網(wǎng)絡(luò)空間信息安全第2章病毒防范技術(shù)網(wǎng)絡(luò)空間信息安全第2章病毒防范技術(shù)本章主要內(nèi)容2.1計算機病毒及病毒防范技術(shù)概述2.2惡意代碼2.3典型計算機病毒的檢測與清除2.4病毒現(xiàn)象與其他故障的判別第2章病毒防范技術(shù)2本章主要內(nèi)容2.1計算機病毒及病毒防范技術(shù)概述第2章病毒2.1計算機病毒及病毒防范技術(shù)病毒的起源1、科幻起源說2、惡作劇起源說3、游戲程序起源說4、軟件商保護軟件起源說第2章病毒防范技術(shù)32.1計算機病毒及病毒防范技術(shù)病毒的起源第2章病毒防范技計算機病毒的發(fā)展50年代：美國電報電話公司貝爾實驗室的一些科學(xué)家開始用一種稱為“核心大戰(zhàn)（CoreWar）”的計算機代碼游戲進行實驗。——計算機病毒的雛形。

60年代：有人開發(fā)了一種稱為“生存(Living)”的軟件，該軟件可進行自我復(fù)制?！徽J為是玩笑。70年代：計算機黑客們對這類程序的研究有了很大的進展，但仍未有真正的病毒攻擊。80年代：真正的“計算機病毒”出現(xiàn)在1981年。該病毒通過磁盤進行感染，但結(jié)果只是關(guān)掉顯示器或讓顯示的文本閃爍或顯示一大堆無意義的信息。第2章病毒防范技術(shù)4計算機病毒的發(fā)展50年代：美國電報電話公司貝爾實驗室的一些科計算機病毒的發(fā)展20世紀(jì)90年代至21世紀(jì)初：幾乎年年都會出現(xiàn)新的病毒品種，其影響的范圍越來越廣，對計算機的硬件和軟件的破壞性也越來越嚴重。2004年：“竊取賬號病毒”、網(wǎng)銀大盜、證券大盜2005～2008年：木馬流行

如今，計算機病毒變得更加活躍，木馬、蠕蟲、后門等層出不窮，甚至出現(xiàn)流氓軟件。第2章病毒防范技術(shù)5計算機病毒的發(fā)展20世紀(jì)90年代至21世紀(jì)初：幾乎年年都會出主動性：病毒程序的目的就是侵害他人計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)，在計算機運行程序的過程中，病毒始終以功能過程的主體出現(xiàn)，而形式則可能是直接或間接的。傳染性：基本特征，病毒的設(shè)計者總是希望病毒能夠在較大的范圍內(nèi)實現(xiàn)蔓延和傳播。隱蔽性：計算機病毒都是一些可以直接或間接運行的具有較高技巧的程序，它們可以隱藏在操作系統(tǒng)中，也可以隱藏在可執(zhí)行文件或數(shù)據(jù)文件中，目的是不讓用戶發(fā)現(xiàn)它的存在表現(xiàn)性：病毒一旦被啟動，就會立刻開始進行破壞活動。為了能夠在合適的時機開始工作，必須預(yù)先設(shè)置觸發(fā)條件并且首先將其設(shè)置為不觸發(fā)狀態(tài)。破壞性：任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。計算機病毒的特點第2章病毒防范技術(shù)6主動性：病毒程序的目的就是侵害他人計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)，在1、依據(jù)病毒寄生的媒介分類

分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒。2、依據(jù)其破壞性分類

良性病毒和惡性病毒。3、按其傳染途徑

駐留內(nèi)存型病毒和非駐留內(nèi)存型病毒。4、按其不同算法分類

伴隨型病毒、“蠕蟲”型病毒、寄生型病毒、

練習(xí)型病毒等5、按傳染對象不同分類

引導(dǎo)區(qū)型病毒、文件型病毒、混合型病毒、宏病毒計算機病毒的分類第2章病毒防范技術(shù)71、依據(jù)病毒寄生的媒介分類計算機病毒的分類第2章病毒防范技2.2惡意代碼

惡意代碼(MaliciousCodes)是一種用來實現(xiàn)某些惡意功能的代碼或程序。

通常，這些代碼在不被用戶察覺的情況下寄宿到另一段程序中，從而達到破壞被感染計算機數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染的系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。惡意代碼定義第2章病毒防范技術(shù)82.2惡意代碼惡意代碼(Malicio惡意代碼類型定

義特點病毒在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機使用，并能夠自我復(fù)制的計算機程序代碼傳染性、破壞性、潛伏性蠕蟲能夠通過計算機網(wǎng)絡(luò)進行自我復(fù)制，消耗計算機資源和網(wǎng)絡(luò)資源的程序

掃描、攻擊、傳播木馬能夠與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡(luò)遠程控制本地計算機的程序欺騙、隱藏、竊取信息

后門能夠避開計算機的安全控制，使遠程計算機能夠連接本地計算機的程序潛伏邏輯炸彈能夠嵌入計算機程序、通過一定條件觸發(fā)破壞計算機的程序潛伏、破壞惡意代碼的部分類型第2章病毒防范技術(shù)9惡意代碼類型定義特點病毒在計算機程序中插入的破壞計算機功木馬背景介紹

“木馬”一詞來自于“特洛伊木馬”，英文名稱為“Trojanhorse”。據(jù)說該名稱來源于古希臘傳說木馬第2章病毒防范技術(shù)10木馬背景介紹木馬第2章病毒防范技術(shù)10

木馬是一種可以駐留在對方服務(wù)器系統(tǒng)中的一種程序。木馬程序一般由服務(wù)器端程序客戶端程序兩部分構(gòu)成。木馬定義第2章病毒防范技術(shù)11木馬定義第2章病毒防范技術(shù)11隱蔽性特點非授權(quán)性特點木馬的特點第2章病毒防范技術(shù)12隱蔽性特點木馬的特點第2章病毒防范技術(shù)121）遠程控制型2）密碼發(fā)送型3）鍵盤記錄型4）DoS攻擊型5）代理木馬6）FTP木馬7）程序殺手木馬8）反彈端口型木馬9）破壞性質(zhì)的木馬木馬的分類第2章病毒防范技術(shù)131）遠程控制型木馬的分類第2章病毒防范技術(shù)131）查看開放端口

當(dāng)前最為常見的木馬通常是基于TCP/UDP協(xié)議進行客戶端與服務(wù)器端之間通信的，因此我們可以遁過查看在本機上開放的端口，看是否有可疑的程序打開了某個可疑的端口。

假如查看到有可疑的程序在利用可疑端口進行連接，則很有可能就是感染了木馬。查看端口的方法通常有以下幾種：使用Windows本身自帶的netstat命令。使用Windows下的命令行工具fporto

使用圖形化界面工具ActivePortSo木馬類程序的檢測與清除第2章病毒防范技術(shù)141）查看開放端口木馬類程序的檢測與清除第2章病毒防范技術(shù)12）查看和恢復(fù)Win.ini和System．ini系統(tǒng)配置文件

查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木馬通過修改Win.ini文件中Windows節(jié)下的“l(fā)oad=file.exe，run=file.exe"語句進行自動加載，還可能修改System.ini中的boot節(jié)，實現(xiàn)木馬加載。木馬類程序的檢測與清除第2章病毒防范技術(shù)152）查看和恢復(fù)Win.ini和System．ini系統(tǒng)配置文3）查看啟動程序并刪除可疑的啟動程序

如果木馬自動加載的文件是直接通過在Windows菜單中自定義添加的，一般都會放在主菜單的“開始”→“程序”→“啟動”處，在Windows資源管理器里的位置是“C：＼Windows\startmenu\programs\啟動”處。木馬類程序的檢測與清除第2章病毒防范技術(shù)163）查看啟動程序并刪除可疑的啟動程序木馬類程序的檢測與清除第4）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程

在對木馬進行清除時，首先要停止木馬程序的系統(tǒng)進程。例如，Hack.Rbot病毒除了將自冊表，以便病毒可隨時自啟動?？吹接心抉R程序在運行時，需要馬上停止系統(tǒng)進程，并進行下一步操作，修改注冊表和清除木馬文件。木馬類程序的檢測與清除第2章病毒防范技術(shù)174）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程木馬類程序的檢測與清除第5）查看和還原注冊表

木馬一旦被加載，一般都會對注冊表進行修改。值得注意的是，可能有些木馬會不允許執(zhí)行．Exe文件，這時就要先將regedit.exe改成系統(tǒng)能夠運行的形式，如改成R。木馬類程序的檢測與清除第2章病毒防范技術(shù)185）查看和還原注冊表木馬類程序的檢測與清除第2章病毒防范技6）使用殺毒軟件和木馬查殺工具檢測和清除木馬

最簡單的檢測和刪除木馬的方法是安裝木馬查殺軟件例如KV3000、瑞星、“木馬克星”、“木馬終結(jié)者”等。木馬類程序的檢測與清除第2章病毒防范技術(shù)196）使用殺毒軟件和木馬查殺工具檢測和清除木馬木馬類程序的檢測木馬預(yù)防方法和措施：(1)不隨意打開來歷不明的電子郵件，阻塞可疑郵件(2)不隨意下載來歷不明的軟件(3)及時修補漏洞和關(guān)閉可疑的端口(4)盡量少用共享文件夾(5)運行實時監(jiān)控程序(6)經(jīng)常升級系統(tǒng)和更新病毒庫(7)限制使用不必要的具有傳輸能力的文件木馬的預(yù)防第2章病毒防范技術(shù)20木馬預(yù)防方法和措施：木馬的預(yù)防第2章病毒防范技術(shù)20蠕蟲則是一種通過網(wǎng)絡(luò)進行傳播的惡性代碼。蠕蟲病毒和普通病毒有著很大的區(qū)別。它具有普通病毒的一些共性，例如傳播性、隱蔽性、破壞性等；同時也具有一些自己的特征，例如不利用文件寄生、可對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相標(biāo)是網(wǎng)絡(luò)內(nèi)的所有計算機。蠕蟲第2章病毒防范技術(shù)21蠕蟲則是一種通過網(wǎng)絡(luò)進行傳播的惡性代碼。蠕蟲第2章病毒防范1)根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用戶的蠕蟲病毒和面向個人用戶的蠕蟲病毒。2)按其傳播和攻擊特征，可將蠕蟲病毒分為3類，即漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲病毒。蠕蟲的分類第2章病毒防范技術(shù)221)根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用(1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行

攻擊。

(2)傳播方式多樣化。(3)病毒制作技術(shù)與傳統(tǒng)病毒不同。4)與黑客技術(shù)相結(jié)合。蠕蟲的技術(shù)特點與發(fā)展第2章病毒防范技術(shù)23(1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行蠕蟲的技術(shù)1、“要命的”端口2、“敵人的”進程3、“小心”！遠程管理軟件4、“專業(yè)人士”幫你免費檢測5、自己掃描自己6、別小瞧WindowsUpdate2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)241、“要命的”端口2.3典型計算機病毒的常見計算機病毒的1、“要命的”端口2、“敵人的”進程3、“小心”！遠程管理軟件4、“專業(yè)人士”幫你免費檢測5、自己掃描自己6、別小瞧WindowsUpdate2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)251、“要命的”端口2.3典型計算機病毒的常見計算機病毒的1、“要命的”端口計算機要與外界進行通信，必須通過一些端口。別人要想入侵和控制網(wǎng)絡(luò)計算機，也要從某些端口連接進來。只要查看一下系統(tǒng)，就會發(fā)現(xiàn)其開放了139、445、3389、4899等重要端口，要知道這些端口都可以為黑客入侵提供便利，尤其是4899，可能是入侵者安裝的后門工具Radmin打開的，入侵者可以通過這個端口取得系統(tǒng)的完全控制權(quán)。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)261、“要命的”端口2.3典型計算機病毒的檢測與清除常見計1、“要命的”端口在Windows環(huán)境下，通過“開始”→“運行”選項，打開“運行”窗口，輸入“command”（Windows2000/XP/2003/7下在“運行”中輸入“cmd”），進入命令提示窗口，然后輸入netstat/an，就可以看到本機端口開放和網(wǎng)絡(luò)連接情況。怎么關(guān)閉這些端口呢？因為計算機的每個端口都對應(yīng)著某個服務(wù)或者應(yīng)用程序，因此只要停止該服務(wù)或者卸載該程序，這些端口就自動關(guān)閉了。例如，可以在“計算機”→“控制面板”→“計算機管理”→“服務(wù)”中停止Radmin服務(wù)，就可以關(guān)閉4899端口了。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)271、“要命的”端口2.3典型計算機病毒的檢測與清除常見計2、“敵人的”進程在Windows7下，可以通過同時按“Ctrl+Alt+Delete”鍵調(diào)出任務(wù)管理器來查看和關(guān)閉進程；但在Windows環(huán)境下按“Ctrl+Alt+Delete”鍵只能看到部分應(yīng)用程序，有些服務(wù)級的進程卻被隱藏而無法看到了，但通過系統(tǒng)自帶的工具msinfo32還是可以看到的。在“開始”→“運行”里輸入msinfo32，進入“Microsoft系統(tǒng)信息”界面，在“軟件環(huán)境”的“正在運行任務(wù)”下可以看到本機的進程。但是在Windows環(huán)境下要想終止進程，還要通過第三方的工具來實現(xiàn)。很多系統(tǒng)優(yōu)化軟件帶有查看和關(guān)閉進程的工具，如春光系統(tǒng)修改器等。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)282、“敵人的”進程2.3典型計算機病毒的檢測與清除常見計算3、“小心”！遠程管理軟件現(xiàn)在很多人喜歡在自己的機器上安裝遠程管理軟件，如Pcanywhere、Radmin、VNC或者Windows自帶的遠程桌面，這確實方便了遠程管理維護和辦公，但同時遠程管理軟件也帶來了很多安全隱患。例如，Pcanywhere10.0及更早的版本存在著口令文件*.CIF容易被解密（解碼而非爆破）的問題，一旦入侵者通過某種途徑得到了*.CIF文件，就可以用一款被稱為Pcanywherepwd的工具破解出管理員賬號和密碼。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)293、“小心”！遠程管理軟件2.3典型計算機病毒的檢測與清除3、“小心”！遠程管理軟件要安全地遠程使用它就要進行IP限制。這里以Windows7遠程桌面為例，介紹6129端口（DameWareMiniRemoteControl使用的端口）的IP限制：進入天網(wǎng)“自定義IP規(guī)則”界面，單擊“增加規(guī)則”按鈕添加一條新的規(guī)則。在“數(shù)據(jù)包方向”中選擇“接受”，在“對方IP地址”中選擇“指定地址”，然后填寫自己的IP地址，在TCP選項卡的本地端口中填寫從6129到0，對方端口填寫從0到0，在“當(dāng)滿足上面條件時”中選擇“通行”，這樣除了自己指定的那個IP地址（這里假定為0）之外，其他人都連接不到此計算機了。安裝最新版的遠程控制軟件也有利于提高安全性，如最新版的Pcanywhere的密碼文件采用了較強的加密方案，如流行的灰鴿子。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)303、“小心”！遠程管理軟件2.3典型計算機病毒的檢測與清除4、“專業(yè)人士”幫你免費檢測很多安全站點都提供了在線檢測，可以幫助人們發(fā)現(xiàn)系統(tǒng)的問題，如天網(wǎng)安全在線推出的在線安全檢測系統(tǒng)──天網(wǎng)醫(yī)生，它能夠檢測用戶的計算機存在的一些安全隱患，并且根據(jù)檢測結(jié)果判斷系統(tǒng)的級別，引導(dǎo)用戶進一步解決系統(tǒng)中可能存在的安全隱患。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)314、“專業(yè)人士”幫你免費檢測2.3典型計算機病毒的檢測與清4、“專業(yè)人士”幫你免費檢測天網(wǎng)醫(yī)生可以提供木馬檢測、系統(tǒng)安全性檢測、端口掃描檢測、信息泄漏檢測等4個安全檢測項目，可能得出4種結(jié)果：極度危險、中等危險、相當(dāng)安全和超時或有防火墻。其他知名的在線安全檢測站點還有千禧在線以及藍盾在線檢測。另外，IE的安全性也是非常重要的，一不小心就有可能中毒，這些網(wǎng)站就是專門檢測IE是否存在安全漏洞的站點，大家可以根據(jù)提示操作。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)324、“專業(yè)人士”幫你免費檢測2.3典型計算機病毒的檢測與清5、自己掃描自己天網(wǎng)醫(yī)生主要針對網(wǎng)絡(luò)新手，而且是遠程檢測，速度比不上本地，所以如果用戶有一定的基礎(chǔ)，最好使用安全檢測工具（漏洞掃描工具）手工檢測系統(tǒng)漏洞。黑客在入侵他人系統(tǒng)之前，常常用自動化工具對目標(biāo)機器進行掃描，也可以借鑒這個思路，在另一臺計算機上用漏洞掃描器對自己的機器進行檢測。功能強大且容易上手的國產(chǎn)掃描器首推X-Scan。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)335、自己掃描自己2.3典型計算機病毒的檢測與清除常見計算機5、自己掃描自己例如，用X-Scan對某臺計算機進行完全掃描之后，發(fā)現(xiàn)了如下漏洞：[0]：端口135開放：LocationService[0]：端口139開放：NetBIOSSessionService[0]：端口445開放：Microsoft-DS[0]：發(fā)現(xiàn)NT-Server弱口令：user/[空口令][0]：發(fā)現(xiàn)“NetBIOS信息”從中我們可以發(fā)現(xiàn)Windows7弱口令的問題，這是一個很嚴重的漏洞。NetBIOS信息暴露也給黑客的進一步進攻提供了方便，解決辦法是給User賬號設(shè)置一個復(fù)雜的密碼，并在天網(wǎng)防火墻中關(guān)閉135～139端口。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)345、自己掃描自己2.3典型計算機病毒的檢測與清除常見計算機6、別小瞧WindowsUpdate微軟通常會在病毒和攻擊工具泛濫之前開發(fā)出相應(yīng)的補丁工具，只要選擇“開始”→“WindowsUpdate”選項，即可轉(zhuǎn)到微軟的WindowsUpdate網(wǎng)站，在這里下載最新的補丁程序。所以每周訪問WindowsUpdate網(wǎng)站及時更新系統(tǒng)一次，基本上就能把黑客和病毒拒之門外。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)356、別小瞧WindowsUpdate2.3典型計算機病U盤病毒與autoruninf文件分析方法經(jīng)常使用U盤的用戶可能已經(jīng)多次遭遇了U盤病毒，U盤病毒是一種新病毒，主要通過U盤、移動硬盤傳播。目前，幾乎所有這類的病毒的最大特征都是利用autorun.inf文件來侵入，而事實上autorun.inf相當(dāng)于一個傳染途徑，經(jīng)過這個途徑入侵的病毒，理論上是“任何”病毒。因此，大家可以在網(wǎng)上發(fā)現(xiàn)，當(dāng)搜索到autorun.inf之后，附帶的病毒往往有不同的名稱。就像身體上有個創(chuàng)口，有可能進入的細菌不止一種一樣，在不同環(huán)境下進入的細菌可以不同，甚至可能是AIDS病毒。這個autorun.inf就是創(chuàng)口。因此，目前無法單純說U盤病毒就是具體的什么病毒，也因此導(dǎo)致在查殺上會存在混亂，因為U盤病毒不止一種或幾十種。其他病毒自檢與清除第2章病毒防范技術(shù)36U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法1．解析autorun.inf首先，autorun.inf文件是很早就存在的，在Windows7以前的其他Windows系統(tǒng)，若需要讓光盤、U盤插入到機器中自動運行，就要靠autorun.inf。這個文件是保存在驅(qū)動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應(yīng)該自動啟動什么程序。其他病毒自檢與清除第2章病毒防范技術(shù)37U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法但要注意到，上面反復(fù)提到“自動”，這就是關(guān)鍵。病毒作者可以利用這一點，讓移動設(shè)備在用戶系統(tǒng)完全不知情的情況下，“自動”執(zhí)行任何命令或應(yīng)用程序。因此，通過autorun.inf文件，可以放置正常的啟動程序，如經(jīng)常使用的各種教學(xué)光盤，一插入計算機就自動安裝或自動演示；也可以通過此種方式，放置任何可能的惡意內(nèi)容。其他病毒自檢與清除第2章病毒防范技術(shù)38U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法目前，相關(guān)的U盤病毒的隱藏方式如下。有了啟動方法，病毒作者肯定需要將病毒主體放進光盤或者U盤里才能使其運行，但是堂而皇之的放在U盤里肯定會被用戶發(fā)現(xiàn)而刪除，所以，病毒肯定會隱藏起來存放在一般情況下看不到的地方。一種是假回收站方式：病毒通常在U盤中建立一個“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站，而事實上，回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的。另一種是假冒殺毒軟件方式，病毒在U盤中放置一個程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實是病毒。其他病毒自檢與清除第2章病毒防范技術(shù)39U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法通常的系統(tǒng)安裝，默認是會隱藏一些文件夾和文件的，病毒就會將自己改造成系統(tǒng)文件夾、隱藏文件等，一般情況下看不到。要讓自己能看到隱藏的文件，怎么辦呢？此時，應(yīng)打開“計算機”窗口，選擇“工具”→“文件夾選項”選項，彈出一個對話框，選擇“查看”選項卡。如果U盤帶有上述病毒，還會出現(xiàn)一個現(xiàn)象，當(dāng)點擊U盤時，會發(fā)現(xiàn)多了一些東西。帶病毒的U盤右鍵多了“自動播放”、“Open”、“Browser”等項目；殺毒后則沒有這些項目。其他病毒自檢與清除第2章病毒防范技術(shù)40U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法2．RavMonE.exe病毒解決方法RavMonE.exe病毒運行后，會出現(xiàn)同名的一個進程，該程序貌似并沒有顯著危害。程序大小為3.5MB，貌似用Python寫的，一般會占用19～20MB的資源，在Windows目錄內(nèi)隱藏為系統(tǒng)文件，且自動添加到系統(tǒng)啟動項內(nèi)。其生成的Log文件常含有不同的六位數(shù)字，可能有竊取帳號、密碼之類的危害，由于該疑似病毒文件過于巨大，一般隨移動存儲器傳播。其他病毒自檢與清除第2章病毒防范技術(shù)41U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法2．RavMonE.exe病毒解決方法解決方法：（1）打開任務(wù)管理器，終止所有ravmone.exe進程。（2）進入C:\windows，刪除其中的RavMonE.exe。（3）進入C:\windows，運行regedit.exe，在左邊依次打開HK_Local_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項數(shù)值是C:\windows\ravmone.exe，將其刪除即可。（4）完成后，病毒就被清除了。其他病毒自檢與清除第2章病毒防范技術(shù)42U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法3．查殺U盤中的病毒的方法對移動存儲設(shè)備，如果中毒，則在文件夾選項中取消勾選隱藏受保護的操作系統(tǒng)文件，勾選顯示所有文件和文件夾，單擊“確定”按鈕，然后在移動存儲設(shè)備中會看到如下幾個文件——autorun.inf、msvcr71.dl、ravmone.exe，都刪除即可，還有一個擴展名為.tmp的文件，也可以刪除，完成后，病毒就清除了。其他病毒自檢與清除第2章病毒防范技術(shù)43U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法3．查殺U盤中的病毒的方法但對于上面的處理U盤中的病毒的方法，在刪除autorun.inf、msvcr71.dl、RavMonE.exe這3個文件時，直接刪除可能會無法刪除，要先到進程管理器中結(jié)束RavMonE.exe進程，再刪除這3個文件，如果還無法刪除，可以在安全模式里刪除。其他病毒自檢與清除第2章病毒防范技術(shù)44U盤病毒與autoruninf文件分析方法其他病毒自檢與清除熱點聚焦“成績單”病毒的檢測與清除近日，一款名為“偽成績單”的惡意病毒越來越多的在公眾面前曝光。隨著假期將至，學(xué)生期末考試成績陸續(xù)出爐，許多家長的手機也隨即成為病毒短信的重災(zāi)區(qū)。有不少家長收到了署名“班主任”的陌生號碼發(fā)來的成績單短信，其內(nèi)容為“家長您好，這是XX考試成績單eqnzav.tk，請下載查閱！成績明顯退步，希望家長假期之間多關(guān)心孩子的學(xué)習(xí)情況【班主任】”。其他病毒自檢與清除第2章病毒防范技術(shù)45熱點聚焦“成績單”病毒的檢測與清除其他病毒自檢與清除第2章熱點聚焦“成績單”病毒的檢測與清除據(jù)了解，這是一條詐騙分子精心設(shè)計的病毒短信，家長們一旦點開短信中的網(wǎng)址鏈接，將會在手機上下載安裝一種名為a.privacy.emial.d的病毒，該病毒啟動后會攔截手機短信，并將短信轉(zhuǎn)發(fā)給指定號碼，有可能導(dǎo)致短信中的銀行賬戶或密碼泄露，對手機和財產(chǎn)安全造成威脅。其他病毒自檢與清除第2章病毒防范技術(shù)46熱點聚焦“成績單”病毒的檢測與清除其他病毒自檢與清除第2章熱點聚焦“成績單”病毒的檢測與清除針對此類手機木馬病毒，我們應(yīng)如何防范呢？一款新的病毒誕生，一個病毒查殺工具也會很快應(yīng)運而生。針對該名為“偽成績單”病毒，很快多家手機安全軟件就研發(fā)出了查殺方案。程序可通過對應(yīng)用名稱進行比對分析的方式，判斷真?zhèn)危コ《镜膫窝b層，找到真正的病毒代碼，對其進行查殺。目前，百度手機衛(wèi)士已對“偽成績單”病毒進行了全面查殺。其他病毒自檢與清除第2章病毒防范技術(shù)47熱點聚焦“成績單”病毒的檢測與清除其他病毒自檢與清除第2章作為手機用戶，在遇到類似手機木馬病毒的時候，到底怎樣做才能保護自己的利益呢？主要有以下兩種方式。1．手機已存在木馬病毒很多此類手機病毒會偽裝為正常軟件或者誘惑性名稱，存在系統(tǒng)分區(qū)中，恢復(fù)出廠設(shè)置是無法刪除的，若懷疑手機中存在木馬或者病毒，一般的表現(xiàn)是手機自動下載其他推廣軟件、手機卡頓發(fā)熱、出現(xiàn)有遮擋的廣告等。可嘗試按照以下步驟進行清除。其他病毒自檢與清除第2章病毒防范技術(shù)48作為手機用戶，在遇到類似手機木馬病毒的時候，到底怎樣做才能保作為手機用戶，在遇到類似手機木馬病毒的時候，到底怎樣做才能保護自己的利益呢？（1）請嘗試安裝一款安全軟件（如手機管家等）。（2）（以手機管家為例）打開手機管家，點擊主界面上的“一鍵體檢”按鈕即可自動檢測手機中存在的問題，并且給出處理建議，點擊“一鍵清除”按鈕即可刪除病毒程序。（3）若重啟手機發(fā)現(xiàn)病毒依然存在或者提示無法刪除，則可先獲取ROOT權(quán)限再進行深度查殺，獲取ROOT可以使用PC端的一鍵ROOT工具進行。也可以嘗試使用專門的病毒專殺工具進行一鍵查殺，若發(fā)現(xiàn)手機存在問題，應(yīng)盡快進行處理，防止產(chǎn)生財產(chǎn)損失。其他病毒自檢與清除第2章病毒防范技術(shù)49作為手機用戶，在遇到類似手機木馬病毒的時候，到底怎樣做才能保作為手機用戶，在遇到類似手機木馬病毒的時候，到底怎樣做才能保護自己的利益呢？2．遇到可疑信息或鏈接針對教師節(jié)、兒童節(jié)前夕頻發(fā)的電話、短信詐騙，當(dāng)收到此類電話或信息時，要做到遇到“急事”不要急，尤其不要在著急的時候匯錢或者透露與金融相關(guān)的信息。在接到來歷不明的“老師”、“學(xué)?！眮黼姾?，家長要保持冷靜，最好馬上打電話給孩子學(xué)校的班主任或任課老師核實情況；而在收到諸如“學(xué)生成績單”等短信時，也不要急于點擊短信中的鏈接或回撥短信中的電話號碼，應(yīng)與班主任取得聯(lián)系確認后再做操作?？偨Y(jié)起來，就是遇到“急事”不著急，提到敏感、私密信息要留心，凡事多確認，詐騙無處藏。其他病毒自檢與清除第2章病毒防范技術(shù)50作為手機用戶，在遇到類似手機木馬病毒的時候，到底怎樣做才能保殺毒軟件工作原理網(wǎng)絡(luò)安全管理員需要審時度勢，靈活地依據(jù)企業(yè)自身的特點來不斷調(diào)整安全策略，加強與反病毒廠商的密切合作，才能長期確保信息安全。很多網(wǎng)管都在為病毒犯愁，為什么安裝了殺毒軟件還不能防毒？這是國內(nèi)企業(yè)網(wǎng)絡(luò)管理員在管理網(wǎng)絡(luò)安全中普遍存在的問題。如能解決這個問題，一個企業(yè)真正的安全管理方案也就建立起來了。其他病毒自檢與清除第2章病毒防范技術(shù)51殺毒軟件工作原理其他病毒自檢與清除第2章病毒防范技術(shù)51殺毒軟件工作原理企業(yè)網(wǎng)絡(luò)的管理員應(yīng)該選擇網(wǎng)絡(luò)版殺毒軟件構(gòu)建自己的網(wǎng)絡(luò)安全防御系統(tǒng)。目前的網(wǎng)絡(luò)版殺毒軟件針對不同類型、不同規(guī)模的企業(yè)產(chǎn)品，在功能上進行了細分。管理員要針對本企業(yè)的特性來選擇對應(yīng)的產(chǎn)品才能達到事半功倍的效果。殺毒軟件應(yīng)用指導(dǎo)與建議：調(diào)查顯示，80%部署了網(wǎng)絡(luò)版殺毒軟件的用戶沒有合理運用自己的產(chǎn)品，使得企業(yè)網(wǎng)絡(luò)出現(xiàn)了致命的漏洞，被病毒乘虛而入。其他病毒自檢與清除第2章病毒防范技術(shù)52殺毒軟件工作原理其他病毒自檢與清除第2章病毒防范技術(shù)52殺毒軟件工作原理有哪些工作是網(wǎng)管日常需要注意的？1．及時更新軟件版本2．運用好軟件的管理工具在殺毒軟件網(wǎng)絡(luò)版中，內(nèi)置了大量的安全管理功能。通過這些管理功能可以高效地對網(wǎng)絡(luò)進行統(tǒng)一的安全管理。3．掌握軟件的特性功能其他病毒自檢與清除第2章病毒防范技術(shù)53殺毒軟件工作原理其他病毒自檢與清除第2章病毒防范技術(shù)53殺毒軟件工作原理有哪些工作是網(wǎng)管日常需要注意的？3．掌握軟件的特性功能利用系統(tǒng)漏洞攻擊已經(jīng)成為病毒傳播的一個新型和重要的途徑。由于操作系統(tǒng)和應(yīng)用軟件的漏洞層出不窮，修補漏洞已經(jīng)成為網(wǎng)絡(luò)管理員重要的日常工作之一。但是，在復(fù)雜的企業(yè)網(wǎng)絡(luò)中，由管理員逐一對計算機排查修補幾乎是不可能實現(xiàn)的，因為這樣不但工作效率低，而且會影響用戶的正常工作。其他病毒自檢與清除第2章病毒防范技術(shù)54殺毒軟件工作原理其他病毒自檢與清除第2章病毒防范技術(shù)54殺毒軟件工作原理有哪些工作是網(wǎng)管日常需要注意的？3．掌握軟件的特性功能瑞星殺毒軟件網(wǎng)絡(luò)版2006的漏洞掃描和修補功能已經(jīng)將“全網(wǎng)遠程漏洞的發(fā)現(xiàn)與修補”、“漏洞庫的升級與自我更新”、“全網(wǎng)漏洞日志”等功能完全集成。利用該功能，管理員可以定期對全網(wǎng)漏洞進行修補，使得病毒通過漏洞攻擊的途徑被完全封閉，并通過日志發(fā)現(xiàn)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。其他病毒自檢與清除第2章病毒防范技術(shù)55殺毒軟件工作原理其他病毒自檢與清除第2章病毒防范技術(shù)552.4病毒現(xiàn)象與其他故障的判別1.屏幕顯示異常，屏幕顯示出不是由正常程序產(chǎn)生的畫面或字符串，屏幕顯示混亂;2.程序裝入時間增長，文件運行速度下降；3.用戶沒有訪問的設(shè)備出現(xiàn)工作信號；4.磁盤出現(xiàn)莫名其妙的文件和壞塊，卷標(biāo)發(fā)生變化；

計算機病毒現(xiàn)象第2章病毒防范技術(shù)562.4病毒現(xiàn)象與其他故障的判別1.屏幕顯示異常，屏幕顯示出5.系統(tǒng)自行引導(dǎo)；6.丟失數(shù)據(jù)或程序，文件字節(jié)數(shù)發(fā)生變化；7.內(nèi)存空間、磁盤空間減??；8.異常死機；9.磁盤訪問時間比平時增長；10.系統(tǒng)引導(dǎo)時間增長。第2章病毒防范技術(shù)575.系統(tǒng)自行引導(dǎo)；第2章病毒防范技術(shù)57與病毒現(xiàn)象類似的硬件故障1、系統(tǒng)的硬件配置2、電源電壓不穩(wěn)定3、插件接觸不良4、軟驅(qū)故障5、關(guān)于CMOS的問題計算機病毒現(xiàn)象第2章病毒防范技術(shù)58與病毒現(xiàn)象類似的硬件故障計算機病毒現(xiàn)象第2章病毒防范技術(shù)5與病毒現(xiàn)象類似的軟件故障1、出現(xiàn)“Invaliddrivespecification”（非法驅(qū)動器號）2、軟件程序已被破壞（非病毒）3、引導(dǎo)過程故障4、用不同的編輯軟件程序計算機病毒現(xiàn)象第2章病毒防范技術(shù)59與病毒現(xiàn)象類似的軟件故障計算機病毒現(xiàn)象第2章病毒防范技術(shù)5惡意代碼類型定

義特點病毒在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機使用，并能夠自我復(fù)制的計算機程序代碼傳染性、破壞性、潛伏性蠕蟲能夠通過計算機網(wǎng)絡(luò)進行自我復(fù)制，消耗計算機資源和網(wǎng)絡(luò)資源的程序

掃描、攻擊、傳播木馬能夠與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡(luò)遠程控制本地計算機的程序欺騙、隱藏、竊取信息

后門能夠避開計算機的安全控制，使遠程計算機能夠連接本地計算機的程序潛伏邏輯炸彈能夠嵌入計算機程序、通過一定條件觸發(fā)破壞計算機的程序潛伏、破壞惡意代碼的部分類型第2章病毒防范技術(shù)60惡意代碼類型定義特點病毒在計算機程序中插入的破壞計算機功木馬背景介紹

“木馬”一詞來自于“特洛伊木馬”，英文名稱為“Trojanhorse”。據(jù)說該名稱來源于古希臘傳說木馬第2章病毒防范技術(shù)61木馬背景介紹木馬第2章病毒防范技術(shù)61

木馬是一種可以駐留在對方服務(wù)器系統(tǒng)中的一種程序。木馬程序一般由服務(wù)器端程序客戶端程序兩部分構(gòu)成。木馬定義第2章病毒防范技術(shù)62木馬定義第2章病毒防范技術(shù)62隱蔽性特點非授權(quán)性特點木馬的特點第2章病毒防范技術(shù)63隱蔽性特點木馬的特點第2章病毒防范技術(shù)631）遠程控制型2）密碼發(fā)送型3）鍵盤記錄型4）DoS攻擊型5）代理木馬6）FTP木馬7）程序殺手木馬8）反彈端口型木馬9）破壞性質(zhì)的木馬木馬的分類第2章病毒防范技術(shù)641）遠程控制型木馬的分類第2章病毒防范技術(shù)641）查看開放端口

當(dāng)前最為常見的木馬通常是基于TCP/UDP協(xié)議進行客戶端與服務(wù)器端之間通信的，因此我們可以遁過查看在本機上開放的端口，看是否有可疑的程序打開了某個可疑的端口。

假如查看到有可疑的程序在利用可疑端口進行連接，則很有可能就是感染了木馬。查看端口的方法通常有以下幾種：使用Windows本身自帶的netstat命令。使用Windows下的命令行工具fporto

使用圖形化界面工具ActivePortSo木馬類程序的檢測與清除第2章病毒防范技術(shù)651）查看開放端口木馬類程序的檢測與清除第2章病毒防范技術(shù)62）查看和恢復(fù)Win.ini和System．ini系統(tǒng)配置文件

查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木馬通過修改Win.ini文件中Windows節(jié)下的“l(fā)oad=file.exe，run=file.exe"語句進行自動加載，還可能修改System.ini中的boot節(jié)，實現(xiàn)木馬加載。木馬類程序的檢測與清除第2章病毒防范技術(shù)662）查看和恢復(fù)Win.ini和System．ini系統(tǒng)配置文3）查看啟動程序并刪除可疑的啟動程序

如果木馬自動加載的文件是直接通過在Windows菜單中自定義添加的，一般都會放在主菜單的“開始”→“程序”→“啟動”處，在Windows資源管理器里的位置是“C：＼Windows\startmenu\programs\啟動”處。木馬類程序的檢測與清除第2章病毒防范技術(shù)673）查看啟動程序并刪除可疑的啟動程序木馬類程序的檢測與清除第4）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程

在對木馬進行清除時，首先要停止木馬程序的系統(tǒng)進程。例如，Hack.Rbot病毒除了將自冊表，以便病毒可隨時自啟動。看到有木馬程序在運行時，需要馬上停止系統(tǒng)進程，并進行下一步操作，修改注冊表和清除木馬文件。木馬類程序的檢測與清除第2章病毒防范技術(shù)684）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程木馬類程序的檢測與清除第5）查看和還原注冊表

木馬一旦被加載，一般都會對注冊表進行修改。值得注意的是，可能有些木馬會不允許執(zhí)行．Exe文件，這時就要先將regedit.exe改成系統(tǒng)能夠運行的形式，如改成R。木馬類程序的檢測與清除第2章病毒防范技術(shù)695）查看和還原注冊表木馬類程序的檢測與清除第2章病毒防范技6）使用殺毒軟件和木馬查殺工具檢測和清除木馬

最簡單的檢測和刪除木馬的方法是安裝木馬查殺軟件例如KV3000、瑞星、“木馬克星”、“木馬終結(jié)者”等。木馬類程序的檢測與清除第2章病毒防范技術(shù)706）使用殺毒軟件和木馬查殺工具檢測和清除木馬木馬類程序的檢測木馬預(yù)防方法和措施：(1)不隨意打開來歷不明的電子郵件，阻塞可疑郵件(2)不隨意下載來歷不明的軟件(3)及時修補漏洞和關(guān)閉可疑的端口(4)盡量少用共享文件夾(5)運行實時監(jiān)控程序(6)經(jīng)常升級系統(tǒng)和更新病毒庫(7)限制使用不必要的具有傳輸能力的文件木馬的預(yù)防第2章病毒防范技術(shù)71木馬預(yù)防方法和措施：木馬的預(yù)防第2章病毒防范技術(shù)71蠕蟲則是一種通過網(wǎng)絡(luò)進行傳播的惡性代碼。蠕蟲病毒和普通病毒有著很大的區(qū)別。它具有普通病毒的一些共性，例如傳播性、隱蔽性、破壞性等；同時也具有一些自己的特征，例如不利用文件寄生、可對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相標(biāo)是網(wǎng)絡(luò)內(nèi)的所有計算機。蠕蟲第2章病毒防范技術(shù)72蠕蟲則是一種通過網(wǎng)絡(luò)進行傳播的惡性代碼。蠕蟲第2章病毒防范1)根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用戶的蠕蟲病毒和面向個人用戶的蠕蟲病毒。2)按其傳播和攻擊特征，可將蠕蟲病毒分為3類，即漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲病毒。蠕蟲的分類第2章病毒防范技術(shù)731)根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用(1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行

攻擊。

(2)傳播方式多樣化。(3)病毒制作技術(shù)與傳統(tǒng)病毒不同。4)與黑客技術(shù)相結(jié)合。蠕蟲的技術(shù)特點與發(fā)展第2章病毒防范技術(shù)74(1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行蠕蟲的技術(shù)習(xí)題與思考題2.1試述網(wǎng)絡(luò)安全所面臨的主要潛在威脅。2.2怎么樣合理應(yīng)用殺毒軟件？2.3什么是蠕蟲病毒？怎樣查殺？2.4木馬有哪些特征？如何防范？2.5簡述你所知道的系統(tǒng)安全工具。2.6怎樣用最簡單的方法查殺“偽成績單”病毒？第2章病毒防范技術(shù)75習(xí)題與思考題2.1試述網(wǎng)絡(luò)安全所面臨的主要潛在威脅。第2謝謝！第2章病毒防范技術(shù)76第2章病毒防范技術(shù)76網(wǎng)絡(luò)空間信息安全第2章病毒防范技術(shù)網(wǎng)絡(luò)空間信息安全第2章病毒防范技術(shù)本章主要內(nèi)容2.1計算機病毒及病毒防范技術(shù)概述2.2惡意代碼2.3典型計算機病毒的檢測與清除2.4病毒現(xiàn)象與其他故障的判別第2章病毒防范技術(shù)78本章主要內(nèi)容2.1計算機病毒及病毒防范技術(shù)概述第2章病毒2.1計算機病毒及病毒防范技術(shù)病毒的起源1、科幻起源說2、惡作劇起源說3、游戲程序起源說4、軟件商保護軟件起源說第2章病毒防范技術(shù)792.1計算機病毒及病毒防范技術(shù)病毒的起源第2章病毒防范技計算機病毒的發(fā)展50年代：美國電報電話公司貝爾實驗室的一些科學(xué)家開始用一種稱為“核心大戰(zhàn)（CoreWar）”的計算機代碼游戲進行實驗?！嬎銠C病毒的雛形。

60年代：有人開發(fā)了一種稱為“生存(Living)”的軟件，該軟件可進行自我復(fù)制?！徽J為是玩笑。70年代：計算機黑客們對這類程序的研究有了很大的進展，但仍未有真正的病毒攻擊。80年代：真正的“計算機病毒”出現(xiàn)在1981年。該病毒通過磁盤進行感染，但結(jié)果只是關(guān)掉顯示器或讓顯示的文本閃爍或顯示一大堆無意義的信息。第2章病毒防范技術(shù)80計算機病毒的發(fā)展50年代：美國電報電話公司貝爾實驗室的一些科計算機病毒的發(fā)展20世紀(jì)90年代至21世紀(jì)初：幾乎年年都會出現(xiàn)新的病毒品種，其影響的范圍越來越廣，對計算機的硬件和軟件的破壞性也越來越嚴重。2004年：“竊取賬號病毒”、網(wǎng)銀大盜、證券大盜2005～2008年：木馬流行

如今，計算機病毒變得更加活躍，木馬、蠕蟲、后門等層出不窮，甚至出現(xiàn)流氓軟件。第2章病毒防范技術(shù)81計算機病毒的發(fā)展20世紀(jì)90年代至21世紀(jì)初：幾乎年年都會出主動性：病毒程序的目的就是侵害他人計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)，在計算機運行程序的過程中，病毒始終以功能過程的主體出現(xiàn)，而形式則可能是直接或間接的。傳染性：基本特征，病毒的設(shè)計者總是希望病毒能夠在較大的范圍內(nèi)實現(xiàn)蔓延和傳播。隱蔽性：計算機病毒都是一些可以直接或間接運行的具有較高技巧的程序，它們可以隱藏在操作系統(tǒng)中，也可以隱藏在可執(zhí)行文件或數(shù)據(jù)文件中，目的是不讓用戶發(fā)現(xiàn)它的存在表現(xiàn)性：病毒一旦被啟動，就會立刻開始進行破壞活動。為了能夠在合適的時機開始工作，必須預(yù)先設(shè)置觸發(fā)條件并且首先將其設(shè)置為不觸發(fā)狀態(tài)。破壞性：任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。計算機病毒的特點第2章病毒防范技術(shù)82主動性：病毒程序的目的就是侵害他人計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)，在1、依據(jù)病毒寄生的媒介分類

分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒。2、依據(jù)其破壞性分類

良性病毒和惡性病毒。3、按其傳染途徑

駐留內(nèi)存型病毒和非駐留內(nèi)存型病毒。4、按其不同算法分類

伴隨型病毒、“蠕蟲”型病毒、寄生型病毒、

練習(xí)型病毒等5、按傳染對象不同分類

引導(dǎo)區(qū)型病毒、文件型病毒、混合型病毒、宏病毒計算機病毒的分類第2章病毒防范技術(shù)831、依據(jù)病毒寄生的媒介分類計算機病毒的分類第2章病毒防范技2.2惡意代碼

惡意代碼(MaliciousCodes)是一種用來實現(xiàn)某些惡意功能的代碼或程序。

通常，這些代碼在不被用戶察覺的情況下寄宿到另一段程序中，從而達到破壞被感染計算機數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染的系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。惡意代碼定義第2章病毒防范技術(shù)842.2惡意代碼惡意代碼(Malicio惡意代碼類型定

義特點病毒在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機使用，并能夠自我復(fù)制的計算機程序代碼傳染性、破壞性、潛伏性蠕蟲能夠通過計算機網(wǎng)絡(luò)進行自我復(fù)制，消耗計算機資源和網(wǎng)絡(luò)資源的程序

掃描、攻擊、傳播木馬能夠與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡(luò)遠程控制本地計算機的程序欺騙、隱藏、竊取信息

后門能夠避開計算機的安全控制，使遠程計算機能夠連接本地計算機的程序潛伏邏輯炸彈能夠嵌入計算機程序、通過一定條件觸發(fā)破壞計算機的程序潛伏、破壞惡意代碼的部分類型第2章病毒防范技術(shù)85惡意代碼類型定義特點病毒在計算機程序中插入的破壞計算機功木馬背景介紹

“木馬”一詞來自于“特洛伊木馬”，英文名稱為“Trojanhorse”。據(jù)說該名稱來源于古希臘傳說木馬第2章病毒防范技術(shù)86木馬背景介紹木馬第2章病毒防范技術(shù)10

木馬是一種可以駐留在對方服務(wù)器系統(tǒng)中的一種程序。木馬程序一般由服務(wù)器端程序客戶端程序兩部分構(gòu)成。木馬定義第2章病毒防范技術(shù)87木馬定義第2章病毒防范技術(shù)11隱蔽性特點非授權(quán)性特點木馬的特點第2章病毒防范技術(shù)88隱蔽性特點木馬的特點第2章病毒防范技術(shù)121）遠程控制型2）密碼發(fā)送型3）鍵盤記錄型4）DoS攻擊型5）代理木馬6）FTP木馬7）程序殺手木馬8）反彈端口型木馬9）破壞性質(zhì)的木馬木馬的分類第2章病毒防范技術(shù)891）遠程控制型木馬的分類第2章病毒防范技術(shù)131）查看開放端口

當(dāng)前最為常見的木馬通常是基于TCP/UDP協(xié)議進行客戶端與服務(wù)器端之間通信的，因此我們可以遁過查看在本機上開放的端口，看是否有可疑的程序打開了某個可疑的端口。

假如查看到有可疑的程序在利用可疑端口進行連接，則很有可能就是感染了木馬。查看端口的方法通常有以下幾種：使用Windows本身自帶的netstat命令。使用Windows下的命令行工具fporto

使用圖形化界面工具ActivePortSo木馬類程序的檢測與清除第2章病毒防范技術(shù)901）查看開放端口木馬類程序的檢測與清除第2章病毒防范技術(shù)12）查看和恢復(fù)Win.ini和System．ini系統(tǒng)配置文件

查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木馬通過修改Win.ini文件中Windows節(jié)下的“l(fā)oad=file.exe，run=file.exe"語句進行自動加載，還可能修改System.ini中的boot節(jié)，實現(xiàn)木馬加載。木馬類程序的檢測與清除第2章病毒防范技術(shù)912）查看和恢復(fù)Win.ini和System．ini系統(tǒng)配置文3）查看啟動程序并刪除可疑的啟動程序

如果木馬自動加載的文件是直接通過在Windows菜單中自定義添加的，一般都會放在主菜單的“開始”→“程序”→“啟動”處，在Windows資源管理器里的位置是“C：＼Windows\startmenu\programs\啟動”處。木馬類程序的檢測與清除第2章病毒防范技術(shù)923）查看啟動程序并刪除可疑的啟動程序木馬類程序的檢測與清除第4）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程

在對木馬進行清除時，首先要停止木馬程序的系統(tǒng)進程。例如，Hack.Rbot病毒除了將自冊表，以便病毒可隨時自啟動?？吹接心抉R程序在運行時，需要馬上停止系統(tǒng)進程，并進行下一步操作，修改注冊表和清除木馬文件。木馬類程序的檢測與清除第2章病毒防范技術(shù)934）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程木馬類程序的檢測與清除第5）查看和還原注冊表

木馬一旦被加載，一般都會對注冊表進行修改。值得注意的是，可能有些木馬會不允許執(zhí)行．Exe文件，這時就要先將regedit.exe改成系統(tǒng)能夠運行的形式，如改成R。木馬類程序的檢測與清除第2章病毒防范技術(shù)945）查看和還原注冊表木馬類程序的檢測與清除第2章病毒防范技6）使用殺毒軟件和木馬查殺工具檢測和清除木馬

最簡單的檢測和刪除木馬的方法是安裝木馬查殺軟件例如KV3000、瑞星、“木馬克星”、“木馬終結(jié)者”等。木馬類程序的檢測與清除第2章病毒防范技術(shù)956）使用殺毒軟件和木馬查殺工具檢測和清除木馬木馬類程序的檢測木馬預(yù)防方法和措施：(1)不隨意打開來歷不明的電子郵件，阻塞可疑郵件(2)不隨意下載來歷不明的軟件(3)及時修補漏洞和關(guān)閉可疑的端口(4)盡量少用共享文件夾(5)運行實時監(jiān)控程序(6)經(jīng)常升級系統(tǒng)和更新病毒庫(7)限制使用不必要的具有傳輸能力的文件木馬的預(yù)防第2章病毒防范技術(shù)96木馬預(yù)防方法和措施：木馬的預(yù)防第2章病毒防范技術(shù)20蠕蟲則是一種通過網(wǎng)絡(luò)進行傳播的惡性代碼。蠕蟲病毒和普通病毒有著很大的區(qū)別。它具有普通病毒的一些共性，例如傳播性、隱蔽性、破壞性等；同時也具有一些自己的特征，例如不利用文件寄生、可對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相標(biāo)是網(wǎng)絡(luò)內(nèi)的所有計算機。蠕蟲第2章病毒防范技術(shù)97蠕蟲則是一種通過網(wǎng)絡(luò)進行傳播的惡性代碼。蠕蟲第2章病毒防范1)根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用戶的蠕蟲病毒和面向個人用戶的蠕蟲病毒。2)按其傳播和攻擊特征，可將蠕蟲病毒分為3類，即漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲病毒。蠕蟲的分類第2章病毒防范技術(shù)981)根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用(1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行

攻擊。

(2)傳播方式多樣化。(3)病毒制作技術(shù)與傳統(tǒng)病毒不同。4)與黑客技術(shù)相結(jié)合。蠕蟲的技術(shù)特點與發(fā)展第2章病毒防范技術(shù)99(1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行蠕蟲的技術(shù)1、“要命的”端口2、“敵人的”進程3、“小心”！遠程管理軟件4、“專業(yè)人士”幫你免費檢測5、自己掃描自己6、別小瞧WindowsUpdate2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1001、“要命的”端口2.3典型計算機病毒的常見計算機病毒的1、“要命的”端口2、“敵人的”進程3、“小心”！遠程管理軟件4、“專業(yè)人士”幫你免費檢測5、自己掃描自己6、別小瞧WindowsUpdate2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1011、“要命的”端口2.3典型計算機病毒的常見計算機病毒的1、“要命的”端口計算機要與外界進行通信，必須通過一些端口。別人要想入侵和控制網(wǎng)絡(luò)計算機，也要從某些端口連接進來。只要查看一下系統(tǒng)，就會發(fā)現(xiàn)其開放了139、445、3389、4899等重要端口，要知道這些端口都可以為黑客入侵提供便利，尤其是4899，可能是入侵者安裝的后門工具Radmin打開的，入侵者可以通過這個端口取得系統(tǒng)的完全控制權(quán)。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1021、“要命的”端口2.3典型計算機病毒的檢測與清除常見計1、“要命的”端口在Windows環(huán)境下，通過“開始”→“運行”選項，打開“運行”窗口，輸入“command”（Windows2000/XP/2003/7下在“運行”中輸入“cmd”），進入命令提示窗口，然后輸入netstat/an，就可以看到本機端口開放和網(wǎng)絡(luò)連接情況。怎么關(guān)閉這些端口呢？因為計算機的每個端口都對應(yīng)著某個服務(wù)或者應(yīng)用程序，因此只要停止該服務(wù)或者卸載該程序，這些端口就自動關(guān)閉了。例如，可以在“計算機”→“控制面板”→“計算機管理”→“服務(wù)”中停止Radmin服務(wù)，就可以關(guān)閉4899端口了。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1031、“要命的”端口2.3典型計算機病毒的檢測與清除常見計2、“敵人的”進程在Windows7下，可以通過同時按“Ctrl+Alt+Delete”鍵調(diào)出任務(wù)管理器來查看和關(guān)閉進程；但在Windows環(huán)境下按“Ctrl+Alt+Delete”鍵只能看到部分應(yīng)用程序，有些服務(wù)級的進程卻被隱藏而無法看到了，但通過系統(tǒng)自帶的工具msinfo32還是可以看到的。在“開始”→“運行”里輸入msinfo32，進入“Microsoft系統(tǒng)信息”界面，在“軟件環(huán)境”的“正在運行任務(wù)”下可以看到本機的進程。但是在Windows環(huán)境下要想終止進程，還要通過第三方的工具來實現(xiàn)。很多系統(tǒng)優(yōu)化軟件帶有查看和關(guān)閉進程的工具，如春光系統(tǒng)修改器等。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1042、“敵人的”進程2.3典型計算機病毒的檢測與清除常見計算3、“小心”！遠程管理軟件現(xiàn)在很多人喜歡在自己的機器上安裝遠程管理軟件，如Pcanywhere、Radmin、VNC或者Windows自帶的遠程桌面，這確實方便了遠程管理維護和辦公，但同時遠程管理軟件也帶來了很多安全隱患。例如，Pcanywhere10.0及更早的版本存在著口令文件*.CIF容易被解密（解碼而非爆破）的問題，一旦入侵者通過某種途徑得到了*.CIF文件，就可以用一款被稱為Pcanywherepwd的工具破解出管理員賬號和密碼。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1053、“小心”！遠程管理軟件2.3典型計算機病毒的檢測與清除3、“小心”！遠程管理軟件要安全地遠程使用它就要進行IP限制。這里以Windows7遠程桌面為例，介紹6129端口（DameWareMiniRemoteControl使用的端口）的IP限制：進入天網(wǎng)“自定義IP規(guī)則”界面，單擊“增加規(guī)則”按鈕添加一條新的規(guī)則。在“數(shù)據(jù)包方向”中選擇“接受”，在“對方IP地址”中選擇“指定地址”，然后填寫自己的IP地址，在TCP選項卡的本地端口中填寫從6129到0，對方端口填寫從0到0，在“當(dāng)滿足上面條件時”中選擇“通行”，這樣除了自己指定的那個IP地址（這里假定為0）之外，其他人都連接不到此計算機了。安裝最新版的遠程控制軟件也有利于提高安全性，如最新版的Pcanywhere的密碼文件采用了較強的加密方案，如流行的灰鴿子。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1063、“小心”！遠程管理軟件2.3典型計算機病毒的檢測與清除4、“專業(yè)人士”幫你免費檢測很多安全站點都提供了在線檢測，可以幫助人們發(fā)現(xiàn)系統(tǒng)的問題，如天網(wǎng)安全在線推出的在線安全檢測系統(tǒng)──天網(wǎng)醫(yī)生，它能夠檢測用戶的計算機存在的一些安全隱患，并且根據(jù)檢測結(jié)果判斷系統(tǒng)的級別，引導(dǎo)用戶進一步解決系統(tǒng)中可能存在的安全隱患。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1074、“專業(yè)人士”幫你免費檢測2.3典型計算機病毒的檢測與清4、“專業(yè)人士”幫你免費檢測天網(wǎng)醫(yī)生可以提供木馬檢測、系統(tǒng)安全性檢測、端口掃描檢測、信息泄漏檢測等4個安全檢測項目，可能得出4種結(jié)果：極度危險、中等危險、相當(dāng)安全和超時或有防火墻。其他知名的在線安全檢測站點還有千禧在線以及藍盾在線檢測。另外，IE的安全性也是非常重要的，一不小心就有可能中毒，這些網(wǎng)站就是專門檢測IE是否存在安全漏洞的站點，大家可以根據(jù)提示操作。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1084、“專業(yè)人士”幫你免費檢測2.3典型計算機病毒的檢測與清5、自己掃描自己天網(wǎng)醫(yī)生主要針對網(wǎng)絡(luò)新手，而且是遠程檢測，速度比不上本地，所以如果用戶有一定的基礎(chǔ)，最好使用安全檢測工具（漏洞掃描工具）手工檢測系統(tǒng)漏洞。黑客在入侵他人系統(tǒng)之前，常常用自動化工具對目標(biāo)機器進行掃描，也可以借鑒這個思路，在另一臺計算機上用漏洞掃描器對自己的機器進行檢測。功能強大且容易上手的國產(chǎn)掃描器首推X-Scan。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1095、自己掃描自己2.3典型計算機病毒的檢測與清除常見計算機5、自己掃描自己例如，用X-Scan對某臺計算機進行完全掃描之后，發(fā)現(xiàn)了如下漏洞：[0]：端口135開放：LocationService[0]：端口139開放：NetBIOSSessionService[0]：端口445開放：Microsoft-DS[0]：發(fā)現(xiàn)NT-Server弱口令：user/[空口令][0]：發(fā)現(xiàn)“NetBIOS信息”從中我們可以發(fā)現(xiàn)Windows7弱口令的問題，這是一個很嚴重的漏洞。NetBIOS信息暴露也給黑客的進一步進攻提供了方便，解決辦法是給User賬號設(shè)置一個復(fù)雜的密碼，并在天網(wǎng)防火墻中關(guān)閉135～139端口。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1105、自己掃描自己2.3典型計算機病毒的檢測與清除常見計算機6、別小瞧WindowsUpdate微軟通常會在病毒和攻擊工具泛濫之前開發(fā)出相應(yīng)的補丁工具，只要選擇“開始”→“WindowsUpdate”選項，即可轉(zhuǎn)到微軟的WindowsUpdate網(wǎng)站，在這里下載最新的補丁程序。所以每周訪問WindowsUpdate網(wǎng)站及時更新系統(tǒng)一次，基本上就能把黑客和病毒拒之門外。2.3典型計算機病毒的檢測與清除常見計算機病毒的自檢方法第2章病毒防范技術(shù)1116、別小瞧WindowsUpdate2.3典型計算機病U盤病毒與autoruninf文件分析方法經(jīng)常使用U盤的用戶可能已經(jīng)多次遭遇了U盤病毒，U盤病毒是一種新病毒，主要通過U盤、移動硬盤傳播。目前，幾乎所有這類的病毒的最大特征都是利用autorun.inf文件來侵入，而事實上autorun.inf相當(dāng)于一個傳染途徑，經(jīng)過這個途徑入侵的病毒，理論上是“任何”病毒。因此，大家可以在網(wǎng)上發(fā)現(xiàn)，當(dāng)搜索到autorun.inf之后，附帶的病毒往往有不同的名稱。就像身體上有個創(chuàng)口，有可能進入的細菌不止一種一樣，在不同環(huán)境下進入的細菌可以不同，甚至可能是AIDS病毒。這個autorun.inf就是創(chuàng)口。因此，目前無法單純說U盤病毒就是具體的什么病毒，也因此導(dǎo)致在查殺上會存在混亂，因為U盤病毒不止一種或幾十種。其他病毒自檢與清除第2章病毒防范技術(shù)112U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法1．解析autorun.inf首先，autorun.inf文件是很早就存在的，在Windows7以前的其他Windows系統(tǒng)，若需要讓光盤、U盤插入到機器中自動運行，就要靠autorun.inf。這個文件是保存在驅(qū)動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應(yīng)該自動啟動什么程序。其他病毒自檢與清除第2章病毒防范技術(shù)113U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法但要注意到，上面反復(fù)提到“自動”，這就是關(guān)鍵。病毒作者可以利用這一點，讓移動設(shè)備在用戶系統(tǒng)完全不知情的情況下，“自動”執(zhí)行任何命令或應(yīng)用程序。因此，通過autorun.inf文件，可以放置正常的啟動程序，如經(jīng)常使用的各種教學(xué)光盤，一插入計算機就自動安裝或自動演示；也可以通過此種方式，放置任何可能的惡意內(nèi)容。其他病毒自檢與清除第2章病毒防范技術(shù)114U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法目前，相關(guān)的U盤病毒的隱藏方式如下。有了啟動方法，病毒作者肯定需要將病毒主體放進光盤或者U盤里才能使其運行，但是堂而皇之的放在U盤里肯定會被用戶發(fā)現(xiàn)而刪除，所以，病毒肯定會隱藏起來存放在一般情況下看不到的地方。一種是假回收站方式：病毒通常在U盤中建立一個“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站，而事實上，回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的。另一種是假冒殺毒軟件方式，病毒在U盤中放置一個程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實是病毒。其他病毒自檢與清除第2章病毒防范技術(shù)115U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法通常的系統(tǒng)安裝，默認是會隱藏一些文件夾和文件的，病毒就會將自己改造成系統(tǒng)文件夾、隱藏文件等，一般情況下看不到。要讓自己能看到隱藏的文件，怎么辦呢？此時，應(yīng)打開“計算機”窗口，選擇“工具”→“文件夾選項”選項，彈出一個對話框，選擇“查看”選項卡。如果U盤帶有上述病毒，還會出現(xiàn)一個現(xiàn)象，當(dāng)點擊U盤時，會發(fā)現(xiàn)多了一些東西。帶病毒的U盤右鍵多了“自動播放”、“Open”、“Browser”等項目；殺毒后則沒有這些項目。其他病毒自檢與清除第2章病毒防范技術(shù)116U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法2．RavMonE.exe病毒解決方法RavMonE.exe病毒運行后，會出現(xiàn)同名的一個進程，該程序貌似并沒有顯著危害。程序大小為3.5MB，貌似用Python寫的，一般會占用19～20MB的資源，在Windows目錄內(nèi)隱藏為系統(tǒng)文件，且自動添加到系統(tǒng)啟動項內(nèi)。其生成的Log文件常含有不同的六位數(shù)字，可能有竊取帳號、密碼之類的危害，由于該疑似病毒文件過于巨大，一般隨移動存儲器傳播。其他病毒自檢與清除第2章病毒防范技術(shù)117U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法2．RavMonE.exe病毒解決方法解決方法：（1）打開任務(wù)管理器，終止所有ravmone.exe進程。（2）進入C:\windows，刪除其中的RavMonE.exe。（3）進入C:\windows，運行regedit.exe，在左邊依次打開HK_Local_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項數(shù)值是C:\windows\ravmone.exe，將其刪除即可。（4）完成后，病毒就被清除了。其他病毒自檢與清除第2章病毒防范技術(shù)118U盤病毒與autoruninf文件分析方法其他病毒自檢與清除U盤病毒與autoruninf文件分析方法3．查殺U盤中的病毒的方法對移動存儲設(shè)備，如果中毒，則在文件夾選項中取消勾選隱藏受保護的操作系統(tǒng)文件，勾選顯示所有文件和文件夾，單擊“確定”按鈕