计算机病毒防范技术.ppt

2019/5/1,主讲 杨照峰,E-mail：,计算机网络与信息安全技术,2019/5/1,第8讲 计算机病毒防范技术,2019/5/1,学习目标及重点,本节学习目标 计算机病毒概念、组成及其分类； 计算机病毒工作原理； 计算机病毒的破坏性传播方式及其症状； 计算机病毒的基本检测方法； 计算机病毒的防治。 学习重点 掌握计算机病毒基本防治技术,2019/5/1,计算机病毒的产生与发展,病毒发展史： 1977年科幻小说The Adolescence of P-1(P-1的春天)描写计算机病毒，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序 ； 1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地； 1988 年 3 月 2 日，一种苹果机病毒发作，感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。 1988年11月2日康乃尔 (Cornell) 大学的罗伯特莫里斯 (Robert T.Morris)编写的Worm病毒袭击美国6000台计算机，直接损失近9600万美元； 1988 年底，在我国的国家统计部门发现小球病毒。病毒开始传入我国；,2019/5/1,计算机病毒的演变,1990年，开发出了第一个多态病毒。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于“识别”病毒的基于签名的防病毒软件程序很难检测出这种病毒。 自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。 电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。 在已感染系统上创建的后门（由恶意软件引入的秘密或隐藏的网络入口点）使得病毒编写者（或黑客）可以返回和运行他们所选择的任何软件。 病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程，来开发具有可信外观的电子邮件。 恶意软件演变的同时，防病毒软件也处在不断的发展之中。,2007年，以熊猫烧香为代表的病毒/木马，进入了产业化运作、传播模式，形成了互联网的黑色产业，标志着计算机病毒发展进入了利益驱动期。,2019/5/1,计算机病毒的概念,定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外） 定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内） 病毒是一段具有自我复制能力的代理程序，它将自己的代码写入宿主程序的代码中，以感染宿主程序，每当运行受感染的宿主程序时病毒就自我复制，然后其副本感染其它程序，如此周而复始。它一般隐藏在其它宿主程序中，具有潜伏能力、自我繁殖能力、被激活产生破坏能力。,我国在中华人民共和国计算机信息系统安全保护条例中明确定义，计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,2019/5/1,计算机病毒的概念,病毒产生的原因： 计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧；出于报复心理。 2）恶意目的（一般以金钱、政治、军事目的为主）。 3）实验室研究。 病毒的特征： 针对性；传染性； 寄生性；衍生性； 隐蔽性；潜伏性； 可触发性；夺取控制权； 破坏性与危害性；,2019/5/1,计算机病毒的组成,计算机病毒技术正以惊人的速度在发展，不断有新的病毒出现。不同类型的计算机病毒采用的机制和表现手法不尽相同，但计算机病毒的机构基本相似，一般来说是由以下3个程序模块组成的。 （1）引导模块：在合适的条件下，引导模块作为整个病毒程序的组成部分，首先得到执行，它负责把病毒程序加载到内存合适的区域，并潜入到正在执行的操作系统或其它宿主程序中，至此病毒程序已经完成激活前的全部工作。 （2）传染模块：主要负责捕捉传染的条件和传染的对象，在保证被传染程序正常运行的情况下，完成计算机病毒的复制传播任务。 （3）破坏与表现模块：这里的破坏不单指毁坏系统的软/硬件和磁盘上的数据、文件，同时还指明显降低整个系统的运行效率。该部分程序负责捕捉进入破坏程序的条件，在条件满足时开始进行破坏系统或数据的工作，甚至可以毁掉包括病毒程序本身在内的系统资源。,2019/5/1,计算机病毒的分类,1.按感染对象分类：可分为三类，即引导型病毒、文件型病毒和混合型病毒。 引导型病毒的感染对象是计算机存储介质的引导区。病毒将自身的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在介质的其它存储空间。由于引导区是计算机系统正常启动的先决条件，所以此类病毒可在计算机运行前获得控制权，其传染性较强。如Bupt、Monkey、CMOS dethroner等。 文件型病毒感染对象是计算机系统中独立存在的文件。病毒在文件运行或被调用时驻留内存传染、破坏，如Honking、宏病毒、CIH等。 混合型病毒感染对象是引导区或文件，该病毒具有复杂的算法，采用非常规办法侵入系统，同时使用加密和变形算法，如One half、V3787等。,2019/5/1,计算机病毒的分类,2.按感染系统分类：根据针对的系统不同，分为三类，即DOS病毒、宏病毒和Windows病毒。 DOS病毒是侵入DOS系统环境，针对DOS内核而编制的病毒，如黑色星期五、米开朗基罗等。 宏病毒可跨越DOS，Windows 3.X/95/98/ME/NT/2000/2003/XP等多种系统环境，感染Office文件，如Taiwan NO.1，FormatC，Hot Macro等。 Windows病毒侵入Windows系统环境，感染PE格式文件，如CIH病毒等。,2019/5/1,计算机病毒的分类,3.按感染方式分类：根据病毒感染方式的不同，可以分为源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。 源码型病毒因非常难以编写，比较少见。它主要攻击由高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件，因此刚生成的可执行文件编译文件已经带毒了。 入侵型病毒是用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定的程序，针对性比较强，一般情况下难以被发现，清除起来也比较困难。 操作系统型病毒可以把自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，所以此类病毒危害较大。 外壳型病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了一个外壳。大部分的文件型病毒都属此类。,2019/5/1,计算机病毒的分类,4. 按照病毒恶意操作的类型分类，病毒可以分为： 分区表(Partitiong Sector)病毒 引导区(Boot Sector)病毒 文件感染(File Infecting)病毒 变形(Polymorphic)病毒 复合型(Multi-Partite)病毒 特洛伊木马(Trojan)病毒 蠕虫(Worm)病毒 宏(Macro)病毒.,2019/5/1,计算机病毒的工作原理,1.文件型病毒 文件型的病毒将自身附着到一个文件当中，通常是附着在可执行的应用程序上。通常文件型的病毒是不会感染数据文件的，然而数据文件可以包含有嵌入的可执行的代码，如宏，它可以被病毒使用或被特洛伊木马的作者使用。办公软件Microsoft Word尤其易受到宏病毒的威胁。文本文件，如批处理文件、post-script语言文件和那些可被其他程序编译或解释的含有命令的文件都是怀有恶意的软件潜在的攻击目标。,2019/5/1,计算机病毒的工作原理,2.引导扇区病毒 引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，然后再继续计算机的启动进程。大多数情况下，在这台染有引导型病毒的机器上对新的磁盘进行读/写操作，那么这块磁盘也会被感染。 3.混合型病毒 混合型病毒有上述两类病毒的某些特征。比如：当执行一个被感染的文件，它将感染硬盘的引导扇区或分区扇区，并且感染在机器上使用过的磁盘，或感染在带毒系统上进行格式化操作的磁盘。,2019/5/1,计算机病毒的工作原理,4.宏病毒 宏病毒主要感染一般的设置文件，如Word模板，导致以后所编辑的文档都会带有可感染的宏病毒。 5.欺骗病毒 这种病毒能够以某种长度存在，从而将自己从可能被注意的程序中隐蔽起来。 6.多形性病毒 多形性病毒又名“多态病毒”、“变型病毒”或“幽灵病毒”。是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时采用随机方法对病毒主体进行加密，因而完全多形性病毒的主要不同样本中甚至不存在连续两个相同的字节。这种病毒主要是针对查毒软件而设计的，使得查毒软件的编写更困难，并且还会带来许多误报甚至错报。,2019/5/1,计算机病毒的工作原理,7.伙伴病毒 又名“伴随型病毒”，这种病毒通过一个文件传播，首先该文件将代替用户本希望运行的文件被执行，之后再运行原始的文件。例如：MYAPP.EXE文件可能通过创建名为MYAPP.COM的文件被感染。因为根据DOS系统的工作方式，当用户在C提示符下输入MYAPP时， MYAPP.COM将代替MYAPP.EXE文件而运行。 MYAPP.COM首先运行它带有感染性的程序，然后在默默的执行MYAPP.EXE文件。,2019/5/1,计算机病毒的传播途径,1）通过不可移动的设备进行传播 较少见，但破坏力很强。 2）通过移动存储设备进行传播 最广泛的传播途径 3）通过网络进行传播 反病毒所面临的热点课题 4）通过点对点通讯系统和无线通道传播 预计不远的将来会成为两大传播渠道,目前计算机病毒的传播途径主要有：通过软盘、ROM、磁盘等介质传播；通过计算机网络通信引起的病毒传播；通过点对点的通讯系统和无线通道传播。 特别注意：即使在网络隔离的情况下也可能出现病毒。,2019/5/1,病毒的破坏行为,攻击系统数据区：主引导区、Boot区、FAT区、文件目录 攻击文件、内存、CMOS；干扰系统运行，使速度下降；干扰屏幕、键盘、喇叭、打印机； 破坏网络资源。,2019/5/1,计算机病毒的危害,1）降低计算机或网络系统正常的工作效率，计算机病毒一旦侵入了系统或网络，往往会掌握一部分系统操作的控制权，导致系统正常工作效率的严重降低。 2）破坏计算机系统与用户的数据，删除或修改计算机的系统文件和参数、用户的主要数据和文件，造成大量的数据丢失，致使计算机系统无法正常运行。 3）窃取重要信息，计算机病毒程序可以在网上传播的同时寻找它所感兴趣的信息，如用户的口令、重要的数据、敏感文件或硬盘的所有文件。,2019/5/1,计算机病毒的症状,系统启动或引导速度减慢，运行速度明显变慢； 计算机系统经常无故发生死机或异常重新启动； 文件大小、长度、日期、时间、属性等发生变化； 莫名其妙地丢失文件或文件损坏 ； 计算机磁盘空间存储的容量异常减少； 磁盘卷标发生变化； 系统不识别硬盘； 对存储系统异常访问； 有规律地出现异常信息； WINDOWS操作系统无故频繁出现错误； 键盘输入异常；,计算机屏幕上出现异常显示； 计算机系统的蜂鸣器出现异常声响，虚假报警； 自动生成一些特殊文件； 文件读取、复制或打开异常 命令执行出现错误； 换当前盘。有些病毒会将当前盘切换到C盘； 时钟倒转。有些病毒会命名系统时间倒转，逆向计时； 一些外部设备工作异常； 无缘无故地出现打印故障； 异常要求用户输入密码； WORD或EXCEL提示执行“宏”； 使不应驻留内存的程序驻留内存,2019/5/1,病毒的发展趋势,攻击对象趋于混合型； 反跟踪技术； 增强隐蔽性： 避开修改中断向量值； 请求在内存中的合法身份； 维持宿主程序外部特征； 不用明显感染标志 采用加密技术，使得对病毒的跟踪、判断更困难； 繁衍不同的变种。,2019/5/1,几种典型的病毒,1Elk Cloner（1982年） 它被看作攻击个人计算机的第一款全球病毒，也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上，可以被使用49次。在第50次使用的时候，它并不运行游戏，取而代之的是打开一个空白屏幕，并显示一首短诗。 2Brain（1986年） Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染360K软盘的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。 3Morris（1988年） Morris该病毒程序利用了系统存在的弱点进行入侵，Morris设计的最初的目的并不是搞破坏，而是用来测量网络的大小。但是，由于程序的循环没有处理好，计算机会不停地执行、复制Morris，最终导致死机。 4CIH（1998年） CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的，据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。,2019/5/1,几种典型的病毒,5Melissa（1999年） Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。 6Love bug（2000年） Love bug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。 7“红色代码”（2001年） 被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。 8“Nimda”（2001年） 尼姆达(Nimda)是历史上传播速度最快的病毒之一，在上线之后的22分钟之后就成为传播最广的病毒。,2019/5/1,几种典型的病毒,9“冲击波”（2003年） 冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。 10“震荡波”（2004年） 震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。 11“熊猫烧香”（2007年） 熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用。 12“扫荡波”(2008年) 同冲击波和震荡波一样，也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件，大批用户关闭自动更新以后，这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。,2019/5/1,几种典型的病毒,13“Conficker”（2008年） Conficker.C病毒原来要在2009年3月进行大量传播，然后在4月1日实施全球性攻击，引起全球性灾难。不过，这种病毒实际上没有造成什么破坏。 14“木马下载器”(2009年) 本年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首) 15.“鬼影病毒”（2010年） 该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。,2019/5/1,几种典型的病毒,16 .“极虎病毒”（2010年） 该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况：计算机进程中莫名其妙的有ping.exe 和rar.exe进程，并且cpu占用很高，风扇转的很响很频繁（手提电脑），并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件，杀毒软件和安全类软件会被自动关闭，如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件，系统文件，感染系统文件，让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改，无法使用杀毒软件进行清理，一旦清理，系统将无法打开和正常运行，同时基于计算机和网络的帐户信息可能会被盗，如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等.,2019/5/1,计算机病毒的检测和防范,只要感染病毒，就有可能遭到破坏。遭到破坏的类型有两种：一种是系统瘫掉了；另一种就是部分数据被窃取。病毒传播的途径随着网络的发展而发展，网络是病毒传播的重要途径。在网络环境下，如何防病毒？这个问题不是简单的跟互联网隔绝就能完全解决的。,反病毒技术,2019/5/1,检测计算机病毒的基本方法,1.外观检测法 外观检测法是病毒防治过程中起着重要辅助作用的一个环节。病毒入侵计算机系统后，会使计算机系统的某些部分发生变化，引起一些异常现象，如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等。可以根据这些异常现象来判断病毒的存在，尽早地发现病毒并作适当处理。,2019/5/1,检测计算机病毒的基本方法,2.特征代码法 将各种已知病毒的特征代码串组成病毒特征代码数据库。这样，可以通过各种工具软件检查、搜索可疑计算机系统（可能是文件、磁盘、内存等）时，用特征代码数据库中的病毒特征代码逐一比较，就可以确定被检测计算机系统感染了何种病毒。 很多著名病毒检测工具中广泛使用特征代码法。 一种病毒可能感染很多文件或计算机系统的很多个地方，而且在每个被感染的文件中，病毒程序所在的位置也不尽相同，但是计算机病毒程序一般都具有明显的特征代码，这些特征代码，可能是病毒的感染标记特征代码，不一定是连续的，也可以用一些“通配符”或“模糊”代码来表示任意代码。只要是同一种病毒，在任何一个被该病毒感染的文件或计算机系统中，总能找到这些特征代码。,2019/5/1,检测计算机病毒的基本方法,3.虚拟机技术 多态性病毒每次感染后都改变其病毒密码，这类病毒的代表是幽灵病毒。这一特征让传统的特征值查毒技术无能为力。这是因为特征值查毒技术是对于静态文件进行查杀的，而多态和变形病毒只有开始运行后才能显露原型。 多态性病毒一般采用以下几种操作来不断变换自己：采用等价代码对原有代码进行替换；改变与执行次序无关的指令的次序；增加许多垃圾指令；对原有病毒代码进行压缩或加密。但是，无论病毒如何变化，每一个多态病毒在其自身执行时都要对自身进行还原。 针对这一特性，利用虚拟机技术（软件模拟法，一种软件分析器），在机器的内存中用软件方法模拟和分析不明程序的运行，而程序的运行不会对系统各部分起实际的作用（仅是“模拟”），因而不会对系统造成危害。在执行的过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀。,2019/5/1,检测计算机病毒的基本方法,4.启发式扫描技术 病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序最初的指令是检查命令行输入有无参数项、清屏和保存原来屏幕显示等。而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著地不同之处，对于有病毒调试经验的专业人士来说，在调试状态下一目了然。 启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此，在这里，启发式指的是“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”。一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏地真正动机。,2019/5/1,反病毒软件工作原理,反病毒软件工作原理 1）病毒扫描程序 串扫描算法:与已知病毒特征匹配；文件头、尾部 入口扫描算法：模拟跟踪目标程序的执行 类属解密法：对付多态、加密病毒 2）内存扫描程序：搜索内存驻留文件和引导记录病毒 3）完整性检查器：能发现新的病毒；但对于已被感染 的系统使用此方法，可能会受到欺骗。 4）行为监测器：是内存驻留程序，监视病毒对可执行 文件的修改。防止未知的病毒,2019/5/1,病毒的防治,如怀疑计算机中毒，可采用以下步骤进行查找： 一、查进程 首先排查进程，注意开机后什么都不要启动 第一步：直接打开任务管理器，查看有没有可疑的进程，不认识的进程可以Google或者百度一下加以识别； 第二步：打开进程查看类安全软件（如冰刃等），先查看有没有隐藏进程，然后查看系统进程的路径是否正确； 第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。 二、查自启动项目 进程排查完毕，如果没有发现异常，则开始排查启动项。 第一步：用msconfig察看是否有可疑的服务，开始运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有Microsoft服务”复选框，然后逐一确认剩下的服务是否正常（可以凭经验识别，也可以利用搜索引擎查阅）。 第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查。 第三步，用Autoruns等，查看更详细的启动项信息（包括服务、驱动和自启动项、IEBHO等信息）。,2019/5/1,病毒的防治,三、查网络连接 这个时候可以连接到Internet，然后查看是否有可疑的连接，查看IP地址有否异常；如果发现异常，关掉系统中可能使用网络的程序（如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等），再次查看网络连接信息。记下异常点。 四、查安全模式 重启，直接进入安全模式，如果无法进入，并且出现蓝屏等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除。 五、查映像劫持 打开注册表编辑器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。 六、查CPU时间 如果开机以后，系统运行缓慢，还可以用CPU时间做参考，找到可疑进程，方法如下： 打开任务管理器，切换到进程选项卡，在菜单中点“查看”，“选择列”，勾选“CPU时间”，然后确定，单击CPU时间的标题，进行排序，寻找除了SystemIdleProcess和SYSTEM以外，CPU时间较大的进程，对这个进程需要引起一定的警惕。,2019/5/1,病毒的防治,通过以上步骤发现病毒后就可以手工或利用软件进行杀灭。 病毒处理可参考下述方法： 一般大范围传播的病毒都会让用户在重新启动电脑的时候能够自动运行病毒，来达到长时间感染计算机并扩大病毒的感染能力。 通常病毒感染计算机第一件事情就是杀掉他们的天敌安全软件， 比如卡巴斯基，360安全卫士等等。这样用户就不能通过使用杀毒软件的方法来处理已经感染病毒的电脑。 简单介绍手动杀毒方法： 要解决病毒首先要解决其在计算机重启以后自动启动问题。通常病毒会这样进行自动启动 ： 直接自启动：1）引导扇区 ；2）驱动； 3）服务；4）注册表 。 间接自启动：镜像劫持，autorun.inf文件，HOOK，感染文件。放置一个诱惑图标让用户点击等等,2019/5/1,病毒的防治,针对病毒的启动原理，可用如下方法清理： 首先删掉注册表文件中病毒的启动项。最最常见启动位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ，删除所有该子项内的字符串等，只留下cftmon.exe 。注意此步要动作足够快，立即按机箱上的重启键，不让病毒回写注册表（正常关机可能会激活病毒回写进启动项目，比如“磁碟机”）。 如果病毒仍然启动，就要怀疑有服务，或者驱动还在运作。这个时候就需要用户有一定计算机能力，能够用批处理或者其它的程序同时找到并关闭病毒的服务和删除注册表，然后快速关机。驱动一般在系统下很难删除，所以可以用Xdelete或者wsyscheck，或者进入DOS，WPE等其他系统进行删除。 以上是通过不让病毒在重启电脑以后启动的方法删除病毒，下面是直接删除病毒文件方法：,2019/5/1,病毒的防治,在病毒正在运行的系统里，直接删除病毒文件会很难。如果在网上找到该病毒机理，进入DOS，找到所有病毒文件路径，可以很轻松的删除病毒文件（除了感染型病毒）。最好用PE，用有一个可以启动电脑的装PE的U盘，或者光盘启动电脑，可以进入完全无毒的系统，然后使用绿色版的杀毒软件（绿色卡巴和nod32等，可以在PE运行）全盘查杀。杀毒完以后，先不要急着重新启动电脑，要看看到底查杀删除了什么，如果有被感染的系统文件删掉了，注意从相同系统拷贝一个，否则可能不能开机。接下来就可以重启，进系统用其他安全软件修复系统。 对于普通用户而言，电脑感染上棘手的病毒，最简单有效的方法就是重装系统。（前提是磁盘格式化，甚至重新分区，原因见“注意”）。如果C盘（系统盘）有重要资料先备份。不能开机，可以进入PE备份。 注意：有时系统重装还是有病毒，这种情况是由于其它分区盘仍然有病毒残留，比如有如果有autorun.inf 类型的病毒，双击打开D、E、F等磁盘的时候就会启动病毒，或者病毒感染了其它分区盘上的文件，重装系统以后，运行这个文件的时候，就又会启动病毒。正确的方法有两种：一种最彻底的，全盘磁盘格式化，甚至重新分区，然后再做系统；另外一种是在不打开除系统盘C以外的任何盘的前提下，彻底全盘杀毒后在做系统。,2019/5/1,病毒的防治防患于未然,1. 建立良好的安