【文章內(nèi)容簡介】 匹配特征： 1) TCP、 UDP 和 ICMP 協(xié)議 2) 源 IP, 源端口 3) 目的 IP, 目的端口 病毒碼特征： 病毒簽名 實(shí)際的病毒代碼行 Offset病毒文件中（病毒代 碼）病毒簽名所在位置 DepthNVW 所會(huì)掃描的代碼范圍（偏離 offset 的范圍） NVW 使用這些信息來檢查數(shù)據(jù)包并發(fā)現(xiàn)病毒。 六 、 病毒發(fā)作的常見癥狀 病毒發(fā)作時(shí) , 主要 表現(xiàn)有如下 癥狀 ，根據(jù)這些癥狀可以幫助我們判斷是否感染了計(jì)算機(jī)病毒 ： 12 （ 1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來 , 磁盤壞簇莫名其妙地增多。 （ 2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間 , 使可執(zhí)行程序容量增大。 （ 3）由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽 , 使接觸到的磁盤出現(xiàn)特別標(biāo)簽。 （ 4） 由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間 , 使可用系統(tǒng)空間變小。 （ 5）由于病毒程序的異?；顒?dòng) , 造成異常的磁盤訪問。 （ 6）由于病毒程序附加或占用引導(dǎo)部分 , 使系統(tǒng)導(dǎo)引變慢。 （ 7）丟失數(shù)據(jù)和程序。 （ 8）中斷向量發(fā)生變化。 （ 9）打印出現(xiàn)問題。 （ 10）死機(jī)現(xiàn)象增多。 （ 11）生成不可見的表格文件或特定文件。 （ 12）系統(tǒng)出現(xiàn)異常動(dòng)作 , 例如：突然死機(jī) , 又在無任何外界介入下 , 自行起動(dòng)。 （ 13）出現(xiàn)一些無意義的畫面問候語等顯示。 （ 14）程序運(yùn)行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。 （ 15）磁盤的卷標(biāo)名發(fā)生變 化。 （ 16）系統(tǒng)不認(rèn)識(shí)磁盤或硬盤不能引導(dǎo)系統(tǒng)等。 （ 17）在系統(tǒng)內(nèi)裝有漢字庫且漢字庫正常的情況下不能調(diào)用漢字庫或不能打印漢字。 （ 18）在使用寫保護(hù)的軟盤時(shí)屏幕上出現(xiàn)軟盤寫保護(hù)的提示。 （ 19）異常要求用戶輸入口令。 （ 摘自中國計(jì)算機(jī)安全 ） 七 、計(jì)算機(jī) 操作病毒防范 策略 計(jì)算機(jī)病毒無孔不入， 所以我們 必須提高警惕， 不能 忽略 平時(shí)的預(yù)防工作。建議采用“ 防、查、殺 ” 相結(jié)合的方式來防止計(jì)算機(jī)病毒的傳播和破壞，將病毒對(duì)系統(tǒng)的潛在破壞性減到最少。 在這里將給大家提幾點(diǎn)參考建議： 如何減少 計(jì) 算機(jī) 感染病毒機(jī)會(huì) 出現(xiàn)病毒后 的消毒是一種被動(dòng)的補(bǔ)救措施，只有防毒才能防患于未然。計(jì)算機(jī)病毒的預(yù)防必須做到管理與技術(shù)相結(jié)合。 1) 提高對(duì)光盤、軟盤、 新購置的計(jì)算機(jī)系統(tǒng) 、軟件使用時(shí)的警覺。 用防病毒軟件檢查 13 證實(shí)沒有病毒傳染和破壞跡象再實(shí)際使用。 2) 在保證硬盤無病毒的情況下，盡量不要用軟盤去啟動(dòng) 系統(tǒng) 。啟動(dòng)前 或關(guān)機(jī)前 ，應(yīng)將軟盤驅(qū)動(dòng)器的門打開，并抽出軟盤。 3) 定期與不定期地進(jìn)行磁盤重要文件的備份工作。備份前要保證沒有病毒，不然也會(huì)將病毒備份。 4) 使用工具提取分區(qū)等方法做好系統(tǒng)信息，尤其是分區(qū)表、 CMOS、 DOS 引導(dǎo)扇區(qū)信息以及其他系統(tǒng)關(guān)鍵數(shù)據(jù)備份工作，在進(jìn) 行系統(tǒng)維護(hù)和修復(fù)工作時(shí)可作為參考。 5) 要盡可能將數(shù)據(jù)和程序分別存放。 6) 任何情況下，總應(yīng)保留一張不開寫保護(hù)口的、無病毒的、帶有各種 DOS 命令文件的系統(tǒng)啟動(dòng)軟盤，用于清除病毒和維護(hù)系統(tǒng)。有了 ， ，DEBUG 和 COMP 等等 DOS 程序，很多工作都可以進(jìn)行了。 7) 經(jīng)常升級(jí)您的反病毒軟件，留意反病毒廠商的升級(jí)通告。 8) 對(duì)于多人共用一臺(tái)計(jì)算機(jī)的環(huán)境，例如實(shí)驗(yàn)室這種情況，應(yīng)建立登記上機(jī)制度，做到使問題能盡早發(fā)現(xiàn)，有病毒能及時(shí)追緝、清除，不致擴(kuò)散。 9) 提高對(duì)計(jì)算機(jī)異常現(xiàn)象的警覺 10) 使用從正規(guī)渠道買到 的正版軟件。 11) 不訪問 非法或 不良網(wǎng)站。 以下再教大家?guī)资志唧w預(yù)防病毒的方法： 1) 禁止 Windows 的 Scripting Host 功能 這個(gè)措施可以阻止 Visual Basic 的腳本病毒的運(yùn)行，因此它們就無法啟用，無法對(duì)文件造成破壞。 一臺(tái) PC一般來說不需要運(yùn)行 Windows Scripting Host (WSH) 。因此，禁用這個(gè)功能對(duì)系統(tǒng)不會(huì)有太大的影響，如果你想要用的話，也可以再添加該組件。 14 2) 顯示已知文件類型的后綴名 所有的 Windows 操作系統(tǒng)在默認(rèn)情況下會(huì)隱藏已知文件類型的后綴名。這個(gè)特性可以被惡意程序編寫者或黑客利用將病毒程序用別的文件類型例如 TXT，視頻文件偽裝起來。 3) 關(guān)閉在文件夾中顯示常見任務(wù)選項(xiàng) 因?yàn)槠渲邪艘恍┠_本代碼。推薦用戶使用經(jīng)典風(fēng)格的瀏覽方式 15 4) 將 IE的安全級(jí)別設(shè)為中或高 默認(rèn)的情況下， IE的安全屬性設(shè)置為中，但是某些病毒和惡意程序可以將這個(gè)選項(xiàng)改為低，從而導(dǎo)致病毒的侵入。 建議用戶至少將 安全級(jí)別設(shè)為中，以降低被感染的幾率。在中度安全級(jí)別下，當(dāng)要運(yùn)行一些包含不安全因素的程序時(shí)， IE會(huì)給出警告。 5) 在打開電子郵件的附件時(shí)給出警告提示（可以應(yīng)用到 Microsoft Outlook 和 Outlook Express ） 16 許多病毒和其它的惡意程序都是通過電子郵件的附件進(jìn)行傳播的。往往是由于用戶漫不經(jīng)心的雙擊了一下郵件中帶的附件。因此推薦用戶在打開之前先將附件保存下來，然后用防毒軟件做一下掃描。 6) 啟用宏病毒保護(hù)功能 針對(duì) Office 95 和 Office 97 針對(duì) Office 2020 17 7) 在保存改動(dòng)到通用模板的時(shí)候顯示警告框 幾乎所有的宏病毒都會(huì)在 Microsoft Word的會(huì)話關(guān)閉前企圖去感染通用模板()。因此在通用模板保存改動(dòng)前給出提示框是明智的選擇。 8) 更新微軟提供的最新的安 全補(bǔ)丁 安全補(bǔ)丁更新可以阻止黑客或某些惡意程序利用已知的安全漏洞對(duì)您的系統(tǒng)進(jìn)行攻擊。 為了防止安全漏洞，建議用戶在裝完系統(tǒng)以后，及時(shí)的打上系統(tǒng)補(bǔ)丁。您可以訪問這個(gè)鏈接 ，它會(huì)給出相應(yīng)的向?qū)А? 18 9) 系統(tǒng)管理員口令設(shè)定 盡量使用數(shù)字與字母混排的口令，并保證足夠的長度，以免口令過于簡單而被破解。 例如： 2aQ9_5vS就是一個(gè)安全性較好的口令，象 123 這種口令就是不可取的 10) 網(wǎng)絡(luò)共享管理 盡量不要在工作站之間創(chuàng)建共享 僅在服務(wù)器和工作站之間創(chuàng)建共享 針對(duì)共享文件夾，設(shè)置正確的訪問權(quán)限 11) 電子郵件附件的處理 阻止用戶通過電子郵件直接發(fā)送可執(zhí)行文件 12) 關(guān)閉 outlook express 的預(yù)覽窗口 預(yù)覽窗口會(huì)自動(dòng)打開郵件的附件，這將危害到用戶的計(jì)算機(jī)。建議關(guān)閉該預(yù)覽功能。 單擊查看，在下拉菜單中選取布局，取消顯示預(yù)覽窗格前的選項(xiàng)。 19 八 、 計(jì)算機(jī)病毒清除方法 一旦懷疑感染病毒， 首先，不要驚慌，這遠(yuǎn)不是一件能夠讓您大驚小怪的事， 但我們需要恰當(dāng)?shù)奶幚聿《臼录?， 通常，病毒會(huì)有以下幾種傳播方式 ? 將自己做為附件，大量發(fā)送郵件， 發(fā)送出去的郵件利用郵件瀏覽器的漏洞自動(dòng)執(zhí)行之。 ? 搜索網(wǎng)絡(luò)共享驅(qū)動(dòng)器，將病毒的附件留在其中。 ? 通過點(diǎn)對(duì)點(diǎn)軟件的共享文件復(fù)制病毒文件， 例如 edonkey. ? 修改注冊表或配置文件，當(dāng)系統(tǒng)下次重新啟動(dòng)的時(shí)候，就會(huì)自動(dòng)執(zhí)行病毒程序。 下面是我們建議采用的幾個(gè)基本步驟： 1. 設(shè)置策略阻止病毒進(jìn)一步擴(kuò)散，例如設(shè)置防病毒軟件阻止電子郵件附件中的可執(zhí)行文 20 件， 趨勢科技的 ScanMail 和網(wǎng)關(guān)防毒 產(chǎn)品 可以進(jìn)行這種過濾 （由病毒管理員操作）。 2. 禁止不必要的網(wǎng)絡(luò)共享，對(duì)已有的共享設(shè)置好相應(yīng)的權(quán)限。 現(xiàn)在，許多病毒都會(huì)在網(wǎng)絡(luò)上的共享文件夾中傳播，因此建議用戶盡量關(guān)閉不需要的網(wǎng)絡(luò)共享一避免這種傳播。如果是 windows 2020 的系統(tǒng)，您可以用 puter management 來管理共享文件夾。 3. 清除病毒 。 ? 執(zhí)行清毒前準(zhǔn)備工作 數(shù)據(jù)備份： 在執(zhí)行以下操作前，請(qǐng)對(duì)系統(tǒng)中的重要數(shù)據(jù)進(jìn)行備份，以免由于操作不當(dāng)，導(dǎo)致數(shù)據(jù)丟失。備份方式可以采用 CDR 或其他一些大容量存儲(chǔ)介質(zhì) 21 關(guān)閉系統(tǒng)還原功能： Windows XP 以及 Windows ME 的系統(tǒng)需要關(guān)閉系統(tǒng)還原功能，以免系統(tǒng)自動(dòng)備份刪除的病毒文件 ? 切斷工作站的網(wǎng)絡(luò)連接，將系統(tǒng)啟動(dòng)到安全模式 進(jìn)入安全模式方法： 系統(tǒng)啟動(dòng)時(shí)按 F8 鍵，出現(xiàn)選單時(shí)選擇相應(yīng)選項(xiàng)進(jìn)入安全模式。 ? 在系統(tǒng)運(yùn)行的情況下使用趨勢科技提供的 Sysclean 清毒工具對(duì)系統(tǒng)進(jìn)行清毒處理 ，使用方法參見附錄 注意：針對(duì) Win9x/ME 系統(tǒng)，可以在使用干凈的 DOS 引導(dǎo)盤啟動(dòng)系統(tǒng)后，使用趨勢科技提供的 PCScan 清毒工具對(duì)系統(tǒng)進(jìn)行清毒處理 （ 。 如果想 使用在線殺毒 ， 請(qǐng)登陸以下站點(diǎn)查看與使用在線殺毒 4. 刪除注冊表和配置文件中病毒文件產(chǎn)生的選項(xiàng)，在刪除前要先將病毒程序的服務(wù)停掉。 許多病毒通過修改注冊表，以達(dá)到在下次系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行它的目的。 使用 SysClean通?？梢詭椭慊謴?fù) 系統(tǒng)文件和注冊表，但有些時(shí)候您或許需要通過手動(dòng)方式清理注冊表 。 提醒：對(duì)注冊表和系統(tǒng)文件修改前請(qǐng)先備份。 打開注冊表編輯器 方法： 單擊 開始 運(yùn)行，在彈出的輸入框中輸入 regedit并按 enter鍵然后檢查下列鍵值。 \Software\Microsoft\Windows\CurrentVersion\Run \SYSTEM\CurrentControlSet\Services 根據(jù)病毒的情況，刪除或還原相應(yīng)的選項(xiàng)。您 可以在下面的鏈接找到相關(guān)的信息。 如果您不確信找到的鍵值是不是屬于該病毒的，您可以寫信給趨勢科技的技術(shù)人員尋求進(jìn)一步的信息。 系統(tǒng)文件恢復(fù)： 檢查 文件 檢查關(guān)于 [windows]的部分 . 例如 : [windows] 22 load= run= 檢查 文件 . 檢查關(guān)于 [boot]的部分 . 例如 : [boot] Shell= 刪除關(guān)于病毒的部分 . 5. 碰到