本文目录一览:
戴尔电脑怎么杀毒
电脑有病毒一般需要使用杀毒软件全盘杀毒,如果遇到查杀不掉的病毒需要分什么情况分析:
1、如果杀毒杀出来的病毒删除不掉,安全模式下查杀,还是不行使用强删工具删除文件。
2、局域网环境,计算机在联网的时候文件能杀掉但是总杀总有,断网可以杀干净,属于局域网感染病毒,修复系统漏洞,对局域网计算机进行杀毒,杀干净再看。
3、断网情况下依然总杀总有,病毒可以杀掉但是反复回写,说明病毒主体没有查杀出来,不停的释放其他病毒文件,使用filemon工具,通过进程动作的监控,查出是哪个进程再不停的释放其他病毒文件,把病毒主体删除,如果这个操作无法自行操作,请联系杀毒软件的技术客服解决。
查杀病毒木马的正确步骤是什么?高手进!
1.进入安全模式
在计算机启动时,按F8键,会出现系统启动菜单,从中可选择进入安全模式。
2.将计算机与网络断开,防止黑客通过网络继续对你进行攻击。
3.显示所有文件和文件夹(包括隐含文件和系统保护文件)
4.禁用系统还原
右键“我的电脑”→系统属性→“在所有驱动器上关闭系统还原”前打上勾→应用(释放硬盘空间、该空间有可能受到病毒攻击)
5.删除病毒/木马程序的自启动项
打开注册表编辑器:开始→运行→输入:regedit→确定
查找自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夹下的三个子件夹
Run
RunOnce
Runservices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夹下的三个子件夹:
Run
RunOnce
打开系统配置实用程序:开始→运行→输入:msconfig→确定
(如果Windows2000无此文件,可运行共享文件夹中的msconfig.exe) Fom)
检查:win.ini、system.ini启动配置文件中的加载项
win.ini的[windows]字段中
run=
load=
一般情况下“=”后面是空白的,如果有后跟程序,如:
run=c:\windows\file.exe
load=c:\windows\file.exe
其中的file.exe很可能是病毒
system.ini的[boot]字段中
shell= explorer.exe file.exe
一般情况下“explorer.exe”后面是空白的,如果有后跟程序,如:
shell= explorer.exe file.exe
其中的file.exe很可能是病毒 4 )
system.ini的[386Enh]、[mic]、[drivers]、[drivers32]字段中
driver=“路径\程序名”
检查其它启动配置文件、初始化文件、系统配置文件中的加载项:
winint.ini:多用于安装
winstart.bat:由应用程序、Windows自动生成、Win.com加截多数驱动程序后产生,与Autoexec.bat功能相同。
autoexec.bat(一般为隐含属性,掌握对隐含属性文件的搜索)
config.sys(同上)
检查启动组:开始→程序→启动,其中的启动项内容。
对应注册表中的位置:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup
人工查杀步骤:先杀进程、再删除病毒文件、最后修复注册表。 j'fP#d%2T1注册表或进程表中发现了病毒,先在进程表中杀进程
打开任务管理器,找到病毒程序的进程,终止运行。
如果不能终止,可运行其它监视进程的工具软件进行终止。
如果仍然不能终止只能重启后进入安全模式,并断开与网络的连接。
在DOS窗口中删除病毒文件,也可在资源管理器中删除,但病毒可能会自行恢复。
重启后回到注册表搜索、删除全部病毒的残余信息,尤其是启动项中的信息。
如何杀病毒
木马(Trojan Horse),是从希腊神话里面的“特洛伊木马”得名的,希腊人在一只假装人祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内,等到夜里马腹内士兵与城外士兵里应外合,一举攻破了特洛伊城。而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的,但事实上是恶意的),是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件,修改注册表,控制鼠标,键盘,窃取信息等等。一旦中了木马,你的系统可能就会门户大开,毫无秘密可言。特洛伊木马与病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不"刻意"地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码,要使特洛伊木马传播,必须在计算机上有效地启用这些程序,例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。现在的木马一般主要以窃取用户相关信息为主要目的,相对病毒而言,我们可以简单地说,病毒破坏你的信息,而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。
计算机病毒
【病毒定义】
计算机病毒是一个程序,一段可执行码 ,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
【病毒特点】
计算机病毒具有以下几个特点:
(1) 寄生性
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2) 传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
(3) 潜伏性
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
(4) 隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
【表现症状】
计算机受到病毒感染后,会表现出不同的症状,下边把一些经常碰到的现象列出来,供用户参考。
(1) 机器不能正常启动
加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。
(2) 运行速度降低
如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
(3) 磁盘空间迅速变小
由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
(4) 文件内容和长度有所改变
一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。
(5) 经常出现“死机”现象
正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。如果机器经常死机,那可能是由于系统被病毒感染了。
(6) 外部设备工作异常
因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。
以上仅列出一些比较常见的病毒表现形式,肯定还会遇到一些其他的特殊现象,这就需要由用户自己判断了。
【病毒预防】
首先,在思想上重视,加强管理,止病毒的入侵。凡是从外来的软盘往机器中拷信息,都应该先对软盘进行查毒,若有病毒必须清除,这样可以保证计算机不被新的病毒传染。此外,由于病毒具有潜伏性,可能机器中还隐蔽着某些旧病毒,一旦时机成熟还将发作,所以,要经常对磁盘进行检查,若发现病毒就及时杀除。思想重视是基础,采取有效的查毒与消毒方法是技术保证。检查病毒与消除病毒目前通常有两种手段,一种是在计算机中加一块防病毒卡,另一种是使用防病毒软件工作原理基本一样,一般用防病毒软件的用户更多一些。切记要注意一点,预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
计算机病毒是在什么情况下出现的?
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的危弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
(3)微机的普及应用是计算机病毒产生的必要环境
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延, 到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
计算机病毒是如何分类的?
计算机病毒可以从不同的角度分类。若按其表现性质可分为良性的和恶性的。良性的危害性小, 不破坏系统和数据, 但大量占用系统开销, 将使机器无法正常工作,陷于瘫痪。如国内出现的圆点病毒就是良性的。恶性病毒可能会毁坏数据文件, 也可能使计算机停止工作。若按激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作, 而随机病毒一般不是由时钟来激活的。若按其入侵方式可分操作系统型病毒( 圆点病毒和大麻病毒是典型的操作系统病毒), 这种病毒具有很强的破坏力(用它自己的程序意图加入或取代部分操作系统进行工作), 可以导致整个系统的瘫痪;原码病毒, 在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序里, 完成这一工作的病毒程序一般是在语言处理程序或连接程序中;外壳病毒, 常附在主程序的首尾, 对源程序不作更改, 这种病毒较常见, 易于编写, 也易于发现, 一般测试可执行文件的大小即可知;入侵病毒, 侵入到主程序之中, 并替代主程序中部分不常用到的功能模块或堆栈区, 这种病毒一般是针对某些特定程序而编写的。若按其是否有传染性又可分为不可传染性和可传染性病毒。不可传染性病毒有可能比可传染性病毒更具有危险性和难以预防。若按传染方式可分磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒和一般应用程序传染的计算机病毒。若按其病毒攻击的机种分类, 攻击微型计算机的, 攻击小型机的, 攻击工作站的, 其中以攻击微型计算机的病毒为多, 世界上出现的病毒几乎90%是攻击IBM PC机及其兼容机。
计算机病毒的定义
一 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
二 计算机病毒的特点计算机病毒是人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。
三 病毒存在的必然性计算机的信息需要存取、复制、传送,病毒作为信息的一种形式可以随之繁殖、感染、破坏,而当病毒取得控制权之后,他们会主动寻找感染目标,使自身广为流传。
四 计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
五 计算机病毒的产生病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。病毒是人为的特制程序现在流行的病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.
六 计算机病毒分类根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类.
关于病毒
根据众多高手的见解,总结如下:
计算机病毒类似于生物病毒,它能把自身依附着在文件上或寄生在存储媒体里,能对计算机系统进行各种破坏;同时有独特的复制能力,能够自我复制;具有传染性可以很快地传播蔓延,当文件被复制或在网络中从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,但又常常难以根除。与生物病毒不同的是几乎所有的计算机病毒都是人为地制造出来的,是一段可执行代码,一个程序。一般定义为:计算机病毒是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合需要掌握c语言、卷标语法、即计算机能读懂的命令,和编程规则。
1.Elk Cloner(1982年)
它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。
2.Brain(1986年)
Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。
3.Morris(1988年)
Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
4.CIH(1998年)
CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。
5.Melissa(1999年)
Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。
6.Love bug(2000年)
Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。
7.“红色代码”(2001年)
被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。
8.“Nimda”(2001年)
尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。
9.“冲击波”(2003年)
冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。
10.“震荡波”(2004年)
震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。
11.“熊猫烧香”(2007年)
熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。
12.“扫荡波”(2008年)
同冲击波和震荡波一样,也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。
13.“Conficker”(2008年)
Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。
14.“木马下载器”(2009年)
本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)
15.“鬼影病毒”(2010年)
该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。
16 .“极虎病毒”(2010年)
该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况:计算机进程中莫名其妙的有ping.exe
瑞星
和rar.exe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件,杀毒软件和安全类软件会被自动关闭,如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改,无法使用杀毒软件进行清理,一旦清理,系统将无法打开和正常运行,同时基于计算机和网络的帐户信息可能会被盗,如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等
Backdoor,危害级别:1,
说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm,危害级别:2,
说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播
IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
MSN,危害级别:3,说明:通过MSN传播
QQ,危害级别:4,说明:通过OICQ传播
ICQ危害级别:5,说明:通过ICQ传播
P2P,危害级别:6,说明:通过P2P软件传播
IRC,危害级别:7,说明:通过ICR传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等)
PSW,危害级别:2,说明:具有窃取密码的行为
DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL
IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG,危害级别:5,说明:通过MSN传播即时消息
QQMSG,危害级别:6,说明:通过OICQ传播即时消息
ICQMSG,危害级别:7,说明:通过ICQ传播即时消息
UCMSG,危害级别:8,说明:通过UC传播即时消息
Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器
Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件:
事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
黑客工具
事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper
Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具
DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam,垃圾邮件
Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具
Binder,危害级别:无 ,说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
途径
计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种:
(1)通过软盘
通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘
硬盘
通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。
(3)通过光盘
因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。
(4)通过网络
这种传染扩散极快, 能在很短时间内传遍网络上的机器。
随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
传染
计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。
从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况;另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。
可见有条件时病毒能传染, 无条件时病毒也可以进行传染。
过程
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
可执行文件感染病毒后又怎样感染新的可执行文件?
可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;
(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的?
正常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
(3)转入Boot执行;
(4)Boot判断是否为系统盘, 如果不是系统盘则提示;
non-system disk or disk error
Replace and strike any key when ready
否则, 读入IBM BIO-COM和IBM DOS-COM两个隐含文件;
(5)执行IBM BIOCOM和IBM DOS-COM两个隐含文件, 将COMMAND-COM装入内存;
(6)系统正常运行, DOS启动成功。
如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:
(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;
(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象, 病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;
(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
操作系统型病毒在什么情况下对软、硬盘进行感染?
操作系统型病毒只有在系统引导时进入内存。如果一个软盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存, 也就不能活动。例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。
操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?
因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。
如果您还不懂,可以上百科查查!
电脑被入侵病毒了,开不了机了有什么解决办法没?
如果电脑中毒严重的话,就会导致电脑开不了机,遇到这样的问题该怎么来进行解决呢?针对电脑中毒无法开机这个问题, 整理了详细的一些解决步骤供大家参考解决。
方法一:最后一次正确的配置
1、 首先,长按电脑电源键,将电脑强制关机,然后重新开机
2、 在开机画面出现之前,按F8系统高级选项菜单,选择“最后一次正确的配置”,按回车键确定即可,试试可以不可以进入系统
3、 进入Windows系统之后,请第一时间进行全盘杀毒
方法二:安全模式杀毒
1、 如果系统正常情况下无法进入,那么再次重启电脑后,按F8进入启动界面,这次选择安全模式进入系统;
2、 进入安全模式Windows系统之后,把感染病毒的文件删掉,再使用安全杀毒工具全面清除杀毒;
3、 打开安全杀毒软件,点击杀毒,开始进行全盘查杀;
4、 等待病毒查杀结果出来后,点击立即处理病毒即可。
方法三:u盘pe重装系统!
如果连安全模式都进不去,那么只能通过制作U盘pe工具给电脑重装安装系统了。
不用杀毒软件怎么杀毒???
消毒可分为手工消毒和自动消毒两种方法。手工消毒方法使用DEBUG、PCTOOLS等简单工具,借助于对某种病毒的具体认识,从感染病毒的文件中,摘除病毒代码,使之康复。手工操作复杂、速度慢,风险大,需要熟练的技能和丰富的知识。自动消毒方法使用自动消毒软件自动清除患病文件中的病毒代码,使之康复。自动消毒方法,操作简单,效率高,风险小。当遇到被病毒感染的文件急需恢复而又找不到解毒软件或解毒软件无效时,才要用到手工修复的方法。从与病毒对抗的全局看,人们总是从手工消毒开始,获取消毒成功后,再研制相应的软件产品,使计算机自动地完成全部消毒操作。
手工修复很麻烦,而且容易出错,还要求对DEBUG的各个命令很熟悉。用清毒软件进行自动杀毒则较省事,一般按照菜单提示和联机帮助就可以工作了。程序自动清除的方法基本上是将手工操作加以编码,原理是一样的。但程序清毒时要附加许多功能:如用户界面,错误和例外情况检测和处理,磁盘目录搜索,联机帮助,内存中病毒的检测与清除,报告生成,对网络驱动器的支持,清病毒软件自身完整性(防病毒和防篡改)的保护措施以及对多种病毒的检测和清除能力等。如果自动方法和手工方法仍不奏效,消毒的最后一招就是对软盘或硬盘进行低级格式化。就算再厉害的病毒也跑不掉,但也要以软盘或硬盘上所有文件的丢失作为代价。