《计算机硬件基础八第章软件应用程.ppt》由会员分享,可在线阅读,更多相关《计算机硬件基础八第章软件应用程.ppt(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第八章软件应用程序v一、数据库管理程序1.1 数据库技术的发展 数据管理经历了人工管理、文件系统和数据库系统三个发展阶段。v人工管理阶段 20世纪50年代中期以前,计算机主要用于科学计算。当时在硬件方面,外存储器只有磁带、卡片和纸带,没有磁盘等可以随机访问、直接存取的设备;在软件方面,没有专门管理数据的软件,没有操作系统,数据处理的基本方式是批处理。该阶段数据处理的特点是:1、数据不保存 2、数据不具有独立性 3、数据不共享 4、系统中没有对数据进行管理的软件第八章软件应用程序v文件系统阶段20世纪50年代后期到60年代中期,计算机不仅大量用于科学计算,而且还用于数据处理。在硬件方面,外存储器
2、有了磁盘、磁鼓等可以直接存取的存储设备;在软件方面,有了专门管理数据的软件,即文件系统。这一阶段的特点是:1、数据可以长期保存2、程序与数据有了一定的独立性3、数据共享性差第八章软件应用程序v数据库系统阶段 20世纪60年代后期,由于计算机用于管理的规模更加庞大,需要计算机管理的数据急剧增长,对数据共享的要求越来越强烈。这时在硬件方面,出现了大容量的磁盘,硬件价格下降;软件价格上升,为编制和维护系统软件及应用程序所需的成本相对增加。在这种情况下,将文件系统作为数据管理的手段已经不再能满足应用的需求,数据库技术便产生了,出现了管理数据的软件系统即数据库管理系统。该阶段的特点是:1、数据的共享性好
3、,冗余度小2、具有较高的数据独立性 3、数据由DBMS统一管理和控制第八章软件应用程序v数据库分为五类v1、层次数据库结构v层次数据库结构将数据通过一对多或父结点对子结点的方式组织起来。一个层次数据库中,根表或父表位于一个类似于树形结构的最上方,它的子表中包含相关数据。层次数据库模型的结构就像是一棵倒转的树。优点:v快速的数据查询v便于管理数据的完整性v缺点:v用户必须十分熟悉数据库结构v需要存储冗余数据第八章软件应用程序v2、网状数据库结构v网状数据库结构是用连接指令或指针来组织数据的方式。数据间为多对多的关系。矢量数据描述时多用这种数据结构。优点:v快速的数据访问v用户可以从任何表开始访问
4、其他表数据v便于开发更复杂的查询来检索数据v缺点:v不便于数据库结构的修改v数据库结构的修改将直接影响访问数据库的应用程序v用户必须掌握数据库结构第八章软件应用程序v3、关系数据库结构v这就目前最流行的数据库结构了。数据存储的主要载体是表,或相关数据组。有一对一、一对多、多对多三种表关系。表关联是通过引用完整性定义的,这是通过主码和外码(主键或外键)约束条件实现的。优点:v数据访问非常快v便于修改数据库结构v逻辑化表示数据,因此用户不需要知道数据是如何存储的v容易设计复杂的数据查询来检索数据v容易实现数据完整性v数据通常具有更高的准确性v支持标准SQL语言v缺点:v很多情况下,必须将多个表的不
5、同数据关联起来实现数据查询v用户必须熟悉表之间的关联关系v用户必须掌握SQL语言第八章软件应用程序v4、面向对象数据库结构v它允许用对象的概念来定义与关系数据库交互。面向对象数据库中有两个基本的结构:对象和字面量。对象是一种具有标识的数据结构,这些数据结构可以用来标识对象之间的相互关系。字面量是与对象相关的值,它没有标识符。优点:v程序员只需要掌握面向对象的概念,而不要掌握与面向对象概念以及关系数据库有关的存储v对象具有继承性,可以从其他对象继承属性集v大量应用软件的处理工作可以自动完成v从理论上说,更容易管理对象v面向对象数据模型与面向对象编程工具更兼容v缺点:v由于面向对象数据库不支持传统
6、的编程方法,所以用户必须理解面向对象概念v目前面向对象数据库模型还没有统一的标准v由于面向对象数据库出现的时间还不长,稳定性还是一个值得关注的焦点第八章软件应用程序v5、另外还有两种:古老的平面文件数据库结构和较新的对象关系数据库结构。第八章软件应用程序v二、电子表格软件v大家都在纸上画过表格,你需要拿起笔,尺子,橡皮,表格比较大时,工作量非常可观,如果表格中再有大量的数据需计算,哪就更是头疼了。随着信息时代的来临,大量的表格已由计算机来处理,电子制表成为了我们工作中重要的工作手段。v电子制表的实现大致可分为二种方式,一种是为某种目的专门设计的程序,例如财务程序,适于输出特定的表格,但其通用性
7、较弱;另一种就是所谓的“电子表格”了,它是一种通用的制表工具,能够适用于大多数的制表需求。它面对的是普通的计算机用户,而非专业的开发人员或某特定领域的用户。需要强调的是,制表仅是电子表格的功能之一,它还是一个通用的计算工具,屏幕可看作一张计算用的“纸”,在这张“纸”上,可以进行很复杂的计算。第八章软件应用程序v1979年,美国Visicorp公司开发了运行于苹果II上的VISICALE,这是第一个电子表格软件。其后,美国Lotus公司于1982年开发了运行于DOS下的Lotus1-2-3,该软件集表格、计算和统计图表于一体,成为国际公认的电子表格软件代表作。进入Windows时代后,微软公司的
8、Excel逐步取而代之,成为目前普及性最广的电子表格软件。在中国,DOS时代也曾经出现过CCED等代表性电子表格软件,但在进入Windows时代后,电子表格软件的开发一度大大落后于国际水平,并进而影响了电子表格软件在我国的普及。第八章软件应用程序v电子表格与字处理软件一样,是一种通用的办公软件,也是最为长用的基础性应用软件之一。过去,由于对Excel某些西方式的思维方式不易接受,电子表格在我国的应用普及程度大大低于字处理软件,许多微机内尽管安装了Excel也不使用。现代应用软件的发展趋向于多功能、集成化,如字处理等软件也包含了某些表格功能;但作为一种附加功能,其性能相对较弱,并不足以代替电子表
9、格软件。第八章软件应用程序v电子表格是一种通用的办公软件。像Windows平台下的大多数软件一样,其基本的编辑界面由三部分组成:“菜单”、“工具条”和“编辑区”,这些,相信大家都不陌生。电子表格的一个有些不一样的特点是,在编辑区下方滚动条左边有一个工作表区(有些电子表格在上方),点击工作表区可切换工作表,电子表格文件是由一系列工作表组成的,有点像订成一叠的工作簿。v每个工作表是一个由若干行和列组成的表格,行和列的交叉点称为单元格。行号和列标清楚地标示出了单元格的位置,由行号和列标组合就可代表单元格,例如,A4就代表A列与4行的交叉点处的单元格。第八章软件应用程序第八章软件应用程序v制表即画表格
10、,是电子表格软件的最为基础,最为原始的功能,否则也就不能称为电子表格了。虽然现在许多软件都有制表功能,但在表格的功能和专业性方面还是无法与电子表格相比,电子表格的表格具有极为丰富的格式,能够以各种不同的方式显示数据,操作简便易行。第八章软件应用程序v计算是电子表格的另一强大功能,表格中的数据经常需要进行各种计算,统计,汇总,因而计算是必不可少的一项功能,电子表格的计算功能大都十分强大,功能丰富,在计算公式中可以直接引用单元格的值。电子表格具有各种函数以方便计算,其种类之丰富远非一般软件可比。尤其是各种统计函数,为进行数据统计带来不少方便。第八章软件应用程序第八章软件应用程序v统计图可以图形的方
11、式直观地表示数据的相互比例,数据的变化等情况,是我们常用的数据表示方法。电子表格软件提供了丰富的统计图功能,能以多种图表格式表示数据。电子表格中的统计图数据直接取自工作表,不用专门填写,并且当工作表中的数据改变时,统计图会自动随之变化。第八章软件应用程序第八章软件应用程序v三、字处理程序v四、图形软件(简介原理)v五、病毒及其防治v1、计算机病毒v“计算机病毒”为什么叫做病毒。首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的
12、精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。第八章软件应用程序v1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。第八章软件应用程序v计算机病毒一般具有以下特性:v1计算机病毒的程序性(可执行性)计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到
13、的权力。在病毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但己置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,在同一台计算机内病毒程序与正常系统程序,或某种病毒与其他病毒程序
14、争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。第八章软件应用程序v2计算机病毒的传染性传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种
15、渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其
16、传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。第八章软件应用程序v3计算机病毒的潜伏性一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系
17、统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。第八章软件应用程序v4计算机病毒的可触发性病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称
18、为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。第八章软件应用程序v5计算机病毒的破坏性所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工
19、作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的正常运行的话,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果。第八章软件应用程序v6攻击的主动性病毒对系统的攻击是主动的,不以人的意志为转移的。也就是说,从一定的程度上讲,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施充其量
20、是一种预防的手段而已。v7病毒的针对性计算机病毒是针对特定的计算机和特定的操作系统的。例如,有针对1BMPC机及其兼容机的,有针对App1e公司的Macintosh的,还有针对UNIX操作系统的。例如小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。第八章软件应用程序v8病毒的非授权性病毒未经授权而执行。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。第八章软件应用程序v9病毒的隐蔽
21、性病毒一般是具有很高编程技巧,短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。大部分的病毒的代码之所以设计得非常
22、短小,也是为了隐藏。病毒一般只有几百或1K字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。第八章软件应用程序v10病毒的衍生性这种特性为一些好事者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知,传染的破坏部分反映了设计者的设计思想和设计目的。但是,这可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种)。这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。第八章软件应用程序v11病毒的寄生性(依附性)病毒程序嵌入到宿主程序中,依赖
23、于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后,一般对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而可以进行自我复制和繁衍。第八章软件应用程序v12病毒的不可预见性从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病
24、毒对反病毒软件永远是超前的。新一代计算机病毒甚至连一些基本的特征都隐藏了,有时可通过观察文件长度的变化来判别。然而,更新的病毒也可以在这个问题上蒙蔽用户,它们利用文件中的空隙来存放自身代码,使文件长度不变。许多新病毒则采用变形来逃避检查,这也成为新一代计算机病毒的基本特征。第八章软件应用程序v13计算机病毒的持久性即使在病毒程序被发现以后,数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下,由于病毒程序由一个受感染的拷贝通过网络系统反复传播,使得病毒程序的清除非常复杂。第八章软件应用程序v一个引导病毒传染的实例v假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自举以后,小球病毒的
25、引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00处;然后修改INT13H的中断向量,使之指向病毒的传染模块。以后,一旦读写软磁盘的操作通过INT13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作:第八章软件应用程序v1)读入目标软磁盘的自举扇区(BOOT扇区)。v2)判断是否满足传染条件。v3)如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写。v4)跳转到原INT13H的入口执行正常的磁盘系统操作。第八章软
26、件应用程序v目前病毒采用的触发条件主要有以下几种:v1日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份触发、前半年后半年触发等。v2时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。v3键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键人时,病毒被激活,进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。第八章软件应用程序v4感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运行感染文件个数触发、感染序数触发、感染磁盘数触发、感
27、染失败触发等。v5启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。v6访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发。第八章软件应用程序v7调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。v8CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU型号/主板型号做触发条件,这种病毒的触发方式奇特罕见。第八章软件应用程序1中断基本概念v什么是中断?先打个比方。当一个经理正处理文件时,电话铃响了(中断请求),不得不在文件上做一个记号(返 回地址),暂停工作,去接电话(中断),并指示“按第二方
28、案办”(调中断服务程序),然后,再静下心来(恢复中 断前状态),接着处理文件。v中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理,处理完成后又立即返回断点,继续进行CPU原来的工作。第八章软件应用程序与病毒有关的重要中断有:vINT08H和INT1CH定时中断,有些病毒利用它们的记时判断激发条件。vINT09H键盘输入中断,病毒用于监视用户击键情况。vINT10H屏幕输入输出中断,一些病毒用于在屏幕上显示字符图形表现自己。vINT13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘。第八章软件应用程序vINT21HDOS功能调用,
29、包含了DOS的大部分功能,已发现的绝大多数文件型病毒修改INT21H中断,因此也成为防病毒的重点监视部位。vINT24HDOS的严重错误处理中断,文件型病毒常进行修改,以防止传染写保护磁盘时被发现。第八章软件应用程序v计算机病毒发作时,通常会出现以下几种情况,这样我们就能尽早地发现和清除它们。v1、电脑运行比平常迟钝v2、程序载入时间比平常久v有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行他们的动作,因此会花更多时间来载入程序。v3、对一个简单的工作,磁盘似乎花了比预期长的时间v例如:储存一页的文字若需一秒,但病毒可能会花更长时间来寻找未感染文件。
30、第八章软件应用程序v4、不寻常的错误信息出现v例如你可能得到以下的信息:vwriteprotecterrorondriverAv表示病毒已经试图去存取软盘并感染之,特别是当这种信息出现频繁时,表示你的系统已经中毒了!v5、硬盘的指示灯无缘无故的亮了v当你没有存取磁盘,但磁盘指示灯却亮了,电脑这时已经受到病毒感染了。第八章软件应用程序v6、系统内存容量忽然大量减少v有些病毒会消耗可观的内存容量,曾经执行过的程序,再次执行时,突然告诉你没有足够的内存可以利用,表示病毒已经存在你的电脑中了!v7、磁盘可利用的空间突然减少v这个信息警告你病毒已经开始复制了!第八章软件应用程序v9、坏轨增加v有些病毒会
31、将某些磁区标注为坏轨,而将自己隐藏其中,於是往往扫毒软件也无法检查病毒的存在,例如DiskKiller会寻找3或5个连续未用的磁区,并将其标示为坏轨v10、程序同时存取多部磁盘v11、内存内增加来路不明的常驻程序第八章软件应用程序v12、文件奇怪的消失v13、文件的内容被加上一些奇怪的资料v14、文件名称,扩展名,日期,属性被更改过v15、记住COMMAND.COM之长度,若有异常,即有中毒的可能。v中毒的程序,绝大部份会改变长度,所以记住一个常见程序的长度,有助於判定是否有中病毒,尤其是COMMAND.COM文件,这部份如果被病毒感染,则你的电脑将体无完肤。第八章软件应用程序v8。9反病毒软
32、件v计算机病毒的检测v1特征代码法特征代码法 v特征代码法的实现步骤如下。特征代码法的实现步骤如下。v(1)采集已知病毒样本。)采集已知病毒样本。v(2)在病毒样本中,抽取特征代码。)在病毒样本中,抽取特征代码。v(3)将特征代码纳入病毒数据库。)将特征代码纳入病毒数据库。v(4)打开被检测文件,在文件中搜索,检查文件中)打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中染有何种病毒。可以断定,被查文件中染有何
33、种病毒。第八章软件应用程序v特征代码法的优点如下。特征代码法的优点如下。v检测准确快速,可识别病毒的名称,误报警率低,依据检测检测准确快速,可识别病毒的名称,误报警率低,依据检测结果可做解毒处理。结果可做解毒处理。v 病毒特征代码法的缺点如下。病毒特征代码法的缺点如下。v(1)不能检测未知病毒。)不能检测未知病毒。v(2)不能检查多形性病毒。)不能检查多形性病毒。v(3)不能对付隐蔽性病毒。)不能对付隐蔽性病毒。v(4)随着病毒种类的增多,逐一检查和搜集已知病毒的特)随着病毒种类的增多,逐一检查和搜集已知病毒的特征代码,不仅费用开销大,而且在网络上运行效率低,影响征代码,不仅费用开销大,而且在
34、网络上运行效率低,影响此类工具的实用性此类工具的实用性第八章软件应用程序v2校验和法校验和法 v 对正常文件的内容,计算其校验和,将该校验和对正常文件的内容,计算其校验和,将该校验和写入该文件或别的文件中保存。在文件使用过程中,写入该文件或别的文件中保存。在文件使用过程中,定期地或在每次使用文件前,检查文件现在内容算定期地或在每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。可发现已知病毒又可发现未知病毒
35、。v 校验和法的优点是方法简单,能发现未知病毒,校验和法的优点是方法简单,能发现未知病毒,被查文件的细微变化也能被发现。被查文件的细微变化也能被发现。v 校验和法的缺点是容易误报警,不能识别病毒校验和法的缺点是容易误报警,不能识别病毒名称,不能对付隐蔽型病毒。名称,不能对付隐蔽型病毒。第八章软件应用程序v3行为监测法行为监测法 v 利用病毒的特有行为特征性来监测病毒的方法,称为行为利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。监测法。v(1)占有)占有INT 13H。v(2)改)改DOS系统为数据区的内存总量。系统为数据区的内存总量。v(3)对)对.COM与与.EXE文件进行写入操
36、作。文件进行写入操作。v(4)病毒程序与宿主程序的切换。)病毒程序与宿主程序的切换。v 行为监测法的优点是可发现未知病毒和可相当准确地预行为监测法的优点是可发现未知病毒和可相当准确地预报未知的多数病毒。报未知的多数病毒。v 行为监测法的缺点是可能误报警,不能识别病毒名称和行为监测法的缺点是可能误报警,不能识别病毒名称和实现时有一定难度。实现时有一定难度。第八章软件应用程序v4软件模拟法软件模拟法 v 为了检测多态型病毒,可应用新的检测方法为了检测多态型病毒,可应用新的检测方法软件模拟法。它是一种软件分析器,用软件的方法软件模拟法。它是一种软件分析器,用软件的方法来模拟和分析程序的运行。来模拟和分析程序的运行。v5病毒指令码模拟法(病毒指令码模拟法(Virus Instruction Code Emulation)v 病毒指令码模拟法是软件模拟法后的一大技术上病毒指令码模拟法是软件模拟法后的一大技术上的突破。既然软件模拟可以建立一个保护模式下的的突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机,模拟虚拟机,模拟CPU的动作,并假执行程序以解的动作,并假执行程序以解开变体引擎病毒,那么应用类似的技术也可以用来开变体引擎病毒,那么应用类似的技术也可以用来分析一般程序,检查可疑的病毒代码。分析一般程序,检查可疑的病毒代码。