【文档说明】计算机病毒技术知识及蠕虫病毒的查杀课件.ppt，共(35)页，195.302 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77280.html

以下为本文档部分文字说明：

2022/12/1徐汇区教育局培训教材1上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。今日主题计算机病毒的发展病毒分类流行病毒的手工查杀方法检查病毒的常用工具什么才是最佳病毒解决方案2022/12/

1徐汇区教育局培训教材2上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。病毒的概念“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计

算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质（

或程序）里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。2022/12/1徐汇区教育局培训教材3上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改

正。计算机病毒发展简史电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯·诺伊曼（JohnVonNeumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。2022/12/1徐汇区教

育局培训教材4上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。历史的预见1977年夏天，托马斯·捷·瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（TheAdolescenceofP-1）成为美国的畅

销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7,000台计算机，造成了一场灾难。2022/12/1徐汇区教育局培训教材5上海三零卫士信息安全有限公司30wishInforma

tionSecurity资料仅供参考,不当之处，请联系改正。第一个病毒的产生1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机），伦·艾德勒曼(LenAdleman)将它命名为计

算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出。2022/12/1徐汇区教育局培训教材6上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联

系改正。“巴基斯坦”病毒1986年初，在巴基斯坦的拉合尔(Lahore)，巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家IBM-PC机及其兼容机的小商店。他们编写了Pakistan病毒，即Brain。在一年内流传到了世界各地。世界上公认的第一个在个人电脑上广泛流行的病毒

通过软盘传播。2022/12/1徐汇区教育局培训教材7上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。“蠕虫－莫里斯”1988年冬天，正在康乃尔大学攻读的

莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。2022/12/1徐汇区教育局培训教材8上海三零卫士信息安

全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。CIHCIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起

初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。2022/12/1徐汇区教育局培训教材9上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。Cod

eRed2001年7月19日IIS服务的.ida漏洞（IndexingService中的漏洞）损失>20亿美元CodeRedII损失>12亿美元2022/12/1徐汇区教育局培训教材10上海三零卫士信息安全有限公司30wishInformationSe

curity资料仅供参考,不当之处，请联系改正。冲击波年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里·李·帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。2022/12/1徐汇区教育局培训教

材11上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。计算机病毒的分类引导区病毒文件型病毒宏病毒脚本病毒蠕虫病毒木马程序2022/

12/1徐汇区教育局培训教材12上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。一个引导病毒传染的实例假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检以后，小球病毒的引导模块就把全部病毒代码1024

字节保护到了内存的最高段，即97C0：7C00处；然后修改INT13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：1）读入目标软磁盘的自举扇区

（BOOT扇区）。2）判断是否满足传染条件。3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏

簇标志，以保护该簇不被重写。4）跳转到原INT13H的入口执行正常的磁盘系统操作。2022/12/1徐汇区教育局培训教材13上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供

参考,不当之处，请联系改正。一个文件病毒传染的实例假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT21H的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒

的传染模块将通过INT21H的调用率先获得控制权，并进行以下操作：1）读出该文件特定部分。2）判断是否传染。3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。4）转回原I

NT21H入口，对该执行文件进行正常加载。2022/12/1徐汇区教育局培训教材14上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。一个脚本病毒传染的实例万花谷病毒该病毒是嵌在HTML网页中的一段Java脚本程

序，它最初出现在http://on888.home.chinaren.com个人网站上，随后其他一些个人主页也模仿或被感染了该病毒代码。和普通脚本病毒有所不同的是，用“查看源文件”的方法来查看感染“万花谷”病毒的网页代码时，只能

看到一大段的杂乱字符。为了具有隐蔽性，该病毒采用了JavaScript的escape()函数进行了字符处理，把某些符号、汉字等变成乱码以达到迷惑人的目的。程序运行时再调用unescape()解码到本地机器上运行。登陆某个网站后，机器莫名其妙地死机；重新启动后你会看到一个奇

怪的提示：“欢迎你来万花谷，你中了“万花谷病毒”请与QQ：4040465联系”。进入Windows后，你会发现C:盘不能使用了，“开始”菜单上的“运行”、“注销”和“关机”项都不见了。打开IE浏览器你会发现窗口的标题也变成了“欢迎来到万花谷!请与OICQ:4040465联系

!”。这时，你已经感染了一个俗称“万花谷”的JS.On888脚本病毒！2022/12/1徐汇区教育局培训教材15上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联

系改正。万花谷脚本病毒原理该病毒的感染主要是通过修改注册表来实现的。以下为其设置或修改的注册表项：设置“HKCUSoftwareMicrosoftWindowsCurrentVersionPolici

esExplorerNoRun为01(取消开始菜单上的“运行”项)设置”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose“为01(取消开始菜单上的“关闭”项)设置”HKCUSoftwareMicrosoft

WindowsCurrentVersionPoliciesExplorerNoLogOff“为01(取消开始菜单上的“注销”项)设置”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives“为”0

0000004“(取消对C:盘的访问权限)设置”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools“为”00000001“(使注册表工具不可

用)等…………………2022/12/1徐汇区教育局培训教材16上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。宏病毒的传播一般来说，一个宏病毒传播发生

在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的所有Doc文档。当Word打开一个.doc文件时，先检查里面有没有模板/宏代码,如果有的话就认为这不是普通的doc文件，而是一个模版文件,并执行里面的a

uto类的宏(如果有的话)。一般染毒后的.doc被打开后，通过Auto宏或菜单、快捷键来激活，随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统"永久"控制权。夺权后，当系统有文档存储动作时

，病毒就把自身复制入此文档并储存成一个后缀为.doc的模板文件；另外，当一定条件满足时，病毒就会干些小小的或者大大的破坏活动。2022/12/1徐汇区教育局培训教材17上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。特洛伊木马特洛

伊木马是一个包含在一个合法程序中的非法的程序。一种黑客程序，本身不破坏数据，黑客利用其远程操纵受害计算机。一般的木马都有客户端和服务器端两个执行程序。通过各种途径放置木马程序。2022/12/1徐汇区教育局培训

教材18上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。蠕虫病毒蠕虫的定义Internet蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进

行传播。蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。2022/12/1徐汇区教育局培训教材19上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。蠕虫的工作流程蠕虫程序的工作流程可以分为

漏洞扫描、攻击、传染、现场处理四个阶段2022/12/1徐汇区教育局培训教材20上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。蠕虫程序

扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有

的则非常简单。2022/12/1徐汇区教育局培训教材21上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。蠕虫的行为特征自我繁殖：蠕虫在本质上已经演变为黑客入侵的自

动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。2022/12/1徐汇区教育局培训教材22上海三零卫士信息安全有限公司30wishInformationSecur

ity资料仅供参考,不当之处，请联系改正。利用软件漏洞：任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样的，有操作系统本身的问题，有的是

应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。2022/12/1徐汇区教育局培训教材23上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。造成网络拥塞：在扫描漏洞主机的过程中

，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大

量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。2022/12/1徐汇区教育局培训教材24上海三零卫士信息安全有限公司30wishI

nformationSecurity资料仅供参考,不当之处，请联系改正。消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络

服务器的影响尤其明显。2022/12/1徐汇区教育局培训教材25上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。留下安全隐患：大部分蠕虫会搜

集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。2022/12/1徐汇区教育局培训教材26上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供

参考,不当之处，请联系改正。蠕虫病毒与一般病毒的异同病毒类型：普通病毒蠕虫病毒存在形式：寄存文件独立程序传染机制：宿主程序运行主动攻击传染目标：本地文件网络计算机2022/12/1徐汇区教育局培训教材27上海三零卫士信息安全有限公司30wishIn

formationSecurity资料仅供参考,不当之处，请联系改正。防范蠕虫病毒措施就像防治非典一样，我们要做好以下三点预防隔离查杀免疫2022/12/1徐汇区教育局培训教材28上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供

参考,不当之处，请联系改正。蠕虫病毒的预防NIDS蠕虫王：alertudp$EXTERNAL_NETany->$HOME_NET1434(msg:"W32.SQLEXP.Wormpropagation";content:"|682E646C6C68656C3332686B65726E|";co

ntent:"|04|";offset:0;depth:1;)边界路由蠕虫王：access-list110denyudpanyanyeq1434打补丁蠕虫王：SqlServerSp3安装杀毒软件等2022/12/1徐汇区教育局培训教材29上海三零卫士信息安全有限

公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。蠕虫病毒的隔离在确认计算机中了蠕虫病毒后，要立即中断本机于外界的联系，防止蠕虫扩散。单机隔离禁用本机网卡或者拔掉网线，防止蠕虫扩散到网络中的其他

计算机中网络隔离对出现蠕虫病毒的子网的出口路由设备进行配置，对蠕虫的相应端口进行关闭，防止蠕虫扩散到别的网络中去2022/12/1徐汇区教育局培训教材30上海三零卫士信息安全有限公司30wishInformationSecurity资

料仅供参考,不当之处，请联系改正。蠕虫病毒的查杀基于特征的查杀提取特征码，网络特征、文件特征、传播特征根据特征码制作专杀工具进行查杀手工进行查杀检查可疑进程，可疑端口，查找各类启动项，进入安全模式手动进行查杀2022/12/1徐汇区教育局培训教材31上海三零

卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。振荡波查杀实例感染判断出现系统错误对话框，莫名其妙地死机或重新启动计算机；任务管理器里有一个叫"avserve.exe"、"avserve2.exe"或者"skynet

ave.exe"的进程在运行；在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件；注册表H_L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

项中存在"avserve.exe"="%Windir%\avserve.exe值；系统速度极慢，CPU占用100%。2022/12/1徐汇区教育局培训教材32上海三零卫士信息安全有限公司30wishInf

ormationSecurity资料仅供参考,不当之处，请联系改正。手工查杀•清除内存中的病毒进程"avserve.exe"、"avserve2.exe"或者"skynetave.exe"•在系统目录下删除相应病毒文件•删除注册表中H_L_M

\SOFTWARE\Microsoft\Windows\CurrentVersion\Run值"avserve.exe"="%Windir%\avserve.exe•系统打补丁KB8457322022/12/1徐汇区教育局培训教材33上海三零卫士信息安全有限公司3

0wishInformationSecurity资料仅供参考,不当之处，请联系改正。检查病毒的常用工具NetstatFportPrcviewSniffer2022/12/1徐汇区教育局培训教材34上海三零卫士信息安全有限公司30wishInfor

mationSecurity资料仅供参考,不当之处，请联系改正。实验2022/12/1徐汇区教育局培训教材35上海三零卫士信息安全有限公司30wishInformationSecurity资料仅供参考,不当之处，请联系改正。谢谢！