計(jì)算機(jī)病毒原理及防范解決技術(shù)

1、網(wǎng)絡(luò)安全防病毒知識(shí)培訓(xùn)1.病毒的定義病毒的定義 1994年2月18日，我國(guó)正式頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，在條例第二十八條中明確指出： “計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。算機(jī)指令或者程序代碼?！币弧⒂?jì)算機(jī)病毒知識(shí)2.計(jì)算機(jī)病毒傳播計(jì)算機(jī)病毒傳播3個(gè)必要條件個(gè)必要條件與醫(yī)學(xué)上的“病毒”一樣，計(jì)算機(jī)病毒傳播也有3個(gè)必要條件： 傳染源（帶毒的計(jì)算機(jī)、文件、郵件、網(wǎng)頁(yè)等） 傳

2、播途徑： 介質(zhì)（軟盤(pán)、光盤(pán)）和網(wǎng)絡(luò)（電子郵件、網(wǎng)絡(luò)文件拷貝或下載、訪(fǎng)問(wèn)網(wǎng)頁(yè)、系統(tǒng)漏洞） 易感對(duì)象（所有的計(jì)算機(jī)都時(shí)感染對(duì)象，這里指易感對(duì)象。如完全共享文件夾、簡(jiǎn)單密碼、有漏洞的系統(tǒng)） 切斷上面切斷上面3個(gè)必要條件中的任何一個(gè)都可防止病毒的傳播，個(gè)必要條件中的任何一個(gè)都可防止病毒的傳播，我們防范病毒就是從這我們防范病毒就是從這3方面入手方面入手一、計(jì)算機(jī)病毒知識(shí)一、計(jì)算機(jī)病毒知識(shí)3.計(jì)算機(jī)病毒有哪些特征 可執(zhí)行性 傳染性與傳播性 破壞性 欺騙性 隱蔽性和潛伏性 可觸發(fā)性一、計(jì)算機(jī)病毒知識(shí)一、計(jì)算機(jī)病毒知識(shí)4.病毒的發(fā)展趨勢(shì) 依賴(lài)網(wǎng)絡(luò)進(jìn)行傳播 攻擊方式多樣（郵件，網(wǎng)頁(yè)，局域網(wǎng)等） 利用系統(tǒng)漏洞成為

3、病毒有力的傳播方式 病毒與黑客技術(shù)相融合 傳染方式多 傳播速度快 清除難度大 破壞性強(qiáng)一、計(jì)算機(jī)病毒知識(shí)一、計(jì)算機(jī)病毒知識(shí)5.網(wǎng)絡(luò)病毒傳播方式圖示一、計(jì)算機(jī)病毒知識(shí)一、計(jì)算機(jī)病毒知識(shí)6.企業(yè)防病毒誤區(qū) 重“殺”不重“防” 只反“毒”不防“黑” 殺毒軟件不升級(jí) 認(rèn)為不用軟盤(pán)、光驅(qū),沒(méi)有共享文件夾，密碼很復(fù)雜，就就不會(huì)感染病毒，因而無(wú)需選擇殺毒軟件 忽視對(duì)Unix和Linux系統(tǒng)的病毒防范一、計(jì)算機(jī)病毒知識(shí)一、計(jì)算機(jī)病毒知識(shí)7.企業(yè)局域網(wǎng)如何有效地防止網(wǎng)絡(luò)病毒 對(duì)局域網(wǎng)用戶(hù)進(jìn)行安全防病毒知識(shí)培訓(xùn)，提供防范意識(shí)。對(duì)局域網(wǎng)用戶(hù)進(jìn)行安全防病毒知識(shí)培訓(xùn)，提供防范意識(shí)。 建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操

4、作系統(tǒng)的補(bǔ)丁建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫(kù)升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫(kù)的升級(jí)的升級(jí) 及時(shí)給系統(tǒng)打補(bǔ)丁及時(shí)給系統(tǒng)打補(bǔ)丁 去掉服務(wù)器中不必要的共享和服務(wù)去掉服務(wù)器中不必要的共享和服務(wù) 安裝優(yōu)秀的網(wǎng)絡(luò)版殺毒軟件安裝優(yōu)秀的網(wǎng)絡(luò)版殺毒軟件 在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。將病毒隔離在局域網(wǎng)之外。 對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播！對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播！一、計(jì)算機(jī)病毒知識(shí)一、計(jì)算機(jī)病毒知識(shí)二、計(jì)算機(jī)病毒

5、處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)1.查看系統(tǒng)中所有共享文件夾查看系統(tǒng)中所有共享文件夾net share 二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)2.查看系統(tǒng)當(dāng)前建立的所有連接查看系統(tǒng)當(dāng)前建立的所有連接netstat n 二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)3.手工清除病毒的步驟a.找到主要病毒文件找到主要病毒文件b.從注冊(cè)表相關(guān)啟動(dòng)項(xiàng)中與病毒相關(guān)注冊(cè)表項(xiàng)并刪除從注冊(cè)表相關(guān)啟動(dòng)項(xiàng)中與病毒相關(guān)注冊(cè)表項(xiàng)并刪除c.重新啟動(dòng)計(jì)算機(jī)重新啟動(dòng)計(jì)算機(jī)d.刪除病毒文件刪除病毒文件e.找到感染病毒的原因，杜絕再次感染找到感染病毒的原因，杜絕再次感染二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)4.如何查找

6、病毒啟動(dòng)項(xiàng)和病毒文件一、啟動(dòng)項(xiàng)在哪？一、啟動(dòng)項(xiàng)在哪？ Win2k HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceServices HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices AUTOEXEC.BAT文件中文件中S

7、YSTEM.INI中中BOOT啟動(dòng)項(xiàng)目啟動(dòng)項(xiàng)目添加程序添加程序啟動(dòng)的快捷方式啟動(dòng)的快捷方式二、病毒文件在哪？二、病毒文件在哪？ 1病毒文件寄生在病毒文件寄生在Windows的安裝目錄下的安裝目錄下 %windir% 2病毒文件寄生在病毒文件寄生在Windows的系統(tǒng)目錄下的系統(tǒng)目錄下%windir%system或者或者%windir%system32 3病毒文件一般是一下類(lèi)型的可執(zhí)行文件病毒文件一般是一下類(lèi)型的可執(zhí)行文件:*.exe、*.dll、*.bat等等 4根據(jù)殺毒軟件報(bào)警提示的病毒文件名稱(chēng)進(jìn)行查找根據(jù)殺毒軟件報(bào)警提示的病毒文件名稱(chēng)進(jìn)行查找二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)5.

8、可能感染病毒的現(xiàn)象你的機(jī)器近期啟動(dòng)是不是非常慢？你的機(jī)器近期啟動(dòng)是不是非常慢？你的應(yīng)用程序是不是經(jīng)常報(bào)告有故障，并自動(dòng)關(guān)閉？你的應(yīng)用程序是不是經(jīng)常報(bào)告有故障，并自動(dòng)關(guān)閉？你的機(jī)器訪(fǎng)問(wèn)網(wǎng)絡(luò)是不是非常慢？你的機(jī)器訪(fǎng)問(wèn)網(wǎng)絡(luò)是不是非常慢？你的機(jī)器部分功能是不是無(wú)故喪失？你的機(jī)器部分功能是不是無(wú)故喪失？你的機(jī)器是不是經(jīng)常出現(xiàn)藍(lán)屏？你的機(jī)器是不是經(jīng)常出現(xiàn)藍(lán)屏？你的機(jī)器是不是出現(xiàn)很多不知道干什么用的服務(wù)？你的機(jī)器是不是出現(xiàn)很多不知道干什么用的服務(wù)？你的機(jī)器用戶(hù)賬號(hào)都是你分配的嗎？有沒(méi)有你不知道干什么用的賬號(hào)？你的機(jī)器用戶(hù)賬號(hào)都是你分配的嗎？有沒(méi)有你不知道干什么用的賬號(hào)？你的機(jī)器在訪(fǎng)問(wèn)某些系統(tǒng)時(shí)是不是經(jīng)常提示

9、你輸入某些個(gè)人信息？你的機(jī)器在訪(fǎng)問(wèn)某些系統(tǒng)時(shí)是不是經(jīng)常提示你輸入某些個(gè)人信息？今天我的硬盤(pán)空間無(wú)故缺少了很多？今天我的硬盤(pán)空間無(wú)故缺少了很多？二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)6.感染病毒的過(guò)程舉例 場(chǎng)景一場(chǎng)景一:有一天，我接到一封郵件，郵件標(biāo)題非常誘人，正是我想要的內(nèi)容，我有一天，我接到一封郵件，郵件標(biāo)題非常誘人，正是我想要的內(nèi)容，我 欣喜萬(wàn)分，打開(kāi)郵件，只是黑屏閃了一下，就沒(méi)了。從此我的機(jī)器就開(kāi)欣喜萬(wàn)分，打開(kāi)郵件，只是黑屏閃了一下，就沒(méi)了。從此我的機(jī)器就開(kāi) 始與我鬧別扭，不是這有問(wèn)題，就是那有問(wèn)題。我的噩夢(mèng)開(kāi)始了。始與我鬧別扭，不是這有問(wèn)題，就是那有問(wèn)題。我的噩夢(mèng)開(kāi)始了。 場(chǎng)景二

10、場(chǎng)景二:小李是個(gè)游戲迷，有一天他到市場(chǎng)上買(mǎi)了張盜版的游戲牒片，趕緊安裝到小李是個(gè)游戲迷，有一天他到市場(chǎng)上買(mǎi)了張盜版的游戲牒片，趕緊安裝到 機(jī)器，準(zhǔn)備痛快的玩一下機(jī)器，準(zhǔn)備痛快的玩一下 ，安裝后，要求重新啟動(dòng)機(jī)器，誰(shuí)知啟動(dòng)后系統(tǒng)，安裝后，要求重新啟動(dòng)機(jī)器，誰(shuí)知啟動(dòng)后系統(tǒng) 速度異常的慢，而且越來(lái)越慢，最后干脆死機(jī)。速度異常的慢，而且越來(lái)越慢，最后干脆死機(jī)。 場(chǎng)景三場(chǎng)景三:小王最新購(gòu)以太小王最新購(gòu)以太PC機(jī)機(jī),廠家給他預(yù)裝了廠家給他預(yù)裝了win2K的系統(tǒng)。為了方便查閱的系統(tǒng)。為了方便查閱internet 的信息，申請(qǐng)了能夠上的信息，申請(qǐng)了能夠上internet。小王在瀏覽網(wǎng)頁(yè)時(shí)打開(kāi)了對(duì)。小王在瀏覽網(wǎng)

11、頁(yè)時(shí)打開(kāi)了對(duì)ActiveX,java組組 件訪(fǎng)問(wèn)的限制，將瀏覽器的安全設(shè)置配置為最低安全，并且沒(méi)有安病毒防火件訪(fǎng)問(wèn)的限制，將瀏覽器的安全設(shè)置配置為最低安全，并且沒(méi)有安病毒防火 墻。過(guò)了沒(méi)有幾天，他的機(jī)器開(kāi)始死機(jī)，并且經(jīng)常提示內(nèi)存不足。應(yīng)用軟件墻。過(guò)了沒(méi)有幾天，他的機(jī)器開(kāi)始死機(jī)，并且經(jīng)常提示內(nèi)存不足。應(yīng)用軟件 無(wú)緣無(wú)故關(guān)閉。無(wú)緣無(wú)故關(guān)閉。 場(chǎng)景四場(chǎng)景四:小張喜歡小張喜歡Qicq網(wǎng)上聊天。有一天登陸，提示輸入網(wǎng)上聊天。有一天登陸，提示輸入Qicq號(hào)及其他一些信息。號(hào)及其他一些信息。 錄入完畢后開(kāi)始聊天。但自從那天后，他的機(jī)器開(kāi)始無(wú)緣無(wú)故出現(xiàn)故障。錄入完畢后開(kāi)始聊天。但自從那天后，他的機(jī)器開(kāi)始無(wú)緣無(wú)

12、故出現(xiàn)故障。 場(chǎng)景五場(chǎng)景五:小張出差了好今天，回來(lái)后打開(kāi)電腦，準(zhǔn)備看一下公司有什么新的動(dòng)態(tài)，小張出差了好今天，回來(lái)后打開(kāi)電腦，準(zhǔn)備看一下公司有什么新的動(dòng)態(tài)， 聯(lián)上網(wǎng)絡(luò)后，開(kāi)始很順利的登陸了公司的系統(tǒng)。過(guò)了不一會(huì)，系統(tǒng)提示聯(lián)上網(wǎng)絡(luò)后，開(kāi)始很順利的登陸了公司的系統(tǒng)。過(guò)了不一會(huì)，系統(tǒng)提示 需要重新啟動(dòng)機(jī)器。而且反復(fù)重新啟動(dòng)。需要重新啟動(dòng)機(jī)器。而且反復(fù)重新啟動(dòng)。二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)7.病毒剖析(墨菲病毒)(一一)、病毒類(lèi)型：蠕蟲(chóng)病毒、病毒類(lèi)型：蠕蟲(chóng)病毒(二二)、技術(shù)特征、技術(shù)特征 該病毒采用窮舉密碼的方法破解遠(yuǎn)端系統(tǒng)的密碼，并以此進(jìn)行傳播。在受感染計(jì)算機(jī)上該病毒采用窮舉密碼的方

13、法破解遠(yuǎn)端系統(tǒng)的密碼，并以此進(jìn)行傳播。在受感染計(jì)算機(jī)上 留下一個(gè)后門(mén)。病毒使用留下一個(gè)后門(mén)。病毒使用UPX進(jìn)行壓縮。進(jìn)行壓縮。(三三)、技術(shù)細(xì)節(jié)、技術(shù)細(xì)節(jié) 1、病毒激活后會(huì)在系統(tǒng)目錄下生成以下文件、病毒激活后會(huì)在系統(tǒng)目錄下生成以下文件:scardsvr32.exe, scardsvr32.dll,MoFei.DAT MoFei.MIS,MoFei.VER, MoFei.ID ; 2、病毒使用的程序和動(dòng)態(tài)鏈接庫(kù)都采用了、病毒使用的程序和動(dòng)態(tài)鏈接庫(kù)都采用了UPX進(jìn)行壓縮；進(jìn)行壓縮； 3、病毒會(huì)在注冊(cè)表里添加啟動(dòng)項(xiàng)、病毒會(huì)在注冊(cè)表里添加啟動(dòng)項(xiàng) Win2000/Winxp HKEY_LOCAL_MAC

14、HINESYSTEMCurrentControlSetServices SCardDrvImagePath = %SystemRoot%system32ScardSvr.exe win9x HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices SCardSvr = %Windows%System32SCardSvr.Exe; 4、病毒自帶掃描工具，搜索、病毒自帶掃描工具，搜索tcp/135、tcp/139、tcp/445端口端口; 5、病毒自帶攻擊密碼庫(kù)、病毒自帶攻擊密碼庫(kù); 6、病毒自帶遠(yuǎn)程控制命令、病毒自帶

15、遠(yuǎn)程控制命令; 7、病毒自動(dòng)安裝后門(mén)、病毒自動(dòng)安裝后門(mén); 8、病毒具有升級(jí)能力、病毒具有升級(jí)能力; 9、病毒利用系統(tǒng)默認(rèn)共享、病毒利用系統(tǒng)默認(rèn)共享admin$進(jìn)行攻擊進(jìn)行攻擊;二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)8.病毒剖析(墨菲病毒)( 四四)、病毒分析、病毒分析: 該病毒幾乎具有了病毒所有特征該病毒幾乎具有了病毒所有特征,并且具備了黑客攻擊行為。病毒首先掃描網(wǎng)絡(luò)上并且具備了黑客攻擊行為。病毒首先掃描網(wǎng)絡(luò)上 的主機(jī)的主機(jī)(隨機(jī)生成隨機(jī)生成,類(lèi)似類(lèi)似Dos攻擊攻擊),會(huì)對(duì)網(wǎng)絡(luò)出口造成大量會(huì)對(duì)網(wǎng)絡(luò)出口造成大量sync連接連接,杜塞網(wǎng)絡(luò)的正常連接杜塞網(wǎng)絡(luò)的正常連接. 病毒一但確認(rèn)主機(jī)存在，

16、利用系統(tǒng)默認(rèn)共享病毒一但確認(rèn)主機(jī)存在，利用系統(tǒng)默認(rèn)共享admin$,利用自帶的密碼特征庫(kù)，暴力破解利用自帶的密碼特征庫(kù)，暴力破解 ，一旦破解成功，病毒將病毒文件復(fù)制到對(duì)方的系統(tǒng)目錄下，并采用遠(yuǎn)程執(zhí)行工具啟動(dòng)，一旦破解成功，病毒將病毒文件復(fù)制到對(duì)方的系統(tǒng)目錄下，并采用遠(yuǎn)程執(zhí)行工具啟動(dòng) 病毒文件，注冊(cè)啟動(dòng)項(xiàng)、注冊(cè)賬號(hào)、開(kāi)啟系統(tǒng)后門(mén)，完成感染。病毒文件，注冊(cè)啟動(dòng)項(xiàng)、注冊(cè)賬號(hào)、開(kāi)啟系統(tǒng)后門(mén)，完成感染。 該病毒利用了系統(tǒng)共享、以及弱口令等漏洞進(jìn)行傳染。該病毒利用了系統(tǒng)共享、以及弱口令等漏洞進(jìn)行傳染。 類(lèi)似的網(wǎng)絡(luò)蠕蟲(chóng)病毒傳播有大致的傳染過(guò)程，都是首先發(fā)現(xiàn)漏洞，利用漏洞類(lèi)似的網(wǎng)絡(luò)蠕蟲(chóng)病毒傳播有大致的傳染過(guò)程

17、，都是首先發(fā)現(xiàn)漏洞，利用漏洞 種植病毒，運(yùn)行病毒程序，然后感染其他機(jī)器。種植病毒，運(yùn)行病毒程序，然后感染其他機(jī)器。二、計(jì)算機(jī)病毒處理技術(shù)二、計(jì)算機(jī)病毒處理技術(shù)9.在系統(tǒng)安裝維護(hù)時(shí)的注意事項(xiàng)a.因?yàn)楝F(xiàn)在網(wǎng)絡(luò)上還存在沖擊波病毒，在新安裝系統(tǒng)時(shí)最好不要聯(lián)網(wǎng)，待安裝完成并打了ms03-026補(bǔ)丁后再聯(lián)入網(wǎng)絡(luò)。b.打補(bǔ)丁只能預(yù)防病毒，不能殺死病毒，如計(jì)算機(jī)已感染病毒，應(yīng)用殺毒軟件徹底殺干凈。c. 特別注意服務(wù)器要打最新的安全補(bǔ)丁。因?yàn)榉?wù)器如果感染病毒后的破壞力大大超過(guò)普通微機(jī)。d. 關(guān)閉或刪除服務(wù)器中不需要的服務(wù)。默認(rèn)情況下，w2k server 會(huì)安裝一些輔助服務(wù)，如 IIS 服務(wù)等。這些服務(wù)為攻擊者或病毒傳播提供了方便，在安裝完系統(tǒng)后一定要檢查