系統(tǒng)安全與病毒防護(hù)講義

第六講系統(tǒng)安全與病毒防護(hù)曾凡光本講問題Q1、什么是病毒？列出幾種常見病毒。Q2、如何更好地預(yù)防計算機病毒？Q3、如何進(jìn)行DOS和安全模式下的殺毒？Q4、簡述Attrib命令的使用。Q5、如何查看和終止進(jìn)程？Q6、怎樣用msconfig命令使負(fù)擔(dān)沉重的系統(tǒng)減負(fù)？Q7、怎樣制作U盤DOS啟動盤？Q8、怎樣制作殺毒U盤？一、系統(tǒng)安全基本常識二、如何更好地預(yù)防計算機病毒入侵三、如何干凈地清除病毒四、如何進(jìn)行DOS和安全模式下的殺毒五、手工殺毒的幾個基本操作六、典型案例一、系統(tǒng)安全基本常識1、什么是計算機病毒病毒是一種程序。有獨特的復(fù)制能力，具有傳染性，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個用戶傳到另一個用戶時，它們就隨文件一起蔓延開來。

所以,計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里,當(dāng)達(dá)到某種條件時即被激活的具有對計算機資源進(jìn)行破壞作用的一組程序或指令集合.

常見病毒：木馬、蠕蟲、廣告軟件（Adware)、間諜軟件(Spyware)、瀏覽器劫持軟件等。2、計算機安全注意事項盡量不要在網(wǎng)上留下證明自己身份的資料。盡量不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸.不要輕信網(wǎng)上流傳的消息，尤其是中獎消息。如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項，不要僅僅通過網(wǎng)絡(luò)完成。不要輕易瀏覽不良網(wǎng)站.不要輕易安裝共享軟件、盜版軟件.如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網(wǎng)站下載。使用具有破壞性功能的軟件，如硬盤整理、分區(qū)軟件等，一定要仔細(xì)了解它的功能之后再使用，避免因誤操作產(chǎn)生不可挽回的損失。二、如何更好地預(yù)防計算機病毒有病治病，無病預(yù)防。為了減少病毒的侵?jǐn)_，平時應(yīng)做到“三打三防”。

“三打”就是安裝新的計算機系統(tǒng)時，要注意打系統(tǒng)補丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的，打好補丁就可以防止此類病毒感染；用戶上網(wǎng)的時候要打開殺毒軟件實時監(jiān)控，以免病毒通過網(wǎng)絡(luò)進(jìn)入自己的電腦；玩網(wǎng)絡(luò)游戲時要打開個人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料?！叭馈本褪欠类]件病毒，用戶收到郵件時首先要進(jìn)行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站散播，用戶從網(wǎng)上下載任何文件后，一定要先進(jìn)行病毒掃描再運行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過MSN、QQ等即時通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友有可能遭到病毒的入侵。三、如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒.

當(dāng)計算機感染病毒的時候，絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒。但有些病毒由于使用了更加隱匿和狡猾的手段，往往會對殺毒軟件進(jìn)行攻擊甚至是刪除系統(tǒng)中的殺毒軟件，針對這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計為在安全模式可安裝、使用、執(zhí)行殺毒處理。

在安全模式（SafeMode）或者純DOS下進(jìn)行清除清除時，對于現(xiàn)在大多數(shù)流行的病毒，如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等，都可以在安全模式或DOS下殺毒（建議用干凈軟盤啟動殺毒）。而且，當(dāng)計算機原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級到最新的病毒庫），在安全模式（SafeMode）或者純DOS下清除一遍病毒！安全模式殺毒流程開機或重啟電腦——進(jìn)入安全模式——調(diào)用殺毒軟件——查殺病毒DOS模式殺毒流程開機或重啟電腦——進(jìn)入DOS模式——在DOS下調(diào)用殺毒軟件——查殺病毒如何進(jìn)入安全模式啟動過程中按下F8鍵是最傳統(tǒng)也是最常用的方法：當(dāng)我們打開電腦電源，硬件完成自檢之后，立刻按下鍵盤上的F8鍵，你將看到如圖1所示的界面。這里列出了很多高級啟動選項。在此安全模式又分為幾種，一般情況下我們選擇進(jìn)入普通的安全模式即可。除了這種最常用的方法外，在計算機啟動時按住Ctrl鍵不放，也可以以“安全模式”啟動系統(tǒng)。如何進(jìn)入入DOS模式制作DOS啟動盤和和DOS殺毒盤用DOS啟動光盤盤由啟動選選項進(jìn)DOS用虛擬軟驅(qū)驅(qū)U盤啟動盤盤USBOOT1.7簡介U盤殺毒簡簡介由啟動選選項進(jìn)DOS由虛擬軟軟驅(qū)進(jìn)DOS制作殺毒毒U盤現(xiàn)在許多多的殺毒毒軟件都都具有制制作殺毒毒U盤的功能能，下面面以瑞星星為例，，做個殺殺毒U盤。瑞星殺毒毒軟件2007版：系統(tǒng)統(tǒng)中已安安裝了瑞瑞星殺毒毒軟件2007版，點擊擊“開始始→程序序→瑞星星殺毒軟軟件→瑞瑞星工具具→瑞星星U盤殺毒工工具”菜菜單項，，按照制制作向?qū)?dǎo)，選擇擇“U盤驅(qū)動器器”，過過程很簡簡單，這這里就不不多說了了，復(fù)制制病毒庫庫到U盤完成。。完成后后就可以以用U盤進(jìn)行DOS下的殺毒毒了。別的殺毒毒軟件也也都有制制作殺毒毒U盤的功能能，制作作方法也也比較簡簡單，用用法也都都類似，，大家可可以到網(wǎng)網(wǎng)上查找找相關(guān)介介紹。2、在\TemporaryInternetFiles目錄下帶帶毒文件件的清理理由由于Windows會對這個個目錄下下的文件件有一定定的保護(hù)護(hù)作用，，所以這這里的帶帶毒文件件即使在在安全模模式下也也不能進(jìn)進(jìn)行清除除，對于于這種情情況，請請先關(guān)閉閉其他一一些程序序軟件，，然后打打開IE，選擇IE工具欄中的的"工具"\"Internet選項"，選擇"刪除文件"刪除即可，，如果有提提示"刪除所有脫脫機內(nèi)容"，也請選上上一并刪除除。3、在\_Restore目錄下，*.cpy文件中的帶帶毒文件這這是是系統(tǒng)還原原存放還原原文件的目目錄，只有有在裝了WindowsMe/XP操作系統(tǒng)上上才會有這這個目錄，，由于系統(tǒng)統(tǒng)對這個目目錄有保護(hù)護(hù)作用，因因此對于這這種情況需需要先取消消“系統(tǒng)統(tǒng)還原””功能（（我的電腦腦—屬性），然然后將帶毒毒文件刪除除。4、加密的文文件或目錄錄對對于一些加加密了的文文件或目錄錄，請在解解密后再進(jìn)進(jìn)行病毒查查殺。5、對U盤等存儲介介質(zhì)的殺毒毒需注意介質(zhì)質(zhì)是否處于于寫保護(hù)狀狀態(tài)。四、常用DOS命令簡介DIRCDDELFDISKFORMATSYSATTRIBTASKLISTTASKKILLDIR:顯示一個目目錄下的文文件和子目目錄，是DOS中使用最廣廣泛的命令令之一。。

參數(shù)：：/P：在每個信信息屏幕后后暫停；/W：用寬列表表格式；用法1、dir/w用法2、dir/p用法3、dir/w/pCD：顯示當(dāng)前前目錄名或或改變當(dāng)前前目錄CD是DOS中使用頻率率最高的命命令之一。。主要是為為了快速切切換到另一一盤符或目目錄中，例例如“CD

G:Temp”可以快速跳跳轉(zhuǎn)到“G:Temp”目錄，使用用“CD..””可以退回到到上一級目目錄，而使使用“CD\”可以快速返返回當(dāng)前盤盤的根目錄錄中。DEL：刪除文件件DEL命令可以刪刪除一個或或數(shù)個指定定的文件（（但無法刪刪除文件夾夾），如果果鍵入“DEL*.*”命令將會刪刪除當(dāng)前路路徑下所有有文件，系系統(tǒng)會給出出確認(rèn)提示示框請求確確認(rèn)。如果果你想刪除除文件夾的的話，可以以使用DELTREE命令，這是是一條外部部命令。FDISK：硬盤分區(qū)區(qū)

這是是一個極其其危險的DOS命令，它的的作用是對對硬盤進(jìn)行行分區(qū)，使使用后將丟丟失硬盤中中所有的文文件。新手手不要輕易易使用這條條命令。FORMAT：高級格式式化無無論是硬盤盤還是軟盤盤，都必須須進(jìn)行高級級格式化后后才能使用用，F(xiàn)ORMAT命令的功能能就是高級級格式化磁磁盤，如果果加上/s參數(shù)可以制制作系統(tǒng)盤盤，加上/Q參數(shù)可執(zhí)行行快速格式式化。SYS：傳遞系統(tǒng)統(tǒng)文件除除了使用用FORMAT

/S命令來制作作系統(tǒng)盤外外，我們也也可以使用用SYS命令來傳遞遞系統(tǒng)文件件，例如““C:>SYSA:”就是將C盤的系統(tǒng)文文件傳遞到到A盤，這在安安裝了多操操作系統(tǒng)的的計算機上上恢復(fù)系統(tǒng)統(tǒng)文件時特特別有用。。五、手工殺殺毒的幾個個基本操作作手工殺毒的的基本程序序：查看進(jìn)進(jìn)程→發(fā)現(xiàn)現(xiàn)病毒及可可疑進(jìn)程→→終止進(jìn)程程→清理病病毒及可疑疑進(jìn)程→(注冊表中清清理相關(guān)信信息)運用任務(wù)管管理器查看看進(jìn)程信息息Attrib命令查看和終止止進(jìn)程運用任務(wù)管管理器查看看進(jìn)程信息息怎樣顯示PID信息：查看看—選擇列--PIDAttrib命令attrib設(shè)置置文文件件屬屬性性［［用用法法］］attrib顯示示所所有有文文件件的的屬屬性性attrib+r或-r[文件件名名]設(shè)置置文文件件屬屬性性是是否否只只讀讀attrib+h或-h[文件件名名]設(shè)置置文文件件屬屬性性是是否否隱隱含含attrib+s或-s[文件件名名]設(shè)置置文文件件屬屬性性是是否否系系統(tǒng)統(tǒng)文文件件attrib+a或-a[文件件名名]設(shè)置置文文件件屬屬性性是是否否歸歸檔檔文文件件attrib/s設(shè)置置包包括括子子目目錄錄的的文文件件在在內(nèi)內(nèi)的的文文件件屬屬性性查看和終止進(jìn)進(jìn)程tasklist和taskkilltasklist能列出所有的的進(jìn)程，和相相應(yīng)的信息,tasklist/svc顯示哪些進(jìn)程程為系統(tǒng)所用用。taskkill能查殺進(jìn)程，，語法很簡單單：taskkill/PID[程序的ID]+命令參數(shù)。其其中參數(shù)/f表示強制關(guān)閉閉，/t表示指定終止止與父進(jìn)程一一起的所有子子進(jìn)程，常被被認(rèn)為是“樹樹終止”，同同時會顯示父父進(jìn)程和各個個子進(jìn)程的PID。也可以用另一一種命令格式式：taskkill/im進(jìn)程名+命令參數(shù)六、典型案例例如何解決雙進(jìn)進(jìn)程木馬雙擊硬盤不能能打開瀏覽器被劫持持的一個實例例案例一：查殺殺雙進(jìn)程木馬馬某電腦中了某某木馬，通過過任務(wù)管理器器查出該木馬馬進(jìn)程為“system.exe””，終止它后再再刷新，它又又會復(fù)活。進(jìn)進(jìn)入安全模式式把c：\windows\system32\system.exe刪除，重啟后后它又會重新新加載，怎么么也無法徹底底清除它。從從此現(xiàn)象來看看，中的應(yīng)該該是雙進(jìn)程木木馬。這種木木馬有監(jiān)護(hù)進(jìn)進(jìn)程，會定時時進(jìn)行掃描，，一旦發(fā)現(xiàn)被被監(jiān)護(hù)的進(jìn)程程遭到查殺就就會復(fù)活它。。而且現(xiàn)在很很多雙進(jìn)程木木馬互為監(jiān)視視，互相復(fù)活活。因此查殺殺的關(guān)鍵是找找到這“互相相依靠”的兩兩個木馬文件件。借助任務(wù)務(wù)管理器的PID標(biāo)識識可可以以找找到到木木馬馬進(jìn)進(jìn)程程。。調(diào)出出Windows任務(wù)務(wù)管管理理器器，，首首先先在在““查查看看→→選選擇擇列列””中中勾勾選選““PID(進(jìn)程程標(biāo)標(biāo)識識符符)””，這這樣樣返返回回任任務(wù)務(wù)管管理理器器窗窗口口后后可可以以看看到到每每一一個個進(jìn)進(jìn)程程的的PID標(biāo)識識。。這這樣樣當(dāng)當(dāng)我我們們終終止止一一個個進(jìn)進(jìn)程程，，它它再再生生后后通通過過PID標(biāo)識識就就可可以以找找到到再再生生它它的的父父進(jìn)進(jìn)程程。。啟啟動動命命令令提提示示符符窗窗口口，，執(zhí)執(zhí)行行““taskkill/t/pid/f””命令令,可以以看看到到這這次次終終止止的的進(jìn)進(jìn)程程的的PID，和和它它歸歸屬屬的的父父進(jìn)進(jìn)程程的的PID。返返回回任任務(wù)務(wù)管管理理器器，，通通過過查查詢詢進(jìn)進(jìn)程程PID找出父進(jìn)進(jìn)程的進(jìn)進(jìn)程名（（如internet.exe等），，這就是是木馬進(jìn)進(jìn)程的父父進(jìn)程。。找到了元元兇就好好辦了，，重新啟啟動系統(tǒng)統(tǒng)進(jìn)入安安全模式式，使用用搜索功功能找到到木馬進(jìn)進(jìn)程及其其父進(jìn)程程，然然后將它它們刪除除即可。。前面無無法刪除除system.exe，主要是是由于沒沒有找到到其父進(jìn)進(jìn)程(且沒有刪刪除其啟啟動鍵值值)，導(dǎo)致重重新進(jìn)入入系統(tǒng)后后internet.exe復(fù)活木馬馬。案例二、、雙擊硬硬盤不能能打開原因：病病毒在驅(qū)驅(qū)動器下下面寫入入了一個個AutoRun.inf文件。解解決方方法：(以D盤為例)：

開始始---運行---cmd（打開命命令提示示符）D:\>dir/a（沒有參參數(shù)A是看不到到的，A是顯示所所有的意意思）此此時你你會發(fā)現(xiàn)現(xiàn)一個autorun.inf文件attribautorun.inf-s-h-r去掉autorun.inf文件的系系統(tǒng)、只只讀、隱隱藏屬性性，否則則無法刪刪除autorun.inf，delautorun.inf到這里還還沒完，，還需要要清除注注冊表中中相關(guān)信信息：開開始始——運行——regedit———編輯——查找"autorun"找到的第第一個就就是D盤的自動動運行，，刪除整整個shell子鍵（注注意：刪刪的時候候一定要要是shell這個子健健，如果果查找的的是別的的項或子子鍵，一一定不要要亂刪！?。┩晖戤?。。小結(jié)：手手工殺毒毒步驟找出病毒毒進(jìn)程及及其父、、子進(jìn)程程（進(jìn)程程管理器器、百度度等）找到病毒毒進(jìn)程所所在位置置（搜索索計算機機）在安全全模式式中予予以清清除（（也可可在正正常模模式下下先結(jié)結(jié)束進(jìn)進(jìn)程后后再予予以清清除））,或者在在DOS狀態(tài)下下解決決.案例三三、瀏瀏覽器器被劫劫持的的一個個實例例癥狀原來的IE圖標(biāo)被刪，，換成這個個仿冒的。。注意這個IE圖標(biāo)是internatexplorar正常的應(yīng)該該是internetexplorer。雙擊這個圖圖標(biāo)，彈出出下面的窗窗口.用IE伴侶無法修修復(fù)，找IE屬性又找不不到。解決方法：：1、根據(jù)地址址欄的地址址C:\ProgramFiles\Haozip\002\58，找到對應(yīng)應(yīng)的文件夾夾,將該文件夾夾刪除。如如果能用注注冊表編輯輯器把里邊邊關(guān)于這個個地址欄的的項目刪除除干凈效果果更好。2、打開C:\ProgramFiles\InternetExplorer，把里邊的的IE圖標(biāo)發(fā)個桌桌面快捷方方式。3、刪除仿冒冒IE圖標(biāo)。4、進(jìn)行IE設(shè)置。小資料：““開始——運行”命令令集錦gpedit.msc-----組策略sndrec32-------錄音機Nslookup-------IP地址偵測器器explorer-------打開資源管管理器tsshutdn-----