第10章病毒机理学案.ppt

至少有一个特殊字符。 网络共享的检查 检查整个局域网中的网络共享都设置了相应的权限，不存在完全开放写权限的网络共享。以有效的阻断病毒通过网络共享传播的方式 安全设定的检查 查看重要系统是否安装了合适的防病毒软件，而且是否正确配置并经常更新。确保系统受到妥善的保护 漏洞扫描 对整个网络环境实施漏洞扫描，查看网络环境中可能存在的漏洞环节，以有效的阻断病毒通过漏洞传播的方式。 一般情况下，可以根据生成的日志siclog.tXt中的以下项目(见下页图10.5)，判定是否存在可疑文件。 图10.5 日志文件中的可疑项目 从图中显示，该系统的注册表自启动项目下存在相当多的可疑项目，这些值都可以被判定为可疑文件。 （3）选择恶意程序进程，然后点击结束任务或结束进程按钮(取决于Windows的版本)； (４)为了检查恶意程序是否被终止，关掉任务管理器，然后再打开； 　　 （5）关掉任务管理器。 注意：在运行Windows95/98/ME的系统中，任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则，继续进行下面的步骤，注意附加说明。 删除注册表中的自启动项目 在注册表中删除注册表中自动运行项目来阻止恶意程序在启动时执行： (1)点击开始＞运行，输入REGEDIT，按Enter，打开注册表编辑器； (2)在注册表编辑器中查找并有哪些信誉好的足球投注网站包含可疑文件的项目，进行清理： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion＞Run； (3)关闭注册表编辑器。 注意：如果不能按照上述步骤终止在内存中运行的恶意进程，请重启系统。 删除恶意程序生成文件 这一步可删除恶意程序生成的文件： (1)点击开始＞运行。输入Explorer，按Enter，打开Windows资源管理器； (2)有哪些信誉好的足球投注网站之前被判定为病毒的文件； (3)将所有找到的文件删除； (4)关闭Windows资源管理器。 第10章结束！ * 这些“％1％*”需要被赋值，如果将其改为“server.exe％1％*”，server.exe将在执行相关类型的文件时被执行，理论上可以更改任意类型的文件类型，使之被访问时同时执行其他程序。使用这种方式的典型病毒有WORM_LOVGATE.F，该病毒修改了如下文件的关联方式： 所以每当用户双击打开一个文本文件时，WORM_LOVGATE.F都会被执行起来。 * 10.2.2 通过修改系统配置文件自启动 在Windows中包含了两个遗留自Windows3.1时代的系统配置文：windows.ini和system.ini。这两个文件中也可以输入一些自启动信息，简单说明如下： 这两个变量用于自动启动程序。 Shell变量指出了要在系统启动时执行的程序列表。 一般情况下，上述的变量在默认情况下是不存在于这两个文件中的。 * 10.2.3 通过系统启动文件夹自启动 在Windows系统中，系统启动文件夹的位置可以通过如下注册表键获得： 可以在该文件夹中放人欲执行的程序，或直接修改其值指向放置要执行的程序的路径。 * 10.3 可疑系统诊断 * 10.3.1判断可疑系统的常用方法 通常对一个怀疑有病毒的系统检查从以下几个方面着手： 用户账号 网络共享 安全设定 漏洞扫描 用户账号的检查 确认所有用户账号都使用复杂的密码，以避免管理员账号被病毒使用字典攻击的手法攻破，一般的口令设定建议如下： 长度至少为8位； 数字和字母混排； * 10.3.2收集可疑系统的常用方法 趋势科技提供了一个可以全面收集系统信息，以更快速的查找可疑的样本工具：sic，该工具为一个命令行工具，以下以该工具为例进行简单的讨论。 该工具的全称为SystemInformationCollectTool，使用方法相当简单，只要在命令行下输入sic－a命令，就会生成一个名为siclog.txt的文件，该文件包含了系统中绝大多数系统中病毒可能利用的设定以便于诊断。程序执行后显示的界面如下页图10.4所示。 图10.4 系统信息收集工具执行展示 * 10