網(wǎng)吧安全與病毒防御培訓(xùn)課程課件

計(jì)算機(jī)病毒的防治

本章主要內(nèi)容： 1．計(jì)算機(jī)病毒 2．計(jì)算機(jī)病毒的傳播 3．計(jì)算機(jī)病毒的特點(diǎn)及破壞行為 4．宏病毒及網(wǎng)絡(luò)病毒 5．病毒的預(yù)防、檢查和清除 6．病毒防御解決方案2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)計(jì)算機(jī)病毒的防治 本章主要內(nèi)容：2022/12/23計(jì)算機(jī)網(wǎng)1什么是計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。 通常，計(jì)算機(jī)病毒可分為下列幾類(lèi)。 （1）文件病毒。 （2）引導(dǎo)扇區(qū)病毒。 （3）多裂變病毒。（4）秘密病毒。（5）異形病毒。（6）宏病毒。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)什么是計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅2計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的由來(lái)

計(jì)算機(jī)病毒是由計(jì)算機(jī)黑客們編寫(xiě)的，這些人想證明它們能編寫(xiě)出不但可以干擾和摧毀計(jì)算機(jī)，而且能將破壞傳播到其它系統(tǒng)的程序。

2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的由來(lái)2022/12/23計(jì)算36.2計(jì)算機(jī)病毒的傳播6.2.2計(jì)算機(jī)病毒的傳播 計(jì)算機(jī)病毒通過(guò)某個(gè)入侵點(diǎn)進(jìn)入系統(tǒng)來(lái)感染該系統(tǒng)。最明顯的也是最常見(jiàn)的入侵點(diǎn)是從工作站傳到工作站的軟盤(pán)。 病毒一旦進(jìn)入系統(tǒng)以后，通常用以下兩種方式傳播： （1）通過(guò)磁盤(pán)的關(guān)鍵區(qū)域； （2）在可執(zhí)行的文件中。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播6.2.2計(jì)算機(jī)病毒的傳播202246.2計(jì)算機(jī)病毒的傳播6.2.3計(jì)算機(jī)病毒的工作方式 一般來(lái)說(shuō)，病毒的工作方式與病毒所能表現(xiàn)出來(lái)的特性或功能是緊密相關(guān)的。 1．感染 任何計(jì)算機(jī)病毒的一個(gè)重要特性或功能是對(duì)計(jì)算機(jī)系統(tǒng)的感染。 （1）引導(dǎo)扇區(qū)病毒

2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播6.2.3計(jì)算機(jī)病毒的工作方式2056.2計(jì)算機(jī)病毒的傳播

（2）文件型病毒 文件型病毒與引導(dǎo)扇區(qū)病毒最大的不同之處是，它攻擊磁盤(pán)上的文件。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 2022/12/23計(jì)算機(jī)網(wǎng)絡(luò)安66.2計(jì)算機(jī)病毒的傳播 覆蓋型文件病毒的一個(gè)特點(diǎn)是不改變文件的長(zhǎng)度，使原始文件看起來(lái)非常正常。 前依附型文件病毒將自己加在可執(zhí)行文件的開(kāi)始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。 伴隨型文件病毒為.exe文件建立一個(gè)相應(yīng)的含有病毒代碼的.com文件。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 覆蓋型文件病毒的一個(gè)特點(diǎn)是不改變76.2計(jì)算機(jī)病毒的傳播 2．變異 變異又稱(chēng)變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測(cè)，以達(dá)到逃避檢測(cè)的一種“功能”。 3．觸發(fā) 不少計(jì)算機(jī)病毒為了能在合適的時(shí)候從事它的見(jiàn)不得人的勾當(dāng)，往往需要預(yù)先設(shè)置一些觸發(fā)的條件，并使之先置于未觸發(fā)狀態(tài)。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 2．變異2022/12/23計(jì)算機(jī)86.2計(jì)算機(jī)病毒的傳播 4．破壞 修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺(jué)和聽(tīng)覺(jué)效果。 5．高級(jí)功能病毒 計(jì)算機(jī)病毒逃避檢測(cè)，躲開(kāi)病毒掃描和反病毒軟件。 多態(tài)病毒特點(diǎn)能變異，新病毒都與上一代有差別，每個(gè)新病毒都各不相同。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 4．破壞2022/12/23計(jì)算機(jī)96.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為

6.3.1計(jì)算機(jī)病毒的特點(diǎn) 病毒有以下幾個(gè)主要特點(diǎn)。 1．刻意編寫(xiě)人為破壞 2．自我復(fù)制能力 3．奪取系統(tǒng)控制權(quán) 4．隱蔽性 5．潛伏性 6．不可預(yù)見(jiàn)性2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為6.3.1計(jì)算機(jī)病毒的106.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為6.3.2計(jì)算機(jī)病毒的破壞行為（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。硬盤(pán)主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。（2）攻擊文件。刪除、改名、替換內(nèi)容、丟失簇或?qū)ξ募用?。?）攻擊內(nèi)存。大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。（4）干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降。（5）干擾鍵盤(pán)、喇叭或屏幕。（6）攻擊CMOS。系統(tǒng)時(shí)鐘、磁盤(pán)類(lèi)型和內(nèi)存容量等，亂寫(xiě)某些主板BIOS芯片，損壞硬盤(pán)。（7）干擾打印機(jī)。如假報(bào)警、間斷性打印或更換字符。（8）網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為6.3.2計(jì)算機(jī)病毒的破116.4宏病毒及網(wǎng)絡(luò)病毒6.4.1宏病毒 所謂宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來(lái)的一種工具。 1．宏病毒的行為和特征 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫(xiě)成的具有復(fù)制、傳染能力的宏。（1）宏病毒行為機(jī)制 Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開(kāi)存儲(chǔ)的方法。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒6.4.1宏病毒2022/12/12（2）宏病毒特征 ①宏病毒會(huì)感染.doc文檔和.dot模板文件。 ②宏病毒的傳染通常是Word在打開(kāi)一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。 ③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動(dòng)宏。 ④宏病毒中總是含有對(duì)文檔讀寫(xiě)操作的宏命令。 ⑤宏病毒在.doc文檔、.dot模板中以.BFF（BinaryFileFormat）格式存放。6.4宏病毒及網(wǎng)絡(luò)病毒2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)（2）宏病毒特征6.4宏病毒及網(wǎng)絡(luò)病毒2022/12/23136.4宏病毒及網(wǎng)絡(luò)病毒2．宏病毒的防治和清除方法（1）使用選項(xiàng)“提示保存Normal模板”（2）不要通過(guò)Shift鍵來(lái)禁止運(yùn)行自動(dòng)宏（3）查看宏代碼并刪除（4）使用DisableAutoMacros宏（5）使用Word97的報(bào)警設(shè)置（6）設(shè)置Normal.dot的只讀屬性（7）Normal.dot的密碼保護(hù)2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒2．宏病毒的防治和清除方法2022/146.4宏病毒及網(wǎng)絡(luò)病毒6.4.2網(wǎng)絡(luò)病毒 1．網(wǎng)絡(luò)病毒的特點(diǎn) 計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。。病毒的會(huì)在這種環(huán)境下迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。它對(duì)于系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。 病毒入侵網(wǎng)絡(luò)的主要途徑是通過(guò)工作站傳播到服務(wù)器硬盤(pán)，再由服務(wù)器的共享目錄傳播到其它工作站。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒6.4.2網(wǎng)絡(luò)病毒2022/12/156.4宏病毒及網(wǎng)絡(luò)病毒 2．病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶(hù)直接從文件服務(wù)器復(fù)制已感染的文件。 因特網(wǎng)是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)是從一塊感染的軟盤(pán)上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒 2．病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)202166.4宏病毒及網(wǎng)絡(luò)病毒 3．專(zhuān)攻網(wǎng)絡(luò)的GPI病毒 4．電子郵件病毒 對(duì)電子郵件系統(tǒng)進(jìn)行病毒防護(hù)可從以下幾個(gè)方面著手。（1）使用優(yōu)秀的防毒軟件對(duì)電子郵件進(jìn)行專(zhuān)門(mén)的保護(hù)（2）使用防毒軟件同時(shí)保護(hù)客戶(hù)機(jī)和服務(wù)器（3）使用特定的SMTP殺毒軟件2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒 3．專(zhuān)攻網(wǎng)絡(luò)的GPI病毒2022/176.5病毒的預(yù)防、檢查和清除

6.5.1病毒的預(yù)防 通過(guò)采取技術(shù)上和管理上的措施，計(jì)算機(jī)病毒是完全可以防范的。（1）對(duì)新購(gòu)置的計(jì)算機(jī)系統(tǒng)用檢測(cè)病毒軟件檢查已知病毒，用人工檢測(cè)方法檢查未知病毒。（2）新購(gòu)置的硬盤(pán)或出廠時(shí)已格式化好的軟盤(pán)可能有病毒。對(duì)硬盤(pán)可以進(jìn)行檢測(cè)或進(jìn)行低級(jí)格式化，因?yàn)閷?duì)硬盤(pán)只做DOS的Format格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表扇區(qū)）病毒的。（3）新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)。（4）在保證硬盤(pán)無(wú)病毒的情況下，能用硬盤(pán)引導(dǎo)啟動(dòng)的，盡量不要用軟盤(pán)去啟動(dòng)。（5）很多PC機(jī)可以通過(guò)設(shè)置CMOS參數(shù)，使啟動(dòng)時(shí)直接從硬盤(pán)引導(dǎo)啟動(dòng)。

2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 6.5.1病毒的預(yù)防20186.5病毒的預(yù)防、檢查和清除（6）定期與不定期地進(jìn)行磁盤(pán)文件備份工作。（7）對(duì)于軟盤(pán)，要盡可能將數(shù)據(jù)和程序分別存放，裝程序的軟盤(pán)要進(jìn)行寫(xiě)保護(hù)。（8）在別人的機(jī)器上使用過(guò)自己的已打開(kāi)了寫(xiě)保護(hù)的軟盤(pán)，再在自己的機(jī)器上使用，就應(yīng)進(jìn)行病毒檢測(cè)。（9）應(yīng)保留一張寫(xiě)保護(hù)的、無(wú)病毒的并帶有各種命令文件的系統(tǒng)啟動(dòng)軟盤(pán)，用于清除病毒和維護(hù)系統(tǒng)。（10）用Bootsafe等實(shí)用程序或用Debug編程提取分區(qū)表等方法做好分區(qū)表、DOS引導(dǎo)扇區(qū)等的備份工作，在進(jìn)行系統(tǒng)維護(hù)和修復(fù)工作時(shí)可作為參考。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（6）定期與不定期地進(jìn)行磁盤(pán)文196.5病毒的預(yù)防、檢查和清除（11）對(duì)于多人共用一臺(tái)計(jì)算機(jī)的環(huán)境，應(yīng)建立登記上機(jī)制度，做到使問(wèn)題能盡早發(fā)現(xiàn)，有病毒能及時(shí)追查、清除，不致擴(kuò)散。（12）啟動(dòng)Novell網(wǎng)或其它網(wǎng)絡(luò)的服務(wù)器時(shí)，一定要堅(jiān)持用硬盤(pán)引導(dǎo)啟動(dòng)，否則在受到引導(dǎo)扇區(qū)型病毒感染和破壞后，遭受損失的將不是一個(gè)人的機(jī)器，而會(huì)影響到連接整個(gè)網(wǎng)絡(luò)的中樞。（13）在網(wǎng)絡(luò)服務(wù)器安裝生成時(shí)，應(yīng)將整個(gè)文件系統(tǒng)劃分成多文件卷系統(tǒng)，而不是只劃分成不區(qū)分系統(tǒng)、應(yīng)用程序和用戶(hù)獨(dú)占的單卷文件系統(tǒng)。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（11）對(duì)于多人共用一臺(tái)計(jì)算機(jī)206.5病毒的預(yù)防、檢查和清除（14）安裝服務(wù)器時(shí)應(yīng)保證沒(méi)有病毒存在，即安裝環(huán)境不能帶病毒，而網(wǎng)絡(luò)操作系統(tǒng)本身不感染病毒。（15）網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)將SYS系統(tǒng)卷設(shè)置成對(duì)其它用戶(hù)為只讀狀態(tài)，屏蔽其它網(wǎng)絡(luò)用戶(hù)對(duì)系統(tǒng)卷除讀取以外的其它所有操作，如修改、改名、刪除、創(chuàng)建文件和寫(xiě)文件等操作權(quán)限。（16）在應(yīng)用程序卷安裝共享軟件時(shí)，應(yīng)由系統(tǒng)管理員進(jìn)行，或由系統(tǒng)管理員臨時(shí)授權(quán)進(jìn)行。（17）系統(tǒng)管理員對(duì)網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲(chǔ)區(qū)域和用戶(hù)卷進(jìn)行病毒掃描，發(fā)現(xiàn)異常情況應(yīng)及時(shí)處理，不使其擴(kuò)散。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（14）安裝服務(wù)器時(shí)應(yīng)保證沒(méi)有216.5病毒的預(yù)防、檢查和清除（18）系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，為了防止泄漏，要定期或不定期地進(jìn)行更換，保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法存取、感染上病毒或遭受破壞。（19）在網(wǎng)絡(luò)工作站上采取必要的抗病毒技術(shù)措施，可使網(wǎng)絡(luò)用戶(hù)一開(kāi)機(jī)就有一個(gè)良好的上機(jī)環(huán)境，不必再擔(dān)心來(lái)自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身病毒。（20）在服務(wù)器上安裝LanProtect等防病毒系統(tǒng)。實(shí)踐表明，這些簡(jiǎn)單易行的措施是非常有效的。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（18）系統(tǒng)管理員的口令應(yīng)嚴(yán)格226.5病毒的預(yù)防、檢查和清除 作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾條。（1）隔離斷網(wǎng)操作，清查病毒。（2）對(duì)于傳播速度快的惡性病毒要請(qǐng)求專(zhuān)業(yè)人員處理。（3）注意觀察下列現(xiàn)象：●文件的大小和日期是否變化；●系統(tǒng)啟動(dòng)速度是否比平時(shí)慢；●不做寫(xiě)操作時(shí)出現(xiàn)“磁盤(pán)有寫(xiě)保護(hù)”信息；●對(duì)貼有寫(xiě)保護(hù)的軟盤(pán)操作時(shí)聲音很大；●系統(tǒng)運(yùn)行速度異常慢；●用MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留；●鍵盤(pán)、打印或顯示有異?，F(xiàn)象；●有特殊文件自動(dòng)生成；●磁盤(pán)空間自動(dòng)產(chǎn)生壞簇或磁盤(pán)空間減少；●文件莫名其妙地丟失；●系統(tǒng)異常死機(jī)的次數(shù)增加。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理236.5病毒的預(yù)防、檢查和清除

6.5.2病毒的檢查 計(jì)算機(jī)病毒要進(jìn)行傳染，必然會(huì)留下痕跡。因此對(duì)計(jì)算機(jī)病毒的檢測(cè)分為對(duì)內(nèi)存的檢測(cè)和對(duì)磁盤(pán)的檢測(cè)。 1．病毒的檢查方法 檢測(cè)的原理主要是基于下列四種方法比較法搜索法特征字識(shí)別法分析法2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 6.5.2病毒的檢查202246.5病毒的預(yù)防、檢查和清除（1）比較法 比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。（2）搜索法 搜索法是用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。（3）計(jì)算機(jī)病毒特征字的識(shí)別法 計(jì)算機(jī)病毒特征字的識(shí)別法是基于特征串掃描法發(fā)展起來(lái)的一種新方法。（4）分析法 本方法由專(zhuān)業(yè)反病毒技術(shù)人員使用。 分析法的目的在于： ①確認(rèn)是否含有病毒 ②確認(rèn)病毒的類(lèi)型和種類(lèi) ③搞清結(jié)構(gòu)，提取樣本數(shù)據(jù) ④分析病毒代碼2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（1）比較法2022/12/2256.5病毒的預(yù)防、檢查和清除 2．病毒掃描程序 這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱(chēng)為病毒特征。 3．完整性檢查程序 檢查文件與系統(tǒng)文件 4．行為封鎖軟件 該軟件的目的是防止病毒的破壞。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 2．病毒掃描程序2022/1266.5病毒的預(yù)防、檢查和清除6.5.3計(jì)算機(jī)病毒的免疫 通過(guò)一定的方法，使計(jì)算機(jī)自身具有防御計(jì)算機(jī)病毒感染的能力。 1．建立程序的特征值檔案 2．嚴(yán)格內(nèi)存管理 3．中斷向量管理2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.3計(jì)算機(jī)病毒的免疫2276.5病毒的預(yù)防、檢查和清除6.5.4計(jì)算機(jī)感染病毒后的恢復(fù) 1．防止和修復(fù)引導(dǎo)記錄病毒 改變計(jì)算機(jī)的磁盤(pán)引導(dǎo)順序，避免從軟盤(pán)引導(dǎo)。必須從軟盤(pán)引導(dǎo)時(shí)，應(yīng)該確認(rèn)該軟盤(pán)無(wú)毒。 （1）修復(fù)感染的軟盤(pán) （2）修復(fù)感染的主引導(dǎo)記錄 （3）利用反病毒軟件修復(fù) 2．防止和修復(fù)可執(zhí)行文件病毒2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.4計(jì)算機(jī)感染病毒后的286.5病毒的預(yù)防、檢查和清除6.5.5計(jì)算機(jī)病毒的清除 1．使用DOS命令處理病毒 2．引導(dǎo)型病毒的處理 與引導(dǎo)型病毒有關(guān)的扇區(qū)大概有下面三個(gè)部分。（1）硬盤(pán)的物理第一扇區(qū)，即0柱面、0磁頭、1扇區(qū)是開(kāi)機(jī)之后存放的數(shù)據(jù)和程序是被最先訪(fǎng)問(wèn)和執(zhí)行的。這個(gè)扇區(qū)成為“硬盤(pán)主引導(dǎo)扇區(qū)”。在該扇區(qū)的前半部分，稱(chēng)為“主引導(dǎo)記錄”（MasterBootRecord），簡(jiǎn)稱(chēng)MBR。（2）第二部分不是程序，而是非執(zhí)行的數(shù)據(jù)，記錄硬盤(pán)分區(qū)的信息，即人們常說(shuō)的“硬盤(pán)分區(qū)表”（PartitionTable），從偏移量1BEH開(kāi)始，到1FDH結(jié)束。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.5計(jì)算機(jī)病毒的清除2296.5病毒的預(yù)防、檢查和清除（3）硬盤(pán)活動(dòng)分區(qū)，大多是第一個(gè)分區(qū)的第一個(gè)扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū)，這個(gè)扇區(qū)稱(chēng)為“活動(dòng)分區(qū)的引導(dǎo)記錄”，它是開(kāi)機(jī)后繼MBR后運(yùn)行的第二段代碼的運(yùn)行所在。其它分區(qū)也具有一個(gè)引導(dǎo)記錄（BOOT），但是其中的代碼不會(huì)被執(zhí)行。 運(yùn)行下面的程序來(lái)完成： “Fdisk／MBR”用于重寫(xiě)一個(gè)無(wú)毒的MBR。 “Fdisk”用于讀取或重寫(xiě)硬盤(pán)分區(qū)表。 “FormatC：/S”或“SYSC：”會(huì)重寫(xiě)一個(gè)無(wú)毒的“活動(dòng)分區(qū)的引導(dǎo)記錄”。對(duì)于可以更改活動(dòng)分區(qū)的情況，需要另外特殊對(duì)待。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（3）硬盤(pán)活動(dòng)分區(qū)，大多是第一306.5病毒的預(yù)防、檢查和清除 3．宏病毒清除方法 對(duì)于宏病毒最簡(jiǎn)單的清除步驟為：（1）關(guān)閉Word中的所有文檔。（2）選擇“工具/模板/管理器/宏”選項(xiàng)。（3）刪除左右兩個(gè)列表框中所有的宏（除了自己定義的）（一般病毒宏為AutoOpen、AutoNew或AutoClose）。（4）關(guān)閉對(duì)話(huà)框。（5）選擇“工具/宏”選項(xiàng)。若有AutoOpen、AutoNew或AutoClose等宏，刪除之。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 3．宏病毒清除方法2022/316.5病毒的預(yù)防、檢查和清除 4．殺毒程序 殺毒程序是許多反病毒程序中的一員，但它在處理病毒時(shí)，必須知道某種特別的病毒的信息，然后才能按需要對(duì)磁盤(pán)進(jìn)行殺毒。 對(duì)于文件型病毒，殺毒程序需要知道病毒的操作過(guò)程，如它將病毒代碼依附在文件頭部還是尾部。一旦病毒被從文件中清除，文件便恢復(fù)到原先的狀態(tài)，原先保存病毒的扇區(qū)被覆蓋，從而消除了病毒被重新使用的可能性。

對(duì)于引導(dǎo)扇區(qū)病毒，在使用殺毒程序時(shí)需格外的小心謹(jǐn)慎，因?yàn)樵谥匦陆⒁龑?dǎo)扇區(qū)和MBR（主引導(dǎo)記錄）時(shí)，如果出現(xiàn)錯(cuò)誤，其后果是災(zāi)難性的，不但會(huì)導(dǎo)致磁盤(pán)分區(qū)的丟失，甚至丟失硬盤(pán)上的所有文件，使系統(tǒng)再也無(wú)法引導(dǎo)了。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 4．殺毒程序2022/12/32進(jìn)程的相關(guān)知識(shí)進(jìn)程是什么進(jìn)程為應(yīng)用程序的運(yùn)行實(shí)例，是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行。假單理解：它是操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序。進(jìn)程的分類(lèi)：系統(tǒng)進(jìn)程應(yīng)用進(jìn)程存在安全風(fēng)險(xiǎn)進(jìn)程其他進(jìn)程2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)進(jìn)程的相關(guān)知識(shí)進(jìn)程是什么2022/12/23計(jì)算機(jī)網(wǎng)絡(luò)安全33如何結(jié)束進(jìn)程

強(qiáng)制結(jié)束進(jìn)程命令ntsd-cq-pPID

XP下的tasklist.exe和taskkill.exe

1.打開(kāi)“終端服務(wù)管理器（任務(wù)管理器）”。

2.在“進(jìn)程”選項(xiàng)卡上的“用戶(hù)”列下，右鍵單擊要結(jié)束的進(jìn)程，然后單擊“結(jié)束進(jìn)程”。注意

1.必須具有完全控制權(quán)限才能結(jié)束進(jìn)程。

2.要打開(kāi)“終端服務(wù)管理器”，請(qǐng)依次單擊“開(kāi)始”和“控制面板”，雙擊“管理工具”，然后雙擊“終端服務(wù)管理器”。

3.請(qǐng)注意：在沒(méi)有警告的情況下結(jié)束進(jìn)程會(huì)導(dǎo)致用戶(hù)會(huì)話(huà)中的數(shù)據(jù)丟失。

4.可能需要結(jié)束進(jìn)程，因?yàn)閼?yīng)用程序沒(méi)有響應(yīng)。

5.也可以使用tskill命令結(jié)束進(jìn)程。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)如何結(jié)束進(jìn)程

強(qiáng)制結(jié)束進(jìn)程命令ntsd-cq-pP34習(xí)題與思考題

1．什么是計(jì)算機(jī)病毒？2．計(jì)算病毒的基本特征是什么？3．簡(jiǎn)述計(jì)算機(jī)病毒攻擊的對(duì)象及所造成的危害。4．病毒按寄生方式分為哪幾類(lèi)？5．計(jì)算機(jī)病毒一般由哪幾部分構(gòu)成，各部分的作用是什么？計(jì)算機(jī)病毒的預(yù)防有哪幾方面？6．簡(jiǎn)述檢測(cè)計(jì)算機(jī)病毒的常用方法。7．簡(jiǎn)述宏病毒的特征及其清除方法。8．什么是計(jì)算機(jī)病毒免疫？9．簡(jiǎn)述計(jì)算機(jī)病毒的防治措施。10．什么是網(wǎng)絡(luò)病毒，防治網(wǎng)絡(luò)病毒的要點(diǎn)是什么？2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)習(xí)題與思考題1．什么是計(jì)算機(jī)病毒？2022/12/23計(jì)算35演講完畢，謝謝觀看！演講完畢，謝謝觀看！36計(jì)算機(jī)病毒的防治

本章主要內(nèi)容： 1．計(jì)算機(jī)病毒 2．計(jì)算機(jī)病毒的傳播 3．計(jì)算機(jī)病毒的特點(diǎn)及破壞行為 4．宏病毒及網(wǎng)絡(luò)病毒 5．病毒的預(yù)防、檢查和清除 6．病毒防御解決方案2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)計(jì)算機(jī)病毒的防治 本章主要內(nèi)容：2022/12/23計(jì)算機(jī)網(wǎng)37什么是計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。 通常，計(jì)算機(jī)病毒可分為下列幾類(lèi)。 （1）文件病毒。 （2）引導(dǎo)扇區(qū)病毒。 （3）多裂變病毒。（4）秘密病毒。（5）異形病毒。（6）宏病毒。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)什么是計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅38計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的由來(lái)

計(jì)算機(jī)病毒是由計(jì)算機(jī)黑客們編寫(xiě)的，這些人想證明它們能編寫(xiě)出不但可以干擾和摧毀計(jì)算機(jī)，而且能將破壞傳播到其它系統(tǒng)的程序。

2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的由來(lái)2022/12/23計(jì)算396.2計(jì)算機(jī)病毒的傳播6.2.2計(jì)算機(jī)病毒的傳播 計(jì)算機(jī)病毒通過(guò)某個(gè)入侵點(diǎn)進(jìn)入系統(tǒng)來(lái)感染該系統(tǒng)。最明顯的也是最常見(jiàn)的入侵點(diǎn)是從工作站傳到工作站的軟盤(pán)。 病毒一旦進(jìn)入系統(tǒng)以后，通常用以下兩種方式傳播： （1）通過(guò)磁盤(pán)的關(guān)鍵區(qū)域； （2）在可執(zhí)行的文件中。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播6.2.2計(jì)算機(jī)病毒的傳播2022406.2計(jì)算機(jī)病毒的傳播6.2.3計(jì)算機(jī)病毒的工作方式 一般來(lái)說(shuō)，病毒的工作方式與病毒所能表現(xiàn)出來(lái)的特性或功能是緊密相關(guān)的。 1．感染 任何計(jì)算機(jī)病毒的一個(gè)重要特性或功能是對(duì)計(jì)算機(jī)系統(tǒng)的感染。 （1）引導(dǎo)扇區(qū)病毒

2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播6.2.3計(jì)算機(jī)病毒的工作方式20416.2計(jì)算機(jī)病毒的傳播

（2）文件型病毒 文件型病毒與引導(dǎo)扇區(qū)病毒最大的不同之處是，它攻擊磁盤(pán)上的文件。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 2022/12/23計(jì)算機(jī)網(wǎng)絡(luò)安426.2計(jì)算機(jī)病毒的傳播 覆蓋型文件病毒的一個(gè)特點(diǎn)是不改變文件的長(zhǎng)度，使原始文件看起來(lái)非常正常。 前依附型文件病毒將自己加在可執(zhí)行文件的開(kāi)始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。 伴隨型文件病毒為.exe文件建立一個(gè)相應(yīng)的含有病毒代碼的.com文件。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 覆蓋型文件病毒的一個(gè)特點(diǎn)是不改變436.2計(jì)算機(jī)病毒的傳播 2．變異 變異又稱(chēng)變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測(cè)，以達(dá)到逃避檢測(cè)的一種“功能”。 3．觸發(fā) 不少計(jì)算機(jī)病毒為了能在合適的時(shí)候從事它的見(jiàn)不得人的勾當(dāng)，往往需要預(yù)先設(shè)置一些觸發(fā)的條件，并使之先置于未觸發(fā)狀態(tài)。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 2．變異2022/12/23計(jì)算機(jī)446.2計(jì)算機(jī)病毒的傳播 4．破壞 修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺(jué)和聽(tīng)覺(jué)效果。 5．高級(jí)功能病毒 計(jì)算機(jī)病毒逃避檢測(cè)，躲開(kāi)病毒掃描和反病毒軟件。 多態(tài)病毒特點(diǎn)能變異，新病毒都與上一代有差別，每個(gè)新病毒都各不相同。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.2計(jì)算機(jī)病毒的傳播 4．破壞2022/12/23計(jì)算機(jī)456.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為

6.3.1計(jì)算機(jī)病毒的特點(diǎn) 病毒有以下幾個(gè)主要特點(diǎn)。 1．刻意編寫(xiě)人為破壞 2．自我復(fù)制能力 3．奪取系統(tǒng)控制權(quán) 4．隱蔽性 5．潛伏性 6．不可預(yù)見(jiàn)性2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為6.3.1計(jì)算機(jī)病毒的466.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為6.3.2計(jì)算機(jī)病毒的破壞行為（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。硬盤(pán)主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。（2）攻擊文件。刪除、改名、替換內(nèi)容、丟失簇或?qū)ξ募用?。?）攻擊內(nèi)存。大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。（4）干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降。（5）干擾鍵盤(pán)、喇叭或屏幕。（6）攻擊CMOS。系統(tǒng)時(shí)鐘、磁盤(pán)類(lèi)型和內(nèi)存容量等，亂寫(xiě)某些主板BIOS芯片，損壞硬盤(pán)。（7）干擾打印機(jī)。如假報(bào)警、間斷性打印或更換字符。（8）網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為6.3.2計(jì)算機(jī)病毒的破476.4宏病毒及網(wǎng)絡(luò)病毒6.4.1宏病毒 所謂宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來(lái)的一種工具。 1．宏病毒的行為和特征 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫(xiě)成的具有復(fù)制、傳染能力的宏。（1）宏病毒行為機(jī)制 Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開(kāi)存儲(chǔ)的方法。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒6.4.1宏病毒2022/12/48（2）宏病毒特征 ①宏病毒會(huì)感染.doc文檔和.dot模板文件。 ②宏病毒的傳染通常是Word在打開(kāi)一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。 ③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動(dòng)宏。 ④宏病毒中總是含有對(duì)文檔讀寫(xiě)操作的宏命令。 ⑤宏病毒在.doc文檔、.dot模板中以.BFF（BinaryFileFormat）格式存放。6.4宏病毒及網(wǎng)絡(luò)病毒2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)（2）宏病毒特征6.4宏病毒及網(wǎng)絡(luò)病毒2022/12/23496.4宏病毒及網(wǎng)絡(luò)病毒2．宏病毒的防治和清除方法（1）使用選項(xiàng)“提示保存Normal模板”（2）不要通過(guò)Shift鍵來(lái)禁止運(yùn)行自動(dòng)宏（3）查看宏代碼并刪除（4）使用DisableAutoMacros宏（5）使用Word97的報(bào)警設(shè)置（6）設(shè)置Normal.dot的只讀屬性（7）Normal.dot的密碼保護(hù)2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒2．宏病毒的防治和清除方法2022/506.4宏病毒及網(wǎng)絡(luò)病毒6.4.2網(wǎng)絡(luò)病毒 1．網(wǎng)絡(luò)病毒的特點(diǎn) 計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。。病毒的會(huì)在這種環(huán)境下迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。它對(duì)于系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。 病毒入侵網(wǎng)絡(luò)的主要途徑是通過(guò)工作站傳播到服務(wù)器硬盤(pán)，再由服務(wù)器的共享目錄傳播到其它工作站。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒6.4.2網(wǎng)絡(luò)病毒2022/12/516.4宏病毒及網(wǎng)絡(luò)病毒 2．病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶(hù)直接從文件服務(wù)器復(fù)制已感染的文件。 因特網(wǎng)是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)是從一塊感染的軟盤(pán)上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒 2．病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)202526.4宏病毒及網(wǎng)絡(luò)病毒 3．專(zhuān)攻網(wǎng)絡(luò)的GPI病毒 4．電子郵件病毒 對(duì)電子郵件系統(tǒng)進(jìn)行病毒防護(hù)可從以下幾個(gè)方面著手。（1）使用優(yōu)秀的防毒軟件對(duì)電子郵件進(jìn)行專(zhuān)門(mén)的保護(hù)（2）使用防毒軟件同時(shí)保護(hù)客戶(hù)機(jī)和服務(wù)器（3）使用特定的SMTP殺毒軟件2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.4宏病毒及網(wǎng)絡(luò)病毒 3．專(zhuān)攻網(wǎng)絡(luò)的GPI病毒2022/536.5病毒的預(yù)防、檢查和清除

6.5.1病毒的預(yù)防 通過(guò)采取技術(shù)上和管理上的措施，計(jì)算機(jī)病毒是完全可以防范的。（1）對(duì)新購(gòu)置的計(jì)算機(jī)系統(tǒng)用檢測(cè)病毒軟件檢查已知病毒，用人工檢測(cè)方法檢查未知病毒。（2）新購(gòu)置的硬盤(pán)或出廠時(shí)已格式化好的軟盤(pán)可能有病毒。對(duì)硬盤(pán)可以進(jìn)行檢測(cè)或進(jìn)行低級(jí)格式化，因?yàn)閷?duì)硬盤(pán)只做DOS的Format格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表扇區(qū)）病毒的。（3）新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè)。（4）在保證硬盤(pán)無(wú)病毒的情況下，能用硬盤(pán)引導(dǎo)啟動(dòng)的，盡量不要用軟盤(pán)去啟動(dòng)。（5）很多PC機(jī)可以通過(guò)設(shè)置CMOS參數(shù)，使啟動(dòng)時(shí)直接從硬盤(pán)引導(dǎo)啟動(dòng)。

2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 6.5.1病毒的預(yù)防20546.5病毒的預(yù)防、檢查和清除（6）定期與不定期地進(jìn)行磁盤(pán)文件備份工作。（7）對(duì)于軟盤(pán)，要盡可能將數(shù)據(jù)和程序分別存放，裝程序的軟盤(pán)要進(jìn)行寫(xiě)保護(hù)。（8）在別人的機(jī)器上使用過(guò)自己的已打開(kāi)了寫(xiě)保護(hù)的軟盤(pán)，再在自己的機(jī)器上使用，就應(yīng)進(jìn)行病毒檢測(cè)。（9）應(yīng)保留一張寫(xiě)保護(hù)的、無(wú)病毒的并帶有各種命令文件的系統(tǒng)啟動(dòng)軟盤(pán)，用于清除病毒和維護(hù)系統(tǒng)。（10）用Bootsafe等實(shí)用程序或用Debug編程提取分區(qū)表等方法做好分區(qū)表、DOS引導(dǎo)扇區(qū)等的備份工作，在進(jìn)行系統(tǒng)維護(hù)和修復(fù)工作時(shí)可作為參考。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（6）定期與不定期地進(jìn)行磁盤(pán)文556.5病毒的預(yù)防、檢查和清除（11）對(duì)于多人共用一臺(tái)計(jì)算機(jī)的環(huán)境，應(yīng)建立登記上機(jī)制度，做到使問(wèn)題能盡早發(fā)現(xiàn)，有病毒能及時(shí)追查、清除，不致擴(kuò)散。（12）啟動(dòng)Novell網(wǎng)或其它網(wǎng)絡(luò)的服務(wù)器時(shí)，一定要堅(jiān)持用硬盤(pán)引導(dǎo)啟動(dòng)，否則在受到引導(dǎo)扇區(qū)型病毒感染和破壞后，遭受損失的將不是一個(gè)人的機(jī)器，而會(huì)影響到連接整個(gè)網(wǎng)絡(luò)的中樞。（13）在網(wǎng)絡(luò)服務(wù)器安裝生成時(shí)，應(yīng)將整個(gè)文件系統(tǒng)劃分成多文件卷系統(tǒng)，而不是只劃分成不區(qū)分系統(tǒng)、應(yīng)用程序和用戶(hù)獨(dú)占的單卷文件系統(tǒng)。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（11）對(duì)于多人共用一臺(tái)計(jì)算機(jī)566.5病毒的預(yù)防、檢查和清除（14）安裝服務(wù)器時(shí)應(yīng)保證沒(méi)有病毒存在，即安裝環(huán)境不能帶病毒，而網(wǎng)絡(luò)操作系統(tǒng)本身不感染病毒。（15）網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)將SYS系統(tǒng)卷設(shè)置成對(duì)其它用戶(hù)為只讀狀態(tài)，屏蔽其它網(wǎng)絡(luò)用戶(hù)對(duì)系統(tǒng)卷除讀取以外的其它所有操作，如修改、改名、刪除、創(chuàng)建文件和寫(xiě)文件等操作權(quán)限。（16）在應(yīng)用程序卷安裝共享軟件時(shí)，應(yīng)由系統(tǒng)管理員進(jìn)行，或由系統(tǒng)管理員臨時(shí)授權(quán)進(jìn)行。（17）系統(tǒng)管理員對(duì)網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲(chǔ)區(qū)域和用戶(hù)卷進(jìn)行病毒掃描，發(fā)現(xiàn)異常情況應(yīng)及時(shí)處理，不使其擴(kuò)散。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（14）安裝服務(wù)器時(shí)應(yīng)保證沒(méi)有576.5病毒的預(yù)防、檢查和清除（18）系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，為了防止泄漏，要定期或不定期地進(jìn)行更換，保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法存取、感染上病毒或遭受破壞。（19）在網(wǎng)絡(luò)工作站上采取必要的抗病毒技術(shù)措施，可使網(wǎng)絡(luò)用戶(hù)一開(kāi)機(jī)就有一個(gè)良好的上機(jī)環(huán)境，不必再擔(dān)心來(lái)自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身病毒。（20）在服務(wù)器上安裝LanProtect等防病毒系統(tǒng)。實(shí)踐表明，這些簡(jiǎn)單易行的措施是非常有效的。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（18）系統(tǒng)管理員的口令應(yīng)嚴(yán)格586.5病毒的預(yù)防、檢查和清除 作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾條。（1）隔離斷網(wǎng)操作，清查病毒。（2）對(duì)于傳播速度快的惡性病毒要請(qǐng)求專(zhuān)業(yè)人員處理。（3）注意觀察下列現(xiàn)象：●文件的大小和日期是否變化；●系統(tǒng)啟動(dòng)速度是否比平時(shí)慢；●不做寫(xiě)操作時(shí)出現(xiàn)“磁盤(pán)有寫(xiě)保護(hù)”信息；●對(duì)貼有寫(xiě)保護(hù)的軟盤(pán)操作時(shí)聲音很大；●系統(tǒng)運(yùn)行速度異常慢；●用MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留；●鍵盤(pán)、打印或顯示有異?，F(xiàn)象；●有特殊文件自動(dòng)生成；●磁盤(pán)空間自動(dòng)產(chǎn)生壞簇或磁盤(pán)空間減少；●文件莫名其妙地丟失；●系統(tǒng)異常死機(jī)的次數(shù)增加。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理596.5病毒的預(yù)防、檢查和清除

6.5.2病毒的檢查 計(jì)算機(jī)病毒要進(jìn)行傳染，必然會(huì)留下痕跡。因此對(duì)計(jì)算機(jī)病毒的檢測(cè)分為對(duì)內(nèi)存的檢測(cè)和對(duì)磁盤(pán)的檢測(cè)。 1．病毒的檢查方法 檢測(cè)的原理主要是基于下列四種方法比較法搜索法特征字識(shí)別法分析法2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 6.5.2病毒的檢查202606.5病毒的預(yù)防、檢查和清除（1）比較法 比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。（2）搜索法 搜索法是用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。（3）計(jì)算機(jī)病毒特征字的識(shí)別法 計(jì)算機(jī)病毒特征字的識(shí)別法是基于特征串掃描法發(fā)展起來(lái)的一種新方法。（4）分析法 本方法由專(zhuān)業(yè)反病毒技術(shù)人員使用。 分析法的目的在于： ①確認(rèn)是否含有病毒 ②確認(rèn)病毒的類(lèi)型和種類(lèi) ③搞清結(jié)構(gòu)，提取樣本數(shù)據(jù) ④分析病毒代碼2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除（1）比較法2022/12/2616.5病毒的預(yù)防、檢查和清除 2．病毒掃描程序 這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱(chēng)為病毒特征。 3．完整性檢查程序 檢查文件與系統(tǒng)文件 4．行為封鎖軟件 該軟件的目的是防止病毒的破壞。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除 2．病毒掃描程序2022/1626.5病毒的預(yù)防、檢查和清除6.5.3計(jì)算機(jī)病毒的免疫 通過(guò)一定的方法，使計(jì)算機(jī)自身具有防御計(jì)算機(jī)病毒感染的能力。 1．建立程序的特征值檔案 2．嚴(yán)格內(nèi)存管理 3．中斷向量管理2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.3計(jì)算機(jī)病毒的免疫2636.5病毒的預(yù)防、檢查和清除6.5.4計(jì)算機(jī)感染病毒后的恢復(fù) 1．防止和修復(fù)引導(dǎo)記錄病毒 改變計(jì)算機(jī)的磁盤(pán)引導(dǎo)順序，避免從軟盤(pán)引導(dǎo)。必須從軟盤(pán)引導(dǎo)時(shí)，應(yīng)該確認(rèn)該軟盤(pán)無(wú)毒。 （1）修復(fù)感染的軟盤(pán) （2）修復(fù)感染的主引導(dǎo)記錄 （3）利用反病毒軟件修復(fù) 2．防止和修復(fù)可執(zhí)行文件病毒2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.4計(jì)算機(jī)感染病毒后的646.5病毒的預(yù)防、檢查和清除6.5.5計(jì)算機(jī)病毒的清除 1．使用DOS命令處理病毒 2．引導(dǎo)型病毒的處理 與引導(dǎo)型病毒有關(guān)的扇區(qū)大概有下面三個(gè)部分。（1）硬盤(pán)的物理第一扇區(qū)，即0柱面、0磁頭、1扇區(qū)是開(kāi)機(jī)之后存放的數(shù)據(jù)和程序是被最先訪(fǎng)問(wèn)和執(zhí)行的。這個(gè)扇區(qū)成為“硬盤(pán)主引導(dǎo)扇區(qū)”。在該扇區(qū)的前半部分，稱(chēng)為“主引導(dǎo)記錄”（MasterBootRecord），簡(jiǎn)稱(chēng)MBR。（2）第二部分不是程序，而是非執(zhí)行的數(shù)據(jù)，記錄硬盤(pán)分區(qū)的信息，即人們常說(shuō)的“硬盤(pán)分區(qū)表”（PartitionTable），從偏移量1BEH開(kāi)始，到1FDH結(jié)束。2023/1/2計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.5病毒的預(yù)防、檢查和清除6.5.5計(jì)算機(jī)病毒的清除2656.5病毒的預(yù)防、檢查和清除（3）硬盤(pán)活動(dòng)分區(qū)，大多是第一個(gè)分區(qū)的第一個(gè)扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū)，這個(gè)扇區(qū)稱(chēng)為“活動(dòng)分區(qū)的引導(dǎo)記錄”，它是開(kāi)機(jī)后繼MBR后運(yùn)行的第二段代碼的運(yùn)行所在。其它