知識講解：計(jì)算機(jī)病毒的防治

計(jì)算機(jī)病毒的防治什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的特點(diǎn)及破壞行為宏病毒及網(wǎng)絡(luò)病毒病毒的預(yù)防、檢查和清除病毒防御解決方案1什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能傳播、感染到其他系統(tǒng)。它通常隱藏在其他看起來無害的程序中，能生成自身的復(fù)制并將其插入其他的程序中，執(zhí)行惡意的行動。計(jì)算機(jī)病毒可分為下列幾類：1）文件病毒：該病毒在操作系統(tǒng)招待文件時(shí)取得控制權(quán)并把自己依附在可執(zhí)行文件上，然后利用這些指令來調(diào)用附在文件中某處的病毒代碼。2）引導(dǎo)扇區(qū)病毒：它潛伏在軟盤的引導(dǎo)扇區(qū)，或在硬盤的引導(dǎo)扇區(qū)，或主引導(dǎo)記錄。3）多裂變病毒：4）秘密病毒；5）異形病毒；6）宏病毒。2

計(jì)算機(jī)病毒的傳播2.1計(jì)算機(jī)病毒的由來計(jì)算機(jī)病毒是由計(jì)算機(jī)黑客們編寫的，這些人想證明他們能編寫出不但可以干擾和摧毀計(jì)算機(jī)而且能將破壞傳播到其他系統(tǒng)的程序。2.2計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒通過某個(gè)入侵點(diǎn)進(jìn)入系統(tǒng)來感染系統(tǒng)。最明顯的也是最常見的入侵點(diǎn)是從工作站傳到工作站的軟盤。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點(diǎn)還包括服務(wù)器、E-mail附加部分、BBS上下載的文件、3W站點(diǎn)、FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版軟件、示范軟件、電腦實(shí)驗(yàn)和其他共享設(shè)備。病毒進(jìn)入系統(tǒng)后的傳播方式：1）通過磁盤的關(guān)鍵區(qū)域；2）在可執(zhí)行的文件中。2.3計(jì)算機(jī)病毒的工作方式病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。病毒所能表現(xiàn)出來的特性或功能有：1）感染引導(dǎo)扇區(qū)病毒：對軟盤和硬盤的引導(dǎo)扇區(qū)攻擊；文件型病毒：攻擊磁盤上的文件。有兩種類型：駐留型、非駐留型。2）變異（變異是病毒可以創(chuàng)建類似自己，但又不同于自身“品種”的一種技術(shù)，它使病毒掃描程序難以檢測。）3）觸發(fā)4）破壞（如：修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。）5）高級功能病毒（能逃避檢測，有的甚至被設(shè)計(jì)成能夠躲開病毒掃描軟件和反病毒軟件的程序。）3計(jì)算機(jī)病毒的特點(diǎn)及破壞行為3.1計(jì)算機(jī)病毒的特點(diǎn)1、刻意編寫人為破壞計(jì)算機(jī)病毒不是偶然自發(fā)產(chǎn)生的，而是人為編寫的有意破壞、嚴(yán)謹(jǐn)精巧的程序段，它是嚴(yán)格組織的程序代碼，與所在環(huán)境相互適應(yīng)并緊密配合。P1402、自我復(fù)制能力再生機(jī)制是判斷是不是計(jì)算機(jī)病毒的最重要依據(jù)。3、奪取系統(tǒng)控制權(quán)病毒將自身與系統(tǒng)軟件掛起鉤來，取得系統(tǒng)控制權(quán)，系統(tǒng)每執(zhí)行一次操作，病毒就有機(jī)會執(zhí)行它預(yù)先設(shè)計(jì)的操作，完成病毒代碼的傳播或進(jìn)行破壞活動。4、隱蔽性不經(jīng)過程序代碼或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序不易區(qū)別開。5、潛伏性大部分病毒在感染系統(tǒng)后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，除了傳染外，不表現(xiàn)出破壞性，只有在滿足其特定條件后才啟動其表現(xiàn)模塊，顯示發(fā)作信息或進(jìn)行系統(tǒng)破壞。6、不可預(yù)見性不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。3.2計(jì)算機(jī)病毒的破壞行為計(jì)算機(jī)病毒的破壞性表現(xiàn)為病毒的殺傷能力。根據(jù)有關(guān)病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下：1、攻擊系統(tǒng)數(shù)據(jù)區(qū)2、攻擊文件3、攻擊內(nèi)存4、干擾系統(tǒng)運(yùn)行5、干擾鍵盤6、攻擊CMOS7、干擾打印機(jī)8、網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)4

宏病毒及網(wǎng)絡(luò)病毒4.1宏病毒宏----就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動作而設(shè)計(jì)出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動作。1、宏病毒的行為和特征宏病毒----就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺式計(jì)算機(jī)病毒，可以在Windows9x、WindowsNT、OS/2和MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒。1）宏病毒行為機(jī)制2）宏病毒特征2、宏病毒的防治和清除方法1）使用選項(xiàng)“提示保存Normal”；2）通過Shift鍵來禁止運(yùn)行自動宏；3）查看宏代碼；4）使用DisableAutoMacros宏；5）使用Word97的報(bào)警設(shè)置；6）設(shè)置Normal.dot的只讀屬性；7）Normal.dot的保護(hù)。6.4.2網(wǎng)絡(luò)病毒1、網(wǎng)絡(luò)病毒的特點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要。2、病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)用戶在工作站上執(zhí)行一個(gè)帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其他可執(zhí)行文件。3、專攻網(wǎng)絡(luò)的GPI病毒GPI是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破Novell網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu)的病毒。它的威力在于“自上而下”的傳播。4、電子郵件病毒郵件系統(tǒng)使用不同的格式存儲文件和文檔，傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力。5病毒的預(yù)防、檢查和清除5.1

病毒的預(yù)防通過采取技術(shù)上和管理上的措施，計(jì)算機(jī)病毒是完全可以防范的。措施如下：（1）對新購置的計(jì)算機(jī)系統(tǒng)用檢測病毒軟件檢查已知病毒，用人工檢測方法檢查未知病毒，并經(jīng)過實(shí)驗(yàn)，證實(shí)沒有病毒傳染和破壞跡象再使用。（2）新購置的硬盤或出廠時(shí)已格式化好的軟盤可能有病毒。對硬盤可以進(jìn)行檢測或進(jìn)行低級格式化。5病毒的預(yù)防、檢查和清除5.1

病毒的預(yù)防（3）新購置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測。（4）在保證硬盤無病毒的情況下，盡量用硬盤引導(dǎo)啟動，不要用軟盤啟動。（5）很多計(jì)算機(jī)可以通過設(shè)置CMOS參數(shù)，直接從硬盤引導(dǎo)啟動，而根本不去讀A盤。另外，作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾點(diǎn)：1）當(dāng)出現(xiàn)病毒傳染跡象時(shí)，應(yīng)立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進(jìn)行處理。2）及時(shí)發(fā)現(xiàn)異常情況，可防止病毒傳染到整個(gè)磁盤和傳染到相鄰的計(jì)算機(jī)。5.2病毒的檢查計(jì)算機(jī)病毒要進(jìn)行傳染，必然會留下痕跡。檢測計(jì)算機(jī)病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明計(jì)算機(jī)病毒的存在。1、病毒的檢查方法1）比較法：用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。（優(yōu)點(diǎn)：簡單、方便、無需專用軟件。）2）利用病毒特征代碼串的搜索法：用每一種病毒體內(nèi)含有的特定字符串對被檢測的對象進(jìn)行掃描。3）計(jì)算機(jī)病毒特征字的識別法：只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來組成特征字庫，由于需要處理的字節(jié)很少，又不必進(jìn)行串匹配，大大加快了識別速度。4）分析法：運(yùn)用反匯編技術(shù)分析被檢測對象，確認(rèn)是否為病毒代碼。2、病毒掃描程序病毒掃描程序能在程序中尋找病毒特征。判別病毒掃描程序好壞的一個(gè)重要標(biāo)志就是“誤診”率一定要低。3、完整性檢查程序它通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。缺點(diǎn)：只有當(dāng)病毒正在工作并做些什么事情時(shí)，它才能起作用。4、行為封鎖軟件行為封鎖軟件的目的是防止病毒的破壞。這種軟件試圖在病毒馬上就要開始工作時(shí)阻止它。5.3計(jì)算機(jī)病毒的防治計(jì)算機(jī)病毒的防治，就是通過一定的方法，使計(jì)算機(jī)自身具有防御計(jì)算機(jī)病毒感染的能力。措施如下：1、建立程序的特征值檔案這是對付病毒的最有效方法。2、嚴(yán)格內(nèi)存管理3、中斷向量管理病毒駐留內(nèi)存時(shí)常會修改一些中斷向量，因此，中斷向量的檢查和恢復(fù)是必要的。5.4計(jì)算機(jī)感染病毒后的恢復(fù)1、防止和修復(fù)引導(dǎo)記錄病毒防止軟引導(dǎo)記錄、主引導(dǎo)記錄和分區(qū)引導(dǎo)記錄病毒的較好方法是改變計(jì)算機(jī)的磁盤引導(dǎo)順序，避免從軟盤引導(dǎo)。必須從軟盤引導(dǎo)時(shí)，應(yīng)該確認(rèn)該軟盤無毒。1）修復(fù)感染的軟盤；2）修復(fù)感染的主引導(dǎo)記錄；3）利用反病毒軟件修復(fù)。2、防止和修復(fù)可執(zhí)行文件病毒修復(fù)感染的程序文件最有效的途徑是用未感染的備份代替它。5.5計(jì)算機(jī)病毒的清除1、使用DOS命令處理病毒依附在可執(zhí)行文件上的病毒的一個(gè)辦法是將其從磁盤上刪除，然后復(fù)制一個(gè)“干凈”的文件到磁盤上。2、引導(dǎo)型病毒的處理一般清理辦法是用格式化磁盤的方法。3、宏病毒清除方法步驟：略4、殺毒程序它在處理病毒時(shí)，必須知道某種特別的病毒的信息，然后才能按需要對磁盤進(jìn)行殺毒。6病毒防御解決方案病毒檢測一直是病毒防護(hù)的支柱，但是，病毒檢測本身并不阻止病毒傳播，也不保護(hù)數(shù)據(jù)，使之不受破壞。常規(guī)反病毒技術(shù)把注意力集中在已經(jīng)感染了病毒的文件上，已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)時(shí)代的要求。因此，任何一種反病毒的解決方案都應(yīng)該具有穩(wěn)健的病毒檢測功能，又具有服務(wù)器/客戶機(jī)數(shù)據(jù)保護(hù)的能力，即具有覆蓋全網(wǎng)的多層次方法。6.1多層次病毒防御的意義6.2Intel多層次病毒防御方案IntelLANDdskVrusProtect是一個(gè)易于管理的多層次病毒防御解決方案，它把病毒的檢測、數(shù)據(jù)的保護(hù)及集中式的全域控制組織在一起，從而保證了病毒的有效防御。1、功能：1）后臺實(shí)時(shí)掃描；2）完整性保護(hù)；3）完整性檢驗(yàn)。2