計算機病毒防治ppt課件

1、計算機病毒防治計算機病毒防治重慶大學網(wǎng)絡中心一、病毒根底知識一、病毒根底知識 一、計算機病毒 計算機病毒是一種隱藏在計算機系統(tǒng)的信息資源中，利用系統(tǒng)信息資源進展繁衍并生存，能影響計算機系統(tǒng)正常運轉(zhuǎn)，并經(jīng)過系統(tǒng)信息共享的途徑進展傳染的、可執(zhí)行的程序。 普通來說，計算機病毒可分為兩大類：良性病毒和惡性病毒。 所謂良性病毒，是指病毒不對計算機數(shù)據(jù)進展破壞，但會呵斥計算機程序任務異常，如小球、臺灣一號等。 惡性病毒往往沒有直觀表現(xiàn)，但會對計算機數(shù)據(jù)進展破壞，呵斥整個計算機系統(tǒng)癱瘓，如黑色星期五。其中98年出現(xiàn)的基于 Win95和Win98的CIH系統(tǒng)消滅者能改寫計算機EEPROM中的BIOS，蒙受攻擊

2、的計算機不能啟動。還有目前比較流行的網(wǎng)絡蠕蟲病毒，它們雖然對本地計算機系統(tǒng)未呵斥多大的危害，但是它們卻嚴重的臃塞網(wǎng)絡，呵斥網(wǎng)絡癱瘓。這也是以后病毒的開展趨勢。 二、計算機病毒特性 計算機病毒有寄生性、埋伏性、傳染性、繁衍性。 病毒的表現(xiàn)有：破壞引導程序和分區(qū)表，呵斥異常死機；破壞可執(zhí)行文件，使文件加長，運轉(zhuǎn)變慢。 二、局域網(wǎng)病毒的傳播方式二、局域網(wǎng)病毒的傳播方式 學校內(nèi)局域網(wǎng)是由一個個網(wǎng)絡節(jié)點站所組成的也可以稱其為網(wǎng)絡上的一個個站點，站點就可以詳細為網(wǎng)絡效力器和客戶機。計算機病毒可以經(jīng)過各種途徑進入到網(wǎng)絡中的一個站點包括效力器，然后再經(jīng)過局域網(wǎng)絡中的各種特定環(huán)境進展傳播。詳細地說，我們可以把它

3、的傳播方式歸納為以下幾種：1. 局域網(wǎng)資源共享感染病毒局域網(wǎng)資源共享感染病毒 學校機房中局域網(wǎng)很大的一部分用途是在共享資源方面，而正是由于共享資源的“數(shù)據(jù)開放性，培育了病毒感染的有效渠道。2. 效力器數(shù)據(jù)傳播病毒效力器數(shù)據(jù)傳播病毒 學校不能夠花大本錢構(gòu)建含“路由器等高端網(wǎng)絡設備的網(wǎng)絡環(huán)境，很多任務都會丟給一臺普通PC替代的效力器去做，網(wǎng)絡中的客戶機可以經(jīng)過效力器來和外界聯(lián)絡，而客戶機自間的內(nèi)部郵件傳送也可以經(jīng)過效力器完成，但普通PC的性能特點，不可防止地在病毒面前有其脆弱性。一旦效力器感染病毒，一切需求經(jīng)過效力器的數(shù)據(jù)也會被順帶感染，進而呵斥整個網(wǎng)絡感染病毒的情況。3. 客戶機之間的數(shù)據(jù)傳送攜

4、帶客戶機之間的數(shù)據(jù)傳送攜帶病毒病毒 客戶機除了和效力器通訊之外，相互之間也需求進展數(shù)據(jù)傳送，假設其中一臺計算機感染病毒，在與另一臺客戶機傳送數(shù)據(jù)時，勢必會將病毒帶給對方。4. 客戶機帶動效力器染毒，進客戶機帶動效力器染毒，進而感染網(wǎng)絡中的其他客戶機而感染網(wǎng)絡中的其他客戶機 這種方式可以說是綜合了前三種方式。網(wǎng)絡中的某一臺客戶機染毒，經(jīng)過1、3種方式感染效力器，效力器再由第2種方式感染其他客戶機。 假設企業(yè)運用的是“無盤任務站方式，那么病毒的傳播將更為簡易。由于其“無盤并非真的“無盤它的盤是網(wǎng)絡盤，當其運轉(zhuǎn)網(wǎng)絡盤上的一個帶毒程序時，便將內(nèi)存中的病毒傳染給該程序或經(jīng)過映像途徑傳染到效力器的其他的文

5、件上，因此整個“無盤網(wǎng)絡就徹底地被病毒感染了。三、局域網(wǎng)病毒的特點三、局域網(wǎng)病毒的特點 在中小型企業(yè)網(wǎng)絡的特定環(huán)境下，病毒除了與生俱來的可傳播性、可執(zhí)行性、破壞性等常規(guī)病毒的共性外，還具有一些其他的特點：1. 感染速度快感染速度快 病毒的傳播必需求一定的途徑，在完全封鎖的單機情況下，病毒是無法從一臺計算機傳給另一臺計算機的。不過在企業(yè)簡單的網(wǎng)絡環(huán)境下，病毒的傳播可以利用充分的介質(zhì)，經(jīng)過簡單而快速的內(nèi)部網(wǎng)絡，病毒可以迅速地傳播。2. 分散面廣分散面廣 病毒感染了局域網(wǎng)中某一臺客戶機，而客戶機又可以進一步感染網(wǎng)絡中的其他客戶機也包括效力器，而感染了病毒的客戶機又可以更進一步的感染更多客戶機也包括了

6、局域網(wǎng)以外的計算機如此反復交叉感染，病毒在網(wǎng)絡中分散時，除了速度快以外，其分散范圍也相當驚人。3. 傳播的方式復雜多樣 網(wǎng)絡內(nèi)病毒的傳播方式前面我們曾經(jīng)做了引見，這里就不再詳細闡明，不過隨著計算機病毒的推陳出新，置信還會有更多的我們所無法估計的傳播方式。4. 難于徹底去除難于徹底去除 單機上的計算機病毒有時可以經(jīng)過殺毒和刪除帶毒文件來處理。假設還不行，低級格式化硬盤等措施總能將病毒徹底去除。 而網(wǎng)絡中只需有一臺任務站未能去除干凈，就可使整個網(wǎng)絡重新被病毒感染，甚至剛剛完成殺毒任務的一臺任務站，就有能夠被網(wǎng)上另一臺帶毒任務站所感染。因此，以對付單機方式的殺毒方法，在局域網(wǎng)內(nèi)會顯得捉襟見肘，心有余

7、而力缺乏。5. 破壞性大破壞性大 中小型企業(yè)的辦公網(wǎng)絡，主要就是為企業(yè)的任務效力。遭到病毒襲擊后，不但影響網(wǎng)絡正常的任務，而更可怕的是它會使網(wǎng)絡解體，破壞網(wǎng)絡中計算機的數(shù)據(jù)，使任務成果毀于一旦。6. 可激發(fā)性可激發(fā)性 它可以稱得上是病毒的隱蔽性在網(wǎng)絡上的延伸，網(wǎng)絡病毒激發(fā)的條件多樣化，可以是內(nèi)部時鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡的一次通訊等等。一個病毒程序可以按照病毒設計者的要求，在某個任務站上迸發(fā)，并傳播給整個網(wǎng)絡。7. 潛在性潛在性 在網(wǎng)絡中，一旦感染了病毒，即使病毒已被去除，其潛在的危險性也是宏大的。根據(jù)對企業(yè)的網(wǎng)絡統(tǒng)計，病毒被去除后，85%的會在30天內(nèi)會被再次感染。四、病毒的發(fā)現(xiàn)

8、四、病毒的發(fā)現(xiàn) 計算機病毒發(fā)作時，通常會出現(xiàn)以下幾種情況，這樣我們就能盡早地發(fā)現(xiàn)和去除它們。 1.電腦運轉(zhuǎn)比平常愚鈍 2.程序載入時間比平常久 3.對一個簡單的任務，磁盤似乎花了比預期長的時間 4.不尋常的錯誤信息出現(xiàn) 5.硬盤的指示燈無緣無故的亮了當他沒 有存取磁盤，但磁盤指示燈卻亮了，電腦這時曾經(jīng)遭到病毒感染了。 6.系統(tǒng)內(nèi)存容量忽然大量減少 7.磁盤可利用的空間忽然減少 8.可執(zhí)行程序的大小改動了. 9.壞軌添加 10. 程序同時存取多部磁盤 . 11.內(nèi)存內(nèi)添加來路不明的常駐程序 12.文件奇異的消逝 13.文件的內(nèi)容被加上一些奇異的資料 14.文件稱號，擴展名，日期，屬性被更矯正 五

9、、計算機系統(tǒng)的維護五、計算機系統(tǒng)的維護 當在系統(tǒng)剛剛安裝終了，我們?nèi)绾晤A防病毒的感染？ 當疑心或者確定本人的系統(tǒng)曾經(jīng)感染了病毒的時候，我們有如何處置，才干把病毒帶來的損失減少到最??？ 在平常的運用中，什么樣的習慣能讓我們最大能夠的防止病毒的入侵？一、系統(tǒng)的防病毒才干一、系統(tǒng)的防病毒才干 1、系統(tǒng)的安裝的過程中 在有黑客在某篇文章這樣說道“他可以進入任何缺省安裝的windows系統(tǒng)中，對于病毒也一樣。缺省安裝的系統(tǒng)存在太多的破綻。 在安裝windows 2000的時候，默許啟動的時候，messager 效力是“自動的。 Messager 效力在連網(wǎng)安裝的時候，很容易接受由偽裝成音訊的病毒感染。因

10、此在安裝的時候，我們應該封鎖messager 效力。 還有許多系統(tǒng)效力和進程，這里就不再詳述。 同時我們建議在安裝過程中，計算機最好不要接入局域網(wǎng)，以防在安裝過程中感染病毒。二、安裝性能優(yōu)秀的殺毒軟件與防火墻。殺毒軟件和防火墻殺毒軟件：是能查找或者刪除隱藏在計算機程序中破壞計算機功能或能毀壞數(shù)據(jù)，影響系統(tǒng)運用的惡意代碼 的運用軟件。防火墻：防火墻是采用綜合的網(wǎng)絡技術(shù)設置在被維護網(wǎng)絡和外部網(wǎng)絡之間的 一道屏障，用以分隔被維護網(wǎng)絡與外部網(wǎng)絡系統(tǒng)防止發(fā)生不可預 測的、潛在破壞性的侵入。 在系統(tǒng)中安裝性能良好的殺毒軟件和防火墻對于即時的查找殺除病毒具有決議性的影響。 目前國內(nèi)外比較有名氣的殺毒軟件有：

11、 KV3000，瑞星，金山毒霸，諾頓(Norton),pc-cillin(趨勢科技),熊貓衛(wèi)士 KILL 系列殺毒軟件。 防火墻：國內(nèi)外比較有名的有： 諾頓防火墻(norton internet security) Zonelabs 的ZoneAlarm 免費軟件 金山毒霸的自帶防火墻。 瑞星自帶防火墻。 熊貓衛(wèi)士 三、系統(tǒng)打補丁。 有許多系統(tǒng)運用者不喜歡給系統(tǒng)打補丁。以為這樣會影響本人機器的性能，確實會這樣。但是當他的系統(tǒng)由于病毒的緣由而解體時，他會覺得降低點性能獲得穩(wěn)定的性能是值得的。 微軟不定期地會在網(wǎng)上發(fā)布針對某些系統(tǒng)破綻的補丁。 四、殺毒軟件和防火墻的晉級 不少人以為本人的系統(tǒng)打了補

12、丁，也安裝了防火墻，那系統(tǒng)就平安了，不會再感染病毒了，這樣想的后果就是系統(tǒng)安裝殺毒軟件和防火墻在一段時間后形同虛設。 任何殺毒軟件和防火墻都是被動防御的，因此針對最新的病毒，未更新的殺毒軟件與防火墻是無效的。 因此定時晉級系統(tǒng)的殺毒軟件與防火墻是非常必要的。 同時，我們建議殺毒軟件和防火墻最好要用正版軟件，由于盜版的殺毒軟件和防火墻很多都是黑客軟件員利用黑客工具破解的，含有很多破綻。這些破綻不是為病毒提供破綻，就是為黑客提供了后門。二、常見病毒的殺除二、常見病毒的殺除 1、Word 宏病毒的殺除。 Word宏病毒經(jīng)過.DOC文檔及.DOT模板進展自我復制及傳播，而計算機文檔是交流最廣的文件類型

13、。由于宏病毒用Word Basic言語編寫，Word Basic言語提供了許多系統(tǒng)級底層調(diào)用，因此破壞能夠性極大 。 根據(jù)AUTO宏的自動執(zhí)行的特點，在翻開Word文檔時，可經(jīng)過先制止一切自動宏的執(zhí)行，這樣可以保證用戶在平安啟動Word文檔后，進展必要的宏病毒檢查，從而到達防治宏病毒的目的。 翻開宏菜單，在通用模板中刪除您以為是病毒的宏。 翻開帶有病毒宏的文檔模板，然后翻開宏菜單，在通用模板和病毒文件名模板中刪除您以為是病毒的宏。 保管清潔文檔。 下載宏病毒專殺工具。 2.歡樂光陰病毒happytime) “歡樂光陰屬于VBS/HTM蠕蟲類病毒，經(jīng)過郵件傳播，但不是作為郵件的附件，而是作為郵件

14、內(nèi)容。 當染毒的用戶在發(fā)送郵件時，該病毒會自動插入到郵件體中。當用戶收到上述郵件后，假設運用Outlook，當光標條移到帶毒郵件時，Outlook的預覽功能將使病毒自動執(zhí)行。 防治方法：將Windows Scripting Host卸載，這樣，可以阻止VBS腳本程序執(zhí)行，從而，保證即使收到帶毒郵件，也可以防止“歡樂光陰病毒傳染、破壞。卸載方法如下：Windows 98: 控制面板添加刪除程序Windows安裝程序附件Windows Scripting Host,將WSH卸載，然后，再收發(fā)郵件。 然后下載歡樂光陰專殺工具。 例如：金山毒霸歡樂光陰專殺工具。 3、紅色代碼2 (CodeRed II

15、) 紅色代碼2是一種專門攻擊WINDOWS NT4.0以及WINDOWS 2000系統(tǒng)的惡性網(wǎng)絡蠕蟲VirtualRoot虛擬目錄病毒，利用MICROSOFT知的溢出破綻，經(jīng)過80端口來傳播到其它的WEB頁效力器上。假設感染勝利的話，該蠕蟲病毒可以獲得受感染W(wǎng)EB效力器的超級用戶的完全權(quán)限。當然它是經(jīng)過在受感染的機器上安裝一個后門程序，遠程的發(fā)出指令端是經(jīng)過該后門程序來控制受感染的機器的。 查殺方法： 首先用戶或者系統(tǒng)管理員應該及時安裝微軟的補丁程序； 另外，可運用KV3000系列殺毒軟件來全面防殺，KVW3000.EXE以及KVD3000.EXE可以在WINDOWS NT4以及WIN2000 系統(tǒng)下來防殺該網(wǎng)絡蠕