病毒防護(hù)技術(shù)(四)典型病毒及其查殺課件

補(bǔ)充內(nèi)容計(jì)算機(jī)病毒防護(hù)技術(shù)

B.1概述B.2計(jì)算機(jī)病毒工作機(jī)制B.3反病毒技術(shù)B.4典型計(jì)算機(jī)病毒B.5計(jì)算機(jī)病毒查殺軟件B.4典型計(jì)算機(jī)病毒蠕蟲(chóng)病毒特洛伊木馬病毒黑客病毒后門病毒一、蠕蟲(chóng)病毒?1.蠕蟲(chóng)病毒：是一種通過(guò)網(wǎng)絡(luò)傳播的惡性計(jì)算機(jī)病毒，是使用危害的代碼來(lái)攻擊網(wǎng)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的計(jì)算機(jī)病毒。它具有計(jì)算機(jī)病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時(shí)具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。3.蠕蟲(chóng)的工作方式:①隨機(jī)產(chǎn)生一個(gè)IP地址;②判斷對(duì)應(yīng)此IP地址的機(jī)器是否可被感染;③如果可被感染，則感染之;④重復(fù)①--③共n次，n為蠕蟲(chóng)產(chǎn)生的繁殖副本數(shù)量。5.預(yù)防：????1).企業(yè)防范蠕蟲(chóng)病毒措施(1)加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識(shí)。由于蠕蟲(chóng)病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊，所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性，保持各種操作系統(tǒng)和應(yīng)用軟件的更新。由于各種漏洞的出現(xiàn)，使得安全不再是一種一勞永逸的事，而對(duì)于企業(yè)用戶而言，所面臨攻擊的危險(xiǎn)也是越來(lái)越大，要求企業(yè)的管理水平和安全意識(shí)也越來(lái)越高。(2)建立計(jì)算機(jī)病毒檢測(cè)系統(tǒng)，以便能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和計(jì)算機(jī)病毒攻擊現(xiàn)象。(3)建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最小。由于蠕蟲(chóng)病毒爆發(fā)的突然性，可能在計(jì)算機(jī)病毒發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò)，所以在突發(fā)情況下，建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的，以便在計(jì)算機(jī)病毒爆發(fā)的第一時(shí)間即能提供解決方案。(4)建立災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫(kù)和數(shù)據(jù)系統(tǒng)，必須采用定期備份、多機(jī)備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失。2）個(gè)人用戶對(duì)蠕蟲(chóng)病毒的防范措施(1)選購(gòu)合適的殺毒軟件。Norton、瑞星、KV系列等。(2)經(jīng)常升級(jí)計(jì)算機(jī)病毒庫(kù)。殺毒軟件對(duì)計(jì)算機(jī)病毒的查殺是以計(jì)算機(jī)病毒的特征碼為依據(jù)的，而計(jì)算機(jī)病毒每天都層出不窮，尤其是在網(wǎng)絡(luò)時(shí)代，蠕蟲(chóng)病毒的傳播速度快、變種多，所以必須隨時(shí)更新計(jì)算機(jī)病毒庫(kù)，以便能夠查殺最新的計(jì)算機(jī)病毒。(3)提高防殺毒意識(shí)。不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼。當(dāng)運(yùn)行IE時(shí)，把安全級(jí)別設(shè)為“中”或者"高"。(4)不隨意查看陌生郵件，尤其是帶有附件的郵件。由于有的計(jì)算機(jī)病毒郵件能夠利用IE和Outlook的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí)IE和Outlook程序及常用的其他應(yīng)用程序。第二代木馬:AIDS型木馬1989年出現(xiàn)了“AIDS木馬”。由于當(dāng)時(shí)很少有人使用電子郵件，所以AIDS的作者就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播，給其他人寄去一封封含有木馬程序軟盤（移動(dòng)存儲(chǔ)設(shè)備）的郵件。之所以叫這個(gè)名稱就是因?yàn)檐洷P（移動(dòng)存儲(chǔ)設(shè)備）中包含有AIDS和HIV疾病的藥品、價(jià)格、預(yù)防措施等相關(guān)信息。軟盤（移動(dòng)存儲(chǔ)設(shè)備）中的木馬程序在運(yùn)行后，雖然不會(huì)破壞數(shù)據(jù)，但是它將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)?？梢哉f(shuō)第二代木馬己具備了傳播特征(盡管是通過(guò)傳統(tǒng)的郵遞方式)。第三代木馬:網(wǎng)絡(luò)傳播性木馬隨著Internet的普及，這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。同時(shí)它還有如下新的特征。第一，添加了"后門"功能。后門：就是一種可以為計(jì)算機(jī)系統(tǒng)秘密開(kāi)啟訪問(wèn)入口的程序。一旦被安裝，這些程序?就能夠使攻擊者繞過(guò)安全程序進(jìn)入系統(tǒng)。該功能的目的就是收集系統(tǒng)中的重要信息，例如:財(cái)務(wù)報(bào)告、口令及信用卡號(hào)。此外，攻擊者還可以利用后門控制系統(tǒng)，使之成為攻擊其他計(jì)算機(jī)的幫兇。由于后門是隱藏在系統(tǒng)背后運(yùn)行的，因此很難被檢測(cè)到。它們不像計(jì)算機(jī)病毒和蠕蟲(chóng)那樣通過(guò)消耗內(nèi)存而引起注意。

2.感染木馬病毒后的表現(xiàn)1）自動(dòng)打開(kāi)陌生的網(wǎng)站；2）非正常的對(duì)話框窗口的跳出；3）Windows系統(tǒng)配置被莫名其妙的更改；4）硬盤燈非正常閃動(dòng)、軟驅(qū)或光驅(qū)自動(dòng)運(yùn)行、網(wǎng)絡(luò)連接異常、鼠標(biāo)異常等3.預(yù)防?雖然木馬程序手段越來(lái)越隱蔽，但只要加強(qiáng)個(gè)人安全防范意識(shí)，還是可以大大降低“中招”的機(jī)率。對(duì)此安全專家表示，預(yù)防木馬其實(shí)很簡(jiǎn)單：1）就不要執(zhí)行任何來(lái)歷不明的軟件或程序，不管是郵件中還是從Internet上下載到的。2）在下載軟件時(shí)，一定要從正規(guī)的網(wǎng)站下載。3）針對(duì)計(jì)算機(jī)中的個(gè)人敏感數(shù)據(jù)(口令、信用卡賬號(hào)等)，一定要妥善保護(hù)。利用防毒軟件增加個(gè)人私密數(shù)據(jù)保護(hù)功能。4）用戶覺(jué)得有可疑情況時(shí)一定要先檢查，然后再使用。5）上網(wǎng)的計(jì)算機(jī)必備防毒軟件，一個(gè)好的殺毒軟件也可以查到絕大多數(shù)木馬程序，但一定要記得時(shí)時(shí)更新代碼。三、黑客病毒??1.關(guān)于黑客：對(duì)于“黑客”這個(gè)詞，不同的人群存在不同的理解，有些人認(rèn)為，黑客是一群狂熱的技術(shù)愛(ài)好者，他們無(wú)限度地追求技術(shù)的完美;有些人認(rèn)為，黑客只是一群擁有技術(shù)，但思想簡(jiǎn)單的毛頭小伙子;還有些人認(rèn)為黑客是不應(yīng)該存在的，他們是網(wǎng)絡(luò)的破壞者。但從客觀存在的事實(shí)來(lái)看，黑客這類群體往往存在著以下兩個(gè)共同點(diǎn)。①?gòu)?qiáng)烈的技術(shù)渴望與完美主義。驅(qū)動(dòng)他們成長(zhǎng)的是對(duì)技術(shù)的無(wú)限渴望，獲得技術(shù)的提高才是他們最終的任務(wù)。

②強(qiáng)烈的責(zé)任感。只有強(qiáng)烈的責(zé)任感才能使他們不會(huì)走向歧途。責(zé)任感告訴他們不要在任何媒體上公布成功入侵的服務(wù)器;不要對(duì)其入侵的服務(wù)器進(jìn)行任何的破壞;在發(fā)現(xiàn)系統(tǒng)漏洞后要馬上通知官方對(duì)該漏洞采取必要的修補(bǔ)措施，在官方補(bǔ)丁沒(méi)有公布之前，絕對(duì)不要大范圍地公開(kāi)漏洞利用代碼。一方面，黑客入侵可能造成網(wǎng)絡(luò)的暫時(shí)癱瘓，另一方面，黑客也是整個(gè)網(wǎng)絡(luò)的建設(shè)者，他們不知疲倦地尋找網(wǎng)絡(luò)大廈的缺陷，使得網(wǎng)絡(luò)大廈的根基更加穩(wěn)固。3.黑客病毒的傳染機(jī)制：黑客型計(jì)算機(jī)病毒不同于傳統(tǒng)計(jì)算機(jī)病毒，其感染機(jī)制是利用操作系統(tǒng)軟件或常用應(yīng)用軟件中的設(shè)計(jì)缺陷而設(shè)計(jì)的。所以反計(jì)算機(jī)病毒軟件正常的警報(bào)系統(tǒng)是反映不出任何問(wèn)題的，而黑客型計(jì)算機(jī)病毒感染系統(tǒng)后卻可以反客為主，破壞駐留在內(nèi)存中的反計(jì)算機(jī)病毒程序的進(jìn)程。"求職信"、YAHA、Gener、"物B"等都屬于這類計(jì)算機(jī)病毒。4.黑客型計(jì)算機(jī)病毒的危害性更強(qiáng)：黑客型計(jì)算機(jī)病毒比傳統(tǒng)計(jì)算機(jī)病毒更具危害性，主動(dòng)攻擊計(jì)算機(jī)系統(tǒng)以及反計(jì)算機(jī)病毒程序，奪取系統(tǒng)的控制權(quán)。黑客型計(jì)算機(jī)病毒多是網(wǎng)絡(luò)蠕蟲(chóng)類型，利用網(wǎng)絡(luò)和系統(tǒng)漏洞感染計(jì)算機(jī)，感染速度快且完全清除十分困難。傳統(tǒng)反計(jì)算機(jī)病毒軟件多數(shù)運(yùn)行在單機(jī)系統(tǒng)，對(duì)于這種網(wǎng)絡(luò)計(jì)算機(jī)病毒往往在一定時(shí)期難以殺盡，所以傳統(tǒng)反計(jì)算機(jī)病毒軟件在防御黑客型計(jì)算機(jī)病毒時(shí)顯得勢(shì)單力薄。同時(shí)由于黑客型計(jì)算機(jī)病毒的橫行，系統(tǒng)失去反計(jì)算機(jī)病毒軟件的保護(hù)，傳統(tǒng)計(jì)算機(jī)病毒也會(huì)出來(lái)為虎作悵，這時(shí)進(jìn)一步加大了網(wǎng)絡(luò)安全的壓力。四、后門病毒?1.原理后門（Backdoor）是程序或系統(tǒng)內(nèi)的一種功能，它允許沒(méi)有賬號(hào)的用戶或普通受限用戶使用高權(quán)限甚至完全控制系統(tǒng)。后門在程序開(kāi)發(fā)中有合法的用途，有時(shí)會(huì)因設(shè)計(jì)需要或偶然因素而存在于某些完備的系統(tǒng)中。后門不是計(jì)算機(jī)病毒，但后門會(huì)被攻擊者所利用。后門計(jì)算機(jī)病毒:是集黑客、蠕蟲(chóng)、后門功能于一體，通過(guò)局域網(wǎng)共享目錄和系統(tǒng)漏洞進(jìn)行傳播的一種計(jì)算機(jī)病毒形態(tài)。由于操作系統(tǒng)和軟件設(shè)計(jì)的固有缺陷，使得后門計(jì)算機(jī)病毒非常難以防范，即便是亡羊補(bǔ)牢的工作，也難以挽回后門計(jì)算機(jī)病毒造成的損失。2.預(yù)防1）重新設(shè)置局域網(wǎng)的共享目錄2）發(fā)現(xiàn)系統(tǒng)漏洞應(yīng)及時(shí)打補(bǔ)丁；3）安裝防火墻并及時(shí)更新。(5)全面地與Internet結(jié)合，不僅有傳統(tǒng)的手動(dòng)查殺與文件監(jiān)控，還必須對(duì)網(wǎng)絡(luò)層、郵?件客戶端進(jìn)行實(shí)時(shí)監(jiān)控，防止計(jì)算機(jī)病毒入侵。(6)快速反應(yīng)的計(jì)算機(jī)病毒檢測(cè)網(wǎng)，在計(jì)算機(jī)病毒爆發(fā)的第一時(shí)間即能提供解決方案。(7)完善的在線升級(jí)服務(wù)，使用戶隨時(shí)擁有最新的防計(jì)算機(jī)病毒能力。(8)對(duì)計(jì)算機(jī)病毒經(jīng)常攻擊的應(yīng)用程序提供重點(diǎn)保護(hù)(如MSOffice，Outlook，IE，ICQ/QQ等)。(9)提供完整、即時(shí)的反計(jì)算機(jī)病毒咨詢，提高用戶的反計(jì)算機(jī)病毒意識(shí)與警覺(jué)性，盡快地讓用戶了解到新計(jì)算機(jī)病毒的特點(diǎn)和解決方案。2.國(guó)內(nèi)外著名的殺毒軟件國(guó)內(nèi)外有很多著名的殺毒軟件，如Norton（諾頓）、McAfeeVirusScan、Pc-cillin、KasperskyAnti-Virus（卡巴斯基）、江民KV系列、金山毒霸、熊貓衛(wèi)士、瑞星殺毒軟件等。3.瑞星殺毒軟件簡(jiǎn)介1）主要功能：(1)只能解包還原功能?查殺因使用各種公開(kāi)、非公開(kāi)的自解壓程序?qū)τ?jì)算機(jī)病毒進(jìn)行壓縮打包而產(chǎn)生的大量變種計(jì)算機(jī)病毒。(2)行為判斷功能行為判斷功能提供對(duì)未知計(jì)算機(jī)病毒的查殺。(3)實(shí)時(shí)監(jiān)控功能實(shí)時(shí)監(jiān)控功能包括文件監(jiān)控、電子郵件監(jiān)控、內(nèi)存監(jiān)控、網(wǎng)頁(yè)監(jiān)控、注冊(cè)表監(jiān)控、引導(dǎo)區(qū)監(jiān)控和漏洞攻擊監(jiān)控。(4)黑名單功能識(shí)別網(wǎng)絡(luò)上的計(jì)算機(jī)病毒感染來(lái)源，并通過(guò)黑名單功能阻止計(jì)算機(jī)病毒攻擊。(5)拉圾郵件過(guò)濾(6)信息中心功能在Internet連接狀態(tài)下，程序的主界面會(huì)自動(dòng)獲取瑞星網(wǎng)站公布的最新信息。諸如重大計(jì)算機(jī)病毒疫情預(yù)警、最新安全漏洞和安全資訊等信息，用戶能及時(shí)做好相應(yīng)的預(yù)防措施。(7)在線升級(jí)功能在Internet連接狀態(tài)下，自動(dòng)檢測(cè)最新版本。(8)注冊(cè)表修復(fù)功能瑞星最新提供的注冊(cè)