《计算机网络安全基础与技能训练》课件第2章

第2章网络病毒与恶意软件2.1病毒与恶意软件概述2.2病毒与恶意软件的特点2.3病毒与恶意软件的分类2.4病毒的检测、防范与清除2.5恶意软件的防范与清除实训一防病毒软件的使用2.1病毒与恶意软件概述计算机刚刚诞生，就有了计算机病毒的概念。1949年，计算机之父冯·诺依曼在《复杂自动机组织论》中便定义了计算机病毒的概念，即一种“能够实现复制自身的自动机”。

1960年，美国的约翰·康维在编写“生命游戏”程序时，首先实现程序自我复制技术，他的游戏程序运行时，在屏幕上有许多“生命元素”图案在运动变化。这些元素过于拥挤时，会因缺少生存空间而死亡；如果元素过于稀疏会由于相互隔绝失去生命支持系统，也会死亡。只有处于合适环境的元素才非常活跃，它们能够自我复制并进行传播。贝尔实验室的三位年轻程序员也受到冯·诺依曼理论的启发，发明了“磁心大战”游戏。玩这个游戏的两个人编制了许多能自身复制、并可保存在磁心存储器中的程序，然后发出信号，双方的程序在指令控制下就会竭力去消灭对方的程序。在预定的时间内，谁的程序繁殖得多，谁就得胜。游戏中通过复制自身来摆脱对方的控制，这就是“病毒”的第一个雏形。“计算机病毒”与医学上的“病毒”不同，它不是天然存在的，而是某些人利用计算机软、硬件所固有的脆弱性，编制出的具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此由生物医学上的“病毒”概念引申而来。2.1.1病毒与恶意软件概念

1.病毒病毒的英文全称为ComputerVirus，简称CV。1984年5月Cohen博士给出了计算机病毒的定义：计算机病毒是一段程序，它通过修改其它程序把自身拷贝嵌入而实现对其它程序的感染。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》)，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。

2.恶意软件恶意软件是介于病毒和正规软件之间的软件。所谓正规软件，是指为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。恶意软件与正常的软件相比，具有不可知性与不可控制性。2.1.2病毒的识别

1.计算机病毒发作前的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。计算机病毒发作前常见的表现现象有：

(1)平时运行正常的计算机突然经常性无缘无故地死机；

(2)操作系统无法正常启动；

(3)运行速度明显变慢；

(4)以前能正常运行的软件经常发生内存不足的错误；

(5)打印和通讯发生异常；

(6)非法要求对磁盘进行写操作；

(7)以前能正常运行的应用程序经常发生死机或者非法错误；

(8)系统文件的时间、日期、大小发生变化；

(9)运行Word，打开Word文档后，该文件另存时只能以模板方式保存；

(10)磁盘空间迅速减少；

(11)网络驱动器卷或共享目录无法调用；

(12)基本内存发生变化；

(13)自动链接到一些陌生的网站。

2.计算机病毒发作时的表现现象

(1)出现一些不相干的提示；

(2)播放一段音乐；

(3)产生特定的图像；

(4)硬盘灯不断闪烁；

(5)进行游戏算法；

(6) Windows桌面图标发生变化；

(7)计算机突然死机或重启；

(8)自动发送电子邮件；

(9)鼠标自己在动。

3.计算机病毒发作后的表现现象常见的“恶性”计算机病毒发作后所造成的后果有：

(1)无法启动，硬盘数据丢失；

(2)系统文件丢失或被破坏；

(3)文件目录发生混乱；

(4)部分文档丢失或被破坏；

(5)部分文档自动加密码；

(6)修改Autoexec.bat文件，增加FormatC：项，导致计算机重新启动时格式化硬盘；

(7)部分可软件升级主板的BIOS程序发生混乱，主板被破坏；

(8)网络瘫痪，无法提供正常的服务。2.2病毒与恶意软件的特点2.2.1传统意义上计算机病毒的特点

1.传染性计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会在整个网络中继续传染。

2.未授权而执行一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取系统的控制权，先于正常程序执行。病毒的动作、目的对用户是未知的，是未经用户允许的。

3.隐蔽性病毒程序大多夹在正常程序之中，很难被发现，它们通常附在正常程序中或磁盘较隐蔽的地方(也有个别以隐含文件的形式出现)，这样做的目的是不让用户发现它的存在。如果不经过代码分析，我们很难区别病毒程序与正常程序。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，用户不会感到有任何异常。

4.潜伏性计算机病毒的潜伏性是指计算机病毒具有依附其他媒介而寄生的能力。大部分计算机病毒感染系统之后不会马上发作，可长期隐藏在系统中，病毒的发作是由触发条件来确定的，在触发条件不满足时，系统没有异常症状。例如，PETER-2病毒在每年的2月27日会提三个问题，答错后会将硬盘加密；著名的“黑色星期五”病毒在逢13号的星期五发作；而CIH病毒在每个月26号发作。这些病毒在平时会隐藏得很好，只有在发作日才会显露出其破坏的本性。

5.破坏性任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏，病毒破坏的严重程度取决于病毒制造者的目的和技术水平。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。2.2.2网络环境下计算机病毒的新特点

1.高频度病毒疫情发作的频率高，几乎每个月都有新的病毒疫情出现，而且恶性病毒的比例大，病毒对计算机用户的危害大大增加。

2.传播速度快，危害性极大由于网络病毒主要通过网络传播，因此，一种新病毒出现后，可以迅速通过Internet传播到世界各地。

3.病毒制作技术新，变种多与传统的计算机病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种。

4.诱惑性现在的计算机病毒充分利用人们的好奇心理，如肆虐一时的“裸妻”、“库尔尼科娃”等病毒。

5.病毒形式多样化，难于根治病毒呈现多样化的趋势。病毒分析显示，虽然新病毒不断产生，但较早的病毒发作仍很普遍并有所发展。此外，新的病毒更善于伪装，如主题会在传播中改变，许多病毒会伪装成常用程序，用来麻痹计算机用户。

6.具有病毒、蠕虫和后门(黑客)程序的功能计算机病毒的编制技术随着网络技术的普及和发展也在不断提高和变化。过去病毒最大的特点是能够复制自身给其他的程序。现在，计算机病毒具有了蠕虫的特点，可以利用网络进行传播；同时，有些病毒还具有了黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统，呈现出计算机病毒功能的多样化。2.2.3恶意软件的特点恶意软件的特点很多，以下列出其典型特征，具备其中之一的软件即可被认为是恶意软件。

(1)强制安装。指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装软件的行为。

(2)难以卸载。指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。

(3)浏览器劫持。指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

(4)广告弹出。指未明确提示用户或未经用户许可的情况下，利用安装在用户计算机或其他终端上的软件弹出广告的行为。

(5)恶意收集用户信息。指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

(6)恶意卸载。指未明确提示用户或未经用户许可，误导、欺骗用户卸载非恶意软件的行为。

(7)恶意捆绑。指在软件中捆绑已被认定为恶意软件的行为。

(8)其他侵犯用户知情权、选择权的恶意行为。2.3病毒与恶意软件的分类2.3.1病毒的分类

1.按照计算机病毒攻击的系统的方式分按照计算机病毒攻击的系统的方式不同，可将计算机病毒分为以下几种。

(1)攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒。此类病毒占病毒总数的99%，可见DOS时代病毒的泛滥程度。

(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎，Windows已逐渐取代DOS，从而成为病毒攻击的主要对象。首例Windows病毒是破坏计算机硬件的CIH病毒。

(3)攻击UNIX系统的病毒。由于UNIX系统应用非常广泛，并且许多大型系统的服务器均采用UNIX作为其主要的操作系统，所以UNIX病毒的破坏性也很大。

(4)攻击OS/2系统的病毒。攻击OS/2系统的病毒很少。

2.按照计算机病毒的链接方式分按照计算机病毒的链接方式不同，可将计算机病毒分为以下几种：

(1)源码型病毒。这种病毒攻击高级语言编写的程序，病毒在高级语言所编写的程序编译之前插入到源程序中，经编译成功后成为合法程序的一部分。

(2)嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种病毒很难编写，但它一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。

(3)外壳型病毒。外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。

(4)操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

3.按照计算机病毒的破坏情况分按照计算机病毒的破坏情况，可将计算机病毒分为良性病毒和恶性病毒。

1)良性病毒良性病毒不包含有立即对计算机系统产生直接破坏作用的代码，这类病毒主要表现其存在并不停地进行扩散，但不破坏计算机内的程序和数据。良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，时常导致整个系统死锁，给正常操作带来麻烦。

2)恶性病毒恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。如“米开朗基罗”病毒，当其发作时，硬盘的前17个扇区将被彻底破坏，致使整个硬盘上的数据无法被恢复，造成的损失是无法挽回的。恶性病毒是很危险的，对此应当加强防范。

4.按照计算机病毒的寄生方式和传染对象分按照计算机病毒的寄生方式和传染对象不同，可将计算机病毒分为以下几种。

(1)引导型病毒。这是一种在系统引导时出现的病毒。磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方，系统一启动病毒就获得其控制权，如“大麻”和“小球”病毒都属于这种类型。

(2)文件型病毒。该类病毒一般感染可执行文件(*.exe和*.com文件)，病毒寄生在可执行程序中，只要程序被执行，病毒也就被激活，病毒程序会首先被执行，并将自身驻留在内存，然后设置触发条件，进行传染。

(3)混合型病毒。混合型病毒综合了引导型和文件型病毒的特性，此种病毒通过这两种方式来感染，更增加了病毒的传染性。不管以哪种方式传染，只要中毒就会经开机或执行程序而感染其他的磁盘或文件。

(4)宏病毒。宏病毒是一种寄生于文档或模板中的计算机病毒，一旦打开这样的文档，宏病毒就会被激活，驻留在Normal模板上，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

5.按照计算机病毒激活的时间分按照计算机病毒激活的时间，可将计算机病毒分为定时病毒和随机病毒。定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

6.按病毒传输的媒介分按照计算机病毒的传播媒介不同，可将计算机病毒分为单机病毒和网络病毒。

1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘或优盘传入硬盘，感染系统，然后再传染其他软盘或优盘，软盘或优盘又传染其他系统。

2)网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。木马病毒是目前网络病毒中比较流行且破坏性较大的一种。2.3.2恶意软件分类根据不同的特征和危害，恶意软件可分为如下五类。

1.广告软件广告软件是指未经用户允许，下载并安装在用户电脑上，或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载，在后台收集用户信息牟利，危及用户隐私，并频繁弹出广告，消耗系统资源，使其运行变慢等。

2.间谍软件间谍软件是一种能够在用户不知情的情况下，在电脑上安装后门、收集用户信息的软件。用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”。这是目前网络安全的重要隐患之一。

3.浏览器劫持软件浏览器劫持软件是一种恶意程序，通过浏览器插件、BHO(浏览器辅助对象)、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载。被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。

4.行为记录软件行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。

5.恶意共享软件恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。目前互联网上传播较广的恶意软件有Yahoo(雅虎)上网助手、CNNICChinesekeywords(CNNIC中文关键字搜索)、Baidu.Sobar(百度搜霸)、Sogou(搜狗)、Baigoo(百狗)、DuduAccelerator(Dudu加速器)、Caishow(彩秀)、DMCast(桌面传媒)、很棒小秘书、一搜工具条、划词搜索等。2.4病毒的检测、防范与清除2.4.1病毒的检测计算机病毒的检测是指通过一定的技术手段，采用具体的检测方法，判定出计算机病毒的一种技术。病毒检测技术主要有两种，其一是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；其二是不针对具体病毒程序的自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在。病毒检测的方法有特征代码法、校验和法、行为监测法、软件模拟法等，这些方法依据的原理不同，实现时所需开销不同，检测范围也不同，各有所长。

1.特征代码法

特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。特征码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。特征代码法的实现步骤如下：

(1)采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，则两者病毒样本都要采集。

(2)进行病毒采样时，抽取特征代码应遵循以下原则：①抽取的代码比较特殊，不大可能与普通正常程序代码吻合。②抽取的代码要有适当长度，一方面要维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。③在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。

(3)将特征代码纳入病毒数据库。

(4)打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。

(5)如果发现病毒特征代码，由于特征代码与病毒一一对应，因此便可以断定被查文件中感染有何种病毒。采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法无法检测新病毒。

2.校验和法对正常文件的内容计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或在每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，即可以发现文件是否被感染。校验和法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒种类，也不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件校验和的方法来检测病毒，不是最好的方法。校验法和在遇到已有软件版本更新、变更口令、修改运行参数等情况时，都会误报警。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。

3.行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。这些作为监测病毒的行为特征如下：

1)占有INT13H所有的引导型病毒都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT13H功能，在其中放置病毒所需的代码。

2)修改DOS系统为数据区的内存总量病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。

3)对COM、EXE文件做写入动作病毒要感染，必须对COM、EXE文件做写入动作。

4)病毒程序与宿主程序的切换染毒程序运行中，先运行病毒，而后执行宿主程序。

4.软件模拟法多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法会失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能作为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，故难于进行杀毒处理。2.4.2病毒的防范计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，采取必要的措施，及时发现计算机病毒侵入并采取有效手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。计算机病毒防范措施是保障计算机系统正常、安全运行的基础，我们每一个计算机的使用者都要尽责、尽力做好这项工作。具体的防范措施有：

(1)留心其它形式文档(如 .rtf、.pdf等)的使用。常见的宏病毒使用MicrosoftOffice程序传播，减少使用这些文件类型的机会将降低病毒感染风险。

(2)注意邮件中附件的扩展名。因为Windows允许用户在文件命名时使用多个扩展名，而许多电子邮件程序只显示第一个扩展名，有时会造成一些假象。注意：不要打开扩展名为 .vbs、.shs和 .pif的邮件附件，因为一般情况下这些扩展名的文件经常被病毒和蠕虫使用。

(3)不要轻易运行外来的程序。即使是熟悉的朋友们寄来的信件中夹带的程序附件，如没有在信中提及或说明，也不要轻易运行。

(4)不要盲目转发信件。收到自认为有趣的邮件时，不要盲目转发，否则有可能会帮助病毒传播。

(5)堵住系统漏洞。很多网络病毒都是利用微软的操作系统、IE和Outlook的漏洞进行传播的，因此需要特别注意及时为系统打补丁。

(6)禁止WindowsScriptingHost。对于通过脚本“工作”的病毒，可以在浏览器中禁止Java或ActiveX运行，阻止病毒的发作。同时应该把浏览器的隐私设置设为“高”。

(7)注意共享权限。一般情况下勿将磁盘上的文件夹设为共享，如果确有必要，可将权限设置为只读，读操作须指定口令。也不要用共享的磁盘安装软件，或者是复制共享的磁盘，这样可能会导致病毒从一台机器传播到另一台机器。

(8)从正规网站下载软件。不要从任何不可靠的渠道下载软件。通常我们无法判断什么是不可靠的渠道，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。

(9)设置自动病毒检查。确保你的计算机对插入的软盘、光盘和其他的可插拔介质，以及对电子邮件和互联网文件都会做自动的病毒检查。

(10)做好重要数据和程序的备份。各种程序和软件最好安装在C盘，对生成或需要保存的数据文件、网上下载的文件等放在D盘或E盘中，对特别重要的数据、文件还应在移动存储器或光盘中再作备份。

(11)安装虚拟还原软件。利用虚拟还原技术保护硬盘。虚拟还原的工作原理实际上是基于系统保护的，但它的保护做在系统的最底层，先于操作系统。在开启计算机后的使用中，虚拟还原软件虽然不能拦截病毒的侵入，但可以在每次启动时提供一个纯净的、安全可靠的操作系统。

(12)使用最新杀毒软件。不要以为安装了杀毒软件就可以高枕无忧，一定要及时升级病毒库，否则杀毒软件就会形同虚设；另外，要正确设置杀毒软件的各项功能，充分发挥它的功效。

(13)安装防病毒硬件。新一代的防病毒硬件是基于USB接口的，不用安装与注册，不占硬盘资源；采用芯片级设计，病毒不能对里面的内容进行改写；通过加密隧道实现对防病毒硬件主控模块及病毒代码库的升级。2.4.3病毒的清除一旦检测到计算机病毒，就应该想办法将病毒立即清除。由于病毒的防治技术总是滞后于病毒的制作，所以并不是所有病毒都能马上得以清除。清除计算机病毒的方法主要有：利用杀毒软件进行清除、采用手工方式进行清除和利用还原技术进行清除等。在执行清除病毒操作前，应对系统中的重要数据进行备份，以免由于操作不当，导致数据丢失。再有就是关闭Windows系统还原功能，以免系统自动备份删除的病毒文件。

1.利用杀毒软件进行清除目前市场上的杀毒软件有许多种，可以根据自己的需要选购适合自己的杀毒软件。比较流行的杀毒软件有瑞星杀毒软件、江民杀毒软件、金山毒霸、熊猫卫士、诺顿杀毒软件、安全之星等。

2.采用手工方式进行清除

(1)利用Windows任务管理器查看系统运行的进程，找出不熟悉的进程并记下其名称，暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性很大，应及时中断病毒进程，进行病毒的查杀。

(2)查看Windows当前启动的服务项，在“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”且启动类别为“自动”项的行，一般而言，正常的Windows服务，基本上是有描述内容的，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称。

(3)运行注册表编辑器(命令为regedit或regedt32)，查看都有哪些程序与Windows一起启动。主要看HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run主键和后面的RunOnce主键，查看窗体右侧的项值，看是否有非法的启动项。根据病毒的情况，删除或还原系统注册表中相应的选项。

(4)用浏览器上网判断。前一阵发作的Gaobot病毒，用户可以上,等网站，但是不能访问诸如,这样著名的安全厂商的网站，系统中安装的SymantecNorton2004杀毒软件不能上网升级。

(5)系统文件的恢复，其一，检查Win.ini文件中关于[Windows]的部分，例如：[Windows]load=file.exerun=file.exe其二，检查System.ini文件中关于[boot]的部分，例如：[boot]Shell=Explorer.exefile.exe删除其中有可能是病毒的部分(file.exe)。

3.利用还原技术进行清除

1)应用“系统还原”清除病毒打开系统分区的系统还原，定期建立还原点，一旦发现自己电脑感染了病毒，马上利用系统还原恢复到系统正常的某天的还原点。

2)应用Ghost恢复备份的映像文件在计算机格式化后重新安装操作系统，用Ghost做个系统影像备份并将备份文件刻录到光盘上。当操作系统或各种应用软件出现异常时，用干净的软盘或光盘启动计算机，然后用Ghost还原操作系统即可。

3)应用还原卡清除病毒使用还原卡可以将计算机的系统分区或其他需要保护的分区保护起来，可以将还原卡设定为下次启动或过一定的时间后对系统进行自动还原，这样，在此期间内对系统所做的修改将不复存在，免去了系统每使用一段时间后就由于种种原因造成系统紊乱、经常出现蓝屏或被病毒感染而不得不再次重装系统之苦。2.4.4病毒防治的最新产品

1.卡巴斯基

Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯，是世界上最优秀的网络杀毒软件之一。

Kaspersky(卡巴斯基)杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻断和完全检验。它支持几乎所有的普通操作系统、E-mail通路和防火墙。Kaspersky控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构抗病毒分离墙。卡巴斯基官方网站：/。

2.诺顿360诺顿360是赛门铁克(Symantec)的新一代一体化安全、备份和调整服务，可以自动保护用户的PC、数据和交易，这款新的防毒软件提供新一代的AllInOne解决方案，对电脑安全、在线交易安全、备份还原和电脑效能调校提供了全方位的防护。诺顿官方网站：/region/cn/。

3. McAfeeVirusScanEnterprise8.5i

McAfeeVirusScanEnterprise8.5i产品中添加了McAfeeAntiSpywareEnterprise模块。该模块提供一组附加的防病毒访问保护规则，还具备检查Cookies、注册表以及内存中运行的文件的功能。VirusScanEnterprise利用自身技术和上述功能可提供额外保护，以防止广告程序、间谍程序和其他有害程序的侵入。

McAfee官方网站：/cn/。

4.江民杀毒软件KV2008江民杀毒软件KV2008是全球首家具有灾难恢复功能的智能主动防御的杀毒软件，采用了新一代智能分级高速杀毒引擎，占用系统资源少，扫描速度得到了大幅提升，突破了“灾难恢复”和“病毒免杀”两大世界性难题，可有效防杀超过40万种的计算机病毒、木马、网页恶意脚本、后门黑客程序等恶意代码以及绝大部分未知病毒。江民公司网站：/。

5.金山毒霸2007金山毒霸2007杀毒套装包括了金山毒霸、金山反间谍、金山网镖和金山漏洞修复四重保护。集成“数据流杀毒”和“主动实时抢先升级”两大领先技术，“反网络间谍”、“反网络钓鱼”和“主动漏洞修复”三大核心引擎，以及“个人隐私信息保护”、“启动抢先加载杀毒”、“文件粉碎”、“应急U盘创建”四大利器，能更好地保护网络安全。另外还有十多个安全实用小工具、数十项安全设置选项及安全防护功能，以及一套庞大而完整的安全防御体系。软件全新推出了毒霸“安全中心”，以便于用户对整个金山毒霸2007套装进行统一的操控。金山公司网站：/。

6.瑞星2008瑞星2008是一款功能强大，应用大量创新技术的新一代反病毒产品。产品采用了全新的架构，除了“杀毒”、“监控”等传统功能外，还增加了“防御”、“安检”等全新的功能模块，在易用性和查杀毒能力方面有了显著的提高。瑞星2008中的“账号保险柜”无需用户做任何操作即可自动保护MSN程序，不但能防止病毒通过注入DLL、篡改内存、读取内存、发送消息等方式窃取账号密码，还可以防止病毒模拟键盘发送垃圾消息，从根本上阻止MSN蠕虫类病毒的传播感染。瑞星2008中的“主动防御”杀毒软件通过对几十万种病毒的危险行为分析，结合大量中毒用户的案例，预先设置安全规则，在电脑开启后就可直接查杀病毒及恶意软件。瑞星公司网站：/。2.5恶意软件的防范与清除2.5.1恶意软件的防范要想有效地防范恶意软件的入侵，需要用户在使用计算机的过程中加强安全防范意识，利用掌握的计算机知识，尽可能多地排除系统安全隐患，将恶意软件挡在系统之外。通常可以采取以下一些措施来防范恶意软件的入侵。

1.加强系统安全设置

(1)及时更新系统补丁。下载最新的ServicePack和漏洞补丁，并将计算机的“系统更新”设置为自动，最大限度地减少系统存在的漏洞。

(2)严格账号管理。停用Guest账号，把Administrator账号改名。删除所有的Duplicateuser账号、测试账号、共享账号等。不同的用户组设置不同的权限，严格限制具有管理员权限的用户数量，确保不存在密码为空的账号。

(3)关闭不必要的服务和端口。禁用一些不需要的或者存在安全隐患的服务。如远程协助、远程桌面、远程注册表、Telnet等服务，在不需要应用时应关闭。

2.养成良好的电脑使用习惯

(1)不要随意打开不明网站，尽量访问熟悉的站点。很多恶意软件都是通过恶意网站进行传播的。当用户使用浏览器打开这些恶意网站时，系统会自动从后台下载恶意软件，并在用户不知情的情况下安装到用户的电脑中。

(2)尽量到知名下载网站下载软件。恶意软件的重要传播渠道之一是在共享或汉化软件里强行捆绑，因此要选择可信赖的站点下载软件，如华军软件园、天空软件等大型的知名下载网站。

(3)安装软件时要看清楚才点击。很多捆绑了恶意软件的安装程序都有一些说明，需要在安装时注意加以选择，不能“下一步”到底，要仔细看清楚。例如安装捆绑了恶意软件的暴风影音时，安装向导会提示安装相关流氓软件的提示列表。被捆绑的恶意软件在安装时都有一个释放过程，一般是释放到系统的临时文件夹，如果在安装软件时发现异常，可启动任务管理器终止应用程序的安装。通过进程列表可看到被释放的恶意软件安装程序进程，根据进程路径打开目录将恶意软件删除即可。

(4)禁用或限制使用Java程序及ActiveX控件。恶意软件经常使用Java、Java

Applet、ActiveX编写的脚本获取用户标识、IP地址、口令等信息，甚至可在计算机上安装某些程序或进行其他操作。2.5.2恶意软件的清除感染恶意软件后，电脑通常会出现运行速度变慢、浏览器异常、系统混乱甚至系统崩溃等问题。清除恶意软件一般采用如下几种方法。

1.手工清除如果发觉自己的计算机感染了少量恶意软件，可以尝试用手工方法将其清除。具体清除步骤如下：

第1步，重启计算机，开机按F8键，选择进入安全模式。第2步，删除浏览器的Internet临时文件、Cookies、历史记录和系统临时文件。第3步，在“控制面板”→“添加或删除程序”中查找恶意软件，如果存在将其卸载。找到恶意软件的安装目录，将其连同其中的文件一并删除。第4步，在“运行”中输入“regedit”，进入注册表编辑器，在注册表中查找是否存在含有恶意软件的项、值或数据，如果存在，将其删除。以上四步完成以后，重启计算机进入正常模式，通常恶意软件即可被清除。

2.采用专业清除软件有些恶意软件使用手工的方法已很难彻底清除，则可采用一些专业的软件来进行清除。目前，互联网上可供查杀恶意软件的工具很多，其中查杀效果较好的有360安全卫士、超级兔子上网精灵、恶意软件清理助手、Windows流氓软件清理大师、流氓软件杀手、瑞星卡卡上网助手等。

注意：专业清除软件最好在安全模式下运行，这样可使得恶意软件的查杀更为彻底。【实例】1.实例任务描述：“熊猫烧香”病毒的清除“熊猫烧香”(Worm.WhBoy)病毒曾有一段时期在互联网上疯狂肆虐。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该病毒感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。多家著名网站都曾遭到此类攻击，而相继被植入病毒。

2.操作提示下面介绍一个相对完整的清除“熊猫烧香”病毒的方案。

1)了解病毒信息病毒中文名为“熊猫烧香”(又称武汉男生)病毒，英文名为Worm.WhBoy，目前发现的变种数已超过50个。

2)识别病毒表现“熊猫烧香”病毒有以下恶劣表现：

(1)感染病毒后发现较多的EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来，现在发现的部分变种已经不再使用这个广为人知的图标了。

(2)部分变种可以直接通过互联网更新版本，部分变种除感染 .exe文件外，还可以感染 .htm，.html，.asp，.php，.jsp，.aspx等网页格式文件。

(3)一旦Web服务器被感染，将意味着所有浏览这些网页的计算机都可能会自动下载并感染上“熊猫烧香”病毒。

(4)该系列变种会释放以下几个典型文件：分区根目录下：setup.exe、autorun.inf；系统文件夹下：Fuckjacks.exe；Driversspoclsv.exe；局域网环境下：GameSetup.exe。

3)查看病毒行为“熊猫烧香”病毒存在以下行为：

(1)删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，该操作几乎涉及目前所有的杀毒软件。

(2)终止部分安全辅助工具的进程，如IceSword、任务管理器taskman等。

(3)终止维金的相关进程Logo1_.exe、Rundl123.exe。

(4)弱口令破解局域网其他电脑的Administror账号，并用GameSetup.exe进行复制传播。

(5)修改注册表键值，导致不能查看隐藏文件和系统文件。

(6)除特定目录外，病毒会尝试破坏其它分区的部分 .exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件：(这给我们解决此病毒留下了机会。)

WINDOW，Winnt，SystemVolumeInformation，Recycled，WindowsNT，WindowsUpdate，WindowsMediaPlayer，OutlookExpress，InternetExplorer，NetMeeting，CommonFiles，ComPlusApplications，Messenger，InstallShieldInstallationInformation，MSN，MicrosoftFrontPage，MovieMaker，MSNGaminZone。

(7)病毒会删除扩展名为 .gho的文件(该文件是一系统备份工具GHOST的备份文件)，使用户的系统备份文件丢失。

4)具体清除办法

(1)采用专杀工具清除。首先上网下载专杀工具，例如瑞星、江民等公司均有针对该病毒的专杀工具。按要求正确安装专杀工具，点击“升级”按钮，升级杀毒软件到最新版本，然后进行全盘杀毒。

(2)使用杀毒软件清除。下面以使用毒霸2007为例，介绍查杀“熊猫烧香”病毒的操作方法：第1步，单击“开始”→“运行”，输入“msconfig”，点击“确定”，打开系统配置实用程序，点击BOOT.INI标签。第2步，按图2-1修改配置，重启，进入带网络连接的安全模式。第3步，升级杀毒软件后杀毒。图2-1修改配置

(3)手动清除。因为“熊猫烧香”病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一旦运行了感染过“熊猫烧香”病毒的程序，还会再次感染病毒。以下简单介绍手工结束病毒进程以及修复注册表项的步骤：第1步，断开网络(禁用网卡或拔掉网线)。第2步，结束病毒进程。因为在已感染病毒的机器上任务管理器、IceSword等无法运行，所以建议去/technet/sysinternals/ProcessesAndThreads/下载ProcessExplorer备用。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe)，就用这个工具结束进程。第3步，在本地计算机上搜索并删除以下病毒执行文件：分区根目录下的setup.exe、autorun.inf(这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议把它删了)，系统文件夹下的Fuckjacks.exe、Driversspoclsv.exe，局域网环境下的GameSetup.exe。第4步，选择“开始”→“运行”，输入“regedit”，确定后，打开注册表编辑器，删除病毒创建的启动项：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%FuckJacks.exe"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%FuckJacks.exe"第5步，打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL主键，单击右键，选择“新建”→“Dword值”，命名为“CheckedValue”(如果已经存在，可以删除后重建)，修改它的键值为1，十六进制，按确定后，退出注册表编辑器。这用于恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”。第6步：修复或重新安装反病毒软件，以恢复被病毒删除的相关注册键值，恢复杀毒软件的功能。第7步：更新反病毒软件并进行全盘扫描，把感染的 .exe程序及网页文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除并重新上传。

5)预防方法按以上方法处理完后，熊猫烧香病毒很有可能再进入系统，怎么办？我们必须做好预防工作。

(1)首先给本机设一个复杂密码，如果没有特殊应用的话，可禁用本机共享，方法为禁用server服务。

(2)安装杀毒软件，并升级到最新版本，查杀全部分区。

(3)更新操作系统补丁。【疑难解析】问题1：对染毒软盘进行dir操作会感染病毒吗?答：不会。如果计算机的内存没有病毒，那么只有在执行了带有病毒的程序(文件)后，才会感染病毒。而dir命令由于是DOS的内部命令，不需要执行任何外部的程序(文件)，因此对染毒软盘进行dir操作不会感染病毒。不过需要注意的是，如果计算机内存已有病毒(或者说计算机已染毒)，如果对没有染病毒的磁盘进行dir操作，就可能感染磁盘。说可能会感染是因为有些病毒不会通过dir操作传播。问题2：是否将文件改为只读方式就不会感染病毒?答：不是。这对防范病毒没有任何用处。既然你可以通过计算机将文件改为只读方式，那以传播自身为目的的病毒当然也可以通过计算机将文件改回可写的方式。问题3：病毒会感染写保护的磁盘吗?答：不会。写保护和文件只读方式不同，设置文件只读方式通过计算机，所以病毒可以将其改成非只读；而写保护是从硬件上实现的，病毒无法去掉写保护。问题4：Word文档不是可执行文件(非 .com、.exe文件)，为什么也会有病毒?答：病毒是一段程序。.com文件和 .exe文件实际上都是一段程序。而Word中因为可以包含一段程序(宏)，所以有病毒丝毫不奇怪。问题5：数据文件会感染病毒吗?比如是否会感染.pcx、.jpeg、.tif等图形文件。答：一般不会。因为病毒是一段程序，而数据文件一般不包含程序，当然就不会感染病毒。.pcx、.jpeg、.tif等图形文件因为肯定不包含程序，所以可能不会感染病毒。不过有些病毒会破坏各种文件，所以备份数据文件还是非常必要的。问题6：使用反病毒软件可以防范所有病毒吗?答：这是不可能的。可以用很简单的推理说明：没有任何方法可以100%地识别出病毒。最有效的防范是：首先加强管理、提高警惕，经常备份数据、文件，然后使用一些防病毒软件。使用防病毒软件是为了辅助防毒，它不可能是刀枪不入的保镖。问题7：杀毒软件杀毒后，能让文件完全恢复原样吗?答：有些病毒破坏了文件的某些内容，在杀除这种病毒后是不能恢复文件的原貌的。问题8：如何限制或禁用Java和ActiveX控件？答：限制或禁用Java和ActiveX控件的具体步骤如下：打开IE浏览器“工具”菜单中的“Internet选项”，选择“安全”选项卡，单击“Internet”，单击“自定义级别”按钮，进入“安全设置”对话框，就可以设置“ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”以及其它安全选项了。对于一些不太安全的控件或插件以及下载操作，应该予以禁止、限制，至少要进行提示。选择完后单击“确定”按钮使设置生效。【知识能力拓展】认清新时代下的网络病毒传统网络病毒的定义是指利用网络进行传播的一类病毒的总称。而网络时代的网络病毒是指以网络为平台，对计算机产生安全威胁的所有程序的总和。

1.由“骗子”升级为“间谍”——木马病毒(Trojan)传统的木马病毒是指一些有正常程序外表的病毒程序，例如一些密码窃取病毒，它会伪装成系统登录框的模样，当用户在登录框中输入用户名与密码时，这个假的登录框木马便会将用户口令通过网络泄漏出去。如果说传统的木马病毒是个骗子的话，那么现在的木马病毒则更像一个间谍。现在的木马病毒一般是指利用系统漏洞进入用户的计算机系统，通过修改注册表自启动，运行时有意不让用户察觉，将用户计算机中的所有信息都暴露在网络中的病毒程序。如今木马病毒更多地是扮演“里通外国”的角色。大多数黑客程序的服务器端都是木马病毒。

2.不断自我完善——蠕虫病毒(Worm)蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序，像当年的“莫里斯”病毒就是典型的蠕虫病毒。它利用网络的缺陷在网络中大量繁殖，导致几千台服务器无法正常提供服务。如今的蠕虫病毒除了利用网络缺陷外，更多地利用了一些新的技术，比如说“求职信”病毒，就是利用邮件系统这一大众化的平台，将自己传遍千家万户；而“密码”病毒是利用人们的好奇心理，诱使用户来主动运行病毒；“尼姆达”病毒则是综合了系统病毒的方法，利用感染文件来加速自己的传播。

3.一枝“新秀”——黑客程序(Hack)黑客程序产生的年代由来已久，但在过去，从没有人将它看做是病毒，理由是，黑客程序只是一个工具，它有界面又不会传染，不能算做病毒。而随着网络的发展与人们日益增长的安全需求，我们必须重新来看待黑客程序。黑客程序一般都有攻击性，它会利用漏洞在远程控制计算机，甚至直接破坏计算机；黑客程序通常会在用户的计算机中植入一个木马病毒，与木马病毒内外勾结，对计算机安全构成威胁。所以黑客程序也是一种网络病毒。像“冰河”病毒、“BO”病毒，它们功能强大到可以在远端控制计算机做任何事情。

4.新型病毒——捆绑器病毒(Binder)捆绑器病毒是一个很新的概念，人们编写这些程序的最初目的是希望通过一次点击可以同时运行多个程序，然而这一工具却成了病毒的新帮凶。比如说，用户可以将一个小游戏与病毒通过捆绑器程序捆绑，当用户运行游戏时，病毒也会同时悄悄地运行，给用户计算机造成危害。由于捆绑器会将两个程序重新组合，产生一个自己的特殊格式，所以捆绑器程序的出现，使新变种病毒产生的速度大大增加了。为了对付新情况，各大杀毒厂商都将此类型程序定义成一种新病毒——捆绑器病毒，像瑞星2003版杀毒软件还针对此种病毒推出了新的杀毒引擎，可见此病毒已经得到了人们更多的关注。

5.新帮凶——网页病毒网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实它就是利用Script语言编写的一些恶意代码。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，就可以利用系统的一些资源进行破坏：轻则修改用户的注册表，使用户的首页、浏览器标题改变；重则可以关闭系统的很多功能，使用户无法正常使用计算机系统；更甚者可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防，最好的防范方法是选用有网页监控功能的杀毒软件。新时代下的电脑病毒越来越“智能”，此时除了需要反病毒技术不断提高外，还需要广大计算机用户提高防范病毒意识。只有安全厂商和用户共同努力，才可以有效地遏制病毒的破坏。【本章小结】本章主要介绍计算机病毒的基础知识，让读者在了解什么是计算机病毒以及计算机病毒的特点、分类和危害的同时，又进一步了解检测、防范和清除计算机病毒的有效方法，并针对网络病毒独有的特点进行了分析和说明，提出了网络病毒的防治措施，最后通过清除病毒实例告诉读者具体消除病毒的方法和措施。实训一防病毒软件的使用※实训目的※

(1)了解计算机病毒的特点及危害。

(2)掌握江民杀毒软件KV2008的下载和安装。

(3)学会杀毒软件的设置方法。

(4)熟练使用KV2008进行病毒的查杀。※实训环境※

(1)硬件环境：计算机。

(2)软件环境：WindowsXP/2000/2003。

(3)网络环境：连接Internet。※实训内容※

(1)搜索、下载、安装江民杀毒软件KV2008。

(2)对江民杀毒软件KV2008进行相关设置。

(3)江民杀毒软件KV2008的使用。※实训基础知识※江民杀毒软件KV2008采用了新一代智能分级高速杀毒引擎，占用系统资源少，扫描速度得到了大幅提升，突破了“灾难恢复”和“病毒免杀”两大世界性难题。KV2008可有效防杀超过40万种的计算机病毒、木马、网页恶意脚本、后门黑客程序等恶意代码以及绝大部分未知病毒。通过实训熟悉应用程序的安装，了解常用杀毒软件的种类，了解计算机病毒的危害，掌握江民杀毒软件KV2008的有关特点，掌握清除计算机病毒的有效方法与措施。※实训步骤※

1.搜索、下载KV2008打开“InternetExplorer”，在地址栏中输入：/，进入江民杀毒软件主页，选择“30天免费直接下载”，下载江民杀毒软件KV2008免费版到本机。

2.江民杀毒软件KV2008的安装打开刚才下载的KV2008免费版程序，用鼠标双击安装程序“KV2008_DL.EXE”进入安装导航，按提示进行安装即可。提示：如果使用的是正版光盘，请运行KV2008安装光盘中的安装导航程序Setup.exe。

3.江民杀毒软件KV2008的设置在江民杀毒软件KV2008主界面中，点击【工具】选择下拉菜单的【设置】选项进入设置界面，如图2-2所示。在此界面中，用户可以根据自己的需求，选择常用的功能进行统一设置管理。设置管理的项目有安全级别、常规、显示、扫描选项、监视、嵌入、保护密码、黑白名单管理、反垃圾邮件、网址过滤、升级、启动前扫描等12项，可根据需要进行设置。图2-2设置管理界面

4.利用江民杀毒软件KV2008查杀病毒

KV2008提供了简洁操作台(如图2-3所示)、普通操作台(如图2-4所示)、托盘操作台、桌面图标操作台、桌面快捷方式操作台、开始菜单主程序操作台等6种不同模式和功能的操作台供用户使用，用户可以根据自己的需要方便、灵活、自由选择启动江民杀毒软件KV2008的方式。图2-3简洁操作台界面图2-4普通操作台界面

1)