病毒知识培训(销售).ppt

第一部分 病毒知识 自启动的实现 计算机病毒也是程序，只有被执行起来才能实现其功能，因此病毒也会利用各种方法使自己在计算机每次启动后就能运行起来。实现自启动主要的方法是利用系统提供的机制，如Windows下注册表中的启动项、注册为服务程序等。另外，感染正常程序，尤其是系统程序，也可以达到病毒实现自启动的目的。 自我保护的实现 计算机病毒为了实现自己传染、破坏等目的，也会利用各种方法保护自己，使自己不被发现，不被清除。为了隐藏自己的行踪，病毒通常会设法隐藏自己的文件、进程和自启动的注册表项等。作为保护自己的另一种方法，病毒常常会主动破坏杀毒软件，通过破坏杀毒软件文件等手段使其丧失功能，以此来保护自己。 第一部分 病毒知识 2.病毒常见结构 文件结构 功能结构 第一部分 病毒知识 二、病毒的通用工作流程 1.初始化 2.对抗杀毒软件 3.自我保护 4.传染 5.破坏工作 第一部分 病毒知识 （三）、病毒的通用手段和技术 一、病毒的自启动技术 1.系统启动的流程 2.利用系统的启动机制启动 3.通过感染、修改其它文件启动 第一部分 病毒知识 二、代码注入的技术与作用 1.代码注入的概念和作用 2.代码注入的常见方法 3.病毒进行代码注入的目的 第一部分 病毒知识 三、钩子技术的原理和作用 1.钩子技术的原理和作用 2.钩子的常见类型 3.钩子的常见方法 第一部分 病毒知识 四、文件感染 1.文件感染的原理 2.文件感染的常见类型 3.被感染文件的发现和清理 第一部分 病毒知识 五、病毒传播的常见方法 1.可移动媒体传播 2.文件感染传播 3.网页挂马传播 4.下载器传播 5.邮件传播 6.即时通信软件传播 第一部分 病毒知识 六、下载文件常见方法 1.下载的常见方法 2.穿越防火墙的常见方法 第一部分 病毒知识 七、密码的盗取常见技术手段 1.密码盗取的常见方法 2.发送盗取的信息的常见方法 第一部分 病毒知识 八、rootkit技术 1.rootkit的概念和原理 Rootkit一词最早来自于Unix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着发展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的服务的一组程序或代码。 2.rootkit的作用 3.内核钩子 反病毒知识培训教程 第一部分 病毒知识 （一）病毒基础知识 一、病毒的概念和特点 1.病毒的定义 计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机发展过程中，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。 在我国，1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》对计算机病毒作出了明确的定义，《条例》第二十八条中规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 第一部分 病毒知识 2.病毒的特征 破坏性 隐藏性 传染性 潜伏性 第一部分 病毒知识 破坏性 破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。 隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。 第一部分 病毒知识 传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机