計(jì)算機(jī)病毒及防范技術(shù).ppt

《計(jì)算機(jī)病毒及防范技術(shù).ppt》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《計(jì)算機(jī)病毒及防范技術(shù).ppt（47頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

中國(guó)電信維護(hù)崗位認(rèn)證教材（互聯(lián)網(wǎng)安全維護(hù)專(zhuān)業(yè)）,計(jì)算機(jī)病毒及防范技術(shù),2,目錄,第一章計(jì)算機(jī)病毒介紹第二章計(jì)算機(jī)病毒分析與防護(hù),1.1計(jì)算機(jī)病毒定義,什么是病毒?醫(yī)學(xué)上的病毒定義：是一類(lèi)比較原始的、有生命特征的、能夠自我復(fù)制和在細(xì)胞內(nèi)寄生的非細(xì)胞生物。什么是計(jì)算機(jī)病毒?計(jì)算機(jī)病毒通常是指可以自我復(fù)制，以及向其他文件傳播的程序,3,計(jì)算機(jī)病毒的來(lái)源多種多樣，有的是計(jì)算機(jī)工作人員或業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制造出來(lái)的，有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰“計(jì)算機(jī)病毒”這一概念是1977年由美國(guó)著名科普作家“雷恩”在一部科幻小說(shuō)《P1的青春》中提出1983年美國(guó)計(jì)算機(jī)安全專(zhuān)家“考因”首次通過(guò)實(shí)驗(yàn)證明了病毒的可實(shí)現(xiàn)性。1987年世界各地的計(jì)算機(jī)用戶(hù)幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM圣誕樹(shù)、黑色星期五等等1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，其中“米開(kāi)朗基羅”病毒給許多計(jì)算機(jī)用戶(hù)造成極大損失。、1991年在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)1999年Happy99等完全通過(guò)Internet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成為病毒新的增長(zhǎng)點(diǎn)。……,1.2計(jì)算機(jī)病毒起源和發(fā)展史,4,DOS病毒,Windows病毒,宏病毒,腳本病毒,引導(dǎo)型病毒,病毒的不同類(lèi)型,1.3傳統(tǒng)計(jì)算機(jī)病毒分類(lèi),,,,,計(jì)算機(jī)啟動(dòng)時(shí)使用了被病毒感染的磁盤(pán),啟動(dòng)病毒感染硬盤(pán),在此以后所有使用的磁盤(pán)都會(huì)感染,引導(dǎo)型病毒,5,現(xiàn)代計(jì)算機(jī)病毒類(lèi)型,特洛伊木馬程序,蠕蟲(chóng),玩笑程序,惡意程序dropper,后門(mén)程序,DDos攻擊程序,1.4現(xiàn)代計(jì)算機(jī)病毒介紹,6,特洛伊木馬程序往往表面上看起來(lái)無(wú)害，但是會(huì)執(zhí)行一些未預(yù)料或未經(jīng)授權(quán)，通常是惡意的操作。,7,特洛伊木馬,蠕蟲(chóng),計(jì)算機(jī)蠕蟲(chóng)是指一個(gè)程序（或一組程序），它會(huì)自我復(fù)制、傳播到別的計(jì)算機(jī)系統(tǒng)中去。,8,玩笑程序,玩笑程序是普通的可執(zhí)行程序，這些程序建立的目的是用于和計(jì)算機(jī)用戶(hù)開(kāi)玩笑。,這些玩笑程序設(shè)計(jì)時(shí)不是致力于破壞用戶(hù)的數(shù)據(jù)，但是某些不知情的用戶(hù)可能會(huì)引發(fā)不正當(dāng)?shù)牟僮?，從而?dǎo)致文件的損壞和數(shù)據(jù)的丟失。,9,病毒或惡意程序Droppers,,,,,病毒或惡意程序Droppers被執(zhí)行后，會(huì)在被感染系統(tǒng)中植入病毒或是惡意程序,在病毒或惡意程序植入后，可以感染文件和對(duì)系統(tǒng)造成破壞,用于生成病毒或惡意程序的計(jì)算機(jī)程序,10,后門(mén)程序,后門(mén)程序是一種會(huì)在系統(tǒng)中打開(kāi)一個(gè)秘密訪(fǎng)問(wèn)方式的程序，經(jīng)常被用來(lái)饒過(guò)系統(tǒng)安全策略,11,DDos攻擊程序,DDos攻擊程序用于攻擊并禁用目標(biāo)服務(wù)器的web服務(wù)，導(dǎo)致合法用戶(hù)無(wú)法獲得正常服務(wù),12,網(wǎng)絡(luò)病毒的概念,利用網(wǎng)絡(luò)協(xié)議及網(wǎng)絡(luò)的體系結(jié)構(gòu)作為傳播的途徑或傳播機(jī)制，并對(duì)網(wǎng)絡(luò)或聯(lián)網(wǎng)計(jì)算機(jī)造成破壞的計(jì)算機(jī)病毒稱(chēng)為網(wǎng)絡(luò)病毒。,1.5網(wǎng)絡(luò)病毒,13,Internet,,,,未修補(bǔ)漏洞的系統(tǒng),已修補(bǔ)漏洞的系統(tǒng),染毒電腦,WORM_SASSER.A,,,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,,網(wǎng)絡(luò)病毒的特點(diǎn)及危害,破壞性強(qiáng),傳播性強(qiáng),,針對(duì)性強(qiáng),擴(kuò)散面廣,傳染方式多,消除難度大,14,病毒——網(wǎng)絡(luò)攻擊的有效載體,網(wǎng)絡(luò)攻擊的程序可以通過(guò)病毒經(jīng)由多種渠道廣泛傳播攻擊程序可以利用病毒的隱蔽性來(lái)逃避檢測(cè)程序的搜查病毒的潛伏性和可觸發(fā)性使網(wǎng)絡(luò)攻擊防不勝防許多病毒程序可以直接發(fā)起網(wǎng)絡(luò)攻擊植入攻擊對(duì)象內(nèi)部的病毒與外部攻擊里應(yīng)外合，破壞目標(biāo)系統(tǒng),網(wǎng)絡(luò)病毒同黑客攻擊技術(shù)的融合為網(wǎng)絡(luò)帶來(lái)了新的威脅。攻擊者可以用病毒作為網(wǎng)絡(luò)攻擊的有效載體，呈幾何級(jí)地?cái)U(kuò)大破壞能力。,15,16,目錄,第一章計(jì)算機(jī)病毒介紹第二章計(jì)算機(jī)病毒分析與防護(hù),病毒的常見(jiàn)癥狀,電腦運(yùn)行比平常遲鈍程序載入時(shí)間比平常久對(duì)一個(gè)簡(jiǎn)單的工作，磁盤(pán)似乎花了比預(yù)期長(zhǎng)的時(shí)間不尋常的錯(cuò)誤信息出現(xiàn)硬盤(pán)的指示燈無(wú)緣無(wú)故的亮了系統(tǒng)內(nèi)存容量忽然大量減少可執(zhí)行程序的大小改變了內(nèi)存內(nèi)增加來(lái)路不明的常駐程序文件奇怪的消失文件的內(nèi)容被加上一些奇怪的資料文件名稱(chēng)，擴(kuò)展名，日期，屬性被更改過(guò),2.1病毒的常見(jiàn)癥狀及傳播途徑,17,病毒的常見(jiàn)傳播途徑,文件傳輸介質(zhì)例如CIH病毒，通過(guò)復(fù)制感染程序傳播電子郵件例如梅麗莎病毒，第一個(gè)通過(guò)電子郵件傳播的病毒網(wǎng)絡(luò)共享例如WORM_OPASERV.F病毒可以通過(guò)網(wǎng)絡(luò)中的可寫(xiě)共享傳播文件共享軟件例如WORM_LIRVA.C病毒可以通過(guò)Kazaa點(diǎn)對(duì)點(diǎn)文件共享軟件傳播,18,2.2病毒感染的一般過(guò)程,通過(guò)某種途徑傳播，進(jìn)入目標(biāo)系統(tǒng)自我復(fù)制,并通過(guò)修改系統(tǒng)設(shè)置實(shí)現(xiàn)隨系統(tǒng)自啟動(dòng)激活病毒負(fù)載的預(yù)定功能打開(kāi)后門(mén)等待連接發(fā)起DDOS攻擊進(jìn)行鍵盤(pán)記錄...除引導(dǎo)區(qū)病毒外，所有其他類(lèi)型的病毒，無(wú)一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實(shí)現(xiàn)感染系統(tǒng)的目的。,19,2.3病毒傳播或感染途徑,電子郵件：WORM_MYTOB，WORM_STRATION網(wǎng)絡(luò)共享：WORM_SDBOTP2P共享：WORM_PEERCOPY.A系統(tǒng)漏洞：WORM_MYTOB、WORM_SDBOT其它（目前大多數(shù)木馬、間諜軟件的感染方式）移動(dòng)磁盤(pán)傳播網(wǎng)頁(yè)感染與正常軟件捆綁用戶(hù)直接運(yùn)行病毒程序由其他惡意程序釋放,20,電子郵件郵件附件為病毒壓縮文件HTML正文可能被嵌入惡意腳本利用社會(huì)工程學(xué)進(jìn)行偽裝，增大病毒傳播機(jī)會(huì)傳播速度非?？炖纾琖ORM_MYTOB等病毒,21,網(wǎng)絡(luò)共享病毒會(huì)搜索本地網(wǎng)絡(luò)中存在的共享，如ADMIN$,IPC$,E$,D$,C$通過(guò)空口令或弱口令猜測(cè)，獲得完全訪(fǎng)問(wèn)權(quán)限病毒自帶口令猜測(cè)列表將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中通常以游戲,CDKEY等相關(guān)名字命名利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶(hù)執(zhí)行并感染。例如：WORM_SDBOT等病毒,22,,P2P共享軟件將自身復(fù)制到P2P共享文件夾通常以游戲,CDKEY等相關(guān)名字命名通過(guò)P2P軟件共享給網(wǎng)絡(luò)用戶(hù)利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶(hù)下載例子，WORM_PEERCOPY.A等病毒,23,,系統(tǒng)漏洞由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致惡意用戶(hù)可以通過(guò)畸形的方式利用這些缺陷,達(dá)到在目標(biāo)機(jī)器上執(zhí)行任意代碼的目的,這就是系統(tǒng)漏洞。病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng),達(dá)到快速傳播的目的。常被利用的漏洞RPC-DCOM緩沖區(qū)溢出(MS03-026)WebDAV(MS03-007)LSASS(MS04-011)(LocalSecurityAuthoritySubsystemService)例如：WORM_MYTOB、WORM_SDBOT等病毒,24,,2.4病毒自啟動(dòng)方式,修改系統(tǒng)修改注冊(cè)表啟動(dòng)項(xiàng)文件關(guān)聯(lián)項(xiàng)系統(tǒng)服務(wù)項(xiàng)BHO項(xiàng)將自身添加為服務(wù)將自身添加到啟動(dòng)文件夾修改系統(tǒng)配置文件自動(dòng)加載服務(wù)和進(jìn)程－病毒程序直接運(yùn)行嵌入系統(tǒng)正常進(jìn)程－DLL文件和OCX文件等驅(qū)動(dòng)－SYS文件,25,注冊(cè)表項(xiàng)目之注冊(cè)表啟動(dòng)項(xiàng)：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下：RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下：RunRunOnceRunServices以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序。,26,,注冊(cè)表項(xiàng)目之文件關(guān)聯(lián)項(xiàng)：HKEY_CLASSES_ROOT下：exefile\shell\open\command]@=""%1"%*"comfile\shell\open\command]@=""%1"%*"batfile\shell\open\command]@=""%1"%*"htafile\Shell\Open\Command]@=""%1"%*"piffile\shell\open\command]@=""%1"%*"……病毒將"%1%*"改為“virus.exe%1%*"virus.exe將在打開(kāi)或運(yùn)行相應(yīng)類(lèi)型的文件時(shí)被執(zhí)行,27,,注冊(cè)表項(xiàng)目之系統(tǒng)服務(wù)項(xiàng)：在如下鍵值下面添加子鍵即可將自身注冊(cè)為服務(wù)，隨系統(tǒng)啟動(dòng)而啟動(dòng)：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊(cè)表項(xiàng)目之BHO項(xiàng)在如下鍵值下面添加子鍵（ClSID鍵）即可將自身注冊(cè)為BHO，隨IE瀏覽器啟動(dòng)而啟動(dòng)：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects,28,,將自身添加到啟動(dòng)文件夾：當(dāng)前用戶(hù)的啟動(dòng)文件夾可以通過(guò)如下注冊(cè)表鍵獲得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp項(xiàng)公共的啟動(dòng)文件夾可以通過(guò)如下注冊(cè)表鍵獲得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的CommonStartUp項(xiàng)病毒可以在該文件夾中放入欲執(zhí)行的程序，或直接修改其值指向放置有要執(zhí)行程序的路徑。,29,2.4病毒現(xiàn)象,經(jīng)常出現(xiàn)系統(tǒng)錯(cuò)誤或系統(tǒng)崩潰系統(tǒng)反應(yīng)變慢，網(wǎng)絡(luò)擁塞陌生進(jìn)程或服務(wù)可疑的打開(kāi)端口可疑的自啟動(dòng)程序病毒郵件,30,2.5病毒的隱性行為,下載特性自動(dòng)連接到Internet某Web站點(diǎn)，下載其他的病毒文件或該病毒自身的更新版本/其他變種后門(mén)特性開(kāi)啟并偵聽(tīng)某個(gè)端口，允許遠(yuǎn)程惡意用戶(hù)來(lái)對(duì)該系統(tǒng)進(jìn)行遠(yuǎn)程操控信息收集特性收集私人信息，特別是帳號(hào)密碼等信息，自動(dòng)發(fā)送自身隱藏特性使用Rootkit技術(shù)隱藏自身的文件和進(jìn)程,31,文件感染特性感染系統(tǒng)中部分/所有的可執(zhí)行文件，使得系統(tǒng)正常文件被破壞而無(wú)法運(yùn)行，或使系統(tǒng)正常文件感染病毒而成為病毒體。典型PE_LOOKED維京PE_FUJACKS熊貓燒香網(wǎng)絡(luò)攻擊特性針對(duì)微軟操作系統(tǒng)或其他程序存在的漏洞進(jìn)行攻擊修改計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置向網(wǎng)絡(luò)中其它計(jì)算機(jī)發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)典型震蕩波ARP攻擊,32,,網(wǎng)關(guān)防護(hù)阻斷外部對(duì)內(nèi)部的威脅,,,虛擬化系統(tǒng)防護(hù)對(duì)虛擬化系統(tǒng)和應(yīng)用程序進(jìn)行攻擊防護(hù)、監(jiān)控、安全控制及監(jiān)控管理，提高虛擬化密度,,傳統(tǒng)終端防護(hù)惡意程序防護(hù)、終端管理,,網(wǎng)絡(luò)預(yù)警系統(tǒng)對(duì)外部進(jìn)來(lái)的威脅進(jìn)行預(yù)警,服務(wù)器防護(hù)對(duì)服務(wù)器的攻擊、惡意代碼防護(hù)及安全監(jiān)控審計(jì),,移動(dòng)終端防護(hù)清除垃圾短信和病毒、控制外設(shè),瘦客戶(hù)端防護(hù)安全防護(hù)、降低負(fù)載，控制由外設(shè)產(chǎn)生的安全威脅,,,網(wǎng)站監(jiān)測(cè)平臺(tái)實(shí)時(shí)安全監(jiān)測(cè),2.6計(jì)算機(jī)病毒防御,系統(tǒng)中了病毒怎么辦？,重裝系統(tǒng)？系統(tǒng)還原？Ghost還原？大多數(shù)情況下，可以直接根據(jù)經(jīng)驗(yàn)來(lái)迅速清除各種病毒木馬病毒和后門(mén)程序間諜軟件、廣告軟件和灰色軟件蠕蟲(chóng)病毒文件型病毒母體處理過(guò)程包括修復(fù)病毒修改的注冊(cè)表/文件內(nèi)容刪除病毒文件,2.7計(jì)算機(jī)病毒手工處理,34,病毒處理建議步驟,處理病毒問(wèn)題時(shí)，若病毒進(jìn)程在系統(tǒng)中運(yùn)行，則可能會(huì)出現(xiàn)無(wú)法刪除文件、無(wú)法刪除注冊(cè)表主鍵/鍵值的情況，也可能出現(xiàn)刪除注冊(cè)表鍵值或文件后，被刪除的內(nèi)容會(huì)再次出現(xiàn)的情況。最好在安全模式下操作終止所有可疑進(jìn)程和不必要的進(jìn)程關(guān)閉系統(tǒng)還原,35,檢查注冊(cè)表中常見(jiàn)的病毒自動(dòng)加載項(xiàng),檢查啟動(dòng)項(xiàng):刪除不必要的啟動(dòng)項(xiàng)鍵值，如發(fā)現(xiàn)指向不正?；虿徽J(rèn)識(shí)的程序的鍵值，可將該鍵值刪除。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,36,檢查注冊(cè)表中常見(jiàn)的病毒自動(dòng)加載項(xiàng),檢查服務(wù):在[控制面板]-[管理工具]-[服務(wù)]中，查看是否存在可疑服務(wù)。若無(wú)法確定服務(wù)是否可疑，可直接查看該服務(wù)屬性，檢查服務(wù)所指向的文件。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會(huì)介紹)。對(duì)于不正常的服務(wù)，可直接在注冊(cè)表中刪除該服務(wù)的主鍵。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\,37,檢查注冊(cè)表中常見(jiàn)的病毒自動(dòng)加載項(xiàng),檢查Winlogon加載項(xiàng)在注冊(cè)表中檢查Winlogon相關(guān)加載項(xiàng)：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonShell=Explorer.exe(默認(rèn))Userinit=C:\WINDOWS\system32\userinit.exe,(默認(rèn))以上Shell和Userinit鍵值為默認(rèn)，若發(fā)現(xiàn)被修改，可直接將其修改為默認(rèn)鍵值。,38,檢查注冊(cè)表中常見(jiàn)的病毒自動(dòng)加載項(xiàng),檢查Winlogon加載項(xiàng)在注冊(cè)表中檢查WinlogonNotify相關(guān)加載項(xiàng)：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify在Notify下會(huì)有多個(gè)主鍵(目錄)，每個(gè)主鍵中的DllName鍵值將指向一個(gè)DLL文件。若發(fā)現(xiàn)有指向可疑的DLL文件時(shí)，請(qǐng)先確認(rèn)其指向的DLL是否正常。若不正常，可直接刪除這個(gè)主鍵。,39,檢查注冊(cè)表中常見(jiàn)的病毒自動(dòng)加載項(xiàng),檢查其他加載項(xiàng)在注冊(cè)表中檢查以下注冊(cè)表加載項(xiàng)鍵值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WindowsAppInit_DLLs=“”HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WindowsLoad=“”該鍵值默認(rèn)為空。若鍵值被修改，可直接將鍵值內(nèi)容清空。,40,檢查注冊(cè)表中的BHO項(xiàng),檢查BrowserHelpObject(BHO)項(xiàng)BHO項(xiàng)在注冊(cè)表中包含以下主鍵的內(nèi)容：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjectsHKEY_CLASSES_ROOT\CLSID\可以在HKEY_CLASSES_ROOT\CLSID\下的InprocServer32主鍵中查看BHO項(xiàng)所指向的文件。當(dāng)發(fā)現(xiàn)指向了可疑文件時(shí)，可直接刪除以上注冊(cè)表路徑下所有包含了該CLSID的主鍵。使用Hijackthis工具可以迅速有效的分析系統(tǒng)中的BHO項(xiàng)。,41,系統(tǒng)中的可疑文件,如何判斷文件是否可疑？查看文件版本信息Google之所有的Windows正常系統(tǒng)文件都包含完整的版本信息。若文件無(wú)版本信息或版本信息異常，則可判斷為可疑文件。如何迅速查找這些可疑文件？%SystemRoot%\%SystemRoot%\System32\%SystemRoot%\System32\drivers\對(duì)于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時(shí)間的文件：可執(zhí)行文件.EXE，.COM，.SCR，.PIFDLL文件和OCX文件LOG文件——有一些病毒會(huì)將DLL文件偽裝成LOG后綴的文件，可以直接雙擊打開(kāi)查看其內(nèi)容是否為文本。若為亂碼，則可疑。,42,病毒文件被隱藏，如何查找？,工具->文件夾選項(xiàng)選擇“顯示所有文件”取消“隱藏受保護(hù)的系統(tǒng)文件”仍然無(wú)法顯示隱藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDENCheckedValue=2DefaultValue=2HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue=1DefaultValue=2,43,檢查并修復(fù)host文件,修復(fù)被病毒修改的host文件一些病毒會(huì)修改系統(tǒng)的host文件，使用戶(hù)無(wú)法訪(fǎng)問(wèn)某些網(wǎng)站，或在用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站時(shí)，重定向到某些惡意站點(diǎn)。檢查文件：%SystemRoot%\System32\drivers\etc\host使用文本編輯工具打開(kāi)該文件檢查。默認(rèn)該文件包含一條host記錄127.0.0.1localhost若有其他可疑的host記錄，可以直接刪除多余的記錄,44,刪除所有臨時(shí)文件,病毒經(jīng)常存在于臨時(shí)目錄中%SystemRoot%\TempC:\TempInternet臨時(shí)文件C:\DocumentsandSettings\\LocalSettings\Temp清空所有以上的目錄,45,常用病毒查殺工具一覽,2.8病毒防護(hù)常用工具,SIC，HijackThis系統(tǒng)診斷ProcessExplorer分析進(jìn)程TCPView分析網(wǎng)絡(luò)連接Regmon,InstallRite監(jiān)視注冊(cè)表Filemon,InstallRite監(jiān)視文件系統(tǒng)IceSwordNtsdpskill,46,47,課程結(jié)束，謝謝大家！,,