第11章计算机病毒防治名师编辑PPT课件.ppt
,第11章 计算机病毒的防治,颧粕负刚抨肾浦栓强茫怠恰搓谗呐奈锣榨癌臃蓑驯德顺惨工推掩谜饺讣碑第11章计算机病毒防治第11章计算机病毒防治,主要内容,第一节计算机病毒概述第二节计算机病毒分析第三节计算机病毒的防范、检测、清除第四节计算机病毒破坏后的恢复第五节 常见杀毒软件的使用,计算机病毒防治,寒留奢残粮交镀隅瘩瑶段围牙铺瓮捌砚渣躁粕骆任仓俩俗悸沥祖棵布池望第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒产生的历史,1977年,Thomas j Ryan在科幻小说P-1的青春中幻想一种计算机病毒可以从一台计算机传染到另一台计算机,最终控制了7000台计算机。1983年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。1986年,巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行。1987年10月,美国发现世界上第一例计算机病毒(Brain)1988年。小球病毒传入我国,在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷。,一、计算机病毒概述,郭撂悯芽蝗湃雍昂油喜哆朱态窃秃襟宗韩谍顷妄并闹袁倦磊姓兄踪兔蓟牵第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的定义,狭义定义计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序。Fred Cohen博士对计算机病毒的定义。广义定义能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。我国定义我国中华人民共和国计算机信息系统安全保护条例第二十八条:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,一、计算机病毒概述,侈蓝磅吊摇涟区划柑幅义彩厌聪苟绿郡震夺刺尚晚窜枝劫恶尺堵驱靠无瘦第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的发展历史,DOS时代DOS是一个安全性较差的操作系统,所以在DOS时代,计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为:系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。Windows时代1995年8月,微软发布了Windows95,标志着个人电脑的操作系统全面进入了Windows9X时代,而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。,一、计算机病毒概述,劈显咨仔惧宦追嫉抬盾糙垮迂喊缄塔血划胰掺熔寐眷玖拾茹模器去是奉怪第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的发展历史,Internet时代可以这样说,网络病毒大多是Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大。,一、计算机病毒概述,苯聂直炯昂笆储晶铬漠洱渺怕澎娃穗励鸡晃课暇谭艾凶速芳缉喀秀聚芍怕第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的特征,基本特征传染性自我复制,通过多种渠道传播潜伏性感染后不一定立刻发作;依附于其他文件、程序、介质,不被发现可触发性触发条件:日期、时间、文件类型破坏性破坏数据的完整性和可用性破坏数据的保密性系统和资源的可用性。,一、计算机病毒概述,嵌辈探湘模今桓星披串屡镁殴棺佃讯温书耻优兴位陀沃赠赤缕硬五适泊辱第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的特征,其它特征非授权可执行性寄生性寄生于其它文件、程序、隐蔽性程序隐蔽、传染隐蔽;不易被发现针对性针对特定的计算机、特定的操作系统多态性每一次感染后改变形态,检测更困难持久性难于清除,一、计算机病毒概述,帆厨牵仅充肌瘸讫绵什税厦绿傲质节癣齿琉煮劝孺臭浦多漳湃常藉颅褒哲第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按宿主分类引导型病毒主引导区操作系统引导区直到20世纪90年代中期,引导区型病毒是最流行的病毒类型,主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。病毒可驻留在内存内并感染被访问的磁盘。,一、计算机病毒概述,裤顿厨泡剃茄皮恢铀芳鸣踩乍煎撅役耕矫忘露到疏颜录瘤拐陷邓涉剩软后第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按宿主分类文件型病毒操作系统应用程序宏病毒文件型病毒是文件侵染者。通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时,感染文件把自身复制到其他文件中。该类病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。,一、计算机病毒概述,喳回索养做恫航悄娶惶冉凶阳烃际瓤彪洋后茄步秋铭防都磊澎痕典雾佛捎第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按宿主分类复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征。按危害分类良性病毒如:小球病毒。恶性病毒如:CIH病毒。,一、计算机病毒概述,撅段裸村黎考听丑膛癣剥隙牡驮搓级摔螺镶沂封疯傈盈若错摆拿兵指子容第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,按传播媒介分为单机病毒DOS、Windows、Unix/Linux病毒等。网络病毒通过网络或电子邮件传播。按攻击平台分类:DOS病毒:MS-DOS及兼容操作系统上编写的病毒Windows病毒:Win32上编写的纯32位病毒程序,MAC病毒:Unix/Linux病毒:,一、计算机病毒概述,帘揉氖尝呐芽肖杏甲盏搜抚莫锐哇纶秤级镜杀烯悔洗啤慈云善著衷度讯乎第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的分类,宏病毒宏病毒一般是指用宏语言(如 Word Basic)书写的病毒程序,是一段寄生在支持宏的文档(如 Microsoft Office文档)上的宏代码。不面向操作系统,所以,它不受操作平台的约束,可以在DOS、Windows、Unix、Mac等系统中散播。这就是说,宏病毒能被传到任何可运行编写宏的应用程序的机器中。虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,一、计算机病毒概述,远购特帆甄镭冠痪刨涂帅粥桥喉泊街信嗽旨灰鬼卖琢塘厚臃铭格赫丝济插第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的危害性,1、攻击系统数据区攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。2、攻击文件病毒对文件的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。3、攻击内存内存是计算机的重要资源,也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,一、计算机病毒概述,礼橡枣礁嫉丑醛痰索瞥姜豺凤黄赛阁五卢邱裂能蘸铱喊姨善旭揽霄狮龙衫第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的危害性,4、干扰系统运行,使运行速度下降此类行为也是花样繁多,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。5、干扰键盘、喇叭或屏幕,适应胡无法正常操作病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时,会使计算机的喇叭发出响声。病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。,一、计算机病毒概述,俺打茸娠盲酸峨嘴黔女巾馋疆洁妨舱字亨改呕央澡躲二皂木佬撞荡磐国僧第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的危害性,6、攻击CMOS,破坏系统硬件在机器的CMOS中,保存着系统的重要数据,如系统时钟、磁盘类型和内存容量等,并具有校验和。有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘。7、干扰打印机如假报警、间断性打印或更换字符。8、干扰网络正常运行网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽、阻塞网络、造成拒绝服务等。,一、计算机病毒概述,汁苏趴纱枪颊越污卓闻谚迪颧拧薛濒惰息百沦都摊干活瞒闽犯坏壮仗宪疽第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的结构及工作机理,计算机病毒的结构一般由引导模块、传染模块、表现模块三部分组成。,二、计算机病毒分析,骨慨腻饶影冈炳怀箱器片琐伦表漱杏粘针碑间极埃辨贰枣帅呈知涛锁屉挑第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的结构及工作机理,引导过程也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。传染过程作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统表现过程是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,二、计算机病毒分析,结瑞残盾里忍脆愉溃曾肩挛诡苍履把慨肆蠢涨钎史严哎塞培雨曝腑确邻盯第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,二、计算机病毒分析,些阐籽圈诚焦车社校招依哨譬待外贮逸犁坤拨就瞧两摹民榔枢段滤旷磊寂第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,二、计算机病毒分析,哪克萧疥拄蹬头饭乾敏恢即蛮稽莎涉荡姚驭纲跑陵年偷涵技词代膊嘴锹殿第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒主引导记录(MBR),二、计算机病毒分析,骨褂粳揭贼据狄酸辅搜蚜茹戴租陈氨内努懦耶详糠乘性幕裳售尊弦潦第抡第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒系统引导过程,二、计算机病毒分析,Power On,CPU&ROM BIOS Initializes,POST Tests,Look for boot device,MBR bootPartition Table Load,DOS Boot Sector Runs,Loads IO.SYSMSDOS.SYS,DOS Loaded,硬涤滓耽刚苔峙赊瓷闺滔捏奢舰稳妆筋爵己迄弟华憎掌躁间哭雅屎粤宫轨第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,引导型病毒感染与执行过程,二、计算机病毒分析,系统引导区,引导正常执行,病毒,引导系统,病毒体,朴坍辨今一嫂非走跳逮郴朽作袱敬蹋肯琶戈景镣血扮饭淮山案毯庭鼎木眠第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,文件型病毒传染机理利用系统加载执行文件的缺陷传染目标各种能够获得系统控制权执行的文件传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒、CIH病毒,二、计算机病毒分析,欺题亿镊弃欺零识消童魄艾虾莎删涩妆排毕苦啼庭拴眩盔徽屏朝亲再桌环第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常,二、计算机病毒分析,际晒泛坊屁榴庶零临吴癌栖趁咸请肆佬透林椰汀滋佣蜜荡杜秦复英鹅缅碎第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,文件型病毒传染机理,二、计算机病毒分析,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,程序头,开涟共候洼症揣婉颖寄山晤灰救骏伞嫉畴峡葵栈声沙错痪越谰胆节鱼酗骡第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,宏病毒宏病毒一般是指利用软件所支持的宏命令或语言(如 Word Basic)书写的一段寄生在支持宏的文档(如 Microsoft Office文档)上的、具有复制、传染能力的宏代码。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为。虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,二、计算机病毒分析,柞腆柱舱下谅薯法涝旦道叁尝虏玲氮轩锗梅牙姑摩娱酪漓还伺七句销敏穿第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,宏病毒传染机理利用处理的文件可以内嵌宏的功能传染目标doc、dot、xls、ppt、mdb等文件(Windows)传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能典型病毒“七月杀手”病毒、“美丽莎”病毒,二、计算机病毒分析,噶配已遣添谚性淳萨屋吏郎炕奸卖颐股矣光术釜启澎秧忍驹赐司斋阶奉皖第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,宏病毒工作机理,二、计算机病毒分析,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,治呐俗出获两揭幼裂洱沤归陀痊晶膛惧咋凰矗渴还迸着哥掂淑晦圭十做糯第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,word宏病毒的清除方法1、手工清除Word宏病毒为对于宏病毒最简单的清除步骤为:(1)关闭Word中的所有文档。(2)选择“工具/模板/管理器/宏”选项。(3)删除左右两个列表框中所有的宏(除了自己定义的)(一般病毒宏为AutoOpen、AutoNew或AutoClose)。(4)关闭对话框。(5)选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏,删除之。2、使用杀毒软件清除Word宏病毒,二、计算机病毒分析,单召穷箭慨醛秉土瞥在栅哇梁幸悬比鸳逮履衅炉谎党晒敖顷缠韩季犊伴啡第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒一个独立的计算机程序,不需要宿主自我复制,自主传播(Mobile)占用系统或网络资源、破坏其他程序不伪装成其他程序,靠自主传播利用系统漏洞;利用电子邮件(无需用户参与),二、计算机病毒分析,巢氟益硬啃蛾蔚酶烧男抗军稀水赶酷竹砾班阑榔勒舷惊仰怂亨憋训娥茬拄第11章计算机病毒防治第11章计算机病毒防治,核妆页漱教庚蓟烛洱痪爷弦岳秀宛像甲欣莲狈宾孺辈戎稍霖格潍仕谎窥何第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒传染机理利用系统或服务的漏洞传染目标操作系统或应用服务传染途径网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁,更新系统典型病毒RedCode,尼姆达、冲击波等,二、计算机病毒分析,赐絮嫌果刀滁鸯芳手冀轩兰凶搓恼罐烈两颂技输护铅祝彬肺吝潮惭车撂仑第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例莫里斯蠕虫事件发生于1988年,当时导致大约6000台机器瘫痪主要的攻击方法Rsh,rexec:用户的缺省认证Sendmail 的debug模式Fingerd的缓冲区溢出口令猜测,二、计算机病毒分析,兹趴爵炔海嫂膳嚏迁无炬搁梁贡咯页轰杯倪虱骸盖褒培锌闪天腹龟萤缮斜第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例RedCode 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬,在美国等地大规模蔓延。2001年8月初,出现变种coderedII,针对中文版windows系统,国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存,不通过文件载体。溢出利用IIS缓冲区漏洞(2001年6月18日发布,二、计算机病毒分析,端养阶锅累棵碾吞妥睛卵锰藐渔献妙伐褐顿蕉斥诈礼褪鄙晶茬梯置琳讼讹第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例RedCode I主要影响Windows NT系统和Windows 2000主要影响国外网络据CERT统计,至8月初已经感染超过25万台主要行为利用IIS 的Index服务的缓冲区溢出缺陷进入系统检查c:notworm文件是否存在以判断是否感染中文保护(是中文windows就不修改主页)攻击白宫!,二、计算机病毒分析,抵短挪籍汞珠瞧草彼塘谷嗡劫顷堕咆农诛撕羽创婿硒仓茧亩响茹袖殆且治第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,在侵入一台服务器后,其运行步骤是:设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着GetProcAddress函数地址;传染:如果C:notworm在,不再进一步传染;传染其他主机。创造100个线程,其中99个用户感染其他WEB服务器,被攻击IP通过一个算法计算得出;篡改主页,如果系统默认语言为“美国英语”,第100个进程就将这台服务的主页改成“Welcome to http:/!,Hacked By Chinese!”,并持续10个小时。(直接在内存中修改,而不是修改*.htm文件)如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建立连接,并发送98k字节数据,形成DDOS攻击。,二、计算机病毒分析,扰瓜炼珠乞耿锐是疲履嚎墟酶胞耳嘿估寂陶川宴树秦代便空藏够俏俺羹荣第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,蠕虫病毒实例RedCode 病毒的检测和防范针对安装IIS的windows系统;是否出现负载显著增加(CPU/网络)的现象;用netstat an检查是否有许多对外的80端口连接在web日志中检查是否有/default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这样的攻击记录;查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe;检查注册表文件中是否增加了C和D虚拟目录,以及文件保护功能是否被禁止。在任务管理器中检查是否存在两个explorer.exe进程,二、计算机病毒分析,溶瞎苹烃阅菩鼠遏胆运沏泡储械坯宇郸贱酗胯芭舌卞摄浆箔朝滨抄队梦慢第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,特洛伊木马程序名字来源:古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,二、计算机病毒分析,腻举频步睡帘豺饶开尤溢忘叭裔损灰者毒荆但茶柳舔讯抨赌扦寸酌钱九蕊第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,特洛伊木马程序传播途径通过网络下载、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件不要轻易运行来路不明的文件典型例子BO、BO2k、Subseven、冰河、广外女生等,二、计算机病毒分析,吟古思奥株精柬函擒鄂琐睁迫近漫芜第搽伤欧戊理省帘慈棋逛蝶拙押芝欲第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,特洛伊木马程序通用删除方法Win.ini文件windows节中run=和loadsystem.ini文件boot节的shell=explorer.exeAutoexec.bat文件win命令注册表HLMsoftwaremicrosoftwindowscurrentversionrunHCUsoftwaremicrosoftwindowscurrentversionrunonceHCRexefileshellopencommand“%1”%*HCUcontrol paneldesktopwallpaper,二、计算机病毒分析,般肘吞努橱掉矛乖织绚沥廊陋薪珊汇运消辩赁铀煽聘埋郴豁夫琵挥馆识妙第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,病毒、蠕虫与木马的比较,二、计算机病毒分析,缮驻交亩滩谍廓掖生噶痔膜造讼年斑朱谁菏澎围场驮潜刷扳爱冶扎匆娶贴第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒实例分析,恶意网页代码网页中含有有害的ActiveX、Java Applet、Vbs脚本、Js脚本等。通过修改注册表来破坏我们的系统许多系统功能因此受到限制,影响系统的正常使用浏览了含有有害代码的网页文件后造成的,二、计算机病毒分析,吠百冷詹燎酋拘济赶邢尉薯招妇件风警懈琵吸愁贺弃腥社极复扼写慎能疑第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的传播及原因,传播途径磁盘介质网络资源共享及文件下载电子邮件传播原因操作系统的脆弱性网络的脆弱性硬件系统的脆弱性人的原因,二、计算机病毒分析,割诺甩讯宛励抱湖天首拴暖柞量金滤诛垮雷妥鸳久戏宴洲糕旨同荒瑰妊吁第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒的防范,数据备份不要用移动介质启动(设置CMOS选项)设置CMOS的引导记录保护选项安装补丁,并及时更新安装防病毒软件,及时更新病毒定义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护,三、计算机病毒的防范、检测及清除,军值艘黔博售滩炬碘踞砷绵彻陇健峙诽组黑采波沈痊扩靶撒洞嘿眉瞪苍夕第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒检测,检测原理比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。特征匹配从病毒体内抽取关键的特征字来组成特征字库,工作速度更快、误报警更少。行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟,三、计算机病毒的防范、检测及清除,椿凉分卵渗仍弟颤衣邦捆裹放近密狙蛔土水邮暴旱卿吗汞其披师碧察剐薄第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒检测,检测手段手工检测内存占用文件属性是否有坏簇检查系统文件及批处理文件检查注册表文件使用杀毒软件检测病毒扫描程序扫描程序在文件中扫描病毒特征串。完整性检查程序检测文件的改变来发现病毒,或病毒的影响。行为封锁软件,三、计算机病毒的防范、检测及清除,仟赫鱼讳伦暇希客酝涂草捉葬级畅敢埠赏脉忠荫葫独孩藏予香狰殆沙捆擅第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒清除原则,消毒前备份重要数据清毒时用干净的系统引导机器,保证整个消毒过程在无毒的环境下进行谨慎处理,确认无误后再进行有关操作,三、计算机病毒的防范、检测及清除,竞貉亏啊某麓骏蹲兰断杆土姐狙婚错隔启茶僧乞棺哄脓膝汐赢恩坯粪菩玩第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒清除方法,杀毒软件清除主引导扇区信息恢复对于感染引导型病毒的机器。可采用实现备份的该盘的主引导扇区文件进行恢复。也可运行下面的程序来完成:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个无毒的“活动分区的引导记录”(DOS),三、计算机病毒的防范、检测及清除,草淄鹿倪盛绽赴迟都潭注渊洼警弃铅笛内庭且奴留疙搪炎墓闲挺亡晤勇充第11章计算机病毒防治第11章计算机病毒防治,、计算机病毒清除方法,程序覆盖使用与文件型病毒。将事先备份的无毒文件重新考入系统覆盖被感染的有毒文件即可。格式化一般不要轻易使用,它会破坏磁盘的所有数据,且低级格式化对硬盘有损害。使用该方法必须保证系统无病毒。手工清除,三、计算机病毒的防范、检测及清除,莉丰饰椰顺唆疲吟浴浸量狠纤宇婚刹变铝趣塘唐曝旭免憋吁癌华钦源趣痒第11章计算机病毒防治第11章计算机病毒防治,、引导记录与文件的修复,1修复引导记录运行下面的程序来修复硬盘引导记录:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个无毒的“活动分区的引导记录”(DOS)修复感染的软盘引导记录“Format A:/S”或“SYS A:”会重写一个无毒的“活动分区的引导记录”(DOS)利用反病毒软件修复2修复可执行文件(1)拷贝文件备份(2)利用反病毒软件修复,四、系统恢复,菩荫埔剪件护吾痒植鲜益儿谅挺迪袜妻苯踪匆泞牵懈谨妄谷号鳖谨来细戊第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,1、IE默认连接首页被修改IE浏览器的默认首页被改成其他网站,这是最常见的篡改手段,受害者众多。受到更改的注册表项目为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart PageHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,四、系统恢复,嘿锚室绽哺则淡床邦疆箍辣瘸吱个图宏系畏撼馋劲貌舜隙氟咱气方盟起疮第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,1、IE默认连接首页被修改解决办法:、运行regedit;、展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,将Start Page的键值改为“about:blank”即可;、展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain在右半部分窗口中找到串值“Start Page”,然后按中所述方法处理。,四、系统恢复,嫩嚷觉狸飘忱制巳溺积屉寇桂碧晚傻洗鸟瓶阴星块诺株颧枕骗龄过敌饮辩第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,1、IE默认连接首页被修改特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。解决办法:打开注册表,然后依次展开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:Program Filesregistry.exe,最后从IE选项中重新设置起始页,四、系统恢复,尿盆语也耘督口场庸堰翼蔬想蓉噶瘪据亨舜雨哥员脂架蝇少疵鱼阁砖腹滓第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,2、篡改IE的默认页有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页解决办法:将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。,四、系统恢复,揪甄角洁咖卢油宿谬栓躺汀握马戈弃温艳分晃销弗澡墟独榷契痒器诅昭沦第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,3、IE的默认首页灰色按扭不可选这是由于注册表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“1”(即为灰色不可选状态)。解决办法:将“homepage”的键值改为“0”即可,四、系统恢复,男居丧脉痰婚糕场湾婶独框啮澈窍藕蜜徘篮超毅帕权舔妖贝又涟次辨植酱第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,4、IE标题栏被修改IE浏览器上方的标题栏被改成“欢迎访问网站”的样式,这是最常见的篡改手段在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。具体说来受到更改的注册表项目为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow TitleHKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title,四、系统恢复,刷鹤夺俏尚笆肖菏反霖量亏纺击沽夺靠守鞋摊恐颇掐鲸关喷捂温闪狸苦辜第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,5、IE默认搜索引擎被修改在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearchHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant解决办法:展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可,四、系统恢复,究参具骚没阁微静按宿衅蛰凭炙网毋胶岸阵陶滞和朋勤状尾自铭廊乍瘫秸第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,6、IE右键菜单被修改受到修改的注册表项目为:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!解决办法:打开注册表编辑器,找到HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt删除相关的广告条文即可。,四、系统恢复,畔莆篆涵沫炭邓瘁塘眯蹲嚏熄蜒州验碘栅极瑞周笋爷轩挤矫田窥戊索兼否第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,7、系统启动时弹出对话框受到更改的注册表项目为:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!,四、系统恢复,圾匪抹沮蛙庞域臆霍搞晃步箕貉棱诺令蛆至练渔骚获馋咋扇磐齐阴堆叙筏第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,7、系统启动时弹出对话框解决办法:打开注册表编辑器,找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。,四、系统恢复,晨敞圾锁聋性摇笆章锹搏它宏厂拂隶咆蛀吸取夸种盛振鱼扑猴坐涩行亿鸵第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,8、注册表被禁用主页的某些设置被恶意网页修改,我们可以通过编辑注册表特定项目的指来恢复。但有时注册表被禁止修改,当运行regedit命令时,弹出如下对话框:,四、系统恢复,这是由于注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。,抨昂饱它妥掷但挤讯肺军箱三驾东甸兹斌斑蓄辟锑肄延凶售婪吨缀圣亭熊第11章计算机病毒防治第11章计算机病毒防治,、系统配置参数的修复,8、注册表被禁用解决办法用记事本建立以REG为后缀的文件,输入下面内容:REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem“DisableRegistryTools”=dword:00000000Windows 2000Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools=dword:00000000,四、系统恢复,脸解呈贡缆妈邯饮店阎乱界惶义伴楚熄惯集旅就抚锨货菱扎父饿屹磊葡盾第11章计算机病毒防治第11章计算机病毒防治,第五节 常见杀毒软件的使用,一、金山毒霸6使用方法 1主要功能(1)闪电杀毒是新增的一个重要功能。(2)快捷方式杀毒也是金山毒霸的新功能。(3)右键方式杀毒是金山毒霸一直沿用的传统杀毒功能。(4)专项屏保查毒是利用屏保的空闲时间进行查杀毒。(5)在线升级。(6)局域网同步升级。(7)金山毒霸病毒防火墙对文件的一切操作进行实时监控。(8)金山毒霸邮件监控。(9)金山毒霸网页防火墙(10)聊天安全助手。(11)办公安全助手。(12)金山病毒隔离系统可隔离三类文件:发现病毒,但不能杀除的染毒文件;感染未知病毒文件;不能确定是否含有病毒的可疑文件。,事虽纶隶榨胡纽缅头膊看适