計算機病毒的防御策略

1、13計算機病毒的防御策略摘 要隨著科技的進步，計算機不斷普及，其利用率越來越高。應(yīng)用領(lǐng)域也越來越廣。以計算機位單元的網(wǎng)絡(luò)系統(tǒng)更已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，計算機網(wǎng)絡(luò)的發(fā)展給我們?nèi)粘５墓ぷ骱蛯W(xué)習(xí)帶來了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。但是計算機的發(fā)展也是一把雙刃劍，在給人們帶來了快樂滿足和便利的同時也隨著計算機網(wǎng)絡(luò)的產(chǎn)生發(fā)展讓計算機安全受到了越來越多的威脅。伴隨著計算機系統(tǒng)的不斷進步，許多的計算機系統(tǒng)漏洞也被發(fā)現(xiàn)了出來，病毒與黑客的技巧和破壞能力的提高，導(dǎo)致處于網(wǎng)絡(luò)中的計算機受到越來越多的攻擊。每天成千上萬的病毒、蠕蟲、木馬、垃圾郵件在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)，破壞

2、計算機系統(tǒng)或丟失各種重要信息等：這些新型的混合威脅導(dǎo)致個人甚至企業(yè)出現(xiàn)了巨大的損失。在網(wǎng)絡(luò)日益復(fù)雜化、多樣化的今天，如何有效的保護計算機系統(tǒng)的安全，不被病毒等惡意信息攻擊，早已引起了社會的極大關(guān)注。為了加強目前計算機的防護能力，我們需要明確病毒的定義特點、危害、入侵路徑，進行綜合分析并作出有效的防御策略，以期能最大限度地減少計算機病毒帶來的危害。關(guān)鍵詞：計算機病毒；危害;防御 ；處理目 錄第一章 緒 論1.1計算機病毒的定義1.2計算機病毒的產(chǎn)生1.3計算機病毒的特性1.4計算機病毒的分類第2章 計算機病毒的危害 2.1電腦運行緩慢2.2消耗內(nèi)存以及磁盤空間2.3破壞硬盤以及電腦數(shù)據(jù)2.4狂發(fā)

3、垃圾郵件或其他信息，造成網(wǎng)絡(luò)堵塞或癱瘓2.5竊取用戶隱私、機密文件、賬號信息等2.6計算機病毒給用戶造成嚴重的心理壓力2.7 計算機病毒錯誤與不可預(yù)見的危害第3章 計算機病毒的防御策略 3.1計算機病毒的防范3.2計算機病毒的處理結(jié)論致謝參考文獻 第一章 緒 論1.1計算機病毒的定義 對于“計算機病毒”這個概念，很多專家和學(xué)者也做過許多不盡相同的定義。計算機病毒（Computer Virus），實際上應(yīng)該被稱作位“為達到特殊目的而制作和傳播的計算機代碼或程序”，或者被稱謂“惡意代碼”。真正從學(xué)術(shù)意義上最早提出“計算機病毒”概念的是美國計算機病毒研究專家F.Cohen博士。有關(guān)計算機病毒的定義有

4、多種，目前最流行的定義為：計算機病毒是一段附著在其他程序上的、可以自我繁殖的程序代碼。我國頒布實施的中華人民共和國計算機信息系統(tǒng)安全保護條例以及公安部出臺的計算機病毒防治管理辦法將計算機病毒定義如下 ：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。” 計算機病毒作為一種計算機程序，之所以被人們稱為“病毒”，最主要的原因就是它對計算機的破壞作用與醫(yī)學(xué)上的“病毒”對生物體的破壞作用極其相似，它與生物醫(yī)學(xué)上的“病毒”同樣具有傳染性和破壞性，因此我們就將生物醫(yī)學(xué)上的“病毒”概念進行引申，從而產(chǎn)生了“計算機病毒”這個名詞

5、。但計算機病毒和生物學(xué)上的病毒不同的是，計算機病毒不是天然存在的，而是某些別有用心的人利用自己所掌握的計算機知識，針對計算機軟、硬件所固有的脆弱性而編制的具有特殊功能（通常是攻擊計算機軟、硬件）的程序，也就是說它是一段程序。因此，從廣義上講，凡是能夠引起計算機故障，影響計算機正常運行的、破壞計算機數(shù)據(jù)的所有程序，統(tǒng)稱為“計算機病毒”。 1.2計算機病毒的產(chǎn)生計算機病毒的產(chǎn)生是計算機技術(shù)和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：（1） 計算機病毒是計算機犯罪的一種新的衍化形式。計算機病毒是高技術(shù)犯罪,具有瞬時性、動態(tài)性和隨機性。不易取證,風險小破壞大,從而刺激了犯

6、罪意識和犯罪活動。是某些人惡作劇和報復(fù)心態(tài)在計算機應(yīng)用領(lǐng)域的表現(xiàn)； （2） 計算機軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因。計算機是電子產(chǎn)品，數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié),易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機軟件設(shè)計的手工方式,效率低下且生產(chǎn)周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤,只能在運行中發(fā)現(xiàn)、修改錯誤,并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便；（3）微機的普及應(yīng)用是計算機病毒產(chǎn)生的必要環(huán)境。1983年11月3日美國計算機專家首次提出了計算機病毒的概念并進行了驗證。幾年前計算機病毒就迅速蔓延，到我國才是近年來的事。而這幾年正

7、是我國微型計算機普及應(yīng)用熱潮。微機的廣泛普及，操作系統(tǒng)簡單明了，軟、硬件透明度高，基本上沒有什么安全措施,能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶日益增多，對其存在的缺點和易攻擊處也了解的越來越清楚，不同的目的可以做出截然不同的選擇1.3計算機病毒的特性1.寄生性計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。2.傳染性計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當?shù)臈l件下，它可得到大量繁殖，并使被感染的生

8、物體表現(xiàn)出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺機子上迅速擴散，計算機病毒可通過各種可能的渠道，如軟盤、計算機網(wǎng)絡(luò)去傳染其他的計算機。當您在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯(lián)網(wǎng)的其他計算機也許也被該病毒

9、染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序；3.潛伏性有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。比如黑色星期五病毒，不到預(yù)定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足觸發(fā)條件時，計

10、算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等；4.隱蔽性計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。5.破壞性計算機中毒后，可能會導(dǎo)致正常的程序無法運行，把計算機內(nèi)的文件刪除或受到不同程度的損壞 。通常表現(xiàn)為：增、刪、改、移。6.可觸發(fā)性病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛

11、伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏7. 程序性 計算機病毒本身是一段可執(zhí)行的程序，可以直接或者間接地得到運行，在運行是與合法的程序爭奪系統(tǒng)控制權(quán)8. 表現(xiàn)性 無論任何病毒一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。即使不直接產(chǎn)生破壞作用，病毒程序也要占用系統(tǒng)資源。而絕大多數(shù)病毒

12、程序都會顯示一些文字或圖像，影響系統(tǒng)的正常運行；還有一些病毒程序刪除文件，加密磁盤中的數(shù)據(jù)，甚至摧毀整個系統(tǒng)和數(shù)據(jù)，使之無法恢復(fù)，從而造成無可挽回的損失。因此，病毒程序的副作用輕則降低系統(tǒng)的工作效率，重則導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計者的真正意圖。9. 針對性 一種計算機病毒并不能感染所有的計算機系統(tǒng)或計算機程序。計算機病毒往往是針對某種系統(tǒng)或針對某類對象進行傳染和攻擊的。有的病毒是感染IBM PC級，有的感染DOS系統(tǒng)，而有點感染W(wǎng)indows系統(tǒng)，有的感染磁盤引導(dǎo)區(qū)，有的感染可執(zhí)行文件等。10. 變異性 計算機病毒在發(fā)展、演化過程中可以產(chǎn)生變種。有些病毒能夠

13、產(chǎn)生幾十甚至上百種變種。病毒變異技術(shù)的發(fā)展是當前計算機病毒技術(shù)發(fā)展的一個主要特點，也是計算機病毒大量出現(xiàn)的一個重要原因。1.4計算機病毒的分類1、按感染對象分為引導(dǎo)型、文件型、混合型、宏病毒,文件型病毒主要攻擊的對象是.COM及、EXE等可執(zhí)行文件;按其破壞性分良性病毒、惡性病毒!2、 按照病毒程序入侵系統(tǒng)的途徑，可將計算機病毒分為以下四種類型： 操作系統(tǒng)型：這種病毒最常見，危害性也最大。 外殼型：這種病毒主要隱藏在合法的主程序周圍，且很容易編寫，同時也容易檢查和刪除。 入侵型：這種病毒是將病毒程序的一部分插入到合法的主程序中，破壞原程序。這種病毒的編寫比較困難。 源碼型：這種病毒是在源程序被

14、編譯前，將病毒程序插入到高級語言編寫的源程序中，經(jīng)過編譯后，成為可執(zhí)行程序的合法部分。這種程序的編寫難度較大，一旦插入，其破壞性極大。第二章計算機病毒的危害 2.1電腦運行緩慢病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影響計算機速度，主要表現(xiàn)在：（1）病毒為了判斷傳染激發(fā)條件，總要對計算機的工作狀態(tài)進行監(jiān)視， 這相對于計算機的正常運行狀態(tài)既多余又有害。（2）有些病毒為了保護自己，不但對磁盤上的靜態(tài)病毒加密，而且進駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時要運行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行； 而病毒運行結(jié)束時再用一段程序?qū)Σ《局匦录用?。這樣CPU額外執(zhí)行數(shù)千條以至

15、上萬條指令。（3）病毒在進行傳染時同樣要插入非法的額外操作，特別是傳染軟盤時不但計算機速度明顯變慢， 而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。 2.2消耗內(nèi)存以及磁盤空間如果你并沒有存取磁盤，但磁盤指示燈狂閃不停，這可能預(yù)示著電腦已經(jīng)受到病毒感染了。很多病毒在活動狀態(tài)下都是常駐內(nèi)存的，如果你發(fā)現(xiàn)你并沒有運行多少程序時卻發(fā)現(xiàn)系統(tǒng)已經(jīng)被占用了不少內(nèi)存，這就有可能是病毒在作怪了；引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。文件型病毒利用一些DOS功能進行傳染，這些DOS功能能夠檢

16、測出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。一些文件型病毒傳染速度很快，在短時間內(nèi)感染大量文件，每個文件都不同程度地加長了，就造成磁盤空間的嚴重浪費。 2.3破壞硬盤以及電腦數(shù)據(jù)引導(dǎo)區(qū)病毒會破壞硬盤引導(dǎo)區(qū)信息，使電腦無法啟動，硬盤分區(qū)丟失。如果某一天，你的機器讀取了軟盤后，再也無法啟動，而且用其它的系統(tǒng)啟動盤也無法進入，則很有可能是中了引導(dǎo)區(qū)病毒；正常情況下，一些系統(tǒng)文件或是應(yīng)用程序的大小是固定的，某一天，當你發(fā)現(xiàn)這些程序大小與原來不一樣時，十有八九是病毒在作怪。有些病毒會將某些磁區(qū)標注為壞軌，而將自己隱藏其中，例如Disk Killer會尋找3或5個連續(xù)未用的磁區(qū)，并將其標示為

17、壞軌，如果哪天你發(fā)現(xiàn)使用正常的磁盤，突然掃描時發(fā)現(xiàn)了一些壞道，也有可能是病毒在作怪。 2.3破壞硬盤以及電腦數(shù)據(jù)2.4狂發(fā)垃圾郵件或其他信息，造成網(wǎng)絡(luò)堵塞或癱瘓蠕蟲病毒發(fā)作的一大癥狀是瘋狂向外發(fā)送毒郵件，如果哪天你的朋友莫名其妙地抱怨你給他發(fā)送了許多病毒郵件，則可以肯定，你中了蠕蟲病毒了。蠕蟲病毒還能向外發(fā)送大量數(shù)據(jù)，嚴重的導(dǎo)致網(wǎng)絡(luò)堵塞或癱瘓等現(xiàn)象。而利用即時通訊軟件狂發(fā)信息，這則是近來這些蠕蟲病毒的另一種傳播新途徑。 2.5竊取用戶隱私、機密文件、賬號信息等如今已是木馬大行其道的時代，據(jù)統(tǒng)計如今木馬在病毒中比較已占七成左右。而其中大部分都是以竊取用戶信息，以獲取經(jīng)濟利益為目的，如竊取用戶資料

18、，網(wǎng)銀賬號密碼，網(wǎng)游賬號密碼等。一旦這些信息失竊，將給用戶帶來不少經(jīng)濟損失。 2.6計算機病毒給用戶造成嚴重的心理壓力病毒的泛濫使用戶提心吊膽，時刻擔心遭受病毒的感染，而一旦出現(xiàn)諸如計算機死機、軟件運行異常等現(xiàn)象，人們往往就會懷疑這些現(xiàn)象可能是計算機病毒造成的。感染病毒可能帶來極大的時間，精力以及經(jīng)濟上的損失，這使人們對病毒產(chǎn)生恐懼感，計算機病毒像“幽靈”一樣籠罩在廣大計算機用戶心頭，給人們造成巨大的心理壓力，極大地影響了現(xiàn)代計算機的使用效率，還會影響到一些諸如網(wǎng)絡(luò)銀行等的網(wǎng)絡(luò)應(yīng)用的普及，由此帶來的無形損失是難以估量的。隨著網(wǎng)絡(luò)應(yīng)用在日常工作生活中的重要性越來越高，這種危害只會越來越大 2.7

19、 計算機病毒錯誤與不可預(yù)見的危害計算機病毒與其他計算機軟件的一大差別是病毒的無責任性。編制一個完善的計算機軟件需要耗費大量的人力、物力，經(jīng)過長時間調(diào)試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計算機病毒都是個別人在一臺計算機上匆匆編制調(diào)試后就向外拋出。反病毒專家在分析大量病毒后發(fā)現(xiàn)絕大部分病毒都存在不同程度的錯誤。錯誤病毒的另一個主要來源是變種病毒。有些初學(xué)計算機者尚不具備獨立編制軟件的能力，出于好奇或其他原因修改別人的病毒，造成錯誤。計算機病毒錯誤所產(chǎn)生的后果往往是不可預(yù)見的，反病毒工作者曾經(jīng)詳細指出黑色星期五病毒存在9處錯誤，乒乓病毒有5處錯誤等。但是人們

20、不可能花費大量時間去分析數(shù)萬種病毒的錯誤所在。大量含有未知錯誤的病毒擴散傳播，其后果是難以預(yù)料的。 第三章計算機病毒的防御策略 3.1計算機病毒的防范 防止病毒的侵入要比病毒入侵后再去發(fā)現(xiàn)和消除它更重要。為了將病毒拒之門外，就要做好以下預(yù)防措施： 3.1.1 樹立病毒防范意識，從思想上重視計算機病毒 要從思想上重視計算機病毒可能會給計算機安全運行帶來的危害。對于計算機病毒，有病毒防護意識的人和沒有病毒防護意識的人對待病毒的態(tài)度完全不同。例如對于反病毒研究人員，機器內(nèi)存儲的上千種病毒不會隨意進行破壞，所采取的防護措施也并不復(fù)雜。而對于病毒毫無警惕意識的人員，可能連計算機顯示屏上出現(xiàn)的病毒信息都不

21、去仔細觀察一下，任其在磁盤中進行破壞。其實，只要稍有警惕，病毒在傳染時和傳染后留下的蛛絲馬跡總是能被發(fā)現(xiàn)的。 3.1.2 安裝正版的殺毒軟件和防火墻，并及時升級到最新版本(如瑞星、金山毒霸、江民、卡巴斯基、諾頓等)。 另外還要及時升級殺毒軟件病毒庫，這樣才能防范新病毒，為系統(tǒng)提供真正安全環(huán)境。 3.1.3 及時對系統(tǒng)和應(yīng)用程序進行升級 及時更新操作系統(tǒng)，安裝相應(yīng)補丁程序，從根源上杜絕黑客利用系統(tǒng)漏洞攻擊用戶的計算機?？梢岳孟到y(tǒng)自帶的自動更新功能或者開啟有些軟件的“系統(tǒng)漏洞檢查”功能，全面掃描操作系統(tǒng)漏洞，要盡量使用正版軟件，并及時將計算機中所安裝的各種應(yīng)用軟件升級到最新版本，其中包括各種即時

22、通訊工具、下載工具、播放器軟件、搜索工具等，避免病毒利用應(yīng)用軟件的漏洞進行木馬病毒傳播。 3.1.4 把好入口關(guān) 很多病毒都是因為使用了含有病毒的盜版光盤，拷貝了隱藏病毒的U盤資料等而感染的，所以必須把好計算機的“入口”關(guān)，在使用這些光盤、U盤以及從網(wǎng)絡(luò)上下載的程序之前必須使用殺毒工具進行掃描，查看是否帶有病毒，確認無病毒后，再使用。 3.1.5 不要隨便登錄不明網(wǎng)站、黑客網(wǎng)站或色情網(wǎng)站 用戶不要隨便登錄不明網(wǎng)站或者黃色網(wǎng)站，不要隨便點擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等，這樣可以避免網(wǎng)絡(luò)上的惡意軟件插件進入你的計

23、算機。 3.1.6 養(yǎng)成經(jīng)常備份重要數(shù)據(jù)的習(xí)慣 要定期與不定期地對磁盤文件進行備份，特別是一些比較重要的數(shù)據(jù)資料，以便在感染病毒導(dǎo)致系統(tǒng)崩潰時可以最大限度地恢復(fù)數(shù)據(jù)，盡量減少可能造成的損失。 3.1.7 養(yǎng)成使用計算機的良好習(xí)慣 在日常使用計算機的過程中，應(yīng)該養(yǎng)成定期查毒、殺毒的習(xí)慣。因為很多病毒在感染后會在后臺運行，用肉眼是無法看到的，而有的病毒會存在潛伏期，在特定的時間會自動發(fā)作，所以要定期對自己的計算機進行檢查，一旦發(fā)現(xiàn)感染了病毒，要及時清除。 3.1.8 要學(xué)習(xí)和掌握一些必備的相關(guān)知識 無論您是只使用家用計算機的發(fā)燒友，還是每天上班都要面對屏幕工作的計算機一族，都將無一例外地、毫無疑問

24、地會受到病毒的攻擊和感染，只是或早或晚而已。因此，一定要學(xué)習(xí)和掌握一些必備的相關(guān)知識，這樣才能及時發(fā)現(xiàn)新病毒并采取相應(yīng)措施，在關(guān)鍵時刻減少病毒對自己計算機造成的危害 3.1.9關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認情況下，許多操作系統(tǒng)會安裝一些輔助服務(wù)，如FTP客戶端、Telner和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除他們，就能大大減少被攻擊的可能性。 3.2計算機病毒的處理 3.2.1 一般病毒處理 感染病毒的計算機表現(xiàn)為速度減慢、出現(xiàn)死機、自動重啟、系統(tǒng)的CPU 使用率很高?在網(wǎng)絡(luò)連接狀態(tài)上可以看到大量地收發(fā)數(shù)據(jù)包。在系統(tǒng)進程中可以看到winaii.exe

25、和netlink32.exe 兩個程序在運行。 一般處理方法如下：(1)、進入任務(wù)管理器結(jié)束winaii.exe 和netlink32.exe 進程然后打開資源管理器，進入c:windowssystem32 目錄,查找winaii.exe 和netlink32.exe 兩文件將其刪除。在系統(tǒng)啟動項目開始運行msconfig,進入中去掉其相應(yīng)的加載啟動項。然后安裝殺毒軟件,升級病毒庫后進行殺毒。接著安裝相關(guān)windows的補丁程序重啟系統(tǒng)。(2)、如果按如上的方法不能清除病毒,可以從安全模式下進行處理,方法如下:在安全模式下打開注冊表在“編輯”中“查找”“winaii.exe”和“netlink

26、32.exe”,刪除找到的“winaii.exe”和“netlink32.exe”項目。查看windowssystem32 目錄下是否有winaii.exe 和netlink32.exe 這兩個文件，有則刪除。最后殺毒、打補丁并重啟計算機。(3)、該病毒具有密碼庫，能夠破解機子的一些較簡單的密碼，密碼僅包含數(shù)字或26個字母稱為簡單密碼。往往剛殺完病毒后又染上該病毒了。所以在殺毒的過程中最好斷開網(wǎng)絡(luò)連接，確定殺完病毒和打好補丁后，為機子重設(shè)一個復(fù)雜的密碼，密碼包含問號、點號等特殊符號。 3.2.2 其他病毒處理 一般大范圍傳播的病毒都會讓用戶在重新啟動電腦的時候能夠自動運行病毒，來達到長時間感染

27、計算機并擴大病毒的感染能力。通常病毒感染計算機第一件事情就是殺掉他們的天敵-安全軟件，比如卡巴斯基、360、安全衛(wèi)士、金山毒霸等等。這樣用戶就不能通過使用殺毒軟件的方法來處理已經(jīng)感染病毒的電腦。 我們要解決病毒可以首先解決在計算機重啟以后自我啟動。通常病毒會這樣進行自我啟動。直接自啟動：(1).引導(dǎo)扇區(qū)(2).驅(qū)動(3).服務(wù)(4).注冊表 。間接自啟動：印象劫持autorun.inf 文件、HOOK感染文件。放置一個誘惑圖標讓用戶點擊等等。 清理方式：首先刪掉注冊表文件中病毒的啟動項。最最常見啟動位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur

28、rentVersionRun。刪除所有該子項內(nèi)的字符串等，只留下cftmon.exe 。立即按機箱上的重啟鍵，不讓病毒回寫注冊表。正常關(guān)機可能會激活病毒回寫進啟動項目，比如“磁碟機”。如果病毒仍然啟動，就要懷疑有服務(wù)或者驅(qū)動。那么這個時候就需要有一定計算機能力的人，用批處理或者其他的程序同時找到并關(guān)閉病毒的服務(wù)和刪除注冊表。然后快速關(guān)機。驅(qū)動一般在系統(tǒng)下很難刪除，所以可以用上面的Xdelete或者icesword、wsyscheck或者進入DOS、WPE等其他系統(tǒng)進行刪除。 如果是通過引導(dǎo)扇區(qū)啟動，用戶還要用其他軟件，比如：diskgen重寫主引導(dǎo)記錄。如果是通故BIOS啟動，用放電法還原BI

29、OS。當病毒不能啟動以后，我們需要注意的是不要再激活病毒，刪掉autorun.inf 可疑文件，刪除印象劫持的注冊表等可能觸發(fā)病毒的系統(tǒng)設(shè)置。用干凈的U 盤去其他電腦拷貝一個殺毒軟件安裝以后，升級到最新的病毒庫，全盤查殺病毒殘留。 直接刪除病毒文件方法：在病毒正在運行的系統(tǒng)里,直接刪除病毒文件會很難的。如果在網(wǎng)上找到該病毒機理。進入DOS,找到所有病毒文件路徑，可以很輕松的刪除病毒文件。除了感染型病毒。殺毒完以后，我們先不要重新啟動電腦，看看到底刪除了什么。如果有被感染的系統(tǒng)文件刪掉了，注意從相同系統(tǒng)拷貝一個，否則可能不能開機。然后重啟，進系統(tǒng)用其他安全軟件修復(fù)系統(tǒng)。 真正我們電腦感染上棘手的

30、病毒最簡單有效的方法就是重裝系統(tǒng)。如果C盤、系統(tǒng)盤有重要資料先備份。不能開機，可以進入PE 備份。 3.2.3 常見病毒的九大藏身地(1).點擊 開始- 程序- 啟動看一看里面有沒有這些打開注冊表開始- 運行 輸入:regedit回車按以下路徑展開注冊表左邊樹狀表(2).HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload (3).HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit(4) .HKEY_CURRENT

31、_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun(5).HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce(6).HKEY_CURRENT_U

32、SERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices(7).HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetupHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup(8).HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicr