防病毒系统讲解

24
症状病毒的入侵的症状（ 症状病毒的入侵的症状（五）
软盘等设备未访问时出读写信号：病毒感染； 软盘等设备未访问时出读写信号：病毒感染； 软盘取走了还在打开曾经在软盘中打开过的文 件。
25
症状病毒的入侵的症状（ 症状病毒的入侵的症状（六）
出现大量来历不明的文件：病毒复制文件； 出现大量来历不明的文件：病毒复制文件；可 能是一些软件安装中产生的临时文件； 能是一些软件安装中产生的临时文件；也或许 是一些软件的配置信息及运行记录。 是一些软件的配置信息及运行记录。
30
反病毒技术的发展
第一代反病毒技术采取单纯的病毒特征诊断， 第一代反病毒技术采取单纯的病毒特征诊断，但是对 加密、变形的新一代病毒无能为力；（简单特征码） ；（简单特征码 加密、变形的新一代病毒无能为力；（简单特征码） 第二代反病毒技术采用静态广谱特征扫描技术， 第二代反病毒技术采用静态广谱特征扫描技术，可以 检测变形病毒，但是误报率高，杀毒风险大；（ ；（广谱 检测变形病毒，但是误报率高，杀毒风险大；（广谱 特征码） 特征码） 第三代反病毒技术将静态扫描技术和动态仿真跟踪技 术相结合；（行为判断） ；（行为判断 术相结合；（行为判断） 第四代反病毒技术基于病毒家族体系的命名规则， 第四代反病毒技术基于病毒家族体系的命名规则，基 CRC校验和扫描机理 校验和扫描机理、 于多位 CRC校验和扫描机理、启发式智能代码分析模 动态数据还原模块、内存解毒模块、 块、动态数据还原模块、内存解毒模块、自身免疫模 块等先进解毒技术，分布处理技术，安全网管技术； 块等先进解毒技术，分布处理技术，安全网管技术； 虚拟机+行为模式） （虚拟机+行为模式）
18
病毒分类
按病毒特征分类 蠕虫类病毒 黑客类病毒 木马类病毒 宏病毒 脚本病毒
19
判断中毒
各种病毒时至今日也可算是百花齐放了，搞得人心惶惶， 各种病毒时至今日也可算是百花齐放了，搞得人心惶惶， 一旦发现自己的电脑有点异常就认定是病毒在作怪， 一旦发现自己的电脑有点异常就认定是病毒在作怪，到处 找杀毒软件，一个不行，再来一个，总之似乎不找到“ 找杀毒软件，一个不行，再来一个，总之似乎不找到“元 誓不罢休一样，结果病毒软件是用了一个又一个， 凶”誓不罢休一样，结果病毒软件是用了一个又一个，或 许为此人民币是用了一张又一张，还是未见“元凶” 许为此人民币是用了一张又一张，还是未见“元凶”的踪 其实这未必就是病毒在作怪。 影，其实这未必就是病毒在作怪。
31
安全建议
建立良好的安全习惯。例如： 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要 打开，不要上一些不太了解的网站、 打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未 经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。 经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。 关闭或删除系统中不需要的服务。默认情况下， 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会 安装一些辅助服务， 客户端、 服务器。 安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些 服务为攻击者提供了方便，而又对用户没有太大用处， 服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它 就能大大减少被攻击的可能性。 们，就能大大减少被攻击的可能性。 经常升级安全补丁。据统计， 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全 的网络病毒是通过系统安全 漏洞进行传播的，象红色代码、尼姆达等病毒， 漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期 到微软网站去下载最新的安全补丁，以防范未然。 到微软网站去下载最新的安全补丁，以防范未然。
13
病毒的传染性
病毒特征
病毒是不受欢迎的，因此一定要隐 藏自己不被发现，才能达到传播感 染的目的。 如隐藏在windows系 统目录下，并命名类似系统文件的 文件名；木马更注重伪装和隐藏自 身，这种程序从表面上看没有什么， 但是实际上却隐含着恶意意图。一 些木马程序会通过覆盖系统中已经 存在的文件的方式存在于系统之中， 它实际上是一个窃取密码的工具。 这种病毒通常不容易被发现，因为 它一般是以一个正常的应用的身份 在系统中运行的，如： Trojan.VB.ubj VB木马病毒
23
症状病毒的入侵的症状（ 症状病毒的入侵的症状（四）
经常报告内存不够：病毒非法占用了大量内存； 经常报告内存不够：病毒非法占用了大量内存； 打开了大量的软件；运行了需内存资源的软件； 打开了大量的软件；运行了需内存资源的软件； 系统配置不正确；内存本就不够（ 系统配置不正确；内存本就不够（目前基本内 存要求为128M 128M） 存要求为128M）等。
28
症状病毒的入侵的症状（ 症状病毒的入侵的症状（十）
系统自动执行操作：病毒在后台执行非法操作； 系统自动执行操作：病毒在后台执行非法操作； 用户在注册表或启动组中设置了有关程序的自 动运行； 动运行；某些软件安装或升级后需自动重启系 统。
29
通过以上的分析对比， 通过以上的分析对比，我们知道其实大多数故 障都可能是由于人为或软、硬件故障造成的， 障都可能是由于人为或软、硬件故障造成的， 当我们发现异常后不要急于下断言， 当我们发现异常后不要急于下断言，在杀毒还 不能解决的情况下，应仔细分析故障的特征， 不能解决的情况下，应仔细分析故障的特征， 排除软、硬件及人为的可能性。 排除软、硬件及人为的可能性。
病毒的触发性
源自文库
16
病毒分类
按攻击的操作系统分类 攻击x86系列计算机的病毒 攻击x86系列计算机的病毒 x86 攻击Macintosh系列计算机的病毒 攻击Macintosh系列计算机的病毒 Macintosh 攻击Unix Unix操作系统得病毒 攻击Unix操作系统得病毒 攻击手机、PDA的病毒 攻击手机、PDA的病毒
21
症状病毒的入侵的症状（ 症状病毒的入侵的症状（二）
系统无法启动：病毒修改了硬盘的引导信息， 系统无法启动：病毒修改了硬盘的引导信息， 或删除了某些启动文件。 或删除了某些启动文件。如引导型病毒引导文 件损坏；硬盘损坏或参数设置不正确； 件损坏；硬盘损坏或参数设置不正确；系统文 件人为的误删除等。 件人为的误删除等。
20
症状病毒的入侵的症状（ 症状病毒的入侵的症状（一）
经常死机： 经常死机：病毒打开了许多文件或占用了大量 内存；不稳定（如内存质量差， 内存；不稳定（如内存质量差，硬件超频性能 差等）； ）；运行了大容量的软件占用了大量的内 差等）；运行了大容量的软件占用了大量的内 存和磁盘空间；使用了一些测试软件（ 存和磁盘空间；使用了一些测试软件（有许多 BUG）；硬盘空间不够等等； ）；硬盘空间不够等等 BUG）；硬盘空间不够等等；运行网络上的软 件时经常死机也许是由于网络速度太慢， 件时经常死机也许是由于网络速度太慢，所运 行的程序太大， 行的程序太大，或者自己的工作站硬件配置太 低。
22
症状病毒的入侵的症状（ 症状病毒的入侵的症状（三）
文件打不开：病毒修改了文件格式； 文件打不开：病毒修改了文件格式；病毒修改 了文件链接位置。文件损坏；硬盘损坏； 了文件链接位置。文件损坏；硬盘损坏；文件 快捷方式对应的链接位置发生了变化； 快捷方式对应的链接位置发生了变化；原来编 辑文件的软件删除了； 辑文件的软件删除了；如果是在局域网中多表 现为服务器中文件存放位置发生了变化， 现为服务器中文件存放位置发生了变化，而工 作站没有及时涮新服器的内容（ 作站没有及时涮新服器的内容（长时间打开了 资源管理器） 资源管理器）.
17
病毒分类
按链接方式分类 外壳型病毒（病毒本身包围宿主程序周围， 外壳型病毒（病毒本身包围宿主程序周围，对 原来的程序不作修改） 原来的程序不作修改） 入侵型病毒（病毒本身嵌入到目标程序中， 入侵型病毒（病毒本身嵌入到目标程序中，很 难发现、清除，也很难编写） 难发现、清除，也很难编写） 源码型病毒（利用网络脚本编写， 源码型病毒（利用网络脚本编写，放在电子邮 件的附件或HTML页中， HTML页中 件的附件或HTML页中，通过漏洞 感染并执行。） 感染并执行。）
14
病毒的隐蔽性
病毒特征
病毒传播过程需要一个载体，病毒 会寄生在这些载体上传播。病毒主 要载体有引导区、文件和内存等， 病毒通过寄生在正常的文件上了来 隐藏自己，它的寄生过程就是它的 传播和感染的过程。 红色代码病毒只通过内存来传播病 毒。 目前，流行的蠕虫病毒主要是通过 网络介质来进行传播的。
病毒的寄生性
计算机病毒防治技术
第一部分 病毒发展趋势
2
病毒发展的第一阶段： 偶然性 无意识 无破坏
3
病毒发展的第二阶段： 破坏性 传染性 大范围 具有很强的攻击行为
4
网络病毒在全球范围内高速扩散
2001年7月19日 01:05:00 年 月 日 20:15:00
5
病毒发展的第三阶段： 隐藏性 寄生性 偷窃性 大量性
10
计算机病毒的特性
破坏性 传染性 隐蔽性 寄生性 触发性
11
病毒特征
病毒按破坏性费为良性病毒和恶性 病毒。良性病毒：在屏幕上出现卡 通或演奏音乐等、开玩笑、游戏； 恶性病毒：如CIH是典型的引导区 病毒，可修改引导区信息，系统无 法找到分区，无法正常访问硬盘数 据，甚至无法找到分区等。欢乐时 光发作时会删除文件，并启动大量 病毒进程，导致系统资源缺乏而不 能工作。再如求职信等，会用垃圾 代码覆盖文件，造成不可修复的破 坏。
15
病毒特征
病毒的触发条件是多种多样的。 比如CIH根据系统时间（4月26日）、 Happytime则是按照设定的逻辑条件 来触发的，还有很多病毒是运行后 即触发。 时间：cih，1.2，每年4月26日；1.3， 每年6月26日，1.4，每月26日。 一定条件：“PETER-2”在每年2月 27日会提三个问题，答错后会将硬 盘加密。
27
症状病毒的入侵的症状（ 症状病毒的入侵的症状（九）
系统运行速度慢：病毒占用了内存和CPU资源， 系统运行速度慢：病毒占用了内存和CPU资源， CPU资源 在后台运行了大量非法操作；硬件配置低； 在后台运行了大量非法操作；硬件配置低；打 开的程序太多或太大；系统配置不正确； 开的程序太多或太大；系统配置不正确；如果 是运行网络上的程序时多数是由于你的机器配 置太低造成，也有可能是此时网路上正忙， 置太低造成，也有可能是此时网路上正忙，有 许多用户同时打开一个程序； 许多用户同时打开一个程序；还有一种可能就 是你的硬盘空间不够用来运行程序时作临时交 换数据用。 换数据用。
26
症状病毒的入侵的症状（八）
键盘或鼠标无端地锁死：病毒作怪， 键盘或鼠标无端地锁死：病毒作怪，特别要留 木马" 键盘或鼠标损坏； 意"木马"；键盘或鼠标损坏；主板上键盘或鼠 标接口损坏；运行了某个键盘或鼠标锁定程序， 标接口损坏；运行了某个键盘或鼠标锁定程序， 所运行的程序太大，长时间系统很忙， 所运行的程序太大，长时间系统很忙，表现出 按键盘或鼠标不起作用。 按键盘或鼠标不起作用。
6
黑客攻击技术与网络病毒日趋融合
网络攻击方式对使用者要求较低 缓冲区溢出、格式串攻击已公开流 传多年，越来越多的人掌握这些技 巧 少部分人掌握自行挖掘漏洞的能力， 并且这个数量在增加 漏洞挖掘流程专业化，工具自动化 制造病毒越来越简单 “看不见的风险”厂商为了声誉不 完全公开产品的安全缺陷：漏洞私 有，不为人知
12
病毒的破坏性
病毒特征
传染性是衡量一个程序是否是病毒的 重要条件，病毒制造者会花大量时间 考虑如何使病毒能够快速、广泛地传 播，从而达到恶意报复或显示编程能 力的目的。蠕虫病毒可以说是传播速 度最快、传播范围最广的病毒了，美 丽莎、SIRCAM、Nimada、冲击波等 病毒，灰鸽子等就是通过E-mail方式 来传播的，传播速度和范围惊人，24 小时可传播全世界。求职信和灰鸽子 不仅通过邮件，还可通过局域网文件 共享、系统漏洞等多种方式进行传播， 传播能力更强。
7
病毒发展的未来： 病毒越来越容易制作，为了利益而制造病毒
8
第二部分 病毒与反病毒基础知识
9
什么是病毒？ 什么是病毒？
由于计算机病毒隐藏在合法用户文件之中，因此， 由于计算机病毒隐藏在合法用户文件之中，因此， 病毒程序的执行也使对系统功能的“合法”调用。 病毒程序的执行也使对系统功能的“合法”调用。 三个比较公认的基本观点： 三个比较公认的基本观点： 计算机病毒是人为制造的具有破坏性的程序； 计算机病毒是人为制造的具有破坏性的程序； 计算机病毒的运行时非授权入侵； 计算机病毒的运行时非授权入侵； 计算机病毒可以隐藏在可执行文件或数据文 件中； 件中；