网络安全技术及应用实践教程课件7.3-7.6

7.5实验七 360安全卫士杀毒软件应用
7.5.3 操作界面及步骤
1. 360安全卫士操作界面
பைடு நூலகம்
图7-4 安全卫士的电脑清理界面
图7-5安全卫士系统修复界面
7.5实验七 360安全卫士杀毒软件应用
7.5.3 操作界面及步骤
御转变势在必行。若用户不及时对网络病毒库更新，会滞后于病毒制造者及
病毒发作时间，加之近年网络新兴病毒频发，反病毒领域已经认识到必须由
被动使用杀毒软件向主动防御新型病毒转变。所以，云概念、云计算、云安
全、云杀毒等新技术应运而生。
云安全（Cloud Security）是网络安全的最新体现，融合了并行处理、
7.4 典型应用 病毒的检测清除与防范
2. 利用专业工具检测查毒 由于病毒具有较强的隐蔽性，必须使用专业工具对系统 进行查毒，主要是指针对包括特定的内存、文件、引导区、 网络在内的一系列属性，能够准确地查出病毒名称。常见的 杀毒软件基本都含有查毒功能，例如360/瑞星免费在线查毒 、金山毒霸查毒、卡巴斯基查毒等。 查毒软件使用的最主要的病毒查杀方式为病毒标记法。 此种方式首先将新病毒加以分析，编成病毒码，加入资料库 中，然后通过检测文件、扇区和内存，利用标记，也就是病 毒常用代码的特征，查找已知病毒与病毒资料库中的数据并 进行对比分析，即可判断是否中毒。
将自身复制在信纸模板上传播。用户收到含有病毒邮件，只要浏览内
容，即达到了该病毒触发条件，系统就会立刻感染病毒。
2. 病毒的寄生和生存方式
病毒产生过程分为程序设计—传播—潜伏—触发—运行—实行攻击。 从产生到彻底根除，病毒拥有一个完整的生存周期：
开发期、传播期、潜伏期、发作期、发现期、消化期、消亡期
（1）病毒的寄生对象。一是磁盘引导区；二是可执行文件。 （2）病毒的生存方式。替代磁盘引导区或可执行文件链接式生存方式
7.3 知识拓展 病毒的构成与传播
7.3.4 特种及新型病毒实例
1．木马病毒
特洛伊木马（Trojan）简称为木马，其名源于古希腊传说。是
一种具有攻击系统、破坏文件、发送密码和记录键盘等特殊功能的
后门程序,其特性也已变异更新。
案例7-6 木马病毒发展趋势。2016年以来，盗号木马、手 机木马、敲诈和广告木马快速增长，仅2016年前8个月新增新型木 马近百万个，占各种木马76.3%，且基本占据互联网新增木马的主 流。新型木马的启动方式、破坏性均超出了传统木马和感染型木 马，且杀毒软件对此类木马查杀技术也面临着严峻的考验。
7.5实验七 360安全卫士杀毒软件应用
3. 360杀毒软件主要功能特点
360杀毒软件和360安全卫士配合使用，是安全上网的黄金组合， 可提供全时全面的病毒防护。360杀毒软件主要功能特点：
①360杀毒无缝整合国际知名的BitDefender病毒查杀引擎和安全 中心领先云查杀引擎。
②双引擎智能调度，为电脑提供完善的病毒防护体系，不但查杀能 力出色，而且能第一时间防御新出现的病毒木马。
7.4典型应用 病毒的检测清除与防范
7.4.2 常见病毒的清除方法
系统意外中毒，需要及时采取措施,常用处理方法是清除病毒：
先对系统被破坏的程度调查评估，并采取有效的清除对策和方法。
杀毒后重启,再用查杀病毒软件检查系统,并确认完全恢复正常。
7.4典型应用 病毒的检测清除与防范
7.4.3 普通病毒的防范方法
（2）病毒传播手段呈多样化、复合化趋势 （3）病毒制作技术水平不断攀升 （4）病毒的危害日益增大
7.4典型应用 病毒的检测清除与防范
2. 防病毒技术的发展趋势
随着实时监控技术日益发展完善，能够达到监控文件、邮件、网页、即
时通信、木马修改注册表、隐私信息维护的目的。但随着病毒制造者的不断
推出新变种，防病毒技术也取得了一定的进步和突破，由被动防御向主动防
（1）冰河木马的主要功能
1）连接功能
2）控制功能
3）口令的获取 4）屏幕抓取
5）远程文件操作 6）冰河信使
（2）冰河木马的原理。激活的服务端程序+自动生成可执行文件
7.3 知识拓展 病毒的构成与传播
2. 蠕虫病毒 具有病毒的共性，同时还具有一些特性，不依赖宿主寄生，
通过复制自身在网络环境下进行传播。 （1）I_WORM/EMANUEL网络蠕虫 通过微软的Outlook Eress自动传播给受感染计算机的地址
簿里的所有人，给每人发送一封带有该附件的邮件。 （2）熊猫烧香病毒 熊猫烧香是一种经过多次变种的蠕虫病毒。曾在2006-2007
年间肆虐互联网，被列为我国2006十大病毒之首，一度成为“ 毒王”。自爆发后，短时间内出现近百变种，上百万台机器中 毒，并深受其害。
讨论思考：
（1）病毒如何构成？病毒传播方式有哪些？ （2）计算机病毒的生存周期具体有哪些过程？ （3）特洛伊木马的特性和类型有哪些？
7.4 典型应用 病毒的检测清除与防范
7.4.1 计算机病毒的检测
1. 根据异常现象初步检测 1）系统运行异常：包括无法开机、开机变慢、系统运行速 度慢、频繁重启、无故死机、自动关机等； 2）屏幕显示异常：包括计算机蓝屏、弹出异常对话框、产 生特定的图像（如小球病毒）等； 3）声音播放异常：出现非系统正常声音等，如“杨基”（ Yangkee）病毒和“浏阳河”病毒； 4）文件/系统异常:无法找到硬盘分区、文件名等,相关属性 遭更改、硬盘存储空间意外变小、无法打开/读取/操作文 件、数据丢失或损坏、CPU利用率或内存占用过高。 5）外设异常。鼠标/打印机等外设异常无法正常使用等； 6）网络异常：不能正常上网、杀毒软件无法升级、自动弹 出网页、主页被篡改、自动发送电子邮件等异常现象。
病毒触发条件主要有7种: 时间触发、键盘触发、感染触发、启动触发、 访问磁盘次数触发、调用中断功能触发、CPU型号/主板型号触发。
案例7-5
电子邮件病毒触发方式。“欢迎时光”病毒
（VBS.Haptime.A@mm），作为电子邮件附件，利用邮件系统的缺
陷自身传播，可在无运行附件时运行。并可利用邮件系统的信纸功能，
网格计算、未知病毒特征辨识等新技术，通过网状的大量客户端对网络中软
件行为的异常监测，获取互联网中病毒的新信息，传送到Server端自动分析
和处理，再把解决方案发到各客户端。
讨论思考：
（1）如何进行常见病毒的检测、清除、防范？ （2）如何进行木马病毒的检测、清除和防范？ （3）计算机病毒和防病毒技术的发展趋势是什么？
③杀毒快、误杀率低。以独有的技术体系对系统资源占用少，杀毒 快、误杀率低。
④快速升级和响应，病毒特征库及时更新，确保对爆发性病毒的快 速响应。
⑤对感染型木马强力查杀功能的反病毒引擎，以及实时保护技术强 大的反病毒引擎，采用虚拟环境启发式分析技术发现和阻止未知病毒。
⑥超低系统资源占用，人性化免打扰设置，在用户打开全屏程序或 运行应用程序时自动进入“免打扰模式”。
7.4典型应用 病毒的检测清除与防范
7.4.4 木马的检测清除与防范
1.木马的 检测
2.木马病 毒的清除
3.木马病 毒的防范
• （1）检测系统进程 • （2）检查注册表、ini文件和服务 • （3）检测开放端口初始化-系统配置文件 • （4）监视网络通讯
• （1）手工删除 • （2）杀毒软件清除
7.5 实验七 360安全卫士杀毒软件应用
7.5.1 实验目的
360安全卫士及杀毒软件的实验目的： ① 理解360安全卫士杀毒软件的主要功能及特点。 ② 掌握360安全卫士杀毒软件主要技术和应用。 ③ 熟悉360安全卫士杀毒软件主要操作界面和方法
7.5.2 实验内容
1. 主要实验内容 360安全卫士及杀毒软件的实验内容： ① 360安全卫士杀毒软件的主要功能及特点。 ② 360安全卫士杀毒软件主要技术和应用。 ③ 360安全卫士杀毒软件主要操作界面和方法。 实验用时：2学时（90-120分钟） 2. 360安全卫士主要功能特点 360安全卫士主要功能： ①电脑体检。②查杀木马。③修复漏洞。 ④系统修复。⑤电脑清理。⑥优化加速。 ⑦电脑门诊。⑧软件管家。⑨功能大全。
7.3 知识拓展 病毒的构成与传播
7.3.1 计算机病毒的构成
计算机病毒主要构成，有3个单元构成：
图7-1 计算机病毒的主要构成
3)由两个部分构成，一是 触发控制部分，二是二是影响 破坏操作部分。
触发 引导 单元 单元
传染单 元
1)也称潜伏机 制模块，具有初始化、 隐藏和捕捉功能。可 将病毒加载到内存中， 并保护其存储，以防 被其他程序覆盖，同 时修改一些中断及高 端内存、保存原中断 系统参数，为传播做 准备。
2. 各种网络传播
（1）电子邮件 （2）下载文件 （3）浏览网页 （4）聊天通讯工具 （5）移动通信终端
7.3 知识拓展 病毒的构成与传播
7.3.3 计算病毒的触发与生存
1．病毒的触发条件及方式
病毒基本特性是感染、潜伏、触发、破坏。感染使病毒传播，破坏性体现 其杀伤力。触发性兼顾杀伤力和潜伏性，并可控制病毒感染和破坏频度。
2)是病毒程序的核心，主要功能是传播病毒，一般由三个 部分构成，传染控制模块、传染判断模块、传染操作模块。
7.3 知识拓展 病毒的构成与传播
7.3.2 计算机病毒的传播
传播性是病毒最大威胁和隐患的特点之一。 1．移动式存储介质
数码产品常用的移动存储介质主要包括：软盘、光盘、DVD、硬盘、 闪存、U盘、CF卡、SD卡、记忆棒（Memory Stick）、移动硬盘等。移 动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便 利，这也是其成为目前主流病毒传播途径的重要原因。例如，“U盘杀 手”（Worm_Autorun）病毒
• （1）不点击不明的网址或邮件 • （2）不下载没有确认的软件 • （3）及时漏洞修复-堵住可疑端口 • （4）使用实时监控程序
木马可在Win.ini和
System.ini”run=”“load=” “shell=”后加载,若在其后 加载程序很陌生,可能就 是木马.常将“Explorer” 变为自身程序名,或将其 中的字母”l”改为数字“1”, 或将字母“o”改为数字 “0”,不易发现。
7.5 实验七 360安全卫士杀毒软件应用 7
7.5.3 操作界面及步骤
1. 360安全卫士操作界面 鉴于广大用户对360安全卫士等软件比较熟悉，且限于篇幅，在此只
做概述。360安全卫士最新11.2版主要操作界面，如图7-2至7-7所示。
图7-2 安全卫士主界面及电脑体验界面
图7-3安全卫士的木马查杀界面
7.4典型应用 病毒的检测清除与防范
7.4.5 病毒和防病毒技术的发展趋势
1. 计算机病毒的发展趋势
随着互联网的高速发展，病毒也进入了愈加猖狂和泛滥的阶段， 目前计算机病毒的发展主要体现出在以下四个方面：
（1）病毒的种类和数量迅速增长 案例7-7
据瑞星网站报道2016年1-6月，瑞星“云安全”系统共截获新 增病毒样本1,633万余个，病毒总体数量比去年下半年增长93.01%，呈现 出爆发式增长态势。其中木马病毒1,172万个，占总体病毒的71.8%，第一 大种类病毒。新增病毒样本包括蠕虫病毒（Worm）198万个，占总体数 量的12.16%。感染型（Win32）病毒97万个，占总体数量的5.99%，后门 病毒（Backdoor）66万个，占总体数量的4.05%。恶意广告（Adware）、 黑客程序（Hack）、病毒释放器（Dropper）、恶意驱动（Rootkit）依 次排列，比例分别为1.91%、1.03%、0.62%和0.35%。
查杀病毒不如预防,如果能够采取全面的防护措施，则会 更有效地避免病毒的危害。因此，计算机病毒的防范，应该采 取预防为主的策略。
首先要在思想上有反病毒的警惕性，依靠使用反病毒技术 和管理措施，这些病毒就无法逾越安全保护屏障，从而不能广 泛传播。个人用户要及时升级可靠的反病毒产品，因为病毒以 每日4-6个的速度产生，反病毒产品必须适应病毒的发展，不 断升级，才能识别和查杀新病毒，为系统提供真正安全环境。 每一位计算机使用者都要遵守病毒防治的法律和制度，做到不 制造病毒，不传播病毒。养成良好的上机习惯，如定期备份系 统数据文件；外部存储设备连接前先杀毒再使用；不访问违法 或不明网站，不下载传播不良文件等。