网络病毒与防范培训课件(PPT57张)

1、第一节第一节 网络病毒及特征网络病毒及特征本章主要内容本章主要内容第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施一、网络病毒的概念一、网络病毒的概念二、网络病毒的主要特点二、网络病毒的主要特点三、典型的网络病毒介绍三、典型的网络病毒介绍第一节第一节 网络病毒及特征网络病毒及特征一、网络病毒的概念一、网络病毒的概念（1 1）狭义的网络病毒）狭义的网络病毒: :即网络病毒应该是充分利即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传播的途径或用网络的协议以及网络的体系结构作为其传播的途径或机制，同时网络病毒的破坏对象也应是针对网络的。

2、机制，同时网络病毒的破坏对象也应是针对网络的。（2 2）广义的网络病毒）广义的网络病毒: :只要能够在网络上传播只要能够在网络上传播并能对网络产生破坏的病毒，不论它破坏的是网络还并能对网络产生破坏的病毒，不论它破坏的是网络还是联网计算机，就可称为网络病毒。是联网计算机，就可称为网络病毒。二、网络病毒的主要特二、网络病毒的主要特点点1 1技术门坎低，任何人皆可撰写新病毒技术门坎低，任何人皆可撰写新病毒2 2蠕虫病毒和木马病毒是最大的威胁蠕虫病毒和木马病毒是最大的威胁 3 3愈来愈快的传播愈来愈快的传播“毒速毒速”4 4愈来愈短的攻击时间差愈来愈短的攻击时间差5 5不断创新的自我防御技术不断创新的

3、自我防御技术 6 6令人眼花缭乱的庞大变种令人眼花缭乱的庞大变种7 7乱乱“件件”齐发的垃圾邮件齐发的垃圾邮件8 8有洞就钻有洞就钻 9 9混合式攻击混合式攻击 网络病毒的特征主要是相对于单机病毒来说网络病毒的特征主要是相对于单机病毒来说的，其特点主要表现在以下几个方面的，其特点主要表现在以下几个方面: :三、网络病毒实例三、网络病毒实例几种典型的网络病毒：几种典型的网络病毒：2 2、木马病毒、木马病毒 3 3、蠕虫病毒、蠕虫病毒 4 4、网页脚本病毒、网页脚本病毒 1 1、宏病毒、宏病毒5 5、即时通讯病毒、即时通讯病毒 1 1宏病毒宏病毒 宏病毒是使用某个应用程序自带的宏编程宏病毒是使用某

4、个应用程序自带的宏编程语言编写的病毒语言编写的病毒 。宏病毒目前主要是针对应。宏病毒目前主要是针对应用组件，类型分为二类：感染用组件，类型分为二类：感染WordWord系统的系统的WordWord宏病毒、感染宏病毒、感染ExcelExcel系统的系统的Exce1Exce1宏病毒和感染宏病毒和感染Lotus AmiProLotus AmiPro的宏病毒。的宏病毒。WordWord宏病毒具有以下的特征：宏病毒具有以下的特征：（1 1）危害性大。）危害性大。（2 2）感染数据文件。）感染数据文件。（3 3）多平台交叉感染。）多平台交叉感染。（4 4）容易制作。）容易制作。（5 5）传播方便快捷。）传

5、播方便快捷。（6 6）检测、清除比较困难。）检测、清除比较困难。三、网络病毒实例三、网络病毒实例 宏病毒举例宏病毒举例三、网络病毒实例三、网络病毒实例简单自制宏病毒发作表象2木马病毒木马病毒 将自己伪装成某种应用程序来吸引用将自己伪装成某种应用程序来吸引用户下载或执行，并进而破坏用户计算机数户下载或执行，并进而破坏用户计算机数据、造成用户不便或窃取重要信息的程序，据、造成用户不便或窃取重要信息的程序，称为称为“特洛伊木马特洛伊木马”或或“木马木马”病毒。病毒。木马病毒有以下基本特征：木马病毒有以下基本特征：（1）隐蔽性）隐蔽性（2）自动运行性）自动运行性（3）欺骗性）欺骗性（4）具备自动恢复功

6、能）具备自动恢复功能（5）能自动打开特别的端口）能自动打开特别的端口（6）功能的特殊性）功能的特殊性三、网络病毒实例三、网络病毒实例 木马病毒举例（木马病毒举例（“落雪落雪”）三、网络病毒实例三、网络病毒实例“落雪”病毒在系统文件夹中添加的文件它由它由VB 语言编写，加的是语言编写，加的是nSPack 3.1 的壳，的壳，该木马文件图标一般是红色的，很像网络游戏该木马文件图标一般是红色的，很像网络游戏的登陆器。它可以盗取包括魔兽世界、传奇世的登陆器。它可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的

7、游戏络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。它可以把木马克星和装备构成了极大的威胁。它可以把木马克星和卡巴斯基自动禁用，卡巴斯基还可以手工启用，卡巴斯基自动禁用，卡巴斯基还可以手工启用，木马克星手工已无法启用。即便是用户中毒之木马克星手工已无法启用。即便是用户中毒之后将后将C盘的病毒杀干净了，一旦双击盘的病毒杀干净了，一旦双击D盘还会重盘还会重新感染落雪木马。新感染落雪木马。 3 3蠕虫病毒蠕虫病毒 蠕虫（蠕虫（wormworm）病毒无论从传播速度、传播范围还）病毒无论从传播速度、传播范围还是从破坏程度上来讲，都是以往的传统病毒所无法比是从破坏程度上来讲，都是以往的传统病

8、毒所无法比拟的，可以说是近年来最为猖獗、影响最广泛的一类拟的，可以说是近年来最为猖獗、影响最广泛的一类计算机病毒，其传播主要体现在以下两方面：计算机病毒，其传播主要体现在以下两方面：（1 1）利用微软的系统漏洞攻击计算机网络。）利用微软的系统漏洞攻击计算机网络。“红色红色代码代码”、“Nimda”Nimda”、“SqlSql蠕虫王蠕虫王”等病毒都是属于等病毒都是属于这一类病毒。这一类病毒。（2 2）利用）利用EmailEmail邮件迅速传播。如邮件迅速传播。如“爱虫病毒爱虫病毒”和和“求职信病毒求职信病毒”。 “ “蠕虫蠕虫”病毒由两部分组成：一个主程序和另病毒由两部分组成：一个主程序和另一个

9、是引导程序。一个是引导程序。 主程序的主要功能是搜索和扫描，主程序的主要功能是搜索和扫描，这个程序能够读取系统的公共配置文件，这个程序能够读取系统的公共配置文件，获得与本机联网的客户端信息，检测到获得与本机联网的客户端信息，检测到网络中的哪台机器没有被占用，从而通网络中的哪台机器没有被占用，从而通过系统的漏洞，将引导程序建立到远程过系统的漏洞，将引导程序建立到远程计算机上。计算机上。 引导程序实际上是蠕虫病毒主程序引导程序实际上是蠕虫病毒主程序（或一个程序段）自身的一个副本，而（或一个程序段）自身的一个副本，而主程序和引导程序都有自动重新定位的主程序和引导程序都有自动重新定位的能力。能力。 三

10、、网络病毒实例三、网络病毒实例 蠕虫病毒举例（蠕虫病毒举例（“魔鬼波魔鬼波”蠕虫）蠕虫）三、网络病毒实例三、网络病毒实例魔鬼波病毒发作时现象“魔鬼波魔鬼波”（Backdoor/Mocbot.b）蠕虫利用）蠕虫利用微软微软MS06-040漏洞，通过漏洞，通过TCP端口端口445进行传进行传播。其传播过程可以在用户不知情的情况下主播。其传播过程可以在用户不知情的情况下主动进行，可能造成动进行，可能造成services.exe崩溃等现象。崩溃等现象。还可通过还可通过AOL等即时通讯工具自动发送包含恶等即时通讯工具自动发送包含恶意链接的消息。运行成功后，病毒会连接意链接的消息。运行成功后，病毒会连接I

11、RC服务器接收黑客命令。服务器接收黑客命令。 通过黑客命令，通过黑客命令，“魔鬼魔鬼波波”蠕虫可以运行下载任意程序，进行拒绝服蠕虫可以运行下载任意程序，进行拒绝服务攻击务攻击(DDoS)等活动，使得用户计算机完全被等活动，使得用户计算机完全被黑客控制。黑客控制。4 4网页脚本病毒网页脚本病毒 脚本病毒是指利用脚本病毒是指利用.asp.asp、.htm.htm、.html.html、.vbs.vbs、.jsp.jsp类型的文件进行传播，基于类型的文件进行传播，基于VB VB ScriptScript和和Java ScriptJava Script脚本语言并由脚本语言并由Widows Widows

12、 Scripting HostScripting Host解释执行的一类病毒。解释执行的一类病毒。 脚本病毒具有如下特点：脚本病毒具有如下特点：（1 1）隐藏性强。）隐藏性强。（2 2）传播性广。）传播性广。（3 3）病毒变种多。）病毒变种多。可以采用下面的步骤来避免该类病毒的入侵：可以采用下面的步骤来避免该类病毒的入侵：（1 1）用）用regsvr32 scrrun.dll /uregsvr32 scrrun.dll /u命令禁止文件系统对象命令禁止文件系统对象（2 2）卸载）卸载Windows Scripting HostWindows Scripting Host项。项。 （3 3）删除

13、）删除VBSVBS、VBEVBE、JSJS、JSEJSE文件后缀名与应用程序的链接。文件后缀名与应用程序的链接。 （4 4）更改或者删除）更改或者删除WindowsWindows目录中，目录中，WScript.exeWScript.exe（5 5） 将将“Internet Internet 选项选项”中所有中所有“ActiveXActiveX控件及插件控件及插件” ” 设为禁用。设为禁用。 （6 6）将安全级别设置至少为）将安全级别设置至少为“中等中等”。（7 7）禁止）禁止IEIE的自动收发邮件功能。的自动收发邮件功能。（8 8）安装杀毒软件，在安全模式用新版杀毒软件全面查杀，）安装杀毒软件

14、，在安全模式用新版杀毒软件全面查杀，并及时更新杀毒软件并及时更新杀毒软件 三、网络病毒实例三、网络病毒实例4 4网页脚本病毒网页脚本病毒三、网络病毒实例三、网络病毒实例网页脚本病毒对IE属性的修改5 5即时通讯病毒即时通讯病毒即时通讯病毒具有以下几个特点：即时通讯病毒具有以下几个特点：（1 1）更强的隐蔽性。）更强的隐蔽性。（2 2）攻击更加便利。）攻击更加便利。（3 3）更快的传播速度。）更快的传播速度。 目前，袭击即时通讯软件的病毒主要分三类：目前，袭击即时通讯软件的病毒主要分三类： 第一类是第一类是只以只以QQ、MSN等等即时通讯即时通讯软件为传软件为传播渠道的播渠道的病毒病毒 第二类为

15、第二类为专门针对专门针对即时通讯即时通讯软件本身软件本身的窃取用的窃取用户帐号、户帐号、密码的密码的病毒病毒 第三类是第三类是不断给用不断给用户发消息户发消息的骚扰型的骚扰型病毒病毒 三、网络病毒实例三、网络病毒实例即时通信病毒举例（即时通信病毒举例（MSNMSN性感鸡）性感鸡）三、网络病毒实例三、网络病毒实例“MSN性感鸡”病毒在系统盘根目录下释放的小鸡图片 针对前面讲的内容，我们该怎么做好网络病毒的防范工作呢？思 考第一节第一节 网络病毒及特征网络病毒及特征第七章第七章 网络病毒与防范网络病毒与防范第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病

16、毒的实施 如何有效地在网络环境下防治病毒是一个比如何有效地在网络环境下防治病毒是一个比较新的课题，各种方案、技术很多，我们认为最较新的课题，各种方案、技术很多，我们认为最重要的是应当先研究网络防治病毒的基本原则和重要的是应当先研究网络防治病毒的基本原则和策略，在这方面业内人士已基本达成共识。这些策略，在这方面业内人士已基本达成共识。这些基本原则的策略归纳起来可以分为以下几条：基本原则的策略归纳起来可以分为以下几条： 第二节第二节 网络反病毒原则与策略网络反病毒原则与策略一、防重于治一、防重于治 防重在管防重在管二、综合防护二、综合防护 三、最佳均衡原则三、最佳均衡原则 四、管理与技术并重四、管

17、理与技术并重 五、正确选择网络反毒产品五、正确选择网络反毒产品 六、多层次防御六、多层次防御 七、注意病毒检测的可靠性七、注意病毒检测的可靠性 一、防重于治一、防重于治 防重在防重在管管 一般来讲，计算机病毒的防治在于完善操一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制。在网络环境下，作系统和应用软件的安全机制。在网络环境下，可相应采取新的防范手段，网络防病毒最大的可相应采取新的防范手段，网络防病毒最大的优势在于网络的管理功能。优势在于网络的管理功能。 所谓网络管理就是管理全部的网络设备中所谓网络管理就是管理全部的网络设备中所有病毒能够进来的部位，可以从两方面着手所有病毒能够进

18、来的部位，可以从两方面着手解决：解决： 一是严格管理制度，对网络系统启动盘、一是严格管理制度，对网络系统启动盘、用户数据盘等从严管理与检测，严禁在网络工用户数据盘等从严管理与检测，严禁在网络工作站上运行与本部门业务无关的软件；作站上运行与本部门业务无关的软件； 二是充分利用网络系统安全管理方面的功二是充分利用网络系统安全管理方面的功能。能。第二节 网络反病毒原则与策略网络本身提供了网络本身提供了4 4级安全保护措施：级安全保护措施：注册安全，网络管理员通过用户名、入网口注册安全，网络管理员通过用户名、入网口令来保证注册安全；令来保证注册安全；权限安全，通过指定授权和屏蔽继承权限来权限安全，通过

19、指定授权和屏蔽继承权限来实现；实现；属性安全，由系统对各目录和文件读、写等属性安全，由系统对各目录和文件读、写等的性质进行规定；的性质进行规定；可通过封锁控制台键盘等来保护文件服务器可通过封锁控制台键盘等来保护文件服务器安全。安全。 二、综合防护二、综合防护 网络系统的安全防护能力，取决于系统网络系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节，在某一特定中安全防护能力最薄弱的环节，在某一特定状态下整个网络系统对病毒的防御能力只能状态下整个网络系统对病毒的防御能力只能取决于网络中病毒防护能力最薄弱的一个节取决于网络中病毒防护能力最薄弱的一个节点或层次点或层次 。 网络的安全体系应从防病

20、毒、防黑客、网络的安全体系应从防病毒、防黑客、灾难恢复等几方面综合考虑，形成一整套的灾难恢复等几方面综合考虑，形成一整套的安全机制，这才是最有效的网络安全手段。安全机制，这才是最有效的网络安全手段。防病毒软件、防火墙产品通过设置、调整参防病毒软件、防火墙产品通过设置、调整参数，能够相互通信，协同发挥作用。这也是数，能够相互通信，协同发挥作用。这也是区别单机防病毒技术与网络防病毒技术的重区别单机防病毒技术与网络防病毒技术的重要标志。要标志。第二节 网络反病毒原则与策略三、最佳均衡原则三、最佳均衡原则 要采取网络防病毒措施，肯定会导要采取网络防病毒措施，肯定会导致网络系统资源开销的增加，如增加系致

21、网络系统资源开销的增加，如增加系统负荷，占用统负荷，占用CPUCPU时间、占用网络服务器时间、占用网络服务器内存等。针对这一问题，有业内人士对内存等。针对这一问题，有业内人士对网络防病毒技术提出了网络防病毒技术提出了“最小占用原最小占用原则则”，以保证网络防病毒技术在发挥其，以保证网络防病毒技术在发挥其正常功能的前提下，占用最小网络资源。正常功能的前提下，占用最小网络资源。第二节 网络反病毒原则与策略四、管理与技术并重四、管理与技术并重 解决网络病毒问题应从加强管理和采取解决网络病毒问题应从加强管理和采取技术措施两方面着手，在管理方面要形成制技术措施两方面着手，在管理方面要形成制度，加强网管人

22、员的防病毒观念，在内部网度，加强网管人员的防病毒观念，在内部网与外界交换数据等业务活动中进行有效控制与外界交换数据等业务活动中进行有效控制和管理，同时抵制盗版软件或来路不明软件和管理，同时抵制盗版软件或来路不明软件的使用。同时辅以技术措施，选择和安装网的使用。同时辅以技术措施，选择和安装网络防病毒产品，这是以围绕商品化的网络防络防病毒产品，这是以围绕商品化的网络防杀病毒软件及其供应商向用户提供的技术支杀病毒软件及其供应商向用户提供的技术支持、产品使用、售后服务、紧急情况下的突持、产品使用、售后服务、紧急情况下的突发响应等专业化反病毒工作展开的。发响应等专业化反病毒工作展开的。第二节 网络反病毒

23、原则与策略五、正确选择网络反毒产品五、正确选择网络反毒产品 由于网络环境的操作系统种类繁多，目由于网络环境的操作系统种类繁多，目前世界上各种网络反病毒产品中还没有一种前世界上各种网络反病毒产品中还没有一种能以同一主程序跨越多种网络系统平台，所能以同一主程序跨越多种网络系统平台，所以用户要根据自己的网络平台有针对性地选以用户要根据自己的网络平台有针对性地选择网络反病毒产品。择网络反病毒产品。第二节 网络反病毒原则与策略六、多层次防御六、多层次防御 多层次防御病毒的解决方案应该既具有多层次防御病毒的解决方案应该既具有稳健的病毒检测功能，又有客户机服务器稳健的病毒检测功能，又有客户机服务器数据保护功

24、能。在个人计算机的硬件和软件、数据保护功能。在个人计算机的硬件和软件、LANLAN服务器、服务器网关、服务器、服务器网关、Internet Internet 及及IntranetIntranet站点上，层层设防，对每种病毒都站点上，层层设防，对每种病毒都实行隔离、过滤。在后台进行实时监控，发实行隔离、过滤。在后台进行实时监控，发现病毒随时清除，实施覆盖全网的多层次防现病毒随时清除，实施覆盖全网的多层次防护。护。 第二节 网络反病毒原则与策略 新的网络防毒策略是把病毒检测、多层新的网络防毒策略是把病毒检测、多层数据保护和集中式管理功能集成起来，形成数据保护和集中式管理功能集成起来，形成多层次的防

25、御体系，它易于使用和管理，也多层次的防御体系，它易于使用和管理，也不会对管理员带来额外的负担，极大地降低不会对管理员带来额外的负担，极大地降低了病毒的威胁，同时也使病毒防治任务变得了病毒的威胁，同时也使病毒防治任务变得更经济、更简单、更可靠。更经济、更简单、更可靠。 多层次防御病毒软件主要采取了三层保护功能：多层次防御病毒软件主要采取了三层保护功能： 1后台实时扫描后台实时扫描2完整性保护完整性保护3完整性检验完整性检验病毒扫驱动病毒扫驱动器能对未知器能对未知病毒包括变病毒包括变形病毒和加形病毒和加密病毒进行密病毒进行连续的检测连续的检测 该措施用于该措施用于阻止病毒从阻止病毒从一个受感染一个

26、受感染的工作站传的工作站传染到网络服染到网络服务器。务器。 完整性检验完整性检验使系统无需使系统无需冗余的扫描冗余的扫描过程，能提过程，能提高检验的实高检验的实时性时性 六、多层次防御六、多层次防御第二节 网络反病毒原则与策略七、注意病毒检测的可靠七、注意病毒检测的可靠性性 要定期对网络上的共享文件卷进行病毒要定期对网络上的共享文件卷进行病毒检测。但要注意的是，检测结果没有发现病检测。但要注意的是，检测结果没有发现病毒并不等于就真的没有病毒。毒并不等于就真的没有病毒。 最好使用两种以上的反毒软件对网络系最好使用两种以上的反毒软件对网络系统进行检测，这样可以有效地增加检查结果统进行检测，这样可以

27、有效地增加检查结果的可靠性。的可靠性。第二节 网络反病毒原则与策略第一节第一节 网络病毒及特征网络病毒及特征第七章第七章 网络病毒与防范网络病毒与防范第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施一、病毒诊断技术原理一、病毒诊断技术原理 二、网络反病毒的基本技术措施二、网络反病毒的基本技术措施 三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍四、主流反病毒产品特点介绍四、主流反病毒产品特点介绍第三节第三节 网络反病毒的实施网络反病毒的实施一、病毒诊断技术原理一、病毒诊断技术原理1 1、病毒比较法诊断的原理、病毒比较法诊断的原理 比较

28、法比较法是用原始的或正常的与被检测的是用原始的或正常的与被检测的进行比较，包括长度比较法、内容比较法、进行比较，包括长度比较法、内容比较法、内存比较法、中断比较法等。比较时可以内存比较法、中断比较法等。比较时可以对打印的代码清单进行比较，也可以用程对打印的代码清单进行比较，也可以用程序来进行比较。序来进行比较。 一、病毒诊断技术原理一、病毒诊断技术原理2 2、病毒校验和法诊断的原理、病毒校验和法诊断的原理 计算正常文件的内容的校验和，并将该计算正常文件的内容的校验和，并将该校验和写入文件中或写入其文件中保存。在校验和写入文件中或写入其文件中保存。在文件使用过程中，定期地或每次使用文件前文件使用

29、过程中，定期地或每次使用文件前检查文件当前的校验和与原来保存的校验和检查文件当前的校验和与原来保存的校验和是否一致可以发现文件是否被感染，这种方是否一致可以发现文件是否被感染，这种方法叫法叫校验和法校验和法。 一、病毒诊断技术原理一、病毒诊断技术原理3 3、病毒扫描法诊断的原理、病毒扫描法诊断的原理 扫描法扫描法是用每一种病毒体还有的特定字是用每一种病毒体还有的特定字符串对被检测的对象进行扫描。如果在被检符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。明发现了该字符串所代表的病毒。 扫描法包括扫描法

30、包括特征代码扫描法特征代码扫描法和和特征字扫特征字扫描法。描法。 扫描法的扫描法的优点优点是可以识别病毒的名称、是可以识别病毒的名称、误报警率低、依据检测结果可以做杀毒处理。误报警率低、依据检测结果可以做杀毒处理。 一、病毒诊断技术原理一、病毒诊断技术原理4 4、病毒行为检测法诊断的原理、病毒行为检测法诊断的原理 利用病毒的特有行为特性监测病毒的方利用病毒的特有行为特性监测病毒的方法称做行为法称做行为监测法监测法。 行为监测法的行为监测法的长处长处在于不仅可以发现已在于不仅可以发现已知病毒，而且可以相当准确地预报多数未知知病毒，而且可以相当准确地预报多数未知病毒。但行为监测法也有病毒。但行为监

31、测法也有短处短处，即可能误报，即可能误报警和不能识别病毒名称，而且实现起来有一警和不能识别病毒名称，而且实现起来有一定难度。定难度。监测病毒的行为特征可列举如下：监测病毒的行为特征可列举如下：（1 1）占用）占用INT13HINT13H：所有的引导型病毒都攻击：所有的引导型病毒都攻击BOOTBOOT扇区或主引导扇区。扇区或主引导扇区。（2 2）修改）修改DOSDOS系统数据区的内存总量：病毒常系统数据区的内存总量：病毒常驻内存后，为了防止驻内存后，为了防止DOSDOS系统将其覆盖，必须系统将其覆盖，必须修改内存总量。修改内存总量。（3 3）对）对COMCOM和和EXEEXE文件做写入操作：病毒

32、要进文件做写入操作：病毒要进行感染，必须写行感染，必须写COMCOM和和EXEEXE文件。文件。（4 4）病毒程序与宿主程序的切换染毒程序运）病毒程序与宿主程序的切换染毒程序运行时，先运行病毒，而后执行宿主程序。在两行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。者切换时，有许多特征行为。一、病毒诊断技术原理一、病毒诊断技术原理5 5、病毒行为感染实验法诊断的原理、病毒行为感染实验法诊断的原理 感染实验感染实验是一种简单实用的病毒检测方是一种简单实用的病毒检测方法，采用感染实验法可以检测出病毒检测工法，采用感染实验法可以检测出病毒检测工具不认识的新病毒，从而摆脱对病毒检测工具

33、不认识的新病毒，从而摆脱对病毒检测工具的依赖，自主地检测可疑的新病毒。这种具的依赖，自主地检测可疑的新病毒。这种方法的原理就是利用了病毒的最重要的特方法的原理就是利用了病毒的最重要的特征征感染特性。感染特性。 一、病毒诊断技术原理一、病毒诊断技术原理6、病毒行为软件模拟法诊断的原理、病毒行为软件模拟法诊断的原理 软件模拟法软件模拟法是一种软件分析器，用软件是一种软件分析器，用软件方法来模拟和分析程序的运行。新型检测工方法来模拟和分析程序的运行。新型检测工具纳入软件模拟法，该类工具开始运行时使具纳入软件模拟法，该类工具开始运行时使用特征代码法检测病毒，如果发现有隐性病用特征代码法检测病毒，如果发

34、现有隐性病毒或多态性病毒嫌疑时，启动软件模拟模块毒或多态性病毒嫌疑时，启动软件模拟模块监视病毒的运行，代病毒自身的密码译码后，监视病毒的运行，代病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。再运用特征代码法来识别病毒的种类。一、病毒诊断技术原理一、病毒诊断技术原理7 7、病毒分析法诊断的原理、病毒分析法诊断的原理 通常使用分析法的人不是普通用户，而通常使用分析法的人不是普通用户，而是反病毒技术人员。使用的目的在于：是反病毒技术人员。使用的目的在于：（1 1）确认被观察的磁盘引导区和程序中是）确认被观察的磁盘引导区和程序中是否含有病毒。否含有病毒。（2 2）确认病毒的类型和种类，判定其

35、是否）确认病毒的类型和种类，判定其是否为一种新病毒。为一种新病毒。（3 3）搞清楚病毒体的大致结构，提取特征）搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒识别用的字符串或特征字，用于增添到病毒代码库供病毒扫描和识别程序使用。代码库供病毒扫描和识别程序使用。（4 4）详细分析病毒代码，为制订相应的反）详细分析病毒代码，为制订相应的反病毒措施制订方案。病毒措施制订方案。二、网络反病毒的基本技术措施二、网络反病毒的基本技术措施1 1针对网络硬件的措施针对网络硬件的措施 网络反病毒在硬件方面采取的措施主要是：网络反病毒在硬件方面采取的措施主要是： （1 1）基于工作站的）基于

36、工作站的DOSDOS系统防范病毒。工系统防范病毒。工作站防病毒的方法，一是使用病毒防杀软件；作站防病毒的方法，一是使用病毒防杀软件；二是在网络工作站上安装防毒芯片，随时保二是在网络工作站上安装防毒芯片，随时保护工作站及其通往服务器的路径。护工作站及其通往服务器的路径。 （2 2）服务器）服务器NLMNLM防病毒技术。目前基于服防病毒技术。目前基于服务器的反病毒技术都以可装载模块技术务器的反病毒技术都以可装载模块技术NLMNLM（netware loadable modu1enetware loadable modu1e）进行程序设计，）进行程序设计，提供实时扫描病毒能力。提供实时扫描病毒能力。

37、二、网络反病毒的基本技术措施二、网络反病毒的基本技术措施2 2安装网络反毒软件安装网络反毒软件（1 1）在网关和防火墙安装反毒软件）在网关和防火墙安装反毒软件（2 2）在工作站上安装反毒软件）在工作站上安装反毒软件（3 3）在电子邮件服务器安装反毒软件）在电子邮件服务器安装反毒软件（4 4）在所有文件服务器安装反毒软件）在所有文件服务器安装反毒软件二、网络反病毒的基本技术措施二、网络反病毒的基本技术措施3 3清除网络中的病毒清除网络中的病毒 一旦发现或怀疑网络中存在病毒，应及一旦发现或怀疑网络中存在病毒，应及早检测、清除。主要步骤是：早检测、清除。主要步骤是：（1 1）立即在网上用命令通知包括

38、系统管理员）立即在网上用命令通知包括系统管理员在内的所有用户退网，也可以在控制台删除在内的所有用户退网，也可以在控制台删除当前所有注册用户，然后关闭文件服务器。当前所有注册用户，然后关闭文件服务器。（2 2）用系统盘启动系统管理员工作站，检查）用系统盘启动系统管理员工作站，检查有无病毒感染，如有应先行清除。有无病毒感染，如有应先行清除。（3 3）用系统盘启动文件服务器，在系统管理）用系统盘启动文件服务器，在系统管理员登录后，使用系统命令禁止其他用户登录员登录后，使用系统命令禁止其他用户登录上网。上网。（4 4）为防止在杀毒过程中出现意外，先将）为防止在杀毒过程中出现意外，先将文件服务器硬盘中的

39、重要文件、数据备份到文件服务器硬盘中的重要文件、数据备份到干净的软盘上，并且注意此时千万不要执行干净的软盘上，并且注意此时千万不要执行硬盘中的程序，也不要进行向硬盘中拷贝文硬盘中的程序，也不要进行向硬盘中拷贝文件等操作，以免破坏可能已被病毒弄乱的硬件等操作，以免破坏可能已被病毒弄乱的硬盘文件、数据的结构。盘文件、数据的结构。（5 5）用网络杀毒软件扫描各种服务器上所）用网络杀毒软件扫描各种服务器上所有卷的文件，恢复或删除被病毒感染的文件，有卷的文件，恢复或删除被病毒感染的文件，重新安装被删文件。重新安装被删文件。（6 6）为防止病毒漏网，再使用杀毒软件对所）为防止病毒漏网，再使用杀毒软件对所有

40、可能染上病毒的软盘和备份文件的软盘检有可能染上病毒的软盘和备份文件的软盘检测一遍。测一遍。 （7 7）通知各联网用户对所有的有盘工作站进）通知各联网用户对所有的有盘工作站进行杀毒处理。行杀毒处理。（8 8）只有当确认病毒己被彻底清除后，方可）只有当确认病毒己被彻底清除后，方可重新开启网络服务器。重新开启网络服务器。（9 9）最好再检查一下病毒的来源或病毒是从）最好再检查一下病毒的来源或病毒是从何处进入网络的，以堵住漏洞。何处进入网络的，以堵住漏洞。二、网络反病毒的基本技术措施二、网络反病毒的基本技术措施4 4网络反毒技术的新特征网络反毒技术的新特征 随着网络技术的发展，反毒技术也在不随着网络技

41、术的发展，反毒技术也在不断发展，其主要特征是：断发展，其主要特征是： （1 1）配合紧密，层次更深）配合紧密，层次更深 （2 2）实时化反毒）实时化反毒 （3 3）检测压缩文件中的病毒）检测压缩文件中的病毒三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系2 2病毒防火墙病毒防火墙3 3NAFNAF多层病毒防御体系多层病毒防御体系三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系 （1 1）病毒在局域网中的传播途径）病毒在局域网中的传播途径 最常见的一种感染方法是病毒传染工作最常见的一种感染方法是病

42、毒传染工作站后进而感染网络服务器。站后进而感染网络服务器。 三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系 （2 2）局域网反毒体系的构成）局域网反毒体系的构成 根据病毒在局域网中的活动特点，局域根据病毒在局域网中的活动特点，局域网反毒体系可由两个模块构成，即工作于网网反毒体系可由两个模块构成，即工作于网络服务器上的络服务器上的网络反毒模块网络反毒模块和运行在工作站和运行在工作站的的单机反毒模块。单机反毒模块。 主要作用是负责整主要作用是负责整个网络的病毒防御个网络的病毒防御 将固化有防杀病毒软件的卡或将固化有防杀病毒软件的卡或芯片安装在工作

43、站上，用来间断地芯片安装在工作站上，用来间断地保护工作站及其通往服务器的路径，保护工作站及其通往服务器的路径，拦截病毒对网络的入侵。拦截病毒对网络的入侵。 三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系 （3 3）局域网预防病毒措施）局域网预防病毒措施 加强网络系统管理加强网络系统管理 尽量减少有盘工作站尽量减少有盘工作站 网络服务器必须使用专门的机器网络服务器必须使用专门的机器 使用防病毒卡或防病毒软件使用防病毒卡或防病毒软件 三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍2 2病毒防火墙病毒防火墙 （1 1）病毒防火墙的基本功能

44、）病毒防火墙的基本功能 病毒防火墙的基本功能是实时病毒防火墙的基本功能是实时“过滤过滤”（screenscreen）。这种技术一是保护计算机系统）。这种技术一是保护计算机系统不受任何来自本地的或远程的病毒的危害；不受任何来自本地的或远程的病毒的危害；二是向计算机系统提供双向的保护，防止本二是向计算机系统提供双向的保护，防止本地系统内的病毒向网络扩散。地系统内的病毒向网络扩散。三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍2 2病毒防火墙病毒防火墙 （2 2）病毒防火墙的关键技术）病毒防火墙的关键技术 操作系统底层接口技术操作系统底层接口技术 网络底层接口技术网络底层接口技术 应用程序

45、底层接口技术应用程序底层接口技术 充分利用操作系统多任务、多线程充分利用操作系统多任务、多线程机制的技术机制的技术 算法优化技术算法优化技术三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍 3 3NAFNAF多层病毒防御体系多层病毒防御体系 多层病毒防御体系多层病毒防御体系，是指在每个台式，是指在每个台式机上要安装针对台式机的反病毒软件，在机上要安装针对台式机的反病毒软件，在服务器上安装专用于服务器的反病毒软件，服务器上安装专用于服务器的反病毒软件，在在InternetInternet网关上要安装基于网关的反病网关上要安装基于网关的反病毒软件。同时每个用户都要确保自己使用毒软件。同时每

46、个用户都要确保自己使用的的PCPC机不受病毒的感染，从而保证整个内机不受病毒的感染，从而保证整个内部网的安全。部网的安全。四、主流反病毒产品介绍四、主流反病毒产品介绍 1 1瑞星杀毒软件瑞星杀毒软件四、主流反病毒产品介绍四、主流反病毒产品介绍 瑞星杀毒软件功能特点瑞星杀毒软件功能特点（1 1）第七代极速杀毒引擎，查杀速度提升）第七代极速杀毒引擎，查杀速度提升3030。（2 2）首创）首创“木马墙木马墙”，解决帐号、密码丢失问题。，解决帐号、密码丢失问题。（3 3）在线专家门诊，实时解决用户安全问题。）在线专家门诊，实时解决用户安全问题。（4 4）卡卡上网安全助手，全面阻击流氓软件。）卡卡上网安

47、全助手，全面阻击流氓软件。（5 5）五大国家发明专利，以技术领跑业界。）五大国家发明专利，以技术领跑业界。四、主流反病毒产品介绍四、主流反病毒产品介绍2 2KVKV杀毒软件杀毒软件四、主流反病毒产品介绍四、主流反病毒产品介绍KVKV杀毒软件功能特点杀毒软件功能特点（1 1）采用）采用6464位技术编程，运行速度更快、杀毒效位技术编程，运行速度更快、杀毒效率更高。率更高。（2 2）独创）独创BOOTSCANBOOTSCAN杀毒技术，系统启动前杀毒。杀毒技术，系统启动前杀毒。（3 3）自动恢复病毒破坏的注册表。）自动恢复病毒破坏的注册表。（4 4）接入移动设备自动查毒。）接入移动设备自动查毒。（5

48、 5）扫描自动变速。）扫描自动变速。（6 6）父母控制，不良网站自动过滤。）父母控制，不良网站自动过滤。（7 7）多功能系统监测器。）多功能系统监测器。（8 8）系统漏洞检查功能。）系统漏洞检查功能。（9 9）新增只能垃圾邮件识别功能。）新增只能垃圾邮件识别功能。（1010）彻底防范木马监听键盘消息。）彻底防范木马监听键盘消息。四、主流反病毒产品介绍四、主流反病毒产品介绍 3 3金山毒霸杀毒套装功能特点金山毒霸杀毒套装功能特点（1 1）主动实时升级。）主动实时升级。（2 2）防杀间谍。）防杀间谍。（3 3）隐私保护。）隐私保护。 四、主流反病毒产品介绍四、主流反病毒产品介绍 4 4卡巴斯基反病

49、毒软件卡巴斯基反病毒软件四、主流反病毒产品介绍四、主流反病毒产品介绍 卡巴斯基反病毒软件功能特点卡巴斯基反病毒软件功能特点（1 1）全球最高的病毒检出率。）全球最高的病毒检出率。（2 2）全方位网络病毒防护。）全方位网络病毒防护。（3 3）拥有全部最尖端的反病毒技术。）拥有全部最尖端的反病毒技术。（4 4）对新病毒的快速响应。）对新病毒的快速响应。（5 5）每日自动更新病毒定义。）每日自动更新病毒定义。（6 6）全自动的病毒防护策略。）全自动的病毒防护策略。（7 7）高质量恢复染毒文件。）高质量恢复染毒文件。（8 8）获得各项权威认证。）获得各项权威认证。（9 9）突出的未知病毒防范能力。）突

50、出的未知病毒防范能力。 四、主流反病毒产品介绍四、主流反病毒产品介绍 5 5诺顿杀毒软件功能特点诺顿杀毒软件功能特点（1 1）为客户端提供更强的防护，通过）为客户端提供更强的防护，通过集成管理和响应功能来防御互联网威胁。集成管理和响应功能来防御互联网威胁。（2 2）采用集中化安装、部署、管理和）采用集中化安装、部署、管理和更新的方法来确保安全策略的实施。更新的方法来确保安全策略的实施。（3 3）由）由SymantecSymantec安全响应中心安全响应中心全全球领先的互联网安全研究及响应机构提球领先的互联网安全研究及响应机构提供支持。供支持。（4 4）提供）提供SymantecSymantec

51、企业安全产品和解企业安全产品和解决方案的关键部分。决方案的关键部分。 小小 结结1. 1. 网络病毒的概念网络病毒的概念2. 2. 网络病毒的主要特征网络病毒的主要特征3. 3. 网络病毒的种类网络病毒的种类4. 4. 网络反病毒原则与策略网络反病毒原则与策略5. 5. 病毒诊断技术病毒诊断技术6. 6. 网络反病毒技术的基本措施网络反病毒技术的基本措施7 .7 .当前主流反病毒软件当前主流反病毒软件 习习 题题1 1、 什么叫网络病毒？什么叫网络病毒？2 2、 我们在日常使用计算机上网的过程当中，我们在日常使用计算机上网的过程当中，应当注意怎样防范网络病毒？应当注意怎样防范网络病毒？3 3

52、、多层次防御策略的意义是什么？、多层次防御策略的意义是什么？4 4 、如果让你来管理一个局域网，为了防止、如果让你来管理一个局域网，为了防止病毒入侵，你该做哪些工作？病毒入侵，你该做哪些工作？5 5 、如果你的系统安装了最新版本的杀毒软、如果你的系统安装了最新版本的杀毒软件以及防火墙，是不是可以表明你的计算机件以及防火墙，是不是可以表明你的计算机就不会被病毒感染了？为什么？就不会被病毒感染了？为什么？6 6、 CMOSCMOS中是否可以感染病毒？为什么？中是否可以感染病毒？为什么？1、最孤独的时光，会塑造最坚强的自己。2、把脸一直向着阳光，这样就不会见到阴影。3、永远不要埋怨你已经发生的事情，

53、要么就改变它，要么就安静的接受它。4、不论你在什么时候开始，重要的是开始之后就不要停止。5、通往光明的道路是平坦的，为了成功，为了奋斗的渴望，我们不得不努力。6、付出了不一定有回报，但不付出永远没有回报。7、成功就是你被击落到失望的深渊之后反弹得有多高。8、为了照亮夜空，星星才站在天空的高处。9、我们的人生必须励志，不励志就仿佛没有灵魂。10、拼尽全力，逼自己优秀一把，青春已所剩不多。11、一个人如果不能从内心去原谅别人，那他就永远不会心安理得。12、每个人心里都有一段伤痕，时间才是最好的疗剂。13、如果我不坚强，那就等着别人来嘲笑。14、早晨给自己一个微笑，种下一天旳阳光。15、没有爱不会死

54、，不过有了爱会活过来。16、失败的定义：什么都要做，什么都在做，却从未做完过，也未做好过。17、当我微笑着说我很好的时候，你应该对我说，安好就好。18、人不仅要做好事，更要以准确的方式做好事。19、我们并不需要用太华丽的语言来包裹自己，因为我们要做最真实的自己。20、一个人除非自己有信心，否则无法带给别人信心。21、为别人鼓掌的人也是在给自己的生命加油。22、失去金钱的人损失甚少，失去健康的人损失极多，失去勇气的人损失一切。23、相信就是强大，怀疑只会抑制能力，而信仰就是力量。24、那些尝试去做某事却失败的人，比那些什么也不尝试做却成功的人不知要好上多少。25、自己打败自己是最可悲的失败，自己战胜自己是最可贵的胜利。26、没有热忱，世间便无进步。27、失败并不意味你浪费了时间和生命，失败表明你有理由重新开始。28、青春如此华美，却在烟火在散场。29、生命的道路上永远没有捷径可言，只有脚踏实地走下去。30、只要还有明天，今天就永远是起跑线。31、认真可以把事情做对，而用心却可以做到完美。