病毒防御和分析

1、病毒防御和分析第1頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六介紹加密技術(shù)與信息安全工程師認(rèn)證培訓(xùn)中華人民共和國(guó)勞動(dòng)與社會(huì)保障部職業(yè)資格認(rèn)證國(guó)家信息安全培訓(xùn)認(rèn)證管理中心 主任勞動(dòng)與社會(huì)保障部國(guó)家督導(dǎo)、高級(jí)考評(píng)員信息產(chǎn)業(yè)部 信息化與電子政務(wù)專家盛鴻宇 副研究員第2頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六什么是病毒？病毒來源于人類的傳染病病毒攜帶者易感人群病毒攜帶者第3頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序，它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確與完整病毒源代碼*.EXE*.

2、COM*.DOC等文件類型傳播開磁盤、磁帶、網(wǎng)絡(luò)第4頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒定義（一） 計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除它們能把自身附著在各種類型的文件上當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來第5頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒定義（二）能實(shí)現(xiàn)自身復(fù)制的程序能“傳染“其他程序的程序所以, 計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序

3、或指令集合 第6頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒簡(jiǎn)史（一）1949年，馮.諾依曼提出十年之后貝爾實(shí)驗(yàn)室1983年11月3日，弗雷德.科恩博士 1986年初， Pakistan病毒，即Brain 1987年10月，在美國(guó)，世界上第一例計(jì)算機(jī)病毒（Brian）發(fā)現(xiàn) 1988年3月2日，一種蘋果機(jī)病毒發(fā)作 1988年感染，造成Internet不能正常11月3日，美國(guó)6千臺(tái)計(jì)算機(jī)被病毒運(yùn)行 1989年全世界計(jì)算機(jī)病毒攻擊十分猖獗，我國(guó)也未幸免 1991年美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn) 1992年出現(xiàn)針對(duì)殺毒軟件的幽靈病毒 第7頁，共137頁，2022年，5月20日，

4、0點(diǎn)54分，星期六計(jì)算機(jī)病毒簡(jiǎn)史（二）1994年5月計(jì)算機(jī)病毒破壞南非大選活動(dòng) 1996年，出現(xiàn)針對(duì)微軟公司Office的宏病毒 1997年公認(rèn)為計(jì)算機(jī)反病毒界的宏病毒年1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn) 1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進(jìn)行傳播的美麗殺手病毒 1999年4月26日，CIH病毒在我國(guó)大規(guī)模爆發(fā) 第8頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六2003年度計(jì)算機(jī)病毒回顧2003年度病毒排行榜熊貓卡巴司基江民科技金山毒霸瑞星W32/Bugbear.BI-Worm.SobigI-Worm/Blaster沖擊波/沖擊波殺手紅色結(jié)束符W32/Klez.I

5、I-Worm.KlezI-Worm/Sobig.(x)巨無霸愛情后門Trj/PSW.Bugbear.BI-Worm.SwenI-Worm/Supkp.(x)蠕蟲王Win32/FunLove.4099W32/BlasterI-Worm.LentinI-Worm/Mimail.(x)QQ狩獵者QQ傳送者W32/Parite.BI-Worm.TanatosI-Worm/Swen惡郵差沖擊波殺手W32/MapsonMMI-Worm.AvronI-Worm/Chian口令羅拉W32/EnerKazMacro.Word97.ThusI-Worm/Fizzer小郵差求職信Trj/JS.NoCloseI-Wo

6、rm.MimailWorm.SQL.helkerm妖怪尼姆達(dá)IIW32/BugbearI-Worm.HybrisWin32/FunLove.4099費(fèi)氏QQ木馬W32/Bugbear.B.DamI-Worm.RoronPolyBoot（WYX.B）求職信CIH第9頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六2003年度計(jì)算機(jī)病毒回顧2003年度上榜計(jì)算機(jī)病毒特點(diǎn)絕大部分都是利用網(wǎng)絡(luò)傳播的蠕蟲病毒年度排行榜中的病毒絕大部分都是每月排行榜的“?？汀鼻笆《靖腥居?jì)算機(jī)數(shù)量占全部病毒感染的數(shù)量的50%以上利用漏洞發(fā)動(dòng)攻擊的蠕蟲都能進(jìn)入排行榜第10頁，共137頁，2022年，5月20日，

7、0點(diǎn)54分，星期六2003年度計(jì)算機(jī)病毒回顧蠕蟲病毒的特點(diǎn)蠕蟲病毒中絕大部分都是利用電子郵件進(jìn)行傳播利用電子郵件傳播的蠕蟲病毒影響范圍特別廣泛利用系統(tǒng)漏洞傳播的病毒傳播速度非常快、造成破壞十分嚴(yán)重第11頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六2003年度計(jì)算機(jī)病毒回顧電子郵件蠕蟲病毒的特點(diǎn)充分利用“社會(huì)工程學(xué)”方法不依賴郵件服務(wù)器變種繁多第12頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六2003年度計(jì)算機(jī)病毒回顧利用系統(tǒng)漏洞的蠕蟲病毒出現(xiàn)得越來越快病毒名稱補(bǔ)丁發(fā)布時(shí)間病毒爆發(fā)時(shí)間SQL Slammer2002年7月2003年1月沖擊波/沖擊波殺手2003年7月2

8、003年8月第13頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒的發(fā)展階段DOS引導(dǎo)階段 DOS可執(zhí)行階段伴隨、批次型階段幽靈、多形階段生成器、變體機(jī)階段網(wǎng)絡(luò)、蠕蟲階段視窗階段宏病毒階段互連網(wǎng)階段Java、郵件炸彈階段第14頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六里程碑事件在70年代美國(guó)作家雷恩出版的P1的青春一書中構(gòu)思了一種能夠自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。1983年，美國(guó)學(xué)生Fred Cohen因研究計(jì)劃需要?jiǎng)?chuàng)造出第一只計(jì)算機(jī)病毒。1986年，巴基斯坦的一對(duì)兄弟Amjad和Basit Farooq Alvi撰寫了第一個(gè)I

9、BM個(gè)人計(jì)算機(jī)的病毒Brain。1988年，美國(guó)CORNELL大學(xué)研究生莫里斯創(chuàng)造了第一只蠕蟲，導(dǎo)致當(dāng)時(shí)Internet主要節(jié)點(diǎn)關(guān)閉。1998年，臺(tái)灣陳盈豪創(chuàng)造了世界上第一只能夠破壞硬件的病毒CIH1999年，David L. Smith創(chuàng)造了第一只通過電子郵件傳播的病毒Melissa2000年，愛蟲病毒和庫娃成為世界上首先利用“社會(huì)工程”方法的蠕蟲2001年，利用微軟漏洞的紅色代碼迅速席卷全世界，利用系統(tǒng)漏洞的蠕蟲病毒開始大量通過Internet傳播。第15頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六電腦病毒怎樣附加在檔案上？正常的檔案被感染的檔案第16頁，共137頁，2022

10、年，5月20日，0點(diǎn)54分，星期六電腦病毒的發(fā)展歷史平均每天就發(fā)現(xiàn)六到七個(gè)新電腦病毒More than44,000Boot VirusesMacro VirusesInternet/E-mail VirusesSource: Trend Micro18,00013,0008,0006,5003,5002,0001,600251183第17頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六病毒的產(chǎn)生背景 計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式計(jì)算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境第18頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六病

11、毒機(jī)制與組成結(jié)構(gòu)載荷機(jī)制載荷機(jī)制定義為除了自我復(fù)制以外的所有動(dòng)作感染機(jī)制病毒結(jié)構(gòu)中首要的而且唯一必需的部分是感染機(jī)制他是一種能讓病毒繁殖的代碼，也是病毒之所以成為病毒的原因觸發(fā)機(jī)制病毒的第二個(gè)主要構(gòu)成部分是有效載荷觸發(fā)事件，這種病毒在找尋到一定數(shù)量的感染體、某一個(gè)時(shí)間或日期、某一段文本后觸發(fā)，或者他可能僅僅在第一次被用時(shí)就觸發(fā)了第19頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道第20頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六企業(yè)內(nèi)病毒和網(wǎng)絡(luò)安全的漏洞路由器De-Militarized Zonehttp(www)服務(wù)器防火

12、墻客戶端國(guó)際互聯(lián)網(wǎng)FTP/HTTP代理 服務(wù)器應(yīng)用服務(wù)器1. 軟盤或光盤2. 內(nèi)聯(lián)網(wǎng)檔案共享3. 互聯(lián)網(wǎng)檔案共享4. 電子郵件的附件5. 電子郵件炸彈6. 惡毒的 Java Applets,ActiveX Components 和網(wǎng)頁含有 VBScript.SMTP 服務(wù)器FTP 服務(wù)器Design Goals第21頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道病毒在網(wǎng)絡(luò)內(nèi)傳播速度非?？斓?2頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六病毒和網(wǎng)絡(luò)病毒是在檔案共享的情形下傳播的網(wǎng)絡(luò)是用來共享資料(檔案)的病毒愛網(wǎng)絡(luò)!+=第23

13、頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六國(guó)際互聯(lián)網(wǎng)和病毒“注意，當(dāng)你連接上另一臺(tái)電腦，你也是連接上所有以前連接上這臺(tái)電腦的其他電腦.”Dennis Miller, from the popular US television show “Saturday Night Live”. 在互聯(lián)網(wǎng)上，電腦病毒只需要一分鐘便能從西班牙傳送到日本！.第24頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道病毒在網(wǎng)絡(luò)內(nèi)傳播速度非?？祛l繁的 更新，升級(jí)，保養(yǎng)與監(jiān)察第25頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六你花費(fèi)在防病毒

14、軟件總共要？第26頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六傳染所謂傳染是指計(jì)算機(jī)病毒由一個(gè)載體傳播到另一個(gè)載體,由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過程 第27頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六病毒觸發(fā)事件日期觸發(fā) 時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā) 啟動(dòng)觸發(fā) 訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā) 第28頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六病毒機(jī)制與組成結(jié)構(gòu)一個(gè)是主程序另一個(gè)是引導(dǎo)程序第29頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六病毒的危害影響系統(tǒng)效率刪除、破壞數(shù)據(jù)干擾正常操作組塞網(wǎng)絡(luò)進(jìn)行反動(dòng)宣傳占用系統(tǒng)資源第3

15、0頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒分類按破壞性分類良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒按傳染方式分類文件型病毒、引導(dǎo)扇區(qū)病毒、混合型病毒 按連接方式分類 源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒 按特有算法分類 伴隨型病毒、蠕蟲型病毒、練習(xí)型病毒、詭秘型病毒、變形病毒 第31頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六引導(dǎo)型病毒感染對(duì)象和傳播途徑引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），并利用磁盤進(jìn)行傳播。使用的主要技術(shù)由于引導(dǎo)型病毒是在安裝操作系統(tǒng)之前進(jìn)入內(nèi)存，寄生對(duì)象又相對(duì)固定，所以該類型病毒基本上不

16、得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量(0:413H單元)方法來駐留內(nèi)存高端，為了使病毒能傳染給軟盤，普遍修改 INT 13H 的中斷向量，而新 INT 13H 中斷向量段址必定指向內(nèi)存高端。第32頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六引導(dǎo)型病毒破壞行為占用系統(tǒng)資源導(dǎo)致系統(tǒng)不穩(wěn)定破壞磁盤數(shù)據(jù)預(yù)防與保護(hù)的方法不使用不可信的磁盤啟動(dòng)使用防病毒軟件利用fdisk /mbr修復(fù)磁盤引導(dǎo)區(qū)（危險(xiǎn)?。┲拇祟惒《拘∏虿《敬舐椴《镜?3頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六文件型病毒感染對(duì)象和傳播途徑文件型病毒感染計(jì)算機(jī)中的各種文件特別是可執(zhí)行文件（如：com、exe

17、、scr、doc等）。使用的主要技術(shù)通過對(duì)文件中插入相關(guān)病毒代碼，修改文件執(zhí)行流程加載、執(zhí)行病毒代碼，修改其他文件從而達(dá)到傳播自身的目的。第34頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六文件型病毒破壞行為占用系統(tǒng)資源導(dǎo)致系統(tǒng)不穩(wěn)定破壞磁盤數(shù)據(jù)保護(hù)方法不執(zhí)行不可信的軟件使用防病毒軟件著名的此類病毒CIH病毒第35頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六其它病毒演示女鬼病毒第36頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六其他病毒演示千年老妖第37頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六其他病毒演示白雪公主Hybris病毒特點(diǎn)：無法

18、追蹤發(fā)信人通過網(wǎng)站、新聞組下載插件以后產(chǎn)生變種 病毒文件名是根據(jù)多個(gè)文件名隨機(jī)決定病毒篡改WSOCK32.DLL以后，由于原先 的病毒文件將會(huì)被刪除，發(fā)現(xiàn)困難。第38頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六宏病毒 宏是微軟公司為其OFFICE軟件設(shè)計(jì)的一個(gè)特殊功能，這些系統(tǒng)內(nèi)置了一種類BASIC的宏編程語言。用戶編制“宏”這一功能的目的是為了讓用戶能夠用簡(jiǎn)單的編程方法，來簡(jiǎn)化一些經(jīng)常性的操作。但由于宏容易編制，這也為那些心懷叵測(cè)的人提供了一種簡(jiǎn)單高效的制造新病毒的手段。第39頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 宏病毒與有用的正常宏采用相同的語言編寫，只

19、是這些宏的執(zhí)行效果有害，而且在編寫上利用了Word允許宏自動(dòng)執(zhí)行這一特點(diǎn)，一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在 Normal 模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒。如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他們的計(jì)算機(jī)上。 感染Normal.dot模板是宏病毒的最常用的傳染方式。此外，與系統(tǒng)啟動(dòng)相類似，Word在啟動(dòng)過程中會(huì)自動(dòng)執(zhí)行c盤根目錄下名為Autoexec.bat文檔中包含的宏和officestartup(是指Word的安裝目錄)目錄內(nèi)的模板文件所包含的宏，有些病毒通過這兩個(gè)“突破口”感染W(wǎng)ord系統(tǒng)，使

20、每次啟動(dòng)后的Word都成為帶毒環(huán)境。 第40頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 早期的宏病毒破壞方式往往是更改所附著的文檔內(nèi)容、擾亂文檔的正常打印、開啟一個(gè)無法關(guān)閉的對(duì)話框或不斷開啟新的文件直到系統(tǒng)資源耗盡、Word運(yùn)行出錯(cuò)為止 隨著Office新版本的推出，微軟不斷加強(qiáng)宏的功能，宏病毒的危害也就越來越大。前一段流行的Melissa病毒是利用宏來對(duì)E-mail管理程序Outlook通訊錄中記錄的前五十個(gè)地址發(fā)信，而最近較有影響的July Killer(七月殺手)宏病毒的破壞方式則是產(chǎn)生一個(gè)只有一條命令“deltree/y c：”的Autoexec.bat文件來替代你現(xiàn)有

21、的該文件，當(dāng)你下次啟動(dòng)機(jī)器時(shí)這條指令就會(huì)刪除C盤中的所有文件， 同時(shí)該病毒還會(huì)使“工具”菜單下的“宏”、“模板和加載項(xiàng)”、“自定義”、“選項(xiàng)”等選項(xiàng)無法工作，以達(dá)到阻止采用編輯宏等一般方法來手動(dòng)清除病毒的目的。目前國(guó)內(nèi)最流行的宏病毒有TaiWan No.1、CAP、SetMode、July killer、OPEY.A等。第41頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六“梅莉莎”病毒 W97M/Melissa病毒傳染的對(duì)象是Word 97和Word xp文件。當(dāng)用戶打開已感染有該病毒的文件時(shí)，梅莉莎便傳染用戶系統(tǒng)同時(shí)，病毒通過用戶收發(fā)帶毒的電子郵件互相傳染，而且傳染方式非常隱蔽。

22、“梅莉莎”病毒的具體表現(xiàn)癥狀是： 當(dāng)用戶打開的文件感染有該病毒時(shí)，病毒首先檢查注冊(cè)表中是否有梅莉莎的注冊(cè)信息，若有則表明系統(tǒng)已被傳染，否則，在注冊(cè)表中創(chuàng)建一條注冊(cè)項(xiàng)如下：HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa？”=“. by Kwyjibo”第42頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 利用Visual Basic指令建立一個(gè)Outlook對(duì)象從Outlook的全域地址表中獲取成員地址信息，將下列信息以電子郵件方式，自動(dòng)發(fā)送到地址表中的前50個(gè)郵箱(一次發(fā)送50封郵件)。其中：郵件主題為：“Important Mes

23、sage From-”正文為“Here is that document you asked for . dont show anyone else ;-)”。此后，病毒將已感染有該病毒的文件作為附件發(fā)送出去。目前較為流行的一種附件的文件名為“l(fā)ist.DOC”第43頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 當(dāng)用戶接收到帶毒的郵件并打開時(shí)用戶的Word系統(tǒng)中所有打開的文件將被傳染。當(dāng)機(jī)器時(shí)鐘的時(shí)間數(shù)值與日期的數(shù)值相同時(shí)，如4月27號(hào)的4點(diǎn)27分，病毒將打開一個(gè)被傳染的文件值得注意的是梅莉莎在傳染W(wǎng)ord xp時(shí)首先從注冊(cè)表中檢查其安全保護(hù)級(jí)別如果注冊(cè)表HKEY_CURRENT

24、_USERSoftwareMicrosoftOffice9.0WordSecurity“Level”的值不為0，將禁用菜單中的“MACRO/SECURITY”選項(xiàng)。如果用戶使用的系統(tǒng)是Word 97，則禁用菜單第44頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六“歡樂時(shí)光”病毒 “歡樂時(shí)光”屬于VBS/HTM蠕蟲類病毒，通過郵件傳播，但不是作為郵件的附件，而是作為郵件內(nèi)容。如果用戶使用Outlook，收到帶毒郵件，當(dāng)用戶用鼠標(biāo)指向帶病毒的郵件時(shí)，不必打開信件，歡樂時(shí)光病毒將被激活，并生成如下文件： c：help.htm c：windowshelp.vbs c：windowshelp

25、.hta c：windowsUntitled.htm 然后傳染硬盤中的.htm、.vbs、.hta、.asp、.html后綴的文件。并修改注冊(cè)表中部分鍵值： 第45頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 在 HKEY_CURRENT_USERSoftware 下新建 Help 項(xiàng)，然后新建 Count 鍵值用于記錄病毒感染的次數(shù)；新建 wallPaper 鍵值用于記錄修改后的墻紙文件； 當(dāng)用戶安裝了VB，該病毒將會(huì)自動(dòng)給地址簿中的郵件地址發(fā)信，郵件標(biāo)題為“Help”。 第46頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六但是，該病毒不能正確取到郵件地址，沒有發(fā)件

26、人，因而不能發(fā)送。如果收件箱中有未讀郵件，則病毒會(huì)自動(dòng)回復(fù)這些信件。如果未安裝VB，則該病毒不會(huì)自動(dòng)通過郵件傳播。只有當(dāng)染毒的用戶在發(fā)送郵件時(shí)，該病毒才會(huì)自動(dòng)插入到郵件體中。 當(dāng)染毒的計(jì)算機(jī)內(nèi)日期的日+月=13時(shí)，該病毒就會(huì)逐步刪除硬盤中的exe、dll類型文件，最后，導(dǎo)致系統(tǒng)癱瘓。第47頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 “主頁” 病毒 “主頁”(Homepage)病毒也是一個(gè)加密的VBScript蠕蟲 ，該蠕蟲能將自身通過Outlook發(fā)送給地址簿中的所有收件人。該蠕蟲還能打開一個(gè)包含有色情內(nèi)容的站點(diǎn)。 病毒發(fā)作時(shí)，蠕蟲將自身作為郵件發(fā)送給Outlook地址簿中的所

27、有收件人，郵件主題為 Homepage。在發(fā)送郵件之前，蠕蟲會(huì)搜索主題為 Homepage的郵件，一旦找到便將其刪除。郵件發(fā)送完后，蠕蟲創(chuàng)建下面的注冊(cè)鍵：HKEY_CURRENT_USERSoftwareAnmailed并將其值設(shè)為1，該注冊(cè)鍵是用來防止蠕蟲多次重復(fù)發(fā)送。此后，蠕蟲隨機(jī)選擇一個(gè)色情網(wǎng)站并打開它。第48頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六附：另外，在郵件的使用中，還會(huì)有其他的安全隱患,如病毒四維(I-Worm/Swen)，第49頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六木馬病毒 還有一種特殊的病毒木馬，因?yàn)樗斐傻奈：κ謬?yán)重，所以越來越多地

28、受到人們的關(guān)注。木馬，也稱為后門，用“瞞天過海”或“披著羊皮的狼”之類的詞來形容木馬程序一點(diǎn)也不為過，直截了當(dāng)?shù)恼f法是木馬有兩個(gè)程序，一個(gè)是服務(wù)器程序，一個(gè)是控制器程序，當(dāng)你的計(jì)算機(jī)運(yùn)行了服務(wù)器程序后，黑客就可以使用控制器程序進(jìn)入你的計(jì)算機(jī)，通過指揮服務(wù)器程序達(dá)到控制你的計(jì)算機(jī)的目的。如證券大盜(Trojan/PSW.Soufan)第50頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六(1) 木馬可能造成的危害如下：可以從受害者的硬盤上查看、刪除、移動(dòng)、上傳、下載、執(zhí)行任何文件。這個(gè)文件管理功能是非常危險(xiǎn)的。它可以使用戶上傳任何類型的文件，甚至是病毒、其它的特洛伊木馬等，然后再運(yùn)行它

29、們?？梢苑浅：?jiǎn)單地把受害者的硬盤格式化?？梢栽谑芎φ哂脖P上打開一個(gè)FTP服務(wù)，并且設(shè)置一個(gè)指定端口，任何人都可以在你的機(jī)器上下載、上傳、執(zhí)行文件。 大多數(shù)的新的特洛伊木馬有竊取受害者的隱藏密碼的功能，包括撥號(hào)的密碼和用戶名。 第51頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 (2) 通用手工清除木馬方法 木馬的種類也很多，由于運(yùn)行機(jī)理相差不大，所以對(duì)它們的查殺方法也都差不多，我們不再詳述每種木馬的清除方法，只告訴你應(yīng)該遵循的步驟，這些步驟幾乎對(duì)所有的木馬都有效。 編輯win.ini文件，將WINDOWS下面的“run=木馬程序”或“l(fā)oad=木馬程序”更改為“run=”和“l(fā)o

30、ad=”； 編輯system.ini文件，將BOOT下面的“shell=木馬文件”更改為：“shell=explorer.exe”；第52頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 用regedit對(duì)注冊(cè)表進(jìn)行編輯，先在“HKEY-LOCAL-MACHINESoftwareMicrosoft WindowsCurrentVersionRun”下找到“木馬”程序的文件名，再在整個(gè)注冊(cè)表中搜索并替換掉“木馬”程序； 有時(shí)候還需注意的是：有的“木馬”程序并不是直接將“HKEY-LOCAL-MACHINE SoftwareMicrosoftWindowsCurrentVersionRu

31、n”下的“木馬”鍵值刪除就行了，因?yàn)橛械摹澳抉R”(如BladeRunner“木馬”)，如果你刪除它，“木馬”會(huì)立即自動(dòng)加上，這時(shí)你需要的是記下“木馬”的名字與目錄；然后退回到MS-DOS下，找到此“木馬”文件并刪除掉。重新啟動(dòng)計(jì)算機(jī)，然后再到注冊(cè)表中將所有“木馬”文件的鍵值刪除。 第53頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六“沖擊波”蠕蟲病毒電腦病毒“沖擊波”（WORM_MSBlast.A）是一種蠕蟲病毒，它利用微軟操作系統(tǒng)的RPCDCOM緩沖溢出漏洞進(jìn)行傳播。它會(huì)從已經(jīng)被感染的計(jì)算機(jī)上下載能夠進(jìn)行自我復(fù)制的文件，然后隨操作系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行。電腦病毒會(huì)自動(dòng)檢查當(dāng)前電腦是否

32、聯(lián)網(wǎng)。如果沒有連接，蠕蟲每隔10秒就對(duì)互聯(lián)網(wǎng)連接進(jìn)行一次檢查。用戶電腦一旦聯(lián)網(wǎng)，電腦病毒會(huì)自動(dòng)掃描互聯(lián)網(wǎng)，攻擊其他聯(lián)網(wǎng)計(jì)算機(jī)。在1月至8月的16日至31日以及9月至12月的任意一天，病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過這一網(wǎng)站升級(jí)系統(tǒng)，令更多的系統(tǒng)漏洞無法打補(bǔ)丁。第54頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六染病癥狀 受到感染的計(jì)算機(jī)中Word、Excel、Powerpoint等文件無法正常運(yùn)行，彈出找不到鏈接文件的對(duì)話框，“粘貼”等一些功能無法正常使用，計(jì)算機(jī)出現(xiàn)反復(fù)重新啟動(dòng)等現(xiàn)象。 系統(tǒng)資源被大量占用，有時(shí)會(huì)彈出RPC服務(wù)終止的對(duì)話

33、框，并且系統(tǒng)反復(fù)重啟, 不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。下面是彈出RPC服務(wù)終止的對(duì)話框的現(xiàn)象：第55頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六第56頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六而在263郵箱，一直顯示“系統(tǒng)忙”。一些媒體和企事業(yè)單位，以及一些依靠網(wǎng)絡(luò)生存的網(wǎng)吧的網(wǎng)絡(luò)都受到感染。廣州市內(nèi)數(shù)十家網(wǎng)吧，發(fā)現(xiàn)雖然大部分網(wǎng)吧及時(shí)下載了針對(duì)該病毒的補(bǔ)丁，但是仍有一些因消息遲緩而感染了“沖擊波”，損失慘重。據(jù)國(guó)內(nèi)著名殺毒軟件廠商江民公司估計(jì)，這次“沖擊波”在全球造成的損失可能將超過

34、12億美元以上。第57頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六“沖擊波”病毒利用了微軟WinME以上操作系統(tǒng)中一個(gè)被廣泛使用的功能的缺陷。微軟公司曾經(jīng)在7月21日向社會(huì)公布了這一缺陷，并發(fā)布了補(bǔ)丁軟件。據(jù)有關(guān)專家介紹，這種病毒中有包含有兩段文字信息，一段與微軟公司的創(chuàng)始人比爾蓋茨有關(guān)：“BillyGates why do you make this poss-ible？Stop making money and fix your software！”（比爾蓋茨，你為什么使得這一切成為可能？停止賺錢來好好修正你的軟件吧！）；另一段信息則是該蠕蟲病毒的作者對(duì)另一個(gè)人的問候，這也為

35、司法機(jī)關(guān)抓住病毒作者提供了線索。第58頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六解“毒”方法除及時(shí)安裝和升級(jí)防病毒軟件以外，專家還提供了兩種解決方法：一是安裝微軟提供的補(bǔ)丁。可以登錄網(wǎng)址網(wǎng)頁查看該漏洞的信息，并下載RPC的補(bǔ)丁程序。第59頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 查看電腦是否中毒，具體方法為：查看操作系統(tǒng)的安裝目錄中是否存在一個(gè)名為：msblast.exe的文件，如果存在，則證明已經(jīng)中了該病毒。 病毒震蕩波(I-Worm/Sasser)類似沖擊波也是網(wǎng)絡(luò)(非郵件)傳播第60頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六IE恢復(fù) 當(dāng)I

36、E被惡意網(wǎng)頁修改了默認(rèn)網(wǎng)址后，我們通常的做法都是以該惡意網(wǎng)址為對(duì)象搜索注冊(cè)表后刪除注冊(cè)表內(nèi)的相關(guān)鍵值，或者用第三方的IE恢復(fù)工具來還原IE。但隨著網(wǎng)頁制作水平的發(fā)展，我發(fā)現(xiàn)了另一種狡猾的篡改IE默認(rèn)值的方法前幾日上網(wǎng)后發(fā)現(xiàn)每次啟動(dòng)IE都會(huì)被引導(dǎo)到一個(gè)不希望去的網(wǎng)站，因此使用了上述的方法，可是每當(dāng)重啟機(jī)器就會(huì)發(fā)現(xiàn)該惡意網(wǎng)址又被自動(dòng)加載了。既然刪除后IE恢復(fù)正常，而啟動(dòng)后又被改寫 第61頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六由此推斷該網(wǎng)址一定是在啟動(dòng)時(shí)被加載的，于是運(yùn)行msconfig，當(dāng)查看了啟動(dòng)選項(xiàng)頁后發(fā)現(xiàn)了可疑的的啟動(dòng)項(xiàng)目“regedits cwindowswindll”

37、，看來是把這個(gè)dll文件導(dǎo)人了注冊(cè)表，接著按上面的網(wǎng)址進(jìn)windows目錄后用記事本打開了這個(gè)隱藏屬性的dll文件，好啊!果然不出我所料，這就是專門把我不希望去的網(wǎng)頁地址在啟動(dòng)后加載到ie的注冊(cè)表導(dǎo)入文件，第62頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六為了保險(xiǎn)起見，在msconfig內(nèi)把該項(xiàng)目的勾去掉就可以了，重啟電腦后ie又變得白白凈凈了。每個(gè)惡意網(wǎng)站用的修改文件可能采用不同名字的文件，但只要我們知道了它的運(yùn)行機(jī)制，還原其實(shí)非常簡(jiǎn)單。第63頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六優(yōu)點(diǎn)局限性防火墻可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實(shí)時(shí)監(jiān)控網(wǎng)

38、絡(luò)安全狀態(tài)誤報(bào)警，緩慢攻擊，新的攻擊模式Scanner簡(jiǎn)單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防病毒針對(duì)文件與郵件，產(chǎn)品成熟功能單一小結(jié)網(wǎng)絡(luò)安全工具的特點(diǎn)第64頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六電子郵件本身是無毒的，但它的內(nèi)容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當(dāng)用Unix智能終端上網(wǎng)查看電子郵件時(shí)，有被侵入的可能 電子郵件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計(jì)算機(jī)病毒利用某些電子郵件收發(fā)器特有的擴(kuò)充功能 利用某些操作系統(tǒng)所特有

39、的功能 超大的電子郵件、電子郵件炸彈也可以認(rèn)為是一種電子郵件計(jì)算機(jī)病毒 電子郵件病毒第65頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六網(wǎng)絡(luò)病毒/蠕蟲病毒感染對(duì)象和傳播途徑網(wǎng)絡(luò)病毒主要通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的計(jì)算機(jī)。使用的主要技術(shù)通過網(wǎng)絡(luò)利用電子郵件、系統(tǒng)漏洞、共享、弱口令等各種途徑傳播。第66頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六網(wǎng)絡(luò)病毒/蠕蟲病毒破壞行為占用系統(tǒng)資源導(dǎo)致系統(tǒng)不穩(wěn)定影響系統(tǒng)安全性保護(hù)方法不執(zhí)行電子郵件附件程序及時(shí)更新系統(tǒng)補(bǔ)丁使用防病毒軟件著名的此類病毒HAPPY99梅麗莎病毒尼姆達(dá)病毒沖擊波殺手第67頁，共137頁，2022年，5月20日

40、，0點(diǎn)54分，星期六蠕蟲（WORM）病毒是通過分布式網(wǎng)絡(luò)來擴(kuò)散特定的信息或錯(cuò)誤的，進(jìn)而造成網(wǎng)絡(luò)服務(wù)器遭到拒絕并發(fā)生死鎖蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等 蠕蟲病毒第68頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六蠕蟲病毒新的特性 傳染方式多傳播速度快清除難度大破壞性強(qiáng)第69頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六蠕蟲病毒與一般病毒的異同普通病毒 蠕蟲病毒存在形式 寄存文件 獨(dú)立程序傳染機(jī)制 宿主程序運(yùn)行

41、主動(dòng)攻擊傳染目標(biāo) 本地文件網(wǎng)絡(luò)計(jì)算機(jī)第70頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六蠕蟲的破壞和發(fā)展趨勢(shì)病毒名稱持續(xù)時(shí)間造成損失莫里斯蠕蟲1988年6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬美元!美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟(jì)損失超過12億美元!愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元Sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過26億美元第71頁

42、，共137頁，2022年，5月20日，0點(diǎn)54分，星期六利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊此類病毒主要是“紅色代碼”和“尼姆達(dá)”,以及至今依然肆虐的”求職信”等 傳播方式多樣 如“尼姆達(dá)”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等病毒制作技術(shù)新 與傳統(tǒng)的病毒不同的是，許多新病毒是利用當(dāng)前最新的編程語言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索與黑客技術(shù)相結(jié)合潛在的威脅和損失更大以紅色代碼為例,感染后的機(jī)器的web目錄的scripts下將生成一個(gè)root.exe,可以遠(yuǎn)程執(zhí)行任何命令,從而使黑客能夠再次進(jìn)入蠕蟲發(fā)作的一些特點(diǎn)

43、和發(fā)展趨勢(shì) 第72頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞軟件上的缺陷如遠(yuǎn)程溢出，微軟ie和outlook的自動(dòng)執(zhí)行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級(jí)軟件 人為的缺陷主要是指的是計(jì)算機(jī)用戶的疏忽 蠕蟲病毒第73頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六MYDOOM的工作原理W32.Novarg.Amm Symantec ，受影響系統(tǒng): Win9x/NT/2K/XP/2003 1、創(chuàng)建如下文件：%System%shimgapi.dll%temp%Message， 這個(gè)文件由隨機(jī)字母通組成。%Sy

44、stem%taskmon.exe, 如果此文件存在，則用病毒文件覆蓋。2、Shimgapi.dll的功能是在被感染的系統(tǒng)內(nèi)創(chuàng)建代理服務(wù)器，并開啟3127到3198范圍內(nèi)的TCP端口進(jìn)行監(jiān)聽；3、添加如下注冊(cè)表項(xiàng)，使病毒可隨機(jī)啟動(dòng)，并存儲(chǔ)病毒的活動(dòng)信息。4、對(duì)實(shí)施拒絕服務(wù)（DoS)攻擊,創(chuàng)建64個(gè)線程發(fā)送GET請(qǐng)求，這個(gè)DoS攻擊將從2004年2月1延續(xù)到2004年2月12日；5、在如下后綴的問中搜索電子郵件地址，但忽略以.edu結(jié)尾的郵件地址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等；6、使用病毒自身的SMTP引擎發(fā)送郵件，他選擇狀態(tài)良

45、好的服務(wù)器發(fā)送郵件，如果失敗，則使用本地的郵件服務(wù)器發(fā)送； 7、郵件內(nèi)容如下：From: 可能是一個(gè)欺騙性的地址；主題:hi/hello等。第74頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六攻擊的是微軟數(shù)據(jù)庫系Microsoft SQL Server 2000的利用了MSSQL2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞此蠕蟲病毒本身除了對(duì)網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施但如果病毒編寫者在編寫病毒的時(shí)候加入破壞代碼,后果將不堪設(shè)想 sql蠕蟲 第75頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六紅色代碼(Code red)病毒病毒利用IIS的 .ida 漏洞進(jìn)入系統(tǒng)并

46、獲得 SYSTEM 權(quán)限該蠕蟲感染運(yùn)行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000、IIS中啟用了Indexing Service(索引服務(wù))的系統(tǒng)，該蠕蟲利用了一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務(wù)器變的不安全）(微軟在2001年6月份已發(fā)布修復(fù)程序 MS01-033)病毒產(chǎn)生100個(gè)新的線程99 個(gè)線程用于感染其它的服務(wù)器第100個(gè)線程用于檢查本機(jī), 并修改當(dāng)前首頁在7/20/01 時(shí)所有被感染的機(jī)器回參與對(duì)白宮網(wǎng)站 的自動(dòng)攻擊.蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件 第

47、76頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六求職信病毒該程序具有罕見的雙程序結(jié)構(gòu)分為蠕蟲部分（網(wǎng)絡(luò)傳播）和病毒部分（感染文件，破壞文件）兩者在代碼上是獨(dú)立的兩部分，可能也是分開編寫的兩者的結(jié)合方式非常有趣，作者先是寫好蠕蟲部分，然后將病毒部分的二進(jìn)制碼在特定位置加進(jìn)蠕蟲部分，得到最終的病毒/蠕蟲程序 第77頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六尼姆達(dá)病毒第78頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六Nimda病毒該病毒影響運(yùn)行Windows95, 98,ME,NT 和2000的客戶端和服務(wù)器通過Email 傳播通過網(wǎng)絡(luò)共享傳播通過瀏覽器傳

48、播通過主動(dòng)掃描未打補(bǔ)丁的IIS服務(wù)器進(jìn)行傳播 攜帶該病毒的郵件的包含兩部分第79頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六Nimada的工作原理4 種不同的傳播方式IE瀏覽器: 利用IE的一個(gè)安全漏洞 (微軟在2001年3月份已發(fā)布修復(fù)程序 MS01-020)IIS服務(wù)器: 和紅色代碼病毒相同, 或直接利用它留下的木馬程序. (微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復(fù)程序和解決方案)電子郵件附件: (已被使用過無數(shù)次的攻擊方式)文件共享: 針對(duì)所有未做安全限制的共享第80頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六蠕蟲病毒對(duì)于個(gè)人用戶而言，威脅大的蠕蟲病毒

49、采取的傳播方式一般為電子郵件(Email)以及惡意網(wǎng)頁等等 第81頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六對(duì)于利用email傳播得蠕蟲病毒來說，通常利用的是社會(huì)工程學(xué)(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點(diǎn)擊的方式進(jìn)行傳播 惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁中，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時(shí)，病毒就會(huì)發(fā)作 對(duì)個(gè)人用戶產(chǎn)生直接威脅的蠕蟲病毒第82頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象計(jì)算

50、機(jī)病毒的表現(xiàn)現(xiàn)象第83頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī) 操作系統(tǒng)無法正常啟動(dòng) 運(yùn)行速度明顯變慢 以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤 打印和通訊發(fā)生異常 無意中要求對(duì)軟盤進(jìn)行寫操作 以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化 運(yùn)行Word，打開Word文檔后，該文件另存時(shí)只能以模板方式保存 磁盤空間迅速減少 網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無法調(diào)用 基本內(nèi)存發(fā)生變化 陌生人發(fā)來的電子郵件 自動(dòng)鏈接到一些陌生的網(wǎng)站 計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象第84頁，共137頁，2022年，5月20日，0點(diǎn)

51、54分，星期六計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象提示一些不相干的話 發(fā)出一段的音樂 產(chǎn)生特定的圖象 硬盤燈不斷閃爍 進(jìn)行游戲算法 Windows桌面圖標(biāo)發(fā)生變化 計(jì)算機(jī)突然死機(jī)或重啟 自動(dòng)發(fā)送電子郵件 鼠標(biāo)自己在動(dòng)第85頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象部分文檔自動(dòng)加密碼修改Autoexec.bat文件，增加Format C：使部分可軟件升級(jí)主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)硬盤無法啟動(dòng)，數(shù)據(jù)丟失 系統(tǒng)文件丟失或被破壞 文件目錄發(fā)生混亂 部分文檔丟失或被破壞 第86頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六常

52、見的病毒防治技術(shù)病毒碼掃描法加總比對(duì)法(Check-sum)人工智能陷阱(Rule-based)軟件仿真掃描法VICE(Virus Instruction Code Emulation)先知掃描法實(shí)時(shí)的I/O掃描(Realtime I/O Scan)宏病毒陷阱(MacroTrapTM)空中抓毒(On the flyTM)第87頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較

53、法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行比較法的好處是簡(jiǎn)單、方便，不需專用軟件。缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱比較法 第88頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫中，再利用此加總對(duì)比系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否感染了計(jì)算機(jī)病毒 這種技術(shù)可偵測(cè)到各式的計(jì)算機(jī)病毒，但最大的缺點(diǎn)就是誤判斷高，且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對(duì)于隱形計(jì)算機(jī)病毒也無法偵測(cè)到加總比對(duì)法 第89頁，共1

54、37頁，2022年，5月20日，0點(diǎn)54分，星期六搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描搜索法 第90頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六分析的步驟分為靜態(tài)分析和動(dòng)態(tài)分析兩種靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令后程序清單后進(jìn)行分析 動(dòng)態(tài)分析則是指利用DEBUG等調(diào)試工具在內(nèi)存帶毒的情況下，對(duì)計(jì)算機(jī)病毒做動(dòng)態(tài)跟蹤，觀察計(jì)算機(jī)病毒的具體工作過程，以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒工作的原理 分析法 第91頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)

55、行為的常駐式掃描技術(shù)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)第92頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六軟件仿真掃描法該技術(shù)專門用來對(duì)付多態(tài)變形計(jì)算機(jī)病毒（Polymorphic/MutationVirus）先知掃描法先知掃描技術(shù)（VICE，Virus Instruction Code Emulation）是繼軟件仿真后的一大技術(shù)上突破。既然軟件仿真可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)，仿真CPU動(dòng)作并偽執(zhí)行程序以解開多態(tài)變形計(jì)算機(jī)病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序，檢查可疑的計(jì)算機(jī)病毒代碼 掃描法 第93頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)

56、病毒防護(hù)體系的建設(shè)計(jì)算機(jī)病毒防御體系計(jì)算機(jī)病毒預(yù)防機(jī)制計(jì)算機(jī)病毒快速響應(yīng)機(jī)制計(jì)算機(jī)病毒防御技術(shù)體系第94頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六 a 制定計(jì)劃：了解在你所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。 b 調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。 c 測(cè)試：在小范圍內(nèi)安裝和測(cè)試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。 d 維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測(cè)試范圍內(nèi)進(jìn)行升級(jí)，徹底理解這種防病毒系統(tǒng)的重要方面。 e 系

57、統(tǒng)安裝：在測(cè)試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個(gè)網(wǎng)絡(luò)范圍內(nèi)。 防病毒軟件的布署和管理第95頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，不使泄漏，不定期地予以更換，保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法存取，不被感染上計(jì)算機(jī)病毒或遭受破壞 在安裝應(yīng)用程序軟件時(shí)，應(yīng)由系統(tǒng)管理員進(jìn)行，或由系統(tǒng)管理員臨時(shí)授權(quán)進(jìn)行系統(tǒng)管理員對(duì)網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲(chǔ)區(qū)域和用戶卷應(yīng)定期進(jìn)行計(jì)算機(jī)病毒掃描，發(fā)現(xiàn)異常情況及時(shí)處理網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)做好日常管理事務(wù)的同時(shí)，還要準(zhǔn)備應(yīng)急措施，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒感染跡象 系統(tǒng)管理員的職責(zé)第96頁，共137頁，2022年，5月20日，0點(diǎn)

58、54分，星期六計(jì)算機(jī)病毒防護(hù)體系的建設(shè)計(jì)算機(jī)病毒的預(yù)防機(jī)制管理領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制技術(shù)領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制第97頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒防護(hù)體系的建設(shè)管理領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制計(jì)算機(jī)使用人員的培訓(xùn)，特別是客戶端計(jì)算機(jī)使用人員的基礎(chǔ)安全培訓(xùn)， “不怕一萬，就怕萬一”，一定要具備正確的防病毒意識(shí)制定計(jì)算機(jī)病毒的相關(guān)規(guī)章制度，加大執(zhí)行力度將具體責(zé)任落實(shí)到人對(duì)于重要的系統(tǒng)信息、重要的用戶數(shù)據(jù)、重要的系統(tǒng)參數(shù)等都要經(jīng)常進(jìn)行備份與安全廠商充分合作，及時(shí)交流第98頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒防護(hù)體系的建設(shè)技術(shù)領(lǐng)域的

59、計(jì)算機(jī)病毒預(yù)防機(jī)制企業(yè)防病毒技術(shù)體系的規(guī)劃病毒和安全問題預(yù)警補(bǔ)丁自動(dòng)分發(fā)系統(tǒng)第99頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六計(jì)算機(jī)病毒防護(hù)體系的建設(shè)企業(yè)防病毒技術(shù)體系的規(guī)劃單機(jī)防病毒網(wǎng)絡(luò)防病毒網(wǎng)關(guān)防病毒病毒追查第100頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六單機(jī)病毒防御單機(jī)病毒防御是傳統(tǒng)防御模式，作為固守網(wǎng)絡(luò)終端的最后防線。單機(jī)防御對(duì)于廣大家庭用戶、小型網(wǎng)絡(luò)用戶無論是在效果、管理、實(shí)用價(jià)值上都有意義的：阻止來自軟盤、光盤、共享文件、互聯(lián)網(wǎng)的病毒入侵，進(jìn)行重要數(shù)據(jù)備份等其他功能，防護(hù)單臺(tái)計(jì)算機(jī)。第101頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六判

60、斷引導(dǎo)扇區(qū)是否感染病毒 先用可疑磁盤引導(dǎo)計(jì)算機(jī)用硬盤引導(dǎo)計(jì)算機(jī)機(jī)器在運(yùn)行過程中運(yùn)行一會(huì)兒被修改為缺省的時(shí)間、日期CMOS中軟盤設(shè)定情況為None無法訪問硬盤如C：Windows 95/98經(jīng)常無法啟動(dòng)第102頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六預(yù)防引導(dǎo)型病毒 堅(jiān)持從不帶計(jì)算機(jī)病毒的硬盤引導(dǎo)系統(tǒng)安裝能夠?qū)崟r(shí)監(jiān)控引導(dǎo)扇區(qū)的防殺計(jì)算機(jī)病毒軟件經(jīng)常備份系統(tǒng)引導(dǎo)扇區(qū)Virus Protect第103頁，共137頁，2022年，5月20日，0點(diǎn)54分，星期六在用未感染計(jì)算機(jī)病毒的DOS啟動(dòng)軟盤引導(dǎo)后，對(duì)同一目錄列目錄（DIR）后文件的總長(zhǎng)度與通過硬盤啟動(dòng)后所列目錄內(nèi)文件總長(zhǎng)度不一樣，