第12讲计算机病毒的防治.ppt

第12讲 计算机病毒的防治 主讲教师：唐大仕 dstang2000@263.net 课前思考 你的计算机上正运行着什么程序？ 它们都是安全的吗？ 本讲内容 (一)计算机病毒 (二)计算机病毒的防治 (三)信息安全 (四)网络道德及相关法规 (一)计算机病毒 病毒VIRUS 有关历史 冯·诺伊曼 Fred Cohen，1983 Pakistan Brain，1986 Robert T.Morris, 1988 Hacker群体及网络攻击 计算机病毒的特征 传染性 破坏性 潜伏性/可触发性 隐蔽性 计算机病毒的特征(详) 可执行性 寄生性 传染性 破坏性 欺骗性 隐蔽性、潜伏性 衍生性 计算机病毒的分类 按攻击的操作系统分 DOS、Windows、Unix 按传播媒介 单机、网络 按链接方式 源码型、入侵型、外壳型、操作系统型 按寄衍生方式 文件型、系统引导型、混合型 按破坏后果 引导区型病毒 系统引导过程 BOOT----- IO.SYS ----- C-?MSDOS.SYS 如小球、石头、火炬 文件型病毒 大量寄生于.COM及.EXE文件中 有的是引导型及文件型的混和型 如：黑色星期五， ,DIR II, 1465 变形病毒 幽灵病毒 变形原理：将自身变形，边运行边还原 不能靠 “特征串”来进识别 病毒生成器/加密器 CIH等病毒 1998,1999,2000/4/26 CIH 直接对计算机硬件中的程序进行破坏 宏病毒 Word等文档中的宏程序 使得病毒能跨平台传播 更容易编写 如Taiwan No.1 解决方法： Word?工具?宏?安全性 网络病毒 包括脚本类、木马/黑客类、蠕虫类病毒等 通过网络漏洞、邮件、网页、后门等方式传播 happy99, Melissa, love, Code Red II, Nimda, sircam， Worm.Gop.3/蠕虫王/冲击波/请客/MSNMSN窃贼 一些特点: 多利用系统的漏洞 针对QQ、MSN等即时通讯软件 感染文件/乱发邮件/乱发网络信息包 开后门、以获取信息、操控系统 QQ窃手 想念你的模样 想我的小宝贝了 快乐 给我永恒的爱人 我爱你 想念 我在等着你 吻你 你是我的女主角 爱,有时候真的不能去比较的 哎 Fw:姐姐的照片 记得收好我的照片呀！ xue 您的朋友 张 给您寄来贺卡 类病毒 木马 (Trojan horse) 蠕虫 ( worm ) 流氓软件 广告软件（Adware） 间谍软件(Spyware) 浏览器劫持 行为记录软件（Track Ware） 恶意共享软件(malicious shareware) (二) 病毒的防治 反病毒技术 病毒特征判断 静态广谱特征扫描 动态仿真跟踪技术 启发式智能代码分析 病毒防护措施 备份数据 (最重要！) 安装防毒软件并即时更新 江民KV300 瑞星 金山 KILL Pccillin MaCafe Norton 参见: /network 到电子市场买一套正版的杀毒软件。 断开网络，进入安全模式（启动时按F7或F8），安装杀毒软件，全面杀毒，关机。 重新开机，联上网，升级杀毒软件，并给系统打补丁。 安装防火墙 原理：包过滤和代理服务 产品：天网 瑞星 金山 Norton 更新（打补丁） / 慎 诱惑：光盘、邮件、网页、图片、音乐、软件、游戏、QQ 特别注意相似网址，如 1cbc, myqq等 介绍几个技术措施 IE的安全 工具→Internet选项→安全→自定义级别→安全设置→ActiveX插件和控件 Word的宏安全 Word?工具?宏?安全性 注册表修复（有关IE的设置） 瑞星注册表修复工具 安全漏洞检查 MBSA (微软) 杀毒软件自带的安全漏洞检查 网络查看 开始?运行：netstat –a 网络共享目录的权限 目录(右击)?共享?权限 关闭不必要的服务 控制面板?服务?选Messager等服务?属性?启动方式 关闭不必要的启动程序 使用RegEdit进行注册表的编辑 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 及RunService 杀掉不必要的进程 开始?运行: ntsd –c q –p xxxx 其中xxxx为进程号（PID）， 可通过Ctrl+Alt+Del?任务管理器?进程 来查看PID 注册表的维护 RegEdit（开始?运行?RegEdit) RegEditX 如：我的电脑\HKEY