黑客与病毒防范.ppt

病毒演示 病毒演示—彩带病毒 病毒演示—女鬼病毒 病毒演示—千年老妖 病毒演示—圣诞节病毒 病毒演示—白雪公主 红色代码 1() 病毒发作现象 AIDS 幻彩 救护车 熊猫烧香 病毒名称:熊猫烧香 ，Worm.WhBoy.（金山称），Worm.Nimaya. ?? 病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香” 危险级别：★★★★★ 病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。 影响系统：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista 发现时间：2006年10月16日 来源地：中国武汉东湖高新技术开发区关山 v * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 主要内容 主要内容 宏病毒 WordBasic Visual basic for Applications (VBA) 主要内容 主要内容 宏病毒的识别 OFFICE文档文件变大 在Normal.dot模板中有AutoOpen，AutoNew，AutoClose等以Auto开头的自动宏以及FileSave，FileSaveAs，FileExit等文件操作宏及一些怪名字的宏，如AAAzao,payload等，可能感染了。 没有修改文件但应用程序提示存盘 普通的文件另存时被存为模板文件 在工具菜单中看不到宏字样，或者不可选。 打开文档时提示是否启动宏 运行过程中提示内存不足，或者打印不正常 主要内容 主要内容 宏病毒的预防 1.在OFFICE2000中启用宏病毒防护 工具—》宏—》安全性 ，选择“中”以上 主要内容 主要内容 宏病毒的预防 2.当出现提示的时候禁用宏 主要内容 主要内容 宏病毒预防 4、在Normal.dot模板文件中创建一个自己的宏(AutoExce)，具体代码为： 　　“Sub Main 　 　DisableAutoMacros 1 　　End Sub” 　　这样就能禁止其他自动宏的运行，预防宏病毒的感染。另外注意一点，此程序是在Word的“工具/宏/Visual Basic编辑器”中完成。 ] 主要内容 主要内容 宏病毒预防 6、把NORMAL.DOT模板文件属性设为只读 7、把本机内危险命令改名或删除 8、重要数据文件经常备份 9、安装最新版本的，有实时监控功能的防毒软件，并及时升级病毒库 主要内容 主要内容 宏病毒的清除 第一种情况：机器内没有中宏病毒，要打开的文件中可能含有宏病毒。 1、打开WORD，不要双击文件打开。 2、选择打开指定的文件，提示有宏时选择禁用。 主要内容 主要内容 宏病毒的清除 第二种情况：机器内已经中过宏病毒 1、删除NORMAL.dot，然后采用第一种情况中的方法对有毒文件进行操作。 2、使用杀毒软件。 主要内容 主要内容 脚本病毒 脚本病毒通常是JavaScript代码编写的恶意代码，一般带有广告性质，会修改IE首页，修改注册表等信息 这些恶意脚本会在用户通过EMAIL或浏览器时通过WSH（Windows Script Host）解释执行 并通过EMAIL或浏览器传染给其他的用户 主要内容 主要内容 脚本病毒 点击 Yes 会执行可能含有恶意代码的脚本程序，当点击 No 会出现下面的提示框. 在接收到一个含有脚本的邮件时，系统会弹出下面的提示 主要内容 主要内容 WIN 7系统中的病毒—鬼影病毒 鬼影病毒（一个认为不可能感染WIN7系统的病毒） 一、中毒所见：0、用户可见的中毒现象：即使未打开IE，进程列表中仍可见N个IE进程。1、中此毒后，SRENG日志可见下列异常：[PID: 1968 / Lenovo][C:\Users\Lenovo\AppData\Local\Temp\ie.exe] [N/A, ]进程特权扫描特殊特权被允许： SeDebugPrivilege [PID = 1968, C:\USERS\LENOVO\APPDATA\LOCAL\TEMP\IE.EXE] 主要内容 主要内容 WIN 7系统中的病毒 2、用工具查看MBR， MBR被改写为： 主要内容 主要内容 WIN 7系统中的典型病毒 3。此毒添加下列注册表项：[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]@=C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE http://10379./index.htm?id=3112将I