网吧安全与病毒防御

2019年10月2日3时44分计算机网络安全基础计算机病毒的防治本章主要内容：1．计算机病毒2．计算机病毒的传播3．计算机病毒的特点及破坏行为4．宏病毒及网络病毒5．病毒的预防、检查和清除6．病毒防御解决方案2019年10月2日3时44分计算机网络安全基础什么是计算机病毒计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。通常，计算机病毒可分为下列几类。（1）文件病毒。（2）引导扇区病毒。（3）多裂变病毒。（4）秘密病毒。（5）异形病毒。（6）宏病毒。2019年10月2日3时44分计算机网络安全基础计算机病毒的传播计算机病毒的由来计算机病毒是由计算机黑客们编写的，这些人想证明它们能编写出不但可以干扰和摧毁计算机，而且能将破坏传播到其它系统的程序。2019年10月2日3时44分计算机网络安全基础6.2计算机病毒的传播6.2.2计算机病毒的传播计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。病毒一旦进入系统以后，通常用以下两种方式传播：（1）通过磁盘的关键区域；（2）在可执行的文件中。2019年10月2日3时44分计算机网络安全基础6.2计算机病毒的传播6.2.3计算机病毒的工作方式一般来说，病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。1．感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染。（1）引导扇区病毒2019年10月2日3时44分计算机网络安全基础6.2计算机病毒的传播（2）文件型病毒文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。2019年10月2日3时44分计算机网络安全基础6.2计算机病毒的传播覆盖型文件病毒的一个特点是不改变文件的长度，使原始文件看起来非常正常。前依附型文件病毒将自己加在可执行文件的开始部分，而后依附型文件病毒将病毒代码附加在可执行文件的末尾。伴随型文件病毒为.exe文件建立一个相应的含有病毒代码的.com文件。2019年10月2日3时44分计算机网络安全基础6.2计算机病毒的传播2．变异变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。3．触发不少计算机病毒为了能在合适的时候从事它的见不得人的勾当，往往需要预先设置一些触发的条件，并使之先置于未触发状态。2019年10月2日3时44分计算机网络安全基础6.2计算机病毒的传播4．破坏修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。5．高级功能病毒计算机病毒逃避检测，躲开病毒扫描和反病毒软件。多态病毒特点能变异，新病毒都与上一代有差别，每个新病毒都各不相同。2019年10月2日3时44分计算机网络安全基础6.3计算机病毒的特点及破坏行为6.3.1计算机病毒的特点病毒有以下几个主要特点。1．刻意编写人为破坏2．自我复制能力3．夺取系统控制权4．隐蔽性5．潜伏性6．不可预见性2019年10月2日3时44分计算机网络安全基础6.3计算机病毒的特点及破坏行为6.3.2计算机病毒的破坏行为（1）攻击系统数据区。硬盘主引导扇区、Boot扇区、FAT表、文件目录。（2）攻击文件。删除、改名、替换内容、丢失簇或对文件加密。（3）攻击内存。大量占用、改变内存总量、禁止分配和蚕食内存等。（4）干扰系统运行，使运行速度下降。（5）干扰键盘、喇叭或屏幕。（6）攻击CMOS。系统时钟、磁盘类型和内存容量等，乱写某些主板BIOS芯片，损坏硬盘。（7）干扰打印机。如假报警、间断性打印或更换字符。（8）网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。2019年10月2日3时44分计算机网络安全基础6.4宏病毒及网络病毒6.4.1宏病毒所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。1．宏病毒的行为和特征所谓“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。（1）宏病毒行为机制Word模式定义出一种文件格式，将文档资料以及该文档所需要的宏混在一起放在后缀为.doc的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方法。2019年10月2日3时44分计算机网络安全基础（2）宏病毒特征①宏病毒会感染.doc文档和.dot模板文件。②宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。③多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏。④宏病毒中总是含有对文档读写操作的宏命令。⑤宏病毒在.doc文档、.dot模板中以.BFF（BinaryFileFormat）格式存放。6.4宏病毒及网络病毒2019年10月2日3时44分计算机网络安全基础6.4宏病毒及网络病毒2．宏病毒的防治和清除方法（1）使用选项“提示保存Normal模板”（2）不要通过Shift键来禁止运行自动宏（3）查看宏代码并删除（4）使用DisableAutoMacros宏（5）使用Word97的报警设置（6）设置Normal.dot的只读属性（7）Normal.dot的密码保护2019年10月2日3时44分计算机网络安全基础6.4宏病毒及网络病毒6.4.2网络病毒1．网络病毒的特点计算机网络的主要特点是资源共享。。病毒的会在这种环境下迅速传播、再生、发作将造成比单机病毒更大的危害。它对于系统的敏感数据，一旦遭到破坏，后果就不堪设想。因此，网络环境下病毒的防治就显得更加重要了。病毒入侵网络的主要途径是通过工作站传播到服务器硬盘，再由服务器的共享目录传播到其它工作站。2019年10月2日3时44分计算机网络安全基础6.4宏病毒及网络病毒2．病毒在网络上的传播与表现大多数公司使用局域网文件服务器，用户直接从文件服务器复制已感染的文件。因特网是文件病毒的载体。引导病毒在网络服务器上的表现：如果网络服务器计算机是从一块感染的软盘上引导的，那么网络服务器就可能被引导病毒感染。2019年10月2日3时44分计算机网络安全基础6.4宏病毒及网络病毒3．专攻网络的GPI病毒4．电子邮件病毒对电子邮件系统进行病毒防护可从以下几个方面着手。（1）使用优秀的防毒软件对电子邮件进行专门的保护（2）使用防毒软件同时保护客户机和服务器（3）使用特定的SMTP杀毒软件2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除6.5.1病毒的预防通过采取技术上和管理上的措施，计算机病毒是完全可以防范的。（1）对新购置的计算机系统用检测病毒软件检查已知病毒，用人工检测方法检查未知病毒。（2）新购置的硬盘或出厂时已格式化好的软盘可能有病毒。对硬盘可以进行检测或进行低级格式化，因为对硬盘只做DOS的Format格式化是不能去除主引导区（分区表扇区）病毒的。（3）新购置的计算机软件也要进行病毒检测。（4）在保证硬盘无病毒的情况下，能用硬盘引导启动的，尽量不要用软盘去启动。（5）很多PC机可以通过设置CMOS参数，使启动时直接从硬盘引导启动。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除（6）定期与不定期地进行磁盘文件备份工作。（7）对于软盘，要尽可能将数据和程序分别存放，装程序的软盘要进行写保护。（8）在别人的机器上使用过自己的已打开了写保护的软盘，再在自己的机器上使用，就应进行病毒检测。（9）应保留一张写保护的、无病毒的并带有各种命令文件的系统启动软盘，用于清除病毒和维护系统。（10）用Bootsafe等实用程序或用Debug编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作，在进行系统维护和修复工作时可作为参考。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除（11）对于多人共用一台计算机的环境，应建立登记上机制度，做到使问题能尽早发现，有病毒能及时追查、清除，不致扩散。（12）启动Novell网或其它网络的服务器时，一定要坚持用硬盘引导启动，否则在受到引导扇区型病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到连接整个网络的中枢。（13）在网络服务器安装生成时，应将整个文件系统划分成多文件卷系统，而不是只划分成不区分系统、应用程序和用户独占的单卷文件系统。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除（14）安装服务器时应保证没有病毒存在，即安装环境不能带病毒，而网络操作系统本身不感染病毒。（15）网络系统管理员应将SYS系统卷设置成对其它用户为只读状态，屏蔽其它网络用户对系统卷除读取以外的其它所有操作，如修改、改名、删除、创建文件和写文件等操作权限。（16）在应用程序卷安装共享软件时，应由系统管理员进行，或由系统管理员临时授权进行。（17）系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描，发现异常情况应及时处理，不使其扩散。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除（18）系统管理员的口令应严格管理，为了防止泄漏，要定期或不定期地进行更换，保护网络系统不被非法存取、感染上病毒或遭受破坏。（19）在网络工作站上采取必要的抗病毒技术措施，可使网络用户一开机就有一个良好的上机环境，不必再担心来自网络内和网络工作站本身病毒。（20）在服务器上安装LanProtect等防病毒系统。实践表明，这些简单易行的措施是非常有效的。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除作为应急措施，网络系统管理员应牢记下列几条。（1）隔离断网操作，清查病毒。（2）对于传播速度快的恶性病毒要请求专业人员处理。（3）注意观察下列现象：●文件的大小和日期是否变化；●系统启动速度是否比平时慢；●不做写操作时出现“磁盘有写保护”信息；●对贴有写保护的软盘操作时声音很大；●系统运行速度异常慢；●用MI检查内存发现不该驻留的程序已驻留；●键盘、打印或显示有异常现象；●有特殊文件自动生成；●磁盘空间自动产生坏簇或磁盘空间减少；●文件莫名其妙地丢失；●系统异常死机的次数增加。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除6.5.2病毒的检查计算机病毒要进行传染，必然会留下痕迹。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。1．病毒的检查方法检测的原理主要是基于下列四种方法比较法搜索法特征字识别法分析法2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除（1）比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。（2）搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。（3）计算机病毒特征字的识别法计算机病毒特征字的识别法是基于特征串扫描法发展起来的一种新方法。（4）分析法本方法由专业反病毒技术人员使用。分析法的目的在于：①确认是否含有病毒②确认病毒的类型和种类③搞清结构，提取样本数据④分析病毒代码2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除2．病毒扫描程序这种程序找到病毒的主要办法之一就是寻找扫描串，也被称为病毒特征。3．完整性检查程序检查文件与系统文件4．行为封锁软件该软件的目的是防止病毒的破坏。2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除6.5.3计算机病毒的免疫通过一定的方法，使计算机自身具有防御计算机病毒感染的能力。1．建立程序的特征值档案2．严格内存管理3．中断向量管理2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除6.5.4计算机感染病毒后的恢复1．防止和修复引导记录病毒改变计算机的磁盘引导顺序，避免从软盘引导。必须从软盘引导时，应该确认该软盘无毒。（1）修复感染的软盘（2）修复感染的主引导记录（3）利用反病毒软件修复2．防止和修复可执行文件病毒2019年10月2日3时44分计算机网络安全基础6.5病毒的预防、检查和清除6.5.5计算机病毒的清除1．使用D