7
第 2 章 计算机病毒
2.1.4 病毒的种类 按广义病毒概念分类
蠕虫（worm）：监测IP地址，网络传播 逻辑炸弹（logic bomb）：条件触发，定时器 特洛伊木马（Trojan Horse）：隐含在应用程序上的一段程 序，当它被执行时，会破坏用户的安全性。 陷门：在某个系统或者某个文件中设置机关，使得当提供 特定的输入数据时，允许违反安全策略。 细菌（Germ）:不断繁殖，直至添满整个网络的存储系统
10
第 2 章 计算机病毒
2.1.6 计算机病毒与存储结构
磁盘空间的总体划分：主引导记录区（只有硬盘有）、 引导记录区、文件分配表 （FAT）、目录区和数据区。 软盘空间的总体划分：引导记 录区、文件分配表1、 文件分配表2、根目录区以及数据区 硬盘空间的总体划分：
主引导记录区：主引导程序、分区信息表 多个系统分区：
30
第 2 章 计算机病毒
2.7.1 小球病毒
小球病毒攻击的对象主要是PC机及其兼容机，这种病毒是 在世界各地出现比较早的病毒，它的破坏性不是很强，主 要是对系统的信息显示产生干扰。 小球病毒的表现形式：
屏幕上显示按近似正弦轨迹跳动的小球，到达屏幕边缘反弹 系统运行速度显著减慢
小球病毒的传染途径：
34
第 2 章 计算机病毒
2.7.2 黑色星期五病毒（长方块）
4、黑色星期五病毒程序原理分析
（1）引导驻留部分 （2）传播部分
5、黑色星期五病毒的诊断方法
（1）检查系统中是否感染有病毒 （2）检查文件上是否感染了病毒
6、黑色星期五病毒的清除与免疫：
免疫：在特定位置上放置病毒标识（特征值） 病毒的清除：有系统中病毒和文件中病毒两种。
具有磁盘引导扇区内容“复原”功能。
修改内存容量，病毒驻留内存。 修改磁盘访问中断，在进行磁盘写操作的时候进行传播。
2.2.2 引导型病毒传播方式
正常的操作系统启动过程 感染引导型病毒的操作系统启动
16
第 2 章 计算机病毒
2.2.3 引导型病毒的清除方法
1、病毒诊断
1）用DEBUG诊断 2）用CHKDSK命令诊断 3）用PCTOOLS实用工具软件诊断
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
13
第 2 章 计算机病毒
2.1.9 病毒的防治
预防措施
访问控制、进程监视、校验信息的验证、病毒扫描程序、 启发式扫描程序、应用程序级扫描程序
第 2 章 计算机病毒
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
第 2 章 计算机病毒
2
第 2 章 计算机病毒
3
第 2 章 计算机病毒
4
第 2 章 计算机病毒
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
病毒检查
比较法、搜索法、特征字识别法、分析法、通用解密法、 人工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、病毒交 叉感染的消除
14
第 2 章 计算机病毒
2.2 引导型病毒
15
第 2 章 计算机病毒
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。 只有在计算机启动过程中，磁盘被引导时，“引导型”病毒才被激活。
隐藏读写操作 隐藏长度 同时隐藏读写操作和长度。
Java病毒
29
第 2 章 计算机病毒
2.7 典型病毒原理及防治方法
小球病毒是典型的引导型病毒，它具备了引导型 病毒的一些明显特性。 黑色星期五病毒是典型的文件型病毒，它具有很 大的破坏性。 宏病毒是一种新形态的计算机病毒，也是一种跨 平台式计算机病毒。 CIH病毒是典型的Windows平台下的文件型病毒， 它感染EXE文件，驻留内存，感染Windows环境下 的PE格式文件，攻击计算机的BIOS，它具有很大 的破坏性。
18
第 2 章 计算机病毒
2.3.2 文件型病毒传播方式
前置感染 后置感染 覆盖感染 扩展覆盖感染
19
第 2 章 计算机病毒
2.3.3 文件型病毒的清除方法
1、病毒诊断
（1）比较文件内容 （2）系统的内存变化 （3）检查中断向量 2、 文件型病毒的清除
20
第 2 章 计算机病毒
2.4 混合型病毒
26
第 2 章 计算机病毒
2.6.1 网络病毒的特点 网络病毒的特点：
1、破坏性强 2、传播性强 3、具有潜伏性和可激发性 4、针对性强 5、扩散面广
27
第 2 章 计算机病毒
2.6.2 网络防毒措施
服务器 工作站 网络管理
28
第 2 章 计算机病毒
2.6.3 常见网络病毒
蠕虫 多态病毒 伙伴病毒 BO病毒 隐藏病毒
24
第 2 章 计算机病毒
2.5.3 宏病毒的清除方法
1、宏病毒的预防 2、宏病毒的检测与清除
（1）用操作系统的“查找”功能 （2）用Office系统的检查 （3）其他手工方法 （4）使用专业杀毒软件
25
第 2 章 计算机病毒
2.6 网络病毒与防护
网络病毒并不是指某种特定病毒，它是能够在 网络上进行传播的计算机病毒的总称。 2.6.1 网络病毒的特点 2.6.2 网络防毒措施 2.6.3 常见网络病毒
8
第 2 章 计算机病毒
2.1.5 病毒的基本结构
引 导 部 分
传播部分 表现部分
计算机病毒程序结构
9
第 2 章 计算机病毒
2.1.5 病毒的基本结构
引导部分：把病毒程序加载到内存。 功能：驻留内存、修改中断、修改高端内存、保存原 中断向量 传染部分：把病毒代码复制到传染目标上。 功能：条件判断、与主程序连接、设置标志。 表现部分：运行、实施破坏 功能：条件判断、显示、文件读写
中断源：引起中断的原因或者说发出中断请求的来源。 根据中断源的不同，可以把中断分为：
硬件中断可以分为外部中断和内部中断两类：
外部中断：一般是指由计算机外设发出的中断请求。
内部中断：是指因硬件出错或运算出错所引起的中断。
软件中断：其实并不是真正的中断，它们只是可被调用执行 的一般程序。
12
第 2 章 计算机病毒
（1）消除系统中的病毒 2）消除文件上的病毒
35
第 2 章 计算机病毒
2.7.3 美丽莎宏病毒
美丽莎宏病毒的表现形式 美丽莎宏病毒的传染机制
HKEY_CURRENT_USER\Software \Microsoft\Office\9.0\Word\Security\“level”
定义：一些病毒即能感染文件也能感染引导扇区。
混合型病毒有文件型和引导型两类病毒的某些共同 特性
混合型病毒的诊断、清除方法可以结合诊断、清除文 件型和引导型病毒使用的方法进行。
21
第 2 章 计算机病毒
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒，它的产生是利用了一些数据处理系 统。这种特性可以把特定的宏命令代码附加在指定文件上，在未经使 用者许可的情况下获取某种控制权，实现宏命令在不同文件之间的共 享和传递。 病毒通过文件的打开或关闭来获取控制权，然后进一步捕获一个或多 个系统事件，并通过这些调用完成对文件的感染。 宏病毒与传统的病毒有很大不同，它不感染.EXE和.COM等可执行文 件，而是将病毒代码以“宏”的形式潜伏在Office文件中，主要感染 Word和Excel等文件，当采用Office软件打开这些染毒文件时，这些 代码就会被执行并产生破坏作用。 宏病毒与VBA 宏病毒与正常的宏采用相同的语言编写，只是这些宏的执行效果有害。 宏病毒也应用了定自动执行这一特点，使用户在打开文件时不知不觉 地就运行了这些病毒程序。
系统型病毒的磁盘存储结构：磁盘引导扇区（引导部 分）、磁盘其他的扇区（传染、表现部分) 病毒程序定位 文件型病毒的磁盘存储结构 外壳病毒
11
第 2 章 计算机病毒
ቤተ መጻሕፍቲ ባይዱ
2.1.7 计算机病毒与中断
中断的定义：CPU在运行过程中对外部事件发出的中 断请求及时地进行处理，处理完成后又立即返回断点， 继续进行CPU原来的工作。
33
第 2 章 计算机病毒
2.7.2 黑色星期五病毒（长方块）
2、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成：
（1）引导驻留部分 （2）传播部分 （3）破坏部分
3、黑色星期五病毒的传染机制 黑色星期五病毒的传染过程是将其自身复制到在 其控制下的系统中运行的所有执行文件中。
执行带有病毒的程序 动态（主动）传染条件
2、手工清除病毒办法
1）硬盘主引导扇区病毒清除 2）硬盘操作系统引导扇病毒清除 3）软盘引导扇区病毒清除
17
第 2 章 计算机病毒
2.3.1文件型病毒特点
文件型病毒的主要特点是：
系统执行病毒所寄生的文件时，其病毒才被激活。
有可能直接攻击目标对象，主要是EXE、COM等可 执行文件，如果是混合型病毒，则还要攻击硬盘的主 引导扇区或操作系统引导扇区。 修改系统内存分配，病毒驻留内存。 修改系统中断，等待时机进行病毒的发作或再次传 播。
32
第 2 章 计算机病毒
2.7.2 黑色星期五病毒（长方块）
1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小量块 感染不成功时，系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加（COM +1813一次，EXE+1808无数次）