如何用好杀毒软件ppt-PowerPointPrese

针对状态信息的通信
• Symantec AntiVirus企业版客户端向它们 的父服务器提供状态信息。默认情况下， 客户端每60分钟向其父服务器发送一个 称为“保持活动包”的小数据包（小于 1KB）.此数据包中有该客户端的配置信 息。如果客户端的父服务器收到保持活 动包表明客户端没有最新的病毒定义文 件或配置数据，父服务器则将相应文件 推送到该客户端。
csrss.exe explorer.exe kernel32.dll mmtask.tsk mstask.exe services.exe spool32.exe svchost.exe tcpsvcs.exe
ddhelp.exe inetinfo.exe lsass.exe mprexe.exe regsvc.exe smss.exe spoolsv.exe system winlogon.exe
frontpage.exe
• gmt.exe
hh.exe
• hidserv.exe icq.exe
iexplore.exe
• irmon.exe kodakimage.exe loadqm.exe
• loadwc.exe mad.exe
mcshield.exe
• mgabg.exe mmc.exe
三、系统进程与注册表
• 简单地说，进程是程序在计算机上的一次执行 活动。当你运行一个程序，你就启动了一个进 程。进程又分为系统进程和用户进程。系统进 程主要用于完成操作系统的功能，而QQ、 Foxmail等应用程序的进程就是用户进程。
• 进程的重要性体现在可以通过观察它，来判断 系统中到底运行了哪些程序，以及判断系统中 是否入驻了非法程序。正确地分析进程能够帮 助我们在杀毒软件不起作用时，手动除掉病毒 或木马。
时，请一定要选择“接受管理”，这样
病毒定义代码升级时只从我校的服务器
上进行升级了，否则升级要到国外才可 以的，服务器名称为ANTIVIRUS,如果找
不到的话，请查找服务器地址： 202.119.199.100,然后继续安装即可。
• 安装完成以后，一般情况下是不需要进行手动 升级的，系统会自动为客户升级。
首先就要熟悉最常见的系统进程，这样当 发现其它奇怪的进程名（如HELLO， GETPASSWORD，WINDOWSSERVICE等 等）时就方便判断了。
1、系统进程

• alg.exe • dllhost.exe • internat.exe • mdm.exe • msgsrv32.exe • rpcss.exe • snmp.exe • stisvc.exe • taskmon.exe • winmgmt.exe
• 打开你的控制面板，从“管理工具”里， 打开“服务”工具，将Remote Procedure Call (RPC)服务打开。
• 等待安装，大约需５分钟即可安装完成， 完成后，恢复你的设置，然后重启动机 器即可。
• 从start开始，进入“程序”打开Symantec， 并打开，开启服务时，系统会要密码， 要密码时，请同现代教育技术中心网络 部联系。
nc/data/w32.sasser.worm.html
Symantec 系统中心
• 管理控制台运行在MS Windows系统上， 安装在我校网络部的服务器上，起到中 心控制作用。
Symantec AntiVirus 企业版服务器
• 可以将配置和病毒定义文件更新分装到 客户端上。
Symantec AntiVirus 企业版客户端
• cidaemon.exe cisvc.exe
cmd.exe
• cmesys.exe ctfmon.exe
ctsvccda.exe
• cutftp.exe defwatch.exe devldr32.exe
• directcd.exe dreamweaver.exe emexec.exe
• excel.exe findfast.exe
• 除“病毒定义传输方法”外，还可使用 LiveUpdate进行病毒定义更新。如果在客 户端调度了LiveUpdate会话，或者用户手 动执行LiveUpdate,就会自动进行 LiveUpdate通信。在LiveUpdate会话过程
中，客户端可设置为连接到内部 LiveUpdate服务器，也可设置为连接到 Symantec LiveUpdate服务器。如果病毒 定义不是最新的，客户端将从LiveUpdate 服务器提取病毒定义。
• 当你打开任务管理器里，会发现在进程里增加 了三个进程。
在安装了Symantec客户端以后，将出现如下 的进程：
VPTray.exe 4MB
Rtvscan.exe 12.8MB
DefWatch.exe 1.6MB 描述: Norton Anti-Virus扫描你的文件和 email以检查病毒。
对于各院系办公用机器客户端安装
实时防护
• 从计算机读取文件和电子邮件数据或将 其写入计算机时，实时扫描会连续不断 地对其进行检查。默认情况下，启用实 时防护。
中央隔离区
• “中央隔离区”是整个防病毒策略的关键 组件。默认情况下， Symantec AntiVirus 企业版客户端的配置是将受感染且无法 修复的项目隔离到本地“隔离区”。此 外，还可手动隔离任何可疑文件。
• 在使用过程中，服务器端不要进行任何 设置即可。
2、对于家庭光纤用户和单位办公 机器客户端的安装
• 请在矿大主页上有一个病毒公告，下载 客户端软件.
• 最好先确认机器上所有的系统补丁尽可 能的打全。
• 再将机器上的所有的杀毒软件删除，关 闭防火墙。
• 安装已经下载的客户端软件.
• 安装过程中，根据提示进行选择安装即 可，当安装到“邮件管理单元”选择时， 如果你使用outlook，请选择要安装的管 理单元为microsoft exchange/outlook(E)， 否则就不选,在安装到“网络安装类型”
• 如何知道系统中目前有哪些进程？在 Windows98/Me/2000/XP/2003中，按下 “Ctrl+Alt+Delete”组合键就可以直接查看 进程，或打开“Windows 任务管理器”的
“进程”选项来查看进程。通常来说，系 统常见的进程有winlogon.exe，services.exe， explorer.exe，svchost.exe等。要熟悉进程，
mobsync.exe
• ……,以下省略
几个常用的Windows XP系统进程
• taskmgr.exe 2.8MB • 进程文件：taskmgr or taskmgr.exe • 进程名称：The Windows Task Manager • 描述：Windows任务管理器,是Windows任
务管理执行者，这是任务管理器的系统进程， 在正常情况下是没有的，只有当你使用 Ctrl+Alt+del组合键以后才能激活的系统进程。
• 为联网及未联网的用户提供病毒防护， 支持的系统主要是基于Windows系列的操 作系统。
LiveUpdate
• 是Symantec技术，它允许每台计算机从 内部LiveUpdate服务器或直接从Symantec LiveUpdate 服务器上自动提取病毒定义 更新。
中央隔离区
• 是“数字免疫系统”的一部分，它对启 发式检测到的新病毒或不可识别的病毒 提供自动响应。受感染的项目会在 Symantec AntiVirus企业版服务器和客户 端上被隔离，然后转发到“中央隔离 区”。“中央隔离区”可以将可疑文件 自动转发到“Symantec安全响应中心”， 该中心开发并返回更新后的病毒定义。
二、如何安装客户端软件
• /antivirus/index.htm
1、院、系级服务器
• 在各院、系的服务器上安装服务端防病 毒程序，先同现代教育技术中心网络部 进行联系，并告诉我你服务器的IP地址， 在安装前注意以下几点：
• 系统只支持windows 2000 Server、windows 2003 server版本.
explorer.exe
• explorer.exe 12MB有的达到31MB • 进程名称：程序管理 • 描述：Windows Program Manager或者
Windows Explorer用于控制Windows图形 Shell，包括开始菜单、任务栏，桌面和 文件管理。这个进程主要负责显示系统 桌面上的图标以及任务栏
• 先确认你所在的院、系服务器是否已经安装了服务器端 程序。
• 如果所在的院、系服务器没有安装服务器端程序，则安 装步骤完全同在家庭机器上的安装。
• 否则，如果你希望你的机器从院、系服务器上进行病毒 代码的升级，则进行如下安装步骤：
• 前面的安装同上1到4，只是到第5步骤在安装到“网络安 装类型”时，请一定要选择“接受管理”时，如果你想 用院、系的服务器进行升级，则用服务器名称为院、系 服务器名,如果找不到的话，请同院、系网络管理员联系， 要院、系服务器的IP地址；然后继续安装即可。
如何用好杀毒软件ppt-PowerPointPrese LOGO
一、Symantec软件介绍
• 1、我校购买的是Symantec AntiVirus企业版软 件，它包括以下几个组件：
• Symantec 系统中心 • Symantec AntiVirus 企业版服务器 • Symantec AntiVirus 企业版客户端 • LiveUpdate • 中央隔离区 • /avcenter/ve
2、一般程序
• absr.exe
acrobat.exe
acrord32.exe
• agentsvr.exe aim.exe
airsvcu.exe
• alogserv.exe avconsol.exe avsynmgr.exe
• backWeb.exe bcb.exe
calc.exe
• ccapp.exe cdplayer.exe charmap.exe
防护病毒
• 为所有运行Symantec AntiVirus企业版的计算机 设置扫描选项并运行病毒扫描
• 为具有同一父服务器或均为同一服务器组或客 户端组成员的计算机设置扫描选 项并运行病毒 扫描
• 配置运行Symantec AntiVirus企业版客户端的32 位计算机来扫描以下应用程序的电子邮件附件：
病毒定义传输方法
• 网络上的一级服务器从Symantec或内部 LiveUpdate服务器收到新的病毒定义后，即开 始执行推送操作。一级服务器将病毒定义包传 送到所有二级服务器。二级服务器自动提取病 毒定义并将其放在相应目录下，然后再将病毒 定义推送到它们管理的客户端上。
• 客户端提取病毒定义并将它们放在相应目 录下。
• 将服务器端的所有防病毒程序、防火墙完全 卸载。先将系统的各种补丁打全，然后再安 装。
• 在安装前，请将服务器密码改掉，在安装完 以后再改回。
• 将你服务器上安装有系统的系统驱动器设为 共享，比如Ｃ盘就设为C$
• 将你的winnt目录设为共享，名称为admin$, 这些共享目录是windows的默认的共享。
– 。Lotus Notes客户端 – 使用“消息处理应用程序编程接口”(MAPI)的
Microsoft Exchange/Outlook客户端.
实时防护
• 对于计算机的扫描，有连续扫描和过程 分级扫描。
• 连续扫描所有文件是避免感染病毒的最 安全方式，但却不实用。最佳方式是将 扫描过程分级处理，将目标对准那些最 可能含有病毒的文件或计算机区域。
通信
• Symantec AntiVirus企业版一级服务器定期与其 二级服务器通信，以验证二级服务器上的病毒 定义文件是否为最新。如果病毒定义不是最新， 一级服务器则将新的病毒定义文件推送到受影 响的计算机。同样， Symantec AntiVirus企业版 父服务器定期与Symantec AntiVirus企业版客户 端通信，以检查它们的病毒定义文件是否为最 新，它们的客户端配置设置是否为最新。如果 病毒定义不是最新，父服务器则将新的病毒定 义和配置数据推送到受影响的计算机。