没有合适的资源?快使用搜索试试~ 我知道了~
常见病毒查杀.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 152 浏览量
2022-11-13
16:39:09
上传
评论
收藏 1.07MB DOCX 举报
温馨提示
试读
14页
。。。
资源推荐
资源详情
资源评论
第一章 常见病毒查杀
1.1 U 盘病毒的运行原理及防治方法
常使用 U 盘的朋友可能已经多次遭遇到了 U 盘病毒, U 盘病毒是一种新病毒主要通过
U 盘、移动硬盘传播。目前,各杀毒软件尚未将它列为病毒 .而在 U 盘中毒时将其接入电脑 ,
双击打开 U 盘盘符时便通过 Autorun.inf 激活病毒从而使系统感染。
病毒组成:autorun.inf 、msvcr71.dll 、RavMonE.exe、RavMonLog
1.1.1 U 盘病毒原理
U 盘病毒主要依赖于 U 盘等可移动设备生存 ,当用户从网上下载文件并拷贝到 U 盘时便
可能中了 U 盘病毒 , 当用户双击 U 盘 盘符时 ,便 启动了隐藏 了的 Autorun.inf 等系统文
件,Autorun.inf 是一个安装信息文件 ,通过它可以实现可移动设备的自动运行。
有些资料认为 Autorun.inf 是最典型的中层病毒,是一个主病毒的第一级执行文件,本
身 INF 是不会称为病毒而被任何一款杀毒软件查杀的,但单纯的在 U 盘类盘中是有可能杀掉
的!
在 Autorun.inf 出现的初期,是软硬件生产厂家为了更好的介绍自己的产品或者为了使
用户更易使用产品而设置的自引导文件, 后来才被病毒制作者利用。现在大部分以只读光盘
为载体的软件产品依然使用 Autorun.inf ,但是由于只读光盘的不可写性, 只要第一次刻录没
有写入病毒,使用者并不会以它传播病毒。
autorun.inf 是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简
单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序, 也可以告诉系统让系
统将它的盘符图标改成某个路径下的 icon 。
其文档格式为 :
[autorun]
open=病毒.exe (这个是让 U 盘被双击自动运行时打开病毒 .exe)
icon=*.icon ( 如果有图标文件*.icon, 则 U 盘的盘符显示出该图标 .)
u 盘病毒就是利用这种方式来在用户不知情的情况下双击盘符打开 u 盘时是系统中毒
的,而病毒主体实际上也是隐藏在 u 盘中.
1.1.2 U 盘病毒防范
U 盘病毒的感染,一部分是用户去点击运行 U 盘上的可执行文件感染的,另一部分是
由于移动存储设备插入时启用了自动播放而感染的。所以,要防止 U 盘病毒的再感染,有
必要限制移动存储设备的自动播放功能。
使用组策略一次性全部关闭自动播放功能:
1、点击“开始”选择“运行”,键入“ gpedit.msc ”,并运行,打开“组策略”窗口;
2、在左栏的“本地计算机策略”下,打开“计算机配置 _管理模板 _系统”,然后在右
栏的“设置”标题下,双击“关闭自动播放”;
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择
“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。在“用户配置”中同样也可以
定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。
有助于多个用户都使用这样的设置。
在插 U 盘时候按住 shift 键以防止病毒随 U 盘自动运行(大概 5 秒),等盘符出现后 ,右键打
开,一般就会出现一些隐藏的文件 ,打开 autorun.ini 文件,将里面涉及到几个 dll 与 exe 文件从 U
盘里面删除,最后关闭 autorun.ini 文件,并且删除它,退出 U 盘。
使用 U 盘注意事项:
1、当别人将 U 盘插入自己的电脑,默认自动运行打开,当出现操作提示框时,不要选
择任何操作,直接关掉;
2、进入我的电脑,从地址下拉列表中选择 U 盘并进入,或者右键单击可移动磁盘,在
弹出的菜单中选择“打开”进入。千万不要直接点击 U 盘的盘符进去,否则可能会立刻激
活病毒;
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护
的系统文件”的勾去掉,以便 U 盘被感染后能及时发现病毒。;
4、对于有些 u 盘病毒,格式化也不能清除,所以,日常使用时 ,尤其是去公共场合使用
回来后,应及时执行检测和杀毒工作。
1.2 同名文件夹EXE 病毒
木马名称:Worm.Win32.AutoRun.soq
文件夹 exe 病毒,它是以 "文件名 .exe"的形式出现的,而这种病毒的传播方式主要表现
为:打开盘符后,病毒不断同名复制原文件夹,并以 ".exe"结尾,把原文件隐藏,欺骗用户
去点击,从而导致用户重招,并不断复制传播,感染其他文件夹。
1.2.1病毒原理及相关分析
病毒运行后会在系统的 C:\WINDOWS\SYSTEM32\ 文件夹里创建一个随机名文件夹,再在
此随机名文件夹内注入一个随机名的 ******.exe文件。然后在“ C:\Documents and Settings\
当前用户名 \「开始」菜单 \程序 \启动 \”文件夹内创建一个“ .lnk”快捷方式,指向那个系统
目录里注入的******.exe文件。借系统的启动文件夹来开机自启动。
此快捷方式文件名是空格的。同时此毒运行后,监控 U 盘等移动存储设备,向移动存
储设备的根目录写入(并不是不停的写入,它只在 U 盘插入后写一次):
Autorun.inf
Notepad.exe
这两个文件,借助 U 盘传播,借助系统的自动播放来启动。
同时该病毒还搜索 U 盘内的所有根目录下的文件夹,创建与这些文件夹同名的病毒自
身文件,外型也使用的文件夹图标,并将盘内原文件夹的属性修改为隐藏的、系统的属性。
一般用户的系统是默认不显示系统文件以及隐藏文件的,所以看不到变化。
剩余13页未读,继续阅读
资源评论
春哥111
- 粉丝: 1w+
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功