电脑预防病毒知识培训汇编

1、防病毒知识培训计算机室 李峻中毒症状的表现1.经常死机 2.系统无法启动3.文件打不开 4.经常报告内存不够5.提示硬盘空间不够 6.软盘等设备未访问时出读写信号 7.出现大量来历不明的文件 8.启动黑屏9.数据丢失 10.键盘或鼠标无端地锁死11.系统运行速度慢 12.系统自动执行操作13.网络传输异常一、病毒基础知识病毒的产生背景 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机病毒是网络犯罪的一种新的衍化形式。（2）计算机软硬件产品的危弱性是根本的技术原因。（3）计算机的普及应用是病毒产生的必要环境 。计算机病毒基本概念概

2、念：编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。（1994年2月18号公布） 特征：复制、感染、隐蔽、破坏。危害：病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。网络环境下，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大。防治：以防为主，病原体(病毒库)是病毒防治技术的关键。新的病毒概念 以前比较重要就是只要插入到计算机程序里面，另外它要能够自我复制，就是一种感染性，自我复制是一种传播，但对于新的病毒，已经不能完全的符合基本定义。新型病毒：引导型病毒特洛伊木马恶作剧程序逻辑炸弹蠕虫病毒 以上的病

3、毒被称为新计算机病毒。目前反病毒软件对于病毒的研究其实是基于广义的计算机病毒来说的,2008年上半年主要以机器狗、磁碟机、AUTO木马群为代表的对抗型病毒已经成为广大用户电脑安全的主要威胁。 新病毒的特性区分 计算机病毒的种类 引导型Stone（混合型）、DIRII文件型Onehalf、CIH、Funlove宏病毒Concept,台湾一号特洛伊木马黑客程序BO，冰河恶作剧DELETE Win95、女鬼蠕虫病毒美丽莎、爱虫邮件病毒求职信协议病毒红色代码后门病毒灰鸽子计算机病毒的危害及症状计算机病毒的主要危害有：1病毒激发对计算机数据信息的直接破坏作用 2占用磁盘空间和对信息的破坏 3抢占系统资源

4、 4影响计算机运行速度 5计算机病毒错误与不可预见的危害 6计算机病毒的兼容性对系统运行的影响 7计算机病毒给用户造成严重的心理压力 例如：最早的在86年的一个病毒由巴基斯坦两兄弟编的brain大脑病毒，brain是一种引导型的病毒，在86年的时候，当时苹果机比较流行，这个病毒在苹果机上发作。在88年11月2号，著名的在Internet上有蠕虫病毒，使得美国整个军方网络上的6000多台计算机被病毒感染，当时的损失达到9600万。我们国家最早是统计部门在1988年发现小球病毒，发作时在屏幕上弹出小的红球，通过弹性碰撞的方式进行移动。病毒数量的增长也是非常快，在86年时候1种，89年6种，90年8

5、0种，98年2万种，2000年4.6万种，2001年6万种， 2008年上半年达到120多万种，那目前现在平均每天病毒的种类仍以30种的速度递增。中国首次计算机病毒疫情网上调查结果国内有高达73% 的计算机曾遭受过病毒感染！ 近几年新增病毒数量的比例不同类别病毒比例示意图 计算机病毒的传播途径 通过不可移动的计算机硬件设备进行传播。通过移动存储设备来传播这些设备包括软盘、移动硬盘、U盘等。 通过计算机网络进行传播。 通过点对点通信系统和无线通道传播。 二、病毒与反病毒技术病毒与反病毒的实质病毒的实质：一组计算机指令或者程序代码。反病毒的实质：从计算机中检测到具有病毒性质的代码或文件，并予以清除

6、。 计算机技术的不断发展，病毒与反病毒的技术也日益进步，随着网络时代的到来，二者之间的斗争十分激烈。Win32 PE文件(EXE、DLL、OCX)为了和以前的DOS/Windows系统保持兼容，WIN 9X/NT下等32位的EXE文件格式有所不同，其中含有一些空挡，病毒会找适合的地方嵌入进去这是一个被感染的 Windows PE 格式EXE File为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病毒代码的空间。如果覆写的位置超过了“空挡”大小，原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的，因为原始程序文件被感染时可能已被覆写破坏了。（典型的象CIH、F

7、UNLOVE病毒）EXE 文件被感染VIRUS病毒加壳技术概念：在一些电脑程序中，有一段负责保护程序不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护程序的任务。实质：利用特定的压缩算法(就象WinZIP一样)把木马压缩打包后，再次运行的时候，在内存中解压释放程序本体。技术分类：压缩保护 ，加密保护 加壳程序：常见软件ASPACK ,UPX,PEcompact反病毒软件的关键病毒代码库 存储病毒的特征代码数据文件,并由杀毒引擎来调用 。病毒查杀引擎 反病毒产品在杀毒时的一种特殊的算法 。 在各大厂商的病毒代码库相差无几的情况下，病毒查杀引擎的先进与否直接限制了杀

8、毒软件的能力高低。杀毒软件的选择引擎技术先进性多样性的杀毒方式 查杀多种类型的病毒 与其他软件兼容性占用系统资源少 扫描效率高适应使用者所在的环境三、现代病毒趋势及检测现代病毒特点自动传播和主动攻击蠕虫特洛伊木马 后门多种传播方式：邮件、网络共享、利用IIS、IE、SQL的漏洞危害很大的病毒以邮件为载体,爆发速度快、面积广含有病毒的移动编码-来自Internet网页的威胁新时代下的网络病毒 传统的网络病毒定义是指利用网络进行传播的一类病毒的总称。而现在网络时代的网络病毒，已经不是如此单纯的一个概念了，它被溶进了更多的东西。可以这样说，如今的网络病毒是指以网络为平台，对计算机产生安全威胁的所有程

9、序的总和。 主要的类型有：网页病毒 ，蠕虫病毒 ，木马病毒 网页病毒定义：网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实是利用一些SCRIPT语言编写的一些恶意代码。 行为：当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。 危害：轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。 典型：万花谷网页病毒:万花谷病毒的技术特征：含有有害代码的ActiveX网页文件，它通过一个网络地址来对计算机用户造成破坏 。特性如下：用户不能正常使

10、用WINDOWS的DOS功能程序；用户不能正常退出WINDOWS；开始菜单上的“关闭系统”、“运行”等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等；将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。 解决方法：手动修改注册表，使用专门的解决工具。预防方法：升级防病毒软件，打开实时监控。蠕虫病毒定义：通过网络连接，将自身复制到其它计算机中，但不感 染其它文件。 行为：利用了各种的技术，将自己传播到网络中的每一台客 户端中 。危害：不同的蠕虫病毒的危害表现各不相同。典型：熊猫烧香（尼姆达） ,求职信 蠕虫病毒：熊猫烧香(尼姆达）概念：一种新型

11、的恶意蠕虫，影响所有未安装补丁的Windows系统，破坏力极大。行为：通过email邮件传播；通过网络共享传播 ；通过主动扫描并攻击未打补丁的IIS服务器传播 ；通过浏览被篡改网页传播 。危害:产生大量的垃圾邮件 ；用蠕虫副本替换系统文件；可能影响word，frontpage等软件正常工作；严重降低系统以及网络性能；创建开放共享，大大降低了系统的安全性 ；将Guest帐号赋予管理员权限，降低了系统的安全性。解决方法：及时打微软的系统补丁，及时升级杀毒软件，手动扫描硬盘。木马病毒定义：一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。木马

12、的实质只是一个通过端口进行通信的网络客户/服务程序 危害：信息泄露，系统被破坏等。典型：特洛伊木马 ，冰河，网络神偷木马病毒：特洛伊木马 概念：完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码就无安全可言。 行为：自启动功能是木马必不可少的，这可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发

13、现。 一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。 解决方法：使用杀毒软件查杀，专杀工具等。病毒启动方法一、修改批处理 。如：Autoexec.bat 二、修改系统配置。如： System.ini、Win.ini 三、借助自动运行功能 。如：Windows的自动运行功能 四、通过注册表中的Run来启动。如：注册表Run、RunOnce中添加键值。 五、通过文件关联启动。 如：EXE文件的关联六、通过API HOOK启动。如：替换系统的DLL文件 七、通过VXD启动。如：把木马写成VXD形式加载，直接控制系统底层 八

14、、通过浏览网页启动 。如 ：MIME漏洞 九、利用Java applet 。如：利用HTML把木马下载到缓存中，然后修改注册表，指向其程序。 十、利用系统自动运行的程序。如：“注册表检查” 程序 “输入法”程序 其他方式，如：利用System目录比Windows目录优先的特点 中毒症状的表现1.经常死机 2.系统无法启动： 3.文件打不开 4.经常报告内存不够： 5.提示硬盘空间不够 6.软盘等设备未访问时出读写信号 7.出现大量来历不明的文件 8.启动黑屏： 9.数据丢失 10.键盘或鼠标无端地锁死： 11.系统运行速度慢 12.系统自动执行操作： 13.网络传输异常检测手段杀毒程序检测；如：瑞星、卡巴斯基等系统启动环境检查：HijackThisIDS（入侵检测系统）；如：绿盟冰