upside
反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
[資訊教學] 十七點學完安全知識超級詳細了解進程和病毒知識
十七點學完安全知識超級詳細了解進程和病毒知識
第一:進程是什麽 進程爲應用程序的運行實例,是應用程序的一次動態執行。看似高深,我們可以簡單地理解爲:它是操作係統當前運行的執行程序。在係統當前運行的執行程序裏包括:係統管理計算機個體和完成各種操作所必需的程序;用戶開啓、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。 危害較大的可執行病毒同樣以“進程”形式出現在係統內部(一些病毒可能並不被進程列表顯示,如“宏病毒”),那麽及時查看並準確殺掉非法進程對於手工殺毒有起著關鍵性的作用。 第二:什麽是木馬 木馬病毒源自古希臘特洛伊戰爭中著名的“木馬計”而得名,顧名思義就是一種僞裝潛伏的網絡病毒,等待時機成熟就出來害人。 傳染方式:通過電子郵件附件發出,捆綁在其他的程序中。 病毒特性:會修改注冊表、駐留內存、在係統中安裝後門程序、開機加載附帶的木馬。 木馬病毒的破壞性:木馬病毒的發作要在用戶的機器裏運行客戶端程序,一旦發作,就可設置後門,定時地發送該用戶的隱私到木馬程序指定的地址,一般同時內置可進入該用戶電腦的端口,並可任意控制此計算機,進行文件刪除、拷貝、改密碼等非法操作。 防範措施:用戶提高警惕,不下載和運行來曆不明的程序,對於不明來曆的郵件附件也不要隨意打開。 第三:什麽是計算機病毒 計算機病毒是一個程序,一段可執行碼。就像生物病毒一樣,計算機病毒有獨特的複制能力。計算機病毒可以很快地蔓 延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被複制或從一個用戶傳送到另一個用戶時,它們就隨 同文件一起蔓延開來。 除複制能力外,某些計算機病毒還有其它一些共同特性:一個被汙染的程序能夠傳送病毒載體。當你看到病毒載體似乎 僅僅表現在文字和圖象上時,它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其它類型的災害。若是病毒並不 寄生於一個汙染程序,它仍然能通過占據存貯空間給你帶來麻煩,並降低你的計算機的全部性能。 可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網絡等作爲媒介傳播擴散,能“傳染” 其他程序 的程序。另一種是能夠實現自身複制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人爲 制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體(如磁盤、內存)或程序裏。當某種條件或時機成熟時,它會自生複制 並傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒 所相似之處是能夠侵入計算機係統和網絡,危害正常工作的“病原體”。它能夠對計算機係統進行各種破壞,同時能夠自我複 制, 具有傳染性。 所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)裏, 當達到某種條件時即被激活的具有對計 算機資源進行破壞作用的一組程序或指令集合。 第四:什麽是蠕蟲病毒 蠕蟲病毒是計算機病毒的一種。它的傳染機理是利用網絡進行複制和傳播,傳染途徑是通過網絡和電子郵件。 比如近幾年危害很大的“尼姆達”病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗操作係統的漏洞,計算機感染這一病毒後,會不斷自動撥號上網,並利用文件中的地址信息或者網絡共享進行傳播,最終破壞用戶的大部分重要數據。 蠕蟲病毒的一般防治方法是:使用具有實時監控功能的殺毒軟件,並且注意不要輕易打開不熟悉的郵件附件。 第五:什麽是廣告軟件Adware 廣告軟件(Adware)是指 未經用戶允許,下載並安裝或與其他軟件捆綁通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。安裝廣告軟件之後,往往造成係統運行緩慢或係統異常。 防治廣告軟件,應注意以下方面 : 第一,不要輕易安裝共享軟件或"免費軟件",這些軟件裏往往含有廣告程序、間諜軟件等不良軟件,可能帶來安全風險。 第二,有些廣告軟件通過惡意網站安裝,所以,不要浏覽不良網站。 第三,采用安全性比較好的網絡浏覽器,並注意彌補係統漏洞. 第六:什麽是間諜軟件Spyware 間諜軟件(Spyware)是能夠在使用者不知情的情況下,在用戶電腦上安裝後門程序的軟件。 用戶的隱私數據和重要信息會被那些後門程序捕獲, 甚至這些 “後門程序” 還能使黑客遠程操縱用戶的電腦。 防治間諜軟件,應注意以下方面 : 第一,不要輕易安裝共享軟件或“免費軟件”,這些軟件裏往往含有廣告程序、間諜軟件等不良軟件,可能帶來安全風險。 第二,有些間諜軟件通過惡意網站安裝,所以,不要浏覽不良網站。 第三,采用安全性比較好的網絡浏覽器,並注意彌補係統漏洞。 第七:Dll文件是什麽 DLL是Dynamic Link Library的縮寫,意爲動態鏈接庫。在Windows中,許多應用程序並不是一個完整的可執行文件,它們被分割成一些相對獨立的動態鏈接庫,即DLL 文件,放置於係統中。當我們執行某一個程序時,相應的DLL文件就會被調用。一個應用程序可有多個DLL文件,一個DLL文件也可能被幾個應用程序所共用,這樣的DLL文件被稱爲共享DLL文件。DLL文件一般被存放在C:WindowsSystem目錄下。 1、如何了解某應用程序使用哪些DLL文件 右鍵單擊該應用程序並選擇快捷菜單中的“快速查看”命令,在隨後出現的“快速查看”窗口的“引入表”一欄中你將看到其使用DLL文件的情況。 2、如何知道DLL文件被幾個程序使用 運行Regedit,進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent- ersionSharedDlls子鍵查看,其右邊窗口中就顯示了所有DLL文件及其相關數據,其中數據右邊小括號內的數字就說明了被幾個程序使用,(2)表示被兩個程序使用,(0)則表示無程序使用,可以將其刪除。 3、如何解決DLL文件丟失的情況 有時在卸載文件時會提醒你刪除某個DLL文件可能會影響其他應用程序的運行。所以當你卸載軟件時,就有可能誤刪共享的DLL文件。一旦出現了丟失DLL文件的情況,如果你能確定其名稱,可以在Sysbckup(係統備份文件夾)中找到該DLL文件,將其複制到System文件夾中。如果這樣不行,在電腦啓動時又總是出現“***dll文件丟失……”的提示框,你可以在“開始/運行”中運行Msconfig,進入係統配置實用程序對話框以後,單擊選擇 “System.ini”標簽,找出提示丟失的DLL文件,使其不被選中,這樣開機時就不會出現錯誤提示了。 rundll的功能是以命令列的方式呼叫Windows的動態鏈結庫。 Rundll32.exe與Rundll.exe的區別就在於前者是呼叫32位的鏈結庫,後者是用於16位的鏈結庫。rundll32.exe是專門用來調用dll文件的程序。 如果用的是Win98,rundll32.exe一般存在於Windows目錄下; 如果用的WinXP,rundll32.exe一般存在於WindowsSystem32目錄下。 若是在其它目錄,就可能是一個木馬程序,它會僞裝成rundll32.exe。 第八:什麽是係統進程 進程是指在係統中正在運行的一個應用程序;線程是係統分配處理器時間資源的基本單元,或者說進程之內獨立執行的一個單元。對於操作係統而言,其調度單元是線程。一個進程至少包括一個線程,通常將該線程稱爲主線程。一個進程從主線程的執行開始進而創建一個或多個附加線程,就是所謂基於多線程的多任務。 那進程與線程的區別到底是什麽?進程是執行程序的實例。例如,當你運行記事本程序(Nodepad)時,你就創建了一個用來容納組成 Notepad.exe的代碼及其所需調用動態鏈接庫的進程。每個進程均運行在其專用且受保護的地址空間內。因此,如果你同時運行記事本的兩個拷貝,該程序正在使用的數據在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例打開的數據。 以沙箱爲例進行闡述。一個進程就好比一個沙箱。線程就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去,並且可能將沙子攘到別的孩子眼中,他們會互相踢打或撕咬。但是,這些沙箱略有不同之處就在於每個沙箱完全由牆壁和頂棚封閉起來,無論箱中的孩子如何狠命地攘沙,他們也不會影響到其它沙箱中的其他孩子。因此,每個進程就象一個被保護起來的沙箱。未經許可,無人可以進出。 實際上線程運行而進程不運行。兩個進程彼此獲得專用數據或內存的唯一途徑就是通過協議來共享內存塊。這是一種協作策略。下面讓我們分析一下任務管理器裏的進程選項卡。 這裏的進程是指一係列進程,這些進程是由它們所運行的可執行程序實例來識別的,這就是進程選項卡中的第一列給出了映射名稱的原因。請注意,這裏並沒有進程名稱列。進程並不擁有獨立於其所歸屬實例的映射名稱。換言之,如果你運行5個記事本拷貝,你將會看到5個稱爲Notepad.exe的進程。它們是如何彼此區別的呢?其中一種方式是通過它們的進程ID,因爲每個進程都擁有其獨一無二的編碼。該進程ID由Windows NT或Windows 2000生成,並可以循環使用。因此,進程ID將不會越編越大,它們能夠得到循環利用。 第三列是被進程中的線程所占用的CPU時間百分比。它不是 CPU的編號,而是被進程占用的CPU時間百分比。此時我的係統基本上是空閑的。盡管係統看上去每一秒左右都只使用一小部分CPU時間,但該係統空閑進程仍舊耗用了大約99%的CPU時間。 第四列,CPU時間,是CPU被進程中的線程累計占用的小時、分鍾及秒數。請注意,我對進程中的線程使用占用一詞。這並不一定意味著那就是進程已耗用的 CPU時間總和,因爲,如我們一會兒將看到的,NT計時的方式是,當特定的時鍾間隔激發時,無論誰恰巧處於當前的線程中,它都將計算到CPU周期之內。通常情況下,在大多數NT係統中,時鍾以10毫秒的間隔運行。每10毫秒NT的心髒就跳動一下。有一些驅動程序代碼片段運行並顯示誰是當前的線程。讓我們將 CPU時間的最後10毫秒記在它的帳上。因此,如果一個線程開始運行,並在持續運行8毫秒後完成,接著,第二個線程開始運行並持續了2毫秒,這時,時鍾激發,請猜一猜這整整10毫秒的時鍾周期到底記在了哪個線程的帳上?答案是第二個線程。因此,NT中存在一些固有的不準確性,而NT恰是以這種方式進行計時,實際情況也如是,大多數32位操作係統中都存在一個基於間隔的計時機制。請記住這一點,因爲,有時當你觀察線程所耗用的CPU總和時,會出現盡管該線程或許看上去已運行過數十萬次,但其CPU時間占用量卻可能是零或非常短暫的現象,那麽,上述解釋便是原因所在。上述也就是我們在任務管理器的進程選項卡中所能看到的基本信息列。 第九:什麽是應用程序 應用程序指的是程序開發人員要開發的一個數據庫應用管理係統,它可以是一個單位的財務管理係統、人事管理係統等。(各種有關功能的窗口的集合構成一個完整的應用係統,分發給各個終端用戶的就是一個應用程序。 第十:如何察看正在運行的進程 察看正在運行的進程的方法有很多,最簡單就是使用Windows自帶的進程管理器察看正在運行的進程:同時按下“Ctl Alt Del”打開Windows進程管理器。點擊進程的標簽,即可察看係統中進行的進程列表。或者用鼠標右鍵點係統狀態欄“係統管理器”進入係統進程管理器 第十一:如何強制結束一個運行中的進程 1. 打開“終端服務管理器(任務管理器)”。 2. 在“進程”選項卡上的“用戶”列下,右鍵單擊要結束的進程,然後單擊“結束進程”。 注意 1. 必須具有完全控制權限才能結束進程。 2. 要打開“終端服務管理器”,請依次單擊“開始”和“控制面板”,雙擊“管理工具”,然後雙擊“終端服務管理器”。 3. 請注意:在沒有警告的情況下結束進程會導致用戶會話中的數據丟失。 4. 可能需要結束進程,因爲應用程序沒有響應。 5. 也可以使用 tskill 命令結束進程。 強制結束進程的命令行 Windows操作係統中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的,最後那個是Win32子係統,ntsd本身需要它。ntsd從2000開始就是係統自帶的用戶態調試工具。被調試器附著(attach)的進程會隨調試器一起退出,所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權限,從而能殺掉大部分的進程。ntsd會新開一個調試窗口,本來在純命令行下無法控制,但如果只是簡單的命令,比如退出(q),用-c參數從命令行傳遞就行了。Ntsd按照慣例也向軟件開發人員提供。只有係統開發人員使用此命令。有關詳細信息,請參閱 NTSD 中所附的幫助文件。用法:開個cmd.exe窗口,輸入: ntsd -c q -p PID 把最後那個PID,改成你要終止的進程的ID。如果你不知道進程的ID,任務管理器->進程選項卡->查看->選擇列->勾上"PID(進程標識符)",然後就能看見了。 XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的進程,和相應的信息。tskill能查殺進程,語法很簡單:tskill 程序名! 結束進程的一些巧用小竅門: 誤刪VCD文件的另類恢複 現在很多人會把一些不錯的VCD直接拷入硬盤保存。但你是否誤刪過這些百看不厭的經典之作呢?那麽怎樣才能在不用恢複軟件的情況下手動恢複它們呢? 筆者找到了一個另類的恢複方法,並且效果還不錯。首先要知道誤刪的VCD文件的文件名和原文件存儲路徑。一般情況下VCD的主要視頻文件是VCD根目錄下的Mpegav文件夾,文件名一般爲Avseq0?.dat或Music0?.dat,其中“?”代表數字(1~9)。有的VCD序幕和正式內容是一個文件,即Avseq01.dat或Music01.dat;也有的VCD序幕和正式內容分別爲兩個文件,即序幕爲Avseq01.dat或 Music01.dat,而正式內容爲Avseq02.dat或Music02.dat。 首先,找一個和誤刪文件同名的文件(暫且稱爲A),接著將A複制到原誤刪文件的同一文件夾中。在出現“正在複制...”窗口時,按下 Ctrl+Alt+Del結束“正在複制...”任務,如果“正在複制...”窗口不消失,就再次按下Ctrl+Alt+Del結束“正在複制...”任務。就這麽簡單,到原誤刪文件存儲的地方看一下,是不是又失而複得了?用多媒體播放軟件打開,只是開頭幾秒種是文件A的內容,後面的照看不誤。 保存拷了一部分的文件 如果你經常會把MP3、CD、VCD、MPEG、RM等音、視頻文件(或其他類型的文件)從光盤中複制到硬盤,那麽可能會遇到複制到只剩下一點點時,Windows提示“複制文件出錯”,這時只要按回車鍵或點擊“確定”按鈕,那麽辛辛苦苦複制的文件就會丟失。 其實只要馬上激活“任務管理器”,把“出錯的對話框”和“正在複制”的任務都關閉掉。那麽文件就會以原文件大小保存下來了,當然這還是有缺點的,當此類文件播放到斷點的地方時就會停止。 巧玩遊戲 本人用的是Windows XP家庭版,運行一些支持Windows 2000但不支持Windows XP的遊戲時,鼠標、鍵盤失去反應。某日發現一解法:打開“任務管理器”,結束EXPLORER.EXE進程,點“新任務”,找到遊戲運行文件,運行即可。另外,結束SVCHOST.exe(爲當前用戶名的)進程可以去掉Windows XP風格。 第十二:一些常見的進程 進程名 描述 smss.exe Session Manager csrss.exe 子係統服務器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多係統服務 lsass.exe 管理 IP 安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。 svchost.exe Windows 2000/XP 的文件保護係統 SPOOLSV.EXE 將文件加載到內存中以便遲後打印。 explorer.exe 資源管理器 internat.exe 托盤區的拼音圖標 mstask.exe 允許程序在指定時間運行。 regsvc.exe 允許遠程注冊表操作。(係統服務)→remoteregister tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。 llssrv.exe 證書記錄服務 ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。 RsSub.exe 控制用來遠程儲存數據的媒體。 locator.exe 管理 RPC 名稱服務數據庫。 clipsrv.exe 支持"剪貼簿查看器",以便可以從遠程剪貼簿查閱剪貼頁面。 msdtc.exe 並列事務,是分布於兩個以上的數據庫,消息隊列,文件係統或其他事務保護資源管理器。 grovel.exe 掃描零備份存儲(SIS)卷上的重複文件,並且將重複文件指向一個數據存儲點,以節省磁盤空間(只對 NTFS 文件係統有用)。 snmp.exe 包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站彙報。 以上這些進程都是對計算機運行起至關重要的,千萬不要隨意“殺掉”,否則可能直接影響係統的正常運行。 第十三:什麽是網絡釣魚 什麽是網絡釣魚? 網絡釣魚 (Phishing)攻擊者利用欺騙性的電子郵件和僞造的 Web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己僞裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。 如何防備網絡釣魚? 不要在網上留下可以證明自己身份的任何資料,包括手機號碼、身份證號、銀行卡號碼等。 不要把自己的隱私資料通過網絡傳輸,包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟件傳播,這些途徑往往可能被黑客利用來進行詐騙。 不要相信網上流傳的消息,除非得到權威途徑的證明。如網絡論壇、新聞組、 QQ 等往往有人發布謠言,伺機竊取用戶的身份資料等。 不要在網站注冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。 如果涉及到金錢交易、商業合同、工作安排等重大事項,不要僅僅通過網絡完成,有心計的騙子們可能通過這些途徑了解用戶的資料,伺機進行詐騙。 不要輕易相信通過電子郵件、網絡論壇等發布的中獎信息、促銷信息等,除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶發送中獎信息和促銷信息,而騙子們往往喜歡這樣進行詐騙。 第十四:什麽是浏覽器劫持 浏覽器劫持是一種惡意程序,通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的浏覽器進行篡改,使用戶浏覽器出現 訪問正常網站時被轉向到惡意網頁、IE浏覽器主頁 / 搜索頁等被修改爲劫持軟件指定的網站地址等異常。 浏覽器劫持如何防止,被劫持之後應采取什麽措施 ? 浏覽器劫持分爲多種不同的方式,從最簡單的修改IE默認搜索頁到最複雜的通過病毒修改係統設置並設置病毒守護進程,劫持浏覽器,都有人采用。針對這些情況,用戶應該采取如下措施: 不要輕易浏覽不良網站。 不要輕易安裝共享軟件、盜版軟件。 建議使用安全性能比較高的浏覽器,並可以針對自己的需要對浏覽器的安全設置進行相應調整。 如果給浏覽器安裝插件,盡量從浏覽器提供商的官方網站下載。 第十五:什麽是惡意共享軟件 惡意共享軟件(malicious shareware)是指采用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上,並且利用一些病毒常用的技術手段造成軟件很難被卸載,或采用一些非法手段強制用戶購買的免費、共享軟件。 安裝共享軟件時,應注意以下方面: 注意仔 細閱讀軟件提供的“安裝協議”,不要隨便點“next”進行安裝。 不要安裝從不良渠道獲得的盜版軟件,這些軟件往往由於破解不完全,安裝之後帶來安全風險。 使用具有破壞性功能的軟件,如硬盤整理、分區軟件等,一定要仔細了解它的功能之後再使用,避免因誤操作産生不可挽回的損失。 第十六:如何更好地預防計算機病毒入侵 有病治病,無病預防這是人們對健康生活的最基本也是最重要的要求,預防比治療更爲重要。對計算機來說,同樣也是如此,了解病毒,針對病毒養成一個良好的計算機應用管理習慣,對保障您的計算機不受計算機病毒侵擾是尤爲重要的。爲了減少病毒的侵擾,建議大家平時能做到“三打三防”。 “三打” 就是安裝新的計算機係統時,要注意打係統補丁,震蕩波一類的惡性蠕蟲病毒一般都是通過係統漏洞傳播的,打好補丁就可以防止此類病毒感染;用戶上網的時候要打開殺毒軟件實時監控,以免病毒通過網絡進入自己的電腦;玩網絡遊戲時要打開個人防火牆,防火牆可以隔絕病毒跟外界的聯係,防止木馬病毒盜竊資料。 “三防” 就是防郵件病毒,用戶收到郵件時首先要進行病毒掃描,不要隨意打開電子郵件裏攜帶的附件;防木馬病毒,木馬病毒一般是通過惡意網站散播,用戶從網上下載任何文件後,一定要先進行病毒掃描再運行;防惡意“好友”,現在很多木馬病毒可以通過 MSN、 QQ等即時通信軟件或電子郵件傳播,一旦你的在線好友感染病毒,那麽所有好友將會遭到病毒的入侵。 第十七:如何幹淨地清除病毒 1 、在安全模式或純DOS模式下清除病毒 當計算機感染病毒的時候,絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒,這裏說的正常模式準確的說法應該是實模式(Real Mode),這裏通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。但有些病毒由於使用了更加隱匿和狡猾的手段往往會對殺毒軟件進行攻擊甚至是刪除係統中的殺毒軟件的做法,針對這樣的病毒絕大多數的殺毒軟件都被設計爲在安全模式可安裝、使用、執行殺毒處理。 在安全模式(Safe Mode)或者純DOS下進行清除清除時,對於現在大多數流行的病毒,如蠕蟲病毒、木馬程序和網頁代碼病毒等,都可以在安全模較魯溝濁宄模槐匾褚鄖澳茄匦胍萌砼唐舳倍荊壞雜谝恍┮記《競透腥究芍蔥形募牟《靜判枰诖?DOS下殺毒(建議用幹淨軟盤啓動殺毒)。而且,當計算機原來就感染了病毒,那就更需要在安裝反病毒軟件後(升級到最新的病毒庫),在安全模式(Safe Mode)或者純DOS下清除一遍病毒了! 2 、帶毒文件在\Temporary Internet Files目錄下 由於這個目錄下的文件,Windows 會對此有一定的保護作用,所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除,對於這種情況,請先關閉其他一些程序軟件,然後打開 IE ,選擇IE工具欄中的 " 工具"\"Internet 選項 ",選擇 " 刪除文件 " 刪除即可,如果有提示" 刪除所有脫機內容 ",也請選上一並刪除。 3 、帶毒文件在 \_Restore 目錄下,*.cpy 文件中 這是係統還原存放還原文件的目錄,只有在裝了Windows Me/XP 操作係統上才會有這個目錄,由於係統對這個目錄有保護作用。 對於這種情況需要先取消" 係統還原 " 功能,然後將帶毒文件刪除,甚至將整個目錄刪除也是可以的。 4 、帶毒文件在.rar 、.zip 、.cab 等壓縮文件中 對於絕大多數的反病毒軟件來說,現在的查殺壓縮文件中病毒的功能已經基本完善了,單是對於一些特殊類型的壓縮文件或者加了密碼保護的壓縮文件就可能直接清除了。 要清除壓縮文件中的病毒,建議解壓縮後清除,或者借助壓縮工具軟件的外挂殺毒程序的功能,對帶毒的壓縮文件進行殺毒。 5 、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中 這種病毒一般是引導區病毒,報告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在於移動存儲設備(如軟盤、閃存盤、移動硬盤)上,就可以借助本地硬盤上的反病毒軟件直接進行查殺; 如果這種病毒是在硬盤上,則需要用幹淨的可引導盤啓動進行查殺。對於這類病毒建議用幹淨軟盤啓動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的操作係統的情況,如日文Windows 、Linux 等。 如果沒有幹淨的可引導盤,則可使用下面的方法進行應急殺毒: (1) 在別的計算機上做一張幹淨的可引導盤,此引導盤可以在Windows 95/98/ME 係統上通過 " 添加/刪除程序 " 進行制作,但要注意的是,制作軟盤的操作係統須和自己所使用的操作係統相同; (2) 用這張軟盤引導啓動帶毒的計算機,然後運行以下命令: A:\>fdisk/mbr A:\>sys a: c: 針對 NT 構架的操作係統可首先安裝“管理員控制台”,安裝後使用管理員控制台,然後分別執行 fixmbr (恢複主引導記錄)和 fixboot (恢複啓動盤上的引導區)命令對引導區及啓動信息進行修複。 如果帶毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那麽直接刪除即可。這是係統在安裝的時候對硬盤引導區做的一個備份文件,一般作用不大,病毒在其中已經不起作用了。 6 、帶毒文件在一些郵件文件中,如 dbx 、 eml 、 box 等 絕大多數的防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒,對於郵箱中的帶毒的信件,可以根據用戶的設置殺毒或刪除帶毒郵件,但是由於此類郵箱的複合文件結構,易出現殺毒後的郵箱依舊可以檢測到病毒情況,這是由於沒有壓縮郵箱進行空間釋放的原因導致的,您可以嘗試在 Outlook Express 中選擇“工具” — 〉“選項” — 〉“維護” — 〉“立即清除” — 〉“壓縮” 7 、文件中有病毒的殘留代碼 這種情況比較多見的就是帶有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文檔中的宏病毒)和個別網頁病毒的殘留代碼,通常防毒軟件對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是 int 、 app 等結尾,而且並不常見,如 W32/FunLove.app 、W32.Funlove.int 。一般情況下,這些殘留的代碼不會影響正常程序的運行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。 8 、文件錯誤 這種情況出現的並不多,通常是由於某些病毒對係統中的關鍵文件修改後造成的,異常的文件無法正常使用,同時易造成別的係統錯誤,針對此種情況建議進行修複安裝的方法恢複係統中的關鍵文件。 9 、加密的文件或目錄 對於一些加密了的文件或目錄,請在解密後再進行病毒查殺。 10 、共享目錄殺毒 這裏包括兩種情況:本地共享目錄和網絡中遠程共享目錄(其中也包括映射盤)。 遇到本地共享的目錄中的帶毒文件不能清除的情況,通常是局域網中別的用戶在讀寫這些文件,殺毒的時候表現爲無法直接清除這些帶毒文件中的病毒,如果是有病毒在對這些目錄在寫病毒操作,表現爲對共享目錄進行清除病毒操作後,還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況,都建議取消共享,然後針對共享目錄進行徹底查殺,恢複共享的時候,注意不要開放太高的權限,並對共享目錄加設密碼。對遠程的共享目錄(包括映射盤)查殺病毒的時候,首先要保證本地計算機的操作係統是幹淨的,同時對共享目錄也有最高的讀寫權限。如果是遠程計算機感染病毒的話,建議還是直接在遠程計算機進行查殺病毒。 特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行殺毒操作。在平時的使用中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠程共享目錄中的文件,建議拷貝到本地檢查過病毒後再進行操作。 11 、光盤等一些存儲介質 對於光盤上帶有的病毒,不要試圖直接清除,這是因爲光盤上的文件都是只讀的原因導致的。同時,對另外一些存儲設備查殺病毒的,也需要注意其是否處於寫保護或者密碼保護狀態。
|