1、第5讲 病毒的防治,本节(课)教学目标 :,1理解计算机病毒的概念2了解病毒的危害性和特征3. 了解常用的杀毒软件,学会使用杀毒 软件查杀病毒、更新病毒库,计算机病毒基本概念,概念:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。特征:复制、感染、隐蔽、破坏。危害:病毒运行后能够损坏文件、使系统瘫痪,从而造成各种难以预料的后果。网络环境下,计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大。防治:以防为主,病原体(病毒库)是病毒防治技术的关键。, 161电影网整理发布,计算机病毒的危害及症状,计算机病毒的主要危害有:1
2、病毒激发对计算机数据信息的直接破坏作用 2占用磁盘空间和对信息的破坏 3抢占系统资源 4影响计算机运行速度 5计算机病毒错误与不可预见的危害 6计算机病毒的兼容性对系统运行的影响 7计算机病毒给用户造成严重的心理压力,计算机病毒的传播途径,通过不可移动的计算机硬件设备进行传播。通过移动存储设备来传播,这些设备包括软盘、U盘、移动硬盘等。 通过计算机网络进行传播,如网络邻居、电子邮件。 通过即时通信系统传播,如QQ、MSN。,现代病毒特点,自动传播和主动攻击:蠕虫特洛伊木马 :后门程序多种传播方式:邮件、网络共享、利用IIS、IE、SQL的漏洞来自Internet网页的威胁:网页病毒,常见病毒启
3、动方法,一、修改批处理 。如:Autoexec.bat 二、修改系统配置。如: System.ini、Win.ini 三、借助自动运行功能 。如:Windows的自动运行功能 ,Autorun.inf四、通过注册表中的Run来启动。如:注册表Run、RunOnce中添加键值。 五、通过文件关联启动。 如:EXE文件的关联六、通过API HOOK启动。如:替换系统的DLL文件 七、通过VXD启动。如:把木马写成VXD形式加载,直接控制系统底层 八、通过浏览网页启动 。如 :MIME漏洞 九、利用Java applet 。如:利用HTML把木马下载到缓存中,然后修改注册表,指向其程序。,中毒症状的
4、一般表现,计算机病毒的预防办法,慎用软盘、光盘、U盘、移动硬盘等移动存储介质 不要轻易打开电子邮件中的附件 浏览网页(特别是个人网页)时要谨慎 使用免费、共享软件时要注意先查毒 系统帐户不要使用空口令或弱密码使用共享文件夹要谨慎系统补丁更新要及时选用并正确使用反病毒软件,校园网防病毒实用技巧,及时更新系统补丁选择安全的浏览器防御U盘病毒防御ARP欺骗,及时更新系统补丁,使用自动更新或选用合适的辅助工具来进行系统补丁管理例如:360安全卫士的“修复系统漏洞”功能,选择安全的浏览器,IE已经成为各种病毒、木马、恶意网站的首要目标选用其他安全浏览器360安全浏览器能更好地兼容只支持IE核心的网站安全
5、意识不可松懈,防御U盘病毒,U盘病毒的常见症状U盘病毒的运行机制解读autorun.inf文件养成从“文件夹”访问磁盘的习惯显示隐藏文件及系统文件关闭自动播放,防御U盘病毒,U盘病毒的常见症状1、U盘或硬盘根目录下多出一些隐藏文件;2、U盘不能安全删除,只能强行拔下;3、打开U盘或硬盘根目录时会新建一个窗口查看其内容;4、无法通过更改“文件夹选项”相关设置来查看隐藏文件,或者没有“查看隐藏文件”的选项;5、此外还有:杀毒软件被禁用;与杀毒或网络安全有关的程序或者网站打不开;系统异常性出错;等等,防御U盘病毒,U盘病毒的运行机制U盘病毒在感染计算机之前,通过一个名为autorun.inf的文件达
6、到运行自身的目的。U盘根目录下如果存在autorun.inf文件(这个文件常带有只读、隐藏和系统属性),那么双击打开U盘或者通过右键菜单打开U盘的方式就可能变成了执行病毒,这时病毒本体就可以获取计算机的控制权并将病毒文件复制到系统目录及硬盘的各个分区。,防御U盘病毒,解读autorun.inf文件微软设计这个文件的初衷只是让用户插入光盘时,光盘能够自动运行指定的程序,现在被一些不法分子利用它来传播病毒。常见U盘病毒中autorun.inf的内容:AutoRun 该标志表示本U盘打开方式发生改变,并按以下内容执行open=xxx.exe 定义双击打开U盘为执行病毒(此病毒名称是随机生成的)she
7、llopen=打开(&O) 重定义右键菜单中的“打开”项,替代正常的“打开”项shellopenCommand=xxx.exe 将右键菜单中的“打开”项指向病毒体shellopenDefault=1 设置“打开”为默认项,并显示为粗体shellexplore=资源管理器(&X) 重定义右键菜单的“资源管理器”项,替代正常项shellexploreCommand=xxx.exe 将右键菜单中的“资源管理器”项指向病毒体,防御U盘病毒,养成从“文件夹”访问磁盘的习惯,从“文件夹”访问磁盘,或者从资源管理器左侧的文件夹栏访问磁盘。,防御U盘病毒,显示隐藏文件及系统文件,在工具菜单文件夹选项里面,选中
8、“显示隐藏文件和文件夹”,去掉“隐藏受保护的系统文件”和“隐藏已知文件的扩展名”前面的勾。,防御U盘病毒,关闭自动播放点击“开始”选择“运行”,输入:gpedit.msc,点击“确定”按钮,打开“组策略”窗口(XP Home版不适用),防御ARP欺骗,ARP欺骗的常见现象ARP欺骗的原理用户端防御ARP欺骗的实用技巧在被ARP攻击情况下获取本网段网关的MAC地址,防御ARP欺骗,ARP欺骗的常见现象 1、在DHCP网络内,中毒机器会穷举DHCP Pool内的地址,直到Pool内资源耗尽为止,导致正常PC无法获得IP地址,无法进行网络通讯;2、在指定IP地址的网络内,中毒机器会随机攻击同网段内的
9、IP地址,导致这些IP地址无法正常使用,网络通讯中断;3、中毒机器会攻击网关的IP地址,使得同网段的所有PC对外访问出现无规律的中断。,防御ARP欺骗,ARP欺骗的原理 ARP欺骗型病毒是一种“木马”病毒的变种,这种病毒通过发送虚假的ARP报文,将自身的MAC地址与同网段的其他IP地址建立虚假的对应关系,使得被攻击的IP地址无法正常使用,如果受到攻击的IP地址是网关地址的话,同网段的所有对外通讯将无法正常进行。,防御ARP欺骗,用户端防御ARP欺骗的实用技巧在PC上绑定网关的IP和MAC地址1、获取本网段网关的MAC地址;2、编写一个批处理文件 lockgateway.bat ,内容如下:ar
10、p -darp -s 例如,办公大楼可以使用如下脚本:arp -darp -s 202.120.101.1 00-12-da-f7-3f-3f3、将这个批处理脚本放到“开始程序启动”中。,防御ARP欺骗,在被ARP攻击情况下获取本网段网关的MAC地址1、打开两个命令窗口:开始运行输入“cmd”点击“确定”;再重复一次;2、在A窗口中执行:ping -t3、在B窗口中执行:arp d4、当看到A窗口中出现下面信息时: Reply from : bytes=32 time1ms TTL=253在B窗口中执行:arp a,防火墙,Windows防火墙是Windows xp系统自带的一个程序,有助于保
11、护系统,能否更好的抵御恶意用户或恶意软件的攻击。通过对系统自带防火墙的设置,能够更好的保护电脑的安全。,常用杀毒软件的使用,江民杀毒软件,江民杀毒软件KV2009是第29届奥运会网络安全技术保障单位江民科技全新研发推出的新产品。国内首家研发成功启发式扫描、内核级自防御引擎,填补了国产杀毒软件在启发式病毒扫描以及内核级自我保护方面的技术空白。KV2009具有启发式扫描、虚拟机脱壳、“沙盒”(Sandbox)技术、内核级自我保护金钟罩、智能主动防御、网页防木马墙、ARP攻击防护、互联网安检通道、系统检测安全分级、反病毒Rootkit/HOOK技术、 “云安全”防毒系统等十余项新技术,KV2009组
12、合版具有防毒、杀毒、防黑、系统加固、系统一键恢复、隐私保护、反垃圾邮件、网址过滤等三十余项安全防护功能,将已知、未知病毒一网打尽!,新功能与新技术,强大的启发式扫描 、虚拟机脱壳 (新增)江民杀毒软件KV2009具有强大的启发式扫描和虚拟机脱壳技术。能够启发扫描90以上的未知病毒。增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描。“沙盒”(Sandbox)技术(新增)“沙盒”系统在本机上接管与系统接口(API)相关的所有行为,如发现系病毒行为,则会执行“回滚”机制,将病毒执行的动作和留下的痕迹抹去,恢复系统到正常状态。ARP攻击防护(新增)江民KV2009
13、新增ARP攻击防护功能,能够有效防范ARP病毒进行ARP地址欺骗,有效防范局域网内ARP病毒的大肆传播。并能够防范ARP病毒伪装成网关,通过在网页嵌入恶意代码的方式传播病毒。互联网安检通道(新增)KV2009主动防御在拦截到可疑行为时,将接入服务器进行安全验证,基于“云计算”的可疑文件搜集和病毒自动分析系统,生成庞大的黑、白名单库,对可疑行为进行双重比证,如为正常文件则放行,如确认为病毒文件则拦截并提醒用户进行处理。系统检测 安全分级(新增)研究表明,操作系统漏洞和第三方软件漏洞已经成为木马传播的两大最主要途径。江民杀毒软件KV2009能够检测并自动修复系统漏洞,阻止病毒通过漏洞传播。 自我保
14、护金钟罩 (增强)KV2009拥有强大的自防御体系,有效阻止“驱动级病毒”关闭和破坏杀毒软件,确保杀毒软件所有功能的完全发挥,为保障系统和数据安全打好了坚实的基础和前提。,新功能与新技术,智能主动防御体系(增强)增强智能主动防御体系,对未知病毒实施多行为联动主动防御,根据病毒具有的多行为联动特征,对未知病毒进行报警以及拦截处理,更准确、更全面地防御未知病毒。反病毒Rootkit/HOOK(增强)越来越多的病毒开始利用Rootkit技术隐藏自身,利用HOOK技术破坏系统文件,防止被安全软件所查杀。江民杀毒软件KV2009反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册
15、表键值,并能够阻止病毒利用HOOK技术破坏系统文件,接管病毒钩子,防御病毒于系统之外。网页防马墙 网页安全专家(增强)江民杀毒软件KV2009分析整合网页木马的传播特征,在庞大的系统和应用软件漏洞以及恶意代码数据库基础上,研发推出网页防马墙功能,能够第一时间发现和阻止带有木马病毒的恶意网页,并可以自动搜集恶意网页加入特征库,阻止了网页木马的传播。系统漏洞自动管理(增强)研究表明,操作系统漏洞和第三方软件漏洞已经成为木马传播的两大最主要途径。江民杀毒软件KV2009能够检测并自动修复系统漏洞,阻止病毒通过漏洞传播。“云安全”防毒系统(增强)江民杀毒软件KV2009病毒库数量已超过100万种(类)
16、,江民全球病毒监测网、基于“云计算”原理的防毒系统每日分析处理数十万种可疑文件,更新上万种新病毒,即时将客户端反馈上报的新病毒升级到服务器,极大地提高了病毒处理数量和处理速度,更有效地保障了用户的电脑数据和网络应用安全。,安装过程,第1步:双击安装KV2009安装文件 “”“下一步”,安装过程,第2步:单击“同意”按钮(同意许可协议规定)“下一步”。 第3步:输入序列号或导入授权文件“下一步” ,选择安装模式“自定义安装”“下一步”选择组件“下一步”第4步:选择“安装路径”“下一步”。,安装过程,第5步:选择安装选项,单击“下一步”直到显示杀毒软件安装过程。,KV2009操作,启动江民杀毒软件
17、界面,如图所示。完成对计算机的各种防范与保护操作,瑞星杀毒软件,瑞星推出的功能强大的整体防御体系,使您从容面对各种网络威胁 基于瑞星“云安全”(Cloud Security)计划和“智能主动防御”技术开发的新一代信息安全产品 采用了全新的软件架构和最新引擎 全面优化病毒特征库,极大提高运行效率,降低资源占用率 提供集“拦截、防御、查杀、保护”为一体的个人电脑安全整体解决方案,新功能与新技术,杀毒软件功能:木马入侵拦截网站拦截(杀毒软件):通过对恶意网页行为的监控,阻止木马病毒通过网站入侵用户电脑,将木马病毒威胁拦截在电脑之外。 木马入侵拦截U盘拦截(杀毒软件):通过对木马病毒传播行为的分析,阻
18、止其通过U盘、光盘等入侵用户电脑,阻断其利用存储介质传播的通道。 木马行为防御(杀毒软件):通过对木马等病毒的行为分析,智能监控未知木马等病毒,抢先阻止其偷窃和破坏行为。 个人防火墙功能:网络攻击拦截(个人防火墙):入侵检测规则库每日随时更新,拦截来自互联网的黑客、病毒攻击,包括木马攻击、后门攻击、远程溢出攻击、浏览器攻击、僵尸网络攻击等。 恶意网址拦截(个人防火墙):依托瑞星“云安全”计划,每日及时更新恶意网址库,阻断网页木马、钓鱼网站等对电脑的侵害。 出站攻击防御(个人防火墙):阻止电脑被黑客操纵,变为攻击互联网的“肉鸡”,保护带宽和系统资源不被恶意占用,避免成为“僵尸网络”成员。,新功能
19、与新技术,“云安全”(Cloud Security)计划:通过互联网,将全球瑞星用户的电脑和瑞星“云安全”平台实时联系,组成覆盖互联网的木马、恶意网址监测网络,能够在最短时间内发现、截获、处理海量的最新木马病毒和恶意网址,并将解决方案瞬时送达所有用户,提前防范各种新生网络威胁。每一位“瑞星全功能安全软件2009”的用户,都可以共享上亿瑞星用户的“云安全”成果。 即时升级:在联网状态下,本产品可自动检测最新版本、自动升级,每天提供不少于3次的即时升级服务。,瑞星安装过程,安装过程与江民类似,如下图进行设置后点击下一步即可,安装过程,安装瑞星杀毒软件后,启动界面如图所示。,Kaspersky(卡巴斯基杀毒软件),卡巴斯基反病毒软件2009基本保护防御所有类型恶意程序和间谍软件 扫描文件,邮件信息和互联网流量 保护即时消息软件(MSN, ICQ) 自动更新前摄保护扫描操作系统和已安装程序中的漏洞 阻止链接到恶意程序网站 保护个人信息阻止链接到钓鱼网站,双击安装包程序,进行安装,出现如图所示。按照向导单击“下一步”“我接受许可协议条款” “快速安装”“下一步”“安装”完成安装。,卡巴斯基2009主界面,
