新版計算機病毒防治技術

目錄8.2計算機病毒組成與傳輸28.3計算機病毒檢測去除與防范38.4惡意軟件危害與去除4

8.1計算機病毒概述1

8.5瑞星云安全軟件應用試驗58.6本章小結(jié)6新版計算機病毒防治技術第1頁目錄教學目標●掌握計算機病毒概念、產(chǎn)生、特點及種類●掌握計算機病毒組成、傳輸、觸發(fā)以及新型病毒實例●掌握計算機病毒與木馬程序檢測、去除與防范方法●了解惡意軟件危害與去除方法●了解瑞星云安全軟件應用新版計算機病毒防治技術第2頁8.1計算機病毒概述8.1.1計算機病毒概念及產(chǎn)生1.計算機病毒概念

計算機病毒（ComputerVirus），通常是指能夠破壞計算機正常工作、人為編制一組計算機指令或程序。依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，對計算機病毒定義要求以下：“計算機病毒，是指編制或者在計算機程序中插入破壞計算機功效或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制一組計算機指令或者程序代碼?！?.計算機病毒產(chǎn)生1983年11月3日，就讀南加州大學博士碩士弗雷德·科恩（FredCohen），在UNIX系統(tǒng)下，編寫了一個會自動復制，而且在計算機間進行傳染從而引發(fā)系統(tǒng)死機小程序。今后，科恩為了證實其理論而將這些程序以論文形式發(fā)表在學術研討會上，引發(fā)轟動。以前，即使有不少計算機教授都發(fā)出過計算機病毒可能會出現(xiàn)警告，但科恩才是真正經(jīng)過實踐讓計算機病毒具備破壞性概念詳細成形第一人。他一位教授將他編寫那段程序命名為“病毒（Virus）”。新版計算機病毒防治技術第3頁8.1計算機病毒概述8.1.2計算機病毒特點新版計算機病毒防治技術第4頁8.1計算機病毒概述案例8-1計算機病毒種類樣本

年上六個月，據(jù)江民反病毒中心、江民全球病毒監(jiān)測預警系統(tǒng)、江民客戶服務中心聯(lián)合統(tǒng)計數(shù)據(jù)，截止到年6月31日，共截獲新增各種計算機病毒（樣本）數(shù)總計（包含木馬、后門、廣告程序、間諜木馬、腳本病毒、漏洞病毒、蠕蟲病毒）7584737個，其中新增木馬（樣本）4454277個，新增后門（樣本）623791個，新增廣告程序（樣本）223639個，新增漏洞病毒（樣本）166359個，其它病毒（樣本）1063255個，各種新型病毒及變異還在不停改變。新版計算機病毒防治技術第5頁8.1計算機病毒概述8.1.3計算機病毒種類無害型病毒無害型病毒主要指對系統(tǒng)和數(shù)據(jù)無破壞目的病毒。此類病毒往往以畫面或聲音的形式使感染病毒的用戶知道其存在，并不會造成嚴重破壞。但通常此類病毒的存在會使CPU占用率大幅升高，增加系統(tǒng)負荷，降低其工作性能。典型的無害型病毒有臺灣一號病毒、維也納病毒等。危險型病毒危險型病毒是指會對系統(tǒng)和數(shù)據(jù)進行破壞，造成數(shù)據(jù)丟失，甚至整個計算機系統(tǒng)崩潰的一類計算機病毒。典型的危險型病毒有熊貓燒香病毒、極虎病毒等。毀滅型病毒毀滅型病毒會刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)，甚至是操作系統(tǒng)中重要的數(shù)據(jù)信息。除對軟件系統(tǒng)造成巨大程度破壞外，毀滅型病毒對硬件系統(tǒng)的破壞同樣不容忽視，顯示器、CPU、光驅(qū)、顯卡、主板、硬盤等都有可能成為其攻擊破壞的計算機硬件。1.依據(jù)病毒破壞程度劃分新版計算機病毒防治技術第6頁8.1計算機病毒概述2.依據(jù)病毒侵入操作系統(tǒng)劃分DOS病毒DOS病毒是指在DOS環(huán)境下運行、傳染的計算機病毒。由于計算機發(fā)展初期多為DOS操作系統(tǒng)，因此該病毒在目前普遍的Windows環(huán)境下發(fā)作的幾率很小。Windows病毒W(wǎng)indows病毒是指能感染W(wǎng)indows可執(zhí)行程序并可在Windows下運行的一類病毒。目前絕大部分用戶安裝的都是Windows系統(tǒng)，此類病毒不僅能感染W(wǎng)indows9X操作系統(tǒng)，更會感染安裝為WindowsNT操作系統(tǒng)的計算機。Linux等系統(tǒng)病毒此類病毒為針對Linux、Unix等操作系統(tǒng)開發(fā)的病毒。此類病毒受系統(tǒng)免疫力及用戶群數(shù)量影響，相對來說病毒量及發(fā)作率要小。新版計算機病毒防治技術第7頁3.依據(jù)病毒依附載體劃分引導區(qū)型病毒引導區(qū)型病毒是指以磁盤引導區(qū)或主引導區(qū)作為依附載體的病毒。該病毒在系統(tǒng)啟動過程中，入侵系統(tǒng)，并依附于內(nèi)存之中，達到監(jiān)視和控制整個系統(tǒng)的目的，隨時可以發(fā)作和進行傳染。文件型病毒文件型病毒以其數(shù)量多，傳播廣的特點，成為計算機病毒中最為常見的一類病毒。此類病毒依托于系統(tǒng)中各種類型的文件，對宿主文件進行篡改，一旦運行則激活病毒發(fā)作。復合型病毒復合型病毒兼具引導區(qū)型病毒和文件型病毒兩類病毒的特點。該病毒利用系統(tǒng)漏洞感染正常的如可執(zhí)行文件、本地網(wǎng)頁文件、電子郵件等，同時又感染引導區(qū)。例如，“艾妮”復合型病毒。宏病毒宏病毒是一類以文檔或模板的宏為傳播載體的計算機病毒。宏病毒影響對文檔的各種操作。打開帶有宏的文檔，病毒就會立即發(fā)作，并留置在模板中。通過該模板打開的文檔或自動保存的文檔會立刻被傳染上宏病毒。蠕蟲病毒蠕蟲病毒雖不用將自身依附于宿主程序，但此類病毒需要通過網(wǎng)絡這個載體進行復制和傳播。其主要傳染途徑有網(wǎng)絡共享文件、電子郵件、惡意網(wǎng)頁、存在著漏洞的服務器等。8.1計算機病毒概述新版計算機病毒防治技術第8頁8.1.4計算機中毒異常現(xiàn)象表8-1計算機感染病毒常見現(xiàn)象非連網(wǎng)狀態(tài)下連網(wǎng)狀態(tài)下無法開機不能上網(wǎng)計算機藍屏殺毒軟件不能正常升級開機開啟速度變慢自動彈出多個網(wǎng)頁系統(tǒng)運行速度慢非連網(wǎng)狀態(tài)下一切異?，F(xiàn)象無法找到硬盤分區(qū)（以下類似不連網(wǎng)情形）開機后彈出異常提醒信息或聲音文件名稱、擴展名、日期以及屬性等被非人為更改過數(shù)據(jù)非常規(guī)丟失或損壞無法打開、讀取、操作文件硬盤存放空間意外變小計算機無故死機或自動重啟CPU利用率靠近100%或內(nèi)存占用值居高不下計算機自動關機課堂討論1.什么是計算機病毒？2.計算機病毒含有什么經(jīng)典特征？3.計算機感染病毒異常現(xiàn)象有哪些？8.1計算機病毒概述新版計算機病毒防治技術第9頁8.2計算機病毒組成與傳輸8.2.1計算機病毒組成計算機病毒引導單元傳染單元傳染控制模塊傳染判斷模塊傳染操作模塊觸發(fā)單元觸發(fā)控制破壞操作新版計算機病毒防治技術第10頁8.2.2計算機病毒傳輸8.2計算機病毒組成與傳輸計算機病毒傳染性是計算機病毒最危險特點之一。計算機病毒潛伏在系統(tǒng)內(nèi),用戶在不知情情況下進行對應操作激活觸發(fā)條件,使其得以由一個載體傳輸至另一個載體，完成傳輸過程。伴隨計算機廣泛普及應用以及互聯(lián)網(wǎng)飛速發(fā)展，計算機病毒傳輸也從傳統(tǒng)慣用交換媒介傳輸，逐步發(fā)展到經(jīng)過互聯(lián)網(wǎng)進行全球化傳輸。1.移動式存放介質(zhì)移動存放介質(zhì)主要包含：軟盤、光盤、DVD、硬盤、閃存、U盤、CF卡、SD卡、記憶棒（MemoryStick）、移動硬盤等。移動存放介質(zhì)以其便攜性和大容量存放性為病毒傳輸帶來了極大便利，這也是它成為當前主流病毒傳輸路徑主要原因。新版計算機病毒防治技術第11頁網(wǎng)絡傳播電子

郵件下載

文件瀏覽

網(wǎng)頁聊天通訊工具移動通信終端8.2計算機病毒組成與傳輸8.2.2計算機病毒傳輸新版計算機病毒防治技術第12頁8.2.3計算機病毒觸發(fā)和生存計算機病毒的觸發(fā)計算機病毒的觸發(fā)條件一般是指時間或操作條件融合多個觸發(fā)條件的病毒程序計算機病毒的生存計算機病毒的寄生對象計算機病毒的生存方式8.2計算機病毒組成與傳輸新版計算機病毒防治技術第13頁8.2.4特種及新型病毒實例木馬木馬一詞源于古希臘傳說中“特洛伊木馬”（Trojanhorse），引申至計算機領域，能夠了解為一類惡意程序。木馬和病毒一樣，均是人為編寫應用程序，都屬于計算機病毒范圍。相對于普通計算機病毒來說，木馬含有更加快傳輸速度以及愈加嚴重危害性，但其最大破壞性在于它經(jīng)過修改圖標、捆綁文件、仿制文件等方式進行偽裝和隱藏自己，誤導用戶下載程序或打開文件，同時搜集用戶計算機信息并將其泄露給黑客供其遠程控制，甚至深入向計算機發(fā)動攻擊。8.2計算機病毒組成與傳輸新版計算機病毒防治技術第14頁案例8-2金山安全木馬發(fā)展趨勢匯報

年以來，綁架型木馬增加迅猛，幾乎占據(jù)了互聯(lián)網(wǎng)新增木馬主流。不論是木馬開啟方式，還是對用戶電腦系統(tǒng)破壞性，綁架型木馬均超出了傳統(tǒng)木馬以及感染型木馬。而且殺毒軟件對這類木馬查殺技術也面臨著嚴峻考驗。

年之前，綁架型木馬已經(jīng)出現(xiàn)，但并沒有大規(guī)模暴發(fā)。進入年，綁架型木馬增加迅猛，僅年前9個月即新增綁架型木馬943862個，占據(jù)新增木馬84.2%。8.2計算機病毒組成與傳輸新版計算機病毒防治技術第15頁8.2計算機病毒組成與傳輸實例1冰河木馬連接功能控制功能口令的獲取屏幕抓取遠程文件操作冰河信使1.冰河木馬主要功效激活冰河木馬服務端程序G-Server.exe后，它將在目標計算機C：\Windows\system目錄下自動生成兩個可執(zhí)行文件，分別是Kernel32.exe和Sysexplr.exe。假如用戶只找到Kernel32.exe，并將其刪除，那么冰河木馬并未完全根除，只要打開任何一個文本文件或可執(zhí)行程序，Sysexplr.exe就會被激活而再次生成一個Kernel32.exe，這就是造成冰河木馬屢刪無效，死灰復燃原因。2.冰河木馬原理新版計算機病毒防治技術第16頁實例2蠕蟲

蠕蟲病毒是計算機病毒一個，它含有計算機病毒共性，如傳輸性，隱蔽性，破壞性等，同時還含有一些個性特征，如它并不依賴宿主寄生，而是經(jīng)過復制本身在網(wǎng)絡環(huán)境下進行傳輸。同時，蠕蟲病毒較普通病毒破壞性更強，借助共享文件夾、電子郵件、惡意網(wǎng)頁、存在漏洞服務器等伺機傳染整個網(wǎng)絡內(nèi)全部計算機，破壞系統(tǒng)，并使系統(tǒng)癱瘓。I_WORM/EMANUEL網(wǎng)絡蠕蟲該病毒通過Microsoft的OutlookExpress來自動傳播給受感染計算機的地址簿里的所有人，給每人發(fā)送一封帶有該附件的郵件。該網(wǎng)絡蠕蟲長度16896~22000字節(jié)，有多個變種。在用戶執(zhí)行該附件后，該網(wǎng)絡蠕蟲程序在系統(tǒng)狀態(tài)區(qū)域的時鐘旁邊放置一個“花”一樣的圖標，如果用戶點擊該“花”圖標，就會出現(xiàn)一個消息框，內(nèi)容是不要點擊此按鈕。如果點擊該按鈕，會出現(xiàn)一個以Emmanuel為標題的信息框，當用戶關閉該信息框時又會出現(xiàn)一些別的提示信息。熊貓燒香熊貓燒香是一種經(jīng)過多次變種的蠕蟲病毒。曾在2006-2007年間肆虐互聯(lián)網(wǎng)，被列為我國2006十大病毒之首，一度成為“毒王”。自爆發(fā)后，短時間內(nèi)出現(xiàn)90余個變種，上百萬臺計算機感染此毒，并深受其害。感染中毒的計算機系統(tǒng)中，可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，其它更為明顯的中毒癥狀表現(xiàn)為計算機藍屏、反復重啟、硬盤數(shù)據(jù)遭破壞等。同時，作為蠕蟲病毒的一類變種，熊貓燒香病毒同樣可以通過網(wǎng)絡進行傳播，感染網(wǎng)絡內(nèi)所有計算機系統(tǒng)，造成不同程度的局域網(wǎng)和互聯(lián)網(wǎng)癱瘓。課堂討論1.計算機病毒由幾部分組成？2.計算機病毒主要傳輸路徑有哪些？3.試述電子郵件病毒觸發(fā)方式？8.2計算機病毒組成與傳輸新版計算機病毒防治技術第17頁8.3計算機病毒檢測去除與防范8.3.1計算機病毒檢測1.根據(jù)異?，F(xiàn)象初步檢測計算機運行異常屏幕顯示異常聲音播放異常異常現(xiàn)象文件/系統(tǒng)異常外設異常網(wǎng)絡異常2.利用專業(yè)工具檢測查毒瑞星免費在線查毒金山毒霸查毒卡巴斯基查毒新版計算機病毒防治技術第18頁8.3.2常見病毒去除方法8.3計算機病毒檢測去除與防范（1）普通常見流行病毒（2）系統(tǒng)文件破壞此種情況對計算機危害較小，普通運行殺毒軟件進行查殺即可。若可執(zhí)行文件病毒無法根除，可將其刪除后重新安裝多數(shù)系統(tǒng)文件被破壞將造成系統(tǒng)無法正常運行，破壞程序較大。若刪除文件重新安裝后仍未處理問題，則需請專業(yè)計算機人員進行去除和數(shù)據(jù)恢復。在數(shù)據(jù)恢復前，要將主要數(shù)據(jù)文件進行備份，當出現(xiàn)誤殺時方便進行恢復。新版計算機病毒防治技術第19頁8.3計算機病毒檢測去除與防范8.3.3計算機病毒防范殺毒不如搞好防毒，假如能夠采取全方面防護辦法，則會更有效地防止病毒危害。所以，計算機病毒防范，應該采取預防為主策略。首先要在思想上有反病毒警覺性，依靠使用反病毒技術和管理辦法，這些病毒就無法逾越計算機安全保護屏障，從而不能廣泛傳輸。個人用戶要及時升級可靠反病毒產(chǎn)品，因為病毒以每日4-6個速度產(chǎn)生，反病毒產(chǎn)品必須適應病毒發(fā)展，不停升級，才能識別和殺滅新病毒，為系統(tǒng)提供真正安全環(huán)境。每一位計算機使用者都要恪守病毒防治法律和制度，做到不制造病毒，不傳輸病毒。養(yǎng)成良好上機習慣，如定時備份系統(tǒng)數(shù)據(jù)文件；外部存放設備連接前先殺毒再使用；不訪問違法或不明網(wǎng)站，不下載傳輸不良文件等。新版計算機病毒防治技術第20頁8.3計算機病毒檢測去除與防范8.3.4木馬檢測去除與防范1.木馬的檢測1）查看開放端口2）查看系統(tǒng)配置文件3）查看系統(tǒng)進程4）查看注冊表2.木馬的清除1）手動清除2）殺毒軟件清除3.木馬的防范1）不點擊來歷不明的郵件2）不下載不明軟件3）及時漏洞修復和都住可疑端口4）使用實時監(jiān)控程序新版計算機病毒防治技術第21頁8.3計算機病毒檢測去除與防范8.3.5病毒和防病毒技術發(fā)展趨勢計算機病毒的發(fā)展主要體現(xiàn)出在以下四個方面：1）病毒的種類和數(shù)量迅速增長2）病毒傳播手段呈多樣化、復合化趨勢3）病毒制作技術水平不斷攀升4）病毒的危害日益增大計算機病毒種類及數(shù)量不停快速增加依據(jù)國家計算機病毒應急處理中心病毒樣本庫統(tǒng)計，年新增病毒樣本299萬個，是年新增病毒數(shù)3.2倍，其中木馬程序巨量增加。截至年底，木馬樣本共330萬多個，占病毒木馬樣本總數(shù)72.9%，而年這一百分比只有54％；年發(fā)覺新增木馬246萬多個，是年新增木馬5.5倍。案例8-3新版計算機病毒防治技術第22頁8.3計算機病毒檢測去除與防范8.3.5病毒和防病毒技術發(fā)展趨勢“云安全（CloudSecurity）”計劃是網(wǎng)絡時代信息安全最新表達，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念，經(jīng)過網(wǎng)狀大量客戶端對網(wǎng)絡中軟件行為異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬處理方案分發(fā)到每一個客戶端。病毒庫不再保留在當?shù)?，而是保留在官方服務器中，在掃描時候和服務器交互后，做出判斷是否有病毒。依靠“云安全”進行殺毒能降低升級頻率，降低查殺占用率，減小當?shù)夭《緮?shù)據(jù)庫容量。云安全技術應用最大優(yōu)勢就在于，識別和查殺病毒不再僅僅依靠當?shù)赜脖P中病毒庫，而是依靠龐大網(wǎng)絡服務，實時進行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大“殺毒軟件”，參加者越多，每個參加者就越安全，整個互聯(lián)網(wǎng)就會更安全。課堂討論1.計算機中毒常見異?，F(xiàn)象有哪些？2.怎樣檢測、去除、防范計算機病毒？3.怎樣檢測、去除、防范木馬程序？新版計算機病毒防治技術第23頁8.4惡意軟件危害和去除8.4.1惡意軟件概述

惡意軟件主要是指在未明確提醒用戶或未經(jīng)用戶許可情況下，在用戶計算機或其它終端上安裝運行，侵害用戶正當權(quán)益軟件。依據(jù)中國互聯(lián)網(wǎng)協(xié)會頒布《“惡意軟件定義”細則》，愈加明確細化了惡意軟件定義和范圍：滿足以下八種情況之一即可被認定為是惡意軟件，分別為：強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意搜集用戶信息、惡意卸載、惡意捆綁以及其它侵犯用戶知情權(quán)和選擇權(quán)惡意行為。

惡意軟件通常難以去除，影響計算機用戶正常使用，無法正常卸載和刪除給用戶造成了巨大困擾，所以又獲別名“流氓軟件”。新版計算機病毒防治技術第24頁8.4惡意軟件危害和去除8.4.2惡意軟件危害與去除惡意軟件的危害與清除惡意軟件的危害強制安裝、

難以卸載劫持瀏覽器彈出廣告非正常渠道收集用戶信息惡意軟件的清除利用惡意軟件清除專業(yè)工具課堂討論1.什么是惡意軟件？2.惡意軟件危害有哪些？3.怎樣去除惡意軟件？新版計算機病毒防治技術第25頁8.5瑞星云安全軟件應用試驗8.5.1試驗目標8.5.2試驗內(nèi)容（1）了解瑞星全功效安全軟件主要功效及特點。（2）了解瑞星全功效安全軟件主要技術和應用。（3）掌握瑞星全功效安全軟件操作界面、步驟和方法。圖8-2瑞星三層安全架構(gòu)圖1.瑞星安全架構(gòu)新版計算機病毒防治技術第26頁8.5.2試驗內(nèi)容2.瑞星主要功效及特點系統(tǒng)內(nèi)核加固木馬防御U盤防護瀏覽器防護辦公軟件防護MSN聊天防護智能虛擬化引擎智能殺毒資源占用“智能反釣魚”8.5瑞星云安全軟件應用試驗新版計算機病毒防治技術第27頁8.5.3操作步驟8.5瑞星云安全軟件應用試驗1.操作界面中心殺毒電腦防護連網(wǎng)程序瑞星工具安全資訊六大功效區(qū)域圖8-3瑞星操作界面新版計算機病毒防治技術第28頁8.5.3操作步驟8.5瑞星云安全軟件應用試驗2.“智能云安全”技術

瑞星采用的“智能云安全”技術，能夠針對互聯(lián)網(wǎng)上大量出現(xiàn)的惡意病毒、掛馬網(wǎng)站和釣魚網(wǎng)站等，瑞星“智能云安全”系統(tǒng)可自動收集、分析、處理，同時有效地阻截木馬攻擊、黑客入侵及網(wǎng)絡詐騙。網(wǎng)絡攻擊攔截當用戶電腦遭受到網(wǎng)絡攻擊時，瑞星2011會依托瑞星“智能云安全”網(wǎng)絡分析技術，有效地將各種網(wǎng)絡攻擊攔截在外。惡意網(wǎng)址攔截當用戶訪問惡意網(wǎng)站時，瑞星2011會依托瑞星“智能云安全”智能分析技術，有效攔截流行釣魚、掛馬網(wǎng)站，時刻保護個人信息安全。ARP欺騙防御防止電腦受到ARP欺騙攻擊，并幫助用戶找到局域網(wǎng)中的攻擊源。新版計算機病毒防治技術第29頁3.殺毒方式多樣化8.5.3操作步驟瑞星提供快速查殺、全盤查殺、自定義查殺等三種查殺方式，用戶能夠自行選擇查殺方式，應該一段時期后做一次全盤查殺，假如插入外部設備時，比如移動存放設備U盤、移動硬盤等，能夠采取自定義查殺方式進行選擇。查殺結(jié)果假如出現(xiàn)可疑文件則自動上傳給“云安全”服務器進行判斷，假如確認為病毒，馬上升級病毒庫將該病毒刪除。圖8-4瑞星快速查殺界面8.5瑞星云安全軟件應用試驗新版計算機病毒防治技術第30頁4.電腦防護8.5.3操作步驟8.5瑞星云安全軟件應用試驗瑞星含有針對網(wǎng)絡用戶普通電腦防護和網(wǎng)絡特殊防護功效。針對慣用一些電腦操作（