计算机系统安全（第2版）课件 27Windows病毒.pptVIP

* * * * * * Windows环境下的病毒 * 定义 狭义：潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活时具有传染性、破坏性的一组程序或指令集合 广义：传统病毒/蠕虫/木马间谍程序/流氓病毒/广告程序/恶作剧程序/类病毒（下载器等），以及对系统漏洞进行利用并传播的恶意程序等 * 病毒类型 按传播方式划分 系统漏洞/电子邮件/网页漏洞植入/主动挂马/局域网共享钓鱼/捆绑安装/多媒体嵌入/二次下载/社会工程学欺骗（某些下载站或链接、钓鱼等）/后门程序 按加载/激活方式划分 内核驱动型/DLL注入型/一般普通型 按感染对象划分 感染引导区、感染磁盘根目录、感染系统文件、感染特定类型文件、感染随机文件、感染移动介质、感染局域网等 * 检测的基本流程（1） 现象分析 用户感官 系统运行参数（CPU/Memory利用率、网络资源占用等） 程序响应速度 错误提示 典型破坏现象（如用户文档数据丢失或破坏等） 系统开放的侦听端口 其他异常 * 检测的基本流程（2） 进程分析 Sysshield/IceSword等 隐藏进程分析 其他异常 端口/协议分析 Netstat –an SysShield Currports 防火墙捕获的日志信息 * 检测的基本流程（3） 加载方式和加载项分析 注册表：自动加载项检查 开始菜单：启动项检查 实用工具 Msconfig Auto