系統(tǒng)安全與病毒防護(hù)

系統(tǒng)安全與病毒防護(hù)第一頁，共四十七頁，編輯于2023年，星期三一、系統(tǒng)安全基本常識(shí)二、如何更好地預(yù)防計(jì)算機(jī)病毒入侵三、如何干凈地清除病毒四、如何進(jìn)行DOS和安全模式下的殺毒五、手工殺毒的幾個(gè)基本操作六、典型案例第二頁，共四十七頁，編輯于2023年，星期三一、系統(tǒng)安全基本常識(shí)1、什么是計(jì)算機(jī)病毒病毒是一種程序。有獨(dú)特的復(fù)制能力，具有傳染性，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳到另一個(gè)用戶時(shí)，它們就隨文件一起蔓延開來。

所以,計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里,當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合.

常見病毒：木馬、蠕蟲、廣告軟件（Adware)、間諜軟件(Spyware)、瀏覽器劫持軟件等。第三頁，共四十七頁，編輯于2023年，星期三2、計(jì)算機(jī)安全注意事項(xiàng)盡量不要在網(wǎng)上留下證明自己身份的資料。盡量不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸.不要輕信網(wǎng)上流傳的消息，尤其是中獎(jiǎng)消息。如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項(xiàng)，不要僅僅通過網(wǎng)絡(luò)完成。不要輕易瀏覽不良網(wǎng)站.不要輕易安裝共享軟件、盜版軟件.如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網(wǎng)站下載。使用具有破壞性功能的軟件，如硬盤整理、分區(qū)軟件等，一定要仔細(xì)了解它的功能之后再使用，避免因誤操作產(chǎn)生不可挽回的損失。第四頁，共四十七頁，編輯于2023年，星期三二、如何更好地預(yù)防計(jì)算機(jī)病毒有病治病，無病預(yù)防。為了減少病毒的侵?jǐn)_，平時(shí)應(yīng)做到“三打三防”。

“三打”就是安裝新的計(jì)算機(jī)系統(tǒng)時(shí)，要注意打系統(tǒng)補(bǔ)丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的，打好補(bǔ)丁就可以防止此類病毒感染；用戶上網(wǎng)的時(shí)候要打開殺毒軟件實(shí)時(shí)監(jiān)控，以免病毒通過網(wǎng)絡(luò)進(jìn)入自己的電腦；玩網(wǎng)絡(luò)游戲時(shí)要打開個(gè)人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料。第五頁，共四十七頁，編輯于2023年，星期三“三防”就是防郵件病毒，用戶收到郵件時(shí)首先要進(jìn)行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站散播，用戶從網(wǎng)上下載任何文件后，一定要先進(jìn)行病毒掃描再運(yùn)行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過MSN、QQ等即時(shí)通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友有可能遭到病毒的入侵。第六頁，共四十七頁，編輯于2023年，星期三三、如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒.

當(dāng)計(jì)算機(jī)感染病毒的時(shí)候，絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒。但有些病毒由于使用了更加隱匿和狡猾的手段，往往會(huì)對(duì)殺毒軟件進(jìn)行攻擊甚至是刪除系統(tǒng)中的殺毒軟件，針對(duì)這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計(jì)為在安全模式可安裝、使用、執(zhí)行殺毒處理。

在安全模式（SafeMode）或者純DOS下進(jìn)行清除清除時(shí)，對(duì)于現(xiàn)在大多數(shù)流行的病毒，如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等，都可以在安全模式或DOS下殺毒（建議用干凈軟盤啟動(dòng)殺毒）。而且，當(dāng)計(jì)算機(jī)原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級(jí)到最新的病毒庫），在安全模式（SafeMode）或者純DOS下清除一遍病毒！第七頁，共四十七頁，編輯于2023年，星期三安全模式殺毒流程開機(jī)或重啟電腦——進(jìn)入安全模式——調(diào)用殺毒軟件——查殺病毒DOS模式殺毒流程開機(jī)或重啟電腦——進(jìn)入DOS模式——在DOS下調(diào)用殺毒軟件——查殺病毒第八頁，共四十七頁，編輯于2023年，星期三如何進(jìn)入安全模式啟動(dòng)過程中按下F8鍵是最傳統(tǒng)也是最常用的方法：當(dāng)我們打開電腦電源，硬件完成自檢之后，立刻按下鍵盤上的F8鍵，你將看到如圖1所示的界面。這里列出了很多高級(jí)啟動(dòng)選項(xiàng)。在此安全模式又分為幾種，一般情況下我們選擇進(jìn)入普通的安全模式即可。除了這種最常用的方法外，在計(jì)算機(jī)啟動(dòng)時(shí)按住Ctrl鍵不放，也可以以“安全模式”啟動(dòng)系統(tǒng)。第九頁，共四十七頁，編輯于2023年，星期三第十頁，共四十七頁，編輯于2023年，星期三第十一頁，共四十七頁，編輯于2023年，星期三第十二頁，共四十七頁，編輯于2023年，星期三如何進(jìn)入DOS模式制作DOS啟動(dòng)盤和DOS殺毒盤用DOS啟動(dòng)光盤由啟動(dòng)選項(xiàng)進(jìn)DOS用虛擬軟驅(qū)U盤啟動(dòng)盤USBOOT1.7簡(jiǎn)介U盤殺毒簡(jiǎn)介第十三頁，共四十七頁，編輯于2023年，星期三由啟動(dòng)選項(xiàng)進(jìn)DOS第十四頁，共四十七頁，編輯于2023年，星期三第十五頁，共四十七頁，編輯于2023年，星期三第十六頁，共四十七頁，編輯于2023年，星期三第十七頁，共四十七頁，編輯于2023年，星期三第十八頁，共四十七頁，編輯于2023年，星期三由虛擬軟驅(qū)進(jìn)DOS第十九頁，共四十七頁，編輯于2023年，星期三制作殺毒U盤現(xiàn)在許多的殺毒軟件都具有制作殺毒U盤的功能，下面以瑞星為例，做個(gè)殺毒U盤。瑞星殺毒軟件2007版：系統(tǒng)中已安裝了瑞星殺毒軟件2007版，點(diǎn)擊“開始→程序→瑞星殺毒軟件→瑞星工具→瑞星U盤殺毒工具”菜單項(xiàng)，按照制作向?qū)Вx擇“U盤驅(qū)動(dòng)器”，過程很簡(jiǎn)單，這里就不多說了，復(fù)制病毒庫到U盤完成。完成后就可以用U盤進(jìn)行DOS下的殺毒了。別的殺毒軟件也都有制作殺毒U盤的功能，制作方法也比較簡(jiǎn)單，用法也都類似，這里就不說了。第二十頁，共四十七頁，編輯于2023年，星期三2、在\TemporaryInternetFiles目錄下帶毒文件的清理

由于Windows會(huì)對(duì)這個(gè)目錄下的文件有一定的保護(hù)作用，所以這里的帶毒文件即使在安全模式下也不能進(jìn)行清除，對(duì)于這種情況，請(qǐng)先關(guān)閉其他一些程序軟件，然后打開IE，選擇IE工具欄中的"工具"\"Internet選項(xiàng)"，選擇"刪除文件"刪除即可，如果有提示"刪除所有脫機(jī)內(nèi)容"，也請(qǐng)選上一并刪除。第二十一頁，共四十七頁，編輯于2023年，星期三3、在\_Restore目錄下，*.cpy文件中的帶毒文件

這是系統(tǒng)還原存放還原文件的目錄，只有在裝了WindowsMe/XP操作系統(tǒng)上才會(huì)有這個(gè)目錄，由于系統(tǒng)對(duì)這個(gè)目錄有保護(hù)作用，因此對(duì)于這種情況需要先取消“系統(tǒng)還原”功能（我的電腦—屬性），然后將帶毒文件刪除。第二十二頁，共四十七頁，編輯于2023年，星期三4、加密的文件或目錄

對(duì)于一些加密了的文件或目錄，請(qǐng)?jiān)诮饷芎笤龠M(jìn)行病毒查殺。5、對(duì)U盤等存儲(chǔ)介質(zhì)的殺毒 需注意介質(zhì)是否處于寫保護(hù)狀態(tài)。第二十三頁，共四十七頁，編輯于2023年，星期三四、常用DOS命令簡(jiǎn)介DIRCDDELFDISKFORMATSYSATTRIBTASKLISTTASKKILL第二十四頁，共四十七頁，編輯于2023年，星期三DIR:顯示一個(gè)目錄下的文件和子目錄，是DOS中使用最廣泛的命令之一。

參數(shù)：/P：在每個(gè)信息屏幕后暫停；/W：用寬列表格式；

用法1、dir/w

用法2、dir/p

用法3、dir/w/p第二十五頁，共四十七頁，編輯于2023年，星期三CD：顯示當(dāng)前目錄名或改變當(dāng)前目錄

CD是DOS中使用頻率最高的命令之一。主要是為了快速切換到另一盤符或目錄中，例如“CD

G:Temp”可以快速跳轉(zhuǎn)到“G:Temp”目錄，使用“CD..”可以退回到上一級(jí)目錄，而使用“CD\”可以快速返回當(dāng)前盤的根目錄中。

第二十六頁，共四十七頁，編輯于2023年，星期三DEL：刪除文件

DEL命令可以刪除一個(gè)或數(shù)個(gè)指定的文件（但無法刪除文件夾），如果鍵入“DEL

*.*”命令將會(huì)刪除當(dāng)前路徑下所有文件，系統(tǒng)會(huì)給出確認(rèn)提示框請(qǐng)求確認(rèn)。如果你想刪除文件夾的話，可以使用DELTREE命令，這是一條外部命令。第二十七頁，共四十七頁，編輯于2023年，星期三FDISK：硬盤分區(qū)

這是一個(gè)極其危險(xiǎn)的DOS命令，它的作用是對(duì)硬盤進(jìn)行分區(qū)，使用后將丟失硬盤中所有的文件。新手不要輕易使用這條命令。

FORMAT：高級(jí)格式化

無論是硬盤還是軟盤，都必須進(jìn)行高級(jí)格式化后才能使用，F(xiàn)ORMAT命令的功能就是高級(jí)格式化磁盤，如果加上/s參數(shù)可以制作系統(tǒng)盤，加上/Q參數(shù)可執(zhí)行快速格式化。第二十八頁，共四十七頁，編輯于2023年，星期三SYS：傳遞系統(tǒng)文件

除了使用FORMAT

/S命令來制作系統(tǒng)盤外，我們也可以使用SYS命令來傳遞系統(tǒng)文件，例如“C:>

SYS

A:”就是將C盤的系統(tǒng)文件傳遞到A盤，這在安裝了多操作系統(tǒng)的計(jì)算機(jī)上恢復(fù)系統(tǒng)文件時(shí)特別有用。第二十九頁，共四十七頁，編輯于2023年，星期三五、手工殺毒的幾個(gè)基本操作手工殺毒的基本程序：查看進(jìn)程→發(fā)現(xiàn)病毒及可疑進(jìn)程→終止進(jìn)程→清理病毒及可疑進(jìn)程→(注冊(cè)表中清理相關(guān)信息)運(yùn)用任務(wù)管理器查看進(jìn)程信息Attrib命令查看和終止進(jìn)程第三十頁，共四十七頁，編輯于2023年，星期三運(yùn)用任務(wù)管理器查看進(jìn)程信息怎樣顯示PID信息：查看—選擇列--PID第三十一頁，共四十七頁，編輯于2023年，星期三Attrib命令attrib設(shè)置文件屬性

［用法］attrib顯示所有文件的屬性

attrib+r或-r[文件名]設(shè)置文件屬性是否只讀

attrib+h或-h[文件名]設(shè)置文件屬性是否隱含

attrib+s或-s[文件名]設(shè)置文件屬性是否系統(tǒng)文件

attrib+a或-a[文件名]設(shè)置文件屬性是否歸檔文件

attrib/s設(shè)置包括子目錄的文件在內(nèi)的文件屬性第三十二頁，共四十七頁，編輯于2023年，星期三查看和終止進(jìn)程XP下還有兩個(gè)好用的工具tasklist和taskkill。tasklist能列出所有的進(jìn)程，和相應(yīng)的信息,tasklist/svc顯示那些進(jìn)程為系統(tǒng)所用。taskkill能查殺進(jìn)程，語法很簡(jiǎn)單：taskkill/PID[程序的ID]+命令參數(shù)。其中參數(shù)/f表示強(qiáng)制關(guān)閉，/t表示指定終止與父進(jìn)程一起的所有子進(jìn)程，常被認(rèn)為是“樹終止”，同時(shí)會(huì)顯示父進(jìn)程和各個(gè)子進(jìn)程的PID。也可以用另一種命令格式：taskkill/im進(jìn)程名+命令參數(shù)第三十三頁，共四十七頁，編輯于2023年，星期三第三十四頁，共四十七頁，編輯于2023年，星期三第三十五頁，共四十七頁，編輯于2023年，星期三第三十六頁，共四十七頁，編輯于2023年，星期三六、典型案例如何解決雙進(jìn)程木馬雙擊硬盤不能打開瀏覽器被劫持的一個(gè)實(shí)例第三十七頁，共四十七頁，編輯于2023年，星期三案例一：查殺雙進(jìn)程木馬某電腦中了某木馬，通過任務(wù)管理器查出該木馬進(jìn)程為“system.exe”，終止它后再刷新，它又會(huì)復(fù)活。進(jìn)入安全模式把c：\windows\system32\system.exe刪除，重啟后它又會(huì)重新加載，怎么也無法徹底清除它。從此現(xiàn)象來看，中的應(yīng)該是雙進(jìn)程木馬。這種木馬有監(jiān)護(hù)進(jìn)程，會(huì)定時(shí)進(jìn)行掃描，一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會(huì)復(fù)活它。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視，互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個(gè)木馬文件。借助任務(wù)管理器的PID標(biāo)識(shí)可以找到木馬進(jìn)程。第三十八頁，共四十七頁，編輯于2023年，星期三調(diào)出Windows任務(wù)管理器，首先在“查看→選擇列”中勾選“PID(進(jìn)程標(biāo)識(shí)符)”，這樣返回任務(wù)管理器窗口后可以看到每一個(gè)進(jìn)程的PID標(biāo)識(shí)。這樣當(dāng)我們終止一個(gè)進(jìn)程，它再生后通過PID標(biāo)識(shí)就可以找到再生它的父進(jìn)程。啟動(dòng)命令提示符窗口，執(zhí)行“taskkill/t/pid/f”命令,可以看到這次終止的進(jìn)程的PID，和它歸屬的父進(jìn)程的PID。返回任務(wù)管理器，通過查詢進(jìn)程PID找出父進(jìn)程的進(jìn)程名（如internet.exe等），這就是木馬進(jìn)程的父進(jìn)程。第三十九頁，共四十七頁，編輯于2023年，星期三找到了元兇就好辦了，重新啟動(dòng)系統(tǒng)進(jìn)入安全模式，使用搜索功能找到木馬進(jìn)程及其父進(jìn)程，然后將它們刪除即可。前面無法刪除system.exe，主要是由于沒有找到其父進(jìn)程(且沒有刪除其啟動(dòng)鍵值)，導(dǎo)致重新進(jìn)入系統(tǒng)后internet.exe復(fù)活木馬。

第四十頁，共四十七頁，編輯于2023年，星期三案例二、雙擊硬盤不能打開原因：病毒在驅(qū)動(dòng)器下面寫入了一個(gè)AutoRun.inf文件。

解決方法：(以D盤為例)：

開始---運(yùn)行---cmd（打開命令提示符）D:\>dir/a（沒有參數(shù)A是看不到的，A是顯示所有的意思）此時(shí)你會(huì)發(fā)現(xiàn)一個(gè)autorun.inf文件

attribautorun.inf-s-h-r去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性，否則無法刪除autorun.inf，delautorun.inf

到這里還沒完，還需要清除注冊(cè)表中相關(guān)信息：

開始——運(yùn)行——regedit——編輯——查找"autorun"

找到的第一個(gè)就是D盤的自動(dòng)運(yùn)行，刪除整個(gè)shell子鍵（注意：刪的時(shí)候一定要是shell這個(gè)子健，如果查找的是別的項(xiàng)或子鍵，一定不要亂刪?。?/p>

完畢。第四十一頁，共四十七頁，編輯于2023年，星期三小結(jié)：手工殺毒步驟找出病毒進(jìn)程及其父、子進(jìn)程（進(jìn)程管理器、百度等）找到病毒進(jìn)程所在位置（搜索計(jì)算機(jī)）在安全模式中予以清除（也可在正常模式下先結(jié)束進(jìn)程后再予以清除）,或者在DOS狀態(tài)下解決.第四十二頁，共四十七頁，編輯于2023年，星期三案例三、瀏覽器被劫持的一個(gè)實(shí)例癥狀原來的IE圖標(biāo)被刪，換成這個(gè)仿冒的。注意這個(gè)IE圖標(biāo)是internatexplorar正常的應(yīng)該是internetexplorer。第四十三頁，共四十七頁，編輯于2023年，星期三雙擊這個(gè)圖標(biāo)，彈出下面的窗口.用IE伴侶無法修復(fù)，找IE屬性又找不到。第四十四頁，共四十七頁，編輯于2023年，星期三解決方法：1、根據(jù)地址欄的地址C:\ProgramFiles\Haozip\002\58，找到對(duì)應(yīng)的文件夾,將該文件夾刪除。如果能用注冊(cè)表編輯器把里邊關(guān)于這個(gè)地址欄的項(xiàng)目刪除干凈效果更好。2、打開C:\ProgramFiles\InternetExplorer，把里邊的IE圖標(biāo)發(fā)個(gè)桌面快捷方式。3、刪除仿冒IE圖標(biāo)。4、進(jìn)行IE設(shè)置。第四十五頁，共四十七頁，編輯于2023年，星期三小資料：“開始——運(yùn)行”命令集錦gpedit.msc-----組策略

sndrec32-------錄音機(jī)

Nslookup-------IP地址偵測(cè)器

explorer-------打開資源管理器

tsshutdn-------60秒倒計(jì)時(shí)關(guān)機(jī)命令

lusrmgr.msc----本機(jī)用戶和組

services.msc---本地服務(wù)設(shè)置

oobe/msoobe/a----檢查XP是否激活

notepad----打開記事本cleanmgr--