1、課程名稱課程名稱：網絡安全培訓講師：葉永健講師：葉永健麗影電器（惠州）有限公司培訓教材培 訓 提 綱v計算機病毒的概念和特征v計算機病毒的分類v計算機病毒的傳染途徑v計算機病毒的檢測和預防如果我們在使用計算機時發現以下的一些異常情況u 系統無法啟動；u 程序運行速度變慢，經常死機 ；u 硬盤被頻繁訪問，硬盤燈狂閃 ；u IE無法使用或未經授權自動打開 ；u文件無法正確讀取、復制，日期、時間、屬性等發生變化等等 這是都可能是感染病毒后的明顯特征 .熊貓燒香沖擊波網頁被修改QQ尾巴一、什么是計算機病毒v計算機病毒（Computer Virus） “編制或者在計算機程序中插入的破壞計算機功能或者破壞

2、數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。 特點：自我復制、傳染、破壞 計算機病毒不同于生物醫學上的“病毒”，幾乎所有的計算機病毒都是人為地故意制造出來的，有時一旦擴散出來后連制造者自己也無法控制。目前，全球已有的計算機病毒約7萬余種。 它的所做所為與生物病毒很相像,下面表格將生物醫學病毒與感染IBM-PC機的DOS環境下的病毒的特征進行對比。 生物病毒生物病毒 計算機病毒計算機病毒攻擊生物機體特定細胞 攻擊特定程序（所有*.COM 和*.EXE文 件針對MS-DOS環境）修改細胞的遺傳信息，使病毒在被感染的細胞中繁殖 操縱程序使被感染程序能復制病毒程序被感染的細胞不

3、再重復感染，并且被感染的機體很長時間沒有癥狀 很多計算機病毒只感染程序一次，被感染的程序很長時間可以正常運行病毒并非感染所有的細胞，并且病毒可以產生變異 程序能夠加上免疫標志，防止感染。但計算機病毒能夠修改自身使免疫失效非授權可執行性計算機病毒隱藏在合法的程序或數據中，當用戶運行正常程序時，病毒伺機竊取到系統的控制權，得以搶先運行，然而此時用戶還認為在執行正常程序；隱蔽性計算機病毒是一種具有很高編程技巧、短小精悍的可執行程序，它通常總是想方設法隱藏自身，防止用戶察覺；計算機病毒的特征 一般在沒有防護措施的情況下，計算機病毒程序取得系統控制權后，可以在很短的時間里傳染大量程序。而且受到傳染后，計

4、算機系統通常仍能正常運行，使用戶不會感到任何異常。 試想，如果病毒在傳染到計算機上之后，機器馬上無法正常運行，那么它本身便無法繼續進行傳染了。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。大部分的病毒的代碼之所以設計得非常短小，也是為了隱藏。病毒一般只有幾百或1k字節，而PC機對DOS文件的存取速度可達每秒幾百KB以上，所以病毒轉瞬之間便可將這短短的幾百字節附著到正常程序之中，使人非常不易被察覺。傳染性傳染性是計算機病毒最重要的一個特征，病毒程序一旦侵入計算機系統就通過自我復制迅速傳播。潛伏性計算機病毒具有依附于其它媒體（宿主）而寄生的能力，依靠寄生能力，病毒可以

5、悄悄隱藏起來，然后在用戶不察覺的情況下進行傳染。表現性或破壞性無論何種病毒程序一旦侵入系統都會對操作系統的運行造成不同程度的影響。即使不直接產生破壞作用的病毒程序也要占用系統資源，影響系統的正常運行。還有一些惡意病毒程序刪除文件，甚至摧毀整個系統和數據，使之無法恢復，造成無可挽回的損失。可觸發性計算機病毒一般都有一個或者幾個觸發條件。一旦滿足觸發條件或者激活病毒的傳染機制，就會發作并進行傳染；病毒程序可以依據設計者的要求，在一定條件下實施攻擊。這個條件可以是敲入特定字符，某個特定日期或特定時刻，或者是病毒內置的計數器達到一定次數等。如PETER-2在每年2月27日會提三個問題，答錯后會將硬盤加

6、密。著名的黑色星期五在逢13號的星期五發作。國內的上海一號會在每年三、六、九月的13日發作。當然，最令人難忘的便是26日發作的CIH。這些病毒在平時會隱藏得很好，只有在發作日才會露出本來面目。p 病毒存在的媒體： 1.引導型病毒。2.文件型病毒。3.混合型病毒。4.非常住型病毒。5.常住型病毒。p 病毒破壞能力： 1.無害型病毒。2.無危險型病毒。3.低危險型病毒。4.高危險型病毒。p 按照病毒傳播方式： 1.伴隨型病毒。2.“蠕蟲”型病毒。3.移動介質病毒。p 按病毒特有的算法分類： 1.練習型病毒。2.詭秘型病毒。3.變型病毒（“幽靈病毒”）計算機病毒的分類計算機病毒的分類網絡病毒 計算機

7、網絡傳播感染網絡中的可執行文件 文件病毒 感染計算機中的文件 引導型病毒 感染啟動扇區（Boot）和硬盤的系統引導扇區 蠕蟲（蠕蟲（worm） 蠕蟲程序主要利用系統漏洞進行傳播。它通過網絡、電子郵件和其它的傳播方式，象蠕蟲一樣從一臺計算機傳染到另一臺計算機。因為蠕蟲使用多種方式進行傳播，所以蠕蟲程序的傳播速度是非常大的。蠕蟲侵入一臺計算機后，首先獲取其他計算機的IP地址，然后將自身副本發送給這些計算機。蠕蟲病毒也使用存儲在染毒計算機上的郵件客戶端地址簿里的地址來傳播程序。雖然有的蠕蟲程序也在被感染的計算機中生成文件，但一般情況下，蠕蟲程序只占用內存資源而不占用其它資源。病毒（病毒（virus）

8、當已感染的軟件運行時，這些惡性程序向計算機軟件添加代碼,修改程序的工作方式,從而獲取計算機的控制權。這只是關于病毒感染的一個簡單定義。木馬（木馬（trojan）木馬程序是指未經用戶同意進行非授權操作的一種惡意程序。它們可能刪除硬盤上的數據，使系統癱瘓，盜取用戶資料等。嚴格意義上說，特洛伊木馬不是病毒（也就是說它們并不感染軟件或者數據）。木馬程序不能獨立侵入計算機，而是要依靠黑客來進行傳播，它們常常被偽裝成“正常”軟件進行散播。但木馬程序造成的損失可能遠遠超過因常規病毒引起的損失。黑客工具、危險軟件黑客工具、危險軟件例如廣告軟件（AdWare）、間諜軟件（Spyware）、流氓軟件、玩笑程序等等

9、。 在不通知用戶的情況下進入到用戶的計算機中，有目的顯示廣告、收集用戶個人或公司信息并把信息發送給程序的開發者，改變瀏覽器的設置（如首頁、搜索頁和安全級別等），創建用戶無法進行控制的網絡通信。有的時候，用戶很難發現自己的計算機上已經安裝了間諜軟件,靠輔助的清理軟件才可能發現。黑客工具一般是由黑客或者惡意程序安裝到您計算機中，用來盜竊信息、引起系統故障和完全控制電腦的惡意程序。 最近，蠕蟲成為傳播最快的一種惡意程序，其次是病毒和特洛伊木馬。某些惡意程序僅具備上述某種特征，有的甚至同時具備上述兩種或者三種特征。 計算機病毒的傳播途徑計算機病毒的傳播途徑v通過計算機網絡（互聯網和局域網）進行傳播通過

10、計算機網絡（互聯網和局域網）進行傳播計算機病毒可以附著在正常文件中通過互聯網絡進入一個又一個系統，黑客們將病毒或者惡意程序偽裝成免費工具放在網站上讓人們下載，或者在網站內添加自動執行的惡意腳本，修改系統注冊表項、盜竊用戶信息或在用戶的計算機內安裝惡意程序。 自從利用信用卡實現在線購物、拍賣后，網絡詐騙行為也變得非常普遍。局域網一般指企業和家庭中的內部網絡。在局域網內的計算機可以在網內自由的進行數據的存儲、交換和訪問。這樣，如果局域網中的一臺計算機感染了病毒，那么局域網內的其它計算機也將面臨巨大的安全威脅。所以，我們建議在局域網的每臺計算機上都安裝防病毒軟件。v通過電子郵件進行傳播通過電子郵件進

11、行傳播 當用戶的計算機（安裝過郵件客戶端）被感染后，計算機會在用戶不知道的情況下，向用戶的朋友和工作伙伴發送病毒郵件。通常情況下，一些正常的商業信息文件也會隨染毒郵件一起被發送出去。一般情況下，只要有少數人被感染，就有可能會有成千上萬的人收到染毒信件。v通過移動存儲設備進行傳播通過移動存儲設備進行傳播包括軟盤、U盤，硬盤等，在移動存儲設備中，軟盤/U盤是使用最廣泛移動最頻繁的存儲介質，因此也成了計算機病毒寄生的“溫床”。目前，大多數計算機都是從這類途徑感染病毒的。v通過互聯網上點對點通信系統和無線通道傳播通過互聯網上點對點通信系統和無線通道傳播例如聊天工具QQ，MSN等等。發送一些鏈接，讓對方

12、打開，這也是感染病毒的常見方式。v利用系統、應用軟件的漏洞進行傳播；v利用系統配置缺陷傳播，如弱口令、完全共享等；v利用欺騙等社會工程的方法傳播。計算機病毒的感染過程計算機病毒的感染過程v計算機病毒主要通過四個過程來感染載體：加載觸發感染發作。計算機病毒的傳播過程可簡略示意如下：常見電腦病毒發作癥狀常見電腦病毒發作癥狀v病毒對計算機的影響操作系統病毒現象：u引導系統時間變長；u計算機處理速度比以前明顯放慢，反應比較遲鈍；u計算機經常死機或者重啟；u系統文件出現莫名其妙的丟失或字節變長、日期修改等現象；u在運行熟悉的軟件時常出現內存不夠的警告 ，病毒已駐入內存u系統生成一些特殊文件；u驅動程序被

13、修改使得某些外設不能正常工作；u硬盤頻繁被訪問，指示燈一直在閃；u壞軌增加； 有些病毒會將某些磁區標注為壞軌,而將自己隱藏其中,于是往往掃毒軟體也無法檢查病毒的存在,例如 Disk Ki_ll.也會尋找 3 或 5 個連續未用的磁區,并將其標示為壞軌。應用程序病毒現象：u啟動程序出現“非法操作”等現象；u應用程序文件變大； 正常情況下,這些程式應該維持固定的大小,但有些較不聰明的病毒,會增加程式的大小 。(Funlove.4099)外殼型病毒藏在可執行文件之中 。u應用程序不能被復制、移動、刪除 ，檔案奇怪的消失；u硬盤上出現大量無效文件；u某些程序運行時載入時間變長。計算機病毒的檢測以及預防

14、計算機病毒的檢測以及預防v通常計算機病毒的檢測方法有兩種通常計算機病毒的檢測方法有兩種自動檢測自動檢測 通過診斷軟件來判讀系統或軟盤是否有毒的方法。自動檢測比較簡單，一般用戶都可以進行，但需要較好的診斷軟件，才可方便地檢測出病毒。但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發展總是滯后于病毒的發展，所以檢測工具對未知病毒很難識別。手工檢測手工檢測 它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內存及磁盤的有關部分進行檢查，通過和正常情況下的狀態進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新

15、病毒。 計算機病毒的防治要從防毒、查毒、解毒三方面來進行。 根據系統情況查詢病毒名稱-殺掉病毒進程-刪掉病毒文件-清除病毒的啟動方法-在系統上全盤殺毒 最基本的系統進程（也就是說，這些進程是系統運行的基本條件，有了這些進程，系統就能正常運行）System Idle Process 這個進程是作為單線程運行在每個處理器上，并在系統不處理其他線程的時候分派處理器的時間（不可以從任務管理器中關掉。）winlogon.exe 這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安全對話框smss.exe Session Manager 這是一個會話管理

16、子系統，負責啟動用戶會話。csrss.exe 子系統服務器進程，負責控制windows，創建或者刪除線程和一些16位的虛擬MS-DOS環境。services.exe 包含很多系統服務lsass.exe 這是一個本地的安全授權服務，并且它會為使用winlogon服務的授權用戶生成一個進程。管理IP安全策略和IP安全驅動程序。svchost.exe 在啟動的時候，Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。包含很多系統服務。SPOOLSV.EXE 管理緩沖池中的打印和傳真作業 (系統服務) 。explorer.exe 資源管理器internat.exe 托盤區的拼音圖標Ctf

17、mon.exe 輸入設備識別程序v防止計算機感染病毒的幾種簡單方法防止計算機感染病毒的幾種簡單方法一、及時更新系統漏洞補丁一、及時更新系統漏洞補丁打開WINDOWS系統自帶的Windows Update功能，自動下載安裝補丁，修復操作系統存在的安全與漏洞。二、安裝殺毒軟件和防火墻二、安裝殺毒軟件和防火墻起到一定的防毒和殺毒作用，要及時對殺毒軟件升級,更新到最新的病毒庫， 以保證計算機受到持續地保護。三、不要隨便瀏覽陌生的網站三、不要隨便瀏覽陌生的網站目前在許多網站中，總是存在有各種各樣的彈出窗口，如：最好的網絡電視廣告或者網站聯盟中的一些廣告條。四、不要輕易打開陌生的電子郵件附件四、不要輕易打

18、開陌生的電子郵件附件現在，很多木馬程序附加在郵件附件中，收郵件者一旦點擊附件，它就會立即運行。所以，千萬不要打開那些不熟悉的郵件，特別是標題有點亂的郵件，往往就是木馬攜帶者。如果要打開的話，可以用純文本方式閱讀信件，更加不要隨便回復陌生人的郵件。五、不要隨便下載視頻文件、軟件運行五、不要隨便下載視頻文件、軟件運行對于從網上下載的軟件在安裝、使用之前一定要用反病毒軟件進行檢查，確定沒有木馬程序再執行、使用。如果必須安裝，須仔細閱讀用戶協議，看該軟件發布者是否捆綁了“流氓軟件”。建議到一些正規的軟件下載站點下載，避免收到病毒的侵擾。六、不要安裝來歷不明的軟件，不要輕易相信他人六、不要安裝來歷不明的軟件，不要輕易相信他人不要因為是我們的好朋友發來的軟件就運行，因為我們不能確保他的電腦就不會有木馬程序。當然，好朋友故意欺騙的可能性不大，但也許他（她）中了木馬程序自己還不知道呢！況且今天的互聯網到處充滿危機，也許是別人冒名給我們發的郵件。七、密碼不要太簡單七、密碼不要太簡單這種太容易就能破解了，比如說