计算机安全-24 手工杀毒.ppt

1 计算机安全技术 计算机病毒的检测与清除 2 提纲 计算机病毒行为特征计算机病毒手工清除实验 3 计算机病毒的手工清除 了解计算机病毒的行为特点 判断计算机是否感染病毒 了解一般手工清除病毒的方法 步骤了解安全工具的使用方法 4 计算机病毒的行为特点 病毒要长期存活下去 必将以文件的形式保存在磁盘上病毒要激活 必须能够实现自动运行木马 蠕虫还要对外进行网络通信 5 病毒文件操作 很多攻击在执行之后都会产生一些文件 这些文件中既有二进制文件又有文本文件 二进制文件中主要有可执行文件和DLL文件两类 可执行文件中有些是攻击自身的副本 DLL文件包含着攻击的主要功能 文本文件的内容主要包含着攻击的一些配置信息 日志信息和攻击的攻击目标信息 因此有必要对文件的增减进行监测 系统中的一些关键文件夹中的文件 文件夹的增减进行监测 这些文件夹是攻击经常光顾的地方 windir windir system windir system32 windir system32 drivers windir system32 config windir Tasks windir Temp DocumentsandSettings 开始 菜单 程序 启动 DocumentsandSettings AllUsers 开始 菜单 程序 启动 DocumentsandSettings LocalSettings Temp 6 病毒文件操作 很多攻击经常修改系统的一些重要文件以达到其攻击目的 比如用带有后门的系统命令文件替换掉系统中原有的系统命令文件 修改系统的一些重要配置文件 因此有必要对文件进行完整性检查 AUTOEXEC BATCONFIG SYS ProgramFiles InternetExplorerAutorun inf 7 自启动技术 自启动技术的任务是保证恶意代码在受害主机下一次开机启动的后能够正常工作 自启动的方法有很多 归纳起来主要有六种 通过服务启动 通过添加注册表启动项启动 通过文件关联启动 通过修改系统配置文件启动 作为其他程序插件启动 通过文件绑定方式启动 8 自启动技术 1 通过服务启动通过将恶意代码注册成服务的方法 每次系统启动的时候都可以启动恶意代码 9 通过添加注册表启动项启动 注册表的启动项包括 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServices HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesOnce HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnce HKEY CURRENT USER Software Microsoft Windows CurrentVersion Run HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunOnce HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunServices 10 通过文件关联启动 Windows系统会为每一种类型的文件指定一个关联文件 当用户打开这种类型的文件时 系统会自动启动其关联文件 利用这种机制可以实现恶意代码的自启动 HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion ImageFileExecutionOptions下新建一个注册表项 项名为A exe 然后在下面新建一个字符串 字符串名为Debugger 字符串值就是程序A exe的全路径 那么在调用图片文件的时候就会A exe 11 通过修改系统文件配置启动 除了注册表外 利用系统配置文件Win ini也可以启动恶意代码 实现方式是在win ini的windows选项下添加内容 windows load file exerun file exe这样在系统启动的时候就会运行file exe这个程序 12 作为其他程序插件加载启动 很多应用程序都允许执行插件 其中ICQ就可以 如果在注册表中设置 HKEY CURRENT USER Software Mirabilis ICQ Agent Apps test Path test exe Startup c test Parameters Enable Yes HKEY CURRENT USER Software Mirabilis ICQ Agent Apps 当ICQ发现网络连接时 将执行test exe 13 通过文件绑定启动 文件绑定就是把两个可执行程序合并成一个可执行程序 在新程序执行时 原来的两个程序都被执行 如果恶意代码利用这种方式 把自己和cmd exe绑定在一起取代原来的cmd exe文件那么 每次用户运行cmd exe的时候都会启动恶意代码 14 网络通信 木马 蠕虫与外界联系还需要进行网络通信 及时查看网络通信 也可以发现端倪 15 计算机安全技术 计算机安全知识 16 提纲 如何显示电脑的所有文件如何关闭系统还原 删除系统还原文件中的病毒 如何删除系统临时文件如何删除杀毒软件无法删除的文件如何查看系统服务及运行注册表 任务管理器如何关闭启动项怎样分辩自己电脑是否中毒参考 17 使用注册表编辑器进行简单的删除 编辑操作 开始 菜单 运行 输入 regedit 打开 注册表编辑器 18 正确显示电脑中的所有文件 19 正确显示电脑中的所有文件 1 请打开注册表 定位到 KEY LOCAL MACHINE Software Microsoft Windows CurrentVersion explorer Advanced Folder Hidden SHOWALL分支双击右边的窗口中Type键值项 把值改为 radio关闭注册表编辑器 重新启动计算机 2 如果按照上面进行设置后 文件仍然未显示出来请打开注册表 定位到 KEY LOCAL MACHINE Software Microsoft Windows CurrentVersion explorer Advanced Folder Hidden SHOWALL分支 如果右边的窗口中有名为CheckedValue键值项 但类型不是dword型时 把它删除后新建一个dword型的CheckedValue键 如果dword型的CheckedValue键值为0时 请双击它 把它的键值修改为 1 关闭注册表编辑器 重新启动计算机 20 21 关闭系统还原方法 由于系统还原文件夹受系统保护所以全盘杀毒前最好关闭系统还原 系统还原文件夹是在各盘C D E SystemVolumeInformation下 如果各位发现这个文件夹有病毒就要关闭系统还原在安全模式下杀毒右键点击我的电脑 属性 系统还原 在所有驱动器上关闭系统还原 22 安全模式 在电脑启动时不停的按键盘最上面一排的F8键 可不要F和8一起按 选安全模式回车确认即可 23 安全模式 方法2 1 在Windows环境下 点击 开始 菜单 然后点击 运行 2 输入msconfig 然后点击 确定 按钮 3 点击 Boot ini 标签 4 选择 SAFEBOOT 5 重新启动计算机 24 如何删除杀毒软件无法删除的文件 由许多木马都插入到系统关键进程中 杀毒软件没有权限直接删除木马或病毒 会提示重启后删除 但如果插入的进程在启动时优先于杀毒软件先启动 杀毒软件会再次查到病毒提示重启后删除 所以就需要手动来删除由于文件正在常使用所以直接删除无法删除只能借助于一些强制删除工具 360粉碎工具 金山清理专家等 25 使用组策略禁用自动播放 开始 菜单 运行 输入 gpedit msc 点击 确定 或回车 打开 组策略 26 结束进程 启动任务管理器 切换到 进程 选项卡 选择一个需要结束的进程 点击 结束进程 按钮 27 DOS命令行下删病毒 执行命令如下 attribX s h r 去除病毒文件隐藏属性 dir 查看病毒文件名 delautorun inf 删除病毒相关文件 del exe 删除病毒相关文件 28 手工查杀病毒的步骤1 安全模式下 关闭系统还原msconfig看启动项和服务项 非必要性的启动和服务都禁用 我的电脑右键 管理 设备管理器 查看 显示非即插即用设备 删除非必须的驱动 不重启 29 手工查杀病毒的步骤2 删注册表HKEY LOCAL MACHINE SOFTWARE Microsoft SharedTools MSConfig HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunHKEY CURRENT USER Software Microsoft Windows CurrentVersion Run删除里面相关项 当然如果知道是什么病毒文件的话 直接搜索注册表 然后全都删除 30 手工查杀病毒的步骤3 删除临时文件 C tempC windows prefetchC documentandsetting 各个用户 localsetting TemporaryInternetFilesC documentandsetting 各个用户 TemplatesC ProgramFiles InternetExplorer PLUGINS 这个位置也会有病毒 删最新文件和更改可疑文件扩展名 遇到不能删除的文件 就说明有问题了C C WINDOWSC WINDOWS SYSTEM32C WINDOWS SYSTEM32 DRIVERS 这个不要随便删 一般是卸载完驱动后再删 31 手工查杀病毒的步骤4 右键IE属性 程序 管理插件 禁用非官方或者不认识的插件遇到删不掉的文件 可以用ICESWORD先设置 禁止进线程创建 然后强制删除而后在同样位置创建同名文件并设置属性attrib路径 文件名 s h r a遇到系统文件被损坏的 可以从别的机器拷贝替代遇到顽固的病毒 可以通过组策略限制 32 手工查杀病毒的步骤5 计算机配置 windows设置 安全设置 软件限定策