计算机病毒原理及防范解决技术

网络安全防病毒知识培训,1.病毒的定义,1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”,一、计算机病毒知识,2.计算机病毒传播3个必要条件,与医学上的“病毒”一样，计算机病毒传播也有3个必要条件：传染源（带毒的计算机、文件、邮件、网页等）传播途径： 介质（软盘、光盘）和网络（电子邮件、网络文件拷贝或下载、访问网页、系统漏洞）易感对象（所有的计算机都时感染对象，这里指易感对象。如完全共享文件夹、简单密码、有漏洞的系统） 切断上面3个必要条件中的任何一个都可防止病毒的传播，我们防范病毒就是从这3方面入手,一、计算机病毒知识,3.计算机病毒有哪些特征,可执行性传染性与传播性破坏性欺骗性隐蔽性和潜伏性可触发性,一、计算机病毒知识,4.病毒的发展趋势,依赖网络进行传播攻击方式多样（邮件，网页，局域网等）利用系统漏洞成为病毒有力的传播方式病毒与黑客技术相融合传染方式多传播速度快清除难度大破坏性强,一、计算机病毒知识,5.网络病毒传播方式图示,一、计算机病毒知识,6.企业防病毒误区,重“杀”不重“防”只反“毒”不防“黑” 杀毒软件不升级 认为不用软盘、光驱,没有共享文件夹，密码很复杂，就就不会感染病毒，因而无需选择杀毒软件 忽视对Unix和Linux系统的病毒防范,一、计算机病毒知识,7.企业局域网如何有效地防止网络病毒,对局域网用户进行安全防病毒知识培训，提供防范意识。建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级及时给系统打补丁去掉服务器中不必要的共享和服务安装优秀的网络版杀毒软件在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。对邮件服务器进行监控，防止带毒邮件进行传播！,一、计算机病毒知识,二、计算机病毒处理技术,1.查看系统中所有共享文件夹net share,二、计算机病毒处理技术,2.查看系统当前建立的所有连接netstat n,二、计算机病毒处理技术,3.手工清除病毒的步骤,a.找到主要病毒文件b.从注册表相关启动项中与病毒相关注册表项并删除c.重新启动计算机d.删除病毒文件e.找到感染病毒的原因，杜绝再次感染,二、计算机病毒处理技术,4.如何查找病毒启动项和病毒文件,一、启动项在哪？ Win2k HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceServices HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices AUTOEXEC.BAT文件中SYSTEM.INI中BOOT启动项目添加程序启动的快捷方式二、病毒文件在哪？ 1病毒文件寄生在Windows的安装目录下 %windir% 2病毒文件寄生在Windows的系统目录下%windir%system或者%windir%system32 3病毒文件一般是一下类型的可执行文件:*.exe、*.dll、*.bat等 4根据杀毒软件报警提示的病毒文件名称进行查找,二、计算机病毒处理技术,5.可能感染病毒的现象,你的机器近期启动是不是非常慢？你的应用程序是不是经常报告有故障，并自动关闭？你的机器访问网络是不是非常慢？你的机器部分功能是不是无故丧失？你的机器是不是经常出现蓝屏？你的机器是不是出现很多不知道干什么用的服务？你的机器用户账号都是你分配的吗？有没有你不知道干什么用的账号？你的机器在访问某些系统时是不是经常提示你输入某些个人信息？今天我的硬盘空间无故缺少了很多？,二、计算机病毒处理技术,6.感染病毒的过程举例,场景一:有一天，我接到一封邮件，邮件标题非常诱人，正是我想要的内容，我 欣喜万分，打开邮件，只是黑屏闪了一下，就没了。从此我的机器就开 始与我闹别扭，不是这有问题，就是那有问题。我的噩梦开始了。 场景二:小李是个游戏迷，有一天他到市场上买了张盗版的游戏牒片，赶紧安装到 机器，准备痛快的玩一下 ，安装后，要求重新启动机器，谁知启动后系统 速度异常的慢，而且越来越慢，最后干脆死机。 场景三:小王最新购以太PC机,厂家给他预装了win2K的系统。为了方便查阅internet 的信息，申请了能够上internet。小王在浏览网页时打开了对ActiveX,java组 件访问的限制，将浏览器的安全设置配置为最低安全，并且没有安病毒防火 墙。过了没有几天，他的机器开始死机，并且经常提示内存不足。应用软件 无缘无故关闭。 场景四:小张喜欢Qicq网上聊天。有一天登陆，提示输入Qicq号及其他一些信息。 录入完毕后开始聊天。但自从那天后，他的机器开始无缘无故出现故障。 场景五:小张出差了好今天，回来后打开电脑，准备看一下公司有什么新的动态， 联上网络后，开始很顺利的登陆了公司的系统。过了不一会，系统提示 需要重新启动机器。而且反复重新启动。,二、计算机病毒处理技术,7.病毒剖析(墨菲病毒),(一)、病毒类型：蠕虫病毒(二)、技术特征 该病毒采用穷举密码的方法破解远端系统的密码，并以此进行传播。在受感染计算机上 留下一个后门。病毒使用UPX进行压缩。(三)、技术细节 1、病毒激活后会在系统目录下生成以下文件:scardsvr32.exe, scardsvr32.dll,MoFei.DAT MoFei.MIS,MoFei.VER, MoFei.ID ; 2、病毒使用的程序和动态链接库都采用了UPX进行压缩； 3、病毒会在注册表里添加启动项 Win2000/Winxp HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SCardDrvImagePath = %SystemRoot%system32ScardSvr.exe win9x HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices SCardSvr = %Windows%System32SCardSvr.Exe; 4、病毒自带扫描工具，搜索tcp/135、tcp/139、tcp/445端口; 5、病毒自带攻击密码库; 6、病毒自带远程控制命令; 7、病毒自动安装后门; 8、病毒具有升级能力; 9、病毒利用系统默认共享admin$进行攻击;,二、计算机病毒处理技术,8.病毒剖析(墨菲病毒),( 四)、病毒分析: 该病毒几乎具有了病毒所有特征,并且具备了黑客攻击行为。病毒首先扫描网络上 的主机(随机生成,类似Dos攻击),会对网络出口造成大量sync连接,杜塞网络的正常连接. 病毒一但确认主机存在，利用系统默认共享admin$,利用自带的密码特征库，暴力破解 ，一旦破解成功，病毒将病毒文件复制到对方的系统目录下，并采用远程执行工具启动 病毒文件，注册启动项、注册账号、开启系统后门，完成感染。 该病毒利用了系统共享、以及弱口令等漏洞进行传染。 类似的网络蠕虫病毒传播有大致的传染过程，都是首先发现漏洞，利用漏洞 种植病毒，运行病毒程序，然后感染其他机器。,二、计算机病毒处理技术,9.在系统安装维护时的注意事项,a.因为现在网络上还存在冲击波病毒，在新安装系统时最好不要联网，待安装完成并打了ms03-026补丁后再联入网络。b.打补丁只能预防病毒，不能杀死病毒，如计算机已感染病毒，应用杀毒软件彻底杀干净。c.特别注