防病毒系统讲解课件.ppt

计算机病毒防治技术
第一部分 病毒发展趋势
*
病毒发展的第一阶段：
偶然性
无意识
无破坏
*
病毒发展的第二阶段：
破坏性
传染性
 原来的程序不作修改）
入侵型病毒（病毒本身嵌入到目标程序中，很 难发现、清除，也很难编写）
源码型病毒（利用网络脚本编写，放在电子邮 件的附件或HTML页中，通过漏洞
感染并执行。）
*
病毒分类
按病毒特征分类
蠕虫类病毒
黑客类病毒
木马类病毒
宏病毒
脚本病毒
*
*
各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到“元凶”誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见“元凶”的踪影，其实这未必就是病毒在作怪。
判断中毒
症状病毒的入侵的症状（一）
经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。
*
症状病毒的入侵的症状（二）
系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为的误删除等。
*
症状病毒的入侵的症状（三）
文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）.
*
症状病毒的入侵的症状（四）
经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。
*
症状病毒的入侵的症状（五）
软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。
*
症状病毒的入侵的症状（六）
出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。
*
症状病毒的入侵的症状（八）
键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。
*
症状病毒的入侵的症状（九）
系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
*
症状病毒的入侵的症状（十）
系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。
*
通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。
*
反病毒技术的发展
第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力；（简单特征码）
第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；（广谱特征码）
第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；（行为判断）
第四代反病毒技术基于病毒家族体系的命名规则，基于多位 CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进解毒技术，分布处理技术，安全网管技术； （虚拟机+行为模式）
*
*
安全建议
建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。
关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处