第8章 杀毒和防毒

●

8.1

计算机病毒概述

8.1.1病毒的主要特点

8.1.2病毒的分类

8.1.3计算机中毒的症状

8.1.4病毒的预防措施

●

8.2

常见杀毒软件的使用

8.2.1江民杀毒软件KV2005的使用

8.2.2

使用NortonntiVirus2005查杀病毒

8.2.3其他杀毒软件简介

●

8.3

常见的病毒●

8.4

防火墙的使用

●

8.4.1

天网防火墙的使用

8.4.2Norton个人防火墙的使用

8.4.3木马克星的使用

●

8.5

恶意网页的解决方案

8.5.1如何预防网络攻击

8.52恶意网页的表现症状

8.5.3使用注册表对付恶意网页的修改

8.5.4禁止弹出式窗口

8.5.5使用Upiea免疫插件或网站

8.5.6使用“超级兔子”全面清除恶意网页第8章杀毒和防毒从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。

8.1.1病毒的主要特点1.传染性。计算机病毒的传染性是指计算机病毒能进行自我复制，并把复制的病毒附加到无病毒的程序中，或者去替换磁盘引导区中的正常记录，使得附加了病毒的程序或磁盘变成新的病毒源。这种新的病毒源又能进行病毒的自我复制。因此，计算机病毒可以很快地传播到整个计算机系统或扩散到其他磁盘上。计算机病毒具有很强的再生机制，如同生物体传染病一样。是否具备传染性是判断一个程序是不是病毒程序的基本标志。

2.隐蔽性。计算机病毒通常依附于一定的媒体，不单独存在。因此，在病毒发作之前不易发现，而一旦发现，实际上计算机系统已经被感染或受到破坏。

3.破坏性。计算机病毒的危害主要是破坏计算机系统，其主要表现为：占用系统资源、破坏数据、干扰计算机的正常运行，严重的会摧毁整个计算机系统。

4.扩散性。病毒程序入侵后，一般不会立即产生破坏作用。但在此期间进行传染扩散，当病毒炮制者设定的控制条件满足时便激活，开始进行破坏。

8.1计算机病毒概述

计算机病毒可以从不同的角度分类，有以下几种分类方法。

1.按病毒的表现性质可分为良性病毒和恶性病毒两种类型。

2.按病毒的寄生媒介可分为入侵型、源码型、外壳型和操作系统型4种类型。

3.按病毒感染的目标可分为引导型、文件型、网络型和混合型病毒4种类型。

8.1.3计算机中毒的症状计算机病毒所表现的症状完全由病毒的设计者确定。下面列出一些计算机中毒引起的软件或硬件故障症状。

经常死机

系统无法启动

提示硬盘空间不够

软盘等设备未访问时出读写信号

启动黑屏

系统运行速度慢

系统自动执行操作

8.1.4病毒的预防措施随着计算机网络技术的迅速发展，绝大部分的计算机病毒都是通过因特网传播到本地计算机的，因此，预防计算机病毒的最基本措施就是安装杀毒软件，并启用在线监控，不要进入来历不明的站点，尤其是一些看上去非常美丽诱人的网址，否则往往误入圈套。

8.1.2病毒的分类

此外，还应采取以下预防措施，切断病毒的传播途径，做到防患于未然。不随便使用外来软盘。如果必须使用时，应先检测，确信无病毒后再使用。不要在系统引导盘上存放数据。对重要软件要做备份，万一遇到系统崩溃时，可最大限度地恢复系统。不要随便安装各种游戏软件。禁止来历不明的人和软件进入系统，不使用盗版或来历不明的软件。经常用杀毒软件检查硬盘，及时发现病毒，消除病毒，定期升级杀毒软件。备份硬盘引导区、主引导扇区数据和重要的数据，防患于未然。要随时注意计算机的各种异常现象，一旦发现，应立即用杀毒软件仔细检查。不要打开来历不明的信件，并通过OutlookExpress中的邮件规则来拒绝收容量过大的邮件。把Internet浏览器的安全级别设置为“高”。

8.2常见杀毒软件的使用随着计算机的普及，计算机病毒在以惊人的速度传播蔓延，它们破坏计算机资源，影响计算机的推广和应用，为了保证计算机的正常使用和防止数据损坏，最好每一台计算机都安装一两款杀毒软件。目前，国内流行的查杀病毒软件主要有瑞星、金山毒霸、江民杀毒软件KV2005等，而国外流行的有NortonAntiVirus和KasperskyAnti-Virus等。

8.2.1江民杀毒软件KV2005的使用

在使用江民杀毒软件KV2005之前，最好要升级其病毒库，这样才能查杀最新出现的病毒，否则会导致杀毒不完全。下面先介绍在线升级江民杀毒软件KV2005的操作。（1）双击任务栏中的图标，因为是第一次打开KV2005杀毒王，所以会打开“简洁操作台”对话框。（2）单击【操作台切换】按钮，切换到KV2005杀毒王的标准界面，单击按钮（3）打开“江民杀毒软件智能升级”对话框，这里首先是“读取升级参数设置”，（4）接着打开“输入用户名或者密码不正确”对话框，并输入正确的序列号。（5）单击【确定】按钮，接着开始下载文件，下载文件完成后，开始注册组件，最后打开“升级成功”对话框。（6）单击【关闭】按钮，返回到江民杀毒软件KV2005主界面，接着切换到“文件夹目标”界面，并展开“我的电脑”，然后选择需要扫描的驱动器，如C盘和D盘。 （7）单击【开始扫描】按钮，开始扫描病毒。（8）扫描病毒完成后，打开“扫描完成”对话框，并在界面中列出了已经查杀出的病毒，因为当前是杀毒状态，所以已经自动删除了病毒。（9）单击【确定】按钮即可。

8.2.2使用NortonAntiVirus2005查杀病毒

Norton杀毒软件是世界上最有名的杀毒软件之一，该软件分为两种版本，一种是企业版称为SymantecAntiVirus8.0/9.0，另一种是个人版，称为NortonAntiVirus2004/2005，下面以NortonAntiVirus2005简体中文版为例，介绍它的使用方法。

（1）打开NortonAntiVirus2005中文版主界面（2）单击窗口左边的“扫描病毒”链接，切换到“扫描病毒”界面，单击“扫描驱动器”链接，打开“扫描驱动器”对话框，选择需要扫描的驱动器，如选择C：和D：驱动器。（3）单击【扫描】按钮，即开始扫描病毒，（4）扫描完成后，如果发现病毒，会在对话框中列出已经扫描到的病毒，并要求用户进行处理。（5）单击【隔离】按钮，打开“修复向导：删除”对话框。（6）单击【删除】按钮，NortonAntiVirus提示即将永久性删除文件，（7）单击【是】按钮，打开“扫描：摘要”对话框，可以看到，当前存在的感染文件数。（8）单击【完成】按钮，弹出一个“您的计算机仍感染了病毒”提示框。（9）单击【确定】按钮，返回到NortonAntiVirus

主界面中，再单击“报告”链接，打开“报告”对话框。（10）单击“查看隔离项目”链接，打开“NortonAntiVirus隔离区”窗口，然后选择“已隔离的项目”选项，即可以查看已经隔离的病毒。（11）选择一个或多个隔离的病毒后，可以单击等按钮，进行修复、恢复和删除操作。（12）单击【是】按钮，即可永久性删除隔离的项目，并返回“NortonAntiVirus隔离区”对话框。用同样的方法，可以修复、恢复和删除“备份项目”中的病毒。（13）单击窗口右边的按钮，关闭“NortonAntiVirus隔离区”对话框，并返回到主界面。（14）也可以打开该病毒文件所在的文件夹，找到该文件按【Delete】键，打开“确认文件删除”对话框，单击【是】按钮，即可手动把它删除。

8.2.3其他杀毒软件简介1．金山毒霸金山毒霸可以查杀超过两万种的病毒家族及其变种，以及近百种黑客程序及其变种。金山毒霸的防毒功能主要有修复电脑系统漏洞、网页防毒、闪电杀毒、内存杀毒等。运行金山毒霸后，其主界面如左图所示。2．瑞星瑞星杀毒软件是北京瑞星科技股份有限公司针对流行于国内外危害较大的计算机病毒和有害程序，自主研制的反病毒安全工具。用于对病毒、黑客等查找、实时监控和清除、恢复被病毒感染的文件或系统，维护计算机的安全。瑞星杀毒软件界面如右图所示。8.3常见的病毒介绍几种常见的病毒:1．五毒虫病毒2．冲击波病毒3．“震荡波”4．“恶鹰”5．求职信（Worm.wantjob）6．网银大盗7．爱情后门（Worm.Supnot）8．“网络天空”（Worm.Netsky.B）9．MSN病毒（Worm.msn.funny）10．蠕虫“泡沫人（Worm.P2p.Fizzer）”（又称“费氏”病毒）11．猜谜者（Worm.Dvldr）

8.4防火墙的使用

防火墙是开放网络系统的第一道安全屏障。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以实现网络的安全护。8.4.1天网防火墙的使用

下面简单介绍一些天网防火墙的使用。（1）天网防火墙个人版是一款共享软件，用户可以从网上找到它并下载。下载回来后，运行安装向导，首先打开“欢迎”对话框。（2）选中“我接受此协议”复选框，单击【下一步】按钮，打开“选择安装的目标文件夹”对话框。然后根据欢迎向导一步一步完成其安装过程。（3）安装天网防火墙后，从【开始】菜单中启动它，启动后该程序会最小化到任务栏中的“系统区域”中，如果计算机遭到访问，就会弹出“天网防火墙警告信息”对话框，并询问用户是否允许该操作访问本地计算机或因特网，此外，如果某个程序存在安全隐患，也会给出相应的警告信息.（4）单击“系统区域”中的“天网防火墙个人版”图标，就会打开天网防火墙的界面（5）在防火墙的主窗口中单击【系统设置】按钮，打开防火墙系统设置面板。（6）在该对话框中，有如下的选项设置。

启动：选中“开机后自动启动防火墙”该项，则天网个人版防火墙将在操作系统启动的时候自动启动，否则天网防火墙需要手工启动。防火墙自定义规则：单击【重置】按钮，可以把安全规则全部恢复为默认设置。应用程序权限：选中该复选框，所有的应用程序对网络的访问都不进行拦截。局域网地址：设置用户在局域网内的地址。如果用户的机器是在局域网里面使用，一定要设置好这个地址。因为防火墙将会以这个地址来区分局域网或者Internet的IP来源。

报警声音：设置报警声音，可单击【浏览】按钮选择声音文件。（7）设置安全级别。天网个人版防火墙的默认安全级别分为高、中、低和自定义四个等级。在默认情况下的安全级别为中级，如果设置为高级，则除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口8.4.2Norton个人防火墙的使用下面简单介绍其用法。（1）将NortonInternetSecurity2005光盘放入光驱，安装程序会自动运行。（2）单击“安装NortonInternetSecurity”链接，打开“欢迎进入NortonInternetSecurity2005安装程序”对话框。（3）然后根据向导提示进行安装，当安装到“NortonInternetSecurity已经成功安装”对话框时，选中“立即重新启动Windows”单选按钮。（4）单击【完成】按钮，重新启动计算机之后，NortonInternetSecurity会启动防火墙设置向导。（5）直接单击【下一步】按钮，然后根据向导提示进行设置，这期间最主要的操作是激活产品，激活完成后，打开“订购服务”对话框。（6）单击【下一步】按钮，打开“下一步”对话框，至此，安装NortonInternetSecurity2005已经够一个段落。（7）单击【完成】按钮，打开“家庭网络向导”对话框，根据向导提示进行操作，一般使用默认设置即可。（8）单击【下一步】按钮，打开向导的第二步，这里列出了家庭网络向导的结果。，（9）单击【下一步】按钮，打开家庭网络向导的第三步，这里选择“这些区域适用于哪些位置”，默认是全部选中（10）单击【下一步】按钮，到达“家庭网络向导”的最后一步。（11）单击【完成】按钮，接着程序会要求连接到Internet更新病毒库。（12）单击【下一步】按钮，即开始更新病毒库（更新病毒库分为两步，先是连接到因特网下载病毒库的新数据，然后再安装它们，根据默认操作即可），更新完成后（13）单击【完成】按钮，此时会提示重新启动计算机。按照要求重新启动计算机后，在任务栏的右下角会出现一个图标，用鼠标右键单击该图标，弹出一个控制菜单，选择相应的命令，可以对NortonInternetSecurity进行设置。（14）启用了防火墙后，每当浏览因特网且遇到具有危害性的操作时，就会弹出一个“程序控制”提示框，要求用户选择要做的操作，。可见安装了防火墙之后，用户做的每一个操作，防火墙都会监视着，如果发现所做的操作有危险，就会提示用户具有风险，并提示用户进行处理。（15）用鼠标右键单击图标，选择【打开NortonInternetSecurity】命令，打开NortonInternetSecurity界面。（16）选择“个人防火墙”选项，此时【配置】按钮被激活。（17）单击【配置】按钮，打开“NortonInternetSecurity”对话框，此时默认打开是“防火墙”选项卡，在该界面中，可以移动滑块来设置防火墙的级别。（18）单击【自定义级别】按钮，打开“自定义安全设置”对话框，然后可以分别对“个人防火墙”、“Java程序安全性”、“Activex控件安全性”进行设置（19）设置完成后，连续单击【确定】按钮即可。此外，使用同样的方法，还可以在“程序”、“网络”、“位置”或“高级”选项卡中进行设置。8.4.3木马克星的使用

木马克星具有强大的远程控制能力，它是一款适合网络用户的安全软件，它主要具有扫描内存和扫描硬盘的功能，可以查杀8000多种国际木马，1000多种密码偷窃木马。下面简单介绍一下木马克星的使用。（1）木马克星是一款共享软件，在网上找到它，并把它下载回来，然后解压到一个指定的文件夹中，再双击该程序图标，打开“欢迎使用……”对话框。（2）直接单击【下一步】按钮，打开“许可协议”对话框，选中“我同意此协议”单选按钮。（3）单击【下一步】按钮，然后根据向导进行安装即可。（4）安装完成后，单击【开始】按钮，选择【程序】→【IParmor】→【IParmor】命令，启动木马克星后，程序会自动对系统进行扫描，如果发现系统存在木马程序，就会清除该木马，接着单击【扫描硬盘】按钮。（5）切换到“扫描硬盘”界面，输入要扫描的驱动器盘符（6）然后单击【扫描】按钮，开始扫描木马，扫描完成后，会得出扫描结果，然后再继续扫描其他的驱动器。

8.5恶意网页的解决方案

8.5.1如何预防网络攻击作为个人用户，除了要注意保管好自己的账号、密码及不要轻易在网上共享自己的个人信息外，还要多学习一些Internet知识。对于个人用户来说，来自网络的侵害主要包括病毒侵害、特洛伊木马程序、E-mail附件病毒、不良站点等。

8.5.2恶意网页的表现症状被恶意网页修改系统的注册表和InternetExplorer的主要表现有：l

InternetExplorer默认首页被修改。l

InternetExplorer标题栏被修改。l

InternetExplorer右键菜单被改为浏览网页时的地址（多为广告信息）。l

电脑启动时出现一个广告的窗口。l

注册表编辑器被告知“已锁定”。l

桌面出现陌生网站的链接，无论怎样删除，每次开机都依旧出现。上陌生网站后，出现“您已经被XX病毒攻击”提示，之后系统不正常。

8.5.3使用注册表对付恶意网页的修改1．更改InternetExplorer默认首页通过修改注册表中的StartPage的键值，就可以达到修改InternetExplorer默认连接首页的目的，更改的注册表项目为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage1.2．更正被修改的InternetExplorer标题下面介绍用注册表更正被修改的InternetExplorer标题的方法。（1）打开注册表编辑器，选择【编辑】→【查找】命令，打开“查找”对话框。（2）在“查找目标”文本框中，输入被更改的标题网址，也可以是其中的主要部分。（3）单击【查找下一个】按钮，即可找到含有CCTV8字符的WindowTitle键值。（4）双击WindowTitle，打开“编辑字符串”对话框。（5）把“数值数据”文本框中的内容更改为MicrosoftInternetExplorer（当然也可以输入其他任何内容）。（6）单击【确定】按钮。再次启动InternetExplorer浏览器，即可看到其标题已经被更改回来了。（7）因为在更改InternetExplorer标题的同时，还会更改其他的地方，所以在找到

WindowTitle后，还需要多次选择【编辑】→【查找下一个】命令，查找出所有的符合含有CCTV8字符的键值，然后把它们都删掉。1.3．注册表被禁用下面介绍解决注册表被禁用的方法：（1）新建一个文本文件，输入以下内容（注意保持文本格式）：

REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000（2）选择【文件】→【保存】命令，打开“另保存”对话框，指定保存位置后，在“文件名”文本框中，输入new.reg，而“保存类型”则选择为“所有文件”。（3）双击该new.reg文件，系统弹出“是否确认要将C:\new.reg中的信息添加进注册表”的提示对话框。（4）单击【是】按钮，系统提示“new.reg里的信息已被成功地输入注册表”，再单击【确定】按钮，即可将注册表解锁并进行随后的修改。在界面中可以切换到不同的选项卡，然后选中要免疫的插件名称（例如，要对3721上网助手进行免疫，可以选中“3721上网助手”复选框），然后单击【应用】按钮即可。注册表被修改以后，一般需要重新启动计算机才能使修改后的注册表生效，这里介绍一种可以不需要重新启动计算机，就可以应用修改后的注册表的方法。首先将修改后的注册表保存下来，然后按

【Ctrl＋Alt＋Del】组合键，这时会弹出Windows任务列表窗口，选中Explore任务，然后单击【结束任务】按钮，这时系统会显示关闭计算机提示窗口，单击【否】按钮，过一会系统就会弹出一个错误信息，再单击【结束任务】按钮，Windows就会和被修改后的注册表重新装载了。2．插件管理切换到“插件管理”界面，在该界面中，可以对InternetExplorer浏览器上的工具条进行安装或卸载，例如安装了KV杀毒软件后，在InternetExplorer浏览器中会出现相应的工具按钮，卸载它的方法是，选中该插件名称，单击【卸载】按钮即可。3．网站免疫网站免疫是指受系统保护（访问时安全级别高）的站点，切到“网站免疫”界面后，选中需要免疫的站点名称，再单击【应用】按钮即可。当然用户也可以在“输入要免疫的网站地址……”文本框中，输入要免疫的网站，然后单击【免疫】按钮即可。4．【开始】菜单中的【运行】命令消失下面介绍两个简单的方法就可以把【运行】命令恢复。（1）进入C:\WINDOWS目录中，找到“regedit.exe”，双击它就可以打开注册表编辑器，定位到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，找到NoRun项，用鼠标右键单击它，选择【修改】命令（或者直接删除它），把它的值改为0，重新启动电脑即可。（2）新建一个文本文件，输入以下内容（注意保持文本格式）：

REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRun"=dword:00000000将该文件保存为run.reg文件，然后双击该文件，再重启计算机即可恢复【运行】菜单。

8.5.4禁止弹出式窗口

有时在浏览一个网站时，一下子弹出很多网页，它们占满了整个屏幕。而刚关了一个，另一个又接着弹了出来，它们打开比你关掉要快得多，遇到这类情况，可以通过下面的方法来解决。（1）按下【Alt+F4】组合键关闭这些窗口，而不给它机会执行程序，打开更多的窗口。（2）一些讨厌的网站上设置有恶意JavaScript程序，这些程序可以自动重复打开窗口。当试图关闭窗口时，有些程序会导致Windows报一个非法操作错误，因此要把整个浏览器关闭。（3）在InternetExplorer窗口中，选择【工具】→【Internet选项】选项，并切换到“高级”选项卡，在“设置”列表框中，取消“启用Java记录”和“启用Java控制台”复选框，不过，有些网站（如Hotmail）必须有Java才能正常运行。（4）通常，弹出式广告窗口基本上都是利用嵌套在主页面中的JavaScript语言来实现的，当打开网页时，这些代码就会自动被执行，而这些代码就是负责弹出这些小窗口的。因此，也可以利用对付弹出式广告的工具。常见的对付弹出式广告的工具有“广告窗口终结者”、“AtGuard（守护者）”、“ADfilter（广告过滤器）”、“AdMuncher（广告杀手）”等。（5）如果用户使用的操作系统是WindowsXPSP2，那么该系统自带了阻止弹出式窗口的程序，为用户阻止弹出式窗口提供了控制选择。在默认情况下，大部分的弹出式窗口被阻止。一旦弹出式窗口被阻止，将会显示一个信息提示窗口，并在信息栏中给出提示，同时可以听到声音提示。单击信息栏，弹