防毒知识培训

防病毒知识培训一、病毒基础知识计算机病毒基本概念概念：编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。（1994年2月18号公布）

特征：复制、感染、隐蔽、破坏。危害：病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。网络环境下，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大。防治：以防为主，病原体(病毒库)是病毒防治技术的关键。 新的病毒概念1994年当时比较重要就是只要插入到计算机程序里面，另外它要能够自我复制，就是一种感染性，自我复制是一种传播，但对于新的病毒，已经不能完全的符合基本定义。新型病毒：引导型病毒特伊木马恶作剧程序逻辑炸蛋蠕虫病毒以上的病毒被称为后计算机病毒。目前的反病毒软件对于病毒的研究其实基于很多种广义的计算机病毒来说的

新病毒的特性区分

计算机病毒的种类

引导型Stone（混合型）、DIRII

文件型Onehalf、CIH、Funlove宏病毒Concept,台湾一号特洛伊木马黑客程序BO，冰河恶作剧DELETEWin95、女鬼蠕虫病毒美丽莎、爱虫邮件炸弹MailBomb协议病毒红色代码

计算机病毒的危害及症状计算机病毒的主要危害有：1．病毒激发对计算机数据信息的直接破坏作用2．占用磁盘空间和对信息的破坏3．抢占系统资源4．影响计算机运行速度5．计算机病毒错误与不可预见的危害6．计算机病毒的兼容性对系统运行的影响7．计算机病毒给用户造成严重的心理压力例如：最早的在86年的一个病毒由巴基斯坦两兄弟编的brain大脑病毒，brain是一种引导型的病毒，在86年的时候，当时苹果机比较流行，这个病毒在苹果机上发作。在88年11月2号，著名的在Internet上有蠕虫病毒，使得美国整个军方网络上的6000多台计算机被病毒感染，那当时的损失达到9600万。我们国家最早是在统计部门在1988年发现小球病毒，发作时在屏幕上弹出小的红球，通过弹性碰撞的方式进行移动。病毒数量的增长也是非常快，在86年时候1种，89年6种，90年80种，98年2万种，2000年4.6万种，2001年达到6万种，那目前现在平均每天病毒的种类仍以30种的速度递增。中国首次计算机病毒疫情网上调查结果

国内有高达73%的计算机曾遭受过病毒感染！计算机病毒的传播途径

通过不可移动的计算机硬件设备进行传播。通过移动存储设备来传播这些设备包括软盘、磁带等。通过计算机网络进行传播。通过点对点通信系统和无线通道传播。

病毒的产生背景

计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机病毒是计算机犯罪的一种新的衍化形式。（2）计算机软硬件产品的危弱性是根本的技术原因。（3）微机的普及应用是计算机病毒产生的必要环境。二、病毒与反病毒技术病毒与反病毒的实质病毒的实质：一组计算机指令或者程序代码。反病毒的实质：从计算机中检测到具有病毒性质的代码或文件，并予以清除。计算机技术的不断发展，病毒与反病毒的技术也日益进步，随着网络时代的到来，二者之间的斗争十分激烈。Win32PE文件(EXE、DLL、OCX)为了和以前的DOS/Windows系统保持兼容，WIN9X/NT下等32位的EXE文件格式有所不同，其中含有一些空挡，病毒会找适合的地方嵌入进去这是一个被感染的WindowsPE格式EXEFile为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病毒代码的空间部分。如果覆写的位置超过了“空挡”大小，原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的，因为原始程序文件被感染时可能已被覆写破坏了。（典型的象CIH、FUNLOVE病毒）EXE

文件被感染VIRUS病毒技术的发展对抗特征码技术对抗覆盖法技术多线程技术元多形技术反虚拟机技术病毒加壳技术概念：在一些电脑程序中，有一段负责保护程序不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它們保护程序的任务。就像动植物的壳一般都是在身体外面一樣理所當然）。实质：利用特定的压缩算法(就象WinZIP一样)把木马压缩打包运行的时候在内存中解压释放程序本体再运行。技术分类：压缩保护，加密保护加壳程序：常见软件ASPACK,UPX,PEcompact

反病毒技术的更新特征代码法校验和法行为监测法虚拟机技术虚拟机技术概念：主要是为查杀加密变形病毒而设计的。简单地来说，所谓虚拟机并不是个虚拟的机器，说得更合适一些应该是个虚拟CPU（用软件实现的CPU）。实质：模拟INTELX86CPU的工作过程来解释执行可执行代码，与真正的CPU一样能够取指，译码并执行相应机器指令规定的操作。目的：通过环境来诱使病毒露出真面目。反病毒软件的关键病毒代码库——存储病毒的特征代码数据文件,并由杀毒引擎来调用。病毒查杀引擎——反病毒产品在杀毒时的一种特殊的算法。在各大厂商的病毒代码库相差无几的情况下，病毒查杀引擎的先进与否直接限制了杀毒软件的能力高低。杀毒软件的选择引擎技术先进性多样性的杀毒方式查杀多种类型的病毒与其他软件兼容性占用系统资源少扫描效率高适应使用者所在的环境产品推荐韩国安博士V3系列防病毒产品

特点：先进的内核引擎扫描技术多种的病毒查杀能力全面的压缩文件类型的支持高速的扫描速度系统资源占用率低三、现代病毒趋势及检测病毒发展趋势2004年5月公安部公共信息网络安全监察局发布的我国最流行的十种计算机病毒

。2004年的调查结果显示，在今年的4月份至6月份期间，我国感染率最高的病毒是网络蠕虫病毒和针对浏览器的病毒或者恶意代码。现代病毒特点自动传播和主动攻击蠕虫特洛伊木马—后门多种传播方式：邮件、网络共享、利用IIS、IE、SQL的漏洞危害很大的病毒以邮件为载体,爆发速度快、面广有毒的移动编码--来自Internet网页的威胁新时代下的网络病毒传统的网络病毒定义是指利用网络进行传播的一类病毒的总称。而现在网络时代的网络病毒，已经不是如此单纯的一个概念了，它被溶进了更多的东西。可以这样说，如今的网络病毒是指以网络为平台，对计算机产生安全威胁的所有程序的总和。主要的类型有：网页病毒，蠕虫病毒，木马病毒网页病毒定义：网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实是利用一些SCRIPT语言编写的一些恶意代码。

行为：当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。

危害：轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。典型：万花谷，JEPG漏洞网页病毒:万花谷病毒的技术特征：含有有害代码的ActiveX网页文件，它通过在一个网络地址来对计算机用户造成破坏。特性如下：用户不能正常使用WINDOWS的DOS功能程序；)用户不能正常退出WINDOWS；开始菜单上的“关闭系统”、“运行”等栏目被屏蔽，防止用户重新以DOS方式启动，关闭DOS命令、关闭REGEDIT命令等；将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。解决方法：手动修改注册表，使用专门的解决工具。预防方法：升级防病毒软件，打开实时监控。蠕虫病毒定义：通过网络连接，将自身复制到其它计算机中，但不感染其它文件。

行为：利用了各种的技术，将自己传播到网络中的每一台客户端中。危害：不同的蠕虫病毒的危害表现各不相同。典型：redcode2,netsky,尼姆达,求职信蠕虫病毒：尼姆达概念：一种新型的恶意蠕虫，影响所有未安装补丁的Windows系统，破坏力极大。行为：通过email邮件传播；通过网络共享传播；通过主动扫描并攻击未打补丁的IIS服务器传播；通过浏览被篡改网页传播。危害:产生大量的垃圾邮件；用蠕虫副本替换系统文件；可能影响word,frontpage等软件正常工作；严重降低系统以及网络性能；创建开放共享，大大降低了系统的安全性；将Guest帐号赋予管理员权限，降低了系统的安全性。解决方法：及时打微软的系统补丁，及时升级杀毒软件，手动扫描硬盘。木马病毒定义：一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。木马的实质只是一个通过端口进行通信的网络客户/服务程序

危害：信息泄露，系统被破坏等。典型：NetBus，冰河，网络神偷木马病毒：NetBus概念：破坏网络的安全设置，它能够打开一个端口并允许任何人对染毒的计算机进行

完全的访问。行为：1、在\Windows目录下创建并运行Extrac16.reg文件，该文件包含对Netbus的设置，以便让它运行在隐含模式下。2、在临时文件夹Temp（一般情况下为\Windows\Temp）中插入NetbusPro可执行文件，文件名是变化的，但往往以Pkg

开头，并以.exe.结尾，3、在注册表中创建NetbusServerPro键值；4、运行NetbusPro可执行程序，由于注册表文件已经事先运行，所以屏幕上不会有什么反映。

为了进一步隐藏它的破坏本质，该木马企图欺骗你认为它只是一幅图片。当该文件被运行，在执行了所有破坏行经之后将显示一幅图片。解决方法：使用杀毒软件查杀，个人防火墙，专杀工具等。

病毒启动方法一、修改批处理。如：Autoexec.bat二、修改系统配置。如：System.ini、Win.ini

三、借助自动运行功能。如：Windows的自动运行功能

四、通过注册表中的Run来启动。如：注册表Run、RunOnce中添加键值。五、通过文件关联启动。如：EXE文件的关联六、通过APIHOOK启动。如：替换系统的DLL文件七、通过VXD启动。如：把木马写成VXD形式加载，直接控制系统底层八、通过浏览网页启动。如：MIME漏洞九、利用Javaapplet。如：利用HTML把木马下载到缓存中，然后修改注册表，指向其程序。

十、利用系统自动运行的程序。如：“注册表检查”程序“输入法”程序其他方式，如：利用System目录比Windows目录优先的特点中毒症状的表现1.经常死机2.系统无法启动：

3.文件打不开4.经常报告内存不够：

5.提示硬盘空间不够6.软盘等设备未访问时出读写信号

7.出现大量来历不明的文件8.启动黑屏：

9.数据丢失10.键盘或鼠标无端地锁死：11.系统运行速度慢12.系统自动执行操作：13.网络传输异常检测手段杀毒程序检测；如：安博士杀毒软件系统启动环境检查：HijackThis系统参数统计：安博士AhnreportIDS（入侵检测系统）；如：绿盟冰之眼SNIFFER检测；如snifferpro4.7漏洞扫描检测；如ShadowSecurityScanner病毒的预防慎用软盘、光盘等移动存储介质选用优秀反病毒软件，并正确使用不要轻易打开电子邮件中的附件浏览网页(特别是个人网页)时要谨慎使用免费、共享软件时要注意先查毒系统帐户不要使用空口令或弱密码使用共享文件夹要谨慎系统补丁更新要及时四、全面的病毒防护体系多层次的防毒策略网关病毒防护工作站病毒防护服务器病毒防护网络中心病毒控制台自动更新升级的维护策略内部工作子网管理子网一般子网内部WWW重点子网DMZ区域控制台WWW中心病毒控制台服务器防病毒软件工作站防毒软件网关防病毒软件防病毒中央控制系统病毒信息控制信息等病毒信息控制信息等实现多方位、多层次，点（单台工作站）、线（服务器）、面（网关）相结合的防病毒解决方案

Internet区域Internet边界路由器病毒更新主站点总部主升级服务器总行客户端分部主升级服务器代理服务器总行服务器客户端服务器总行分部主升级服务器客户端服务器分发分发下载分发/登录分发分发/登录分发分发/登录分发分发企业级用户的特点企业用户绝大多数是在网络环境下进行办公。网络内所有计算机系统的资源是共享的，一旦其中某台机器感染了病毒，那么病毒的感染和破坏将由此遍及整个网络，正所谓一“损”皆“损”。而对于杀毒软件产品而言，引擎版本更新越快意味着杀毒能力越强。如果在一个网络中的某台计算机存在着杀毒软件版本不一致的问题，那么首先染毒的就将是这台机器，紧接着将迅速蔓延整个网络。对于整个计算机系统及网络的安全而言，任何一个系统环节所在电脑的安危将直接影响整个网络系统的安全程度。这样，网络版杀毒软件的“综合管理、智能升级”就显的格外重要，这正是单机版反病毒软件所无法实现的。企业版杀毒软件产品的特点完善的实时监控能力、报警机制领先的技术及时的病毒引擎升级体制实现整个网络的远程管理功能介绍远程安装 是指在主服务器安装相关系统后可远程安装各个辅助服务器和客户端远程杀毒 是指在不需任何人为辅助响应的情况下，系统管理员可以使用控制台通过系统中心对整个网络内的服务器和客户端进行病毒检测和清除远程操作 管理员可以在管理端对客户端进行有效的管理（如审计、策略分配等等）远程报警等功能 客户端可以及时向管理服务器报告自身处理功能（如病毒处理情况，客户端设置情况等等）有了杀毒软件的远程化安装、管理、杀毒和报警，大大减少网络管理员的工作量，可以跨越各类的复杂的地址空间，轻松实现网络防病毒管理。

必须选择安全程序操作系统自动能判断根据客户端版本的判断提供自动升级功能。为了避免安装其程序给计算机带来障碍，将并提供Uninstall的功能。可及时的分发第三方的补丁，文件，工具等。自动安装程序按不同的操作系统判断是否能安装程序，之后自动安装其程序，防御潜在系统的病毒。可以自由选择查杀毒对象。查杀毒命令强制执行实时反馈查杀病毒的结果。远程杀毒针对不同范围的客户端，控制中心通过一个指令，可以实现远程强制客户端扫描杀毒的操作。应用策略管理人在中央设置产品的主要功能，并时时维持管理人的策略，以便自行运行程序。提供杀毒系列产品的直观的环境设置

UI。

按组织和个人的策略进行设置。利用策略复制功能容易设置功能。利用主组织和非组织的限定可防止策略的流失。策略种类一般策略

:运行代理（Agent）,自动设置程序。应用杀毒程序策略

完善的实时监控能力、报警响应机制实时监控 按照统计，目前的病毒中最常见的是通过邮件系统来传输，另外还有一些病毒通过网页传播。这些病毒传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件的实时监测能力显得相当重要，同时也是衡量一个杀毒软件好坏与否的关键。报警响应机制 发现病毒的报警机制，使管理员能及时对病毒的处理情况有正确的了解。以便随时报警或提示用户进行处理，确保整个网络时刻处于最佳防护状态。监控和审计控制中心不仅检测到被病毒感染的现状，而且还以各种日志方式或者图标方式表现出对其整个系统的运行情况，于是管理人可以轻而易举地检查防御病毒的系统。监视区域代理状态记录服务器运行记录病毒预报服务器管理服务器服务执行细目管理人日志浏览升级服务器浏览监控和审计

时间序列图表监视代理状态记录服务器运行记录病毒预报显示按日、周、月的图表。监控和审计利用控制中心所提供的模块，可以轻而易举地安装客户端程序及统计病毒。客户端程序安装现状搜索病毒结果搜索病毒信息按组织、个人进行检查病毒分析特征病毒支持常用的文本格式

领先的技术快速的引擎更新 随着网络的日益普及，越来越多的新病毒随之诞生，病毒的破坏程度日趋复杂化。对新病毒的反映速度，也体现了各个防病毒公司的技术实力。病毒收集体制 通常，防病毒软件供应商都会在全世界各地建立一个病毒信息的收集、分析和预测网络，使其软件能更加及时、有效地查杀新出现的病毒。24小时的病毒监控功能介绍扩散时间损失发生发现升级引擎制作完毕杀毒软件ServiceorientedProduct-businessoriented(Service&CustomerLoyaltyOppt.)发生阶段迅速收集信息警告阶段SecurityResponseHole

治疗阶段提供治疗恶性代码

的升级引擎解除阶段反馈

/预防再次发生防御阶段事先防御功能

(PreventionPolicy)