新计算机病毒防治实用教程 教学课件 李治国 2 1 1病毒分析常用工具

（2）攻击。攻击模块按步骤自动攻击前面扫描中找到的对象， 取得该主机的权限（一般为管理员权限），获得一个Shell。
（3）复制。复制模块通过原主机和新主机的交互将蠕虫程序 复制到新主机中并启动。
4 计算机病毒的介绍
4.5 宏病毒
为了减少用户的重复劳作，例如进行相似的操作，Office提 供了一种所谓宏的功能。利用这个功能，用户可以把一系列的 操作记录下来，作为一个宏。之后只要运行这个宏，计算机就 能自动地重复执行那些定义在宏中的所有操作。这种宏操作一 方面方便了普通的计算机用户，另一方面却也给病毒制造者提 供了可乘之机。
计算机病毒的特点
2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性
2.计算机病毒的特点
2.1 破坏性
任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。 轻则显示一些画面，发出音乐，弹出一些无聊的窗口。重则破坏数据，删 除文件，格式化磁盘，有的甚至对计算机硬件也有损坏。
4 计算机病毒的介绍
引导型病毒的工作机理
引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引 导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在 CPU的运行过程中最先获得对CPU的控制权，病毒一旦控制了引导扇区，也 就意味着病毒控制了整个计算机系统。
引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些
4 计算机病毒的介绍
文件型病毒的种类 覆盖型文件病毒
ABC.EXE
依附性文件病毒
伪ABC.EXE
后
病毒
依
附
捆绑型文件病毒
Virus.exe
伴随型文件病毒
伪ABC.EXE 前 依 附

令突显，可同时编辑多个文件，而且即使开启很大的文件速
度也不会慢。其并且附有 HTML Tag 颜色显示、搜寻替换以 及无限制的还原功能，常被用其来修改EXE 或 DLL 文件。 在病毒分析中它可以用来分析和修复文件。
计算机病毒与防治课程小组
Ultraedit功能界面
UltraEdit的启动很简单，可以选择要编辑的文件，然后在右键菜 单中选择 “UltraEdit-32”即可，使用起来简单、方便。 UltraEdit的主界面，上面是标题栏、菜单和工具栏，下部为文本 编辑区，我们打开的文件就显示在文本编辑区中这里。
文件无法打开
计算机病毒与防治课程小组
文件修复
用UltraEdit来打开损坏的文件，这时我们可以看到这个word 文件并不是以D0CF11E0开头，并且开头处有“mz”字样 。
查看实验文件的文件头
计算机病毒与防治课程小组
关于捆绑文件
捆绑文件的原理很简单，就是把两个文件捆绑在一起，当 其中一个文件被运行时，另外一个文件也会被同时运行。 捆绑文件的检测方法很简单。对于一个完整有效的PE文件 或者是EXE文件，它里面都包含了几个绝对固定的特点，一 是文件以MZ开头，跟着DOS头后面的PE头以PE\0\0开头。有 了这两个特点，检测就变得很简单了。只需利用UltraEdit 一类工具打开目标文件搜索关键字MZ或者PE，如果找到两 个或者两个以上，则说明这个文件一定是被捆绑了。
文件头内容 D0CF11E0 D0CF11E0 D0CF11E0
JPEG
PNG GIF XML HTML Outlook Adobe Acrobat
jpg
png gif xml html pst pdf
FFD8FF
89504E47 47494638 3C3F786D6C 68746D6C3E 2142444E 255044462D312E

文件病毒能够感染可执行文件、图片 文件、音频文件等多种类型文件，导 致文件无法正常运行或被篡改。
03 计算机病毒的防治方法
安装防病毒软件
安装知名的防病毒软 件，如Norton、 McAfee、ESET等， 并保持更新。
设置软件自动更新功 能，以便及时获取最 新的病毒库和安全补 丁。
定期进行全盘扫描， 清除潜在的病毒和恶 意软件。
《计算机病毒的防治 》ppt课件
目录
• 计算机病毒概述 • 计算机病毒的类型与传播途径 • 计算机病毒的防治方法 • 计算机病毒的预防措施 • 计算机病毒的应急处理措施
01 计算机病毒概述
计算机 在计算机运行时插入的、对计算 机资源进行破坏或影响其正常运 行的程序。
如果无法清除病毒，则进行格式化或重装系统
备份重要数据
在格式化或重装系统之前，务必 备份计算机中的重要数据，如文 档、图片、视频等。
格式化或重装系统
如果杀毒软件无法清除病毒，可 以考虑格式化硬盘或重装操作系 统。在格式化或重装系统后，重 新安装必要的软件和应用。
对受影响的文件和数据进行备份和恢复
确认受影响的数据
不随意下载和安装未知来源的软件和程序
谨慎下载和安装来自不可信来源的软件和程序，避免感染恶意软件或病毒。
使用可信赖的软件来源，并确保软件经过安全审查。
05 计算机病毒的应急处理措施
发现病毒后立即断开网络连接
防止病毒进一步传播
一旦发现计算机感染病毒，应立即断开网络连接，以切断病毒传播途径。
保护网络安全
在打开邮件或链接之前，先进行安全扫描或使用杀毒软件进行检查。
04 计算机病毒的预防措施
建立完善的网络安全制度
制定严格的网络安全管理制度，包括 数据备份、访问控制、病毒防范等。

2021
50
网络文化
网络用语
“7456，TMD！怎么大虾、菜鸟一块儿到我的烘焙机 上乱灌水？94酱紫，呆会儿再打铁。886！”
表情符
:)笑 :-p 吐出舌头的样子 T_T 流眼泪的样子 ^o^ 开口大笑的样子 ^_~俏皮地向对方眨眼睛 :)~~
2021
51
网络道德
2021
52
网络道德的特点
偿； （8） 你不应该剽窃他人的智力成果； （9） 你应该注意你正在写入的程序和你正在设计的系统的社会后果； （10） 你应该以深思熟虑和慎重的方式来使用计算机。
2021
54
软件知识产权
知识产权
著作权（版权） 《中华人民共和国商标权法》
包括软件知识产权
《中华人民共和国知识产权海关保护条例》 《计算机软件保护条例》
“密码软键盘”输入密码
2021
38
常见的安全措施—正确使用网银
常见方式“钓鱼”
“钓鱼”之一:电子邮件 “钓鱼”之二:盗号木马 “钓鱼”之三:网址欺骗
防钓鱼
直接输入域名 用密码软键盘 加密交易信息
使用加密控件，使用密码U盘，使用https协议
同样，防止短信诈骗
2021
39
2021
2021
58
2021
5
计算机病毒的特征
传染性 破坏性 潜伏性/可触发性 隐蔽性
2021
6
计算机病毒的特征(详)
可执行性 寄生性 传染性 破坏性 欺骗性 隐蔽性、潜伏性 衍生性
2021
7
计算机病毒的分类
按攻击的操作系统分
DOS、Windows、Unix
按传播媒介
单机、网络

Founder Technology Group Co.,Ltd.
方正科技集团股份有限公司
病毒防治
计算机感染了病毒怎么办
先备份重要的数据文件 在解毒之前，要先备份重要的数据文件，哪怕是有 毒的文件。如果解毒失败了，您仍可以恢复回来，再使 用其它解毒软件修复。尽管这种可能性不大，但也要预 防万一。
Founder Technology Group Co.,Ltd.
病毒防治对于病毒的防治方案病毒防治网络病毒防治网络病毒防治病毒防治病毒防治小常识病毒防治小常识怎样保持计算机不染病毒怎样保持计算机不染病毒?注意共享文件夹以及文件的拷贝上传下载?养成良好的上网习惯尽量不阅读非正式网站?不要轻易翻开异常邮件中的附件?及时修复操作系统破绽以及各种常用软件的破绽?反病毒软件的及时更新及使用?设定操作系统的登录密码病毒防治计算机感染了病毒怎么办计算机感染了病毒怎么办先备份重要的数据文件在解毒之前要先备份重要的数据文件哪怕是有毒的文件
Founder Technology Group Co.,Ltd.
方正科技集团股份有限公司
病毒防治
常见病毒清除方法
“巨无霸”（Worm.Sobig）的清除方法 1． 进入系统的安全模式； 系统的在重启系统时按F8，选择安全模式，这时按住Shift键不放，一 直等到登录窗口出现，硬盘灯不再闪烁时松开Shift键。 2． 结束正在运行的进程和服务； 单击运行，输入services.msc（服务管理控制台），查看所有正在运行 的服务，尽可能将其停止。部分关键服务不可能被停止，不要管它。继 续，按CTAL+SHIFT+ESC（任务管理器快捷组合键）。在进程页终止所 有可以终止的进程，包括explorer.exe（该进程被终止后会导致窗口消失， 不过也不要紧）。 3． 运行专杀工具查杀病毒； 在任务管理器的文件菜单下点新建任务，找到已经下载的专杀工具， 运行专杀工具进行杀毒，杀毒完毕以后，重新启动系统。 清除完病毒后，请即时打上系统补丁，并对陌生人的邮件保持警惕， 开启病毒防火墙和邮件防火墙。

机用户带来了很大的损失。
03 计算机病毒的防治
安装防病毒软件
安装可靠的防病毒软件，如 Norton、McAfee、ESET等， 这些软件能够实时监控和查杀病
毒，有效预防及时识别和查杀新出现的病毒
。
开启防病毒软件的实时监控功能 ，以便在文件被感染病毒时立即
计算机病毒的本质
计算机病毒的特性
破坏性、传染性、隐蔽性、潜伏性和 可激发性。
一种特殊的程序，通过复制自身来感 染其它程序或系统。
计算机病毒的特点
传播速度快
一旦感染某个程序，很 快就会传播给其他程序
和系统。
破坏性强
可能导致数据丢失、系 统崩溃等严重后果。
隐蔽性强
通常以隐藏的方式存在 ，不易被用户发现。
02 计算机病毒的类型与传播途径
蠕虫病毒
蠕虫病毒是一种常见的计算机病毒，它通过电子邮件附件、网络共享等方式进行 传播。蠕虫病毒会在系统中迅速复制，占用系统资源，导致计算机运行缓慢甚至 瘫痪。
蠕虫病毒的典型特征是能够在短时间内快速传播，造成大规模的破坏。例如“红 色代码”、“冲击波”等蠕虫病毒都曾给全球范围内的计算机网络造成了严重的 影响。
进行拦截和清除。
定期备份重要数据
定期备份重要数据，如文档、图片、视频等，以防数据被病毒破坏或丢失。
选择可靠的备份软件或硬件设备进行数据备份，如Acronis、Dell Data Protection 等。
在备份过程中，应确保备份文件与原始数据隔离，以避免备份文件被病毒感染。
提高用户安全意识
学习计算机安全知识，了解常 见的网络威胁和病毒传播方式 。
文件病毒
文件病毒是一种感染可执行文件的计算机病毒，当用户运行被感染的可执行文件时，文件病毒就会被 激活并感染系统。文件病毒常常将自己附加到可执行文件的头部或尾部，或者将自身代码插入到可执 行文件中。

7
第7章 计算机病毒防治
1
7
第七章 计算机病毒防治
• 计算机病毒的出现成为信息化社会的公害，是一种特殊的 犯罪形式
• 防治计算机病毒是一个系统工程，不仅要有强大的技术支 持，而且要有完善的法律法规、严谨的管理体系、科学的 规章制度以及系统的防范措施
• 本章介绍了计算机病毒的发展历史、病毒特性、分类方法 、传播途径和工作机理，列举了典型病毒的检查和清除方 法，讨论了关于防治计算机病毒的管理和技术措施。
蠕虫程序
造成Internet的堵塞
5
7.1.1 计算机病毒的发展（续）
7
时间
名称
特点
1989年 1989年4月 1990年 1993、1994年
1995年8月9日
1997年2月 1997年4月 1998年6月
Yankee “小球” Chameleon SrcVir Shifter 宏病毒 Concept Bliss Homer CHI
12
7
破坏性
• 病毒是一种可执行程序，病毒的运行必然要占用系统资 源，如占用内存空间，占用磁盘存储空间以及系统运行 时间等。
• 病毒的破坏性主要取决于病毒设计者的目的。
➢ 良性病毒：干扰显示屏幕，显示乱码，占用系统资源
➢ 恶性病毒：有明确的目的，破坏数据、删除文件、加 密磁盘甚至格式化磁盘、破坏硬件，对数据造成不可 挽回的破坏。
2
7 7.1 计算机病毒的特点与分类
• 计算机病毒也是计算机程序，有着生物病毒相似的特性 • 病毒驻留在受感染的计算机内，并不断传播和感染可连接
的系统，在满足触发条件时，病毒发作，破坏正常的系统 工作，强占系统资源，甚至损坏系统数据。 • 病毒不但具有普通程序存储和运行的特点，还具有传染性 、潜伏性、可触发性、破坏性、针对性、隐蔽性和衍生性 等特征。

根据木马的特点及其危害范围，可将其分为针对
网络游戏的木马、针对网上银行的木马、针对即时通信工
具的木马、给计算机开后门的木马和推广广告的木马等五 大类别。
7.1 计算机病毒的特点与分类
如果计算机出现下列现象之一，则表明该计算机系 统可能已经中毒，用户应该立刻采取措施，清除该病 毒。
（1）出现系统错误对话框 （2）系统资源被大量占用 （3）系统内存中出现名为avserve的进程 （4）系统目录中出现名为avserve.exe的病毒文 件。 （5）注册表中出现病毒键值
计算机病毒赖以生存的基础是现代计算机都具有相同 的工作原理和操作系统的脆弱性，以及网络协议中的安全 漏洞。特别是在个人计算机中，系统的基本控制功能对用 户是公开的，可以通过调用和修改系统的中断，取得对系 统的控制权，从而对系统程序和其他程序进行任意处理。
7.1 计算机病毒的特点与分类
7.1.2 计算机病毒的发展 从1986年出现第一个感染PC机的计算机病毒开始，
为例，它是真正的网络病毒，一方面它需要通过网络方 可实施有效的传播；另一方面，它要想真正地攻入网 络（无论是局域网还是广域网），本身必须具备系统 管理员的权限，如果不具备此权限，则它只能够对当 前被感染的主机中的文件和目录起作用。
该病毒仅在Windows NT Server和Windows NT Workstation平台上起作用，专门感染.exe文件。
7.2 恶意代码
木马的运行，可以采用以下3种模式。 （1）潜伏在正常的程序应用中，附带执行独立的 恶意操作。 （2）潜伏在正常的程序应用中，但会修改正常的 应用进行恶意操作。 （3）完全覆盖正常的程序应用，执行恶意操作。
7.2 恶意代码
2．木马的特点 木马具有隐蔽性和非授权性的特点。 所谓隐蔽性，是指木马的设计者为了防止木马被 发现，会采用多种手段隐藏木马。这样，被控制端即 使发现感染了木马，也不能确定其准确的位置。 所谓非授权性，是指一旦控制端与被控制端连接 后，控制端将享有被控制端的大部分操作权限，包括 修改文件、修改注册表、控制鼠标、键盘等，这些权 力并不是被控制端赋予的，而是通过木马程序窃取的。

图3-21 UC主界面
3.2.2 基本功能
1．查找和添加好友 2．发送即时消息 3．使用表情
图3-22 “查找/添加用户”对话框
图3-23 查询结果
图3-24 “用户信息”对话框
图3-25 “验证信息”对话框
图2-5 “安全设置”对话框
3．“内容”选项卡的设置
图2-6 “内容”选项卡
图2-7 “内容审查程序”对话框
图2-8 “创建监护人密码”对话框
图2-9 “级别”选项卡
2.2 Maxthon浏览器
2.2.1 Maxthon主要功能简介 2.2.2 傲游设置中心
2.2.1 Maxthon主要功能简介
习题二
2-1 在IE地址栏搜索“网易”，然后将网易首页设置为IE主页。 2-2 浏览Foxmail主页，并将其保存在收藏夹中。 2-3 Maxthon有几种启动模式？ 2-4 用关键词“万水书苑”搜索有关网站，并保存下来。 2-5 你还知道哪些浏览器，你如何选择使用浏览器？ 2-6 在Foxmail中如何添加新的POP3账户？ 2-7 在Foxmail中，有哪些方法可以阻止或者删除某种邮件？ 2-8 在Foxmail中有哪些方法可以一次性地为多个客户发送同一邮
图3-16 个人资料设置
图3-17 系统设置
图3-18 密码安全设置
图3-19 在“账号中心”修改密码
3.2 新浪UC
3.2.1 申请UC号与登录UC 3.2.2 基本功能 3.2.3 UC聊天室
3.2.1 申请UC号与登录UC
1．申请UC号 2．登录上线
图3-20 UC登录界面
2.1.2 IE的基本设置
1．“常规”选项卡的设置 2．“安全”选项卡的设置 3．“内容”选项卡的设置

4.隐蔽性
计算机病毒一般是具有很高编程技巧、短小 灵活的程序，通常依附在正常程序或磁盘中较为 隐蔽的地方，用户很难发现，有些病毒即使通过 杀毒软件也检查不出来，处理这类病毒非常困难。
5.可触发性
病毒只有在满足某种特定条件下（触发机制） 才会发作。病毒运行时，触发机制检查预定条件 是否满足；满足则启动感染或破坏动作，使病毒 进行感染或攻击；不满足则病毒继续潜伏。
•……
这种病毒可以把我们的文件夹隐藏起来，然 后生成一个一模一样的可执行文件夹exe，这样 我们就很可能去点击触发这个病毒，从而对我们 的文件造成危害。 如何辨认
•文件夹的大小只有几十K； •文件名后面增加了.exe； •在文件夹的下面出现“文件夹”这几个字； •选中文件夹—右键—属性中，类型为应用程序
求职信
蠕虫病毒
木马病毒
•计算机系统运行速度减慢 •计算机系统经常无故死机、异常重新启动 •WINDOWS操作系统无故频繁出现错误 •计算机屏幕上出现异常显示 •计算机存储的容量异常减少 •丢失文件或文件损坏 •文件的日期、时间、属性等发生变化 •文件无法正确读取、复制或打开 •键盘输入异常 •……
触发条件：某个特定时间、日期、文件类型或某 些特定数据等
•CIH病毒——4月26日发作 •“欢乐时光”——月+日=13
6.破坏性
破坏性是计算机病毒的最终目的，通过病毒 程序的运行，实现破坏行为。可能会导致正常的 程序无法运行，把计算机内的文件删除或受到不 同程度的损坏。通常表现为：增、删、改、移。
•安装杀毒软件，并经常更新，以快速检测到可
能入侵计算机的新病毒或者变种；
•使用安全监视软件（比如360安全卫士，瑞星卡 卡）防止浏览器被异常修改，安装不安全恶意的 插件； •使用防火墙或者杀毒软件自带防火墙；