Download
1 / 40
400 likes | 597 Views
常见病毒问题故障排除. 目录. 1 、什么是病毒 2 、病毒对计算机的危害 3 、计算机病毒的防与治. 什么是病毒. 病毒的定义: 计算机病毒 (Computer Virus) 指 : 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 计算机病毒的特点 ( 1 ) 寄生性 ( 2 ) 传染性( 3 ) 潜伏性 4 ) 隐蔽性 5 )破坏性 ( 6 )计算机病毒的可触发性. 什么是病毒. 计算机病毒分类 ( 1 )根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
E N D
目录 1、什么是病毒 2、病毒对计算机的危害 3、计算机病毒的防与治
什么是病毒 病毒的定义: 计算机病毒(Computer Virus)指:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 计算机病毒的特点 (1) 寄生性(2) 传染性(3) 潜伏性4) 隐蔽性 5)破坏性 (6)计算机病毒的可触发性
什么是病毒 计算机病毒分类 (1)根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。 (2)根据病毒传染的方法可分为驻留型病毒和非驻留型病毒 (3) 根据病毒破坏的能力可划分为:无害型 无危险型 非常危险型 (4)根据病毒特有的算法,病毒可以划分为:1. 伴随型病毒 2. “蠕虫”型病毒 3. 寄生型病毒 4. 诡秘型病毒 5. 变型病毒(又称幽灵病毒)
什么是病毒 病毒是怎么命名的 很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊? 一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>系统病毒的前缀为:Win32、PE、Win95、W32、W95等 如CIH病毒。 蠕虫病毒的前缀是:Worm 如冲击波(阻塞网络),小邮差(发带毒邮件) 等。 宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)如:着名的美丽莎(Macro.Melissa)。
什么是病毒 破坏性程序病毒的前缀是:Harm 如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 木马病毒其前缀是:Trojan 如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。 玩笑病毒的前缀是:Joke 如:女鬼(Joke.Girl ghost)病毒。 脚本病毒的前缀是:Script 如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 捆绑机病毒的前缀是:Binder 如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
病毒对计算机的危害 病毒对计算机的危害: 计算机中毒的症状 1.计算机系统运行速度减慢。2.计算机系统经常无故发生死机。 3.计算机系统中的文件长度发生变化。4.计算机存储的容量异常减少。5.系统引导速度减慢。6.丢失文件或文件损坏。 7.计算机屏幕上出现异常显示。 8.计算机系统的蜂鸣器出现异常声响。
病毒对计算机的危害 9.磁盘卷标发生变化。 10.系统不识别硬盘。
病毒对计算机的危害 11.对存储系统异常访问。 12.键盘输入异常。13.文件的日期、时间、属性等发生变化。 14.文件无法正确读取、复制或打开。
病毒对计算机的危害 15.命令执行出现错误。 16. 是不应驻留内存的程序驻留内存。 17.换当前盘。有些病毒会将当前盘切换到C盘。18.时钟倒转。有些病毒会命名系统时间倒转,逆向计时。19.WINDOWS操作系统无故频繁出现错误。
病毒对计算机的危害 20.系统异常重新启动。 21.一些外部设备工作异常。 22.异常要求用户输入密码。 23.WORD或EXCEL提示执行“宏”。24.虚假报警。 25.蓝屏
病毒对计算机的危害 近年来较重大的病毒 1.Elk Cloner(1982年)它被看作攻击个人计算机的第一款全球病毒. 2.CIH(1998)世界上首例破坏硬件的病毒。 3.“冲击波”(2003年)4.“震荡波”(2004年)
病毒对计算机的危害 5.“熊猫烧香”(2007年)会烧香的不只是和尚,还有熊猫 6.“AV终结者”(2008年) 7.“母马下载器”(2009年) (犇牛)
计算机病毒的防与治 计算机病毒的防与治 1:及时为WINDOWS打补丁, 2。杀毒软件经常更新,以快速检测到可能入侵计算机的新病毒或者变种。 3.使用安全监视软件(和杀毒软件不同比如360安全卫士,瑞星卡卡)主要防止浏览器被异常修改,插入钩子,安装不安全恶意的插件。4.使用防火墙或者杀毒软件自带防火墙。 5关闭电脑自动播放(网上有)并对电脑和移动储存工具进行常见病毒免疫。下载后和安装软件前一定要杀毒 6.定时全盘病毒木马扫描。
计算机病毒的防与治 案例分析:AV终结者病毒 一、感染症状1、打开“我的电脑”把“显示系统 文件夹的内容”对号去掉, 在隐藏“文件夹选项”中选“显示 所有文件和文件夹”项, 阻止显示系统属性的文件
计算机病毒的防与治 2、在每个盘符下生成autorun.inf、icnskem.exe,并会下载VBurl.exe到C:\
计算机病毒的防与治 3、在C:\program Files下生成meex.exe 3、在C:\program Files下生成meex.exe
计算机病毒的防与治 4、在C:\program Files\Common Files\Microsoft Shared下生成具有隐藏/系统属性的文件xoqommy.inf、tydfjbr.exe 5、在C:\program Files\Common Files\System下生成具有隐藏/系统属性的文件xoqommy.inf、amtrtpn.exe6、增加amtrtpn.exe、tydfjbr.exe的启动项
计算机病毒的防与治 7、添加注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Opeions ,实现映像劫持,阻止运行反病毒软件、系统分析/修复工具等工具软件8、进程中有amtrtpn.exe、 tydfjbr.exe两个进程互相守护, 结束其中任一进程时,任务管理器 也同时被结束,待再次打开任务管 理器时,被结束的进程已经再次运 行。
计算机病毒的防与治 9、添加注册表项,使病毒注入Explorer.exe进程 10、修改系统时间为2001年
计算机病毒的防与治 二、手动清除 1.结束tydfjbr.exe和amtrtpn.exe进程任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)"。新建文本文档killprocess.txt,内容如下:ntsd -c q -p PID1 ntsd -c q -p PID2把PID1和PID2,改成tydfjbr.exe和amtrtpn.exe进程的ID。将该killprocess.txt文件扩展名改成.bat双击killprocess.bat,结束tydfjbr.exe和amtrtpn.exe进程 2.删除注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中amtrtpn.exe、tydfjbr.exe的启动项
计算机病毒的防与治 4.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecutehooks项中病毒相关的键
计算机病毒的防与治 5.修改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox,显示文件夹选项中的“隐藏受操作系统保护的系统文件”,显示系统属性文件 6.备份并删除前述“一、感染症状”2、3、4、5、9、10中的病毒文件
计算机病毒的防与治 7.修改系统时间至正常时间 8.把杀毒软件升级后全盘杀毒
计算机病毒的防与治 三、Autorun病毒的预防 1、关闭自动播放 点“开始”→“运行”,在对话框中输入“gpedit.msc” ,“确定”,在组策略“计算机配置”→“管理模板”→“系统”,双击“关闭自动播放”,在“设置”中选“已启用”,“关闭自动播放:所有驱动器”,确定;
计算机病毒的防与治 2、在各磁盘分区、优盘分别建立名为autorun.inf、icnskem.exe的文件夹,阻止生成autorun.inf和icnskem.exe病毒文件; 3、培养良好的电脑使用习惯, 使用资源管理器的文件夹栏打 开磁盘分区和优盘,从而避免 双击打开优盘及磁盘分区时触 发autorun病毒;对外来优盘、 下载的文件查杀病毒后再使用; 避免访问非法网站、个人网站 等危险站点。
计算机病毒的防与治 ARP欺骗解决方案 一、 什么是ARP ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓‘地址解析“就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
计算机病毒的防与治 二、 ARP的工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了: 注:用“arp -d”命令可以删除 ARP表的内容;用“arp -s”可 以手动在ARP表中指定IP地 址与MAC地址的对应。
计算机病毒的防与治 我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。作为攻击源的主机伪造一个ARP响应包,此ARP响应包中的IP与MAC地址对与真实的IP与MAC对应关系不同,此伪造的ARP响应包广播出去后,网内其它主机ARP缓存被更新,被欺骗主机ARP缓存中特定IP被关联到错误的MAC地址,被欺骗主机访问特定IP的数据包将不能被发送到真实的目的主机,目的主机不能被正常访问。
计算机病毒的防与治 四、 ARP欺骗的症状1、网络时断时通2、网络中断,重启网关设备,网络短暂连通3、内网通讯正常、网关不通;4、频繁提示IP地址冲突;5、硬件设备正常,局域网不通;6、特定IP网络不通,更换IP地址,网络正常;7、禁用-启用网卡,网络短暂连通;8、网页被重定向。……………………
计算机病毒的防与治 五、 ARP欺骗解决方案: 方案A:IP-MAC绑定 通过双向IP-MAC绑定可以抵御ARP欺骗,解决由于ARP欺骗造成的网络掉线、IP冲突等问题,保证网络畅通。1、客户机绑定网关IP-MAC:在客户机设置网关IP与MAC为静态映射,将如下内容复制到记事本中并保存为staticarp.reg,(网关IP、网关MAC根据实际情况填写,例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "staticarp"="arp –s 网关IP 网关MAC "
计算机病毒的防与治 将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置,文件名为run.bat,(网关IP、网关MAC根据实际情况填写,例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")@each off regedit /s .\runstaticarp.reg arp -s网关IP 网关MAC双击运行run.bat
计算机病毒的防与治 2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序将staticarp.reg、run.bat保存到同一文件夹下,登录Ahnlab Plicy Center Admin,服务器管理—登录分发软件—添加,<要分发的文件夹>选中保存staticarp.reg、run.bat的文件夹,<执行压缩文件名>中输入对所选择的文件夹压缩后生成的压缩文件的名称,<登录包名称>中输入应用程序名称,<说明>中输入简单说明,<解压缩后执行文件>中输入run.bat,单击<确定>。Ahnlab Plicy Center Admin—策略管理中选中需要分发的群组或客户机,点右键,紧急安全指令-分发,选中<一般软件>,选中要分发的软件,点击<确认>。3、网关绑定客户机IP-MAC:使用支持IP/MAC绑定的网关设备,在网关设备中设置客户机的静态IP-MAC列表。注:方案A可以抵御ARP欺骗,保证网络正常运行,但不能定位及清除ARP攻击源。
计算机病毒的防与治 方案B:利用ARP命令及nbtscan定位ARP攻击源1、确定ARP攻击源MAC地址ARP欺骗发作时,在受到ARP欺骗的计算机命令提示符下输入arp –a,APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址,则为ARP攻击源的MAC地址,一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。2、定位ARP攻击源计算机 已全网面署APC2.5的环境:在Policy Center Admin 2.5中,查找agent,查找ARP攻击源的MAC地址,定位攻击源计算机。未布署APC2.5的环境:运行Nbtscan MAC扫描器gui.exe,输入局域网IP地址范围,点击开始,显示局域网内IP、计算机名与MAC对应关系,查找ARP攻击源MAC对应的IP地址及计算机名,根据IP地址及计算机名定位攻击源计算机。
计算机病毒的防与治 磁碟机”分析与预防 如何判定是否种了磁碟机:1.某些常用安全软件打不开,或打开后立即被关闭; 2.无法进入Windows安全模式; 3.无法正常显示系统隐藏文件; 4.任务管理器中有两个lsass.exe和smss.exe进程; 5.使用Winrar浏览\system32\com\目录有以下病毒文件: o systemroot%\system32\com\lsass.exe o %systemroot%\system32\com\smss.exe o %systemroot%\system32\com\netcfg.dll o %systemroot%\system32\com\netcfg.000 6.硬盘根目录下有pagefile.pif和autorun.inf文件; 7.系统目录下存在dnsq.dll文件。
计算机病毒的防与治 感染该病毒后主要有如下症状: 1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名; 3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;5、在所有磁盘中添加autorun.inf和pagefile.pif,使得用户双击打开磁盘的同时运行病毒,从而可以U盘、活动硬盘传播 。6、病毒感染.exe文件导致其图标发生变化;7、会对局域网发起ARP攻击,并篡改下载链接为病毒链接,从病毒服务器下载最新病毒; 8、弹出钓鱼网站
计算机病毒的防与治 磁碟机病毒的主要传播渠道是:1、U盘/移动硬盘/数码存储卡2、局域网ARP攻击3、感染文件4、恶意网站下载5、其它木马下载器下载预防方案:1、关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。2、及时升级系统漏洞。3、将病毒库升级到最新,并开启防病毒软件的实时监控。
计算机病毒的防与治 手工查杀方法: 这个“磁碟机”一般中招后病毒均通过调用系统程序cmd.exe加载此驱动。 行了。从CMD入手 :1、关闭所有安全软件。2、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(一定要改两个目录的文件)。重启系统看看。3、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe。这个cmd.exe的logo不同于正常的cmd.exe 这个cmd是无法运行的,这个就是病毒现从I386目录里找出来的,那病毒也无法运行了。4、接下来将所有病毒文件手工删除(如果那个cmd.exe管用,那么NetApi000.sys可加载既病毒即可加载,病毒已经完整运行了。病毒文件是删不掉的)。5、病毒文件清理干净以后,删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。(此方法涉及修改系统文件,初学者慎用!)
计算机病毒的防与治 如果真的清除不了病毒,那还是快刀斩乱麻。备份数据,格吧格吧,重装算了 总之病毒入侵防不胜防,大家还是花点人民币买杀毒软件吧
