電腦預(yù)防病毒知識(shí)培訓(xùn)匯編

1、防病毒知識(shí)培訓(xùn)計(jì)算機(jī)室 李峻中毒癥狀的表現(xiàn)1.經(jīng)常死機(jī) 2.系統(tǒng)無(wú)法啟動(dòng)3.文件打不開(kāi) 4.經(jīng)常報(bào)告內(nèi)存不夠5.提示硬盤(pán)空間不夠 6.軟盤(pán)等設(shè)備未訪(fǎng)問(wèn)時(shí)出讀寫(xiě)信號(hào) 7.出現(xiàn)大量來(lái)歷不明的文件 8.啟動(dòng)黑屏9.數(shù)據(jù)丟失 10.鍵盤(pán)或鼠標(biāo)無(wú)端地鎖死11.系統(tǒng)運(yùn)行速度慢 12.系統(tǒng)自動(dòng)執(zhí)行操作13.網(wǎng)絡(luò)傳輸異常一、病毒基礎(chǔ)知識(shí)病毒的產(chǎn)生背景 計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：（1）計(jì)算機(jī)病毒是網(wǎng)絡(luò)犯罪的一種新的衍化形式。（2）計(jì)算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因。（3）計(jì)算機(jī)的普及應(yīng)用是病毒產(chǎn)生的必要環(huán)境 。計(jì)算機(jī)病毒基本概念概

2、念：編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。（1994年2月18號(hào)公布） 特征：復(fù)制、感染、隱蔽、破壞。危害：病毒運(yùn)行后能夠損壞文件、使系統(tǒng)癱瘓，從而造成各種難以預(yù)料的后果。網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒種類(lèi)越來(lái)越多、傳染速度也越來(lái)越快、危害更是越來(lái)越大。防治：以防為主，病原體(病毒庫(kù))是病毒防治技術(shù)的關(guān)鍵。新的病毒概念 以前比較重要就是只要插入到計(jì)算機(jī)程序里面，另外它要能夠自我復(fù)制，就是一種感染性，自我復(fù)制是一種傳播，但對(duì)于新的病毒，已經(jīng)不能完全的符合基本定義。新型病毒：引導(dǎo)型病毒特洛伊木馬惡作劇程序邏輯炸彈蠕蟲(chóng)病毒 以上的病

3、毒被稱(chēng)為新計(jì)算機(jī)病毒。目前反病毒軟件對(duì)于病毒的研究其實(shí)是基于廣義的計(jì)算機(jī)病毒來(lái)說(shuō)的,2008年上半年主要以機(jī)器狗、磁碟機(jī)、AUTO木馬群為代表的對(duì)抗型病毒已經(jīng)成為廣大用戶(hù)電腦安全的主要威脅。 新病毒的特性區(qū)分 計(jì)算機(jī)病毒的種類(lèi) 引導(dǎo)型Stone（混合型）、DIRII文件型Onehalf、CIH、Funlove宏病毒Concept,臺(tái)灣一號(hào)特洛伊木馬黑客程序BO，冰河惡作劇DELETE Win95、女鬼蠕蟲(chóng)病毒美麗莎、愛(ài)蟲(chóng)郵件病毒求職信協(xié)議病毒紅色代碼后門(mén)病毒灰鴿子計(jì)算機(jī)病毒的危害及癥狀計(jì)算機(jī)病毒的主要危害有：1病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用 2占用磁盤(pán)空間和對(duì)信息的破壞 3搶占系統(tǒng)資源

4、 4影響計(jì)算機(jī)運(yùn)行速度 5計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害 6計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響 7計(jì)算機(jī)病毒給用戶(hù)造成嚴(yán)重的心理壓力 例如：最早的在86年的一個(gè)病毒由巴基斯坦兩兄弟編的brain大腦病毒，brain是一種引導(dǎo)型的病毒，在86年的時(shí)候，當(dāng)時(shí)蘋(píng)果機(jī)比較流行，這個(gè)病毒在蘋(píng)果機(jī)上發(fā)作。在88年11月2號(hào)，著名的在Internet上有蠕蟲(chóng)病毒，使得美國(guó)整個(gè)軍方網(wǎng)絡(luò)上的6000多臺(tái)計(jì)算機(jī)被病毒感染，當(dāng)時(shí)的損失達(dá)到9600萬(wàn)。我們國(guó)家最早是統(tǒng)計(jì)部門(mén)在1988年發(fā)現(xiàn)小球病毒，發(fā)作時(shí)在屏幕上彈出小的紅球，通過(guò)彈性碰撞的方式進(jìn)行移動(dòng)。病毒數(shù)量的增長(zhǎng)也是非?？?，在86年時(shí)候1種，89年6種，90年8

5、0種，98年2萬(wàn)種，2000年4.6萬(wàn)種，2001年6萬(wàn)種， 2008年上半年達(dá)到120多萬(wàn)種，那目前現(xiàn)在平均每天病毒的種類(lèi)仍以30種的速度遞增。中國(guó)首次計(jì)算機(jī)病毒疫情網(wǎng)上調(diào)查結(jié)果國(guó)內(nèi)有高達(dá)73% 的計(jì)算機(jī)曾遭受過(guò)病毒感染！ 近幾年新增病毒數(shù)量的比例不同類(lèi)別病毒比例示意圖 計(jì)算機(jī)病毒的傳播途徑 通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播。通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播這些設(shè)備包括軟盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)等。 通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。 通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線(xiàn)通道傳播。 二、病毒與反病毒技術(shù)病毒與反病毒的實(shí)質(zhì)病毒的實(shí)質(zhì)：一組計(jì)算機(jī)指令或者程序代碼。反病毒的實(shí)質(zhì)：從計(jì)算機(jī)中檢測(cè)到具有病毒性質(zhì)的代碼或文件，并予以清除

6、。 計(jì)算機(jī)技術(shù)的不斷發(fā)展，病毒與反病毒的技術(shù)也日益進(jìn)步，隨著網(wǎng)絡(luò)時(shí)代的到來(lái)，二者之間的斗爭(zhēng)十分激烈。Win32 PE文件(EXE、DLL、OCX)為了和以前的DOS/Windows系統(tǒng)保持兼容，WIN 9X/NT下等32位的EXE文件格式有所不同，其中含有一些空擋，病毒會(huì)找適合的地方嵌入進(jìn)去這是一個(gè)被感染的 Windows PE 格式EXE File為保證其隱蔽性，病毒會(huì)將自己寫(xiě)到一個(gè)最“適合”它自己的病毒代碼的空間。如果覆寫(xiě)的位置超過(guò)了“空擋”大小，原始程序文件被感染時(shí)可能已被覆寫(xiě)破壞了部分?jǐn)?shù)據(jù)。這些被感染類(lèi)型有些是不可恢復(fù)的，因?yàn)樵汲绦蛭募桓腥緯r(shí)可能已被覆寫(xiě)破壞了。（典型的象CIH、F

7、UNLOVE病毒）EXE 文件被感染VIRUS病毒加殼技術(shù)概念：在一些電腦程序中，有一段負(fù)責(zé)保護(hù)程序不被非法修改或反編譯的程序。它們一般都是先于程序運(yùn)行，拿到控制權(quán)，然后完成它們保護(hù)程序的任務(wù)。實(shí)質(zhì)：利用特定的壓縮算法(就象WinZIP一樣)把木馬壓縮打包后，再次運(yùn)行的時(shí)候，在內(nèi)存中解壓釋放程序本體。技術(shù)分類(lèi)：壓縮保護(hù) ，加密保護(hù) 加殼程序：常見(jiàn)軟件ASPACK ,UPX,PEcompact反病毒軟件的關(guān)鍵病毒代碼庫(kù) 存儲(chǔ)病毒的特征代碼數(shù)據(jù)文件,并由殺毒引擎來(lái)調(diào)用 。病毒查殺引擎 反病毒產(chǎn)品在殺毒時(shí)的一種特殊的算法 。 在各大廠商的病毒代碼庫(kù)相差無(wú)幾的情況下，病毒查殺引擎的先進(jìn)與否直接限制了殺

8、毒軟件的能力高低。殺毒軟件的選擇引擎技術(shù)先進(jìn)性多樣性的殺毒方式 查殺多種類(lèi)型的病毒 與其他軟件兼容性占用系統(tǒng)資源少 掃描效率高適應(yīng)使用者所在的環(huán)境三、現(xiàn)代病毒趨勢(shì)及檢測(cè)現(xiàn)代病毒特點(diǎn)自動(dòng)傳播和主動(dòng)攻擊蠕蟲(chóng)特洛伊木馬 后門(mén)多種傳播方式：郵件、網(wǎng)絡(luò)共享、利用IIS、IE、SQL的漏洞危害很大的病毒以郵件為載體,爆發(fā)速度快、面積廣含有病毒的移動(dòng)編碼-來(lái)自Internet網(wǎng)頁(yè)的威脅新時(shí)代下的網(wǎng)絡(luò)病毒 傳統(tǒng)的網(wǎng)絡(luò)病毒定義是指利用網(wǎng)絡(luò)進(jìn)行傳播的一類(lèi)病毒的總稱(chēng)。而現(xiàn)在網(wǎng)絡(luò)時(shí)代的網(wǎng)絡(luò)病毒，已經(jīng)不是如此單純的一個(gè)概念了，它被溶進(jìn)了更多的東西?？梢赃@樣說(shuō)，如今的網(wǎng)絡(luò)病毒是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)產(chǎn)生安全威脅的所有程

9、序的總和。 主要的類(lèi)型有：網(wǎng)頁(yè)病毒 ，蠕蟲(chóng)病毒 ，木馬病毒 網(wǎng)頁(yè)病毒定義：網(wǎng)頁(yè)病毒是利用網(wǎng)頁(yè)來(lái)進(jìn)行破壞的病毒，它存在于網(wǎng)頁(yè)之中，其實(shí)是利用一些SCRIPT語(yǔ)言編寫(xiě)的一些惡意代碼。 行為：當(dāng)用戶(hù)登錄某些含有網(wǎng)頁(yè)病毒的網(wǎng)站時(shí)，網(wǎng)頁(yè)病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進(jìn)行破壞。 危害：輕則修改用戶(hù)的注冊(cè)表，使用戶(hù)的首頁(yè)、瀏覽器標(biāo)題改變，重則可以關(guān)閉系統(tǒng)的很多功能，使用戶(hù)無(wú)法正常使用計(jì)算機(jī)系統(tǒng)，嚴(yán)重者則可以將用戶(hù)的系統(tǒng)進(jìn)行格式化。 典型：萬(wàn)花谷網(wǎng)頁(yè)病毒:萬(wàn)花谷病毒的技術(shù)特征：含有有害代碼的ActiveX網(wǎng)頁(yè)文件，它通過(guò)一個(gè)網(wǎng)絡(luò)地址來(lái)對(duì)計(jì)算機(jī)用戶(hù)造成破壞 。特性如下：用戶(hù)不能正常使

10、用WINDOWS的DOS功能程序；用戶(hù)不能正常退出WINDOWS；開(kāi)始菜單上的“關(guān)閉系統(tǒng)”、“運(yùn)行”等欄目被屏蔽，防止用戶(hù)重新以DOS方式啟動(dòng)，關(guān)閉DOS命令、關(guān)閉REGEDIT命令等；將IE的瀏覽器的首頁(yè)和收藏夾中都加入了含有該有害網(wǎng)頁(yè)代碼的網(wǎng)絡(luò)地址。 解決方法：手動(dòng)修改注冊(cè)表，使用專(zhuān)門(mén)的解決工具。預(yù)防方法：升級(jí)防病毒軟件，打開(kāi)實(shí)時(shí)監(jiān)控。蠕蟲(chóng)病毒定義：通過(guò)網(wǎng)絡(luò)連接，將自身復(fù)制到其它計(jì)算機(jī)中，但不感 染其它文件。 行為：利用了各種的技術(shù)，將自己傳播到網(wǎng)絡(luò)中的每一臺(tái)客 戶(hù)端中 。危害：不同的蠕蟲(chóng)病毒的危害表現(xiàn)各不相同。典型：熊貓燒香（尼姆達(dá)） ,求職信 蠕蟲(chóng)病毒：熊貓燒香(尼姆達(dá)）概念：一種新型

11、的惡意蠕蟲(chóng)，影響所有未安裝補(bǔ)丁的Windows系統(tǒng)，破壞力極大。行為：通過(guò)email郵件傳播；通過(guò)網(wǎng)絡(luò)共享傳播 ；通過(guò)主動(dòng)掃描并攻擊未打補(bǔ)丁的IIS服務(wù)器傳播 ；通過(guò)瀏覽被篡改網(wǎng)頁(yè)傳播 。危害:產(chǎn)生大量的垃圾郵件 ；用蠕蟲(chóng)副本替換系統(tǒng)文件；可能影響word，frontpage等軟件正常工作；嚴(yán)重降低系統(tǒng)以及網(wǎng)絡(luò)性能；創(chuàng)建開(kāi)放共享，大大降低了系統(tǒng)的安全性 ；將Guest帳號(hào)賦予管理員權(quán)限，降低了系統(tǒng)的安全性。解決方法：及時(shí)打微軟的系統(tǒng)補(bǔ)丁，及時(shí)升級(jí)殺毒軟件，手動(dòng)掃描硬盤(pán)。木馬病毒定義：一種惡意程序，它們悄悄地在宿主機(jī)器上運(yùn)行，就在用戶(hù)毫無(wú)察覺(jué)的情況下，讓攻擊者獲得了遠(yuǎn)程訪(fǎng)問(wèn)和控制系統(tǒng)的權(quán)限。木馬

12、的實(shí)質(zhì)只是一個(gè)通過(guò)端口進(jìn)行通信的網(wǎng)絡(luò)客戶(hù)/服務(wù)程序 危害：信息泄露，系統(tǒng)被破壞等。典型：特洛伊木馬 ，冰河，網(wǎng)絡(luò)神偷木馬病毒：特洛伊木馬 概念：完整的木馬程序一般由兩個(gè)部分組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序。“中木馬”就是指安裝了木馬的服務(wù)器程序，若你的電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過(guò)網(wǎng)絡(luò)控制你的電腦、為所欲為，這時(shí)你電腦上的各種文件、程序，以及在你電腦上使用的賬號(hào)、密碼就無(wú)安全可言。 行為：自啟動(dòng)功能是木馬必不可少的，這可以保證木馬不會(huì)因?yàn)槟愕囊淮侮P(guān)機(jī)操作而徹底失去作用。正因?yàn)樵擁?xiàng)技術(shù)如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動(dòng)技術(shù)，并且時(shí)常有新的發(fā)

13、現(xiàn)。 一個(gè)典型的例子就是把木馬加入到用戶(hù)經(jīng)常執(zhí)行的程序 (例如explorer.exe)中，用戶(hù)執(zhí)行該程序時(shí)，則木馬自動(dòng)發(fā)生作用。 解決方法：使用殺毒軟件查殺，專(zhuān)殺工具等。病毒啟動(dòng)方法一、修改批處理 。如：Autoexec.bat 二、修改系統(tǒng)配置。如： System.ini、Win.ini 三、借助自動(dòng)運(yùn)行功能 。如：Windows的自動(dòng)運(yùn)行功能 四、通過(guò)注冊(cè)表中的Run來(lái)啟動(dòng)。如：注冊(cè)表Run、RunOnce中添加鍵值。 五、通過(guò)文件關(guān)聯(lián)啟動(dòng)。 如：EXE文件的關(guān)聯(lián)六、通過(guò)API HOOK啟動(dòng)。如：替換系統(tǒng)的DLL文件 七、通過(guò)VXD啟動(dòng)。如：把木馬寫(xiě)成VXD形式加載，直接控制系統(tǒng)底層 八

14、、通過(guò)瀏覽網(wǎng)頁(yè)啟動(dòng) 。如 ：MIME漏洞 九、利用Java applet 。如：利用HTML把木馬下載到緩存中，然后修改注冊(cè)表，指向其程序。 十、利用系統(tǒng)自動(dòng)運(yùn)行的程序。如：“注冊(cè)表檢查” 程序 “輸入法”程序 其他方式，如：利用System目錄比Windows目錄優(yōu)先的特點(diǎn) 中毒癥狀的表現(xiàn)1.經(jīng)常死機(jī) 2.系統(tǒng)無(wú)法啟動(dòng)： 3.文件打不開(kāi) 4.經(jīng)常報(bào)告內(nèi)存不夠： 5.提示硬盤(pán)空間不夠 6.軟盤(pán)等設(shè)備未訪(fǎng)問(wèn)時(shí)出讀寫(xiě)信號(hào) 7.出現(xiàn)大量來(lái)歷不明的文件 8.啟動(dòng)黑屏： 9.數(shù)據(jù)丟失 10.鍵盤(pán)或鼠標(biāo)無(wú)端地鎖死： 11.系統(tǒng)運(yùn)行速度慢 12.系統(tǒng)自動(dòng)執(zhí)行操作： 13.網(wǎng)絡(luò)傳輸異常檢測(cè)手段殺毒程序檢測(cè)；如：瑞星、卡巴斯基等系統(tǒng)啟動(dòng)環(huán)境檢查：HijackThisIDS（入侵檢測(cè)系統(tǒng)）；如：綠盟冰