【正文】 理，查看個(gè)分區(qū)的文件系統(tǒng)類(lèi)型 操作系統(tǒng)安全增強(qiáng) —— 以 Windows XP為例 ? 系統(tǒng)的安全審計(jì) ? 記錄用戶(hù)使用計(jì)算機(jī)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，是提高安全性的重要工具。 ? 多數(shù)人把安全審計(jì)理解為“日志記錄”，屬于事后被動(dòng)響應(yīng)，多用于計(jì)算機(jī)取證或安全分析 ? 安全審計(jì)類(lèi)產(chǎn)品 1. 網(wǎng)絡(luò)設(shè)備及防火墻日志 2. 操作系統(tǒng)日志 3. 網(wǎng)絡(luò)數(shù)據(jù)包捕獲日志 操作系統(tǒng)安全增強(qiáng) —— 以 Windows XP為例 ? 系統(tǒng)的安全審計(jì) ? Windows XP事件查看器（ cmd→ ） ? 應(yīng)用程序日志（程序運(yùn)行事件） ? 安全性日志（登錄、創(chuàng)建對(duì)象等事件，默認(rèn)為關(guān)閉，可由系統(tǒng)管理員指定記錄內(nèi)容） ? 系統(tǒng)日志（系統(tǒng)組件記錄） 操作系統(tǒng)安全增強(qiáng) —— 以 Windows XP為例 ? 系統(tǒng)的安全審計(jì) ? Windows XP事件查看器的各種狀態(tài)描述 ? 信息：描述了應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作事件 ? 警告：不是很重要，但是將來(lái)有可能導(dǎo)致問(wèn)題事件 ? 錯(cuò)誤：重要的問(wèn)題，例如數(shù)據(jù)丟失或功能喪失都會(huì)以“錯(cuò)誤”事件的形式被記錄下來(lái)，這種情況下有必要檢查系統(tǒng) ? 成功審核：成功的審核安全訪問(wèn)嘗試，主要指安全性日志 ? 失敗審核：失敗的審核安全登錄嘗試，例如用戶(hù)試圖訪問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器失敗 操作系統(tǒng)安全增強(qiáng) —— 以 Windows XP為例 ? 系統(tǒng)的安全審計(jì) ? Windows XP事件查看器的各種狀態(tài)描述 ? 合理設(shè)置日志記錄空間，定期釋放多余日志空間 ? 不過(guò)如果使用的是 NTFS格式的系統(tǒng)，在刪除日志文件之前必須首先關(guān)閉事件檢查器服務(wù)才行 ? 除了使用“事件查看器”管理事件日志外，也可以使用命令行工具來(lái)創(chuàng)建和查詢(xún)事件日志，以及使程序與特殊的日志事件關(guān)聯(lián) ? ? 性 ? 計(jì)算機(jī)病毒的檢測(cè)與處理 ?每種類(lèi)型的病毒都有自己特定的破壞方式，行為檢測(cè)法是通過(guò)眾多的病毒類(lèi)型了解、分析來(lái)檢測(cè)病毒的方法 ? 特征代碼檢測(cè)法（最簡(jiǎn)單、開(kāi)銷(xiāo)最小的方法） ?優(yōu)點(diǎn)：準(zhǔn)確快速、誤報(bào)率低、可進(jìn)行殺毒處理 ?缺點(diǎn)：不能檢測(cè)未知病毒，搜集的開(kāi)銷(xiāo)較大 ?提示：必須保證殺毒軟件的適時(shí)更新 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 內(nèi)存病毒檢測(cè)法：內(nèi)存病毒以占有大量?jī)?nèi)存空間，減緩系統(tǒng)運(yùn)行速度為特征?，F(xiàn)在大多數(shù)殺毒軟件在運(yùn)行時(shí)會(huì)自動(dòng)監(jiān)測(cè)系統(tǒng)內(nèi)存。 ?通過(guò)“ Windows任務(wù)管理器” → “ 進(jìn)程 ” 選擇卡 ?注意：系統(tǒng)進(jìn)程不能隨意終止，這樣容易導(dǎo)致系統(tǒng)崩潰 ?要取消當(dāng)前運(yùn)行的窗口，可選中 ,結(jié)束后，再在 “ 文件 ” → “ 新建任務(wù) ”重新運(yùn)行該命令，可以解決系統(tǒng)假死現(xiàn)象、讓某些修改的注冊(cè)表項(xiàng)立即生效、讓某些修改的組策略立即生效 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 文件型病毒檢測(cè)法（備份比較法、檢查代碼法） ? 引導(dǎo)型病毒檢測(cè)法：主要感染磁盤(pán)啟動(dòng)時(shí)的Boot引導(dǎo)區(qū)，病毒可以在啟動(dòng)計(jì)算機(jī)時(shí)取得系統(tǒng)控制權(quán) ?用 mem命令查看內(nèi)存總?cè)萘? ?一般為 640KB，裝有硬件殺毒卡的計(jì)算機(jī)可能為 639KB，若小于 639KB，則常規(guī)內(nèi)存有可能染毒 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 宏病毒檢測(cè)法：主要感染帶有宏的 Office文檔，并不是所有的宏都帶有病毒，簡(jiǎn)單地刪除被宏病毒感染的文檔并不能清除 Office系統(tǒng)中的宏病毒 ? Word 2023中的宏病毒防護(hù)功能：工具 → 選項(xiàng)→ 安全性 → 宏安全性 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 病毒進(jìn)程檢測(cè)法：在“任務(wù)管理器”中刪除可疑進(jìn)程 ?以假亂真型： 紅色為病毒 ?偷梁換柱型：用同名文件替換系統(tǒng)文件 ?借尸還魂型：用 dll文件控制系統(tǒng)進(jìn)程 計(jì)算機(jī)病毒的檢測(cè)與處理 ?殺毒軟件簡(jiǎn)介（個(gè)人版） ? 瑞星 2023 ? 金山獨(dú)霸 2023 ? KV2023 ? 熊貓衛(wèi)士 2023 ? 卡巴斯基 ? 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 瑞星 2023 ?瑞星殺毒軟件 2023 ?瑞星個(gè)人防火墻 2023 ?卡卡上網(wǎng)安全助手 ?瑞星在線殺毒 ? 金山獨(dú)霸 2023 ?金山獨(dú)霸 2023 ?金山網(wǎng)鏢 2023 ?金山清理專(zhuān)家 2023 ?金山獨(dú)霸在線殺毒 2023 計(jì)算機(jī)病毒的檢測(cè)與處理 ? KV2023（江民殺毒軟件） ? KV2023 ?網(wǎng)頁(yè)防馬墻 ?新安全助手 ? 熊貓衛(wèi)士 2023（ Panda） ? 卡巴斯基 Kaspersky AntiVirus （ Kaspersky Labs） ? 諾頓 （ Symantec） 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 殺毒軟件結(jié)構(gòu)總結(jié)（個(gè)人版） 1. 查殺病毒 （全盤(pán)查殺病毒、引導(dǎo)區(qū)殺毒、內(nèi)存殺毒、手動(dòng)查殺病毒、定時(shí)查殺病毒、病毒隔離 …… ） 2. 主動(dòng)防御 （系統(tǒng)監(jiān)控、文件保護(hù)、郵件保護(hù)、網(wǎng)絡(luò)防火墻 …… ） 3. 更新升級(jí) （在線升級(jí)、定時(shí)升級(jí)、系統(tǒng)漏洞補(bǔ)丁、離線數(shù)據(jù)包下載 …… ） 4. 附加特色功能 （數(shù)據(jù)備份與恢復(fù)、上網(wǎng)痕跡清理、病毒專(zhuān)殺、病毒免疫、文件粉碎 …… ） …… 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 殺毒軟件趨勢(shì)總結(jié)（個(gè)人版） ? 隨著 Web ，殺毒軟件已從單純的antivirus走向 Inter Security復(fù)合型，已經(jīng)將殺毒、防間諜程序、防釣魚(yú)、個(gè)人資料保護(hù)、防火墻、系統(tǒng)備份等功能集于一身 ? 殺毒軟件的總體積有所增加，系統(tǒng)內(nèi)存的低占用率是各大廠商競(jìng)相追逐的目標(biāo) ? 各大廠商的焦點(diǎn)集中在殺毒引擎的智能化研發(fā)和系統(tǒng)安全監(jiān)控機(jī)制研發(fā)上 ? 不斷擴(kuò)充的病毒特征庫(kù)（卡巴斯基 134000種） 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 主流殺毒軟件比較（個(gè)人版） 1. 實(shí)時(shí)監(jiān)控能力 2. 殺毒能力（擁有自主知識(shí)產(chǎn)權(quán)的殺毒引擎，全世界 5個(gè)） 3. 殺殼能力 4. 病毒特征庫(kù) 5. 自帶防火墻 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 國(guó)內(nèi)主流殺毒軟件比較（個(gè)人版） ? 金山毒霸（占內(nèi)存不大，啟動(dòng)速度快，金山網(wǎng)鏢占系統(tǒng)資源較大） ? 瑞星（占內(nèi)存和啟動(dòng)速度適中，病毒阻殺率 %） ? 江民 KV（占內(nèi)存適中，啟動(dòng)速度快，但自帶防火墻功能欠缺） 計(jì)算機(jī)病毒的檢測(cè)與處理 ?國(guó)外主流殺毒軟件比較 ? 卡巴斯基 Kaspersky：殺毒能力天下第一（病毒阻殺率高達(dá) %），但監(jiān)控能力較弱（內(nèi)存占用大、啟動(dòng)速度慢） ? 諾頓 Norton：主要面向企業(yè)用戶(hù)，以隔離病毒為主（系統(tǒng)資源占用大、啟動(dòng)速度很慢），病毒阻殺率 ~% ? 熊貓衛(wèi)士 Panda：速度快、查殺徹底，內(nèi)存占用大，病毒庫(kù)有西化趨勢(shì)，病毒阻殺率%，金山獨(dú)霸是仿熊貓殺毒機(jī)制的 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 初級(jí)個(gè)人用戶(hù)如何選擇合適的殺毒軟件？（看測(cè)評(píng)文章 +試用） 1. 殺毒能力 —— 病毒阻殺率 2. 實(shí)時(shí)監(jiān)控能力 3. CPU系統(tǒng)資源占用率 4. 內(nèi)存資源占用率 5. 啟動(dòng)速度 6. 升級(jí)速度 7. 附加功能 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 關(guān)于“殼”的補(bǔ)充知識(shí) ? 由自然界中植物果實(shí)的“殼”演變而來(lái)，作用是保護(hù)和隱蔽殼內(nèi)的東西 ? “殼”的兩面性：保護(hù)軟件版權(quán)信息，免遭非法盜版；壓縮可執(zhí)行文件（ *.exe），減小文件容量；給病毒木馬等殺毒軟件加殼 \脫殼，以躲避殺毒軟件的查殺，并傳播自身。 ? 加殼工具： ASPack ? 脫殼工具： UNASPack ? 殼偵測(cè)工具： Language2023 （可偵測(cè)編程語(yǔ)言的類(lèi)型等） 計(jì)算機(jī)病毒的檢測(cè)與處理 ?一種壓縮變形病毒的工作過(guò)程 C VP 1 39。P 2t 0C VP 1 39。P 1C VP 2 39。P 2t 11234 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 壓縮與“殼”的關(guān)系 ? 壓縮軟件（ Winzip、 WinRAR）可以壓縮一切形式的文件，壓縮后的文件不能直接運(yùn)行 ? 加殼軟件只壓縮可執(zhí)行文件（ *.exe），壓縮后的程序能直接運(yùn)行，通常壓縮后的文件大小只有原來(lái)的50%70% ? 加殼與病毒的關(guān)系 ? 加殼后病毒特征碼錯(cuò)亂，為殺毒軟件增添了難度較大的掃描屏障 ? 復(fù)雜的多重加殼，使殺毒軟件脫殼能力下降，影響查殺速度 計(jì)算機(jī)病毒的檢測(cè)與處理 ?病毒專(zhuān)殺工具 ? 針對(duì)某些破壞性較大，普通殺毒軟件難以清除的病毒而設(shè)計(jì)的專(zhuān)門(mén)殺毒工具。 ?“熊貓燒香 \武漢男生”病毒專(zhuān)殺 計(jì)算機(jī)病毒的檢測(cè)與處理 ? “熊貓燒香 \武漢男生”病毒感染過(guò)程 感染網(wǎng)頁(yè)文件 將病毒上傳到網(wǎng)站 帶 毒 網(wǎng) 站 計(jì)算機(jī)病毒的檢測(cè)與處理 ? “熊貓燒香 \武漢男生”病毒的中毒癥狀 ? 感染應(yīng)用程序的 .exe文件，改變圖標(biāo)顏色，但不會(huì)感染微軟操作系統(tǒng)自身的文件 ? 刪除 ghost生成的系統(tǒng)備份文件（ *.gho） ? 拷貝自身到所有驅(qū)動(dòng)器根目錄，命名為 ，并生成一個(gè) ，并將這兩個(gè)文件屬性設(shè)置為隱藏、只讀、系統(tǒng) ? 修改注冊(cè)表，加載自啟動(dòng)，并禁止顯示隱藏文件 ? 禁用殺毒工具 ? 通過(guò) IPC$共享跨機(jī)傳染 計(jì)算機(jī)病毒的檢測(cè)與處理 ?“熊貓燒香 \武漢男生”病毒專(zhuān)殺工具 —— 金山毒霸 ? 后綴名是 *.bat，批處理文件，以防出現(xiàn)不能自動(dòng)關(guān)聯(lián)可執(zhí)行文件的情況 計(jì)算機(jī)病毒的檢測(cè)與處理 ? U盤(pán)病毒專(zhuān)殺 ? 稱(chēng)為 Autorun病毒，通過(guò) （ ）使對(duì)方所有的硬盤(pán)完全共享或向硬盤(pán)傳播木馬 ? 不同的病毒有不同的目的，一般分為盜取用戶(hù)信息（ 密碼，銀行賬號(hào)）和控制用戶(hù)電腦（黑客可以控制你的電腦對(duì)某網(wǎng)站進(jìn)行攻擊等非法行為）兩類(lèi) ? 有些病毒還會(huì)將這些文件寫(xiě)入電腦的每一個(gè)磁盤(pán)分區(qū)，即使用戶(hù)發(fā)現(xiàn)系統(tǒng)不正常而還原系統(tǒng)盤(pán)，但一旦貿(mào)然雙擊進(jìn)入其他硬盤(pán)便將前功盡棄而感染病毒 計(jì)算機(jī)病毒的檢測(cè)與處理 ? U盤(pán)病毒專(zhuān)殺 —— USB Claener （綠色軟件） 計(jì)算機(jī)病毒的檢測(cè)與處理 ? 病毒專(zhuān)殺 ? 通過(guò) 等流行即時(shí)通信工具進(jìn)行傳播的病毒，如盜號(hào)、木馬、流氓軟件等 ? 專(zhuān)殺工具 —— Kav