病毒常见问题解答.ppt

《病毒常见问题解答.ppt》由会员分享，可在线阅读，更多相关《病毒常见问题解答.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、病毒常见问题解答病毒常见问题解答现在学习的是第1页，共40页本章目标本章以问答的方式，将病毒的相关概念、特性、应付方本章以问答的方式，将病毒的相关概念、特性、应付方法等内容融合在一起，通过本讲的学习，学员可以对病毒有法等内容融合在一起，通过本讲的学习，学员可以对病毒有了更全面的认识。了更全面的认识。2现在学习的是第2页，共40页 所谓的杀病毒,就防毒软件而言有两种情况:一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案)，这就是所谓的清除一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在

2、特洛依木马,蠕虫之类的病毒，这种状况就是采取的隔离措施为什么有些病毒清除不了（非运行中），只能隔离而不能清除？3现在学习的是第3页，共40页发现病毒时，防毒软件通常可以采取的措施有：清除隔离删除重命名通过（即不做处置）如果客户怀疑自己的系统中感染了未知病毒，可以请他将可疑文件压缩成zip文件，并且在压缩时使用密码virus，然后发送至邮箱：virus_进行分析发现病毒时，防毒软件是怎么处理的？4现在学习的是第4页，共40页 清除不了病毒的文件可能有以下两种情况：该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施，因为文件中包含的只有病毒代码，不存在清除的问题

3、。病毒在感染文件时采取了一些特殊的方法，对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是，并不排除随着防病毒软件的改进而可以清除的可能。对于隔离区的清除不了病毒的文件，是否可以等到新的解药出来后，清除文件中的病毒就可以了？5现在学习的是第5页，共40页病毒码中包含的是病毒的具体特征，而扫描引擎就是使用这些特征对文件进行比对，以确定被扫描的文件是否为病毒。因此，理论上只要病毒码包含了相关病毒的特征，则该病毒即可被检测到。病毒码更新，扫描引擎不更新的话，会不会继续中病毒？6现在学习的是第6页，共40页 造成这个问题是以下原因：在Windows操作系统下运行的程序，其执行

4、的原始文件往往会处在一个受保护的状态，使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目，因此往往系统已启动木马已在系统中运行，造成防病毒软件无法对木马程序进行有效处理。为什么现在有很多木马程序杀不掉7现在学习的是第7页，共40页病毒的常见传播方式有：通过电子邮件通过网络共享通过点对点的文件共享软件以磁盘之类的介质各类病毒的传播方式？8现在学习的是第8页，共40页不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件，用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据，与通常的纯数据

5、文件并没有什么差别，其本身并不具备执行的能力，因此并不会被检测，相应的该文件也不会被采取一些自动的措施进行处理。对于病毒清除后的残余文件，是否会随着病毒清除后自动删除？9现在学习的是第9页，共40页 各防病毒厂商在对病毒的认定标准上存在一些细小的差异，导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说，如果一个程序在执行时需要客户认可其最终用户许可协议，趋势科技即不将其检测为病毒，而其他厂家则可能会检测该程序为病毒。为什么有时候有些防病毒软件认为一个文件是病毒，而有些防病毒软件却认为不是病毒？10现在学习的是第10页，共40页 由于系统文件是操作系统的一部分，建议客户使用原始的操作系

6、统安装盘恢复相应的文件。对于被隔离的病毒文件如果是系统文件的话，应该如何处理？11现在学习的是第11页，共40页修改系统时间确实可以阻止一些周期性发作的病毒的发作，但是并不是绝对可行。有些病毒由于其触发机制的复杂性，修改系统时间并不能完全阻止其发作。病毒发作有的有周期的，是否本机时间改掉就可以了？12现在学习的是第12页，共40页计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生于计算机与计算机之间。蠕虫、病毒的特征和区别？13现在学习的是第13页，共40页 要视病毒具体感染的文件类型而定，宏病毒通常会感染Word文档文件以及Excel

7、电子数据表文件；脚本病毒通常会感染网页类型文件；文件型病毒通常感染可执行程序，如exe文件。不同的病毒生成的文件是什么类型的14现在学习的是第14页，共40页 碰到这种情况，请记录相关的文件名称，并使用原始的操作系统安装盘进行相关文件的恢复 如果遇到病毒感染了系统文件怎么办？如果删除了或者杀死病毒造成系统不稳定，但不想重新装系统，怎么解决？15现在学习的是第15页，共40页病毒是否具有潜伏期要视病毒的具体触发条件而定，只有那些触发条件是使用特定时间的病毒才具有潜伏期。哪些病毒有潜伏期的？16现在学习的是第16页，共40页防病毒软件的作用是什么？清除从被感染文件中清除病毒代码。隔离加密无法清除的

8、文件并将它存放到某个特定的位置，以避免该文件中的病毒代码的运行。删除直接删除被感染的文件。17现在学习的是第17页，共40页如何设置防病毒软件中的处理方式？当载体文件被PE病毒、宏病毒或脚本病毒感染时，清除功能可以将病毒从被感染文件中除去。如果恶意程序的类型是蠕虫、特洛伊木马或后门程序时，由于这一类型的病毒本身就是一个病毒程序，不会感染其他文件，因此需要备份的情况下，请采取隔离的方式，否则直接删除即可。18现在学习的是第18页，共40页病毒会感染哪些文件？病毒只会感染程序文件或带有可执行代码的文件，任何支持可执行命令的文件格式都有可能被病毒感染。病毒不会感染纯粹的数据文件只会破坏它们。尽管病毒

9、能够成功的将指令插入这些文件中，它们相应的查看器或播放器只会将它们显示出来，而不会执行这些指令。19现在学习的是第19页，共40页计算机的 CMOS 会被感染吗?不会。不会。计计算机的系算机的系统统信息存在的区域一般是通信息存在的区域一般是通过输过输入入/输输出（出（I/OI/O）端口）端口进进行行访问访问的，不能被直接的，不能被直接访问访问。当然，。当然，恶恶意程序可意程序可以更改以更改CMOSCMOS中的数据，但不会通中的数据，但不会通过过其其传传播。播。任何任何隐隐藏在藏在CMOSCMOS中的病毒都会找机会去感染可中的病毒都会找机会去感染可执执行体，然后将行体，然后将写在写在CMOSCM

10、OS中的内容中的内容执执行起来。行起来。20现在学习的是第20页，共40页防病毒软件可能被病毒感染吗？是的，有这种可能性。防毒软件本身也是一种可能被病毒感染的可执行程序。因此，尽量使用可信的介质或防毒软件安装程序。21现在学习的是第21页，共40页我该使用多少种防毒软件？如果你只是一个家庭用如果你只是一个家庭用户户，并且与其他用，并且与其他用户户的文件的文件交交换频换频率比率比较较低的低的话话，使用一种防毒，使用一种防毒软软件就足件就足够够了。了。22现在学习的是第22页，共40页什么是“正在流行”（in-the-wild)的病毒？相对于某些已经被控制，只在实验室里才有的病毒而言，有些病毒是在

11、真实的系统中存在的、是在正在传播的。一般来说，一段已经被公布出来的病毒程序，但并没有真正的流行的话，我们不称其为“正在流行”（in the wild)病毒。23现在学习的是第23页，共40页什么叫companion病毒？companion病毒是指病毒并不修改被感染的文件，而是创建一个新的文件。当用户执行原先的程序时，病毒程序就会被调用。当病毒程序退出时，再执行原程序，给用户造成一种正常的假象。某些只检查现有文件的完整性（是否被改动）的防毒软件可能会检测不到这种病毒。24现在学习的是第24页，共40页什么是黑客程序？纯粹的黑客程序（也称远程访问木马程序）是一种客户机服务器式的程序，目的是破坏系统

12、的安全。通常，服务器端程序是被植入的，就象别的特洛伊木马程序一样，而且往往带有蠕虫的特点，更有利于其传播。服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。25现在学习的是第25页，共40页什么是分区表？软盘有分区表吗？分区扇区，又称主引导记录，是硬盘物理上的第一扇区(track 0,head 0,sector 1)。通常包含了分区表，硬盘的一些信息和一个小程序。分区表是一个64字节的数据结构，定义了计算机硬盘如何划分为多个逻辑硬盘。软盘没有分

13、区表。26现在学习的是第26页，共40页FDISK/MBR命令有什么作用？FDISK/MBR会清除主引导区记录。一般来说不一定会更改分区信息，但对普通用户而言，通常会造成严重后果。如果主引导区记录的最后两个字节不是55 AA的话，FDISK/MBR这条命令会删除分区表中的数据。如果你对分区表没有足够的认识的话，请不要轻易使用FDISK/MBR 命令，因为你会丢失数据。27现在学习的是第27页，共40页如何清除主引导区中的病毒？有两种方法：使用防毒软件或者运行FDISK/MBR命令。大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑运行FDISK/MBR。但

14、是除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行FDISK/MBR命令后，你有可能无法访问硬盘上的数据。28现在学习的是第28页，共40页重新格式化硬盘可以清除引导区病毒吗？不一定。格式化（FORMAT）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。29现在学习的是第29页，共40页引导型病毒可以感染非引导盘吗？可以。所有格式化过的磁盘都可以携带引导型病毒，因为任何正确格式化过的DOS磁盘在引导扇区内（可启动的或不可启动的）都有可执行

15、代码，导致可以被病毒感染。30现在学习的是第30页，共40页使用DIR命令会感染我的系统吗？使用DIR命令不会感染一个“干净的系统”，即使所浏览的目的磁盘上有病毒也没关系。但是如果你的计算机已经感染了病毒，该命令有可能使“干净”的磁盘感染上病毒。31现在学习的是第31页，共40页将文件的属性设为只读可以保护其不被病毒感染吗？一般来说，不会。只读属性只会防住少数病毒，大部分病毒还是会通过覆盖的方式感染文件的。因此，虽然将可执行文件的属性设为只读是个好主意（可以防止误操作）但从防病毒角度讲，没什么大用。32现在学习的是第32页，共40页写保护可以防止病毒感染吗？一般来说，可以。在IBM PC（和某

16、些兼容机）上的写保护装置可以很好的保护不受病毒的干扰。因为写保护是基于硬件的。而病毒只是一个程序，是软件，不可能违背一些通用的规则。如果启用了写保护的软盘在被感染病毒的系统里使用，它也不会被感染。33现在学习的是第33页，共40页DOS病毒会在Windows环境下工作吗？绝大多数的DOS病毒不能在Windows环境下运行，但是有一小部分可以（在限制的条件下）。总的来说，以Windows专用内存方式运行的系统要比纯DOS对病毒的抵抗性能要好。这是因为许多病毒与Windows的内存管理方式不兼容。进一步讲，大部分现存的病毒如果想要通过以前的方式来感染EXE文件的话，将会破坏这些Windows程序。

17、但是许多仅感染COM文件的病毒在Windows提供的虚拟DOS环境下就会很好的运行。34现在学习的是第34页，共40页什么是cavity病毒？cavity病毒是指病毒会覆盖目标文件中的某些部分（通常是空数值），通过这种方式将自己隐藏在目标文件中，而不增加文件的长度。35现在学习的是第35页，共40页在阅读电子邮件和浏览新闻组时会中毒吗？绝大多数情况下，恶意程序只有当其中的可执行代码被运行才会被激活。有些电子邮件程序会自动执行邮件中所带的可执行代码，例如JavaScript,Word宏语句等。在这种情况下，如果其中的代码是恶意的话，病毒就会感染系统，因此强烈建议禁用自动执行的特性。36现在学习的

18、是第36页，共40页如果我的MS Word关着还会感染Word宏病毒吗？关于各个程序的宏病毒只会在自身程序中才能被执行，因此如果Word程序关着，Word宏病毒是不会被执行起来的（别的相应的各个程序的宏病毒也是如此）。37现在学习的是第37页，共40页什么是CARO和EICAR？什么是EICAR测试文件？CARO(Computer Antivirus Research Organization)计算机防病毒研究组织是计算机防病毒领域的研究者，许多成员是来自防病毒厂商。EICAR(European Institute for Computer Antivirus Research)欧洲防病毒研究

19、协会是由学院，商业协会，媒体政府机构等一起组成的一个团体，主要成员有网络安全专家，法律专家等。这个组织致力于控制计算机病毒和计算机资源的滥用。同时也是EICAR测试文件的提供者。EICAR 测试文件是一个用来测试防毒软件的文件。使用该文件就可以不必使用真正的病毒来实验了。38现在学习的是第38页，共40页什么是实时扫描？实时扫实时扫描是防毒描是防毒软软件的一种件的一种处处理方法。当您理方法。当您访问访问任何一个文件任何一个文件的的时时候，候，这这些文件都会先被防毒些文件都会先被防毒软软件件扫扫描，描，这这种种扫扫描是基于后描是基于后台的，并不台的，并不为为用用户户所察所察觉觉，在，在这这种情况

20、下，任何种情况下，任何恶恶意程序在意程序在执执行或打开的行或打开的时时候，都会被事先候，都会被事先扫扫描到。描到。39现在学习的是第39页，共40页什么是完整性检查？完整性完整性检查检查会去会去检查检查一个文件的校一个文件的校验验和或者哈希和或者哈希值值，以此，以此来判来判别别文件是否被改文件是否被改动过动过。这这种技种技术术可以可以对对文件的任何改文件的任何改动动做出判断，不管是已知的或是做出判断，不管是已知的或是未知的病毒都可以适用，因未知的病毒都可以适用，因为这为这是通用的是通用的检查检查。另外，除了病。另外，除了病毒以外的毒以外的别别的任何改的任何改动动也可以被也可以被查查出来。通常情况下，可以出来。通常情况下，可以让让用用户户来判断哪种情况是有意的，哪种是由于病毒的原因造成的，来判断哪种情况是有意的，哪种是由于病毒的原因造成的，某些某些产产品提供了相关的帮助来品提供了相关的帮助来协协助用助用户户做相做相应应的判断。的判断。40现在学习的是第40页，共40页