windows10自動刪除指令碼惡意工具病毒的關閉方法是什麼

win10自帶的防毒軟體，並不太適合實際，對國內的系統環境或者操作習慣來說，並不適用。建議把這個防毒軟體關閉掉，然後安裝其他防毒軟體。 關閉方法如下： 1、點選桌面右下角通知圖示，開啟操作中心介面，然後選擇點選所有設定； 2、進入到所有

本文講Windows10自動刪除指令碼惡意工具病毒的關閉方法

材料/工具

電腦、Windows10系統

如果你正在使用其他防病毒軟體，那麼Defender是關閉的，也無需開啟。 如果沒有使用其他防病毒軟體，那麼建議開啟Defender，方法是從開始選單進入設定，進入更新和安全，在左側找到Windows Defender專案，並點選右側面板的啟用Windows Defender

方法

單擊開始點選所有應用  找到Windows系統開啟這個資料夾

1、首先右擊"網路"圖示，在單擊“屬性”。 2、單擊”windows防火牆"。 3、在單擊“啟用或關閉windows防火牆"。 4、選擇”關windows防火牆（不推薦）。在單擊“確定就可以完成了。 方法/步驟2 1、第二種方法有雙擊“控制面板”。 2、單擊“windows 防火牆”

開啟Windows Defender

您好，您可以使用騰訊手機管家進行清除。管家可以幫您檢測到軟體的惡意行為，並引導您進行一次性阻止或解除安裝。操作方式如下： 首先，建議您將手機獲取ROOT許可權，root後可實現保留軟體功能，阻止惡意行為的目的；同時也可確保手機能夠徹底解除安裝惡意

點選右上方的設定，開啟後點擊針對開開發人員啟用開發人員模式

查殺病毒試試，不行的話，直接換個驗證過的系統盤重灌系統就行了，這樣就可以全程自動、順利解決 惡意病毒廣告 關閉後一直彈框 的問題了。用u盤或者硬碟這些都是可以的，且安裝速度非常快。但關鍵是：要有相容性好的（相容ide、achi、Raid模式的

擴充套件閱讀，以下內容您可能還感興趣。

怎麼判斷登錄檔裡的病毒和惡意程式碼？

不必要程式碼（Unwanted Code）是指沒有作用卻會帶來危險的程式碼，一個最安全的定義是把所有不必要的程式碼都看作是惡意的，不必要程式碼比惡意程式碼具有更寬泛的含義，包括所有可能與某個組織安全策略相沖突的軟體。

一、惡意程式碼的特徵

惡意程式碼（Malicious code）或者叫惡意軟體Malware（Malicious Software）具有如下共同特徵：

（1） 惡意的目的

（2） 本身是程式

（3） 通過執行發生作用

有些惡作劇程式或者遊戲程式不能看作是惡意程式碼。對濾過性病毒的特徵進行討論的文獻很多，儘管它們數量很多，但是機理比較近似，在防病毒程式的防護範圍之內，更值得注意的是非濾過性病毒。

二、非濾過性病毒

非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體，遠端特洛伊和諜件等等，組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通訊、記錄私人通訊，暗地接收和傳遞遠端主機的非授權命令，而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢，對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括：

（1）諜件

諜件（Spyware）與商業產品軟體有關，有些商業軟體產品在安裝到使用者機器上的時候，未經使用者授權就通過Internet連線，讓使用者方軟體與開發商軟體進行通訊，這部分通訊軟體就叫做諜件。使用者只有安裝了基於主機的防火牆，通過記錄網路活動，才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分，多數是無害的，其目的多在於掃描系統，取得使用者的私有資料。

（2）遠端訪問特洛伊

遠端訪問特洛伊RAT 是安裝在受害者機器上，實現非授權的網路訪問的程式，比如NetBus 和SubSeven 可以偽裝成其他程式，迷惑使用者安裝，比如偽裝成可以執行的電子郵件，或者Web下載檔案，或者遊戲和賀卡等，也可以通過物理接近的方式直接安裝。

（3）Zombies

惡意程式碼不都是從內部進行控制的，在分散式拒絕服務攻擊中，Internet的不少 站點受到其他主機上 zombies程式的攻擊。zombies程式可以利用網路上計算機系統的安全漏洞將自動攻擊指令碼安裝到多臺主機上，這些主機成為受害者而聽從攻擊者指揮，在某個時刻，彙集到一起去再去攻擊其他的受害者。

（4）破解和嗅探程式和網路漏洞掃描

口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事，取得非法的資源訪問許可權的主要手段，這些攻擊工具不是自動執行， 而是被隱蔽地操縱。

（5）鍵盤記錄程式

某些使用者組織使用PC活動監視軟體監視使用者的操作情況，通過鍵盤記錄，防止僱員不適當的使用資源，或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行資訊刺探和網路攻擊。

（6）P2P 系統.

基於Internet的點到點 （peer-to-peer）的應用程式比如 Napster、Gotomypc、AIM 和 Groove，以及遠端訪問工具通道像Gotomypc，這些程式都可以通過HTTP或者其他公共埠穿透防火牆，從而讓僱員建立起自己的VPN，這種方式對於組織或者公司有時候是十分危險的。因為這些程式首先要從內部的PC 遠端連線到外邊的Gotomypc 主機，然後使用者通過這個連線就可以訪問辦公室的PC。這種連線如果被利用，就會給組織或者企業帶來很大的危害。

（7）邏輯*和時間*

邏輯*和時間*是以破壞資料和應用程式為目的的程式。一般是由組織內部有不滿情緒的僱員植入， 邏輯*和時間*對於網路和系統有很大程度的破壞，Omega 工程公司的一個前網路管理員Timothy Lloyd，1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯*,導致了1千萬美元的損失，而他本人最近也被判處41個月的監禁。

三、惡意程式碼的傳播手法

惡意程式碼編寫者一般利用三類手段來傳播惡意程式碼：軟體漏洞、使用者本身或者兩者的混合。有些惡意程式碼是自啟動的蠕蟲和嵌入指令碼，本身就是軟體，這類惡意程式碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意程式碼，利用受害者的心理操縱他們執行不安全的程式碼；還有一些是哄騙使用者關閉保護措施來安裝惡意程式碼。

利用商品軟體缺陷的惡意程式碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點，比如溢位漏洞和可以在不適當的環境中執行任意程式碼。像沒有打補丁的IIS軟體就有輸入緩衝區溢位方面的缺陷。利用Web 服務缺陷的攻擊程式碼有Code Red、Nimda，Linux 和Solaris上的蠕蟲也利用了遠端計算機的缺陷。

惡意程式碼編寫者的一種典型手法是把惡意程式碼郵件偽裝成其他惡意程式碼受害者的感染報警郵件，惡意程式碼受害者往往是Outlook地址簿中的使用者或者是緩衝區中WEB頁的使用者，這樣做可以最大可能的吸引受害者的注意力。一些惡意程式碼的作者還表現了高度的心理操縱能力，LoveLetter 就是一個突出的例子。一般使用者對來自陌生人的郵件附件越來越警惕，而惡意程式碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到閘道器過濾程式的*和阻斷，惡意程式碼的編寫者也會設法繞過閘道器過濾程式的檢查。使用的手法可能包括採用模糊的檔案型別，將公共的執行檔案型別壓縮成zip檔案等等。

對聊天室IRC（Internet Relay Chat）和即時訊息IM(instant messaging)系統的攻擊案例不斷增加，其手法多為欺騙使用者下載和執行自動的Agent軟體，讓遠端系統用作分散式拒絕服務(DDoS)的攻擊平臺，或者使用後門程式和特洛伊木馬程式控制之。

四、惡意程式碼傳播的趨勢

惡意程式碼的傳播具有下面的趨勢：

（1）種類更模糊

惡意程式碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種，而可能是它們的混合。比如蠕蟲產生寄生的檔案病毒，特洛伊程式，口令竊取程式，後門程式，進一步模糊了蠕蟲、病毒和特洛伊的區別。

（2）混合傳播模式

“混合病毒威脅”和“收斂（convergent）威脅”的成為新的病毒術語，“紅色程式碼”利用的是IIS的漏洞，Nimda實際上是1988年出現的Morris 蠕蟲的派生品種，它們的特點都是利用漏洞，病毒的模式從引導區方式發展為多種類病毒蠕蟲方式，所需要的時間並不是很長。

（3）多平臺

多平臺攻擊開始出現，有些惡意程式碼對不相容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞，而Linux蠕蟲會派生exe格式的特洛伊。

（4） 使用銷售技術

另外一個趨勢是更多的惡意程式碼使用銷售技術，其目的不僅在於利用受害者的郵箱實現最大數量的轉發，更重要的是引起受害者的興趣，讓受害者進一步對惡意檔案進行操作，並且使用網路探測、電子郵件指令碼嵌入和其它不使用附件的技術來達到自己的目的。

惡意軟體（malware）的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來，製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者，改變自己的方法去對付新的威脅則需要不少的時間。

（5）伺服器和客戶機同樣遭受攻擊

對於惡意程式碼來說伺服器和客戶機的區別越來越模糊，客戶計算機和伺服器如果運行同樣的應用程式，也將會同樣受到惡意程式碼的攻擊。象IIS服務是一個作業系統預設的服務，因此它的服務程式的缺陷是各個機器都共有的，Code Red的影響也就不限於伺服器，還會影響到眾多的個人計算機。

（6）Windows作業系統遭受的攻擊最多

Windows作業系統更容易遭受惡意程式碼的攻擊，它也是病毒攻擊最集中的平臺，病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢位問題，包括字串格式和堆溢位，仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行程式碼， 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播，JS/Kak利用IE/Outlook的漏洞，導致兩個ActiveX控制元件在信任級別執行，但是它們仍然在使用者不知道的情況下，執行非法程式碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設定，執行嵌入在HTML 郵件中的JavaScript 和 ActiveX程式碼。這種訊息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意程式碼採用的典型手法之一。

（7）惡意程式碼型別變化

此外，另外一類惡意程式碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷，將惡意程式碼化裝成安全資料型別，欺騙客戶軟體執行不適當的程式碼。

五、惡意程式碼相關的幾個問題

（1）病毒防護沒有標準的方法，專家認為比較安全的方式是每個星期更新一次病毒庫，但是特殊情況下，需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新，而2000年五月，為了對付LoveLetter病毒的變種，一天就要幾次更新病毒庫。需要指出的是，有時候這種頻繁的更新對於防護效果的提高很小。

（2）使用者對於Microsoft的作業系統和應用程式抱怨很多，但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。

（3）啟發式的病毒搜尋沒有被廣泛地使用，因為清除一個病毒比調整啟發式軟體的花費要小，而被比喻成“治療比疾病本身更糟糕”。

（4）企業在防火牆管理，電子郵件管理上都花費了不小的精力，建議使用單獨的人員和工具完成這個任務。

（5） 惡意程式碼攻擊方面的資料分析做得很不夠，儘管有些病毒掃描軟體有系統活動日誌，但是由於檔案大小*，不能長期儲存。同時對於惡意程式碼感染程度的度量和分析做得也不夠，一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。

（6） 病毒掃描軟體只是通知使用者改變設定，而不是自動去修改設定。

（7） 病毒防護軟體本身就有安全缺陷，容易被攻擊者利用，只是由於害怕被攻擊，病毒軟體廠商不願意談及。

（8）許多的軟體都是既可以用在安全管理，也可以用在安全突破上，問題在於意圖，比如漏洞掃描程式和嗅探程式就可以被攻擊者使用。

惡意程式碼的傳播方式在迅速地演化，從引導區傳播，到某種型別檔案傳播，到巨集病毒傳播，到郵件傳播，到網路傳播，發作和流行的時間越來越短。Form引導區病毒1989年出現，用了一年的時間流行起來，巨集病毒 Concept Macro 1995年出現，用了三個月的時間流行， LoveLetter用了大約一天，而 Code Red用了大約90分鐘， Nimda 用了不到 30分鐘. 這些數字背後的規律是很顯然的：在惡意程式碼演化的每個步驟，病毒和蠕蟲從釋出到流行的時間都越來越短。

惡意程式碼本身也越來越直接的利用作業系統或者應用程式的漏洞， 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程式，利用漏洞來進行自我傳播，不再需要搭乘其他程式碼

什麼是惡意程式碼？

不必要程式碼（Unwanted Code）是指沒有作用卻會帶來危險的程式碼，一個最安全的定義是把所有不必要的程式碼都看作是惡意的，不必要程式碼比惡意程式碼具有更寬泛的含義，包括所有可能與某個組織安全策略相沖突的軟體。

一、惡意程式碼的特徵

惡意程式碼（Malicious code）或者叫惡意軟體Malware（Malicious Software）具有如下共同特徵：

（1） 惡意的目的

（2） 本身是程式

（3） 通過執行發生作用

有些惡作劇程式或者遊戲程式不能看作是惡意程式碼。對濾過性病毒的特徵進行討論的文獻很多，儘管它們數量很多，但是機理比較近似，在防病毒程式的防護範圍之內，更值得注意的是非濾過性病毒。

二、非濾過性病毒

非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體，遠端特洛伊和諜件等等，組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通訊、記錄私人通訊，暗地接收和傳遞遠端主機的非授權命令，而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢，對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括：

（1）諜件

諜件（Spyware）與商業產品軟體有關，有些商業軟體產品在安裝到使用者機器上的時候，未經使用者授權就通過Internet連線，讓使用者方軟體與開發商軟體進行通訊，這部分通訊軟體就叫做諜件。使用者只有安裝了基於主機的防火牆，通過記錄網路活動，才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分，多數是無害的，其目的多在於掃描系統，取得使用者的私有資料。

（2）遠端訪問特洛伊

遠端訪問特洛伊RAT 是安裝在受害者機器上，實現非授權的網路訪問的程式，比如NetBus 和SubSeven 可以偽裝成其他程式，迷惑使用者安裝，比如偽裝成可以執行的電子郵件，或者Web下載檔案，或者遊戲和賀卡等，也可以通過物理接近的方式直接安裝。

（3）Zombies

惡意程式碼不都是從內部進行控制的，在分散式拒絕服務攻擊中，Internet的不少 站點受到其他主機上 zombies程式的攻擊。zombies程式可以利用網路上計算機系統的安全漏洞將自動攻擊指令碼安裝到多臺主機上，這些主機成為受害者而聽從攻擊者指揮，在某個時刻，彙集到一起去再去攻擊其他的受害者。

（4）破解和嗅探程式和網路漏洞掃描

口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事，取得非法的資源訪問許可權的主要手段，這些攻擊工具不是自動執行， 而是被隱蔽地操縱。

（5）鍵盤記錄程式

某些使用者組織使用PC活動監視軟體監視使用者的操作情況，通過鍵盤記錄，防止僱員不適當的使用資源，或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行資訊刺探和網路攻擊。

（6）P2P 系統.

基於Internet的點到點 （peer-to-peer）的應用程式比如 Napster、Gotomypc、AIM 和 Groove，以及遠端訪問工具通道像Gotomypc，這些程式都可以通過HTTP或者其他公共埠穿透防火牆，從而讓僱員建立起自己的VPN，這種方式對於組織或者公司有時候是十分危險的。因為這些程式首先要從內部的PC 遠端連線到外邊的Gotomypc 主機，然後使用者通過這個連線就可以訪問辦公室的PC。這種連線如果被利用，就會給組織或者企業帶來很大的危害。

（7）邏輯*和時間*

邏輯*和時間*是以破壞資料和應用程式為目的的程式。一般是由組織內部有不滿情緒的僱員植入， 邏輯*和時間*對於網路和系統有很大程度的破壞，Omega 工程公司的一個前網路管理員Timothy Lloyd，1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯*,導致了1千萬美元的損失，而他本人最近也被判處41個月的監禁。

三、惡意程式碼的傳播手法

惡意程式碼編寫者一般利用三類手段來傳播惡意程式碼：軟體漏洞、使用者本身或者兩者的混合。有些惡意程式碼是自啟動的蠕蟲和嵌入指令碼，本身就是軟體，這類惡意程式碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意程式碼，利用受害者的心理操縱他們執行不安全的程式碼；還有一些是哄騙使用者關閉保護措施來安裝惡意程式碼。

利用商品軟體缺陷的惡意程式碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點，比如溢位漏洞和可以在不適當的環境中執行任意程式碼。像沒有打補丁的IIS軟體就有輸入緩衝區溢位方面的缺陷。利用Web 服務缺陷的攻擊程式碼有Code Red、Nimda，Linux 和Solaris上的蠕蟲也利用了遠端計算機的缺陷。

惡意程式碼編寫者的一種典型手法是把惡意程式碼郵件偽裝成其他惡意程式碼受害者的感染報警郵件，惡意程式碼受害者往往是Outlook地址簿中的使用者或者是緩衝區中WEB頁的使用者，這樣做可以最大可能的吸引受害者的注意力。一些惡意程式碼的作者還表現了高度的心理操縱能力，LoveLetter 就是一個突出的例子。一般使用者對來自陌生人的郵件附件越來越警惕，而惡意程式碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到閘道器過濾程式的*和阻斷，惡意程式碼的編寫者也會設法繞過閘道器過濾程式的檢查。使用的手法可能包括採用模糊的檔案型別，將公共的執行檔案型別壓縮成zip檔案等等。

對聊天室IRC（Internet Relay Chat）和即時訊息IM(instant messaging)系統的攻擊案例不斷增加，其手法多為欺騙使用者下載和執行自動的Agent軟體，讓遠端系統用作分散式拒絕服務(DDoS)的攻擊平臺，或者使用後門程式和特洛伊木馬程式控制之。

四、惡意程式碼傳播的趨勢

惡意程式碼的傳播具有下面的趨勢：

（1）種類更模糊

惡意程式碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種，而可能是它們的混合。比如蠕蟲產生寄生的檔案病毒，特洛伊程式，口令竊取程式，後門程式，進一步模糊了蠕蟲、病毒和特洛伊的區別。

（2）混合傳播模式

“混合病毒威脅”和“收斂（convergent）威脅”的成為新的病毒術語，“紅色程式碼”利用的是IIS的漏洞，Nimda實際上是1988年出現的Morris 蠕蟲的派生品種，它們的特點都是利用漏洞，病毒的模式從引導區方式發展為多種類病毒蠕蟲方式，所需要的時間並不是很長。

（3）多平臺

多平臺攻擊開始出現，有些惡意程式碼對不相容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞，而Linux蠕蟲會派生exe格式的特洛伊。

（4） 使用銷售技術

另外一個趨勢是更多的惡意程式碼使用銷售技術，其目的不僅在於利用受害者的郵箱實現最大數量的轉發，更重要的是引起受害者的興趣，讓受害者進一步對惡意檔案進行操作，並且使用網路探測、電子郵件指令碼嵌入和其它不使用附件的技術來達到自己的目的。

惡意軟體（malware）的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來，製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者，改變自己的方法去對付新的威脅則需要不少的時間。

（5）伺服器和客戶機同樣遭受攻擊

對於惡意程式碼來說伺服器和客戶機的區別越來越模糊，客戶計算機和伺服器如果運行同樣的應用程式，也將會同樣受到惡意程式碼的攻擊。象IIS服務是一個作業系統預設的服務，因此它的服務程式的缺陷是各個機器都共有的，Code Red的影響也就不限於伺服器，還會影響到眾多的個人計算機。

（6）Windows作業系統遭受的攻擊最多

Windows作業系統更容易遭受惡意程式碼的攻擊，它也是病毒攻擊最集中的平臺，病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢位問題，包括字串格式和堆溢位，仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行程式碼， 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播，JS/Kak利用IE/Outlook的漏洞，導致兩個ActiveX控制元件在信任級別執行，但是它們仍然在使用者不知道的情況下，執行非法程式碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設定，執行嵌入在HTML 郵件中的JavaScript 和 ActiveX程式碼。這種訊息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意程式碼採用的典型手法之一。

（7）惡意程式碼型別變化

此外，另外一類惡意程式碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷，將惡意程式碼化裝成安全資料型別，欺騙客戶軟體執行不適當的程式碼。

五、惡意程式碼相關的幾個問題

（1）病毒防護沒有標準的方法，專家認為比較安全的方式是每個星期更新一次病毒庫，但是特殊情況下，需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新，而2000年五月，為了對付LoveLetter病毒的變種，一天就要幾次更新病毒庫。需要指出的是，有時候這種頻繁的更新對於防護效果的提高很小。

（2）使用者對於Microsoft的作業系統和應用程式抱怨很多，但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。

（3）啟發式的病毒搜尋沒有被廣泛地使用，因為清除一個病毒比調整啟發式軟體的花費要小，而被比喻成“治療比疾病本身更糟糕”。

（4）企業在防火牆管理，電子郵件管理上都花費了不小的精力，建議使用單獨的人員和工具完成這個任務。

（5） 惡意程式碼攻擊方面的資料分析做得很不夠，儘管有些病毒掃描軟體有系統活動日誌，但是由於檔案大小*，不能長期儲存。同時對於惡意程式碼感染程度的度量和分析做得也不夠，一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。

（6） 病毒掃描軟體只是通知使用者改變設定，而不是自動去修改設定。

（7） 病毒防護軟體本身就有安全缺陷，容易被攻擊者利用，只是由於害怕被攻擊，病毒軟體廠商不願意談及。

（8）許多的軟體都是既可以用在安全管理，也可以用在安全突破上，問題在於意圖，比如漏洞掃描程式和嗅探程式就可以被攻擊者使用。

惡意程式碼的傳播方式在迅速地演化，從引導區傳播，到某種型別檔案傳播，到巨集病毒傳播，到郵件傳播，到網路傳播，發作和流行的時間越來越短。Form引導區病毒1989年出現，用了一年的時間流行起來，巨集病毒 Concept Macro 1995年出現，用了三個月的時間流行， LoveLetter用了大約一天，而 Code Red用了大約90分鐘， Nimda 用了不到 30分鐘. 這些數字背後的規律是很顯然的：在惡意程式碼演化的每個步驟，病毒和蠕蟲從釋出到流行的時間都越來越短。

惡意程式碼本身也越來越直接的利用作業系統或者應用程式的漏洞， 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程式，利用漏洞來進行自我傳播，不再需要搭乘其他程式碼

參考資料：baidu

防治病毒和惡意程式碼的方法有哪些？

（一）永遠斷網、拒絕未知U盤接入

比較極端的方式是電腦永遠不聯網，用定製的Linux系作業系統或其他自制作業系統，禁止所有未知安全性的U盤插入。這是*機構在某些環節會用到的方式，不適合普通家庭使用者。

（二） 還原軟體、影子系統

冰點、shadow defender、 PowerShadow、等，這類軟體可以隔離你對保護區域的檔案的改動，重啟或者設定後，能恢復原樣，在恢復過程中自然也能消除所有改動和新增的程式檔案，包括病毒。類似的還有“虛擬機器”，如vmware、等。不過這類方式也不太適合家庭使用者，中木馬後，密碼會被毫無徵兆的盜走，而沒有任何警報，而且家用電腦通常每天會有很多個性化的改動微調、增刪檔案等，如果每天都設定一下還原軟體或影子系統，會比較繁瑣。

（三）防毒軟體

這是最普適的方式，首先當然要提到《百度防毒》，然後是國內比較主流的是360防毒、金山毒霸、等，最後是國外比較著名的（我只說歐洲的）如卡巴斯基、小紅傘、eset、BitDefender、等，這些安全軟體的防禦力完全可以滿足普通家用的需求，防禦病毒和惡意程式碼毫無壓力（只等下一個全球性的病毒被開發出來）。有的網友有一種妄想，就是黑客會來攻擊他，其實這種擔憂完全沒必要，有能力幹這事的黑客，絕對有更豐厚的收入來源等著他，絕對不會浪費在你身上，很多網友中毒僅僅是因為自己安裝的防毒軟體工作狀態不正常、比如服務未啟、病毒庫很長時間沒更新等，只要你確保自己安裝的靠譜的防毒軟體狀態良好，就不應該擔心中毒了。如果你是李嘉誠，當然有必要請網路安全磚家來保障你的電子裝置、賬戶和隱私等的安全。

系統出現病毒，多了資料夾：Documents+and+Settings，桌面有惡意圖示

最近安沒安裝什麼軟體或遊戲?有些軟體或遊戲回建立仿IE圖示的程式.

刪除方法:

方法1：直接發現——開啟“我的電腦”，然後點選“向上”按鈕，發現了什麼，居然有 IE 圖示，不用多說了，直接拖在桌面上即可。

方法2：Alt+I 法——桌面-右鍵點“屬性”->“桌面”選項卡->“自定義桌面”，出來這個介面裡預設沒有 IE 選項的，不管它，這是按住 Alt 鍵同時按一次 I 鍵，鬆開手，好了，點選“應用”和“確定”，這時 IE 圖示就出現在桌面了；要是你重複前面的操作會看見什麼呢? 沒錯，IE 圖示又消失了。

方法3：建立資料夾——在除了桌面以外的任意一個地方新建一個資料夾，命名為“Internet Explorer.{871C5380-42A0-1069-A2EA-08002B30309D} ”，不含引號，然後直接將這個資料夾複製或剪下到桌面，IE 圖示就出現了。

方法4：修改登錄檔——這個方法估計是最常用了，系統優化類軟體都是用這個方法的。大家把下面這些程式碼儲存到一個新建的文字文件中，儲存，然後把整個文件重新命名為“桌面顯示 IE 圖示.reg”，注意副檔名是 .reg 哦。為方便大家，附件已經提供這個登錄檔項，下載後解壓，雙擊，點“是”即可。重新整理一下，桌面就有 IE 圖示了。

參考資料：http://www.baidu.com/s?tn=cnopera&bs=IE&f=8&wd=IE%CD%BC%B1%EA

精確判斷一個程式是不是病毒的辦法

防毒軟體判斷未知指令碼病毒的方法是根據所有病毒的共同程式碼特徵來判斷的，也就是從這個指令碼的“外貌”上來判斷的，所以有時判斷並不準確，有些類似的一些應用程式有時也被它們判斷為病毒或者說惡意指令碼。由於是根據檔案中的一段程式碼來判斷是否是病毒的。當然不一定一定準確，有很小很小的機率，剛好一個數據檔案的部分程式碼和病毒的特徵部分一致，這個就沒有辦法分出來了。有時候會報錯。

通過以下常識判斷

不必要程式碼（Unwanted Code）是指沒有作用卻會帶來危險的程式碼，一個最安全的定義是把所有不必要的程式碼都看作是惡意的，不必要程式碼比惡意程式碼具有更寬泛的含義，包括所有可能與某個組織安全策略相沖突的軟體。

一、惡意程式碼的特徵

惡意程式碼（Malicious code）或者叫惡意軟體Malware（Malicious Software）具有如下共同特徵：

（1） 惡意的目的

（2） 本身是程式

（3） 通過執行發生作用

有些惡作劇程式或者遊戲程式不能看作是惡意程式碼。對濾過性病毒的特徵進行討論的文獻很多，儘管它們數量很多，但是機理比較近似，在防病毒程式的防護範圍之內，更值得注意的是非濾過性病毒。

二、非濾過性病毒

非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體，遠端特洛伊和諜件等等，組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通訊、記錄私人通訊，暗地接收和傳遞遠端主機的非授權命令，而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。非濾過性病毒有增長的趨勢，對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括：

（1）諜件

諜件（Spyware）與商業產品軟體有關，有些商業軟體產品在安裝到使用者機器上的時候，未經使用者授權就通過Internet連線，讓使用者方軟體與開發商軟體進行通訊，這部分通訊軟體就叫做諜件。使用者只有安裝了基於主機的防火牆，通過記錄網路活動，才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分，多數是無害的，其目的多在於掃描系統，取得使用者的私有資料。

（2）遠端訪問特洛伊

遠端訪問特洛伊RAT 是安裝在受害者機器上，實現非授權的網路訪問的程式，比如NetBus 和SubSeven 可以偽裝成其他程式，迷惑使用者安裝，比如偽裝成可以執行的電子郵件，或者Web下載檔案，或者遊戲和賀卡等，也可以通過物理接近的方式直接安裝。

（3）Zombies

惡意程式碼不都是從內部進行控制的，在分散式拒絕服務攻擊中，Internet的不少 站點受到其他主機上 zombies程式的攻擊。zombies程式可以利用網路上計算機系統的安全漏洞將自動攻擊指令碼安裝到多臺主機上，這些主機成為受害者而聽從攻擊者指揮，在某個時刻，彙集到一起去再去攻擊其他的受害者。

（4）破解和嗅探程式和網路漏洞掃描

口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事，取得非法的資源訪問許可權的主要手段，這些攻擊工具不是自動執行， 而是被隱蔽地操縱。

（5）鍵盤記錄程式

某些使用者組織使用PC活動監視軟體監視使用者的操作情況，通過鍵盤記錄，防止僱員不適當的使用資源，或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行資訊刺探和網路攻擊。

（6）P2P 系統.

基於Internet的點到點 （peer-to-peer）的應用程式比如 Napster、Gotomypc、AIM 和 Groove，以及遠端訪問工具通道像Gotomypc，這些程式都可以通過HTTP或者其他公共埠穿透防火牆，從而讓僱員建立起自己的VPN，這種方式對於組織或者公司有時候是十分危險的。因為這些程式首先要從內部的PC 遠端連線到外邊的Gotomypc 主機，然後使用者通過這個連線就可以訪問辦公室的PC。這種連線如果被利用，就會給組織或者企業帶來很大的危害。

（7）邏輯*和時間*

邏輯*和時間*是以破壞資料和應用程式為目的的程式。一般是由組織內部有不滿情緒的僱員植入，邏輯*和時間*對於網路和系統有很大程度的破壞，Omega 工程公司的一個前網路管理員Timothy Lloyd，1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯*,導致了1千萬美元的損失，而他本人最近也被判處41個月的監禁。

三、惡意程式碼的傳播手法

惡意程式碼編寫者一般利用三類手段來傳播惡意程式碼：軟體漏洞、使用者本身或者兩者的混合。有些惡意程式碼是自啟動的蠕蟲和嵌入指令碼，本身就是軟體，這類惡意程式碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意程式碼，利用受害者的心理操縱他們執行不安全的程式碼；還有一些是哄騙使用者關閉保護措施來安裝惡意程式碼。

利用商品軟體缺陷的惡意程式碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點，比如溢位漏洞和可以在不適當的環境中執行任意程式碼。像沒有打補丁的IIS軟體就有輸入緩衝區溢位方面的缺陷。利用Web 服務缺陷的攻擊程式碼有Code Red、Nimda，Linux 和Solaris上的蠕蟲也利用了遠端計算機的缺陷。

惡意程式碼編寫者的一種典型手法是把惡意程式碼郵件偽裝成其他惡意程式碼受害者的感染報警郵件，惡意程式碼受害者往往是Outlook地址簿中的使用者或者是緩衝區中WEB頁的使用者，這樣做可以最大可能的吸引受害者的注意力。一些惡意程式碼的作者還表現了高度的心理操縱能力，LoveLetter 就是一個突出的例子。一般使用者對來自陌生人的郵件附件越來越警惕，而惡意程式碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到閘道器過濾程式的*和阻斷，惡意程式碼的編寫者也會設法繞過閘道器過濾程式的檢查。使用的手法可能包括採用模糊的檔案型別，將公共的執行檔案型別壓縮成zip檔案等等。

對聊天室IRC（Internet Relay Chat）和即時訊息IM(instant messaging)系統的攻擊案例不斷增加，其手法多為欺騙使用者下載和執行自動的Agent軟體，讓遠端系統用作分散式拒絕服務(DDoS)的攻擊平臺，或者使用後門程式和特洛伊木馬程式控制之。

四、惡意程式碼傳播的趨勢

惡意程式碼的傳播具有下面的趨勢：

（1）種類更模糊

惡意程式碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種，而可能是它們的混合。比如蠕蟲產生寄生的檔案病毒，特洛伊程式，口令竊取程式，後門程式，進一步模糊了蠕蟲、病毒和特洛伊的區別。

（2）混合傳播模式

“混合病毒威脅”和“收斂（convergent）威脅”的成為新的病毒術語，“紅色程式碼”利用的是IIS的漏洞，Nimda實際上是1988年出現的 Morris 蠕蟲的派生品種，它們的特點都是利用漏洞，病毒的模式從引導區方式發展為多種類病毒蠕蟲方式，所需要的時間並不是很長。

（3）多平臺

多平臺攻擊開始出現，有些惡意程式碼對不相容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞，而Linux蠕蟲會派生exe格式的特洛伊。

（4） 使用銷售技術

另外一個趨勢是更多的惡意程式碼使用銷售技術，其目的不僅在於利用受害者的郵箱實現最大數量的轉發，更重要的是引起受害者的興趣，讓受害者進一步對惡意檔案進行操作，並且使用網路探測、電子郵件指令碼嵌入和其它不使用附件的技術來達到自己的目的。

惡意軟體（malware）的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來，製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者，改變自己的方法去對付新的威脅則需要不少的時間。

（5）伺服器和客戶機同樣遭受攻擊

對於惡意程式碼來說伺服器和客戶機的區別越來越模糊，客戶計算機和伺服器如果運行同樣的應用程式，也將會同樣受到惡意程式碼的攻擊。象IIS服務是一個作業系統預設的服務，因此它的服務程式的缺陷是各個機器都共有的，Code Red的影響也就不限於伺服器，還會影響到眾多的個人計算機。

（6）Windows作業系統遭受的攻擊最多

Windows作業系統更容易遭受惡意程式碼的攻擊，它也是病毒攻擊最集中的平臺，病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢位問題，包括字串格式和堆溢位，仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行程式碼，隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播，JS/Kak利用IE/Outlook的漏洞，導致兩個ActiveX控制元件在信任級別執行，但是它們仍然在使用者不知道的情況下，執行非法程式碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設定，執行嵌入在HTML 郵件中的JavaScript 和 ActiveX程式碼。這種訊息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意程式碼採用的典型手法之一。

（7）惡意程式碼型別變化

此外，另外一類惡意程式碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷，將惡意程式碼化裝成安全資料型別，欺騙客戶軟體執行不適當的程式碼。

五、惡意程式碼相關的幾個問題

（1）病毒防護沒有標準的方法，專家認為比較安全的方式是每個星期更新一次病毒庫，但是特殊情況下，需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新，而2000年五月，為了對付LoveLetter病毒的變種，一天就要幾次更新病毒庫。需要指出的是，有時候這種頻繁的更新對於防護效果的提高很小。

（2）使用者對於Microsoft的作業系統和應用程式抱怨很多，但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。

（3）啟發式的病毒搜尋沒有被廣泛地使用，因為清除一個病毒比調整啟發式軟體的花費要小，而被比喻成“治療比疾病本身更糟糕”。

（4）企業在防火牆管理，電子郵件管理上都花費了不小的精力，建議使用單獨的人員和工具完成這個任務。

（5） 惡意程式碼攻擊方面的資料分析做得很不夠，儘管有些病毒掃描軟體有系統活動日誌，但是由於檔案大小*，不能長期儲存。同時對於惡意程式碼感染程度的度量和分析做得也不夠，一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。

（6） 病毒掃描軟體只是通知使用者改變設定，而不是自動去修改設定。

（7） 病毒防護軟體本身就有安全缺陷，容易被攻擊者利用，只是由於害怕被攻擊，病毒軟體廠商不願意談及。

（8）許多的軟體都是既可以用在安全管理，也可以用在安全突破上，問題在於意圖，比如漏洞掃描程式和嗅探程式就可以被攻擊者使用。

惡意程式碼的傳播方式在迅速地演化，從引導區傳播，到某種型別檔案傳播，到巨集病毒傳播，到郵件傳播，到網路傳播，發作和流行的時間越來越短。Form引導區病毒1989年出現，用了一年的時間流行起來，巨集病毒 Concept Macro 1995年出現，用了三個月的時間流行， LoveLetter用了大約一天，而 Code Red用了大約90分鐘， Nimda 用了不到 30分鐘. 這些數字背後的規律是很顯然的：在惡意程式碼演化的每個步驟，病毒和蠕蟲從釋出到流行的時間都越來越短。

惡意程式碼本身也越來越直接的利用作業系統或者應用程式的漏洞， 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程式，利用漏洞來進行自我傳播，不再需要搭乘其他程式碼