探討U盤病毒的特點(diǎn)及防范措施計算機(jī)專業(yè)畢業(yè)論文

《探討U盤病毒的特點(diǎn)及防范措施計算機(jī)專業(yè)畢業(yè)論文》由會員分享，可在線閱讀，更多相關(guān)《探討U盤病毒的特點(diǎn)及防范措施計算機(jī)專業(yè)畢業(yè)論文（23頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、 畢 業(yè) 論 文 課題名稱 探討U盤病毒的特點(diǎn)及防范措施 學(xué)生姓名 學(xué) 號 專 業(yè) 計算機(jī)科學(xué)與技術(shù) 班 級 指導(dǎo)教師 2010年5月 目錄 目錄 2 摘要 4 第一章：計算機(jī)病毒概述 5 1.1、計算機(jī)病毒的概念及發(fā)展 5 1.2、計算機(jī)病毒的特征及計算機(jī)被感染后的表現(xiàn) 5 1.2.1計算機(jī)病毒的特征 5 1.2.2計算機(jī)被病

2、毒感染后的表現(xiàn) 6 1.3計算機(jī)病毒的傳播途徑及預(yù)防措施 6 第二章：U盤病毒U盤病毒的概念、原理、特征及其表現(xiàn) 7 2.1、U盤病毒的概念及原理 7 2.1.1、U盤病毒的概念 7 2.1.2、U盤病毒的原理 7 2.2、U盤病毒運(yùn)行機(jī)制 8 2.3、U盤病毒的特征及表現(xiàn) 10 2.3.1、U盤病毒的特征 10 2.3.2、U盤病毒與計算機(jī)一般病毒的比較 11 2.3.3、U盤病毒的病狀表現(xiàn) 11 第三章：U盤病毒的查殺及防護(hù) 12 3.1全面解析U盤病毒 12 3.2、U盤病毒的查殺 16 3.2.1、手工清理方法總結(jié)： 16 3.2.2、利用USB專殺工具（

3、USBKiller）查殺： 21 3.3、U病毒的防護(hù)措施 21 第四章 結(jié)論與展望 21 致謝 21 參考文獻(xiàn)： 22 探討U盤病毒的特點(diǎn)及防范措施 摘要 隨著計算機(jī)技術(shù)的迅猛發(fā)展，計算機(jī)給人們的工作和生活帶來了前所未有的便利和效率，但計算機(jī)病毒也隨著計算機(jī)的發(fā)展在日益猖獗，其傳播速度和途徑更是讓人難以想象，近年來，U盤因其使用方便、小巧、易攜帶等特點(diǎn)，也被人們廣泛運(yùn)用于社會的各個領(lǐng)域，成為了網(wǎng)絡(luò)信息和計算機(jī)電子文檔儲存與傳遞的重要工具之一。計算機(jī)病毒也依靠著此傳播途徑走上了傳播的高速路，更讓人難以對付的是出

4、現(xiàn)了U盤病毒。U盤病毒的出現(xiàn)給人們存儲在可移動磁盤上的數(shù)據(jù)、重要文件造成了丟失、被竊取等種種危害。 本論文通過對計算機(jī)病毒的了解，從計算機(jī)一般病毒出發(fā)，探討U盤病毒的危害，并分析研究U盤病毒的特征、原理及計算機(jī)被感染后的表現(xiàn)，從而找出查殺U盤病毒的有效方法和防御措施。解決U盤病毒在工作、生活、辦公、學(xué)習(xí)等各個領(lǐng)域給人們帶來的種種隱患，為人們的可移動磁盤數(shù)據(jù)及計算機(jī)創(chuàng)造良好的環(huán)境。 關(guān)鍵詞：病毒、U盤病毒、防范、計算機(jī)、可移動磁盤、傳染、查殺、自動播放、AutoRun.inf Abstract With the rapid development of computer techno

5、logy, computer work and life to people unprecedented convenience and efficiency, but also as computer viruses in the development of increasingly rampant, and means of its transmission speed is incredible to think that in recent years to, U disk because of its ease of use, compact, easy to carry, it

6、can also be widely applied to various fields of society, a network of information and computer storage and transmission of electronic documents an important tool. Computer viruses also rely on the transmission path of the spread of this high-speed road, even more difficult to deal with the emergence

7、 of the U disk virus. U disk the virus was to the people stored in the data on removable disk, causing loss of important documents, theft and various other hazards. This thesis on computer viruses, to understand, from a computer virus usually proceed against the virus of U disk, U disk and analysi

8、s of the characteristics of the virus, principles and performance of the computer is infected, in order to identify the virus effectively killing U disk methods and preventive measures. U disk to solve the virus at work, life, office, study, and other fields to bring the various risks to people, as

9、people can move data and computer disk to create a good environment. Key words: viruses、U disk virus、Prevention、computers、 removable disks、 infection、killing、Autoplay 第一章：計算機(jī)病毒概述 隨著科學(xué)技術(shù)的發(fā)展，目前計算機(jī)的應(yīng)用已經(jīng)遍及到社會的各個領(lǐng)域，同時計算機(jī)病毒也依靠著計算機(jī)網(wǎng)絡(luò)及可移動設(shè)備等途徑傳到了各臺計算機(jī)，威脅著人們的生活和辦公。因此，計算機(jī)病毒的防范工作，已經(jīng)迫在眉睫，要搞好計算機(jī)病毒

10、預(yù)防工作，首先，我們必須對計算機(jī)病毒有著熟悉的了解。 1.1、計算機(jī)病毒的概念及發(fā)展 計算機(jī)病毒(Computer Virus)在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義為：病毒指“編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。因此，我們知道，計算機(jī)病毒有著破壞計算機(jī)數(shù)據(jù)并影響計算機(jī)正常工作的并竊取計算機(jī)數(shù)據(jù)的功能。當(dāng)今社會，計算機(jī)病毒普遍存在，而且發(fā)展突飛猛進(jìn)，據(jù)瑞星全球反病毒監(jiān)測網(wǎng)統(tǒng)計數(shù)據(jù)顯示，2004年上半年，瑞星截獲新病毒11835個，2005年同期，新病毒數(shù)為26927個，而去年上

11、半年，新截獲的病毒數(shù)量飆升到了119402個，相當(dāng)于過去幾年截獲病毒數(shù)量的總和。在去年病毒較為泛濫的時期，其中有三分之一的病毒是通過可移動設(shè)備傳播感染的。 1.2、計算機(jī)病毒的特征及計算機(jī)被感染后的表現(xiàn) 1.2.1計算機(jī)病毒的特征 1、傳染性：計算機(jī)病毒傳染性是指計算機(jī)病毒通過修改的程序?qū)⒆陨淼膹?fù)制品或其變體傳染到其它無毒的對象上,這些對象可以是一個程序也可以是系統(tǒng)中的某一個部件。 2、潛伏性：計算機(jī)病毒潛伏性是指計算機(jī)病毒可以依附于其它媒體寄生的能力,侵入后的病毒潛伏到條件成熟才發(fā)作，使電腦變慢。 3、破壞性：病毒破壞文件或數(shù)據(jù)，擾亂系統(tǒng)正常工作的特性稱為破壞性。

12、 4、可觸發(fā)性：病毒的發(fā)作通常是在一定的條件下實(shí)現(xiàn)的，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。一旦滿足這些條件，病毒就會發(fā)作，被感染的文件或系統(tǒng)將被破壞。 5、隱蔽性：指病毒在感染計算機(jī)后具有不被用戶發(fā)現(xiàn)的特點(diǎn)，主要表現(xiàn)在傳染的隱蔽性和病毒程序存在的隱蔽性兩個方面。 6、非授權(quán)可執(zhí)行性：計算機(jī)病毒可以未經(jīng)授權(quán)而執(zhí)行。 7、攻擊的主動性：病毒對系統(tǒng)的攻擊是主動的， 計算機(jī)系統(tǒng)無論采取多么嚴(yán)密的保護(hù)措施都不可能徹底地排除病毒對系統(tǒng)的主動攻擊。 1.2.2計算機(jī)被病毒感染后的表現(xiàn) 1、機(jī)器不能正常啟動：加電后機(jī)器根本不能啟動，或者可以啟動，但所需要的時間比原來的啟動時間

13、變長了。有時會突然出現(xiàn)黑屏現(xiàn)象。 2、電腦經(jīng)常異常死機(jī)：病毒程序打開了較多的程序，或者是病毒自我復(fù)制，都會占用了大量的CPU資源和內(nèi)存資源，從而造成機(jī)器經(jīng)常死機(jī)。 3、計算機(jī)中的文件無法打開：系統(tǒng)中可以執(zhí)行的文件，突然無法打開。由于病毒修改了感染了文件，可能會使文件損壞，或者是病毒破壞了可執(zhí)行文件中操作系統(tǒng)中的關(guān)聯(lián)，都會使文件出現(xiàn)打不開的現(xiàn)象。 4、數(shù)據(jù)突然丟失：硬盤突然有大量數(shù)據(jù)丟失，這有可能是病毒具有刪除文件的破壞性，導(dǎo)致硬盤的數(shù)據(jù)突然消失。 5、電腦運(yùn)行速度特別慢：在運(yùn)行某個程序時，系統(tǒng)響應(yīng)的時候特別長，響應(yīng)的時間，超出了正常響應(yīng)時間的5位以上。 6、磁盤空間迅速變?。河捎诓《?/p>

14、程序要進(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?”，用戶什么信息也進(jìn)不去。 7、外部設(shè)備工作異常：造成鍵盤、打印機(jī)、顯示器等外部設(shè)備不正常工作，因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制，如果機(jī)器中有病毒，外部設(shè)備在工作時可能會出現(xiàn)一些用理論或經(jīng)驗(yàn)說不清道不明的現(xiàn)象。 1.3計算機(jī)病毒的傳播途徑及預(yù)防措施 計算機(jī)病毒具有自我復(fù)制和傳播的特點(diǎn)，因此，要預(yù)防計算機(jī)病毒就必須先了解它的傳播途徑，目前，計算機(jī)病毒的傳播途徑主要有一下幾種途徑：第一，通過Internet（計算機(jī)網(wǎng)絡(luò)）進(jìn)行傳播，網(wǎng)絡(luò)已經(jīng)成為人們獲取信息、發(fā)送和接收文件、接收和發(fā)布新的消息以及下載文件和程序的天堂，正因如此，計算

15、機(jī)病毒也依靠網(wǎng)絡(luò)走上了傳播的高速之路。第二，通過IM（即時通信系統(tǒng)，如QQ、MSN）和無線通道傳播。第三，通過移動存儲設(shè)備（U盤、可移動硬盤、軟盤、光盤等USB設(shè)備）來傳播。目前，U盤也成為使用最廣泛、最頻繁的移動存儲介質(zhì)，這便為計算機(jī)病毒的傳播創(chuàng)造了很好的條件。為此，要做好計算機(jī)病毒的防護(hù)工作，不當(dāng)要預(yù)防從網(wǎng)絡(luò)上所帶來的病毒，更要防范好從USB接口進(jìn)入計算機(jī)的來犯之?dāng)场猆盤病毒。 計算機(jī)病毒的傳播 計算機(jī)網(wǎng)絡(luò)（Interent） IM系統(tǒng)和無限通道 可移動設(shè)備 第二章：U盤病毒U盤病毒的概念、原理、特征及其表現(xiàn) 2.1、U盤病毒的概念及原理 2.1

16、.1、U盤病毒的概念 U盤病毒又稱Autorun病毒,是通過AutoRun.inf文件使對方所有的硬盤完全共享或中木馬的病毒，是主要通過U盤等可移動設(shè)備傳播的計算機(jī)病毒。目前，U盤病毒是傳播最廣的計算機(jī)病毒之一，各殺毒軟件也尚未將Autorun病毒列為病毒.該病毒在中毒的U盤接入電腦時,雙擊打開U盤盤符時便會通過Autorun.inf激活病毒從而使系統(tǒng)受到感染。病毒組成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog. 2.1.2、U盤病毒的原理 U盤病毒主要依賴于U盤等可移動設(shè)備生存,當(dāng)用戶從網(wǎng)上下載文件并拷貝到U盤時便可能

17、中了U盤病毒,當(dāng)用戶雙擊U盤盤符時,便啟動了隱藏了的Autorun.inf等系統(tǒng)文件。Autorun.inf原本是微軟公司設(shè)計一個安裝信息文件，其本身是一個正常的文件，通過它可以實(shí)現(xiàn)可移動設(shè)備的自動運(yùn)行，很多黑客便利用它做一些惡意的操作，不同的黑客可以通過Autorun.inf植入不通的病毒,現(xiàn)在一些不法分子卻利用它來傳播病毒。autorun.inf文件里面的內(nèi)容非常靈活，寫法不唯一，不同病毒的autorun.inf文件的內(nèi)容不盡相同。U盤病毒Autorun.inf的程序代碼如下：（引用） 2.2、U盤病毒運(yùn)行機(jī)制 與一般計算機(jī)病毒相比，U盤病毒的運(yùn)行一般是被動的，必須經(jīng)過可移動設(shè)備的自動播放功能或者是人為的點(diǎn)擊后，U盤病毒才可以在計算機(jī)中得到運(yùn)行，其運(yùn)行機(jī)制主要表現(xiàn)在以下幾個方面： 1、感染磁盤：U盤病毒運(yùn)行在電

20、腦中，病毒程序不斷掃描各盤（包括硬盤分區(qū)、U盤、移動硬盤、內(nèi)存卡等），并且在每個磁盤根目錄下建立病毒文件的副本和一個autorun.inf或者autorun.pif自啟動文件，有時會感染其他文件。 2、偽裝成文件夾:U盤病毒會檢查你的移動設(shè)備里有多少文件夾，并根據(jù)每個文件夾的名字建立同名的病毒文件副本（擴(kuò)展名為exe），這個病毒副本的圖標(biāo)和文件夾的圖標(biāo)相同或者相似，并且病毒把原有文件夾的屬性改成hidden(隱藏)或者system（也是隱藏的）。如下圖： 設(shè)置文件夾選項(xiàng)>顯示所有文件和文件夾，可以發(fā)現(xiàn)，病毒隱藏了原文件夾，把自己偽裝成原文件夾，用戶不知道或不注意的話，雙擊盤符就運(yùn)行了病

21、毒，從而使計算機(jī)感染病毒。 上圖中名為RECYCLER.exe 是病毒在U盤中偽裝成一個文件夾的樣子，其本身就是一個病毒，如果計算機(jī)沒設(shè)置顯示擴(kuò)展名的話，一般人看到此圖標(biāo)就以為是回收站，而事實(shí)上，回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的。 U盤屬于Zip/FDD型移動設(shè)備，理應(yīng)沒有回收站（Recycled文件夾）和系統(tǒng)還原（System Volume Information文件夾），您刪除的任何文件將是完全刪除，而不會被放入所謂的“Recycled”中。所以，一旦您在U盤上發(fā)現(xiàn)看似回收站圖標(biāo)的文件夾，可以直接認(rèn)為那是病毒的老巢，請不要進(jìn)入，而是直接刪除！ 3

22、、用戶中計，電腦被感染：因?yàn)閣indowsXP的默認(rèn)配置是不顯示文件的擴(kuò)展名，不顯示隱藏文件和系統(tǒng)文件，這就使你原來的文件夾實(shí)際上看不到，看到的是病毒文件，但病毒文件偽裝的和原來的文件夾一模一樣，如果你誤以為那是你的文件夾并點(diǎn)了這個文件，病毒便會運(yùn)行，并安裝到電腦中（這個過程你是看不到的），同時病毒引導(dǎo)你進(jìn)入正常的文件夾，所以你在完全不知情的情況下就中毒了。 4、當(dāng)移動設(shè)備插在電腦上時，通過windows的自動播放功能，自動執(zhí)行autorun.inf文件，autorun.inf文件激活病毒程序。見下圖： 左側(cè)為帶U盤病毒的右鍵菜單，多了“自動播放”、“Open”、“Browser”等項(xiàng)

23、目；右側(cè)是殺毒后的，沒有這些項(xiàng)目。 5、通過雙擊盤符運(yùn)行：如果windows自動播放功能被關(guān)閉，則移動設(shè)備不會被自行打開，病毒也無法直接運(yùn)行，這時如果你不做任何操作，電腦是不會中毒的。但如果你雙擊盤符，則autorun.inf也一樣會被運(yùn)行。 2.3、U盤病毒的特征及表現(xiàn) 2.3.1、U盤病毒的特征 U盤病毒不但具有著一般計算機(jī)病毒的特征，除此之外，U盤病毒還有著一些自己獨(dú)立的特征，這寫特征與一般計算機(jī)病毒的特征相比，顯得更強(qiáng)烈、更廣泛。主要表現(xiàn)在： 1、傳染的廣泛性：U盤在當(dāng)今社會無處不在，因此只要有U盤的地方都可能存在病毒，而且，傳染強(qiáng)烈，只要可移動磁盤一與計算機(jī)

24、接觸都可能被感染，我們可以把U盤病毒的傳染性與艾滋病病毒的傳染性進(jìn)行比較，可以發(fā)現(xiàn)它們都具有如下特點(diǎn)：（1）從表面無法看出是否感染了病毒；（2）能感染接觸對象，也能被接觸對象感染；（3）都是通過連通后才可能產(chǎn)生傳染；（4）感染后一般不是立刻就能發(fā)現(xiàn)而且很難完全清除的；（5）如果減少接觸對象，就能減少感染風(fēng)險；（6）使用預(yù)防措施可以大大的減少風(fēng)險。 2、感染的被動性：U盤病毒都是貯存在可移動磁盤中，如果不經(jīng)過認(rèn)為的把可移動磁盤與計算機(jī)接觸，是不會感染計算機(jī)的，并且接觸后也要經(jīng)過自動播放或點(diǎn)擊盤符才能使病毒得以運(yùn)行。 3、 病毒的持久性：一旦U盤被感染，很難查殺或徹底清除，特別是在U盤中存有重

25、要文件時，要清楚病毒而且保護(hù)證文件不丟失，顯得非常困難而又復(fù)雜。 4、感染對象的的特定性：U盤病毒感染的對象一般只能是計算機(jī)以外的可移動設(shè)備或磁盤。 5傳播途徑的多樣性：U盤病毒不但可以一依靠網(wǎng)絡(luò)的傳播，更為廣泛的傳播是靠U盤等可移動設(shè)備。 2.3.2、U盤病毒與計算機(jī)一般病毒的比較 U盤病毒與計算機(jī)一般病毒都是計算機(jī)病毒，他們對計算機(jī)都具有破壞性，有著共同的目的，不同的只是在概念、具體的傳播途徑、特征表現(xiàn)等方面略有區(qū)別，它們之間還有著密切的聯(lián)系。具體如下表所示： 區(qū)別 聯(lián)系

26、 一般計算機(jī)病毒 概念 編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。 U盤病毒屬于計算機(jī)病毒的其中之一，他們都有著共同的特征，其目的都是為了破壞計算機(jī)系統(tǒng)、獲取對方數(shù)據(jù)。對人們的生活和辦公信息都有著巨大的威脅。在查殺防范計算機(jī)病毒的同時，不能忽視了U盤病毒。 感染對象 主要是針對計算機(jī)，主要在計算機(jī)與計算機(jī)之間進(jìn)行傳染。 特征及表現(xiàn) 基本特征：程序性、傳染性、非授權(quán)性、隱蔽性、潛伏性、可觸發(fā)性、破壞性、攻擊的主動性、針對性、不可預(yù)見性、持久性、誘惑欺騙性、寄生性

27、。 感染表現(xiàn)： 經(jīng)常異常死機(jī)、運(yùn)行速度慢、磁盤空間減小、數(shù)據(jù)丟失等。 查殺 利用一般的殺毒軟件可以清除。 U盤病毒 概念 U盤病毒又稱Autorun病毒,是通過AutoRun.inf文件使對方所有的硬盤完全共享或中木馬的病毒，是主要通過U盤等可移動設(shè)備傳播的計算機(jī)病毒。 感染對象 感染對象主要是U盤，但也會感染計算機(jī)。主要在計算機(jī)與可移動磁盤之間進(jìn)行傳染，且貯存于可移動磁盤當(dāng)中。 特征及表現(xiàn) 特征：具有一般病毒的特征，但其傳染性較為廣泛、感染的對象相對特定、感染被動、傳播途徑多樣化。 感染表現(xiàn)：具有一般病毒的感染表現(xiàn)。值得注意的是U盤被感染或的表現(xiàn)

28、。 查殺 一般的殺毒軟件難以清除，一旦感染后，要使用USB專殺工具或?qū)⒖梢苿哟疟P格式化才能清楚。 2.3.3、U盤病毒的病狀表現(xiàn) 1、當(dāng)計算機(jī)被U盤病毒感染時： 計算機(jī)被U盤病毒除了表現(xiàn)為感染一般病毒的癥狀外，還有可能出現(xiàn)以下情景： （1）、中了U盤病毒，電腦硬盤里面所有的文件夾里都有一個與這個文件夾名字相同的后綴為EXE的文件夾 而且都一樣大； （2）、無法開啟任務(wù)管理器，當(dāng)你按下Ctrl+Alt+DEL的時候，任務(wù)管理器一閃而關(guān)。 （3）、應(yīng)用程序無法運(yùn)行，尤其是殺毒軟件，最近的一些U盤病毒變種能夠。阻止一切應(yīng)用程序的運(yùn)行，特征是你運(yùn)行電腦上安裝的應(yīng)用程序，無任

29、何反映，尤其是殺毒軟件，很多變種都有阻止殺毒軟件運(yùn)行的功能。 （4）、雙擊無法打開電腦上硬盤分區(qū)，必須要用右鍵才能打開，這個也是一個比較常見的中毒特征。 2、當(dāng)U盤感染上病毒時，其病狀主要表現(xiàn)在以下幾個方面： （1）、雙擊打開U盤時，計算機(jī)提示找不到copy.exe。 （2）、顯示隱藏文件時發(fā)現(xiàn)有copy.exe host.exe autorun.ini可疑文件。 （3）、部分U盤表現(xiàn)為所有文件屬性被修改為隱藏。 （4）、打開系統(tǒng)進(jìn)程有可能發(fā)現(xiàn)temp1.exe或temp2.exe。 （5）、U盤的儲存空間變小。 （6）、經(jīng)常性的刪除移動存儲失敗，總是顯示“現(xiàn)在無法停止‘通用

30、卷’設(shè)備，請稍候在停止該設(shè)備”。 第三章：U盤病毒的查殺及防護(hù) 要有效解決U盤病毒給人們帶來的困擾，為計算機(jī)的工作創(chuàng)造一個健康、安全的環(huán)境，同時也使人們不在擔(dān)心存放在可移動磁盤（U盤）上的重要文件、數(shù)據(jù)不在丟失或被竊取，就必須做好U盤病毒的查殺和防護(hù)工作。 3.1全面解析U盤病毒 1、一個被病毒感染的U盤要從計算機(jī)的USB接口彈出時，通常會出現(xiàn)“現(xiàn)在無法停止‘通用卷’設(shè)備，請稍后在停止該設(shè)備”。一般情況下，這就是由于病毒在運(yùn)行，U盤設(shè)備被病毒調(diào)用。（圖1） （圖1） 2、接下來我們看看病毒到底在硬盤上做

31、什么，由于病毒文件大多是隱形屬性，因此要先讓系統(tǒng)顯示隱藏文件，方法如下：打開“我的電腦”，選擇“工具”菜單中的“文件夾選項(xiàng)”，在“查看”選項(xiàng)卡的“高級設(shè)置”下一次勾選“選擇系統(tǒng)文件夾的內(nèi)容”、“顯示所有文件和文件夾”。取消對“隱藏已知文件類型的擴(kuò)展名” （圖2） 3、打開“我的電腦”進(jìn)入根目錄查看，不要直接雙擊，用鼠標(biāo)右鍵點(diǎn)擊盤符，可以看見第一項(xiàng)變成了“Auto”.(圖3) （圖3） 4、(一般正常情況下是“打開”)，選擇“資源管理器”進(jìn)入磁盤根目錄。非常明顯在根目錄

32、下多了一個文件，一個目錄，文件是Autorun.inf,目錄為RECYCLER,它的圖標(biāo)和回收站的圖標(biāo)一樣，并且是隱藏屬性。進(jìn)入RECYCLER目錄可以看到兩個文件，一個為info.exe，另一個為desktop.ini，也是隱藏屬性。(圖4) （圖4） 5、雙擊打開autorun.inf文件，可以看到如下內(nèi)容： 此程序表示該U盤病毒首先它把自己隱藏在一個類似“回收站”的圖標(biāo)下，另外，通過autorun.inf達(dá)到雙擊盤符自動運(yùn)行。 6、雙擊打開desktop.ini文件，可以看到如下內(nèi)容： 這是該病毒把自己的圖標(biāo)改

33、變成“回收站”的圖標(biāo)的程序代碼，使自己更加隱蔽。 3.2、U盤病毒的查殺 3.2.1、手工清理方法總結(jié)： 通過以上解析，我們知道，很明顯info.exe應(yīng)該就是病毒文件了。要想知道病毒的工作機(jī)理及其找到清理病毒的方法，進(jìn)行反匯編是有效的方法。 對于沒有加殼的U盤病毒，直接用Ollydbg加載info.exe病毒文件進(jìn)行反匯編，方法如圖5所示，利用插件來查看字符串。在彈出的窗口中可以看到程序中出現(xiàn)的字符信息，一般來講會發(fā)現(xiàn)一些文件名和注冊表的信息。 （圖5） 根據(jù)經(jīng)驗(yàn)可知software\microsoft

34、\windows\currentversion\winlogon應(yīng)該是注冊表中的地址，它下面的“Userinit”和“svchost.exe 1”可能就是病毒偽裝的文件名或是要寫到上面注冊表地址里的項(xiàng)和鍵值。至于下面的“:\recycler\info.exe”、“\recycler\u.exe”應(yīng)該是釋放到U盤里的文件。那剩下的“_sv_cmd_\_u_.exe”和“_sv_cmd_\u.exe”是釋放到什么地方呢?先不管這個，繼續(xù)往下看，看看還有什么字符串，可以告訴我們什么信息。（圖6） （圖6） 如圖7：“recycler\deskt

35、op.ini”文件是將文件夾偽裝成回收站圖標(biāo)的方法。下面的“[.ShellClassInfo]\n\CLSID={645ff040-5081-101b-9f08-00aa002f954e}u.exe”就應(yīng)該是desktop.ini里面的內(nèi)容了。再下面的“[autorun]\n\n\auto=\n\n\open=\n\nshell\auto\Command=RECYCLER\INFO.exe\n\n shell\open\Command=RECYCLER\INFO.exe\n\nshell\open\Default=1n\n\shell\explore\Command=RECYCLER\INF

36、O.exe”就是U盤里的autorun.inf文件的內(nèi)容。autorun.inf的作用就是打開U盤時自動運(yùn)行recycler里的info.exe程序。而字符串里出現(xiàn)的svchost.exe，這是系統(tǒng)文件的名字，顯示是病毒用來迷惑人的。 （圖7） 在命令行下敲入如下命令查看系統(tǒng)中svchost.exe：dir /a /s svchost.exe，如圖8： （圖8） 正常的svchost.exe文件的大小應(yīng)該是14K，那么C:\Windows\system\文件夾下的svchost.exe就應(yīng)該是病

37、毒了，來到C:\windows\system目錄下還意外發(fā)現(xiàn)了_sv_cmd_文件夾，里面的_u_.exe和u.exe也都是病毒文件，前面字符串中出現(xiàn)的_sv_cmd_原來是備份病毒文件的，剩下的應(yīng)該就是注冊表里的鍵值了，根據(jù)反匯編字符串里的信息來到注冊表地址“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”下，發(fā)現(xiàn)Userinit項(xiàng)的值由“userinit.exe,”改成了“userinit.exe,C:\windows\system\svchost.exe”，那后面的C:\windows\sys

38、tem\svchost.exe不就是病毒地址嗎，原來它是這樣在開機(jī)后自己運(yùn)行的。圖9 （圖9） 結(jié)束病毒進(jìn)程：在命令行下敲入如下命令：tasklist /svc，圖10 （圖10） 從顯示結(jié)果中很明顯可以看出PID為2620的SVCHOST是與系統(tǒng)無關(guān)的，敲入如下命令結(jié)束病毒進(jìn)程：ntsd -c p -q 2620。 刪除病毒文件：把一下代碼保存為del.bat文件，雙擊即可。 修復(fù)注冊表：把如下的代碼保存為u.reg文件，然后雙擊導(dǎo)入即可。

39、 3.2.2、利用USB專殺工具（USBKiller）查殺： 目前常用的USB專殺工具主要有USBCleaner和USBKiller兩種： USBKiller是一款專門用于預(yù)防及查殺U盤病毒、Auto病毒、閃盤病毒的工具　除了可以30秒閃電查殺RavMone、 Rose、rising、Fun.xls等幾十種通過U盤傳播的病毒，還可以對系統(tǒng)實(shí)行主動防御，自動檢測清除插入U盤內(nèi)的病毒，從根本上杜絕病毒通過U盤感染電腦，解決你的后顧之憂。免疫功能讓病毒永遠(yuǎn)也無法進(jìn)入你的U盤；解鎖功能解除U盤鎖定狀態(tài)，解決無法安全刪除設(shè)備問題；修復(fù)功能修復(fù)無法顯示隱藏文件、雙擊

40、無法打開硬盤、清除右鍵Auto字樣、修復(fù)無法打開殺毒軟件。 3.3、U病毒的防護(hù)措施 U盤病毒的防護(hù)做到以下幾點(diǎn)： （1）安裝具有U盤病毒防護(hù)功能的殺毒軟件并及時更新殺 毒軟件的病毒庫。 （2）修改計算機(jī)系統(tǒng)中的注冊表，將系統(tǒng)各個磁盤的自動運(yùn)行功能禁止。 盡量不要雙擊打開U盤，而是通過打擊左鍵選擇“打開”。 （3）使用U盤進(jìn)行數(shù)據(jù)貯存和拷貝時，打開防病毒軟件的“實(shí)時監(jiān)控”功能，避免病毒文件入侵感染。 （4）將所有隱藏文件和文件夾都設(shè)為顯示，以便U盤被感染后能及時發(fā)現(xiàn)病毒。 （5）隨時注意判斷自己是否中了U盤病毒并注意木馬的查殺。 （6）關(guān)閉自動播放。具體方

41、法如下：開始－>運(yùn)行，輸入下面的命令gpedit.msc計算機(jī)配置－>管理模板－>系統(tǒng)－>關(guān)閉自動播放－>啟用（選擇所有驅(qū)動器）。 對于U盤病毒，光有預(yù)防措施是遠(yuǎn)遠(yuǎn)不夠的。在U盤的日常使用過程中，除了要采取及時升級殺毒軟件、安裝系統(tǒng)補(bǔ)丁等防范病毒的一般方法外，還必須特別注意以下幾個方面，養(yǎng)成良好的U盤使用習(xí)慣。使用U盤注意事項(xiàng)：（a）、盡量專盤專用；（b）、養(yǎng)成在打開U盤前先進(jìn)行掃描殺毒處理的好習(xí)慣；（c）、盡量打開U盤的寫保護(hù)功能；（d）、采用安全的打開方式。綜合采取以上措施和方法，能有效防止U盤病毒的侵?jǐn)_，但不能保證U盤的絕對安全，因?yàn)椴《疽苍诓煌５剡M(jìn)化和升級，上述措施和方法有可能失效，

42、絕非一勞永逸。因此，廣大計算機(jī)用戶要密切關(guān)注U盤病毒的最新動態(tài)，根據(jù)安全廠商和有關(guān)部門的建議，及時采取針對性措施，才能最大限度地提高U盤的安全性。此外我們可以盡量使用一些自帶殺毒功能的U盤，這樣大大減少感染的病毒量。 第四章 結(jié)論與展望 隨著時代與科技的發(fā)展，計算機(jī)技術(shù)突飛猛進(jìn)，給人們的工作和生活帶來了前所未有的便利和效率，成為人類社會不可缺的一部分。但計算機(jī)病毒卻一直在影響著計算機(jī)的安全，計算機(jī)病毒已成為計算機(jī)系統(tǒng)最不安全的因素之一。在現(xiàn)在的計算機(jī)病毒中，病毒主要來自以下兩個方面：其一，用戶在瀏覽網(wǎng)頁及下載軟件、文件等資料是隨之進(jìn)入計算機(jī)系統(tǒng)；其二，通過U盤、

43、儲存卡、MP3等可移動磁盤感染計算機(jī)系統(tǒng)。目前，通過此途徑傳播的病毒也占據(jù)了計算機(jī)病毒的大部分，U盤成為第二大病毒傳播途徑。 由于U盤的廣泛使用，U盤病毒成了隨意流竄的“流動殺手”，令人防不勝防。在辦公室，U盤病毒頻繁光顧襲擾，癱瘓系統(tǒng)，破壞數(shù)據(jù)，竊取文件，使得計算機(jī)用戶頭痛不已。目前，U盤病毒逐步的增加， U盤傳播病毒的機(jī)會也也越來越多，現(xiàn)在計算機(jī)病毒中最流行的恐怕就是autorun.inf病毒。因此，做好U盤病毒的防護(hù)工作是保護(hù)好計算機(jī)安全必不可少的條件。 致謝 雖然經(jīng)歷過了大學(xué)四年的學(xué)習(xí),但是在實(shí)際的做畢業(yè)論文的過程中還是體現(xiàn)了自己的能力不足。因此在此論文完成之際,特別的要向 老師表示衷心的感謝！他在寫論文的過程中給了我很大的幫助。同時還要特別感謝 同學(xué)在學(xué)習(xí)設(shè)備上的借予和幫助，還有其他我們區(qū)隊(duì)的同學(xué)的大力支持和關(guān)心。 參考文獻(xiàn)： [1]、張仁斌、李鋼、侯整風(fēng)，《計算機(jī)病毒與反病毒技術(shù)》，清華大學(xué)出版社，2006年1月。 [2]、魏佳，淺談U盤病毒及其防治辦法，瑞星網(wǎng)，網(wǎng)址： [3]、卓新建，《計算機(jī)病毒原理與防治》第二版，北京郵電大學(xué)出版社，2007年8月1日。 [4]、王建峰等，《計算機(jī)病毒分析與防范大全》，電子工業(yè)出版社，2006年3月4日。 23