【正文】 理，查看個分區(qū)的文件系統(tǒng)類型 操作系統(tǒng)安全增強 —— 以 Windows XP為例 ? 系統(tǒng)的安全審計 ? 記錄用戶使用計算機系統(tǒng)進行所有活動的過程，是提高安全性的重要工具。 ? 多數(shù)人把安全審計理解為“日志記錄”，屬于事后被動響應，多用于計算機取證或安全分析 ? 安全審計類產(chǎn)品 1. 網(wǎng)絡設備及防火墻日志 2. 操作系統(tǒng)日志 3. 網(wǎng)絡數(shù)據(jù)包捕獲日志 操作系統(tǒng)安全增強 —— 以 Windows XP為例 ? 系統(tǒng)的安全審計 ? Windows XP事件查看器（ cmd→ ） ? 應用程序日志（程序運行事件） ? 安全性日志（登錄、創(chuàng)建對象等事件，默認為關(guān)閉，可由系統(tǒng)管理員指定記錄內(nèi)容） ? 系統(tǒng)日志（系統(tǒng)組件記錄） 操作系統(tǒng)安全增強 —— 以 Windows XP為例 ? 系統(tǒng)的安全審計 ? Windows XP事件查看器的各種狀態(tài)描述 ? 信息：描述了應用程序、驅(qū)動程序或服務的成功操作事件 ? 警告：不是很重要，但是將來有可能導致問題事件 ? 錯誤：重要的問題，例如數(shù)據(jù)丟失或功能喪失都會以“錯誤”事件的形式被記錄下來，這種情況下有必要檢查系統(tǒng) ? 成功審核：成功的審核安全訪問嘗試，主要指安全性日志 ? 失敗審核：失敗的審核安全登錄嘗試，例如用戶試圖訪問網(wǎng)絡驅(qū)動器失敗 操作系統(tǒng)安全增強 —— 以 Windows XP為例 ? 系統(tǒng)的安全審計 ? Windows XP事件查看器的各種狀態(tài)描述 ? 合理設置日志記錄空間，定期釋放多余日志空間 ? 不過如果使用的是 NTFS格式的系統(tǒng)，在刪除日志文件之前必須首先關(guān)閉事件檢查器服務才行 ? 除了使用“事件查看器”管理事件日志外，也可以使用命令行工具來創(chuàng)建和查詢事件日志，以及使程序與特殊的日志事件關(guān)聯(lián) ? ? 性 ? 計算機病毒的檢測與處理 ?每種類型的病毒都有自己特定的破壞方式，行為檢測法是通過眾多的病毒類型了解、分析來檢測病毒的方法 ? 特征代碼檢測法（最簡單、開銷最小的方法） ?優(yōu)點：準確快速、誤報率低、可進行殺毒處理 ?缺點：不能檢測未知病毒，搜集的開銷較大 ?提示：必須保證殺毒軟件的適時更新 計算機病毒的檢測與處理 ? 內(nèi)存病毒檢測法：內(nèi)存病毒以占有大量內(nèi)存空間，減緩系統(tǒng)運行速度為特征。現(xiàn)在大多數(shù)殺毒軟件在運行時會自動監(jiān)測系統(tǒng)內(nèi)存。 ?通過“ Windows任務管理器” → “ 進程 ” 選擇卡 ?注意：系統(tǒng)進程不能隨意終止，這樣容易導致系統(tǒng)崩潰 ?要取消當前運行的窗口，可選中 ,結(jié)束后，再在 “ 文件 ” → “ 新建任務 ”重新運行該命令，可以解決系統(tǒng)假死現(xiàn)象、讓某些修改的注冊表項立即生效、讓某些修改的組策略立即生效 計算機病毒的檢測與處理 ? 文件型病毒檢測法（備份比較法、檢查代碼法） ? 引導型病毒檢測法：主要感染磁盤啟動時的Boot引導區(qū)，病毒可以在啟動計算機時取得系統(tǒng)控制權(quán) ?用 mem命令查看內(nèi)存總?cè)萘? ?一般為 640KB，裝有硬件殺毒卡的計算機可能為 639KB，若小于 639KB，則常規(guī)內(nèi)存有可能染毒 計算機病毒的檢測與處理 ? 宏病毒檢測法：主要感染帶有宏的 Office文檔，并不是所有的宏都帶有病毒，簡單地刪除被宏病毒感染的文檔并不能清除 Office系統(tǒng)中的宏病毒 ? Word 2023中的宏病毒防護功能：工具 → 選項→ 安全性 → 宏安全性 計算機病毒的檢測與處理 ? 病毒進程檢測法：在“任務管理器”中刪除可疑進程 ?以假亂真型： 紅色為病毒 ?偷梁換柱型：用同名文件替換系統(tǒng)文件 ?借尸還魂型：用 dll文件控制系統(tǒng)進程 計算機病毒的檢測與處理 ?殺毒軟件簡介（個人版） ? 瑞星 2023 ? 金山獨霸 2023 ? KV2023 ? 熊貓衛(wèi)士 2023 ? 卡巴斯基 ? 計算機病毒的檢測與處理 ? 瑞星 2023 ?瑞星殺毒軟件 2023 ?瑞星個人防火墻 2023 ?卡卡上網(wǎng)安全助手 ?瑞星在線殺毒 ? 金山獨霸 2023 ?金山獨霸 2023 ?金山網(wǎng)鏢 2023 ?金山清理專家 2023 ?金山獨霸在線殺毒 2023 計算機病毒的檢測與處理 ? KV2023（江民殺毒軟件） ? KV2023 ?網(wǎng)頁防馬墻 ?新安全助手 ? 熊貓衛(wèi)士 2023（ Panda） ? 卡巴斯基 Kaspersky AntiVirus （ Kaspersky Labs） ? 諾頓 （ Symantec） 計算機病毒的檢測與處理 ? 殺毒軟件結(jié)構(gòu)總結(jié)（個人版） 1. 查殺病毒 （全盤查殺病毒、引導區(qū)殺毒、內(nèi)存殺毒、手動查殺病毒、定時查殺病毒、病毒隔離 …… ） 2. 主動防御 （系統(tǒng)監(jiān)控、文件保護、郵件保護、網(wǎng)絡防火墻 …… ） 3. 更新升級 （在線升級、定時升級、系統(tǒng)漏洞補丁、離線數(shù)據(jù)包下載 …… ） 4. 附加特色功能 （數(shù)據(jù)備份與恢復、上網(wǎng)痕跡清理、病毒專殺、病毒免疫、文件粉碎 …… ） …… 計算機病毒的檢測與處理 ? 殺毒軟件趨勢總結(jié)（個人版） ? 隨著 Web ，殺毒軟件已從單純的antivirus走向 Inter Security復合型，已經(jīng)將殺毒、防間諜程序、防釣魚、個人資料保護、防火墻、系統(tǒng)備份等功能集于一身 ? 殺毒軟件的總體積有所增加，系統(tǒng)內(nèi)存的低占用率是各大廠商競相追逐的目標 ? 各大廠商的焦點集中在殺毒引擎的智能化研發(fā)和系統(tǒng)安全監(jiān)控機制研發(fā)上 ? 不斷擴充的病毒特征庫（卡巴斯基 134000種） 計算機病毒的檢測與處理 ? 主流殺毒軟件比較（個人版） 1. 實時監(jiān)控能力 2. 殺毒能力（擁有自主知識產(chǎn)權(quán)的殺毒引擎，全世界 5個） 3. 殺殼能力 4. 病毒特征庫 5. 自帶防火墻 計算機病毒的檢測與處理 ? 國內(nèi)主流殺毒軟件比較（個人版） ? 金山毒霸（占內(nèi)存不大，啟動速度快，金山網(wǎng)鏢占系統(tǒng)資源較大） ? 瑞星（占內(nèi)存和啟動速度適中，病毒阻殺率 %） ? 江民 KV（占內(nèi)存適中，啟動速度快，但自帶防火墻功能欠缺） 計算機病毒的檢測與處理 ?國外主流殺毒軟件比較 ? 卡巴斯基 Kaspersky：殺毒能力天下第一（病毒阻殺率高達 %），但監(jiān)控能力較弱（內(nèi)存占用大、啟動速度慢） ? 諾頓 Norton：主要面向企業(yè)用戶，以隔離病毒為主（系統(tǒng)資源占用大、啟動速度很慢），病毒阻殺率 ~% ? 熊貓衛(wèi)士 Panda：速度快、查殺徹底，內(nèi)存占用大，病毒庫有西化趨勢，病毒阻殺率%，金山獨霸是仿熊貓殺毒機制的 計算機病毒的檢測與處理 ? 初級個人用戶如何選擇合適的殺毒軟件？（看測評文章 +試用） 1. 殺毒能力 —— 病毒阻殺率 2. 實時監(jiān)控能力 3. CPU系統(tǒng)資源占用率 4. 內(nèi)存資源占用率 5. 啟動速度 6. 升級速度 7. 附加功能 計算機病毒的檢測與處理 ? 關(guān)于“殼”的補充知識 ? 由自然界中植物果實的“殼”演變而來，作用是保護和隱蔽殼內(nèi)的東西 ? “殼”的兩面性：保護軟件版權(quán)信息，免遭非法盜版；壓縮可執(zhí)行文件（ *.exe），減小文件容量；給病毒木馬等殺毒軟件加殼 \脫殼，以躲避殺毒軟件的查殺，并傳播自身。 ? 加殼工具： ASPack ? 脫殼工具： UNASPack ? 殼偵測工具： Language2023 （可偵測編程語言的類型等） 計算機病毒的檢測與處理 ?一種壓縮變形病毒的工作過程 C VP 1 39。P 2t 0C VP 1 39。P 1C VP 2 39。P 2t 11234 計算機病毒的檢測與處理 ? 壓縮與“殼”的關(guān)系 ? 壓縮軟件（ Winzip、 WinRAR）可以壓縮一切形式的文件，壓縮后的文件不能直接運行 ? 加殼軟件只壓縮可執(zhí)行文件（ *.exe），壓縮后的程序能直接運行，通常壓縮后的文件大小只有原來的50%70% ? 加殼與病毒的關(guān)系 ? 加殼后病毒特征碼錯亂，為殺毒軟件增添了難度較大的掃描屏障 ? 復雜的多重加殼，使殺毒軟件脫殼能力下降，影響查殺速度 計算機病毒的檢測與處理 ?病毒專殺工具 ? 針對某些破壞性較大，普通殺毒軟件難以清除的病毒而設計的專門殺毒工具。 ?“熊貓燒香 \武漢男生”病毒專殺 計算機病毒的檢測與處理 ? “熊貓燒香 \武漢男生”病毒感染過程 感染網(wǎng)頁文件 將病毒上傳到網(wǎng)站 帶 毒 網(wǎng) 站 計算機病毒的檢測與處理 ? “熊貓燒香 \武漢男生”病毒的中毒癥狀 ? 感染應用程序的 .exe文件，改變圖標顏色，但不會感染微軟操作系統(tǒng)自身的文件 ? 刪除 ghost生成的系統(tǒng)備份文件（ *.gho） ? 拷貝自身到所有驅(qū)動器根目錄，命名為 ，并生成一個 ，并將這兩個文件屬性設置為隱藏、只讀、系統(tǒng) ? 修改注冊表，加載自啟動，并禁止顯示隱藏文件 ? 禁用殺毒工具 ? 通過 IPC$共享跨機傳染 計算機病毒的檢測與處理 ?“熊貓燒香 \武漢男生”病毒專殺工具 —— 金山毒霸 ? 后綴名是 *.bat，批處理文件，以防出現(xiàn)不能自動關(guān)聯(lián)可執(zhí)行文件的情況 計算機病毒的檢測與處理 ? U盤病毒專殺 ? 稱為 Autorun病毒，通過 （ ）使對方所有的硬盤完全共享或向硬盤傳播木馬 ? 不同的病毒有不同的目的，一般分為盜取用戶信息（ 密碼，銀行賬號）和控制用戶電腦（黑客可以控制你的電腦對某網(wǎng)站進行攻擊等非法行為）兩類 ? 有些病毒還會將這些文件寫入電腦的每一個磁盤分區(qū)，即使用戶發(fā)現(xiàn)系統(tǒng)不正常而還原系統(tǒng)盤，但一旦貿(mào)然雙擊進入其他硬盤便將前功盡棄而感染病毒 計算機病毒的檢測與處理 ? U盤病毒專殺 —— USB Claener （綠色軟件） 計算機病毒的檢測與處理 ? 病毒專殺 ? 通過 等流行即時通信工具進行傳播的病毒，如盜號、木馬、流氓軟件等 ? 專殺工具 —— Kav