网络病毒防治技术.ppt

*7.2.2宏病毒1.宏病毒简介2.宏病毒的特点3.宏病毒的预防4.宏病毒的清除第30页，共72页，星期日，2025年，2月5日*7.2.3蠕虫病毒1.蠕虫病毒的定义蠕虫（Worm）是一种通过网络传播的恶性病毒，通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。第31页，共72页，星期日，2025年，2月5日*2.蠕虫病毒的基本结构和传播过程3.蠕虫病毒实例——爱情后门爱情后门（Worm.Lovgate）是一种危害性很强的蠕虫病毒，其发作时间是随机的，主要通过网络和邮件来传播，感染对象为硬盘文件夹。第32页，共72页，星期日，2025年，2月5日*7.2.4木马病毒1.木马病毒定义木马全称为特洛伊木马（TrojanHorse，英文则简称为Trojan），在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。第33页，共72页，星期日，2025年，2月5日*2.木马病毒工作原理在Windows系统中，木马一般作为一个网络服务程序在感染了木马的计算机后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。木马一般不会让人看出破绽，对于木马程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

第34页，共72页，星期日，2025年，2月5日*3.木马病毒的检测首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。第35页，共72页，星期日，2025年，2月5日*4.木马病毒的删除首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。（1）通过木马的客户端程序删除（2）手工删除5.木马病毒实例Internet上每天都有新的木马出，所采取的隐蔽措施也是五花八门。第36页，共72页，星期日，2025年，2月5日*7.3计算机病毒的症状计算机病毒是一段程序代码，虽然可能隐藏得很好，但也会留下许多痕迹。通过对这些痕迹的观察和判别，就能够发现病毒。根据病毒感染和发作的阶段，计算机病毒的症状可以分为3个阶段，计算机病毒发作前、病毒发作时和病毒发作后症状。。第37页，共72页，星期日，2025年，2月5日*7.3.1病毒发作前的症状病毒发作前是指从计算机病毒感染计算机系统、潜伏在系统内开始，一直到激发条件满足、计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏和传播为主。计算机病毒会以各种手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。第38页，共72页，星期日，2025年，2月5日*7.3.2病毒发作时的症状计算机病毒发作是指满足计算机病毒发作的条件，病毒被激活，并开始破坏行为的阶段。计算机病毒发作时的表现各不相同，这与计算机病毒编写者的心态、所采用的技术手段等密切相关。第39页，共72页，星期日，2025年，2月5日*7.3.3病毒发作后的症状硬盘无法激活，数据丢失。以前能正常运行的应用程序经常发生死机或者非法错误。系统文件丢失或被破坏。文件目录发生混乱。病毒破坏宿主程序。部分文档丢失或被破坏。文件内容颠倒。部分文件自动加密码。内部堆栈溢出。计算机重新激活时格式化硬盘。禁止分配内存。破坏主板。破坏光驱。破坏显卡。花屏。浪费喷墨打印机的墨水。系统文件的时间、日期、大小发生变化。Word文档打开后，该文件另存时只能以模板方式保存。磁盘空间迅速减少。网络驱动器卷或共享目录无法调用。基本内存发生变化。陌生人发来的电子邮件。自动链接到一些陌生的网站。第40页，共72页，星期日，2025年，2月5日*7.4反病毒技术网络反病毒技术包括预防病毒、检测病毒和杀毒等3种技术。预防病毒技术，它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术，它是通过病毒的