1 1/59/59讲解人：解人：电 话：E-mailE-mail：2 2/59/59议程内容议程内容 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立3 3/59/59本章概要本章概要 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势4 4/59/59计算机病毒的概念从广从广义义上上讲讲，凡是能，凡是能够够引起引起计计算机故障，破坏算机故障，破坏计计算机数据的程序算机数据的程序统统称称为为“计计算机病毒算机病毒”。据此定。据此定义义，诸诸如蠕虫、木如蠕虫、木马马、恶恶意意软软件件此此类类程序等均可称程序等均可称为为“计计算机病毒算机病毒”。计计算机病毒特性：算机病毒特性：破坏性、破坏性、隐隐蔽性、蔽性、传传染性、潜伏性。染性、潜伏性。“ “计计算机病毒，是指算机病毒，是指编编制或者在制或者在计计算机程序中插入的破坏算机程序中插入的破坏计计算机功能或者算机功能或者毁毁坏数据，影响坏数据，影响计计算机使用，并能自我算机使用，并能自我传传染的一染的一组计组计算机指令或者程序算机指令或者程序代代码码。”中中华华人民共和国人民共和国计计算机信息系算机信息系统统安安全保全保护护条例条例第二十八条第二十八条(1994(1994年年2 2月月1818日中日中华华人民共和国国人民共和国国务务院令院令147147号号发发布布) )5 5/59/59计算机病毒的特性n破坏性破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。n隐蔽性计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。6 6/59/59计算机病毒的特性l传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。l潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。7 7/59/59计算机病毒的工作流程一次非授权的加载，病毒进入内存病毒引导模块被执行修改系统参数，引入传染和表现模块监视系统运行传染条件是否满足触发条件是否满足进行传染进行表现8 8/59/59一、源代一、源代码码嵌入攻嵌入攻击击型型 这类这类病毒入侵的主要是高病毒入侵的主要是高级语级语言的源程序，病毒是在源程序言的源程序，病毒是在源程序编译编译之前插入病毒代之前插入病毒代码码，最后随源程序一起被最后随源程序一起被编译编译成可成可执执行文件，行文件，这样刚这样刚生成的就是生成的就是带带毒文件，毒文件，这这种方式种方式难难度度较较大。大。 二、代二、代码码取代攻取代攻击击型型这类这类病毒主要是用它自身的病毒代病毒主要是用它自身的病毒代码码取代某个程序的整个或部分模取代某个程序的整个或部分模块块。这类这类病毒病毒针对针对性性较强较强，主要攻，主要攻击击特定的程序，不易特定的程序，不易发现发现，并且清除也，并且清除也较较困困难难。 三、系三、系统统修改入侵型修改入侵型 这类这类病毒主要是用自身程序覆盖或修改系病毒主要是用自身程序覆盖或修改系统统中的某些文件，来中的某些文件，来调调用或替代操作用或替代操作系系统统中的部分功能。由于是直接感染系中的部分功能。由于是直接感染系统统危害危害较较大，也是最常大，也是最常见见的一种，多的一种，多为为文件型病文件型病毒。毒。 四、外壳寄生入侵型四、外壳寄生入侵型 这类这类病毒通常是将其附加在正常程序的病毒通常是将其附加在正常程序的头头部或尾部，相当于部或尾部，相当于给给程序添加了一个外程序添加了一个外壳，壳，在被感染的程序在被感染的程序执执行行时时，病毒代，病毒代码码先被先被执执行，然后才将正常程序行，然后才将正常程序调调入内存。目前大多入内存。目前大多数数文件型的病毒属于文件型的病毒属于这这一一类类。计算机病毒的入侵方式9 9/59/59计算机病毒的传播方式一、通一、通过过因特网因特网传传播播1.1.电电子子邮邮件件2.2.浏览浏览网网页页和下和下载软载软件件3.3.即即时时通通讯软讯软件件4.4.网网络络游游戏戏二、通二、通过过局域网局域网传传播播1.1.文件共享文件共享2.2.系系统统漏洞攻漏洞攻击击三、通三、通过过移移动动存存储设备传储设备传播播1.1.软盘软盘2.2.光光盘盘3.3.移移动动硬硬盘盘4.U4.U盘盘( (含数含数码码相机、相机、MP3MP3等等) )四、通四、通过过无无线线网网络络或或设备传设备传播播1.1.智能手机、智能手机、PDAPDA2.2.无无线线通道通道1010/59/59计算机病毒的分类与命名(Backdoor.RmtBomb.12(Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15)Trojan.Win32.SendIP.15)1 1、系、系统统病毒：病毒：Win32Win32、PEPE、Win95Win95等；等；（感染（感染WindowsWindows系系统统的的.exe.exe、.dll .dll 等文件，并利用等文件，并利用这这些文件些文件进进行行传传播）播）2 2、蠕虫病毒：、蠕虫病毒：WormWorm；（通（通过过网网络络攻攻击击或者系或者系统统漏洞漏洞进进行行传传播，往往播，往往还发还发送送带带毒毒邮邮件，阻塞网件，阻塞网络络）3 3、脚本病毒：、脚本病毒：ScriptScript。VBS/JSVBS/JS；（使用脚本（使用脚本语语言言编编写，通写，通过过网网页进页进行的行的传传播）播）4 4、木、木马马/ /黑客病毒：黑客病毒：Trojan/HackTrojan/Hack。PSW/PWDPSW/PWD；（木（木马马侵入系侵入系统统后后隐隐藏，并向外泄露用藏，并向外泄露用户户信息，信息，而黑客病毒而黑客病毒则则有可有可视视界面，能界面，能对对用用户电脑远户电脑远程控制，两者往程控制，两者往往成往成对对出出现现，趋趋于整合）于整合）5 5、后、后门门病毒：病毒：BackdoorBackdoor；（通（通过过网网络传络传播，在系播，在系统统上开后上开后门门，给给用用户户的的电脑带电脑带来安全来安全隐隐患）患）6 6、种植程序病毒：、种植程序病毒：DropperDropper；（运行（运行时释时释放出一个或多个新的病毒，由新放出一个或多个新的病毒，由新释释放的病毒放的病毒产产生破坏）生破坏）7 7、捆、捆绑绑机病毒：机病毒：BinderBinder；（将病毒与一些（将病毒与一些应应用程序捆用程序捆绑为绑为表面正常的文件，表面正常的文件，执执行行时时病毒病毒隐隐藏运行）藏运行）8 8、宏病毒：、宏病毒：MacroMacro、Word(97)Word(97)、Excel(97)Excel(97)等；等；（感染（感染OFFICEOFFICE文档，通文档，通过过通用模板通用模板进进行行传传播）播）（1 1）破坏性程序：）破坏性程序：HarmHarm；（2 2）玩笑型病毒：）玩笑型病毒：JokeJoke；9 9、其他、其他（3 3）拒）拒绝绝攻攻击类击类：DoSDoS；（4 4）溢出）溢出类类病毒：病毒：ExploitExploit；（5 5）黑客工具）黑客工具类类：HackToolHackTool；病毒命名的一般格式病毒命名的一般格式为为： . . . . 常常见见病病毒毒前前缀缀1111/59/59本章概要本章概要 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势1212/59/59计算机病毒产生的根源 计计算机系算机系统统的复的复杂杂性和脆弱性；性和脆弱性； 各种矛盾激化、各种矛盾激化、经济经济利益利益驱驱使；使； 炫耀、玩笑、炫耀、玩笑、恶恶作作剧剧或是或是报报复；复；1313/59/59计算机病毒的发展1414/59/59计算机病毒的危害 劫持劫持IEIE浏览浏览器，器，篡篡改首改首页页及一些默及一些默认项认项目（如默目（如默认认搜索）搜索） ；修改修改HostHost文件，文件，导导致用致用户户不能不能访问访问某些网站，或被引某些网站，或被引导导到到“钓鱼钓鱼网站网站”；添加添加驱动驱动保保护护，使用，使用户户无法无法删删除某些除某些软软件件 ；修改系修改系统统启启动项动项目，使某些目，使某些恶恶意意软软件可以随着系件可以随着系统统启启动动；在用在用户计户计算机上开置后算机上开置后门门，黑客可以通，黑客可以通过过此后此后门远门远程控制中毒机器，程控制中毒机器，组组成僵尸网成僵尸网络络，对对外外发动发动攻攻击击、发发送垃圾送垃圾邮邮件、点件、点击击网网络络广告等牟利广告等牟利 ；采用映像劫持技采用映像劫持技术术，使多种，使多种杀杀毒毒软软件和安全工具无法使用件和安全工具无法使用 ；记录记录用用户户的的键盘键盘、鼠、鼠标标操作，窃取操作，窃取银银行卡、网游密行卡、网游密码码等信息等信息 ；记录记录用用户户的的摄摄像像头头操作，可以从操作，可以从远远程程窥窥探探隐隐私私 ；使用使用户户的机器运行的机器运行变变慢，大量消耗系慢，大量消耗系统资统资源源 ；窃取用窃取用户电脑户电脑数据、信息；数据、信息；1515/59/59本章概要本章概要 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势1616/59/59病毒的数量激增2010年上半年，瑞星“云安全”系统共截获新增病毒样本4221366个。在病毒分类统计中，木马病毒共有2344637个，占总体55.54%，紧随其后的依次为“后门病毒”、“蠕虫病毒”、“Rootkit”。1717/59/592010挂马网站类型1818/59/59黑客/病毒产业链分析1919/59/59 混合式威混合式威胁胁已成主流，基于漏洞的攻已成主流，基于漏洞的攻击击防不防不胜胜防防传传播方式尽其所能，网播方式尽其所能，网页页与与U U盘盘成成为为重要途径重要途径自我防御能力增自我防御能力增强强团队团队化特征明化特征明显显主要主要针对针对基基础础网网络应络应用用利益利益驱动驱动商商业业化运作化运作区域化特征明区域化特征明显显并且攻并且攻击击目目标标明确明确 加壳技加壳技术术普遍普遍应应用用主主动动攻攻击击安全安全类软类软件件破坏系破坏系统统功能属性功能属性展开展开变变种数量与速度种数量与速度竞赛竞赛 电电子子邮邮件件网网页浏览页浏览网上网上银银行和行和证证券券网网络络游游戏戏 网网络络下下载载现代病毒的显著特点2020/59/59议程内容议程内容 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立2121/59/59本章概要本章概要 第第1节节 计算机病毒分类介绍计算机病毒分类介绍 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解2222/59/59早期病毒DOS病毒 概念：概念：DOSDOS病毒指病毒指针对针对DOSDOS操作系操作系统统开开发发的病毒，是一种只能在的病毒，是一种只能在DOSDOS环环境下运行、境下运行、传传染的染的计计算机病毒，是最早出算机病毒，是最早出现现的的计计算机病毒。目前，几乎没有新制作的算机病毒。目前，几乎没有新制作的DOSDOS病毒，由于病毒，由于WindowsWindows系系统统的普及，的普及，DOSDOS病毒几乎病毒几乎绝绝迹，但是有相当一部分可感染迹，但是有相当一部分可感染Windows9XWindows9X系系统统并并传传播，或者播，或者导导致系致系统统死机或程序运行异常。死机或程序运行异常。 分分类类： 引引导导型：指感染（主）引型：指感染（主）引导导扇区的病毒，如扇区的病毒，如“米氏病毒米氏病毒”； 文件型：指感染文件型：指感染DOSDOS可可执执行文件（行文件（.EXE.EXE、.COM.COM、.BAT.BAT）的病毒，如）的病毒，如“黑色星期五黑色星期五”； 混合型：指既感染（主）引混合型：指既感染（主）引导导，又感染文件的病毒。如：，又感染文件的病毒。如：“幽灵幽灵”病毒、病毒、NatasNatas病毒等；病毒等； 代表：代表：耶路撒冷（耶路撒冷（JerusalemJerusalem）、）、米开朗基米开朗基罗罗（MichelangeloMichelangelo）、）、MonkeyMonkey、MusicBugMusicBug等；等； 危害：危害：DOSDOS时时期的病毒种期的病毒种类类相当繁相当繁杂杂，而且不断有人改写，而且不断有人改写现现有的病毒，到了后期甚至有人写出所有的病毒，到了后期甚至有人写出所谓谓的的“双体引擎双体引擎”，可以把一种病毒，可以把一种病毒创创造出更多元化的面貌。而病毒造出更多元化的面貌。而病毒发发作的症状更是各作的症状更是各式各式各样样，有的会有的会删删除文件、有的会除文件、有的会FormatFormat硬硬盘盘、有的、有的还还会在屏幕上会在屏幕上显显出各式各出各式各样样的的图图形与音效。形与音效。但是，但是，现现在在对对于于这这些些DOSDOS时时期的古董期的古董级级病毒，大部分病毒，大部分杀杀毒毒软软件件都可以都可以轻轻易地易地扫扫除，除，杀伤杀伤力已力已经经大不如前了。大不如前了。2323/59/59Office杀手宏病毒 概念：（概念：（1 1）宏，）宏，译译自自MacroMacro，是，是OFFICEOFFICE的一个特殊功能。它利用的一个特殊功能。它利用简单简单的的VBVB语语法，法，把一系列常用操作集成在一小段程序内，需要重复把一系列常用操作集成在一小段程序内，需要重复时时运行宏即可，运行宏即可，实现实现文档中文档中一些任一些任务务的自的自动动化。默化。默认认OfficeOffice将宏存将宏存贮贮在通用模板在通用模板Normal.dotNormal.dot中，中，该该特点特点为为宏宏病毒利用病毒利用 。（2 2）宏病毒是一种寄存在文档或模板的宏中的）宏病毒是一种寄存在文档或模板的宏中的计计算机病毒。一旦打开算机病毒。一旦打开这样这样的文档，宏病毒就会被的文档，宏病毒就会被激活，激活，转转移到移到计计算机并算机并驻驻留在留在 NormalNormal模板上。自此所有自模板上。自此所有自动动保存的文档都会保存的文档都会“感染感染”上上该该宏病毒，其他用宏病毒，其他用户户打开了染毒文档，宏病毒又会打开了染毒文档，宏病毒又会转转移到其他移到其他计计算机。算机。 特点：制作、特点：制作、变变种方便，种方便，隐隐蔽性蔽性强强，传传播迅速，破坏可能性极大，但兼容性不高等。播迅速，破坏可能性极大，但兼容性不高等。 危害：不能正常打印、改危害：不能正常打印、改变变文件存文件存储储、将文件改名、乱复制文件、封、将文件改名、乱复制文件、封闭闭菜菜单单、删删除除选项选项、无法正常、无法正常编辑编辑、只能存只能存为为模板格式、破坏数据文档、模板格式、破坏数据文档、设设置密置密码码、调调用系用系统统命令造成破坏。命令造成破坏。 防治防治：（：（1 1）将常用的将常用的WordWord模板文件改模板文件改为为只只读读属性；属性； （2 2）禁止自）禁止自动执动执行宏功能（行宏功能（winword.exe/mDisableAutoMacroswinword.exe/mDisableAutoMacros）；）； 处处理理：（：（1 1）应应急急时时可以用写字板或可以用写字板或WORD6.0WORD6.0将文档打开并另外存将文档打开并另外存储储。（2 2）进进入入“宏管理器宏管理器”，在，在“宏有效范宏有效范围围”列表中将不明的自列表中将不明的自动执动执行宏行宏删删除；除；（3 3）首）首选选用最新版的反病毒用最新版的反病毒软软件件查杀查杀；2424/59/59系统型病毒的存储结构一、一、 基本概念基本概念系系统统型病毒是指型病毒是指专门传专门传染操作系染操作系统统的启的启动动扇区，主要是指扇区，主要是指传传染硬染硬盘盘主引主引导导扇区扇区和和DOSDOS引引导导扇区的病毒。扇区的病毒。二、二、 存存储结储结构构此此类类病毒程序被划分病毒程序被划分为为两部分，两部分， 第一部分存放在第一部分存放在磁磁盘盘引引导导扇区中，第二部分扇区中，第二部分则则存放在磁存放在磁盘盘其他的扇区中。其他的扇区中。三、三、 简简要要说说明明1.1.当病毒感染磁当病毒感染磁盘时盘时，首先根据，首先根据文件分配表文件分配表( (FAT)FAT)表找到表找到一个或一段一个或一段连续连续的空白簇；的空白簇；2.2.然后将病毒程序的第二部分以及磁然后将病毒程序的第二部分以及磁盘盘原引原引导导扇区的内容写入扇区的内容写入该该空白簇，空白簇，并立即将并立即将这这些簇在些簇在FATFAT中登中登记项记项的内容的内容强强制制标记为标记为坏簇（坏簇（FF7HFF7H）；）； 3.3.接着将病毒程序的第一部分写入磁接着将病毒程序的第一部分写入磁盘盘引引导导扇区，并将病毒程序的第二部分所在簇扇区，并将病毒程序的第二部分所在簇的簇号或第一扇区的的簇号或第一扇区的逻辑逻辑扇区号扇区号记录记录在在磁磁盘盘偏移地址偏移地址01F901F9处处。四、四、 处理：处理：读取偏移地址读取偏移地址01F901F9的地址，将原原引导扇区的内容恢复并删除其第二部分病毒数据即可。的地址，将原原引导扇区的内容恢复并删除其第二部分病毒数据即可。2525/59/59文件型病毒的存储结构一、基本概念一、基本概念文件型病毒是指文件型病毒是指专门专门感染系感染系统统中的可中的可执执行文件行文件（即即扩扩展名展名为为.COM.COM、.EXE.EXE）的病）的病毒。毒。二、二、 磁磁盘盘存存储结储结构构此此类类病毒程序没有独立占用磁病毒程序没有独立占用磁盘盘上的空白簇，而是附着在被感染文件的首部、上的空白簇，而是附着在被感染文件的首部、尾部、尾部、中部或其他部位。病毒入侵后一般会使宿主程序占用的磁中部或其他部位。病毒入侵后一般会使宿主程序占用的磁盘盘空空间间增加。增加。三、三、 简简要要说说明明绝绝大多数文件型病毒属于外壳病毒，大多数文件型病毒属于外壳病毒，外壳（即病毒程序）与内核（即宿主程序）外壳（即病毒程序）与内核（即宿主程序）之之间间构成一种构成一种层层次化次化结结构，加构，加载载关系关系为为先先运行外壳，再跳运行外壳，再跳转转去去执执行内核。可行内核。可执执行文行文件的外壳一般具有相件的外壳一般具有相对对独立的功能和独立的功能和结结构，构，去掉外壳将不会影响内核部分的运行。去掉外壳将不会影响内核部分的运行。2626/59/59互联网瘟疫蠕虫病毒特性：特性：蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如一般不利用文件寄生，只存在于内存中，对网络造成拒绝服务，以及和具有自己的一些特征，如一般不利用文件寄生，只存在于内存中，对网络造成拒绝服务，以及和黑客技术相结合，等等。具有超强的自我复制能力和传播性、特定的触发性、一定的潜伏性和很大黑客技术相结合，等等。具有超强的自我复制能力和传播性、特定的触发性、一定的潜伏性和很大的破坏性。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在的破坏性。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！短短的时间内蔓延整个网络，造成网络瘫痪！ 分类：一种是面向企业用户和内部局域网，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成分类：一种是面向企业用户和内部局域网，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以瘫痪性的后果。以“ “红色代码红色代码” ”、“ “尼姆达尼姆达” ”以及以及“ “SQLSQL蠕虫王蠕虫王” ”为代表。为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。虫病毒、求职信病毒为代表。 传传播播过过程：程： （1 1）扫扫描：由蠕虫的描：由蠕虫的扫扫描功能模描功能模块负责块负责探探测测存在漏洞的主机。当程序向某个主机存在漏洞的主机。当程序向某个主机发发送探送探测测漏洞的信漏洞的信息息并收到成功的反并收到成功的反馈馈信息后，就得到一个可信息后，就得到一个可传传播的播的对对象。象。 （2 2）攻）攻击击：攻：攻击击模模块块按漏洞攻按漏洞攻击击步步骤骤找到找到对对象，取得象，取得该该主机主机权权限，限，获获得一个得一个shellshell。 （3 3）复制：复制模）复制：复制模块块通通过过原主机和新主机的交互将蠕虫程序复制到新主机并启原主机和新主机的交互将蠕虫程序复制到新主机并启动动。 2727/59/59隐藏的危机木马病毒特点特点：它是一种基于它是一种基于远远程控制的黑客工具，具有程控制的黑客工具，具有隐隐蔽性和非授蔽性和非授权权性特点。指通性特点。指通过过一段特定的程序（木一段特定的程序（木马马程序）来控制另一台程序）来控制另一台计计算机。木算机。木马马一旦运行并被控制端一旦运行并被控制端连连接，其控制端将享有服接，其控制端将享有服务务端的大部端的大部分的系分的系统统操作操作权权限。限。结结构：构：（1 1）控制端程序：控制端用以）控制端程序：控制端用以远远程控制服程控制服务务端程序端程序 ；（2 2）木）木马马程序：潜入服程序：潜入服务务端内部端内部获获取其操作取其操作权权限程序限程序 ；（3 3）木）木马马配置程序：配置程序：设设置木置木马马程序参数的程序，作用是程序参数的程序，作用是伪伪装木装木马马和信息反和信息反馈馈；伪伪装方式：装方式：修改修改图标图标、捆、捆绑绑文件、出文件、出错显错显示、定制端口、自我示、定制端口、自我销毁销毁、木、木马马更名等；更名等；特点：特点：（1 1）木）木马马”程序是目前比程序是目前比较较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意刻意”地去感染其他文件，它通地去感染其他文件，它通过过将自身将自身伪伪装从而吸引用装从而吸引用户户下下载载并并执执行，向施种木行，向施种木马马者者提供打开被种者提供打开被种者电脑电脑的的门户门户，使施种者可以破坏数据、窃取信息，使施种者可以破坏数据、窃取信息，远远程操控被种者的程操控被种者的电脑电脑。（2 2）“木木马马”与与计计算机网算机网络络中常常要用到的中常常要用到的远远程控制程控制软软件有些相似，但由于件有些相似，但由于远远程控制程控制软软件是件是“善意善意”的控制，因此通常不具有的控制，因此通常不具有隐隐蔽性；蔽性；“木木马马”则则完全相反，木完全相反，木马马要达到的是要达到的是“偷偷窃窃”性的性的远远程控制，如果没有很程控制，如果没有很强强的的隐隐蔽性的蔽性的话话，那就是那就是“毫无价毫无价值值”的。的。 2828/59/59特种木马简介通过网络、U盘进行传播感染局域网内服务器及主机自动打包.doc、.excel、.ppt、.pdf等文档文件通过网络将数据发至木马制作人2929/59/59本章概要本章概要 第第1节节 计算机病毒分类介绍与实例分析计算机病毒分类介绍与实例分析 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解3030/59/59 前言前言杀杀毒毒软软件的工作方式一般是特征件的工作方式一般是特征码码匹配匹配杀杀毒，即通毒，即通过过分析病毒的特征分析病毒的特征码码来判断病来判断病毒。毒。而病毒只有能而病毒只有能够够逃避逃避过杀过杀毒毒软软件的件的查杀查杀，才能，才能顺顺利利实现实现其入侵系其入侵系统统、盗取用、盗取用户户私密信息私密信息的目的，的目的，免免杀杀病毒病毒则应则应运而生。运而生。” “ “免杀免杀” ”概念概念“免免杀杀”，顾顾名思名思义义就是逃避就是逃避杀杀毒毒软软件的件的查杀查杀，目前用得比，目前用得比较较多的方法主要有三种，多的方法主要有三种，分分别别是是“加花指令加花指令”、“加壳加壳”和和“修改特征修改特征码码”，通常黑客，通常黑客们们会会针对针对不同的情况来不同的情况来运用不同的免运用不同的免杀杀方法。方法。关于病毒特征代关于病毒特征代码码反病毒厂商截反病毒厂商截获获到一个病毒后，将会提取到一个病毒后，将会提取该该病毒中比病毒中比较较关关键键的一段代的一段代码码作作为为辨辨认认该该木木马马的特征的特征值值，在，在杀杀毒毒软软件件进进行行杀杀毒的毒的过过程中把它拿出来和某具体的文件做比程中把它拿出来和某具体的文件做比对对。就和。就和我我们们辨辨认认人一人一样样，把某人的相貌特征，把某人的相貌特征记录记录下来，比如：丹下来，比如：丹凤凤眼、瓜子眼、瓜子脸脸、马马尾尾辫辫等，等，在下次在下次见见到此人到此人时时一眼就可以一眼就可以认认出来。出来。病毒“免杀”技术3131/59/59 免免杀杀技技术术之一：加花指令之一：加花指令加花是病毒免加花是病毒免杀杀常用的手段，加花的原理就是通常用的手段，加花的原理就是通过过添加加花指令（一些添加加花指令（一些垃圾指令，垃圾指令，类类型加型加1 1减减1 1之之类类的无用的无用语语句），从而干句），从而干扰杀扰杀毒毒软软件正常的件正常的检测检测。这这是是“免免杀杀”技技术术中中最初最初级级的的阶阶段。段。免免杀杀技技术术之二：加壳之二：加壳如果如果说说程序是一程序是一张张烙烙饼饼，那壳就是包装袋，可以，那壳就是包装袋，可以让让你你发现发现不了里面的不了里面的东东西。常西。常见见的壳容易被的壳容易被识别识别，所以病毒加壳往往会使用到生僻壳、，所以病毒加壳往往会使用到生僻壳、强强壳、新壳、壳、新壳、伪伪装壳、或装壳、或者加者加多重壳等，干多重壳等，干扰杀扰杀毒毒软软件正常的件正常的检测检测。免免杀杀技技术术之三：修改特征之三：修改特征码码病毒加壳病毒加壳虽虽然可以逃然可以逃过过一些一些杀杀毒毒软软件的件的查杀查杀，但是却逃不，但是却逃不过过内存内存杀杀毒，毒，因此修改因此修改特征特征码码成成为为逃避逃避杀杀毒毒软软件内存件内存查杀查杀的唯一的唯一办办法。要修改特征法。要修改特征码码，就要先定位，就要先定位杀杀毒毒软软件件的病毒的病毒库库所定位的特征所定位的特征码码，这这有一定有一定难难度，但是度，但是现现在有很多工具可以定位出特征在有很多工具可以定位出特征码码，只需只需简单简单修改就可完成修改就可完成“免免杀杀病毒病毒”的制作了。的制作了。病毒“免杀”技术3232/59/59本章概要本章概要 第第1节节 计算机病毒分类介绍与实例分析计算机病毒分类介绍与实例分析 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解3333/59/59Stuxnet（超级工厂）病毒技术分析报告（超级工厂）病毒技术分析报告9月28日，瑞星率先向用户发布安全警告，“超级工厂病毒”（Stuxnet）在国内进入爆发期，目前，已有600万个人用户及近千企业用户遭到此病毒攻击。该病毒利用西门子自动控制系统（SieMensSimaticWincc）的默认密码安全绕过漏洞，读取数据库中储存的数据，并发送给注册地位于美国的服务器。窃取数据后病毒会抹掉一些电子痕迹，所以网络管理员可能在一段时间之后才会发现曾遭到攻击。病毒窃取的资料包括：计算机名、IP地址、windows系统版本、是否安装了工控软件等。根据瑞星技术部门的分析，“超级工厂病毒”（Stuxnet）在侵入用户电脑后，会向注册地位于美国亚利桑那州的服务器发送信息，接受其指令。黑客可以利用该服务器，向中毒电脑发送“读写文件”、“删除文件”“创建进程”等多项危险命令。同时，该病毒会感染在电脑上使用的U盘，这些U盘被用到重要企业和政府机构的内网后，就会根据黑客实现发布的指令进行多种资料窃取和破坏活动。这种攻击手段，曾在许多军事黑客案例中被使用，通常被称为“U盘跳板攻击”。如果黑客发现中毒电脑安装了工控软件，就会针对其进行重点侦测和探查。从而充当进一步侵袭企业内网的工具。同时，黑客的指令也会通过U盘传递到工控系统内部，可以进行多种危险操作。3434/59/59Stuxnet（超级工厂）病毒技术分析报告（超级工厂）病毒技术分析报告Worm.Win32.Stuxnet病毒分析病毒分析病毒名称：病毒名称：Worm.Win32.Stuxnet病毒概述：病毒概述：这是一个可以通过微软MS10-046漏洞（lnk文件漏洞），MS10-061（打印服务漏洞），MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击，以获取其需要的信息。传播方式：播方式：1.通过MS10-046漏洞传播2.通过MS10-061漏洞传播3.通过共享文件夹传播4.通过MS08-067漏洞传播3535/59/59Stuxnet（超级工厂）病毒技术分析报告（超级工厂）病毒技术分析报告3636/59/59Stuxnet（超级工厂）病毒技术分析报告（超级工厂）病毒技术分析报告3737/59/59议程内容议程内容 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立3838/59/59本章概要本章概要 第第1节节 反病毒技术的发展状况和未来趋势反病毒技术的发展状况和未来趋势 第第2节节 病毒分析基础知识病毒分析基础知识 第第3节节 计算机病毒的预防和紧急手工处理计算机病毒的预防和紧急手工处理3939/59/59反病毒产品发展史80年代中期，病毒开始流行，消病毒程序软件出现1234580s末90s初，病毒数量激增，硬件防病毒卡出现90s中杀防集成化，90s末出现实时防毒的反病毒软件2000年前后，出现集中控制分布处理的网络杀毒软件2003年左右，出现具备防毒功能的硬件网关设备4040/59/59广泛使用的反病毒技术 特征码扫描技术特征码扫描技术特征码扫描技术特征码扫描技术 虚拟执行技术虚拟执行技术虚拟执行技术虚拟执行技术 实时监控技术实时监控技术实时监控技术实时监控技术 智能引擎技术智能引擎技术智能引擎技术智能引擎技术 嵌入式杀毒技术嵌入式杀毒技术嵌入式杀毒技术嵌入式杀毒技术4141/59/59瑞星的主动防御从何而来瑞星的主动防御从何而来? ?98、99版只有病毒扫描器千禧版出现简单的文件监控2001、2002版出现邮件监控、网页监控2003、2004版注册表监控、引导区监控、内存监控2005、2006、2007版增加漏洞攻击监控、IE防漏墙主动防御一场时代性的变革4242/59/59 在当今的反病毒在当今的反病毒领领域，主流的域，主流的“特征特征码查杀码查杀”技技术术存在致命弱点存在致命弱点即：即：过过分依分依赖赖于于对对新病毒的截新病毒的截获获能力和速度，能力和速度，陈陈旧而呆板的旧而呆板的“截截获获处处理升理升级级”工作模式，决定了其工作模式，决定了其永永远远滞后于病毒的出滞后于病毒的出现现和和传传播的必然性；播的必然性； 当前的网络安全形势日益严峻，混合式威胁已成为主流，基于漏洞的当前的网络安全形势日益严峻，混合式威胁已成为主流，基于漏洞的攻击攻击层出不穷，大量病毒制造者大肆展开变种数量与速度的竞赛；层出不穷，大量病毒制造者大肆展开变种数量与速度的竞赛； 利益驱动病毒商业化运作，并且攻击目标明确，主要针对各种网上利益驱动病毒商业化运作，并且攻击目标明确，主要针对各种网上交易、网络游戏、电子邮件、网页浏览与网络下载等基础网络应用；交易、网络游戏、电子邮件、网页浏览与网络下载等基础网络应用；病毒的自我防御能力普遍增强，加壳技术广泛应用，甚至主动攻击安病毒的自我防御能力普遍增强，加壳技术广泛应用，甚至主动攻击安全类软件，破坏系统的功能或属性，因此，迫切需要攻防兼备的安全防护产品；全类软件，破坏系统的功能或属性，因此，迫切需要攻防兼备的安全防护产品；为什么需要主动防御?4343/59/59瑞星主动防御架构4444/59/59行为分析行为分析行为分析判定层判定层判定层资源访问资源访问资源访问控制层控制层控制层主 动防 御资源访问资源访问资源访问扫描层扫描层扫描层HIPSHIPS层无需病毒库支持；层无需病毒库支持； 传统监控层误报率极低；传统监控层误报率极低； 行为分析层能判定未知病毒；行为分析层能判定未知病毒； 三层结构，三重过滤，三层结构，三重过滤，相互支持，优势互补。相互支持，优势互补。瑞星主动防御技术的特点4545/59/59云安全4646/59/59本章概要本章概要 第第1节节 反病毒技术的发展状况和未来趋势反病毒技术的发展状况和未来趋势 第第2节节 病毒分析基础知识病毒分析基础知识 第第3节节 计算机病毒的预防和紧急手工处理计算机病毒的预防和紧急手工处理4747/59/59一些基本的系统概念（上）一、一、进进程：程：进进程程为应为应用程序的运行用程序的运行实实例，是例，是应应用程序的一次用程序的一次动态执动态执行；行；可以可以简单简单理解理解为为系系统统当前运行的当前运行的执执行程序；行程序；当运行某程序当运行某程序时时，就，就创创建了一个容建了一个容纳该纳该程序代程序代码码及其所需及其所需动态链动态链接接库库的的进进程。程。（1 1）系）系统进统进程程 ：用于完成操作系：用于完成操作系统统的各种功能的的各种功能的进进程就是系程就是系统进统进程，它程，它们们就是就是处处于运行于运行状状态态下的操作系下的操作系统统本身，是系本身，是系统统运行所必运行所必须须的；的； （2 2）用）用户进户进程程 ：用：用户进户进程就是所有由用程就是所有由用户执户执行行应应用程序所启用程序所启动动的的进进程。其中程。其中应应用程序是用程序是由用由用户户安装的程序，安装的程序，执执行一个行一个应应用程序用程序时时可能会启可能会启动动多多个不同的个不同的进进程。程。二、二、线线程：程：ThreadsThreads，也称，也称轻轻量量进进程，指运行中的程序的程，指运行中的程序的调调度度单单位。位。线线程是程是进进程中的程中的实实体，一个体，一个进进程可程可拥拥有多个有多个线线程，程，实现实现程序的并程序的并发执发执行，行，但一个但一个线线程必程必须须有一个父有一个父进进程。程。实际实际上上线线程运行而程运行而进进程不运行，程不运行，线线程不程不拥拥有系有系统资统资源，它与父源，它与父进进程的其它程的其它线线程共享程共享该进该进程所程所拥拥有的全部有的全部资资源。源。4848/59/59三、服三、服务务：在在WindowsWindows系系统统中，服中，服务务是指是指执执行特定系行特定系统统功能的程序、例程或功能的程序、例程或进进程，以便程，以便支持其他程序，尤其是低支持其他程序，尤其是低层层( (接近硬件接近硬件) )程序，他程序，他们们一般随系一般随系统统启启动动并在后台并在后台运行。运行。四、四、驱动驱动：驱动驱动是是一种可以使是是一种可以使计计算机操作系算机操作系统统和和设备设备通信的特殊程序，是操作系通信的特殊程序，是操作系统统和和硬件硬件设备间设备间的通信接口，他的通信接口，他们们告告诉诉操作系操作系统统有哪些有哪些设备设备以及以及设备设备的功能。的功能。五、五、DLLDLL：即即动态链动态链接接库库(DynamicLinkLibrary)(DynamicLinkLibrary)，是一种可，是一种可执执行文件。行文件。dlldll文件是一个可以被其它程序共享的程序模文件是一个可以被其它程序共享的程序模块块，其中封装了，其中封装了一些可以被共享的代一些可以被共享的代码码、数据或函数等、数据或函数等资资源。源。DLLDLL文件一般不能文件一般不能单单独独执执行，而行，而应应由其他由其他WindowsWindows应应用程序直接或用程序直接或间间接接调调用。用。一些基本的系统概念（下）4949/59/59常见系统进程解析SystemIdleProcessSystemIdleProcessWindowsWindows内存内存处处理系理系统进统进程程systemsystemMicrosoftWindowsMicrosoftWindows系系统进统进程程smss.exesmss.exe会会话话管理子系管理子系统统csrss.execsrss.exe子系子系统统服服务务器器进进程程winlogon.exewinlogon.exeWindowsNTWindowsNT用用户户登登陆陆程序程序services.exeservices.exeWindowsWindows服服务务控制器控制器lsass.exelsass.exe本地安全本地安全权权限服限服务务rpcss.exerpcss.exeRPCRPC服服务务映射器映射器regsvc.exeregsvc.exe远远程注册表服程注册表服务务svchost.exesvchost.exe包含很多系包含很多系统统服服务务SPOOLSV.EXESPOOLSV.EXEWindowsWindows打印任打印任务务控制程序控制程序explorer.exeexplorer.exe资资源管理器源管理器internat.exeinternat.exe托托盘盘区的拼音区的拼音图标图标alg.exealg.exe应应用用层层网关服网关服务务mstask.exemstask.exeWindowsWindows计计划任划任务务winmgmt.exewinmgmt.exeWindowsWindows管理服管理服务务5050/59/59一、通一、通过过启启动动文件文件夹夹隐隐蔽程度：蔽程度：应应用程度：用程度： 说说明：明：这这是一种很常是一种很常见见的自启的自启动动方式，正常程序多用，但木方式，正常程序多用，但木马马极少。极少。位于位于 . .DocumentsandSettingsDocumentsandSettings” ”当前用当前用户户” ” /AllUsers/AllUsers开始菜开始菜单单程序启程序启动动自启动方式（上）三、通三、通过过Autoexec.batAutoexec.bat、winstart.batwinstart.bat或或config.sysconfig.sys文件文件隐隐蔽程度：蔽程度：应应用程度：用程度：说说明：明：这这些文件在些文件在WindowsWindows启启动动前运行，系前运行，系统处统处于于DOSDOS环环境，只能运行境，只能运行1616位程序。位程序。二、通二、通过过Win.iniWin.ini文件文件 隐隐蔽程度：蔽程度：应应用程度：用程度：说说明：从明：从Win3.2Win3.2开始就可以利用开始就可以利用该该文件中文件中WindowsWindows域的域的loadload和和runrun项项启启动动。 5151/59/59自启动方式（中）四、通四、通过过System.iniSystem.ini文件文件隐隐蔽程度蔽程度: :应应用程度：用程度：说说明：明：该该文件的文件的BootBoot域中的域中的ShellShell项项的正常的正常值值是是“Explorer.exe”Explorer.exe”，但可以在其后添加其他程序的路径，即使在安全模式也会启但可以在其后添加其他程序的路径，即使在安全模式也会启动动。五、通五、通过过某特定程序或文件启某特定程序或文件启动动隐隐蔽程度蔽程度: :应应用程度：用程度：说说明：（明：（1 1）捆）捆绑绑或寄生于特定程序；或寄生于特定程序； （2 2）修改特定程序启）修改特定程序启动动路径；路径；（3 3）修改系）修改系统统文件关文件关联联；5252/59/59六、通六、通过过注册表启注册表启动动 隐隐蔽程度：蔽程度：应应用程度：用程度：说说明：明：这这是很多是很多WindowsWindows程序都采用的自启程序都采用的自启动动方法，也是木方法，也是木马马最常用的，下述最常用的，下述热热度度递递减、减、难难度度递递增。增。自启动方式（下）HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinitHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun5353/59/59本章概要本章概要 第第1节节 反病毒技术的发展状况和未来趋势反病毒技术的发展状况和未来趋势 第第2节节 病毒分析基础知识病毒分析基础知识 第第3节节 计算机病毒的预防和紧急手工处理计算机病毒的预防和紧急手工处理5454/59/59计算机病毒的预防（上）1 1备备份重要数据（包括操作系份重要数据（包括操作系统统本身和主要本身和主要应应用数据）并妥善保管；用数据）并妥善保管；22安装正版的安装正版的杀杀毒毒软软件及防火件及防火墙墙程序，程序，设设定必要的安全策略，定必要的安全策略，经经常更新病毒常更新病毒库库；33及及时时修修补补操作系操作系统统及常用及常用软软件的漏洞；件的漏洞；44禁用禁用GuestGuest账户账户，为为系系统设统设置置强强密密码码 ；55关关闭闭不必要的系不必要的系统统服服务务；6 6最好使用最好使用NTFSNTFS文件系文件系统统格式；格式；7 7不要随便共享文件，如果确不要随便共享文件，如果确实实需要使用，需要使用，最好最好设设置置权权限限定限限定访问访问，建，建议议不可写入；不可写入；8 8不要不要轻轻易下易下载载和安装盗版的、不可信任的和安装盗版的、不可信任的软软件；件；9 9注意注意软盘软盘、U U盘盘、光、光盘盘等移等移动动存存储设备储设备的安全使用；的安全使用；5555/59/59计算机病毒的预防（下）1010不要随便打开不明来不要随便打开不明来历历的的电电子子邮邮件，尤其是件，尤其是邮邮件附件；件附件； 1111不要不要浏览浏览一些缺乏可信度的网站，尤其注意一些缺乏可信度的网站，尤其注意浏览浏览器插件的安装器插件的安装 ；1212不要随便点不要随便点击击打开打开QQQQ、MSNMSN等等IMIM工具上工具上发发来的来的链链接信息或接信息或传传送来的文件；送来的文件； 1313警惕警惕电脑电脑使用中的异常状况；使用中的异常状况；1414使用使用专专用用软软件加固重要的件加固重要的应应用服用服务务器；器；1515在网关在网关处处架架设设病毒病毒过滤设备过滤设备；1616加加强强内网内网终终端系端系统统和用和用户户的管理；的管理；1717注意定期地注意定期地扫扫描描计计算机系算机系统统和网和网络络、查查看并分析病毒、攻看并分析病毒、攻击击等事件日志；等事件日志；1818及及时时关注流行病毒以及下关注流行病毒以及下载专杀载专杀工具；工具；5656/59/59病毒紧急手动处理步骤一、一、扫扫描并保存当前系描并保存当前系统统状状态态信息；信息；二、断开网二、断开网络连络连接、卸接、卸载载移移动设备动设备；三、分析并三、分析并结结束病毒束病毒进进程或者可疑程序；程或者可疑程序；四、禁用或者四、禁用或者删删除病毒、可疑程序除病毒、可疑程序创创建的系建的系统统启启动项动项、服、服务务以及以及驱动驱动；五、禁用或卸五、禁用或卸载浏览载浏览器加器加载项载项，清理，清理浏览浏览器器缓缓存文件、系存文件、系统临时统临时文件；文件；六、六、删删除相关的病毒文件或可疑文件，并做好文件除相关的病毒文件或可疑文件，并做好文件备备份和情况的份和情况的记录记录；七、修改注册表，七、修改注册表，备备份并份并删删除相关除相关键值键值，恢复系，恢复系统统原始原始设设置；置；八、到八、到http:/www.rising.com.cnhttp:/www.rising.com.cn下下载载并使用相并使用相应应的病毒的病毒专杀专杀工具；工具；九、九、 修复或重新安装修复或重新安装杀杀毒毒软软件，使用离件，使用离线线升升级级包手包手动动更新，并更新，并进进行行彻彻底地全底地全盘扫盘扫描；描；十、使用防病毒客十、使用防病毒客户户端可疑文件上端可疑文件上报报功能，或者通功能，或者通过过互互联联网网访问访问瑞星客瑞星客户户服服务务中心中心http:/up.rising.com.cn/webmail/uploadnew.htmhttp:/up.rising.com.cn/webmail/uploadnew.htm反反馈问题馈问题、提交可疑文件；、提交可疑文件；备备注：（注：（1 1）如果在正常模式下无法完成操作，）如果在正常模式下无法完成操作，请请重启至安全模式！重启至安全模式！（2 2）如果在安全模式下无法完成操作，）如果在安全模式下无法完成操作，请请使用启使用启动软盘动软盘、光、光盘盘、U U盘盘引引导导！5757/59/59议程内容议程内容 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立5858/59/59系统安全检查清单11物理安全物理安全 （监监控、上控、上锁锁等）；等）； 22停掉停掉GuestGuest帐帐号号 （保（保险险起起见见，最好，最好给给guestguest加一个复加一个复杂杂的密的密码码）；）；3 3限制不必要的用限制不必要的用户户数量，数量，经经常常检查检查并并删删除不用的除不用的临时帐户临时帐户, ,共享共享帐帐号等；号等；4 4创创建建2 2个管理个管理员员用用帐帐号号 ，一个一般，一个一般权权限限帐帐号用来号用来处处理日常事物，另一个理日常事物，另一个AdministratorAdministrator权权限限帐户帐户只在必要只在必要时时使用。使用。5 5把系把系统统administratoradministrator帐帐号改名并尽量把它号改名并尽量把它伪伪装成普通用装成普通用户户；6 6创创建一个陷阱建一个陷阱帐帐号，号，设设置上最低置上最低权权限和超限和超级级复复杂杂密密码码；77把共享文件的把共享文件的权权限从限从”everyone”everyone”组组改成改成“授授权权用用户户”，包括打印共享；，包括打印共享；88使用安全密使用安全密码码 ； 99设设置屏幕保置屏幕保护护密密码码 ；1010使用使用NTFSNTFS格式分区格式分区 ；1111开启防毒开启防毒软软件，避免感染攻件，避免感染攻击击者使用的木者使用的木马马后后门门程序，并程序，并经经常升常升级级病毒病毒库库。1212保障保障备备份份盘盘的安全的安全 ，定，定时备时备份服份服务务器上的重要数据内容。器上的重要数据内容。5959/59/59谢谢！6060/59/59 结束语结束语若有不当之处，请指正，谢谢！若有不当之处，请指正，谢谢！