计算机病毒分析防范技术

1、讲解人：讲解人：电电 话：话：E-mailE-mail： 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势n破坏性破坏性是计算机病毒的首要特征，不具

2、有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。n隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采

3、用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。l传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。l潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。一次非授权的加载，病毒进入内存病毒引导模块被执行修改系统参数，引入传染和表现模块监视系统运行传染条件是

4、否满足触发条件是否满足进行传染进行表现 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势2010年上半年，瑞星“云安全”系统共截获新增病毒样本4221366个。在病毒分类统计中，木马病毒共有2344637个，占总体55.5

5、4%，紧随其后的依次为“后门病毒”、“蠕虫病毒”、“Rootkit”。 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立 第第1节节 计算机病毒分类介绍计算机病毒分类介绍 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解通过网络、 U盘进行传播感染局域网内服务器及

6、主机自动打包 .doc、.excel、.ppt 、.pdf等文档文件通过网络将数据发至木马制作人 第第1节节 计算机病毒分类介绍与实例分析计算机病毒分类介绍与实例分析 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解 第第1节节 计算机病毒分类介绍与实例分析计算机病毒分类介绍与实例分析 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解9月28日，瑞星率先向用户发布安全警告，“超级工厂病毒”（Stuxn

7、et）在国内进入爆发期，目前，已有600万个人用户及近千企业用户遭到此病毒攻击。该病毒利用西门子自动控制系统（SieMens Simatic Wincc）的默认密码安全绕过漏洞，读取数据库中储存的数据，并发送给注册地位于美国的服务器。窃取数据后病毒会抹掉一些电子痕迹，所以网络管理员可能在一段时间之后才会发现曾遭到攻击。病毒窃取的资料包括：计算机名、IP地址、windows系统版本、是否安装了工控软件等。根据瑞星技术部门的分析，“超级工厂病毒”（Stuxnet）在侵入用户电脑后，会向注册地位于美国亚利桑那州的服务器发送信息，接受其指令。黑客可以利用该服务器，向中毒电脑发送“读写文件”、“删除文件

8、”“创建进程”等多项危险命令。同时，该病毒会感染在电脑上使用的U盘，这些U盘被用到重要企业和政府机构的内网后，就会根据黑客实现发布的指令进行多种资料窃取和破坏活动。这种攻击手段，曾在许多军事黑客案例中被使用，通常被称为“U盘跳板攻击”。如果黑客发现中毒电脑安装了工控软件，就会针对其进行重点侦测和探查。从而充当进一步侵袭企业内网的工具。同时，黑客的指令也会通过U盘传递到工控系统内部，可以进行多种危险操作。Worm.Win32.StuxnetWorm.Win32.Stuxnet病毒分析病毒分析病毒名称：病毒名称：Worm.Win32.Stuxnet病毒概述：病毒概述：这是一个可以通过微软MS10-

9、046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。传播方式：传播方式：1.通过MS10-046漏洞传播2.通过MS10-061漏洞传播3.通过共享文件夹传播4.通过MS08-067漏洞传播 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介

10、绍与安全体系建立 第第1节节 反病毒技术的发展状况和未来趋势反病毒技术的发展状况和未来趋势 第第2节节 病毒分析基础知识病毒分析基础知识 第第3节节 计算机病毒的预防和紧急手工处理计算机病毒的预防和紧急手工处理80年代中期，病毒开始流行，消病毒程序软件出现1234580s末90s初，病毒数量激增，硬件防病毒卡出现90s中杀防集成化，90s末出现实时防毒的反病毒软件2000年前后，出现集中控制分布处理的网络杀毒软件2003年左右，出现具备防毒功能的硬件网关设备瑞星的主动防御从何而来瑞星的主动防御从何而来? ?98、99版只有病毒扫描器千禧版出现简单的文件监控2001、2002版出现邮件监控、网页

11、监控2003、2004版注册表监控、引导区监控、内存监控2005、2006、2007版增加漏洞攻击监控、IE防漏墙主 动防 御 第第1节节 反病毒技术的发展状况和未来趋势反病毒技术的发展状况和未来趋势 第第2节节 病毒分析基础知识病毒分析基础知识 第第3节节 计算机病毒的预防和紧急手工处理计算机病毒的预防和紧急手工处理HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MAC

12、HINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

13、ServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsNT CurrentVersionWindowsload、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinitHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun 第第1节节 反病毒技术的发展状况和未来趋势反病毒技术的发展状况和未