病毒防御和分析

病毒防御和分析第一頁，共一百三十七頁，2022年，8月28日介紹加密技術(shù)與信息安全工程師認(rèn)證培訓(xùn)中華人民共和國勞動與社會保障部職業(yè)資格認(rèn)證國家信息安全培訓(xùn)認(rèn)證管理中心主任勞動與社會保障部國家督導(dǎo)、高級考評員信息產(chǎn)業(yè)部信息化與電子政務(wù)專家盛鴻宇副研究員第二頁，共一百三十七頁，2022年，8月28日什么是病毒？病毒來源于人類的傳染病病毒攜帶者易感人群病毒攜帶者第三頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序，它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確與完整病毒源代碼*.EXE*.COM*.DOC等文件類型傳播開磁盤、磁帶、網(wǎng)絡(luò)第四頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒定義（一）

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除它們能把自身附著在各種類型的文件上當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來第五頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒定義（二）能實(shí)現(xiàn)自身復(fù)制的程序能“傳染“其他程序的程序所以,計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲介質(zhì)（或程序）里,當(dāng)達(dá)到某種條件時(shí)即被激活的具有對計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合第六頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒簡史（一）1949年，馮.諾依曼提出十年之后貝爾實(shí)驗(yàn)室1983年11月3日，弗雷德.科恩博士1986年初，

Pakistan病毒，即Brain1987年10月，在美國，世界上第一例計(jì)算機(jī)病毒（Brian）發(fā)現(xiàn)

1988年3月2日，一種蘋果機(jī)病毒發(fā)作

1988年感染，造成Internet不能正常11月3日，美國6千臺計(jì)算機(jī)被病毒運(yùn)行

1989年全世界計(jì)算機(jī)病毒攻擊十分猖獗，我國也未幸免

1991年美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)

1992年出現(xiàn)針對殺毒軟件的"幽靈"病毒

第七頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒簡史（二）1994年5月計(jì)算機(jī)病毒破壞南非大選活動1996年，出現(xiàn)針對微軟公司Office的"宏病毒"1997年公認(rèn)為計(jì)算機(jī)反病毒界的"宏病毒年"1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn)1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進(jìn)行傳播的美麗殺手病毒

1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)

第八頁，共一百三十七頁，2022年，8月28日2003年度計(jì)算機(jī)病毒回顧2003年度病毒排行榜熊貓卡巴司基江民科技金山毒霸瑞星W32/Bugbear.BI-Worm.SobigI-Worm/Blaster沖擊波/沖擊波殺手紅色結(jié)束符W32/Klez.II-Worm.KlezI-Worm/Sobig.(x)巨無霸愛情后門Trj/PSW.Bugbear.BI-Worm.SwenI-Worm/Supkp.(x)蠕蟲王Win32/FunLove.4099W32/BlasterI-Worm.LentinI-Worm/Mimail.(x)QQ狩獵者QQ傳送者W32/Parite.BI-Worm.TanatosI-Worm/Swen惡郵差沖擊波殺手W32/Mapson@MMI-Worm.AvronI-Worm/Chian口令羅拉W32/EnerKazMacro.Word97.ThusI-Worm/Fizzer小郵差求職信Trj/JS.NoCloseI-Worm.MimailWorm.SQL.helkerm妖怪尼姆達(dá)IIW32/BugbearI-Worm.HybrisWin32/FunLove.4099費(fèi)氏QQ木馬W32/Bugbear.B.DamI-Worm.RoronPolyBoot（WYX.B）求職信CIH第九頁，共一百三十七頁，2022年，8月28日2003年度計(jì)算機(jī)病毒回顧2003年度上榜計(jì)算機(jī)病毒特點(diǎn)絕大部分都是利用網(wǎng)絡(luò)傳播的蠕蟲病毒年度排行榜中的病毒絕大部分都是每月排行榜的“?？汀鼻笆《靖腥居?jì)算機(jī)數(shù)量占全部病毒感染的數(shù)量的50%以上利用漏洞發(fā)動攻擊的蠕蟲都能進(jìn)入排行榜第十頁，共一百三十七頁，2022年，8月28日2003年度計(jì)算機(jī)病毒回顧蠕蟲病毒的特點(diǎn)蠕蟲病毒中絕大部分都是利用電子郵件進(jìn)行傳播利用電子郵件傳播的蠕蟲病毒影響范圍特別廣泛利用系統(tǒng)漏洞傳播的病毒傳播速度非?？臁⒃斐善茐氖謬?yán)重第十一頁，共一百三十七頁，2022年，8月28日2003年度計(jì)算機(jī)病毒回顧電子郵件蠕蟲病毒的特點(diǎn)充分利用“社會工程學(xué)”方法不依賴郵件服務(wù)器變種繁多第十二頁，共一百三十七頁，2022年，8月28日2003年度計(jì)算機(jī)病毒回顧利用系統(tǒng)漏洞的蠕蟲病毒出現(xiàn)得越來越快病毒名稱補(bǔ)丁發(fā)布時(shí)間病毒爆發(fā)時(shí)間SQLSlammer2002年7月2003年1月沖擊波/沖擊波殺手2003年7月2003年8月第十三頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒的發(fā)展階段DOS引導(dǎo)階段DOS可執(zhí)行階段伴隨、批次型階段幽靈、多形階段生成器、變體機(jī)階段網(wǎng)絡(luò)、蠕蟲階段視窗階段宏病毒階段互連網(wǎng)階段Java、郵件炸彈階段第十四頁，共一百三十七頁，2022年，8月28日里程碑事件在70年代美國作家雷恩出版的《P1的青春》一書中構(gòu)思了一種能夠自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。1983年，美國學(xué)生FredCohen因研究計(jì)劃需要創(chuàng)造出第一只計(jì)算機(jī)病毒。1986年，巴基斯坦的一對兄弟Amjad和BasitFarooqAlvi撰寫了第一個(gè)IBM個(gè)人計(jì)算機(jī)的病毒Brain。1988年，美國CORNELL大學(xué)研究生莫里斯創(chuàng)造了第一只蠕蟲，導(dǎo)致當(dāng)時(shí)Internet主要節(jié)點(diǎn)關(guān)閉。1998年，臺灣陳盈豪創(chuàng)造了世界上第一只能夠破壞硬件的病毒CIH1999年，DavidL.Smith創(chuàng)造了第一只通過電子郵件傳播的病毒Melissa2000年，愛蟲病毒和庫娃成為世界上首先利用“社會工程”方法的蠕蟲2001年，利用微軟漏洞的紅色代碼迅速席卷全世界，利用系統(tǒng)漏洞的蠕蟲病毒開始大量通過Internet傳播。第十五頁，共一百三十七頁，2022年，8月28日電腦病毒怎樣

附加在檔案上？正常的檔案被感染的檔案第十六頁，共一百三十七頁，2022年，8月28日電腦病毒的發(fā)展歷史平均每天就發(fā)現(xiàn)六到七個(gè)新電腦病毒Morethan44,000BootVirusesMacroVirusesInternet/E-mailVirusesSource:TrendMicro18,00013,0008,0006,5003,5002,0001,600251183第十七頁，共一百三十七頁，2022年，8月28日病毒的產(chǎn)生背景

計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式計(jì)算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境第十八頁，共一百三十七頁，2022年，8月28日病毒機(jī)制與組成結(jié)構(gòu)載荷機(jī)制載荷機(jī)制定義為除了自我復(fù)制以外的所有動作感染機(jī)制病毒結(jié)構(gòu)中首要的而且唯一必需的部分是感染機(jī)制他是一種能讓病毒繁殖的代碼，也是病毒之所以成為病毒的原因觸發(fā)機(jī)制病毒的第二個(gè)主要構(gòu)成部分是有效載荷觸發(fā)事件，這種病毒在找尋到一定數(shù)量的感染體、某一個(gè)時(shí)間或日期、某一段文本后觸發(fā)，或者他可能僅僅在第一次被用時(shí)就觸發(fā)了第十九頁，共一百三十七頁，2022年，8月28日電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道第二十頁，共一百三十七頁，2022年，8月28日企業(yè)內(nèi)病毒和網(wǎng)絡(luò)安全的漏洞路由器De-MilitarizedZonehttp(www)服務(wù)器防火墻客戶端國際互聯(lián)網(wǎng)FTP/HTTP代理服務(wù)器應(yīng)用服務(wù)器1.軟盤或光盤2.

內(nèi)聯(lián)網(wǎng)檔案共享3.互聯(lián)網(wǎng)檔案共享4.電子郵件的附件5.電子郵件炸彈6.惡毒的JavaApplets,ActiveXComponents和網(wǎng)頁含有VBScript.SMTP服務(wù)器FTP服務(wù)器DesignGoals第二十一頁，共一百三十七頁，2022年，8月28日電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道病毒在網(wǎng)絡(luò)內(nèi)傳播速度非?？斓诙?，共一百三十七頁，2022年，8月28日病毒和網(wǎng)絡(luò)病毒是在檔案共享的情形下傳播的網(wǎng)絡(luò)是用來共享資料(檔案)的病毒愛網(wǎng)絡(luò)!+=第二十三頁，共一百三十七頁，2022年，8月28日國際互聯(lián)網(wǎng)和病毒“注意，當(dāng)你連接上另一臺電腦，你也是連接上所有以前連接上這臺電腦的其他電腦.”DennisMiller,fromthepopularUStelevisionshow“SaturdayNightLive”.在互聯(lián)網(wǎng)上，電腦病毒只需要一分鐘便能從西班牙傳送到日本！.第二十四頁，共一百三十七頁，2022年，8月28日電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道病毒在網(wǎng)絡(luò)內(nèi)傳播速度非?？祛l繁的更新，升級，保養(yǎng)與監(jiān)察第二十五頁，共一百三十七頁，2022年，8月28日你花費(fèi)在防病毒軟件

總共要？？？第二十六頁，共一百三十七頁，2022年，8月28日傳染所謂傳染是指計(jì)算機(jī)病毒由一個(gè)載體傳播到另一個(gè)載體,由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過程

第二十七頁，共一百三十七頁，2022年，8月28日病毒觸發(fā)事件日期觸發(fā)時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號/主板型號觸發(fā)第二十八頁，共一百三十七頁，2022年，8月28日病毒機(jī)制與組成結(jié)構(gòu)一個(gè)是主程序另一個(gè)是引導(dǎo)程序第二十九頁，共一百三十七頁，2022年，8月28日病毒的危害影響系統(tǒng)效率刪除、破壞數(shù)據(jù)干擾正常操作組塞網(wǎng)絡(luò)進(jìn)行反動宣傳占用系統(tǒng)資源第三十頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒分類按破壞性分類

良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒按傳染方式分類

文件型病毒、引導(dǎo)扇區(qū)病毒、混合型病毒

按連接方式分類源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒按特有算法分類伴隨型病毒、蠕蟲型病毒、練習(xí)型病毒、詭秘型病毒、變形病毒

第三十一頁，共一百三十七頁，2022年，8月28日引導(dǎo)型病毒感染對象和傳播途徑 引導(dǎo)型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），并利用磁盤進(jìn)行傳播。使用的主要技術(shù) 由于引導(dǎo)型病毒是在安裝操作系統(tǒng)之前進(jìn)入內(nèi)存，寄生對象又相對固定，所以該類型病毒基本上不得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量(0:413H單元)方法來駐留內(nèi)存高端，為了使病毒能傳染給軟盤，普遍修改INT13H的中斷向量，而新INT13H中斷向量段址必定指向內(nèi)存高端。第三十二頁，共一百三十七頁，2022年，8月28日引導(dǎo)型病毒破壞行為占用系統(tǒng)資源導(dǎo)致系統(tǒng)不穩(wěn)定破壞磁盤數(shù)據(jù)預(yù)防與保護(hù)的方法不使用不可信的磁盤啟動使用防病毒軟件利用fdisk/mbr修復(fù)磁盤引導(dǎo)區(qū)（危險(xiǎn)！）著名的此類病毒小球病毒大麻病毒第三十三頁，共一百三十七頁，2022年，8月28日文件型病毒感染對象和傳播途徑 文件型病毒感染計(jì)算機(jī)中的各種文件——特別是可執(zhí)行文件（如：com、exe、scr、doc等）。使用的主要技術(shù) 通過對文件中插入相關(guān)病毒代碼，修改文件執(zhí)行流程加載、執(zhí)行病毒代碼，修改其他文件從而達(dá)到傳播自身的目的。第三十四頁，共一百三十七頁，2022年，8月28日文件型病毒破壞行為占用系統(tǒng)資源導(dǎo)致系統(tǒng)不穩(wěn)定破壞磁盤數(shù)據(jù)保護(hù)方法不執(zhí)行不可信的軟件使用防病毒軟件著名的此類病毒CIH病毒第三十五頁，共一百三十七頁，2022年，8月28日其它病毒演示—女鬼病毒第三十六頁，共一百三十七頁，2022年，8月28日其他病毒演示—千年老妖第三十七頁，共一百三十七頁，2022年，8月28日其他病毒演示—白雪公主

Hybris病毒特點(diǎn)：☆無法追蹤發(fā)信人☆通過網(wǎng)站、新聞組下載插件以后產(chǎn)生變種☆病毒文件名是根據(jù)多個(gè)文件名隨機(jī)決定☆病毒篡改WSOCK32.DLL以后，由于原先 的病毒文件將會被刪除，發(fā)現(xiàn)困難。第三十八頁，共一百三十七頁，2022年，8月28日宏病毒

宏是微軟公司為其OFFICE軟件設(shè)計(jì)的一個(gè)特殊功能，這些系統(tǒng)內(nèi)置了一種類BASIC的宏編程語言。用戶編制“宏”這一功能的目的是為了讓用戶能夠用簡單的編程方法，來簡化一些經(jīng)常性的操作。但由于宏容易編制，這也為那些心懷叵測的人提供了一種簡單高效的制造新病毒的手段。第三十九頁，共一百三十七頁，2022年，8月28日

宏病毒與有用的正常宏采用相同的語言編寫，只是這些宏的執(zhí)行效果有害，而且在編寫上利用了Word允許宏自動執(zhí)行這一特點(diǎn)，一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒。如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他們的計(jì)算機(jī)上。感染Normal.dot模板是宏病毒的最常用的傳染方式。此外，與系統(tǒng)啟動相類似，Word在啟動過程中會自動執(zhí)行c盤根目錄下名為Autoexec.bat文檔中包含的宏和office\startup\(是指Word的安裝目錄)目錄內(nèi)的模板文件所包含的宏，有些病毒通過這兩個(gè)“突破口”感染W(wǎng)ord系統(tǒng)，使每次啟動后的Word都成為帶毒環(huán)境。

第四十頁，共一百三十七頁，2022年，8月28日早期的宏病毒破壞方式往往是更改所附著的文檔內(nèi)容、擾亂文檔的正常打印、開啟一個(gè)無法關(guān)閉的對話框或不斷開啟新的文件直到系統(tǒng)資源耗盡、Word運(yùn)行出錯為止隨著Office新版本的推出，微軟不斷加強(qiáng)宏的功能，宏病毒的危害也就越來越大。前一段流行的Melissa病毒是利用宏來對E-mail管理程序Outlook通訊錄中記錄的前五十個(gè)地址發(fā)信，而最近較有影響的JulyKiller(七月殺手)宏病毒的破壞方式則是產(chǎn)生一個(gè)只有一條命令“deltree/yc：\”的Autoexec.bat文件來替代你現(xiàn)有的該文件，當(dāng)你下次啟動機(jī)器時(shí)這條指令就會刪除C盤中的所有文件，同時(shí)該病毒還會使“工具”菜單下的“宏”、“模板和加載項(xiàng)”、“自定義”、“選項(xiàng)”等選項(xiàng)無法工作，以達(dá)到阻止采用編輯宏等一般方法來手動清除病毒的目的。目前國內(nèi)最流行的宏病毒有TaiWanNo.1、CAP、SetMode、Julykiller、OPEY.A等。第四十一頁，共一百三十七頁，2022年，8月28日“梅莉莎”病毒

W97M/Melissa病毒傳染的對象是Word97和Wordxp文件。當(dāng)用戶打開已感染有該病毒的文件時(shí)，梅莉莎便傳染用戶系統(tǒng)同時(shí)，病毒通過用戶收發(fā)帶毒的電子郵件互相傳染，而且傳染方式非常隱蔽?！懊防蛏辈《镜木唧w表現(xiàn)癥狀是：①當(dāng)用戶打開的文件感染有該病毒時(shí)，病毒首先檢查注冊表中是否有梅莉莎的注冊信息，若有則表明系統(tǒng)已被傳染，否則，在注冊表中創(chuàng)建一條注冊項(xiàng)如下：HKEY_CURRENT_USER\Software\Microsoft\Office\“Melissa？”=“...byKwyjibo”第四十二頁，共一百三十七頁，2022年，8月28日②利用VisualBasic指令建立一個(gè)Outlook對象從Outlook的全域地址表中獲取成員地址信息，將下列信息以電子郵件方式，自動發(fā)送到地址表中的前50個(gè)郵箱(一次發(fā)送50封郵件)。其中：郵件主題為：“ImportantMessageFrom-”正文為“Hereisthatdocumentyouaskedfor...don'tshowanyoneelse;-)”。此后，病毒將已感染有該病毒的文件作為附件發(fā)送出去。目前較為流行的一種附件的文件名為“l(fā)ist.DOC”第四十三頁，共一百三十七頁，2022年，8月28日③當(dāng)用戶接收到帶毒的郵件并打開時(shí)用戶的Word系統(tǒng)中所有打開的文件將被傳染。當(dāng)機(jī)器時(shí)鐘的時(shí)間數(shù)值與日期的數(shù)值相同時(shí)，如4月27號的4點(diǎn)27分，病毒將打開一個(gè)被傳染的文件④值得注意的是梅莉莎在傳染W(wǎng)ordxp時(shí)首先從注冊表中檢查其安全保護(hù)級別如果注冊表HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\“Level”的值不為0，將禁用菜單中的“MACRO/SECURITY”選項(xiàng)。如果用戶使用的系統(tǒng)是Word97，則禁用菜單第四十四頁，共一百三十七頁，2022年，8月28日“歡樂時(shí)光”病毒“歡樂時(shí)光”屬于VBS/HTM蠕蟲類病毒，通過郵件傳播，但不是作為郵件的附件，而是作為郵件內(nèi)容。如果用戶使用Outlook，收到帶毒郵件，當(dāng)用戶用鼠標(biāo)指向帶病毒的郵件時(shí)，不必打開信件，歡樂時(shí)光病毒將被激活，并生成如下文件：c：\help.htmc：\windows\help.vbsc：\windows\help.htac：\windows\Untitled.htm

然后傳染硬盤中的.htm、.vbs、.hta、.asp、.html后綴的文件。并修改注冊表中部分鍵值：第四十五頁，共一百三十七頁，2022年，8月28日

①在HKEY_CURRENT_USER\Software下新建Help項(xiàng)，然后新建Count鍵值用于記錄病毒感染的次數(shù)；新建wallPaper鍵值用于記錄修改后的墻紙文件；②當(dāng)用戶安裝了VB，該病毒將會自動給地址簿中的郵件地址發(fā)信，郵件標(biāo)題為“Help”。第四十六頁，共一百三十七頁，2022年，8月28日但是，該病毒不能正確取到郵件地址，沒有發(fā)件人，因而不能發(fā)送。如果收件箱中有未讀郵件，則病毒會自動回復(fù)這些信件。如果未安裝VB，則該病毒不會自動通過郵件傳播。只有當(dāng)染毒的用戶在發(fā)送郵件時(shí)，該病毒才會自動插入到郵件體中。當(dāng)染毒的計(jì)算機(jī)內(nèi)日期的日+月=13時(shí)，該病毒就會逐步刪除硬盤中的exe、dll類型文件，最后，導(dǎo)致系統(tǒng)癱瘓。第四十七頁，共一百三十七頁，2022年，8月28日“主頁”病毒

“主頁”(Homepage)病毒也是一個(gè)加密的VBScript蠕蟲，該蠕蟲能將自身通過Outlook發(fā)送給地址簿中的所有收件人。該蠕蟲還能打開一個(gè)包含有色情內(nèi)容的站點(diǎn)。病毒發(fā)作時(shí)，蠕蟲將自身作為郵件發(fā)送給Outlook地址簿中的所有收件人，郵件主題為Homepage。在發(fā)送郵件之前，蠕蟲會搜索主題為Homepage的郵件，一旦找到便將其刪除。郵件發(fā)送完后，蠕蟲創(chuàng)建下面的注冊鍵：HKEY_CURRENT_USER\Software\An\mailed并將其值設(shè)為1，該注冊鍵是用來防止蠕蟲多次重復(fù)發(fā)送。此后，蠕蟲隨機(jī)選擇一個(gè)色情網(wǎng)站并打開它。第四十八頁，共一百三十七頁，2022年，8月28日附：另外，在郵件的使用中，還會有其他的安全隱患,如病毒四維(I-Worm/Swen)，第四十九頁，共一百三十七頁，2022年，8月28日木馬病毒

還有一種特殊的病毒──木馬，因?yàn)樗斐傻奈：κ謬?yán)重，所以越來越多地受到人們的關(guān)注。木馬，也稱為后門，用“瞞天過海”或“披著羊皮的狼”之類的詞來形容木馬程序一點(diǎn)也不為過，直截了當(dāng)?shù)恼f法是木馬有兩個(gè)程序，一個(gè)是服務(wù)器程序，一個(gè)是控制器程序，當(dāng)你的計(jì)算機(jī)運(yùn)行了服務(wù)器程序后，黑客就可以使用控制器程序進(jìn)入你的計(jì)算機(jī)，通過指揮服務(wù)器程序達(dá)到控制你的計(jì)算機(jī)的目的。如證券大盜(Trojan/PSW.Soufan)第五十頁，共一百三十七頁，2022年，8月28日(1)木馬可能造成的危害如下：可以從受害者的硬盤上查看、刪除、移動、上傳、下載、執(zhí)行任何文件。這個(gè)文件管理功能是非常危險(xiǎn)的。它可以使用戶上傳任何類型的文件，甚至是病毒、其它的特洛伊木馬等，然后再運(yùn)行它們?？梢苑浅：唵蔚匕咽芎φ叩挠脖P格式化。可以在受害者硬盤上打開一個(gè)FTP服務(wù)，并且設(shè)置一個(gè)指定端口，任何人都可以在你的機(jī)器上下載、上傳、執(zhí)行文件。大多數(shù)的新的特洛伊木馬有竊取受害者的隱藏密碼的功能，包括撥號的密碼和用戶名。第五十一頁，共一百三十七頁，2022年，8月28日

(2)通用手工清除木馬方法木馬的種類也很多，由于運(yùn)行機(jī)理相差不大，所以對它們的查殺方法也都差不多，我們不再詳述每種木馬的清除方法，只告訴你應(yīng)該遵循的步驟，這些步驟幾乎對所有的木馬都有效。①編輯win.ini文件，將[WINDOWS]下面的“run=木馬程序”或“l(fā)oad=木馬程序”更改為“run=”和“l(fā)oad=”；②編輯system.ini文件，將[BOOT]下面的“shell=木馬文件”更改為：“shell=explorer.exe”；第五十二頁，共一百三十七頁，2022年，8月28日③用regedit對注冊表進(jìn)行編輯，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名，再在整個(gè)注冊表中搜索并替換掉“木馬”程序；④有時(shí)候還需注意的是：有的“木馬”程序并不是直接將“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木馬”鍵值刪除就行了，因?yàn)橛械摹澳抉R”(如BladeRunner“木馬”)，如果你刪除它，“木馬”會立即自動加上，這時(shí)你需要的是記下“木馬”的名字與目錄；然后退回到MS-DOS下，找到此“木馬”文件并刪除掉。重新啟動計(jì)算機(jī)，然后再到注冊表中將所有“木馬”文件的鍵值刪除。第五十三頁，共一百三十七頁，2022年，8月28日

“沖擊波”蠕蟲病毒電腦病毒“沖擊波”（WORM_MSBlast.A）是一種蠕蟲病毒，它利用微軟操作系統(tǒng)的RPCDCOM緩沖溢出漏洞進(jìn)行傳播。它會從已經(jīng)被感染的計(jì)算機(jī)上下載能夠進(jìn)行自我復(fù)制的文件，然后隨操作系統(tǒng)啟動而自動運(yùn)行。電腦病毒會自動檢查當(dāng)前電腦是否聯(lián)網(wǎng)。如果沒有連接，蠕蟲每隔10秒就對互聯(lián)網(wǎng)連接進(jìn)行一次檢查。用戶電腦一旦聯(lián)網(wǎng)，電腦病毒會自動掃描互聯(lián)網(wǎng)，攻擊其他聯(lián)網(wǎng)計(jì)算機(jī)。在1月至8月的16日至31日以及9月至12月的任意一天，病毒還會對微軟的一個(gè)升級網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過這一網(wǎng)站升級系統(tǒng)，令更多的系統(tǒng)漏洞無法打補(bǔ)丁。第五十四頁，共一百三十七頁，2022年，8月28日染病癥狀受到感染的計(jì)算機(jī)中Word、Excel、Powerpoint等文件無法正常運(yùn)行，彈出找不到鏈接文件的對話框，“粘貼”等一些功能無法正常使用，計(jì)算機(jī)出現(xiàn)反復(fù)重新啟動等現(xiàn)象。系統(tǒng)資源被大量占用，有時(shí)會彈出RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟,不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。下面是彈出RPC服務(wù)終止的對話框的現(xiàn)象：第五十五頁，共一百三十七頁，2022年，8月28日第五十六頁，共一百三十七頁，2022年，8月28日而在263郵箱，一直顯示“系統(tǒng)忙”。一些媒體和企事業(yè)單位，以及一些依靠網(wǎng)絡(luò)生存的網(wǎng)吧的網(wǎng)絡(luò)都受到感染。廣州市內(nèi)數(shù)十家網(wǎng)吧，發(fā)現(xiàn)雖然大部分網(wǎng)吧及時(shí)下載了針對該病毒的補(bǔ)丁，但是仍有一些因消息遲緩而感染了“沖擊波”，損失慘重。據(jù)國內(nèi)著名殺毒軟件廠商江民公司估計(jì)，這次“沖擊波”在全球造成的損失可能將超過12億美元以上。第五十七頁，共一百三十七頁，2022年，8月28日“沖擊波”病毒利用了微軟WinME以上操作系統(tǒng)中一個(gè)被廣泛使用的功能的缺陷。微軟公司曾經(jīng)在7月21日向社會公布了這一缺陷，并發(fā)布了補(bǔ)丁軟件。據(jù)有關(guān)專家介紹，這種病毒中有包含有兩段文字信息，一段與微軟公司的創(chuàng)始人比爾·蓋茨有關(guān)：“BillyGateswhydoyoumakethisposs-ible？Stopmakingmoneyandfixyoursoftware！！”（比爾·蓋茨，你為什么使得這一切成為可能？停止賺錢來好好修正你的軟件吧?。。?；另一段信息則是該蠕蟲病毒的作者對另一個(gè)人的問候，這也為司法機(jī)關(guān)抓住病毒作者提供了線索。第五十八頁，共一百三十七頁，2022年，8月28日解“毒”方法除及時(shí)安裝和升級防病毒軟件以外，專家還提供了兩種解決方法：一是安裝微軟提供的補(bǔ)丁?？梢缘卿浘W(wǎng)址網(wǎng)頁查看該漏洞的信息，并下載RPC的補(bǔ)丁程序。第五十九頁，共一百三十七頁，2022年，8月28日查看電腦是否中毒，具體方法為：查看操作系統(tǒng)的安裝目錄中是否存在一個(gè)名為：msblast.exe的文件，如果存在，則證明已經(jīng)中了該病毒。病毒震蕩波(I-Worm/Sasser)類似沖擊波也是網(wǎng)絡(luò)(非郵件)傳播第六十頁，共一百三十七頁，2022年，8月28日IE恢復(fù)當(dāng)IE被惡意網(wǎng)頁修改了默認(rèn)網(wǎng)址后，我們通常的做法都是以該惡意網(wǎng)址為對象搜索注冊表后刪除注冊表內(nèi)的相關(guān)鍵值，或者用第三方的IE恢復(fù)工具來還原IE。但隨著網(wǎng)頁制作水平的發(fā)展，我發(fā)現(xiàn)了另一種狡猾的篡改IE默認(rèn)值的方法前幾日上網(wǎng)后發(fā)現(xiàn)每次啟動IE都會被引導(dǎo)到一個(gè)不希望去的網(wǎng)站，因此使用了上述的方法，可是每當(dāng)重啟機(jī)器就會發(fā)現(xiàn)該惡意網(wǎng)址又被自動加載了。既然刪除后IE恢復(fù)正常，而啟動后又被改寫第六十一頁，共一百三十七頁，2022年，8月28日由此推斷該網(wǎng)址一定是在啟動時(shí)被加載的，于是運(yùn)行msconfig，當(dāng)查看了啟動選項(xiàng)頁后發(fā)現(xiàn)了可疑的的啟動項(xiàng)目“regedit—sc＼windows＼win．dll”，看來是把這個(gè)dll文件導(dǎo)人了注冊表，接著按上面的網(wǎng)址進(jìn)windows目錄后用記事本打開了這個(gè)隱藏屬性的dll文件，好啊!果然不出我所料，這就是專門把我不希望去的網(wǎng)頁地址在啟動后加載到ie的注冊表導(dǎo)入文件，第六十二頁，共一百三十七頁，2022年，8月28日為了保險(xiǎn)起見，在msconfig內(nèi)把該項(xiàng)目的勾去掉就可以了，重啟電腦后ie又變得白白凈凈了。每個(gè)惡意網(wǎng)站用的修改文件可能采用不同名字的文件，但只要我們知道了它的運(yùn)行機(jī)制，還原其實(shí)非常簡單。第六十三頁，共一百三十七頁，2022年，8月28日優(yōu)點(diǎn)局限性防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤報(bào)警，緩慢攻擊，新的攻擊模式Scanner簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防病毒針對文件與郵件，產(chǎn)品成熟功能單一小結(jié)網(wǎng)絡(luò)安全工具的特點(diǎn)第六十四頁，共一百三十七頁，2022年，8月28日電子郵件本身是無毒的，但它的內(nèi)容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當(dāng)用Unix智能終端上網(wǎng)查看電子郵件時(shí)，有被侵入的可能電子郵件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計(jì)算機(jī)病毒利用某些電子郵件收發(fā)器特有的擴(kuò)充功能利用某些操作系統(tǒng)所特有的功能超大的電子郵件、電子郵件炸彈也可以認(rèn)為是一種電子郵件計(jì)算機(jī)病毒電子郵件病毒第六十五頁，共一百三十七頁，2022年，8月28日網(wǎng)絡(luò)病毒/蠕蟲病毒感染對象和傳播途徑 網(wǎng)絡(luò)病毒主要通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的計(jì)算機(jī)。使用的主要技術(shù) 通過網(wǎng)絡(luò)利用電子郵件、系統(tǒng)漏洞、共享、弱口令等各種途徑傳播。第六十六頁，共一百三十七頁，2022年，8月28日網(wǎng)絡(luò)病毒/蠕蟲病毒破壞行為占用系統(tǒng)資源導(dǎo)致系統(tǒng)不穩(wěn)定影響系統(tǒng)安全性保護(hù)方法不執(zhí)行電子郵件附件程序及時(shí)更新系統(tǒng)補(bǔ)丁使用防病毒軟件著名的此類病毒HAPPY99梅麗莎病毒尼姆達(dá)病毒沖擊波殺手第六十七頁，共一百三十七頁，2022年，8月28日蠕蟲（WORM）病毒是通過分布式網(wǎng)絡(luò)來擴(kuò)散特定的信息或錯誤的，進(jìn)而造成網(wǎng)絡(luò)服務(wù)器遭到拒絕并發(fā)生死鎖蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等蠕蟲病毒第六十八頁，共一百三十七頁，2022年，8月28日蠕蟲病毒新的特性傳染方式多傳播速度快清除難度大破壞性強(qiáng)第六十九頁，共一百三十七頁，2022年，8月28日蠕蟲病毒與一般病毒的異同普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)第七十頁，共一百三十七頁，2022年，8月28日蠕蟲的破壞和發(fā)展趨勢病毒名稱持續(xù)時(shí)間造成損失莫里斯蠕蟲1988年6000多臺計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬美元!美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟(jì)損失超過12億美元!愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元Sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過26億美元第七十一頁，共一百三十七頁，2022年，8月28日利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進(jìn)行攻擊此類病毒主要是“紅色代碼”和“尼姆達(dá)”,以及至今依然肆虐的”求職信”等傳播方式多樣如“尼姆達(dá)”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等病毒制作技術(shù)新與傳統(tǒng)的病毒不同的是，許多新病毒是利用當(dāng)前最新的編程語言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索與黑客技術(shù)相結(jié)合潛在的威脅和損失更大以紅色代碼為例,感染后的機(jī)器的web目錄的\scripts下將生成一個(gè)root.exe,可以遠(yuǎn)程執(zhí)行任何命令,從而使黑客能夠再次進(jìn)入蠕蟲發(fā)作的一些特點(diǎn)和發(fā)展趨勢

第七十二頁，共一百三十七頁，2022年，8月28日蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞軟件上的缺陷如遠(yuǎn)程溢出，微軟ie和outlook的自動執(zhí)行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級軟件

人為的缺陷主要是指的是計(jì)算機(jī)用戶的疏忽蠕蟲病毒第七十三頁，共一百三十七頁，2022年，8月28日MYDOOM的工作原理W32.Novarg.A@mm[Symantec]，受影響系統(tǒng):Win9x/NT/2K/XP/20031、創(chuàng)建如下文件：%System%shimgapi.dll%temp%Message，這個(gè)文件由隨機(jī)字母通組成。%System%taskmon.exe,如果此文件存在，則用病毒文件覆蓋。2、Shimgapi.dll的功能是在被感染的系統(tǒng)內(nèi)創(chuàng)建代理服務(wù)器，并開啟3127到3198范圍內(nèi)的TCP端口進(jìn)行監(jiān)聽；3、添加如下注冊表項(xiàng)，使病毒可隨機(jī)啟動，并存儲病毒的活動信息。4、對實(shí)施拒絕服務(wù)（DoS)攻擊,創(chuàng)建64個(gè)線程發(fā)送GET請求，這個(gè)DoS攻擊將從2004年2月1延續(xù)到2004年2月12日；5、在如下后綴的問中搜索電子郵件地址，但忽略以.edu結(jié)尾的郵件地址：.htm.sht.php.asp.dbx.tbb.adb.pl.wab.txt等；6、使用病毒自身的SMTP引擎發(fā)送郵件，他選擇狀態(tài)良好的服務(wù)器發(fā)送郵件，如果失敗，則使用本地的郵件服務(wù)器發(fā)送；7、郵件內(nèi)容如下：From:可能是一個(gè)欺騙性的地址；主題:hi/hello等。第七十四頁，共一百三十七頁，2022年，8月28日攻擊的是微軟數(shù)據(jù)庫系MicrosoftSQLServer2000的利用了MSSQL2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞此蠕蟲病毒本身除了對網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施但如果病毒編寫者在編寫病毒的時(shí)候加入破壞代碼,后果將不堪設(shè)想sql蠕蟲

第七十五頁，共一百三十七頁，2022年，8月28日紅色代碼(Codered)病毒病毒利用IIS的.ida漏洞進(jìn)入系統(tǒng)并獲得SYSTEM權(quán)限該蠕蟲感染運(yùn)行MicrosoftIndexServer2.0的系統(tǒng)，或是在Windows2000、IIS中啟用了IndexingService(索引服務(wù))的系統(tǒng)，該蠕蟲利用了一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播（未加限制的IndexServerISAPIExtension緩沖區(qū)使WEB服務(wù)器變的不安全）(微軟在2001年6月份已發(fā)布修復(fù)程序MS01-033)病毒產(chǎn)生100個(gè)新的線程99個(gè)線程用于感染其它的服務(wù)器第100個(gè)線程用于檢查本機(jī),并修改當(dāng)前首頁在7/20/01時(shí)所有被感染的機(jī)器回參與對白宮網(wǎng)站的自動攻擊.蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件第七十六頁，共一百三十七頁，2022年，8月28日求職信病毒該程序具有罕見的雙程序結(jié)構(gòu)分為蠕蟲部分（網(wǎng)絡(luò)傳播）和病毒部分（感染文件，破壞文件）兩者在代碼上是獨(dú)立的兩部分，可能也是分開編寫的兩者的結(jié)合方式非常有趣，作者先是寫好蠕蟲部分，然后將病毒部分的二進(jìn)制碼在特定位置加進(jìn)蠕蟲部分，得到最終的病毒/蠕蟲程序第七十七頁，共一百三十七頁，2022年，8月28日尼姆達(dá)病毒第七十八頁，共一百三十七頁，2022年，8月28日Nimda病毒該病毒影響運(yùn)行Windows95,98,ME,NT和2000的客戶端和服務(wù)器通過Email傳播通過網(wǎng)絡(luò)共享傳播通過瀏覽器傳播通過主動掃描未打補(bǔ)丁的IIS服務(wù)器進(jìn)行傳播

攜帶該病毒的郵件的包含兩部分第七十九頁，共一百三十七頁，2022年，8月28日Nimada的工作原理4種不同的傳播方式IE瀏覽器:利用IE的一個(gè)安全漏洞

(微軟在2001年3月份已發(fā)布修復(fù)程序MS01-020)IIS服務(wù)器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復(fù)程序和解決方案)電子郵件附件:

(已被使用過無數(shù)次的攻擊方式)文件共享:針對所有未做安全限制的共享第八十頁，共一百三十七頁，2022年，8月28日蠕蟲病毒對于個(gè)人用戶而言，威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網(wǎng)頁等等第八十一頁，共一百三十七頁，2022年，8月28日對于利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(xué)(SocialEngineering),即以各種各樣的欺騙手段那誘惑用戶點(diǎn)擊的方式進(jìn)行傳播惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁中，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時(shí)，病毒就會發(fā)作對個(gè)人用戶產(chǎn)生直接威脅的蠕蟲病毒第八十二頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象第八十三頁，共一百三十七頁，2022年，8月28日平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)操作系統(tǒng)無法正常啟動運(yùn)行速度明顯變慢以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤打印和通訊發(fā)生異常無意中要求對軟盤進(jìn)行寫操作以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化運(yùn)行Word，打開Word文檔后，該文件另存時(shí)只能以模板方式保存磁盤空間迅速減少網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來的電子郵件自動鏈接到一些陌生的網(wǎng)站計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象第八十四頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象提示一些不相干的話發(fā)出一段的音樂產(chǎn)生特定的圖象硬盤燈不斷閃爍進(jìn)行游戲算法

Windows桌面圖標(biāo)發(fā)生變化計(jì)算機(jī)突然死機(jī)或重啟自動發(fā)送電子郵件鼠標(biāo)自己在動第八十五頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象部分文檔自動加密碼修改Autoexec.bat文件，增加FormatC：使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞

文件目錄發(fā)生混亂

部分文檔丟失或被破壞

第八十六頁，共一百三十七頁，2022年，8月28日常見的病毒防治技術(shù)病毒碼掃描法加總比對法(Check-sum)人工智能陷阱(Rule-based)軟件仿真掃描法VICE(VirusInstructionCodeEmulation)先知掃描法實(shí)時(shí)的I/O掃描(RealtimeI/OScan)宏病毒陷阱(MacroTrapTM)空中抓毒(OntheflyTM)第八十七頁，共一百三十七頁，2022年，8月28日是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行比較法的好處是簡單、方便，不需專用軟件。缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱比較法

第八十八頁，共一百三十七頁，2022年，8月28日根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否感染了計(jì)算機(jī)病毒這種技術(shù)可偵測到各式的計(jì)算機(jī)病毒，但最大的缺點(diǎn)就是誤判斷高，且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對于隱形計(jì)算機(jī)病毒也無法偵測到加總比對法

第八十九頁，共一百三十七頁，2022年，8月28日搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描搜索法

第九十頁，共一百三十七頁，2022年，8月28日分析的步驟分為靜態(tài)分析和動態(tài)分析兩種靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令后程序清單后進(jìn)行分析動態(tài)分析則是指利用DEBUG等調(diào)試工具在內(nèi)存帶毒的情況下，對計(jì)算機(jī)病毒做動態(tài)跟蹤，觀察計(jì)算機(jī)病毒的具體工作過程，以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒工作的原理分析法

第九十一頁，共一百三十七頁，2022年，8月28日人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)人工智能陷阱是一種監(jiān)測計(jì)算機(jī)行為的常駐式掃描技術(shù)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)第九十二頁，共一百三十七頁，2022年，8月28日軟件仿真掃描法該技術(shù)專門用來對付多態(tài)變形計(jì)算機(jī)病毒（Polymorphic/MutationVirus）先知掃描法先知掃描技術(shù)（VICE，VirusInstructionCodeEmulation）是繼軟件仿真后的一大技術(shù)上突破。既然軟件仿真可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)，仿真CPU動作并偽執(zhí)行程序以解開多態(tài)變形計(jì)算機(jī)病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序，檢查可疑的計(jì)算機(jī)病毒代碼掃描法

第九十三頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒防護(hù)體系的建設(shè)計(jì)算機(jī)病毒防御體系計(jì)算機(jī)病毒預(yù)防機(jī)制計(jì)算機(jī)病毒快速響應(yīng)機(jī)制計(jì)算機(jī)病毒防御技術(shù)體系第九十四頁，共一百三十七頁，2022年，8月28日

a制定計(jì)劃：了解在你所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。

b調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。

c測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。

d維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進(jìn)行升級，徹底理解這種防病毒系統(tǒng)的重要方面。

e系統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個(gè)網(wǎng)絡(luò)范圍內(nèi)。

防病毒軟件的布署和管理第九十五頁，共一百三十七頁，2022年，8月28日系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，不使泄漏，不定期地予以更換，保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法存取，不被感染上計(jì)算機(jī)病毒或遭受破壞在安裝應(yīng)用程序軟件時(shí)，應(yīng)由系統(tǒng)管理員進(jìn)行，或由系統(tǒng)管理員臨時(shí)授權(quán)進(jìn)行系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲區(qū)域和用戶卷應(yīng)定期進(jìn)行計(jì)算機(jī)病毒掃描，發(fā)現(xiàn)異常情況及時(shí)處理網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)做好日常管理事務(wù)的同時(shí)，還要準(zhǔn)備應(yīng)急措施，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒感染跡象

系統(tǒng)管理員的職責(zé)第九十六頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒防護(hù)體系的建設(shè)計(jì)算機(jī)病毒的預(yù)防機(jī)制管理領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制技術(shù)領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制第九十七頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒防護(hù)體系的建設(shè)管理領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制計(jì)算機(jī)使用人員的培訓(xùn)，特別是客戶端計(jì)算機(jī)使用人員的基礎(chǔ)安全培訓(xùn)，“不怕一萬，就怕萬一”，一定要具備正確的防病毒意識制定計(jì)算機(jī)病毒的相關(guān)規(guī)章制度，加大執(zhí)行力度將具體責(zé)任落實(shí)到人對于重要的系統(tǒng)信息、重要的用戶數(shù)據(jù)、重要的系統(tǒng)參數(shù)等都要經(jīng)常進(jìn)行備份與安全廠商充分合作，及時(shí)交流第九十八頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒防護(hù)體系的建設(shè)技術(shù)領(lǐng)域的計(jì)算機(jī)病毒預(yù)防機(jī)制企業(yè)防病毒技術(shù)體系的規(guī)劃病毒和安全問題預(yù)警補(bǔ)丁自動分發(fā)系統(tǒng)第九十九頁，共一百三十七頁，2022年，8月28日計(jì)算機(jī)病毒防護(hù)體系的建設(shè)企業(yè)防病毒技術(shù)體系的規(guī)劃單機(jī)防病毒網(wǎng)絡(luò)防病毒網(wǎng)關(guān)防病毒病毒追查第一百頁，共一百三十七頁，2022年，8月28日單機(jī)病毒防御單機(jī)病毒防御是傳統(tǒng)防御模式，作為固守網(wǎng)絡(luò)終端的最后防線。單機(jī)防御對于廣大家庭用戶、小型網(wǎng)絡(luò)用戶無論是在效果、管理、實(shí)用價(jià)值上都有意義的：阻止來自軟盤、光盤、共享文件、互聯(lián)網(wǎng)的病毒入侵，進(jìn)行重要數(shù)據(jù)備份等其他功能，防護(hù)單臺計(jì)算機(jī)。第一百零一頁，共一百三十七頁，2022年，8月28日判斷引導(dǎo)扇區(qū)是否感染病毒

先用可疑磁盤引導(dǎo)計(jì)算機(jī)用硬盤引導(dǎo)計(jì)算機(jī)機(jī)器在運(yùn)行過程中運(yùn)行一會兒被修改為缺省的時(shí)間、日期CMOS中軟盤設(shè)定情況為None無法訪問硬盤如C：Windows95/98經(jīng)常無法啟動第一百零二頁，共一百三十七頁，2022年，8月28日預(yù)防引導(dǎo)型病毒

堅(jiān)持從不帶計(jì)算機(jī)病毒的硬盤引導(dǎo)系統(tǒng)安裝能夠?qū)崟r(shí)監(jiān)控引導(dǎo)扇區(qū)的防殺計(jì)算機(jī)病毒軟件經(jīng)常備份系統(tǒng)引導(dǎo)扇區(qū)VirusProtect第一百零三頁，共一百三十七頁，2022年，8月28日在用未感染計(jì)算機(jī)病毒的DOS啟動軟盤引導(dǎo)后，對同一目錄列目錄（DIR）后文件的總長度與通過硬盤啟動后所列目錄內(nèi)文件總長度不一樣，則該目錄下的某些文件已被計(jì)算機(jī)病毒感染，因?yàn)樵趲Ф经h(huán)境下，文件的長度往往是不真實(shí)的有些文件型計(jì)算機(jī)病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同時(shí)也感染系統(tǒng)的引導(dǎo)扇區(qū)，如果磁盤的引導(dǎo)扇區(qū)被莫名奇妙地破壞了，則磁盤上也有可能有文件型計(jì)算機(jī)病毒判別文件型病毒第一百零四頁，共一百三十七頁，2022年，8月28日系統(tǒng)文件長度發(fā)生變化，則這些系統(tǒng)文件上很有可能含有計(jì)算機(jī)病毒代碼計(jì)算機(jī)在運(yùn)行過外來軟件后，經(jīng)常死機(jī)，或者Windows95/98無法正常啟動，運(yùn)行經(jīng)常出錯，等等，都有可能是感染上了文件型計(jì)算機(jī)病毒微機(jī)速度明顯變慢，曾經(jīng)正常運(yùn)行的軟件報(bào)內(nèi)存不足，或計(jì)算機(jī)無法正常打印，這些現(xiàn)象都有可能感染上文件型計(jì)算機(jī)病毒有些帶毒環(huán)境下，文件的長度和正常的完全一樣，但是從帶有寫保護(hù)的軟盤拷貝文件時(shí)，會提示軟盤帶有寫保護(hù)，這肯定是感染了計(jì)算機(jī)病毒

判別文件型病毒第一百零五頁，共一百三十七頁，2022年，8月28日對于文件型計(jì)算機(jī)病毒的防范，一般采用以下一些方法安裝最新版本的、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防殺計(jì)算機(jī)病毒軟件及時(shí)更新查殺計(jì)算機(jī)病毒引擎，一般要保證每月至少更新一次，有條件的可以每周更新一次，并在有計(jì)算機(jī)病毒突發(fā)事件的時(shí)候及時(shí)更新經(jīng)常使用防殺計(jì)算機(jī)病毒軟件對系統(tǒng)進(jìn)行計(jì)算機(jī)病毒檢查防范文件型病毒（一）第一百零六頁，共一百三十七頁，2022年，8月28日對關(guān)鍵文件，如系統(tǒng)文件、保密的數(shù)據(jù)等等，在沒有計(jì)算機(jī)病毒的環(huán)境下經(jīng)常備份在不影響系統(tǒng)正常工作的情況下對系統(tǒng)文件設(shè)置最低的訪問權(quán)限，以防止計(jì)算機(jī)病毒的侵害當(dāng)使用Windows95/98/2000/NT操作系統(tǒng)時(shí)，修改文件夾窗口中的確省屬性防范文件型病毒（二）第一百零七頁，共一百三十七頁，2022年，8月28日在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就極可能是感染了宏病毒了，因?yàn)镹ormal模板中是不包含這些宏的在使用的Word“工具”菜單中看不到“宏”這個(gè)字，或看到“宏”但光標(biāo)移到“宏”，鼠標(biāo)點(diǎn)擊無反應(yīng)，這種情況肯定有宏病毒判別宏病毒的方法（一）第一百零八頁，共一百三十七頁，2022年，8月28日通過以下方法可以判別宏病毒打開一個(gè)文檔，不進(jìn)行任何操作，退出Word，如提示存盤，這極可能是Word中的Normal.dot模板中帶宏病毒打開以DOC為后綴的文檔文件在另存菜單中只能以模板方式存盤，也可能帶有Word宏病毒在運(yùn)行Word過程中經(jīng)常出現(xiàn)內(nèi)存不足，打印不正常，也可能有宏病毒在運(yùn)行Word97時(shí)，打開DOC文檔出現(xiàn)是否啟動“宏”的提示，該文檔極可能帶有宏病毒判別宏病毒的方法（二）第一百零九頁，共一百三十七頁，2022年，8月28日對宏病毒的預(yù)防是完全可以做到的，只要在使用Office套裝軟件之前進(jìn)行一些正確的設(shè)置，就基本上能夠防止宏病毒的侵害

在Word中打開“選項(xiàng)”中的“宏病毒防護(hù)”和“提示保存Normal模板”等在Excel中選擇“工具”菜單中的“選項(xiàng)”命令，在“常規(guī)”中選中“宏病毒防護(hù)功能”。在PowerPoint中選擇“工具”菜單中的“選項(xiàng)”命令，在“常規(guī)”中選中“宏病毒防護(hù)”

其他防范文件型計(jì)算機(jī)病毒所做的工作預(yù)防宏病毒第一百一十頁，共一百三十七頁，2022年，8月28日局域網(wǎng)病毒防御整體上,根據(jù)網(wǎng)絡(luò)操作系統(tǒng)使用情況，局域網(wǎng)服務(wù)器必須配備相應(yīng)防病毒軟件，基于UNIX/LINUX、Windows/98NT/2000、及dos等平臺操作系統(tǒng)的軟件，全方位的防衛(wèi)病毒的入侵。第一百一十一頁，共一百三十七頁，2022年，8月28日安裝網(wǎng)絡(luò)服務(wù)器時(shí)應(yīng)保證沒有計(jì)算機(jī)病毒存在，即安裝環(huán)境和網(wǎng)絡(luò)操作系統(tǒng)本身沒有感染計(jì)算機(jī)病毒在安裝網(wǎng)絡(luò)服務(wù)器時(shí)，應(yīng)將文件系統(tǒng)劃分成多個(gè)文件卷系統(tǒng)，至少劃分成操作系統(tǒng)卷、共享的應(yīng)用程序卷和各個(gè)網(wǎng)絡(luò)用戶可以獨(dú)占的用戶數(shù)據(jù)卷一定要用硬盤啟動網(wǎng)絡(luò)服務(wù)器，否則在受到引導(dǎo)型計(jì)算機(jī)病毒感染和破壞后，遭受損失的將不是一個(gè)人的機(jī)器，而會影響到整個(gè)網(wǎng)絡(luò)的中樞為各個(gè)卷分配不同的用戶權(quán)限在網(wǎng)絡(luò)服務(wù)器上必須安裝真正有效的防殺計(jì)算機(jī)病毒軟件，并經(jīng)常進(jìn)行升級局域網(wǎng)病毒防御第一百一十二頁，共一百三十七頁，2022年，8月28日第一百一十三頁，共一百三十七頁，2022年，8月28日局域網(wǎng)病毒防御在規(guī)模局域網(wǎng)內(nèi)配備網(wǎng)絡(luò)防病毒管理平臺，如在網(wǎng)管中心中，配備病毒集中監(jiān)控中心，集中管理整個(gè)網(wǎng)絡(luò)的病毒疫情，在各分支網(wǎng)絡(luò)也配備監(jiān)控中心，以提供整體防病毒策略配置，病毒集中監(jiān)控，災(zāi)難恢復(fù)等管理功能，工作站、服務(wù)器較多的網(wǎng)絡(luò)可配備軟件自動分發(fā)中心，以減輕網(wǎng)絡(luò)管理人員的工作量。第一百一十四頁，共一百三十七頁，2022年，8月28日第一百一十五頁，共一百三十七頁，2022年，8月28日防范蠕蟲病毒對于局域網(wǎng)而言，可以采用以下一些主要手段在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外對郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播對局域網(wǎng)用戶進(jìn)行安全培訓(xùn)建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級，各種常用的應(yīng)用軟件升級，各種殺毒軟件病毒庫的升級等等第一百一十六頁，共一百三十七頁，2022年，8月28日購買合適的殺毒軟件經(jīng)常升級病毒庫,以便能夠查殺最新的病毒!提高防殺毒意識，不要輕易去點(diǎn)擊陌生的站點(diǎn)不隨意查看陌生郵件，尤其是帶有附件的郵件個(gè)人用戶對蠕蟲病毒的防范措施第一百一十七頁，共一百三十七頁，2022年，8月28日廣域網(wǎng)絡(luò)病毒防御在局域網(wǎng)病毒防御的基礎(chǔ)上構(gòu)建廣域網(wǎng)總部病毒報(bào)警查看系統(tǒng)，監(jiān)控本地、遠(yuǎn)程異地局域網(wǎng)病毒防御情況，統(tǒng)計(jì)分析整個(gè)集團(tuán)網(wǎng)絡(luò)的病毒爆發(fā)種類、發(fā)生頻度、易發(fā)生源等信息。廣域網(wǎng)病毒防御策略是基于三級管理模式：單機(jī)終端殺毒-局域網(wǎng)集中監(jiān)控-廣域網(wǎng)總部管理（下圖）。第一百一十八頁，共一百三十七頁，2022年，8月28日第一百一十九頁，共一百三十七頁，2022年，8月28日郵件網(wǎng)關(guān)病毒防御政府機(jī)關(guān)、軍隊(duì)、金融、及科研院校等機(jī)構(gòu)辦公自動化（OA）系統(tǒng)中的郵件服務(wù)器作為內(nèi)部網(wǎng)絡(luò)用戶郵件的集中地和發(fā)散地，也成為病毒郵件、垃圾郵件進(jìn)出的門戶，如果能夠在網(wǎng)絡(luò)入口處將郵件病毒、郵件垃圾截殺掉，則可以確保內(nèi)部網(wǎng)絡(luò)用戶收到安全無病毒的郵件。郵件網(wǎng)關(guān)防毒系統(tǒng)放置在郵件網(wǎng)關(guān)入口處，接收來自外部的郵件，對病毒、不良郵件（如帶有色情、政治反動色彩）等進(jìn)行過濾，處理完畢后再將安全郵件轉(zhuǎn)發(fā)至郵件服務(wù)器，全面保護(hù)內(nèi)部網(wǎng)絡(luò)用戶的電子郵件安全。第一百二十頁，共一百三十七頁，2022年，8月28日不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序不要輕易打開附件中的文檔文件對于文件擴(kuò)展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開如果是使用Outlook作為收發(fā)電子郵件軟件的話，應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置對于使用Windows98操作系統(tǒng)的計(jì)算機(jī)，在“控制面板”中的“添加/刪除程序”中選擇檢查一下是否安裝了WindowsScriptingHost對于自己往外傳送的附件，也一定要仔細(xì)檢查，確定無毒后，才可發(fā)送

預(yù)防電子郵件病毒的方法第一百二十一頁，共一百三十七頁，2022年，8月28日防火墻聯(lián)動防御在網(wǎng)絡(luò)出口處設(shè)置了有效的病毒過濾系統(tǒng)，防火墻將數(shù)據(jù)提交給網(wǎng)關(guān)殺毒系統(tǒng)進(jìn)行檢查，如有病毒入侵，網(wǎng)關(guān)防毒系統(tǒng)將通知防火墻立刻阻斷病毒攻擊的IP。同步查毒，幾乎不影響網(wǎng)絡(luò)帶寬，此種過濾方式能夠過濾多種數(shù)據(jù)庫和郵件中病毒。利用防火墻實(shí)時(shí)分離數(shù)據(jù)報(bào)，交給網(wǎng)關(guān)專用病毒處理器處理，如果是病毒見阻塞病毒傳播。這種防病毒系統(tǒng)能減少大量病毒傳播機(jī)會，能讓用戶放心上網(wǎng)。網(wǎng)關(guān)殺毒是殺毒軟防火墻技術(shù)的完美結(jié)合，是網(wǎng)絡(luò)多種安全產(chǎn)品協(xié)同工作一種全新方式第一百二十二頁，共一百三十七頁，2022年，8月28日升級軟件自動更新站點(diǎn)主下載服務(wù)器接收接收Doswindows3.xwindows95/98Windows95/98windowsNTworkstationNT服務(wù)器和工作站在收到