防毒知识培训

安博士有限公司
www.ahn.com.cn.
新时代下的网络病毒
传统的网络病毒定义是指利用网络进行传播的一类病毒 的总称。而现在网络时代的网络病毒，已经不是如此单纯的 一个概念了，它被溶进了更多的东西。可以这样说，如今的 网络病毒是指以网络为平台，对计算机产生安全威胁的所有 程序的总和。 主要的类型有：网页病毒 ，蠕虫病毒 ，木马病毒
安博士有限公司
www.ahn.com.cn.
网页病毒
定义： 定义：网页病毒是利用网页来进行破坏的病毒，它存在于网 页之中，其实是利用一些SCRIPT语言编写的一些恶意代码。 行为： 行为：当用户登录某些含有网页病毒的网站时，网页病毒便 被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源 进行破坏。 危害： 危害：轻则修改用户的注册表，使用户的首页、浏览器标题 改变，重则可以关闭系统的很多功能，使用户无法正常使用 计算机系统，严重者则可以将用户的系统进行格式化。 典型： 典型：万花谷，JEPG漏洞
安博士有限公司
www.ahn.com.cn.
计算机病毒的危害及症状
计算机病毒的主要危害有： 1．病毒激发对计算机数据信息的直接破坏作用 2．占用磁盘空间和对信息的破坏 3．抢占系统资源 4．影响计算机运行速度 5．计算机病毒错误与不可预见的危害 6．计算机病毒的兼容性对系统运行的影响 7．计算机病毒给用户造成严重的心理压力
杀毒软件的选择
引擎技术先进性 多样性的杀毒方式 查杀多种类型的病毒 与其他软件兼容性 占用系统资源少 扫描效率高 适应使用者所在的环境
安博士有限公司
www.ahn.com.cn.
产品推荐
韩国安博士V3系列防病毒产品 特点： 特点： 先进的内核引擎扫描技术 多种的病毒查杀能力 全面的压缩文件类型的支持 高速的扫描速度 系统资源占用率低
安博士有限公司
www.ahn.com.cn.
二、病毒与反病毒技术
安博士有限公司
www.ahn.com.cn.
病毒与反病毒的实质
病毒的实质：一组计算机指令或者程序代码。 反病毒的实质：从计算机中检测到具有病毒性质 的代码或文件，并予以清除。 计算机技术的不断发展，病毒与反病毒的技 术也日益进步，随着网络时代的到来，二者之间 的斗争十分激烈。
安博士有限公司
www.ahn.com.cn.
反病毒技术的更新
特征代码法 校验和法 行为监测法 虚拟机技术
安博士有限公司
www.ahn.com.cn.
虚拟机技术
概念：主要是为查杀加密变形病毒而设计的。简单地 来说，所谓虚拟机并不是个虚拟的机器，说得更合适一些 应该是个虚拟CPU（用软件实现的CPU）。 实质：模拟INTEL X86 CPU的工作过程来解释执行可 执行代码，与真正的CPU一样能够取指，译码并执行相应 机器指令规定的操作。 目的：通过环境来诱使病毒露出真面目。
安博士有限公司
www.ahn.com.cn.
EXE 文件被感染
Win32 PE文件(EXE、DLL、OCX)为了和以前的DOS/Windows系统 保持兼容，WIN 9X/NT下等32位的EXE文件格式有所不同，其中 含有一些空挡，病毒会找适合的地方嵌入进去
这是一个被感染的 Windows PE 格式EXE File
Troj.er Funlove Funlove Funlove ase
安博士有限公司
www.ahn.com.cn.
现代病毒特点
自动传播和主动攻击---蠕虫 特洛伊木马 — 后门 多种传播方式：邮件、网络共享、利用IIS、IE、SQL的漏洞 危害很大的病毒以邮件为载体,爆发速度快、面广 有毒的移动编码--来自Internet网页的威胁
VIRUS
为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病 毒代码的空间部分。如果覆写的位置超过了“空挡”大小，原始 程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类 型有些是不可恢复的，因为原始程序文件被感染时可能已被覆写 破坏了。（典型的象CIH、FUNLOVE病毒）
安博士有限公司
安博士有限公司
www.ahn.com.cn.
计算机病毒的种类
引导型---Stone（混合型）、 （混合型）、DIRII 引导型 ）、 文件型---Onehalf、CIH、Funlove 、 文件型 、 宏病毒---Concept,台湾一号 台湾一号 宏病毒 特洛伊木马---黑客程序 ， 特洛伊木马 黑客程序BO，冰河 黑客程序 恶作剧---DELETE Win95、女鬼 恶作剧 、 蠕虫病毒---美丽莎、 蠕虫病毒 美丽莎、爱虫 美丽莎 邮件炸弹---MailBomb 邮件炸弹 协议病毒---红色代码 协议病毒 红色代码
安博士有限公司
www.ahn.com.cn.
蠕虫病毒
定义： 定义：通过网络连接，将自身复制到其它计算机中，但不感 染其它文件。 行为： 行为：利用了各种的技术，将自己传播到网络中的每一台客 户端中 。 危害： 危害：不同的蠕虫病毒的危害表现各不相同。 典型： 典型：redcode2,netsky,尼姆达,求职信
安博士有限公司
www.ahn.com.cn.
例如： 例如：
最早的在86年的一个病毒由巴基斯坦两兄弟编的brain大脑病毒， brain是一种引导型的病毒，在86年的时候，当时苹果机比较流 行，这个病毒在苹果机上发作。 在88年11月2号，著名的在Internet上有蠕虫病毒，使得美国整 个军方网络上的6000多台计算机被病毒感染，那当时的损失达 到9600万。 我们国家最早是在统计部门在1988年发现小球病毒，发作时在 屏幕上弹出小的红球，通过弹性碰撞的方式进行移动。 病毒数量的增长也是非常快，在86年时候1种，89年6种，90年8 0种，98年2万种，2000年4.6万种，2001年达到6万种，那目前 现在平均每天病毒的种类仍以30种的速度递增。 中国首次计算机病毒疫情网上调查结果 国内有高达73% 的计算机曾遭受过病毒感染！
安博士有限公司
www.ahn.com.cn.
计算机病毒的传播途径
通过不可移动的计算机硬件设备进行传播。 通过移动存储设备来传播这些设备包括软盘、磁带 等。 通过计算机网络进行传播。 通过点对点通信系统和无线通道传播。
安博士有限公司
www.ahn.com.cn.
病毒的产生背景
计算机病毒的产生是计算机技术和以计算机为核心的社会信 息化进程发展到一定阶段的必然产物。它产生的背景是： （1）计算机病毒是计算机犯罪的一种新的衍化形式 。 （2）计算机软硬件产品的危弱性是根本的技术原因。 （3）微机的普及应用是计算机病毒产生的必要环境 。
பைடு நூலகம்博士有限公司
www.ahn.com.cn.
三、现代病毒趋势及检测
安博士有限公司
www.ahn.com.cn.
病毒发展趋势
2001,5 2004年5月公安部公共信 息网络安全监察局发布的我 国最流行的十种计算机病毒 。 1 2 3 CIH 2002,5 2003,5 2004，5 Netsky Redlof Homepag e Exploit Redlof Spage Nimda
安博士有限公司
www.ahn.com.cn.
防病毒知识培训
安博士有限公司
www.ahn.com.cn.
一、病毒基础知识
安博士有限公司
www.ahn.com.cn.
计算机病毒基本概念
概念：编制或者在计算机程序中插入的破坏计算机功 能或者毁坏数据，影响计算机使用，并能自我复制的 一组计算机指令或者程序代码。（1994年2月18号公布） 特征：复制、感染、隐蔽、破坏。 危害：病毒运行后能够损坏文件、使系统瘫痪，从而 造成各种难以预料的后果。网络环境下，计算机病毒 种类越来越多、传染速度也越来越快、危害更是越来 越大。 防治：以防为主 以防为主，病原体(病毒库)是病毒防治技术的 以防为主 关键。
Funlove Nimda Binghe Binghe
2004年的调查结果显示， 在今年的4月份至6月份期间， 4 我国感染率最高的病毒是网 络蠕虫病毒和针对浏览器的 5 病毒或者恶意代码。 6
W97M.ma JS.Seek QQKille Unknown rker er r mail MTX Happyti Klez me Lovegat e
安博士有限公司
www.ahn.com.cn.
网页病毒:万花谷
病毒的技术特征：含有有害代码的ActiveX网页文件，它通 过在一个网络地址来对计算机用户造成破坏 。 特性如下：用户不能正常使用WINDOWS的DOS功能程序；) 用户不能正常退出WINDOWS；开始菜单上的“关闭系统”、 “运行”等栏目被屏蔽，防止用户重新以DOS方式启动，关 闭DOS命令、关闭REGEDIT命令等；将IE的浏览器的首页 和收藏夹中都加入了含有该有害网页代码的网络地址。 解决方法：手动修改注册表，使用专门的解决工具。 预防方法：升级防病毒软件，打开实时监控。
www.ahn.com.cn.
病毒技术的发展
对抗特征码技术 对抗覆盖法技术 多线程技术 元多形技术 反虚拟机技术
安博士有限公司
www.ahn.com.cn.
病毒加壳技术
概念： 概念：在一些电脑程序中，有一段负责保护程序不被非法修 改或反编译的程序。它们一般都是先于程序运行，拿到控制 权，然后完成它們保护程序的任务。就像动植物的壳一般都 是在身体外面一樣理所當然）。 实质： 实质：利用特定的压缩算法(就象WinZIP一样)把木马压缩打 包运行的时候在内存中解压释放程序本体再运行 。 技术分类： 技术分类：压缩保护 ，加密保护 加壳程序： 加壳程序：常见软件ASPACK ,UPX,PEcompact
安博士有限公司
www.ahn.com.cn.
蠕虫病毒：尼姆达
概念： 概念：一种新型的恶意蠕虫，影响所有未安装补丁的Windo ws系统，破坏力极大。 行为：通过email邮件传播；通过网络共享传播 ；通过主动 行为： 扫描并攻击未打补丁的IIS服务器传播 ；通过浏览被篡改网 页传播 。 危害:产生大量的垃圾邮件 ；用蠕虫副本替换系统文件；可 危害 能影响word,frontpage等软件正常工作；严重降低系统以及 网络性能；创建开放共享，大大降低了系统的安全性 ；将G uest帐号赋予管理员权限，降低了系统的安全性。 解决方法： 解决方法：及时打微软的系统补丁，及时升级杀毒软件，手 动扫描硬盘。
安博士有限公司
www.ahn.com.cn.
反病毒软件的关键
病毒代码库 ——存储病毒的特征代码数据文件,并由杀毒引擎来调用 。 病毒查杀引擎 ——反病毒产品在杀毒时的一种特殊的算法 。 在各大厂商的病毒代码库相差无几的情况下，病毒查杀引 擎的先进与否直接限制了杀毒软件的能力高低。
安博士有限公司
www.ahn.com.cn.
是
不 – 通常由 不 – 作 为单 独 的 是 使用者执行 文件存在 不 – 通常由 不 – 作 为单 独 的 不– 否则它可能是 使用者执行 文件存在 特洛伊木马
P a y lo a d T h e d e liv e r e d e f f e c t o f a v ir u s . M a y b e a m e s s a g e , s c r e e n g r a p h ic , d e s tr u c tio n o f d a ta , e tc .
安博士有限公司
www.ahn.com.cn.
新的病毒概念
1994年当时比较重要就是只要插入到计算机程序里面，另外它要能够自我复制，就是一种 感染性，自我复制是一种传播，但对于新的病毒，已经不能完全的符合基本定义。 新型病毒： 引导型病毒 特伊木马 恶作剧程序 逻辑炸蛋 蠕虫病毒 以上的病毒被称为后计算机病毒。目前的反病毒软件对于病毒的研究其实基于很多种广义的 计算机病毒来说的
安博士有限公司
www.ahn.com.cn.
新病毒的特性区分
会自我复制 病 毒 Viru s 是 蠕虫 W o rm 特洛伊木 马 (T ro ja n ) 黑客程序 开玩笑的 程 序 Jo k e p ro g ra m s
*:
P ay lo a d * 感染文件和（或） 磁盘 是 有时 不 – 作 为 单 独 的 有时 文件存在