计算机应用专业专科毕业论文.doc

【摘要】 随着计算机的快速普及和中国Internet的爆炸式发展，信息安全的内涵和范围也发生了很大的变化。它从针对性的防范变成一般性的防范，企业领域拓展到家庭领域。人们在享受计算机技术带来的各种便利的同时也在遭受计算机病毒带来的痛苦和烦恼。计算机病毒的特性不仅仅只是恶作剧，更使计算机用户蒙受巨大的损失。目前，计算机病毒可以渗透到信息社会的各个领域，从计算机延伸到手机等各种数码产品，无不受其害。因此，研究计算机病毒的防范技术是极其有必要的。【关键词】计算机病毒 病毒的特性 病毒防范技术目 录前 言3第一章 什么是计算机病毒5第一节 计算机病毒的定义5第二节 计算机病毒的发展阶段6一、根据病毒的技术性划分6二、根据病毒的特点划分9第三节 计算机病毒的特征和分类11一、 计算机病毒的特征11二、计算机病毒的类型13第二章 计算机病毒的检测方法和防范技术14第一节 计算机病毒入侵的途径14第二节 计算机病毒的检测方法14一、 外观检测法14二、 特征代码法15三、 系统数据对比法15四、 软件模拟法16五、 其他病毒检测的新技术16第三节 计算机病毒的防范技术16一、 计算机病毒的防范16二、 清理计算机病毒的基本技术21三、 计算机系统的修复22第三章 计算机病毒实例和解析23第一节 Win32.StartPage病毒分析与清除23一、病毒分析23二、清除操作24结 论25结束语26参考文献27“前言”，分页，居中，加黑宋体二号。前 言空一个中文字符行。空一行。随着计算机的快速普及和中国Internet的爆炸式发展，信息安全的内涵和范围也发生了很大的变化。它从针对性的防范变成一般性的防范，企业领域拓展到家庭领域。人们在享受计算机技术带来的各种便利的同时也在遭受计算机病毒带来的痛苦和烦恼。计算机病毒的特性不仅仅只是恶作剧，更使计算机用户蒙受巨大的损失。目前，计算机病毒可以渗透到信息社会的各个领域，从计算机延伸到手机等各种数码产品，无不受其害。因此，研究计算机病毒的防范技术是极其有必要的。要做反计算机病毒技术的研究，首先应搞清楚计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。因此，研究计算机病毒与防治就显得很有现实意义。本文将从计算机病毒的特点入手，初步探讨计算机的防范策略，分析了计算机病毒的表现形式，针对病毒对计算机及网络的破坏性，提出了防治的基本方法和处理措施。28第一章 什么是计算机病毒第一节 计算机病毒的定义生物界的“病毒”（virus）是一种没有细胞结构、只有由蛋自质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物。如HSN、0一157大肠杆曲、HIV（艾滋病毒）、口蹄疫病毒、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒、埃博拉病毒等。绝大多数病毒只有在电子显微镜下才能看得到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁俏后代因此给寄主生物造成极大的危害在人类或动物的传染性疾病中，有许多是由病毒感染引起的，如人类所患的病毒性肝炎、流行性感冒、艾滋病、脊仙灰质炎、SARS等疾病，动物中的猪瘟、鸡瘟、牛瘟等瘟疫。我们通常所说的“计算机病毒”(Computer Virus)，实际应该被称做“为达到特殊目的而制作和传播的计算机代码或程序”，或者被称为“恶意代码”。这些程序之所以被称做病毒，主要是由于它们与生物医学上的病毒有着很多的相同点例如，它们都其有寄生性、传染性和破坏性有些恶意代码会像生物病毒隐藏和寄生在其他生物细胞中那样寄生在计算机用户的正常文件中，而且会伺机发作，并大量地复制病毒体感染本机的其他文件和网络中的计算机。而且绝大多教的恶意代码郁会对人类社会生活造成不利的影响，造成的经济损失数以亿计。由此可见，“计算机病毒”这一名词是由生物医学上的病毒概念引申而来的。与生物病毒不同的是，计算机病毒并不是天然存在的，它们是别有用心的人利用计算机软、硬件所固有的安全上的缺陷有目的地编制而成的。干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可自我复制的计算机程序或指令集合都是计算机病毒。依据此定义，诸如逻辑炸弹蠕虫，木马程序等均可成为计算机病毒。国务院颁布的中华人民共和国计算机信息系统安全保护条例，以及公安部出台的计算机病毒防治管理办法将计算机病毒均定义如下：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这是目前官方最权威的关于计算机病毒的定义，此定义也被目前通行的计算机病毒防治产品评级准则的国家标准所采纳。第二节 计算机病毒的发展阶段一、根据病毒的技术性划分1、第一代病毒第一代病毒的产生可追溯到1986年一1989年之间，这一时期出现的病毒可以称之为传统病毒是计算机病毒的萌芽和滋生时期。由于当时计算机的应用软件较少，而且大多是单机运行环境因此病毒没有大量流行，且流行病毒的种类也很有限病毒的消除工作相对来说比较容易。这一阶段的计算机病毒具有如下一些特点： 病毒攻击的目林比较单一或者是传染磁盘引导扇区，或者是传染可执行文件。病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定条件下对目标进行传染。 病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加，文件建立日期与时间发生变化，等等这些特征很容易通过人工或查毒软件发现 病毒程序不具有自我保护措施，容易被分析和解剖从而使得人们容易编制相应的清毒软件。 然而，随若计算机反病毒技术的提高和反病毒产品的不断捅现病毒编制者也在不断地总结编程技巧和经验于方百计地逃避反病毒产品的分析、检侧和解毒从而出现了第二代计算机病毒。2、第二代病毒第二代病毒又称为混合型病毒，其产生的年限可以认为在1989年一l991年之间，这一时期是计算机病毒由简单到复杂、由单纯走向成热的阶段。在此期间计算机局域网开始应用与普及，许多单机应用软件开始转向网络环境，应用软件更加成熟由于网络系统尚未有安全防护愈识因此缺乏在网络环境下防御病毒的思想准备与方法对策，从而导致计算机病毒的第一次流行高峰。这一阶段的计算机病毒且有如下特点： 病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可传染可执行文件。 病毒程序不采用明显截获中断向量的方法监视系统的运行，而采取更为隐蔽的方法驻留在内存和传染目标中。 病毒传染目标后没有明显的特征，如进盘上不出现坏扇区，可执行文件长度的增加不明显，不改变被传染文件原来的键立日期和时间，等等。 病毒程序往往采取一些自我保护措施如加密技术、反跟踪技术，制造障碍。增加人们对其进行分析和解剖的难度，同时也增加了软件检测和解毒的难度。出现许多病毒的变种，这些变种病毒比原病母的传染性更隐蔽，破坏性更大。总之这一时期出现的病毒不仅在数量上急剧增加，更重要的是在病毒编制的方式方法、驻留内存以及对宿主程序的传染方式方法等方面部有了较大变化。一级标题“一、”，左对齐，加黑宋体三号。3、第三代病毒第三代病毒的产生年限可以认为是从1992年到1995年，此类病毒称为”变形”病毒或“幽灵”病毒。所谓“变形”是指此类病毒在每次传染目标时放入宿主程序中的病毒程序大部分都是可变的，即在搜集到同二种病毒的多个样本中病毒种序的代码绝大多数是不同的，这是此类病毒的重要特点。正足由于这二特点，传统的利用特征码检侧病毒产品的方法不能检测出此类病毒。据资料介绍，此类病毒的首创者是Mark Washbum，他井不是病毒的有意制造者，而是一位反病毒的技术专家他编写的1260病毒就是一种变形病毒。此病毒于l990年1月问世。有极强的传染力，被传染的文件被加密，每次传染时都更换加密密钥，而且病毒程序都进行了相当大的改动。他编写此类病毒是为了研究的目的，他将此类病毒散发给他的同事，其目的是为了向他们证明特征代码检侧法不是在任何场合下都是有效的。然而，遗撼的是，为研究病毒而发明的此种病毒超出了反病毒的技术范围，而变成了制造病毒的技术。1992年上半年在保加利亚发现了黑夜复仇者（DarkAvenger）病街的变种“MutationoDark Avenger。这是世界上最早发现的多态性的实战病毒，它可用独特的加密算法产生几乎无数的不同形态的同一病毒据悉该病毒作者还散布了一种名为“多态性发发生器”的软件工具，利用此工其对将普通病毒进行编译即可使之变为多态性病毒。我国在1994年底就发现了变形病毒“幽灵”病毒迫使许多反病毒技术部门开发了相应的检测和杀毒产品。由此可见，第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展，病毒开始向多维化方向发展，即传统病毒传染的过程与病毒自身运行的时间和空间无关，而新型计算机病毒的传染过程则与病毒自身运行的时间、空间和宿主程序紧密相关，这无疑将使计算机病毒的检侧和消除变得更加困难。4、第四代病毒20世纪90年代中后期，随着远程网及远程访问服务的开通病毒的流行面更加广泛，其范围迅速突破地域的限制，首先通过广城网传播至局城网内，再在局域网内传播扩散。1996年下半年随着我国Internet和Email使用的普及，夹杂于Email内的Word宏病毒己成为当前病毒的主流。由于宏病毒编写简单，破坏性强，清除困难。加上徽软对DOC文档结构没有公开，因而给直接基于文档结构清除宏病毒的方法带来了诸多不便。从某种意义上讲，微软Word Basic的公开性以及DOC文档结构的封闭性，使宏病毒对文档的破坏己经不仅仅属于普通病毒的范畴。如果放任宏病毒泛滥，不采取有力的彻底解决方法，将会对信息产业产生不测的后果。这一时期病毒的最大特点是利用Internet作为主要传播途径，因而病毒传播快，隐蔽性强，破坏性大。此外，随着Windows 95的应用，出现了Windows环境下的病毒。这些部给病毒防治和传统DOS版杀毒软件带来了新的挑战。诚然，计算机病毒的发展必然会促进计耸机反病毒技术的发展，也就是说新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战，致使原有的反病毒技术和产品在新型计算机病毒面前无能为力。从而势必使人们认识到现有反病毒产品在对抗新型计算机病毒方面的局限性迫使人们对反病毒技术和产品进行更新换代。到目前为止，反病毒技术己经成为计算机安全的一种新兴的计算机产业或称反病毒工业5、第五代病毒跨入21世纪后，随着计算机软硬件技术的发展和在学习、生话、工作中的空前普及以及互联网的不断成熟，计算机病毒在技术，传播和表现形式上都发生了很多变化。以往需要几个月甚至几年才能传播开的病毒，现在只需几个小时就可以遍及全球的每个角落。新病毒的出现经常会形成一个重大的社会事件。这对从事反病毒工作的专家和企业来讲提高反应速度、完善反应机制成为阻止病毒传播和企业生存的关键。二、根据病毒的特点划分1、DOS引导型病毒1987年，计算机病毒主要是引导型病毒，具有代表性的是“石头”病毒。当时的计算机需要通过软盘启动后使用，引导型病毒利用软盘的启动原理工作。它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。1989年，引导型病毒发展为可以感染硬盘，代表有“石头”病毒。2、DOS可执行阶段病毒1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为“耶路撒冷”，“星期天”病毒，病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。3、 伴随、批次型阶段病毒1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体。它感染文件时,改原来的COM文件为同名的EXE文件，再产生一个原名的伴随体，文件扩展名为COM，这样，在DOS加载文件时，病毒就取得控制权。这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。4、变形型病毒1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。它有一个特点，就是病毒体程序都是静态的。这些变形技术实际上就是单纯地依靠加密手段对病毒体进行保护，也就是说无论密钥如何变化，对于静态的病毒体，只要破译了解密器，解密后得到的原始病毒体代码就被打回成本来面目。5、 生成机病毒1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样一段解码算法就可以由生成器生成，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。 6、 网络蠕虫病毒1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在非DOS操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。 7、 Windows阶段随着Windows和Windows95的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE,PE）文件，典型的代表是DS.3873，这类病毒的机制更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。8、 宏病毒1996年，随着Windows Word功能的增强，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言、编写容易、感染Word文档等文件，在Excel和AmiPro出现的相同工作机制的病毒也归为此类，由于Word文档格式没有公开，这类病毒查解比较困难。9、 因特网病毒1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒。 10、 Java、邮件炸弹阶段1997年，随着万维网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现。具有代表性的是JavaSnake 病毒。此外还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，该病毒严重影响到了因特网的效率。11、 跨平台病毒2006年，卡巴斯基全球反病毒监测网发现了了一个特别的病毒:Bi病毒（Parasite.Bi）。该病毒是全球首个能够同时感染Windows系统和Linux系统下文件的跨平台病毒。该病毒采用汇编语言编写，通过感染可执行文件传播。病毒运行后将搜寻当前目录下所有的可执行文件，并试图感染它们。该病毒既可以感染Windows下的PE格式可执行文件，也可以感染Linux下ELF格式可执行文件，是全球首个可以同时感染这两个系统的跨平台病毒。这个病毒为实验性质，破坏能力有限，但是一旦该病毒的源代码公开，将有可能衍生出危害性很强的变种病毒。第3节 计算机病毒的特征和分类1、 计算机病毒的特征计算机病毒各种各样，其特征各异，但可概括为一下特征：传染性计算机病毒的传染性是指病毒具把自身复制到其他程序的能力。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。正常的计算机程序一般是不会将自身的代码强行链接到其他程序上的。因此是否具有传染性是判别一个程序是否为计算机病毒的最重要的条件之一。非授权性一般正常的程序是由用户调用，再由系统分配资源，完成用户交代的任务。对用户是可见的、透明的。而病毒是未经用户允许或是以欺骗形式执行的，因此对系统而言是未授权的。隐蔽性计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后不立即发作，而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。不可预见性不可预见是对病毒的检测来说的，不同病毒的代码千差万别的。可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制，使之进行传染，或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。这个条件可以是敲入特定字符，使用特定文件，某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。二、计算机病毒的类型1、按照计算机病毒攻击的操作系统来分类攻击DOS系统类病毒、Windows系统类病毒、UNIX类病毒、OS/2系统类病毒，手机病毒等。2、按照计算机病毒攻击类型来分类攻击微型计算机病毒、小型计算机病毒、工作站病毒等。3、 按照计算机病毒链接方式来分类源码型病毒、嵌入型病毒、shell病毒、译码型病毒、操作系统型病毒等等。4、 按照计算机病毒的破坏程度来分类良性病毒：除了传染时减少磁盘的可用空间外，对系统没有其它影响。恶性病毒：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。5、按照寄生方式和传染途径类型来分类引导型病毒利用操作系统的引导模块放在某个固定区域，并且控制权的转接方式是以物理地址为依据，而不是以操作系统引导区的内容作为依据，因而病毒占据该物理位置即可获得控制权。文件型病毒文件型病毒寄生在其他文件中，常常通过对病毒的编码加密或是使用其他技术来隐藏自己。引导型兼文件型病毒该病毒利用文件感染时伺机感染引导区，因而具有双重的传播能力。第二章 计算机病毒的检测方法和防范技术第一节 计算机病毒入侵的途径要想熟悉检测方法必须先了解计算机病毒入侵的方式，随着计算机技术的不断发展，病毒入侵的途径也不断更新改变。可移动的存储设备 移动硬盘，u盘，光盘传染是重要的渠道, 由于带有病毒的存储工具移到其它地方使用、维修等, 将干净的计算机传染并再扩散。对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。 通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。第二节 计算机病毒的检测方法根据计算机病毒的特点，人们找到了许多检测计算机病毒，但是任何一种检测方法都不是万能的，综合运用这些检测方法在此基础上根据病毒的特点才能准确地发现病毒。1、 外观检测法病毒侵入系统之后，会使计算机系统的某些部分发生变化，引起一些异常现象。我们可以根据这些异常现象来尽早判断病毒的存在，并且发现病毒。屏幕显示异常出现异常滚动，或是有规律的异常现象：异常图形、字符不全、无光标显示等等。键盘工作异常无法使用，键盘功能偷换。声音异常计算机的蜂鸣器出现异常声响，异常地发成声音或音乐。外部设备异常，如打印机。打印机打印速度降低或失控。系统工作异常系统工作速度降低，磁盘引导出现死机现象，计算机存储系统的存储设备容量异常减少，或出现不能存入读写现象。文件异常丢失文件，文件长度发生变化，出现莫名其妙的文件，文件的属性发生变化等等。2、 特征代码法一种病毒可能感染很多文件或系统的多个地方，并且在每个被感染的文件中，病毒程序所在的位置也不同，但是计算机病毒程序一般具有明显的特征代码，这些特征代码，可能是病毒的感染标记。特征代码不一定是连续的，也可以用一些通配符或模糊代码来表示任意代码，只要是同一种病毒，在任何一个被该病毒感染的文件或计算机中，总能找到这些特征代码。特征代码法的实现步骤：采集病毒样本；在病毒样本中抽取特征代码；将特征代码纳入病毒数据库；打开被检测文件，在计算机系统搜索，检查计算机系统中是否含有病毒数据库中的病毒特征代码。3、 系统数据对比法对比法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP/FC或PCTOOLS等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠对比法和分析法，有时必须结合这两者来一同工作。4、 软件模拟法它的运行机制是：将一般检测工具纳入软件模拟法，这些工具开始运行时，使用特征代码法检测病毒，如果发现隐蔽式病毒或多态病毒嫌疑时，即启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码之后，再运用特征代码法来识别病毒的种类。5、 其他病毒检测的新技术智能引擎技术嵌入式杀毒技术压缩智能还原技术第三节 计算机病毒的防范技术1、 计算机病毒的防范计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的广泛性。1、windows 帐户安全Windows帐户作为计算机的第一道关卡自然不能懈怠，密码需要变的坚强，不容易被猜解才行。鼠标右击我的电脑，选择管理，选择”用户”后，删除右侧所有的用户，除Guest，Administrator，这两个内置帐户，还有你自己需要用的帐户，其余的全部不留，如果你不用Administrator，建议你把它加上一个非常强劲的密码，再将它和Guest停用，保证只有你个人个帐户能使用，杜绝后患。另外，还有一点，Windows里有一个设置，它记录Windows上一次登陆时的用户名，病毒可能通过网络探测到这条信息，然后对这个用户名猜解密码，取消这条设置的方法如下：开始-运行-输入” secpol.msc”并确定-左侧列表”本地策略”-”安全选项”，在右边双击”交互式登陆：不显示上次的用户名”，选中”已启用”，确定。顺便找到”账户：重命名系统管理员账户”，双击后把Administrator改成另一个名字，确定。再找到”网络访问：不允许SAM的匿名枚举”，选择已启用，然后确定退出。2、Windows的服务开始-运行-输入” secpol.msc”并确定-左侧列表 在左边的树状列表中选择下面的”服务和应用程序”，再选择”服务”，会看到右边的列表出现非常多的东西。Windows服务有许多是可用可不用的，而且多一项服务就多一分危险，可以停止并禁用它们。需要关闭的服务：Remote Desktop Help Session Manager ；Server ；Remote Procedure Call (RPC) Locator ；Distributed Link Tracking Client ；DNS Client ；Windows Time ；在左边的介绍里点停止，待到框框的进度满了，消失了以后，右击服务名字，点击”属性”，在弹出来的框中找到”启动类型”，点以下后面的条，然后选择”已禁用”点击确定。3、 Windows共享”计算机管理”点击左边树状列表里的”共享文件夹”，再选择”共享”，右边会出现一个列表，将ADMIN$,C$,D$,E$。之类的全部删除，如果需要共享，Server没停止，IPC$会删除不掉，另外，需要把想共享的目录留下，这可以说是共享的管理器。4、关闭移动设备的自动播放对于移动设备的自动播放，比如插入U盘，我的电脑会自动弹出来，并打开到U盘，这个方便用户的举动，也为病毒带来了机会。在U盘中加入”aotorun.inf”文件，会引导Windows在打开自动U盘的时候，执行某些程序，如果你用地址栏输入X:再回车打开U盘，或者右键U盘再点打开，这两种打开方式不会中病毒自动播放陷阱。现在我们需要关闭Windows的自动播放功能。插入U盘、光驱之类的，右键，点属性，选择自动播放选项卡，分别选择每一种类型，然后，选择每次提醒我。或者选择固定操作中的不执行操作。另外，可以通过注册表的方式达到这个目的，随便建立一个文本文档，粘贴以下内容：Windows Registry Editor Version 5.00 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun=dword:000000B5 HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer NoDriveTypeAutoRun=dword:000000B5 另存为文件名:”禁止U盘自启动.reg”别忘了后面的.reg，将文件定为一个注册表信息。双击打开，点导入，出现导入完成。选择”每次提醒我”后，再出现选择操作时，选择不执行操作，并且把”不再提醒”复选框选定，以后就不自动播放了。注意：在打开U盘时，可在地址栏输入X：再回车，打开(X为U盘盘符 )。或者直接的右击U盘图标，选择打开。5、 Windows补丁升级在病毒传染的途径中，通过系统漏洞进行传染的数不胜数，如果不将漏洞一一修补，对你的电脑是个很大的威胁。Windows的补丁可以从官方网站上下载。6、杀毒、防火墙、系统优化一般来说，电脑里有一个杀毒软件就足够了。用自己看起来顺手的就可以了，对普通用户来说，杀毒软件之间并没有多大差距，但从技术的角度说，卡巴斯基的杀毒效果最好，技术上也很硬，还有诺顿，防火墙可以用杀毒软件自带的防火墙，外国的防火墙，朴实，简约，技术也不错。还有一点就是系统优化和安全辅助软件，系统优化软件往往和安全辅助软件伴生，比如最著名的Windows优化大师，其中有一项就是安全优化，很不错，对计算机很有好处，别的优化可以让你更了解你的计算机的情况，开发计算机的潜能。安全辅助软件比如说360安全助手，木马克星，超级兔子上网精灵等等，这类软件数不胜数，功能各异，它们的特点是只能针对某几个方面进行保护，就像杀毒软件的功能延伸一样，如果你的杀毒软件经常在浏览网页时报毒，也许你需要下载一个关于网页安全的安全辅助软件了。7、安全的使用习惯(1)、更新杀毒软件杀毒软件病毒库能更新就更新，这一点不能松懈，注意：是病毒库更新，不是杀毒软件更新，有的人认为只要杀毒软件是最新版本就可以了，其实最关键的是病毒库的更新。(2)、注意隐藏文件注意隐藏文件和一些莫名其妙产生的文件，不要总是以为那是系统文件，因为病毒最喜欢伪装成系统文件，让人不敢动它。系统的隐藏文件不多：C盘根目录下有几个、整理的碎片文件、系统升级备份文件、用户目录下的Local Settings、system32下的dllcahe。显示隐藏文件，我的电脑-工具-文件夹选项-设置 (有些病毒会不断将这些设置调会初始状态) 。(3)、不浏览不安全的网站病毒木马最方便的途径就是通过网页传染，许多的漏洞都可以利用网页启动，所谓不安全的网站没有一个明确的定义，即使如此，还是有几点要注意的：不要对不安全的网站报任何侥幸心理、如果一个网站的页面已经显示完了，但是底下状态栏仍然在显示下载某一个东西(，这可能表示病毒正在下载，如果网页载入完了以后鼠标的箭头旁边出现一个沙漏闪来闪去，一般情况下表明有新程序运行，如果你这时没有进行什么打开程序的操作，可能是网页病毒。(4)、关注网络流量检测方法：开始-运行-输入”cmd”确定-输入”netstat -an”并回车在出现的列表中可以看到，有四列，第一列为协议类型，一般是由TCP和UDP组成的，第二列是本机的IP：端口(和除外)，第三列为对方IP：端口，第四列为连接状态。举个例子：如果本机和对方IP都是，而且状态为”LISTENING”说明这个端口在监听状态，若发现本机的某些奇怪的端口在监听，而你又没有安装什么能开放端口的软件，这个端口可能是病毒留下的后门。系统的每一个端口必定是由一个程序打开，所以发现奇怪端口就可以追查到它的根源哪个程序，然后再看看这个程序是否是病毒，就可以了。检查端口和哪个程序关联，可以使用fport.exe。(5)、检查系统时间卡巴斯基是各种病毒很难破解的杀毒软件之一，这是从病毒技术上来讲的。其实要破解它很简单，如果把系统时间的年份往后调几年，卡巴斯基就无法激活，程序认为杀毒软件已经到期，如果一直监视系统时间，你一旦调回来，病毒就给你调回去，那么卡巴斯基就作废了，给病毒一个机会。当系统时间错乱的时候，请调回。(6)、多了解系统文件如图3.1所示，哪个是真正的系统程序，它们的地址都是系统文件夹，根据你的经验。如果你不知道，那么说明你无法手动排除任何伪装成系统文件的病毒。答案：第二个是真正的。这一点没法强求，这些东西好多在书本上都没有，毕竟了解这些文件是大部分人不乐于做的，但我也希望每个人都了解它们，否则在高手处心积虑编制的作品面前，用户只能依靠可能还不管用的杀毒软件。图3.1 判别系统程序(7)、谨慎对待邮件利用邮件传染病毒是一条方便的途径，现在的病毒不用你打开它的附件，只需要看它的信，就可以将病毒下载到计算机中。如果你使用Outlook请将邮件的自动阅读关闭，不管是以网页方式还是用软件打开的邮件，尽量用文本方式打开，不要使用Html打开。另外不要管邮件的标题、内容多么诱人，也不能打开一个完全不认识的人的邮件。还有使用QQ也是如此，就算是认识的人，如果你不能完全信任他，他发过来的地址链接、文件(尤其是可执行程序)不要轻易的打开。有些病毒会利用QQ好友传播。(8)、做系统备份无论你的电脑多安全，都应该做系统备份。最常见的系统备份是GHOST，备份出的.gho文件一定要放在一个格式为FAT32的非系统分区下，而且要有一张启动盘(可以是软盘也可以是光盘)。还可以下载各种系统备份的软件，他们大部分都是中文的，而且有详细的说明。2、 清理计算机病毒的基本技术清除计算机病毒不光是去除病毒程序，或使病毒程序不能运行，还要尽可能恢复系统或文件的本来面目，以将损失减少到最低程度。清除方法不尽相同，但遵循一定原则。计算机病毒的清除工作最好在无毒的环境中进行。在启动系统的系统盘和杀毒软件盘上加写保护标签，以防止其在清除病毒的过程中感染上病毒。在清除病毒之前，一定要确认系统或文件确实存在病毒，并且准确判断出病毒的种类，以保证杀毒的有效性。杀毒工作要深入和全面。尽量不要使用激活病毒的方法检测病毒。一般不能用病毒标识免疫方法清除病毒。一定要干净彻底地清除计算机及磁盘上所有的同一病毒。对于同一宿主程序被几个病毒交叉感染或重复感染的，要按感染的逆顺序从后向前依次清除病毒。根据以上原则可以得出清除病毒步骤，如图3.2所示图3.2 清除计算机病毒的步骤流程3、 计算机系统的修复计算机病毒感染后的一般修复处理方法：首先必须对系统破坏程度有一个全面了解，并根据破坏程度来决定采用哪种有效的计算机病毒清除方法和对策。修复前，尽可能再次备份重要的数据文件。启动防杀计算机病毒软件，并对整个硬盘进行扫描。发现计算机病毒后，一般利用防杀计算机病毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能清除，一般将其删除。杀毒完成时，重启计算机，再次用防杀计算机病毒软件检测系统中是否还有计算机病毒的存在，并确定被感染破坏的数据确实被完全恢复。对于杀毒软件无法清除的计算机病毒，还应将计算机病毒样本送交给防杀计算机病毒软件厂商的研究中心，以供详细分析。第三章 计算机病毒实例和解析第一节 Win32.StartPage病毒分析与清除一、病毒分析1、 病毒描述该病毒为获取用户机器信息木马类，病毒图标采用IE浏览器图标，有完成的版本信息，描述为“更改快捷方式 Microsoft 基础类应用程序”，通过此信息用以迷惑用户，使用户疏于防范，进而运行该病毒；病毒运行后，修改注册表，设置系统桌边IE浏览器为隐藏；创建快捷方式，使其目标指向；在当前用户、All Users的“开始菜单程序”下创建Internet Explorer快捷方式，并在当前用户快速启动目录目下创建Internet Explorer快捷方式和“启动 Internet Explorer 浏览器.lnk”，其中“启动 Internet Explorer 浏览器.lnk”中的目标地址为，目的用户通过“开始菜单程序”启动IE浏览器执行桌面快捷方式，进入病毒设定的网址；在当前用户收藏夹中添加链接；该病毒完全运行后会向指定地址发出统计信息，其中包括用户机器MAC地址、系统版本等信息。2、 行为分析(1)、病毒操作 %All Users%开始菜单程序Internet Explorer.lnk %Documents and Settings%Application DataMicrosoftInternet ExplorerQuick LaunchInternet Explorer.lnk %Documents and Settings%Application DataMicrosoftInternet ExplorerQuick Launch启动 Internet Explorer 浏览器.lnk %Documents and Settings%Favorites虎虎123网址之家简单绿色安全网址导航站!.lnk %Documents and Settings%开始菜单程序Internet Explorer.lnk %Documents and Settings%桌面Internet Explorer.lnk (2)、修改注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsClassicStartMenu 项：871C5380-42A0-1069-A2EA-08002B30309D 键值：1 (0x1) 描述：隐藏桌面IE浏览器图标 (3)、返回获取信息格式 http:/hao12345.w250*./count/count.asp?id=%s&Exe=%d 返回的信息为： http:/hao12345.w250*./count/count.asp?id=00-0C-29-51-66-64（受感染机器的MAC地址）&Exe=11 %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。 %Temp% = C:Documents and SettingsAAAAALocal