网络安全技术及应用 第5版 第7章 计算机及手机病毒防范.pptVIP

7.4 计算机病毒的检测清除与防范 特征代码法：采集已知病毒样本，打开被检测文件，在文件搜索中检查文件是否含有病毒数据库中的病毒特征代码；因为特征代码与病毒一一对应，如果发现病毒特征代码，便可以断定被查文件中患有何种病毒。 行为检测法：利用病毒的特有行为特征对病毒进行监测的方法称为行为监测法。 检验和法：计算正常文件内容的校验和，将该校验和写入文件或写入其他文件中保存。在文件使用过程中，定期或每次使用文件前，检查文件现在内容并算出校验和，用算出的校验和与原来保存的校验和对比是否一致，因而可以发现文件是否感染，这种方法叫校验和法。 启发式扫描法 软件模拟法 7.4.1 计算机病毒的检测 将感染病毒的文件的病毒代码摘除，使之恢复成可以正常运行的健康文件，称为病毒的清除，有时称为对象恢复。 杀毒后重启,再用查杀病毒软件检查系统,并确认完全恢复正常。 7.4 计算机病毒的检测清除与防范 7.4.2 常见病毒的清除方法 杀毒不如搞好预防，病毒防范应该采用预防为主的策略。 首先在思想上要有反病毒的警惕性，依靠并使用反病毒技术和管理措施使病毒无法逾越计算机保护屏障，从而不能广泛传播。 其次，防范计算机病毒的最有效方法是切断病毒的传播途径。 7.4 计算机病毒的检测清除与防范 7.4.3 普通病毒的防范方法 7.4 计算机病毒的检测清除与防范 7.4.4 木马和蠕虫病毒的检测与防范 美国利用木马病毒实施攻击。国家计算机病毒应急处理中心和360公司于2022年9月先后发布，从西北工业大学的多个信息系统和上网终端中提取到多款木马样本。查验相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（TAO）。调查发现，近年中美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。 案例7-5 1.木马病毒 木马病毒（Trojan）是指能够控制其他计算机的特定木马程序。木马病毒是隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 完整的木马程序一般由两部分组成：一个是服务器端，一个是控制器端。“中木马”就是指安装了木马的服务器端程序，若用户设备被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制用户的设备。设备中的各种文件、程序以及使用过的账号、密码就无安全可言了。 木马病毒的特征主要包括隐蔽性、自动运行性、欺骗性、自动恢复功能、自动打开端口以及功能特殊性。冰河木马是比较典型的实例。 7.4 计算机病毒的检测清除与防范 7.4.4 木马和蠕虫病毒的检测与防范 7.4 计算机病毒的检测清除与防范 7.4.4 木马和蠕虫病毒的检测与防范 蠕虫病毒“SyncMiner”渗入单位局域网，感染电脑挖掘“门罗币”。E安全2018年6月28日消息，火绒安全团队截获新蠕虫病毒“SyncMiner” ，该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录（共享文件夹）迅速传播，入侵电脑后，会利用被感染电脑挖取“门罗币”，造成CPU占用率高达100%，并且该病毒还会通过远程服务器下载其他病毒模块，不排除盗号木马、勒索病毒等。 案例7-6 2.蠕虫病毒 蠕虫病毒是一种常见的计算机病毒，不需要计算机使用者干预就可以运行的独立程序。蠕虫病毒通过不停获取网络中存在漏洞的计算机上部分或全部控制权来进行传播。 蠕虫病毒具有计算机病毒的共性，同时还具有其个性特征，不依赖宿主寄生，而是通过复制自身在网络环境进行传播。典型的病毒有飞客蠕虫病毒和勒索蠕虫病毒。 蠕虫病毒主要特征表现在6个方面： （1）较强的独立性。 （2）利用漏洞主动攻击。 （3）传播更快更广。 （4）更好的伪装和隐藏方式。 （5）技术更加先进。 （6）使追踪变得更困难。 7.4 计算机病毒的检测清除与防范 7.4.4 木马和蠕虫病毒的检测与防范 智利银行在勒索软件攻击后关闭所有分行。? 2020年9月，科技行者网站消息，智利三大银行之一的国家银行BancoEstado上周末遭到勒索软件攻击，并宣布关闭所有分支机构。消息来源称该银行计算机感染的是 REvil (Sodinokibi)勒索软件。攻击始于一位雇员收到并打开了一份恶意 Office 文档，文档执行在银行的网络安装了一个后门。黑客