计算机安全培训 (2)ppt课件.ppt

计算机安全培训 东坡下载站编辑整理 计算机病毒 培训提纲 计算机病毒的概念和特征计算机病毒的分类计算机病毒的传染途径计算机病毒的检测和预防 如果我们在使用计算机时发现以下的一些异常情况系统无法启动 程序运行速度变慢 经常死机 硬盘被频繁访问 硬盘灯狂闪 IE无法使用或未经授权自动打开 文件无法正确读取 复制 日期 时间 属性等发生变化等等 这是都可能是感染病毒后的明显特征 熊猫烧香 冲击波 网页被修改 QQ尾巴 一 什么是计算机病毒 计算机病毒 ComputerVirus 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 特点 自我复制 传染 破坏计算机病毒不同于生物医学上的 病毒 几乎所有的计算机病毒都是人为地故意制造出来的 有时一旦扩散出来后连制造者自己也无法控制 目前 全球已有的计算机病毒约7万余种 它的所做所为与生物病毒很相像 下面表格将生物医学病毒与感染IBM PC机的DOS环境下的病毒的特征进行对比 非授权可执行性计算机病毒隐藏在合法的程序或数据中 当用户运行正常程序时 病毒伺机窃取到系统的控制权 得以抢先运行 然而此时用户还认为在执行正常程序 隐蔽性计算机病毒是一种具有很高编程技巧 短小精悍的可执行程序 它通常总是想方设法隐藏自身 防止用户察觉 计算机病毒的特征 一般在没有防护措施的情况下 计算机病毒程序取得系统控制权后 可以在很短的时间里传染大量程序 而且受到传染后 计算机系统通常仍能正常运行 使用户不会感到任何异常 试想 如果病毒在传染到计算机上之后 机器马上无法正常运行 那么它本身便无法继续进行传染了 正是由于隐蔽性 计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中 大部分的病毒的代码之所以设计得非常短小 也是为了隐藏 病毒一般只有几百或1k字节 而PC机对DOS文件的存取速度可达每秒几百KB以上 所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中 使人非常不易被察觉 传染性传染性是计算机病毒最重要的一个特征 病毒程序一旦侵入计算机系统就通过自我复制迅速传播 潜伏性计算机病毒具有依附于其它媒体 宿主 而寄生的能力 依靠寄生能力 病毒可以悄悄隐藏起来 然后在用户不察觉的情况下进行传染 表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响 即使不直接产生破坏作用的病毒程序也要占用系统资源 影响系统的正常运行 还有一些恶意病毒程序删除文件 甚至摧毁整个系统和数据 使之无法恢复 造成无可挽回的损失 可触发性计算机病毒一般都有一个或者几个触发条件 一旦满足触发条件或者激活病毒的传染机制 就会发作并进行传染 病毒程序可以依据设计者的要求 在一定条件下实施攻击 这个条件可以是敲入特定字符 某个特定日期或特定时刻 或者是病毒内置的计数器达到一定次数等 如 PETER 2 在每年2月27日会提三个问题 答错后会将硬盘加密 著名的 黑色星期五 在逢13号的星期五发作 国内的 上海一号 会在每年三 六 九月的13日发作 当然 最令人难忘的便是26日发作的CIH 这些病毒在平时会隐藏得很好 只有在发作日才会露出本来面目 病毒存在的媒体 1 引导型病毒 2 文件型病毒 3 混合型病毒 4 非常住型病毒 5 常住型病毒 病毒破坏能力 1 无害型病毒 2 无危险型病毒 3 低危险型病毒 4 高危险型病毒 按照病毒传播方式 1 伴随型病毒 2 蠕虫 型病毒 3 移动介质病毒 按病毒特有的算法分类 1 练习型病毒 2 诡秘型病毒 3 变型病毒 幽灵病毒 计算机病毒的分类 网络病毒计算机网络传播感染网络中的可执行文件文件病毒感染计算机中的文件引导型病毒感染启动扇区 Boot 和硬盘的系统引导扇区 蠕虫 worm 蠕虫程序主要利用系统漏洞进行传播 它通过网络 电子邮件和其它的传播方式 象蠕虫一样从一台计算机传染到另一台计算机 因为蠕虫使用多种方式进行传播 所以蠕虫程序的传播速度是非常大的 蠕虫侵入一台计算机后 首先获取其他计算机的IP地址 然后将自身副本发送给这些计算机 蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序 虽然有的蠕虫程序也在被感染的计算机中生成文件 但一般情况下 蠕虫程序只占用内存资源而不占用其它资源 病毒 virus 当已感染的软件运行时 这些恶性程序向计算机软件添加代码 修改程序的工作方式 从而获取计算机的控制权 这只是关于病毒感染的一个简单定义 木马 trojan 木马程序是指未经用户同意进行非授权操作的一种恶意程序 它们可能删除硬盘上的数据 使系统瘫痪 盗取用户资料等 严格意义上说 特洛伊木马不是病毒 也就是说它们并不感染软件或者数据 木马程序不能独立侵入计算机 而是要依靠黑客来进行传播 它们常常被伪装成 正常 软件进行散播 但木马程序造成的损失可能远远超过因常规病毒引起的损失 黑客工具 危险软件例如广告软件 AdWare 间谍软件 Spyware 流氓软件 玩笑程序等等 在不通知用户的情况下进入到用户的计算机中 有目的显示广告 收集用户个人或公司信息并把信息发送给程序的开发者 改变浏览器的设置 如首页 搜索页和安全级别等 创建用户无法进行控制的网络通信 有的时候 用户很难发现自己的计算机上已经安装了间谍软件 靠辅助的清理软件才可能发现 黑客工具一般是由黑客或者恶意程序安装到您计算机中 用来盗窃信息 引起系统故障和完全控制电脑的恶意程序 最近 蠕虫成为传播最快的一种恶意程序 其次是病毒和特洛伊木马 某些恶意程序仅具备上述某种特征 有的甚至同时具备上述两种或者三种特征 计算机病毒的传播途径 通过计算机网络 互联网和局域网 进行传播计算机病毒可以附着在正常文件中通过互联网络进入一个又一个系统 黑客们将病毒或者恶意程序伪装成免费工具放在网站上让人们下载 或者在网站内添加自动执行的恶意脚本 修改系统注册表项 盗窃用户信息或在用户的计算机内安装恶意程序 自从利用信用卡实现在线购物 拍卖后 网络诈骗行为也变得非常普遍 局域网一般指企业和家庭中的内部网络 在局域网内的计算机可以在网内自由的进行数据的存储 交换和访问 这样 如果局域网中的一台计算机感染了病毒 那么局域网内的其它计算机也将面临巨大的安全威胁 所以 我们建议在局域网的每台计算机上都安装防病毒软件 通过电子邮件进行传播当用户的计算机 安装过邮件客户端 被感染后 计算机会在用户不知道的情况下 向用户的朋友和工作伙伴发送病毒邮件 通常情况下 一些正常的商业信息文件也会随染毒邮件一起被发送出去 一般情况下 只要有少数人被感染 就有可能会有成千上万的人收到染毒信件 通过移动存储设备进行传播包括软盘 U盘 硬盘等 在移动存储设备中 软盘 U盘是使用最广泛移动最频繁的存储介质 因此也成了计算机病毒寄生的 温床 目前 大多数计算机都是从这类途径感染病毒的 通过互联网上点对点通信系统和无线通道传播例如聊天工具QQ MSN等等 发送一些链接 让对方打开 这也是感染病毒的常见方式 利用系统 应用软件的漏洞进行传播 利用系统配置缺陷传播 如弱口令 完全共享等 利用欺骗等社会工程的方法传播 计算机病毒的感染过程 计算机病毒主要通过四个过程来感染载体 加载 触发 感染 发作 计算机病毒的传播过程可简略示意如下 常见电脑病毒发作症状 病毒对计算机的影响操作系统病毒现象 引导系统时间变长 计算机处理速度比以前明显放慢 反应比较迟钝 计算机经常死机或者重启 系统文件出现莫名其妙的丢失或字节变长 日期修改等现象 在运行熟悉的软件时常出现内存不够的警告 病毒已驻入内存 系统生成一些特殊文件 驱动程序被修改使得某些外设不能正常工作 硬盘频繁被访问 指示灯一直在闪 坏轨增加 有些病毒会将某些磁区标注为坏轨 而将自己隐藏其中 于是往往扫毒软体也无法检查病毒的存在 例如DiskKi ll 也会寻找3或5个连续未用的磁区 并将其标示为坏轨 应用程序病毒现象 启动程序出现 非法操作 等现象 应用程序文件变大 正常情况下 这些程式应该维持固定的大小 但有些较不聪明的病毒 会增加程式的大小 Funlove 4099 外壳型病毒藏在可执行文件之中 应用程序不能被复制 移动 删除 档案奇怪的消失 硬盘上出现大量无效文件 某些程序运行时载入时间变长 计算机病毒的检测以及预防 通常计算机病毒的检测方法有两种自动检测通过诊断软件来判读系统或软盘是否有毒的方法 自动检测比较简单 一般用户都可以进行 但需要较好的诊断软件 才可方便地检测出病毒 但是 自动检测工具只能识别已知病毒 而且自动检测工具的发展总是滞后于病毒的发展 所以检测工具对未知病毒很难识别 手工检测它的基本过程是利用一些工具软件 对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查 通过和正常情况下的状态进行对比分析 来判断是否被病毒感染 这种方法检测病毒 费时费力 但可以剖析新病毒 检测识别未知病毒 可以检测一些自动检测工具不认识的新病毒 计算机病毒的防治要从防毒 查毒 解毒三方面来进行 根据系统情况查询病毒名称 杀掉病毒进程 删掉病毒文件 清除病毒的启动方法 在系统上全盘杀毒 最基本的系统进程 也就是说 这些进程是系统运行的基本条件 有了这些进程 系统就能正常运行 SystemIdleProcess这个进程是作为单线程运行在每个处理器上 并在系统不处理其他线程的时候分派处理器的时间 不可以从任务管理器中关掉 winlogon exe这个进程是管理用户登录和推出的 而且winlogon在用户按下CTRL ALT DEL时就激活了 显示安全对话框smss exeSessionManager这是一个会话管理子系统 负责启动用户会话 csrss exe子系统服务器进程 负责控制windows 创建或者删除线程和一些16位的虚拟MS DOS环境 services exe包含很多系统服务 lsass exe这是一个本地的安全授权服务 并且它会为使用winlogon服务的授权用户生成一个进程 管理IP安全策略和IP安全驱动程序 svchost exe在启动的时候 Svchost exe检查注册表中的位置来构建需要加载的服务列表 包含很多系统服务 SPOOLSV EXE管理缓冲池中的打印和传真作业 系统服务 explorer exe资源管理器internat exe托盘区的拼音图标Ctfmon exe输入设备识别程序 防止计算机感染病毒的几种简单方法一 及时更新系统漏洞补丁打开WINDOWS系统自带的WindowsUpdate功能 自动下载安装补丁 修复操作系统存在的安全与漏洞 二 安装杀毒软件和防火墙起到一定的防毒和杀毒作用 要及时对杀毒软件升级 更新到最新的病毒库 以保证计算机受到持续地保护 三 不要随便浏览陌生的网站目前在许多网站中 总是存在有各种各样的弹出窗口 如 最好的网络电视广告或者网站联盟中的一些广告条 四 不要轻易打开陌生的电子邮件附件现在 很多木马程序附加在邮件附件中 收邮件者一旦点击附件 它就会立即运行 所以 千万不要打开那些不熟悉的邮件 特别是标题有点乱的邮件 往往就是木马携带者 如果要打开的话 可以用纯文本方式阅读信件 更加不要随便回复陌生人的邮件 五 不要随便下载视频文件 软件运行对于从网上下载的软件在安装 使用之前一定要用反病毒软件进行检查 确定没有木马程序再执行 使用 如果必须安装 须仔细阅读 用户协议 看该软件发布者是否捆绑了 流氓软件 建议到一些正规的软件下载站点下载 避免收到病毒的侵扰 六 不要安装来历不明的软件 不要轻易相信他人不要因为是我们的好朋友发来的软件就运行 因为我们不能确保他的电脑就不会有木马程序 当然 好朋友故意欺骗的可能性不大 但也许他 她 中了木马程序自己还不知道呢 况且今天的互联网到处充满危机 也许是别人冒名给我们发的邮件 七 密码不要太简单这种太容易就能破解了 比如说生日吧 这样黑客可以根据生日日期的规则很好破解 浏览网站时 不要让别人很容易的得到你的信息 这包括身份证号码 电话号码 社会安全号码 您的手机号码等 八 尽量少用共享文件夹如果计算机连接在互联网或局域网上 要少用 尽量不用共享文件夹 如果因工作等其他原因必需设置成共享 则最好单独开一个共享文件夹 把所有需共享的文件都放在这个共享文件夹中 注意 千万不要把系统目录设置成共享 九 小心使用移动存储 U盘 移动硬盘 软盘 用移动存储时 要先杀毒 确认没有感染病毒再打开使用 有些电脑是插入设备 默认便会自动播放 也可以通过下图方法禁用 如果只是读取数据 请尽量将盘加上写保护 这样可以防止病毒感染U盘 软盘 病毒和木马是不断 发展 的 我们也要不断学习新的防护