第5讲 第三章 系统与网络安全(中)

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,LOGO,第,5,讲 系统与网络安全（二）,有害程序的危害及防范,北京邮电大学 计算机学院,郭燕慧,本讲提纲,概述,1,有害程序原理,2,有害程序示例,3,有害程序防范,4,小结,5,1,概述,什么是有害程序,1.1,有害程序危害,1.2,有害程序现状,1.3,侵入计算机系统、破坏系统、信息的机密性、完整性和可用性等的程序,有害程序,=,恶意代码,= malicious code,在一定的软、硬件环境下可执行的代码，实现设计者期望的计算机行为、状态,计算机病毒、特洛伊木马、僵尸程序、蠕虫、恶意脚本等,1.1,什么是有害程序,程序,有害程序,分类,有害程序发展,引导病毒： “小球”和“石头”，,1987,年,可执行病毒：“耶路撒冷”、“星期天” ，,1989,年,伴随型病毒：“金蝉”，,1992,年,综合型病毒：“幽灵”，,1994,年,变体病毒：“病毒制造机”，,1995,年,“,DS.3873,”,，,1996,年,宏病毒：,“,自动蔓延控制器,”,，,“,下载器变种,”,文本病毒：,“,exe,感染虫,”,，,“,文件夹模仿者,”,恶作剧程序：,“,视窗杀手变种,”,，,“,多啦恶梦,”,红色代码，,1997,年,邮件炸弹，,1997,年,蠕虫病毒：,“,U,盘蠕虫,”,，,“,插件寄生虫,MS,”,木马程序：,“,灰鸽子,”,，,“,冰河,”,广告软件：,“,小广告下载器,”,，,“,猥琐插件,”,DOS,Windows,网络,趋势：智能设备,1.2,有害程序危害,危害,启动时弹出对话框,禁止使用电脑,IE,右键修改,注册表的锁定,格式化硬盘,篡改,IE,标题栏,IE,窗口定时弹出,篡改默认搜索引擎,默认主页修改,篡改地址栏文字,下载运行木马程序,1.3,有害程序现状,2,有害程序原理,有害程序分类,2.1,有害程序的传播与感染,2.2,有害程序的隐藏与通信,2.3,2.1,有害程序分类,计算机病毒,僵尸程序,特洛伊木马,蠕虫,恶意脚本,有害程序,计算机病毒,中华人民共和国计算机信息系统安全保护条例,第二十八条,具备可执行性、传染性、破坏性、寄生性（通常附加在其它程序中）、欺骗性（引诱用户执行病毒）、隐蔽性（使用户难以觉察）等,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。,结构上一般包含,3,部分：隐藏部分、传染部分和表现部分,特洛伊木马,特洛伊木马,是指通过欺骗手段植入到网络与信息系统中、并具有控制该目标系统或进行信息窃取等功能的有害程序。,发送命令,接收来自攻击者的命令,攻击者,被攻击,主机,传统计算机木马的基本原理,把木马服务器端植入到被攻击主机中,僵尸程序,僵尸网络,僵尸网络是指采用一种或多种传播手段，将大量主机感染,bot,程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。,bot,程序,“,bot,程序,”,是指实现恶意控制功能的程序代码；僵尸计算机,”,就是被植入,bot,的计算机；,“,控制服务器（,Control Server,）,”,是指控制和通信的中心服务器，在基于,IRC,（因特网中继聊天）协议进行控制的,Botnet,中，就是指提供,IRC,聊天服务的服务器。,僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击,(,DDoS,),、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。,1,2,蠕虫,蠕虫,一种通过网络自我复制的恶意程序。,其一旦被激活，可以表现得像细菌和病毒，向系统注入特洛伊木马，或进行任何次数的破坏或毁灭行动。,典型的蠕虫只会在内存维持一个活动副本。此外，蠕虫是一个独立程序，自身不改变任何其他程序，但可以携带具有改变其他程序的病毒。,恶意脚本,恶意脚本,最典型的脚本是嵌入到网页中的脚本，它们可以实现网站的点击计数器、格式处理器、实时时钟、鼠标效果、搜索引擎等功能。,常用的脚本语言有：,VBScript,、,Jscript,、,JavaScript,、,PerScript,等。,脚本病毒一般嵌入在,CSC,（,CoreDraw,）、,Web,（,HTML,、,HTM,、,HTH,、,PHP,）、,INF,（,information,）、,REG,（,regisry,）等文件中，主要通过电子邮件和网页传播。,脚本是嵌入到数据文档中执行一个任务的一组指令。,脚本由脚本语言描述。,脚本病毒是一些嵌入在应用程序、数据文档和操作系统中的恶意脚本。,2.2,有害程序的传播与感染,传播途径,即时通信软件,在内存中传播,网页脚本,可执行文件传播,引导记录传播,利用电子邮件传播,系统漏洞传播,通过文件共享传播,数据文件传播,(,宏病毒,),P2P,文件共享,移动介质（如,U,盘）,利用移动介质的自启动功能传播,Autorun.inf,icon,Open,RECYCLER,目录,Autorun.inf,RECYCLER,目录,隐藏扩展名,伪装成系统图标,宏病毒的感染,有毒文件,.doc,激活,Autoopen,宏,Normal.dot,Normal.dot,无毒文件,.doc,启动,激活病毒,写入,通过电子邮件传播,欺骗手段,来自可信的朋友或同事,来自微软或安全公司,通过邮件附件、正文、图片等传播,利用网页脚本,Web,浏览器的客户端功能扩展,脚本的恶意功能,Java Applet,Java Script,ActiveX,VBScript,读写文件,修改注册表,发送电子邮件,利用系统漏洞,W32/Borm,利用,Backorifice,Nimda,利用,Code Red,的后门,利用系统漏洞,利用其他攻击留下的后门,2.3,有害程序的隐藏与通信,恶意代码的进程隐藏,恶意代码的隐蔽通信技术,恶意代码的进程隐藏,传统病毒修改系统程序,伪装成系统程序,修改,EnumProcessModules,DLL,与线程注入,内存中传播，没有文件,恶意代码,进程隐藏,相似的文件名：,scvhost.exe,相同的名字，不同的目录,Rundll32.exe,Svchost.exe,Explorer.exe,CodeRed,Slammer,恶意代码的隐蔽通信技术,反向,连接,常用,端口,ICMP,通信,加密,通信,隧道,通信,网络代理木马,恶意代码隐藏,通信技术,基于,ICMP,协议的隐藏通信,ICMP,与,IP,位于同一层，它通常被认为是,IP,层的一个组成部分。它传递差错报文以及其它需要注意的控制信息。,ICMP,报文是在,IP,数据报内部被传输的。,ICMP,的报文格式如图所示，所有报文的前四个字节都是一样的，但是剩下的其它字节则互不相同。下面我们简要介绍各种报文格式。,ICMP,封装在,IP,数据报内部,ICMP,报文,类型字段可以有,15,种不同的值，以描述特定类型的,ICMP,报文。某些,ICMP,报文还使用代码字段的值来进一步描述不同的条件。,校验和字段覆盖整个,ICMP,报文。使用的算法和,IP,首部校验和算法相同。,ICMP,的校验和是必须的。,一个真实的例子,ICMP Request,0000 08 00,df,5a 03 00 6b 01 61 62 63 64 65 66 67 68 .,Z.k.abcdefgh,0010 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61,ijklmnopqrstuvwa,0020 62 63 64 65 66 67 68 69,bcdefghi,ICMP Reply,0000 00,00,e7 5a 03 00 6b 01 61 62 63 64 65 66 67 68 .,Z.k.abcdefgh,0010 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 61,ijklmnopqrstuvwa,0020 62 63 64 65 66 67 68 69,bcdefghi,ICMP,隐蔽通信思路,由于,ICMP,报文是由系统内核或进程直接处理而不是通过端口，这就给木马一个摆脱端口的绝好机会，木马将自己伪装成一个,Ping,的进程，系统就会将,ICMP_ECHOREPLY,（,Ping,的回包）的监听、处理权交给木马进程，一旦事先约定好的,ICMP_ECHOREPLY,包出现（可以判断包大小、,ICMP_SEQ,等特征），木马就会接受、分析并从报文中解码出命令和数据。,ICMP Reply,Hi, attack xxx,防御方式,禁止,ICMP_ECHOREPLY,报文,问题：导致,ping,命令失效,木马的隐蔽通信,-,反向连接,3,有害程序示例,病毒,恶意代码,蠕虫,木马,有害程序,CIH,病毒,CIH,病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传入大陆地区的。,CIH,的载体是一个名为“,ICQ,中文,Ch_at,模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或,Windows95/98,为媒介，经互联网各网站互相转载，使其迅速传播。,CIH,病毒背景资料,电脑鬼才,陈盈豪,台湾现役军人、大学毕业生,1998,年，陈盈豪由于制作恶意程序,CIH,被警方逮捕，同年，他公布了解毒方法，并向公众道歉，且因为无人上诉，所以他获得释放。,2001,年，一名自称,CIH,受害者将陈盈豪告上法庭，警方再次逮捕陈盈豪。,属文件型病毒,使用面向,Windows,的,VxD,技术编制,主要感染,Windows 95/98,下的可执行文件,在,DOS,、,Windows3.X,及,Windows NT,中无效,其实时性和隐蔽性都特别强,CIH,病毒,CIH,病毒破坏性,以,2048,个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据,(,含全部逻辑盘数据,),均被破坏，如果重要信息没有备份，那就无从恢复了！,A,某些主板上的,Flash Rom,中的,BIOS,信息将被清除。,B,CIH,病毒传播途径,Internet,古,墓,奇,兵,盗版游戏光盘,CIH,病毒,CIH,病毒发作现象,攻击,BIOS,覆盖硬盘,CIH,病毒最异乎寻常之处，是它对计算机,BIOS,的攻击。打开计算机时，,BIOS,首先取得系统的控制权，它从,CMOS,中读取系统设置参数，初始化,并协调有关系统设备的数据流。,CIH,发作时，会试图向,BIOS,中写入垃圾,信息，,BIOS,中的内容会被彻底洗去，造成计算机无法启动，只有更换主,板或,BIOS,。,向硬盘写入垃圾内容也是,CIH,的破坏性之一。,CIH,发作时，调用,BIOS,SendCommand,直接对硬盘进行存取，将垃圾代码以,2048,个扇区,为单位循环写入硬盘，直到所有硬盘（含逻辑盘）数据均被破坏为止。,CIH,发作后症状,攻击,BOIS,后症状,覆盖硬盘后症状,病毒,恶意代码,蠕虫,木马,有害程序,I love You,病毒名称：,I LOVE YOU,病毒,病毒别名：情书病毒或,Loveletter,病毒,中毒症状：附档名为：*,.mp3, *.,vbs, *.jpg, *.jpeg, *.,hta, *.,vbe, *.,js, *.,jse,.,等十种文件格式的附档名会改为 *,.,vbs,ILOVEYOU,病毒吞噬网络,ILOVEYOU,病毒是一种主要借助邮件传播的病毒，该病毒借助,ILOVEYOU,的虚假外衣，欺骗相关用户打开其内存的,VBS,附件从而感染病毒。感染后，该病毒会通过,Outlook,通讯簿向外传播，并且在本机中大量搜索相关账号和密码，并发给开发者，是恶性病毒的一种。所以要提醒广大计算机用户警惕不明邮件，不要打开来源不明的邮件所包含的附件。,I LOVE YOU,传播方式,透过一封信件标题为,ILOVEYOU,的电子邮件散播，附件为,LOVE-LETTER-FOR-,YOU.txt.vbs, (,献给你的情书,),，信件内容,kindly check the attached LOVE LETTER coming from me,。,set MAPI,对象,= Outlook,对象,.,GetNameSpace(,“,MAPI,”,)/,获取,MAPI,的名字空间,set,地址对象,=MAPI,对象,.,地址表（,i,）,/,获取地址表的个数,for,地址对象表中的每一个地址,获取每个地址表的,E-Mail,地址数,for,地址表中的每个,E-Mail,地址,获取一个邮件地址对象实例,获取具体,E-Mail,地址,填入收信人地址,写入邮件邮件标题,写入邮件内容,定义邮件附件,发送邮件,信件提交后删除,写病毒标记，以免重复感染,next,next,设置,MAPI,对象,=,空,设置,Outlook =,空,ILOVEYOU,病毒危害,病毒会经由被感染者,Outlook,通讯簿的名单发出自 动信件，藉以连锁性的大规模散播，造成企业,mail server,瘫痪。,ILOVEYOU,病毒危害,病毒发作时，会感染并覆写附档名为：*,.mp3, *.,vbs, *.jpg, *.jpeg, *.,hta, *.,vbe, *.,js, *.,jse,.,等十种文件格式。,病毒大肆复制自身，覆盖音乐和图片文件。,该病毒还会在受到感染的机器上搜索用户的账号和密码，并发送给病毒作者。,病毒,恶意代码,蠕虫,木马,有害程序,CodeRed,“红色代码”病毒是一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限为所欲为，可以盗走机密数据，严重威胁网络安全。,红色代码,Company Logo,CodeRed,传播过程,攻击,复制,扫描,由,CodeRed,扫描功能模块探测存在漏洞的主机。通过,IIS,系统漏洞进行感染。,CodeRed,利用服务器的网络连接，将病毒从一台电脑内存传到另一台电脑内存。,CodeRed,通过,TCP/IP,协议和端口,80,，将自己作为一个,TCP/IP,流直接发送到染毒系统的缓冲区，以便能够感染其他的系统。,红色代码,CodeRed,CodeRed,CodeRed,该蠕虫感染运行,Microsoft Index Server 2.0,的系统，或是在,Windows 2000,、,IIS,中启用了,Indexing Service,的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播。蠕虫只存在于内存中，并不向硬盘中拷文件。,蠕虫的传播是通过,TCP/IP,协议和端口,80,，利用上述漏洞蠕虫将自己作为一个,TCP/IP,流直接发送到染毒系统的缓冲区，蠕虫依次扫描,WEB,，以便能够感染其他的系统。一旦感染了当前的系统，蠕虫会检测硬盘中是否存在,c:notworm,，如果该文件存在，蠕虫将停止感染其他主机。,CodeRed,发现日期,:2001/7/18,别名：,W32/Bady.worm,CodeRed,入侵过程,入侵,IIS,服务器,WEB,页面显示：,Welcome to http:/,! Hacked By Chinese!,红色代码,CodeRed,CodeRed,CodeRed,CodeRed,是,CodeRed,的改进版。病毒作者对病毒体作了很多优化，它继承了“红色代码”病毒的攻击特点，同样可以对“红色代码”病毒可攻击的联网计算机发动进攻，但和,CodeRed,不同的是，这种新变型不仅仅只对英文系统发动攻击，而且可以攻击任何语言的系统。 同时,CodeRed,病毒体内还包含一个木马程序，这使得,CodeRed,拥有前身无法比拟的可扩充性，只要病毒作者愿意，随时可更换此程序来达到不同的目的。,CodeRed,病毒依赖的系统,：,WinNT/2000(,安装且运行了,IIS,服务程序,),病毒的感染,:,通过,IIS,漏洞，使,IIS,服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行。病毒驻留后再次通过此漏洞感染其它服务器。,病毒的发作,:,强行重起计算机,红色代码,CodeRed,CodeRed,CodeRed,该病毒是给全球的企业和个人造成了,26.2,亿美元经济损失的“红色代码”病毒的改进版本！它攻击安装了,IIS,服务程序的,win2000,系统的计算机，本身无文件形式，只存在于内存中，同时分成数百份线程，在局域网内疯狂传播，瞬间导致被感染的网络瘫痪。网络用户只能选用有内存监控的反病毒产品，将全网的内存监控同时打开并进行全网统一杀毒才能清除该病毒。,CodeRed,发作时间,：随机,病毒类型,：内存病毒,传播方式,：内存,感染对象,：内存,病毒,恶意代码,蠕虫,木马,有害程序,灰鸽子,灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。,灰鸽子,灰鸽子工作室,灰鸽子工作室于,2003,年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列。,2005,年,6,月,灰鸽子工作室正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。,灰鸽子工作室成员介绍,葛军,:2003,年初，与好友黄土平创建了灰鸽子工作室。,2001,年挺进版率先在远程控制软件上开发和使用了反弹连接技术。,黄土平,:2003,年初，与好友葛军创建了灰鸽子工作室。,客服端主界面,特征,1,隐藏进程,2,隐藏服务,3,隐藏病毒文件,将,G_Server.dll,，,G_Server_Hook.dll,注入到,Explorer.exe,、,IExplorer.exe,或者所有进程中执行，而不单独生成进程,将自身隐藏和注册为系统服务，计算机启动后，服务自动开启,将,Game.exe,、,Game.dll,、,Game_Hook.dll,以及,Gamekey.dll,几个木马文件隐藏为系统文件。,灰鸽子传播途径,网页传播,邮件传播,IM,聊天工具传播,病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染。,灰鸽子被捆绑在邮件附件中进行传播。,通过即时聊天工具传播携带灰鸽子的网页链接或文件。,灰鸽子不具备传播性，一般通过捆绑的方式进行传播。其有四大传播途径。,非法软件传播,病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。,销毁证据,盗窃偷拍,全权控制,借尸还魂,隐身长驻,普通用户根本感觉不到灰鸽子的存在，就好比有个穿,隐身衣的贼在你家中长驻。,病毒名由入侵者定制的，不固定，,Windows,任务管理,器也无法查看，好比玩借尸还魂。,中灰鸽子后的电脑会被远程黑客操作，你的机密文件,可能在你毫不知情的情况下被人拿走。,黑客将获得你的,QQ,号、游戏帐号、银行帐号。更严重,的是，控制摄像头，把你家里拍个遍。,攻击者可以远程将病毒卸载，达到销毁证据的目的。,灰鸽子的危害,“灰鸽子”病毒发布新品,后门猖獗,灰鸽子,传统“灰鸽子”病毒主要手段是在用户电脑中安装病毒服务然后进行远程控制。,最新“灰鸽子,2010”,通过替换用户电脑中的所有软件文件，并且复制正常软件图标进行伪装，当用户点击仿冒软件图标时病毒便自动启动，从而获取用户信息。,灰鸽子,2010,病毒运行后，首先会检查电脑当前正在执行的常用软件进程，随后将这些进程重命名为“原名称,+,空格,.exe”,或者去掉,.exe,的扩展名，同时将病毒复制成正常软件名称，并使用原程的图标，使用户无法分辨。用户运行被篡改的程序时，病毒随即启动，为加强伪装，病毒还会打开正常软件，使用户感觉不到异常。,4,有害程序防范,有害程序防范技术,4.1,有害程序相关法规,4.2,有害程序相关社会组织,4.3,4.1,有害程序防范技术,恶意代码特征扫描,系统,检测,完整性检查,行为,阻断,启发式,分析,恶意代码特征扫描,通过对已知恶意代码特征的精确定义，使用“签名字符串”在系统中搜索已知的恶意代码。恶意代码特征扫描器的运行必须依靠大量的已知恶意代码代码的特征库。,计算机系统,特征码匹配,恶意代码,匹配,恶意代码特征库,扫描,不匹配,完整性检验,通过检测程序或者其他可执行文件是否被更改来判断这些程序是否被感染。,（,1,）系统数据对比,硬盘主引导扇区、软盘的引导扇区、,DOS,分区引导扇区,FAT,表、中断向量表、设备驱动程序头（主要是块设备驱动程序头,（,2,）文件完整性校验,完整性检验,程序或可执行文件,被感染程序,启发式扫描,手动分析病毒方法的延伸：通过识别可疑的程序指令实现病毒特性的检测，比如：,格式化磁盘类操作,搜索和定位各种可执行程序的操作,实现驻留内存的操作和发现非常的,未公开的系统功能调用的操作,行为阻断,早期的形式：,防病毒卡：在系统引导的时候取得系统部分资源控制权（通常就是文件的读写）,一般意义的文件读写监控,全方位的行为监控：通过所有可能的异常行为（文件读写、文件读写、注册读写、进程访问、网络访问等）进行病毒判断，适合于,Windows,等系统,4.2,有害程序相关法规,中华人民共和国刑法,第二百八十六条,违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役,后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、,处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,有害程序相关法规,中华人民共和国计算机信息系统安全保护条例,第十五条,对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安部归口管理。,第二十三条,故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以,5000,元以下的罚款、对单位处以,15000,元以下的罚款；有违法所得的，除予以没收外，,可以处以违法所得,1,至,3,倍的罚款。,第二十八条,本条例下列用语的含义：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁 坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用 硬件和软件产品。,有害程序相关法规,计算机信息系统安全专用产品检测和销售许可证管理办法,第十五条,安全专用产品的生产者申领销售许可证,应当向公安部计算机管理监察 部门提交以下材料：,（一）营业执照（复印件）；,（二）安全专用产品检测结果报告；,（三）防治计算机病毒的安全专用产品须提交公安机关颁发的计算机病毒防治研究 的备案证明。,第二十条,生产企业违反本办法的规定,有下列情形之一的,视为未经许可出售安 全专用产品,由公安机关根据,中华人民共和国计算机信息系统安全保护条例,的规定 予以处罚：,（一）没有申领销售许可证而将生产的安全专用产品进入市场销售的；,（二）安全专用产品的功能发生改变,而没有重新申领销售许可证进行销售的；,（三）销售许可证有效期满,未办理延期申领手续而继续销售的；,（四）提供虚假的安全专用产品检测报告或者虚假的计算机病毒防治研究的备案证 明,骗取销售许可证的；,（五）销售的安全专用产品与送检样品安全功能不一致的；,（六）未在安全专用产品上标明“销售许可”标记而销售的；,（七）伪造、变造销售许可证和“销售许可”标记的。,计算机病毒防治管理办法,（,公安部第,51,号令,，,2000,年,4,月,26,日,）,4.3,有害程序相关社会组织,“,AVAR”(Association,of anti Virus Asia Researchers),全称亚洲反病毒研究者协会,AVAR,成立于,1998,年,6,月，是亚洲太平洋地区的一个独立的非盈利性组织，其成员由来自澳大利亚、中国、中国香港、印度、日本、韩国、 俄罗斯、中国台湾及美国等国的反病毒软件公司的计算机病毒专家和有关,IT,产业的政府部门及团体的职员组成，宗旨是预防计算机病毒的扩散并尽可能的减少病毒造成的危害。,国家计算机病毒应急处理中心,国家反计算机入侵和防病毒研究中心,各省,(,自治区,/,直辖市,),公安厅（局）公共信息网络安全监察处,各地信息网络安全协会,5,小结,1,、有害程序的危害,2,、有害程序的概念,3,、有害程序的防范,4,、有害程序相关的政策,Thank You !,