网络安全与病毒防范 (2).pptVIP

防毒 由防火墙、路由器、交换机组成第一道防线； 在关键服务器上部署防毒软、硬件构成第二道防线； 在主机上部署防毒软件构成第三道防线； 在关键节点设置扫描监控，防止内网病毒传播； 对可疑数据、行为向管理员或目标机自动示警； 监控与扫描 活动监测； 实时扫描； 完整性检查； 内容扫描； 启发式扫描（预执行对比）； 错误警告； 谢 谢 ！ 病毒传染机制 病毒传染： 立即传染； 驻留内存伺机传染； 病毒传播方式： 电子邮件传播； 网络共享传播； 系统漏洞传播； P2P共享软件传播； 即时通信软件传播； 移动存储介质传播； P129-133 病毒触发机制 病毒的触发条件是控制病毒攻击性和潜伏性的调整杠杆； 触发条件容易，则攻击性强； 触发条件苛刻，则潜伏性强； 主要的触发条件： 日期、时间触发； 键盘触发； 感染触发（程序执行、拷贝，查看文件）； 启动触发； 访问磁盘次数触发； 调用中断功能触发； 硬件配型触发； 病毒自动执行机制 病毒会利用系统中的一些设置来保证自身被自动执行； 自启动方式： 修改系统注册表； 修改系统配置文件（win.ini、system.ini等）； 添加自身为系统服务； 系统启动文件夹； 绑定其他程序，文件关联； 其它方式； 可疑系统诊断 对于怀疑有病毒的系统可从几个方面进行检查： 用户账户情况； 网络共享情况； 安全设定检查； 漏洞扫描； 病毒查杀； 查看开启端口（netstat -na）； 检查系统、数据库日志； 利用软件工具对系统进行诊断 System Information Collet Tool(SIC) TCPView 被感染系统的处理 终止恶意程序； 检查注册表，删除有害的自启动项目； 关闭危险的通讯端口； 下载补丁，弥补系统漏洞； 查找病毒程序及被感染程序，删除或清除病毒文件； 系统整体查毒、杀毒； 重装系统； 第十一章 传统计算机病毒 计算机病毒 最初计算机病毒主要依靠软盘等存储介质进行传播，而目前87%的病毒通过电子邮件进行传播； 病毒的一般行为： 感染有可执行代码的程序或文件； 通过网络传播； 消耗内存，影响系统运行速度； 造成引导失败或破坏扇区； 引发硬盘格式化或数据丢失； 影响程序运行； 破坏防毒程序； 计算机病毒术语（1） 术语 解释 有效负载 是执行病毒或恶意代码目标的代码。 在野病毒 正在传播并感染用户的病毒。 实验室病毒 存在于受控环境中的病毒，不会在公众环境中出现。 同伴病毒 对目标程序进行重命名并将自己改名为目标 程序。用户执行目标程序时，执行该病毒。 隧道病毒 在DOS和BIOS中寻找中断处理程序将自己安装在防毒软件以下，因此可逃过查毒检查。 直接行动病毒 在每次宿主程序被执行时会感染一个或多个其他程序。 计算机病毒术语（2） 术语 解释 内存病毒 被感染的程序首次执行时，病毒将驻留内存，将感染其他进驻内存执行的程序。 隐密型病毒 采用伪装、改变系统信息等手段逃避检测的病毒。 潜伏病毒 隐藏在系统中伺机触发的病毒。 多形态病毒 每次传染都改变自己的编码结构或进行加密，从而形成不同形态的病毒。 引导扇区病毒 引导扇区病毒感染硬盘的主引导记录MBR(master boot record)； MBR通常处于第一个扇区，是计算机开启后读取的第一个扇区； MBR记录着计算机OS在什么位置，如何加载OS至内存中； 开机时会首先读取引导扇区上的病毒进驻内存，并感染或破坏计算机上的文件，甚至破坏引导扇区本身； 感染引导扇区病毒特征 坏扇区较多： 病毒会复制引导扇区和病毒代码至其他扇区，造成坏扇区的假象； 易出现读盘错误： 当病毒代码破坏了引导区数据时，易出现读盘错误； 文件感染病毒 文件感染病毒会感染可执行的程序，如带有.COM、.EXE或.SYS后缀名的文件； 被感染文件执行时，病毒进驻内存，同时感染其他的可执行程序文件； 文件感染病毒种类较多，大致可分为： DOS病毒； Windows病毒； 宏病毒； Java病毒； Shockwave病毒； DOS病毒 正常DOS文件数据 原始文件头 正常DOS文件： 染毒DOS文件： 正常DOS文件数据 原始文件头 病毒代码 病毒文件头 原始文件头 DOS病毒感染特征 文件大小变大； 计算机内存无故变小； 某些程序执行无效； WINDOWS病毒 与DOS病毒在感染和攻击环节十分类似，所不同的是主要针对Windows系统中的程序和文件； 染毒特征： 在任务管理器中有莫名的任务或进程； 系统注册表和配置文件被修改； 系统响应缓慢，闲置内存容量迅速减少； 宏病毒 宏病毒是利用一些数据处理系统内置宏命令编程语言的特性而形成的； 可以在文档、表格等数据处理系统中应用宏命令来简化数据处理，或是添加特有的数据处理特性； 宏病毒可以把特定的宏命令代码附