第六(2)讲教案 计算机病毒原理
- 格式:doc
- 大小:78.00 KB
- 文档页数:3
(3)启动杀毒软件.
(4)查杀计算机病毒
(5)对于无法清除的病毒可进行隔离操作.
(三)、典型Windows病毒分析
1.“红色代码Ⅱ”病毒
“红色代码Ⅱ”是一种专门攻击Windows NT 4.0以及Windows 2000系统的恶性网络蠕虫VirtualRoot(虚拟目录)病毒。
该病毒利用微软IndexServer(ida/idq)ISAPI扩展远程溢出漏洞,通过80端口发送一个构造后的HTTP GET请求到服务器,当本地IIS服务程序收到某个来自CodeRedII发的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出(Overflow)。当函数返回时,原返回地址已被病毒数据包覆盖,系统强迫运行病毒代码,此时病毒被激活,并运行在IIS服务程序的堆栈中蠕虫病毒修改Windows注册表并放置特洛伊木马程序(将cmd.exe改名为root.exe),并将cmd.exe文件复制到别的目录,这些目录包括,
$windir/Win32DLL.vbs ($windir = c:\windows on most windows systems)
$systemdir/MSKernel32.vbs ($systemdir = c:\windows\system)
$windir/LOVE-LETTER-FOR-YOU.TXT.vbs
(四)计算机修复经验总结
恢复数据要本着几项原则:
1)先备份
2)优先抢救最关键数据
3)从易到难进行修复
4)做好准备工作,以防忙中出乱.
七、课程小结:
通过本章的学习,理解如何进行计算机数据修复工作。
八、课后作业(书面作业或上机作业要说明)
c:\inetpub\scripts\root.exe;
d:\inetpub\scripts\root.exe;
c:\program files\common files\system\msadc\root.exe;
d:\program files\common files\system\msadc\root.exe.
3)善后工作
4)其他
其中应急计划的实施步骤主要包括:
1)对染毒的计算机和网络进行隔离.
2)向主管部门汇报计算机疫情.
3)确定计算机病毒疫情规模.
4)破坏情况估计及制定抢救策略
5)实施计算机网络系统恢复计划和数据抢救恢复计划
(二)、计算机用户的修复方法
计算机病毒感染后的一般修复处理方法:
(1)了解破坏程度
显然原来的cmd.exe的文件被从Windows NT的System目录复制到了别的目录,给黑客的入侵敞开了大门。
2.“I LOVE YOU”病毒
“I LOVE YOU”病毒是用vbscript写出来的通过E-mail散布的病毒。打开邮件的附件时,含有病毒的脚本程序运行,该病毒首先将自身复制到下列目录中:
然后将这些文件加载到注册表中以便在启动时自动运行。并且改变默认的IE浏览页面,通过该页面可下载一个可执行的代码,下载完毕后再将其加入注册表,并把IE的默认浏览页面再改为about:bland。接下来该病毒扫描硬盘及网络共享硬盘,寻找后缀为vbs、vbe、js、jse、css、wsh、sct、hta、vbs、jpg、jpeg的文件,并将所有这些文件改变成这个病毒,当发现有mp2或者mp3格式的文件时,将自身复制到同样目录下的一个vbs script中,若找到mtml页面),这样就可以对所有加入所在频道的所有用户发送html并感染对方的IE。当感染了病毒的IE运行时,会将其共享密码及IP地址通过E-mail发送回指定的地址。
五、教学用具:
黑板、多媒体计算机、投影仪、CAI课件
六、教学过程:
(一)计算机系统修复应急计划
对于计算机病毒实施的技术防范,任何一个小小的隐患,都可以导致巨大的损失,所以,防范计算机病毒工作也需要制定应急计划,以降低损失.
一个应急计划必须包括人员,分工以及各项具体实施步骤和物质准备.
1)人员准备
2)应急计划的实施步骤
课时
第13周第1-2课时2009年月20日
课题:计算机系统修复
一、教学目的:
1、理解计算机系统修复应急计划
2、计算机用户的修复方法
3、计算机修复经验总结
二、教学重点:
1、计算机用户的修复方法
三、教学难点:
1、理解计算机系统修复应急计划
四、教学方法:
以投影仪辅助讲解为主,利用多媒体计算机、投影仪和黑板进行穿插教学