十七點學完安全知識超級詳細瞭解程式和病毒知識(轉)

ba發表於2007-08-12
十七點學完安全知識超級詳細瞭解程式和病毒知識(轉)[@more@]第一:程式是什麼

  程式為應用程式的執行例項,是應用程式的一次動態執行。看似高深,我們可以簡單地理解為:它是作業系統當前執行的執行程式。在系統當前執行的執行程式裡包括:系統管理計算機個體和完成各種操作所必需的程式;使用者開啟、執行的額外程式,當然也包括使用者不知道,而自動執行的非法程式(它們就有可能是病毒程式)。
  危害較大的可執行病毒同樣以“程式”形式出現在系統內部(一些病毒可能並不被程式列表顯示,如“宏病毒”),那麼及時檢視並準確殺掉非法程式對於手工防毒有起著關鍵性的作用。

第二:什麼是木馬

  木馬病毒源自古希臘特洛伊戰爭中著名的“木馬計”而得名,顧名思義就是一種偽裝潛伏的網路病毒,等待時機成熟就出來害人。
  傳染方式:透過電子郵件附件發出,捆綁在其他的程式中。
  病毒特性:會修改登錄檔、駐留記憶體、在系統中安裝後門程式、開機載入附帶的木馬。
  木馬病毒的破壞性:木馬病毒的發作要在使用者的機器裡執行客戶端程式,一旦發作,就可設定後門,定時地傳送該使用者的隱私到木馬程式指定的地址,一般同時內建可進入該使用者電腦的埠,並可任意控制此計算機,進行檔案刪除、複製、改密碼等非法操作。
  防範措施:使用者提高警惕,不下載和執行來歷不明的程式,對於不明來歷的郵件附件也不要隨意開啟。

第三:什麼是計算機病毒

  計算機病毒是一個程式,一段可執行碼。就像生物病毒一樣,計算機病毒有獨特的複製能力。計算機病毒可以很快地蔓
延,又常常難以根除。它們能把自身附著在各種型別的檔案上。當檔案被複制或從一個使用者傳送到另一個使用者時,它們就隨
同檔案一起蔓延開來。
  除複製能力外,某些計算機病毒還有其它一些共同特性:一個被汙染的程式能夠傳送病毒載體。當你看到病毒載體似乎
僅僅表現在文字和圖象上時,它們可能也已毀壞了檔案、再格式化了你的硬碟驅動或引發了其它型別的災害。若是病毒並不
寄生於一個汙染程式,它仍然能透過佔據存貯空間給你帶來麻煩,並降低你的計算機的全部效能。
  可以從不同角度給出計算機病毒的定義。一種定義是透過磁碟、磁帶和網路等作為媒介傳播擴散,能“傳染” 其他程式
的程式。另一種是能夠實現自身複製且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程式。還有的定義是一種人為
製造的程式,它透過不同的途徑潛伏或寄生在儲存媒體(如磁碟、記憶體)或程式裡。當某種條件或時機成熟時,它會自生複製
並傳播,使計算機的資源受到不同程式的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒
所相似之處是能夠侵入計算機系統和網路,危害正常工作的“病原體”。它能夠對計算機系統進行各種破壞,同時能夠自我復
制, 具有傳染性。
  所以, 計算機病毒就是能夠透過某種途徑潛伏在計算機儲存介質(或程式)裡, 當達到某種條件時即被啟用的具有對計
算機資源進行破壞作用的一組程式或指令集合。

第四:什麼是蠕蟲病毒

  蠕蟲病毒是計算機病毒的一種。它的傳染機理是利用網路進行復制和傳播,傳染途徑是透過網路和電子郵件。
  比如近幾年危害很大的“尼姆達”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗作業系統的漏洞,計算機感染這一病毒後,會不斷自動撥號上網,並利用檔案中的地址資訊或者網路共享進行傳播,最終破壞使用者的大部分重要資料。
  蠕蟲病毒的一般防治方法是:使用具有實時監控功能的防毒軟體,並且注意不要輕易開啟不熟悉的郵件附件。

第五:什麼是廣告軟體Adware

  廣告軟體(Adware)是指 未經使用者允許,下載並安裝或與其他軟體捆綁透過彈出式廣告或以其他形式進行商業廣告宣傳的程式。安裝廣告軟體之後,往往造成系統執行緩慢或系統異常。
防治廣告軟體,應注意以下方面 :
第一,不要輕易安裝共享軟體或"免費軟體",這些軟體裡往往含有廣告程式、間諜軟體等不良軟體,可能帶來安全風險。
第二,有些廣告軟體透過惡意網站安裝,所以,不要瀏覽不良網站。
第三,採用安全性比較好的網路瀏覽器,並注意彌補系統漏洞.

第六:什麼是間諜軟體Spyware
  
間諜軟體(Spyware)是能夠在使用者不知情的情況下,在使用者電腦上安裝後門程式的軟體。 使用者的隱私資料和重要資訊會被那些後門程式捕獲, 甚至這些 “後門程式” 還能使駭客遠端操縱使用者的電腦。
防治間諜軟體,應注意以下方面 :
第一,不要輕易安裝共享軟體或“免費軟體”,這些軟體裡往往含有廣告程式、間諜軟體等不良軟體,可能帶來安全風險。
第二,有些間諜軟體透過惡意網站安裝,所以,不要瀏覽不良網站。
第三,採用安全性比較好的網路瀏覽器,並注意彌補系統漏洞。

第七:Dll檔案是什麼

  DLL是Dynamic Link Library的縮寫,意為動態連結庫。在Windows中,許多應用程式並不是一個完整的可執行檔案,它們被分割成一些相對獨立的動態連結庫,即DLL檔案,放置於系統中。當我們執行某一個程式時,相應的DLL檔案就會被呼叫。一個應用程式可有多個DLL檔案,一個DLL檔案也可能被幾個應用程式所共用,這樣的DLL檔案被稱為共享DLL檔案。DLL檔案一般被存放在C:WindowsSystem目錄下。

  1、如何瞭解某應用程式使用哪些DLL檔案
  右鍵單擊該應用程式並選擇快捷選單中的“快速檢視”命令,在隨後出現的“快速檢視”視窗的“引入表”一欄中你將看到其使用DLL檔案的情況。

  2、如何知道DLL檔案被幾個程式使用
  執行Regedit,進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
ersionSharedDlls子鍵檢視,其右邊視窗中就顯示了所有DLL檔案及其相關資料,其中資料右邊小括號內的數字就說明了被幾個程式使用,(2)表示被兩個程式使用,(0)則表示無程式使用,可以將其刪除。

  3、如何解決DLL檔案丟失的情況
  有時在解除安裝檔案時會提醒你刪除某個DLL檔案可能會影響其他應用程式的執行。所以當你解除安裝軟體時,就有可能誤刪共享的DLL檔案。一旦出現了丟失DLL檔案的情況,如果你能確定其名稱,可以在Sysbckup(系統備份資料夾)中找到該DLL檔案,將其複製到System資料夾中。如果這樣不行,在電腦啟動時又總是出現“***dll檔案丟失……”的提示框,你可以在“開始/執行”中執行Msconfig,進入系統配置實用程式對話方塊以後,單擊選擇“System.ini”標籤,找出提示丟失的DLL檔案,使其不被選中,這樣開機時就不會出現錯誤提示了。
  rundll的功能是以命令列的方式呼叫Windows的動態鏈結庫。
  Rundll32.exe與Rundll.exe的區別就在於前者是呼叫32位的鏈結庫,後者是用於16位的鏈結庫。rundll32.exe是專門用來呼叫dll檔案的程式。
  如果用的是Win98,rundll32.exe一般存在於Windows目錄下;
  如果用的WinXP,rundll32.exe一般存在於WindowsSystem32目錄下。
  若是在其它目錄,就可能是一個木馬程式,它會偽裝成rundll32.exe。

第八:什麼是系統程式

  程式是指在系統中正在執行的一個應用程式;執行緒是系統分配處理器時間資源的基本單元,或者說程式之內獨立執行的一個單元。對於操 作系統而言,其排程單元是執行緒。一個程式至少包括一個執行緒,通常將該執行緒稱為主執行緒。一個程式從主執行緒的執行開始進而建立一個或多個附加執行緒,就是所謂基於多執行緒的多工。
  那程式與執行緒的區別到底是什麼?程式是執行程式的例項。例如,當你執行記事本程式(Nodepad)時,你就建立了一個用來容納組成Notepad.exe的程式碼及其所需呼叫動態連結庫的程式。每個程式均執行在其專用且受保護的地址空間內。因此,如果你同時執行記事本的兩個複製,該程式正在使用的資料在各自例項中是彼此獨立的。在記事本的一個複製中將無法看到該程式的第二個例項開啟的資料。
  以沙箱為例進行闡述。一個程式就好比一個沙箱。執行緒就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去,並且可能將沙子攘到別的孩子眼中,他們會互相踢打或撕咬。但是,這些沙箱略有不同之處就在於每個沙箱完全由牆壁和頂棚封閉起來,無論箱中的孩子如何狠命地攘沙,他們也不會影響到其它沙箱中的其他孩子。因此,每個程式就象一個被保護起來的沙箱。未經許可,無人可以進出。
實際上執行緒執行而程式不執行。兩個程式彼此獲得專用資料或記憶體的唯一途徑就是透過協議來共享記憶體塊。這是一種協作策略。下面讓我們分析一下工作管理員裡的程式選項卡。
  這裡的程式是指一系列程式,這些程式是由它們所執行的可執行程式例項來識別的,這就是程式選項卡中的第一列給出了對映名稱的原因。請注意,這裡並沒有程式名稱列。程式並不擁有獨立於其所歸屬例項的對映名稱。換言之,如果你執行5個記事本複製,你將會看到5個稱為Notepad.exe的程式。它們是如何彼此區別的呢?其中一種方式是透過它們的程式ID,因為每個程式都擁有其獨一無二的編碼。該程式ID由Windows NT或Windows 2000生成,並可以迴圈使用。因此,程式ID將不會越編越大,它們能夠得到迴圈利用。  第三列是被程式中的執行緒所佔用的CPU時間百分比。它不是CPU的編號,而是被程式佔用的CPU時間百分比。此時我的系統基本上是空閒的。儘管系統看上去每一秒左右都只使用一小部分CPU時間,但該系統空閒程式仍舊耗用了大約99%的CPU時間。
  第四列,CPU時間,是CPU被程式中的執行緒累計佔用的小時、分鐘及秒數。請注意,我對程式中的執行緒使用佔用一詞。這並不一定意味著那就是程式已耗用的CPU時間總和,因為,如我們一會兒將看到的,NT計時的方式是,當特定的時鐘間隔激發時,無論誰恰巧處於當前的執行緒中,它都將計算到CPU週期之內。通常情況下,在大多數NT系統中,時鐘以10毫秒的間隔執行。每10毫秒NT的心臟就跳動一下。有一些驅動程式程式碼片段執行並顯示誰是當前的執行緒。讓我們將CPU時間的最後10毫秒記在它的帳上。因此,如果一個執行緒開始執行,並在持續執行8毫秒後完成,接著,第二個執行緒開始執行並持續了2毫秒,這時,時鐘激發,請猜一猜這整整10毫秒的時鐘週期到底記在了哪個執行緒的帳上?答案是第二個執行緒。因此,NT中存在一些固有的不準確性,而NT恰是以這種方式進行計時,實際情況也如是,大多數32位作業系統中都存在一個基於間隔的計時機制。請記住這一點,因為,有時當你觀察執行緒所耗用的CPU總和時,會出現儘管該執行緒或許看上去已執行過數十萬次,但其CPU時間佔用量卻可能是零或非常短暫的現象,那麼,上述解釋便是原因所在。上述也就是我們在工作管理員的程式選項卡中所能看到的基本資訊列。

第九:什麼是應用程式

  應用程式指的是程式開發人員要開發的一個資料庫應用管理系統,它可以是一個單位的財務管理系統、人事管理系統等。(各種有關功能的視窗的集合構成一個完整的應用系統,分發給各個終端使用者的就是一個應用程式。

第十:如何察看正在執行的程式

  察看正在執行的程式的方法有很多,最簡單就是使用Windows自帶的程式管理器察看正在執行的程式:同時按下“Ctl Alt Del”開啟Windows程式管理器。點選程式的標籤,即可察看系統中進行的程式列表。或者用滑鼠右鍵點系統狀態列“系統管理器”進入系統程式管理器

第十一:如何強制結束一個執行中的程式

   1. 開啟“終端服務管理器(工作管理員)”。
   2. 在“程式”選項卡上的“使用者”列下,右鍵單擊要結束的程式,然後單擊“結束程式”。
注意
   1. 必須具有完全控制許可權才能結束程式。
   2. 要開啟“終端服務管理器”,請依次單擊“開始”和“控制皮膚”,雙擊“管理工具”,然後雙擊“終端服務管理器”。
   3. 請注意:在沒有警告的情況下結束程式會導致使用者會話中的資料丟失。
   4. 可能需要結束程式,因為應用程式沒有響應。
   5. 也可以使用 tskill 命令結束程式。
  強制結束程式的命令列
  Windows作業系統中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純核心態的,最後那個是Win32子系統,ntsd本身需要它。ntsd從2000開始就是系統自帶的使用者態除錯工具。被偵錯程式附著(attach)的程式會隨偵錯程式一起退出,所以可以用來在命令列下終止程式。使用ntsd自動就獲得了debug許可權,從而能殺掉大部分的程式。ntsd會新開一個除錯視窗,本來在純命令列下無法控制,但如果只是簡單的命令,比如退出(q),用-c引數從命令列傳遞就行了。Ntsd按照慣例也向軟體開發人員提供。只有系統開發人員使用此命令。有關詳細資訊,請參閱 NTSD 中所附的幫助檔案。用法:開個cmd.exe視窗,輸入: 
  ntsd -c q -p PID  
  把最後那個PID,改成你要終止的程式的ID。如果你不知道程式的ID,工作管理員->程式選項卡->檢視->選擇列->勾上"PID(程式識別符號)",然後就能看見了。  
  XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的程式,和相應的資訊。tskill能查殺程式,語法很簡單:tskill 程式名!

  結束程式的一些巧用小竅門:
  誤刪VCD檔案的另類恢復
  現在很多人會把一些不錯的VCD直接拷入硬碟儲存。但你是否誤刪過這些百看不厭的經典之作呢?那麼怎樣才能在不用恢復軟體的情況下手動恢復它們呢?
  筆者找到了一個另類的恢復方法,並且效果還不錯。首先要知道誤刪的VCD檔案的檔名和原檔案儲存路徑。一般情況下VCD的主要影片檔案是VCD根目錄下的Mpegav資料夾,檔名一般為Avseq0?.dat或Music0?.dat,其中“?”代表數字(1~9)。有的VCD序幕和正式內容是一個檔案,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式內容分別為兩個檔案,即序幕為Avseq01.dat或Music01.dat,而正式內容為Avseq02.dat或Music02.dat。
  首先,找一個和誤刪檔案同名的檔案(暫且稱為A),接著將A複製到原誤刪檔案的同一資料夾中。在出現“正在複製...”視窗時,按下Ctrl+Alt+Del結束“正在複製...”任務,如果“正在複製...”視窗不消失,就再次按下Ctrl+Alt+Del結束“正在複製...”任務。就這麼簡單,到原誤刪檔案儲存的地方看一下,是不是又失而復得了?用多媒體播放軟體開啟,只是開頭幾秒種是檔案A的內容,後面的照看不誤。
  儲存拷了一部分的檔案
  如果你經常會把MP3、CD、VCD、MPEG、RM等音、影片檔案(或其他型別的檔案)從光碟中複製到硬碟,那麼可能會遇到複製到只剩下一點點時,Windows提示“複製檔案出錯”,這時只要按Enter鍵或點選“確定”按鈕,那麼辛辛苦苦複製的檔案就會丟失。
  其實只要馬上啟用“工作管理員”,把“出錯的對話方塊”和“正在複製”的任務都關閉掉。那麼檔案就會以原檔案大小儲存下來了,當然這還是有缺點的,當此類檔案播放到斷點的地方時就會停止。
  巧玩遊戲
  本人用的是Windows XP家庭版,執行一些支援Windows 2000但不支援Windows XP的遊戲時,滑鼠、鍵盤失去反應。某日發現一解法:開啟“工作管理員”,結束EXPLORER.EXE程式,點“新任務”,找到遊戲執行檔案,執行即可。另外,結束SVCHOST.exe(為當前使用者名稱的)程式可以去掉Windows XP風格。

第十二:一些常見的程式

     程式名??????描述
  smss.exe?????Session?Manager
  csrss.exe ????子系統伺服器程式
  winlogon.exe???管理使用者登入
  services.exe???包含很多系統服務
  lsass.exe ????管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。
  svchost.exe??? Windows 2000/XP 的檔案保護系統
  SPOOLSV.EXE ???將檔案載入到記憶體中以便遲後列印。
  explorer.exe???資源管理器
  internat.exe???托盤區的拼音圖示
  mstask.exe????允許程式在指定時間執行。
  regsvc.exe????允許遠端登錄檔操作。(系統服務)→remoteregister
  tftpd.exe ????實現 TFTP Internet 標準。該標準不要求使用者名稱和密碼。
  llssrv.exe????證書記錄服務
  ntfrs.exe ????在多個伺服器間維護檔案目錄內容的檔案同步。
  RsSub.exe ????控制用來遠端儲存資料的媒體。
  locator.exe ???管理 RPC 名稱服務資料庫。
  clipsrv.exe ???支援"剪貼簿檢視器",以便可以從遠端剪貼簿查閱剪貼頁面。
  msdtc.exe ????並列事務,是分佈於兩個以上的資料庫,訊息佇列,檔案系統或其他事務保護資源管理器。
  grovel.exe????掃描零備份儲存(SIS)捲上的重複檔案,並且將重複檔案指向一個資料儲存點,以節省磁碟空間(只對 NTFS 檔案系統有用)。
  snmp.exe?????包含代理程式可以監視網路裝置的活動並且向網路控制檯工作站彙報。
  以上這些程式都是對計算機執行起至關重要的,千萬不要隨意“殺掉”,否則可能直接影響系統的正常執行。

第十三:什麼是網路釣魚

  什麼是網路釣魚?
   網路釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網路詐騙活動,受騙者往往會洩露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網路銀行、線上零售商和信用卡公司等可信的品牌,騙取使用者的私人資訊。
  如何防備網路釣魚?
  不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。
  不要把自己的隱私資料透過網路傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要透過QQ 、MSN 、Email 等軟體傳播,這些途徑往往可能被駭客利用來進行詐騙。
  不要相信網上流傳的訊息,除非得到權威途徑的證明。如網路論壇、新聞組、 QQ 等往往有人釋出謠言,伺機竊取使用者的身份資料等。
  不要在網站註冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
  如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅透過網路完成,有心計的騙子們可能透過這些途徑瞭解使用者的資料,伺機進行詐騙。
  不要輕易相信透過電子郵件、網路論壇等釋出的中獎資訊、促銷資訊等,除非得到另外途徑的證明。正規公司一般不會透過電子郵件給使用者傳送中獎資訊和促銷資訊,而騙子們往往喜歡這樣進行詐騙。
第十四:什麼是瀏覽器劫持
   瀏覽器劫持是一種惡意程式,透過DLL外掛、BHO 、Winsock LSP 等形式 對使用者的瀏覽器進行篡改,使使用者瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁 / 搜尋頁等被修改為劫持軟體指定的網站地址等異常。
瀏覽器劫持如何防止,被劫持之後應採取什麼措施 ?
  瀏覽器劫持分為多種不同的方式,從最簡單的修改IE預設搜尋頁到最複雜的透過病毒修改系統設定並設定病毒守護程式,劫持瀏覽器,都有人採用。針對這些情況,使用者應該採取如下措施:   不要輕易瀏覽不良網站。
  不要輕易安裝共享軟體、盜版軟體。
  建議使用安全效能比較高的瀏覽器,並可以針對自己的需要對瀏覽器的安全設定進行相應調整。
  如果給瀏覽器安裝外掛,儘量從瀏覽器提供商的官方網站下載。

第十五:什麼是惡意共享軟體

  惡意共享軟體(malicious shareware)是指採用不正當的捆綁或不透明的方式強制安裝在使用者的計算機上,並且利用一些病毒常用的技術手段造成軟體很難被解除安裝,或採用一些非法手段強制使用者購買的免費、共享軟體。 安裝共享軟體時,應注意以下方面: 注意仔  細閱讀軟體提供的“安裝協議”,不要隨便點“next”進行安裝。
  不要安裝從不良渠道獲得的盜版軟體,這些軟體往往由於破解不完全,安裝之後帶來安全風險。
  使用具有破壞性功能的軟體,如硬碟整理、分割槽軟體等,一定要仔細瞭解它的功能之後再使用,避免因誤操作產生不可挽回的損失。

第十六:如何更好地預防計算機病毒入侵

  有病治病,無病預防這是人們對健康生活的最基本也是最重要的要求,預防比治療更為重要。對計算機來說,同樣也是如此,瞭解病毒,針對病毒養成一個良好的計算機應用管理習慣,對保障您的計算機不受計算機病毒侵擾是尤為重要的。為了減少病毒的侵擾,建議大家平時能做到“三打三防”。
   “三打” 就是安裝新的計算機系統時,要注意打系統補丁,震盪波一類的惡性蠕蟲病毒一般都是透過系統漏洞傳播的,打好補丁就可以防止此類病毒感染;使用者上網的時候要開啟防毒軟體實時監控,以免病毒透過網路進入自己的電腦;玩網路遊戲時要開啟個人防火牆,防火牆可以隔絕病毒跟外界的聯絡,防止木馬病毒盜竊資料。
  “三防” 就是防郵件病毒,使用者收到郵件時首先要進行病毒掃描,不要隨意開啟電子郵件裡攜帶的附件;防木馬病毒,木馬病毒一般是透過惡意網站散播,使用者從網上下載任何檔案後,一定要先進行病毒掃描再執行;防惡意“好友”,現在很多木馬病毒可以透過 MSN、 QQ等即時通訊軟體或電子郵件傳播,一旦你的線上好友感染病毒,那麼所有好友將會遭到病毒的入侵。

第十七:如何幹淨地清除病毒

1 、在安全模式或純DOS模式下清除病毒
  當計算機感染病毒的時候,絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒,這裡說的正常模式準確的說法應該是真實模式(Real Mode),這裡通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由於使用了更加隱匿和狡猾的手段往往會對防毒軟體進行攻擊甚至是刪除系統中的防毒軟體的做法,針對這樣的病毒絕大多數的防毒軟體都被設計為在安全模式可安裝、使用、執行防毒處理。  
   在安全模式(Safe Mode)或者純DOS下進行清除清除時,對於現在大多數流行的病毒,如蠕蟲病毒、木馬程式和網頁程式碼病毒等,都可以在安全模較魯溝濁宄?模?槐匾?褚鄖澳茄?匭胍?萌砼唐舳?倍荊壞?雜諞恍┮?記?《競透腥究芍蔥形募?牟《靜判枰?詿?DOS下防毒(建議用乾淨軟盤啟動防毒)。而且,當計算機原來就感染了病毒,那就更需要在安裝反病毒軟體後(升級到最新的病毒庫),在安全模式(Safe Mode)或者純DOS下清除一遍病毒了!

2 、帶毒檔案在Temporary Internet Files目錄下
  由於這個目錄下的檔案,Windows 會對此有一定的保護作用,所以對這個目錄下的帶毒檔案即使在安全模式下也不能進行清除,對於這種情況,請先關閉其他一些程式軟體,然後開啟 IE ,選擇IE工具欄中的 " 工具""Internet 選項 ",選擇 " 刪除檔案 " 刪除即可,如果有提示" 刪除所有離線內容 ",也請選上一併刪除。

3 、帶毒檔案在 \_Restore 目錄下,*.cpy 檔案中
  這是系統還原存放還原檔案的目錄,只有在裝了Windows Me/XP 作業系統上才會有這個目錄,由於系統對這個目錄有保護作用。
  對於這種情況需要先取消" 系統還原 " 功能,然後將帶毒檔案刪除,甚至將整個目錄刪除也是可以的。

4 、帶毒檔案在.rar 、.zip 、.cab 等壓縮檔案中
  對於絕大多數的反病毒軟體來說,現在的查殺壓縮檔案中病毒的功能已經基本完善了,單是對於一些特殊型別的壓縮檔案或者加了密碼保護的壓縮檔案就可能直接清除了。
  要清除壓縮檔案中的病毒,建議解壓縮後清除,或者藉助壓縮工具軟體的外掛防毒程式的功能,對帶毒的壓縮檔案進行防毒。

5 、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK檔案中
  這種病毒一般是引導區病毒,報告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在於移動儲存裝置(如軟盤、快閃記憶體盤、行動硬碟)上,就可以藉助本地硬碟上的反病毒軟體直接進行查殺;
   如果這種病毒是在硬碟上,則需要用乾淨的可引導盤啟動進行查殺。 對於這類病毒建議用乾淨軟盤啟動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的作業系統的情況,如日文Windows 、Linux 等。 如果沒有乾淨的可引導盤,則可使用下面的方法進行應急防毒:
(1) 在別的計算機上做一張乾淨的可引導盤,此引導盤可以在Windows 95/98/ME 系統上透過 " 新增/刪除程式 " 進行製作,但要注意的是,製作軟盤的作業系統須和自己所使用的作業系統相同;
(2) 用這張軟盤引導啟動帶毒的計算機,然後執行以下命令:
A:>fdisk/mbr
A:>sys a: c:
   針對 NT 構架的作業系統可首先安裝“管理員控制檯”,安裝後使用管理員控制檯,然後分別執行 fixmbr (恢復主開機記錄)和 fixboot (恢復啟動盤上的引導區)命令對引導區及啟動資訊進行修復。
如果帶毒的檔案是在 SUHDLOG.DAT 或 SUHDLOG.BAK 檔案中,那麼直接刪除即可。這是系統在安裝的時候對硬碟引導區做的一個備份檔案,一般作用不大,病毒在其中已經不起作用了。

6 、帶毒檔案在一些郵件檔案中,如 dbx 、 eml 、 box 等
  絕大多數的防毒軟體可以直接檢查這些郵件檔案中的檔案是否帶毒,對於郵箱中的帶毒的信件,可以根據使用者的設定防毒或刪除帶毒郵件,但是由於此類郵箱的複合檔案結構,易出現防毒後的郵箱依舊可以檢測到病毒情況,這是由於沒有壓縮郵箱進行空間釋放的原因導致的,您可以嘗試在 Outlook Express 中選擇“工具” — 〉“選項” — 〉“維護” — 〉“立即清除” — 〉“壓縮”

7 、檔案中有病毒的殘留程式碼
  這種情況比較多見的就是帶有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文件中的宏病毒)和個別網頁病毒的殘留程式碼,通常防毒軟體對這些帶有病毒殘留程式碼的檔案報告的病毒名稱字尾通常是 int 、 app 等結尾,而且並不常見,如 W32/FunLove.app 、W32.Funlove.int 。一般情況下,這些殘留的程式碼不會影響正常程式的執行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。

8 、檔案錯誤
  這種情況出現的並不多,通常是由於某些病毒對系統中的關鍵檔案修改後造成的,異常的檔案無法正常使用,同時易造成別的系統錯誤,針對此種情況建議進行修復安裝的方法恢復系統中的關鍵檔案。

9 、加密的檔案或目錄
  對於一些加密了的檔案或目錄,請在解密後再進行病毒查殺。

10 、共享目錄防毒
  這裡包括兩種情況:本地共享目錄和網路中遠端共享目錄(其中也包括對映盤)。  
  遇到本地共享的目錄中的帶毒檔案不能清除的情況,通常是區域網中別的使用者在讀寫這些檔案,防毒的時候表現為無法直接清除這些帶毒檔案中的病毒,如果是有病毒在對這些目錄在寫病毒操作,表現為對共享目錄進行清除病毒操作後,還是不斷有檔案被感染或者不斷生成病毒檔案。以上這兩種情況,都建議取消共享,然後針對共享目錄進行徹底查殺,恢復共享的時候,注意不要開放太高的許可權,並對共享目錄加設密碼。 對遠端的共享目錄(包括對映盤)查殺病毒的時候,首先要保證本地計算機的作業系統是乾淨的,同時對共享目錄也有最高的讀寫許可權。如果是遠端計算機感染病毒的話,建議還是直接在遠端計算機進行查殺病毒。
  特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行防毒操作。在平時的使用中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠端共享目錄中的檔案,建議複製到本地檢查過病毒後再進行操作。

11 、光碟等一些儲存介質
  對於光碟上帶有的病毒,不要試圖直接清除,這是因為光碟上的檔案都是隻讀的原因導致的。同時,對另外一些儲存裝置查殺病毒的,也需要注意其是否處於防寫或者密碼保護狀態。

[ 本帖最後由 aini 於 2006-4-14 00:53 編輯 ]

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-949935/,如需轉載,請註明出處,否則將追究法律責任。

相關文章