1、 7.2 7.2 病毒危害、中毒症状及后果病毒危害、中毒症状及后果27.3 7.3 计算机病毒的构成与传播计算机病毒的构成与传播37.4 7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范4 7.17.1计算机及手机病毒基础计算机及手机病毒基础1 7.5 360 7.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验 5 7.6 7.6 本章小结本章小结6目目 录录教学目标教学目标 理解计算机及手机理解计算机及手机病毒病毒的的概念、产生、特概念、产生、特点及种类点及种类 掌握掌握病毒病毒的的构成、传播、触发构成、传播、触发以及以及新型病新型病毒实例毒实例 掌握掌握病毒与木马程
2、序病毒与木马程序的的检测、清除与防范检测、清除与防范方法方法 熟悉熟悉360360安全卫士杀毒软件应用方法安全卫士杀毒软件应用方法7.1计算机及手机病毒基础计算机及手机病毒基础n 7.1.17.1.1病毒的概念、发展及命名病毒的概念、发展及命名n 1.1.计算机及手机病毒的概念计算机及手机病毒的概念 计算机病毒计算机病毒(Computer Virus)在在中华人民共和国计算中华人民共和国计算机信息系统安全保护条例机信息系统安全保护条例中被明确中被明确定义为定义为:是指编制者在:是指编制者在计算机程序中插入的破坏系统功能或破坏数据,影响系统使计算机程序中插入的破坏系统功能或破坏数据,影响系统使用
3、并能够自我复制的一组指令或程序代码。用并能够自我复制的一组指令或程序代码。手机病毒手机病毒是一种具有传染性、破坏性等特征的手机程序,是一种具有传染性、破坏性等特征的手机程序,其实质上同计算机病毒基本一样,以后统称为其实质上同计算机病毒基本一样,以后统称为网络病毒。网络病毒。海湾战争中首用网络病毒攻击的信息战海湾战争中首用网络病毒攻击的信息战。19911991年海湾战争。美国在伊拉克从第三国购买的打印机里植入可年海湾战争。美国在伊拉克从第三国购买的打印机里植入可远程控制的网络病毒,开战前使伊拉克整个雷达预警系统全远程控制的网络病毒,开战前使伊拉克整个雷达预警系统全部瘫痪,成为世界首次公开在实战中
4、用网络病毒攻击,同时部瘫痪,成为世界首次公开在实战中用网络病毒攻击,同时为为20032003年的伊拉克战争奠定基础。年的伊拉克战争奠定基础。案例案例7 7-1-1 计算机病毒产生和来源各异计算机病毒产生和来源各异,主要,主要目的目的分为个人行为分为个人行为和集团行为和集团行为两种两种。有的病毒还曾为用于研究或实验而设计。有的病毒还曾为用于研究或实验而设计的的“有用有用”程序,后来失控扩散或被利用。程序,后来失控扩散或被利用。计算机病毒的计算机病毒的产生原因产生原因主要有主要有4 4个方面:个方面:7.1计算机及手机病毒基础计算机及手机病毒基础 计算机病毒的概念起源计算机病毒的概念起源。1949
5、年首次关于计年首次关于计算机病毒理论的学术工作,出现在计算机先驱算机病毒理论的学术工作,出现在计算机先驱 冯冯诺依曼诺依曼(John Von Neumann)一篇论文中,概述病毒程序的概念。)一篇论文中,概述病毒程序的概念。后来,美国著名的后来,美国著名的AT&T 贝尔实验室中,三个年轻人工作之贝尔实验室中,三个年轻人工作之余玩的一种余玩的一种“磁芯大战磁芯大战”(Core war)的游戏:编出能吃掉别)的游戏:编出能吃掉别人编码的程序来互相攻击。这种游戏,呈现了病毒程序的感人编码的程序来互相攻击。这种游戏,呈现了病毒程序的感染和破坏性。染和破坏性。2.2.计算机及手机病毒的产生计算机及手机病
6、毒的产生n 计算机病毒发展计算机病毒发展主要经历了主要经历了五个重要阶段五个重要阶段。7.1计算机及手机病毒基础计算机及手机病毒基础 3.3.计算机病毒的发展阶段计算机病毒的发展阶段 4 4计算机病毒的命名方式计算机病毒的命名方式 命名方式命名方式由多个前缀与后缀组合,中间以点由多个前缀与后缀组合,中间以点“”分隔,分隔,一般格式一般格式为:为:前缀前缀.病毒名病毒名.后缀后缀。如振荡波蠕虫病毒。如振荡波蠕虫病毒的变种的变种“Worm.Sasser.c”,其中,其中Worm指病毒的种类为蠕虫,指病毒的种类为蠕虫,Sasser是病毒名,是病毒名,c c指该病毒的变种。指该病毒的变种。(1 1)病
7、毒前缀)病毒前缀-病毒种类病毒种类 (2 2)病毒名)病毒名-病毒的名称病毒的名称 (3 3)病毒后缀)病毒后缀-病毒变种特征病毒变种特征 病毒名病毒名即病毒的名称即病毒的名称,如,如“病毒之母病毒之母”CIHCIH病毒及其变种的名病毒及其变种的名称一律为称一律为“CIH”CIH”,冲击波蠕虫的病毒名为,冲击波蠕虫的病毒名为“Blaster”Blaster”。病毒名。病毒名也有一些也有一些约定俗成方式约定俗成方式,可按病毒发作的时间命名,如黑色星期,可按病毒发作的时间命名,如黑色星期五;也可按病毒发作症状命名,如小球;或按病毒自身包含的标五;也可按病毒发作症状命名,如小球;或按病毒自身包含的标
8、志命名,如熊猫病毒;还可按病毒发现地命名,如耶路撒冷病毒;志命名,如熊猫病毒;还可按病毒发现地命名,如耶路撒冷病毒;或按病毒的字节长度命名,如或按病毒的字节长度命名,如15751575。7.1计算机及手机病毒基础计算机及手机病毒基础n 7.1.2 7.1.2 计算机及手机病毒的特点计算机及手机病毒的特点 根据对病毒的产生、传播和破坏行为的分析根据对病毒的产生、传播和破坏行为的分析,可概括为可概括为6 6 个个主要特点主要特点。n 1.1.传播性传播性 传播性是病毒的传播性是病毒的基本特点基本特点。计算机病毒与生物病毒类似,也会通过。计算机病毒与生物病毒类似,也会通过各种途径传播扩散,在一定条件
9、下造成被感染的系统工作失常甚至瘫痪。各种途径传播扩散,在一定条件下造成被感染的系统工作失常甚至瘫痪。n 2 2.隐蔽性隐蔽性 病毒程序很隐蔽与正常程序只有经过代码分析才能病毒程序很隐蔽与正常程序只有经过代码分析才能区别区别n 3.3.潜伏性潜伏性 绝大部分的计算机病毒感染系统之后一般不会马上发作,可长期隐绝大部分的计算机病毒感染系统之后一般不会马上发作,可长期隐藏在系统中,只有当满足其特定条件时才启动其破坏代码,显示发作信藏在系统中,只有当满足其特定条件时才启动其破坏代码,显示发作信息或破坏系统息或破坏系统。n 4.4.触发及控制性触发及控制性 用户调用正常程序时并达到触发条件时,窃取系统的控
10、制权,并抢先用户调用正常程序时并达到触发条件时,窃取系统的控制权,并抢先 于正常程序执行,病毒的动作、目的对用户是未知的,未经用户允许。于正常程序执行,病毒的动作、目的对用户是未知的,未经用户允许。7.1计算机及手机病毒基础计算机及手机病毒基础n 5.5.影响破坏性影响破坏性 侵入系统的任何病毒侵入系统的任何病毒,都会对系统及应用程序产生影响都会对系统及应用程序产生影响.占用系占用系统资源统资源,降低工作效率降低工作效率,甚至可导致系统崩溃甚至可导致系统崩溃,其破坏性多种多样。其破坏性多种多样。n 6.6.多态不可预见性多态不可预见性 不同种类的病毒代码相差很大,但有些操作具有共性,如驻内不同
11、种类的病毒代码相差很大,但有些操作具有共性,如驻内存、改中断等。利用这些共性已研发出查病毒程序,但由于软件种存、改中断等。利用这些共性已研发出查病毒程序,但由于软件种类繁多、病毒变异难预见。类繁多、病毒变异难预见。7.1计算机及手机病毒基础计算机及手机病毒基础 计算机病毒傍热映电影计算机病毒傍热映电影2012兴风作浪兴风作浪。随着灾随着灾难大片难大片20122012热映,很多电影网站推出在线收看或下载服务。一热映,很多电影网站推出在线收看或下载服务。一种潜伏在被挂马的电影网站中的种潜伏在被挂马的电影网站中的“中华吸血鬼中华吸血鬼”变种病毒变种病毒,能感染,能感染多种软件和压缩文件,利用不同方式
12、关闭杀毒软件,以变形破坏功多种软件和压缩文件,利用不同方式关闭杀毒软件,以变形破坏功能与加密下载木马病毒。具有一个生成器,可随意定制下载地址和能与加密下载木马病毒。具有一个生成器,可随意定制下载地址和功能。功能。案例案例7 7-3-3n 7.1.3 7.1.3 计算机及手机病毒的种类计算机及手机病毒的种类n 1 1以病毒攻击的操作系统分类以病毒攻击的操作系统分类n 2 2以病毒的攻击机型分类以病毒的攻击机型分类以病毒攻击的操作系统分类以病毒攻击的操作系统分类攻击攻击DOSDOS系系统的病毒统的病毒攻击攻击WindowsWindows系系统的病毒统的病毒攻击攻击UNIXUNIX系系统的病毒统的病
13、毒OS/2OS/2系统的系统的病毒病毒攻击攻击NetWareNetWare系系统的病毒统的病毒7.1计算机及手机病毒基础计算机及手机病毒基础n 3 3按照病毒的链接方式分类按照病毒的链接方式分类 通常,计算机病毒所攻击的对象是系统可执行部分,按通常,计算机病毒所攻击的对象是系统可执行部分,按照照病毒链接方式病毒链接方式可分为可分为4 4种:种:7.1计算机及手机病毒基础计算机及手机病毒基础 据国外据国外2016年年7月月有关媒体报道,互联网安全公司有关媒体报道,互联网安全公司Check Point日前指出,一款疑似来自中国某地一家名为日前指出,一款疑似来自中国某地一家名为Yingmob(微赢互
14、动微赢互动)的广告公司开发的的的广告公司开发的的恶意软件恶意软件HummingBad,在手机,在手机的的Android设备上建立一个永久性的设备上建立一个永久性的rootkit,已在全球范围内感,已在全球范围内感染了染了8500万台手机,借助虚假广告和安装额外欺诈性应用获利。万台手机,借助虚假广告和安装额外欺诈性应用获利。利用恶意软件利用恶意软件每季度至少每季度至少100万美元的广告收入万美元的广告收入。案例案例7 7-4-4n 4 4按照病毒的破坏能力分类按照病毒的破坏能力分类 根据根据病毒破坏的能力病毒破坏的能力可划分为可划分为4 4种:种:n 5 5按照传播媒介不同分类按照传播媒介不同分
15、类 按照按照计算机病毒的传播媒介计算机病毒的传播媒介分类,可分为分类,可分为单机病毒单机病毒和和网络病毒网络病毒。n 6 6按传播方式不同分类按传播方式不同分类 按照按照病毒传播方式病毒传播方式分为分为引导型病毒、文件型病毒和混合型病毒引导型病毒、文件型病毒和混合型病毒3 3种。种。7.1计算机及手机病毒基础计算机及手机病毒基础轻度轻度n 7 7以病毒特有的算法不同分类以病毒特有的算法不同分类n 8.8.按照病毒的寄生部位或传染对象分类按照病毒的寄生部位或传染对象分类 传染性传染性是计算机病毒的本质属性是计算机病毒的本质属性,根据寄生部位或传染对象分类,即,根据寄生部位或传染对象分类,即根根据
16、病毒传染方式进行分类据病毒传染方式进行分类,有,有3 3种:种:n 9.9.按照病毒激活的时间分类按照病毒激活的时间分类 按照按照病毒激活时间病毒激活时间可分为可分为定时的定时的和和随机的随机的。根据病毒程序特有算法分类根据病毒程序特有算法分类伴随型伴随型病毒病毒 蠕虫蠕虫 型病毒型病毒寄生型寄生型病毒病毒练习型练习型病毒病毒诡秘型诡秘型病毒病毒变型变型 病毒病毒7.1计算机及手机病毒基础计算机及手机病毒基础/幽灵幽灵n 7 7.2.1.2.1 计算机及手机病毒的危害计算机及手机病毒的危害n 计算机及手机计算机及手机病毒的主要危害病毒的主要危害包括:包括:1 1)破坏系统、文件和数据破坏系统、
17、文件和数据 2 2)窃取机密文件和信息窃取机密文件和信息 3 3)造成网络堵塞或瘫痪造成网络堵塞或瘫痪 4 4)消耗内存、磁盘空间和系统资源消耗内存、磁盘空间和系统资源 5 5)电脑运行缓慢电脑运行缓慢 6 6)对用户造成心理压力对用户造成心理压力7.2病毒危害、中毒症状及后果病毒危害、中毒症状及后果n 7 7.2.2.2 2病毒发作的症状及后果病毒发作的症状及后果n 在感染病毒后,根据中毒的情况会出现在感染病毒后,根据中毒的情况会出现不同的症状不同的症状:系统运行:系统运行速度变慢、无法上网,无故自动弹出对话框或网页,用户名和密码速度变慢、无法上网,无故自动弹出对话框或网页,用户名和密码等用
18、户信息被篡改等用户信息被篡改,甚至是死机甚至是死机,系统瘫痪等系统瘫痪等,还还有有以下症状。以下症状。7.2病毒危害、中毒症状及后果病毒危害、中毒症状及后果n 1.1.病毒发作时的其他症状病毒发作时的其他症状 1 1)提示提示 无关无关对话对话 2 2)发出发出声响声响3 3)产生产生 异常异常图象图象 4 4)硬盘硬盘灯灯 不断不断闪烁闪烁 5 5)算法算法 游戏游戏6 6)桌面桌面图标图标发生发生变化变化 7 7)突然突然重启重启 或死或死机机8 8)自动自动 发送发送邮件邮件9 9)自动自动 移动移动鼠标鼠标n 2 2.病毒发作的异常后果病毒发作的异常后果 绝大部分绝大部分计算机病毒都属
19、于计算机病毒都属于恶性病毒,恶性病毒,发作发作后后的的异常异常现现象象及造成的及造成的后果后果包括:包括:1 1)硬盘无法启动,数据丢失。)硬盘无法启动,数据丢失。2 2)文件丢失或被破坏。)文件丢失或被破坏。3 3)文件目录混乱。)文件目录混乱。4 4)BIOSBIOS程序混乱使主板破坏。程序混乱使主板破坏。5 5)部分文档自动加密。)部分文档自动加密。6 6)计算机重启时格式化硬盘。)计算机重启时格式化硬盘。7 7)网络瘫痪,无法正常服务。)网络瘫痪,无法正常服务。7.2病毒危害、中毒症状及后果病毒危害、中毒症状及后果 7.3 计算机病毒的构成与传播计算机病毒的构成与传播n 7.3.1 7
20、.3.1 计算机病毒的构成计算机病毒的构成n 计算机病毒主要构成计算机病毒主要构成,有,有3 3个单元个单元构成构成:引导引导 单元单元传染单传染单元元触发触发单元单元 3)3)由两个部分由两个部分构成构成,一是一是触发控制触发控制部分,二是部分,二是二是影响二是影响破坏操作破坏操作部分。部分。2)2)是病毒程序的是病毒程序的核心核心,主要,主要功能功能是传播病毒,一般由三个是传播病毒,一般由三个部分构成,部分构成,传染控制模块传染控制模块、传染判断模块传染判断模块、传染操作模块传染操作模块。1)1)也称也称潜伏机制潜伏机制模块模块,具有初始化、,具有初始化、隐藏和捕捉隐藏和捕捉功能功能。可。
21、可将病毒加载到内存中,将病毒加载到内存中,并并保护保护其存储,以防其存储,以防被其他程序覆盖,同被其他程序覆盖,同时修改一些中断及高时修改一些中断及高端内存、保存原中断端内存、保存原中断系统参数,为传播做系统参数,为传播做准备。准备。图图7-1 计算机病毒的主要构成计算机病毒的主要构成n 7.3.2 7.3.2 计算机病毒的传播计算机病毒的传播n 传播性传播性是病毒最大威胁和隐患的特点之一。是病毒最大威胁和隐患的特点之一。n 1 1移动式存储介质移动式存储介质 数码产品常用的移动存储介质主要包括:软盘、光盘、数码产品常用的移动存储介质主要包括:软盘、光盘、DVDDVD、硬盘、硬盘、闪存、闪存、
22、U U盘、盘、CFCF卡、卡、SDSD卡、记忆棒(卡、记忆棒(Memory StickMemory Stick)、移动硬盘等。移)、移动硬盘等。移动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便利,这也是其成为目前主流病毒传播途径的重要原因。例如,利,这也是其成为目前主流病毒传播途径的重要原因。例如,“U U盘杀盘杀手手”(Worm_AutorunWorm_Autorun)病毒)病毒2.2.各种网络传播各种网络传播 (1)电子邮件)电子邮件(2)下载文件)下载文件(3)浏览网页)浏览网页(4)聊天通讯工具)聊天通讯工具(5
23、)移动通信终端)移动通信终端 7.3 计算机病毒的构成与传播计算机病毒的构成与传播n 7.3.3 7.3.3 计算病毒的触发与生存计算病毒的触发与生存n 1 1病毒的触发条件及方式病毒的触发条件及方式 病毒病毒基本特性基本特性是感染、潜伏、触发、破坏。感染使病毒传播,破坏性体现是感染、潜伏、触发、破坏。感染使病毒传播,破坏性体现其杀伤力。其杀伤力。触发性触发性兼顾杀伤力和潜伏性,并可控制病毒感染和破坏频度。兼顾杀伤力和潜伏性,并可控制病毒感染和破坏频度。病毒病毒触发条件触发条件主要有主要有7 7种种:时间触发、键盘触发、感染触发、启动触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触
24、发、调用中断功能触发、访问磁盘次数触发、调用中断功能触发、CPUCPU型号型号/主板型号触发。主板型号触发。2.2.病毒的寄生和生存方式病毒的寄生和生存方式 病毒病毒产生过程产生过程分为程序设计分为程序设计传播传播潜伏潜伏触发触发运行运行实行攻击。实行攻击。从产生到彻底根除,从产生到彻底根除,病毒病毒拥有一个完整的拥有一个完整的生存周期生存周期:开发期、传播期、潜伏期、发作期、发现期、消化期、消亡期开发期、传播期、潜伏期、发作期、发现期、消化期、消亡期 7.3 计算机病毒的构成与传播计算机病毒的构成与传播 电子邮件病毒触发方式电子邮件病毒触发方式。“欢迎时光欢迎时光”病毒病毒(VBS.Hapt
25、ime.Amm),作为电子邮件),作为电子邮件附件附件,利用邮件系统的缺,利用邮件系统的缺陷陷自身传播自身传播,可在无运行附件时运行。并可利用邮件系统的,可在无运行附件时运行。并可利用邮件系统的信纸信纸功能,功能,将自身复制在信纸将自身复制在信纸模板模板上传播上传播。用户收到含有病毒邮件,只要浏览内用户收到含有病毒邮件,只要浏览内容,即达到了该病毒触发条件,系统就会立刻感染病毒容,即达到了该病毒触发条件,系统就会立刻感染病毒。案例案例7 7-5 5(1)病毒的寄生对象)病毒的寄生对象。一是磁盘引导区;二是可执行文件一是磁盘引导区;二是可执行文件。(2)病毒的生存方式)病毒的生存方式。替代磁盘引
26、导区或可执行文件链接式生存方式替代磁盘引导区或可执行文件链接式生存方式n 7.3.4 7.3.4 特种及新型病毒实例特种及新型病毒实例n 1 1木马病毒木马病毒n 特洛伊木马特洛伊木马(TrojanTrojan)简称为木马,其名源于古希腊传说简称为木马,其名源于古希腊传说。是。是一种具有攻击系统、破坏文件、发送密码和记录键盘等特殊功能的一种具有攻击系统、破坏文件、发送密码和记录键盘等特殊功能的后门程序后门程序,其其特性特性也已变异更新。也已变异更新。木马病毒发展趋势木马病毒发展趋势。20162016年以来,盗号木马、手年以来,盗号木马、手机木马、敲诈和广告木马快速增长,仅机木马、敲诈和广告木马
27、快速增长,仅20162016年前年前8 8个月新增新型木个月新增新型木马近百万个,占各种木马马近百万个,占各种木马76.3%76.3%,且基本占据互联网新增木马的主,且基本占据互联网新增木马的主流。新型木马的启动方式、破坏性均超出了传统木马和感染型木流。新型木马的启动方式、破坏性均超出了传统木马和感染型木马,且杀毒软件对此类木马查杀技术也面临着严峻的考验。马,且杀毒软件对此类木马查杀技术也面临着严峻的考验。案例案例7 7-6 6 7.3 计算机病毒的构成与传播计算机病毒的构成与传播(1)冰河木马的主要功能)冰河木马的主要功能 1)连接功能)连接功能 2)控制功能)控制功能 3)口令的获取)口令
28、的获取 4)屏幕抓取)屏幕抓取 5)远程文件操作)远程文件操作 6)冰河信使)冰河信使(2)冰河木马的原理)冰河木马的原理。激活的服务端程序激活的服务端程序+自动生成可执行文件自动生成可执行文件n 2.2.蠕虫病毒蠕虫病毒n 具有病毒的共性,同时还具有一些具有病毒的共性,同时还具有一些特特性性,不依赖宿主寄生,不依赖宿主寄生,通过复制自身在网络环境下进行传播。通过复制自身在网络环境下进行传播。n (1)I_WORM/EMANUEL网络蠕虫网络蠕虫n 通过通过微软微软的的Outlook Eress自动传播给受感染计算机的地址自动传播给受感染计算机的地址簿里的所有人,给每人发送一封带有该附件的邮件
29、。簿里的所有人,给每人发送一封带有该附件的邮件。n (2)熊猫烧香病毒)熊猫烧香病毒n 熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒。曾在是一种经过多次变种的蠕虫病毒。曾在2006-2007年间肆虐互联网,被列为我国年间肆虐互联网,被列为我国2006十大病毒之首,一度成为十大病毒之首,一度成为“毒王毒王”。自爆发后,短时间内出现近百变种,上百万台机器中。自爆发后,短时间内出现近百变种,上百万台机器中毒,并深受其害。毒,并深受其害。7.3 计算机病毒的构成与传播计算机病毒的构成与传播 7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范n 7.4.1 7.4.1 计算机病毒的检测计算机病毒的
30、检测 1 1.根据异常现象初步检测根据异常现象初步检测 1 1)系统运行异常:包括无法开机、开)系统运行异常:包括无法开机、开机变机变慢、系统运行速慢、系统运行速度慢、频繁重启、无故死机、自动关机等;度慢、频繁重启、无故死机、自动关机等;2 2)屏幕显示异常:包括计算机蓝屏、弹出异常对话框、产)屏幕显示异常:包括计算机蓝屏、弹出异常对话框、产生特定的图像(如生特定的图像(如小球病毒小球病毒)等;)等;3 3)声音播放异常:出现非系统正常声音等,如)声音播放异常:出现非系统正常声音等,如“杨基杨基”(YangkeeYangkee)病毒)病毒和和“浏阳河浏阳河”病毒病毒;4 4)文件)文件/系统异
31、常系统异常:无法找到硬盘分区、文件名等无法找到硬盘分区、文件名等,相关属性相关属性遭更改、硬盘存储空间意外变小、无法打开遭更改、硬盘存储空间意外变小、无法打开/读取读取/操作文件、操作文件、数据丢失或损坏、数据丢失或损坏、CPUCPU利用率或内存占用利用率或内存占用过高过高。5 5)外设)外设异常异常。鼠标鼠标/打印机等外设异常打印机等外设异常无法正常使用等;无法正常使用等;6 6)网络异常)网络异常:不能:不能正常上网、杀毒软件正常上网、杀毒软件无法升级无法升级、自动弹、自动弹出网页、主页被篡改、自动发送出网页、主页被篡改、自动发送电子邮件电子邮件等等异常异常现象。现象。7.4 计算机病毒检
32、测清除与防范计算机病毒检测清除与防范 2.2.利用专业工具检测查毒利用专业工具检测查毒 由于病毒具有较强的隐蔽性,必须使用专业工具对系统由于病毒具有较强的隐蔽性,必须使用专业工具对系统进行查毒,进行查毒,主要是指针对主要是指针对包括特定的内存、文件、引导区、包括特定的内存、文件、引导区、网络在内的一系列属性,能够准确地查出病毒名称。常见的网络在内的一系列属性,能够准确地查出病毒名称。常见的杀毒软件基本都含有查毒功能,例如杀毒软件基本都含有查毒功能,例如360/360/瑞星免费在线查毒瑞星免费在线查毒、金山毒霸查毒、卡巴斯基查毒等。、金山毒霸查毒、卡巴斯基查毒等。查毒软件使用的查毒软件使用的最主
33、要的病毒查杀方式最主要的病毒查杀方式为病毒为病毒标记法标记法。此种方式首先将新病毒加以分析,编成病毒码,加入资料库此种方式首先将新病毒加以分析,编成病毒码,加入资料库中,然后通过检测文件、扇区和内存,利用标记,也就是病中,然后通过检测文件、扇区和内存,利用标记,也就是病毒常用毒常用代码的特征代码的特征,查找已知病毒与病毒资料库中的数据并,查找已知病毒与病毒资料库中的数据并进行对比分析,即可判断是否中毒。进行对比分析,即可判断是否中毒。n 7.4.2 7.4.2 常见病毒的清除方法常见病毒的清除方法n 系统意外中毒,需要及时采取措施系统意外中毒,需要及时采取措施,常用处理方法常用处理方法是是清除
34、病毒清除病毒:先对系统被破坏的程度先对系统被破坏的程度调查评估调查评估,并采取有效的清除对策和方法。,并采取有效的清除对策和方法。n 杀毒后重启杀毒后重启,再用查杀病毒软件检查系统再用查杀病毒软件检查系统,并确认完全恢复正常。并确认完全恢复正常。7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范 7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范n 7.4.3 7.4.3 普通病毒的防范方法普通病毒的防范方法n 查杀病查杀病毒不如预防毒不如预防,如果能够采取全面的防护措施,则会如果能够采取全面的防护措施,则会更有效地避免病毒的危害。因此,计算机病毒的防范,应该采更有效地避免病毒的危
35、害。因此,计算机病毒的防范,应该采取取预防为主的策略预防为主的策略。n 首先要在思想上有反病毒的警惕性,依靠使用反病毒技术首先要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这些病毒就无法逾越安全保护屏障,从而不能广和管理措施,这些病毒就无法逾越安全保护屏障,从而不能广泛传播。泛传播。个人用户个人用户要及时升级可靠的反病毒产品,因为病毒以要及时升级可靠的反病毒产品,因为病毒以每日每日4-64-6个的速度产生,反病毒产品必须适应病毒的发展,不个的速度产生,反病毒产品必须适应病毒的发展,不断升级,才能识别和查杀新病毒,为系统提供真正安全环境。断升级,才能识别和查杀新病毒,为系统提供真正安
36、全环境。每一位计算机每一位计算机使用者使用者都要遵守病毒防治的法律和制度,做到不都要遵守病毒防治的法律和制度,做到不制造病毒,不传播病毒。养成良好的上机习惯,如定期备份系制造病毒,不传播病毒。养成良好的上机习惯,如定期备份系统数据文件;外部存储设备连接前先杀毒再使用;不访问违法统数据文件;外部存储设备连接前先杀毒再使用;不访问违法或不明网站,不下载传播不良文件等。或不明网站,不下载传播不良文件等。n 7.4.4 7.4.4 木马的检测清除与防范木马的检测清除与防范 1.1.木马的木马的检测检测(1 1)检测系统进程)检测系统进程(2 2)检查注册表、)检查注册表、iniini文件和服务文件和服
37、务(3 3)检测开放端口)检测开放端口(4 4)监视网络通讯)监视网络通讯 2.2.木马木马病病毒的毒的清清除除(1 1)手工删除)手工删除(2 2)杀毒软件清除)杀毒软件清除 3.3.木马病木马病毒的毒的防范防范(1 1)不点击不明的网址或邮件)不点击不明的网址或邮件(2 2)不下载没有确认的软件)不下载没有确认的软件(3 3)及时漏洞修复)及时漏洞修复-堵堵住可疑端口住可疑端口(4 4)使用实时监控程序)使用实时监控程序 7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范初始化-系统配置文件 木马可在木马可在Win.ini和和System.ini”run=”“load=”“shell
38、=”后加载后加载,若在其后若在其后加载程序很陌生加载程序很陌生,可能就可能就是木马是木马.常将常将“Explorer”变为自身程序名变为自身程序名,或将其或将其中的字母中的字母”l”改为数字改为数字“1”,或将字母或将字母“o”改为数字改为数字“0”,不易发现。不易发现。n 7.4.5 7.4.5 病毒和防病毒技术的发展趋势病毒和防病毒技术的发展趋势n 1.1.计算机病毒的发展趋势计算机病毒的发展趋势 随着互联网的高速发展,病毒也进入了愈加猖狂和泛滥的阶段,随着互联网的高速发展,病毒也进入了愈加猖狂和泛滥的阶段,目前计算机病毒的发展主要体现出在以下四个方面:目前计算机病毒的发展主要体现出在以下
39、四个方面:(1 1)病毒的种类和数量迅速增长)病毒的种类和数量迅速增长 7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范 据瑞星网站报道据瑞星网站报道2016年年1-6月月,瑞星,瑞星“云安全云安全”系统共截获新系统共截获新增病毒样本增病毒样本1,633万余个,病毒总体数量比去年下半年增长万余个,病毒总体数量比去年下半年增长93.01%,呈现,呈现出出爆发式增长态势爆发式增长态势。其中木马病毒。其中木马病毒1,172万个,占总体病毒的万个,占总体病毒的71.8%,第一,第一大种类病毒。大种类病毒。新增病毒样本新增病毒样本包括蠕虫病毒(包括蠕虫病毒(Worm)198万个,占总体数万个,占
40、总体数量的量的12.16%。感染型(。感染型(Win32)病毒)病毒97万个,占总体数量的万个,占总体数量的5.99%,后门,后门病毒(病毒(Backdoor)66万个,占总体数量的万个,占总体数量的4.05%。恶意广告(。恶意广告(Adware)、)、黑客程序(黑客程序(Hack)、病毒释放器()、病毒释放器(Dropper)、恶意驱动()、恶意驱动(Rootkit)依)依次排列,比例分别为次排列,比例分别为1.91%、1.03%、0.62%和和0.35%。案例案例7-77-7(2)病毒传播手段呈多样化、复合化趋势)病毒传播手段呈多样化、复合化趋势(4)病毒的危害日益增大)病毒的危害日益增大
41、(3)病毒制作技术水平不断攀升)病毒制作技术水平不断攀升n 2.2.防病毒技术的发展趋势防病毒技术的发展趋势n 随着实时监控技术日益发展完善,能够达到随着实时监控技术日益发展完善,能够达到监控监控文件、邮件、网页、即文件、邮件、网页、即时通信、木马修改注册表、隐私信息维护的目的。但随着病毒制造者的不断时通信、木马修改注册表、隐私信息维护的目的。但随着病毒制造者的不断推出新变种,防病毒技术也取得了一定的进步和突破,推出新变种,防病毒技术也取得了一定的进步和突破,由被动防御向主动防由被动防御向主动防御转变御转变势在必行。若用户不及时对网络病毒库更新,会滞后于病毒制造者及势在必行。若用户不及时对网络
42、病毒库更新,会滞后于病毒制造者及病毒发作时间,加之近年网络新兴病毒频发,反病毒领域已经认识到必须由病毒发作时间,加之近年网络新兴病毒频发,反病毒领域已经认识到必须由被动使用杀毒软件向主动防御新型病毒转变。所以,云概念、云计算、云安被动使用杀毒软件向主动防御新型病毒转变。所以,云概念、云计算、云安全、云杀毒等全、云杀毒等新技术应运而生新技术应运而生。n 云安全云安全(Cloud Security)是网络安全的最新体现,融合了并行处理、)是网络安全的最新体现,融合了并行处理、网格计算、未知病毒特征辨识等新技术,通过网状的大量客户端对网络中软网格计算、未知病毒特征辨识等新技术,通过网状的大量客户端对
43、网络中软件行为的异常监测,获取互联网中病毒的新信息,传送到件行为的异常监测,获取互联网中病毒的新信息,传送到Server端端自动分析自动分析和处理,再把解决方案发到各客户端。和处理,再把解决方案发到各客户端。7.4 计算机病毒检测清除与防范计算机病毒检测清除与防范7.5 实验七实验七 360安全卫士杀毒软件应用安全卫士杀毒软件应用 7.5.1 7.5.1 实验目的实验目的7.5.2 7.5.2 实验内容实验内容 1.主要实验内容主要实验内容 360安全卫士及杀毒软件的安全卫士及杀毒软件的实验内容实验内容:360安全卫士杀毒软件的主要功能及特点。安全卫士杀毒软件的主要功能及特点。360安全卫士杀
44、毒软件主要技术和应用。安全卫士杀毒软件主要技术和应用。360安全卫士杀毒软件主要操作界面和方法。安全卫士杀毒软件主要操作界面和方法。实验用时:实验用时:2学时(学时(90-120分钟)分钟)2.360安全卫士主要功能特点安全卫士主要功能特点 360安全卫士安全卫士主要功能主要功能:电脑体检。查杀木马。修复漏洞。电脑体检。查杀木马。修复漏洞。系统修复。电脑清理。优化加速。系统修复。电脑清理。优化加速。电脑门诊。软件管家。功能大全。电脑门诊。软件管家。功能大全。360安全卫士及杀毒软件的安全卫士及杀毒软件的实验目的实验目的:理解理解360安全卫士杀毒软件的主要功能及特点。安全卫士杀毒软件的主要功能
45、及特点。掌握掌握360安全卫士杀毒软件主要技术和应用。安全卫士杀毒软件主要技术和应用。熟悉熟悉360安全卫士杀毒软件主要操作界面和方法安全卫士杀毒软件主要操作界面和方法 3.360杀毒软件主要功能特点杀毒软件主要功能特点 360杀毒软件和杀毒软件和360安全卫士配合使用,是安全上网的黄金组合,安全卫士配合使用,是安全上网的黄金组合,可提供全时全面的病毒防护。可提供全时全面的病毒防护。360杀毒软件杀毒软件主要功能特点主要功能特点:360360杀毒无缝整合国际知名的杀毒无缝整合国际知名的BitDefenderBitDefender病毒查杀引擎和安全中病毒查杀引擎和安全中心领先云查杀引擎。心领先云
46、查杀引擎。双引擎智能调度,为电脑提供完善的病毒防护体系,不但查杀能双引擎智能调度,为电脑提供完善的病毒防护体系,不但查杀能力出色,而且能第一时间防御新出现的病毒木马。力出色,而且能第一时间防御新出现的病毒木马。杀毒快、误杀率低。以独有的技术体系对系统资源占用少,杀毒杀毒快、误杀率低。以独有的技术体系对系统资源占用少,杀毒快、误杀率低。快、误杀率低。快速升级和响应,病毒特征库及时更新,确保对爆发性病毒的快快速升级和响应,病毒特征库及时更新,确保对爆发性病毒的快速响应。速响应。对感染型木马强力查杀功能的反病毒引擎,以及实时保护技术强对感染型木马强力查杀功能的反病毒引擎,以及实时保护技术强大的反病毒
47、引擎,采用虚拟环境启发式分析技术发现和阻止未知病毒。大的反病毒引擎,采用虚拟环境启发式分析技术发现和阻止未知病毒。超低系统资源占用,人性化免打扰设置,在用户打开全屏程序或超低系统资源占用,人性化免打扰设置,在用户打开全屏程序或运行应用程序时自动进入运行应用程序时自动进入“免打扰模式免打扰模式”。7.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验 7.5.3 7.5.3 操作界面及步骤操作界面及步骤 1.360安全卫士操作界面安全卫士操作界面 鉴于广大用户对鉴于广大用户对360安全卫士等软件比较熟悉,且限于篇幅,在此只安全卫士等软件比较熟悉,且限于篇幅,在此只做概述。做概述。36
48、0安全卫士最新安全卫士最新11.2版主要操作界面,如图版主要操作界面,如图7-2至至7-7所示。所示。7.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验 7图图7-2 安全卫士主界面及电脑体验界面安全卫士主界面及电脑体验界面 图图7-3安全卫士的木马查杀界面安全卫士的木马查杀界面1.360安全卫士操作界面安全卫士操作界面7.5.3 7.5.3 操作界面及步骤操作界面及步骤7.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验 图图7-4 安全卫士的电脑清理界面安全卫士的电脑清理界面 图图7-5安全卫士系统修复界面安全卫士系统修复界面1.360安全卫士操作界面安全卫士
49、操作界面7.5.3 7.5.3 操作界面及步骤操作界面及步骤7.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验 图图7-6优化加速的操作界面优化加速的操作界面 图图7-7功能大全的操作界面功能大全的操作界面(2)360杀毒软件功能操作界面杀毒软件功能操作界面 360杀毒软件功能大全选项的操作界面,如图杀毒软件功能大全选项的操作界面,如图7-8至至7-9。9.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验 图图7-8 电脑安全的操作界面电脑安全的操作界面 图图7-9 网络优化的操界面网络优化的操界面7.5 360安全卫士及杀毒软件应用实验安全卫士及杀毒软件应用实验
50、 图图7-10系统工具的操作界面系统工具的操作界面 图图7-11我的工具选项界面我的工具选项界面(2)360杀毒软件功能操作界面杀毒软件功能操作界面 360杀毒软件功能大全选项的操作界面,如图杀毒软件功能大全选项的操作界面,如图7-10至至7-11。7.6 本章小结本章小结 计算机计算机及手机及手机病毒的防范病毒的防范,应以预防为主应以预防为主,在各方面的,在各方面的共同配合来解决计算机及手机病毒的问题。本章首先进行了共同配合来解决计算机及手机病毒的问题。本章首先进行了计算机及手机计算机及手机病毒概述病毒概述,包括计算机及手机病毒的概念及产,包括计算机及手机病毒的概念及产生,计算机及手机病毒的
