計算機(jī)病毒概述82

第八章計算機(jī)病毒及防治8.1計算機(jī)病毒概述8.2

dos環(huán)境下的病毒8.3宏病毒8.4網(wǎng)絡(luò)計算機(jī)病毒8.5反病毒技術(shù)8.6軟件防病毒技術(shù)8.7典型病毒實例——cih病毒介紹本章學(xué)習(xí)目標(biāo)（1）了解計算機(jī)病毒的定義、發(fā)展歷史、分類、特點、入侵途徑、流行特征、破壞行為、作用機(jī)制。（2）了解dos環(huán)境下的病毒、宏病毒和網(wǎng)絡(luò)計算機(jī)病毒的分類、傳染過程、防治和清除方法。（3）熟悉基本的反病毒技術(shù)，包括計算機(jī)病毒的檢測、防治與感染病毒后的修復(fù)；掌握殺毒軟件的選購指標(biāo)、反病毒軟件的原理。（4）掌握如何恢復(fù)被cih病毒破壞的硬盤信息。返回本章首頁8.1計算機(jī)病毒概述8.1.1計算機(jī)病毒的定義8.1.2計算機(jī)病毒的發(fā)展歷史8.1.3計算機(jī)病毒的分類8.1.4計算機(jī)病毒的特點8.1.5計算機(jī)病毒的隱藏之處和入侵途徑8.1.6現(xiàn)代計算機(jī)病毒的流行特征8.1.7計算機(jī)病毒的破壞行為8.1.8計算機(jī)病毒的作用機(jī)制返回本章首頁8.1.1計算機(jī)病毒的定義“計算機(jī)病毒”最早是由美國計算機(jī)病毒研究專家f.cohen博士提出的?！坝嬎銠C(jī)病毒”有很多種定義，國外最流行的定義為：計算機(jī)病毒，是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。返回本節(jié)8.1.2計算機(jī)病毒的發(fā)展歷史1．計算機(jī)病毒發(fā)展簡史

世界上第一例被證實的計算機(jī)病毒是在1983年，出現(xiàn)了計算機(jī)病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設(shè)計思想；1984年，美國人thompson開發(fā)出了針對unix操作系統(tǒng)的病毒程序。

1988年11月2日晚，美國康爾大學(xué)研究生羅特·莫里斯將計算機(jī)病毒蠕蟲投放到網(wǎng)絡(luò)中。該病毒程序迅速擴(kuò)展，造成了大批計算機(jī)癱瘓，甚至歐洲聯(lián)網(wǎng)的計算機(jī)都受到影響，直接經(jīng)濟(jì)損失近億美元。

2．計算機(jī)病毒在中國的發(fā)展情況

在我國，80年代末，有關(guān)計算機(jī)病毒問題的研究和防范已成為計算機(jī)安全方面的重大課題。1982年“黑色星期五”病毒侵入我國；1985年在國內(nèi)發(fā)現(xiàn)更為危險的“病毒生產(chǎn)機(jī)”，生存能力和破壞能力極強(qiáng)。這類病毒有1537、clme等。進(jìn)入90年代，計算機(jī)病毒在國內(nèi)的泛濫更為嚴(yán)重。cih病毒是首例攻擊計算機(jī)硬件的病毒，它可攻擊計算機(jī)的主板，并可造成網(wǎng)絡(luò)的癱瘓。3．計算機(jī)病毒發(fā)展的10個階段（1）dos引導(dǎo)階段

（2）dos可執(zhí)行文件階段

（3）混合型階段

（4）伴隨型階段

（5）多形型階段

（6）生成器，變體機(jī)階段

（7）網(wǎng)絡(luò)，蠕蟲階段

（8）windows階段

（9）宏病毒階段

（10）internet階段

返回本節(jié)8.1.3計算機(jī)病毒的分類病毒種類眾多，分類如下：1．按傳染方式分為引導(dǎo)型、文件型和混合型病毒2．按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒3．按破壞性可分為良性病毒和惡性病毒4．網(wǎng)絡(luò)病毒返回本節(jié)8.1.4計算機(jī)病毒的特點

（1）刻意編寫，人為破壞

（2）自我復(fù)制能力

（3）奪取系統(tǒng)控制權(quán)

（4）隱蔽性

（5）潛伏性

（6）不可預(yù)見性

返回本節(jié)8.1.5計算機(jī)病毒的隱藏之處和入侵途徑1．病毒的隱藏之處（1）可執(zhí)行文件。（2）引導(dǎo)扇區(qū)。（3）表格和文檔。

（4）java小程序和activex控件。2．病毒的入侵途徑

（1）傳統(tǒng)方法

（2）internet返回本節(jié)8.1.6現(xiàn)代計算機(jī)病毒的流行特征1．攻擊對象趨于混合型

2．反跟蹤技術(shù)

3．增強(qiáng)隱蔽性

4．加密技術(shù)處理

5．病毒繁衍不同變種

增強(qiáng)隱蔽性：（1）避開修改中斷向量值

（2）請求在內(nèi)存中的合法身份

（3）維持宿主程序的外部特性

（4）不使用明顯的感染標(biāo)志

加密技術(shù)處理：（1）對程序段動態(tài)加密

（2）對顯示信息加密

（3）對宿主程序段加密

返回本節(jié)8.1.7計算機(jī)病毒的破壞行為

（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)

（2）攻擊文件

（3）攻擊內(nèi)存

（4）干擾系統(tǒng)運行，使運行速度下降

（5）干擾鍵盤、喇叭或屏幕

（6）攻擊cmos（7）干擾打印機(jī)

（8）網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)

返回本節(jié)8.1.8計算機(jī)病毒的作用機(jī)制

1．計算機(jī)病毒的一般構(gòu)成

2．計算機(jī)病毒的引導(dǎo)機(jī)制

3．計算機(jī)病毒的傳染機(jī)制

4．計算機(jī)病毒的破壞機(jī)制

一個引導(dǎo)病毒傳染的實例假定用硬盤啟動，且該硬盤已染上了小球病毒，那么加電自舉以后，小球病毒的引導(dǎo)模塊就把全部病毒代碼1024字節(jié)保護(hù)到了內(nèi)存的最高段，即97c0：7c00處；然后修改int13h的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過int13h的作用，計算機(jī)病毒的傳染塊便率先取得控制權(quán)，它就進(jìn)行如下操作：1）讀入目標(biāo)軟磁盤的自舉扇區(qū)（boot扇區(qū)）。2）判斷是否滿足傳染條件。3）如果滿足傳染條件（即目標(biāo)盤boot區(qū)的01fch偏移位置為5713h標(biāo)志），則將病毒代碼的前512字節(jié)寫入boot引導(dǎo)程序，將其后512字節(jié)寫入該簇，隨后將該簇標(biāo)以壞簇標(biāo)志，以保護(hù)該簇不被重寫。4）跳轉(zhuǎn)到原int13h的入口執(zhí)行正常的磁盤系統(tǒng)操作。

一個文件病毒傳染的實例假如vvv.com（或.exe）文件已染有耶路撒冷病毒，那么運行該文件后，耶路撒冷病毒的引導(dǎo)模塊會修改int21h的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內(nèi)存，此后退回操作系統(tǒng)。以后再有任何加載執(zhí)行文件的操作，病毒的傳染模塊將通過int21h的調(diào)用率先獲得控制權(quán)，并進(jìn)行以下操作：1）讀出該文件特定部分。2）判斷是否傳染。3）如果滿足條件，則用某種方式將病毒代碼與該可執(zhí)行文件鏈接，再將鏈接后的文件重新寫入磁盤。4）轉(zhuǎn)回原int21h入口，對該執(zhí)行文件進(jìn)行正常加載。計算機(jī)病毒的傳染過程計算機(jī)病毒的傳染過程1）駐入內(nèi)存。2）判斷傳染條件。3）傳染。

返回本節(jié)8.2

dos環(huán)境下的病毒8.2.1

dos基本知識介紹8.2.2常見dos病毒分析返回本章首頁8.2.1

dos基本知識介紹

1．dos的基本結(jié)構(gòu)

2．dos啟動過程

3．dos的程序加載過程

4．dos的中斷系統(tǒng)

1．dos的基本結(jié)構(gòu)（1）引導(dǎo)記錄模塊

（2）基本輸入輸出管理模塊

（3）核心模塊

（4）shell模塊

2．dos啟動過程pcx86系列計算機(jī)設(shè)計時，都使地址0ffff0h處于rom區(qū)中，并將該地址的內(nèi)容設(shè)計為一條跳轉(zhuǎn)指令并首先執(zhí)行它，這樣就將控制權(quán)交給了自檢程序和rom引導(dǎo)裝入程序。啟動過程為：硬件自檢→自舉→系統(tǒng)初始化→內(nèi)核初始化→建立系統(tǒng)運行環(huán)境→command.com初始化。3．dos的程序加載過程（1）command處理命令的過程

（2）.exe文件的加載

（3）.com文件的加載

4．dos的中斷系統(tǒng)（1）中斷向量表

（2）中斷響應(yīng)過程

（3）計算機(jī)病毒經(jīng)常使用的中斷

多數(shù)病毒經(jīng)常使用磁盤服務(wù)中斷和時鐘中斷。1）rombios軟中斷int13h。

2）磁盤邏輯扇區(qū)讀/寫中斷int25h、int26h。

3）間隔時鐘中斷int1ch。

4）時鐘中斷int8h。是rombios硬中斷，其向量地址為0000:0020h~0000:0023h。

5）屏幕顯示中斷int10h。向量地址為0000:0040h~0000:0043h。

6）程序正常結(jié)束中斷int20h。是dos軟中斷，其向量地址為0000:0080~0000:0083h。

7）系統(tǒng)功能調(diào)用中斷int21h。

返回本節(jié)8.2.2常見dos病毒分析1．引導(dǎo)記錄病毒

（1）引導(dǎo)型病毒的傳播、破壞過程

（2）引導(dǎo)型病毒實例：火炬病毒

2．文件型病毒（1）文件型病毒的類型（2）文件型病毒的感染方式

（3）.com文件的感染

（4）.exe文件的感染

（5）.sys文件的感染

（a）引導(dǎo)型病毒（b）文件型病毒圖8.1病毒的傳播、破壞過程返回本節(jié)8.3宏病毒8.3.1宏病毒的分類8.3.2宏病毒的行為和特征8.3.3宏病毒的特點8.3.4宏病毒的防治和清除方法返回本章首頁8.3.1宏病毒的分類1．公（共）用宏病毒這類宏病毒對所有的word文檔有效，其觸發(fā)條件是在啟動或調(diào)用word文檔時，自動觸發(fā)執(zhí)行。它有兩個顯著的特點：1）只能用“autoxxxx”來命名，即宏名稱是用“auto”開頭，xxxx表示的是具體的一種宏文件名。如autoopen、autoclose、autocopy等。2）它們一定要附加在word共用模板上才有“公用”作用。通常在用戶不規(guī)定和另行編制其他的公用模板時，它們應(yīng)是附加在normal.dot模板上，或者首先要能將自己寫進(jìn)這樣的模板才行。2．私用宏病毒私用宏病毒與公用宏病毒的主要區(qū)別是：前者一般放在用戶自定義的word模板中，僅與使用這種模板的word文檔有關(guān)，即只有使用這個特定模板的文檔，該宏病毒才有效，而對使用其他模板的文檔，私用宏病毒一般不起作用。返回本節(jié)8.3.2宏病毒的行為和特征宏病毒是一種新形態(tài)的計算機(jī)病毒，也是一種跨平臺式計算機(jī)病毒?？梢栽趙indows、windows95/98/nt、os/2、macintoshsystem7等操作系統(tǒng)上執(zhí)行病毒行為。

宏病毒的主要特征如下：1）宏病毒會感染.doc文檔和.dot模板文件。

2）宏病毒的傳染通常是word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。

3）多數(shù)宏病毒包含autoopen、autoclose、autonew和autoexit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。

4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）宏病毒在.doc文檔、.dot模板中以bff（binaryfileformat）格式存放，這是一種加密壓縮格式，每個word版本格式可能不兼容。6）宏病毒具有兼容性。

返回本節(jié)8.3.3宏病毒的特點1．傳播極快

2．制作、變種方便3．破壞可能性極大

返回本節(jié)8.3.4宏病毒的防治和清除方法word宏病毒，是近年來被人們談?wù)摰米疃嗟囊环N計算機(jī)病毒。與那些用復(fù)雜的計算機(jī)編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了word宏病毒的編制、發(fā)作過程之后，即使是普通的計算機(jī)用戶，不借助任何殺毒軟件，就可以較好地對其進(jìn)行防冶。

1．查看“可疑”的宏

2．按使用習(xí)慣編制宏

3．防備autoxxxx宏

4．小心使用外來的word文檔

5．使用選項“prompttosavenormaltemplate”

6．通過shift鍵來禁止運行自動宏

7．查看宏代碼并刪除

8．使用disableautomarcros宏

9．使用office97的報警設(shè)置

10．設(shè)置normal.dot的只讀屬性

11．normal.dot的密碼保護(hù)

12．創(chuàng)建payload宏

13．使用wordviewer或wordpad14．將文檔存儲為rtf格式

返回本節(jié)8.4網(wǎng)絡(luò)計算機(jī)病毒8.4.1網(wǎng)絡(luò)計算機(jī)病毒的特點8.4.2網(wǎng)絡(luò)對病毒的敏感性8.4.3網(wǎng)絡(luò)病毒實例——電子郵件病毒返回本章首頁8.4.1網(wǎng)絡(luò)計算機(jī)病毒的特點

在網(wǎng)絡(luò)環(huán)境中，計算機(jī)病毒具有如下一些新的特點：（1）傳染方式多

（2）傳染速度快

（3）清除難度大

（4）破壞性強(qiáng)

（5）可激發(fā)性

（6）潛在性

返回本節(jié)8.4.2網(wǎng)絡(luò)對病毒的敏感性1．網(wǎng)絡(luò)對文件病毒的敏感性2．網(wǎng)絡(luò)對引導(dǎo)病毒的敏感性

3．網(wǎng)絡(luò)對宏病毒的敏感性

1．網(wǎng)絡(luò)對文件病毒的敏感性（1）網(wǎng)絡(luò)服務(wù)器上的文件病毒

（2）端到端網(wǎng)絡(luò)上的文件病毒

（3）internet上的文件病毒

2．網(wǎng)絡(luò)對引導(dǎo)病毒的敏感性（1）網(wǎng)絡(luò)服務(wù)器上的引導(dǎo)病毒

（2）端到端網(wǎng)絡(luò)上的引導(dǎo)病毒

（3）internet上的引導(dǎo)病毒

3．網(wǎng)絡(luò)對宏病毒的敏感性（1）網(wǎng)絡(luò)服務(wù)器上的宏病毒

（2）端到端網(wǎng)絡(luò)上的宏病毒

（3）internet上的宏病毒

返回本節(jié)8.4.3網(wǎng)絡(luò)病毒實例——電子郵件病毒1．電子郵件病毒的特點（1）郵件格式不統(tǒng)一，殺毒困難

（2）傳播速度快，傳播范圍廣，破壞力大

2．電子郵件病毒的防范措施

1）首先，不要輕易打開陌生人來信中的附件文件。

2）對于比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運行。

3）給別人發(fā)送程序文件甚至包括電子賀卡時，一定要先在自己的計算機(jī)中試試，確認(rèn)沒有問題后再發(fā)，以免好心辦了壞事。

4）不斷完善“網(wǎng)關(guān)”軟件及病毒防火墻軟件，加強(qiáng)對整個網(wǎng)絡(luò)入口點的防范。5）使用優(yōu)秀的防毒軟件對電子郵件進(jìn)行專門的保護(hù)。

6）使用防毒軟件同時保護(hù)客戶機(jī)和服務(wù)器。

7）使用特定的smtp殺毒軟件。

返回本節(jié)8.5反病毒技術(shù)8.5.1計算機(jī)病毒的檢測8.5.2計算機(jī)病毒的防治8.5.3計算機(jī)感染病毒后的修復(fù)返回本章首頁8.5.1計算機(jī)病毒的檢測1．異常情況判斷2．計算機(jī)病毒的檢查1．異常情況判斷計算機(jī)工作出現(xiàn)下列異常現(xiàn)象，則有可能感染了病毒：1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)。2）揚聲器發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。4）硬盤不能引導(dǎo)系統(tǒng)。5）磁盤上的文件或程序丟失。

6）磁盤讀/寫文件明顯變慢，訪問的時間加長。7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有時出現(xiàn)“寫保護(hù)錯”提示。8）系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動現(xiàn)象。9）原來運行的程序突然不能運行，總是出現(xiàn)出錯提示。10）打印機(jī)不能正常啟動。2．計算機(jī)病毒的檢查（1）檢查磁盤主引導(dǎo)扇區(qū)（2）檢查fat表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內(nèi)存空間（6）根據(jù)特征查找返回本節(jié)8.5.2計算機(jī)病毒的防治1．建立、健全法律和管理制度

2．加強(qiáng)教育和宣傳

3．采取更有效的技術(shù)措施

4．網(wǎng)絡(luò)計算機(jī)病毒的防治

采取更有效的技術(shù)措施（1）系統(tǒng)安全

（2）軟件過濾

（3）文件加密

（4）生產(chǎn)過程控制

（5）后備恢復(fù)

（6）其他有效措施

其他有效措施1）重要的磁盤和重要的帶后綴.com和.exe的文件賦予只讀功能，避免病毒寫到磁盤上或可執(zhí)行文件中。2）消滅傳染源。

3）建立程序的特征值檔案。4）嚴(yán)格內(nèi)存管理。5）嚴(yán)格中斷向量的管理。6）強(qiáng)化物理訪問控制措施7）一旦發(fā)現(xiàn)病毒蔓延，要采用可靠的殺毒軟件和請有經(jīng)驗的專家處理，必要時需報告計算機(jī)安全監(jiān)察部門，特別要注意不要使其繼續(xù)擴(kuò)散。防范計算機(jī)網(wǎng)絡(luò)病毒的一些措施：1）在網(wǎng)絡(luò)中，盡量多用無盤工作站，不用或少用有軟驅(qū)的工作站。

2）在網(wǎng)絡(luò)中，要保證系統(tǒng)管理員有最高的訪問權(quán)限，避免過多地出現(xiàn)超級用戶。

3）對非共享軟件，將其執(zhí)行文件和覆蓋文件如*.com、*.exe、*.ovl等備份到文件服務(wù)器上，定期從服務(wù)器上拷貝到本地硬盤上進(jìn)行重寫操作。4）接收遠(yuǎn)程文件輸入時，一定不要將文件直接寫入本地硬盤，而應(yīng)將遠(yuǎn)程輸入文件寫到軟盤上，然后對其進(jìn)行查毒，確認(rèn)無毒后再拷貝到本地硬盤上。5）工作站采用防病毒芯片，這樣可防止引導(dǎo)型病毒。6）正確設(shè)置文件屬性，合理規(guī)范用戶的訪問權(quán)限。

7）建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測。

8）目前預(yù)防病毒最好的辦法就是在計算機(jī)中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優(yōu)秀的網(wǎng)絡(luò)防病毒軟件，如lanprotect和lanclearfornetware等。9）為解決網(wǎng)絡(luò)防病毒的要求，已出現(xiàn)了病毒防火墻，在局域網(wǎng)與internet，用戶與網(wǎng)絡(luò)之間進(jìn)行隔離。

返回本節(jié)8.5.3計算機(jī)感染病毒后的修復(fù)1．修復(fù)引導(dǎo)記錄病毒（1）修復(fù)感染的軟盤（2）修復(fù)感染的主引導(dǎo)記錄（3）利用反病毒軟件修復(fù)2．修復(fù)可執(zhí)行文件病毒即使有經(jīng)驗的用戶也會認(rèn)為修復(fù)文件病毒感染很困難。一般要先用殺病毒軟件殺毒，再用未感染的備份拷貝代替它，這是修復(fù)被感染程序文件的最有效途徑。如果得不到備份，反病毒程序一般使用它們的病毒掃描器組件檢測并修復(fù)感染的程序文件。如果文件被非覆蓋型病毒感染，那么這個程序很可能會被修復(fù)。返回本節(jié)8.6軟件防病毒技術(shù)8.6.1防、殺毒軟件的選擇8.6.2反病毒軟件8.6.3常用反病毒軟件產(chǎn)品返回本章首頁8.6.1防、殺毒軟件的選擇1．防、殺毒軟件的選購指標(biāo)

2．上網(wǎng)一族常用的防、殺毒軟件

3．著名殺毒軟件公司的站點地址

1．防、殺毒軟件的選購指標(biāo)（1）掃描速度

（2）識別率

（3）病毒清除測試

2．上網(wǎng)一族常用的防、殺毒軟件command'sf－prot專業(yè)版forwin95。nortonantivirusforwin95。nortonantivirusforwinnt。pc－cillinanti－virusforwin95。virusscanforwin95。webscanxforwin95或nt。esafeprotectforwin95等等。3．著名殺毒軟件公司的站點地址表8.1著名殺毒軟件公司的網(wǎng)址返回本節(jié)8.6.2反病毒軟件1．病毒掃描程序

2．內(nèi)存掃描程序

3．完整性檢查器

4．行為監(jiān)視器

1．病毒掃描程序（1）串掃描算法

（2）入口點掃描算法

（3）類屬解密法

2．內(nèi)存掃描程序內(nèi)存掃描程序采用與病毒掃描程序同樣的基本原理進(jìn)行工作。它的工作是掃描內(nèi)存以搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒。盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。因此內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。如果一個反病毒產(chǎn)品不使用內(nèi)存掃描，其病毒檢測技術(shù)是很不完善的，很可能漏查、漏殺某些病毒。3．完整性檢查器完整性檢查器的工作原理基于如下的假設(shè)：在正常的計算機(jī)操作期間，大多數(shù)程序文件和引導(dǎo)記錄不會改變。這樣，計算機(jī)在未感染狀態(tài)，取得每個可執(zhí)行文件和引導(dǎo)記錄的信息指紋，將這一信息存放在硬盤的數(shù)據(jù)庫中。

完整性檢查器是一種強(qiáng)有力的防病毒保護(hù)方式。因為幾乎所有的病毒都要修改可執(zhí)行文件引導(dǎo)記錄，包括新的未發(fā)現(xiàn)的病毒，所以它的檢測率幾乎百分之百。引起完整性檢查器失效的可能有：有些程序執(zhí)行時必須要修改它自己；對已經(jīng)被病毒感染的系統(tǒng)再使用這種方法時，可能遭到病毒的蒙騙等。4．行為監(jiān)視器行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監(jiān)視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續(xù)。返回本節(jié)8.6.3常用反病毒軟件產(chǎn)品

隨著世界范圍內(nèi)計算機(jī)病毒的大量流行，病毒編制花樣不斷變化，反病毒軟件也在經(jīng)受一次又一次考驗，各種反病毒產(chǎn)品也在不斷地推陳出新、更新?lián)Q代。這些產(chǎn)品的特點表現(xiàn)為技術(shù)領(lǐng)先、誤報率低、殺毒效果明顯、界面友好、良好的升級和售后服務(wù)技術(shù)支特、與各種軟硬件平臺兼容性好等方面。常用的反病毒軟件有kv3000、瑞星（2001版）等。返回本節(jié)8.7典型病毒實例——cih病毒介紹8.7.1

cih病毒簡介8.7.2恢復(fù)被cih病毒破壞的硬盤信息8.7.3

cih病毒的免疫返回本章首頁8.7.1

cih病毒簡介1．cih病毒分析cih病毒是迄今為止發(fā)現(xiàn)的最陰險、危害最大的病毒之一。它發(fā)作時不僅破壞硬盤的引導(dǎo)扇區(qū)和分區(qū)表，而且破壞計算機(jī)系統(tǒng)flashbios芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。2．cih病毒發(fā)作時的現(xiàn)象cih病毒發(fā)作時，將用凌亂的信息覆蓋硬盤主引導(dǎo)區(qū)和系統(tǒng)boot區(qū)，改寫硬盤數(shù)據(jù)，破壞flashbios，用隨機(jī)數(shù)填充flash內(nèi)存，導(dǎo)致機(jī)器無法運行。所以該病毒發(fā)作時僅會破壞可升級主板的flashbios。返回本節(jié)8.7.2恢復(fù)被cih病毒破壞的硬盤信息1．修復(fù)硬盤分區(qū)表信息

2．恢復(fù)c分區(qū)上的數(shù)據(jù)

3．查殺cih病毒后的遺留問題

1．修復(fù)硬盤分區(qū)表信息1）準(zhǔn)備一張無病毒的啟動盤，注意要根據(jù)原有操作系統(tǒng)及分區(qū)情況制作fat16或fat32的系統(tǒng)引導(dǎo)盤。2）把下載的vrvfix.exe文件拷入該引導(dǎo)盤，要確保還有足夠的剩余空間，并打開寫保護(hù)。3）用這張引導(dǎo)盤引導(dǎo)染毒的計算機(jī)（如果主板的bios已被cih病毒破壞，可把硬盤拆下，拿到別的計算機(jī)上進(jìn)行，也可先把主板bios修復(fù)好后再處理硬盤），運行vrvfix.exe，按enter開始計算分區(qū)信息并自動恢復(fù)，當(dāng)出現(xiàn)提示時，按enter，直到出現(xiàn)“makepartitiontableok”。4）至此，修復(fù)完成，用引導(dǎo)盤重新引導(dǎo)系統(tǒng)，除c盤以外的其他邏輯分區(qū)（d、e、f...）的數(shù)據(jù)已經(jīng)修復(fù)，但仍然無法訪問c分區(qū)。2．恢復(fù)c分區(qū)上的數(shù)據(jù)1）制作一張無病毒的引導(dǎo)盤，然后在config.sys文件中加入。2）把下載的tiramisu壓縮包里的所有文件解壓縮到引導(dǎo)盤上。3）用這張引導(dǎo)盤引導(dǎo)計算機(jī)，運行tiramisu.exe，在“file”菜單中選擇“startrecovery”菜單項，程序開始自動從c分區(qū)上尋找目錄結(jié)構(gòu)。4）c分區(qū)的目錄結(jié)構(gòu)搜索結(jié)束后，會顯示目錄搜索結(jié)果。5）tiramisu的工作原理是在內(nèi)存中重建一個目錄結(jié)構(gòu)映射表，讓用戶通過這個目錄結(jié)構(gòu)表把硬盤上的數(shù)據(jù)備份出來。3．查殺cih病毒后的遺留問題由于windows系統(tǒng)運行設(shè)置條件和被傳染的文件頭數(shù)據(jù)模塊的大小不一樣，被cih病毒感染后，小部分文件會產(chǎn)生各種各樣的不正常的特殊的傳染結(jié)果。有些殺毒軟件，只簡單地把文件中的cih病毒第一碎塊中的文件映像開始執(zhí)行指針參數(shù)恢復(fù)，或去掉病毒頭的少量字節(jié)，沒把病毒隱藏在文件體中的各個碎塊清理掉。但這樣簡單殺毒后，完整的或不完整的病毒體殘留在文件中，即留有病毒僵尸。

返回本節(jié)8.7.3

cih病毒的免疫此處的cih病毒疫苗ant-cihv1.00是cih作者所作，已經(jīng)在網(wǎng)上免費發(fā)放。網(wǎng)址是：/~qiu/chi/ant-cih.zip。cih病毒疫苗是免疫的疫苗不是解毒程序，所以安裝前，必須回到純dos狀態(tài)，然后用殺毒程序徹底把病毒殺干凈。再回到windows95/98，將cih.zip解壓縮后，釋放出三個文件，執(zhí)行其中的setup.exe即可進(jìn)行安裝，系統(tǒng)會自動重新啟動。安裝完畢后，可以將這三個疫苗文件刪除。返回本節(jié)thankyouverymuch！本章到此結(jié)束，謝謝您的光臨！返回本章首頁結(jié)束放映xltiqenbk8g5d2a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-w*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowlthqembj8g4d1a-w*t!qynvjsgpdlai6f3c0y)v&s#pxluirfnck9h5e2a+x(u$rzowkthqembj7g4d1z-w*t!qymvjsgodlai6f3b0y)v%s#pxluiqfnck8h5e2a+x*u$rznwkthpemaj7g4c1z-w&t!pymvjrgodl9i6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&t!pymujrgocl9i6e3b+y(v%r#oxltiqenbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfnck9h5e2b+x(u$rzowkthqembj7g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rznwkthpembj7g4c1z-w&t!qymvjrgodl9i6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$rznwkshpemaj7g4c1z)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrgocl9h6e3b+y(v%r#owltiqenbk8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g5d1a-w*t$qynvksgpdlai7f3c0z)v&s#pxmuirfock9h5e2b+x(u%rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck9h5e2a+x(u$rzowkthpembj7g4d1z-w&t!qymvjsgodl9i6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkshpemaj7g4c1z-w&t!pymvjrgodl9i6e3b0y(v%s#oxltiqfnbk8h5d2a-x*u$qznwkshpdi6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkthpemaj7g4c1z-w&t!pymvjrgodl9i6e3b0y(v%s#oxltiqfnbk8h5d2a-x*u$qznwkshpdmaj7f4c1z)w&s!pymujrgocl9i6e3b+y(v%r#oxltiqenbk8g5d2a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowlthqembj8g4d1a-w*t!qynvjsgpdlai6f3c0y)v&s#pxluirfnck9h5e2b+x(u$rzowkthqembj7g4d1z-w*t!qymvjsgodlai6f3b0y)v%s#pxluiqfnck8h5e2a+x*u$rznwkthpemaj7g4c1z-w&t!qymvjrgodl9i6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&t!pymujrgocl9i6e3b+y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfnck9h5e2b+x(u$rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rznwkthpembj7g4c1z-w&t!qymvjrgodl9i6f3b0y(v%s#oxluiqfnckd1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rznwkthpembj7g4c1z-w&t!qymvjsgodl9i6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkshpemaj7g4c1z)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8g5d2a-x*u$qznwkshpdmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#owltiqenbk8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-w*t$qynvksgpdlai7f3c0z)v&s#pxmuirfock9h5e2b+x(u%rzowkthqembj8g4d1a-w*t!qynvjsgpdlai6f3c0y)v&s#pxluirfnck9h5e2a+x(u$rzowkthpembj7g4d1z-w&t!qymvjsgodl9i6f3b0y)v%s#oxluiqfnck8h5e2a+x*u$rznwkthpemaj7g4c1z-w&t!pymvjrgodl9i6e3b0y(v%s#oxltiqfnbk8h5d2a-x*u$qznwkshpdmaj7f4c1z)w&t!pymujrgocl9i6e3b+y(v%r#oxltiqenbk8g5d2a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owltiqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowlthqembj8g0z)w&s!pxmujrfocl9h6e3b+y(u%r#owltiqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowlthqembj8g4d1a-w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfnck9h5e2b+x(u$rzowkthqembj7g4d1z-w*t!qymvjsgodlai6f3b0y)v%s#pxluiqfnck8h5e2a+x(u$rznwkthpembj7g4c1z-w&t!qymvjrgodl9i6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbk8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfock9h5e2b+x(u%rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirf8g4d1a-w*t$qynvksgpdlai7f3c0z)v&s#pxmuirfock9h5e2b+x(u%rzowkt