计算机病毒分析与防治

计算机病毒分析与防治（精选12篇）

计算机病毒分析与防治 第1篇

1 计算机维护

1.1 计算机软件维护

1.1.1 修补软件漏洞

计算机的每一款应用软件都难免会存在一些漏洞, 这些漏洞很容易会被木马、病毒所利用, 导致计算机中毒瘫痪。另一方面, 软件漏洞往往会导致应用软件自身在运行中出现错误, 导致使用的时候出现突然出现卡死、自动关闭等现象。对于这些问题的有效解决办法就是及时的升级软件, 修补软件漏洞, 从而避免软件被木马、病毒所利用, 也让软件使用起来更加方便。在升级软件的时候, 要注意两个问题。首先, 应用软件几乎都具有自动升级功能, 在使用者不注意的情况下, 它们会悄悄的在后台静默升级, 影响网络连接速度, 对此, 我们可以对软件的升级模式进行设置, 笔者个人推荐使用“有更新时提醒, 不自动升级”的模式, 以腾讯QQ为例, 可以如图1所示进行设置:

其次, 很多应用软件在推出正式版本之前都会推出测试版, 通常, 测试版的软件缺乏稳定性, 使用起来容易出现问题, 所以我们在升级软件的时候, 尽量不要升级到测试版, 应该等到正式版推出之后再进行升级。

1.1.2 避免软件冲突

大多数的计算机使用者都会使用两种或两种以上同类型软件, 这就会导致相同类型软件在功能上发生冲突, 针对这个问题, 我们可以通过设置文件关联或默认软件的方法来解决。比如听音乐、看视频的时候, 我们可以选择一个自己喜欢的软件作为默认播放软件, 取消其他同类型软件的文件关联。例如暴风影音和迅雷看看, 两者都是常用的视频播放软件, 如果我们想使用暴风影音作为视频文件的默认播放器, 可以在关联设置中勾选想要使用暴风影音默认播放的文件格式, 如图2所示。

为了避免迅雷看看与其发生冲突, 就要取消迅雷看看的文件关联, 把文件扩展名前面的对号去掉, 如图3。

1.1.3 正确安装软件

首先, 应用软件的默认安装位置几乎都是C盘, 而C盘是计算机的系统盘, C盘里面的软件过多会导致系统运行速度下降, 同时很容易使病毒直接入侵系统, 导致系统瘫痪。其次, 很多软件在安装的过程中会推荐安装一些其他的插件或软件, 计算机使用者稍不留意就会导致“安装1MB软件, 出现2MB垃圾”的现象, 因此, 在软件的安装过程中要谨慎观察推荐选项, 去掉推荐选项前边的对号。以美图秀秀为例, 我们在安装软件的时候要使用自定义安装的方式, 合理选择安装位置, 并取消推荐安装, 具体可以如图所示进行操作:

1) 选择自定义安装模式

2) 选择安装位置

3) 取消推荐安装

1.1.4 限制开机自动运行

大部分应用软件都是默认开机自动启动的, 自动启动的软件过多会严重降低开机速度, 开机后如果不能及时退出, 它们会在后台一直运行, 导致计算机使用者上网时的网络连接速度变慢。以酷狗音乐为例, 可以在设置选项中去掉开机自动启动选项前面的对号, 禁止其自动运行, 如下图所示:

1.2 计算机硬件维护

1.2.1 及时清理灰尘

灰尘是计算机使用过程中的巨大危害, 很多计算机在使用一段时间之后都会出现噪音大、温度高、运行慢的现象, 这通常就是计算机内部灰尘过多导致的。风扇是计算机散热的主要部件, 风扇上堆积的灰尘过多, 就会导致风扇旋转失去平衡、转速下降。而风扇的旋转不稳定就会导致计算机运行时噪音大, 风扇转度低就会导致风扇无法有效的起到散热作用, 使计算机运行时温度过高、速度下降。显卡上的灰尘过多就会导致显卡温度过高, 致使显示器的画面模糊、反映迟钝, 容易造成画面卡死的现象。主板上的灰尘过多, 就会使计算机主板温度过高, 轻则导致计算机运行速度迟缓, 重则导致计算机主板损坏。所以, 在计算机的使用过程中, 必须要及时清理灰尘。

1.2.2 合理休息计算机

在计算机的使用过程中, 很多人打起了“车轮战”、“持久战”, 使计算机很长时间得不到休息, 加快了计算机的老化。想要让计算机更好的发挥它的作用, 就要懂得维护计算机, 从而保证计算机具有良好的工作状态, 在日常的使用中合理的休息计算机, 可以大大减少计算机不必要的损耗, 确保计算机具有最佳的运行状态, 同时延长它的使用寿命。

1.2.3 稳定电压

电压不稳定会导致计算机在运行中出现自动重启、自动关机等现象, 给使用者带来了很多麻烦, 更重要的是, 电压不稳会严重损害计算机的硬件设施, 尤其是硬盘, 所以, 在使用计算机之前, 必须先稳定电压, 例如电压稳定器或UPS, 都可以很有效的稳定电压, 避免在计算机使用中造成硬件受损。

1.2.4 外部设备的维护

在计算机的使用中, 外部设备的维护也很重要, 对于计算机的外部设备, 可以参考以下几个方面进行维护:1) 注意显示器的防潮、防尘和防磁。2) 不使用时要及时关闭显示器。3) 避免重复开关显示器。4) 保证显示器具有良好的散热空间。5) 保持键盘、鼠标和鼠标垫的清洁。6) 避免液体溅入显示器、鼠标、键盘等设备。7) 使用移动存储设备时要在安全删除之后再从USB端口中拔出。

1.2.5 在良好的环境中使用

要维护好计算机的硬件设施, 就必须要在良好的环境中使用计算机, 主要应该注意以下几点:1) 避免阳光直射。2) 避免在潮湿的环境中使用计算机。3) 避免在温度过高或过低的环境中使用计算机。4) 保证计算机拥有充足的散射空间。5) 避免在电压不稳时使用计算机。6) 避免电磁干扰, 让计算机远离磁场。7) 避免在灰尘过多的环境中使用计算机。8) 禁止在开机时敲击主机或显示器。

2 计算机维修

2.1 拔插检测法

拔插检测法是解决计算机故障非常有效的办法, 把计算机的各个部件逐一的拔除, 然后观察计算机故障是否排除, 如果没有排除, 证明该部件没有损坏, 把该部件重新插接后再拔出下一个部件进行观察, 这样就可以找出发生故障的具体部件, 然后对其进行维修或者更换。

2.2 轻敲振动法

当计算机出现故障的时候, 可以先关闭计算机, 然后轻敲主机或显示器, 之后再启动计算机观察故障是否排除, 如果故障排除, 就可以确定是计算机零部件接触不良造成的故障, 从而采取相应的措施进行维修。

2.3 观察法

当计算机出现故障的时候, 使用者要仔细观察计算机的每一部分, 主要包括:1) 确定各个接头是否接触良好。2) 零部件表面是否有烧焦痕迹。3) 零件之间是否存在短路现象。4) 主机内是否堆积了过多的灰尘等。通过对一系列问题的观察, 就可以及时找出故障原因, 进而采取有效的措施进行维修。对于接触不良的接口要重新插接, 对于烧焦的零部件要及时更换, 如果主机内部灰尘过多, 要及时清理干净。

2.4 软件诊断法

目前有很多软件可以对计算机故障进行全面诊断, 在启动软件后, 它能够通过对风扇转速、CPU温度、显卡温度、主板温度等因素的检测找出电脑产生故障的原因, 并生成诊断报告。只要准确的找出了故障原因, 计算机使用者就可以及时采取措施进行维修, 对于自己无法处理的问题可以找专业人员进行维修。

2.5 替换法

替换法与拔插检测法如出一辙, 就是用良好的零件替换可能存在问题的零件, 如果在其中一个零件替换后故障得到解决, 就可以确定是该零件出现了故障, 然后对其进行维修, 必要时进行更换。

3 计算机病毒防治

3.1 养成良好的计算机使用习惯.

要防止计算机感染病毒, 就要养成良好的使用习惯, 具体可以参考以下几点:1) 不要打开来历不明的电子邮件。2) 不要打开来历不明的网络链接。3) 下载后的文件要及时杀病, 确认无毒后再打开运行。4) 不要登录非法网站。5) 插接移动设备时要及时查杀病毒。

3.2 及时修补系统漏洞

系统漏洞是导致计算机遭受非法攻击的常见途径, 要防止计算机被病毒侵害, 必须要及时的进行漏洞扫描, 及时修复发现的漏洞, 这样可以有效的避免木马、病毒利用系统漏洞对计算机进行攻击。

3.3 合理运用杀毒软件

要防止计算机感染病毒, 杀毒软件是必不可少的工具, 在使用杀毒软件的时候, 要注意以下几点:1) 及时升级病毒库。2) 及时进行病毒扫描。3) 合理设定安全级别。4) 合理设置白名单。

3.4 资料分档存储

多数计算机使用者都存在资料存储杂乱的情况, 这就让木马和病毒有机可乘, 很容易导致重要数据丢失, 要避免此类情况发生, 就要对计算机中的资料进行分档存储。首先, 对于本机磁盘要进行归类划分, C盘通常都是计算机的系统盘, 应该避免存储其他软件和数据, 而对于C盘以外的其他磁盘要进行分类管理, 分清各个磁盘内存储的文件类别。其次, 每个磁盘的内部也要进行归类, 把应用软件和游戏软件分开存储, 把工作资料和媒体资料分开存储。

3.5 及时做好备份

一方面, 对于计算机中存储的重要数据, 一定要做好备份, 避免电脑中毒后导致重要数据丢失, 给计算机使用者自身造成损失。另一方面, 给系统做好备份, 这样在计算机感染病毒时就可以进行系统还原, 有效的避免计算机中毒造成的损害。

4 总结

随着信息时代的到来, 计算机在人们的生活和工作中已经必不可少, 而要想让计算机更好的发挥它的作用, 就要求每个计算机使用者都学会计算机的维护、维修以及病毒防治, 这样才能保证计算机充分发挥它的作用。

摘要：当今社会, 计算机已经成为人们生活、学习、工作中不可缺少的部分, 计算机作为新世纪的高端产品, 其中使用的大多都是精密的高科技部件, 这些部件非常脆弱, 如果使用者使用不当, 它们很容易受到损坏, 因此, 计算机的维护与维修显得格外重要。另一方面, 随着科技的不断进步, 计算机病毒在网络世界里肆无忌惮的泛滥, 严重威胁着网络健康, 所以, 计算机病毒的防治势在必行。该文探析计算机维护维修与病毒防治的方法, 为计算机的合理使用奠定基础。

关键词：计算机维护,计算机维修,计算机病毒防治

参考文献

[1]陈珊珊.计算机硬件维护与故障分析[J].科技资讯, 2009 (2) .

[2]于红梅.浅谈计算机硬件维护的全面性[J].中国新技术新产品, 2009 (11) .

计算机病毒分析与防治 第2篇

这俩天关于此求助的人也多了..今天拿到样本就分析..

运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务o23 - nt 服务: aucup - unknown owner - c:windows empwincupwincup.exe ... 访问网络..

运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务o23 - nt 服务: aukld - unknown owner - c:windows empaukldaukld.exe ..访问网络..

访问网络后..下载winkalendar ...hijackthis的021项会体现出来..o21 - ssodl: systime - {724c75f1-b757-408d-a50a-4cf99da35d73} - c:progra~1winkldwinkld.dll ...此项可能出现也有可能不出现...

【解决】

结束进程

c:windowswincupwincup.exe(可能会有我这一俩次测试都出现这项..)

开始-控制面板-添加与删除程序

卸载winkalendar,winwrcup,vision communicate ....(有的会没有..)

开始-控制面板-管理工具-服务

禁用掉 aucup , aukld , winwrcup ，jmediaservice 这四个服务..(有的会没有..)

开始-运行-regedit

注册表

展开

hkey_local_machinesystemcurrentcontrolsetservices

hkey_local_machinesystemcontrolset001services

hkey_local_machinesystemcontrolset002services

删除aucup , aukld , jmediaservice , winwrcup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)

展开

hkey_local_machinesystemcurrentcontrolsetenum oot

hkey_local_machinesystemcontrolset001enum oot

hkey_local_machinesystemcontrolset002enum oot

删除legacy_aukld , legacy_aucup , legacy_jmediaservice , legacy_winwrcup这四个文件夹...(同上..仔细找找..必须使用icesword来删除..)

展开

hkey_classes_rootclsid

删除{724c75f1-b757-408d-a50a-4cf99da35d73} 这文件夹...(有可能没有这项..)

重启后删除..

c:windows empwincup

c:windows empaukld

c:progra~1winkld

c:windows empinskld(文件夹内是同时释放的一个.exe文件)

c:windows empinscup(文件夹内是同时释放的一个.exe文件)

c:windowswincup

------------------------------------------------------------------------

删除注册表的时候还是得借助 icesword 来删除..

下载地址:forum.ikaka.com/topic.asp?board=28&artid=69

番茄病毒病防治对策分析 第3篇

关键词:发病症状;传播途径;发病条件;农业防治;物理防治;生物防治;化学防治

1 发病症状

厥叶病:发病后典型症状出现在新叶和下部叶片上。病株上部叶、叶柄、嫩枝先沿叶脉褪绿,后变成细线状,新发出的叶片细长,甚至几乎无叶肉仅留叶脉,呈鸡爪状。有些细长的小叶成螺旋形下卷。下部叶片边缘向上卷起,严重的卷成筒状,中下部叶片轻微卷起。叶背面的叶脉变为淡紫色,叶肉薄、色淡,微观花斑。腋芽所生出的侧枝顶端的小叶也呈蕨叶状。茎上部节间短,使枝叶显得有些丛枝状。植株矮化,花瓣增大成巨花,结果少,并且果小。

花叶病:有轻型花叶和重型花叶两种。(1)轻型花叶:叶片不变形,仅有轻微花叶症状,对产量影响不大。(2)重型花叶:葉面皱缩不平,新叶变小,细长,扭曲畸形,叶片上呈明显的浓绿和淡绿相同的花叶症状,顶端叶片生长停滞,病株矮小。花芽形成少,并大量落花落果,果实小,质劣,多呈花脸状。成株期染病的,仅新叶表现症状;苗期染病的,全株都表现症状。

条斑病:该病的典型症状是在植株中下部茎上、果实上及叶片上形成坏死条斑。茎部发病,初生暗绿色下陷的短条纹,后变为深褐色下陷的油渍状坏死条斑。茎上的病斑蔓延扩大,可导致植株萎黄枯死。果实发病,形成各种形状的褐色斑块,但变色部分仅限于表层组织,不深入到果实内部,果实发病部位不再生长或生长缓慢,随着果实发育,病部凹陷,形成畸形果。

2 传播途径

病毒病的传播途径主要是种子带毒(果肉残屑附着在种子上)、机械传播(如蘸花、整枝打杈、绑蔓、分苗、定植等)、蚜虫传播和土壤中植株的病残体传播等4种。随着保护地番茄的发展,冬作番茄病株成为更重要的越冬场所。

3 发病条件

病毒病的发生与气候条件关系密切。春季低温症状较轻,夏季随气温的升高,病害加重,先表现花叶、蕨叶,高温干旱时,出现条斑坏死,严重时植株枯死。病毒病发生程度除寄主的抗病性外,与寄主的生理年龄有关。一般年龄越小,越易感病。当第一穗果进入绿熟期,则进入成龄抗性阶段,病害轻。病害发生也与栽培管理有关。管理粗放,植株感病越早,病越重,定植后果实膨大期缺水受旱,发病重。土壤中缺少钙、钾等元素,助长花叶病的发生。整枝打杈时吸烟,病重。

4 防治方法

(1)农业防治:①选用抗病品种,如中蔬4号、佳粉10号、佳粉15号、双抗2号、西粉2号、毛粉802等。选用健株无病果留种。播前对种子进行消毒处理。先用清水浸种3-4小时,再放入10%磷酸二钠溶液中浸30分钟,捞出后用清水冲净,连续晒种3-4天。②加强治虫从苗期开始,就应注意及时防治蚜虫,把蚜虫消灭在初发阶段,这是防治由黄瓜花叶病毒引起的蕨叶病的重要措施。③农具和手的消毒在田间农事活动中,整枝打杈时先整健株,后整病株,病株作业后要用肥皂洗手以钝化病毒。为减少病毒自花器侵染,将2,4-D蘸花改为防落素喷花,效果更好;④消灭病残体,植株发病后,及时摘除病叶、剪去病枝、带出田间集中烧毁;病毒病感染严重的植株建议拔除,塘内及周围用生石灰消毒后及时补苗,补入苗重点护理,促使早生快发,使其尽快与其它植株长势一致。⑤栽培防治加强栽培管理,促进番茄健壮生长。增施有机肥,喷施爱多收6000倍液或植保素7500倍液,增强植株的抗病能力,实行轮作;发病初期喷施1%过磷酸钙,或1%硝酸钾溶液,作为根外追肥。初次座果后,是番茄大量需水时期,要及时浇水,不能干旱。

(2)物理防治。蚜虫对银灰色的负趋性,在苗期拉挂银灰色条防蚜控病。又根据蚜虫、白粉虱、叶蝉害虫的趋黄性,利用黄色诱虫粘纸进行诱杀,在番茄移栽后每亩田内挂20张黄色诱虫粘纸(20×15厘米),黄色诱虫粘纸底部略高于番茄顶部,粘虫纸粘满害虫后及时更换(一般情况下粘虫纸粘性可持续15天左右),具有很好的杀虫效果。

(3)生物防治。在定植前后各喷1次NS-83增抗剂100倍液,能增强番茄耐病性,施用病毒抑制剂。

(4)化学防治:发病初期可用1.5%植病灵乳油800-1000倍液或20%病毒A可湿性粉剂、或2%宁南霉素(菌克毒克)500倍液,或0.15%芸苔素7500倍液防治,每隔5-7天喷一次,连喷3-4次。

有少量病株的,可用0.1%高锰酸钾溶液对病株进行局部重点喷洒,可收到良好的防治效果。

计算机病毒分析与防治 第4篇

1 计算机系统安全性和计算机病毒分析

1.1 计算机漏洞

计算机系统漏洞严重威胁计算机的使用安全, 来自内部和外部的访问者未经管理员的允许进行访问计算机软件或硬件, 这是系统本身的缺陷。计算机在使用过程中常常存在这种问题, 包括:软件系统内部漏洞, 或者由于软硬件不兼容而产生错误等等, 使系统运行过程中的各个环节出现排异反应, 失去了计算机应用的安全性。使用者要针对具体的软硬件版本对计算机实行有效配置, 确保正常运行时系统安全的基础, 在应用过程中能够进行有效运转。

1.2 干扰计算机安全运行的几点因素

计算机的安全性往往受到几项因素的干扰, 例如:使用者操作不当, 把重要的计算机程序误删;计算机硬件时间长发生老化, 或者存在质量问题或主板出现问题等等, 导致运行时发生错误, 这是比较严重的计算机故障;使用者在应用软件过程中也极易发生错误, 编程出现差错给计算机的安全性造成隐患, 往往一个细小的程序问题对计算机的影响后果是不可估量的;随着计算机技术的提高, 病毒问题也愈加升温, 它能够针对计算机系统存在的某些漏洞进行攻击, 严重者会导致系统整体瘫痪, 也可能会有泄露资料的现象发生, 对使用者的生活或工作造成困扰, 触犯其权利, 涉及到法律关系;另外, 伴随着互联网时代的到来, 黑客技术得到广泛的恶性传播, 很多不法网站上都存有黑客攻击的步骤或指导, 令网络安全裸露于众, 造成正常计算机使用者的恐慌心态, 给人们带来不利影响。

1.3 计算机病毒的特性

1.3.1 传染性

传染性是计算机病毒的普遍特征, 病毒通过修改磁盘扇区信息或把自身文件嵌入到其中的方法达到自我繁殖的目的。一个正常的计算机程序不会将其代码强制植入到其他文件之中的, 所以我们能很好地判断一个程序是否是计算机病毒。

1.3.2 破坏性

计算机病毒的破坏性极强, 可使计算机中的数据打乱或抢占, 影响其运行速度, 也有可能对计算机的硬件设备造成烧毁和破坏。

1.3.3 潜伏性

计算机病毒程序在强行植入后, 有可能暂时没有对计算机造成影响, 但不代表以后不会有影响, 很多病毒都是有一定的潜伏性和可激发性的, 一旦达到某种条件, 病毒就可能运行, 进而对计算机系统造成迫害。

2 计算机系统安全与病毒防治的措施和策略剖析

根据计算机系统的特殊性质决定, 我们必须找到一条有效可行的方式来应对其更新换代快速和易传播等特性。而且, 不能只采取一种措施来维护系统安全性, 要多角度多层次的对计算机实行监控。

2.1 维护计算机系统的网络安全运行和方法及措施

现代的计算机大多依托于网络来运行, 这在技术进步的同时也加大安全保护的难度。从网络覆盖的各个地域范围来看, 可以分为局域网、区域网及广域网。计算机系统的安全性主要表现在资源子网中各个计算机系统的安全和通信网络中设备及线路的安全两种。

2.1.1 应对不法分子对硬件破坏时的措施

不法分子试图通过破坏系统网络的硬件设施进而对计算机网络实施迫害行为, 窃取通信网络中的信息, 侵占网络资源等。这就需要使用者要及时勘测网络线路, 检测硬件设备, 维护软硬件系统的安全, 不能给不法分子以可趁之机。

2.1.2 应对不良自然环境的措施

有时, 自然环境对计算机本身会造成影响, 例如, 气候环境、磁干扰等, 这就要求使用者选择一个相对安全的场所使用计算机, 及时观察计算机的使用环境的变化, 留心计算机硬件显现出的各种异常反应, 避免自然环境因素对计算机产生损害或影响, 对计算机的正常运行是极为不利的。

2.2 运用科学化的手段设置网络安全防护屏障

由于网络本身的复杂性, 要求使用者在工作或生活中使用计算机时要对其资源实施一定的保护措施, 以免泄露。对于网络用户只可以在具有授权允许下才能进行, 在一系列存储以及传输过程中不得修改, 对于信息的浏览性也要严格把控。

2.2.1 基本防护

网络安全机制应该具备一些基本防范功能, 以应对目前计算机网络安全缺失的现状, 例如进行身份识别、存取权限或浏览权限的界定、保密钥匙等等一系列措施, 加强维护计算机系统的安全性。

2.2.2 加密防护

加密措施可以防止重要信息的窃取, 这种技术是以难破解的形式表现出来的, 通过线路传输后到达指定位置可以将难破解的代码自动转换, 完成整个文件的有效传递。

3 结束语

虽然计算机系统安全问题是伴随着计算机整个行业的快速发展而来, 但是我们不能任其猖獗。计算机使用者一定要重视系统的安全性问题, 加强对计算机病毒的防范, 与时俱进, 不断研究应对新安全隐患的应对措施, 把计算机的系统安全措施做到事前维护, 减免计算机病毒对人们生活和工作的恶劣影响, 完善我国整体的计算机安全网络系统。

摘要：随着我国计算机行业的稳步发展, 计算机系统安全与病毒防治的要求愈加紧迫。互联网时代的到来, 使得人们工作和生活中很多繁杂事务的开展都要依托于计算机技术来处理, 同时也意味着使用者要重点维护计算机的应用安全性, 才能避免对工作和生活造成影响。本文就计算机系统安全和计算机病毒防治方面存在的问题给予重点分析, 剖析其应对措施, 并且提出相关解决策略供计算机使用者借鉴或参考。

关键词：计算机系统,安全,措施

参考文献

[1]刘功申.计算机病毒及其防范技术[M].北京清华大学出版社, 2010, 6 (03) :113-114.

[2]邹爱琴.浅议校园网络安全现状及解决策略[J].中国科教创新导刊, 2012, 12 (23) :123-124.

[3]方春金.论教务系统数据库的安全防范措施[J].计算机时代, 2012, 5 (09) :238-239.

计算机病毒分析与防治 第5篇

TPVO/3783 病毒是一种传染性、隐蔽性都很强的病毒，它的独到之处是可以传染 WINDOWS 文件，使病毒可以在 WINDOWS 执行时驻留内存， 该病毒传染硬盘、软盘引导区及 WINDOWS、DOS 可执行程序，包括.EXE.COM.OVL.386 等等文件，不传染带覆盖的文件，程序被传染后长度增加 3783 字节， 文件日期被 加上 100 年作为传染标记。

该病毒驻留内存后，用 DIR 命令看不出文件长度的变化，用 INT 13H 读出的磁盘引导记录是正常的，而不是带毒的引导记录，用应用程序读出的带毒文件也都是正常的， 但是由 ARJ、PKZIP、RAR、LHA、BACKUP、MSBACKUP、TELIX 七个程序读出的文件却是带毒的，所以被这些压缩程序压进文件包或用 TELIX 通过调制解调器传到其他地方的文件 是带毒的，由此可见该病毒在隐藏和传播上的用心良苦。

该病毒在传染硬盘主引导区时隐藏于 0 柱面 0 头 5 扇区，传染软盘引导区时隐藏于新格式化的第 81 个磁道，传染文件时附在文件尾部，病毒本身不加密。 当带毒的 WINDOWS 系统运行时，根目录中的虚拟内存文件 386SPART.PAR 属性会变成普通属性，用 DIR 命令可以列出。

病毒分析:

1. 驻留内存及截取中断 该病毒采用修改内存控制块的方法来驻留内存，如果 UMB 存在，病毒会驻留在 UMB中，该病毒驻留内存后截取 INT 21H 和 INT 13H 中断，来完成对文件和引导区的传染， 在截取 INT 21H 时，该病毒采取了与众不同的方法。下面是 INT 21H 内部片断，在中断程序完成了初始化后，将 AH 中的功能号放在 BX 中再乘 2，再用查表的办法得到相应子 程序的地址，然后用近调用来执行相应子程序，具体见下：

...

FDC8:4198 8ADC MOV BL,AH;AH 为子功能号

FDC8:419A D1E3 SHL BX,1;放于 BX 中再乘 2

...

FDC8:41EA 2E8B9F9E3E MOV BX,CS:[BX+3E9E]

;3E9E 为各功能地址表的基地址

FDC8:41EF 36871EEA05 XCHG BX,SS:[05EA] ;调用地址在 05EA 中

FDC8:41F4 368E1EEC05 MOV DS,SS:[05EC]

FDC8:41F9 36FF16EA05 CALL SS:[05EA] ;调用相应功能的子程序...

病毒在驻留时先截取 INT 2AH，在 INT 2AH 中检测到使用的堆栈为 MSDOS.SYS 堆栈段时，表示中断由 INT 21H 发出，这时由中断返回地址得到 MSDOS.SYS 程序段的段地址， 再查找以上几句指令并将 CALL SS:[05EA] 改为 CALL XXXX:053D 指向病毒代码，在完成修改、传染等功能后再转向原来的 INT 21H 执行。由于这一段代码在 INT 21H 的第一百 多句以后，当使用 DOS=HIGH 参数启动时这一段代码被移到 HMA 中， 所以该病毒的截取手段有很大的欺骗性，不但能骗过几乎所有内存监视程序，而且即使用手工反汇编 INT 21H中断程序都不一定能觉察到异常之处。

在截取 INT 13H 时，病毒先使用未公开中断 INT 2FH 的 1300H 功能来得到 DOS 内部设备驱动程序使用的原始 INT 13H 地址，然后在 BIOS 中随机寻找一个中断号大于 E0H 号的INT XX代码，将这个中断向量指向病毒的 INT 13H服务程序，然后将 DOS 保存的原始INT 13H 地址改成指向 BIOS 中的 INT XX 指令，使得在不同的计算机中指向病毒 程序的中断向量号都不相同。

2. 传染及其他部分

病毒截取 INT 13H 来传染磁盘的引导区，在进行普通的读写功能时，病毒并不传染，所以磁盘读写速度并不明显减慢，只有在对磁盘的引导区进行读写时，病毒才进行传染。 传染硬盘主引导区时，病毒隐藏在保留磁道 0 柱面 0 头第 5 扇区开始的 8 个扇区中，原引导记录被保存在 0 柱面 0 头第 13 扇区。一般软盘只有 80 个磁道，病毒在传染软 盘引导记录时，先格式化出一个第 81 磁道，再将自身隐藏于第 81 磁道 1 扇区开始的 8个扇区中，原引导记录被保存在第 81 磁道第 9 扇区。当有程序读取引导记录时， 病 毒将原引导记录读出送回。

病毒截取 INT 21H 来完成可执行文件的传染和一些欺骗功能，在 INT 21H 的 11H、12H、4EH、4FH 匹配文件寻找功能中，病毒返回正确的文件长度和时间，在 57H 读写文 件时间功能中，病毒返回正确的文件时间，在 3FH 读文件功能中， 如果读到文件被修改的部分，病毒将返回正确的内容，在 40H 写文件功能中，如果写已被传染的文件， 病毒 将文件复原，到以后关闭文件时重新传染。结果在应用软件看来，带毒文件没有任何异常之处。

当执行 INT 21H 的 3DH 打开文件、3EH 关闭文件、43H 文件属性功能、56H 文件改名、4BH 执行文件时，病毒对文件进行传染，传染后病毒附于文件尾部，文件开始指针被 指向病毒入口处。对于.COM 文件，病毒将文件第一句指令改为 JMP XXXX 跳转到病毒入口处，对于普通.EXE 文件，病毒将文件入口指针指向病毒入口处， 将堆栈指向病毒尾部 200H处。

下面详细分析病毒对 WINDOWS 可执行文件的修改，由于 WINDOWS 可执行文件的资料很少见，这里先简单介绍一下 WINDOWS 文件的结构：WINDOWS 文件由 DOS 执行部分和 WINDOWS 执行部分组成，DOS 部分只是简单的打印一句提示信息即退出，WINDOWS 部分以覆盖的方式位于文件后部。文件报头分两部分，第一部分为普通的.EXE 文件报头， 第 二部分为 “NE” 新格式可执行报头，有关部分说明如下：

普通 .EXE 文件报头 18H 字

重分配表偏移( WINDOWS 文件必须大于 0040H)

3CH 双字 “NE” 可执行报头在程序中的偏移

“NE” 可执行报头 00H 2 字节 “NE” 符号

(长 40H 字节) 14H 字 程序入口 IP

16H 字 程序入口段的段地址记录号

18H 双字 程序初始 SS:SP

1CH 字 段地址表中的记录数

22H 字 段地址表在程序中的偏移

32H 字节 段大小的计数单位 (移位值)

程序中所有的段都由段地址表中的一个记录来描述，包括段在程序中的偏移、段的大小、段的属性、段装入时要分配内存的大小，执行程序时，系统由入口段的记录号查段地 址表得出这个段在程序中的位置和大小，将代码装入内存，再由入口 IP开始执行，

段地址表中每个记录占用 8 个字节，格式如下：

00H 字 本段在程序中的偏移 (乘以计数单位)

02H 字 本段的长度 (单位：字节)

04H 字 本段的属性

06H 字 要分配的容量 (单位：字节)

病毒增加了一个段地址表记录来描述病毒代码段属性，在 WINDOWS 文件中， 段地址表一般紧接着 “NE” 报头存放，段地址表后面也紧接着其他数据，中间没有多余字节，所 以病毒将整个 “NE” 报头和段地址表前移了 8 字节，然后在空出的 8 字节中写下一个新的段地址表记录， 再将程序入口段记录号改到指向这个新的记录， 具体改动的数据有： 003CH处的 “NE” 报头偏移减 8，“NE” 报头中 16H 的入口段记录号改为病毒段，1CH 的段地址表记录数加 1，另外将 04H、24H、26H、28H、2AH 中其他相关表的偏移加 8。

2. 病毒源码：略

杀毒要点：

1.内存中病毒的检测

检测内存中的病毒可以用病毒自己的检测方法，设置 AX=187FH，BX=4453H 调用INT 21H，如果返回 BX=87A1H 表示内存中已有 3783 病毒，由于该病毒有很多欺骗手段，要检测引导区或文件上的病毒必须先用干净系统盘重新启动。

2.引导区中病毒的检测和清除

用磁盘编辑工具观察引导区，如果发现偏移 003EH 的内容为 FA 33 DB 8E D3 BC 00 7C 8E C4 表示引导区中已有病毒，对于硬盘，可用 CX=000DH，DX=0080H，INT 13H 读出原引导记录，对于软盘，可用 CX=5009H，DX=0000H，INT 13H 读出原引导记录， 再写入引导区就可以清除病毒，清除硬盘引导区的 3783 病毒也可以简单地用 FDISK /MBR 来完成。

3.可执行文件中病毒的检测和清除

3783 病毒在文件中保存了原文件的文件头，位置是病毒开始后偏移第 0E87H 处算起的 40H 字节，由于 3783 病毒代码不加密，所以检测和清除相对比较简单，对于 DOS 文件，可以用PCTOOLS 等软件查找字符串

0E 1F E8 00 00 5E 83 EE 05 56 06 B8 7F 18，

或用DEBUG 反汇编文件的前几句，如果发现字符串或发现以下指令：

XXXX:0100 E9YYYY JMP YYYY ;.COM 文件的第一句

...

XXXX:YYYY 0E PUSH CS ;.EXE 文件的第一句

1F POP DS

E80000 CALL ZZZZ

XXXX:ZZZZ 5E POP SI

83EE05 SUB SI,+05

56 PUSH SI

06 PUSH ES

B87F18 MOV AX,187F

BB5344 MOV BX,4453

CD21 INT 21 (DOS)

81FBA187 CMP BX,87A1

就可以确认文件已被 3783 病毒传染，手工消毒可以用以下办法：先记下找到字符串的位置，再将这个位置加上 0E87H，( DEBUG 中将地址 YYYY 加上 0E87H) 就是原文件头 40H 字节保存的地方，将这 40H字节写回文件头，再从找到字符串的地方将文件截断即完成消毒。

对于WINDOWS文件，由于病毒对文件修改较多，且数据结构复杂，一般不用手工消毒，在没有消毒程序的情况下，建议用以下办法：找一个压缩软件如 ARJ、LHA、RAR 等， 将文件改名为其他文件名如 A.EXE，再运行一个带毒文件使内存中驻留病毒，再将要消毒的文件打包，由于病毒执行了欺骗功能，所以由压缩软件读出并压进文件包的文件都是无毒的，用干净系统盘启动后，解压缩出来的文件就是无毒的了。在磁盘空间足够的情况下，也可以用这种方法全盘压缩，再全盘解压缩来消除全部病毒。编程自动消毒的步骤和算法如下：

⑴ 判断文件头 0018H 大于等于 40H 则继续 (表示有 “NE” 文件头)

⑵ 从文件头 003CH 取得偏移量读出 40H 字节，判断前 2 字节为 “NE” 则继续

⑶ 从 “NE” 报头中取相关数据计算入口段地址表记录偏移量，算法为：

偏移量=“NE”报头偏移量+[“NE”报头22H]+([“NE”报头16H]-1)*8

⑷ 读出 8 字节入口段的段地址表记录

⑸ 如果本记录后 6 字节为 7D 0E 80 01 7D 0E 表示有 3783 病毒

⑹ 病毒起始位置(即原文件长)=[段地址表记录00H]*( 1 SHL [“NE”报头32H] )

⑺ 恢复原入口段地址表记录号：病毒中第 0E83H =>“NE”报头16H

恢复原入口 IP：病毒中第 0E85H =>“NE”报头14H

恢复原段地址表记录数：“NE”报头 1CH 减 1

⑻ 将恢复的 “NE” 报头写回，将文件从病毒开始处截断

到此消毒已经完成。在消毒中省略了将 “NE”可执行报头及段地址表后移 8 字节的步骤，这并不影响文件的执行，如果一定要将文件完全复原，还要加上以下部分：

⑼ 将 “NE”报头 04H、24H、26H、28H、2AH 处的字及文件头 3CH 处的双字减 8

⑽ 将 “NE”报头开始到段地址表结束为止的数据后移 8 字节

将文件头 3CH 处的新数据写回

4.可执行文件的免疫

病毒的传染标记为文件时间加上 100 年，如果病毒检测到文件时间大于 2080 年就认为文件已经感染，所以可以用工具软件修改文件时间，将文件时间加上 1就可完成免疫。

5. 消毒程序参考

计算机实用软件的病毒与防治探析 第6篇

[关键词]计算机；实用软件；病毒；防治

[中图分类号]F224.39

[文献标识码]A

[文章编号]1672-5158（2013）05-0058-01

一、计算机实用软件的病毒概念

计算机实用软件病毒从本质上来说是一种程序。这种程序可以在未经许可的情况下进入目标电脑，寄生在计算机实用软件中，并且通过计算机本身的程序运行进行无限复制，占用电脑空间，进而侵入计算机程序，最后达到破坏计算机程序的目的。

二、计算机实用软件病毒的危害

计算机实用软件病毒具有破坏性、潜伏性及可激发性、自我复制性（传染性）、隐蔽性、清除难度大等特征，其中破坏性是其最主要的危害。

（一）破坏性

计算机实用软件病毒的破坏性相当大，它可能会同时威胁到计算机的硬件和软件系统，其对硬件破坏可能会导致无法估计的损失，甚至让计算机完全瘫痪。计算机实用软件病毒也会对互联网的运行造成直破坏，重则导致机密信息丢失、网络崩溃，轻则减慢计算机的运行速度。

（二）潜伏性及可激发性

计算机实用软件病毒的激发方式多种多样，更改用户名、系统日期或时间，或者某一次网络通讯，都会导致病毒的激发。而且，由于网络的拓展性，有些实用软件病毒可以再任何时间、任何位置被激发，并展开对计算机或网络的攻击。有些计算机实用软件病毒在感染计算机后，立即进行攻击；而有些病毒是潜伏在计算机中，待到时机成熟之时，便立即发作，对计算机或网络进行破坏。

（三）自我复制性（传染性）

计算机实用软件病毒具有很强的自我复制能力，即传染性。一旦计算机实用软件病毒进入到计算机当中，且其程序代码被执行，病毒程序机会与搜寻传播条件相符的介质或程序，在锁定目标后便将自身的程序代码插入到其中，将其感染。于此同时，大量的新病毒会被复制出来，被感染的介质或程序会变成新的计算机实用软件病毒，然后借助网络媒介对快速感染病破坏其他计算机。

（三）隐蔽性

计算机实用软件病毒一般隐蔽在硬盘或者程序中较为隐蔽的位置，具有交强的隐蔽性，不进行病毒扫描或代码分析，是很难发现的。如若计算机缺乏防护措施，病毒程序掌握控制计算机系统，并在短时间内大量感染计算机系统，且计算机系统仍然能够正常运行，用户一般不会感觉到异常。

（五）清除难度大

独立的一台计算机中若是存在实用软件病毒，可以通过格式化硬盘或是删除文件等方式进行清除。但是在网络中，病毒清除难度会大大增加，只要有一台计算机的工作站未将病毒清除干净，那么整个网络仍会重新被病毒感染，清除完病毒的工作站也会被网络中带有病毒的工作站感染。

三、常见的计算机实用软件病毒

（一）网页脚本病毒

网页脚本病毒是指通过网页脚本语言编写的恶意代码，网页是其传播媒介，一般带有广告的性质，会自动修改计算机系统的IE首页、注册表等信息，导致计算机实用异常。网页脚本病毒把恶意代码镶嵌在网页上，用户一旦点击网页，病毒就会立即启动，发挥其破坏性，令使用户措手不及。该病毒比较简单简单，对运行环境的要求不高，隐蔽性和传播性较强，更容易发挥其破坏性。

（二）宏病毒

宏病毒的破坏性很大，多存在于Word，Excel中。其会导致文件不能正常打印，文件原有的存储路径被改变，文件名自动改变，文件不能正常编辑等等。宏病毒与其他计算机系统也会带来相当大的破坏。宏病毒的破坏性还表现在其极强的隐蔽性上，病毒可以巧妙隐藏在word文档中，交难被使用者发现。Word文档几乎成为全世界办公文档的标准版本，其传递速度快，传递频率好，且传递的文档正好给宏病毒一个很好的传播载体，使病毒也传播迅速。不论是硬件拷贝还是网络传输，宏病毒都能做到如影随形，所以说宏病毒所带来的危害是十分严重的。另外，Word文档的全球性应用，使得宏病毒能够跨越不同的平台进行传播，随着文档的传播，迅速蔓延，很快就是网络内部的所有计算机都染上病毒同时进行数据破坏，具有极大的危害性。

（三）蠕虫病毒

蠕虫病毒是一种极其顽固的计算机实用软件病毒，它通过利用操作系统和应用程序的漏洞主动并独立地进行攻，其代码复制基本上不需要人为操作。蠕虫病传播性很强，可以在任何一台计3ggt上安家落户，并继续破环其他目标，不断扩大其传播范围和破坏程度。目前，蠕虫病毒结合黑客技术的发展，使其破坏性进一步增大。

四、计算机实用软件病毒的防治

（一）注重计算机实用软件病毒的多层保护

对计算机实用软件病毒要做好多层防护工作。首先，要保护好计算机系统的根源，加强对系统盘的防范。其次，要做好系统及文件的备份工作，以备不时之需。再次，在进行网络文件传输时，应先了解接受文件的属性，对来历不明的文件在接收时需谨慎。最后，在使用硬盘和打开硬盘中的文件前，需对文件进行杀毒。

（二）主动安装杀毒软件，并及时对其进行升级

用户要主动对计算机实用软件病毒进行防治。首先，要主动安装杀毒软件，定期对计算机进行查毒杀毒。其次，要对杀毒软件进行及时的升级，更新软件版本和杀毒软件的病毒库，及时有效的防范最新的病毒入侵。再次，当系统提示有漏洞时，用户要主动给系统打补丁，使计算机时刻保持在安全状态下。

（三）清除计算机实用软件病毒

当计算机系统被病毒感染时，最直接的病毒清除方式就是使用杀毒软件将其清除。但对于部分顽固的病毒来说，是很难根除的，这就需要在切断网络的情况下，进行全盘杀毒，最后用备份的文件来覆盖已经被破坏的文件，以达到清除病毒的目的。

五、总结

综上所述，计算机实用软件病毒具有破坏性、潜伏性及可激发性、自我复制性（传染n生）、隐蔽性、清除难度大等特征，这就要求我们要学会对病毒进行识别和防治。提高对计算机实用软件病毒的认识，及时下载并更新杀毒软件，定期对计算机进行杀毒，将病毒对计算机和网络造成的危害降到最低。

参考文献

[1]戴莹.计算机病毒及防范对策分析[J].科技致富向导，201 5（05）

[2]陈桢.浅析计算机软件安全问题及其防护策略[J].信息系统工程，201 5（02）

[3]吴塍勤.对计算机软件安全问题的分析及其防御策[J]电脑编程技巧与维护，201 5（02）

校园局域网信息安全与病毒防治分析 第7篇

一、校园网的特点

校园网是在学校范围内, 在一定的教育思想和理论指导下, 为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。近年来, 我国校园网建设发展迅速, 基本上各个高校已经完成了校园网的覆盖, 部分中小学也已经开通了校园网。校园网为我国各学校内部实现教育的资源共享、信息交流和协同工作提供了较好的服务。

1. 校园网首先是教育网络, 教育功能是校园网的一个重要组成部分。

校园网是在一定教育思想和理论的指导下, 为学校教育服务, 提供新型教育模式的教育专用网络。指导校园网建设的教育思想和理论包括:教育观念、管理理论、教学理论和学习理论等。服务于教学、科研、管理的应用是构建校园网的出发点和归宿。

2. 校园网包含大量教育隐秘资料, 网络安全至关重要。

校园网具有大量的教育信息和基础数据, 以及基于校园网的网络行政办公管理信息系统 (学生管理、学籍管理、档案管理、人事管理、固定资产管理和财务管理等) 、图书管理系统和一卡通系统。这些都涉及学校的管理、决策、人员信息等内容, 信息安全至关重要, 一旦发生泄密, 对学校的影响十分巨大。

3. 校园网同时也是互联网的组成部分, 校际校园网的互通是发展趋势。

它可以是几个校园网的互连, 也可以扩大到一个城市, 甚至可以跨越省际。这就要求校园网要有强大的数据传输能力, 同时还要具备强大的技术后台, 为校园网信息安全提供保障。

二、校园网信息安全的几点建议

校园网安全隐患大多来自于管理的不完善、人为破坏、技术漏洞、病毒爆发等方面。笔者就这几方面分别进行分析。

1. 管理。

校园网的管理包括:网络规划与布局、入网审批、学校主页页面设计、信息上网技术服务、信息安全及保密的技术管理、组织项目施工、网络维护等。在网络建设初期, 做好规划与布局, 严格入网审批, 加强学校主页页面设计安全标准, 强化信息上网技术服务与跟踪服务, 要有专人负责信息安全及保密的技术管理, 做好网络的日常软硬件维护。

2. 人为破坏。

校园网内部人员或网管人员的安全意识也会影响网络事件突发, 如服务器密码不及时更新, 泄密, 内网中使用监测软件等。应加强网管人员安全意识, 加强网络管理, 建立应急机制来应对以上原因导致的校园网瘫痪。 (1) 成立应急小组。发现问题后, 第一时间召集网络应急机制小组成员开会。 (2) 分析故障原因及解决网络故障。如果是政治类突发事件, 应及时删除信息内容, 有效封堵反动和不良信息, 并按时向校领导和上级部门报送信息情况, 预防和防范到位, 保证发现情况及时处理;如果是硬件故障类突发事件, 应及时检测出故障源, 断开网络连接, 重新安装系统及升级、打补丁、安装防病毒软件及配置好防火墙等。 (3) 做好善后的预防工作。

3. 系统漏洞。

学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”, 大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品, 加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作, 在网络上运行时, 这些网络系统和接口都相应增加网络的不安全因素。校园网络管理员可以通过对校园师生用户设置用户名和口令加密验证, 加强对网络的监控以及对用户的管理。网络管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护, 赋予用户一定的访问存取权限、口令字等安全保密措施, 用户只能在其权限内进行操作。合理设置网络共享文件, 对各工作站的网络软件文件属性可采取隐含、只读等加密措施, 建立严格的网络安全日志和审查系统。

4. 病毒。

校园网中的计算机数量较多, 使用者的防毒水平参差不齐, 病毒防范成为校园网日常管理中的一项非常重要的内容。因此, 防范计算机病毒要做好以下几方面的工作:选择适用的防病毒软件、及时安装各种补丁程序、采取必须的安全措施、规范电子信箱的使用、做好各种应急准备工作、隔离被感染的计算机。

总之, 校园网的信息安全与病毒防治, 需要综合多方面力量来完成。校园网的安全与畅通, 离不开使用者和维护者的共同努力。

摘要：校园局域网是一个采用lnternet技术建立的机构内联网络, 管理的不完善、人为的蓄意破坏、技术上的漏洞、病毒的传播等都会导致校园局域网的事故。如何防范这些事情的发生, 需要综合各方面因素进行治理。

一种隐藏文件夹病毒的分析与防治 第8篇

关键词：计算机病毒,隐藏文件夹,防治,Delphi

1 引言

随着计算机技术的不断发展, 计算机病毒的种类也是推陈出新, 也使得我们对其防范的难度越来越大, 只要我们努力地去了解计算机病毒的各种特点、原理, 就能从根本上去防范和治理它。现在以一种在内网计算机Windows操作系统中大量传播的隐藏文件夹病毒进行防治探讨。

2 隐藏文件夹病毒感染机理

该种隐藏文件夹病毒属于U盘病毒的一种, 对于大多数U盘病毒来说都是通过系统的自动播放功能打开U盘时自动运行病毒程序, 从而将病毒传播到操作系统中。在现有各种安全软件都普遍封杀Autorun机制的背景下, 该种病毒利用的是将优盘或本地磁盘系统盘以外的分区根目录文件夹强行隐藏, 为每一个隐藏的文件夹生成一个141KB的可执行病毒文件 (文件大小随其他变种而变化) , 文件名与被隐藏的文件夹同名, 且由于该病毒文件伪装的图标与普通文件夹图标完全一样, 所以非常具有隐蔽性。

用户一旦双击伪装成文件夹的病毒文件, 病毒文件立即将自已复制成当前系统的Windows安装路径下的svchost.exe (如C:WINDOWSsvchost.exe, 而真正的操作系统核心服务文件在C:WINDOWSSYSTEM32, 已经存在目标文件时, 不再重复复制和加载) , 并且常驻内存运行, 并修改注册表, 禁用注册表工具 (注册表位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesSystemDisable RegistryTools) 、禁止修改文件夹选项 (注册表位置:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionExplorerAdvancedFolderHiddenSHOWALLChecked Value) , 使得用户即使已经察觉感染病毒、文件夹被恶意隐藏, 想通过“文件夹选项”来打开“显示所有文件和文件夹”功能, 但点击确定之后无任何效果, 接下来病毒将系统分区以外的磁盘根目录下的文件夹强行隐藏, 并为每一个隐藏的文件夹生成一个141KB (文件大小随其他变种而变化) 的可执行病毒文件, 文件名与被隐藏的文件夹同名, 由于该病毒并不感染系统分区根目录文件, 且将其常驻内存的进程名伪装成系统的核心服务名svchost.exe, 更加增强了其隐蔽性。

当后台进程一旦检测有U盘插入, 立即像感染其他磁盘一样, 将其所有根目录文件夹逐一进行隐藏与伪装, 当目录U盘病毒文件被使用到其他计算机点击运行时, 上述的病毒文件的自动处理过程就达到了病毒以U盘传播的最终目的。

3 隐藏文件夹病毒的特征与识别

当我们的系统感染了该种隐藏文件夹病毒之后, 会发现从一些应用软件的“文件”菜单下的“打开”项已经找不到自己熟悉的文件;当需要文件交换时, 我们从电脑中复制的只是一个141KB的病毒文件, 真正的资料被隐藏在根目录的文件夹中。

一般来说, 感染了该病毒有几种特征。

1) 系统进程中有以当前用户名加载的svchost.exe进程名。

2) 系统分区的Windows文件夹 (即Windows的安装目录) 有隐藏的svchost.exe文件 (需通过修复被病毒恶意屏蔽的注册表选项后才能显示) 。

3) 无法通过菜单“工具”-“文件夹选项”-“查看”来显示具有隐藏属性的文件和文件夹。

4) 无法使用Regedit.exe工具进行注册表编辑。

5) 在资源管理器窗口以“详细信息”方式查看系统分区以外的磁盘根目录文件时, 显示图标为文件夹的项目大小为141KB, 类型为应用程序, 如图1所示。

4 隐藏文件夹病毒手动查杀

弄清楚隐藏文件夹病毒在Windows系统中的传播机制和表现特征后, 我们就能对症下药进行防治了, 当然最直接的方法是下载最新的杀毒软件进行查杀, 经过多款杀毒软件的实际验证, 国内一些软件金山毒霸、360杀毒等都能有效地查杀该种病毒, 但在一些大型企业内网中统一布署的赛门铁克终端保护 (Symantec End Point Protection V12.1) 并不能对该类U盘病毒有效拦截, 从而导致该病毒在企业内网计算机终端大面积感染和传播, 必须进行手动查杀, 这也是本文防治的重点。

对于该类病毒, 不能只是简单的进行伪装141KB病毒文件删除、隐藏文件夹的恢复、注册表选项的修复操作, 这样并不能从根源上断开隐藏文件夹传播的路径, 你将发现刚才已经删除的病毒和恢复的隐藏文件夹, 仅仅在几秒钟之内就被重新隐藏和伪装。斩草须除根, 上文说到, 该病毒在恶意隐藏文件夹之前, 检测系统安装路径 (如C:WINDOWS) 中是否存在名为svchost.exe的染毒文件, 之后再加载至内存中运行。这样我们的查杀思路整理如下:结束伪装成系统核心服务的svchost.exe进程 (对应用户名为当前用户名) 删除系统安装路径下的病毒文件svchost.exe修复注册表选项删除被感染磁盘根目录141KB的病毒文件恢复隐藏的资料文件夹。

具体操作如下:

1) 打开任务管理器, 结束加载用户名为当前登录用户的svchost.exe进程。

2) 因为系统安装路径下的病毒文件也被隐藏, 可以通过命令行窗口来实现, 在系统安装路径下执行 (以系统安装在C盘为例, 单击“开始”-“运行”-输入“cmd”, 进入命令提示符, 输入“CDWINDOWS”, 如果使用attrib命令未达到预期目的, 可待第3步修复注册表选项, 显示该隐藏的病毒文件后再删除) 。

3) 修复注册表选项。解除禁用注册表工具:单击“开始”-“运行”, 在对话框中输入“reg delete hkcusoftwaremicrosoftwindowscurrentversionpoli-ciessystem/v disableregistrytools/f” (引号中的全部内容, 不要引号) , 单击“确定”。

显示所有文件和文件夹:打开注册编辑器, 将以下注册表位置的“Checked Value”十六进制值修改为“1”, 就能通过文件夹选项显示所有文件和文件夹了。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionExplorerAdvancedFolderHiddenSHOWALL

4) 打开“我的电脑”, 打开被感染的磁盘分区根目录, 以“详细信息”方式查看, 将所有显示图标为文件夹样式、大小为141KB、类型为应用程序的项目彻底删除。

5) 恢复被隐藏的文件夹。因为无法在“我的电脑”窗口进行文件夹的图形化恢复操作, 需要在命令行窗口进入需要操作的磁盘根目录, 运行以下命令:for/f"delims="%a in ('dir/b/adh') do (attrib-s-r-h"%a") 。这样, 系统中的隐藏文件夹病毒就被彻底清除了。

5 隐藏文件夹病毒免疫

经过多次实验证实, 我们可以利用该病毒的不重复加载特性来实现系统的免疫功能, 让病毒无法在系统安装路径下放置病毒文件svchost.exe, 操作如下:在系统安装路径下 (例C:WINDOWS) 新建文件夹, 改名为svchost.exe, 并设置隐藏、只读、系统属性, 以防止被意外删除。

经过上述免疫操作后, 实验证实即使运行了伪装的病毒可执行文件, 也不在系统中继续感染传播, 也未自动加载病毒进程, 完全达到了免疫的目的。

6 编写隐藏文件夹病毒专杀工具

当然对于大多数没有太多安全经验的用户来说, 手动清理会觉得比较复杂, 还是使用专杀工具来阻击U盘病毒最为方便和直接, 笔者利用Delphi编写了一个针对此种141KB隐藏文件夹病毒的专杀工具, 经过反复测试和使用, 效果不错, 下面就来阐述一下该工具的查杀原理。

1) 程序加载后检测系统进程, 如有以当前用户名运行的svchost.exe进程, 获取其进程ID并结束它。

2) 检测系统分区的WINDOWS安装路径下, 利用文件查找的方法查找大小为141KB的可执行文件, 如存在则修改该文件属性为普通存档, 并删除它。

3) 检测系统注册表中的“注册表管理工具”和“显示所有文件和文件夹”选项是否被恶意修改, 并自动修复。

4) 在系统安装路径下创建名为svchost.exe的免疫文件夹, 修改其属性为隐藏+只读+系统。

5) 获取当前系统驱动器列表, 点击“一键清理”将自动对除系统分区以外的所有磁盘 (包括可移动磁盘) 进行删除141KB病毒文件、逐一恢复被隐藏的文件夹 (可实现手动对某一磁盘进行查杀) 。

6) 专杀工具有实时监测可移动磁盘插入或拨出动作的功能。

7) 所有对系统的操作都在日志列表中以不同字体颜色列出, 正常操作为绿色, 发现异常、病毒查杀操作为红色, 一般日志为黑色, 如图2所示。

参考文献

[1]赖英旭.计算机病毒与防范技术.清华大学出版社, 2011.

[2]韩筱卿.计算机病毒分析与防范大全.电子工业出版社, 2006.

浅谈局域网内网络病毒的分析与防治 第9篇

关键词：局域网,网络病毒,分析,防治

就目前来看, 随着计算机技术的深入发展, 局域网的应用范围正在逐渐的扩大, 局域网中的网络病毒也在随之增长。网络病毒对局域网的应用, 构成了严重的安全威胁, 还会造成局域网中的信息数据丢失与破坏, 导致整个局域网网络体系瘫痪。所以, 局域网在发展的过程中, 要重视对网络病毒的防治, 由于局域网内网络病毒的类型很多, 在防治时要对网络病毒进行深入的分析与研究, 对网络病毒进行合理的分类, 针对不同类型的网络病毒进行制定不同的解决方案, 在局域网中构建一个完整的网络病毒防治系统。有效的防治局域网内的网络病毒, 能够确保局域网中的安全性、可靠性, 促进局域网的应用与发展。

1 局域网内网络病毒的特点

局域网在发展过程中, 内部的网络病毒类型多样, 不同的网络病毒都有其不同的特点, 主要体现在:破坏性、传播性、隐蔽性、可执行性等一系列的特点。但是就目前局域网内的网络病毒变化来看, 出现了新型的特点。

局域网内网络病毒主要的几个新型特点:

1.1 传播速度快、形式复杂

网络病毒在局域网中的传播过程, 一般都是由外部网络通过网络服务器进入局域网的内部, 但是网络病毒较以往来看, 传播的速度非常快, 而且传播的网络病毒形式非常的复杂。计算机中的局域网在没有连接网络服务器的情况下, 网络病毒只能通过相关的储存设备进行传播, 即进入储存设备, 然后通过储存设备在另一台计算机上运行时, 进入局域网。在计算机中的局域网连接网络服务器的情况下, 能够通过各个计算机中的网络通信系统, 进行迅速的传播。

1.2 破坏力非常大, 难以清除

网络病毒在进入局域网之后, 会对局域网中的各个环节进行破坏, 而且破坏力非常大, 会严重的影响局域网的工作效率与质量, 降低局域网的运行速度, 甚至导致局域网内部崩溃, 造成局域网中大量数据信息资源丢失。计算机中的局域网在未连接网络的情况下, 可以通过对单个带毒文件进行删除, 格式化文件中的所有内容等一系列措施将局域网中的病毒彻底的清除;但是在连接网络的情况下, 网络病毒可以通过相关的网络通信系统, 进入局域网中的各个环节, 而且还有一定的隐蔽性, 这就导致在清理局域网内的网络病毒时, 难以将其彻底的清除。

2 局域网内网络病毒的防治措施

2.1 对计算机网络中的漏洞进行封堵

对局域网内网络病毒进行防治的过程中, 要采取有效的措施防止网络病毒进入到计算机中, 局域网中大部分网络病毒都是通过计算机网络中的漏洞进入到计算机中, 然后再由计算机进入到局域网中的, 所以对计算网络中的漏洞进行有效的封堵, 能够在很大程度上防止网络病毒进入到局域网的内部。

封堵过程中要注意以下几个方面:

第一, 要对计算机及其网络进行正确的配置, 尤其是安全方面的配置。

第二, 对计算机上一些功能不全、安全性能不高的程序进行卸载。

第三, 要定期的对计算进行杀毒, 下载相关程序中需要的补丁, 提升计算机系统及其程序的安全性。

2.2 对局域网的进程进行监管

在局域网运行的过程中, 对其相关的进程进行有效的监管, 及时的发现在局域网进程中出现的可疑行径, 对可疑行径进行深入的分析与研究, 一旦发现网络病毒, 采取科学合理的方式对其进行清除。对局域网的进程进行监管, 实质上就是对网络病毒进行监管, 在监管进程的过程中要对网络病毒进行有效的控制, 截断网络病毒进入局域网的道路。

2.3 对局域网内网络病毒进行查杀

在局域网运行的过程中, 网络病毒在进入局域网后, 造成的后果非常严重。所以对网络病毒的查杀, 对局域网的发展有着非常重要的作用。查杀网络病毒的方式有多中, 在对局域网内的网络病毒进行查杀的过程中, 要对网络病毒的类型以及网络病毒对局域网破坏的情况进行深入的分析与研究, 根据网络病毒的特点与局域网内部的实际情况, 选择相对应的查杀方式, 只有这样才能够有效的对局域网内的网络病毒进行有效的查杀。查杀网络病毒是防治局域网内网络病毒的有效方式, 能够很好解决网络病毒对局域网的破坏。

3 结语

局域网在发展过程中, 要重视对其内部网络病毒的分析与研究, 重视网络病毒的防治, 采取科学合理的方式解决局域网内的网络病毒, 提高局域网的稳定性、安全性, 促进局域网的发展。

参考文献

[1]林维达, 刘桂兰.计算机安全与计算机病毒分析与研究[J].计算机应用, 2010 (17) .

[2]谢超.关于新形势下计算机网络病毒检测模型的构建的思考[J].科教纵横, 2010 (08) .

计算机病毒分析及防治策略 第10篇

所谓计算机病毒就是通过自我的复制来感染影响其他软件和程序的程序。虽然各类的病毒在传染方式、目标各不相同,病毒发生的条件和破坏也不尽一样,但总的来说计算机病毒有如下的特点:(1)破坏力大;(2)具有隐蔽性(3)传导途径多(4)潜伏时间长(5)有针对性。

二、计算机病毒的作用机理

计算机病毒的作用机理体现在其引导、传染和破坏等三个方面,下文一一叙述:

1.计算机病毒的引导机理

计算机病毒一般寄生在电脑磁盘的引导扇区和可执行文件中,比如.EXE、.SYS或.COM文件等。其寄生的方式通常有2中:潜代或者链接。一般来说,寄生在电脑引导扇区的病毒通常是潜代法,而采用链接寄生的病毒通常是寄生在可执行的文件中。我们对这2中病毒寄生的方法逐一来剖析其作用机制,寄生在扇区的电脑病毒式通过挤压占有扇区的系统文件的空间,当系统启动的时候,病毒程序会被自动安装在电脑内存中并被执行,紧接着病毒的干扰程序和破坏程序会被嵌入内存的相应位置在相应的条件下被激活,使得电脑的系统被感染病毒运行。

(一)计算机病毒的传染机理

所谓传染,顾名思义就是计算机的病毒从电脑中的一个程序传播到另外一个程序,从一个系统感染另外一个系统的动态过程。通常情况下病毒感染的载体和桥梁是磁带或者是USB等外接磁盘,这些载体是计算机病毒传播的媒体和生存的沃土。当然,计算机病毒的感染是在一定的条件下的,一般来数有2个状况:(1)计算机病毒的被动感染:如上文所述,当计算机用户使用磁盘或者USB等外接设备的时候,病毒会随着这些设备从一个系统感染另外一个系统,或者是通过网络的流氓程序从一个载体感染另外一个载体。(2)计算机病毒的主动感染:我们在前文也谈到了,计算机病毒程序被激活需要一定的条件,但这些条件被满足的时候,系统启动的时候这些病毒程序会被自动的激活工作,开始从一个载体到另外一个载体的传播和感染。

(二)计算机病毒的破坏机理

计算机病毒的破坏机制和其传染等机制的类似。他是也是通过修改某一中断向量入口地址(一般为时钟中断INT 8,或与时钟中断有关的其它中断,如INT 1CH)使该中断向量指向病毒程序的破坏模块。

在这样的情况下当系统满足了该该中断向量的时候,病毒程序的激活条件被满足,病毒开始运行,它会显示很多的无用信息或者是删除系统的某部分文件,对系统和程序的正常有序的运行造成损害。

三、如何防止计算机病毒

(一)如何从技术上防止计算机病毒

1. 新购买的计算机要进行系统测试

对新购买的计算机进行病毒测试是预防病毒的开始。很多的电脑商在新的电脑出厂时会帮助用户预装系统和一些软件,这些软件虽然基本都是正版的,多数的时候可以保证不携带病毒,但由于在操作的过程中可能存在的不规范会导致病毒的批量感染。所以,最好的办法是用户拿到电脑后要进行杀毒软件和手工的病毒检测。

2. 计算机系统的启动

在新购买电脑检测保证其硬盘没有病毒的前提下,开启计算机的时候最好使用无毒的硬盘进行系统的引导和启动。避免从USB等外带硬盘这些容易被感染的载体引导载体。

3. 计算机的维护

对重要的计算机和系统要做到专人专机使用,避免计算机之间使用混乱导致的交叉感染,相对密封的使用环境下的计算机基本不会被病毒感染的。

4. 备份文件

对相关重要的文件要进行条理化的备份,而且要养成习惯,不能等到计算机病毒开始破坏的时候才去补救,那是文件受损就很难修复。在日常使用电脑的时候要定时杀毒和清理垃圾文件。

5. 不要随意下载

目前大量的软件程序携带强制安装的流氓软件,因此在下载这些软件的时候要注意,特别是不正规的网站要主要不要轻易链接避免被其流氓软件携带的病毒感染。保证计算机使用的是正版杀毒软件,时时更新杀毒软件的病毒库,让杀毒软件对最新的病毒有“抗体”。

(二)基于工作站的防治技术

工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。

(三)基于服务器的防治技术

网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的个重要标志就是网络服务器瘫痪。网络服务器旦被击垮,造成的损失是灾难性的、难以挽回和无法估量。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。

第一,不要轻易打开陌生人来信中的附件,尤其是一些EXE类的可执行文件。第二,对于比较熟悉的朋友发来的邮件,如果其信中带有附件却未在正文中说明,也不要轻易打开附件,因为它的系统也许已经染毒。第三,不要盲目转发邮件。给别人发送程序文件甚至电子贺卡时,可先在自己的电脑中试一试,确认没有问题后再发,以免无意中成为病毒的传播者。第四,如果收到主题为“I LOVE YOU”的邮件后立即删除,更不要打开附件。

(四)加强计算机网络的管理

计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进,功能上更全面。从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面:一是反黑与杀毒相结合;二是从入口拦截病毒;三是提供全面解决方案;四是客户化定制模式;五是防病毒产品技术由区域化向国际化转变。

四、小结

我们一方面要掌握对现在的计算机病毒的防范措施,切实抓好病毒防治工作;另一方面要加强对未来病毒发展趋势的研究,探讨新时期科学防治计算机病毒的新策略,真正做到防患于未然。

摘要：随着计算机网络、数字技术及互联网技术的发展,计算机病毒的危害更是与日俱增。因此,加强计算机病毒的防治、确保计算机信息安全是当前计算机应用过程中的一项重要、迫切的研究课题。本文分析了计算机病毒的内涵及特点,阐述了计算机病毒的作用机制,在此基础上分析了计算机病毒的防治对策。

关键词：计算机病毒,病毒防治

参考文献

[1]肖宏伟.计算机病毒的研究与防范[J].电脑知识与技术,2009,(04).

[2]凌以珂.论局域网络病毒防范策略与技术[J].电脑知识与技术(学术交流),2006,(20).

油菜病毒病的发生与防治 第11篇

一、发病症状

油菜病毒病从苗期至角果期均可发病，但不同类型的油菜发病症状差异较大。

1.白菜型及芥菜型油菜。苗期发病表现为花叶型。典型症状先从心叶的叶脉基部开始，沿叶脉两侧褪绿，呈半透明状，以后发展为花叶，并有皱缩现象，植株矮化。抽薹期发病，薹茎缩短、歪曲，花及荚果密集着生。病轻的往往提前成熟，或不能开花结实，或角果密集、畸形、缺籽瘪粒，油分降低；病重的可整株枯死。

2.甘蓝型油菜。叶片症状表现为黄斑型、枯斑型和花叶型症状。

①黄斑型病株：在苗期的叶片上先散出近圆形的黄色斑点，以后在黄斑中央出现褐色枯点，在抽薹期的新生叶片上产生密集褪绿小点，斑点正面呈黄色或黄绿色，背面的黄色斑点中央出现细小褐色点，在茎、角果上产生褐色条斑，角果扭曲，叶片提早枯黄脱落。

②枯斑型病株：在苗期的叶片上出现褐色枯斑，正反两面组织枯死明显。有的叶脉、叶柄上产生褐色枯死条纹，病株容易枯死。抽薹后，茎、花梗和荚上也产生褐色条斑，发病较迟。

③花叶型病株：主要表现在新生叶上，与白菜型油菜症状相似。支脉表现明脉，叶片出现花叶和皱缩。茎秆上产生明显的黑褐色条斑，植株矮化、畸形，茎薹短缩，花果丛集，角果短小扭曲，有时似鸡脚爪状。角果上有细小的黑褐色斑点，结实不良或不能结实。重的整株枯死。

二、防治

防治的关键是预防苗期感病。

1.选用抗病品种。一般甘蓝型油菜比芥菜型、白菜型油菜抗病性强，而且产量高。同类型油菜品种间抗性差异也很显著，应选用适宜当地栽培的抗性较强的品种。

2.适时播种。冬油菜区油菜角果发育期病毒病的发生率会随播种期延迟而降低，主要由于月平均气温下降影响苗期传毒蚜虫数量，从而减轻发病危害程度。要根据当地气候、油菜品种特性及油菜蚜虫发生情况来确定播种期，既要避开蚜虫发生盛期，又要防止迟播减产。测报油菜病害大流行年，应推迟播期10~15天。

3.加强栽培管理。加强苗期管理，培育壮苗，增强抗性。做到苗肥施足、施早，避免偏施、迟施氮肥；结合中耕除草、间苗、定苗，拔除弱苗、病苗。同时，苗床土壤干燥时，应注意及时灌溉，以控制蚜虫的危害。此外，油菜苗床的选择应远离毒源寄生较多的十字花科蔬菜地、桃树及杂草丛生地，避免蚜虫频繁迁飞吸毒传毒。苗床周围可种植高秆作物，以减少迁飞有翅蚜。

4.防治蚜虫，控制病毒传播。彻底治蚜是防治油菜病毒病的关键。播种前应对苗床周围的十字花科蔬菜及杂草上的蚜虫进行喷药防治，以减少病毒来源。油菜出苗前至5叶期，对病毒病非常敏感，一旦发现，就要开始喷药治蚜，用50%辟蚜雾或50%抗蚜威可湿性粉剂2000倍液，或用10%吡虫琳可湿性粉剂1500倍液，每隔10天喷雾1次，连续喷2~3次。特别需要注意的是，在茄科、葫芦科等蔬菜收获后，若发现有翅蚜迁飞，应立即喷洒速效性杀虫剂，如4.5%高效氯氰菊酯乳油2000~3000倍液，以迅速控制蚜虫。

基于U盘的计算机病毒分析及防治 第12篇

计算机病毒防治的研究一直是计算机信息安全领域的重要内容。计算机病毒按照不同的分类方式有很多, 从传播媒介这个角度, 传统的计算机病毒被简单的划分为:单机病毒和网络病毒。单机病毒以U盘病毒或软盘病毒为代表, 通过可移动存储工具携带病毒, 在不同的电脑上进行交叉感染;网络病毒则是通过网络之间的互联互通性进行病毒的传播。目前单纯的以这两种媒介进行传播的病毒基本上已经很少, 通常是这两种传染方式在传播过程中兼而有之。单机病毒以U盘病毒作为主要代表, U盘和移动硬盘等移动存储设备因为其体积小、存储量大、数据保存周期长等优点越来越受到计算机用户的青睐。但是U盘经常在不同计算机上频繁插拔的特点, 为病毒的传播大开方便之门。最近一个调查显示, 全球46%的网管员认为, 随身携带的闪存盘已经成为一个新的安全隐患。2007年底, 国家计算机病毒处理中心发布公告称, U盘已成为病毒和恶意木马程序传播的主要途径。随着U盘、移动硬盘、存储卡、MP3等移动存储设备的普及, U盘病毒也随之泛滥起来。由于高校校园网网络规模大, 用户活跃、集中, U盘病毒传播得更加迅速, 目前它已经逐渐成为我们高校网络管理人员最头痛的问题之一。

2 U盘病毒分析

U盘已成为病毒和木马程序传播的最主要途径之一, 此类病毒会在移动设备或硬盘根目录下生成Autorun.inf文件, 用户双击盘符即可激活病毒。不同的U盘病毒表现症状不尽相同。U盘病毒危害极大, 不但影响用户的电脑系统, 而且可能会造成大规模的病毒扩散等现象。

2.1由于U盘本身不会防毒, 病毒很容易就可以感染U盘, 通过U盘等移动存储设备作为病毒的载体, 不需要利用计算机操作系统或者软件的任何安全漏洞。

2.2几乎所有个人电脑都拥有USB接口, U盘等移动存储设备已经成为商务人士必备的产品, 而年轻人钟爱的MP3、时尚手机、DV、DC等, 也大多是通过USB接口与电脑连接。USB闪存盘也因为其使用的简易方便而成为大部分计算机用户的必备工具。

2.3相当数量的计算机用户对病毒知之甚少, 并深信自己使用的移动存储设备不会感染或携带病毒, 众多计算机用户在通过接入U盘进行电脑数据交互的时候, 并没有先扫描病毒后操作运行的习惯。

2.4 Windows操作系统默认状态下对USB存储设备的自动播放功能, 可以直接激活病毒并进行感染。

2.5 U盘病毒的传播机理简单, 在此基础上可以轻易地结合系统漏洞、宏命令, 形成新的病毒变种。

感染U盘病毒的电脑或U盘一般有以下两个迹象

a.双击盘符不能打开, 点鼠标右键时, 右键菜单多了“自动播放”、“Open”、“Browser”等项目。

b.电脑磁盘或U盘里多了些不明来历的隐藏文件。打开“文件夹选项”查看, 选中“显示所有文件和文件夹”查看隐藏文件, 如果发现磁盘或U盘里有Autorun.inf文件或伪装成回收站文件的RECYCLER文件夹等来历不明的文件或文件夹, 是感染U盘病毒的迹象。

3 U盘病毒的解决办法

防范U盘病毒方法主要有关闭自动播放功能、关闭已经运行的病毒程序进程和服务、手动删除病毒文件等。

3.1在运行里面输入“gpedit.msc”, 打开组策略。在用户配置管理模板系统中, 可以看到“关闭自动播放”选项, 默认是未配置, 现在将它更改为已启用, 关闭自动播放中选择所有驱动器, 点确定关闭对话窗口。就已经启用了关闭自动播放了, 重新启动以后.插入U盘将不会自动运行, 从而达到防止U盘病毒传播的效用。

3.1.1关闭已经运行的病毒程序进程和服务:先到“任务管理器”中把一些疑似病毒木马的进程结束掉, 如auto.exe和其生成的随机8位字母和数字组合的exe和dl1等文件 (右击任务栏任务管理器进程点中疑似进程结束进程) 。

3.1.2下载stung软件, 解压缩后运行srengps.exe;依次点击“启动项目”“服务”“Win32服务应用程序”之后勾选“隐藏经认证的微软项目”等待列表出来之后, 查找那种不规则的随机8位字母 (大写) 和数字组合的服务, 然后选中下面的“删除服务”并单击设置按钮, 在弹出的框中点“否”。

3.1.3防止病毒在机器启动时自动运行:开始运行msconfig确定启动将其中的疑似启动项前的对号去掉应用。

3.1.4手动删除“Autorun.inf”文件。可以按照如下方法来操作:首先显示系统的隐藏文件和受保护的操作系统文件。其次用鼠标右键单击“我的电脑”窗口中的某个磁盘分区图标。从弹出的快捷菜单中执行“打开”命令, 进入到该分区的根目录窗口。在其中我们就能看到“Autorun.inf”病毒文件的身影了:再用鼠标右键单击“Autorun.inf”文件。并执行右键菜单中的“打开”命令, 将“Autorun.Inf”文件打开, 随后我们就会看到里面的“open=*.exe”内容, 其实“.exe”就是具体的病毒名称。倘若这类病毒没有进程保护时, 我们只需要将“.exe”文件以及各个“Autorun.inf”文件直接删除掉, 就能将闪盘病毒从系统中清除掉了。

4 U盘病毒的防范方法

要增加系统免疫功能, 在电脑上安装比如360安全卫士、QQ医生等工具, 这些工具都有U盘免疫功能, 能自动检测并清除autorun.inf文件, 及时升级杀毒软件病毒库.修补系统漏洞, 养成良好的U盘使用习惯, 防止交叉感染。养成在U盘使用前先进行病毒扫描的习惯, 能减少绝大部分电脑中毒的可能性。具体防范U盘病毒有如下几种可操作方法:

4.1目录在Windows下是一种特殊的文件。而两个同一目录下的文件不能同名。新建一目录“autorun.inf”为可移动磁盘的根目录。可以防止早期未考虑这种情况存在的病毒创建autorun.inf, 减少传播成功的概率。

4.2 Autorun.inf下的非法文件名目录有些病毒加入了容错处理代码。在生成autorun.inf之前先试图删除autorun.inf目录。因此, 在“autorun.Inf“目录建一个此类特殊目录, 方法如“MD x:autorun.infyksoft.”, 可以防止autorun.inf目录轻易被删除。

4.3 NTFS权限控制。基于更低层的文件系统权限控制的办法。将U盘、移动硬盘格式化为NTFS文件系统。创建Autorun.inf目录。设置该目录对任何用户都没有任何权限。病毒不仅无法删除, 甚至无法列出该目录内容。

结束语

以U盘病毒作为主要代表的计算机病毒在不断的发展, 我们需要不断寻找新的方法来防治, 挖掘出防治病毒的新途径, 全面认识并防范U盘病毒, 就能远离U盘病毒给计算机带来的侵害。

参考文献

[1]宁轲.以U盘为传播载体的计算机病毒解析与对抗研究[J].中小企业科技, 2007, 8.

[2]朱卫未, 陈文惠.U盘病毒的传播形状及仿真分析[EB/OL].http://www.paper.edu.cn.

[3]谢文达, 张宗福.U盘病毒的防范和解决方案[J].福建电脑, 2008, 7.

[4]肖海鹏.U盘病毒及其应对策略[J].福建电脑, 2008, 8.