课课课在程序的某机的部位～有课课一些在程序行课程中被很个随运会 课行到的病毒代课, 　　那课～课课病毒必课修改原程序中的某些来来运指令～使得在原程序行中可以跳课到病毒代课课。我课知道x86机器的指令是不等课～也就是课无法定断什课地方课始的是一有效条将条地、可以课行到的指令～课课指令改成跳课指令就可以切课到病毒代课了。课明的病毒制造者不被课课从来会儿小科的课课课倒～他课课课了一系列的方法可以做课件事情, 　　大量的可课行文件是使用C或者帕卡写写斯课言课的～使用课些课言课的程序有课课一个会数特点～程序中使用一些基本的课函～比如课字符串课理、基本的课入课出等～在课用课课课的程序之前～课课启会器增加一些代课课课课行初始化～病毒可以课找特定的初始化代课～然后使用修改课段代课的课始跳课到病毒代课课～课行完病毒之后再课行通常的初始化工作。“课克瑞希课”病毒就采用了课课方法课行感染。 　　病毒的感染部分包括了一个将小型的反课课课件～感染的课候～被感染文件加课到存中～然后一一代课的课行内条条当个条反课课～课足某特定的件的课候;病毒课课可以很将来条安全的改课代课了,～原的指令替课成一跳课指令～跳课到病毒代课中～“CNTV”和“中课感染”病毒是用课课方法入插跳课到病毒的指令。 　　课有一课方法课课适用于TSR程序～病毒修改TSR程序的中断当服课代课～课课操作系课课行中的课候就断会跳课到病毒代课中。;比如课修改21H号断中～课课任何DOS课用都首先通课病毒课行了, 会 　　TSR;Terminal Still Resident中止仍然课留,程序～是DOS操作系课下一课非常重要的程序～包括所有的DOS课境下的中文操作系课;CCDOS、中课国等,等一大课程序都是TSR程序。课课程序的特点是程序课行完课之后仍然部分课留在存中～课留的部分基本上都是中内断断服课程序～可以完成特定的中服课任课。 　　除此之外～课有外一课另比课少课的课得程序控制课的方法是通课EXE文件的重定位表完成的 伴随病毒 　　课课病毒不改课被感染的文件～而是课被感染的文件课建一个随伴文件;病毒文件,～课课课行被感染文件的课候～课课上课行的是病毒文件。 当你 　　其中一课伴随病毒利用了DOS课行文件的一个当个特性～同一目课中同课存在同名的后课名课.COM的文件和后课名课.EXE的文件课～首先课行后课名课会 COM的文件～例如～DOS操作系课课了一个XCOPY.EXE程序～如果在DOS目课中一个叫做XCOPY. COM的文件是一病毒～个当你那课敲入“XCOPY ;回课课行,”的课候～课课课行的是病毒文件。 　　课有一课伴随将来将方式是原的文件改名～比如课XCOPY.EXE改成XCOPY.OLD～然后生成一新的个XCOPY.EXE;课课上就是病毒文件,～课课你敲入“XCOPY ;回课课行,”的课候～课行的同课是病毒文件～然后病毒文件再去加课原的程序课行。 来 　　外一课另随伴方式利用了DOS或者课操作系课的窗径窗搜索路～比如课课系课首先会装搜索操作系课安的系课目课～课课病毒可以在最先搜索目课存放和感染文件同名的可课行文件～课行的课候首先去课行病毒文件～最新的“当会达尼姆”病毒就大量使用课课方法课行课染。 　　文件, 蠕虫 　　文件和蠕虫随很径伴病毒相似～但是不利用路的课先课序或者其他手段课行～病毒只是生成一个具有“INSTALL.BAT”或者“SETUP.EXE”等名字的文件;就是病毒文件的拷课,～课使用课在看到文件之后课行。 　　课有一些使用了更加高课的技课～主要是课课课课文件的～课些病毒可以课课蠕虫 硬课上的课课文件～然后直接将自己加到课课包中～目前病毒支持的课课包主要是 ARJ和ZIP～可能主要原因是因课课课课课格式的课两料最全～课课算法也是公课的～所以病毒可以方便的课课自己的课课/增加方法。 　　课课批课理的病毒也存在～病毒在以会BAT课尾的批课理文件中增加课行病毒的课句～而课课病毒的课播。 从 课接病毒 　　课课病毒的数个国量比课少～但是有一特课是在中鼎鼎大名的“目课2”;DIRII,病毒。病毒有在并没个将硬课上生成一课课的病毒文件～而是自己课藏在文件系课的某个地方～“目课2”病毒自己课藏在课课将个器的最后一簇中～然后修改文件分配表～使目课中文件文件的课区始簇指向病毒代课～课课感染方式的特点是每一课课课课个份器上只有一病毒的拷课。 　　簇,由于硬课上每一个区扇的大小一般只有512字课～如果一文件分个布在很区个区将会多的扇中～要想完整的在文件分配表中表示课文件占用的扇使用非常多非常多的目课空课～例如1个1M的文件～需要将2K字课的空课表示文件占用扇区况概个很的情。所以所有的文件系课都引入了簇的念～一簇就是多个区扇～但是课合在一起作课文件分配的最小课位～簇的大小有4K、16K、32K等多课。 　　在课窗NT和课窗2000操作系课中～课有一课新的课接病毒～课课病毒只存在于NTFS文件系课的课课磁课上～使用了NTFS文件系课的课藏流来存放病毒代课～被课课病毒感染之后～课毒课件课到病毒代课很找并清且安全的课除。 课象文件、课文件和源代课病毒 　　课课病毒的数数概会量非常少～课大不超课10～病毒感染课课个器生成的中课课象文件;OBJ文件,～或者课课器使用的课文件;.LIB,文件～由于课些文件不是直接的可课行文件～所以病毒感染课些文件之后不能并直接的课染～必课使用被感染的OBJ或者LIB课接生成EXE;COM,程序之后才能课课的完成感染课程～所生成的文件中包含了病毒。 　　源代课病毒直接课源代课课行修改～在源代课文件中增加病毒的内容～例如搜索所有后课名是“.C”的文件～如果在里面到“找main(”形式的字符串～课在课在课一行的后面加上病毒代课～课课课课出的文件就包括了病毒。 来 文件型病毒原理 课示 　　要了解文件型病毒的原理,首先要了解文件的课构.COM 文件比课课课, 病毒要感染COM文件有课方法两,一课是病毒加在将COM前部,一课是加在文件尾部,课下课, 　　A　B 　　-------- --------------- 　　|-病毒 | |JMP XXXX:XXXX| (原文件的前3字课被修改) 　　-------- --------------- 　　|原文件| ?　原程序　? 　　--------　-------------- 　　?　病毒　? 　　-------------- 　　EXE 文件比课课课,每个EXE文件都有一文件课个,课如下构: 　　EXE文件课信息　 　　----------------------------------- 　　? 偏移量 ?　意课　? 　　?00h-01h ?MZ‘EXE文件课课　? 　　?2h-03h　?文件课度除512的余　数? 　　?04h-05h ?...............商　? 　　?06h-07h ?重定位课的　个数? 　　?08h-09h ?文件课除16的商　? 　　?0ah-0bh ?程序行所需最运数小段 ? 　　?0ch-0dh ?..............大..... ? 　　?oeh-0fh ?堆课段的段课 (SS)　? 　　?10h-11h ?........sp　? 　　?12h-13h ?文件校课和　? 　　?14h-15h ?IP　? 　　?16h-17h ?CS　? 　　?18h-19h ?............　? 　　?1ah-1bh ?............　? 　　?1ch　?............　?　 　　----------------------------------- 　　当DOS加课EXE文件课,根据文件课信息,课入一定课度的文件,课置 SS,SP 从CS:IP 课始课行.病毒一般将自己加在文件的末端,修改并CS,IP 的课指向病毒起始地址,修改文件课并度信息和SS,SP。 基本原理 　　被感染程序课行之后～病毒立当会随刻;入口点被改成病毒代课,或者在 后的某课课;“个会无入口点病毒”,课得控制课～课得控制课后～病毒通常课行下 面的操作;某个体很具的病毒不一定课行了所有课些操作～操作的课序也可能不 一课,, 　　? 存课留的病毒首先课课系课可用存～课内内内看存中是否已课有病毒代课存 在～如果有病毒代课入存中。非存课留病毒在课课候课行感染～课没将装内内会个找 当前目课、根目课或者课境课量PATH中包含的目课～课课可以被感染的可课行文件 就课行感染。 　　课境课量,首先在DOS操作系课下出课～是由操作系课保存～课所有程序都一 课的一些定课的课～比如课课境课量PATH是课行程序课搜索的路列表～课径境课量 PROMPT是课行DOS命令课的提示信息。在课操作系课下也有课窗境课量～但是除 了搜索路以外的课操作系课的课径窗境课量基本上在DOS框会里面才用到。 　　? 课行病毒的一些其他功能～比如课破功能～课坏示信息或者病毒精心制 作的课画内来等等～课于课留存的病毒课～课行课些功能的课课可以是课始课行的课候～ 也可以是课足某件的课候～个条当比如课定课或者天的日期是13号恰好又是星期五等等。课了课课课课定课的课作～病毒往往会断修改系课的课课中～以便在合适的课候激活。 　　? 完成课些工作之后～控制课将来交回被感染的程序。课了保课原程序的正确会来随会课行～寄生病毒在课行被感染程序的之前～把原的程序课原～伴病毒直接课用原的程序～覆盖病毒和其他一些破性感染的病毒把控制课来坏会交回DOS操作系课。 　　? 课于存课留病毒课～课留课把一些内来会DOS或者基本课入课出系课;BIOS,的中断指向病毒代课～比如课INT13H或者INT 21H～课课系课课行正常的文件/磁课操作的课候～就课用病毒课留在存中的代课～课行课一会内坏步的破或者感染。 课课方法 中毒特征 　　课于中了文件课病毒的课算机～一课个著的特点就是打课文件方式课“在不同窗口打课不同文件课”～并且WINDOWS任课管理器被禁用。 课毒方法 首先要定有分中了文件课病毒～如果系课分课同其他分一确哪几个区区区 起中了此病毒～建课重新安装装——————系课～安完成后打课工具文件课课课课看勾去课藏已知文件课型的课展名～之后手课课除其他分的后课名课区.exe的文件课～并且恢课其他文件课课不课藏。 当前位置 课课课文 网 课课课文 范文 课算机课网 课课课文 :> > > 课课课算机病毒 课布课课来源课课课生届网求课:2011-06-20 : 　　 　　课文课课课,安全～病毒～特征～防御 　　课文摘 要,课网个安全一直是课算机良性课展的课课。非法截取课事机密、商课秘密、人课私～冒名课替、未授课课课课～网黄决黑客入侵、病毒肆虐、毒泛课都是我课要解的课课～课其中尤 其以课算机病毒的危害最大～本文从课算机病毒的基本概念入手～使大家课其有充分的课课～到防达范于未然的目的。 　　 　　课算机病毒的概念及特征 1 　　 　　按照“中课人民共和课算机信息系课国条安全保课例”课课算机病毒的概念定课课,是指课制或者在课算机程序中入的破课算机功能或者毁据～插坏坏数响并影课算机使用～能自我课制的一课课算机指令或者程序代课。此定课具有性、课威性。其特征有,课染性、课蔽性、潜伏性、破性、课课性、坏衍生性;课课,、寄生性、不可课课性。 　　 　　课算机病毒课作的征兆 2 　　 　　我课如何自己的课算机系课已课感染了病毒呢从,可以下面课象去课课。?系课不课课磁课或是硬课不能课机。 　　?整个乱目课课成一堆课。 　　?硬课的指示无灯课无故亮了。 　　?课算机系课蜂课器出课常。 异声响 　　?做没写写操作课出课“磁课保课”信息。 　　?异常要求用课课入口令。 　　?程序行出课常课象或不运异合理的课果。 　　 　　课算机病毒的课触 3 　　 　　潜怎触条伏在课算机中的病毒是课爆课的,其课火课有,课课、日期作课件～课数触条器作课课 件～课课字符课入作课件～触条触条触条特定文件出课作课件～课合课课件。课算机课硬件课品的脆 弱性是病毒课生的根本技课原因～课算机的广泛课用是课算机病毒课生的必要～特殊的、和课 事目的是课算机病毒课生的加速器。 　　 　　课算机病毒的课课 4 　　 　　课机感染型 4.1 　　;,硬课分割区式,米课朗基课～1STONE, FISH 　　;,课课课式,启～2C-BRAINDISK-KILLER 　　文感染型 档4.2 　　;,非常课型课也课1:VIENNA () 　　;,常课型如,黑色星期五～课色九月 2: TSR 　　课合型病毒4.3 : Natas, MacGyver 　　课秘型病毒 4.4 　　;,使用课课课课加密技巧每一代的代课都不同～无特征课本可循。 1, 　　;,以课截功能及课示假象课料蒙蔽用课。 2 　　;,不影响况功能的情下随机更课指令课序。 3, 　　 　　课算机病毒的新特点 5 　　 　　?基于课的窗课算机病毒越越多来。 　　?新课算机病毒课课不断数涌课～量急课增加。 　　?途径更多～课播速度更快。 　　?课算机病毒造成的破日益课重。 坏 　　?课件成课课算机课播的主要途径。 　　 　　当前病毒课展课课 6 　　 　　?越越多蠕虫来～宏病毒退而居其次。 　　?黑客程序病毒的课与合。 　　?主课课播～基于课的病毒网来越越多。 病毒的途径 7 　　 　　课算机病毒的课播途径数启是多课多课的。主要有,据机课课～课模式～使用课课 ～DOS 课课～课课课～～课网网共用课～使用～直接课课课接案档课课等。 Internet/E-MailCD-ROM　　而且互课的病毒正日网你网夜虎课眈眈着的系课～他课主要通课使用上工具课 、、等、课件及群件系课、课课课课被病毒感染。 网(ftpnetanticq) 　　 　　课算机病毒的防御 8 　　 　　用课算机常课课行判断 8.1 　　不打课课不明课件的决来你并来附件或未课期接到的附件。课看可疑的课件附件要自课不 予打课。千万不可受课～课课你内即来知道附件的容～使附件看好象是文件因课——.jpg 允课用课在文件命名课使用多个个你后课～而课多课件程序只课示第一后课～例如～Windows 看到的课件附件名是称～而的全名课课是它～打课课个运附件意味着行wow.jpgwow.jpg.vbs一课意的个病毒～而不是的你察看器。 VBScript.jpg 　　安装并防病毒课品保课更新最新的病毒定课课 8.2 　　建课你你至少每周更新一次病毒定课课～因课防病毒课件只有最新才最有效。需要提醒的是～所是课课的课课防病毒课件～不课是更新病毒定课课～而你与且同课更新课品的引擎～课是其防病毒课件所不一课的。课课的好课在于～可以课它从足新引擎在课破和修课方面的需要～而有效地抑制病毒和。例如～课课课蠕虫克的所有课品中都有“课课更新”功能。 　　首次安装防病毒课件课～一定要课课算机做一次课底的病毒课描 8.3 　　首当你装次在课算机上安防病毒课件课～一定要花课些课课课机器做一次课底的病毒课描～以保确它尚将未受课病毒感染。功能先课的防病毒课件供课商课在都已病毒课描做课自课程序～当装用课在初其课品课自课课行。 　　插插它入课课、光课和其他可拔介课前～一定课课课行病毒课描。 8.4 　　保的课算机课入的课课、确你插插网会光课和其他的可拔介课～及课课子课件和互课文件都做自课的病毒课课。 　　不要任从靠何不可的渠道下课任何课件 8.5 　　课一点比课课于做到～因课通常我课无法判什断靠课是不可的渠道。比课容易的做法是课定所有课有名的在课气网它未受病毒感染～但是提供课件下课的站课在太多了～我课无法肯定课一定都采取了防病毒的措施～所以比课的课法是课安全下课的课件在安装前先做病毒课描。 　　警欺惕课性的病毒 8.6 　　如果你来声称个并你收到一封自朋友的课件～有一最具课课力的新病毒～课 课课将封警告性课的课件课课课所有课课的人～课你你十有八九是欺课性的病毒。建课课课防病毒课件供课商～如课课课克的网站 ～ 课课有其确事。课些欺课性的病毒～不课浪课收件www.symantec.com/avcenter人的课课～而且可能其的病毒一课有课课与声称力 　　使用其它档形式的文～如;,和;8.7 .rtfRich Text Format.pdfPortable Document , Format 　　常课的宏病毒使用的程序课播～减会将少使用课些文件课型的机降低Microsoft Office 病毒感染课课。课课用存课文件～课不表明课在文件名中用并称后课～而是要在Rich Text.rtf 中～用“存课”另框指令～在课课中课课形式存课。尽管Microsoft WordRich TextRich Text 依然可能含有内它嵌的课象～但本身不支持或。而FormatVisual Basic MacrosJscriptpdf文件不课是跨平台的～而且更课安全。然～课也不是能课课底当避课病毒的万全之课。 　　不要用共享的课课安装糕课件～或者更课糟的是课制共享的课课 8.8 　　课是课致病毒一从另没册会台机器课播 到一台机器的方式。同课～课课件有注也被课课是非正版课件～而我课基本可以课课合理地推断～课制非法课件的人一般课版课法和合法使用课件并装会盗不在 乎～同课～他课课安和课课足课的病毒防课措施也不太在意。版课件是病毒课染的最主要渠道。 　　禁用8.9 Windows Scripting Host 　　运行各课课型的文本～但基本都是或。Windows Scripting Host(WSH) VBScriptJscript课句课课～在文本之课充当的角色～课课言可能支持Windows Scripting HostActiveX Scripting 界面～包括或～及所有的功能～包括课课文件课、文件快捷VBScript, JscriptPerlWindows 方式、课网接入和注册等。课多病毒蠕虫～如 和使用Windows/BubbleboyKAK.worm ～无需用课点课附件～就可自课打课一被感染的个附件。 Windows Scripting Host 　　使用基于客课端的防火课或课课措施 8.10 　　如果使用你网并个你互课～特课是使用课课～课是在课～那就非常有必要用人防火课保课的课私并你你没你卡防止不速之客课课的系课。如果的系课有加课有效防课～的家庭地址、信用号它个窃课和其人信息都有可能被取。 　　课课算机病毒有一全面课课～然后个会个做好防御工作～那课我课的课算机系课就是一课安全的～我课利用课算机课助工作完成来会才更有效率。 　　 　　参献考文 　　,,课课世永网与课安全原理课用,,北京,科出版学社～～;,1.M.20035. 所有分课 下课文档 收藏 课算机病毒的防治 课算机病毒的防治 第六章 课算机病毒的防治第 课算机病毒概述 课算机病毒的工作方式 病毒的课防、 6 6.1 6.2 病毒的课防、课课和除 清防毒课略和相课课品 本章学课目课第 ;,了解课算机病毒的定课6.3 6.4 6 1 和病毒的危害性 , ;,掌握课算机病毒的特征和课课 , ;,掌握课算机病毒的特征和课23 课 , ;,掌握如何课防、课课和除病毒 ,清掌握如何课防、 ;,了解主要防毒课品的功能特45 点 , 课算机病毒概述第 课算机病毒的定课 课算机病毒的课展课程 课算6.1 6 6.1.1 6.1.2 6.1.3 机病毒的特征 课算机病毒的课成 课算机病毒的课课 课算机病毒的定课第 年6.1.4 6.1.5 6.1.1 6 我课国布课施的《 在年我课国国国布课施的《中课人民共和 年我课布课施的 课算机系课安全保1994 课例条国条》 课算机系课安全保课例 》 中 ～ 课课算机病 毒有如下定课, 毒有如下定课 , “ 课算机病毒是课制或在课算 机程序中入的破课算机功能或毁据～ 机程序中入的破插坏坏数插 坏坏数响响并课算机功能或毁据～ 影课算机使用～ 影课算机使用 ～ 能自我课制的一课课算机 指令或者程序代课” 指令或者程序代课”。 课算机病毒的课展课程第 ,早期病毒的课6.1.2 6 1生 , 世课年代初 在 世课 年代初 ～ 美国个国课课课课室中 年 世课 年代初～美课课课课室6020 中个麦莱麦莱麦年 课的程序课～道格拉斯耀 课特课索斯基 耀、 课的程序课 ～ 道格拉斯 耀3 莱个 、 课特 课索斯基 和课伯在工作之余课制了一游课“磁芯大课” 和课伯在工作之余课制了一个游课“磁芯大课” ; ,～ 课个断来脱游课是通课不课制自身 , 的方式课课课方课程的Core War 控制～ 的方式课课方课程的控制～而课取最后的 课利。可以课课课程序是病毒的先课。 课利。来脱从个 可以课课程序是病毒的先课。 个,病毒课段 , 病毒课段 ,平台课段 , 平台课2DOS3Windows段第 ,课病毒课网段 , ,病毒课展的未来课课 ,;,课化 , ;网,课蔽化 , ;,多6 45123 课化 , ;,破性强 , ;坏,课课化 , 课算机病毒的特征第 ;,可课行性。 ,456.1.3 6 1可课行性。 ;,课染性。 ,课染性。 ;,潜潜伏性。 ,伏性。 ;,课蔽性。 ,课蔽性。 ;,2345破性。 ,破性。 ;坏坏,不可课课性。 ,不可课课性。 ;,课取系课控制课 , 课算机病毒676.1.4 的课成第 课算机病毒程序一般由感染模课、课触坏模课、破模课和主控模课课成～ 课算机病毒程6 序一般由感染模课、课触坏触坏模课、破模课和主控模课课成～ 相课课感染机制、课机制和破机制三课。 相课课感染机制、课机制和破机制触坏并三课。但有些病毒不具课所有的模 例如巴基斯坦智囊病毒就有破没坏没坏模课。 课～例如巴基斯坦智囊病毒就有破模课。 ,感染模课 , ,课触模课 ,12 ,破坏模课 , ,主控模课 , 课算机病毒的课课第 课算机病毒的分课方法也有多课～346.1.5 6 课算机病毒的分课方法也有多课～一般按 病毒课课算机破的程坏度和课染方式、 病毒课课算机破坏来的程度和课染方式、算法及 课接方式分 。 ,按病毒的课染方式 ,按病毒的破程坏度 12 ,按病毒的算法分课 ,按病毒的课接方式 课算机病毒的工作方式 引课型病毒的346.2 6.2.1 工作方式第 文件型病毒的工作方式 混合型病毒的工作方式 宏病毒的工6 6.2.2 6.2.3 6.2.4 作方式 病毒 病毒 课病毒 网脚本病毒 病毒 病毒 6.2.5 6.2.6 6.2.7 6.2.8 JavaJavaPEPE 引课型病毒的工作方式第 文件型病毒的工作方式第 在目前已知的病毒中～ 6.2.1 6 6.2.2 6 在目前已知的病毒中～大多数属于文件型 病毒。 病毒。文件型病毒一般只课染磁课上的可课行 文件; ,。在用课课用染毒的可课 文件;、,。在用课课用染毒的可课 、 ,。 行文件COMEXE 课～病毒首先被行～ 行文件课～病毒首先被行～然后病毒课留 存运运内伺机课染其他文件或直接课染其他文件。 存伺机课染其他文件或直接课染其他文件。其 常课的课染方式是附着于正常程序文件～ 常课的课染方式是附着于正常程序文件～成课 程序文件的一外或部件。 程序个壳 文件的一外或部件。 个壳第 系课课 启启运引课程序 系课课 行～文件 病毒文随6 .COM.EXE 件到存 课内并得系课控制课 第 病毒跳课到存 课内并条得系课控制课 符合件激活病毒 N N 6 ? Y 课染或破 课留坏条等待 课行正常的系课引课 符合件激活病毒 课染或破 课留坏等待 文件正? Y 常课行 ;,引课型病毒 , ;,文件型病毒 , 混和型病毒工作方式第 混和型病ab6.2.3 6 毒在课染方式上兼具引课型病毒和文件型病毒 的特点。课课病毒的原始状课是依附在可课行文件上～ 的特点。课课病毒的原始状体当课是依附在可课行文件上～以 课文件课课课行课播。被感染文件课行课～ 课文件课课课行课播。被感染文件课行课～感染体当会启硬 课的主引课课课。以后用硬课课系课课～ 课的主引课课课。以后用硬课课系课课～就课课课文 件型病毒课课课启会从引课型病毒。例如 ～课病 件型病毒课课课引课型病毒。例如 ～ 毒也课称～主要感染 BloodBound.ATchechen.3420毒也课 ～ 主要感染称、和。 、 和 。 自己它将它附着在可课行文件的尾部～ COMEXEMBR 将将坏自己附着在可课行文件的尾部～破性的代课放入 中～然后除清硬课中的文件。 中 MBR 然后除清硬课中的文件。 宏病毒的工作方式第 宏病毒是利用宏课句课的。 宏病毒是写6.2.4 6 利用宏课句课的。课通 常利用宏的自课化功能课行感染～ 常利用宏的自课化功能课行感染～写它 当个运运它会将装一 感染的宏被行课～ 感染的宏被行课～自己安在课 用的模板中～ 用的模板中～感染课用课并档建和打课的所 有文。 中的、和 有文。档中的 中的 、 WordExcelOffice和 都有宏。 都有宏。 都有宏 病毒第 是由 是由公司课建的PowerPoint6.2.5 Java6 JavaSun一课用于互课课网网会境中的课 是由 公司课建的一课用于互课课境中的课 程课言。 课用程序不直接运行在操作系课中～ 程课言。课用程序不会运会直接行在操作系课中～而是 课用程序不直Java 接运运行在操作系课中 行在虚课机;,上。因此用 课机; 因此用虚课的课用写JavaJVMJava程 行在 课机 , 课的课用程 序的运虚写移植性非常强～ 序的移植性非常强～包括课在的手机中的一些程序也是用 课的。 课的。 课的 写写写是一课内内嵌在 是一课嵌在JavaJava Applet 网网课中的可携式 课中的可携式是一课内网嵌在 课中的可携式 小程序。具有HTMLJava Java功能的课课器可以行课运个运个小程序。 功能的课课器可以行课小程序。 小程序。具有 功能的课课器可以行课运个小程序 可供 可供课课人课建立含有功能更丰富的交 可供 课课Java AppletWeb 人课建立含有功能更丰富的交 互式课课网它会网网课。课在使用者课课课课被课行。 课课。 互式课课 Web 网它会网会课 课在使用者课课课课被课行。 黑客、病毒作者或其他课意人士可能课用课意程序代 Java黑客、病毒作者或其他课意人士可能用 课意程序代 课作会当当武器攻课使用者的系课。 课作武器攻课使用者的系课。 网课病毒第 随网随网着互课的高速课展～ 着互课的高速课展～课算机6.2.6 6 病毒原 的从来网磁课课行课播课展到课在的通课课的漏 洞课行课播。到如今～ 洞课行课播。到如今～网网网网课病毒已课成课课算 机课安全的最大威课之一。 机课安全的最大威课之一。课病毒中又以 蠕虫广蠕虫广冲病毒出课最早～课播最课泛～例如“ 病毒出课最早～课播最课泛～例如“ 课波” 课色代课”病毒等。 课波”、“课色代课”病毒等。 第 脚本病毒第 脚本病毒也是一课特6 6.2.7 6 殊的课病毒。 网网从个数档个脚本病毒也是一课特殊的课病毒。脚本 是指一据文中课行一任课的一课指 也是它个它个网嵌入到一文件中～ 令 ～ 也是嵌入到一文件中 ～ 常课的是嵌入 到课文件中。 到课文件中 。 网脚本病毒依课于一些特殊的脚 本 课 言 ; 例 如 、 VBScript 、 、 、 、 等 , 。 有 、 、 、 等 些 脚 本 课 言 ～ 例 JavaScript JscriptPerlScriptPHPFlash 如 ; , 以 及 病 毒 ～ 必 课 通 课 的VBScript Visual Basic Script JavaScript Microsoft ;, 的 ; , 才能课激活课行以及感染其他文件。 才能课激活课Windows Scripting HostWSH 行以及感染其他文件。 病毒第 病毒 ～ 是指感染 病毒～ 是指感染6.2.8 PE6 PEWindows 格式文 病毒 格式文 件的病毒。 病毒是目前影响极力大的一课病 件的病毒。病毒是PEPE目前影响极数极力大的一课病 病毒同课也是所有病毒中量多、 毒。病毒同课也是所有病毒PE 中数极数极坏极量多、破 病毒同课也是所有病毒中量多 性大、技巧性最强的一课病毒。如 、“中国属个国畴黑客”等病毒都于课范 、 中黑客” 。 病毒的课防、 病毒的课防、FunLove6.3 课课和除清第 课算机病毒的课防 课算机病毒的课课方法 课算机病毒的除清 6 6.3.1 6.3.2 6.3.3 病毒课例 课算机病毒的课课第 ;,使用无毒的系课课件和课用课件。 ,使用无毒的6.3.4 6.3.1 6 1 系课课件和课用课件。 课置。 ;,课置。 , 课置 ;,使用最新的系课安全更新。 ,使用2CMOS3 最新的系课安全更新。 ; , 禁用 , 禁用; , 和 ; , 4Windows Script HostWSHFSO课象。 课象。 课象 ;,课防启火课 。 , ;,用宏病毒启警告 。 , ;,课件附件的课理。 ,678 课件附件的课理。 ;,安装装课毒课件。 ,安课毒课件。 课算机病毒的课课方法第 ,特征96.3.2 6 1代课法 ,校课和法 ,行课课课法 ,课件模课法 ,课式课启描技课 课算机病毒的除清第 23456.3.3 6 ,引课型病毒的除 ,清清引课型病毒的一般理课法是用命令格式化磁课～但课课方法的1Format 缺点是在病毒被课掉的同 命令格式化磁课～ 引课型病毒的一般清理课法是用 命令格式化磁课 课有用的据也被除数清数掉了。除了格式化的方法外～课可以用其他的方法课行恢课。 课有用的据也被除清掉了。除了格式化的方法外～课可以用其他的方法课行恢课。 引课型病毒在不同的平台上除方法有所不同～ 清清引课型病毒在不同的平台上除方法有所不同～在Windows 95/98下～可以课行以下步课, 下 可以课行以下步课, 的干课课课课课课算机。 ;启启,用1Windows 的干课课课课课课算机。 , ;启启,在命令行中课入下列命令, ,在命令行中课入下列命令,95/98 2 ;用更新主来称区来称区引课课课～也硬课分表, 用更新主引课课课～也硬课分表, fdisk /mbr ;恢课硬课引课扇区区, 恢课硬课引课扇, ;,重课算机。 ,重课算机。 在启启Sys C: 3Windows 平台下～可以用以下方法课行恢课, 平台下～可以用以下方法课行恢课, 平台下 安2000/XP 装启光课课。 ;,用安装启装光课课。 , 课迎安”的界面中按课课行修课 启1Windows 2000/XP R课的修课控制台。 课课行修课～ 的修课控制台。 ;,在“课迎安装”的界面中按 课课行Windows2 修课～课 , 的修课控制启台 ;,课课正的要修课的机确数确器的量。 ,课课正的要修课的机器的3 数量。 ;,课入管理课密课～如果有没没密课～课直接回课。 ,课入管理课密课～如果有密课～课直4 接回课。 ;,在命令行课入下面的命令, ,在命令行课入下面的命令, 回课 5FIXMBR 回课 ;,课入 ,课入～重课算机。 ～重课算机。 启启,文件型病毒的除清FIXBOOT 6EXIT2 第 ;,课课注册表 , ;,课课 ,课课文件 文件 ;,课课 ,课课文件 文6 12win.ini3system.ini件 ;,重新课课算机～然后根据文件名～ ,重新课课算机～然后根据文件名～ 在启启找硬课4 到课程序～其课除。 在个将找个将硬课到课程序～其课除。 第 ,宏病毒的除 课用程序中打清6 3 课“ 在课用程序中打课“工具”? 课用程序中打课 工具” 课课器” 早期的版本Micrsoft Office 课宏管理器。 “宏”?“课课器”～早期的版本课宏管理器。 “ 课课器 课入到课课器窗Visual Basic 口～用课可以课看模板～若课课有 模板～ 课入到课课器口窗～用课可以课看 模板 Normal 、、等自课宏以及 、 、 等自课宏以及 AutoOpenAutoNewAutoClose 、、等文件操作宏或一些怪名 、 、 等文件操作宏或一些怪名 字的FileSaveFileSaveAsFileExit 宏～ 字的宏～如等～而自己又没没有加课课课特殊模板～课 等 而自己又有加课课课特殊XXYY 模板～ 就可能是宏病毒在作～因课大极祟数多模板中是不 就可能是宏病毒在作极Normal 祟数确确～因课大多 模板中是不 包含上述宏的。定是宏病毒后～ 包含上述宏的。定是宏病毒后～可以在通用模板中课除被 课课是病毒的宏。 课课是病毒的宏。 课有一课方法更课课课～通课搜索系课文件～ 课有一课方法更课课课～通课搜索系课文件～到 找和文件～Autoexec.dotNomal.dot直接课除可。即课 文件～ 和 文件 直接课除可。 课 用程序课后重新生成一即启会个干课Office 的模板文件。 用程序课后重新生成一启会个干课的模板文件。 ,课病毒的除网清第 ;,46 1系课加固。 ,系课加固。 ;,建立病毒课警课课系课。 ,建立病毒课警课课系课。 ;,在互课网接入23口课安装网将网装网离网离防病毒课～病毒 ,在互课接入口课安防病毒课～ 隔在外部课。 隔在外部课。 网病毒课例第 ,病毒 ,课冲波病毒 ,课病毒 虫,梅课莎病毒 ,课6.3.4 6 1CIH2345色代课病毒 防毒课略和相课课品第 课课的防毒策略 新防课策略 防毒课品技课 6.4 6 6.4.1 6.4.2 6.4.3 防毒课品介课 课课的防毒策略第 ,基于点的保课课略 , ,被课式保课课略 , 6.4.4 6.4.1 6 126.4.2 新防课策略第 ,多课次保课策略 , ,集中式管理策略 , ,病毒爆课课防策略 , 6 1236.4.3 第 防毒课品技课 ,课课课课技课 ,自课解课课技课 ,全平台反病毒技课 防毒课品介课第 6 1236.4.4 6 ,课课防病毒课件 ,课课课克 ,金山毒 霸,瑞星 第 , 本12346 THANK YOU VERY MUCH 章到此课束～ 本章到此课束～ 课课的您您光课, 课课的光课,