计算机信息安全技术第3章病毒与反病毒

单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,江门职业技术学院,第3章病毒、木马和恶意软件的清除与预防,了解计算机病毒、木马的概念、特征,了解计算机病毒的分类、传播方式及其危害,掌握各种防止病毒的软件的安装和配置方法,掌握特定的网络病毒、木马的查杀方法,本章节的实训建议在虚拟机中进行,本章要点：,1,3.1 计算机病毒概述,2,3.1.1 计算机病毒基本概念,计算机病毒,是一种具有自我复制能力的计算机程序，它不仅能够破坏计算机系统，而且还能够传播、感染到其他的系统，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整。,中华人民共和国计算机信息安全保护条例的定义：,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。,计算机病毒也是一种恶意代码。,3,3.1.2 计算机病毒的历史,起源于,冯诺伊曼（John Von Neumann）的一篇论文复杂自动装置的理论及组识的进行,。,美国著名的AT&T贝尔实验室的“磁芯大战”（core war）的游戏,。,60年代，出现了一种“living”软件 ，可以进行自我复制,4,1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士在UNIX系统下研制出一种在运行过程中可以复制自身从而会引起系统死机的程序,1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟编写了Pakistan 病毒，即,Brain。,1987,年，第一个电脑病毒,C-BRAIN,终于诞生,.,5,6,计算机病毒主要经历了六个重要的发展阶段,第一阶段为,原始病毒,阶段 (1986-1989年),第二阶段为,混合型病毒,阶段 (19891991年)是计算机病毒由简单发展到复杂的阶段,第三阶段为,多态性病毒,阶段,第四阶段为,网络病毒阶段,(90年代后),第五阶段为,主动攻击型病毒,(2000年后):2003年出现的“冲击波”病毒和2004年流行的“震荡波”病毒,第六阶段为,“手机病毒”,阶段,7,病毒发展趋势,“商业病毒”泛滥,高频度,传播速度快，危害面广,病毒制作技术新,病毒形式多样化,病毒生成工具,与反病毒软件的对抗性进一步加强,8,3.1.3 病毒的命名方式,Worm. Sasser . c,.,病毒前缀,木马(Trojan ),蠕虫病毒 (Worm ),宏病毒(Macro),后门病毒(Backdoor),脚本病毒(script),系统病毒(win32,PE,WIN95,W32),9,病毒后缀:,一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,举个例,10,病毒的程序结构,病毒程序,潜伏机制模块,传染机制模块,表现机制,11,病毒的传播方式,计算机病毒的传播有如下几种方式：,1. 通过不可移动的计算机硬件设备进行传播(即利用专用ASIC芯片和硬盘进行传播)。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。,2. 通过移动存储设备来传播（包括软盘、磁带等）。其中软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。,3. 通过计算机网络进行传播。随着Internet的高速发展，计算机病毒也走上了高速传播之路，现在通过网络传播已经成为计算机病毒的第一传播途径。,4. 通过点对点通信系统和无线通道传播。,12,计算机病毒,的破坏行为,不同病毒有不同的破坏行为，有代表性的行为如下,：,1）攻击系统数据区,即攻击计算机硬盘的主引导扇区、Boot扇区、FAT表、文件目录等内容（一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复）,攻击文件,其表现删除文件、修改文件名称、替换文件内容、删除部分程序代码等等。,攻击内存,内存是计算机的重要资源，也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等,。,13,4),干扰系统运行,不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。,5),计算机速度下降,不少病毒在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。,6),攻击磁盘,攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。,7),扰乱屏幕显示,字符显示错乱、跌落、环绕、倒置、光标下跌、滚屏、抖动、吃字符等。,14,8),攻击键盘,响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。,9),攻击喇叭,发出各种不同的声音，如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声,10),攻击CMOS,对CMOS区进行写入动作，破坏系统CMOS中的数据。,11),干扰打印机,间断性打印、更换字符等。,15,计算机病毒的特征,根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。,1）,自我复制能力,2）,夺取系统控制权,3）,隐蔽性,4）破坏性,5）潜伏性,6）不可预见性,16,几类影响较大的病毒,宏病毒,木马病毒,ARP病毒,脚本病毒,蠕虫病毒,17,宏病毒,是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。,宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。,凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎()。,18,宏与宏病毒,建一个AUTOOPEN宏病毒:工具-宏-录制新宏-宏名(AUTOOPEN)-加到NORMAL模板中-开始建制宏-做些破坏性的操作-打开宏进行编辑-写个死循环的程序.,19,特洛伊木马,特洛伊木马是基于客户/服务器（ C/S）模式的，包含在合法程序中的非法的程序。,目马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文件操作等等，一个功能强大的木马一旦被植入你的机器，攻击者就可以象操作自己的机器一样控制你的机器，甚至可以远程监控你的所有操作。,如:灰鸽子（WIN32.hack.huigezi)、猫癣,20,1.,特洛伊木马的工作原理,第一步：木马服务端程序的植入。,第二步：木马将入侵主机信息发送给攻击者。,第三步：木马程序启动并发挥作用。,21,3,个因素。,(1),木马需要一种启动方式，一般在注册表启动组中。,(2),木马需要在内存中才能发挥作用。(进程),(3),木马会打开特别的端口，以便黑客通过这个端口和木马联系。,22,3.,特洛伊木马程序的存在形式,(1)运行MSCONFIG:,：,run=,、,load=,项目中的程序名。,(2)运行MSCONFIG:,：,Shell=,项后的程序名。,(3),注册表regedit：,Run,项中的程序。,(HKEY_LOCAL_MACHINESOFTWAREMicrosfotWindowsCurrentVersionRun),23,4.,特洛伊木马的特性,1),隐蔽性,2),自动运行性,3),功能的特殊性,4),自动恢复功能,5),能自动打开特别的端口,24,5.,特洛伊木马种类,1),破坏型特洛伊木马,2),密码发送型特洛伊木马,3),远程访问型特洛伊木马,4),键盘记录特洛伊木马,5) DoS,攻击特洛伊木马,6),代理特洛伊木马,7) FTP,特洛伊木马,8),程序杀手特洛伊木马,9),反弹端口型特洛伊木马,25,6.,特洛伊木马的入侵,1),集成到程序中,2),隐藏在配置文件中,3),潜伏在中,4),伪装在普通文件中,5),内置到注册表中,6),在中藏身,7),隐形于启动组中,8),隐蔽在中,9,)捆绑在启动文件中,10)设置在超链接中,26,GINA木马演示,功能:偷取WINDOWS xp 的登录密码,操作系统:WIN XP SP2 以下,27,在近几年传播的若干起“门”事件中后期，黑色产业链的从业者无不欣喜。他们会主动参与推动“门”事件的传播，他们精通搜索引擎优化（SEO优化）技术，会主动收集整理“门”事件的相关材料，利用SEO优化导入网络流量，将有害代码植入到网页；或将“门”事件相关的图片、视频、文档里植入病毒木马；或利用“门”事件的噱头，将网民引导至钓鱼欺诈网站，骗取用户信息。,28,卡巴斯基中国地区每周病毒报告,2010年04月05日至2010年04月11日,排名,病毒名称,病毒类型,周爆发率(%),1.,Trojan.Win32.Pasta.keq,木马,19.59,2.,HEUR:Trojan.Win32.Generic,木马,11.36,3.,HEUR:Trojan.Win32.Invader,木马,3.63,4.,HEUR:Trojan-Downloader.Win32.Generic,木马,3.33,5.,Trojan.VBS.StartPage.eq,木马,2.83,6.,not-a-virus:AdWare.Win32.BHO.khl,广告软件,2.78,7.,Trojan.Win32.Pakes.lmb,木马,2.43,8.,Trojan-Downloader.Win32.Banload.arox,木马,1.92,9.,Trojan-Downloader.Win32.Agent.dkdy,木马,1.84,10.,Trojan.Win32.Cosmu.pox,木马,1.79,29,ARP病毒,arp病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。,30,ARP病毒原理,当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。该病毒发作时，仅影响同网段内机器的正常上网。,31,Arp攻击实验,软件:,设置好物理机和虚拟机通信,物理机能上网.,虚拟机1中安装,虚拟机2是被攻击机.当设置BANGATEWAY时,虚拟机2无法打开网页.,虚拟机2中安装（ARP防火墙）,防止被ARP攻击.,32,利用arp欺骗工作的软件,奥特网络管理专家,P2P终结者,和反P2P终结者,网络执法官,33,本机的ARP病毒的清除与预防,方法一：,安装,局域网ARP防火墙,软件保护本地计算机正常运行。同时把此软件设为自动启动.,34,在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：,ipconfig /all,记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 10.1.219.254 ”。再输入并执行以下命令：,arp -a,查看具体命令,在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值(正确物理地址),在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。 也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。,如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。,Arp s,10.1.219.208 00-aa-00-62-c6-09,(绑定静态的IP),本机的ARP病毒的清除与预防方法二：绑定静态的IP,35,本机的ARP病毒的清除与预防,方法三：(只适用时出现故障时的临时解决办法）,输入并执行以下命令：,arp -d,36,建议在交换机中做源防护,(锐捷交换机),Switch(config)#arp ip-address hardware-address type interface-idSwitch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1此命令只有三层交换机支持。,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。防网关被欺骗配置在靠近用户侧的设备上。配置：Switch(config)#Interface interface-id /进入指定端口进行配置。Switch(config-if)#Anti-ARP-Spoofing ip ip-address /配置防止ip-address的ARP欺骗。,37,动态ARP检测,设置PC接入口为非信任口,干道(TRUNK)口为信任口,全局配置模式下：ip arp inspection vlan id,定义DAI检查数据包的那些部分：ip arp inspection validate ,进入端口，设置成信任的或者是非信任的，同时设置速度的限制。,思科3560以上才有此配置,38,脚本病毒,脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（）、十四日（）等。,39,案例,现象:电脑所有文件夹全部变成快捷方程式了，大小1KB.后缀都是数字.VBS，然后把快捷方程式全部删除然后就立马又出来了.有时还打不开我的电脑.,在“运行”中”输入找到“计算机配置”“Windows设置”“安全设置”“软件限制策略”“其它规则”“右键单击右侧空白”选择“新路径规则”左键单击“浏览”定位到C：Windowssystem32wscript左键确定将“安全级别”选择为”不允”.,下载冰刃杀毒工具见到有vbs进程杀掉.,40,一般方法,1.添加/删除程序,-“附件”-去掉 “Windows Scripting Host”,2. “我的电脑”-查看 文件类型在文件类型中将后缀名为“S、VBE、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。3. 在IE设置中将ActiveX插件和控件以及相关全部禁止掉也可以避免一些恶意代码的攻击。,方法是：打开IE，点击工具Internet选项安全自定义级别，在“安全设置”对话框中，将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。不过这样做以后，一些制作精美的网页我们也无法欣赏到了。,41,修改注册表防脚本病毒,WSH(Windows Script Host)是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，而现在许多脚本病毒都是通过WSH来解释执行的，为此我们可以通过修改注册表，实现签名验证策略，确定哪些用户有权在本地或远程运行脚本。操作步骤:打开注册表编辑器，找到下面的键值：HKEY_CURRENT_USERSOFTWAREMicrosoftWindows Script HostSettings，在右侧窗口中找到或单击鼠标右键，新建一个名为“TrustPolicy”的DWORD值，并将其值设置为“2”（运行可信赖的脚本）、“1”表示如果认为脚本不可信，则提示用户、“0”表示运行所有的脚本。注意事项:退出注册表编辑器后，需重新启动计算机才能生效,42,蠕虫病毒,蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。中毒后,机器会相当慢，一般CPU占用率高达90以上，甚至使主机瘫痪 .,病毒名称,持续时间,造成损失,莫里斯蠕虫,1988年,6000多台电脑停机，经济损失达9600万美元,美丽杀手,1999年,政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!,爱虫病毒,2000年5月至今,众多用户电脑被感染，损失超过100亿美元以上,红色代码,2001年7月,网络瘫痪，直接经济损失超过26亿美元,求职信,2001年12月至今,大量病毒邮件堵塞服务器，损失达数百亿美元,蠕虫王,2003年1月,网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元,冲击波,2003年7月,大量网络瘫痪，造成了数十亿美金的损失,MyDoom,2004年1月起,大量的垃圾邮件，攻击SCO和微软网站，给全球经济造成了300多亿美元的损失,43,蠕虫病毒,病毒名称：蠕虫病毒Win32.Looked.FU其它名称： (Kaspersky)病毒属性：蠕虫病毒 危害性：中等危害 流行程度：中具体介绍：病毒特性：是一个20,377 字节的蠕虫，它通过感染文件和定期下载并运行任意文件进行传播。感染方式：运行时，复制到，随后运行一个新的副本。它使用一个批处理脚本删除原始文件。它没有运行任意感染文件的原始内容。生成以下注册表，以确保每次系统启动时运行病毒：HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunlogo1_.exe = %Windows%ati3evx.exeHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunlogo1_.exe = %Windows%ati3evx.exe它周期性的重复生成这些键值。注：%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt，windows95/98/me中默认的安装路径是C: Windows，windowsXP中默认的安装路径是C:Windows。传播方式 :通过感染文件传播在硬盘的Z:/ 到 A:/ 驱动器循环搜索。它将 文件和文件放到每个驱动器的根目录下。,44,如果适合以下条件， 文件引起文件运行：文件复制后系统已经重启；用户访问“我的电脑”，双击被安装文件的驱动器，或者在Windows 资源管理器或“我的电脑”任一个中在被安装文件的驱动器点击右键选择“自动运行”；在以下注册表：HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun允许自动运行用于被安装文件的驱动器类型。默认设置针对Windows XP 和早期的 Windows操作系统允许自动运行用于固定磁盘上（例如：C:驱动器）。生成一个文件列表用来感染，由上面提到的所有驱动器上以.exe.为扩展名的所有文件组成，忽略包含以下字符串的路径名：RecycledSystem Volume Information这个列表保存到，一旦列表上的文件都已经被感染，就会删除这个文件。通过预先将自己添加到文件来感染文件。它还会在文件的末端添加一条横线。这个横线用作一个标记，蠕虫检查这个标记以确保同一文件不会多次感染。生成的文件大小为20,382字节。,45,防范蠕虫,1.选择可靠的防毒软件2.把邮件请出C盘3.细心分析:1)看邮件大小。邮件自身的大小有几十KB或者更大，而邮件中无内容，无附件，那这极有可能是一封蠕虫病毒邮件；2)如果发现邮件地址非常陌生，或域名不像正常的国内邮箱，同样你要提高警惕了；3)看附件的后缀名。如果是双后缀就极有可能是病毒，因为蠕虫病毒一般隐藏在附件中。对上述三种邮件直接删除即可，然后清空废件箱，最后一定要压缩一遍邮箱，彻底消除蠕虫病毒的隐患。,46,4.小心保存邮件保存邮件时尽量使用“另存为”选项为邮件做备份，同时不要在同一个目录下放全部的邮件，这对于保护邮件不受侵害非常有作用。5.：慎用预览功能现在一些危害力极高的蠕虫病毒，往往都是在进行邮件预览时就会感染系统，而并不像以前需要打开邮件才会中招。对于Outlook用户，一定要关闭邮件软件的预览功能或升级微软的最新补丁。如果使用的是Foxmail，只需在用户属性的模板项选择纯文本格式即可。6：给通讯簿减肥通讯簿是蠕虫病毒们最喜爱的东东了，因为病毒一发作，就自动复制无数拷贝发送到“通讯簿”里所有的用户。所以通讯簿里的名单越少，蠕虫病毒带来的危害就越小，在“通讯簿”里不设置太多的名单，对于防止蠕虫病毒的进一步扩张非常有用。7：当心可执行文件对于邮件附件为可执行文件（*.exe、*.com）或带有宏功能的附件（*.doc）时，不要选择打开，可以用下面的两种方法检测是否带有病毒：1)利用杀毒软件的邮件病毒监视功能来过滤掉邮件中的病毒;2)先把附件另存在硬盘上，然后利用杀毒软件进行查毒。8.定期升级病毒库,47,中毒后的处理,使用进程程序管理器结束病毒进程,查找并删除病毒程序,清除病毒在注册表里添加的项,安装专杀工具,48,僵尸网络,是指采用一种或多种传播手段，将大量主机感染bot程序（,僵尸程序,），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。,Botnet的工作过程包括传播、加入和控制三个阶段。,（1）主动攻击漏洞。,（2）邮件病毒。,（3）即时通信软件。 2005年年初爆发的MSN性感鸡（）,（4）恶意网站脚本。,（5）,特洛伊木马,。,49,通信方式,基于IRC(应用层协议),基于HTTP协议的命令与控制,基于P2P协议通信,50,危害,利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。,（1）拒绝服务攻击,（2）发送垃圾邮件,（3）窃取秘密,（4）滥用资源,51,研究方法,针对基于IRC协议的Botnet,（1）使用蜜网技术,（2）网络流量研究,（3）IRC Server识别技术的研究,52,浏览器劫持,浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。收藏夹内被自动添加陌生网站地址等等 .,53,流氓软件,介于病毒和正规软件之间的软件，不断跳出的窗口让自己的鼠标无所适从；有时电脑浏览器被莫名修改增加了许多工作条，当用户打开网页却变成不相干的奇怪画面，甚至是黄色广告。,有些流氓软件只是为了达到某种目的,比如广告宣传,这些流氓软件不会影响用户计算机的正常使用,只不过在启动浏览器的时候会多弹出来一个网页，从而达到宣传的目的。,54,3.2 反病毒技术,计算机病毒的防御,反病毒软件,多层次的病毒防御体系,55,计算机病毒的防御,1. 防毒原则,不使用盗版或来历不明的软件，特别不能使用盗版的杀毒软件。,写保护所有系统盘，绝不把用户数据写到系统盘上。,安装真正有效的防毒软件，并经常进行升级。,新购买的电脑要在使用之前首先要进行病毒检查，以免机器带毒。,准备一张干净的系统引导盘，并将常用的工具软件拷贝到该软盘上，然后加以保存。此后一旦系统受病毒侵犯，我们就可以使用该盘引导系统，然后进行检查、杀毒等操作。,56,对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用。,尽量不要使用软盘启动计算机。,一定要将硬盘引导区和主引导扇区备份下来，并经常对重要数据进行备份，防患于未然。,随时注意计算机的各种异常现象（如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等），一旦发现，应立即用杀毒软件仔细检查。,57,2. 病毒的解决办法,在解毒之前，要先备份重要的数据文件。,启动反病毒软件，并对整个硬盘进行扫描。,发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。同时，我们还应将病毒样本送交反病毒软件厂商的研究中心，以供详细分析。,某些病毒在Windows 98状态下无法完全清除（如CIH病毒就是如此），此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。,58,反病毒软件,扫描型：签名扫描、启发扫描,完整性检查型,行为封锁型,59,反病毒软件的工作方式,实时监视,自动解压,病毒隔离,升级,60,多层次的病毒防御体系,客户端,服务器,Internet,网关,防火墙,61,3.3 主要产品及应用,趋势公司 趋势科技1988 年成立于美国加州，趋势科技平均每年成长率超过 80, 这是一家自PC 、network server 至 Internet gateway的全方位网络防毒暨内容安全领导厂商。 主要产品：OfficeScan、InterScan、ScanMail、ServerProtect。 赛门铁克公司,Norton AntiVirus （诺顿）,赛门铁克是互联网安全技术的全球领导厂商，为企业和个人用户提供广泛的内容和网络安全解决方案，如：病毒防护、风险评估、入侵防护、互联网内容及电子邮件过滤、远程管理技术及安全服务等。主要产品：、Symantec AntiVirus、Symantec Client Security、Norton Antivirus 2003。,62,NAI公司,/international/china/,美国网络联盟公司总部位于加利福尼亚州的圣克拉拉市，是电子商务网络安全和高可用性解决方案的主要供应商，也是全球第五大独立软件公司，业务遍布全世界五大洲各个主要国家。美国网络联盟公司的业务涉及三个领域 提供全球领先防病毒产品的供应商McAfee Security，在世界反病毒领域内保持着领先的市场份额 业界网络和应用管理领域的先锋Sniffer Technologies 以及致力于提供基于Web服务的桌面解决方案供应商Magic Solutions。主要产品：McAfee Security、Sniffer Technologies。,63,瑞星公司 北京瑞星科技股份有限公司成立于1998年4月，公司以研究、开发、生产及销售计算机反病毒产品、网络安全产品和黑客防治产品为主，主要产品：瑞星杀毒软件2003版、瑞星杀毒软件网络版。 冠群公司 北京冠群金辰软件有限公司成立于1998年7月15日，是由CA有限公司与公安部中国金辰安全技术实业公司共同出资成立的中外合资企业，这是国内软件业的第一次合资，也是国外先进计算机网络安全技术与国内先进的反病毒技术的首次融合。冠群金辰前身之一是中国公安部金辰公司，其创立了著名的反病毒品牌-KILL，经过十余年的积累，KILL在中国安全领域，家喻户晓，深入人心。与世界著名的Computer Associate公司合资后，融合了CA公司全球领先的安全技术和雄厚的资金背景，冠群金辰得以迅速成长。主要产品：KILL安全胄甲(企业版)、eTrust Intrusion Detection网络入侵检测。,64,金山 主页:http:/ 创建于1988年,目前是国内最知名的软件企业之一， 1997年金山的“杀毒之旅”。2000年底金山毒霸出品。,江民 主页：http:/王江民: 拥有亿万身家的杀毒王,65,66,手机病毒的查杀,传播方式主要包括红外线、蓝牙、数据线、彩信和短信等。除自动群发短信外，手机中毒征兆还有很多，比如将桌面图标全部改成骷髅状，手机运行速度减慢甚至死机等。手机病毒的种类多达1000 种,金山毒霸 ForS60诺基亚智能系列适应系统:诺基亚智能系列/S60,金山毒霸 ForS60诺基亚智能系列金山毒霸手机版v111.2 for S60卡巴斯基手机杀毒简体中文版东方飞塔手机防护（For S60）最新Build402版防毒专家,67,实训,实训准备：,VMWare workstation WIN2000系统,关闭系统中的杀毒软件,先导出系统的注册表,68,拒绝恶意代码（流氓软件）,IE浏览器Internet安全选项设置,Internet选项-自定义级别-安全设置-,禁用“Active X控件和插件”等,使用杀毒工具、超级兔子等工具帮助维护系统的安全,69,练习题,1.感染“熊猫烧香”病毒后的计算机不会出现,（ ）,的情况。,执行文件图标变成熊猫烧香,用户信息被泄漏,系统运行变慢,破坏计算机主机,B,70,2.在 Windows 操作环境中，采用,( ),命令来查看本机 IP 地址及网卡 MAC 地址.,Aping BTracert,CIpconfig DNslookup,3在网络排除故障时不会经常使用的命令是（ ）。 A. ping B. netstat C. tracert D. dir,4关于漏洞扫描，描述不正确的是（ ）。,A. 防火墙系统不存在漏洞B. 漏洞可以通过下载补丁程序修补C. 病毒可以通过漏洞传播D. 漏洞会招致黑客入侵,C,D,A,71,5计算机病毒是_(1)_。特洛伊木马一般分为服务器端和客户端，如果攻击主机为A，目标主机为B，则_(40)_。,(2)A. A为服务器端B为客户端 B. B为服务器端A为客户端,C. A既为服务器端又为客户端D. B既为服务器端又为客户端,D,B,72,6.（）,不属于计算机病毒防治策略。,A本机磁盘碎片整理,B安装并及时升级防病毒软件,C在安装新软件前进行病毒检测,D常备一张“干净”的系统引导盘,A,73,