計算機(jī)病毒virus_4講

1、計算機(jī)病毒與木馬防治計算機(jī)病毒與木馬防治專題一專題一 病毒的發(fā)展與相關(guān)概念病毒的發(fā)展與相關(guān)概念專題二專題二 病毒的原理與防范病毒的原理與防范專題三專題三 當(dāng)前流行病毒的防治當(dāng)前流行病毒的防治專題四專題四 病毒綜合防范的技術(shù)措施病毒綜合防范的技術(shù)措施2第一講：病毒的現(xiàn)狀與相關(guān)概念3一、 計算機(jī)病毒的現(xiàn)狀（一）武警部隊受計算機(jī)病毒影響的現(xiàn)狀（一）武警部隊受計算機(jī)病毒影響的現(xiàn)狀 日常辦公中感染計算機(jī)病毒的現(xiàn)象十分普遍，由于受到日常辦公中感染計算機(jī)病毒的現(xiàn)象十分普遍，由于受到計算機(jī)病毒的破壞，造成了計算機(jī)病毒的破壞，造成了軟件不能運行軟件不能運行、系統(tǒng)無法使用系統(tǒng)無法使用，甚至甚至重要數(shù)據(jù)遭到刪除重要

2、數(shù)據(jù)遭到刪除等嚴(yán)重的后果。等嚴(yán)重的后果。45（二）毒王（二）毒王“熊貓燒香熊貓燒香”病毒病毒6（1）二進(jìn)制可執(zhí)行文件(后綴為:EXE,SCR,PIF,COM) （2）腳本類(后綴名為:htm,html,asp,php,jsp,aspx)在感染時會刪除這些磁盤上的后綴名為.GHO 局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計算機(jī)系統(tǒng)，最終導(dǎo)致整個局域網(wǎng)癱瘓。對辦公自動化的影響：對辦公自動化的影響：7（三）病毒（三）病毒將硬盤數(shù)據(jù)刪除將硬盤數(shù)據(jù)刪除8 在桌面上會建立一個名為“拯救硬盤.txt”的文件，內(nèi)容大致為：“你的硬盤資料丟失了，是因為手機(jī)的強(qiáng)電磁流影響了硬盤的正常讀寫，你必須使用磁盤修復(fù)工具拯救找

3、回丟失的資料文件，但是，你正在使用的不是正版軟件，是盜版，你必須拯救修復(fù)丟失的資料，并且盡快購買正版的軟件”。開始菜單的“附件”組中生成名為“修復(fù)硬盤資料”的快捷方式。對辦公自動化的影響：對辦公自動化的影響：9（四）（四）U盤病毒盤病毒 辦公中使用辦公中使用U盤的頻率高，盤的頻率高，U盤病毒造盤病毒造成的影響面廣，傳播速度快，不依賴于網(wǎng)成的影響面廣，傳播速度快，不依賴于網(wǎng)絡(luò)，對單機(jī)同樣有嚴(yán)重的影響。絡(luò)，對單機(jī)同樣有嚴(yán)重的影響。10二、計算機(jī)病毒發(fā)展歷程1、計算機(jī)病毒溯源、計算機(jī)病毒溯源 1949年，馮年，馮.諾伊曼在諾伊曼在復(fù)雜自動裝置的復(fù)雜自動裝置的理論及組織的進(jìn)行理論及組織的進(jìn)行中已把病毒

4、程序的藍(lán)圖中已把病毒程序的藍(lán)圖勾勒出來了。勾勒出來了。 當(dāng)時，絕大部份的專家都無法想象這種當(dāng)時，絕大部份的專家都無法想象這種會自我繁殖的程序是可能的，只有少數(shù)幾個會自我繁殖的程序是可能的，只有少數(shù)幾個科學(xué)家默默地研究馮科學(xué)家默默地研究馮諾伊曼所提出的概念。諾伊曼所提出的概念。 111、計算機(jī)病毒溯源、計算機(jī)病毒溯源20世紀(jì)世紀(jì)50年代末年代末60年代初，美國電報電話公年代初，美國電報電話公司（司（AT&T） 的的Bell實驗室，實驗室，Core War游戲游戲(磁芯大戰(zhàn)磁芯大戰(zhàn))。道格拉斯道格拉斯 (H. Douglas McIlroy)維克多維克多 (Victor Vysottsky)羅伯特

5、羅伯特莫里斯莫里斯 (Robert T. Morris)二、計算機(jī)病毒發(fā)展歷程12Core War(磁芯大戰(zhàn)磁芯大戰(zhàn))。Darwin（達(dá)爾文）（達(dá)爾文）Creeper（爬行者）（爬行者）Reaper（收割者）（收割者）Dwarf（侏儒）（侏儒）Gemini（雙子星）（雙子星）Imp（小淘氣）（小淘氣）131、計算機(jī)病毒溯源、計算機(jī)病毒溯源1975 年，年，震蕩波騎士震蕩波騎士第一次描寫了在第一次描寫了在信息社會中，計算機(jī)作為正義和邪惡雙方斗信息社會中，計算機(jī)作為正義和邪惡雙方斗爭的工具的故事。爭的工具的故事。1977年，美國科幻作家雷恩在小說年，美國科幻作家雷恩在小說P-1的的青春青春(The

6、 Adolescence of P-1)，幻想了世，幻想了世界上第一個計算機(jī)病毒。界上第一個計算機(jī)病毒。二、計算機(jī)病毒發(fā)展歷程141、計算機(jī)病毒溯源、計算機(jī)病毒溯源1983年，美國計算機(jī)安全學(xué)家科恩博士研制年，美國計算機(jī)安全學(xué)家科恩博士研制出一個在運行過程中可以復(fù)制自身的破壞性出一個在運行過程中可以復(fù)制自身的破壞性程序。程序。Len Adleman將其命名。將其命名。Computer Virus科恩博士科恩博士二、計算機(jī)病毒發(fā)展歷程152、第一例病毒、第一例病毒1986年，巴基斯坦病毒，年，巴基斯坦病毒，Brain（大腦）病毒。（大腦）病毒。 1988年年3月月2日，一種針對蘋果機(jī)的病毒發(fā)作。

7、日，一種針對蘋果機(jī)的病毒發(fā)作。這天受感染的蘋果機(jī)停止工作，只顯示這天受感染的蘋果機(jī)停止工作，只顯示“向所有向所有蘋果電腦的使用者宣布和平的信息蘋果電腦的使用者宣布和平的信息”。以慶祝蘋。以慶祝蘋果機(jī)生日。果機(jī)生日。 二、計算機(jī)病毒發(fā)展歷程163、互聯(lián)網(wǎng)第一例病毒、互聯(lián)網(wǎng)第一例病毒1988年，年，Morris ，入侵，入侵ARPNET。莫里斯直接經(jīng)濟(jì)損失達(dá)直接經(jīng)濟(jì)損失達(dá) 9600 萬美元萬美元 被判被判 3 年緩刑，罰款年緩刑，罰款 1 萬美元萬美元 二、計算機(jī)病毒發(fā)展歷程174、我國第一例病毒、我國第一例病毒1988年底，在我國國家統(tǒng)計部門發(fā)現(xiàn)首例病毒，年底，在我國國家統(tǒng)計部門發(fā)現(xiàn)首例病毒，小

8、球病毒。小球病毒。1989年，年，Stoned病毒。病毒?！癥our PC is now stoned”二、計算機(jī)病毒發(fā)展歷程185、第一次將病毒用于戰(zhàn)爭、第一次將病毒用于戰(zhàn)爭1991年，年，“海灣戰(zhàn)爭海灣戰(zhàn)爭”中，美軍第一次將計中，美軍第一次將計算機(jī)病毒用于實戰(zhàn)。算機(jī)病毒用于實戰(zhàn)。二、計算機(jī)病毒發(fā)展歷程196、病毒影響政治事件、病毒影響政治事件1994年，南非第一次多種族全民大選的記票年，南非第一次多種族全民大選的記票工作，因病毒的破壞而停頓達(dá)工作，因病毒的破壞而停頓達(dá)30余小時。余小時。二、計算機(jī)病毒發(fā)展歷程207、宏病毒、宏病毒1997年，年，“宏病毒年宏病毒年”, Macro Viru

9、s。利用軟件所支持的宏命令編寫成的具有復(fù)制、利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。傳染能力的宏。WORD宏病毒：宏病毒：當(dāng)載入文件時先執(zhí)行起始的宏，當(dāng)載入文件時先執(zhí)行起始的宏，Normal.dot用宏病毒感染用宏病毒感染Normal.dot則所有被編輯的文件均被染毒則所有被編輯的文件均被染毒二、計算機(jī)病毒發(fā)展歷程218、第一例破壞硬件的病毒、第一例破壞硬件的病毒-CIH 1998年年8月月,公安部要求各地計算機(jī)監(jiān)察處公安部要求各地計算機(jī)監(jiān)察處嚴(yán)厲加防范一種直接攻擊和破壞計算機(jī)硬嚴(yán)厲加防范一種直接攻擊和破壞計算機(jī)硬件系統(tǒng)的新病毒件系統(tǒng)的新病毒CIH。1999年年4月月26日，日，

10、CIH病毒大規(guī)模爆發(fā)。全病毒大規(guī)模爆發(fā)。全世界至少世界至少6000萬臺，我國至少萬臺，我國至少36萬臺計算萬臺計算機(jī)受損。主板受損比例機(jī)受損。主板受損比例15%，經(jīng)濟(jì)損失，經(jīng)濟(jì)損失0.8億人民幣。億人民幣。陳盈豪 二、計算機(jī)病毒發(fā)展歷程22239、瀏覽就可以傳染、瀏覽就可以傳染可怕的腳本病毒可怕的腳本病毒設(shè)置設(shè)置 對象對象1 = 創(chuàng)建對象創(chuàng)建對象/創(chuàng)建一個文件操作對象創(chuàng)建一個文件操作對象對象對象1.創(chuàng)建文本文件創(chuàng)建文本文件/通過這個文件對象的方法創(chuàng)建一個通過這個文件對象的方法創(chuàng)建一個TXT文件文件如果把第二句改為：如果把第二句改為：對象對象1.獲取文件獲取文件.拷貝拷貝(自身自身)/自身復(fù)制自

11、身復(fù)制二、計算機(jī)病毒發(fā)展歷程24設(shè)置設(shè)置 Outlook對象對象 = 腳本引擎腳本引擎.創(chuàng)建對象創(chuàng)建對象(Outlook.Application) 遍歷地址簿遍歷地址簿 郵件對象郵件對象.收件人收件人.增加增加(地址地址)郵件對象郵件對象.主題主題 = “你好！你好！”郵件對象郵件對象.附件標(biāo)題附件標(biāo)題 = “這是一個有趣的東西，請打開這是一個有趣的東西，請打開”郵件對象郵件對象.附件附件.增加增加(“病毒文件病毒文件”)郵件對象郵件對象.發(fā)送發(fā)送NextNext設(shè)置設(shè)置Outlook對象對象 = 空空251999年年3月月26日日, “梅麗莎梅麗莎” Melissa病毒。病毒。2000年年5

12、月月4日日,愛蟲病毒。愛蟲病毒。2001年，年， CodeRed 、 CodeBlue 、Nimda等針對等針對IIS服務(wù)器漏洞病毒。服務(wù)器漏洞病毒。9、瀏覽就可以傳染、瀏覽就可以傳染可怕的腳本病毒可怕的腳本病毒2610、新型病毒（手機(jī)、新型病毒（手機(jī)、PDA病毒）病毒）定義：以手機(jī)為感染對象，以手機(jī)網(wǎng)絡(luò)和計以手機(jī)為感染對象，以手機(jī)網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)為平臺，通過病毒短信等形式，對算機(jī)網(wǎng)絡(luò)為平臺，通過病毒短信等形式，對手機(jī)進(jìn)行攻擊，從而造成手機(jī)異常的一種新手機(jī)進(jìn)行攻擊，從而造成手機(jī)異常的一種新型病毒。型病毒。二、計算機(jī)病毒發(fā)展歷程27 特點特點 手機(jī)病毒也是由計算機(jī)程序編寫而成；手機(jī)病毒也是由計算

13、機(jī)程序編寫而成； 可利用發(fā)送普通短信、彩信、上網(wǎng)瀏覽、可利用發(fā)送普通短信、彩信、上網(wǎng)瀏覽、下載軟件、鈴聲等方式，實現(xiàn)網(wǎng)絡(luò)到手機(jī)的傳下載軟件、鈴聲等方式，實現(xiàn)網(wǎng)絡(luò)到手機(jī)的傳播；播； 危害后果包括危害后果包括:死機(jī)、關(guān)機(jī)、刪除存儲的資死機(jī)、關(guān)機(jī)、刪除存儲的資料、向外發(fā)送垃圾郵件、撥打電話等。料、向外發(fā)送垃圾郵件、撥打電話等。 2810、新型病毒（手機(jī)病毒）、新型病毒（手機(jī)病毒）2004年年6月月Cabir在在NOKIA60系列機(jī)上傳播。系列機(jī)上傳播。2006年共發(fā)現(xiàn)年共發(fā)現(xiàn)226種。種。2007年達(dá)到年達(dá)到500種。種。二、計算機(jī)病毒發(fā)展歷程29目標(biāo)越大，對惡意軟件作者的吸引力就越強(qiáng)。目標(biāo)越大，對

14、惡意軟件作者的吸引力就越強(qiáng)。 裝有裝有Symbian操作系統(tǒng)的手機(jī)，因為裝配這種操作系統(tǒng)的手機(jī)，因為裝配這種操作系統(tǒng)的手機(jī)占全球智能手機(jī)總數(shù)的操作系統(tǒng)的手機(jī)占全球智能手機(jī)總數(shù)的70左右。左右。 30RedBrowser的木馬，手機(jī)在感染此木馬后，的木馬，手機(jī)在感染此木馬后，將連續(xù)不斷地向俄羅斯的一個手機(jī)號碼發(fā)將連續(xù)不斷地向俄羅斯的一個手機(jī)號碼發(fā)送短信，直到用戶關(guān)閉中毒手機(jī)為止。送短信，直到用戶關(guān)閉中毒手機(jī)為止。每條短信都會被收取大約每條短信都會被收取大約5美元美元的額外費用。的額外費用。 31Trojanhorse病毒：是特洛伊木馬病毒，病毒：是特洛伊木馬病毒，病毒發(fā)作時會利用通訊簿向外撥打電

15、話病毒發(fā)作時會利用通訊簿向外撥打電話或發(fā)送郵件?；虬l(fā)送郵件。 32Unavailable病毒：當(dāng)有來電時，屏幕上顯示病毒：當(dāng)有來電時，屏幕上顯示的不是電話號碼，而是的不是電話號碼，而是“Unavailable”字樣字樣或一些奇異的符號。此時若接電話就會染上或一些奇異的符號。此時若接電話就會染上該病毒，同時手機(jī)內(nèi)所有資料均丟失。該病毒，同時手機(jī)內(nèi)所有資料均丟失。 33據(jù)統(tǒng)計據(jù)統(tǒng)計1989年年1月月,病毒種類不過病毒種類不過100種。種。1990年年1月月,超過超過150種。種。1990年年12月月,超過超過260種。種。2005年全年截獲年全年截獲 72836 個。2007年共截獲新病毒年共截獲

16、新病毒283084個。個。2009年年新增新增病毒和木馬病毒和木馬20684223個。個。二、計算機(jī)病毒發(fā)展歷程34二、計算機(jī)病毒發(fā)展歷程35（1）玩笑、惡作劇的結(jié)果。）玩笑、惡作劇的結(jié)果。 （2）個別人的報復(fù)心理產(chǎn)生的結(jié)果。）個別人的報復(fù)心理產(chǎn)生的結(jié)果。 （3）保護(hù)版權(quán)的結(jié)果。）保護(hù)版權(quán)的結(jié)果。（4 4）黑客以獲取情報和經(jīng)濟(jì)利益為目的）黑客以獲取情報和經(jīng)濟(jì)利益為目的 。根本原因：現(xiàn)代計算機(jī)的結(jié)構(gòu)缺陷根本原因：現(xiàn)代計算機(jī)的結(jié)構(gòu)缺陷直接原因：病毒制造者出于各種各樣的目的直接原因：病毒制造者出于各種各樣的目的三、計算機(jī)病毒產(chǎn)生的原因362007年，明顯針對國內(nèi)用戶、或是明顯帶有年，明顯針對國內(nèi)用戶

17、、或是明顯帶有“中中國制造國制造”特征的病毒，占據(jù)所有病毒總數(shù)的特征的病毒，占據(jù)所有病毒總數(shù)的37%左右，首度躍居左右，首度躍居全球第一全球第一，中國大陸地區(qū)正成為，中國大陸地區(qū)正成為全球電腦病毒全球電腦病毒危害最嚴(yán)重危害最嚴(yán)重的地區(qū)。的地區(qū)。 37導(dǎo)致這種現(xiàn)狀產(chǎn)生的主要因素：導(dǎo)致這種現(xiàn)狀產(chǎn)生的主要因素： 國內(nèi)黑客國內(nèi)黑客/病毒制造者病毒制造者集團(tuán)化、產(chǎn)業(yè)化集團(tuán)化、產(chǎn)業(yè)化運作，運作，批量地制造電腦病毒。批量地制造電腦病毒。 38計算機(jī)病毒經(jīng)濟(jì)利益？計算機(jī)病毒經(jīng)濟(jì)利益？3940 我們的殺毒軟件在干什么我們的殺毒軟件在干什么?41針對殺毒軟件做攻防，已經(jīng)成為普遍現(xiàn)象針對殺毒軟件做攻防，已經(jīng)成為普遍

18、現(xiàn)象 案例一：病毒修改殺毒軟件設(shè)置，默認(rèn)忽略（不查殺）查出的病毒案例一：病毒修改殺毒軟件設(shè)置，默認(rèn)忽略（不查殺）查出的病毒 42案例二：病毒修改系統(tǒng)時間讓殺毒軟件過期，造成該軟件無法正常使用案例二：病毒修改系統(tǒng)時間讓殺毒軟件過期，造成該軟件無法正常使用 43案例三：病毒破壞該案例三：病毒破壞該IM軟件自帶的木馬查殺模塊軟件自帶的木馬查殺模塊 44案例四：病毒損壞了某殺毒軟件的配置文件案例四：病毒損壞了某殺毒軟件的配置文件 45廣義上講，凡能夠引起計算機(jī)故障、破壞計算機(jī)數(shù)據(jù)廣義上講，凡能夠引起計算機(jī)故障、破壞計算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計算機(jī)病毒。的程序統(tǒng)稱為計算機(jī)病毒。 1994年年2月月18日我國

19、頒布的日我國頒布的中華人民共和國計算機(jī)信中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例息系統(tǒng)安全保護(hù)條例，第二十八條指出：，第二十八條指出：“計算機(jī)計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用、并能自我復(fù)機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用、并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。制的一組計算機(jī)指令或者程序代碼。” 四、計算機(jī)病毒的相關(guān)概念定義：定義：46傳染性傳染性: 也稱也稱“自我復(fù)制自我復(fù)制”或或“再生再生”。 破壞性破壞性: 良性、惡性。良性、惡性。寄生性寄生性: 病毒程序嵌入到宿主程序之中，依賴于宿主程

20、序的執(zhí)病毒程序嵌入到宿主程序之中，依賴于宿主程序的執(zhí) 行而生存。行而生存。 隱蔽性：隱蔽性：通常附在正常程序或磁盤中。通常附在正常程序或磁盤中。不可預(yù)見性：不可預(yù)見性：病毒對反病毒軟件永遠(yuǎn)是超前的。病毒對反病毒軟件永遠(yuǎn)是超前的。 可控性可控性 、潛伏性、可觸發(fā)性等、潛伏性、可觸發(fā)性等特征：特征：四、計算機(jī)病毒的相關(guān)概念47采用病毒體字節(jié)數(shù)采用病毒體字節(jié)數(shù)病毒體內(nèi)或傳染過程中的特征字符串病毒體內(nèi)或傳染過程中的特征字符串發(fā)作的現(xiàn)象發(fā)作的現(xiàn)象發(fā)作的時間及相關(guān)事件發(fā)作的時間及相關(guān)事件病毒發(fā)源地病毒發(fā)源地命名：命名：四、計算機(jī)病毒的相關(guān)概念48命名：命名：Worm.Nimaya 尼姆亞（熊貓燒香）W32

21、.Klez.Hmm 求職信變種W32.Nimda.Emm 尼姆達(dá)變種VBS.HappyTime 歡樂時光VBS.LoveLetter 愛蟲Worm.Sasser 震蕩波Worm.Sasser.f四、計算機(jī)病毒的相關(guān)概念49命名：命名：Trojan.Huigezi.z灰鴿子變種Backdoor.Huigezi.bm灰鴿子變種Blaster.Worm沖擊波Macro.Word.Apr30 四月三十宏病毒四、計算機(jī)病毒的相關(guān)概念50命名：命名：l病毒家族名病毒家族名: 根據(jù)病毒特征起的名字，它是根據(jù)病毒特征起的名字，它是一個廣義的病毒名稱。一個廣義的病毒名稱。 l前綴前綴: 包含病毒的類型等相關(guān)信息

22、包含病毒的類型等相關(guān)信息。l后綴：用來標(biāo)識病毒變種。后綴：用來標(biāo)識病毒變種。四、計算機(jī)病毒的相關(guān)概念51前前 綴綴含含 義義解解 釋釋Boot引導(dǎo)區(qū)病毒引導(dǎo)區(qū)病毒Boot.WYX 。DOS DOSComDOS 病毒病毒 DosCom.Virus.Dir2.2048 （ DirII 病毒）病毒）Worm I-Worm蠕蟲病毒蠕蟲病毒W(wǎng)orm.Sasser （震蕩波）。（震蕩波）。Trojan特洛伊木馬特洛伊木馬Trojan.Win32.PGPCoder.a （文件加密（文件加密機(jī)）、機(jī)）、Backdoor后門程序后門程序Backdoor.Heidong （黑洞）。（黑洞）。Macro宏病毒宏病毒

23、Macro.Word.Apr30 常見前綴及其含義常見前綴及其含義52前前 綴綴含含 義義解解 釋釋W(xué)in32 PEWin95W32W95文件型病毒或文件型病毒或表示病毒的運表示病毒的運行平臺行平臺Win32.YamiScriptVBSJS腳本病毒腳本病毒Script.RedLof （紅色結(jié)束符）。（紅色結(jié)束符）。（ VBS ） Vbs.valentin （情人節(jié)）。（情人節(jié)）。PSW盜取密碼的木盜取密碼的木馬馬Trojan.PSW.Yoben.a （ 201 木馬）。木馬）。Harm惡意程序惡意程序Harm.Delfile （刪除文件）（刪除文件）Joke惡作劇程序惡作劇程序Joke.Cra

24、yMourse 53第二講：病毒的傳播與破壞原理一、引導(dǎo)型病毒一、引導(dǎo)型病毒二、文件型病毒二、文件型病毒三、木馬三、木馬四、蠕蟲原理四、蠕蟲原理54一、引導(dǎo)型病毒定義 開機(jī)啟動時，在操作系統(tǒng)的引導(dǎo)過開機(jī)啟動時，在操作系統(tǒng)的引導(dǎo)過程中被引入內(nèi)存的病毒稱為引導(dǎo)病毒。程中被引入內(nèi)存的病毒稱為引導(dǎo)病毒。 在使用被感染的磁盤（無論是軟盤在使用被感染的磁盤（無論是軟盤還是硬盤）啟動計算機(jī)時，病毒就會首還是硬盤）啟動計算機(jī)時，病毒就會首先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引導(dǎo)系統(tǒng)，并伺機(jī)傳染其他軟盤或硬盤的導(dǎo)系統(tǒng)，并伺機(jī)傳染其他軟盤或硬盤的引導(dǎo)區(qū)。引導(dǎo)區(qū)。55二、文件型病毒文件

25、型病毒是一種感染文件擴(kuò)展名為是一種感染文件擴(kuò)展名為COM、EXE 等可執(zhí)行程序的病毒。它等可執(zhí)行程序的病毒。它的安裝必須借助于病毒的載體程的安裝必須借助于病毒的載體程 序，即序，即要運行病毒的載體程序，方能把文件型要運行病毒的載體程序，方能把文件型病毒引入內(nèi)存。病毒引入內(nèi)存。文件型病毒分為源碼型病毒、嵌入型病分為源碼型病毒、嵌入型病毒和外殼型病毒，其中外殼型病毒是目毒和外殼型病毒，其中外殼型病毒是目前流行的文件型病毒。前流行的文件型病毒。56三、木馬的原理與防范1、什么是、什么是“木馬木馬”即特洛伊木馬，獨立程序，包含在一段正常的程序之中。意圖是將被感染的系統(tǒng)中私有信息暴露給程序的植入者，或者

26、控制系統(tǒng)。572、木馬的工作原理、木馬的工作原理客戶機(jī)/服務(wù)器的應(yīng)用程序。安裝：運行服務(wù)器程序。每次啟動時執(zhí)行。向特定IP地發(fā)送命令。三、木馬的原理與防范58木馬運行過程：木馬運行過程： 1。木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。 2。一個木馬連接的建立首先必須滿足兩個條件：（1）服務(wù)端已安裝了木馬程序；（2）控制端，服務(wù)端都要在線 59 木馬連接建立后，控制端端口和木馬端口之間將會出現(xiàn)一條通道。 3。遠(yuǎn)程控制： 控制端具體能享有哪些控制權(quán)限控制端具體能享有哪些控制權(quán)限? 60木馬得到的控制權(quán)限：木馬得到的控制權(quán)限：(1)竊取密碼 (2)文件操作：涵蓋了WIN

27、DOWS平臺上所 有的文件操作功能。 (3)修改注冊表 (4)系統(tǒng)操作 ： 重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標(biāo)，鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進(jìn)程等。613、攻擊計算機(jī)的途徑、攻擊計算機(jī)的途徑（1）將調(diào)用語句加至autoexec.bat config.sys中，或c:windowswinstart.bat中。將快捷方式加入啟動菜單。三、木馬的原理與防范623、攻擊計算機(jī)的途徑、攻擊計算機(jī)的途徑（2）C:WINDOWS目錄下的win.ini的windows字段的“l(fā)oad=” “run=”后加入路徑?；蛟趕ystem.ini的boot字段的“shell=expl

28、orer.exe”后加上木馬名。三、木馬的原理與防范633、攻擊計算機(jī)的途徑、攻擊計算機(jī)的途徑（3）捆綁在其它文件之中。（4）修改注冊表，最常見，也最復(fù)雜。如Hkey-local-machinesoftwareMicorsoftwindows Current VersionRun等加入木馬調(diào)用。或者修改文件格式的關(guān)聯(lián)程序。三、木馬的原理與防范643、攻擊計算機(jī)的途徑、攻擊計算機(jī)的途徑（5）網(wǎng)頁掛馬 黑客自己建立帶毒網(wǎng)站，或者攻擊流量大的黑客自己建立帶毒網(wǎng)站，或者攻擊流量大的現(xiàn)有網(wǎng)站，在其中植入木馬、病毒，用戶瀏覽現(xiàn)有網(wǎng)站，在其中植入木馬、病毒，用戶瀏覽后就會中毒。后就會中毒。 快速的批量快速的

29、批量入侵大量計算機(jī)。入侵大量計算機(jī)。 三、木馬的原理與防范65 網(wǎng)站服務(wù)器一旦被侵入，則網(wǎng)站服務(wù)器一旦被侵入，則“批量掛馬批量掛馬”的惡意的惡意木馬會密密麻麻遍布木馬會密密麻麻遍布所有的網(wǎng)頁文件所有的網(wǎng)頁文件，普通網(wǎng)絡(luò)管，普通網(wǎng)絡(luò)管理員清除時極為煩瑣。理員清除時極為煩瑣。664、檢測與清除、檢測與清除（1）檢查啟動加載的文件。查Windows啟動文件夾。在運行中輸入msconfig命令。三、木馬的原理與防范674、檢測與清除、檢測與清除（2）查看注冊表。用c:windowsregedit.exe編輯三、木馬的原理與防范684、檢測與清除、檢測與清除Hkey-local-machinesoftw

30、areMicorsoftwindows Current VersionRunHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceExHkey-local-machinesoftwareMicorsoftwindows Current VersionRunServicesHkey-local-machinesoftwareMicorsoftwindows Current VersionRun

31、ServicesOnce三、木馬的原理與防范694、檢測與清除、檢測與清除Hkey-Current-UsersoftwareMicorsoftwindows Current VersionRunHkey-Current-UsersoftwareMicorsoftwindows Current VersionRunOnce三、木馬的原理與防范704、檢測與清除、檢測與清除（3）檢查當(dāng)前運行的進(jìn)程。）檢查當(dāng)前運行的進(jìn)程。打開任務(wù)管理器打開任務(wù)管理器按按Ctrl+Alt+ Del鍵鍵三、木馬的原理與防范714、檢測與清除、檢測與清除（4）監(jiān)控網(wǎng)絡(luò)連接。TCP/IP端口Netstat ano并結(jié)合任務(wù)

32、管理器三、木馬的原理與防范727374一些常用的端口： (1)1-1024之間的端口：這些端口叫保留端口， 是專給一些對外通訊的程序用的，如FTP使用21， 只有很少木馬會用保留端口作為木馬端口 的。 75(2)1025以上的連續(xù)端口：在瀏覽網(wǎng)站時，瀏覽器會打開多個連續(xù)的端口下載文字，圖片到本地 硬盤上，這些端口都是1025以上的連續(xù)端口。 76 如發(fā)現(xiàn)有其它端口打開，尤其是數(shù)值比較大的端口，懷疑是否感染了木馬。 如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。 774、檢測與清除、檢測與清除（5）檢查“組策略”中的登錄運行程序 三、木馬的原理與防范gpedit.msc 用戶配置管理模

33、板系統(tǒng)登錄 “在用戶登錄時運行這些程序” 7879 用這種方式添加的自啟動程序在系統(tǒng)的“系統(tǒng)配置實用程序(msconfig)”是找不到的，在常見的注冊表項中也是找不到的，非常危險。 80HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun項 注冊表的 815、木馬的預(yù)防、木馬的預(yù)防（1）安裝個人防火墻。天網(wǎng)、outpost、looknstop、ZoneAlarm等（2）安裝具有查殺木馬功能的殺毒軟件。（3）經(jīng)常備份并確認(rèn)注冊表。（4）使用網(wǎng)絡(luò)時使用netstat ano命令檢查。（5）養(yǎng)成良好的安裝

34、軟件的習(xí)慣。三、木馬的原理與防范825、木馬的預(yù)防、木馬的預(yù)防小心下載軟件不隨意瀏覽附件加強(qiáng)防病毒能力顯示擴(kuò)展名棄用Outlook三、木馬的原理與防范83四、蠕蟲的原理與防范 傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)、電子郵件以及優(yōu)盤、移動硬盤等移動存儲設(shè)備。如“熊貓燒香”。 主要利用主要利用系統(tǒng)漏洞系統(tǒng)漏洞進(jìn)行傳播。進(jìn)行傳播。 84四、蠕蟲的原理與防范 病毒中文名：病毒中文名：MSN騙子騙子 病毒英文名：病毒英文名：Worm.MSN.funny 病毒類型：蠕蟲病毒病毒類型：蠕蟲病毒 病毒危險等級：病毒危險等級： 病毒傳播途徑：病毒傳播途徑：QQ/MSN 即時通訊工具即時通訊工具

35、病毒依賴系統(tǒng)：病毒依賴系統(tǒng)：Windows 9X/NT/2000/XP85 1在在Windows 2000/XP系統(tǒng)下，病毒會修改系統(tǒng)文件系統(tǒng)下，病毒會修改系統(tǒng)文件HOSTS，屏蔽，屏蔽937個網(wǎng)站，使用戶登陸這些網(wǎng)站時會轉(zhuǎn)向個網(wǎng)站，使用戶登陸這些網(wǎng)站時會轉(zhuǎn)向www.*，造成用戶無法正常上網(wǎng)瀏覽。，造成用戶無法正常上網(wǎng)瀏覽。 2在在Windows 98系統(tǒng)下，病毒會替換系統(tǒng)文件系統(tǒng)下，病毒會替換系統(tǒng)文件Rundll32.exe，可能造成系統(tǒng)不能關(guān)機(jī)，進(jìn)而崩潰。，可能造成系統(tǒng)不能關(guān)機(jī)，進(jìn)而崩潰。 3利用利用MSN、QQ瘋狂發(fā)送廣告信息，誘騙用戶登陸瘋狂發(fā)送廣告信息，誘騙用戶登陸www.*網(wǎng)站。網(wǎng)

36、站。 4向向MSN、QQ好友發(fā)送好友發(fā)送“FUNNY.EXE”文件，傳播自文件，傳播自身。身。四、蠕蟲的原理與防范861、利用操作系統(tǒng)的自動更新修補漏洞。2、利用360安全衛(wèi)士等工具下載最新補丁下載最新補丁。3、加強(qiáng)管理，專網(wǎng)應(yīng)與外網(wǎng)嚴(yán)格隔離，防 止不必要的感染。4、遭受感染后，應(yīng)先斷開網(wǎng)絡(luò)，再進(jìn)行 蠕蟲的清除。5、關(guān)注蠕蟲出現(xiàn)的變種，及時升級殺毒軟件， 啟動實時監(jiān)控。防范措施： 8788斷網(wǎng)斷網(wǎng) = = 安全？安全？第三講：流行病毒的防治（U U盤病毒）盤病毒）89一：病毒原理篇90Autorun.infAutorun.inf1、激活、激活91 保存在驅(qū)動器的根目錄下的（是一個隱藏的保存在驅(qū)

37、動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一些簡單的命令，告訴系系統(tǒng)文件），它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或統(tǒng)這個新插入的光盤或U U盤應(yīng)該盤應(yīng)該自動自動啟動什么程序。啟動什么程序。 92如果如果U U盤帶有病毒當(dāng)點擊盤帶有病毒當(dāng)點擊U U盤時：盤時：93癥狀：癥狀：某機(jī)關(guān)一臺辦公計算機(jī)中，某機(jī)關(guān)一臺辦公計算機(jī)中，DOCDOC格式格式的的WORDWORD文件突然神秘失蹤，存放文件突然神秘失蹤，存放DOCDOC文件的文件的文件夾卻仍然存在，而且其它類型的文檔文文件夾卻仍然存在，而且其它類型的文檔文件如電子表格件如電子表格XLSXLS、幻燈片、幻燈片PPTPPT等卻沒有異

38、常。等卻沒有異常。 94病毒運行后：病毒運行后：1 1、會在、會在C C盤根目錄下生成病毒文件盤根目錄下生成病毒文件 c:ww.batc:ww.bat，搜索硬盤中所有的，搜索硬盤中所有的WordWord文檔：文檔：dir c:dir c:* *.doc dir d:.doc dir d:* *.doc dir e:.doc dir e:* *.doc.docWORDWORD殺手病毒（殺手病毒（doc.exedoc.exe）2 2、刪除文檔，在、刪除文檔，在c:wjc:wj下復(fù)制一份，并改名為下復(fù)制一份，并改名為* *同時修改注冊表，使系統(tǒng)無法顯示隱藏文同時修改注冊表，使系統(tǒng)無法顯示隱藏文件和文

39、件擴(kuò)展名。件和文件擴(kuò)展名。95WordWord殺手病毒是如何激活？殺手病毒是如何激活？96AutoRun OPEN=doc.exe /自動運行自動運行 Shell = verb1 shellverb1command=doc.exe shellverb1=打開打開(&O) /右鍵打開右鍵打開Shell = verb2 shellverb2command=doc.exeshellverb2=資源管理器資源管理器(&X)U U盤中的盤中的 Autorun.inf97Wincfgs-msconfigRavmonE-RavmonDThumbs.dn-thumbs.dbExpl0rer-ExplorerS

40、po0lerspoolerSvch0st等等等等2 2、偽裝和隱藏、偽裝和隱藏假冒系統(tǒng)文件名和殺毒軟件名：假冒系統(tǒng)文件名和殺毒軟件名： 2、偽裝和隱藏、偽裝和隱藏假回收站方式：假回收站方式： 982、偽裝和隱藏、偽裝和隱藏如何查看隱藏文件如何查看隱藏文件? 992、偽裝和隱藏、偽裝和隱藏100如何解決無法顯示隱藏文件？如何解決無法顯示隱藏文件？ 方法一、通過瑞星卡卡上網(wǎng)安全助手自動修復(fù)方法一、通過瑞星卡卡上網(wǎng)安全助手自動修復(fù) 方法二、手動修改注冊表方法二、手動修改注冊表 方法三、制作注冊表修復(fù)文件方法三、制作注冊表修復(fù)文件 101 把下面內(nèi)容存儲成把下面內(nèi)容存儲成ShowALL.regShow

41、ALL.reg文件文件, ,雙擊該文件導(dǎo)雙擊該文件導(dǎo)入注冊表即可入注冊表即可Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30501Type=radioCheckedValue=dword:00000002ValueName=Hi

42、ddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51104HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30500Type=radioCheckedValue=dword:00000001ValueName=H

43、iddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51105HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType=checkboxText=shell32.dll,-30508WarningIfNotDefault=shell32.dll,-28964HKeyRoot=dword:80000001RegPath=SoftwareMicrosoftWindowsCurre

44、ntVersionExplorerAdvancedValueName=ShowSuperHiddenCheckedValue=dword:00000000UncheckedValue=dword:00000001DefaultValue=dword:00000000HelpID=shell.hlp#51103HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV

45、ersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden=102103二：手工清除篇104病毒清除的基本步驟1、設(shè)法不讓病毒加載、設(shè)法不讓病毒加載2、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件3、刪除根目錄下的病毒文件、刪除根目錄下的病毒文件4、刪除隱藏的病毒文件、刪除隱藏的病毒文件5、修改注冊表、修改注冊表結(jié)合用一些結(jié)合用一些U盤病毒專殺工具盤病毒專殺工具1051、設(shè)法不讓病毒加載、設(shè)法不讓病毒加載方法：方法：（1）啟動到安全模式）啟動到安全模式（2）使用進(jìn)程查看工具，查找可疑進(jìn)程）使用進(jìn)程查看工具，查找

46、可疑進(jìn)程1062、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（1）打開所有隱藏屬性）打開所有隱藏屬性1072、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（2）用命令方式）用命令方式Attrib h r s a *.*1082、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（3）用）用RAR壓縮軟件壓縮軟件軟件工具軟件工具winrar等等1093、刪除根目錄下的病毒文件、刪除根目錄下的病毒文件注意：注意：（1）一般包括）一般包括autorun.inf和另一個文件和另一個文件（2）不要雙擊不要雙擊打開磁盤打開磁盤

47、（3）不要運行）不要運行任何一個，立即刪除任何一個，立即刪除可以用批處理文件進(jìn)行刪除可以用批處理文件進(jìn)行刪除110刪除病毒批處理文件內(nèi)容cd C: attrib *.* -a -h s -r del *.* attrib autorun.inf -a -h s -r del autorun.inf D:E:F:1114、刪除隱藏的病毒文件、刪除隱藏的病毒文件最復(fù)雜，需要憑經(jīng)驗判斷。最復(fù)雜，需要憑經(jīng)驗判斷。結(jié)合查看可疑進(jìn)程追根溯源，判斷依據(jù)：結(jié)合查看可疑進(jìn)程追根溯源，判斷依據(jù)：（1）進(jìn)程的名稱和路徑不相符的）進(jìn)程的名稱和路徑不相符的（2）文件創(chuàng)建時間可疑的）文件創(chuàng)建時間可疑的（3）疑似系統(tǒng)文件，

48、但出現(xiàn)重復(fù)的）疑似系統(tǒng)文件，但出現(xiàn)重復(fù)的1125、修改注冊表、修改注冊表解決的問題：解決的問題：（1）刪除病毒寫在注冊表中的啟動項）刪除病毒寫在注冊表中的啟動項（2）修復(fù)由于病毒造成的磁盤不能打開等問題）修復(fù)由于病毒造成的磁盤不能打開等問題Regedit搜索所有跟病毒名有關(guān)的值，一律刪除搜索所有跟病毒名有關(guān)的值，一律刪除113三：預(yù)防篇114要點：扼殺病毒的來源1、 運行組策略編輯器運行組策略編輯器gpedit.msc， “系統(tǒng)系統(tǒng)”-關(guān)閉關(guān)閉“自動播放（運行）自動播放（運行）”115116要點：扼殺病毒的來源1171 1、關(guān)閉自動播放、關(guān)閉自動播放2 2、輕易不要雙擊打開外來、輕易不要雙擊打

49、開外來U U盤盤3 3、右鍵單擊、右鍵單擊U U盤出現(xiàn)可疑菜單條目時，立即殺毒盤出現(xiàn)可疑菜單條目時，立即殺毒4 4、自己的、自己的U U盤，放一個盤，放一個autorun.infautorun.inf文件，防止病文件，防止病 毒文件拷貝進(jìn)來毒文件拷貝進(jìn)來四：實例篇1181、Wincfgs病毒病毒文件：wincfgs.exe （c:windowssystem32wincfgs.exe）病毒名稱：Trojanspy.USBpy.a相關(guān)癥狀：開機(jī)自動彈記事本，修改系統(tǒng)啟動項，部分軟件沒有反應(yīng)傳播途徑：U盤等移動存儲危害性：暫無破壞性，只是開機(jī)跳出記事本。1191、Wincfgs病毒該病毒為一種蠕蟲病

50、毒，其特征如下：蠕蟲名稱：Worm.Win32.Delf.aj（AVP）蠕蟲別名：Trojan.Spy.UsbSpy.a、TrojanSpy.USBSpy.a120手工查殺步驟手工查殺步驟結(jié)束Wincfgs.exe進(jìn)程顯示所有隱藏文件刪除病毒文件Wincfgs.exe, KB20060111.exe C:Windowssystem32wincfgs.exe C:WindowsKB20060111.exe修改注冊表清除USB設(shè)備中的病毒文件RECYCLER、autorun.inf1、Wincfgs病毒121病毒文件：C:windowsimesvchost特別注意：（）正確的是c:windowss

51、ystem32svchost.exe（）最容易被病毒利用的文件名2、Thumbs.dnC,D,E,F盤出現(xiàn)拒絕訪問 122解決方法：1、打開任務(wù)管理器（ctrl+alt+del或者任務(wù)欄右鍵點擊也可），終止所有ravmone.exe的進(jìn)程2、進(jìn)入c:windows，刪除其中的ravmone.exe3、進(jìn)入c:windows，運行regedit.exe，在左邊依次點開HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun，在右邊可以看到一項數(shù)值是c:windowsravmone.exe的，刪除掉4、完成后，病毒就被清除了。3、Ravm

52、on123殺掉U盤中的病毒的方法：在刪除autorun.inf，msvcr71.dl，RavMonE.exe這三個文件時，直接刪可能會刪不掉的，要先到進(jìn)程管理那了先結(jié)束RavMonE.exe再刪除這三個文件，如果還不行就到安全模式里刪.3、Ravmon注意：如果進(jìn)程是Ravmon.exe ，這個應(yīng)該是瑞星的程序而不病毒！1244、帕蟲（帕蟲（Worm.Pabug;U盤寄生蟲）盤寄生蟲） 125 四步就可導(dǎo)致電腦徹底崩潰：四步就可導(dǎo)致電腦徹底崩潰： 1.禁用所有殺毒軟件禁用所有殺毒軟件及相關(guān)安全工具，失去安全保障；及相關(guān)安全工具，失去安全保障； 2.破壞安全模式破壞安全模式，致使用戶根本無法進(jìn)入

53、安全模式清，致使用戶根本無法進(jìn)入安全模式清 除病毒；除病毒； 3.強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁，只要在網(wǎng)頁中輸入“病毒病毒”相關(guān)字樣，網(wǎng)頁遂被強(qiáng)行關(guān)閉，即使是一些安相關(guān)字樣，網(wǎng)頁遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無法登錄，用戶全論壇也無法登錄，用戶無法通過網(wǎng)絡(luò)尋求解決辦法無法通過網(wǎng)絡(luò)尋求解決辦法； 4.格式化系統(tǒng)盤重裝后很容易被再次感染。格式化系統(tǒng)盤重裝后很容易被再次感染。 1264、帕蟲（帕蟲（Worm.Pabug;U盤寄生蟲）盤寄生蟲） 該病毒通過映像劫持技術(shù)，將大量殺毒軟件綁架，使其無法正常應(yīng)用，而用戶在點擊相關(guān)安全軟件后，實際上已經(jīng)運行了病毒文

54、件。 位于注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options127先使用專殺工具先使用專殺工具 清除病毒清除病毒 后續(xù)的恢復(fù)系統(tǒng)的工作 128刪除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有項目 1.恢復(fù)恢復(fù)IFEO 映像劫持映像劫持 使用使用auto

55、runs軟件軟件 ，由于這個軟件也被，由于這個軟件也被映像劫持了映像劫持了 所以要改名所以要改名 打開這個軟件后打開這個軟件后 找到找到Image hijack (映像劫持）映像劫持） 1292.恢復(fù)顯示隱藏文件恢復(fù)顯示隱藏文件 3.恢復(fù)安全模式恢復(fù)安全模式 4.最后也是最重要的就是刪除各個分區(qū)下面的最后也是最重要的就是刪除各個分區(qū)下面的autorun.inf和和7位或者位或者8位隨機(jī)數(shù)字母的位隨機(jī)數(shù)字母的exe注意：一定不要雙擊注意：一定不要雙擊 也不能右鍵打開也不能右鍵打開 一定用一定用winrar刪除刪除 130第四講：病毒的綜合防范技術(shù)措施一、單機(jī)下病毒的防范一、單機(jī)下病毒的防范二、小

56、型局域網(wǎng)的防范二、小型局域網(wǎng)的防范131一、單機(jī)下病毒防范l思想上重視、管理上到位思想上重視、管理上到位l依靠防殺病毒計算機(jī)軟件依靠防殺病毒計算機(jī)軟件132一、單機(jī)下病毒防范1、選擇一個功能完善的單機(jī)版防殺計算、選擇一個功能完善的單機(jī)版防殺計算機(jī)病毒軟件機(jī)病毒軟件（1）擁有病毒檢測掃描器）擁有病毒檢測掃描器同時提供對磁盤文件掃描和對系統(tǒng)進(jìn)行動態(tài)同時提供對磁盤文件掃描和對系統(tǒng)進(jìn)行動態(tài)監(jiān)控功能監(jiān)控功能DOS平臺的病毒掃描器平臺的病毒掃描器32位計算機(jī)病毒掃描器位計算機(jī)病毒掃描器1331、選擇一個功能完善的單機(jī)版防殺計算、選擇一個功能完善的單機(jī)版防殺計算機(jī)病毒軟件機(jī)病毒軟件（2）實時監(jiān)控程序）實時監(jiān)控程序（3）未知病毒的檢測）未知病毒的檢測（4）壓縮文件內(nèi)部檢測）壓縮文件內(nèi)部檢測（5）文件下載監(jiān)視）文件下載監(jiān)視（6）病毒清除能力）病毒清除能力（7）病毒特征代碼庫升級）病毒特征代碼庫升級一、單機(jī)下病毒防范1341、選擇一個功能完善的單機(jī)版防殺計算、選擇一個功能完善的單機(jī)版防殺計算機(jī)病毒軟件機(jī)病毒軟件（8）重要數(shù)據(jù)備份）重要數(shù)據(jù)備份（9）定時掃描設(shè)定）定時掃描設(shè)定（10）