第11章 計(jì)算機(jī)病毒的防治

1、1第第11章章 計(jì)算機(jī)病毒的防治計(jì)算機(jī)病毒的防治 211.1 計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒概述l從廣義上定義，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈、蠕蟲等均可稱為計(jì)算機(jī)病毒。l計(jì)算機(jī)病毒實(shí)際上是一種指令代碼。用戶運(yùn)行了這些代碼后，可能出現(xiàn)一個(gè)小小的惡作劇，或是產(chǎn)生一些惡意的結(jié)果，如破壞系統(tǒng)文件造成系統(tǒng)無法運(yùn)行、數(shù)據(jù)文件統(tǒng)統(tǒng)刪除、硬件被破壞、非法侵入內(nèi)部數(shù)據(jù)庫偷竊或篡改數(shù)據(jù)等。311.1.1 計(jì)算機(jī)中毒的癥狀計(jì)算機(jī)中毒的癥狀l經(jīng)常死機(jī)。l系統(tǒng)無法啟動。l文件打不開。l提示硬盤空間不夠。l啟動黑屏。l系統(tǒng)運(yùn)行速度慢。l系統(tǒng)自動執(zhí)行操作。l屏幕出現(xiàn)異常信息

2、。l無法運(yùn)行注冊表和系統(tǒng)配置實(shí)用程序。411.1.2 病毒的主要特點(diǎn)病毒的主要特點(diǎn)計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的“病毒”同樣具有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來的。其主要特點(diǎn)有：l傳染性。l隱蔽性。l破壞性。511.1.3 計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類按病毒的寄生媒介可分為：l源代碼嵌入攻擊型l代碼取代攻擊型l系統(tǒng)修改型l外殼附加型按病毒感染的目標(biāo)可分為：l引導(dǎo)型病毒l文件型病毒l網(wǎng)絡(luò)型病毒l復(fù)合型病毒611.1.4 病毒的預(yù)防措施病毒的預(yù)防措施當(dāng)

3、發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)被病毒感染時(shí)，往往已對系統(tǒng)造成了破壞，即使及時(shí)采取了殺毒措施，被破壞的部分也常常是不可恢復(fù)的。因此，對于計(jì)算機(jī)病毒必須以預(yù)防為主，“預(yù)防勝于治療”。計(jì)算機(jī)病毒防治應(yīng)采取“主動預(yù)防為主，被動處理結(jié)合”的策略，偏廢那一方面都是不可取的。711.2 常見殺毒軟件的使用常見殺毒軟件的使用計(jì)算機(jī)病毒傳播速度快，它們破壞計(jì)算機(jī)資源，影響計(jì)算機(jī)的推廣和應(yīng)用，因此為了保證計(jì)算機(jī)的正常使用和防止數(shù)據(jù)損壞，最好每一臺計(jì)算機(jī)都安裝一兩款殺毒軟件。目前，國內(nèi)流行的查殺病毒軟件主要有瑞星、金山毒霸、江民殺毒軟件KV 2005、北信源殺毒軟件、熊貓衛(wèi)士殺毒軟件、趨勢科技、PC-Cillin等，而國外流行的有

4、Norton AntiVirus和Kaspersky Anti-Virus等。 811.2.1 使用瑞星殺毒軟件查殺病毒使用瑞星殺毒軟件查殺病毒瑞星殺毒軟件是瑞星公司開發(fā)的殺毒軟件，它使用OOT查毒引擎，通過獨(dú)有的行為模式分析(BMAT)和腳本判定(SVM)兩項(xiàng)查殺病毒技術(shù)實(shí)現(xiàn)對未知病毒進(jìn)行檢測，該技術(shù)已經(jīng)獲得國家專利。 使用瑞星殺毒軟件查殺病毒的一般方法是：1安裝瑞星殺毒軟件安裝瑞星殺毒軟件2升級病毒庫升級病毒庫3主動防護(hù)及查殺病毒主動防護(hù)及查殺病毒9 11.2.2 使用使用Symantec AntiVirus查殺病毒查殺病毒使用前面介紹的殺毒軟件殺毒時(shí)，可能有的病毒不能清除，那么可以刪除該

5、文件，或用其他殺毒軟件進(jìn)行查殺。使用多個(gè)殺毒軟件進(jìn)行交叉掃描，就算是再隱蔽的病毒，也無藏身之處。Norton殺毒軟件是世界上最有名的殺毒軟件之一(不過近來因?yàn)檎`殺事件，對用戶有一定的影響)，該軟件分為兩種版本，一種是企業(yè)版，稱為Symantec AntiVirus 8.0/9.0，另一種是個(gè)人版，稱為Norton AntiVirus 2004/2005等。同樣，使用Norton殺毒軟件的一般方法也是安裝升級病毒庫主動防護(hù)及查殺。1011.3 防火墻的使用防火墻的使用防火墻是屬于“主動預(yù)防”的一種方式。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，來盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，

6、以實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。常見的網(wǎng)絡(luò)防火墻有諾頓防火墻、金山網(wǎng)鏢、瑞星防火墻、ZONELABS防火墻、費(fèi)爾個(gè)人防火墻、天網(wǎng)防火墻、江民黑客防火墻、藍(lán)盾防火墻等，而Windows XP操作系統(tǒng)也有自帶防火墻。此外，還有一種硬件防火墻，硬件防火墻具有更高的安全性。1111.3.1 天網(wǎng)防火墻的使用天網(wǎng)防火墻的使用天網(wǎng)防火墻是國內(nèi)一款頗為有效的防火墻，使用天網(wǎng)防火墻可以抵御絕大多數(shù)的網(wǎng)絡(luò)攻擊，而且它的使用方法相當(dāng)簡單，甚至不用進(jìn)行任何設(shè)置就可以發(fā)揮有效的作用。 天網(wǎng)防火墻個(gè)人版的默認(rèn)安全級別分為高、中、低和自定義4個(gè)等級。默認(rèn)情況下的安全級別為中級，如果設(shè)置為高級，則除了已經(jīng)被認(rèn)可的程序打開的端口，防火

7、墻將會屏蔽掉向外部開放的所有端口。 1211.3.2 瑞星個(gè)人防火墻的使用瑞星個(gè)人防火墻的使用在瑞星殺毒軟件完整版中，除了殺毒軟件外，還有瑞星個(gè)人防火墻軟件。瑞星個(gè)人防火墻為我們的計(jì)算機(jī)提供全面的保護(hù)，能有效地監(jiān)控任何網(wǎng)絡(luò)連接。通過過濾不安全的服務(wù)，瑞星個(gè)人防火墻可以極大地提高網(wǎng)絡(luò)安全，同時(shí)減小主機(jī)被攻擊的風(fēng)險(xiǎn)。安裝了瑞星個(gè)人防火墻后，就會隨系統(tǒng)自動啟動，當(dāng)系統(tǒng)遇到訪問時(shí)，就會自動彈出一個(gè)提示框，說明防火墻已經(jīng)啟用。1311.3.3 木馬克星的使用木馬克星的使用一般木馬有兩個(gè)程序：一個(gè)是控制端，另一個(gè)是被控制端。因此，如果你的計(jì)算機(jī)不連接到網(wǎng)絡(luò)，那么即使發(fā)現(xiàn)感染上了木馬病毒，也不一定會對你的機(jī)

8、器造成危害。木馬程序比較隱蔽，不易于查出，多數(shù)木馬主要用于盜竊賬號密碼，如QQ、網(wǎng)絡(luò)游戲賬號、銀行卡等。其實(shí)，一般病毒很容易殺掉，而木馬病毒、流氓軟件難殺掉，因?yàn)楝F(xiàn)在的木馬防御技術(shù)遠(yuǎn)遠(yuǎn)不如防病毒技術(shù)成熟。殺毒軟件雖然也可以查殺木馬程序，但其查殺效果并沒有專業(yè)查殺木馬程序的工具好，所以還是需要專業(yè)的木馬查殺工具來清除木馬病毒。常見的木馬查殺工具有木馬克星、木馬清道夫、木馬殺客和AVG Anti-Spyware等。1411.4 惡意網(wǎng)頁的解決方案惡意網(wǎng)頁的解決方案l惡意網(wǎng)頁（或惡意代碼）可以說是一種廣義上的病毒，但是它又不同于傳統(tǒng)意義上的病毒，網(wǎng)頁惡意代碼不具有傳染性，但是它具有極強(qiáng)的破壞性與欺騙

9、性，每個(gè)上網(wǎng)用戶都有可能遇見，而且沒有很好的辦法來識別它。l惡意網(wǎng)頁的危害性越來越大，很多用戶受到惡意網(wǎng)頁的攻擊，出現(xiàn)注冊表被修改、IE默認(rèn)主頁被修改、系統(tǒng)文件丟失、無法正常瀏覽其他網(wǎng)頁等情況，并且注冊表被這種惡意網(wǎng)頁修改后，殺毒軟件也無能為力，因此，就需要使用其他有效的方法來對付它們。1511.4.1 惡意網(wǎng)頁的表現(xiàn)癥狀惡意網(wǎng)頁的表現(xiàn)癥狀惡意網(wǎng)頁的目的一般是強(qiáng)制用戶訪問它的網(wǎng)站，或讓用戶的計(jì)算機(jī)上染上病毒或木馬，獲取用戶資料，可見他們也與病毒一樣有危害。惡意網(wǎng)頁大多是成人網(wǎng)站或別有用心的個(gè)人網(wǎng)站。這些網(wǎng)站除了修改IE瀏覽器之外，還會惡意彈出廣告、在系統(tǒng)中開后門等，給用戶帶來種種危害。例如，修

10、改Internet Explorer 瀏覽器，并鎖定和修改Internet Explorer瀏覽器的標(biāo)題。1611.4.2 使用注冊表對付惡意網(wǎng)頁的修改使用注冊表對付惡意網(wǎng)頁的修改通過修改注冊表中的Start Page的鍵值，就可以達(dá)到修改Internet Explorer默認(rèn)連接首頁的目的。啟動注冊表的方法是，在【運(yùn)行】對話框中，輸入regedit，按Enter鍵即可。以下是典型的例子。1更改Internet Explorer默認(rèn)首頁2更正被修改的Internet Explorer標(biāo)題3注冊表被禁用4“開始”中的“運(yùn)行”命令消失17 11.4.3 使用使用“超級兔子超級兔子IE專專家家”清除

11、惡意網(wǎng)頁清除惡意網(wǎng)頁“超級兔子魔法設(shè)置” 具有對Windows系統(tǒng)進(jìn)行優(yōu)化、修復(fù)被惡意網(wǎng)頁修改的IE、對注冊表垃圾進(jìn)行清除、對硬盤上的垃圾文件進(jìn)行清除等重要功能。 1811.4.4 利用其他軟件對付惡意網(wǎng)頁利用其他軟件對付惡意網(wǎng)頁前面介紹了利用注冊表來對付惡意網(wǎng)頁修改的方法，但初學(xué)者使用注冊表不是很方便，因此也可以利用一些專門的工具來恢復(fù)Internet Explorer和注冊表。1IE優(yōu)化修復(fù)專家20052KV 2005 IE修復(fù)工具3瑞星注冊表修復(fù)工具注：上述的工具已經(jīng)比較落后了，最新流行的工具有：360安全衛(wèi)士，卡卡上網(wǎng)安全助手和Windows清理助手等等。1911.4.5 使用使用Up

12、iea免疫插件或網(wǎng)站免疫插件或網(wǎng)站Upiea（IE插件管理專家）軟件具有屏蔽插件、識別當(dāng)前已安裝的插件、卸載插件等功能。 Upiea的功能非常優(yōu)秀，它是完全免費(fèi)的綠色軟件，不用安裝，下載后即可使用。主要功能有：1插件免疫插件免疫2插件管理插件管理3網(wǎng)站免疫網(wǎng)站免疫2011.4.6 禁止彈出式窗口禁止彈出式窗口有時(shí)在瀏覽一個(gè)網(wǎng)站時(shí)，會彈出很多網(wǎng)頁，剛關(guān)了一個(gè)，另一個(gè)又接著彈了出來，這些網(wǎng)頁打開的速度比關(guān)掉要快得多。這是IE瀏覽器的BUG造成的，目前，在Windows XP SP2系統(tǒng)中，一般不需要使用第三方工具來禁止它，早期版本的Windows只要升級到新版本的Internet Explorer

13、 瀏覽器即可，此外，其他瀏覽 器 也 具 有 阻 止 彈 出 式 窗 口 的 功 能 ， 例 如TheWorld、GreenBrowser和firefox等。2111.5 上機(jī)實(shí)訓(xùn)上機(jī)實(shí)訓(xùn)11.5.1 使用使用“金山毒霸金山毒霸”查殺病毒查殺病毒金山毒霸金山毒霸2005是國內(nèi)著名的殺毒軟件之一，其具有主動漏是國內(nèi)著名的殺毒軟件之一，其具有主動漏洞修復(fù)和木馬防火墻等多種技術(shù)，此外，通過木馬防火洞修復(fù)和木馬防火墻等多種技術(shù)，此外，通過木馬防火墻技術(shù)，實(shí)現(xiàn)對木馬進(jìn)程的查殺，保證網(wǎng)游、通信安全。墻技術(shù)，實(shí)現(xiàn)對木馬進(jìn)程的查殺，保證網(wǎng)游、通信安全。在安裝金山毒霸在安裝金山毒霸2005時(shí)，同時(shí)還安裝了金山網(wǎng)鏢時(shí)，同時(shí)還安裝了金山網(wǎng)鏢2005、木馬專殺木馬專殺2005、系