计算机病毒的防治资料.ppt

实例 　　以windowsxp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remoteprocedurecall”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost-krpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。 　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine\system\currentcontrolset\services\rpcss]项，找到类型为“reg_expand_sz”的键“Imagepath”，其键值为“%systemroot%system32svchost-krpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“%systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。 病毒描述 　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。 　　假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32\wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 注意点： svchost.exe  　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。如果svchost.exe进程的数量多于6个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。 6.3　病毒的预防、检测和清除 6.3.1　计算机病毒的预防 6.3.2　计算机病毒的检测方法 6.3.3　计算机病毒的清除 6.3.4 病毒实例 6.3.1　计算机病毒的检测 （1）使用无毒的系统软件和应用软件。 （2）CMOS设置。 （3）使用必威体育精装版的系统安全更新。 （4）禁用Windows Script Host（WSH）和FSO对象。 （6）启动防火墙 。 （7）启用宏病毒警告 。 （8）邮件附件的处理。 （9）安装杀毒软件。 6.3.2　计算机病毒的检测方法 1．特征代码法 2．校验和法 3．行为监测法 4．软件模拟法 5．启发式扫描技术 6.3.3　计算机病毒的清除 1．引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其他的方法进行恢复。 引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以下步骤： （1）用Windows 95/98 的干净启动盘启动计算机。 （2）在命令行中键入下列命令： fdisk /mbr （用来更新主引导记录，也称硬盘分区表） Sys C: （恢复硬盘引导扇区） （3）重启计算机。 在Windows 2000/XP平台下，可以用以下方法进行恢复： （1）用Windows 2000/XP 安装光盘启动。 （2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。 （3）选择正确的要修复的机器的数量。 （4）键入管理员密码，如果没有密码，则直接回车。 （5）在命令行键入下面的命令： FIXMBR 回车 FIXBOOT 回车 （6）键入EXIT，重启计算机。 2．文件型病毒的清除 （1）检查注册表 （2）检查win.ini文件 （3）检查system.ini文件