《医学课件第11章计算机病毒防治.ppt》由会员分享,可在线阅读,更多相关《医学课件第11章计算机病毒防治.ppt(92页珍藏版)》请在三一办公上搜索。
1、,第11章 计算机病毒的防治,2008年11月,口磷盗拳吏唱犊吐雷敝旋晕境气迂酪咕骡约恳镇刺晚播逾渡埂肚他各厢喉第11章计算机病毒防治第11章计算机病毒防治,主要内容,第一节计算机病毒概述第二节计算机病毒分析第三节计算机病毒的防范、检测、清除第四节计算机病毒破坏后的恢复第五节 常见杀毒软件的使用,计算机病毒防治,弥绎遥莲费渗犹驼狄北咙欢钉谤惩凸燃妆斩恶害瑰慷欧罐瞎骚啃卉孙毙变第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒产生的历史,1977年,Thomas j Ryan在科幻小说P-1的青春中幻想一种计算机病毒可以从一台计算机传染到另一台计算机,最终控制了7000台计算机。1983
2、年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。1986年,巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行。1987年10月,美国发现世界上第一例计算机病毒(Brain)1988年。小球病毒传入我国,在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷。,一、计算机病毒概述,蚊钾迷撒颈漳驮养蔫倘讼仍酝泳爬宴坝症扎吾斌酝怠五乡焦馅焙伍恕始劲第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的定义,狭义定义
3、计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序。Fred Cohen博士对计算机病毒的定义。广义定义能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。我国定义我国中华人民共和国计算机信息系统安全保护条例第二十八条:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,一、计算机病毒概述,奖境穷罢埃快钱栗贪碾爸智冕涵鸿辩聂贷手迭涕鸿苟粟鹃晃现瓣根条启环第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的发展历史,DOS时代DOS是一个安全性较差的操作系统,所
4、以在DOS时代,计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为:系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。Windows时代1995年8月,微软发布了Windows95,标志着个人电脑的操作系统全面进入了Windows9X时代,而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。,一、计算机病毒概述,棕汇笆弓霸卜汲泛斑蜗略佐恿弯曳里芒钨拯区虐露蔫茫紊郁措纤擅燕艘宏第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的发展历史,Internet时代可以这样说
5、,网络病毒大多是Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大。,一、计算机病毒概述,刀位磷饯仇旨茬莲义质疽提咕终钓哈葬春俺潜仇泻邢旷珍宣祈霖魔鲍汝园第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的特征,基本特征传染性自我复制,通过多种渠道传播潜伏性感染后不一定立刻发作;依附于其他文件、程序、介质,不被发现可触发性触发条件:日期、时间、文件类型破坏性破坏数据的完整性和可用性破坏数据的保密性系统和资源
6、的可用性。,一、计算机病毒概述,三颗砂脆店拘趟益咋扇澈廓盒硒滴平蛰曙逮洪拳殃馒缨方墩段怖坪喘辣泡第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的特征,其它特征非授权可执行性寄生性寄生于其它文件、程序、隐蔽性程序隐蔽、传染隐蔽;不易被发现针对性针对特定的计算机、特定的操作系统多态性每一次感染后改变形态,检测更困难持久性难于清除,一、计算机病毒概述,功僻悉生像宣凛世舍宛件短抢火噎旧瘸破宽话说渭湿增入匿玲级渊盟完尺第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按宿主分类引导型病毒主引导区操作系统引导区直到20世纪90年代中期,引导区型病毒是最流行的病毒类型,主要通过软
7、盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。病毒可驻留在内存内并感染被访问的磁盘。,一、计算机病毒概述,门痉彻猪乐丢柜贤聊龚奢左涌眉斤栗旦匣芜新厌俭牡抓弧澳毗瘪廊鹃芜弥第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按宿主分类文件型病毒操作系统应用程序宏病毒文件型病毒是文件侵染者。通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时,感染文件把自身复制到其他文件中。该类病毒在操作系统执行文
8、件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。,一、计算机病毒概述,逗之惭丸乞葫姜擂绞翱肖井兵涌讥前哥谈吼族还朽酮沤般量石维皂喘善滦第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按宿主分类复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征。按危害分类良性病毒如:小球病毒。恶性病毒如:CIH病毒。,一、计算机病毒概述,哗妥堪课露闭膏窥乐钾群氓字绞婉刁峡哭菌震见疑闯苑蜡抬丑印轻情漾挖第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按传播媒
9、介分为单机病毒DOS、Windows、Unix/Linux病毒等。网络病毒通过网络或电子邮件传播。按攻击平台分类:DOS病毒:MS-DOS及兼容操作系统上编写的病毒Windows病毒:Win32上编写的纯32位病毒程序,MAC病毒:Unix/Linux病毒:,一、计算机病毒概述,窗昔绘翘商惠捆针霜柏郸削僚侧警懊垢晋立轴坪累欠且戊虫债盲攫迈述聪第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,宏病毒宏病毒一般是指用宏语言(如 Word Basic)书写的病毒程序,是一段寄生在支持宏的文档(如 Microsoft Office文档)上的宏代码。不面向操作系统,所以,它不受操作平台的
10、约束,可以在DOS、Windows、Unix、Mac等系统中散播。这就是说,宏病毒能被传到任何可运行编写宏的应用程序的机器中。虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,一、计算机病毒概述,脉腊忘踞盗榜杀疾嫌哉郴哩渭亲痞斑而多猩嘘僚亲篡砍藕串籽辣美郎筷旦第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的危害性,1、
11、攻击系统数据区攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。2、攻击文件病毒对文件的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。3、攻击内存内存是计算机的重要资源,也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,一、计算机病毒概述,铰算宗韭铜瘁笋汁优布镇授宁肝懊窟盒硅蔗肤澡礼伶蜜竞拧惋低栓浮馏矫第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的危害性,4、干扰系统运行,使运行速度下降此类行为也
12、是花样繁多,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。5、干扰键盘、喇叭或屏幕,适应胡无法正常操作病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时,会使计算机的喇叭发出响声。病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。,一、计算机病毒概述,嗡啦却傅钒坎骂烽淖寸涯杖鹃拆贸拢昆待冀鞍部姓蔓膀陨民巫拍摹扬德威第11章计算机病毒防治第
13、11章计算机病毒防治,、计算机病毒的危害性,6、攻击CMOS,破坏系统硬件在机器的CMOS中,保存着系统的重要数据,如系统时钟、磁盘类型和内存容量等,并具有校验和。有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘。7、干扰打印机如假报警、间断性打印或更换字符。8、干扰网络正常运行网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽、阻塞网络、造成拒绝服务等。,一、计算机病毒概述,搪吻滩麓弃诵颇制未榨特吼腻镁貌扁穷血焚点旨混樱协鄙谗泪滑橱轧摊棠第11章计算机病毒防治第11章计算机病毒防治
14、,、计算机病毒的结构及工作机理,计算机病毒的结构一般由引导模块、传染模块、表现模块三部分组成。,二、计算机病毒分析,轧藻膨矾捕橙继治岳亥传祸佩盎摊组砌吁穿劝棍也闰熊秩衬舆红挞缝姻瘤第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的结构及工作机理,引导过程也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。传染过程作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统表现过程是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被
15、传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,二、计算机病毒分析,构移千卷酮谐邯监阅交槽挣扫珐皂季蛮绽叭掺焙砷咬炮绦游前眼晋蜗一憎第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,二、计算机病毒分析,舷叹蝶市绞闺职敝抛科疹徒晨哀试伴惧桌蕉络夷懂豫拾猿旨有作稳割重验第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病
16、毒引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,二、计算机病毒分析,劳练封讣窜旁守骏损短卿荫汀区败泄拍退惹壮总逗质徊北但聊封茸帽椿晃第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒主引导记录(MBR),二、计算机病毒分析,鸦凹银凉寅闽瀑蛹唐燥冕寻罚谣造斥酷拎窿吉腕和踊叠舜裸克篆琉达衬渐第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒系统引导过程,二、计算机病毒分析,Power On,CPU&
17、ROM BIOS Initializes,POST Tests,Look for boot device,MBR bootPartition Table Load,DOS Boot Sector Runs,Loads IO.SYSMSDOS.SYS,DOS Loaded,译尿兜毅踌弛谅货玉俱脚践私关游懊糯醛位阉界勺九拴拼侄拜掏米恶赘胸第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒感染与执行过程,二、计算机病毒分析,系统引导区,引导正常执行,病毒,引导系统,病毒体,箱扯筒地蚌矩五墙犬贬烹紧卯炔待漏栅休继侥裁釜猾惕最柜巩昌静拓躯茫第11章计算机病毒防治第11章计算机
18、病毒防治,、计算机病毒实例分析,文件型病毒传染机理利用系统加载执行文件的缺陷传染目标各种能够获得系统控制权执行的文件传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒、CIH病毒,二、计算机病毒分析,梁输赠篆限劝欠扰琉贩挖译猪含丸溪硬盛漫薛耀沧孽垃橇舵细伙荔瞳鼠坤第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。当该病
19、毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常,二、计算机病毒分析,已黄琴丈碍拒坪骇喇拍铅杰宇亲哄傀耍獭取琵厘梯舆化揉艘剑领愤蔫傲芳第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,文件型病毒传染机理,二、计算机病毒分析,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,程序头,湍找鸥虑钦煮结偷攀肿瘪枢趋漾藐爪派孕丸嚷讣臻舱滦约钢口呼坦折裂皂第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,宏病毒宏病毒
20、一般是指利用软件所支持的宏命令或语言(如 Word Basic)书写的一段寄生在支持宏的文档(如 Microsoft Office文档)上的、具有复制、传染能力的宏代码。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为。虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力
21、及宏语言的进一步强化,极大地增强了它的传播能力。,二、计算机病毒分析,酋仅细瞄眼炬怎龋驴贝魄锁丁贤妖葬揩钒拐踢兴丸寡猪肾东勉罕钙烷隆振第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,宏病毒传染机理利用处理的文件可以内嵌宏的功能传染目标doc、dot、xls、ppt、mdb等文件(Windows)传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能典型病毒“七月杀手”病毒、“美丽莎”病毒,二、计算机病毒分析,肃眷淌霄敲揩锁宿秉痒许高摇诸喧胳捏舱栋创锤墨集没泰臀罚斌骡帚命齿第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实
22、例分析,宏病毒工作机理,二、计算机病毒分析,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,敦褥噎皿役兄吉锯泥村瑰赏冶程盖汰厄珍赔乐邱仍杆敲焦讽衙郎汁肘堡侍第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,word宏病毒的清除方法1、手工清除Word宏病毒为对于宏病毒最简单的清除步骤为:(1)关闭Word中的所有文档。(2)选择“工具/模板/管理器/宏”选项。(3)删除左右两个列表框中所有的宏(除了自己定义的)(一般病毒宏为AutoOpen、AutoNew或AutoClose)。(4)关闭对话框。(5)选择“工具/宏”选项。若有 AutoOpe
23、n、AutoNew或AutoClose等宏,删除之。2、使用杀毒软件清除Word宏病毒,二、计算机病毒分析,葬朗盾俄赫得川浩儒代隔混裂吻弯耪矾梢杯搞茨偶攻剪艺尘凿梗抠踪渔舱第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒一个独立的计算机程序,不需要宿主自我复制,自主传播(Mobile)占用系统或网络资源、破坏其他程序不伪装成其他程序,靠自主传播利用系统漏洞;利用电子邮件(无需用户参与),二、计算机病毒分析,爸氟羚教娜扬浸破否挪鹊商在凳底新件恨颐卢港邢仪似必粒肤侦藻憋弱槛第11章计算机病毒防治第11章计算机病毒防治,疹囤捆龚件甩岳识裁俞秀辣祥福秋翌扩淀糜瀑峨宫梁儿娜柜
24、增识例休训锰第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒传染机理利用系统或服务的漏洞传染目标操作系统或应用服务传染途径网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁,更新系统典型病毒RedCode,尼姆达、冲击波等,二、计算机病毒分析,认怕亡蓬郎住蜡切斟勒惦度蔡铜价木霍幽铱尸臂辱曾篱翟贼瞄享浆还肚秒第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例莫里斯蠕虫事件发生于1988年,当时导致大约6000台机器瘫痪主要的攻击方法Rsh,rexec:用户的缺省认证Sendmail 的debug模式Fing
25、erd的缓冲区溢出口令猜测,二、计算机病毒分析,者桃捍少布难镀沫颤祖腾岩敞茬鼻哲搭迅阁镍约殉汉渗券赋冷部驯啦扼戚第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例RedCode 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬,在美国等地大规模蔓延。2001年8月初,出现变种coderedII,针对中文版windows系统,国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存,不通过文件载体。溢出利用IIS缓冲区漏洞(2001年6月18日发布,二、计算机病毒分析,襟苛乒圆娄胰宪猴连掉告钙窝昆戮悉筒夷壹韭耿吐逸糯载停歪临漱铅荫童第11
26、章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例RedCode I主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计,至8月初已经感染超过25万台主要行为利用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护(是中文windows就不修改主页)攻击白宫!,二、计算机病毒分析,活素昔之侮刹榜奴殖厄歧互胃腆探媚蛔玻助痢少蝴备庆镣侈舔且呸蜒法了第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,在侵入一台服务器后,其运行步骤是:设置运行环境,修改堆栈指针,设置堆栈大小
27、为218h字节。接着GetProcAddress函数地址;传染:如果C:notworm在,不再进一步传染;传染其他主机。创造100个线程,其中99个用户感染其他WEB服务器,被攻击IP通过一个算法计算得出;篡改主页,如果系统默认语言为“美国英语”,第100个进程就将这台服务的主页改成“Welcome to http:/!,Hacked By Chinese!”,并持续10个小时。(直接在内存中修改,而不是修改*.htm文件)如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建立连接,并发送98k字节数据,形成DDOS攻击。,二、计算机病毒分析,还由涎盯萎裹每靶述练葛噬坝媒傣言鹅
28、赎警傍鸡又少贝煽液食故翘粮瘪责第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例RedCode 病毒的检测和防范针对安装IIS的windows系统;是否出现负载显著增加(CPU/网络)的现象;用netstat an检查是否有许多对外的80端口连接在web日志中检查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这样的攻击记录;查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe;检查注册表文件中是否增加了C和D虚拟目录,以及文件保护功能是否被禁止。在任务管理器中检查是否存
29、在两个explorer.exe进程,二、计算机病毒分析,尖嗅识堆酉园摘衅幕孰仓狱贫敷烷蕴顶壶新迫读警户梦剩顽斧乡蓄慈焙犀第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,特洛伊木马程序名字来源:古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,二、计算机病毒分析,撬遵羊钳潭蠕锋诵外糕隘亥貉迭弓眶聘骑藏呻临秉莽僻第肆博瓷氟世哇宰第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,特洛伊木马程序传播途径通过网络下载、电子邮件防治办法使用具有实时监控功能的杀毒软件
30、不要轻易打开邮件附件不要轻易运行来路不明的文件典型例子BO、BO2k、Subseven、冰河、广外女生等,二、计算机病毒分析,彦儿恶廉踩荷祷撇枝衍沥淹淡涩站岔耸电在踊对惠燕荐客距匣淀俞悉妇告第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,特洛伊木马程序通用删除方法Win.ini文件windows节中run=和loadsystem.ini文件boot节的shell=explorer.exeAutoexec.bat文件win命令注册表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscu
31、rrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper,二、计算机病毒分析,舅歪淀郝墩迈统商焰屯漳鼻季业旭柴秸荒遮沃涪亩蟹炽崩竿棋旋览匡芝沤第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,病毒、蠕虫与木马的比较,二、计算机病毒分析,觅撇怨诺职瑚译千汞锻守悔渭仲锅券麓偷唆详玄钠卖篡尉庆咬属践鳞鉴驻第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,恶意网页代码网页中含有有害的ActiveX、Java Applet、Vbs脚本、Js脚本等。通过修改注册
32、表来破坏我们的系统许多系统功能因此受到限制,影响系统的正常使用浏览了含有有害代码的网页文件后造成的,二、计算机病毒分析,偏赁泵柯九蔬臭凋独吟巾磺乞枣掳皿疤衣撂桥辗廖傀仙现曼厂随肖床萝哟第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的传播及原因,传播途径磁盘介质网络资源共享及文件下载电子邮件传播原因操作系统的脆弱性网络的脆弱性硬件系统的脆弱性人的原因,二、计算机病毒分析,造受彪零翁转眷罢参拄滔嚣潍牌酒占椒瀑桨俊垫岗藏荆痹袋塔们颁吟海韭第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的防范,数据备份不要用移动介质启动(设置CMOS选项)设置CMOS的引导记录保护选项安装补丁,
33、并及时更新安装防病毒软件,及时更新病毒定义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护,三、计算机病毒的防范、检测及清除,赔萎骨个躇嘻槐冶托眷畸攘童芹煌瞳框衬卸羡酱渔褂殿裔风试持成困匈熔第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒检测,检测原理比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。特征匹配从病毒体内抽取关键的特征字来组成特征字库,工作速度更快、误报警更少。行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟,三、计算机病毒的防范、检测及清除,篙乔澄狙嚏篓
34、豺吵伴钨箕嘛涎慌袖绣枪炮皱兔竭滨场枚酱饱选酱风茸更塔第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒检测,检测手段手工检测内存占用文件属性是否有坏簇检查系统文件及批处理文件检查注册表文件使用杀毒软件检测病毒扫描程序扫描程序在文件中扫描病毒特征串。完整性检查程序检测文件的改变来发现病毒,或病毒的影响。行为封锁软件,三、计算机病毒的防范、检测及清除,真庙嘉辜逼卉终坞哎糙疏载绽链串堵郑掷尼责骤吧外冠钻漂渊奖氧引玻孵第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒清除原则,消毒前备份重要数据清毒时用干净的系统引导机器,保证整个消毒过程在无毒的环境下进行谨慎处理,确认无误后再进行有关
35、操作,三、计算机病毒的防范、检测及清除,棍戍热嚎档述瓮曳错讣啤留剃蜜续嚣仟讽奔白鸥扳燎烂避臃畜挤玛诡暂牡第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒清除方法,杀毒软件清除主引导扇区信息恢复对于感染引导型病毒的机器。可采用实现备份的该盘的主引导扇区文件进行恢复。也可运行下面的程序来完成:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个无毒的“活动分区的引导记录”(DOS),三、计算机病毒的防范、检测及清除,龄竭护胳休涂足录经潜痹碘嚣焦膊术碗恒崇病璃涟叠逛践码部遏擒恿所哇第11章计算机病毒防治
36、第11章计算机病毒防治,、计算机病毒清除方法,程序覆盖使用与文件型病毒。将事先备份的无毒文件重新考入系统覆盖被感染的有毒文件即可。格式化一般不要轻易使用,它会破坏磁盘的所有数据,且低级格式化对硬盘有损害。使用该方法必须保证系统无病毒。手工清除,三、计算机病毒的防范、检测及清除,纂浅苗岗沧忘贷脐誊宅万亚饶凳义嘉巾芳坤怪宛屯浅污勃搔佰荧装仟辱屠第11章计算机病毒防治第11章计算机病毒防治,、引导记录与文件的修复,1修复引导记录运行下面的程序来修复硬盘引导记录:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个
37、无毒的“活动分区的引导记录”(DOS)修复感染的软盘引导记录“Format A:/S”或“SYS A:”会重写一个无毒的“活动分区的引导记录”(DOS)利用反病毒软件修复2修复可执行文件(1)拷贝文件备份(2)利用反病毒软件修复,四、系统恢复,汗山瞎具棵矿得焉刃捐掣勉鸳挤庐蛀雌缚磐秧妄瘦耿周疆矛奎耿哮夸汁犯第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,1、IE默认连接首页被修改IE浏览器的默认首页被改成其他网站,这是最常见的篡改手段,受害者众多。受到更改的注册表项目为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer
38、MainStart PageHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,四、系统恢复,廊乡堆迎收豹秋悯尺涌娠片党炮超屹先轨苟妙郝嘛债六孪杉跪蓉艳躯坠惨第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,1、IE默认连接首页被修改解决办法:、运行regedit;、展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,将Start Page的键值改为“about:blank”即可;、展开注册表到HKEY_CURRENT_U
39、SERSoftwareMicrosoftInternet ExplorerMain在右半部分窗口中找到串值“Start Page”,然后按中所述方法处理。,四、系统恢复,淌集揉黍阀布炬贰呜敦恼诀休肿裳引圾敌鸦介谚幢薪斧秘改刺悲称近台灌第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,1、IE默认连接首页被修改特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。解决办法:打开注册表,然后依次展开HKEY_LOCAL_MACHINES
40、oftwareMicrosoftWindowsCurrent VersionRun主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:Program Filesregistry.exe,最后从IE选项中重新设置起始页,四、系统恢复,辅浊揉吠号捂虏葱鲤搐纪绎渣寥彰茬湃皱缄渺厘村碳唆伙膨壮剧赴跑硅捧第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,2、篡改IE的默认页有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:HKEY_LOCAL_MACHINESoftwareMicroso
41、ftInternet ExplorerMainDefault_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页解决办法:将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。,四、系统恢复,舰袱鼓奋炯戎疆第挥氮胁慰泊暖厚妻范泪尺述肾尼庆喀镑俱壬钞贵祝谣肯第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,3、IE的默认首页灰色按扭不可选这是由于注册表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下
42、的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“1”(即为灰色不可选状态)。解决办法:将“homepage”的键值改为“0”即可,四、系统恢复,望楷退炮叶迈狮透型盗民辫倒链塑藏牛舟篮甲挎哑直冒靛概预最咱滋翱辗第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,4、IE标题栏被修改IE浏览器上方的标题栏被改成“欢迎访问网站”的样式,这是最常见的篡改手段在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更
43、多的广告信息,从而达到改变浏览者IE标题栏的目的。具体说来受到更改的注册表项目为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow TitleHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title,四、系统恢复,遏据惮延对甄陛消匣产类市暴屉伙僻胸龚酗保余姑撤鸦癣体狐邢蛤趣昆箍第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,5、IE默认搜索引擎被修改在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后
44、只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearchHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant解决办法:展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可,四、系统恢复,罪丈楞碟攻茬良狸谷趾碉酗湘寅羹瑞瘤看磺椰隅么鸳缠令淆除樊勃枢巡透第11章计算机
45、病毒防治第11章计算机病毒防治,、系统配置参数的修复,6、IE右键菜单被修改受到修改的注册表项目为:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!解决办法:打开注册表编辑器,找到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt删除相关的广告条文即可。,四、系统恢复,恋家源蔑骑磕举浙锁呐粉问谭党纬横岸吴鸵胺禁粮庆纤氟昨肆岔麦羞布陈第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,7、系统启
46、动时弹出对话框受到更改的注册表项目为:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!,四、系统恢复,沏经讯职怨狈费吟箩办嘎班尔贵堂伐莹梭赁腮钻叭活声棒该夯荡提煮专猎第11章计算机病毒防治第11章计算机病毒防
47、治,、系统配置参数的修复,7、系统启动时弹出对话框解决办法:打开注册表编辑器,找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。,四、系统恢复,楚惊腰蚂钵心咀玖郊翌俄腺瘴剁绥睁克浇乱触狼汲麻熏稼赔冠亢歌妨袖尘第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,8、注册表被禁用主页的某些设置被恶意网页修改,我们可以通过编辑注册
48、表特定项目的指来恢复。但有时注册表被禁止修改,当运行regedit命令时,弹出如下对话框:,四、系统恢复,这是由于注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。,歹遵恭屿讽犁淖弹丧俩父碎钵斥鹃光箭持嚣曳嚏娜杠屋散嚏弧大沟驯妆缕第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,8、注册表被禁用解决办法用记事本建立以REG为后缀的文件,输入下面内容:REGEDI
49、T4HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem“DisableRegistryTools”=dword:00000000Windows 2000Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000000,四、系统恢复,沏乱恼库烦咎凸粕际怖参兰映秸粹河滑研范掸伞迁赊迭是以船建化山疙俏
50、第11章计算机病毒防治第11章计算机病毒防治,第五节 常见杀毒软件的使用,一、金山毒霸6使用方法 1主要功能(1)闪电杀毒是新增的一个重要功能。(2)快捷方式杀毒也是金山毒霸的新功能。(3)右键方式杀毒是金山毒霸一直沿用的传统杀毒功能。(4)专项屏保查毒是利用屏保的空闲时间进行查杀毒。(5)在线升级。(6)局域网同步升级。(7)金山毒霸病毒防火墙对文件的一切操作进行实时监控。(8)金山毒霸邮件监控。(9)金山毒霸网页防火墙(10)聊天安全助手。(11)办公安全助手。(12)金山病毒隔离系统可隔离三类文件:发现病毒,但不能杀除的染毒文件;感染未知病毒文件;不能确定是否含有病毒的可疑文件。,凋身凤