计算机病毒基本知识.ppt

几种典型的计算机病毒--熊猫烧香 几种典型的计算机病毒--熊猫烧香 几种典型的计算机病毒--熊猫烧香 6.7.5 *典型木马病毒分析 6.7.5 *典型木马病毒分析 6.7.5 *典型木马病毒分析 6.7.5 *典型木马病毒分析 计算机病毒的基本机制 传染、破坏、触发 传染机制 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。 触发机制 计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。 破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。 补 充 内 容常见计算机病毒及防御 传统计算机病毒防御 文件型病毒一般采用以下一些方法 安装最新版本、有实时监控文件系统功能的防病毒软件。 及时更新病毒引擎，最好每周更新一次，并在有病毒突发事件时立即更新。 经常使用防毒软件对系统进行病毒检查。 对关键文件，如系统文件、重要数据等，在无毒环境下备份。 在不影响系统正常工作的情况下对系统文件设置最低的访问权限。 传统计算机病毒防御 宏病毒的预防与清除 找到一个无毒的Normal.dot 文件的备份，将位于“MSOffice \Template ”文件夹下的通用模板Normal.dot文件替换掉； 对于已染病毒的文件，先打开一个无毒Word文件，按照以下菜单打开对话框： 工具-宏-安全性，设置安全性为高 脚本病毒 脚本病毒概述 脚本病毒依赖一种特殊的脚本语言（如：VBScript、JavaScript等）起作用，同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令，脚本病毒可以在多个产品环境中进行。 脚本病毒具有如下特征 编写简单 由于脚本的简单性，使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。 病毒源码容易被获取、变种多 其源代码可读性非常强 脚本病毒概述 感染力强 采用脚本高级语言可以实现多种复杂操作，感染其它文件或直接自动运行。 破坏力强 脚本病毒可以寄生于HTML或邮件通过网络传播，其传播速度非常快。脚本病毒不但能够攻击被感染的主机，获取敏感信息，删除关键文件；更可以攻击网络或者服务器，造成拒绝服务攻击，产生严重破坏。 传播范围广 这类病毒通过HTML文档，Email附件或其它方式，可以在很短时间内传遍世界各地。 采用多种欺骗手段 脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段， 脚本病毒原理 脚本病毒的传播分析 脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其它同类程序中间： 脚本病毒通过网络传播的几种方式 通过电子邮件传播 通过局域网共享传播 感染HTML、ASP、JSP、PHP等网页通过浏览器传播 通过U盘自动运行传播 其它的传播方式 脚本病毒原理 脚本病毒的获得控制权的方法分析 修改注册表项 修改自动加载项 通过映射文件执行方式 欺骗用户，让用户自己执行 desktop.ini和folder.htt互相配合 如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发folder.htt中的病毒代码。 直接复制和调用可执行文件 脚本病毒防御 脚本病毒要求被感染系统具有如下支持能力： VBScript代码是通过Windows Script Host来解释执行的，wscript.exe就是该功能的相关支持程序。 绝大部分VBS脚本病毒运行的时候需要对象FileSystemObject的支持。 通过网页传播的病毒需要ActiveX的支持 通过Email传播的病毒需要邮件软件的自动发送功能支持。 脚本病毒防御 采用以下方法防御脚本病毒 可以通过打开“我的计算机”，依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。 在IE设置中将ActiveX插件和控件以及Java相关的组件全部禁止，可以避免一些恶意代码的攻击。方法是： 打开IE，点击“工具”→“Internet选项”→“安全”→“自定义级别”，在“安全设置”对话框中，将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。 禁用文件系统对象FileSystemObject， 用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。 禁止邮件软件的自动收发邮件功能 Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。 选择一款好的防病毒软件并做好及时升级。 网络蠕虫 网络蠕虫概述 网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒