计算机防病毒技术课件.ppt

Trend Micro Confidential *;病毒概述 常见病毒类型说明及行为分析 病毒处理技术 典型病毒案例分析 ; 病毒概述;当前用户面临的威胁;当前用户面临的威胁; ; ; ;;当前病毒流行趋势; 常见病毒类型说明及行为分析;木马病毒： TROJ_XXXX.XX 后门程序： BKDR_XXXX.XX 蠕虫病毒： WORM_XXXX.XX 间谍软件： TSPY_XXXX.XX 广告软件： ADW_XXXX.XX 文件型病毒： PE_XXXX.XX 引导区病毒：目前世界上仅存的一种引导区病毒 POLYBOOT-B 加壳软件：PACKER_XXXX.XX;病毒感染系统时，感染的过程大致可以分为： 通过某种途径传播，进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如： 打开后门等待连接 发起DDOS攻击 进行键盘记录 ……; 除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。;常见病毒传播途径;常见病毒传播途径;常见病毒传播途径;常见病毒传播途径;常见病毒传播途径;常见病毒传播途径;Google被黑事件;百度“被黑”事件;常见病毒传播途径;常见病毒传播途径; 广告软件/灰色软件 由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定。;及时更新系统和应用软件补丁，修补漏洞 强化密码设置的安全策略，增加密码强度 加强网络共享的管理 增强员工的病毒防范意识; 自启动特性 除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。 病毒在系统中的行为是基于病毒在系统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。; 修改注册表 注册表启动项 文件关联项 系统服务项 BHO项 其他;注册表启动 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下： RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下： Run RunOnce（当次运行时出现） RunServices 以上这些键一般用于在系统启动时执行特定程序;文件关联项 HKEY_CLASSES_ROOT下： exefile\shell\open\command] @=\%1\ %* comfile\shell\open\command] @=\%1\ %* batfile\shell\open\command] @=\%1\ %* htafile\Shell\Open\Command] @=\%1\ %* piffile\shell\open\command] @=\%1\ %*“ …… 病毒将%1 %*改为 “virus.exe %1 %* virus.exe将在打开或运行相应类型的文件时被执行; 修改配置文件 %windows%\ wininit.ini中[Rename]节 NUL=c:\windows\virus.exe 将c:\windows\virus.exe设置为NUL,表示让windows在将virus.exe 运行后删除. Win.ini中的[windows]节 load = virus.exe run = virus.exe 这两个变量用于自动启动程序。 System.ini 中的[boot]节 Shell = Explorer.exe,virus.exe Shell变量指出了要在系统启动时执行的程序列表。;病毒常修改的Bat文件 %windows%\winstart.bat 该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。 Autoexec.bat 在DOS下每次自启动; 修改启动文件夹(比较少，如磁碟机) 当前用户的启动文件夹 可以通过如下注册表键获得: Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的 StartUp