1、计算机维护(修) 技术2022-6-61第第10章章 计算机病毒与流氓软件计算机病毒与流氓软件 计算机维护(修) 技术2022-6-62 计算机病毒、木马、恶意软件、钓鱼网站是最主要的计算机软件故障,不仅干扰了计算机用户正常使用,还造成用户经济损失。 如何预防和排除计算机病毒、木马和恶意软件是我们每一个计算机维护人员必须掌握的技能。 本章将从计算机病毒、恶意软件和钓鱼网站的基本概念出发,讲解如何有效检测、预防和清除计算机中的病毒、木马和流氓软件,提高计算机系统的安全。计算机维护(修) 技术2022-6-63你在动物园看到熊猫的时候,会因为熊猫的憨态可爱,心情会很好,但是如果你打开电脑看到很多国
2、宝图片时,相信你的心情会很糟糕。这张图片可能有很多人看过,这就是曾经l流行一时的“熊猫烧香” 病毒。 计算机维护(修) 技术2022-6-64计算机维护(修) 技术2022-6-6510.1 计算机病毒计算机病毒1.计算机病毒的定义计算机病毒计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,属于黑色软件属于黑色软件。合法软件:合法软件:指为方便用户使用计算机工作、娱乐而开发的一类软件,属于白色软件白色软件。流氓软件(恶意软件)流氓软件(恶意软件):在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装
3、运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。属于灰色软件。计算机维护(修) 技术2022-6-662 2计算机病毒的特点计算机病毒的特点一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。具有传染性、潜伏性、隐蔽性、破坏性、可触发性等。3病毒的表现不正常的提示信息;系统不能正常操作;数据文件破坏;无故死机或重启;操作系统无法启动;运行速度变慢;磁盘可利用空间突然减少;网络
4、服务不正常等。计算机维护(修) 技术2022-6-674计算机病毒的危害 攻击内存攻击内存:内存是计算机病毒最主要的攻击目标。计算机病毒在发作时额外地占用和消耗系统的内存资源,导致系统资源匮乏,进而引起死机。病毒攻击内存的方式主要有占用大量内存、改变内存总量、禁止分配内存和消耗内存。 攻击文件攻击文件:文件也是病毒主要攻击的目标。当一些文件被病毒感染后,如果不采取特殊的修复方法,文件很难恢复原样。病毒对文件的攻击方式主要有删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇或丢失数据文件等。 攻击系统数据区攻击系统数据区:对系统数据区进行攻击通常会导致灾
5、难性后果,攻击部位主要包括硬盘主引导扇区、Boot扇区、FAT表和文件目录等,当这些地方被攻击后,普通用户很难恢复其中的数据。计算机维护(修) 技术2022-6-68干扰系统正常运行干扰系统正常运行:病毒会干扰系统的正常运行,其行为也是花样繁多的,主要表现方式有不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、重启动、死机、强制游戏以及扰乱串并行口等。影响计算机运行速度:影响计算机运行速度:当病毒激活时,其内部的时间延迟程序便会启动。该程序在时钟中纳入了时间的循环计数,迫使计算机空转,导致计算机速度明显下降。攻击磁盘:攻击磁盘:表现为攻击磁盘数据、不写盘、写操作
6、变读操作、写盘时丢字节等。计算机维护(修) 技术2022-6-69(1)引导扇区病毒 病毒修改或覆盖硬盘原来的主引导记录,有少数几种病毒甚至对引导扇区参数进行了加密处理。所有引导区病毒基本上都是内存驻留型的,微机启动时,病毒就被加载到内存中,直到系统关机为止,病毒一直存在,所以引导型病毒基本上都会减少可用的内存容量。 (2)文件病毒文件病毒文件病毒大部分感染可执行程序进行传播。 寄生病毒寄生病毒:寄生在宿主程序上,并不破坏宿主程序的功能。 覆盖病毒覆盖病毒:直接用病毒程序替换被感染的程序,这样所有的文件头也变成了病毒程序的文件头。 伴随病毒伴随病毒:病毒为被感染的文件创建一个病毒文件。 计算机
7、维护(修) 技术2022-6-610文件病毒的工作原理:文件病毒感被激活后,病毒会立刻获得控制权。病毒首先检查系统内存,查看内存中是否已经有病毒代码存在,如果没有,就将病毒代码装入内存。然后执行病毒设计的一些功能,如,破坏功能,显示信息或动画等。为了病毒定时发作,病毒往往会修改系统的时钟中断,在合适的时候激活。完成这些工作后,病毒将控制权交回被感染的程序。 (3)宏病毒宏病毒主要运行在微软公司的Office软件中。宏病毒利用了宏语言VBA。VBA语言可以对文本和数据表进行完整的控制,可以调用操作系统的任意功能,甚至包括格式化硬盘这种操作。 计算机维护(修) 技术2022-6-611(4)蠕虫病
8、毒 蠕虫病毒以网络为寄生环境,以网络上节点计算机为基本感染单位,通过网络设计的缺陷,达到占用整个网络资源的目的。 蠕虫病毒蠕虫病毒往往利用系统漏洞系统漏洞或利用欺骗方法利用欺骗方法进行传播。蠕虫病毒由传播模块传播模块、隐藏模块隐藏模块、功能模块功能模块组成。蠕虫病毒传播过程:扫描-攻击-复制扫描扫描:由扫描模块负责探测主机地漏洞。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。攻击攻击: :攻击模块自动攻击找到漏洞的主机,取得该主机的权限。复制复制:复制模块通过原主机和新主机的交互,将蠕虫病毒复制到新主机中并启动。 计算机维护(修) 技术2022-6-6125
9、)木马程序 木马程序分为服务器端和客户端服务器端和客户端两个部分,服务器端程序一般被伪装并安装在受害者计算机中,以后程序将随该计算机每次运行而自动加载,而客户端一般安装在控制者计算机中。木马程序可以用来作正常的用途,也可以被一些别有用心的人利用来做非法的事情。木马程序与远程控制程序的基本区别在于,远程控制程序是在用户明确授权后运行的,并在用户主机上有明显的控制图标,而木马程序则是隐蔽运行的。木马程序通常并不感染文件,木马程序一般会修改注册表的启动项,或者修改打开文件的关联而获得运行的机会。 计算机维护(修) 技术2022-6-613密码发送木马程序密码发送木马程序:在用户计算机的文件里查找密码
10、。键盘记录木马程序键盘记录木马程序:记录受害计算机的键盘击键记录,获得用户密码信息。破坏型木马程序破坏型木马程序:破坏并删除文件。下载类木马下载类木马:在下载文件同时下载了木马邮件炸弹木马程序邮件炸弹木马程序:木马程序会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件。代理木马程序代理木马程序:黑客给被控制的主机种上代理木马程序后,通过代理木马程序,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。计算机维护(修) 技术2022-6-614潜人用户启动配置文件中,如注册表、启动组等。当用户删除了其中的一个,木马程序利用其他的备份又可以恢复。木马程序经常利
11、用高端端口进行连接。有些木马程序具有搜索Cache中的口令、扫描IP地址、进行键盘记录、捕获用户屏幕、远程注册表的操作、锁定鼠标等功能。攻击者可以利用木马程序设置后门,即使木马程序后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。攻击者冒充合法用户发送邮件、修改文档内容。计算机维护(修) 技术2022-6-615 讨论:常见的木马加载方式?讨论:常见的木马加载方式?计算机维护(修) 技术2022-6-6161计算机病毒的预防 (1) 修补系统漏洞 Windows操作系统的漏洞层出不穷,特别是如今使用比较多的Windows XP操作系统,其漏洞是怎么也补不完,哪怕是最新的Windows X
12、P SP2也存在相当多的漏洞。因此及时安装操作系统的漏洞补丁是非常必要的。浏览网页需要Web浏览器,有些恶意网页利用浏览器的漏洞编写恶意代码,访问该网站会不知不觉地中毒。因此不仅要修补系统漏洞,还要修补IE浏览器的漏洞,这样才能减少病毒入侵的威胁。计算机维护(修) 技术2022-6-617(2)(2)安装杀毒软件和防火墙安装杀毒软件和防火墙 使用杀毒软件可最大程度地保证计算机不受病毒感染,保障计算机的安全运行。目前多数杀毒软件都带有实时病毒防火墙,可监控来自计算机外部的病毒,保护计算机免受病毒感染。 计算机维护(修) 技术2022-6-618网络防火墙网络防火墙防火墙是一种被动防卫技术,防火墙
13、是一种被动防卫技术,是一种网络安全防护措施,它采用隔离控制技术,是设置在内部网络和外部网络之间的一道屏障,用来分隔内部网络和外部网络的地址,使外部网络无从查探内部网络的IP地址,从而不会与内部系统发生直接的数据交流。计算机维护(修) 技术2022-6-619(3)使用软件限制策略预防病毒 软件限制策略是一种决定程序是否可以运行的技术软件限制策略是一种决定程序是否可以运行的技术。病毒要实施破坏,必须进入到系统,但如果病毒进入系统后而无法运行,它就不可能对系统造成破坏,那么此时也就等于成功预防了病毒。因此,可以利用软件限制策略对系统的关键路径、关键文件做散列规则和路径规则来限制病毒文件的运行,例如
14、,对于病毒文件经常感染用户的临时文件夹C:Documents and SettingsaLocal SettingsTemp和C:Documents and SettingsaLocal SettingsTem porary Internet Files,由于上述两个临时文件夹中不可能有可执行文件,因此只需做这两个路径的路径规则来禁止这两个路径下文件运行,即可禁止隐藏在这两条路径下病毒运行。 计算机维护(修) 技术2022-6-620(4)(4)提高安全防范意识提高安全防范意识 在使用计算机的过程中,需要增强安全防护意识,如不访问非法网站,对网上传播的文件要多加注意,密码设置最好采用数字和字母
15、的混合,不少于8位、及时更新操作系统的安全补丁、备份硬盘的主引导扇区和分区表、安装杀毒软件并经常升级病毒库以及开启杀毒软件的实时监测功能等,这些措施对防范计算机病毒都有积极的作用。计算机维护(修) 技术2022-6-621清除病毒的方法有三类: 一是利用影子系统等系统还原类的软件, 二是借助反病毒软件消除, 三是手工清除,但是用手工方法消除病毒不仅繁琐,而且对技术人员专业素质要求很高,只有具备较深的电脑专业知识的人员才会使用。计算机维护(修) 技术2022-6-62210.2流氓软件流氓软件10.2.1流氓软件的概述流氓软件的概述1流氓软件的分类 根据不同的特征和危害,困扰广大计算机用户的流氓
16、软件主要有如下几类:广告软件、 间谍软件、浏览器劫持、行为记录软件、恶意共享软件等。计算机维护(修) 技术2022-6-6232流氓软件的表现形式强制安装 广告弹出 浏览器劫持 难以卸载 恶意卸载 以及其他侵害用户软件安装、使用和卸载的知情权、选择权的恶意行为 计算机维护(修) 技术2022-6-6243.流氓软件的感染途径流氓软件的感染途径(1)当安装一些国外知名软件的汉化版时,可能其中就包含有恶意软件;(2)安装免费软件,很多免费软件捆绑了一些恶意软件;(3)安装盗版游戏时,捆绑在一起的恶意软件也同时进行了安装;(4)由于系统漏洞和IE漏洞的存在,在浏览网页时极有可能会利用该漏洞被安装上恶
17、意软件;(5)通过在线下载文件感染或在线交流时感染;(6)由于使用盗版操作系统,机器在安装系统时可能被安装上恶意软件。计算机维护(修) 技术2022-6-6254恶意软件恶意软件/木马使用的技术木马使用的技术 Rootkit技术 IE插件 修改系统启动项 修改文件关联 修改系统服务 使用双进程 使用映像劫持技术(IFEO)计算机维护(修) 技术2022-6-626(1)Rootkit技术 Rootkit是经常听到的名词,它是提供给用户管理员权限使用的工具集,这个工具集一般可以加载到一个内核程序当中,对操作系统内核进行挂钩和保护,做到保护和引入入侵者的作用,它必须要深入到系统的最内核层,做一些修
18、改和挂钩。流氓软件经常使用这种技术,导致自己的文件和注册表不被删除。这也是恶意软件广泛采用的技术,对自己的文件进行强有力的保护。计算机维护(修) 技术2022-6-627(2)IE插件 通过BHO进行劫持浏览器,BHO是浏览器辅助对象,也就是说在浏览器启动的时候会调用这个BHO,帮助浏览器完成一些额外的工作,本来这是一个好意,但是已经被恶意软件给泛滥的应用,现在很多人启动一个浏览器的时候会被加载相当多的BHO,而这些BHO大量都被恶意软件控制了。在地址栏输出关键词的时候会将你搜索结果进行一个转向,去劫持用户的地址栏搜索和相关的搜索。计算机维护(修) 技术2022-6-628(3)修改系统启动项
19、 在系统启动项里加入自己的一个启动,用户每次开机的时候都会使得恶意软件启动起来。(4)修改文件关联 当双击TXT文件的时候,恶意软件去修改这个文件关联以后,你可能双击任何一个TXT文件以后都可能把恶意软件运行起来。计算机维护(修) 技术2022-6-629(5)修改系统服务 在Windows XP系统中有很多系统服务。恶意软件也可以把自己加到系统服务项当中,一直在运行。比如说我们的任务计划,恶意软件也可能还有计划任务,计划任务是Windows提供一套自动运行的机制,可以定义某一个工作几点开始,或者是周几开始。恶意软件会把自己加到这里面来。(6) 双进程木马 这种木马有两个进程组成,用户查杀时很
20、困难,这两个进程相互监视,当一个进程被停掉以后,另外一个进程负责再生.计算机维护(修) 技术2022-6-630(7)映像劫持技术(IFEO) IFEO:Image file execution options 要运行的程序被其他程序替代了,如原准备运行QQ程序,双击 QQ后却打开了其他程序,如计算器或记事本程序,那就说计算器或记事本程序劫持了 QQ程序。 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下,建立 QQ.EXE项,然后在此项中,新建一个键值为debug
21、ger的字符串,内容为:c:windowssystem32calc.exe 这样计算器程序就劫持了QQ程序了 计算机维护(修) 技术2022-6-63110.2.2流氓软件的预防和清除流氓软件的预防和清除1流氓软件的预防第一,养成良好的电脑使用习惯。谨防共享软件中的流氓软件,安装共享软件时,别一路“next”到底,看清每一步,就会大大降低流氓软件安装的概率。第二,用杀毒软件和防火墙筑起一道城墙,过去杀毒软件和防火墙对于流氓软件是无能为力,最近随着流氓软件的猖獗,杀毒软件也都致力于流氓软件的防范。第三,努力避开使用IE核心浏览器。基于IE核心的浏览器是流氓软件前生发芽的沃土,IE新版本的推出,相
22、信完全给我们带来福音。计算机维护(修) 技术2022-6-6322、流氓软件的清除 工具清除工具清除:在安全模式下使用工具软件清除,各种工具(瑞星卡卡上网安全助手,超级兔子网络安全卫生、360安全卫生、windows流氓软件清理大师)联合查杀. 手动清除手动清除:在注册表中自启动项目中、RUN子键中删除。 1.注册表查找流氓软件的名称,删除; 2.msconfig中启动组是否有不正常的启动项; 3.进入安全模式,在安全模式下搜索流氓软件名,找 到执行文件(有些为动态链接库)彻底删除他们。 使用使用XP自带的自带的恶意程序扫描器恶意程序扫描器:运行MRT.EXE 计算机维护(修) 技术2022-
23、6-63310.3 钓鱼网站钓鱼网站 中国互联网络信息中心(CNNIC)2012年12月5日发布2012年中国反钓鱼网站联盟工作报告。报告显示,截止2012年11月20日,联盟已累计认定并处理钓鱼网站100402个,其中,2012年1月-11月共处理24535个,较2011年同期下降33%。数据显示,全球范围内中国被恶意软件感染电脑的平均比率为54.10%,成为唯一一个感染率超过50%的国家。计算机维护(修) 技术2022-6-6341钓鱼网站的定义 所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些
24、网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。 一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。 严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心。计算机维护(修) 技术2022-6-6352钓鱼网站的危害 网络钓鱼其实就是网络上众多诱骗手法之中的一种,由于它的手段基本就是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件作为诱饵,引诱收信人输入敏感信息(如用户名、口令、帐号ID、信用卡详细信息)的一种攻击方式,通常这个攻击过程很像现实生活中的钓鱼过程,所以就被称之为“网络上的钓鱼”。它的最大危害
25、就是会窃取用户银行卡的帐号、密码等重要信息,使用户受到经济上的损失。 计算机维护(修) 技术2022-6-6363钓鱼网站的传播途径 目前互联网上活跃的钓鱼网站传播途径主要有以下几种:一是通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;二是通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;三是通过搜索引擎传播链接;四是通过病毒传播链接,感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;五是通过恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站等。 计算机维护(修) 技术2022-6-63710.4 常见安全软件的使用1.360安全卫士
26、 360安全卫士是目前极为流行的,集系统维护、安全防护等功能于一身的计算机必备的工具软件。目前中国使用量最大的免费安全软件,也是当前功能最强、效果较好、最受欢迎的系统维护软件。计算机维护(修) 技术2022-6-638计算机维护(修) 技术2022-6-639360360安全卫士主要功能安全卫士主要功能: :木马云查杀木马云查杀:定期进行木马查杀,有效防止木马的破坏。清理恶意插件清理恶意插件:清理恶意插件,可以有效的提升系统速度。修复系统漏洞修复系统漏洞:自动检测系统的安全漏洞,及时修复漏洞。清理系统垃圾清理系统垃圾: 自动完成当前系统中垃圾文件的清理工作。360软件管家软件管家: 可以安装、
27、升级或者卸载各种软件。修复修复IE: 可以一键修复IE的许多问题,使IE恢复到“健康状态”。实时防护实时防护: 随时保护系统安全,阻击恶意插件和木马的入侵。计算机维护(修) 技术2022-6-6402.金山毒霸的使用 金山毒霸(Kingsoft Antivirus)是金山网络旗下研发的云安全智扫反病毒软件。目前的金山毒霸2013(悟空)版本是最新的。 金山毒霸启动后,出现图所示的主界面,在图示的界面上可以进行电脑杀毒、手机杀毒、铠甲防御、网购保镖、百宝箱、清理垃圾、修复漏洞、数据恢复等功能。 计算机维护(修) 技术2022-6-641计算机维护(修) 技术2022-6-6423.防火墙的使用
28、在网络中“防火墙”是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度,它的作用是防止不希望的、未授权的通信进出被保护的网络。 防火墙的功能:一是可以限制他人进入内部网络,过滤不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。 常见的个人防火墙有:天网防火墙、瑞星防火墙等。计算机维护(修) 技术2022-6-64310.5 计算机病毒的手工清除计算机病毒的手工清除 手工清除病毒必须具备较强的操作系统的基础理论知识,特别要求对操作系统的系统文件、文件夹、自启动程序、系统
29、进程和系统服务有较深入的了解,此外还必须对各种计算机病毒的基本原理和计算机病毒的特性有所了解。下面我们将介绍计算机病毒的手工清除方法。 计算机维护(修) 技术2022-6-64410.5.1 手工清除方法手工清除方法 1. 计算机病毒经常感染的系统路径计算机病毒经常感染的系统路径 要清除病毒就必须明确计算机病毒喜欢呆的地方,下面就是要清除病毒就必须明确计算机病毒喜欢呆的地方,下面就是病毒经常出没的地方病毒经常出没的地方. (1)C盘根目录 C: (2)Internet临时文件夹C:Documents and SettingsaLocal SettingsTemporary Internet F
30、iles可在开始/运行中输入%userprofile% (3)用户的临时文件夹C:Documents and SettingsaLocal SettingsTemp可通过开始/运行输入%temp% (4)程序文件夹 C:Program Files 计算机维护(修) 技术2022-6-645 (5)IE浏览器文件夹C:Program FilesInternet Explorer (6)C:Program FilesInternet ExplorerConnection Wizard (7)C:Program FilesCommon Files (8)C:WINDOWS (9)C:WINDOWSP
31、refetch (10)C:WINDOWSsystem32 (11)C:WINDOWSsystem32drivers (12)C:WINDOWSDownloaded Program Files,这个文件夹正常情况下是空的 (13)C:WINDOWSConfig这个文件夹正常情况下是空的计算机维护(修) 技术2022-6-6462.2.如何发现病毒如何发现病毒在系统中发现病毒必须要有一定的能力,必须对所使用的操作系统十分熟悉:(1)熟悉系统文件的命名规则熟悉系统文件的命名规则; windows系统文件命名方法一般都有一定的意义,而病毒、木马一般长的比较恶心, 如使用数字作为文件名1.exe等 (
32、2)仔细鉴别系统文件名称仔细鉴别系统文件名称; 大家在系统出现问题时通常打开任务管理器查看进程,看到如下进程: svchost.exe explorer.exe iexplore.exe winlogon.exe rundll32.exe scvhost.exe explore.exe iexplorer.exe winlogin.exe rundl132.exe (3)熟悉常见)熟悉常见windows系统文件所在位置(看清进程的路径)系统文件所在位置(看清进程的路径) svchost.exe、rundll32.exe(c:windowssystem32) explorer.exe(c:win
33、dows) iexplore.exe(c:program filesinternet explorer)计算机维护(修) 技术2022-6-647(4)时刻注意系统的运行异常情况,)时刻注意系统的运行异常情况,如系统是否突然变慢等 (5)检查文件的建立时间;)检查文件的建立时间; 通过建立时间可以发现病毒,病毒文件通常是当前日期。 (6)通过任务管理器(右击任务栏)通过任务管理器(右击任务栏/任务管理器或按任务管理器或按ctrl+alt+del)查看)查看进程有无异常进程有无异常; 看进程与用户名的匹配,哪些进程是用户的,哪些是系统的,一般来说有些进程是系统的,有些进程是用户的,如servic
34、es.exe、winlogon.exe、lsass.exe、smss.exe其用户名为system,如果用户名为用户的,则很可能是木马。(7)备份正常系统文件夹下系统文件)备份正常系统文件夹下系统文件; 有时木马病毒一般都隐藏在system32目录下,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE、DLL 文件作一次记录,一旦发现异常,用同样的方法再做一次记录,然后比较文件有无变化。 计算机维护(修) 技术2022-6-6483.3.感染木马病毒的解决办法感染木马病毒的解决办法(1 1)清除注册表)清除注册表(2 2)备份注册表杀马)备份注册表杀马 如果你不能通过上述方法
35、很好地清除注册表,那么可以通过备份注册表,再恢复的方法解决,备份注册表的方法很多,在这里就不多说了。 当然我们知道系统的注册表所在位置是保存在C:WINDOWSsystem32config下的system、 software、 sam、 security 、default五个不带后缀名的文件是保存当前系统状态信息的文件也就是注册表信息的相关文件,可以将这几个文件或将整个config文件夹备份到其他地方,发现异常时将其拷备回来即可恢复注册表。 计算机维护(修) 技术2022-6-649 同样在系统第一次装完后在C:WINDOWSrepair文件夹中有五个不带后缀名的文件system、 softw
36、are、 sam、 security 、default表示系统刚装完时的原始状态信息,在上面的操作无法恢复时也可用repair文件夹下的文件替换system32config文件夹下的文件。计算机维护(修) 技术2022-6-650(3 3)破坏病毒文件)破坏病毒文件 ,使其无法运行,使其无法运行 使用暴力删除工具;使用其他手段破坏病毒文件;做软件限制策略禁止文件的运行;破坏病毒文件的方法可使用右键粉碎文件;使用命令破坏文件,开始/运行/CMD ECHO PIG a.exe,就破坏了a.exe,以后a.exe就不可执行了;移动文件位置,发现木马文件删除不掉时还可以通过移动文件(使用剪切/粘贴到其
37、他位置),致使其调用不成功。计算机维护(修) 技术2022-6-651(4)借助于软件如借助于软件如process explorer、autoruns查木马 Procexp和Autoruns,这两个工具对付一般的木马比较有效,使用这两个工具大家可以自己手动找到木马并删除它,下面介绍两个工具的使用方法。计算机维护(修) 技术2022-6-652两种颜色的进程:一种是服务程序(红色),一种是服务程序(红色),一种是普通程序(蓝色)一种是普通程序(蓝色) 普通程序可以用windows自带的任务管理器关闭,而服务程序只能通过服务管理器才能关闭,Procexp可以杀掉服务和普通进程。 可以替换可以替换W
38、indows任务管理器,任务管理器,选择Options-Replace Task Manager,则每次通过CTRL+ALT+DEL或在Explorer任务栏里启动任务管理器时则启动此程序。 杀进程的方法:杀进程的方法: 直接右键单击右键菜单中选择直接右键单击右键菜单中选择Kill Process项项 计算机维护(修) 技术2022-6-653计算机维护(修) 技术2022-6-654使用使用procexp识别木马程序的方法:识别木马程序的方法:首先,查看是否有可疑进程首先,查看是否有可疑进程,一些木马使用了windows系统程序名,例如:services.exe,svchost.exe,(这
39、些文件在windowssystem32目录下,一般木马会放在磁盘根目录下,或是windows目录下)其次,查看是否某一进程占其次,查看是否某一进程占CPU比较大比较大,看到可疑程序直接在列表中选中,右键查看属性,或直接双击,看路径是否是系统的.再次,看程序的描述信息,再次,看程序的描述信息,微软程序描述信息和版本信息一般都很详细,若没有版本信息则可能是木马程序,也有一些木马写了跟微软类似的信息,此时可以使用数字签名校验功能,点击Verify按钮,若是微软的程序会提示(verified) 计算机维护(修) 技术2022-6-655当删除某一文件,提示文件正在使用时可以通过菜单上的当删除某一文件,
40、提示文件正在使用时可以通过菜单上的“查找查找”/输入文件名看哪个进程使用这个文件。输入文件名看哪个进程使用这个文件。 可以查看进程使用了那些动态库 (查看/显示下级窗格,下级窗格视图选dlls) 如:打开进程浏览器process explorer选择IEXPLORE.EXE/查看/下级窗格视图/DLLS就可看到IEXPLORE.EXE调用模块,如果在c:windowssystem32下的应是正常的,如果不是system32下的就可删除。IEXPLORE.EXE其路径为C:Program FilesInternet Explorer。发现不正常模块可使用开始/运行:regsvr32 /u 木马模
41、块。 计算机维护(修) 技术2022-6-656Autoruns主要功能:主要功能: 木马的特性之一时随系统一起启动,所以木马要在操作系统中写启动项,Autoruns就是一个查看清除启动项的工具就是一个查看清除启动项的工具,运行界面如下:计算机维护(修) 技术2022-6-657删除某项启动项,只要去掉项前面的复选框即可。想永久删除某项启动项,只要选择右键单击,点“删除”即可。 不确定是否此项有问题则可以点击”Google”在网上搜索此项。 点击菜单的Jump to项则自动打开注册表并定位到指定项。 计算机维护(修) 技术2022-6-6584. 4. 使用软件限制策略预防木马病毒的方法使用软
42、件限制策略预防木马病毒的方法(1)C:Documents and SettingsaLocal SettingsTempC:Documents and SettingsaLocal SettingsTemporary Internet Files因为在下面两个临时文件夹中不可能有可执行文件,因此做这两个路径的路径规则来禁止这两个路径下文件运行,这样可禁止隐藏在这两条路径下病毒运行,另外也可通过删除这两个文件夹中的文件。计算机维护(修) 技术2022-6-659(2)在C:Program Files*.*做路径规则防止其下文件的运行,但不禁止其下子文件夹下文件的运行,记住该路径规则不能做C:Pr
43、ogram Files,一定要C:Program Files*.*,否则影响正常应用程序的运行。(3)在C:Program FilesCommon Files做路径规则,防止其下文件的运行。(4)做C:WINDOWSsystem32drivers的路径规则,禁止其下文件的运行,因为该文件夹下是驱动文件没有可执行文件。计算机维护(修) 技术2022-6-660(5)在C:*.*做路径规则,因为在C盘 根目录下一般只有NTDETECT.COM是应用程序,其他应该没有可执行文件,因此可先做NTDETECT.COM散列,在做C:*.*路径防止C盘根目录下其他文件(病毒文件)运行。(6)在C:WINDO
44、WSsystem下无可执行文件,有的木马将自身文件放在该文件夹下,做路径规则(7)C:WINDOWSDownloaded Program Files,C:WINDOWSConfig这两个个文件夹正常情况下是空的,但这两个文件夹是木马流氓软件经常光顾的地方,因此对这两个文件夹做路径规则,不允许。计算机维护(修) 技术2022-6-661(8)保护重要文件C:WINDOWSsystem32下的rundll32.exe应用程序,如果rundll32.exe在其他文件夹应为不正常,因此对该文件夹下的该文件先做散列,在做路径,做路径时使用通配符防止类似该文件的木马rund*32.*(9)还有一个expl
45、orer.exe是一个重要的系统文件,它正常应该在是一个重要的系统文件,它正常应该在C:WINDOWS下下,很多病毒利用与explorer.exe类似的文件名来冒充系统文件,所以做策略时先做该文件的散列“不受限”,在做类似文件的路径规则,“不允许” (?ex*ore*.exe) (策略的刷新命令gpupdate)计算机维护(修) 技术2022-6-662(10)用cmd /k tasklist/v c:1.txt将系统当前进程导出为文件c:1.txt,当系统出现异常时,再查看进程看有无变化(没有启动新的应用程序的情况下),进而判断是否有木马进程启动。 计算机维护(修) 技术2022-6-663 小 结 本章首先介绍计算机病毒、木马、流氓软件、 钓鱼网站的基本概念、危害,详细阐述了预防病毒、木马、流氓软件的方法,然后介绍了常见的安全软件和防火墙软件的使用方法,最后详细介绍了手工预防和清除病毒的基本方法。
