系統(tǒng)安全與病毒防護(hù)11-12.ppt

第六講 系統(tǒng)安全與病毒防護(hù),曾凡光,本講問題 Q1、什么是病毒？列出幾種常見病毒。 Q2、如何更好地預(yù)防計(jì)算機(jī)病毒？ Q3、如何進(jìn)行DOS和安全模式下的殺毒？ Q4、 簡述Attrib命令的使用。 Q5、如何查看和終止進(jìn)程？ Q6、怎樣用msconfig命令使負(fù)擔(dān)沉重的系統(tǒng)減負(fù)？ Q7、怎樣制作U盤DOS啟動(dòng)盤？ Q8、怎樣制作殺毒U盤？,一、系統(tǒng)安全基本常識(shí) 二、如何更好地預(yù)防計(jì)算機(jī)病毒入侵 三、如何干凈地清除病毒 四、如何進(jìn)行DOS和安全模式下的殺毒 五、手工殺毒的幾個(gè)基本操作 六、典型案例,一、系統(tǒng)安全基本常識(shí),1、什么是計(jì)算機(jī)病毒 病毒是一種程序。有獨(dú)特的復(fù)制能力，具有傳染性，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳到另一個(gè)用戶時(shí)，它們就隨文件一起蔓延開來。 所以, 計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合. 常見病毒：木馬、蠕蟲、廣告軟件（Adware)、間諜軟件(Spyware)、瀏覽器劫持軟件等。,2、計(jì)算機(jī)安全注意事項(xiàng) 盡量不要在網(wǎng)上留下證明自己身份的資料。 盡量不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸. 不要輕信網(wǎng)上流傳的消息，尤其是中獎(jiǎng)消息。 如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項(xiàng)，不要僅僅通過網(wǎng)絡(luò)完成。 不要輕易瀏覽不良網(wǎng)站. 不要輕易安裝共享軟件、盜版軟件. 如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網(wǎng)站下載。 使用具有破壞性功能的軟件，如硬盤整理、分區(qū)軟件等，一定要仔細(xì)了解它的功能之后再使用，避免因誤操作產(chǎn)生不可挽回的損失。,二、如何更好地預(yù)防計(jì)算機(jī)病毒,有病治病，無病預(yù)防。為了減少病毒的侵?jǐn)_，平時(shí)應(yīng)做到“三打三防”。,“三打” 就是安裝新的計(jì)算機(jī)系統(tǒng)時(shí)，要注意打系統(tǒng)補(bǔ)丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的，打好補(bǔ)丁就可以防止此類病毒感染；用戶上網(wǎng)的時(shí)候要打開殺毒軟件實(shí)時(shí)監(jiān)控，以免病毒通過網(wǎng)絡(luò)進(jìn)入自己的電腦；玩網(wǎng)絡(luò)游戲時(shí)要打開個(gè)人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料。,“三防” 就是防郵件病毒，用戶收到郵件時(shí)首先要進(jìn)行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站散播，用戶從網(wǎng)上下載任何文件后，一定要先進(jìn)行病毒掃描再運(yùn)行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過 MSN、 QQ等即時(shí)通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友有可能遭到病毒的入侵。,三、如何干凈地清除病毒,1 、在安全模式或純DOS模式下清除病毒 . 當(dāng)計(jì)算機(jī)感染病毒的時(shí)候，絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒。但有些病毒由于使用了更加隱匿和狡猾的手段，往往會(huì)對(duì)殺毒軟件進(jìn)行攻擊甚至是刪除系統(tǒng)中的殺毒軟件，針對(duì)這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計(jì)為在安全模式可安裝、使用、執(zhí)行殺毒處理。 在安全模式（Safe Mode）或者純DOS下進(jìn)行清除清除時(shí)，對(duì)于現(xiàn)在大多數(shù)流行的病毒，如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等，都可以在安全模式或DOS下殺毒（建議用干凈軟盤啟動(dòng)殺毒）。而且，當(dāng)計(jì)算機(jī)原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級(jí)到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒！,安全模式殺毒流程 開機(jī)或重啟電腦進(jìn)入安全模式調(diào)用殺毒軟件查殺病毒 DOS模式殺毒流程 開機(jī)或重啟電腦進(jìn)入DOS模式在DOS下調(diào)用殺毒軟件查殺病毒,如何進(jìn)入安全模式 啟動(dòng)過程中按下F8鍵是最傳統(tǒng)也是最常用的方法：當(dāng)我們打開電腦電源，硬件完成自檢之后，立刻按下鍵盤上的F8鍵，你將看到如圖1所示的界面。這里列出了很多高級(jí)啟動(dòng)選項(xiàng)。在此安全模式又分為幾種，一般情況下我們選擇進(jìn)入普通的安全模式即可。 除了這種最常用的方法外，在計(jì)算機(jī)啟動(dòng)時(shí)按住Ctrl鍵不放，也可以以“安全模式”啟動(dòng)系統(tǒng)。,如何進(jìn)入DOS模式 制作DOS啟動(dòng)盤和DOS殺毒盤 用DOS啟動(dòng)光盤 由啟動(dòng)選項(xiàng)進(jìn)DOS 用虛擬軟驅(qū) U盤啟動(dòng)盤,USBOOT 1.7簡介,U盤殺毒簡介,由啟動(dòng)選項(xiàng)進(jìn)DOS,由虛擬軟驅(qū)進(jìn)DOS,制作殺毒U盤,現(xiàn)在許多的殺毒軟件都具有制作殺毒U盤的功能，下面以瑞星為例，做個(gè)殺毒U盤。 瑞星殺毒軟件2007版：系統(tǒng)中已安裝了瑞星殺毒軟件2007版，點(diǎn)擊“開始程序瑞星殺毒軟件瑞星工具瑞星U盤殺毒工具”菜單項(xiàng)，按照制作向?qū)?，選擇“U盤驅(qū)動(dòng)器”，過程很簡單，這里就不多說了，復(fù)制病毒庫到U盤完成。完成后就可以用U盤進(jìn)行DOS下的殺毒了。 別的殺毒軟件也都有制作殺毒U盤的功能，制作方法也比較簡單，用法也都類似，大家可以到網(wǎng)上查找相關(guān)介紹。,2 、在Temporary Internet Files目錄下帶毒文件的清理 由于Windows 會(huì)對(duì)這個(gè)目錄下的文件有一定的保護(hù)作用，所以這里的帶毒文件即使在安全模式下也不能進(jìn)行清除，對(duì)于這種情況，請(qǐng)先關(guān)閉其他一些程序軟件，然后打開 IE ，選擇IE工具欄中的 “ 工具“Internet 選項(xiàng) “，選擇 “ 刪除文件 “ 刪除即可，如果有提示“ 刪除所有脫機(jī)內(nèi)容 “，也請(qǐng)選上一并刪除。,3 、在 _Restore 目錄下，*.cpy 文件中的帶毒文件 這是系統(tǒng)還原存放還原文件的目錄，只有在裝了Windows Me/XP 操作系統(tǒng)上才會(huì)有這個(gè)目錄，由于系統(tǒng)對(duì)這個(gè)目錄有保護(hù)作用，因此對(duì)于這種情況需要先取消“ 系統(tǒng)還原 ” 功能（我的電腦屬性），然后將帶毒文件刪除。,4 、加密的文件或目錄 對(duì)于一些加密了的文件或目錄，請(qǐng)?jiān)诮饷芎笤龠M(jìn)行病毒查殺。 5、對(duì)U盤等存儲(chǔ)介質(zhì)的殺毒 需注意介質(zhì)是否處于寫保護(hù)狀態(tài)。,四、常用DOS命令簡介,DIR CD DEL FDISK FORMAT SYS ATTRIB TASKLIST TASKKILL,DIR:顯示一個(gè)目錄下的文件和子目錄，是DOS中使用最廣泛的命令之一 。 參數(shù)：/P：在每個(gè)信息屏幕后暫停；/W：用寬列表格式； 用法1、dir /w 用法2、dir /p 用法3、dir /w/p,CD：顯示當(dāng)前目錄名或改變當(dāng)前目錄 CD是DOS中使用頻率最高的命令之一。主要是為了快速切換到另一盤符或目錄中，例如“CD G:Temp”可以快速跳轉(zhuǎn)到“G:Temp”目錄，使用“CD”可以退回到上一級(jí)目錄，而使用“CD”可以快速返回當(dāng)前盤的根目錄中。,DEL：刪除文件 DEL命令可以刪除一個(gè)或數(shù)個(gè)指定的文件（但無法刪除文件夾），如果鍵入“DEL *.*”命令將會(huì)刪除當(dāng)前路徑下所有文件，系統(tǒng)會(huì)給出確認(rèn)提示框請(qǐng)求確認(rèn)。如果你想刪除文件夾的話，可以使用DELTREE命令，這是一條外部命令。,FDISK：硬盤分區(qū) 這是一個(gè)極其危險(xiǎn)的DOS命令，它的作用是對(duì)硬盤進(jìn)行分區(qū)，使用后將丟失硬盤中所有的文件。新手不要輕易使用這條命令。 FORMAT：高級(jí)格式化 無論是硬盤還是軟盤，都必須進(jìn)行高級(jí)格式化后才能使用，F(xiàn)ORMAT命令的功能就是高級(jí)格式化磁盤，如果加上/s參數(shù)可以制作系統(tǒng)盤，加上/Q參數(shù)可執(zhí)行快速格式化。,SYS：傳遞系統(tǒng)文件 除了使用FORMAT /S命令來制作系統(tǒng)盤外，我們也可以使用SYS命令來傳遞系統(tǒng)文件，例如“C: SYS A:”就是將C盤的系統(tǒng)文件傳遞到A盤，這在安裝了多操作系統(tǒng)的計(jì)算機(jī)上恢復(fù)系統(tǒng)文件時(shí)特別有用。,五、手工殺毒的幾個(gè)基本操作,手工殺毒的基本程序：查看進(jìn)程發(fā)現(xiàn)病毒及可疑進(jìn)程終止進(jìn)程清理病毒及可疑進(jìn)程(注冊(cè)表中清理相關(guān)信息) 運(yùn)用任務(wù)管理器查看進(jìn)程信息 Attrib命令 查看和終止進(jìn)程,運(yùn)用任務(wù)管理器查看進(jìn)程信息,怎樣顯示PID信息：查看選擇列-PID,Attrib命令 attrib 設(shè)置文件屬性 用 法attrib 顯示所有文件的屬性 attrib +r或-r 文件名 設(shè)置文件屬性是否只讀 attrib +h或-h 文件名 設(shè)置文件屬性是否隱含 attrib +s或-s 文件名 設(shè)置文件屬性是否系統(tǒng)文件 attrib +a或-a 文件名 設(shè)置文件屬性是否歸檔文件 attrib /s 設(shè)置包括子目錄的文件在內(nèi)的文件屬性,查看和終止進(jìn)程,tasklist和taskkill tasklist能列出所有的進(jìn)程，和相應(yīng)的信息, tasklist /svc 顯示哪些進(jìn)程為系統(tǒng)所用。taskkill能查殺進(jìn)程，語法很簡單：taskkill /PID 程序的ID+命令參數(shù)。其中參數(shù) /f 表示強(qiáng)制關(guān)閉，/t表示指定終止與父進(jìn)程一起的所有子進(jìn)程，常被認(rèn)為是“樹終止”，同時(shí)會(huì)顯示父進(jìn)程和各個(gè)子進(jìn)程的PID。 也可以用另一種命令格式：taskkill /im 進(jìn)程名 +命令參數(shù),六、典型案例,如何解決雙進(jìn)程木馬 雙擊硬盤不能打開 瀏覽器被劫持的一個(gè)實(shí)例,案例一：查殺雙進(jìn)程木馬,某電腦中了某木馬，通過任務(wù)管理器查出該木馬進(jìn)程為“system.exe”，終止它后再刷新，它又會(huì)復(fù)活。進(jìn)入安全模式把c：windowssystem32system.exe刪除，重啟后它又會(huì)重新加載，怎么也無法徹底清除它。從此現(xiàn)象來看，中的應(yīng)該是雙進(jìn)程木馬。這種木馬有監(jiān)護(hù)進(jìn)程，會(huì)定時(shí)進(jìn)行掃描，一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會(huì)復(fù)活它。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視，互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個(gè)木馬文件。借助任務(wù)管理器的PID標(biāo)識(shí)可以找到木馬進(jìn)程。,調(diào)出Windows任務(wù)管理器，首先在“查看選擇列”中勾選“PID(進(jìn)程標(biāo)識(shí)符)”，這樣返回任務(wù)管理器窗口后可以看到每一個(gè)進(jìn)程的PID標(biāo)識(shí)。這樣當(dāng)我們終止一個(gè)進(jìn)程，它再生后通過PID標(biāo)識(shí)就可以找到再生它的父進(jìn)程。啟動(dòng)命令提示符窗口，執(zhí)行“taskkill /t /pid /f”命令,可以看到這次終止的進(jìn)程的PID，和它歸屬的父進(jìn)程的PID。返回任務(wù)管理器，通過查詢進(jìn)程PID找出父進(jìn)程的進(jìn)程名（如 internet.exe等 ），這就是木馬進(jìn)程的父進(jìn)程。,找到了元兇就好辦了，重新啟動(dòng)系統(tǒng)進(jìn)入安全模式，使用搜索功能找到木馬進(jìn)程及其父進(jìn)程 ，然后將它們刪除即可。前面無法刪除system.exe，主要是由于沒有找到其父進(jìn)程(且沒有刪除其啟動(dòng)鍵值)，導(dǎo)致重新進(jìn)入系統(tǒng)后internet.exe復(fù)活木馬。,案例二、雙擊硬盤不能打開,原因：病毒在驅(qū)動(dòng)器下面寫入了一個(gè)AutoRun.inf文件。 解決方法：(以D盤為例)： 開始-運(yùn)行-cmd（打開命令提示符） D:dir /a （沒有參數(shù)A是看不到的，A是顯示所有的意思） 此時(shí)你會(huì)發(fā)現(xiàn)一個(gè)autorun.inf文件 attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性，否則無法刪除 autorun.inf ， del autorun.inf 到這里還沒完，還需要清除注冊(cè)表中相關(guān)信息： 開始運(yùn)行regedit 編輯查找 “autorun“ 找到的第一個(gè)就是D盤的自動(dòng)運(yùn)行，刪除整個(gè)shell子鍵（注意：刪的時(shí)候一定要是shell這個(gè)子健，如果查找的是別的項(xiàng)或子鍵，一定不要亂刪?。?完畢。,小結(jié)：手工殺毒步驟,找出病毒進(jìn)程及其父、子進(jìn)程（進(jìn)程管理器、百度等） 找到病毒進(jìn)程所在位置（搜索計(jì)算機(jī)） 在安全模式中予以清除（也可在正常模式下先結(jié)束進(jìn)程后再予以清除）,或者在DOS狀態(tài)下解決.,案例三、瀏覽器被劫持的一個(gè)實(shí)例,癥狀 原來的IE圖標(biāo)被刪，換成這個(gè)仿冒的。,注意這個(gè)IE圖標(biāo)是internat explorar正常的應(yīng)該是internet explorer。,雙擊這個(gè)圖標(biāo)，彈出下面的窗口.用IE伴侶無法修復(fù)，找IE屬性又找不到。,解決方法：,1、根據(jù)地址欄的地址C:Program FilesHaozip 00258，找到對(duì)應(yīng)的文件夾,將該文件夾刪除。如果能用注冊(cè)表編輯器把里邊關(guān)于這個(gè)地址欄的項(xiàng)目刪除干凈效果更好。 2、打開C:Program FilesInternet Explorer，把里邊的IE圖標(biāo)發(fā)個(gè)桌面快捷方式。 3、刪除仿冒IE圖標(biāo)。 4、進(jìn)行IE設(shè)置。,小資料：“開始運(yùn)行”命令集錦,gpedit.msc-組策略 sndrec32-錄音機(jī) Nslookup-IP地址偵測器 explorer-打開資源管理器 tsshutdn-60秒倒計(jì)時(shí)關(guān)機(jī)命令 lusrmgr.msc-本機(jī)用戶和組 services.msc-本地服務(wù)設(shè)置 oobe/msoobe /a-檢查XP是否激活 notepad-打開記事本 cleanmgr-垃圾整理 logoff-注銷命令 net start messenger-開始信使服務(wù) compmgmt.msc-計(jì)算機(jī)管理 net stop messenger-停止信使服務(wù) conf-啟動(dòng)netmeeting dvdplay-DVD播放器 charmap-啟動(dòng)字符映射表,diskmgmt.msc-磁盤管理實(shí)用程序 calc-啟動(dòng)計(jì)算器 eventvwr.msc -事件查看 dfrg.msc-磁盤碎片整理程序 chkdsk.exe-