第3章计算机病毒及其防治课件.ppt
2023/1/20,Page 1,第3章 计算机病毒及其防治,2023/1/20,Page 2,3.1 计算机病毒概述,3.1.1 计算机病毒发展简史1计算机病毒的概念 对于病毒概念的起源可追溯到科幻小说。在20世纪70年代,美国作家雷恩出版的P1的青春一书中构思了一种能够自我复制、利用通信进行传播的计算机程序,并称之为计算机病毒。“病毒”一词是借用生物学中的病毒。计算机病毒有很多种定义,从广义上讲,凡是能引起计算机故障,破坏计算机中数据的程序都统称为计算机病毒。依据此定义,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。现今国外流行的定义是:计算机病毒是一段依附在其他程序上,可以实现自我繁殖的程序代码。,2023/1/20,Page 3,在国内,中华人民共和国计算机信息系统安全保护条例对病毒的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。,2023/1/20,Page 4,2计算机病毒发展简史,1计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序。1988年11月2日晚,美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。,2023/1/20,Page 5,2计算机病毒在中国的发展情况 在我国,80年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1982年“黑色星期五”病毒侵入我国;1985年在国内发现更为危险的“病毒生产机”,生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代以后,计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。,2023/1/20,Page 6,3计算机病毒发展的10个阶段(1)DOS引导阶段(2)DOS可执行文件阶段(3)混合型阶段(4)伴随型阶段(5)多形型阶段(6)生成器,变体机阶段(7)网络,蠕虫阶段(8)Windows阶段(9)宏病毒阶段(10)Internet阶段,返回本节,2023/1/20,Page 7,3.1.2 计算机病毒的分类,1按传染方式分类(1)引导型病毒:可以传染计算机磁盘引导程序,先于操作系统而存在,依托的环境是BIOS中断服务程序。(2)文件型病毒:能够传染可执行文件。(3)复合型病毒:具有引导型病毒和文件型病毒寄生方式的计算机病毒称为复合型病毒。,2023/1/20,Page 8,2按寄生方式分类(1)代替型病毒:病毒在传染病毒宿主后,用其自身代码的部分或全部代替正常程序的部分或全部,从而使宿主程序不能正常运行。(2)链接型病毒:将病毒程序代码链接到被传染的宿主程序代码的首部、中部或尾部,对原来的程序不做修改。,2023/1/20,Page 9,(3)存储型病毒:病毒将原合法程序的代码转移到存储介质的其他部位,而病毒代码占据原合法程序的位置。(4)源码病毒:主要是利用java、vbs、ActiveX等网络编程语言编写的,放在电子邮件的附件或HTML网页中,从而进入到被感染的计算机中执行的病毒。,2023/1/20,Page 10,3按危害程度分类,(1)良性病毒又称表现型病毒,这类病毒对源程序不做修改,对系统的危害较小。(2)恶性病毒又称破坏型病毒,它的目的就是对计算机的软件和硬件进行恶意的攻击,使系统遭到严重的破坏。(3)中性病毒是指那些既不对计算机系统造成直接破坏,又没有表现症状,只是疯狂地复制自身的计算机病毒,也就是常说的蠕虫型病毒。,2023/1/20,Page 11,4按攻击对象分类,(1)攻击DOS的病毒(2)攻击Windows的病毒(3)攻击网络的病毒,2023/1/20,Page 12,3.1.3 计算机病毒的特征,1传染性2破坏性3潜伏性4可触发性5演变性6不可预见性,2023/1/20,Page 13,3.2 计算机病毒的检测与防治,被感染的程序从病毒代码开始,进行如下工作:第一行代码是到主病毒程序的一个跳转,第二行是一个特殊标记,病毒用来确定潜在的受害者程序是否已经被这个病毒感染了。当这个程序被调用时,控制立刻传递给主病毒程序。病毒程序先找出没被感染的可执行文件并且感染它们。下一步,病毒可能进行某个动作,通常是对系统有害的动作。这个动作可能在每次调用程序时都会被执行,或有它可能是一个只在特定条件下触发的逻辑炸弹。最后,病毒将控制权传递给原来的程序。如果程序的感染阶段相当快,用户不可能注意到一个被感染的和一个没被感染的程序执行之间的差别。,3.2.1 计算机病毒的工作原理,2023/1/20,Page 14,计算机病毒的工作步骤,(a)引导型病毒,(b)文件型病毒,2023/1/20,Page 15,3.2.2 计算机病毒的检测一 异常情况判断计算机系统运行速度明显降低系统容易死机文件改变、破坏磁盘空间迅速减少内存不足系统异常频繁重启动频繁产生错误信息,2023/1/20,Page 16,二 使用病毒检测技术,1病毒特征码扫描法:病毒特征码是反病毒公司在分析病毒时,确定的只有该病毒才可能会有的一段独一无二的二进制程序码。2对比法:将原始备份的正常无毒对象与被检测的可疑对象进行比较。3行为监测法:是一种检测计算机行为的常驻式扫描技术,通过对病毒的深入分析和总结,发现病毒的一些共同行为。,2023/1/20,Page 17,4软件模拟法:专门用来对付多态性的病毒,此技术是在设计的虚拟机上模拟CPU的执行过程,让CPU假执行病毒的变体引擎解码程序,安全并确实地将多态性病毒解开,使其显露原本的面目。5实时I/O扫描:即时地对计算机上的I/O数据做病毒特征码比对的工作。6网络监测法:对查找局域网内感染网络病毒的计算机比较有效。,2023/1/20,Page 18,3.2.3 计算机病毒的防治,1在思想和制度方面 建立、健全法律和管理制度 加强教育和宣传,打击盗版2在技术措施方面系统安全软件过滤软件加密备份恢复建立严密的病毒监视体系在内部网络出口进行访问控制,2023/1/20,Page 19,3.2.4 计算机病毒防治软件的选购,1防、杀毒软件的选购指标 选购病毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。(1)检测速度:选择每30秒能够扫描1000个文件以上的病毒防治软件。(2)识别率:识别率越高,误报率和漏报率也就越低。(3)病毒清除效果2常用的防、杀毒软件介绍,2023/1/20,Page 20,3.2.5 计算机病毒的防御步骤,1用常识进行判断 2安装防病毒产品并保证更新最新的病毒定义码 3首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描4插入光盘和可插拔介质前,一定对它们进行病毒扫描5不要从任何不可靠的渠道下载任何软件,2023/1/20,Page 21,6警惕欺骗性的病毒7使用其他形式的文档,如.rtf(Rich Text Format)和.pdf(Portable Document Format)8不要用共享的u盘安装软件9禁用Windows Scripting Host(Windows 脚本宿主,是内嵌于 Windows 操作系统中的脚本语言工作环境)10使用基于客户端的防火墙或过滤措施,2023/1/20,Page 22,3.3 计算机病毒防治中的常见问题,3.3.1 根据名称识别计算机病毒下面是对一些常见病毒前缀的解释。1系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等,这些病毒的一般共有特性是可以感染windows操作系统的*.exe 和*.dll文件,并通过这些文件进行传播。如CIH病毒。,2023/1/20,Page 23,2蠕虫病毒,蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。,2023/1/20,Page 24,蠕虫病毒与其他病毒的区别,2023/1/20,Page 25,蠕虫病毒的特点,破坏性强传染方式多 一种是针对企业的局域网,主要通过系统漏洞;另外一种是针对个人用户的,主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。传播速度快清除难度大,2023/1/20,Page 26,3木马病毒、黑客病毒,木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息;而黑客病毒则有一个可视的界面,能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的计算机,黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。,2023/1/20,Page 27,一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有比较多见的针对网络游戏的木马病毒,如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之类的,一般都表示这个病毒有盗取密码的功能(这些字母为“密码”的英文“password”缩写)。一些黑客程序,如网络枭雄(Hack.Nether.Client)等。,2023/1/20,Page 28,4脚本病毒,脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。,2023/1/20,Page 29,5宏病毒,其实宏病毒也是脚本病毒的一种,由于它的特殊性,因此单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97。宏病毒的主要特征如下:1)宏病毒会感染.DOC文档和.DOT模板文件。2)宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。,2023/1/20,Page 30,3)多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。4)宏病毒中总是含有对文档读写操作的宏命令。5)宏病毒在.DOC文档、.DOT模板中以BFF(Binary File Format)格式存放,这是一种加密压缩格式,每个Word版本格式可能不兼容。6)宏病毒具有兼容性。,返回本节,2023/1/20,Page 31,6后门病毒,后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户计算机埋下安全隐患。如很多用户遇到过的IRC(全名为Internet Relay Chat,是一款即时聊天工具,类似网络聊天室,但功能更强大)后门Backdoor.IRCBot。,2023/1/20,Page 32,7病毒种植程序病毒,这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。,2023/1/20,Page 33,8破坏性程序病毒,破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是以好看的图标来诱惑用户单击。当用户单击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。,2023/1/20,Page 34,9玩笑病毒,玩笑病毒的前缀是:Joke,也称恶作剧病毒。这类病毒的共有特性也是以好看的图标来诱惑用户单击。当用户单击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户计算机进行任何破坏。如:女鬼(Joke.Girlghost)病毒。,2023/1/20,Page 35,10捆绑机病毒,捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,表面上是运行这些应用程序,实际上是隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。,2023/1/20,Page 36,3.3.2 区别计算机病毒与计算机故障,1计算机病毒的现象与查解方法 在一般情况下,计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散的,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,总是有一定规律地出现异常现象,如下所列。,2023/1/20,Page 37,(1)屏幕显示异常,屏幕显示出不是由正常程序产生的画面,而是显示混乱(2)程序装入时间增长,文件运行速度下降(3)用户没有访问的设备却出现工作信号(4)磁盘出现莫名其妙的文件和坏块,卷标发生变化(5)系统自行引导(6)丢失数据或程序,文件字节数发生变化(7)内存空间、磁盘空间减小(8)异常死机(9)磁盘访问时间比平时增长(10)系统引导时间增长,2023/1/20,Page 38,2与病毒现象类似的硬件故障,(1)系统的硬件配置(2)电源电压不稳定(3)插件接触不良(4)软驱故障(5)CMOS的问题,2023/1/20,Page 39,3与病毒现象类似的软件故障,(1)出现“Invalid drive specification”(非法驱动器号)(2)软件程序已被破坏(非病毒)(3)DOS系统配置不当(4)软件与DOS版本的兼容性(5)引导过程故障(6)用不同的编辑软件编写程序,2023/1/20,Page 40,3.4 计算机客户端病毒的防范方法,3.4.1 客户端的病毒防护步骤1减小攻击面2应用安全更新3启用基于主机的防火墙4安装防病毒软件5测试漏洞扫描程序6使用最少特权策略7限制未授权的应用程序,2023/1/20,Page 41,3.4.2 客户端应用程序的防病毒设置,1电子邮件客户端2桌面应用程序3即时消息应用程序4Web 浏览器5对等应用程序,2023/1/20,Page 42,3.5 病毒的清除,3.5.1 邮件病毒的清除1断开网络2文件备份3杀毒软件4安全处理5预防邮件病毒,2023/1/20,Page 43,3.5.2 QQ病毒特征及清除方法,1“QQ尾巴”病毒(1)病毒主要特征 这种病毒并不是利用QQ本身的漏洞进行传播,而是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统、进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候,所访问网页中嵌入的恶意代码即被运行,并立即会通过IE的漏洞运行一个木马程序进驻用户机器。,2023/1/20,Page 44,然后在用户使用QQ向好友发送信息的时候,该木马程序就自动在发送的消息末尾插入一段广告词,通常都是以下类型:“HoHo http:/www.mm*.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。”,2023/1/20,Page 45,(2)清除方法,在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:WINDOWS一个叫qq32.INI的文件,文件里是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。安装系统漏洞补丁 由病毒的播方式知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该马上下载IE的iFrame漏洞补丁。,2023/1/20,Page 46,2QQ“缘”病毒,(1)病毒特征 该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP:/WWW.*115.COM/。如果发现自己的IE首页被修改成以上网址,就表明是被该病毒感染了。病毒会利用QQ发送例如:“今天在网上下了本电子书,书名叫缘,写得不错,而且书的作者的名字很巧,点击下面这个地址可以下载这本书”;,2023/1/20,Page 47,“1937年12月13日,300000南京人民被侵华日军集体大屠杀!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心,中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土,台湾是中国不可分割的一部份,请你将此消息发给你QQ上的好友!”。消息里的链接是病毒网址。,2023/1/20,Page 48,(2)清除方法,使用下面的办法可将其彻底删除。找到下列文件并删除:C:Windowssystemnoteped.exe C:WindowssystemTaskmgr.exe C:Windowsnoteped.exe C:Windwossystem32noteped.exe,2023/1/20,Page 49,其中,对于Taskmgr.exe要先打开“window 任务管理器”,选中进程“Taskmgr.exe”,杀掉。其中,有两个名字叫“Taskmgr.exe”的进程,一个是QQ病毒,一个是刚才打开的“Window 任务管理器”。然后到注册表中找到:“HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun”找到“Taskmgr”删除。,2023/1/20,Page 50,也可以通过下面的方式删除病毒。在任务栏上单击鼠标右键,选择任务管理器;选择进程里的Taskmgr.exe;单击“开始”、“运行”,输入Regedit进入注册表;在注册表中找到,2023/1/20,Page 51,“HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun”将Taskmgr项删除。删除后重启计算机,“缘”QQ病毒彻底删除。需要注意的是,应该尽快更新IE到其高级版本,这样可以减少很多的IE被改机会。,2023/1/20,Page 52,3QQ“狩猎者”病毒,(1)病毒特征 在进行QQ聊天时会在消息中加入如下信息:“向你介绍一个好看的动画网:http:/”当浏览带毒网站时,会利用IE漏洞尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件b.sys。如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将病毒安装到Windows/Downloaded Program Files文件夹中,文件名为b.exe。如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。,2023/1/20,Page 53,复制文件复制病毒体到SystemRoot文件夹中,文件名为Rundll32.exe;复制病毒体为“C:cmd.exe”,试图复制病毒体到共享目录中,名为“病毒专杀.exe”和“周杰伦演唱会.exe”。添加注册表启动项,以随机启动在注册表的主键:在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun处添加“LoadPowerProfile=/SystemRoot/Rundll32.exe”键值。,2023/1/20,Page 54,修改和新增以下文件关联修改.exe文件的关联,每当执行exe文件时,首先执行病毒预先复制的病毒文件,在注册表的主键:HKEY_CLASS_ROOTexefileshellopencommand 修改键值:默认=C:cmd.exe%1&*新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件b.sys在注册表的主键:HKEY_CLASS_ROOTsysfileshellopencommand修改键值:默认=%1%*新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOTtmpfileshellopencommand修改如下键值:默认=%1%*,2023/1/20,Page 55,试图偷传奇游戏的密码,并通过自带的邮件引擎以“”的名义发送到“”信箱中。在Win2000、WinXP、Win2003系统中,系统文件“Rundll32.exe”就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载。,2023/1/20,Page 56,(2)清除方法,关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;重新启动到安全模式下;先将regedit.exe改名为,再用资源管理器结束cmd.exe进程,然后运行,将EXE关联修改为“%1%*”,再删除C:cmd.exe、%Windows%Download Program Filesb.exe文件,对于Windows 9x系统,还要删除%SystemRoot%Rundll32.exe,再到共享目录中看有没有“病毒专杀.exe”和“周杰伦演唱会.exe”这两个文件,文件大小为11184字节,如果有,将其删除;打开注册表,删除主键:HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_ROOTtmpfileshellopen修改 HKEY_CLASSES_ROOTexefileshellopencommand 的键值为%1%*。,2023/1/20,Page 57,(3)防范措施,不要轻易单击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的“动画播放插件2.0”)。,2023/1/20,Page 58,3.5.3 恶意网页病毒症状分析及修复方法,1默认主页被修改(1)破坏特性:默认主页被自动改为某网站的网址。(2)表现形式:浏览器的默认主页被自动设为如*.COM的网址。(3)清除方法:采用手动修改注册表法,单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具,按顺序依次打开:HKEY_current_USERSoftwareMicrosoftInternet ExplorerMain分支,找到Default_ Page_URL键值名(用来设置默认主页),在右窗口单击右键进行修改即可。按【F5】键后刷新生效。危害程度:一般,2023/1/20,Page 59,2默认首页被修改,(1)破坏特性:默认首页被自动改为某网站的网址。(2)表现形式:浏览器的默认主页被自动设为如*.COM的网址。(3)清除方法:采用手动修改注册表法,单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USERSoftware MicrosoftInternet ExplorerMain分支,找到StartPage键值名(用来设置默认首页),在右窗口单击右键进行修改即可。按【F5】键后刷新生效。危害程度:一般,2023/1/20,Page 60,3默认的微软主页被修改,(1)破坏特性:默认微软主页被自动改为某网站的网址。(2)表现形式:默认微软主页被篡改。(3)清除方法:手动修改注册表法单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain分支,找到Default_ Page_URL键值名(用来设置默认微软主页),在右窗口单击右键,将键值修改为http:/www.,2023/1/20,Page 61,自动文件导入注册表法 请把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain default_page_urlhttp:/危害程度:一般,2023/1/20,Page 62,4主页设置被屏蔽锁定,且设置选项无效不可更改,(1)破坏特性:主页设置被禁用。(2)表现形式:主页地址栏变成灰色被屏蔽。(3)清除方法:手动修改注册表法 单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorer分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”。按【F5】键刷新生效。,2023/1/20,Page 63,自动文件导入注册表法 请把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel HomePage=dword:00000000 危害程度:轻度,2023/1/20,Page 64,5默认的IE搜索引擎被修改,(1)破坏特性:将IE的默认微软搜索引擎更改。(2)表现形式:搜索引擎被篡改。(3)清除方法:手动修改注册表法单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。,2023/1/20,Page 65,按如下顺序依次打开:HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch分支,找到“Search Assistant”键值名,在右面窗口单击“修改”,即可对其键值进行输入为:http:/ie.search.,2023/1/20,Page 66,自动文件导入注册表法 请把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4 HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerSearch SearchAssistant=http:/CustomizeSearch=http:/危害程度:一般,2023/1/20,Page 67,6IE标题栏被添加非法信息,(1)破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的广告信息。(2)表现形式:在IE顶端蓝色标题栏上多出了类似“正点网,http:/”的信息。(3)清除方法:手动修改注册表法单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。,2023/1/20,Page 68,按如下顺序依次打开:HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer Main分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按【F5】刷新生效。按如下顺序依次打开:HKEY_CURRENT_MACHINESoftwareMicrosoftInternetExplorerMain分支,找到“Window Title”键值名,输入键值为Microsoft Internet Explorer,按【F5】刷新生效。,2023/1/20,Page 69,自动文件导入注册表法 把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain Window Title=Microsoft Internet ExplorerHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain Window Title=Microsoft Internet Explorer危害程度:一般,2023/1/20,Page 70,7OE标题栏被添加非法信息破坏特性,(1)破坏特性:通过修改注册表,在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息。(2)表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。(3)清除方法:手动修改注册表法单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_LOCAL_USERSoftwareMicrosoftOutlook Express分支,找到Window Title以及Store Root键值名,将其键值均设为空。按【F5】键刷新生效。,2023/1/20,Page 71,自动文件导入注册表法 请把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftOutlook Express WindowTitle=Store Root=危害程度:一般,2023/1/20,Page 72,8鼠标右键菜单被添加非法网站链接,(1)破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。(2)表现形式:添加“网址之家”等诸如此类的链接信息。(3)清除方法:单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerMenuExt分支,在左边窗口凡是属于非法链接的主键一律删除,按【F5】键刷新生效。危害程度:一般,2023/1/20,Page 73,9鼠标右键弹出菜单功能被禁用失常,(1)破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。(2)表现形式:在IE中单击右键毫无反应。(3)清除方法:手动修改注册表法单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支,找到“NoBrowserContextMenu”键值名,将其键值设为“00000000”,按【F5】键刷新生效。,2023/1/20,Page 74,自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet|ExplorerRestrictions NoBrowserContextMenu=dword:00000000 危害程度:轻度,2023/1/20,Page 75,10IE收藏夹被强行添加非法网站的地址链接,破坏特性:通过修改注册表,强行在IE收藏夹内自动添加非法网站的链接信息。表现形式:躲藏在收藏夹下。清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,单击右键弹出菜单,选择删除即可。危害程度:一般,2023/1/20,Page 76,11在IE工具栏非法添加按钮,破坏特性:工具栏处添加非法按钮。表现形式:有按钮图标。清除方法:直接单击鼠标右键弹出菜单,选择“删除”即可。危害程度:一般,2023/1/20,Page 77,12锁定地址栏的下拉菜单及其添加文字信息,破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。清除方法:单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerToolbar分支,在右边窗口找到“LinksFolderName”键值名,将其键值设为“链接”,多余的字符一律去掉,按【F5】键刷新生效。危害程度:轻度,2023/1/20,Page 78,13IE菜单“查看”下的“源文件”项被禁用,破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。表现形式:“源文件”项不可用。,2023/1/20,Page 79,清除方法:手动修改注册表法单击“开始”菜单“运行”“regedit”“确定”,打开注册表编辑工具。按如下顺序依次打开:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支,找到NoViewSource键值名,将其键值设为“00000000”,按【F5】键刷新生效。按如下顺序依次打开:HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支,找到NoViewSource键值名,将其键值设为“00000000”,按【F5】键刷新生效。,2023/1/20,Page 80,自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内,以扩展名为.reg的任意文件名存在C盘的任一目录下,然后执行此文件。根据提示,一路确认,即可显示成功导入注册表。REGEDIT4 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions NoViewSource=dword:00000000 HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet Explorer Restrictions NoViewSource=dword:00000000 危害程度:轻度,