計(jì)算機(jī)病毒與防治

1、第3章 計(jì)算機(jī)病毒及防治 本章主要內(nèi)容：1.什么是計(jì)算機(jī)病毒2.計(jì)算機(jī)上病毒的傳播3.計(jì)算機(jī)病毒的特點(diǎn)及破壞行為4.病毒的預(yù)防、檢查和清除3.1 什么是計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通常隱藏在其它看起來無害的程序中，能生成自身的復(fù)制并將其插入其它的程序中，執(zhí)行惡意的行動。 通常，計(jì)算機(jī)病毒可分為下列幾類。 （1）文件病毒。 （2）引導(dǎo)扇區(qū)病毒。 （3）多裂變病毒。 （4）秘密病毒。 （5）異形病毒。 （6）宏病毒。計(jì)算機(jī)病毒的傳染通過哪些途徑計(jì)算機(jī)病毒的傳染通過哪些途徑? ? 計(jì)算機(jī)病毒之所以稱之為病毒是因?yàn)槠渚哂袀魅拘缘?/p>

2、本質(zhì)。傳統(tǒng)渠道通常有以下幾種： （1）通過盤 (軟盤)：通過使用外界被感染的盤, 例如, 不同渠道來的系統(tǒng)盤、來歷不明的軟件、游戲盤等是最普遍的傳染途徑。由于使用帶有病毒的盤, 使機(jī)器感染病毒發(fā)病, 并傳染給未被感染的“干凈”的盤。大量的軟盤交換, 合法或非法的程序拷貝, 不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 （2）通過硬盤：通過硬盤傳染也是重要的渠道, 由于帶有病毒機(jī)器移到其它地方使用、維修等, 將干凈的軟盤傳染并再擴(kuò)散。 （3）通過光盤：因?yàn)楣獗P容量大，存儲了海量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除

3、。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任，也決不會有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。 （4）通過網(wǎng)絡(luò)：這種傳染擴(kuò)散極快, 能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。隨著internet的風(fēng)靡，給病毒的傳播又增加了新的途徑，它的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。internet帶來兩種不同的安全威脅，一種威脅來自文件下載，這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數(shù)internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能，因此，遭受病毒的

4、文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴(yán)重。病毒傳播方式被病毒感染的光盤下載含病毒的程序上傳含病毒的程序軟件共享未被感染的計(jì)算機(jī)被感染的計(jì)算機(jī)計(jì)算機(jī)網(wǎng)絡(luò)3.2 計(jì)算機(jī)病毒的工作方式一般來說，病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。病毒能表現(xiàn)出的幾種特性或功能有：感染、變異、觸發(fā)、破壞以及高級功能（如隱身和多態(tài)）。1感染任何計(jì)算機(jī)病毒的一個(gè)重要特性或功能是對計(jì)算機(jī)系統(tǒng)的感染。 感染方法可用來區(qū)分兩種主要類型的病毒：引導(dǎo)扇區(qū)病毒和文件感染病毒。2變異變異又稱變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測，以達(dá)到逃避檢測的一

5、種“功能”。 3觸發(fā)以時(shí)間、程序運(yùn)行了次數(shù)和在文件病毒被復(fù)制到不同的系統(tǒng)上多少次之后作為觸發(fā)條件。 4破壞破壞的方式總的來說可以歸納如下列幾種：修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。 5高級功能病毒計(jì)算機(jī)病毒經(jīng)過幾代的發(fā)展，在功能方面日趨高級，它們盡可能地逃避檢測，有的甚至被設(shè)計(jì)成能夠躲開病毒掃描和反病毒軟件。隱身病毒和多態(tài)病毒就屬于這一類。引導(dǎo)扇區(qū)病毒 1引導(dǎo)型病毒的清除 引導(dǎo)型病毒的一般清理辦法是用format命令格式化磁盤，但這種方法的缺點(diǎn)是在病毒被殺掉的同時(shí)有用的數(shù)據(jù)也被清除掉了。除了格式化的方法外，還可以用其他的方法進(jìn)行恢復(fù)。引導(dǎo)型病毒在不同的平臺上清除方法有所不

6、同，在windows 95/98下，可以執(zhí)行以下步驟：（1）用windows 95/98 的干凈啟動盤啟動計(jì)算機(jī)。（2）在命令行中鍵入下列命令： fdisk /mbr （用來更新主引導(dǎo)記錄，也稱硬盤分區(qū)表） sys c: （恢復(fù)硬盤引導(dǎo)扇區(qū)）（3）重啟計(jì)算機(jī)。在windows 2000/xp平臺下，可以用以下方法進(jìn)行恢復(fù)：（1）用windows 2000/xp 安裝光盤啟動。（2）在“歡迎安裝”的界面中按r鍵進(jìn)行修復(fù)，啟動windows的修復(fù)控制臺。（3）選擇正確的要修復(fù)的機(jī)器的數(shù)量。（4）鍵入管理員密碼，如果沒有密碼，則直接回車。（5）在命令行鍵入下面的命令：fixmbr 回車fixboot

7、 回車（6）鍵入exit，重啟計(jì)算機(jī)。文件感染病毒覆蓋型文件病毒 前依附型文件病毒 伴隨型文件病毒 后依附型文件病毒文件病毒 文件病毒文件病毒文件病毒 病毒病毒 2 2文件型病毒的清除文件型病毒的清除 （1）檢查注冊表 （2）檢查win.ini文件 （3）檢查system.ini文件 （4）重新啟動計(jì)算機(jī)，然后根據(jù)文件名，在硬盤找到這個(gè)程序，將其刪除。3.3 計(jì)算機(jī)病毒的特點(diǎn)及破壞行為3.3.1 計(jì)算機(jī)病毒的特點(diǎn)根據(jù)對計(jì)算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析，總結(jié)出病毒有以下幾個(gè)主要特點(diǎn)。1刻意編寫人為破壞2自我復(fù)制能力 3奪取系統(tǒng)控制權(quán) 4隱蔽性 5潛伏性 6不可預(yù)見性 電腦感染病毒的初步判斷

8、電腦感染病毒的初步判斷1 1、電腦系統(tǒng)出現(xiàn)異常死機(jī)或死機(jī)頻繁、電腦系統(tǒng)出現(xiàn)異常死機(jī)或死機(jī)頻繁當(dāng)電腦系統(tǒng)經(jīng)常無故死機(jī)時(shí)，如果經(jīng)檢查不是由于cpu散熱、顯卡過熱、內(nèi)存單元損壞等硬件原因引起時(shí)，就可以初步判斷電腦感染了病毒。2 2、運(yùn)行速度突然減慢、運(yùn)行速度突然減慢病毒會占用cpu、內(nèi)存、文件系統(tǒng)和外設(shè)等資源，最終造成系統(tǒng)的運(yùn)行速度減慢。3 3、出現(xiàn)異常的重啟現(xiàn)象、出現(xiàn)異常的重啟現(xiàn)象4 4、操作系統(tǒng)無故頻繁報(bào)警或虛假報(bào)警、操作系統(tǒng)無故頻繁報(bào)警或虛假報(bào)警5 5、文件的長度、屬性、日期等信息無故改變、文件的長度、屬性、日期等信息無故改變6 6、磁盤壞簇?zé)o故增多、磁盤壞簇?zé)o故增多7 7、丟失文件或數(shù)據(jù)、丟

9、失文件或數(shù)據(jù)8 8、磁盤出現(xiàn)特殊標(biāo)簽或系統(tǒng)無法正常引導(dǎo)磁盤、磁盤出現(xiàn)特殊標(biāo)簽或系統(tǒng)無法正常引導(dǎo)磁盤有些病毒會用一個(gè)自己的特殊標(biāo)記把經(jīng)自己感染的磁盤標(biāo)記起來，而有的則會寄生在磁盤的引導(dǎo)區(qū)內(nèi)，覆蓋掉引導(dǎo)區(qū)的部分代碼，導(dǎo)致系統(tǒng)不能正常啟動。9 9、電腦的存儲容量異常減少、電腦的存儲容量異常減少1010、無法正常調(diào)用漢字庫、無法正常調(diào)用漢字庫1111、電腦屏幕上出現(xiàn)異常顯示、電腦屏幕上出現(xiàn)異常顯示1212、部分文檔自動加密、部分文檔自動加密1313、電腦的蜂鳴器出現(xiàn)異常聲響、電腦的蜂鳴器出現(xiàn)異常聲響有些病毒會讓電腦的蜂鳴器發(fā)出無規(guī)律的噪聲，有些則會使軟驅(qū)不斷發(fā)出讀盤的噪聲。1414、主板被破壞、主板被

10、破壞3.4 計(jì)算機(jī)病毒的破壞行為（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。（2）攻擊文件。（3）攻擊內(nèi)存。（4）干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降。（5）干擾鍵盤、喇叭或屏幕。（6）攻擊cmos。（7）干擾打印機(jī)。（8）網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源。如何判斷發(fā)現(xiàn)單機(jī)型病毒 防病毒軟件發(fā)現(xiàn)。 計(jì)算機(jī)無法開機(jī) 計(jì)算機(jī)突然變慢 不能啟動某些軟件。方法：按ctrl+alt+del,打開任務(wù)管理器，再單擊進(jìn)程卡片，再單擊卡片里的cpu項(xiàng)，會把占用cpu大小的進(jìn)程從大到小排列，一般是system idel process 占用得最多，如果長期被其它進(jìn)程占用第一，那它就是病毒如何發(fā)現(xiàn)單機(jī)型病毒 高級用戶：查看每一個(gè)進(jìn)程，看

11、一下是否是你熟悉的服務(wù)或者軟件，如果發(fā)現(xiàn)陌生的進(jìn)程，就到網(wǎng)上查找是否是病毒。3.5.1 網(wǎng)絡(luò)病毒1網(wǎng)絡(luò)病毒的特點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。3.5 網(wǎng)絡(luò)病毒 internetinternet2病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 文件病毒可以通過因特網(wǎng)毫無困難地發(fā)送，而可執(zhí)行文件病毒不能通過因特網(wǎng)在遠(yuǎn)程站點(diǎn)感染文件。此時(shí)因特網(wǎng)是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)是從一個(gè)感染的u盤（軟盤）上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。 網(wǎng)絡(luò)病毒危害 開啟機(jī)器后門

12、，盜取銀行密碼，qq密碼，私人資料。 發(fā)送垃圾電子郵件，制造電子垃圾。 被別人當(dāng)作跳板，攻擊其它網(wǎng)絡(luò)上的計(jì)算機(jī)或者服務(wù)器（dos攻擊，分布式拒絕服務(wù)攻擊） 向其它計(jì)算機(jī)傳播病毒或者后門。 如何發(fā)現(xiàn)網(wǎng)絡(luò)型病毒網(wǎng)絡(luò)型病毒分黑客后門病毒（特諾依木馬troian house）和蠕蟲病毒等 殺毒程序報(bào)警 不斷發(fā)送email 不時(shí)打開ie，或者打開ie時(shí)不斷彈出新窗口 發(fā)現(xiàn)不尋常的網(wǎng)絡(luò)流量（代表網(wǎng)絡(luò)流量的圖標(biāo)一直在亮，而本機(jī)沒有進(jìn)行任何網(wǎng)絡(luò)操作）發(fā)現(xiàn)網(wǎng)絡(luò)型病毒 其他用戶發(fā)現(xiàn)你正在攻擊其計(jì)算機(jī)。 發(fā)現(xiàn)不尋常的網(wǎng)絡(luò)連接 發(fā)現(xiàn)上網(wǎng)速度（本地網(wǎng)絡(luò)）突然減慢。發(fā)現(xiàn)網(wǎng)絡(luò)病毒 在沒有其它網(wǎng)絡(luò)連接的時(shí)候，打開dos方式，

13、打入下面命令（netstat -b）,現(xiàn)在電腦只使用了msn上網(wǎng)，其他的如果進(jìn)行網(wǎng)絡(luò)連接就可能是后門清除網(wǎng)絡(luò)型病毒 一般情況下使用軟件清除，或者知道程序路徑自己清除。 但有可能遇到軟件及自動清除都不見效的下面情況：手工清除病毒 下載進(jìn)程管理工具，如process explorer（http:/ 病毒的預(yù)防、檢查和清除3.6.1 電腦病毒電腦病毒的防治的防治1 1、電腦病毒的預(yù)防、電腦病毒的預(yù)防（1）安裝殺毒軟件并保證及時(shí)升級（2）從可靠渠道下載軟件，并經(jīng)過殺毒的檢測才運(yùn)行（3）對電子郵件加倍提高警惕（4）對新購置的電腦軟硬件系統(tǒng)進(jìn)行檢測（5）定期備份文件2 2、一些預(yù)防病毒的簡單措施、一些預(yù)防

14、病毒的簡單措施（1）防止syn洪水攻擊hkey _ local _ machinesystem currentcontrolsetservicestcpipparameters dword值：synattackprotect（2）防御腳本病毒（3）防止網(wǎng)頁腳本病毒執(zhí)行（4）防止word文檔宏病毒 3 3宏病毒的清除宏病毒的清除 在micrsoft office應(yīng)用程序中打開“工具” “宏”“visual basic編輯器”，早期的版本為宏管理器。進(jìn)入到編輯器窗口，用戶可以查看normal模板，若發(fā)現(xiàn)有autoopen、autonew、autoclose等自動宏以及filesave、filesa

15、veas、fileexit等文件操作宏或一些怪名字的宏，如xxyy等，而自己又沒有加載這類特殊模板，這就極可能是宏病毒在作祟，因?yàn)榇蠖鄶?shù)normal模板中是不包含上述宏的。確定是宏病毒后，可以在通用模板中刪除被認(rèn)為是病毒的宏。 還有一種方法更為簡單，通過搜索系統(tǒng)文件，找到autoexec.dot和nomal.dot文件，直接刪除即可。office應(yīng)用程序啟動后會重新生成一個(gè)干凈的模板文件。使用internet防火墻用處:阻擋90%的黑客、蠕蟲病毒及消除系統(tǒng)漏洞引起的安全性問題 windowsxp或windows 2003系統(tǒng)自帶防火墻,只要在網(wǎng)絡(luò)中使用即可,方法:網(wǎng)絡(luò)上鄰居(右鍵)-屬性-本地

16、連接右鍵-屬性-高級-internet連接防火墻-打鉤 其它windows操作系統(tǒng)(win95,win98,winnt,win2000)安全其它品牌個(gè)人防火墻（推薦：天網(wǎng)）win xp使用防火墻網(wǎng)上鄰居-屬性-本地連接-屬性-高級-設(shè)置使用防火墻并同時(shí)啟動共享啟動共享時(shí)的安全措施獲得更新用處:把系統(tǒng)漏洞補(bǔ)住，如沖擊波的rpc系統(tǒng)漏洞 windowsxp安裝sp2及安裝安全補(bǔ)丁 windows 2000安裝sp4及安裝安全補(bǔ)丁 windows98網(wǎng)上安裝安全補(bǔ)丁安裝安全補(bǔ)丁方法:打開ie-工具菜單-windows update上網(wǎng)更新方式上網(wǎng)更新方式使用最新的防病毒軟件 安裝防病毒軟件并定時(shí)更新

17、病毒特征碼。 推薦：瑞星/norton 如果安裝了防病軟件沒有更新，幾乎等于沒有安裝! 設(shè)置定時(shí)查找病毒及定時(shí)升級病毒特征碼其他要注意的事項(xiàng) 下載軟件最好到知名的網(wǎng)站下載,如華軍軟件(),天空下載站,太平洋下載等. 如果打開某個(gè)網(wǎng)頁時(shí)發(fā)現(xiàn)要下載或者安裝軟件時(shí),要特別注意,一般是按no. 安裝軟件時(shí),如金山詞霸,qq等,最好選擇手動設(shè)置,將多余并會影響正常使用的附件(如qq工具欄)去除. 對不明來歷的光碟及軟件,采用先殺毒再安裝方式. 收到帶不明附件的郵件不要輕易打開.四、日常維護(hù)計(jì)劃 ：盤最好只安裝系統(tǒng)，不存放數(shù)據(jù)，把outlook的郵件和my document的文件都放在d盤。（因?yàn)椴《咀钕?/p>

18、歡把c盤缺省目錄的文件刪除，而重裝系統(tǒng)也會把c盤所有文件格式化掉） 重要文件最好定期使用光碟刻錄存放。 做好系統(tǒng)備份工作，重裝系統(tǒng)會變得很輕松（使用ghost） 定期做硬盤碎片整理及查殺病毒。用好ghost使安裝操作系統(tǒng)更松：1. 新的機(jī)器(或者要重裝機(jī)器),把數(shù)據(jù)全部備份.2. 使用windows xp光碟重新啟動到分區(qū)步驟.3. 分四個(gè)區(qū)(以200g為例),c盤20g,d盤60g,e盤60g,f盤60g.4. 使用ntfs格式化c盤安裝系統(tǒng).5. 安裝所有需要的軟件,如office等.6. 用ntfs格式化d盤、 e盤,fat32格式化f盤.7. 把my document及email等數(shù)據(jù)都放在d盤的目錄中.(病毒最喜歡刪c盤的my document的數(shù)據(jù))8. 對c盤進(jìn)行磁盤的碎片整理.9. 把ghost.exe文件放到f盤,重啟計(jì)算機(jī),使用ghost盤（或win98啟動盤)啟動.10.這里原來的f 盤變?yōu)閏盤(ntfs分區(qū)對dos不可見).11