电脑预防病毒知识培训

特洛伊木马---黑客程序BO，冰河
恶作剧---DELETE Win95、女鬼 蠕虫病毒---美丽莎、爱虫 邮件病毒---求职信 协议病毒---红色代码 后门病毒---灰鸽子
计算机病毒的危害及症状
计算机病毒的主要危害有： 1．病毒激发对计算机数据信息的直接破坏作用 2．占用磁盘空间和对信息的破坏 3．抢占系统资源 4．影响计算机运行速度
反病毒的实质：从计算机中检测到具有病毒性质 的代码或文件，并予以清除。
计算机技术的不断发展，病毒与反病毒的技 术也日益进步，随着网络时代的到来，二者之间 的斗争十分激烈。
EXE 文件被感染
Win32 PE文件(EXE、DLL、OCX)为了和以前的DOS/Windows系统 保持兼容，WIN 9X/NT下等32位的EXE文件格式有所不同，其中 含有一些空挡，病毒会找适合的地方嵌入进去
蠕虫病毒
定义：通过网络连接，将自身复制到其它计算机中，但不感 染其它文件。 行为：利用了各种的技术，将自己传播到网络中的每一台客 户端中 。 危害：不同的蠕虫病毒的危害表现各不相同。 典型：熊猫烧香（尼姆达） ,求职信
蠕虫病毒：熊猫烧香(尼姆达）
概念：一种新型的恶意蠕虫，影响所有未安装补丁的Windo ws系统，破坏力极大。 行为：通过email邮件传播；通过网络共享传播 ；通过主动 扫描并攻击未打补丁的IIS服务器传播 ；通过浏览被篡改网 页传播 。 危害:产生大量的垃圾邮件 ；用蠕虫副本替换系统文件；可 能影响word，frontpage等软件正常工作；严重降低系统以及 网络性能；创建开放共享，大大降低了系统的安全性 ；将G uest帐号赋予管理员权限，降低了系统的安全性。 解决方法：及时打微软的系统补丁，及时升级杀毒软件，手 动扫描硬盘。
就无安全可言。
行为：自启动功能是木马必不可少的，这可以保证木马不会因为你的一次关 机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都 在不停地研究和探索新的自启动技术，并且时常有新的发现。 一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.e xe)中，用户执行该程序时，则木马自动发生作用。 解决方法：使用杀毒软件查杀，专杀工具等。
杀毒程序检测；如：瑞星、卡巴斯基等
系统启动环境检查：HijackThis
IDS（入侵检测系统）；如：绿盟冰之眼
SNIFFER（嗅探器）检测；如sniffer pro 4.7
漏洞扫描检测；如ShadowSecurityScanner
病毒的预防
慎用软盘、光盘、U盘等移动存储介质 选用优秀反病毒软件，并正确使用，定时升级、杀毒 不要轻易打开电子邮件与附件程序 不要轻易下载小网站的软件与程序 ,使用免费、共享软件时 要注意先查毒 不要光顾那些很诱惑人的小网站，因为这些网站很有可能就 是网络陷阱 系统帐户不要使用空口令或弱密码 使用共享文件夹要谨慎
占用系统资源少
扫描效率高 适应使用者所在的环境
三、现代病毒趋势及检测
现代病毒特点
自动传播和主动攻击---蠕虫
特洛伊木马 — 后门 多种传播方式：邮件、网络共享、利用IIS、IE、SQL的漏洞
危害很大的病毒以邮件为载体,爆发速度快、面积广
含有病毒的移动编码--来自Internet网页的威胁
一、病毒基础知识
病毒的产生背景
计算机病毒的产生是计算机技术和以计算机为核心的社会信 息化进程发展到一定阶段的必然产物。它产生的背景是： （1）计算机病毒是网络犯罪的一种新的衍化形式。 （2）计算机软硬件产品的危弱性是根本的技术原因。 （3）计算机的普及应用是病毒产生的必要环境 。
计算机病毒基本概念
不 – 通常由 不 – 作为单独的 是 使用者执行 文件存在 不 – 通常由 不 – 作为单独的 不 – 否则它可能是 使用者执行 文件存在 特洛伊木马
计算机病毒的种类
引导型---Stone（混合型）、DIRII
文件型---Onehalf、CIH、Funlove 宏病毒---Concept,台湾一号
这是一个被感染的 Windows PE 格式EXE File
VIRUS
为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病 毒代码的空间。如果覆写的位置超过了“空挡”大小，原始程序 文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有 些是不可恢复的，因为原始程序文件被感染时可能已被覆写破坏 了。（典型的象CIH、FUNLOVE病毒）
中毒症状的表现
1.经常死机 3.文件打不开 5.提示硬盘空间不够 9.数据丢失 2.系统无法启动： 4.经常报告内存不够： 6.软盘等设备未访问时出读写信号 10.键盘或鼠标无端地锁死：
7.出现大量来历不明的文件 8.启动黑屏：
11.系统运行速度慢
13.网络传输异常
12.系统自动执行操作：
检测手段
5．计算机病毒错误与不可预见的危害
6．计算机病毒的兼容性对系统运行的影响 7．计算机病毒给用户造成严重的心理压力
例如：
最早的在86年的一个病毒由巴基斯坦两兄弟编的brain大脑病毒， brain是一种引导型的病毒，在86年的时候，当时苹果机比较流 行，这个病毒在苹果机上发作。 在88年11月2号，著名的在Internet上有蠕虫病毒，使得美国整 个军方网络上的6000多台计算机被病毒感染，当时的损失达到9 600万。 我们国家最早是统计部门在1988年发现小球病毒，发作时在屏 幕上弹出小的红球，通过弹性碰撞的方式进行移动。 病毒数量的增长也是非常快，在86年时候1种，89年6种，90年8 0种，98年2万种，2000年4.6万种，2001年6万种， 2008年上半 年达到120多万种，那目前现在平均每天病毒的种类仍以30种的 速度递增。 中国首次计算机病毒疫情网上调查结果 国内有高达73% 的计算机曾遭受过病毒感染！
近几年新增病毒数量的比例
不同类别病毒比例示意图
计算机病毒的传播途径
通过不可移动的计算机硬件设备进行传播。 通过移动存储设备来传播这些设备包括软盘、移动 硬盘、U盘等。 通过计算机网络进行传播。 通过点对点通信系统和无线通道传播。
二、病毒与反病毒技术
病毒与反病毒的实质
病毒的实质：一组计算机指令或者程序代码。
新时代下的网络病毒
传统的网络病毒定义是指利用网络进行传播的一类病毒 的总称。而现在网络时代的网络病毒，已经不是如此单纯的 一个概念了，它被溶进了更多的东西。可以这样说，如今的 网络病毒是指以网络为平台，对计算机产生安全威胁的所有 程序的总和。 主要的类型有：网页病毒 ，蠕虫病毒 ，木马病毒

网页病毒
防治：以防为主，病原体(病毒库)是病毒防治技术的 关键。
新的病毒概念
以前比较重要就是只要插入到计算机程序里面，另外它要能够自我复制，就是一种 感染性，自我复制是一种传播，但对于新的病毒，已经不能完全的符合基本定义。 新型病毒： 引导型病毒 特洛伊木马
恶作剧程序
逻辑炸弹 蠕虫病毒
病毒启动方法
一、修改批处理 。如：Autoexec.bat 二、修改系统配置。如： System.ini、Win.ini 三、借助自动运行功能 。如：Windows的自动运行功能 四、通过注册表中的Run来启动。如：注册表Run、RunOnce中添加键值。 五、通过文件关联启动。 如：EXE文件的关联 六、通过API HOOK启动。如：替换系统的DLL文件 七、通过VXD启动。如：把木马写成VXD形式加载，直接控制系统底层 八、通过浏览网页启动 。如 ：MIME漏洞 九、利用Java applet 。如：利用HTML把木马下载到缓存中，然后修改注册 表，指向其程序。 十、利用系统自动运行的程序。如：“注册表检查” 程序 “输入法”程序 其他方式，如：利用System目录比Windows目录优先的特点
反病毒软件的关键
病毒代码库
——存储病毒的特征代码数据文件,并由杀毒引擎来调用 。
病毒查杀引擎
——反病毒产品在杀毒时的一种特殊的算法 。
在各大厂商的病毒代码库相差无几的情况下，病毒查杀引 擎的先进与否直接限制了杀毒软件的能力高低。
杀毒软件的选择
引擎技术先进性 多样性的杀毒方式 查杀多种类型的病毒 与其他软件兼容性
概念：编制或者在计算机程序中插入的破坏计算机功 能或者毁坏数据，影响计算机使用，并能自我复制的 一组计算机指令或者程序代码。（1994年2月18号公布） 特征：复制、感染、隐蔽、破坏。
危害：病毒运行后能够损坏文件、使系统瘫痪，从而 造成各种难以预料的后果。网络环境下，计算机病毒 种类越来越多、传染速度也越来越快、危害更是越来 越大。
防病毒知识培训
计算机室 李峻
中毒症状的表现
1.经常死机 3.文件打不开 5.提示硬盘空间不够 9.数据丢失 2.系统无法启动 4.经常报告内存不够 6.软盘等设备未访问时出读写信号 10.键盘或鼠标无端地锁死

7.出现大量来历不明的文件 8.启动黑屏
11.系统运行速度慢
13.网络传输异常
12.系统自动执行操作
以上的病毒被称为新计算机病毒。目前反病毒软件对于病毒的研究其实是基于广义的计算机 病毒来说的,2008年上半年主要以机器狗、磁碟机、AUTO木马群为代表的对抗型病毒已经 成为广大用户电脑安全的主要威胁。
新病毒的特性区分
病毒种类 会自我复制 病毒 Virus 是 蠕虫 Worm 特洛伊木 马(Trojan) 黑客程序 开玩笑的 程序 Joke programs 是 感染文件和（或） 盗取密码 磁盘 是 有时 不 – 作为单独的 有时 文件存在
病毒加壳技术
概念：在一些电脑程序中，有一段负责保护程序不被非法修 改或反编译的程序。它们一般都是先于程序运行，拿到控制 权，然后完成它们保护程序的任务。 实质：利用特定的压缩算法(就象WinZIP一样)把木马压缩打 包后，再次运行的时候，在内存中解压释放程序本体。 技术分类：压缩保护 ，加密保护 加壳程序：常见软件ASPACK ,UPX,PEcompact
网页病毒:万花谷
病毒的技术特征：含有有害代码的ActiveX网页文件，它通 过一个网络地址来对计算机用户造成破坏 。 特性如下：用户不能正常使用WINDOWS的DOS功能程序； 用户不能正常退出WINDOWS；开始菜单上的“关闭系统”、 “运行”等栏目被屏蔽，防止用户重新以DOS方式启动，关 闭DOS命令、关闭REGEDIT命令等；将IE的浏览器的首页 和收藏夹中都加入了含有该有害网页代码的网络地址。 解决方法：手动修改注册表，使用专门的解决工具。 预防方法：升级防病毒软件，打开实时监控。
木马病毒
定义：一种恶意程序，它们悄悄地在宿主机器上运行，就在用 户毫无察觉的情况下，让攻击者获得了远程访问和控制系统 的权限。木马的实质只是一个通过端口进行通信的网络客户/ 服务程序 危害：信息泄露，系统被破坏等。 典型：特洛伊木马 ，冰河，网络神偷
木马病毒：特洛伊木马
概念：完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控 制器程序。“中木马”就是指安装了木马的服务器程序，若你的电脑被安装 了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所 欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码
定义：网页病毒是利用网页来进行破坏的病毒，它存在于网 页之中，其实是利用一些SCRIPT语言编写的一些恶意代码。 行为：当用户登录某些含有网页病毒的网站时，网页病毒便 被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源 进行破坏。 危害：轻则修改用户的注册表，使用户的首页、浏览器标题 改变，重则可以关闭系统的很多功能，使用户无法正常使用 计算机系统，严重者则可以将用户的系统进行格式化。 典型：万花谷
系统补丁更新要及时