计算机与信息安全应用技巧

一、计算机病毒的防治计算机与网络安全用户面临的尴尬：不用杀毒软件不行、用了杀毒软件作用不大中国计算机病毒疫情调查技术分析年份中毒率200173%200385.37%200791.47%国内外反病毒公司普通认为，2008年新病毒的数量将突破1000万个，也就是说每个小时都会有1000多个新病毒涌现出来中毒后的快速自救措施：Step1---发现异常立即断开连接，避免进一步传播Step2---中毒后，马上备份并转移文档和邮件，避免用杀毒软件时误输出Step3---恢复系统后，及时更改网络相关密码杀毒软件类型杀毒软件类型1---采用传统的反病毒软件工作流程---“特征值”识别技术1.计算机异常2.将可疑文件发送至反病毒公司3.分析可疑文件4.提取病毒特征值5.编制杀毒软件的升级程序6.升级后再查杀该病毒利用病毒制造工具来“工业化、自动化”地生产木马病毒变种，其升级的速度甚至超过了杀毒软件的升级速度。结论：传统反病毒是完全的被动、弱势地位。近年来传统反病毒产业在与“熊猫烧香”“机器狗”“木马群”等超级病毒的交锋中屡屡败阵传统反病毒产业若不能在技术上有脱胎换骨的变革，就不可能再胜任反病毒的重任解决办法：北京东方微点信息技术有限责任公司自主研制了“微点主动防御软件”杀毒软件类型2---“基于程序行为自主分析判断的实时防护技术“微点主动防御软件”2005年诞生，2007年，科技部将其列入我国反病毒领域唯一国家863计划的技术。从根本上改变了识别病毒的方式，变“特征值”识别为“行为判断”识别东方微点:的常见问题微点主动防御软件1)国家863科技项目反病毒技术国际领先2)第三代反病毒产品著名反病毒专家刘旭领衔打造3)主动防杀99%以上新病毒开创病毒免疫时代4)无需扫描不依赖升级简单易用安全省心5)电脑快似“裸奔”系统资源占用低6)历经数百万用户三年公测产品成熟品质卓越2.微点主动防御软件企业网络产品3.微点杀毒软件1.微点主动防御软件个人产品微点主动防御软件主要类型病毒和反病毒关系就象为警察抓小偷“特征值”就是以小偷的外部特征为识别标志，“行为判断”就是以是否有偷盗行为为识别标志。“微点主动防御软件”就是以某个计算机程序是否有破坏和影响其他正常计算机程序的行为来判断其是否是病毒，基于这种识别方式的反病毒软件就可以实现对未知计算机病毒的查杀。基本原理:主动防御的核心思想则是从病毒定义出发，将程序的行为作为判断病毒的依据。通过分析、归纳各种病毒行为，形成病毒行为知识库，建立仿真反病毒专家系统，模拟人工识别病毒的过程，融合仿真反病毒评估模型的智能化技术，实现对未知病毒和新病毒的自主识别、明确报出和自动清除，从而达到防范病毒的效果。微点公司透露，这相当把相当于把人工智能程序放到软件里，由软件自行识别病毒，报出并自动清除，这基本上与生物学的免疫机能吻合。计算机病毒的防治计算机病毒的预防病毒防治的关键是做好预防工作。其主要措施：（１）安装并升级杀毒软件或防病毒卡、安装放火墙（２）运行ＷindowsＵpdata，安装操作系统的补丁程序（３）不使用随意打开来历不明的邮件（包括附件）及页面连接；不安装来历不明的插件程序、不使用盗版游戏软件。（4）备份重要数据（5）一般不要将磁盘上的文件夹或文件设置共享计算机病毒的清除方法1.使用杀毒软件--常用的杀毒软件有•金山毒霸（）•瑞星杀毒软件（）•诺顿防毒软件（）•江民杀毒软件（）•--使用专杀工具－－各网站上提供的病毒专杀工具，对特定病毒进行清杀.通过搜索引擎查找特定病毒所采用的杀毒软件提倡采用多种杀毒软件进行综合杀毒----有关病毒的认识可查阅网上信息在某些网站上查阅病毒警报,根据病毒的作用机制,来做出相应的防范措施,提前预防病毒的袭击,保证系统的安全手工清除方法实例１现象:计算机上有大量的_desktop.ini文件,删除后马上又出现,导致计算机速度变慢,时而导致蓝屏,用杀毒软件也无济于事处理办法:在网上搜索,查找有关手工输出病毒的方法网上查找,了解该病毒的知识“威金（Worm.Viking）”病毒特点-专杀及_desktop.ini删除很麻烦的威金Worm.Viking病毒，今天发现电脑中出现了_desktop.ini的文件,才知道中了名为威金（Worm.Viking）的病毒,而安装的杀毒软件竟然杀不了,没办法了,只好上网查找解决方法,还真让我给找到了,问题解决了,方法不敢独享,介绍给机器出了同样问题的人.新闻来自:新客网()详文参考：一、desktop.ini病毒特点:处理时间：2006-06-01威胁级别：★★病毒类型：蠕虫影响系统：Win9x/ME,Win2000/NT,WinXP,Win2003病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。传播途径:病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\rundl132.exe2、运行被感染的文件后，病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒目录\vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini(文件属性:系统、隐藏。)5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]load=C:\\WINNT\\rundl132.exe[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]load=C:\\WINNT\\rundl132.exe7、病毒运行时尝试查找窗体名为:RavMonClass的程序，查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名，查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件：netstopKingsoftAntiVirusService10、发送ICMP(InternetControlMessageProtocol)探测数据Hello,World，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。11、感染用户机器上的exe文件12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:ExplorerIexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:**.com/gua/zt.txt保存为:c:\1.txt**.com/gua/wow.txt保存为:c:\1.txt**.com/gua/mx.txt保存为:c:\1.txt**.com/gua/zt.exe保存为:%SystemRoot%Sy.exe**.com/gua/wow.exe保存为:%SystemRoot%\1Sy.exe**.com/gua/mx.exe保存为:%SystemRoot%\2Sy.exe注：三个程序都为木马程序14、病毒会将下载后的1.txt的内容添加到以下相关注册表项：恢复病毒修改的注册表项目，删除病毒添加的注册表项HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows键值:字串:load=C:\WINDOWS\rundl132.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ver_down0值:dsfsfaa[Startup]..AppName=ATISoftwarer=sssHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\键值:字串:ver_down1=COM+[7:18:32]:Setupstarted-[DATE:05,22,2006TIME:07:18pm]11111HKEY_LOCAL_MACHINE\SOFTWARE\Soft\HKEY_LOCAL_MACHINE\SOFTWARE\Soft\Download值:1二、desktop.ini病毒删除方法该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令deld:\_desktop.ini/f/s/q/a，该命令的作用是：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f强制删除只读文件/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该病毒对机器造成的影响全部消除。可确定进程、文件、注册表和垃圾文件进程为：rundl132.exe文件：rundl132.exe，wow.exe，1Sy.exe，2Sy.exe垃圾文件：_desktop.ini注册表信息清除方法流程：停止病毒进程，删除相关文件，更改注册表Step1---用Ctrl+Alt+del打开任务管理器结束病毒进程rundl132.exe如果还是不能够结束进程，可用命令来强制结束(P实践教程108)ntsd–cq–pPID(进程ID)Step2---删除与病毒有关的文件删除根目录下的rundl132.exe，wow.e