注意检测 防范反抗杀毒软件的电脑病毒病毒防范

注意检测 防范反抗杀毒软件的电脑病毒病毒防范（共16篇）

1.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇一

日前，赛门铁克和McAfee警告说，一种危险程度为中等的特洛伊木马病毒正在通过电子邮件进行传播，它可能使 控制用户的计算机，

携带病毒的电子邮件的主题为“Thoughts...”，内容为，“I just found this program, and, I don“t know why...but it reminded me of you. Check it out.”（我刚发现该程序，我不知道为什么，它使我想到了你，请试试它。）

如果用户双击名字为cute.exe的附件，特洛伊木马程序就安装到了计算机上。McAfee的反病毒紧急事务反应小组的病毒研究人员克莱格说，这一“后门”程序的首要目标是让 能够控制用户的计算机，

除了能够执行一般的操作外，该程序还会试图破坏反病毒软件。另外，它还会将被感染的用户的IP地址用电子邮件发送给病毒的作者。

赛门铁克和McAfee都将这一程序看作是Backdoor.Subseven特洛伊木马的变种，但它们分别将它命名为Trojan W32.Tendoolf和W32/Floodnet@MM。

二家公司都声称在密切注意着该特洛伊木马的传播。McAfee的克莱格表示，Floodnet有几种不同的传播方式，包括电子邮件、MSN Messenger或AOL Instant Messenger。

这种特洛伊木马病毒是一个典型的社会工程学应用的例子。通过承诺向用户提供“小恩小惠”，引诱用户点击病毒程序，这也是许多病毒作者惯用的伎俩。

2.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇二

1. 计算机病毒定义

对于计算机病毒定义有很多, 目前国内流行的是采用1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条中的定义, 即:“计算机病毒, 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据, 影响计算机使用, 并能自我复制的一组计算机指令或者程序代码”。

2. 计算机病毒特征

2.1 传染性

计算机病毒必须具有主动传染性, 这是病毒区别于其他程序的一个根本特征。计算机病毒可以通过各种渠道从已被感染的计算机“跑”到未被感染的计算机, 在某些情况下造成被感染的计算机工作失常甚至瘫痪。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。由于目前计算机网络日益发达, 计算机病毒可以在极短的时间内, 通过像Internet这样的网络传遍世界。

2.2 寄生性

计算机病毒具有依附于其他程序而寄生的能力, 被寄生的程序称为宿主程序, 或者称为病毒载体。依靠病毒的寄生能力, 病毒传染合法的程序和系统后, 不立即发作, 而是悄悄隐藏起来, 然后在用户没察觉的情况下进行传染。

2.3 隐蔽性

为了防止用户察觉, 病毒想方设法隐藏自身。它通常粘附在正常程序之中或磁盘引导扇区中, 或者磁盘上标为坏簇的扇区中, 以及一些空闲概率较大的扇区中, 这是它的非法可存储性。一般在没有防护措施的情况下, 计算机病毒程序取得系统控制权后, 可以在很短的时间里传染大量程序。而且受到传染后, 计算机系统通常仍能正常运行, 使用户不会感到任何异常。潜伏期越长的病毒传播的范围通常也会越广泛, 造成的破坏也越大。

2.4 潜伏性

一个编制精巧的计算机病毒程序, 进入系统之后一般不会马上发作, 可以在几周或者几个月内甚至几年内隐藏在合法文件中, 对其他系统进行传染, 而不被人发现。如著名的“黑色星期五”便是逢13号的星期五发作;当然, 最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好, 只有在发作日才会露出真面目。随着计算机网络尤其是因特网技术的快速发展, 是的计算机病毒的传播速度更快, 潜伏期更短。

2.5 破坏性

任何病毒只要侵入系统, 都会对系统及应用程序产生不同程度的破坏。比如删除文件、毁坏主板BIOS, 同时破坏硬盘中的数据等等。如熊猫烧香蠕虫病毒不但对用户系统进行破坏, 导致大量应用软件无法使用, 还可删除扩展名为gho的所有文件, 造成用户系统备份文件丢失, 从而无法进行系统恢复, 给世界计算机信息系统和网络带来灾难性破坏。

除了以上几点外, 计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点, 给计算机病毒的预防、检测与清除工作带来了很大的难度。

3. 计算机病毒的危害性

世界各国每年为防止计算机病毒投入和耗资了巨额的资金, 计算机病毒对计算机系统危害性很大, 主要有以下几种:

1) 删除或修改磁盘上的可执行性程序和数据文件, 使之无法正常工作。

2) 修改目录或文件分配表扇区, 使之无法找到文件。

3) 对磁盘进行格式化, 使之丢失全部信息。

4) 病毒反复传染, 占用计算机存储空间, 影响计算机系统运行效率, 破坏计算机的操作系统。

4. 计算机病毒的传播途径

计算机病毒的传播途径各种各样, 但是主要有以下两种:

存储设备传播:通过不可移动的硬件设备传播, 如计算机的专用ASIC芯片和硬盘等。移动硬盘, 光盘, 优盘等移动存储设备将成为计算机病毒滋生的场所。盗版光盘的软件、游戏也是传播病毒的主要途径之一。

通过网络进行传播:在网络上, 带有病毒的文件或邮件被下载或接收后被打开或运行, 病毒就会扩散到系统中相关的计算机上, 在信息国际化的同时, 病毒也在国际化, 计算机网络将是今后计算机病毒传播的主要途径。

5. 计算机病毒防范技术

计算机病毒一旦破坏了没有副本的文件, 便无法医治。隐形计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒对抗中, 如果能采用有效的防范措施, 就能使系统不被传染病毒, 或者染毒后损失降到最低。计算机病毒防范, 就是根据系统特征, 建立合理的计算机病毒防范体系和制度, 及时发现计算机病毒侵入, 并采取有效的手段阻止计算机病毒的传播和破坏, 恢复受影响的计算机系统和数据。首先, 对于单机应考虑利用计算机病毒防杀软件, 功能好的防杀软件应具备以下功能。

5.1 拥有计算机病毒扫描器:检测计算机病毒有两种方式, 对磁盘文件的扫描和对系统进行动态的实时监控。同时提供这两种功能是必要的, 实时监控保护更不可少。DOS平台的计算机病毒扫描器。在Windows 95/98启动前, 有必要通过autoexec.bat或confi g.sys载入DOS平台的计算机病毒扫描器, 对引导扇区、内存或主要的系统文件进行扫描, 确保无毒后才继续系统的启动。32位计算机病毒扫描器, 供用户对本地硬盘或网络进行扫描。它是专门为Windows95/98/NT/2000而专门设计的32位软件, 从而支持长文件名及确保发挥最高的性能。

5.2 实时监控:即在计算机工作的每时每刻检测、消除外来病毒。一般是通过虚拟设备程序 (V x D) 或系统设备程序 (Windows NT/2000下的SYS) 形式而不是传统的驻留内存方式 (TSR) 进行实时监控。实时监控程序在磁盘读取等动作中实行动态的计算机病毒扫描, 并对其活动发出警告。

1) 未知计算机病毒的检测:新的计算机病毒每天都有出现, 理想的防杀计算机病毒软件除了使用特征代码来检测已知计算机病毒外, 还可用如启发性分析 (Heuristic Analysis) 或系统完整性检验 (Integrity Check) 等方法来检测未知计算机病毒的存在。

2) 压缩文件内部检测:从网络上下载的免费软件或共享软件大部分都是压缩文件, 防杀计算机病毒软件应能检测压缩文件内部的原始文件是否带有计算机病毒。

3) 文件下载监视:当从网上下载文件时很有可能带有病毒, 因此有必要对下载文件, 尤其是下载可执行程序时进行动态扫描。

4) 及时清除计算机病毒:只要发现计算机有异常现象, 就要及时检测和清除病毒。所以要求杀毒软件还应该有很好的清除计算机病毒能力。

5) 计算机病毒特征代码库升级:要及时进行计算机病毒特征代码库升级。目前可以通过因特网进行及时的在线升级。

6) 文件和数据备份:在确认计算机未感染病毒时, 对用户系统中重要的文件和数据进行备份, 以便在系统受计算机病毒攻击而崩溃时进行恢复。

其次:光有防杀软件还是不够的, 建议平时的日常工作和生活中, 可以采用以下病毒防范措施:

5.3 安装较新的正式版本的防杀计算机病毒软件及防火墙, 并要及时升级;同时为操作系统及时安装补丁程序, 阻止程序入侵操作系统。经常使用防杀计算机病毒软件对系统进行计算机病毒检查。

5.4 不要随便点击不安全的陌生的网站, 要到正规网站浏览或下载文件;上网浏览时一定要开启杀毒软件的实时监控功能, 特别是“网页监控”, 以免遭到病毒侵害。

5.5 电子函件可以夹带任何类型的文件作为附件 (Attachment) , 同时附件文件可能带有计算机病毒, 所以不要轻易打开来历不明的邮件, 尤其是附件, 比如“happy 99”就是这样的病毒, 它会自我复制, 跟着邮件走。

5.6 利用优盘、移动硬盘进行交换数据前, 先对其进行病毒查杀, 避免在插入U盘或移动硬盘时受到病毒感染。

5.7 不要轻易打开来源不明的Excel或Word文档, 要及时升级病毒库, 开启实时监控, 以免受到病毒的侵害。

6. 结束语

计算机及网络早已应用于生活和工作的各个领域, 它在给人们带来巨大便利的同时, 也带来了诸多安全问题, 因此我们只有在认识病毒, 了解病毒后, 才能及早发现病毒并采取相应措施, 做到“防患于未然”。病毒并不可怕, 只要做好防范工作, 我们还是可以很容易地抵御计算机病毒的侵害。

摘要：随着计算机及其因特网的飞速发展, 信息资源得到了共享。但随之而来的网络安全问题日趋突出, 特别是计算机病毒的泛滥, 不仅给人类的正常工作和生活造成破坏, 而且已经严重扰乱了人们的社会秩序。本文首先提出了计算机病毒的定义, 阐述了计算机病毒具有的特征;最后介绍了计算机病毒的危害, 传播途径, 以及预防计算机病毒的具体做法。

关键词：计算机病毒,病毒特征,传播途径,病毒预防

参考文献

[1]张世永.网络安全原理与应用[M].北京:科学出版社, 2005.

[2]邓海超.计算机病毒分析与防御[J].信息技术.

[3]张秀丽, 任兴宝.浅谈计算机病毒[J].西藏科技.200510.

3.防范导致企业灾难的“病毒” 篇三

朋友赠一新书，北京大学出版社的，李建民先生所著，名为《公司病毒》!为之耳目一新。品味再三，审读良久，觉其从微观处看宏观，独有味道。

市面流行的经管图书，我少有遗漏。但从舶来品到大陆土特产，研究多年，总觉多数“商书”(请许我如此称呼)好似先生布置的论文，所以，渐渐理解了有人何以不再爱读书。

品书多年，“批判”及“药方”类见了很多，我以为，凡好书，尤其经管类实用书，不应只是数据图表的堆砌，而应蕴涵一種“精神”——能引导读者从纷繁的现象和数据后看到、悟到及学到一种趋势、危机或方法，更进者，给人哲学方法的深刻启迪。否则，那书架上厚厚的，岂不仅仅是纸和墨的混合物?浪费资源。而且，好书还应有一种读罢感觉振聋发聩的“呼声”，见他人所末见，想他人所未想，言他人所未言——未能言、未敢言及未尽言。这绝非朝夕之功，但正因如此，才弥足珍贵。19世纪，德国一青年街头卖画，无人问津，一大画家路过，听他抱怨“一年还没卖出”，问多久成一幅，说一天，画家笑道：若你一年成一幅，保证一天便卖光了。时下造书者之浮躁，正如这青年，令人惋惜。

可喜的是，这种可贵的精神和呼声，我终于从《公司病毒》中读到悟到了。

本书解析联想、方正、微软、福特等31家中外企业病毒案例，从公司经营战略、经营要素和成长创新三方面分20个专题细致扫描“公司病毒”，开出“杀毒处方”，以帮助企业加强在成长中的危机与风险管理，从根本上提升企业的永续竞争力。

企业如人，如家族，如王朝，有其孕育、诞生、生长、发展、成熟及衰亡之道。百岁寿星，百年老店，万世王朝，谁不期望?然而，却常见“其兴也勃，其亡也忽”！这罪魁祸首，便是病毒——自身繁殖的和外部传染的，前者更危险，潜伏在内，伺机而动，于毫无觉察时突然发作，给企业以致命打击!因忽视其害，无视其普遍存在和无法回避，古往今来，多少大堤溃于蚁穴！无数曾如日中天的事业转瞬间轰然倒塌I建之何其难!毁之何其易！作者惯看兴衰成败，透析存亡得失，不愿困于“亡羊补牢”的旧模子，期望开出一剂企业永葆青春的良药。

老子日：福兮，祸之所伏。清醒的领导者们应警醒：成功是最大的危机!最大的灾难！成功之时就像坐在火山口上! 因为成功，荣誉多，歌功颂德的多，头脑不冷静，视力模糊，下去得少，逆耳的话不爱听，于是，判断走偏，飘飘然，习惯，麻木，贪婪，轻信，冒险，始于战略灾难，最终归于衰败。从成功的那一刻起，就埋下了灾祸的种子。

古人云：祸因恶积。企业之衰败，人祸之害更甚于天灾!衰败的种子正如体内病毒，时刻伴随企业，慢慢蚕食其生命力，你不关注它，它就会关注你！这潜伏的敌人，积少成多，积弱成强，是癌变的细胞！是可怕的幽灵！是疯狂的职业杀手!作者不为宣讲一种“危机应急预案”，而是从思想方法、战略高度及行为模式上帮助决策者们认清公司病毒的严重危害性、始终存在性和极大隐蔽性，真正居安思危，始终清醒，防患于未然。可人往往过分自信，正如明眸可见大千世界，却不见目前睫毛。谨慎啊!

杀毒易，灭毒难。旧病毒已除，新病毒又生，无休无止。孙子日：无恃其不来，恃吾有以待之。阻击病毒，将其限制在机体健康能容忍的范围内，才能保证企业正常运转。中国企业长期粗放经营，要想基业长青，就必须在与毒共舞的同时，看清显微镜下企业机体内的病毒，建立高效长效的病毒管理体系。

4.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇四

本次公开测试采取自愿参加的原则,瑞星公司不强迫任何人以任何形式参加此次测试活动.

测试阶段的软件产品存在不完善性,有可能会导致计算机出现异常的情况而造成损失,希望广大计算机用户在测试前做好系统及数据备份.对于由于出现异常而造成的损失,北京瑞星科技股份有限公司概不负责,亦不承担任何法律责任. 本次活动的最终解释权归北京瑞星科技股份有限公司所有.

测试目的:

・测试增强引擎的功能:即能否对经加壳后的文件进行正确的脱壳

・测试增强引擎的性能:即脱壳速度、系统资源占用率等

・测试增强引擎是否有Bug(异常)

5.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇五

软件限制策略是一项被引入Windows XP和Windows Server 的功能，这项功能通常通过组策略(Group Policy)进行管理。SRP功能的目的是允许管理员将特定的可执行程序列入黑名单和白名单，或者限制无特权用户(标准用户)执行。

虽然这并不是SRP第一次被恶意软件利用，但趋势科技认为显著的VAWTRAK攻击致使它显得更为重要。

无论在哪一版本的Windows系统中，SRP都可被本地策略编辑器(Local Policy Editor)调用：

此外，由于本地策略在系统中转化为注册表键值进行管理，所以直接创建注册表键值也是可能的，这正是趋势科技记录中恶意软件的做法，

在上图的示例中，放置该注册表键值的地址为HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowssafercodeidentifiers。

当用户试图运行这个可执行文件时，Windows便会阻止用户这样操作：

恶意软件本身必须要在有享有权限的环境下被执行，这样才能创建这些注册表键值，而且不论当前正在运行的安全软件正试图阻止它它也必须完成自身的执行。很可能，安全软件更新也许能够发现这个恶意软件，但如果该恶意软件已经以这种方式将其封锁，安全软件将无法发现这个恶意软件的潜入。

具有讽刺意味的是，在新年第一天，微软TechNet在一篇文章中介绍SRP时描述了它如何可以用来“对抗病毒”。这篇文章中还描述了SRP的其他用途：

•管理可下载的ActiveX控件

•仅在数字签名脚本下运行

•仅批准电脑系统中已安装软件的执行

•锁定一台计算机

6.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇六

我们知道现在很多人为了方便电脑里都装了双系统，比如我就装了Windows 98+XP。但是对Norton防病毒软件来说它有For Windows 98/XP两个版本，不像金山毒霸在Windows XP中也可以运行Windows 98中安装的版本。这样就造成在Windows XP中升级了病毒库，在Windows 98中还要重新升级，每次升级都要浪费时间和金钱。经过摸索我发现一个办法可以让双系统Norton病毒库同时升级，

因为在大多数情况下，我们升级的只是单纯病毒库文件，所以只要把升级好的病毒库复制到另外一个系统中即可。比如Norton病毒库位置(指在默认安装路径)在。打开VirusDefs文件夹我们可以看到最近升级的病毒库如0726.007这个文件夹就是7月26号的病毒库，我们可以复制整个VirusDefs文件夹到另外一个系统的相同目录下，重启电脑进入另一个操作系统后，我们可以看到Norton病毒库已经升级好了，其他杀毒软件升级类似。

二、升级金山毒霸不用重启电脑

7.计算机病毒的特点及其防范 篇七

一、计算机病毒的特点

计算机病毒就是能够通过某种途径潜伏在计算机存储介质 (或程序) 里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。虽然计算机病毒只是一个小小的程序, 但它和常用的计算机程序不同, 具有以下特点:

1. 程序性 (可执行性) 。

计算机病毒与其他合法程序一样, 是一段可执行程序, 但它又不是一个完整的程序, 而是寄生在其他可执行程序上, 因此它享有一切程序所能得到的权力。

2. 传染性。

传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。

3. 潜伏性。

一个编制精巧的计算机病毒程序, 进入系统之后一般不会马上发作, 它可以在几周或者几个月内甚至几年内隐藏在合法文件中对其他系统进行传染, 而不被人发现。

4. 可触发性。病毒因某个事件或数值的出现, 诱使病毒实施感染或进行攻击的特性。

5. 破坏性。

系统被病毒感染后, 病毒一般不会即时发作, 而是潜藏在系统中, 一旦条件成熟后, 便会发作, 给系统带来严重的破坏。

6. 主动性。

即指病毒对系统的攻击是主动的。计算机系统无论采取多么严密的保护措施, 都不可能彻底排除病毒对系统的攻击, 而保护措施充其量只是一种预防的手段而已。

7. 针对性。计算机病毒是针对特定的计算机和特定的操作系统的。例如:有针对IBM PC机及其兼容机的;

有针对Apple公司的Macintosh的;还有针对UNIX操作系统的。

二、计算机病毒的防范措施

计算机网络中最主要的硬件实体就是服务器和工作站, 所以防治计算机网络病毒应首先考虑这两个部分。另外, 加强综合治理也很重要。

1. 基于工作站的防治技术。工作站就像是计算机网络的大门, 只有把好这道大门, 才能有效防止病毒的侵入。

2. 基于服务器的防治技术。

网络服务器是计算机网络的中心, 是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮, 造成的损失将是灾难性的、难以挽回和无法估量的。目前, 基于服务器的防治病毒的方法大多采用防病毒可装载模块 (NLM) , 以提供实时扫描病毒的能力。有时采用在服务器上的插防毒卡等技术, 其目的在于保护服务器不受病毒的攻击, 从而切断病毒进一步传播的途径。

3. 加强计算机网络的管理。

计算机网络病毒的防治, 单纯依靠技术手段是不可能有效杜绝和防止其蔓延的。只有把技术手段和管理机制紧密结合起来, 提高人们的防范意识, 才能从根本上保护网络系统的安全运行。

三、网络病毒防治的发展趋势

计算机病毒在形式上越来越难以辨别, 造成的危害也日益严重, 这就要求网络防毒产品在技术上更加先进, 功能上更加全面。从目前病毒的演化趋势来看, 网络防病毒产品的发展趋势主要体现在以下几个方面:反黑与杀毒相结合;从入口拦截病毒;提供全面解决方案;客户化定制模式;防病毒产品技术由区域化向国际化转变。

四、结束语

8.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇八

1、多种查杀方式

杀毒软件比较全面地提供了“发现病毒时的处理方式、遇到无法清除病毒时的处理方式、查毒结束时的处理方式”等等，对于使用病毒防火墙和定时查毒等方法，可以采用不同的组合，实现最佳的查毒效果，

一般情况下，发现病毒时，应询问后再处理;无法清除病毒时，不再做处理;查毒结束时，返回控制中心。还有一种情况，如果你下班了或是有事出去，希望利用这段时间来检测病毒，那就可以采用查毒结束时，关闭计算机的方式。

2、定时查毒好处多

如今大硬盘，杀毒再快，时间也是较长的。于是定时查毒就派上用场了，你可以固定一个你休息的时候查毒，不用经历长时间的等待，到时候就帮你解决了。定时查毒还有另一个功效，帮你记住一些难以忘却的日子，比如4月26日CIH发作日等。

9.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇九

病毒分析

该病毒属于MSN蠕虫变种，被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包，当对方接收并打开带毒压缩包中的病毒文件时，系统即成为新的受害者，并因此尝试感染另一台计算机。病毒大小为434,176 字节，通过MSN聊天工具进行传播。

被感染的计算机，病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包，随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 执行文件，并在注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

分支下建立“chcp.exe”=“%Windows%chcp.exe”自启动项目，然后病毒开始修改注册分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

下的“SFCDisable”=dword:ffffff9d 和“SFCScan”=dword:00000000值，进行关闭系统文件保护，并且更改

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

分支下的 “WaitToKillServiceTimeout”=的值为“7000”，达到更改自动关闭进程等待时间的效果。

完成上述后，病毒仍没有安静的等待，而是查找被感染的计算机中是否存在FTP目录，如果有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%microsoft目录下，随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcache ftp.exe、dllcacheftp.exe可执行程序，做完一系列的手脚，病毒开始向MSN联系人发送诱惑型文字消息，并夹带毒包F0538_jpg.zip欺骗用户打开，

清除方法

中了此毒的用户也不要紧张，在了解了生存原理后要想清除该病毒也非难事，只要按照以下几个步骤实施即可将病毒清除出界，让系统中的MSN正常运行。

一、首先要进入注册表分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下，将“chcp.exe”=“%Windows%chcp.exe”自建的随机启动项删除，完成后重启计算机。

二、进入%Windows%目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。

三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcache ftp.exe、dllcacheftp.exe删除，并将%System%microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。

四、删除注册表分支[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的“SFCDisable”=dword:00000000键值，恢复系统文件保护。

五、最后将注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]分支下的“WaitToKillServiceTimeout”=改为“0” 从而恢复系统自动关闭进程等待时间的默认配置。

10.计算机病毒及防范的措施 篇十

一、计算机病毒的内涵、类型及特点

能够引起计算机故障, 破坏计算机数据的程序都属于计算机病毒。它寄生在其他文件中, 而且会不断地自我复制并传染给别的文件。计算机病毒是一组通过复制自身来感染其他软件的程序。当程序运行时, 嵌入的病毒也随之运行并感染其他程序。一些病毒不带有恶意攻击性编码, 但更多的病毒携带毒码, 一旦被事先设定好的环境激发, 即可感染和破坏。自上世纪80年代莫里斯编制的第一个“蠕虫”病毒程序至今, 世界上已出现了多种不同类型的病毒。

计算机病毒的分类方法有多种, 按破坏程度可分为良性病毒和恶性病毒;按攻击的操作系统可分为攻击DOS操作系统的病毒、视窗型病毒和攻击UNIX系统的病毒等;按攻击的机型可分为攻击微机的病毒、攻击小型机的病毒。不过最常见到的分类方法是按传染方式分为: (1) 引导型病毒; (2) 文件型病毒; (3) 混合型病毒。

归纳起来, 计算机病毒有以下特点:

(1) 隐蔽性。

一是其存在的隐蔽性, 它隐藏在磁盘的系统引导区或程序文件中;二是其攻击的隐蔽性, 即病毒的侵入、传染和破坏等过程也是隐蔽的。

(2) 传染性。

传染性是计算机病毒程序的最重要特征。它通过对磁盘读写操作来感染其他系统或程序。

(3) 潜伏性。

系统或程序染上病毒后, 要在特定的条件或时间下发作。病毒的潜伏期视系统的环境而定, 长短不一, 有的甚至长达一二年。

(4) 破坏性。

病毒的破坏目的取决其制造者的意图, 或占用系统资源、或破坏系统数据、或干扰系统运行, 甚至造成系统瘫痪。

(5) 非法性。

计算机病毒的动作、目的对用户是未知的, 是未经用户许可的非法行为。

二、计算机病毒的技术分析

长期以来, 人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低, 而对于安全问题则重视不够。计算机系统的各个组成部分, 接口界面, 各个层次的相互转换, 都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑, 软件方面也更易存在隐患和潜在威胁。对计算机系统的测试, 目前尚缺乏自动化检测工具和系统软件的完整检验手段, 计算机系统的脆弱性, 为计算机病毒的产生和传播提供了可乘之机;全球万维网 (www) 使“地球一村化”, 为计算机病毒创造了实施的空间;新的计算机技术在电子系统中不断应用, 为计算机病毒的实现提供了客观条件。国外专家认为, 分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。

实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统, 以及从计算机主机到各式各样的传感器、网桥等, 以使他们的计算机在关键时刻受到诱骗或崩溃, 无法发挥作用。从国外技术研究现状来看, 病毒注入方法主要有以下几种。

1.无线电方式

主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式, 同时技术难度也最大。可能的途径有: (1) 直接向对方电子系统的无线电接收器或设备发射, 使接收器对其进行处理并把病毒传染到目标机上。 (2) 冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式, 发射病毒码, 使之能够混在合法传输信号中, 进入接收器, 进而进入信息网络。 (3) 寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路, 将病毒传染到被保护的链路或目标中。

2.“固化”式方法

即把病毒事先存放在硬件 (如芯片) 和软件中, 然后把此硬件和软件直接或间接交付给对方, 使病毒直接传染给对方电子系统, 在需要时将其激活, 达到攻击目的。这种攻击方法十分隐蔽, 即使芯片或组件被彻底检查, 也很难保证其没有其他特殊功能。目前, 我国很多计算机组件依赖进口, 因此, 很容易受到芯片的攻击。

3.后门攻击方式

后门, 是计算机安全系统中的一个小洞, 由软件设计师或维护人发明, 允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种, 如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击, 如目前普遍使用的WINDOWS98, 就存在这样的后门。

4.数据控制链侵入方式

随着因特网技术的广泛应用, 使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术, 可以很容易地改变数据控制链的正常路径。

除上述方式外, 还可通过其他多种方式注入病毒。

三、对计算机病毒攻击的防范对策和方法

1.建立有效的计算机病毒防护体系

有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系, 须有有效的硬件和软件技术的支持, 如安全设计及规范操作。

2.严把硬件安全关

国家的机密信息系统所用设备和系列产品, 应建立自己的生产企业, 实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用, 以预防和限制计算机病毒伺机入侵。

3.防止电磁辐射和电磁泄露

采取电磁屏蔽的方法, 阻断电磁波辐射, 这样, 不仅可以达到防止计算机信息泄露的目的, 而且可以防止“电磁辐射式”病毒的攻击。

4.加强计算机应急反应分队建设

应成立自动化系统安全支援分队, 以解决计算机防御性的有关问题。计算机病毒攻击与防御手段是不断发展的, 要在计算机病毒对抗中保持领先地位, 必须根据发展趋势, 在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行, 一是计算机病毒的数学模型;二是计算机病毒的注入方式, 重点研究“固化”病毒的激发;三是计算机病毒的攻击方式, 重点研究网络间无线传递数据的标准化, 以及它的安全脆弱性和高频电磁脉冲病毒枪置入病毒的有效性;四是研究对付计算机病毒的安全策略及防御技术。

四、病毒的预防

防重于治。鉴于新病毒不断出现, 检测和清除病毒的方法和工具总是落后一步, 预防病毒就显得更加重要了。防病要讲卫生, 预防计算机病毒, 也要讲究计算机卫生。对于一般用户, 建议养成以下卫生习惯:

(1) 尽量不用软盘启动系统。如果确有必要, 应该用确信无病毒的系统盘启动。

(2) 公共软件在使用前和使用后应该用反病毒软件检查, 确保无病毒感染, 尤其是对交流盘片, 更应在严格检测后方可使用。

(3) 对所有系统盘和不写入数据的盘片, 应进行写保护, 以免被病毒感染。

(4) 系统中重要数据要定期备份。

(5) 计算机启动和关机前, 用反病毒软件对系统和硬盘进行检查, 以便及时发现并清除病毒。

(6) 对新购买的软件必须进行病毒检查。

(7) 不在计算机上运行非法拷贝的软件或盗版软件。

(8) 对于重要科研项目所使用的计算机系统, 要实行专机、专盘和专用。

(9) 一旦发现病毒, 应立即采取消毒措施, 不得带病操作。

(10) 发现计算机系统的任何异常现象, 应及时采取检测和消毒措施。

(11) 加装防病毒卡或病毒拦截卡。

11.静音病毒清除方法病毒防范 篇十一

根据自动静音的现象及它所产生的文件我们可以进入安全模式下来删除静音病毒，

第一步、进入安全模式(电脑开机的时候按F8键)。打开我的电脑，将C盘下的iexploror01.exe和TEMP下的iexploror01.exe删除。

第二步、打开我的电脑，进行搜索：alga。将搜索到的文件全部删除，然后继续搜索：iexp1ore(注意：非iexplore，中见不是L，是123的1，系统中的文件是L)，将搜索到的文件一并删除!继续搜索以下几个文件：Lgsyzr、O2FLASH、处理结果同上!

第三步、进入注册表(运行里输入regedit)：按F3查找以下几项：Lgsyzr、O2FLASH、alga、iexp1ore,iexplora,servicea将搜索出来的值项都删除去，

第四步、开始-运行。输入msconfig。将启动项中的alga、iexp1ore都禁止!重新启动电脑。然后进入SYSTEM下删除ALGA文件(搜索也行，那样快点)

12.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇十二

通常情况下，用户反馈的关于瑞星杀毒软件网络版“无法处理”某病毒的情况可以分为以下三种，具体如图1所示。

图1

其中，用户反馈的瑞星不能清除某病毒，最常见的情况是瑞星发现了某病毒并对其进行了清除/删除，但是重新启动计算机后再次查杀，仍然会报病毒。目前比较流行的MS08-067病毒就属于此类，此类病毒多通过系统漏洞、局域网共享来传播，若要彻底处理网内此病毒，需要一些方法措施，比方说修复系统高危漏洞、禁用局域网共享(包括默认共享)、对共享服务器的共享目录进行访问限制、针对不同用户增加权限加以过滤、不要以一些常见的弱口令作为共享密码/登录密码/域账号密码等。此外，访问的网页、使用的U盘、下载的软件、没有彻底查杀的压缩包中的病毒都是杀完后重新感染的来源，所以一定要保证瑞星所有监控处于开启状态，可有效地防止病毒再次感染。

另外一种比较常见的情况是瑞星能够扫描到某病毒，但是无法彻底清除、删除染毒文件，比较常见的有以下四种原因。

一、染毒文件位于系统还原路径、IE缓存文件夹下

这样的情况会造成由于windows自身的机制而无法彻底清除病毒，不过这类病毒可以通过一些简单的方式直接处理干净。比方说那些位于系统还原路径下的病毒，可以通过关闭系统还原达到彻底清除病毒的目的。下面以windows7为例，介绍如何关闭系统还原。

1.右键点击“计算机”，点击“属性”。(图2)

图2

2.左上方点击“系统保护”。(图3)

图3

3.选中需要关闭系统还原的驱动器，点击“配置”。(图4)

图4

4.选择“关闭系统保护”。(图5)

图5

关闭系统还原后，原先位于系统还原路径下的病毒即可彻底清除。

二、Window文件保护导致的病毒总杀总有用户系统存在异常现象，导致文件保护功能异常，虽然可以清除病毒但是windows文件保护机制会将备份的染毒文件替换已经恢复正常的文件。

图6

对于这种情况，可以通过使用瑞星安全助手修复异常的注册表值来处理。

三、正常模式下，清除失败或者删除染毒文件失败造成这种结果的情况也有很多种：

第一种情况就是位于硬盘上的引导性病毒，这种病毒系统启动后就驻留内存，正常情况下无法彻底清除，可以选择通过瑞星引导杀毒来处理此类病毒。下面介绍如何制作linux引导杀毒盘和如何进行linux引导杀毒。

A.如何制作LINUX引导杀毒盘

瑞星LINUX引导光盘镜像的下载地址：rsdownload.rising.com.cn/for_down/ravlinux//linux.iso

在点击下载地址下载引导杀毒光盘映像后，将其刻录到光盘。

如果没有刻录机，并且存在安装瑞星个人版杀毒软件/全功能软件的客户端，还可以使用一个更简便的方法——使用U盘制作LINUX引导毒。

制作方法：将一个空U盘插入到电脑，打开个人版瑞星杀毒软件/全功能软件，选择瑞星工具-linux引导盘制作工具，按照提示进行操作即可。

B.如何进行LINUX引导杀毒

1.首先要设置计算机为光盘启动或U盘启动。(具体设置方法参考计算机主版说明书或咨询硬件厂商客服)

2.将制作好的光盘放入光驱(U盘需在开机或重启前先连接到电脑)，启动后可以看到如下的提示。

3.选择语言，简体中文，点击确定。(图7)

图7

4.杀毒软件启动后，选择设置。(图8)

图8

5.选择发现病毒时进行自动清除。选择清除失败时进行询问后处理。(图9)

图9

6.点击杀毒，便开始对计算机进行全盘查杀。杀毒结束后点击退出，然后取出光盘或拔出U盘，重启计算机。

此外如果染毒程序正在运行中，受到了系统保护，这种情况肯定是无法直接处理的，对于非系统程序，可以尝试从任务管理器中结束此进程后再删除，如果无法通过任务管理器删除，则可能此进程为双进程保护或者病毒在设计上就屏蔽了此操作等原因，对于这种情况，建议进入安全模式下全盘杀毒，

对于一些感染型病毒，尤其是被感染的系统文件，甚至包括瑞星的自身文件的病毒，一旦感染这种病毒，首先尝试进入安全模式全盘杀毒，看是否可以正常杀毒并处理，如果不能彻底清除，建议使用瑞星PE版杀毒以达到彻底处理的目的。下面介绍下瑞星PE杀毒的详细步骤。

1.该版本必须在不解压缩的状态下通过刻录光盘或其他方式拷贝到由于病毒原因无法安装瑞星杀毒软件计算机中任意磁盘目录下。(如果解压缩拷贝可能会造成文件被病毒感染无法正常运行的情况)

2.通过开机加载windows PE系统的方式，找到之前拷贝的PE版瑞星2011杀毒压缩文件并正常解压缩后运行执行杀毒.exe进程即可，如图10。

图10

等待查杀清除病毒结束后，重启计算机即可。

使用PE杀毒注意事项：

1.开机引导的windows PE系统针对某些使用磁盘阵列的服务器，可能会因为没有磁盘阵列驱动导致无法找到正常系统所使用的磁盘，故请更换查找适合此类型磁盘的相关windows PE系统版本。

2.凡因为感染exe类型文件病毒的计算机在已安装瑞星杀毒软件的情况下，如果可以正常进入安全模式的话，请在安全模式下启动瑞星查杀，不建议直接使用此种方式处理。

3.由于被感染exe类型文件有可能会存在文件结构被病毒破坏严重的情况，故通过PE版瑞星杀毒重启后可能会导致部分文件不能正常使用，可以重装相关软件或拷贝相应的exe执行文件均可解决，但如果系统感染病毒严重，会存在PE杀毒后无法正常进入系统的情况，故请在杀毒前备份相关重要数据，以防万一。

另外一种清除病毒失败或删除染毒文件失败的情况就是病毒随系统启动，有驱动保护，这也是病毒最有效的保护方法，一般是在drivers目录下增加一个或多个.sys文件，本质上是在HKLMSYSTEMCurrentControlSetServices下建一个相关的键值，如CNNIC建立的就是HKLMSYSTEMCurrentControlSetServicescdnprot，并且将启动级别做得很高，在安全模式下也会启动，这个底层的驱动会过滤所有的文件以及注册表操作，如果发现是对自己的文件/注册表操作，就返回一个true，如果发觉文件被删除，就通过备份或网络下载来恢复，普通用户根本没办法删除相关文件，还有一些rootkit类病毒，很多时候就是安全模式也无法彻底清除，对于这种情况，可以使用瑞星PE杀毒已达到彻底处理病毒的目的。

这几类瑞星会清除失败的病毒，大部分是由于用户没有实时开启瑞星监控导致病毒进入系统，或者安装瑞星前已经感染了病毒。正常情况下，开启瑞星所有监控，病毒入侵计算机前就可以被处理掉，无法感染客户端，也就不会出现在正常情况下瑞星清除病毒或删除染毒文件失败的情况，所以保证瑞星监控实时开启是非常有必要的。

四、瑞星对于病毒的处理方式为用户忽略

此现象主要有两种情况：

A.用户选择的病毒处理方式不正确。管理员可以通过定位对病毒处理方式为用户忽略的客户端，然后查看客户端的防毒策略设置来核实客户端对病毒的处理方式。(图11)

图11

查看客户端对实时监控、嵌入式杀毒和手动查杀发现病毒、杀毒失败和备份失败的处理方式，确认一下客户端对发现病毒的处理方式是不是为不处理，如果是不处理，建议修改成默认策略，以方便发现病毒时清除病毒。(图12)

图12

B.病毒隔离区空间不足。如果瑞星病毒隔离区已满，瑞星对病毒的处理方式会是用户忽略。下面介绍一下如何确认瑞星隔离区空间是否已满。

1.启动病毒隔离系统(图13)

方法一：在瑞星网络版客户端软件主程序界面中，选择【工具】/【病毒隔离区】/【运行】。

方法二：在Windows画面中，选择【开始】/【程序】/【瑞星杀毒软件网络版】/【病毒隔离区】。

图13

2.选择设置空间，查看隔离区剩余大小。(图14)

图14

为避免由于备份文件过多而占用大量磁盘空间，用户可以设置病毒隔离系统占用存储空间的大小。当隔离区空间已满时，用户可以选择【空间自动增长】或使用【替换最老的文件】处理。方法是：启动【病毒隔离区】，选择【工具】/【设置空间】，在【设置】对话框中选择后，再按【确认】保存设置。

另外，瑞星无法处理某些病毒，还存在一种情况是瑞星没有发现病毒，而用户怀疑感染了病毒。有时会有用户反馈说瑞星为什么不能处理某病毒，但通过查看病毒库，发现某病毒不是瑞星所报病毒，后确认用户提供的病毒名是别的杀软查到的。对于这种情况，建议将瑞星升级到最新版本后杀毒，如果瑞星已经是最新版本后仍然查杀不到此病毒，可以上报病毒样本供我们分析，以确认相关文件是不是病毒，如果确定为病毒，瑞星会在下一次版本更新后查杀此病毒。还有用户因为计算机的一些异常情况怀疑感染病毒，对于这种情况，我们会通过发送相关工具提取计算机相关信息以判断计算机是否感染病毒，如果经分析确实感染病毒，我们会通过提取相关文件以便下次瑞星更新后可以查杀此病毒;如果经过分析，用户计算机没有感染病毒，不过仍然有异常现象，则可能是网内其他机器影响本机导致，比方说网内有其他机器感染了ARP病毒，会导致没有感染病毒的机器出现无法访问网络等一些异常情况。

13.防范计算机病毒的常用方法 篇十三

随着这几年网络的迅猛发展,利用网络技术,以网络为载体频频暴发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、MSN病毒、黑客程序等网络新病毒,已经颠覆了传统的病毒概念。与传统病毒相比,网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点,使防范病毒的必要性越来越紧迫。

特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。该技术要求从病毒体中提取病毒特征值,所以只有等到新病毒出现后,才有可能获得病毒体,并针对它进行单独处理。这种方法的固有缺陷是对新病毒的防范始终滞后于病毒的出现。

因此我们需要对病毒进行主动防御,本文将从两个方面来论述如何进行主动防御。

1 反病毒软件更新换代

长期以来,人们把杀毒软件作为最主要的反病毒工具,杀毒软件几乎成了所有反病毒产品的代名词,杀毒软件赖以生存的"特征值扫描技术"也几乎成了所有反病毒技术的代名词。正因为如此,杀毒软件对新病毒的防范始终滞后于病毒出现的重大缺陷,似乎成为既合情又合理的反病毒逻辑,导致人们普遍认为反病毒产品不可能主动防御新病毒,甚至等同于防范一种未知的疾病。

其实,既然计算机病毒概念是人依据程序行为来定义的,现有杀毒软件本身如果不能发现新病毒,但是人本身是可以发现新病毒的。如果人不能发现新病毒,也就意味着反病毒公司研发人员也就不可能发现新病毒,不可能升级杀毒软件。也就是说,新病毒一定是人通过相应的方法判断出来的。

因此识别病毒可以采用采用动态分析,直接通过程序的行为判断它是否是病毒。即根据程序的行为是否符合病毒定义做出判断,如果符合就是病毒,不符合就不是。举例来说在对某个可疑程序进行判断时,为了做出准确判断,必须在可控范围内运行可疑程序,然后再根据程序的行为判断是否是病毒。如:MSN蠕虫病毒通过MSN自动给好友发送病毒文件。我们可以通过制定规则:如果MSN接收的某个文件运行后,模拟键盘或鼠标动作,自动点击MSN的"发送文件"命令,把它或它的生成物自动发送给其他MSN联系人,则这个文件就是病毒。

也许有人会说,建立杀毒软件自动识别新病毒会很难。第一,病毒防范是一个非常技术的工作,世界上反病毒软件专家和程序员本就非常少,培训起来也很困难;第二,不可能预知新的病毒会是什么模式的病毒,建立相关的规则也是非常庞大而不太可能实现的。然而,我们可以看到,虽然病毒越来越多,但真正有创意的、技术上有突破的病毒很少,不到总数的1%。而且这类病毒通常是概念病毒,一般破坏性不大。绝大多数病毒都是模仿其它病毒编写的,这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒找到,一个计算机本科毕业生经过短期培训,通常都可胜任人工识别这类新病毒的工作。因此识别绝大多数新病毒,并不是一件很难的事,只是要把人工识别转化为计算机自动判断的coding过程,对病毒的行为进行分析、归纳、总结,将人为的经验进行科学提炼。因此,我们说实现软件自动识别病毒是可行的。

跳出传统技术路线,尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防御型产品,从根本上克服杀毒软件重大缺陷,建立主动防御为主、结合现有反病毒技术的综合防范体系,实现反病毒技术的革命性飞跃和反病毒产业的升级,是具有极现实的紧迫性的。

2 做好个人计算机和服务器的防范

虽然现有反病毒软件对新病毒的防范并不完美,但是防火墙+杀毒软件毕竟是必要的工具,可以节省大量的时间和精力,也许大家有手工杀毒的能力。但普通用户谁愿意自己搜索病毒呢?谁能知道那个正常进程被插入病毒,谁愿意一个一个杀病毒副本,许多东西我们没办法判断的;而另外的防火墙,不太可能有人愿意手动不停地监视连接情况,去手工抗DDOS,去手工丢弃非法的包……上面的这一切不是普通用户可以掌握的技术。

2.1 杀毒软件和网络防火墙

无论是菜鸟还是飞鸟,杀毒软件和网络防火墙都是必需的。上网前或启动机器后自动运行这些软件,就好像给你的机器"穿"上了一层或许说并不完美的"保护衣",就算不能完全杜绝网络病毒的袭击,起码也能把大部分的网络病毒拒之门外。目前杀毒软件非常多,但千万不能使用一些破解的杀毒软件,以免因小失大。安装软件后,要坚持定期更新病毒库和杀毒程序,以最大限度地发挥出软件应有的功效,给计算机以保护。

2.2 下载文件后进行杀毒扫描

我们下载文件要小心仔细,网络病毒之所以得以泛滥,很大程度上跟人们的惰性和侥幸心理有关。当我们下载文件后,最好立即用杀毒软件扫描一遍,不要怕麻烦,尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心,因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。

2.3 对不良站点和邮件的防范

很多中了网页病毒的朋友,都是因为访问不良站点惹的祸,因此,不去浏览这类网页会让你省心不少。另外,当我们在论坛、聊天室等地方看到有推荐浏览某个URL时,要千万小心,以免不幸"遇害",或者尝试使用以下步骤加以防范:1)打开杀毒软件和网络防火墙;

2)把Internet选项的安全级别设为"高";3)尽量使用以IE为内核的浏览器(如MyIE2),然后在MyIE2中新建一个空白标签,并关闭Script、javaApple、ActiveX功能后再输入URL。

特别是,当我们发现有"你中奖啦!"、"打开附件会有意外惊喜哦!"这些话,千万别信!看到类似广告的邮件标题,最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式),不要随便打开,如果是你熟悉的朋友发来的,可以先与对方核实后再作处理。同时,也有必要采取一定措施来预防邮件病毒:

(1)尽量不要用Outlook作为你的邮件客户端,改以Foxmail等代替,同时以文本方式书写和阅读邮件,这样就不用担心潜伏在HTML中的病毒了;

(2)多使用远程邮箱功能,利用远程邮箱的预览功能(查看邮件Header和部分正文),可以及时找出垃圾邮件和可疑邮件,从而把病毒邮件直接从服务器上赶走;

(3)不要在Web邮箱中直接阅读可疑邮件,因为这种阅读方法与浏览网页的原理一样,需要执行一些脚本或Applet才能显示信息,有一定危险性。

还有,当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多),我们平时除了注意及时对系统软件和网络软件进行必要升级外,还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的"Windows Update"功能,让微软为你的电脑来一次"全身检查"并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的"系统漏洞检测精灵"就是一个不错的软件),以便及早发现漏洞。

不管网络病毒如何神通广大,它要对计算机进行破坏,总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等),根据这个特点,我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范,让病毒无从下手。

2.4 定时备份

我们要做到有备无患,正所谓"智者千虑,必有一失",为保证计算机内重要数据的安全,定时备份少不了。如果我们能做好备份工作,即使遭受网络病毒的全面破坏,也能把损失减至最小。当然,前提条件是必须保证备份前数据没被感染病毒,否则只能是徒劳无功。另外,要尽量把备份文件刻录到光盘上或存放到隐藏分区中,以免"全军覆没"。

2.5 一些防范病毒的常用方法

2.5.1 清空浏览器的临时文件

2.5.2 关闭共享文件夹

2.5.3 删除病毒/木马程序的自启动项

步骤:打开注册表编辑器:"开始">>"运行",输入"REGEDIT",点击"确定"打开注册表编辑器,找到下面的键值:

2.5.4 打开系统配置实用程序

步骤:"开始">>"运行",输入"msconfig",点击"确定"打开系统配置实用程序,禁用不必要的配置

2.5.5 关闭一些可能会成为安全隐患的服务

步骤:打开控制面板―计算机管理―服务,关闭下列具有危险性质的服务(可能已经被禁止)

(1)NetMeeting Remote Desktop Sharing:允许授权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。

(2)Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令"Location"域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。

(3)Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息,此服务与Windows Messenger无关。如果服务停止,Alerter消息不会被传输)。这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为"信使服务"。而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。

(4)Terminal Services:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能,可以禁止它。

(5)Remote Registry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。

(6)Fast User Switching Compatibility:在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击"开始→注销→快速切换",在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。如果不经常使用,可以禁止该服务。或者在"控制面板→用户账户→更改用户登录或注销方式"中取消"使用快速用户切换"。

(7)Telnet:允许远程用户登录到此计算机并运行程序,并支持多种TCP/IP Telnet客户,包括基于UNIX和Windows的计算机。又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。

(8)Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据,坚决禁止它。

(9)Remote Desktop Help Session Manager:如果此服务被终止,远程协助将不可用。

3 结束语

以上从病毒防范的基本思路和个人终端防护两个方面作了基本阐述,总而言之,与病毒的抗争是个长期的过程。不可能存在一种方法或者一个软件可以防范所有的病毒,也不可能存在一种病毒可以绕过所有的防病毒措施。因此,我们要正面认识病毒,客观承认计算机病毒的存在,但不要惧怕病毒。树立计算机病毒意识,掌握必要的计算机病毒知识和病毒防治技术,积极采取预防(备份等)措施。

参考文献

[1]秦志光,张凤荔.计算机病毒原理与防范[M].北京:人民邮电出版社,2007,8.

14.病毒防范小知识：怎样发现病毒 篇十四

电脑运行比平常迟钝

程序载入时间比平常久

有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，这些病毒将执行他们的动作，因此会花更多时间来载入程序。

对一个简单的工作，磁盘似乎花了比预期长的时间

例如：储存一页的文字若需一秒，但病毒可能会花更长时间来寻找未感染文件。

不寻常的错误信息出现

例如你可能得到以下的信息：write protect error on driver A

表示病毒已经试图去存取软盘并感染之，特别是当这种信息出现频繁时，表示你的系统已经中毒了?br/>

硬盘的指示灯无缘无故的亮了

当你没有存取磁盘，但磁盘指示灯却亮了，电脑这时已经受到病毒感染了。

系统内存容量忽然大量减少

有些病毒会消耗可观的内存容量，曾经执行过的程序，再次执行时，突然告诉你没有足够的内存可以利用，表示病毒已经存在你的电脑中了?br/>

磁盘可利用的空间突然减少

这个信息警告你病毒已经开始复制了?br/>

可执行程序的大小改变了?br/>

正常情况下，这些程序应该维持固定的大小，但有些较不聪明的病毒，会增加程序的大小，

坏轨增加

有些病毒会将某些磁区标注为坏轨，而将自己隐藏其中，於是往往扫毒软件也无法检查病毒的存在，例如Disk Killer会寻找3或5个连续未用的磁区，并将其标示为坏轨。

程序同时存取多部磁盘

内存内增加来路不明的常驻程序

文件奇怪的消失

文件的内容被加上一些奇怪的资料

文件名称，扩展名，日期，属性被更改过

点击阅读更多学院相关文章>>

15.注意检测 防范反抗杀毒软件的电脑病毒病毒防范 篇十五

现在使用IE5浏览器的已经很少了,现在最低的也差不多是用I6以上版本吧,当然现在还是存在一些牛人些的网站挂马脚本,做好自身的网络安全防御也是很有必要的

现在网络上的流氓软件可谓是多如牛毛,大家在下载的时候最好去官方下载，

1.启动时弹出对话框

现象描述:

(1).系统启动时弹出对话框，通常是一些广告信息，例如欢迎访问某某网站等等。

开机弹出网页，通常会弹出很多窗口，让你措手不及，恶毒一点的可以重复弹出窗口直到死机。

解决方法:

(1.弹出对话框。打开注册表编辑器，找到HKEY_LOCA L_MA CHINESoftwareMicrosoftWindowsCurrentVersionWinlogon主键

然后在右边窗口中找到”LegalNoticeCaption”和”LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在启动时出现提示框的现象了

(2.弹出网页。点击”开始-运行-输入msconfig”,选择”启动”把里面后缀为urlhtmlhtm网址文件都勾掉。

2.IE窗口定时弹出

现象描述:中招者的机器每隔一段时间就弹出IE窗口，地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?

解决方法:点击”开始-运行-输入msconfig”,选择”启动”把里面后缀为hta都勾掉，重启。

3.篡改IE标题栏

现象描述:系统默认状态下，由应用顺序自身来提供标题栏的信息。但是有些网络流氓为了达到广告宣传的目的将串值”WindowTitle”下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的非要别人看他东西，而且是通过非法的修改手段，除了”无耻”两个字，再没有其它形容词了

解决方法:展开注册表到HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerMain下，右半局部窗口找到串值”WindowTitle”将该串值删除。重新启动计算机。

4.篡改默认搜索引擎

现象描述:IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。

解决方法:运行注册表编辑器，依次展开HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerSearchCustomizeSearch和HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerSearchSearchA ssistant,将CustomizeSearch及SearchA ssist键值改为某个搜索引擎的网址即可。

5.IE右键修改

现象描述:有的网络流氓为了宣传的目的将你右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。

解决方法:

1.右键菜单被修改。打开 注册表编辑器，找到HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMenuExt删除相关的广告条文。

2.右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerRestrict将其DWORD值”NoBrowserContextMenu”值改为0

6.篡改地址栏文字

现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标，地址栏里的下拉框里也有大量的地址，并不是以前访问过的

解决方法:

1.地址栏下的文字。HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerToolBar下找到键值LinksFolderNam将其中的内容删去即可，

2.地址栏中无用的地址。HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerTypeURL中删除无用的键值即可。

7.注册表的锁定

现象描述:有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。晕了!动了东西还不让改，这是哪门子的道理!

解决方法:能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如:Reghanc将注册表中的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下的DWORD值”DisableRegistryTools”键值恢复为”0″即可恢复注册表。

8.默认主页修改

现象描述:一些网站为了提高自己的访问量和做广告宣传，利用IE漏洞，将访问者的IE不由分说地进行修改。一般改掉你起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。

解决方法:

(1.起始页的修改。展开注册表到HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerMain右半局部窗口中将”StartPage”键值改为”about:blank”即可。同理，展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain右半局部窗口中将”StartPage”键值改为”about:blank”即可。

注意:有时进行了以上方法后仍然没有生效，估计是有程序加载到启动项的缘故，就算修改了下次启动时也会自动运行顺序，将上述设置改回来，解决方法如下:

运行注册表编辑器Regedit.ex然后依次展开HKEY_LOCA L_MA CHINESoftwareMicrosoftWindowsCurrentVersionRun主键，然后将下面的”registry.exe”子键(名字不固定)删除，最后删除硬盘里的同名可执行程序。

退出注册编辑器，重新启动计算机，问题就解决了

(2.默认主页的修改。运行注册表编辑器，展开HKEY_LOCA L_MA CHINESoftwareMicrosoftInternetExplorerMain将Default-Page-URL子键的键值中的那些恶意网站的网址改正，或者设置为IE默认值。

(3.IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControlPanel中的DWORD值”Settings”=dword:1″Links”=dword:1″SecA ddSites”=dword:1全部改为”0″将HKEY_USERS.DEFA ULTSoftwarePoliciesMicrosoftInternetExplorerControlPanel下的DWORD值”homepage”键值改为”0″9.禁止使用电脑

现象描述:尽管网络流氓们用这一招的不多，但是一旦你中招了后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:”关闭系统””运行””注销”注册表编辑器、DOS顺序、运行任何顺序被禁止，系统无法进入”实模式”驱动器被隐藏。

解决方法:一般来说上述八大现象你都遇上了话，基本上系统就给”废”建议重装。

10.格式化硬盘

现象描述:这类恶意代码的特征就是利用IE执行ActiveX功能，让你无意中格式化自己的硬盘。

只要你浏览了含有它网页，浏览器就会弹出一个警告说”当前的页面含有不安全的ctiveX可能会对你造成危害”问你否执行。

如果你选择””话，硬盘就会被快速格式化，因为格式化时窗口是最小化的可能根本就没注意，等发现时已悔之晚矣。

解决方法:除非你知道自己是做什么，否则不要随便回答””该提示信息还可以被修改，如改成”Window正在删除本机的临时文件，否继续”所以千万要注意!此外，将计算机上Format.comFdisk.exDel.exDeltree.ex等命令改名也是一个办法。

16.ARP病毒攻击与防范 篇十六

当今社会, 网络技术已经渗透到人们生活中的各个方面。随着网络技术的迅猛发展, 信息安全问题也日益突出。ARP (Address Resolution Protocol, 地址解析协议) 是TCP/IP协议簇中的底层协议, 用来完成IP地址到硬件地址的转换。由于ARP协议自身存在着难以克服的安全弱点, 如果被恶意利用, 将对网络安全产生极大的危害。

1 ARP协议

1.1 ARP协议工作原理

在以太网中传输的数据包是以太包, 而以太包是依据其首部的M A C地址来进行寻址的。发送方必须知道目的主机的MAC地址才能向其发送数据。ARP协议的作用就在于把逻辑地址转换成物理地址, 也就是把32bit的IP地址变换成48bit的以太网地址。

ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存。这个高速缓存存放了最近IP地址到MAC地址之间的映射记录。高速缓存中每一项的生存时间一般为2 0分钟, 起始时间从被创建时开始算起。

通常当主机在发送一个IP包之前, 它要到该转换表中寻找和IP包对应的MAC地址。如果没有找到, 该主机就发送一个ARP广播包, 得到对方主机ARP应答后, 该主机刷新自己的ARP缓存, 然后发出该IP包。

我们可以用ARP命令来检查ARP高速缓存。参数-a的意思是显示高速缓存中所有的内容 (如图1所示) 。

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的 (如表1所示) 。

以主机A (192.168.1.10) 向主机B (192.168.1.20) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.20的M A C地址是什么”。网络上其他主机并不响应A R P询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.20的MAC地址是00-1f-6d-c3-32-04。”这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。

1.2 ARP的分组格式

在以太网上解析IP地址时, ARP请求和应答分组的格式如图2所示。

以太网报头中的前两个字段是以太网的源地址和目的地址。目的地址为全1的特殊地址是广播地址。两个字节长的以太网帧类型表示后面数据的类型。对于A R P请求或应答来说, 该字段的值为0x0806。硬件类型字段表示硬件地址的类型, 值为1即表示以太网地址。协议类型字段表示要映射的协议地址类型, 值为0x0800即表示IP地址。硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度, 以字节为单位。对于以太网上IP地址的ARP请求或应答来说, 它们的值分别为6和4。操作字段指出四种操作类型, 它们是ARP请求 (值为1) 、ARP应答 (值为2) 、RARP请求 (值为3) 和RARP应答 (值为4) 。这个字段是必需的, 因为ARP请求和ARP应答的帧类型字段值是相同的。

对于一个ARP请求来说, 除目的端硬件地址外的所有其他字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后, 它就把硬件地址填进去, 然后用两个目的端地址分别替换两个发送端地址, 并把操作字段置为2, 最后把它发送回去。

1.3 ARP协议安全漏洞

ARP作为一个局域网协议, 是建立在各个主机之间相互信任的基础上的, 因此存在安全漏洞。

(1) 主机地址映射表是基于高速缓存, 动态更新的。由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换前成功地修改了被欺骗机器上的地址缓存, 就可进行假冒或拒绝服务攻击。

(2) ARP协议是一个无状态的协议。只要主机接收到ARP应答帧, 就会对本地的ARP缓存进行更新, 将应答帧中的IP地址和MAC地址存储在ARP高速缓存中, 并不要求主机必须先发送ARP请求后才能接收ARP应答, 同时, 从不对其进行检验。

(3) 在通讯中, ARP缓存的优先级最高, 总是最先从ARP缓存中找与IP地址对应MAC地址。

上述缺陷很容易被黑客利用, 发生伪造别人IP地址实现ARP欺骗的事件。

1.4 ARP协议攻击方式

假定在一个局域网中有三台机器, 他们的IP地址和MAC地址分别如下:

主机A的IP地址192.168.1.10, 网卡地址01-0e-2d-73-65-17;主机B的IP地址192.168.1.20, 网卡地址00-1f-6d-c3-32-04;主机C的IP地址192.168.1.30, 网卡地址03-cc-4e-d5-1a-27。如果主机C想窃听主机A与主机B之间通信的话, 它就可以利用ARP协议的漏洞, 冒用主机B的名义与主机A通信, 同时冒用主机A的名义与主机B通信, 实现ARP欺骗。

主机C向主机A发送ARP应答报文, 在应答报文中将主机B的IP地址192.168.0.20与主机C的网卡地址对应, 当主机A收到ARP应答报文时, 更新ARP高速缓存, 增加“192.168.0.20<->03-cc-4e-d5-1a-27”项。同时, 主机C向主机B发送ARP应答报文, 在响应报文中将主机A的IP地址192.168.0.10与主机C的网卡地址对应, 当主机B收到ARP应答报文时, 更新ARP高速缓存, 增加“192.168.0.10<->03-cc-4e-d5-1a-27”项。这样, 当主机A再想与主机B通信时, 其数据包会发送到网卡地址是03-cc-4e-d5-1a-27的主机C上;主机B与主机A通信时, 数据包也会发送到网卡地址是03-cc-4e-d5-1a-27的主机C上。如果主机C能够实现自动路由转发, 就可以在不影响主机A与主机B之间通信的前提下进行数据窃听了。

但如果前面主机C发给主机A的ARP更新包中的MAC地址不是自己的, 而是伪造的根本不存在MAC地址, 那么这时主机A和主机B之间就不可能再正常通信了, 这就是ARP病毒对PC主机在网络间通信造成数据被窃听或网络不通的严重后果。

虽然局域网之间通信是主机与主机之间直接通信, 但是, 如果要与外网的主机通信, 还需要用到网关或路由器 (很多情况下一个局域网的路由器就直接充当网关的角色) 。当局域网内的某台主机A想要与外网的主机通信, 那么它在对数据包进行封装时, 目标M A C地址需要写成网关的M A C地址, 再交由网关代为转发, 发到网外去。如果这台主机A在使用ARP数据包请求网关的MAC地址时, 出现一台不怀好意的主机向主机A回应了一个ARP应答报文, 数据包就将这台病毒主机的M A C地址或者根本不存在的M A C地址告诉主机A, 这时主机A发给远程网络的数据由于经过不怀好意的主机“中转”了一下, 造成数据被窃听, 或因为错误的MAC地址, 而最终没有网关对数据进行转发, 导致与外网不能正常通信。这就是为什么ARP病毒不仅能够从主机下手来影响局域网内的通信, 也能影响局域网与外网的通信。

2 ARP病毒防范

(1) 使用静态ARP表。停止使用地址动态绑定和ARP高速缓存定期更新的策略。在ARP高速缓存中保存永久的IP地址与硬件地址映射表, 允许由系统管理人员进行人工修改。

(2) 在路由器的ARP高速缓存中放置所有受托主机的永久条目, 也可以减少并防止ARP欺骗, 但路由器在寻径中同样存在安全漏洞。

(3) 会话加密。我们不应把网络安全信任关系建立在IP地址或硬件MAC地址的基础上, 而是应该对所传输的重要数据事先进行加密, 再开始传输。这样, 即使我们传输的数据被恶意主机监听到, 它也无法获取切实有用的信息。

(4) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。但要确保这台ARP服务器不被黑。

3 结束语

网络服务与网络资源共享技术的发展伴随着网络攻击发生概率的增大。越来越多的攻击都基于各种底层的网络协议。ARP地址转换协议如果被恶意利用会对局域网产生严重威胁。本文介绍了ARP在TCP/IP协议中的地位和作用, 描述了它的工作原理。ARP协议的安全缺陷来源于协议自身设计上的不足:ARP协议被设计成为一种可信任协议, 缺乏合法性验证手段。本文介绍的各种防范措施存在一定的局限性, 不可能对所有的攻击都起到抑制作用。

参考文献

[1]牛少章, 江为强.网络的攻击与防范.北京:北京邮电大学出版社.2006.