計(jì)算機(jī)病毒virus_4講

1、計(jì)算機(jī)病毒與木馬防治計(jì)算機(jī)病毒與木馬防治專題一專題一 病毒的發(fā)展與相關(guān)概念病毒的發(fā)展與相關(guān)概念專題二專題二 病毒的原理與防范病毒的原理與防范專題三專題三 當(dāng)前流行病毒的防治當(dāng)前流行病毒的防治專題四專題四 病毒綜合防范的技術(shù)措施病毒綜合防范的技術(shù)措施2第一講：病毒的現(xiàn)狀與相關(guān)概念3一、 計(jì)算機(jī)病毒的現(xiàn)狀（一）武警部隊(duì)受計(jì)算機(jī)病毒影響的現(xiàn)狀（一）武警部隊(duì)受計(jì)算機(jī)病毒影響的現(xiàn)狀 日常辦公中感染計(jì)算機(jī)病毒的現(xiàn)象十分普遍，由于受到日常辦公中感染計(jì)算機(jī)病毒的現(xiàn)象十分普遍，由于受到計(jì)算機(jī)病毒的破壞，造成了計(jì)算機(jī)病毒的破壞，造成了軟件不能運(yùn)行軟件不能運(yùn)行、系統(tǒng)無(wú)法使用系統(tǒng)無(wú)法使用，甚至甚至重要數(shù)據(jù)遭到刪除重要

2、數(shù)據(jù)遭到刪除等嚴(yán)重的后果。等嚴(yán)重的后果。45（二）毒王（二）毒王“熊貓燒香熊貓燒香”病毒病毒6（1）二進(jìn)制可執(zhí)行文件(后綴為:EXE,SCR,PIF,COM) （2）腳本類(后綴名為:htm,html,asp,php,jsp,aspx)在感染時(shí)會(huì)刪除這些磁盤上的后綴名為.GHO 局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致整個(gè)局域網(wǎng)癱瘓。對(duì)辦公自動(dòng)化的影響：對(duì)辦公自動(dòng)化的影響：7（三）病毒（三）病毒將硬盤數(shù)據(jù)刪除將硬盤數(shù)據(jù)刪除8 在桌面上會(huì)建立一個(gè)名為“拯救硬盤.txt”的文件，內(nèi)容大致為：“你的硬盤資料丟失了，是因?yàn)槭謾C(jī)的強(qiáng)電磁流影響了硬盤的正常讀寫，你必須使用磁盤修復(fù)工具拯救找

3、回丟失的資料文件，但是，你正在使用的不是正版軟件，是盜版，你必須拯救修復(fù)丟失的資料，并且盡快購(gòu)買正版的軟件”。開(kāi)始菜單的“附件”組中生成名為“修復(fù)硬盤資料”的快捷方式。對(duì)辦公自動(dòng)化的影響：對(duì)辦公自動(dòng)化的影響：9（四）（四）U盤病毒盤病毒 辦公中使用辦公中使用U盤的頻率高，盤的頻率高，U盤病毒造盤病毒造成的影響面廣，傳播速度快，不依賴于網(wǎng)成的影響面廣，傳播速度快，不依賴于網(wǎng)絡(luò)，對(duì)單機(jī)同樣有嚴(yán)重的影響。絡(luò)，對(duì)單機(jī)同樣有嚴(yán)重的影響。10二、計(jì)算機(jī)病毒發(fā)展歷程1、計(jì)算機(jī)病毒溯源、計(jì)算機(jī)病毒溯源 1949年，馮年，馮.諾伊曼在諾伊曼在復(fù)雜自動(dòng)裝置的復(fù)雜自動(dòng)裝置的理論及組織的進(jìn)行理論及組織的進(jìn)行中已把病毒

4、程序的藍(lán)圖中已把病毒程序的藍(lán)圖勾勒出來(lái)了。勾勒出來(lái)了。 當(dāng)時(shí)，絕大部份的專家都無(wú)法想象這種當(dāng)時(shí)，絕大部份的專家都無(wú)法想象這種會(huì)自我繁殖的程序是可能的，只有少數(shù)幾個(gè)會(huì)自我繁殖的程序是可能的，只有少數(shù)幾個(gè)科學(xué)家默默地研究馮科學(xué)家默默地研究馮諾伊曼所提出的概念。諾伊曼所提出的概念。 111、計(jì)算機(jī)病毒溯源、計(jì)算機(jī)病毒溯源20世紀(jì)世紀(jì)50年代末年代末60年代初，美國(guó)電報(bào)電話公年代初，美國(guó)電報(bào)電話公司（司（AT&T） 的的Bell實(shí)驗(yàn)室，實(shí)驗(yàn)室，Core War游戲游戲(磁芯大戰(zhàn)磁芯大戰(zhàn))。道格拉斯道格拉斯 (H. Douglas McIlroy)維克多維克多 (Victor Vysottsky)羅伯特

5、羅伯特莫里斯莫里斯 (Robert T. Morris)二、計(jì)算機(jī)病毒發(fā)展歷程12Core War(磁芯大戰(zhàn)磁芯大戰(zhàn))。Darwin（達(dá)爾文）（達(dá)爾文）Creeper（爬行者）（爬行者）Reaper（收割者）（收割者）Dwarf（侏儒）（侏儒）Gemini（雙子星）（雙子星）Imp（小淘氣）（小淘氣）131、計(jì)算機(jī)病毒溯源、計(jì)算機(jī)病毒溯源1975 年，年，震蕩波騎士震蕩波騎士第一次描寫了在第一次描寫了在信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭(zhēng)的工具的故事。爭(zhēng)的工具的故事。1977年，美國(guó)科幻作家雷恩在小說(shuō)年，美國(guó)科幻作家雷恩在小說(shuō)P-1的的青春青春(The

6、 Adolescence of P-1)，幻想了世，幻想了世界上第一個(gè)計(jì)算機(jī)病毒。界上第一個(gè)計(jì)算機(jī)病毒。二、計(jì)算機(jī)病毒發(fā)展歷程141、計(jì)算機(jī)病毒溯源、計(jì)算機(jī)病毒溯源1983年，美國(guó)計(jì)算機(jī)安全學(xué)家科恩博士研制年，美國(guó)計(jì)算機(jī)安全學(xué)家科恩博士研制出一個(gè)在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性出一個(gè)在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序。程序。Len Adleman將其命名。將其命名。Computer Virus科恩博士科恩博士二、計(jì)算機(jī)病毒發(fā)展歷程152、第一例病毒、第一例病毒1986年，巴基斯坦病毒，年，巴基斯坦病毒，Brain（大腦）病毒。（大腦）病毒。 1988年年3月月2日，一種針對(duì)蘋果機(jī)的病毒發(fā)作。

7、日，一種針對(duì)蘋果機(jī)的病毒發(fā)作。這天受感染的蘋果機(jī)停止工作，只顯示這天受感染的蘋果機(jī)停止工作，只顯示“向所有向所有蘋果電腦的使用者宣布和平的信息蘋果電腦的使用者宣布和平的信息”。以慶祝蘋。以慶祝蘋果機(jī)生日。果機(jī)生日。 二、計(jì)算機(jī)病毒發(fā)展歷程163、互聯(lián)網(wǎng)第一例病毒、互聯(lián)網(wǎng)第一例病毒1988年，年，Morris ，入侵，入侵ARPNET。莫里斯直接經(jīng)濟(jì)損失達(dá)直接經(jīng)濟(jì)損失達(dá) 9600 萬(wàn)美元萬(wàn)美元 被判被判 3 年緩刑，罰款年緩刑，罰款 1 萬(wàn)美元萬(wàn)美元 二、計(jì)算機(jī)病毒發(fā)展歷程174、我國(guó)第一例病毒、我國(guó)第一例病毒1988年底，在我國(guó)國(guó)家統(tǒng)計(jì)部門發(fā)現(xiàn)首例病毒，年底，在我國(guó)國(guó)家統(tǒng)計(jì)部門發(fā)現(xiàn)首例病毒，小

8、球病毒。小球病毒。1989年，年，Stoned病毒。病毒?！癥our PC is now stoned”二、計(jì)算機(jī)病毒發(fā)展歷程185、第一次將病毒用于戰(zhàn)爭(zhēng)、第一次將病毒用于戰(zhàn)爭(zhēng)1991年，年，“海灣戰(zhàn)爭(zhēng)海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)。算機(jī)病毒用于實(shí)戰(zhàn)。二、計(jì)算機(jī)病毒發(fā)展歷程196、病毒影響政治事件、病毒影響政治事件1994年，南非第一次多種族全民大選的記票年，南非第一次多種族全民大選的記票工作，因病毒的破壞而停頓達(dá)工作，因病毒的破壞而停頓達(dá)30余小時(shí)。余小時(shí)。二、計(jì)算機(jī)病毒發(fā)展歷程207、宏病毒、宏病毒1997年，年，“宏病毒年宏病毒年”, Macro Viru

9、s。利用軟件所支持的宏命令編寫成的具有復(fù)制、利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。傳染能力的宏。WORD宏病毒：宏病毒：當(dāng)載入文件時(shí)先執(zhí)行起始的宏，當(dāng)載入文件時(shí)先執(zhí)行起始的宏，Normal.dot用宏病毒感染用宏病毒感染Normal.dot則所有被編輯的文件均被染毒則所有被編輯的文件均被染毒二、計(jì)算機(jī)病毒發(fā)展歷程218、第一例破壞硬件的病毒、第一例破壞硬件的病毒-CIH 1998年年8月月,公安部要求各地計(jì)算機(jī)監(jiān)察處公安部要求各地計(jì)算機(jī)監(jiān)察處嚴(yán)厲加防范一種直接攻擊和破壞計(jì)算機(jī)硬嚴(yán)厲加防范一種直接攻擊和破壞計(jì)算機(jī)硬件系統(tǒng)的新病毒件系統(tǒng)的新病毒CIH。1999年年4月月26日，日，

10、CIH病毒大規(guī)模爆發(fā)。全病毒大規(guī)模爆發(fā)。全世界至少世界至少6000萬(wàn)臺(tái)，我國(guó)至少萬(wàn)臺(tái)，我國(guó)至少36萬(wàn)臺(tái)計(jì)算萬(wàn)臺(tái)計(jì)算機(jī)受損。主板受損比例機(jī)受損。主板受損比例15%，經(jīng)濟(jì)損失，經(jīng)濟(jì)損失0.8億人民幣。億人民幣。陳盈豪 二、計(jì)算機(jī)病毒發(fā)展歷程22239、瀏覽就可以傳染、瀏覽就可以傳染可怕的腳本病毒可怕的腳本病毒設(shè)置設(shè)置 對(duì)象對(duì)象1 = 創(chuàng)建對(duì)象創(chuàng)建對(duì)象/創(chuàng)建一個(gè)文件操作對(duì)象創(chuàng)建一個(gè)文件操作對(duì)象對(duì)象對(duì)象1.創(chuàng)建文本文件創(chuàng)建文本文件/通過(guò)這個(gè)文件對(duì)象的方法創(chuàng)建一個(gè)通過(guò)這個(gè)文件對(duì)象的方法創(chuàng)建一個(gè)TXT文件文件如果把第二句改為：如果把第二句改為：對(duì)象對(duì)象1.獲取文件獲取文件.拷貝拷貝(自身自身)/自身復(fù)制自

11、身復(fù)制二、計(jì)算機(jī)病毒發(fā)展歷程24設(shè)置設(shè)置 Outlook對(duì)象對(duì)象 = 腳本引擎腳本引擎.創(chuàng)建對(duì)象創(chuàng)建對(duì)象(Outlook.Application) 遍歷地址簿遍歷地址簿 郵件對(duì)象郵件對(duì)象.收件人收件人.增加增加(地址地址)郵件對(duì)象郵件對(duì)象.主題主題 = “你好！你好！”郵件對(duì)象郵件對(duì)象.附件標(biāo)題附件標(biāo)題 = “這是一個(gè)有趣的東西，請(qǐng)打開(kāi)這是一個(gè)有趣的東西，請(qǐng)打開(kāi)”郵件對(duì)象郵件對(duì)象.附件附件.增加增加(“病毒文件病毒文件”)郵件對(duì)象郵件對(duì)象.發(fā)送發(fā)送NextNext設(shè)置設(shè)置Outlook對(duì)象對(duì)象 = 空空251999年年3月月26日日, “梅麗莎梅麗莎” Melissa病毒。病毒。2000年年5

12、月月4日日,愛(ài)蟲(chóng)病毒。愛(ài)蟲(chóng)病毒。2001年，年， CodeRed 、 CodeBlue 、Nimda等針對(duì)等針對(duì)IIS服務(wù)器漏洞病毒。服務(wù)器漏洞病毒。9、瀏覽就可以傳染、瀏覽就可以傳染可怕的腳本病毒可怕的腳本病毒2610、新型病毒（手機(jī)、新型病毒（手機(jī)、PDA病毒）病毒）定義：以手機(jī)為感染對(duì)象，以手機(jī)網(wǎng)絡(luò)和計(jì)以手機(jī)為感染對(duì)象，以手機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)為平臺(tái)，通過(guò)病毒短信等形式，對(duì)算機(jī)網(wǎng)絡(luò)為平臺(tái)，通過(guò)病毒短信等形式，對(duì)手機(jī)進(jìn)行攻擊，從而造成手機(jī)異常的一種新手機(jī)進(jìn)行攻擊，從而造成手機(jī)異常的一種新型病毒。型病毒。二、計(jì)算機(jī)病毒發(fā)展歷程27 特點(diǎn)特點(diǎn) 手機(jī)病毒也是由計(jì)算機(jī)程序編寫而成；手機(jī)病毒也是由計(jì)算

13、機(jī)程序編寫而成； 可利用發(fā)送普通短信、彩信、上網(wǎng)瀏覽、可利用發(fā)送普通短信、彩信、上網(wǎng)瀏覽、下載軟件、鈴聲等方式，實(shí)現(xiàn)網(wǎng)絡(luò)到手機(jī)的傳下載軟件、鈴聲等方式，實(shí)現(xiàn)網(wǎng)絡(luò)到手機(jī)的傳播；播； 危害后果包括危害后果包括:死機(jī)、關(guān)機(jī)、刪除存儲(chǔ)的資死機(jī)、關(guān)機(jī)、刪除存儲(chǔ)的資料、向外發(fā)送垃圾郵件、撥打電話等。料、向外發(fā)送垃圾郵件、撥打電話等。 2810、新型病毒（手機(jī)病毒）、新型病毒（手機(jī)病毒）2004年年6月月Cabir在在NOKIA60系列機(jī)上傳播。系列機(jī)上傳播。2006年共發(fā)現(xiàn)年共發(fā)現(xiàn)226種。種。2007年達(dá)到年達(dá)到500種。種。二、計(jì)算機(jī)病毒發(fā)展歷程29目標(biāo)越大，對(duì)惡意軟件作者的吸引力就越強(qiáng)。目標(biāo)越大，對(duì)

14、惡意軟件作者的吸引力就越強(qiáng)。 裝有裝有Symbian操作系統(tǒng)的手機(jī)，因?yàn)檠b配這種操作系統(tǒng)的手機(jī)，因?yàn)檠b配這種操作系統(tǒng)的手機(jī)占全球智能手機(jī)總數(shù)的操作系統(tǒng)的手機(jī)占全球智能手機(jī)總數(shù)的70左右。左右。 30RedBrowser的木馬，手機(jī)在感染此木馬后，的木馬，手機(jī)在感染此木馬后，將連續(xù)不斷地向俄羅斯的一個(gè)手機(jī)號(hào)碼發(fā)將連續(xù)不斷地向俄羅斯的一個(gè)手機(jī)號(hào)碼發(fā)送短信，直到用戶關(guān)閉中毒手機(jī)為止。送短信，直到用戶關(guān)閉中毒手機(jī)為止。每條短信都會(huì)被收取大約每條短信都會(huì)被收取大約5美元美元的額外費(fèi)用。的額外費(fèi)用。 31Trojanhorse病毒：是特洛伊木馬病毒，病毒：是特洛伊木馬病毒，病毒發(fā)作時(shí)會(huì)利用通訊簿向外撥打電

15、話病毒發(fā)作時(shí)會(huì)利用通訊簿向外撥打電話或發(fā)送郵件?；虬l(fā)送郵件。 32Unavailable病毒：當(dāng)有來(lái)電時(shí)，屏幕上顯示病毒：當(dāng)有來(lái)電時(shí)，屏幕上顯示的不是電話號(hào)碼，而是的不是電話號(hào)碼，而是“Unavailable”字樣字樣或一些奇異的符號(hào)。此時(shí)若接電話就會(huì)染上或一些奇異的符號(hào)。此時(shí)若接電話就會(huì)染上該病毒，同時(shí)手機(jī)內(nèi)所有資料均丟失。該病毒，同時(shí)手機(jī)內(nèi)所有資料均丟失。 33據(jù)統(tǒng)計(jì)據(jù)統(tǒng)計(jì)1989年年1月月,病毒種類不過(guò)病毒種類不過(guò)100種。種。1990年年1月月,超過(guò)超過(guò)150種。種。1990年年12月月,超過(guò)超過(guò)260種。種。2005年全年截獲年全年截獲 72836 個(gè)。2007年共截獲新病毒年共截獲

16、新病毒283084個(gè)。個(gè)。2009年年新增新增病毒和木馬病毒和木馬20684223個(gè)。個(gè)。二、計(jì)算機(jī)病毒發(fā)展歷程34二、計(jì)算機(jī)病毒發(fā)展歷程35（1）玩笑、惡作劇的結(jié)果。）玩笑、惡作劇的結(jié)果。 （2）個(gè)別人的報(bào)復(fù)心理產(chǎn)生的結(jié)果。）個(gè)別人的報(bào)復(fù)心理產(chǎn)生的結(jié)果。 （3）保護(hù)版權(quán)的結(jié)果。）保護(hù)版權(quán)的結(jié)果。（4 4）黑客以獲取情報(bào)和經(jīng)濟(jì)利益為目的）黑客以獲取情報(bào)和經(jīng)濟(jì)利益為目的 。根本原因：現(xiàn)代計(jì)算機(jī)的結(jié)構(gòu)缺陷根本原因：現(xiàn)代計(jì)算機(jī)的結(jié)構(gòu)缺陷直接原因：病毒制造者出于各種各樣的目的直接原因：病毒制造者出于各種各樣的目的三、計(jì)算機(jī)病毒產(chǎn)生的原因362007年，明顯針對(duì)國(guó)內(nèi)用戶、或是明顯帶有年，明顯針對(duì)國(guó)內(nèi)用戶

17、、或是明顯帶有“中中國(guó)制造國(guó)制造”特征的病毒，占據(jù)所有病毒總數(shù)的特征的病毒，占據(jù)所有病毒總數(shù)的37%左右，首度躍居左右，首度躍居全球第一全球第一，中國(guó)大陸地區(qū)正成為，中國(guó)大陸地區(qū)正成為全球電腦病毒全球電腦病毒危害最嚴(yán)重危害最嚴(yán)重的地區(qū)。的地區(qū)。 37導(dǎo)致這種現(xiàn)狀產(chǎn)生的主要因素：導(dǎo)致這種現(xiàn)狀產(chǎn)生的主要因素： 國(guó)內(nèi)黑客國(guó)內(nèi)黑客/病毒制造者病毒制造者集團(tuán)化、產(chǎn)業(yè)化集團(tuán)化、產(chǎn)業(yè)化運(yùn)作，運(yùn)作，批量地制造電腦病毒。批量地制造電腦病毒。 38計(jì)算機(jī)病毒經(jīng)濟(jì)利益？計(jì)算機(jī)病毒經(jīng)濟(jì)利益？3940 我們的殺毒軟件在干什么我們的殺毒軟件在干什么?41針對(duì)殺毒軟件做攻防，已經(jīng)成為普遍現(xiàn)象針對(duì)殺毒軟件做攻防，已經(jīng)成為普遍

18、現(xiàn)象 案例一：病毒修改殺毒軟件設(shè)置，默認(rèn)忽略（不查殺）查出的病毒案例一：病毒修改殺毒軟件設(shè)置，默認(rèn)忽略（不查殺）查出的病毒 42案例二：病毒修改系統(tǒng)時(shí)間讓殺毒軟件過(guò)期，造成該軟件無(wú)法正常使用案例二：病毒修改系統(tǒng)時(shí)間讓殺毒軟件過(guò)期，造成該軟件無(wú)法正常使用 43案例三：病毒破壞該案例三：病毒破壞該IM軟件自帶的木馬查殺模塊軟件自帶的木馬查殺模塊 44案例四：病毒損壞了某殺毒軟件的配置文件案例四：病毒損壞了某殺毒軟件的配置文件 45廣義上講，凡能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)廣義上講，凡能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。的程序統(tǒng)稱為計(jì)算機(jī)病毒。 1994年年2月月18日我國(guó)

19、頒布的日我國(guó)頒布的中華人民共和國(guó)計(jì)算機(jī)信中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例息系統(tǒng)安全保護(hù)條例，第二十八條指出：，第二十八條指出：“計(jì)算機(jī)計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用、并能自我復(fù)機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。制的一組計(jì)算機(jī)指令或者程序代碼?！?四、計(jì)算機(jī)病毒的相關(guān)概念定義：定義：46傳染性傳染性: 也稱也稱“自我復(fù)制自我復(fù)制”或或“再生再生”。 破壞性破壞性: 良性、惡性。良性、惡性。寄生性寄生性: 病毒程序嵌入到宿主程序之中，依賴于宿主程

20、序的執(zhí)病毒程序嵌入到宿主程序之中，依賴于宿主程序的執(zhí) 行而生存。行而生存。 隱蔽性：隱蔽性：通常附在正常程序或磁盤中。通常附在正常程序或磁盤中。不可預(yù)見(jiàn)性：不可預(yù)見(jiàn)性：病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。 可控性可控性 、潛伏性、可觸發(fā)性等、潛伏性、可觸發(fā)性等特征：特征：四、計(jì)算機(jī)病毒的相關(guān)概念47采用病毒體字節(jié)數(shù)采用病毒體字節(jié)數(shù)病毒體內(nèi)或傳染過(guò)程中的特征字符串病毒體內(nèi)或傳染過(guò)程中的特征字符串發(fā)作的現(xiàn)象發(fā)作的現(xiàn)象發(fā)作的時(shí)間及相關(guān)事件發(fā)作的時(shí)間及相關(guān)事件病毒發(fā)源地病毒發(fā)源地命名：命名：四、計(jì)算機(jī)病毒的相關(guān)概念48命名：命名：Worm.Nimaya 尼姆亞（熊貓燒香）W32

21、.Klez.Hmm 求職信變種W32.Nimda.Emm 尼姆達(dá)變種VBS.HappyTime 歡樂(lè)時(shí)光VBS.LoveLetter 愛(ài)蟲(chóng)Worm.Sasser 震蕩波Worm.Sasser.f四、計(jì)算機(jī)病毒的相關(guān)概念49命名：命名：Trojan.Huigezi.z灰鴿子變種Backdoor.Huigezi.bm灰鴿子變種Blaster.Worm沖擊波Macro.Word.Apr30 四月三十宏病毒四、計(jì)算機(jī)病毒的相關(guān)概念50命名：命名：l病毒家族名病毒家族名: 根據(jù)病毒特征起的名字，它是根據(jù)病毒特征起的名字，它是一個(gè)廣義的病毒名稱。一個(gè)廣義的病毒名稱。 l前綴前綴: 包含病毒的類型等相關(guān)信息

22、包含病毒的類型等相關(guān)信息。l后綴：用來(lái)標(biāo)識(shí)病毒變種。后綴：用來(lái)標(biāo)識(shí)病毒變種。四、計(jì)算機(jī)病毒的相關(guān)概念51前前 綴綴含含 義義解解 釋釋Boot引導(dǎo)區(qū)病毒引導(dǎo)區(qū)病毒Boot.WYX 。DOS DOSComDOS 病毒病毒 DosCom.Virus.Dir2.2048 （ DirII 病毒）病毒）Worm I-Worm蠕蟲(chóng)病毒蠕蟲(chóng)病毒W(wǎng)orm.Sasser （震蕩波）。（震蕩波）。Trojan特洛伊木馬特洛伊木馬Trojan.Win32.PGPCoder.a （文件加密（文件加密機(jī)）、機(jī)）、Backdoor后門程序后門程序Backdoor.Heidong （黑洞）。（黑洞）。Macro宏病毒宏病毒

23、Macro.Word.Apr30 常見(jiàn)前綴及其含義常見(jiàn)前綴及其含義52前前 綴綴含含 義義解解 釋釋W(xué)in32 PEWin95W32W95文件型病毒或文件型病毒或表示病毒的運(yùn)表示病毒的運(yùn)行平臺(tái)行平臺(tái)Win32.YamiScriptVBSJS腳本病毒腳本病毒Script.RedLof （紅色結(jié)束符）。（紅色結(jié)束符）。（ VBS ） Vbs.valentin （情人節(jié)）。（情人節(jié)）。PSW盜取密碼的木盜取密碼的木馬馬Trojan.PSW.Yoben.a （ 201 木馬）。木馬）。Harm惡意程序惡意程序Harm.Delfile （刪除文件）（刪除文件）Joke惡作劇程序惡作劇程序Joke.Cra

24、yMourse 53第二講：病毒的傳播與破壞原理一、引導(dǎo)型病毒一、引導(dǎo)型病毒二、文件型病毒二、文件型病毒三、木馬三、木馬四、蠕蟲(chóng)原理四、蠕蟲(chóng)原理54一、引導(dǎo)型病毒定義 開(kāi)機(jī)啟動(dòng)時(shí)，在操作系統(tǒng)的引導(dǎo)過(guò)開(kāi)機(jī)啟動(dòng)時(shí)，在操作系統(tǒng)的引導(dǎo)過(guò)程中被引入內(nèi)存的病毒稱為引導(dǎo)病毒。程中被引入內(nèi)存的病毒稱為引導(dǎo)病毒。 在使用被感染的磁盤（無(wú)論是軟盤在使用被感染的磁盤（無(wú)論是軟盤還是硬盤）啟動(dòng)計(jì)算機(jī)時(shí)，病毒就會(huì)首還是硬盤）啟動(dòng)計(jì)算機(jī)時(shí)，病毒就會(huì)首先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引導(dǎo)系統(tǒng)，并伺機(jī)傳染其他軟盤或硬盤的導(dǎo)系統(tǒng)，并伺機(jī)傳染其他軟盤或硬盤的引導(dǎo)區(qū)。引導(dǎo)區(qū)。55二、文件型病毒文件

25、型病毒是一種感染文件擴(kuò)展名為是一種感染文件擴(kuò)展名為COM、EXE 等可執(zhí)行程序的病毒。它等可執(zhí)行程序的病毒。它的安裝必須借助于病毒的載體程的安裝必須借助于病毒的載體程 序，即序，即要運(yùn)行病毒的載體程序，方能把文件型要運(yùn)行病毒的載體程序，方能把文件型病毒引入內(nèi)存。病毒引入內(nèi)存。文件型病毒分為源碼型病毒、嵌入型病分為源碼型病毒、嵌入型病毒和外殼型病毒，其中外殼型病毒是目毒和外殼型病毒，其中外殼型病毒是目前流行的文件型病毒。前流行的文件型病毒。56三、木馬的原理與防范1、什么是、什么是“木馬木馬”即特洛伊木馬，獨(dú)立程序，包含在一段正常的程序之中。意圖是將被感染的系統(tǒng)中私有信息暴露給程序的植入者，或者

26、控制系統(tǒng)。572、木馬的工作原理、木馬的工作原理客戶機(jī)/服務(wù)器的應(yīng)用程序。安裝：運(yùn)行服務(wù)器程序。每次啟動(dòng)時(shí)執(zhí)行。向特定IP地發(fā)送命令。三、木馬的原理與防范58木馬運(yùn)行過(guò)程：木馬運(yùn)行過(guò)程： 1。木馬被激活后，進(jìn)入內(nèi)存，并開(kāi)啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。 2。一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：（1）服務(wù)端已安裝了木馬程序；（2）控制端，服務(wù)端都要在線 59 木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。 3。遠(yuǎn)程控制： 控制端具體能享有哪些控制權(quán)限控制端具體能享有哪些控制權(quán)限? 60木馬得到的控制權(quán)限：木馬得到的控制權(quán)限：(1)竊取密碼 (2)文件操作：涵蓋了WIN

27、DOWS平臺(tái)上所 有的文件操作功能。 (3)修改注冊(cè)表 (4)系統(tǒng)操作 ： 重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開(kāi)服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標(biāo)，鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進(jìn)程等。613、攻擊計(jì)算機(jī)的途徑、攻擊計(jì)算機(jī)的途徑（1）將調(diào)用語(yǔ)句加至autoexec.bat config.sys中，或c:windowswinstart.bat中。將快捷方式加入啟動(dòng)菜單。三、木馬的原理與防范623、攻擊計(jì)算機(jī)的途徑、攻擊計(jì)算機(jī)的途徑（2）C:WINDOWS目錄下的win.ini的windows字段的“l(fā)oad=” “run=”后加入路徑?；蛟趕ystem.ini的boot字段的“shell=expl

28、orer.exe”后加上木馬名。三、木馬的原理與防范633、攻擊計(jì)算機(jī)的途徑、攻擊計(jì)算機(jī)的途徑（3）捆綁在其它文件之中。（4）修改注冊(cè)表，最常見(jiàn)，也最復(fù)雜。如Hkey-local-machinesoftwareMicorsoftwindows Current VersionRun等加入木馬調(diào)用。或者修改文件格式的關(guān)聯(lián)程序。三、木馬的原理與防范643、攻擊計(jì)算機(jī)的途徑、攻擊計(jì)算機(jī)的途徑（5）網(wǎng)頁(yè)掛馬 黑客自己建立帶毒網(wǎng)站，或者攻擊流量大的黑客自己建立帶毒網(wǎng)站，或者攻擊流量大的現(xiàn)有網(wǎng)站，在其中植入木馬、病毒，用戶瀏覽現(xiàn)有網(wǎng)站，在其中植入木馬、病毒，用戶瀏覽后就會(huì)中毒。后就會(huì)中毒。 快速的批量快速的

29、批量入侵大量計(jì)算機(jī)。入侵大量計(jì)算機(jī)。 三、木馬的原理與防范65 網(wǎng)站服務(wù)器一旦被侵入，則網(wǎng)站服務(wù)器一旦被侵入，則“批量掛馬批量掛馬”的惡意的惡意木馬會(huì)密密麻麻遍布木馬會(huì)密密麻麻遍布所有的網(wǎng)頁(yè)文件所有的網(wǎng)頁(yè)文件，普通網(wǎng)絡(luò)管，普通網(wǎng)絡(luò)管理員清除時(shí)極為煩瑣。理員清除時(shí)極為煩瑣。664、檢測(cè)與清除、檢測(cè)與清除（1）檢查啟動(dòng)加載的文件。查Windows啟動(dòng)文件夾。在運(yùn)行中輸入msconfig命令。三、木馬的原理與防范674、檢測(cè)與清除、檢測(cè)與清除（2）查看注冊(cè)表。用c:windowsregedit.exe編輯三、木馬的原理與防范684、檢測(cè)與清除、檢測(cè)與清除Hkey-local-machinesoftw

30、areMicorsoftwindows Current VersionRunHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceExHkey-local-machinesoftwareMicorsoftwindows Current VersionRunServicesHkey-local-machinesoftwareMicorsoftwindows Current VersionRun

31、ServicesOnce三、木馬的原理與防范694、檢測(cè)與清除、檢測(cè)與清除Hkey-Current-UsersoftwareMicorsoftwindows Current VersionRunHkey-Current-UsersoftwareMicorsoftwindows Current VersionRunOnce三、木馬的原理與防范704、檢測(cè)與清除、檢測(cè)與清除（3）檢查當(dāng)前運(yùn)行的進(jìn)程。）檢查當(dāng)前運(yùn)行的進(jìn)程。打開(kāi)任務(wù)管理器打開(kāi)任務(wù)管理器按按Ctrl+Alt+ Del鍵鍵三、木馬的原理與防范714、檢測(cè)與清除、檢測(cè)與清除（4）監(jiān)控網(wǎng)絡(luò)連接。TCP/IP端口Netstat ano并結(jié)合任務(wù)

32、管理器三、木馬的原理與防范727374一些常用的端口： (1)1-1024之間的端口：這些端口叫保留端口， 是專給一些對(duì)外通訊的程序用的，如FTP使用21， 只有很少木馬會(huì)用保留端口作為木馬端口 的。 75(2)1025以上的連續(xù)端口：在瀏覽網(wǎng)站時(shí)，瀏覽器會(huì)打開(kāi)多個(gè)連續(xù)的端口下載文字，圖片到本地 硬盤上，這些端口都是1025以上的連續(xù)端口。 76 如發(fā)現(xiàn)有其它端口打開(kāi)，尤其是數(shù)值比較大的端口，懷疑是否感染了木馬。 如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。 774、檢測(cè)與清除、檢測(cè)與清除（5）檢查“組策略”中的登錄運(yùn)行程序 三、木馬的原理與防范gpedit.msc 用戶配置管理模

33、板系統(tǒng)登錄 “在用戶登錄時(shí)運(yùn)行這些程序” 7879 用這種方式添加的自啟動(dòng)程序在系統(tǒng)的“系統(tǒng)配置實(shí)用程序(msconfig)”是找不到的，在常見(jiàn)的注冊(cè)表項(xiàng)中也是找不到的，非常危險(xiǎn)。 80HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun項(xiàng) 注冊(cè)表的 815、木馬的預(yù)防、木馬的預(yù)防（1）安裝個(gè)人防火墻。天網(wǎng)、outpost、looknstop、ZoneAlarm等（2）安裝具有查殺木馬功能的殺毒軟件。（3）經(jīng)常備份并確認(rèn)注冊(cè)表。（4）使用網(wǎng)絡(luò)時(shí)使用netstat ano命令檢查。（5）養(yǎng)成良好的安裝

34、軟件的習(xí)慣。三、木馬的原理與防范825、木馬的預(yù)防、木馬的預(yù)防小心下載軟件不隨意瀏覽附件加強(qiáng)防病毒能力顯示擴(kuò)展名棄用Outlook三、木馬的原理與防范83四、蠕蟲(chóng)的原理與防范 傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)、電子郵件以及優(yōu)盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。如“熊貓燒香”。 主要利用主要利用系統(tǒng)漏洞系統(tǒng)漏洞進(jìn)行傳播。進(jìn)行傳播。 84四、蠕蟲(chóng)的原理與防范 病毒中文名：病毒中文名：MSN騙子騙子 病毒英文名：病毒英文名：Worm.MSN.funny 病毒類型：蠕蟲(chóng)病毒病毒類型：蠕蟲(chóng)病毒 病毒危險(xiǎn)等級(jí)：病毒危險(xiǎn)等級(jí)： 病毒傳播途徑：病毒傳播途徑：QQ/MSN 即時(shí)通訊工具即時(shí)通訊工具

35、病毒依賴系統(tǒng)：病毒依賴系統(tǒng)：Windows 9X/NT/2000/XP85 1在在Windows 2000/XP系統(tǒng)下，病毒會(huì)修改系統(tǒng)文件系統(tǒng)下，病毒會(huì)修改系統(tǒng)文件HOSTS，屏蔽，屏蔽937個(gè)網(wǎng)站，使用戶登陸這些網(wǎng)站時(shí)會(huì)轉(zhuǎn)向個(gè)網(wǎng)站，使用戶登陸這些網(wǎng)站時(shí)會(huì)轉(zhuǎn)向www.*，造成用戶無(wú)法正常上網(wǎng)瀏覽。，造成用戶無(wú)法正常上網(wǎng)瀏覽。 2在在Windows 98系統(tǒng)下，病毒會(huì)替換系統(tǒng)文件系統(tǒng)下，病毒會(huì)替換系統(tǒng)文件Rundll32.exe，可能造成系統(tǒng)不能關(guān)機(jī)，進(jìn)而崩潰。，可能造成系統(tǒng)不能關(guān)機(jī)，進(jìn)而崩潰。 3利用利用MSN、QQ瘋狂發(fā)送廣告信息，誘騙用戶登陸瘋狂發(fā)送廣告信息，誘騙用戶登陸www.*網(wǎng)站。網(wǎng)

36、站。 4向向MSN、QQ好友發(fā)送好友發(fā)送“FUNNY.EXE”文件，傳播自文件，傳播自身。身。四、蠕蟲(chóng)的原理與防范861、利用操作系統(tǒng)的自動(dòng)更新修補(bǔ)漏洞。2、利用360安全衛(wèi)士等工具下載最新補(bǔ)丁下載最新補(bǔ)丁。3、加強(qiáng)管理，專網(wǎng)應(yīng)與外網(wǎng)嚴(yán)格隔離，防 止不必要的感染。4、遭受感染后，應(yīng)先斷開(kāi)網(wǎng)絡(luò)，再進(jìn)行 蠕蟲(chóng)的清除。5、關(guān)注蠕蟲(chóng)出現(xiàn)的變種，及時(shí)升級(jí)殺毒軟件， 啟動(dòng)實(shí)時(shí)監(jiān)控。防范措施： 8788斷網(wǎng)斷網(wǎng) = = 安全？安全？第三講：流行病毒的防治（U U盤病毒）盤病毒）89一：病毒原理篇90Autorun.infAutorun.inf1、激活、激活91 保存在驅(qū)動(dòng)器的根目錄下的（是一個(gè)隱藏的保存在驅(qū)

37、動(dòng)器的根目錄下的（是一個(gè)隱藏的系統(tǒng)文件），它保存著一些簡(jiǎn)單的命令，告訴系系統(tǒng)文件），它保存著一些簡(jiǎn)單的命令，告訴系統(tǒng)這個(gè)新插入的光盤或統(tǒng)這個(gè)新插入的光盤或U U盤應(yīng)該盤應(yīng)該自動(dòng)自動(dòng)啟動(dòng)什么程序。啟動(dòng)什么程序。 92如果如果U U盤帶有病毒當(dāng)點(diǎn)擊盤帶有病毒當(dāng)點(diǎn)擊U U盤時(shí)：盤時(shí)：93癥狀：癥狀：某機(jī)關(guān)一臺(tái)辦公計(jì)算機(jī)中，某機(jī)關(guān)一臺(tái)辦公計(jì)算機(jī)中，DOCDOC格式格式的的WORDWORD文件突然神秘失蹤，存放文件突然神秘失蹤，存放DOCDOC文件的文件的文件夾卻仍然存在，而且其它類型的文檔文文件夾卻仍然存在，而且其它類型的文檔文件如電子表格件如電子表格XLSXLS、幻燈片、幻燈片PPTPPT等卻沒(méi)有異

38、常。等卻沒(méi)有異常。 94病毒運(yùn)行后：病毒運(yùn)行后：1 1、會(huì)在、會(huì)在C C盤根目錄下生成病毒文件盤根目錄下生成病毒文件 c:ww.batc:ww.bat，搜索硬盤中所有的，搜索硬盤中所有的WordWord文檔：文檔：dir c:dir c:* *.doc dir d:.doc dir d:* *.doc dir e:.doc dir e:* *.doc.docWORDWORD殺手病毒（殺手病毒（doc.exedoc.exe）2 2、刪除文檔，在、刪除文檔，在c:wjc:wj下復(fù)制一份，并改名為下復(fù)制一份，并改名為* *同時(shí)修改注冊(cè)表，使系統(tǒng)無(wú)法顯示隱藏文同時(shí)修改注冊(cè)表，使系統(tǒng)無(wú)法顯示隱藏文件和文

39、件擴(kuò)展名。件和文件擴(kuò)展名。95WordWord殺手病毒是如何激活？殺手病毒是如何激活？96AutoRun OPEN=doc.exe /自動(dòng)運(yùn)行自動(dòng)運(yùn)行 Shell = verb1 shellverb1command=doc.exe shellverb1=打開(kāi)打開(kāi)(&O) /右鍵打開(kāi)右鍵打開(kāi)Shell = verb2 shellverb2command=doc.exeshellverb2=資源管理器資源管理器(&X)U U盤中的盤中的 Autorun.inf97Wincfgs-msconfigRavmonE-RavmonDThumbs.dn-thumbs.dbExpl0rer-ExplorerS

40、po0lerspoolerSvch0st等等等等2 2、偽裝和隱藏、偽裝和隱藏假冒系統(tǒng)文件名和殺毒軟件名：假冒系統(tǒng)文件名和殺毒軟件名： 2、偽裝和隱藏、偽裝和隱藏假回收站方式：假回收站方式： 982、偽裝和隱藏、偽裝和隱藏如何查看隱藏文件如何查看隱藏文件? 992、偽裝和隱藏、偽裝和隱藏100如何解決無(wú)法顯示隱藏文件？如何解決無(wú)法顯示隱藏文件？ 方法一、通過(guò)瑞星卡卡上網(wǎng)安全助手自動(dòng)修復(fù)方法一、通過(guò)瑞星卡卡上網(wǎng)安全助手自動(dòng)修復(fù) 方法二、手動(dòng)修改注冊(cè)表方法二、手動(dòng)修改注冊(cè)表 方法三、制作注冊(cè)表修復(fù)文件方法三、制作注冊(cè)表修復(fù)文件 101 把下面內(nèi)容存儲(chǔ)成把下面內(nèi)容存儲(chǔ)成ShowALL.regShow

41、ALL.reg文件文件, ,雙擊該文件導(dǎo)雙擊該文件導(dǎo)入注冊(cè)表即可入注冊(cè)表即可Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30501Type=radioCheckedValue=dword:00000002ValueName=Hi

42、ddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51104HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30500Type=radioCheckedValue=dword:00000001ValueName=H

43、iddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51105HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType=checkboxText=shell32.dll,-30508WarningIfNotDefault=shell32.dll,-28964HKeyRoot=dword:80000001RegPath=SoftwareMicrosoftWindowsCurre

44、ntVersionExplorerAdvancedValueName=ShowSuperHiddenCheckedValue=dword:00000000UncheckedValue=dword:00000001DefaultValue=dword:00000000HelpID=shell.hlp#51103HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV

45、ersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden=102103二：手工清除篇104病毒清除的基本步驟1、設(shè)法不讓病毒加載、設(shè)法不讓病毒加載2、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件3、刪除根目錄下的病毒文件、刪除根目錄下的病毒文件4、刪除隱藏的病毒文件、刪除隱藏的病毒文件5、修改注冊(cè)表、修改注冊(cè)表結(jié)合用一些結(jié)合用一些U盤病毒專殺工具盤病毒專殺工具1051、設(shè)法不讓病毒加載、設(shè)法不讓病毒加載方法：方法：（1）啟動(dòng)到安全模式）啟動(dòng)到安全模式（2）使用進(jìn)程查看工具，查找可疑進(jìn)程）使用進(jìn)程查看工具，查找

46、可疑進(jìn)程1062、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（1）打開(kāi)所有隱藏屬性）打開(kāi)所有隱藏屬性1072、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（2）用命令方式）用命令方式Attrib h r s a *.*1082、找到隱藏在根目錄下的病毒文件、找到隱藏在根目錄下的病毒文件方法：（方法：（3）用）用RAR壓縮軟件壓縮軟件軟件工具軟件工具winrar等等1093、刪除根目錄下的病毒文件、刪除根目錄下的病毒文件注意：注意：（1）一般包括）一般包括autorun.inf和另一個(gè)文件和另一個(gè)文件（2）不要雙擊不要雙擊打開(kāi)磁盤打開(kāi)磁盤

47、（3）不要運(yùn)行）不要運(yùn)行任何一個(gè)，立即刪除任何一個(gè)，立即刪除可以用批處理文件進(jìn)行刪除可以用批處理文件進(jìn)行刪除110刪除病毒批處理文件內(nèi)容cd C: attrib *.* -a -h s -r del *.* attrib autorun.inf -a -h s -r del autorun.inf D:E:F:1114、刪除隱藏的病毒文件、刪除隱藏的病毒文件最復(fù)雜，需要憑經(jīng)驗(yàn)判斷。最復(fù)雜，需要憑經(jīng)驗(yàn)判斷。結(jié)合查看可疑進(jìn)程追根溯源，判斷依據(jù)：結(jié)合查看可疑進(jìn)程追根溯源，判斷依據(jù)：（1）進(jìn)程的名稱和路徑不相符的）進(jìn)程的名稱和路徑不相符的（2）文件創(chuàng)建時(shí)間可疑的）文件創(chuàng)建時(shí)間可疑的（3）疑似系統(tǒng)文件，

48、但出現(xiàn)重復(fù)的）疑似系統(tǒng)文件，但出現(xiàn)重復(fù)的1125、修改注冊(cè)表、修改注冊(cè)表解決的問(wèn)題：解決的問(wèn)題：（1）刪除病毒寫在注冊(cè)表中的啟動(dòng)項(xiàng)）刪除病毒寫在注冊(cè)表中的啟動(dòng)項(xiàng)（2）修復(fù)由于病毒造成的磁盤不能打開(kāi)等問(wèn)題）修復(fù)由于病毒造成的磁盤不能打開(kāi)等問(wèn)題Regedit搜索所有跟病毒名有關(guān)的值，一律刪除搜索所有跟病毒名有關(guān)的值，一律刪除113三：預(yù)防篇114要點(diǎn)：扼殺病毒的來(lái)源1、 運(yùn)行組策略編輯器運(yùn)行組策略編輯器gpedit.msc， “系統(tǒng)系統(tǒng)”-關(guān)閉關(guān)閉“自動(dòng)播放（運(yùn)行）自動(dòng)播放（運(yùn)行）”115116要點(diǎn)：扼殺病毒的來(lái)源1171 1、關(guān)閉自動(dòng)播放、關(guān)閉自動(dòng)播放2 2、輕易不要雙擊打開(kāi)外來(lái)、輕易不要雙擊打

49、開(kāi)外來(lái)U U盤盤3 3、右鍵單擊、右鍵單擊U U盤出現(xiàn)可疑菜單條目時(shí)，立即殺毒盤出現(xiàn)可疑菜單條目時(shí)，立即殺毒4 4、自己的、自己的U U盤，放一個(gè)盤，放一個(gè)autorun.infautorun.inf文件，防止病文件，防止病 毒文件拷貝進(jìn)來(lái)毒文件拷貝進(jìn)來(lái)四：實(shí)例篇1181、Wincfgs病毒病毒文件：wincfgs.exe （c:windowssystem32wincfgs.exe）病毒名稱：Trojanspy.USBpy.a相關(guān)癥狀：開(kāi)機(jī)自動(dòng)彈記事本，修改系統(tǒng)啟動(dòng)項(xiàng)，部分軟件沒(méi)有反應(yīng)傳播途徑：U盤等移動(dòng)存儲(chǔ)危害性：暫無(wú)破壞性，只是開(kāi)機(jī)跳出記事本。1191、Wincfgs病毒該病毒為一種蠕蟲(chóng)病

50、毒，其特征如下：蠕蟲(chóng)名稱：Worm.Win32.Delf.aj（AVP）蠕蟲(chóng)別名：Trojan.Spy.UsbSpy.a、TrojanSpy.USBSpy.a120手工查殺步驟手工查殺步驟結(jié)束Wincfgs.exe進(jìn)程顯示所有隱藏文件刪除病毒文件Wincfgs.exe, KB20060111.exe C:Windowssystem32wincfgs.exe C:WindowsKB20060111.exe修改注冊(cè)表清除USB設(shè)備中的病毒文件RECYCLER、autorun.inf1、Wincfgs病毒121病毒文件：C:windowsimesvchost特別注意：（）正確的是c:windowss

51、ystem32svchost.exe（）最容易被病毒利用的文件名2、Thumbs.dnC,D,E,F盤出現(xiàn)拒絕訪問(wèn) 122解決方法：1、打開(kāi)任務(wù)管理器（ctrl+alt+del或者任務(wù)欄右鍵點(diǎn)擊也可），終止所有ravmone.exe的進(jìn)程2、進(jìn)入c:windows，刪除其中的ravmone.exe3、進(jìn)入c:windows，運(yùn)行regedit.exe，在左邊依次點(diǎn)開(kāi)HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun，在右邊可以看到一項(xiàng)數(shù)值是c:windowsravmone.exe的，刪除掉4、完成后，病毒就被清除了。3、Ravm

52、on123殺掉U盤中的病毒的方法：在刪除autorun.inf，msvcr71.dl，RavMonE.exe這三個(gè)文件時(shí)，直接刪可能會(huì)刪不掉的，要先到進(jìn)程管理那了先結(jié)束RavMonE.exe再刪除這三個(gè)文件，如果還不行就到安全模式里刪.3、Ravmon注意：如果進(jìn)程是Ravmon.exe ，這個(gè)應(yīng)該是瑞星的程序而不病毒！1244、帕蟲(chóng)（帕蟲(chóng)（Worm.Pabug;U盤寄生蟲(chóng)）盤寄生蟲(chóng)） 125 四步就可導(dǎo)致電腦徹底崩潰：四步就可導(dǎo)致電腦徹底崩潰： 1.禁用所有殺毒軟件禁用所有殺毒軟件及相關(guān)安全工具，失去安全保障；及相關(guān)安全工具，失去安全保障； 2.破壞安全模式破壞安全模式，致使用戶根本無(wú)法進(jìn)入

53、安全模式清，致使用戶根本無(wú)法進(jìn)入安全模式清 除病毒；除病毒； 3.強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè)，只要在網(wǎng)頁(yè)中輸入強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè)，只要在網(wǎng)頁(yè)中輸入“病毒病毒”相關(guān)字樣，網(wǎng)頁(yè)遂被強(qiáng)行關(guān)閉，即使是一些安相關(guān)字樣，網(wǎng)頁(yè)遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無(wú)法登錄，用戶全論壇也無(wú)法登錄，用戶無(wú)法通過(guò)網(wǎng)絡(luò)尋求解決辦法無(wú)法通過(guò)網(wǎng)絡(luò)尋求解決辦法； 4.格式化系統(tǒng)盤重裝后很容易被再次感染。格式化系統(tǒng)盤重裝后很容易被再次感染。 1264、帕蟲(chóng)（帕蟲(chóng)（Worm.Pabug;U盤寄生蟲(chóng)）盤寄生蟲(chóng)） 該病毒通過(guò)映像劫持技術(shù)，將大量殺毒軟件綁架，使其無(wú)法正常應(yīng)用，而用戶在點(diǎn)擊相關(guān)安全軟件后，實(shí)際上已經(jīng)運(yùn)行了病毒文

54、件。 位于注冊(cè)表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options127先使用專殺工具先使用專殺工具 清除病毒清除病毒 后續(xù)的恢復(fù)系統(tǒng)的工作 128刪除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有項(xiàng)目 1.恢復(fù)恢復(fù)IFEO 映像劫持映像劫持 使用使用auto

55、runs軟件軟件 ，由于這個(gè)軟件也被，由于這個(gè)軟件也被映像劫持了映像劫持了 所以要改名所以要改名 打開(kāi)這個(gè)軟件后打開(kāi)這個(gè)軟件后 找到找到Image hijack (映像劫持）映像劫持） 1292.恢復(fù)顯示隱藏文件恢復(fù)顯示隱藏文件 3.恢復(fù)安全模式恢復(fù)安全模式 4.最后也是最重要的就是刪除各個(gè)分區(qū)下面的最后也是最重要的就是刪除各個(gè)分區(qū)下面的autorun.inf和和7位或者位或者8位隨機(jī)數(shù)字母的位隨機(jī)數(shù)字母的exe注意：一定不要雙擊注意：一定不要雙擊 也不能右鍵打開(kāi)也不能右鍵打開(kāi) 一定用一定用winrar刪除刪除 130第四講：病毒的綜合防范技術(shù)措施一、單機(jī)下病毒的防范一、單機(jī)下病毒的防范二、小

56、型局域網(wǎng)的防范二、小型局域網(wǎng)的防范131一、單機(jī)下病毒防范l思想上重視、管理上到位思想上重視、管理上到位l依靠防殺病毒計(jì)算機(jī)軟件依靠防殺病毒計(jì)算機(jī)軟件132一、單機(jī)下病毒防范1、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算機(jī)病毒軟件機(jī)病毒軟件（1）擁有病毒檢測(cè)掃描器）擁有病毒檢測(cè)掃描器同時(shí)提供對(duì)磁盤文件掃描和對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)同時(shí)提供對(duì)磁盤文件掃描和對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)監(jiān)控功能監(jiān)控功能DOS平臺(tái)的病毒掃描器平臺(tái)的病毒掃描器32位計(jì)算機(jī)病毒掃描器位計(jì)算機(jī)病毒掃描器1331、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算機(jī)病毒軟件機(jī)病毒軟件（2）實(shí)時(shí)監(jiān)控程序）實(shí)時(shí)監(jiān)控程序（3）未知病毒的檢測(cè)）未知病毒的檢測(cè)（4）壓縮文件內(nèi)部檢測(cè)）壓縮文件內(nèi)部檢測(cè)（5）文件下載監(jiān)視）文件下載監(jiān)視（6）病毒清除能力）病毒清除能力（7）病毒特征代碼庫(kù)升級(jí)）病毒特征代碼庫(kù)升級(jí)一、單機(jī)下病毒防范1341、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算、選擇一個(gè)功能完善的單機(jī)版防殺計(jì)算機(jī)病毒軟件機(jī)病毒軟件（8）重要數(shù)據(jù)備份）重要數(shù)據(jù)備份（9）定時(shí)掃描設(shè)定）定時(shí)掃描設(shè)定（10）