电脑病毒知识演讲ppt
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
9
negative = positiv
DESIGN
DESIGN
# 2
一、反病毒软件的扫描法 这恐怕是我们绝大数朋友首选,也恐怕是唯 一的选择,现在病毒种类是越来越多,隐蔽的手 段也越来越高明,所以给查杀病毒带来了新的难 度,也给反病毒软件开发商带来挑战。但随着计 算机程序开发语言的技术性提高、计算机网络越 来越普及,病毒的开发和传播是越来越轻易了, 因而反病毒软件开发公司也是越来越多了。但目 前比较有名的还是那么几个系统的反病毒软件, 如金山毒霸、KV300、KILL、PC-cillin、VRV、 瑞星、诺顿等。至于这些反病毒软件的使用在此 就不必说叙了,我相信大家都有这个水平!
12
V S
4、硬盘空间观察法 有些病毒不会破坏你的系统 文件,而仅是生成一个隐藏的文 件,这个文件一般内容很少,但 所占硬盘空间很大,有时大得让 你的硬盘无法运行一般的程序, 但是你查又看不到它,这时我们 就要打开资源治理器,然后把所 查看的内容属性设置成可查看所 有属性的文件(这方法应不需要 我来说吧?),相信这个庞然大 物一定会到时显形的,因为病毒 一般把它设置成隐藏属性的。到 时删除它即可,这方面的例子在 我进行电脑网络维护和个人电脑 维修过程中见到几例,明明只安 装了几个常用程序,为什么在C 盘之中几个G的硬盘空间显示就 没有了,经过上述方法一般能很 快地让病毒显形的
7
(1)平时运行正常的计算机突然经常性无缘无故地死机。 (2)操作系统无法正常启动。 (3)运行速度明显变慢。 (4)以前能正常运行的软件经常发生内存不足的错误。 (5)打印和通讯发生异常。 (6)无意中要求对软盘进行写操作。 (7)以前能正常运行的应用程序经常发生死机或者非法错 误。 (8)系统文件的时间、日期、大小发生变化。 (9) 运行Word,打开Word文档后,该文件另存时只能以 模板方式保存。 (10)磁盘空间迅速减少。 (11)网络驱动器卷或共享目录无法调用。 (12)基本内存发生变化。 (13)陌生人发来的电子函件。
Welcome
13
计算机病毒 @ @ @ @ @ @
2百度文库
病毒的定义 病毒的特性 病毒的命名规则 病毒的传播途径 中毒后的表面迹象 病毒的查杀
计算机病毒是一个程序,一段可执行码。 就像生物病毒一样,计算机病毒有独特的 复制能力。计算机病毒可以很快地蔓延, 又常常难以根除。它们能把自身附着在各 种类型的文件上。当文件被复制或从一个 用户传送到另一个用户时,它们就随同文 件一起蔓延开来。
3
一般地,计算机病毒都具有以下特性: (1)可执行性 (2)传染性 (3)潜伏性 (4)可触发性 (5)针对性 (6)隐蔽性
4
# 1
7、病毒种植程序病毒 下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统): 4、脚本病毒
1、系统病毒 这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下, 脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通 一般格式为:病毒前缀名· 病毒名· 病毒后缀名 由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手 过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有 (Dropper.Worm.Smibag)等。 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有 如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光 病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类 的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传 (VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 8.破坏性程序病毒 播。如CIH病毒。 的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木 5、宏病毒 马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他 2、蠕虫病毒 破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来 的。 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算 诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如: 格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行 成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族 Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本 传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波 的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,振荡波 9.玩笑病毒 (阻塞网络),小邮差(发带毒邮件) 等。 WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡 蠕虫病毒的家族名是“ Sasser ”。 是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格 3、木马病毒、黑客病毒 玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看 式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采 病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族 用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以 的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用 户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特 后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel, 病毒的某个变种的。一般都采用英文中的26个字母来表示,如 以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过 性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息, Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 10.捆绑机病毒 OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多, 往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马 可以采用数字与字母混合表示变种标识。 病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息 捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑 6、后门病毒 程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用 尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般 后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给 户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病 5 毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手 都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password” 系统开后门,给用户电脑带来安全隐患。 (Binder.killsys)等。 的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
以上为比较常见的病毒前缀,有时候我们还会看到一 些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来 传播自身,或者他本身就是一个用于Hacking的溢出 工具; HackTool:黑客工具,也许本身并不破坏你的机子, 但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来 初步判断所中病毒的基本情况,达到知己知彼的效果。 在杀毒无法自动查杀,打算采用手工方式的时候这些 信息会给你很大的帮助。
二、观察法
3、特征字符串观察法 这种方法主要是针对一些 较非凡的病毒,这些病毒**时 会写相应的特征代码,如CIH 病毒就会在**的文件中写入 “CIH”这样的字符串,当然我 们不可能轻易地发现,我们可 以对主要的系统文件(如 Explorer.exe)运用16进制代码 编辑器进行编辑就可发现,当 然编辑之前最好还要要备份, 究竟是主要系统文件。
6
①不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片(ASIC) 进行传播。这种计算机病毒虽然极少, 但破坏力却 极强, 目前尚没有较好的检测手段对付它。 ② 移动存储设备:光盘、移动硬盘等。
③网络:电子邮件、BBS、WWW浏览、FTP文件下载、 新闻组。 ④通过点对点通信系统和无线通信系统传播计算机病毒
11
V S
2、系统配置文件观察法 这类方法一般也是适用 于黑客类程序,这类病毒一 般在隐藏在system.ini 、 wini.ini(Win9x/WinME)和 启动组中,在system.ini文件 中有一个'shell=”项,而在 wini.ini文件中有“load= ”、 “run= ”项,这些病毒一般 就是在这些项目中加载它们 自身的程序的,注重有时是 修改原有的某个程序。我们 可以运行Win9x/WinME中的 msconfig.exe程序来一项一 项查看。
10
Beat it
二、观察法
1、内存观察 这一方法一般用在DOS下 发现的病毒,我们可用DOS下 的:”tasklist ”命令来查看各程 序占用内存的情况,从中发现 病毒占用内存的情况(一般不 单独占用,而是依附在其它程 序之中),有的病毒占用内存 也比较隐蔽,用“tasklist”发 现不了它,但可以看到总的基 本内存640K之中少了那么区区 1k或几K。
9
negative = positiv
DESIGN
DESIGN
# 2
一、反病毒软件的扫描法 这恐怕是我们绝大数朋友首选,也恐怕是唯 一的选择,现在病毒种类是越来越多,隐蔽的手 段也越来越高明,所以给查杀病毒带来了新的难 度,也给反病毒软件开发商带来挑战。但随着计 算机程序开发语言的技术性提高、计算机网络越 来越普及,病毒的开发和传播是越来越轻易了, 因而反病毒软件开发公司也是越来越多了。但目 前比较有名的还是那么几个系统的反病毒软件, 如金山毒霸、KV300、KILL、PC-cillin、VRV、 瑞星、诺顿等。至于这些反病毒软件的使用在此 就不必说叙了,我相信大家都有这个水平!
12
V S
4、硬盘空间观察法 有些病毒不会破坏你的系统 文件,而仅是生成一个隐藏的文 件,这个文件一般内容很少,但 所占硬盘空间很大,有时大得让 你的硬盘无法运行一般的程序, 但是你查又看不到它,这时我们 就要打开资源治理器,然后把所 查看的内容属性设置成可查看所 有属性的文件(这方法应不需要 我来说吧?),相信这个庞然大 物一定会到时显形的,因为病毒 一般把它设置成隐藏属性的。到 时删除它即可,这方面的例子在 我进行电脑网络维护和个人电脑 维修过程中见到几例,明明只安 装了几个常用程序,为什么在C 盘之中几个G的硬盘空间显示就 没有了,经过上述方法一般能很 快地让病毒显形的
7
(1)平时运行正常的计算机突然经常性无缘无故地死机。 (2)操作系统无法正常启动。 (3)运行速度明显变慢。 (4)以前能正常运行的软件经常发生内存不足的错误。 (5)打印和通讯发生异常。 (6)无意中要求对软盘进行写操作。 (7)以前能正常运行的应用程序经常发生死机或者非法错 误。 (8)系统文件的时间、日期、大小发生变化。 (9) 运行Word,打开Word文档后,该文件另存时只能以 模板方式保存。 (10)磁盘空间迅速减少。 (11)网络驱动器卷或共享目录无法调用。 (12)基本内存发生变化。 (13)陌生人发来的电子函件。
Welcome
13
计算机病毒 @ @ @ @ @ @
2百度文库
病毒的定义 病毒的特性 病毒的命名规则 病毒的传播途径 中毒后的表面迹象 病毒的查杀
计算机病毒是一个程序,一段可执行码。 就像生物病毒一样,计算机病毒有独特的 复制能力。计算机病毒可以很快地蔓延, 又常常难以根除。它们能把自身附着在各 种类型的文件上。当文件被复制或从一个 用户传送到另一个用户时,它们就随同文 件一起蔓延开来。
3
一般地,计算机病毒都具有以下特性: (1)可执行性 (2)传染性 (3)潜伏性 (4)可触发性 (5)针对性 (6)隐蔽性
4
# 1
7、病毒种植程序病毒 下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统): 4、脚本病毒
1、系统病毒 这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下, 脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通 一般格式为:病毒前缀名· 病毒名· 病毒后缀名 由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手 过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有 (Dropper.Worm.Smibag)等。 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有 如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光 病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类 的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传 (VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 8.破坏性程序病毒 播。如CIH病毒。 的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木 5、宏病毒 马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他 2、蠕虫病毒 破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来 的。 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算 诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如: 格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行 成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族 Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本 传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波 的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,振荡波 9.玩笑病毒 (阻塞网络),小邮差(发带毒邮件) 等。 WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡 蠕虫病毒的家族名是“ Sasser ”。 是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格 3、木马病毒、黑客病毒 玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看 式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采 病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族 用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以 的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用 户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特 后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel, 病毒的某个变种的。一般都采用英文中的26个字母来表示,如 以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过 性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息, Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 10.捆绑机病毒 OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多, 往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马 可以采用数字与字母混合表示变种标识。 病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息 捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑 6、后门病毒 程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用 尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般 后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给 户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病 5 毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手 都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password” 系统开后门,给用户电脑带来安全隐患。 (Binder.killsys)等。 的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
以上为比较常见的病毒前缀,有时候我们还会看到一 些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来 传播自身,或者他本身就是一个用于Hacking的溢出 工具; HackTool:黑客工具,也许本身并不破坏你的机子, 但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来 初步判断所中病毒的基本情况,达到知己知彼的效果。 在杀毒无法自动查杀,打算采用手工方式的时候这些 信息会给你很大的帮助。
二、观察法
3、特征字符串观察法 这种方法主要是针对一些 较非凡的病毒,这些病毒**时 会写相应的特征代码,如CIH 病毒就会在**的文件中写入 “CIH”这样的字符串,当然我 们不可能轻易地发现,我们可 以对主要的系统文件(如 Explorer.exe)运用16进制代码 编辑器进行编辑就可发现,当 然编辑之前最好还要要备份, 究竟是主要系统文件。
6
①不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片(ASIC) 进行传播。这种计算机病毒虽然极少, 但破坏力却 极强, 目前尚没有较好的检测手段对付它。 ② 移动存储设备:光盘、移动硬盘等。
③网络:电子邮件、BBS、WWW浏览、FTP文件下载、 新闻组。 ④通过点对点通信系统和无线通信系统传播计算机病毒
11
V S
2、系统配置文件观察法 这类方法一般也是适用 于黑客类程序,这类病毒一 般在隐藏在system.ini 、 wini.ini(Win9x/WinME)和 启动组中,在system.ini文件 中有一个'shell=”项,而在 wini.ini文件中有“load= ”、 “run= ”项,这些病毒一般 就是在这些项目中加载它们 自身的程序的,注重有时是 修改原有的某个程序。我们 可以运行Win9x/WinME中的 msconfig.exe程序来一项一 项查看。
10
Beat it
二、观察法
1、内存观察 这一方法一般用在DOS下 发现的病毒,我们可用DOS下 的:”tasklist ”命令来查看各程 序占用内存的情况,从中发现 病毒占用内存的情况(一般不 单独占用,而是依附在其它程 序之中),有的病毒占用内存 也比较隐蔽,用“tasklist”发 现不了它,但可以看到总的基 本内存640K之中少了那么区区 1k或几K。