防病毒系统讲解课件

计算机病毒防治技术第一部分

病毒发展趋势2病毒发展的第一阶段：偶然性无意识无破坏3网络病毒在全球范围内高速扩散52001年7月19日01:05:002001年7月19日20:15:00病毒发展的第三阶段：隐藏性寄生性偷窃性大量性

6黑客攻击技术与网络病毒日趋融合7网络攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加漏洞挖掘流程专业化，工具自动化制造病毒越来越简单“看不见的风险”厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知病毒发展的未来：病毒越来越容易制作，为了利益而制造病毒

8什么是病毒？由于计算机病毒隐藏在合法用户文件之中，因此，病毒程序的执行也使对系统功能的“合法”调用。三个比较公认的基本观点：计算机病毒是人为制造的具有破坏性的程序；计算机病毒的运行时非授权入侵；计算机病毒可以隐藏在可执行文件或数据文件中；10病毒特征病毒的破坏性12

病毒按破坏性费为良性病毒和恶性病毒。良性病毒：在屏幕上出现卡通或演奏音乐等、开玩笑、游戏；恶性病毒：如CIH是典型的引导区病毒，可修改引导区信息，系统无法找到分区，无法正常访问硬盘数据，甚至无法找到分区等。欢乐时光发作时会删除文件，并启动大量病毒进程，导致系统资源缺乏而不能工作。再如求职信等，会用垃圾代码覆盖文件，造成不可修复的破坏。病毒特征病毒的隐蔽性14

病毒是不受欢迎的，因此一定要隐藏自己不被发现，才能达到传播感染的目的。如隐藏在windows系统目录下，并命名类似系统文件的文件名；木马更注重伪装和隐藏自身，这种程序从表面上看没有什么，但是实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，它实际上是一个窃取密码的工具。这种病毒通常不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的，如：Trojan.VB.ubjVB木马病毒病毒特征病毒的寄生性15

病毒传播过程需要一个载体，病毒会寄生在这些载体上传播。病毒主要载体有引导区、文件和内存等，病毒通过寄生在正常的文件上了来隐藏自己，它的寄生过程就是它的传播和感染的过程。红色代码病毒只通过内存来传播病毒。目前，流行的蠕虫病毒主要是通过网络介质来进行传播的。病毒特征病毒的触发性16

病毒的触发条件是多种多样的。比如CIH根据系统时间（4月26日）、Happytime则是按照设定的逻辑条件来触发的，还有很多病毒是运行后即触发。

时间：cih，1.2，每年4月26日；1.3，每年6月26日，1.4，每月26日。

一定条件：“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。病毒分类按攻击的操作系统分类

攻击x86系列计算机的病毒攻击Macintosh系列计算机的病毒攻击Unix操作系统得病毒攻击手机、PDA的病毒17病毒分类按链接方式分类外壳型病毒（病毒本身包围宿主程序周围，对

原来的程序不作修改）入侵型病毒（病毒本身嵌入到目标程序中，很

难发现、清除，也很难编写）源码型病毒（利用网络脚本编写，放在电子邮

件的附件或HTML页中，通过漏洞感染并执行。）1820

各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到“元凶”誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见“元凶”的踪影，其实这未必就是病毒在作怪。

判断中毒症状病毒的入侵的症状（一）经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。21症状病毒的入侵的症状（三）文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）.23症状病毒的入侵的症状（四）经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。24症状病毒的入侵的症状（六）出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。26症状病毒的入侵的症状（八）键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。27症状病毒的入侵的症状（九）系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。28通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。30反病毒技术的发展第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力；（简单特征码）第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；（广谱特征码）第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；（行为判断）第四代反病毒技术基于病毒家族体系的命名规则，基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进解毒技术，分布处理技术，安全网管技术；（虚拟机+行为模式）3132安全建议

建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。33

迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报，这样才能真正保障计算机的安全。安全建议病毒观察方法1、反病毒软件的扫描法这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是系统的反病毒软件，如瑞星等。至于反病毒软件的使用在此就不必说了。34病毒观察方法2、观察法利用工具来观察系统启动的一些不正常进程，工具有IceSword,Procexp86等35检查系统日志建立关键区域文件列表

dir/ac:\windows\system32>d:\system32_0412.log dir/ac:\windows\system32\drivers_0412>d:\device.log dir/ac:\windows\>d:\windir_0412.log dir/a/sc:\Inetpub\wwwroot\>d:\wwwdir_0412.log定期检查文件列表差异

Fcd:\system32_0412.logd:\system32_0301.log

推荐使用的比较工具AraxisMergev6.5手工分析手工检查系统进程

TASKLIST-V TASKLIST-SVC TASK