计算机病毒技术知识及蠕虫病毒的查杀培训课件.ppt

1、2024/11/5 周二 徐汇区教育局培训教材 1 上海三零卫士信息安全有限公司30wish Information Security计算机病毒技术知识计算机病毒技术知识及蠕虫病毒的查杀及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 2 上海三零卫士信息安全有限公司30wish Information Security今日主题今日主题o计算机病毒的发展计算机病毒的发展o病毒分类病毒分类o流行病毒的手工查杀方法流行病毒的手工查杀方法o检查病毒的常用工具检查病毒的常用工具o什么才是最佳病毒解决方案什么才是最佳病毒解决方案2计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二

2、徐汇区教育局培训教材 3 上海三零卫士信息安全有限公司30wish Information Security病毒的概念病毒的概念o“计计算算机机病病毒毒”最最早早是是由由美美国国计计算算机机病病毒毒研研究究专专家家F.Cohen博士提出的。博士提出的。o计计算算机机病病毒毒是是一一个个程程序序，一一段段可可执执行行码码。就就像像生生物物病病毒毒一一样样，计计算算机机病病毒毒有有独独特特的的复复制制能能力力。计计算算机机病病毒毒可可以以很很快快地地蔓蔓延延，又又常常常常难难以以根根除除。它它们们能能把把自自身身附附着着在在各各种种类类型型的的文文件件上上。当当文文件件被被复复制制或或从从一一个个

3、用用户户传传送送到到另另一个用户时，它们就随同文件一起蔓延开来。一个用户时，它们就随同文件一起蔓延开来。o所以所以,计算机病毒就是能够通过某种途径潜伏在计算机计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里存储介质（或程序）里,当达到某种条件时即被激活的当达到某种条件时即被激活的具有对计算机资源进行具有对计算机资源进行破坏破坏作用的一组程序或指令集合。作用的一组程序或指令集合。3计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 4 上海三零卫士信息安全有限公司30wish Information Security计算机病毒发展简史计算机病毒发展简史

4、 o电脑病毒的概念其实源起相当早，在第一部商用电脑电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯出现之前好几年时，电脑的先驱者冯诺伊曼（诺伊曼（John Von Neumann）在他的一篇论文）在他的一篇论文复杂自动装置的复杂自动装置的理论及组识的进行理论及组识的进行里，已经勾勒出病毒程序的蓝图。里，已经勾勒出病毒程序的蓝图。4计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 5 上海三零卫士信息安全有限公司30wish Information Security历史的预见历史的预见o1977年夏天，托马斯年夏天，托马斯捷捷瑞安（瑞

5、安（Thomas.J.Ryan）的）的科幻小说科幻小说P-1的春天（的春天（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。台计算机，造成了一场灾难。5计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 6 上海三零卫士信息安全有限公司30wish Information Security第一个病毒的产生第一个病毒的产生o1983 年年 11 月月 3 日

6、，弗雷德日，弗雷德科恩科恩(Fred Cohen)博博士研制出一种在运行过程中可以复制自身的破坏性程士研制出一种在运行过程中可以复制自身的破坏性程序序(该程序能够导致该程序能够导致UNIX系统死机系统死机），伦），伦艾德勒曼艾德勒曼(Len Adleman)将它命名为计算机病毒将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式，并在每周一次的计算机安全讨论会上正式提出。提出。6计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 7 上海三零卫士信息安全有限公司30wish Information Security“巴基斯

7、坦巴基斯坦”病毒病毒 1986 年初，在巴基斯坦的拉合尔年初，在巴基斯坦的拉合尔(Lahore)，巴锡，巴锡特特(Basit)和阿姆杰德和阿姆杰德(Amjad)两兄弟经营着一家两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了机及其兼容机的小商店。他们编写了Pakistan 病毒，即病毒，即Brain。在一年内流传到了世界各。在一年内流传到了世界各地。地。世界上世界上公认公认的第一个在个人电脑上广泛流行的病毒的第一个在个人电脑上广泛流行的病毒 通过软盘传播。通过软盘传播。7计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 8 上海三零卫士信息安全有

8、限公司30wish Information Security“蠕虫莫里斯蠕虫莫里斯”o1988年冬天，正在康乃尔大学攻读的莫里斯，把一个年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为被称为“蠕虫蠕虫”的电脑病毒送进了美国最大的电脑网络的电脑病毒送进了美国最大的电脑网络互联网。互联网。1988年年11月月2日下午日下午5点，互联网的管点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。海岸到西海岸，互联网用户陷入一片恐慌。8计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材

9、 9 上海三零卫士信息安全有限公司30wish Information SecurityCIHCIH CIH病毒，又名病毒，又名“切尔诺贝利切尔诺贝利”，是一种可怕的电脑，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写名字缩写“CIH”名的电脑病毒起初据称只是为了名的电脑病毒起初据称只是为了“想纪念一下想纪念一下1986的灾难的灾难”或或“使反病毒软件公司难堪使反病毒软件公司难堪”。9计算机病毒技术知识及蠕虫病毒的查杀2024/11/

10、5 周二 徐汇区教育局培训教材 10 上海三零卫士信息安全有限公司30wish Information SecurityCodeRedCodeRedo2001年年7月月19日日 lIIS服务的.ida漏洞（Indexing Service中的漏洞）l损失20亿美元 oCodeRed IIl损失12亿美元10计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 11 上海三零卫士信息安全有限公司30wish Information Security冲击波冲击波 年仅年仅18岁的高中生杰弗里岁的高中生杰弗里李李帕森因为涉嫌是帕森因为涉嫌是“冲击冲击波波”电脑病毒的制造者

11、于电脑病毒的制造者于2003年年8月月29日被捕。对此，日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里他的邻居们表示不敢相信。在他们的眼里，杰弗里李李帕森是一个电脑天才，而决不是什么黑客，更不帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。会去犯罪。11计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 12 上海三零卫士信息安全有限公司30wish Information Security计算机病毒的分类计算机病毒的分类o引导区病毒引导区病毒o文件型病毒文件型病毒o宏病毒宏病毒o脚本病毒脚本病毒o蠕虫病毒蠕虫病毒o木马程序木马程序12计算机病毒技

12、术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 13 上海三零卫士信息安全有限公司30wish Information Security一个引导病毒传染的实例一个引导病毒传染的实例o 假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检以后，小球病毒的引导模块就把全部病毒代码以后，小球病毒的引导模块就把全部病毒代码1024字节保护到字节保护到了内存的最高段，即了内存的最高段，即97C0：7C00处；然后修改处；然后修改INT 13H的中断的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操向量，使之指向病毒的

13、传染模块。以后，一旦读写软磁盘的操作通过作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权，的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：它就进行如下操作：o1）读入目标软磁盘的自举扇区（）读入目标软磁盘的自举扇区（BOOT扇区）。扇区）。o2）判断是否满足传染条件。判断是否满足传染条件。o3）如如果果满满足足传传染染条条件件（即即目目标标盘盘BOOT区区的的01FCH偏偏移移位位置置为为5713H标标志志），则则将将病病毒毒代代码码的的前前512字字节节写写入入BOOT引引导导程程序序，将将其其后后512字字节节写写入入该该簇簇，随随后后将将该该簇簇标标以以坏坏簇

14、簇标标志志，以以保保护护该该簇不被重写。簇不被重写。o4）跳转到原跳转到原INT 13H的入口执行正常的磁盘系统操作。的入口执行正常的磁盘系统操作。13计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 14 上海三零卫士信息安全有限公司30wish Information Security一个文件病毒传染的实例一个文件病毒传染的实例o 假假如如VVV.COM（或或.EXE）文文件件已已染染有有耶耶路路撒撒冷冷病病毒毒，那那么么运运行行该该文文件件后后，耶耶路路撒撒冷冷病病毒毒的的引引导导模模块块会会修修改改INT 21H的的中中断断向向量量，使使之之指指向向病病

15、毒毒传传染染模模块块，并并将将病病毒毒代代码码驻驻留留内内存存，此此后后退退回回操操作作系系统统。以以后后再再有有任任何何加加载载执执行行文文件件的的操操作作，病病毒毒的的传传染染模模块块将将通通过过INT 21H的调用率先获得控制权，并进行以下操作：的调用率先获得控制权，并进行以下操作：o1）读出该文件特定部分。）读出该文件特定部分。o2）判断是否传染。判断是否传染。o3）如如果果满满足足条条件件，则则用用某某种种方方式式将将病病毒毒代代码码与与该该可可执行文件链接，再将链接后的文件重新写入磁盘。执行文件链接，再将链接后的文件重新写入磁盘。o4）转回原）转回原INT 21H入口，对该执行文件

16、进行正常加载。入口，对该执行文件进行正常加载。14计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 15 上海三零卫士信息安全有限公司30wish Information Security一个脚本病毒传染的实例一个脚本病毒传染的实例o万花谷病毒万花谷病毒o该病毒是嵌在该病毒是嵌在 HTML 网页中的一段网页中的一段 Java 脚本程序，它最初出现脚本程序，它最初出现在在 http:/ 个人网站上，随后其他一个人网站上，随后其他一些个人主页也模仿或被感染了该病毒代码。些个人主页也模仿或被感染了该病毒代码。和普通脚本病毒有所不同的是，用和普通脚本病毒有所不同的是，用

17、“查看源文件查看源文件”的方法来查看的方法来查看感染感染“万花谷万花谷”病毒的网页代码时，只能看到一大段的杂乱字符。病毒的网页代码时，只能看到一大段的杂乱字符。为了具有隐蔽性，该病毒采用了为了具有隐蔽性，该病毒采用了 JavaScript 的的 escape()函数进函数进行了字符处理，把某些符号、汉字等变成乱码以达到迷惑人的目行了字符处理，把某些符号、汉字等变成乱码以达到迷惑人的目的。程序运行时再调用的。程序运行时再调用 unescape()解码到本地机器上运行。解码到本地机器上运行。o登陆某个网站后，机器莫名其妙地死机；重新启动后你会看到一登陆某个网站后，机器莫名其妙地死机；重新启动后你会

18、看到一个奇怪的提示：个奇怪的提示：“欢迎你来万花谷，你中了欢迎你来万花谷，你中了“万花谷病毒万花谷病毒”请与请与QQ：4040465联系联系”。进入。进入 Windows 后，你会发现后，你会发现 C:盘不能盘不能使用了，使用了，“开始开始”菜单上的菜单上的“运行运行”、“注销注销”和和“关机关机”项都项都不见了。打开不见了。打开 IE 浏览器你会发现窗口的标题也变成了浏览器你会发现窗口的标题也变成了“欢迎来到欢迎来到万花谷万花谷!请与请与OICQ:4040465联系联系!”。这时，你已经感染了一个俗。这时，你已经感染了一个俗称称“万花谷万花谷”的的 JS.On888 脚本病毒！脚本病毒！15

19、计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 16 上海三零卫士信息安全有限公司30wish Information Security万花谷脚本病毒原理万花谷脚本病毒原理o该病毒的感染主要是通过修改注册表来实现的。以下为其设置该病毒的感染主要是通过修改注册表来实现的。以下为其设置或修改的注册表项：或修改的注册表项：设置设置“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun 为为 01(取消开始菜单上的取消开始菜单上的“运行运行”项项)设置设置”HKCUSoftwareMicroso

20、ftWindowsCurrentVersionPoliciesExplorerNoClose“为为 01(取消开始菜单上的取消开始菜单上的“关闭关闭”项项)设置设置”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff“为为 01(取消开始菜单上的取消开始菜单上的“注销注销”项项)设置设置”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives“为为”00000004“(取消对取消对 C:盘的访问权限盘的访问权限)设置设置”HKCUSof

21、twareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools“为为”00000001“(使注册表工具使注册表工具不可用不可用)等等16计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 17 上海三零卫士信息安全有限公司30wish Information Security宏病毒的传播宏病毒的传播o一般来说，一个宏病毒传播发生在被感染的宏指令覆盖、改写一般来说，一个宏病毒传播发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的由此

22、进一步感染随后打开和存贮的所有所有Doc文档。文档。当当Word打开一个打开一个.doc文件时，先检查里面有没有模板文件时，先检查里面有没有模板/宏代码宏代码,如果有的话就认为这不是普通的如果有的话就认为这不是普通的doc文件，而是一个模版文件文件，而是一个模版文件,并执行里面的并执行里面的auto类的宏类的宏(如果有的话如果有的话)。一般染毒后的一般染毒后的.doc被打开后，通过被打开后，通过Auto宏或菜单、快捷键来激宏或菜单、快捷键来激活，随后感染诸如活，随后感染诸如Normal.dot或或powerup.dot等全局模板文件等全局模板文件得到系统得到系统永久永久控制权。夺权后，当系统有

23、文档存储动作时，控制权。夺权后，当系统有文档存储动作时，病毒就把自身复制入此文档并储存成一个后缀为病毒就把自身复制入此文档并储存成一个后缀为.doc 的模板文的模板文件；另外，当一定条件满足时，病毒就会干些小小的或者大大件；另外，当一定条件满足时，病毒就会干些小小的或者大大的破坏活动。的破坏活动。17计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 18 上海三零卫士信息安全有限公司30wish Information Security特洛伊木马特洛伊木马o特洛伊木马是一个包含在一个合法程序中的非法的程特洛伊木马是一个包含在一个合法程序中的非法的程序。序。o一种

24、黑客程序，本身不破坏数据，黑客利用其远程操一种黑客程序，本身不破坏数据，黑客利用其远程操纵受害计算机。纵受害计算机。o一般的木马都有客户端和服务器端两个执行程序。一般的木马都有客户端和服务器端两个执行程序。o通过各种途径放置木马程序。通过各种途径放置木马程序。18计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 19 上海三零卫士信息安全有限公司30wish Information Security蠕虫病毒蠕虫病毒蠕虫的定义蠕虫的定义oInternet 蠕虫是无须计算机使用者干预即可运行的独蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在

25、漏洞的计算机立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。上的部分或全部控制权来进行传播。o蠕虫与病毒的最大不同在于它不需要人为干预，且能蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。够自主不断地复制和传播。19计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 20 上海三零卫士信息安全有限公司30wish Information Security 蠕虫的工作流程蠕虫的工作流程o蠕虫程序的工作流程可以分为蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、漏洞扫描、攻击、传染、现场处理现场处理四个阶段四个阶段2

26、0计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 21 上海三零卫士信息安全有限公司30wish Information Security2024/11/5 周二 徐汇区教育局培训教材 22 上海三零卫士信息安全有限公司30wish Information Security蠕虫的行为特征蠕虫的行为特征 自我繁殖：自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（当蠕虫被释放（release）后，从搜索漏洞，到利用）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫搜索结果攻击系统，

27、到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的自身主动完成。就自主性而言，这一点有别于通常的病毒。病毒。22计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 23 上海三零卫士信息安全有限公司30wish Information Securityo利用软件漏洞：利用软件漏洞：任何计算机系统都存在漏洞，这些就蠕虫利用系任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样进行复制和传播过程成为可能。这些漏洞是各种

28、各样的，有操作系统本身的问题，有的是应用服务程序的的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。洞产生原因的复杂性，导致各种类型的蠕虫泛滥。23计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 24 上海三零卫士信息安全有限公司30wish Information Securityo造成网络拥塞：造成网络拥塞：在扫描漏洞主机的过程中，蠕虫需要：判断其它在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否

29、存在；判断计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。量，导致整个网络瘫痪，造成经济损失。24计算机病

30、毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 25 上海三零卫士信息安全有限公司30wish Information Securityo消耗系统资源：消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络服务器的影响尤其明显。致系统的性能下降。这对网络服务器的影响尤其明显。25计算机病毒技术知识及蠕虫病毒的查杀202

31、4/11/5 周二 徐汇区教育局培训教材 26 上海三零卫士信息安全有限公司30wish Information Securityo留下安全隐患：留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。导致未来的安全隐患。26计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 27 上海三零卫士信息安全有限公司30wish Information Security蠕虫病毒与一般病毒的异同蠕虫病毒与一般病毒的异同 病毒

32、类型：病毒类型：普通病毒普通病毒 蠕虫病毒蠕虫病毒 存在形式：存在形式：寄存文件寄存文件独立程序独立程序传染机制：传染机制：宿主程序运行宿主程序运行主动攻击主动攻击 传染目标：传染目标：本地文件本地文件网络计算机网络计算机27计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 28 上海三零卫士信息安全有限公司30wish Information Security防范蠕虫病毒措施防范蠕虫病毒措施就像防治非典一样，我们要做好以下三点就像防治非典一样，我们要做好以下三点预防预防隔离隔离查杀查杀免疫免疫28计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇

33、区教育局培训教材 29 上海三零卫士信息安全有限公司30wish Information Security蠕虫病毒的预防蠕虫病毒的预防NIDS蠕虫王：蠕虫王：alert udp$EXTERNAL_NET any-$HOME_NET 1434(msg:W32.SQLEXP.Worm propagation;content:|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|;content:|04|;offset:0;depth:1;)边界路由边界路由蠕虫王：蠕虫王：access-list 110 deny udp any any eq 1434打补丁打补丁

34、蠕虫王：蠕虫王：Sql Server Sp3安装杀毒软件等安装杀毒软件等29计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 30 上海三零卫士信息安全有限公司30wish Information Security蠕虫病毒的隔离蠕虫病毒的隔离o在确认计算机中了蠕虫病毒后，要立即中断本机于外在确认计算机中了蠕虫病毒后，要立即中断本机于外界的联系，防止蠕虫扩散。界的联系，防止蠕虫扩散。o单机隔离单机隔离o禁用本机网卡或者拔掉网线，防止蠕虫扩散到网络中禁用本机网卡或者拔掉网线，防止蠕虫扩散到网络中的其他计算机中的其他计算机中o网络隔离网络隔离o对出现蠕虫病毒的子网的出

35、口路由设备进行配置，对对出现蠕虫病毒的子网的出口路由设备进行配置，对蠕虫的相应端口进行关闭，防止蠕虫扩散到别的网络蠕虫的相应端口进行关闭，防止蠕虫扩散到别的网络中去中去30计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 31 上海三零卫士信息安全有限公司30wish Information Security蠕虫病毒的查杀蠕虫病毒的查杀o基于特征的查杀基于特征的查杀提取特征码，网络特征、文件特征、传播特征提取特征码，网络特征、文件特征、传播特征根据特征码制作专杀工具进行查杀根据特征码制作专杀工具进行查杀o手工进行查杀手工进行查杀检查可疑进程，可疑端口，查找各类启

36、动项，进入安检查可疑进程，可疑端口，查找各类启动项，进入安全模式手动进行查杀全模式手动进行查杀31计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 32 上海三零卫士信息安全有限公司30wish Information Security振荡波查杀实例振荡波查杀实例o感染判断感染判断l出现系统错误对话框，莫名其妙地死机或重新启动计算机；出现系统错误对话框，莫名其妙地死机或重新启动计算机；l任务管理器里有一个叫任务管理器里有一个叫avserve.exe、avserve2.exe或或者者skynetave.exe的进程在运行；的进程在运行；l在系统目录下，产生一个名为

37、在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件；的病毒文件；l注册表注册表H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun项中存在项中存在avserve.exe=%Windir%avserve.exe值；值；l系统速度极慢，系统速度极慢，CPU占用占用100%。32计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 33 上海三零卫士信息安全有限公司30wish Information Securityo手工查杀手工查杀清除内存中的病毒进程清除内存中的病毒

38、进程avserve.exe、avserve2.exe或者或者skynetave.exe在系统目录下删除相应病毒文件在系统目录下删除相应病毒文件删除注册表中删除注册表中H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun值值avserve.exe=%Windir%avserve.exe系统打补丁系统打补丁 KB84573233计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 34 上海三零卫士信息安全有限公司30wish Information Security检查病毒的常用工具检查病毒的常用工具oNetstatoFportoPrcviewoSniffer34计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 35 上海三零卫士信息安全有限公司30wish Information Security实验35计算机病毒技术知识及蠕虫病毒的查杀2024/11/5 周二 徐汇区教育局培训教材 36 上海三零卫士信息安全有限公司30wish Information Security谢谢！36计算机病毒技术知识及蠕虫病毒的查杀