计算机维护第13章.ppt

第13章 病毒防治,13.1 计算机病毒基本常识13.2 计算机病毒防治13.3 常用反病毒软件13.4 瑞星防火墙思考题,教学目标1了解计算机病毒的基本常识。2掌握计算机病毒防治的基本方法。3.掌握常用反病毒软件、天网防火墙和木马杀除软件的使用方法。主要教学内容计算机病毒的基本常识、计算机病毒防治的基本方法；常用反病毒软件、天网防火墙和木马杀除软件的使用方法。,13.1 计算机病毒基本常识13.1.1 什么是计算机病毒计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时，就被激活的具有对计算机资源进行破坏作用的一组程序或指令。自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。在国内，最初引起人们注意的病毒是80年代末出现的“黑色星期五”，“米氏病毒”，“小球病毒”等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步。,13.1.2 计算机病毒的特点一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。病毒具有正常程序的一切特性，它还隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。计算机病毒主要有以下一些特点：1传染性2隐蔽性3潜伏性4破坏性5不可预见性,13.1.3 计算机病毒的分类计算机病毒层出不穷，破坏能力也千奇百怪，谁也说不清到底有多少种病毒，但可以把病毒归类，并按照寄生方式和传染途径分为以下几种类型：引导型病毒：隐藏在系统盘引导区中的病毒，如Brain病毒、小球病毒、2708病毒。系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。文件型病毒：附属在可执行文件内的病毒，如DIR2、CIH病毒。它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。达到传播的目的。感染对象:扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。混合型病毒：集引导型和文件型病毒特性于一体，如New century病毒。宏病毒：利用Word和Excel宏作为载体的病毒，如七月杀手病毒。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。网络病毒（邮件病毒）：通过互联网电子邮件（附件）传染并自动发送邮件的病毒，如Melissa（美丽杀手）、I LOVE YOU（爱虫病毒）。黑客程序：通过通讯程序监控用户的计算机，随时进行窃取和破坏用户数据。严格地说，黑客程序不是计算机病毒。,13.1.4 计算机感染病毒后的主要症状从目前发现的病毒来看，由于病毒传染性和破坏性，所以有一些易于觉察的表现。主要表现如下：磁盘坏簇莫名其妙地增多（当然也可能你的软盘或硬盘真的有物理损坏）。由于病毒程序附加在文件上，使可执行程序文件增大（很多病毒在带毒查看时，文件大小不变）。由于病毒不断传染给其它文件，使可用磁盘空间变小。DOS或Windows98不能启动，有的病毒会破坏系统引导区或删除系统文件。莫名其妙丢失数据或文件，一些病毒会删除数据或文件。中断向量发生变化，病毒获得控制权，但这种变化一般不容易觉察。打印出现问题，使得打印不能正常进行。鼠标不能使用，键盘使用异常。,访问写保护软盘时，软驱响声大（病毒试图写盘进行病毒传染，但写不了）。死机现象频繁。出现一些意外的问候语、画面或提示声音。系统启动或程序运行出现异常现象，例如比以前速度慢了。打开电脑时，黑屏且无声音提示，当系统BIOS被破坏时就是这样。收到来历不明的邮件或邮件附件。CMOS信息被修改或丢失（如硬盘参数等）。互联网的邮件服务器，被众多垃圾邮件阻塞，以至于瘫痪。上面的现象可能是计算机病毒引起的，但也可能是由于误操作、系统本身不稳定、电脑被其他人使用并修改过或其它原因。例如，升级BIOS失败时，启动电脑时就会出现黑屏；主板后备电池电压低时，CMOS信息会丢失；超频后散热不好，会频繁死机等。,13.1.5 计算机病毒的危害计算机病毒的破坏行为体现了病毒的破坏性。电脑界不断出现的病毒，对电脑系统的危害多种多样，攻击电脑系统的主要方式是：破坏软盘和硬盘磁盘系统数据区、文件、CMOS、网络系统、系统BIOS、显示BIOS（我想将来会有这样的病毒）；降低系统运行速度；干扰系统运行、内存分配、屏幕显示、键盘、鼠标、喇叭、打印机等的正常操作；阻塞网络的正常通讯。,1.破坏系统数据区。2.破坏文件。3.破坏CMOS信息。4.破坏网络系统。5.破坏系统BIOS和显卡BIOS。6.干扰系统正常运行。7.干扰内存分配。8.干扰打印。9.干扰屏幕显示。10.干扰键盘。11.干扰鼠标。12.干扰喇叭。,13.2 计算机病毒防治 13.2.1 病毒的传播途径1传染计算机病毒的途径(1)软盘和U盘交流染毒文件。(2)硬盘染毒，运行程序或处理的Word文档。(3)电脑数据光盘。(4)Internet上下载染毒文件。(5)电子邮件的附件夹带病毒。,2不会有病毒传染的情况(1)病毒不能传染写保护的软盘和U盘。(2)干净的系统启动后，对带病毒的软盘或硬盘列目录（不是运行其中的程序），不会传染病毒。没有执行程序的数据文件不会含有病毒，如纯文本文件*.TXT不会有病毒（Word文档和模板中的宏，在文档或模板被打开时宏会被执行，宏就是宏病毒寄生的地方，所以Word文档或模板可能被感染宏病毒）。,3可能传染病毒的操作(1)带病毒的软盘启动系统，病毒可能传染硬盘以及本次使用的未写保护的软盘和U盘。(2)带病毒的系统中，病毒可能传染本次使用的未写保护的软盘和U盘（包括列目录操作）。(3)带病毒的系统中，发送邮件，可能病毒也被发送。(4)带病毒的系统中，运行未带病毒的程序，这个程序可能染上病毒。(5)打开来历不明的邮件或邮件附件，你的电脑可能染上病毒。(6)运行了带病毒的程序，会传染其它被运行的程序。(7)打开带宏病毒的Word文档或模板，会把宏病毒传给其它Word文档或模板。,13.2.2 用户防治病毒感染系统的措施1防治病毒传染的措施(1)软盘和U盘尽量带写保护。(2)安装病毒实时监控程序（防火墙），同时注意软件及时升级。(3)慎用外来软件（使用前进行病毒扫描）。(4)安装硬盘还原卡可抵御病毒。(5)经常查杀病毒，包括在杀毒软件中设置定时查杀病毒。(6)注意系统中的一些异常变化，如执行程序文件变大、数据莫名奇妙地丢失、发送带附件的邮件时死机、打印机不能打印等，及时做查杀病毒处理。,2注意一些病毒的发作日期 在下面的这些日期前（不胜枚举！仅列出几个有代表性的日期），要特别注意查杀病毒，因为病毒可能要干坏事了。3月6日：米开朗基罗病毒。产自瑞典或荷兰，硬盘的主引导扇区也像大麻病毒一样被写到0面0道7扇区。除了像本来一样进行传染外，还将把硬盘和当时插在软驱中的软盘数据破坏掉。4月26日：CIH 病毒1.2版（是在我国流行最广的CIH病毒版本）。病毒产自台湾，CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。CIH病毒只感染Windiws操作系统,不感染DOS，特征：以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止；某些主板上的Flash Rom中的BIOS信息将被清除。5月 4 日：New Century病毒。特征：首页被自动改为；在桌面上每次开机的时候会建立一个“免费电影”的快捷方式；在收藏夹里会出现“免费电影”这个非法收藏网站；每次开启网站时，会自动出来两到三个“免费电影”的网站；一些文件被破坏，如winRAR，都打不开了；系统运行变慢，进程里有不明进程；重装系统后，无效；360安全卫士，超级兔子，卡巴斯基，瑞星均无法彻底查杀该病毒。6月26日：CIH病毒1.3版。7月每一天：七月杀手宏病毒。特征：用户在使用WORD时，病毒会弹出一个 标题为“醒世恒言”的简体汉字对话框，框内的文字内是有些偏激的话，如“当今世界太黑暗，太不公平”等，病毒逼 迫用户用“确定”键表示与其一致的观点，否则，选择三次“取消”键的话，后果将十分严重，病毒悄悄地将硬盘中 C 盘根目录下的自动批处理文件AUTOEXEC.BAT的原来文件内容全删除，再特别写进一个破坏性非常严重的命令代码：DDL_ TRFF/Y C:，这样用户再次启动计算机时，用户C盘下的所有文件都将被删除掉，计算机将瘫痪掉。该病毒是一种非常 严重的恶性病毒。每月26日：CIH病毒1.4版。13日星期五：磁盘杀手病毒。特征：修改系统文件win.ini中msappfont节中value,font,style项（如果该节中不存在这些项，病毒会创建），并将自己执行的日期存在这些项里；该病毒还会获取系统当前时间，如果病毒运行超过两天，则释放病毒文件到C盘根目录下，并用这个文件改写硬盘分区表，当系统重启时显示病毒字符信息，破坏掉硬盘上的数据。,13.3 常用反病毒软件防治计算机病毒主要靠自己的警惕性和查杀病毒的软件。常见的查杀病毒软件有：瑞星、江民系列、金山、Norton Antivirus杀毒软件等。下面以瑞星RAV2006版本为例，说明查杀病毒的一般方法，其它的杀毒软件与其有相似之处。将瑞星杀毒软件光盘放入光驱，系统会自动显示如图所示的安装界面。,单击“安装瑞星杀毒软件”组件，弹出选择安装语言选择框，如图所示。在“中文简体”、“中文繁體”、“English”和“日本语”四种语言中的选择一种进行安装，当然我们选择“中文简体”，按“确定”开始安装。,进入安装欢迎界面，按照安装向导进行操作。安装程序将自动对系统内存进行扫描。根据当前系统内存占用情况，此过程可能要占用3-5 分钟，请等待；如果不愿意等待，可以选择“跳过”按钮，按“下一步”继续安装。在“安装类型”窗口中，可自行选择“全部”、“典型”、“最小”和“定制”四种安装类型中的一种进行安装，建议选择“全部安装”，以更好使用瑞星杀毒软件的全部组件和工具程序。文件复制完成后，在“结束”窗口中，可以选择“运行瑞星主程序”、“运行监控中心”和“运行注册向导”三项来启动相应程序，最后选择“完成”结束安装。安装完成后，出现主界面，如图所示。,13.31瑞星杀毒软件2006的功能1使用第七代杀毒引擎2未知病毒查杀3在线专家门诊4、卡卡上网安全助手5八大监控系统6主动漏洞扫描、修补7全自动无缝升级8家长保护9迷你杀毒10数据修复,11抢先启动杀毒12垃圾邮件双重过滤引擎13快捷方式杀毒14光盘启动应急杀毒15全新瑞星注册表修复工具16嵌入式杀毒17屏保杀毒18日志管理系统19支持多种压缩格式20内嵌信息中心21个性化界面，人性化操作22自动语言配置,13.3.2瑞星杀毒瑞星2006的杀毒杀毒操作是十分简单的，进入主界面，选择“杀毒”按钮，工作就会自动进行，出现对话框如图所示。,系统默认对“我的电脑”进行全面杀毒，直到所有硬盘数据查询完毕，这一过程非常漫长，要耐心等待。也可以有选择的进行杀毒，只要勾选磁盘或者文件夹前面的复选框，即可对选定目标进行扫描杀毒。发现病毒，系统便会自动清除。如果只是怀疑某个文件夹有病毒，也可以直接右单击文件夹，在快捷菜单中，选择杀毒即可。检查结束会出现提示，如图13.7所示。这时候只要找到确定，并关闭杀毒界面，接下来就可以放心的使用该文件夹了。当接收邮件时，有时候会看到来自瑞星的邮件提示，告诉本邮件有病毒，这时候应该毫不犹豫的将邮件删除，千万不要打开。总之瑞星会时时刻刻对计算机所有的部件进行监控，一旦发现疫情，便会及时发出警报。,13.4 瑞星防火墙互联网的普及，网络已成为我们生活的一部分。然而在上网时用户的电脑可能存在安全隐患，在用户用QQ或者MSN聊天时，黑客可能已侵入你的电脑，正在盗用你的资源或者数据，也许正在对你的机器进行破坏。瑞星防火墙可以有效地控制个人用户电脑的信息在互联网上的收发。用户自己可以通过设定一些参数，从而达到控制本机与互联网之间的信息交流，阻止和杜绝一些恶意信息对本机的攻击，比如ICMP flood攻击、聊天室炸弹、木马信息等等。防火墙种类很多，常见的有瑞星防火墙、天网防火墙、诺顿防火墙等。下面我们介绍瑞星防火墙的特点及使用方法。瑞星防火墙安装完成后，主界面如图13.9所示。一般选择默认就可以了，其实经过修改的自定义IP规则与默认中级的规则是一样的。,默认情况下，只要没什么特殊要求(如开放某些端口或屏蔽某些端口，或某些IP操作等)，就能起到防火墙的强大作用。以下就介绍开放某些端口的设置方法，大家可以依次类推，完成其它相关操作。,13.4.1 防火墙规则设置如果想对防火墙进行一些设置，可以在“设置”菜单中选择“详细设置”进行，如图所示。,1访问规则设置单击访问规则后，出现图所示对话框。,列表中显示当前已定义了访问规则的应用程序，具体列出程序名、状态、是否允许收发邮件、完整路径，打勾的表示已经选中了。,2增加规则点击“增加规则”按钮或在右键菜单中选择“增加规则”，打开如图所示的“添加访问规则向导”窗口。,点击“浏览”按钮定位应用程序，界面上自动显示名称、公司、版本信息。选择所属类别、常规模式下访问规则、是否允许发送邮件。选择是否启用防篡改保护，选中表示在应用程序访问网络时防火墙将检查其是否已被修改过。点击“下一步”按钮或点击左侧的“高级”，进入高级设置界面，设置在各种模式下此应用程序访问网络的规则。,设置其是否允许对外提供服务，点击“完成”保存并退出。,3编辑规则选中待修改的规则，规则加亮显示，点击“编辑规则”按钮 或 在右键菜单中选择“编辑规则”，打开“编辑访问规则”窗口。修改对应项目，基本内容与“增加规则”相同。点击“完成”确认修改，或点击“退出”放弃此次修改。您也可以双击对应项目打开“辑访问规则”窗口。4删除规则选中待删除的规则，规则加亮显示，点击“删除规则”按钮或在右键菜单中选择“删除规则”，确认删除。您也可以选中项目按“Delete”键来删除规则。选择规则时可配合“Ctrl”键与“Shift”键进行多选。,5导入规则 点击“导入规则”按钮，在弹出的文件选择窗口中选中规则文件(*.fwr)，再点击“打开”。如果列表中已有规则，导入时会询问是否删除现有规则，您可以选择“是”、“否”或“取消”。6导出规则点击“导出规则”按钮，在弹出的保存窗口中填写文件名，再点击“保存”。如果您选择的文件已存在，导出时会询问是否覆盖。,13.42 端口开关点击“规则设置”下的“端口开关”，打开端口设置窗口。在此处您可以允许或禁止端口中的通讯，可简单开关本机与远程的端口。列表中显示当前端口规则中每一项的端口、动作、协议、计算机，打勾的项表示生效。1 增加规则点击“增加规则”按钮或在右键菜单中选择“添加规则”，打开“增加端口开关”窗口,输入端口列表、协议类型、计算机、执行动作，点击“确定”即可。输入端口号时，多个端口以英文逗号分隔，如：2,4-8,10。,2编辑规则选中待修改的规则，规则加亮显示，在右键菜单中选择“编辑规则”，打开“编辑端口开关”窗口。修改对应项目，点击“确定”完成修改，或点击“取消”放弃此次修改。您也可以双击对应项目打开“编辑端口开关”窗口。3删除规则 选中待删除的规则，规则加亮显示，点击“删除规则”按钮或在右键菜单中选择“删除规则”，确认删除。您也可以选中项目按“Delete”键来删除规则。选择规则时可配合“Ctrl”键与“Shift”键进行多选。其它的设置方法基本一致，这里不在阐述，当遇到相关问题时可以使用瑞星提供的帮助。只要设置好防火墙的规则，软件就会按照要求进行拦截处理，自动保护计算机系统的安全。我们设置好防护规则后，还可以设置机器在每次开机后自动启动防火墙，确保系统处于防护状态。有时为了方便资源共享和机器互访，我们也可以随时关闭防火墙，待完成操作后再随时打开防火墙，我们可以根据具体情况进行设置。,思考题1什么是计算机病毒？它有哪些危害？2什么样的操作会传染计算机病毒？3使用Norton Antivirus、江民KV系列或瑞星RAV查杀病毒，看看你的硬盘是否有病毒。4练习各类防火墙的设置。,