計算機病毒virus_4講

1、計算機病毒與木馬防治計算機病毒與木馬防治專題一專題一 病毒的發(fā)展與相關概念病毒的發(fā)展與相關概念專題二專題二 病毒的原理與防范病毒的原理與防范專題三專題三 當前流行病毒的防治當前流行病毒的防治專題四專題四 病毒綜合防范的技術措施病毒綜合防范的技術措施2第一講：病毒的現(xiàn)狀與相關概念3一、 計算機病毒的現(xiàn)狀（一）武警部隊受計算機病毒影響的現(xiàn)狀（一）武警部隊受計算機病毒影響的現(xiàn)狀 日常辦公中感染計算機病毒的現(xiàn)象十分普遍，由于受到日常辦公中感染計算機病毒的現(xiàn)象十分普遍，由于受到計算機病毒的破壞，造成了計算機病毒的破壞，造成了軟件不能運行軟件不能運行、系統(tǒng)無法使用系統(tǒng)無法使用，甚至甚至重要數(shù)據(jù)遭到刪除重要

2、數(shù)據(jù)遭到刪除等嚴重的后果。等嚴重的后果。45（二）毒王（二）毒王“熊貓燒香熊貓燒香”病毒病毒6（1）二進制可執(zhí)行文件(后綴為:EXE,SCR,PIF,COM) （2）腳本類(后綴名為:htm,html,asp,php,jsp,aspx)在感染時會刪除這些磁盤上的后綴名為.GHO 局域網(wǎng)進行傳播，進而感染局域網(wǎng)內(nèi)所有計算機系統(tǒng)，最終導致整個局域網(wǎng)癱瘓。對辦公自動化的影響：對辦公自動化的影響：7（三）病毒（三）病毒將硬盤數(shù)據(jù)刪除將硬盤數(shù)據(jù)刪除8 在桌面上會建立一個名為“拯救硬盤.txt”的文件，內(nèi)容大致為：“你的硬盤資料丟失了，是因為手機的強電磁流影響了硬盤的正常讀寫，你必須使用磁盤修復工具拯救找

3、回丟失的資料文件，但是，你正在使用的不是正版軟件，是盜版，你必須拯救修復丟失的資料，并且盡快購買正版的軟件”。開始菜單的“附件”組中生成名為“修復硬盤資料”的快捷方式。對辦公自動化的影響：對辦公自動化的影響：9（四）（四）U盤病毒盤病毒 辦公中使用辦公中使用U盤的頻率高，盤的頻率高，U盤病毒造盤病毒造成的影響面廣，傳播速度快，不依賴于網(wǎng)成的影響面廣，傳播速度快，不依賴于網(wǎng)絡，對單機同樣有嚴重的影響。絡，對單機同樣有嚴重的影響。10二、計算機病毒發(fā)展歷程1、計算機病毒溯源、計算機病毒溯源 1949年，馮年，馮.諾伊曼在諾伊曼在復雜自動裝置的復雜自動裝置的理論及組織的進行理論及組織的進行中已把病毒

4、程序的藍圖中已把病毒程序的藍圖勾勒出來了。勾勒出來了。 當時，絕大部份的專家都無法想象這種當時，絕大部份的專家都無法想象這種會自我繁殖的程序是可能的，只有少數(shù)幾個會自我繁殖的程序是可能的，只有少數(shù)幾個科學家默默地研究馮科學家默默地研究馮諾伊曼所提出的概念。諾伊曼所提出的概念。 111、計算機病毒溯源、計算機病毒溯源20世紀世紀50年代末年代末60年代初，美國電報電話公年代初，美國電報電話公司（司（AT&T） 的的Bell實驗室，實驗室，Core War游戲游戲(磁芯大戰(zhàn)磁芯大戰(zhàn))。道格拉斯道格拉斯 (H. Douglas McIlroy)維克多維克多 (Victor Vysottsky)羅伯特

5、羅伯特莫里斯莫里斯 (Robert T. Morris)二、計算機病毒發(fā)展歷程12Core War(磁芯大戰(zhàn)磁芯大戰(zhàn))。Darwin（達爾文）（達爾文）Creeper（爬行者）（爬行者）Reaper（收割者）（收割者）Dwarf（侏儒）（侏儒）Gemini（雙子星）（雙子星）Imp（小淘氣）（小淘氣）131、計算機病毒溯源、計算機病毒溯源1975 年，年，震蕩波騎士震蕩波騎士第一次描寫了在第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事。爭的工具的故事。1977年，美國科幻作家雷恩在小說年，美國科幻作家雷恩在小說P-1的的青春青春(The

6、 Adolescence of P-1)，幻想了世，幻想了世界上第一個計算機病毒。界上第一個計算機病毒。二、計算機病毒發(fā)展歷程141、計算機病毒溯源、計算機病毒溯源1983年，美國計算機安全學家科恩博士研制年，美國計算機安全學家科恩博士研制出一個在運行過程中可以復制自身的破壞性出一個在運行過程中可以復制自身的破壞性程序。程序。Len Adleman將其命名。將其命名。Computer Virus科恩博士科恩博士二、計算機病毒發(fā)展歷程152、第一例病毒、第一例病毒1986年，巴基斯坦病毒，年，巴基斯坦病毒，Brain（大腦）病毒。（大腦）病毒。 1988年年3月月2日，一種針對蘋果機的病毒發(fā)作。

7、日，一種針對蘋果機的病毒發(fā)作。這天受感染的蘋果機停止工作，只顯示這天受感染的蘋果機停止工作，只顯示“向所有向所有蘋果電腦的使用者宣布和平的信息蘋果電腦的使用者宣布和平的信息”。以慶祝蘋。以慶祝蘋果機生日。果機生日。 二、計算機病毒發(fā)展歷程163、互聯(lián)網(wǎng)第一例病毒、互聯(lián)網(wǎng)第一例病毒1988年，年，Morris ，入侵，入侵ARPNET。莫里斯直接經(jīng)濟損失達直接經(jīng)濟損失達 9600 萬美元萬美元 被判被判 3 年緩刑，罰款年緩刑，罰款 1 萬美元萬美元 二、計算機病毒發(fā)展歷程174、我國第一例病毒、我國第一例病毒1988年底，在我國國家統(tǒng)計部門發(fā)現(xiàn)首例病毒，年底，在我國國家統(tǒng)計部門發(fā)現(xiàn)首例病毒，小

8、球病毒。小球病毒。1989年，年，Stoned病毒。病毒?！癥our PC is now stoned”二、計算機病毒發(fā)展歷程185、第一次將病毒用于戰(zhàn)爭、第一次將病毒用于戰(zhàn)爭1991年，年，“海灣戰(zhàn)爭海灣戰(zhàn)爭”中，美軍第一次將計中，美軍第一次將計算機病毒用于實戰(zhàn)。算機病毒用于實戰(zhàn)。二、計算機病毒發(fā)展歷程196、病毒影響政治事件、病毒影響政治事件1994年，南非第一次多種族全民大選的記票年，南非第一次多種族全民大選的記票工作，因病毒的破壞而停頓達工作，因病毒的破壞而停頓達30余小時。余小時。二、計算機病毒發(fā)展歷程207、宏病毒、宏病毒1997年，年，“宏病毒年宏病毒年”, Macro Viru

9、s。利用軟件所支持的宏命令編寫成的具有復制、利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。傳染能力的宏。WORD宏病毒：宏病毒：當載入文件時先執(zhí)行起始的宏，當載入文件時先執(zhí)行起始的宏，Normal.dot用宏病毒感染用宏病毒感染Normal.dot則所有被編輯的文件均被染毒則所有被編輯的文件均被染毒二、計算機病毒發(fā)展歷程218、第一例破壞硬件的病毒、第一例破壞硬件的病毒-CIH 1998年年8月月,公安部要求各地計算機監(jiān)察處公安部要求各地計算機監(jiān)察處嚴厲加防范一種直接攻擊和破壞計算機硬嚴厲加防范一種直接攻擊和破壞計算機硬件系統(tǒng)的新病毒件系統(tǒng)的新病毒CIH。1999年年4月月26日，日，

10、CIH病毒大規(guī)模爆發(fā)。全病毒大規(guī)模爆發(fā)。全世界至少世界至少6000萬臺，我國至少萬臺，我國至少36萬臺計算萬臺計算機受損。主板受損比例機受損。主板受損比例15%，經(jīng)濟損失，經(jīng)濟損失0.8億人民幣。億人民幣。陳盈豪 二、計算機病毒發(fā)展歷程22239、瀏覽就可以傳染、瀏覽就可以傳染可怕的腳本病毒可怕的腳本病毒設置設置 對象對象1 = 創(chuàng)建對象創(chuàng)建對象/創(chuàng)建一個文件操作對象創(chuàng)建一個文件操作對象對象對象1.創(chuàng)建文本文件創(chuàng)建文本文件/通過這個文件對象的方法創(chuàng)建一個通過這個文件對象的方法創(chuàng)建一個TXT文件文件如果把第二句改為：如果把第二句改為：對象對象1.獲取文件獲取文件.拷貝拷貝(自身自身)/自身復制自

11、身復制二、計算機病毒發(fā)展歷程24設置設置 Outlook對象對象 = 腳本引擎腳本引擎.創(chuàng)建對象創(chuàng)建對象(Outlook.Application) 遍歷地址簿遍歷地址簿 郵件對象郵件對象.收件人收件人.增加增加(地址地址)郵件對象郵件對象.主題主題 = “你好！你好！”郵件對象郵件對象.附件標題附件標題 = “這是一個有趣的東西，請打開這是一個有趣的東西，請打開”郵件對象郵件對象.附件附件.增加增加(“病毒文件病毒文件”)郵件對象郵件對象.發(fā)送發(fā)送NextNext設置設置Outlook對象對象 = 空空251999年年3月月26日日, “梅麗莎梅麗莎” Melissa病毒。病毒。2000年年5

12、月月4日日,愛蟲病毒。愛蟲病毒。2001年，年， CodeRed 、 CodeBlue 、Nimda等針對等針對IIS服務器漏洞病毒。服務器漏洞病毒。9、瀏覽就可以傳染、瀏覽就可以傳染可怕的腳本病毒可怕的腳本病毒2610、新型病毒（手機、新型病毒（手機、PDA病毒）病毒）定義：以手機為感染對象，以手機網(wǎng)絡和計以手機為感染對象，以手機網(wǎng)絡和計算機網(wǎng)絡為平臺，通過病毒短信等形式，對算機網(wǎng)絡為平臺，通過病毒短信等形式，對手機進行攻擊，從而造成手機異常的一種新手機進行攻擊，從而造成手機異常的一種新型病毒。型病毒。二、計算機病毒發(fā)展歷程27 特點特點 手機病毒也是由計算機程序編寫而成；手機病毒也是由計算

13、機程序編寫而成； 可利用發(fā)送普通短信、彩信、上網(wǎng)瀏覽、可利用發(fā)送普通短信、彩信、上網(wǎng)瀏覽、下載軟件、鈴聲等方式，實現(xiàn)網(wǎng)絡到手機的傳下載軟件、鈴聲等方式，實現(xiàn)網(wǎng)絡到手機的傳播；播； 危害后果包括危害后果包括:死機、關機、刪除存儲的資死機、關機、刪除存儲的資料、向外發(fā)送垃圾郵件、撥打電話等。料、向外發(fā)送垃圾郵件、撥打電話等。 2810、新型病毒（手機病毒）、新型病毒（手機病毒）2004年年6月月Cabir在在NOKIA60系列機上傳播。系列機上傳播。2006年共發(fā)現(xiàn)年共發(fā)現(xiàn)226種。種。2007年達到年達到500種。種。二、計算機病毒發(fā)展歷程29目標越大，對惡意軟件作者的吸引力就越強。目標越大，對

14、惡意軟件作者的吸引力就越強。 裝有裝有Symbian操作系統(tǒng)的手機，因為裝配這種操作系統(tǒng)的手機，因為裝配這種操作系統(tǒng)的手機占全球智能手機總數(shù)的操作系統(tǒng)的手機占全球智能手機總數(shù)的70左右。左右。 30RedBrowser的木馬，手機在感染此木馬后，的木馬，手機在感染此木馬后，將連續(xù)不斷地向俄羅斯的一個手機號碼發(fā)將連續(xù)不斷地向俄羅斯的一個手機號碼發(fā)送短信，直到用戶關閉中毒手機為止。送短信，直到用戶關閉中毒手機為止。每條短信都會被收取大約每條短信都會被收取大約5美元美元的額外費用。的額外費用。 31Trojanhorse病毒：是特洛伊木馬病毒，病毒：是特洛伊木馬病毒，病毒發(fā)作時會利用通訊簿向外撥打電

15、話病毒發(fā)作時會利用通訊簿向外撥打電話或發(fā)送郵件?；虬l(fā)送郵件。 32Unavailable病毒：當有來電時，屏幕上顯示病毒：當有來電時，屏幕上顯示的不是電話號碼，而是的不是電話號碼，而是“Unavailable”字樣字樣或一些奇異的符號。此時若接電話就會染上或一些奇異的符號。此時若接電話就會染上該病毒，同時手機內(nèi)所有資料均丟失。該病毒，同時手機內(nèi)所有資料均丟失。 33據(jù)統(tǒng)計據(jù)統(tǒng)計1989年年1月月,病毒種類不過病毒種類不過100種。種。1990年年1月月,超過超過150種。種。1990年年12月月,超過超過260種。種。2005年全年截獲年全年截獲 72836 個。2007年共截獲新病毒年共截獲

16、新病毒283084個。個。2009年年新增新增病毒和木馬病毒和木馬20684223個。個。二、計算機病毒發(fā)展歷程34二、計算機病毒發(fā)展歷程35（1）玩笑、惡作劇的結(jié)果。）玩笑、惡作劇的結(jié)果。 （2）個別人的報復心理產(chǎn)生的結(jié)果。）個別人的報復心理產(chǎn)生的結(jié)果。 （3）保護版權(quán)的結(jié)果。）保護版權(quán)的結(jié)果。（4 4）黑客以獲取情報和經(jīng)濟利益為目的）黑客以獲取情報和經(jīng)濟利益為目的 。根本原因：現(xiàn)代計算機的結(jié)構(gòu)缺陷根本原因：現(xiàn)代計算機的結(jié)構(gòu)缺陷直接原因：病毒制造者出于各種各樣的目的直接原因：病毒制造者出于各種各樣的目的三、計算機病毒產(chǎn)生的原因362007年，明顯針對國內(nèi)用戶、或是明顯帶有年，明顯針對國內(nèi)用戶

17、、或是明顯帶有“中中國制造國制造”特征的病毒，占據(jù)所有病毒總數(shù)的特征的病毒，占據(jù)所有病毒總數(shù)的37%左右，首度躍居左右，首度躍居全球第一全球第一，中國大陸地區(qū)正成為，中國大陸地區(qū)正成為全球電腦病毒全球電腦病毒危害最嚴重危害最嚴重的地區(qū)。的地區(qū)。 37導致這種現(xiàn)狀產(chǎn)生的主要因素：導致這種現(xiàn)狀產(chǎn)生的主要因素： 國內(nèi)黑客國內(nèi)黑客/病毒制造者病毒制造者集團化、產(chǎn)業(yè)化集團化、產(chǎn)業(yè)化運作，運作，批量地制造電腦病毒。批量地制造電腦病毒。 38計算機病毒經(jīng)濟利益？計算機病毒經(jīng)濟利益？3940 我們的殺毒軟件在干什么我們的殺毒軟件在干什么?41針對殺毒軟件做攻防，已經(jīng)成為普遍現(xiàn)象針對殺毒軟件做攻防，已經(jīng)成為普遍

18、現(xiàn)象 案例一：病毒修改殺毒軟件設置，默認忽略（不查殺）查出的病毒案例一：病毒修改殺毒軟件設置，默認忽略（不查殺）查出的病毒 42案例二：病毒修改系統(tǒng)時間讓殺毒軟件過期，造成該軟件無法正常使用案例二：病毒修改系統(tǒng)時間讓殺毒軟件過期，造成該軟件無法正常使用 43案例三：病毒破壞該案例三：病毒破壞該IM軟件自帶的木馬查殺模塊軟件自帶的木馬查殺模塊 44案例四：病毒損壞了某殺毒軟件的配置文件案例四：病毒損壞了某殺毒軟件的配置文件 45廣義上講，凡能夠引起計算機故障、破壞計算機數(shù)據(jù)廣義上講，凡能夠引起計算機故障、破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。的程序統(tǒng)稱為計算機病毒。 1994年年2月月18日我國

19、頒布的日我國頒布的中華人民共和國計算機信中華人民共和國計算機信息系統(tǒng)安全保護條例息系統(tǒng)安全保護條例，第二十八條指出：，第二十八條指出：“計算機計算機病毒，是指編制或者在計算機程序中插入的破壞計算病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用、并能自我復機功能或者毀壞數(shù)據(jù)，影響計算機使用、并能自我復制的一組計算機指令或者程序代碼。制的一組計算機指令或者程序代碼?！?四、計算機病毒的相關概念定義：定義：46傳染性傳染性: 也稱也稱“自我復制自我復制”或或“再生再生”。 破壞性破壞性: 良性、惡性。良性、惡性。寄生性寄生性: 病毒程序嵌入到宿主程序之中，依賴于宿主程

20、序的執(zhí)病毒程序嵌入到宿主程序之中，依賴于宿主程序的執(zhí) 行而生存。行而生存。 隱蔽性：隱蔽性：通常附在正常程序或磁盤中。通常附在正常程序或磁盤中。不可預見性：不可預見性：病毒對反病毒軟件永遠是超前的。病毒對反病毒軟件永遠是超前的。 可控性可控性 、潛伏性、可觸發(fā)性等、潛伏性、可觸發(fā)性等特征：特征：四、計算機病毒的相關概念47采用病毒體字節(jié)數(shù)采用病毒體字節(jié)數(shù)病毒體內(nèi)或傳染過程中的特征字符串病毒體內(nèi)或傳染過程中的特征字符串發(fā)作的現(xiàn)象發(fā)作的現(xiàn)象發(fā)作的時間及相關事件發(fā)作的時間及相關事件病毒發(fā)源地病毒發(fā)源地命名：命名：四、計算機病毒的相關概念48命名：命名：Worm.Nimaya 尼姆亞（熊貓燒香）W32

21、.Klez.Hmm 求職信變種W32.Nimda.Emm 尼姆達變種VBS.HappyTime 歡樂時光VBS.LoveLetter 愛蟲Worm.Sasser 震蕩波Worm.Sasser.f四、計算機病毒的相關概念49命名：命名：Trojan.Huigezi.z灰鴿子變種Backdoor.Huigezi.bm灰鴿子變種Blaster.Worm沖擊波Macro.Word.Apr30 四月三十宏病毒四、計算機病毒的相關概念50命名：命名：l病毒家族名病毒家族名: 根據(jù)病毒特征起的名字，它是根據(jù)病毒特征起的名字，它是一個廣義的病毒名稱。一個廣義的病毒名稱。 l前綴前綴: 包含病毒的類型等相關信息

22、包含病毒的類型等相關信息。l后綴：用來標識病毒變種。后綴：用來標識病毒變種。四、計算機病毒的相關概念51前前 綴綴含含 義義解解 釋釋Boot引導區(qū)病毒引導區(qū)病毒Boot.WYX 。DOS DOSComDOS 病毒病毒 DosCom.Virus.Dir2.2048 （ DirII 病毒）病毒）Worm I-Worm蠕蟲病毒蠕蟲病毒W(wǎng)orm.Sasser （震蕩波）。（震蕩波）。Trojan特洛伊木馬特洛伊木馬Trojan.Win32.PGPCoder.a （文件加密（文件加密機）、機）、Backdoor后門程序后門程序Backdoor.Heidong （黑洞）。（黑洞）。Macro宏病毒宏病毒

23、Macro.Word.Apr30 常見前綴及其含義常見前綴及其含義52前前 綴綴含含 義義解解 釋釋Win32 PEWin95W32W95文件型病毒或文件型病毒或表示病毒的運表示病毒的運行平臺行平臺Win32.YamiScriptVBSJS腳本病毒腳本病毒Script.RedLof （紅色結(jié)束符）。（紅色結(jié)束符）。（ VBS ） Vbs.valentin （情人節(jié)）。（情人節(jié)）。PSW盜取密碼的木盜取密碼的木馬馬Trojan.PSW.Yoben.a （ 201 木馬）。木馬）。Harm惡意程序惡意程序Harm.Delfile （刪除文件）（刪除文件）Joke惡作劇程序惡作劇程序Joke.Cra

24、yMourse 53第二講：病毒的傳播與破壞原理一、引導型病毒一、引導型病毒二、文件型病毒二、文件型病毒三、木馬三、木馬四、蠕蟲原理四、蠕蟲原理54一、引導型病毒定義 開機啟動時，在操作系統(tǒng)的引導過開機啟動時，在操作系統(tǒng)的引導過程中被引入內(nèi)存的病毒稱為引導病毒。程中被引入內(nèi)存的病毒稱為引導病毒。 在使用被感染的磁盤（無論是軟盤在使用被感染的磁盤（無論是軟盤還是硬盤）啟動計算機時，病毒就會首還是硬盤）啟動計算機時，病毒就會首先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引導系統(tǒng)，并伺機傳染其他軟盤或硬盤的導系統(tǒng)，并伺機傳染其他軟盤或硬盤的引導區(qū)。引導區(qū)。55二、文件型病毒文件

25、型病毒是一種感染文件擴展名為是一種感染文件擴展名為COM、EXE 等可執(zhí)行程序的病毒。它等可執(zhí)行程序的病毒。它的安裝必須借助于病毒的載體程的安裝必須借助于病毒的載體程 序，即序，即要運行病毒的載體程序，方能把文件型要運行病毒的載體程序，方能把文件型病毒引入內(nèi)存。病毒引入內(nèi)存。文件型病毒分為源碼型病毒、嵌入型病分為源碼型病毒、嵌入型病毒和外殼型病毒，其中外殼型病毒是目毒和外殼型病毒，其中外殼型病毒是目前流行的文件型病毒。前流行的文件型病毒。56三、木馬的原理與防范1、什么是、什么是“木馬木馬”即特洛伊木馬，獨立程序，包含在一段正常的程序之中。意圖是將被感染的系統(tǒng)中私有信息暴露給程序的植入者，或者

26、控制系統(tǒng)。572、木馬的工作原理、木馬的工作原理客戶機/服務器的應用程序。安裝：運行服務器程序。每次啟動時執(zhí)行。向特定IP地發(fā)送命令。三、木馬的原理與防范58木馬運行過程：木馬運行過程： 1。木馬被激活后，進入內(nèi)存，并開啟事先定義的木馬端口，準備與控制端建立連接。 2。一個木馬連接的建立首先必須滿足兩個條件：（1）服務端已安裝了木馬程序；（2）控制端，服務端都要在線 59 木馬連接建立后，控制端端口和木馬端口之間將會出現(xiàn)一條通道。 3。遠程控制： 控制端具體能享有哪些控制權(quán)限控制端具體能享有哪些控制權(quán)限? 60木馬得到的控制權(quán)限：木馬得到的控制權(quán)限：(1)竊取密碼 (2)文件操作：涵蓋了WIN

27、DOWS平臺上所 有的文件操作功能。 (3)修改注冊表 (4)系統(tǒng)操作 ： 重啟或關閉服務端操作系統(tǒng)，斷開服務端網(wǎng)絡連接，控制服務端的鼠標，鍵盤，監(jiān)視服務端桌面操作，查看服務端進程等。613、攻擊計算機的途徑、攻擊計算機的途徑（1）將調(diào)用語句加至autoexec.bat config.sys中，或c:windowswinstart.bat中。將快捷方式加入啟動菜單。三、木馬的原理與防范623、攻擊計算機的途徑、攻擊計算機的途徑（2）C:WINDOWS目錄下的win.ini的windows字段的“l(fā)oad=” “run=”后加入路徑?；蛟趕ystem.ini的boot字段的“shell=expl

28、orer.exe”后加上木馬名。三、木馬的原理與防范633、攻擊計算機的途徑、攻擊計算機的途徑（3）捆綁在其它文件之中。（4）修改注冊表，最常見，也最復雜。如Hkey-local-machinesoftwareMicorsoftwindows Current VersionRun等加入木馬調(diào)用?；蛘咝薷奈募袷降年P聯(lián)程序。三、木馬的原理與防范643、攻擊計算機的途徑、攻擊計算機的途徑（5）網(wǎng)頁掛馬 黑客自己建立帶毒網(wǎng)站，或者攻擊流量大的黑客自己建立帶毒網(wǎng)站，或者攻擊流量大的現(xiàn)有網(wǎng)站，在其中植入木馬、病毒，用戶瀏覽現(xiàn)有網(wǎng)站，在其中植入木馬、病毒，用戶瀏覽后就會中毒。后就會中毒。 快速的批量快速的

29、批量入侵大量計算機。入侵大量計算機。 三、木馬的原理與防范65 網(wǎng)站服務器一旦被侵入，則網(wǎng)站服務器一旦被侵入，則“批量掛馬批量掛馬”的惡意的惡意木馬會密密麻麻遍布木馬會密密麻麻遍布所有的網(wǎng)頁文件所有的網(wǎng)頁文件，普通網(wǎng)絡管，普通網(wǎng)絡管理員清除時極為煩瑣。理員清除時極為煩瑣。664、檢測與清除、檢測與清除（1）檢查啟動加載的文件。查Windows啟動文件夾。在運行中輸入msconfig命令。三、木馬的原理與防范674、檢測與清除、檢測與清除（2）查看注冊表。用c:windowsregedit.exe編輯三、木馬的原理與防范684、檢測與清除、檢測與清除Hkey-local-machinesoftw

30、areMicorsoftwindows Current VersionRunHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceExHkey-local-machinesoftwareMicorsoftwindows Current VersionRunServicesHkey-local-machinesoftwareMicorsoftwindows Current VersionRun

31、ServicesOnce三、木馬的原理與防范694、檢測與清除、檢測與清除Hkey-Current-UsersoftwareMicorsoftwindows Current VersionRunHkey-Current-UsersoftwareMicorsoftwindows Current VersionRunOnce三、木馬的原理與防范704、檢測與清除、檢測與清除（3）檢查當前運行的進程。）檢查當前運行的進程。打開任務管理器打開任務管理器按按Ctrl+Alt+ Del鍵鍵三、木馬的原理與防范714、檢測與清除、檢測與清除（4）監(jiān)控網(wǎng)絡連接。TCP/IP端口Netstat ano并結(jié)合任務

32、管理器三、木馬的原理與防范727374一些常用的端口： (1)1-1024之間的端口：這些端口叫保留端口， 是專給一些對外通訊的程序用的，如FTP使用21， 只有很少木馬會用保留端口作為木馬端口 的。 75(2)1025以上的連續(xù)端口：在瀏覽網(wǎng)站時，瀏覽器會打開多個連續(xù)的端口下載文字，圖片到本地 硬盤上，這些端口都是1025以上的連續(xù)端口。 76 如發(fā)現(xiàn)有其它端口打開，尤其是數(shù)值比較大的端口，懷疑是否感染了木馬。 如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。 774、檢測與清除、檢測與清除（5）檢查“組策略”中的登錄運行程序 三、木馬的原理與防范gpedit.msc 用戶配置管理模

33、板系統(tǒng)登錄 “在用戶登錄時運行這些程序” 7879 用這種方式添加的自啟動程序在系統(tǒng)的“系統(tǒng)配置實用程序(msconfig)”是找不到的，在常見的注冊表項中也是找不到的，非常危險。 80HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun項 注冊表的 815、木馬的預防、木馬的預防（1）安裝個人防火墻。天網(wǎng)、outpost、looknstop、ZoneAlarm等（2）安裝具有查殺木馬功能的殺毒軟件。（3）經(jīng)常備份并確認注冊表。（4）使用網(wǎng)絡時使用netstat ano命令檢查。（5）養(yǎng)成良好的安裝

34、軟件的習慣。三、木馬的原理與防范825、木馬的預防、木馬的預防小心下載軟件不隨意瀏覽附件加強防病毒能力顯示擴展名棄用Outlook三、木馬的原理與防范83四、蠕蟲的原理與防范 傳染機理是利用網(wǎng)絡進行復制和傳播，傳染途徑是通過網(wǎng)絡、電子郵件以及優(yōu)盤、移動硬盤等移動存儲設備。如“熊貓燒香”。 主要利用主要利用系統(tǒng)漏洞系統(tǒng)漏洞進行傳播。進行傳播。 84四、蠕蟲的原理與防范 病毒中文名：病毒中文名：MSN騙子騙子 病毒英文名：病毒英文名：Worm.MSN.funny 病毒類型：蠕蟲病毒病毒類型：蠕蟲病毒 病毒危險等級：病毒危險等級： 病毒傳播途徑：病毒傳播途徑：QQ/MSN 即時通訊工具即時通訊工具

35、病毒依賴系統(tǒng)：病毒依賴系統(tǒng)：Windows 9X/NT/2000/XP85 1在在Windows 2000/XP系統(tǒng)下，病毒會修改系統(tǒng)文件系統(tǒng)下，病毒會修改系統(tǒng)文件HOSTS，屏蔽，屏蔽937個網(wǎng)站，使用戶登陸這些網(wǎng)站時會轉(zhuǎn)向個網(wǎng)站，使用戶登陸這些網(wǎng)站時會轉(zhuǎn)向www.*，造成用戶無法正常上網(wǎng)瀏覽。，造成用戶無法正常上網(wǎng)瀏覽。 2在在Windows 98系統(tǒng)下，病毒會替換系統(tǒng)文件系統(tǒng)下，病毒會替換系統(tǒng)文件Rundll32.exe，可能造成系統(tǒng)不能關機，進而崩潰。，可能造成系統(tǒng)不能關機，進而崩潰。 3利用利用MSN、QQ瘋狂發(fā)送廣告信息，誘騙用戶登陸瘋狂發(fā)送廣告信息，誘騙用戶登陸www.*網(wǎng)站。網(wǎng)

36、站。 4向向MSN、QQ好友發(fā)送好友發(fā)送“FUNNY.EXE”文件，傳播自文件，傳播自身。身。四、蠕蟲的原理與防范861、利用操作系統(tǒng)的自動更新修補漏洞。2、利用360安全衛(wèi)士等工具下載最新補丁下載最新補丁。3、加強管理，專網(wǎng)應與外網(wǎng)嚴格隔離，防 止不必要的感染。4、遭受感染后，應先斷開網(wǎng)絡，再進行 蠕蟲的清除。5、關注蠕蟲出現(xiàn)的變種，及時升級殺毒軟件， 啟動實時監(jiān)控。防范措施： 8788斷網(wǎng)斷網(wǎng) = = 安全？安全？第三講：流行病毒的防治（U U盤病毒）盤病毒）89一：病毒原理篇90Autorun.infAutorun.inf1、激活、激活91 保存在驅(qū)動器的根目錄下的（是一個隱藏的保存在驅(qū)

37、動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一些簡單的命令，告訴系系統(tǒng)文件），它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或統(tǒng)這個新插入的光盤或U U盤應該盤應該自動自動啟動什么程序。啟動什么程序。 92如果如果U U盤帶有病毒當點擊盤帶有病毒當點擊U U盤時：盤時：93癥狀：癥狀：某機關一臺辦公計算機中，某機關一臺辦公計算機中，DOCDOC格式格式的的WORDWORD文件突然神秘失蹤，存放文件突然神秘失蹤，存放DOCDOC文件的文件的文件夾卻仍然存在，而且其它類型的文檔文文件夾卻仍然存在，而且其它類型的文檔文件如電子表格件如電子表格XLSXLS、幻燈片、幻燈片PPTPPT等卻沒有異

38、常。等卻沒有異常。 94病毒運行后：病毒運行后：1 1、會在、會在C C盤根目錄下生成病毒文件盤根目錄下生成病毒文件 c:ww.batc:ww.bat，搜索硬盤中所有的，搜索硬盤中所有的WordWord文檔：文檔：dir c:dir c:* *.doc dir d:.doc dir d:* *.doc dir e:.doc dir e:* *.doc.docWORDWORD殺手病毒（殺手病毒（doc.exedoc.exe）2 2、刪除文檔，在、刪除文檔，在c:wjc:wj下復制一份，并改名為下復制一份，并改名為* *同時修改注冊表，使系統(tǒng)無法顯示隱藏文同時修改注冊表，使系統(tǒng)無法顯示隱藏文件和文

39、件擴展名。件和文件擴展名。95WordWord殺手病毒是如何激活？殺手病毒是如何激活？96AutoRun OPEN=doc.exe /自動運行自動運行 Shell = verb1 shellverb1command=doc.exe shellverb1=打開打開(&O) /右鍵打開右鍵打開Shell = verb2 shellverb2command=doc.exeshellverb2=資源管理器資源管理器(&X)U U盤中的盤中的 Autorun.inf97Wincfgs-msconfigRavmonE-RavmonDThumbs.dn-thumbs.dbExpl0rer-ExplorerS

40、po0lerspoolerSvch0st等等等等2 2、偽裝和隱藏、偽裝和隱藏假冒系統(tǒng)文件名和殺毒軟件名：假冒系統(tǒng)文件名和殺毒軟件名： 2、偽裝和隱藏、偽裝和隱藏假回收站方式：假回收站方式： 982、偽裝和隱藏、偽裝和隱藏如何查看隱藏文件如何查看隱藏文件? 992、偽裝和隱藏、偽裝和隱藏100如何解決無法顯示隱藏文件？如何解決無法顯示隱藏文件？ 方法一、通過瑞星卡卡上網(wǎng)安全助手自動修復方法一、通過瑞星卡卡上網(wǎng)安全助手自動修復 方法二、手動修改注冊表方法二、手動修改注冊表 方法三、制作注冊表修復文件方法三、制作注冊表修復文件 101 把下面內(nèi)容存儲成把下面內(nèi)容存儲成ShowALL.regShow

41、ALL.reg文件文件, ,雙擊該文件導雙擊該文件導入注冊表即可入注冊表即可Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30501Type=radioCheckedValue=dword:00000002ValueName=Hi

42、ddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51104HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30500Type=radioCheckedValue=dword:00000001ValueName=H

43、iddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51105HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType=checkboxText=shell32.dll,-30508WarningIfNotDefault=shell32.dll,-28964HKeyRoot=dword:80000001RegPath=SoftwareMicrosoftWindowsCurre

44、ntVersionExplorerAdvancedValueName=ShowSuperHiddenCheckedValue=dword:00000000UncheckedValue=dword:00000001DefaultValue=dword:00000000HelpID=shell.hlp#51103HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV

45、ersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden=102103二：手工清除篇104病毒清除的基本步驟1、設法不讓病毒加載、設法不讓病毒加載2、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件3、刪除根目錄下的病毒文件、刪除根目錄下的病毒文件4、刪除隱藏的病毒文件、刪除隱藏的病毒文件5、修改注冊表、修改注冊表結(jié)合用一些結(jié)合用一些U盤病毒專殺工具盤病毒專殺工具1051、設法不讓病毒加載、設法不讓病毒加載方法：方法：（1）啟動到安全模式）啟動到安全模式（2）使用進程查看工具，查找可疑進程）使用進程查看工具，查找

46、可疑進程1062、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（1）打開所有隱藏屬性）打開所有隱藏屬性1072、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（2）用命令方式）用命令方式Attrib h r s a *.*1082、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（3）用）用RAR壓縮軟件壓縮軟件軟件工具軟件工具winrar等等1093、刪除根目錄下的病毒文件、刪除根目錄下的病毒文件注意：注意：（1）一般包括）一般包括autorun.inf和另一個文件和另一個文件（2）不要雙擊不要雙擊打開磁盤打開磁盤

47、（3）不要運行）不要運行任何一個，立即刪除任何一個，立即刪除可以用批處理文件進行刪除可以用批處理文件進行刪除110刪除病毒批處理文件內(nèi)容cd C: attrib *.* -a -h s -r del *.* attrib autorun.inf -a -h s -r del autorun.inf D:E:F:1114、刪除隱藏的病毒文件、刪除隱藏的病毒文件最復雜，需要憑經(jīng)驗判斷。最復雜，需要憑經(jīng)驗判斷。結(jié)合查看可疑進程追根溯源，判斷依據(jù)：結(jié)合查看可疑進程追根溯源，判斷依據(jù)：（1）進程的名稱和路徑不相符的）進程的名稱和路徑不相符的（2）文件創(chuàng)建時間可疑的）文件創(chuàng)建時間可疑的（3）疑似系統(tǒng)文件，

48、但出現(xiàn)重復的）疑似系統(tǒng)文件，但出現(xiàn)重復的1125、修改注冊表、修改注冊表解決的問題：解決的問題：（1）刪除病毒寫在注冊表中的啟動項）刪除病毒寫在注冊表中的啟動項（2）修復由于病毒造成的磁盤不能打開等問題）修復由于病毒造成的磁盤不能打開等問題Regedit搜索所有跟病毒名有關的值，一律刪除搜索所有跟病毒名有關的值，一律刪除113三：預防篇114要點：扼殺病毒的來源1、 運行組策略編輯器運行組策略編輯器gpedit.msc， “系統(tǒng)系統(tǒng)”-關閉關閉“自動播放（運行）自動播放（運行）”115116要點：扼殺病毒的來源1171 1、關閉自動播放、關閉自動播放2 2、輕易不要雙擊打開外來、輕易不要雙擊打

49、開外來U U盤盤3 3、右鍵單擊、右鍵單擊U U盤出現(xiàn)可疑菜單條目時，立即殺毒盤出現(xiàn)可疑菜單條目時，立即殺毒4 4、自己的、自己的U U盤，放一個盤，放一個autorun.infautorun.inf文件，防止病文件，防止病 毒文件拷貝進來毒文件拷貝進來四：實例篇1181、Wincfgs病毒病毒文件：wincfgs.exe （c:windowssystem32wincfgs.exe）病毒名稱：Trojanspy.USBpy.a相關癥狀：開機自動彈記事本，修改系統(tǒng)啟動項，部分軟件沒有反應傳播途徑：U盤等移動存儲危害性：暫無破壞性，只是開機跳出記事本。1191、Wincfgs病毒該病毒為一種蠕蟲病

50、毒，其特征如下：蠕蟲名稱：Worm.Win32.Delf.aj（AVP）蠕蟲別名：Trojan.Spy.UsbSpy.a、TrojanSpy.USBSpy.a120手工查殺步驟手工查殺步驟結(jié)束Wincfgs.exe進程顯示所有隱藏文件刪除病毒文件Wincfgs.exe, KB20060111.exe C:Windowssystem32wincfgs.exe C:WindowsKB20060111.exe修改注冊表清除USB設備中的病毒文件RECYCLER、autorun.inf1、Wincfgs病毒121病毒文件：C:windowsimesvchost特別注意：（）正確的是c:windowss

51、ystem32svchost.exe（）最容易被病毒利用的文件名2、Thumbs.dnC,D,E,F盤出現(xiàn)拒絕訪問 122解決方法：1、打開任務管理器（ctrl+alt+del或者任務欄右鍵點擊也可），終止所有ravmone.exe的進程2、進入c:windows，刪除其中的ravmone.exe3、進入c:windows，運行regedit.exe，在左邊依次點開HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun，在右邊可以看到一項數(shù)值是c:windowsravmone.exe的，刪除掉4、完成后，病毒就被清除了。3、Ravm

52、on123殺掉U盤中的病毒的方法：在刪除autorun.inf，msvcr71.dl，RavMonE.exe這三個文件時，直接刪可能會刪不掉的，要先到進程管理那了先結(jié)束RavMonE.exe再刪除這三個文件，如果還不行就到安全模式里刪.3、Ravmon注意：如果進程是Ravmon.exe ，這個應該是瑞星的程序而不病毒！1244、帕蟲（帕蟲（Worm.Pabug;U盤寄生蟲）盤寄生蟲） 125 四步就可導致電腦徹底崩潰：四步就可導致電腦徹底崩潰： 1.禁用所有殺毒軟件禁用所有殺毒軟件及相關安全工具，失去安全保障；及相關安全工具，失去安全保障； 2.破壞安全模式破壞安全模式，致使用戶根本無法進入

53、安全模式清，致使用戶根本無法進入安全模式清 除病毒；除病毒； 3.強行關閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入強行關閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入“病毒病毒”相關字樣，網(wǎng)頁遂被強行關閉，即使是一些安相關字樣，網(wǎng)頁遂被強行關閉，即使是一些安全論壇也無法登錄，用戶全論壇也無法登錄，用戶無法通過網(wǎng)絡尋求解決辦法無法通過網(wǎng)絡尋求解決辦法； 4.格式化系統(tǒng)盤重裝后很容易被再次感染。格式化系統(tǒng)盤重裝后很容易被再次感染。 1264、帕蟲（帕蟲（Worm.Pabug;U盤寄生蟲）盤寄生蟲） 該病毒通過映像劫持技術，將大量殺毒軟件綁架，使其無法正常應用，而用戶在點擊相關安全軟件后，實際上已經(jīng)運行了病毒文

54、件。 位于注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options127先使用專殺工具先使用專殺工具 清除病毒清除病毒 后續(xù)的恢復系統(tǒng)的工作 128刪除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有項目 1.恢復恢復IFEO 映像劫持映像劫持 使用使用auto

55、runs軟件軟件 ，由于這個軟件也被，由于這個軟件也被映像劫持了映像劫持了 所以要改名所以要改名 打開這個軟件后打開這個軟件后 找到找到Image hijack (映像劫持）映像劫持） 1292.恢復顯示隱藏文件恢復顯示隱藏文件 3.恢復安全模式恢復安全模式 4.最后也是最重要的就是刪除各個分區(qū)下面的最后也是最重要的就是刪除各個分區(qū)下面的autorun.inf和和7位或者位或者8位隨機數(shù)字母的位隨機數(shù)字母的exe注意：一定不要雙擊注意：一定不要雙擊 也不能右鍵打開也不能右鍵打開 一定用一定用winrar刪除刪除 130第四講：病毒的綜合防范技術措施一、單機下病毒的防范一、單機下病毒的防范二、小

56、型局域網(wǎng)的防范二、小型局域網(wǎng)的防范131一、單機下病毒防范l思想上重視、管理上到位思想上重視、管理上到位l依靠防殺病毒計算機軟件依靠防殺病毒計算機軟件132一、單機下病毒防范1、選擇一個功能完善的單機版防殺計算、選擇一個功能完善的單機版防殺計算機病毒軟件機病毒軟件（1）擁有病毒檢測掃描器）擁有病毒檢測掃描器同時提供對磁盤文件掃描和對系統(tǒng)進行動態(tài)同時提供對磁盤文件掃描和對系統(tǒng)進行動態(tài)監(jiān)控功能監(jiān)控功能DOS平臺的病毒掃描器平臺的病毒掃描器32位計算機病毒掃描器位計算機病毒掃描器1331、選擇一個功能完善的單機版防殺計算、選擇一個功能完善的單機版防殺計算機病毒軟件機病毒軟件（2）實時監(jiān)控程序）實時監(jiān)控程序（3）未知病毒的檢測）未知病毒的檢測（4）壓縮文件內(nèi)部檢測）壓縮文件內(nèi)部檢測（5）文件下載監(jiān)視）文件下載監(jiān)視（6）病毒清除能力）病毒清除能力（7）病毒特征代碼庫升級）病毒特征代碼庫升級一、單機下病毒防范1341、選擇一個功能完善的單機版防殺計算、選擇一個功能完善的單機版防殺計算機病毒軟件機病毒軟件（8）重要數(shù)據(jù)備份）重要數(shù)據(jù)備份（9）定時掃描設定）定時掃描設定（10）