網(wǎng)吧安全和病毒防御的培訓課程

1、網(wǎng)吧安全和病毒防御的培訓課程什么是計算機病毒 計算機病毒是一種“計算機程序，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。通常，計算機病毒可分為以下幾類。1文件病毒。2引導扇區(qū)病毒。3多裂變病毒。 4秘密病毒。 5異形病毒。 6宏病毒。2022/7/12計算機病毒的傳播 計算機病毒的由來 計算機病毒是由計算機黑客們編寫的，這些人想證明它們能編寫出不但可以干擾和摧毀計算機，而且能將破壞傳播到其它系統(tǒng)的程序。2022/7/126.2 計算機病毒的傳播6.2.2 計算機病毒的傳播計算機病毒通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。最明顯的也是最常見的入侵點是從工作站傳到工作站的軟盤。病毒一旦進入

2、系統(tǒng)以后，通常用以下兩種方式傳播：1通過磁盤的關鍵區(qū)域；2在可執(zhí)行的文件中。2022/7/126.2 計算機病毒的傳播6.2.3 計算機病毒的工作方式一般來說，病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關的。1感染任何計算機病毒的一個重要特性或功能是對計算機系統(tǒng)的感染。1引導扇區(qū)病毒2022/7/126.2 計算機病毒的傳播2文件型病毒文件型病毒與引導扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。2022/7/126.2 計算機病毒的傳播覆蓋型文件病毒的一個特點是不改變文件的長度，使原始文件看起來非常正常。前依附型文件病毒將自己加在可執(zhí)行文件的開始局部，而后依附型文件病毒將病毒代碼附

3、加在可執(zhí)行文件的末尾。伴隨型文件病毒為.exe文件建立一個相應的含有病毒代碼的 文件。2022/7/126.2 計算機病毒的傳播2變異變異又稱變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測，以到達逃避檢測的一種“功能。3觸發(fā)不少計算機病毒為了能在適宜的時候從事它的見不得人的勾當，往往需要預先設置一些觸發(fā)的條件，并使之先置于未觸發(fā)狀態(tài)。2022/7/126.2 計算機病毒的傳播4破壞修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。5高級功能病毒計算機病毒逃避檢測，躲開病毒掃描和反病毒軟件。多態(tài)病毒特點能變異，新病毒都與上一代有差異，每個新病毒都各不相同。2022/7/126.3 計

4、算機病毒的特點及破壞行為 6.3.1 計算機病毒的特點病毒有以下幾個主要特點。1刻意編寫人為破壞2自我復制能力 3奪取系統(tǒng)控制權 4隱蔽性 5潛伏性 6不可預見性 2022/7/126.3 計算機病毒的特點及破壞行為6.3.2 計算機病毒的破壞行為1攻擊系統(tǒng)數(shù)據(jù)區(qū)。硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。2攻擊文件。刪除、改名、替換內(nèi)容、喪失簇或對文件加密。3攻擊內(nèi)存。大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。 4干擾系統(tǒng)運行，使運行速度下降。5干擾鍵盤、喇叭或屏幕。6攻擊CMOS。系統(tǒng)時鐘、磁盤類型和內(nèi)存容量等，亂寫某些主板BIOS芯片，損壞硬盤。7干擾打印機。如假報警、間斷性

5、打印或更換字符。8網(wǎng)絡病毒破壞網(wǎng)絡系統(tǒng)，非法使用網(wǎng)絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡帶寬等。2022/7/126.4 宏病毒及網(wǎng)絡病毒 6.4.1 宏病毒所謂宏，就是軟件設計者為了在使用軟件工作時，防止一再的重復相同的動作而設計出來的一種工具。1宏病毒的行為和特征所謂“宏病毒，就是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。1宏病毒行為機制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。2022/7/122宏病毒特征宏病毒會感染.doc文檔和.dot模板文件。宏病毒的傳

6、染通常是Word在翻開一個帶宏病毒的文檔或模板時，激活宏病毒。多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏。宏病毒中總是含有對文檔讀寫操作的宏命令。宏病毒在.doc文檔、.dot模板中以.BFFBinary File Format格式存放。6.4 宏病毒及網(wǎng)絡病毒2022/7/126.4 宏病毒及網(wǎng)絡病毒2宏病毒的防治和去除方法1使用選項“提示保存Normal模板 2不要通過Shift鍵來禁止運行自動宏3查看宏代碼并刪除 4使用DisableAutoMacros宏5使用Word 97的報警設置6設置Normal.dot的只讀屬性 7Normal.

7、dot的密碼保護 2022/7/126.4 宏病毒及網(wǎng)絡病毒6.4.2 網(wǎng)絡病毒1網(wǎng)絡病毒的特點計算機網(wǎng)絡的主要特點是資源共享。病毒的會在這種環(huán)境下迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。它對于系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設想。因此，網(wǎng)絡環(huán)境下病毒的防治就顯得更加重要了。病毒入侵網(wǎng)絡的主要途徑是通過工作站傳播到效勞器硬盤，再由效勞器的共享目錄傳播到其它工作站。 2022/7/126.4 宏病毒及網(wǎng)絡病毒2病毒在網(wǎng)絡上的傳播與表現(xiàn)大多數(shù)公司使用局域網(wǎng)文件效勞器，用戶直接從文件效勞器復制已感染的文件。因特網(wǎng)是文件病毒的載體。 引導病毒在網(wǎng)絡效勞器上的表現(xiàn)：如果網(wǎng)絡效勞器計算機是

8、從一塊感染的軟盤上引導的，那么網(wǎng)絡效勞器就可能被引導病毒感染。 2022/7/126.4 宏病毒及網(wǎng)絡病毒3專攻網(wǎng)絡的GPI病毒4電子郵件病毒 對電子郵件系統(tǒng)進行病毒防護可從以下幾個方面著手。 1使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護2使用防毒軟件同時保護客戶機和效勞器3使用特定的SMTP殺毒軟件 2022/7/126.5 病毒的預防、檢查和去除 6.5.1 病毒的預防通過采取技術上和管理上的措施，計算機病毒是完全可以防范的。1對新購置的計算機系統(tǒng)用檢測病毒軟件檢查病毒，用人工檢測方法檢查未知病毒。2新購置的硬盤或出廠時已格式化好的軟盤可能有病毒。對硬盤可以進行檢測或進行低級格式化，因為對

9、硬盤只做DOS的Format格式化是不能去除主引導區(qū)分區(qū)表扇區(qū)病毒的。3新購置的計算機軟件也要進行病毒檢測。4在保證硬盤無病毒的情況下，能用硬盤引導啟動的，盡量不要用軟盤去啟動。5很多PC機可以通過設置CMOS參數(shù)，使啟動時直接從硬盤引導啟動 。 2022/7/126.5 病毒的預防、檢查和去除6定期與不定期地進行磁盤文件備份工作。 7對于軟盤，要盡可能將數(shù)據(jù)和程序分別存放，裝程序的軟盤要進行寫保護。 8在別人的機器上使用過自己的已翻開了寫保護的軟盤，再在自己的機器上使用，就應進行病毒檢測。 9應保存一張寫保護的、無病毒的并帶有各種命令文件的系統(tǒng)啟動軟盤，用于去除病毒和維護系統(tǒng)。 10用Boo

10、tsafe等實用程序或用Debug編程提取分區(qū)表等方法做好分區(qū)表、DOS引導扇區(qū)等的備份工作，在進行系統(tǒng)維護和修復工作時可作為參考。 2022/7/126.5 病毒的預防、檢查和去除11對于多人共用一臺計算機的環(huán)境，應建立登記上機制度，做到使問題能盡早發(fā)現(xiàn)，有病毒能及時追查、去除，不致擴散。12啟動Novell網(wǎng)或其它網(wǎng)絡的效勞器時，一定要堅持用硬盤引導啟動，否那么在受到引導扇區(qū)型病毒感染和破壞后，遭受損失的將不是一個人的機器，而會影響到連接整個網(wǎng)絡的中樞。13在網(wǎng)絡效勞器安裝生成時，應將整個文件系統(tǒng)劃分成多文件卷系統(tǒng)，而不是只劃分成不區(qū)分系統(tǒng)、應用程序和用戶獨占的單卷文件系統(tǒng)。 2022/7

11、/126.5 病毒的預防、檢查和去除14安裝效勞器時應保證沒有病毒存在，即安裝環(huán)境不能帶病毒，而網(wǎng)絡操作系統(tǒng)本身不感染病毒。 15網(wǎng)絡系統(tǒng)管理員應將SYS系統(tǒng)卷設置成對其它用戶為只讀狀態(tài)，屏蔽其它網(wǎng)絡用戶對系統(tǒng)卷除讀取以外的其它所有操作，如修改、改名、刪除、創(chuàng)立文件和寫文件等操作權限。16在應用程序卷安裝共享軟件時，應由系統(tǒng)管理員進行，或由系統(tǒng)管理員臨時授權進行。17系統(tǒng)管理員對網(wǎng)絡內(nèi)的共享電子郵件系統(tǒng)、共享存儲區(qū)域和用戶卷進行病毒掃描，發(fā)現(xiàn)異常情況應及時處理，不使其擴散。2022/7/126.5 病毒的預防、檢查和去除18系統(tǒng)管理員的口令應嚴格管理，為了防止泄漏，要定期或不定期地進行更換，保

12、護網(wǎng)絡系統(tǒng)不被非法存取、感染上病毒或遭受破壞。19在網(wǎng)絡工作站上采取必要的抗病毒技術措施，可使網(wǎng)絡用戶一開機就有一個良好的上機環(huán)境，不必再擔憂來自網(wǎng)絡內(nèi)和網(wǎng)絡工作站本身病毒。 20在效勞器上安裝Lan Protect等防病毒系統(tǒng)。實踐說明，這些簡單易行的措施是非常有效的。2022/7/126.5 病毒的預防、檢查和去除作為應急措施，網(wǎng)絡系統(tǒng)管理員應牢記以下幾條。1隔離斷網(wǎng)操作，清查病毒。2對于傳播速度快的惡性病毒要請求專業(yè)人員處理。3注意觀察以下現(xiàn)象：文件的大小和日期是否變化；系統(tǒng)啟動速度是否比平時慢；不做寫操作時出現(xiàn)“磁盤有寫保護信息；對貼有寫保護的軟盤操作時聲音很大；系統(tǒng)運行速度異常慢；用

13、MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留；鍵盤、打印或顯示有異?，F(xiàn)象；有特殊文件自動生成；磁盤空間自動產(chǎn)生壞簇或磁盤空間減少；文件莫名其妙地喪失；系統(tǒng)異常死機的次數(shù)增加。2022/7/126.5 病毒的預防、檢查和去除6.5.2 病毒的檢查計算機病毒要進行傳染，必然會留下痕跡。因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。1病毒的檢查方法檢測的原理主要是基于以下四種方法 比較法 搜索法 特征字識別法 分析法2022/7/126.5 病毒的預防、檢查和去除1比較法比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。 2搜索法搜索法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描

14、。 3計算機病毒特征字的識別法計算機病毒特征字的識別法是基于特征串掃描法開展起來的一種新方法。4分析法本方法由專業(yè)反病毒技術人員使用。分析法的目的在于：確認是否含有病毒確認病毒的類型和種類搞清結構，提取樣本數(shù)據(jù)分析病毒代碼2022/7/126.5 病毒的預防、檢查和去除2病毒掃描程序這種程序找到病毒的主要方法之一就是尋找掃描串，也被稱為病毒特征。3完整性檢查程序檢查文件與系統(tǒng)文件4行為封鎖軟件該軟件的目的是防止病毒的破壞。2022/7/126.5 病毒的預防、檢查和去除6.5.3 計算機病毒的免疫通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。 1建立程序的特征值檔案2嚴格內(nèi)存管理

15、3中斷向量管理 2022/7/126.5 病毒的預防、檢查和去除6.5.4 計算機感染病毒后的恢復1防止和修復引導記錄病毒改變計算機的磁盤引導順序，防止從軟盤引導。必須從軟盤引導時，應該確認該軟盤無毒。1修復感染的軟盤 2修復感染的主引導記錄 3利用反病毒軟件修復2防止和修復可執(zhí)行文件病毒 2022/7/126.5 病毒的預防、檢查和去除6.5.5 計算機病毒的去除1使用DOS命令處理病毒2引導型病毒的處理 與引導型病毒有關的扇區(qū)大概有下面三個局部。1硬盤的物理第一扇區(qū)，即0柱面、0磁頭、1扇區(qū)是開機之后存放的數(shù)據(jù)和程序是被最先訪問和執(zhí)行的。這個扇區(qū)成為“硬盤主引導扇區(qū)。在該扇區(qū)的前半局部，稱

16、為“主引導記錄Master Boot Record，簡稱 MBR。2第二局部不是程序，而是非執(zhí)行的數(shù)據(jù)，記錄硬盤分區(qū)的信息，即人們常說的“硬盤分區(qū)表Partition Table，從偏移量1BEH開始，到1FDH結束。2022/7/126.5 病毒的預防、檢查和去除3硬盤活動分區(qū)，大多是第一個分區(qū)的第一個扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū)，這個扇區(qū)稱為“活動分區(qū)的引導記錄，它是開機后繼MBR后運行的第二段代碼的運行所在。其它分區(qū)也具有一個引導記錄BOOT，但是其中的代碼不會被執(zhí)行。運行下面的程序來完成： “FdiskMBR用于重寫一個無毒的MBR。 “Fdisk用于讀取或重寫硬盤分區(qū)表。 “

17、Format C：/S或“SYS C：會重寫一個無毒的“活動分區(qū)的引導記錄。對于可以更改活動分區(qū)的情況，需要另外特殊對待。2022/7/126.5 病毒的預防、檢查和去除3宏病毒去除方法對于宏病毒最簡單的去除步驟為：1關閉Word中的所有文檔。2選擇“工具/模板/管理器/宏選項。3刪除左右兩個列表框中所有的宏除了自己定義的一般病毒宏為AutoOpen、AutoNew或AutoClose。4關閉對話框。5選擇“工具/宏選項。假設有 AutoOpen、AutoNew或AutoClose等宏，刪除之。 2022/7/126.5 病毒的預防、檢查和去除4殺毒程序殺毒程序是許多反病毒程序中的一員，但它在

18、處理病毒時，必須知道某種特別的病毒的信息，然后才能按需要對磁盤進行殺毒。對于文件型病毒，殺毒程序需要知道病毒的操作過程，如它將病毒代碼依附在文件頭部還是尾部。一旦病毒被從文件中去除，文件便恢復到原先的狀態(tài)，原先保存病毒的扇區(qū)被覆蓋，從而消除了病毒被重新使用的可能性。對于引導扇區(qū)病毒，在使用殺毒程序時需格外的小心謹慎，因為在重新建立引導扇區(qū)和MBR主引導記錄時，如果出現(xiàn)錯誤，其后果是災難性的，不但會導致磁盤分區(qū)的喪失，甚至喪失硬盤上的所有文件，使系統(tǒng)再也無法引導了。 2022/7/12進程的相關知識 進程是什么進程為應用程序的運行實例，是應用程序的一次動態(tài)執(zhí)行。假單理解：它是操作系統(tǒng)當前運行的執(zhí)行程序。 進程的分類：系統(tǒng)進程 應用進程 存在平安風險進程 其他進程2022/7/12如何