计算机安全技术-2.4 手工杀毒.pptVIP

* 手工查杀病毒的步骤4 右键IE属性-程序-管理插件禁用非官方或者不认识的插件 遇到删不掉的文件,可以用ICESWORD先设置:禁止进线程创建 ,然后强制删除 而后在同样位置创建同名文件并设置属性 attrib 路径\文件名 +s +h +r +a 遇到系统文件被损坏的,可以从别的机器拷贝替代 遇到顽固的病毒,可以通过组策略限制 * 手工查杀病毒的步骤5 计算机配置-windows设置-安全设置-软件限定策略-额外策略-新建一策略,然后找到病毒文件名,即可 2. 用户配置-管理员模版-系统-禁止运行的应用程序-启用添加病毒程序名(不需要路径) 安装杀毒软件和反间谍软件,升级,并查杀..再重启进安全模式… * 病毒知识及安全工具 瑞星卡卡安全论坛 /showtopic-8442813.aspx * 作业 到邮箱 itsec_ouc@163.com下载附件，对附件中的的SRENG扫描记录进行分析，给出分析结果和操作建议，按照学号末尾的数字选择相应的日志进行分析（比如末尾是1的选择日志1），以书面手写的形式交上来，作业上要包含姓名，学号。 * 计算机安全技术 计算机病毒的检测与清除 * 提纲 计算机病毒行为特征 计算机病毒手工清除 实验 * 计算机病毒的手工清除 了解计算机病毒的行为特点，判断计算机是否感染病毒。 了解一般手工清除病毒的方法，步骤 了解安全工具的使用方法。 * 计算机病毒的行为特点 病毒要长期存活下去，必将以文件的形式保存在磁盘上 病毒要激活，必须能够实现自动运行 木马，蠕虫还要对外进行网络通信。 * 病毒文件操作 很多攻击在执行之后都会产生一些文件，这些文件中既有二进制文件又有文本文件。二进制文件中主要有可执行文件和 DLL 文件两类，可执行文件中有些是攻击自身的副本，DLL 文件包含着攻击的主要功能。文本文件的内容主要包含着攻击的一些配置信息、日志信息和攻击的攻击目标信息。因此有必要对文件的增减进行监测。 系统中的一些关键文件夹中的文件、文件夹的增减进行监测，这些文件夹是攻击经常光顾的地方。 %windir% %windir%\system %windir%\system32 %windir%\system32\drivers %windir%\system32\config %windir%\Tasks %windir%\Temp ：\Documents and Settings\用户名字\「开始」菜单\程序\启动 ：\Documents and Settings\All Users\「开始」菜单\程序\启动 ：\Documents and Settings\用户名字\Local Settings\Temp * 病毒文件操作 很多攻击经常修改系统的一些重要文件以达到其攻击目的，比如用带有后门的系统命令文件替换掉系统中原有的系统命令文件，修改系统的一些重要配置文件。因此有必要对文件进行完整性检查。 AUTOEXEC.BAT CONFIG.SYS :\Program Files\Internet Explorer Autorun.inf * 自启动技术 自启动技术的任务是保证恶意代码在受害主机下一次开机启动的后能够正常工作。自启动的方法有很多，归纳起来主要有六种： 通过服务启动、 通过添加注册表启动项启动、 通过文件关联启动、 通过修改系统配置文件启动、 作为其他程序插件启动、 通过文件绑定方式启动 * 自启动技术 1、通过服务启动 通过将恶意代码注册成服务的方法，每次系统启动的时候都可以启动恶意代码 * 通过添加注册表启动项启动 注册表的启动项包括： [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunServices [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\Run [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunOnce [HKEY_CURRENT_USER \Software\Microsoft\Windows \CurrentVersion\Run [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunOnce [HKEY_CURRENT_USER \Software\Microsoft\Windo