《信息安全技术基础》课件 7.1查杀病毒

第七单元病毒与木马主要内容任务1查杀病毒任务1查杀病毒由于公司财务系统多年未更新升级，部分财务数据还保存在WindowsXP系统的终端内，财务领导担心系统感染病毒，对财务数据进行损坏甚至造成数据泄露，因此领导找到小卫，要小卫帮忙进行病毒查杀和处理一下。在分析和处理财务终端病毒问题前，小卫需要提前了解更多知识。【任务情境】任务1查杀病毒1、计算机病毒的特征通常，我们根据计算机病毒的基本特征判断一个程序是不是病毒。如何判定一个对程序是不是病毒，就要依据这个程序是否符合病毒的以下几个个基本特征： 病毒的破坏性计算机病毒造成的最显著的后果是破坏计算机系统，并使之无法正常工作或删除用户保存的数据。无论是占用大量系统资源导致计算机无法正常使用，还是破坏文件，甚至毁坏计算机硬件，都会影响用户正常使用。【知识准备】任务1查杀病毒 病毒的传染性判断一个程序是否使病毒的另一个重要依据是其是否有传染性。病毒的编制者无论是出于什么目的，都希望其编写病毒能够大规模地传播。病毒的传播方式有很多种，它们可以通过网页、邮件、局域网的共享文件和操作系统的漏洞等方式进行传播。 病毒的隐蔽性病毒是不受欢迎的程序，不会像正常的程序那样被正常的使用。因此病毒就一定要隐藏自己不被计算机用户发现，才能达到其传播和破坏的目的。另一方面，经过伪装的病毒还可能被用户当作正常的程序而被运行，这也是病毒触发的一种手段。病毒的隐藏方式是多种多样的。一种简单的隐藏方式是病毒将病毒文件放在Windows等系统目录下，并将文件名称命名为类似Windows系统文件的文件名，使对计算机操作系统不熟悉的人不敢去轻易删除它。新出现的蠕虫病毒更注重隐藏和伪装自身，不但可以伪造邮件的主题和正文，并且可以使用双扩展名的病毒文件作为附件，使得它更不容易被人发现。【知识准备】任务1查杀病毒 病毒的寄生性病毒在传播过程中需要一个载体。病毒会寄生在这些载体上传播。病毒载体主要有引导区、文件和内存等。病毒通过寄生在正常的文件上来隐藏自己，它的寄生过程就是它的传播和感染过程。【知识准备】任务1查杀病毒2、计算机病毒查杀方式通常计算机病毒的检测方法有手工检测和自动检测两种方式。 手工检测手工检测是指通过使用一些系统命令或编辑工具（DEBUG.COM、PCTOOLS.EXE等提供的功能）对病毒进行的检测。这种方法比较复杂，但可以分析检测新病毒或未知病毒，也可以用来检测一些自动检测工具不识别的病毒。 自动检测自动检测是指通过一些专业的软件（如：杀毒软件）来判断一个系统或一个存储工具是否有毒的方法。自动检测则比较简单，一般用户都可以进行，这种方法可方便地检测大量的病毒，因自动检测软件主要是通过病毒特征码来识别病毒，因此自动检测软件一般都只能检测识别已知病毒，对未知病毒或新病毒检测识别就相对较弱。【知识准备】任务1查杀病毒本次任务通过对具有代表性的熊猫烧香病毒进行手动查杀和清楚，了解和掌握病毒手动查杀的一般步骤和方法。步骤1：打开windows任务管理器，查看主机进程，如下图所示。【任务实施】图7-2查看进程任务1查杀病毒步骤2：如果我们的电脑没有病毒或未出现过其他异常情况，我们可认为当前运行的进程都是可控的安全的。这时，我们开始运行熊猫烧香病毒程序。【任务实施】图7-3运行病毒样本任务1查杀病毒提示：此次任务所用的“熊猫烧香”病毒样本的基本信息如下：MD5码：87551e33d5147442424e586d25a9f8522Sha-1码：cbbab396803685d5de593259c9b2fe4b0d967bc7文件大小：59KB【任务实施】任务1查杀病毒步骤3：用Ctrl+Alt+Delete打开任务管理器，发现打开后马上自动关闭了。这就是刚才运行的病毒的影响。步骤4：打开开始-运行，输入cmd命令，点击确定，打开命令编辑窗口，如下图所示。【任务实施】图7-4输入命令任务1查杀病毒步骤5：输入命令tasklist，查看系统当前进程，与运行病毒前的进程列表对比，发现多了一个名为spoclsv.exe的进程，这个进程就是此次实验的熊猫烧香病毒样本运行的进程，如图所示。【任务实施】任务1查杀病毒【任务实施】图7-5查看进程任务1查杀病毒步骤6：从进程列表里找到spoclsv.exe进程的PID号（如上图，spoclsv.exe进程的PID号为2548），在命令编辑窗口内输入taskkill/f/im2548(强制删除PID值为2548的文件映像，应注意PID值应该与查询结果一致。），从而结束这个PID号对应的进程。【任务实施】任务1查杀病毒【任务实施】图7-6结束进程任务1查杀病毒步骤7：用Ctrl+Alt+Delete再次尝试打开任务管理器，发现“任务管理器”可以成功打开了，如下图。【任务实施】图7-7打开任务管理器任务1查杀病毒步骤8：任务管理器能正常打开，说明spoclsv.exe进程已成功结束。接下来，需要对启动项进行排查。打开开始-运行，输入msconfig，点击确定，打开系统配置使用程序窗口，点击启动选项卡，如下图，可看到在启动项目列表里，还是存在spoclsv启动项，说明系统重新启动后，该病毒程序又将自动启动运行。现在查看并记录spoclsv.exe的命令（程序文件在磁盘上的文件路径）和位置内容（注册表位置）。【任务实施】任务1查杀病毒【任务实施】图7-8查看启动项任务1查杀病毒步骤9：根据刚才记录的位置内容（注册表位置），在运行中输入regedit打开注册表，找到注册表中Run中路径为C:\WINDOWS\system32\drivers\spoclsv.exe的键值，先不要删除键值，等待删除启动文件后在删除步骤10：打开命令行编辑窗口，先进入C:\WINDOWS\system32\drivers下，输入del/fspoclsv.exe命令，删除病毒样本启动文件，如下图。【任务实施】图7-9删除病毒文件任务1查杀病毒步骤11：现在删除注册表中Run中路径为C:\WINDOWS\system32\drivers\spoclsv.exe的键值。步骤:12：从启动项目列表里，取消勾选这个启动项，如下图。【任务实施】图7-10取消启动进程任务1查杀病毒步骤13：因为修改了启动项，系统会提示要求重启，我们选择重新启动。步骤14：重启电脑，再次打开“任务管理器”，发现进程列表里找不到spoclsv.exe进程，说明此次病毒样本运行的进程已经被删除了，病毒样本被清除掉了。步骤15：刚才在删除spoclsv进程前，发现自动启动项里有spoclsv，说明该病毒具备自动启动运行的特点。打开“我的电脑”，用鼠标右键点击C盘盘符，发现弹出的右键菜单中多出来一个Auto项，那么很明显C盘中存在autorun.inf的文件。打开命令编辑窗口，进入c盘根目录，输入dir/ah命令，把系统磁盘中的隐藏文件都列出来（因为一般病毒都会具备隐藏的特点），如下图。【任务实施】任务1查杀病毒【任务实施】图7-11查看隐藏文件任务1查杀病毒步骤16：如上图，我们发现C盘内存在autorun.inf与setup.exe这两个可疑文件（因为正常文件是不需要隐藏的，特别是EXE文件更加不需要隐藏自己）。在c盘根目录下输入attrib-s-a-h-rsetup.exe和attrib-s-a-h-rautorun.inf即可显示隐藏文件，从C盘内找到这2个文件，然后将这2个文件彻底