《计算机安全2.4手工杀毒》由会员分享,可在线阅读,更多相关《计算机安全2.4手工杀毒(34页珍藏版)》请在金锄头文库上搜索。
1、计算机安全技术计算机病毒的检测与清除1提纲p计算机病毒行为特征p计算机病毒手工清除p实验2计算机病毒的手工清除p了解计算机病毒的行为特点,判断计算机是否感染病毒。p了解一般手工清除病毒的方法,步骤p了解安全工具的使用方法。3计算机病毒的行为特点p病毒要长期存活下去,必将以文件的形式保存在磁盘上p病毒要激活,必须能够实现自动运行p木马,蠕虫还要对外进行网络通信。4病毒文件操作p很多攻击在执行之后都会产生一些文件,这些文件中既有二进制文件又有文本文件。二进制文件中主要有可执行文件和 DLL 文件两类,可执行文件中有些是攻击自身的副本,DLL 文件包含着攻击的主要功能。文本文件的内容主要包含着攻击的
2、一些配置信息、日志信息和攻击的攻击目标信息。因此有必要对文件的增减进行监测。p系统中的一些关键文件夹中的文件、文件夹的增减进行监测,这些文件夹是攻击经常光顾的地方。n%windir% %windir%system %windir%system32n%windir%system32drivers %windir%system32config %windir%Tasksn%windir%Tempn:Documents and Settings开始菜单程序启动n:Documents and SettingsAll Users开始菜单程序启动n:Documents and SettingsLocal
3、SettingsTemp5病毒文件操作p很多攻击经常修改系统的一些重要文件以达到其攻击目的,比如用带有后门的系统命令文件替换掉系统中原有的系统命令文件,修改系统的一些重要配置文件。因此有必要对文件进行完整性检查。nAUTOEXEC.BATnCONFIG.SYSn:Program FilesInternet ExplorernAutorun.inf6自启动技术p自启动技术的任务是保证恶意代码在受害主机下一次开机启动的后能够正常工作。自启动的方法有很多,归纳起来主要有六种:n通过服务启动、n通过添加注册表启动项启动、n通过文件关联启动、n通过修改系统配置文件启动、n作为其他程序插件启动、n通过文件
4、绑定方式启动7自启动技术p1、通过服务启动n通过将恶意代码注册成服务的方法,每次系统启动的时候都可以启动恶意代码8通过添加注册表启动项启动p注册表的启动项包括:nHKEY_LOCAL_MACHINE SoftwareMicrosoftWindows CurrentVersionRunServicesnHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOncenHKEY_LOCAL_MACHINE SoftwareMicrosoftWindows CurrentVersionRunnHKEY_LOCAL_MACH
5、INE SoftwareMicrosoftWindows CurrentVersionRunOncenHKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersionRunnHKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunOncenHKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersionRunServices9通过文件关联启动pWindows 系统会为每一种类型的文件指定一个关联文件,当用户打开这种类型的文件时,系统会
6、自动启动其关联文件,利用这种机制可以实现恶意代码的自启动。nHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion Image Options 下新建一个注册表项,项名为 A.exe,然后在下面新建一个字符串,字符串名为 Debugger,字符串值就是程序 A.exe 的全路径。 那么在调用图片文件的时候就会 A.exe10通过修改系统文件配置启动p除了注册表外,利用系统配置文件 Win.ini 也可以启动恶意代码。实现方式是在 win.ini 的 windows 选项下添加内容:nwindowsnload=nrun=p这样在系统
7、启动的时候就会运行 这个程序11作为其他程序插件加载启动p很多应用程序都允许执行插件,其中 ICQ 就可以。如果在注册表中设置:nHKEY_CURRENT_USERSoftwareMirabilisICQAgentAppstestnPath=test.exenStartup=c:testnParameters=nEnable=YesnHKEY_CURRENT_USERSoftwareMirabilisICQAgentAppsp当 ICQ 发现网络连接时,将执行 test.exe12通过文件绑定启动p文件绑定就是把两个可执行程序合并成一个可执行程序,在新程序执行时,原来的两个程序都被执行。如果恶
8、意代码利用这种方式,把自己和 cmd.exe 绑定在一起取代原来的 cmd.exe 文件那么,每次用户运行 cmd.exe 的时候都会启动恶意代码13网络通信p木马,蠕虫与外界联系还需要进行网络通信,及时查看网络通信,也可以发现端倪。14计算机安全技术计算机安全知识15提纲p如何显示电脑的所有文件p如何关闭系统还原(删除系统还原文件中的病毒)p如何删除系统临时文件p如何删除杀毒软件无法删除的文件p如何查看系统服务及运行注册表,任务管理器p如何关闭启动项p怎样分辩自己电脑是否中毒参考:16使用注册表编辑器进行简单的删除/编辑操作p“开始”菜单-“运行”,输入“regedit”,打开“注册表编辑器
9、”。17正确显示电脑中的所有文件18正确显示电脑中的所有文件1。请打开注册表,定位到:pKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支p双击右边的窗口中Type键值项,把值改为: radiop关闭注册表编辑器,重新启动计算机。2。如果按照上面进行设置后,文件仍然未显示出来p请打开注册表,定位到:pKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHidde
10、nSHOWALLp分支,如果右边的窗口中有名为CheckedValue键值项,但类型不是dword型时,把它删除后新建一个dword型的CheckedValue键。p如果dword型的CheckedValue键值为0时,请双击它,把它的键值修改为“1”。p关闭注册表编辑器,重新启动计算机。1920关闭系统还原方法p由于系统还原文件夹受系统保护所以全盘杀毒前最好关闭系统还原。p系统还原文件夹是在各盘C(D,E):System Volume Information下,如果各位发现这个文件夹有病毒就要关闭系统还原在安全模式下杀毒p右键点击我的电脑右键点击我的电脑属性属性系统还原系统还原在所有驱动在所
11、有驱动器上关闭系统还原器上关闭系统还原 21安全模式p在电脑启动时不停的按键盘最上面一排的F8键(可不要F和8一起按 )p选安全模式 回车确认即可22安全模式方法2.p 1、在Windows环境下,点击“开始”菜单,然后点击“运行”;p 2、输入msconfig,然后点击“确定”按钮; p 3、点击“Boot.ini”标签;p 4、选择/SAFEBOOT; p 5、重新启动计算机; 23如何删除杀毒软件无法删除的文件p由许多木马都插入到系统关键进程中,杀毒软件没有权限直接删除木马或病毒,会提示重启后删除。p但如果插入的进程在启动时优先于杀毒软件先启动。杀毒软件会再次查到病毒提示重启后删除。p所
12、以就需要手动来删除p由于文件正在常使用所以直接删除无法删除只能借助于一些强制删除工具。p360粉碎工具 , 金山清理专家等24使用组策略禁用自动播放p开始菜单-运行,输入gpedit.msc,点击确定或回车,打开组策略25结束进程p启动任务管理器,切换到“进程”选项卡,选择一个需要结束的进程,点击“结束进程”按钮。26DOS命令行下删病毒p执行命令如下:attrib X: -s -h -r *.*(去除病毒文件隐藏属性)dir (查看病毒文件名)del autorun.inf(删除病毒相关文件)del .exe(删除病毒相关文件)p27手工查杀病毒的步骤1p安全模式下+关闭系统还原pmscon
13、fig看启动项和服务项.(非必要性的启动和服务都禁用) p我的电脑右键-管理-设备管理器-查看-显示非即插即用设备(删除非必须的驱动)不重启28手工查杀病毒的步骤 2p删注册表nHKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfig HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunnHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunp删除里面相关项,当然如果知道是什么病毒文件的话,直接搜索注册表,然后全都删
14、除29手工查杀病毒的步骤3p删除临时文件:nC:temp nC:windowsprefetch nC:document and setting各个用户local setting Temporary Internet Files nC:document and setting各个用户 Templates nC:Program FilesInternet Explorer PLUGINS(这个位置也会有病毒)p删最新文件和更改可疑文件扩展名-遇到不能删除的文件,就说明有问题了nC:nC:WINDOWSnC:WINDOWSSYSTEM32nC:WINDOWSSYSTEM32DRIVERS(这个不要随
15、便删,一般是卸载完驱动后再删)30手工查杀病毒的步骤4p右键IE属性-程序-管理插件-禁用非官方或者不认识的插件p遇到删不掉的文件,可以用ICESWORD先设置:禁止进线程创建 ,然后强制删除p而后在同样位置创建同名文件并设置属性 attrib 路径文件名 +s +h +r +ap遇到系统文件被损坏的,可以从别的机器拷贝替代p遇到顽固的病毒,可以通过组策略限制31手工查杀病毒的步骤5p计算机配置-windows设置-安全设置-软件限定策略-额外策略-新建一策略,然后找到病毒文件名,即可p2. 用户配置-管理员模版-系统-禁止运行的应用程序-启用添加病毒程序名(不需要路径)p安装杀毒软件和反间谍软件,升级,并查杀.再重启进安全模式32病毒知识及安全工具p瑞星卡卡安全论坛33作业p到邮箱 下载附件,对附件中的的SRENG扫描记录进行分析,给出分析结果和操作建议,按照学号末尾的数字选择相应的日志进行分析(比如末尾是1的选择日志1),以书面手写的形式交上来,作业上要包含姓名,学号。 34
