计算机病毒的防治课件.ppt

病毒描述 　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。 　　假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32\wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 注意点： svchost.exe  　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。如果svchost.exe进程的数量多于6个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。 6.3　病毒的预防、检测和清除 6.3.1　计算机病毒的预防 6.3.2　计算机病毒的检测方法 6.3.3　计算机病毒的清除 6.3.4 病毒实例 6.3.1　计算机病毒的检测 （1）使用无毒的系统软件和应用软件。 （2）CMOS设置。 （3）使用最新的系统安全更新。 （4）禁用Windows Script Host（WSH）和FSO对象。 （6）启动防火墙 。 （7）启用宏病毒警告 。 （8）邮件附件的处理。 （9）安装杀毒软件。 6.3.2　计算机病毒的检测方法 1．特征代码法 2．校验和法 3．行为监测法 4．软件模拟法 5．启发式扫描技术 6.3.3　计算机病毒的清除 1．引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其他的方法进行恢复。 引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以下步骤： （1）用Windows 95/98 的干净启动盘启动计算机。 （2）在命令行中键入下列命令： fdisk /mbr （用来更新主引导记录，也称硬盘分区表） Sys C: （恢复硬盘引导扇区） （3）重启计算机。 在Windows 2000/XP平台下，可以用以下方法进行恢复： （1）用Windows 2000/XP 安装光盘启动。 （2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。 （3）选择正确的要修复的机器的数量。 （4）键入管理员密码，如果没有密码，则直接回车。 （5）在命令行键入下面的命令： FIXMBR 回车 FIXBOOT 回车 （6）键入EXIT，重启计算机。 2．文件型病毒的清除 （1）检查注册表 （2）检查win.ini文件 （3）检查system.ini文件 （4）重新启动计算机，然后根据文件名，在硬盘找到这个程序，将其删除。 3．宏病毒的清除 在Micrsoft Office应用程序中打开“工具”→ “宏”→“Visual Basic编辑器”，早期的版本为宏管理器。进入到编辑器窗口，用户可以查看Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又没有加载这类特殊模板，这就极可能是宏病毒在作祟，因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后，可以在通用模板中删除被认为是病毒的宏。 还有一种方法更为简单，通过搜索系统文件，找到Autoexec.dot和Nomal.dot文件，直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。 4．网络病毒的清除 （1）系统加固。 （2）建立病毒预警检测系统。 （3）在互联网接入口处安装防病毒网关，将病毒隔离在外部网络。 6.3.4　病毒实例 1．CIH病毒 2．冲击波病毒 3．爱虫病毒 4．梅丽莎病毒 5．红色代码病毒 6.4　防毒战略和相关产品 6.4.1　传统的防毒策略 6.4.2　新防护