計(jì)算機(jī)病毒的防治2

系統(tǒng)安全——計(jì)算機(jī)病毒防治2主講：劉亞琦《辦公自動化》計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：1、寄生性計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動這個(gè)程序之前，它是不易被人發(fā)覺的。2、傳染性

計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。3、潛伏性有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺察不出來，等到條件具備的時(shí)候一下子就爆炸開來，對系統(tǒng)進(jìn)行破壞。

12.5計(jì)算機(jī)病毒的特點(diǎn)4、隱蔽性計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時(shí)隱時(shí)現(xiàn)、變化無常，這類病毒處理起來通常很困難。5、破壞性凡是由軟件手段能觸及到計(jì)算機(jī)資源的地方均可能受到計(jì)算機(jī)病毒的破壞。其表現(xiàn)：占用CPU時(shí)間和內(nèi)存開銷,從而造成進(jìn)程堵塞；對數(shù)據(jù)或文件進(jìn)行破壞；打亂屏幕的顯示等。1、移動存儲設(shè)備：優(yōu)盤、移動硬盤等移動存儲設(shè)備的廣泛使用2、網(wǎng)絡(luò)：這種傳染擴(kuò)散極快,能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。12.6計(jì)算機(jī)的傳播途徑各種病毒中，最應(yīng)該引起我們注意的是惡意病毒，而目前有四大惡意病毒甚為猖獗，這些病毒的破壞性、傳染性、隱蔽性都很強(qiáng)，往往讓計(jì)算機(jī)用戶頭疼不已，有的用戶甚至在不知道自身計(jì)算機(jī)存在大量惡意病毒，而病毒已肆意發(fā)作、傳播，竊取用戶數(shù)據(jù)。1、宏病毒由于微軟的Office系列辦公軟件和Windows系統(tǒng)占了絕大多數(shù)的PC軟件市場，加上Windows和Office提供了宏病毒編制和運(yùn)行所必需的庫（以VB庫為主）支持和傳播機(jī)會，所以宏病毒是最容易編制和流傳的病毒之一，很有代表性。宏病毒發(fā)作方式：在Word打開病毒文檔時(shí)，宏會接管計(jì)算機(jī)，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲存它們的宏。這樣的結(jié)果是某些Word版本會強(qiáng)迫你將感染的文檔儲存在模板中。判斷是否被感染：宏病毒一般在發(fā)作的時(shí)候沒有特別的跡象，通常是會偽裝成其他的對話框讓你確認(rèn)。在感染了宏病毒的機(jī)器上，會出現(xiàn)不能打印文件、Office文檔無法保存或另存為等情況。宏病毒帶來的破壞：刪除硬盤上的文件；將私人文件復(fù)制到公開場合；從硬盤上發(fā)送文件到指定的E-mail、FTP地址。防范措施：平時(shí)最好不要幾個(gè)人共用一個(gè)Office程序，要加載實(shí)時(shí)的病毒防護(hù)功能。病毒的變種可以附帶在郵件的附件里，在用戶打開郵件或預(yù)覽郵件的時(shí)候執(zhí)行，應(yīng)該留意。一般的殺毒軟件都可以清除宏病毒。12.7四大惡意病毒2、CIH病毒CIH是本世紀(jì)最著名和最有破壞力的病毒之一，它是第一個(gè)能破壞硬件的病毒。發(fā)作破壞方式：主要是通過篡改主板BIOS里的數(shù)據(jù)，造成電腦開機(jī)就黑屏，從而讓用戶無法進(jìn)行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡(luò)上通過捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤上的文件及破壞硬盤的分區(qū)表。所以CIH發(fā)作以后，即使換了主板或其他電腦引導(dǎo)系統(tǒng)，如果沒有正確的分區(qū)表備份，染毒的硬盤上特別是其C分區(qū)的數(shù)據(jù)挽回的機(jī)會很少。防范措施：已經(jīng)有很多CIH免疫程序誕生了，包括病毒制作者本人寫的免疫程序。一般運(yùn)行了免疫程序就可以不怕CIH了。如果已經(jīng)中毒，但尚未發(fā)作，記得先備份硬盤分區(qū)表和引導(dǎo)區(qū)數(shù)據(jù)再進(jìn)行查殺，以免殺毒失敗造成硬盤無法自舉。3、蠕蟲病毒蠕蟲病毒以盡量多復(fù)制自身（像蟲子一樣大量繁殖）而得名，多感染電腦和占用系統(tǒng)、網(wǎng)絡(luò)資源，造成PC和服務(wù)器負(fù)荷過重而死機(jī)，并以使系統(tǒng)內(nèi)數(shù)據(jù)混亂為主要的破壞方式。它不一定馬上刪除你的數(shù)據(jù)讓你發(fā)現(xiàn)，比如著名的愛蟲病毒和尼姆達(dá)病毒。4、木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來害人。傳染方式：通過電子郵件附件發(fā)出；捆綁在其他的程序中。病毒特性：會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。木馬病毒的破壞性：木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行客戶端程序，一旦發(fā)作，就可設(shè)置后門，定時(shí)地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時(shí)內(nèi)置可進(jìn)入該用戶電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。病毒產(chǎn)業(yè)鏈?zhǔn)且粭l在病毒背后形成的非常完善的流水作業(yè)程序，制造、販賣、交易、傳播、使用“一條龍”，環(huán)環(huán)相扣，最終禍害網(wǎng)絡(luò)用戶，牟取經(jīng)濟(jì)利益。這一巨大的灰色產(chǎn)業(yè)鏈，發(fā)展迅速，百億暴利，受威脅的用戶增長也非常驚人，國內(nèi)的管理部門針對病毒產(chǎn)業(yè)的危害后果將采取一系列的整治及補(bǔ)救措施，加大打擊力度，嚴(yán)懲網(wǎng)絡(luò)犯罪。病毒產(chǎn)業(yè)鏈:制造、販賣、交易、傳播、使用“一條龍”，環(huán)環(huán)相扣，最終禍害網(wǎng)絡(luò)用戶，牟取經(jīng)濟(jì)利益?！靶茇垷恪卑甘堑湫偷牟《井a(chǎn)業(yè)鏈.據(jù)警方介紹，在“熊貓燒香”案中，產(chǎn)業(yè)鏈的每一環(huán)都有不同的牟利方式。病毒制造者有兩種方式，一是“賣病毒”，按購買者的要求在病毒程序中填上“指定網(wǎng)址”后把病毒出售；二是“賣肉機(jī)”，因中毒而被病毒制造者控制的計(jì)算機(jī)被稱為“肉機(jī)”，“肉機(jī)”的資料信息隨時(shí)可被竊取，“賣肉機(jī)”就是轉(zhuǎn)讓控制權(quán)。病毒購買者的牟利方式主要是“賣流量”，由于病毒程序中預(yù)設(shè)了“指定網(wǎng)址”，而這個(gè)“指定網(wǎng)址”設(shè)置了木馬程序，中毒的計(jì)算機(jī)只要一上網(wǎng)，就會被強(qiáng)制性地牽到這個(gè)“指定網(wǎng)址”上，自動下載木馬程序，將這臺計(jì)算機(jī)的相關(guān)信息資料傳給購買者，這些信息資料被稱為“信”，病毒購買者往往會將某一“指定網(wǎng)址”的“獲信權(quán)”出售，根據(jù)訪問流量收取費(fèi)用。12.6病毒產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié)的具體分工制造病毒在木馬王國里處于產(chǎn)業(yè)鏈的最高端，被稱之為“造槍的”，大多是程序員或者工作室，他們出于不同目的走到一起，針對不同的盜號目標(biāo)開發(fā)不同版本的“木馬”。出售病毒負(fù)責(zé)“木馬”銷售的則被稱之為“賣槍的”，他們負(fù)責(zé)通過自建網(wǎng)站，向有意通過購買“木馬”而實(shí)施網(wǎng)絡(luò)盜竊的不法分子進(jìn)行銷售，完成資金回流。購買病毒購買木馬的盜竊實(shí)施者。掛馬被雇傭散工將木馬通過各種方式盡可能多地傳播出去。分銷把包含信息的郵件打包轉(zhuǎn)賣給“大買家”，或自行雇人洗劫。變現(xiàn)從賬號里盜竊出來的虛擬物品被兌換成游戲虛擬物品，并轉(zhuǎn)移到某個(gè)倉庫賬號，在虛擬交易平臺上完成銷贓，最終變成人民幣。計(jì)算機(jī)病毒的發(fā)展是與計(jì)算機(jī)病毒對抗技術(shù)緊密聯(lián)系的。病毒對抗也叫做反病毒或殺毒。其主要工作就是分析病毒特征，尋找有效的方法在被感染的計(jì)算機(jī)上刪除病毒程序，組織病毒進(jìn)一步傳播。普通用戶反病毒工作主要是使用計(jì)算機(jī)殺毒軟件進(jìn)行病毒攔截、掃描和處置。1、殺毒原理殺毒軟件的任務(wù)是實(shí)時(shí)監(jiān)控和掃描磁盤。病毒會有一組代碼在寄生文件時(shí)是固定的，叫特征碼。殺毒軟件駐留內(nèi)存，假如發(fā)現(xiàn)特征碼即確定為病毒，所以計(jì)算機(jī)病毒制造者就要不斷地變換代碼以防止自身被查殺，這也就是說沒有一個(gè)病毒是可以永久不被查殺或者被有效制止的，一個(gè)病毒的消亡只是一個(gè)時(shí)間問題。反病毒工作者的任務(wù)也就是要在最短的時(shí)間內(nèi)分析出病毒特征，并找到有效地處置辦法。12.7病毒對抗2、殺毒軟件常見殺毒技術(shù)（1）實(shí)時(shí)監(jiān)控技術(shù)殺毒軟件的實(shí)時(shí)監(jiān)控方式因軟件而異。有的殺毒軟件，是通過在內(nèi)存里劃分一部分空間，將電腦里流過內(nèi)存的數(shù)據(jù)與殺毒軟件自身所帶的病毒庫（包含病毒定義）的特征碼相比較，以判斷是否為病毒。另一些殺毒軟件則在所劃分到的內(nèi)存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結(jié)果作出判斷。而掃描磁盤的方式，則和上面提到的實(shí)時(shí)監(jiān)控的第一種工作方式一樣，只是在這里，殺毒軟件將會將磁盤上所有的文件（或者用戶自定義的掃描范圍內(nèi)的文件）做一次檢查。（2）主動防御技術(shù)主動防御是一種阻止惡意程序執(zhí)行的技術(shù)，提供了更開放的高級用戶自定義規(guī)則功能，用戶可以根據(jù)自己系統(tǒng)的特殊情況，制定獨(dú)特的防御規(guī)則，使主動防御可以最大限度的保護(hù)系統(tǒng)。（3）云查殺隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的不斷發(fā)展，計(jì)算機(jī)病毒越來越復(fù)雜，常見到殺毒軟件不能立即處理新型病毒或者未知病毒，而就是這個(gè)空缺期，病毒往往會對用戶的數(shù)據(jù)安全造成極大的影響。為了解決這個(gè)辦法，研究人員發(fā)明了“云查殺”技術(shù)，也就是互聯(lián)網(wǎng)查殺病毒。其原理是將病毒樣本放入服務(wù)器，通過殺毒軟件公司的服務(wù)器智能檢測，自動判斷文件是否