病毒防范与查杀

任务三　病毒防范与查杀

1．计算机中毒常见症状和查看方法

计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景如下。

(1)计算机病毒是计算机犯罪的一种新的衍化形式。计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大，从而刺激了犯罪意识和犯罪活动。它是某些人恶作剧和报复心态在计算机应用领域的表现。

(2)计算机软硬件产品的脆弱性是根本的技术原因。计算机是电子产品。数据在输入、存储、处理、输出等环节，易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误，只能在运行中发现、修改错误，并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。

基本上当计算机中毒以后，主机都会出现相关的计算机中毒症状，常见的症状如下。

(1)计算机系统运行速度减慢。

(2)计算机系统经常无故发生死机。

(3)计算机系统中的文件长度发生变化。

(4)计算机存储的容量异常减少。

(5)系统引导速度减慢。

(6)丢失文件或文件损坏。

(7)计算机屏幕上出现异常显示。

(8)计算机系统的蜂鸣器出现异常声响。

(9)磁盘卷标发生变化。

(10)系统不识别硬盘。

(11)对存储系统异常访问。

(12)键盘输入异常。

(13)文件的日期、时间、属性等发生变化。

(14)文件无法正确读取、复制或打开。

(15)命令执行出现错误。

(16)虚假报警。

(17)换当前盘。有些病毒会将当前盘切换到C盘。

(18)时钟倒转。有些病毒会命令系统时间倒转，逆向计时。

(19)Windows操作系统无故频繁出现错误。

(20)系统异常重新启动。

(21)一些外部设备工作异常。

(22)异常要求用户输入密码。

(23)Word或Excel提示执行“宏”。

(24)使不应驻留内存的程序驻留内存。

如何检查电脑是否中了病毒?一般可以采用以下检查步骤。

1)进程检查

首先排查的就是进程了，方法很简单，开机后，什么程序都不要启动。

第一步:直接打开任务管理器，查看有没有可疑的进程，如图12-2所示。不认识的进程可以Google或百度一下。

图12-2　进程管理器

第二步:打开进程工具软件，如冰刃(见图12-3)等，先查看有没有隐藏进程(冰刃中以红色标出)，然后查看系统进程的路径是否正确。

图12-3　冰刃工具使用界面

第三步:如果进程全部正常，则利用Wsyscheck(见图12-4)等工具，查看是否有可疑的线程注入正常进程中。

图12-4　Wsyscheck工具使用界面

2)自启动项目

进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步:用msconfig查看是否有可疑的服务。点击“开始”→“运行”→输入“msconfig”，点击“确定”，如图12-5所示。在弹出的窗口中(见图12-6)中切换到“服务”选项卡，勾选“隐藏所有Microsoft服务”复选框，然后逐一确认剩下的服务是否正常。(可以凭经验识别，也可以利用搜索引擎)

图12-5　“运行”对话框1

图12-6　运行msconfig

第二步:用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

第三步，用Autoruns等，查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。

3)网络连接

ADSL用户在这个时候可以进行虚拟拨号，连接到Internet了。然后直接用工具软件的网络连接查看是否有可疑的连接。如果发现IP地址异常，不要着急，关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等)，再次查看网络连接信息。

4)安全模式

重启计算机，直接进入安全模式。如果无法进入，并且出现蓝屏等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除。

5)映像劫持

如图12-7所示打开注册表编辑器，定位到HKEY LOCAL MACHINE SOFTWARE Mi-crosoftWindows NT Current Version Image File Execution Opti，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。

图12-7　“运行”对话框2

图12-8　运行注册表编辑器

6)CPU时间

如果开机以后，系统运行缓慢，还可以用CPU时间做参考，找到可疑进程(见图12-9)，方法如下。

打开任务管理器，切换到“进程”选项卡，在菜单中点击“查看”→“选择列”，勾选“CPU时间”，然后“确定”，单击CPU时间的标题，进行排序，寻找除了System IdleProcess和SYSTEM以外CPU时间较大的进程，这个进程需要引起一定的警惕。

2．计算机病毒的传播途径和过程

在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器U盘或硬盘中，再感染其他系统。

可执行文件．COM或．EXE感染上了病毒，例如黑色星期五病毒，它是在执行被传染的文件时进入内存的。一旦进入内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下操作:①对运行的可执行文件特定地址的标志位信息进行判断是否已感染了病毒;②当条件满足，利用INT 13H将病毒链接到可执行文件的首部或尾部或中间，并存在磁盘中;③完成传染后，继续监视系统的运行，试图寻找新的攻击目标。

正常的PC DOS启动过程是:①加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;②检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;③转入Boot执行;④Boot判断是否为系统盘，如果不是系统盘则提示“non－system disk or disk error Replace and strike any key when ready”，否则，读入IBM BIO－COM和IBM DOS－COM两个隐含文件;⑤执行IBM BIOCOM和IBM DOS－COM两个隐含文件，将COMMAND－COM装入内存;⑥系统正常运行，DOS启动成功。

如果系统盘已感染了病毒，PC DOS的启动将是另一番景象，其过程为:①将Boot区中病毒代码首先读入内存的0000: 7C00处;②病毒将自身全部代码读入内存的某一安全地区、常驻内存，监视系统的运行;③修改INT 13H中断服务处理程序的入口地址，使之指向病毒控制模块并执行之(因为任何一种病毒要感染U盘或者硬盘，都离不开对磁盘的读写操作，修改INT 13H中断服务程序的入口地址是一项少不了的操作);④病毒程序全部被读入内存后才读正常的Boot内容到内存的0000: 7C00处，进行正常的启动过程;⑤病毒程序伺机等待，随时准备感染新的系统盘或非系统盘。

如果发现有可攻击的对象，病毒要进行下列的工作:①将目标盘的引导扇区读入内存，对该盘进行判别是否传染了病毒;②当满足传染条件时，则将病毒的全部或者一部分写入Boot区，把正常的磁盘引导区程序写入磁盘特定位置;③返回正常的INT 13H中断服务处理程序，完成对目标盘的传染。

操作系统型病毒感染非系统盘后最简单的处理方法如下。

因为操作系统型病毒只有在系统引导时才进入内存，开始活动，非系统盘感染该病毒后，不从此盘上面引导系统，则病毒不会进入内存。这时对已感染的非系统盘杀毒最简单的方法是将盘上有用的文件拷贝出来，然后将带毒盘重新格式化即可。任何病毒的传播第一步都是打开进程，所以一般有经验的计算机操作人员查看一下进程管理就能判断计算机是否已经中毒，如图12-9圈出的进程就是可疑的计算机病毒进程。

计算机病毒之所以称为病毒，是因为其具有传染性的本质。传统渠道通常有以下4种。

(1)通过U盘。通过使用外界被感染的U盘，例如，不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的U盘，使机器感染病毒发病，并传染给未被感染的“干净”的U盘。大量的U盘交换，合法或非法的程序拷贝，不加控制地随便在机器上使用各种软件形成了病毒感染、泛滥蔓延的温床。

(2)通过硬盘。通过硬盘传染也是重要的渠道，由于带有病毒机器移到其他地方使用、维修等，将干净的硬盘传染并再扩散。

(3)通过光盘。因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘。对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的的非法盗版软件制作过程中，不可能为病毒防护担负专门责任，也绝不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。

(4)通过网络。这种传染扩散极快，能在很短时间内传遍网络上的机器。随着Internet的风靡，病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁。一种威胁来自文件下载，这些被浏览的或被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。

图12-9　可疑进程

计算机病毒的传染分两种。一种是在一定条件下方可进行传染，即条件传染。另一种是对一种传染对象的反复传染即无条件传染。从目前病毒的蔓延传播来看，所谓条件传染，是指一些病毒在传染过程中，在被传染的系统中的特定位置上打上自己特有的标志。这一病毒在再次攻击这一系统时，发现有自己的标志则不再进行传染，如果是一个新的系统或软件，首先读特定位置的值，并进行判断，如果发现读出的值与自己标志不一致，则对这一系统或应用程序，或数据盘进行传染，这是一种情况。另一种情况，有的病毒通过对文件的类型来判断是否进行传染，如黑色星期五病毒只感染．COM或．EXE文件等。还有的病毒是以计算机系统的某些设备为判断条件来决定是否感染，例如大麻病毒可以感染硬盘，也可以感染U盘，但对B驱动器的U盘进行读写操作时不传染。但也有的病毒对传染对象反复传染，例如黑色星期五病毒只要发现．EXE文件就进行一次传染，再运行再进行传染，反复进行下去。可见有条件时病毒能传染，无条件时病毒也可以进行传染。

2．计算机病毒的基本防治

防治计算机病毒需要用户注意计算机的常规操作。

(1)建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开，不要上那些不太了解的网站，不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使计算机更安全。

(2)关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

(3)经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，像蠕虫王、冲击波、震荡波等，所以应该定期到微软网站去下载最新的安全补丁，以防患于未然。

(4)使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

(5)迅速隔离受感染的计算机。当计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其他计算机。

(6)了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

(7)最好安装专业的杀毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择。不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等)、遇到问题要上报，这样才能真正保障计算机的安全。

(8)用户还应该安装个人防火墙软件进行防黑。由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重。许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。

目前个人手工杀毒的时代已经过去，各种新型病毒对技术的挑战也越来越高，所以当前对计算机的病毒查杀主要依赖各个厂商所组建的专业团队，提供的专业安全软件来实现。

一般大范围传播的病毒都会让用户在重新启动电脑的时候能够自动运行病毒，以长时间感染计算机并扩大病毒的感染能力。通常病毒感染计算机第一件事情就是杀掉它们的天敌——安全软件，比如卡巴斯基、360安全卫士、NOD32等等。这样用户就不能通过使用杀毒软件的方法来处理已经感染病毒的电脑。

手动杀毒方法如下。

要解决病毒首先要解决病毒在计算机重启以后自我启动的问题。通常病毒会有以下两种方式进行自我启动。

(1)直接自启动:①引导扇区;②驱动;③服务;④注册表。

(2)间接自启动:印象劫持，autorun．inf文件，HOOK，感染文件，放置一个诱惑图标让用户点击等。

知道病毒的启动原理，不难得出清理方式:首先删掉注册表文件中病毒的启动项。最常见启动位置在［HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run］，删除该子项内所有的字符串，只留下cftmon．exe。立即按机箱上的重启键，不让病毒回写注册表(正常关机可能会激活病毒回写进启动项目，比如“磁碟机”)。如果病毒仍然启动，就要怀疑有服务或者驱动中毒。这个时候就需要有一定计算机操作能力的人，用批处理或者其他的程序同时找到并关闭病毒的服务和删除注册表，然后快速关机。驱动一般在系统下很难删除，所以可以用前面介绍的Xdelete或者icesword，wsyscheck或者进入DOS，WPE等其他系统进行删除。

上面讲过通过不让病毒在重启电脑以后启动的方法删除病毒，接下来说一下直接删除病毒文件方法。

在病毒正在运行的系统里，直接删除病毒文件会很难。如果在网上找到该病毒机理，进入DOS，找到所有病毒文件路径，可以很轻松地删除病毒文件(除了感染型病毒)。推荐用PE(系统预安装环境)，用有一个可以启动电脑的装PE的U盘，或者光盘启动电脑，可以进入完全无毒的系统，然后使用绿色版的杀毒软件(网上有，作者试过绿色卡巴和NOD32，很好，可以在PE运行)全盘查杀。杀完毒以后，先不要重新启动电脑，看看到底删除了什么，如果有被感染的系统文件删掉了，注意从相同系统拷贝一个，否则可能无法开机。然后重启，进系统用其他安全软件修复系统。

电脑感染上真正棘手的病毒，最简单有效的方法就是重装系统。如果C盘(系统盘)有重要资料要先备份。不能开机，可以进入PE备份。

如果计算机的安全状态人工维护很复杂，则推荐使用专业的安全软件来保护和查杀，主要措施如下。

(1)杀毒软件经常更新，以便快速检测到可能入侵计算机的新病毒或者变种。

(2)使用安全监视软件(和杀毒软件不同，比如360安全卫士、瑞星卡卡)主要防止浏览器被异常修改、插入钩子、安装不安全恶意的插件。

(3)使用防火墙或者杀毒软件自带的防火墙。

(4)关闭电脑自动播放(网上有)，并对电脑和移动储存工具进行常见病毒免疫。

(5)定时全盘病毒木马扫描。

(6)注意网址正确性，避免进入病毒网站。

(7)不随意接受、打开陌生人发来的电子邮件或通过QQ传递的文件或网址。

(8)使用正版软件。

(9)使用移动存储器前，最好要先查杀病毒，然后再使用。

下面推荐几款软件。

(1)杀毒软件:卡巴斯基，NOD32，avast5．0，360杀毒。

(2)U盘病毒专杀:AutoGuarder2。

(3)安全软件:360安全卫士(可以查杀木马)。

(4)单独防火墙:天网，comodo或者杀毒软件自带防火墙。

(5)内网用户使用antiARP，防范内网ARP欺骗病毒(比如磁碟机，机械狗)。

(6)使用超级巡警免疫工具等。

3．用360安全卫士和360杀毒保护主机及Internet

360创立于2005年11月，是中国领先的互联网安全公司，曾先后获得鼎晖创投、红杉资本、高原资本、红点投资、Matrinx、IDG等风险投资商总额高达数千万美元的联合投资，其公司标志见图12-10。

360致力于提供高品质的免费安全服务，是拥有国内大规模、高水平安全技术团队的公司，旗下360安全卫士、360杀毒、360安全浏览器、360保险箱、360手机卫士等系列产品深受用户好评，使360成为引人瞩目的网络安全品牌。

面对互联网时代木马、病毒、流氓软件、钓鱼欺诈网页等多元化的安全威胁，360坚持以互联网的思路解决网络安全问题。第一，以免费的方式推动基础安全服务普及，让网民无条件、无门槛地安装安全软件;第二，发展云安全体系。依靠云查杀引擎等创新技术和海量用户的云安全网络，360系列产品能够最快、最全地发现新型木马病毒以及钓鱼、挂马恶意网页，全方位保护用户的上网安全。

图12-10　奇虎360公司标志

据艾瑞统计，360安全卫士是中国用户量最大的安全软件。截至2010年9月，360安全卫士覆盖了近76%的互联网网民，用户量超过2．86亿;360杀毒正式发布仅3个月就成为杀毒行业用户量第一，目前网民覆盖率达到59．3%，用户量超过2．2亿，这里将着重介绍360安全卫士和360杀毒的安装和使用技巧。

1)下载和安装

访问www．360．cn下载360安全卫士和360杀毒，如图12-11和图12-12所示。安装过程如图12-13和图12-14所示。

图12-11　下载主页点击“免费下载”

图12-12　下载安装引导文件

图12-13　双击下载好的安装引导文件

图12-14　选择“快速安装”，程序开始安装

安装结束后，程序自动启动，任务栏将显示图标如图12-15所示。

图12-15　任务栏显示图标

单击任务栏图标，启动360安全卫士主菜单，如图12-16所示。

主菜单中的“常用”标签主要有电脑体检、查杀木马、清理插件、修复漏洞、清理垃圾、清理痕迹、系统修复、功能大全等，其中功能大全还包括很多其他增强组件如图12-17所示。

图12-16　360安全卫士主菜单

图12-17　常用标签下的功能大全

一般情况下，通过对电脑进行体检，360安全卫士就会提示需要做的设置，非常容易上手，如图12-18所示。

也可以用一键修复功能完成，这个功能能解决大部分安全设置，包括下载补丁、设置防火墙、安装杀毒软件、查杀木马、清理系统垃圾、优化开机选项等等，如图12-19所示。

对计算机有更多了解的读者可以尝试使用“常用”标签下的其他功能以及“木马防火墙”、“网盾”等标签，本文不做详细介绍。

图12-18　电脑体检(注意每项对应的处理按钮)

图12-19　一键修复

360杀毒软件的下载、安装大致和360安全卫士一样，这里略过。安装完成以后的主界面可以单击360安全卫士的“杀毒”标签或直接在任务栏里单击360杀毒图标。启动以后如图12-20所示。

图12-20　360杀毒主界面

360杀毒本身就是一款即时防护软件，所以一旦正常启动，遇到可疑文件，360杀毒会主动提示用户查杀病毒，如果需要手动查杀，常用的方法就是“快速扫描”，如图12-21所示。如果认为某些磁盘区存在病毒，也可以选择“全盘扫描”和“指定位置扫描”，如图12-22所示。扫描出来的结果均可以傻瓜式处理，清除或删除即可。

图12-21　快速扫描

图12-22　指定位置扫描

特别说明一下，360杀毒最重要的应用是实时防护(见图12-23)，所以安装好360杀毒以后，一定要启动此功能。

图12-23　实时防护的基本设置