病毒防范技术课件

网络空间信息安全第2章病毒防范技术网络空间信息安全第2章病毒防范技术本章主要内容2.1计算机病毒及病毒防范技术概述2.2恶意代码2.3典型计算机病毒的检测与清除2.4病毒现象与其他故障的判别第2章病毒防范技术2本章主要内容2.1计算机病毒及病毒防范技术概述第2章病毒2.1计算机病毒及病毒防范技术病毒的起源1、科幻起源说2、恶作剧起源说3、游戏程序起源说4、软件商保护软件起源说第2章病毒防范技术32.1计算机病毒及病毒防范技术病毒的起源第2章病毒防范技计算机病毒的发展50年代：美国电报电话公司贝尔实验室的一些科学家开始用一种称为“核心大战（CoreWar）”的计算机代码游戏进行实验。——计算机病毒的雏形。

60年代：有人开发了一种称为“生存(Living)”的软件，该软件可进行自我复制。——被认为是玩笑。70年代：计算机黑客们对这类程序的研究有了很大的进展，但仍未有真正的病毒攻击。80年代：真正的“计算机病毒”出现在1981年。该病毒通过磁盘进行感染，但结果只是关掉显示器或让显示的文本闪烁或显示一大堆无意义的信息。第2章病毒防范技术4计算机病毒的发展50年代：美国电报电话公司贝尔实验室的一些科计算机病毒的发展20世纪90年代至21世纪初：几乎年年都会出现新的病毒品种，其影响的范围越来越广，对计算机的硬件和软件的破坏性也越来越严重。2004年：“窃取账号病毒”、网银大盗、证券大盗2005～2008年：木马流行

如今，计算机病毒变得更加活跃，木马、蠕虫、后门等层出不穷，甚至出现流氓软件。第2章病毒防范技术5计算机病毒的发展20世纪90年代至21世纪初：几乎年年都会出主动性：病毒程序的目的就是侵害他人计算机系统或者网络系统，在计算机运行程序的过程中，病毒始终以功能过程的主体出现，而形式则可能是直接或间接的。传染性：基本特征，病毒的设计者总是希望病毒能够在较大的范围内实现蔓延和传播。隐蔽性：计算机病毒都是一些可以直接或间接运行的具有较高技巧的程序，它们可以隐藏在操作系统中，也可以隐藏在可执行文件或数据文件中，目的是不让用户发现它的存在表现性：病毒一旦被启动，就会立刻开始进行破坏活动。为了能够在合适的时机开始工作，必须预先设置触发条件并且首先将其设置为不触发状态。破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。计算机病毒的特点第2章病毒防范技术6主动性：病毒程序的目的就是侵害他人计算机系统或者网络系统，在1、依据病毒寄生的媒介分类

分为网络病毒、文件病毒和引导型病毒。2、依据其破坏性分类

良性病毒和恶性病毒。3、按其传染途径

驻留内存型病毒和非驻留内存型病毒。4、按其不同算法分类

伴随型病毒、“蠕虫”型病毒、寄生型病毒、

练习型病毒等5、按传染对象不同分类

引导区型病毒、文件型病毒、混合型病毒、宏病毒计算机病毒的分类第2章病毒防范技术71、依据病毒寄生的媒介分类计算机病毒的分类第2章病毒防范技2.2恶意代码

恶意代码(MaliciousCodes)是一种用来实现某些恶意功能的代码或程序。

通常，这些代码在不被用户察觉的情况下寄宿到另一段程序中，从而达到破坏被感染计算机数据、运行具有入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。恶意代码定义第2章病毒防范技术82.2恶意代码恶意代码(Malicio恶意代码类型定

义特点病毒在计算机程序中插入的破坏计算机功能或数据，影响计算机使用，并能够自我复制的计算机程序代码传染性、破坏性、潜伏性蠕虫能够通过计算机网络进行自我复制，消耗计算机资源和网络资源的程序

扫描、攻击、传播木马能够与远程计算机建立连接，使远程计算机能够通过网络远程控制本地计算机的程序欺骗、隐藏、窃取信息

后门能够避开计算机的安全控制，使远程计算机能够连接本地计算机的程序潜伏逻辑炸弹能够嵌入计算机程序、通过一定条件触发破坏计算机的程序潜伏、破坏恶意代码的部分类型第2章病毒防范技术9恶意代码类型定义特点病毒在计算机程序中插入的破坏计算机功木马背景介绍

“木马”一词来自于“特洛伊木马”，英文名称为“Trojanhorse”。据说该名称来源于古希腊传说木马第2章病毒防范技术10木马背景介绍木马第2章病毒防范技术10

木马是一种可以驻留在对方服务器系统中的一种程序。木马程序一般由服务器端程序客户端程序两部分构成。木马定义第2章病毒防范技术11木马定义第2章病毒防范技术11隐蔽性特点非授权性特点木马的特点第2章病毒防范技术12隐蔽性特点木马的特点第2章病毒防范技术121）远程控制型2）密码发送型3）键盘记录型4）DoS攻击型5）代理木马6）FTP木马7）程序杀手木马8）反弹端口型木马9）破坏性质的木马木马的分类第2章病毒防范技术131）远程控制型木马的分类第2章病毒防范技术131）查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的，因此我们可以遁过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。

假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是感染了木马。查看端口的方法通常有以下几种：使用Windows本身自带的netstat命令。使用Windows下的命令行工具fporto

使用图形化界面工具ActivePortSo木马类程序的检测与清除第2章病毒防范技术141）查看开放端口木马类程序的检测与清除第2章病毒防范技术12）查看和恢复Win.ini和System．ini系统配置文件

查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木马通过修改Win.ini文件中Windows节下的“load=file.exe，run=file.exe"语句进行自动加载，还可能修改System.ini中的boot节，实现木马加载。木马类程序的检测与清除第2章病毒防范技术152）查看和恢复Win.ini和System．ini系统配置文3）查看启动程序并删除可疑的启动程序

如果木马自动加载的文件是直接通过在Windows菜单中自定义添加的，一般都会放在主菜单的“开始”→“程序”→“启动”处，在Windows资源管理器里的位置是“C：＼Windows\startmenu\programs\启动”处。木马类程序的检测与清除第2章病毒防范技术163）查看启动程序并删除可疑的启动程序木马类程序的检测与清除第4）查看系统进程并停止可疑的系统进程

在对木马进行清除时，首先要停止木马程序的系统进程。例如，Hack.Rbot病毒除了将自册表，以便病毒可随时自启动。看到有木马程序在运行时，需要马上停止系统进程，并进行下一步操作，修改注册表和清除木马文件。木马类程序的检测与清除第2章病毒防范技术174）查看系统进程并停止可疑的系统进程木马类程序的检测与清除第5）查看和还原注册表

木马一旦被加载，一般都会对注册表进行修改。值得注意的是，可能有些木马会不允许执行．Exe文件，这时就要先将regedit.exe改成系统能够运行的形式，如改成R。木马类程序的检测与清除第2章病毒防范技术185）查看和还原注册表木马类程序的检测与清除第2章病毒防范技6）使用杀毒软件和木马查杀工具检测和清除木马

最简单的检测和删除木马的方法是安装木马查杀软件例如KV3000、瑞星、“木马克星”、“木马终结者”等。木马类程序的检测与清除第2章病毒防范技术196）使用杀毒软件和木马查杀工具检测和清除木马木马类程序的检测木马预防方法和措施：(1)不随意打开来历不明的电子邮件，阻塞可疑邮件(2)不随意下载来历不明的软件(3)及时修补漏洞和关闭可疑的端口(4)尽量少用共享文件夹(5)运行实时监控程序(6)经常升级系统和更新病毒库(7)限制使用不必要的具有传输能力的文件木马的预防第2章病毒防范技术20木马预防方法和措施：木马的预防第2章病毒防范技术20蠕虫则是一种通过网络进行传播的恶性代码。蠕虫病毒和普通病毒有着很大的区别。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相标是网络内的所有计算机。蠕虫第2章病毒防范技术21蠕虫则是一种通过网络进行传播的恶性代码。蠕虫第2章病毒防范1)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。2)按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。蠕虫的分类第2章病毒防范技术221)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用(1)利用操作系统和应用程序的漏洞主动进行

攻击。

(2)传播方式多样化。(3)病毒制作技术与传统病毒不同。4)与黑客技术相结合。蠕虫的技术特点与发展第2章病毒防范技术23(1)利用操作系统和应用程序的漏洞主动进行蠕虫的技术1、“要命的”端口2、“敌人的”进程3、“小心”！远程管理软件4、“专业人士”帮你免费检测5、自己扫描自己6、别小瞧WindowsUpdate2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术241、“要命的”端口2.3典型计算机病毒的常见计算机病毒的1、“要命的”端口2、“敌人的”进程3、“小心”！远程管理软件4、“专业人士”帮你免费检测5、自己扫描自己6、别小瞧WindowsUpdate2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术251、“要命的”端口2.3典型计算机病毒的常见计算机病毒的1、“要命的”端口计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制网络计算机，也要从某些端口连接进来。只要查看一下系统，就会发现其开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利，尤其是4899，可能是入侵者安装的后门工具Radmin打开的，入侵者可以通过这个端口取得系统的完全控制权。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术261、“要命的”端口2.3典型计算机病毒的检测与清除常见计1、“要命的”端口在Windows环境下，通过“开始”→“运行”选项，打开“运行”窗口，输入“command”（Windows2000/XP/2003/7下在“运行”中输入“cmd”），进入命令提示窗口，然后输入netstat/an，就可以看到本机端口开放和网络连接情况。怎么关闭这些端口呢？因为计算机的每个端口都对应着某个服务或者应用程序，因此只要停止该服务或者卸载该程序，这些端口就自动关闭了。例如，可以在“计算机”→“控制面板”→“计算机管理”→“服务”中停止Radmin服务，就可以关闭4899端口了。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术271、“要命的”端口2.3典型计算机病毒的检测与清除常见计2、“敌人的”进程在Windows7下，可以通过同时按“Ctrl+Alt+Delete”键调出任务管理器来查看和关闭进程；但在Windows环境下按“Ctrl+Alt+Delete”键只能看到部分应用程序，有些服务级的进程却被隐藏而无法看到了，但通过系统自带的工具msinfo32还是可以看到的。在“开始”→“运行”里输入msinfo32，进入“Microsoft系统信息”界面，在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows环境下要想终止进程，还要通过第三方的工具来实现。很多系统优化软件带有查看和关闭进程的工具，如春光系统修改器等。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术282、“敌人的”进程2.3典型计算机病毒的检测与清除常见计算3、“小心”！远程管理软件现在很多人喜欢在自己的机器上安装远程管理软件，如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面，这确实方便了远程管理维护和办公，但同时远程管理软件也带来了很多安全隐患。例如，Pcanywhere10.0及更早的版本存在着口令文件*.CIF容易被解密（解码而非爆破）的问题，一旦入侵者通过某种途径得到了*.CIF文件，就可以用一款被称为Pcanywherepwd的工具破解出管理员账号和密码。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术293、“小心”！远程管理软件2.3典型计算机病毒的检测与清除3、“小心”！远程管理软件要安全地远程使用它就要进行IP限制。这里以Windows7远程桌面为例，介绍6129端口（DameWareMiniRemoteControl使用的端口）的IP限制：进入天网“自定义IP规则”界面，单击“增加规则”按钮添加一条新的规则。在“数据包方向”中选择“接受”，在“对方IP地址”中选择“指定地址”，然后填写自己的IP地址，在TCP选项卡的本地端口中填写从6129到0，对方端口填写从0到0，在“当满足上面条件时”中选择“通行”，这样除了自己指定的那个IP地址（这里假定为0）之外，其他人都连接不到此计算机了。安装最新版的远程控制软件也有利于提高安全性，如最新版的Pcanywhere的密码文件采用了较强的加密方案，如流行的灰鸽子。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术303、“小心”！远程管理软件2.3典型计算机病毒的检测与清除4、“专业人士”帮你免费检测很多安全站点都提供了在线检测，可以帮助人们发现系统的问题，如天网安全在线推出的在线安全检测系统──天网医生，它能够检测用户的计算机存在的一些安全隐患，并且根据检测结果判断系统的级别，引导用户进一步解决系统中可能存在的安全隐患。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术314、“专业人士”帮你免费检测2.3典型计算机病毒的检测与清4、“专业人士”帮你免费检测天网医生可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等4个安全检测项目，可能得出4种结果：极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线以及蓝盾在线检测。另外，IE的安全性也是非常重要的，一不小心就有可能中毒，这些网站就是专门检测IE是否存在安全漏洞的站点，大家可以根据提示操作。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术324、“专业人士”帮你免费检测2.3典型计算机病毒的检测与清5、自己扫描自己天网医生主要针对网络新手，而且是远程检测，速度比不上本地，所以如果用户有一定的基础，最好使用安全检测工具（漏洞扫描工具）手工检测系统漏洞。黑客在入侵他人系统之前，常常用自动化工具对目标机器进行扫描，也可以借鉴这个思路，在另一台计算机上用漏洞扫描器对自己的机器进行检测。功能强大且容易上手的国产扫描器首推X-Scan。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术335、自己扫描自己2.3典型计算机病毒的检测与清除常见计算机5、自己扫描自己例如，用X-Scan对某台计算机进行完全扫描之后，发现了如下漏洞：[0]：端口135开放：LocationService[0]：端口139开放：NetBIOSSessionService[0]：端口445开放：Microsoft-DS[0]：发现NT-Server弱口令：user/[空口令][0]：发现“NetBIOS信息”从中我们可以发现Windows7弱口令的问题，这是一个很严重的漏洞。NetBIOS信息暴露也给黑客的进一步进攻提供了方便，解决办法是给User账号设置一个复杂的密码，并在天网防火墙中关闭135～139端口。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术345、自己扫描自己2.3典型计算机病毒的检测与清除常见计算机6、别小瞧WindowsUpdate微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具，只要选择“开始”→“WindowsUpdate”选项，即可转到微软的WindowsUpdate网站，在这里下载最新的补丁程序。所以每周访问WindowsUpdate网站及时更新系统一次，基本上就能把黑客和病毒拒之门外。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术356、别小瞧WindowsUpdate2.3典型计算机病U盘病毒与autoruninf文件分析方法经常使用U盘的用户可能已经多次遭遇了U盘病毒，U盘病毒是一种新病毒，主要通过U盘、移动硬盘传播。目前，几乎所有这类的病毒的最大特征都是利用autorun.inf文件来侵入，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此，大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称。就像身体上有个创口，有可能进入的细菌不止一种一样，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此，目前无法单纯说U盘病毒就是具体的什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种。其他病毒自检与清除第2章病毒防范技术36U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法1．解析autorun.inf首先，autorun.inf文件是很早就存在的，在Windows7以前的其他Windows系统，若需要让光盘、U盘插入到机器中自动运行，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序。其他病毒自检与清除第2章病毒防范技术37U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法但要注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过autorun.inf文件，可以放置正常的启动程序，如经常使用的各种教学光盘，一插入计算机就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。其他病毒自检与清除第2章病毒防范技术38U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法目前，相关的U盘病毒的隐藏方式如下。有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能使其运行，但是堂而皇之的放在U盘里肯定会被用户发现而删除，所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方。一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的。另一种是假冒杀毒软件方式，病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。其他病毒自检与清除第2章病毒防范技术39U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等，一般情况下看不到。要让自己能看到隐藏的文件，怎么办呢？此时，应打开“计算机”窗口，选择“工具”→“文件夹选项”选项，弹出一个对话框，选择“查看”选项卡。如果U盘带有上述病毒，还会出现一个现象，当点击U盘时，会发现多了一些东西。带病毒的U盘右键多了“自动播放”、“Open”、“Browser”等项目；杀毒后则没有这些项目。其他病毒自检与清除第2章病毒防范技术40U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法2．RavMonE.exe病毒解决方法RavMonE.exe病毒运行后，会出现同名的一个进程，该程序貌似并没有显著危害。程序大小为3.5MB，貌似用Python写的，一般会占用19～20MB的资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，可能有窃取帐号、密码之类的危害，由于该疑似病毒文件过于巨大，一般随移动存储器传播。其他病毒自检与清除第2章病毒防范技术41U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法2．RavMonE.exe病毒解决方法解决方法：（1）打开任务管理器，终止所有ravmone.exe进程。（2）进入C:\windows，删除其中的RavMonE.exe。（3）进入C:\windows，运行regedit.exe，在左边依次打开HK_Local_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是C:\windows\ravmone.exe，将其删除即可。（4）完成后，病毒就被清除了。其他病毒自检与清除第2章病毒防范技术42U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法3．查杀U盘中的病毒的方法对移动存储设备，如果中毒，则在文件夹选项中取消勾选隐藏受保护的操作系统文件，勾选显示所有文件和文件夹，单击“确定”按钮，然后在移动存储设备中会看到如下几个文件——autorun.inf、msvcr71.dl、ravmone.exe，都删除即可，还有一个扩展名为.tmp的文件，也可以删除，完成后，病毒就清除了。其他病毒自检与清除第2章病毒防范技术43U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法3．查杀U盘中的病毒的方法但对于上面的处理U盘中的病毒的方法，在删除autorun.inf、msvcr71.dl、RavMonE.exe这3个文件时，直接删除可能会无法删除，要先到进程管理器中结束RavMonE.exe进程，再删除这3个文件，如果还无法删除，可以在安全模式里删除。其他病毒自检与清除第2章病毒防范技术44U盘病毒与autoruninf文件分析方法其他病毒自检与清除热点聚焦“成绩单”病毒的检测与清除近日，一款名为“伪成绩单”的恶意病毒越来越多的在公众面前曝光。随着假期将至，学生期末考试成绩陆续出炉，许多家长的手机也随即成为病毒短信的重灾区。有不少家长收到了署名“班主任”的陌生号码发来的成绩单短信，其内容为“家长您好，这是XX考试成绩单eqnzav.tk，请下载查阅！成绩明显退步，希望家长假期之间多关心孩子的学习情况【班主任】”。其他病毒自检与清除第2章病毒防范技术45热点聚焦“成绩单”病毒的检测与清除其他病毒自检与清除第2章热点聚焦“成绩单”病毒的检测与清除据了解，这是一条诈骗分子精心设计的病毒短信，家长们一旦点开短信中的网址链接，将会在手机上下载安装一种名为a.privacy.emial.d的病毒，该病毒启动后会拦截手机短信，并将短信转发给指定号码，有可能导致短信中的银行账户或密码泄露，对手机和财产安全造成威胁。其他病毒自检与清除第2章病毒防范技术46热点聚焦“成绩单”病毒的检测与清除其他病毒自检与清除第2章热点聚焦“成绩单”病毒的检测与清除针对此类手机木马病毒，我们应如何防范呢？一款新的病毒诞生，一个病毒查杀工具也会很快应运而生。针对该名为“伪成绩单”病毒，很快多家手机安全软件就研发出了查杀方案。程序可通过对应用名称进行比对分析的方式，判断真伪，去除病毒的伪装层，找到真正的病毒代码，对其进行查杀。目前，百度手机卫士已对“伪成绩单”病毒进行了全面查杀。其他病毒自检与清除第2章病毒防范技术47热点聚焦“成绩单”病毒的检测与清除其他病毒自检与清除第2章作为手机用户，在遇到类似手机木马病毒的时候，到底怎样做才能保护自己的利益呢？主要有以下两种方式。1．手机已存在木马病毒很多此类手机病毒会伪装为正常软件或者诱惑性名称，存在系统分区中，恢复出厂设置是无法删除的，若怀疑手机中存在木马或者病毒，一般的表现是手机自动下载其他推广软件、手机卡顿发热、出现有遮挡的广告等。可尝试按照以下步骤进行清除。其他病毒自检与清除第2章病毒防范技术48作为手机用户，在遇到类似手机木马病毒的时候，到底怎样做才能保作为手机用户，在遇到类似手机木马病毒的时候，到底怎样做才能保护自己的利益呢？（1）请尝试安装一款安全软件（如手机管家等）。（2）（以手机管家为例）打开手机管家，点击主界面上的“一键体检”按钮即可自动检测手机中存在的问题，并且给出处理建议，点击“一键清除”按钮即可删除病毒程序。（3）若重启手机发现病毒依然存在或者提示无法删除，则可先获取ROOT权限再进行深度查杀，获取ROOT可以使用PC端的一键ROOT工具进行。也可以尝试使用专门的病毒专杀工具进行一键查杀，若发现手机存在问题，应尽快进行处理，防止产生财产损失。其他病毒自检与清除第2章病毒防范技术49作为手机用户，在遇到类似手机木马病毒的时候，到底怎样做才能保作为手机用户，在遇到类似手机木马病毒的时候，到底怎样做才能保护自己的利益呢？2．遇到可疑信息或链接针对教师节、儿童节前夕频发的电话、短信诈骗，当收到此类电话或信息时，要做到遇到“急事”不要急，尤其不要在着急的时候汇钱或者透露与金融相关的信息。在接到来历不明的“老师”、“学校”来电后，家长要保持冷静，最好马上打电话给孩子学校的班主任或任课老师核实情况；而在收到诸如“学生成绩单”等短信时，也不要急于点击短信中的链接或回拨短信中的电话号码，应与班主任取得联系确认后再做操作。总结起来，就是遇到“急事”不着急，提到敏感、私密信息要留心，凡事多确认，诈骗无处藏。其他病毒自检与清除第2章病毒防范技术50作为手机用户，在遇到类似手机木马病毒的时候，到底怎样做才能保杀毒软件工作原理网络安全管理员需要审时度势，灵活地依据企业自身的特点来不断调整安全策略，加强与反病毒厂商的密切合作，才能长期确保信息安全。很多网管都在为病毒犯愁，为什么安装了杀毒软件还不能防毒？这是国内企业网络管理员在管理网络安全中普遍存在的问题。如能解决这个问题，一个企业真正的安全管理方案也就建立起来了。其他病毒自检与清除第2章病毒防范技术51杀毒软件工作原理其他病毒自检与清除第2章病毒防范技术51杀毒软件工作原理企业网络的管理员应该选择网络版杀毒软件构建自己的网络安全防御系统。目前的网络版杀毒软件针对不同类型、不同规模的企业产品，在功能上进行了细分。管理员要针对本企业的特性来选择对应的产品才能达到事半功倍的效果。杀毒软件应用指导与建议：调查显示，80%部署了网络版杀毒软件的用户没有合理运用自己的产品，使得企业网络出现了致命的漏洞，被病毒乘虚而入。其他病毒自检与清除第2章病毒防范技术52杀毒软件工作原理其他病毒自检与清除第2章病毒防范技术52杀毒软件工作原理有哪些工作是网管日常需要注意的？1．及时更新软件版本2．运用好软件的管理工具在杀毒软件网络版中，内置了大量的安全管理功能。通过这些管理功能可以高效地对网络进行统一的安全管理。3．掌握软件的特性功能其他病毒自检与清除第2章病毒防范技术53杀毒软件工作原理其他病毒自检与清除第2章病毒防范技术53杀毒软件工作原理有哪些工作是网管日常需要注意的？3．掌握软件的特性功能利用系统漏洞攻击已经成为病毒传播的一个新型和重要的途径。由于操作系统和应用软件的漏洞层出不穷，修补漏洞已经成为网络管理员重要的日常工作之一。但是，在复杂的企业网络中，由管理员逐一对计算机排查修补几乎是不可能实现的，因为这样不但工作效率低，而且会影响用户的正常工作。其他病毒自检与清除第2章病毒防范技术54杀毒软件工作原理其他病毒自检与清除第2章病毒防范技术54杀毒软件工作原理有哪些工作是网管日常需要注意的？3．掌握软件的特性功能瑞星杀毒软件网络版2006的漏洞扫描和修补功能已经将“全网远程漏洞的发现与修补”、“漏洞库的升级与自我更新”、“全网漏洞日志”等功能完全集成。利用该功能，管理员可以定期对全网漏洞进行修补，使得病毒通过漏洞攻击的途径被完全封闭，并通过日志发现网络中的薄弱环节。其他病毒自检与清除第2章病毒防范技术55杀毒软件工作原理其他病毒自检与清除第2章病毒防范技术552.4病毒现象与其他故障的判别1.屏幕显示异常，屏幕显示出不是由正常程序产生的画面或字符串，屏幕显示混乱;2.程序装入时间增长，文件运行速度下降；3.用户没有访问的设备出现工作信号；4.磁盘出现莫名其妙的文件和坏块，卷标发生变化；

计算机病毒现象第2章病毒防范技术562.4病毒现象与其他故障的判别1.屏幕显示异常，屏幕显示出5.系统自行引导；6.丢失数据或程序，文件字节数发生变化；7.内存空间、磁盘空间减小；8.异常死机；9.磁盘访问时间比平时增长；10.系统引导时间增长。第2章病毒防范技术575.系统自行引导；第2章病毒防范技术57与病毒现象类似的硬件故障1、系统的硬件配置2、电源电压不稳定3、插件接触不良4、软驱故障5、关于CMOS的问题计算机病毒现象第2章病毒防范技术58与病毒现象类似的硬件故障计算机病毒现象第2章病毒防范技术5与病毒现象类似的软件故障1、出现“Invaliddrivespecification”（非法驱动器号）2、软件程序已被破坏（非病毒）3、引导过程故障4、用不同的编辑软件程序计算机病毒现象第2章病毒防范技术59与病毒现象类似的软件故障计算机病毒现象第2章病毒防范技术5恶意代码类型定

义特点病毒在计算机程序中插入的破坏计算机功能或数据，影响计算机使用，并能够自我复制的计算机程序代码传染性、破坏性、潜伏性蠕虫能够通过计算机网络进行自我复制，消耗计算机资源和网络资源的程序

扫描、攻击、传播木马能够与远程计算机建立连接，使远程计算机能够通过网络远程控制本地计算机的程序欺骗、隐藏、窃取信息

后门能够避开计算机的安全控制，使远程计算机能够连接本地计算机的程序潜伏逻辑炸弹能够嵌入计算机程序、通过一定条件触发破坏计算机的程序潜伏、破坏恶意代码的部分类型第2章病毒防范技术60恶意代码类型定义特点病毒在计算机程序中插入的破坏计算机功木马背景介绍

“木马”一词来自于“特洛伊木马”，英文名称为“Trojanhorse”。据说该名称来源于古希腊传说木马第2章病毒防范技术61木马背景介绍木马第2章病毒防范技术61

木马是一种可以驻留在对方服务器系统中的一种程序。木马程序一般由服务器端程序客户端程序两部分构成。木马定义第2章病毒防范技术62木马定义第2章病毒防范技术62隐蔽性特点非授权性特点木马的特点第2章病毒防范技术63隐蔽性特点木马的特点第2章病毒防范技术631）远程控制型2）密码发送型3）键盘记录型4）DoS攻击型5）代理木马6）FTP木马7）程序杀手木马8）反弹端口型木马9）破坏性质的木马木马的分类第2章病毒防范技术641）远程控制型木马的分类第2章病毒防范技术641）查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的，因此我们可以遁过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。

假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是感染了木马。查看端口的方法通常有以下几种：使用Windows本身自带的netstat命令。使用Windows下的命令行工具fporto

使用图形化界面工具ActivePortSo木马类程序的检测与清除第2章病毒防范技术651）查看开放端口木马类程序的检测与清除第2章病毒防范技术62）查看和恢复Win.ini和System．ini系统配置文件

查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木马通过修改Win.ini文件中Windows节下的“load=file.exe，run=file.exe"语句进行自动加载，还可能修改System.ini中的boot节，实现木马加载。木马类程序的检测与清除第2章病毒防范技术662）查看和恢复Win.ini和System．ini系统配置文3）查看启动程序并删除可疑的启动程序

如果木马自动加载的文件是直接通过在Windows菜单中自定义添加的，一般都会放在主菜单的“开始”→“程序”→“启动”处，在Windows资源管理器里的位置是“C：＼Windows\startmenu\programs\启动”处。木马类程序的检测与清除第2章病毒防范技术673）查看启动程序并删除可疑的启动程序木马类程序的检测与清除第4）查看系统进程并停止可疑的系统进程

在对木马进行清除时，首先要停止木马程序的系统进程。例如，Hack.Rbot病毒除了将自册表，以便病毒可随时自启动。看到有木马程序在运行时，需要马上停止系统进程，并进行下一步操作，修改注册表和清除木马文件。木马类程序的检测与清除第2章病毒防范技术684）查看系统进程并停止可疑的系统进程木马类程序的检测与清除第5）查看和还原注册表

木马一旦被加载，一般都会对注册表进行修改。值得注意的是，可能有些木马会不允许执行．Exe文件，这时就要先将regedit.exe改成系统能够运行的形式，如改成R。木马类程序的检测与清除第2章病毒防范技术695）查看和还原注册表木马类程序的检测与清除第2章病毒防范技6）使用杀毒软件和木马查杀工具检测和清除木马

最简单的检测和删除木马的方法是安装木马查杀软件例如KV3000、瑞星、“木马克星”、“木马终结者”等。木马类程序的检测与清除第2章病毒防范技术706）使用杀毒软件和木马查杀工具检测和清除木马木马类程序的检测木马预防方法和措施：(1)不随意打开来历不明的电子邮件，阻塞可疑邮件(2)不随意下载来历不明的软件(3)及时修补漏洞和关闭可疑的端口(4)尽量少用共享文件夹(5)运行实时监控程序(6)经常升级系统和更新病毒库(7)限制使用不必要的具有传输能力的文件木马的预防第2章病毒防范技术71木马预防方法和措施：木马的预防第2章病毒防范技术71蠕虫则是一种通过网络进行传播的恶性代码。蠕虫病毒和普通病毒有着很大的区别。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相标是网络内的所有计算机。蠕虫第2章病毒防范技术72蠕虫则是一种通过网络进行传播的恶性代码。蠕虫第2章病毒防范1)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。2)按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。蠕虫的分类第2章病毒防范技术731)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用(1)利用操作系统和应用程序的漏洞主动进行

攻击。

(2)传播方式多样化。(3)病毒制作技术与传统病毒不同。4)与黑客技术相结合。蠕虫的技术特点与发展第2章病毒防范技术74(1)利用操作系统和应用程序的漏洞主动进行蠕虫的技术习题与思考题2.1试述网络安全所面临的主要潜在威胁。2.2怎么样合理应用杀毒软件？2.3什么是蠕虫病毒？怎样查杀？2.4木马有哪些特征？如何防范？2.5简述你所知道的系统安全工具。2.6怎样用最简单的方法查杀“伪成绩单”病毒？第2章病毒防范技术75习题与思考题2.1试述网络安全所面临的主要潜在威胁。第2谢谢！第2章病毒防范技术76第2章病毒防范技术76网络空间信息安全第2章病毒防范技术网络空间信息安全第2章病毒防范技术本章主要内容2.1计算机病毒及病毒防范技术概述2.2恶意代码2.3典型计算机病毒的检测与清除2.4病毒现象与其他故障的判别第2章病毒防范技术78本章主要内容2.1计算机病毒及病毒防范技术概述第2章病毒2.1计算机病毒及病毒防范技术病毒的起源1、科幻起源说2、恶作剧起源说3、游戏程序起源说4、软件商保护软件起源说第2章病毒防范技术792.1计算机病毒及病毒防范技术病毒的起源第2章病毒防范技计算机病毒的发展50年代：美国电报电话公司贝尔实验室的一些科学家开始用一种称为“核心大战（CoreWar）”的计算机代码游戏进行实验。——计算机病毒的雏形。

60年代：有人开发了一种称为“生存(Living)”的软件，该软件可进行自我复制。——被认为是玩笑。70年代：计算机黑客们对这类程序的研究有了很大的进展，但仍未有真正的病毒攻击。80年代：真正的“计算机病毒”出现在1981年。该病毒通过磁盘进行感染，但结果只是关掉显示器或让显示的文本闪烁或显示一大堆无意义的信息。第2章病毒防范技术80计算机病毒的发展50年代：美国电报电话公司贝尔实验室的一些科计算机病毒的发展20世纪90年代至21世纪初：几乎年年都会出现新的病毒品种，其影响的范围越来越广，对计算机的硬件和软件的破坏性也越来越严重。2004年：“窃取账号病毒”、网银大盗、证券大盗2005～2008年：木马流行

如今，计算机病毒变得更加活跃，木马、蠕虫、后门等层出不穷，甚至出现流氓软件。第2章病毒防范技术81计算机病毒的发展20世纪90年代至21世纪初：几乎年年都会出主动性：病毒程序的目的就是侵害他人计算机系统或者网络系统，在计算机运行程序的过程中，病毒始终以功能过程的主体出现，而形式则可能是直接或间接的。传染性：基本特征，病毒的设计者总是希望病毒能够在较大的范围内实现蔓延和传播。隐蔽性：计算机病毒都是一些可以直接或间接运行的具有较高技巧的程序，它们可以隐藏在操作系统中，也可以隐藏在可执行文件或数据文件中，目的是不让用户发现它的存在表现性：病毒一旦被启动，就会立刻开始进行破坏活动。为了能够在合适的时机开始工作，必须预先设置触发条件并且首先将其设置为不触发状态。破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。计算机病毒的特点第2章病毒防范技术82主动性：病毒程序的目的就是侵害他人计算机系统或者网络系统，在1、依据病毒寄生的媒介分类

分为网络病毒、文件病毒和引导型病毒。2、依据其破坏性分类

良性病毒和恶性病毒。3、按其传染途径

驻留内存型病毒和非驻留内存型病毒。4、按其不同算法分类

伴随型病毒、“蠕虫”型病毒、寄生型病毒、

练习型病毒等5、按传染对象不同分类

引导区型病毒、文件型病毒、混合型病毒、宏病毒计算机病毒的分类第2章病毒防范技术831、依据病毒寄生的媒介分类计算机病毒的分类第2章病毒防范技2.2恶意代码

恶意代码(MaliciousCodes)是一种用来实现某些恶意功能的代码或程序。

通常，这些代码在不被用户察觉的情况下寄宿到另一段程序中，从而达到破坏被感染计算机数据、运行具有入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。恶意代码定义第2章病毒防范技术842.2恶意代码恶意代码(Malicio恶意代码类型定

义特点病毒在计算机程序中插入的破坏计算机功能或数据，影响计算机使用，并能够自我复制的计算机程序代码传染性、破坏性、潜伏性蠕虫能够通过计算机网络进行自我复制，消耗计算机资源和网络资源的程序

扫描、攻击、传播木马能够与远程计算机建立连接，使远程计算机能够通过网络远程控制本地计算机的程序欺骗、隐藏、窃取信息

后门能够避开计算机的安全控制，使远程计算机能够连接本地计算机的程序潜伏逻辑炸弹能够嵌入计算机程序、通过一定条件触发破坏计算机的程序潜伏、破坏恶意代码的部分类型第2章病毒防范技术85恶意代码类型定义特点病毒在计算机程序中插入的破坏计算机功木马背景介绍

“木马”一词来自于“特洛伊木马”，英文名称为“Trojanhorse”。据说该名称来源于古希腊传说木马第2章病毒防范技术86木马背景介绍木马第2章病毒防范技术10

木马是一种可以驻留在对方服务器系统中的一种程序。木马程序一般由服务器端程序客户端程序两部分构成。木马定义第2章病毒防范技术87木马定义第2章病毒防范技术11隐蔽性特点非授权性特点木马的特点第2章病毒防范技术88隐蔽性特点木马的特点第2章病毒防范技术121）远程控制型2）密码发送型3）键盘记录型4）DoS攻击型5）代理木马6）FTP木马7）程序杀手木马8）反弹端口型木马9）破坏性质的木马木马的分类第2章病毒防范技术891）远程控制型木马的分类第2章病毒防范技术131）查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的，因此我们可以遁过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。

假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是感染了木马。查看端口的方法通常有以下几种：使用Windows本身自带的netstat命令。使用Windows下的命令行工具fporto

使用图形化界面工具ActivePortSo木马类程序的检测与清除第2章病毒防范技术901）查看开放端口木马类程序的检测与清除第2章病毒防范技术12）查看和恢复Win.ini和System．ini系统配置文件

查看Win．ini和System．ini文件是否有被修改的地方。例如，有的木马通过修改Win.ini文件中Windows节下的“load=file.exe，run=file.exe"语句进行自动加载，还可能修改System.ini中的boot节，实现木马加载。木马类程序的检测与清除第2章病毒防范技术912）查看和恢复Win.ini和System．ini系统配置文3）查看启动程序并删除可疑的启动程序

如果木马自动加载的文件是直接通过在Windows菜单中自定义添加的，一般都会放在主菜单的“开始”→“程序”→“启动”处，在Windows资源管理器里的位置是“C：＼Windows\startmenu\programs\启动”处。木马类程序的检测与清除第2章病毒防范技术923）查看启动程序并删除可疑的启动程序木马类程序的检测与清除第4）查看系统进程并停止可疑的系统进程

在对木马进行清除时，首先要停止木马程序的系统进程。例如，Hack.Rbot病毒除了将自册表，以便病毒可随时自启动。看到有木马程序在运行时，需要马上停止系统进程，并进行下一步操作，修改注册表和清除木马文件。木马类程序的检测与清除第2章病毒防范技术934）查看系统进程并停止可疑的系统进程木马类程序的检测与清除第5）查看和还原注册表

木马一旦被加载，一般都会对注册表进行修改。值得注意的是，可能有些木马会不允许执行．Exe文件，这时就要先将regedit.exe改成系统能够运行的形式，如改成R。木马类程序的检测与清除第2章病毒防范技术945）查看和还原注册表木马类程序的检测与清除第2章病毒防范技6）使用杀毒软件和木马查杀工具检测和清除木马

最简单的检测和删除木马的方法是安装木马查杀软件例如KV3000、瑞星、“木马克星”、“木马终结者”等。木马类程序的检测与清除第2章病毒防范技术956）使用杀毒软件和木马查杀工具检测和清除木马木马类程序的检测木马预防方法和措施：(1)不随意打开来历不明的电子邮件，阻塞可疑邮件(2)不随意下载来历不明的软件(3)及时修补漏洞和关闭可疑的端口(4)尽量少用共享文件夹(5)运行实时监控程序(6)经常升级系统和更新病毒库(7)限制使用不必要的具有传输能力的文件木马的预防第2章病毒防范技术96木马预防方法和措施：木马的预防第2章病毒防范技术20蠕虫则是一种通过网络进行传播的恶性代码。蠕虫病毒和普通病毒有着很大的区别。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相标是网络内的所有计算机。蠕虫第2章病毒防范技术97蠕虫则是一种通过网络进行传播的恶性代码。蠕虫第2章病毒防范1)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。2)按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。蠕虫的分类第2章病毒防范技术981)根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用(1)利用操作系统和应用程序的漏洞主动进行

攻击。

(2)传播方式多样化。(3)病毒制作技术与传统病毒不同。4)与黑客技术相结合。蠕虫的技术特点与发展第2章病毒防范技术99(1)利用操作系统和应用程序的漏洞主动进行蠕虫的技术1、“要命的”端口2、“敌人的”进程3、“小心”！远程管理软件4、“专业人士”帮你免费检测5、自己扫描自己6、别小瞧WindowsUpdate2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1001、“要命的”端口2.3典型计算机病毒的常见计算机病毒的1、“要命的”端口2、“敌人的”进程3、“小心”！远程管理软件4、“专业人士”帮你免费检测5、自己扫描自己6、别小瞧WindowsUpdate2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1011、“要命的”端口2.3典型计算机病毒的常见计算机病毒的1、“要命的”端口计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制网络计算机，也要从某些端口连接进来。只要查看一下系统，就会发现其开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利，尤其是4899，可能是入侵者安装的后门工具Radmin打开的，入侵者可以通过这个端口取得系统的完全控制权。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1021、“要命的”端口2.3典型计算机病毒的检测与清除常见计1、“要命的”端口在Windows环境下，通过“开始”→“运行”选项，打开“运行”窗口，输入“command”（Windows2000/XP/2003/7下在“运行”中输入“cmd”），进入命令提示窗口，然后输入netstat/an，就可以看到本机端口开放和网络连接情况。怎么关闭这些端口呢？因为计算机的每个端口都对应着某个服务或者应用程序，因此只要停止该服务或者卸载该程序，这些端口就自动关闭了。例如，可以在“计算机”→“控制面板”→“计算机管理”→“服务”中停止Radmin服务，就可以关闭4899端口了。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1031、“要命的”端口2.3典型计算机病毒的检测与清除常见计2、“敌人的”进程在Windows7下，可以通过同时按“Ctrl+Alt+Delete”键调出任务管理器来查看和关闭进程；但在Windows环境下按“Ctrl+Alt+Delete”键只能看到部分应用程序，有些服务级的进程却被隐藏而无法看到了，但通过系统自带的工具msinfo32还是可以看到的。在“开始”→“运行”里输入msinfo32，进入“Microsoft系统信息”界面，在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows环境下要想终止进程，还要通过第三方的工具来实现。很多系统优化软件带有查看和关闭进程的工具，如春光系统修改器等。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1042、“敌人的”进程2.3典型计算机病毒的检测与清除常见计算3、“小心”！远程管理软件现在很多人喜欢在自己的机器上安装远程管理软件，如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面，这确实方便了远程管理维护和办公，但同时远程管理软件也带来了很多安全隐患。例如，Pcanywhere10.0及更早的版本存在着口令文件*.CIF容易被解密（解码而非爆破）的问题，一旦入侵者通过某种途径得到了*.CIF文件，就可以用一款被称为Pcanywherepwd的工具破解出管理员账号和密码。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1053、“小心”！远程管理软件2.3典型计算机病毒的检测与清除3、“小心”！远程管理软件要安全地远程使用它就要进行IP限制。这里以Windows7远程桌面为例，介绍6129端口（DameWareMiniRemoteControl使用的端口）的IP限制：进入天网“自定义IP规则”界面，单击“增加规则”按钮添加一条新的规则。在“数据包方向”中选择“接受”，在“对方IP地址”中选择“指定地址”，然后填写自己的IP地址，在TCP选项卡的本地端口中填写从6129到0，对方端口填写从0到0，在“当满足上面条件时”中选择“通行”，这样除了自己指定的那个IP地址（这里假定为0）之外，其他人都连接不到此计算机了。安装最新版的远程控制软件也有利于提高安全性，如最新版的Pcanywhere的密码文件采用了较强的加密方案，如流行的灰鸽子。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1063、“小心”！远程管理软件2.3典型计算机病毒的检测与清除4、“专业人士”帮你免费检测很多安全站点都提供了在线检测，可以帮助人们发现系统的问题，如天网安全在线推出的在线安全检测系统──天网医生，它能够检测用户的计算机存在的一些安全隐患，并且根据检测结果判断系统的级别，引导用户进一步解决系统中可能存在的安全隐患。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1074、“专业人士”帮你免费检测2.3典型计算机病毒的检测与清4、“专业人士”帮你免费检测天网医生可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等4个安全检测项目，可能得出4种结果：极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线以及蓝盾在线检测。另外，IE的安全性也是非常重要的，一不小心就有可能中毒，这些网站就是专门检测IE是否存在安全漏洞的站点，大家可以根据提示操作。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1084、“专业人士”帮你免费检测2.3典型计算机病毒的检测与清5、自己扫描自己天网医生主要针对网络新手，而且是远程检测，速度比不上本地，所以如果用户有一定的基础，最好使用安全检测工具（漏洞扫描工具）手工检测系统漏洞。黑客在入侵他人系统之前，常常用自动化工具对目标机器进行扫描，也可以借鉴这个思路，在另一台计算机上用漏洞扫描器对自己的机器进行检测。功能强大且容易上手的国产扫描器首推X-Scan。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1095、自己扫描自己2.3典型计算机病毒的检测与清除常见计算机5、自己扫描自己例如，用X-Scan对某台计算机进行完全扫描之后，发现了如下漏洞：[0]：端口135开放：LocationService[0]：端口139开放：NetBIOSSessionService[0]：端口445开放：Microsoft-DS[0]：发现NT-Server弱口令：user/[空口令][0]：发现“NetBIOS信息”从中我们可以发现Windows7弱口令的问题，这是一个很严重的漏洞。NetBIOS信息暴露也给黑客的进一步进攻提供了方便，解决办法是给User账号设置一个复杂的密码，并在天网防火墙中关闭135～139端口。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1105、自己扫描自己2.3典型计算机病毒的检测与清除常见计算机6、别小瞧WindowsUpdate微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具，只要选择“开始”→“WindowsUpdate”选项，即可转到微软的WindowsUpdate网站，在这里下载最新的补丁程序。所以每周访问WindowsUpdate网站及时更新系统一次，基本上就能把黑客和病毒拒之门外。2.3典型计算机病毒的检测与清除常见计算机病毒的自检方法第2章病毒防范技术1116、别小瞧WindowsUpdate2.3典型计算机病U盘病毒与autoruninf文件分析方法经常使用U盘的用户可能已经多次遭遇了U盘病毒，U盘病毒是一种新病毒，主要通过U盘、移动硬盘传播。目前，几乎所有这类的病毒的最大特征都是利用autorun.inf文件来侵入，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此，大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称。就像身体上有个创口，有可能进入的细菌不止一种一样，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此，目前无法单纯说U盘病毒就是具体的什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种。其他病毒自检与清除第2章病毒防范技术112U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法1．解析autorun.inf首先，autorun.inf文件是很早就存在的，在Windows7以前的其他Windows系统，若需要让光盘、U盘插入到机器中自动运行，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序。其他病毒自检与清除第2章病毒防范技术113U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法但要注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过autorun.inf文件，可以放置正常的启动程序，如经常使用的各种教学光盘，一插入计算机就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。其他病毒自检与清除第2章病毒防范技术114U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法目前，相关的U盘病毒的隐藏方式如下。有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能使其运行，但是堂而皇之的放在U盘里肯定会被用户发现而删除，所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方。一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的。另一种是假冒杀毒软件方式，病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。其他病毒自检与清除第2章病毒防范技术115U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等，一般情况下看不到。要让自己能看到隐藏的文件，怎么办呢？此时，应打开“计算机”窗口，选择“工具”→“文件夹选项”选项，弹出一个对话框，选择“查看”选项卡。如果U盘带有上述病毒，还会出现一个现象，当点击U盘时，会发现多了一些东西。带病毒的U盘右键多了“自动播放”、“Open”、“Browser”等项目；杀毒后则没有这些项目。其他病毒自检与清除第2章病毒防范技术116U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法2．RavMonE.exe病毒解决方法RavMonE.exe病毒运行后，会出现同名的一个进程，该程序貌似并没有显著危害。程序大小为3.5MB，貌似用Python写的，一般会占用19～20MB的资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，可能有窃取帐号、密码之类的危害，由于该疑似病毒文件过于巨大，一般随移动存储器传播。其他病毒自检与清除第2章病毒防范技术117U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法2．RavMonE.exe病毒解决方法解决方法：（1）打开任务管理器，终止所有ravmone.exe进程。（2）进入C:\windows，删除其中的RavMonE.exe。（3）进入C:\windows，运行regedit.exe，在左边依次打开HK_Local_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是C:\windows\ravmone.exe，将其删除即可。（4）完成后，病毒就被清除了。其他病毒自检与清除第2章病毒防范技术118U盘病毒与autoruninf文件分析方法其他病毒自检与清除U盘病毒与autoruninf文件分析方法3．查杀U盘中的病毒的方法对移动存储设备，如果中毒，则在文件夹选项中取消勾选隐藏受保护的操作系统文件，勾选显示所有文件和文件夹，单击“确定”按钮