病毒及防范.

Presentation on theme: "病毒及防范."— Presentation transcript:

1 病毒及防范

2 病毒的定义 定义1(通用定义）：计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的,具有复制能力的，具有对计算机资源（功能或数据等）进行破坏作用的一组计算机程序代码或指令集合。 定义2(规范定义)（1994年2月18号《中华人民共和国计算机信息系统安全保护条例》第二十八条）：所谓计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。

3 恶意代码和计算机病毒 严格地从概念上讲，计算机病毒是恶意代码的一种，即可感染的依附性恶意代码。实际上，目前发现的恶意代码几乎都是混合型的计算机病毒，即除了具有纯粹意义上的病毒特征外，还带有其他类型恶意代码的特征。

4 恶意代码的分类实例 类别 实例 不感染的依附性恶意代码 特洛伊木马（Trojan horse） 逻辑炸弹（Logic bomb）
不感染的独立性恶意代码 点滴器（Dropper） 繁殖器（Generator） 恶作剧（Hoax） 可感染的依附性恶意代码 病毒（Virus） 可感染的独立性恶意代码 蠕虫（Worm）

5 病毒的历史 “计算机病毒”这一概念最早是由美国计算机病毒研究专家Fred Cohen博士正式提出的。
20世纪60年代初，美国贝尔实验室三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中的一方通过复制自身来摆脱对方的控制，这就是所谓“计算机病毒第一个雏形。 1983年美国计算机安全专家首次通过实验证明了病毒的可实现性。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1987年      世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等.

6 病毒的历史 1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。 1989年    全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失;能感染硬盘和软盘引导区的大麻Stoned（石头）病毒，该病毒替代码中有明显的标志“Your Pc is now Stoned！”。 1991年    在“海湾战争”中，美军第一次将计算机病毒用于实战，美军成功地使伊拉克部队系统一半以上的计算机染上病毒，遭受破坏，破坏了对方的指挥系统，使之瘫痪。 1996年    首次出现针对微软公司Office的"宏病毒"。

7 病毒的历史 1997年被公认为计算机反病毒界的"宏病毒"年,如Word宏病毒。"宏病毒"主要感染WORD、EXCEL等文件。
1998年 出现针对Windows95/98系统的病毒，如CIH[台湾的陈盈豪，编写出了破坏性极大的恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏] 。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。 1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 1999年2月，“美丽莎(Melissa) ”病毒席卷了整个欧美大陆 ，在16小时内席卷全球互联网 至少造成10亿美元的损失！ 通过 传播传播规模（50的n次方，n为传播的次数，病毒会自动发送到用户通讯簿中的前50个地址 ）

8 powerpoint 病毒 100多种 Dos病毒 40000多种 Win9x病毒 600多种 Script脚本病毒 500多种
2000年5月，在欧美又爆发了“爱虫（Love bug） ”网络蠕虫病毒，利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒属于vbs脚本病毒，可以通过html，irc， 进行大量的传播。 红色代码（2001年） 、“冲击波”（2003年）、“震荡波”2004）。。。 powerpoint 病毒 100多种 Script脚本病毒 500多种 macintos苹果机病毒 50种 linux 病毒 5种 手机病毒 2种 合计 多种 Dos病毒 40000多种 Win9x病毒 600多种 winnt/win2000病毒 200多种 Word宏病毒 7500多种 excel宏病毒 1500多种 （ 2000年12月统计数据）

9 病毒的特征 传染性 传染性是病毒的基本特征。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
传染性 传染性是病毒的基本特征。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 未经授权而执行 病毒隐藏在正常程序中，当用户调用程序时窃取到系统的控制权，先于正常程序执行是未经用户允许的。 隐蔽性 病毒通常附在正常程序中或磁盘较隐蔽的地方，或以隐含文件形式出现。 潜伏性 大部分的病毒感染系统之后不会马上发作，可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。 破坏性 降低计算机工作效率，占用系统资源，导致系统崩溃，此特性可将病毒分为良性病毒与恶性病毒。 不可预见性 病毒对反病毒软件永远是超前的。 寄生性 病毒通常都是附着在其它程序之中，类似生物界的寄生现象，现在这个特性正在变化。

10 网络时代计算机病毒的新特点 病毒与其他技术相融合：某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身，具有混合型特征，破坏性极强；
传播途径多，扩散速度快，主动通过网络和邮件系统传播：很多病毒与internet和intranet紧密结合，通过系统漏洞、局域网、网页、邮件等方式进行传播，扩散速度快。目前此类病毒已有2000多种； 欺骗性强：很多病毒具有很强的诱惑性和欺骗性，使得它更容易传染，如“库尔尼科娃”病毒； 大量消耗系统与网络资源：计算机感染病毒后，病毒会不断分配内存，导致系统资源很快被消耗，最终使得计算机速度越来越慢或网络阻塞；

11 网络时代计算机病毒的新特点 病毒出现频度高，病毒生成工具多，如病毒生成机
变种多：目前，很多病毒使用高级语言编写，如“爱虫” ，“美丽杀”等病毒具有多个变种。 难于控制：利用网络传播、蔓延，很难控制。 难于根治、容易引起多次疫情 增强隐蔽性：如避开修改中断向量值 、请求在内存中的合法身份 、维持宿主程序的外部特性 、不使用明显的感染标志 使用加密技术处理 ：如对程序段动态加密 、对显示信息加密、对宿主程序段加密

12 病毒的分类 按传染方式分类 分为引导型病毒、文件型病毒和 混合型病毒三种
按传染方式分类 分为引导型病毒、文件型病毒和 混合型病毒三种 按连接方式分类 分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。 按破坏性分类 分为良性病毒和恶性病毒。 按程序运行平台分类 病毒按程序运行平台分类可分为DOS病毒、Windows病毒、Windows NT病毒、OS/2病毒等， 新型病毒 如宏病毒、黑客软件、电子邮件病毒等。

13 计算机病毒的传播途径 第一种途径通过不可移动的计算机硬件设备进行传播。 第二种途径通过移动存储设备来传播这些设备包括软盘、磁带等。
第三种途径通过计算机网络(邮件、网页、局域网、远程攻击、网络下载）进行传播。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统 ， 第四种途径通过点对点通信系统和无线通道传播 。

14 病毒的逻辑结构 病毒程序一般包括3个基本功能模块：病毒的引导模块、传染模块和破坏（或表现）模块。
病毒的引导模块：引导模块的作用是当病毒的宿主程序开始工作将病毒程序从外存引入内存，使其与宿主程序独立，并且使病毒的传染模块和破坏模块处于活动状态，以监视系统的运行； 病毒的传染模块：传染模块负责将病毒传染给其它计算机程序，使病毒向外扩散。病毒的传染模块由两部分组成：病毒传染的条件判断部分和病毒传染程序主体部分。 病毒破坏模块：该模块是病毒的核心部分，它体现了病毒制造者的意图，病毒的破坏模块也是由两部分组成：病毒破坏的条件判断部分和破坏程序主体部分。

15 引导型病毒工作流程

16 文件型病毒工作流程

17 宏病毒工作流程

18 病毒结构 计算机病毒可以预先搁置或事后搁置在可执行程序中，也可以以其他方式嵌入到一些其他可执行程序之中，病毒起作用的关键是被感染的程序调用时将先执行病毒代码，之后再执行原来的程序代码。 病毒通用结构如下： program V: = {goto main; ; subroutine infect-executable := { loop: file := get-random-executable-file; if (first-line-of-file = ) then goto loop else prepend V to file;} subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if some condition holds} main: main-program := { infect-executable; if trigger-pulled then do-damage; goto next;} next: }

19 病毒结构 上面的例子中，病毒代码V被预先搁置到要感染的程序中，并作为被感染程序的入口，在调用受感染程序时，病毒体先得到执行。
受感染程序以病毒代码开始，按如下过程运行，程序的第一行是向主病毒程序的跳转语句； 第二行是一个特殊的标记，病毒利用该标记来判断一个潜在的目标程序是否已经被感染；当程序被调用的时候，控制逻辑直接转到主病毒程序，病毒程序首先寻找为被感染的文件并对其进行感染操作； 然后，病毒进行一些对系统有害的操作，这些操作可以在每次程序被调用的时候执行，也可以作为一个逻辑炸弹在相关条件满足的时候触发执行； 最后，病毒将控制逻辑转移给宿主程序，如果感染过程足够快，那么用户就很难注意到程序感染前后执行时的差别。

20 病毒结构 用于防止对比检查，如检查文件大小等，可对可执行文件进行压缩，以使得感染前后的文件长度一致。
假定程序P1被病毒CV感染，当这一程序被调用时候，控制逻辑被病毒主导： 对于发现的每个未感染病毒的文件P2，病毒首先对该文件进行压缩以产生文件P’2,该文件在长度上比压缩前要小； 病毒将其一个副本预先搁置到压缩后的文件中； 对P1感染病毒并压缩后产生的文件P’1进行解压缩； 执行解压缩后的原始程序。

21 病毒的介绍-引导型病毒(Boot) 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。 引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容。 特点： 引导型病毒是在安装操作系统之前进入内存 引导型病毒需要把病毒传染给软盘，一般是通过修改INT 13H的中断向量，而新INT 13H中断向量段址必定指向内存高端的病毒程序。 引导型病毒感染硬盘时，必定驻留硬盘的主引导扇区或引导扇区，并且只驻留一次 引导型病毒的寄生对象相对固定，把当前的系统主引导扇区和引导扇区与干净的主引导扇区和引导扇区进行比较，如果内容不一致，可认定系统引导区异常。 常见的引导型病毒有: 大麻(Stoned)、2708、INT60病毒、Brain、小球病毒等。

22 病毒的介绍-文件型病毒 文件型病毒是指感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。被感染的文件分为可执行文件类和文本文件类。
文件型的病毒通过修改COM、EXE或DOC文件结构，将病毒代码插入宿主程序，Word宏病毒通过VBA指令改变文档结构。 文件型病毒感染文件后，大多发生了长度、日期和时间的变化，也有些病毒传染前后文件长度、日期、时间不发生变化，称为隐型病毒。隐型病毒是在传染后对感染文件进行数据压缩，达到“隐身”的目的。

23 病毒的介绍- DOS病毒 存在位置： 病情表现
附着在DOS可执行文件中 *.EXE, *.COM, *.DLL, *.SYS, *.BIN, *.BAT, *.OVL 和 *.DRV 病情表现 增加原文件大小 降低内存容量 系统运行速度下降

24 病毒的介绍- windows病毒 通常感染的文件类型: 标准程序，可执行文件 [NE, PE] (*.EXE)
系统驱动程序 [LE, PE] (*.DLL, *.DRV, *.VXD) 其它具有可执行代码的文件 (*.SCR, *.HLP, *.OCX)

25 病毒的介绍- windows病毒 病情表现 文件状态发生异常变动 (例如: 文件大小, 文件日期, 运行情况等) 出现额外 的进程
Host Program Virus Code 文件状态发生异常变动 (例如: 文件大小, 文件日期, 运行情况等) 出现额外 的进程 .ini文件，系统注册表文件被修改

26 Check for any unusual or unexpected entries
病毒的介绍- windows病毒 注册表经常被修改的地方 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\* [Run, RunOnce, RunOnceEx, RunServices 或 RunServicesOnce 的键值] HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\system\currentcontrolset\services Check for any unusual or unexpected entries

27 病毒的介绍- 宏(macro)病毒 宏病毒利用了Word或其它Office应用软件（如Excel）里一种称为宏的机制，宏机制实质上是一种嵌入到Word文档或其它文件中的一个可执行程序。在Office应用软件所提供的各类宏中，存在一种可以自动执行的宏，这使得宏病毒的制造成为可能。这种宏在执行某种操作的时候会自动调用，如打开一个文件，关闭一个文件，开始一个应用程序等。 宏运行起来，就可以执行将自身复制到其它文档、删除文件等操作，也可能对系统造成其它的危害。 宏病毒是与系统平台无关的，且宏病毒感染的目标是文件不是代码段，宏病毒传播很简单。 传播宏病毒通常技术是：首先，将自动宏或命令宏附加到Word文档中，在该文件打开后，宏将会得到执行；该宏将自身复制给全局宏文件，当运行Word的时候，已经被感染的全局宏将被激活，该宏可以复制自身并给系统带来危害。

28 模版文件控制了每个每个打开文件的默认格式和行为，包括初始宏程序。
病毒的介绍- 宏(macro)病毒 模版文件控制了每个每个打开文件的默认格式和行为，包括初始宏程序。 Word宏病毒 含宏病毒的文件被打开时，通常会将病毒复制到模版文件中。 Macro viruses in Word documents Every Microsoft Word document is based on a template. A template determines the basic structure for the document and contains document settings, including macros. The two basic types of templates are global templates and document templates. Global templates, including the Normal template, contain settings that are available to all documents. Word macro viruses oftentimes target the Normal template (NORMAL.DOT) when they initially infect a computer system as it makes the macro codes available also in the succeeding Word sessions. If unsure whether NORMAL.DOT is infected or not, you can simply delete the file and Microsoft Word will recreate a new one. 于是其它的文件也受到感染

29 病毒的介绍- script 病毒 存在位置 Web页面和 内容中 Windows script, shell 自动化程序

30 存在位置 含有script的邮件会显示出一个图标 The script icon

31 病毒的介绍- 蠕虫程序 蠕虫程序是一种通过某种网络媒介---电子邮件、远程执行、远程登陆、TCP/IP等自身从一台计算机复制到其它计算机的程序。与病毒在文件之间进行传播不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统。 蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，不会与其他特定程序混合，自行通过网络连接或邮件传播。病情表现 蠕虫可以大量地消耗计算机时间和网络通信带宽，导致整个计算机系统及其网络的崩溃，成为拒绝服务攻击的工具。 由于它大多是一个可执行文件，因此产生的危害行为更严重，如可植入木马，进行破坏活动。 典型病毒如： 冲击波Worm.Blaster病毒、 2003蠕虫王(Worm.netkiller 2003)病毒 、尼姆达（Nimda）病毒

32 病毒的介绍- 木马(trojan horse)程序
木马泛指那些内部包含有为完成特殊任务而编制的代码的程序，其为包含在有用或者看起来有用的程序或命令过程中的隐秘代码段，一种潜伏执行非授权功能的技术，木马本身不进行自我复制。 木马的欺骗性是其得以传播的根本原因，经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。 存在位置:用寄生，或是作为邮件附件 病情表现:与儒虫病毒类似

33 病毒的介绍- 逻辑炸弹程序 逻辑炸弹是指修改计算机程序，使它在某种特殊条件下按某种不同的方式运行，逻辑炸弹也是有程序员插入其它程序代码中间的，但并不进行自我复制。 逻辑炸弹的出现早于病毒和蠕虫，逻辑炸弹实际上是嵌入在合法程序中的代码段，在某些条件满足的时候该炸弹引爆，这些条件如包括特定文件的出现，某一星期中的一个特定日子，或者某特的用户运行了程序，一旦引爆，逻辑炸弹将修改、删除数据和文件，使系统停机或带来一些其它的危害。 一个著名的例子是美国马里兰州某县的图书馆系统，开发该系统的承包商在系统中插入了一个逻辑炸弹，如果承包商在规定日期得不到全部酬金，它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时，承包商指出了逻辑炸弹的存在，并威胁如果酬金不到位的话就会让它爆炸。

34 病毒防御 有效的病毒防治部署是采用基于网络的多层次的病毒防御体系。该体系在整个网络系统的各组成环节处，包括客户端、服务器、Internet网关和防火墙，设置防线，形成多道防线。即使病毒突破了一道防线，还有第二、第三道防线拦截，因此，能够有效地遏制病毒在网络上的扩散

35 客户端病毒防御 客户端主要是指用户桌面系统和工作站，它们是主要的病毒感染源。因此，有必要在客户端实施面向桌面系统和工作站的病毒防治措施，增强客户端系统的抗病毒能力。 客户端病毒防御是传统防御模式，作为固守网络终端的最后防线。 客户端防御对于广大家庭用户、小型网络用户无论是在效果、管理、实用价值上都有意义的：阻止来自软盘、光盘、共享文件、互联网的病毒入侵，进行重要数据备份等其他功能，防护单台计算机。

36 服务器病毒防御 整体上,根据网络操作系统使用情况，服务器必须配备相应防病毒软件，基于多个操作系统如UNIX/LINUX、Windows/98NT/2000、及dos等，全方位的防卫病毒的入侵。 对于电子邮件服务器，如Microsoft Exchange和Lotus Notes/Domino服务器，要特别重点保护，因为电子邮件是目前传播最快、范围最广、危害最大的蠕虫病毒的最主要的传播途径。 在局域网内配备网络防病毒管理平台，如在网管中心中，配备病毒集中监控中心，集中管理整个网络的病毒疫情， 在各分支网络也配备监控中心，以提供整体防病毒策略配置，病毒集中监控，灾难恢复等管理功能，工作站、服务器较多的网络可配备软件自动分发中心。

37

38 广域网络病毒防御 在局域网病毒防御的基础上构建广域网总部病毒报警查看系统，监控本地、远程异地局域网病毒防御情况，统计分析整个集团网络的病毒爆发种类、发生频度、易发生源等信息。 广域网病毒防御策略是基于三级管理模式：单机终端杀毒-局域网集中监控-广域网总部管理。

39

40 邮件网关病毒防御 政府机关、军队、金融、及科研院校等机构办公自动化（OA）系统中的邮件服务器作为内部网络用户邮件的集中地和发散地，也成为病毒邮件、垃圾邮件进出的门户，如果能够在网络入口处将邮件病毒、邮件垃圾截杀掉，则可以确保内部网络用户收到安全无病毒的邮件。 邮件网关防毒系统放置在邮件网关入口处，接收来自外部的邮件，对病毒、不良邮件（如带有色情、政治反动色彩）等进行过滤，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网络用户的电子邮件安全。

41 防火墙联动防御 在网络出口处设置了有效的病毒过滤系统，防火墙将数据提交给网关杀毒系统进行检查，如有病毒入侵，网关防毒系统将通知防火墙立刻阻断病毒攻击的IP。 利用防火墙实时分离数据报，交给网关专用病毒处理器处理。这种防病毒系统能减少大量病毒传播机会。

42 病毒检测技术 感染实验法 该法利用病毒最重要的基本特征---感染特性。检测时，先运行可疑系统中的程序，再运行一些确切知道不带病毒的正常程序，然后观察这些正常程序的长度和检验和，如果发现有变化，可断言系统中有病毒。 虚拟执行技术 该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点： 在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”; 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件; 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀。

43 病毒检测技术 文件实时监控技术 比较技术 加总比较技术
通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。 比较技术 利用原始备份和被检测的引导扇区或被检测的文件进行比较。该方法简单、方便，不需要专用软件。比较法是进行原始的或正常的特征与被检测对象的特征比较，由于病毒的感染，会引起文件长度和内容、内存以及中断向量的变化，从这些特征的比较中可以发现异常从而判断病毒的有无。 加总比较技术 根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或将所有检查码放入同一个数据库，再利用此加总对比系统，追踪并记录每个程序的检查码是否更改，以判断是否感染了病毒。

44 搜索法 搜索法是利用每一种计算机病毒体含有的特定字符串对被检测对象进行扫描。搜索法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；该方法是目前最为普及的计算机病毒检测方法。 行为检测法 由于病毒在感染及破坏时都表现出一些共同行为，而且比较特殊，这些行为在正常程序中比较罕见，因此可通过检测这些行为来检测病毒的存在与否，行为检测发识别病毒是以病毒的机理为基础，不仅识别现有病毒，而且以现有病毒的机理设计出对一类病毒的识别方法，其关键是对病毒行为的判断。该方法不仅可检测已知病毒，而且可预报未知病毒，但是有可能误报。

45 人工智能陷阱技术和宏病毒陷阱技术 归纳所有计算机病毒产生的行为，常驻内存，检查内存中程序的不当行为，是具有主动性的技术；宏病毒陷阱技术是结合了搜索法和人工智能陷阱技术，依行为模式来侦测已知及未知的病毒。 分析技术 分析法需要DEBUG、Proview等分析工具程序和专用的试验用计算机用静态和动态分析相结合的方法来对计算机病毒代码进行分析，是针对未知的新病毒采用的技术。如分析病毒程序的大致结构，提取识别用的特征字符或字符串、分析病毒程序的详细结构，为制定相应的反病毒措施提供方案。 先知扫描技术 利用仿真软件来建立一个保护模式下的DOS虚拟机，仿真CPU动作并伪执行程序以解开多态变形计算机病毒，检查可疑的病毒代码。

46 病毒防治技术的趋势前瞻 加强对未知病毒的查杀能力 防杀针对掌上型移动通讯工具，如手机病毒和PDA的病毒 兼容性病毒的防杀
蠕虫病毒和脚本病毒的防杀 网络病毒将大肆传播，对网络病毒的查杀不能忽视

47 查杀病毒与木马技巧 如果知道病毒的名字或者病毒文件名等，上BAIDU搜索一下是否网上有杀毒的方法？一般查杀病毒主要有以下几个步骤（以杀lsaaa病毒为例）： 1、结束可疑进程： 结束进程方法1：启动“任务管理器”，中止进程。 结束进程方法2：用360安全卫士全面诊断，进程项里认定其中之一的lsass.exe和smss.exe前面打着兰色的？号，选上这两个，点击修复选中项，发现这两个进程被终止了。 结束进程方法3:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

48 2、删除硬盘上的程序文件： 直接删除 可以使用360安全卫士查看进程对应的硬盘文件 可以使用IceSword查杀隐藏的硬盘文件 3、删除注册表的相关项： 在“运行”里执行程序regedit，查找并删除相关项 以下项值得注意： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

49 AVAST Home Edition 最好用的免费杀毒软件
【软件语言】多国语言 【运行环境】Window 2k xp 【功能简介】 来自捷克的Alwil公司，已有17年的历史。它专攻于安全相关的软件，开发出来的Avast！杀毒软件在国外市场一直处于领先地位。Alwil自信：高超技术的公司不一定只存在于硅谷！自96年以来，Avast！获得的行业殊荣多达50个。其中光是Virus bulletin的VB100%奖就拿了14次，另外不仅得到了2005年ICA实验室认证还得到了微软的稳定性认证。最近还与诺顿等一起获得SC杂志的2006最佳杀毒软件称号。这里为大家介绍的是其免费家用版，如果你想使用它，你必须具备两个基本的条件：个人家庭用户与非盈利性质。 　　Avast！免费版具有安全而全面的实时监控、高效的查杀病毒功能，还定时更新，另外，它还具有炫丽可更换的皮肤界面与病毒语音提示，独创的文件修复功能可以让被病毒损坏的文件及时得到修复。 官方中文地址：

50 怀念：DOS中的病毒 DOS比较简单，是一个单任务的操作系统 主要的技术 一切尽在掌控中 系统管理的内存只有低端640K
中断int 10h和int 21h是重要的系统功能入口 FAT文件系统也比较简单 主要的技术 修改中断向量 任何一个程序都很容易就可以修改中断向量 常驻内存的技术 驻留到高端可用内存区 驻留到系统的低端内存区 调试和检查病毒代码容易做到 .com和.exe文件的格式是透明的 Command.com是关注的焦点之一 一切尽在掌控中