网络安全技术第七章课件.ppt

《网络安全技术第七章课件.ppt》由会员分享，可在线阅读，更多相关《网络安全技术第七章课件.ppt（54页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全技术第七章第1页，此课件共54页哦第一节第一节 网络病毒及特征网络病毒及特征本章主要内容本章主要内容第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施第2页，此课件共54页哦一、网络病毒的概念一、网络病毒的概念二、网络病毒的主要特点二、网络病毒的主要特点三、典型的网络病毒介绍三、典型的网络病毒介绍第一节第一节 网络病毒及特征网络病毒及特征第3页，此课件共54页哦一一、网网络络病病毒毒的的概概念念（1 1）狭义的网络病毒）狭义的网络病毒:即网络病毒应该是充分利用网络即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传播的途径或机制

2、，同时网的协议以及网络的体系结构作为其传播的途径或机制，同时网络病毒的破坏对象也应是针对网络的。络病毒的破坏对象也应是针对网络的。（2 2）广义的网络病毒）广义的网络病毒:只要能够在网络上传播并能对只要能够在网络上传播并能对网络产生破坏的病毒，不论它破坏的是网络还是联网计算机，网络产生破坏的病毒，不论它破坏的是网络还是联网计算机，就可称为网络病毒。就可称为网络病毒。第4页，此课件共54页哦二二、网网络络病病毒毒的的主主要要特特点点1 1技术门坎低，任何人皆可撰写新病毒技术门坎低，任何人皆可撰写新病毒2 2蠕虫病毒和木马病毒是最大的威胁蠕虫病毒和木马病毒是最大的威胁 3 3愈来愈快的传播愈来愈快

3、的传播“毒速毒速”4 4愈来愈短的攻击时间差愈来愈短的攻击时间差5 5不断创新的自我防御技术不断创新的自我防御技术 6 6令人眼花缭乱的庞大变种令人眼花缭乱的庞大变种7 7乱乱“件件”齐发的垃圾邮件齐发的垃圾邮件8 8有洞就钻有洞就钻 9 9混合式攻击混合式攻击 网络病毒的特征主要是相对于单机病毒来说的，网络病毒的特征主要是相对于单机病毒来说的，其特点主要表现在以下几个方面其特点主要表现在以下几个方面:第5页，此课件共54页哦三三、网网络络病病毒毒实实例例几种典型的网络病毒：几种典型的网络病毒：2 2、木马病毒、木马病毒 3 3、蠕虫病毒、蠕虫病毒 4 4、网页脚本病毒、网页脚本病毒 1 1、

4、宏病毒、宏病毒5 5、即时通讯病毒、即时通讯病毒 第6页，此课件共54页哦 1 1宏病毒宏病毒 宏病毒是使用某个应用程序自带的宏编程语宏病毒是使用某个应用程序自带的宏编程语言编写的病毒言编写的病毒 。宏病毒目前主要是针对应用组件，。宏病毒目前主要是针对应用组件，类型分为二类：感染类型分为二类：感染WordWord系统的系统的WordWord宏病毒、感染宏病毒、感染ExcelExcel系统的系统的Exce1Exce1宏病毒和感染宏病毒和感染Lotus AmiProLotus AmiPro的的宏病毒。宏病毒。WordWord宏病毒具有以下的特征：宏病毒具有以下的特征：（1 1）危害性大。）危害性大

5、。（2 2）感染数据文件。）感染数据文件。（3 3）多平台交叉感染。）多平台交叉感染。（4 4）容易制作。）容易制作。（5 5）传播方便快捷。）传播方便快捷。（6 6）检测、清除比较困难。）检测、清除比较困难。三三、网网络络病病毒毒实实例例第7页，此课件共54页哦 宏病毒举例宏病毒举例三三、网网络络病病毒毒实实例例简单自制宏病毒发作表象第8页，此课件共54页哦2木马病毒木马病毒 将自己伪装成某种应用程序来吸引用户下载将自己伪装成某种应用程序来吸引用户下载或执行，并进而破坏用户计算机数据、造成用户或执行，并进而破坏用户计算机数据、造成用户不便或窃取重要信息的程序，称为不便或窃取重要信息的程序，称

6、为“特洛伊木马特洛伊木马”或或“木马木马”病毒。病毒。木马病毒有以下基本特征：木马病毒有以下基本特征：（1）隐蔽性）隐蔽性（2）自动运行性）自动运行性（3）欺骗性）欺骗性（4）具备自动恢复功能）具备自动恢复功能（5）能自动打开特别的端口）能自动打开特别的端口（6）功能的特殊性）功能的特殊性三三、网网络络病病毒毒实实例例第9页，此课件共54页哦 木马病毒举例（木马病毒举例（“落雪落雪”）三三、网网络络病病毒毒实实例例“落雪”病毒在系统文件夹中添加的文件它由它由VB语言编写，加的是语言编写，加的是nSPack3.1的壳，该木的壳，该木马文件图标一般是红色的，很像网络游戏的登陆器。马文件图标一般是红

7、色的，很像网络游戏的登陆器。它可以盗取包括魔兽世界、传奇世界、征途、梦幻它可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码，西游、边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。它对网络游戏玩家的游戏装备构成了极大的威胁。它可以把木马克星和卡巴斯基自动禁用，卡巴斯基还可以把木马克星和卡巴斯基自动禁用，卡巴斯基还可以手工启用，木马克星手工已无法启用。即便是可以手工启用，木马克星手工已无法启用。即便是用户中毒之后将用户中毒之后将C盘的病毒杀干净了，一旦双击盘的病毒杀干净了，一旦双击D盘盘还会重新感染落雪木马。还会重新感染落雪木

8、马。第10页，此课件共54页哦3 3蠕虫病毒蠕虫病毒 蠕虫（蠕虫（wormworm）病毒无论从传播速度、传播范围还是从破）病毒无论从传播速度、传播范围还是从破坏程度上来讲，都是以往的传统病毒所无法比拟的，可以说坏程度上来讲，都是以往的传统病毒所无法比拟的，可以说是近年来最为猖獗、影响最广泛的一类计算机病毒，其传播是近年来最为猖獗、影响最广泛的一类计算机病毒，其传播主要体现在以下两方面：主要体现在以下两方面：（1 1）利用微软的系统漏洞攻击计算机网络。）利用微软的系统漏洞攻击计算机网络。“红色代码红色代码”、“NimdaNimda”、“SqlSql蠕虫王蠕虫王”等病毒都是属于这一类病毒。等病毒都

9、是属于这一类病毒。（2 2）利用）利用EmailEmail邮件迅速传播。如邮件迅速传播。如“爱虫病毒爱虫病毒”和和“求职信求职信病毒病毒”。“蠕虫蠕虫”病毒由两部分组成：一个主程序和另一个是引病毒由两部分组成：一个主程序和另一个是引导程序。导程序。主程序的主要功能是搜索和扫描，这个程序能主程序的主要功能是搜索和扫描，这个程序能够读取系统的公共配置文件，获得与本机联网的够读取系统的公共配置文件，获得与本机联网的客户端信息，检测到网络中的哪台机器没有被占客户端信息，检测到网络中的哪台机器没有被占用，从而通过系统的漏洞，将引导程序建立到远用，从而通过系统的漏洞，将引导程序建立到远程计算机上。程计算机

10、上。引导程序实际上是蠕虫病毒主程序（或引导程序实际上是蠕虫病毒主程序（或一个程序段）自身的一个副本，而主程序和一个程序段）自身的一个副本，而主程序和引导程序都有自动重新定位的能力。引导程序都有自动重新定位的能力。三三、网网络络病病毒毒实实例例第11页，此课件共54页哦 蠕虫病毒举例（蠕虫病毒举例（“魔鬼波魔鬼波”蠕虫）蠕虫）三三、网网络络病病毒毒实实例例魔鬼波病毒发作时现象“魔鬼波魔鬼波”（Backdoor/Mocbot.b）蠕虫利用微软）蠕虫利用微软MS06-040漏洞，通过漏洞，通过TCP端口端口445进行传播。其传进行传播。其传播过程可以在用户不知情的情况下主动进行，可能播过程可以在用户

11、不知情的情况下主动进行，可能造成造成services.exe崩溃等现象。还可通过崩溃等现象。还可通过AOL等即等即时通讯工具自动发送包含恶意链接的消息。运行成时通讯工具自动发送包含恶意链接的消息。运行成功后，病毒会连接功后，病毒会连接IRC服务器接收黑客命令。服务器接收黑客命令。通过黑通过黑客命令，客命令，“魔鬼波魔鬼波”蠕虫可以运行下载任意程序，进蠕虫可以运行下载任意程序，进行拒绝服务攻击行拒绝服务攻击(DDoS)等活动，使得用户计算机完等活动，使得用户计算机完全被黑客控制。全被黑客控制。第12页，此课件共54页哦4 4网页脚本病毒网页脚本病毒 脚本病毒是指利用脚本病毒是指利用.asp.as

12、p、.htm.htm、.html.html、.vbs.vbs、.jsp.jsp类型的文件进行传播，基于类型的文件进行传播，基于VB VB ScriptScript和和Java ScriptJava Script脚本语言并由脚本语言并由Widows Widows Scripting HostScripting Host解释执行的一类病毒。解释执行的一类病毒。脚本病毒具有如下特点：脚本病毒具有如下特点：（1 1）隐藏性强。）隐藏性强。（2 2）传播性广。）传播性广。（3 3）病毒变种多。）病毒变种多。可以采用下面的步骤来避免该类病毒的入侵：可以采用下面的步骤来避免该类病毒的入侵：（1 1）用）用r

13、egsvr32 scrrun.dll/uregsvr32 scrrun.dll/u命令禁止文件系统对象命令禁止文件系统对象（2 2）卸载）卸载Windows Scripting HostWindows Scripting Host项。项。（3 3）删除）删除VBSVBS、VBEVBE、JSJS、JSEJSE文件后缀名与应用程序的链接。文件后缀名与应用程序的链接。（4 4）更改或者删除）更改或者删除WindowsWindows目录中，目录中，WScript.exeWScript.exe（5 5）将将“Internet Internet 选项选项”中所有中所有“ActiveXActiveX控件及插

14、件控件及插件”设设为禁用。为禁用。（6 6）将安全级别设置至少为）将安全级别设置至少为“中等中等”。（7 7）禁止）禁止IEIE的自动收发邮件功能。的自动收发邮件功能。（8 8）安装杀毒软件，在安全模式用新版杀毒软件全面查杀，并及时更）安装杀毒软件，在安全模式用新版杀毒软件全面查杀，并及时更新杀毒软件新杀毒软件 三三、网网络络病病毒毒实实例例第13页，此课件共54页哦4 4网页脚本病毒网页脚本病毒三三、网网络络病病毒毒实实例例网页脚本病毒对IE属性的修改第14页，此课件共54页哦5 5即时通讯病毒即时通讯病毒即时通讯病毒具有以下几个特点：即时通讯病毒具有以下几个特点：（1 1）更强的隐蔽性。）

15、更强的隐蔽性。（2 2）攻击更加便利。）攻击更加便利。（3 3）更快的传播速度。）更快的传播速度。目前，袭击即时通讯软件的病毒主要分三类：目前，袭击即时通讯软件的病毒主要分三类：第一类是第一类是只以只以QQ、MSN等等即时通讯即时通讯软件为传软件为传播渠道的播渠道的病毒病毒第二类为第二类为专门针对专门针对即时通讯即时通讯软件本身软件本身的窃取用的窃取用户帐号、户帐号、密码的密码的病毒病毒第三类是第三类是不断给用不断给用户发消息户发消息的骚扰型的骚扰型病毒病毒三三、网网络络病病毒毒实实例例第15页，此课件共54页哦即时通信病毒举例（即时通信病毒举例（MSNMSN性感鸡）性感鸡）三三、网网络络病病

16、毒毒实实例例“MSN性感鸡”病毒在系统盘根目录下释放的小鸡图片 第16页，此课件共54页哦 针对前面讲的内容，我们该怎么做好网络病毒的防范工作呢？思 考第17页，此课件共54页哦第一节第一节 网络病毒及特征网络病毒及特征第七章第七章网络病毒与防范网络病毒与防范第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施第18页，此课件共54页哦 如何有效地在网络环境下防治病毒是一个比较新如何有效地在网络环境下防治病毒是一个比较新的课题，各种方案、技术很多，我们认为最重要的的课题，各种方案、技术很多，我们认为最重要的是应当先研究网络防治病毒的基本原则和策略

17、，在是应当先研究网络防治病毒的基本原则和策略，在这方面业内人士已基本达成共识。这些基本原则的这方面业内人士已基本达成共识。这些基本原则的策略归纳起来可以分为以下几条：策略归纳起来可以分为以下几条：第二节第二节 网络反病毒原则与策略网络反病毒原则与策略一、防重于治一、防重于治 防重在管防重在管二、综合防护二、综合防护 三、最佳均衡原则三、最佳均衡原则 四、管理与技术并重四、管理与技术并重 五、正确选择网络反毒产品五、正确选择网络反毒产品 六、多层次防御六、多层次防御 七、注意病毒检测的可靠性七、注意病毒检测的可靠性 第19页，此课件共54页哦一一、防防重重于于治治 防防重重在在管管 一般来讲，计

18、算机病毒的防治在于完善操作系统一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制。在网络环境下，可相应采取和应用软件的安全机制。在网络环境下，可相应采取新的防范手段，网络防病毒最大的优势在于网络的管新的防范手段，网络防病毒最大的优势在于网络的管理功能。理功能。所谓网络管理就是管理全部的网络设备中所谓网络管理就是管理全部的网络设备中所有病毒能够进来的部位，可以从两方面着手所有病毒能够进来的部位，可以从两方面着手解决：解决：一是严格管理制度，对网络系统启动盘、一是严格管理制度，对网络系统启动盘、用户数据盘等从严管理与检测，严禁在网络工用户数据盘等从严管理与检测，严禁在网络工作站上运行与

19、本部门业务无关的软件；作站上运行与本部门业务无关的软件；二是充分利用网络系统安全管理方面的功能。二是充分利用网络系统安全管理方面的功能。第二节 网络反病毒原则与策略网络本身提供了网络本身提供了4 4级安全保护措施：级安全保护措施：注册安全，网络管理员通过用户名、入网口令注册安全，网络管理员通过用户名、入网口令来保证注册安全；来保证注册安全；权限安全，通过指定授权和屏蔽继承权限来实现；权限安全，通过指定授权和屏蔽继承权限来实现；属性安全，由系统对各目录和文件读、写等的性质进属性安全，由系统对各目录和文件读、写等的性质进行规定；行规定；可通过封锁控制台键盘等来保护文件服务器安全。可通过封锁控制台键

20、盘等来保护文件服务器安全。第20页，此课件共54页哦二二、综综合合防防护护 网络系统的安全防护能力，取决于系统中网络系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节，在某一特定状态安全防护能力最薄弱的环节，在某一特定状态下整个网络系统对病毒的防御能力只能取决于下整个网络系统对病毒的防御能力只能取决于网络中病毒防护能力最薄弱的一个节点或层次网络中病毒防护能力最薄弱的一个节点或层次 。网络的安全体系应从防病毒、防黑客、灾网络的安全体系应从防病毒、防黑客、灾难恢复等几方面综合考虑，形成一整套的安全难恢复等几方面综合考虑，形成一整套的安全机制，这才是最有效的网络安全手段。防病毒机制，这才是最有

21、效的网络安全手段。防病毒软件、防火墙产品通过设置、调整参数，能够软件、防火墙产品通过设置、调整参数，能够相互通信，协同发挥作用。这也是区别单机防相互通信，协同发挥作用。这也是区别单机防病毒技术与网络防病毒技术的重要标志。病毒技术与网络防病毒技术的重要标志。第二节 网络反病毒原则与策略第21页，此课件共54页哦三三、最最佳佳均均衡衡原原则则 要采取网络防病毒措施，肯定会导致网要采取网络防病毒措施，肯定会导致网络系统资源开销的增加，如增加系统负荷，络系统资源开销的增加，如增加系统负荷，占用占用CPUCPU时间、占用网络服务器内存等。针对时间、占用网络服务器内存等。针对这一问题，有业内人士对网络防病

22、毒技术提出这一问题，有业内人士对网络防病毒技术提出了了“最小占用原则最小占用原则”，以保证网络防病毒技，以保证网络防病毒技术在发挥其正常功能的前提下，占用最小网术在发挥其正常功能的前提下，占用最小网络资源。络资源。第二节 网络反病毒原则与策略第22页，此课件共54页哦四四、管管理理与与技技术术并并重重 解决网络病毒问题应从加强管理和采取技解决网络病毒问题应从加强管理和采取技术措施两方面着手，在管理方面要形成制度，加术措施两方面着手，在管理方面要形成制度，加强网管人员的防病毒观念，在内部网与外界交换强网管人员的防病毒观念，在内部网与外界交换数据等业务活动中进行有效控制和管理，同时抵数据等业务活动

23、中进行有效控制和管理，同时抵制盗版软件或来路不明软件的使用。同时辅以技制盗版软件或来路不明软件的使用。同时辅以技术措施，选择和安装网络防病毒产品，这是以围术措施，选择和安装网络防病毒产品，这是以围绕商品化的网络防杀病毒软件及其供应商向用户绕商品化的网络防杀病毒软件及其供应商向用户提供的技术支持、产品使用、售后服务、紧急情提供的技术支持、产品使用、售后服务、紧急情况下的突发响应等专业化反病毒工作展开的。况下的突发响应等专业化反病毒工作展开的。第二节 网络反病毒原则与策略第23页，此课件共54页哦五五、正正确确选选择择网网络络反反毒毒产产品品 由于网络环境的操作系统种类繁多，目前世由于网络环境的操

24、作系统种类繁多，目前世界上各种网络反病毒产品中还没有一种能以同一界上各种网络反病毒产品中还没有一种能以同一主程序跨越多种网络系统平台，所以用户要根据主程序跨越多种网络系统平台，所以用户要根据自己的网络平台有针对性地选择网络反病毒产品。自己的网络平台有针对性地选择网络反病毒产品。第二节 网络反病毒原则与策略第24页，此课件共54页哦六六、多多层层次次防防御御 多层次防御病毒的解决方案应该既具有稳多层次防御病毒的解决方案应该既具有稳健的病毒检测功能，又有客户机服务器数据健的病毒检测功能，又有客户机服务器数据保护功能。在个人计算机的硬件和软件、保护功能。在个人计算机的硬件和软件、LANLAN服务器、

25、服务器网关、服务器、服务器网关、Internet Internet 及及IntranetIntranet站点站点上，层层设防，对每种病毒都实行隔离、过滤。在上，层层设防，对每种病毒都实行隔离、过滤。在后台进行实时监控，发现病毒随时清除，实施覆盖后台进行实时监控，发现病毒随时清除，实施覆盖全网的多层次防护。全网的多层次防护。第二节 网络反病毒原则与策略 新的网络防毒策略是把病毒检测、多层数据新的网络防毒策略是把病毒检测、多层数据保护和集中式管理功能集成起来，形成多层次的保护和集中式管理功能集成起来，形成多层次的防御体系，它易于使用和管理，也不会对管理员防御体系，它易于使用和管理，也不会对管理员带

26、来额外的负担，极大地降低了病毒的威胁，同带来额外的负担，极大地降低了病毒的威胁，同时也使病毒防治任务变得更经济、更简单、更可时也使病毒防治任务变得更经济、更简单、更可靠。靠。第25页，此课件共54页哦多层次防御病毒软件主要采取了三层保护功能：多层次防御病毒软件主要采取了三层保护功能：1后台实时扫描后台实时扫描2完整性保护完整性保护3完整性检验完整性检验病毒扫驱动病毒扫驱动器能对未知器能对未知病毒包括变病毒包括变形病毒和加形病毒和加密病毒进行密病毒进行连续的检测连续的检测 该措施用于该措施用于阻止病毒从阻止病毒从一个受感染一个受感染的工作站传的工作站传染到网络服染到网络服务器。务器。完整性检验完

27、整性检验使系统无需使系统无需冗余的扫描冗余的扫描过程，能提过程，能提高检验的实高检验的实时性时性 六六、多多层层次次防防御御第二节 网络反病毒原则与策略第26页，此课件共54页哦七七、注注意意病病毒毒检检测测的的可可靠靠性性 要定期对网络上的共享文件卷进行病毒检测。要定期对网络上的共享文件卷进行病毒检测。但要注意的是，检测结果没有发现病毒并不等于就但要注意的是，检测结果没有发现病毒并不等于就真的没有病毒。真的没有病毒。最好使用两种以上的反毒软件对网络系统进行最好使用两种以上的反毒软件对网络系统进行检测，这样可以有效地增加检查结果的可靠性。检测，这样可以有效地增加检查结果的可靠性。第二节 网络反

28、病毒原则与策略第27页，此课件共54页哦第一节第一节 网络病毒及特征网络病毒及特征第七章第七章网络病毒与防范网络病毒与防范第二节第二节 网络反病毒原则及策略网络反病毒原则及策略第三节第三节 网络反病毒的实施网络反病毒的实施第28页，此课件共54页哦一、病毒诊断技术原理一、病毒诊断技术原理 二、网络反病毒的基本技术措施二、网络反病毒的基本技术措施 三、网络反病毒技术与方案介绍三、网络反病毒技术与方案介绍四、主流反病毒产品特点介绍四、主流反病毒产品特点介绍第三节第三节 网络反病毒的实施网络反病毒的实施第29页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理1 1、病毒比较法诊断的原理、病毒

29、比较法诊断的原理 比较法比较法是用原始的或正常的与被检测的进是用原始的或正常的与被检测的进行比较，包括长度比较法、内容比较法、内行比较，包括长度比较法、内容比较法、内存比较法、中断比较法等。比较时可以对打存比较法、中断比较法等。比较时可以对打印的代码清单进行比较，也可以用程序来进印的代码清单进行比较，也可以用程序来进行比较。行比较。第30页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理2 2、病毒校验和法诊断的原理、病毒校验和法诊断的原理 计算正常文件的内容的校验和，并将该校验计算正常文件的内容的校验和，并将该校验和写入文件中或写入其文件中保存。在文件使用和写入文件中或写入其文件中保

30、存。在文件使用过程中，定期地或每次使用文件前检查文件当前过程中，定期地或每次使用文件前检查文件当前的校验和与原来保存的校验和是否一致可以发现的校验和与原来保存的校验和是否一致可以发现文件是否被感染，这种方法叫文件是否被感染，这种方法叫校验和法校验和法。第31页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理3 3、病毒扫描法诊断的原理、病毒扫描法诊断的原理 扫描法扫描法是用每一种病毒体还有的特定字符串是用每一种病毒体还有的特定字符串对被检测的对象进行扫描。如果在被检测对象内对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字部发现了某一种特定字符串，就表

31、明发现了该字符串所代表的病毒。符串所代表的病毒。扫描法包括扫描法包括特征代码扫描法特征代码扫描法和和特征字扫描特征字扫描法。法。扫描法的扫描法的优点优点是可以识别病毒的名称、误报是可以识别病毒的名称、误报警率低、依据检测结果可以做杀毒处理。警率低、依据检测结果可以做杀毒处理。第32页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理4 4、病毒行为检测法诊断的原理、病毒行为检测法诊断的原理 利用病毒的特有行为特性监测病毒的方法称利用病毒的特有行为特性监测病毒的方法称做行为做行为监测法监测法。行为监测法的行为监测法的长处长处在于不仅可以发现已知病毒，在于不仅可以发现已知病毒，而且可以相当准

32、确地预报多数未知病毒。但行为监而且可以相当准确地预报多数未知病毒。但行为监测法也有测法也有短处短处，即可能误报警和不能识别病毒，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。名称，而且实现起来有一定难度。监测病毒的行为特征可列举如下：监测病毒的行为特征可列举如下：（1 1）占用）占用INT13HINT13H：所有的引导型病毒都攻击：所有的引导型病毒都攻击BOOTBOOT扇区或主引导扇区。扇区或主引导扇区。（2 2）修改）修改DOSDOS系统数据区的内存总量：病毒常驻内系统数据区的内存总量：病毒常驻内存后，为了防止存后，为了防止DOSDOS系统将其覆盖，必须修改内存系统将其覆盖，必须修

33、改内存总量。总量。（3 3）对）对COMCOM和和EXEEXE文件做写入操作：病毒要进行感文件做写入操作：病毒要进行感染，必须写染，必须写COMCOM和和EXEEXE文件。文件。（4 4）病毒程序与宿主程序的切换染毒程序运行时，先）病毒程序与宿主程序的切换染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。多特征行为。第33页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理5 5、病毒行为感染实验法诊断的原理、病毒行为感染实验法诊断的原理 感染实验感染实验是一种简单实用的病毒检测方法，是一种简单实用的病毒检测方法，采

34、用感染实验法可以检测出病毒检测工具不认识采用感染实验法可以检测出病毒检测工具不认识的新病毒，从而摆脱对病毒检测工具的依赖，自的新病毒，从而摆脱对病毒检测工具的依赖，自主地检测可疑的新病毒。这种方法的原理就是利主地检测可疑的新病毒。这种方法的原理就是利用了病毒的最重要的特征用了病毒的最重要的特征感染特性。感染特性。第34页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理6、病毒行为软件模拟法诊断的原理、病毒行为软件模拟法诊断的原理软件模拟法软件模拟法是一种软件分析器，用软件方法是一种软件分析器，用软件方法来模拟和分析程序的运行。新型检测工具纳入软件来模拟和分析程序的运行。新型检测工具纳入

35、软件模拟法，该类工具开始运行时使用特征代码法检测模拟法，该类工具开始运行时使用特征代码法检测病毒，如果发现有隐性病毒或多态性病毒嫌疑时，病毒，如果发现有隐性病毒或多态性病毒嫌疑时，启动软件模拟模块监视病毒的运行，代病毒自身的启动软件模拟模块监视病毒的运行，代病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。密码译码后，再运用特征代码法来识别病毒的种类。第35页，此课件共54页哦一一、病病毒毒诊诊断断技技术术原原理理7 7、病毒分析法诊断的原理、病毒分析法诊断的原理 通常使用分析法的人不是普通用户，而是反通常使用分析法的人不是普通用户，而是反病毒技术人员。使用的目的在于：病毒技术人员。使用

36、的目的在于：（1 1）确认被观察的磁盘引导区和程序中是否含有病）确认被观察的磁盘引导区和程序中是否含有病毒。毒。（2 2）确认病毒的类型和种类，判定其是否为一种新）确认病毒的类型和种类，判定其是否为一种新病毒。病毒。（3 3）搞清楚病毒体的大致结构，提取特征识）搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒代码别用的字符串或特征字，用于增添到病毒代码库供病毒扫描和识别程序使用。库供病毒扫描和识别程序使用。（4 4）详细分析病毒代码，为制订相应的反病毒措）详细分析病毒代码，为制订相应的反病毒措施制订方案。施制订方案。第36页，此课件共54页哦二二、网网络络反反病病毒毒的的

37、基基本本技技术术措措施施1 1针对网络硬件的措施针对网络硬件的措施 网络反病毒在硬件方面采取的措施主要是：网络反病毒在硬件方面采取的措施主要是：（1 1）基于工作站的）基于工作站的DOSDOS系统防范病毒。工作站系统防范病毒。工作站防病毒的方法，一是使用病毒防杀软件；二是在防病毒的方法，一是使用病毒防杀软件；二是在网络工作站上安装防毒芯片，随时保护工作站及网络工作站上安装防毒芯片，随时保护工作站及其通往服务器的路径。其通往服务器的路径。（2 2）服务器）服务器NLMNLM防病毒技术。目前基于服务防病毒技术。目前基于服务器的反病毒技术都以可装载模块技术器的反病毒技术都以可装载模块技术NLMNLM

38、（netware loadable modu1enetware loadable modu1e）进行程序设计，提）进行程序设计，提供实时扫描病毒能力。供实时扫描病毒能力。第37页，此课件共54页哦二二、网网络络反反病病毒毒的的基基本本技技术术措措施施2 2安装网络反毒软件安装网络反毒软件（1 1）在网关和防火墙安装反毒软件）在网关和防火墙安装反毒软件（2 2）在工作站上安装反毒软件）在工作站上安装反毒软件（3 3）在电子邮件服务器安装反毒软件）在电子邮件服务器安装反毒软件（4 4）在所有文件服务器安装反毒软件）在所有文件服务器安装反毒软件第38页，此课件共54页哦二二、网网络络反反病病毒毒的的

39、基基本本技技术术措措施施3 3清除网络中的病毒清除网络中的病毒 一旦发现或怀疑网络中存在病毒，应及早检一旦发现或怀疑网络中存在病毒，应及早检测、清除。主要步骤是：测、清除。主要步骤是：（1 1）立即在网上用命令通知包括系统管理员在内）立即在网上用命令通知包括系统管理员在内的所有用户退网，也可以在控制台删除当前所有注的所有用户退网，也可以在控制台删除当前所有注册用户，然后关闭文件服务器。册用户，然后关闭文件服务器。（2 2）用系统盘启动系统管理员工作站，检查有无病）用系统盘启动系统管理员工作站，检查有无病毒感染，如有应先行清除。毒感染，如有应先行清除。（3 3）用系统盘启动文件服务器，在系统管理

40、员登录）用系统盘启动文件服务器，在系统管理员登录后，使用系统命令禁止其他用户登录上网。后，使用系统命令禁止其他用户登录上网。（4 4）为防止在杀毒过程中出现意外，先将文件）为防止在杀毒过程中出现意外，先将文件服务器硬盘中的重要文件、数据备份到干净的服务器硬盘中的重要文件、数据备份到干净的软盘上，并且注意此时千万不要执行硬盘中的软盘上，并且注意此时千万不要执行硬盘中的程序，也不要进行向硬盘中拷贝文件等操作，程序，也不要进行向硬盘中拷贝文件等操作，以免破坏可能已被病毒弄乱的硬盘文件、数据以免破坏可能已被病毒弄乱的硬盘文件、数据的结构。的结构。（5 5）用网络杀毒软件扫描各种服务器上所有卷）用网络杀

41、毒软件扫描各种服务器上所有卷的文件，恢复或删除被病毒感染的文件，重新的文件，恢复或删除被病毒感染的文件，重新安装被删文件。安装被删文件。（6 6）为防止病毒漏网，再使用杀毒软件对所有）为防止病毒漏网，再使用杀毒软件对所有可能染上病毒的软盘和备份文件的软盘检测一可能染上病毒的软盘和备份文件的软盘检测一遍。遍。（7 7）通知各联网用户对所有的有盘工作站进行）通知各联网用户对所有的有盘工作站进行杀毒处理。杀毒处理。（8 8）只有当确认病毒己被彻底清除后，方可重新开）只有当确认病毒己被彻底清除后，方可重新开启网络服务器。启网络服务器。（9 9）最好再检查一下病毒的来源或病毒是从何处）最好再检查一下病毒

42、的来源或病毒是从何处进入网络的，以堵住漏洞。进入网络的，以堵住漏洞。第39页，此课件共54页哦二二、网网络络反反病病毒毒的的基基本本技技术术措措施施4 4网络反毒技术的新特征网络反毒技术的新特征 随着网络技术的发展，反毒技术也在不断随着网络技术的发展，反毒技术也在不断发展，其主要特征是：发展，其主要特征是：（1 1）配合紧密，层次更深）配合紧密，层次更深 （2 2）实时化反毒）实时化反毒 （3 3）检测压缩文件中的病毒）检测压缩文件中的病毒第40页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍1 1局域网反毒技术体系局域网反毒技术体系2 2病毒防火墙病毒防火墙3 3N

43、AFNAF多层病毒防御体系多层病毒防御体系第41页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍1 1局域网反毒技术体系局域网反毒技术体系 （1 1）病毒在局域网中的传播途径）病毒在局域网中的传播途径 最常见的一种感染方法是病毒传染工作站最常见的一种感染方法是病毒传染工作站后进而感染网络服务器。后进而感染网络服务器。第42页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍1 1局域网反毒技术体系局域网反毒技术体系 （2 2）局域网反毒体系的构成）局域网反毒体系的构成 根据病毒在局域网中的活动特点，局域网反毒根据病毒在局域网中的活动特点，局域网反

44、毒体系可由两个模块构成，即工作于网络服务器上的体系可由两个模块构成，即工作于网络服务器上的网络反毒模块网络反毒模块和运行在工作站的和运行在工作站的单机反毒模块。单机反毒模块。主要作用是负责整个主要作用是负责整个网络的病毒防御网络的病毒防御 将固化有防杀病毒软件的卡或芯片安装将固化有防杀病毒软件的卡或芯片安装在工作站上，用来间断地保护工作站及其通在工作站上，用来间断地保护工作站及其通往服务器的路径，拦截病毒对网络的入侵。往服务器的路径，拦截病毒对网络的入侵。第43页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍1 1局域网反毒技术体系局域网反毒技术体系 （3 3）局域网

45、预防病毒措施）局域网预防病毒措施 加强网络系统管理加强网络系统管理 尽量减少有盘工作站尽量减少有盘工作站 网络服务器必须使用专门的机器网络服务器必须使用专门的机器 使用防病毒卡或防病毒软件使用防病毒卡或防病毒软件 第44页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍2 2病毒防火墙病毒防火墙 （1 1）病毒防火墙的基本功能）病毒防火墙的基本功能 病毒防火墙的基本功能是实时病毒防火墙的基本功能是实时“过滤过滤”（screenscreen）。这种技术一是保护计算机系统不）。这种技术一是保护计算机系统不受任何来自本地的或远程的病毒的危害；二是受任何来自本地的或远程的病毒的

46、危害；二是向计算机系统提供双向的保护，防止本地系统向计算机系统提供双向的保护，防止本地系统内的病毒向网络扩散。内的病毒向网络扩散。第45页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍2 2病毒防火墙病毒防火墙 （2 2）病毒防火墙的关键技术）病毒防火墙的关键技术 操作系统底层接口技术操作系统底层接口技术 网络底层接口技术网络底层接口技术 应用程序底层接口技术应用程序底层接口技术 充分利用操作系统多任务、多线程机制的充分利用操作系统多任务、多线程机制的技术技术 算法优化技术算法优化技术第46页，此课件共54页哦三三、网网络络反反病病毒毒技技术术与与方方案案介介绍绍 3

47、 3NAFNAF多层病毒防御体系多层病毒防御体系 多层病毒防御体系多层病毒防御体系，是指在每个台式机上，是指在每个台式机上要安装针对台式机的反病毒软件，在服务器上要安装针对台式机的反病毒软件，在服务器上安装专用于服务器的反病毒软件，在安装专用于服务器的反病毒软件，在InternetInternet网关上要安装基于网关的反病毒软件。网关上要安装基于网关的反病毒软件。同时每个用户都要确保自己使用的同时每个用户都要确保自己使用的PCPC机不受病毒机不受病毒的感染，从而保证整个内部网的安全。的感染，从而保证整个内部网的安全。第47页，此课件共54页哦四四、主主流流反反病病毒毒产产品品介介绍绍 1 1瑞

48、星杀毒软件瑞星杀毒软件第48页，此课件共54页哦四四、主主流流反反病病毒毒产产品品介介绍绍 瑞星杀毒软件功能特点瑞星杀毒软件功能特点（1 1）第七代极速杀毒引擎，查杀速度提升）第七代极速杀毒引擎，查杀速度提升3030。（2 2）首创）首创“木马墙木马墙”，解决帐号、密码丢失问题。，解决帐号、密码丢失问题。（3 3）在线专家门诊，实时解决用户安全问题。）在线专家门诊，实时解决用户安全问题。（4 4）卡卡上网安全助手，全面阻击流氓软件。）卡卡上网安全助手，全面阻击流氓软件。（5 5）五大国家发明专利，以技术领跑业界。）五大国家发明专利，以技术领跑业界。第49页，此课件共54页哦四四、主主流流反反病

49、病毒毒产产品品介介绍绍2 2KVKV杀毒软件杀毒软件第50页，此课件共54页哦四四、主主流流反反病病毒毒产产品品介介绍绍KVKV杀毒软件功能特点杀毒软件功能特点（1 1）采用）采用6464位技术编程，运行速度更快、杀毒效率更高。位技术编程，运行速度更快、杀毒效率更高。（2 2）独创）独创BOOTSCANBOOTSCAN杀毒技术，系统启动前杀毒。杀毒技术，系统启动前杀毒。（3 3）自动恢复病毒破坏的注册表。）自动恢复病毒破坏的注册表。（4 4）接入移动设备自动查毒。）接入移动设备自动查毒。（5 5）扫描自动变速。）扫描自动变速。（6 6）父母控制，不良网站自动过滤。）父母控制，不良网站自动过滤。

50、（7 7）多功能系统监测器。）多功能系统监测器。（8 8）系统漏洞检查功能。）系统漏洞检查功能。（9 9）新增只能垃圾邮件识别功能。）新增只能垃圾邮件识别功能。（1010）彻底防范木马监听键盘消息。）彻底防范木马监听键盘消息。第51页，此课件共54页哦四四、主主流流反反病病毒毒产产品品介介绍绍 3 3金山毒霸杀毒套装功能特点金山毒霸杀毒套装功能特点（1 1）主动实时升级。）主动实时升级。（2 2）防杀间谍。）防杀间谍。（3 3）隐私保护。）隐私保护。第52页，此课件共54页哦四四、主主流流反反病病毒毒产产品品介介绍绍 4 4卡巴斯基反病毒软件卡巴斯基反病毒软件第53页，此课件共54页哦四四、主