一、計算機病毒的概念定義：計算機病毒是一段附著在其他程序上的可以實現自我繁殖的程序代碼。（國外）定義：計算機病毒是指破壞計算機功能或者數據，并能自我復制的程序。（國內）病毒發展史：1977年科幻小說《TheAdolescenceofP-1》描寫計算機病毒1983年FredAdleman首次在VAX11/750上試驗病毒；1986年Brain病毒在全世界傳播；1988年11月2日Cornell大學的Morris編寫的Worm病毒襲擊美國6000臺計算機，直接損失盡億美元；八十年代末，病毒開始傳入我國；1病毒產生的原因：計算機病毒是高技術犯罪，具有瞬時性、動態性和隨機性。不易取證，風險小破壞大。1）尋求刺激：自我表現；惡作劇；2）出于報復心理。病毒的特征：傳染性；寄生性；衍生性；隱蔽性；潛伏性；可觸發性；奪取控制權；破壞性與危害性；2病毒的分類：按破壞性分為：良性；惡性。按激活時間分為：定時；隨機按傳染方式分為：引導型：當系統引導時進入內存，控制系統；文件型：病毒一般附著在可執行文件上；混合型：既可感染引導區，又可感染文件。按連接方式分為：OS型：替換OS的部分功能，危害較大；源碼型：要在源程序編譯之前插入病毒代碼；較少；外殼型：附在正常程序的開頭或末尾；最常見；入侵型：病毒取代特定程序的某些模塊；難發現。3按照病毒特有的算法分為：伴隨型病毒：產生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EXE文件。“蠕蟲”型病毒：只占用內存，不改變文件，通過網絡搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統的引導扇區或文件中。變型病毒（幽靈病毒）：使用復雜算法，每傳播一次都具有不同內容和長度。一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。4病毒的組成：安裝模塊：提供潛伏機制；傳播模塊：提供傳染機制；觸發模塊：提供觸發機制；其中，傳染機制是病毒的本質特征，防治、檢測及殺毒都是從分析病毒傳染機制入手的。病毒的癥狀：啟動或運行速度明顯變慢；文件大小、日期變化；死機增多；莫名其妙地丟失文件；磁盤空間不應有的減少；有規律地出現異常信息；自動生成一些特殊文件；無緣無故地出現打印故障。5計算機病毒的傳播途徑1）通過不可移動的設備進行傳播較少見，但破壞力很強。2）通過移動存儲設備進行傳播最廣泛的傳播途徑3）通過網絡進行傳播反病毒所面臨的新課題4）通過點對點通訊系統和無線通道傳播預計將來會成為兩大傳播渠道6病毒的破壞行為攻擊系統數據區：主引導區、Boot區、FAT區、文件目錄攻擊文件、內存、CMOS；干擾系統運行，使速度下降；干擾屏幕、鍵盤、喇叭、打印機；破壞網絡資源。病毒的發展趨勢攻擊對象趨于混合型；反跟蹤技術；增強隱蔽性：避開修改中斷向量值；請求在內存中的合法身份；維持宿主程序外部特征；不用明顯感染標志采用加密技術，使得對病毒的跟蹤、判斷更困難；繁衍不同的變種。7二、病毒的防治網絡環境下的病毒防治原則與策略防重于治，防重在管：制度；注冊、權限、屬性、服務器安全；集中管理、報警。綜合防護：木桶原理；防火墻與防毒軟件結合最佳均衡原則：占用較小的網絡資源管理與技術并重正確選擇反毒產品多層次防御：病毒檢測、數據保護、實時監控注意病毒檢測的可靠性：經常升級；兩種以上。8二、病毒的防治防毒：預防入侵；病毒過濾、監控、隔離查毒：發現和追蹤病毒；統計、報警解毒：從感染對象中清除病毒；恢復功能病毒檢測的方法直接觀察法：根據病毒的種種表現來判斷特征代碼法：采集病毒樣本，抽取特征代碼特點：能快速、準確檢驗已知病毒，不能發現未知的病毒。9校驗和法：根據文件內容計算的校驗和與以前的作比較。優點：能判斷文件細微變化，發現未知病毒。缺點：當軟件升級、改口令時會產生誤報；不能識別病毒名稱；對隱蔽性病毒無效。行為監測法：基于對病毒異常行為的判斷特點：發現許多未知病毒；可能誤報，實施難軟件模擬法：一種軟件分析器，用軟件方法來模擬和分析程序的運行。特點：可用于對付多態病毒。10反病毒軟件的選擇1）掃描速度30秒能掃描1000個以上文件2）識別率3）病毒清除測試著名殺毒軟件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV賽門鐵克NortonAntiVirus時代先鋒（行天98）

11反病毒軟件工作原理1）病毒掃描程序串掃描算法:與已知病毒特征匹配；文件頭、尾部入口掃描算法：模擬跟蹤目標程序的執行類屬解密法：對付多態、加密病毒2）內存掃描程序：搜索內存駐留文件和引導記錄病毒3）完整性檢查器：能發現新的病毒；但對于已被感染的系統使用此方法，可能會受到欺騙。4）行為監測器：是內存駐留程序，監視病毒對可執行文件的修改。防止未知的病毒12三、幾種常見的病毒宏病毒宏(Macro)：為避免重復操作而設計的一組命令。在打開文件時，先執行“宏”，然后載入文件內容。因此如果“宏”帶有病毒，則在編輯文件時病毒自動載入。宏病毒的癥狀：1）用Word或Excel打開文件時，出現“文檔未打開”、“內存不夠”、“WordBasicErr=514”等；2）保存文件時，強制將文件按“.dot”類型存儲，或強制在指定目錄存放。3）宏病毒的版本兼容問題13幾種宏病毒：AAAZAOMacro：Concept病毒，第一個宏病毒；TaiwanNO.1：第一個中文word病毒；RainbowMacro：能改變桌面顏色；FormatC：格式化C盤，第一個木馬型宏病毒；HotMacro：第一個調用WindowsAPI的宏病毒；NuclearMacro:第一個干擾打印機、硬盤的宏病毒。宏病毒分類：公用宏病毒：以Auto開頭的宏，附在normal.dot或Personal.xls等模板上。私用宏病毒：14宏病毒的危害1）傳播迅速：因為文件交流頻繁；2）制造及變種方便：WordBasic編程容易3）危害大：WordBasic可調用WindowsAPI、DLL、DDE宏病毒的防治除殺毒軟件以外，還可嘗試下列方法：1）按住<Shift>鍵再啟動Word，禁止宏自動運行；2）工具宏，檢查并刪除所有可能帶病毒的宏；3）使用DisableAutoMacros宏4）將模板文件如normal.dot的屬性設為只讀。15三、幾種常見的病毒CIH病毒臺灣陳盈豪編寫，一般每月26日發作。不僅破壞硬盤的引導扇區和分區表，還破壞系統FlashBIOS芯片中的系統程序，導致主板損壞。病毒長1KB，由于使用VXD技術，只感染32位Windows系統可執行文件中的.PE格式文件。修復硬盤分區表：信源公司()的免費軟件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美國Symantec公司的Kill_CIH16四、網絡病毒含義1：在網上傳播、并對網絡進行破壞的病毒。含義2：專指HTML、E-mail、Java等Internet病毒。例：蠕蟲病毒，木馬程序等。2001年9月18日，Nimdaworm在Internet上迅速傳播。該病毒感染Windows系列多種計算機系統，其傳播速度之快、影響范圍之廣、破壞力之強都超過其前不久發現的CodeRedII。17特點：網上蔓延，危害更大。1）網上傳染方式多，工作站、服務器交叉感染2）混合特征：集文件感染、蠕蟲、木馬等于一身3）利用網絡脆弱性、系統漏洞4）更注重欺騙性5）清除難度大，破壞性強。網絡病毒的防范：具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測；在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。

18相對于單機病毒的防護來說，網絡病毒的防治具有更大的難度，網絡病毒防治應與網絡管理集成。管理功能就是管理全部的網絡設備：從Hub、交換機、服務器到PC，軟盤的存取、局域網上的信息互通及與Internet的連接等，所有病毒能夠進來的地方。為實現計算機病毒的防治，可在計算機網絡系統上安裝網絡病毒防治服務器；在內部網絡服務器上安裝網絡病毒防治軟件；在單機上安裝單機環境的反病毒軟件。從以下方面控制網絡病毒：服務器郵件系統WEB站點數據庫系統網關19局域網病毒防御體系1）服務器網絡病毒防殺模塊監視各節點，保護網絡操作系統安全；動態告警、殺滅各節點的病毒；配置系統整體的檢測計劃、時間；對病毒事件進行記錄、審計、跟蹤；提供技術支持，升級；2）客戶端單機病毒防殺模塊單機版殺毒軟件；響應升級要求20安裝網絡防毒軟件的方案1）在網關和防火墻上安裝防毒軟件缺點：對每個文件的檢測將影響網絡性能。2）在工作站上安裝防毒軟件缺點：管理、協調、升級困難。3）在電子郵件服務器上安裝防毒軟件僅能防止郵件病毒的傳播。4）在所有文件服務器上安裝防毒軟件對于備份服務器，備份與反毒有可能沖突。21網絡反毒的新特征：與OS結合更緊密；實時化；檢測壓縮文件病毒病毒防火墻技術：能阻止病毒的擴散在網絡服務器上安裝病毒防火墻系統，例如：InterScanVirusWall關鍵技術：OS底層接口技術：實時過濾，并少占用資源；網絡及應用程序的底層接口技術：各種協議充分利用OS的多任務、多線程機制；優化算法，減少系統開銷；221、字體安裝與設置如果您對PPT模板中的字體風格不滿意，可進行批量替換，一次性更改各頁面字體。在“開始”選項卡中，點擊“替換”按鈕右側箭頭，選擇“替換字體”。（如下圖）在圖“替換”下拉列表中選擇