計(jì)算機(jī)病毒與流氓軟件

1、第10章 計(jì)算機(jī)病毒和流氓軟件相信這張圖片可能有人看過(guò)，熊貓是國(guó)寶很可愛(ài)是嗎？但是如果你打開(kāi)機(jī)器看見(jiàn)這樣的圖標(biāo)，我想你的心情就不象在動(dòng)物園看到熊貓那樣好。 10.1 計(jì)算機(jī)病毒1.計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，屬于黑色軟件。合法軟件：指為方便用戶(hù)使用計(jì)算機(jī)工作、娛樂(lè)而開(kāi)發(fā)的一類(lèi)軟件，屬于白色軟件。流氓軟件（惡意軟件）：在未明確提示用戶(hù)或未經(jīng)用戶(hù)許可的情況下，在用戶(hù)計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶(hù)合法權(quán)益的軟件，但不包含我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。屬于灰色軟件。2計(jì)算機(jī)病毒的

2、特點(diǎn)一般正常的程序是由用戶(hù)調(diào)用，再由系統(tǒng)分配資源，完成用戶(hù)交給的任務(wù)。其目的對(duì)用戶(hù)是可見(jiàn)的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶(hù)調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶(hù)時(shí)未知的，是未經(jīng)用戶(hù)允許的。具有傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等。3病毒的表現(xiàn)不正常的提示信息；系統(tǒng)不能正常操作；用戶(hù)不能正常操作；數(shù)據(jù)文件破壞；無(wú)故死機(jī)或重啟；操作系統(tǒng)無(wú)法啟動(dòng)；運(yùn)行速度變慢；磁盤(pán)可利用空間突然減少；網(wǎng)絡(luò)服務(wù)不正常等。4計(jì)算機(jī)病毒的危害 攻擊內(nèi)存：內(nèi)存是計(jì)算機(jī)病毒最主要的攻擊目標(biāo)。計(jì)算機(jī)病毒在發(fā)作時(shí)額外地占用和消耗系統(tǒng)的內(nèi)存資源，導(dǎo)致系統(tǒng)資

3、源匱乏，進(jìn)而引起死機(jī)。病毒攻擊內(nèi)存的方式主要有占用大量?jī)?nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存和消耗內(nèi)存。 攻擊文件：文件也是病毒主要攻擊的目標(biāo)。當(dāng)一些文件被病毒感染后，如果不采取特殊的修復(fù)方法，文件很難恢復(fù)原樣。病毒對(duì)文件的攻擊方式主要有刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫(xiě)入時(shí)間空白、變碎片、假冒文件、丟失文件簇或丟失數(shù)據(jù)文件等。 攻擊系統(tǒng)數(shù)據(jù)區(qū)：對(duì)系統(tǒng)數(shù)據(jù)區(qū)進(jìn)行攻擊通常會(huì)導(dǎo)致災(zāi)難性后果，攻擊部位主要包括硬盤(pán)主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表和文件目錄等，當(dāng)這些地方被攻擊后，普通用戶(hù)很難恢復(fù)其中的數(shù)據(jù)。干擾系統(tǒng)正常運(yùn)行：病毒會(huì)干擾系統(tǒng)的正常運(yùn)行，其行為也是花樣繁多的，主要表現(xiàn)方式有不

4、執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、打不開(kāi)文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲以及擾亂串并行口等。影響計(jì)算機(jī)運(yùn)行速度：當(dāng)病毒激活時(shí)，其內(nèi)部的時(shí)間延遲程序便會(huì)啟動(dòng)。該程序在時(shí)鐘中納入了時(shí)間的循環(huán)計(jì)數(shù)，迫使計(jì)算機(jī)空轉(zhuǎn)，導(dǎo)致計(jì)算機(jī)速度明顯下降。攻擊磁盤(pán)：表現(xiàn)為攻擊磁盤(pán)數(shù)據(jù)、不寫(xiě)盤(pán)、寫(xiě)操作變讀操作、寫(xiě)盤(pán)時(shí)丟字節(jié)等。5計(jì)算機(jī)病毒的分類(lèi)(1)引導(dǎo)扇區(qū)病毒病毒修改或覆蓋硬盤(pán)原來(lái)的主引導(dǎo)記錄，有少數(shù)幾種病毒甚至對(duì)引導(dǎo)扇區(qū)參數(shù)進(jìn)行了加密處理。所有引導(dǎo)區(qū)病毒基本上都是內(nèi)存駐留型的，微機(jī)啟動(dòng)時(shí)，病毒就被加載到內(nèi)存中，直到系統(tǒng)關(guān)機(jī)為止，病毒一直存在，所以引導(dǎo)型病毒基本上都會(huì)減少可用的內(nèi)存容量。

5、 (2)文件病毒 文件病毒：大部分感染可執(zhí)行程序進(jìn)行傳播。 寄生病毒：寄生在宿主程序上，并不破壞宿主程序的功能。 覆蓋病毒：直接用病毒程序替換被感染的程序，這樣所有的文件頭也變成了病毒程序的文件頭。 伴隨病毒：病毒為被感染的文件創(chuàng)建一個(gè)病毒文件。 文件病毒的工作原理:文件病毒感被激活后，病毒會(huì)立刻獲得控制權(quán)。病毒首先檢查系統(tǒng)內(nèi)存，查看內(nèi)存中是否已經(jīng)有病毒代碼存在，如果沒(méi)有，就將病毒代碼裝入內(nèi)存。然后執(zhí)行病毒設(shè)計(jì)的一些功能，如，破壞功能，顯示信息或動(dòng)畫(huà)等。為了病毒定時(shí)發(fā)作，病毒往往會(huì)修改系統(tǒng)的時(shí)鐘中斷，在合適的時(shí)候激活。完成這些工作后，病毒將控制權(quán)交回被感染的程序。 (3)宏病毒宏病毒主要運(yùn)行在

6、微軟公司的Office軟件中。宏病毒利用了宏語(yǔ)言VBA。VBA語(yǔ)言可以對(duì)文本和數(shù)據(jù)表進(jìn)行完整的控制，可以調(diào)用操作系統(tǒng)的任意功能，甚至包括格式化硬盤(pán)這種操作。 (4)蠕蟲(chóng)病毒蠕蟲(chóng)病毒以網(wǎng)絡(luò)為寄生環(huán)境，以網(wǎng)絡(luò)上節(jié)點(diǎn)計(jì)算機(jī)為基本感染單位，通過(guò)網(wǎng)絡(luò)設(shè)計(jì)的缺陷，達(dá)到占用整個(gè)網(wǎng)絡(luò)資源的目的。蠕蟲(chóng)病毒往往利用系統(tǒng)漏洞或利用欺騙方法進(jìn)行傳播。蠕蟲(chóng)病毒由傳播模塊、隱藏模塊、功能模塊組成。蠕蟲(chóng)病毒傳播過(guò)程：掃描攻擊復(fù)制掃描：由掃描模塊負(fù)責(zé)探測(cè)主機(jī)地漏洞。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。攻擊：攻擊模塊自動(dòng)攻擊找到漏洞的主機(jī)，取得該主機(jī)的權(quán)限。復(fù)制：復(fù)制模塊通過(guò)原主機(jī)

7、和新主機(jī)的交互，將蠕蟲(chóng)病毒復(fù)制到新主機(jī)中并啟動(dòng)。 (5)木馬程序 木馬程序分為服務(wù)器端和客戶(hù)端兩個(gè)部分，服務(wù)器端程序一般被偽裝并安裝在受害者計(jì)算機(jī)中，以后程序?qū)㈦S該計(jì)算機(jī)每次運(yùn)行而自動(dòng)加載，而客戶(hù)端一般安裝在控制者計(jì)算機(jī)中。木馬程序可以用來(lái)作正常的用途，也可以被一些別有用心的人利用來(lái)做非法的事情。木馬程序與遠(yuǎn)程控制程序的基本區(qū)別在于，遠(yuǎn)程控制程序是在用戶(hù)明確授權(quán)后運(yùn)行的，并在用戶(hù)主機(jī)上有明顯的控制圖標(biāo)，而木馬程序則是隱蔽運(yùn)行的。木馬程序通常并不感染文件，木馬程序一般會(huì)修改注冊(cè)表的啟動(dòng)項(xiàng)，或者修改打開(kāi)文件的關(guān)聯(lián)而獲得運(yùn)行的機(jī)會(huì)。 木馬程序的類(lèi)型密碼發(fā)送木馬程序：在用戶(hù)計(jì)算機(jī)的文件里查找密碼。鍵盤(pán)

8、記錄木馬程序：記錄受害計(jì)算機(jī)的鍵盤(pán)擊鍵記錄，獲得用戶(hù)密碼信息。破壞型木馬程序：破壞并刪除文件。下載類(lèi)木馬：在下載文件同時(shí)下載了木馬郵件炸彈木馬程序：木馬程序會(huì)隨機(jī)生成各種各樣主題的信件，對(duì)特定的郵箱不停地發(fā)送郵件。代理木馬程序：黑客給被控制的主機(jī)種上代理木馬程序后，通過(guò)代理木馬程序，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。木馬程序的特性自動(dòng)運(yùn)行：潛人用戶(hù)啟動(dòng)配置文件中，如注冊(cè)表、啟動(dòng)組等。自動(dòng)恢復(fù)功能：當(dāng)用戶(hù)刪除了其中的一個(gè)，木馬程序利用其他的備份又可以恢復(fù)。自動(dòng)打開(kāi)端口：木馬程序經(jīng)常利用高端端口進(jìn)行連接。特殊功能：有些木馬程序具有搜索Cache中的

9、口令、掃描IP地址、進(jìn)行鍵盤(pán)記錄、捕獲用戶(hù)屏幕、遠(yuǎn)程注冊(cè)表的操作、鎖定鼠標(biāo)等功能。設(shè)置后門(mén)：攻擊者可以利用木馬程序設(shè)置后門(mén)，即使木馬程序后來(lái)被清除了，攻擊者仍可以利用以前留下的后門(mén)方便地闖入。冒名頂替：攻擊者冒充合法用戶(hù)發(fā)送郵件、修改文檔內(nèi)容。 10.1.2計(jì)算機(jī)病毒的預(yù)防和清除1計(jì)算機(jī)病毒的預(yù)防 (1) 修補(bǔ)系統(tǒng)漏洞 Windows操作系統(tǒng)的漏洞層出不窮，特別是如今使用比較多的Windows XP操作系統(tǒng)，其漏洞是怎么也補(bǔ)不完，哪怕是最新的Windows XP SP2也存在相當(dāng)多的漏洞。因此及時(shí)安裝操作系統(tǒng)的漏洞補(bǔ)丁是非常必要的。瀏覽網(wǎng)頁(yè)需要Web瀏覽器，有些惡意網(wǎng)頁(yè)利用瀏覽器的漏洞編寫(xiě)惡意

10、代碼，訪(fǎng)問(wèn)該網(wǎng)站會(huì)不知不覺(jué)地中毒。因此不僅要修補(bǔ)系統(tǒng)漏洞，還要修補(bǔ)IE瀏覽器的漏洞，這樣才能減少病毒入侵的威脅。(2)安裝殺毒軟件和防火墻 使用殺毒軟件可最大程度地保證計(jì)算機(jī)不受病毒感染，保障計(jì)算機(jī)的安全運(yùn)行。目前多數(shù)殺毒軟件都帶有實(shí)時(shí)病毒防火墻，可監(jiān)控來(lái)自計(jì)算機(jī)外部的病毒，保護(hù)計(jì)算機(jī)免受病毒感染。 常用殺毒軟件 (1)瑞星殺毒軟件 (2)金山毒霸 (3)Norton Anti Virus（諾頓） (4)Kaspersky（卡巴斯基） 網(wǎng)絡(luò)防火墻 防火墻是一種被動(dòng)防衛(wèi)技術(shù)，是一種網(wǎng)絡(luò)安全防護(hù)措施，它采用隔離控制技術(shù)，是設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，用來(lái)分隔內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的地址，使

11、外部網(wǎng)絡(luò)無(wú)從查探內(nèi)部網(wǎng)絡(luò)的IP地址，從而不會(huì)與內(nèi)部系統(tǒng)發(fā)生直接的數(shù)據(jù)交流。（3）使用軟件限制策略預(yù)防病毒 軟件限制策略是一種決定程序是否可以運(yùn)行的技術(shù)。病毒要實(shí)施破壞，必須進(jìn)入到系統(tǒng)，但如果病毒進(jìn)入系統(tǒng)后而無(wú)法運(yùn)行，它就不可能對(duì)系統(tǒng)造成破壞，那么此時(shí)也就等于成功預(yù)防了病毒。因此，可以利用軟件限制策略對(duì)系統(tǒng)的關(guān)鍵路徑、關(guān)鍵文件做散列規(guī)則和路徑規(guī)則來(lái)限制病毒文件的運(yùn)行，例如，對(duì)于病毒文件經(jīng)常感染用戶(hù)的臨時(shí)文件夾C:Documents and SettingsaLocal SettingsTemp和C:Documents and SettingsaLocal SettingsTem porary I

12、nternet Files，由于上述兩個(gè)臨時(shí)文件夾中不可能有可執(zhí)行文件，因此只需做這兩個(gè)路徑的路徑規(guī)則來(lái)禁止這兩個(gè)路徑下文件運(yùn)行，即可禁止隱藏在這兩條路徑下病毒運(yùn)行。 (4)提高安全防范意識(shí) 在使用計(jì)算機(jī)的過(guò)程中，需要增強(qiáng)安全防護(hù)意識(shí)，如不訪(fǎng)問(wèn)非法網(wǎng)站，對(duì)網(wǎng)上傳播的文件要多加注意，密碼設(shè)置最好采用數(shù)字和字母的混合，不少于8位、及時(shí)更新操作系統(tǒng)的安全補(bǔ)丁、備份硬盤(pán)的主引導(dǎo)扇區(qū)和分區(qū)表、安裝殺毒軟件并經(jīng)常升級(jí)病毒庫(kù)以及開(kāi)啟殺毒軟件的實(shí)時(shí)監(jiān)測(cè)功能等，這些措施對(duì)防范計(jì)算機(jī)病毒都有積極的作用。2計(jì)算機(jī)病毒的清除 清除病毒的方法有三類(lèi)，一是利用影子系統(tǒng)等系統(tǒng)還原類(lèi)的軟件，二是借助反病毒軟件消除，三是手工清

13、除，但是用手工方法消除病毒不僅繁瑣，而且對(duì)技術(shù)人員專(zhuān)業(yè)素質(zhì)要求很高，只有具備較深的電腦專(zhuān)業(yè)知識(shí)的人員才會(huì)使用。10.2流氓軟件10.2.1流氓軟件的概述1流氓軟件的分類(lèi) 根據(jù)不同的特征和危害，困擾廣大計(jì)算機(jī)用戶(hù)的流氓軟件主要有如下幾類(lèi)：廣告軟件、 間諜軟件、瀏覽器劫持、行為記錄軟件、惡意共享軟件等。2流氓軟件的表現(xiàn)形式強(qiáng)制安裝 廣告彈出 瀏覽器劫持 難以卸載 惡意卸載 以及其他侵害用戶(hù)軟件安裝、使用和卸載的知情權(quán)、選擇權(quán)的惡意行為 3.流氓軟件的感染途徑（1）當(dāng)安裝一些國(guó)外知名軟件的漢化版時(shí)，可能其中就包含有惡意軟件；（2）安裝免費(fèi)軟件，很多免費(fèi)軟件捆綁了一些惡意軟件；（3）安裝盜版游戲時(shí)，捆

14、綁在一起的惡意軟件也同時(shí)進(jìn)行了安裝；（4）由于系統(tǒng)漏洞和IE漏洞的存在，在瀏覽網(wǎng)頁(yè)時(shí)極有可能會(huì)利用該漏洞被安裝上惡意軟件；（5）通過(guò)在線(xiàn)下載文件感染或在線(xiàn)交流時(shí)感染；（6）由于使用盜版操作系統(tǒng)，機(jī)器在安裝系統(tǒng)時(shí)可能被安裝上惡意軟件。4惡意軟件使用的技術(shù) Rootkit技術(shù) IE插件 修改系統(tǒng)啟動(dòng)項(xiàng) 修改文件關(guān)聯(lián) 修改系統(tǒng)服務(wù) 使用雙進(jìn)程(1)Rootkit技術(shù) Rootkit是經(jīng)常聽(tīng)到的名詞，它是提供給用戶(hù)管理員權(quán)限使用的工具集，這個(gè)工具集一般可以加載到一個(gè)內(nèi)核程序當(dāng)中，對(duì)操作系統(tǒng)內(nèi)核進(jìn)行掛鉤和保護(hù)，做到保護(hù)和引入入侵者的作用，它必須要深入到系統(tǒng)的最內(nèi)核層，做一些修改和掛鉤。流氓軟件經(jīng)常使用這

15、種技術(shù)，導(dǎo)致自己的文件和注冊(cè)表不被刪除。這也是惡意軟件廣泛采用的技術(shù)，對(duì)自己的文件進(jìn)行強(qiáng)有力的保護(hù)。(2)IE插件 通過(guò)BHO進(jìn)行劫持瀏覽器，BHO是瀏覽器輔助對(duì)象，也就是說(shuō)在瀏覽器啟動(dòng)的時(shí)候會(huì)調(diào)用這個(gè)BHO，幫助瀏覽器完成一些額外的工作，本來(lái)這是一個(gè)好意，但是已經(jīng)被惡意軟件給泛濫的應(yīng)用，現(xiàn)在很多人啟動(dòng)一個(gè)瀏覽器的時(shí)候會(huì)被加載相當(dāng)多的BHO，而這些BHO大量都被惡意軟件控制了。在地址欄輸出關(guān)鍵詞的時(shí)候會(huì)將你搜索結(jié)果進(jìn)行一個(gè)轉(zhuǎn)向，去劫持用戶(hù)的地址欄搜索和相關(guān)的搜索。(3)修改系統(tǒng)啟動(dòng)項(xiàng) 在系統(tǒng)啟動(dòng)項(xiàng)里加入自己的一個(gè)啟動(dòng)，用戶(hù)每次開(kāi)機(jī)的時(shí)候都會(huì)使得惡意軟件啟動(dòng)起來(lái)。(4)修改文件關(guān)聯(lián) 當(dāng)雙擊TXT

16、文件的時(shí)候，惡意軟件去修改這個(gè)文件關(guān)聯(lián)以后，你可能雙擊任何一個(gè)TXT文件以后都可能把惡意軟件運(yùn)行起來(lái)。(5)修改系統(tǒng)服務(wù) 在Windows XP系統(tǒng)中有很多系統(tǒng)服務(wù)。惡意軟件也可以把自己加到系統(tǒng)服務(wù)項(xiàng)當(dāng)中，一直在運(yùn)行。比如說(shuō)我們的任務(wù)計(jì)劃，惡意軟件也可能還有計(jì)劃任務(wù)，計(jì)劃任務(wù)是Windows提供一套自動(dòng)運(yùn)行的機(jī)制，可以定義某一個(gè)工作幾點(diǎn)開(kāi)始，或者是周幾開(kāi)始。惡意軟件會(huì)把自己加到這里面來(lái)。(6) 雙進(jìn)程木馬 這種木馬有兩個(gè)進(jìn)程組成,用戶(hù)查殺時(shí)很困難,這兩個(gè)進(jìn)程相互監(jiān)視,當(dāng)一個(gè)進(jìn)程被停掉以后,另外一個(gè)進(jìn)程負(fù)責(zé)再生.10.2.2流氓軟件的預(yù)防和清除1流氓軟件的預(yù)防第一，養(yǎng)成良好的電腦使用習(xí)慣。謹(jǐn)防共

17、享軟件中的流氓軟件，安裝共享軟件時(shí)，別一路“next”到底，看清每一步，就會(huì)大大降低流氓軟件安裝的概率。第二，用殺毒軟件和防火墻筑起一道城墻，過(guò)去殺毒軟件和防火墻對(duì)于流氓軟件是無(wú)能為力，最近隨著流氓軟件的猖獗，殺毒軟件也都致力于流氓軟件的防范。第三，努力避開(kāi)使用IE核心瀏覽器?；贗E核心的瀏覽器是流氓軟件前生發(fā)芽的沃土，IE新版本的推出，相信完全給我們帶來(lái)福音。2、流氓軟件的清除 工具清除：在安全模式下使用工具軟件清除，各種工具(瑞星卡卡上網(wǎng)安全助手，超級(jí)兔子網(wǎng)絡(luò)安全衛(wèi)生、360安全衛(wèi)生、windows流氓軟件清理大師)聯(lián)合查殺. 手動(dòng)清除：在注冊(cè)表中自啟動(dòng)項(xiàng)目中、RUN子鍵中刪除。 1.注

18、冊(cè)表查找流氓軟件的名稱(chēng)，刪除; 2.msconfig中啟動(dòng)組是否有不正常的啟動(dòng)項(xiàng); 3.進(jìn)入安全模式，在安全模式下搜索流氓軟件名，找 到執(zhí)行文件（有些為動(dòng)態(tài)鏈接庫(kù)）徹底刪除他們。 使用XP自帶的惡意程序掃描器:運(yùn)行MRT.EXE 10.3 常見(jiàn)殺毒軟件的使用 10.3.1金山毒霸的使用10.3.2卡巴斯基的使用10.4 防火墻軟件的使用10.4.1 防火墻的概念及作用 在網(wǎng)絡(luò)中“防火墻”是指一種將內(nèi)部網(wǎng)和公眾訪(fǎng)問(wèn)網(wǎng)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。 一般的防火墻都可以達(dá)到以下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶(hù)；二是防止入侵者接近你的防御設(shè)施；三是限定用戶(hù)訪(fǎng)問(wèn)特殊站

19、點(diǎn)；四是為監(jiān)視Internet安全提供方便。 10.4.2天網(wǎng)防火墻的使用10.4.3 瑞星個(gè)人防火墻的使用10.5計(jì)算機(jī)病毒的手工清除 手工清除病毒必須具備較強(qiáng)的操作系統(tǒng)的基礎(chǔ)理論知識(shí)，特別要求對(duì)操作系統(tǒng)的系統(tǒng)文件、文件夾、自啟動(dòng)程序、系統(tǒng)進(jìn)程和系統(tǒng)服務(wù)有較深入的了解，此外還必須對(duì)各種計(jì)算機(jī)病毒的基本原理和計(jì)算機(jī)病毒的特性有所了解。下面我們將介紹計(jì)算機(jī)病毒的手工清除方法。 10.5.1 手工清除方法 1. 計(jì)算機(jī)病毒經(jīng)常感染的系統(tǒng)路徑 要清除病毒就必須明確計(jì)算機(jī)病毒喜歡呆的地方，下面就是病毒經(jīng)常出沒(méi)的地方. (1)C盤(pán)根目錄 C: (2)Internet臨時(shí)文件夾C:Documents an

20、d SettingsaLocal SettingsTemporary Internet Files可在開(kāi)始/運(yùn)行中輸入%userprofile% (3)用戶(hù)的臨時(shí)文件夾C:Documents and SettingsaLocal SettingsTemp可通過(guò)開(kāi)始/運(yùn)行輸入%temp% (4)程序文件夾 C:Program Files (5)IE瀏覽器文件夾C:Program FilesInternet Explorer (6)C:Program FilesInternet ExplorerConnection Wizard (7)C:Program FilesCommon Files (8)

21、C:WINDOWS (9)C:WINDOWSPrefetch (10)C:WINDOWSsystem32 (11)C:WINDOWSsystem32drivers (12)C:WINDOWSDownloaded Program Files，這個(gè)文件夾正常情況下是空的 (13)C:WINDOWSConfig這個(gè)文件夾正常情況下是空的2.如何發(fā)現(xiàn)病毒 在系統(tǒng)中發(fā)現(xiàn)病毒必須要有一定的能力，必須對(duì)所使用的操作系統(tǒng)十分熟悉：(1)熟悉系統(tǒng)文件的命名規(guī)則； windows系統(tǒng)文件命名方法一般都有一定的意義，而病毒、木馬一般長(zhǎng)的比較惡心， 如使用數(shù)字作為文件名1.exe等 (2)仔細(xì)鑒別系統(tǒng)文件名稱(chēng)； 大家

22、在系統(tǒng)出現(xiàn)問(wèn)題時(shí)通常打開(kāi)任務(wù)管理器查看進(jìn)程，看到如下進(jìn)程： svchost.exe explorer.exe iexplore.exe winlogon.exe rundll32.exe scvhost.exe explore.exe iexplorer.exe winlogin.exe rundl132.exe （3）熟悉常見(jiàn)windows系統(tǒng)文件所在位置（看清進(jìn)程的路徑） svchost.exe、rundll32.exe(c:windowssystem32) explorer.exe(c:windows) iexplore.exe(c:program filesinternet explo

23、rer)（4）時(shí)刻注意系統(tǒng)的運(yùn)行異常情況，如系統(tǒng)是否突然變慢等 （5）檢查文件的建立時(shí)間； 通過(guò)建立時(shí)間可以發(fā)現(xiàn)病毒，病毒文件通常是當(dāng)前日期。 （6）通過(guò)任務(wù)管理器（右擊任務(wù)欄/任務(wù)管理器或按ctrl+alt+del）查看進(jìn)程有無(wú)異常； 看進(jìn)程與用戶(hù)名的匹配，哪些進(jìn)程是用戶(hù)的，哪些是系統(tǒng)的，一般來(lái)說(shuō)有些進(jìn)程是系統(tǒng)的，有些進(jìn)程是用戶(hù)的，如services.exe、winlogon.exe、lsass.exe、smss.exe其用戶(hù)名為system，如果用戶(hù)名為用戶(hù)的，則很可能是木馬。（7）備份正常系統(tǒng)文件夾下系統(tǒng)文件； 有時(shí)木馬病毒一般都隱藏在system32目錄下，針對(duì)這一點(diǎn)我們可以在安裝好系

24、統(tǒng)和必要的應(yīng)用程序后，對(duì)該目錄下的EXE、DLL 文件作一次記錄，一旦發(fā)現(xiàn)異常，用同樣的方法再做一次記錄，然后比較文件有無(wú)變化。 3.感染木馬病毒的解決辦法（1）清除注冊(cè)表（2）備份注冊(cè)表殺馬 如果你不能通過(guò)上述方法很好地清除注冊(cè)表，那么可以通過(guò)備份注冊(cè)表，再恢復(fù)的方法解決，備份注冊(cè)表的方法很多，在這里就不多說(shuō)了。 當(dāng)然我們知道系統(tǒng)的注冊(cè)表所在位置是保存在C:WINDOWSsystem32config下的system、 software、 sam、 security 、default五個(gè)不帶后綴名的文件是保存當(dāng)前系統(tǒng)狀態(tài)信息的文件也就是注冊(cè)表信息的相關(guān)文件，可以將這幾個(gè)文件或?qū)⒄麄€(gè)config

25、文件夾備份到其他地方，發(fā)現(xiàn)異常時(shí)將其拷備回來(lái)即可恢復(fù)注冊(cè)表。 同樣在系統(tǒng)第一次裝完后在C:WINDOWSrepair文件夾中有五個(gè)不帶后綴名的文件system、 software、 sam、 security 、default表示系統(tǒng)剛裝完時(shí)的原始狀態(tài)信息，在上面的操作無(wú)法恢復(fù)時(shí)也可用repair文件夾下的文件替換system32config文件夾下的文件。（3）破壞病毒文件 ，使其無(wú)法運(yùn)行 使用暴力刪除工具；使用其他手段破壞病毒文件；做軟件限制策略禁止文件的運(yùn)行；破壞病毒文件的方法可使用右鍵粉碎文件；使用命令破壞文件，開(kāi)始/運(yùn)行/CMD ECHO PIG a.exe，就破壞了a.exe，以后

26、a.exe就不可執(zhí)行了；移動(dòng)文件位置，發(fā)現(xiàn)木馬文件刪除不掉時(shí)還可以通過(guò)移動(dòng)文件（使用剪切/粘貼到其他位置），致使其調(diào)用不成功。（4）借助于軟件如process explorer、autoruns查木馬打開(kāi)進(jìn)程瀏覽器process explorer選擇IEXPLORE.EXE/查看/下級(jí)窗格視圖/DLLS就可看到IEXPLORE.EXE調(diào)用模塊*.nls，如果在c:windowssystem32下的應(yīng)是正常的，如果不是system32下的就可刪除。IEXPLORE.EXE其路徑為C:Program FilesInternet Explorer。發(fā)現(xiàn)不正常模塊可使用開(kāi)始/運(yùn)行：regsvr32 /

27、u 木馬模塊。 4. 使用軟件限制策略預(yù)防木馬病毒的方法：(1)C:Documents and SettingsaLocal SettingsTempC:Documents and SettingsaLocal SettingsTemporary Internet Files因?yàn)樵谙旅鎯蓚€(gè)臨時(shí)文件夾中不可能有可執(zhí)行文件，因此做這兩個(gè)路徑的路徑規(guī)則來(lái)禁止這兩個(gè)路徑下文件運(yùn)行，這樣可禁止隱藏在這兩條路徑下病毒運(yùn)行，另外也可通過(guò)刪除這兩個(gè)文件夾中的文件。(2)在C:Program Files*.*做路徑規(guī)則防止其下文件的運(yùn)行,但不禁止其下子文件夾下文件的運(yùn)行，記住該路徑規(guī)則不能做C:Program

28、Files，一定要C:Program Files*.*，否則影響正常應(yīng)用程序的運(yùn)行。(3)在C:Program FilesCommon Files做路徑規(guī)則防止其下文件的運(yùn)行。(4)做C:WINDOWSsystem32drivers的路徑規(guī)則，禁止其下文件的運(yùn)行，因?yàn)樵撐募A下是驅(qū)動(dòng)文件沒(méi)有可執(zhí)行文件。(5)在C:*.*做路徑規(guī)則，因?yàn)樵贑盤(pán) 根目錄下一般只有NTDETECT.COM是應(yīng)用程序，其他應(yīng)該沒(méi)有可執(zhí)行文件，因此可先做NTDETECT.COM散列，在做C:*.*路徑防止C盤(pán)根目錄下其他文件（病毒文件）運(yùn)行。(6)在C:WINDOWSsystem下無(wú)可執(zhí)行文件，有的木馬將自身文件放在該

29、文件夾下，做路徑規(guī)則(7)C:WINDOWSDownloaded Program Files，C:WINDOWSConfig這兩個(gè)個(gè)文件夾正常情況下是空的，但這兩個(gè)文件夾是木馬流氓軟件經(jīng)常光顧的地方，因此對(duì)這兩個(gè)文件夾做路徑規(guī)則，不允許。(8)保護(hù)重要文件C:WINDOWSsystem32下的rundll32.exe應(yīng)用程序，如果rundll32.exe在其他文件夾應(yīng)為不正常，因此對(duì)該文件夾下的該文件先做散列，在做路徑，做路徑時(shí)使用通配符防止類(lèi)似該文件的木馬rund*32.*(9)還有一個(gè)explorer.exe是一個(gè)重要的系統(tǒng)文件，它正常應(yīng)該在C:WINDOWS下，很多病毒利用與explor

30、er.exe類(lèi)似的文件名來(lái)冒充系統(tǒng)文件，所以做策略時(shí)先做該文件的散列“不受限”，在做類(lèi)似文件的路徑規(guī)則，“不允許” (?ex*ore*.exe) (策略的刷新命令gpupdate)(10)用cmd /k tasklist/v c:1.txt將系統(tǒng)當(dāng)前進(jìn)程導(dǎo)出為文件c:1.txt，當(dāng)系統(tǒng)出現(xiàn)異常時(shí)，再查看進(jìn)程看有無(wú)變化（沒(méi)有啟動(dòng)新的應(yīng)用程序的情況下），進(jìn)而判斷是否有木馬進(jìn)程啟動(dòng)。附錄:2007年十大計(jì)算機(jī)病毒木馬介紹 金山毒霸根據(jù)病毒危害程度、病毒感染率以及用戶(hù)的關(guān)注度，計(jì)算出綜合指數(shù)，最終得出以下十大病毒/木馬為2007年最危險(xiǎn)的病毒/木馬。 我們將病毒木馬危害的種類(lèi)分為： A.破壞用戶(hù)系統(tǒng)，

31、 B.盜取用戶(hù)信息， C.能進(jìn)行自我傳播 D.廣告行為 E.下載其它木馬 危害程度：分5級(jí)，最高級(jí)為5。 5級(jí)：具有上述四種及以上行為的病毒/木馬4級(jí)：具有上述任意三種行為的病毒/木馬3級(jí)：具有C行為加任意一種行為的病毒/木馬2級(jí)：具有A B C任意一種行為的病毒/木馬1級(jí)：具D E任意一種行為的病毒/木馬病毒感染率：該病毒在感染的計(jì)算機(jī)臺(tái)數(shù)占總感染臺(tái)數(shù)的比率。用戶(hù)關(guān)注度：我們收集用戶(hù)對(duì)病毒的關(guān)注數(shù)據(jù)，如：論壇討論熱度的評(píng)估，新聞及病毒分析報(bào)告的點(diǎn)擊率或關(guān)鍵字熱度，將其分為3級(jí)，熱門(mén)、高度、普通。六、2008年中國(guó)電腦病毒疫情報(bào)告 2008年，中國(guó)新增計(jì)算機(jī)病毒、木馬數(shù)量呈爆炸式增長(zhǎng)，總數(shù)量已

32、突破千萬(wàn)。病毒制造的模塊化、專(zhuān)業(yè)化以及病毒“運(yùn)營(yíng)”模式的互聯(lián)網(wǎng)化成為2008年中國(guó)計(jì)算機(jī)病毒發(fā)展的三大顯著特征。同時(shí)，病毒制造者的“逐利性”依舊沒(méi)有改變，網(wǎng)頁(yè)掛馬、漏洞攻擊成為黑客獲利的主要渠道。 1. 2008年中國(guó)互聯(lián)網(wǎng)安全情況整體分析 2008年，新增計(jì)算機(jī)病毒、木馬數(shù)量呈幾何級(jí)增長(zhǎng)。據(jù)金山毒霸“云安全”中心監(jiān)測(cè)數(shù)據(jù)顯示，2008年，金山毒霸共截獲新增病毒、木馬13899717個(gè)，與2007年相比增長(zhǎng)48倍。下圖為近幾年來(lái)的新增病毒、木馬數(shù)量對(duì)比 .在新增的病毒、木馬中，新增木馬數(shù)為7801911個(gè)，占全年新增病毒、木馬總數(shù)的56.13%；黑客后門(mén)類(lèi)占全年新增病毒、木馬總數(shù)的21.97%

33、；而網(wǎng)頁(yè)腳本所占比例從去年的0.8%躍升至5.96%，成為增長(zhǎng)速度最快的一類(lèi)病毒。金山毒霸“云安全”中心統(tǒng)計(jì)數(shù)據(jù)顯示，90%的病毒依附網(wǎng)頁(yè)感染用戶(hù)。下圖是不同類(lèi)別病毒、木馬比例圖 . 2008年，據(jù)金山毒霸“云安全”中心統(tǒng)計(jì)數(shù)據(jù)，全國(guó)共有69738785臺(tái)計(jì)算機(jī)感染病毒，與07年相比增長(zhǎng)了40%.2. 2008年十大病毒/木馬 根據(jù)病毒危害程度、病毒感染率以及用戶(hù)的關(guān)注度，計(jì)算出綜合指數(shù)，最終得出以下十大病毒/木馬為2008年最具影響的十大病毒/木馬。 機(jī)器狗系列病毒 :該病毒變種繁多，多表現(xiàn)為殺毒軟件無(wú)法正常運(yùn)行。該病毒的主要危害是充當(dāng)病毒木馬下載器，通過(guò)修改注冊(cè)表，讓大多數(shù)流行的安全軟件失效，然后瘋狂下載各種盜號(hào)工具或黑客工具，給廣大網(wǎng)民的網(wǎng)絡(luò)虛擬財(cái)產(chǎn)造成巨大威脅。 AV終結(jié)者病毒系列 :最大特點(diǎn)是禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶(hù)電腦失去安全保障；破壞安全模式，致使用戶(hù)根本無(wú)法進(jìn)入安全模式清除病毒；強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè)，用戶(hù)無(wú)法通過(guò)網(wǎng)絡(luò)尋求解決辦法；在磁盤(pán)根目錄下釋放autorun.Inf，利用系統(tǒng)自播放功能，如果不加以清理，重裝系統(tǒng)以后也可能反復(fù)感染。 onlinegames系列 :最大