(18日培训资料)计算机病毒分析与防范技术.pptVIP

议程内容 本章概要 计算机病毒的概念 计算机病毒的特性 破坏性 破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。 隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。 计算机病毒的特性 计算机病毒的工作流程 计算机病毒的入侵方式 计算机病毒的传播方式 计算机病毒的分类与命名 本章概要 计算机病毒产生的根源 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的危害 本章概要 病毒的数量激增 木马、后门居首位 木马病毒窃密过程示意 2007上半年十大病毒 2007上半年全国各地疫情 黑客/病毒产业链分析 现代病毒的显著特点 议程内容 本章概要 早期病毒——DOS病毒 Office杀手——宏病毒 系统型病毒的存储结构 文件型病毒的存储结构 典型结构的简单病毒示例 互联网瘟疫——蠕虫病毒 隐藏的危机——木马病毒 本章概要 病毒“免杀”技术 病毒“免杀”技术 钩子（上） 钩子（下） 本章概要 “熊猫烧香”病毒分析与处理 “熊猫烧香”病毒分析与处理 “熊猫烧香”病毒分析与处理 “熊猫烧香”病毒分析与处理 防范和应对ARP欺骗病毒 防范和应对ARP欺骗病毒 防范和应对ARP欺骗病毒 防范和应对ARP欺骗病毒 议程内容 本章概要 反病毒产品发展史 广泛使用的反病毒技术 本章概要 一些基本的系统概念（上） 一些基本的系统概念（下） 常见系统进程解析 自启动方式（上） 自启动方式（中） 自启动方式（下） 本章概要 计算机病毒的预防（上） 计算机病毒的预防（下） 病毒紧急手动处理步骤 议程内容 企业信息安全主要威胁 信息安全体系结构 系统安全检查清单（上） 系统安全检查清单（下） 瑞星网络安全系列产品 瑞星立体化防御体系 信息安全建设之路 谢 谢！ 四、通过System.ini文件 　 隐蔽程度: 应用程度： 说明：该文件的[Boot]域中的Shell项的正常值是“Explorer.exe”， 但可以在其后添加其他程序的路径，即使在安全模式也会启动。 五、通过某特定程序或文件启动 隐蔽程度: 应用程度： 说明：（1）捆绑或寄生于特定程序； （2）修改特定程序启动路径； （3）修改系统文件关联； 六、通过注册表启动 　　 隐蔽程度： 应用程度： 说明：这是很多Windows程序都采用的自启动方法，也是木马最常用的，下述热度递减、难度递增。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼ CurrentVersion＼RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER＼Software＼Microsoft＼WindowsNT＼ CurrentVersion＼Wind