数据-伊川县教育城域网.ppt

光利用开机自启来长驻内存也太容易被杀了。所以，还要想尽一切办法来让病毒启动。一般有2种办法： 第一种。修改文本文件的关联。比如，利用修改TXT文件关联来实现病毒启动 第二种，利用Autorun.inf。光盘就是利用这个来自动播放的。U盘传播病毒也多采用这种方法。 病毒的传播可以说是八仙过海。主要的传播方式就是： 电子邮件传播， 远程溢出， 通过浏览网页， 下载软件传播， 通过即时通讯软件传播（BT下载、QQ、MSN等）， 通过网络游戏传播， 还有其他各种方式等。 感染主机 ~~~~~~~~~~ 首先染毒文件运行后先要判断主机是否已感染病毒，也就是判断病毒主体文件是否存在。如果不存在则将病毒主体拷贝到指定位置(如： 将病毒文件拷贝到c:\windows\system文件夹下)，可用filecopy语句实现；如果病毒已感染主机则结束判断。 开机启动病毒 ~~~~~~~~~~~~~~ 在病毒感染主机的同时，将自身加入注册表的开机运行中，这与向主机拷入病毒是同时进行的，主机感染后不再修改注册表。可通过编程 和调用API函数对WIN注册表进行操作来实现，这样在每次启动计算机时病毒自动启动。 任务管理器 ~~~~~~~~~~~~ 在任务管理器列表中禁止病毒本身被列出，可以通过编程来实现。 用代码 App.TaskVisible = false 就可以实现；再有就是通过调用Win API函数来实现，这里就不作介绍了。  （3）计算机病毒的工作流程 病毒发作条件 ~~~~~~~~~~~~~~ 可用Day(Date)来判断今天是几号，再与确定好的日期作比较，相同则表现出病毒主体的破坏性，否则不发作。也可用Time、Date或其它方法作为病毒发作条件的判断。 例： if day(date)=16 then ’’16是发作日期，取值为1-31的整数 ... ... ’’kill ******* 当日期相符时运行的破坏性代码(格式化、删除指定的文件类型、发送数据包堵塞网路等，省略若干代码) end if  病毒的破坏性 ~~~~~~~~~~~~~~ 编写的此部分代码决定了病毒威力的强弱。轻的可以使系统资源迅速减少直至死机(需要你懂得一点蠕虫的原理)，也就是实现开机即死的 效果；也可以加入硬盘炸弹代码、系统后台删文件等。重的可以使计算机彻底瘫痪。 病毒的繁殖 ~~~~~~~~~~~~ 原理很简单，就是将其自身与其它可执行文件合并，也就是两个文件并成一个文件。也可通过E-Mail传播，方法是病毒读取被感染主机的 邮件列表，将带有病毒附件的E-Mail发给列表中的每一个人。 U盘病毒的传播方式有四种： 第一种是把U盘下所有文件夹隐藏，并把自己复制成与原文件夹名称相同的具有文件夹图标的文件，当你点击时病毒会执行并且该病毒会打开该名称的文件夹。 第二种是在U盘的所有可执行文件里插入病毒本身，这种情况比较恶劣。一般你必须用杀毒软件或其他分离软件才能把你能用的那部分提取出来。 第三种是直接在每一个文件夹下面生成一个与该文件夹同名的exe文件，跟第一种相似，但更具有混淆性。 第四种在U盘根目录下生成一个autorun.inf的引导文件（隐藏文件），插入U盘，就自动执行病毒文件。 相应的我们可以使用如下措施防止U盘传染上病毒，成为病毒的载体： 首先计算机必须关闭U盘自动播放功能，方法如下：1、点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口； 2、在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”； 3、选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。 然后针对上面第一种和第四种以及第三种情况我们可以在拷贝完数据之后，进入cmd模式使用dir x: /a命令查看U盘(比如U盘盘符是X)下面所有文件，包括隐藏文件。如果发现不只我们拷贝的文件，还有其它不明文件，例如abc,我们使用attrib abc -s -h -r去除其只读属性，然后再使用del /f abc删除这些文件。 第二种情况最复杂，我们可以比较拷贝后和源文件的大小是否相符（详细到字节数）同样可以使用dir命令查看。如果发现不符就需要借助专门的U盘杀毒工具分离出病毒。 安装病毒防治软件 安装的病毒防治软件应具备四个特性：　 　　 ???? 集成性：所有的保护措施必须在逻辑上是统一的和相互配合的。 　　 ????