引导型病毒清除方法
计算机病毒的定义及分类.doc
计算机病毒的定义及分类~教育资源库计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
计算机病毒可根据感染形态进行分类,大致可分为以下几种:①引导型病毒:引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。
由于现代计算机的启动机制,使得病毒可以在每次开机,操作系统还没有引导之前就被加载到内存中,这个特性使得病毒可以对计算机进行完全的控制,并拥有更大的能力进行传染和破坏。
绝大多数引导型病毒有极强的传染性和破坏性,通常会格式化硬盘、修改文件分配表(FA T表)等,一旦发作,计算机的数据通常会全部丢失。
这种类型病毒的清除也很简单,不管是什么名字的病毒,只要是引导型的,用干净的软盘(即不含病毒的启动软盘,注意:一定要关闭软盘的写保护,不允许对软盘进行写入操作)启动系统,然后重写硬盘的引导扇区即可清除。
由于该类病毒的清除和发现很容易,所以这类病毒都属于很老的了,现在基本上已经灭绝。
②文件型病毒:文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件(如:*.、*.EXE、*.DLL等)中。
当这些文件被执行时,病毒的程序就跟着被执行。
文件型病毒依传染方式的不同,又分为非常驻型以及常驻内存型两种。
非常驻型病毒是将病毒程序自身放置于*.、*.EXE或是*.SYS的文件中,当这些中毒的程序被执行时,就会尝试把病毒程序传染给另一个或多个文件。
该类病毒只在感染病毒的程序被调用执行时,传染给其它程序,病毒本身并不常驻内存;常驻内存型病毒躲在内存中,一旦常驻内存型病毒进入了内存,只要有可执行文件被执行,就可以对其进行感染。
由于病毒一直常驻内存,所以此时用杀毒软件进行杀毒,存在带毒杀毒的问题,通常不易杀干净。
一般需要用干净的系统引导盘启动系统后,再进行杀毒才彻底。
③复合型病毒:复合型病毒具备引导型病毒和文件型病毒的特性,可以传染*.、*.EXE、*.DLL文件,也可以感染磁盘的引导扇区。
计算机病毒ppt课件
第 2 章 计算机病毒
2.3.2 文件型病毒传播方式
前置感染 后置感染 覆盖感染 扩展覆盖感染
19
第 2 章 计算机病毒
2.3.3 文件型病毒的清除方法
1、病毒诊断
(1)比较文件内容 (2)系统的内存变化 (3)检查中断向量 2、 文件型病毒的清除
良性病毒:是指那些只是为了表现自己而并不破坏系统数据,只占用 系统CPU资源或干扰系统工作的一类计算机病毒。 恶性病毒:是指病毒制造者在主观上故意要对被感染的计算机实施破 坏,这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格 式化操作系统盘,使系统处于瘫痪状态。
按寄生方式分类
系统引导型:系统引导时病毒装入内存,同时获得对系统的控制权, 对外传播病毒,并且在一定条件下发作,实施破坏。 文件型(外壳型):将自身包围在系统可执行文件的周围、对原文件 不作修改、运行可执行文件时,病毒程序首先被执行,进入到系统中, 获得对系统的控制权。 源码型:在源被编译之前,插入到源程序中,经编译之后,成为合法 程序的一部分。 入侵型:将自身入侵到现有程序之中,使其变成合法程序的一部分。
病毒检查
比较法、搜索法、特征字识别法、分析法、通用解密法、人 工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、病毒交叉 感染的消除
14
第 2 章 计算机病毒
2.2 引导型病毒
15
第 2 章 计算机病毒
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。 只有在计算机启动过程中,磁盘被引导时,“引导型”病毒才被激活。
7
第 2 章 计算机病毒
2.1.4 病毒的种类 按广义病毒概念分类
计算机病毒
21
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒,它的产生是利用了一些 数据处理系统。这种特性可以把特定的宏命令代码附加在 指定文件上,在未经使用者许可的情况下获取某种控制权, 实现宏命令在不同文件之间的共享和传递。
病毒通过文件的打开或关闭来获取控制权,然后进一步捕 获一个或多个系统事件,并通过这些调用完成对文件的感 染。 宏病毒与传统的病毒有很大不同,它不感染.EXE和.COM 等可执行文件,而是将病毒代码以“宏”的形式潜伏在 Office文件中,主要感染Word和Excel等文件,当采用 Office软件打开这些染毒文件时,这些代码就会被执行并 产生破坏作用。 宏病毒与VBA
硬件中断可以分为外部中断和内部中断两类:
外部中断:一般是指由计算机外设发出的中断请求。 内部中断:是指因硬件出错或运算出错所引起的中断。
软件中断:其实并不是真正的中断,它们只是可 被调用执行的一般程序。
12
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
2
3
4
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
计算机病毒定义:是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据、影响计算 机使用且能自我复制的一组计算机指令或者程序 代码。 病毒传播载体:网络、电磁性介质和光学介质 病毒传染的基本条件:计算机系统的运行、读写 介质(磁盘)上的数据和程序 病毒的传播步骤:驻留内存、寻找传染的机会、 进行传染。 病毒传染方式:引导扇区(包括硬盘的主引导扇
诊断和清除电脑病毒方法有哪些
诊断和清除电脑病毒方法有哪些计算机病毒是对电脑危害极大的,有可能会导致我们的电脑呢死机等等!我们要怎么清除他们呢?下面由店铺给你做出详细的诊断和清除电脑病毒方法介绍!希望对你有帮助!计算机病毒的常用诊断检测方法有哪些:计算机病毒的常用诊断检测方法有:特征码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。
网络病毒的特征有:(1)传播方式多样化(2)传播速度更快(3)难以彻底清除(4)破坏性更大(5)网络病毒触发条件的多样化(6)潜在的危险更大。
在网络操作系统中一般提供了目录和文件访问权限与属性两种安全措施,属性优先于访问权限。
可以根据用户对目录和文件的操作能力分别分配不同的访问权限和属性,比如对于公用目录中的系统文件和工具软件,只设置成只读属性;系统程序所在的目录不授权修改权和超级用户权。
这样,计算机病毒就无法对系统程序实施感染和寄生,其他的用户也不会感染病毒。
网络上公用目录或共享目录的安全性措施对于防止计算机病毒在网上传播起到了积极作用,采用基于网络目录和文件安全性的方法对防止网络病毒也起到了一定的作用。
防范网络病毒要充分利用网络操作系统本身所提供的安全保护措施,加强网络安全管理,做好网络病毒的预防工作,以减小网络病毒对网络用户所造成的危害。
常用的清除计算机病毒的方法有:(1)杀毒软件清除法(2)主引导区信息恢复法当计算机系统感染上引导型病毒时,可采用备份的主引导扇区文件进行覆盖,从而恢复主引导扇区信息。
(3)程序覆盖法适合于文件型病毒,一旦发现某些程序或文件被感染了文件型病毒,可重新安装该程序,安装过程根据提示信息对所有文件进行覆盖,即可清除病毒。
(4)格式化磁盘法是最彻底的清除计算机病毒的办法。
对于一些较顽固的计算机病毒,只能采用格式化或者低级格式化磁盘的方法来进行清除。
(5)手工清除法适合于所有的计算机病毒,特别是对那些新出现的未知的计算机病毒,不过这种方法要求的专业性稍高一些,一般适用于计算机类专业人员操作。
第九章 计算机病毒查杀方法
对于Windows中的病毒,感染实验法检测内容会更 多一些,例如,当使用感染实验法检测“广外女生” 木马病毒时,可以采用如下步骤: ① 首先打开RegSnap,从file菜单选new,然后单 击OK按钮,对当前干净的注册表以及系统文件做 一个记录。如果木马修改了其中某项,就可以分析 出来了。备份完成之后把它存为Regsnp1.rgs。 ② 在计算机上运行感染了“广外女生”病毒的文 件,例如双击gdufs.exe,然后等一小会儿。如果 此时发现正在运行着的“天网防火墙”或“金山毒 霸”自动退出,就很可能木马已经驻留在系统中了。
则表明两次记录中,没有删除注册表键,修改了15 处注册表,新增加了一处注册表键值,在 C:\WINNT\System32\目录下面新增加了一个文件 diagcfg.exe。这个文件非常可疑,因为在比较两次 系统信息之间只运行了“广外女生”这个木马,所 以有理由相信diagcfg.exe就是木马留在系统中的后 门程序。这时打开任务管理器,可以发现其中有一 个diagcfg.exe的进程,这就是木马的原身。但这个 时候千万不要删除diagcfg.exe,否则系统就无法正 常运行了。
木马一般都会在注册表中设置一些键值以便 以后在系统每次重新启动时能够自动运行。 从Regsnp1-Regsnp2.htm中可以看到哪些注 册表项发生了变化,此时若看到:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ exefile\shell\open\command\@ Old value: String: ″″%1″ %*″ New value: String: ″C:\WINNT\System32\diagcfg.exe ″%1″ %*″
计算机病毒的诊断原理
• 用什么来判断? 染毒后的特征 • 常用方法:
清除电脑病毒有什么技巧妙招
清除电脑病毒有什么技巧妙招电脑病毒看不见却不处不在,时时刻刻威胁着我们计算机安全。
很多用户除了利用杀毒软件杀毒外,可能不知道有什么应对方法,那么具体有哪些技巧呢?解除病毒的3个常用妙招解决病毒进程结束进程,我们首先想到的是“任务管理器”,但通常情况下病毒都会禁用“任务管理器”,这个时候我们只能借助一些专业的安全工具来完成这项工作,例如冰刃。
运行冰刃后,隐藏的进程会以红色字体显示,我们很容易发现,在病毒进程上右键点击结束即可。
对付多进程互相保护的病毒,冰刃同样手到擒来,使用Ctrl键同时选中病毒进程,右键结束之。
清除病毒启动项进程结束后,病毒就失去了作战能力,已经任我们宰割了。
现在我们要处理的就是病毒的启动项。
点击“开始”菜单→“运行”,输入“msconfig”回车,切换到“启动”标签,将其中的病毒启动项前面的钩取消。
如果这里没有病毒的启动项,那么病毒很可能将自身加入到了系统服务中。
进入“控制面板”→“管理工具”→“服务”,找到对应的病毒服务,双击打开后将其启动方式选择“已禁用”。
如果你不清楚哪些是系统正常的服务,哪个是病毒服务,那么可以借助一些工具来处理,例如金山卫士、超级巡警等。
删除病毒文件现在该轮到病毒文件了。
但现在我们是找不到病毒文件的,因为已经被隐藏了,我们想显示隐藏的文件也不太可能,因为“文件夹选项”也被动了手脚,也就是说现在我们的系统无法显示那些隐藏的文件了。
那么该怎么办呢?很简单。
打开注册表编辑器,定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio nPoliciesExplorer处,看右边窗口中是否有NoFolderOptions这个键,如果有把值改为0,如果没有就新建一个DWORD键,值为0。
设置好后,在“资源管理器”中点击“工具”菜单→“文件夹选项”,切换到“查看”标签,勾选其中的“显示所有文件和文件夹”,并同时去掉“隐藏受保护的操作系统文件”前面的钩,设置完成后单击“确定”。
《计算机病毒》复习思考题及答案
《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。
计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。
4、脚本病毒脚本病毒的前缀是:Script。
5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro。
6、后门病毒后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒后门病毒的前缀是:Dropper。
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒玩笑病毒的前缀是:Joke。
10.捆绑机病毒捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。
5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。
病毒查杀及预防
课程名称:病毒查杀及预防一:病毒含义计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码二:病毒特征传染性:病毒通过自身复制来感染正常文件,达到破坏电脑正常运行的目的,但是它的感染是有条件的,也就是病毒程序必须被执行之后它才具有传染性,才能感染其他文件。
破坏性:任何病毒侵入计算机后,都会或大或小地对计算机的正常使用造成一定的影响,轻者降低计算机的性能,占用系统资源,重者破坏数据导致系统崩溃,甚至损坏硬件隐藏性。
病毒程序一般都设计得非常小巧,当它附带在文件中或隐藏在磁盘上时,不易被人觉察,有些更是以隐藏文件的形式出现,不经过仔细地查看,一般用户是不会发现的。
潜伏性:一般病毒在感染文件后并不是立即发作,而是隐藏在系统中,在满足条件时才激活。
一般都是某个特定的日期,例如“黑色星期五”就是在每逢13号的星期五才会发作。
可触发性:病毒如果没有被激活,它就像其他没执行的程序一样,安静地呆在系统中,没传染性也不具有杀伤力,但是一旦遇到某个特定的文件,它就会被触发,具有传染性和破坏力,对系统产生破坏作用。
这些特定的触发条件一般都是病毒制造者设定的,它可能是时间、日期、文件类型或某些特定数据等。
不可预见性:病毒种类多种多样,病毒代码千差万别,而且新的病毒制作技术也不断涌现,因此,我们对于已知病毒可以检测、查杀,而对于新的病毒却没有未卜先知的能力,尽管这些新式病毒有某些病毒的共性,但是它采用的技术将更加复杂,更不可预见。
寄生性:病毒嵌入到载体中,依靠载体而生存,当载体被执行时,病毒程序也就被激活,然后进行复制和传播。
三:病毒分类1)按传染方式分为:引导型病毒、文件型病毒和混合型病毒。
文件型病毒一般只传染磁盘上的可执行文件(COM,EXE)。
在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。
其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、主要特征:桌面上出现几个删除不了的图标,其通过右键无法删除,使用工具删除清理后重复出现。
2、隐含特征:这是一个引导型病毒,病毒会在感染初期就修改PC系统的硬盘主引导模块[主MBR],这样它就先于Windows系统启动而进入内存,病毒有一部分存在于硬盘的空闲扇区中,当引导程序激活它以后,用户即使重新安装系统也会在第一次启动时就被重复感染。
3、感染机系统在空闲时进程中多出一些未知的程序,并且伪装成与系统类似的名称比如wupmgr.exe,svchost.exe[不好分别]。
4、感染机系统各分区根目录下,全部的目录及程序可能都被隐藏并出现伪装的替代同名程序,辨别方法是资源管理器显示详细信息,其目录图标伪装的程序,分类不是文件夹。
清除建议:
1、应首先重置硬盘的主引导记录MBR,使用光盘,U盘或移动硬盘启动,利用其所带磁盘工具,将主机的硬盘MBR还原为标准MBR。
还原完不要启机进入系统防止重复感染。
2、立刻重装系统,或者重G系统,如果有还原备份的话,可以通过光盘、U盘、移动硬盘运行Ghost主程序来还原主机系统。
3、建议在WinPE工具环境下,整理主机各分区根目录,辨别删除病毒体伪装的文件,特征是其文件的生成时间都是同一时刻[也就是此机被感染时间],大小相同,图标为文件夹类似黄SE,名称为原目录名同名。
4、正确重新做好系统后,进入桌面不要查看我的电脑,或者资源管理器中的任何文件[病毒体可能在其它分区中易被激活],请在第一时间配置好上网程序,下载安装杀毒软件,并且打全所有系统漏洞补丁。
然后让杀毒软件查杀各分区,确保病毒被清除。