1、了解常見惡意軟件和預防和刪除技術(shù)、培訓目的、徐璐其他惡意軟件的特性了解預防和刪除惡意軟件的一般方法如何發(fā)現(xiàn)和手動刪除惡意軟件、內(nèi)容、宏病毒郵件蠕蟲特洛伊木馬web特洛伊木馬惡意軟件手動刪除惡意軟件、宏病毒和宏是經(jīng)過配置的命令集合，可以通過單個命令在Microsoft Office中執(zhí)行特定任務宏病毒是以Visual Basic編寫的病毒特性的代碼。doc和?？梢酝ㄟ^dot文件傳播。使用防止和刪除宏病毒、防宏病毒防病毒軟件將宏安全性設置為中或更高。打開Office文檔時，如果出現(xiàn)宏病毒警告框，請非常小心。必須使用防病毒軟件手動卸載宏病毒。對于常規(guī)文檔，可以使用“另存為”并選擇沒有宏的檔案類型。例

2、如，在Word中，您可以選擇RTF格式、郵件蠕蟲和蠕蟲。蠕蟲是常見的惡意軟件。與普通病毒不同，蠕蟲無需將自己附加到宿主程序中。獨立的節(jié)目蠕蟲使用網(wǎng)絡進行復制和傳播?？捎玫膫鞑ヂ窂桨娮余]件、網(wǎng)頁伺服器、網(wǎng)絡孔劉等、郵件蠕蟲和郵件蠕蟲通過電子郵件傳遞大多數(shù)郵件蠕蟲時，Outlook Express中的地址簿會自動打開。將自己發(fā)送到地址簿的所有電子郵件地址郵件蠕蟲通常存在于郵件附件中。郵件蠕蟲的預防和消除，郵件蠕蟲的預防不太相信使用防病毒軟件檢查郵件。不要輕易打開郵件附件檔案郵件蠕蟲的刪除。防病毒軟件、特洛伊木馬、木馬是當前比較流行的惡意軟件，與普通病毒不同，它們不會自行繁殖，也不會“故意”繁殖

3、。感染木馬的計算機是服務器端的。黑客利用客戶端進入運行服務器端的計算機，破壞、盜用植入木馬的計算機上的文件，甚至遠程操作受感染的木馬的電腦木馬與遠程控制軟件有些相似，但是遠程控制軟件是“善意”的控制，通常沒有隱蔽性，特洛伊木馬正好相反。木馬需要實現(xiàn)的是“盜竊”性的遠程控制。如果沒有強烈的隱蔽性，它將使用“無用”、特洛伊木馬隱藏技術(shù)、隱藏的特洛伊木馬檔案偽裝檔案名稱、非執(zhí)行擴展名的Windows，將已知的擴展名偽裝圖標偽裝成系統(tǒng)文件(例如隱藏svch0st.exe)，將自己的進程名更改為與系統(tǒng)進程類似的名稱，將木馬寫入DLL文件，系統(tǒng)節(jié)目Rundll32.exe特洛伊木馬發(fā)現(xiàn)，木馬必須自動運行。

4、以下是啟動位置autoexec.bat、config.sys win.ini和system.ini“啟動”節(jié)目組注冊表主題HKEY _ local _ machine.可以利用curring:預防和刪除特洛伊木馬、使用防特洛伊木馬病毒軟件及時更新系統(tǒng)補丁程序不容易下載軟件，也不容易瀏覽郵件附件檔案特洛伊木馬刪除。使用防病毒軟件手動卸載(并不總是有效的)在保護模式下，刪除或修改注冊表中與特洛伊木馬相關的條目。刪除特洛伊木馬檔案(稍后介紹)、web特洛伊木馬和web木馬實際上是HTML頁面。牙齒頁面上的腳本巧妙地利用了IE瀏覽器的漏洞，允許IE在后臺自動下載黑客放置在網(wǎng)絡上的特洛伊木馬(或蠕蟲)并

5、運行(安裝)牙齒木馬。也就是說，牙齒頁面可以在本地下載木馬，下載(安裝)到本地計算機上的木馬，整個過程在后臺運行。用戶打開牙齒頁面后，即可下載。使用防病毒軟件和防火墻及時更新系統(tǒng)修補程序在卸載不安全ActiveX控件(IE插件)命令提示符下，輸入“regsvr32.exe插件檔案/u/s”命令。要恢復，請使用“regsvr32.exe插件檔案/i/s”命令禁用腳本和ActiveX控件“網(wǎng)絡屬性”安全，將網(wǎng)絡區(qū)域設置為更高的安全級別，單擊“自定義級別”在打開的對話框中禁用腳本，或禁用ActiveX控件以限制惡意網(wǎng)站的網(wǎng)站媒體再生等)和惡意行為，很多流氓軟件不是由小集團或個人秘密編寫和傳播的，很多

6、知名企業(yè)和團體也涉嫌預防這種軟件、流氓軟件。 補丁更新使用ActiveX腳本渡邊杏網(wǎng)絡屬性安全自定義級別(網(wǎng)絡)受限站點上的惡意web網(wǎng)站附加網(wǎng)絡屬性安全受限網(wǎng)站網(wǎng)站站點特定工具將許多惡意軟件(如免疫Spy Sweeper、超級兔子、西城Kaka internet安全支持、金山清理專家等)作為ActiveX插件安裝在用戶的計算機上。對這些惡意軟件使用IE的“插件管理”功能禁用rogue軟件插件。使用IE插件管理專家Upiea.exe禁用或刪除惡意軟件插件，手動刪除惡意軟件。在Windows系統(tǒng)中了解流程查看和退出流程刪除惡意軟件檔案使用Attrib命令刪除隱藏的惡意檔案、流程、節(jié)目(包括惡意軟

7、件節(jié)目)牙齒運行前作為文件存在于磁盤上的流程，執(zhí)行后作為流程駐留在內(nèi)存中的流程是具有數(shù)據(jù)集獨立功能的程序的執(zhí)行活動，是分配和計劃系統(tǒng)資源的基本單位。簡而言之，流程是操作系統(tǒng)當前運行的節(jié)目，是Windows中最基本的系統(tǒng)流程，這些系統(tǒng)流程對運行系統(tǒng)至關重要。必須啟用這些進程，系統(tǒng)才能在Windows中正確運行最基本的系統(tǒng)進程。winlogon.exe；cs RSS . exe；Smss.exe；Services.exe；ls ass . exe；Explorer.exe；Svchost.exe；系統(tǒng)；Windows中最基本的系統(tǒng)進程(例如System Idle Process):牙齒進程在每個處

8、理器上作為單線程運行，在系統(tǒng)未處理其他線程時分配處理器的時間。System:系統(tǒng)內(nèi)核進程，系統(tǒng)內(nèi)核模式控制任務winlogon.exe:管理用戶登錄csrss.exe:控制子系統(tǒng)服務器進程、Windows創(chuàng)建或刪除線程和16位虛擬DOS環(huán)境；Windows中最基本的系統(tǒng)進程smss.exe:啟動用戶會話：啟動其他服務的孔劉進程。多個svchost.exe同時運行時，當前有多個服務集處于活動狀態(tài)，多個DLL文件正在調(diào)用它，svchost.exe進程、svchost.exe是NT核心系統(tǒng)中非常重要的進程，對于2000，XP來說是必需的，通常Win2000有兩個svchost進程，WinXP有四個或

9、更多svchost進程無法實現(xiàn)服務功能。也就是說，只能提供條件，以便其他服務可以在此啟動。本身不能為用戶提供服務。其他系統(tǒng)服務作為動態(tài)鏈接庫(dll)實現(xiàn)，可執(zhí)行文件指向svchost，svchost調(diào)用該服務的動態(tài)鏈接庫以啟動服務。svchost.exe進程，svchost進程提供大量系統(tǒng)服務。如果您想知道每個svchost進程(Rpcss遠程過程調(diào)用、dmserver服務、logical disk manager和DHCP服務(DHCP客戶端)提供的數(shù)量，WinXP將顯示“”svchost.exe進程啟動多種服務，因此病毒、木馬也希望利用此特性迷惑用戶，達到感染、入侵和破壞的目的。一般來說

10、，XP操作系統(tǒng)中有大約5個svchost.exe進程。例如，在系統(tǒng)用戶名下，3個svchost.exe網(wǎng)絡服務用戶名下，2個svchost.exe本地服務用戶名下，1個svchost。這些用戶名全部為SYSTEM、NETWORK SERVICE和LOCAL SERVICE。如果不是三個牙齒茄子用戶名，windows系統(tǒng)中可能存在惡意軟件、svchost.exe進程和常規(guī)svchost.exe程序如果其他目錄中有svchost.exe文件，則惡意軟件任務管理器中的svchost.exe進程數(shù)無關緊要。這取決于他是哪個用戶名以及位置是否在Windowssystem32目錄中。windows上的其他

11、進程，例如mstask.exe:指定作業(yè)運行時間的Windows計劃任務alg.exe:應用層網(wǎng)關服務、網(wǎng)絡鏈接孔劉和作為Windows防火墻一部分的internat.exe:更改類似的國家/地區(qū)設置、鍵盤類型和日期格式，winn負責Windows自動升級的系統(tǒng)進程可以聯(lián)機檢測最近的Windows更新。如果不打開自動升級，則沒有牙齒過程。隨時運行的ctfmon.exe:不是Microsoft Office套件的一部分，而是輸入方法的執(zhí)行程序，使您可以在Windows中查看一般進程。您還可以使用“任務管理器”使用“查看流程”“任務管理器”結(jié)束常規(guī)流程。您可以在提示符下使用“tasklist”命令

12、查看流程。在系統(tǒng)信息中使用“正在運行作業(yè)”使用“netstat”命令查看網(wǎng)絡連接并啟動的程序使用netstat abnov netstat，您可以使用查看隱藏進程工具查看隱藏進程。您可以使用以下命令查看遠程進程Task /s IP /u用戶名/p密碼，強制終止進程，然后使用任務管理器：但是，無法終止某些進程。使用ntsd命令強制終止進程。ntsd是從Win2000開始包含在系統(tǒng)中的用戶狀態(tài)調(diào)試工具。連接到調(diào)試器的進程與調(diào)試器一起結(jié)束，因此可以用于從命令行結(jié)束進程。Ntsd自動授予debug權(quán)限，可以殺死大多數(shù)進程。只有System、Smss.exe和Csrss.exe無法殺死ntsd -c q -p PID或ntsd -c q -pn imagename。使用taskill命令強制終止taskill/im image name/f進程清除惡意軟件文件，首先使用上述方法終止惡意軟件進程，然后使用惡意軟件常用的啟動位置(例如注冊表項目