计算机的病毒及处理.ppt
合集下载
《计算机网络安全》课件
网络安全解决方案
防火墙
介绍防火墙的功能和原理, 讲解如何使用防火墙保护计 算机网络。
网络入侵检测系统 (NIDS)
介绍网络入侵检测系统 (NIDS)的工作原理和部署 策略,以及如何及时发现和 阻止网络入侵。
VPN
讲解虚拟专用网(VPN)的 概念和用途,以及如何建立 安全的远程访问连接。
加密通讯协议
《计算机网络安全》PPT 课件
计算机网络安全是什么?为什么它如此重要?在这个课件中,我们将探讨计 算机网络安全的基础知识,常见威胁和解决方案,以及未来的发展方向。
计算机网络安全简介
什么是计算机网络安全?为什么计算机网络安全很重要?在本节中,我们将 回答这些问题并介绍该领域的重要性。
常见威胁
1 病毒和恶意软件
探讨常用的加密通讯协议,如HTTPS和SSH,以 及它们在保护网络通信中的作用。
安全软件
介绍常见的网络安全软件,如防病毒软件和防 火墙软件,以及如何选择和使用它们。
网络安全管理
RISK ASSESSM ENT
详细讲解风险评估的过程和 方法,以及如何根据评估结 果制定网络安全策略。
安全政策和方针
介绍设计和执行网络安全政 策和方针的重要性,以及如 何制定和实施它们。
安全意识培训
讲解提高员工网络安全意识 的重要性,以及如何进行网 络安全培训和教育。
漏洞管理
解释漏洞管理的概念和流程,以及如何及时修 补安全漏洞以防范潜在威划,熟悉处理安 全事件的步骤和工具。
未来方向
1 AI 和机器学习用于网络安全
探索人工智能和机器学习在网络安全领域的应用,以提高威胁检测和响应能力。
2 量子加密技术
介绍量子加密技术的原理和优势,以及它对未来网络安全的影响。
计算机病毒
21
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒,它的产生是利用了一些 数据处理系统。这种特性可以把特定的宏命令代码附加在 指定文件上,在未经使用者许可的情况下获取某种控制权, 实现宏命令在不同文件之间的共享和传递。
病毒通过文件的打开或关闭来获取控制权,然后进一步捕 获一个或多个系统事件,并通过这些调用完成对文件的感 染。 宏病毒与传统的病毒有很大不同,它不感染.EXE和.COM 等可执行文件,而是将病毒代码以“宏”的形式潜伏在 Office文件中,主要感染Word和Excel等文件,当采用 Office软件打开这些染毒文件时,这些代码就会被执行并 产生破坏作用。 宏病毒与VBA
硬件中断可以分为外部中断和内部中断两类:
外部中断:一般是指由计算机外设发出的中断请求。 内部中断:是指因硬件出错或运算出错所引起的中断。
软件中断:其实并不是真正的中断,它们只是可 被调用执行的一般程序。
12
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
2
3
4
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
计算机病毒定义:是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据、影响计算 机使用且能自我复制的一组计算机指令或者程序 代码。 病毒传播载体:网络、电磁性介质和光学介质 病毒传染的基本条件:计算机系统的运行、读写 介质(磁盘)上的数据和程序 病毒的传播步骤:驻留内存、寻找传染的机会、 进行传染。 病毒传染方式:引导扇区(包括硬盘的主引导扇
病毒木马PPT课件
计算机病毒的产生
▪ 现在流行的病毒是由人为故意编写的,多数病毒 可以找到作者和产地信息,从大量的统计分析来 看,病毒作者主要情况和目的是:一些天才的程 序员为了表现自己和证明自己的能力,处于对上 司的不满,为了好奇,为了报复,为了祝贺和求 爱,为了得到控制口令,为了软件拿不到报酬预 留的陷阱等.当然也有因政治,军事,宗教,民 族.专利等方面的需求而专门编写的,其中也包 括一些病毒研究机构和黑客的测试病毒.
计算机病毒的特点
▪ 潜伏性的第一种表现是指,病毒程序不用 专用检测程序是检查不出来的,因此病毒 可以静静地躲在磁盘或磁带里呆上几天, 甚至几年,一旦时机成熟,得到运行机会, 就又要四处繁殖、扩散,继续为害。
计算机病毒的特点
▪ 潜伏性的第二种表现是指,计算机病毒的 内部往往有一种触发机制,不满足触发条 件时,计算机病毒除了传染外不做什么破 坏。触发条件一旦得到满足,有的在屏幕 上显示信息、图形或特殊标识,有的则执 行破坏系统的操作,如格式化磁盘、删除 磁盘文件、对数据文件做加密、封锁键盘 以及使系统死锁等;
三、计算机病毒的产生
▪ 病毒不是来源于突发或偶然的原因.一次 突发的停电和偶然的错误,会在计算机的 磁盘和内存中产生一些乱码和随机指令, 但这些代码是无序和混乱的,病毒则是一 种比较完美的,精巧严谨的代码,按照严 格的秩序组织起来,与所在的系统网络环 境相适应和配合起来,病毒不会通过偶然 形成,并且需要有一定的长度,这个基本 的长度从概率上来讲是不可能通过随机代 码产生的。
五、计算机病毒分类
▪ 根据多年对计算机病毒的研究,按照科学 的、系统的、严密的方法,计算机病毒可 分类如下:按照计算机病毒属性的方法进 行分类,计算机病毒可以根据下面的属性 进行分类:
二、计算机病毒的长期性
计算机常见故障及解决方法PPT课件
微机故障常用检测方法
⒊拔插法
PC机系统产生故障的原因很多,主板自身故障、I/O总线故障、
各种插卡故障均可导致系统运行不正常。采用拔插维修法是确定故障
在主板或I/O设备的简捷方法。该方法就是关机后将插件板逐块拔出
,每拔出一块板就开机观察机器运行状态,一旦拔出某块后主机运行
正常,那么故障原因就是该插件板故障或相应I/O总线插槽及负载电
第25页/共65页
微机故障常用检测方法
⒉直接观察法 ➢“看”即观察系统板卡的插头、插座是否歪斜,电阻、电容引脚是否 相碰,表面是否烧焦,芯片表面是否开裂,主板上的铜箔是否烧断。 ➢“听”即监听电源风扇、软/硬盘电机或寻道机构、显示器变压器等 设备的工作声音是否正常。另外,系统发生短路故障时常常伴随着异常 声响。 ➢“闻”即辨闻主机、板卡中是否有烧焦的气味,便于发现故障和确定 短路所在地。 ➢“摸”即用手按压管座的活动第芯26片页/,共6看5页芯片是否松动或接触不良。
软故障中又要首先想到是否是病毒造成,消除病毒并证实软
件没有问题,最后再查找硬件故障。如果判断错误,开始就
乱动硬件设备,可能使问题更加复杂化,导致小故障变成大
故障。在诊断微机故障时可以先排除软故障的可能后,再考
虑硬故障的诊断。
第16页/共65页
硬件故障是指电脑硬件系统使用不当或硬件物理损坏所造 成的故障.例如,电脑开机无法启动,无显示输出,声卡 无法出声等.在这些硬件故障之中又有“真故障”和“假 故障”之分。
(1)“真故障”是指各种板卡,外设等出现电气故障或 者机械故障等物理故障,这些故障可能导致所在板卡或外 设的功能丧失,甚至出现电脑系统无法启动.造成这些故 障的原因多数与外界环境,使用操作等有关。
(2)“假故障”是指电脑系统中的各部件和外设完好, 但由于在硬件安装与设置第,1外7页界/共6因5页素影响(如电压不稳, 超频处理等)下,造成电脑系统不能正常工作。
计算机病毒防治课件PPT
7.1 计算机病毒的特点与分类
(1) 引导型病毒的工作机理 引导扇区是硬盘或软盘的第一个扇区,是存放引导指 令的地方,这些引导指令对于操作系统的装载起着十分重 要的作用。一般来说,引导扇区在CPU的运行过程中最先 获得对CPU的控制权,病毒一旦控制了引导扇区,也就意 味着病毒控制了整个计算机系统。
至今短短30年,已经经历了3个阶段。第一个阶段为 DOS、Windows等传统病毒,此时编写病毒完全是基 于对技术的探求,这一阶段的顶峰应该算是CIH病毒; 第二个阶段为基于Internet的网络病毒,例如“红色代 码”、“冲击波”、“震荡波”等病毒皆属于此阶段, 这类病毒往往利用系统漏洞进行世界范围内的大规模 传播;目前计算机病毒已经发展到了第三阶段,我们 所面临的不再是一个简简单单的病毒,而是集病毒、 黑客攻击、木马、间谍软件等多种危害于一身的基于 Internet的网络威胁。
本章将从计算机病毒的概念、发展、危害及其 特点等方面谈起,介绍计算机病毒的分类,并结合 具体的例子介绍恶意代码、计算机病毒尤其是典型 计算机病毒的检测与清除。最后,简单回顾计算机 病毒的现状和发展趋势。
第七章 计算机病毒防治
主要内容
7.1 计算机病毒的特点与分类 7.2 恶意代码 7.3 计算机病毒的检测与清除 7.4 典型计算机病毒的检测与清除 7.5 计算机病毒的现状和发展趋势
计算机病毒赖以生存的基础是现代计算机都具有相同 的工作原理和操作系统的脆弱性,以及网络协议中的安全 漏洞。特别是在个人计算机中,系统的基本控制功能对用 户是公开的,可以通过调用和修改系统的中断,取得对系 统的控制权,从而对系统程序和其他程序进行任意处理。
7.1 计算机病毒的特点与分类
7.1.2 计算机病毒的发展 从1986年出现第一个感染PC机的计算机病毒开始,
计算机病毒与防治(共34张PPT)
CurrentVersion\Run • 及RunService
• 杀掉不必要的进程
– 开始运行: ntsd –c q –p xxxx
• 其中xxxx为进程号(PID), • 可通过Ctrl+Alt+Del任务管理器进程 来查看PID
口令安全(密码)
– 口令
• 原则:自己易记、他人难猜、经常更改 • 技巧:不与自己直接相关,而是间接相关
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒的编制者往往有特殊的破坏目的,因此不同的病毒攻击的对象也会不同
特别注意相似硬网址件,如防1cbc火, myq墙q等产品:锐捷、华为、中兴、思科、
你的计算机上正运行着什么程序?它们都是安全的吗?
目录•(右击不) 共要享 将权限密码设置为有顺序的数字或字母
无害型、无危险型、危险型、非常危险型
不原要理•使 :用包不本过人滤要的和生代将日理、服网身务证上件银号码行、银“行账登户中录的密前几码位、”后几和位或“姓交名的易拼音密作为码密码”。设置成相同的密码 D瑞O星S•注、册W在表ind修o任复ws工、何具Un情ihxt、tp况L:/i/un下x等 不能将密码透漏给他人,包括银行工作人员
隐藏性:
计算机病毒通常是隐蔽在其他合法的可执行程序和数据文件中的 一段程序,不易被人们察觉,对病毒的传染扩散十分有利。
计算机病毒的特点(续)
潜伏性:
在破坏之前属于潜伏状态,潜伏期越长,其传染范 围也会越大。
可触发性:
在一定的条件下(如特定的日期)才会发作,开始破 坏活动。
针对性:
病毒的编制者往往有特殊的破坏目的,因此不同的病 毒攻击的对象也会不同
• 杀掉不必要的进程
– 开始运行: ntsd –c q –p xxxx
• 其中xxxx为进程号(PID), • 可通过Ctrl+Alt+Del任务管理器进程 来查看PID
口令安全(密码)
– 口令
• 原则:自己易记、他人难猜、经常更改 • 技巧:不与自己直接相关,而是间接相关
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒的编制者往往有特殊的破坏目的,因此不同的病毒攻击的对象也会不同
特别注意相似硬网址件,如防1cbc火, myq墙q等产品:锐捷、华为、中兴、思科、
你的计算机上正运行着什么程序?它们都是安全的吗?
目录•(右击不) 共要享 将权限密码设置为有顺序的数字或字母
无害型、无危险型、危险型、非常危险型
不原要理•使 :用包不本过人滤要的和生代将日理、服网身务证上件银号码行、银“行账登户中录的密前几码位、”后几和位或“姓交名的易拼音密作为码密码”。设置成相同的密码 D瑞O星S•注、册W在表ind修o任复ws工、何具Un情ihxt、tp况L:/i/un下x等 不能将密码透漏给他人,包括银行工作人员
隐藏性:
计算机病毒通常是隐蔽在其他合法的可执行程序和数据文件中的 一段程序,不易被人们察觉,对病毒的传染扩散十分有利。
计算机病毒的特点(续)
潜伏性:
在破坏之前属于潜伏状态,潜伏期越长,其传染范 围也会越大。
可触发性:
在一定的条件下(如特定的日期)才会发作,开始破 坏活动。
针对性:
病毒的编制者往往有特殊的破坏目的,因此不同的病 毒攻击的对象也会不同
2024版计算机病毒公开课图文
使用杀毒软件进行定期全盘扫描,监控网络连接和进程,注意 检查系统日志和异常行为。
15
勒索软件危害及应对策略
勒索软件危害
加密用户文件并索要赎金,造成数据丢失和财产损失。
应对策略
定期备份重要数据,避免打开未知来源的邮件和链接,及时更新操作系统和应用程 序补丁。
2024/1/26
16
其他类型计算机病毒概述
病毒可以利用软件漏洞进行传播,例 如操作系统漏洞、应用软件漏洞等。
通过移动存储介质传播
病毒可以通过U盘、移动硬盘等移动 存储介质进行传播。
2024/1/26
5
计算机病毒分类方法
2024/1/26
按病毒存在媒体分类
01
可分为文件型病毒、引导型病毒和网络病毒等。
按病毒传染方式分类
02
可分为驻留型病毒和非驻留型病毒。
按病毒破坏能力分类
03
可分为良性病毒和恶性病毒。
6
典型案例分析
利用宏语言编写的病毒,通常感 染Office文档等文件,如“梅丽 莎”病毒。
通过加密用户文件并索要赎金来 获利的恶意软件,如 “WannaCry”勒索软件。
2024/1/26
蠕虫病毒 宏病毒
木马病毒 勒索软件
通过网络进行传播的恶意代码, 具有自我复制和主动传播的特性, 如“冲击波”病毒。
加强密码管理 使用强密码,并定期更换密码,避免使用弱密码 和默认密码。
3
防范网络钓鱼和诈骗 不轻信陌生人的信息和链接,不随意泄露个人信 息。
2024/1/26
25
企业网络安全责任担当
2024/1/26
建立完善的安全管理制度
制定网络安全管理制度和操作规范,明确各部门和人员的安全职 责。
15
勒索软件危害及应对策略
勒索软件危害
加密用户文件并索要赎金,造成数据丢失和财产损失。
应对策略
定期备份重要数据,避免打开未知来源的邮件和链接,及时更新操作系统和应用程 序补丁。
2024/1/26
16
其他类型计算机病毒概述
病毒可以利用软件漏洞进行传播,例 如操作系统漏洞、应用软件漏洞等。
通过移动存储介质传播
病毒可以通过U盘、移动硬盘等移动 存储介质进行传播。
2024/1/26
5
计算机病毒分类方法
2024/1/26
按病毒存在媒体分类
01
可分为文件型病毒、引导型病毒和网络病毒等。
按病毒传染方式分类
02
可分为驻留型病毒和非驻留型病毒。
按病毒破坏能力分类
03
可分为良性病毒和恶性病毒。
6
典型案例分析
利用宏语言编写的病毒,通常感 染Office文档等文件,如“梅丽 莎”病毒。
通过加密用户文件并索要赎金来 获利的恶意软件,如 “WannaCry”勒索软件。
2024/1/26
蠕虫病毒 宏病毒
木马病毒 勒索软件
通过网络进行传播的恶意代码, 具有自我复制和主动传播的特性, 如“冲击波”病毒。
加强密码管理 使用强密码,并定期更换密码,避免使用弱密码 和默认密码。
3
防范网络钓鱼和诈骗 不轻信陌生人的信息和链接,不随意泄露个人信 息。
2024/1/26
25
企业网络安全责任担当
2024/1/26
建立完善的安全管理制度
制定网络安全管理制度和操作规范,明确各部门和人员的安全职 责。
《计算机病毒与防治》PPT课件
《计算机病毒与防治》PPT课件目录CONTENCT •计算机病毒概述•计算机病毒分类及原理•传播途径与感染方式•预防措施与策略部署•检测方法与技术手段•清除方法与工具介绍•总结回顾与未来展望01计算机病毒概述定义与特点定义计算机病毒是一种恶意软件,通过复制自身并在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
特点具有隐蔽性、传染性、潜伏性、可触发性、破坏性等。
01020304早期病毒蠕虫病毒宏病毒恶意软件与勒索软件发展历程及现状利用宏语言编写的病毒,通过办公软件的宏功能进行传播。
90年代,随着互联网的发展,蠕虫病毒开始流行,通过网络漏洞进行传播。
20世纪80年代,计算机病毒开始出现,以恶作剧和炫耀技术为主。
近年来,恶意软件和勒索软件大量涌现,以窃取个人信息和勒索钱财为目的。
数据破坏系统崩溃网络传播经济损失危害程度与影响范围病毒可以删除、修改或加密用户数据,导致数据丢失或无法访问。
病毒会占用系统资源,导致系统性能下降、崩溃或无法启动。
病毒可以通过网络传播到其他计算机,造成大规模感染。
病毒会给个人和企业带来巨大的经济损失,包括数据恢复成本、系统修复成本和业务中断成本等。
02计算机病毒分类及原理010203寄生在可执行文件上,通过感染文件来传播。
修改文件内容,插入病毒代码,使文件执行时先执行病毒代码。
常见的文件型病毒有CIH、熊猫烧香等。
寄生在硬盘或软盘的引导区,通过感染引导区来传播。
修改引导区内容,插入病毒代码,使系统启动时先执行病毒代码。
常见的引导型病毒有大麻、小球等。
宏病毒寄生在Word、Excel等文档的宏中,通过文档传播。
脚本病毒寄生在网页脚本或邮件脚本中,通过网络传播。
利用宏或脚本语言的编程功能,实现病毒的自我复制和传播。
常见的宏病毒有TaiwanNo.1、Concept等,常见的脚本病毒有红色代码、爱虫等。
宏病毒和脚本病毒01020304网络蠕虫通过扫描网络漏洞,利用漏洞进行传播。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.2 技能二 常见的计算机 病毒及处理
8.2.1 任务一 “冲击波”、“震荡波”和 “极速波”
病毒 8.2.2 任务二 “灰鸽子”病毒 8.2.3 任务三 QQ病毒和MSN病毒的检测与 清除
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”病毒
1. “冲击波”病毒 (1)病毒特征 病毒名称:I-Worm/Blaster。 病毒别名:冲击波。 病毒类型:网络蠕虫。 病毒长度:6 176字节。 危险级别:高。 影响平台:Windows 2000、Windows XP和Windows 2003。 相关文件:msblast.exe。 病毒描述:该蠕虫病毒利用TCP 135端口,通过 DCOM RPC 漏洞进行攻击。在此病
在注册表中创建自启动项
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
• 通过TCP端口8080连接IRC服务器,接受并执行黑客命 令。可导致被感染计算机被黑客完全控制。
• 在TCP端口33333开启FTP服务,提供病毒文件下载功 能。利用微软即插即用服务远程代码执行漏洞(MS05039)进行传播。如果漏洞利用代码成功运行,将导致 远程目标计算机从当前被感染计算机的FTP服务上下载 病毒程序。如果漏洞代码没有成功运行,未打补丁的远 程计算机可能会出现services.exe进程崩溃的现象。
• 开辟线程,在本地开辟后门,监听TCP 5554端口。被攻击的机器主动连接本地 5554端口,将IP地址和端口传过来。本线程负责将病毒文件传送到被攻击的机 器。
• 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连 接445端口,如果试探成功,则运行一个新的病毒进程对该目标进行攻击,将该 目标的IP地址保存到“c:\win2.log”中。
病毒
(2)感染病毒后的症状 • 莫名其妙地死机或重新启动计算机。 • IE浏览器不能正常地打开链接。 • 不能复制、粘贴。 • 有时出现应用程序,比如Word异常。 • 网络变慢。 • 在任务管理器里有一个msblast.exe的进程在运行。
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”病毒
(3)病毒传播的方式
• 首先拷贝自身到Windows目录,名为%WINDOWS%\avserve.exe(16 384字 节),然后登记到自启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R un Avserve.exe = %WINDOWS%\ avserve.exe。
病毒
• 当病毒运行后,将在系统目录下创建一个文 件botzor.exe。如图所示。
在系统目录下创建 botzor.exe文件
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
• 在注册表中添加下列启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
• 在任务管理器里有一个“avserve.exe”的进程在运行。 • 在Windows系统的安装目录下会出现名为 avserve.exe
的病毒文件。 • 注册表中出现病毒的自启动键值:
KEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wi ndows\\CurrentVersion\\Run项中建立病毒键值: “avserve.exe ”=“%WINDOWS%\\avserve.exe”。
病毒
(3)病毒传播的方式 当病毒感染计算机系统后,执行以下操作: • 首先创建一个线程BILLY。 • 修改注册表的键值:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run增加“windows auto update”=“msblast.exe”键值,使 得病毒可以在系统启动时自动运行。 • 然后按照一定的规则来攻击网络上的计算机。该随机IP段的计
使用瑞星“冲击波”专杀 工具查杀病毒
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
(1)病毒特征 病毒名称:Worm.Sasser。 病毒别名:震荡波。 病毒类型:网络蠕虫。 病毒长度:15 872字节。 危险级别:高。 影响平台:Windows 2000、Windows XP和Windows 2003。 相关文件:avserve.exe。 病毒描述:该蠕虫病毒会通过FTP的5554端口攻击计算机,一旦攻击失败,会使系统
毒代码内隐藏的一段文本信息:
I just want to say LOVE YOU SAN!! Billy gates why do you make this possible? Stop making money and fix your software!!
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
(4)预防与清除 • 使用“震荡波”病毒专杀工具清除,查杀“震荡波”
病毒。瑞星公司提供专杀工具下载地址:
/zsgj/ravsasser.exe. 该工具的使用如图所示。
• 安装微软系统的补丁程序,以免今后再被感染。“震 荡波”补丁程序的下载地址: /china/technet/security/bullet in/ms04-011.mspx。
• 《中华人民共和国计算机信息系统安全保护条例》第二十八条中对计 算机病毒是这样定义的:“计算机病毒,是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我 复制的一组计算机指令或者程序代码。”因此,计算机病毒就是能够 通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件 时即被启动的具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机的病毒及处理
8.1 技能一 认识计算机病毒 8.2 技能二 常见的计算机病毒及处理 8.3 技能三 使用杀毒软件查杀病毒
8.1 技能一 认识计算机病 毒
8.1.1 任务一 什么是计算机病毒
8.1.2 任务二 计算机病毒的分类及特点
8.1.1 任务一 什么是计算 机病毒
• 计算机病毒是程序,能够自我复制,会将自己的病毒码依附在其他程 序上,通过其他程序的执行,伺机传播病毒程序,有一定潜伏期,一 旦条件成熟,就进行各种破坏活动,影响计算机的使用。
• 修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国 外反病毒和安全厂商的网址。
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
(3)预防与清除 ① 使用“极速波”病毒专杀工具清除,查杀
“极速波”病毒。瑞星公司提供专杀工具下载 地址:
/zsgj/RavWormZot ob.exe。
8.1.2 任务二 计算机病毒 的分类及特点
1.计算机病毒的分类 2.计算机病毒的特征 3.计算机病毒的传播途径
1.计算机病毒的分类
按照计算机病毒寄生方式分类 • 引导型病毒 • 文件型病毒 • 混合型病毒
1.计算机病毒的分类
按照计算机病毒破坏的能力分类无害型 • 无危险型 • 危险型 • 非常危险型
算机所有135端口发布攻击代码,成功后,在TCP的端口4444创 建cmd.exe,该病毒还能接受外界的指令,在UDP的端口69上接 受指令,发送文件msblast.exe 网络蠕虫主体。
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
(4)预防与清除 • 使用“冲击波”病毒专杀工具清除,查杀“冲击波”
病毒。瑞星公司提供专杀工具下载地址: /zsgj/ravblaster.exe。 该工具的使用如图所示。 • 安装微软系统的补丁程序,以免今后再被感染。“冲 击波”补丁程序的下载地址: /china/technet/security/bullet in/MS03-026.asp。
文件崩溃,造成计算机反复重启;病毒如果攻击成功,会将自身传到对方机器并 执行病毒程序,然后在C:\WINDOWS目录下产生名为avserve.exe的病毒体,继续 攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒。
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
(2)感染病毒后的症状
ndows\CurrentVersion\Run] “WINDOWS SYSTEM”= botzor.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\RunServices] “WINDOWS SYSTEM”= botzor.exe 这样,在Windows启动时,病毒就可以自动执行,如图 所示。
• 利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会 导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的 缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在 lsass.exe中溢出,可以获取管理员的权限,执行任意指令。
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
• 出现LSA Shell 服务异常对话框,如图所示。 接着出现一分钟后重启计算机的“系统关机” 对话框,如图所示。
LSA Shell 服务异常对话框
“系统关机”对话框
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
• 病毒如果攻击成功,则会占用大量系统资源,使CPU 占用率达到100%,出现计算机运行异常缓慢的现象。
8.2.1 任务一 “冲击波”、 “震荡波”和“极速波”
病毒
4. “冲击波”、“震荡波”和“极速波”3种病毒 的比较
(1)利用漏洞速度比较 (2)传播能力比较 (3)病毒危害性比较 (4)嚣张程度比较