計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)第9章-計(jì)算機(jī)病毒與防御課件

1、第9章 計(jì)算機(jī)病毒與防御 本章要求掌握計(jì)算機(jī)病毒的概念義了解計(jì)算機(jī)病毒的發(fā)展史與危害熟悉計(jì)算機(jī)病毒的主要特性掌握計(jì)算機(jī)病毒的分類、查殺與防范方法。本章主要內(nèi)容9.1 計(jì)算機(jī)病毒的概念9.2 計(jì)算機(jī)病毒的種類9.3 計(jì)算機(jī)病毒的查殺與防范方法9.1.1 計(jì)算機(jī)病毒的定義9.1.2 計(jì)算機(jī)病毒的發(fā)展史9.1.3 計(jì)算機(jī)病毒的危害 9.1.4 計(jì)算機(jī)病毒的主要特性 9.1.1 計(jì)算機(jī)病毒的定義在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義，計(jì)算機(jī)病毒是“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。從廣義上講，一些惡意

2、程序雖然不能自我復(fù)制，但會對計(jì)算機(jī)系統(tǒng)產(chǎn)生破壞或嚴(yán)重?fù)p害計(jì)算機(jī)使用者的利益，這些程序往往也被歸類為計(jì)算機(jī)病毒，如木馬程序等。9.1.2 計(jì)算機(jī)病毒的發(fā)展史最早提出電腦病毒概念的是電腦的先驅(qū)者馮諾伊曼。在他的一篇論文復(fù)雜自動裝置的理論及組識的進(jìn)行里，勾勒出病毒程序自我繁殖的基本原理。不過在當(dāng)時(shí)，絕大部分的電腦專家都無法想像會有這種能自我繁殖的程序。 第一次驗(yàn)證了計(jì)算機(jī)病毒存在的可能性是在1983年11月，美國電腦專家弗雷德科恩博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，并將它命名為計(jì)算機(jī)病毒，并在每周一次的計(jì)算機(jī)安全討論會上正式提出，之后專家們在VAX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個

3、病毒實(shí)驗(yàn)成功。但這個病毒程序僅存在于實(shí)驗(yàn)室，證明計(jì)算機(jī)病毒是可以被制造出來的，但其并沒有對外擴(kuò)散。第一個真正的電腦病毒誕生于1987年。這個病毒程序是由一對巴基斯坦兄弟：巴斯特和阿姆捷特所寫。此兄弟二人在當(dāng)?shù)亟?jīng)營一家個人電腦的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣盛行，他們?yōu)榱朔乐顾麄兊能浖蝗我獗I拷，編寫出一個特殊的程序，只要有人盜拷他們的軟件，這個程序就會發(fā)作，將盜拷者的硬盤剩余空間給吃掉。這個程序命名為Pakistani Brain(巴基斯坦大腦)，被公認(rèn)為是世界上第一個計(jì)算機(jī)病毒，這個病毒在其后的一年時(shí)間里擴(kuò)散到世界各地。 第一代病毒 第一代病毒的產(chǎn)生年代通常認(rèn)為在1986-1989年之間，這一

4、期間出現(xiàn)的病毒稱之為傳統(tǒng)病毒，是計(jì)算機(jī)病毒的萌芽和滋生時(shí)期。 這一階段的計(jì)算機(jī)病毒具有如下的一些特點(diǎn)：（1）病毒攻擊的目標(biāo)比較單一，有些傳染磁盤引導(dǎo)扇區(qū)，有些傳染可執(zhí)行文件。（2）病毒程序主要采取截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對目標(biāo)進(jìn)行傳染。（3）病毒傳染目標(biāo)以后的特征比較明顯，如磁盤上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加、文件建立的日期和時(shí)間發(fā)生變化等等。這些特征容易被人工或查毒軟件所發(fā)現(xiàn)。（4）病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的消毒軟件。 第二代病毒 第二代病毒又稱為混合型病毒，其產(chǎn)生的年代在1989-1991年之間，它是

5、計(jì)算機(jī)病毒由簡單發(fā)展到復(fù)雜，由單純走向成熟的階段。 （1）病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染磁盤引導(dǎo)扇區(qū)，又可能傳染可執(zhí)行文件。（2）病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，而采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)。（3）病毒傳染目標(biāo)后沒有明顯的特征，如磁盤上不出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加不明顯，不改變被傳染文件原來的建立日期和時(shí)間等等。（4）病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反跟蹤技術(shù)，制造各種障礙，增加人們解剖、分析病毒的難度，也增加了病毒的發(fā)現(xiàn)與殺除難度。（5）出現(xiàn)許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。第三代病毒 第三代病毒的

6、產(chǎn)生是從1992年開始至1995年，此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒。所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標(biāo)時(shí)，侵入宿主程序中的病毒程序大部分都是可變的，即在搜集到同一種病毒的多個樣本中，病毒程序的代碼絕大多數(shù)是不同的，這是此類病毒的重要特點(diǎn)。第四代病毒90年代中后期，隨著因特網(wǎng)、遠(yuǎn)程訪問服務(wù)的開通，病毒流行面更加廣泛，病毒的流行迅速突破地域的限制， 首先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。隨著因特網(wǎng)的普及，電子郵件的使用，以及Office系列辦公軟件被廣泛應(yīng)用，夾雜于電子郵件內(nèi)的Office宏病毒成為當(dāng)時(shí)病毒的主流。由于宏病毒編寫簡單、破壞性強(qiáng)、

7、清除繁雜，加上微軟對文檔結(jié)構(gòu)沒有公開，給直接基于文檔結(jié)構(gòu)清除宏病毒帶來了諸多不便。這一時(shí)期的病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑，傳播對象從傳統(tǒng)的引導(dǎo)型和依附于可執(zhí)行程序文件而轉(zhuǎn)向流通性更強(qiáng)的文檔文件中。因而，病毒傳播快、隱蔽性強(qiáng)、破壞性大。這些都給病毒防治帶來新的挑戰(zhàn)。 新一代病毒人類歷史進(jìn)入二十一世紀(jì)以來，互聯(lián)網(wǎng)滲入每一戶人家，網(wǎng)絡(luò)成為人們?nèi)粘Ｉ詈凸ぷ鞯牟豢扇鄙俚囊徊糠?。一個曾經(jīng)未被人們重視的病毒種類遇到適合的滋生環(huán)境而迅速蔓延，這就是蠕蟲病毒。蠕蟲病毒是一種利用網(wǎng)絡(luò)服務(wù)漏洞而主動攻擊的計(jì)算機(jī)病毒類型。與傳統(tǒng)病毒不同，蠕蟲不依附在其它文件或媒介上，而是獨(dú)立存在的病毒程序

8、，利用系統(tǒng)的漏洞通過網(wǎng)絡(luò)主動傳播，可在瞬間傳遍全世界。蠕蟲已成為目前病毒的主流。 9.1.3 計(jì)算機(jī)病毒的危害 美國Techweb網(wǎng)站評出了20年來，破壞力最大的10種計(jì)算機(jī)病毒，可以看到這些病毒給人類社會的發(fā)展帶來巨大的經(jīng)濟(jì)損失：CIH (1998年) 該計(jì)算機(jī)病毒存在于Windows 95 / 98以EXE為后綴的可行性文件中。它不但會破壞計(jì)算機(jī)硬盤中的信息，而且還會破壞BIOS，使系統(tǒng)無法啟動，從而很難殺除。由于染毒的BIOS無法啟動系統(tǒng)，故障現(xiàn)象與主板硬件損壞一樣，所以CIH病毒被認(rèn)為是第一個破壞計(jì)算機(jī)硬件系統(tǒng)的病毒。 CIH可利用所有可能的途徑進(jìn)行傳播：軟盤、CD-ROM、Inter

9、net、FTP下載、電子郵件等。被公認(rèn)為是有史以來最危險(xiǎn)、破壞力最強(qiáng)的計(jì)算機(jī)病毒之一。1998年6月爆發(fā)于中國臺灣，在全球范圍內(nèi)造成了2000萬-8000萬美元的損失。 梅利莎（Melissa,1999年） 這個病毒專門針對微軟的電子郵件服務(wù)器和電子郵件收發(fā)軟件，它隱藏在一個Word97格式的文件里，以附件的方式通過電子郵件傳播，善于侵襲裝有Word97或Word2000的計(jì)算機(jī)。它可以攻擊Word97的注冊器并修改其預(yù)防宏病毒的安全設(shè)置，使它感染的文件所具有的宏病毒預(yù)警功能喪失作用。 在發(fā)現(xiàn)Melissa病毒后短短的數(shù)小時(shí)內(nèi)，該病毒即通過因特網(wǎng)在全球傳染數(shù)百萬臺計(jì)算機(jī)和數(shù)萬臺服務(wù)器，因特網(wǎng)在

10、許多地方癱瘓。1999年3月26日爆發(fā)，感染了15%-20%的商業(yè)PC，給全球帶來了3億6億美元的損失。I love you (2000年) 2000年5月3日爆發(fā)于中國香港，是一個用VBScript編寫，可通過E-Mail散布的病毒，而受感染的電腦平臺以Windows 95 / 98 / 2000為主。給全球帶來100億-150億美元的損失。紅色代碼 (Code Red，2001年) 該病毒能夠迅速傳播，并造成大范圍的訪問速度下降甚至阻斷。這種病毒一般首先攻擊計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器，遭到攻擊的服務(wù)器會按照病毒的指令向政府網(wǎng)站發(fā)送大量數(shù)據(jù)，最終導(dǎo)致網(wǎng)站癱瘓。其造成的破壞主要是涂改網(wǎng)頁，有跡象表明，

11、這種蠕蟲有修改文件的能力。2001年7月13日爆發(fā)，給全球帶來26億美元損失。SQL Slammer (2003年) 該病毒利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務(wù)進(jìn)行攻擊。2003年1月25日爆發(fā)，全球共有50萬臺服務(wù)器被攻擊，但造成但經(jīng)濟(jì)損失較小。沖擊波（Blaster，2003年) 該病毒運(yùn)行時(shí)會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Windows2000或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會對微軟的一個升級網(wǎng)站

12、進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。2003年夏爆發(fā)，數(shù)十萬臺計(jì)算機(jī)被感染，給全球造成20億-100億美元損失。 大無極.F（Sobig.F，2003年) Sobig.f是一個利用互聯(lián)網(wǎng)進(jìn)行傳播的病毒，當(dāng)其程序被執(zhí)行時(shí)，它會將自己以電子郵件的形式發(fā)給它從被感染電腦中找到的所有郵件地址。在被執(zhí)行后，Sobig.f病毒將自己以附件的方式通過電子郵件發(fā)給它從被感染電腦中找到的所有郵件地址，它使用自身的SMTP引擎來設(shè)置所發(fā)出的信息。此蠕蟲病毒在2003年8月19日爆發(fā)，為此前Sobig變種，給全球帶來50億-100億美元損失。貝革熱（Bagle，2004年) 該病毒通過電

13、子郵件進(jìn)行傳播，運(yùn)行后，在系統(tǒng)目錄下生成自身的拷貝，修改注冊表鍵值。病毒同時(shí)具有后門能力。2004年1月18日爆發(fā)，給全球帶來數(shù)千萬美元損失。 MyDoom (2004年) MyDoom是一種通過電子郵件附件和P2P網(wǎng)絡(luò)Kazaa傳播的病毒,當(dāng)用戶打開并運(yùn)行附件內(nèi)的病毒程序后，病毒就會以用戶信箱內(nèi)的電子郵件地址為目標(biāo)，偽造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時(shí)在用戶主機(jī)上留下可以上載并執(zhí)行任意代碼的后門。2004年1月26日爆發(fā)，在高峰時(shí)期，導(dǎo)致網(wǎng)絡(luò)加載時(shí)間慢50%以上。 Sasser (2004年) 該病毒是一個利用微軟操作系統(tǒng)的Lsass緩沖區(qū)溢出漏洞（ MS04-011漏

14、洞信息）進(jìn)行傳播的蠕蟲。由于該蠕蟲在傳播過程中會發(fā)起大量的掃描，因此對個人用戶使用和網(wǎng)絡(luò)運(yùn)行都會造成很大的沖擊。2004年4月30日爆發(fā)，給全球帶來數(shù)千萬美元損失。9.1.4 計(jì)算機(jī)病毒的主要特性可執(zhí)行性隱蔽性傳染性潛伏性破壞性可觸發(fā)性9.2 計(jì)算機(jī)病毒的種類9.2.1 文件型病毒 9.2.2 引導(dǎo)型病毒 9.2.3 宏病毒 9.2.4 網(wǎng)頁腳本程序病毒 9.2.5 蠕蟲 9.2.6 特洛伊木馬 9.2.1 文件型病毒 文件型病毒是一種古老的病毒類型，病毒程序代碼依附在一個可執(zhí)行文件里面，通過修改程序文件入口地址，在啟動程序文件時(shí)首先執(zhí)行病毒程序代碼，病毒代碼通過修改系統(tǒng)中斷的方法控制計(jì)算機(jī)系

15、統(tǒng)后，再繼續(xù)執(zhí)行正常的程序代碼，使用戶察覺不到計(jì)算機(jī)病毒的存在。病毒程序代碼：嵌入正?？蓤?zhí)行文件中。病毒代碼執(zhí)行方法：執(zhí)行程序時(shí)被“搭車”啟動。殺毒方法：將病毒代碼從程序中剝離。9.2.2 引導(dǎo)型病毒 引導(dǎo)型病毒也是一種古老的病毒類型。引導(dǎo)型病毒侵占主引導(dǎo)區(qū)后，將原主引導(dǎo)程序移動到其它空閑扇區(qū)中。計(jì)算機(jī)系統(tǒng)啟動時(shí)，BIOS自動執(zhí)行主引導(dǎo)區(qū)內(nèi)的病毒程序，病毒程序控制了計(jì)算機(jī)系統(tǒng)之后再執(zhí)行移到空閑扇區(qū)內(nèi)的正常引導(dǎo)程序，使系統(tǒng)在病毒程序控制下啟動。病毒程序代碼：替換正常的引導(dǎo)區(qū)程序，將正常引導(dǎo)程序移動到空閑扇區(qū)。病毒代碼執(zhí)行方法：系統(tǒng)啟動時(shí)自動被啟動。殺毒方法：用正常引導(dǎo)區(qū)程序覆蓋被感染的引導(dǎo)區(qū)。9

16、.2.3 宏病毒 如果病毒程序利用宏的功能隱藏到Office文檔中，就稱為宏病毒。建立宏的方法有兩種，自動錄制和使用VB腳本編寫宏代碼。自動錄制宏的方法比較簡單，啟動錄制宏功能之后，Office系統(tǒng)會自動記錄用戶所做的一切操作，并將操作自動生成VB腳本的宏代碼。這種自動錄制宏的方法操作簡單，易于實(shí)現(xiàn)，為廣大Office用戶廣泛使用。另一種建立宏的方法是直接使用VB腳本編寫宏代碼。這種方法需要一定的計(jì)算機(jī)編程知識，不易被普通用戶所掌握。但使用這種方法可以編制出各種功能強(qiáng)大的腳本程序，甚至可以編制出病毒程序。在Office的宏中有一類宏叫做自動宏。當(dāng)文檔被打開后自動宏就會自動被啟動，如果文檔中含有

17、自動宏病毒，打開文檔的同時(shí)自動宏中的病毒程序就會被執(zhí)行，使計(jì)算機(jī)系統(tǒng)被病毒所控制，從而造成病毒的進(jìn)一步擴(kuò)散或?qū)ο到y(tǒng)進(jìn)行破壞。由于宏代碼結(jié)構(gòu)簡單，容易學(xué)習(xí)和掌握，不需要很高深的計(jì)算機(jī)知識，只要略懂VB腳本語言的人都可以編寫出宏病毒程序，因此在一段時(shí)期內(nèi)宏病毒廣泛傳播，成為一個時(shí)期的主要病毒類型。病毒程序代碼：使用VB腳本編制，藏匿于宏命令中。病毒代碼執(zhí)行方法：文檔被打開時(shí)由Office執(zhí)行。避免感染方法：禁用自動宏。 9.2.4 網(wǎng)頁腳本程序病毒 腳本，是使用一種特定的描述性語言，依據(jù)一定的格式編寫的可執(zhí)行文本，又稱作宏或批處理文件。腳本通?？梢杂蓱?yīng)用程序臨時(shí)調(diào)用并執(zhí)行。各類腳本目前被廣泛地應(yīng)用

18、于網(wǎng)頁設(shè)計(jì)中，因?yàn)槟_本不僅可以減小網(wǎng)頁的規(guī)模和提高網(wǎng)頁瀏覽速度，而且可以豐富網(wǎng)頁的表現(xiàn)，如動畫、聲音等。網(wǎng)頁腳本程序病毒以腳本代碼的形式藏匿于網(wǎng)頁中，用戶瀏覽網(wǎng)頁時(shí)由瀏覽器對腳本代碼進(jìn)行解釋及執(zhí)行，一旦用戶瀏覽含有腳本病毒的網(wǎng)頁，病毒程序?qū)⒈粓?zhí)行并控制計(jì)算機(jī)系統(tǒng)，并將病毒腳本傳染到本機(jī)其它網(wǎng)頁文件中。用戶也可以在客戶機(jī)對瀏覽器進(jìn)行合理配置，禁止腳本程序的運(yùn)行，可以阻止腳本病毒的感染。方法是：IE瀏覽器、工具菜單、Internet選項(xiàng)、安全選項(xiàng)卡、自定義級別、安全設(shè)置，選中腳本選項(xiàng)，將腳本程序禁用，即可阻止腳本病毒的感染，但也會阻攔正常的腳本程序，使網(wǎng)站功能收到影響。病毒程序代碼：以腳本程序的形

19、式存在于服務(wù)器網(wǎng)頁文件中。病毒代碼執(zhí)行方法：瀏覽器瀏覽網(wǎng)頁時(shí)將代碼下載并在客戶機(jī)上執(zhí)行。預(yù)防方法：禁止或限制瀏覽器執(zhí)行腳本程序。9.2.5 蠕蟲 蠕蟲病毒和一般傳統(tǒng)的病毒有著很大的區(qū)別。蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生，對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。 蠕蟲病毒的特點(diǎn) 不依附于文件或磁盤扇區(qū)利用系統(tǒng)漏洞進(jìn)行傳播通過修改注冊表啟動或直接誘使用戶點(diǎn)擊啟動蠕蟲病毒的殺除方法更簡單，直接刪除蠕蟲病毒文件即可。病毒程序代碼：以獨(dú)立文件的形式存在，利用系統(tǒng)漏洞以文件復(fù)制的方式傳播。病毒代碼執(zhí)行方法：

20、誘惑用戶點(diǎn)擊執(zhí)行或修改注冊表而自動啟動。殺毒方法：直接刪除病毒程序文件。9.2.6 特洛伊木馬 特洛伊木馬，簡稱木馬，其本質(zhì)上不能算作病毒程序，它往往不具備病毒所特有的傳染性，但是它對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的破壞作用巨大，而且現(xiàn)在很多木馬與病毒程序相結(jié)合，同時(shí)具有木馬和病毒的特征，所以，通常也把它歸類為病毒。 計(jì)算機(jī)世界中的特洛伊木馬程序就如同特洛伊木馬，將一段惡意代碼隱藏在正常程序中，用戶使用程序時(shí)木馬代碼悄悄控制住計(jì)算機(jī)系統(tǒng)，竊取計(jì)算機(jī)中的秘密，如：記錄被攻擊計(jì)算機(jī)的鍵盤操作和屏幕顯示信息，此法很容易獲得用戶得到登錄賬戶和密碼。木馬程序在獲得對方秘密后常采用電子郵件或其它方式將竊得的機(jī)密信息傳輸

21、給遠(yuǎn)方的木馬操控者。木馬程序通常分為服務(wù)器和客戶端兩個部分。客戶端由病毒的操控者掌握，而服務(wù)器端被埋藏于被攻擊的計(jì)算機(jī)中，并誘使被攻擊者執(zhí)行木馬程序，這一點(diǎn)與蠕蟲病毒很象。木馬程序的主要目的是竊取計(jì)算機(jī)中的秘密并安全的發(fā)送給木馬的操控者，而傳染性不是木馬的主要目的。 怎樣發(fā)現(xiàn)計(jì)算機(jī)中是否感染木馬程序？最有效的方法是在計(jì)算機(jī)中安裝個人防火墻軟件，監(jiān)視所有的進(jìn)出數(shù)據(jù)，如果發(fā)現(xiàn)有程序毫無道理的對外發(fā)送數(shù)據(jù)或自動發(fā)送電子郵件，可以懷疑可能有木馬程序在。木馬程序代碼：以獨(dú)立文件的形式存在或依附于一個宿主文件。木馬代碼執(zhí)行方法：誘惑用戶點(diǎn)擊執(zhí)行或修改注冊表而自動啟動。殺除方法：直接刪除木馬程序文件。9.3

22、 計(jì)算機(jī)病毒的查殺與防范方法9.3.1 殺毒軟件工作原理9.3.2 如何使用殺毒軟件9.3.3 計(jì)算機(jī)病毒的預(yù)防 9.3.1 殺毒軟件工作原理 目前常用的檢測病毒方法有：特征代碼法校驗(yàn)和法行為監(jiān)測法等 特征代碼法每一個病毒都是一段程序，每一個新病毒一定有一段與眾不同的程序代碼。這個與眾不同的代碼就構(gòu)成這段程序的特征。通過分析病毒程序，找出該病毒與眾不同的特征代碼，將其提取出來加入查毒軟件病毒特征庫，查毒軟件在查毒過程中將每一個被檢查的程序和病毒特征代碼庫中的病毒特征代碼相比較，如果產(chǎn)生吻合就可以斷定被檢測的程序已被具有此種特征的病毒所感染。 特征代碼法的特點(diǎn) 需要不斷更新病毒代碼特征庫檢測準(zhǔn)確

23、快速可識別病毒名稱、可做殺毒處理不能檢測未知的病毒隨著病毒數(shù)量的增多，查毒開銷很大校驗(yàn)和法軟件作者在制作出軟件后，計(jì)算出軟件的校驗(yàn)和件，并將校驗(yàn)和與軟件一起發(fā)布。如果軟件被病毒所感染，校驗(yàn)和就會發(fā)生變化，軟件使用者或殺毒軟件根據(jù)軟件的校驗(yàn)和是否發(fā)生變化判斷軟件是否被病毒所感染。 校驗(yàn)和法的特點(diǎn) 可以發(fā)現(xiàn)未知病毒不能判斷病毒的類型和名稱，不能殺除病毒誤報(bào)率較高行為監(jiān)測法利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。病毒程序要進(jìn)行傳染與破壞，傳染與破壞行為是正常軟件所不應(yīng)有的，當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，即可判定此程序已被病毒所感染，立即報(bào)警。 行為監(jiān)測法的特點(diǎn)可以發(fā)

24、現(xiàn)未知病毒不能判斷病毒的類型和名稱，不能殺除病毒誤報(bào)率較高9.3.2 如何使用殺毒軟件國際著名殺毒軟件公司或產(chǎn)品有：卡巴斯基、諾頓、McAfee等國內(nèi)著名殺毒軟件公司或產(chǎn)品有：瑞星、江民、金山毒霸等現(xiàn)代殺毒軟件所采用的查毒、殺毒技術(shù)大同小異，工作原理與使用方法基本相同 以國際著名品牌卡巴斯基為例介紹殺毒軟件的安裝、配置與使用方法卡巴斯基(Kaspersky)殺毒軟件來源于俄羅斯，是世界上最優(yōu)秀、最頂級的網(wǎng)絡(luò)殺毒軟件之一，查殺病毒性能高。它提供了所有類型的抗病毒防護(hù)：抗病毒掃描儀，監(jiān)控器，行為阻斷和完全檢驗(yàn)。它支持幾乎是所有的普通操作系統(tǒng)、e-mail通路和防火墻。卡巴斯基抗病毒軟件有許多國際研

25、究機(jī)構(gòu)、中立測試實(shí)驗(yàn)室和IT出版機(jī)構(gòu)的證書，確認(rèn)了卡巴斯基具有匯集行業(yè)最高水準(zhǔn)的突出品質(zhì)?？ò退够壳芭c安全衛(wèi)士360合作，安裝安全衛(wèi)士360后可以獲得卡巴斯基半年的使用權(quán)。也可以到卡巴斯基官方網(wǎng)站下載30天試用期的試用版?？ò退够晒┟赓M(fèi)試用的查毒產(chǎn)品主要有2種，即卡巴斯基反病毒軟件6.0個人版和卡巴斯基互聯(lián)網(wǎng)安全套裝6.0個人版，二者區(qū)別不大。前者僅提供查殺病毒，后者還提供了網(wǎng)絡(luò)安全功能?？ò退够陌惭b 卡巴斯基的配置與使用 9.3.3 計(jì)算機(jī)病毒的預(yù)防文件型病毒代碼寄生在可執(zhí)行程序文件上，程序啟動后病毒控制計(jì)算機(jī)系統(tǒng)并感染其他程序文件。防范方法：不要啟動來歷不明的程序，安裝殺毒軟件，對所有新進(jìn)的文件進(jìn)行掃描。 引導(dǎo)型病毒隱藏在系統(tǒng)磁盤主引導(dǎo)區(qū)內(nèi)，啟動系統(tǒng)時(shí)控制計(jì)算機(jī)系統(tǒng)。防范方法：使用未感染病毒的磁盤啟動系統(tǒng)，在系統(tǒng)健康時(shí)備份系統(tǒng)盤主引導(dǎo)區(qū)，被引導(dǎo)型病毒感染后使用健康的系統(tǒng)引導(dǎo)區(qū)備份數(shù)據(jù)恢復(fù)系統(tǒng)盤主引導(dǎo)區(qū)。使用殺毒軟件掃描系統(tǒng)盤的引導(dǎo)區(qū)。宏病毒寄生在Office文檔的自動宏代碼中，啟動Office文檔時(shí)宏被啟動。防范方法：禁止Office文檔自動宏，使用殺毒軟件檢查Office文檔。禁用自動宏的方法：打開Offi