计算机病毒原理与防范（第2版）（秦志光 张凤荔）PPT全套完整教学课件.ppt

木马病毒实例当登录某些网站后弹出多个窗口且无法关闭，系统运行速度缓慢，随后会出现IE的起始页面被修改等类似感染计算机病毒的现象。经确认证实，网站包含恶意代码和计算机病毒“Troj_QQmess”，该计算机病毒为已知木马病毒，可以通过OICQ进行传播。这一计算机病毒感染系统为Windows95/98/Me/NT/2000/XP，计算机病毒运行后，会释放多个文件在Windir和系统目录下，修改注册表键值，更改用户的IE起始页面，并通过OICQ进行传播。表面上，用户在登录网站时会有多个窗口弹出，并感到系统运行速度减慢。这一计算机病毒的特征如下。（1）生成计算机病毒文件（2）修改注册表项（3）更改IE起始页面（4）通过OICQ进行传播预防预防木马其实很简单，就是不要执行任何来历不明的软件或程序，不管是邮件中还是从Internet上下载到的。在下载软件时，一定要从正规的网站下载。针对计算机中的个人敏感数据（口令、信用卡账号等），一定要妥善保护。趋势科技的网络安全个人版防毒软件就针对用户的敏感数据，特别增加了个人私密数据保护功能。利用该功能可将个人重要信息列入保护状态，避免不当外泄。另外，用户采取一些个性化的措施来防治病毒也是很可取的。即，用户有预防或查杀计算机病毒，以及对感染计算机病毒的计算机系统进行灾难恢复过程中，针对不同的计算机病毒需进行个性化的处理，这样往往能达到事半功倍的效果。检测对于一些常见的木马，如“SUB7”、“BO2000”、“冰河”等，它们都是采用打开TCP端口监听和写入注册表启动等方式，使用木马克星之类的软件就可以检测到这些木马，这些检测木马的软件大多都是利用检测TCP连接、注册表等信息来判断是否有木马入侵，因此我们也可以通过手工来侦测木马。（1）当浏览一个网站，弹出来一些广告窗口是很正常的事情，可是如果根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么就有可能是感染了木马。（2）正在操作计算机时，突然一个警告框或者是询问框弹出来，问一些从来没有在计算机上接触过的问题。（3）Windows系统配置老是自动莫名其妙地被更改，例如屏保显示的文字、时间和日期、声音大小、鼠标灵敏度，还有CD-ROM的自动运行配置等。（4）硬盘老是没缘由地读盘、软驱灯经常自己亮起、网络连接及鼠标屏幕出现异常现象等。这时，最简单的方法就是使用Netstat-a命令查看。检测1．检查注册表注册表一直都是很多木马和计算机病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。（1）检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为.EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除。接着到计算机中找到木马文件的藏身地将其彻底删除。例如“爱虫”计算机病毒会修改上面所提的第一项，“BO2000”木马会修改上面所提的第二项。（2）检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项（如LocalPage），如果发现键值被修改了，只要根据判断改回去就行了。恶意代码（如“万花谷”等）就经常修改这几项。（3）检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等几个常用文件类型的默认打开程序是否被更改。如果已更改则一定要改回来，很多计算机病毒就是通过修改.txt，.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”计算机病毒就修改了很多文件（包括.jpg，.rar，.mp3等）的默认打开程序。2．检查你的系统配置文件其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”（从开始菜单运行msconfig.exe），在里面可以配置Config.sys，Autoexec.bat，System.ini和Win.ini，并且可以选择启动系统的时间。（1）检查win.ini文件（在C：＼Windows＼下），打开后，在Windows下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，在它们的等号后面什么都没有，如果发现后面跟有的路径与文件名不