《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)與技能訓(xùn)練》課件第2章

第2章網(wǎng)絡(luò)病毒與惡意軟件2.1病毒與惡意軟件概述2.2病毒與惡意軟件的特點(diǎn)2.3病毒與惡意軟件的分類2.4病毒的檢測(cè)、防范與清除2.5惡意軟件的防范與清除實(shí)訓(xùn)一防病毒軟件的使用2.1病毒與惡意軟件概述計(jì)算機(jī)剛剛誕生，就有了計(jì)算機(jī)病毒的概念。1949年，計(jì)算機(jī)之父馮·諾依曼在《復(fù)雜自動(dòng)機(jī)組織論》中便定義了計(jì)算機(jī)病毒的概念，即一種“能夠?qū)崿F(xiàn)復(fù)制自身的自動(dòng)機(jī)”。

1960年，美國(guó)的約翰·康維在編寫“生命游戲”程序時(shí)，首先實(shí)現(xiàn)程序自我復(fù)制技術(shù)，他的游戲程序運(yùn)行時(shí)，在屏幕上有許多“生命元素”圖案在運(yùn)動(dòng)變化。這些元素過(guò)于擁擠時(shí)，會(huì)因缺少生存空間而死亡；如果元素過(guò)于稀疏會(huì)由于相互隔絕失去生命支持系統(tǒng)，也會(huì)死亡。只有處于合適環(huán)境的元素才非?；钴S，它們能夠自我復(fù)制并進(jìn)行傳播。貝爾實(shí)驗(yàn)室的三位年輕程序員也受到馮·諾依曼理論的啟發(fā)，發(fā)明了“磁心大戰(zhàn)”游戲。玩這個(gè)游戲的兩個(gè)人編制了許多能自身復(fù)制、并可保存在磁心存儲(chǔ)器中的程序，然后發(fā)出信號(hào)，雙方的程序在指令控制下就會(huì)竭力去消滅對(duì)方的程序。在預(yù)定的時(shí)間內(nèi)，誰(shuí)的程序繁殖得多，誰(shuí)就得勝。游戲中通過(guò)復(fù)制自身來(lái)擺脫對(duì)方的控制，這就是“病毒”的第一個(gè)雛形?！坝?jì)算機(jī)病毒”與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制出的具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的“病毒”同樣有傳染和破壞的特性，因此由生物醫(yī)學(xué)上的“病毒”概念引申而來(lái)。2.1.1病毒與惡意軟件概念

1.病毒病毒的英文全稱為ComputerVirus，簡(jiǎn)稱CV。1984年5月Cohen博士給出了計(jì)算機(jī)病毒的定義：計(jì)算機(jī)病毒是一段程序，它通過(guò)修改其它程序把自身拷貝嵌入而實(shí)現(xiàn)對(duì)其它程序的感染。在國(guó)內(nèi)，專家和研究者對(duì)計(jì)算機(jī)病毒也做過(guò)不盡相同的定義，但一直沒(méi)有公認(rèn)的明確定義。直至1994年2月18日，我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)，在《條例》第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”此定義具有法律性、權(quán)威性。

2.惡意軟件惡意軟件是介于病毒和正規(guī)軟件之間的軟件。所謂正規(guī)軟件，是指為方便用戶使用計(jì)算機(jī)工作、娛樂(lè)而開(kāi)發(fā)，面向社會(huì)公開(kāi)發(fā)布的軟件。惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其它終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。惡意軟件與正常的軟件相比，具有不可知性與不可控制性。2.1.2病毒的識(shí)別

1.計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒發(fā)作前，是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開(kāi)始，一直到激發(fā)條件滿足，計(jì)算機(jī)病毒發(fā)作之前的一個(gè)階段。在這個(gè)階段，計(jì)算機(jī)病毒會(huì)以各式各樣的手法來(lái)隱藏自己，在不被發(fā)現(xiàn)的同時(shí)，又自我復(fù)制，以各種手段進(jìn)行傳播。計(jì)算機(jī)病毒發(fā)作前常見(jiàn)的表現(xiàn)現(xiàn)象有：

(1)平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無(wú)緣無(wú)故地死機(jī)；

(2)操作系統(tǒng)無(wú)法正常啟動(dòng)；

(3)運(yùn)行速度明顯變慢；

(4)以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤；

(5)打印和通訊發(fā)生異常；

(6)非法要求對(duì)磁盤進(jìn)行寫操作；

(7)以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤；

(8)系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化；

(9)運(yùn)行Word，打開(kāi)Word文檔后，該文件另存時(shí)只能以模板方式保存；

(10)磁盤空間迅速減少；

(11)網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用；

(12)基本內(nèi)存發(fā)生變化；

(13)自動(dòng)鏈接到一些陌生的網(wǎng)站。

2.計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象

(1)出現(xiàn)一些不相干的提示；

(2)播放一段音樂(lè)；

(3)產(chǎn)生特定的圖像；

(4)硬盤燈不斷閃爍；

(5)進(jìn)行游戲算法；

(6)?Windows桌面圖標(biāo)發(fā)生變化；

(7)計(jì)算機(jī)突然死機(jī)或重啟；

(8)自動(dòng)發(fā)送電子郵件；

(9)鼠標(biāo)自己在動(dòng)。

3.計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象常見(jiàn)的“惡性”計(jì)算機(jī)病毒發(fā)作后所造成的后果有：

(1)無(wú)法啟動(dòng)，硬盤數(shù)據(jù)丟失；

(2)系統(tǒng)文件丟失或被破壞；

(3)文件目錄發(fā)生混亂；

(4)部分文檔丟失或被破壞；

(5)部分文檔自動(dòng)加密碼；

(6)修改Autoexec.bat文件，增加FormatC：項(xiàng)，導(dǎo)致計(jì)算機(jī)重新啟動(dòng)時(shí)格式化硬盤；

(7)部分可軟件升級(jí)主板的BIOS程序發(fā)生混亂，主板被破壞；

(8)網(wǎng)絡(luò)癱瘓，無(wú)法提供正常的服務(wù)。2.2病毒與惡意軟件的特點(diǎn)2.2.1傳統(tǒng)意義上計(jì)算機(jī)病毒的特點(diǎn)

1.傳染性計(jì)算機(jī)病毒的傳染性是指病毒具有把自身復(fù)制到其他程序中的特性。計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)計(jì)算機(jī)上迅速擴(kuò)散，其中的大量文件(一般是可執(zhí)行文件)會(huì)被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過(guò)網(wǎng)絡(luò)接觸，病毒會(huì)在整個(gè)網(wǎng)絡(luò)中繼續(xù)傳染。

2.未授權(quán)而執(zhí)行一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)，其目的對(duì)用戶是可見(jiàn)的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行。病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。

3.隱蔽性病毒程序大多夾在正常程序之中，很難被發(fā)現(xiàn)，它們通常附在正常程序中或磁盤較隱蔽的地方(也有個(gè)別以隱含文件的形式出現(xiàn))，這樣做的目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過(guò)代碼分析，我們很難區(qū)別病毒程序與正常程序。一般在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，用戶不會(huì)感到有任何異常。

4.潛伏性計(jì)算機(jī)病毒的潛伏性是指計(jì)算機(jī)病毒具有依附其他媒介而寄生的能力。大部分計(jì)算機(jī)病毒感染系統(tǒng)之后不會(huì)馬上發(fā)作，可長(zhǎng)期隱藏在系統(tǒng)中，病毒的發(fā)作是由觸發(fā)條件來(lái)確定的，在觸發(fā)條件不滿足時(shí)，系統(tǒng)沒(méi)有異常癥狀。例如，PETER-2病毒在每年的2月27日會(huì)提三個(gè)問(wèn)題，答錯(cuò)后會(huì)將硬盤加密；著名的“黑色星期五”病毒在逢13號(hào)的星期五發(fā)作；而CIH病毒在每個(gè)月26號(hào)發(fā)作。這些病毒在平時(shí)會(huì)隱藏得很好，只有在發(fā)作日才會(huì)顯露出其破壞的本性。

5.破壞性任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響，凡是由軟件手段能觸及到計(jì)算機(jī)資源的地方均可能受到計(jì)算機(jī)病毒的破壞，病毒破壞的嚴(yán)重程度取決于病毒制造者的目的和技術(shù)水平。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。2.2.2網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的新特點(diǎn)

1.高頻度病毒疫情發(fā)作的頻率高，幾乎每個(gè)月都有新的病毒疫情出現(xiàn)，而且惡性病毒的比例大，病毒對(duì)計(jì)算機(jī)用戶的危害大大增加。

2.傳播速度快，危害性極大由于網(wǎng)絡(luò)病毒主要通過(guò)網(wǎng)絡(luò)傳播，因此，一種新病毒出現(xiàn)后，可以迅速通過(guò)Internet傳播到世界各地。

3.病毒制作技術(shù)新，變種多與傳統(tǒng)的計(jì)算機(jī)病毒不同的是，許多新病毒是利用當(dāng)前最新的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新的變種。

4.誘惑性現(xiàn)在的計(jì)算機(jī)病毒充分利用人們的好奇心理，如肆虐一時(shí)的“裸妻”、“庫(kù)爾尼科娃”等病毒。

5.病毒形式多樣化，難于根治病毒呈現(xiàn)多樣化的趨勢(shì)。病毒分析顯示，雖然新病毒不斷產(chǎn)生，但較早的病毒發(fā)作仍很普遍并有所發(fā)展。此外，新的病毒更善于偽裝，如主題會(huì)在傳播中改變，許多病毒會(huì)偽裝成常用程序，用來(lái)麻痹計(jì)算機(jī)用戶。

6.具有病毒、蠕蟲(chóng)和后門(黑客)程序的功能計(jì)算機(jī)病毒的編制技術(shù)隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展也在不斷提高和變化。過(guò)去病毒最大的特點(diǎn)是能夠復(fù)制自身給其他的程序?，F(xiàn)在，計(jì)算機(jī)病毒具有了蠕蟲(chóng)的特點(diǎn)，可以利用網(wǎng)絡(luò)進(jìn)行傳播；同時(shí)，有些病毒還具有了黑客程序的功能，一旦侵入計(jì)算機(jī)系統(tǒng)后，病毒控制者可以從入侵的系統(tǒng)中竊取信息，遠(yuǎn)程控制這些系統(tǒng)，呈現(xiàn)出計(jì)算機(jī)病毒功能的多樣化。2.2.3惡意軟件的特點(diǎn)惡意軟件的特點(diǎn)很多，以下列出其典型特征，具備其中之一的軟件即可被認(rèn)為是惡意軟件。

(1)強(qiáng)制安裝。指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝軟件的行為。

(2)難以卸載。指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動(dòng)程序的行為。

(3)瀏覽器劫持。指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關(guān)設(shè)置，迫使用戶訪問(wèn)特定網(wǎng)站或?qū)е掠脩魺o(wú)法正常上網(wǎng)的行為。

(4)廣告彈出。指未明確提示用戶或未經(jīng)用戶許可的情況下，利用安裝在用戶計(jì)算機(jī)或其他終端上的軟件彈出廣告的行為。

(5)惡意收集用戶信息。指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。

(6)惡意卸載。指未明確提示用戶或未經(jīng)用戶許可，誤導(dǎo)、欺騙用戶卸載非惡意軟件的行為。

(7)惡意捆綁。指在軟件中捆綁已被認(rèn)定為惡意軟件的行為。

(8)其他侵犯用戶知情權(quán)、選擇權(quán)的惡意行為。2.3病毒與惡意軟件的分類2.3.1病毒的分類

1.按照計(jì)算機(jī)病毒攻擊的系統(tǒng)的方式分按照計(jì)算機(jī)病毒攻擊的系統(tǒng)的方式不同，可將計(jì)算機(jī)病毒分為以下幾種。

(1)攻擊DOS系統(tǒng)的病毒。這類病毒出現(xiàn)最早、最多，變種也最多，目前我國(guó)出現(xiàn)的計(jì)算機(jī)病毒基本上都是這類病毒。此類病毒占病毒總數(shù)的99%，可見(jiàn)DOS時(shí)代病毒的泛濫程度。

(2)攻擊Windows系統(tǒng)的病毒。由于Windows的圖形用戶界面(GUI)和多任務(wù)操作系統(tǒng)深受用戶的歡迎，Windows已逐漸取代DOS，從而成為病毒攻擊的主要對(duì)象。首例Windows病毒是破壞計(jì)算機(jī)硬件的CIH病毒。

(3)攻擊UNIX系統(tǒng)的病毒。由于UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型系統(tǒng)的服務(wù)器均采用UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的破壞性也很大。

(4)攻擊OS/2系統(tǒng)的病毒。攻擊OS/2系統(tǒng)的病毒很少。

2.按照計(jì)算機(jī)病毒的鏈接方式分按照計(jì)算機(jī)病毒的鏈接方式不同，可將計(jì)算機(jī)病毒分為以下幾種：

(1)源碼型病毒。這種病毒攻擊高級(jí)語(yǔ)言編寫的程序，病毒在高級(jí)語(yǔ)言所編寫的程序編譯之前插入到源程序中，經(jīng)編譯成功后成為合法程序的一部分。

(2)嵌入型病毒。這種病毒是將自身嵌入到現(xiàn)有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。這種病毒很難編寫，但它一旦侵入程序體后也較難消除。如果同時(shí)采用多態(tài)性病毒技術(shù)、超級(jí)病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前的反病毒技術(shù)帶來(lái)嚴(yán)峻的挑戰(zhàn)。

(3)外殼型病毒。外殼型病毒將其自身包圍在主程序的四周，對(duì)原來(lái)的程序不作修改。這種病毒最為常見(jiàn)，易于編寫，也易于發(fā)現(xiàn)，一般測(cè)試文件的大小即可知。

(4)操作系統(tǒng)型病毒。這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。這種病毒在運(yùn)行時(shí)，用自己的邏輯部分取代操作系統(tǒng)的合法程序模塊，根據(jù)病毒自身的特點(diǎn)和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運(yùn)行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等，對(duì)操作系統(tǒng)進(jìn)行破壞。

3.按照計(jì)算機(jī)病毒的破壞情況分按照計(jì)算機(jī)病毒的破壞情況，可將計(jì)算機(jī)病毒分為良性病毒和惡性病毒。

1)良性病毒良性病毒不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼，這類病毒主要表現(xiàn)其存在并不停地進(jìn)行擴(kuò)散，但不破壞計(jì)算機(jī)內(nèi)的程序和數(shù)據(jù)。良性病毒取得系統(tǒng)控制權(quán)后，會(huì)導(dǎo)致整個(gè)系統(tǒng)運(yùn)行效率降低，系統(tǒng)可用內(nèi)存總數(shù)減少，使某些應(yīng)用程序不能運(yùn)行。它還與操作系統(tǒng)和應(yīng)用程序爭(zhēng)搶CPU的控制權(quán)，時(shí)常導(dǎo)致整個(gè)系統(tǒng)死鎖，給正常操作帶來(lái)麻煩。

2)惡性病毒惡性病毒就是指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。如“米開(kāi)朗基羅”病毒，當(dāng)其發(fā)作時(shí)，硬盤的前17個(gè)扇區(qū)將被徹底破壞，致使整個(gè)硬盤上的數(shù)據(jù)無(wú)法被恢復(fù)，造成的損失是無(wú)法挽回的。惡性病毒是很危險(xiǎn)的，對(duì)此應(yīng)當(dāng)加強(qiáng)防范。

4.按照計(jì)算機(jī)病毒的寄生方式和傳染對(duì)象分按照計(jì)算機(jī)病毒的寄生方式和傳染對(duì)象不同，可將計(jì)算機(jī)病毒分為以下幾種。

(1)引導(dǎo)型病毒。這是一種在系統(tǒng)引導(dǎo)時(shí)出現(xiàn)的病毒。磁盤引導(dǎo)區(qū)傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方，系統(tǒng)一啟動(dòng)病毒就獲得其控制權(quán)，如“大麻”和“小球”病毒都屬于這種類型。

(2)文件型病毒。該類病毒一般感染可執(zhí)行文件(*.exe和*.com文件)，病毒寄生在可執(zhí)行程序中，只要程序被執(zhí)行，病毒也就被激活，病毒程序會(huì)首先被執(zhí)行，并將自身駐留在內(nèi)存，然后設(shè)置觸發(fā)條件，進(jìn)行傳染。

(3)混合型病毒。混合型病毒綜合了引導(dǎo)型和文件型病毒的特性，此種病毒通過(guò)這兩種方式來(lái)感染，更增加了病毒的傳染性。不管以哪種方式傳染，只要中毒就會(huì)經(jīng)開(kāi)機(jī)或執(zhí)行程序而感染其他的磁盤或文件。

(4)宏病毒。宏病毒是一種寄生于文檔或模板中的計(jì)算機(jī)病毒，一旦打開(kāi)這樣的文檔，宏病毒就會(huì)被激活，駐留在Normal模板上，所有自動(dòng)保存的文檔都會(huì)感染上這種宏病毒，而且如果其他用戶打開(kāi)了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。

5.按照計(jì)算機(jī)病毒激活的時(shí)間分按照計(jì)算機(jī)病毒激活的時(shí)間，可將計(jì)算機(jī)病毒分為定時(shí)病毒和隨機(jī)病毒。定時(shí)病毒僅在某一特定時(shí)間才發(fā)作，而隨機(jī)病毒一般不是由時(shí)鐘來(lái)激活的。

6.按病毒傳輸?shù)拿浇榉职凑沼?jì)算機(jī)病毒的傳播媒介不同，可將計(jì)算機(jī)病毒分為單機(jī)病毒和網(wǎng)絡(luò)病毒。

1)單機(jī)病毒單機(jī)病毒的載體是磁盤，常見(jiàn)的是病毒從軟盤或優(yōu)盤傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤或優(yōu)盤，軟盤或優(yōu)盤又傳染其他系統(tǒng)。

2)網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的傳播媒介不再是移動(dòng)式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強(qiáng)，破壞力更大。木馬病毒是目前網(wǎng)絡(luò)病毒中比較流行且破壞性較大的一種。2.3.2惡意軟件分類根據(jù)不同的特征和危害，惡意軟件可分為如下五類。

1.廣告軟件廣告軟件是指未經(jīng)用戶允許，下載并安裝在用戶電腦上，或與其他軟件捆綁，通過(guò)彈出式廣告等形式牟取商業(yè)利益的程序。此類軟件往往會(huì)強(qiáng)制安裝并無(wú)法卸載，在后臺(tái)收集用戶信息牟利，危及用戶隱私，并頻繁彈出廣告，消耗系統(tǒng)資源，使其運(yùn)行變慢等。

2.間諜軟件間諜軟件是一種能夠在用戶不知情的情況下，在電腦上安裝后門、收集用戶信息的軟件。用戶的隱私數(shù)據(jù)和重要信息會(huì)被“后門程序”捕獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的電腦被遠(yuǎn)程操縱，組成龐大的“僵尸網(wǎng)絡(luò)”。這是目前網(wǎng)絡(luò)安全的重要隱患之一。

3.瀏覽器劫持軟件瀏覽器劫持軟件是一種惡意程序，通過(guò)瀏覽器插件、BHO(瀏覽器輔助對(duì)象)、WinsockLSP等形式對(duì)用戶的瀏覽器進(jìn)行篡改，使用戶的瀏覽器配置不正常，被強(qiáng)行引導(dǎo)到商業(yè)網(wǎng)站。用戶在瀏覽網(wǎng)站時(shí)會(huì)被強(qiáng)行安裝此類插件，普通用戶根本無(wú)法將其卸載。被劫持后，用戶只要上網(wǎng)就會(huì)被強(qiáng)行引導(dǎo)到其指定的網(wǎng)站，嚴(yán)重影響正常上網(wǎng)瀏覽。

4.行為記錄軟件行為記錄軟件是指未經(jīng)用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個(gè)人行為的軟件。一些軟件會(huì)在后臺(tái)記錄用戶訪問(wèn)過(guò)的網(wǎng)站并加以分析，有的甚至?xí)l(fā)送給專門的商業(yè)公司或機(jī)構(gòu)，此類機(jī)構(gòu)會(huì)據(jù)此窺測(cè)用戶的愛(ài)好，并進(jìn)行相應(yīng)的廣告推廣或商業(yè)活動(dòng)。

5.惡意共享軟件惡意共享軟件是指某些共享軟件為了獲取利益，采用誘騙手段、試用陷阱等方式強(qiáng)迫用戶注冊(cè)，或在軟件體內(nèi)捆綁各類惡意插件，未經(jīng)允許即將其安裝到用戶機(jī)器里。使用“試用陷阱”強(qiáng)迫用戶進(jìn)行注冊(cè)，否則可能會(huì)丟失個(gè)人資料等數(shù)據(jù)。軟件集成的插件可能會(huì)造成用戶瀏覽器被劫持、隱私被竊取等。目前互聯(lián)網(wǎng)上傳播較廣的惡意軟件有Yahoo(雅虎)上網(wǎng)助手、CNNICChinesekeywords(CNNIC中文關(guān)鍵字搜索)、Baidu.Sobar(百度搜霸)、Sogou(搜狗)、Baigoo(百狗)、DuduAccelerator(Dudu加速器)、Caishow(彩秀)、DMCast(桌面?zhèn)髅?、很棒小秘書、一搜工具條、劃詞搜索等。2.4病毒的檢測(cè)、防范與清除2.4.1病毒的檢測(cè)計(jì)算機(jī)病毒的檢測(cè)是指通過(guò)一定的技術(shù)手段，采用具體的檢測(cè)方法，判定出計(jì)算機(jī)病毒的一種技術(shù)。病毒檢測(cè)技術(shù)主要有兩種，其一是根據(jù)計(jì)算機(jī)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長(zhǎng)度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)；其二是不針對(duì)具體病毒程序的自身檢驗(yàn)技術(shù)，即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，從而檢測(cè)到病毒的存在。病毒檢測(cè)的方法有特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、軟件模擬法等，這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開(kāi)銷不同，檢測(cè)范圍也不同，各有所長(zhǎng)。

1.特征代碼法

特征代碼法被早期應(yīng)用于SCAN、CPAV等著名病毒檢測(cè)工具中。國(guó)外專家認(rèn)為特征代碼法是檢測(cè)已知病毒的最簡(jiǎn)單、開(kāi)銷最小的方法。特征碼查毒就是檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。特征代碼法的實(shí)現(xiàn)步驟如下：

(1)采集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，則兩者病毒樣本都要采集。

(2)進(jìn)行病毒采樣時(shí)，抽取特征代碼應(yīng)遵循以下原則：①抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。②抽取的代碼要有適當(dāng)長(zhǎng)度，一方面要維持特征代碼的唯一性，另一方面又不要有太大的空間與時(shí)間的開(kāi)銷。③在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。

(3)將特征代碼納入病毒數(shù)據(jù)庫(kù)。

(4)打開(kāi)被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。

(5)如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，因此便可以斷定被查文件中感染有何種病毒。采用病毒特征代碼法的檢測(cè)工具，面對(duì)不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測(cè)工具便會(huì)老化，逐漸失去實(shí)用價(jià)值。病毒特征代碼法無(wú)法檢測(cè)新病毒。

2.校驗(yàn)和法對(duì)正常文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過(guò)程中，定期地或在每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，即可以發(fā)現(xiàn)文件是否被感染。校驗(yàn)和法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識(shí)別病毒種類，也不能報(bào)出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警。而且此種方法也會(huì)影響文件的運(yùn)行速度。病毒感染的確會(huì)引起文件內(nèi)容變化，但是校驗(yàn)和法對(duì)文件內(nèi)容的變化太敏感，又不能區(qū)分正常程序引起的變動(dòng)，而頻繁報(bào)警。用監(jiān)視文件校驗(yàn)和的方法來(lái)檢測(cè)病毒，不是最好的方法。校驗(yàn)法和在遇到已有軟件版本更新、變更口令、修改運(yùn)行參數(shù)等情況時(shí)，都會(huì)誤報(bào)警。校驗(yàn)和法對(duì)隱蔽性病毒無(wú)效。隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a，使校驗(yàn)和法受騙，對(duì)一個(gè)有毒文件算出正常校驗(yàn)和。

3.行為監(jiān)測(cè)法利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。通過(guò)對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見(jiàn)。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。這些作為監(jiān)測(cè)病毒的行為特征如下：

1)占有INT13H所有的引導(dǎo)型病毒都攻擊Boot扇區(qū)或主引導(dǎo)扇區(qū)。系統(tǒng)啟動(dòng)時(shí)，當(dāng)Boot扇區(qū)或主引導(dǎo)扇區(qū)獲得執(zhí)行權(quán)時(shí)，系統(tǒng)剛剛開(kāi)工。一般引導(dǎo)型病毒都會(huì)占用INT13H功能，因?yàn)槠渌到y(tǒng)功能未設(shè)置好，無(wú)法利用。引導(dǎo)型病毒占據(jù)INT13H功能，在其中放置病毒所需的代碼。

2)修改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，必須修改系統(tǒng)內(nèi)存總量。

3)對(duì)COM、EXE文件做寫入動(dòng)作病毒要感染，必須對(duì)COM、EXE文件做寫入動(dòng)作。

4)病毒程序與宿主程序的切換染毒程序運(yùn)行中，先運(yùn)行病毒，而后執(zhí)行宿主程序。

4.軟件模擬法多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法會(huì)失效。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無(wú)法找出相同的可能作為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢《镜姆N類，故難于進(jìn)行殺毒處理。2.4.2病毒的防范計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，采取必要的措施，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入并采取有效手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。計(jì)算機(jī)病毒防范措施是保障計(jì)算機(jī)系統(tǒng)正常、安全運(yùn)行的基礎(chǔ)，我們每一個(gè)計(jì)算機(jī)的使用者都要盡責(zé)、盡力做好這項(xiàng)工作。具體的防范措施有：

(1)留心其它形式文檔(如?.rtf、.pdf等)的使用。常見(jiàn)的宏病毒使用MicrosoftOffice程序傳播，減少使用這些文件類型的機(jī)會(huì)將降低病毒感染風(fēng)險(xiǎn)。

(2)注意郵件中附件的擴(kuò)展名。因?yàn)閃indows允許用戶在文件命名時(shí)使用多個(gè)擴(kuò)展名，而許多電子郵件程序只顯示第一個(gè)擴(kuò)展名，有時(shí)會(huì)造成一些假象。注意：不要打開(kāi)擴(kuò)展名為?.vbs、.shs和?.pif的郵件附件，因?yàn)橐话闱闆r下這些擴(kuò)展名的文件經(jīng)常被病毒和蠕蟲(chóng)使用。

(3)不要輕易運(yùn)行外來(lái)的程序。即使是熟悉的朋友們寄來(lái)的信件中夾帶的程序附件，如沒(méi)有在信中提及或說(shuō)明，也不要輕易運(yùn)行。

(4)不要盲目轉(zhuǎn)發(fā)信件。收到自認(rèn)為有趣的郵件時(shí)，不要盲目轉(zhuǎn)發(fā)，否則有可能會(huì)幫助病毒傳播。

(5)堵住系統(tǒng)漏洞。很多網(wǎng)絡(luò)病毒都是利用微軟的操作系統(tǒng)、IE和Outlook的漏洞進(jìn)行傳播的，因此需要特別注意及時(shí)為系統(tǒng)打補(bǔ)丁。

(6)禁止WindowsScriptingHost。對(duì)于通過(guò)腳本“工作”的病毒，可以在瀏覽器中禁止Java或ActiveX運(yùn)行，阻止病毒的發(fā)作。同時(shí)應(yīng)該把瀏覽器的隱私設(shè)置設(shè)為“高”。

(7)注意共享權(quán)限。一般情況下勿將磁盤上的文件夾設(shè)為共享，如果確有必要，可將權(quán)限設(shè)置為只讀，讀操作須指定口令。也不要用共享的磁盤安裝軟件，或者是復(fù)制共享的磁盤，這樣可能會(huì)導(dǎo)致病毒從一臺(tái)機(jī)器傳播到另一臺(tái)機(jī)器。

(8)從正規(guī)網(wǎng)站下載軟件。不要從任何不可靠的渠道下載軟件。通常我們無(wú)法判斷什么是不可靠的渠道，所以比較保險(xiǎn)的辦法是對(duì)安全下載的軟件在安裝前先做病毒掃描。

(9)設(shè)置自動(dòng)病毒檢查。確保你的計(jì)算機(jī)對(duì)插入的軟盤、光盤和其他的可插拔介質(zhì)，以及對(duì)電子郵件和互聯(lián)網(wǎng)文件都會(huì)做自動(dòng)的病毒檢查。

(10)做好重要數(shù)據(jù)和程序的備份。各種程序和軟件最好安裝在C盤，對(duì)生成或需要保存的數(shù)據(jù)文件、網(wǎng)上下載的文件等放在D盤或E盤中，對(duì)特別重要的數(shù)據(jù)、文件還應(yīng)在移動(dòng)存儲(chǔ)器或光盤中再作備份。

(11)安裝虛擬還原軟件。利用虛擬還原技術(shù)保護(hù)硬盤。虛擬還原的工作原理實(shí)際上是基于系統(tǒng)保護(hù)的，但它的保護(hù)做在系統(tǒng)的最底層，先于操作系統(tǒng)。在開(kāi)啟計(jì)算機(jī)后的使用中，虛擬還原軟件雖然不能攔截病毒的侵入，但可以在每次啟動(dòng)時(shí)提供一個(gè)純凈的、安全可靠的操作系統(tǒng)。

(12)使用最新殺毒軟件。不要以為安裝了殺毒軟件就可以高枕無(wú)憂，一定要及時(shí)升級(jí)病毒庫(kù)，否則殺毒軟件就會(huì)形同虛設(shè)；另外，要正確設(shè)置殺毒軟件的各項(xiàng)功能，充分發(fā)揮它的功效。

(13)安裝防病毒硬件。新一代的防病毒硬件是基于USB接口的，不用安裝與注冊(cè)，不占硬盤資源；采用芯片級(jí)設(shè)計(jì)，病毒不能對(duì)里面的內(nèi)容進(jìn)行改寫；通過(guò)加密隧道實(shí)現(xiàn)對(duì)防病毒硬件主控模塊及病毒代碼庫(kù)的升級(jí)。2.4.3病毒的清除一旦檢測(cè)到計(jì)算機(jī)病毒，就應(yīng)該想辦法將病毒立即清除。由于病毒的防治技術(shù)總是滯后于病毒的制作，所以并不是所有病毒都能馬上得以清除。清除計(jì)算機(jī)病毒的方法主要有：利用殺毒軟件進(jìn)行清除、采用手工方式進(jìn)行清除和利用還原技術(shù)進(jìn)行清除等。在執(zhí)行清除病毒操作前，應(yīng)對(duì)系統(tǒng)中的重要數(shù)據(jù)進(jìn)行備份，以免由于操作不當(dāng)，導(dǎo)致數(shù)據(jù)丟失。再有就是關(guān)閉Windows系統(tǒng)還原功能，以免系統(tǒng)自動(dòng)備份刪除的病毒文件。

1.利用殺毒軟件進(jìn)行清除目前市場(chǎng)上的殺毒軟件有許多種，可以根據(jù)自己的需要選購(gòu)適合自己的殺毒軟件。比較流行的殺毒軟件有瑞星殺毒軟件、江民殺毒軟件、金山毒霸、熊貓衛(wèi)士、諾頓殺毒軟件、安全之星等。

2.采用手工方式進(jìn)行清除

(1)利用Windows任務(wù)管理器查看系統(tǒng)運(yùn)行的進(jìn)程，找出不熟悉的進(jìn)程并記下其名稱，暫時(shí)不要結(jié)束這些進(jìn)程，因?yàn)橛械牟《净蚍欠ǖ倪M(jìn)程可能在此沒(méi)法結(jié)束。點(diǎn)擊性能查看CPU和內(nèi)存的當(dāng)前狀態(tài)，如果CPU的利用率接近100%或內(nèi)存的占用值居高不下，此時(shí)電腦中毒的可能性很大，應(yīng)及時(shí)中斷病毒進(jìn)程，進(jìn)行病毒的查殺。

(2)查看Windows當(dāng)前啟動(dòng)的服務(wù)項(xiàng)，在“控制面板”的“管理工具”里打開(kāi)“服務(wù)”?？从覚跔顟B(tài)為“啟動(dòng)”且啟動(dòng)類別為“自動(dòng)”項(xiàng)的行，一般而言，正常的Windows服務(wù)，基本上是有描述內(nèi)容的，此時(shí)雙擊打開(kāi)認(rèn)為有問(wèn)題的服務(wù)項(xiàng)查看其屬性里的可執(zhí)行文件的路徑和名稱。

(3)運(yùn)行注冊(cè)表編輯器(命令為regedit或regedt32)，查看都有哪些程序與Windows一起啟動(dòng)。主要看HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run主鍵和后面的RunOnce主鍵，查看窗體右側(cè)的項(xiàng)值，看是否有非法的啟動(dòng)項(xiàng)。根據(jù)病毒的情況，刪除或還原系統(tǒng)注冊(cè)表中相應(yīng)的選項(xiàng)。

(4)用瀏覽器上網(wǎng)判斷。前一陣發(fā)作的Gaobot病毒，用戶可以上,等網(wǎng)站，但是不能訪問(wèn)諸如,這樣著名的安全廠商的網(wǎng)站，系統(tǒng)中安裝的SymantecNorton2004殺毒軟件不能上網(wǎng)升級(jí)。

(5)系統(tǒng)文件的恢復(fù)，其一，檢查Win.ini文件中關(guān)于[Windows]的部分，例如：[Windows]load=file.exerun=file.exe其二，檢查System.ini文件中關(guān)于[boot]的部分，例如：[boot]Shell=Explorer.exefile.exe刪除其中有可能是病毒的部分(file.exe)。

3.利用還原技術(shù)進(jìn)行清除

1)應(yīng)用“系統(tǒng)還原”清除病毒打開(kāi)系統(tǒng)分區(qū)的系統(tǒng)還原，定期建立還原點(diǎn)，一旦發(fā)現(xiàn)自己電腦感染了病毒，馬上利用系統(tǒng)還原恢復(fù)到系統(tǒng)正常的某天的還原點(diǎn)。

2)應(yīng)用Ghost恢復(fù)備份的映像文件在計(jì)算機(jī)格式化后重新安裝操作系統(tǒng)，用Ghost做個(gè)系統(tǒng)影像備份并將備份文件刻錄到光盤上。當(dāng)操作系統(tǒng)或各種應(yīng)用軟件出現(xiàn)異常時(shí)，用干凈的軟盤或光盤啟動(dòng)計(jì)算機(jī)，然后用Ghost還原操作系統(tǒng)即可。

3)應(yīng)用還原卡清除病毒使用還原卡可以將計(jì)算機(jī)的系統(tǒng)分區(qū)或其他需要保護(hù)的分區(qū)保護(hù)起來(lái)，可以將還原卡設(shè)定為下次啟動(dòng)或過(guò)一定的時(shí)間后對(duì)系統(tǒng)進(jìn)行自動(dòng)還原，這樣，在此期間內(nèi)對(duì)系統(tǒng)所做的修改將不復(fù)存在，免去了系統(tǒng)每使用一段時(shí)間后就由于種種原因造成系統(tǒng)紊亂、經(jīng)常出現(xiàn)藍(lán)屏或被病毒感染而不得不再次重裝系統(tǒng)之苦。2.4.4病毒防治的最新產(chǎn)品

1.卡巴斯基

Kaspersky(卡巴斯基)殺毒軟件來(lái)源于俄羅斯，是世界上最優(yōu)秀的網(wǎng)絡(luò)殺毒軟件之一。

Kaspersky(卡巴斯基)殺毒軟件具有超強(qiáng)的中心管理和殺毒能力，能真正實(shí)現(xiàn)帶毒殺毒。它提供了所有類型的抗病毒防護(hù)：抗病毒掃描儀、監(jiān)控器、行為阻斷和完全檢驗(yàn)。它支持幾乎所有的普通操作系統(tǒng)、E-mail通路和防火墻。Kaspersky控制所有可能的病毒進(jìn)入端口，它強(qiáng)大的功能和局部靈活性以及網(wǎng)絡(luò)管理工具為自動(dòng)信息搜索、中央安裝和病毒防護(hù)控制提供最大的便利和最少的時(shí)間來(lái)建構(gòu)抗病毒分離墻。卡巴斯基官方網(wǎng)站：/。

2.諾頓360諾頓360是賽門鐵克(Symantec)的新一代一體化安全、備份和調(diào)整服務(wù)，可以自動(dòng)保護(hù)用戶的PC、數(shù)據(jù)和交易，這款新的防毒軟件提供新一代的AllInOne解決方案，對(duì)電腦安全、在線交易安全、備份還原和電腦效能調(diào)校提供了全方位的防護(hù)。諾頓官方網(wǎng)站：/region/cn/。

3.?McAfeeVirusScanEnterprise8.5i

McAfeeVirusScanEnterprise8.5i產(chǎn)品中添加了McAfeeAntiSpywareEnterprise模塊。該模塊提供一組附加的防病毒訪問(wèn)保護(hù)規(guī)則，還具備檢查Cookies、注冊(cè)表以及內(nèi)存中運(yùn)行的文件的功能。VirusScanEnterprise利用自身技術(shù)和上述功能可提供額外保護(hù)，以防止廣告程序、間諜程序和其他有害程序的侵入。

McAfee官方網(wǎng)站：/cn/。

4.江民殺毒軟件KV2008江民殺毒軟件KV2008是全球首家具有災(zāi)難恢復(fù)功能的智能主動(dòng)防御的殺毒軟件，采用了新一代智能分級(jí)高速殺毒引擎，占用系統(tǒng)資源少，掃描速度得到了大幅提升，突破了“災(zāi)難恢復(fù)”和“病毒免殺”兩大世界性難題，可有效防殺超過(guò)40萬(wàn)種的計(jì)算機(jī)病毒、木馬、網(wǎng)頁(yè)惡意腳本、后門黑客程序等惡意代碼以及絕大部分未知病毒。江民公司網(wǎng)站：/。

5.金山毒霸2007金山毒霸2007殺毒套裝包括了金山毒霸、金山反間諜、金山網(wǎng)鏢和金山漏洞修復(fù)四重保護(hù)。集成“數(shù)據(jù)流殺毒”和“主動(dòng)實(shí)時(shí)搶先升級(jí)”兩大領(lǐng)先技術(shù)，“反網(wǎng)絡(luò)間諜”、“反網(wǎng)絡(luò)釣魚”和“主動(dòng)漏洞修復(fù)”三大核心引擎，以及“個(gè)人隱私信息保護(hù)”、“啟動(dòng)搶先加載殺毒”、“文件粉碎”、“應(yīng)急U盤創(chuàng)建”四大利器，能更好地保護(hù)網(wǎng)絡(luò)安全。另外還有十多個(gè)安全實(shí)用小工具、數(shù)十項(xiàng)安全設(shè)置選項(xiàng)及安全防護(hù)功能，以及一套龐大而完整的安全防御體系。軟件全新推出了毒霸“安全中心”，以便于用戶對(duì)整個(gè)金山毒霸2007套裝進(jìn)行統(tǒng)一的操控。金山公司網(wǎng)站：/。

6.瑞星2008瑞星2008是一款功能強(qiáng)大，應(yīng)用大量創(chuàng)新技術(shù)的新一代反病毒產(chǎn)品。產(chǎn)品采用了全新的架構(gòu)，除了“殺毒”、“監(jiān)控”等傳統(tǒng)功能外，還增加了“防御”、“安檢”等全新的功能模塊，在易用性和查殺毒能力方面有了顯著的提高。瑞星2008中的“賬號(hào)保險(xiǎn)柜”無(wú)需用戶做任何操作即可自動(dòng)保護(hù)MSN程序，不但能防止病毒通過(guò)注入DLL、篡改內(nèi)存、讀取內(nèi)存、發(fā)送消息等方式竊取賬號(hào)密碼，還可以防止病毒模擬鍵盤發(fā)送垃圾消息，從根本上阻止MSN蠕蟲(chóng)類病毒的傳播感染。瑞星2008中的“主動(dòng)防御”殺毒軟件通過(guò)對(duì)幾十萬(wàn)種病毒的危險(xiǎn)行為分析，結(jié)合大量中毒用戶的案例，預(yù)先設(shè)置安全規(guī)則，在電腦開(kāi)啟后就可直接查殺病毒及惡意軟件。瑞星公司網(wǎng)站：/。2.5惡意軟件的防范與清除2.5.1惡意軟件的防范要想有效地防范惡意軟件的入侵，需要用戶在使用計(jì)算機(jī)的過(guò)程中加強(qiáng)安全防范意識(shí)，利用掌握的計(jì)算機(jī)知識(shí)，盡可能多地排除系統(tǒng)安全隱患，將惡意軟件擋在系統(tǒng)之外。通?？梢圆扇∫韵乱恍┐胧﹣?lái)防范惡意軟件的入侵。

1.加強(qiáng)系統(tǒng)安全設(shè)置

(1)及時(shí)更新系統(tǒng)補(bǔ)丁。下載最新的ServicePack和漏洞補(bǔ)丁，并將計(jì)算機(jī)的“系統(tǒng)更新”設(shè)置為自動(dòng)，最大限度地減少系統(tǒng)存在的漏洞。

(2)嚴(yán)格賬號(hào)管理。停用Guest賬號(hào)，把Administrator賬號(hào)改名。刪除所有的Duplicateuser賬號(hào)、測(cè)試賬號(hào)、共享賬號(hào)等。不同的用戶組設(shè)置不同的權(quán)限，嚴(yán)格限制具有管理員權(quán)限的用戶數(shù)量，確保不存在密碼為空的賬號(hào)。

(3)關(guān)閉不必要的服務(wù)和端口。禁用一些不需要的或者存在安全隱患的服務(wù)。如遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面、遠(yuǎn)程注冊(cè)表、Telnet等服務(wù)，在不需要應(yīng)用時(shí)應(yīng)關(guān)閉。

2.養(yǎng)成良好的電腦使用習(xí)慣

(1)不要隨意打開(kāi)不明網(wǎng)站，盡量訪問(wèn)熟悉的站點(diǎn)。很多惡意軟件都是通過(guò)惡意網(wǎng)站進(jìn)行傳播的。當(dāng)用戶使用瀏覽器打開(kāi)這些惡意網(wǎng)站時(shí)，系統(tǒng)會(huì)自動(dòng)從后臺(tái)下載惡意軟件，并在用戶不知情的情況下安裝到用戶的電腦中。

(2)盡量到知名下載網(wǎng)站下載軟件。惡意軟件的重要傳播渠道之一是在共享或漢化軟件里強(qiáng)行捆綁，因此要選擇可信賴的站點(diǎn)下載軟件，如華軍軟件園、天空軟件等大型的知名下載網(wǎng)站。

(3)安裝軟件時(shí)要看清楚才點(diǎn)擊。很多捆綁了惡意軟件的安裝程序都有一些說(shuō)明，需要在安裝時(shí)注意加以選擇，不能“下一步”到底，要仔細(xì)看清楚。例如安裝捆綁了惡意軟件的暴風(fēng)影音時(shí)，安裝向?qū)?huì)提示安裝相關(guān)流氓軟件的提示列表。被捆綁的惡意軟件在安裝時(shí)都有一個(gè)釋放過(guò)程，一般是釋放到系統(tǒng)的臨時(shí)文件夾，如果在安裝軟件時(shí)發(fā)現(xiàn)異常，可啟動(dòng)任務(wù)管理器終止應(yīng)用程序的安裝。通過(guò)進(jìn)程列表可看到被釋放的惡意軟件安裝程序進(jìn)程，根據(jù)進(jìn)程路徑打開(kāi)目錄將惡意軟件刪除即可。

(4)禁用或限制使用Java程序及ActiveX控件。惡意軟件經(jīng)常使用Java、Java

Applet、ActiveX編寫的腳本獲取用戶標(biāo)識(shí)、IP地址、口令等信息，甚至可在計(jì)算機(jī)上安裝某些程序或進(jìn)行其他操作。2.5.2惡意軟件的清除感染惡意軟件后，電腦通常會(huì)出現(xiàn)運(yùn)行速度變慢、瀏覽器異常、系統(tǒng)混亂甚至系統(tǒng)崩潰等問(wèn)題。清除惡意軟件一般采用如下幾種方法。

1.手工清除如果發(fā)覺(jué)自己的計(jì)算機(jī)感染了少量惡意軟件，可以嘗試用手工方法將其清除。具體清除步驟如下：

第1步，重啟計(jì)算機(jī)，開(kāi)機(jī)按F8鍵，選擇進(jìn)入安全模式。第2步，刪除瀏覽器的Internet臨時(shí)文件、Cookies、歷史記錄和系統(tǒng)臨時(shí)文件。第3步，在“控制面板”→“添加或刪除程序”中查找惡意軟件，如果存在將其卸載。找到惡意軟件的安裝目錄，將其連同其中的文件一并刪除。第4步，在“運(yùn)行”中輸入“regedit”，進(jìn)入注冊(cè)表編輯器，在注冊(cè)表中查找是否存在含有惡意軟件的項(xiàng)、值或數(shù)據(jù)，如果存在，將其刪除。以上四步完成以后，重啟計(jì)算機(jī)進(jìn)入正常模式，通常惡意軟件即可被清除。

2.采用專業(yè)清除軟件有些惡意軟件使用手工的方法已很難徹底清除，則可采用一些專業(yè)的軟件來(lái)進(jìn)行清除。目前，互聯(lián)網(wǎng)上可供查殺惡意軟件的工具很多，其中查殺效果較好的有360安全衛(wèi)士、超級(jí)兔子上網(wǎng)精靈、惡意軟件清理助手、Windows流氓軟件清理大師、流氓軟件殺手、瑞星卡卡上網(wǎng)助手等。

注意：專業(yè)清除軟件最好在安全模式下運(yùn)行，這樣可使得惡意軟件的查殺更為徹底?！緦?shí)例】1.實(shí)例任務(wù)描述：“熊貓燒香”病毒的清除“熊貓燒香”(Worm.WhBoy)病毒曾有一段時(shí)期在互聯(lián)網(wǎng)上瘋狂肆虐。該病毒采用“熊貓燒香”頭像作為圖標(biāo)，誘使用戶運(yùn)行。該病毒感染用戶計(jì)算機(jī)上的EXE可執(zhí)行文件，被病毒感染的文件圖標(biāo)均變?yōu)椤靶茇垷恪薄Ｍ瑫r(shí)，受感染的計(jì)算機(jī)還會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁(yè)文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁(yè)到網(wǎng)站后，就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。多家著名網(wǎng)站都曾遭到此類攻擊，而相繼被植入病毒。

2.操作提示下面介紹一個(gè)相對(duì)完整的清除“熊貓燒香”病毒的方案。

1)了解病毒信息病毒中文名為“熊貓燒香”(又稱武漢男生)病毒，英文名為Worm.WhBoy，目前發(fā)現(xiàn)的變種數(shù)已超過(guò)50個(gè)。

2)識(shí)別病毒表現(xiàn)“熊貓燒香”病毒有以下惡劣表現(xiàn)：

(1)感染病毒后發(fā)現(xiàn)較多的EXE文件圖標(biāo)變成點(diǎn)著香的熊貓，這也是該病毒命名的由來(lái)，現(xiàn)在發(fā)現(xiàn)的部分變種已經(jīng)不再使用這個(gè)廣為人知的圖標(biāo)了。

(2)部分變種可以直接通過(guò)互聯(lián)網(wǎng)更新版本，部分變種除感染?.exe文件外，還可以感染?.htm，.html，.asp，.php，.jsp，.aspx等網(wǎng)頁(yè)格式文件。

(3)一旦Web服務(wù)器被感染，將意味著所有瀏覽這些網(wǎng)頁(yè)的計(jì)算機(jī)都可能會(huì)自動(dòng)下載并感染上“熊貓燒香”病毒。

(4)該系列變種會(huì)釋放以下幾個(gè)典型文件：分區(qū)根目錄下：setup.exe、autorun.inf；系統(tǒng)文件夾下：Fuckjacks.exe；Driversspoclsv.exe；局域網(wǎng)環(huán)境下：GameSetup.exe。

3)查看病毒行為“熊貓燒香”病毒存在以下行為：

(1)刪除常用殺毒軟件在注冊(cè)表中的啟動(dòng)項(xiàng)或服務(wù)，終止殺毒軟件的進(jìn)程，該操作幾乎涉及目前所有的殺毒軟件。

(2)終止部分安全輔助工具的進(jìn)程，如IceSword、任務(wù)管理器taskman等。

(3)終止維金的相關(guān)進(jìn)程Logo1_.exe、Rundl123.exe。

(4)弱口令破解局域網(wǎng)其他電腦的Administror賬號(hào)，并用GameSetup.exe進(jìn)行復(fù)制傳播。

(5)修改注冊(cè)表鍵值，導(dǎo)致不能查看隱藏文件和系統(tǒng)文件。

(6)除特定目錄外，病毒會(huì)嘗試破壞其它分區(qū)的部分?.exe、.com、.gho、.pif、.scr文件，病毒不會(huì)去感染以下目錄中的文件：(這給我們解決此病毒留下了機(jī)會(huì)。)

WINDOW，Winnt，SystemVolumeInformation，Recycled，WindowsNT，WindowsUpdate，WindowsMediaPlayer，OutlookExpress，InternetExplorer，NetMeeting，CommonFiles，ComPlusApplications，Messenger，InstallShieldInstallationInformation，MSN，MicrosoftFrontPage，MovieMaker，MSNGaminZone。

(7)病毒會(huì)刪除擴(kuò)展名為?.gho的文件(該文件是一系統(tǒng)備份工具GHOST的備份文件)，使用戶的系統(tǒng)備份文件丟失。

4)具體清除辦法

(1)采用專殺工具清除。首先上網(wǎng)下載專殺工具，例如瑞星、江民等公司均有針對(duì)該病毒的專殺工具。按要求正確安裝專殺工具，點(diǎn)擊“升級(jí)”按鈕，升級(jí)殺毒軟件到最新版本，然后進(jìn)行全盤殺毒。

(2)使用殺毒軟件清除。下面以使用毒霸2007為例，介紹查殺“熊貓燒香”病毒的操作方法：第1步，單擊“開(kāi)始”→“運(yùn)行”，輸入“msconfig”，點(diǎn)擊“確定”，打開(kāi)系統(tǒng)配置實(shí)用程序，點(diǎn)擊BOOT.INI標(biāo)簽。第2步，按圖2-1修改配置，重啟，進(jìn)入帶網(wǎng)絡(luò)連接的安全模式。第3步，升級(jí)殺毒軟件后殺毒。圖2-1修改配置

(3)手動(dòng)清除。因?yàn)椤靶茇垷恪辈《臼歉腥拘偷牟《?，手工清除相?dāng)麻煩，網(wǎng)友公布的手工清除方案只能手工結(jié)束病毒進(jìn)程，一旦運(yùn)行了感染過(guò)“熊貓燒香”病毒的程序，還會(huì)再次感染病毒。以下簡(jiǎn)單介紹手工結(jié)束病毒進(jìn)程以及修復(fù)注冊(cè)表項(xiàng)的步驟：第1步，斷開(kāi)網(wǎng)絡(luò)(禁用網(wǎng)卡或拔掉網(wǎng)線)。第2步，結(jié)束病毒進(jìn)程。因?yàn)樵谝迅腥静《镜臋C(jī)器上任務(wù)管理器、IceSword等無(wú)法運(yùn)行，所以建議去/technet/sysinternals/ProcessesAndThreads/下載ProcessExplorer備用。如果在進(jìn)程中發(fā)現(xiàn)FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服務(wù)就差一個(gè)字母，打印服務(wù)文件名為spoolsv.exe)，就用這個(gè)工具結(jié)束進(jìn)程。第3步，在本地計(jì)算機(jī)上搜索并刪除以下病毒執(zhí)行文件：分區(qū)根目錄下的setup.exe、autorun.inf(這個(gè)本身不是病毒，但它的存在是為了雙擊磁盤自動(dòng)調(diào)用病毒程序，建議把它刪了)，系統(tǒng)文件夾下的Fuckjacks.exe、Driversspoclsv.exe，局域網(wǎng)環(huán)境下的GameSetup.exe。第4步，選擇“開(kāi)始”→“運(yùn)行”，輸入“regedit”，確定后，打開(kāi)注冊(cè)表編輯器，刪除病毒創(chuàng)建的啟動(dòng)項(xiàng)：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%FuckJacks.exe"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%FuckJacks.exe"第5步，打開(kāi)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL主鍵，單擊右鍵，選擇“新建”→“Dword值”，命名為“CheckedValue”(如果已經(jīng)存在，可以刪除后重建)，修改它的鍵值為1，十六進(jìn)制，按確定后，退出注冊(cè)表編輯器。這用于恢復(fù)文件夾選項(xiàng)中的“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。第6步：修復(fù)或重新安裝反病毒軟件，以恢復(fù)被病毒刪除的相關(guān)注冊(cè)鍵值，恢復(fù)殺毒軟件的功能。第7步：更新反病毒軟件并進(jìn)行全盤掃描，把感染的?.exe程序及網(wǎng)頁(yè)文件修復(fù)。特別提醒網(wǎng)頁(yè)編輯，一定要保護(hù)好自己編輯的Web文檔，保護(hù)好自己的Web服務(wù)器，如果發(fā)現(xiàn)網(wǎng)站上傳文件帶毒，應(yīng)該及時(shí)刪除并重新上傳。

5)預(yù)防方法按以上方法處理完后，熊貓燒香病毒很有可能再進(jìn)入系統(tǒng)，怎么辦？我們必須做好預(yù)防工作。

(1)首先給本機(jī)設(shè)一個(gè)復(fù)雜密碼，如果沒(méi)有特殊應(yīng)用的話，可禁用本機(jī)共享，方法為禁用server服務(wù)。

(2)安裝殺毒軟件，并升級(jí)到最新版本，查殺全部分區(qū)。

(3)更新操作系統(tǒng)補(bǔ)丁?！疽呻y解析】問(wèn)題1：對(duì)染毒軟盤進(jìn)行dir操作會(huì)感染病毒嗎?答：不會(huì)。如果計(jì)算機(jī)的內(nèi)存沒(méi)有病毒，那么只有在執(zhí)行了帶有病毒的程序(文件)后，才會(huì)感染病毒。而dir命令由于是DOS的內(nèi)部命令，不需要執(zhí)行任何外部的程序(文件)，因此對(duì)染毒軟盤進(jìn)行dir操作不會(huì)感染病毒。不過(guò)需要注意的是，如果計(jì)算機(jī)內(nèi)存已有病毒(或者說(shuō)計(jì)算機(jī)已染毒)，如果對(duì)沒(méi)有染病毒的磁盤進(jìn)行dir操作，就可能感染磁盤。說(shuō)可能會(huì)感染是因?yàn)橛行┎《静粫?huì)通過(guò)dir操作傳播。問(wèn)題2：是否將文件改為只讀方式就不會(huì)感染病毒?答：不是。這對(duì)防范病毒沒(méi)有任何用處。既然你可以通過(guò)計(jì)算機(jī)將文件改為只讀方式，那以傳播自身為目的的病毒當(dāng)然也可以通過(guò)計(jì)算機(jī)將文件改回可寫的方式。問(wèn)題3：病毒會(huì)感染寫保護(hù)的磁盤嗎?答：不會(huì)。寫保護(hù)和文件只讀方式不同，設(shè)置文件只讀方式通過(guò)計(jì)算機(jī)，所以病毒可以將其改成非只讀；而寫保護(hù)是從硬件上實(shí)現(xiàn)的，病毒無(wú)法去掉寫保護(hù)。問(wèn)題4：Word文檔不是可執(zhí)行文件(非?.com、.exe文件)，為什么也會(huì)有病毒?答：病毒是一段程序。.com文件和?.exe文件實(shí)際上都是一段程序。而Word中因?yàn)榭梢园欢纬绦?宏)，所以有病毒絲毫不奇怪。問(wèn)題5：數(shù)據(jù)文件會(huì)感染病毒嗎?比如是否會(huì)感染.pcx、.jpeg、.tif等圖形文件。答：一般不會(huì)。因?yàn)椴《臼且欢纬绦?，而?shù)據(jù)文件一般不包含程序，當(dāng)然就不會(huì)感染病毒。.pcx、.jpeg、.tif等圖形文件因?yàn)榭隙ú话绦颍钥赡懿粫?huì)感染病毒。不過(guò)有些病毒會(huì)破壞各種文件，所以備份數(shù)據(jù)文件還是非常必要的。問(wèn)題6：使用反病毒軟件可以防范所有病毒嗎?答：這是不可能的?？梢杂煤芎?jiǎn)單的推理說(shuō)明：沒(méi)有任何方法可以100%地識(shí)別出病毒。最有效的防范是：首先加強(qiáng)管理、提高警惕，經(jīng)常備份數(shù)據(jù)、文件，然后使用一些防病毒軟件。使用防病毒軟件是為了輔助防毒，它不可能是刀槍不入的保鏢。問(wèn)題7：殺毒軟件殺毒后，能讓文件完全恢復(fù)原樣嗎?答：有些病毒破壞了文件的某些內(nèi)容，在殺除這種病毒后是不能恢復(fù)文件的原貌的。問(wèn)題8：如何限制或禁用Java和ActiveX控件？答：限制或禁用Java和ActiveX控件的具體步驟如下：打開(kāi)IE瀏覽器“工具”菜單中的“Internet選項(xiàng)”，選擇“安全”選項(xiàng)卡，單擊“Internet”，單擊“自定義級(jí)別”按鈕，進(jìn)入“安全設(shè)置”對(duì)話框，就可以設(shè)置“ActiveX控件和插件”、“Java”、“腳本”、“下載”、“用戶驗(yàn)證”以及其它安全選項(xiàng)了。對(duì)于一些不太安全的控件或插件以及下載操作，應(yīng)該予以禁止、限制，至少要進(jìn)行提示。選擇完后單擊“確定”按鈕使設(shè)置生效?！局R(shí)能力拓展】認(rèn)清新時(shí)代下的網(wǎng)絡(luò)病毒傳統(tǒng)網(wǎng)絡(luò)病毒的定義是指利用網(wǎng)絡(luò)進(jìn)行傳播的一類病毒的總稱。而網(wǎng)絡(luò)時(shí)代的網(wǎng)絡(luò)病毒是指以網(wǎng)絡(luò)為平臺(tái)，對(duì)計(jì)算機(jī)產(chǎn)生安全威脅的所有程序的總和。

1.由“騙子”升級(jí)為“間諜”——木馬病毒(Trojan)傳統(tǒng)的木馬病毒是指一些有正常程序外表的病毒程序，例如一些密碼竊取病毒，它會(huì)偽裝成系統(tǒng)登錄框的模樣，當(dāng)用戶在登錄框中輸入用戶名與密碼時(shí)，這個(gè)假的登錄框木馬便會(huì)將用戶口令通過(guò)網(wǎng)絡(luò)泄漏出去。如果說(shuō)傳統(tǒng)的木馬病毒是個(gè)騙子的話，那么現(xiàn)在的木馬病毒則更像一個(gè)間諜?，F(xiàn)在的木馬病毒一般是指利用系統(tǒng)漏洞進(jìn)入用戶的計(jì)算機(jī)系統(tǒng)，通過(guò)修改注冊(cè)表自啟動(dòng)，運(yùn)行時(shí)有意不讓用戶察覺(jué)，將用戶計(jì)算機(jī)中的所有信息都暴露在網(wǎng)絡(luò)中的病毒程序。如今木馬病毒更多地是扮演“里通外國(guó)”的角色。大多數(shù)黑客程序的服務(wù)器端都是木馬病毒。

2.不斷自我完善——蠕蟲(chóng)病毒(Worm)蠕蟲(chóng)病毒是指利用網(wǎng)絡(luò)缺陷進(jìn)行繁殖的病毒程序，像當(dāng)年的“莫里斯”病毒就是典型的蠕蟲(chóng)病毒。它利用網(wǎng)絡(luò)的缺陷在網(wǎng)絡(luò)中大量繁殖，導(dǎo)致幾千臺(tái)服務(wù)器無(wú)法正常提供服務(wù)。如今的蠕蟲(chóng)病毒除了利用網(wǎng)絡(luò)缺陷外，更多地利用了一些新的技術(shù)，比如說(shuō)“求職信”病毒，就是利用郵件系統(tǒng)這一大眾化的平臺(tái)，將自己傳遍千家萬(wàn)戶；而“密碼”病毒是利用人們的好奇心理，誘使用戶來(lái)主動(dòng)運(yùn)行病毒；“尼姆達(dá)”病毒則是綜合了系統(tǒng)病毒的方法，利用感染文件來(lái)加速自己的傳播。

3.一枝“新秀”——黑客程序(Hack)黑客程序產(chǎn)生的年代由來(lái)已久，但在過(guò)去，從沒(méi)有人將它看做是病毒，理由是，黑客程序只是一個(gè)工具，它有界面又不會(huì)傳染，不能算做病毒。而隨著網(wǎng)絡(luò)的發(fā)展與人們?nèi)找嬖鲩L(zhǎng)的安全需求，我們必須重新來(lái)看待黑客程序。黑客程序一般都有攻擊性，它會(huì)利用漏洞在遠(yuǎn)程控制計(jì)算機(jī)，甚至直接破壞計(jì)算機(jī)；黑客程序通常會(huì)在用戶的計(jì)算機(jī)中植入一個(gè)木馬病毒，與木馬病毒內(nèi)外勾結(jié)，對(duì)計(jì)算機(jī)安全構(gòu)成威脅。所以黑客程序也是一種網(wǎng)絡(luò)病毒。像“冰河”病毒、“BO”病毒，它們功能強(qiáng)大到可以在遠(yuǎn)端控制計(jì)算機(jī)做任何事情。

4.新型病毒——捆綁器病毒(Binder)捆綁器病毒是一個(gè)很新的概念，人們編寫這些程序的最初目的是希望通過(guò)一次點(diǎn)擊可以同時(shí)運(yùn)行多個(gè)程序，然而這一工具卻成了病毒的新幫兇。比如說(shuō)，用戶可以將一個(gè)小游戲與病毒通過(guò)捆綁器程序捆綁，當(dāng)用戶運(yùn)行游戲時(shí)，病毒也會(huì)同時(shí)悄悄地運(yùn)行，給用戶計(jì)算機(jī)造成危害。由于捆綁器會(huì)將兩個(gè)程序重新組合，產(chǎn)生一個(gè)自己的特殊格式，所以捆綁器程序的出現(xiàn)，使新變種病毒產(chǎn)生的速度大大增加了。為了對(duì)付新情況，各大殺毒廠商都將此類型程序定義成一種新病毒——捆綁器病毒，像瑞星2003版殺毒軟件還針對(duì)此種病毒推出了新的殺毒引擎，可見(jiàn)此病毒已經(jīng)得到了人們更多的關(guān)注。

5.新幫兇——網(wǎng)頁(yè)病毒網(wǎng)頁(yè)病毒是利用網(wǎng)頁(yè)來(lái)進(jìn)行破壞的病毒，它存在于網(wǎng)頁(yè)之中，其實(shí)它就是利用Script語(yǔ)言編寫的一些惡意代碼。當(dāng)用戶登錄某些含有網(wǎng)頁(yè)病毒的網(wǎng)站時(shí)，網(wǎng)頁(yè)病毒便被悄悄激活，這些病毒一旦激活，就可以利用系統(tǒng)的一些資源進(jìn)行破壞：輕則修改用戶的注冊(cè)表，使用戶的首頁(yè)、瀏覽器標(biāo)題改變；重則可以關(guān)閉系統(tǒng)的很多功能，使用戶無(wú)法正常使用計(jì)算機(jī)系統(tǒng)；更甚者可以將用戶的系統(tǒng)進(jìn)行格式化。而這種網(wǎng)頁(yè)病毒容易編寫和修改，使用戶防不勝防，最好的防范方法是選用有網(wǎng)頁(yè)監(jiān)控功能的殺毒軟件。新時(shí)代下的電腦病毒越來(lái)越“智能”，此時(shí)除了需要反病毒技術(shù)不斷提高外，還需要廣大計(jì)算機(jī)用戶提高防范病毒意識(shí)。只有安全廠商和用戶共同努力，才可以有效地遏制病毒的破壞?！颈菊滦〗Y(jié)】本章主要介紹計(jì)算機(jī)病毒的基礎(chǔ)知識(shí)，讓讀者在了解什么是計(jì)算機(jī)病毒以及計(jì)算機(jī)病毒的特點(diǎn)、分類和危害的同時(shí)，又進(jìn)一步了解檢測(cè)、防范和清除計(jì)算機(jī)病毒的有效方法，并針對(duì)網(wǎng)絡(luò)病毒獨(dú)有的特點(diǎn)進(jìn)行了分析和說(shuō)明，提出了網(wǎng)絡(luò)病毒的防治措施，最后通過(guò)清除病毒實(shí)例告訴讀者具體消除病毒的方法和措施。實(shí)訓(xùn)一防病毒軟件的使用※實(shí)訓(xùn)目的※

(1)了解計(jì)算機(jī)病毒的特點(diǎn)及危害。

(2)掌握江民殺毒軟件KV2008的下載和安裝。

(3)學(xué)會(huì)殺毒軟件的設(shè)置方法。

(4)熟練使用KV2008進(jìn)行病毒的查殺。※實(shí)訓(xùn)環(huán)境※

(1)硬件環(huán)境：計(jì)算機(jī)。

(2)軟件環(huán)境：WindowsXP/2000/2003。

(3)網(wǎng)絡(luò)環(huán)境：連接Internet?！鶎?shí)訓(xùn)內(nèi)容※

(1)搜索、下載、安裝江民殺毒軟件KV2008。

(2)對(duì)江民殺毒軟件KV2008進(jìn)行相關(guān)設(shè)置。

(3)江民殺毒軟件KV2008的使用。※實(shí)訓(xùn)基礎(chǔ)知識(shí)※江民殺毒軟件KV2008采用了新一代智能分級(jí)高速殺毒引擎，占用系統(tǒng)資源少，掃描速度得到了大幅提升，突破了“災(zāi)難恢復(fù)”和“病毒免殺”兩大世界性難題。KV2008可有效防殺超過(guò)40萬(wàn)種的計(jì)算機(jī)病毒、木馬、網(wǎng)頁(yè)惡意腳本、后門黑客程序等惡意代碼以及絕大部分未知病毒。通過(guò)實(shí)訓(xùn)熟悉應(yīng)用程序的安裝，了解常用殺毒軟件的種類，了解計(jì)算機(jī)病毒的危害，掌握江民殺毒軟件KV2008的有關(guān)特點(diǎn)，掌握清除計(jì)算機(jī)病毒的有效方法與措施?！鶎?shí)訓(xùn)步驟※

1.搜索、下載KV2008打開(kāi)“InternetExplorer”，在地址欄中輸入：/，進(jìn)入江民殺毒軟件主頁(yè)，選擇“30天免費(fèi)直接下載”，下載江民殺毒軟件KV2008免費(fèi)版到本機(jī)。

2.江民殺毒軟件KV2008的安裝打開(kāi)剛才下載的KV2008免費(fèi)版程序，用鼠標(biāo)雙擊安裝程序“KV2008_DL.EXE”進(jìn)入安裝導(dǎo)航，按提示進(jìn)行安裝即可。提示：如果使用的是正版光盤，請(qǐng)運(yùn)行KV2008安裝光盤中的安裝導(dǎo)航程序Setup.exe。

3.江民殺毒軟件KV2008的設(shè)置在江民殺毒軟件KV2008主界面中，點(diǎn)擊【工具】選擇下拉菜單的【設(shè)置】選項(xiàng)進(jìn)入設(shè)置界面，如圖2-2所示。在此界面中，用戶可以根據(jù)自己的需求，選擇常用的功能進(jìn)行統(tǒng)一設(shè)置管理。設(shè)置管理的項(xiàng)目有安全級(jí)別、常規(guī)、顯示、掃描選項(xiàng)、監(jiān)視、嵌入、保護(hù)密碼、黑白名單管理、反垃圾郵件、網(wǎng)址過(guò)濾、升級(jí)、啟動(dòng)前掃描等12項(xiàng)，可根據(jù)需要進(jìn)行設(shè)置。圖2-2設(shè)置管理界面

4.利用江民殺毒軟件KV2008查殺病毒

KV2008提供了簡(jiǎn)潔操作臺(tái)(如圖2-3所示)、普通操作臺(tái)(如圖2-4所示)、托盤操作臺(tái)、桌面圖標(biāo)操作臺(tái)、桌面快捷方式操作臺(tái)、開(kāi)始菜單主程序操作臺(tái)等6種不同模式和功能的操作臺(tái)供用戶使用，用戶可以根據(jù)自己的需要方便、靈活、自由選擇啟動(dòng)江民殺毒軟件KV2008的方式。圖2-3簡(jiǎn)潔操作臺(tái)界面圖2-4普通操作臺(tái)界面

1)