美迪软件病毒防范知识普及手册(编辑修改稿)

美迪软件病毒防范知识普及手册(编辑修改稿)内容摘要：

匹配特征： 1) TCP、 UDP 和 ICMP 协议 2) 源 IP, 源端口 3) 目的 IP, 目的端口 病毒码特征： 病毒签名 实际的病毒代码行 Offset病毒文件中（病毒代 码）病毒签名所在位置 DepthNVW 所会扫描的代码范围（偏离 offset 的范围） NVW 使用这些信息来检查数据包并发现病毒。 六 、 病毒发作的常见症状 病毒发作时 , 主要 表现有如下 症状 ，根据这些症状可以帮助我们判断是否感染了计算机病毒 ： 12 （ 1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来 , 磁盘坏簇莫名其妙地增多。 （ 2）由于病毒程序附加在可执行程序头尾或插在中间 , 使可执行程序容量增大。 （ 3）由于病毒程序把自己的某个特殊标志作为标签 , 使接触到的磁盘出现特别标签。 （ 4） 由于病毒本身或其复制品不断侵占系统空间 , 使可用系统空间变小。 （ 5）由于病毒程序的异常活动 , 造成异常的磁盘访问。 （ 6）由于病毒程序附加或占用引导部分 , 使系统导引变慢。 （ 7）丢失数据和程序。 （ 8）中断向量发生变化。 （ 9）打印出现问题。 （ 10）死机现象增多。 （ 11）生成不可见的表格文件或特定文件。 （ 12）系统出现异常动作 , 例如：突然死机 , 又在无任何外界介入下 , 自行起动。 （ 13）出现一些无意义的画面问候语等显示。 （ 14）程序运行出现异常现象或不合理的结果。 （ 15）磁盘的卷标名发生变 化。 （ 16）系统不认识磁盘或硬盘不能引导系统等。 （ 17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。 （ 18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。 （ 19）异常要求用户输入口令。 （ 摘自中国计算机安全 ） 七 、计算机 操作病毒防范 策略 计算机病毒无孔不入， 所以我们 必须提高警惕， 不能 忽略 平时的预防工作。 建议采用“ 防、查、杀 ” 相结合的方式来防止计算机病毒的传播和破坏，将病毒对系统的潜在破坏性减到最少。 在这里将给大家提几点参考建议： 如何减少 计 算机 感染病毒机会 出现病毒后 的消毒是一种被动的补救措施，只有防毒才能防患于未然。 计算机病毒的预防必须做到管理与技术相结合。 1) 提高对光盘、软盘、 新购置的计算机系统 、软件使用时的警觉。 用防病毒软件检查 13 证实没有病毒传染和破坏迹象再实际使用。 2) 在保证硬盘无病毒的情况下，尽量不要用软盘去启动 系统。 启动前 或关机前 ，应将软盘驱动器的门打开，并抽出软盘。 3) 定期与不定期地进行磁盘重要文件的备份工作。 备份前要保证没有病毒，不然也会将病毒备份。 4) 使用工具提取分区等方法做好系统信息，尤其是分区表、 CMOS、 DOS 引导扇区信息以及其他系统关键数据备份工作，在进 行系统维护和修复工作时可作为参考。 5) 要尽可能将数据和程序分别存放。 6) 任何情况下，总应保留一张不开写保护口的、无病毒的、带有各种 DOS 命令文件的系统启动软盘，用于清除病毒和维护系统。 有了 ， ，DEBUG 和 COMP 等等 DOS 程序，很多工作都可以进行了。 7) 经常升级您的反病毒软件，留意反病毒厂商的升级通告。 8) 对于多人共用一台计算机的环境，例如实验室这种情况，应建立登记上机制度，做到使问题能尽早发现，有病毒能及时追缉、清除，不致扩散。 9) 提高对计算机异常现象的警觉 10) 使用从正规渠道买到 的正版软件。 11) 不访问 非法或 不良网站。 以下再教大家几手具体预防病毒的方法： 1) 禁止 Windows 的 Scripting Host 功能 这个措施可以阻止 Visual Basic 的脚本病毒的运行，因此它们就无法启用，无法对文件造成破坏。 一台 PC一般来说不需要运行 Windows Scripting Host (WSH)。 因此，禁用这个功能对系统不会有太大的影响，如果你想要用的话，也可以再添加该组件。 14 2) 显示已知文件类型的后缀名 所有的 Windows 操作系统在默认情况下会隐藏已知文件类型的后缀名。 这个特性可以被恶意程序编写者或黑客利用将病毒程序用别的文件类型例如 TXT，视频文件伪装起来。 3) 关闭在文件夹中显示常见任务选项 因为其中包含了一些脚本代码。 推荐用户使用经典风格的浏览方式 15 4) 将 IE的安全级别设为中或高 默认的情况下， IE的安全属性设置为中，但是某些病毒和恶意程序可以将这个选项改为低，从而导致病毒的侵入。 建议用户至少将 安全级别设为中，以降低被感染的几率。 在中度安全级别下，当要运行一些包含不安全因素的程序时， IE会给出警告。 5) 在打开电子邮件的附件时给出警告提示（可以应用到 Microsoft Outlook 和 Outlook Express ） 16 许多病毒和其它的恶意程序都是通过电子邮件的附件进行传播的。 往往是由于用户漫不经心的双击了一下邮件中带的附件。 因此推荐用户在打开之前先将附件保存下来，然后用防毒软件做一下扫描。 6) 启用宏病毒保护功能 针对 Office 95 和 Office 97 针对 Office 2020 17 7) 在保存改动到通用模板的时候显示警告框 几乎所有的宏病毒都会在 Microsoft Word的会话关闭前企图去感染通用模板()。 因此在通用模板保存改动前给出提示框是明智的选择。 8) 更新微软提供的最新的安 全补丁 安全补丁更新可以阻止黑客或某些恶意程序利用已知的安全漏洞对您的系统进行攻击。 为了防止安全漏洞，建议用户在装完系统以后，及时的打上系统补丁。 您可以访问这个链接 ，它会给出相应的向导。 18 9) 系统管理员口令设定 尽量使用数字与字母混排的口令，并保证足够的长度，以免口令过于简单而被破解。 例如： 2aQ9_5vS就是一个安全性较好的口令，象 123 这种口令就是不可取的 10) 网络共享管理 尽量不要在工作站之间创建共享 仅在服务器和工作站之间创建共享 针对共享文件夹，设置正确的访问权限 11) 电子邮件附件的处理 阻止用户通过电子邮件直接发送可执行文件 12) 关闭 outlook express 的预览窗口 预览窗口会自动打开邮件的附件，这将危害到用户的计算机。 建议关闭该预览功能。 单击查看，在下拉菜单中选取布局，取消显示预览窗格前的选项。 19 八 、 计算机病毒清除方法 一旦怀疑感染病毒， 首先，不要惊慌，这远不是一件能够让您大惊小怪的事， 但我们需要恰当的处理病毒事件 ， 通常，病毒会有以下几种传播方式  将自己做为附件，大量发送邮件， 发送出去的邮件利用邮件浏览器的漏洞自动执行之。  搜索网络共享驱动器，将病毒的附件留在其中。  通过点对点软件的共享文件复制病毒文件， 例如 edonkey.  修改注册表或配置文件，当系统下次重新启动的时候，就会自动执行病毒程序。 下面是我们建议采用的几个基本步骤： 1. 设置策略阻止病毒进一步扩散，例如设置防病毒软件阻止电子邮件附件中的可执行文 20 件， 趋势科技的 ScanMail 和网关防毒 产品 可以进行这种过滤 （由病毒管理员操作）。 2. 禁止不必要的网络共享，对已有的共享设置好相应的权限。 现在，许多病毒都会在网络上的共享文件夹中传播，因此建议用户尽量关闭不需要的网络共享一避免这种传播。 如果是 windows 2020 的系统，您可以用 puter management 来管理共享文件夹。 3. 清除病毒。  执行清毒前准备工作 数据备份： 在执行以下操作前，请对系统中的重要数据进行备份，以免由于操作不当，导致数据丢失。 备份方式可以采用 CDR 或其他一些大容量存储介质 21 关闭系统还原功能： Windows XP 以及 Windows ME 的系统需要关闭系统还原功能，以免系统自动备份删除的病毒文件  切断工作站的网络连接，将系统启动到安全模式 进入安全模式方法： 系统启动时按 F8 键，出现选单时选择相应选项进入安全模式。  在系统运行的情况下使用趋势科技提供的 Sysclean 清毒工具对系统进行清毒处理 ，使用方法参见附录 注意：针对 Win9x/ME 系统，可以在使用干净的 DOS 引导盘启动系统后，使用趋势科技提供的 PCScan 清毒工具对系统进行清毒处理 （。 如果想 使用在线杀毒 ， 请登陆以下站点查看与使用在线杀毒 4. 删除注册表和配置文件中病毒文件产生的选项，在删除前要先将病毒程序的服务停掉。 许多病毒通过修改注册表，以达到在下次系统启动时自动运行它的目的。 使用 SysClean通常可以帮助你恢复 系统文件和注册表，但有些时候您或许需要通过手动方式清理注册表。 提醒：对注册表和系统文件修改前请先备份。 打开注册表编辑器 方法： 单击 开始 运行，在弹出的输入框中输入 regedit并按 enter键然后检查下列键值。 \Software\Microsoft\Windows\CurrentVersion\Run \SYSTEM\CurrentControlSet\Services 根据病毒的情况，删除或还原相应的选项。 您 可以在下面的链接找到相关的信息。 如果您不确信找到的键值是不是属于该病毒的，您可以写信给趋势科技的技术人员寻求进一步的信息。 系统文件恢复： 检查 文件 检查关于 [windows]的部分 . 例如 : [windows] 22 load= run= 检查 文件 . 检查关于 [boot]的部分 . 例如 : [boot] Shell= 删除关于病毒的部分 . 5. 碰到。