系統(tǒng)安全與病毒防護.ppt

1、第六講 系統(tǒng)安全與病毒防護,曾凡光,本講問題 Q1、什么是病毒？列出幾種常見病毒。 Q2、如何更好地預(yù)防計算機病毒？ Q3、如何進行DOS和安全模式下的殺毒？ Q4、 簡述Attrib命令的使用。 Q5、如何查看和終止進程？ Q6、怎樣用msconfig命令使負(fù)擔(dān)沉重的系統(tǒng)減負(fù)？ Q7、怎樣制作U盤DOS啟動盤？ Q8、怎樣制作殺毒U盤？,一、系統(tǒng)安全基本常識 二、如何更好地預(yù)防計算機病毒入侵 三、如何干凈地清除病毒 四、如何進行DOS和安全模式下的殺毒 五、手工殺毒的幾個基本操作 六、典型案例,一、系統(tǒng)安全基本常識,1、什么是計算機病毒 病毒是一種程序。有獨特的復(fù)制能力，具有傳染性，又常常難

2、以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個用戶傳到另一個用戶時，它們就隨文件一起蔓延開來。所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里, 當(dāng)達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合. 常見病毒：木馬、蠕蟲、廣告軟件（Adware)、間諜軟件(Spyware)、瀏覽器劫持軟件等。,2、計算機安全注意事項 盡量不要在網(wǎng)上留下證明自己身份的資料。 盡量不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸. 不要輕信網(wǎng)上流傳的消息，尤其是中獎消息。 如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項，不要僅僅通過網(wǎng)絡(luò)完成。 不要輕易瀏覽不良網(wǎng)站

3、. 不要輕易安裝共享軟件、盜版軟件. 如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網(wǎng)站下載。 使用具有破壞性功能的軟件，如硬盤整理、分區(qū)軟件等，一定要仔細(xì)了解它的功能之后再使用，避免因誤操作產(chǎn)生不可挽回的損失。,二、如何更好地預(yù)防計算機病毒,有病治病，無病預(yù)防。為了減少病毒的侵?jǐn)_，平時應(yīng)做到“三打三防”。,“三打” 就是安裝新的計算機系統(tǒng)時，要注意打系統(tǒng)補丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的，打好補丁就可以防止此類病毒感染；用戶上網(wǎng)的時候要打開殺毒軟件實時監(jiān)控，以免病毒通過網(wǎng)絡(luò)進入自己的電腦；玩網(wǎng)絡(luò)游戲時要打開個人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料

4、。,“三防” 就是防郵件病毒，用戶收到郵件時首先要進行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站散播，用戶從網(wǎng)上下載任何文件后，一定要先進行病毒掃描再運行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友有可能遭到病毒的入侵。,三、如何干凈地清除病毒,1 、在安全模式或純DOS模式下清除病毒 .當(dāng)計算機感染病毒的時候，絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒。但有些病毒由于使用了更加隱匿和狡猾的手段，往往會對殺毒軟件進行攻擊甚至是刪除系統(tǒng)中的殺毒軟件，針對這樣的病毒絕

5、大多數(shù)的殺毒軟件都被設(shè)計為在安全模式可安裝、使用、執(zhí)行殺毒處理。 在安全模式（Safe Mode）或者純DOS下進行清除清除時，對于現(xiàn)在大多數(shù)流行的病毒，如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等，都可以在安全模式或DOS下殺毒（建議用干凈軟盤啟動殺毒）。而且，當(dāng)計算機原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒！,安全模式殺毒流程 開機或重啟電腦進入安全模式調(diào)用殺毒軟件查殺病毒 DOS模式殺毒流程 開機或重啟電腦進入DOS模式在DOS下調(diào)用殺毒軟件查殺病毒,如何進入安全模式 啟動過程中按下F8鍵是最傳統(tǒng)也是最常用的

6、方法：當(dāng)我們打開電腦電源，硬件完成自檢之后，立刻按下鍵盤上的F8鍵，你將看到如圖1所示的界面。這里列出了很多高級啟動選項。在此安全模式又分為幾種，一般情況下我們選擇進入普通的安全模式即可。 除了這種最常用的方法外，在計算機啟動時按住Ctrl鍵不放，也可以以“安全模式”啟動系統(tǒng)。,如何進入DOS模式 制作DOS啟動盤和DOS殺毒盤 用DOS啟動光盤 由啟動選項進DOS 用虛擬軟驅(qū) U盤啟動盤,USBOOT 1.7簡介,U盤殺毒簡介,由啟動選項進DOS,由虛擬軟驅(qū)進DOS,制作殺毒U盤,現(xiàn)在許多的殺毒軟件都具有制作殺毒U盤的功能，下面以瑞星為例，做個殺毒U盤。 瑞星殺毒軟件2007版：系統(tǒng)中已安裝

7、了瑞星殺毒軟件2007版，點擊“開始程序瑞星殺毒軟件瑞星工具瑞星U盤殺毒工具”菜單項，按照制作向?qū)?，選擇“U盤驅(qū)動器”，過程很簡單，這里就不多說了，復(fù)制病毒庫到U盤完成。完成后就可以用U盤進行DOS下的殺毒了。 別的殺毒軟件也都有制作殺毒U盤的功能，制作方法也比較簡單，用法也都類似，這里就不說了。,2 、在Temporary Internet Files目錄下帶毒文件的清理由于Windows 會對這個目錄下的文件有一定的保護作用，所以這里的帶毒文件即使在安全模式下也不能進行清除，對于這種情況，請先關(guān)閉其他一些程序軟件，然后打開 IE ，選擇IE工具欄中的 工具Internet 選項 ，選擇 刪

8、除文件 刪除即可，如果有提示 刪除所有脫機內(nèi)容 ，也請選上一并刪除。,3 、在 _Restore 目錄下，*.cpy 文件中的帶毒文件這是系統(tǒng)還原存放還原文件的目錄，只有在裝了Windows Me/XP 操作系統(tǒng)上才會有這個目錄，由于系統(tǒng)對這個目錄有保護作用，因此對于這種情況需要先取消“ 系統(tǒng)還原 ” 功能（我的電腦屬性），然后將帶毒文件刪除。,4 、加密的文件或目錄對于一些加密了的文件或目錄，請在解密后再進行病毒查殺。 5、對U盤等存儲介質(zhì)的殺毒 需注意介質(zhì)是否處于寫保護狀態(tài)。,四、常用DOS命令簡介,DIR CD DEL FDISK FORMAT SYS ATTRIB TASKLIST T

9、ASKKILL,DIR:顯示一個目錄下的文件和子目錄，是DOS中使用最廣泛的命令之一 。參數(shù)：/P：在每個信息屏幕后暫停；/W：用寬列表格式； 用法1、dir /w 用法2、dir /p 用法3、dir /w/p,CD：顯示當(dāng)前目錄名或改變當(dāng)前目錄 CD是DOS中使用頻率最高的命令之一。主要是為了快速切換到另一盤符或目錄中，例如“CDG:Temp”可以快速跳轉(zhuǎn)到“G:Temp”目錄，使用“CD.”可以退回到上一級目錄，而使用“CD”可以快速返回當(dāng)前盤的根目錄中。,DEL：刪除文件 DEL命令可以刪除一個或數(shù)個指定的文件（但無法刪除文件夾），如果鍵入“DEL*.*”命令將會刪除當(dāng)前路徑下所有文件

10、，系統(tǒng)會給出確認(rèn)提示框請求確認(rèn)。如果你想刪除文件夾的話，可以使用DELTREE命令，這是一條外部命令。,FDISK：硬盤分區(qū) 這是一個極其危險的DOS命令，它的作用是對硬盤進行分區(qū)，使用后將丟失硬盤中所有的文件。新手不要輕易使用這條命令。 FORMAT：高級格式化 無論是硬盤還是軟盤，都必須進行高級格式化后才能使用，F(xiàn)ORMAT命令的功能就是高級格式化磁盤，如果加上/s參數(shù)可以制作系統(tǒng)盤，加上/Q參數(shù)可執(zhí)行快速格式化。,SYS：傳遞系統(tǒng)文件 除了使用FORMAT/S命令來制作系統(tǒng)盤外，我們也可以使用SYS命令來傳遞系統(tǒng)文件，例如“C:SYSA:”就是將C盤的系統(tǒng)文件傳遞到A盤，這在安裝了多操作

11、系統(tǒng)的計算機上恢復(fù)系統(tǒng)文件時特別有用。,五、手工殺毒的幾個基本操作,手工殺毒的基本程序：查看進程發(fā)現(xiàn)病毒及可疑進程終止進程清理病毒及可疑進程(注冊表中清理相關(guān)信息) 運用任務(wù)管理器查看進程信息 Attrib命令 查看和終止進程,運用任務(wù)管理器查看進程信息,怎樣顯示PID信息：查看選擇列-PID,Attrib命令 attrib 設(shè)置文件屬性 用法attrib 顯示所有文件的屬性 attrib +r或-r 文件名 設(shè)置文件屬性是否只讀 attrib +h或-h 文件名 設(shè)置文件屬性是否隱含 attrib +s或-s 文件名 設(shè)置文件屬性是否系統(tǒng)文件 attrib +a或-a 文件名 設(shè)置文件屬性是

12、否歸檔文件 attrib /s 設(shè)置包括子目錄的文件在內(nèi)的文件屬性,查看和終止進程,XP下還有兩個好用的工具tasklist和taskkill。tasklist能列出所有的進程，和相應(yīng)的信息, tasklist /svc 顯示那些進程為系統(tǒng)所用。taskkill能查殺進程，語法很簡單：taskkill /PID 程序的ID+命令參數(shù)。其中參數(shù) /f 表示強制關(guān)閉，/t表示指定終止與父進程一起的所有子進程，常被認(rèn)為是“樹終止”，同時會顯示父進程和各個子進程的PID。 也可以用另一種命令格式：taskkill /im 進程名 +命令參數(shù),六、典型案例,如何解決雙進程木馬 雙擊硬盤不能打開 瀏覽器被

13、劫持的一個實例,案例一：查殺雙進程木馬,某電腦中了某木馬，通過任務(wù)管理器查出該木馬進程為“system.exe”，終止它后再刷新，它又會復(fù)活。進入安全模式把c：windowssystem32system.exe刪除，重啟后它又會重新加載，怎么也無法徹底清除它。從此現(xiàn)象來看，中的應(yīng)該是雙進程木馬。這種木馬有監(jiān)護進程，會定時進行掃描，一旦發(fā)現(xiàn)被監(jiān)護的進程遭到查殺就會復(fù)活它。而且現(xiàn)在很多雙進程木馬互為監(jiān)視，互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個木馬文件。借助任務(wù)管理器的PID標(biāo)識可以找到木馬進程。,調(diào)出Windows任務(wù)管理器，首先在“查看選擇列”中勾選“PID(進程標(biāo)識符)”，這樣返回

14、任務(wù)管理器窗口后可以看到每一個進程的PID標(biāo)識。這樣當(dāng)我們終止一個進程，它再生后通過PID標(biāo)識就可以找到再生它的父進程。啟動命令提示符窗口，執(zhí)行“taskkill /t /pid /f”命令,可以看到這次終止的進程的PID，和它歸屬的父進程的PID。返回任務(wù)管理器，通過查詢進程PID找出父進程的進程名（如 internet.exe等 ），這就是木馬進程的父進程。,找到了元兇就好辦了，重新啟動系統(tǒng)進入安全模式，使用搜索功能找到木馬進程及其父進程 ，然后將它們刪除即可。前面無法刪除system.exe，主要是由于沒有找到其父進程(且沒有刪除其啟動鍵值)，導(dǎo)致重新進入系統(tǒng)后internet.exe復(fù)

15、活木馬。,案例二、雙擊硬盤不能打開,原因：病毒在驅(qū)動器下面寫入了一個AutoRun.inf文件。解決方法：(以D盤為例)：開始-運行-cmd（打開命令提示符） D:dir /a （沒有參數(shù)A是看不到的，A是顯示所有的意思） 此時你會發(fā)現(xiàn)一個autorun.inf文件 attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性，否則無法刪除 autorun.inf ， del autorun.inf 到這里還沒完，還需要清除注冊表中相關(guān)信息： 開始運行regedit 編輯查找 autorun找到的第一個就是D盤的自動運行，刪除整個shell子鍵（

16、注意：刪的時候一定要是shell這個子健，如果查找的是別的項或子鍵，一定不要亂刪！） 完畢。,小結(jié)：手工殺毒步驟,找出病毒進程及其父、子進程（進程管理器、百度等） 找到病毒進程所在位置（搜索計算機） 在安全模式中予以清除（也可在正常模式下先結(jié)束進程后再予以清除）,或者在DOS狀態(tài)下解決.,案例三、瀏覽器被劫持的一個實例,癥狀 原來的IE圖標(biāo)被刪，換成這個仿冒的。,注意這個IE圖標(biāo)是internat explorar正常的應(yīng)該是internet explorer。,雙擊這個圖標(biāo)，彈出下面的窗口.用IE伴侶無法修復(fù)，找IE屬性又找不到。,解決方法：,1、根據(jù)地址欄的地址C:Program File

17、sHaozip 00258，找到對應(yīng)的文件夾,將該文件夾刪除。如果能用注冊表編輯器把里邊關(guān)于這個地址欄的項目刪除干凈效果更好。 2、打開C:Program FilesInternet Explorer，把里邊的IE圖標(biāo)發(fā)個桌面快捷方式。 3、刪除仿冒IE圖標(biāo)。 4、進行IE設(shè)置。,小資料：“開始運行”命令集錦,gpedit.msc-組策略 sndrec32-錄音機 Nslookup-IP地址偵測器 explorer-打開資源管理器 tsshutdn-60秒倒計時關(guān)機命令 lusrmgr.msc-本機用戶和組 services.msc-本地服務(wù)設(shè)置 oobe/msoobe /a-檢查XP是否激活 notepad-打開記事本 cleanmgr-垃圾整理 logoff-注銷命令 net start messenger-開始信使服務(wù) compmgmt.msc-計算機管理 net stop messenger-停止信使服務(wù) conf-啟動netmeeting dvdplay-DVD播放器 charmap-啟動字符映射表,diskmgmt.msc-磁盤管理實用程序 calc-啟動計算器 eventvwr.msc -事件查看 dfrg.msc-磁盤碎片整理程序 chkdsk.exe-C