計算機病毒防治(課件)_第1頁
計算機病毒防治(課件)_第2頁
計算機病毒防治(課件)_第3頁
計算機病毒防治(課件)_第4頁
計算機病毒防治(課件)_第5頁
已閱讀5頁,還剩68頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第七章

計算機病毒防治第七章計算機病毒防治7.1計算機病毒的特點與分類7.1.1計算機病毒的開展7.1.2計算機病毒的特性7.1.3計算機病毒分類7.1.4計算機病毒的傳播7.1.5計算機病毒機理7.2計算機病毒檢查與去除7.2.1網(wǎng)絡(luò)病毒檢查與去除方法7.2.2宏病毒檢查與去除方法7.2.3典型病毒去除方法

第七章計算機病毒防治〔續(xù)〕7.3計算機病毒防治措施

7.3.1計算機病毒防治管理措施7.3.2計算機病毒防治技措施7.3.3常用病毒防治軟件簡介7.4本章知識點小結(jié)第七章計算機病毒防治

計算機病毒的出現(xiàn)成為信息化社會的公害,是一種特殊的犯罪形式防治計算機病毒是一個系統(tǒng)工程,不僅要有強大的技術(shù)支持,而且要有完善的法律法規(guī)、嚴謹?shù)墓芾眢w系、科學(xué)的規(guī)章制度以及系統(tǒng)的防范措施。本章介紹了計算機病毒的根本知識包括計算機病毒的開展歷史、病毒特性、分類方法、傳播途徑和工作機理,列舉了典型病毒的檢查和去除方法,討論了關(guān)于防治計算機病毒的管理和技術(shù)措施。7.1計算機病毒的特點與分類

計算機病毒也是計算機程序,有著生物病毒相似的特性,病毒駐留在受感染的計算機內(nèi),并不斷傳播和感染可連接的系統(tǒng),在滿足觸發(fā)條件時,病毒發(fā)作,破壞正常的系統(tǒng)工作,強占系統(tǒng)資源,甚至損壞系統(tǒng)數(shù)據(jù)。病毒不但具有普通程序存儲和運行的特點,還具有傳染性、潛伏性、可觸發(fā)性、破壞性、針對性、隱蔽性和衍生性等特征。計算機病毒的開展計算機病毒是伴隨計算機的開展而不斷開展變化的。早在1949年計算機剛剛誕生時,計算機之父馮·諾依曼在?復(fù)雜自動機組織論?中便定義了病毒的根本概念,他提出“一部事實上足夠復(fù)雜的機器能夠復(fù)制自身〞,而能夠復(fù)制自身正是計算機病毒的本質(zhì)特征之一。計算機病毒的開展〔續(xù)〕時間名稱特點20世紀60年代初CoreWar通過復(fù)制自身來擺脫對方控制1981年ElkCloner通過磁盤進行感染1986年底Brain首次使用了偽裝手段1987年Casade自我加解密1987年12月ChristmasTree第一個網(wǎng)絡(luò)病毒,在VM/CMS操作系統(tǒng)下傳播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕蟲程序造成Internet的堵塞計算機病毒的開展〔續(xù)〕首例能夠破壞硬件的病毒CHI1998年6月第一個使用FTP進行傳播Homer1997年4月第一個Linux環(huán)境下的病毒Bliss1997年2月攻擊Windows操作系統(tǒng)病毒大規(guī)模出現(xiàn)宏病毒Concept1995年8月9日感染C語言和Pascal語言感染OBJ文件SrcVirShifter1993、1994年第一個多態(tài)病毒Chameleon1990年標志著計算機病毒開始入侵我國“小球”1989年4月格式化硬盤Yankee1989年特點名稱時間計算機病毒的開展〔續(xù)〕時間名稱特點1999年美麗殺宏病毒和蠕蟲的混合物,通過電子郵件傳播2000年VBS/KAK使用腳本技術(shù)2001年紅色代碼利用微軟操作系統(tǒng)的緩沖區(qū)溢出的漏洞傳播2001年Nimda利用電子郵件傳播2001年網(wǎng)絡(luò)神偷木馬/黑客病毒,對本地及遠程驅(qū)動器的文件進行任何操作2002年6月Perrum第一個從程序感染轉(zhuǎn)變?yōu)閿?shù)據(jù)文件感染的病毒2003年“2003蠕蟲王”多元混合化,數(shù)小時內(nèi)使全球主干網(wǎng)陷入癱瘓2004年頻繁的變種病毒大量出現(xiàn)計算機病毒的特性

1.傳染性

2.潛伏性

3.可觸發(fā)性

4.破壞性

5.針對性

6.隱蔽性

7.衍生性傳染性傳染性是病毒的根本特征。病毒通過修改磁盤扇區(qū)信息或文件內(nèi)容,并把自身嵌入到一切符合其傳染條件的未受到傳染的程序之上,實現(xiàn)自我復(fù)制和自我繁殖,到達傳染和擴散的目的。被感染的程序和系統(tǒng)將成為新的傳染源,在與其它系統(tǒng)和設(shè)備接觸時繼續(xù)進行傳播。其中,被嵌入的程序叫做宿主程序。病毒的傳染可以通過各種移動存儲設(shè)備,如軟盤、移動硬盤、U盤、可擦寫光盤、、PDA等;病毒可以通過有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、網(wǎng)絡(luò)等渠道迅速涉及全球。例如,“愛蟲〞病毒在兩天內(nèi)迅速傳播到世界的主要計算機網(wǎng)絡(luò),并造成歐、美國家的計算機網(wǎng)絡(luò)癱瘓。潛伏性病毒在進入系統(tǒng)之后通常不會馬上發(fā)作,可長期隱藏在系統(tǒng)中,除了傳染外不做什么破壞,以提供足夠的時間繁殖擴散。病毒在潛伏期,不破壞系統(tǒng),因而不易被用戶發(fā)現(xiàn)。潛伏性越好,其在系統(tǒng)中的存在時間就會越長,病毒的傳染范圍就會越大。病毒只有在滿足特定觸發(fā)條件時才啟動其破壞模塊。例如,PETER-2病毒在每年的2月27日會提三個問題答錯后會將硬盤加密。著名CIH病毒在每月的26日發(fā)作。可觸發(fā)性病毒因某個事件或數(shù)值的出現(xiàn),激發(fā)其進行傳染,或者激活病毒的表現(xiàn)局部或破壞局部的特性稱為可觸發(fā)性。計算機病毒一般都有一個或者多個觸發(fā)條件,病毒的觸發(fā)機制用來控制感染和破壞動作的頻率。病毒具有的預(yù)定的觸發(fā)條件可能是敲入特定字符,使用特定文件,某個特定日期或特定時刻,或者是病毒內(nèi)置的計數(shù)器到達一定次數(shù)等。病毒運行時,觸發(fā)機制檢查預(yù)定條件是否滿足,滿足條件時,病毒觸發(fā)感染或破壞動作,否那么繼續(xù)潛伏。破壞性病毒是一種可執(zhí)行程序,病毒的運行必然要占用系統(tǒng)資源,如占用內(nèi)存空間,占用磁盤存儲空間以及系統(tǒng)運行時間等。病毒的破壞性主要取決于病毒設(shè)計者的目的。良性病毒可能只是干擾顯示屏幕,顯示一些亂碼或無聊的語句,或者根本無任何破壞動作,只是占用系統(tǒng)資源,如FENP病毒、小球病毒、W-BOOT病毒等。惡性病毒那么有明確的目的,它們破壞數(shù)據(jù)、刪除文件、加密磁盤甚至格式化磁盤、破壞硬件,對數(shù)據(jù)造成不可挽回的破壞。另外,病毒的交叉感染,也會導(dǎo)致系統(tǒng)崩潰等惡果。針對性病毒是針對特定的計算機、操作系統(tǒng)、效勞軟件、甚至特定的版本和特定模版而設(shè)計的。例如:小球病毒是針對IBMPC機及其兼容機上的DOS操作系統(tǒng)的?!癈odeBlue〔藍色代碼〕〞專門攻擊WINDOWS2000操作系統(tǒng)。英文Word中的宏病毒模板在同一版本的中文Word中無法翻開而自動失效。2002年1月8日出現(xiàn)的感染SWF文件的病毒由于依賴Macro-media獨立運行的Flash播放器,而不是依靠安裝在瀏覽器中插件,使其傳播受到限制。隱蔽性大局部病毒都設(shè)計得短小精悍,一般只有幾百K甚至幾十K字節(jié),并且,病毒通常都附在正常程序中或磁盤較隱蔽的地方〔如引導(dǎo)扇區(qū)〕,或以隱含文件形式出現(xiàn),目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析,病毒程序與正常程序是不容易區(qū)別開的。病毒在潛伏期并不惡意破壞系統(tǒng)工作,受感染的計算機系統(tǒng)通常仍能正常運行,用戶不會感到任何異常,從而隱藏病毒的存在,使病毒可以在不被覺察的情況下,感染盡可能多的計算機系統(tǒng)。隱蔽性〔續(xù)〕傳染的隱蔽性。大多數(shù)病毒在進行傳染時速度極快,一般不具有外部表現(xiàn),不易被發(fā)現(xiàn)。PC機對DOS文件的存取速度可達每秒幾百KB以上,幾百字節(jié)的病毒可在轉(zhuǎn)瞬間附著在正常的程序之中,不易被人覺察。存在的隱蔽性。病毒一般都附著在正常程序之中,正常程序被計算機病毒感染后,其原有功能根本上不受影響,使病毒在正常程序的工作過程中不斷得到運行,傳染更多的系統(tǒng)和資源,與正常程序爭奪系統(tǒng)的控制權(quán)和磁盤空間,不斷地破壞正常的系統(tǒng)。衍生性很多病毒使用高級語言編寫,如“愛蟲〞是腳本語言病毒,“美麗殺〞是宏病毒,通過分析計算機病毒的結(jié)構(gòu)可以了解設(shè)計者的設(shè)計思想,從而衍生出各種新的計算機病毒,稱為病毒變種。這就是計算機病毒的衍生性。變種病毒造成的后果可能比原版病毒更為嚴重?!皭巯x〞病毒在十幾天中,出現(xiàn)三十多種變種?!懊利悮ⅷ暡《疽灿卸喾N變種,并且此后很多宏病毒都使用了“美麗殺〞的傳染機理。這些變種的主要傳染和破壞的機理與母體病毒根本一致,只是改變了病毒的外部表象。其他特性隨著計算機軟件和網(wǎng)絡(luò)技術(shù)的開展,網(wǎng)絡(luò)時代的病毒又具有很多新的特點如主動通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播、傳播速度極快、變種多;病毒不但能夠復(fù)制自身給其他的程序,而且具有了蠕蟲的特點,可以利用網(wǎng)絡(luò)進行傳播;具有了黑客程序的功能,一旦侵入計算機系統(tǒng)后,病毒控制可以從入侵的系統(tǒng)中竊取信息,遠程控制這些系統(tǒng)。病毒的功能呈現(xiàn)多樣化,也更具有危害性。計算機病毒分類1.按照計算機病毒的危害程度分類2.按照傳染方式分類3.按照計算機病毒的寄生方式分類4.其他一些分類方式按照計算機病毒的危害程度分類良性病毒是指不對計算機系統(tǒng)和數(shù)據(jù)進行徹底破壞的病毒。這類病毒占用系統(tǒng)資源,會導(dǎo)致整個系統(tǒng)運行效率降;與操作系統(tǒng)和應(yīng)用程序爭搶CPU的控制權(quán),導(dǎo)致整個系統(tǒng)死鎖,阻礙正常的系統(tǒng)操作。在多個病毒交叉感染時也可造成系統(tǒng)崩潰。如小球病毒、1575/1591病毒、救護車病毒、揚基病毒、Dabi病毒。惡性病毒是指能夠損傷和破壞計算機系統(tǒng)及其數(shù)據(jù),在其傳染或發(fā)作時對系統(tǒng)產(chǎn)生徹底破壞作用的病毒。目的明確,破壞數(shù)據(jù)、刪除文件、加密磁盤、甚至格式化磁盤。米開朗基羅病毒發(fā)作時,硬盤的前17個扇區(qū)將被徹底破壞,使整個硬盤上的數(shù)據(jù)無法被恢復(fù)。按照傳染方式分類引導(dǎo)型病毒是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。按照引導(dǎo)型病毒在硬盤上的寄生位置可細分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。文件型病毒是指能夠寄生在文件中的計算機病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。混合型病毒是指具有引導(dǎo)型病毒和文件型病毒兩種寄生方式的計算機病毒。這種病毒既感染磁盤的引導(dǎo)區(qū),又感染可執(zhí)行文件,增加了病毒的傳染性及存活率。按照計算機病毒的寄生方式分類源碼型病毒是用高級語言編寫的,攻擊用高級語言編寫的程序。這種病毒假設(shè)不進行匯編、鏈接,就無法傳染擴散。嵌入型病毒是將自身嵌入到現(xiàn)有程序中,把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。技術(shù)難度較大,一旦侵入后也較難消除。外殼型病毒寄生在宿主程序的前面或后面,并修改程序的第一條執(zhí)行指令,使病毒先于宿主程序執(zhí)行。易于編寫,易于發(fā)現(xiàn),通過文件的大小判別。其他分類方式按照攻擊的操作系統(tǒng)可分為:攻擊DOS操作系統(tǒng)的、攻擊Windows系統(tǒng)的、攻擊UNIX系統(tǒng)的、攻擊OS/2系統(tǒng)的病毒。按照計算機病毒激活的時間可分為:定時發(fā)作的病毒和不由時鐘來激活的隨機病毒。按照傳播媒介可分為:以磁盤為載體的單機病毒和以網(wǎng)絡(luò)為載體的網(wǎng)絡(luò)病毒。按攻擊的機型還可將病毒分為:攻擊微型機的病毒、攻擊小型機的病毒和攻擊工作站的病毒。計算機病毒的傳播第一種途徑:通過不可移動的計算機硬件設(shè)備進行傳播。設(shè)備中有計算機的專用ASIC〔ApplicationSpecificIntegratedCircuit,特定用途集成電路〕芯片和硬盤等。這種病毒極少,破壞力極強。第二種途徑:通過移動存儲設(shè)備傳染。如軟盤、U盤、可擦寫光盤、MP3、存儲卡、記憶棒等。第三種途徑:通過計算機網(wǎng)絡(luò)傳播,是傳播的主流途徑,也是危害最大的傳播途徑。第四種途徑:通過點對點通信系統(tǒng)和無線通道傳播。7.1.5計算機病毒機理下面通過例1介紹計算機病毒的結(jié)構(gòu)。文件名為:autoexec.bat,其內(nèi)容如下:@echooff #關(guān)閉回顯功能echoThisisavirusdemonstrationprogram. #病毒例如程序ifexistb:\autoexec.batgotovirus #檢查時機gotono-virus #時機不成熟那么繼續(xù)潛伏:virus #時機成熟 b: #到b:盤renameautoexec.batauto.bat #修改原文件名字copya:\autoexec.batb: #復(fù)制自身echoYouhaveavirus! #表現(xiàn)病癥:no-virus #正常程序入口a:\auto.bat #執(zhí)行正常程序7.1.5計算機病毒機理由例1可見,病毒一般包含3個模塊:引導(dǎo)模塊、感染模塊和表現(xiàn)模塊〔或破壞模塊〕。引導(dǎo)模塊將病毒程序引入內(nèi)存并使其后面的兩個模塊處于激活狀態(tài);感染模塊在感染條件滿足時把病毒感染到所攻擊的對象上;表現(xiàn)模塊〔破壞模塊〕在病毒發(fā)作條件滿足時,實施對系統(tǒng)的干擾和破壞活動。并不是所有計算機病毒都由這3大模塊組成,有的病毒可能沒有引導(dǎo)模塊,如“維也納〞病毒;有的可能沒有破壞模塊,如“巴基斯坦〞病毒;而有的病毒在3個模塊之間可能沒有明顯的界限。計算機病毒機理1.引導(dǎo)型病毒2.外殼型病毒3.宏病毒引導(dǎo)型病毒引導(dǎo)型病毒是一種在ROMBIOS之后,系統(tǒng)引導(dǎo)時出現(xiàn)的病毒,它先于操作系統(tǒng),依托的環(huán)境是BIOS中斷效勞程序。引導(dǎo)型病毒利用操作系統(tǒng)的引導(dǎo)模塊放在固定的位置,并且控制權(quán)的轉(zhuǎn)交方式是以物理地址為依據(jù),而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)。因而,引導(dǎo)型病毒改寫磁盤上的引導(dǎo)扇區(qū)〔BOOTSECTOR〕的內(nèi)容或改寫硬盤上的分區(qū)表〔FAT〕,占據(jù)該物理位置即可獲得控制權(quán)。病毒將真正的引導(dǎo)區(qū)內(nèi)容搬家轉(zhuǎn)移或替換,待病毒程序被執(zhí)行后,再將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容,使得帶病毒的系統(tǒng)看似運轉(zhuǎn)正常,從而隱藏病毒的存在,伺機傳染、發(fā)作。外殼型病毒作為典型的文件型病毒,外殼型病毒需要寄生的宿主程序,并修改宿主程序的第一條執(zhí)行指令,使病毒先于宿主程序執(zhí)行,隨著宿主程序的使用而傳染擴散。下面的例子中,將修改windows下的可執(zhí)行文件more,在more文件末尾添加新的代碼,使程序一運行便執(zhí)行該代碼段,并使得more在執(zhí)行時必須按下Escape鍵才能正常運行。外殼型病毒〔續(xù)〕例2:修改more文件,使得more在執(zhí)行時必須先按下Escape鍵才能繼續(xù)執(zhí)行。C:\WINDOWS\COMMAND>debugmore #使用debug工具編輯more-r#查看存放器狀態(tài),其中CX指示了16進制表示的文件長度AX=0000BX=0000CX=2967DX=0000SP=FFFEBP=0000SI=0000DI=0000DS=128CES=128CSS=128CCS=128CIP=0100NVUPEIPLNZNAPONC128C:0100E85A10CALL115D #此處顯示了該程序的第一條匯編語句外殼型病毒〔續(xù)〕通過上述操作可以獲得該程序的根本信息,包括該文件的大小(這里是2967)和第一條匯編語句的16進制編碼(這里是E85A10)。由于文件大小為2967,而文件起始位置為128C:0100,所以,從地址為2967+100=2A67開始添加新的代碼。2.外殼型病毒〔續(xù)三〕-a2A67 #從地址2A67處添加代碼128C:2A67movah,0 128C:2A69int16 #觸發(fā)中斷16,且ah=0,系統(tǒng)等待按鍵128C:2A6Bcmpal,1b #判斷是否是Escape鍵128C:2A6Djnz2A67 #假設(shè)非Escape鍵,循環(huán)等待128C:2A6Fmovwordptr[100],5AE8 #恢復(fù)開始的3個字節(jié)128C:2A75movbyteptr[102],10128C:2A7Apushcs #將程序入口地址cs:100進棧128C:2A7Bmovsi,100128C:2A7Epushsi128C:2A7Fretf #回到cs:100程序入口處128C:2A80外殼型病毒〔續(xù)〕-a100 #修改文件第一句語句為:跳轉(zhuǎn)到“病毒〞代碼處128C:0100jmp2A67128C:0103-rcx #更改文件的大小為2A80-100=2970CX2967:2980-w #寫文件Writing02980bytes-q #退出debug外殼型病毒〔續(xù)〕此后,當使用more時,例如使用:dir/s|more分頁顯示所在目錄及其子目錄內(nèi)容時,只有按下Escape鍵才能使程序正常執(zhí)行。通過上面的例子可以看到,病毒可以在文件的前面、后面,甚至文件內(nèi)部的空白處添加新的代碼,在程序正常運行的根底上實現(xiàn)新的功能。病毒將自身附加在宿主程序上,并通過修改宿主程序的第一條指令,使病毒先于正常程序執(zhí)行。當然,病毒要實現(xiàn)自我復(fù)制、自動傳播和破壞系統(tǒng),其程序要復(fù)雜得多。

宏病毒W(wǎng)ord的工作模式是當載入文檔時,就先執(zhí)行起始的宏,再載入資料內(nèi)容,目的是為了使Word能夠根據(jù)資料的不同需要,使用不同的宏工作。Word為普通用戶事先定義一個共用的范本文檔Normal.dot,里面包含了根本的宏。只要一啟動Word,就會自動運行Normal.dot文件。類似的電子表格軟件Excel也支持宏,但它的范本文件是Personal.xls。這就為宏病毒在每次啟動Word時能夠取得系統(tǒng)控制權(quán)提供了時機,使用染毒的模板對文檔進行操作。宏病毒〔續(xù)〕感染了Word宏病毒的文檔運行時,實現(xiàn)了病毒的自動運行,病毒把帶病毒的宏移植到通用宏的代碼段,實現(xiàn)對其它文件的感染。在Word退出系統(tǒng)時,它會自動地把所有的通用宏,包括感染病毒的宏保存到模板文件中,當Word系統(tǒng)再一次啟動時,它又會自動地把所有的通用宏從模板中裝入。因此,一旦Word系統(tǒng)受到宏病毒的感染,那么以后每當系統(tǒng)進行初始化時,系統(tǒng)都會隨著Normal.dot的裝入而成為帶毒的Normal.dot系統(tǒng),進而在翻開和創(chuàng)立任何文檔時感染該文檔。當然,這只是宏病毒傳播的一個根本途徑。7.2計算機病毒檢查與去除根據(jù)計算機病毒的特點,人們找到了許多檢測計算機病毒的方法。但是由于計算機病毒與反病毒是互相對抗開展的,任何一種檢測方法都不可能是萬能的,綜合運用這些檢測方法并且在此根底上根據(jù)病毒的最新特點不斷改進或發(fā)現(xiàn)新的方法才能更準確地發(fā)現(xiàn)病毒。網(wǎng)絡(luò)病毒檢查與去除方法1檢查注冊表。大多數(shù)病毒都會修改注冊表,使得每一次機器啟動時都能夠得到自動執(zhí)行。2檢查磁盤文件。有些網(wǎng)絡(luò)病毒會在磁盤上留下自己的文件,如木馬病毒Netbus;有些修改或覆蓋原有系統(tǒng)的文件,如外殼型病毒;有些那么以系統(tǒng)文件的命名方式來命名自己,以迷惑用戶,如本文中的例如。3檢查共享文件夾。為實現(xiàn)遠程訪問的目的,病毒可將效勞程序放在共享目錄中。網(wǎng)絡(luò)病毒檢查與去除方法〔續(xù)〕4檢查進程。網(wǎng)絡(luò)病毒在發(fā)作時會占用系統(tǒng)資源,自動產(chǎn)生正常系統(tǒng)運行時沒有的進程,甚至關(guān)閉一些正常系統(tǒng)運行的進程。5檢查端口。網(wǎng)絡(luò)病毒要與外界進行聯(lián)系或傳播病毒,必然要開啟通訊端口,自動發(fā)送垃圾信息,感染其它系統(tǒng)或接受遠程控制,竊取系統(tǒng)資料。6其它異常病癥。如系統(tǒng)性能下降、瀏覽器被修改、出現(xiàn)亂碼、無法正常使用郵件系統(tǒng)等等。宏病毒檢查與去除方法1檢查通用模板中出現(xiàn)的宏。大多數(shù)宏病毒是通過感染通用模板Normal.dot進行傳播的,而通常通用模板中是沒有宏的,所以,通過菜單“工具/宏〞,如果發(fā)現(xiàn)有AutoOpen等自動宏、FileSave等標準宏或一些怪名字的宏,而用戶又沒有使用特殊的宏的時候,用戶文檔很可能感染上了宏病毒了。2無故出現(xiàn)存盤操作。當翻開一個Word文檔,并且文檔沒有經(jīng)過任何改動,立刻就有存盤操作。3Word功能混亂,無法使用。宏病毒能夠破壞Word的運行機制,使文檔的翻開、關(guān)閉、存盤等操作無法正常進行。如Word的.doc文檔文件無法另存為其它格式的文件,而只能以模板文件方式存盤。宏病毒檢查與去除方法〔續(xù)〕4Word菜單命令消失。一些病毒感染系統(tǒng)時,會關(guān)閉Word菜單的某些命令,以隱藏和保護自己。如Phardera病毒在其發(fā)作時只彈出一個對話框,干擾用戶的正常操作,同時,病毒去掉“工具〞菜單中的“宏〞和“自定義〞命令,阻止手工查殺病毒。5Word文檔的內(nèi)容發(fā)生變化。例如:Wazzu病毒感染文檔后,會打亂原格式,并在文檔中參加“Wazzu〞;Concep.F病毒那么將原文檔中的“,〞、“e〞、“not〞替換為“。〞、“a〞、“and〞。宏病毒檢查與去除方法在沒翻開任何文件〔文檔文件或模板文件〕的情況下,啟動Word;選擇菜單“工具/模板和加載項〞中的“管理器/宏方案〞項,刪除左右兩個列表框中除了自己定義的之外的所有宏;關(guān)閉對話框;選擇菜單“工具/宏〞,假設(shè)有AutoOpen、AutoNew、AutoClose等宏,那么刪除。由于Word宏病毒會寄生在任何.doc文檔中,可在翻開.doc文件后,重復(fù)上面2~4步驟,然后將文件存盤,以去除.doc文檔中的病毒。典型病毒去除方法1.Sircam蠕蟲病毒2.圣誕節(jié)病毒3.“歡樂時光〞病毒4.“冰河〞木馬病毒Sircam蠕蟲病毒清空回收站,因為病毒將自身隱藏在回收站;刪除Autoexec.bat文件中的"@winecycledsirc32.exe";恢復(fù)注冊表:將regedit.exe改名為regedit因為該病毒關(guān)聯(lián)exe文件;翻開注冊表編輯器,查找主鍵:HKEY_CLASSES_ROOT\exefile\shell\open\command將其鍵值改為“%1〞%*;刪除主鍵HKEY_LOCAL_MACHINE\Software\SirCam;刪除鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices\Driver32;將regedit改回為regedit.exe。圣誕節(jié)病毒〔蠕蟲病毒〕通過開始/程序,進入MS-DOS模式;將DOS指令regedit.exe重新命名為regedit;翻開注冊表編輯器,查找主鍵:HKEY_CLASSES_ROOT\exefile\shell\open\command將其鍵值改為"%1"%*;刪除鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Win32BaseServiceMOD;將regedit重新命名為regedit.exe。“歡樂時光〞病毒〔郵件病毒〕檢查C:\Help.htm、C:盤第一個子目錄下的Help.vbs和Help.hta、Windows目錄下的Help.htm或者與原桌面背景文件名相同的html格式文件,假設(shè)其中含有“RemIamsorry!happytime〞字符串,那么刪除該文件;檢查C:盤上所有vbs、html或者asp文件,假設(shè)含有“RemIamsorry!happytime〞字符串,那么刪除該文件;檢查WindowsWeb目錄下所有vbs、html、htt和asp文件,假設(shè)含有“RemIamsorry!happytime〞字符串,那么刪除該文件;刪除HKEY_CURRENT_USER\Software下Help項;刪除收件箱中所有帶有Untitled.htm附件的不明郵件?!氨莹暷抉R病毒刪除C:\Winnt\system32下的Kernel32.exe和Sysexplr.exe文件;刪除注冊表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的鍵值WINDOWS\SYSTEM\Kernel32.exe;刪除注冊表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices下的鍵值WINDOWS\SYSTEM\Kernel32.exe;“冰河〞木馬病毒〔續(xù)〕修改注冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認值,由被病毒感染后的Sysexplr.exe%1改為正常情況下的notepad.exe%1重新啟動,在純Dos模式中刪除冰河以及它的關(guān)聯(lián)程序,默認是C:\WINDOWS\SYSTEM\Kernel32.exe和sysexplr.exe。7.3計算機病毒防治措施作為信息時代的主要載體,網(wǎng)絡(luò)和計算機成為人類工作、生活不可或缺的一局部,也必將為社會的開展進一步帶來巨大的變革。由于網(wǎng)絡(luò)和計算機的開放性和共享性,病毒也將伴隨網(wǎng)絡(luò)和計算機的開展而不斷升級,因此,病毒和反病毒之間的對抗將是長期的。為防患于未然,以最大限度地減少計算機病毒的發(fā)生和危害,必須采取有效的預(yù)防措施,使病毒的涉及范圍、破壞作用減到最小。

計算機病毒防治管理措施1994年公布了?中華人民共和國計算機信息系統(tǒng)平安保護條例?,其中規(guī)定:成心輸入計算機病毒以及其他有害數(shù)據(jù),危害計算機信息平安的要對個人和單位處以高額罰款,并依法追究刑事責(zé)任。1997年出臺的新?刑法?中增加了有關(guān)對制作、傳播計算機病毒進行處分的條款。2000年5月,公安部公布實施了?計算機病毒防治管理方法?。計算機病毒防治管理措施〔續(xù)〕備好啟動盤,并設(shè)置寫保護。盡量不用軟盤、U盤、移動硬盤或其他移動存儲設(shè)備啟動計算機,而用本地硬盤啟動。定期對重要的資料和系統(tǒng)文件進行備份??梢酝ㄟ^比照文件大小、檢查文件個數(shù)、核對文件名字來及時發(fā)現(xiàn)病毒。重要的系統(tǒng)文件和磁盤可以通過賦予只讀功能,防止病毒的寄生和入侵。也可以通過轉(zhuǎn)移文件位置,修改相應(yīng)的系統(tǒng)配置來保護重要的系統(tǒng)文件。重要部門的計算機,盡量專機專用與外界隔絕。計算機病毒防治管理措施〔續(xù)〕盡量防止在無防毒措施的機器上使用軟盤、U盤、移動硬盤、可擦寫光盤等可移動的儲存設(shè)備。使用新軟件時,先用殺毒程序檢查。安裝殺毒軟件、防火墻等防病毒工具,并準備一套具有查毒、防毒、解毒及修復(fù)系統(tǒng)的工具軟件。并定期對軟件進行升級、對系統(tǒng)進行查毒。經(jīng)常升級平安補丁。使用復(fù)雜的密碼。有許多網(wǎng)絡(luò)病毒是通過猜測簡單密碼的方式攻擊系統(tǒng)的,因此使用復(fù)雜的密碼,可大大提高計算機的平安系數(shù)。計算機病毒防治管理措施〔續(xù)〕不要在Internet上隨意下載軟件。如果特別需要,須在下載軟件后進行殺毒。不要輕易翻開電子郵件的附件。較妥當?shù)淖龇ㄊ窍葘⒏郊4嫦聛?,待殺毒軟件檢查后再翻開。不要隨意借入和借出移動存儲設(shè)備,在使用借入或返還的這些設(shè)備時,一定要通過殺毒軟件的檢查。了解一些病毒知識。這樣就可以及時發(fā)現(xiàn)新病毒并采取相應(yīng)措施,在關(guān)鍵時刻使自己的計算機免受病毒破壞。計算機病毒防治管理措施〔續(xù)〕一旦發(fā)現(xiàn)病毒,迅速隔離受感染的計算機,防止病毒繼續(xù)擴散。并使用可靠的查殺工具,必要時需向國家計算機病毒應(yīng)急中心和當?shù)毓残畔⒕W(wǎng)絡(luò)平安監(jiān)察部門報告,請專家協(xié)助處理。假設(shè)硬盤資料已遭破壞,應(yīng)利用災(zāi)后重建的解毒程序和恢復(fù)工具加以分析,重建受損狀態(tài),而不要急于格式化。7.3.2計算機病毒防治技措施1.系統(tǒng)平安2.軟件過濾3.文件加密4.備份恢復(fù)系統(tǒng)平安許多計算機病毒都是通過系統(tǒng)漏洞進行傳播的。有效的殺毒軟件可以防御病毒的侵害。除軟件防病毒外,采用防病毒卡和防病毒芯片也是十分有效的方法。防病毒卡和芯片可與系統(tǒng)結(jié)合成一體,系統(tǒng)啟動后,在加載執(zhí)行前獲得控制權(quán)并開始監(jiān)測病毒,使病毒一進入內(nèi)存即被查出。同時自身的檢測程序固化在芯片中,病毒無法改變其內(nèi)容,可有效地抵抗病毒對自身的攻擊。軟件過濾軟件過濾的目的是識別某一類特殊的病毒,以防止它們進入系統(tǒng)和復(fù)制傳播,已被用來保護一些大、中型計算機系統(tǒng)。如國外使用的一種T-cell程序集,對系統(tǒng)中的數(shù)據(jù)和程序用一種難以復(fù)制的印章加以保護,如果印章被改變,系統(tǒng)就認為發(fā)生了非法入侵。又如Digital公司的一些操作系統(tǒng)采用CA-examine程序作為病毒檢測工具主要用來分析關(guān)鍵的系統(tǒng)程序和內(nèi)存常駐模塊,能檢測出多種修改系統(tǒng)的病毒。文件加密文件加密是將系統(tǒng)中可執(zhí)行文件加密,以防止病毒的危害??蓤?zhí)行文件是可被操作系統(tǒng)和其它軟件識別和執(zhí)行的文件。假設(shè)病毒不能在可執(zhí)行文件加密前感染該文件,或不能破譯加密算法,那么混入病毒代碼的文件不能執(zhí)行。為減小開銷,文件加密也可采用另一種方法:可執(zhí)行程序作為明文,并對其校驗和進行單向加密,形成加密的簽名塊,并附在可執(zhí)行文件之后。加密的簽名塊在文件執(zhí)行前用公鑰解密,并與重新計算的校驗和相比較,如有病毒入侵,造成可執(zhí)行文件改變,那么校驗和不符,應(yīng)停止執(zhí)行并進行檢查。備份恢復(fù)數(shù)據(jù)備份是保證數(shù)據(jù)平安的重要手段,可以通過與備份文件的比較來判定是否有病毒入侵。當系統(tǒng)文件被病毒侵染,可用備份文件恢復(fù)原有的系統(tǒng)。數(shù)據(jù)備份可采用自動方式,也可采用手動方式;可定期備份和也可按需備份。數(shù)據(jù)備份不僅可用于被病毒侵入破壞的數(shù)據(jù)恢復(fù),而且可在其它原因破壞了數(shù)據(jù)完整性后進行系統(tǒng)恢復(fù)。常用病毒防治軟件簡介各種防病毒軟件通常具有如下一些功能:按照用戶要求對系統(tǒng)進行定期查毒、殺毒;對系統(tǒng)進行文件級、郵件級、內(nèi)存級、網(wǎng)頁級的實時監(jiān)控;定期或智能化的升級病毒庫;硬盤數(shù)據(jù)的保護、備份和恢復(fù);注冊表的維護和修復(fù);多種壓縮格式的查毒、殺毒;多種平安策略的選擇和用戶自定義平安規(guī)那么的設(shè)置。有些還提供了硬盤恢復(fù)工具、系統(tǒng)漏洞掃描工具、系統(tǒng)優(yōu)化工具等。國際上流行的防病毒軟件1.卡巴斯基2.諾頓3.NOD324.McAfee卡巴斯基卡巴斯基(Kaspersky)殺毒軟件來源于俄羅斯,是世界上優(yōu)秀的網(wǎng)絡(luò)殺毒軟件,查殺病毒性能較高??ò退够鶜⒍拒浖哂休^強的中心管理和殺毒能力;提供了各種類型的抗病毒防護解決方案:抗病毒掃描儀,監(jiān)控器、行為阻段和完全檢驗。它支持幾乎是所有的操作系統(tǒng)、E-mail通路和防火墻。卡巴斯基控制所有可能的病毒進入端口,它強大的功能和局部的靈活性以及網(wǎng)絡(luò)管理工具為自動信息搜索、中央安裝和病毒防護控制提供了便利。諾頓賽門鐵克(Symantec)的諾頓品牌是個人用戶平安和解決方案領(lǐng)域的全球零售市場的領(lǐng)導(dǎo)者。它通過無縫集成的產(chǎn)品,保護個人計算機

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論