计算机病毒防范课件

第二章

病毒及恶意软件清除与防御技术计算机病毒防范补：病毒概述定义：

国外：计算机病毒是一段附着在其他程序上得可以实现自我繁殖的程序代码《中华人民共和国计算机信息系统安全保护条例》：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒防范发展阶段时间代表病毒DOS引导阶段87年小球、石头DOS可执行阶段89年耶路撒冷、星期天伴随,批次型阶段92年金蝉幽灵,多形阶段94年一半生成器,变体机阶段95年病毒制造机网络,蠕虫阶段95年蠕虫视窗阶段96年DS.3873宏病毒阶段96年宏病毒互联网阶段97年邮件、数据包爪哇,邮件炸弹阶段97年javasnake计算机病毒防范病毒的特点破坏性灵活性传染性潜伏性衍生性针对性隐蔽性计算机病毒防范病毒的种类按传染方式分类驻留型非驻留型按破坏能力分类良性恶性按特有的算法分类伴随性蠕虫寄生型计算机病毒防范按链接方式分类源码型入侵型操作系统型外壳型计算机病毒防范病毒的工作原理引导型文件型混合型计算机病毒防范CIH病毒1998年7月26日、1003字节1、驻留阶段：带毒exe文件执行时，病毒修改入口地址，驻留内存，184字节2、感染阶段：586字节，文件开启时，病毒取回该文件的名字和路径，判断文件格式，决定感染与否3、发作阶段：从cmos的70、71判断日期，通过bios端口地址0CFEH和0CFDH向引导块写乱码，造成主机无法启动，覆盖硬盘。计算机病毒防范CIH的预防、检测与清除采取一般病毒的措施修改主机的日期讲主板的FlashRom跳线设置为disable，阻止改写BIOS计算机病毒防范2.2宏病毒的清除与预防宏加速日常编辑和格式设置的命令组合，使一系列复杂的任务自动执行wordbasic编写对所有文档有效/基于特定模板的文档有效只有模板文件才能存储宏指令计算机病毒防范宏病毒的工作原理主要通过模板中的自动宏（auto）来传播打开某正常.doc文件启动normal.dot模板染毒计算机病毒防范宏病毒的清除手工清除打开宏菜单（alt+f11），在normal.dot中删除是病毒的宏对于已染病毒的文件首先应将Normal.dot中的自动宏清除(AutoOpen、AutoClose、AutoNew)；然后将Normal.dot置成只读方式保存清洁文档杀毒工具清除计算机病毒防范宏病毒的预防设置安全级别卸载VBA按住SHIFT键可以阻止自动宏的运行.DOC的文件变成模板时，则可怀疑其已染宏病毒计算机病毒防范蠕虫的起源蠕虫的原始定义计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。蠕虫定义的进一步说明

计算机病毒攻击文件系统，传染是关键，使用者的水平决定了病毒所能造成的破坏程度。蠕虫主要是利用计算机系统的漏洞进行传染，与使用者的计算机水平无关计算机病毒防范蠕虫的分类与漏洞蠕虫的分类主机蠕虫网络蠕虫蠕虫与漏洞

邮件蠕虫利用MIME漏洞的文件描述网页蠕虫利用IFrame和MIME漏洞系统漏洞蠕虫利用缓冲区溢出计算机病毒防范蠕虫的工作方式与扫描策略蠕虫的工作方式搜索扫描

负责探测存在漏洞的主机攻击

取得找到的主机的权限

复制繁殖模块通过原主机和新主机之间的交互，将蠕虫程序复制到新主机并启动。计算机病毒防范蠕虫的行为特征..主动攻击..行踪隐蔽..利用系统、应用服务器的漏洞..造成网络拥塞..消耗系统资源、降低系统性能..产生安全隐患..反复性..破坏性计算机病毒防范蠕虫的防治蠕虫的防治策略..修补系统漏洞..分析蠕虫行为..重命名或删除命令解释器..防火墙..公告..更深入的研究计算机病毒防范蠕虫的防治周期..预防阶段..检测阶段..遏制阶段蠕虫的检测与清除..对未知蠕虫的检测..对流量异常的统计分析..对已知蠕虫检测..蠕虫的清除蠕虫的防治计算机病毒防范蠕虫技术的发展超级蠕虫分布式蠕虫动态功能升级技术通信技术与黑客技术结合与病毒技术的结合计算机病毒防范ARP病毒地址解析协议arp-aarp-darp-s计算机病毒防范木马特洛伊木马(TrojanHorse)原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。计算机病毒防范木马的组成部分(1)硬件部分

建立木马连接所必须的硬件实体控制端，服务端以及INTERNET载体。

(2)软件部分

实现远程控制所必须的软件程序。控制端程序，木马程序，木马配置程序。(3)具体连接部分

通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP，控制端端口，木马端口。计算机病毒防范木马的原理配置木马