網(wǎng)絡(luò)安全培訓(xùn)

1、課程名稱課程名稱：網(wǎng)絡(luò)安全培訓(xùn)講師：葉永健講師：葉永健麗影電器（惠州）有限公司培訓(xùn)教材培 訓(xùn) 提 綱v計算機(jī)病毒的概念和特征v計算機(jī)病毒的分類v計算機(jī)病毒的傳染途徑v計算機(jī)病毒的檢測和預(yù)防如果我們在使用計算機(jī)時發(fā)現(xiàn)以下的一些異常情況u 系統(tǒng)無法啟動；u 程序運(yùn)行速度變慢，經(jīng)常死機(jī) ；u 硬盤被頻繁訪問，硬盤燈狂閃 ；u IE無法使用或未經(jīng)授權(quán)自動打開 ；u文件無法正確讀取、復(fù)制，日期、時間、屬性等發(fā)生變化等等 這是都可能是感染病毒后的明顯特征 .熊貓燒香沖擊波網(wǎng)頁被修改QQ尾巴一、什么是計算機(jī)病毒v計算機(jī)病毒（Computer Virus） “編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞

2、數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。 特點(diǎn)：自我復(fù)制、傳染、破壞 計算機(jī)病毒不同于生物醫(yī)學(xué)上的“病毒”，幾乎所有的計算機(jī)病毒都是人為地故意制造出來的，有時一旦擴(kuò)散出來后連制造者自己也無法控制。目前，全球已有的計算機(jī)病毒約7萬余種。 它的所做所為與生物病毒很相像,下面表格將生物醫(yī)學(xué)病毒與感染IBM-PC機(jī)的DOS環(huán)境下的病毒的特征進(jìn)行對比。 生物病毒生物病毒 計算機(jī)病毒計算機(jī)病毒攻擊生物機(jī)體特定細(xì)胞 攻擊特定程序（所有*.COM 和*.EXE文 件針對MS-DOS環(huán)境）修改細(xì)胞的遺傳信息，使病毒在被感染的細(xì)胞中繁殖 操縱程序使被感染程序能復(fù)制病毒程序被感染的細(xì)胞不

3、再重復(fù)感染，并且被感染的機(jī)體很長時間沒有癥狀 很多計算機(jī)病毒只感染程序一次，被感染的程序很長時間可以正常運(yùn)行病毒并非感染所有的細(xì)胞，并且病毒可以產(chǎn)生變異 程序能夠加上免疫標(biāo)志，防止感染。但計算機(jī)病毒能夠修改自身使免疫失效非授權(quán)可執(zhí)行性計算機(jī)病毒隱藏在合法的程序或數(shù)據(jù)中，當(dāng)用戶運(yùn)行正常程序時，病毒伺機(jī)竊取到系統(tǒng)的控制權(quán)，得以搶先運(yùn)行，然而此時用戶還認(rèn)為在執(zhí)行正常程序；隱蔽性計算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序，它通常總是想方設(shè)法隱藏自身，防止用戶察覺；計算機(jī)病毒的特征 一般在沒有防護(hù)措施的情況下，計算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序。而且受到傳染后，計

4、算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會感到任何異常。 試想，如果病毒在傳染到計算機(jī)上之后，機(jī)器馬上無法正常運(yùn)行，那么它本身便無法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性，計算機(jī)病毒得以在用戶沒有察覺的情況下擴(kuò)散到上百萬臺計算機(jī)中。大部分的病毒的代碼之所以設(shè)計得非常短小，也是為了隱藏。病毒一般只有幾百或1k字節(jié)，而PC機(jī)對DOS文件的存取速度可達(dá)每秒幾百KB以上，所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺。傳染性傳染性是計算機(jī)病毒最重要的一個特征，病毒程序一旦侵入計算機(jī)系統(tǒng)就通過自我復(fù)制迅速傳播。潛伏性計算機(jī)病毒具有依附于其它媒體（宿主）而寄生的能力，依靠寄生能力，病毒可以

5、悄悄隱藏起來，然后在用戶不察覺的情況下進(jìn)行傳染。表現(xiàn)性或破壞性無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源，影響系統(tǒng)的正常運(yùn)行。還有一些惡意病毒程序刪除文件，甚至摧毀整個系統(tǒng)和數(shù)據(jù)，使之無法恢復(fù)，造成無可挽回的損失?？捎|發(fā)性計算機(jī)病毒一般都有一個或者幾個觸發(fā)條件。一旦滿足觸發(fā)條件或者激活病毒的傳染機(jī)制，就會發(fā)作并進(jìn)行傳染；病毒程序可以依據(jù)設(shè)計者的要求，在一定條件下實(shí)施攻擊。這個條件可以是敲入特定字符，某個特定日期或特定時刻，或者是病毒內(nèi)置的計數(shù)器達(dá)到一定次數(shù)等。如PETER-2在每年2月27日會提三個問題，答錯后會將硬盤加

6、密。著名的黑色星期五在逢13號的星期五發(fā)作。國內(nèi)的上海一號會在每年三、六、九月的13日發(fā)作。當(dāng)然，最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時會隱藏得很好，只有在發(fā)作日才會露出本來面目。p 病毒存在的媒體： 1.引導(dǎo)型病毒。2.文件型病毒。3.混合型病毒。4.非常住型病毒。5.常住型病毒。p 病毒破壞能力： 1.無害型病毒。2.無危險型病毒。3.低危險型病毒。4.高危險型病毒。p 按照病毒傳播方式： 1.伴隨型病毒。2.“蠕蟲”型病毒。3.移動介質(zhì)病毒。p 按病毒特有的算法分類： 1.練習(xí)型病毒。2.詭秘型病毒。3.變型病毒（“幽靈病毒”）計算機(jī)病毒的分類計算機(jī)病毒的分類網(wǎng)絡(luò)病毒 計算機(jī)

7、網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件 文件病毒 感染計算機(jī)中的文件 引導(dǎo)型病毒 感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū) 蠕蟲（蠕蟲（worm） 蠕蟲程序主要利用系統(tǒng)漏洞進(jìn)行傳播。它通過網(wǎng)絡(luò)、電子郵件和其它的傳播方式，象蠕蟲一樣從一臺計算機(jī)傳染到另一臺計算機(jī)。因?yàn)槿湎x使用多種方式進(jìn)行傳播，所以蠕蟲程序的傳播速度是非常大的。蠕蟲侵入一臺計算機(jī)后，首先獲取其他計算機(jī)的IP地址，然后將自身副本發(fā)送給這些計算機(jī)。蠕蟲病毒也使用存儲在染毒計算機(jī)上的郵件客戶端地址簿里的地址來傳播程序。雖然有的蠕蟲程序也在被感染的計算機(jī)中生成文件，但一般情況下，蠕蟲程序只占用內(nèi)存資源而不占用其它資源。病毒（病毒（virus）

8、當(dāng)已感染的軟件運(yùn)行時，這些惡性程序向計算機(jī)軟件添加代碼,修改程序的工作方式,從而獲取計算機(jī)的控制權(quán)。這只是關(guān)于病毒感染的一個簡單定義。木馬（木馬（trojan）木馬程序是指未經(jīng)用戶同意進(jìn)行非授權(quán)操作的一種惡意程序。它們可能刪除硬盤上的數(shù)據(jù)，使系統(tǒng)癱瘓，盜取用戶資料等。嚴(yán)格意義上說，特洛伊木馬不是病毒（也就是說它們并不感染軟件或者數(shù)據(jù)）。木馬程序不能獨(dú)立侵入計算機(jī)，而是要依靠黑客來進(jìn)行傳播，它們常常被偽裝成“正?！避浖M(jìn)行散播。但木馬程序造成的損失可能遠(yuǎn)遠(yuǎn)超過因常規(guī)病毒引起的損失。黑客工具、危險軟件黑客工具、危險軟件例如廣告軟件（AdWare）、間諜軟件（Spyware）、流氓軟件、玩笑程序等等

9、。 在不通知用戶的情況下進(jìn)入到用戶的計算機(jī)中，有目的顯示廣告、收集用戶個人或公司信息并把信息發(fā)送給程序的開發(fā)者，改變?yōu)g覽器的設(shè)置（如首頁、搜索頁和安全級別等），創(chuàng)建用戶無法進(jìn)行控制的網(wǎng)絡(luò)通信。有的時候，用戶很難發(fā)現(xiàn)自己的計算機(jī)上已經(jīng)安裝了間諜軟件,靠輔助的清理軟件才可能發(fā)現(xiàn)。黑客工具一般是由黑客或者惡意程序安裝到您計算機(jī)中，用來盜竊信息、引起系統(tǒng)故障和完全控制電腦的惡意程序。 最近，蠕蟲成為傳播最快的一種惡意程序，其次是病毒和特洛伊木馬。某些惡意程序僅具備上述某種特征，有的甚至同時具備上述兩種或者三種特征。 計算機(jī)病毒的傳播途徑計算機(jī)病毒的傳播途徑v通過計算機(jī)網(wǎng)絡(luò)（互聯(lián)網(wǎng)和局域網(wǎng)）進(jìn)行傳播通過

10、計算機(jī)網(wǎng)絡(luò)（互聯(lián)網(wǎng)和局域網(wǎng)）進(jìn)行傳播計算機(jī)病毒可以附著在正常文件中通過互聯(lián)網(wǎng)絡(luò)進(jìn)入一個又一個系統(tǒng)，黑客們將病毒或者惡意程序偽裝成免費(fèi)工具放在網(wǎng)站上讓人們下載，或者在網(wǎng)站內(nèi)添加自動執(zhí)行的惡意腳本，修改系統(tǒng)注冊表項(xiàng)、盜竊用戶信息或在用戶的計算機(jī)內(nèi)安裝惡意程序。 自從利用信用卡實(shí)現(xiàn)在線購物、拍賣后，網(wǎng)絡(luò)詐騙行為也變得非常普遍。局域網(wǎng)一般指企業(yè)和家庭中的內(nèi)部網(wǎng)絡(luò)。在局域網(wǎng)內(nèi)的計算機(jī)可以在網(wǎng)內(nèi)自由的進(jìn)行數(shù)據(jù)的存儲、交換和訪問。這樣，如果局域網(wǎng)中的一臺計算機(jī)感染了病毒，那么局域網(wǎng)內(nèi)的其它計算機(jī)也將面臨巨大的安全威脅。所以，我們建議在局域網(wǎng)的每臺計算機(jī)上都安裝防病毒軟件。v通過電子郵件進(jìn)行傳播通過電子郵件進(jìn)

11、行傳播 當(dāng)用戶的計算機(jī)（安裝過郵件客戶端）被感染后，計算機(jī)會在用戶不知道的情況下，向用戶的朋友和工作伙伴發(fā)送病毒郵件。通常情況下，一些正常的商業(yè)信息文件也會隨染毒郵件一起被發(fā)送出去。一般情況下，只要有少數(shù)人被感染，就有可能會有成千上萬的人收到染毒信件。v通過移動存儲設(shè)備進(jìn)行傳播通過移動存儲設(shè)備進(jìn)行傳播包括軟盤、U盤，硬盤等，在移動存儲設(shè)備中，軟盤/U盤是使用最廣泛移動最頻繁的存儲介質(zhì)，因此也成了計算機(jī)病毒寄生的“溫床”。目前，大多數(shù)計算機(jī)都是從這類途徑感染病毒的。v通過互聯(lián)網(wǎng)上點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播通過互聯(lián)網(wǎng)上點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播例如聊天工具QQ，MSN等等。發(fā)送一些鏈接，讓對方

12、打開，這也是感染病毒的常見方式。v利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；v利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；v利用欺騙等社會工程的方法傳播。計算機(jī)病毒的感染過程計算機(jī)病毒的感染過程v計算機(jī)病毒主要通過四個過程來感染載體：加載觸發(fā)感染發(fā)作。計算機(jī)病毒的傳播過程可簡略示意如下：常見電腦病毒發(fā)作癥狀常見電腦病毒發(fā)作癥狀v病毒對計算機(jī)的影響操作系統(tǒng)病毒現(xiàn)象：u引導(dǎo)系統(tǒng)時間變長；u計算機(jī)處理速度比以前明顯放慢，反應(yīng)比較遲鈍；u計算機(jī)經(jīng)常死機(jī)或者重啟；u系統(tǒng)文件出現(xiàn)莫名其妙的丟失或字節(jié)變長、日期修改等現(xiàn)象；u在運(yùn)行熟悉的軟件時常出現(xiàn)內(nèi)存不夠的警告 ，病毒已駐入內(nèi)存u系統(tǒng)生成一些特殊文件；u驅(qū)動程序被

13、修改使得某些外設(shè)不能正常工作；u硬盤頻繁被訪問，指示燈一直在閃；u壞軌增加； 有些病毒會將某些磁區(qū)標(biāo)注為壞軌,而將自己隱藏其中,于是往往掃毒軟體也無法檢查病毒的存在,例如 Disk Ki_ll.也會尋找 3 或 5 個連續(xù)未用的磁區(qū),并將其標(biāo)示為壞軌。應(yīng)用程序病毒現(xiàn)象：u啟動程序出現(xiàn)“非法操作”等現(xiàn)象；u應(yīng)用程序文件變大； 正常情況下,這些程式應(yīng)該維持固定的大小,但有些較不聰明的病毒,會增加程式的大小 。(Funlove.4099)外殼型病毒藏在可執(zhí)行文件之中 。u應(yīng)用程序不能被復(fù)制、移動、刪除 ，檔案奇怪的消失；u硬盤上出現(xiàn)大量無效文件；u某些程序運(yùn)行時載入時間變長。計算機(jī)病毒的檢測以及預(yù)防

14、計算機(jī)病毒的檢測以及預(yù)防v通常計算機(jī)病毒的檢測方法有兩種通常計算機(jī)病毒的檢測方法有兩種自動檢測自動檢測 通過診斷軟件來判讀系統(tǒng)或軟盤是否有毒的方法。自動檢測比較簡單，一般用戶都可以進(jìn)行，但需要較好的診斷軟件，才可方便地檢測出病毒。但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發(fā)展總是滯后于病毒的發(fā)展，所以檢測工具對未知病毒很難識別。手工檢測手工檢測 它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內(nèi)存及磁盤的有關(guān)部分進(jìn)行檢查，通過和正常情況下的狀態(tài)進(jìn)行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費(fèi)時費(fèi)力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認(rèn)識的新

15、病毒。 計算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行。 根據(jù)系統(tǒng)情況查詢病毒名稱-殺掉病毒進(jìn)程-刪掉病毒文件-清除病毒的啟動方法-在系統(tǒng)上全盤殺毒 最基本的系統(tǒng)進(jìn)程（也就是說，這些進(jìn)程是系統(tǒng)運(yùn)行的基本條件，有了這些進(jìn)程，系統(tǒng)就能正常運(yùn)行）System Idle Process 這個進(jìn)程是作為單線程運(yùn)行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間（不可以從任務(wù)管理器中關(guān)掉。）winlogon.exe 這個進(jìn)程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安全對話框smss.exe Session Manager 這是一個會話管理

16、子系統(tǒng)，負(fù)責(zé)啟動用戶會話。csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程，負(fù)責(zé)控制windows，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。services.exe 包含很多系統(tǒng)服務(wù)lsass.exe 這是一個本地的安全授權(quán)服務(wù)，并且它會為使用winlogon服務(wù)的授權(quán)用戶生成一個進(jìn)程。管理IP安全策略和IP安全驅(qū)動程序。svchost.exe 在啟動的時候，Svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務(wù)列表。包含很多系統(tǒng)服務(wù)。SPOOLSV.EXE 管理緩沖池中的打印和傳真作業(yè) (系統(tǒng)服務(wù)) 。explorer.exe 資源管理器internat.exe 托盤區(qū)的拼音圖標(biāo)Ctf

17、mon.exe 輸入設(shè)備識別程序v防止計算機(jī)感染病毒的幾種簡單方法防止計算機(jī)感染病毒的幾種簡單方法一、及時更新系統(tǒng)漏洞補(bǔ)丁一、及時更新系統(tǒng)漏洞補(bǔ)丁打開WINDOWS系統(tǒng)自帶的Windows Update功能，自動下載安裝補(bǔ)丁，修復(fù)操作系統(tǒng)存在的安全與漏洞。二、安裝殺毒軟件和防火墻二、安裝殺毒軟件和防火墻起到一定的防毒和殺毒作用，要及時對殺毒軟件升級,更新到最新的病毒庫， 以保證計算機(jī)受到持續(xù)地保護(hù)。三、不要隨便瀏覽陌生的網(wǎng)站三、不要隨便瀏覽陌生的網(wǎng)站目前在許多網(wǎng)站中，總是存在有各種各樣的彈出窗口，如：最好的網(wǎng)絡(luò)電視廣告或者網(wǎng)站聯(lián)盟中的一些廣告條。四、不要輕易打開陌生的電子郵件附件四、不要輕易打

18、開陌生的電子郵件附件現(xiàn)在，很多木馬程序附加在郵件附件中，收郵件者一旦點(diǎn)擊附件，它就會立即運(yùn)行。所以，千萬不要打開那些不熟悉的郵件，特別是標(biāo)題有點(diǎn)亂的郵件，往往就是木馬攜帶者。如果要打開的話，可以用純文本方式閱讀信件，更加不要隨便回復(fù)陌生人的郵件。五、不要隨便下載視頻文件、軟件運(yùn)行五、不要隨便下載視頻文件、軟件運(yùn)行對于從網(wǎng)上下載的軟件在安裝、使用之前一定要用反病毒軟件進(jìn)行檢查，確定沒有木馬程序再執(zhí)行、使用。如果必須安裝，須仔細(xì)閱讀用戶協(xié)議，看該軟件發(fā)布者是否捆綁了“流氓軟件”。建議到一些正規(guī)的軟件下載站點(diǎn)下載，避免收到病毒的侵?jǐn)_。六、不要安裝來歷不明的軟件，不要輕易相信他人六、不要安裝來歷不明的軟件，不要輕易相信他人不要因?yàn)槭俏覀兊暮门笥寻l(fā)來的軟件就運(yùn)行，因?yàn)槲覀儾荒艽_保他的電腦就不會有木馬程序。當(dāng)然，好朋友故意欺騙的可能性不大，但也許他（她）中了木馬程序自己還不知道呢！況且今天的互聯(lián)網(wǎng)到處充滿危機(jī)，也許是別人冒名給我們發(fā)的郵件。七、密碼不要太簡單七、密碼不要太簡單這種太容易就能破解了，比如說