系统安全与病毒防护讲义.pptx

第六讲系统安全与病毒防护曾凡光本讲问题Q1、什么是病毒？列出几个常见病毒。Q2、怎样更加好地预防计算机病毒？Q3、怎样进行DOS和安全模式下杀毒？Q4、简述Attrib命令使用。Q5、怎样查看和终止进程？Q6、怎样用msconfig命令使负担沉重系统减负？Q7、怎样制作U盘DOS开启盘？Q8、怎样制作杀毒U盘？系统安全与病毒防护讲义第1页一、系统安全基本常识二、怎样更加好地预防计算机病毒入侵三、怎样洁净地去除病毒四、怎样进行DOS和安全模式下杀毒五、手工杀毒几个基本操作六、经典案例系统安全与病毒防护讲义第2页一、系统安全基本常识1、什么是计算机病毒病毒是一个程序。有独特复制能力，含有传染性，又经常难以根除。它们能把本身附着在各种类型文件上。当文件被复制或从一个用户传到另一个用户时，它们就随文件一起蔓延开来。所以,计算机病毒就是能够经过某种路径潜伏计算机病毒就是能够经过某种路径潜伏在计算机存放介质（或程序）里在计算机存放介质（或程序）里,当到达某种条件当到达某种条件时即被激活含有对计算机资源进行破坏作用一组时即被激活含有对计算机资源进行破坏作用一组程序或指令集合程序或指令集合.常见病毒：木马、蠕虫、广告软件（Adware)、间谍软件(Spyware)、浏览器劫持软件等。系统安全与病毒防护讲义第3页2、计算机安全注意事项尽可能不要在网上留下证实自己身份资料。尽可能不要把自己隐私资料经过网络传输.不要轻信网上流传消息，尤其是中奖消息。假如包括到金钱交易、商业协议、工作安排等重大事项，不要仅仅经过网络完成。不要轻易浏览不良网站.不要轻易安装共享软件、盗版软件.假如给浏览器安装插件，尽可能从浏览器提供商官方网站下载。使用含有破坏性功效软件，如硬盘整理、分区软件等，一定要仔细了解它功效之后再使用，防止因误操作产生不可挽回损失。系统安全与病毒防护讲义第4页二、怎样更加好地预防计算机病毒有病治病，无病预防。为了降低病毒侵扰，平时应做到“三打三防”。“三打三打”就是安装新计算机系统时，要注意打系统打系统补丁补丁，震荡波一类恶性蠕虫病毒普通都是经过系统漏洞传输，打好补丁就能够预防这类病毒感染；用户上网时候要打开杀毒软件实时监控打开杀毒软件实时监控，以免病毒经过网络进入自己电脑；玩网络游戏时要打开个人防打开个人防火墙火墙，防火墙能够隔绝病毒跟外界联络，预防木马病毒偷窃资料。系统安全与病毒防护讲义第5页“三防”就是防邮件病毒防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带附件；防木马病毒防木马病毒，木马病毒普通是经过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意防恶意“挚友挚友”，现在很多木马病毒能够经过MSN、QQ等即时通信软件或电子邮件传输，一旦你在线挚友感染病毒，那么全部挚友有可能遭到病毒入侵。系统安全与病毒防护讲义第6页三、怎样洁净地去除病毒1、在安全模式或纯DOS模式下去除病毒.当计算机感染病毒时候，绝大多数感染病毒处理能够在正常模式下彻底去除病毒。但有些病毒因为使用了愈加隐匿和狡猾伎俩，往往会对杀毒软件进行攻击甚至是删除系统中杀毒软件，针对这么病毒绝大多数杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。在安全模式（SafeMode）或者纯DOS下进行去除去除时，对于现在大多数流行病毒，如蠕虫病毒、木马程序和网页代码病毒等，都能够在安全模式或DOS下杀毒（提议用洁净软盘开启杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新病毒库），在安全模式（SafeMode）或者纯DOS下去除一遍病毒！系统安全与病毒防护讲义第7页安全模式杀毒流程开机或重启电脑进入安全模式调用杀毒软件查杀病毒DOS模式杀毒流程开机或重启电脑进入DOS模式在DOS下调用杀毒软件查杀病毒系统安全与病毒防护讲义第8页怎样进入安全模式开启过程中按下F8键是最传统也是最惯用方法：当我们打开电脑电源，硬件完成自检之后，立刻按下键盘上F8键，你将看到如图1所表示界面。这里列出了很多高级开启选项。在此安全模式又分为几个，普通情况下我们选择进入普通安全模式即可。除了这种最惯用方法外，在计算机开启时按住Ctrl键不放，也能够以“安全模式”开启系统。系统安全与病毒防护讲义第9页系统安全与病毒防护讲义第10页系统安全与病毒防护讲义第11页系统安全与病毒防护讲义第12页怎样进入DOS模式制作DOS开启盘和DOS杀毒盘用DOS开启光盘由开启选项进DOS用虚拟软驱U盘开启盘USBOOT1.7介绍U盘杀毒介绍系统安全与病毒防护讲义第13页由开启选项进DOS系统安全与病毒防护讲义第14页系统安全与病毒防护讲义第15页系统安全与病毒防护讲义第16页系统安全与病毒防护讲义第17页系统安全与病毒防护讲义第18页由虚拟软驱进DOS系统安全与病毒防护讲义第19页制作杀毒U盘现在许多杀毒软件都含有制作杀毒U盘功效，下面以瑞星为例，做个杀毒U盘。瑞星杀毒软件版：系统中已安装了瑞星杀毒软件版，点击“开始程序瑞星杀毒软件瑞星工具瑞星U盘杀毒工具”菜单项，按照制作向导，选择“U盘驱动器”，过程很简单，这里就不多说了，复制病毒库到U盘完成。完成后就能够用U盘进行DOS下杀毒了。别杀毒软件也都有制作杀毒U盘功效，制作方法也比较简单，使用方法也都类似，大家能够到网上查找相关介绍。系统安全与病毒防护讲义第20页2、在TemporaryInternetFiles目录下带毒文件清理因为Windows会对这个目录下文件有一定保护作用，所以这里带毒文件即使在安全模式下也不能进行去除，对于这种情况，请先关闭其它一些程序软件，然后打开IE，选择IE工具栏中工具Internet选项，选择删除文件删除即可，假如有提醒删除全部脱机内容，也请选上一并删除。系统安全与病毒防护讲义第21页3、在_Restore目录下，*.cpy文件中带毒文件这是系统还原存放还原文件目录，只有在装了WindowsMe/XP操作系统上才会有这个目录，因为系统对这个目录有保护作用，所以对于这种情况需要先取消“系统还原”功效（我电脑属性），然后将带毒文件删除。系统安全与病毒防护讲义第22页4、加密文件或目录对于一些加密了文件或目录，请在解密后再进行病毒查杀。5、对U盘等存放介质杀毒需注意介质是否处于写保护状态。系统安全与病毒防护讲义第23页四、惯用DOS命令介绍DIRCDDELFDISKFORMATSYSATTRIBTASKLISTTASKKILL系统安全与病毒防护讲义第24页DIR:显示一个目录下文件和子目录，是DOS中使用最广泛命令之一。参数：/P：在每个信息屏幕后暂停；/W：用宽列表格式；使用方法1、dir/w使用方法2、dir/p使用方法3、dir/w/p系统安全与病毒防护讲义第25页CD：显示当前目录名或改变当前目录CD是DOS中使用频率最高命令之一。主要是为了快速切换到另一盘符或目录中，比如“CDG:Temp”能够快速跳转到“G:Temp”目录，使用“CD.”能够退回到上一级目录，而使用“CD”能够快速返回当前盘根目录中。系统安全与病毒防护讲义第26页DEL：删除文件DEL命令能够删除一个或数个指定文件（但无法删除文件夹），假如键入“DEL*.*”命令将会删除当前路径下全部文件，系统会给出确认提醒框请求确认。假如你想删除文件夹话，能够使用DELTREE命令，这是一条外部命令。系统安全与病毒防护讲义第27页FDISK：硬盘分区这是一个极其危险DOS命令，它作用是对硬盘进行分区，使用后将丢失硬盘中全部文件。新手不要轻易使用这条命令。FORMAT：高级格式化不论是硬盘还是软盘，都必须进行高级格式化后才能使用，FORMAT命令功效就是高级格式化磁盘，假如加上/s参数能够制作系统盘，加上/Q参数可执行快速格式化。系统安全与病毒防护讲义第28页SYS：传递系统文件除了使用FORMAT/S命令来制作系统盘外，我们也能够使用SYS命令来传递系统文件，比如“C:SYSA:”就是将C盘系统文件传递到A盘，这在安装了多操作系统计算机上恢复系统文件时尤其有用。系统安全与病毒防护讲义第29页五、手工杀毒几个基本操作手工杀毒基本程序：查看进程发觉病毒及可疑进程终止进程清理病毒及可疑进程(注册表中清理相关信息)利用任务管理器查看进程信息Attrib命令查看和终止进程系统安全与病毒防护讲义第30页利用任务管理器查看进程信息怎样显示PID信息：查看选择列-PID系统安全与病毒防护讲义第31页Attrib命令attrib设置文件属性用法attrib显示全部文件属性attrib+r或-r文件名设置文件属性是否只读attrib+h或-h文件名设置文件属性是否隐含attrib+s或-s文件名设置文件属性是否系统文件attrib+a或-a文件名设置文件属性是否归档文件attrib/s设置包含子目录文件在内文件属性系统安全与病毒防护讲义第32页查看和终止进程tasklist和taskkilltasklist能列出全部进程，和对应信息,tasklist/svc显示哪些进程为系统所用。taskkill能查杀进程，语法很简单：taskkill/PID程序ID+命令参数。其中参数/f表示强制关闭，/t表示指定终止与父进程一起全部子进程，常被认为是“树终止”，同时会显示父进程和各个子进程PID。也能够用另一个命令格式：taskkill/im进程名+命令参数系统安全与病毒防护讲义第33页系统安全与病毒防护讲义第34页系统安全与病毒防护讲义第35页系统安全与病毒防护讲义第36页六、经典案例怎样处理双进程木马双击硬盘不能打开浏览器被劫持一个实例系统安全与病毒防护讲义第37页案例一：查杀双进程木马某电脑中了某木马，经过任务管理器查出该木马进程为“system.exe”，终止它后再刷新，它又会复活。进入安全模式把c：windowssystem32system.exe删除，重启后它又会重新加载，怎么也无法彻底去除它。从此现象来看，中应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发觉被监护进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，相互复活。所以查杀关键是找到这“相互依靠”两个木马文件。借助任务管理器PID标识能够找到木马进程。系统安全与病毒防护讲义第38页调出Windows任务管理器，首先在“查看选择列”中勾选“PID(进程标识符)”，这么返回任务管理器窗口后能够看到每一个进程PID标识。这么当我们终止一个进程，它再生后经过PID标识就能够找到再生它父进程。开启命令提醒符窗口，执行“taskkill/t/pid/f”命令,能够看到这次终止进程PID，和它归属父进程PID。返回任务管理器，经过查询进程PID找出父进程进程名（如internet.exe等），这就是木马进程父进程。系统安全与病毒防护讲义第39页找到了元凶就好办了，重新开启系统进入安全模式，使用搜索功效找到木马进程及其父进程，然后将它们删除即可。前面无法删除system.exe，主要是因为没有找到其父进程(且没有删除其开启键值)，造成重新进入系统后internet.exe复活木马。系统安全与病毒防护讲义第40页案例二、双击硬盘不能打开原因：病毒在驱动器下面写入了一个AutoRun.inf文件。处理方法：(以D盘为例)：开始-运行-cmd（打开命令提醒符）D:dir/a（没有参数A是看不到，A是显示全部意思）此时你会发觉一个autorun.inf文件attribautorun.inf-s-h-r去掉autorun.inf文件系统、只读、隐藏属性，不然无法删除autorun.inf，delautorun.inf到这里还没完，还需要去除注册表中相关信息：开始运行regedit编辑查找autorun找到第一个就是D盘自动运行，删除整个shell子键（注意：删时候一定要是shell这个子健，假如查找是别项或子键，一定不要乱删！）完成。系统安全与病毒防护讲义第41页小结：手工杀毒步骤找出病毒进程及其父、子进程（进程管理器、baidu等）找到病毒进程所在位置（搜索计算机）在安全模式中给予去除（也可在正常模式下先结束进程后再给予去除）,或者在DOS状态下处理.系统安全与病毒防护讲义第42页案例三、浏览器被劫持一个实例症状原来IE图标被删，换成这个仿冒。注意这个IE图标是internatexplorar正常应该是internetexplorer。系统安全与病毒防护讲义第43页双击这个图标，弹出下面窗口.用IE伴侣无法修复，找IE属性又找不到。系统安全与病毒防护讲义第44页处理方法：1、依据地址栏地址C:ProgramFilesHaozip00258，找到对应文件夹,将该文件夹删除。假如能用注册表编辑器把里边关于这个地址栏项目删除洁净效果更加好。2、打开C:ProgramFilesInternetExplorer，把里边IE图标发个桌面快捷方式。3、删除仿冒IE图标。4、进行IE设置。系统安全与病毒防护讲义第45页小资料：“开始运行”命令集锦 gpedit.msc-组策略组策略 sndrec32-录音机录音机 Nslookup-IP地址侦测器地址侦测器 explorer-打开资源管理器打开资源管理器 tsshutdn-60秒倒计时关机命令秒倒计时关机命令 lusrmgr.msc-本机用户和组本机用户和组 services.msc-当地服务设置当地服务设置 oobe/msoobe/a-检验检验XP是否激活是否激活 notepad-打开记事本打开记事本 cleanmgr-垃圾整理垃圾整理 logoff-注销命令注销命令 net start messenger-开始信使服务开始信使服务 compmgmt.msc-计算机管理计算机管理 net stop messenger-停顿信使服务停顿信使服务 conf-开启开启netmeetingdvdplay-DVD播放器播放器 charmap-开启字符映射表开启字符映射表系统安全与病毒防护讲义第46页diskmgmt.msc-磁盘管理实用程序磁盘管理实用程序 calc-开启计算器开启计算器 eventvwr.msc-事件查看事件查看 dfrg.msc-磁盘碎片整理程序磁盘碎片整理程序 chkdsk.exe-Chkdsk磁盘检验磁盘检验 devmgmt.msc-设备管理器设备管理器 regsvr32/u*.dll-停顿停顿dll文件运行文件运行 drwtsn32-系统医生系统医生 rononce-p-15秒关机秒关机 dxdiag-检验检验DirectX信息信息 regedt32-注册表编辑器注册表编辑器 Msconfig.exe-系统配置实用程序系统配置实用程序rsop.msc-组策略结果集组策略结果集 mem.exe-显示内存使用情况显示内存使用情况 regedit.exe-注册表注册表 winmsd-系统信息系统信息 winchat-XP自带局域网聊天自带局域网聊天progman-程序管理器程序管理器 perfmon.msc-计算机性能监测程序计算机性能监测程序 winver-检验检验Windows版本版本系统安全与病毒防护讲义第47页