瑞星技能工程师培训【精品推荐】.pptVIP

瑞星病毒防范技能工程师培训 什么是计算机病毒 计算机病毒的定义 为达到特殊目的而制作和传播的计算机代码或程序”，或者被称为“恶意代码” 计算机病毒的特征 非法性 隐蔽性 一些蠕虫病毒非常注重隐藏和伪装自己 兄弟病毒 （play.exe ） 潜伏性 长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块 触发性 满足其触发条件或者激活病毒的传染机制就会使之进行传染或者激活病毒的表现部分或破坏部分 表现性 破坏性 传染性 计算机病毒最重要的特征 针对性 变异性 不可预见性 计算机病毒的结构 引导部分 将病毒主体加载到内存，为传染部分做准备 传染部分 将病毒代码复制到传染目标上去。 表现或破坏部分 病毒间差异最大的部分，前两个部分也是为这部分服务的 计算机病毒的存储结构 磁盘分区包括（FDISK可创建硬盘分区表） 主引导记录区（只有硬盘有） 引导记录区 文件分配表（FAT） 目录区和数据区 计算机病毒的分类 根据寄生的数据存储方式划分 引导区型 文件型 混合型 混合型病毒同时具备引导型和文件型两类病毒特征，又称综合型或复合型病毒。这类病毒既感染磁盘引导区，又感染可执行文件 根据病毒的破坏情况划分 良性病毒 恶性病毒 在代码中包含损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用 根据运行的连续性分类 驻留内存型 应用程序把要执行的部分在内存中驻留一份，这样就可不必在每次要执行它的时候都到硬盘中搜寻，从而可以提高效率 非驻留内存型 几种具有代表性的病毒类型 宏病毒 蠕虫病毒 特洛伊木马病毒 变形型病毒和生成机病毒 （病毒大面积爆发） 计算机病毒的入侵方式 源代码嵌入攻击 代码取代攻击 外壳寄生入侵 系统修改入侵 （病毒目前的主流入侵方式 ） 病毒发展史（五代病毒） 单机，单一 混合 变形 网络 传播途径 CIH病毒 （损坏电脑的硬件 ） “欢乐时光”病毒（蠕虫类病毒） 计算机病毒的发展趋势 智能化 人性化 人性化称为诱惑性。现在的计算机病毒越来越注重利用人们的心理因素，如好奇、贪婪等 隐蔽化 多样化 专用病毒生成工具 攻击反病毒软件 计算机病毒的危害 绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些计算机新手尚不具备独立编制软件的能力，只是出于好奇或其他原因修改别人的病毒，从而造成错误 计算机病毒介绍 DOS病毒介绍 DOS操作系统 具有文件管理方便、外设支持良好、兼容性好和小巧稳定等优点。但与此同时，DOS是一个单用户、单任务的操作系统，因此使用起来有很大的局限性 DOS病毒 针对DOS操作系统开发的病毒，是出现最早、数量最多、变种也最多的计算机病毒 通常在特定条件下发作 文件型病毒 绝大多数文件型病毒属于外壳病毒（软件层次结构） 感染.COM和.EXE等可执行文件 （Portable Executable ） 文件病毒不但可以感染DOS系统文件，还可以感染Windows系统、Linux 、UNIX系统 宏病毒 利用Word VBA 进行编写的一些宏（早期的宏病毒都是用Word VBA语言编写的 寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活并转移到计算机上，然后驻留在Normal模板上 (*.dot) 引导型病毒（大麻，小球，WYX） 改写磁盘上的引导扇区的内容， 软盘或硬盘都有可能感染病毒，改写硬盘上的分区表（FAT），使所有的硬盘分区及数据丢失 WYX病毒（移动0，63到60，61 可恢复） 蠕虫病毒 传播速度最快、传播范围最广 利用微软的系统漏洞 “红色代码”、“尼姆达”、“sql蠕虫王” ，“SCO炸弹” 利用Email邮件迅速传播 “爱虫病毒”和“求职信病毒” 邮件都会带有“自动启动漏洞”功能，即当用户打开邮件的时候其附件就会自动启动 独立的程序，避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。 利用系统提供的应用编程接口（API） 木马病毒 自动运行 利用Autoexec.bat和Config.sys进行加载； 修改注册表（*.reg）； 修改win.ini文件； 感染Windows系统文件，以便进行自动启动并达到自动隐藏的目的 盗号 在后台运行，往往能够将用户敲击键盘的动作记录下来，再发送给欺诈者 木马的隐藏性(灰鸽子) 将自己伪装成系统文件 将木马病毒的服务端伪装成系统服务 将木马程序加载到系统文件中 Windows启动都会启动木马 充分利用端口隐藏 默认有65536个端口，一般是1024以上的高端口 自动备份 为了避免在被发现之后清除，有些木马会自动进行