系统安全与病毒防护.pptVIP

Attrib命令 attrib 　　　设置文件属性 ［用　　法］attrib 显示所有文件的属性 attrib +r或-r [文件名] 设置文件属性是否只读 attrib +h或-h [文件名] 设置文件属性是否隐含 attrib +s或-s [文件名] 设置文件属性是否系统文件 attrib +a或-a [文件名] 设置文件属性是否归档文件 attrib /s 设置包括子目录的文件在内的文件属性 查看和终止进程 tasklist和taskkill tasklist能列出所有的进程，和相应的信息, tasklist /svc 显示哪些进程为系统所用。taskkill能查杀进程，语法很简单：taskkill /PID [程序的ID]+命令参数。其中参数 /f 表示强制关闭，/t表示指定终止与父进程一起的所有子进程，常被认为是“树终止”，同时会显示父进程和各个子进程的PID。 也可以用另一种命令格式：taskkill /im 进程名 +命令参数 六、典型案例 如何解决双进程木马 双击硬盘不能打开 浏览器被劫持的一个实例 案例一：查杀双进程木马 某电脑中了某木马，通过任务管理器查出该木马进程为“system.exe”，终止它后再刷新，它又会复活。进入安全模式把c：\windows\system32\system.exe删除，重启后它又会重新加载，怎么也无法彻底清除它。从此现象来看，中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。 调出Windows任务管理器，首先在“查看→选择列”中勾选“PID(进程标识符)”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口，执行“taskkill /t /pid /f”命令,可以看到这次终止的进程的PID，和它归属的父进程的PID。返回任务管理器，通过查询进程PID找出父进程的进程名（如 internet.exe等 ），这就是木马进程的父进程。 找到了元凶就好办了，重新启动系统进入安全模式，使用搜索功能找到木马进程及其父进程 ，然后将它们删除即可。前面无法删除system.exe，主要是由于没有找到其父进程(且没有删除其启动键值)，导致重新进入系统后internet.exe复活木马。  案例二、双击硬盘不能打开 原因：病毒在驱动器下面写入了一个AutoRun.inf文件。解决方法：(以D盘为例)：开始---运行---cmd（打开命令提示符） D:\dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现一个autorun.inf文件 attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除 autorun.inf ， del autorun.inf 到这里还没完，还需要清除注册表中相关信息： 开始——运行——regedit ——编辑——查找 autorun找到的第一个就是D盘的自动运行，删除整个shell子键（注意：删的时候一定要是shell这个子健，如果查找的是别的项或子键，一定不要乱删！） 完毕。 小结：手工杀毒步骤 找出病毒进程及其父、子进程（进程管理器、百度等） 找到病毒进程所在位置（搜索计算机） 在安全模式中予以清除（也可在正常模式下先结束进程后再予以清除）,或者在DOS状态下解决. 案例三、浏览器被劫持的一个实例 症状 原来的IE图标被删，换成这个仿冒的。 注意这个IE图标是internat explorar正常的应该是internet explorer。 双击这个图标，弹出下面的窗口.用IE伴侣无法修复，找IE属性又找不到。 解决方法： 1、根据地址栏的地址C:\Program Files\Haozip\ 002\58，找到对应的文件夹,将该文件夹删除。如果能用注册表编辑器把里边关于这个地址栏的项目删除干净效果更好。 2、打开C:\Program Files\Internet Explorer，把里边的IE图标发个桌面快捷方式。 3、删除仿冒IE图标。 4、进行IE设置。 小资料：“开始——运行”命令集锦 gpedit.msc-----组策略 sndrec32-------录音机 Nslookup-------IP地址侦测器 explorer-------打开资源管理器 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机用户和