计算机病毒查杀方法.ppt

计算机病毒查杀本章学习目标•掌握计算机病毒诊断知识•掌握杀毒引擎扫描算法•了解病毒诊断实验•理解计算机病毒清除知识本章内容：•计算机病毒的诊断–原理–方法–源码分析•计算机病毒的清除•典型病毒的查杀1 计算机病毒的诊断计算机病毒的诊断内容：内容：•计算机病毒的诊断原理计算机病毒的诊断原理•计算机病毒的诊断方法计算机病毒的诊断方法•高速模式匹配高速模式匹配•自动诊断的源码分析自动诊断的源码分析计算机病毒的诊断原理•用什么来判断？ 染毒后的特征•常用方法：–比较法–校验和–扫描法–行为监测法–行为感染试验法–虚拟执行法–陷阱技术–先知扫描–分析法等等比较法比较法•比较法是用原始或正常的对象与被检测的对象进行比较•手工比较法是发现新病毒的必要方法•比较法又包括：–注册表比较法•工具RegMon•弱点:正常程序也操作注册表–文件比较法•通常比较文件的长度和内容两个方面•工具FileMon•弱点：长度和内容的变化有时是合法的           病毒可以模糊这种变化•内存比较法–主要针对驻留内存病毒–判断驻留特征•中断比较法–将正常系统的中断向量与有毒系统的中断向量进行比较•比较法的好处：简单•比较法的缺点：无法确认病毒，依赖备份校验和法校验和法•首先，计算正常文件内容的校验和并且将该校验和写入某个位置保存。

然后，在每次使用文件前或文件使用过程中，定期地检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒•优点：–方法简单–能发现未知病毒–被查文件的细微变化也能发现 •缺点：–必须预先记录正常态的校验和–会误报警–不能识别病毒名称–程序执行附加延迟–不对付隐蔽性病毒扫描法扫描法•扫描法是用每一种病毒体含有的特定字符串（Signature）对被检测的对象进行扫描如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒•扫描器由两部分组成：–特征串（Signature）和扫描算法（Scanner）•选择代码串的规则是：–代码串不应含有病毒的数据区，数据区是会经常变化的–在保持唯一性的前提下，应尽量使特征代码长度短些，以减少时间和空间开销–代码串一定要在仔细分析了程序之后才能选出最具代表性的，足以将该病毒区别于其他病毒和该病毒的其他变种的代码串–特征串必须能将病毒与正常的非病毒程序区分开–例如:给定特征串为“E9 7C 00 10 ? 37 CB”，则“E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB”都能被识别出来.•其优点包括：    （1）当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。

    （2）不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒    （3）可识别病毒的名称    （4）误报警率低    （5）依据检测结果，可做杀毒处理 •缺点：    （1）当被扫描的文件很长时，扫描所花时间也较多    （2）不容易选出合适的特征串，有时会发出假警报    （3）新病毒的特征串未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒    （4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力    （5）容易产生误警报只要正常程序内带有某种病毒的特征串，即使该代码段已不可能被执行，而只是被杀死的病毒体残余，扫描程序仍会报警    （6）不易识别变异类病毒    （7）搜集已知病毒的特征代码，费用开销大    （8）在网络上使用效率低行为监测法行为监测法•利用病毒的特有行为特性来监测病毒的方法称为行为监测法•常用行为：–占用INT 13H –修改DOS系统数据区的内存总量–对COM和EXE文件做写入动作–写注册表–自动联网请求•优点：发现未知病毒•缺点：难度大、误报警感染实验法感染实验法•这种方法的原理是利用了病毒的最重要的基本特征：感染特性。

观察正常程序和可疑程序的表现是非不同• 1．检测未知引导型病毒的感染实验法•a.先用一张软盘，做一个清洁无毒的系统盘，用DEBUG程序，读该盘的BOOT扇区进入内存，计算其校验和，并记住此值同时把正常的BOOT扇区保存到一个文件中上述操作必须保证系统环境是清洁无毒的•b.在这张实验盘上拷贝一些无毒的系统应用程序•c.启动可疑系统，将实验盘插入可疑系统，运行实验盘上的程序，重复一定次数•d.再在干净无毒机器上，检查实验盘的BOOT扇区，可与原BOOT扇区内容比较，如果实验盘BOOT扇区内容已改变，可以断定可疑系统中有引导型病毒•2．检测未知文件型病毒的感染实验法–a.在干净系统中制作一张实验盘，上面存放一些应用程序，这些程序应保证无毒，应选择长度不同，类型不同的文件（既有COM型又有EXE型）记住这些文件正常状态的长度和校验和–b.在实验盘上制作一个批处理文件，使盘中程序在循环中轮流被执行数次–c.将实验盘插入可疑系统，执行批处理文件，多次执行盘中程序–d.将实验盘放人干净系统，检查盘中文件的长度和校验和，如果文件长度增加，或者校验和变化，则可断定系统中有病毒 对于Windows中的病毒，感染实验法检测内容会更多一些，例如，当使用感染实验法检测“广外女生”木马病毒时，可以采用如下步骤： ① 首先打开RegSnap，从file菜单选new，然后单击OK按钮，对当前干净的注册表以及系统文件做一个记录。

如果木马修改了其中某项，就可以分析出来了备份完成之后把它存为Regsnp1.rgs ② 在计算机上运行感染了“广外女生”病毒的文件，例如双击gdufs.exe，然后等一小会儿如果此时发现正在运行着的“天网防火墙”或“金山毒霸”自动退出，就很可能木马已经驻留在系统中了③ 重新打开RegSnap，从file菜单选new,然后单击OK按钮，把这次的snap结果存为Regsnp2.rgs④ 从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modified key names and key values，然后单击OK按钮这样RegSnap就开始比较两次记录有什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm⑤ 为找出木马的驻留位置以及在注册表中的启动项，看Regsnp1-Regsnp2.htm，若显示如下信息： Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 File list in C:\WINNT\System32\*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 …Total positions: 1 则表明两次记录中，没有删除注册表键，修改了15处注册表，新增加了一处注册表键值，在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe。

这个文件非常可疑，因为在比较两次系统信息之间只运行了“广外女生”这个木马，所以有理由相信diagcfg.exe就是木马留在系统中的后门程序这时打开任务管理器，可以发现其中有一个diagcfg.exe的进程，这就是木马的原身但这个时候千万不要删除diagcfg.exe，否则系统就无法正常运行了木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行从Regsnp1-Regsnp2.htm中可以看到哪些注册表项发生了变化，此时若看到：  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@ Old value: String: ″″%1″ %*″ New value: String: ″C:\WINNT\System32\diagcfg.exe ″%1″ %*″ 则说明这个键值由原来的″%1″ %*被修改成了C:\WINNT\System32\DIAGCFG.EXE ″%1″ %*，这就使得以后每次运行任何可执行文件时都要先运行C:\WINNT\System32\ diagcfg.exe这个程序。

⑥ 找出木马监听的端口使用fport可以轻松的实现这一点在命令行中运行fport.exe，可以看到：C:\tool\fport>fport FPort v1.33 TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc.  Pid ProcessPort Proto Path 584 tcpsvcs-> 7TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 9     TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 13    TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 17    TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 19    TCP C:\WINNT\System32\tcpsvcs.exe 836 inetinfo  -> 80    TCP C:\WINNT\System32\inetsrv\inetinfo.exe 408 svchost  -> 135 TCP C:\WINNT\system32\svchost.exe 836 inetinfo  -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8System   -> 445 TCP 464 msdtc   -> 1025 TCP C:\WINNT\System32\msdtc.exe 684 MSTask   -> 1026 TCP C:\WINNT\system32\MSTask.exe 584 tcpsvcs  -> 1028 TCP C:\WINNT\System32\tcpsvcs.exe 836 inetinfo  -> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8System   -> 1030 TCP 464 msdtc   -> 3372 TCP C:\WINNT\System32\msdtc.exe 1176 DIAGCFG  -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE /* 注意这行！ */ 836 inetinfo  -> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 584 tcpsvcs  -> 7     UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 9     UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 13    UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 17    UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 19    UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs  -> 68    UDP C:\WINNT\System32\tcpsvcs.exe 408 svchost  -> 135 UDP C:\WINNT\system32\svchost.exe 8     System   -> 445 UDP 228 services  -> 1027 UDP C:\WINNT\system32\services.exe 836 inetinfo  -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe虚拟执行法虚拟执行法•为了检测多态性病毒，提出了虚拟执行法。

它是一种软件分析器，用软件方法来模拟和分析程序的运行•如果发现隐蔽性病毒或多态性病毒嫌疑时，启动虚拟执行模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法来识别病毒的种类 分析法分析法•分析法的目的在于：–1．确认被观察的磁盘引导区和程序中是否含有–2．确认病毒的类型和种类，判定其是否是一种新病毒–3．搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒代码库供扫描和识别程序用–4．详细分析病毒代码，为制定相应的反病毒措施制定方案人工智能陷阱技术和宏病毒陷阱技人工智能陷阱技术和宏病毒陷阱技术术•人工智能陷阱是一种监测计算机行为的常驻式扫描技术它将所有计算机病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所警觉，并告知使用者•这种技术的优点是执行速度快、操作简便，且可以侦测到各式计算机病毒•其缺点就是程序设计难度大，且不容易考虑周全在这千变万化的计算机病毒世界中，人工智能陷阱扫描技术是一个具有主动保护功能的技术•宏病毒陷阱技术结合了搜索法和人工智能陷阱技术，依行为模式来侦测已知及未知的宏病毒其中，配合OLE2技术，可将宏与文件分开，加快扫描速度，而且可以有效地将宏病毒彻底清除。

先知扫描法先知扫描法•先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术（Software Emulation）伪执行新的计算机病毒，超前分析出新计算机病毒代码，对付未知的计算机病毒•利用原始备份和被检测程序相比较的方法适合于不需专用软件，可以发现异常情况的场合，是一种简单的基本的病毒检测方法；•扫描特征串和识别特征字的方法适用于制作成查病毒软件的方式供广大PC机用户使用，方便而又迅速，但对新出现的病毒会出现漏检的情况，需要与分析和比较法相结合；•分析病毒的方法主要是由专业人员识别病毒，研制反病毒系统时使用，要求较多的专业知识，是反病毒研究不可缺少的方法计算机病毒的诊断方法计算机病毒的诊断方法•手工检测–工具软件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等）–优点：Aver发现并分析新病毒–缺点：不可能普及•自动检测–自动检测是指通过一些自动诊断软件来判断系统是否有毒的方法–优点：易于普及–缺点：滞后性高速模式匹配高速模式匹配•查找的速度是评价一个查毒引擎的关键因素之一•算法种类：–单模式匹配算法：KMP\QS\BM等–多模式匹配算法：DFSA\基于二叉树的算法•问题描述–设待处理（动态）文本为–单模式匹配是从文本中查找一个模式串–多模式匹配就是通过一次查找从文本中发现多个P1,P2,...,Pq最简单的查找算法——BF算法           Brute-Force算法匹配过程 单模式匹配——BM算法     bad-character位移，字符a在P中出现bad-character位移，字符a在P中不出现•计算公式good-suffix位移，只有u的前缀v在P中重现good-suffix位移，u的一次重现且其前一个字符与b不同•首先定义两个条件：cond1(j,s): 对每个k,  j state2–模式集合｛he，she，his，hers｝ •(2) 失效函数f–当发生字符失配时，失效函数指明下一个应处理的状态。

规定：•所有第一层状态的失效函数        ；•对于非第一层的状态s，若其父状态为r（存在某个字符a, g(r,a)=s），其失效函数为               ，状态   为追溯状态s的祖先状态所得到的最近一个使            存在的状态s12 3 4 5 6 7 8 9f(s)00 0 1 2 0 3 0 3•(3) 输出函数output–Output(s) = {根节点到叶子节点路径上字符组成的字符串} –当f(s)=s’时， output(s) U= output(s’)s2579output(s){he}{she, he}{his}{hers}•2. DFSA算法的查找过程–（1） 从有限自动机的0状态出发，逐个取出{P}中模式Pk中的字符c，并按转向函数g(s, c)或失效函数f(s)进入下一状态–（2） 当输出函数output(s)不为空时，输出output(s)•用有限自动机扫描文本串“ushers”的过程：–开始为0状态，因g(0,u)=0，g(0,s)=3，g(3,h)=4，g(4,e)=5，而output(5)={he，she}，故输出{he，she}；–因f(5)=g(f(4),e)=2，g(2,r)=8，g(8,s)=9，output(9)={hers}，故输出｛hers｝。

–即文本串“ushers”中含有he，she，hers这三个模式串扫描引擎的结构自动诊断的源码分析自动诊断的源码分析•讨论自动诊断病毒（查毒）的最简单方法——特征码扫描法•自动诊断程序至少要包括两个部分：–病毒特征码（Virus Pattern\ Virus Signature）库–扫描引擎（Scan Engine）•病毒特征码病毒特征码–意义重大–获得方法–手工–自动•扫描引擎扫描引擎–是杀毒软件的精华部分–考虑杀毒速度–待杀毒文件的类型–支持的硬盘格式–其他特殊技术•虚拟执行•行为识别等等简单的查毒程序简单的查毒程序•VirScan是一个简单的示例程序，其功能：–根据病毒特征码发现特定病毒（CIH和Klez）–VirScan从程序入口点开始查找病毒特征码–对抗Klez病毒会卸载杀毒引擎的功能–CIH病毒不会动态地改变程序入口点处的标记，我们可以自接从入口点处开始–Klez病毒会动态的改变程序入口点处的前16个字节，所以，VirScan跳过了前16个字节 构造病毒库virus.pattern•病毒库virus.pattern的结构如下：–Klez = {A1, 00, 00, 00, 00, 50, 64, 89, 25, 00, 00, 00, 00, 83, EC, 58, 53, 56, 57, 89};–Cih = {55, 8D, 44, 24, F8, 33, DB, 64, 87, 03};初始化病毒库•转化函数：–字符-55； 数字-30•经过转换后的格式为：–unsigned char KlezSignature[]={0xA1, 0x00, 0x00, 0x00, 0x00, 0x50, 0x64, 0x89, 0x25, 0x00, 0x00, 0x00, 0x00, 0x83, 0xEC, 0x58, 0x53, 0x56, 0x57, 0x89};–unsigned char CihSignature[]={0x55, 0x8D, 0x44, 0x24, 0xF8, 0x33, 0xDB, 0x64, 0x87, 0x03};保护VirScan程序•首先，编写一个普通的DLL，该DLL将导出一个名字为DontAllowForDeletion的函数。

–BOOL WINAPI DontAllowForDeletion(LPSTR Str)–{–HANDLE hFile;–if((hFile=CreateFile(Str, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING,–FILE_ATTRIBUTE_READONLY, NULL)) ==INVALID_HANDLE_VALUE){–return FALSE;–}–return TRUE;–}•然后，在VirScan的启动时，调用DLL的导出函数，实现对VirScan程序的保护•DontAllowDeletion = (DLLFUNC *)GetProcAddress(hLib, "DontAllowForDeletion");•DontAllowDeletion(TmpPath));•//TmpPath为VirScan在系统中的物理位置病毒查找模块•查找前需要定位文件、定位PE入口•//查找Klez–SetFilePointer(hFile, pCodeBytes+16, NULL, FILE_BEGIN);–ReadFile(hFile, pBytes, sizeof(KlezSignature), &ReadBytes, NULL);–for(i=0; i

–（2）硬盘或软盘的BOOT扇区–（3）为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区–（4）引导型病毒发做，执行破坏行为造成种种损坏•根据感染和破坏部位的不同，可以分以下方法进行修复：•第一种：硬盘主引导扇区染毒，是可以修复的–（1）用无毒软盘启动系统–（2）寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘中将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复•第二种：硬盘、软盘BOOT扇区染毒也可以修复–寻找与染毒盘相同版本的无毒系统软盘，执行SYS命令，即可修复•第三种：引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根目录区，被覆盖的根目录区完全损坏，不可能修复 •第四种：如果引导型病毒将原主引导扇区或BOOT扇区覆盖式写入第一FAT表时，第二FAT表未破坏，则可以修复–可将第二FAT表复制到第一FAT表中 •第五种：引导型病毒占用的其他部分存储空间，一般都采用“坏簇”技术和“文件结束簇”技术占用这些被空间也是可以收回的文件型病毒的消毒原理文件型病毒的消毒原理•覆盖型文件病毒清除–该型病毒是一种破坏型病毒，由于该病毒硬性地覆盖掉了一部分宿主程序，使宿主程序被破坏，即使把病毒杀掉，程序也已经不能修复。

•覆盖型外的文件病毒–原则上都可以被清除干净–根据感染的逆过程来清除 清除交叉感染病毒清除交叉感染病毒•交叉感染：有时一台计算机内同时潜伏着几种病毒，当一个健康程序在这个计算机上运行时，会感染多种病毒，引起交叉感染•清除的关键：–搞清楚多种病毒的感染顺序–按感染先后次序的逆序清楚头部宿主文件尾部病毒1病毒2病毒3病毒3病毒2病毒1头部宿主文件尾部感染顺序： 病毒1 --〉病毒2 -–〉病毒3在杀毒时：病毒3 --〉病毒2 -–〉病毒1 计算机病毒的清除方法计算机病毒的清除方法•手工清除病毒的方法使用Debug、Regedit、SoftICE和反汇编语言等简单工具进行跟踪，清除的方法–优点：可以处理新病毒或疑难病毒（Worm等）–缺点：需要高技术，复杂•自动清除病毒方法使用杀毒软件自动清除染毒文件中的病毒代码，使之复原–优点：方便，易于普及–缺点：滞后、不能完全奏效针对典型病毒的查杀方法针对典型病毒的查杀方法•Outlook漏洞病毒的查杀漏洞病毒的查杀•恶意代码查杀方法恶意代码查杀方法•宏病毒查杀方法宏病毒查杀方法•清除清除W32.Spybot.Worm蠕虫病毒蠕虫病毒Outlook漏洞病毒的查杀漏洞病毒的查杀•Outlook漏洞病毒的查杀原理很简单，只要在附件或邮件体中搜索特定代码就可以。

•但邮件病毒查杀的关键是时效性，即实时拦截邮件并处理•病毒引擎的位置：–服务器端（SMTP Server）•反垃圾邮件系统–客户端（Outlook, FoxMail）绑定•Add-in–客户端独立程序•各种杀毒软件、其他客户端反垃圾软件(邮件狗)服务器端技术客户端绑定技术（Outlook为例）•1.引入三个对象–#import "C:\Program Files\Common Files\Designer\msaddndr.dll"–#import "D:\Microsoft Office\Office\Mso9.dll"–#import "D:\Microsoft Office\Office\Msoutl9.olb“•连接到Outlook, 监视一些事件•if(m_outlook.CreateInstance(__uuidof(Outlook::Application)) == S_OK) • {•  Outlook::_InspectorsPtr inspectors; •  //获得inspectors•if(m_outlook->get_Inspectors(&inspectors) == S_OK)•{•   //用helper方法连接•CEventSink::Advice( inspectors,•                       GetIDispatch(FALSE), •                       __uuidof(Outlook::InspectorsEvents));•  }•  •  //获得explorer(邮件列表窗口)•  new CEventSink(*this,m_outlook->ActiveExplorer());• }•当邮件在一个独立的窗口打开时，触发下列事件–void COutlooksampleDlg::NewInspector(IDispatch *disp)–{–// 给该邮件一个事件• new CEventSink(*this,disp);–} •//当邮件显示在预览窗口时•void CEventSink::SelectionChange()•{•long count = 0;• if(m_explorer != 0)•{•  Outlook::SelectionPtr& selection =m_explorer->Selection;•  if(selection->get_Count(&count) == S_OK && count > 0) •  {•   Outlook::_MailItemPtr mailItem = selection->Item((short)1);•   //显示在控件中•m_dlg.DisplayMailItem(mailItem); •  }• }•}WEB恶意代码查杀方法恶意代码查杀方法•恶意代码经常通过修改注册表和系统配置来破坏系统的正常操作，影响用户的正常使用。

被这种病毒感染后，要设法修复被修改和禁用各个注册表项•检查位置：–网关–客户端（魔法兔子等）•修复方法是：–首先新建一个文本文件，接着把扩展名改为reg；–然后，把恢复脚本填入该文件中；–最后，运行该文件就可以了网关技术客户端技术•实时文件监控（杀毒软件）•禁止功能–例如，禁止3721–REGEDIT5#B83FC273-3522-4CC6-92EC-75CC86678DA4 3721's CLSID[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet  Explorer\ActiveX Compatibility{B83FC273-3522-4CC6-92EC-75CC86678DA4}]"Compatibility Flags"=dword:00000400修复脚本•REGEDIT4•//修复RUN按钮•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]•"NoRun"=dword:00000000•//修复关闭按钮•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]•"NoClose"=dword:00000000•//修复注销按钮•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]•"NoLogOff"=dword:00000000•//取消隐藏盘符•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]•"NoDrives"=dword:00000000 •//取消禁止注册表•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]•"DisableRegistryTools"=dword:00000000 •//取消禁止运行DOS程序•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]•"Disabled"=dword:00000001 •//取消禁止进入DOS模式•[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]•"NoRealMode"=dword:00000001 •//取消开机提示窗口标题•[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]•"LegalNoticeCaption"="" •//取消开机提示窗口信息•[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon]•"LegalNoticeText"="" •//重设IE标题•[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]•"Window Title"="Microsoft Internet Explorer"•[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]•"Window Title"="Microsoft Internet Explorer"•//重置IE起始页[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]•"Start Page"=""宏病毒查杀方法宏病毒查杀方法•方法1：用WordBasic语言以Word模板方式编制杀毒工具，在Word环境中杀毒。

 –优点：杀毒准确，兼容性好–缺点：适合手工，不宜商品化•方法2：根据WordBFF格式，在Word环境外解剖病毒文档（模板），去掉病毒宏–缺点：•第一，容易将原文档破坏；•第二，很容易漏杀病毒；•第三，要不断地随着Word版本升级和病毒变化而改变程序–易于商品化 •杀毒和病毒入侵的原理完全相同–查找感染标记 ---〉用新宏代替旧宏–病毒：   坏 ---〉好–杀毒：   好 ---〉坏•以Maker病毒为例•在Normal.dot的“ThisDocument”中加入以下代码：•Private Sub Document_Open() •Dim SaveDocument, DocumentInfected As Boolean •Dim ad As Object •Dim strVirusName As String •Dim intVBComponentNo As Integer •'病毒感染标记(如果要扫描自己，用"&"连接字符串可以避免误判自己) •'代码重用时，针对不同的病毒可修改以下两句 •Const Marker = "〈- this is another" & " marker!" •strVirusName = "Marker" •'将病毒所作的安全修改回来 •Options.VirusProtection = True •'可能存在的宏代码数目 •intVBComponentNo = ActiveDocument.VBProject.VBComponents.Count •For i = 1 To intVBComponentNo •'获取当前激活文档的宏代码 •Set ad = ActiveDocument.VBProject.VBComponents.Item(i) •'是否包含特征字符串 •DocumentInfected = ad.CodeModule.Find(Marker, 1, 1, 10000, 10000) •'如果包含病毒特征字符串 •If DocumentInfected = True Then •SaveDocument = ActiveDocument.Saved •'如果病毒为追加感染，请修改这一句。

注意这里为全删除宏 •ad.CodeModule.DeleteLines 1, ad.CodeModule.CountOfLines •ActiveDocument.VBProject.VBComponents.Remove (ad) •MsgBox ActiveDocument.FullName & "被" & strVirusName & _ •"宏病毒感染.已去除!", vbInformation, "By:Ray.Deng" •End If •Next i •If DocumentInfected = True & SaveDocument = True Then •ActiveDocument.Save •'如果是成批消毒，建议加上这一句，自动关闭打开的文件 •ActiveDocument.Close•End If •End Sub•编好后存盘，然后查找所有doc和dot文件并执行打开操作清除清除W32.Spybot.Worm蠕虫病毒蠕虫病毒•Win32.Spybot.Worm是一种网络聊天系统机器人（BOT）的开放性源代码蠕虫病毒，由于它的开放性和管理方式都来源于这些分布的机器人，所以这些广泛的机器人病毒都有一些很微小的不同。

•威胁：–搜集本地计算机的配置信息（包括连接的类型、CPU速度和本地驱动的信息）；–在本地计算机安装和删除的文件；–在本地计算机执行各色各样的命令；–键盘操作记录；–毁掉防火墙和杀毒软件程序避免被察觉等等•利用的漏洞：–使用TCP port 135 的 DCOM RPC 弱点；–微软本机安全性认证服务远程缓冲区弱点；–使用UDP port 1434（MSSQL2000或MSDE 2000）验证弱点；–使用TCP port 80 的 WebDAV 弱点；–UPnP通知缓冲区弱点；–使用TCP port 445 的工作站服务缓冲区溢位弱点清除方法•感染了Win32.Spybot.Worm病毒后，清除过程比较繁琐商业杀毒软件和专杀工具都不能自接清除，而是需要手工干预其清除步骤如下：•隔离计算机•清除病毒–（1）关闭操作系统的“系统还原”功能右键点击“我的电脑”——〉属性——〉系统还原——〉关闭所有盘上的系统还原功能–（2）更新杀毒软件（例如Symantec）为最新的病毒定义码 •（3）重新启动计算机到安全模式4）手工启动杀毒程序，对计算机做完全扫描5）记录被感染的文件名，并删除受感染的文件。

•（6）备份注册表7）检查注册表中的一下各项Run、RunOnce、RunServices、Run删除刚才记录的文件名键值（8）针对不同的操作系统，安装相应的补丁9）增强管理员账号的密码强度。