008病毒与木马防范课件

病毒与木马防范计算机病毒防范计算机木马防范计算机病毒定义计算机病毒分类与特征计算机病毒防范与清除杀毒软件使用计算机病毒防范计算机病毒定义在《中华人民共和国计算机信息系统安全保护条例》中定义为：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能生成自身的拷贝并且插入其他的程序中，执行恶意的行动。病毒未授权的内部访问系统入侵偷窥私人信息电信欺骗金融欺骗破坏被动搭线窃听主动搭线窃听笔记本电脑盗窃内部人员对网络的滥用73％68％57％39％10％20％30％40％50％60％70％80％021％73％16％14％13％13％9％1％

计算机病毒的危害据CSI/FBI计算机犯罪和安全调查报告中对攻击的分类调查显示，计算机病毒占所有攻击类型的首位.计算机病毒分类与特征1.按感染形式分类文件病毒：通过在执行系列中插入指令把自己依附在可执行文件上，此种病毒感染文件，并寄生在文件中，进而造成文件损坏。引导区病毒：潜伏在软盘的引导扇区，或在硬盘的引导区，或主引导纪录（分区扇区）中插入指令。如果计算机用被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。混合型病毒：具有引导型和文件型两种病毒的特性。CIH病毒就是这种混合型病毒。宏病毒：即感染可执行文件和一般文件。虽无严重的危害，但对系统的性能及用户工作效率有影响，在网络中进行交叉感染。“美丽杀手”就是一种宏病毒计算机病毒分类与特征2.按寄生方式分类代替式计算机病毒：计算机病毒用自身代码的部分或全部替代常规程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。连接式计算机病毒：这种方式一般以传染文件为主，即病毒与宿主文件相连接时宿主文件的字节长度增加，但不破坏原合法程序的代码。转储式计算机病毒：病毒将原合法的程序代码转储到存储介质的其他部位，而用病毒代码占据原合法程序的位置。充式计算机病毒：这种病毒有的传染引导程序，有的传染文件，病毒一般侵入宿的空闲存储空间，这样就不会改变宿主程序的字节长度。计算机病毒分类与特征3．按攻击方式分类这种方法划分有利于分析病毒的攻击对象和传染范围。源码病毒:

存在的形式为源码。可细分为Shell型和语言型。机器码病毒:指各种处理器的机器码构成的病毒，如Intel86系列病毒、Motorola的68000，系列病毒、Zilog系列病毒和acintosh系列病毒等。混合码病毒:两种形式都有则称为混合码病毒。计算机病毒分类与特征计算机病毒特征1.传染性:计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。2.隐蔽性:计算机病毒隐蔽性是指计算机病毒不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。3.潜伏性:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测，是检查不来的，因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。4.表现性:病毒的表现性是指当病毒触发条件满足时，病毒在被计算机病毒感染的计算机上开始发作，表现出一定的症状和破坏性。计算机病毒防范与清除综合防范措施（一）、安装一个可靠的、干净的系统，并做好Ghost备份。重装系统时要注意防止重复感染。

(二）、安装杀毒软件和个人防火墙、更新升级、全盘扫描。（三）、安装一个工具软件（如360安全卫士、瑞星卡卡、超级免子等）把系统的漏洞补丁打全。清理恶意代码、木马、恶评插件。注：安全卫士等仅仅是个工具软件，不能代替杀毒软件计算机病毒防范与清除（四）、养成良好的使用习惯（如①使用U盘前先查杀毒，不轻易双击U盘盘符；②不随意浏览不良网站或不熟悉的网站、不随意下载安装不明软件或电子邮件附件③经常升级杀软，杀毒、清理系统拉圾④重要数据经常做备份）（五）、使用尽量复杂的密码（如系统超级用户administrator密码、其它账号密码）（六）、禁止所有磁盘自动运行：运行输入gpedit.msc-->用户配置-->管理模板-->系统，双击右侧列表里的【关闭自动播放】，选择“所有驱动器”，然后选择“已启动”。确定退出。计算机病毒防范与清除计算机病毒防范与清除部分病毒手动清除方法例举U盘病毒变种：该病毒将自己伪装成U盘内已有的一个文件夹，使用文件夹图标，并使用同样的名称，而真正的文件夹却被隐藏起来。这样，用户以为是自己的文件夹而去点击打开，触发病毒程序运行，它会将U盘内的文件夹做同样处理，并在C:\WINDOWS\system32下建立XP-****.EXE的变名下载器，访问外网下载文件。只要手动删除XP-****.EXE文件即可。具体操作见图计算机病毒防范与清除删除更改系统时间的病毒计算机病毒防范与清除计算机病毒防范与清除利用KV3000修复硬盘逻辑锁KV3000的硬盘盘工具非常强大，可以搜索硬盘任一扇区的内容，并修改之。当进入KV3000的功能菜单画面后，按F6即进入硬盘救护箱。进入后的第一屏就是硬盘的MBR扇区的内容。其中红色闪烁的8001和55AA之间的内容就是硬盘分区表（如果硬盘只有一个活动分区和一个扩展分区的话）。画面上方的菜单功能：

F1＝HDPT查看MBR扇区内容

F2＝BOOT查看BOOT扇区内容

F3＝Input直接输入要查看的扇区NO.

F4=Search直接输入要搜索的ASCII值或16进制代码画面的下方的菜单功能：

F5＝Edit进入磁盘硬盘逻辑锁

Ctrl+F10=Write写硬盘扇区功能。在按F5之前按此键，可对硬盘扇区批量改写。使用功能时一定要确定无误，否则后果严重。当你对硬盘某一个扇区修改完毕后，可按此键进行存储。当你按下Ctrl+_F10后，屏幕会有提示：“Warning！！！Exit

(Y/N)（绿色字符）“如果你确定写盘操作，请按N，放弃退出后，再按Y确定写盘。如果你发觉自己的误操作时，可以按N放弃。计算机病毒防范与清除利用KV3000修复硬盘逻辑锁杀毒软件使用著名杀毒软件公司的站点地址瑞星/download.htm冠群金辰信源北京江民新技术公司（KV3000）

360杀毒软件赛门铁克/region/tw/Mcafee

Virusscan/down金山毒霸/ks/index.jspNorton

杀毒软件使用瑞星杀毒软件安装杀毒软件使用瑞星杀毒软件启动杀毒软件使用瑞星杀毒软件快速查杀杀毒软件使用瑞星杀毒软件设置计算机木马防范

木马定义木马入侵途径木马防范木马查杀木马定义“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere

等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)木马种类：键盘记录型木马主要用来截取用户的密码资料信息，类似于QQ、msn、魔兽世界等大多网游或即使通讯程序的密码，当然，对于用户网上银行的资料记录，这类木马也能够记录下来。远程监控型木马Dos攻击木马木马定义典型的C/S结构，隐蔽性差隐藏、自启动和操纵服务器等技术上有长足进步

隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马

采用改写和替换系统文件的做法

木马发展：第一代木马个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。第二代木马有能够进行的远程控制操作第三代木马由原来的服务端被动连接变为服务端主动连接第四代木马远程线程插入技术，将木马线程插入DLL线程中，增加了隐藏进程技术木马定义电子邮件、来历不明的文件、下载或安装的软件中附带、网页挂马。共享入侵、漏洞入侵、恶意代码入侵。木马入侵途径木马入侵途径木马连接方式:传统方式

端口反弹方式木马运行机制第一步：木马客户端会将自己的IP地址以及监听端口发送给一个“中间机器”，如某网页文件，http:///ip.txt，第二步：木马服务端会连接“中间机器”，获取服务端目前的IP地址和端口信息。第三步：木马服务端主动向客户端发出连接请求，直至双方建立连接成功木马入侵途径木马欺骗方式：捆绑欺骗把木马服务端和某个游戏，或者flash文件捆绑成一个文件邮件冒名欺骗压缩包伪装网页欺骗利用netsend欺骗木马入侵途径木马隐藏方式：在任务栏里隐藏任务栏中隐藏文件图标在任务管理器隐藏把木马设置为“系统服务”，通信端口的隐藏加载方式最新隐身技术通过修改虚拟设备驱动程序(VXD)或修改动态链接库(DLL)来加载木马木马入侵途径木马启动：在win.ini中启动在system.ini中启动通过启动组实现自启动*.ini修改文件关联捆绑文件反弹技术木马潜伏时的常见症状网速突然很慢，系统性能显著下降系统进程中出现陌生进程浏览器经常弹出网页窗口计算机莫名重启或关机木马入侵途径木马防范（一）、删除不必要的共享显示共享：netshare删除共享：netshare共享名/delete（二）、关闭非必须的系统服务（三）、关闭不必要的服务端口（见图）木马防范木马防范木马防范木马防范木马防范木马防范木马防范木马防范木马防范木马防范木马防范木马查杀手工查杀木马1.查看计算机启动时启动的所有程序有无陌生进程2.查看系统服务，有无非自身安装的服务。3.找到上述两种方式查找出的木马以及其相关程序路径。4.结束木马进程，删除木马启动项以及木马本身。木马查杀手工查杀木马清除灰鸽子的服务；删除灰鸽子程序文件，重启系统，进入“安全模式”设置显示所有文件在系统目录下，找到Setupdll.dll和Setupapi.dll修改注册表值HKEY_LOCAL_MACHING\SYSTEM\CurrentControlSet\Services，以点击查找找到灰鸽子对应的服务选项(GrayPigeon)来删除灰鸽子的自启动服务。木马查杀木马查杀工具－IceSword木马查杀木马查杀工具——AVGAnti-Spyware所谓“硬盘逻辑锁”是使用了某些DOS的一个错误制成的。它采用了“循环分区表”的技术，使某些有这个错误的DOS无法用任何设备启动，包括软盘等移动设备。当DOS启动时，系统会自动搜索硬盘中的各个分区的信息，如类型、大小等，以使系统能够识别硬盘，分别分配为C、D、E、F等驱动器，并使用户能对其进行各种操作。而“逻辑锁”正是利用了这一点，通过修改硬盘的分区表使分区表发生循环，即把扩展分区的第一个逻辑盘指向自身，使某些DOS系统启动时查找分区时发生死循环而无法启动。某些笔记本硬盘可以设置密码就是采用此法，因此一旦密码丢失硬盘将无法使用。附：硬盘