主题3+计算机病毒的查杀与防御

1、主题主题3 3 计算机病毒的查杀与防御计算机病毒的查杀与防御2一、一、 计算机病毒计算机病毒 定义：指编制或者在计算机程序中插入的破坏计算机定义：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。制的一组计算机指令或者程序代码。 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第第2828条条 ( (1994.2.18)1994.2.18) 特征：自我复制性、传染性、潜隐性、破坏性特征：自我复制性、传染性、潜隐性、破坏性3（一）使用移动存储设备（一）使用

2、移动存储设备 软盘、光盘、软盘、光盘、U盘、盘、MP3/MP4、移动硬盘、移动硬盘等。如：主要依靠等。如：主要依靠U盘传播的盘传播的autorun.inf（二）浏览网页（二）浏览网页 尤其，不正当网站、中小型网站尤其，不正当网站、中小型网站（三）电子邮件（三）电子邮件 打开陌生人发的邮件打开陌生人发的邮件二、计算机病毒的传染方式二、计算机病毒的传染方式4（四）网络下载或网络数据传递（四）网络下载或网络数据传递 （五）漏洞攻击（五）漏洞攻击 操作系统或应用软件中存在的安全漏洞操作系统或应用软件中存在的安全漏洞二、计算机病毒的传染方式二、计算机病毒的传染方式5（一）寄生文件型（一）寄生文件型把病毒

3、代码（通常是一些跳转指令）注入到正常的文把病毒代码（通常是一些跳转指令）注入到正常的文件中，当用户打开这些文件时，系统会根据指令把病件中，当用户打开这些文件时，系统会根据指令把病毒程序加载进内存中。毒程序加载进内存中。如：引导型病毒。感染系统的启动文件或引导扇区，如：引导型病毒。感染系统的启动文件或引导扇区，使得系统先跳转去启动病毒程序，然后再完成系统启使得系统先跳转去启动病毒程序，然后再完成系统启动；蠕虫病毒。感染计算机中的可执行文件（动；蠕虫病毒。感染计算机中的可执行文件（*.com，*.exe，*.bat，*.js，*.vbs等）；宏病毒。感染等）；宏病毒。感染word文档。文档。此类型

4、病毒用杀毒软件清除后，大部分还能正常使用此类型病毒用杀毒软件清除后，大部分还能正常使用三、计算机病毒的启动方式三、计算机病毒的启动方式6（二）绑定文件型（二）绑定文件型病毒程序和正常的可程序捆绑成一个文件病毒程序和正常的可程序捆绑成一个文件此类型病毒一般很难清除，只能删除文件，破坏性较大此类型病毒一般很难清除，只能删除文件，破坏性较大（三）文件关联型（三）文件关联型病毒修改了某些文件类型的关联程序，使这种类型的文病毒修改了某些文件类型的关联程序，使这种类型的文件与病毒程序相关联。件与病毒程序相关联。（四）系统自启动型（四）系统自启动型病毒修改了系统的启动配置，使计算机再启动系统时，病毒修改了系

5、统的启动配置，使计算机再启动系统时，自动引导并运行病毒。自动引导并运行病毒。三、计算机病毒的启动方式三、计算机病毒的启动方式7（五）伪装欺骗型（五）伪装欺骗型把病毒的文件名和图标做得和用户所熟悉的把病毒的文件名和图标做得和用户所熟悉的程序、文件相同或相似，让用户主动去打开程序、文件相同或相似，让用户主动去打开骗术：调包法；利用路径相似性；隐藏文件骗术：调包法；利用路径相似性；隐藏文件扩展名法；文件名鱼目混珠法。扩展名法；文件名鱼目混珠法。三、计算机病毒的启动方式三、计算机病毒的启动方式8（一）普通查杀（一）普通查杀断开网络、重启计算机，断开网络、重启计算机，F8进入安全模式，进入安全模式，用最

6、新的杀毒软件对系统进行病毒扫描。用最新的杀毒软件对系统进行病毒扫描。可尝试轮流用多款杀毒软件扫描可尝试轮流用多款杀毒软件扫描四、查杀计算机病毒四、查杀计算机病毒9（二）手工查杀（二）手工查杀分析病毒并备份相关文件分析病毒并备份相关文件 1）检测相关的系统自启动项）检测相关的系统自启动项 2）查看进程信息和端口连接信息，找出病毒进程）查看进程信息和端口连接信息，找出病毒进程和模块和模块 3）查看系统文件夹（）查看系统文件夹（Windows和和System32）的）的异常变动异常变动 4）把记录下来的所有文件进行备份，并把备份文）把记录下来的所有文件进行备份，并把备份文件改名或压缩打包件改名或压缩

7、打包四、查杀计算机病毒四、查杀计算机病毒10（二）手工查杀（二）手工查杀删除病毒文件删除病毒文件 1）终结病毒进程和模块）终结病毒进程和模块 2）删除文件）删除文件 注：有的文件用普通方法无法删除，要使用强力工注：有的文件用普通方法无法删除，要使用强力工具去删除。如具去删除。如IceSword，俗称冰刃。删除完后，俗称冰刃。删除完后，还要进入注册表（还要进入注册表（regedit.ext），查找这些被删除），查找这些被删除文件的文件名，删除搜索到的所有项，然后，启动文件的文件名，删除搜索到的所有项，然后，启动AutoRuns程序，删除刚记录下的那些启动项，最程序，删除刚记录下的那些启动项，最后

8、，启动杀毒软件全面扫描。后，启动杀毒软件全面扫描。四、查杀计算机病毒四、查杀计算机病毒11（一）布署安全产品（一）布署安全产品既要有主动防御产品，又要有被动防御产品。既要有主动防御产品，又要有被动防御产品。主动防御产品：主动防御产品：HIPS（Host Intrusion Prevent System 主机入侵防御系统，又称系统主机入侵防御系统，又称系统防火墙防火墙）被动防御产品：被动防御产品：杀毒软件杀毒软件。大部分杀毒软件也有主。大部分杀毒软件也有主动监控的防护功，但多是基于扫描病毒特征库的方动监控的防护功，但多是基于扫描病毒特征库的方式来工作，无法应对病毒库中未定义的未知病毒。式来工作，

9、无法应对病毒库中未定义的未知病毒。安装：杀毒软件安装：杀毒软件HIPS五、计算机病毒的防御五、计算机病毒的防御12（二）提升计算机水平（二）提升计算机水平了解计算机系统知识，加强计算机安全知识的学习，了解计算机系统知识，加强计算机安全知识的学习，提升计算机操作技能等。提升计算机操作技能等。五、计算机病毒的防御五、计算机病毒的防御13（三）养成良好的计算机使用习惯（三）养成良好的计算机使用习惯关闭系统的自动播放功能关闭系统的自动播放功能使用安全性较高的浏览器上网使用安全性较高的浏览器上网尽量使用尽量使用Web方式打开邮箱，附件下载杀毒后才打开方式打开邮箱，附件下载杀毒后才打开尽量到知名站点下载资

10、源；不用尽量到知名站点下载资源；不用P2P共享下载的方式下载不健共享下载的方式下载不健康的东西；点对点聊天时，不要接受陌生人发的文件；下载文康的东西；点对点聊天时，不要接受陌生人发的文件；下载文件要先查杀再使用。即件要先查杀再使用。即对计算机外部的文件要先进行杀毒对计算机外部的文件要先进行杀毒。及时更新系统，安装最新的补丁；定时升级杀毒软件；定期对及时更新系统，安装最新的补丁；定时升级杀毒软件；定期对系统进行全面扫描。系统进行全面扫描。不安装不了解的软件，也不要安装自己不需要的软件。以尽可不安装不了解的软件，也不要安装自己不需要的软件。以尽可能减少系统漏洞，节省系统资源。能减少系统漏洞，节省系统资源。定时进行数据备份和系统备份。定时进行数据备份和系统备份。五、计算机病毒的防