检测与清除计算机病毒.ppt

计算机病毒与防治,计算机病毒与防治课程小组,教学单元4-2检测与清除计算机病毒,第一讲检测与清除计算机病毒,计算机病毒与防治课程小组,计算机病毒检测方法,请同学讲一讲自己检测病毒的方法，分组讨论，并选派代表发言。,越形象越生动越好哦！,大家一起来讨论,计算机病毒检测方法,人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类:一是引导型病毒，二是文件型病毒。检测磁盘中的计算机病毒可分成检测引导型计算机病毒和检测文件型计算机病毒。这两种检测从原理上讲是一样的，但由于各自的存储方式不同，检测方法是有差别的。,计算机病毒检测方法现象观察法,1.现象观察法用户在使用机器中，如果发现下列某一或某些现象，则可怀疑有病毒存在。计算机病毒发作时，通常会出现以下几种情况，这样我们就能尽早地发现和清除它们。1）电脑运行比平常迟钝2）程序载入时间比平常久3）一个简单的工作，磁盘似乎花了比预期长的时间4）不寻常的错误信息出现5）磁盘的指示灯无缘无故的亮了6）系统内存容量忽然大量减少7）磁盘可利用的空间突然减少8）可执行程序的大小改变了！,计算机病毒与防治课程小组,计算机病毒检测方法现象观察法,计算机病毒与防治课程小组,9）坏轨增加10）程序同时存取多部磁盘11）内存内增加来路不明的常驻程序12）文件奇怪的消失13）文件的内容被加上一些奇怪的资料14）文件名称，扩展名，日期，属性被更改过15）时常莫名其妙地死机。16）系统经常出现“写保护错”提示信息。17）打印机无故不正常工作。18）磁盘上出现用户不能识别的文件。19）原来能运行的程序突然不能运行，运行时系统总是提示：“Programtoobigtofitinmemory!”或“DividedOverflow!”20）硬盘不能引导系统,计算机病毒检测方法对比法,计算机病毒与防治课程小组,2.对比法对比法是用原始备份与被检测的引导扇区或被检测的文件进行对比。对比时可以靠打印的代码清单（比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、FC或PCTOOLS等其它软件）。优缺点分析：这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠对比法和分析法，有时必须结合这两者来一同工作。,计算机病毒检测方法加和对比法,计算机病毒与防治课程小组,3.加和对比法根据每个程序的档案名称、大小、时间、日期及内容，加和为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用此加和对比系统，追踪并记录每个程序的检查码是否遭更改，以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后，将里程表的数字记下来。那么下次您再开车时，只要比对一下里程表的数字，那么您就可以断定是否有人偷开了您的车子。优缺点：这种技术可侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到。,计算机病毒检测方法搜索法,4.搜索法搜索法也叫扫描法，是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的计算机病毒。国外对这种按搜索法工作的计算机病毒扫描软件叫VirusScanner。计算机病毒扫描软件由两部分组成：一部分是计算机病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。目前常见的防杀计算机病毒软件对已知计算机病毒的检测大多采用这种方法。计算机病毒扫描程序能识别的计算机病毒的数目完全取决于计算机病毒代码库内所含计算机病毒的种类多少。,计算机病毒检测方法搜索法,基于特征串的扫描法：使用特征串的扫描法被查计算机病毒软件广泛应用。当特征串选择得较好时，计算机病毒检测软件让计算机用户使用起来很方便，对计算机病毒了解不多的人也能用它来发现计算机病毒。另外，不用专门软件，用PCTOOLS等软件也能用特征串扫描法去检测特定的计算机病毒。,计算机病毒检测方法搜索法,基于特征串的扫描法的缺点：第一是当被扫描的文件很长时，扫描所花时间也越多；第二是不容易选出合适的特征串；第三是新的计算机病毒的特征串未加入计算机病毒代码库时，老版本的扫毒程序无法识别出新的计算机病毒；第四是怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变计算机病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力；第五是容易产生误报，只要在正常程序内带有某种计算机病毒的特征串，即使该代码段已不可能被执行，而只是被杀死的计算机病毒体残余，扫描程序仍会报警；第六是不易识别多维变形计算机病毒。总结：不管怎样，基于特征串的计算机病毒扫描法仍是今天用得最为普遍的查计算机病毒方法。,计算机病毒检测方法软件仿真扫描法,5.软件仿真扫描法该技术专门用来对付多态变形计算机病毒（Polymorphic/MutationVirus）。多态变形计算机病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法的方式根本就无法找到这种计算机病毒。软件仿真技术则是成功地仿真CPU执行，在DOS虚拟机（VirtualMachine）下伪执行计算机病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。,计算机病毒检测方法先知扫描法,6先知扫描法先知扫描技术（VICE，VirusInstructionCodeEmulation）是继软件仿真后的一大技术上突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机，仿真CPU动作并伪执行程序以解开多态变形计算机病毒，那么应用类似的技术也可以用来分析一般程序，检查可疑的计算机病毒代码。,因此先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术（SoftwareEmulation）伪执行新的计算机病毒，超前分析出新计算机病毒代码，来对付以后的计算机病毒。,计算机病毒检测方法人工智能陷阱技术,人工智能陷阱：人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将所有计算机病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所警觉，并告知使用者。这种技术的优点是执行速度快、操作简便，且可以侦测到各式计算机病毒；其缺点就是程序设计难，且不容易考虑周全。不过在这千变万化的计算机病毒世界中，人工智能陷阱扫描技术是一个至少具有主动保护功能的新技术。,7.人工智能陷阱技术和宏病毒陷阱技术,宏病毒陷阱技术（MacroTrap）是结合了搜索法和人工智能陷阱技术，依行为模式来侦测已知及未知的宏病毒。其中，配合OLE2技术，可将宏与文件分开，使得扫描速度变得飞快，而且更可有效地将宏病毒彻底清除。,宏病毒陷阱技术（MacroTrap）：,计算机病毒检测方法宏病毒陷阱技术,清除计算机病毒,病毒的清除方法：,第一种方法是使用防病毒软件进行查杀。,第二种方法就是使用各种电脑病毒对应的病毒专杀工具。,第三种方法即是使用手工来清除电脑病毒。,第四种方法即是我们在第六章中要提到的用户自己编写程序来清除病毒，这种方法只针对专业用户，一般用户很难编写专门的杀毒程序。,清除“QQ尾巴”病毒,1.清除“QQ尾巴”病毒病毒主要特征分析：这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种：,清除“QQ尾巴”病毒,aHoHohttp:/www.mm*.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。b呵呵，其实我觉得这个网站真的不错，你看看http:/www.ktv*.com/。chttp:/ni*看看啊.我最近照的照片才扫描到网上的。看看我是不是变了样?,清除“QQ尾巴”病毒,手工清除步骤：1）在开始菜单运行中输入MSconfig（不区分大小写）。2）在弹出的对话中，打开“启动项”选项卡。3）观察启动项目，找到“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。4）打开C盘，在C：WINDOWS中找到一个名称为qq32.INI的文件。打开此文件，将文件中附在QQ后的那几句广告词删除。5）进入DOS下，根据步骤3）中启动项目下“Sendmess.exe”和“wwwo.exe”的路径，将这两个文件删除。6）安装系统漏洞补丁安装360安全卫士，用360安全卫士进行漏洞扫描，若存在iFrame漏洞则利用360安全卫士安装相应补丁。,清除sxs.exe病毒,sxs.exe病毒特征分析：sxs.exe病毒，瑞星称为Trojan.PSW.QQPass.pqb病毒，机器中此病毒的现象为系统文件隐藏无法显示，双击盘符无反应，任务管理器发现sxs.exe或者svohost.exe（与系统进程svchost.exe一字之差），杀毒软件实时监控自动关闭并无法打开。sxs.exe病毒一般是通过U盘进行传播的。当U盘被插入被病毒感染的电脑后，病毒会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件，如果没有，病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下；如果有，病毒会设置sxs.exe的属性为只读且为系统文件，以达到隐藏自身的目的，并把原有的autorun.inf删除，重新创建一个autorun.inf文件，并写入数据；同样的方式机器的C、D、E等各磁盘分区都要被感染sxs.exe病毒。,计算机病毒与防治课程小组,清除sxs.exe病毒,计算机病毒与防治课程小组,手工清除sxs.exe病毒,在以下整个过程中不得双击分区盘，需要打开时用鼠标右键打开1）关闭病毒进程Ctrl+Alt+Del任务管理器，在进程中查找sxs或SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉2）显示出被隐藏的系统文件运行regeditHKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1。,清除sxs.exe病毒,此处要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0，我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）。方法：删除此CheckedValue键值，单击右键新建Dword值命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹工具文件夹选项中将系统文件和隐藏文件设置为显示。,清除sxs.exe病毒,3）删除病毒在分区盘上单击鼠标右键打开，看到每个盘跟目录下有autorun.inf和sxs.exe两个文件，将其删除。4）删除病毒的自动运行项打开注册表运行regeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下找到SoundMam键值，可能有两个，删除C:WINDOWSsystem32SVOHOST.exe键值。最后到C:WINDOWSsystem32目录下删除SVOHOST.exe或sxs.exe。,计算机病毒与防治课程小组,清除sxs.exe病毒,重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。5）修复杀毒软件杀毒软件实时监控可以打开，但开机无法自动运行，解决此问题最简单的办法即是执行杀毒软件的添加删除组件修复，即可。,清除隐藏文件病毒,大家在使用电脑时有时会遇到选择“显示隐藏文件”这一选项后，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是“不显示隐藏文件”这一选项。而且还有点击C、D等盘符图标时会另外打开一个窗口的问题。,计算机病毒与防治课程小组,其实造成这些问题的原因是中了隐藏的病毒，那么如何清除隐藏病毒文件呢？,造成这些现象的原因是什么呢？,清除隐藏文件病毒,（一）中毒现象：a无法显示隐藏文件；b点击C、D等盘符图标时会另外打开一个窗口；c用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件；d任务管理器中的应用进程一栏里有个莫明其妙的kill；e开机启动项中有莫明其妙的SocksA.exe。,清除隐藏文件病毒,（二）解决办法：以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键再选择“打开”命令。1）关闭病毒进程在任务管理器应用程序里面查找类似kill等不认识的进程，“右键”选择“转到进程”，找到类似SVOHOST.exe的进程，“右键”选择“结束进程树”。2）显示出被隐藏的系统文件开始-“运行”中输入“regedit”找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，删除CheckedValue键值，单击右键选择“新建”下的“Dword值”命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。,清除隐藏文件病毒,3）删除病毒在分区盘上单击鼠标右键选择“打开”，看到每个盘跟目录下有autorun.inf和tel.xls.exe两个文件，将其删除，U盘同样。4）删除病毒的自动运行项在开始“运行”输入“msconfig”再选择“启动”选项卡删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行“regedit”，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，删除类似C:WINDOWSsystem32SVOHOST.exe的项。5）删除遗留文件C:WINDOWS跟C:WINDOWSsystem32目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，自己注意不要误删。重启电脑后，就可以了。,计算机病毒与防治课程小组,清除震荡波病毒,震