計算機(jī)病毒與反病毒技術(shù)

1、計算機(jī)病毒與反病毒技術(shù)導(dǎo) 讀計算機(jī)病毒的發(fā)展歷史及危害計算機(jī)病毒的基本特征和傳播方式病毒的結(jié)構(gòu)常用的反病毒技術(shù)常用的病毒防范方法2 9.1.1 計算機(jī)病毒的歷史9.1 計算機(jī)病毒1977年科幻小說The Adolescence of P-1構(gòu)思 了一種能夠自我復(fù)制、利用通信進(jìn)行傳播的計算機(jī) 程序。1983年Fred Adleman首次在VAX 11/750上試驗病毒；1987年Brain病毒在全世界傳播；1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒 襲擊美國6000臺計算機(jī)，直接損失盡億美元；八十年代末，病毒開始傳入我國(小球病毒)；1991年,病毒第一次用于戰(zhàn)爭實(shí)戰(zhàn)

2、;1998年,CIH病毒出現(xiàn),第一例破壞硬件的病毒;3病毒的產(chǎn)生 它的產(chǎn)生是計算機(jī)技術(shù)和社會信息化發(fā)展到一定階段的必然產(chǎn)物. 1、計算機(jī)病毒產(chǎn)生的背景（1）是計算機(jī)犯罪的新形式：計算機(jī)病毒是高技術(shù) 犯罪，具有瞬時性、動態(tài)性和隨機(jī)性。不易取 證，風(fēng)險小破壞大。（2）計算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因。（3）微機(jī)的普及應(yīng)用是計算機(jī)病毒產(chǎn)生的必要環(huán)境。9.1 計算機(jī)病毒42、計算機(jī)病毒產(chǎn)生的原因搞計算機(jī)的人員和業(yè)余愛好者的惡作劇、尋開心制造出的病毒, 例如象圓點(diǎn)一類的良性病毒。 個別人的報復(fù)心理。例如1987年底出現(xiàn)在以色列耶路撒冷西伯萊大學(xué)的猶太人病毒, 就是雇員在工作中受挫或被辭退時故意制

3、造的。 用于版權(quán)保護(hù)的目的而采取的報復(fù)性懲罰措施。 用于研究或有益目的而設(shè)計的程序, 由于某種原因失去控制或產(chǎn)生了意想不到的效果。 9.1 計算機(jī)病毒59.1.2 病毒的本質(zhì)病毒的概念 計算機(jī)病毒是能夠通過某種途徑潛伏在計算機(jī)存儲介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時即被激活的具有對計算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。 “計算機(jī)病毒（Computer Virus）是指編制的或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼?！?.1 計算機(jī)病毒6 病毒的定義借用了生物學(xué)病毒的概念, 計算機(jī)病毒同生物病毒所相似之處是能夠侵入計算機(jī)系

4、統(tǒng)和網(wǎng)絡(luò), 危害正常工作的“病原體”。它能夠?qū)τ嬎銠C(jī)系統(tǒng)進(jìn)行各種破壞, 同時能夠自我復(fù)制, 具有傳染性。 與生物病毒不同的是幾乎所有的計算機(jī)病毒都是人為地故意制造出來的, 有時一旦擴(kuò)散出來后連編者自己也無法控制。它已經(jīng)不是一個簡單的純計算機(jī)學(xué)術(shù)問題, 而是一個嚴(yán)重的社會問題了。 9.1 計算機(jī)病毒7病毒的生命周期（1）隱藏階段：這個階段的病毒不進(jìn)行操作，而是等待事件觸發(fā)。（2）傳播階段：病毒會把自身的一個副本傳播到未感染這種病毒的程序或磁盤的某個扇區(qū)中去。（3）觸發(fā)階段：病毒將被激活去執(zhí)行病毒設(shè)計者預(yù)先設(shè)計好的功能。（4）執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計的功能直至執(zhí)行完畢。9.1 計算機(jī)病

5、毒8病毒的生存周期: 1. 判斷部分 判斷是否滿足發(fā)作條件 2. 執(zhí)行部分 執(zhí)行惡意代碼 3. 偽裝、復(fù)制部分 1)偽裝成正常程序，或者隱藏自身。（木馬常用） 2)復(fù)制自身代碼依附到其他正常程序上（傳染），這是傳統(tǒng)病毒的特征。 9.1 計算機(jī)病毒9病毒的特征： （1）傳染性； 傳染性是病毒的基本特征。計算機(jī)病毒會通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，使被感染的計算機(jī)工作失常甚至癱瘓。 病毒程序一般通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中，利用這種方法達(dá)到病毒的傳染和擴(kuò)散。（被嵌入的程序叫做宿主程序） 9.1 計算機(jī)病毒10（2）破壞性 對系統(tǒng)來講，所有的計算機(jī)病毒都存在

6、一個共同的危害，即占用系統(tǒng)資源，降低計算機(jī)系統(tǒng)的工作效率。 計算機(jī)病毒可能會徹底破壞系統(tǒng)的正常運(yùn)行它可以毀掉系統(tǒng)的部分?jǐn)?shù)據(jù)，也可以破壞全部數(shù)據(jù)并使之無法恢復(fù)。并非所有的病毒都有惡劣的破壞作用，有些病毒除了占用磁盤和內(nèi)存外，沒有別的危害。但有時幾種本沒有多大破壞作用的病毒交叉感染，也會導(dǎo)致系統(tǒng)崩潰。9.1 計算機(jī)病毒11（3）潛伏性 ： 計算機(jī)病毒程序進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)。潛伏性越好，它的危害就越大 潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測程序是檢查不出來的。 潛伏性的第二種表現(xiàn)是指，計算機(jī)病毒的內(nèi)部往往有一種

7、觸發(fā)機(jī)制，不滿足觸發(fā)條件時，計算機(jī)病毒除了傳染外不做什么破壞。 9.1 計算機(jī)病毒12（4）可執(zhí)行性 計算機(jī)病毒與其他合法程序一樣，是一段可執(zhí)行的程序，但它不是一個完整的程序，而是寄生在其他可執(zhí)行程序中。只有在執(zhí)行時，才具有傳染性、破壞性。 未經(jīng)授權(quán)而執(zhí)行：病毒通過悄悄地篡奪合法程序的系統(tǒng)控制權(quán)而得到運(yùn)行的機(jī)會。一般正常的程序是由用戶啟動，完成用戶交給的任務(wù)，其目的對用戶是可見的。而病毒隱藏在合法程序中，當(dāng)用戶啟動合法程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行。病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。9.1 計算機(jī)病毒13（5）可觸發(fā)性： 病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染

8、或進(jìn)行攻擊的特性稱為可觸發(fā)性。 病毒的觸發(fā)機(jī)制用來控制感染和破壞動作的頻率。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。 如CIH，觸發(fā)條件：26日 9.1 計算機(jī)病毒14（6）隱蔽性： 病毒一般不經(jīng)過代碼分析，很難與正常程序是區(qū)分出來。一般在沒有防護(hù)措施的情況下，計算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序。 一是傳染的隱蔽性，大多數(shù)病毒在傳染時速度是極快的，不易被人發(fā)現(xiàn)。 二是病毒程序存在的隱蔽性，一般的病毒程序都附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。9.1 計算機(jī)病毒15（7）衍生性：

9、 分析計算機(jī)病毒的結(jié)構(gòu)可知，傳染和破壞部分反映了設(shè)計者的設(shè)計思想和設(shè)計目的。但是，這可以被其他掌握原理的人進(jìn)行任意改動，從而又衍生出一種不同于原版本的新的計算機(jī)病毒（又稱為變種），這就是計算機(jī)病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴(yán)重得多。9.1 計算機(jī)病毒16（8）寄生性： 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機(jī)病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁衍。9.1 計算機(jī)病毒179.1 計算機(jī)病毒9.1.3 病毒的分類按破壞性分為：無害型無危險型危險型非常危險型

10、按激活時間分為定時隨機(jī)18按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。“蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。9.1 計算機(jī)病毒19按傳染方式分為：文件型：病毒一般附著在可執(zhí)行文件上,長駐內(nèi)存;引導(dǎo)型：影響軟盤引導(dǎo)扇區(qū)及硬盤主引

11、導(dǎo)扇區(qū),當(dāng)系統(tǒng)引導(dǎo)時進(jìn)入內(nèi)存，控制系統(tǒng)；混合型：既可感染引導(dǎo)區(qū)，又可感染文件。宏病毒：感染MS Office文檔網(wǎng)絡(luò)病毒:木馬、蠕蟲病毒、網(wǎng)頁病毒9.1 計算機(jī)病毒20理論上，與外界交換數(shù)據(jù)的所有場合都有可能。傳播途徑：因特網(wǎng)傳播:通過電子郵件傳播、通過瀏覽網(wǎng)頁和下載軟件傳播、通過即時通訊軟件傳播、通過網(wǎng)絡(luò)游戲傳播；局域網(wǎng)傳播：數(shù)據(jù)在從一臺計算機(jī)發(fā)送到其他計算機(jī)上時，傳播了被感染文件；通過不可移動的計算機(jī)硬件設(shè)備傳播：計算機(jī)的專用集成電路芯片(ASIC)和硬盤為病毒的重要傳播媒介。極為少見，但破壞性強(qiáng)。9.1.3 病毒的傳播及危害9.1 計算機(jī)病毒21通過移動存儲設(shè)備傳播：移動存儲設(shè)備包括我們

12、常見的軟盤、磁帶、光盤、移動硬盤、U盤(含數(shù)碼相機(jī)、MP3等)。U盤病毒逐步的增加，使得U盤成為第二大病毒傳播途徑。無線設(shè)備傳播：隨著手機(jī)功能性的開放和增值服務(wù)的拓展，手機(jī)病毒會成為新一輪電腦病毒危害的“源頭”。特別是智能手機(jī)和3G網(wǎng)絡(luò)的發(fā)展，讓手機(jī)病毒的傳播速度和危害程度與日俱增。9.1 計算機(jī)病毒22病毒的危害：國家計算機(jī)病毒應(yīng)急處理中心2008年公布的數(shù)據(jù)顯示，我國計算機(jī)病毒感染率達(dá)到。在受病毒感染的用戶中，感染病毒3次以上的用戶達(dá)、密碼被盜的用戶占。 近年來病毒功能越來越強(qiáng)大，不僅擁有蠕蟲病毒傳播速度和破壞能力，而且還具有木馬的控制計算機(jī)和盜竊重要信息的功能。如“熊貓燒香” 病毒的制造

13、、傳播者追求經(jīng)濟(jì)利益的目的越來越強(qiáng)，這種趨利性引發(fā)了大量的網(wǎng)絡(luò)犯罪活動。 9.1 計算機(jī)病毒23危害的表現(xiàn)：1病毒激發(fā)對計算機(jī)數(shù)據(jù)信息的直接破壞作用。 如：格式化磁盤、改寫文件分配表和目錄區(qū)、刪除或者改寫替換文件等。2占用磁盤空間和對信息的破壞。 引導(dǎo)型病毒侵占引導(dǎo)扇區(qū)，導(dǎo)致文件丟失。文件型病毒大量侵占磁盤空間。3搶占系統(tǒng)資源 病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。搶占中斷，破壞正常運(yùn)行。 9.1 計算機(jī)病毒244影響計算機(jī)運(yùn)行速度 長駐內(nèi)存的病毒或多或少的要消耗系統(tǒng)處理時間。5計算機(jī)病毒錯誤與不可預(yù)見的危害 病毒特別是變種病毒存在大量錯誤，帶來極大危害6計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行

14、的影響 病毒的兼容性較差，常常導(dǎo)致死機(jī)。7計算機(jī)病毒給用戶造成嚴(yán)重的心理壓力 經(jīng)常遭到病毒攻擊，導(dǎo)致用戶對病毒產(chǎn)生恐懼心理，從而產(chǎn)生誤判，帶來損失。9.1 計算機(jī)病毒25病毒破壞行為的常見表現(xiàn)：BIOS病毒現(xiàn)象1、開機(jī)運(yùn)行幾秒后突然黑屏2、外部設(shè)備無法找到3、硬盤無法找到4、電腦發(fā)出異樣聲音硬盤引導(dǎo)區(qū)病毒現(xiàn)象1、無法正常啟動硬盤2、引導(dǎo)時出現(xiàn)死機(jī)現(xiàn)象3、執(zhí)行C盤時顯示“Not ready error drive A Abort，Retry，F(xiàn)ail?”9.1 計算機(jī)病毒26操作系統(tǒng)病毒現(xiàn)象1、引導(dǎo)系統(tǒng)時間變長2、計算機(jī)處理速度比以前明顯放慢3、系統(tǒng)文件出現(xiàn)莫名其妙的丟失，或字節(jié)變長，日期修改等

15、現(xiàn)象4、系統(tǒng)生成一些特殊的文件5、驅(qū)動程序被修改使得某些外設(shè)不能正常工作6、軟驅(qū)、光驅(qū)丟失7、計算機(jī)經(jīng)常死機(jī)或重新啟動9.1 計算機(jī)病毒27應(yīng)用程序病毒現(xiàn)象1、啟動應(yīng)用程序出現(xiàn)“非法錯誤”對話框2、應(yīng)用程序文件變大3、應(yīng)用程序不能被復(fù)制、移動、刪除4、硬盤上出現(xiàn)大量無效文件5、某些程序運(yùn)行時載入時間變長9.1 計算機(jī)病毒28格式：.病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。病毒名是指一個病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的。病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的，可能有多個。 9.1.5 病毒的命名9.1 計算機(jī)病毒29CIH病毒是一種能夠

16、破壞計算機(jī)系統(tǒng)硬件的惡性病毒，臺灣制造。CIH病毒傳播的主要途徑是Internet和電子郵件，它也會通過軟盤或光盤的交流傳播。CIH病毒只感染W(wǎng)indows 95/98操作系統(tǒng)，對DOS操作系統(tǒng)及NT以上系統(tǒng)(winNT,2000,XP,2003,VISTA等)無危害。傳播的實(shí)時性和隱蔽性很強(qiáng)。9.2 典型病毒分析9.2.1 CIH病毒30CIH病毒發(fā)作特征 當(dāng)其發(fā)作條件成熟時，其將破壞硬盤數(shù)據(jù)，同時有可能破壞BIOS程序，其發(fā)作特征是：1、以2048個扇區(qū)為單位，從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)被全部破壞為止。最壞的情況下硬盤所有數(shù)據(jù)(含全部邏輯盤數(shù)據(jù))均被破壞。2、

17、某些主板上的Flash Rom中的BIOS信息將被清除。 9.2 典型病毒分析31CIH病毒的版本 CIH病毒屬文件型病毒，其別名有、PE_CIH，發(fā)展過程經(jīng)歷了v1.0,v1.1,共5個版本，最流行的是版本。 在CIH的相關(guān)版本中，只有、這3個版本的病毒具有實(shí)際的破壞性，感染后只增加文件長度，具有可判斷Win NT軟件的功能，一旦判斷用戶運(yùn)行的是Win NT，則不發(fā)生作用，進(jìn)行自我隱藏，以避免產(chǎn)生錯誤提示信息。 9.2 典型病毒分析32宏是微軟公司為其OFFICE軟件包設(shè)計的一個特殊功能，目的是讓用戶文檔中的一些任務(wù)自動化。OFFICE中的WORD和EXEAL都有宏。宏病毒是一種寄存在文檔或

18、模板的宏中的計算機(jī)病毒。一旦打開中毒的文檔，宏就會被執(zhí)行，宏病毒就會被激活，從而轉(zhuǎn)移到計算機(jī)上，并駐留在Normal模板上。使得以后編輯的自動保存的文檔都會感染。9.2 典型病毒分析9.2.2 宏病毒33宏病毒的危害：1.對WORD運(yùn)行的破壞是：不能正常打?。环忾]或改變文件存儲路徑；將文件改名；亂復(fù)制文件；封閉有關(guān)菜單；文件無法正常編輯。2.對系統(tǒng)的破壞是：WORD Basic語言能夠調(diào)用系統(tǒng)命令，造成破壞。 特點(diǎn)：感染數(shù)據(jù)文件、多平臺交叉感染、容易編寫、容易傳播9.2 典型病毒分析34宏病毒的預(yù)防與清除預(yù)防：啟用宏病毒防護(hù)功能，防止宏自動執(zhí)行。將自動執(zhí)行宏功能禁止掉，即使有宏病毒存在，但無法

19、被激活，也無法發(fā)作傳染、破壞，這樣就起到了防毒的效果。方法：在“Windows資源管理器”中，按住Shift鍵，然后再雙擊該Word文檔，則可阻止自動宏的運(yùn)行。9.2 典型病毒分析35在確定不使用宏的情況下，刪除模板中的宏。懷疑文件有宏病毒時，在WORD打開后另存為RTF格式（寫字板）或者格式，EXCEL另存為CSV格式。運(yùn)用NORMAL摸板保存提示防止自動保存引起的病毒感染和激活。將常用的Word模板文件改為只讀屬性，可防止Word系統(tǒng)被感染；DOS下的和config .sys文件最好也都設(shè)為只讀屬性文件。9.2 典型病毒分析36清除： 手工：以Word為例，選取“工具”菜單中“宏”一項，進(jìn)

20、入“管理器”，在“宏有效范圍”下拉列表框中打開要檢查的文檔。將上面的列表框中不明來源的自動執(zhí)行宏刪除即可。使用專業(yè)殺毒軟件：目前殺毒軟件都具備清除宏病毒的能力，不過只能對已知的宏病毒進(jìn)行檢查和清除, 對于新出現(xiàn)的病毒或病毒的變種則可能不能正常地清除，或者將會破壞文件的完整性，此時還是手工清理為妙。 9.2 典型病毒分析37蠕蟲病毒是一種常見的計算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序,它能傳播它自身功能的拷貝或它的某些部分到其他的計算機(jī)系統(tǒng)中。蠕蟲不需要將其自身附著到宿主程序，它是一種獨(dú)立智能程序。9.2.3 蠕蟲病毒9.2 典型病毒分析38蠕

21、蟲病毒常見的傳播方式有兩種： 1.利用系統(tǒng)漏洞傳播：蠕蟲病毒利用計算機(jī)系統(tǒng)的設(shè)計缺陷，通過網(wǎng)絡(luò)主動的將自己擴(kuò)散出去。 2.利用電子郵件傳播：蠕蟲病毒將自己隱藏在電子郵件中，隨電子郵件擴(kuò)散到整個網(wǎng)絡(luò)中，這也是個人計算機(jī)被感染的主要途徑。感染對象： 感染的對象是全網(wǎng)絡(luò)中所有的計算機(jī)，并且這種感染是主動進(jìn)行的，幾小時可以蔓延全球。 9.2 典型病毒分析39預(yù)防方法：大多數(shù)蠕蟲通過都是利用了微軟Outlook的漏洞進(jìn)行傳播的，因此需要特別注意微軟網(wǎng)站提供的補(bǔ)丁。盡量少用OUTLOOK。對于郵件附件盡可能小心，打開郵件之前對附件進(jìn)行預(yù)掃描。設(shè)置文件夾選項，顯示文件名的擴(kuò)展名， 防止后綴名為VBS、SHS

22、等有毒文件。千萬別打開擴(kuò)展名為VBS、SHS和PIF的郵件附件。另外對于有2個擴(kuò)展名的附件也要謹(jǐn)慎。 9.2 典型病毒分析40一般情況下勿將磁盤上的目錄設(shè)為共享，如果確有必要，請將權(quán)限設(shè)置為只讀，讀操作須指定口令。 當(dāng)你收到郵件廣告或者主動提供的電子郵件時，不要打開附件以及它提供的鏈接。將瀏覽器的隱私設(shè)置設(shè)為“高”。不要從在線聊天系統(tǒng)的陌生人那里接受附件，比如ICQ或QQ中傳來的東西。9.2 典型病毒分析41病毒的發(fā)展趨勢（1）傳播網(wǎng)絡(luò)化（2）利用操作系統(tǒng)和應(yīng)用程序的漏洞 （3）混合型威脅 （4）病毒制作技術(shù)新 （5）病毒家族化特征顯著 9.2 典型病毒分析429.3.1 反病毒技術(shù)的發(fā)展階段

23、一個合理的反病毒方法，應(yīng)包括以下幾個措施：檢測：就是能夠確定一個系統(tǒng)是否已發(fā)生病毒感染，并能正確確定病毒的位置。識別：檢測到病毒后，能夠辯別出病毒的種類。清除：識別病毒之后，對感染病毒的程序進(jìn)行檢查，清除病毒并使程序還原到感染之前的狀態(tài)，從系統(tǒng)中清除病毒以保證病毒不會繼續(xù)傳播。9.3 反病毒技術(shù)43預(yù)防病毒的基本措施（1）人工預(yù)防也稱標(biāo)志免疫法。因為任何一種病毒均有一定標(biāo)志，將此標(biāo)志固定在某一位置，然后把程序修改正確，達(dá)到免疫的目的。（2）軟件預(yù)防主要是使用計算機(jī)病毒的疫苗程序，這種程序能夠監(jiān)督系統(tǒng)運(yùn)行，并防止某些病毒入侵。（3）硬件預(yù)防主要采取兩種方法：一是改變計算機(jī)系統(tǒng)結(jié)構(gòu)；二是插入附加固件。（4）管理預(yù)防：法律制度、計算機(jī)系統(tǒng)管理制度。 9.3 反病毒技術(shù)44清除病毒的基本方法清除病毒的基本方法包括人工處理和利用反病毒軟件兩種。人工處理方法是清除病毒的最基本方法，也是非常重要的方法，它通過準(zhǔn)確的分析判斷直接清除病毒。反病毒軟件具有對特定種類的病毒進(jìn)行檢測的功能，大部分反病毒軟件可同時消除查出來的病毒。另外，利用反病毒軟件消除病毒時，一般不會因清除病毒而破壞系統(tǒng)中的正常數(shù)據(jù)。但反病毒軟件很難處理變種病毒