病毒防范技术 教学课件电子教案.pptxVIP

;网络空间信息安全;本章主要内容;2.1 计算机病毒及病毒防范技术;计算机病毒的发展;计算机病毒的发展;主动性：病毒程序的目的就是侵害他人计算机系统或者网络系统，在计算机运行程序的过程中，病毒始终以功能过程的主体出现，而形式则可能是直接或间接的。 传染性：基本特征，病毒的设计者总是希望病毒能够在较大的范围内实现蔓延和传播。 隐蔽性：计算机病毒都是一些可以直接或间接运行的具有较高技巧的程序，它们可以隐藏在操作系统中，也可以隐藏在可执行文件或数据文件中，目的是???让用户发现它的存在 表现性：病毒一旦被启动，就会立刻开始进行破坏活动。为了能够在合适的时机开始工作，必须预先设置触发条件并且首先将其设置为不触发状态。 破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。 ;1、依据病毒寄生的媒介分类 分为网络病毒、文件病毒和引导型病毒。 2、依据其破坏性分类 良性病毒和恶性病毒。 3、按其传染途径 驻留内存型病毒和非驻留内存型病毒。 4、按其不同算法分类 伴随型病毒、“蠕虫”型病毒、寄生型病毒、 练习型病毒等 5、按传染对象不同分类 引导区型病毒、文件型病毒、混合型病毒、宏病毒 ;2.2 恶意代码;恶意代码类型;木马背景介绍 “木马”一词来自于“特洛伊木马”，英文名称为“Trojan horse”。据说该名称来源于古希腊传说; 木马是一种可以驻留在对方服务器系统中的一种程序。木马程序一般由服务器端程序客户端程序两部分构成。;隐蔽性特点 非授权性特点;1）远程控制型 2）密码发送型 3）键盘记录型 4）DoS攻击型 5）代理木马 6）FTP木马 7）程序杀手木马 8）反弹端口型木马 9）破坏性质的木马 ;1）查看开放端口 当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的，因此我们可以遁过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。 假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是感染了木马。查看端口的方法通常有以下几种： 使用Windows本身自带的netstat命令。 使用Windows下的命令行工具fporto 使用图形化界面工具Active PortSo ;2）查看和恢复Win.ini和System．ini系统配置文件 查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木马通过修改Win.ini文件中Windows节下的“load=file.exe，run=file.exe语句进行自动加载，还可能修改System.ini中的boot节，实现木马加载。;3）查看启动程序并删除可疑的启动程序 如果木马自动加载的文件是直接通过在Windows菜单中自定义添加的，一般都会放在主菜单的“开始”→ “程序”→“启动”处，在Windows资源管理器里的位置是 “C：＼Windows\startmenu\programs\启动”处。;4）查看系统进程并停止可疑的系统进程 在对木马进行清除时，首先要停止木马程序的系统进程。例如，Hack.Rbot病毒除了将自册表，以便病毒可随时自启动。看到有木马程序在运行时，需要马上停止系统进程，并进行下一步操作，修改注册表和清除木马文件。 ;5）查看和还原注册表 木马一旦被加载，一般都会对注册表进行修改。 值得注意的是，可能有些木马会不允许执行．Exe 文件，这时就要先将regedit.exe改成系统能够运行的形式，如改成R。;6）使用杀毒软件和木马查杀工具检测和清除木马 最简单的检测和删除木马的方法是安装木马查杀软件例如KV 3000、瑞星、“木马克星”、“木马终结者”等。;木马预防方法和措施： (1)不随意打开来历不明的电子邮件，阻塞可疑邮件 (2)不随意下载来历不明的软件 (3)及时修补漏洞和关闭可疑的端口 (4)尽量少用共享文件夹 (5)运行实时监控程序 (6)经常升级系统和更新病毒库 (7)限制使用不必要的具有传输能力的文件 ;蠕虫则是一种通过网络进行传播的恶性代码。 蠕虫病毒和普通病毒有着很大的区别。 它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相标是网络内的所有计算机。 ;1)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和 面向个人用户的蠕虫病毒。 2)按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。;(1)利用操作系统和应