网络病毒与防范培训课件.pptx

资源描述

网络病毒与防范培训课件第1页第一节第一节网络病毒及特征网络病毒及特征本章主要内容本章主要内容第二节第二节网络反病毒标准及策略网络反病毒标准及策略第三节第三节网络反病毒实施网络反病毒实施网络病毒与防范培训课件第2页一、网络病毒概念一、网络病毒概念二、网络病毒主要特点二、网络病毒主要特点三、经典网络病毒介绍三、经典网络病毒介绍第一节第一节网络病毒及特征网络病毒及特征网络病毒与防范培训课件第3页一、网络病毒概念一、网络病毒概念（1 1）狭义网络病毒）狭义网络病毒:即网络病毒应该是充分利用即网络病毒应该是充分利用网络协议以及网络体系结构作为其传输路径或机制，同网络协议以及网络体系结构作为其传输路径或机制，同时网络病毒破坏对象也应是针对网络。时网络病毒破坏对象也应是针对网络。（2 2）广义网络病毒）广义网络病毒:只要能够在网络上传输并能只要能够在网络上传输并能对网络产生破坏病毒，不论它破坏是网络还是联网计对网络产生破坏病毒，不论它破坏是网络还是联网计算机，就可称为网络病毒。算机，就可称为网络病毒。网络病毒与防范培训课件第4页二、网络病毒主要特点二、网络病毒主要特点1 1技术门坎低，任何人皆可撰写新病毒技术门坎低，任何人皆可撰写新病毒2 2蠕虫病毒和木马病毒是最大威胁蠕虫病毒和木马病毒是最大威胁 3 3愈来愈快传输愈来愈快传输“毒速毒速”4 4愈来愈短攻击时间差愈来愈短攻击时间差5 5不停创新自我防御技术不停创新自我防御技术 6 6令人眼花缭乱庞大变种令人眼花缭乱庞大变种7 7乱乱“件件”齐发垃圾邮件齐发垃圾邮件8 8有洞就钻有洞就钻 9 9混合式攻击混合式攻击网络病毒特征主要是相对于单机病毒来说，网络病毒特征主要是相对于单机病毒来说，其特点主要表现在以下几个方面其特点主要表现在以下几个方面:网络病毒与防范培训课件第5页三、网络病毒实例三、网络病毒实例几个经典网络病毒：几个经典网络病毒：2 2、木马病毒、木马病毒 3 3、蠕虫病毒、蠕虫病毒 4 4、网页脚本病毒、网页脚本病毒 1 1、宏病毒、宏病毒5 5、即时通讯病毒、即时通讯病毒网络病毒与防范培训课件第6页 1 1宏病毒宏病毒宏病毒是使用某个应用程序自带宏编程语宏病毒是使用某个应用程序自带宏编程语言编写病毒言编写病毒。宏病毒当前主要是针对应用组。宏病毒当前主要是针对应用组件，类型分为二类：感染件，类型分为二类：感染WordWord系统系统WordWord宏病毒、宏病毒、感染感染ExcelExcel系统系统Exce1Exce1宏病毒和感染宏病毒和感染Lotus Lotus AmiProAmiPro宏病毒。宏病毒。WordWord宏病毒含有以下特征：宏病毒含有以下特征：（1 1）危害性大。）危害性大。（2 2）感染数据文件。）感染数据文件。（3 3）多平台交叉感染。）多平台交叉感染。（4 4）轻易制作。）轻易制作。（5 5）传输方便快捷。）传输方便快捷。（6 6）检测、去除比较困难。）检测、去除比较困难。三、网络病毒实例三、网络病毒实例网络病毒与防范培训课件第7页宏病毒举例宏病毒举例三、网络病毒实例三、网络病毒实例简单自制宏病毒发作表象网络病毒与防范培训课件第8页2木马病毒木马病毒将自己伪装成某种应用程序来吸引用将自己伪装成某种应用程序来吸引用户下载或执行，并进而破坏用户计算机数户下载或执行，并进而破坏用户计算机数据、造成用户不便或窃取主要信息程序，据、造成用户不便或窃取主要信息程序，称为称为“特洛伊木马特洛伊木马”或或“木马木马”病毒。病毒。木马病毒有以下基本特征：木马病毒有以下基本特征：（1）隐蔽性）隐蔽性（2）自动运行性）自动运行性（3）坑骗性）坑骗性（4）具备自动恢复功效）具备自动恢复功效（5）能自动打开尤其端口）能自动打开尤其端口（6）功效特殊性）功效特殊性三、网络病毒实例三、网络病毒实例网络病毒与防范培训课件第9页木马病毒举例（木马病毒举例（“落雪落雪”）三、网络病毒实例三、网络病毒实例“落雪”病毒在系统文件夹中添加文件它由它由VB语言编写，加是语言编写，加是nSPack3.1壳，该木壳，该木马文件图标普通是红色，很像网络游戏登陆器。马文件图标普通是红色，很像网络游戏登陆器。它能够盗取包含魔兽世界、传奇世界、征途、它能够盗取包含魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内多款网络游戏帐号和梦幻西游、边锋游戏在内多款网络游戏帐号和密码，对网络游戏玩家游戏装备组成了极大威密码，对网络游戏玩家游戏装备组成了极大威胁。它能够把木马克星和卡巴斯基自动禁用，胁。它能够把木马克星和卡巴斯基自动禁用，卡巴斯基还能够手工启用，木马克星手工已无卡巴斯基还能够手工启用，木马克星手工已无法启用。即便是用户中毒之后将法启用。即便是用户中毒之后将C盘病毒杀洁净盘病毒杀洁净了，一旦双击了，一旦双击D盘还会重新感染落雪木马。盘还会重新感染落雪木马。网络病毒与防范培训课件第10页3 3蠕虫病毒蠕虫病毒蠕虫（蠕虫（wormworm）病毒不论从传输速度、传输范围还）病毒不论从传输速度、传输范围还是从破坏程度上来讲，都是以往传统病毒所无法比拟，是从破坏程度上来讲，都是以往传统病毒所无法比拟，能够说是近年来最为猖獗、影响最广泛一类计算机病能够说是近年来最为猖獗、影响最广泛一类计算机病毒，其传输主要表达在以下两方面：毒，其传输主要表达在以下两方面：（1 1）利用微软系统漏洞攻击计算机网络。）利用微软系统漏洞攻击计算机网络。“红色代码红色代码”、“Nimda”“Nimda”、“Sql“Sql蠕虫王蠕虫王”等病毒都是属于这一等病毒都是属于这一类病毒。类病毒。（2 2）利用）利用EmailEmail邮件快速传输。如邮件快速传输。如“爱虫病毒爱虫病毒”和和“求职信病毒求职信病毒”。“蠕虫蠕虫”病毒由两部分组成：一个主程序和另病毒由两部分组成：一个主程序和另一个是引导程序。一个是引导程序。主程序主要功效是搜索和扫描，这主程序主要功效是搜索和扫描，这个程序能够读取系统公共配置文件，取个程序能够读取系统公共配置文件，取得与本机联网客户端信息，检测到网络得与本机联网客户端信息，检测到网络中哪台机器没有被占用，从而经过系统中哪台机器没有被占用，从而经过系统漏洞，将引导程序建立到远程计算机上。漏洞，将引导程序建立到远程计算机上。引导程序实际上是蠕虫病毒主程序引导程序实际上是蠕虫病毒主程序（或一个程序段）本身一个副本，而主（或一个程序段）本身一个副本，而主程序和引导程序都有自动重新定位能力。程序和引导程序都有自动重新定位能力。三、网络病毒实例三、网络病毒实例网络病毒与防范培训课件第11页蠕虫病毒举例（蠕虫病毒举例（“魔鬼波魔鬼波”蠕虫）蠕虫）三、网络病毒实例三、网络病毒实例魔鬼波病毒发作时现象“魔鬼波魔鬼波”（Backdoor/Mocbot.b）蠕虫利用微）蠕虫利用微软软MS06-040漏洞，经过漏洞，经过TCP端口端口445进行传输。进行传输。其传输过程能够在用户不知情情况下主动进行，其传输过程能够在用户不知情情况下主动进行，可能造成可能造成services.exe瓦解等现象。还可经过瓦解等现象。还可经过AOL等即时通讯工具自动发送包含恶意链接消等即时通讯工具自动发送包含恶意链接消息。运行成功后，病毒会连接息。运行成功后，病毒会连接IRC服务器接收服务器接收黑客命令。黑客命令。经过黑客命令，经过黑客命令，“魔鬼波魔鬼波”蠕虫能够蠕虫能够运行下载任意程序，进行拒绝服务攻击运行下载任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。等活动，使得用户计算机完全被黑客控制。网络病毒与防范培训课件第12页4 4网页脚本病毒网页脚本病毒脚本病毒是指利用脚本病毒是指利用.asp.asp、.htm.htm、.html.html、.vbs.vbs、.jsp.jsp类型文件进行传输，基于类型文件进行传输，基于VB VB ScriptScript和和Java ScriptJava Script脚本语言并由脚本语言并由Widows Widows Scripting HostScripting Host解释执行一类病毒。解释执行一类病毒。脚本病毒含有以下特点：脚本病毒含有以下特点：（1 1）隐藏性强。）隐藏性强。（2 2）传输性广。）传输性广。（3 3）病毒变种多。）病毒变种多。能够采取下面步骤来防止该类病毒入侵：能够采取下面步骤来防止该类病毒入侵：（1 1）用）用regsvr32 scrrun.dll/uregsvr32 scrrun.dll/u命令禁止文件系统对象命令禁止文件系统对象（2 2）卸载）卸载Windows Scripting HostWindows Scripting Host项。项。（3 3）删除）删除VBSVBS、VBEVBE、JSJS、JSEJSE文件后缀名与应用程序链接。文件后缀名与应用程序链接。（4 4）更改或者删除）更改或者删除WindowsWindows目录中，目录中，WScript.exeWScript.exe（5 5）将将“Internet“Internet 选项选项”中全部中全部“ActiveX“ActiveX控件及插件控件及插件”设为禁用。设为禁用。（6 6）将安全级别设置最少为）将安全级别设置最少为“中等中等”。（7 7）禁止）禁止IEIE自动收发邮件功效。自动收发邮件功效。（8 8）安装杀毒软件，在安全模式用新版杀毒软件全方面查）安装杀毒软件，在安全模式用新版杀毒软件全方面查杀，并及时更新杀毒软件杀，并及时更新杀毒软件三、网络病毒实例三、网络病毒实例网络病毒与防范培训课件第13页4 4网页脚本病毒网页脚本病毒三、网络病毒实例三、网络病毒实例网页脚本病毒对IE属性修改网络病毒与防范培训课件第14页5 5即时通讯病毒即时通讯病毒即时通讯病毒含有以下几个特点：即时通讯病毒含有以下几个特点：（1 1）更强隐蔽性。）更强隐蔽性。（2 2）攻击愈加便利。）攻击愈加便利。（3 3）更加快传输速度。）更加快传输速度。当前，攻击即时通讯软件病毒主要分三类：当前，攻击即时通讯软件病毒主要分三类：第一类是第一类是只以只以QQ、MSN等等即时通讯即时通讯软件为传软件为传播渠道播渠道病毒病毒第二类为第二类为专门针对专门针对即时通讯即时通讯软件本身软件本身窃取用窃取用户帐号、户帐号、密码密码病毒病毒第三类是第三类是不停给用不停给用户发消息户发消息骚扰型骚扰型病毒病毒三、网络病毒实例三、网络病毒实例网络病毒与防范培训课件第15页即时通信病毒举例（即时通信病毒举例（MSNMSN性感鸡）性感鸡）三、网络病毒实例三、网络病毒实例“MSN性感鸡”病毒在系统盘根目录下释放小鸡图片网络病毒与防范培训课件第16页针对前面讲内容，我们该怎么做好网络病毒防范工作呢？思考网络病毒与防范培训课件第17页第一节第一节网络病毒及特征网络病毒及特征第七章第七章网络病毒与防范网络病毒与防范第二节第二节网络反病毒标准及策略网络反病毒标准及策略第三节第三节网络反病毒实施网络反病毒实施网络病毒与防范培训课件第18页怎样有效地在网络环境下防治病毒是一个比怎样有效地在网络环境下防治病毒是一个比较新课题，各种方案、技术很多，我们认为最主较新课题，各种方案、技术很多，我们认为最主要是应该先研究网络防治病毒基本标准和策略，要是应该先研究网络防治病毒基本标准和策略，在这方面业内人士已基本达成共识。这些基本标在这方面业内人士已基本达成共识。这些基本标准策略归纳起来能够分为以下几条：准策略归纳起来能够分为以下几条：第二节第二节网络反病毒标准与策略网络反病毒标准与策略一、防重于治一、防重于治防重在管防重在管二、综合防护二、综合防护三、最正确均衡标准三、最正确均衡标准四、管理与技术并重四、管理与技术并重五、正确选择网络反毒产品五、正确选择网络反毒产品六、多层次防御六、多层次防御七、注意病毒检测可靠性七、注意病毒检测可靠性网络病毒与防范培训课件第19页一、防重于治一、防重于治防重在防重在管管普通来讲，计算机病毒防治在于完善操作普通来讲，计算机病毒防治在于完善操作系统和应用软件安全机制。在网络环境下，可系统和应用软件安全机制。在网络环境下，可对应采取新防范伎俩，网络防病毒最大优势在对应采取新防范伎俩，网络防病毒最大优势在于网络管理功效。于网络管理功效。所谓网络管理就是管理全部网络设备中全所谓网络管理就是管理全部网络设备中全部病毒能够进来部位，能够从两方面着手处理：部病毒能够进来部位，能够从两方面着手处理：一是严格管理制度，对网络系统开启盘、一是严格管理制度，对网络系统开启盘、用户数据盘等从严管理与检测，禁止在网络工用户数据盘等从严管理与检测，禁止在网络工作站上运行与本部门业务无关软件；作站上运行与本部门业务无关软件；二是充分利用网络系统安全管理方面功效。二是充分利用网络系统安全管理方面功效。第二节网络反病毒标准与策略网络本身提供了网络本身提供了4 4级安全保护办法：级安全保护办法：注册安全，网络管理员经过用户名、入网口注册安全，网络管理员经过用户名、入网口令来确保注册安全；令来确保注册安全；权限安全，经过指定授权和屏蔽继承权限来权限安全，经过指定授权和屏蔽继承权限来实现；实现；属性安全，由系统对各目录和文件读、写等属性安全，由系统对各目录和文件读、写等性质进行要求；性质进行要求；可经过封锁控制台键盘等来保护文件服务器可经过封锁控制台键盘等来保护文件服务器安全。安全。网络病毒与防范培训课件第20页二、综合防护二、综合防护网络系统安全防护能力，取决于系统中网络系统安全防护能力，取决于系统中安全防护能力最微弱步骤，在某一特定状态安全防护能力最微弱步骤，在某一特定状态下整个网络系统对病毒防御能力只能取决于下整个网络系统对病毒防御能力只能取决于网络中病毒防护能力最微弱一个节点或层次网络中病毒防护能力最微弱一个节点或层次。网络安全体系应从防病毒、防黑客、灾网络安全体系应从防病毒、防黑客、灾难恢复等几方面综合考虑，形成一整套安全难恢复等几方面综合考虑，形成一整套安全机制，这才是最有效网络安全伎俩。防病毒机制，这才是最有效网络安全伎俩。防病毒软件、防火墙产品经过设置、调整参数，能软件、防火墙产品经过设置、调整参数，能够相互通信，协同发挥作用。这也是区分单够相互通信，协同发挥作用。这也是区分单机防病毒技术与网络防病毒技术主要标志。机防病毒技术与网络防病毒技术主要标志。第二节网络反病毒标准与策略网络病毒与防范培训课件第21页三、最正确均衡标准三、最正确均衡标准要采取网络防病毒办法，必定会造要采取网络防病毒办法，必定会造成网络系统资源开销增加，如增加系统成网络系统资源开销增加，如增加系统负荷，占用负荷，占用CPUCPU时间、占用网络服务器内时间、占用网络服务器内存等。针对这一问题，有业内人士对网存等。针对这一问题，有业内人士对网络防病毒技术提出了络防病毒技术提出了“最小占用标准最小占用标准”，以确保网络防病毒技术在发挥其正常，以确保网络防病毒技术在发挥其正常功效前提下，占用最小网络资源。功效前提下，占用最小网络资源。第二节网络反病毒标准与策略网络病毒与防范培训课件第22页四、管理与技术并重四、管理与技术并重处理网络病毒问题应从加强管理和采取处理网络病毒问题应从加强管理和采取技术办法两方面着手，在管理方面要形成制技术办法两方面着手，在管理方面要形成制度，加强网管人员防病毒观念，在内部网与度，加强网管人员防病毒观念，在内部网与外界交换数据等业务活动中进行有效控制和外界交换数据等业务活动中进行有效控制和管理，同时抵制盗版软件或来路不明软件使管理，同时抵制盗版软件或来路不明软件使用。同时辅以技术办法，选择和安装网络防用。同时辅以技术办法，选择和安装网络防病毒产品，这是以围绕商品化网络防杀病毒病毒产品，这是以围绕商品化网络防杀病毒软件及其供给商向用户提供技术支持、产品软件及其供给商向用户提供技术支持、产品使用、售后服务、紧急情况下突发响应等专使用、售后服务、紧急情况下突发响应等专业化反病毒工作展开。业化反病毒工作展开。第二节网络反病毒标准与策略网络病毒与防范培训课件第23页五、正确选择网络反毒产品五、正确选择网络反毒产品因为网络环境操作系统种类繁多，当前因为网络环境操作系统种类繁多，当前世界上各种网络反病毒产品中还没有一个能世界上各种网络反病毒产品中还没有一个能以同一主程序跨越各种网络系统平台，所以以同一主程序跨越各种网络系统平台，所以用户要依据自己网络平台有针对性地选择网用户要依据自己网络平台有针对性地选择网络反病毒产品。络反病毒产品。第二节网络反病毒标准与策略网络病毒与防范培训课件第24页六、多层次防御六、多层次防御多层次防御病毒处理方案应该既含有稳多层次防御病毒处理方案应该既含有稳健病毒检测功效，又有客户机服务器数据健病毒检测功效，又有客户机服务器数据保护功效。在个人计算机硬件和软件、保护功效。在个人计算机硬件和软件、LANLAN服务器、服务器网关、服务器、服务器网关、Internet Internet 及及IntranetIntranet站点上，层层设防，对每种病毒都站点上，层层设防，对每种病毒都实施隔离、过滤。在后台进行实时监控，发实施隔离、过滤。在后台进行实时监控，发觉病毒随时去除，实施覆盖全网多层次防护。觉病毒随时去除，实施覆盖全网多层次防护。第二节网络反病毒标准与策略新网络防毒策略是把病毒检测、多层数新网络防毒策略是把病毒检测、多层数据保护和集中式管理功效集成起来，形成多据保护和集中式管理功效集成起来，形成多层次防御体系，它易于使用和管理，也不会层次防御体系，它易于使用和管理，也不会对管理员带来额外负担，极大地降低了病毒对管理员带来额外负担，极大地降低了病毒威胁，同时也使病毒防治任务变得更经济、威胁，同时也使病毒防治任务变得更经济、更简单、更可靠。更简单、更可靠。网络病毒与防范培训课件第25页多层次防御病毒软件主要采取了三层保护功效：多层次防御病毒软件主要采取了三层保护功效：1后台实时扫描后台实时扫描2完整性保护完整性保护3完整性检验完整性检验病毒扫驱动病毒扫驱动器能对未知器能对未知病毒包含变病毒包含变形病毒和加形病毒和加密病毒进行密病毒进行连续检测连续检测该办法用于该办法用于阻止病毒从阻止病毒从一个受感染一个受感染工作站传工作站传染到网络服染到网络服务器。务器。完整性检验完整性检验使系统无需使系统无需冗余扫描冗余扫描过程，能提过程，能提高检验实高检验实时性时性六、多层次防御六、多层次防御第二节网络反病毒标准与策略网络病毒与防范培训课件第26页七、注意病毒检测可靠性七、注意病毒检测可靠性要定时对网络上共享文件卷进行病毒检要定时对网络上共享文件卷进行病毒检测。但要注意是，检测结果没有发觉病毒并测。但要注意是，检测结果没有发觉病毒并不等于就真没有病毒。不等于就真没有病毒。最好使用两种以上反毒软件对网络系统最好使用两种以上反毒软件对网络系统进行检测，这么能够有效地增加检验结果可进行检测，这么能够有效地增加检验结果可靠性。靠性。第二节网络反病毒标准与策略网络病毒与防范培训课件第27页第一节第一节网络病毒及特征网络病毒及特征第七章第七章网络病毒与防范网络病毒与防范第二节第二节网络反病毒标准及策略网络反病毒标准及策略第三节第三节网络反病毒实施网络反病毒实施网络病毒与防范培训课件第28页一、病毒诊疗技术原理一、病毒诊疗技术原理二、网络反病毒基本技术办法二、网络反病毒基本技术办法三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍四、主流反病毒产品特点介绍四、主流反病毒产品特点介绍第三节第三节网络反病毒实施网络反病毒实施网络病毒与防范培训课件第29页一、病毒诊疗技术原理一、病毒诊疗技术原理1 1、病毒比较法诊疗原理、病毒比较法诊疗原理比较法比较法是用原始或正常与被检测进行比是用原始或正常与被检测进行比较，包含长度比较法、内容比较法、内存较，包含长度比较法、内容比较法、内存比较法、中止比较法等。比较时能够对打比较法、中止比较法等。比较时能够对打印代码清单进行比较，也能够用程序来进印代码清单进行比较，也能够用程序来进行比较。行比较。网络病毒与防范培训课件第30页一、病毒诊疗技术原理一、病毒诊疗技术原理2 2、病毒校验和法诊疗原理、病毒校验和法诊疗原理计算正常文件内容校验和，并将该校验计算正常文件内容校验和，并将该校验和写入文件中或写入其文件中保留。在文件和写入文件中或写入其文件中保留。在文件使用过程中，定时地或每次使用文件前检验使用过程中，定时地或每次使用文件前检验文件当前校验和与原来保留校验和是否一致文件当前校验和与原来保留校验和是否一致能够发觉文件是否被感染，这种方法叫能够发觉文件是否被感染，这种方法叫校验校验和法和法。网络病毒与防范培训课件第31页一、病毒诊疗技术原理一、病毒诊疗技术原理3 3、病毒扫描法诊疗原理、病毒扫描法诊疗原理扫描法扫描法是用每一个病毒体还有特定字符是用每一个病毒体还有特定字符串对被检测对象进行扫描。假如在被检测对串对被检测对象进行扫描。假如在被检测对象内部发觉了某一个特定字符串，就表明发象内部发觉了某一个特定字符串，就表明发觉了该字符串所代表病毒。觉了该字符串所代表病毒。扫描法包含扫描法包含特征代码扫描法特征代码扫描法和和特征字扫特征字扫描法。描法。扫描法扫描法优点优点是能够识别病毒名称、误报是能够识别病毒名称、误报警率低、依据检测结果能够做杀毒处理。警率低、依据检测结果能够做杀毒处理。网络病毒与防范培训课件第32页一、病毒诊疗技术原理一、病毒诊疗技术原理4 4、病毒行为检测法诊疗原理、病毒行为检测法诊疗原理利用病毒特有行为特征监测病毒方法称利用病毒特有行为特征监测病毒方法称做行为做行为监测法监测法。行为监测法行为监测法优点优点在于不但能够发觉已知在于不但能够发觉已知病毒，而且能够相当准确地预报多数未知病病毒，而且能够相当准确地预报多数未知病毒。但行为监测法也有毒。但行为监测法也有短处短处，即可能误报警，即可能误报警和不能识别病毒名称，而且实现起来有一定和不能识别病毒名称，而且实现起来有一定难度。难度。监测病毒行为特征可列举以下：监测病毒行为特征可列举以下：（1 1）占用）占用INT13HINT13H：全部引导型病毒都攻击：全部引导型病毒都攻击BOOTBOOT扇区或主引导扇区。扇区或主引导扇区。（2 2）修改）修改DOSDOS系统数据区内存总量：病毒常驻系统数据区内存总量：病毒常驻内存后，为了预防内存后，为了预防DOSDOS系统将其覆盖，必须修系统将其覆盖，必须修改内存总量。改内存总量。（3 3）对）对COMCOM和和EXEEXE文件做写入操作：病毒要进文件做写入操作：病毒要进行感染，必须写行感染，必须写COMCOM和和EXEEXE文件。文件。（4 4）病毒程序与宿主程序切换染毒程序运行）病毒程序与宿主程序切换染毒程序运行时，先运行病毒，而后执行宿主程序。在二者时，先运行病毒，而后执行宿主程序。在二者切换时，有许多特征行为。切换时，有许多特征行为。网络病毒与防范培训课件第33页一、病毒诊疗技术原理一、病毒诊疗技术原理5 5、病毒行为感染试验法诊疗原理、病毒行为感染试验法诊疗原理感染试验感染试验是一个简单实用病毒检测方法，是一个简单实用病毒检测方法，采取感染试验法能够检测出病毒检测工具不采取感染试验法能够检测出病毒检测工具不认识新病毒，从而摆脱对病毒检测工具依赖，认识新病毒，从而摆脱对病毒检测工具依赖，自主地检测可疑新病毒。这种方法原理就是自主地检测可疑新病毒。这种方法原理就是利用了病毒最主要特征利用了病毒最主要特征感染特征。感染特征。网络病毒与防范培训课件第34页一、病毒诊疗技术原理一、病毒诊疗技术原理6、病毒行为软件模拟法诊疗原理、病毒行为软件模拟法诊疗原理软件模拟法软件模拟法是一个软件分析器，用软件是一个软件分析器，用软件方法来模拟和分析程序运行。新型检测工具方法来模拟和分析程序运行。新型检测工具纳入软件模拟法，该类工具开始运行时使用纳入软件模拟法，该类工具开始运行时使用特征代码法检测病毒，假如发觉有隐性病毒特征代码法检测病毒，假如发觉有隐性病毒或多态性病毒嫌疑时，开启软件模拟模块监或多态性病毒嫌疑时，开启软件模拟模块监视病毒运行，代病毒本身密码译码后，再利视病毒运行，代病毒本身密码译码后，再利用特征代码法来识别病毒种类。用特征代码法来识别病毒种类。网络病毒与防范培训课件第35页一、病毒诊疗技术原理一、病毒诊疗技术原理7 7、病毒分析法诊疗原理、病毒分析法诊疗原理通常使用分析法人不是普通用户，而是通常使用分析法人不是普通用户，而是反病毒技术人员。使用目标在于：反病毒技术人员。使用目标在于：（1 1）确认被观察磁盘引导区和程序中是否含）确认被观察磁盘引导区和程序中是否含有病毒。有病毒。（2 2）确认病毒类型和种类，判定其是否为一）确认病毒类型和种类，判定其是否为一个新病毒。个新病毒。（3 3）搞清楚病毒体大致结构，提取特征识别）搞清楚病毒体大致结构，提取特征识别用字符串或特征字，用于增添到病毒代码库用字符串或特征字，用于增添到病毒代码库供病毒扫描和识别程序使用。供病毒扫描和识别程序使用。（4 4）详细分析病毒代码，为制订对应反病毒）详细分析病毒代码，为制订对应反病毒办法制订方案。办法制订方案。网络病毒与防范培训课件第36页二、网络反病毒基本技术办法二、网络反病毒基本技术办法1 1针对网络硬件办法针对网络硬件办法网络反病毒在硬件方面采取办法主要是：网络反病毒在硬件方面采取办法主要是：（1 1）基于工作站）基于工作站DOSDOS系统防范病毒。工作系统防范病毒。工作站防病毒方法，一是使用病毒防杀软件；二站防病毒方法，一是使用病毒防杀软件；二是在网络工作站上安装防毒芯片，随时保护是在网络工作站上安装防毒芯片，随时保护工作站及其通往服务器路径。工作站及其通往服务器路径。（2 2）服务器）服务器NLMNLM防病毒技术。当前基于服防病毒技术。当前基于服务器反病毒技术都以可装载模块技术务器反病毒技术都以可装载模块技术NLMNLM（netware loadable modu1enetware loadable modu1e）进行程序）进行程序设计，提供实时扫描病毒能力。设计，提供实时扫描病毒能力。网络病毒与防范培训课件第37页二、网络反病毒基本技术办法二、网络反病毒基本技术办法2 2安装网络反毒软件安装网络反毒软件（1 1）在网关和防火墙安装反毒软件）在网关和防火墙安装反毒软件（2 2）在工作站上安装反毒软件）在工作站上安装反毒软件（3 3）在电子邮件服务器安装反毒软件）在电子邮件服务器安装反毒软件（4 4）在全部文件服务器安装反毒软件）在全部文件服务器安装反毒软件网络病毒与防范培训课件第38页二、网络反病毒基本技术办法二、网络反病毒基本技术办法3 3去除网络中病毒去除网络中病毒一旦发觉或怀疑网络中存在病毒，应及一旦发觉或怀疑网络中存在病毒，应及早检测、去除。主要步骤是：早检测、去除。主要步骤是：（1 1）马上在网上用命令通知包含系统管理员）马上在网上用命令通知包含系统管理员在内全部用户退网，也能够在控制台删除当在内全部用户退网，也能够在控制台删除当前全部注册用户，然后关闭文件服务器。前全部注册用户，然后关闭文件服务器。（2 2）用系统盘开启系统管理员工作站，检验）用系统盘开启系统管理员工作站，检验有没有病毒感染，如有应先行去除。有没有病毒感染，如有应先行去除。（3 3）用系统盘开启文件服务器，在系统管理）用系统盘开启文件服务器，在系统管理员登录后，使用系统命令禁止其它用户登录员登录后，使用系统命令禁止其它用户登录上网。上网。（4 4）为预防在杀毒过程中出现意外，先将）为预防在杀毒过程中出现意外，先将文件服务器硬盘中主要文件、数据备份到洁文件服务器硬盘中主要文件、数据备份到洁净软盘上，而且注意此时千万不要执行硬盘净软盘上，而且注意此时千万不要执行硬盘中程序，也不要进行向硬盘中拷贝文件等操中程序，也不要进行向硬盘中拷贝文件等操作，以免破坏可能已被病毒弄乱硬盘文件、作，以免破坏可能已被病毒弄乱硬盘文件、数据结构。数据结构。（5 5）用网络杀毒软件扫描各种服务器上全）用网络杀毒软件扫描各种服务器上全部卷文件，恢复或删除被病毒感染文件，重部卷文件，恢复或删除被病毒感染文件，重新安装被删文件。新安装被删文件。（6 6）为预防病毒漏网，再使用杀毒软件对全）为预防病毒漏网，再使用杀毒软件对全部可能染上病毒软盘和备份文件软盘检测一部可能染上病毒软盘和备份文件软盘检测一遍。遍。（7 7）通知各联网用户对全部有盘工作站进行）通知各联网用户对全部有盘工作站进行杀毒处理。杀毒处理。（8 8）只有当确认病毒己被彻底去除后，方可）只有当确认病毒己被彻底去除后，方可重新开启网络服务器。重新开启网络服务器。（9 9）最好再检验一下病毒起源或病毒是从何）最好再检验一下病毒起源或病毒是从何处进入网络，以堵住漏洞。处进入网络，以堵住漏洞。网络病毒与防范培训课件第39页二、网络反病毒基本技术办法二、网络反病毒基本技术办法4 4网络反毒技术新特征网络反毒技术新特征伴随网络技术发展，反毒技术也在不停伴随网络技术发展，反毒技术也在不停发展，其主要特征是：发展，其主要特征是：（1 1）配合紧密，层次更深）配合紧密，层次更深（2 2）实时化反毒）实时化反毒（3 3）检测压缩文件中病毒）检测压缩文件中病毒网络病毒与防范培训课件第40页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系2 2病毒防火墙病毒防火墙3 3NAFNAF多层病毒防御体系多层病毒防御体系网络病毒与防范培训课件第41页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系（1 1）病毒在局域网中传输路径）病毒在局域网中传输路径最常见一个感染方法是病毒传染工作站最常见一个感染方法是病毒传染工作站后进而感染网络服务器。后进而感染网络服务器。网络病毒与防范培训课件第42页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系（2 2）局域网反毒体系组成）局域网反毒体系组成依据病毒在局域网中活动特点，局域网依据病毒在局域网中活动特点，局域网反毒体系可由两个模块组成，即工作于网络反毒体系可由两个模块组成，即工作于网络服务器上服务器上网络反毒模块网络反毒模块和运行在工作站和运行在工作站单机单机反毒模块。反毒模块。主要作用是负责整主要作用是负责整个网络病毒防御个网络病毒防御将固化有防杀病毒软件卡或芯将固化有防杀病毒软件卡或芯片安装在工作站上，用来间断地保片安装在工作站上，用来间断地保护工作站及其通往服务器路径，拦护工作站及其通往服务器路径，拦截病毒对网络入侵。截病毒对网络入侵。网络病毒与防范培训课件第43页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍1 1局域网反毒技术体系局域网反毒技术体系（3 3）局域网预防病毒办法）局域网预防病毒办法加强网络系统管理加强网络系统管理尽可能降低有盘工作站尽可能降低有盘工作站网络服务器必须使用专门机器网络服务器必须使用专门机器使用防病毒卡或防病毒软件使用防病毒卡或防病毒软件网络病毒与防范培训课件第44页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍2 2病毒防火墙病毒防火墙（1 1）病毒防火墙基本功效）病毒防火墙基本功效病毒防火墙基本功效是实时病毒防火墙基本功效是实时“过滤过滤”（screenscreen）。这种技术一是保护计算机系）。这种技术一是保护计算机系统不受任何来自当地或远程病毒危害；二是统不受任何来自当地或远程病毒危害；二是向计算机系统提供双向保护，预防当地系统向计算机系统提供双向保护，预防当地系统内病毒向网络扩散。内病毒向网络扩散。网络病毒与防范培训课件第45页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍2 2病毒防火墙病毒防火墙（2 2）病毒防火墙关键技术）病毒防火墙关键技术操作系统底层接口技术操作系统底层接口技术网络底层接口技术网络底层接口技术应用程序底层接口技术应用程序底层接口技术充分利用操作系统多任务、多线程机充分利用操作系统多任务、多线程机制技术制技术算法优化技术算法优化技术网络病毒与防范培训课件第46页三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍 3 3NAFNAF多层病毒防御体系多层病毒防御体系多层病毒防御体系多层病毒防御体系，是指在每个台式，是指在每个台式机上要安装针对台式机反病毒软件，在服机上要安装针对台式机反病毒软件，在服务器上安装专用于服务器反病毒软件，在务器上安装专用于服务器反病毒软件，在InternetInternet网关上要安装基于网关反病毒软网关上要安装基于网关反病毒软件。同时每个用户都要确保自己使用件。同时每个用户都要确保自己使用PCPC机机不受病毒感染，从而确保整个内部网安全。不受病毒感染，从而确保整个内部网安全。网络病毒与防范培训课件第47页四、主流反病毒产品介绍四、主流反病毒产品介绍 1 1瑞星杀毒软件瑞星杀毒软件网络病毒与防范培训课件第48页四、主流反病毒产品介绍四、主流反病毒产品介绍瑞星杀毒软件功效特点瑞星杀毒软件功效特点（1 1）第七代极速杀毒引擎，查杀速度提升）第七代极速杀毒引擎，查杀速度提升3030。（2 2）首创）首创“木马墙木马墙”，处理帐号、密码丢失问题。，处理帐号、密码丢失问题。（3 3）在线教授门诊，实时处理用户安全问题。）在线教授门诊，实时处理用户安全问题。（4 4）卡卡上网安全助手，全方面阻击流氓软件。）卡卡上网安全助手，全方面阻击流氓软件。（5 5）五大国家创造专利，以技术领跑业界。）五大国家创造专利，以技术领跑业界。网络病毒与防范培训课件第49页四、主流反病毒产品介绍四、主流反病毒产品介绍2 2KVKV杀毒软件杀毒软件网络病毒与防范培训课件第50页四、主流反病毒产品介绍四、主流反病毒产品介绍KVKV杀毒软件功效特点杀毒软件功效特点（1 1）采取）采取6464位技术编程，运行速度更加快、杀毒效位技术编程，运行速度更加快、杀毒效率更高。率更高。（2 2）独创）独创BOOTSCANBOOTSCAN杀毒技术，系统开启前杀毒。杀毒技术，系统开启前杀毒。（3 3）自动恢复病毒破坏注册表。）自动恢复病毒破坏注册表。（4 4）接入移动设备自动查毒。）接入移动设备自动查毒。（5 5）扫描自动变速。）扫描自动变速。（6 6）父母控制，不良网站自动过滤。）父母控制，不良网站自动过滤。（7 7）多功效系统监测器。）多功效系统监测器。（8 8）系统漏洞检验功效。）系统漏洞检验功效。（9 9）新增只能垃圾邮件识别功效。）新增只能垃圾邮件识别功效。（1010）彻底防范木马监听键盘消息。）彻底防范木马监听键盘消息。网络病毒与防范培训课件第51页四、主流反病毒产品介绍四、主流反病毒产品介绍 3 3金山毒霸杀毒套装功效特点金山毒霸杀毒套装功效特点（1 1）主动实时升级。）主动实时升级。（2 2）防杀间谍。）防杀间谍。（3 3）隐私保护。）隐私保护。网络病毒与防范培训课件第52页四、主流反病毒产品介绍四、主流反病毒产品介绍 4 4卡巴斯基反病毒软件卡巴斯基反病毒软件网络病毒与防范培训课件第53页四、主流反病毒产品介绍四、主流反病毒产品介绍卡巴斯基反病毒软件功效特点卡巴斯基反病毒软件功效特点（1 1）全球最高病毒检出率。）全球最高病毒检出率。（2 2）全方位网络病毒防护。）全方位网络病毒防护。（3 3）拥有全部最尖端反病毒技术。）拥有全部最尖端反病毒技术。（4 4）对新病毒快速响应。）对新病毒快速响应。（5 5）每日自动更新病毒定义。）每日自动更新病毒定义。（6 6）全自动病毒防护策略。）全自动病毒防护策略。（7 7）高质量恢复染毒文件。）高质量恢复染毒文件。（8 8）取得各项权威认证。）取得各项权威认证。（9 9）突出未知病毒防范能力。）突出未知病毒防范能力。网络

展开阅读全文