计算机与网络安全概述

一、计算机病毒的防治计算机与网络安全用户面临的尴尬：不用杀毒软件不行、用了杀毒软件作用不大​计算机与网络安全概述全文共74页，当前为第1页。中国计算机病毒疫情调查技术分析

年份中毒率200173%200385.37%200791.47%国内外反病毒公司普通认为，2008年新病毒的数量将突破1000万个，也就是说每个小时都会有1000多个新病毒涌现出来​计算机与网络安全概述全文共74页，当前为第2页。中毒后的快速自救措施：Step1---发现异常立即断开连接，避免进一步传播Step2---中毒后，马上备份并转移文档和邮件，避免用杀毒软件时误输出Step3---恢复系统后，及时更改网络相关密码​计算机与网络安全概述全文共74页，当前为第3页。杀毒软件类型​计算机与网络安全概述全文共74页，当前为第4页。杀毒软件类型1---采用传统的反病毒软件工作流程---

“特征值”识别技术1.计算机异常2.将可疑文件发送至反病毒公司3.分析可疑文件4.提取病毒特征值5.编制杀毒软件的升级程序6.升级后再查杀该病毒​计算机与网络安全概述全文共74页，当前为第5页。​计算机与网络安全概述全文共74页，当前为第6页。利用病毒制造工具来“工业化、自动化”地生产木马病毒变种，其升级的速度甚至超过了杀毒软件的升级速度。结论：传统反病毒是完全的被动、弱势地位。近年来传统反病毒产业在与“熊猫烧香”“机器狗”“木马群”等超级病毒的交锋中屡屡败阵​计算机与网络安全概述全文共74页，当前为第7页。9、我们的市场行为主要的导向因素，第一个是市场需求的导向，第二个是技术进步的导向，第三大导向是竞争对手的行为导向。6月-236月-23Monday,June5,202310、市场销售中最重要的字就是“问”。17:19:5017:19:5017:196/5/20235:19:50PM11、现今，每个人都在谈论着创意，坦白讲，我害怕我们会假创意之名犯下一切过失。6月-2317:19:5017:19Jun-2305-Jun-2312、在购买时，你可以用任何语言；但在销售时，你必须使用购买者的语言。17:19:5017:19:5017:19Monday,June5,202313、Hewhoseizetherightmoment,istherightman.谁把握机遇，谁就心想事成。6月-236月-2317:19:5017:19:50June5,202314、市场营销观念：目标市场，顾客需求，协调市场营销，通过满足消费者需求来创造利润。05六月20235:19:50下午17:19:506月-2315、我就像一个厨师，喜欢品尝食物。如果不好吃，我就不要它。六月235:19下午6月-2317:19June5,202316、我总是站在顾客的角度看待即将推出的产品或服务，因为我就是顾客。2023/6/517:19:5017:19:5005June202317、利人为利已的根基，市场营销上老是为自己着想，而不顾及到他人，他人也不会顾及你。5:19:50下午5:19下午17:19:506月-23计算机与网络安全概述全文共74页，当前为第8页。传统反病毒产业若不能在技术上有脱胎换骨的变革，就不可能再胜任反病毒的重任解决办法：北京东方微点信息技术有限责任公司自主研制了“微点主动防御软件”杀毒软件类型2---“基于程序行为自主分析判断的实时防护技术“微点主动防御软件”2005年诞生，2007年，科技部将其列入我国反病毒领域唯一国家863计划的技术。从根本上改变了识别病毒的方式，变“特征值”识别为“行为判断”识别​计算机与网络安全概述全文共74页，当前为第9页。微点主动防御软件

1)国家863科技项目反病毒技术国际领先

2)第三代反病毒产品著名反病毒专家刘旭领衔打造

3)主动防杀99%以上新病毒开创病毒免疫时代

4)无需扫描不依赖升级简单易用安全省心

5)电脑快似“裸奔”系统资源占用低

6)历经数百万用户三年公测产品成熟品质卓越​计算机与网络安全概述全文共74页，当前为第10页。2.微点主动防御软件企业网络产品3.微点杀毒软件1.微点主动防御软件个人产品微点主动防御软件主要类型​计算机与网络安全概述全文共74页，当前为第11页。​计算机与网络安全概述全文共74页，当前为第12页。​计算机与网络安全概述全文共74页，当前为第13页。​计算机与网络安全概述全文共74页，当前为第14页。​计算机与网络安全概述全文共74页，当前为第15页。病毒和反病毒关系就象为警察抓小偷“特征值”就是以小偷的外部特征为识别标志，“行为判断”就是以是否有偷盗行为为识别标志。“微点主动防御软件”就是以某个计算机程序是否有破坏和影响其他正常计算机程序的行为来判断其是否是病毒，基于这种识别方式的反病毒软件就可以实现对未知计算机病毒的查杀。基本原理:​计算机与网络安全概述全文共74页，当前为第16页。主动防御的核心思想则是从病毒定义出发，将程序的行为作为判断病毒的依据。通过分析、归纳各种病毒行为，形成病毒行为知识库，建立仿真反病毒专家系统，模拟人工识别病毒的过程，融合仿真反病毒评估模型的智能化技术，实现对未知病毒和新病毒的自主识别、明确报出和自动清除，从而达到防范病毒的效果。微点公司透露，这相当把相当于把人工智能程序放到软件里，由软件自行识别病毒，报出并自动清除，这基本上与生物学的免疫机能吻合。​计算机与网络安全概述全文共74页，当前为第17页。​计算机与网络安全概述全文共74页，当前为第18页。计算机病毒的防治计算机病毒的预防

病毒防治的关键是做好预防工作。其主要措施：（１）安装并升级杀毒软件或防病毒卡、安装放火墙（２）运行ＷindowsＵpdata，安装操作系统的补丁程序（３）不使用随意打开来历不明的邮件（包括附件）及页面连接；不安装来历不明的插件程序、不使用盗版游戏软件。​计算机与网络安全概述全文共74页，当前为第19页。（4）备份重要数据（5）一般不要将磁盘上的文件夹或文件设置共享​计算机与网络安全概述全文共74页，当前为第20页。计算机病毒的清除方法​计算机与网络安全概述全文共74页，当前为第21页。提倡采用多种杀毒软件进行综合杀毒----有关病毒的认识可查阅网上信息在某些网站上查阅病毒警报,根据病毒的作用机制,来做出相应的防范措施,提前预防病毒的袭击,保证系统的安全/new2008/Anti_virus/newsInfo/Virus_more.shtml​计算机与网络安全概述全文共74页，当前为第22页。​计算机与网络安全概述全文共74页，当前为第23页。​计算机与网络安全概述全文共74页，当前为第24页。2.手工清除方法实例１现象:计算机上有大量的_desktop.ini文件,删除后马上又出现,导致计算机速度变慢,时而导致蓝屏,用杀毒软件也无济于事处理办法:在网上搜索,查找有关手工输出病毒的方法​计算机与网络安全概述全文共74页，当前为第25页。网上查找,了解该病毒的知识​计算机与网络安全概述全文共74页，当前为第26页。​计算机与网络安全概述全文共74页，当前为第27页。一、desktop.ini病毒特点:处理时间：2006-06-01威胁级别：★★病毒类型：蠕虫影响系统：Win9x/ME,Win2000/NT,WinXP,Win2003病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。​计算机与网络安全概述全文共74页，当前为第28页。传播途径:病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒目录\vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini(文件属性:系统、隐藏。)5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。​计算机与网络安全概述全文共74页，当前为第29页。6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C:\\WINNT\\rundl132.exe"[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]"load"="C:\\WINNT\\rundl132.exe"7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe​计算机与网络安全概述全文共74页，当前为第30页。9、同时病毒尝试利用以下命令终止相关杀病毒软件：netstop"KingsoftAntiVirusService"10、发送ICMP(InternetControlMessageProtocol)探测数据"Hello,World"，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。11、感染用户机器上的exe文件​计算机与网络安全概述全文共74页，当前为第31页。​计算机与网络安全概述全文共74页，当前为第32页。​计算机与网络安全概述全文共74页，当前为第33页。二、desktop.ini病毒删除方法该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令deld:\_desktop.ini/f/s/q/a，该命令的作用是：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f强制删除只读文件/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该病毒对机器造成的影响全部消除。​计算机与网络安全概述全文共74页，当前为第34页。可确定进程、文件、注册表和垃圾文件进程为：rundl132.exe文件：rundl132.exe，wow.exe，

1Sy.exe，

2Sy.exe垃圾文件：_desktop.ini注册表信息​计算机与网络安全概述全文共74页，当前为第35页。清除方法流程：停止病毒进程，删除相关文件，更改注册表​计算机与网络安全概述全文共74页，当前为第36页。Step1---用Ctrl+Alt+del打开任务管理器结束病毒进程rundl132.exe​计算机与网络安全概述全文共74页，当前为第37页。如果还是不能够结束进程，可用命令来强制结束(P实践教程108)ntsd–cq–pPID(进程ID)​计算机与网络安全概述全文共74页，当前为第38页。Step2---删除与病毒有关的文件删除根目录下的rundl132.exe，wow.exe，1Sy.exe，

2Sy.exe​计算机与网络安全概述全文共74页，当前为第39页。若删除的文件隐藏时，需要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了温馨提示​计算机与网络安全概述全文共74页，当前为第40页。​计算机与网络安全概述全文共74页，当前为第41页。Step3---恢复病毒修改的注册表项目，删除病毒添加的注册表项​计算机与网络安全概述全文共74页，当前为第42页。如：HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows中的键值:"load"="C:\WINDOWS\rundl132.exe"

​计算机与网络安全概述全文共74页，当前为第43页。温馨提示为安全起见，在更改注册表之前，一定要把注册表导出，以免更改后出现问题时，不能还原。若出现错误，可把备份的注册表导入。​计算机与网络安全概述全文共74页，当前为第44页。Step4---删除垃圾文件deld:\_desktop.ini/f/s/q/a强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f强制删除只读文件/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的​计算机与网络安全概述全文共74页，当前为第45页。温馨提示手工杀毒后，应该做下列检查：(1)硬盘引导时，是否出现死机、引导时间是否太长、运行速度太慢等(2)任务管理器中查看是否有无可疑进程​计算机与网络安全概述全文共74页，当前为第46页。(3)在注册表中有无可疑键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run[runone|runservices|]​计算机与网络安全概述全文共74页，当前为第47页。手工清除方法适用范围该方法是复杂而又花费时间，清除过程比较麻烦，因此，主要针对一些对专业人士使用。不同的病毒，手工清除方法不同．具体方法读者可通过搜索引擎去查找相应方法一般方法都是通过主要利用一些工具软件找到感染病毒的文件，通过修改安全设置参数,在注册表编辑器中通过手工清除病毒代码。．​计算机与网络安全概述全文共74页，当前为第48页。关于计算机病毒的清除说明1、病毒天天在产生、最新病毒的上网查2、任何杀毒软件均不可以完全清除，杀毒时，安全模式比正常模式杀毒效果更好。进入安全模式的方法：启动机器时，一直按住F8键即可​计算机与网络安全概述全文共74页，当前为第49页。二、给系统打补丁虽然防病毒软件和防火墙能够抵御部分病毒，但提高系统自身的安全性更直接、更有效。从Windows95到WindowsXP，已发现漏洞不计其数，如果能够安装这些漏洞的补丁，可提高系统的安全性，从而保护计算机系统不受侵扰。​计算机与网络安全概述全文共74页，当前为第50页。查看补丁公告​计算机与网络安全概述全文共74页，当前为第51页。​计算机与网络安全概述全文共74页，当前为第52页。安全公告—出现的安全漏洞和补丁说明书​计算机与网络安全概述全文共74页，当前为第53页。​计算机与网络安全概述全文共74页，当前为第54页。给系统打补丁的方法：Windowsupdata下载、安装系统补丁即可​计算机与网络安全概述全文共74页，当前为第55页。利用第三方软件​计算机与网络安全概述全文共74页，当前为第56页。三、配置Windows防火墙，让防火墙保持打开状态，并对软件或服务设为“例外”,以便管理和维护:远程桌面、windowsmessenger和Netmeeting​计算机与网络安全概述全文共74页，当前为第57页。Step1---“开始”|“控制面板”启用防火墙，阻止所有外部源连接到计算机，除例外选择的服务“不允许例外”后Windows防火墙将拦截所有的连接该计算机的网络请求,包括在例外选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的侦测。​计算机与网络安全概述全文共74页，当前为第58页。Step2---单击Windows防火墙的“例外”标签，设置需要“例外服务”的选项。​计算机与网络安全概述全文共74页，当前为第59页。Step3---单击“添加程序”，假若添加windowsmessenger和Netmeeting服务windowsmessenger在列表中存在​计算机与网络安全概述全文共74页，当前为第60页。若windowsnetmeeting不在列表中在C:\ProgramFiles\netmeeting\conf.exe​计算机与网络安全概述全文共74页，当前为第61页。Step4---单击“添加程序”，假若添加windowsmessenger和Netmeeting​计算机与网络安全概述全文共74页，当前为第62