病毒與反病毒基礎(chǔ)知識

講解人：電話：Email:計算機病毒基礎(chǔ)知識網(wǎng)絡(luò)安全防護體系構(gòu)架網(wǎng)絡(luò)安全評估安全防護網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評估病毒防護體系網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)網(wǎng)絡(luò)安全防護體系整體構(gòu)架2計算機病毒基礎(chǔ)知識3什么是病毒？我國正式頒布實施的《中華人民共和國計算機信息系統(tǒng)安全保護條例》做出了明確的定義，在《條例》的第28條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。”計算機病毒的定義4是不是做了不該做的事情，或者說，做了沒有明確許可，同意它做的事情?，F(xiàn)在對于殺毒軟件所定義的電腦病毒概念已經(jīng)拓展了很多，對于一段代碼來說，確定它是不是有害的代碼的一個最基本的原則就是：計算機病毒的定義5病毒的產(chǎn)生原因

編制人員出于一種炫耀和顯示自己能力的目的某些軟件作者出于版權(quán)保護的目的而編制出于某種報復(fù)目的或惡作劇而編寫病毒出于商業(yè)利益出于政治、戰(zhàn)爭的需要6病毒威脅日益嚴(yán)重2006上半年度，中國大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全狀況主要呈現(xiàn)六大新特點：一、新病毒數(shù)量成爆炸式增長；二、商業(yè)公司大肆“流氓推廣”、“流氓軟件”問題仍嚴(yán)重；三、病毒“偷、騙、搶”等行為愈演愈烈，勒索木馬開始流行；四、病毒傳播手段多元化，網(wǎng)站、U盤等成為新渠道；五、應(yīng)用軟件漏洞受黑客親睞；六、概念型病毒呈現(xiàn)跨平臺趨勢7病毒威脅日益嚴(yán)重8計算機病毒的特征破壞性傳染性

隱蔽性寄生性

觸發(fā)性9按攻擊的操作系統(tǒng)分類

Windows病毒Unix病毒Mac病毒按傳播對象分類引導(dǎo)型病毒文件型病毒混合型病毒按病毒特征分類木馬類病毒

蠕蟲類病毒宏病毒

腳本病毒在系統(tǒng)引導(dǎo)過程中感染，一般通過軟盤傳播感染程序文件，破壞被感染程序的可用性自身并不附著在別的程序上，自己可運行，同時可以傳播到其他機器利用腳本程序的執(zhí)行進行傳播與破壞不改變系統(tǒng)表面的操作，隱蔽性好計算機病毒分類10了解病毒如何命名?病毒命名11病毒命名按病毒發(fā)作時間命名：黑色星期五按病毒發(fā)作癥候命名：小球、火炬按病毒自身標(biāo)志命名：大麻、磁盤殺手按病毒發(fā)現(xiàn)地命名：耶路撒冷按病毒字節(jié)長度命名：1575、215312常見的病毒前綴的解釋1、系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進行傳播。如CIH病毒。13常見的病毒前綴的解釋2、蠕蟲病毒蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。143、木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了。如QQ消息尾巴木馬Trojan.QQ3344。常見的病毒前綴的解釋154、腳本病毒腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，如紅色代碼（Script.Redlof）.腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。常見的病毒前綴的解釋165、宏病毒其實宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。如：著名的美麗莎(Macro.Melissa)。常見的病毒前綴的解釋176、后門病毒后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如很多朋友遇到過的IRC后門Backdoor.IRCBot。常見的病毒前綴的解釋187、種植程序病毒這類病毒的公有特性是運行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。常見的病毒前綴的解釋198．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點擊，當(dāng)用戶點擊這類病毒時，病毒便會直接對用戶計算機產(chǎn)生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。常見的病毒前綴的解釋209．玩笑病毒玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點擊，當(dāng)用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。常見的病毒前綴的解釋2110．捆綁機病毒捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當(dāng)用戶運行這些捆綁病毒時，會表面上運行這些應(yīng)用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。常見的病毒前綴的解釋22DoS：會針對某臺主機或者服務(wù)器進行DoS攻擊；Exploit：會自動通過溢出對方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個用于Hacking的溢出工具；HackTool：黑客工具，也許本身并不破壞你的機子，但是會被別人加以利用來用你做替身去破壞別人。通過以上所說的方法來初步判斷所中病毒的基本情況。在殺毒無法自動查殺，打算采用手工方式的時候這些信息會給你很大的幫助。常見的病毒前綴的解釋23通用病毒名稱常用命名方式：系統(tǒng)類型.病毒類型.變種常見的病毒前綴的解釋24你的計算機感染病毒了嗎？（一）操作系統(tǒng)常見癥狀1．系統(tǒng)無法正常啟動；2．系統(tǒng)運行速度突然緩慢，甚至出現(xiàn)藍屏或死機現(xiàn)象；3．系統(tǒng)自動執(zhí)行不明程序和操作；4．系統(tǒng)不能安裝新程序。25（二）數(shù)據(jù)文件常見癥狀1．某些文件打不開，或文件屬性發(fā)生不明變化；2．出現(xiàn)大量來歷不明的文件，特別是不知緣由的隱藏文件或異常文件；3．計算機數(shù)據(jù)、文件或程序無緣無故丟失；4．打開某些文檔或打印文檔時出現(xiàn)亂碼。你的計算機感染病毒了嗎？26（三）應(yīng)用程序常見癥狀1．應(yīng)用程序載入時間明顯變長；2．應(yīng)用程序運行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果；3．防病毒程序被無端禁用，并且無法重新啟動；4．無法在計算機上安裝防病毒軟件，或安裝的防病毒程序無法正常運行。你的計算機感染病毒了嗎？27（四）存儲設(shè)備常見癥狀1．系統(tǒng)內(nèi)存或硬盤的容量突然大幅度減少，且經(jīng)常報告空間不足；2．對于同樣一個簡單的工作，磁盤卻花費很長的時間才完成存??；3．沒有發(fā)生存取但磁盤卻出現(xiàn)讀寫信號，指示燈一直閃爍；4．磁盤數(shù)據(jù)發(fā)生丟失，或卷標(biāo)名無故發(fā)生變化；5．磁盤維護時，發(fā)現(xiàn)磁盤壞簇莫名其妙地增多；6．啟動計算機時，出現(xiàn)引導(dǎo)錯誤或磁盤丟失的現(xiàn)象。你的計算機感染病毒了嗎？28（五）網(wǎng)絡(luò)方面常見癥狀1．使用QQ、MSN等網(wǎng)絡(luò)聊天工具時，系統(tǒng)自動向其他用戶發(fā)送一些莫名其妙的文件或問候語；2．瀏覽網(wǎng)頁時，發(fā)現(xiàn)首頁不是默認(rèn)網(wǎng)址或自動跳轉(zhuǎn)到其它網(wǎng)站等；3．接收到包含奇怪附件的電子郵件；4．有人告訴您他們最近從您這里收到包含附加文件（尤其是擴展名為.exe,.bat,.sc和.vbs等的文件）的電子郵件，但實際上您并未發(fā)送過此郵件；你的計算機感染病毒了嗎？29（六）其他常見癥狀1．開機后頻繁出現(xiàn)奇怪的聲音、畫面或提示信息，以及不尋常的錯誤信息或亂碼；2．屏幕突然彈出異常的對話框或消息框；3．桌面上出現(xiàn)奇怪的來路不明的新圖標(biāo)；4．鍵盤或鼠標(biāo)無端地被鎖死，不能正常使用；5．連接正常情況下，不能使用打印機打?。?．計算機揚聲器意外發(fā)出奇怪的聲音或樂曲。你的計算機感染病毒了嗎？30出現(xiàn)以上情況之一可懷疑是病毒所為，但最終確認(rèn)最好是請專業(yè)反病毒公司協(xié)助。

31病毒觀察方法病毒觀察方法321、反病毒軟件的掃描法

這恐怕是絕大數(shù)人首選，也恐怕是唯一的選擇，現(xiàn)在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟件開發(fā)商帶來挑戰(zhàn)。但隨著計算機程序開發(fā)語言的技術(shù)性提高、計算機網(wǎng)絡(luò)越來越普及，病毒的開發(fā)和傳播是越來越容易了，因而反病毒軟件產(chǎn)品也是越來越多了。病毒觀察方法332、觀察法

這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準(zhǔn)確地觀察到。如硬盤引導(dǎo)時經(jīng)常出現(xiàn)死機、系統(tǒng)引導(dǎo)時間較長、運行速度很慢、不能訪問硬盤、出現(xiàn)特殊的聲音或提示等上述在第一大點中出現(xiàn)的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，軟、硬件出現(xiàn)故障同樣也可能出現(xiàn)那些癥狀！對于如屬病毒引起的我們可以從以下幾個方面來觀察：病毒觀察方法34a、內(nèi)存觀察這一方法一般用在DOS下發(fā)現(xiàn)的病毒，我們可用DOS下的"mem/c/p"命令來查看各程序占用內(nèi)存的情況，從中發(fā)現(xiàn)病毒占用內(nèi)存的情況（一般不單獨占用，而是依附在其它程序之中），有的病毒占用內(nèi)存也比較隱蔽，用"mem/c/p"發(fā)現(xiàn)不了它，但可以看到總的基本內(nèi)存640K之中少了那么區(qū)區(qū)1k或幾K。病毒觀察方法35b、注冊表觀察法這類方法一般適用于近來出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達到自動啟動或加載的，一般是在如下幾個地方實現(xiàn)：[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion病毒觀察方法36c、系統(tǒng)配置文件觀察法這類方法一般也是適用于黑客類程序，這類病毒一般在隱藏在system.ini、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell="項，而在wini.ini文件中有"load="、"run="項，這些病毒一般就是在這些項目中加載它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。病毒觀察方法37d、特征字符串觀察法這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應(yīng)的特征代碼，如CIH病毒就會在入侵的文件中寫入"CIH"這樣的字符串，當(dāng)然我們不可能輕易地發(fā)現(xiàn)，我們可以對主要的系統(tǒng)文件（如Explorer.exe)運用16進制代碼編輯器進行編輯就可發(fā)現(xiàn)，當(dāng)然編輯之前最好還要要備份，畢竟是主要系統(tǒng)文件。病毒觀察方法38e、硬盤空間觀察法有些病毒不會破壞你的系統(tǒng)文件，而僅是生成一個隱藏的文件，這個文件一般內(nèi)容很少，但所占硬盤空間很大，有時大得讓你的硬盤無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然后把所查看的內(nèi)容屬性設(shè)置成可查看所有屬性的文件，病毒一般把它設(shè)置成隱藏屬性的。刪除它即可，在進行電腦網(wǎng)絡(luò)維護過程中見到幾例子，明明只安裝了幾個常用程序，為什么在C盤之中幾個G的硬盤空間顯示就沒有了，用上述方法一般能很快地讓病毒顯形的。病毒觀察方法39f.進程觀察法查看任務(wù)管理器中是否有可疑進程,如占用內(nèi)存或CPU資源比較大的進程.病毒觀察方法40常見病毒傳播方式的防范建議41流行病毒傳播方式通過郵件附件傳播病毒，如Sobig等郵件病毒；通過無口令或者弱口令共享傳播病毒，如Nimda、Mumu、Lovegate等；

利用操作系統(tǒng)或者應(yīng)用系統(tǒng)漏洞傳播口令，如沖擊波蠕蟲、Sqlslammer蠕蟲等。42針對利用系統(tǒng)漏洞傳播的病毒建議目前通過系統(tǒng)漏洞傳播的病毒的危害最嚴(yán)重。這種病毒是目前防毒廠商比較難于處理的。一方面，傳統(tǒng)防毒廠商對系統(tǒng)漏洞的研究不夠深入，往往不能及時地拿出全面的根本解決方案；另一方面，這種病毒的傳播速度很快，對網(wǎng)絡(luò)負(fù)載也有較大的影響，使得網(wǎng)絡(luò)防毒產(chǎn)品也無法及時進行更新。43日常工作中，強制要求配置WindowsUpdate自動升級（僅對Windows2000/XP、且能夠與互聯(lián)網(wǎng)聯(lián)通的系統(tǒng)有效）日常工作中，定期通過漏洞掃描產(chǎn)品查找存在漏洞的主機（但是部分漏洞無法通過這種方式進行確定），對發(fā)現(xiàn)存在漏洞的用戶，要求定時升級，否則進行斷網(wǎng)或者記錄。針對利用系統(tǒng)漏洞傳播的病毒建議44當(dāng)安全服務(wù)商緊急公告發(fā)布時（通常是嚴(yán)重漏洞），給全體員工（或者是經(jīng)過檢查，尚未安裝補丁的員工）下發(fā)安全通知，將安全補丁作為附件，要求立即安裝補丁并重新啟動，如果已經(jīng)被感染，則附上專門的查殺工具，要求進行斷網(wǎng)殺毒。也可以在域控制器上設(shè)置自動登錄腳本，當(dāng)用戶登錄時，強制安裝安全補丁后重新啟動，以幫助非技術(shù)用戶盡快安裝補丁。針對利用系統(tǒng)漏洞傳播的病毒建議45對于已經(jīng)感染病毒的主機，應(yīng)該盡可能斷網(wǎng)后進行處理，首先安裝補丁，推薦使用專殺工具進行查殺，重新啟動后即可?？焖僬莆盏谝粫r間病毒爆發(fā)信息針對利用系統(tǒng)漏洞傳播的病毒建議46通過共享和弱口令傳播的病毒建議嚴(yán)格來說，通過共享和弱口令傳播的蠕蟲大多也利用了系統(tǒng)漏洞。這類病毒會搜索網(wǎng)絡(luò)上的開放共享并復(fù)制病毒文件，更進一步的蠕蟲還自帶了口令猜測的字典來破解薄弱用戶口令，尤其是薄弱管理員口令。對于采用這種方式傳播的病毒，需要技術(shù)和管理手段并行的方式進行。47對于支持域的內(nèi)部網(wǎng)來說，需要在域控制器的域安全策略上增加口令強度策略，至少需要保證長度最小值為6，開啟密碼復(fù)雜度要求。開啟密碼過期策略對防護此種攻擊作用不大。通過共享和弱口令傳播的病毒建議48定期對網(wǎng)絡(luò)中的登錄口令進行破解嘗試，可以使用一些免費工具進行檢查，發(fā)現(xiàn)可能存在的弱口令。存在弱口令的主機必須及時通知使用者修改，未及時關(guān)閉者將限制網(wǎng)絡(luò)訪問。通過共享和弱口令傳播的病毒建議49使用共享掃描工具定期掃描開放共享，發(fā)現(xiàn)開放共享的主機必須及時通知使用者關(guān)閉，未及時關(guān)閉者將限制網(wǎng)絡(luò)訪問。通過共享和弱口令傳播的病毒建議50通過郵件傳播的病毒建議如果發(fā)現(xiàn)有不認(rèn)識的人發(fā)來的郵件，在接收的時候一定要謹(jǐn)慎，特別是有附件的郵件，附件的名稱越具有誘惑力，是病毒的可能性就越大。在計算機正常使用的時候最好打開郵件監(jiān)控程序，這樣雖然不能避免中毒，但是可以在病毒外發(fā)郵件的時候?qū)⑵湓诘谝粫r間內(nèi)發(fā)現(xiàn)。對于網(wǎng)絡(luò)管理人員，尤其是郵件服務(wù)器的管理人員要經(jīng)常的對郵件服務(wù)器的日程流量進行統(tǒng)計，一旦發(fā)現(xiàn)郵件服務(wù)器的外發(fā)郵件的流量出現(xiàn)猛增的話就說明有可能在企業(yè)的網(wǎng)絡(luò)中存在病毒。在客戶端（主要是Outlook）限制訪問附件中的特定擴展名的文件。Outlook2002內(nèi)置此支持，Outlook2002之前的版本需要安裝補丁方能支持附加安全控制。其他郵件客戶端不支持此特性。51建議匯總由于目前不少病毒采用多種方式混合進行傳播，因此對上面三種類型的病毒傳播方式都要進行控制，方能有效地降低被病毒侵襲的影響，僅僅做一種處理，效果是不明顯的。

執(zhí)行防護措施時，可以根據(jù)實際情況作一些考慮，下面是我們的一些實施建議：52第一階段：預(yù)設(shè)置首先對網(wǎng)絡(luò)中的主機進行分類，建議分為：普通用戶，服務(wù)器、管理層用戶。確定病毒防范策略，并對高層領(lǐng)導(dǎo)進行匯報，獲得相應(yīng)的處理權(quán)力的正式授權(quán)。在目前的郵件服務(wù)器前段安裝網(wǎng)關(guān)防毒產(chǎn)品(可選措施)，從網(wǎng)關(guān)過濾郵件病毒。所有用戶必須強制安裝網(wǎng)絡(luò)防毒客戶端，不允許關(guān)閉、刪除或者禁用，一旦發(fā)現(xiàn)將予以警告記錄。53第二階段：日常工作使用弱口令的掃描和審計工具定期檢測網(wǎng)絡(luò)中的弱口令和開放共享，對于存在弱口令用戶的設(shè)備使用者進行通告，未能按期修補的，按照病毒防范策略進行斷網(wǎng)或記入公司考評處理。使用漏洞掃描器定期檢查網(wǎng)絡(luò)中存在漏洞的主機，對于存在嚴(yán)重安全問題的設(shè)備使用者進行通告，未能按期修補的，按照防范策略進行斷網(wǎng)或記入公司考評處理。54網(wǎng)絡(luò)防毒產(chǎn)品根據(jù)病毒防范策略定期定時進行掃描。每月進行匯總，對感染病毒次數(shù)最多的用戶進行通報。移動用戶在可能的情況下，需要首先進行查殺病毒后方可接入網(wǎng)絡(luò)。根據(jù)權(quán)威機構(gòu)發(fā)布的安全通告級別，確定是否進入緊急處理狀態(tài)。進入安全緊急狀態(tài)時，安全管理員根據(jù)策略應(yīng)具備相應(yīng)的事件處理權(quán)力。第二階段：日常工作55第三階段：緊急事件處理緊急事件狀態(tài)是指當(dāng)接收到安全服務(wù)商的最高級別安全通告或已經(jīng)確認(rèn)開始爆發(fā)蠕蟲事件時，管理人員應(yīng)該進行的應(yīng)急處理工作。在這個狀態(tài)下，安全管理員具有更多的權(quán)限，包括強制性補丁安裝和對特定設(shè)備申請斷網(wǎng)等。進入緊急狀態(tài)時，可以使用域登錄腳本給普通用戶，尤其是非技術(shù)用戶自動安裝補丁。56對于存在問題的尚未感染或已經(jīng)感染病毒的服務(wù)器，通知到人，并且必須在當(dāng)天完成殺毒和修補工作，否則將進行斷網(wǎng)設(shè)置和通報備案。對于高層管理人員的設(shè)備，安全管理員將協(xié)同系統(tǒng)管理員一起，直接為此類用戶進行殺毒和修補的工作。第三階段：緊急事件處理57根據(jù)安全服務(wù)商的其他建議，要求集成商或網(wǎng)絡(luò)管理員進行臨時性的訪問控制、流量限制等工作?？傮w策略上來看，對于普通用戶，尤其是非技術(shù)員工，盡量以自動和強制性執(zhí)行的策略進行管理；對于服務(wù)器管理員，應(yīng)該通過自主修補，安全管理員監(jiān)督的方式管理；對于高層管理用戶，則建議由安全管理員直接支持的方式進行。第三階段：緊急事件處理58

建議個人用戶養(yǎng)成好習(xí)慣!!!59防病毒建議系統(tǒng)經(jīng)常打補??；禁止完全共享，系統(tǒng)加上強密碼；不要隨意打開不明郵件及附件；不要瀏覽不健康網(wǎng)頁；有一套防病毒軟件并經(jīng)常升級，保持最新版本。經(jīng)常做數(shù)據(jù)備份60病毒發(fā)作后的急救措施61軟件方面1)首先斷開全部網(wǎng)絡(luò)連接，以免病毒向其他在線電腦傳播，然后馬上用殺毒軟件進行掃描殺毒工作(記得要先掃描內(nèi)存、引導(dǎo)區(qū))；2)趕快備份和轉(zhuǎn)移重要文檔到安全地方(軟盤、光盤)，記錄賬號、密碼等資料，等病毒清除完畢后再作處理；3)平時曾用GHOST備份的，可以利用映像文件來恢復(fù)系統(tǒng)。4)沒有進行備份，并且機器中數(shù)據(jù)并不重要的，可以重新安裝系統(tǒng)和程序。62硬件方面1)BIOS或CMOS被破壞的，需要找尋相同類型的主板，然后用熱插拔的方法進行恢復(fù)。此方法存在著極大的危險性，最好找專業(yè)技術(shù)人員代你進行恢復(fù)。2)硬盤引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)被破壞的，可以嘗試用硬盤修復(fù)工具進行修復(fù)。63沖擊波病毒處理方法病毒名稱：Worm.Blaster

發(fā)作時間：隨機

病毒類型：蠕蟲病毒

傳播途徑：網(wǎng)絡(luò)/RPC漏洞

依賴系統(tǒng)：MicrosoftWindowsNT4.0/MicrosoftWindows2000/MicrosoftWindowsXP/MicrosoftWindowsServer2003

病毒尺寸：6,176字節(jié)64沖擊波病毒處理方法沖擊波（Worm.Blaster）病毒是利用微軟公司在7月21日公布的RPC漏洞進行傳播的，只要是計算機上有RPC服務(wù)并且沒有打安全補丁的計算機都存在有RPC漏洞。該病毒感染系統(tǒng)后，會使計算機產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟,不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。下面是彈出RPC服務(wù)終止的對話框的現(xiàn)象：65沖擊波病毒處理方法手工處理方法

1.斷網(wǎng)2.結(jié)束msblast.exe進程3.刪除msblast.exe文件4.刪除注冊表啟動項中msblast.exe5.給系統(tǒng)打補丁66沖擊波病毒處理方法67沖擊波病毒處理方法一、

DOS環(huán)境下清除該病毒：

1.當(dāng)用戶中招出現(xiàn)以上現(xiàn)象后，用DOS系統(tǒng)啟動盤啟動進入DOS環(huán)境下，進入C盤的操作系統(tǒng)目錄.

操作命令集：

C:

CDC:\windows(或CDc:\winnt)2.查找目錄中的“msblast.exe”病毒文件。

命令操作集：

dirmsblast.exe/s/p3.找到后進入病毒所在的子目錄，然后直接將該病毒文件刪除。

Delmsblast.exe68沖擊波病毒處理方法二、

在安全模式下清除病毒

如果用戶手頭沒有DOS啟動盤，還有一個方法，就是啟動系統(tǒng)后進入安全模式，然后搜索C盤，查找msblast.exe文件，找到后直接將該文件刪除，然后再次正常啟動計算機即可。69

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲面臨的主要威脅701、病毒入侵風(fēng)險時時存在，病毒入侵的途徑多種多樣：

EMAILINTERNETINTRANET

軟盤、光盤、U盤筆記本2、從上述任何入口進入網(wǎng)絡(luò)的病毒迅速傳播泛濫，一個點就可以影響整個網(wǎng)絡(luò)，造成危害和損失：不能正常連接互聯(lián)網(wǎng)，無法收發(fā)電子郵件大量占用內(nèi)部網(wǎng)絡(luò)資源，OA、ERP等網(wǎng)絡(luò)軟件無法正常使用計算機資源被大量占用，計算機無法正常使用造成數(shù)據(jù)丟失、泄密這么多病毒入口，我們怎么防???迅速泛濫、造成危害和損失!!!我們的病毒安全隱患到底在哪里？71一點入侵迅速泛濫72病毒入侵網(wǎng)絡(luò)后造成危害

對單機-占用系統(tǒng)資源、破壞數(shù)據(jù)、系統(tǒng)癱瘓

對網(wǎng)絡(luò)-占用網(wǎng)絡(luò)帶款、應(yīng)用網(wǎng)絡(luò)應(yīng)用竊取用戶信息73網(wǎng)絡(luò)防病毒的特點74

1、安全防范的層次性-網(wǎng)絡(luò)整體、桌面系統(tǒng)、應(yīng)用系統(tǒng)2、由“點”及“面”的統(tǒng)一、強制性安全管理3、全網(wǎng)統(tǒng)一升級

4、重大病毒疫情發(fā)生時，實施全網(wǎng)病毒防范策略

5、提升到專業(yè)的防病毒安全管理水平75能用單機版防護網(wǎng)絡(luò)病毒嗎？單機版反病毒軟件其設(shè)計思路即是為單臺計算機提供反病毒及防護功能，而不是針對局域網(wǎng)，故根本無法做到在網(wǎng)絡(luò)環(huán)境下對病毒的徹底查殺，特別是近年來連續(xù)出現(xiàn)的惡性網(wǎng)絡(luò)病毒（如紅色代碼、尼姆達、求職信、蠕蟲王、沖擊波殺手等）充分利用了網(wǎng)絡(luò)的特點進行傳播，只有借助專門為網(wǎng)絡(luò)環(huán)境設(shè)計的網(wǎng)絡(luò)版反病毒軟件，才能在全網(wǎng)范圍內(nèi)有效根除電腦病毒的危害。網(wǎng)絡(luò)病毒的防治76全網(wǎng)統(tǒng)一配置防毒策略全網(wǎng)統(tǒng)一查殺病毒,沒有死角全網(wǎng)統(tǒng)一升級版本統(tǒng)一全網(wǎng)防毒狀況一目了然全網(wǎng)防毒工作輕松簡單單機版與網(wǎng)絡(luò)版的區(qū)別77層次性：

互聯(lián)網(wǎng)入口：（1）防火墻–防止黑客攻擊（2）防毒墻–視網(wǎng)絡(luò)為一整體進行病毒入侵和黑客攻擊防范桌面系統(tǒng)：（1）服務(wù)器–WINODWSServer/UNIXServer/LINUXServer（2）客戶端–WINODWS9X/ME/2000PRO/XP服務(wù)支撐：（1）安全廠家提供直接的咨詢、緊急救援服務(wù)（2）當(dāng)?shù)胤?wù)商提供及時的本地化維護服務(wù)針對性：

郵件應(yīng)用：（1）郵件服務(wù)器防病毒系統(tǒng)（2）郵件客戶端防病毒系統(tǒng)網(wǎng)絡(luò)防毒體系建立7879郵件防病毒示意圖

打破傳統(tǒng)基于客戶端郵件監(jiān)控，在郵件服務(wù)器上直接進行帶毒郵件的查殺安裝只須在郵件服務(wù)器上進行，通過智能升級總能保持最新版本對郵件附件進行實時掃描，進行雙層實時監(jiān)控，監(jiān)控范圍全面，安全系數(shù)高對帶毒郵件進行隔離備份，特殊情況可以還原詳盡記錄病毒檢測結(jié)果，追蹤病毒來源、方便檢索和管理80

1、安全防范的層次性-網(wǎng)絡(luò)整體、桌面系統(tǒng)、應(yīng)用系統(tǒng)2、由“點”及“面”的統(tǒng)一、強制性安全管理3、全網(wǎng)統(tǒng)一升級

4、重大病毒疫情發(fā)生時，實施全網(wǎng)病毒防范策略

5、提升到專業(yè)的防病毒安全管理水平81

由“點”及“面”，掌握信息，實施對應(yīng)安全管理策略

網(wǎng)絡(luò)版殺毒軟件可以提供技術(shù)手段，使網(wǎng)絡(luò)安全管理工程師可以及時掌握網(wǎng)絡(luò)上的相關(guān)病毒信息，如：

網(wǎng)絡(luò)上有哪些病毒？哪些類型的病毒比較多？哪些病毒泛濫得比較厲害？哪些計算機感染了病毒、感染了什么病毒等信息？

掌握上述信息后，可以有針對性的實施病毒安全管