計算機(jī)病毒查殺方法.ppt

計算機(jī)病毒查殺,本章學(xué)習(xí)目標(biāo),掌握計算機(jī)病毒診斷知識 掌握殺毒引擎掃描算法 了解病毒診斷實(shí)驗(yàn) 理解計算機(jī)病毒清除知識,本章內(nèi)容： 計算機(jī)病毒的診斷 原理 方法 源碼分析 計算機(jī)病毒的清除 典型病毒的查殺,1 計算機(jī)病毒的診斷,內(nèi)容： 計算機(jī)病毒的診斷原理 計算機(jī)病毒的診斷方法 高速模式匹配 自動診斷的源碼分析,計算機(jī)病毒的診斷原理,用什么來判斷？ 染毒后的特征 常用方法： 比較法 校驗(yàn)和 掃描法 行為監(jiān)測法 行為感染試驗(yàn)法 虛擬執(zhí)行法 陷阱技術(shù) 先知掃描 分析法等等,比較法,比較法是用原始或正常的對象與被檢測的對象進(jìn)行比較。 手工比較法是發(fā)現(xiàn)新病毒的必要方法。 比較法又包括： 注冊表比較法 工具RegMon 弱點(diǎn):正常程序也操作注冊表 文件比較法 通常比較文件的長度和內(nèi)容兩個方面 工具FileMon 弱點(diǎn)：長度和內(nèi)容的變化有時是合法的 病毒可以模糊這種變化,內(nèi)存比較法 主要針對駐留內(nèi)存病毒 判斷駐留特征 中斷比較法 將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進(jìn)行比較 比較法的好處：簡單 比較法的缺點(diǎn)：無法確認(rèn)病毒，依賴備份,校驗(yàn)和法,首先，計算正常文件內(nèi)容的校驗(yàn)和并且將該校驗(yàn)和寫入某個位置保存。然后，在每次使用文件前或文件使用過程中，定期地檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。,優(yōu)點(diǎn)： 方法簡單 能發(fā)現(xiàn)未知病毒 被查文件的細(xì)微變化也能發(fā)現(xiàn) 缺點(diǎn)： 必須預(yù)先記錄正常態(tài)的校驗(yàn)和 會誤報警 不能識別病毒名稱 程序執(zhí)行附加延遲 不對付隱蔽性病毒。,掃描法,掃描法是用每一種病毒體含有的特定字符串（Signature）對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的病毒。 掃描器由兩部分組成： 特征串（Signature）和掃描算法（Scanner）,選擇代碼串的規(guī)則是： 代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會經(jīng)常變化的。 在保持唯一性的前提下，應(yīng)盡量使特征代碼長度短些，以減少時間和空間開銷。 代碼串一定要在仔細(xì)分析了程序之后才能選出最具代表性的，足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。 特征串必須能將病毒與正常的非病毒程序區(qū)分開。 例如:給定特征串為“E9 7C 00 10 ? 37 CB”，則“E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB”都能被識別出來.,其優(yōu)點(diǎn)包括： （1）當(dāng)特征串選擇得很好時，病毒檢測軟件讓計算機(jī)用戶使用起來方便快速，對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。 （2）不用專門軟件，用編輯軟件也能用特征串掃描法去檢測特定病毒。 （3）可識別病毒的名稱。 （4）誤報警率低。 （5）依據(jù)檢測結(jié)果，可做殺毒處理。,缺點(diǎn)： （1）當(dāng)被掃描的文件很長時，掃描所花時間也較多。 （2）不容易選出合適的特征串，有時會發(fā)出假警報。 （3）新病毒的特征串未加入病毒代碼庫時，老版本的掃毒程序無法識別出新病毒。 （4）懷有惡意的計算機(jī)病毒制造者得到代碼庫后，會很容易地改變病毒體內(nèi)的代碼，生成一個新的變種，使掃描程序失去檢測它的能力。 （5）容易產(chǎn)生誤警報。只要正常程序內(nèi)帶有某種病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的病毒體殘余，掃描程序仍會報警。 （6）不易識別變異類病毒。 （7）搜集已知病毒的特征代碼，費(fèi)用開銷大。 （8）在網(wǎng)絡(luò)上使用效率低。,行為監(jiān)測法,利用病毒的特有行為特性來監(jiān)測病毒的方法稱為行為監(jiān)測法。 常用行為： 占用INT 13H 修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量 對COM和EXE文件做寫入動作 寫注冊表 自動聯(lián)網(wǎng)請求 優(yōu)點(diǎn)：發(fā)現(xiàn)未知病毒 缺點(diǎn)：難度大、誤報警,感染實(shí)驗(yàn)法,這種方法的原理是利用了病毒的最重要的基本特征：感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。,1檢測未知引導(dǎo)型病毒的感染實(shí)驗(yàn)法 a.先用一張軟盤，做一個清潔無毒的系統(tǒng)盤，用DEBUG程序，讀該盤的BOOT扇區(qū)進(jìn)入內(nèi)存，計算其校驗(yàn)和，并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的 b.在這張實(shí)驗(yàn)盤上拷貝一些無毒的系統(tǒng)應(yīng)用程序。 c.啟動可疑系統(tǒng)，將實(shí)驗(yàn)盤插入可疑系統(tǒng)，運(yùn)行實(shí)驗(yàn)盤上的程序，重復(fù)一定次數(shù)。 d.再在干凈無毒機(jī)器上，檢查實(shí)驗(yàn)盤的BOOT扇區(qū)，可與原BOOT扇區(qū)內(nèi)容比較，如果實(shí)驗(yàn)盤BOOT扇區(qū)內(nèi)容已改變，可以斷定可疑系統(tǒng)中有引導(dǎo)型病毒。,2檢測未知文件型病毒的感染實(shí)驗(yàn)法 a.在干凈系統(tǒng)中制作一張實(shí)驗(yàn)盤，上面存放一些應(yīng)用程序，這些程序應(yīng)保證無毒，應(yīng)選擇長度不同，類型不同的文件（既有COM型又有EXE型）。記住這些文件正常狀態(tài)的長度和校驗(yàn)和。 b.在實(shí)驗(yàn)盤上制作一個批處理文件，使盤中程序在循環(huán)中輪流被執(zhí)行數(shù)次 c.將實(shí)驗(yàn)盤插入可疑系統(tǒng)，執(zhí)行批處理文件，多次執(zhí)行盤中程序。 d.將實(shí)驗(yàn)盤放人干凈系統(tǒng)，檢查盤中文件的長度和校驗(yàn)和，如果文件長度增加，或者校驗(yàn)和變化，則可斷定系統(tǒng)中有病毒。,對于Windows中的病毒，感染實(shí)驗(yàn)法檢測內(nèi)容會更多一些，例如，當(dāng)使用感染實(shí)驗(yàn)法檢測“廣外女生”木馬病毒時，可以采用如下步驟： 首先打開RegSnap，從file菜單選new，然后單擊OK按鈕，對當(dāng)前干凈的注冊表以及系統(tǒng)文件做一個記錄。如果木馬修改了其中某項，就可以分析出來了。備份完成之后把它存為Regsnp1.rgs。 在計算機(jī)上運(yùn)行感染了“廣外女生”病毒的文件，例如雙擊gdufs.exe，然后等一小會兒。如果此時發(fā)現(xiàn)正在運(yùn)行著的“天網(wǎng)防火墻”或“金山毒霸”自動退出，就很可能木馬已經(jīng)駐留在系統(tǒng)中了。, 重新打開RegSnap，從file菜單選new,然后單擊OK按鈕，把這次的snap結(jié)果存為Regsnp2.rgs。 從RegSnap的file菜單選擇Compare，在First snapshot中選擇打開Regsnp1.rgs，在Second snapshot中選擇打開Regsnp2.rgs，并在下面的單選框中選中Show modified key names and key values，然后單擊OK按鈕。這樣RegSnap就開始比較兩次記錄有什么區(qū)別了，當(dāng)比較完成時會自動打開分析結(jié)果文件Regsnp1-Regsnp2.htm。 為找出木馬的駐留位置以及在注冊表中的啟動項，看Regsnp1-Regsnp2.htm，若顯示如下信息：,Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 File list in C:WINNTSystem32*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 Total positions: 1,則表明兩次記錄中，沒有刪除注冊表鍵，修改了15處注冊表，新增加了一處注冊表鍵值，在C:WINNTSystem32目錄下面新增加了一個文件diagcfg.exe。這個文件非?？梢?，因?yàn)樵诒容^兩次系統(tǒng)信息之間只運(yùn)行了“廣外女生”這個木馬，所以有理由相信diagcfg.exe就是木馬留在系統(tǒng)中的后門程序。這時打開任務(wù)管理器，可以發(fā)現(xiàn)其中有一個diagcfg.exe的進(jìn)程，這就是木馬的原身。但這個時候千萬不要刪除diagcfg.exe，否則系統(tǒng)就無法正常運(yùn)行了。,木馬一般都會在注冊表中設(shè)置一些鍵值以便以后在系統(tǒng)每次重新啟動時能夠自動運(yùn)行。從Regsnp1-Regsnp2.htm中可以看到哪些注冊表項發(fā)生了變化，此時若看到： HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand Old value: String: %1 %* New value: String: C:WINNTSystem32diagcfg.exe %1 %*,則說明這個鍵值由原來的%1 %*被修改成了C:WINNTSystem32DIAGCFG.EXE %1 %*，這就使得以后每次運(yùn)行任何可執(zhí)行文件時都要先運(yùn)行C:WINNTSystem32 diagcfg.exe這個程序。 找出木馬監(jiān)聽的端口。使用fport可以輕松的實(shí)現(xiàn)這一點(diǎn)。在命令行中運(yùn)行fport.exe，可以看到：,C:toolfportfport FPort v1.33 TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. Pid ProcessPort Proto Path 584 tcpsvcs- 7TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 9 TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 13 TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 17 TCP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 19 TCP C:WINNTSystem32tcpsvcs.exe 836 inetinfo - 80 TCP C:WINNTSystem32inetsrvinetinfo.exe 408 svchost - 135 TCP C:WINNTsystem32svchost.exe,836 inetinfo - 443 TCP C:WINNTSystem32inetsrvinetinfo.exe 8System - 445 TCP 464 msdtc - 1025 TCP C:WINNTSystem32msdtc.exe 684 MSTask - 1026 TCP C:WINNTsystem32MSTask.exe 584 tcpsvcs - 1028 TCP C:WINNTSystem32tcpsvcs.exe 836 inetinfo - 1029 TCP C:WINNTSystem32inetsrvinetinfo.exe 8System - 1030 TCP 464 msdtc - 3372 TCP C:WINNTSystem32msdtc.exe 1176 DIAGCFG - 6267 TCP C:WINNTSystem32DIAGCFG.EXE /* 注意這行！ */,836 inetinfo - 7075 TCP C:WINNTSystem32inetsrvinetinfo.exe 584 tcpsvcs - 7 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 9 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 13 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 17 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 19 UDP C:WINNTSystem32tcpsvcs.exe 584 tcpsvcs - 68 UDP C:WINNTSystem32tcpsvcs.exe 408 svchost - 135 UDP C:WINNTsystem32svchost.exe 8 System - 445 UDP 228 services - 1027 UDP C:WINNTsystem32services.exe 836 inetinfo - 3456 UDP C:WINNTSystem32inetsrvinetinfo.exe,虛擬執(zhí)行法,為了檢測多態(tài)性病毒，提出了虛擬執(zhí)行法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行。 如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時，啟動虛擬執(zhí)行模塊，監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼以后，再運(yùn)用特征代碼法來識別病毒的種類。,分析法,人工智能陷阱技術(shù)和宏病毒陷阱技術(shù),人工智能陷阱是一種監(jiān)測計算機(jī)行為的常駐式掃描技術(shù)。它將所有計算機(jī)病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用者。 這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡便，且可以偵測到各式計算機(jī)病毒。 其缺點(diǎn)就是程序設(shè)計難度大，且不容易考慮周全。在這千變?nèi)f化的計算機(jī)病毒世界中，人工智能陷阱掃描技術(shù)是一個具有主動保護(hù)功能的技術(shù)。 宏病毒陷阱技術(shù)結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來偵測已知及未知的宏病毒。其中，配合OLE2技術(shù)，可將宏與文件分開，加快掃描速度，而且可以有效地將宏病毒徹底清除。,先知掃描法,先知掃描技術(shù)將專業(yè)人員用來判斷程序是否存在計算機(jī)病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，再利用軟件模擬技術(shù)（Software Emulation）偽執(zhí)行新的計算機(jī)病毒，超前分析出新計算機(jī)病毒代碼，對付未知的計算機(jī)病毒。,利用原始備份和被檢測程序相比較的方法適合于不需專用軟件，可以發(fā)現(xiàn)異常情況的場合，是一種簡單的基本的病毒檢測方法； 掃描特征串和識別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機(jī)用戶使用，方便而又迅速，但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況，需要與分析和比較法相結(jié)合； 分析病毒的方法主要是由專業(yè)人員識別病毒，研制反病毒系統(tǒng)時使用，要求較多的專業(yè)知識，是反病毒研究不可缺少的方法。,計算機(jī)病毒的診斷方法,手工檢測 工具軟件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等） 優(yōu)點(diǎn)：Aver發(fā)現(xiàn)并分析新病毒 缺點(diǎn)：不可能普及 自動檢測 自動檢測是指通過一些自動診斷軟件來判斷系統(tǒng)是否有毒的方法。 優(yōu)點(diǎn)：易于普及 缺點(diǎn)：滯后性,高速模式匹配,查找的速度是評價一個查毒引擎的關(guān)鍵因素之一。 算法種類： 單模式匹配算法：KMPQSBM等 多模式匹配算法：DFSA基于二叉樹的算法 問題描述 設(shè)待處理（動態(tài)）文本為 單模式匹配是從文本中查找一個模式串 多模式匹配就是通過一次查找從文本中發(fā)現(xiàn)多個P1,P2,.,Pq,最簡單的查找算法BF算法,Brute-Force算法匹配過程,單模式匹配BM算法,bad-character位移，字符a在P中出現(xiàn),bad-character位移，字符a在P中不出現(xiàn),計算公式,good-suffix位移，只有u的前綴v在P中重現(xiàn),good-suffix位移，u的一次重現(xiàn)且其前一個字符與b不同,首先定義兩個條件： cond1(j,s): 對每個k, jkm, s k 或者Pk-s=Pk cond2(j,s):如果 sj 那么， 然后對于 最后，取兩者最大值作為右移值,經(jīng)典多模式匹配DFSA算法,1. DFSA算法的預(yù)處理過程 (1) 轉(zhuǎn)向函數(shù)g（state1, char） - state2 模式集合he，she，his，hers,(2) 失效函數(shù)f 當(dāng)發(fā)生字符失配時，失效函數(shù)指明下一個應(yīng)處理的狀態(tài)。規(guī)定： 所有第一層狀態(tài)的失效函數(shù) ； 對于非第一層的狀態(tài)s，若其父狀態(tài)為r（存在某個字符a, g(r,a)=s），其失效函數(shù)為 ，狀態(tài) 為追溯狀態(tài)s的祖先狀態(tài)所得到的最近一個使 存在的狀態(tài)。,(3) 輸出函數(shù)output Output(s) = 根節(jié)點(diǎn)到葉子節(jié)點(diǎn)路徑上字符組成的字符串 當(dāng)f(s)=s時， output(s) U= output(s),2. DFSA算法的查找過程 （1） 從有限自動機(jī)的0狀態(tài)出發(fā)，逐個取出P中模式Pk中的字符c，并按轉(zhuǎn)向函數(shù)g(s, c)或失效函數(shù)f(s)進(jìn)入下一狀態(tài)。 （2） 當(dāng)輸出函數(shù)output(s)不為空時，輸出output(s)。 用有限自動機(jī)掃描文本串“ushers”的過程： 開始為0狀態(tài)，因g(0,u)=0，g(0,s)=3，g(3,h)=4，g(4,e)=5，而output(5)=he，she，故輸出he，she； 因f(5)=g(f(4),e)=2，g(2,r)=8，g(8,s)=9，output(9)=hers，故輸出hers。 即文本串“ushers”中含有he，she，hers這三個模式串。,掃描引擎的結(jié)構(gòu),自動診斷的源碼分析,討論自動診斷病毒（查毒）的最簡單方法特征碼掃描法 自動診斷程序至少要包括兩個部分： 病毒特征碼（Virus Pattern Virus Signature）庫 掃描引擎（Scan Engine）。 病毒特征碼 意義重大 獲得方法 手工 自動,掃描引擎 是殺毒軟件的精華部分 考慮殺毒速度 待殺毒文件的類型 支持的硬盤格式 其他特殊技術(shù) 虛擬執(zhí)行 行為識別等等,簡單的查毒程序,VirScan是一個簡單的示例程序，其功能： 根據(jù)病毒特征碼發(fā)現(xiàn)特定病毒（CIH和Klez）。 VirScan從程序入口點(diǎn)開始查找病毒特征碼。 對抗Klez病毒會卸載殺毒引擎的功能。 CIH病毒不會動態(tài)地改變程序入口點(diǎn)處的標(biāo)記，我們可以自接從入口點(diǎn)處開始。 Klez病毒會動態(tài)的改變程序入口點(diǎn)處的前16個字節(jié)，所以，VirScan跳過了前16個字節(jié)。,構(gòu)造病毒庫virus.pattern,病毒庫virus.pattern的結(jié)構(gòu)如下： Klez = A1, 00, 00, 00, 00, 50, 64, 89, 25, 00, 00, 00, 00, 83, EC, 58, 53, 56, 57, 89; Cih = 55, 8D, 44, 24, F8, 33, DB, 64, 87, 03;,初始化病毒庫,轉(zhuǎn)化函數(shù)： 字符-55； 數(shù)字-30 經(jīng)過轉(zhuǎn)換后的格式為： unsigned char KlezSignature=0xA1, 0x00, 0x00, 0x00, 0x00, 0x50, 0x64, 0x89, 0x25, 0x00, 0x00, 0x00, 0x00, 0x83, 0xEC, 0x58, 0x53, 0x56, 0x57, 0x89; unsigned char CihSignature=0x55, 0x8D, 0x44, 0x24, 0xF8, 0x33, 0xDB, 0x64, 0x87, 0x03;,保護(hù)VirScan程序,首先，編寫一個普通的DLL，該DLL將導(dǎo)出一個名字為DontAllowForDeletion的函數(shù)。 BOOL WINAPI DontAllowForDeletion(LPSTR Str) HANDLE hFile; if(hFile=CreateFile(Str, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_READONLY, NULL) =INVALID_HANDLE_VALUE) return FALSE; return TRUE; 然后，在VirScan的啟動時，調(diào)用DLL的導(dǎo)出函數(shù)，實(shí)現(xiàn)對VirScan程序的保護(hù)。 DontAllowDeletion = (DLLFUNC *)GetProcAddress(hLib, “DontAllowForDeletion“); DontAllowDeletion(TmpPath); /TmpPath為VirScan在系統(tǒng)中的物理位置,病毒查找模塊,查找前需要定位文件、定位PE入口 /查找Klez SetFilePointer(hFile, pCodeBytes+16, NULL, FILE_BEGIN); ReadFile(hFile, pBytes, sizeof(KlezSignature), ,/查找CIH病毒 SetFilePointer(hFile, pCodeBytes, NULL, FILE_BEGIN); ReadFile(hFile, pBytes, sizeof(CihSignature), 演示程序,2 計算機(jī)病毒的清除,清除病毒：將感染病毒的文件中的病毒模塊摘除，并使之恢復(fù)為可以正常使用的文件的過程稱為病毒清除. 殺毒的不安全因素： 清除過程可能破壞文件 有的需要格式化才能清除 清除的方法分類 引導(dǎo)型病毒的清除原理 文件型病毒的清除原理 特殊病毒的清除原理,引導(dǎo)型病毒的清除原理,引導(dǎo)型病毒感染時的破壞行為有： （1）硬盤主引導(dǎo)扇區(qū)。 （2）硬盤或軟盤的BOOT扇區(qū)。 （3）為保存原主引導(dǎo)扇區(qū)、BOOT扇區(qū)，病毒可能隨意地將它們寫入其他扇區(qū)，而毀壞這些扇區(qū)。 （4）引導(dǎo)型病毒發(fā)做，執(zhí)行破壞行為造成種種損壞。 根據(jù)感染和破壞部位的不同，可以分以下方法進(jìn)行修復(fù)：,第一種：硬盤主引導(dǎo)扇區(qū)染毒，是可以修復(fù)的。 （1）用無毒軟盤啟動系統(tǒng)。 （2）尋找一臺同類型、硬盤分區(qū)相同的無毒機(jī)器，將其硬盤主引導(dǎo)扇區(qū)寫入一張軟盤中。將此軟盤插入染毒機(jī)器，將其中采集的主引導(dǎo)扇區(qū)數(shù)據(jù)寫入染毒硬盤，即可修復(fù)。 第二種：硬盤、軟盤BOOT扇區(qū)染毒也可以修復(fù)。 尋找與染毒盤相同版本的無毒系統(tǒng)軟盤，執(zhí)行SYS命令，即可修復(fù)。,第三種：引導(dǎo)型病毒如果將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入根目錄區(qū)，被覆蓋的根目錄區(qū)完全損壞，不可能修復(fù)。 第四種：如果引導(dǎo)型病毒將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入第一FAT表時，第二FAT表未破壞，則可以修復(fù)。 可將第二FAT表復(fù)制到第一FAT表中。 第五種：引導(dǎo)型病毒占用的其他部分存儲空間，一般都采用“壞簇”技術(shù)和“文件結(jié)束簇”技術(shù)占用。這些被空間也是可以收回的。,文件型病毒的消毒原理,覆蓋型文件病毒清除 該型病毒是一種破壞型病毒，由于該病毒硬性地覆蓋掉了一部分宿主程序，使宿主程序被破壞，即使把病毒殺掉，程序也已經(jīng)不能修復(fù)。 覆蓋型外的文件病毒 原則上都可以被清除干凈 根據(jù)感染的逆過程來清除,清除交叉感染病毒,交叉感染：有時一臺計算機(jī)內(nèi)同時潛伏著幾種病毒，當(dāng)一個健康程序在這個計算機(jī)上運(yùn)行時，會感染多種病毒，引起交叉感染。 清除的關(guān)鍵： 搞清楚多種病毒的感染順序 按感染先后次序的逆序清楚,感染順序： 病毒1 -病毒2 -病毒3 在殺毒時： 病毒3 -病毒2 -病毒1,計算機(jī)病毒的清除方法,手工清除病毒的方法使用Debug、Regedit、SoftICE和反匯編語言等簡單工具進(jìn)行跟蹤，清除的方法。 優(yōu)點(diǎn)：可以處理新病毒或疑難病毒（Worm等） 缺點(diǎn)：需要高技術(shù)，復(fù)雜 自動清除病毒方法使用殺毒軟件自動清除染毒文件中的病毒代碼，使之復(fù)原。 優(yōu)點(diǎn)：方便，易于普及 缺點(diǎn)：滯后、不能完全奏效,針對典型病毒的查殺方法,Outlook漏洞病毒的查殺 惡意代碼查殺方法 宏病毒查殺方法 清除W32.Spybot.Worm蠕蟲病毒,Outlook漏洞病毒的查殺,Outlook漏洞病毒的查殺原理很簡單，只要在附件或郵件體中搜索特定代碼就可以。 但郵件病毒查殺的關(guān)鍵是時效性，即實(shí)時攔截郵件并處理。 病毒引擎的位置： 服務(wù)器端（SMTP Server） 反垃圾郵件系統(tǒng) 客戶端（Outlook, FoxMail）綁定 Add-in 客戶端獨(dú)立程序 各種殺毒軟件、其他客戶端反垃圾軟件(郵件狗),服務(wù)器端技術(shù),客戶端綁定技術(shù)（Outlook為例）,1.引入三個對象 #import “C:Program FilesCommon FilesDesignermsaddndr.dll“ #import “D:Microsoft OfficeOfficeMso9.dll“ #import “D:Microsoft OfficeOfficeMsoutl9.olb“ 連接到Outlook, 監(jiān)視一些事件,if(m_outlook.CreateInstance(_uuidof(Outlook:Application) = S_OK) Outlook:_InspectorsPtr inspectors; /獲得inspectors if(m_outlook-get_Inspectors( ,當(dāng)郵件在一個獨(dú)立的窗口打開時，觸發(fā)下列事件 void COutlooksampleDlg:NewInspector(IDispatch *disp) / 給該郵件一個事件 new CEventSink(*this,disp); ,/當(dāng)郵件顯示在預(yù)覽窗口時 void CEventSink:SelectionChange() long count = 0; if(m_explorer != 0) Outlook:SelectionPtr ,WEB惡意代碼查殺方法,惡意代碼經(jīng)常通過修改注冊表和系統(tǒng)配置來破壞系統(tǒng)的正常操作，影響用戶的正常使用。被這種病毒感染后，要設(shè)法修復(fù)被修改和禁用各個注冊表項。 檢查位置： 網(wǎng)關(guān) 客戶端（魔法兔子等） 修復(fù)方法是： 首先新建一個文本文件，接著把擴(kuò)展名改為reg； 然后，把恢復(fù)腳本填入該文件中； 最后，運(yùn)行該文件就可以了。,網(wǎng)關(guān)技術(shù),客戶端技術(shù),實(shí)時文件監(jiān)控（殺毒軟件） 禁止功能 例如，禁止3721 REGEDIT5 #B83FC273-3522-4CC6-92EC-75CC86678DA4 3721s CLSID HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX CompatibilityB83FC273-3522-4CC6-92EC-75CC86678DA4 “Compatibility Flags“=dword:00000400,修復(fù)腳本,REGEDIT4 /修復(fù)RUN按鈕 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoRun“=dword:00000000 /修復(fù)關(guān)閉按鈕 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoClose“=dword:00000000 /修復(fù)注銷按鈕 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoLogOff“=dword:00000000,/取消隱藏盤符 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer “NoDrives“=dword:00000000 /取消禁止注冊表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies System “DisableRegistryTools“=dword:00000000 /取消禁止運(yùn)行DOS程序 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies WinOldApp “Disabled“=dword:00000001,/取消禁止進(jìn)入DOS模式 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies WinOldApp “NoRealMode“=dword:00000001 /取消開機(jī)提示窗口標(biāo)題 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon “LegalNoticeCaption“=“ /取消開機(jī)提示窗口信息 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon “LegalNoticeText“=“,/重設(shè)IE標(biāo)題 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain “Window Title“=“Microsoft Internet Explorer“ HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Window Title“=“Microsoft Internet Explorer“ /重置IE起始頁 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Start Page“=“,宏病毒查殺方法,方法1：用WordBasic語言以Word模板方式編制殺毒工具，在Word環(huán)境中殺毒。 優(yōu)點(diǎn)：殺毒準(zhǔn)確，兼容性好 缺點(diǎn)：適合手工，不宜商品化 方法2：根據(jù)WordBFF格式，在Word環(huán)境外解剖病毒文檔（模板），去掉病毒宏。 缺點(diǎn)： 第一，容易將原文檔破壞； 第二，很容易漏殺病毒； 第三，要不斷地隨著Word版本升級和病毒變化而改變程序。 易于商品化,殺毒和病毒入侵的原理完全相同 查找感染標(biāo)記 -用新宏代替舊宏 病毒： 壞 -好 殺毒： 好 -壞 以Maker病毒為例 在Normal.dot的“ThisDocument”中加入以下代碼：,Private Sub Document_Open() Dim SaveDocument, DocumentInfected As Boolean Dim ad As Object Dim strVirusName As String Dim intVBComponentNo As Integer 病毒感染標(biāo)記(如果要掃描自己，用“&“連接字符串可以避免誤判自己) 代碼重用時，針對不同的病毒可修改以下兩句 Const Marker = “- this is another“ & “ marker!“ strVirusName = “Marker“ 將病毒所作的安全修改回來 Options.VirusProtection = True 可能存在的宏代碼數(shù)目 intVBComponentNo = ActiveDocument.VBProject.VBComponents.Count,For i =