計(jì)算機(jī)病毒知識(shí)與防范科普講座

計(jì)算機(jī)病毒知識(shí)與防范科普講座報(bào)告人：賈松濤 時(shí)間：第1頁，共35頁。主要內(nèi)容一計(jì)算機(jī)病毒概述二計(jì)算機(jī)病毒的防范、檢測(cè)三計(jì)算機(jī)木馬及其防護(hù)四與計(jì)算機(jī)病毒相關(guān)的一些知識(shí)第2頁，共35頁。計(jì)算機(jī)病毒的定義和特征

計(jì)算機(jī)病毒的概念：是一個(gè)能夠通過修改程序，把自身復(fù)制進(jìn)去，進(jìn)而去傳染其他程序的程序。

我國在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義，計(jì)算機(jī)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

一般地，計(jì)算機(jī)病毒都具有以下特性：1．可執(zhí)行性2．傳染性3．潛伏性4．可觸發(fā)性5．針對(duì)性6．隱蔽性第3頁，共35頁。計(jì)算機(jī)病毒的主要來源1．購買的軟件光盤、優(yōu)盤、軟盤等帶有病毒。

2．從別人機(jī)器通過磁盤拷貝文件到自己機(jī)器。3．網(wǎng)上下載游戲、歌曲、電影、軟件等等。4．在局域網(wǎng)中相互拷貝文件，共享文件夾。5．上網(wǎng)閱覽網(wǎng)頁時(shí)被病毒入侵。6、電子郵件也傳播病毒。第4頁，共35頁。不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備這種傳播途徑是指利用專用集成電路芯片（ASIC）進(jìn)行傳播。這種計(jì)算機(jī)病毒雖然極少，但破壞力卻極強(qiáng)，目前尚沒有較好的檢測(cè)手段對(duì)付它。移動(dòng)存儲(chǔ)設(shè)備：光盤、移動(dòng)硬盤等。網(wǎng)絡(luò)：電子郵件、BBS、WWW瀏覽、FTP文件下載、新聞組。通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通信系統(tǒng)傳播計(jì)算機(jī)病毒的傳播途徑第5頁，共35頁。

計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象

1、平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)。2、操作系統(tǒng)無法正常啟動(dòng)。3、運(yùn)行速度明顯變慢。4、以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤。5、打印和通訊發(fā)生異常。6、無意中要求對(duì)軟盤進(jìn)行寫操作。7、以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤。8、系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化。第6頁，共35頁。

9、運(yùn)行Word，打開Word文檔后，該文件另存時(shí)只能以模板方式保存。10、磁盤空間迅速減少。11、網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無法調(diào)用。12、基本內(nèi)存發(fā)生變化。13、陌生人發(fā)來的電子函件。第7頁，共35頁。計(jì)算機(jī)病毒發(fā)作后所造成的后果：

硬盤無法啟動(dòng)，數(shù)據(jù)丟失計(jì)算機(jī)病毒破壞了硬盤的引導(dǎo)扇區(qū)后，就無法從硬盤啟動(dòng)計(jì)算機(jī)系統(tǒng)了。對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用。占用磁盤空間和對(duì)信息的破壞搶占系統(tǒng)資源影響計(jì)算機(jī)運(yùn)行速度計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力

第8頁，共35頁。蠕蟲（Worm）通過網(wǎng)絡(luò)連接，將自身復(fù)制到其它計(jì)算機(jī)中，但不感染其它文件。特洛伊木馬（Trojanhorse）表面上看起來是無害的程序或數(shù)據(jù)，實(shí)際上內(nèi)含惡意或有害的代碼。竊取用戶數(shù)據(jù)和系統(tǒng)控制權(quán)最常見的兩種病毒第9頁，共35頁。二計(jì)算機(jī)病毒的檢測(cè)和防范

用防病毒軟件來防范病毒需要定期自動(dòng)更新或者下載最新的病毒定義、病毒特征。但是防病毒軟件的問題在于它只能為防止已知的病毒提供保護(hù)。因此，防病毒軟件只是在檢測(cè)已知的特定模式的病毒和蠕蟲方面發(fā)揮作用。

第10頁，共35頁?，F(xiàn)代病毒利用人性的弱點(diǎn)隱蔽性更強(qiáng)偽裝成開玩笑的郵件偽裝求職甚至偽裝防病毒廠家的技術(shù)支持附在圖片上很多時(shí)候用戶被感染不知道用一些很有吸引力的標(biāo)題—如點(diǎn)擊XX站點(diǎn)可以賺錢—打開郵件就會(huì)得到免費(fèi)的禮物第11頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬概述全稱“特洛伊木馬（TrojanHorse）”，古希臘士兵藏在木馬內(nèi)進(jìn)入敵城，占領(lǐng)敵城的故事計(jì)算機(jī)木馬指：黑客在可供網(wǎng)絡(luò)上傳下載的應(yīng)用程序或游戲中，添加可以控制用戶計(jì)算機(jī)系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。第12頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的特點(diǎn)隱蔽性命名上采用和系統(tǒng)文件的文件名相似的文件名屬性通常是系統(tǒng)文件、隱藏、只讀屬性存放在不常用或難以發(fā)現(xiàn)的系統(tǒng)文件目錄中在任務(wù)欄里隱藏在任務(wù)管理器里隱藏（Ctrl+Alt+Del）第13頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的特點(diǎn)非授權(quán)性：一旦控制端與服務(wù)器端連接后，便大開系統(tǒng)之門，毫無秘密而言在不常用或難以發(fā)現(xiàn)的系統(tǒng)文件目錄中。包含在正常程序中（例如，與圖片文件綁定或生成exe-binder程序）不產(chǎn)生圖標(biāo)，以免用戶注意到任務(wù)欄里來歷不明的圖標(biāo)自動(dòng)隱藏在任務(wù)管理器中，以“系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)第14頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的特點(diǎn)自動(dòng)運(yùn)行能力：附著在諸如win.ini、system.ini、winstart.ini或啟動(dòng)組等文件中隨系統(tǒng)啟動(dòng)而啟動(dòng)。自動(dòng)恢復(fù)能力：多文件組合、多重備份，只要觸發(fā)文件組合中的一個(gè)程序，就會(huì)啟動(dòng)該木馬。自動(dòng)打開特別端口，提供給黑客，作為入侵的端口。特殊功能：除普通的文件操作外，還有諸如搜索cache口令、掃描目標(biāo)主機(jī)的IP地址、鍵盤記錄等功能第15頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬和病毒的區(qū)別木馬不具有自我復(fù)制性和傳染性，不會(huì)像病毒那樣自我復(fù)制、刻意感染其他文件。木馬的主要意圖不是為了破壞用戶的系統(tǒng)，而是為了監(jiān)視并竊取系統(tǒng)中的有用信息，如密碼、賬號(hào)。第16頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)兩大國產(chǎn)殺毒軟件公司的網(wǎng)絡(luò)安全報(bào)告瑞星反病毒監(jiān)測(cè)網(wǎng)第17頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)兩大國產(chǎn)殺毒軟件公司的網(wǎng)絡(luò)安全報(bào)告金山反病毒監(jiān)測(cè)網(wǎng)第18頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的分類破壞型：破壞刪除文件（*.ini、*.dll、*.exe）發(fā)送密碼型：找到隱藏的密碼，發(fā)送到指定的郵箱遠(yuǎn)程訪問型：只要運(yùn)行了服務(wù)端程序，如果客戶知道服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制鍵盤記錄型：記錄用戶在線或離線時(shí)按鍵情況，統(tǒng)計(jì)用戶按鍵的頻度，進(jìn)行密碼分析第19頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的分類分布式攻擊（DoS）型在一臺(tái)又一臺(tái)的計(jì)算機(jī)（“肉機(jī)”）上植入DoS攻擊木馬，形成DoS攻擊機(jī)群，攻擊第三方的計(jì)算機(jī)郵件炸彈：機(jī)器一旦被掛馬，木馬就會(huì)隨機(jī)生成各種各樣的主題信件，對(duì)特定的郵箱不停發(fā)送信件，直到對(duì)方郵件服務(wù)器癱瘓代理（Proxy）型：黑客隱藏自己的足跡，讓肉機(jī)淪為“替罪羊”FTP型：打開端口21，等待用戶連接第20頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的發(fā)展趨勢(shì)隱蔽性增加采用非TCP/UDP封裝的IP數(shù)據(jù)包攜帶盜取的信息寄生在TCP端口，與正常通信流混合傳送傳輸方式多樣化（如網(wǎng)頁掛馬）編程機(jī)制多樣化（針對(duì)網(wǎng)卡或Modem的底層通信編程，跳過防火墻）跨平臺(tái)性（一個(gè)木馬程序可兼容不同公司不同版本的操作系統(tǒng)）第21頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)計(jì)算機(jī)木馬的發(fā)展趨勢(shì)模塊化設(shè)計(jì)（易于組裝）更新更強(qiáng)的感染模式即時(shí)通知（E-mail即時(shí)通知控制端木馬的安裝情況，以應(yīng)對(duì)服務(wù)端IP動(dòng)態(tài)變化的局面）商業(yè)病毒木馬的泛濫（如木馬點(diǎn)擊器Clicker病毒，侵入用戶電腦后，會(huì)根據(jù)病毒編寫者預(yù)先設(shè)定的網(wǎng)址，去點(diǎn)擊網(wǎng)上的廣告，如百度競(jìng)價(jià)排名、GoogleAdSense等，讓廣告主支付更多的廣告費(fèi)，而病毒犯罪團(tuán)伙及其合作伙伴則會(huì)分享這些額外的“利潤(rùn)”。第22頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)被木馬感染后的緊急措施更改所有的賬號(hào)和密碼刪除硬盤上所有原來沒有的東西（系統(tǒng)還原）殺毒軟件清理第23頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)木馬的查殺工具木馬清道夫2008：中國專業(yè)級(jí)的反木馬信息安全產(chǎn)品，經(jīng)公安部認(rèn)證第24頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)木馬的查殺工具Ewido：國外的超強(qiáng)木馬查殺工具，（已更名為AVGAntiSpyware）。第25頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)木馬的專殺工具QQ木馬專殺：QQ醫(yī)生、QQ木馬專殺工具V3.5第26頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)木馬的專殺工具“征途”、“魔獸”、“劍網(wǎng)”等網(wǎng)絡(luò)游戲的木馬專殺工具——金山毒霸網(wǎng)游專殺工具“網(wǎng)銀大盜”木馬專殺（鍵盤記錄盜號(hào)；使用中突然彈出要求用戶修改密碼的提示框）——江民新網(wǎng)銀木馬專殺工具第27頁，共35頁。三

計(jì)算機(jī)木馬及其防護(hù)木馬的專殺工具“灰鴿子”木馬專殺：金山、瑞星第28頁，共35頁。漏洞是什么？系統(tǒng)上的軟件再編寫的時(shí)候總有疏漏的地方這些疏漏會(huì)引起軟件的不兼容（死機(jī)）還有就是容易被黑客利用破環(huán)電腦。

windows正版用戶直接開更新就好盜版用戶要吧自帶的自動(dòng)升級(jí)關(guān)閉不然微軟會(huì)黑你家電腦的盜版用戶要補(bǔ)漏洞就使用輔助軟件進(jìn)行升級(jí)比如360。四與計(jì)算機(jī)病毒相關(guān)的一些知識(shí)第29頁，共35頁。防火墻和殺毒軟件的區(qū)別防火墻和殺毒軟件并不是同一種類的東西，防火墻是抵御網(wǎng)絡(luò)攻擊的工具。而殺毒軟件是清除計(jì)算機(jī)病毒的工具。雖然，都是在計(jì)算機(jī)上安裝，但是針對(duì)的東西卻不懂，而且防火墻是沒有殺毒功能的。

四與計(jì)算機(jī)病毒相關(guān)的一些知識(shí)第30頁，共35頁。四與計(jì)算機(jī)病毒相關(guān)的一些知識(shí)惡意軟件是什么？惡意軟件嚴(yán)格上來說并不是病毒,如果打個(gè)比方,病毒就像是各種對(duì)人體致命的細(xì)菌病毒的話,那么惡意軟件就是那些不致命的病毒.很多軟件安裝時(shí)都會(huì)捆綁一些插件建議你安裝時(shí)不要一路下一步要仔細(xì)看清楚,有些惡意軟件裝上去后很難清除。推薦幾個(gè)常用的惡意軟件清理工具

金山清理專家,360安全衛(wèi)士,其他的還有不少不過比較常見的就這2款

第31頁，共35頁。四與計(jì)算機(jī)病毒相關(guān)的一些知識(shí)殺毒軟件品牌瑞星，江民，卡巴斯基，金山毒霸，AVG推薦：卡巴斯基，AVG（免費(fèi)）第32頁，共35頁。四與計(jì)算機(jī)病毒相關(guān)的一些知識(shí)黑客與病毒的關(guān)系一，黑客是人，病毒是程序。

二，黑客并不都是用病毒攻擊的，有時(shí)只是用非法途徑達(dá)到目的。第33頁，共35頁。謝謝各位！第34頁，共35頁。內(nèi)容梗概計(jì)算機(jī)病毒知識(shí)與防范科普講座。2．從別人機(jī)器通過磁盤拷貝文件到自己機(jī)器。這種傳播途徑是指利用專用集成電路芯片（ASIC）進(jìn)行傳播。通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通信系統(tǒng)傳播。4、以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤。表面上看起來是無害的程序或數(shù)據(jù)，實(shí)際上內(nèi)含惡意或有害的代碼。用防病毒軟件來防范病毒需要定期自動(dòng)更新或者下載最新的病毒定義、病毒特征。但是防病毒軟件的問題在于它只能為防止已知的病毒提供保護(hù)。因此，防病毒軟件只是在檢測(cè)已知的特定模式的病毒和蠕蟲方面發(fā)揮作用。全稱“特洛伊木馬（TrojanHorse）”，古希臘士兵藏在木馬內(nèi)進(jìn)入敵城