病毒预防培训材料

病毒防护培训材料管理工程部，2006年11月概述病毒定义病毒类型概述感染文件传播机制中毒症状触发机制病毒可追溯性病毒机制破坏机制新功能使用自定义病毒防护防病毒软件防火墙防病毒软件检查并杀死中毒手册防病毒概述病毒定义计算机病毒是程序，一段可执行代码. 像生物病毒一样，计算机病毒也具有独特的复制功能. 计算机病毒可以迅速传播，并且通常难以根除. 他们可以将自己附加到各种类型的文件. 当文件从一个用户复制或传输到另一个用户时，它们与文件一起传播. 除复制功能外，某些计算机病毒还具有其他共同特征: 受污染的程序可以传递病毒载体. 当您发现病毒载体似乎仅出现在文本和图像上时，它们可能破坏了文件，格式化了硬盘或导致了其他类型的灾难. 如果该病毒不是寄生虫感染的程序，它仍然会占用存储空间并降低计算机的整体性能，从而给您带来麻烦. 一种定义是一种程序，它以介质的形式通过磁盘，磁带和网络进行传播，并且可以“感染”其他程序. 另一个是潜在的，传染性和破坏性程序，可以复制自身并在某些载体的帮助下存在. 其他定义是一种人为制作的程序驻留型病毒，它在存储介质（例如磁盘，内存）或程序中以不同方式潜伏或寄生.

当某个条件或时间成熟时，它将复制并传播自身，使计算机的资源被不同的程序等破坏. 因此，计算机病毒是可以潜伏在其中的一组程序或指令集. 计算机存储介质（或程序）通过某种方法并在达到某种条件时被激活，这会对计算机资源产生破坏性影响. 概述病毒类型指导的病毒DOS病毒宏病毒脚本脚本病毒现代计算机病毒类型木马程序蠕虫后门程序DDos攻击程序笑话程序恶意程序Dropper恶意程序概述感染文件程序/可执行程序程序可执行文件[NE，PE]（*. EXE）可执行设备驱动程序[LE，PE]（* .DLL，* .DRV，* .VXD）设备驱动程序带有可执行代码（* .SCR，*. HLP，*. OCX）的其他文件对其他文件的异常或可疑更改带有可执行代码的注册表或配置文件. 许多Windows病毒会将自己的代码插入到Append Prepend Insert到载体文件中，因此文件长度会增加. . 其他一些复杂的Windows病毒会自动找到可执行程序的可用空间，并将自己的程序插入较小的段中，因此文件长度不会改变. 例如: 当使用Word应用程序打开受感染文件时，通常其中包含的宏代码将被复制到通用模板. 当病毒驻留在通用模板中时，它将自动为其他文件生成一些其他副本. Word打开的文档将自动将一个副本添加到启动文件夹中. 如果启动文件夹中存在宏病毒，它将全部使用其自身的副本.

将自己的副本添加到Excel打开的电子表格中. 概述机器中毒症状的处理速度有所降低. 机器的处理速度变慢. 频繁崩溃. 可能是因为该病毒打开了许多文件或占用了大量内存. 频繁崩溃. 可能是因为该病毒打开了许多文件或占用了大量内存. 系统无法启动. 系统启动时间较长或无法正常启动. 系统无法启动. 系统启动时间较长或无法正常启动. 该病毒可能已经修改了硬盘的启动信息或删除了一些启动文件，例如启动病毒的启动文件已损坏. 信息或删除了一些启动文件，例如启动病毒启动文件损坏. 无法打开文件. 该病毒可能已经修改了文件格式或修改了文件链接位置. 无法打开文件. 该病毒可能已经修改了文件格式或修改了文件链接位置. 通常会报告内存不足. 病毒可能非法占用了大量内存. 通常会报告内存不足. 病毒可能非法占用了大量内存. 提示硬盘空间不足. 该病毒可能已复制了大量病毒文件. 提示硬盘空间不足. 该病毒可能已复制了大量病毒文件. 当未访问软盘等设备时出现读写信号. 当未访问软盘等设备时出现读写信号. 出现大量来源不明的文件. 出现大量来源不明的文件. 启动时出现黑屏，无法正常启动. 启动时出现黑屏，无法正常启动. 数据丢失. 可执行文件突然丢失而没有被删除，可能是病毒删除了这些文件.

数据丢失. 可执行文件突然丢失而没有被删除，可能是病毒删除了这些文件. 浏览网页时，经常会出现一些未知的网页. 浏览网页时，经常会出现一些未知的网页. 概述什么是防病毒清除清除是从受感染的文件中删除病毒代码清除是从受感染的文件中删除病毒代码隔离加密无法清除的文件并将其存储到特定位置加密无法清除的文件并将其存储在特定位置位置，隔离并加密无法清除的文件，并将其存储在特定位置，以避免在文件中运行病毒代码删除操作. 直接删除受感染的文件删除直接删除删除受感染的文件并重命名它-重命名被感染的文件并重命名感染文件并通过它-不进行处理不通过不进行处理概述病毒跟踪支持过多，并且头部有问题（吃得太多支持，头部有问题（应该是几个））驱使（利益驱使（超过95％是原因）欺骗行动以找到刺激，黑客以其他人的愉悦来寻找刺激和他人的愉悦病毒机制传播机制感染所谓的感染是指将计算机病毒从一种载体传播到另一种载体，以及从一种系统传播到另一种系统的过程. 该载体通常是磁盘或磁带，是计算机病毒在其上存活和感染的载体. 仅载体不足以传播病毒. 传播病毒有一个先决条件，可以分为两种情况或两种方式.

其中一种情况是，当用户复制磁盘或文件时，他们将病毒从一种载体复制到另一种载体. 或者，通过网络上的信息传输，将病毒程序从一方转移到另一方. 这种感染称为计算机病毒的被动感染. 在另一种情况下，计算机病毒是计算机系统运行和激活病毒程序的先决条件. 激活病毒后，只要满足感染条件，病毒程序就可以将病毒本身主动感染到另一个载体或另一个系统. 这种感染称为计算机病毒的主动感染. . 病毒机制感染过程对于病毒的被动感染，感染过程是通过复制磁盘或文件进行的. 对于主动感染计算机病毒，感染过程如下: 当系统运行时，病毒通过病毒载体进入系统的内部内存，即系统的外部内存，驻留在内存中，并在系统内存中监视系统的操作. 当病毒引导模块将病毒感染模块驻留在内存中时，通常会修改系统中断向量的入口地址（例如INT 13H或INT 21H），以便中断向量指向病毒感染模块. 这样，一旦系统执行磁盘读取和写入操作或调用系统功能，病毒感染模块就会被激活，并且感染模块使用系统INT 13H磁盘读写中断来将病毒本身感染到磁盘上在满足感染条件的条件下. 或加载的程序，即执行病毒感染，然后转移到原始中断服务程序以执行原始操作.

计算机病毒感染的方法基本上可以分为两类，一类是立即感染，即病毒是在宿主程序开始执行之前立即感染，立即感染磁盘上的其他程序，然后执行宿主程序其次，它驻留在内存中并等待感染. 内存中的病毒会检查当前系统环境. 当执行程序或D1R时，它会感染磁盘上的程序. 主机程序运行后，驻留在系统内存中的病毒程序. ，在计算机关闭之前仍然可以激活. 病毒机制系统感染机制系统感染机制计算机硬盘驱动器的配置和使用是不同的. 软盘的容量很小，可以很容易地更换. 在计算机运行期间，软盘可以多次更换. 硬盘作为固定设备安装在计算机内部. 大多数计算机都配备了硬盘. 系统病毒针对软盘的不同特征使用不同的感染方法. 系统病毒会在引导过程中使用被窃取的INT 13控制电源来在计算机运行期间始终监视软盘的运行情况. 在读写软盘时，将读取软盘引导区，以确定软盘是否被感染. 根据病毒的寄生模式将原始引导区写入软盘上的其他位置，并将病毒写入软盘的第一扇区，从而完成软盘的感染. 被感染的软盘将感染软件交换中的其他计算机. 因为病毒必须在每个读写阶段读取引导区，所以它不仅影响微型计算机的工作效率，而且由于频繁寻找驱动器而容易造成物理损坏.

通常是在第一次使用带毒软盘的计算机上对硬盘进行系统病毒感染. 具体步骤与软盘感染相似，并且在读取引导区后写入病毒. 病毒机制文件类型病毒感染机制执行受感染的.COM或.EXE可执行文件时，病毒驻留在内存中. 一旦病毒驻留在内存中，它将开始监视系统的运行. 找到被感染的目标后，将执行以下操作: （1）首先，确定可执行文件的特定地址的标识符是否已被病毒感染； （2）满足条件时，使用INT 13H将病毒Go链接到可执行文件的开头或结尾或中间，并将其保存到磁盘； （3）感染完成后，继续监视系统的运行并尝试寻找新的攻击目标. 文件类型病毒是通过与磁盘文件相关的操作来传播的. 感染的主要方式是: （1）加载和执行文件（2）列出目录进程（3）创建文件进程病毒机制触发机制在感染和爆发之前触发计算机病毒，通常是判断是否满足某些特定条件，如果满足满意，他们将被传播或受到攻击. 否则，它们将不会被传输或将不会被传输或仅将不会被传输. 此条件是计算机病毒的触发条件. 实际上，病毒采用的触发条件是多种多样的，从病毒作者对该系统的了解以及其丰富的想象力和创造力可以看出. 目前，病毒使用的触发条件主要有以下几种: 日期触发，键盘触发，感染触发，启动触发，调用中断功能触发，CPU模型/主板模型触发（这种病毒触发方法很稀有）病毒机制破坏机制破坏机制设计原理，其工作原理与感染机理基本相同.

它还会更改中断向量（通常是时钟中断INT 8H或与时钟中断相关的其他中断，例如INT 1CH）的填充地址，以便该中断向量指向病毒程序的销毁模块. . 这样，当系统或加载的程序访问中断向量时，病毒破坏模块就会被激活. 当判断满足设置条件时，将销毁系统或磁盘上的文件. 这样的销毁活动不一定全部都删除. 删除磁盘文件时，某些活动可能会显示一系列元信息提示. 计算机病毒的破坏行为无法穷举，因此很难完全描述它. 病毒破坏目标和攻击站点的主要目的是反映病毒的杀伤力. 病毒破坏的强度取决于病毒作者的主观愿望和他拥有的技术能力. 数以万计的病毒正在不断扩展，其破坏行为很奇怪，包括系统数据区域，文件，内存，系统操作，运行速度，磁盘，屏幕显示，键盘，扬声器，打印机，CMOS，主板等等，病毒机制现在具有病毒的新功能，网络传播，自动升级，软件破坏，数据失窃，传输速度，影响和感染范围都很大，并且受病毒保护的计算机人们常说使用习惯: 怎么不被淋湿就不能在河上行走. 湿脚的根本解决方案是不要在河边漫步. 根据此理论，计算机不感染病毒的最基本方法是不接触病毒. 不接近病毒的方案: 1.不要使用计算机（这可以完全实现人们早已希望不感染病毒的愿望）2.不要连接到Internet 3.不要使用可移动存储介质4.不要编写自己的病毒. 4.这些基本上是无法实现的.

因此，对于连接到Internet或使用移动存储介质的计算机用户，您应养成良好的计算机使用习惯. 1.请勿访问可疑和不良网站2.请勿在计算机中插入可疑的移动存储3.请勿运行可疑软件4.请勿观看陌生人的电子邮件，直接将其删除5.使用高安全性应用程序软件和操作系统6.使用防火墙杀毒软件，病毒防护，杀毒软件，杀毒软件是为对抗病毒而诞生的，因为它比普通人更了解病毒的特征和运行机制，因此可以更加确定是否为病毒，也可以更地杀死死者病毒. 首先是选择一个更好的防病毒软件. 以下是2006年杀毒软件排名1.卡巴斯基版本6.0.0.303-99.62％2. Active Virus Shield by AOL版本6.0.0.299-99.62％3. F-Secure 2006版本6.12. 90-96.86％4. BitDefender版9-96.63％5. Cyber​​Scrub版本1.0-95.98％6. eScan版本8.0.671.1-95.82％7. BitDefender免费软件版本8.0.202-95.57％8. BullGuard版本6.1-95.57％ 9. AntiVir Premium版本7.01.01.02-95.45％10. Nod32版本2.51.30-95.14％病毒防护和防病毒软件. 其次，病毒定义会经常更新，并且生成和更改的速度特别快. 自然，会使用最新的病毒定义. 可以识别它是否是病毒.

仅使用最新方法来对付他. 最后，定期扫描整个磁盘以消除隐藏的危险，并定期扫描以确保安全的病毒防护防火墙. 如果防病毒软件是被动的后期控制，则防火墙是主动的防御. 为了防止病毒入侵计算机，使用防火墙也是一种明智的方法. 首先，选择具有出色防火性能的墙. 以下是防火墙测试数据并按其排名排名KIS6 6.0.0.297f 83,3％Jetico 1.0.1.61 77.8％Zone Alarm Pro 6.1.737.000 77.8％PrivateFirewall 5.0在2006年11月. 3.9 77.8％Outpost 3.5.641.6214 （458）66.7％Look'n'Stop 2.05p3 61,2％诺顿2006（9.0.0.73）61,2％Sunbelt Kerio 4.2.3.912 61,2％Comodo 1.1. 005 50％NetOp 3.0.0.180 44,4％病毒防护防火墙其次，设置合理的防火墙策略以允许您信任的程序进行通信，并拒绝与陌生和可疑程序进行通信. 最后，更新防火墙新版本的防火墙将始终在旧防火墙的基础上进行改进，包括程序错误优化，抵抗入侵等.

使用杀毒软件杀死中毒的第一步. 在计算机中找到病毒后，升级您的防病毒软件，断开网络连接，扫描完整磁盘中的病毒，然后在未达到杀毒效果后执行第二步. 第二步. 重新启动计算机进入安全模式，使用功能强大的防病毒软件，升级到最新的病毒，并扫描整个磁盘以查找病毒. 第三步. 如果中毒太深，您不能进入安全模式，或者认为安全模式没有达到效果驻留型病毒，可以使用DOS版的杀毒软件，启动进入DOS后，扫描整个磁盘，建议使用avpdos，支持U盘引导和防病毒，支持更新. 第四步，如果前三个步骤对病毒没有帮助，则可以选择: 重新安装系统或手动杀死病毒. 中毒过程中手动杀毒的过程当杀毒软件被病毒或木马攻克时，您必须手动杀死该病毒，可以参考以下步骤. 断开计算机网络连接，然后启动计算机. 首先，使用系统自己的工具或第三方工具（建议使用IceSword）查看系统进程，消息挂钩，组件服务，停止可疑进程并阻止创建新的可疑进程. 其次，使用系统自己的工具或第三方工具（建议使用SRENG）查看计算机的注册表启动项，启动文件夹以及服务和驱动程序，以查找未经Microsoft数字签名的注册表，服务和驱动程序. 项目. 删除异常的注册表项值，清除驱动程序，并清除自动启动的服务. 该工具还具有只能修复和扫描的功能. 您可以在扫描报告中找到线索.

最后，删除找到的病毒Trojan源文件. （推荐的killbox）删除非寄生虫病毒源文件. 搜索注册表中与病毒源文件同名的所有密钥，然后将其删除. 重新启动后，安装防病毒软件，将病毒更新为最新的脱机版本，扫描整个磁盘，并消除潜在的危险. 以上方法不能用来对付病毒，而只能备份数据并重新安装操作系统. 另一个: 由于病毒的机制不同，处理方法也大不相同，您可以在Internet上浏览解决方案或使用特殊的Kill工具. 培训结束了，谢谢

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-266437-1.html