《第11章计算机病毒防治.ppt》由会员分享,可在线阅读,更多相关《第11章计算机病毒防治.ppt(92页珍藏版)》请在三一办公上搜索。
1、,第11章 计算机病毒的防治,2008年11月,主要内容,第一节计算机病毒概述第二节计算机病毒分析第三节计算机病毒的防范、检测、清除第四节计算机病毒破坏后的恢复第五节 常见杀毒软件的使用,计算机病毒防治,、计算机病毒产生的历史,1977年,Thomas j Ryan在科幻小说P-1的青春中幻想一种计算机病毒可以从一台计算机传染到另一台计算机,最终控制了7000台计算机。1983年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。1986年,巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在
2、全球流行。1987年10月,美国发现世界上第一例计算机病毒(Brain)1988年。小球病毒传入我国,在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷。,一、计算机病毒概述,、计算机病毒的定义,狭义定义计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序。Fred Cohen博士对计算机病毒的定义。广义定义能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。我国定义我国中华人民共和国计算机信息系统安全保护条例第二十八条:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者
3、毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,一、计算机病毒概述,、计算机病毒的发展历史,DOS时代DOS是一个安全性较差的操作系统,所以在DOS时代,计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为:系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。Windows时代1995年8月,微软发布了Windows95,标志着个人电脑的操作系统全面进入了Windows9X时代,而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。,一、计算机病毒概述,、计
4、算机病毒的发展历史,Internet时代可以这样说,网络病毒大多是Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大。,一、计算机病毒概述,、计算机病毒的特征,基本特征传染性自我复制,通过多种渠道传播潜伏性感染后不一定立刻发作;依附于其他文件、程序、介质,不被发现可触发性触发条件:日期、时间、文件类型破坏性破坏数据的完整性和可用性破坏数据的保密性系统和资源的可用性。,一、计算机病毒概述,、计算机病毒的特征,其它特征
5、非授权可执行性寄生性寄生于其它文件、程序、隐蔽性程序隐蔽、传染隐蔽;不易被发现针对性针对特定的计算机、特定的操作系统多态性每一次感染后改变形态,检测更困难持久性难于清除,一、计算机病毒概述,、计算机病毒的分类,按宿主分类引导型病毒主引导区操作系统引导区直到20世纪90年代中期,引导区型病毒是最流行的病毒类型,主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。病毒可驻留在内存内并感染被访问的磁盘。,一、计算机病毒概述,、计算机病毒的分类,按
6、宿主分类文件型病毒操作系统应用程序宏病毒文件型病毒是文件侵染者。通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时,感染文件把自身复制到其他文件中。该类病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。,一、计算机病毒概述,、计算机病毒的分类,按宿主分类复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征。按危害分类良性病毒如:小球病毒。恶性病毒如:CIH病毒。,一、计算机病毒概述,、计算机病毒的分类,按传播媒介分为单机
7、病毒DOS、Windows、Unix/Linux病毒等。网络病毒通过网络或电子邮件传播。按攻击平台分类:DOS病毒:MS-DOS及兼容操作系统上编写的病毒Windows病毒:Win32上编写的纯32位病毒程序,MAC病毒:Unix/Linux病毒:,一、计算机病毒概述,、计算机病毒的分类,宏病毒宏病毒一般是指用宏语言(如 Word Basic)书写的病毒程序,是一段寄生在支持宏的文档(如 Microsoft Office文档)上的宏代码。不面向操作系统,所以,它不受操作平台的约束,可以在DOS、Windows、Unix、Mac等系统中散播。这就是说,宏病毒能被传到任何可运行编写宏的应用程序的机
8、器中。虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,一、计算机病毒概述,、计算机病毒的危害性,1、攻击系统数据区攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。2、攻击文件病毒对文件的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。3、攻击
9、内存内存是计算机的重要资源,也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,一、计算机病毒概述,、计算机病毒的危害性,4、干扰系统运行,使运行速度下降此类行为也是花样繁多,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。5、干扰键盘、喇叭或屏幕,适应胡无法正常操作病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、
10、输入紊乱等。许多病毒运行时,会使计算机的喇叭发出响声。病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。,一、计算机病毒概述,、计算机病毒的危害性,6、攻击CMOS,破坏系统硬件在机器的CMOS中,保存着系统的重要数据,如系统时钟、磁盘类型和内存容量等,并具有校验和。有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘。7、干扰打印机如假报警、间断性打印或更换字符。8、干扰网络正常运行网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽、阻塞网
11、络、造成拒绝服务等。,一、计算机病毒概述,、计算机病毒的结构及工作机理,计算机病毒的结构一般由引导模块、传染模块、表现模块三部分组成。,二、计算机病毒分析,、计算机病毒的结构及工作机理,引导过程也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。传染过程作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统表现过程是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其
12、表现部分的。,二、计算机病毒分析,、计算机病毒实例分析,引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,二、计算机病毒分析,、计算机病毒实例分析,引导型病毒引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,二、计算机病毒分析,、计算机病毒实例分析,引导型病毒主引导记录(MBR),二、计算机病毒分析,、
13、计算机病毒实例分析,引导型病毒系统引导过程,二、计算机病毒分析,Power On,CPU&ROM BIOS Initializes,POST Tests,Look for boot device,MBR bootPartition Table Load,DOS Boot Sector Runs,Loads IO.SYSMSDOS.SYS,DOS Loaded,、计算机病毒实例分析,引导型病毒感染与执行过程,二、计算机病毒分析,系统引导区,引导正常执行,病毒,引导系统,病毒体,、计算机病毒实例分析,文件型病毒传染机理利用系统加载执行文件的缺陷传染目标各种能够获得系统控制权执行的文件传染途径各种存
14、储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒、CIH病毒,二、计算机病毒分析,、计算机病毒实例分析,文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常,二、计算机病毒分析,、计算机病毒实例分析,文件型病毒传染机理,二、计算机病毒分析,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,
15、程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,程序头,、计算机病毒实例分析,宏病毒宏病毒一般是指利用软件所支持的宏命令或语言(如 Word Basic)书写的一段寄生在支持宏的文档(如 Microsoft Office文档)上的、具有复制、传染能力的宏代码。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为。虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被
16、执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,二、计算机病毒分析,、计算机病毒实例分析,宏病毒传染机理利用处理的文件可以内嵌宏的功能传染目标doc、dot、xls、ppt、mdb等文件(Windows)传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能典型病毒“七月杀手”病毒、“美丽莎”病毒,二、计算机病毒分析,、计算机病毒实例分析,宏病毒工作机理,二、计算机病毒分析,有毒文件.doc,Normal.do
17、t,无毒文件.doc,Normal.dot,、计算机病毒实例分析,word宏病毒的清除方法1、手工清除Word宏病毒为对于宏病毒最简单的清除步骤为:(1)关闭Word中的所有文档。(2)选择“工具/模板/管理器/宏”选项。(3)删除左右两个列表框中所有的宏(除了自己定义的)(一般病毒宏为AutoOpen、AutoNew或AutoClose)。(4)关闭对话框。(5)选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏,删除之。2、使用杀毒软件清除Word宏病毒,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒一个独立的计算机程序,不需要宿主自我复制,自主传播(
18、Mobile)占用系统或网络资源、破坏其他程序不伪装成其他程序,靠自主传播利用系统漏洞;利用电子邮件(无需用户参与),二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒传染机理利用系统或服务的漏洞传染目标操作系统或应用服务传染途径网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁,更新系统典型病毒RedCode,尼姆达、冲击波等,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例莫里斯蠕虫事件发生于1988年,当时导致大约6000台机器瘫痪主要的攻击方法Rsh,rexec:用户的缺省认证Sendmail 的debug模式Fingerd的缓冲区溢出口令猜测,二
19、、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例RedCode 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬,在美国等地大规模蔓延。2001年8月初,出现变种coderedII,针对中文版windows系统,国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存,不通过文件载体。溢出利用IIS缓冲区漏洞(2001年6月18日发布,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例RedCode I主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计,至8月初已经感染超过25万台主要行为利用IIS 的Index服务的缓
20、冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护(是中文windows就不修改主页)攻击白宫!,二、计算机病毒分析,、计算机病毒实例分析,在侵入一台服务器后,其运行步骤是:设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着GetProcAddress函数地址;传染:如果C:notworm在,不再进一步传染;传染其他主机。创造100个线程,其中99个用户感染其他WEB服务器,被攻击IP通过一个算法计算得出;篡改主页,如果系统默认语言为“美国英语”,第100个进程就将这台服务的主页改成“Welcome to http:/!,Hacked By Chinese!
21、”,并持续10个小时。(直接在内存中修改,而不是修改*.htm文件)如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建立连接,并发送98k字节数据,形成DDOS攻击。,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例RedCode 病毒的检测和防范针对安装IIS的windows系统;是否出现负载显著增加(CPU/网络)的现象;用netstat an检查是否有许多对外的80端口连接在web日志中检查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这样的攻击记录;查找系统中是否存在文件c:explorer.exe或d:explo
22、rer.exe以及root.exe;检查注册表文件中是否增加了C和D虚拟目录,以及文件保护功能是否被禁止。在任务管理器中检查是否存在两个explorer.exe进程,二、计算机病毒分析,、计算机病毒实例分析,特洛伊木马程序名字来源:古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,二、计算机病毒分析,、计算机病毒实例分析,特洛伊木马程序传播途径通过网络下载、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件不要轻易运行来路不明的文件典型例子BO、BO2k、Subseven、冰
23、河、广外女生等,二、计算机病毒分析,、计算机病毒实例分析,特洛伊木马程序通用删除方法Win.ini文件windows节中run=和loadsystem.ini文件boot节的shell=explorer.exeAutoexec.bat文件win命令注册表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper,二、计算机病毒分析,、计算机病毒
24、实例分析,病毒、蠕虫与木马的比较,二、计算机病毒分析,、计算机病毒实例分析,恶意网页代码网页中含有有害的ActiveX、Java Applet、Vbs脚本、Js脚本等。通过修改注册表来破坏我们的系统许多系统功能因此受到限制,影响系统的正常使用浏览了含有有害代码的网页文件后造成的,二、计算机病毒分析,、计算机病毒的传播及原因,传播途径磁盘介质网络资源共享及文件下载电子邮件传播原因操作系统的脆弱性网络的脆弱性硬件系统的脆弱性人的原因,二、计算机病毒分析,、计算机病毒的防范,数据备份不要用移动介质启动(设置CMOS选项)设置CMOS的引导记录保护选项安装补丁,并及时更新安装防病毒软件,及时更新病毒定
25、义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护,三、计算机病毒的防范、检测及清除,、计算机病毒检测,检测原理比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。特征匹配从病毒体内抽取关键的特征字来组成特征字库,工作速度更快、误报警更少。行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟,三、计算机病毒的防范、检测及清除,、计算机病毒检测,检测手段手工检测内存占用文件属性是否有坏簇检查系统文件及批处理文件检查注册表文件使用杀毒软件检测病毒扫描程序扫描程序在文件中扫描病毒特征串。完整
26、性检查程序检测文件的改变来发现病毒,或病毒的影响。行为封锁软件,三、计算机病毒的防范、检测及清除,、计算机病毒清除原则,消毒前备份重要数据清毒时用干净的系统引导机器,保证整个消毒过程在无毒的环境下进行谨慎处理,确认无误后再进行有关操作,三、计算机病毒的防范、检测及清除,、计算机病毒清除方法,杀毒软件清除主引导扇区信息恢复对于感染引导型病毒的机器。可采用实现备份的该盘的主引导扇区文件进行恢复。也可运行下面的程序来完成:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个无毒的“活动分区的引导记录”(DOS),
27、三、计算机病毒的防范、检测及清除,、计算机病毒清除方法,程序覆盖使用与文件型病毒。将事先备份的无毒文件重新考入系统覆盖被感染的有毒文件即可。格式化一般不要轻易使用,它会破坏磁盘的所有数据,且低级格式化对硬盘有损害。使用该方法必须保证系统无病毒。手工清除,三、计算机病毒的防范、检测及清除,、引导记录与文件的修复,1修复引导记录运行下面的程序来修复硬盘引导记录:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个无毒的“活动分区的引导记录”(DOS)修复感染的软盘引导记录“Format A:/S”或“SYS A
28、:”会重写一个无毒的“活动分区的引导记录”(DOS)利用反病毒软件修复2修复可执行文件(1)拷贝文件备份(2)利用反病毒软件修复,四、系统恢复,、系统配置参数的修复,1、IE默认连接首页被修改IE浏览器的默认首页被改成其他网站,这是最常见的篡改手段,受害者众多。受到更改的注册表项目为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart PageHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,四、系统恢复,、系统配置参数的修复,1、IE默认连
29、接首页被修改解决办法:、运行regedit;、展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,将Start Page的键值改为“about:blank”即可;、展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain在右半部分窗口中找到串值“Start Page”,然后按中所述方法处理。,四、系统恢复,、系统配置参数的修复,1、IE默认连接首页被修改特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十
30、分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。解决办法:打开注册表,然后依次展开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:Program Filesregistry.exe,最后从IE选项中重新设置起始页,四、系统恢复,、系统配置参数的修复,2、篡改IE的默认页有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:HKE
31、Y_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页解决办法:将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。,四、系统恢复,、系统配置参数的修复,3、IE的默认首页灰色按扭不可选这是由于注册表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值“homepage”的键值被修改的缘
32、故。原来的键值为“0”,被修改为“1”(即为灰色不可选状态)。解决办法:将“homepage”的键值改为“0”即可,四、系统恢复,、系统配置参数的修复,4、IE标题栏被修改IE浏览器上方的标题栏被改成“欢迎访问网站”的样式,这是最常见的篡改手段在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。具体说来受到更改的注册表项目为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInte
33、rnet ExplorerMainWindow TitleHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title,四、系统恢复,、系统配置参数的修复,5、IE默认搜索引擎被修改在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearchHKEY_LOCAL_MACHINES
34、oftwareMicrosoftInternet ExplorerSearchSearchAssistant解决办法:展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可,四、系统恢复,、系统配置参数的修复,6、IE右键菜单被修改受到修改的注册表项目为:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!解决办法:打开注册表编辑器,找到HKEY_CURRENT_USERSoftwareMicrosoftInter
35、net ExplorerMenuExt删除相关的广告条文即可。,四、系统恢复,、系统配置参数的修复,7、系统启动时弹出对话框受到更改的注册表项目为:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!,四、系统恢
36、复,、系统配置参数的修复,7、系统启动时弹出对话框解决办法:打开注册表编辑器,找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。,四、系统恢复,、系统配置参数的修复,8、注册表被禁用主页的某些设置被恶意网页修改,我们可以通过编辑注册表特定项目的指来恢复。但有时注册表被禁止修改,当运行regedit命令时,弹出如下对话框:,四、系统恢复,这是
37、由于注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。,、系统配置参数的修复,8、注册表被禁用解决办法用记事本建立以REG为后缀的文件,输入下面内容:REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem“DisableRegistryTools”=dword:00000000Wi
38、ndows 2000Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000000,四、系统恢复,第五节 常见杀毒软件的使用,一、金山毒霸6使用方法 1主要功能(1)闪电杀毒是新增的一个重要功能。(2)快捷方式杀毒也是金山毒霸的新功能。(3)右键方式杀毒是金山毒霸一直沿用的传统杀毒功能。(4)专项屏保查毒是利用屏保的空闲时间进行查杀毒。(5)在线升级。(6)局域网同步升级。(7)
39、金山毒霸病毒防火墙对文件的一切操作进行实时监控。(8)金山毒霸邮件监控。(9)金山毒霸网页防火墙(10)聊天安全助手。(11)办公安全助手。(12)金山病毒隔离系统可隔离三类文件:发现病毒,但不能杀除的染毒文件;感染未知病毒文件;不能确定是否含有病毒的可疑文件。,第五节 常见杀毒软件的使用,2使用方法 1)主界面介绍主要分为三个部分:菜单栏、标签栏、活动页面。如图14-1所示。,第五节 常见杀毒软件的使用,工具菜单包括在线升级、日志查看器、创建应急盘、邮件规则编辑器、病毒隔离系统、IE修复工具、系统漏洞扫描、病毒防火墙、定时查毒、发送可疑文件和综合设置。如图14-3所示。,2)任务菜单,任务菜
40、单包括全面杀毒、闪电杀毒、扫描文件夹、扫描文件、定制杀毒、在线杀毒,如图14-2所示。,3)工具菜单,第五节 常见杀毒软件的使用,包括联机帮助、自述文件、金山毒霸技术支持、会员注册、订阅病毒预警、更改产品序列号、访问金山毒霸网站、访问金山公司网站和关于金山毒霸。如图14-5所示。,4)窗口菜单,窗口菜单包括快捷方式、指定目录、安全状态和开启或关闭毒霸精灵。如图14-4所示。5)帮助菜单,第五节 常见杀毒软件的使用,二、瑞星RAV2004使用方法 1功能与特色(1)采用瑞星独创的智能解包还原技术,支持族群式变种病毒查杀。(2)瑞星首创的“行为判断查杀未知病毒”技术(3)文件级、邮件级、内存级、网
41、页级一体化实时监控系统。(4)三重病毒分析过滤技术。(5)采用超容压缩数据保护技术,无须用户干预,定时自动保护电脑系统中的核心数据,即使在硬盘数据遭到病毒破坏,甚至格式化硬盘后,都可以迅速恢复硬盘中的宝贵数据。(6)程序的主界面会自动获取瑞星网站公布的最新信息。(7)主动式智能升级技术会自动检测最新的版本,自动升级。(8)瑞星提供的注册表修复工具。(9)瑞星杀毒软件支持几十种压缩格式。(10)瑞星杀毒软件可以在DOS下彻底、安全地查杀 NTFS 格式分区下的病毒。(11)瑞星系统漏洞扫描。(12)瑞星安全助手可以在Office 2000(及其以上版本)的文档在打开之前对该文件进行查毒。,第五节
42、 常见杀毒软件的使用,2使用方法 瑞星2004的主界面如图14-6所示。,第五节 常见杀毒软件的使用,(1)设置。(2)恢复默认设置。(3)密码。(4)界面选择。(5)语言选择。(6)网络设置。(7)用户ID设置。(8)定时升级设置。,1)操作选项(图14-7),(1)开始杀毒。(2)停止杀毒。(3)历史记录。(4)退出。,2)选项(图14-8),第五节 常见杀毒软件的使用,可查看帮助主题,浏览瑞星主页和瑞星虚拟社区等。,3)工具选项(图14-9),(1)智能升级。(2)开/关计算机监控。(3)病毒隔离系统。(4)硬盘数据备份。(5)修复注册表。(6)系统漏洞扫描。(7)用户注册向导。(8)制
43、作/升级软盘版。(9)制作硬盘安装备份。(10)制作增量升级包。(11)可疑文件上报。4)帮助选项(图14-10),第五节 常见杀毒软件的使用,三、江民KV2004使用方法 1功能介绍 江民杀毒软件KV2004除在原来KV系列杀毒软件已有的功能:查杀病毒、实时监视病毒、扫描内存病毒、查杀邮件病毒、监视邮件病毒、监视恶意网页等功能外,另外还有:(1)与操作系统紧密结合。(2)查、杀、实时监视目前流行世界的7万多种病毒、网络蠕虫程序、特洛伊木马程序、有害程序、黑客程序、WORD宏病毒等;(3)“控制面板”风格式选择查杀目标。(4)扫描病毒引擎提供一种优化模式。(5)增强了屏保杀毒功能。(6)在DO
44、S系统下,直接查杀NTFS分区的病毒。(7)实时监视/网络监视发现病毒信息。(8)创建应急修复盘。(9)支持微软系列办公软件的宏病毒的查杀与实时监视。,第五节 常见杀毒软件的使用,(10)新增加网页脚本扫描、网页脚本监控支持,清除保存在网页上的恶意脚本语言。(11)新增最流行下载软件的文件病毒查杀,相当于给下载软件增加了一道防护网。(12)增强支持定时扫描功能,定时下载智能升级功能。(13)新增ZIP、RAR、CAB、LZH等压缩包中的病毒的直接清除功能。(14)提供病毒隔离系统,可以备份杀毒前的文件。(15)提供内存扫描功能,直接清除内存中的病毒。(16)可以直接查杀邮件包中的病毒(17)支
45、持所有网络影射盘、网络邻居共享目录的文件病毒的查杀;(18)提供扫描日志功能、系统关键区域的备份与恢复功能。,第五节 常见杀毒软件的使用,2使用方法 江民杀毒软件KV2004是一个运行于WINDOWS平台下的计算机查杀病毒软件,安装成功后首次运行出现的是“简洁操作台”形式的用户界面。该界面集成了用户最常见查毒、杀毒、升级和帮助的使用的功能与按钮。通过右上角的操作台切换钮可切换到KV2004的主界面。如图14-11所示。,第五节 常见杀毒软件的使用,为查看扫描记录和界面的改变(图14-13)。如查看扫描报告、历史记录、切换到简洁操作台、改变显示的界面语言和风格。,1)查杀病毒,点击“扫描目标”,
46、再点击需要扫描的对象即可查杀病毒,停止可按右下角的“停止钮”。,2)扫描菜单,为扫描方式和状态的改变(图14-12)。如仅扫描内存、查杀病毒的三个状态(查毒、杀毒、询问)、扫描速度(全速、正常、低速)、初始化查毒引擎(重新初始化会使下次扫描速度变慢)、扫描完成后自动关机及退出KV2004。,3)查看菜单,第五节 常见杀毒软件的使用,4)实时监控菜单,为帮助、授权等辅助功能(图14-16)。,为改变监控状态(图14-14)。可进行文件、注册表、邮件、网页、Office文档、脚本和隐私保护的监控。,5)工具菜单,为KV2004所带的多种维护工具(图14-15)。,(1)升级。(2)制作DOS杀毒盘
47、。(3)制作硬盘修复王。(4)IE修复工具。(5)病毒隔离区。(6)备份与恢复。(7)选项。,6)帮助菜单,第五节 常见杀毒软件的使用,安全卫士360,第五节 常见杀毒软件的使用,木马清除大师,第五节 常见杀毒软件的使用,木马清道夫简洁版,第五节 常见杀毒软件的使用,木马克星,第五节 常见杀毒软件的使用,木马杀客,第五节 常见杀毒软件的使用,木马分析专家木马病毒查杀,第五节 常见杀毒软件的使用,木马分析专家木马病毒防火墙,第五节 常见杀毒软件的使用,木马分析专家系统安全工具箱,第五节 常见杀毒软件的使用,木马清除大师,巩固练习,1、计算机病毒产生的原因是()。A、用户程序有错误 B、人为制造
48、C、计算机硬件故障 D、计算机系统软件有错误2、计算机病毒通过()传播 A、相邻两计算机 B、带计算机病毒的软盘或网络 C、长时间使用计算机 D、计算机硬件故障,B,B,3、计算机病毒具有破坏性、隐蔽性、传染性()和可激发性 A、必然性 B、再生性 C、潜伏性 D、明显性4、我国保护计算机安全的一个重要法规是()A、计算机软件保护条例 B、计算机安全保护条例 C、民事诉讼法 D、刑法,C,B,1.以下对计算机病毒的基本概念叙述不正确的是:()A、具有自我复制能力 B、能破坏正常程序的执行 C、能损坏电脑屏幕 D、可能会摧毁整个系统2.以下不是计算机病毒的特性是:()A、是人为编制的程序,短小精
49、悍 B、具有潜伏性 C、具有破坏性 D、人感染了计算机病毒会生病,巩固练习,C,D,3.计算机按寄生方式可分为:()A、引导型病毒、文件型病毒和复合型病毒 B、良性病毒和恶性病毒 C、驻留内存病毒和非驻留内存病毒 D、以上都正确,4.下面病毒中属于文件型病毒的是:()A、DIR2病毒 B、大麻病毒 C、火炬病毒 D、手机短信病毒,A,A,巩固练习,5.下面可能会感染病毒的做法是:()A、软磁盘使用写保护 B、对硬盘上的重要数据经常备份 C、从网上下载软件 D、Internet在线用户使用实时监测系统 6.下列现象可以作为检测病毒的参考,不正确的是:()A、程序装入、执行或访问磁盘的时间比平时长
50、 B、显示器上经常出现一些异常显示 C、打印速度变慢或打印异常字符 D、电脑显示的日期不正确,C,D,巩固练习,7.为防止计算机病毒的传染,应该做到:()A、干净的软盘不要与来历不明的软盘放在一起 B、不要复制来历不明的软盘上的程序 C、长时间不用的软盘要经常格式化 D、对软盘上的文件要经常重新复制 8.防止软盘感染的有效方法是:()A、要把软盘和有病毒的软盘放在一起 B、在写保护口上贴上保护标签 C、保护机房清洁 D、定期对软盘格式化,B,D,巩固练习,9.指出下列有关计算机病毒的叙述不正确的是:()A、计算机病毒是可以在计算机上执行的程序 B、计算机病毒具有寄生于其它可执行程序的特点 C、
