瑞星认证培训课件

瑞星认证培训瑞星认证培训11、用道德的示范来造就一个人，显然比用法律来约束他更有价值。希腊12、法律是无私的，对谁都一视同仁。在每件事上，她都不徇私情。托马斯13、公正的法律限制不了好的自由，因为好人不会去做法律不允许的事情。弗劳德14、法律是为了保护无辜而制定的。爱略特15、像房子一样，法律和法律都是相互依存的。伯克n n计算机病毒的结构 引导部分引导部分n n将病毒主体加载到内存，为传染部分做准备将病毒主体加载到内存，为传染部分做准备 传染部分传染部分n n将病毒代码复制到传染目标上去。将病毒代码复制到传染目标上去。表现或破坏部分表现或破坏部分 n n病毒间差异最大的部分，前两个部分也是为这部分病毒间差异最大的部分，前两个部分也是为这部分服务的服务的 n n计算机病毒的存储结构磁盘分区包括磁盘分区包括（FDISKFDISK可创建硬盘分区表可创建硬盘分区表）n n主引导记录区（只有硬盘有）主引导记录区（只有硬盘有）n n引导记录区引导记录区n n文件分配表（文件分配表（FATFAT）n n目录区和数据区目录区和数据区n n计算机病毒的分类 根据寄生的数据存储方式划分根据寄生的数据存储方式划分 n n引导区型引导区型n n文件型文件型n n混合型混合型 混合型病毒同时具备引导型和文件型两类病毒特征，又称混合型病毒同时具备引导型和文件型两类病毒特征，又称综合型或复合型病毒。这类病毒既感染磁盘引导区，又感综合型或复合型病毒。这类病毒既感染磁盘引导区，又感染可执行文件染可执行文件 根据病毒的破坏情况划分根据病毒的破坏情况划分n n良性病毒良性病毒 n n恶性病毒恶性病毒 在代码中包含损伤和破坏计算机系统的操作，在其在代码中包含损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用传染或发作时会对系统产生直接的破坏作用 根据运行的连续性分类根据运行的连续性分类 n n驻留内存型驻留内存型 应用程序把要执行的部分在内存中驻留一份，这样应用程序把要执行的部分在内存中驻留一份，这样就可不必在每次要执行它的时候都到硬盘中搜寻，就可不必在每次要执行它的时候都到硬盘中搜寻，从而可以提高效率从而可以提高效率 n n非驻留内存型非驻留内存型 n n几种具有代表性的病毒类型 宏病毒宏病毒 蠕虫病毒蠕虫病毒 特洛伊木马病毒特洛伊木马病毒 变形型病毒和生成机病毒变形型病毒和生成机病毒 （病毒大面积爆发）（病毒大面积爆发）n n计算机病毒的入侵方式源代码嵌入攻击源代码嵌入攻击 代码取代攻击代码取代攻击 外壳寄生入侵外壳寄生入侵 系统修改入侵系统修改入侵 （病毒目前的主流入侵方式（病毒目前的主流入侵方式 ）n n病毒发展史（五代病毒）单机，单一单机，单一混合混合变形变形网络网络传播途径传播途径CIHCIH病毒病毒 （损坏电脑的硬件（损坏电脑的硬件 ）“欢乐时光欢乐时光”病毒（蠕虫类病毒）病毒（蠕虫类病毒）n n计算机病毒的发展趋势 智能化智能化 人性化人性化n n人性化称为诱惑性。现在的计算机病毒越来越注重人性化称为诱惑性。现在的计算机病毒越来越注重利用人们的心理因素，如好奇、贪婪等利用人们的心理因素，如好奇、贪婪等 隐蔽化隐蔽化 多样化多样化 专用病毒生成工具专用病毒生成工具 攻击反病毒软件攻击反病毒软件 n n计算机病毒的危害绝大部分病毒都存在不同程度的错误。错误病绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些计算机毒的另一个主要来源是变种病毒。有些计算机新手尚不具备独立编制软件的能力，只是出于新手尚不具备独立编制软件的能力，只是出于好奇或其他原因修改别人的病毒，从而造成错好奇或其他原因修改别人的病毒，从而造成错误误 计算机病毒介绍n nDOS病毒介绍 DOSDOS操作系统操作系统n n具有文件管理方便、外设支持良好、兼容性好和小具有文件管理方便、外设支持良好、兼容性好和小巧稳定等优点。但与此同时，巧稳定等优点。但与此同时，DOSDOS是一个单用户、是一个单用户、单任务的操作系统，因此使用起来有很大的局限性单任务的操作系统，因此使用起来有很大的局限性 DOSDOS病毒病毒 n n针对针对DOSDOS操作系统开发的病毒，是出现最早、数量操作系统开发的病毒，是出现最早、数量最多、变种也最多的计算机病毒最多、变种也最多的计算机病毒n n通常在特定条件下发作通常在特定条件下发作 n n文件型病毒绝大多数文件型病毒属于外壳病毒（软件层次绝大多数文件型病毒属于外壳病毒（软件层次结构）结构）感染感染.COM.COM和和.EXE.EXE等可执行文件等可执行文件 （Portable Portable Executable Executable）文件病毒不但可以感染文件病毒不但可以感染DOSDOS系统文件，还可以系统文件，还可以感染感染WindowsWindows系统、系统、Linux Linux、UNIXUNIX系统系统n n宏病毒 利用利用Word VBA Word VBA 进行编写的一些宏（早期的宏进行编写的一些宏（早期的宏病毒都是用病毒都是用Word VBAWord VBA语言编写的语言编写的寄存于文档或模板的宏中的计算机病毒。一旦寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活并转移到打开这样的文档，宏病毒就会被激活并转移到计算机上，然后驻留在计算机上，然后驻留在NormalNormal模板上模板上 (*.dot)(*.dot)n n引导型病毒（大麻，小球，WYX）改写磁盘上的引导扇区的内容，改写磁盘上的引导扇区的内容，软盘或硬盘都软盘或硬盘都有可能感染病毒，改写硬盘上的分区表有可能感染病毒，改写硬盘上的分区表（FATFAT），使所有的硬盘分区及数据丢失），使所有的硬盘分区及数据丢失 WYXWYX病毒（移动病毒（移动0 0，6363到到6060，61 61 可恢复）可恢复）n n蠕虫病毒 传播速度最快、传播范围最广传播速度最快、传播范围最广利用微软的系统漏洞利用微软的系统漏洞 n n“红色代码红色代码”、“尼姆达尼姆达”、“sqlsql蠕虫王蠕虫王”，“SCOSCO炸弹炸弹”利用利用EmailEmail邮件迅速传播邮件迅速传播 n n“爱虫病毒爱虫病毒”和和“求职信病毒求职信病毒”n n邮件都会带有邮件都会带有“自动启动漏洞自动启动漏洞”功能，即当用户打功能，即当用户打开邮件的时候其附件就会自动启动开邮件的时候其附件就会自动启动 独立的程序，避免了受宿主程序的牵制，可以独立的程序，避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实不依赖于宿主程序而独立运行，从而主动地实施攻击。施攻击。利用系统提供的应用编程接口（利用系统提供的应用编程接口（APIAPI）n n木马病毒自动运行自动运行 n n利用利用Autoexec.batAutoexec.bat和和Config.sysConfig.sys进行加载；进行加载；n n修改注册表（修改注册表（*.reg.reg）；）；n n修改修改win.iniwin.ini文件；文件；n n感染感染WindowsWindows系统文件，以便进行自动启动并达系统文件，以便进行自动启动并达到自动隐藏的目的到自动隐藏的目的 盗号盗号n n在后台运行，往往能够将用户敲击键盘的动作记在后台运行，往往能够将用户敲击键盘的动作记录下来，再发送给欺诈者录下来，再发送给欺诈者木马的隐藏性木马的隐藏性(灰鸽子灰鸽子)n n将自己伪装成系统文件将自己伪装成系统文件 n n将木马病毒的服务端伪装成系统服务将木马病毒的服务端伪装成系统服务 n n将木马程序加载到系统文件中将木马程序加载到系统文件中 WindowsWindows启动都会启动木马启动都会启动木马 n n充分利用端口隐藏充分利用端口隐藏 默认有默认有6553665536个端口，一般是个端口，一般是10241024以上的高端口以上的高端口 n n自动备份自动备份 为了避免在被发现之后清除，有些木马会自动进行备份。为了避免在被发现之后清除，有些木马会自动进行备份。这些备份的文件在木马被清除之后激活，并再次感染系统这些备份的文件在木马被清除之后激活，并再次感染系统 n n通过拦截系统功能调用的方式来隐藏自己通过拦截系统功能调用的方式来隐藏自己 n n网页脚本病毒通常与网页相结合，将恶意的破坏性代码内嵌通常与网页相结合，将恶意的破坏性代码内嵌在网页中，一旦有用户浏览带毒网页，病毒就在网页中，一旦有用户浏览带毒网页，病毒就会立即发作会立即发作WSH WSH（wscript.exe cscript.exewscript.exe cscript.exe）n nWindows Scripting HostWindows Scripting Host（WindowsWindows脚本宿主）脚本宿主）它内嵌于它内嵌于WindowsWindows操作系统中的脚本语言工作环境，操作系统中的脚本语言工作环境，主要负责脚本的解释和执行主要负责脚本的解释和执行 隐藏性强隐藏性强 n n传统认识里，只要不下载应用程序，从网上感染病传统认识里，只要不下载应用程序，从网上感染病毒的几率就会减少。脚本病毒的出现彻底改变了人毒的几率就会减少。脚本病毒的出现彻底改变了人们的这种看法们的这种看法 n n例子wsh.htmwsh.htmn n即时通讯病毒QQQQ尾巴尾巴n n利用系统提供的利用系统提供的APIAPI向向OICQOICQ按钮发送按钮发送“点击点击”命令命令隐蔽性隐蔽性 n n对方接收到对方接收到“好友好友”发送过来的信息时，往往会不发送过来的信息时，往往会不假思索地接受，从而很快受到病毒的感染。利用人假思索地接受，从而很快受到病毒的感染。利用人们心理上的疏忽达到更好地隐蔽自己们心理上的疏忽达到更好地隐蔽自己攻击更加便利攻击更加便利 n n大多数即时通讯软件都可以绕过防火墙大多数即时通讯软件都可以绕过防火墙 n n操作系统漏洞攻击病毒缓冲区溢出缓冲区溢出n n缓冲区被填满后用病毒代码覆盖内存数据缓冲区被填满后用病毒代码覆盖内存数据LinuxLinux、UNIXUNIX、MAC OSMAC OS以及一些主流的路以及一些主流的路由器防火墙软件都存在着安全漏洞由器防火墙软件都存在着安全漏洞 n n网络钓鱼 欺诈行为，或者说是利用互联网实施的网络诈欺诈行为，或者说是利用互联网实施的网络诈骗骗 建立一个与真实网站相类似的诈骗网站，对真建立一个与真实网站相类似的诈骗网站，对真实网站的栏目设置、标题、新闻、图片及页面实网站的栏目设置、标题、新闻、图片及页面设计风格进行完全克隆设计风格进行完全克隆 icbcicbc 1cbc 1cbcn n流氓软件利用利用“COOKIECOOKIE”在后台秘密收集用户上网习惯、在后台秘密收集用户上网习惯、浏览顺序、所关心的话题、经常访问和搜索的浏览顺序、所关心的话题、经常访问和搜索的网站等信息，为制作者的商业计划提供必要的网站等信息，为制作者的商业计划提供必要的信息信息 最关键的恶劣之处在于用户不能通过正常渠道最关键的恶劣之处在于用户不能通过正常渠道进行卸载进行卸载 频繁出现的广告会消耗用户的系统资源，影响频繁出现的广告会消耗用户的系统资源，影响页面刷新速度页面刷新速度自动转到某些商业网站或恶意网页自动转到某些商业网站或恶意网页 病毒分析n n虚拟机VMware WorkstationVMware Workstation和和VirtualPCVirtualPCn n病毒分析软件 Process Explorer Process Explorer FileMon FileMon Regmon Regmon Tcpview Tcpview Autoruns Autoruns IceSword IceSword n n静态分析W32Dasm W32Dasm IDA Pro IDA Pro n n动态分析 SoftICE SoftICE TRW2000TRW2000OllyDBGOllyDBG n n病毒惯用技术 在已发现的各种在已发现的各种PCPC机病毒中，有近十分之一的机病毒中，有近十分之一的病毒使用了自加密技术病毒使用了自加密技术加壳是通过一系列的数学运算，将可执行程序加壳是通过一系列的数学运算，将可执行程序或动态连接文件的编码进行改变，以达到缩小或动态连接文件的编码进行改变，以达到缩小程序体积或加密程序编码的目的程序体积或加密程序编码的目的 n n反病毒技术 特征值查毒法（长期使用）特征值查毒法（长期使用）n n获取病毒样本后，提取出其特征值，然后通过该特获取病毒样本后，提取出其特征值，然后通过该特征值对各个文件或内存等进行扫描。如果发现这种征值对各个文件或内存等进行扫描。如果发现这种特征值，就说明感染了这种病毒，然后有针对性地特征值，就说明感染了这种病毒，然后有针对性地解除病毒解除病毒 n n特征串必须能将病毒与正常的非病毒程序区分开，特征串必须能将病毒与正常的非病毒程序区分开，不然会将非病毒程序当成病毒报告给用户，造成误不然会将非病毒程序当成病毒报告给用户，造成误报报 谢谢46、我们若已接受最坏的，就再没有什么损失。卡耐基47、书到用时方恨少、事非经过不知难。陆游48、书籍把我们引入最美好的社会，使我们认识各个时代的伟大智者。史美尔斯49、熟读唐诗三百首，不会作诗也会吟。孙洙50、谁和我一样用功，谁就会和我一样成功。莫扎特