第九講計(jì)算機(jī)病毒基礎(chǔ)知識(shí)

1、廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院主講人：夏主講人：夏 峰峰廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣

2、東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 常規(guī)內(nèi)存小于常規(guī)內(nèi)存小于640K640K 同一位置出現(xiàn)壞扇區(qū)同一位置出現(xiàn)壞扇區(qū) 讀操作的時(shí)候提示寫(xiě)保護(hù)錯(cuò)誤讀操作的時(shí)候提示寫(xiě)保護(hù)錯(cuò)誤廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 使用干凈的引導(dǎo)盤啟動(dòng)系統(tǒng)，然后用能清使用干凈的引導(dǎo)盤啟動(dòng)系統(tǒng)，然后用能

3、清除引導(dǎo)區(qū)病毒的殺毒軟件清除。除引導(dǎo)區(qū)病毒的殺毒軟件清除。使用命令使用命令FDISK /MBR廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 空閑扇區(qū)尾尾 正常文件正常文件 頭頭 病毒程序病毒程序廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院文件變化文件變化 ( (如如: :文件大小文件大小, ,時(shí)間時(shí)間, , 等等) )在運(yùn)行在運(yùn)行.EXE.EXE文件后文件后, ,同時(shí)生成一個(gè)后綴為同時(shí)生成一個(gè)后綴為 .COM.COM的的 同名文件同名文件, ,這肯定是感染上了文件型病毒。這肯定是感染上了文件型病毒。常規(guī)內(nèi)存減少常規(guī)內(nèi)存減少但是從帶有寫(xiě)保護(hù)的軟盤拷貝文

4、件時(shí)，會(huì)提示軟但是從帶有寫(xiě)保護(hù)的軟盤拷貝文件時(shí)，會(huì)提示軟盤帶有寫(xiě)保護(hù)，這肯定有病毒。盤帶有寫(xiě)保護(hù)，這肯定有病毒。 其他異常的任務(wù)和進(jìn)程其他異常的任務(wù)和進(jìn)程注冊(cè)表和配置文件有可疑變動(dòng)注冊(cè)表和配置文件有可疑變動(dòng)計(jì)算機(jī)系統(tǒng)變慢或不穩(wěn)定計(jì)算機(jī)系統(tǒng)變慢或不穩(wěn)定廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1文件型病毒都駐留內(nèi)存，所以清除文件型病文件型病毒都駐留內(nèi)存，所以清除文件型病毒最好在毒最好在DOS下操作，如果是下操作，如果是NTFS的硬盤分區(qū)結(jié)的硬盤分區(qū)結(jié)構(gòu)，則也最好在安全模式下殺毒。或者使用能支構(gòu)，則也最好在安全模式下殺毒。或者使用能支持持NTFS分區(qū)的急救盤。或者把帶毒盤作為從盤。分區(qū)的急救盤。

5、或者把帶毒盤作為從盤。2、殺毒的時(shí)候一定要斷掉網(wǎng)絡(luò)連接（拔掉網(wǎng)、殺毒的時(shí)候一定要斷掉網(wǎng)絡(luò)連接（拔掉網(wǎng)線），特別是在局域網(wǎng)中，一定要把所有計(jì)算機(jī)線），特別是在局域網(wǎng)中，一定要把所有計(jì)算機(jī)上的病毒全都查殺干凈以后才可以聯(lián)網(wǎng)。如果是上的病毒全都查殺干凈以后才可以聯(lián)網(wǎng)。如果是局域網(wǎng)用戶，可以考慮購(gòu)買企業(yè)版（網(wǎng)絡(luò)版）的局域網(wǎng)用戶，可以考慮購(gòu)買企業(yè)版（網(wǎng)絡(luò)版）的殺毒軟件進(jìn)行管理。殺毒軟件進(jìn)行管理。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院3、由于文件型病毒都是要對(duì)宿主文件（也就是由于文件型病毒都是要對(duì)宿主文件（也就是要被感染的文件）進(jìn)行修改，造成一些文件無(wú)法要被感染的文件）進(jìn)行修改，造成一些文件無(wú)法運(yùn)

6、行或系統(tǒng)的不穩(wěn)定，出現(xiàn)的這些癥狀即使使用運(yùn)行或系統(tǒng)的不穩(wěn)定，出現(xiàn)的這些癥狀即使使用殺毒軟件把病毒清除干凈了也沒(méi)法修復(fù)。這時(shí)你殺毒軟件把病毒清除干凈了也沒(méi)法修復(fù)。這時(shí)你只能用以前的備份文件替換掉損壞的文件。只能用以前的備份文件替換掉損壞的文件。 4、不要使用網(wǎng)頁(yè)在線殺毒。這種方法充其量只、不要使用網(wǎng)頁(yè)在線殺毒。這種方法充其量只能查出計(jì)算機(jī)上是否感染流行的病毒，而不能實(shí)能查出計(jì)算機(jī)上是否感染流行的病毒，而不能實(shí)際的進(jìn)行清除病毒。際的進(jìn)行清除病毒。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1 安裝最新版本的，有實(shí)時(shí)監(jiān)控功能的防毒軟安裝最新版本的，有實(shí)時(shí)監(jiān)控功能的防毒軟件，并及時(shí)升級(jí)病毒庫(kù)件，并及時(shí)

7、升級(jí)病毒庫(kù)。2 對(duì)來(lái)歷不明的軟件（特別是從網(wǎng)上下載的軟對(duì)來(lái)歷不明的軟件（特別是從網(wǎng)上下載的軟件）要先查毒確保沒(méi)有病毒后再運(yùn)行。件）要先查毒確保沒(méi)有病毒后再運(yùn)行。3 由于文件型病毒會(huì)對(duì)一些文件造成破壞，所由于文件型病毒會(huì)對(duì)一些文件造成破壞，所以平時(shí)要注意對(duì)數(shù)據(jù)的備份，重要的數(shù)據(jù)要備份以平時(shí)要注意對(duì)數(shù)據(jù)的備份，重要的數(shù)據(jù)要備份到移動(dòng)存儲(chǔ)器或刻錄到光盤上。到移動(dòng)存儲(chǔ)器或刻錄到光盤上。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院通用模板通用模板通用模板通用模板WORD WORD 正文正文WORD WORD 宏病毒宏病毒W(wǎng)ORD WORD 正文正文WORD

8、WORD 宏病毒宏病毒若在若在WordWord中打開(kāi)染中打開(kāi)染毒文件，病毒會(huì)將毒文件，病毒會(huì)將其宏代碼復(fù)制到通其宏代碼復(fù)制到通用模板用模板normal.dotnormal.dot通用模板中的通用模板中的宏病毒，將病宏病毒，將病毒復(fù)制到其他毒復(fù)制到其他打開(kāi)的文件中打開(kāi)的文件中廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院打開(kāi)染毒的打開(kāi)染毒的Excel Excel 電子電子表格表時(shí)，會(huì)在表格表時(shí)，會(huì)在Microsoft Microsoft OfficeOfficeXLStarOfficeOfficeXLStart t目錄中產(chǎn)生一個(gè)目錄中產(chǎn)生一個(gè) excel excel 文件文件每次打開(kāi)有每次打開(kāi)有宏

9、病毒的電宏病毒的電子表格時(shí)，子表格時(shí)，就能感染每就能感染每個(gè)打開(kāi)的電個(gè)打開(kāi)的電子表格子表格XLStartXLStart 目錄目錄啟動(dòng)文件啟動(dòng)文件EXCELEXCEL電子表格電子表格Excel宏病毒宏病毒EXCELEXCEL電子表格電子表格Excel宏病毒宏病毒廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 OFFICE文檔文件變大文檔文件變大 在在Normal.dot模板中有模板中有AutoOpen，AutoNew，AutoClose等以等以Auto開(kāi)頭的自動(dòng)宏以及開(kāi)頭的自動(dòng)宏以及FileSave，F(xiàn)ileSaveAs，F(xiàn)ileExit等文件操作宏及一些怪名字等文件操作宏及一些怪名字的宏，如的宏

10、，如AAAzao,payload等，可能感染了。等，可能感染了。 沒(méi)有修改文件但應(yīng)用程序提示存盤沒(méi)有修改文件但應(yīng)用程序提示存盤 普通的文件另存時(shí)被存為模板文件普通的文件另存時(shí)被存為模板文件 在工具菜單中看不到宏字樣，或者不可選。在工具菜單中看不到宏字樣，或者不可選。 打開(kāi)文檔時(shí)提示是否啟動(dòng)宏打開(kāi)文檔時(shí)提示是否啟動(dòng)宏 運(yùn)行過(guò)程中提示內(nèi)存不足，或者打印不正常。運(yùn)行過(guò)程中提示內(nèi)存不足，或者打印不正常。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1、當(dāng)出現(xiàn)提示的時(shí)候禁用宏、當(dāng)出現(xiàn)提示的時(shí)候禁用宏廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院2、提示保存、提示保存NORMAL模板模板工具工具選項(xiàng)選項(xiàng)保存保

11、存廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院3、在在Normal.dot模板文件中創(chuàng)建一個(gè)自己的宏模板文件中創(chuàng)建一個(gè)自己的宏(AutoExce)，具體代碼為：，具體代碼為： “Sub Main DisableAutoMacros 1 End Sub” 這樣就能禁止其他自動(dòng)宏的運(yùn)行，預(yù)防宏病這樣就能禁止其他自動(dòng)宏的運(yùn)行，預(yù)防宏病毒的感染。另外注意一點(diǎn)，此程序是在毒的感染。另外注意一點(diǎn)，此程序是在Word的的“工具工具/宏宏/Visual Basic編輯器編輯器”中完成中完成。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院4、把、把NORMAL.DOT模板文件屬性設(shè)為只讀模板文件屬性設(shè)為只讀5、

12、把本機(jī)內(nèi)危險(xiǎn)命令改名或刪除、把本機(jī)內(nèi)危險(xiǎn)命令改名或刪除6、重要數(shù)據(jù)文件經(jīng)常備份、重要數(shù)據(jù)文件經(jīng)常備份7、安裝最新版本的，有實(shí)時(shí)監(jiān)控功能的防毒軟、安裝最新版本的，有實(shí)時(shí)監(jiān)控功能的防毒軟件，并及時(shí)升級(jí)病毒庫(kù)件，并及時(shí)升級(jí)病毒庫(kù)廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院第一種情況：機(jī)器內(nèi)沒(méi)有中宏病毒，要打開(kāi)的文第一種情況：機(jī)器內(nèi)沒(méi)有中宏病毒，要打開(kāi)的文件中可能含有宏病毒。件中可能含有宏病毒。1、打開(kāi)、打開(kāi)WORD，不要雙擊文件打開(kāi)。，不要雙擊文件打開(kāi)。2、選擇打開(kāi)指定的文件，提示有宏時(shí)選擇禁用。、選擇打開(kāi)指定的文件，提示有宏時(shí)選擇禁用。3、打開(kāi)工具、打開(kāi)工具-選項(xiàng)選項(xiàng)-宏，刪除可疑的宏。然后保宏，

13、刪除可疑的宏。然后保存文件?；蛘卟捎脧?fù)制粘貼的方法到一個(gè)新文件存文件?；蛘卟捎脧?fù)制粘貼的方法到一個(gè)新文件中。中。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院第二種情況：機(jī)器內(nèi)已經(jīng)中過(guò)宏病毒第二種情況：機(jī)器內(nèi)已經(jīng)中過(guò)宏病毒1、刪除、刪除NORMAL.dot，然后采用第一種情況中然后采用第一種情況中的方法對(duì)有毒文件進(jìn)行操作。的方法對(duì)有毒文件進(jìn)行操作。2、使用殺毒軟件。、使用殺毒軟件。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院如果郵件或者網(wǎng)頁(yè)中含有惡意代碼如果郵件或者網(wǎng)頁(yè)中含有惡意代碼這些惡意腳本會(huì)在用戶通過(guò)這些惡意腳本會(huì)在用戶通過(guò)EMAIL或?yàn)g覽器時(shí)通

14、或?yàn)g覽器時(shí)通過(guò)過(guò)WSH（Windows Script Host）解釋執(zhí)行）解釋執(zhí)行并通過(guò)并通過(guò)EMAIL或?yàn)g覽器傳染給其他的用戶或?yàn)g覽器傳染給其他的用戶廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院點(diǎn)擊點(diǎn)擊 Yes 會(huì)執(zhí)行可能含有惡意代碼的腳本程序，當(dāng)點(diǎn)會(huì)執(zhí)行可能含有惡意代碼的腳本程序，當(dāng)點(diǎn)擊擊 No 會(huì)出現(xiàn)下面的提示框會(huì)出現(xiàn)下面的提示框.在接收到一個(gè)含有腳本的郵件時(shí)，系統(tǒng)會(huì)彈出下面提示在接收到一個(gè)含有腳本的郵件時(shí)，系統(tǒng)會(huì)彈出下面提示廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院Look for the script icon to determine any embedded scripts i

15、n the e-mail messages The script icon looks like this廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院You may save the e-mail message in HTML format to be able to check it before openingOnce in HTML format, you can verify the contents of the saved e-mail message for any malicious script codes廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院方法一：卸載方法一：卸載

16、WSHWSH（腳本調(diào)試器）（腳本調(diào)試器） 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院刪除刪除VBS、VBE、JS、JSE文件與應(yīng)用程序文件與應(yīng)用程序的映射或者在的映射或者在Windows 目錄中，找到目錄中，找到Wscript.exe,更更改其名稱或干脆刪除。改其名稱或干脆刪除。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院方法三、禁止編輯注冊(cè)表，方法三、禁止編輯注冊(cè)表，win2000用禁止遠(yuǎn)用禁止遠(yuǎn)程編輯注冊(cè)表！程編輯注冊(cè)表！控制面板控制面板管理工具管理工具服務(wù)服務(wù)Remote Registry Service(Remote Registry Service(允許遠(yuǎn)程注冊(cè)表操作允許遠(yuǎn)程注冊(cè)

17、表操作) )廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 用用regsvr32 scrrun.dll/uregsvr32 scrrun.dll/u這條命令就可以禁止文這條命令就可以禁止文件系統(tǒng)對(duì)象。其中件系統(tǒng)對(duì)象。其中regsvr32regsvr32是是WindowssystemWindowssystem下下的可執(zhí)行文件的可執(zhí)行文件regsvr32.exeregsvr32.exe。 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院方法五：禁用活動(dòng)腳本和方法五：禁用活動(dòng)腳本和JAVAJAVA程序腳本程序腳本 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1、

18、IE默認(rèn)連接首頁(yè)被修改默認(rèn)連接首頁(yè)被修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page 2、篡改、篡改IE的默認(rèn)頁(yè)的默認(rèn)頁(yè) HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院3、修改、修改IE瀏覽器缺省主頁(yè)，并且鎖定設(shè)置項(xiàng)，瀏覽器缺省主頁(yè)，并

19、且鎖定設(shè)置項(xiàng)，禁止用戶更改回來(lái)。禁止用戶更改回來(lái)。1 1為不可選為不可選 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelSettings=dword:1 Links=dword:1 SecAddSites=dword:1 廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院4、IE的默認(rèn)首頁(yè)灰色按紐不可選的默認(rèn)首頁(yè)灰色按紐不可選 HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panelhomepage=15、IE標(biāo)題

20、欄被修改標(biāo)題欄被修改 HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)

21、院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院蠕蟲(chóng)是一個(gè)能傳染自身拷貝到另一臺(tái)計(jì)算機(jī)上的蠕蟲(chóng)是一個(gè)能傳染自身拷貝到另一臺(tái)計(jì)算機(jī)上的程序程序廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院

22、廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院.購(gòu)買主流的網(wǎng)絡(luò)安全產(chǎn)品，并注意隨時(shí)更新。購(gòu)買主流的網(wǎng)絡(luò)安全產(chǎn)品，并注意隨時(shí)更新。.提高防殺毒意識(shí)，不要輕易點(diǎn)擊陌生的站點(diǎn)。提高防殺毒意識(shí)，不要輕易點(diǎn)擊陌生的站點(diǎn)。.不隨意查看陌生郵件，尤其是帶有附件的郵件。不隨意查看陌生郵件，尤其是帶有附件的郵件。.對(duì)于蠕蟲(chóng)病毒應(yīng)當(dāng)注意不要輕易運(yùn)行郵件中的附對(duì)于蠕蟲(chóng)病毒應(yīng)當(dāng)注意不要輕易運(yùn)行郵件中的附件文件，如果發(fā)現(xiàn)郵件有

23、異常并且沒(méi)有附件時(shí)應(yīng)件文件，如果發(fā)現(xiàn)郵件有異常并且沒(méi)有附件時(shí)應(yīng)該看一看郵件的詳細(xì)信息。該看一看郵件的詳細(xì)信息。廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院1、相信原廠公布的補(bǔ)丁程序相信原廠公布的補(bǔ)丁程序 2、雙擊附件前，請(qǐng)先掃毒雙擊附件前，請(qǐng)先掃毒 3、盡量不要開(kāi)啟以下后綴名的附件：盡量不要開(kāi)啟以下后綴名的附件：.VBE、.VBS、.JS、.JSE、.BAT、.SHS、.PIF、.CHM、.WSF、.WSH、.SCR、.LNK、.COM、.EXE、.DLL。 4、取消共享或使用只讀與密碼方式共享文件、取消共享或使用只讀與密碼方式共享文件5、不要隱藏默認(rèn)文件的擴(kuò)展名、不要隱藏默認(rèn)文件的擴(kuò)展名廣東

24、醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院通過(guò)修改系統(tǒng)實(shí)現(xiàn)自啟動(dòng)：通過(guò)修改系統(tǒng)實(shí)現(xiàn)自啟動(dòng)：利用利用Autoexec.bat和和Config.sys進(jìn)行加載；進(jìn)行加載；修改注冊(cè)表；修改注冊(cè)表；修改修改Win.ini文件；文件；感染感染W(wǎng)indows系統(tǒng)文件系統(tǒng)文件廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院偽裝成系統(tǒng)文件偽裝成系統(tǒng)文件將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù)將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù)將木馬程序加載到系統(tǒng)文件中將木馬程序加載到系統(tǒng)文件中 Win.ini、system.ini充分利用端口隱藏充分利用端

25、口隱藏隱藏在注冊(cè)表中隱藏在注冊(cè)表中自動(dòng)備份自動(dòng)備份木馬程序于其它程序綁定木馬程序于其它程序綁定“穿墻術(shù)穿墻術(shù)”利用遠(yuǎn)程線程的方式隱藏利用遠(yuǎn)程線程的方式隱藏通過(guò)攔截系統(tǒng)功能調(diào)用的方式來(lái)隱藏自己通過(guò)攔截系統(tǒng)功能調(diào)用的方式來(lái)隱藏自己攻擊殺毒軟件攻擊殺毒軟件廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院 系統(tǒng)系統(tǒng)windows目錄目錄G_Server.exeG_Server_Hook.dll 隱藏隱藏G_Server.dll 后門后門G_ServerKey.dll 鍵盤記錄鍵盤記錄注冊(cè)服務(wù)注冊(cè)服務(wù)廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)院廣東醫(yī)學(xué)院信息工程學(xué)