防毒知识培训.pptx

防病毒知识培训一、病毒基础知识计算机病毒基本概念概念：编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。（1994年2月18号公布） 特征：复制、感染、隐蔽、破坏。危害：病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。网络环境下，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大。防治：以防为主，病原体(病毒库)是病毒防治技术的关键。 新的病毒概念 1994年当时比较重要就是只要插入到计算机程序里面，另外它要能够自我复制，就是一种感染性，自我复制是一种传播，但对于新的病毒，已经不能完全的符合基本定义。新型病毒：引导型病毒特伊木马恶作剧程序逻辑炸蛋蠕虫病毒以上的病毒被称为后计算机病毒。目前的反病毒软件对于病毒的研究其实基于很多种广义的计算机病毒来说的新病毒的特性区分 计算机病毒的种类 引导型Stone（混合型）、DIRII?文件型Onehalf、CIH、Funlove宏病毒Concept,台湾一号特洛伊木马黑客程序BO，冰河恶作剧DELETE Win95、女鬼蠕虫病毒美丽莎、爱虫邮件炸弹MailBomb协议病毒红色代码计算机病毒的危害及症状计算机病毒的主要危害有：1．病毒激发对计算机数据信息的直接破坏作用 2．占用磁盘空间和对信息的破坏 3．抢占系统资源 4．影响计算机运行速度 5．计算机病毒错误与不可预见的危害 6．计算机病毒的兼容性对系统运行的影响 7．计算机病毒给用户造成严重的心理压力 例如：最早的在86年的一个病毒由巴基斯坦两兄弟编的brain大脑病毒，brain是一种引导型的病毒，在86年的时候，当时苹果机比较流行，这个病毒在苹果机上发作。在88年11月2号，著名的在Internet上有蠕虫病毒，使得美国整个军方网络上的6000多台计算机被病毒感染，那当时的损失达到9600万。我们国家最早是在统计部门在1988年发现小球病毒，发作时在屏幕上弹出小的红球，通过弹性碰撞的方式进行移动。病毒数量的增长也是非常快，在86年时候1种，89年6种，90年80种，98年2万种，2000年4.6万种，2001年达到6万种，那目前现在平均每天病毒的种类仍以30种的速度递增。中国首次计算机病毒疫情网上调查结果国内有高达73% 的计算机曾遭受过病毒感染！ 计算机病毒的传播途径 通过不可移动的计算机硬件设备进行传播。通过移动存储设备来传播这些设备包括软盘、磁带等。 通过计算机网络进行传播。 通过点对点通信系统和无线通道传播。 病毒的产生背景 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机病毒是计算机犯罪的一种新的衍化形式 。（2）计算机软硬件产品的危弱性是根本的技术原因。（3）微机的普及应用是计算机病毒产生的必要环境 。二、病毒与反病毒技术病毒与反病毒的实质病毒的实质：一组计算机指令或者程序代码。反病毒的实质：从计算机中检测到具有病毒性质的代码或文件，并予以清除。 计算机技术的不断发展，病毒与反病毒的技术也日益进步，随着网络时代的到来，二者之间的斗争十分激烈。EXE 文件被感染Win32 PE文件(EXE、DLL、OCX)为了和以前的DOS/Windows系统保持兼容，WIN 9X/NT下等32位的EXE文件格式有所不同，其中含有一些空挡，病毒会找适合的地方嵌入进去这是一个被感染的 Windows PE 格式EXE FileVIRUS为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病毒代码的空间部分。如果覆写的位置超过了“空挡”大小，原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的，因为原始程序文件被感染时可能已被覆写破坏了。（典型的象CIH、FUNLOVE病毒）病毒技术的发展对抗特征码技术 对抗覆盖法技术 多线程技术 元多形技术反虚拟机技术 病毒加壳技术概念：在一些电脑程序中，有一段负责保护程序不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它們保护程序的任务。就像动植物的壳一般都是在身体外面一樣理所當然）。实质：利用特定的压缩算法(就象WinZIP一样)把木马压缩打包运行的时候在内存中解压释放程序本体再运行 。技术分类：压缩保护 ，加密保护 加壳程序：常见软件ASPACK ,UPX,PEcompact反病毒技术的更新特征代码法 校验和法 行为监测法 虚拟机技术 虚拟机技术 概念：主要是为查杀加密变形病毒而设计的。简单地来说，所谓虚拟机并不是个虚拟的机器，说得更合适一些应该是个虚拟CPU（用软件实现的CPU）。 实质：模拟INTEL X86 CPU的工作过程来解释执行可执行代码，与真正的CPU一样能够取指，译码并执行相应机