计算机安全-2.4 手工杀毒

1计算机安全技术计算机病毒的检测与清除2提纲计算机病毒行为特征计算机病毒手工清除实验3计算机病毒的手工清除了解计算机病毒的行为特点，判断计算机是否感染病毒。了解一般手工清除病毒的方法，步骤了解安全工具的使用方法。4计算机病毒的行为特点病毒要长期存活下去，必将以文件的形式保存在磁盘上病毒要激活，必须能够实现自动运行木马，蠕虫还要对外进行网络通信。5病毒文件操作很多攻击在执行之后都会产生一些文件，这些文件中既有二进制文件又有文本文件。二进制文件中主要有可执行文件和DLL文件两类，可执行文件中有些是攻击自身的副本，DLL文件包含着攻击的主要功能。文本文件的内容主要包含着攻击的一些配置信息、日志信息和攻击的攻击目标信息。因此有必要对文件的增减进行监测。系统中的一些关键文件夹中的文件、文件夹的增减进行监测，这些文件夹是攻击经常光顾的地方。%windir%%windir%\system%windir%\system32%windir%\system32\drivers%windir%\system32\config%windir%\Tasks%windir%\Temp：\DocumentsandSettings\用户名字\「开始」菜单\程序\启动：\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动：\DocumentsandSettings\用户名字\LocalSettings\Temp6病毒文件操作很多攻击经常修改系统的一些重要文件以达到其攻击目的，比如用带有后门的系统命令文件替换掉系统中原有的系统命令文件，修改系统的一些重要配置文件。因此有必要对文件进行完整性检查。AUTOEXEC.BATCONFIG.SYS:\ProgramFiles\InternetExplorerAutorun.inf7自启动技术自启动技术的任务是保证恶意代码在受害主机下一次开机启动的后能够正常工作。自启动的方法有很多，归纳起来主要有六种：通过服务启动、通过添加注册表启动项启动、通过文件关联启动、通过修改系统配置文件启动、作为其他程序插件启动、通过文件绑定方式启动8自启动技术1、通过服务启动通过将恶意代码注册成服务的方法，每次系统启动的时候都可以启动恶意代码9通过添加注册表启动项启动注册表的启动项包括：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices10通过文件关联启动Windows系统会为每一种类型的文件指定一个关联文件，当用户打开这种类型的文件时，系统会自动启动其关联文件，利用这种机制可以实现恶意代码的自启动。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions下新建一个注册表项，项名为A.exe，然后在下面新建一个字符串，字符串名为Debugger，字符串值就是程序A.exe的全路径。那么在调用图片文件的时候就会A.exe11通过修改系统文件配置启动除了注册表外，利用系统配置文件Win.ini也可以启动恶意代码。实现方式是在win.ini的windows选项下添加内容：[windows]load=file.exerun=file.exe这样在系统启动的时候就会运行file.exe这个程序12作为其他程序插件加载启动很多应用程序都允许执行插件，其中ICQ就可以。如果在注册表中设置：[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]Path=test.exeStartup=c:\\testParameters=Enable=Yes[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\当ICQ发现网络连接时，将执行test.exe13通过文件绑定启动文件绑定就是把两个可执行程序合并成一个可执行程序，在新程序执行时，原来的两个程序都被执行。如果恶意代码利用这种方式，把自己和cmd.exe绑定在一起取代原来的cmd.exe文件那么，每次用户运行cmd.exe的时候都会启动恶意代码14网络通信木马，蠕虫与外界联系还需要进行网络通信，及时查看网络通信，也可以发现端倪。15计算机安全技术计算机安全知识16提纲如何显示电脑的所有文件如何关闭系统还原(删除系统还原文件中的病毒）如何删除系统临时文件如何删除杀毒软件无法删除的文件如何查看系统服务及运行注册表，任务管理器如何关闭启动项怎样分辩自己电脑是否中毒参考：=280792&extra=page%3D117使用注册表编辑器进行简单的删除/编辑操作“开始”菜单-“运行”，输入“regedit”，打开“注册表编辑器”。18正确显示电脑中的所有文件19正确显示电脑中的所有文件1。请打开注册表，定位到：KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支双击右边的窗口中Type键值项，把值改为:radio关闭注册表编辑器，重新启动计算机。2。如果按照上面进行设置后，文件仍然未显示出来请打开注册表，定位到：KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，如果右边的窗口中有名为CheckedValue键值项，但类型不是dword型时，把它删除后新建一个dword型的CheckedValue键。如果dword型的CheckedValue键值为0时，请双击它，把它的键值修改为“1”。关闭注册表编辑器，重新启动计算机。2021关闭系统还原方法由于系统还原文件夹受系统保护所以全盘杀毒前最好关闭系统还原。系统还原文件夹是在各盘C(D,E):\SystemVolumeInformation下，，如果各位发现这个文件夹有病毒就要关闭系统还原在安全模式下杀毒右键点击我的电脑→属性→系统还原→在所有驱动器上关闭系统还原22安全模式在电脑启动时不停的按键盘最上面一排的F8键（可不要F和8一起按）选安全模式回车确认即可23安全模式方法2.1、在Windows环境下，点击“开始”菜单，然后点击“运行”；2、输入msconfig，然后点击“确定”按钮；3、点击“Boot.ini”标签；4、选择/SAFEBOOT；5、重新启动计算机；24如何删除杀毒软件无法删除的文件由许多木马都插入到系统关键进程中，杀毒软件没有权限直接删除木马或病毒，会提示重启后删除。但如果插入的进程在启动时优先于杀毒软件先启动。杀毒软件会再次查到病毒提示重启后删除。所以就需要手动来删除由于文件正在常使用所以直接删除无法删除只能借助于一些强制删除工具。360粉碎工具，金山清理专家等25使用组策略禁用自动播放开始菜单-运行，输入gpedit.msc，点击确定或回车，打开组策略26结束进程启动任务管理器，切换到“进程”选项卡，选择一个需要结束的进程，点击“结束进程”按钮。27DOS命令行下删病毒执行命令如下：attribX:-s-h-r*.*(去除病毒文件隐藏属性）dir（查看病毒文件名）delautorun.inf(删除病毒相关文件)delＸＸＸＸ.exe(删除病毒相关文件)28手工查杀病毒的步骤1安全模式下+关闭系统还原msconfig看启动项和服务项.(非必要性的启动和服务都禁用)我的电脑右键-管理-设备管理器-查看-显示非即插即用设备(删除非必须的驱动)不重启29手工查杀病毒的步骤2删注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run删除里面相关项,当然如果知道是什么病毒文件的话,直接搜索注册表,然后全都删除30手工查杀病毒的步骤3删除临时文件:C:\tempC:\windows\prefetchC:\documentandsetting\各个用户\localsetting\TemporaryInternetFilesC:\documentandsetting\各个用户\TemplatesC:\ProgramFiles\InternetExplorer\PLUGINS(这个位置也会有病毒)删最新文件和更改可疑文件扩展名---遇到不能删除的文件,就说明有问题了C:\C:\WINDOWSC:\WINDOWS\SYSTEM32C:\WINDOWS\SYSTEM32\DRIVERS\(这个不要随便删,一般是卸载完驱动后再删)31手工查杀病毒的步骤4右键IE属性-程序-管理插件-------禁用非官方或者不认识的插件遇到删不掉的文件,可以用ICESWORD先设置:禁止进线程创建,然后强制删除而后在同样位置创建同名文件并设置属性attrib路径\文件名+s+h+r+a遇到系统文件被损坏的,可以从别的机器拷贝替代遇到顽固的病毒,可以通过组策略限制32手工查杀病毒的步骤5计算机配置-windows设置-安全设置-软件限定策略-额外策略-新建一策略,然后找到病毒文件名,即可2.用户配置-管理员模版-系统-禁止运行的应用程序-启用添加病毒程序名(不需要路径)安装杀毒软件和反间谍软件,升级,并查杀..再重启进安全模式…33病毒知识及安全工具瑞星卡卡安全论坛作业到邮箱itsec_ouc@163.com下载附件，对附件中的的SRENG扫描记录进行分析，给出分析结果和操作建议，按照学号末尾的数字选择相应的日志进行分析（比如末尾是1的选择日志1），以书面手写的形式交上来，作业上要包含姓名，学号。