《信息安全技术基础》课件 7.1查杀病毒.pptx

第七单元病毒与木马

主要内容任务1查杀病毒

任务1查杀病毒由于公司财务系统多年未更新升级，部分财务数据还保存在WindowsXP系统的终端内，财务领导担心系统感染病毒，对财务数据进行损坏甚至造成数据泄露，因此领导找到小卫，要小卫帮忙进行病毒查杀和处理一下。在分析和处理财务终端病毒问题前，小卫需要提前了解更多知识。【任务情境】

任务1查杀病毒1、计算机病毒的特征通常，我们根据计算机病毒的基本特征判断一个程序是不是病毒。如何判定一个对程序是不是病毒，就要依据这个程序是否符合病毒的以下几个个基本特征：? 病毒的破坏性计算机病毒造成的最显著的后果是破坏计算机系统，并使之无法正常工作或删除用户保存的数据。无论是占用大量系统资源导致计算机无法正常使用，还是破坏文件，甚至毁坏计算机硬件，都会影响用户正常使用。【知识准备】

任务1查杀病毒? 病毒的传染性判断一个程序是否使病毒的另一个重要依据是其是否有传染性。病毒的编制者无论是出于什么目的，都希望其编写病毒能够大规模地传播。病毒的传播方式有很多种，它们可以通过网页、邮件、局域网的共享文件和操作系统的漏洞等方式进行传播。? 病毒的隐蔽性病毒是不受欢迎的程序，不会像正常的程序那样被正常的使用。因此病毒就一定要隐藏自己不被计算机用户发现，才能达到其传播和破坏的目的。另一方面，经过伪装的病毒还可能被用户当作正常的程序而被运行，这也是病毒触发的一种手段。病毒的隐藏方式是多种多样的。一种简单的隐藏方式是病毒将病毒文件放在Windows等系统目录下，并将文件名称命名为类似Windows系统文件的文件名，使对计算机操作系统不熟悉的人不敢去轻易删除它。新出现的蠕虫病毒更注重隐藏和伪装自身，不但可以伪造邮件的主题和正文，并且可以使用双扩展名的病毒文件作为附件，使得它更不容易被人发现。【知识准备】

任务1查杀病毒? 病毒的寄生性病毒在传播过程中需要一个载体。病毒会寄生在这些载体上传播。病毒载体主要有引导区、文件和内存等。病毒通过寄生在正常的文件上来隐藏自己，它的寄生过程就是它的传播和感染过程。【知识准备】

任务1查杀病毒2、计算机病毒查杀方式通常计算机病毒的检测方法有手工检测和自动检测两种方式。? 手工检测手工检测是指通过使用一些系统命令或编辑工具（DEBUG.COM、PCTOOLS.EXE等提供的功能）对病毒进行的检测。这种方法比较复杂，但可以分析检测新病毒或未知病毒，也可以用来检测一些自动检测工具不识别的病毒。? 自动检测自动检测是指通过一些专业的软件（如：杀毒软件）来判断一个系统或一个存储工具是否有毒的方法。自动检测则比较简单，一般用户都可以进行，这种方法可方便地检测大量的病毒，因自动检测软件主要是通过病毒特征码来识别病毒，因此自动检测软件一般都只能检测识别已知病毒，对未知病毒或新病毒检测识别就相对较弱。【知识准备】

任务1查杀病毒本次任务通过对具有代表性的熊猫烧香病毒进行手动查杀和清楚，了解和掌握病毒手动查杀的一般步骤和方法。步骤1：打开windows任务管理器，查看主机进程，如下图所示。【任务实施】图7-2查看进程

任务1查杀病毒步骤2：如果我们的电脑没有病毒或未出现过其他异常情况，我们可认为当前运行的进程都是可控的安全的。这时，我们开始运行熊猫烧香病毒程序。【任务实施】图7-3运行病毒样本

任务1查杀病毒提示：此次任务所用的“熊猫烧香”病毒样本的基本信息如下：MD5码：87551e33d5147442424e586d25a9f8522Sha-1码：cbbab396803685d5de593259c9b2fe4b0d967bc7文件大小：59KB【任务实施】

任务1查杀病毒步骤3：用Ctrl+Alt+Delete打开任务管理器，发现打开后马上自动关闭了。这就是刚才运行的病毒的影响。步骤4：打开开始-运行，输入cmd命令，点击确定，打开命令编辑窗口，如下图所示。【任务实施】图7-4输入命令

任务1查杀病毒步骤5：输入命令tasklist，查看系统当前进程，与运行病毒前的进程列表对比，发现多了一个名为spoclsv.exe的进程，这个进程就是此次实验的熊猫烧香病毒样本运行的进程，如图所示。【任务实施】

任务1查杀病毒【任务实施】图7-5查看进程

任务1查杀病毒步骤6：从进程列表里找到spoclsv.exe进程的PID号（如上图，spoclsv.exe进程的PID号为2548），在命令编辑窗口内输入taskkill/f/im2548(强制删除PID值为2548的文件映像，应注意PID值应该与查询结果一致。），从而结束这个PID号对应的进程。【任务实施】

任务1查杀病毒【任务实施】图7-6结束进程

任务1查杀病毒步骤7：用Ctrl+Alt+