第7章計算機病毒及防范

第7章網(wǎng)絡(luò)病毒防范與清殺7.1計算機病毒基礎(chǔ)知識7.2網(wǎng)絡(luò)病毒的防范和清殺7.3典型網(wǎng)絡(luò)病毒介紹7.4常用殺毒軟件介紹7.1計算機病毒基礎(chǔ)知識7.1.1計算機病毒定義7.1.2計算機病毒的發(fā)展歷史7.1.3計算機病毒的特點7.1.4計算機病毒的種類7.1.5計算機病毒的工作原理7.1.6計算機病毒的檢測、防范和清殺7.1.1計算機病毒定義計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用，并能夠自我復(fù)制的一組計算機指令或者程序代碼”。此定義具有法律性、權(quán)威性。7.1.2計算機病毒的發(fā)展歷史

早在1949年，計算機先驅(qū)者馮.諾依曼就在他的論文《復(fù)雜計算機組織論》中，提出了計算機程序能夠在內(nèi)存中自我復(fù)制，勾勒出了病毒程序的藍(lán)圖。1983年11月3日，弗雷德.科恩博士研制出了一種在運行過程中可以自我復(fù)制壞性程序，倫.艾德勒曼將它名命為計算機病毒，在VAX11/750計算機系統(tǒng)上運行，第一個病毒實驗成功，從而在實驗上驗證了計算機病毒的存在。1985年初，在巴基斯坦的拉合爾，巴喜特和阿姆杰得兩兄弟為了防盜版，編寫了“巴基斯坦智囊”（PaKistanBrain）病毒，該病毒傳染軟盤引導(dǎo)，一年后病毒以強勁勢頭流傳到了全世界。這是最早在世界上流行的一個真正的病毒。幾乎同時，世界上各地的計算機用戶也發(fā)現(xiàn)了形形色色的計算機病毒，如黑色星期五、大麻等。。

7.1.3計算機病毒的特點在計算機病毒所具有的特征中,傳染性、潛伏性、觸發(fā)性和破壞性是它的基本特征。其次，它還有隱蔽性、針對性、衍生性和不可預(yù)見性等。1．傳染性病毒的傳染性也稱為自我復(fù)制和可傳播性，這是計算機病毒的本質(zhì)特征，在一定條件下，病毒通過某種渠道從一個文件或一臺計算機傳染到另外沒有被感染的文件或計算機，輕則造成被感染的計算機數(shù)據(jù)或工作失常；重則便計算機癱瘓。。2．潛伏性具有依附于其他媒體寄生的能力。一個編制巧妙的病毒程序，可以在幾周或幾個月內(nèi)進(jìn)行傳播和再生而不被發(fā)覺。3．觸發(fā)性觸發(fā)性是指計算機病毒的發(fā)作一般都有一個激發(fā)條件，即一個條件控制。4．破壞性任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機工作效率，占用系統(tǒng)資源，重者可致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。5．隱蔽性病毒一般是指編寫巧妙、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。6．針對性計算機病毒是針對特定的計算機和特定的操作系統(tǒng)的。例如，有針對IBM/PC機及其兼容機的，有針對Apple公司的Macintosh的，還有針對UNIX操作系統(tǒng)的。如小球病毒是針對IBMPC機及其兼容機上的ＤＯＳ操作系統(tǒng)的。7．衍生性這種特性為病毒制造者提供了一種創(chuàng)造新病毒的捷徑。分析計算機病毒的結(jié)構(gòu)可知，傳染的破壞部分反映了設(shè)計者的設(shè)計思想和設(shè)計目的，但是，這可以被其他掌握原理的人以其個人的企圖進(jìn)行任意改動，從而以衍生出一種不同于原版本的新的計算機病毒（又稱為變種）。這就是它的衍生性。8．不可預(yù)見性不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。7.1.4計算機病毒的種類

按照基本類型劃分，可歸納為6種類型，引導(dǎo)型病毒、可執(zhí)行病毒、宏病毒、混合型病毒、特洛伊木馬病毒和Web網(wǎng)頁病毒。1．引導(dǎo)型病毒主要是感染軟盤、硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)扇區(qū)，在用戶對軟盤、硬盤進(jìn)行讀寫操作時進(jìn)行感染活動。。2．可執(zhí)行文件病毒它主要是感染可執(zhí)行文件（對于DOS或Windows來說是感染.COM和.EXE等可執(zhí)行文件）。3．宏病毒它是利用高級語言——宏語言編制的病毒。宏病毒僅向WORD、EXCEL、ACCESS、POWERPOINET和PROJECT等辦公自動化程序編制的文檔進(jìn)行傳染，而不會傳染給可執(zhí)行文件。4．混合型病毒顧名思義，是以上幾種病毒的混合?；旌闲筒《镜哪康氖菫榱司C合利用以上3種病毒的傳染渠道進(jìn)行破壞。國內(nèi)流行的混合型病毒有：One_half、Casper、Natas、Flip。5．特洛伊木馬型病毒也叫黑客程序或后門病毒。一般這種病毒分成服務(wù)器端和客戶端兩部分，如計算機網(wǎng)絡(luò)中服務(wù)器端被此程序感染，別人可通過網(wǎng)絡(luò)中其他計算機任意控制此計算機，并獲得重要文件。國內(nèi)流行的此類病毒有BO、NETSPY等。6．Web網(wǎng)頁病毒7.1.5計算機病毒的工作原理1．計算機病毒的工作過程計算機病毒的完整工作過程一般應(yīng)包括以下幾個環(huán)節(jié)1）傳染源2）傳染媒介3）病毒激活4）病毒表現(xiàn)5）傳染2．計算機病毒的引導(dǎo)機制（1）計算機病毒的寄生對象計算機病毒存儲在磁盤上，為了進(jìn)行自身的主動傳播，必須寄生在可以獲得執(zhí)行權(quán)的寄生對象上。（2）計算機病毒的寄生方式計算機病毒的寄生方式有兩種，一種是采用替代法；另一種是采用鏈接法，所謂替代法是指病毒程序用自己的部分或全部指令代碼，替代磁盤引導(dǎo)扇區(qū)或文件中的全部或部分內(nèi)容。所謂鏈接法則是指病毒程序?qū)⒆陨泶a作為正常程序的一部分與原有正常程序鏈接在一起。(3)駐留內(nèi)存計算機病毒若要發(fā)揮破壞作用,要開辟所用內(nèi)存空間或覆蓋系統(tǒng)占用的部分內(nèi)存空間以便駐留內(nèi)存。3．計算機病毒的觸發(fā)機制目前病毒采用的觸發(fā)條件主要有以下幾種：1）時間觸發(fā)：時間觸發(fā)包括特定的時間觸發(fā)、染毒后累計工作時間觸發(fā)、文件最后寫入時間觸發(fā)等。2）鍵盤觸發(fā)：有些病毒監(jiān)視用戶的擊鍵動作，當(dāng)發(fā)現(xiàn)病毒預(yù)定的鍵入時，病毒被激活，進(jìn)行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動觸發(fā)等。3）日期觸發(fā)：許多病毒采用日期做觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、前半年后半年觸發(fā)等。4）啟動觸發(fā)：病毒對機器的啟動次數(shù)計數(shù)，并將此值作為觸發(fā)條件稱為啟動觸發(fā)。5）訪問磁盤次數(shù)觸發(fā)：病毒對磁盤I/O訪問的次數(shù)進(jìn)行計數(shù)，以預(yù)定次數(shù)做觸發(fā)條件叫訪問磁盤次數(shù)觸發(fā)。6）調(diào)用中斷功能觸發(fā)：病毒對中斷調(diào)用次數(shù)計數(shù)，以預(yù)定次數(shù)做觸發(fā)條件。4．計算機病毒的破壞行為把病毒的破壞目標(biāo)和攻擊部位歸納如下：1）攻擊系統(tǒng)數(shù)據(jù)區(qū)2）攻擊文件3）攻擊內(nèi)存4）干擾系統(tǒng)運行5）運行速度下降6）攻擊磁盤7）攻擊CMOS5．計算機病毒的傳播（1）計算機病毒傳播的一般過程在系統(tǒng)運行時，計算機病毒通過病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行，當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件時，便從內(nèi)存中將自身存入被攻擊的目標(biāo)，從而將病毒進(jìn)行傳播。（2）計算機病毒的傳播途徑從計算機病毒的傳播機制分析可知，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計算機病毒傳播途徑?，F(xiàn)在通過Internet傳播計算機病毒與過去手工傳播計算機病毒的方式相比速度要快得7.1.6計算機病毒的檢測、防范和清殺1．計算機病毒的檢測判斷自己的計算機中是否染有病毒，最簡單的方法是用較新的防病毒軟件對磁盤進(jìn)行全面的檢測。無論什么病毒，在其侵入系統(tǒng)后總會留下一些“蛛絲馬跡”。如何能夠及早地發(fā)現(xiàn)新病毒呢?常用的檢測病毒方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法，這些方法依據(jù)的原理不同，實現(xiàn)時所需開銷不同，檢測范圍不同，各有所長。2．計算機病毒的防范防范是對付計算機病毒的積極而又有效的措施，比等待計算機病毒出現(xiàn)之后再去掃描和清除能更有效地保護計算機系統(tǒng)。要做好計算機病毒的防范工作，首先是防范體系和制度的建立。其次，利用反病毒軟件及時發(fā)現(xiàn)計算機病毒侵入，對它進(jìn)行監(jiān)視、跟蹤等操作，并采取有效的手段阻止它的傳播和破壞。7.2網(wǎng)絡(luò)病毒的防范和清殺

按照計算機病毒的傳播媒介來分類，可分為單機病毒和網(wǎng)絡(luò)病毒。單機病毒就是以前的DOS病毒、Windows病毒和能在多操作系統(tǒng)下運行的宏病毒。單機病毒的載體是磁盤，常見的是病毒從軟盤傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤，軟盤又傳染其他系統(tǒng)。網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，它的傳播媒介不再是移動式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強，破壞力更大1．網(wǎng)絡(luò)病毒的防范措施1）不使用或下載來源不明的軟件。2）不輕易上一些不正規(guī)的網(wǎng)站。3）提防電子郵件病毒的傳播。一些郵件病毒會利用ActiveX控件技術(shù)，當(dāng)以HTML方式打開郵件時，病毒可能就會被激活。4）經(jīng)常關(guān)注一些網(wǎng)站、BBS發(fā)布的病毒報告，這樣可以在未感染病毒時做到預(yù)先防范。5）及時更新操作系統(tǒng)，為系統(tǒng)漏洞打上補丁。6）對于重要文件、數(shù)據(jù)做到定期備份。2．網(wǎng)絡(luò)病毒的清殺一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)病毒,應(yīng)設(shè)法立即清除,其操作步驟如下。1）立即通知所有用戶下網(wǎng)，關(guān)閉文件服務(wù)器。2）用帶有寫保護的、干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機病毒。3）用帶有寫保護的、干凈的系統(tǒng)盤動文件服務(wù)器。系統(tǒng)管理員登錄并下命令禁止其他用戶登錄。4）將文件服務(wù)器硬盤中的重要資料備份。5）用殺毒軟件掃描服務(wù)器上所有的文件，恢復(fù)或刪除被病毒感染的文件，重新安裝被刪除的文件。6）用殺毒軟件掃描并清除所有可能染上病毒的軟盤或備份文件中的病毒。7）用殺毒軟件掃描并清除所有的有盤工作站硬盤上的病毒。8）在確信病毒已經(jīng)徹底清除后，重新啟動網(wǎng)絡(luò)和工作站。7.3典型網(wǎng)絡(luò)病毒介紹7.3.1宏病毒7.3.2電子郵件病毒7.3.3網(wǎng)絡(luò)病毒實例

返回本章首頁

7.3.1宏病毒1．宏病毒的定義所謂宏,就是軟件設(shè)計者為了在使用軟件工作時,避免一再地重復(fù)相同的動作而設(shè)計出來的一種工具?！昂瓴《尽本褪抢密浖С值暮昝罹帉懙木哂袕?fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒，可以在Windows9X、WindowsNT、OS/2和MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒行為。2．宏病毒的特征1）宏病毒會感染.doc文檔.dot模板文件。2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒，病毒宏將自身復(fù)制到Word通用（Normal）模板中，以后在打開或關(guān)閉文件時宏病毒就會把病毒復(fù)制到該文件中。3）多數(shù)宏病毒包含AutoOpen、AutlClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。4）宏病毒中總是含有對文檔讀/寫操作的宏命令。5）Word宏病毒在發(fā)作時，會使Word運行出現(xiàn)怪現(xiàn)象，如自動建文件、開窗口、內(nèi)存總是不夠、關(guān)閉Word并不對已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機無法正常打印。3．宏病毒的防范和清除宏病毒的防治和清除方法：1）使用選項“提示保存Normal模板”。2）不要通過Shift鍵來禁止運行自動宏。3）查看宏代碼并刪除。4）使用DisableAutoMacros宏5）使用Word97的報警設(shè)置。6）設(shè)置Normal.dot

的只讀屬性。7）Normal.dot的密碼保護。

7.3.2電子郵件病毒所謂電子郵件病毒就是以電子郵件作為傳播途徑的計算機病毒，實際上該類病毒和普通的病毒一樣，只不過是傳播方式改變而已。該類計算機病毒的特點包括以下幾方面。1）電子郵件本身是無毒的，但它的內(nèi)容中可以有UNIX下的特殊的換碼序列，就是通常所說的ANSI字符，當(dāng)用UNIX智能終端上網(wǎng)查看電子郵件時，有被侵入的可能。2）電子郵件可以夾帶任何類型的文件作為附件(Attachment)，附件文件可能帶有病毒。3）可利用某些電子郵件收發(fā)器特有的擴充功能。4）可利用某些操作系統(tǒng)所特有的功能來進(jìn)行破壞。5）超大的電子郵件或電子郵件炸彈也可以被認(rèn)為是一種電子郵件計算機病毒，它能夠以下是一些常用的預(yù)防電子郵件計算機病毒的方法。1）不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序。2）不要輕易打開附件中的文檔文件。

3）不要直接打開文件擴展名很怪的附件，或者是帶有腳本文件如·.VBS、*.SHS等的附件，4）如果使用Outlook作為收發(fā)電子郵件的軟件，應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。5）如果使用OutlookExpress作為收發(fā)電子郵件的軟件，也應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。這樣可以防止有些電子郵件計算機病毒利用OutlookExpress的缺省設(shè)置自動運行，破壞系統(tǒng)。6）對于使用Windows98操作系統(tǒng)的計算機，7）對于自己往外傳送的附件，也一定要仔細(xì)檢查，確定無毒后，才可發(fā)送。7.3.3網(wǎng)絡(luò)病毒實例1．電子郵件炸彈電子郵件炸彈是指發(fā)件者以不明來歷的電子郵件地址，不斷重復(fù)將電子郵件寄于同一個人。由于情況就像是戰(zhàn)爭時利用某種戰(zhàn)爭工具對同一個地方進(jìn)行大轟炸，因此稱為電子郵件炸彈。電子郵件炸彈之所以可怕，是因為它可以大量消耗網(wǎng)絡(luò)資源。比較有效的防御方式是，用戶可以在電子郵件中安裝一個過濾器，在接收任何電子郵件之前預(yù)先檢查發(fā)件人的資料，如果覺得有可疑之處，可以將它刪除，不讓它進(jìn)入你的電子郵箱。2．惡意網(wǎng)頁（1）惡意網(wǎng)頁的原理對于惡意網(wǎng)頁，常常采取Vbscript和JavaScript編程的形式，由于編程方式十分簡單，所以在網(wǎng)上非常流行。（2）惡意網(wǎng)頁的預(yù)防１）禁用WindowsScriptingHost。

2）不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼。

3）不隨意查看陌生郵件，尤其是帶有附件的郵件。

4）安裝防病毒產(chǎn)品并保證更新最新的病毒特征碼。7.4常用殺毒軟件介紹7.4.1瑞星殺毒軟件7.4.2金山殺毒軟件7.4.3KV2006返回本章首頁7.4.1瑞星殺毒軟件7.4.1瑞星殺毒軟件瑞星殺毒軟件2006版，是北京瑞星科技股份有限公司采用最新技術(shù)開發(fā)的新一代信息安全產(chǎn)品。使用第七代極速引擎，查殺毒速度提升30%，對各種網(wǎng)絡(luò)病毒、木馬、黑客攻擊具有全面查殺和主動防御能力，能夠快速殺滅已知病毒、未知病毒、黑客木馬、惡意網(wǎng)頁、間諜軟件等各種有害程序。同時提供漏洞掃描、系統(tǒng)修復(fù)、垃圾郵件過濾、硬盤備份、個人防火墻、木馬墻、上網(wǎng)安全助手等各種功能，配合實時在線升級和在線專家門診，是互聯(lián)網(wǎng)時代抵御各種網(wǎng)絡(luò)威脅的必備工具軟件。返回本節(jié)目錄7.4.2金山殺毒軟件金山公司是國內(nèi)著名的軟件公司，其開發(fā)的金山毒霸對查毒速度做了優(yōu)化，可以快速、徹底的查殺