第10章-病毒机理分析课件.ppt

《第10章-病毒机理分析课件.ppt》由会员分享，可在线阅读，更多相关《第10章-病毒机理分析课件.ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第10章章 病毒机理分析病毒机理分析2p本章概要本章概要本章将主要讨论病毒攻击与清除问题，主要讨论以下方面：本章将主要讨论病毒攻击与清除问题，主要讨论以下方面：p 病毒自启动技术；病毒自启动技术；p 病毒传播技术；病毒传播技术；p 可疑系统分析；可疑系统分析；p 可疑文件的查找；可疑文件的查找；p 受感染系统的清理。受感染系统的清理。3p课程目标课程目标通过本章的学习，读者应能够：通过本章的学习，读者应能够：了解病毒的工作原理；了解病毒的工作原理；掌握可疑文件的搜集方法；掌握可疑文件的搜集方法；对被感染的系统有清理的能力。对被感染的系统有清理的能力。410.1病毒传染机制病毒传染机制 通通常

2、常，病病毒毒的的行行为为会会经经历历这这样样一一些些步步骤骤：首首先先，通通过过一一定定的的传传播播渠渠道道进进入入目目标标系系统统；其其次次，修修改改系系统统设设定定，以以帮帮助助自自身身在在系系统统启启动动时时执执行行；最最后后，执执行行自自身身设设定定的的功功能能，如如发发起起自自身身的的传传播播、感感染染文文件件、发发起起ddos攻攻击击等等。下下面面针针对对病病毒毒在在这这个个过过程程中中所所采采用用的的一一些手段进行讨论。些手段进行讨论。作作为为病病毒毒或或恶恶意意程程序序，如如果果要要感感染染一一个个系系统统，必必定定需需要要通通过过一一定定的的传传播播渠渠道道进进入入系系统统，

3、以以最最终终完完成成传传播播的的目目的的。通通常常病病毒毒有有以以下几种传播渠道：下几种传播渠道：l 电子邮件电子邮件l 网络共享网络共享l P2P共享软件共享软件l 即时通信软件即时通信软件l 系统中程序的漏洞缺陷系统中程序的漏洞缺陷510.1.1 10.1.1 电子邮件传播方式电子邮件传播方式 电电子子邮邮件件作作为为一一种种相相当当便便利利的的信信息息通通信信手手段段在在现现代代社社会会中中被被广广泛泛使使用用。病病毒毒可可以以使使用用电电子子邮邮件件的的快快捷捷传传播播特特性性作作为为传传播播渠渠道道，html格格式式的的信信件件正正文文可可以以嵌嵌入入病病毒毒脚脚本本。而而邮邮件件附

4、附件件更更是是可可以以附附带带各各种种不不同同类类型型的的病病毒毒文文件件。虽虽然然在在原原理理和和传传播播方方法法上上并并无无特特别别，但但该该类类型型使使用用电电子子邮邮件件作作为为传传播播手手段段的的病病毒毒在在传传播播时时往往往往会会造造成成可可见见的的危危害害和和现现象象。通通常常会会造造成成系系统统运运行行速速度度的的缓缓慢慢，网网络络运运行行受受到到影影响响(网网络络中中产产生生大大量量病病毒毒生生成成的的邮邮件件)。由由于于很很多多病病毒毒运运用用了了社社会会工工程程学学，发发信信人人的的地地址址也也许许是是熟熟识识的的，邮邮件件的的内内容容带带有有欺欺骗骗性性、诱诱惑惑性性，

5、意意识识不强的用户往往会轻信而运行邮件的带毒附件并形成感染。不强的用户往往会轻信而运行邮件的带毒附件并形成感染。6 部部分分蠕蠕虫虫的的病病毒毒邮邮件件还还能能利利用用IEIE漏漏洞洞，可可使使用用户户在在没没有有打打开开附附件件的的情情况况下下感感染染病病毒毒。此此类类病病毒毒的的代代表表有有WORM_NETSKYWORM_NETSKY、WORM_BAGLEWORM_BAGLE、WORM_MYDOOMWORM_MYDOOM系系列列等等。以以下下以以WORM_mYDOOM.AWORM_mYDOOM.A为为例说明病毒通过电子邮件传播的过程。例说明病毒通过电子邮件传播的过程。WORM_MYDOOM

6、.AWORM_MYDOOM.A发发送送的的邮邮件件所所使使用用的的地地址址为为从从被被感感染染的的系系统中收集，收集的来源有两种：统中收集，收集的来源有两种：a.a.从默认的从默认的WindowsWindows地址簿地址簿(WAB)(WAB)中收集邮件地址；中收集邮件地址；b.从从WAB，ADB，TBB，DBX,ASP，PHP，SHT，HTM，TXT等类型的文件中收集邮件地址。等类型的文件中收集邮件地址。7 病病毒毒发发送送邮邮件件使使用用自自身身的的SMTPSMTP引引擎擎，而而所所使使用用的的SMTPSMTP服服务务器器名名称称系系从从收收集集到到电电子子邮邮件件地地址址中中提提取取。例例

7、如如收收集集到到的的邮邮件件地地址址为为。WORM_MYDOOM.AWORM_MYDOOM.A会会从从该该邮邮件件地地址址中中提提取取出出域域名名的的部部分分，然然后后加加上上一一些些前前缀缀(如如mx.mx.，mail.mail.，smtp.smtp.，mxl.mxl.，mxs.mxs.，maill.maill.，relay.relay.，us.us.，gate.gate.等等)尝尝试试作为邮件的发送服务器地址。作为邮件的发送服务器地址。除除了了以以上上方方法法外外，获获得得用用来来发发送送邮邮件件的的SMTPSMTP服服务务器器的的方方法法还还有有多多种种，例例如如，通通过过使使用用获获得

8、得的的电电子子邮邮件件地地址址进进行行DNSDNS查查询的方式等。询的方式等。8 当当然然，病病毒毒仅仅仅仅通通过过电电子子邮邮件件将将自自身身发发送送出出去去是是远远远远不不够够的的，病病毒毒伴伴随随着着邮邮件件到到了了目目标标系系统统之之后后只只有有被被执执行行，才才能能真真正正实实现现对对目目标标系系统统的的感感染染。正正如如前前述述，病病毒毒发发送送的的邮邮件件或或者者使使用用邮邮件件客客户户端端的的漏漏洞洞，自自动动执执行行发发送送到到目目标标系系统统的的邮邮件件中中的的自自身身副副本本；或或者者使使用用社社会会工工程程学学的的手手法法，诱诱使使收收到到病病居居始始挠挠没没行行执执行

9、行邮邮件件中中的的附附件件。WORM_MYDOOM.A正正是是利利用用了了社社会会工工程程学学的的手手法法，将将自自身身伪伪装装为为无无法法正正常常发发送送的的邮件，以吸引用户打开邮件中的附件，邮件，以吸引用户打开邮件中的附件，如下页图如下页图10.1所示。所示。9 同同时时，为为了了让让收收到到邮邮件件的的用用户户进进一一步步确确信信打打开开附附件件是是安安全全的的，附附件件使使用用了了文文本本文文件件的的图图标标进进行行了了伪伪装装，如如下下页页图图10.210.2所示所示。图10.1 通过电子邮件附件传播病毒10图10.2 利用文本文件图标伪装11防范措施：防范措施：这种病毒基本上可以通

10、过技术手段解决：这种病毒基本上可以通过技术手段解决：使用网络邮件防毒网关，如趋势的使用网络邮件防毒网关，如趋势的IMSS对邮件附件进行过滤；对邮件附件进行过滤；在在现现有有的的Exchange或或是是Domino服服务务器器上上安安装装邮邮件件防防毒毒产产品品，如如趋势科技的趋势科技的Scanmail；在客户端在客户端(主要是主要是Outlook)限制访问附件中的特定扩展名的文件。限制访问附件中的特定扩展名的文件。可以被设置阻止运行的附件类型包括：可以被设置阻止运行的附件类型包括：.adeMicrosoftAccess项目扩展名；项目扩展名；.adpMicrosoftAccess项目；项目；1

11、2.basMicrosoftVisualBasic类模块；类模块；.bat批处理文件；批处理文件；.chm已编译的已编译的HTML帮助文件；帮助文件；.cmdMicrosoftWindowsNT命令脚本；命令脚本；.comMicrosoftMSDOS程序；程序；.cpl控制面板扩展名；控制面板扩展名；.crt安全证书；安全证书；.exe可执行文件；可执行文件；.hlp帮助文件；帮助文件；.htaHTML程序；程序；13.inf安装信息；安装信息；.insInternet命名服务；命名服务；.ispInternet通讯设置；通讯设置；.jsJavascript文件；文件；.jseJavascri

12、pt编码脚本文件；编码脚本文件；.lnk快捷方式；快捷方式；.mdbMicrosoftAccess程序；程序；.mdeMicrosoftAccessMDE数据库；数据库；.mscMicrosoft通用控制台文档；通用控制台文档；.msiMicrosoftWindows安装程序包；安装程序包；14.mspMicrosoftWindows安装程序补丁；安装程序补丁；.mstMicrosoftVisualTest源文件；源文件；.pcd照片照片CD图像，图像，MicrosoftVisual编译脚本；编译脚本；.pifMSDOS程序的快捷方式；程序的快捷方式；.reg注册表项；注册表项；.scr屏幕保

13、护程序；屏幕保护程序；.sctWindows脚本组件；脚本组件；.ShbShell碎片对象；碎片对象；.shsShell碎片对象；碎片对象；.urlInternet快捷方式；快捷方式；.vbsVBScript文件。文件。1510.1.2网络共享传播方式网络共享传播方式 病病毒毒通通过过网网络络共共享享进进行行传传播播，主主要要是是通通过过搜搜索索局局域域网网中中所所有有具具有有写写权权限限的的网网络络共共享享，然然后后将将自自身身进进行行复复制制进进行行传传播播。更更进进一一步步，病病毒毒还还可可自自带带口口令令猜猜测测的的字字典典来来破破解解薄薄弱弱用用户户口口令令，尤尤其其是是薄薄弱弱管管

14、理理员员口口令令。对对于于采采用用这这种种方方式式传传播播的的病病毒毒，需需要要技术和管理手段并行的方式进行。技术和管理手段并行的方式进行。防范措施：防范措施：l 对对于于支支持持域域的的内内部部网网来来说说，需需要要在在域域控控制制器器的的域域安安全全策策略略上上增增加加口口令令强强度度策策略略，至至少少需需要要保保证证长长度度最最小小值值为为6，并并开开启启密密码码复杂度要求。开启密码过期策略对防护此种攻击作用不大。复杂度要求。开启密码过期策略对防护此种攻击作用不大。16定定期期对对网网络络中中的的登登录录口口令令进进行行破破解解尝尝试试，可可以以使使用用一一些些免免费费工工具具进进行行检

15、检查查，发发现现可可能能存存在在的的弱弱口口令令。存存在在弱弱口口令令的的主主机机必必须及时通知使用者修改，未及时关闭者将限制网络访问。须及时通知使用者修改，未及时关闭者将限制网络访问。使使用用共共享享扫扫描描工工具具定定期期扫扫描描开开放放共共享享，发发现现开开放放共共享享的的主主机机必必须及时通知使用者关闭，未及时关闭者将限制网络访问。须及时通知使用者关闭，未及时关闭者将限制网络访问。1710.1.3系统漏洞传播方式系统漏洞传播方式 系系统统漏漏洞洞是是操操作作系系统统的的一一些些缺缺陷陷，这这些些缺缺陷陷可可以以导导致致一一个个恶恶意意用用户户通通过过精精心心设设计计，利利用用该该漏漏洞

16、洞执执行行任任意意的的代代码码。此此类类病病毒毒就就是是通通过过这这种种方方式式对对某某个个存存在在漏漏洞洞的的操操作作系系统统进进行行漏漏洞的利用，达到传播的目的。洞的利用，达到传播的目的。防范措施：防范措施：l强强 制制 要要 求求 配配 置置 WindowsUpdate自自 动动 升升 级级（仅仅 对对Windows2000/XP、且且能能够够与与互互联联网网联联通通的的系系统统有有效效），无无互互联联网网连连接接的的网网络络可可以以考考虑虑安安装装使使用用微微软软的的sus服服务务器器进进行行补补丁程序的更新。丁程序的更新。18定定期期通通过过漏漏洞洞扫扫描描产产品品查查找找存存在在漏

17、漏洞洞的的主主机机(可可能能存存在在部部分分漏漏洞洞无无法法通通过过扫扫描描的的方方式式进进行行确确定定)，对对发发现现存存在在漏漏洞洞的的用用户户，要要求强制升级。求强制升级。当当安安全全服服务务商商紧紧急急公公告告发发布布时时(通通常常是是严严重重漏漏洞洞)，及及时时向向内内部部人人员员发发布布安安全全通通知知，告告知知处处置置方方法法。使使用用域域环环境境的的网网络络，可可以以在在域域控控制制器器上上设设置置自自动动登登录录脚脚本本，当当用用户户登登录录时时，强强制制安安装装安全补丁后重新启动，以帮助非技术用户尽快安装补丁。安全补丁后重新启动，以帮助非技术用户尽快安装补丁。1910.1.

18、4P2P共享软件传播方式共享软件传播方式 P2P软件的出现，使得处于互联网不同位置的人员，进行软件的出现，使得处于互联网不同位置的人员，进行文件的共享成为可能。常见的文件的共享成为可能。常见的P2P文件共享客户端通常都会设文件共享客户端通常都会设置一个本地的文件夹放置共享的文件，由该置一个本地的文件夹放置共享的文件，由该P2P文件共享软件文件共享软件共享出去。使用传播此种手段的病毒，往往在生成自身拷贝时共享出去。使用传播此种手段的病毒，往往在生成自身拷贝时使用一些吸引人或是容易被人搜索到的名称，以获得被他人下使用一些吸引人或是容易被人搜索到的名称，以获得被他人下载的机会。例如载的机会。例如WO

19、RM_MYDOOM.A生成如下的文件名称就生成如下的文件名称就很具有欺骗性：很具有欺骗性：nuke2004，office_crack，rootkitXP，strip-girl-2.0bdcom_patchers，activation_crack，icq2004-final，winamp5。防范措施：防范措施：建议企业使用技术手段，在防火墙上设置禁止建议企业使用技术手段，在防火墙上设置禁止P2P软件的使用。软件的使用。2010.1.5即时通信软件传播方式即时通信软件传播方式目目前前被被广广泛泛使使用用的的即即时时通通信信软软件件，无无疑疑大大大大地地提提高高了了人人与与人人之之间间交交流流的的便

20、便捷捷性性，而而多多数数的的即即时时通通信信软软件件都都带带有有文文件件的的传传输输功功能能，导导致致病病毒毒可可以以利利用用这这一一功功能能，将将自自身身快快速速地地在在即即时时通通信信软软件件之之间间快快速速传传送送。当当然然伴伴随随着着文文件件的的发发送送，可可能能病病毒毒也也会会同同时时发发送送一一些些欺欺骗骗性性的的文文字字，使使得得接接收收方方确确信信是是发发送送方方发发送送的的文文件件，从从而而接接收收并并打打什什。以以WORM_BROPIA.F为为例例，在接收方接收文件后，在接收方接收文件后，显示的窗口如下页图显示的窗口如下页图10.3所示所示。21防范措施：防范措施：建建议议

21、企企业业使使用用技技术术手手段段，在在防防火火墙墙的的设设置置中中，对对企企业业内内部部所所使使用用的的即即时时通通信信软软件件的的一一些些端端口口进进行行阻阻挡挡，以以禁禁止止此此类类即即时时通通信软件的文件传送功能。信软件的文件传送功能。图10.3即时通讯软件传播病毒2210.2病毒触发机制病毒触发机制 病病毒毒触触发发的的可可触触发发性性是是病病毒毒的的攻攻击击性性和和潜潜伏伏性性之之间间的的调调整整杠杠杆杆，可可以以控控制制病病毒毒感感染染和和破破坏坏的的频频度度，兼兼顾顾杀杀伤伤力力和和潜潜伏性。伏性。过过于于苛苛刻刻的的触触发发条条件件，可可能能使使病病毒毒有有好好的的潜潜伏伏性性

22、，但但不不易易传传播播，只只具具低低杀杀伤伤力力。而而过过于于宽宽松松的的触触发发条条件件将将导导致致病病毒毒频频繁繁感感染染与与破破坏坏，容容易易暴暴露露，导导致致用用户户做做反反病病毒毒处处理理，也也不不能能有有大大的的杀杀伤伤力力。计计算算机机病病毒毒在在传传染染和和发发作作之之前前，往往往往要要判判断断某某些些特特定定条条件件是是否否满满足足，满满足足则则传传染染或或发发作作，否否则则不不传传染染或或不不发发作作，这这个个条条件件就就是是计计算算机机病病毒毒的的触触发发条条件件。实实际际上上病病毒毒采采用用的的触触发发条条件件花花样样繁繁多多，从从中中可可以以看看出出病病毒毒作作者者对

23、对系系统统的了解程度及其丰富的想像力和创造力。的了解程度及其丰富的想像力和创造力。23 目前病毒采用的触发条件主要有以下几种：目前病毒采用的触发条件主要有以下几种：(1)日日期期触触发发：许许多多病病毒毒采采用用日日期期作作为为触触发发条条件件。日日期期触触发发大大体体包括：特定日期触发、月份触发、前半年后半年触发等。包括：特定日期触发、月份触发、前半年后半年触发等。(2)时时间间触触发发：时时间间触触发发包包括括特特定定的的时时间间触触发发、染染毒毒后后累累计计工工作作时间触发、文件最后写入时间触发等。时间触发、文件最后写入时间触发等。(3)键键盘盘触触发发：有有些些病病毒毒监监视视用用户户

24、的的击击键键动动作作，当当病病毒毒预预定定的的键键被击时、病毒被激活，进行某些特定操作。被击时、病毒被激活，进行某些特定操作。(4)感感染染触触发发：大大部部分分病病毒毒感感染染需需要要触触发发条条件件，而而相相当当数数量量的的病病毒毒又又以以与与感感染染有有关关的的信信息息反反过过来来作作为为破破坏坏行行为为的的触触发发条条件件，称称为为感感染染触触发发。它它包包括括：运运行行感感染染文文件件个个数数触触发发、感感染染序序数数触发、感染磁盘数触发、感染失败触发等。触发、感染磁盘数触发、感染失败触发等。24(5)启启动动触触发发：病病毒毒对对机机器器的的启启动动次次数数计计数数，并并将将此此值

25、值作作为为触触发发条件称为启动触发。条件称为启动触发。(6)访访问问磁磁盘盘次次数数触触发发：病病毒毒对对磁磁盘盘I/O访访问问的的次次数数进进行行计计数数，以以预定次数作为触发条件。预定次数作为触发条件。(7)调调用用中中断断功功能能触触发发：病病毒毒对对中中断断调调用用次次数数计计数数，以以预预定定次次数数作为触发条件。作为触发条件。(8)CPU型型号号/主主板板型型号号触触发发：病病毒毒能能识识别别运运行行环环境境的的CPU型型号号/主主板板型型号号，以以预预定定CPU型型号号/主主板板型型号号作作为为触触发发条条件件，这这种种病病毒毒的的触触发发方方式式奇奇特特罕罕见见。被被计计算算机

26、机病病毒毒使使用用的的触触发发条条件件是是多多种种多多样样的的，而而且且往往往往不不只只是是使使用用上上面面所所述述的的某某一一个个条条件件，而而是使用由多个条件组合起来的触发条件。是使用由多个条件组合起来的触发条件。25 在在病病毒毒完完成成了了自自身身的的传传播播行行为为后后，如如果果不不能能保保证证自自身身在在下下一一次次的的系系统统启启动动时时被被再再次次执执行行，那那病病毒毒的的生生命命期期就就会会大大大大缩缩短短。因因此此病病毒毒会会利利用用系系统统中中一一些些可可以以用用以以自自动动执执行行程程序序的的设设定定以以保保证证自自身身可可以以被被自自动动执执行行。通通常常病病毒毒通通

27、过过以以下下几几种种方方式保证自身的启动：式保证自身的启动：修改系统注册表；修改系统注册表；修改系统配置文件；修改系统配置文件；添加自身为系统服务；添加自身为系统服务；系统启动文件夹；系统启动文件夹；其他方式。其他方式。以下依据病毒使用各种不同的自启动方式进行讨论以下依据病毒使用各种不同的自启动方式进行讨论2610.2.1只通过修改系统注册表自启动只通过修改系统注册表自启动 在在Windows的的注注册册表表中中，所所有有的的数数据据都都是是通通过过一一种种树树状状结结构构以以根根键键和和子子键键的的方方式式组组织织起起来来，就就像像磁磁盘盘文文件件系系统统的的目目录录结结构构一一样样。每每个

28、个键键都都包包含含了了一一组组特特定定的的信信息息，每每个个键键的的键键名名都都是是和和它它所所包包含含的的信信息息相相关关联联的的。以以下下简简述述了了注注册册表表最最顶顶层的五个根键所代表的含义：层的五个根键所代表的含义：lHKEY_CLASSES_ROOT管管理理文文件件系系统统。根根据据在在Windows中中安安装装的的应应用用程程序序的的扩扩展展名名，该该根根键键指指明明其其文文件件类类型型的的名名称称，相应打开该文件所要调用的程序等信息。相应打开该文件所要调用的程序等信息。lHKEY_CURRENT_USER管管理理系系统统当当前前的的用用户户信信息息。在在这这个个根根键键中中保保

29、存存了了本本地地计计算算机机中中存存放放的的当当前前登登录录的的用用户户信信息息，包包括括用用户户登登录录用用户户名名和和暂暂存存的的密密码码。在在用用户户登登录录Windows时时，其其 信信 息息 从从 HKEY_USERS中中 相相 应应 的的 项项 复复 制制 到到HKEY_CURRENT_USER中。中。27lHKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE管管理理当当前前系系统统硬硬件件配配置置。在在这这个个根根键键中中保保存存了了本本地地计计算算机机硬硬件件配配置置数数据据，此此根根键键下下的的子子关关键键字字包包括括在在SYSTEM.DATSYSTEM.

30、DAT中中，用用来来提提供供HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE所所需需的的信信息息，或或者者在在远远程程计计算算机机中中可可访访问问的的一一组组键键中中。这这个个根根键键里里面面的的许许多子键与多子键与System.iniSystem.ini文件中设置项类似。文件中设置项类似。lHKEY_USERSHKEY_USERS管管理理系系统统的的用用户户信信息息。在在这这个个根根键键中中保保存存了了存存放放在在本本地地计计算算机机口口令令列列表表中中的的用用户户标标识识和和密密码码列列表表。同同时时每每个个用用户户的的预预配配置置信信息息都都存存储储在在HKEY_

31、USERSHKEY_USERS根根键键中中。HKEY_USERSHKEY_USERS是远程计算机中访问的根键之一。是远程计算机中访问的根键之一。28lHKEY_CURRENT_CONFIG管管理理当当前前用用户户的的系系统统配配置置。在在这这个个根根键键中中保保存存着着定定义义当当前前用用户户桌桌面面配配置置(如如显显示示器器等等等等)的的数数据据，该该用用户户使使用用过过的的文文档档列列表表(MRU)；应应用用程程序序配配置置和和其其他有关当前用户的信息，他有关当前用户的信息，p系统注册表应用系统注册表应用 通通常常，一一个个病病毒毒在在感感染染系系统统时时，通通过过改改变变注注册册表表的的

32、自自启启运运键键值值，即即在在以以下下的的注注册册表表键键值值中中添添加加自自身身的的程程序序项项目目，以以保证自身在系统启动时执行起来：保证自身在系统启动时执行起来：29以以WORM_MYDOOM.A为为例例说说明明，该该病病毒毒会会生生成成以以下下的的注注册册表项目以保证自己的执行：表项目以保证自己的执行：而而WORM_AGOBOT.A则会生成以下注册表键值：则会生成以下注册表键值：30 另另外外，对对于于Windows系系统统来来说说，注注册册表表中中还还记记录录了了特特定定类类型型文文件件打打开开时时的的默默认认关关联联方方式式，某某些些病病毒毒会会通通过过修修改改这这一一关关联联方方

33、式式，使使得得用用户户在在打打开开某某种种类类型型的的文文件件时时，病病毒毒程程序序反反而被执行起来。例如：而被执行起来。例如：31 这这些些“1 1*”需需要要被被赋赋值值，如如果果将将其其改改为为“server.exeserver.exe1 1*”，server.exeserver.exe将将在在执执行行相相关关类类型型的的文文件件时时被被执执行行，理理论论上上可可以以更更改改任任意意类类型型的的文文件件类类型型，使使之之被被访访问问时时同同时时执执行行其其他他程程序序。使使用用这这种种方方式式的的典典型型病病毒毒有有WORM_LOVGATE.FWORM_LOVGATE.F，该该病病毒修改

34、了如下文件的关联方式：毒修改了如下文件的关联方式：所所以以每每当当用用户户双双击击打打开开一一个个文文本本文文件件时时，WORM_LOVGATE.FWORM_LOVGATE.F都都会被执行起来。会被执行起来。3210.2.2 通过修改系统配置文件自启动通过修改系统配置文件自启动 在在WindowsWindows中中包包含含了了两两个个遗遗留留自自Windows3.1Windows3.1时时代代的的系系统统配配置置文文：windows.iniwindows.ini和和system.inisystem.ini。这这两两个个文文件件中中也也可可以以输输入入一些自启动信息，简单说明如下：一些自启动信息

35、，简单说明如下：这两个变量用于自动启动程序。这两个变量用于自动启动程序。ShellShell变量指出了要在系统启动时执行的程序列表。变量指出了要在系统启动时执行的程序列表。一一般般情情况况下下，上上述述的的变变量量在在默默认认情情况况下下是是不不存存在在于于这这两两个个文文件件中的。中的。3310.2.3 10.2.3 通过系统启动文件夹自启动通过系统启动文件夹自启动 在在WindowsWindows系系统统中中，系系统统启启动动文文件件夹夹的的位位置置可可以以通通过过如如下下注注册册表键获得：表键获得：可可以以在在该该文文件件夹夹中中放放人人欲欲执执行行的的程程序序，或或直直接接修修改改其其

36、值值指指向向放放置要执行的程序的路径。置要执行的程序的路径。3410.3 可疑系统诊断可疑系统诊断3510.3.1判断可疑系统的常用方法判断可疑系统的常用方法 通常对一个怀疑有病毒的系统检查从以下几个方面着手：通常对一个怀疑有病毒的系统检查从以下几个方面着手：l 用户账号用户账号l 网络共享网络共享l 安全设定安全设定l 漏洞扫描漏洞扫描p用户账号的检查用户账号的检查 确确认认所所有有用用户户账账号号都都使使用用复复杂杂的的密密码码，以以避避免免管管理理员员账账号号被被病毒使用字典攻击的手法攻破，一般的口令设定建议如下：病毒使用字典攻击的手法攻破，一般的口令设定建议如下：l 长度至少为长度至少

37、为8位；位；l 数字和字母混排；数字和字母混排；l 至少有一个特殊字符。至少有一个特殊字符。p网络共享的检查网络共享的检查 检检查查整整个个局局域域网网中中的的网网络络共共享享都都设设置置了了相相应应的的权权限限，不不存存在在完完全全开开放放写写权权限限的的网网络络共共享享。以以有有效效的的阻阻断断病病毒毒通通过过网网络共享传播的方式络共享传播的方式p安全设定的检查安全设定的检查 查查看看重重要要系系统统是是否否安安装装了了合合适适的的防防病病毒毒软软件件，而而且且是是否否正确配置并经常更新。确保系统受到妥善的保护正确配置并经常更新。确保系统受到妥善的保护p漏洞扫描漏洞扫描 对对整整个个网网络

38、络环环境境实实施施漏漏洞洞扫扫描描，查查看看网网络络环环境境中中可可能能存存在的漏洞环节，以有效的阻断病毒通过漏洞传播的方式。在的漏洞环节，以有效的阻断病毒通过漏洞传播的方式。3710.3.2收集可疑系统的常用方法收集可疑系统的常用方法趋趋势势科科技技提提供供了了一一个个可可以以全全面面收收集集系系统统信信息息，以以更更快快速速的的查查找找可可疑疑的的样样本本工工具具：sic，该该工工具具为为一一个个命命令令行行工工具具，以以下下以以该该工具为例进行简单的讨论。工具为例进行简单的讨论。该该工工具具的的全全称称为为SystemInformationCollectTool，使使用用方方法法相相当当

39、简简单单，只只要要在在命命令令行行下下输输入入sica命命令令，就就会会生生成成一一个个名名为为siclog.txt的的文文件件，该该文文件件包包含含了了系系统统中中绝绝大大多多数数系系统统中中病病毒毒可可能能利利用用的的设设定定以以便便于于诊诊断断。程程序序执执行行后后显显示示的的界界面面如如下下页页图图10.4所示所示。一一般般情情况况下下，可可以以根根据据生生成成的的日日志志siclog.tXtsiclog.tXt中中的的以以下下项目项目(见下页图见下页图10.510.5)，判定是否存在可疑文件。，判定是否存在可疑文件。图10.4 系统信息收集工具执行展示 图10.5 日志文件中的可疑项

40、目从从图图中中显显示示，该该系系统统的的注注册册表表自自启启动动项项目目下下存存在在相相当当多多的的可可疑疑项目，这些值都可以被判定为可疑文件。项目，这些值都可以被判定为可疑文件。4010.4 被感染系统的清理被感染系统的清理 在在确确定定了了病病毒毒文文件件名名称称后后，通通常常可可以以使使用用以以下下的的方方法法进进行感染系统的清理。行感染系统的清理。p终止恶意程序终止恶意程序 简简单单地地说说，在在这这一一步步中中，就就是是终终止止正正在在内内存存中中运运行行的的恶恶意程序进程，具体操作步骤如下：意程序进程，具体操作步骤如下：(1)(1)打打开开WindowsWindows任任务务管管理

41、理器器(在在Windows95/98/MEWindows95/98/ME系系统统中中，按按CtrlCtrlAltAltDeleteDelete；在在WindowsNT/2000/XPWindowsNT/2000/XP系系统统中中，按按CtrlCtrlShiftShiftEscEsc，然后点击进程选项卡，然后点击进程选项卡)；(2)(2)在运行程序列表中，找到进程：在运行程序列表中，找到进程：SMAZ.exeSMAZ.exe；（3）选选择择恶恶意意程程序序进进程程，然然后后点点击击结结束束任任务务或或结结束束进进程程按钮按钮(取决于取决于Windows的版本的版本)；()为为了了检检查查恶恶意意

42、程程序序是是否否被被终终止止，关关掉掉任任务务管管理理器器，然然后再打开；后再打开；（5）关掉任务管理器。）关掉任务管理器。注注意意：在在运运行行Windows95/98/ME的的系系统统中中，任任务务管管理理器器可可能能不不会会显显示示某某一一进进程程。可可以以使使用用其其他他进进程程查查看看器器来来终终止止恶恶意程序进程。否则，继续进行下面的步骤，注意附加说明。意程序进程。否则，继续进行下面的步骤，注意附加说明。p 删除注册表中的自启动项目删除注册表中的自启动项目 在在注注册册表表中中删删除除注注册册表表中中自自动动运运行行项项目目来来阻阻止止恶恶意意程程序序在启动时执行：在启动时执行：(

43、1)点点击击开开始始运运行行，输输入入REGEDIT，按按Enter，打打开开注注册表编辑器；册表编辑器；(2)在在注注册册表表编编辑辑器器中中查查找找并并搜搜索索包包含含可可疑疑文文件件的的项项目目，进行清理：进行清理：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVeCurrentVersionrsionRunRun；(3)关闭注册表编辑器。关闭注册表编辑器。注注意意：如如果果不不能能按按照照上上述述步步骤骤终终止止在在内内存存中中运运行行的的恶恶意意进程，请重启系统。进程，请重启系统。p删除恶意程序生成文件删除恶意程序生成文件 这一步可删除恶意程序生成的文件：这一步可删除恶意程序生成的文件：(1)(1)点点击击开开始始运运行行。输输入入ExplorerExplorer，按按EnterEnter，打打开开WindowsWindows资源管理器；资源管理器；(2)(2)搜索之前被判定为病毒的文件；搜索之前被判定为病毒的文件；(3)(3)将所有找到的文件删除；将所有找到的文件删除；(4)(4)关闭关闭WindowsWindows资源管理器。资源管理器。第第10章章结结束束！