病毒防御和分析

1、病毒防御和分析第1頁，共137頁，2022年，5月20日，0點54分，星期六介紹加密技術(shù)與信息安全工程師認證培訓中華人民共和國勞動與社會保障部職業(yè)資格認證國家信息安全培訓認證管理中心 主任勞動與社會保障部國家督導、高級考評員信息產(chǎn)業(yè)部 信息化與電子政務(wù)專家盛鴻宇 副研究員第2頁，共137頁，2022年，5月20日，0點54分，星期六什么是病毒？病毒來源于人類的傳染病病毒攜帶者易感人群病毒攜帶者第3頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒概述計算機病毒是指那些具有自我復制能力的計算機程序，它能影響計算機軟件、硬件的正常運行，破壞數(shù)據(jù)的正確與完整病毒源代碼*.EXE*.

2、COM*.DOC等文件類型傳播開磁盤、磁帶、網(wǎng)絡(luò)第4頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒定義（一） 計算機病毒是一個程序，一段可執(zhí)行碼計算機病毒有獨特的復制能力計算機病毒可以很快地蔓延，又常常難以根除它們能把自身附著在各種類型的文件上當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來第5頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒定義（二）能實現(xiàn)自身復制的程序能“傳染“其他程序的程序所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序

3、或指令集合 第6頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒簡史（一）1949年，馮.諾依曼提出十年之后貝爾實驗室1983年11月3日，弗雷德.科恩博士 1986年初， Pakistan病毒，即Brain 1987年10月，在美國，世界上第一例計算機病毒（Brian）發(fā)現(xiàn) 1988年3月2日，一種蘋果機病毒發(fā)作 1988年感染，造成Internet不能正常11月3日，美國6千臺計算機被病毒運行 1989年全世界計算機病毒攻擊十分猖獗，我國也未幸免 1991年美軍第一次將計算機病毒用于實戰(zhàn) 1992年出現(xiàn)針對殺毒軟件的幽靈病毒 第7頁，共137頁，2022年，5月20日，

4、0點54分，星期六計算機病毒簡史（二）1994年5月計算機病毒破壞南非大選活動 1996年，出現(xiàn)針對微軟公司Office的宏病毒 1997年公認為計算機反病毒界的宏病毒年1998年，首例破壞計算機硬件的CIH病毒出現(xiàn) 1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的美麗殺手病毒 1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā) 第8頁，共137頁，2022年，5月20日，0點54分，星期六2003年度計算機病毒回顧2003年度病毒排行榜熊貓卡巴司基江民科技金山毒霸瑞星W32/Bugbear.BI-Worm.SobigI-Worm/Blaster沖擊波/沖擊波殺手紅色結(jié)束符W32/Klez.I

5、I-Worm.KlezI-Worm/Sobig.(x)巨無霸愛情后門Trj/PSW.Bugbear.BI-Worm.SwenI-Worm/Supkp.(x)蠕蟲王Win32/FunLove.4099W32/BlasterI-Worm.LentinI-Worm/Mimail.(x)QQ狩獵者QQ傳送者W32/Parite.BI-Worm.TanatosI-Worm/Swen惡郵差沖擊波殺手W32/MapsonMMI-Worm.AvronI-Worm/Chian口令羅拉W32/EnerKazMacro.Word97.ThusI-Worm/Fizzer小郵差求職信Trj/JS.NoCloseI-Wo

6、rm.MimailWorm.SQL.helkerm妖怪尼姆達IIW32/BugbearI-Worm.HybrisWin32/FunLove.4099費氏QQ木馬W32/Bugbear.B.DamI-Worm.RoronPolyBoot（WYX.B）求職信CIH第9頁，共137頁，2022年，5月20日，0點54分，星期六2003年度計算機病毒回顧2003年度上榜計算機病毒特點絕大部分都是利用網(wǎng)絡(luò)傳播的蠕蟲病毒年度排行榜中的病毒絕大部分都是每月排行榜的“?？汀鼻笆《靖腥居嬎銠C數(shù)量占全部病毒感染的數(shù)量的50%以上利用漏洞發(fā)動攻擊的蠕蟲都能進入排行榜第10頁，共137頁，2022年，5月20日，

7、0點54分，星期六2003年度計算機病毒回顧蠕蟲病毒的特點蠕蟲病毒中絕大部分都是利用電子郵件進行傳播利用電子郵件傳播的蠕蟲病毒影響范圍特別廣泛利用系統(tǒng)漏洞傳播的病毒傳播速度非?？?、造成破壞十分嚴重第11頁，共137頁，2022年，5月20日，0點54分，星期六2003年度計算機病毒回顧電子郵件蠕蟲病毒的特點充分利用“社會工程學”方法不依賴郵件服務(wù)器變種繁多第12頁，共137頁，2022年，5月20日，0點54分，星期六2003年度計算機病毒回顧利用系統(tǒng)漏洞的蠕蟲病毒出現(xiàn)得越來越快病毒名稱補丁發(fā)布時間病毒爆發(fā)時間SQL Slammer2002年7月2003年1月沖擊波/沖擊波殺手2003年7月2

8、003年8月第13頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒的發(fā)展階段DOS引導階段 DOS可執(zhí)行階段伴隨、批次型階段幽靈、多形階段生成器、變體機階段網(wǎng)絡(luò)、蠕蟲階段視窗階段宏病毒階段互連網(wǎng)階段Java、郵件炸彈階段第14頁，共137頁，2022年，5月20日，0點54分，星期六里程碑事件在70年代美國作家雷恩出版的P1的青春一書中構(gòu)思了一種能夠自我復制，利用通信進行傳播的計算機程序，并稱之為計算機病毒。1983年，美國學生Fred Cohen因研究計劃需要創(chuàng)造出第一只計算機病毒。1986年，巴基斯坦的一對兄弟Amjad和Basit Farooq Alvi撰寫了第一個I

9、BM個人計算機的病毒Brain。1988年，美國CORNELL大學研究生莫里斯創(chuàng)造了第一只蠕蟲，導致當時Internet主要節(jié)點關(guān)閉。1998年，臺灣陳盈豪創(chuàng)造了世界上第一只能夠破壞硬件的病毒CIH1999年，David L. Smith創(chuàng)造了第一只通過電子郵件傳播的病毒Melissa2000年，愛蟲病毒和庫娃成為世界上首先利用“社會工程”方法的蠕蟲2001年，利用微軟漏洞的紅色代碼迅速席卷全世界，利用系統(tǒng)漏洞的蠕蟲病毒開始大量通過Internet傳播。第15頁，共137頁，2022年，5月20日，0點54分，星期六電腦病毒怎樣附加在檔案上？正常的檔案被感染的檔案第16頁，共137頁，2022

10、年，5月20日，0點54分，星期六電腦病毒的發(fā)展歷史平均每天就發(fā)現(xiàn)六到七個新電腦病毒More than44,000Boot VirusesMacro VirusesInternet/E-mail VirusesSource: Trend Micro18,00013,0008,0006,5003,5002,0001,600251183第17頁，共137頁，2022年，5月20日，0點54分，星期六病毒的產(chǎn)生背景 計算機病毒是計算機犯罪的一種新的衍化形式計算機軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因微機的普及應用是計算機病毒產(chǎn)生的必要環(huán)境第18頁，共137頁，2022年，5月20日，0點54分，星期六病

11、毒機制與組成結(jié)構(gòu)載荷機制載荷機制定義為除了自我復制以外的所有動作感染機制病毒結(jié)構(gòu)中首要的而且唯一必需的部分是感染機制他是一種能讓病毒繁殖的代碼，也是病毒之所以成為病毒的原因觸發(fā)機制病毒的第二個主要構(gòu)成部分是有效載荷觸發(fā)事件，這種病毒在找尋到一定數(shù)量的感染體、某一個時間或日期、某一段文本后觸發(fā)，或者他可能僅僅在第一次被用時就觸發(fā)了第19頁，共137頁，2022年，5月20日，0點54分，星期六電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道第20頁，共137頁，2022年，5月20日，0點54分，星期六企業(yè)內(nèi)病毒和網(wǎng)絡(luò)安全的漏洞路由器De-Militarized Zonehttp(www)服務(wù)器防火

12、墻客戶端國際互聯(lián)網(wǎng)FTP/HTTP代理 服務(wù)器應用服務(wù)器1. 軟盤或光盤2. 內(nèi)聯(lián)網(wǎng)檔案共享3. 互聯(lián)網(wǎng)檔案共享4. 電子郵件的附件5. 電子郵件炸彈6. 惡毒的 Java Applets,ActiveX Components 和網(wǎng)頁含有 VBScript.SMTP 服務(wù)器FTP 服務(wù)器Design Goals第21頁，共137頁，2022年，5月20日，0點54分，星期六電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道病毒在網(wǎng)絡(luò)內(nèi)傳播速度非?？斓?2頁，共137頁，2022年，5月20日，0點54分，星期六病毒和網(wǎng)絡(luò)病毒是在檔案共享的情形下傳播的網(wǎng)絡(luò)是用來共享資料(檔案)的病毒愛網(wǎng)絡(luò)!+=第23

13、頁，共137頁，2022年，5月20日，0點54分，星期六國際互聯(lián)網(wǎng)和病毒“注意，當你連接上另一臺電腦，你也是連接上所有以前連接上這臺電腦的其他電腦.”Dennis Miller, from the popular US television show “Saturday Night Live”. 在互聯(lián)網(wǎng)上，電腦病毒只需要一分鐘便能從西班牙傳送到日本！.第24頁，共137頁，2022年，5月20日，0點54分，星期六電腦病毒的問題病毒日日新在網(wǎng)絡(luò)有太多入侵渠道病毒在網(wǎng)絡(luò)內(nèi)傳播速度非?？祛l繁的 更新，升級，保養(yǎng)與監(jiān)察第25頁，共137頁，2022年，5月20日，0點54分，星期六你花費在防病毒

14、軟件總共要？第26頁，共137頁，2022年，5月20日，0點54分，星期六傳染所謂傳染是指計算機病毒由一個載體傳播到另一個載體,由一個系統(tǒng)進入另一個系統(tǒng)的過程 第27頁，共137頁，2022年，5月20日，0點54分，星期六病毒觸發(fā)事件日期觸發(fā) 時間觸發(fā)鍵盤觸發(fā)感染觸發(fā) 啟動觸發(fā) 訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號/主板型號觸發(fā) 第28頁，共137頁，2022年，5月20日，0點54分，星期六病毒機制與組成結(jié)構(gòu)一個是主程序另一個是引導程序第29頁，共137頁，2022年，5月20日，0點54分，星期六病毒的危害影響系統(tǒng)效率刪除、破壞數(shù)據(jù)干擾正常操作組塞網(wǎng)絡(luò)進行反動宣傳占用系統(tǒng)資源第3

15、0頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒分類按破壞性分類良性病毒、惡性病毒、極惡性病毒、災難性病毒按傳染方式分類文件型病毒、引導扇區(qū)病毒、混合型病毒 按連接方式分類 源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒 按特有算法分類 伴隨型病毒、蠕蟲型病毒、練習型病毒、詭秘型病毒、變形病毒 第31頁，共137頁，2022年，5月20日，0點54分，星期六引導型病毒感染對象和傳播途徑引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導扇區(qū)（MBR），并利用磁盤進行傳播。使用的主要技術(shù)由于引導型病毒是在安裝操作系統(tǒng)之前進入內(nèi)存，寄生對象又相對固定，所以該類型病毒基本上不

16、得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量(0:413H單元)方法來駐留內(nèi)存高端，為了使病毒能傳染給軟盤，普遍修改 INT 13H 的中斷向量，而新 INT 13H 中斷向量段址必定指向內(nèi)存高端。第32頁，共137頁，2022年，5月20日，0點54分，星期六引導型病毒破壞行為占用系統(tǒng)資源導致系統(tǒng)不穩(wěn)定破壞磁盤數(shù)據(jù)預防與保護的方法不使用不可信的磁盤啟動使用防病毒軟件利用fdisk /mbr修復磁盤引導區(qū)（危險?。┲拇祟惒《拘∏虿《敬舐椴《镜?3頁，共137頁，2022年，5月20日，0點54分，星期六文件型病毒感染對象和傳播途徑文件型病毒感染計算機中的各種文件特別是可執(zhí)行文件（如：com、exe

17、、scr、doc等）。使用的主要技術(shù)通過對文件中插入相關(guān)病毒代碼，修改文件執(zhí)行流程加載、執(zhí)行病毒代碼，修改其他文件從而達到傳播自身的目的。第34頁，共137頁，2022年，5月20日，0點54分，星期六文件型病毒破壞行為占用系統(tǒng)資源導致系統(tǒng)不穩(wěn)定破壞磁盤數(shù)據(jù)保護方法不執(zhí)行不可信的軟件使用防病毒軟件著名的此類病毒CIH病毒第35頁，共137頁，2022年，5月20日，0點54分，星期六其它病毒演示女鬼病毒第36頁，共137頁，2022年，5月20日，0點54分，星期六其他病毒演示千年老妖第37頁，共137頁，2022年，5月20日，0點54分，星期六其他病毒演示白雪公主Hybris病毒特點：無法

18、追蹤發(fā)信人通過網(wǎng)站、新聞組下載插件以后產(chǎn)生變種 病毒文件名是根據(jù)多個文件名隨機決定病毒篡改WSOCK32.DLL以后，由于原先 的病毒文件將會被刪除，發(fā)現(xiàn)困難。第38頁，共137頁，2022年，5月20日，0點54分，星期六宏病毒 宏是微軟公司為其OFFICE軟件設(shè)計的一個特殊功能，這些系統(tǒng)內(nèi)置了一種類BASIC的宏編程語言。用戶編制“宏”這一功能的目的是為了讓用戶能夠用簡單的編程方法，來簡化一些經(jīng)常性的操作。但由于宏容易編制，這也為那些心懷叵測的人提供了一種簡單高效的制造新病毒的手段。第39頁，共137頁，2022年，5月20日，0點54分，星期六 宏病毒與有用的正常宏采用相同的語言編寫，只

19、是這些宏的執(zhí)行效果有害，而且在編寫上利用了Word允許宏自動執(zhí)行這一特點，一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在 Normal 模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒。如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他們的計算機上。 感染Normal.dot模板是宏病毒的最常用的傳染方式。此外，與系統(tǒng)啟動相類似，Word在啟動過程中會自動執(zhí)行c盤根目錄下名為Autoexec.bat文檔中包含的宏和officestartup(是指Word的安裝目錄)目錄內(nèi)的模板文件所包含的宏，有些病毒通過這兩個“突破口”感染W(wǎng)ord系統(tǒng)，使

20、每次啟動后的Word都成為帶毒環(huán)境。 第40頁，共137頁，2022年，5月20日，0點54分，星期六 早期的宏病毒破壞方式往往是更改所附著的文檔內(nèi)容、擾亂文檔的正常打印、開啟一個無法關(guān)閉的對話框或不斷開啟新的文件直到系統(tǒng)資源耗盡、Word運行出錯為止 隨著Office新版本的推出，微軟不斷加強宏的功能，宏病毒的危害也就越來越大。前一段流行的Melissa病毒是利用宏來對E-mail管理程序Outlook通訊錄中記錄的前五十個地址發(fā)信，而最近較有影響的July Killer(七月殺手)宏病毒的破壞方式則是產(chǎn)生一個只有一條命令“deltree/y c：”的Autoexec.bat文件來替代你現(xiàn)有

21、的該文件，當你下次啟動機器時這條指令就會刪除C盤中的所有文件， 同時該病毒還會使“工具”菜單下的“宏”、“模板和加載項”、“自定義”、“選項”等選項無法工作，以達到阻止采用編輯宏等一般方法來手動清除病毒的目的。目前國內(nèi)最流行的宏病毒有TaiWan No.1、CAP、SetMode、July killer、OPEY.A等。第41頁，共137頁，2022年，5月20日，0點54分，星期六“梅莉莎”病毒 W97M/Melissa病毒傳染的對象是Word 97和Word xp文件。當用戶打開已感染有該病毒的文件時，梅莉莎便傳染用戶系統(tǒng)同時，病毒通過用戶收發(fā)帶毒的電子郵件互相傳染，而且傳染方式非常隱蔽。

22、“梅莉莎”病毒的具體表現(xiàn)癥狀是： 當用戶打開的文件感染有該病毒時，病毒首先檢查注冊表中是否有梅莉莎的注冊信息，若有則表明系統(tǒng)已被傳染，否則，在注冊表中創(chuàng)建一條注冊項如下：HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa？”=“. by Kwyjibo”第42頁，共137頁，2022年，5月20日，0點54分，星期六 利用Visual Basic指令建立一個Outlook對象從Outlook的全域地址表中獲取成員地址信息，將下列信息以電子郵件方式，自動發(fā)送到地址表中的前50個郵箱(一次發(fā)送50封郵件)。其中：郵件主題為：“Important Mes

23、sage From-”正文為“Here is that document you asked for . dont show anyone else ;-)”。此后，病毒將已感染有該病毒的文件作為附件發(fā)送出去。目前較為流行的一種附件的文件名為“l(fā)ist.DOC”第43頁，共137頁，2022年，5月20日，0點54分，星期六 當用戶接收到帶毒的郵件并打開時用戶的Word系統(tǒng)中所有打開的文件將被傳染。當機器時鐘的時間數(shù)值與日期的數(shù)值相同時，如4月27號的4點27分，病毒將打開一個被傳染的文件值得注意的是梅莉莎在傳染W(wǎng)ord xp時首先從注冊表中檢查其安全保護級別如果注冊表HKEY_CURRENT

24、_USERSoftwareMicrosoftOffice9.0WordSecurity“Level”的值不為0，將禁用菜單中的“MACRO/SECURITY”選項。如果用戶使用的系統(tǒng)是Word 97，則禁用菜單第44頁，共137頁，2022年，5月20日，0點54分，星期六“歡樂時光”病毒 “歡樂時光”屬于VBS/HTM蠕蟲類病毒，通過郵件傳播，但不是作為郵件的附件，而是作為郵件內(nèi)容。如果用戶使用Outlook，收到帶毒郵件，當用戶用鼠標指向帶病毒的郵件時，不必打開信件，歡樂時光病毒將被激活，并生成如下文件： c：help.htm c：windowshelp.vbs c：windowshelp

25、.hta c：windowsUntitled.htm 然后傳染硬盤中的.htm、.vbs、.hta、.asp、.html后綴的文件。并修改注冊表中部分鍵值： 第45頁，共137頁，2022年，5月20日，0點54分，星期六 在 HKEY_CURRENT_USERSoftware 下新建 Help 項，然后新建 Count 鍵值用于記錄病毒感染的次數(shù)；新建 wallPaper 鍵值用于記錄修改后的墻紙文件； 當用戶安裝了VB，該病毒將會自動給地址簿中的郵件地址發(fā)信，郵件標題為“Help”。 第46頁，共137頁，2022年，5月20日，0點54分，星期六但是，該病毒不能正確取到郵件地址，沒有發(fā)件

26、人，因而不能發(fā)送。如果收件箱中有未讀郵件，則病毒會自動回復這些信件。如果未安裝VB，則該病毒不會自動通過郵件傳播。只有當染毒的用戶在發(fā)送郵件時，該病毒才會自動插入到郵件體中。 當染毒的計算機內(nèi)日期的日+月=13時，該病毒就會逐步刪除硬盤中的exe、dll類型文件，最后，導致系統(tǒng)癱瘓。第47頁，共137頁，2022年，5月20日，0點54分，星期六 “主頁” 病毒 “主頁”(Homepage)病毒也是一個加密的VBScript蠕蟲 ，該蠕蟲能將自身通過Outlook發(fā)送給地址簿中的所有收件人。該蠕蟲還能打開一個包含有色情內(nèi)容的站點。 病毒發(fā)作時，蠕蟲將自身作為郵件發(fā)送給Outlook地址簿中的所

27、有收件人，郵件主題為 Homepage。在發(fā)送郵件之前，蠕蟲會搜索主題為 Homepage的郵件，一旦找到便將其刪除。郵件發(fā)送完后，蠕蟲創(chuàng)建下面的注冊鍵：HKEY_CURRENT_USERSoftwareAnmailed并將其值設(shè)為1，該注冊鍵是用來防止蠕蟲多次重復發(fā)送。此后，蠕蟲隨機選擇一個色情網(wǎng)站并打開它。第48頁，共137頁，2022年，5月20日，0點54分，星期六附：另外，在郵件的使用中，還會有其他的安全隱患,如病毒四維(I-Worm/Swen)，第49頁，共137頁，2022年，5月20日，0點54分，星期六木馬病毒 還有一種特殊的病毒木馬，因為它造成的危害十分嚴重，所以越來越多地

28、受到人們的關(guān)注。木馬，也稱為后門，用“瞞天過?！被颉芭蚱さ睦恰敝惖脑~來形容木馬程序一點也不為過，直截了當?shù)恼f法是木馬有兩個程序，一個是服務(wù)器程序，一個是控制器程序，當你的計算機運行了服務(wù)器程序后，黑客就可以使用控制器程序進入你的計算機，通過指揮服務(wù)器程序達到控制你的計算機的目的。如證券大盜(Trojan/PSW.Soufan)第50頁，共137頁，2022年，5月20日，0點54分，星期六(1) 木馬可能造成的危害如下：可以從受害者的硬盤上查看、刪除、移動、上傳、下載、執(zhí)行任何文件。這個文件管理功能是非常危險的。它可以使用戶上傳任何類型的文件，甚至是病毒、其它的特洛伊木馬等，然后再運行它

29、們。可以非常簡單地把受害者的硬盤格式化。可以在受害者硬盤上打開一個FTP服務(wù)，并且設(shè)置一個指定端口，任何人都可以在你的機器上下載、上傳、執(zhí)行文件。 大多數(shù)的新的特洛伊木馬有竊取受害者的隱藏密碼的功能，包括撥號的密碼和用戶名。 第51頁，共137頁，2022年，5月20日，0點54分，星期六 (2) 通用手工清除木馬方法 木馬的種類也很多，由于運行機理相差不大，所以對它們的查殺方法也都差不多，我們不再詳述每種木馬的清除方法，只告訴你應該遵循的步驟，這些步驟幾乎對所有的木馬都有效。 編輯win.ini文件，將WINDOWS下面的“run=木馬程序”或“l(fā)oad=木馬程序”更改為“run=”和“l(fā)o

30、ad=”； 編輯system.ini文件，將BOOT下面的“shell=木馬文件”更改為：“shell=explorer.exe”；第52頁，共137頁，2022年，5月20日，0點54分，星期六 用regedit對注冊表進行編輯，先在“HKEY-LOCAL-MACHINESoftwareMicrosoft WindowsCurrentVersionRun”下找到“木馬”程序的文件名，再在整個注冊表中搜索并替換掉“木馬”程序； 有時候還需注意的是：有的“木馬”程序并不是直接將“HKEY-LOCAL-MACHINE SoftwareMicrosoftWindowsCurrentVersionRu

31、n”下的“木馬”鍵值刪除就行了，因為有的“木馬”(如BladeRunner“木馬”)，如果你刪除它，“木馬”會立即自動加上，這時你需要的是記下“木馬”的名字與目錄；然后退回到MS-DOS下，找到此“木馬”文件并刪除掉。重新啟動計算機，然后再到注冊表中將所有“木馬”文件的鍵值刪除。 第53頁，共137頁，2022年，5月20日，0點54分，星期六“沖擊波”蠕蟲病毒電腦病毒“沖擊波”（WORM_MSBlast.A）是一種蠕蟲病毒，它利用微軟操作系統(tǒng)的RPCDCOM緩沖溢出漏洞進行傳播。它會從已經(jīng)被感染的計算機上下載能夠進行自我復制的文件，然后隨操作系統(tǒng)啟動而自動運行。電腦病毒會自動檢查當前電腦是否

32、聯(lián)網(wǎng)。如果沒有連接，蠕蟲每隔10秒就對互聯(lián)網(wǎng)連接進行一次檢查。用戶電腦一旦聯(lián)網(wǎng)，電腦病毒會自動掃描互聯(lián)網(wǎng)，攻擊其他聯(lián)網(wǎng)計算機。在1月至8月的16日至31日以及9月至12月的任意一天，病毒還會對微軟的一個升級網(wǎng)站進行拒絕服務(wù)攻擊，導致該網(wǎng)站堵塞，使用戶無法通過這一網(wǎng)站升級系統(tǒng)，令更多的系統(tǒng)漏洞無法打補丁。第54頁，共137頁，2022年，5月20日，0點54分，星期六染病癥狀 受到感染的計算機中Word、Excel、Powerpoint等文件無法正常運行，彈出找不到鏈接文件的對話框，“粘貼”等一些功能無法正常使用，計算機出現(xiàn)反復重新啟動等現(xiàn)象。 系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話

33、框，并且系統(tǒng)反復重啟, 不能收發(fā)郵件、不能正常復制文件、無法正常瀏覽網(wǎng)頁，復制粘貼等操作受到嚴重影響，DNS和IIS服務(wù)遭到非法拒絕等。下面是彈出RPC服務(wù)終止的對話框的現(xiàn)象：第55頁，共137頁，2022年，5月20日，0點54分，星期六第56頁，共137頁，2022年，5月20日，0點54分，星期六而在263郵箱，一直顯示“系統(tǒng)忙”。一些媒體和企事業(yè)單位，以及一些依靠網(wǎng)絡(luò)生存的網(wǎng)吧的網(wǎng)絡(luò)都受到感染。廣州市內(nèi)數(shù)十家網(wǎng)吧，發(fā)現(xiàn)雖然大部分網(wǎng)吧及時下載了針對該病毒的補丁，但是仍有一些因消息遲緩而感染了“沖擊波”，損失慘重。據(jù)國內(nèi)著名殺毒軟件廠商江民公司估計，這次“沖擊波”在全球造成的損失可能將超過

34、12億美元以上。第57頁，共137頁，2022年，5月20日，0點54分，星期六“沖擊波”病毒利用了微軟WinME以上操作系統(tǒng)中一個被廣泛使用的功能的缺陷。微軟公司曾經(jīng)在7月21日向社會公布了這一缺陷，并發(fā)布了補丁軟件。據(jù)有關(guān)專家介紹，這種病毒中有包含有兩段文字信息，一段與微軟公司的創(chuàng)始人比爾蓋茨有關(guān)：“BillyGates why do you make this poss-ible？Stop making money and fix your software！”（比爾蓋茨，你為什么使得這一切成為可能？停止賺錢來好好修正你的軟件吧?。涣硪欢涡畔t是該蠕蟲病毒的作者對另一個人的問候，這也為

35、司法機關(guān)抓住病毒作者提供了線索。第58頁，共137頁，2022年，5月20日，0點54分，星期六解“毒”方法除及時安裝和升級防病毒軟件以外，專家還提供了兩種解決方法：一是安裝微軟提供的補丁。可以登錄網(wǎng)址網(wǎng)頁查看該漏洞的信息，并下載RPC的補丁程序。第59頁，共137頁，2022年，5月20日，0點54分，星期六 查看電腦是否中毒，具體方法為：查看操作系統(tǒng)的安裝目錄中是否存在一個名為：msblast.exe的文件，如果存在，則證明已經(jīng)中了該病毒。 病毒震蕩波(I-Worm/Sasser)類似沖擊波也是網(wǎng)絡(luò)(非郵件)傳播第60頁，共137頁，2022年，5月20日，0點54分，星期六IE恢復 當I

36、E被惡意網(wǎng)頁修改了默認網(wǎng)址后，我們通常的做法都是以該惡意網(wǎng)址為對象搜索注冊表后刪除注冊表內(nèi)的相關(guān)鍵值，或者用第三方的IE恢復工具來還原IE。但隨著網(wǎng)頁制作水平的發(fā)展，我發(fā)現(xiàn)了另一種狡猾的篡改IE默認值的方法前幾日上網(wǎng)后發(fā)現(xiàn)每次啟動IE都會被引導到一個不希望去的網(wǎng)站，因此使用了上述的方法，可是每當重啟機器就會發(fā)現(xiàn)該惡意網(wǎng)址又被自動加載了。既然刪除后IE恢復正常，而啟動后又被改寫 第61頁，共137頁，2022年，5月20日，0點54分，星期六由此推斷該網(wǎng)址一定是在啟動時被加載的，于是運行msconfig，當查看了啟動選項頁后發(fā)現(xiàn)了可疑的的啟動項目“regedits cwindowswindll”

37、，看來是把這個dll文件導人了注冊表，接著按上面的網(wǎng)址進windows目錄后用記事本打開了這個隱藏屬性的dll文件，好啊!果然不出我所料，這就是專門把我不希望去的網(wǎng)頁地址在啟動后加載到ie的注冊表導入文件，第62頁，共137頁，2022年，5月20日，0點54分，星期六為了保險起見，在msconfig內(nèi)把該項目的勾去掉就可以了，重啟電腦后ie又變得白白凈凈了。每個惡意網(wǎng)站用的修改文件可能采用不同名字的文件，但只要我們知道了它的運行機制，還原其實非常簡單。第63頁，共137頁，2022年，5月20日，0點54分，星期六優(yōu)點局限性防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實時監(jiān)控網(wǎng)

38、絡(luò)安全狀態(tài)誤報警，緩慢攻擊，新的攻擊模式Scanner簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實際問題并不能真正掃描漏洞VPN保護公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個漏洞防病毒針對文件與郵件，產(chǎn)品成熟功能單一小結(jié)網(wǎng)絡(luò)安全工具的特點第64頁，共137頁，2022年，5月20日，0點54分，星期六電子郵件本身是無毒的，但它的內(nèi)容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當用Unix智能終端上網(wǎng)查看電子郵件時，有被侵入的可能 電子郵件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計算機病毒利用某些電子郵件收發(fā)器特有的擴充功能 利用某些操作系統(tǒng)所特有

39、的功能 超大的電子郵件、電子郵件炸彈也可以認為是一種電子郵件計算機病毒 電子郵件病毒第65頁，共137頁，2022年，5月20日，0點54分，星期六網(wǎng)絡(luò)病毒/蠕蟲病毒感染對象和傳播途徑網(wǎng)絡(luò)病毒主要通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的計算機。使用的主要技術(shù)通過網(wǎng)絡(luò)利用電子郵件、系統(tǒng)漏洞、共享、弱口令等各種途徑傳播。第66頁，共137頁，2022年，5月20日，0點54分，星期六網(wǎng)絡(luò)病毒/蠕蟲病毒破壞行為占用系統(tǒng)資源導致系統(tǒng)不穩(wěn)定影響系統(tǒng)安全性保護方法不執(zhí)行電子郵件附件程序及時更新系統(tǒng)補丁使用防病毒軟件著名的此類病毒HAPPY99梅麗莎病毒尼姆達病毒沖擊波殺手第67頁，共137頁，2022年，5月20日

40、，0點54分，星期六蠕蟲（WORM）病毒是通過分布式網(wǎng)絡(luò)來擴散特定的信息或錯誤的，進而造成網(wǎng)絡(luò)服務(wù)器遭到拒絕并發(fā)生死鎖蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等 蠕蟲病毒第68頁，共137頁，2022年，5月20日，0點54分，星期六蠕蟲病毒新的特性 傳染方式多傳播速度快清除難度大破壞性強第69頁，共137頁，2022年，5月20日，0點54分，星期六蠕蟲病毒與一般病毒的異同普通病毒 蠕蟲病毒存在形式 寄存文件 獨立程序傳染機制 宿主程序運行

41、主動攻擊傳染目標 本地文件網(wǎng)絡(luò)計算機第70頁，共137頁，2022年，5月20日，0點54分，星期六蠕蟲的破壞和發(fā)展趨勢病毒名稱持續(xù)時間造成損失莫里斯蠕蟲1988年6000多臺計算機停機,直接經(jīng)濟損失達9600萬美元!美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟損失超過12億美元!愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元Sql蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動提款機運做中斷,直接經(jīng)濟損失超過26億美元第71頁

42、，共137頁，2022年，5月20日，0點54分，星期六利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊此類病毒主要是“紅色代碼”和“尼姆達”,以及至今依然肆虐的”求職信”等 傳播方式多樣 如“尼姆達”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等病毒制作技術(shù)新 與傳統(tǒng)的病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術(shù)實現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索與黑客技術(shù)相結(jié)合潛在的威脅和損失更大以紅色代碼為例,感染后的機器的web目錄的scripts下將生成一個root.exe,可以遠程執(zhí)行任何命令,從而使黑客能夠再次進入蠕蟲發(fā)作的一些特點

43、和發(fā)展趨勢 第72頁，共137頁，2022年，5月20日，0點54分，星期六蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞軟件上的缺陷如遠程溢出，微軟ie和outlook的自動執(zhí)行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級軟件 人為的缺陷主要是指的是計算機用戶的疏忽 蠕蟲病毒第73頁，共137頁，2022年，5月20日，0點54分，星期六MYDOOM的工作原理W32.Novarg.Amm Symantec ，受影響系統(tǒng): Win9x/NT/2K/XP/2003 1、創(chuàng)建如下文件：%System%shimgapi.dll%temp%Message， 這個文件由隨機字母通組成。%Sy

44、stem%taskmon.exe, 如果此文件存在，則用病毒文件覆蓋。2、Shimgapi.dll的功能是在被感染的系統(tǒng)內(nèi)創(chuàng)建代理服務(wù)器，并開啟3127到3198范圍內(nèi)的TCP端口進行監(jiān)聽；3、添加如下注冊表項，使病毒可隨機啟動，并存儲病毒的活動信息。4、對實施拒絕服務(wù)（DoS)攻擊,創(chuàng)建64個線程發(fā)送GET請求，這個DoS攻擊將從2004年2月1延續(xù)到2004年2月12日；5、在如下后綴的問中搜索電子郵件地址，但忽略以.edu結(jié)尾的郵件地址：.htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt等；6、使用病毒自身的SMTP引擎發(fā)送郵件，他選擇狀態(tài)良

45、好的服務(wù)器發(fā)送郵件，如果失敗，則使用本地的郵件服務(wù)器發(fā)送； 7、郵件內(nèi)容如下：From: 可能是一個欺騙性的地址；主題:hi/hello等。第74頁，共137頁，2022年，5月20日，0點54分，星期六攻擊的是微軟數(shù)據(jù)庫系Microsoft SQL Server 2000的利用了MSSQL2000服務(wù)遠程堆棧緩沖區(qū)溢出漏洞此蠕蟲病毒本身除了對網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施但如果病毒編寫者在編寫病毒的時候加入破壞代碼,后果將不堪設(shè)想 sql蠕蟲 第75頁，共137頁，2022年，5月20日，0點54分，星期六紅色代碼(Code red)病毒病毒利用IIS的 .ida 漏洞進入系統(tǒng)并

46、獲得 SYSTEM 權(quán)限該蠕蟲感染運行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000、IIS中啟用了Indexing Service(索引服務(wù))的系統(tǒng)，該蠕蟲利用了一個緩沖區(qū)溢出漏洞進行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務(wù)器變的不安全）(微軟在2001年6月份已發(fā)布修復程序 MS01-033)病毒產(chǎn)生100個新的線程99 個線程用于感染其它的服務(wù)器第100個線程用于檢查本機, 并修改當前首頁在7/20/01 時所有被感染的機器回參與對白宮網(wǎng)站 的自動攻擊.蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件 第

47、76頁，共137頁，2022年，5月20日，0點54分，星期六求職信病毒該程序具有罕見的雙程序結(jié)構(gòu)分為蠕蟲部分（網(wǎng)絡(luò)傳播）和病毒部分（感染文件，破壞文件）兩者在代碼上是獨立的兩部分，可能也是分開編寫的兩者的結(jié)合方式非常有趣，作者先是寫好蠕蟲部分，然后將病毒部分的二進制碼在特定位置加進蠕蟲部分，得到最終的病毒/蠕蟲程序 第77頁，共137頁，2022年，5月20日，0點54分，星期六尼姆達病毒第78頁，共137頁，2022年，5月20日，0點54分，星期六Nimda病毒該病毒影響運行Windows95, 98,ME,NT 和2000的客戶端和服務(wù)器通過Email 傳播通過網(wǎng)絡(luò)共享傳播通過瀏覽器傳

48、播通過主動掃描未打補丁的IIS服務(wù)器進行傳播 攜帶該病毒的郵件的包含兩部分第79頁，共137頁，2022年，5月20日，0點54分，星期六Nimada的工作原理4 種不同的傳播方式IE瀏覽器: 利用IE的一個安全漏洞 (微軟在2001年3月份已發(fā)布修復程序 MS01-020)IIS服務(wù)器: 和紅色代碼病毒相同, 或直接利用它留下的木馬程序. (微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復程序和解決方案)電子郵件附件: (已被使用過無數(shù)次的攻擊方式)文件共享: 針對所有未做安全限制的共享第80頁，共137頁，2022年，5月20日，0點54分，星期六蠕蟲病毒對于個人用戶而言，威脅大的蠕蟲病毒

49、采取的傳播方式一般為電子郵件(Email)以及惡意網(wǎng)頁等等 第81頁，共137頁，2022年，5月20日，0點54分，星期六對于利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播 惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁中，當用戶在不知情的情況下打開含有病毒的網(wǎng)頁時，病毒就會發(fā)作 對個人用戶產(chǎn)生直接威脅的蠕蟲病毒第82頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒的表現(xiàn)現(xiàn)象分為三大類計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象計算

50、機病毒的表現(xiàn)現(xiàn)象第83頁，共137頁，2022年，5月20日，0點54分，星期六平時運行正常的計算機突然經(jīng)常性無緣無故地死機 操作系統(tǒng)無法正常啟動 運行速度明顯變慢 以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤 打印和通訊發(fā)生異常 無意中要求對軟盤進行寫操作 以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件的時間、日期、大小發(fā)生變化 運行Word，打開Word文檔后，該文件另存時只能以模板方式保存 磁盤空間迅速減少 網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用 基本內(nèi)存發(fā)生變化 陌生人發(fā)來的電子郵件 自動鏈接到一些陌生的網(wǎng)站 計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象第84頁，共137頁，2022年，5月20日，0點

51、54分，星期六計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象提示一些不相干的話 發(fā)出一段的音樂 產(chǎn)生特定的圖象 硬盤燈不斷閃爍 進行游戲算法 Windows桌面圖標發(fā)生變化 計算機突然死機或重啟 自動發(fā)送電子郵件 鼠標自己在動第85頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象部分文檔自動加密碼修改Autoexec.bat文件，增加Format C：使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)硬盤無法啟動，數(shù)據(jù)丟失 系統(tǒng)文件丟失或被破壞 文件目錄發(fā)生混亂 部分文檔丟失或被破壞 第86頁，共137頁，2022年，5月20日，0點54分，星期六常

52、見的病毒防治技術(shù)病毒碼掃描法加總比對法(Check-sum)人工智能陷阱(Rule-based)軟件仿真掃描法VICE(Virus Instruction Code Emulation)先知掃描法實時的I/O掃描(Realtime I/O Scan)宏病毒陷阱(MacroTrapTM)空中抓毒(On the flyTM)第87頁，共137頁，2022年，5月20日，0點54分，星期六是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進行比較，或用程序來進行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較

53、法不需要專用的查計算機病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進行比較法的好處是簡單、方便，不需專用軟件。缺點是無法確認計算機病毒的種類名稱比較法 第88頁，共137頁，2022年，5月20日，0點54分，星期六根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否感染了計算機病毒 這種技術(shù)可偵測到各式的計算機病毒，但最大的缺點就是誤判斷高，且無法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無法偵測到加總比對法 第89頁，共1

54、37頁，2022年，5月20日，0點54分，星期六搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描搜索法 第90頁，共137頁，2022年，5月20日，0點54分，星期六分析的步驟分為靜態(tài)分析和動態(tài)分析兩種靜態(tài)分析是指利用反匯編工具將計算機病毒代碼打印成反匯編指令后程序清單后進行分析 動態(tài)分析則是指利用DEBUG等調(diào)試工具在內(nèi)存帶毒的情況下，對計算機病毒做動態(tài)跟蹤，觀察計算機病毒的具體工作過程，以進一步在靜態(tài)分析的基礎(chǔ)上理解計算機病毒工作的原理 分析法 第91頁，共137頁，2022年，5月20日，0點54分，星期六人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)人工智能陷阱是一種監(jiān)測計算機

55、行為的常駐式掃描技術(shù)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)第92頁，共137頁，2022年，5月20日，0點54分，星期六軟件仿真掃描法該技術(shù)專門用來對付多態(tài)變形計算機病毒（Polymorphic/MutationVirus）先知掃描法先知掃描技術(shù)（VICE，Virus Instruction Code Emulation）是繼軟件仿真后的一大技術(shù)上突破。既然軟件仿真可以建立一個保護模式下的DOS虛擬機，仿真CPU動作并偽執(zhí)行程序以解開多態(tài)變形計算機病毒，那么應用類似的技術(shù)也可以用來分析一般程序，檢查可疑的計算機病毒代碼 掃描法 第93頁，共137頁，2022年，5月20日，0點54分，星期六計算機

56、病毒防護體系的建設(shè)計算機病毒防御體系計算機病毒預防機制計算機病毒快速響應機制計算機病毒防御技術(shù)體系第94頁，共137頁，2022年，5月20日，0點54分，星期六 a 制定計劃：了解在你所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。 b 調(diào)查：選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。 c 測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應用軟件相兼容。 d 維護：管理和更新系統(tǒng)確保其能發(fā)揮預計的功能，并且可以利用現(xiàn)有的設(shè)備和人員進行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進行升級，徹底理解這種防病毒系統(tǒng)的重要方面。 e 系

57、統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個網(wǎng)絡(luò)范圍內(nèi)。 防病毒軟件的布署和管理第95頁，共137頁，2022年，5月20日，0點54分，星期六系統(tǒng)管理員的口令應嚴格管理，不使泄漏，不定期地予以更換，保護網(wǎng)絡(luò)系統(tǒng)不被非法存取，不被感染上計算機病毒或遭受破壞 在安裝應用程序軟件時，應由系統(tǒng)管理員進行，或由系統(tǒng)管理員臨時授權(quán)進行系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲區(qū)域和用戶卷應定期進行計算機病毒掃描，發(fā)現(xiàn)異常情況及時處理網(wǎng)絡(luò)系統(tǒng)管理員應做好日常管理事務(wù)的同時，還要準備應急措施，及時發(fā)現(xiàn)計算機病毒感染跡象 系統(tǒng)管理員的職責第96頁，共137頁，2022年，5月20日，0點

58、54分，星期六計算機病毒防護體系的建設(shè)計算機病毒的預防機制管理領(lǐng)域的計算機病毒預防機制技術(shù)領(lǐng)域的計算機病毒預防機制第97頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒防護體系的建設(shè)管理領(lǐng)域的計算機病毒預防機制計算機使用人員的培訓，特別是客戶端計算機使用人員的基礎(chǔ)安全培訓， “不怕一萬，就怕萬一”，一定要具備正確的防病毒意識制定計算機病毒的相關(guān)規(guī)章制度，加大執(zhí)行力度將具體責任落實到人對于重要的系統(tǒng)信息、重要的用戶數(shù)據(jù)、重要的系統(tǒng)參數(shù)等都要經(jīng)常進行備份與安全廠商充分合作，及時交流第98頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒防護體系的建設(shè)技術(shù)領(lǐng)域的

59、計算機病毒預防機制企業(yè)防病毒技術(shù)體系的規(guī)劃病毒和安全問題預警補丁自動分發(fā)系統(tǒng)第99頁，共137頁，2022年，5月20日，0點54分，星期六計算機病毒防護體系的建設(shè)企業(yè)防病毒技術(shù)體系的規(guī)劃單機防病毒網(wǎng)絡(luò)防病毒網(wǎng)關(guān)防病毒病毒追查第100頁，共137頁，2022年，5月20日，0點54分，星期六單機病毒防御單機病毒防御是傳統(tǒng)防御模式，作為固守網(wǎng)絡(luò)終端的最后防線。單機防御對于廣大家庭用戶、小型網(wǎng)絡(luò)用戶無論是在效果、管理、實用價值上都有意義的：阻止來自軟盤、光盤、共享文件、互聯(lián)網(wǎng)的病毒入侵，進行重要數(shù)據(jù)備份等其他功能，防護單臺計算機。第101頁，共137頁，2022年，5月20日，0點54分，星期六判

60、斷引導扇區(qū)是否感染病毒 先用可疑磁盤引導計算機用硬盤引導計算機機器在運行過程中運行一會兒被修改為缺省的時間、日期CMOS中軟盤設(shè)定情況為None無法訪問硬盤如C：Windows 95/98經(jīng)常無法啟動第102頁，共137頁，2022年，5月20日，0點54分，星期六預防引導型病毒 堅持從不帶計算機病毒的硬盤引導系統(tǒng)安裝能夠?qū)崟r監(jiān)控引導扇區(qū)的防殺計算機病毒軟件經(jīng)常備份系統(tǒng)引導扇區(qū)Virus Protect第103頁，共137頁，2022年，5月20日，0點54分，星期六在用未感染計算機病毒的DOS啟動軟盤引導后，對同一目錄列目錄（DIR）后文件的總長度與通過硬盤啟動后所列目錄內(nèi)文件總長度不一樣，