病毒的分类及企业防病毒体系的建立.pptVIP

策略 #4： 一般漏洞利用阻截 步骤 1：总结新漏洞的“形状”特征 步骤 2：以该形状作为特征，扫描网络流量并阻截与其匹配的任何数据 立即阻截所有的新蠕虫，无需特定的特征。 思想： 正如只有形状正确的钥匙才能打开锁一样，只有“形状”正确的蠕虫才能利用漏洞进行攻击。 如果能阻挡扫描流量，发现不了有漏洞的机器？ 可能是一条指令，也可能是下载一个执行程序 扫描具有漏洞的机器 如果能检测出这些攻击指令 如果能检测出这些病毒程序？ 1、客户端防火墙技术 2、客户端入侵检测技术 3、客户端防病毒技术 有效的终端病毒防护技术 企业级病毒防护体系的构建 纵深的防御体系--在传统客户端和服务器层次的防病毒体系外，增加服务器防病毒、网络防病毒和网关防病毒（FTP/HTTP/HTTPS）可以大大加强企业防病毒的能力，形成纵深的防御体系，这是因为增加的防病毒系统可以在最常见的网络传播途径上拦截和清除病毒，并与客户端和文件服务器层次的防病毒联合，形成能够对付复合型病毒的强大的企业防病毒体系架构。 目 录 病毒的定义、类型和分类 病毒的现状和趋势 防范技术和措施 病毒案例分析和清除方法 病毒案例分析—Blaster（冲击波）病毒 Blaster原理：W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 (此漏洞的信息请参见 Microsoft Security Bulletin MS03-026) RPC 提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF（开放式软件基础）RPC 协议，但增加了一些 Microsoft 特定的扩展 。 RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。实际上是一个缓冲区溢出漏洞，成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制，可以以本地系统权限执行任意指令。 Blaster病毒症状 上网时弹出RPC服务终止的对话框倒计时60秒反复重启 IE浏览器不能正常地打开链接； 右键菜单不能复制粘贴； 有时出现应用程序，比如Word异常； 网络变慢； 在任务管理器里有一个“msblast.exe”进程在运行 Blaster手动清除方法 用任务管理器结束msblast.exe进程。 病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。注意：%systemdir%是指操作系统安装目录中的系统目录，默认是：“C：\Windows\system”或：“c：\Winnt\system32”。 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入：“”windows auto update“”=“”msblast.exe“”，进行自启动，用户可以手工清除该键值。 专杀工具查杀 下载安装补丁MS03-026。注意：操作系统为NT，请务必先装SP6；操作系统为Win2000，请您务必先安装sp4；操作系统为 Winxp，请您务必先安装sp1。 下载或拷贝病毒查杀工具到本地。 断掉网络连接 重起系统，进入安全模式。在安全模式下运行专杀工具进行全机扫描，反复两次。 养成良好的日常应用计算机的习惯（1） 1、计算机尽量不要用软盘光盘U盘启动，关机前应将驱动器内的软盘取出； 2、给计算机的用户添加密码； 3、不要关闭防病毒等终端防护系统； 4、不要浏览不明网页（特别是黑客网站）； 5、邮件带有附件的应另存后再打开，不要直接打开； 养成良好的日常应用计算机的习惯（2） 6、对重要数据经常备份； 7、不要轻易打开及时通讯工具上发送的连接； 8、不要下载和安装来历不明的软件； 9、及时给计算机的防病毒及终端安全防护软件的升级； 10、及时打计算机补丁； 11、不要使用桌面和系统默认的目录存放重要文件 * * * * * * * * * * * * * * * * * * * * * 计算机病毒 目 录 病毒的定义、类型和分类 病毒的现状和趋势 防范技术和措施 病毒案例分析和清除方法 计算机病毒定义 广义定义：能构引起计算机故障，破坏计算机数据的程序统称为计算机病毒。法律规定计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 狭义定义：主要指传统型病毒，即依靠感染宿主文件，当宿主文件被执行或加载时病毒得以爆发并传播。 广义病毒：狭义病毒、蠕虫、木马。 引导型病毒 宏病毒 文件型病毒 邮件型病毒 网站脚本病毒 特洛伊木马 蠕虫 计算机病毒分类（广义） 引导