第3章計算機病毒的防治

計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）1第3章計算機病毒的防治

計算機病毒的防御對網(wǎng)絡(luò)管理員來說是一個望而生畏的任務(wù)。特別是隨著病毒的越來越高級，情況就變得更是如此。目前，幾千種不同的病毒不時地對計算機和網(wǎng)絡(luò)的安全構(gòu)成嚴重威脅。因此，了解和控制病毒威脅的需要顯得格外的重要，任何有關(guān)網(wǎng)絡(luò)數(shù)據(jù)完整性和安全的討論都應(yīng)考慮到病毒。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）2第3章計算機病毒的防治

本章主要內(nèi)容：

1．計算機病毒

2．計算機病毒的傳播

3．計算機病毒的特點及破壞行為

4．宏病毒及網(wǎng)絡(luò)病毒

5．病毒的預(yù)防、檢測和清除

6．病毒防治軟件計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）33.1計算機病毒及其分類

計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通常隱藏在其它看起來無害的程序中，能生成自身的復(fù)制并將其插入其它的程序中，執(zhí)行惡意的行動。

●按傳染對象分類 （1）文件病毒。該病毒在操作系統(tǒng)執(zhí)行文件時取得控制權(quán)并把自己依附在可執(zhí)行文件上，然后，利用這些指令來調(diào)用附在文件中某處的病毒代碼。當(dāng)文件執(zhí)行時，病毒會調(diào)出自己的代碼來執(zhí)行，接著又返回到正常的執(zhí)行系列。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）43.1計算機病毒及其分類

（2）引導(dǎo)扇區(qū)病毒。它會潛伏在軟盤的引導(dǎo)扇區(qū)，或者是在硬盤的引導(dǎo)扇區(qū)，或主引導(dǎo)記錄（分區(qū)扇區(qū)中插入指令）。此時，如果計算機從被感染的軟盤引導(dǎo)時，病毒就會感染到引導(dǎo)硬盤，并把自己的代碼調(diào)入內(nèi)存。觸發(fā)引導(dǎo)區(qū)病毒的典型事件是系統(tǒng)日期和時間。 （3）多裂變病毒。多裂變病毒是文件和引導(dǎo)扇區(qū)病毒的混合種，它能感染可執(zhí)行文件，從而能在網(wǎng)上迅速傳播蔓延。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）53.1計算機病毒及其分類（4）秘密病毒。這種病毒通過掛接中斷把它所進行的修改和自己的真面目隱藏起來，具有很大的欺騙性。因此，當(dāng)某系統(tǒng)函數(shù)被調(diào)用時，這些病毒便“偽造”結(jié)果，使一切看起來非常正常。秘密病毒摧毀文件的方式是偽造文件大小和日期，隱藏對引導(dǎo)區(qū)的修改，而且使大多讀操作重定向。（5）異形病毒。這是一種能變異的病毒，隨著感染時間的不同而改變其不同的形式。不同的感染操作會使病毒在文件中以不同的方式出現(xiàn)，使傳統(tǒng)的模式匹配法對此顯得軟弱無力。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）63.1計算機病毒及其分類（6）宏病毒。宏病毒不只是感染可執(zhí)行文件，它可以感染一般軟件文件。宏病毒是利用宏語言編寫的，不面向操作系統(tǒng)，所以，它不受操作平臺的約束，可以在DOS、Windows、Unix、Mac甚至在OS/2系統(tǒng)中散播。這就是說，宏病毒能被傳到任何可運行編寫宏病毒的應(yīng)用程序的機器中。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）73.1計算機病毒及其分類 ●按破壞程度分類 （1）良性病毒。良性病毒入侵的目的不是破壞系統(tǒng)，只是發(fā)出某種聲音，或出現(xiàn)一些提示，除了占用一定的硬盤空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣，只是想竊取用戶計算機中的一些通訊信息，如密碼、IP地址等，以備有需要時用。 （2）惡性病毒。惡性病毒的目的是對軟件系統(tǒng)造成干擾、竊取信息、修改系統(tǒng)信息，但不會造成硬件損壞、數(shù)據(jù)丟失等后果。這類病毒入侵后系統(tǒng)除了不能正常使用之外，別無其它損失，系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個部分文件后即可恢復(fù)。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）83.1計算機病毒及其分類

（3）極惡性病毒。極惡性病比上述病毒損壞的程度要大些，如果是感染上這類病毒用戶的系統(tǒng)就會徹底崩潰，根本無法正常啟動，保留在硬盤中的有用數(shù)據(jù)也可能丟失和損壞。 （4）災(zāi)難性病毒。災(zāi)難性病毒一般是破壞磁盤的引導(dǎo)扇區(qū)文件、修改文件分配表和硬盤分區(qū)表，造成系統(tǒng)根本無法啟動，有時甚至?xí)袷交脖P。一旦染上這類病毒，操作系統(tǒng)就很難恢復(fù)了，保留在硬盤中的數(shù)據(jù)也會丟失。這種病毒對用戶造成的損失是非常巨大的。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）93.1計算機病毒及其分類 ●按入侵方式分類 （1）源代碼嵌入攻擊型。這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件就是帶毒文件。 （2）代碼取代攻擊型。這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發(fā)現(xiàn)，清除起來也較困難。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）103.1計算機病毒及其分類

（3）系統(tǒng)修改型。這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。 （4）外殼附加型。這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當(dāng)于給程序添加了一個外殼，在被感染的程序執(zhí)行時，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）113.2計算機病毒的傳播

1.計算機病毒的由來 計算機病毒是由計算機黑客們編寫的，這些人想證明它們能編寫出不但可以干擾和摧毀計算機，而且能將破壞傳播到其它系統(tǒng)的程序。 最早被記錄在案的病毒之一是1983年由南加州大學(xué)學(xué)生FredCohen編寫的，當(dāng)該程序安裝在硬盤上后，就可以對自己進行復(fù)制擴展，使計算機遭到“自我破壞”。1985年病毒程序通過電子公告牌向公眾提供。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）123.2計算機病毒的傳播

2.計算機病毒的傳播 計算機病毒通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。最明顯的也是最常見的入侵點是從工作站傳到工作站的軟盤。在計算機網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點還包括服務(wù)器、E-mail附加部分、BBS上下載的文件、Web站點、FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版軟件、示范軟件、電腦實驗室和其它共享設(shè)備。 病毒一旦進入系統(tǒng)以后，通常用以下兩種方式傳播： （1）通過磁盤的關(guān)鍵區(qū)域； （2）在可執(zhí)行的文件中。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）133.2計算機病毒的傳播

3.計算機病毒的工作方式 病毒能表現(xiàn)出的幾種特性或功能有：感染、變異、觸發(fā)、破壞以及高級功能（如隱身和多態(tài)）。

●感染 任何計算機病毒的一個重要特性或功能是對計算機系統(tǒng)的感染。事實上，感染方法可用來區(qū)分兩種主要類型的病毒：引導(dǎo)扇區(qū)病毒和文件感染病毒。 （1）引導(dǎo)扇區(qū)病毒 引導(dǎo)扇區(qū)病毒的一個非常重要的特點是對軟盤和硬盤的引導(dǎo)扇區(qū)的攻擊。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）143.2計算機病毒的傳播

引導(dǎo)扇區(qū)是大部分系統(tǒng)啟動或引導(dǎo)指令所保存的地方，而且對所有的磁盤來講，不管是否可以引導(dǎo)，都有一個引導(dǎo)扇區(qū)。感染的主要方式就是發(fā)生在計算機通過已被感染的引導(dǎo)盤（常見的如一個軟盤）引導(dǎo)時發(fā)生的。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）153.2計算機病毒的傳播 （2）文件型病毒 文件型病毒與引導(dǎo)扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。它將自己依附在可執(zhí)行的文件（通常是和.exe）中，并等待程序的運行。這種病毒會感染其它的文件，而它自己卻駐留在內(nèi)存中。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）163.2計算機病毒的傳播 覆蓋型文件病毒的一個特點是不改變文件的長度，使原始文件看起來非常正常。即使是這樣，一般的病毒掃描程序或病毒檢測程序通常都可以檢測到覆蓋了程序的病毒代碼的存在。 前依附型文件病毒將自己加在可執(zhí)行文件的開始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。 伴隨型文件病毒為.exe文件建立一個相應(yīng)的含有病毒代碼的文件。當(dāng)運行.EXE文件時，控制權(quán)就轉(zhuǎn)到隱藏的文件，病毒程序就得以運行。當(dāng)執(zhí)行完之后，控制權(quán)又返回到.exe文件。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）173.2計算機病毒的傳播

●變異 又稱變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測，以達到逃避檢測的一種“功能”。變異病毒可以創(chuàng)建類似于自己，但又不同于自身“品種”的一種技術(shù)，它使病毒掃描程序難以檢測。有的變異程序能夠?qū)⑵胀ǖ牟《巨D(zhuǎn)換成多態(tài)的病毒。

●觸發(fā) 不少計算機病毒為了能在合適的時候從事它的見不得人的勾當(dāng)，往往需要預(yù)先設(shè)置一些觸發(fā)的條件，并使之先置于未觸發(fā)狀態(tài)。如以時間、程序運行了次數(shù)和在文件病毒被復(fù)制到不同的系統(tǒng)上多少次之后作為觸發(fā)條件。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）183.2計算機病毒的傳播

●破壞 病毒的破壞形式是多種多樣的，從無害到毀滅性的。破壞的方式總的來說可以歸納如下列幾種：修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。

●高級功能病毒 計算機病毒經(jīng)過幾代的發(fā)展，在功能方面日趨高級，它們盡可能地逃避檢測，有的甚至被設(shè)計成能夠躲開病毒掃描和反病毒軟件。隱身病毒和多態(tài)病毒就屬于這一類。多態(tài)病毒的最大特點能變異成不同的品種，每個新的病毒都與上一代有一些差別，每個新病毒都各不相同。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）193.3計算機病毒的特點及破壞行為

1.計算機病毒的特點

根據(jù)對計算機病毒的產(chǎn)生、傳染和破壞行為的分析，總結(jié)出病毒有以下幾個主要特點。 （1）刻意編寫人為破壞 （2）自我復(fù)制能力 （3）奪取系統(tǒng)控制權(quán) （4）隱蔽性 （5）潛伏性 （6）不可預(yù)見性計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）203.3計算機病毒的特點及破壞行為 2.計算機病毒的破壞行為（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊部位包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。一般來說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。（2）攻擊文件。病毒對文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇和對文件加密等。（3）攻擊內(nèi)存。病毒額外地占用和消耗內(nèi)存資源，可導(dǎo)致一些大程序運行受阻。病毒攻擊內(nèi)存的方式有大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）213.3計算機病毒的特點及破壞行為（4）干擾系統(tǒng)運行，使運行速度下降。如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉(zhuǎn)、重啟動、死機、強制游戲、擾亂串并接口等等。病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，運行速度明顯下降。（5）干擾鍵盤、喇叭或屏幕。如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、輸入紊亂等。使計算機的喇叭發(fā)出響聲。病毒擾亂顯示，如字符跌落、環(huán)繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫等。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）223.3計算機病毒的特點及破壞行為（6）攻擊CMOS。在機器的CMOS中，保存著系統(tǒng)的重要數(shù)據(jù)，如系統(tǒng)時鐘、磁盤類型和內(nèi)存容量等，并具有校驗和。有的病毒激活時，能夠?qū)MOS進行寫入動作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計算機硬件，亂寫某些主板BIOS芯片，損壞硬盤。（7）干擾打印機。如假報警、間斷性打印或更換字符。（8）網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）233.4宏病毒及網(wǎng)絡(luò)病毒

1.宏病毒 所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的動作。在Word中對宏定義為“宏就是能組織到一起作為一獨立的命令使用的一系列Word命令，它能使日常工作變得更容易。”Word宏是使用WordBasic語言來編寫的。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）243.4宏病毒及網(wǎng)絡(luò)病毒

（1）宏病毒的行為和特征 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒。

●宏病毒行為機制

Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中。這種宏是文檔資料，而文檔資料的攜帶性極高，如果宏隨著文檔而被分派到不同的工作平臺，只要能被執(zhí)行，它也就類似于計算機病毒的傳染過程。

計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）25

●宏病毒特征 ①會感染.doc文檔和.dot模板文件。 ②宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復(fù)制到Word通用模板中，以后在打開或關(guān)閉文件時宏病毒就會把病毒復(fù)制到該文件中。 ③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。 ④宏病毒中總是含有對文檔讀寫操作的宏命令。 ⑤宏病毒在.doc文檔、.dot模板中以.BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式。3.4宏病毒及網(wǎng)絡(luò)病毒計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）263.4宏病毒及網(wǎng)絡(luò)病毒

三種可自動執(zhí)行的宏類型： ●自動執(zhí)行宏：這類宏(如AutoExec的宏)存在于Word起始目錄下的normal.dot模板或者一個全局模板中，因此每次Word運行的時候，這種類型的宏會自動執(zhí)行。 ●自動宏：這種宏在有特定事件發(fā)生的時候執(zhí)行，這些事件可能包括打開或關(guān)閉一個文檔、創(chuàng)建一個文檔、退出Word等。 ●命令宏：如果一個全局宏文件中的宏或附加在文檔上的宏以現(xiàn)有的Word命令為名，則用戶調(diào)用該命令(如FileSave)的時候該宏將會執(zhí)行。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）27Word中的自動宏

●AutoExec

在啟動Word時，AutoExec宏自動運行。

●AutoNew

創(chuàng)建一個新文檔時，AutoNew宏運行。

●AutoOpen

打開一個文件時，AutoOpen宏運行。

●AutoClose

關(guān)閉文檔時，AutoClose宏運行。

●AutoExit

退出Word時，AutoExit宏運行。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）283.4宏病毒及網(wǎng)絡(luò)病毒

（2）宏病毒的防治和清除方法

●使用選項“提示保存Normal模板”

●不要通過Shift鍵來禁止運行自動宏

●查看宏代碼并刪除

●使用DisableAutoMacros宏

●設(shè)置Normal.dot的只讀屬性

●Normal.dot的密碼保護計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）293.4宏病毒及網(wǎng)絡(luò)病毒

2.網(wǎng)絡(luò)病毒

（1）網(wǎng)絡(luò)病毒的特點 計算機網(wǎng)絡(luò)的主要特點是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點間信息的頻繁傳輸會把病毒傳染到所共享的機器上，從而形成多種共享資源的交叉感染。病毒的迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。對于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。 病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其它工作站。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）303.4宏病毒及網(wǎng)絡(luò)病毒

（2）病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其它可執(zhí)行文件。用戶在工作站上執(zhí)行帶毒內(nèi)存駐留文件，當(dāng)訪問服務(wù)器上的可執(zhí)行文件時進行感染。 文件病毒可以通過因特網(wǎng)毫無困難地發(fā)送，而可執(zhí)行文件病毒不能通過因特網(wǎng)在遠程站點感染文件。此時因特網(wǎng)是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計算機是從一塊感染的軟盤上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）313.4宏病毒及網(wǎng)絡(luò)病毒

（3）專攻網(wǎng)絡(luò)的GPI病毒 （4）電子郵件病毒 電子郵件系統(tǒng)的一個特點是不同的郵件系統(tǒng)使用不同的格式存儲文件和文檔，傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力。另外，通常用戶并不能訪問郵件數(shù)據(jù)庫，因為它們往往在遠程服務(wù)器上。對電子郵件系統(tǒng)進行病毒防護可從以下幾個方面著手。 （1）使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護 （2）使用防毒軟件同時保護客戶機和服務(wù)器 （3）使用特定的SMTP殺毒軟件計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）323.4宏病毒及網(wǎng)絡(luò)病毒

3.惡意程序 惡意程序總體上可以分為兩個類別，一類需要駐留在宿主程序，一類獨立于宿主程序。前一類實質(zhì)上是一些必須依賴于一些實際應(yīng)用程序或系統(tǒng)程序才可以起作用的程序段，后者是一些可以由操作系統(tǒng)調(diào)度和運行的獨立程序。 （1）陷門 陷門是程序的秘密入口點，知情者可以繞開通常的安全控制機制而直接通過該入口訪問程序。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）333.4宏病毒及網(wǎng)絡(luò)病毒

（2）邏輯炸彈 邏輯炸彈是出現(xiàn)最早的程序威脅類型之一，在時間上早于病毒和蠕蟲。邏輯炸彈實際上是嵌在合法程序中的代碼段，在某些條件滿足的時候該炸彈將引爆。 （3）特洛伊木馬 特洛伊木馬是包含在有用的或者看起來有用的程序或命令過程中的隱秘代碼段，當(dāng)該程序被調(diào)用的時候，特洛伊木馬將執(zhí)行一些有害的功能。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）343.4宏病毒及網(wǎng)絡(luò)病毒

（4）僵尸 僵尸程序秘密接管對網(wǎng)絡(luò)上其他機器的控制權(quán)，之后以被劫持的機器為跳板實施攻擊行為，這使得發(fā)現(xiàn)真正的攻擊者變得較為困難。 （5）蠕蟲 網(wǎng)絡(luò)蠕蟲程序利用網(wǎng)絡(luò)從一個系統(tǒng)傳遞到另外一個系統(tǒng)。在某系統(tǒng)內(nèi)，蠕蟲程序被激活后，蠕蟲可以像計算機病毒或細菌一樣運作，還可以向系統(tǒng)植入特洛伊木馬，或者執(zhí)行一些破壞性的操作。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）353.5病毒的預(yù)防、檢查和清除

1.病毒的預(yù)防 通過采取技術(shù)上和管理上的措施，計算機病毒是完全可以防范的。雖然新出現(xiàn)的病毒可采用更隱蔽的手段，利用現(xiàn)有操作系統(tǒng)安全防護機制的漏洞，以及反病毒防御技術(shù)上尚存在的缺陷，使病毒能夠暫時在某一計算機上存活并進行某種破壞，但是只要在思想上有反病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，新病毒就無法逾越計算機安全保護屏障，從而不能廣泛傳播。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）363.5病毒的預(yù)防、檢查和清除

網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾條： （1）在因特網(wǎng)中，由于不可能有百分之百的把握來阻止某些未來可能出現(xiàn)的計算機病毒的傳染，因此，當(dāng)出現(xiàn)病毒傳染跡象時，應(yīng)立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進行處理。 （2）由于計算機病毒在網(wǎng)絡(luò)中傳播得非常迅速，很多用戶不知應(yīng)如何處理。因此，應(yīng)立即請求專家的幫助 （3）注意觀察下列現(xiàn)象： ●經(jīng)常死機：病毒打開了許多文件或占用了大量內(nèi)存。 ●系統(tǒng)無法啟動：病毒修改了硬盤的引導(dǎo)信息，或刪除了某些啟動文件。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）373.5病毒的預(yù)防、檢查和清除 ●文件打不開：病毒修改了文件格式、病毒修改了文件鏈接位置。 ●經(jīng)常報告內(nèi)存不夠：病毒非法占用了大量內(nèi)存。 ●提示硬盤空間不夠：病毒復(fù)制了大量的病毒文件，一安裝軟件就提示硬盤空間不夠。 ●鍵盤或鼠標無端地鎖死：病毒作怪，特別要留意“木馬”。 ●出現(xiàn)大量來歷不明的文件。 ●系統(tǒng)運行速度慢：病毒占用了內(nèi)存和CPU資源，在后臺運行了大量非法操作。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）383.5病毒的預(yù)防、檢查和清除 2.病毒的檢查

檢測計算機病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進而驗明“正身”，確認計算機病毒的存在。病毒靜態(tài)時存儲于磁盤中，激活時駐留在內(nèi)存中，因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。 （1）病毒的檢查方法 檢測的原理主要是基于下列四種方法： 比較被檢測對象與原始備份的比較法；利用病毒特征代碼串的搜索法；病毒體內(nèi)特定位置的特征字識別法；運用反匯編技術(shù)分析被檢測對象，確認是否為病毒的分析法。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）393.5病毒的預(yù)防、檢查和清除

●比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進行比較。

●搜索法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。

●計算機病毒特征字的識別法是基于特征串掃描法發(fā)展起來的一種新方法。它工作起來速度更快、誤報警更少。特征字識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字來組成特征字庫。

●分析法由專業(yè)反病毒技術(shù)人員使用。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）403.5病毒的預(yù)防、檢查和清除

分析法的目的在于： ①確認被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒； ②確認病毒的類型和種類，判定其是否是一種新病毒； ③搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用； ④詳細分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）413.5病毒的預(yù)防、檢查和清除

（2）病毒掃描程序 這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱為病毒特征。這些病毒特征能唯一地識別某種類型的病毒，掃描程序能在程序中尋找這種病毒特征。 （3）完整性檢查程序 通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。 （4）行為封鎖軟件 這種軟件試圖在病毒馬上就要開始工作時阻止它。每當(dāng)某一反常的事情將要發(fā)生時，行為封鎖軟件就會檢測到病毒并警告用戶。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）423.5病毒的預(yù)防、檢查和清除 3.計算機病毒的免疫 計算機病毒的免疫，就是通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。 （1）建立程序的特征值檔案 （2）嚴格內(nèi)存管理 （3）中斷向量管理計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）433.5病毒的預(yù)防、檢查和清除

4.計算機感染病毒后的恢復(fù) （1）防止和修復(fù)引導(dǎo)記錄病毒 防止軟引導(dǎo)記錄、主引導(dǎo)記錄和分區(qū)引導(dǎo)記錄病毒的較好方法是改變計算機的磁盤引導(dǎo)順序，避免從軟盤引導(dǎo)。必須從軟盤引導(dǎo)時，應(yīng)該確認該軟盤無毒。

●修復(fù)感染的軟盤

●修復(fù)感染的主引導(dǎo)記錄

●利用反病毒軟件修復(fù) （2）防止和修復(fù)可執(zhí)行文件病毒計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）443.5病毒的預(yù)防、檢查和清除

5.計算機病毒的清除 （1）引導(dǎo)型病毒的處理 與引導(dǎo)型病毒有關(guān)的扇區(qū)有下面三個部分。

●硬盤的物理第一扇區(qū)。即0柱面、0磁頭、1扇區(qū)是開機之后存放的數(shù)據(jù)和程序是被最先訪問和執(zhí)行的。

●硬盤分區(qū)表（PartitionTable），從偏移量1BEH開始，到1FDH結(jié)束。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）453.5病毒的預(yù)防、檢查和清除

●硬盤活動分區(qū)，大多是第一個分區(qū)的第一個扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū)，這個扇區(qū)稱為“活動分區(qū)的引導(dǎo)記錄”。 運行下面的程序來完成： “Fdisk／MBR”用于重寫一個無毒的MBR。 “Fdisk”用于讀取或重寫硬盤分區(qū)表。 “FormatC：/S”或“SYSC：”會重寫一個無毒的“活動分區(qū)的引導(dǎo)記錄”。對于可以更改活動分區(qū)的情況，需要另外特殊對待。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）463.5病毒的預(yù)防、檢查和清除

（2）宏病毒清除方法 對于宏病毒最簡單的清除步驟為：

●關(guān)閉Word中的所有文檔。

●選擇“工具/模板/管理器/宏”選項。

●刪除左右兩個列表框中所有的宏。一般病毒宏為AutoOpen、AutoNew或AutoClose。

●關(guān)閉對話框。 ●選擇“工具/宏”選項。若有AutoOpen、AutoNew或AutoClose等宏，刪除之。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）473.5病毒的預(yù)防、檢查和清除

（3）殺毒程序 殺毒程序在處理病毒時，必須知道某種特別的病毒的信息，然后才能按需要對磁盤進行殺毒。 文件型病毒：殺毒程序需要知道病毒的操作過程，如它將病毒代碼依附在文件頭部還是尾部。一旦病毒被從文件中清除，文件便恢復(fù)到原先的狀態(tài)，原先保存病毒的扇區(qū)被覆蓋，從而消除了病毒被重新使用的可能性。

引導(dǎo)扇區(qū)病毒：在使用殺毒程序時需格外的小心謹慎，因為在重新建立引導(dǎo)扇區(qū)和MBR（主引導(dǎo)記錄）時，如果出現(xiàn)錯誤，其后果是災(zāi)難性的，不但會導(dǎo)致磁盤分區(qū)的丟失，甚至丟失硬盤上的所有文件，使系統(tǒng)再也無法引導(dǎo)了。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）483.6病毒防治軟件

1.病毒防治軟件的類型 （1）病毒掃描型 病毒掃描型軟件采用特征掃描法，根據(jù)病毒特征掃描可能的感染對象來發(fā)現(xiàn)病毒。 （2）完整性檢查型 完整性檢查型軟件采用比較法和校驗和法，監(jiān)視觀察對象（包括引導(dǎo)扇區(qū)和計算機文件等）的屬性（包括大小、時間、日期和校驗和等）和內(nèi)容是否發(fā)生改變，如果檢測出變化，則觀察對象極有可能已遭病毒感染。計算機網(wǎng)絡(luò)安全基礎(chǔ)（第三版）493.6病毒防治軟件