现在上网的朋友越来越多了,其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是,如果不小心中了病毒而身边又没有杀毒软件怎么办?没有关系,今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马。
查注册表
注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1、 检查注册表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。
比如“爱虫”病毒会修改上面所提的第一项,BO2000木马会修改上面所提的第二项)。
2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。
恶意代码(如“万花谷”)就经常修改这几项。
3、检查HKEY_CLASSES_ROOTinifileshellopencommand和HKEY_CLASSES_ROOT xtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。
这个一定要改回来,很多病毒就是通过修改。txt、。ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括。jpg、。rar、。mp3等)的默认打开程序。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig。
exe),在里面你可以配置 s、 t、 i和 i,并且可以选择启动系统的时间。
1、检查 i文件(在C:windows下),打开后,在“WINDOWS”下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
比如攻击QQ的“GOP木马”就会在这里留下痕迹。
2、检查 i文件(在C:windows下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer。exe”,如果不是“explorer。exe”,而是“shell= explorer。
exe 程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。
防病毒基础知识
计算机病毒的预防
通过采取技术上和管理上的措施, 计算机病毒是完全可以防 范的。虽然难免仍有新出现的病毒,采用更隐秘的手段,利用现有 DOS系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺 陷,能够一时得以在某一台PC机上存活并进行某种破坏,但是只要 在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这 新病毒就无法逾越计算机安全保护屏障, 从而不能广泛传播。
这 类病毒一旦被捕捉到,反病毒防御系统就可以立即改进性能,提供 对计算机的进一步保护功能。这与人类对于生物病毒的防疫方法 是多么相像!新出现的生物病毒会使某些人致病,但医务工作者和 研究人员在实验室里对病毒进行分析, 搞清致病机理及其防治措 施,通过广为宣传可使更多的人免受其害,而研究人员在仅靠防护 措施的情况下进行研究却不会被病毒传染, 关键就是靠管理上的 防护措施。
预防计算机病毒也必须依靠管理上的措施。
先来谈谈安全使用PC机的方法。 最重要的是思想上要重视计算机病毒可能会给计算机安全运 行带来的危害:轻则影响工作,重则将磁盘中存储的无法以价格来 衡量的数据和程序全破坏掉,使用于实时控制的计算机瘫痪,造成 无法估计的损失。
同样是对于计算机病毒, 有病毒防护意识的人和没有病毒防 护意识的人会采取完全不同的态度。 例如对于反病毒研究人员, 机器内存储的上千种病毒不会随意进行破坏, 所采取的防护措施 也并不复杂。而对于病毒毫无警惕意识的人员, 可能连计算机显 示屏上出现的病毒信息都不去仔细观察一下, 任其在磁盘中进行 破坏。
其实,只要稍有警惕,病毒在传染时和传染后留下的蛛丝马 迹总是能被发现的。 再运用病毒检测程序和前面介绍的DEBUG进 行人工检测是完全可以提前发现病毒, 或在病毒进行传染的过程 中就能发现它。
可供采用的管理措施执行起来并不困难,困难的是坚持下去, 始终一贯地执行和根据实际情况不断地进行调整的监督过程。
下 面总结出一系列行之有效的措施供参考。
(1)对新购置的计算机系统用检测病毒软件检查已知病毒,用 人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破 坏迹象再实际使用。新购置的计算机中是可能携带有病毒的。
(2)新购置的硬盘或出厂时已格式化好的软盘中可能有病毒。
对硬盘可以进行检测或进行低级格式化, 因对硬盘只做DOS的 FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。软盘做 DOS的FORMAT格式化可以去除病毒。
(3) 新购置的计算机软件也要进行病毒检测。有些著名软件 厂商在发售软件时, 软件已被病毒感染或存储软件的软盘已受感 染,这在国内、外都是有实例的。
检测方法要用软件查已知病毒, 也要用人工检测和实际实验的方法检测。
(4) 在保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量 不要用软盘去启动。在不联网的情况下, 软盘是传染病毒的最主 要渠道。启动前,应将软盘驱动器的门打开,并抽出软盘。
这是因 为有些软驱缺乏保养, 门虽然打开了,但磁头仍然锁定着,启动时 还会从软盘引导, 将病毒带入系统中。即使在启动不成功的情况 下,只要软盘在启动时被读过,病毒仍然会进入内存进行传染。很 多人认为, 软盘上没有COMMAND。COM等系统启动文件,就不会带病 毒,其实引导区型病毒根本不需要这些系统文件就能进行传染。
(5)很多以80386为CPU芯片的PC机中,可以通过设置CMOS参数, 使启动时直接从硬盘引导启动,而根本不去读A∶盘。这样即使软 盘驱动器中插着软盘, 启动时也会跳过读A∶软驱,尝试着进行引 导。
(6) 定期与不定期地进行磁盘文件备份工作。
不要等到由于 病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。 重要的数据应当时进行备份。当然备份前要保证没有病毒, 不然 也会将病毒备份。很难想象, 用户数据没有备份的机器在发生灾 难后会造成什么影响。系统程序和应用程序用经费是可以买到的, 而用户数据是无法用钱买到的。
(7) 对于软盘,要尽可能将数据和程序分别存放,装程序的软 盘要贴有写保护签。现在还没有手段可以不在PC机硬件上进行修 改,而只用软件就可以绕过写保护签的方法,更不用说病毒了。抗 病毒软件SCAN的开发人John McAfee曾就此回答过记者的提问。
(8)在别人的机器上使用过自己的已打开了写保护签的软盘, 再在自己的机器上使用, 就应进行病毒检测。在自己的机器上用 别人的软盘时也应进行检查。对重点保护的机器应做到专机、专 人、专盘、专用, 封闭的使用环境中是不会自然产生计算机病毒 的。
(9)任何情况下,总应保留一张不开写保护口的、无病毒的、 带有各种DOS命令文件的系统启动软盘,用于清除病毒和维护系统。 有了CHKDSK。COM、FDISK。COM、DEBUG和COMP等等DOS程序,很多工 作都可以进行了。
(10) 用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方 法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修 复工作时可作为参考。
(11)对于多人共用一台计算机的环境,例如实验室这种情况, 应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、 清除,不致扩散。
以上这些措施不仅可以应用在单机上, 也可以应用在作为网 络工作站的PC机上。而对于网络管理员supervisor, 还应采取下 列针对网络的措施,使网络不受病毒攻击或成为病毒传播渠道。
(12) 启动Novell网或其它网络的服务器时,一定要坚持用硬 盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失 的将不是一个人的机器,而会影响到联接整个网络的中枢。
(13) 在网络服务器安装生成时,应将整个文件系统划分成多 文件卷系统, 而不是只划分成不区分系统、应用程序和用户独占 的单卷文件系统。
建议至少划分成SYS系统卷、共享的应用程序 卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于 维护网络服务器的安全稳定运行和用户数据的安全。例如,第一, 如果系统卷受到某种损伤, 导致服务器瘫痪,那么,通过重装系统 卷,恢复网络操作系统,就可以使服务器又马上投入运行。
而装在 共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损 伤。第二, 用户卷内由于病毒或由于使用上的原因导致存储空间 拥塞时,系统卷是不受影响的,不会导致网络系统运行失常。第三, 这种划分十分有利?谙低彻芾碓鄙柚猛绨踩嫒∪ㄏ? 保证网 络系统不受病毒感染和破坏。
(14) 安装服务器时应保证没有病毒存在,即安装环境不能带 病毒,网络操作系统本身不感染病毒。
(15) 网络系统管理员应将SYS系统卷设置成对其它用户为只 读状态,屏蔽其它网络用户对系统卷除读以外的所有其它操作,如 修改、改名、删除、创建文件和写文件等操作权限。
保证除系统 管理员外, 其它网络用户不可能将病毒感染到系统卷中。使网络 用户总有一个安全的联网工作环境。
(16)在应用程序卷安装共享软件时,应由系统管理员进行,或 由系统管理员临时授权进行。软件本身应不含病毒, 安装环境不 得带病毒, 以保护网络用户使用共享资源时总是安全无毒的。
应 用卷也应设置成对一般用户是只读的,不经授权、不经检测病毒, 就不允许在共享的应用程序卷中安装程序。
(17)系统管理员对网络内的共享电子邮件系统、共享存储区 域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。 如果可能, 在应用程序卷中维持最新版本的反病毒软件供用户使 用。
(18)系统管理员的口令应严格管理,不使泄漏,定期不定期地 予以更换,保护网络系统不被非法存取,感染上病毒或遭受破坏。
(19) 在网络工作站上采取必要的抗病毒技术措施,可使网络 用户一开机就有一个良好的上机环境, 不必再耽心来自网络内和 网络工作站本身的病毒。
可供采取的方法有基于硬件支持的ROM BIOS存取控制和防病毒卡,以及基于软件的病毒防御程序,如前面 介绍的VSAFE、VSHI ELD或自行开发的软件系统。
(20)在服务器上安装LAN PROTECT等防病毒系统。实践表明, 这些简单易行的措施是非常有效的。
通过采取上述的一部分措施, 作者所在单位的多个局域网、近百台网络工作站已安全运行了两 年多,从未发生过在网络上串扰病毒的情况。 另外,作为应急措施,网络系统管理员应牢记下列几条。
(21) 在互联网络中,由于不可能有百分之百的把握来阻止某 些未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象 时,应立即隔离被感染系统和网络,并进行处理。
不应带病毒继续 工作下去, 要按照特别情况查清整个网络,使病毒无法反复出现, 干扰工作。
(22) 由于计算机病毒在网络中传播得非常迅速,很多用户不 知应如何处理。因此,应立即得到专家的帮助。
由于技术上的防病毒方法尚无法达到完美的境地, 难免有新 病毒会突破防护系统的保护,传染到计算机中。
因此,及时发现异 常情况, 不使病毒传染到整个磁盘,传染到相邻的计算机,应对可 能由病毒引起的现象予以注意。
(23) 注意观察下列现象:
·文件的大小和日期是否变化;
·系统启动速度是否比平时慢;
·没做写操作时出现"磁盘有写保护"信息;
·对贴有写保护的软盘操作时音响很大;
·系统运行速度异常慢;
·用MI检查内存会发现不该驻留的程序已驻留;
·键盘、打印、显示有异常现象;
·有特殊文件自动生成;
·磁盘空间自动产生坏簇或磁盘空间减少;
·文件莫名其妙有丢失;
·系统异常死机的次数增加。
这里不再一一列举。要说明的是, 异常情况并不一定说明系 统内肯定有病毒,而需要进一步做检查。
说到预防计算机病毒, 正如不可能研究出一种像能包治人类 百病的灵丹妙药一样, 研制出万能的防计算机病毒程序也是不可 能的。但针对病毒的特点, 利用现有的技术,开发出新的技术,防 御病毒软件在与计算机病毒的对抗中会不断得到完善, 更好地发 挥保护计算机的作用。
一、防病毒策略
通过分析病毒的工作原理, 我们知道了病毒利用直接读写能 进行感染, 利用驻留内存、利用截取中断向量等方法能进行传染 和破坏。通过分析PC机的系统结构和DOS的组成及工作方式,我们 知道了病毒正是利用系统安全存取方面的漏洞进行传染。
预防计 算机病毒的软件就是要监视、跟踪系统内类似病毒的操作, 提供 对系统的保护。
老一代的防病毒砑荒芏约扑慊低程峁┯邢薜谋;? 只能识 别出已知的病毒。新一代的防病毒软件则不仅能识别出已知的病 毒,提前在病毒获得运行权之前发出警报,还能屏蔽掉病毒程序的 传染功能和破坏功能而不使受感染的程序得不到运行 (即所谓带 毒运行技术) ,同时还能利用病毒行为特征,防范未知病毒的侵扰 和破坏(即前面第三章提到的ACTIVITY TRAP技术, 也有人称之为 人工智能的防病毒技术)。
另外,新研制的防病毒软件还应实现超 前防御,即将系统中可能被病毒利用的资源都加以保护,不给病毒 以可乘之机。
防御是对付计算机病毒的积极而又有效的措施, 比等待病毒出现 之后再去扫描和清除更能有效地保护计算机系统。病毒的工作方 式是可以按类划分的。
防病毒软件就是针对这几类已归纳总结出 的病毒工作方式进行防范的。当被分析过的已知病毒出现时, 由 于其工作方式早已被记录在案, 防病毒软件能识别出它是很自然 的事情。当以前未曾被分析过的新病毒, (又称为未知病毒)出现 时,如果其工作方式仍可被归入已知的病毒工作方式,则这种病毒 应能被防病毒软件所捕获。
这也就是采取积极防御措施的防病毒 方法优越于"必须等待捕获到并分析以后才能进行扫描和清除这 种病毒"的地方。当然, 如果新出现的病毒不按以往已知的方式 工作,这种新的传染方式又不能被防病毒软件所识别,则防病毒软 件只得放其过关了。这时人们只能采取两种措施进行保护: 第一 是依靠管理上的措施, 及早发现疫情,捕捉病毒,修复系统。
第二 是设计功能更加完善的、 具有更多超前防御功能的防病毒软件, 尽可能多地堵住能被病毒利用的PC机和DOS的漏洞。
作为防病毒的主要技术措施之一,防病毒软件都是驻留内存的,有 的以设备驱动程序的形式,有的以TSR程序的形式来提供对病毒的 实时监测, 对类似病毒行为的监控和提供对重要的系统区域的保 护。
三、防病毒程序应具备的功能
下面列出计算机病毒防御程序应具备的功能:
(1)对请求运行的程序检查是否染有已知病毒,拒绝其运行请 求或屏蔽其传染和破坏功能后,实现安全带毒运行。
(2)程序驻留请求的监视,发出警告或予以登记,待后续处理。
这里的驻留请求是指DOS的INT 27H和INT 21H的31号子功能。
(3)对直接修改MCB方式驻留的程序进行监视,或予以登记,待 后续处理。
(4)监视读写可执行文件的请求,因为文件型病毒主要是依靠 传染可执行文件。除了在软件开发环境下和个别软件要自我修改 配置的情况,在大多数计算机应用环境下,不应该有对可执行文件 的读写请求。
这是个不容易准确判断的问题。采用不好的判别准 则会发生大量假警报,将正常操作当作病毒行为向用户报告,造成 "狼来了"的假象,容易引起用户的反感,要么对这类警报不再留 意而一律放行,将病毒也放了过去;要么干脆放弃使用这类软件。 采用较好的判别准则时,只会出现很少的假警报,而且为完成这种 防病毒所做的操作只占用极少的CPU处理时间, 既高效又准确,使 用户感觉不到由于使用了这种防病毒软件而使整机运行速度受到 影响。
(5)利用预先生成的文件校验码对被存取的文件进行检查,发 现异常时进一步作病毒检查并发出警报。校验码的生成需要好的 算法,否则发现不了由于感染了病毒而使文件发生的变化。
(6)监视PC机系统内一些特别中断向量的变化,予以登记或发 出警报。
这些中断有2、8、9、13、16、1C、21、26、2F等(以上 中断向量均以十六进制表示) 。这些中断有属于ROM BIO S的,有 属于DOS的。 病毒利用这些中断进行抗跟踪、定时、传染、键盘 控制以及信息显示等。早期的防病毒软件特别重视中断向量表的 监视和管理, 甚至专门保留一份用于进行比较和恢复。
这在一定 程度上发挥了作用。但现在已出现很多新病毒不通过修改中断向 量表, 仍能完成传染功能。因此新一代防病毒软件应重视中断向 量表的变化, 但不应将其作为判断病毒的唯一条件和防护PC机的 唯一手段。
(7) 病毒防御程序应检查DOS引导扇区是否已感染病毒,或者 利用预先生成的核验码进行检查。
对这个扇区的写操作也应进行 检查。
(8) 硬盘内的主引导扇区是一般DOS程序不必去存取的扇区, 除非要进行分区划分, 平时这个扇区内容不应被改变。防病毒程 序应对这个扇区提供保护。很多防病毒程序也都是这样做的, 在 发生对主引导扇区的写操作或格式化操作时应发出警报。
(9)对重要的系统文件提供保护,例如引导时必需的COMMAND。 COM等,对这类文件的非病毒变更一般只会发生在更新操作系统版 本的时候,不会是经常发生的情况。
(10) 对磁盘提供全面的写禁止功能,通过划分合适的分区大 小, 对某些分区提供保护。
例如对C∶盘设置写禁止功能后,可以 保证病毒不会感染到C∶盘,从而使硬盘引导启动后的环境总是个 无病毒的干净环境。 根据不断总结出来的防病毒经验, 在具体实现一个防病毒系 统时,可以按照实际情况对上述功能进行取舍,并增加新的功能
。
全部
