網(wǎng)絡安全技術資料第8章 計算機病毒防范

《網(wǎng)絡安全技術資料第8章 計算機病毒防范》由會員分享，可在線閱讀，更多相關《網(wǎng)絡安全技術資料第8章 計算機病毒防范（41頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 8.2 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播28.3 8.3 計算機病毒的檢測清除與防范計算機病毒的檢測清除與防范38.4 8.4 惡意軟件的危害與清除惡意軟件的危害與清除 4 8.1 8.1 計算機病毒概述計算機病毒概述1 8.5 360 8.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗 5 8.6 8.6 本章小結本章小結6目目 錄錄教學目標教學目標 了解計算機病毒發(fā)展的歷史和趨勢了解計算機病毒發(fā)展的歷史和趨勢 理解理解病毒的定義、分類、特征、結構、傳病毒的定義、分類、特征、結構、傳播方式和病毒產生播方式和病毒產生 掌握掌握病毒檢測、清除、防護、病毒和防

2、病病毒檢測、清除、防護、病毒和防病毒的發(fā)展趨勢毒的發(fā)展趨勢 掌握惡意軟件概念、分類、防護和清除掌握惡意軟件概念、分類、防護和清除 掌握掌握360360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗8.1 計算機病毒概述計算機病毒概述n 8.1.1 8.1.1 計算機病毒的概念及發(fā)展計算機病毒的概念及發(fā)展 n 1.1.計算機病毒的概念計算機病毒的概念 計算機病毒計算機病毒（Computer VirusComputer Virus）在）在中華人民共和國計算機信息系統(tǒng)中華人民共和國計算機信息系統(tǒng)安全保護條例安全保護條例中被明確中被明確定義為定義為：是指編制者在計算機程序中插入的破壞：是指編制者

3、在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。機指令或者程序代碼。海灣戰(zhàn)爭中用網(wǎng)絡病毒攻擊取得重大戰(zhàn)果海灣戰(zhàn)爭中用網(wǎng)絡病毒攻擊取得重大戰(zhàn)果。據(jù)報。據(jù)報道，道，1991年的海灣戰(zhàn)爭是美軍主導參加的一場大規(guī)模局部戰(zhàn)年的海灣戰(zhàn)爭是美軍主導參加的一場大規(guī)模局部戰(zhàn)爭。美國在伊拉克從第三方國家購買的打印機里植入可遠程爭。美國在伊拉克從第三方國家購買的打印機里植入可遠程控制的網(wǎng)絡病毒，在開戰(zhàn)前，使伊拉克整個計算機網(wǎng)絡管理控制的網(wǎng)絡病毒，在開戰(zhàn)前，使伊拉克整個計算機網(wǎng)絡管理的雷達預警系

4、統(tǒng)全部癱瘓，并首次將大量的雷達預警系統(tǒng)全部癱瘓，并首次將大量高科技武器高科技武器投入實投入實戰(zhàn)，取得了壓倒性的制空、制電磁優(yōu)勢，也是世界首次公開戰(zhàn)，取得了壓倒性的制空、制電磁優(yōu)勢，也是世界首次公開在實戰(zhàn)中用網(wǎng)絡病毒攻擊取得的重大戰(zhàn)果，強化了美軍在該在實戰(zhàn)中用網(wǎng)絡病毒攻擊取得的重大戰(zhàn)果，強化了美軍在該地區(qū)的軍事存在，同時為地區(qū)的軍事存在，同時為2003年的伊拉克戰(zhàn)爭奠定基礎。年的伊拉克戰(zhàn)爭奠定基礎。案例案例8-18-1n 2.2.計算機病毒的發(fā)展計算機病毒的發(fā)展n 計算機病毒發(fā)展計算機病毒發(fā)展主要經歷了主要經歷了五個重要的階段五個重要的階段。計算機病毒的概念起源計算機病毒的概念起源。在第一部商用

5、計算機推出前，計算。在第一部商用計算機推出前，計算機先驅馮機先驅馮諾依曼（諾依曼（John Von NeumannJohn Von Neumann）在一篇論文中，曾初步概）在一篇論文中，曾初步概述了病毒程序的概念。美國著名的述了病毒程序的概念。美國著名的AT&T AT&T 貝爾實驗室中，三個年輕貝爾實驗室中，三個年輕人工作之余玩的一種人工作之余玩的一種“磁芯大戰(zhàn)磁芯大戰(zhàn)”（Core warCore war）的游戲：編出能吃）的游戲：編出能吃掉別人編碼的程序來互相攻擊。這種游戲，呈現(xiàn)了病毒程序的感染掉別人編碼的程序來互相攻擊。這種游戲，呈現(xiàn)了病毒程序的感染和破壞性。和破壞性。案例案例8-28-2

6、8.1 計算機病毒概述計算機病毒概述下載下載20122012，當心兇猛病毒，當心兇猛病毒.計算機反病毒機構發(fā)布警示，隨著災難大片計算機反病毒機構發(fā)布警示，隨著災難大片20122012的熱映，很多電影的熱映，很多電影下載網(wǎng)站均推出在線收看或下載服務，一種名為下載網(wǎng)站均推出在線收看或下載服務，一種名為“中華吸血鬼中華吸血鬼”變種病毒，變種病毒，被從一些掛馬的電影網(wǎng)站中截獲。被從一些掛馬的電影網(wǎng)站中截獲。n 3.3.計算機病毒的產生原因計算機病毒的產生原因 計算機病毒的起因和來源情況各異計算機病毒的起因和來源情況各異，有的是為了某種目的，分為個人行，有的是為了某種目的，分為個人行為和集團行為兩種。有

7、的病毒還曾為用于研究或實驗而設計的為和集團行為兩種。有的病毒還曾為用于研究或實驗而設計的“有用有用”程序，程序，后來失制擴散或被利用。后來失制擴散或被利用。計算機病毒的計算機病毒的產生原因產生原因主要有主要有4 4個方面：個方面：惡作劇型惡作劇型報復心理型報復心理型版權保護型版權保護型特殊目的型特殊目的型8.1 計算機病毒概述計算機病毒概述案例案例8-38-3n 4 4計算機病毒的命名方式計算機病毒的命名方式 命名方式由多個前綴與后綴組合，中間以點命名方式由多個前綴與后綴組合，中間以點“”分隔，分隔，一般格式一般格式為：為：前綴前綴.病毒名病毒名.后綴后綴。如振蕩波蠕蟲病毒的變種。如振蕩波蠕蟲

8、病毒的變種“Worm.Sasser.c”Worm.Sasser.c”，其中其中WormWorm指病毒的種類為蠕蟲，指病毒的種類為蠕蟲，SasserSasser是病毒名，是病毒名，c c指該病毒的變種。指該病毒的變種。n（1 1）病毒前綴）病毒前綴n（2 2）病毒名）病毒名n（3 3）病毒后綴）病毒后綴 病毒名即病毒的名稱病毒名即病毒的名稱，如，如“病毒之母病毒之母”CIHCIH病毒及其變病毒及其變種的名稱一律為種的名稱一律為“CIH”CIH”，沖擊波蠕蟲的病毒名為，沖擊波蠕蟲的病毒名為“Blaster”Blaster”。病。病毒名也有一些約定俗成方式，可按病毒發(fā)作的時間命名，如黑色星毒名也有一

9、些約定俗成方式，可按病毒發(fā)作的時間命名，如黑色星期五；也可按病毒發(fā)作癥狀命名，如小球；或按病毒自身包含的標期五；也可按病毒發(fā)作癥狀命名，如小球；或按病毒自身包含的標志命名，如志命名，如CIHCIH；還可按病毒發(fā)現(xiàn)地命名，如耶路撒冷病毒；或按；還可按病毒發(fā)現(xiàn)地命名，如耶路撒冷病毒；或按病毒的字節(jié)長度命名，如病毒的字節(jié)長度命名，如15751575。案例案例8-48-48.1 計算機病毒概述計算機病毒概述n 8.1.2 8.1.2 計算機病毒的特點計算機病毒的特點 根據(jù)對病毒的產生、傳播和破壞行為的分析，可將病毒概括為以下根據(jù)對病毒的產生、傳播和破壞行為的分析，可將病毒概括為以下6 6 個個主要特點

10、。主要特點。n 1.1.傳播性傳播性 傳播性是病毒的基本特點。計算機病毒與生物病毒類似，也會通過各種傳播性是病毒的基本特點。計算機病毒與生物病毒類似，也會通過各種途徑傳播擴散，在一定條件下造成被感染的計算機系統(tǒng)工作失常甚至癱瘓。途徑傳播擴散，在一定條件下造成被感染的計算機系統(tǒng)工作失常甚至癱瘓。n 2.2.竊取系統(tǒng)控制權竊取系統(tǒng)控制權 當用戶調用正常程序時竊取到系統(tǒng)的控制權，先于正常程序執(zhí)行，病毒當用戶調用正常程序時竊取到系統(tǒng)的控制權，先于正常程序執(zhí)行，病毒的動作、目的對用戶往往是未知的，未經用戶允許。的動作、目的對用戶往往是未知的，未經用戶允許。n 3.3.隱蔽性隱蔽性 病毒程序很隱蔽與正常程

11、序只有經過代碼分析才能區(qū)別。病毒程序很隱蔽與正常程序只有經過代碼分析才能區(qū)別。n 4.4.破壞性破壞性 侵入系統(tǒng)的任何病毒，都會對系統(tǒng)及應用程序產生影響。占用系統(tǒng)資源，侵入系統(tǒng)的任何病毒，都會對系統(tǒng)及應用程序產生影響。占用系統(tǒng)資源，降低計算機工作效率，甚至可導致系統(tǒng)崩潰，其破壞性多種多樣。降低計算機工作效率，甚至可導致系統(tǒng)崩潰，其破壞性多種多樣。8.1 計算機病毒概述計算機病毒概述n 5.5.潛伏性潛伏性 絕大部分的計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作，可長期隱藏在絕大部分的計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作，可長期隱藏在系統(tǒng)中，只有當滿足其特定條件時才啟動其破壞代碼，顯示發(fā)作信息或破壞

12、系統(tǒng)中，只有當滿足其特定條件時才啟動其破壞代碼，顯示發(fā)作信息或破壞系統(tǒng)。系統(tǒng)。n 6.6.不可預見性不可預見性 不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內存、改中不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內存、改中斷等。利用這些共性已研發(fā)出查病毒程序，但由于軟件種類繁多、病毒變異斷等。利用這些共性已研發(fā)出查病毒程序，但由于軟件種類繁多、病毒變異難預見。難預見。n 8.1.3 8.1.3 計算機病毒的分類計算機病毒的分類n 1 1以以病毒攻擊的操作系統(tǒng)病毒攻擊的操作系統(tǒng)分類分類8.1 計算機病毒概述計算機病毒概述n 2 2以以病毒的攻擊機型病毒的攻擊機型分類分類n 3 3按

13、照病毒的鏈接方式分類按照病毒的鏈接方式分類 通常，計算機病毒所攻擊的對象是系統(tǒng)可執(zhí)行部分，按照通常，計算機病毒所攻擊的對象是系統(tǒng)可執(zhí)行部分，按照病毒鏈接方式病毒鏈接方式可分為可分為4 4種：種：8.1 計算機病毒概述計算機病毒概述n 4 4按照病毒的破壞能力分類按照病毒的破壞能力分類 根據(jù)根據(jù)病毒破壞的能力病毒破壞的能力可劃分為可劃分為4 4種：種：n 5 5按照傳播媒介不同分類按照傳播媒介不同分類 按照按照計算機病毒的傳播媒介計算機病毒的傳播媒介分類，可分為分類，可分為單機病毒單機病毒和和網(wǎng)絡病毒網(wǎng)絡病毒。n 6 6按傳播方式不同分類按傳播方式不同分類 按照按照計算機病毒傳播方式計算機病毒傳

14、播方式可分為可分為引導型病毒引導型病毒、文件型病毒文件型病毒和和混合型病毒混合型病毒3 3種。種。8.1 計算機病毒概述計算機病毒概述n 7 7以病毒特有的算法不同分類以病毒特有的算法不同分類n 8.8.按照病毒的寄生部位或傳染對象分類按照病毒的寄生部位或傳染對象分類 傳染性是計算機病毒的本質屬性傳染性是計算機病毒的本質屬性，根據(jù)寄生部位或傳染對象分類，即，根據(jù)寄生部位或傳染對象分類，即根根據(jù)計算機病毒傳染方式進行分類據(jù)計算機病毒傳染方式進行分類，有以下，有以下3 3種：種：n 9.9.按照病毒激活的時間分類按照病毒激活的時間分類 按照按照病毒激活時間病毒激活時間可分為可分為定時的定時的和和隨

15、機的隨機的。8.1 計算機病毒概述計算機病毒概述n 8.1.4 8.1.4 計算機中毒的異常癥狀計算機中毒的異常癥狀n 病毒的存在、感染和發(fā)作的特征表現(xiàn)可分為三類：計算機病毒發(fā)作前、病毒的存在、感染和發(fā)作的特征表現(xiàn)可分為三類：計算機病毒發(fā)作前、發(fā)作時和發(fā)作后。通常病毒感染比系統(tǒng)故障現(xiàn)象更多些。發(fā)作時和發(fā)作后。通常病毒感染比系統(tǒng)故障現(xiàn)象更多些。n 1.1.計算機病毒發(fā)作前的情況計算機病毒發(fā)作前的情況 計算機病毒發(fā)作前計算機病毒發(fā)作前主要是以潛伏、傳播為主主要是以潛伏、傳播為主。其。其常見的現(xiàn)象常見的現(xiàn)象為：為：8.1 計算機病毒概述計算機病毒概述n 2.2.計算機病毒發(fā)作時的癥狀計算機病毒發(fā)作時

16、的癥狀 8.1 計算機病毒概述計算機病毒概述n 3.3.計算機病毒發(fā)作的后果計算機病毒發(fā)作的后果 惡性計算機惡性計算機病毒發(fā)作后的病毒發(fā)作后的現(xiàn)象現(xiàn)象及造成的及造成的后果后果包括：包括：1 1）硬盤無法啟動，數(shù)據(jù)丟失。）硬盤無法啟動，數(shù)據(jù)丟失。2 2）文件丟失或被破壞。）文件丟失或被破壞。3 3）文件目錄混亂。）文件目錄混亂。4 4）BIOSBIOS程序混亂使主板遭破壞。程序混亂使主板遭破壞。5 5）部分文檔自動加密。）部分文檔自動加密。6 6）計算機重啟時格式化硬盤。）計算機重啟時格式化硬盤。7 7）網(wǎng)絡癱瘓，無法正常提供服務。）網(wǎng)絡癱瘓，無法正常提供服務。8.1 計算機病毒概述計算機病毒概

17、述 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播n 8.2.1 8.2.1 計算機病毒的構成結構計算機病毒的構成結構n 計算機病毒計算機病毒種類很多，都由種類很多，都由3 3個部分個部分構成構成：3)3)由兩個部分構成，一是病毒的觸發(fā)條件由兩個部分構成，一是病毒的觸發(fā)條件判斷部分，二是病毒的具體表現(xiàn)部分。判斷部分，二是病毒的具體表現(xiàn)部分。2)2)是病毒程序的是病毒程序的核心核心，主要功能是傳播病毒，一般由，主要功能是傳播病毒，一般由兩個部分構成，一是傳播條件判斷部分；二是傳播部分。兩個部分構成，一是傳播條件判斷部分；二是傳播部分。1)1)功能是將病毒功能是將病毒加載到內存中，并其加載到

18、內存中，并其存儲空間進行保護，存儲空間進行保護，以防被其他程序所覆以防被其他程序所覆蓋，同時修改一些中蓋，同時修改一些中斷及高端內存、保存斷及高端內存、保存原中斷向量等系統(tǒng)參原中斷向量等系統(tǒng)參數(shù)，為傳播部分做準數(shù)，為傳播部分做準備。它也稱潛伏機制備。它也稱潛伏機制模塊，具有初始化、模塊，具有初始化、隱藏和捕捉功能。隱藏和捕捉功能。我國網(wǎng)絡遭受攻擊近況我國網(wǎng)絡遭受攻擊近況。據(jù)國家互聯(lián)網(wǎng)應急中心據(jù)國家互聯(lián)網(wǎng)應急中心CNCERT監(jiān)監(jiān)測和國家信息安全漏洞共享平臺測和國家信息安全漏洞共享平臺CNVD發(fā)布的數(shù)據(jù)，發(fā)布的數(shù)據(jù)，2014年年2月月10日日至至16日一周境內被篡改網(wǎng)站數(shù)量為日一周境內被篡改網(wǎng)站數(shù)

19、量為8965個，比上周增長個，比上周增長79.7%；境內；境內被植入后門的網(wǎng)站數(shù)量為被植入后門的網(wǎng)站數(shù)量為1168個；個；針對境內網(wǎng)站的仿冒頁面數(shù)量為針對境內網(wǎng)站的仿冒頁面數(shù)量為181個。其中，政府網(wǎng)站被篡改個。其中，政府網(wǎng)站被篡改418個、個、植入后門的植入后門的35個。感染網(wǎng)絡病毒的個。感染網(wǎng)絡病毒的主機數(shù)量約為主機數(shù)量約為69萬個，新增信息安萬個，新增信息安全漏洞全漏洞280個。個。案例案例8-48-4n 8.2.2 8.2.2 計算機病毒的傳播計算機病毒的傳播n 1 1計算機病毒的傳播方式和途徑計算機病毒的傳播方式和途徑一、通過固定的計算機硬件設備進行傳播，如用一、通過固定的計算機硬件

20、設備進行傳播，如用ASICASIC芯片和硬盤傳播芯片和硬盤傳播;二、通過移動存儲設備傳播，其中二、通過移動存儲設備傳播，其中U U盤和移動硬盤是使用最廣泛、移盤和移動硬盤是使用最廣泛、移 動最頻繁的存儲介質，也成了病毒寄生的動最頻繁的存儲介質，也成了病毒寄生的“溫床溫床”；三、通過網(wǎng)絡進行傳播，現(xiàn)在已成為病毒的第一傳播途徑；三、通過網(wǎng)絡進行傳播，現(xiàn)在已成為病毒的第一傳播途徑；四、通過點對點通信系統(tǒng)和無線通道傳播。四、通過點對點通信系統(tǒng)和無線通道傳播。8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播n 2 2計算機病毒的傳播過程計算機病毒的傳播過程n 病毒病毒被動傳播被動傳播的的過程過程是隨

21、著復制磁盤或文件工作進行的；是隨著復制磁盤或文件工作進行的；n 病毒病毒主動傳播主動傳播的的過程過程是在系統(tǒng)運行時，病毒通過病毒載體，由系統(tǒng)外存是在系統(tǒng)運行時，病毒通過病毒載體，由系統(tǒng)外存進入內存，并監(jiān)視系統(tǒng)運行，在病毒引導模塊將其傳播模塊駐留內存過程中，進入內存，并監(jiān)視系統(tǒng)運行，在病毒引導模塊將其傳播模塊駐留內存過程中，還將修改系統(tǒng)中數(shù)據(jù)向量入口地址。還將修改系統(tǒng)中數(shù)據(jù)向量入口地址。n 3 3系統(tǒng)型病毒傳播機理系統(tǒng)型病毒傳播機理n 系統(tǒng)型病毒系統(tǒng)型病毒利用在啟動引導時竊取利用在啟動引導時竊取int 13Hint 13H控制權，在整個計算機運行控制權，在整個計算機運行過程中實時監(jiān)視磁盤操作，當

22、讀寫磁盤的時讀出磁盤引導區(qū)，判斷磁盤是否過程中實時監(jiān)視磁盤操作，當讀寫磁盤的時讀出磁盤引導區(qū)，判斷磁盤是否中毒，如未中毒就按病毒的寄生方式將原引導區(qū)改寫到磁盤的另一位置，而中毒，如未中毒就按病毒的寄生方式將原引導區(qū)改寫到磁盤的另一位置，而將病毒寫入第一個扇區(qū)，完成對磁盤的傳播。將病毒寫入第一個扇區(qū)，完成對磁盤的傳播。int13H int13H或或int21H,int21H,可使可使數(shù)據(jù)向量指向病毒程序的傳播模塊數(shù)據(jù)向量指向病毒程序的傳播模塊。當系統(tǒng)執(zhí)行磁盤讀寫操作或功能調用時，該模塊被激活，判斷傳播當系統(tǒng)執(zhí)行磁盤讀寫操作或功能調用時，該模塊被激活，判斷傳播條件滿足后，利用系統(tǒng)條件滿足后，利用系

23、統(tǒng)int 13Hint 13H讀寫磁盤中斷將病毒傳播給被讀寫的讀寫磁盤中斷將病毒傳播給被讀寫的磁盤或被加載的程序，再轉移到原數(shù)據(jù)服務程序執(zhí)行原有操作。磁盤或被加載的程序，再轉移到原數(shù)據(jù)服務程序執(zhí)行原有操作。案例案例8-58-5 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播n 4 4文件型病毒傳播機理文件型病毒傳播機理 病毒執(zhí)行被傳播的可執(zhí)行文件后進駐內存，并檢測系統(tǒng)的運行，當發(fā)現(xiàn)被傳病毒執(zhí)行被傳播的可執(zhí)行文件后進駐內存，并檢測系統(tǒng)的運行，當發(fā)現(xiàn)被傳播目標時，先判斷是否中毒；當條件滿足，將病毒鏈接到可執(zhí)行文件的首部或尾播目標時，先判斷是否中毒；當條件滿足，將病毒鏈接到可執(zhí)行文件的首部或尾

24、部，并存入磁盤；傳播后繼續(xù)監(jiān)視系統(tǒng)運行，并試圖尋找新目標。部，并存入磁盤；傳播后繼續(xù)監(jiān)視系統(tǒng)運行，并試圖尋找新目標。主要傳播途徑主要傳播途徑有以下有以下3 3種。種。1 1）加載執(zhí)行文件）加載執(zhí)行文件 2 2）列目錄過程）列目錄過程 3 3）新建文件過程）新建文件過程n 8.2.3 8.2.3 計算病毒的觸發(fā)與生存計算病毒的觸發(fā)與生存n 1 1計算機病機毒的觸發(fā)機制計算機病機毒的觸發(fā)機制 病毒的病毒的基本特性基本特性是感染、潛伏、可觸發(fā)、破壞。感染使病毒傳播，破壞性體是感染、潛伏、可觸發(fā)、破壞。感染使病毒傳播，破壞性體現(xiàn)其殺傷力。觸發(fā)性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞的頻度。現(xiàn)其殺傷

25、力。觸發(fā)性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞的頻度。病毒的病毒的觸發(fā)條件觸發(fā)條件主要有主要有7 7種種:時間觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、啟動觸發(fā)、時間觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、啟動觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調用中斷功能觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調用中斷功能觸發(fā)、CPUCPU型號型號/主板型號觸發(fā)。主板型號觸發(fā)。n 2.2.計算機病毒的生存周期計算機病毒的生存周期 計算機計算機病毒的病毒的產生過程產生過程分為程序設計分為程序設計傳播傳播潛伏潛伏觸發(fā)觸發(fā)運行運行實行攻擊。從實行攻擊。從產生到徹底根除，產生到徹底根除，病毒病毒擁有一個完整的擁有一個完整的生存周期生存周期。開發(fā)期、傳播期、潛伏期、發(fā)

26、作期、發(fā)現(xiàn)期、消化期、消亡期開發(fā)期、傳播期、潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播n 8.2.4 8.2.4 特種及新型病毒實例特種及新型病毒實例n 1 1特洛伊木馬特洛伊木馬n（1 1）特洛伊木馬的特性）特洛伊木馬的特性 特洛伊木馬特洛伊木馬（TrojanTrojan）病毒是一種具有攻擊系統(tǒng)、破壞文件、發(fā)送密碼）病毒是一種具有攻擊系統(tǒng)、破壞文件、發(fā)送密碼和記錄鍵盤等特殊功能的后門程序，其和記錄鍵盤等特殊功能的后門程序，其特性特性也已變異更新。也已變異更新。木馬病毒使網(wǎng)絡安全形勢異常嚴峻木馬病毒使網(wǎng)絡安全形勢異常嚴峻。一款名為一款名為“母馬

27、下載器母馬下載器”的惡性木馬病毒，集成了其他木馬和病毒，執(zhí)行后將生成數(shù)以千計的惡性木馬病毒，集成了其他木馬和病毒，執(zhí)行后將生成數(shù)以千計的的“子木馬子木馬”，憑借其超強的，憑借其超強的“穿透還原穿透還原”、“超快更新變異超快更新變異”和和“反殺反殺”能力，廣泛流行且使眾多查毒軟件難以處理。同一臺電腦，能力，廣泛流行且使眾多查毒軟件難以處理。同一臺電腦，中毒后也會隨機出現(xiàn)不同的癥狀。中毒后也會隨機出現(xiàn)不同的癥狀。案例案例8-68-6 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播n（2 2）特洛伊木馬的）特洛伊木馬的類型類型 破壞型、密碼發(fā)送型、遠程訪問型、鍵盤記錄木馬、破壞型、密碼發(fā)送型、

28、遠程訪問型、鍵盤記錄木馬、DoSDoS攻擊木馬、代攻擊木馬、代理木馬、理木馬、FTPFTP木馬、程序殺手木馬、反彈端口型木馬。木馬、程序殺手木馬、反彈端口型木馬。20132013年年發(fā)現(xiàn)發(fā)現(xiàn)手機木馬手機木馬Android.HeheAndroid.Hehe，可以阻止安卓設備上的來電和短信，可以阻止安卓設備上的來電和短信，并從受感染的設備上竊取信息。并從受感染的設備上竊取信息。n 2.2.蠕蟲病毒及新變種蠕蟲病毒及新變種 蠕蟲病毒蠕蟲病毒NimdaNimda是一種破壞力很強的惡意代碼，在網(wǎng)絡上傳播蔓延快。是一種破壞力很強的惡意代碼，在網(wǎng)絡上傳播蔓延快。中毒用戶郵件的正文為空，看似無附件，實際上郵件

29、中嵌入了病毒的執(zhí)行代中毒用戶郵件的正文為空，看似無附件，實際上郵件中嵌入了病毒的執(zhí)行代碼，用戶瀏覽時病毒被激活，復制到臨時目錄，并運行其副本。碼，用戶瀏覽時病毒被激活，復制到臨時目錄，并運行其副本。謹防新型盜號木馬。謹防新型盜號木馬。國家計算機病毒應急處理中國家計算機病毒應急處理中心心,2013年年12月通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)，近期出現(xiàn)惡意木馬程月通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)，近期出現(xiàn)惡意木馬程序新變種序新變種TrojanGeneric.OJX。運行后獲取系統(tǒng)路徑，判斷自。運行后獲取系統(tǒng)路徑，判斷自身是否在系統(tǒng)目錄下，如果不是則將自身拷貝到指定目錄下并重身是否在系統(tǒng)目錄下，如果不是則將自身拷貝到指定

30、目錄下并重命名，其文件名隨機生成。該變種會打開受感染操作系統(tǒng)中服務命名，其文件名隨機生成。該變種會打開受感染操作系統(tǒng)中服務控制管理器，創(chuàng)建服務進程，啟動類型為自動?？刂乒芾砥鳎瑒?chuàng)建服務進程，啟動類型為自動。案例案例8-78-7 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播 目前，全球感染量最大的目前，全球感染量最大的“飛客飛客”（ConfickerConficker）蠕蟲，）蠕蟲，20092009年下半年我年下半年我國境內每月約有國境內每月約有18001800余萬個主機余萬個主機IPIP受感染，占全球感染總量的受感染，占全球感染總量的3030，占各國，占各國感染比例的第一位。感染比例的

31、第一位。n 3.3.多重新型病毒多重新型病毒 CodeRedIICodeRedII是一種蠕蟲與木馬是一種蠕蟲與木馬雙型的病毒雙型的病毒。此新病毒極具危險，不僅可。此新病毒極具危險，不僅可修改主頁，而且可通過修改主頁，而且可通過IIS IIS 漏洞可對木馬上載和運行。先給自身建立一個環(huán)漏洞可對木馬上載和運行。先給自身建立一個環(huán)境并取得本地境并取得本地IPIP，用于分析為傳播的子網(wǎng)掩碼，判斷當前操作系統(tǒng)，之后根，用于分析為傳播的子網(wǎng)掩碼，判斷當前操作系統(tǒng)，之后根據(jù)判斷增加線程。據(jù)判斷增加線程。2009 2009年出現(xiàn)一種蠕蟲新變種年出現(xiàn)一種蠕蟲新變種Worm_Pijoyd.BWorm_Pijoyd

32、.B 可感染操作系統(tǒng)中可執(zhí)行文件、網(wǎng)頁文件和腳本文件等，變種運可感染操作系統(tǒng)中可執(zhí)行文件、網(wǎng)頁文件和腳本文件等，變種運行后生成一個動態(tài)鏈接庫文件，使受感染操作系統(tǒng)中的文件保護功能行后生成一個動態(tài)鏈接庫文件，使受感染操作系統(tǒng)中的文件保護功能失效，無法對變種自我復制的鏈接庫文件修改，躲避被查殺進行自保失效，無法對變種自我復制的鏈接庫文件修改，躲避被查殺進行自保護。然后，修改加載動態(tài)鏈接庫文件的時間，并啟動服務進程。護。然后，修改加載動態(tài)鏈接庫文件的時間，并啟動服務進程。案例案例8-88-8 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播n 4.CIH 4.CIH 病毒病毒 CIHCIH病毒病

33、毒屬屬文件型惡性病毒文件型惡性病毒，其別名為，其別名為Win95.CIHWin95.CIH、Win32.CIHWin32.CIH、PE_CIHPE_CIH，主要感染主要感染W(wǎng)indowsWindows可執(zhí)行文件。可執(zhí)行文件。CIHCIH經歷了多個版本的發(fā)展變化，發(fā)作日期為經歷了多個版本的發(fā)展變化，發(fā)作日期為每年的每年的4 4月月2626日或日或6 6月月2626日，而版本日，而版本CIH V1.4CIH V1.4的發(fā)作日期則被修改為每月的的發(fā)作日期則被修改為每月的2626日，改變后縮短了發(fā)作期限，增加了破壞性。當發(fā)作條件成熟時，將破壞硬日，改變后縮短了發(fā)作期限，增加了破壞性。當發(fā)作條件成熟時，

34、將破壞硬盤數(shù)據(jù)，并可破壞盤數(shù)據(jù)，并可破壞BIOSBIOS程序。程序。n 5.“U5.“U盤殺手盤殺手”新變種新變種 20092009年發(fā)現(xiàn)新的年發(fā)現(xiàn)新的“U U盤殺手盤殺手”新變種（新變種（Worm_ Autorun.LSKWorm_ Autorun.LSK），運行后），運行后在受感染操作系統(tǒng)的系統(tǒng)目錄下釋放惡意驅動程序，并將自身圖標偽裝成在受感染操作系統(tǒng)的系統(tǒng)目錄下釋放惡意驅動程序，并將自身圖標偽裝成WindowsWindows默認文件夾。變種可將其自身復制、隱藏、自我命名、誘騙點擊運默認文件夾。變種可將其自身復制、隱藏、自我命名、誘騙點擊運行變種文件行變種文件。瑞星瑞星“云安全云安全”系統(tǒng)

35、截系統(tǒng)截2014年初截獲了多種新型感染病毒，其特年初截獲了多種新型感染病毒，其特點為：病毒感染能力強、可釋放多個木馬程序、變異快、可逃脫很多殺毒軟點為：病毒感染能力強、可釋放多個木馬程序、變異快、可逃脫很多殺毒軟件的查殺與監(jiān)控。當用戶從網(wǎng)上下載游戲、件的查殺與監(jiān)控。當用戶從網(wǎng)上下載游戲、MP3、exe、flash等時，很可能等時，很可能帶有病毒，用戶運行后即可感染電腦中的其他文件。帶有病毒，用戶運行后即可感染電腦中的其他文件。Win32.virut、Win32.BMW和和Worm.Win32.viking是其中三個威力最強的感染型病毒是其中三個威力最強的感染型病毒 案例案例8-98-9 8.2

36、 計算機病毒的構成與傳播計算機病毒的構成與傳播 新型新型U U盤病毒瞄準盤病毒瞄準WIN7WIN7。金山云安全中心發(fā)布預警稱，金山云安全中心發(fā)布預警稱，新操作系統(tǒng)新操作系統(tǒng)Windows上市后，已發(fā)現(xiàn)針對上市后，已發(fā)現(xiàn)針對WIN7的病毒新變種。目前，的病毒新變種。目前，感染量最高的感染量最高的U盤病毒盤病毒“文件夾模仿者文件夾模仿者”系列，除了進行免殺處理外，系列，除了進行免殺處理外，還將所偽裝的文件夾圖標采用了還將所偽裝的文件夾圖標采用了WIN7的圖標風格。其新變種實質上是廣的圖標風格。其新變種實質上是廣告木馬。它通過隱藏盤中的真實文件、并替換其中文件夾圖標為自己告木馬。它通過隱藏盤中的真實

37、文件、并替換其中文件夾圖標為自己圖標的方式，誘使用戶在每次查看文件時點擊木馬圖標激活運行，彈出圖標的方式，誘使用戶在每次查看文件時點擊木馬圖標激活運行，彈出指向某些網(wǎng)站的指向某些網(wǎng)站的IE窗口，才允許用戶進入文件夾內。窗口，才允許用戶進入文件夾內。案例案例8-108-10 8.2 計算機病毒的構成與傳播計算機病毒的構成與傳播6.磁碟機病毒磁碟機病毒主要危害主要危害主要癥狀主要癥狀主要防范方法主要防范方法 8.3 計算機病毒檢測清除與防范計算機病毒檢測清除與防范n 8.3.1 8.3.1 計算機病毒的檢測計算機病毒的檢測n 1 1特征代碼法特征代碼法 特征代碼法特征代碼法是檢測已知病毒的最簡單、

38、開銷較小的方法。其檢測步驟為：是檢測已知病毒的最簡單、開銷較小的方法。其檢測步驟為：采集中毒樣本，并抽取特征代碼，打開被檢測文件，然后搜索檢查是否含病采集中毒樣本，并抽取特征代碼，打開被檢測文件，然后搜索檢查是否含病毒特征碼。毒特征碼。n 2 2校驗和法校驗和法 校驗和法校驗和法指在使用文件前或定期地檢查文件內容前后的校驗和變化的方指在使用文件前或定期地檢查文件內容前后的校驗和變化的方法。既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，卻無法識別病毒類和病毒名。法。既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，卻無法識別病毒類和病毒名。n 3 3行為監(jiān)測法行為監(jiān)測法 行為監(jiān)測法行為監(jiān)測法是利用病毒的行為特征監(jiān)測病毒的一

39、種方法。病毒的一些行是利用病毒的行為特征監(jiān)測病毒的一種方法。病毒的一些行為特征比較特殊且具有其共性，監(jiān)視程序運行，可發(fā)現(xiàn)病毒并及時報警。為特征比較特殊且具有其共性，監(jiān)視程序運行，可發(fā)現(xiàn)病毒并及時報警。n 4 4軟件模擬法軟件模擬法 多態(tài)性病毒代碼密碼化，且每次激活的密鑰各異，對比染毒代碼也無法多態(tài)性病毒代碼密碼化，且每次激活的密鑰各異，對比染毒代碼也無法找出共性特征的穩(wěn)定代碼。目前，很多找出共性特征的穩(wěn)定代碼。目前，很多殺毒軟件殺毒軟件已具有實時監(jiān)測功能，在預已具有實時監(jiān)測功能，在預防病毒方面效果也很好。防病毒方面效果也很好。n 8.3.2 8.3.2 常見病毒的清除方法常見病毒的清除方法n

40、計算機系統(tǒng)意外中毒，需要及時采取措施，常用的處理方法是計算機系統(tǒng)意外中毒，需要及時采取措施，常用的處理方法是清除清除病毒病毒：先對系統(tǒng)被破壞的程度先對系統(tǒng)被破壞的程度調查評估調查評估，并采取有效的清除對策和方法。，并采取有效的清除對策和方法。n 殺毒后重啟計算機，再用防殺病毒軟件檢查系統(tǒng)，并確認完全恢復正常。殺毒后重啟計算機，再用防殺病毒軟件檢查系統(tǒng)，并確認完全恢復正常。8.3 計算機病毒檢測清除與防范計算機病毒檢測清除與防范 8.3 計算機病毒檢測清除與防范計算機病毒檢測清除與防范n 8.3.3 8.3.3 計算機病毒的防范計算機病毒的防范n 計算機病毒的計算機病毒的防范重于檢測和清除，這項

41、系統(tǒng)工程，需要全社會的共同防范重于檢測和清除，這項系統(tǒng)工程，需要全社會的共同努力。努力。國家依法打擊病毒的制造者和蓄意傳播者，并建立計算機病毒防治機國家依法打擊病毒的制造者和蓄意傳播者，并建立計算機病毒防治機構及處理中心，從政策與技術上組織、協(xié)調和指導全國的計算機病毒防治。構及處理中心，從政策與技術上組織、協(xié)調和指導全國的計算機病毒防治。通過建立計算機病毒防范體系和制度，實時檢測及時發(fā)現(xiàn)計算機病毒的侵入，通過建立計算機病毒防范體系和制度，實時檢測及時發(fā)現(xiàn)計算機病毒的侵入，有效遏制病毒的傳播和破壞，盡快恢復。有效遏制病毒的傳播和破壞，盡快恢復。n 企事業(yè)單位企事業(yè)單位應樹立應樹立“預防為主預防為

42、主”思想，制定出切實可行的管理措施，以思想，制定出切實可行的管理措施，以防止病毒傳播，定期專項培訓，提高計算機使用人員防毒意識。防止病毒傳播，定期專項培訓，提高計算機使用人員防毒意識。對于重要部對于重要部門，專機專用；對于具體用戶，門，專機專用；對于具體用戶，一定遵守有關規(guī)則和習慣一定遵守有關規(guī)則和習慣：配備殺毒軟件并：配備殺毒軟件并及時升級；留意安全信息，及時打好補??；經常備份文件并殺毒一次；對外及時升級；留意安全信息，及時打好補??；經常備份文件并殺毒一次；對外來文件和存儲介質都應先查毒后使用；一旦遭到大規(guī)模的病毒攻擊，應立即來文件和存儲介質都應先查毒后使用；一旦遭到大規(guī)模的病毒攻擊，應立即

43、采取隔離措施，并向有關部門報告，再采取措施清除；不點擊不明網(wǎng)站及鏈采取隔離措施，并向有關部門報告，再采取措施清除；不點擊不明網(wǎng)站及鏈接；不使用盜版光盤；不下載不明文件和游戲等。接；不使用盜版光盤；不下載不明文件和游戲等。個人用戶個人用戶也要遵守病毒防也要遵守病毒防治的法紀和制度，不斷學習、積累防毒知識和經驗，養(yǎng)成良好的防毒習慣，治的法紀和制度，不斷學習、積累防毒知識和經驗，養(yǎng)成良好的防毒習慣，不造毒不傳毒。不造毒不傳毒。n 8.3.4 8.3.4 木馬的檢測清除與防范木馬的檢測清除與防范 木馬可在木馬可在Win.ini和和System.ini”run=”“l(fā)oad=”“shell=”后面加載后

44、面加載,若在這些選若在這些選項后的加載程序很陌生項后的加載程序很陌生,可能可能就是木馬就是木馬.通常將通常將“Explorer”變?yōu)樽陨沓绦蛎優(yōu)樽陨沓绦蛎?只需將其中只需將其中的字母的字母”l”改為數(shù)字改為數(shù)字“1”,或或將字母將字母“o”改為數(shù)字改為數(shù)字“0”,不不易被發(fā)現(xiàn)。易被發(fā)現(xiàn)。8.3 計算機病毒檢測清除與防范計算機病毒檢測清除與防范 上海市經濟和信上海市經濟和信息化委員會息化委員會2013年年8月月23發(fā)發(fā)布計算機病毒預報。布計算機病毒預報。案例案例8-128-12案例案例8-118-11n 8.3.5 8.3.5 病毒和反病毒技術的發(fā)展趨勢病毒和反病毒技術的發(fā)展趨勢n 1.1.計

45、算機病毒的發(fā)展趨勢計算機病毒的發(fā)展趨勢 計算機病毒技術發(fā)展變化很快，而且造成的影響更為廣泛，從最計算機病毒技術發(fā)展變化很快，而且造成的影響更為廣泛，從最早的單片機到現(xiàn)在的聯(lián)網(wǎng)手機，并朝著網(wǎng)絡化、智能對抗反病毒手早的單片機到現(xiàn)在的聯(lián)網(wǎng)手機，并朝著網(wǎng)絡化、智能對抗反病毒手段和有目的方向發(fā)展。段和有目的方向發(fā)展。一些新病毒更加隱蔽，針對查毒軟件而設一些新病毒更加隱蔽，針對查毒軟件而設計的多形態(tài)病毒使查毒更難。計的多形態(tài)病毒使查毒更難。8.3 計算機病毒檢測清除與防范計算機病毒檢測清除與防范 據(jù)瑞星網(wǎng)站報道據(jù)瑞星網(wǎng)站報道2013年年1至至6月月，瑞星，瑞星“云安全云安全”系統(tǒng)共截獲新系統(tǒng)共截獲新增病毒

46、樣本增病毒樣本1,633萬余個，病毒總體數(shù)量比去年下半年增長萬余個，病毒總體數(shù)量比去年下半年增長93.01%，呈現(xiàn)，呈現(xiàn)出一個爆發(fā)式的增長態(tài)勢。其中木馬病毒出一個爆發(fā)式的增長態(tài)勢。其中木馬病毒1,172萬個，占總體病毒的萬個，占總體病毒的71.8%，和去年一樣是第一大種類病毒。新增病毒樣本包括蠕蟲病毒（和去年一樣是第一大種類病毒。新增病毒樣本包括蠕蟲病毒（Worm）198萬個，占總體數(shù)量的萬個，占總體數(shù)量的12.16%，成為第二大種類病毒。感染型（，成為第二大種類病毒。感染型（Win32）病毒病毒97萬個，占總體數(shù)量的萬個，占總體數(shù)量的5.99%，后門病毒（，后門病毒（Backdoor）66萬

47、個，占萬個，占總體數(shù)量的總體數(shù)量的4.05%，位列第三和第四。惡意廣告（，位列第三和第四。惡意廣告（Adware）、黑客程序）、黑客程序（Hack）、病毒釋放器（）、病毒釋放器（Dropper）、惡意驅動（）、惡意驅動（Rootkit）依次排列，）依次排列，比例分別為比例分別為1.91%、1.03%、0.62%和和0.35%。案例案例8-138-13n 2.2.病毒防范技術的發(fā)展趨勢病毒防范技術的發(fā)展趨勢n 病毒清除新技術和新發(fā)展主要體現(xiàn)在：病毒清除新技術和新發(fā)展主要體現(xiàn)在：主要包主要包括括 8.3 計算機病毒檢測清除與防范計算機病毒檢測清除與防范 8.4 惡意軟件的危害和清除惡意軟件的危害和

48、清除n 8.4.1 8.4.1 惡意軟件概述惡意軟件概述n 1 1惡意軟件的概念惡意軟件的概念n 2 2惡意軟件的分類惡意軟件的分類 按照按照惡意軟件惡意軟件的特征和危害可以的特征和危害可以分為分為6 6類類：（1 1）廣告軟件（）廣告軟件（AdwareAdware）（4 4）行為記錄軟件（）行為記錄軟件（Track WareTrack Ware）（2 2）間諜軟件（）間諜軟件（SpywareSpyware）（5 5）惡意共享軟件（）惡意共享軟件（malicious sharewaremalicious shareware）（3 3）瀏覽器劫持）瀏覽器劫持 （6 6）其它）其它“流氓軟件流氓軟

49、件”惡意軟件惡意軟件也稱也稱惡意代碼惡意代碼是擾亂系統(tǒng)正常運行和操作的程序。廣是擾亂系統(tǒng)正常運行和操作的程序。廣義上，計算機病毒也是惡意軟件的一種。狹義上惡意軟件是介于病義上，計算機病毒也是惡意軟件的一種。狹義上惡意軟件是介于病毒和正規(guī)軟件之間。一般同時具有下載、媒體播放等正常功能和自毒和正規(guī)軟件之間。一般同時具有下載、媒體播放等正常功能和自動彈出、開后門、難清除等惡意行為。其共同的特征是未經用戶許動彈出、開后門、難清除等惡意行為。其共同的特征是未經用戶許可強行潛入到電腦中，且無法正常卸載和刪除，或刪除后又自動生可強行潛入到電腦中，且無法正常卸載和刪除，或刪除后又自動生成，因此，也被稱為成，因

50、此，也被稱為“流氓軟件流氓軟件”。n 8.4.2 8.4.2 惡意軟件的危害與清除惡意軟件的危害與清除n 1.1.惡意軟件的危害惡意軟件的危害 （1 1）強制彈出廣告軟件）強制彈出廣告軟件 （2 2）劫持瀏覽器）劫持瀏覽器 （3 3）后臺記錄）后臺記錄 （4 4）強制改寫系統(tǒng)文件）強制改寫系統(tǒng)文件n 2.2.惡意軟件的清除惡意軟件的清除 利用利用惡意軟件清除工具惡意軟件清除工具進行清理進行清理,如超級巡警病毒分析工具如超級巡警病毒分析工具,惡意軟件清惡意軟件清理助手理助手,超級兔子超級兔子,Windows,Windows優(yōu)化大師優(yōu)化大師,金山清理專家等金山清理專家等,其使用方法較為簡單。其使用

51、方法較為簡單。Windows Windows 優(yōu)化大師優(yōu)化大師清除惡意軟件方法清除惡意軟件方法.WindowsWindows優(yōu)化大師是優(yōu)化大師是一款功能強大的系統(tǒng)工具軟件一款功能強大的系統(tǒng)工具軟件,提供了全面有效且簡便安全的提供了全面有效且簡便安全的系統(tǒng)檢測、優(yōu)化、清理、維護四大功能模塊和附加的工具軟件系統(tǒng)檢測、優(yōu)化、清理、維護四大功能模塊和附加的工具軟件。案例案例8-148-14 8.4 惡意軟件的危害和清除惡意軟件的危害和清除圖圖8-1 Windows優(yōu)化大師清理惡意軟件界面優(yōu)化大師清理惡意軟件界面9.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗 9.5.1 9.5.1

52、實驗目的實驗目的9.5.2 9.5.2 實驗內容實驗內容 1.主要實驗內容主要實驗內容 360安全衛(wèi)士及殺毒軟件的安全衛(wèi)士及殺毒軟件的實驗內容實驗內容：360安全衛(wèi)士及殺毒軟件的主要功能及特點。安全衛(wèi)士及殺毒軟件的主要功能及特點。360安全衛(wèi)士及殺毒軟件主要技術和應用。安全衛(wèi)士及殺毒軟件主要技術和應用。360安全衛(wèi)士及殺毒軟件主要操作界面和方法。安全衛(wèi)士及殺毒軟件主要操作界面和方法。實驗用時：實驗用時：2學時（學時（90-120分鐘）分鐘）2.360安全衛(wèi)士主要功能特點安全衛(wèi)士主要功能特點 360安全衛(wèi)士安全衛(wèi)士主要功能主要功能：電腦體檢。電腦體檢。查殺木馬。查殺木馬。修復漏洞。修復漏洞。系統(tǒng)

53、修復。系統(tǒng)修復。電腦清理。電腦清理。優(yōu)化加速。優(yōu)化加速。電腦門診。電腦門診。軟件管家。軟件管家。功能大全。功能大全。360安全衛(wèi)士及殺毒軟件的安全衛(wèi)士及殺毒軟件的實驗目的實驗目的：了解了解360安全衛(wèi)士及殺毒軟件的主要功能及特點。安全衛(wèi)士及殺毒軟件的主要功能及特點。理解理解360安全衛(wèi)士及殺毒軟件主要技術和應用。安全衛(wèi)士及殺毒軟件主要技術和應用。掌握掌握360安全衛(wèi)士及殺毒軟件主要操作界面和方法安全衛(wèi)士及殺毒軟件主要操作界面和方法 3.360殺毒軟件主要功能特點殺毒軟件主要功能特點 360殺毒軟件和殺毒軟件和360安全衛(wèi)士配合使用，是安全上網(wǎng)的黃金組合，安全衛(wèi)士配合使用，是安全上網(wǎng)的黃金組合，

54、可提供全時全面的病毒防護?？商峁┤珪r全面的病毒防護。360殺毒軟件主要功能特點殺毒軟件主要功能特點：360360殺毒無縫整合國際知名的殺毒無縫整合國際知名的BitDefenderBitDefender病毒查殺引擎和安全病毒查殺引擎和安全中心領先云查殺引擎。中心領先云查殺引擎。雙引擎智能調度，為電腦提供完善的病毒防護體系，不但查殺雙引擎智能調度，為電腦提供完善的病毒防護體系，不但查殺能力出色，而且能第一時間防御新出現(xiàn)的病毒木馬。能力出色，而且能第一時間防御新出現(xiàn)的病毒木馬。殺毒快、誤殺率低。以獨有的技術體系對系統(tǒng)資源占用少，殺殺毒快、誤殺率低。以獨有的技術體系對系統(tǒng)資源占用少，殺毒快、誤殺率低。

55、毒快、誤殺率低?？焖偕壓晚憫?，病毒特征庫及時更新，確保對爆發(fā)性病毒的快速升級和響應，病毒特征庫及時更新，確保對爆發(fā)性病毒的快速響應。快速響應。對感染型木馬強力查殺功能的反病毒引擎，以及實時保護技術對感染型木馬強力查殺功能的反病毒引擎，以及實時保護技術強大的反病毒引擎，采用虛擬環(huán)境啟發(fā)式分析技術發(fā)現(xiàn)和阻止未知病毒。強大的反病毒引擎，采用虛擬環(huán)境啟發(fā)式分析技術發(fā)現(xiàn)和阻止未知病毒。超低系統(tǒng)資源占用，人性化免打擾設置，在用戶打開全屏程序超低系統(tǒng)資源占用，人性化免打擾設置，在用戶打開全屏程序或運行應用程序時自動進入或運行應用程序時自動進入“免打擾模式免打擾模式”。9.5 360安全衛(wèi)士及殺毒軟件應用實

56、驗安全衛(wèi)士及殺毒軟件應用實驗 9.5.3 9.5.3 操作界面及步驟操作界面及步驟1.360安全衛(wèi)士操作界面 鑒于廣大用戶對360安全衛(wèi)士等軟件比較熟悉，且限于篇幅，在此只做概述。360安全衛(wèi)士最新9.6版主要操作界面，如圖9-5至9-10所示。圖圖9-5 安全衛(wèi)士主界面及電腦體驗界面安全衛(wèi)士主界面及電腦體驗界面 圖圖9-6 安全衛(wèi)士的木馬查殺界面安全衛(wèi)士的木馬查殺界面9.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗 1.360安全衛(wèi)士操作界面安全衛(wèi)士操作界面9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗

57、 圖圖9-7安全衛(wèi)士系統(tǒng)修復界面安全衛(wèi)士系統(tǒng)修復界面 圖圖9-8 安全衛(wèi)士的電腦清理界面安全衛(wèi)士的電腦清理界面1.360安全衛(wèi)士操作界面安全衛(wèi)士操作界面9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗 圖圖9-9電腦救援操作界面電腦救援操作界面 圖圖9-10 360手機安全助手手機安全助手2.360殺毒軟件操作界面殺毒軟件操作界面 360殺毒軟件主要功能界面，如圖殺毒軟件主要功能界面，如圖9-11至至9-14所示。所示。9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒

58、軟件應用實驗 圖圖9-11 360殺毒軟件主界面殺毒軟件主界面 圖圖9-12 360殺毒軟件全面掃描界面殺毒軟件全面掃描界面2.360殺毒軟件操作界面殺毒軟件操作界面9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應用實驗安全衛(wèi)士及殺毒軟件應用實驗 圖圖9-13快速掃描操作界面快速掃描操作界面 圖圖9-14 功能大全選項界面功能大全選項界面8.6 本章小結本章小結 計算機計算機病毒的防范重于對病毒的檢測和清除病毒的防范重于對病毒的檢測和清除，計算機，計算機病毒病毒防治是一項系統(tǒng)工程防治是一項系統(tǒng)工程，需要各方面密切配合綜合治理需要各方面密切配合綜合治理。本章

59、首。本章首先進行了計算機病毒概述，包括：計算機病毒的概念及發(fā)展、先進行了計算機病毒概述，包括：計算機病毒的概念及發(fā)展、計算機病毒的分類、計算機病毒的主要特點、計算機中毒初期、計算機病毒的分類、計算機病毒的主要特點、計算機中毒初期、中期和后期的異常表現(xiàn)、特洛伊木馬特性及變異；介紹了計算中期和后期的異常表現(xiàn)、特洛伊木馬特性及變異；介紹了計算機病毒的組成結構、計算機病毒的各種傳播方式、計算機病毒機病毒的組成結構、計算機病毒的各種傳播方式、計算機病毒的觸發(fā)條件與生存周期、近年出現(xiàn)的特種及新型計算機病毒實的觸發(fā)條件與生存周期、近年出現(xiàn)的特種及新型計算機病毒實例分析等；同時還具體地介紹了計算機病毒的檢測、

60、清除與防例分析等；同時還具體地介紹了計算機病毒的檢測、清除與防范技術和方法，包括常見的病毒清除方法和木馬的檢測清除與范技術和方法，包括常見的病毒清除方法和木馬的檢測清除與防范技術，以及計算機病毒和防病毒的發(fā)展趨勢及新技術方法；防范技術，以及計算機病毒和防病毒的發(fā)展趨勢及新技術方法；結合實際討論了惡意軟件的類型、危害、清除和防范方法；最結合實際討論了惡意軟件的類型、危害、清除和防范方法；最后，對后，對360360安全衛(wèi)士和殺毒軟件的功能、特點和操作界面，以安全衛(wèi)士和殺毒軟件的功能、特點和操作界面，以及實際應用和具體的實驗目的、內容等進行了簡單介紹，便于及實際應用和具體的實驗目的、內容等進行了簡單介紹，便于理解和掌握具體實驗過程及方法。理解和掌握具體實驗過程及方法。