网吧安全与病毒防御培训课程.pptx

1、计算机病毒防治计算机病毒防治本章主要内容：本章主要内容：1计算机病毒 2计算机病毒传输 3计算机病毒特点及破坏行为 4宏病毒及网络病毒 5 病毒预防、检验和去除 6 病毒防御处理方案 2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第1页什么是计算机病毒什么是计算机病毒 计算机病毒是一个“计算机程序”，它不但能破坏计算机系统，而且还能够传输、感染到其它系统。通常，计算机病毒可分为以下几类。（1）文件病毒。（2）引导扇区病毒。（3）多裂变病毒。（4）秘密病毒。（5）异形病毒。（6）宏病毒。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第2页计算机病毒

2、传输计算机病毒传输 计算机病毒由来 计算机病毒是由计算机黑客们编写，这些人想证实它们能编写出不但能够干扰和摧毁计算机，而且能将破坏传输到其它系统程序。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第3页6.2 计算机病毒传输计算机病毒传输6.2.2 计算机病毒传输计算机病毒经过某个入侵点进入系统来感染该系统。最显著也是最常见入侵点是从工作站传到工作站软盘。病毒一旦进入系统以后，通惯用以下两种方式传输：（1）经过磁盘关键区域；（2）在可执行文件中。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第4页6.2 计算机病毒传输计算机病毒传输6.2.3 计

3、算机病毒工作方式普通来说，病毒工作方式与病毒所能表现出来特征或功效是紧密相关。1感染任何计算机病毒一个主要特征或功效是对计算机系统感染。（1）引导扇区病毒2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第5页6.2 计算机病毒传输计算机病毒传输（2）文件型病毒文件型病毒与引导扇区病毒最大不一样之处是，它攻击磁盘上文件。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第6页6.2 计算机病毒传输计算机病毒传输覆盖型文件病毒一个特点是不改变文件长度，使原始文件看起来非常正常。前依附型文件病毒将自己加在可执行文件开始部分，而后依附型文件病毒将病毒代码附加在

4、可执行文件末尾。伴随型文件病毒为.exe文件建立一个对应含有病毒代码.com文件。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第7页6.2 计算机病毒传输计算机病毒传输2变异变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件检测，以到达逃避检测一个“功效”。3触发不少计算机病毒为了能在适当时候从事它见不得人勾当，往往需要预先设置一些触发条件，并使之先置于未触发状态。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第8页6.2 计算机病毒传输计算机病毒传输4破坏修改数据、破坏文件系统、删除系统上文件、视觉和听觉效果。5高级功效病毒计算机病毒逃避检

5、测，躲开病毒扫描和反病毒软件。多态病毒特点能变异，新病毒都与上一代有差异，每个新病毒都各不相同。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第9页6.3 计算机病毒特点及破坏行为计算机病毒特点及破坏行为 6.3.1 计算机病毒特点病毒有以下几个主要特点。1刻意编写人为破坏2自我复制能力 3夺取系统控制权 4隐蔽性 5潜伏性 6不可预见性 2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第10页6.3 计算机病毒特点及破坏行为计算机病毒特点及破坏行为6.3.2 计算机病毒破坏行为（1）攻击系统数据区。硬盘主引导扇区、Boot扇区、FAT表、文件目录

6、。（2）攻击文件。删除、更名、替换内容、丢失簇或对文件加密。（3）攻击内存。大量占用、改变内存总量、禁止分配和蚕食内存等。（4）干扰系统运行，使运行速度下降。（5）干扰键盘、喇叭或屏幕。（6）攻击CMOS。系统时钟、磁盘类型和内存容量等，乱写一些主板BIOS芯片，损坏硬盘。（7）干扰打印机。如假报警、间断性打印或更换字符。（8）网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第11页6.4 宏病毒及网络病毒宏病毒及网络病毒 6.4.1 宏病毒所谓宏，就是软件设计者为了在使用软件工作时，防止

7、一再重复相同动作而设计出来一个工具。1宏病毒行为和特征所谓“宏病毒”，就是利用软件所支持宏命令编写成含有复制、传染能力宏。（1）宏病毒行为机制Word模式定义出一个文件格式，将文档资料以及该文档所需要宏混在一起放在后缀为.doc文件之中，这种作法已经不一样于以往软件将资料和宏分开存放方法。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第12页（2）宏病毒特征宏病毒会感染.doc文档和.dot模板文件。宏病毒传染通常是Word在打开一个带宏病毒文档或模板时，激活宏病毒。多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏。宏病毒中总

8、是含有对文档读写操作宏命令。宏病毒在.doc文档、.dot模板中以.BFF（Binary File Format）格式存放。6.4 宏病毒及网络病毒宏病毒及网络病毒2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第13页6.4 宏病毒及网络病毒宏病毒及网络病毒2宏病毒防治和去除方法（1）使用选项“提醒保留Normal模板”（2）不要经过Shift键来禁止运行自动宏（3）查看宏代码并删除（4）使用DisableAutoMacros宏（5）使用Word 97报警设置（6）设置Normal.dot只读属性（7）Normal.dot密码保护 2024/10/22 周二计算机网络安

9、全基础网吧安全与病毒防御培训课程第14页6.4 宏病毒及网络病毒宏病毒及网络病毒6.4.2 网络病毒1网络病毒特点计算机网络主要特点是资源共享。病毒会在这种环境下快速传输、再生、发作将造成比单机病毒更大危害。它对于系统敏感数据，一旦遭到破坏，后果就不堪构想。所以，网络环境下病毒防治就显得愈加主要了。病毒入侵网络主要路径是经过工作站传输到服务器硬盘，再由服务器共享目录传输到其它工作站。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第15页6.4 宏病毒及网络病毒宏病毒及网络病毒2病毒在网络上传输与表现大多数企业使用局域网文件服务器，用户直接从文件服务器复制已感染文件。因特

10、网是文件病毒载体。引导病毒在网络服务器上表现：假如网络服务器计算机是从一块感染软盘上引导，那么网络服务器就可能被引导病毒感染。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第16页6.4 宏病毒及网络病毒宏病毒及网络病毒3专攻网络GPI病毒4电子邮件病毒 对电子邮件系统进行病毒防护可从以下几个方面着手。（1）使用优异防毒软件对电子邮件进行专门保护（2）使用防毒软件同时保护客户机和服务器（3）使用特定SMTP杀毒软件 2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第17页6.5 病毒预防、检验和去除病毒预防、检验和去除 6.5.1 病毒预防经过采取

11、技术上和管理上办法，计算机病毒是完全能够防范。（1）对新购置计算机系统用检测病毒软件检验已知病毒，用人工检测方法检验未知病毒。（2）新购置硬盘或出厂时已格式化好软盘可能有病毒。对硬盘能够进行检测或进行低级格式化，因为对硬盘只做DOSFormat格式化是不能去除主引导区（分区表扇区）病毒。（3）新购置计算机软件也要进行病毒检测。（4）在确保硬盘无病毒情况下，能用硬盘引导开启，尽可能不要用软盘去开启。（5）很多PC机能够经过设置CMOS参数，使开启时直接从硬盘引导开启。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第18页6.5 病毒预防、检验和去除病毒预防、检验和去除（6

12、）定时与不定时地进行磁盘文件备份工作。（7）对于软盘，要尽可能将数据和程序分别存放，装程序软盘要进行写保护。（8）在他人机器上使用过自己已打开了写保护软盘，再在自己机器上使用，就应进行病毒检测。（9）应保留一张写保护、无病毒并带有各种命令文件系统开启软盘，用于去除病毒和维护系统。（10）用Bootsafe等实用程序或用Debug编程提取分区表等方法做好分区表、DOS引导扇区等备份工作，在进行系统维护和修复工作时可作为参考。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第19页6.5 病毒预防、检验和去除病毒预防、检验和去除（11）对于多人共用一台计算机环境，应建立登记上

13、机制度，做到使问题能尽早发觉，有病毒能及时追查、去除，不致扩散。（12）开启Novell网或其它网络服务器时，一定要坚持用硬盘引导开启，不然在受到引导扇区型病毒感染和破坏后，遭受损失将不是一个人机器，而会影响到连接整个网络中枢。（13）在网络服务器安装生成时，应将整个文件系统划分成多文件卷系统，而不是只划分成不区分系统、应用程序和用户独占单卷文件系统。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第20页6.5 病毒预防、检验和去除病毒预防、检验和去除（14）安装服务器时应确保没有病毒存在，即安装环境不能带病毒，而网络操作系统本身不感染病毒。（15）网络系统管理员应将S

14、YS系统卷设置成对其它用户为只读状态，屏蔽其它网络用户对系统卷除读取以外其它全部操作，如修改、更名、删除、创建文件和写文件等操作权限。（16）在应用程序卷安装共享软件时，应由系统管理员进行，或由系统管理员暂时授权进行。（17）系统管理员对网络内共享电子邮件系统、共享存放区域和用户卷进行病毒扫描，发觉异常情况应及时处理，不使其扩散。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第21页6.5 病毒预防、检验和去除病毒预防、检验和去除（18）系统管理员口令应严格管理，为了预防泄漏，要定时或不定时地进行更换，保护网络系统不被非法存取、感染上病毒或遭受破坏。（19）在网络工作站

15、上采取必要抗病毒技术办法，可使网络用户一开机就有一个良好上机环境，无须再担心来自网络内和网络工作站本身病毒。（20）在服务器上安装Lan Protect等防病毒系统。实践表明，这些简单易行办法是非常有效。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第22页6.5 病毒预防、检验和去除病毒预防、检验和去除作为应急办法，网络系统管理员应切记以下几条。（1）隔离断网操作，清查病毒。（2）对于传输速度快恶性病毒要请求专业人员处理。（3）注意观察以下现象：文件大小和日期是否改变；系统开启速度是否比平时慢；不做写操作时出现“磁盘有写保护”信息；对贴有写保护软盘操作时声音很大；系统

16、运行速度异常慢；用MI检验内存发觉不该驻留程序已驻留；键盘、打印或显示有异常现象；有特殊文件自动生成；磁盘空间自动产生坏簇或磁盘空间降低；文件莫名其妙地丢失；系统异常死机次数增加。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第23页6.5 病毒预防、检验和去除病毒预防、检验和去除6.5.2 病毒检验计算机病毒要进行传染，必定会留下痕迹。所以对计算机病毒检测分为对内存检测和对磁盘检测。1病毒检验方法检测原理主要是基于以下四种方法 比较法 搜索法 特征字识别法 分析法2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第24页6.5 病毒预防、检验和去除

17、病毒预防、检验和去除（1）比较法比较法是用原始备份与被检测引导扇区或被检测文件进行比较。（2）搜索法搜索法是用每一个病毒体含有特定字符串对被检测对象进行扫描。（3）计算机病毒特征字识别法计算机病毒特征字识别法是基于特征串扫描法发展起来一个新方法。（4）分析法本方法由专业反病毒技术人员使用。分析法目标在于：确认是否含有病毒确认病毒类型和种类搞清结构，提取样本数据分析病毒代码2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第25页6.5 病毒预防、检验和去除病毒预防、检验和去除2病毒扫描程序这种程序找到病毒主要方法之一就是寻找扫描串，也被称为病毒特征。3完整性检验程序检验文件

18、与系统文件4行为封锁软件该软件目标是预防病毒破坏。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第26页6.5 病毒预防、检验和去除病毒预防、检验和去除6.5.3 计算机病毒免疫经过一定方法，使计算机本身含有防御计算机病毒感染能力。1建立程序特征值档案2严格内存管理 3中止向量管理 2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第27页6.5 病毒预防、检验和去除病毒预防、检验和去除6.5.4 计算机感染病毒后恢复1预防和修复引导统计病毒改变计算机磁盘引导次序，防止从软盘引导。必须从软盘引导时，应该确认该软盘无毒。（1）修复感染软盘（2）修复感染

19、主引导统计（3）利用反病毒软件修复2预防和修复可执行文件病毒 2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第28页6.5 病毒预防、检验和去除病毒预防、检验和去除6.5.5 计算机病毒去除1使用DOS命令处理病毒2引导型病毒处理 与引导型病毒相关扇区大约有下面三个部分。（1）硬盘物理第一扇区，即0柱面、0磁头、1扇区是开机之后存放数据和程序是被最先访问和执行。这个扇区成为“硬盘主引导扇区”。在该扇区前半部分，称为“主引导统计”（Master Boot Record），简称 MBR。（2）第二部分不是程序，而是非执行数据，统计硬盘分区信息，即人们常说“硬盘分区表”（Pa

20、rtition Table），从偏移量1BEH开始，到1FDH结束。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第29页6.5 病毒预防、检验和去除病毒预防、检验和去除（3）硬盘活动分区，大多是第一个分区第一个扇区。普通位于0柱面、1磁头、1扇区，这个扇区称为“活动分区引导统计”，它是开机后继MBR后运行第二段代码运行所在。其它分区也含有一个引导统计（BOOT），不过其中代码不会被执行。运行下面程序来完成：“FdiskMBR”用于重写一个无毒MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C：/S”或“SYS C：”会重写一个无毒“活动分区引导统计”。

21、对于能够更改活动分区情况，需要另外特殊对待。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第30页6.5 病毒预防、检验和去除病毒预防、检验和去除3宏病毒去除方法对于宏病毒最简单去除步骤为：（1）关闭Word中全部文档。（2）选择“工具/模板/管理器/宏”选项。（3）删除左右两个列表框中全部宏（除了自己定义）（普通病毒宏为AutoOpen、AutoNew或AutoClose）。（4）关闭对话框。（5）选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏，删除之。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第31页

22、6.5 病毒预防、检验和去除病毒预防、检验和去除4杀毒程序杀毒程序是许多反病毒程序中一员，但它在处理病毒时，必须知道某种尤其病毒信息，然后才能按需要对磁盘进行杀毒。对对于于文文件件型型病病毒毒，杀毒程序需要知道病毒操作过程，如它将病毒代码依附在文件头部还是尾部。一旦病毒被从文件中去除，文件便恢复到原先状态，原先保留病毒扇区被覆盖，从而消除了病毒被重新使用可能性。对于引导扇区病毒对于引导扇区病毒，在使用杀毒程序时需格外小心慎重，因为在重新建立引导扇区和MBR（主引导统计）时，假如出现错误，其后果是灾难性，不但会造成磁盘分区丢失，甚至丢失硬盘上全部文件，使系统再也无法引导了。2024/10/22

23、周二计算机网络安全基础网吧安全与病毒防御培训课程第32页进程相关知识进程相关知识 l进程是什么进程是什么l进程为应用程序运行实例，是应用程序一次动态执行。假单了解：它是操作系统当前运行执行程序。l进程分类：进程分类：系统进程 l应用进程 l存在安全风险进程 其它进程2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第33页怎样结束进程怎样结束进程怎样结束进程怎样结束进程强制结束进程命令强制结束进程命令强制结束进程命令强制结束进程命令 ntsd-c q-p PID ntsd-c q-p PID XPXP下下下下tasklist.exetasklist.exe和和和和taskk

24、ill.exetaskkill.exel 1.打开“终端服务管理器（任务管理器）”。l 2.在“进程”选项卡上“用户”列下，右键单击要结束进程，然后单击“结束进程”。l注意l 1.必须含有完全控制权限才能结束进程。l 2.要打开“终端服务管理器”，请依次单击“开始”和“控制面板”，双击“管理工具”，然后双击“终端服务管理器”。l 3.请注意：在没有警告情况下结束进程会造成用户会话中数据丢失。l 4.可能需要结束进程，因为应用程序没有响应。l 5.也能够使用 tskill 命令结束进程。2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第34页习题与思索题习题与思索题 1什么是计算机病毒？2计算病毒基本特征是什么？3简述计算机病毒攻击对象及所造成危害。4病毒按寄生方式分为哪几类？5计算机病毒普通由哪几部分组成，各部分作用是什么？计算机病毒预防有哪几方面？6简述检测计算机病毒惯用方法。7简述宏病毒特征及其去除方法。8什么是计算机病毒免疫？9简述计算机病毒防治办法。10什么是网络病毒，防治网络病毒关键点是什么？2024/10/22 周二计算机网络安全基础网吧安全与病毒防御培训课程第35页