计算机安全培训

关于计算机安全培训培训提纲计算机病毒的概念和特征计算机病毒的分类计算机病毒的传染途径计算机病毒的检测和预防第2页,共41页，2024年2月25日，星期天如果我们在使用计算机时发现以下的一些异常情况系统无法启动；程序运行速度变慢，经常死机；硬盘被频繁访问，硬盘灯狂闪；

IE无法使用或未经授权自动打开；文件无法正确读取、复制，日期、时间、属性等发生变化等等……

这是都可能是感染病毒后的明显特征….第3页,共41页，2024年2月25日，星期天熊猫烧香冲击波第4页,共41页，2024年2月25日，星期天网页被修改QQ尾巴第5页,共41页，2024年2月25日，星期天一、什么是计算机病毒计算机病毒（ComputerVirus）“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。特点：自我复制、传染、破坏

计算机病毒不同于生物医学上的“病毒”，几乎所有的计算机病毒都是人为地故意制造出来的，有时一旦扩散出来后连制造者自己也无法控制。目前，全球已有的计算机病毒约7万余种。

第6页,共41页，2024年2月25日，星期天

它的所做所为与生物病毒很相像,下面表格将生物医学病毒与感染IBM-PC机的DOS环境下的病毒的特征进行对比。

生物病毒计算机病毒攻击生物机体特定细胞

攻击特定程序（所有*.COM和*.EXE文件[针对MS-DOS环境]）修改细胞的遗传信息，使病毒在被感染的细胞中繁殖

操纵程序使被感染程序能复制病毒程序被感染的细胞不再重复感染，并且被感染的机体很长时间没有症状

很多计算机病毒只感染程序一次，被感染的程序很长时间可以正常运行病毒并非感染所有的细胞，并且病毒可以产生变异

程序能够加上免疫标志，防止感染。但计算机病毒能够修改自身使免疫失效第7页,共41页，2024年2月25日，星期天非授权可执行性计算机病毒隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序；隐蔽性计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，它通常总是想方设法隐藏自身，防止用户察觉；计算机病毒的特征第8页,共41页，2024年2月25日，星期天

一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。

试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。

第9页,共41页，2024年2月25日，星期天传染性传染性是计算机病毒最重要的一个特征，病毒程序一旦侵入计算机系统就通过自我复制迅速传播。潜伏性计算机病毒具有依附于其它媒体（宿主）而寄生的能力，依靠寄生能力，病毒可以悄悄隐藏起来，然后在用户不察觉的情况下进行传染。第10页,共41页，2024年2月25日，星期天表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源，影响系统的正常运行。还有一些恶意病毒程序删除文件，甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。可触发性计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制，就会发作并进行传染；病毒程序可以依据设计者的要求，在一定条件下实施攻击。这个条件可以是敲入特定字符，某个特定日期或特定时刻，或者是病毒内置的计数器达到一定次数等。如"PETER-2"在每年2月27日会提三个问题，答错后会将硬盘加密。著名的"黑色星期五"在逢13号的星期五发作。国内的"上海一号"会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。第11页,共41页，2024年2月25日，星期天

病毒存在的媒体：

1.引导型病毒。2.文件型病毒。3.混合型病毒。4.非常住型病毒。5.常住型病毒。病毒破坏能力：

1.无害型病毒。2.无危险型病毒。3.低危险型病毒。4.高危险型病毒。按照病毒传播方式：

1.伴随型病毒。2.“蠕虫”型病毒。3.移动介质病毒。按病毒特有的算法分类：

1.练习型病毒。2.诡秘型病毒。3.变型病毒（“幽灵病毒”）计算机病毒的分类第12页,共41页，2024年2月25日，星期天网络病毒计算机网络传播感染网络中的可执行文件文件病毒感染计算机中的文件引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区

第13页,共41页，2024年2月25日，星期天蠕虫（worm）蠕虫程序主要利用系统漏洞进行传播。它通过网络、电子邮件和其它的传播方式，象蠕虫一样从一台计算机传染到另一台计算机。因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副本发送给这些计算机。蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。第14页,共41页，2024年2月25日，星期天病毒（virus）当已感染的软件运行时，这些恶性程序向计算机软件添加代码,修改程序的工作方式,从而获取计算机的控制权。这只是关于病毒感染的一个简单定义。第15页,共41页，2024年2月25日，星期天木马（trojan）木马程序是指未经用户同意进行非授权操作的一种恶意程序。它们可能删除硬盘上的数据，使系统瘫痪，盗取用户资料等。严格意义上说，特洛伊木马不是病毒（也就是说它们并不感染软件或者数据）。木马程序不能独立侵入计算机，而是要依靠黑客来进行传播，它们常常被伪装成“正常”软件进行散播。但木马程序造成的损失可能远远超过因常规病毒引起的损失。第16页,共41页，2024年2月25日，星期天黑客工具、危险软件例如广告软件（AdWare）、间谍软件（Spyware）、流氓软件、玩笑程序等等。

在不通知用户的情况下进入到用户的计算机中，有目的显示广告、收集用户个人或公司信息并把信息发送给程序的开发者，改变浏览器的设置（如首页、搜索页和安全级别等），创建用户无法进行控制的网络通信。有的时候，用户很难发现自己的计算机上已经安装了间谍软件,靠辅助的清理软件才可能发现。黑客工具一般是由黑客或者恶意程序安装到您计算机中，用来盗窃信息、引起系统故障和完全控制电脑的恶意程序。第17页,共41页，2024年2月25日，星期天第18页,共41页，2024年2月25日，星期天

最近，蠕虫成为传播最快的一种恶意程序，其次是病毒和特洛伊木马。某些恶意程序仅具备上述某种特征，有的甚至同时具备上述两种或者三种特征。第19页,共41页，2024年2月25日，星期天计算机病毒的传播途径通过计算机网络（互联网和局域网）进行传播计算机病毒可以附着在正常文件中通过互联网络进入一个又一个系统，黑客们将病毒或者恶意程序伪装成免费工具放在网站上让人们下载，或者在网站内添加自动执行的恶意脚本，修改系统注册表项、盗窃用户信息或在用户的计算机内安装恶意程序。自从利用信用卡实现在线购物、拍卖后，网络诈骗行为也变得非常普遍。第20页,共41页，2024年2月25日，星期天局域网一般指企业和家庭中的内部网络。在局域网内的计算机可以在网内自由的进行数据的存储、交换和访问。这样，如果局域网中的一台计算机感染了病毒，那么局域网内的其它计算机也将面临巨大的安全威胁。所以，我们建议在局域网的每台计算机上都安装防病毒软件。第21页,共41页，2024年2月25日，星期天通过电子邮件进行传播

当用户的计算机（安装过邮件客户端）被感染后，计算机会在用户不知道的情况下，向用户的朋友和工作伙伴发送病毒邮件。通常情况下，一些正常的商业信息文件也会随染毒邮件一起被发送出去。一般情况下，只要有少数人被感染，就有可能会有成千上万的人收到染毒信件。第22页,共41页，2024年2月25日，星期天通过移动存储设备进行传播包括软盘、U盘，硬盘等，在移动存储设备中，软盘/U盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。目前，大多数计算机都是从这类途径感染病毒的。通过互联网上点对点通信系统和无线通道传播例如聊天工具QQ，MSN等等。发送一些链接，让对方打开，这也是感染病毒的常见方式。第23页,共41页，2024年2月25日，星期天利用系统、应用软件的漏洞进行传播；利用系统配置缺陷传播，如弱口令、完全共享等；利用欺骗等社会工程的方法传播。第24页,共41页，2024年2月25日，星期天计算机病毒的感染过程计算机病毒主要通过四个过程来感染载体：加载→触发→感染→发作。计算机病毒的传播过程可简略示意如下：第25页,共41页，2024年2月25日，星期天常见电脑病毒发作症状病毒对计算机的影响操作系统病毒现象：引导系统时间变长；计算机处理速度比以前明显放慢，反应比较迟钝；计算机经常死机或者重启；系统文件出现莫名其妙的丢失或字节变长、日期修改等现象；在运行熟悉的软件时常出现内存不够的警告，病毒已驻入内存第26页,共41页，2024年2月25日，星期天系统生成一些特殊文件；驱动程序被修改使得某些外设不能正常工作；硬盘频繁被访问，指示灯一直在闪；坏轨增加；有些病毒会将某些磁区标注为坏轨,而将自己隐藏其中,于是往往扫毒软体也无法检查病毒的存在,例如DiskKi_ll.也会寻找3或5个连续未用的磁区,并将其标示为坏轨。第27页,共41页，2024年2月25日，星期天应用程序病毒现象：启动程序出现“非法操作”等现象；应用程序文件变大；正常情况下,这些程式应该维持固定的大小,但有些较不聪明的病毒,会增加程式的大小。(Funlove.4099)外壳型病毒藏在可执行文件之中。应用程序不能被复制、移动、删除，档案奇怪的消失；硬盘上出现大量无效文件；某些程序运行时载入时间变长。第28页,共41页，2024年2月25日，星期天计算机病毒的检测以及预防

通常计算机病毒的检测方法有两种自动检测通过诊断软件来判读系统或软盘是否有毒的方法。自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件，才可方便地检测出病毒。但是，自动检测工具只能识别已知病毒，而且自动检测工具的发展总是滞后于病毒的发展，所以检测工具对未知病毒很难识别。第29页,共41页，2024年2月25日，星期天手工检测它的基本过程是利用一些工具软件，对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查，通过和正常情况下的状态进行对比分析，来判断是否被病毒感染。这种方法检测病毒，费时费力，但可以剖析新病毒，检测识别未知病毒，可以检测一些自动检测工具不认识的新病毒。计算机病毒的防治要从防毒、查毒、解毒三方面来进行。根据系统情况查询病毒名称---杀掉病毒进程---删掉病毒文件---清除病毒的启动方法---在系统上全盘杀毒第30页,共41页，2024年2月25日，星期天

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）SystemIdleProcess这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间（不可以从任务管理器中关掉。）winlogon.exe这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框smss.exeSessionManager这是一个会话管理子系统，负责启动用户会话。csrss.exe子系统服务器进程，负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。services.exe包含很多系统服务第31页,共41页，2024年2月25日，星期天lsass.exe这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。管理IP安全策略和IP安全驱动程序。svchost.exe在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。包含很多系统服务。SPOOLSV.EXE管理缓冲池中的打印和传真作业(系统服务)。explorer.exe资源管理器internat.exe托盘区的拼音图标Ctfmon.exe输入设备识别程序第32页,共41页，2024年2月25日，星期天防止计算机感染病毒的几种简单方法一、及时更新系统漏洞补丁打开WINDOWS系统自带的WindowsUpdate功能，自动下载安装补丁，修复操作系统存在的安全与漏洞。二、安装杀毒软件和防火墙起到一定的防毒和杀毒作用，要及时对杀毒软件升级,更新到最新的病毒库，以保证计算机受到持续地保护。三、不要随便浏览陌生的网站目前在许多网站中，总是存在有各种各样的弹出窗口，如：最好的网络电视广告或者网站联盟中的一些广告条。第33页,共41页，2024年2月25日，星期天四、不要轻易打开陌生的电子邮件附件现在，很多木马程序附加在邮件附件中，收邮件者一旦点击附件，它就会立即运行。所以，千万不要打开那些不熟悉的邮件，特别是标题有点乱的邮件，往往就是木马携带者。如果要打开的话，可以用纯文本方式阅读信件，更加不要随便回复陌生人的邮件。五、不要随便下载视频文件、软件运行对于从网上下载的软件在安装、使用之前一定要用反病毒软件进行检查，确定没有木马程序再执行、使用。如果必须安装，须仔细阅读《用户协议》，看该软件发布者是否捆绑了“流氓软件”。建议到一些正规的软件下载站点下载，避免收到病毒的侵扰。第34页,共41页，2024年2月25日，星期天六、不要安装来历不明的软件，不要轻易相信他人不要因为是我们的好朋友发来的软件就运行，因为我们不能确保他的电脑就不会有木马程序。当然，好朋友故意欺骗的可能性不大，但也许他（她）中了木马程序自己还不知道呢！况且今天的互联网到处充满危机，也许是别人冒名给我们发的邮件。七、密码不要太简单这种太容易就能破解了，比如说生日吧，这样黑客可以根据生日日期的规则很好破解。浏览网站时，不要让别人很容易的得到你的信息。这包括身份证号码、电话号码、社会安全号码、您的手机号码等。第35页,共41页，2024年2月