計算機病毒的檢測清除和免疫專家講座

張仁斌李鋼侯整風

編著計算機病毒與反病毒技術(shù)清華大學出版社計算機病毒的檢測清除和免疫第1頁主要內(nèi)容計算機病毒防范辦法計算機病毒檢測技術(shù)與原理啟發(fā)式查毒技術(shù)虛擬機查毒技術(shù)實時監(jiān)控技術(shù)引導(dǎo)型病毒去除文件型病毒去除計算機病毒免疫方法第9章計算機病毒檢測、去除與免疫計算機病毒的檢測清除和免疫第2頁9.1.1反病毒技術(shù)產(chǎn)生與發(fā)展介紹反病毒技術(shù)應(yīng)運而生，并在與病毒反抗過程中不停發(fā)展從“消毒軟件”到“防毒卡”“查殺防三合一”實時反病毒軟件誕生反病毒技術(shù)發(fā)展歷程第一代反病毒技術(shù)采取單純病毒特征代碼分析，去除染毒文件中病毒第二代反病毒技術(shù)采取靜態(tài)廣譜特征掃描技術(shù)檢測病毒，能夠檢測變形病毒，不過誤報率高第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)結(jié)合起來，將查找病毒和去除病毒合二為一第四代反病毒技術(shù)9.1反病毒技術(shù)綜述計算機病毒的檢測清除和免疫第3頁9.1.1反病毒技術(shù)產(chǎn)生與發(fā)展介紹基于病毒家族體系命名規(guī)則、基于多位CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊(能查出隱蔽性極強壓縮加密文件中病毒)、內(nèi)存解毒模塊、本身免疫模塊等先進解毒技術(shù)，很好處理了以前防毒技術(shù)顧此失彼、此消彼長狀態(tài)，能夠很好地完成查毒、解毒任務(wù)9.1反病毒技術(shù)綜述計算機病毒的檢測清除和免疫第4頁9.1.2計算機病毒防治技術(shù)劃分計算機病毒防治技術(shù)分成四個方面病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒消除技術(shù)病毒免疫技術(shù)除了免疫技術(shù)因當前找不到通用免疫方法而進展不大之外，其它三項技術(shù)都有相當進展9.1反病毒技術(shù)綜述計算機病毒的檢測清除和免疫第5頁9.1.3主動內(nèi)核(ActiveK)技術(shù)與實時監(jiān)視傳統(tǒng)反病毒技術(shù)，基于被動式防御理念這種理念最大缺點在于將防治病毒基礎(chǔ)建立在病毒侵入操作系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)以后，作為上層應(yīng)用軟件反病毒產(chǎn)品，才能借助于操作系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)所提供功效來被動地防治病毒主動內(nèi)核(ActiveK)技術(shù)，是在操作系統(tǒng)和網(wǎng)絡(luò)內(nèi)核中嵌入反病毒功效，使反病毒成為系統(tǒng)本身底層模塊，實現(xiàn)各種反毒模塊與操作系統(tǒng)和網(wǎng)絡(luò)無縫連接，而不是一個系統(tǒng)外部應(yīng)用軟件主動內(nèi)核技術(shù)能夠在病毒突破計算機系統(tǒng)軟、硬件瞬間發(fā)生作用9.1反病毒技術(shù)綜述計算機病毒的檢測清除和免疫第6頁9.1.4自動解壓縮技術(shù)檢驗壓縮文件中病毒，首先必須搞清壓縮文件壓縮算法，爾后依據(jù)壓縮算法將病毒碼壓縮成病毒壓縮碼，最終依據(jù)病毒壓縮碼在壓縮文件中查找還有另一個檢驗壓縮文件中病毒方法，是在搞清壓縮文件壓縮算法和解壓縮算法基礎(chǔ)上，先解壓縮文件，爾后檢驗病毒碼，最終將文件還原壓縮9.1反病毒技術(shù)綜述計算機病毒的檢測清除和免疫第7頁9.2.1計算機病毒防范概念計算機病毒防范，是指經(jīng)過建立合理計算機病毒防范體系和制度，及時發(fā)覺計算機病毒侵入，并采取有效伎倆阻止計算機病毒傳輸和破壞，恢復(fù)受影響計算機系統(tǒng)和數(shù)據(jù)計算機病毒能利用讀寫文件進行感染，利用駐留內(nèi)存、截取中止向量等方式能進行傳染和破壞。預(yù)防計算機病毒就是要監(jiān)視、跟蹤系統(tǒng)內(nèi)類似操作，提供對系統(tǒng)保護，最大程度地防止各種計算機病毒傳染破壞9.2計算機病毒防范策略計算機病毒的檢測清除和免疫第8頁9.2.2必須含有安全意識對計算機病毒應(yīng)持有以下態(tài)度：認可計算機病毒客觀存在應(yīng)該含有安全意識，主動采取預(yù)防辦法，堵塞計算機病毒傳染路徑不懼怕病毒，樹立必勝信念；發(fā)覺病毒，冷靜處理9.2計算機病毒防范策略計算機病毒的檢測清除和免疫第9頁9.2.3預(yù)防計算機病毒普通辦法計算機病毒預(yù)防辦法可概括為兩點勤備份嚴防守9.2計算機病毒防范策略計算機病毒的檢測清除和免疫第10頁9.3.1病毒檢測方法綜述檢測計算機病毒方法有兩種手工檢測利用Debug、PCTools、SysInfo、WinHex等工具軟件進行病毒檢測這種方法比較復(fù)雜，費時費勁能夠剖析病毒、能夠檢測一些自動檢測工具不能識別新病毒自動檢測利用一些專業(yè)診療軟件來判斷引導(dǎo)扇區(qū)、磁盤文件是否有毒方法自動檢測比較簡單，普通用戶都能夠進行，但需要很好診療軟件可方便地檢測大量病毒，自動檢測工具發(fā)展總是滯后于病毒發(fā)展9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第11頁9.3.2比較法診療原理比較法是用原始正常備份與被檢測內(nèi)容(引導(dǎo)扇區(qū)或被檢測文件)進行比較長度比較法內(nèi)容比較法內(nèi)存比較法中止比較法9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第12頁9.3.3校驗和法診療原理依據(jù)正常文件信息(包含文件名稱、大小、時間、日期及內(nèi)容)，計算其校驗和，將該校驗和寫入文件中或?qū)懭肫渌募?資料庫)中保留在文件使用過程中，定時地或每次使用文件前，檢驗文件現(xiàn)有信息算出校驗和與原來保留校驗和是否一致，因而能夠發(fā)覺文件是否已被感染利用校驗和法查病毒普通采取三種方式在檢測病毒工具中納入校驗和法，對被查對象文件計算其正常狀態(tài)校驗和，將校驗和值寫入被查文件中或檢測工具中，而后進行比較在應(yīng)用程序中，放入校驗和法自我檢驗功效，將文件正常狀態(tài)校驗和寫入文件本身中，每當應(yīng)用程序開啟時，比較現(xiàn)行校驗和與原校驗和值，實現(xiàn)應(yīng)用程序自檢測將校驗和檢驗程序常駐內(nèi)存，每當應(yīng)用程序開始運行時，自動比較檢驗應(yīng)用程序內(nèi)部或其它文件中預(yù)先保留校驗和9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第13頁9.3.4掃描法診療原理掃描法是用每一個病毒體含有特定病毒碼(VirusPattern)對被檢測對象進行掃描。假如在被檢測對象內(nèi)部發(fā)覺了某一個特定病毒碼，就表明發(fā)覺了該病毒碼所代表病毒特征代碼掃描法特征字掃描法9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第14頁9.3.5行為監(jiān)測法診療原理利用病毒特有行為特征監(jiān)測病毒方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法經(jīng)過對病毒多年觀察、研究，人們發(fā)覺病毒有一些行為，是病毒共同行為，而且比較特殊，在正常程序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，假如發(fā)覺了病毒行為，馬上報警占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)內(nèi)存總量對可執(zhí)行文件做寫入動作病毒程序與宿主程序切換9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第15頁9.3.6感染試驗法診療原理這種方法原理是利用了病毒最主要基本特征：感染特征檢測未知引導(dǎo)型病毒感染試驗法檢測未知文件型病毒感染試驗法9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第16頁9.3.7軟件模擬法診療原理軟件模擬(SoftwareEmulation)法(即后文中將詳細介紹虛擬機反抗病毒技術(shù))，是一個軟件分析器，用軟件方法來模擬和分析程序運行：模擬CPU執(zhí)行，在其設(shè)計虛擬機器(VirtualMachine)下假執(zhí)行病毒變體引擎解碼程序，安全并確實地將多態(tài)病毒解開，使其顯露真實面目，再加以掃描主要用于檢測多態(tài)型病毒9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第17頁9.3.8分析法診療原理使用分析法人普通不是普通用戶，而是反病毒技術(shù)人員使用分析法目標在于：確認被觀察引導(dǎo)扇區(qū)和程序中是否含有病毒確認病毒類型和種類，判定其是否是一個新病毒搞清楚病毒體大致結(jié)構(gòu)，提取特征識別用字符串或特征字，并增添到病毒代碼庫供病毒掃描和識別程序使用詳細分析病毒代碼，為制訂對應(yīng)反病毒辦法制訂方案上述四個目標按次序排列起來，恰好大致是使用分析法工作次序使用分析法要求含有比較全方面計算機體系結(jié)構(gòu)、操作系統(tǒng)以及相關(guān)病毒技術(shù)各種知識9.3計算機病毒診療方法及其原理計算機病毒的檢測清除和免疫第18頁介紹啟發(fā)式代碼掃描技術(shù)源于人工智能技術(shù)，是基于給定判斷規(guī)則和定義掃描技術(shù)，若發(fā)覺被掃描程序中存在可疑程序功效指令，則作出存在病毒預(yù)警或判斷啟發(fā)式代碼分析掃描技術(shù)是對傳統(tǒng)特征代碼掃描法查毒技術(shù)改進在特征代碼掃描技術(shù)基礎(chǔ)上，利用對病毒代碼分析，取得一些統(tǒng)計、靜態(tài)啟發(fā)式知識，形成一個靜態(tài)啟發(fā)式代碼掃描分析技術(shù)9.4啟發(fā)式代碼掃描技術(shù)計算機病毒的檢測清除和免疫第19頁9.4.1啟發(fā)式代碼掃描基本原理病毒和正常程序區(qū)分能夠表達在許多方面，比較常見如通常一個應(yīng)用程序在最初指令是檢驗命令行輸入有沒有參數(shù)項、清屏和保留原來屏幕顯示等，而病毒程序則從來不會這么做，它通常最初指令是直接寫盤操作、解碼指令，或搜索某路徑下可執(zhí)行程序等相關(guān)操作指令序列這些顯著不一樣之處，一個熟練程序員在調(diào)試狀態(tài)下只需一瞥便可一目了然啟發(fā)式代碼掃描技術(shù)實際上就是把人類這種經(jīng)驗和知識移植到一個查病毒軟件中詳細程序表達9.4啟發(fā)式代碼掃描技術(shù)計算機病毒的檢測清除和免疫第20頁9.4.2可疑程序功效及其權(quán)值與對應(yīng)標志可疑程序功效權(quán)值與報警標準對以下可疑程序代碼指令序列按照安全和可疑等級進行排序，依據(jù)病毒可能使用和具備特點而授以不一樣加權(quán)值格式化磁盤操作搜索和定位各種可執(zhí)行程序操作實現(xiàn)駐留內(nèi)存操作調(diào)用非?；蛭垂_系統(tǒng)功效子程序調(diào)用中只執(zhí)行入棧操作……假如一個程序加權(quán)值總和超出一個事先定義閥值，那么，病毒檢測程序就能夠聲稱“發(fā)覺病毒”；僅僅一項可疑功效操作遠不足以觸發(fā)“病毒報警”裝置為了防止“狼來了”謊報和虛報，病毒檢測程序常把各種可疑功效操作同時并發(fā)情況定為發(fā)覺病毒報警標準9.4啟發(fā)式代碼掃描技術(shù)計算機病毒的檢測清除和免疫第21頁9.4.3關(guān)于虛警(謊報)啟發(fā)式掃描技術(shù)有時也會把一個本無病毒程序判斷為染毒程序，這就是所謂查毒程序虛警或謊報現(xiàn)象降低和防止誤報(謊報)，必須努力做好以下幾點準確把握病毒行為，準確定義可疑功效調(diào)用集合，除非滿足兩個以上病毒主要特征，不然不予報警增強對常規(guī)正常程序識別能力增強對特定程序識別能力類似“無罪假定”功效，首先假定程序和計算機是不含病毒。許多啟發(fā)式代碼分析檢毒軟件含有自學習功效，能夠記憶那些并非病毒文件并在以后檢測過程中防止再報警9.4啟發(fā)式代碼掃描技術(shù)計算機病毒的檢測清除和免疫第22頁9.4.4傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)結(jié)合傳統(tǒng)掃描技術(shù)基于對已知病毒分析和研究，在檢測時能夠更準確、降低誤報；但假如是對待以前根本沒有出現(xiàn)過新病毒，因為其知識庫并不存在該類(種)病毒特征數(shù)據(jù)，則有可能產(chǎn)生漏報嚴重后果基于規(guī)則和定義啟發(fā)式代碼分析技術(shù)則能夠使新病毒不至于成為漏網(wǎng)之魚傳統(tǒng)掃描技術(shù)與啟發(fā)式掃描技術(shù)結(jié)合，能夠使病毒檢測軟件檢出率提升到前所未有水平，而另首先，又大大降低了總誤報率9.4啟發(fā)式代碼掃描技術(shù)計算機病毒的檢測清除和免疫第23頁9.4.5啟發(fā)式反毒技術(shù)未來展望任何改良努力都會有不一樣程度質(zhì)量提升，不過不能企望在沒有虛報為代價前提下使檢出率到達100%，或者反過來說，在相當長時間里虛報和漏報概率不可能到達0%，因為病毒在本質(zhì)上也是程序，一些正常程序可能使用含有病毒特征功效(可疑功效調(diào)用)反毒技術(shù)進步也會從另首先激發(fā)和促使病毒制作者不停研制出更新病毒，含有某種反啟發(fā)式掃描技術(shù)功效，從而能夠逃避這類檢測技術(shù)檢測9.4啟發(fā)式代碼掃描技術(shù)計算機病毒的檢測清除和免疫第24頁9.5.1虛擬機介紹查毒虛擬機是一個軟件模擬CPU，它能夠象真正CPU一樣取指令、譯碼、執(zhí)行，能夠模擬一段代碼在真正CPU上運行得到結(jié)果虛擬機基本工作原理和簡單流程給定一組機器碼序列，虛擬機會自動從中取出第一條指令操作碼部分，判斷操作碼類型和尋址方式以確定該指令長度，然后在對應(yīng)函數(shù)中執(zhí)行該指令，并依據(jù)執(zhí)行后結(jié)果確定下條指令位置，如此循環(huán)重復(fù)直到某個特定情況發(fā)生以結(jié)束工作設(shè)計虛擬機查毒目標是為了反抗加密變形病毒虛擬執(zhí)行技術(shù)使用范圍遠不止自動脫殼(虛擬機查毒實際上是自動跟蹤病毒入口解密子將加密病毒體按其解密算法進行解密)，它還能夠應(yīng)用在跨平臺高級語言解釋器、惡意代碼分析、調(diào)試器9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第25頁9.5.2單步斷點跟蹤與虛擬執(zhí)行當前有兩種方法能夠跟蹤控制病毒每一步執(zhí)行，并能夠在病毒循環(huán)解密結(jié)束后從內(nèi)存中讀出病毒體明文單步和斷點跟蹤法，和當前一些程序調(diào)試器相類似當CPU在執(zhí)行一條指令之前會先檢驗標志存放器，假如發(fā)覺其中陷阱標志被設(shè)置則在指令執(zhí)行結(jié)束后引發(fā)一個單步陷阱INT1H虛擬執(zhí)行法9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第26頁9.5.2單步斷點跟蹤與虛擬執(zhí)行單步斷點跟蹤優(yōu)缺點用單步和斷點跟蹤法唯一好處就在于它不用處理每條指令執(zhí)行，這意味著它無需編寫大量特定指令處理函數(shù)，因為全部解密代碼都交由CPU執(zhí)行，調(diào)試器不過是在代碼被單步中止間隙得到控制權(quán)而已這種方法缺點也是相當顯著輕易被病毒覺察到，病毒只須進行簡單堆棧檢驗，或直接調(diào)用IsDebugerPresent就可確定自己正處于被調(diào)試狀態(tài)因為沒有對應(yīng)機器碼分析模塊，指令譯碼、執(zhí)行完全依賴于CPU，所以將造成無法準確地獲取指令執(zhí)行細節(jié)并對其進行有效控制單步和斷點跟蹤法要求待查可執(zhí)行文件真實執(zhí)行，即其將做為系統(tǒng)中一個真實進程在自己地址空間中運行，這當然是病毒掃描所不能允許單步和斷點跟蹤法能夠應(yīng)用在調(diào)試器、自動脫殼等方面，但不適當于查毒9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第27頁9.5.2單步斷點跟蹤與虛擬執(zhí)行虛擬執(zhí)行缺點與優(yōu)點使用虛擬執(zhí)行法唯一缺點就在于它必須在內(nèi)部處理全部指令執(zhí)行，這意味著它需要編寫大量特定指令處理函數(shù)來模擬每種指令執(zhí)行效果，這里根本不存在何時得到控制權(quán)問題，因為控制權(quán)將永遠掌握在虛擬機手中虛擬執(zhí)行優(yōu)點也是很顯著，同時它恰好填補了單步和斷點跟蹤法所力不能及方面不可能被病毒覺察到，因為虛擬機將在其內(nèi)部緩沖區(qū)中為被虛擬執(zhí)行代碼設(shè)置專用堆棧，所以堆棧檢驗結(jié)果與實際執(zhí)行無差異(不會向堆棧中壓入單步和斷點中止時返回地址)因為虛擬機本身完成指令解碼和地址計算，所以能夠獲取每條指令執(zhí)行細節(jié)并加以控制最為關(guān)鍵一條在于虛擬執(zhí)行確實做到了“虛擬”執(zhí)行，系統(tǒng)中不會產(chǎn)生代表被執(zhí)行者進程，因為被執(zhí)行者存放器組和堆棧等執(zhí)行要素均在虛擬機內(nèi)部實現(xiàn)，因而能夠認為它在虛擬機地址空間中執(zhí)行9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第28頁9.5.2單步斷點跟蹤與虛擬執(zhí)行虛擬機設(shè)計方案自含代碼虛擬機(SCCE)自含代碼虛擬機工作起來象一個真正CPU。一條指令取自內(nèi)存，由SCCE解碼，并被傳送到對應(yīng)模擬這條指令例程，下一條指令則繼續(xù)這個循環(huán)緩沖代碼虛擬機(BCE)緩沖代碼虛擬機是SCCE一個縮略版一條指令是從內(nèi)存中取得，并和一個特殊指令表相比較。假如不是特殊指令，則它被進行簡單解碼以求得指令長度，隨即全部這么指令會被導(dǎo)入到一個能夠通用地模擬全部非特殊指令小過程中。而特殊指令，只占整個指令集一小部分，則在特定小處理程序中進行模擬有限代碼虛擬機(LCE)有點象用于通用解密虛擬系統(tǒng)LCE實際上并非一個虛擬機，因為它并不真正模擬指令，它只簡單地跟蹤一段代碼存放器內(nèi)容，提供一個小被改動內(nèi)存地址表，或是調(diào)用過中止之類東西9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第29頁9.5.3虛擬機代碼剖析不依賴標志存放器指令模擬函數(shù)分析依賴標志存放器指令模擬函數(shù)分析9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第30頁9.5.4反虛擬機技術(shù)任何一個事物都不是盡善盡美、無懈可擊，虛擬機也不例外因為反虛擬執(zhí)行技術(shù)出現(xiàn)，使得虛擬機查毒受到了一定挑戰(zhàn)插入特殊指令技術(shù)結(jié)構(gòu)化異常處理技術(shù)入口點含糊(EPO)技術(shù)多線程技術(shù)元多形技術(shù)9.5虛擬機查毒技術(shù)計算機病毒的檢測清除和免疫第31頁9.6.1實時監(jiān)控技術(shù)背景實時監(jiān)控技術(shù)其實并非什么新技術(shù)，早在DOS編程時代就有之在Windows下要實現(xiàn)實時監(jiān)控決非易事9.6病毒實時監(jiān)控技術(shù)計算機病毒的檢測清除和免疫第32頁9.6.2病毒實時監(jiān)控實現(xiàn)技術(shù)介紹病毒實時監(jiān)控會在文件打開、關(guān)閉、去除、寫入等操作時檢驗文件是否是病毒攜帶者，假如是則依據(jù)用戶決定選擇不一樣處理方案，如去除病毒、禁止訪問該文件、刪除該文件或簡單地忽略，從而有效地防止病毒在當?shù)赜嬎銠C上感染傳輸可執(zhí)行文件裝入器在裝入一個文件執(zhí)行時首先會要求打開該文件，而這個請求又一定會被實時監(jiān)控在第一時間截獲到，它確保了每次執(zhí)行都是潔凈不帶毒文件從而不給病毒以任何執(zhí)行和發(fā)作機會病毒實時監(jiān)控設(shè)計主要存在以下幾個難點驅(qū)動程序編寫不一樣于普通用戶態(tài)程序編寫，其難度很大驅(qū)動程序與Ring3下客戶程序通信問題驅(qū)動程序所占用資源問題9.6病毒實時監(jiān)控技術(shù)計算機病毒的檢測清除和免疫第33頁9.6.3Windows9x下病毒實時監(jiān)控Windows9x下病毒實時監(jiān)控實現(xiàn)主要依賴于以下三項技術(shù)虛擬設(shè)備驅(qū)動(VxD)編程可安裝文件系統(tǒng)鉤子(IFSHook)VxD與Ring3下客戶程序通信(APC/EVENT)只有工作于系統(tǒng)關(guān)鍵態(tài)驅(qū)動程序才含有有效地完成攔截系統(tǒng)范圍文件操作能力，VxD就是適合用于Windows9x下虛擬設(shè)備驅(qū)動程序，能夠擔當此重擔VxD功效遠不止由IFSMGR.vxd提供攔截文件操作這一項，系統(tǒng)VxDs幾乎提供了全部底層操作接口(能夠把VxD看成Ring0下DLL)虛擬機管理器本身就是一個VxD，它導(dǎo)出底層操作接口普通稱為VMM服務(wù)，而其它VxD調(diào)用接口則稱為VxD服務(wù)9.6病毒實時監(jiān)控技術(shù)計算機病毒的檢測清除和免疫第34頁9.6.4WindowsNT/下病毒實時監(jiān)控WindowsNT/下病毒實時監(jiān)控實現(xiàn)主要依賴于以下三項技術(shù)NT內(nèi)核模式驅(qū)動編程WindowsNT/下不再支持VxD攔截IRP驅(qū)動與Ring3下客戶程序通信(命名事件與信號量對象)9.6病毒實時監(jiān)控技術(shù)計算機病毒的檢測清除和免疫第35頁9.7.1去除病毒普通方法發(fā)覺病毒后，去除病毒普通步驟是：先升級殺毒軟件病毒庫至最新，進入安全模式下全盤查殺刪除注冊表中相關(guān)能夠自動開啟可疑程序鍵值(能夠重命名，以防誤刪，若刪除/重命名后按F5刷新，發(fā)覺無法刪除/重命名，則可必定其是病毒開啟鍵值)若系統(tǒng)配置文件被更改，需先刪除注冊表中鍵值，再更改系統(tǒng)配置文件斷開網(wǎng)絡(luò)連接，重啟系統(tǒng)，進入安全模式全盤殺毒若WindowsME/XP系統(tǒng)查殺病毒在系統(tǒng)還原區(qū)，請關(guān)閉系統(tǒng)還原再查殺若查殺病毒在暫時文件夾中，請清空暫時文件夾再查殺系統(tǒng)安全模式查殺無效，提議到DOS下查殺。9.7計算機病毒去除計算機病毒的檢測清除和免疫第36頁9.7.2引導(dǎo)型病毒去除引導(dǎo)型病毒感染時常攻擊計算機以下部位：硬盤主引導(dǎo)扇區(qū)硬盤或軟盤BOOT扇區(qū)為保留原主引導(dǎo)扇區(qū)、BOOT扇區(qū)，病毒可能隨意地將它們寫入其它扇區(qū)，而徹底毀壞這些扇區(qū)中信息引導(dǎo)型病毒發(fā)作時，執(zhí)行破壞行為造成種種損失因為引導(dǎo)型病毒普通是常駐內(nèi)存，所以，去除病毒之前必須先去除內(nèi)存中病毒(或采取修復(fù)中止向量表等方法將其滅活)，不然難以去除潔凈9.7計算機病毒去除計算機病毒的檢測清除和免疫第37頁9.7.2引導(dǎo)型病毒去除硬盤主引導(dǎo)扇區(qū)染毒時修復(fù)方法：(1)用無毒軟盤開啟系統(tǒng)(2)尋找一臺同類型、硬盤分區(qū)相同無毒計算機，將其硬盤主引導(dǎo)扇區(qū)寫入一張軟盤中(3)將此軟盤插入染毒計算機，將其中采集主引導(dǎo)扇區(qū)數(shù)據(jù)寫入染毒硬盤0柱面0磁頭1扇區(qū)，即可修復(fù)修復(fù)硬盤主引導(dǎo)扇區(qū)時，也可利用先前備份本扇區(qū)還未感染時數(shù)據(jù)，替換(2)中采集數(shù)據(jù)。修復(fù)主引導(dǎo)扇區(qū)時，普通不用FDisk/MBR命令，以免丟失硬盤信息9.7計算機病毒去除計算機病毒的檢測清除和免疫第38頁9.7.2引導(dǎo)型病毒去除硬盤、軟盤BOOT扇區(qū)染毒時修復(fù)方法：修復(fù)硬盤BOOT扇區(qū)最簡單方便殺毒方法是使用系統(tǒng)命令SYS，即：用與染毒盤相同版本無毒系統(tǒng)軟盤開啟計算機，然后執(zhí)行命令“SYSC:”，用正常引導(dǎo)程序覆蓋硬盤BOOT扇區(qū)修復(fù)軟盤BOOT扇區(qū)也可采取類似覆蓋方法引導(dǎo)型病毒假如將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入根目錄區(qū)，被覆蓋根目錄區(qū)完全損壞，不可能修復(fù)。假如引導(dǎo)型病毒將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入第一FAT表時，第二FAT表未破壞，則能夠修復(fù)，可將第FAT表復(fù)制到第一FAT表中普通而言，引導(dǎo)型病毒占用其它部分存放空間，只有采取“壞簇”技術(shù)和“文件結(jié)束簇”技術(shù)占用空間需要收回，修改文件分配表即可9.7計算機病毒去除計算機病毒的檢測清除和免疫第39頁9.7.3文件型病毒去除基于隱蔽病毒本身目標，病毒普通都要確保原文件代碼還能正常地執(zhí)行。這就意味著原文件能被妥善保留，從而為去除病毒、恢復(fù)原文件提供了可能除了覆蓋型文件型病毒之外，其它文件型病毒都能夠被去除潔凈用解毒軟件來解毒不確保能夠完全復(fù)原，有可能會越解越糟，殺完毒之后文件反而不能執(zhí)行。利用手工消毒也是如此。所以，用戶必須勤備份自己資料手工去除病毒之前，應(yīng)備份被感染文件，同時應(yīng)注意防護辦法。任何去除病毒動作，都是危險操作9.7計算機病毒去除計算機病毒的檢測清除和免疫第40頁9.7.3文件型病毒去除去除.COM文件中計算機病毒方法以使用Debug為例，去除計算機病毒方法和步驟以下：⑴用Debug調(diào)入需去除病毒文件程序，經(jīng)過計算機病毒程序查找正當程序程序頭(對加密或經(jīng)過轉(zhuǎn)換文件頭進行還原，還原方法也在計算機病毒程序中)⑵對于鏈接于文件頭部計算機病毒，可用正當文件移到文件偏移0100H處后存盤方法去除。若文件長度小于計算機病毒長度，則經(jīng)過設(shè)置CX存放器并存盤來去除⑶對于鏈接于文件尾部計算機病毒，能夠?qū)⒄Ｎ募^(經(jīng)過分析病毒程序可得到)寫入染毒文件頭，并經(jīng)過設(shè)置CX存放器并存盤方法去掉程序中病毒部分⑷對內(nèi)存中病毒進行去除。病毒程序常駐內(nèi)存后，普通修改中止向量，使系統(tǒng)調(diào)用中止向量時激活病毒。所以去除內(nèi)存中病毒能夠?qū)浞莼蛲姹局兄瓜蛄勘砣〈鷥?nèi)存中中止向量表，或直接關(guān)掉機器，用潔凈系統(tǒng)重啟對于交叉感染或重復(fù)感染.COM文件，一定要找出病毒感染先后次序，按從后向前(或從內(nèi)向外)次序逐一去除病毒，不然會損壞原文件9.7計算機病毒去除計算機病毒的檢測清除和免疫第41頁9.7.3文件型病毒去除去除.EXE文件中計算機病毒方法去除.EXE文件病毒方法與去除.COM文件中病毒方法類似，只不過更繁瑣是恢復(fù)原文件頭參數(shù)去除工作依然要經(jīng)過仔細分析病毒代碼，找到原文件頭參數(shù)，寫回并丟掉病毒程序代碼對于交叉感染或重復(fù)感染.EXE文件，只要找到最先感染病毒代碼，從中找出原始文件頭參數(shù)，可直接取出恢復(fù)，而無須逐層解毒，恢復(fù)方法與單個病毒感染時方法是一致注：因為Debug程序拒絕寫.EXE文件，所以在去除.EXE文件中病毒時應(yīng)首先將.EXE文件更名，然后再去除對于感染PE文件病毒，能夠用PEditor、LordPE等工具軟件刪除病毒體、恢復(fù)程序入口點(正常程序入口普通是PE文件中第一個節(jié).text)，從而到達去除病毒目標。若病毒采取了EPO等技術(shù)，去除工作將變得異常繁雜9.7計算機病毒去除計算機病毒的檢測清除和免疫第42頁9.8.1重入檢測和病毒免疫大部分駐留內(nèi)存病毒會在加載病毒代碼之前，檢驗系統(tǒng)內(nèi)存狀態(tài)，判斷內(nèi)存中是否有病毒，若存在(本身已被加載)，則不再加載病毒代碼，不然，加載感染文件之前，查看文件狀態(tài)(普通是查看感染標志)，檢驗該文件是否已被感染，假如被感染了則不再重復(fù)感染病毒這種重入檢測機制造成了一個反病毒技術(shù)出現(xiàn)，也就是形形色色免疫程序：利用免疫程序設(shè)置內(nèi)存狀態(tài)、設(shè)置CPU狀態(tài)或者設(shè)置文件一些特征，從而預(yù)防某種特定病毒進入系統(tǒng)9.8計算機病毒免疫技術(shù)計算機病毒的檢測清除和免疫第43頁9.8.2計算機病毒免疫方法及其缺點從實現(xiàn)計算機病毒免疫角度看病毒傳染，能夠?qū)⒉《緜魅痉殖蓛煞N在傳染前先檢驗待傳染扇區(qū)或程序內(nèi)是否含有病毒代碼，假如沒有找到則進行傳染，假如找到了則不再進行傳染如小球病毒、CIH病毒在傳染時不判斷是否存在感染標志(免疫標志)，病毒只要找到一個可傳染對象就進行一次傳染比如黑色星期五病毒(注：黑色星期五病毒程序中含有判別傳染標志代碼，因為程序設(shè)計錯誤，使判斷失敗，造成感染標志形同虛設(shè))9.8計算機病毒免疫技術(shù)計算機病毒的檢測清除和免疫第44頁9.8.2計算機病毒免疫方法及其缺點當前慣用免疫方法有兩種針對某一個病毒進行計算機病毒免疫一個免疫程序只能預(yù)防一個計算機病毒比如對小球病毒，在DOS引導(dǎo)扇區(qū)1FCH處填上1357H，小球病毒檢驗到該標志就不再對它進行感染優(yōu)點是能夠有效地預(yù)防某一個特定病毒傳染，但缺點很嚴重，主要