网络安全培训

winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全 对话框
smss.exe Session Manager 这是一个会话管理子系统，负
责启动用户会话。
csrss.exe 子系统服务器进程，负责控制windows，创建或
者删除线程和一些16位的虚拟MS-DOS环境。
services.exe 包含很多系统服务
引导系统时间变长； 计算机处理速度比以前明显放慢，反应比较迟钝； 计算机经常死机或者重启；
系统文件出现莫名其妙的丢失或字节变长、日期修改等现象；
在运行熟悉的软件时常出现内存不够的警告
，病毒已驻入内存
系统生成一些特殊文件； 驱动程序被修改使得某些外设不能正常工作； 硬盘频繁被访问，指示灯一直在闪；
传染性 传染性是计算机病毒最重要的一个特征，病毒程序一旦侵入计算 机系统就通过自我复制迅速传播。
潜伏性
计算机病毒具有依附于其它媒体（宿主）而寄生的能力，依靠寄 生能力，病毒可以悄悄隐藏起来，然后在用户不察觉的情况下进行传 染。
表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不 同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统 资源，影响系统的正常运行。还有一些恶意病毒程序删除文件，甚 至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。 可触发性 计算机病毒一般都有一个或者几个触发条件。一旦满足触发条 件或者激活病毒的传染机制，就会发作并进行传染；病毒程序可以 依据设计者的要求，在一定条件下实施攻击。这个条件可以是敲入 特定字符，某个特定日期或特定时刻，或者是病毒内置的计数器达 到一定次数等。 如"PETER-2"在每年2月27日会提三个问题，答错后会将硬盘加 密。著名的"黑色星期五"在逢13号的星期五发作。国内的"上海一号" 会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日 发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露 出本来面目。
计算机病毒的特征
非授权可执行性
计算机病毒隐藏在合法的程序或数据中，当用户运行正常程序时， 病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为 在执行正常程序；
隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序， 它通常总是想方设法隐藏自身，防止用户察觉；
一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后， 可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通 常仍能正常运行，使用户不会感到任何异常。
计算机病毒不同于生物医学上的“病毒”，几乎所有的计算机病 毒都是人为地故意制造出来的，有时一旦扩散出来后连制造者自己也 无法控制。目前，全球已有的计算机病毒约7万余种。
它的所做所为与生物病毒很相像,下面表格将生物医学病毒与感染IBMPC机的DOS环境下的病毒的特征进行对比。 生物病毒 计算机病毒 攻击特定程序（所有*.COM 和 *.EXE文 件[针对MS-DOS环境]）



文件无法正确读取、复制，日期、时间、属性等发生变化等
等……
这是都可能是感染病毒后的明显特征 ….
熊猫烧香
冲击波
网页被修改
QQ尾巴
一、什么是计算机病毒

计算机病毒（Computer Virus）
“编制或者在计算机程序中插入的破坏计算机功能或 者破坏数据，影响计算机使用并且能够自我复制的一组计 算机指令或者程序代码”。 特点：自我复制、传染、破坏
应用程序不能被复制、移动、删除 硬盘上出现大量无效文件； 某些程序运行时载入时间变长。
，档案奇怪的消失；
计算机病毒的检测以及预防

通常计算机病毒的检测方法有两种
自动检测
通过诊断软件来判读系统或软盘是否有毒的方法。自动检测 比较简单，一般用户都可以进行，但需要较好的诊断软件，才可 方便地检测出病毒。但是，自动检测工具只能识别已知病毒，而 且自动检测工具的发展总是滞后于病毒的发展，所以检测工具对 未知病毒很难识别。
局域网一般指企业和家庭中的内部网络。在局域网内的
计算机可以在网内自由的进行数据的存储、交换和访问。 这样，如果局域网中的一台计算机感染了病毒，那么局 域网内的其它计算机也将面临巨大的安全威胁。所以， 我们建议在局域网的每台计算机上都安装防病毒软件。

通过电子邮件进行传播
当用户的计算机（安装过邮件客户端）被感染后， 计算机会在用户不知道的情况下，向用户的朋友和工作 伙伴发送病毒邮件。通常情况下，一些正常的商业信息 文件也会随染毒邮件一起被发送出去。一般情况下，只 要有少数人被感染，就有可能会有成千上万的人收到染 毒信件。

利用系统、应用软件的漏洞进行传播；

利用系统配置缺陷传播，如弱口令、完全共享 等； 利用欺骗等社会工程的方法传播。

计算机病毒的感染过程

计算机病毒主要通过四个过程来感染载体：加 载→触发→感染→发作。
计算机病毒的传播过程可简略示意如下：
常见电脑病毒发作症状

病毒对计算机的影响
操作系统病毒现象：
二、安装杀毒软件和防火墙 起到一定的防毒和杀毒作用，要及时对杀毒软件升级,更新到最 新的病毒库， 以保证计算机受到持续地保护。 三、不要随便浏览陌生的网站 目前在许多网站中，总是存在有各种各样的弹出窗口，如：最 好的网络电视广告或者网站联盟中的一些广告条。
网络病毒 计算机网络传播感染网络中的可执行文件 文件病毒 感染计算机中的文件 引导型病毒
感染启动扇区（Boot）和硬盘的系统引导扇区
蠕虫（worm）
蠕虫程序主要利用系统漏洞进行传播。它通过网络、电子邮件 和其它的传播方式，象蠕虫一样从一台计算机传染到另一台计算机。 因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常 大的。蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然 后将自身副本发送给这些计算机。蠕虫病毒也使用存储在染毒计算 机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序 也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用 内存资源而不占用其它资源。
试想，如果病毒在传染到计算机上之后，机器马上无法正常运行， 那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得 以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒 的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或 1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以 病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非 常不易被察觉。
lsass.exe 这是一个本地的安全授权服务，并且它会为使
用winlogon服务的授权用户生成一个进程。管理IP安全策略 和IP安全驱动程序。 位置来构建需要加载的服务列表。包含很多系统服务。
务) 。
svchost.exe 在启动的时候，Svchost.exe检查注册表中的
SPOOLSV.EXE 管理缓冲池中的打印和传真作业 (系统服

通过移动存储设备进行传播
包括软盘、U盘，硬盘等，在移动存储设备中，软盘/U盘 是使用最广泛移动最频繁的存储介质，因此也成了计算 机病毒寄生的“温床”。目前，大多数计算机都是从这 类途径感染病毒的。

通过互联网上点对点通信系统和无线通道传播
例如聊天工具QQ，MSN等等。发送一些链接，让对方打 开，这也是感染病毒的常见方式。
坏轨增加；
有些病毒会将某些磁区标注为坏轨,而将自己隐藏其中,于是往 往扫毒软体也无法检查病毒的存在,例如 Disk Ki_ll.也会寻找 3 或 5 个连续未用的磁区,并将其标示为坏轨。
应用程序病毒现象：
启动程序出现“非法操作”等现象； 应用程序文件变大；
正常情况下,这些程式应该维持固定的大小,但有些较不聪明 的病毒,会增加程式的大小 。(Funlove.4099)外壳型病毒藏在可 执行文件之中 。
手工检测
它的基本过程是利用一些工具软件，对易遭病毒攻击和修改 的内存及磁盘的有关部分进行检查，通过和正常情况下的状态进 行对比分析，来判断是否被病毒感染。这种方法检测病毒，费时 费力，但可以剖析新病毒，检测识别未知病毒，可以检测一些自 动检测工具不认识的新病毒。
计算机病毒的防治要从防毒、查毒、解毒三方面来进 行。 根据系统情况查询病毒名称---杀掉病毒进程---删掉病 毒文件---清除病毒的启动方法---在系统上全盘杀毒
黑客工具、危险软件
例如广告软件（AdWare）、间谍软件（Spyware）、流氓软 件、玩笑程序等等。 在不通知用户的情况下进入到用户的计算机 中，有目的显示广告、收集用户个人或公司信息并把信息发送给 程序的开发者，改变浏览器的设置（如首页、搜索页和安全级别 等），创建用户无法进行控制的网络通信。有的时候，用户很难 发现自己的计算机上已经安装了间谍软件,靠辅助的清理软件才可 能发现。黑客工具一般是由黑客或者恶意程序安装到您计算机中， 用来盗窃信息、引起系统故障和完全控制电脑的恶意程序。
网络安全培训
--计算机病毒
Interquip
2009-3-25 资讯科技
培训提纲

计算机病毒的概念和特征
计算机病毒的分类 计算机病毒的传染途径 计算机病毒的检测和预防



如果我们在使用计算机时发现以下的一些异常情况

ቤተ መጻሕፍቲ ባይዱ
系统无法启动； 程序运行速度变慢，经常死机 ； 硬盘被频繁访问，硬盘灯狂闪 ； IE无法使用或未经授权自动打开 ；
explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 Ctfmon.exe 输入设备识别程序

防止计算机感染病毒的几种简单方法
一、及时更新系统漏洞补丁 打开WINDOWS系统自带的Windows Update功能，自动下载 安装补丁，修复操作系统存在的安全与漏洞。
最近，蠕虫成为传播最快的一种恶意程序， 其次是病毒和特洛伊木马。某些恶意程序仅具 备上述某种特征，有的甚至同时具备上述两种 或者三种特征。
计算机病毒的传播途径

通过计算机网络（互联网和局域网）进行传播
计算机病毒可以附着在正常文件中通过互联网络进入一
个又一个系统，黑客们将病毒或者恶意程序伪装成免费 工具放在网站上让人们下载，或者在网站内添加自动执 行的恶意脚本，修改系统注册表项、盗窃用户信息或在 用户的计算机内安装恶意程序。 自从利用信用卡实现在线购物、拍卖后，网络诈骗行为 也变得非常普遍。
攻击生物机体特定细胞 修改细胞的遗传信息，使病毒在被感 染的细胞中繁殖
被感染的细胞不再重复感染，并且被 感染的机体很长时间没有症状 病毒并非感染所有的细胞，并且病毒 可以产生变异
操纵程序使被感染程序能复制病 毒程序
很多计算机病毒只感染程序一次， 被感染的程序很长时间可以正常 运行 程序能够加上免疫标志，防止感染。 但计算机病毒能够修改自身使免 疫失效
病毒（virus）
当已感染的软件运行时，这些恶性程序向计算机软件添加代码, 修改程序的工作方式,从而获取计算机的控制权。这只是关于病毒 感染的一个简单定义。
木马（trojan）
木马程序是指未经用户同意进行非授权操作的一种恶意程序。 它们可能删除硬盘上的数据，使系统瘫痪，盗取用户资料等。严格 意义上说，特洛伊木马不是病毒（也就是说它们并不感染软件或者 数据）。木马程序不能独立侵入计算机，而是要依靠黑客来进行传 播，它们常常被伪装成“正常”软件进行散播。但木马程序造成的 损失可能远远超过因常规病毒引起的损失。
最基本的系统进程（也就是说，这些进程是系统运行的基 本条件，有了这些进程，系统就能正常运行）
System Idle Process 这个进程是作为单线程运行在每个处理
器上，并在系统不处理其他线程的时候分派处理器的时间 （不可以从任务管理器中关掉。）
winlogon.exe 这个进程是管理用户登录和推出的。而且
计算机病毒的分类
病毒存在的媒体：
1.引导型病毒。2.文件型病毒。3.混合型病毒。4.非常 住型病毒。5.常住型病毒。 病毒破坏能力： 1.无害型病毒。2.无危险型病毒。3.低危险型病毒。4. 高危险型病毒。 按照病毒传播方式： 1.伴随型病毒。2.“蠕虫”型病毒。3.移动介质病毒。 按病毒特有的算法分类： 1.练习型病毒。2.诡秘型病毒。3.变型病毒（“幽灵病 毒”）