計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)第9章-計(jì)算機(jī)病毒與防御課件

1、第9章 計(jì)算機(jī)病毒與防御 本章要求掌握計(jì)算機(jī)病毒的概念義了解計(jì)算機(jī)病毒的發(fā)展史與危害熟悉計(jì)算機(jī)病毒的主要特性掌握計(jì)算機(jī)病毒的分類、查殺與防范方法。本章主要內(nèi)容9.1 計(jì)算機(jī)病毒的概念9.2 計(jì)算機(jī)病毒的種類9.3 計(jì)算機(jī)病毒的查殺與防范方法9.1.1 計(jì)算機(jī)病毒的定義9.1.2 計(jì)算機(jī)病毒的發(fā)展史9.1.3 計(jì)算機(jī)病毒的危害 9.1.4 計(jì)算機(jī)病毒的主要特性 9.1.1 計(jì)算機(jī)病毒的定義在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義，計(jì)算機(jī)病毒是“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。從廣義上講，一些惡意

2、程序雖然不能自我復(fù)制，但會(huì)對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生破壞或嚴(yán)重?fù)p害計(jì)算機(jī)使用者的利益，這些程序往往也被歸類為計(jì)算機(jī)病毒，如木馬程序等。9.1.2 計(jì)算機(jī)病毒的發(fā)展史最早提出電腦病毒概念的是電腦的先驅(qū)者馮諾伊曼。在他的一篇論文復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行里，勾勒出病毒程序自我繁殖的基本原理。不過(guò)在當(dāng)時(shí)，絕大部分的電腦專家都無(wú)法想像會(huì)有這種能自我繁殖的程序。 第一次驗(yàn)證了計(jì)算機(jī)病毒存在的可能性是在1983年11月，美國(guó)電腦專家弗雷德科恩博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，并將它命名為計(jì)算機(jī)病毒，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，之后專家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)

3、病毒實(shí)驗(yàn)成功。但這個(gè)病毒程序僅存在于實(shí)驗(yàn)室，證明計(jì)算機(jī)病毒是可以被制造出來(lái)的，但其并沒(méi)有對(duì)外擴(kuò)散。第一個(gè)真正的電腦病毒誕生于1987年。這個(gè)病毒程序是由一對(duì)巴基斯坦兄弟：巴斯特和阿姆捷特所寫(xiě)。此兄弟二人在當(dāng)?shù)亟?jīng)營(yíng)一家個(gè)人電腦的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣盛行，他們?yōu)榱朔乐顾麄兊能浖蝗我獗I拷，編寫(xiě)出一個(gè)特殊的程序，只要有人盜拷他們的軟件，這個(gè)程序就會(huì)發(fā)作，將盜拷者的硬盤(pán)剩余空間給吃掉。這個(gè)程序命名為Pakistani Brain(巴基斯坦大腦)，被公認(rèn)為是世界上第一個(gè)計(jì)算機(jī)病毒，這個(gè)病毒在其后的一年時(shí)間里擴(kuò)散到世界各地。 第一代病毒 第一代病毒的產(chǎn)生年代通常認(rèn)為在1986-1989年之間，這一

4、期間出現(xiàn)的病毒稱之為傳統(tǒng)病毒，是計(jì)算機(jī)病毒的萌芽和滋生時(shí)期。 這一階段的計(jì)算機(jī)病毒具有如下的一些特點(diǎn)：（1）病毒攻擊的目標(biāo)比較單一，有些傳染磁盤(pán)引導(dǎo)扇區(qū)，有些傳染可執(zhí)行文件。（2）病毒程序主要采取截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對(duì)目標(biāo)進(jìn)行傳染。（3）病毒傳染目標(biāo)以后的特征比較明顯，如磁盤(pán)上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長(zhǎng)度增加、文件建立的日期和時(shí)間發(fā)生變化等等。這些特征容易被人工或查毒軟件所發(fā)現(xiàn)。（4）病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的消毒軟件。 第二代病毒 第二代病毒又稱為混合型病毒，其產(chǎn)生的年代在1989-1991年之間，它是

5、計(jì)算機(jī)病毒由簡(jiǎn)單發(fā)展到復(fù)雜，由單純走向成熟的階段。 （1）病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染磁盤(pán)引導(dǎo)扇區(qū)，又可能傳染可執(zhí)行文件。（2）病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，而采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)。（3）病毒傳染目標(biāo)后沒(méi)有明顯的特征，如磁盤(pán)上不出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長(zhǎng)度增加不明顯，不改變被傳染文件原來(lái)的建立日期和時(shí)間等等。（4）病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反跟蹤技術(shù)，制造各種障礙，增加人們解剖、分析病毒的難度，也增加了病毒的發(fā)現(xiàn)與殺除難度。（5）出現(xiàn)許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。第三代病毒 第三代病毒的

6、產(chǎn)生是從1992年開(kāi)始至1995年，此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒。所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標(biāo)時(shí)，侵入宿主程序中的病毒程序大部分都是可變的，即在搜集到同一種病毒的多個(gè)樣本中，病毒程序的代碼絕大多數(shù)是不同的，這是此類病毒的重要特點(diǎn)。第四代病毒90年代中后期，隨著因特網(wǎng)、遠(yuǎn)程訪問(wèn)服務(wù)的開(kāi)通，病毒流行面更加廣泛，病毒的流行迅速突破地域的限制， 首先通過(guò)廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。隨著因特網(wǎng)的普及，電子郵件的使用，以及Office系列辦公軟件被廣泛應(yīng)用，夾雜于電子郵件內(nèi)的Office宏病毒成為當(dāng)時(shí)病毒的主流。由于宏病毒編寫(xiě)簡(jiǎn)單、破壞性強(qiáng)、

7、清除繁雜，加上微軟對(duì)文檔結(jié)構(gòu)沒(méi)有公開(kāi)，給直接基于文檔結(jié)構(gòu)清除宏病毒帶來(lái)了諸多不便。這一時(shí)期的病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑，傳播對(duì)象從傳統(tǒng)的引導(dǎo)型和依附于可執(zhí)行程序文件而轉(zhuǎn)向流通性更強(qiáng)的文檔文件中。因而，病毒傳播快、隱蔽性強(qiáng)、破壞性大。這些都給病毒防治帶來(lái)新的挑戰(zhàn)。 新一代病毒人類歷史進(jìn)入二十一世紀(jì)以來(lái)，互聯(lián)網(wǎng)滲入每一戶人家，網(wǎng)絡(luò)成為人們?nèi)粘Ｉ詈凸ぷ鞯牟豢扇鄙俚囊徊糠?。一個(gè)曾經(jīng)未被人們重視的病毒種類遇到適合的滋生環(huán)境而迅速蔓延，這就是蠕蟲(chóng)病毒。蠕蟲(chóng)病毒是一種利用網(wǎng)絡(luò)服務(wù)漏洞而主動(dòng)攻擊的計(jì)算機(jī)病毒類型。與傳統(tǒng)病毒不同，蠕蟲(chóng)不依附在其它文件或媒介上，而是獨(dú)立存在的病毒程序

8、，利用系統(tǒng)的漏洞通過(guò)網(wǎng)絡(luò)主動(dòng)傳播，可在瞬間傳遍全世界。蠕蟲(chóng)已成為目前病毒的主流。 9.1.3 計(jì)算機(jī)病毒的危害 美國(guó)Techweb網(wǎng)站評(píng)出了20年來(lái)，破壞力最大的10種計(jì)算機(jī)病毒，可以看到這些病毒給人類社會(huì)的發(fā)展帶來(lái)巨大的經(jīng)濟(jì)損失：CIH (1998年) 該計(jì)算機(jī)病毒存在于Windows 95 / 98以EXE為后綴的可行性文件中。它不但會(huì)破壞計(jì)算機(jī)硬盤(pán)中的信息，而且還會(huì)破壞BIOS，使系統(tǒng)無(wú)法啟動(dòng)，從而很難殺除。由于染毒的BIOS無(wú)法啟動(dòng)系統(tǒng)，故障現(xiàn)象與主板硬件損壞一樣，所以CIH病毒被認(rèn)為是第一個(gè)破壞計(jì)算機(jī)硬件系統(tǒng)的病毒。 CIH可利用所有可能的途徑進(jìn)行傳播：軟盤(pán)、CD-ROM、Inter

9、net、FTP下載、電子郵件等。被公認(rèn)為是有史以來(lái)最危險(xiǎn)、破壞力最強(qiáng)的計(jì)算機(jī)病毒之一。1998年6月爆發(fā)于中國(guó)臺(tái)灣，在全球范圍內(nèi)造成了2000萬(wàn)-8000萬(wàn)美元的損失。 梅利莎（Melissa,1999年） 這個(gè)病毒專門(mén)針對(duì)微軟的電子郵件服務(wù)器和電子郵件收發(fā)軟件，它隱藏在一個(gè)Word97格式的文件里，以附件的方式通過(guò)電子郵件傳播，善于侵襲裝有Word97或Word2000的計(jì)算機(jī)。它可以攻擊Word97的注冊(cè)器并修改其預(yù)防宏病毒的安全設(shè)置，使它感染的文件所具有的宏病毒預(yù)警功能喪失作用。 在發(fā)現(xiàn)Melissa病毒后短短的數(shù)小時(shí)內(nèi)，該病毒即通過(guò)因特網(wǎng)在全球傳染數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)和數(shù)萬(wàn)臺(tái)服務(wù)器，因特網(wǎng)在

10、許多地方癱瘓。1999年3月26日爆發(fā)，感染了15%-20%的商業(yè)PC，給全球帶來(lái)了3億6億美元的損失。I love you (2000年) 2000年5月3日爆發(fā)于中國(guó)香港，是一個(gè)用VBScript編寫(xiě)，可通過(guò)E-Mail散布的病毒，而受感染的電腦平臺(tái)以Windows 95 / 98 / 2000為主。給全球帶來(lái)100億-150億美元的損失。紅色代碼 (Code Red，2001年) 該病毒能夠迅速傳播，并造成大范圍的訪問(wèn)速度下降甚至阻斷。這種病毒一般首先攻擊計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器，遭到攻擊的服務(wù)器會(huì)按照病毒的指令向政府網(wǎng)站發(fā)送大量數(shù)據(jù)，最終導(dǎo)致網(wǎng)站癱瘓。其造成的破壞主要是涂改網(wǎng)頁(yè)，有跡象表明，

11、這種蠕蟲(chóng)有修改文件的能力。2001年7月13日爆發(fā)，給全球帶來(lái)26億美元損失。SQL Slammer (2003年) 該病毒利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞對(duì)其服務(wù)進(jìn)行攻擊。2003年1月25日爆發(fā)，全球共有50萬(wàn)臺(tái)服務(wù)器被攻擊，但造成但經(jīng)濟(jì)損失較小。沖擊波（Blaster，2003年) 該病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Windows2000或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站

12、進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng)。2003年夏爆發(fā)，數(shù)十萬(wàn)臺(tái)計(jì)算機(jī)被感染，給全球造成20億-100億美元損失。 大無(wú)極.F（Sobig.F，2003年) Sobig.f是一個(gè)利用互聯(lián)網(wǎng)進(jìn)行傳播的病毒，當(dāng)其程序被執(zhí)行時(shí)，它會(huì)將自己以電子郵件的形式發(fā)給它從被感染電腦中找到的所有郵件地址。在被執(zhí)行后，Sobig.f病毒將自己以附件的方式通過(guò)電子郵件發(fā)給它從被感染電腦中找到的所有郵件地址，它使用自身的SMTP引擎來(lái)設(shè)置所發(fā)出的信息。此蠕蟲(chóng)病毒在2003年8月19日爆發(fā)，為此前Sobig變種，給全球帶來(lái)50億-100億美元損失。貝革熱（Bagle，2004年) 該病毒通過(guò)電

13、子郵件進(jìn)行傳播，運(yùn)行后，在系統(tǒng)目錄下生成自身的拷貝，修改注冊(cè)表鍵值。病毒同時(shí)具有后門(mén)能力。2004年1月18日爆發(fā)，給全球帶來(lái)數(shù)千萬(wàn)美元損失。 MyDoom (2004年) MyDoom是一種通過(guò)電子郵件附件和P2P網(wǎng)絡(luò)Kazaa傳播的病毒,當(dāng)用戶打開(kāi)并運(yùn)行附件內(nèi)的病毒程序后，病毒就會(huì)以用戶信箱內(nèi)的電子郵件地址為目標(biāo)，偽造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時(shí)在用戶主機(jī)上留下可以上載并執(zhí)行任意代碼的后門(mén)。2004年1月26日爆發(fā)，在高峰時(shí)期，導(dǎo)致網(wǎng)絡(luò)加載時(shí)間慢50%以上。 Sasser (2004年) 該病毒是一個(gè)利用微軟操作系統(tǒng)的Lsass緩沖區(qū)溢出漏洞（ MS04-011漏

14、洞信息）進(jìn)行傳播的蠕蟲(chóng)。由于該蠕蟲(chóng)在傳播過(guò)程中會(huì)發(fā)起大量的掃描，因此對(duì)個(gè)人用戶使用和網(wǎng)絡(luò)運(yùn)行都會(huì)造成很大的沖擊。2004年4月30日爆發(fā)，給全球帶來(lái)數(shù)千萬(wàn)美元損失。9.1.4 計(jì)算機(jī)病毒的主要特性可執(zhí)行性隱蔽性傳染性潛伏性破壞性可觸發(fā)性9.2 計(jì)算機(jī)病毒的種類9.2.1 文件型病毒 9.2.2 引導(dǎo)型病毒 9.2.3 宏病毒 9.2.4 網(wǎng)頁(yè)腳本程序病毒 9.2.5 蠕蟲(chóng) 9.2.6 特洛伊木馬 9.2.1 文件型病毒 文件型病毒是一種古老的病毒類型，病毒程序代碼依附在一個(gè)可執(zhí)行文件里面，通過(guò)修改程序文件入口地址，在啟動(dòng)程序文件時(shí)首先執(zhí)行病毒程序代碼，病毒代碼通過(guò)修改系統(tǒng)中斷的方法控制計(jì)算機(jī)系

15、統(tǒng)后，再繼續(xù)執(zhí)行正常的程序代碼，使用戶察覺(jué)不到計(jì)算機(jī)病毒的存在。病毒程序代碼：嵌入正?？蓤?zhí)行文件中。病毒代碼執(zhí)行方法：執(zhí)行程序時(shí)被“搭車”啟動(dòng)。殺毒方法：將病毒代碼從程序中剝離。9.2.2 引導(dǎo)型病毒 引導(dǎo)型病毒也是一種古老的病毒類型。引導(dǎo)型病毒侵占主引導(dǎo)區(qū)后，將原主引導(dǎo)程序移動(dòng)到其它空閑扇區(qū)中。計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)，BIOS自動(dòng)執(zhí)行主引導(dǎo)區(qū)內(nèi)的病毒程序，病毒程序控制了計(jì)算機(jī)系統(tǒng)之后再執(zhí)行移到空閑扇區(qū)內(nèi)的正常引導(dǎo)程序，使系統(tǒng)在病毒程序控制下啟動(dòng)。病毒程序代碼：替換正常的引導(dǎo)區(qū)程序，將正常引導(dǎo)程序移動(dòng)到空閑扇區(qū)。病毒代碼執(zhí)行方法：系統(tǒng)啟動(dòng)時(shí)自動(dòng)被啟動(dòng)。殺毒方法：用正常引導(dǎo)區(qū)程序覆蓋被感染的引導(dǎo)區(qū)。9

16、.2.3 宏病毒 如果病毒程序利用宏的功能隱藏到Office文檔中，就稱為宏病毒。建立宏的方法有兩種，自動(dòng)錄制和使用VB腳本編寫(xiě)宏代碼。自動(dòng)錄制宏的方法比較簡(jiǎn)單，啟動(dòng)錄制宏功能之后，Office系統(tǒng)會(huì)自動(dòng)記錄用戶所做的一切操作，并將操作自動(dòng)生成VB腳本的宏代碼。這種自動(dòng)錄制宏的方法操作簡(jiǎn)單，易于實(shí)現(xiàn)，為廣大Office用戶廣泛使用。另一種建立宏的方法是直接使用VB腳本編寫(xiě)宏代碼。這種方法需要一定的計(jì)算機(jī)編程知識(shí)，不易被普通用戶所掌握。但使用這種方法可以編制出各種功能強(qiáng)大的腳本程序，甚至可以編制出病毒程序。在Office的宏中有一類宏叫做自動(dòng)宏。當(dāng)文檔被打開(kāi)后自動(dòng)宏就會(huì)自動(dòng)被啟動(dòng)，如果文檔中含有

17、自動(dòng)宏病毒，打開(kāi)文檔的同時(shí)自動(dòng)宏中的病毒程序就會(huì)被執(zhí)行，使計(jì)算機(jī)系統(tǒng)被病毒所控制，從而造成病毒的進(jìn)一步擴(kuò)散或?qū)ο到y(tǒng)進(jìn)行破壞。由于宏代碼結(jié)構(gòu)簡(jiǎn)單，容易學(xué)習(xí)和掌握，不需要很高深的計(jì)算機(jī)知識(shí)，只要略懂VB腳本語(yǔ)言的人都可以編寫(xiě)出宏病毒程序，因此在一段時(shí)期內(nèi)宏病毒廣泛傳播，成為一個(gè)時(shí)期的主要病毒類型。病毒程序代碼：使用VB腳本編制，藏匿于宏命令中。病毒代碼執(zhí)行方法：文檔被打開(kāi)時(shí)由Office執(zhí)行。避免感染方法：禁用自動(dòng)宏。 9.2.4 網(wǎng)頁(yè)腳本程序病毒 腳本，是使用一種特定的描述性語(yǔ)言，依據(jù)一定的格式編寫(xiě)的可執(zhí)行文本，又稱作宏或批處理文件。腳本通?？梢杂蓱?yīng)用程序臨時(shí)調(diào)用并執(zhí)行。各類腳本目前被廣泛地應(yīng)用

18、于網(wǎng)頁(yè)設(shè)計(jì)中，因?yàn)槟_本不僅可以減小網(wǎng)頁(yè)的規(guī)模和提高網(wǎng)頁(yè)瀏覽速度，而且可以豐富網(wǎng)頁(yè)的表現(xiàn)，如動(dòng)畫(huà)、聲音等。網(wǎng)頁(yè)腳本程序病毒以腳本代碼的形式藏匿于網(wǎng)頁(yè)中，用戶瀏覽網(wǎng)頁(yè)時(shí)由瀏覽器對(duì)腳本代碼進(jìn)行解釋及執(zhí)行，一旦用戶瀏覽含有腳本病毒的網(wǎng)頁(yè)，病毒程序?qū)⒈粓?zhí)行并控制計(jì)算機(jī)系統(tǒng)，并將病毒腳本傳染到本機(jī)其它網(wǎng)頁(yè)文件中。用戶也可以在客戶機(jī)對(duì)瀏覽器進(jìn)行合理配置，禁止腳本程序的運(yùn)行，可以阻止腳本病毒的感染。方法是：IE瀏覽器、工具菜單、Internet選項(xiàng)、安全選項(xiàng)卡、自定義級(jí)別、安全設(shè)置，選中腳本選項(xiàng)，將腳本程序禁用，即可阻止腳本病毒的感染，但也會(huì)阻攔正常的腳本程序，使網(wǎng)站功能收到影響。病毒程序代碼：以腳本程序的形

19、式存在于服務(wù)器網(wǎng)頁(yè)文件中。病毒代碼執(zhí)行方法：瀏覽器瀏覽網(wǎng)頁(yè)時(shí)將代碼下載并在客戶機(jī)上執(zhí)行。預(yù)防方法：禁止或限制瀏覽器執(zhí)行腳本程序。9.2.5 蠕蟲(chóng) 蠕蟲(chóng)病毒和一般傳統(tǒng)的病毒有著很大的區(qū)別。蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。 蠕蟲(chóng)病毒的特點(diǎn) 不依附于文件或磁盤(pán)扇區(qū)利用系統(tǒng)漏洞進(jìn)行傳播通過(guò)修改注冊(cè)表啟動(dòng)或直接誘使用戶點(diǎn)擊啟動(dòng)蠕蟲(chóng)病毒的殺除方法更簡(jiǎn)單，直接刪除蠕蟲(chóng)病毒文件即可。病毒程序代碼：以獨(dú)立文件的形式存在，利用系統(tǒng)漏洞以文件復(fù)制的方式傳播。病毒代碼執(zhí)行方法：

20、誘惑用戶點(diǎn)擊執(zhí)行或修改注冊(cè)表而自動(dòng)啟動(dòng)。殺毒方法：直接刪除病毒程序文件。9.2.6 特洛伊木馬 特洛伊木馬，簡(jiǎn)稱木馬，其本質(zhì)上不能算作病毒程序，它往往不具備病毒所特有的傳染性，但是它對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的破壞作用巨大，而且現(xiàn)在很多木馬與病毒程序相結(jié)合，同時(shí)具有木馬和病毒的特征，所以，通常也把它歸類為病毒。 計(jì)算機(jī)世界中的特洛伊木馬程序就如同特洛伊木馬，將一段惡意代碼隱藏在正常程序中，用戶使用程序時(shí)木馬代碼悄悄控制住計(jì)算機(jī)系統(tǒng)，竊取計(jì)算機(jī)中的秘密，如：記錄被攻擊計(jì)算機(jī)的鍵盤(pán)操作和屏幕顯示信息，此法很容易獲得用戶得到登錄賬戶和密碼。木馬程序在獲得對(duì)方秘密后常采用電子郵件或其它方式將竊得的機(jī)密信息傳輸

21、給遠(yuǎn)方的木馬操控者。木馬程序通常分為服務(wù)器和客戶端兩個(gè)部分。客戶端由病毒的操控者掌握，而服務(wù)器端被埋藏于被攻擊的計(jì)算機(jī)中，并誘使被攻擊者執(zhí)行木馬程序，這一點(diǎn)與蠕蟲(chóng)病毒很象。木馬程序的主要目的是竊取計(jì)算機(jī)中的秘密并安全的發(fā)送給木馬的操控者，而傳染性不是木馬的主要目的。 怎樣發(fā)現(xiàn)計(jì)算機(jī)中是否感染木馬程序？最有效的方法是在計(jì)算機(jī)中安裝個(gè)人防火墻軟件，監(jiān)視所有的進(jìn)出數(shù)據(jù)，如果發(fā)現(xiàn)有程序毫無(wú)道理的對(duì)外發(fā)送數(shù)據(jù)或自動(dòng)發(fā)送電子郵件，可以懷疑可能有木馬程序在。木馬程序代碼：以獨(dú)立文件的形式存在或依附于一個(gè)宿主文件。木馬代碼執(zhí)行方法：誘惑用戶點(diǎn)擊執(zhí)行或修改注冊(cè)表而自動(dòng)啟動(dòng)。殺除方法：直接刪除木馬程序文件。9.3

22、 計(jì)算機(jī)病毒的查殺與防范方法9.3.1 殺毒軟件工作原理9.3.2 如何使用殺毒軟件9.3.3 計(jì)算機(jī)病毒的預(yù)防 9.3.1 殺毒軟件工作原理 目前常用的檢測(cè)病毒方法有：特征代碼法校驗(yàn)和法行為監(jiān)測(cè)法等 特征代碼法每一個(gè)病毒都是一段程序，每一個(gè)新病毒一定有一段與眾不同的程序代碼。這個(gè)與眾不同的代碼就構(gòu)成這段程序的特征。通過(guò)分析病毒程序，找出該病毒與眾不同的特征代碼，將其提取出來(lái)加入查毒軟件病毒特征庫(kù)，查毒軟件在查毒過(guò)程中將每一個(gè)被檢查的程序和病毒特征代碼庫(kù)中的病毒特征代碼相比較，如果產(chǎn)生吻合就可以斷定被檢測(cè)的程序已被具有此種特征的病毒所感染。 特征代碼法的特點(diǎn) 需要不斷更新病毒代碼特征庫(kù)檢測(cè)準(zhǔn)確

23、快速可識(shí)別病毒名稱、可做殺毒處理不能檢測(cè)未知的病毒隨著病毒數(shù)量的增多，查毒開(kāi)銷很大校驗(yàn)和法軟件作者在制作出軟件后，計(jì)算出軟件的校驗(yàn)和件，并將校驗(yàn)和與軟件一起發(fā)布。如果軟件被病毒所感染，校驗(yàn)和就會(huì)發(fā)生變化，軟件使用者或殺毒軟件根據(jù)軟件的校驗(yàn)和是否發(fā)生變化判斷軟件是否被病毒所感染。 校驗(yàn)和法的特點(diǎn) 可以發(fā)現(xiàn)未知病毒不能判斷病毒的類型和名稱，不能殺除病毒誤報(bào)率較高行為監(jiān)測(cè)法利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。病毒程序要進(jìn)行傳染與破壞，傳染與破壞行為是正常軟件所不應(yīng)有的，當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，即可判定此程序已被病毒所感染，立即報(bào)警。 行為監(jiān)測(cè)法的特點(diǎn)可以發(fā)

24、現(xiàn)未知病毒不能判斷病毒的類型和名稱，不能殺除病毒誤報(bào)率較高9.3.2 如何使用殺毒軟件國(guó)際著名殺毒軟件公司或產(chǎn)品有：卡巴斯基、諾頓、McAfee等國(guó)內(nèi)著名殺毒軟件公司或產(chǎn)品有：瑞星、江民、金山毒霸等現(xiàn)代殺毒軟件所采用的查毒、殺毒技術(shù)大同小異，工作原理與使用方法基本相同 以國(guó)際著名品牌卡巴斯基為例介紹殺毒軟件的安裝、配置與使用方法卡巴斯基(Kaspersky)殺毒軟件來(lái)源于俄羅斯，是世界上最優(yōu)秀、最頂級(jí)的網(wǎng)絡(luò)殺毒軟件之一，查殺病毒性能高。它提供了所有類型的抗病毒防護(hù)：抗病毒掃描儀，監(jiān)控器，行為阻斷和完全檢驗(yàn)。它支持幾乎是所有的普通操作系統(tǒng)、e-mail通路和防火墻?？ò退够共《拒浖性S多國(guó)際研

25、究機(jī)構(gòu)、中立測(cè)試實(shí)驗(yàn)室和IT出版機(jī)構(gòu)的證書(shū)，確認(rèn)了卡巴斯基具有匯集行業(yè)最高水準(zhǔn)的突出品質(zhì)?？ò退够壳芭c安全衛(wèi)士360合作，安裝安全衛(wèi)士360后可以獲得卡巴斯基半年的使用權(quán)。也可以到卡巴斯基官方網(wǎng)站下載30天試用期的試用版。卡巴斯基可供免費(fèi)試用的查毒產(chǎn)品主要有2種，即卡巴斯基反病毒軟件6.0個(gè)人版和卡巴斯基互聯(lián)網(wǎng)安全套裝6.0個(gè)人版，二者區(qū)別不大。前者僅提供查殺病毒，后者還提供了網(wǎng)絡(luò)安全功能?？ò退够陌惭b 卡巴斯基的配置與使用 9.3.3 計(jì)算機(jī)病毒的預(yù)防文件型病毒代碼寄生在可執(zhí)行程序文件上，程序啟動(dòng)后病毒控制計(jì)算機(jī)系統(tǒng)并感染其他程序文件。防范方法：不要啟動(dòng)來(lái)歷不明的程序，安裝殺毒軟件，對(duì)所有新進(jìn)的文件進(jìn)行掃描。 引導(dǎo)型病毒隱藏在系統(tǒng)磁盤(pán)主引導(dǎo)區(qū)內(nèi)，啟動(dòng)系統(tǒng)時(shí)控制計(jì)算機(jī)系統(tǒng)。防范方法：使用未感染病毒的磁盤(pán)啟動(dòng)系統(tǒng)，在系統(tǒng)健康時(shí)備份系統(tǒng)盤(pán)主引導(dǎo)區(qū)，被引導(dǎo)型病毒感染后使用健康的系統(tǒng)引導(dǎo)區(qū)備份數(shù)據(jù)恢復(fù)系統(tǒng)盤(pán)主引導(dǎo)區(qū)。使用殺毒軟件掃描系統(tǒng)盤(pán)的引導(dǎo)區(qū)。宏病毒寄生在Office文檔的自動(dòng)宏代碼中，啟動(dòng)Office文檔時(shí)宏被啟動(dòng)。防范方法：禁止Office文檔自動(dòng)宏，使用殺毒軟件檢查Office文檔。禁用自動(dòng)宏的方法：打開(kāi)Offi