第六讲系统安全与病毒防护曾凡光本讲问题Q1、什么是病毒?列出几种常见病毒。Q2、如何更好地预防计算机病毒?Q3、如何进行DOS和安全模式下的杀毒?Q4、简述Attrib命令的使用。Q5、如何查看和终止进程?Q6、怎样用msconfig命令使负担沉重的系统减负?Q7、怎样制作U盘DOS启动盘?Q8、怎样制作杀毒U盘?•一、系统安全基本常识•二、如何更好地预防计算机病毒入侵•三、如何干净地清除病毒•四、如何进行DOS和安全模式下的杀毒•五、手工杀毒的几个基本操作•六、典型案例一、系统安全基本常识•1、什么是计算机病毒•病毒是一种程序。有独特的复制能力,具有传染性,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传到另一个用户时,它们就随文件一起蔓延开来。所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合.•常见病毒:木马、蠕虫、广告软件(Adware)、间谍软件(Spyware)、浏览器劫持软件等。•2、计算机安全注意事项•尽量不要在网上留下证明自己身份的资料。•尽量不要把自己的隐私资料通过网络传输.•不要轻信网上流传的消息,尤其是中奖消息。•如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成。•不要轻易浏览不良网站.•不要轻易安装共享软件、盗版软件.•如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载。•使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。二、如何更好地预防计算机病毒•有病治病,无病预防。为了减少病毒的侵扰,平时应做到“三打三防”。“三打”就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。•“三防”就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过MSN、QQ等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友有可能遭到病毒的入侵。三、如何干净地清除病毒•1、在安全模式或纯DOS模式下清除病毒.当计算机感染病毒的时候,绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒。但有些病毒由于使用了更加隐匿和狡猾的手段,往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件,针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。在安全模式(SafeMode)或者纯DOS下进行清除清除时,对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模式或DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全模式(SafeMode)或者纯DOS下清除一遍病毒!•安全模式杀毒流程•开机或重启电脑——进入安全模式——调用杀毒软件——查杀病毒•DOS模式杀毒流程•开机或重启电脑——进入DOS模式——在DOS下调用杀毒软件——查杀病毒•如何进入安全模式•启动过程中按下F8键是最传统也是最常用的方法:当我们打开电脑电源,硬件完成自检之后,立刻按下键盘上的F8键,你将看到如图1所示的界面。这里列出了很多高级启动选项。在此安全模式又分为几种,一般情况下我们选择进入普通的安全模式即可。•除了这种最常用的方法外,在计算机启动时按住Ctrl键不放,也可以以“安全模式”启动系统。如何进入DOS模式•制作DOS启动盘和DOS杀毒盘•用DOS启动光盘•由启动选项进DOS•用虚拟软驱•U盘启动盘USBOOT1.7简介U盘杀毒简介由启动选项进DOS由虚拟软驱进DOS制作杀毒U盘•现在许多的杀毒软件都具有制作杀毒U盘的功能,下面以瑞星为例,做个杀毒U盘。•瑞星杀毒软件2007版:系统中已安装了瑞星杀毒软件2007版,点击“开始→程序→瑞星杀毒软件→瑞星工具→瑞星U盘杀毒工具”菜单项,按照制作向导,选择“U盘驱动器”,过程很简单,这里就不多说了,复制病毒库到U盘完成。完成后就可以用U盘进行DOS下的杀毒了。•别的杀毒软件也都有制作杀毒U盘的功能,制作方法也比较简单,用法也都类似,大家可以到网上查找相关介绍。•2、在\TemporaryInternetFiles目录下带毒文件的清理由于Windows会对这个目录下的文件有一定的保护作用,所以这里的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开IE,选择IE工具栏中的工具\Internet选项,选择删除文件删除即可,如果有提示删除所有脱机内容,也请选上一并删除。•3、在\_Restore目录下,*.cpy文件中的带毒文件这是系统还原存放还原文件的目录,只有在装了WindowsMe/XP操作系统上才会有这个目录,由于系统对这个目录有保护作用,因此对于这种情况需要先取消“系统还原”功能(我的电脑—属性),然后将带毒文件删除。•4、加密的文件或目录对于一些加密了的文件或目录,请在解密后再进行病毒查杀。•5、对U盘等存储介质的杀毒需注意介质是否处于写保护状态。四、常用DOS命令简介•DIR•CD•DEL•FDISK•FORMAT•SYS•ATTRIB•TASKLIST•TASKKILL•DIR:显示一个目录下的文件和子目录,是DOS中使用最广泛的命令之一。参数:/P:在每个信息屏幕后暂停;/W:用宽列表格式;用法1、dir/w用法2、dir/p用法3、dir/w/p•CD:显示当前目录名或改变当前目录CD是DOS中使用频率最高的命令之一。主要是为了快速切换到另一盘符或目录中,例如“CDG:Temp”可以快速跳转到“G:Temp”目录,使用“CD..”可以退回到上一级目录,而使用“CD\”可以快速返回当前盘的根目录中。•DEL:删除文件DEL命令可以删除一个或数个指定的文件(但无法删除文件夹),如果键入“DEL*.*”命令将会删除当前路径下所有文件,系统会给出确认提示框请求确认。如果你想删除文件夹的话,可以使用DELTREE命令,这是一条外部命令。•FDISK:硬盘分区这是一个极其危险的DOS命令,它的作用是对硬盘进行分区,使用后将丢失硬盘中所有的文件。新手不要轻易使用这条命令。•FORMAT:高级格式化无论是硬盘还是软盘,都必须进行高级格式化后才能使用,FORMAT命令的功能就是高级格式化磁盘,如果加上/s参数可以制作系统盘,加上/Q参数可执行快速格式化。•SYS:传递系统文件除了使用FORMAT/S命令来制作系统盘外,我们也可以使用SYS命令来传递系统文件,例如“C:SYSA:”就是将C盘的系统文件传递到A盘,这在安装了多操作系统的计算机上恢复系统文件时特别有用。五、手工杀毒的几个基本操作•手工杀毒的基本程序:查看进程→发现病毒及可疑进程→终止进程→清理病毒及可疑进程→(注册表中清理相关信息)•运用任务管理器查看进程信息•Attrib命令•查看和终止进程•运用任务管理器查看进程信息怎样显示PID信息:查看—选择列--PID•Attrib命令•attrib设置文件属性[用法]attrib显示所有文件的属性attrib+r或-r[文件名]设置文件属性是否只读attrib+h或-h[文件名]设置文件属性是否隐含attrib+s或-s[文件名]设置文件属性是否系统文件attrib+a或-a[文件名]设置文件属性是否归档文件attrib/s设置包括子目录的文件在内的文件属性查看和终止进程tasklist和taskkill•tasklist能列出所有的进程,和相应的信息,tasklist/svc显示哪些进程为系统所用。taskkill能查杀进程,语法很简单:taskkill/PID[程序的ID]+命令参数。其中参数/f表示强制关闭,/t表示指定终止与父进程一起的所有子进程,常被认为是“树终止”,同时会显示父进程和各个子进程的PID。•也可以用另一种命令格式:taskkill/im进程名+命令参数六、典型案例•如何解决双进程木马•双击硬盘不能打开•浏览器被劫持的一个实例案例一:查杀双进程木马•某电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。进入安全模式把c:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。•调出Windows任务管理器,首先在“查看→选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill/t/pid/f”命令,可以看到这次终止的进程的PID,和它归属的父进程的PID。返回任务管理器,通过查询进程PID找出父进程的进程名(如internet.exe等),这就是木马进程的父进程。•找到了元凶就好办了,重新启动系统进入安全模式,使用搜索功能找到木马进程及其父进程,然后将它们删除即可。前面无法删除system.exe,主要是由于没有找到其父进程(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。案例二、双击硬盘不能打开•原因:病毒在驱动器下面写入了一个AutoRun.inf文件。解决方法:(以D盘为例):开始---运行---cmd(打开命令提示符)•D:\dir/a(没有参数A是看不到的,A是显示所有的意思)此时你会发现一个autorun.inf文件attribautorun.inf-s-h-r去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除autorun.inf,delautorun.inf到这里还没完,还需要清除注册表中相关信息:开始——运行——regedit——编辑——查找autorun找到的第一个就是D盘的自动运行,删除整个shell子键(注意:删的时候一定要是shell这个子健,如果查找的是别的项或子键,一定不要乱删!)完毕。小结:手工杀毒步骤•找出病毒进程及其父、子进程(进程管理器、百度等)•找到病毒进程所在位置(搜索计算机)•在安全模式中予以清除(也可在正常模式下先结束进程后再予以清除),或者在DOS状态下解决.案例三、浏览器被劫持的一个实例•症状•原来的IE图标被删,换成这个仿冒的。•注意这个IE图标是internatexplorar正常的应该是internetexplorer。•双击这个图标,弹出下面的窗口.用IE伴侣无法修复,找IE属性又找不到。解决方法:•1、根据地址栏的地址C:\ProgramFiles\Haozip\002\58,找到对应的文件夹,将该文件夹删除。如果能用注册表编辑器把里边关于这个地址栏的项目删除干净效果更好。•2、打开C:\ProgramFiles\InternetExplorer,把里边的IE图标发个桌面快捷方式。•3、删除仿冒IE图标。•4、进行IE设置。小资料:“开始——运行”命令集锦gpedit.msc-----组策略sndrec32-------录音机Nslookup-------IP地址侦测器explorer-------打开资源管理器tsshutdn-------60秒倒计时关机命令lusrmgr.msc----本机用户和组s