09第九章 计算机病毒防范.pptVIP

信息安全个人防护 主讲:梁晓琦 第九 章 计算机病毒防范 本讲的目标 了解计算机病毒的发展史、传播途径及特征 正确选择和使用常见计算机病毒防范软件； 掌握常见病毒的防范和清除方法 授课建议 简单介绍解计算机病毒的发展史、传播途径及特征 通过演示介绍常见计算机病毒防范软件； 掌握常见病毒的防范和清除方法 病毒分类（传染方式） 文件型病毒（1575/1591病毒，CIH病毒，WM/Concept病毒） 通过在执行过程中插入指令，把自己依附在可执行文件上。当文件执行时，病毒就会调出自己的代码执行，接着返回正常的指令。整个过程很快，难以察觉。 引导扇区病毒（小球病毒，大麻病毒，Anti-CMOS病毒） 病毒程序助理在磁盘的第一个扇区，能传染给软盘的引导扇区。通常，触发机制是系统日期和时间。 混合型病毒（FLIP病毒，新世纪病毒） 具有上述两种病毒的特点。 宏病毒（word宏病毒） 宏病毒不只是感染可执行文件，也可以感染一般文件，主要是影响系统的性能以及用户工作的效率，能传播到任何可运行编写宏病毒的应用程序的机器中。 病毒的传播媒介 存储介质 软盘、光盘、(移动)硬盘 网络 邮件(SoBig) 网页(RedLof) 局域网(Funlove) 远程攻击(Blaster) 网络下载 即时消息 计算机病毒的命名规则 格式为：病毒前缀.病毒名.病毒后缀。 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。比如，我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26 个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种B。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。 常见病毒前缀 系统病毒 系统病毒的前缀为：Win32、PE、Win95等。这些病毒的一般共有的特性是可以感染windows 操作系统的 *.exe 和 .dll 文件，并通过这些文件进行传播。 蠕虫病毒 蠕虫病毒的前缀是：Worm 木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 脚本病毒 脚本病毒的前缀是：Script。 宏病毒 宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro， 后门病毒 后门病毒的前缀是：Backdoor 病毒种植程序病毒 运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。前缀是： Dropper 破坏性程序病毒 破坏性程序病毒的前缀是：Harm。 玩笑病毒 玩笑病毒的前缀是：Joke。 捆绑机病毒 捆绑机病毒的前缀是：Binder 其他 前缀为DoS：会针对某台主机或者服务器进行DoS 攻击； 前缀为Exploit：缓冲区溢出 前缀为HackTool：黑客工具 瑞星杀毒软件——基本设置 监控中心包括文件监控、邮件监控、网页监控 在文件监控和邮件监控的基本设置中，有三个安全级别 高安全级别：最全面的检查、对所有文件进行最彻底全面的监控。推荐对个人电脑安全性要求较高以及计算机性能较好的用户选择该级别。 推荐级别：这种级别是杀毒软件引擎配置的最佳平衡点，绝大多数用户都能适用。 低安全级别：这种级别占用的计算机系统资源较小，能最大限度的减少系统负担，供对计算机性能较低的用户选择。 瑞星杀毒软件——杀毒设置 卡巴斯基－保护 保护部分主要目的是给您的计算机基本实时保护组件提供一个入口 保护功能有：文件反病毒、邮件反病毒、web 反病毒、主动防御、防火墙、隐私控制、反垃圾邮件控制和家长控制。 卡巴斯基－扫描 卡巴斯基－更新 卡巴斯基－报告和数据文件 卡巴斯基－激活 常见病毒的分析——熊猫烧香 “熊猫烧香”病毒（Worm.Nimaya）是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。被病毒感染的文件图标均变为“熊猫烧香”。该病毒变种还能终止大部分的反病毒软件和防火墙软件进程。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe、com、pif、src、html、asp 等文件，它还会删除扩展名为gho的文件（该文件是一系统备份工具GHOST 的备份文件），使用户的系统备份文件丢失。 熊猫烧香的特点 它会在硬盘各个分区创建“.inf”自动播放文件 会感染大部分目录中的EX