课 时 第11周 第 1-2 课时 2009 年 月1日 课题:清除计算机病毒的基本技术 一、教学目的: 1、理解清除计算机病毒的一般性原则 2、清除文件型病毒的基本技术 3、清除脚本型病毒的基本技术 二、教学重点: 1、理解清除文件型病毒的基本技术 2、清除脚本型病毒的基本技术 三、教学难点: 1、清除文件型病毒的基本技术 四、教学方法: 以投影仪辅助讲解为主,利用多媒体计算机、投影仪和黑板进行穿插教学 五、教学用具: 黑板、多媒体计算机、投影仪、CAI课件 六、教学过程: (一) 清除计算机病毒的一般性原则 目前,国内流行的硬件,软件清除病毒工具都遵循以下原则: (1)计算机病毒的清除工作最好在无毒环境中进行,以确保清除病毒的有效性. (2)在启动系统的系统盘和杀毒软件上加写保护标签,以防止其在清除过程中感染上病毒. (3)在清除病毒之前,一定要确认系统或文件确实存在病毒,以保护文件的有效性。 (4)全面性,有效性,准确性杀毒,以保证清除病毒. (5)尽量不要使用激活病毒的方法检测病毒,以保证系统不要受到破坏. (6)一般不能用病毒标示免疫方法清除病毒. (7)一定要干净彻底地清除计算机及磁盘上所有的同一病毒. (8)对于同一宿主程序被几个病毒交叉感染或重复感染的,要按感染的逆顺序从后向前依次清除病毒. (二)、计算机病毒的清除原理 清除计算机病毒要建立在正确检测病毒的基础之上。清除计算机病毒主要应做好以下工作: (1) 清除内存中的病毒。 (2) 清除磁盘中的病毒。 (3) 病毒发作后的善后处理。 计算机病毒的清除方法一般有: 人工清除法和自动清除法两种。 人工清除是指用户利用软件,如DEBUG 、PCTOOLS等 所具有的有关功能进行病毒清除;自动清除是指利用 防治病毒的软件来清除病毒。 (三)、计算机病毒的清除 引导型计算机病毒主要感染磁盘的引导扇区.计算机感染了引导型计算机病毒,可利用以下方法清除: (1)用杀毒软件查杀. (2)重新写引导扇区. (3)磁盘格式化 文件型病毒的清除方法: 清除文件型病毒通常按照以下步骤进行: ① 分析病毒与被感染文件之间的链接方式。 ② 确定病毒程序是位于文件的首部还是尾部,找到病毒程序开始和结束的位置,还原被感染文件的主要部分。 ③ 恢复被感染文件的头部参数。 最后,把恢复后的内容写入文件。在这一过程中,因为不包括病毒体,文件长度会变短,只要把文件的正常内容写入文件,病毒体就会被清除。 文件型病毒是指寄生在正常可执行或动态链接库文件(如COM、EXE和DLL)中,通过运行被感染的文件而激活的一种病毒。在用户调用染毒的可执行文件时,计算机病毒首先被运行,然后计算机病毒驻留内存伺机感染其他文件.其特点是附着于正常文件,成为程序文件的一个部件. 文件型病毒的感染通常采用方法有: (1)替代法 (2)链接法 (3)独立存在法(伴随型病毒) (四) 、.COM文件被病毒感染原理 COM 文件比较简单, 病毒要感染COM文件有两种方法,一种是将病毒加在COM前部,一种是加在文件尾部,见下图: A B -------- --------------- |-病毒 | |JMP XXXX:XXXX| (原文件的前3字节被修改) -------- --------------- |原文件| ├ 原程序 ┤ -------- -------------- ├ 病毒 ┤ .EXE文件被病毒感染 EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下: EXE文件头信息 ----------------------------------- ├ 偏移量 ┤ 意义 ┤ ├00h-01h ┤MZ‘EXE文件标记 ┤ ├2h-03h ┤文件长度除512的余数 ┤ ├04h-05h ┤...............商 ┤ ├06h-07h ┤重定位项的个数 ┤ ├08h-09h ┤文件头除16的商 ┤ ├0ah-0bh ┤程序运行所需最小段 数 ┤ ├0ch-0dh ┤..............大..... ┤ ├oeh-0fh ┤堆栈段的段值 (SS) ┤ ├10h-11h ┤........sp ┤ ├12h-13h ┤文件校验和 ┤ ├14h-15h ┤IP ┤ ├16h-17h ┤CS ┤ ├18h-19h ┤............ ┤ ├1ah-1bh ┤............ ┤ ├1ch ┤............ ┤ 当加载EXE文件时,根据文件头信息,调入一定长度的文件,设置SS,SP 从CS:IP 开始执行.病毒一般将自己加在文件的末端,并修改CS,IP的值指向病毒起始地址,并修改文件长度信息和SS,SP。 (五) 、清除文件型病毒的基本技术 所谓文件型病毒是指寄生在正常可执行或动态链接库文件(如COM、EXE和DLL)中,通过运行被感染的文件而激活的一种病毒。虽然现在的电脑病毒越来越向着网络化蠕虫类发展,但仍然还有许多文件型的病毒横行。 由于许多用户对查杀文件型病毒存在误解,因此这类病毒往往被认为很难清除,最终只得重装系统。其实只要注意以下几点,此类病毒还是很容易被清除的。 1.文件型病毒都驻留内存,在正常模式下,由于带毒文件正在运行,无法对这些文件直接进行操作。从现今的反病毒技术和病毒来看,绝大部分病毒都不可能在正常模式下简单地就可以彻底清除,所以清除文件型病毒最好在DOS模式下操作。 2.许多文件型病毒也会通过网络感染,所以杀毒时一定要断掉网络连接(拔掉网线),特别在局域网中,一定要把所有电脑上的病毒全都查杀干净以后才可以连 网,否则一台刚刚杀过毒的电脑可能被再次感染,这点一定要注意。如果你面对的是一个中大型的局域网,可以考虑购买企业版(网络版)的杀毒软件进行管理。 3.由于文件型病毒都是要对宿主文件(也就是要被感染的文件)进行修改,把自身代码添加到宿主文件上,所以会造成一些结构比较复杂的文件损坏,比如一些自解压缩文件(通常是一些软件的安装文件)、带有自校验功能的文件无法运行,当它感染了系统文件,还会造成系统问题(比如经常出现“非法操作”等)。出现的 这些症状即使用杀毒软件把病毒清除干净了也没法修复,这并不是杀毒软件把文件“杀坏”了,而是感染这个病毒时就已经损坏了。 这时只能用以前的备份文件替换掉损坏的文件。 (六) 、脚本病毒的清除 VBS脚本病毒的感染方式: VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。例如,新欢乐时光病毒可以将自己的代码附加在htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则是直接生成一个文件的副本,将病毒代码复制到其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。 七、课程小结: 通过本章的学习,应掌握计算机病毒”文件型病毒,脚本病毒,邮件病毒”的清除方法等等。 八、课后作业 (书面作业或上机作业要说明)