第七單元病毒與木馬主要內(nèi)容任務(wù)1查殺病毒任務(wù)1查殺病毒由于公司財(cái)務(wù)系統(tǒng)多年未更新升級(jí)，部分財(cái)務(wù)數(shù)據(jù)還保存在WindowsXP系統(tǒng)的終端內(nèi)，財(cái)務(wù)領(lǐng)導(dǎo)擔(dān)心系統(tǒng)感染病毒，對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行損壞甚至造成數(shù)據(jù)泄露，因此領(lǐng)導(dǎo)找到小衛(wèi)，要小衛(wèi)幫忙進(jìn)行病毒查殺和處理一下。在分析和處理財(cái)務(wù)終端病毒問(wèn)題前，小衛(wèi)需要提前了解更多知識(shí)?！救蝿?wù)情境】任務(wù)1查殺病毒1、計(jì)算機(jī)病毒的特征通常，我們根據(jù)計(jì)算機(jī)病毒的基本特征判斷一個(gè)程序是不是病毒。如何判定一個(gè)對(duì)程序是不是病毒，就要依據(jù)這個(gè)程序是否符合病毒的以下幾個(gè)個(gè)基本特征： 病毒的破壞性計(jì)算機(jī)病毒造成的最顯著的后果是破壞計(jì)算機(jī)系統(tǒng)，并使之無(wú)法正常工作或刪除用戶(hù)保存的數(shù)據(jù)。無(wú)論是占用大量系統(tǒng)資源導(dǎo)致計(jì)算機(jī)無(wú)法正常使用，還是破壞文件，甚至毀壞計(jì)算機(jī)硬件，都會(huì)影響用戶(hù)正常使用?！局R(shí)準(zhǔn)備】任務(wù)1查殺病毒 病毒的傳染性判斷一個(gè)程序是否使病毒的另一個(gè)重要依據(jù)是其是否有傳染性。病毒的編制者無(wú)論是出于什么目的，都希望其編寫(xiě)病毒能夠大規(guī)模地傳播。病毒的傳播方式有很多種，它們可以通過(guò)網(wǎng)頁(yè)、郵件、局域網(wǎng)的共享文件和操作系統(tǒng)的漏洞等方式進(jìn)行傳播。 病毒的隱蔽性病毒是不受歡迎的程序，不會(huì)像正常的程序那樣被正常的使用。因此病毒就一定要隱藏自己不被計(jì)算機(jī)用戶(hù)發(fā)現(xiàn)，才能達(dá)到其傳播和破壞的目的。另一方面，經(jīng)過(guò)偽裝的病毒還可能被用戶(hù)當(dāng)作正常的程序而被運(yùn)行，這也是病毒觸發(fā)的一種手段。病毒的隱藏方式是多種多樣的。一種簡(jiǎn)單的隱藏方式是病毒將病毒文件放在Windows等系統(tǒng)目錄下，并將文件名稱(chēng)命名為類(lèi)似Windows系統(tǒng)文件的文件名，使對(duì)計(jì)算機(jī)操作系統(tǒng)不熟悉的人不敢去輕易刪除它。新出現(xiàn)的蠕蟲(chóng)病毒更注重隱藏和偽裝自身，不但可以偽造郵件的主題和正文，并且可以使用雙擴(kuò)展名的病毒文件作為附件，使得它更不容易被人發(fā)現(xiàn)?！局R(shí)準(zhǔn)備】任務(wù)1查殺病毒 病毒的寄生性病毒在傳播過(guò)程中需要一個(gè)載體。病毒會(huì)寄生在這些載體上傳播。病毒載體主要有引導(dǎo)區(qū)、文件和內(nèi)存等。病毒通過(guò)寄生在正常的文件上來(lái)隱藏自己，它的寄生過(guò)程就是它的傳播和感染過(guò)程?！局R(shí)準(zhǔn)備】任務(wù)1查殺病毒2、計(jì)算機(jī)病毒查殺方式通常計(jì)算機(jī)病毒的檢測(cè)方法有手工檢測(cè)和自動(dòng)檢測(cè)兩種方式。 手工檢測(cè)手工檢測(cè)是指通過(guò)使用一些系統(tǒng)命令或編輯工具（DEBUG.COM、PCTOOLS.EXE等提供的功能）對(duì)病毒進(jìn)行的檢測(cè)。這種方法比較復(fù)雜，但可以分析檢測(cè)新病毒或未知病毒，也可以用來(lái)檢測(cè)一些自動(dòng)檢測(cè)工具不識(shí)別的病毒。 自動(dòng)檢測(cè)自動(dòng)檢測(cè)是指通過(guò)一些專(zhuān)業(yè)的軟件（如：殺毒軟件）來(lái)判斷一個(gè)系統(tǒng)或一個(gè)存儲(chǔ)工具是否有毒的方法。自動(dòng)檢測(cè)則比較簡(jiǎn)單，一般用戶(hù)都可以進(jìn)行，這種方法可方便地檢測(cè)大量的病毒，因自動(dòng)檢測(cè)軟件主要是通過(guò)病毒特征碼來(lái)識(shí)別病毒，因此自動(dòng)檢測(cè)軟件一般都只能檢測(cè)識(shí)別已知病毒，對(duì)未知病毒或新病毒檢測(cè)識(shí)別就相對(duì)較弱。【知識(shí)準(zhǔn)備】任務(wù)1查殺病毒本次任務(wù)通過(guò)對(duì)具有代表性的熊貓燒香病毒進(jìn)行手動(dòng)查殺和清楚，了解和掌握病毒手動(dòng)查殺的一般步驟和方法。步驟1：打開(kāi)windows任務(wù)管理器，查看主機(jī)進(jìn)程，如下圖所示?！救蝿?wù)實(shí)施】圖7-2查看進(jìn)程任務(wù)1查殺病毒步驟2：如果我們的電腦沒(méi)有病毒或未出現(xiàn)過(guò)其他異常情況，我們可認(rèn)為當(dāng)前運(yùn)行的進(jìn)程都是可控的安全的。這時(shí)，我們開(kāi)始運(yùn)行熊貓燒香病毒程序。【任務(wù)實(shí)施】圖7-3運(yùn)行病毒樣本任務(wù)1查殺病毒提示：此次任務(wù)所用的“熊貓燒香”病毒樣本的基本信息如下：MD5碼：87551e33d5147442424e586d25a9f8522Sha-1碼：cbbab396803685d5de593259c9b2fe4b0d967bc7文件大?。?9KB【任務(wù)實(shí)施】任務(wù)1查殺病毒步驟3：用Ctrl+Alt+Delete打開(kāi)任務(wù)管理器，發(fā)現(xiàn)打開(kāi)后馬上自動(dòng)關(guān)閉了。這就是剛才運(yùn)行的病毒的影響。步驟4：打開(kāi)開(kāi)始-運(yùn)行，輸入cmd命令，點(diǎn)擊確定，打開(kāi)命令編輯窗口，如下圖所示?！救蝿?wù)實(shí)施】圖7-4輸入命令任務(wù)1查殺病毒步驟5：輸入命令tasklist，查看系統(tǒng)當(dāng)前進(jìn)程，與運(yùn)行病毒前的進(jìn)程列表對(duì)比，發(fā)現(xiàn)多了一個(gè)名為spoclsv.exe的進(jìn)程，這個(gè)進(jìn)程就是此次實(shí)驗(yàn)的熊貓燒香病毒樣本運(yùn)行的進(jìn)程，如圖所示?！救蝿?wù)實(shí)施】任務(wù)1查殺病毒【任務(wù)實(shí)施】圖7-5查看進(jìn)程任務(wù)1查殺病毒步驟6：從進(jìn)程列表里找到spoclsv.exe進(jìn)程的PID號(hào)（如上圖，spoclsv.exe進(jìn)程的PID號(hào)為2548），在命令編輯窗口內(nèi)輸入taskkill/f/im2548(強(qiáng)制刪除PID值為2548的文件映像，應(yīng)注意PID值應(yīng)該與查詢(xún)結(jié)果一致。），從而結(jié)束這個(gè)PID號(hào)對(duì)應(yīng)的進(jìn)程。【任務(wù)實(shí)施】任務(wù)1查殺病毒【任務(wù)實(shí)施】圖7-6結(jié)束進(jìn)程任務(wù)1查殺病毒步驟7：用Ctrl+Alt+Delete再次嘗試打開(kāi)任務(wù)管理器，發(fā)現(xiàn)“任務(wù)管理器”可以成功打開(kāi)了，如下圖?！救蝿?wù)實(shí)施】圖7-7打開(kāi)任務(wù)管理器任務(wù)1查殺病毒步驟8：任務(wù)管理器能正常打開(kāi)，說(shuō)明spoclsv.exe進(jìn)程已成功結(jié)束。接下來(lái)，需要對(duì)啟動(dòng)項(xiàng)進(jìn)行排查。打開(kāi)開(kāi)始-運(yùn)行，輸入msconfig，點(diǎn)擊確定，打開(kāi)系統(tǒng)配置使用程序窗口，點(diǎn)擊啟動(dòng)選項(xiàng)卡，如下圖，可看到在啟動(dòng)項(xiàng)目列表里，還是存在spoclsv啟動(dòng)項(xiàng)，說(shuō)明系統(tǒng)重新啟動(dòng)后，該病毒程序又將自動(dòng)啟動(dòng)運(yùn)行?，F(xiàn)在查看并記錄spoclsv.exe的命令（程序文件在磁盤(pán)上的文件路徑）和位置內(nèi)容（注冊(cè)表位置）?！救蝿?wù)實(shí)施】任務(wù)1查殺病毒【任務(wù)實(shí)施】圖7-8查看啟動(dòng)項(xiàng)任務(wù)1查殺病毒步驟9：根據(jù)剛才記錄的位置內(nèi)容（注冊(cè)表位置），在運(yùn)行中輸入regedit打開(kāi)注冊(cè)表，找到注冊(cè)表中Run中路徑為C:\WINDOWS\system32\drivers\spoclsv.exe的鍵值，先不要?jiǎng)h除鍵值，等待刪除啟動(dòng)文件后在刪除步驟10：打開(kāi)命令行編輯窗口，先進(jìn)入C:\WINDOWS\system32\drivers下，輸入del/fspoclsv.exe命令，刪除病毒樣本啟動(dòng)文件，如下圖?！救蝿?wù)實(shí)施】圖7-9刪除病毒文件任務(wù)1查殺病毒步驟11：現(xiàn)在刪除注冊(cè)表中Run中路徑為C:\WINDOWS\system32\drivers\spoclsv.exe的鍵值。步驟:12：從啟動(dòng)項(xiàng)目列表里，取消勾選這個(gè)啟動(dòng)項(xiàng)，如下圖?！救蝿?wù)實(shí)施】圖7-10取消啟動(dòng)進(jìn)程任務(wù)1查殺病毒步驟13：因?yàn)樾薷牧藛?dòng)項(xiàng)，系統(tǒng)會(huì)提示要求重啟，我們選擇重新啟動(dòng)。步驟14：重啟電腦，再次打開(kāi)“任務(wù)管理器”，發(fā)現(xiàn)進(jìn)程列表里找不到spoclsv.exe進(jìn)程，說(shuō)明此次病毒樣本運(yùn)行的進(jìn)程已經(jīng)被刪除了，病毒樣本被清除掉了。步驟15：剛才在刪除spoclsv進(jìn)程前，發(fā)現(xiàn)自動(dòng)啟動(dòng)項(xiàng)里有spoclsv，說(shuō)明該病毒具備自動(dòng)啟動(dòng)運(yùn)行的特點(diǎn)。打開(kāi)“我的電腦”，用鼠標(biāo)右鍵點(diǎn)擊C盤(pán)盤(pán)符，發(fā)現(xiàn)彈出的右鍵菜單中多出來(lái)一個(gè)Auto項(xiàng)，那么很明顯C盤(pán)中存在autorun.inf的文件。打開(kāi)命令編輯窗口，進(jìn)入c盤(pán)根目錄，輸入dir/ah命令，把系統(tǒng)磁盤(pán)中的隱藏文件都列出來(lái)（因?yàn)橐话悴《径紩?huì)具備隱藏的特點(diǎn)），如下圖?！救蝿?wù)實(shí)施】任務(wù)1查殺病毒【任務(wù)實(shí)施】圖7-11查看隱藏文件任務(wù)1查殺病毒步驟16：如上圖，我們發(fā)現(xiàn)C盤(pán)內(nèi)存在autorun.inf與setup.exe這兩個(gè)可疑文件（因?yàn)檎Ｎ募遣恍枰[藏的，特別是EXE文件更加不需要隱藏自己）。在c盤(pán)根目錄下輸入attrib-s-a-h-rsetup.exe和attrib-s-a-h-rautorun.inf即可顯示隱藏文件，從C盤(pán)內(nèi)找到這2個(gè)文件，然后將這2個(gè)文件徹底