電腦預防病毒知識培訓匯編

1、防病毒知識培訓計算機室 李峻中毒癥狀的表現(xiàn)1.經(jīng)常死機 2.系統(tǒng)無法啟動3.文件打不開 4.經(jīng)常報告內存不夠5.提示硬盤空間不夠 6.軟盤等設備未訪問時出讀寫信號 7.出現(xiàn)大量來歷不明的文件 8.啟動黑屏9.數(shù)據(jù)丟失 10.鍵盤或鼠標無端地鎖死11.系統(tǒng)運行速度慢 12.系統(tǒng)自動執(zhí)行操作13.網(wǎng)絡傳輸異常一、病毒基礎知識病毒的產(chǎn)生背景 計算機病毒的產(chǎn)生是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：（1）計算機病毒是網(wǎng)絡犯罪的一種新的衍化形式。（2）計算機軟硬件產(chǎn)品的危弱性是根本的技術原因。（3）計算機的普及應用是病毒產(chǎn)生的必要環(huán)境 。計算機病毒基本概念概

2、念：編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。（1994年2月18號公布） 特征：復制、感染、隱蔽、破壞。危害：病毒運行后能夠損壞文件、使系統(tǒng)癱瘓，從而造成各種難以預料的后果。網(wǎng)絡環(huán)境下，計算機病毒種類越來越多、傳染速度也越來越快、危害更是越來越大。防治：以防為主，病原體(病毒庫)是病毒防治技術的關鍵。新的病毒概念 以前比較重要就是只要插入到計算機程序里面，另外它要能夠自我復制，就是一種感染性，自我復制是一種傳播，但對于新的病毒，已經(jīng)不能完全的符合基本定義。新型病毒：引導型病毒特洛伊木馬惡作劇程序邏輯炸彈蠕蟲病毒 以上的病

3、毒被稱為新計算機病毒。目前反病毒軟件對于病毒的研究其實是基于廣義的計算機病毒來說的,2008年上半年主要以機器狗、磁碟機、AUTO木馬群為代表的對抗型病毒已經(jīng)成為廣大用戶電腦安全的主要威脅。 新病毒的特性區(qū)分 計算機病毒的種類 引導型Stone（混合型）、DIRII文件型Onehalf、CIH、Funlove宏病毒Concept,臺灣一號特洛伊木馬黑客程序BO，冰河惡作劇DELETE Win95、女鬼蠕蟲病毒美麗莎、愛蟲郵件病毒求職信協(xié)議病毒紅色代碼后門病毒灰鴿子計算機病毒的危害及癥狀計算機病毒的主要危害有：1病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用 2占用磁盤空間和對信息的破壞 3搶占系統(tǒng)資源

4、 4影響計算機運行速度 5計算機病毒錯誤與不可預見的危害 6計算機病毒的兼容性對系統(tǒng)運行的影響 7計算機病毒給用戶造成嚴重的心理壓力 例如：最早的在86年的一個病毒由巴基斯坦兩兄弟編的brain大腦病毒，brain是一種引導型的病毒，在86年的時候，當時蘋果機比較流行，這個病毒在蘋果機上發(fā)作。在88年11月2號，著名的在Internet上有蠕蟲病毒，使得美國整個軍方網(wǎng)絡上的6000多臺計算機被病毒感染，當時的損失達到9600萬。我們國家最早是統(tǒng)計部門在1988年發(fā)現(xiàn)小球病毒，發(fā)作時在屏幕上彈出小的紅球，通過彈性碰撞的方式進行移動。病毒數(shù)量的增長也是非常快，在86年時候1種，89年6種，90年8

5、0種，98年2萬種，2000年4.6萬種，2001年6萬種， 2008年上半年達到120多萬種，那目前現(xiàn)在平均每天病毒的種類仍以30種的速度遞增。中國首次計算機病毒疫情網(wǎng)上調查結果國內有高達73% 的計算機曾遭受過病毒感染！ 近幾年新增病毒數(shù)量的比例不同類別病毒比例示意圖 計算機病毒的傳播途徑 通過不可移動的計算機硬件設備進行傳播。通過移動存儲設備來傳播這些設備包括軟盤、移動硬盤、U盤等。 通過計算機網(wǎng)絡進行傳播。 通過點對點通信系統(tǒng)和無線通道傳播。 二、病毒與反病毒技術病毒與反病毒的實質病毒的實質：一組計算機指令或者程序代碼。反病毒的實質：從計算機中檢測到具有病毒性質的代碼或文件，并予以清除

6、。 計算機技術的不斷發(fā)展，病毒與反病毒的技術也日益進步，隨著網(wǎng)絡時代的到來，二者之間的斗爭十分激烈。Win32 PE文件(EXE、DLL、OCX)為了和以前的DOS/Windows系統(tǒng)保持兼容，WIN 9X/NT下等32位的EXE文件格式有所不同，其中含有一些空擋，病毒會找適合的地方嵌入進去這是一個被感染的 Windows PE 格式EXE File為保證其隱蔽性，病毒會將自己寫到一個最“適合”它自己的病毒代碼的空間。如果覆寫的位置超過了“空擋”大小，原始程序文件被感染時可能已被覆寫破壞了部分數(shù)據(jù)。這些被感染類型有些是不可恢復的，因為原始程序文件被感染時可能已被覆寫破壞了。（典型的象CIH、F

7、UNLOVE病毒）EXE 文件被感染VIRUS病毒加殼技術概念：在一些電腦程序中，有一段負責保護程序不被非法修改或反編譯的程序。它們一般都是先于程序運行，拿到控制權，然后完成它們保護程序的任務。實質：利用特定的壓縮算法(就象WinZIP一樣)把木馬壓縮打包后，再次運行的時候，在內存中解壓釋放程序本體。技術分類：壓縮保護 ，加密保護 加殼程序：常見軟件ASPACK ,UPX,PEcompact反病毒軟件的關鍵病毒代碼庫 存儲病毒的特征代碼數(shù)據(jù)文件,并由殺毒引擎來調用 。病毒查殺引擎 反病毒產(chǎn)品在殺毒時的一種特殊的算法 。 在各大廠商的病毒代碼庫相差無幾的情況下，病毒查殺引擎的先進與否直接限制了殺

8、毒軟件的能力高低。殺毒軟件的選擇引擎技術先進性多樣性的殺毒方式 查殺多種類型的病毒 與其他軟件兼容性占用系統(tǒng)資源少 掃描效率高適應使用者所在的環(huán)境三、現(xiàn)代病毒趨勢及檢測現(xiàn)代病毒特點自動傳播和主動攻擊蠕蟲特洛伊木馬 后門多種傳播方式：郵件、網(wǎng)絡共享、利用IIS、IE、SQL的漏洞危害很大的病毒以郵件為載體,爆發(fā)速度快、面積廣含有病毒的移動編碼-來自Internet網(wǎng)頁的威脅新時代下的網(wǎng)絡病毒 傳統(tǒng)的網(wǎng)絡病毒定義是指利用網(wǎng)絡進行傳播的一類病毒的總稱。而現(xiàn)在網(wǎng)絡時代的網(wǎng)絡病毒，已經(jīng)不是如此單純的一個概念了，它被溶進了更多的東西?？梢赃@樣說，如今的網(wǎng)絡病毒是指以網(wǎng)絡為平臺，對計算機產(chǎn)生安全威脅的所有程

9、序的總和。 主要的類型有：網(wǎng)頁病毒 ，蠕蟲病毒 ，木馬病毒 網(wǎng)頁病毒定義：網(wǎng)頁病毒是利用網(wǎng)頁來進行破壞的病毒，它存在于網(wǎng)頁之中，其實是利用一些SCRIPT語言編寫的一些惡意代碼。 行為：當用戶登錄某些含有網(wǎng)頁病毒的網(wǎng)站時，網(wǎng)頁病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進行破壞。 危害：輕則修改用戶的注冊表，使用戶的首頁、瀏覽器標題改變，重則可以關閉系統(tǒng)的很多功能，使用戶無法正常使用計算機系統(tǒng)，嚴重者則可以將用戶的系統(tǒng)進行格式化。 典型：萬花谷網(wǎng)頁病毒:萬花谷病毒的技術特征：含有有害代碼的ActiveX網(wǎng)頁文件，它通過一個網(wǎng)絡地址來對計算機用戶造成破壞 。特性如下：用戶不能正常使

10、用WINDOWS的DOS功能程序；用戶不能正常退出WINDOWS；開始菜單上的“關閉系統(tǒng)”、“運行”等欄目被屏蔽，防止用戶重新以DOS方式啟動，關閉DOS命令、關閉REGEDIT命令等；將IE的瀏覽器的首頁和收藏夾中都加入了含有該有害網(wǎng)頁代碼的網(wǎng)絡地址。 解決方法：手動修改注冊表，使用專門的解決工具。預防方法：升級防病毒軟件，打開實時監(jiān)控。蠕蟲病毒定義：通過網(wǎng)絡連接，將自身復制到其它計算機中，但不感 染其它文件。 行為：利用了各種的技術，將自己傳播到網(wǎng)絡中的每一臺客 戶端中 。危害：不同的蠕蟲病毒的危害表現(xiàn)各不相同。典型：熊貓燒香（尼姆達） ,求職信 蠕蟲病毒：熊貓燒香(尼姆達）概念：一種新型

11、的惡意蠕蟲，影響所有未安裝補丁的Windows系統(tǒng)，破壞力極大。行為：通過email郵件傳播；通過網(wǎng)絡共享傳播 ；通過主動掃描并攻擊未打補丁的IIS服務器傳播 ；通過瀏覽被篡改網(wǎng)頁傳播 。危害:產(chǎn)生大量的垃圾郵件 ；用蠕蟲副本替換系統(tǒng)文件；可能影響word，frontpage等軟件正常工作；嚴重降低系統(tǒng)以及網(wǎng)絡性能；創(chuàng)建開放共享，大大降低了系統(tǒng)的安全性 ；將Guest帳號賦予管理員權限，降低了系統(tǒng)的安全性。解決方法：及時打微軟的系統(tǒng)補丁，及時升級殺毒軟件，手動掃描硬盤。木馬病毒定義：一種惡意程序，它們悄悄地在宿主機器上運行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠程訪問和控制系統(tǒng)的權限。木馬

12、的實質只是一個通過端口進行通信的網(wǎng)絡客戶/服務程序 危害：信息泄露，系統(tǒng)被破壞等。典型：特洛伊木馬 ，冰河，網(wǎng)絡神偷木馬病毒：特洛伊木馬 概念：完整的木馬程序一般由兩個部分組成：一個是服務器程序，一個是控制器程序?！爸心抉R”就是指安裝了木馬的服務器程序，若你的電腦被安裝了服務器程序，則擁有控制器程序的人就可以通過網(wǎng)絡控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的賬號、密碼就無安全可言。 行為：自啟動功能是木馬必不可少的，這可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動技術，并且時常有新的發(fā)

13、現(xiàn)。 一個典型的例子就是把木馬加入到用戶經(jīng)常執(zhí)行的程序 (例如explorer.exe)中，用戶執(zhí)行該程序時，則木馬自動發(fā)生作用。 解決方法：使用殺毒軟件查殺，專殺工具等。病毒啟動方法一、修改批處理 。如：Autoexec.bat 二、修改系統(tǒng)配置。如： System.ini、Win.ini 三、借助自動運行功能 。如：Windows的自動運行功能 四、通過注冊表中的Run來啟動。如：注冊表Run、RunOnce中添加鍵值。 五、通過文件關聯(lián)啟動。 如：EXE文件的關聯(lián)六、通過API HOOK啟動。如：替換系統(tǒng)的DLL文件 七、通過VXD啟動。如：把木馬寫成VXD形式加載，直接控制系統(tǒng)底層 八

14、、通過瀏覽網(wǎng)頁啟動 。如 ：MIME漏洞 九、利用Java applet 。如：利用HTML把木馬下載到緩存中，然后修改注冊表，指向其程序。 十、利用系統(tǒng)自動運行的程序。如：“注冊表檢查” 程序 “輸入法”程序 其他方式，如：利用System目錄比Windows目錄優(yōu)先的特點 中毒癥狀的表現(xiàn)1.經(jīng)常死機 2.系統(tǒng)無法啟動： 3.文件打不開 4.經(jīng)常報告內存不夠： 5.提示硬盤空間不夠 6.軟盤等設備未訪問時出讀寫信號 7.出現(xiàn)大量來歷不明的文件 8.啟動黑屏： 9.數(shù)據(jù)丟失 10.鍵盤或鼠標無端地鎖死： 11.系統(tǒng)運行速度慢 12.系統(tǒng)自動執(zhí)行操作： 13.網(wǎng)絡傳輸異常檢測手段殺毒程序檢測；如：瑞星、卡巴斯基等系統(tǒng)啟動環(huán)境檢查：HijackThisIDS（入侵檢測系統(tǒng)）；如：綠盟冰