新版计算机病毒防治技术

目录8.2计算机病毒组成与传输28.3计算机病毒检测去除与防范38.4恶意软件危害与去除4

8.1计算机病毒概述1

8.5瑞星云安全软件应用试验58.6本章小结6第1页目录教学目标●掌握计算机病毒概念、产生、特点及种类●掌握计算机病毒组成、传输、触发以及新型病毒实例●掌握计算机病毒与木马程序检测、去除与防范方法●了解恶意软件危害与去除方法●了解瑞星云安全软件应用第2页8.1计算机病毒概述8.1.1计算机病毒概念及产生1.计算机病毒概念

计算机病毒（ComputerVirus），通常是指能够破坏计算机正常工作、人为编制一组计算机指令或程序。依据《中华人民共和国计算机信息系统安全保护条例》，对计算机病毒定义要求以下：“计算机病毒，是指编制或者在计算机程序中插入破坏计算机功效或者毁坏数据，影响计算机使用，并能自我复制一组计算机指令或者程序代码。”2.计算机病毒产生1983年11月3日，就读南加州大学博士硕士弗雷德·科恩（FredCohen），在UNIX系统下，编写了一个会自动复制，而且在计算机间进行传染从而引发系统死机小程序。今后，科恩为了证实其理论而将这些程序以论文形式发表在学术研讨会上，引发轰动。以前，即使有不少计算机教授都发出过计算机病毒可能会出现警告，但科恩才是真正经过实践让计算机病毒具备破坏性概念详细成形第一人。他一位教授将他编写那段程序命名为“病毒（Virus）”。第3页8.1计算机病毒概述8.1.2计算机病毒特点第4页8.1计算机病毒概述案例8-1计算机病毒种类样本

年上六个月，据江民反病毒中心、江民全球病毒监测预警系统、江民客户服务中心联合统计数据，截止到年6月31日，共截获新增各种计算机病毒（样本）数总计（包含木马、后门、广告程序、间谍木马、脚本病毒、漏洞病毒、蠕虫病毒）7584737个，其中新增木马（样本）4454277个，新增后门（样本）623791个，新增广告程序（样本）223639个，新增漏洞病毒（样本）166359个，其它病毒（样本）1063255个，各种新型病毒及变异还在不停改变。第5页8.1计算机病毒概述8.1.3计算机病毒种类无害型病毒无害型病毒主要指对系统和数据无破坏目的病毒。此类病毒往往以画面或声音的形式使感染病毒的用户知道其存在，并不会造成严重破坏。但通常此类病毒的存在会使CPU占用率大幅升高，增加系统负荷，降低其工作性能。典型的无害型病毒有台湾一号病毒、维也纳病毒等。危险型病毒危险型病毒是指会对系统和数据进行破坏，造成数据丢失，甚至整个计算机系统崩溃的一类计算机病毒。典型的危险型病毒有熊猫烧香病毒、极虎病毒等。毁灭型病毒毁灭型病毒会删除程序、破坏数据、清除系统内存区，甚至是操作系统中重要的数据信息。除对软件系统造成巨大程度破坏外，毁灭型病毒对硬件系统的破坏同样不容忽视，显示器、CPU、光驱、显卡、主板、硬盘等都有可能成为其攻击破坏的计算机硬件。1.依据病毒破坏程度划分第6页8.1计算机病毒概述2.依据病毒侵入操作系统划分DOS病毒DOS病毒是指在DOS环境下运行、传染的计算机病毒。由于计算机发展初期多为DOS操作系统，因此该病毒在目前普遍的Windows环境下发作的几率很小。Windows病毒Windows病毒是指能感染Windows可执行程序并可在Windows下运行的一类病毒。目前绝大部分用户安装的都是Windows系统，此类病毒不仅能感染Windows9X操作系统，更会感染安装为WindowsNT操作系统的计算机。Linux等系统病毒此类病毒为针对Linux、Unix等操作系统开发的病毒。此类病毒受系统免疫力及用户群数量影响，相对来说病毒量及发作率要小。第7页3.依据病毒依附载体划分引导区型病毒引导区型病毒是指以磁盘引导区或主引导区作为依附载体的病毒。该病毒在系统启动过程中，入侵系统，并依附于内存之中，达到监视和控制整个系统的目的，随时可以发作和进行传染。文件型病毒文件型病毒以其数量多，传播广的特点，成为计算机病毒中最为常见的一类病毒。此类病毒依托于系统中各种类型的文件，对宿主文件进行篡改，一旦运行则激活病毒发作。复合型病毒复合型病毒兼具引导区型病毒和文件型病毒两类病毒的特点。该病毒利用系统漏洞感染正常的如可执行文件、本地网页文件、电子邮件等，同时又感染引导区。例如，“艾妮”复合型病毒。宏病毒宏病毒是一类以文档或模板的宏为传播载体的计算机病毒。宏病毒影响对文档的各种操作。打开带有宏的文档，病毒就会立即发作，并留置在模板中。通过该模板打开的文档或自动保存的文档会立刻被传染上宏病毒。蠕虫病毒蠕虫病毒虽不用将自身依附于宿主程序，但此类病毒需要通过网络这个载体进行复制和传播。其主要传染途径有网络共享文件、电子邮件、恶意网页、存在着漏洞的服务器等。8.1计算机病毒概述第8页8.1.4计算机中毒异常现象表8-1计算机感染病毒常见现象非连网状态下连网状态下无法开机不能上网计算机蓝屏杀毒软件不能正常升级开机开启速度变慢自动弹出多个网页系统运行速度慢非连网状态下一切异常现象无法找到硬盘分区（以下类似不连网情形）开机后弹出异常提醒信息或声音文件名称、扩展名、日期以及属性等被非人为更改过数据非常规丢失或损坏无法打开、读取、操作文件硬盘存放空间意外变小计算机无故死机或自动重启CPU利用率靠近100%或内存占用值居高不下计算机自动关机课堂讨论1.什么是计算机病毒？2.计算机病毒含有什么经典特征？3.计算机感染病毒异常现象有哪些？8.1计算机病毒概述第9页8.2计算机病毒组成与传输8.2.1计算机病毒组成计算机病毒引导单元传染单元传染控制模块传染判断模块传染操作模块触发单元触发控制破坏操作第10页8.2.2计算机病毒传输8.2计算机病毒组成与传输计算机病毒传染性是计算机病毒最危险特点之一。计算机病毒潜伏在系统内,用户在不知情情况下进行对应操作激活触发条件,使其得以由一个载体传输至另一个载体，完成传输过程。伴随计算机广泛普及应用以及互联网飞速发展，计算机病毒传输也从传统惯用交换媒介传输，逐步发展到经过互联网进行全球化传输。1.移动式存放介质移动存放介质主要包含：软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、记忆棒（MemoryStick）、移动硬盘等。移动存放介质以其便携性和大容量存放性为病毒传输带来了极大便利，这也是它成为当前主流病毒传输路径主要原因。第11页网络传播电子

邮件下载

文件浏览

网页聊天通讯工具移动通信终端8.2计算机病毒组成与传输8.2.2计算机病毒传输第12页8.2.3计算机病毒触发和生存计算机病毒的触发计算机病毒的触发条件一般是指时间或操作条件融合多个触发条件的病毒程序计算机病毒的生存计算机病毒的寄生对象计算机病毒的生存方式8.2计算机病毒组成与传输第13页8.2.4特种及新型病毒实例木马木马一词源于古希腊传说中“特洛伊木马”（Trojanhorse），引申至计算机领域，能够了解为一类恶意程序。木马和病毒一样，均是人为编写应用程序，都属于计算机病毒范围。相对于普通计算机病毒来说，木马含有更加快传输速度以及愈加严重危害性，但其最大破坏性在于它经过修改图标、捆绑文件、仿制文件等方式进行伪装和隐藏自己，误导用户下载程序或打开文件，同时搜集用户计算机信息并将其泄露给黑客供其远程控制，甚至深入向计算机发动攻击。8.2计算机病毒组成与传输第14页案例8-2金山安全木马发展趋势汇报

年以来，绑架型木马增加迅猛，几乎占据了互联网新增木马主流。不论是木马开启方式，还是对用户电脑系统破坏性，绑架型木马均超出了传统木马以及感染型木马。而且杀毒软件对这类木马查杀技术也面临着严峻考验。

年之前，绑架型木马已经出现，但并没有大规模暴发。进入年，绑架型木马增加迅猛，仅年前9个月即新增绑架型木马943862个，占据新增木马84.2%。8.2计算机病毒组成与传输第15页8.2计算机病毒组成与传输实例1冰河木马连接功能控制功能口令的获取屏幕抓取远程文件操作冰河信使1.冰河木马主要功效激活冰河木马服务端程序G-Server.exe后，它将在目标计算机C：\Windows\system目录下自动生成两个可执行文件，分别是Kernel32.exe和Sysexplr.exe。假如用户只找到Kernel32.exe，并将其删除，那么冰河木马并未完全根除，只要打开任何一个文本文件或可执行程序，Sysexplr.exe就会被激活而再次生成一个Kernel32.exe，这就是造成冰河木马屡删无效，死灰复燃原因。2.冰河木马原理第16页实例2蠕虫

蠕虫病毒是计算机病毒一个，它含有计算机病毒共性，如传输性，隐蔽性，破坏性等，同时还含有一些个性特征，如它并不依赖宿主寄生，而是经过复制本身在网络环境下进行传输。同时，蠕虫病毒较普通病毒破坏性更强，借助共享文件夹、电子邮件、恶意网页、存在漏洞服务器等伺机传染整个网络内全部计算机，破坏系统，并使系统瘫痪。I_WORM/EMANUEL网络蠕虫该病毒通过Microsoft的OutlookExpress来自动传播给受感染计算机的地址簿里的所有人，给每人发送一封带有该附件的邮件。该网络蠕虫长度16896~22000字节，有多个变种。在用户执行该附件后，该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标，如果用户点击该“花”图标，就会出现一个消息框，内容是不要点击此按钮。如果点击该按钮，会出现一个以Emmanuel为标题的信息框，当用户关闭该信息框时又会出现一些别的提示信息。熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒。曾在2006-2007年间肆虐互联网，被列为我国2006十大病毒之首，一度成为“毒王”。自爆发后，短时间内出现90余个变种，上百万台计算机感染此毒，并深受其害。感染中毒的计算机系统中，可执行文件会出现“熊猫烧香”图案，其它更为明显的中毒症状表现为计算机蓝屏、反复重启、硬盘数据遭破坏等。同时，作为蠕虫病毒的一类变种，熊猫烧香病毒同样可以通过网络进行传播，感染网络内所有计算机系统，造成不同程度的局域网和互联网瘫痪。课堂讨论1.计算机病毒由几部分组成？2.计算机病毒主要传输路径有哪些？3.试述电子邮件病毒触发方式？8.2计算机病毒组成与传输第17页8.3计算机病毒检测去除与防范8.3.1计算机病毒检测1.根据异常现象初步检测计算机运行异常屏幕显示异常声音播放异常异常现象文件/系统异常外设异常网络异常2.利用专业工具检测查毒瑞星免费在线查毒金山毒霸查毒卡巴斯基查毒第18页8.3.2常见病毒去除方法8.3计算机病毒检测去除与防范（1）普通常见流行病毒（2）系统文件破坏此种情况对计算机危害较小，普通运行杀毒软件进行查杀即可。若可执行文件病毒无法根除，可将其删除后重新安装多数系统文件被破坏将造成系统无法正常运行，破坏程序较大。若删除文件重新安装后仍未处理问题，则需请专业计算机人员进行去除和数据恢复。在数据恢复前，要将主要数据文件进行备份，当出现误杀时方便进行恢复。第19页8.3计算机病毒检测去除与防范8.3.3计算机病毒防范杀毒不如搞好防毒，假如能够采取全方面防护办法，则会更有效地防止病毒危害。所以，计算机病毒防范，应该采取预防为主策略。首先要在思想上有反病毒警觉性，依靠使用反病毒技术和管理办法，这些病毒就无法逾越计算机安全保护屏障，从而不能广泛传输。个人用户要及时升级可靠反病毒产品，因为病毒以每日4-6个速度产生，反病毒产品必须适应病毒发展，不停升级，才能识别和杀灭新病毒，为系统提供真正安全环境。每一位计算机使用者都要恪守病毒防治法律和制度，做到不制造病毒，不传输病毒。养成良好上机习惯，如定时备份系统数据文件；外部存放设备连接前先杀毒再使用；不访问违法或不明网站，不下载传输不良文件等。第20页8.3计算机病毒检测去除与防范8.3.4木马检测去除与防范1.木马的检测1）查看开放端口2）查看系统配置文件3）查看系统进程4）查看注册表2.木马的清除1）手动清除2）杀毒软件清除3.木马的防范1）不点击来历不明的邮件2）不下载不明软件3）及时漏洞修复和都住可疑端口4）使用实时监控程序第21页8.3计算机病毒检测去除与防范8.3.5病毒和防病毒技术发展趋势计算机病毒的发展主要体现出在以下四个方面：1）病毒的种类和数量迅速增长2）病毒传播手段呈多样化、复合化趋势3）病毒制作技术水平不断攀升4）病毒的危害日益增大计算机病毒种类及数量不停快速增加依据国家计算机病毒应急处理中心病毒样本库统计，年新增病毒样本299万个，是年新增病毒数3.2倍，其中木马程序巨量增加。截至年底，木马样本共330万多个，占病毒木马样本总数72.9%，而年这一百分比只有54％；年发觉新增木马246万多个，是年新增木马5.5倍。案例8-3第22页8.3计算机病毒检测去除与防范8.3.5病毒和防病毒技术发展趋势“云安全（CloudSecurity）”计划是网络时代信息安全最新表达，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，经过网状大量客户端对网络中软件行为异常监测，获取互联网中木马、恶意程序最新信息，传送到Server端进行自动分析和处理，再把病毒和木马处理方案分发到每一个客户端。病毒库不再保留在当地，而是保留在官方服务器中，在扫描时候和服务器交互后，做出判断是否有病毒。依靠“云安全”进行杀毒能降低升级频率，降低查杀占用率，减小当地病毒数据库容量。云安全技术应用最大优势就在于，识别和查杀病毒不再仅仅依靠当地硬盘中病毒库，而是依靠庞大网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大“杀毒软件”，参加者越多，每个参加者就越安全，整个互联网就会更安全。课堂讨论1.计算机中毒常见异常现象有哪些？2.怎样检测、去除、防范计算机病毒？3.怎样检测、去除、防范木马程序？第23页8.4恶意软件危害和去除8.4.1恶意软件概述

恶意软件主要是指在未明确提醒用户或未经用户许可情况下，在用户计算机或其它终端上安装运行，侵害用户正当权益软件。依据中国互联网协会颁布《“恶意软件定义”细则》，愈加明确细化了恶意软件定义和范围：满足以下八种情况之一即可被认定为是恶意软件，分别为：强制安装、难以卸载、浏览器劫持、广告弹出、恶意搜集用户信息、恶意卸载、恶意捆绑以及其它侵犯用户知情权和选择权恶意行为。

恶意软件通常难以去除，影响计算机用户正常使用，无法正常卸载和删除给用户造成了巨大困扰，所以又获别名“流氓软件”。第24页8.4恶意软件危害和去除8.4.2恶意软件危害与去除恶意软件的危害与清除恶意软件的危害强制安装、

难以卸载劫持浏览器弹出广告非正常渠道收集用户信息恶意软件的清除利用恶意软件清除专业工具课堂讨论1.什么是恶意软件？2.恶意软件危害有哪些？3.怎样去除恶意软件？第25页8.5瑞星云安全软件应用试验8.5.1试验目标8.5.2试验内容（1）了解瑞星全功效安全软件主要功效及特点。（2）了解瑞星全功效安全软件主要技术和应用。（3）掌握瑞星全功效安全软件操作界面、步骤和方法。图8-2瑞星三层安全架构图1.瑞星安全架构第26页8.5.2试验内容2.瑞星主要功效及特点系统内核加固木马防御U盘防护浏览器防护办公软件防护MSN聊天防护智能虚拟化引擎智能杀毒资源占用“智能反钓鱼”8.5瑞星云安全软件应用试验第27页8.5.3操作步骤8.5瑞星云安全软件应用试验1.操作界面中心杀毒电脑防护连网程序瑞星工具安全资讯六大功效区域图8-3瑞星操作界面第28页8.5.3操作步骤8.5瑞星云安全软件应用试验2.“智能云安全”技术

瑞星采用的“智能云安全”技术，能够针对互联网上大量出现的恶意病毒、挂马网站和钓鱼网站等，瑞星“智能云安全”系统可自动收集、分析、处理，同时有效地阻截木马攻击、黑客入侵及网络诈骗。网络攻击拦截当用户电脑遭受到网络攻击时，瑞星2011会依托瑞星“智能云安全”网络分析技术，有效地将各种网络攻击拦截在外。恶意网址拦截当用户访问恶意网站时，瑞星2011会依托瑞星“智能云安全”智能分析技术，有效拦截流行钓鱼、挂马网站，时刻保护个人信息安全。ARP欺骗防御防止电脑受到ARP欺骗攻击，并帮助用户找到局域网中的攻击源。第29页3.杀毒方式多样化8.5.