系統(tǒng)安全與病毒防護第1頁，共47頁，2023年，2月20日，星期日一、系統(tǒng)安全基本常識二、如何更好地預(yù)防計算機病毒入侵三、如何干凈地清除病毒四、如何進行DOS和安全模式下的殺毒五、手工殺毒的幾個基本操作六、典型案例第2頁，共47頁，2023年，2月20日，星期日一、系統(tǒng)安全基本常識1、什么是計算機病毒病毒是一種程序。有獨特的復(fù)制能力，具有傳染性，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個用戶傳到另一個用戶時，它們就隨文件一起蔓延開來。

所以,計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里,當(dāng)達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合.

常見病毒：木馬、蠕蟲、廣告軟件（Adware)、間諜軟件(Spyware)、瀏覽器劫持軟件等。第3頁，共47頁，2023年，2月20日，星期日2、計算機安全注意事項盡量不要在網(wǎng)上留下證明自己身份的資料。盡量不要把自己的隱私資料通過網(wǎng)絡(luò)傳輸.不要輕信網(wǎng)上流傳的消息，尤其是中獎消息。如果涉及到金錢交易、商業(yè)合同、工作安排等重大事項，不要僅僅通過網(wǎng)絡(luò)完成。不要輕易瀏覽不良網(wǎng)站.不要輕易安裝共享軟件、盜版軟件.如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網(wǎng)站下載。使用具有破壞性功能的軟件，如硬盤整理、分區(qū)軟件等，一定要仔細了解它的功能之后再使用，避免因誤操作產(chǎn)生不可挽回的損失。第4頁，共47頁，2023年，2月20日，星期日二、如何更好地預(yù)防計算機病毒有病治病，無病預(yù)防。為了減少病毒的侵?jǐn)_，平時應(yīng)做到“三打三防”。

“三打”就是安裝新的計算機系統(tǒng)時，要注意打系統(tǒng)補丁，震蕩波一類的惡性蠕蟲病毒一般都是通過系統(tǒng)漏洞傳播的，打好補丁就可以防止此類病毒感染；用戶上網(wǎng)的時候要打開殺毒軟件實時監(jiān)控，以免病毒通過網(wǎng)絡(luò)進入自己的電腦；玩網(wǎng)絡(luò)游戲時要打開個人防火墻，防火墻可以隔絕病毒跟外界的聯(lián)系，防止木馬病毒盜竊資料。第5頁，共47頁，2023年，2月20日，星期日“三防”就是防郵件病毒，用戶收到郵件時首先要進行病毒掃描，不要隨意打開電子郵件里攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網(wǎng)站散播，用戶從網(wǎng)上下載任何文件后，一定要先進行病毒掃描再運行；防惡意“好友”，現(xiàn)在很多木馬病毒可以通過MSN、QQ等即時通信軟件或電子郵件傳播，一旦你的在線好友感染病毒，那么所有好友有可能遭到病毒的入侵。第6頁，共47頁，2023年，2月20日，星期日三、如何干凈地清除病毒

1、在安全模式或純DOS模式下清除病毒.

當(dāng)計算機感染病毒的時候，絕大多數(shù)的感染病毒的處理可以在正常模式下徹底清除病毒。但有些病毒由于使用了更加隱匿和狡猾的手段，往往會對殺毒軟件進行攻擊甚至是刪除系統(tǒng)中的殺毒軟件，針對這樣的病毒絕大多數(shù)的殺毒軟件都被設(shè)計為在安全模式可安裝、使用、執(zhí)行殺毒處理。

在安全模式（SafeMode）或者純DOS下進行清除清除時，對于現(xiàn)在大多數(shù)流行的病毒，如蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等，都可以在安全模式或DOS下殺毒（建議用干凈軟盤啟動殺毒）。而且，當(dāng)計算機原來就感染了病毒，那就更需要在安裝反病毒軟件后（升級到最新的病毒庫），在安全模式（SafeMode）或者純DOS下清除一遍病毒！第7頁，共47頁，2023年，2月20日，星期日安全模式殺毒流程開機或重啟電腦——進入安全模式——調(diào)用殺毒軟件——查殺病毒DOS模式殺毒流程開機或重啟電腦——進入DOS模式——在DOS下調(diào)用殺毒軟件——查殺病毒第8頁，共47頁，2023年，2月20日，星期日如何進入安全模式啟動過程中按下F8鍵是最傳統(tǒng)也是最常用的方法：當(dāng)我們打開電腦電源，硬件完成自檢之后，立刻按下鍵盤上的F8鍵，你將看到如圖1所示的界面。這里列出了很多高級啟動選項。在此安全模式又分為幾種，一般情況下我們選擇進入普通的安全模式即可。除了這種最常用的方法外，在計算機啟動時按住Ctrl鍵不放，也可以以“安全模式”啟動系統(tǒng)。第9頁，共47頁，2023年，2月20日，星期日第10頁，共47頁，2023年，2月20日，星期日第11頁，共47頁，2023年，2月20日，星期日第12頁，共47頁，2023年，2月20日，星期日如何進入DOS模式制作DOS啟動盤和DOS殺毒盤用DOS啟動光盤由啟動選項進DOS用虛擬軟驅(qū)U盤啟動盤USBOOT1.7簡介U盤殺毒簡介第13頁，共47頁，2023年，2月20日，星期日由啟動選項進DOS第14頁，共47頁，2023年，2月20日，星期日第15頁，共47頁，2023年，2月20日，星期日第16頁，共47頁，2023年，2月20日，星期日第17頁，共47頁，2023年，2月20日，星期日第18頁，共47頁，2023年，2月20日，星期日由虛擬軟驅(qū)進DOS第19頁，共47頁，2023年，2月20日，星期日制作殺毒U盤現(xiàn)在許多的殺毒軟件都具有制作殺毒U盤的功能，下面以瑞星為例，做個殺毒U盤。瑞星殺毒軟件2007版：系統(tǒng)中已安裝了瑞星殺毒軟件2007版，點擊“開始→程序→瑞星殺毒軟件→瑞星工具→瑞星U盤殺毒工具”菜單項，按照制作向?qū)?，選擇“U盤驅(qū)動器”，過程很簡單，這里就不多說了，復(fù)制病毒庫到U盤完成。完成后就可以用U盤進行DOS下的殺毒了。別的殺毒軟件也都有制作殺毒U盤的功能，制作方法也比較簡單，用法也都類似，這里就不說了。第20頁，共47頁，2023年，2月20日，星期日2、在\TemporaryInternetFiles目錄下帶毒文件的清理

由于Windows會對這個目錄下的文件有一定的保護作用，所以這里的帶毒文件即使在安全模式下也不能進行清除，對于這種情況，請先關(guān)閉其他一些程序軟件，然后打開IE，選擇IE工具欄中的"工具"\"Internet選項"，選擇"刪除文件"刪除即可，如果有提示"刪除所有脫機內(nèi)容"，也請選上一并刪除。第21頁，共47頁，2023年，2月20日，星期日3、在\_Restore目錄下，*.cpy文件中的帶毒文件

這是系統(tǒng)還原存放還原文件的目錄，只有在裝了WindowsMe/XP操作系統(tǒng)上才會有這個目錄，由于系統(tǒng)對這個目錄有保護作用，因此對于這種情況需要先取消“系統(tǒng)還原”功能（我的電腦—屬性），然后將帶毒文件刪除。第22頁，共47頁，2023年，2月20日，星期日4、加密的文件或目錄

對于一些加密了的文件或目錄，請在解密后再進行病毒查殺。5、對U盤等存儲介質(zhì)的殺毒 需注意介質(zhì)是否處于寫保護狀態(tài)。第23頁，共47頁，2023年，2月20日，星期日四、常用DOS命令簡介DIRCDDELFDISKFORMATSYSATTRIBTASKLISTTASKKILL第24頁，共47頁，2023年，2月20日，星期日DIR:顯示一個目錄下的文件和子目錄，是DOS中使用最廣泛的命令之一。

參數(shù)：/P：在每個信息屏幕后暫停；/W：用寬列表格式；

用法1、dir/w

用法2、dir/p

用法3、dir/w/p第25頁，共47頁，2023年，2月20日，星期日CD：顯示當(dāng)前目錄名或改變當(dāng)前目錄

CD是DOS中使用頻率最高的命令之一。主要是為了快速切換到另一盤符或目錄中，例如“CD

G:Temp”可以快速跳轉(zhuǎn)到“G:Temp”目錄，使用“CD..”可以退回到上一級目錄，而使用“CD\”可以快速返回當(dāng)前盤的根目錄中。

第26頁，共47頁，2023年，2月20日，星期日DEL：刪除文件

DEL命令可以刪除一個或數(shù)個指定的文件（但無法刪除文件夾），如果鍵入“DEL

*.*”命令將會刪除當(dāng)前路徑下所有文件，系統(tǒng)會給出確認(rèn)提示框請求確認(rèn)。如果你想刪除文件夾的話，可以使用DELTREE命令，這是一條外部命令。第27頁，共47頁，2023年，2月20日，星期日FDISK：硬盤分區(qū)

這是一個極其危險的DOS命令，它的作用是對硬盤進行分區(qū)，使用后將丟失硬盤中所有的文件。新手不要輕易使用這條命令。

FORMAT：高級格式化

無論是硬盤還是軟盤，都必須進行高級格式化后才能使用，F(xiàn)ORMAT命令的功能就是高級格式化磁盤，如果加上/s參數(shù)可以制作系統(tǒng)盤，加上/Q參數(shù)可執(zhí)行快速格式化。第28頁，共47頁，2023年，2月20日，星期日SYS：傳遞系統(tǒng)文件

除了使用FORMAT

/S命令來制作系統(tǒng)盤外，我們也可以使用SYS命令來傳遞系統(tǒng)文件，例如“C:>

SYS

A:”就是將C盤的系統(tǒng)文件傳遞到A盤，這在安裝了多操作系統(tǒng)的計算機上恢復(fù)系統(tǒng)文件時特別有用。第29頁，共47頁，2023年，2月20日，星期日五、手工殺毒的幾個基本操作手工殺毒的基本程序：查看進程→發(fā)現(xiàn)病毒及可疑進程→終止進程→清理病毒及可疑進程→(注冊表中清理相關(guān)信息)運用任務(wù)管理器查看進程信息Attrib命令查看和終止進程第30頁，共47頁，2023年，2月20日，星期日運用任務(wù)管理器查看進程信息怎樣顯示PID信息：查看—選擇列--PID第31頁，共47頁，2023年，2月20日，星期日Attrib命令attrib設(shè)置文件屬性

［用法］attrib顯示所有文件的屬性

attrib+r或-r[文件名]設(shè)置文件屬性是否只讀

attrib+h或-h[文件名]設(shè)置文件屬性是否隱含

attrib+s或-s[文件名]設(shè)置文件屬性是否系統(tǒng)文件

attrib+a或-a[文件名]設(shè)置文件屬性是否歸檔文件

attrib/s設(shè)置包括子目錄的文件在內(nèi)的文件屬性第32頁，共47頁，2023年，2月20日，星期日查看和終止進程XP下還有兩個好用的工具tasklist和taskkill。tasklist能列出所有的進程，和相應(yīng)的信息,tasklist/svc顯示那些進程為系統(tǒng)所用。taskkill能查殺進程，語法很簡單：taskkill/PID[程序的ID]+命令參數(shù)。其中參數(shù)/f表示強制關(guān)閉，/t表示指定終止與父進程一起的所有子進程，常被認(rèn)為是“樹終止”，同時會顯示父進程和各個子進程的PID。也可以用另一種命令格式：taskkill/im進程名+命令參數(shù)第33頁，共47頁，2023年，2月20日，星期日第34頁，共47頁，2023年，2月20日，星期日第35頁，共47頁，2023年，2月20日，星期日第36頁，共47頁，2023年，2月20日，星期日六、典型案例如何解決雙進程木馬雙擊硬盤不能打開瀏覽器被劫持的一個實例第37頁，共47頁，2023年，2月20日，星期日案例一：查殺雙進程木馬某電腦中了某木馬，通過任務(wù)管理器查出該木馬進程為“system.exe”，終止它后再刷新，它又會復(fù)活。進入安全模式把c：\windows\system32\system.exe刪除，重啟后它又會重新加載，怎么也無法徹底清除它。從此現(xiàn)象來看，中的應(yīng)該是雙進程木馬。這種木馬有監(jiān)護進程，會定時進行掃描，一旦發(fā)現(xiàn)被監(jiān)護的進程遭到查殺就會復(fù)活它。而且現(xiàn)在很多雙進程木馬互為監(jiān)視，互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個木馬文件。借助任務(wù)管理器的PID標(biāo)識可以找到木馬進程。第38頁，共47頁，2023年，2月20日，星期日調(diào)出Windows任務(wù)管理器，首先在“查看→選擇列”中勾選“PID(進程標(biāo)識符)”，這樣返回任務(wù)管理器窗口后可以看到每一個進程的PID標(biāo)識。這樣當(dāng)我們終止一個進程，它再生后通過PID標(biāo)識就可以找到再生它的父進程。啟動命令提示符窗口，執(zhí)行“taskkill/t/pid/f”命令,可以看到這次終止的進程的PID，和它歸屬的父進程的PID。返回任務(wù)管理器，通過查詢進程PID找出父進程的進程名（如internet.exe等），這就是木馬進程的父進程。第39頁，共47頁，2023年，2月20日，星期日找到了元兇就好辦了，重新啟動系統(tǒng)進入安全模式，使用搜索功能找到木馬進程及其父進程，然后將它們刪除即可。前面無法刪除system.exe，主要是由于沒有找到其父進程(且沒有刪除其啟動鍵值)，導(dǎo)致重新進入系統(tǒng)后internet.exe復(fù)活木馬。

第40頁，共47頁，2023年，2月20日，星期日案例二、雙擊硬盤不能打開原因：病毒在驅(qū)動器下面寫入了一個AutoRun.inf文件。

解決方法：(以D盤為例)：

開始---運行---cmd（打開命令提示符）D:\>dir/a（沒有參數(shù)A是看不到的，A是顯示所有的意思）此時你會發(fā)現(xiàn)一個autorun.inf文件

attribautorun.inf-s-h-r去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性，否則無法刪除autorun.inf，delautorun.inf

到這里還沒完，還需要清除注冊表中相關(guān)信息：

開始——運行——regedit——編輯——查找"autorun"

找到的第一個就是D盤的自動運行，刪除整個shell子鍵（注意：刪的時候一定要是shell這個子健，如果查找的是別的項或子鍵，一定不要亂刪?。?/p>

完畢。第41頁，共47頁，2023年，2月20日，星期日小結(jié)：手工殺毒步驟找出病毒進程及其父、子進程（進程管理器、百度等）找到病毒進程所在位置（搜索計算機）在安全模式中予以清除（也可在正常模式下先結(jié)束進程后再予以清除）,或者在DOS狀態(tài)下解決.第42頁，共47頁，2023年，2月20日，星期日案例三、瀏覽器被劫持的一個實例癥狀原來的IE圖標(biāo)被刪，換成這個仿冒的。注意這個IE圖標(biāo)是internatexplorar正常的應(yīng)該是internetexplorer。第43頁，共47頁，2023年，2月20日，星期日雙擊這個圖標(biāo)，彈出下面的窗口.用IE伴侶無法修復(fù)，找IE屬性又找不到。第44頁，共47頁，2023年，2月20日，星期日解決方法：1、根據(jù)地址欄的地址C:\ProgramFiles\Haozip\002\58，找到對應(yīng)的文件夾,將該文件夾刪除。如果能用注冊表編輯器把里邊關(guān)于這個地址欄的項目刪除干凈效果更好。2、打開C:\ProgramFiles\InternetExplorer，把里邊的IE圖標(biāo)發(fā)個桌面快捷方式。3、刪除仿冒IE圖標(biāo)。4、進行IE設(shè)置。第45頁，共47頁，2023年，2月20日，星期日小資料：“開始——運行”命令集錦gpedit.msc-----組策略

sndrec32-------錄音機

Nslookup-------IP地址偵測器

explorer-------打開資源管理器

tsshutdn-------60秒倒計時關(guān)機命令

lusrmgr.msc----本機用戶和組

services.msc---本地服務(wù)設(shè)置

oobe/msoobe/a----檢查XP是否激活

notepad----打開記事本clean