21
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒，它的产生是利用了一些 数据处理系统。这种特性可以把特定的宏命令代码附加在 指定文件上，在未经使用者许可的情况下获取某种控制权， 实现宏命令在不同文件之间的共享和传递。
病毒通过文件的打开或关闭来获取控制权，然后进一步捕 获一个或多个系统事件，并通过这些调用完成对文件的感 染。 宏病毒与传统的病毒有很大不同，它不感染.EXE和.COM 等可执行文件，而是将病毒代码以“宏”的形式潜伏在 Office文件中，主要感染Word和Excel等文件，当采用 Office软件打开这些染毒文件时，这些代码就会被执行并 产生破坏作用。 宏病毒与VBA
硬件中断可以分为外部中断和内部中断两类：
外部中断：一般是指由计算机外设发出的中断请求。 内部中断：是指因硬件出错或运算出错所引起的中断。
软件中断：其实并不是真正的中断，它们只是可 被调用执行的一般程序。
12
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
2
3
4
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
计算机病毒定义：是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据、影响计算 机使用且能自我复制的一组计算机指令或者程序 代码。 病毒传播载体：网络、电磁性介质和光学介质 病毒传染的基本条件：计算机系统的运行、读写 介质（磁盘）上的数据和程序 病毒的传播步骤：驻留内存、寻找传染的机会、 进行传染。 病毒传染方式：引导扇区（包括硬盘的主引导扇
8
2.1.5
病毒的基本结构
引 导 部 分
传播部分 表现部分
计算机病毒程序结构
9
2.1.5
病毒的基本结构
引导部分：把病毒程序加载到内存。 功能：驻留内存、修改中断、修改高端内存、 保存原中断向量 传染部分：把病毒代码复制到传染目标上。 功能：条件判断、与主程序连接、设置标志。 表现部分：运行、实施破坏 功能：条件判断、显示、文件读写
2、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成：
（1）引导驻留部分 （2）传播部分 （3）破坏部分
2.7.2 黑色星期五病毒（长方块）
3、黑色星期五病毒的传染机制 黑色星期五病毒的传染过程是将其自身复 制到在其控制下的系统中运行的所有执行 文件中。
执行带有病毒的程序 动态（主动）传染条件
14
2.2 引导型病毒
15
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。 只有在计算机启动过程中，磁盘被引导时，“引导型”病毒 才被激活。 具有磁盘引导扇区内容“复原”功能。
修改内存容量，病毒驻留内存。
修改磁盘访问中断，在进行磁盘写操作的时候进行传播。
HKEY_CURRENT_USER\Software \Microsoft\Office\9.0\Word\Security\“level”
36
2.7.4 CIH病毒
37
小
结
作业 P79 1、3、6 1、什么是计算机病毒？它由哪几部分构成？ 3、计算机病毒的基本特征是什么？ 6、说明计算机病毒与计算机存储结构之间的 关系
10
2.1.6 计算机病毒与存储结构
磁盘空间的总体划分：主引导记录区（只有硬 盘有）、引导记录区、文件分配表 （FAT）、 目录区和数据区。 软盘空间的总体划分：引导记 录区、文件分 配表1、文件分配表2、根目录区以及数据区 硬盘空间的总体划分：
主引导记录区：主引导程序、分区信息表 多个系统分区：
26
2.6.1
网络病毒的特点
网络病毒的特点：
1、破坏性强 2、传播性强 3、具有潜伏性和可激发性 4、针对性强 5、扩散面广
27
2.6.2 网络防毒措施
服务器 工作站 网络管理
28
2.6.3 常见网络病毒
蠕虫 多态病毒 伙伴病毒 BO病毒 隐藏病毒
22
2.5.1 宏病毒特点
宏病毒的表现
自身的传播无破坏性 干扰打印和显示 删除文件
宏病毒的特点
容易制造 交叉硬件平台 传播速度极快 具有很好的隐蔽性 破坏性强
23
2.5.2 宏病毒传播方式
实际上，宏病毒感染通用模板的目的，仅 仅相当于普通病毒要感染引导扇区和驻留内 存功能，附加在公用模板上才有“公用”的 作用，感染Word或Excel系统是为了进一步 获得对系统，特别是对Office系统的控制权。 其最终目的是要传染其他Office文件，即传染 用户自己的文档文件或个人模板。可以说， 在同一台计算机上宏病毒的传染主要靠通用 模板的机制，在不同的计算机之间宏病毒的 传播，就要靠具体的Office文件，通过磁介质 或网络来进行。其中也包括Office系统中 “HTML模板”发布到网上的传染机制。
5
2.1.3 病毒的特点
隐蔽性：隐藏在操作系统的引导扇区、可执 行文件、数据文件、标记的坏扇区。 传染性：自我复制 潜伏性：定期发作 可触发性：控制条件，日期、时间、标识、 计数器 表现性或破坏性：干扰系统、破坏数据、占 用资源
6
2.1.4 病毒的种类
按破坏性分类
良性病毒：是指那些只是为了表现自己而并不破坏系统数 据，只占用系统CPU资源或干扰系统工作的一类计算机病 毒。 恶性病毒：是指病毒制造者在主观上故意要对被感染的计 算机实施破坏，这类病毒一旦发作就破坏系统的数据、删 除文件、加密磁盘或格式化操作系统盘，使系统处于瘫痪 状态。
24
2.5.3 宏病毒的清除方法
1、宏病毒的预防 2、宏病毒的检测与清除
（1）用操作系统的“查找”功能 （2）用Office系统的检查 （3）其他手工方法 （4）使用专业杀毒软件
25
2.6 网络病毒与防护
网络病毒并不是指某种特定病毒，它是 能够在网络上进行传播的计算机病毒的总称。 2.6.1 网络病毒的特点 2.6.2 网络防毒措施 2.6.3 常见网络病毒
32
1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小量块 感染不成功时，系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加（COM +1813一次，EXE+1808 无数次）
33
2.7.2 黑色星期五病毒（长方块）
2.2.2 引导型病毒传播方式
正常的操作系统启动过程 感染引导型病毒的操作系统启动
16
2.2.3 引导型病毒的清除方法
1、病毒诊断
1）用DEBUG诊断 2）用CHKDSK命令诊断 3）用PCTOOLS实用工具软件诊断
2、手工清除病毒办法
1）硬盘主引导扇区病毒清除 2）硬盘操作系统引导扇病毒清除 3）软盘引导扇区病毒清除
隐藏读写操作 隐藏长度 同时隐藏读写操作和长度。
Java病毒
29
2.7 典型病毒原理及防治方法
小球病毒是典型的引导型病毒，它具备了 引导型病毒的一些明显特性。 黑色星期五病毒是典型的文件型病毒，它 具有很大的破坏性。 宏病毒是一种新形态的计算机病毒，也是 一种跨平台式计算机病毒。 CIH病毒是典型的Windows平台下的文件 型病毒，它感染EXE文件，驻留内存，感 染Windows环境下的PE格式文件，攻击计 算机的BIOS，它具有很大的破坏性。
17
2.3.1文件型病毒特点
文件型病毒的主要特点是： 系统执行病毒所寄生的文件时，其病毒才被 激活。
有可能直接攻击目标对象，主要是EXE、 COM等可执行文件，如果是混合型病毒，则 还要攻击硬盘的主引导扇区或操作系统引导 扇区。 修改系统内存分配，病毒驻留内存。
18
2.3.2 文件型病毒传播方式
按寄生方式分类
系统引导型：系统引导时病毒装入内存，同时获得对系统 的控制权，对外传播病毒，并且在一定条件下发作，实施 破坏。 文件型（外壳型）：将自身包围在系统可执行文件的周围、 对原文件不作修改、运行可执行文件时，病毒程序首先被
7
2.1.4 病毒的种类
按广义病毒概念分类
蠕虫（worm）：监测IP地址，网络传播 逻辑炸弹（logic bomb）：条件触发，定时器 特洛伊木马（Trojan Horse）：隐含在应用程序 上的一段程序，当它被执行时，会破坏用户的安 全性。 陷门：在某个系统或者某个文件中设置机关，使 得当提供特定的输入数据时，允许违反安全策略。 细菌（Germ）:不断繁殖，直至添满整个网络的 存储系统
13
2.1.9 病毒的防治
预防措施
访问控制、进程监视、校验信息的验证、病毒扫 描程序、启发式扫描程序、应用程序级扫描程序
病毒检查
比较法、搜索法、特征字识别法、分析法、通用 解密法、人工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、 病毒交叉感染的消除
系统型病毒的磁盘存储结构：磁Fra bibliotek引导扇区 （引导部分）、磁盘其他的扇区（传染、表现 部分) 病毒程序定位 11
2.1.7 计算机病毒与中断
中断的定义：CPU在运行过程中对外部事件发 出的中断请求及时地进行处理，处理完成后又 立即返回断点，继续进行CPU原来的工作。
中断源：引起中断的原因或者说发出中断请求 的来源。根据中断源的不同，可以把中断分为：