主題3+計算機病毒的查殺與防御

1、主題主題3 3 計算機病毒的查殺與防御計算機病毒的查殺與防御2一、一、 計算機病毒計算機病毒 定義：指編制或者在計算機程序中插入的破壞計算機定義：指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。制的一組計算機指令或者程序代碼。 中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息系統(tǒng)安全保護條例第第2828條條 ( (1994.2.18)1994.2.18) 特征：自我復(fù)制性、傳染性、潛隱性、破壞性特征：自我復(fù)制性、傳染性、潛隱性、破壞性3（一）使用移動存儲設(shè)備（一）使用

2、移動存儲設(shè)備 軟盤、光盤、軟盤、光盤、U盤、盤、MP3/MP4、移動硬盤、移動硬盤等。如：主要依靠等。如：主要依靠U盤傳播的盤傳播的autorun.inf（二）瀏覽網(wǎng)頁（二）瀏覽網(wǎng)頁 尤其，不正當網(wǎng)站、中小型網(wǎng)站尤其，不正當網(wǎng)站、中小型網(wǎng)站（三）電子郵件（三）電子郵件 打開陌生人發(fā)的郵件打開陌生人發(fā)的郵件二、計算機病毒的傳染方式二、計算機病毒的傳染方式4（四）網(wǎng)絡(luò)下載或網(wǎng)絡(luò)數(shù)據(jù)傳遞（四）網(wǎng)絡(luò)下載或網(wǎng)絡(luò)數(shù)據(jù)傳遞 （五）漏洞攻擊（五）漏洞攻擊 操作系統(tǒng)或應(yīng)用軟件中存在的安全漏洞操作系統(tǒng)或應(yīng)用軟件中存在的安全漏洞二、計算機病毒的傳染方式二、計算機病毒的傳染方式5（一）寄生文件型（一）寄生文件型把病毒

3、代碼（通常是一些跳轉(zhuǎn)指令）注入到正常的文把病毒代碼（通常是一些跳轉(zhuǎn)指令）注入到正常的文件中，當用戶打開這些文件時，系統(tǒng)會根據(jù)指令把病件中，當用戶打開這些文件時，系統(tǒng)會根據(jù)指令把病毒程序加載進內(nèi)存中。毒程序加載進內(nèi)存中。如：引導(dǎo)型病毒。感染系統(tǒng)的啟動文件或引導(dǎo)扇區(qū)，如：引導(dǎo)型病毒。感染系統(tǒng)的啟動文件或引導(dǎo)扇區(qū)，使得系統(tǒng)先跳轉(zhuǎn)去啟動病毒程序，然后再完成系統(tǒng)啟使得系統(tǒng)先跳轉(zhuǎn)去啟動病毒程序，然后再完成系統(tǒng)啟動；蠕蟲病毒。感染計算機中的可執(zhí)行文件（動；蠕蟲病毒。感染計算機中的可執(zhí)行文件（*.com，*.exe，*.bat，*.js，*.vbs等）；宏病毒。感染等）；宏病毒。感染word文檔。文檔。此類型

4、病毒用殺毒軟件清除后，大部分還能正常使用此類型病毒用殺毒軟件清除后，大部分還能正常使用三、計算機病毒的啟動方式三、計算機病毒的啟動方式6（二）綁定文件型（二）綁定文件型病毒程序和正常的可程序捆綁成一個文件病毒程序和正常的可程序捆綁成一個文件此類型病毒一般很難清除，只能刪除文件，破壞性較大此類型病毒一般很難清除，只能刪除文件，破壞性較大（三）文件關(guān)聯(lián)型（三）文件關(guān)聯(lián)型病毒修改了某些文件類型的關(guān)聯(lián)程序，使這種類型的文病毒修改了某些文件類型的關(guān)聯(lián)程序，使這種類型的文件與病毒程序相關(guān)聯(lián)。件與病毒程序相關(guān)聯(lián)。（四）系統(tǒng)自啟動型（四）系統(tǒng)自啟動型病毒修改了系統(tǒng)的啟動配置，使計算機再啟動系統(tǒng)時，病毒修改了系

5、統(tǒng)的啟動配置，使計算機再啟動系統(tǒng)時，自動引導(dǎo)并運行病毒。自動引導(dǎo)并運行病毒。三、計算機病毒的啟動方式三、計算機病毒的啟動方式7（五）偽裝欺騙型（五）偽裝欺騙型把病毒的文件名和圖標做得和用戶所熟悉的把病毒的文件名和圖標做得和用戶所熟悉的程序、文件相同或相似，讓用戶主動去打開程序、文件相同或相似，讓用戶主動去打開騙術(shù)：調(diào)包法；利用路徑相似性；隱藏文件騙術(shù)：調(diào)包法；利用路徑相似性；隱藏文件擴展名法；文件名魚目混珠法。擴展名法；文件名魚目混珠法。三、計算機病毒的啟動方式三、計算機病毒的啟動方式8（一）普通查殺（一）普通查殺斷開網(wǎng)絡(luò)、重啟計算機，斷開網(wǎng)絡(luò)、重啟計算機，F(xiàn)8進入安全模式，進入安全模式，用最

6、新的殺毒軟件對系統(tǒng)進行病毒掃描。用最新的殺毒軟件對系統(tǒng)進行病毒掃描。可嘗試輪流用多款殺毒軟件掃描可嘗試輪流用多款殺毒軟件掃描四、查殺計算機病毒四、查殺計算機病毒9（二）手工查殺（二）手工查殺分析病毒并備份相關(guān)文件分析病毒并備份相關(guān)文件 1）檢測相關(guān)的系統(tǒng)自啟動項）檢測相關(guān)的系統(tǒng)自啟動項 2）查看進程信息和端口連接信息，找出病毒進程）查看進程信息和端口連接信息，找出病毒進程和模塊和模塊 3）查看系統(tǒng)文件夾（）查看系統(tǒng)文件夾（Windows和和System32）的）的異常變動異常變動 4）把記錄下來的所有文件進行備份，并把備份文）把記錄下來的所有文件進行備份，并把備份文件改名或壓縮打包件改名或壓縮

7、打包四、查殺計算機病毒四、查殺計算機病毒10（二）手工查殺（二）手工查殺刪除病毒文件刪除病毒文件 1）終結(jié)病毒進程和模塊）終結(jié)病毒進程和模塊 2）刪除文件）刪除文件 注：有的文件用普通方法無法刪除，要使用強力工注：有的文件用普通方法無法刪除，要使用強力工具去刪除。如具去刪除。如IceSword，俗稱冰刃。刪除完后，俗稱冰刃。刪除完后，還要進入注冊表（還要進入注冊表（regedit.ext），查找這些被刪除），查找這些被刪除文件的文件名，刪除搜索到的所有項，然后，啟動文件的文件名，刪除搜索到的所有項，然后，啟動AutoRuns程序，刪除剛記錄下的那些啟動項，最程序，刪除剛記錄下的那些啟動項，最后

8、，啟動殺毒軟件全面掃描。后，啟動殺毒軟件全面掃描。四、查殺計算機病毒四、查殺計算機病毒11（一）布署安全產(chǎn)品（一）布署安全產(chǎn)品既要有主動防御產(chǎn)品，又要有被動防御產(chǎn)品。既要有主動防御產(chǎn)品，又要有被動防御產(chǎn)品。主動防御產(chǎn)品：主動防御產(chǎn)品：HIPS（Host Intrusion Prevent System 主機入侵防御系統(tǒng)，又稱系統(tǒng)主機入侵防御系統(tǒng)，又稱系統(tǒng)防火墻防火墻）被動防御產(chǎn)品：被動防御產(chǎn)品：殺毒軟件殺毒軟件。大部分殺毒軟件也有主。大部分殺毒軟件也有主動監(jiān)控的防護功，但多是基于掃描病毒特征庫的方動監(jiān)控的防護功，但多是基于掃描病毒特征庫的方式來工作，無法應(yīng)對病毒庫中未定義的未知病毒。式來工作，

9、無法應(yīng)對病毒庫中未定義的未知病毒。安裝：殺毒軟件安裝：殺毒軟件HIPS五、計算機病毒的防御五、計算機病毒的防御12（二）提升計算機水平（二）提升計算機水平了解計算機系統(tǒng)知識，加強計算機安全知識的學(xué)習(xí)，了解計算機系統(tǒng)知識，加強計算機安全知識的學(xué)習(xí)，提升計算機操作技能等。提升計算機操作技能等。五、計算機病毒的防御五、計算機病毒的防御13（三）養(yǎng)成良好的計算機使用習(xí)慣（三）養(yǎng)成良好的計算機使用習(xí)慣關(guān)閉系統(tǒng)的自動播放功能關(guān)閉系統(tǒng)的自動播放功能使用安全性較高的瀏覽器上網(wǎng)使用安全性較高的瀏覽器上網(wǎng)盡量使用盡量使用Web方式打開郵箱，附件下載殺毒后才打開方式打開郵箱，附件下載殺毒后才打開盡量到知名站點下載資

10、源；不用盡量到知名站點下載資源；不用P2P共享下載的方式下載不健共享下載的方式下載不健康的東西；點對點聊天時，不要接受陌生人發(fā)的文件；下載文康的東西；點對點聊天時，不要接受陌生人發(fā)的文件；下載文件要先查殺再使用。即件要先查殺再使用。即對計算機外部的文件要先進行殺毒對計算機外部的文件要先進行殺毒。及時更新系統(tǒng)，安裝最新的補??；定時升級殺毒軟件；定期對及時更新系統(tǒng)，安裝最新的補丁；定時升級殺毒軟件；定期對系統(tǒng)進行全面掃描。系統(tǒng)進行全面掃描。不安裝不了解的軟件，也不要安裝自己不需要的軟件。以盡可不安裝不了解的軟件，也不要安裝自己不需要的軟件。以盡可能減少系統(tǒng)漏洞，節(jié)省系統(tǒng)資源。能減少系統(tǒng)漏洞，節(jié)省系統(tǒng)資源。定時進行數(shù)據(jù)備份和系統(tǒng)備份。定時進行數(shù)據(jù)備份和系統(tǒng)備份。五、計算機病毒的防