网络病毒与防范培训课件

网络病毒与防范培训课件第1页

第一节网络病毒及特征本章主要内容

第二节网络反病毒标准及策略

第三节网络反病毒实施网络病毒与防范培训课件第2页一、网络病毒概念二、网络病毒主要特点三、经典网络病毒介绍第一节网络病毒及特征网络病毒与防范培训课件第3页一、网络病毒概念

（1）狭义网络病毒:即网络病毒应该是充分利用网络协议以及网络体系结构作为其传输路径或机制，同时网络病毒破坏对象也应是针对网络。

（2）广义网络病毒:只要能够在网络上传输并能对网络产生破坏病毒，不论它破坏是网络还是联网计算机，就可称为网络病毒。网络病毒与防范培训课件第4页二、网络病毒主要特点1．技术门坎低，任何人皆可撰写新病毒2．蠕虫病毒和木马病毒是最大威胁3．愈来愈快传输“毒速”4．愈来愈短攻击时间差5．不停创新自我防御技术6．令人眼花缭乱庞大变种7．乱“件”齐发垃圾邮件8．有洞就钻9．混合式攻击网络病毒特征主要是相对于单机病毒来说，其特点主要表现在以下几个方面:网络病毒与防范培训课件第5页三、网络病毒实例几个经典网络病毒：2、木马病毒3、蠕虫病毒4、网页脚本病毒1、宏病毒5、即时通讯病毒网络病毒与防范培训课件第6页1．宏病毒

宏病毒是使用某个应用程序自带宏编程语言编写病毒。宏病毒当前主要是针对应用组件，类型分为二类：感染Word系统Word宏病毒、感染Excel系统Exce1宏病毒和感染LotusAmiPro宏病毒。Word宏病毒含有以下特征：（1）危害性大。（2）感染数据文件。（3）多平台交叉感染。（4）轻易制作。（5）传输方便快捷。（6）检测、去除比较困难。三、网络病毒实例网络病毒与防范培训课件第7页宏病毒举例三、网络病毒实例简单自制宏病毒发作表象网络病毒与防范培训课件第8页2．木马病毒

将自己伪装成某种应用程序来吸引用户下载或执行，并进而破坏用户计算机数据、造成用户不便或窃取主要信息程序，称为“特洛伊木马”或“木马”病毒。木马病毒有以下基本特征：（1）隐蔽性（2）自动运行性（3）坑骗性（4）具备自动恢复功效（5）能自动打开尤其端口（6）功效特殊性三、网络病毒实例网络病毒与防范培训课件第9页木马病毒举例（“落雪”）三、网络病毒实例“落雪”病毒在系统文件夹中添加文件它由VB语言编写，加是nSPack3.1壳，该木马文件图标普通是红色，很像网络游戏登陆器。它能够盗取包含魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内多款网络游戏帐号和密码，对网络游戏玩家游戏装备组成了极大威胁。它能够把木马克星和卡巴斯基自动禁用，卡巴斯基还能够手工启用，木马克星手工已无法启用。即便是用户中毒之后将C盘病毒杀洁净了，一旦双击D盘还会重新感染落雪木马。网络病毒与防范培训课件第10页3．蠕虫病毒蠕虫（worm）病毒不论从传输速度、传输范围还是从破坏程度上来讲，都是以往传统病毒所无法比拟，能够说是近年来最为猖獗、影响最广泛一类计算机病毒，其传输主要表达在以下两方面：（1）利用微软系统漏洞攻击计算机网络。“红色代码”、“Nimda”、“Sql蠕虫王”等病毒都是属于这一类病毒。（2）利用Email邮件快速传输。如“爱虫病毒”和“求职信病毒”。“蠕虫”病毒由两部分组成：一个主程序和另一个是引导程序。

主程序主要功效是搜索和扫描，这个程序能够读取系统公共配置文件，取得与本机联网客户端信息，检测到网络中哪台机器没有被占用，从而经过系统漏洞，将引导程序建立到远程计算机上。引导程序实际上是蠕虫病毒主程序（或一个程序段）本身一个副本，而主程序和引导程序都有自动重新定位能力。三、网络病毒实例网络病毒与防范培训课件第11页蠕虫病毒举例（“魔鬼波”蠕虫）三、网络病毒实例魔鬼波病毒发作时现象“魔鬼波”（Backdoor/Mocbot.b）蠕虫利用微软MS06-040漏洞，经过TCP端口445进行传输。其传输过程能够在用户不知情情况下主动进行，可能造成services.exe瓦解等现象。还可经过AOL等即时通讯工具自动发送包含恶意链接消息。运行成功后，病毒会连接IRC服务器接收黑客命令。经过黑客命令，“魔鬼波”蠕虫能够运行下载任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。网络病毒与防范培训课件第12页4．网页脚本病毒

脚本病毒是指利用.asp、.htm、.html、.vbs、.jsp类型文件进行传输，基于VBScript和JavaScript脚本语言并由WidowsScriptingHost解释执行一类病毒。

脚本病毒含有以下特点：（1）隐藏性强。（2）传输性广。（3）病毒变种多。能够采取下面步骤来防止该类病毒入侵：（1）用regsvr32scrrun.dll/u命令禁止文件系统对象（2）卸载WindowsScriptingHost项。

（3）删除VBS、VBE、JS、JSE文件后缀名与应用程序链接。（4）更改或者删除Windows目录中，WScript.exe（5）将“Internet选项”中全部“ActiveX控件及插件”设为禁用。（6）将安全级别设置最少为“中等”。（7）禁止IE自动收发邮件功效。（8）安装杀毒软件，在安全模式用新版杀毒软件全方面查杀，并及时更新杀毒软件三、网络病毒实例网络病毒与防范培训课件第13页4．网页脚本病毒三、网络病毒实例网页脚本病毒对IE属性修改网络病毒与防范培训课件第14页5．即时通讯病毒即时通讯病毒含有以下几个特点：（1）更强隐蔽性。（2）攻击愈加便利。（3）更加快传输速度。当前，攻击即时通讯软件病毒主要分三类：第一类是只以QQ、MSN等即时通讯软件为传播渠道病毒

第二类为专门针对即时通讯软件本身窃取用户帐号、密码病毒第三类是不停给用户发消息骚扰型病毒

三、网络病毒实例网络病毒与防范培训课件第15页即时通信病毒举例（MSN性感鸡）三、网络病毒实例“MSN性感鸡”病毒在系统盘根目录下释放小鸡图片网络病毒与防范培训课件第16页针对前面讲内容，我们该怎么做好网络病毒防范工作呢？思考网络病毒与防范培训课件第17页第一节网络病毒及特征第七章网络病毒与防范第二节网络反病毒标准及策略第三节网络反病毒实施网络病毒与防范培训课件第18页怎样有效地在网络环境下防治病毒是一个比较新课题，各种方案、技术很多，我们认为最主要是应该先研究网络防治病毒基本标准和策略，在这方面业内人士已基本达成共识。这些基本标准策略归纳起来能够分为以下几条：

第二节网络反病毒标准与策略一、防重于治防重在管二、综合防护三、最正确均衡标准四、管理与技术并重五、正确选择网络反毒产品六、多层次防御七、注意病毒检测可靠性网络病毒与防范培训课件第19页一、防重于治防重在管普通来讲，计算机病毒防治在于完善操作系统和应用软件安全机制。在网络环境下，可对应采取新防范伎俩，网络防病毒最大优势在于网络管理功效。所谓网络管理就是管理全部网络设备中全部病毒能够进来部位，能够从两方面着手处理：一是严格管理制度，对网络系统开启盘、用户数据盘等从严管理与检测，禁止在网络工作站上运行与本部门业务无关软件；二是充分利用网络系统安全管理方面功效。第二节网络反病毒标准与策略网络本身提供了4级安全保护办法：①注册安全，网络管理员经过用户名、入网口令来确保注册安全；②权限安全，经过指定授权和屏蔽继承权限来实现；③属性安全，由系统对各目录和文件读、写等性质进行要求；④可经过封锁控制台键盘等来保护文件服务器安全。网络病毒与防范培训课件第20页二、综合防护网络系统安全防护能力，取决于系统中安全防护能力最微弱步骤，在某一特定状态下整个网络系统对病毒防御能力只能取决于网络中病毒防护能力最微弱一个节点或层次。网络安全体系应从防病毒、防黑客、灾难恢复等几方面综合考虑，形成一整套安全机制，这才是最有效网络安全伎俩。防病毒软件、防火墙产品经过设置、调整参数，能够相互通信，协同发挥作用。这也是区分单机防病毒技术与网络防病毒技术主要标志。第二节网络反病毒标准与策略网络病毒与防范培训课件第21页三、最正确均衡标准要采取网络防病毒办法，必定会造成网络系统资源开销增加，如增加系统负荷，占用CPU时间、占用网络服务器内存等。针对这一问题，有业内人士对网络防病毒技术提出了“最小占用标准”，以确保网络防病毒技术在发挥其正常功效前提下，占用最小网络资源。第二节网络反病毒标准与策略网络病毒与防范培训课件第22页四、管理与技术并重处理网络病毒问题应从加强管理和采取技术办法两方面着手，在管理方面要形成制度，加强网管人员防病毒观念，在内部网与外界交换数据等业务活动中进行有效控制和管理，同时抵制盗版软件或来路不明软件使用。同时辅以技术办法，选择和安装网络防病毒产品，这是以围绕商品化网络防杀病毒软件及其供给商向用户提供技术支持、产品使用、售后服务、紧急情况下突发响应等专业化反病毒工作展开。第二节网络反病毒标准与策略网络病毒与防范培训课件第23页五、正确选择网络反毒产品因为网络环境操作系统种类繁多，当前世界上各种网络反病毒产品中还没有一个能以同一主程序跨越各种网络系统平台，所以用户要依据自己网络平台有针对性地选择网络反病毒产品。第二节网络反病毒标准与策略网络病毒与防范培训课件第24页六、多层次防御多层次防御病毒处理方案应该既含有稳健病毒检测功效，又有客户机／服务器数据保护功效。在个人计算机硬件和软件、LAN服务器、服务器网关、Internet及Intranet站点上，层层设防，对每种病毒都实施隔离、过滤。在后台进行实时监控，发觉病毒随时去除，实施覆盖全网多层次防护。第二节网络反病毒标准与策略新网络防毒策略是把病毒检测、多层数据保护和集中式管理功效集成起来，形成多层次防御体系，它易于使用和管理，也不会对管理员带来额外负担，极大地降低了病毒威胁，同时也使病毒防治任务变得更经济、更简单、更可靠。网络病毒与防范培训课件第25页多层次防御病毒软件主要采取了三层保护功效：1．后台实时扫描2．完整性保护3．完整性检验病毒扫驱动器能对未知病毒包含变形病毒和加密病毒进行连续检测

该办法用于阻止病毒从一个受感染工作站传染到网络服务器。

完整性检验使系统无需冗余扫描过程，能提高检验实时性

六、多层次防御第二节网络反病毒标准与策略网络病毒与防范培训课件第26页七、注意病毒检测可靠性要定时对网络上共享文件卷进行病毒检测。但要注意是，检测结果没有发觉病毒并不等于就真没有病毒。最好使用两种以上反毒软件对网络系统进行检测，这么能够有效地增加检验结果可靠性。第二节网络反病毒标准与策略网络病毒与防范培训课件第27页第一节网络病毒及特征第七章网络病毒与防范第二节网络反病毒标准及策略第三节网络反病毒实施网络病毒与防范培训课件第28页一、病毒诊疗技术原理二、网络反病毒基本技术办法三、网络反病毒技术与方案介绍四、主流反病毒产品特点介绍第三节网络反病毒实施网络病毒与防范培训课件第29页一、病毒诊疗技术原理1、病毒比较法诊疗原理

比较法是用原始或正常与被检测进行比较，包含长度比较法、内容比较法、内存比较法、中止比较法等。比较时能够对打印代码清单进行比较，也能够用程序来进行比较。

网络病毒与防范培训课件第30页一、病毒诊疗技术原理2、病毒校验和法诊疗原理

计算正常文件内容校验和，并将该校验和写入文件中或写入其文件中保留。在文件使用过程中，定时地或每次使用文件前检验文件当前校验和与原来保留校验和是否一致能够发觉文件是否被感染，这种方法叫校验和法。网络病毒与防范培训课件第31页一、病毒诊疗技术原理3、病毒扫描法诊疗原理

扫描法是用每一个病毒体还有特定字符串对被检测对象进行扫描。假如在被检测对象内部发觉了某一个特定字符串，就表明发觉了该字符串所代表病毒。扫描法包含特征代码扫描法和特征字扫描法。

扫描法优点是能够识别病毒名称、误报警率低、依据检测结果能够做杀毒处理。网络病毒与防范培训课件第32页一、病毒诊疗技术原理4、病毒行为检测法诊疗原理

利用病毒特有行为特征监测病毒方法称做行为监测法。

行为监测法优点在于不但能够发觉已知病毒，而且能够相当准确地预报多数未知病毒。但行为监测法也有短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。监测病毒行为特征可列举以下：（1）占用INT13H：全部引导型病毒都攻击BOOT扇区或主引导扇区。（2）修改DOS系统数据区内存总量：病毒常驻内存后，为了预防DOS系统将其覆盖，必须修改内存总量。（3）对COM和EXE文件做写入操作：病毒要进行感染，必须写COM和EXE文件。（4）病毒程序与宿主程序切换染毒程序运行时，先运行病毒，而后执行宿主程序。在二者切换时，有许多特征行为。网络病毒与防范培训课件第33页一、病毒诊疗技术原理5、病毒行为感染试验法诊疗原理

感染试验是一个简单实用病毒检测方法，采取感染试验法能够检测出病毒检测工具不认识新病毒，从而摆脱对病毒检测工具依赖，自主地检测可疑新病毒。这种方法原理就是利用了病毒最主要特征——感染特征。

网络病毒与防范培训课件第34页一、病毒诊疗技术原理6、病毒行为软件模拟法诊疗原理软件模拟法是一个软件分析器，用软件方法来模拟和分析程序运行。新型检测工具纳入软件模拟法，该类工具开始运行时使用特征代码法检测病毒，假如发觉有隐性病毒或多态性病毒嫌疑时，开启软件模拟模块监视病毒运行，代病毒本身密码译码后，再利用特征代码法来识别病毒种类。网络病毒与防范培训课件第35页一、病毒诊疗技术原理7、病毒分析法诊疗原理

通常使用分析法人不是普通用户，而是反病毒技术人员。使用目标在于：（1）确认被观察磁盘引导区和程序中是否含有病毒。（2）确认病毒类型和种类，判定其是否为一个新病毒。（3）搞清楚病毒体大致结构，提取特征识别用字符串或特征字，用于增添到病毒代码库供病毒扫描和识别程序使用。（4）详细分析病毒代码，为制订对应反病毒办法制订方案。网络病毒与防范培训课件第36页二、网络反病毒基本技术办法1．针对网络硬件办法

网络反病毒在硬件方面采取办法主要是：（1）基于工作站DOS系统防范病毒。工作站防病毒方法，一是使用病毒防杀软件；二是在网络工作站上安装防毒芯片，随时保护工作站及其通往服务器路径。（2）服务器NLM防病毒技术。当前基于服务器反病毒技术都以可装载模块技术NLM（netwareloadablemodu1e）进行程序设计，提供实时扫描病毒能力。网络病毒与防范培训课件第37页二、网络反病毒基本技术办法2．安装网络反毒软件（1）在网关和防火墙安装反毒软件（2）在工作站上安装反毒软件（3）在电子邮件服务器安装反毒软件（4）在全部文件服务器安装反毒软件网络病毒与防范培训课件第38页二、网络反病毒基本技术办法3．去除网络中病毒一旦发觉或怀疑网络中存在病毒，应及早检测、去除。主要步骤是：（1）马上在网上用命令通知包含系统管理员在内全部用户退网，也能够在控制台删除当前全部注册用户，然后关闭文件服务器。（2）用系统盘开启系统管理员工作站，检验有没有病毒感染，如有应先行去除。（3）用系统盘开启文件服务器，在系统管理员登录后，使用系统命令禁止其它用户登录上网。（4）为预防在杀毒过程中出现意外，先将文件服务器硬盘中主要文件、数据备份到洁净软盘上，而且注意此时千万不要执行硬盘中程序，也不要进行向硬盘中拷贝文件等操作，以免破坏可能已被病毒弄乱硬盘文件、数据结构。（5）用网络杀毒软件扫描各种服务器上全部卷文件，恢复或删除被病毒感染文件，重新安装被删文件。（6）为预防病毒漏网，再使用杀毒软件对全部可能染上病毒软盘和备份文件软盘检测一遍。

（7）通知各联网用户对全部有盘工作站进行杀毒处理。（8）只有当确认病毒己被彻底去除后，方可重新开启网络服务器。（9）最好再检验一下病毒起源或病毒是从何处进入网络，以堵住漏洞。网络病毒与防范培训课件第39页二、网络反病毒基本技术办法4．网络反毒技术新特征

伴随网络技术发展，反毒技术也在不停发展，其主要特征是：（1）配合紧密，层次更深（2）实时化反毒（3）检测压缩文件中病毒网络病毒与防范培训课件第40页三、网络反病毒技术与方案介绍1．局域网反毒技术体系2．病毒防火墙3．NAF多层病毒防御体系网络病毒与防范培训课件第41页三、网络反病毒技术与方案介绍1．局域网反毒技术体系

（1）病毒在局域网中传输路径最常见一个感染方法是病毒传染工作站后进而感染网络服务器。

网络病毒与防范培训课件第42页三、网络反病毒技术与方案介绍1．局域网反毒技术体系

（2）局域网反毒体系组成

依据病毒在局域网中活动特点，局域网反毒体系可由两个模块组成，即工作于网络服务器上网络反毒模块和运行在工作站单机反毒模块。主要作用是负责整个网络病毒防御

将固化有防杀病毒软件卡或芯片安装在工作站上，用来间断地保护工作站及其通往服务器路径，拦截病毒对网络入侵。网络病毒与防范培训课件第43页三、网络反病毒技术与方案介绍1．局域网反毒技术体系

（3）局域网预防病毒办法①加强网络系统管理②尽可能降低有盘工作站③网络服务器必须使用专门机器④使用防病毒卡或防病毒软件网络病毒与防范培训课件第44页三、网络反病毒技术与方案介绍2．病毒防火墙

（1）病毒防火墙基本功效病毒防火墙基本功效是实时“过滤”（screen）。这种技术一是保护计算机系统不受任何来自当地或远程病毒危害；二是向计算机系统提供双向保护，预防当地系统内病毒向网络扩散。网络病毒与防范培训课件第45页三、网络反病毒技术与方案介绍2．病毒防火墙

（2）病毒防火墙关键技术①操作系统底层接口技术②网络底层接口技术③应用程序底层接口技术④充分利用操作系统多任务、多线程机制技术⑤算法优化技术网络病毒与防范培训课件第46页三、网络反病毒技术与方案介绍

3．NAF多层病毒防御体系

多层病毒防御体系，是指在每个台式机上要安装针对台式机反病毒软件，在服务器上安装专用于服务器反病毒软件，在Internet网关上要安装基于网关反病毒软件。同时每个用户都要确保自己使用PC机不受病毒感染，从而确保整个内部网安全。网络病毒与防范培训课件第47页四、主流反病毒产品介绍

1．瑞星杀毒软件网络病毒与防范培训课件第48页四、主流反病毒产品介绍

瑞星杀毒软件功效特点（1）第七代极速杀毒引擎，查杀速度提升30％。（2）首创“木马墙”，处理帐号、密码丢失问题。（3）在线教授门诊，实时处理用户安全问题。（4）卡卡上网安全助手，全方面阻击流氓软件。（5）五大国家创造专利，以技术领跑业界。网络病毒与防范培训课件第49页四、主流反病毒产品介绍2．KV杀毒软件网络病毒与防范培训课件第50页四、主流反病毒产品介绍KV杀毒软件功效特点（1）采取64位技术编程，运行速度更加快、杀毒效率更高。（2）独创BOOTSCAN杀