计算机病毒分析防范技术.ppt

《计算机病毒分析防范技术.ppt》由会员分享，可在线阅读，更多相关《计算机病毒分析防范技术.ppt（59页珍藏版）》请在三一办公上搜索。

1、,计算机病毒分析与防范技术,讲解人：电 话：E-mail：,议程内容,第一章 计算机病毒的概念、概况与现状,第二章 计算机病毒分类介绍与技术分析,第三章 反病毒技术介绍与病毒分析处理,第四章 反病毒产品介绍与安全体系建立,本章概要,第1节 计算机病毒的定义、特点与原理,第2节 计算机病毒的产生、发展及危害,第3节 计算机病毒疫情与互联网安全形势,计算机病毒的概念,从广义上讲，凡是能够引起计算机故障，破坏计算机数据的程序 统称为“计算机病毒”。据此定义，诸如蠕虫、木马、恶意软件 此类程序等均可称为“计算机病毒”。计算机病毒特性：破坏性、隐蔽性、传染性、潜伏性。,“计算机病毒，是指编制或者在计算机

2、程序中插入的破坏计算机功能或者 毁坏数据，影响计算机使用，并能自我传染的一组计算机指令或者程序 代码。”中华人民共和国计算机信息系统安全保护条例第二十八条(1994年2月18日中华人民共和国国务院令147号发布),计算机病毒的特性,破坏性破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法

3、关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。,计算机病毒的特性,传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会

4、通过直接将自己植入正常程序的方法来传播。潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。,计算机病毒的工作流程,进行传染,一、源代码嵌入攻击型 这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的就是带毒文件，这种方式难度较大。,二、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个程序的整个或部分模块。这类病毒针对性较强，主要攻击特定的程序，不易发现，并且清除也较困难。,三、系统修改入侵型 这类病毒主要是用自身程序覆盖或修

5、改系统中的某些文件，来调用或替代操作系统 中的部分功能。由于是直接感染系统危害较大，也是最常见的一种，多为文件型病毒。,四、外壳寄生入侵型 这类病毒通常是将其附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数 文件型的病毒属于这一类。,计算机病毒的入侵方式,计算机病毒的传播方式,一、通过因特网传播 1.电子邮件 2.浏览网页和下载软件 3.即时通讯软件 4.网络游戏二、通过局域网传播 1.文件共享 2.系统漏洞攻击,三、通过移动存储设备传播 1.软盘 2.光盘 3.移动硬盘 4.U盘(含数码相机、MP3等)四、通

6、过无线网络或设备传播 1.智能手机、PDA 2.无线通道,计算机病毒的分类与命名,(Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15)1、系统病毒：Win32、PE、Win95等；（感染Windows系统的.exe、.dll 等文件，并利用这些文件进行传播）2、蠕虫病毒：Worm；（通过网络攻击或者系统漏洞进行传播，往往还发送带毒邮件，阻塞网络）3、脚本病毒：Script。VBS/JS；（使用脚本语言编写，通过网页进行的传播）4、木马/黑客病毒：Trojan/Hack。PSW/PWD；（木马侵入系统后隐藏，并向外泄露用户信息，而黑客病毒则有可视界面，能对用户

7、电脑远程控制，两者往往成对出现，趋于整合）5、后门病毒：Backdoor；（通过网络传播，在系统上开后门，给用户的电脑带来安全隐患）6、种植程序病毒：Dropper；（运行时释放出一个或多个新的病毒，由新释放的病毒产生破坏）7、捆绑机病毒：Binder；（将病毒与一些应用程序捆绑为表面正常的文件，执行时病毒隐藏运行）8、宏病毒：Macro、Word(97)、Excel(97)等；（感染OFFICE文档，通过通用模板进行传播）（1）破坏性程序：Harm；（2）玩笑型病毒：Joke；9、其他（3）拒绝攻击类：DoS；（4）溢出类病毒：Exploit；（5）黑客工具类：HackTool；,常见病毒前

8、缀,本章概要,第1节 计算机病毒的定义、特点与原理,第2节 计算机病毒的产生、发展及危害,第3节 计算机病毒疫情与互联网安全形势,计算机病毒产生的根源,计算机系统的复杂性和脆弱性；,各种矛盾激化、经济利益驱使；,炫耀、玩笑、恶作剧或是报复；,计算机病毒的发展,计算机病毒的危害,劫持IE浏览器，篡改首页及一些默认项目（如默认搜索）；修改Host文件，导致用户不能访问某些网站，或被引导到“钓鱼网站”；添加驱动保护，使用户无法删除某些软件；修改系统启动项目，使某些恶意软件可以随着系统启动；在用户计算机上开置后门，黑客可以通过此后门远程控制中毒机器，组成僵尸网络，对外发动攻击、发送垃圾邮件、点击网络广

9、告等牟利；采用映像劫持技术，使多种杀毒软件和安全工具无法使用；记录用户的键盘、鼠标操作，窃取银行卡、网游密码等信息；记录用户的摄像头操作，可以从远程窥探隐私；使用户的机器运行变慢，大量消耗系统资源；窃取用户电脑数据、信息；,本章概要,第1节 计算机病毒的定义、特点与原理,第2节 计算机病毒的产生、发展及危害,第3节 计算机病毒疫情与互联网安全形势,病毒的数量激增,2010年上半年，瑞星“云安全”系统共截获新增病毒样本4221366个。在病毒分类统计中，木马病毒共有2344637个，占总体55.54%，紧随其后的依次为“后门病毒”、“蠕虫病毒”、“Rootkit”。,2010挂马网站类型,黑客/

10、病毒产业链分析,混合式威胁已成主流，基于漏洞的攻击防不胜防 传播方式尽其所能，网页与U盘成为重要途径 自我防御能力增强 团队化特征明显 主要针对基础网络应用 利益驱动商业化运作 区域化特征明显 并且攻击目标明确,加壳技术普遍应用 主动攻击安全类软件 破坏系统功能属性 展开变种数量与速度竞赛,电子邮件 网页浏览 网上银行和证券 网络游戏 网络下载,现代病毒的显著特点,议程内容,第一章 计算机病毒的概念、概况与现状,第二章 计算机病毒分类介绍与技术分析,第三章 反病毒技术介绍与病毒分析处理,第四章 反病毒产品介绍与安全体系建立,本章概要,第1节 计算机病毒分类介绍,第2节 现代计算机病毒惯用技术手

11、段剖析,第3节 当前流行计算机病毒专题技术详解,早期病毒DOS病毒,概念：DOS病毒指针对DOS操作系统开发的病毒，是一种只能在DOS环境下运行、传染的 计算机病毒，是最早出现的计算机病毒。目前，几乎没有新制作的DOS病毒，由于Windows 系统的普及，DOS病毒几乎绝迹，但是有相当一部分可感染 Windows 9X系统并传播，或者导致系统死机或程序运行异常。分类：引导型：指感染（主）引导扇区的病毒，如“米氏病毒”；文件型：指感染DOS可执行文件（.EXE、.COM、.BAT）的病毒，如“黑色星期五”；混合型：指既感染（主）引导，又感染文件的病毒。如：“幽灵”病毒、Natas病毒等；代表：耶

12、路撒冷（Jerusalem）、米开朗基罗（Michelangelo）、Monkey、Music Bug等；危害：DOS时期的病毒种类相当繁杂，而且不断有人改写现有的病毒，到了后期甚至有人写出所谓 的“双体引擎”，可以把一种病毒创造出更多元化的面貌。而病毒发作的症状更是各式各样，有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。但是，现在对于这些DOS时期的古董级病毒，大部分杀毒软件 都可以轻易地扫除，杀伤力已经大不如前了。,Office杀手宏病毒,概念：（1）宏，译自Macro，是OFFICE的一个特殊功能。它利用简单的VB语法，把一系列常用操作集成在一小段程序

13、内，需要重复时运行宏即可，实现文档中 一些任务的自动化。默认Office将宏存贮在通用模板Normal.dot中，该特点为宏病毒利用。（2）宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被 激活，转移到计算机并驻留在 Normal 模板上。自此所有自动保存的文档都会“感染”上该 宏病毒，其他用户打开了染毒文档，宏病毒又会转移到其他计算机。特点：制作、变种方便，隐蔽性强，传播迅速，破坏可能性极大，但兼容性不高等。危害：不能正常打印、改变文件存储、将文件改名、乱复制文件、封闭菜单、删除选项、无法正常编辑、只能存为模板格式、破坏数据文档、设置密码、调用系统命令造成破坏

14、。防治：（1）将常用的Word模板文件改为只读属性；（2）禁止自动执行宏功能（winword.exe/mDisableAutoMacros）；处理：（1）应急时可以用写字板或WORD 6.0将文档打开并另外存储。（2）进入“宏管理器”，在“宏有效范围”列表中将不明的自动执行宏删除；（3）首选用最新版的反病毒软件查杀；,系统型病毒的存储结构,一、基本概念 系统型病毒是指专门传染操作系统的启动扇区，主要是指传染硬盘主引导扇区 和DOS引导扇区的病毒。二、存储结构 此类病毒程序被划分为两部分，第一部分存放在 磁盘引导扇区中，第二部分则存放在磁盘其他的扇区中。三、简要说明1.当病毒感染磁盘时，首先根据

15、文件分配表(FAT)表找到 一个或一段连续的空白簇；2.然后将病毒程序的第二部分以及磁盘原引导扇区的内容写入该空白簇，并立即将这些簇在FAT中登记项的内容强制标记为坏簇（FF7H）；3.接着将病毒程序的第一部分写入磁盘引导扇区，并将病毒程序的第二部分所在簇 的簇号或第一扇区的逻辑扇区号记录在 磁盘偏移地址01F9处。四、处理：读取偏移地址01F9的地址，将原原引导扇区的内容恢复并删除其第二部分病毒数据即可。,文件型病毒的存储结构,一、基本概念 文件型病毒是指专门感染系统中的可执行文件（即扩展名为.COM、.EXE）的病毒。二、磁盘存储结构 此类病毒程序没有独立占用磁盘上的空白簇，而是附着在被感

16、染文件的首部、尾部、中部或其他部位。病毒入侵后一般会使宿主程序占用的磁盘空间增加。三、简要说明 绝大多数文件型病毒属于外壳病毒，外壳（即病毒程序）与内核（即宿主程序）之间构成一种层次化结构，加载关系为先 运行外壳，再跳转去执行内核。可执行文 件的外壳一般具有相对独立的功能和结构，去掉外壳将不会影响内核部分的运行。,互联网瘟疫蠕虫病毒,特性：蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如一般不利用文件寄生，只存在于内存中，对网络造成拒绝服务，以及

17、和黑客技术相结合，等等。具有超强的自我复制能力和传播性、特定的触发性、一定的潜伏性和很大的破坏性。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！分类：一种是面向企业用户和内部局域网，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。传播过程：（1）扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息 并收

18、到成功的反馈信息后，就得到一个可传播的对象。（2）攻击：攻击模块按漏洞攻击步骤找到对象，取得该主机权限，获得一个shell。（3）复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。,隐藏的危机木马病毒,特点：它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性特点。指通过一段特定的程序（木马程序）来控制另一台计算机。木马一旦运行并被控制端连接，其控制端将享有服务端的大部分的系统操作权限。结构：（1）控制端程序：控制端用以远程控制服务端程序；（2）木马程序：潜入服务端内部获取其操作权限程序；（3）木马配置程序：设置木马程序参数的程序，作用是伪装木马和信息反馈；伪装方式：修改图标

19、、捆绑文件、出错显示、定制端口、自我销毁、木马更名等；特点：（1）木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装从而吸引用户下载并执行，向施种木马者 提供打开被种者电脑的门户，使施种者可以破坏数据、窃取信息，远程操控被种者的电脑。（2）“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。,特种木马简介,通过网络、U盘进行传播感染局域网内服务器及主机自动打包.d

20、oc、.excel、.ppt、.pdf等文档文件通过网络将数据发至木马制作人,本章概要,第1节 计算机病毒分类介绍与实例分析,第2节 现代计算机病毒惯用技术手段剖析,第3节 当前流行计算机病毒专题技术详解,前言 杀毒软件的工作方式一般是特征码匹配杀毒，即通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀，才能顺利实现其入侵系统、盗取用户私密信息 的目的，免杀病毒则应运而生。”“免杀”概念“免杀”，顾名思义就是逃避杀毒软件的查杀，目前用得比较多的方法主要有三种，分别是“加花指令”、“加壳”和“修改特征码”，通常黑客们会针对不同的情况来 运用不同的免杀方法。关于病毒特征代码 反病毒

21、厂商截获到一个病毒后，将会提取该病毒中比较关键的一段代码作为辨认该 木马的特征值，在杀毒软件进行杀毒的过程中把它拿出来和某具体的文件做比对。就和 我们辨认人一样，把某人的相貌特征记录下来，比如：丹凤眼、瓜子脸、马尾辫等，在下次见到此人时一眼就可以认出来。,病毒“免杀”技术,免杀技术之一：加花指令 加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句），从而干扰杀毒软件正常的检测。这是“免杀”技术中 最初级的阶段。免杀技术之二：加壳 如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了里面的东西。常见 的壳容易被识别，所以病毒加壳往往会使用到生僻壳

22、、强壳、新壳、伪装壳、或者加 多重壳等，干扰杀毒软件正常的检测。免杀技术之三：修改特征码 病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过内存杀毒，因此修改 特征码成为逃避杀毒软件内存查杀的唯一办法。要修改特征码，就要先定位杀毒软件 的病毒库所定位的特征码，这有一定难度，但是现在有很多工具可以定位出特征码，只需简单修改就可完成“免杀病毒”的制作了。,病毒“免杀”技术,本章概要,第1节 计算机病毒分类介绍与实例分析,第2节 现代计算机病毒惯用技术手段剖析,第3节 当前流行计算机病毒专题技术详解,Stuxnet（超级工厂）病毒技术分析报告,9月28日，瑞星率先向用户发布安全警告，“超级工厂病毒

23、”（Stuxnet）在国内进入爆发期，目前，已有600万个人用户及近千企业用户遭到此病毒攻击。该病毒利用西门子自动控制系统（SieMens Simatic Wincc）的默认密码安全绕过漏洞，读取数据库中储存的数据，并发送给注册地位于美国的服务器。窃取数据后病毒会抹掉一些电子痕迹，所以网络管理员可能在一段时间之后才会发现曾遭到攻击。病毒窃取的资料包括：计算机名、IP地址、windows系统版本、是否安装了工控软件等。根据瑞星技术部门的分析，“超级工厂病毒”（Stuxnet）在侵入用户电脑后，会向注册地位于美国亚利桑那州的服务器发送信息，接受其指令。黑客可以利用该服务器，向中毒电脑发送“读写文件

24、”、“删除文件”“创建进程”等多项危险命令。同时，该病毒会感染在电脑上使用的U盘，这些U盘被用到重要企业和政府机构的内网后，就会根据黑客实现发布的指令进行多种资料窃取和破坏活动。这种攻击手段，曾在许多军事黑客案例中被使用，通常被称为“U盘跳板攻击”。如果黑客发现中毒电脑安装了工控软件，就会针对其进行重点侦测和探查。从而充当进一步侵袭企业内网的工具。同时，黑客的指令也会通过U盘传递到工控系统内部，可以进行多种危险操作。,Stuxnet（超级工厂）病毒技术分析报告,病毒分析病毒名称：病毒概述：这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-0

25、67等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。传播方式：1.通过MS10-046漏洞传播2.通过MS10-061漏洞传播3.通过共享文件夹传播4.通过MS08-067漏洞传播,Stuxnet（超级工厂）病毒技术分析报告,Stuxnet（超级工厂）病毒技术分析报告,议程内容,第一章 计算机病毒的概念、概况与现状,第二章 计算机病毒分类介绍与技术分析,第三章 反病毒技术介绍与病毒分析处理,第四章 反病毒产品介绍与安全体系建立,本章概要,第1节 反病毒技术的发展状况和未来趋势,第2节 病毒分析基础知识,第3节 计算机病毒的预防和紧急

26、手工处理,反病毒产品发展史,80年代中期，病毒开始流行，消病毒程序软件出现,80s末90s初，病毒数量激增，硬件防病毒卡出现,90s中杀防集成化，90s末出现实时防毒的反病毒软件,2000年前后，出现集中控制分布处理的网络杀毒软件,2003年左右，出现具备防毒功能的硬件网关设备,广泛使用的反病毒技术,特征码扫描技术,虚拟执行技术,实时监控技术,智能引擎技术,嵌入式杀毒技术,瑞星的主动防御从何而来?,主动防御一场时代性的变革,在当今的反病毒领域，主流的“特征码查杀”技术存在致命弱点即：过分依赖于对 新病毒的截获能力和速度，陈旧而呆板的“截获处理升级”工作模式，决定了其 永远滞后于病毒的出现和传播

27、的必然性；当前的网络安全形势日益严峻，混合式威胁已成为主流，基于漏洞的攻击 层出不穷，大量病毒制造者大肆展开变种数量与速度的竞赛；利益驱动病毒商业化运作，并且攻击目标明确，主要针对各种网上交易、网络游戏、电子邮件、网页浏览与网络下载等基础网络应用；病毒的自我防御能力普遍增强，加壳技术广泛应用，甚至主动攻击安全类软件，破坏系统的功能或属性，因此，迫切需要攻防兼备的安全防护产品；,为什么需要主动防御?,瑞星主动防御架构,HIPS层无需病毒库支持；传统监控层误报率极低；行为分析层能判定未知病毒；三层结构，三重过滤，相互支持，优势互补。,瑞星主动防御技术的特点,云安全,本章概要,第1节 反病毒技术的发

28、展状况和未来趋势,第2节 病毒分析基础知识,第3节 计算机病毒的预防和紧急手工处理,一些基本的系统概念（上）,一、进程：进程为应用程序的运行实例，是应用程序的一次动态执行；可以简单理解为系统当前运行的执行程序；当运行某程序时，就创建了一个容纳该程序代码及其所需动态链接库的进程。（1）系统进程：用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行 状态下的操作系统本身，是系统运行所必须的；（2）用户进程：用户进程就是所有由用户执行应用程序所启动的进程。其中应用程序是 由用户安装的程序，执行一个应用程序时可能会启动多个不同的进程。二、线程：Threads，也称轻量进程，指运行中的程序的调

29、度单位。线程是进程中的实体，一个进程可拥有多个线程，实现程序的并发执行，但一个线程必须有一个父进程。实际上线程运行而进程不运行，线程不拥有系统资源，它与父进程的其它 线程共享该进程所拥有的全部资源。,三、服务：在Windows系统中，服务是指执行特定系统功能的程序、例程或进程，以便 支持其他程序，尤其是低层(接近硬件)程序，他们一般随系统启动并在后台运行。四、驱动：驱动是是一种可以使计算机操作系统和设备通信的特殊程序，是操作系统和 硬件设备间的通信接口，他们告诉操作系统有哪些设备以及设备的功能。五、DLL：即动态链接库(Dynamic Link Library)，是一种可执行文件。dll文件是

30、一个可以被其它程序共享的程序模块，其中封装了 一些可以被共享的代码、数据或函数等资源。DLL文件一般不能单独执行，而应由其他Windows 应用程序直接或间接调用。,一些基本的系统概念（下）,常见系统进程解析,一、通过启动文件夹 隐蔽程度：应用程度：说明：这是一种很常见的自启动方式，正常程序多用，但木马极少。位于.Documents and Settings”当前用户”/All Users 开始菜单程序启动,自启动方式（上）,三、通过Autoexec.bat、winstart.bat或config.sys文件 隐蔽程度：应用程度：说明：这些文件在Windows启动前运行，系统处于DOS环境，只

31、能运行16位程序。,二、通过Win.ini文件 隐蔽程度：应用程度：说明：从Win 3.2开始就可以利用该文件中Windows域的load和run项启动。,自启动方式（中）,四、通过System.ini文件 隐蔽程度:应用程度：说明：该文件的Boot域中的Shell项的正常值是“Explorer.exe”，但可以在其后添加其他程序的路径，即使在安全模式也会启动。,五、通过某特定程序或文件启动 隐蔽程度:应用程度：说明：（1）捆绑或寄生于特定程序；（2）修改特定程序启动路径；（3）修改系统文件关联；,六、通过注册表启动 隐蔽程度：应用程度：说明：这是很多Windows程序都采用的自启动方法，也是

32、木马最常用的，下述热度递减、难度递增。,自启动方式（下）,本章概要,第1节 反病毒技术的发展状况和未来趋势,第2节 病毒分析基础知识,第3节 计算机病毒的预防和紧急手工处理,计算机病毒的预防（上）,1备份重要数据（包括操作系统本身和主要应用数据）并妥善保管；2 安装正版的杀毒软件及防火墙程序，设定必要的安全策略，经常更新病毒库；3 及时修补操作系统及常用软件的漏洞；4 禁用Guest账户，为系统设置强密码；5 关闭不必要的系统服务；6最好使用NTFS文件系统格式；7不要随便共享文件，如果确实需要使用，最好设置权限限定访问，建议不可写入；8不要轻易下载和安装盗版的、不可信任的软件；9注意软盘、U

33、盘、光盘等移动存储设备的安全使用；,计算机病毒的预防（下）,10 不要随便打开不明来历的电子邮件，尤其是邮件附件；11 不要浏览一些缺乏可信度的网站，尤其注意浏览器插件的安装；12不要随便点击打开QQ、MSN等IM工具上发来的链接信息或传送来的文件；13警惕电脑使用中的异常状况；14使用专用软件加固重要的应用服务器；15在网关处架设病毒过滤设备；16加强内网终端系统和用户的管理；17注意定期地扫描计算机系统和网络、查看并分析病毒、攻击等事件日志；18及时关注流行病毒以及下载专杀工具；,病毒紧急手动处理步骤,一、扫描并保存当前系统状态信息；二、断开网络连接、卸载移动设备；三、分析并结束病毒进程或

34、者可疑程序；四、禁用或者删除病毒、可疑程序创建的系统启动项、服务以及驱动；五、禁用或卸载浏览器加载项，清理浏览器缓存文件、系统临时文件；六、删除相关的病毒文件或可疑文件，并做好文件备份和情况的记录；七、修改注册表，备份并删除相关键值，恢复系统原始设置；八、到下载并使用相应的病毒专杀工具；九、修复或重新安装杀毒软件，使用离线升级包手动更新，并进行彻底地全盘扫描；十、使用防病毒客户端可疑文件上报功能，或者通过互联网访问瑞星客户服务中心 反馈问题、提交可疑文件；,备注：（1）如果在正常模式下无法完成操作，请重启至安全模式！（2）如果在安全模式下无法完成操作，请使用启动软盘、光盘、U盘引导！,议程内容

35、,第一章 计算机病毒的概念、概况与现状,第二章 计算机病毒分类介绍与技术分析,第三章 反病毒技术介绍与病毒分析处理,第四章 反病毒产品介绍与安全体系建立,系统安全检查清单,1 物理安全（监控、上锁等）；2 停掉Guest 帐号（保险起见，最好给guest 加一个复杂的密码）；3限制不必要的用户数量，经常检查并删除不用的临时帐户,共享帐号等；4创建2个管理员用帐号，一个一般权限帐号用来处理日常事物，另一个Administrator 权限帐户只在必要时使用。5把系统administrator帐号改名并尽量把它伪装成普通用户；6创建一个陷阱帐号，设置上最低权限和超级复杂密码；7 把共享文件的权限从”everyone”组改成“授权用户”，包括打印共享；8 使用安全密码；9 设置屏幕保护密码；10 使用NTFS格式分区；11开启防毒软件，避免感染攻击者使用的木马后门程序，并经常升级病毒库。12保障备份盘的安全，定时备份服务器上的重要数据内容。,谢 谢！,