网络病毒与防范.pptx

《网络病毒与防范.pptx》由会员分享，可在线阅读，更多相关《网络病毒与防范.pptx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、会计学 1网络病毒与防范在这一章中你将学习 计算机病毒的特征、分类、防治。网络病毒的特点、传播及其防治。常用杀毒软件的使用。你将获取 阻击计算机病毒和网络病毒破坏的技能。杀毒软件的安装和配置方法。特定的网络病毒的查杀方法。第1页/共33页7.1 案例问题 7.1.1 案例说明 7.1.2 思考与讨论7.2 技术视角 7.2.1 计算机病毒基础知识 7.2.2 网络病毒的检测、防范清除第7章 计算机病毒及防范第2页/共33页7.3 网络病毒及防范的相关实验 7.3.1 杀毒软件的使用 7.3.2 病毒的发现、清除和系统修复 7.3.3 病毒惯用技术及病毒分析技术7.4超越与提高 7.4.1 防范

2、网络病毒体系 7.4.2 使用杀毒软件的误区第7章 计算机病毒及防范第3页/共33页7.1 案例问题7.1.1 案例说明1.背景描述随着中小企业越来越多的业务依赖于信息技术，中小企业的信息安全压力也同样越来越大。2.需求分析3.解决方案第4页/共33页7.1.2 思考与讨论1.1.阅读案例并思考以下问题 阅读案例并思考以下问题（1 1）“有了安全意识，才能拒绝病毒 有了安全意识，才能拒绝病毒”，说明主，说明主观能动性在防范病毒攻击中所起到的作用。观能动性在防范病毒攻击中所起到的作用。参考：参考：平时企业要从加强安全意识着手，对日常 平时企业要从加强安全意识着手，对日常工作中隐藏的病毒危害提高警

3、觉性，如安装一种大众 工作中隐藏的病毒危害提高警觉性，如安装一种大众认可的网络杀毒软件，定时更新病毒库，对于来历不 认可的网络杀毒软件，定时更新病毒库，对于来历不明的文件运行前进行查杀，每周查杀一次病毒，减少 明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候要尽量控制权限 共享文件夹的数量，文件共享的时候要尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传 和增加密码等，都可以很好地防止病毒在网络中的传播。播。第5页/共33页（2 2）根据你操作计算机的经历，列举几种计算）根据你操作计算机的经历，列举几种计算机及其网络病毒常见的破坏形式。机及其网络病毒常见

4、的破坏形式。参考：参考：删除磁盘上特定的可执行文件或数据文件；修 删除磁盘上特定的可执行文件或数据文件；修改或破坏文件中的数据；在系统中产生无用的新文 改或破坏文件中的数据；在系统中产生无用的新文件；对系统中用户存储的文件进行加密或解密。件；对系统中用户存储的文件进行加密或解密。改变系统数据区，即攻击硬盘的主引导扇区、改变系统数据区，即攻击硬盘的主引导扇区、Boot Boot扇区、文件分配表、文件目录等内容。一般来 扇区、文件分配表、文件目录等内容。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数 说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。据不易恢复。7.1.2 思考与讨论第6

5、页/共33页 改变磁盘上目标信息的存储状态；更改或重新写入磁盘的卷标；在磁盘上产生“坏”的扇区，减少磁盘空间，达到破坏有关程序或数据文件的目的；改变磁盘分配，使写入错误的扇区，对整个磁盘或磁盘的特定磁道进行格式化。系统空挂，造成显示屏幕或键盘的封锁状态。攻击内存。内存是服务器或客户机的重要资源，也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存容量、禁止分配内存、影响内存常驻程序的正常运行等。7.1.2 思考与讨论第7页/共33页干扰系统运行，改变系统的正常进程，不执行用户指令，干扰指令的运行，内部栈溢出，占用特殊数据区，时钟倒转，自动重新启动计算机，死机等。盗取有关用户的重要数据。7

6、.1.2 思考与讨论第8页/共33页（3）有什么办法既能够降低网络病毒的发生率，减少网络管理工作量，同时又能够合理地利用人力资源？参考：参考：每天都有新的病毒和木马被制造出来，黑客们使用各种免杀技术 每天都有新的病毒和木马被制造出来，黑客们使用各种免杀技术让病毒逃过杀毒软件的法眼，通过网页挂马让你心甘情愿地做它们的 让病毒逃过杀毒软件的法眼，通过网页挂马让你心甘情愿地做它们的“肉机 肉机”。为此，只能加强防范工作。为此，只能加强防范工作。7.1.2 思考与讨论第9页/共33页2.专题讨论（1）请比较目前常用的几种网络版杀毒软件。提示：病毒以多种形式借助网络迅速传播，它们攻击客 病毒以多种形式借

7、助网络迅速传播，它们攻击客户端、服务器、网关，单机的杀毒已不能有效解决问 户端、服务器、网关，单机的杀毒已不能有效解决问题，这时就需要网络版杀毒软件来彻底清除了。题，这时就需要网络版杀毒软件来彻底清除了。一般而言，网络版杀毒软件查杀是彻底，界面是 一般而言，网络版杀毒软件查杀是彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定 否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的杀毒软件的三大要素。一个网络杀毒软件的杀毒软件的三大要素。第10页/共33页（2）凭你自己的理解分析，计算机病毒与计算机网络病毒之间的主要区别在哪里？提示：防止单机计算机病毒本身就是令人头痛的问题。

8、个人计算机感染 防止单机计算机病毒本身就是令人头痛的问题。个人计算机感染病毒后，使用单机版杀毒软件即可消除，然而在网络中，一台机器一 病毒后，使用单机版杀毒软件即可消除，然而在网络中，一台机器一旦感染，病毒便会自动复制、发送并采用各种手段不停地交叉感染网 旦感染，病毒便会自动复制、发送并采用各种手段不停地交叉感染网络内的其他用户。络内的其他用户。2.专题讨论第1 1页/共33页7.2 技术视角7.2.1 计算机病毒基础知识1.计算机病毒简介计算机病毒是一种具有自我复制能力的计算机程序，计算机病毒是一种具有自我复制能力的计算机程序，它不仅能够破坏计算机系统，而且还能传播、感染到 它不仅能够破坏计

9、算机系统，而且还能传播、感染到其他的系统，它能影响计算机软件、硬件的正常运行，其他的系统，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整。破坏数据的正确与完整。第12页/共33页7.2.1 计算机病毒基础知识2.计算机病毒的特征（1）自我复制能力计算机病毒是一段人为编制的计算机程序代码，这 计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其 段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其他传染条件的程序或存储介质，确定目标后 他符合其他传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的只要一 再将自身代码插入其

10、中，达到自我繁殖的目的只要一台计算机感染病毒，如不及时处理，那么病毒会在这 台计算机感染病毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，大量文件（一般是可执行文件）台计算机上迅速扩散，大量文件（一般是可执行文件）会被感染，而被感染的文件又成了新的传染源，再与 会被感染，而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续 其他机器进行数据交换或通过网络接触，病毒会继续进行传染。进行传染。第13页/共33页（2）夺取系统控制权一般正常的程序是由用户调用，再由系统分配资源，完成用户交 一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户

11、是可见的。而病毒具有正常程序的一切特性，给的任务。其目的对用户是可见的。而病毒具有正常程序的一切特性，它隐藏的正常程序中，当用户调用正常程序时窃取系统的控制权，先 它隐藏的正常程序中，当用户调用正常程序时窃取系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未知用户允 于正常程序执行，病毒的动作、目的对用户是未知的，是未知用户允许的。许的。7.2.1 计算机病毒基础知识第14页/共33页（3）隐蔽性不经过代码分析，病毒程序与正常程序是不容易区别开来的。一 不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可 般在没

12、有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序，而且受到传染后，计算机系统通常 以在很短的时间里传染大量程序，而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。仍能正常运行，使用户不会感到任何异常。7.2.1 计算机病毒基础知识第15页/共33页（4）破坏性任何病毒只要侵入系统，都会对系统及应用程序产 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占 生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。计算机病毒的破 用系统资源，重者可导致系统崩溃。计算机病毒的破坏性多种多

13、样，若按破坏性粗略分类，可将病毒分为 坏性多种多样，若按破坏性粗略分类，可将病毒分为良性病毒与恶性病毒。良性病毒与恶性病毒。计算机病毒激发后，就可能进行破坏活动，轻者干 计算机病毒激发后，就可能进行破坏活动，轻者干扰屏幕显示，降低计算机运行速度，重者使计算机硬 扰屏幕显示，降低计算机运行速度，重者使计算机硬盘文件、数据被肆意篡改或全部丢失，甚至使整个计 盘文件、数据被肆意篡改或全部丢失，甚至使整个计算机系统瘫痪。算机系统瘫痪。7.2.1 计算机病毒基础知识第16页/共33页（5）潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在 大部分的病毒感染系统之后一般不会马上发作，它可长期隐

14、藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，显示 系统中，只有在满足其特定条件时才启动其表现（破坏）模块，显示发作信息或进行系统破坏。发作信息或进行系统破坏。（6）不可预见性从对病毒的检查方面来看，病毒还有不可预见性。不同种类的病 从对病毒的检查方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码相差甚远，但有些操作是共有的（如驻内存，改中断）毒，它们的代码相差甚远，但有些操作是共有的（如驻内存，改中断）。7.2.1 计算机病毒基础知识第17页/共33页3.计算机病毒的分类（1 1）按程序运行平台分类）按程序运行平台分类按照计算机病毒运行平台分类为 按照计算机病毒运行平台分

15、类为DOS DOS系统的病毒 系统的病毒、Windows Windows系统的病毒 系统的病毒、Linux Linux系统的病毒 系统的病毒 UNIX UNIX系 系统的病毒等。统的病毒等。（2 2）按传染方式分类）按传染方式分类病毒按传染方式可分为引导性病毒、文件型病毒 病毒按传染方式可分为引导性病毒、文件型病毒和混合性病毒三种。和混合性病毒三种。7.2.1 计算机病毒基础知识第18页/共33页（3）按链接方式分类病毒按链接方式可分为源码型病毒、入侵型病毒、操作系统型病 病毒按链接方式可分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒四种。毒、外壳型病毒四种。（4）按破坏性分类 无害型

16、；无害型；无危险型；无危险型；危险型；危险型；非常危险型 非常危险型;7.2.1 计算机病毒基础知识第19页/共33页（55）其他类型病毒）其他类型病毒 宏病毒主要是使用某个应用程序自带的宏编程 宏病毒主要是使用某个应用程序自带的宏编程语言编写的病毒。语言编写的病毒。黑客软件本身并不是一种病毒，它实质是一种 黑客软件本身并不是一种病毒，它实质是一种通信软件，而不少别有用心的人却利用它的独特特点 通信软件，而不少别有用心的人却利用它的独特特点通过网络非法进入他人计算机系统（如特洛伊木马），通过网络非法进入他人计算机系统（如特洛伊木马），获取或篡改各种数据，危害信息安全。获取或篡改各种数据，危害信

17、息安全。电子邮件病毒实际上并不是一类单独的病毒，电子邮件病毒实际上并不是一类单独的病毒，它严格来说应该划入到文件型病毒及宏病毒中去，只 它严格来说应该划入到文件型病毒及宏病毒中去，只不过由于这种病毒采用了独特的电子邮件传播方式，不过由于这种病毒采用了独特的电子邮件传播方式，因此习惯于将它们定义为电子邮件病毒。因此习惯于将它们定义为电子邮件病毒。7.2.1 计算机病毒基础知识第20页/共33页4.计算机病毒的防范、检测、清除计算机病毒在网络中快速繁殖，导致网络中计算机的相互感染。计算机病毒在网络中快速繁殖，导致网络中计算机的相互感染。网络只是为这些病毒提供了广泛的传播途径，当对网络进行有关操作

18、网络只是为这些病毒提供了广泛的传播途径，当对网络进行有关操作时，病毒就会向网络服务器传播，然后再向各工作站传播，这就形成 时，病毒就会向网络服务器传播，然后再向各工作站传播，这就形成了网络病毒。了网络病毒。7.2.1 计算机病毒基础知识第21页/共33页1.1.网络病毒入侵原理及现象网络病毒入侵原理及现象计算机网络的基本构成包括服务器和客户机。计算机病毒一般首先通过各种途径进入到工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播。（2）病毒先传染工作站，在工作站内存驻留，等运行网络程序时再传染给服务器。7.2.1

19、 计算机病毒基础知识第22页/共33页（3 3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中。通过映像路径传染到服务器中。（4 4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入服务器中。一旦病毒进入文件服务器，就可以通过它迅速传染到整个 服务器中。一旦病毒进入文件服务器，就可以通过它迅速传染到整个网络的每一个计算机上。网络的每一个计算机上。7.2.1 计算机病毒基础知识第23页/共33页2.网络病毒的特点网络病毒有着其特有的网络特性。网络病毒有着

20、其特有的网络特性。对于可以在网络中传播的病毒，统称为网络病毒。对于可以在网络中传播的病毒，统称为网络病毒。在网络环境下，网络病毒除了具有可传播性、可执行 在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒共性外，还有一些新的特点。性、破坏性等计算机病毒共性外，还有一些新的特点。（1 1）感染速度快。（）感染速度快。（2 2）扩散面广。）扩散面广。（3 3）传播的形式复杂多样。）传播的形式复杂多样。（4 4）难以彻底清除。）难以彻底清除。（5 5）破坏性大。（）破坏性大。（6 6）可激发性。）可激发性。（7 7）潜在性。）潜在性。7.2.1 计算机病毒基础知识第24页/共33页

21、3.网络病毒传播的途径（1 1）病毒通过工作站传播。工作站是网络的大门，）病毒通过工作站传播。工作站是网络的大门，病毒通过工作站入侵网络系统是最为常见的传播途径。病毒通过工作站入侵网络系统是最为常见的传播途径。（2 2）病毒通过服务器传播。服务器是网络的核心，）病毒通过服务器传播。服务器是网络的核心，一旦服务器被病毒传染，就会使服务器无法启动，整 一旦服务器被病毒传染，就会使服务器无法启动，整个网络陷于瘫痪。个网络陷于瘫痪。（3 3）病毒通过电子邮件传播。大多数的）病毒通过电子邮件传播。大多数的Internet Internet邮 邮件系统提供了在网络间传送附带格式化文档邮件的功 件系统提供了

22、在网络间传送附带格式化文档邮件的功能。能。（4 4）病毒通过文件下载传播。）病毒通过文件下载传播。7.2.1 计算机病毒基础知识第25页/共33页4.4.网络病毒的防范 网络病毒的防范病毒防治，重在防范。了解病毒发展的最新动态，防患于 病毒防治，重在防范。了解病毒发展的最新动态，防患于未然才能高枕无忧。未然才能高枕无忧。（1 1）留心邮件的附件。）留心邮件的附件。（2 2）注意文件的扩展名。）注意文件的扩展名。（3 3）不要轻易运行程序。）不要轻易运行程序。（4 4）堵住系统漏洞。）堵住系统漏洞。（5 5）禁止）禁止Windows Scripting Host Windows Scriptin

23、g Host。（6 6）注意共享权限。）注意共享权限。（7 7）从正规网站下载软件。）从正规网站下载软件。（8 8）多做自动病毒检查。）多做自动病毒检查。（9 9）使用最新的网络版杀毒软件。）使用最新的网络版杀毒软件。7.2.1 计算机病毒基础知识第26页/共33页7.3 7.3 网络病毒及防范的相关实验网络病毒及防范的相关实验7.3.1 杀毒软件的使用1.实验目的通过实验，学会卡巴斯基杀毒软件的安装，以及实时监视、定时更新、定时杀毒的启用。2.实验条件3.实验内容和步骤第27页/共33页7.3.2 病毒的发现、清除和系统修复1.实验目的通过实验，学会使用杀毒工具扫描发现病毒、清除病毒，彻底解

24、决网络系统漏洞，并修复因为中毒所带来的异常问题。2.实验条件3.实验内容和步骤7.3 7.3 网络病毒及防范的相关实验网络病毒及防范的相关实验第28页/共33页7.3.3 病毒惯用技术及病毒分析技术1.实验目的通过实验，了解计算机病毒为了对付杀毒软件和病毒分析而采用“压缩加壳”的技术，学会如何针对压缩加壳的病毒软件进行解压脱壳，以及掌握常用的静态分析工具的使用，以实现对病毒代码的分析。2.实验条件3.实验内容和步骤7.3 7.3 网络病毒及防范的相关实验网络病毒及防范的相关实验第29页/共33页7.4 超越与提高7.4.1 防范网络病毒体系在实际网络应用中，病毒比一般攻击更可怕。危 在实际网络

25、应用中，病毒比一般攻击更可怕。危及网络安全的，首先是病毒或恶意代码。为了避免 及网络安全的，首先是病毒或恶意代码。为了避免因为病毒而造成损失，计算机网络需要构建一个具 因为病毒而造成损失，计算机网络需要构建一个具有三层结构的实时防范病毒体系。有三层结构的实时防范病毒体系。1.1.入口处防病毒 入口处防病毒2.2.网络中防范病毒 网络中防范病毒3.3.单机上防范病毒 单机上防范病毒第30页/共33页7.4.2 使用杀毒软件的误区误区一：好的杀毒软件可以查杀所有的病毒。误区一：好的杀毒软件可以查杀所有的病毒。误区二：杀毒软件是专门查杀病毒的，木马专杀才是专门杀木马 误区二：杀毒软件是专门查杀病毒的

26、，木马专杀才是专门杀木马的。的。误区三：我的机器没有重要数据，有病毒重装系统，不用杀毒软 误区三：我的机器没有重要数据，有病毒重装系统，不用杀毒软件。件。误区四：查毒速度快的杀毒软件才好。误区四：查毒速度快的杀毒软件才好。误区五：杀毒软件不管正版盗版，随便装一个能用的就行。误区五：杀毒软件不管正版盗版，随便装一个能用的就行。7.4 超越与提高第31页/共33页误区六：根据任务管理器中的内存占用判断杀毒软件的资源占用。误区六：根据任务管理器中的内存占用判断杀毒软件的资源占用。误区七：只要不用 误区七：只要不用U U盘，不乱下载东西就不会中毒。盘，不乱下载东西就不会中毒。误区八：杀毒软件应该至少装三个才能保障系统安全。误区八：杀毒软件应该至少装三个才能保障系统安全。误区九：杀毒软件和个人防火墙装一个就行了。误区九：杀毒软件和个人防火墙装一个就行了。误区十：专杀攻击比杀毒软件好，有病毒先找专杀。误区十：专杀攻击比杀毒软件好，有病毒先找专杀。7.4 超越与提高第32页/共33页