毕业设计（论文）-局域网的应用安全及病毒防治.doc

毕 业 论 文 2012 届（专）科题 目：局域网的应用安全及病毒防治 系 部： 专 业： 计算机网络 班 级： 学 号： 姓 名 指导教师： 完成日期： 2015 年6月8日 19摘要计算机网络创造了21世纪的辉煌，使得人与人之间，知识和信息共享最大化。随着信息化的不断扩展， 各类网络版应用软件推广应用， 计算机网络在提高数据传输效率， 实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。可见保证网络系安全的重要性。网络中的数据可以因漏洞泄露或修改，甚至受到非法入侵，造成财产、精神等各种损失。为了确保各项工作的安全高效运行， 保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提， 因此计算机网络和系统安全建设就显得尤为重要。文章探讨了局域网的安全存在问题，并给出局域网的安全控制与病毒防治的一些策略。关键词局域网、信息安全、网络安全、病毒防治目录概述1一、局域网对比广域网安全现状1二、威胁局域网安全的因素21、威胁局域网安全的主要因素22、威胁网络安全的其他因素33、人为疏忽安全意识不强4三、局域网安全控制策略51、身份验证52、防火墙技术73、安全管理84、加强人员的网络安全培训9四、病毒防治101、电脑中毒的现像102、判断电脑是否中毒113、主要的防范措施124、如何杀毒135、备份资料16五、结束语19参考文献19概述随着计算机信息飞速的发展，各种网络版应用软件推广应用，人们的工作、学习和生活方式正在发生变化，效率在提高，信息资源得到最大程度的共享。计算机已普遍应用到日常工作、生活的每一个领域，比如政府机关、学校、医院、社区及家庭等。 但随之而来的是，计算机局域网络安全也受到全所未有的威胁，网络安全问题越来越引起人们的关注。 计算机病毒无处不在，黑客的猖獗，都防不胜防。计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。 为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。一、局域网对比广域网安全现状局域网（LAN ）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少。广域网络已有了相对完善的安全防御体系， 防火墙、漏洞扫描、防病毒等网关级别、网络边界方面的防御， 重要的安全设施大致集中于机房或网络入口处。在这些设备的严密监控下，就像有了边防和城墙虽说不上铜墙铁壁，但来自网络外部的安全威胁相对减少很多。反之安全威胁较大的是来自网络内部的计算机客户端的安全威胁。目前，局域网络安全隐患是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。未经授权的网络设备或用户无法从外部进入，可能转而通过内部局域网的网络设备进入网络。由于局域网缺乏必要的安全管理措施，故容易形成安全隐患。给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。网络的自由开放不仅决定于网上资源很难得到有效保护，造成转载、剽窃、抄袭现象以及网络信息的大量雷同，同时也增加了网络系统的管理难度，因此成为不法分子传播不良信息的工具和场所。二、威胁局域网安全的因素网络是信息社会的基础设施，只有安全的网络环境，才能够体现它的经济和社会价值。然而计算机网络一直面临着来自多方面的安全威胁，这些威胁有来自外部系统的恶意攻击、系统本身的安全缺陷或安全漏洞威胁，有系统内部各种应用软件的安全漏洞威胁，人为或偶然事故构成的威胁等。这些威胁，表现形式是多种多样的，主要有以下几个方面： 1、威胁局域网安全的主要因素（1）黑客的攻击获取口令：这种方式有三种方法：一是缺省的登录界面攻击法。二是通过网络监听，非法得到用户口令，这类方法有一定的局限性，但危害性极大。三是知道用户的帐号后利用一些专门软件强行破解用户口令，这种方法不受网断限制，但黑客要有足够的耐心和时间。特洛伊木马攻击：“特洛伊木马”技术是黑客常用的攻击手段，它通过在你的电脑系统中隐藏一个会在Windows启动时运行的程序，采用服务器的运行方式，从而达到在上网时控制你电脑的目的，很多用户稍不注意就可能在不知不觉中遗失重要信息。诱入法：黑客编写一些看起来“合法”的程序，上传到一些FTP站点或是提供给某些个人主页，诱导用户下载。该软件会跟踪用户的电脑操作，它静静地记录着用户输入的每一个口令，然后把它们发给黑客指定的Iintemet信箱。寻找系统漏洞：许多系统都有这样那样的安全漏洞，其中某些是操作系统或应用软件本身具有的，这些漏洞在补丁未被开发出来这前一般很难防御黑客的破坏。还有就是，有些程序员设计一些功能土复杂的程序时，一般用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。设计完成后由于疏忽或其它原因后门没去掉，让别有用心的人利用发动攻击。（2）计算机病毒 计算机病毒是一个程序，一段可执行代码。就像生物病毒一样有独特的复制能力。计算机病毒可以很快的蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。计算机病毒的传播是不断快速发展、变化的，其传播范围更加广泛，病毒越来越复杂，给单机及网络用户带来严重破坏，这也是网络病毒防御所面临的现状。病毒发展特征表现有：向混合型病毒方向发展：病组体可能是一组或多个文件组成的，病毒感染系统后，在系统内有多咱变形，增加了病毒清理的难度。攻击反病毒软件的病毒有增无减：攻击反病毒软件的病毒也越来越多，Win32.Yaha.C是一个典型的攻击反病毒软件的病毒，KLEZ.H、中国黑客等病毒开始监控自己的进程，一发现自己的进程被杀，就立即杀掉对方或重新启动进程。电子邮件病毒感染不段攀升：现在的带毒邮件有很吸引人的主题，或都带有色情的图片，如求职信、送密码、MYLIFE等病毒，很容易使人上当，用户一但点击即受到感染。拒绝服务攻击：拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。只要能够对目标造成麻烦，使某些服务被停止甚至死机，都属于拒绝报务攻击。2、威胁网络安全的其他因素此外，威胁网络安全的因素还包括以下几个方面：（1）操作系统的脆弱性操作系统支持的程序动态连接与数据动态交换是现代系统集成和系统扩展的必备功能，而动态连接、I/O程序与系统服务、打补丁升级可被黑客利用，滋生病毒。操作系统可以创建进程，即使在网络的节点上同样也可以进行远程进程的创建与激活，且该进程有继续创建进程的权力，加上操作系统支持在网络上传输文件，在网络上能加载程序，二者结合起来就可以在远端服务器上安装“间谍”软件，常以打补丁的方式“打”人合法用户以躲避监测。守护进程具有操作系统核心层软件同等权力，会被黑客利用。网络操作系统提供的远程过程调用服务以及它所安排的无口令人口也是黑客的通道。（2）计算机系统的脆弱性主要来自操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。（3）、协议安全的脆弱性TCP/IP协议以及FTPE-MAIL、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。（4）、数据库管理系统的脆弱性由于数据管理系统（DBMS）对数据库的管理是建立在分级管理的概念上的，因此DBMS的安全也可想而知。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足。3、人为疏忽安全意识不强用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网增加了数据泄密的可能性。另外在In ternet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。三、局域网安全控制策略1、身份验证身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网信息安全的第一道屏障。身份认证可分为用户与系统间的认证和系统与系统之间的认证。身份认证必须做到准确无误地将对方辨认出来，同时还应该提供双向的认证。目前使用比较多的是用户与系统间的身份认证，它只需单向进行，只由系统对用户进行身份验证。一般而言，用于用户身份认证的技术分为两类：简单认证机制和强认证机制。简单的认证中认证方只对被认证方的名字和口令进行一致性的验证。由于明文的密码在网上传输极容易被窃听，一般解决办法是使用一次性口令（OTP，One-Time Password）机制。这种机制的最大优势是无需在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击。强认证机制一般将运用多种加密手段来保护认证过程中相互交换的信。下面简单介绍一些常用的认证机制。（1）基于口令的身份认证机制基于口令的身份认证技术因其简单易用，得到了广泛的使用。最常采用的身份认证方式是基于静态口令的认证方式，它是最简单、目前应用最普遍的一种身份认证方式。但它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充；同时易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。相对静态口令，动态口令也叫一次性口令，它的基本原理是在用户登录过程中，基于用户口令加入不确定因子，对用户口令和不确定因子进行单向散列函数变换，所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后，把用户的认证数据和自己用同样的散列算法计算出的数值进行比对，从而实现对用户身份的认证。在认证过程中，用户口令不在网络上传输，不直接用于验证用户的身份。动态口令机制每次都采用不同的不确定因子来生成认证数据，从而每次提交的认证数据都不相同，提高了认证过程的安全性。（2）挑战/响应认证机制挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码，客户端程序收到这个“挑战”码，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的“挑战”码做出相应的“应答”。服务器根据应答的结果确定是否接受客户端的身份声明。从本质上讲，这种机制实际上也是一次性口令的一种。（3）EAP认证机制EAP（Extensible Authentication Protocol）扩展认证协议在RFC2248中定义，是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。EAP实际是一个认证框架，不是一个特殊的认证机制。EAP提供一些公共的功能，并且允许协商所希望的认证机制。这些机制被称为EAP方法。由于EAP方法除了IETF定义了一部分外，厂商也可以自定义方法，因此EAP具有很强的扩展性。IETF的RFC中定义的方法包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA等。无线网络中常用的方法包括EAP-TLS、 EAP-SIM、 EAP-AKA、 PEAP、LEAP和EAP-TTLS。目前EAP在802.1X的网络中使用广泛，可扩展的EAP方法可以为接入网络提供一个安全认证机制（4）公钥认证机制公钥认证机制中每个用户被分配给一对密钥，称之为公钥和私钥，其中私钥由用户保管，而公钥则向所有人公开。用户如果能够向验证方证实自己持有私钥，就证明了自己的身份。当它用作身份认证时，验证方需要用户方对某种信息进行数字签名，即用户方以用户私钥作为加密密钥，对某种信息进行加密，传给验证方，而验证方根据用户方预先提供的公钥作为解密密钥，就可以将用户方的数字签名进行解密，以确认该信息是否是该用户所发，进而认证该用户的身份。公钥认证机制中要验证用户的身份，必须拥有用户的公钥，而用户公钥是否正确，是否是所声称拥有人的真实公钥，在认证体系中是一个关键问题。常用的办法是找一个值得信赖而且独立的第三方认证机构充当认证中心（Certificate Authority，CA），来确认声称拥有公开密钥的人的真正身份。要建立安全的公钥认证系统，必须先建立一个稳固、健全的CA体系，尤其是公认的权威机构，即“Root CA”，这也是当前公钥基础设施（PKI）建设的一个重点。2、防火墙技术防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet 之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：(1). 深度数据包处理深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。(2).访问网络进程跟踪访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。(3).应用层闸通道型应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作，而不会被client端或server端欺骗，在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式，但也是效能最低的一种方式。（4）、属性安全控制它能控制以下几个方面的权限： 防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。文件属性是最基层次的文件保护。（5）、杀毒软件监测启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。像symantec杀毒软件的企业版就会通过控制中心向网络内的电脑自动下推杀毒软件客户端，并且形成报表，如果哪台电脑没有安装或是没有及时升级都可以在报表中反应出来。（6）、网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。入侵检测的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。像近年最容易出现的破坏便是ARP攻击，感染到ARP病毒的电脑会将自己伪装成为网关，欺骗网内的电脑通过被感染的电脑上网，如果再附加上包分析的软件，就可以窃取公司的信息。当感染的电脑多的时候，整个网络都会陷入瘫痪，而且极难彻底清除。必须将IP地址绑定到网卡MAC上才能解决这个问题。3、安全管理面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。网络信息系统的安全管理主要基于3个原则。 (1)多人负责原则：每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动。访问控制使用证件的发放与回收。信息处理系统使用的媒介发放与回收。处理保密信息。硬件和软件的维护。系统软件的设计、实现和修改。重要程序和数据的删除及销毁等。(2)任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3)职责分离原则：在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。 计算机操作与计算机编程。 机密资料的接收和传送。 安全管理和系统管理。 应用程序和系统程序的编制。 访问证件的管理与其他工作。 计算机操作与信息处理系统使用媒介的保管等。4、加强人员的网络安全培训 安全汇集了硬件、软件、网络、人员以及他们之间(1).加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。(2).加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP 地址的配置、数据的共享等网络基本知识，良好的计算机使用习惯。四、病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。 1、电脑中毒的现像 了解了电脑病毒的基本知识，还必须了解电脑中毒后的一些表现，然后这样会有助于判断电脑是否中毒。在电脑出现以下中毒表现时，是在机器的硬件无故障，软件运行正常的情况下发生的。 （1）电脑无法启动 电脑感染了引导型病毒后，通常会无法启动，因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。 （2）电脑经常死机 病毒程序打开了较多的程序，或者是病毒自我复制，都会占用大量的CPU资源和内存资源，从而造成机器经常死机。对于网络病毒，由于病毒为了传播，通过邮件服务和QQ等聊天软件传播，也会造成系统因为资源耗尽而死机。 （3）文件无法打开 系统中可以执行的文件，突然无法打开。由于病毒修改了感染了文件，可能会使文件损坏，或者是病毒破坏了可执行文件中操作系统中的关联，都会使文件出现打不开的现象。 （4）系统经常提示内存不足 现在机器的内存通常是2G的标准配置，可是在打开很少程序的情况下，系统经常提示内存不足。部分病毒的开发者，通常是为了让病毒占用大量的系统资源，达到让机器死机的目的。 （5）机器空间不足 自我复制型的病毒，通常会在病毒激活后，进行自我复制，占用硬盘的大量空间。 （6）数据突然丢失 硬盘突然有大量数据丢失，这有可能是病毒具有删除文件的破坏性，导致硬盘的数据突然消失。 （7）电脑运行速度特别慢 在运行某个程序时，系统响应的时候特别长，响应的时间，超出了正常响应时间的5倍以上。 （8）键盘、鼠标被锁死 键盘、鼠标在进行BIOS设置时正常，进入系统后无法使用。部分病毒，可以锁定键盘、鼠标在系统中的使用。 （9）系统每天增加大量来历不明的文件 病毒进行变种，或者入侵系统时遗留下的垃圾文件。 （10）系统自动加载某些程序 系统启动时，病毒可能会修改注册表的键值，自动在后台运行某个程序。部分病毒，如QQ病毒，还会自动发送消息。2、判断电脑是否中毒 （1）使用杀毒软件进行磁盘扫描 判断病毒的第一步，就是通过杀毒软件进行扫描，查看机器中是否存在病毒。在扫描前，最好升级一下杀毒软件的病毒库。 （2）查看硬盘容量 ：对于自我复制型病毒，查看硬盘容量，可以判断出是否感染了病毒。特别是系统盘的容量大小，大家在平时，一定要了解自己的系统盘容量是多少。 （3）检查系统使用的内存数量 ：正常使用的操作系统，占用的系统资源是一定的。如果系统感染了病毒，病毒肯定会占用内存资源。对于WindowsXP操作系统，进入操作系统后，在DOS提示符下，运行mem /c/p查看内存的使用情况，特别是640Kb的基本内存使用情况！在windows xp或者是Windows 7系统下，在“运行”中输入cmd后，执行mem即可。 （4）使用任务管理器查看进程数量 ：在Windows xp和Windows 7操作系统中，可以利用任务管理器，查看一下是否有非法的进程在运行。对于一些隐蔽性的病毒，在任务管理器中不显示进程。 （5）查看注册表 ：部分病毒的运行，需要通过注册表加载的，如恶意网页病毒都会通过注册表加载，这些病毒，在注册表中的加载位置如下：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunSevices HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion RunOnce 查看注册表中以上几个键值的情况，看一下有没有异常的程序加载。要想提高判断的准确性，可以把正常运行的机器的这几个键值记录下来，方便比较。 （6）查看系统配置文件 ：这类病毒一般在隐藏在System.ini、Wini.ini（Win9x/WinME）和启动组中。在System.ini文件中有一个“Shell=”项，而在Wini.ini文件中有“Load=”、“Run=”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行msconfig.exe程序来一项一项查看。由于Windows 2000操作系统中没有Msconifg这个程序，可以由Windows XP操作系统中复制！ （7）观察机器的启动和运行速度：对于一些隐蔽性高的病毒，我们通过以上方法无法判断时，可以根据机器的启动和运行速度进行判断，在保证硬件系统无故障和软件系统运行正常的情况下，可以基本断定已经感染病毒。 （8）特征字符串观察法 ：这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe桌面主程序)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，以仿修改错了。3、主要的防范措施 防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。为了将病毒拒之门外，就要做好以下预防措施： (1)树立病毒防范意识，从思想上重视计算机病毒，要从思想上重视计算机病毒可能会给计算机安全运行带来的危害。对于计算机病毒，有病毒防护意识的人和没有病毒防护意识的人对待病毒的态度完全不同。例如对于反病毒研究人员，机器内存储的上千种病毒不会随意进行破坏，所采取的防护措施也并不复杂。而对于病毒毫无警惕意识的人员，可能连计算机显示屏上出现的病毒信息都不去仔细观察一下，任其在磁盘中进行破坏。其实，只要稍有警惕，病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。 (2)安装正版的杀毒软件和防火墙，并及时升级到最新版本(如瑞星、金山毒霸、江民、卡巴斯基、360杀毒等)。另外还要及时升级杀毒软件病毒库，这样才能防范新病毒，为系统提供真正安全环境。 (3)及时对系统和应用程序进行升级，及时更新操作系统，安装相应补丁程从根源上杜绝黑客利用系统漏洞攻击用户的计算机。可以利用系统自带的自动更新功能或者开启有些软件的“系统漏洞检查”功能(如“360安全卫士”)，全面扫描操作系统漏洞，要尽量使用正版软件，并及时将计算机中所安装的各种应用软件升级到最新版本，其中包括各种即时通讯工具、下载工具、播放器软件、搜索工具等，避免病毒利用应用软件的漏洞进行木马病毒传播。 (4)把好入口关，很多病毒都是因为使用了含有病毒的盗版光盘，拷贝了隐藏病毒的U盘资料等而感染的，所以必须把好计算机的“入口”关，在使用这些光盘、U盘以及从网络上下载的程序之前必须使用杀毒工具进行扫描，查看是否带有病毒，确认无病毒后，再使用。 (5)不要随便登录不明网站、黑客网站或色情网站。不要随便点击打开QQ、MSN等聊天工具上发来的链接信息。不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等，这样可以避免网络上的恶意软件插件进入你的计算机。 (6)养成经常备份重要数据的习惯 要定期与不定期地对磁盘文件进行备份，特别是一些比较重要的数据资料，以便在感染病毒导致系统崩溃时可以最大限度地恢复数据，尽量减少可能造成的损失。 (7)养成使用计算机的良好习惯。在日常使用计算机的过程中，应该养成定期查毒、杀毒的习惯。因为很多病毒在感染后会在后台运行，用肉眼是无法看到的，而有的病毒会存在潜伏期，在特定的时间会自动发作，所以要定期对自己的计算机进行检查，一旦发现感染了病毒，要及时清除。 (8)要学习和掌握一些必备的相关知识。无论您是只使用家用计算机的发烧友，还是每天上班都要面对屏幕工作的计算机一族，都将无一例外地、毫无疑问地会受到病毒的攻击和感染，只是或早或晚而已。因此，一定要学习和掌握一些必备的相关知识，这样才能及时发现新病毒并采取相应措施，在关键时刻减少病毒对自己计算机造成的危害。 4、如何杀毒手动杀毒 （1）让文件不再隐藏 打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL删除CheckedValue键值，单击右键 新建Dword值命名为CheckedValue，然后修改它的键值为1，此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体，在盘符下输入命令attrib，此时便可查看是否有一个名为SH autorun.inf的文件，完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏，用户只要打开相应的盘符即可看到此文件，将其删除即可。 (attrib 命令是用来设置文件属性 ，attrib +s或-s 文件名 设置文件属性是否为系统文件 ，attrib +h或-h 文件名 设置文件属性是否隐藏)。 （2）删除病毒 在分区盘上单击鼠标右键打开，看到每个盘跟目录下有autorun.inf 和tel.xls.exe 两个文件，将其删除，U盘同样。并在依次打开开始菜单中的：运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目，或者运行regedit调出注册表，在其内找到HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun 删除类似C: WINDOWSsystem32SVOHOST.exe 键值项即可。 （3）清除病毒遗留 打开C盘，在WINDOWS 与WINDOWSsystem32 目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(每个文件夹都有两个，因为病毒原因导致系统产生两个一样的文件，其中有一个类似文件），重新启动电脑后系统将一切正常。带毒文件存在于特定的目录或文件中的清除方法 这里所说的是由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。 （1）带毒文件在Temporary Internet Files目录下 由于这个目录下的文件，Windows会对此有一定的保护作用（未经进一 步确认）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对 于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中 的工具Internet选项，选择删除文件删除即可，如果有提示删除 所有脱机内容，也请选上一并删除。 （2）带毒文件在_Restore目录下，*.cpy文件中 这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系 统上才会有这个目录，由于系统对这个目录有保护作用。 对于这种情况需要先取消系统还原功能，然后将带毒文件删除，甚 至将整个目录删除也是可以的。 （3）带毒文件在.rar、.zip、.cab等压缩文件中 现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使 有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来 说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些 加密了的压缩文件就更不可能直接清除了。要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软 件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。 （4）病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中 这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字 样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上， 就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬 盘上，则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要 备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。 （5）带毒文件的后缀名是.vir、.kav、.kbk等 这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般 情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。 （6）带毒文件在一些邮件文件中，如dbx、eml、box等 有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往 不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件， 可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者 删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件 打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws 的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。 （7）文件中有病毒的残留代码 这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、W32.F。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。 （8）文件错误 这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。（9）加密的文件或目录 对于一些加密了的文件或目录，请在解密后再进行病毒查杀。 （10）共享目录 这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包 括映射盘）。遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。 （11）光盘等一些存储介质 对于光盘上带有的病毒，不要试图直接清除，这是神仙也做不到的事情。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态5、备份资料如果系统的硬件或存储媒体发生故障，“备份”工具可以保护数据免受意外。的损失对于重要的个人资料做好严密的保护，并养成资料备份的习惯。（1）数据备份 即针对数据进行的备份，直接复制所要存储的数据，或者将数据转换为镜像保存在计算机中。诸如Ghost等备份软件，光盘刻录和移动盘存储均属此类。 其采用的模式相对容易理解，分为逐档与镜像两种。一是直接对文件进行复制，另一是把文件压成镜像存放。 优点是方便易用，也是广大用户最为常用的。缺点是安全性较低，容易出错，其针对数据进行备份，如果文件本身出现错误就将无法恢复，那备份的作用就无从谈起。因此这种数据备份适用于常规数据备份或重要数据的初级备份。磁轨备份（物理备份） 这种备份技术的原理是直接对磁盘的磁轨进行扫描，并记录下磁轨的变化，所以这种数据备份技术也被称为物理级的数据备份。 优点是非常精确，因为是直接记录磁轨