1、计算机病毒与防御本章要求p掌握计算机病毒的念义p了解计算机病毒的发展史与危害p熟悉计算机病毒的主要特性p掌握计算机病毒的分类、查杀与防范方法。本章主要内容1 计算机病毒的概念计算机病毒的概念2 计算机病毒的种类计算机病毒的种类3 计算机病毒的查杀与防范方法计算机病毒的查杀与防范方法1.1 计算机病毒的定义计算机病毒的定义1.2 计算机病毒的发展史计算机病毒的发展史1.3 计算机病毒的危害计算机病毒的危害 1.4 计算机病毒的主要特性计算机病毒的主要特性 1.1 计算机病毒的定义计算机病毒的定义p在中华人民共和国计算机信息系统安全保护条例中被明确定义,计算机病毒是“指编制或者在计算机程序中插入的
2、破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。p从广义上讲,一些恶意程序虽然不能自我复制,但会对计算机系统产生破坏或严重损害计算机使用者的利益,这些程序往往也被归类为计算机病毒,如木马程序等。1.2 计算机病毒的发展史计算机病毒的发展史p最早提出电脑病毒概念的是电脑的先驱者冯诺伊曼。在他的一篇论文复杂自动装置的理论及组识的进行里,勾勒出病毒程序自我繁殖的基本原理。不过在当时,绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。计算机病毒的历史(1/4)p1982年7月13日,世界上第一个计算机病毒莫名其妙地就诞生了。它就是Elk Cloner,仅仅
3、是美国匹兹堡一位高中生的恶作剧,并不会对计算机产生任何危害。只是对不知情的Apple II的使用者进行骚扰。当时的病毒还没有针对PC,毕竟IBM的个人电脑也仅才一岁。p最早攻击PC的病毒是Brain,诞生于1986年,攻击的目标是微软最经典也是最受欢迎的操作系统DOS,由两个巴基斯坦兄弟编写,分别是Basit Farooq Alvi和他的兄弟Amjad Farooq Alvi,这个计算机病毒可以显示他们的计算机维修商店的电话号码。pAlvi兄弟俩曾经公开对媒体表示,他们编写这个程序是为了保护自己出售的软件免于被盗版,它的目的仅仅是针对版权侵犯。计算机病毒的历史(2/4)p罗伯特-莫里斯(Rob
4、ert Morris)p1988编写蠕虫病毒,感染了编写蠕虫病毒,感染了6000台计算机惹出麻烦后,台计算机惹出麻烦后,被当时供奉为被当时供奉为“软件奇才软件奇才”,大公司争相高新聘用。大公司争相高新聘用。pRobert T.Morris被判有罪被判有罪并处以并处以3年缓刑、年缓刑、1万美元罚万美元罚金和金和400小时的社区义务劳动。小时的社区义务劳动。p罗伯特罗伯特.莫里斯现在是莫里斯现在是MIT的的教授。教授。计算机病毒的历史(3/4)p1991年在“海湾战争”中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至最后胜利
5、。p1996年首次出现针对微软公司Office的“宏病毒”。p1998年出现针对Windows95/98系统的病毒,如CIH。它主要感染Windows95/98的可执行程序,发作时破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。p1999年Happy99等完全通过Internet传播的病毒出现。计算机病毒的历史(4/4)p19871996年文档型病毒风光的时代已经结束,取而代之的是无声无息的Web 威胁。p例如“熊猫烧香”、“征途木马”和“QQ通行证”这类科技含量并不高明,但传播范围很广泛的Web病毒。p恶意程序代码可以经由很多方式让人们的生活陷入困境:它可
6、能会窃取使用者的名称与密码,或是下载木马产生器;它可以绑架计算机成为僵尸网络进行其它犯罪;它甚至可以产生大量的弹出式窗口,将使用者折磨到底。第一代病毒 p第一代病毒的产生年代通常认为在1986-1989年之间,这一期间出现的病毒称之为传统病毒,是计算机病毒的萌芽和滋生时期。p这一阶段的计算机病毒具有如下的一些特点:(1)病毒攻击的目标比较单一,有些传染磁盘引导扇区,有些传染可执行文件。(2)病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染。(3)病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加、文件建立的日期和时间发生变化等等。这
7、些特征容易被人工或查毒软件所发现。(4)病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件。第二代病毒 p第二代病毒又称为混合型病毒,其产生的年代在1989-1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段。(1)病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传染可执行文件。(2)病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标。(3)病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被传染文件原来的建立日期和时间等等。(4)病毒程序往往采取
8、了自我保护措施,如加密技术、反跟踪技术,制造各种障碍,增加人们解剖、分析病毒的难度,也增加了病毒的发现与杀除难度。(5)出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大。第三代病毒 p第三代病毒的产生是从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒。p所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,侵入宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点。第四代病毒p90年代中后期,随着因特网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限
9、制,首先通过广域网传播至局域网内,再在局域网内传播扩散。p随着因特网的普及,电子邮件的使用,以及Office系列办公软件被广泛应用,夹杂于电子邮件内的Office宏病毒成为当时病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂,加上微软对文档结构没有公开,给直接基于文档结构清除宏病毒带来了诸多不便。p这一时期的病毒的最大特点是利用Internet作为其主要传播途径,传播对象从传统的引导型和依附于可执行程序文件而转向流通性更强的文档文件中。因而,病毒传播快、隐蔽性强、破坏性大。这些都给病毒防治带来新的挑战。新一代病毒p人类历史进入二十一世纪以来,互联网渗入每一户人家,网络成为人们日常生活和工作的
10、不可缺少的一部分。一个曾经未被人们重视的病毒种类遇到适合的滋生环境而迅速蔓延,这就是蠕虫病毒。p蠕虫病毒是一种利用网络服务漏洞而主动攻击的计算机病毒类型。与传统病毒不同,蠕虫不依附在其它文件或媒介上,而是独立存在的病毒程序,利用系统的漏洞通过网络主动传播,可在瞬间传遍全世界。p蠕虫已成为目前病毒的主流。1.3 计算机病毒的危害计算机病毒的危害 p美国Techweb网站评出了20年来,破坏力最大的10种计算机病毒,可以看到这些病毒给人类社会的发展带来巨大的经济损失:pCIH(1998年)该计算机病毒存在于Windows 95/98以EXE为后缀的可行性文件中。它不但会破坏计算机硬盘中的信息,而且
11、还会破坏BIOS,使系统无法启动,从而很难杀除。由于染毒的BIOS无法启动系统,故障现象与主板硬件损坏一样,所以CIH病毒被认为是第一个破坏计算机硬件系统的病毒。CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。p梅利莎(Melissa,1999年)这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000
12、的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器,因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿6亿美元的损失。pI love you(2000年)2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Windows 95/98/2000为主。给全球带来100亿-150亿美元的损失。p红色代码(Code Red,2001年
13、)该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。2001年7月13日爆发,给全球带来26亿美元损失。pSQL Slammer(2003年)该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。p冲击波(Blaster,2003年)该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Window
14、s2000或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。p大无极.F(Sobig.F,2003年)Sobig.f是一个利用互联网进行传播的病毒,当其程序被执行时,它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后,Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑
15、中找到的所有邮件地址,它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在2003年8月19日爆发,为此前Sobig变种,给全球带来50亿-100亿美元损失。p贝革热(Bagle,2004年)该病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失。pMyDoom(2004年)MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可
16、以上载并执行任意代码的后门。2004年1月26日爆发,在高峰时期,导致网络加载时间慢50%以上。pSasser(2004年)该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞(MS04-011漏洞信息)进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发,给全球带来数千万美元损失。1.4 计算机病毒的主要特性计算机病毒的主要特性p可执行性p隐蔽性p传染性p潜伏性p破坏性p可触发性2 计算机病毒的种类计算机病毒的种类2.1 文件型病毒 2.2 引导型病毒 2.3 宏病毒 2.4 网页脚本程序病毒 2.5 蠕虫 2.6
17、 特洛伊木马 2.1 文件型病毒 p文件型病毒是一种古老的病毒类型,病毒程序代码依附在一个可执行文件里面,通过修改程序文件入口地址,在启动程序文件时首先执行病毒程序代码,病毒代码通过修改系统中断的方法控制计算机系统后,再继续执行正常的程序代码,使用户察觉不到计算机病毒的存在。p病毒程序代码:嵌入正常可执行文件中。p病毒代码执行方法:执行程序时被“搭车”启动。p杀毒方法:将病毒代码从程序中剥离。2.2 引导型病毒 p引导型病毒也是一种古老的病毒类型。p引导型病毒侵占主引导区后,将原主引导程序移动到其它空闲扇区中。计算机系统启动时,BIOS自动执行主引导区内的病毒程序,病毒程序控制了计算机系统之后
18、再执行移到空闲扇区内的正常引导程序,使系统在病毒程序控制下启动。p病毒程序代码:替换正常的引导区程序,将正常引导程序移动到空闲扇区。p病毒代码执行方法:系统启动时自动被启动。p杀毒方法:用正常引导区程序覆盖被感染的引导区。2.3 宏病毒 p如果病毒程序利用宏的功能隐藏到Office文档中,就称为宏病毒。p建立宏的方法有两种,自动录制和使用VB脚本编写宏代码。p自动录制宏的方法比较简单,启动录制宏功能之后,Office系统会自动记录用户所做的一切操作,并将操作自动生成VB脚本的宏代码。这种自动录制宏的方法操作简单,易于实现,为广大Office用户广泛使用。p另一种建立宏的方法是直接使用VB脚本编
19、写宏代码。这种方法需要一定的计算机编程知识,不易被普通用户所掌握。但使用这种方法可以编制出各种功能强大的脚本程序,甚至可以编制出病毒程序。p在Office的宏中有一类宏叫做自动宏。当文档被打开后自动宏就会自动被启动,如果文档中含有自动宏病毒,打开文档的同时自动宏中的病毒程序就会被执行,使计算机系统被病毒所控制,从而造成病毒的进一步扩散或对系统进行破坏。p由于宏代码结构简单,容易学习和掌握,不需要很高深的计算机知识,只要略懂VB脚本语言的人都可以编写出宏病毒程序,因此在一段时期内宏病毒广泛传播,成为一个时期的主要病毒类型。p病毒程序代码:使用VB脚本编制,藏匿于宏命令中。p病毒代码执行方法:文档
20、被打开时由Office执行。p避免感染方法:禁用自动宏。2.4 网页脚本程序病毒 p脚本,是使用一种特定的描述性语言,依据一定的格式编写的可执行文本,又称作宏或批处理文件。脚本通常可以由应用程序临时调用并执行。各类脚本目前被广泛地应用于网页设计中,因为脚本不仅可以减小网页的规模和提高网页浏览速度,而且可以丰富网页的表现,如动画、声音等。p网页脚本程序病毒以脚本代码的形式藏匿于网页中,用户浏览网页时由浏览器对脚本代码进行解释及执行,一旦用户浏览含有脚本病毒的网页,病毒程序将被执行并控制计算机系统,并将病毒脚本传染到本机其它网页文件中。p用户也可以在客户机对浏览器进行合理配置,禁止脚本程序的运行,
21、可以阻止脚本病毒的感染。方法是:IE浏览器、工具菜单、Internet选项、安全选项卡、自定义级别、安全设置,选中脚本选项,将脚本程序禁用,即可阻止脚本病毒的感染,但也会阻拦正常的脚本程序,使网站功能收到影响。p病毒程序代码:以脚本程序的形式存在于服务器网页文件中。p病毒代码执行方法:浏览器浏览网页时将代码下载并在客户机上执行。p预防方法:禁止或限制浏览器执行脚本程序。2.5 蠕虫 p蠕虫病毒和一般传统的病毒有着很大的区别。蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合等等
22、。蠕虫病毒的特点 p不依附于文件或磁盘扇区p利用系统漏洞进行传播p通过修改注册表启动或直接诱使用户点击启动p蠕虫病毒的杀除方法更简单,直接删除蠕虫病毒文件即可。p病毒程序代码:以独立文件的形式存在,利用系统漏洞以文件复制的方式传播。p病毒代码执行方法:诱惑用户点击执行或修改注册表而自动启动。p杀毒方法:直接删除病毒程序文件。2.6 特洛伊木马 p特洛伊木马,简称木马,其本质上不能算作病毒程序,它往往不具备病毒所特有的传染性,但是它对计算机系统和网络的破坏作用巨大,而且现在很多木马与病毒程序相结合,同时具有木马和病毒的特征,所以,通常也把它归类为病毒。p计算机世界中的特洛伊木马程序就如同特洛伊木
23、马,将一段恶意代码隐藏在正常程序中,用户使用程序时木马代码悄悄控制住计算机系统,窃取计算机中的秘密,如:记录被攻击计算机的键盘操作和屏幕显示信息,此法很容易获得用户得到登录账户和密码。木马程序在获得对方秘密后常采用电子邮件或其它方式将窃得的机密信息传输给远方的木马操控者。p木马程序通常分为服务器和客户端两个部分。客户端由病毒的操控者掌握,而服务器端被埋藏于被攻击的计算机中,并诱使被攻击者执行木马程序,这一点与蠕虫病毒很象。p木马程序的主要目的是窃取计算机中的秘密并安全的发送给木马的操控者,而传染性不是木马的主要目的。p怎样发现计算机中是否感染木马程序?最有效的方法是在计算机中安装个人防火墙软件
24、,监视所有的进出数据,如果发现有程序毫无道理的对外发送数据或自动发送电子邮件,可以怀疑可能有木马程序在。p木马程序代码:以独立文件的形式存在或依附于一个宿主文件。p木马代码执行方法:诱惑用户点击执行或修改注册表而自动启动。p杀除方法:直接删除木马程序文件。3 计算机病毒的查杀与防范方法计算机病毒的查杀与防范方法3.1 杀毒软件工作原理3.2 如何使用杀毒软件3.3 计算机病毒的预防 3.1 杀毒软件工作原理 目前常用的检测病毒方法有:p特征代码法p校验和法p行为监测法等 特征代码法p每一个病毒都是一段程序,每一个新病毒一定有一段与众不同的程序代码。这个与众不同的代码就构成这段程序的特征。通过分
25、析病毒程序,找出该病毒与众不同的特征代码,将其提取出来加入查毒软件病毒特征库,查毒软件在查毒过程中将每一个被检查的程序和病毒特征代码库中的病毒特征代码相比较,如果产生吻合就可以断定被检测的程序已被具有此种特征的病毒所感染。特征代码法的特点 p需要不断更新病毒代码特征库p检测准确快速p可识别病毒名称、可做杀毒处理p不能检测未知的病毒p随着病毒数量的增多,查毒开销很大校验和法p软件作者在制作出软件后,计算出软件的校验和件,并将校验和与软件一起发布。如果软件被病毒所感染,校验和就会发生变化,软件使用者或杀毒软件根据软件的校验和是否发生变化判断软件是否被病毒所感染。校验和法的特点 p可以发现未知病毒p
26、不能判断病毒的类型和名称,不能杀除病毒p误报率较高行为监测法p利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。p病毒程序要进行传染与破坏,传染与破坏行为是正常软件所不应有的,当程序运行时,监视其行为,如果发现了病毒行为,即可判定此程序已被病毒所感染,立即报警。行为监测法的特点p可以发现未知病毒p不能判断病毒的类型和名称,不能杀除病毒p误报率较高3.2 如何使用杀毒软件p国际著名杀毒软件公司或产品有:卡巴斯基、诺顿、McAfee等p国内著名杀毒软件公司或产品有:瑞星、江民、金山毒霸等p现代杀毒软件所采用的查毒、杀毒技术大同小异,工作原理与使用方法基本相同 p以国际著名品牌卡巴斯基为例介
27、绍杀毒软件的安装、配置与使用方法p卡巴斯基(Kaspersky)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件之一,查杀病毒性能高。它提供了所有类型的抗病毒防护:抗病毒扫描仪,监控器,行为阻断和完全检验。它支持几乎是所有的普通操作系统、e-mail通路和防火墙。卡p巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和IT出版机构的证书,确认了卡巴斯基具有汇集行业最高水准的突出品质。p卡巴斯基目前与安全卫士360合作,安装安全卫士360后可以获得卡巴斯基半年的使用权。也可以到卡巴斯基官方网站下载30天试用期的试用版。p卡巴斯基可供免费试用的查毒产品主要有2种,即卡巴斯基反病毒软件6.
28、0个人版和卡巴斯基互联网安全套装6.0个人版,二者区别不大。前者仅提供查杀病毒,后者还提供了网络安全功能。p卡巴斯基的安装 p卡巴斯基的配置与使用 3.3 计算机病毒的预防p文件型病毒代码寄生在可执行程序文件上,程序启动后病毒控制计算机系统并感染其他程序文件。p防范方法:不要启动来历不明的程序,安装杀毒软件,对所有新进的文件进行扫描。p引导型病毒隐藏在系统磁盘主引导区内,启动系统时控制计算机系统。p防范方法:使用未感染病毒的磁盘启动系统,在系统健康时备份系统盘主引导区,被引导型病毒感染后使用健康的系统引导区备份数据恢复系统盘主引导区。使用杀毒软件扫描系统盘的引导区。p宏病毒寄生在Office文
29、档的自动宏代码中,启动Office文档时宏被启动。p防范方法:禁止Office文档自动宏,使用杀毒软件检查Office文档。p禁用自动宏的方法:打开Office文档时按住Shift键,即可阻止自动宏的运行。p也可在Office2003中,打开“工具”菜单,选择“选项”命令,打开选项对话框,选择“安全性”选项卡,点击“宏安全性”按钮。p网页脚本病毒隐藏在网站服务器中的网页文件中,浏览网页时被下载到本地执行。p防范方法:一般服务器上的病毒无法在本地处理,所以防范网页病毒只能在本地计算机中采取措施,阻止病毒代码的下载和执行。可在本地计算机中设置IE安全选项,在IE菜单栏里“Internet 选项”安
30、全选项卡里,点击“自定义级别”按钮。把“ActiveX控件及插件”的一切设为禁用。p蠕虫病毒利用操作系统或网络软件的设计漏洞进行攻击,常将病毒代码通过系统漏洞传入被攻击计算机系统,并通过修改注册表的方法自动启动。p防范方法:及时下载并安装系统补丁,修补系统设计漏洞。检查注册表中有关自动启动的键,如果发现异常键值即可怀疑系统被蠕虫病毒所感染,通过人工判断,入判为病毒可删除该键值即可阻止蠕虫病毒的启动。p也可通过杀毒软件对整个系统磁盘进行扫描,检查蠕虫病毒的入侵。p安装个人防火墙软件可阻拦部分蠕虫病毒的入侵。p特洛伊木马的特性与蠕虫病毒有很多相似之处,可以采用防范蠕虫病毒的方法防范特洛伊木马。也可
31、安装个人防火墙监视计算机对网络的访问行为,及时发现并阻拦木马对计算机系统信息的窃取。p许多杀毒软件已把特洛伊木马列入病毒类程序,安装杀毒软件也可查出并删除特洛伊木马程序。1、XP进程介绍(1/3)p1.System Microsoft Windows系统进程p2.smss.exe 这是一个会话管理子系统,负责启动用户会话。p3.csrss.exe 子系统服务器进程,维护Windowsp4.winlogn.exe Windows Logon Process,Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全
32、对话框。p5.LSASS.exe:本地的安全授权服务p描 述:这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE)和 IP 安全驱动程序等。XP进程介绍(2/3)p6.services.exe 管理Windows服务。命令:services.mscp介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%system32service.exe p7.svchost.exe 动态连接库主机处理服务.p介 绍:Svchost.exe文件对那些从动态连接库中运行的服务
33、来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。XP进程介绍(3/3)p1.system Idle Process pWindows页面内存管理进程,该进程拥有0级优先。它作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。p2.Explorer.exe:资源管理器。p3.Spoolsv.exe:管
34、理缓冲区中的打印和传真作业。p4.kernel32.dll Windows壳进程 描 述:Windows壳进程用于管理多线程、内存和资源。强制结束进程命令:ntsd-c q-p 进程PID号Hijackthisphijackthis是一款很方便的分析工具,大部分木马、流氓软件、广告软件、浏览器被劫持时都可以通过hijackthis进行分析,手工修复。pBHO(Browser Helper Object,浏览器辅助对象,简称BHO)pBHO是微软推出的作为浏览器对第三方程序员开放交互接口的业界标准,通过简单的代码就可以进入浏览器领域的“交互接口”(INTERACTIVED Interface)。
35、通过这个接口,程序员可以编写代码获取浏览器的行为,比如“后退”、“前进”、“当前页面”等,利用BHO的交互特性,程序员还可以用代码控制浏览器行为,比如修改替换浏览器工具栏,添加自己的程序按钮等。这些在系统看来都是没有问题的。BHO原来的目的是为了更好的帮助程序员打造个性化浏览器,以及为程序提供更简洁的交互功能,现在很多IE个性化工具就是利用BHO的来实现。2、XP注册表介绍XP注册表介绍pHKEY_CLASSES_ROOT 文件关联.scr pHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFold
36、erHiddenpHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunpHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncepHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon3、中毒后的处理方法p查处可疑进程p杀掉病毒进程p删除病毒文件p清除病毒的启动方法p在系统上全盘杀毒或在dos、安全模式下全盘杀毒p清除病毒的特殊方法:p系统修复工具p删除文件工具p恢复病毒删除的文件
37、4、硬盘数据的恢复pEasyRecoverypFinalDatap数据修复过程(1)数据备份。主要包括物理0磁道各扇区、各分区逻辑0磁道、FAT和根目录区等,再配以GHOST备份各分区的数据区。(2)分析。分析该硬盘的主引导扇区MBR、各分区的引导扇区DBR、FAT及根目录区。(3)寻找原有分区。(4)重建主分区表。计算出主分区表,包括各分区的起始、结束扇区、分区大小、分区类型等。算出结果后,改写0磁道1扇区的主分区表。(5)重启系统。简介:U 盘病毒又称 Autorun 病毒,是通过 AutoRun.inf 文件使对方所有的硬盘完全共享或中木马的病毒。随着 U 盘,移动硬盘,存储卡等移动存储
38、设备的普及,U 盘病毒也随之泛滥起来。5、U盘病毒防治攻击原理:病毒首先向U盘写入病毒程序,然后更改文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么Window就会运行这个程序,引发病毒。一般病毒还会检测插入的U盘,并对其实行上述操作,导致一个新的病毒U盘的诞生。它会将所有根目录下和桌面上的文件夹全部隐藏,并将自己的副本命名为文件夹的名字。由于病毒的图标就是文件夹图标,如果没有显示扩展名的话很容易反复感染病毒。并且由于病毒的机理,会在硬盘上产生大量的病毒副本,即使副本被清理掉了,恢复隐藏的文件夹也是一件不容易的事情。清理方法:使
39、用文件夹病毒专杀工具 禁止自动播放功能开始 运行(win+R)gpedit.msc计算机配置管理模板系统关闭自动播放(在右侧)已启用所有驱动器应用、确定手动修改被隐藏的文件夹attrib指令的格式和常用参数为ATTRIB+R|-R+A|-A +S|-S+H|-H drive:path filename/S/D+设置属性。-清除属性。R 只读文件属性。A 存档文件属性。S 系统文件属性。H 隐藏文件属性。drive:pathfilename指定要处理的文件属性。/S 处理当前文件夹及其子文件夹中的匹配文件。/D 也处理文件夹。调出命令提示符:开始运行cmdU盘无法退出的解决方法:1、关闭所有相关
40、的软件,再次尝试安全删除2、注销计算机,再重新登录3、重启explorer进程(操作之前要保存并关闭未保存的文档)同时按下“Ctrl+Alt+Delete”键,出现任务管理器,选择“进程”,找到”explorer.exe”,结束进程,再在“文件”菜单选项下选择“新建任务”,输入explorer,回车即可重启explorer进程,此时再安全删除U盘。重启explorer进程本章要求p掌握计算机病毒的概念义p了解计算机病毒的发展史与危害p熟悉计算机病毒的主要特性p掌握计算机病毒的分类、查杀与防范方法。实验要求p根据课件内容,了解计算机病毒的原理和查杀技术。p了解宏病毒工作原理p了解U盘病毒工作原理p了解重要的XP系统进程。pHijackthis分析个人主机进程p瑞星杀毒软件的操作。p了解数据恢复过程。习题习题1 什么是计算机病毒?计算机病毒有哪些特性?2 计算机病毒有哪些种类?各类病毒代码是以何种形 式出现并如何被启动的?3 杀毒软件主要查毒方法有哪些?是如何发现病毒 的?各种查毒方法有什么特点?4 为什么计算机感染病毒后再安装杀毒软件会出现无 法发现或杀除病毒的现象?这时如何才能彻底杀除 病毒?作业p提交报告一份,Hijackthis分析个人主机进程,判断各个进程的功能和安全性。
