版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
單擊此處編輯母版標題樣式單擊此處編輯母版副標題樣式*計算機網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)吧安全與病毒防御培訓(xùn)課程什么是計算機病毒 計算機病毒是一種“計算機程序”,它不僅能破壞計算機系統(tǒng),而且還能夠傳播、感染到其它系統(tǒng)。 通常,計算機病毒可分為下列幾類。 (1)文件病毒。 (2)引導(dǎo)扇區(qū)病毒。 (3)多裂變病毒。(4)秘密病毒。(5)異形病毒。(6)宏病毒。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)計算機病毒的傳播計算機病毒的由來
計算機病毒是由計算機黑客們編寫的,這些人想證明它們能編寫出不但可以干擾和摧毀計算機,而且能將破壞傳播到其它系統(tǒng)的程序。
Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.2計算機病毒的傳播6.2.2計算機病毒的傳播 計算機病毒通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。最明顯的也是最常見的入侵點是從工作站傳到工作站的軟盤。 病毒一旦進入系統(tǒng)以后,通常用以下兩種方式傳播: (1)通過磁盤的關(guān)鍵區(qū)域; (2)在可執(zhí)行的文件中。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.2計算機病毒的傳播6.2.3計算機病毒的工作方式 一般來說,病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。 1.感染 任何計算機病毒的一個重要特性或功能是對計算機系統(tǒng)的感染。 (1)引導(dǎo)扇區(qū)病毒
Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.2計算機病毒的傳播
(2)文件型病毒 文件型病毒與引導(dǎo)扇區(qū)病毒最大的不同之處是,它攻擊磁盤上的文件。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.2計算機病毒的傳播 覆蓋型文件病毒的一個特點是不改變文件的長度,使原始文件看起來非常正常。 前依附型文件病毒將自己加在可執(zhí)行文件的開始部分,而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。 伴隨型文件病毒為.exe文件建立一個相應(yīng)的含有病毒代碼的.com文件。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.2計算機病毒的傳播 2.變異 變異又稱變種,這是病毒為逃避病毒掃描和其它反病毒軟件的檢測,以達到逃避檢測的一種“功能”。 3.觸發(fā) 不少計算機病毒為了能在合適的時候從事它的見不得人的勾當(dāng),往往需要預(yù)先設(shè)置一些觸發(fā)的條件,并使之先置于未觸發(fā)狀態(tài)。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.2計算機病毒的傳播 4.破壞 修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。 5.高級功能病毒 計算機病毒逃避檢測,躲開病毒掃描和反病毒軟件。 多態(tài)病毒特點能變異,新病毒都與上一代有差別,每個新病毒都各不相同。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.3計算機病毒的特點及破壞行為
6.3.1計算機病毒的特點 病毒有以下幾個主要特點。 1.刻意編寫人為破壞 2.自我復(fù)制能力 3.奪取系統(tǒng)控制權(quán) 4.隱蔽性 5.潛伏性 6.不可預(yù)見性Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.3計算機病毒的特點及破壞行為6.3.2計算機病毒的破壞行為(1)攻擊系統(tǒng)數(shù)據(jù)區(qū)。硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。(2)攻擊文件。刪除、改名、替換內(nèi)容、丟失簇或?qū)ξ募用?。?)攻擊內(nèi)存。大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。(4)干擾系統(tǒng)運行,使運行速度下降。(5)干擾鍵盤、喇叭或屏幕。(6)攻擊CMOS。系統(tǒng)時鐘、磁盤類型和內(nèi)存容量等,亂寫某些主板BIOS芯片,損壞硬盤。(7)干擾打印機。如假報警、間斷性打印或更換字符。(8)網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng),非法使用網(wǎng)絡(luò)資源,破壞電子郵件,發(fā)送垃圾信息,占用網(wǎng)絡(luò)帶寬等。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒6.4.1宏病毒 所謂宏,就是軟件設(shè)計者為了在使用軟件工作時,避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。 1.宏病毒的行為和特征 所謂“宏病毒”,就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。(1)宏病毒行為機制 Word模式定義出一種文件格式,將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中,這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)(2)宏病毒特征 ①宏病毒會感染.doc文檔和.dot模板文件。 ②宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時,激活宏病毒。 ③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏。 ④宏病毒中總是含有對文檔讀寫操作的宏命令。 ⑤宏病毒在.doc文檔、.dot模板中以.BFF(BinaryFileFormat)格式存放。6.4宏病毒及網(wǎng)絡(luò)病毒Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒2.宏病毒的防治和清除方法(1)使用選項“提示保存Normal模板”(2)不要通過Shift鍵來禁止運行自動宏(3)查看宏代碼并刪除(4)使用DisableAutoMacros宏(5)使用Word97的報警設(shè)置(6)設(shè)置Normal.dot的只讀屬性(7)Normal.dot的密碼保護Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒6.4.2網(wǎng)絡(luò)病毒 1.網(wǎng)絡(luò)病毒的特點 計算機網(wǎng)絡(luò)的主要特點是資源共享。。病毒的會在這種環(huán)境下迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。它對于系統(tǒng)的敏感數(shù)據(jù),一旦遭到破壞,后果就不堪設(shè)想。因此,網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。 病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤,再由服務(wù)器的共享目錄傳播到其它工作站。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒 2.病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用局域網(wǎng)文件服務(wù)器,用戶直接從文件服務(wù)器復(fù)制已感染的文件。 因特網(wǎng)是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn):如果網(wǎng)絡(luò)服務(wù)器計算機是從一塊感染的軟盤上引導(dǎo)的,那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒 3.專攻網(wǎng)絡(luò)的GPI病毒 4.電子郵件病毒 對電子郵件系統(tǒng)進行病毒防護可從以下幾個方面著手。(1)使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護(2)使用防毒軟件同時保護客戶機和服務(wù)器(3)使用特定的SMTP殺毒軟件Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除
6.5.1病毒的預(yù)防 通過采取技術(shù)上和管理上的措施,計算機病毒是完全可以防范的。(1)對新購置的計算機系統(tǒng)用檢測病毒軟件檢查已知病毒,用人工檢測方法檢查未知病毒。(2)新購置的硬盤或出廠時已格式化好的軟盤可能有病毒。對硬盤可以進行檢測或進行低級格式化,因為對硬盤只做DOS的Format格式化是不能去除主引導(dǎo)區(qū)(分區(qū)表扇區(qū))病毒的。(3)新購置的計算機軟件也要進行病毒檢測。(4)在保證硬盤無病毒的情況下,能用硬盤引導(dǎo)啟動的,盡量不要用軟盤去啟動。(5)很多PC機可以通過設(shè)置CMOS參數(shù),使啟動時直接從硬盤引導(dǎo)啟動。
Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除(6)定期與不定期地進行磁盤文件備份工作。(7)對于軟盤,要盡可能將數(shù)據(jù)和程序分別存放,裝程序的軟盤要進行寫保護。(8)在別人的機器上使用過自己的已打開了寫保護的軟盤,再在自己的機器上使用,就應(yīng)進行病毒檢測。(9)應(yīng)保留一張寫保護的、無病毒的并帶有各種命令文件的系統(tǒng)啟動軟盤,用于清除病毒和維護系統(tǒng)。(10)用Bootsafe等實用程序或用Debug編程提取分區(qū)表等方法做好分區(qū)表、DOS引導(dǎo)扇區(qū)等的備份工作,在進行系統(tǒng)維護和修復(fù)工作時可作為參考。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除(11)對于多人共用一臺計算機的環(huán)境,應(yīng)建立登記上機制度,做到使問題能盡早發(fā)現(xiàn),有病毒能及時追查、清除,不致擴散。(12)啟動Novell網(wǎng)或其它網(wǎng)絡(luò)的服務(wù)器時,一定要堅持用硬盤引導(dǎo)啟動,否則在受到引導(dǎo)扇區(qū)型病毒感染和破壞后,遭受損失的將不是一個人的機器,而會影響到連接整個網(wǎng)絡(luò)的中樞。(13)在網(wǎng)絡(luò)服務(wù)器安裝生成時,應(yīng)將整個文件系統(tǒng)劃分成多文件卷系統(tǒng),而不是只劃分成不區(qū)分系統(tǒng)、應(yīng)用程序和用戶獨占的單卷文件系統(tǒng)。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除(14)安裝服務(wù)器時應(yīng)保證沒有病毒存在,即安裝環(huán)境不能帶病毒,而網(wǎng)絡(luò)操作系統(tǒng)本身不感染病毒。(15)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)將SYS系統(tǒng)卷設(shè)置成對其它用戶為只讀狀態(tài),屏蔽其它網(wǎng)絡(luò)用戶對系統(tǒng)卷除讀取以外的其它所有操作,如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。(16)在應(yīng)用程序卷安裝共享軟件時,應(yīng)由系統(tǒng)管理員進行,或由系統(tǒng)管理員臨時授權(quán)進行。(17)系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲區(qū)域和用戶卷進行病毒掃描,發(fā)現(xiàn)異常情況應(yīng)及時處理,不使其擴散。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除(18)系統(tǒng)管理員的口令應(yīng)嚴格管理,為了防止泄漏,要定期或不定期地進行更換,保護網(wǎng)絡(luò)系統(tǒng)不被非法存取、感染上病毒或遭受破壞。(19)在網(wǎng)絡(luò)工作站上采取必要的抗病毒技術(shù)措施,可使網(wǎng)絡(luò)用戶一開機就有一個良好的上機環(huán)境,不必再擔(dān)心來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身病毒。(20)在服務(wù)器上安裝LanProtect等防病毒系統(tǒng)。實踐表明,這些簡單易行的措施是非常有效的。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 作為應(yīng)急措施,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾條。(1)隔離斷網(wǎng)操作,清查病毒。(2)對于傳播速度快的惡性病毒要請求專業(yè)人員處理。(3)注意觀察下列現(xiàn)象:●文件的大小和日期是否變化;●系統(tǒng)啟動速度是否比平時慢;●不做寫操作時出現(xiàn)“磁盤有寫保護”信息;●對貼有寫保護的軟盤操作時聲音很大;●系統(tǒng)運行速度異常慢;●用MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留;●鍵盤、打印或顯示有異?,F(xiàn)象;●有特殊文件自動生成;●磁盤空間自動產(chǎn)生壞簇或磁盤空間減少;●文件莫名其妙地丟失;●系統(tǒng)異常死機的次數(shù)增加。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 6.5.2病毒的檢查 計算機病毒要進行傳染,必然會留下痕跡。因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。 1.病毒的檢查方法 檢測的原理主要是基于下列四種方法比較法搜索法特征字識別法分析法Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除(1)比較法 比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進行比較。(2)搜索法 搜索法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。(3)計算機病毒特征字的識別法 計算機病毒特征字的識別法是基于特征串掃描法發(fā)展起來的一種新方法。(4)分析法 本方法由專業(yè)反病毒技術(shù)人員使用。 分析法的目的在于: ①確認是否含有病毒 ②確認病毒的類型和種類 ③搞清結(jié)構(gòu),提取樣本數(shù)據(jù) ④分析病毒代碼Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 2.病毒掃描程序 這種程序找到病毒的主要辦法之一就是尋找掃描串,也被稱為病毒特征。 3.完整性檢查程序 檢查文件與系統(tǒng)文件 4.行為封鎖軟件 該軟件的目的是防止病毒的破壞。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.3計算機病毒的免疫 通過一定的方法,使計算機自身具有防御計算機病毒感染的能力。 1.建立程序的特征值檔案 2.嚴格內(nèi)存管理 3.中斷向量管理Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.4計算機感染病毒后的恢復(fù) 1.防止和修復(fù)引導(dǎo)記錄病毒 改變計算機的磁盤引導(dǎo)順序,避免從軟盤引導(dǎo)。必須從軟盤引導(dǎo)時,應(yīng)該確認該軟盤無毒。 (1)修復(fù)感染的軟盤 (2)修復(fù)感染的主引導(dǎo)記錄 (3)利用反病毒軟件修復(fù) 2.防止和修復(fù)可執(zhí)行文件病毒Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.5計算機病毒的清除 1.使用DOS命令處理病毒 2.引導(dǎo)型病毒的處理 與引導(dǎo)型病毒有關(guān)的扇區(qū)大概有下面三個部分。(1)硬盤的物理第一扇區(qū),即0柱面、0磁頭、1扇區(qū)是開機之后存放的數(shù)據(jù)和程序是被最先訪問和執(zhí)行的。這個扇區(qū)成為“硬盤主引導(dǎo)扇區(qū)”。在該扇區(qū)的前半部分,稱為“主引導(dǎo)記錄”(MasterBootRecord),簡稱MBR。(2)第二部分不是程序,而是非執(zhí)行的數(shù)據(jù),記錄硬盤分區(qū)的信息,即人們常說的“硬盤分區(qū)表”(PartitionTable),從偏移量1BEH開始,到1FDH結(jié)束。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除(3)硬盤活動分區(qū),大多是第一個分區(qū)的第一個扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū),這個扇區(qū)稱為“活動分區(qū)的引導(dǎo)記錄”,它是開機后繼MBR后運行的第二段代碼的運行所在。其它分區(qū)也具有一個引導(dǎo)記錄(BOOT),但是其中的代碼不會被執(zhí)行。 運行下面的程序來完成:
“Fdisk/MBR”用于重寫一個無毒的MBR。
“Fdisk”用于讀取或重寫硬盤分區(qū)表。
“FormatC:/S”或“SYSC:”會重寫一個無毒的“活動分區(qū)的引導(dǎo)記錄”。對于可以更改活動分區(qū)的情況,需要另外特殊對待。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 3.宏病毒清除方法 對于宏病毒最簡單的清除步驟為:(1)關(guān)閉Word中的所有文檔。(2)選擇“工具/模板/管理器/宏”選項。(3)刪除左右兩個列表框中所有的宏(除了自己定義的)(一般病毒宏為AutoOpen、AutoNew或AutoClose)。(4)關(guān)閉對話框。(5)選擇“工具/宏”選項。若有AutoOpen、AutoNew或AutoClose等宏,刪除之。Date計算機網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 4.殺毒程序 殺毒程序是許多反病毒程序中的一員,但它在處理病毒時,必須知道某種特別的病毒的信息,然后才能按需要對磁盤進行殺毒。 對于文件型病
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 雙方自愿離婚協(xié)議書七篇
- 二人合伙協(xié)議書2025
- 自發(fā)性多汗癥病因介紹
- 廣東省佛山市南海區(qū)、三水區(qū)2023-2024學(xué)年九年級上學(xué)期期末數(shù)學(xué)試題
- 《電機技術(shù)應(yīng)用》課件 3.3.3 直流電機的制動
- (立項備案方案)壓制封頭項目立項申請報告
- (2024)歡樂世界旅游開發(fā)項目可行性研究報告申請備案編制(一)
- 2023年天津市高考語文模擬試卷
- 江蘇省鹽城市建湖縣漢開書院學(xué)校2023-2024學(xué)年七年級上學(xué)期第二次月考道德與法治試題(原卷版)-A4
- 2023年乙烯冷箱產(chǎn)品項目融資計劃書
- GMP質(zhì)量體系廠區(qū)蟲、鼠的防范管理規(guī)程
- 部編版一年級上冊語文期末試卷
- 梁祝音樂鋼琴五線譜
- 中國地圖矢量圖課件
- 新版現(xiàn)代西班牙語第二冊課后答案
- 熱電廠管理提升專題方案
- (交通綜合執(zhí)法)證據(jù)登記保存清單
- 2022年第一學(xué)期田徑社團活動計劃
- 2022年廣東省廣州市海珠區(qū)八年級上學(xué)期期末語文試卷
- CRRT的護理ppt課件(PPT 36頁)
- 可愛卡通風(fēng)我的情緒我作主心理健康主題班會PPT模板
評論
0/150
提交評論