第7章計(jì)算機(jī)病毒及防范

第7章網(wǎng)絡(luò)病毒防范與清殺7.1計(jì)算機(jī)病毒基礎(chǔ)知識(shí)7.2網(wǎng)絡(luò)病毒的防范和清殺7.3典型網(wǎng)絡(luò)病毒介紹7.4常用殺毒軟件介紹7.1計(jì)算機(jī)病毒基礎(chǔ)知識(shí)7.1.1計(jì)算機(jī)病毒定義7.1.2計(jì)算機(jī)病毒的發(fā)展歷史7.1.3計(jì)算機(jī)病毒的特點(diǎn)7.1.4計(jì)算機(jī)病毒的種類7.1.5計(jì)算機(jī)病毒的工作原理7.1.6計(jì)算機(jī)病毒的檢測(cè)、防范和清殺7.1.1計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義為：“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。此定義具有法律性、權(quán)威性。7.1.2計(jì)算機(jī)病毒的發(fā)展歷史

早在1949年，計(jì)算機(jī)先驅(qū)者馮.諾依曼就在他的論文《復(fù)雜計(jì)算機(jī)組織論》中，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，勾勒出了病毒程序的藍(lán)圖。1983年11月3日，弗雷德.科恩博士研制出了一種在運(yùn)行過(guò)程中可以自我復(fù)制壞性程序，倫.艾德勒曼將它名命為計(jì)算機(jī)病毒，在VAX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。1985年初，在巴基斯坦的拉合爾，巴喜特和阿姆杰得兩兄弟為了防盜版，編寫了“巴基斯坦智囊”（PaKistanBrain）病毒，該病毒傳染軟盤引導(dǎo)，一年后病毒以強(qiáng)勁勢(shì)頭流傳到了全世界。這是最早在世界上流行的一個(gè)真正的病毒。幾乎同時(shí)，世界上各地的計(jì)算機(jī)用戶也發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如黑色星期五、大麻等。。

7.1.3計(jì)算機(jī)病毒的特點(diǎn)在計(jì)算機(jī)病毒所具有的特征中,傳染性、潛伏性、觸發(fā)性和破壞性是它的基本特征。其次，它還有隱蔽性、針對(duì)性、衍生性和不可預(yù)見(jiàn)性等。1．傳染性病毒的傳染性也稱為自我復(fù)制和可傳播性，這是計(jì)算機(jī)病毒的本質(zhì)特征，在一定條件下，病毒通過(guò)某種渠道從一個(gè)文件或一臺(tái)計(jì)算機(jī)傳染到另外沒(méi)有被感染的文件或計(jì)算機(jī)，輕則造成被感染的計(jì)算機(jī)數(shù)據(jù)或工作失常；重則便計(jì)算機(jī)癱瘓。。2．潛伏性具有依附于其他媒體寄生的能力。一個(gè)編制巧妙的病毒程序，可以在幾周或幾個(gè)月內(nèi)進(jìn)行傳播和再生而不被發(fā)覺(jué)。3．觸發(fā)性觸發(fā)性是指計(jì)算機(jī)病毒的發(fā)作一般都有一個(gè)激發(fā)條件，即一個(gè)條件控制。4．破壞性任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重者可致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。5．隱蔽性病毒一般是指編寫巧妙、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。6．針對(duì)性計(jì)算機(jī)病毒是針對(duì)特定的計(jì)算機(jī)和特定的操作系統(tǒng)的。例如，有針對(duì)IBM/PC機(jī)及其兼容機(jī)的，有針對(duì)Apple公司的Macintosh的，還有針對(duì)UNIX操作系統(tǒng)的。如小球病毒是針對(duì)IBMPC機(jī)及其兼容機(jī)上的ＤＯＳ操作系統(tǒng)的。7．衍生性這種特性為病毒制造者提供了一種創(chuàng)造新病毒的捷徑。分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染的破壞部分反映了設(shè)計(jì)者的設(shè)計(jì)思想和設(shè)計(jì)目的，但是，這可以被其他掌握原理的人以其個(gè)人的企圖進(jìn)行任意改動(dòng)，從而以衍生出一種不同于原版本的新的計(jì)算機(jī)病毒（又稱為變種）。這就是它的衍生性。8．不可預(yù)見(jiàn)性不同種類病毒的代碼千差萬(wàn)別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。7.1.4計(jì)算機(jī)病毒的種類

按照基本類型劃分，可歸納為6種類型，引導(dǎo)型病毒、可執(zhí)行病毒、宏病毒、混合型病毒、特洛伊木馬病毒和Web網(wǎng)頁(yè)病毒。1．引導(dǎo)型病毒主要是感染軟盤、硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)扇區(qū)，在用戶對(duì)軟盤、硬盤進(jìn)行讀寫操作時(shí)進(jìn)行感染活動(dòng)。。2．可執(zhí)行文件病毒它主要是感染可執(zhí)行文件（對(duì)于DOS或Windows來(lái)說(shuō)是感染.COM和.EXE等可執(zhí)行文件）。3．宏病毒它是利用高級(jí)語(yǔ)言——宏語(yǔ)言編制的病毒。宏病毒僅向WORD、EXCEL、ACCESS、POWERPOINET和PROJECT等辦公自動(dòng)化程序編制的文檔進(jìn)行傳染，而不會(huì)傳染給可執(zhí)行文件。4．混合型病毒顧名思義，是以上幾種病毒的混合?；旌闲筒《镜哪康氖菫榱司C合利用以上3種病毒的傳染渠道進(jìn)行破壞。國(guó)內(nèi)流行的混合型病毒有：One_half、Casper、Natas、Flip。5．特洛伊木馬型病毒也叫黑客程序或后門病毒。一般這種病毒分成服務(wù)器端和客戶端兩部分，如計(jì)算機(jī)網(wǎng)絡(luò)中服務(wù)器端被此程序感染，別人可通過(guò)網(wǎng)絡(luò)中其他計(jì)算機(jī)任意控制此計(jì)算機(jī)，并獲得重要文件。國(guó)內(nèi)流行的此類病毒有BO、NETSPY等。6．Web網(wǎng)頁(yè)病毒7.1.5計(jì)算機(jī)病毒的工作原理1．計(jì)算機(jī)病毒的工作過(guò)程計(jì)算機(jī)病毒的完整工作過(guò)程一般應(yīng)包括以下幾個(gè)環(huán)節(jié)1）傳染源2）傳染媒介3）病毒激活4）病毒表現(xiàn)5）傳染2．計(jì)算機(jī)病毒的引導(dǎo)機(jī)制（1）計(jì)算機(jī)病毒的寄生對(duì)象計(jì)算機(jī)病毒存儲(chǔ)在磁盤上，為了進(jìn)行自身的主動(dòng)傳播，必須寄生在可以獲得執(zhí)行權(quán)的寄生對(duì)象上。（2）計(jì)算機(jī)病毒的寄生方式計(jì)算機(jī)病毒的寄生方式有兩種，一種是采用替代法；另一種是采用鏈接法，所謂替代法是指病毒程序用自己的部分或全部指令代碼，替代磁盤引導(dǎo)扇區(qū)或文件中的全部或部分內(nèi)容。所謂鏈接法則是指病毒程序?qū)⒆陨泶a作為正常程序的一部分與原有正常程序鏈接在一起。(3)駐留內(nèi)存計(jì)算機(jī)病毒若要發(fā)揮破壞作用,要開(kāi)辟所用內(nèi)存空間或覆蓋系統(tǒng)占用的部分內(nèi)存空間以便駐留內(nèi)存。3．計(jì)算機(jī)病毒的觸發(fā)機(jī)制目前病毒采用的觸發(fā)條件主要有以下幾種：1）時(shí)間觸發(fā)：時(shí)間觸發(fā)包括特定的時(shí)間觸發(fā)、染毒后累計(jì)工作時(shí)間觸發(fā)、文件最后寫入時(shí)間觸發(fā)等。2）鍵盤觸發(fā)：有些病毒監(jiān)視用戶的擊鍵動(dòng)作，當(dāng)發(fā)現(xiàn)病毒預(yù)定的鍵入時(shí)，病毒被激活，進(jìn)行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動(dòng)觸發(fā)等。3）日期觸發(fā)：許多病毒采用日期做觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、前半年后半年觸發(fā)等。4）啟動(dòng)觸發(fā)：病毒對(duì)機(jī)器的啟動(dòng)次數(shù)計(jì)數(shù)，并將此值作為觸發(fā)條件稱為啟動(dòng)觸發(fā)。5）訪問(wèn)磁盤次數(shù)觸發(fā)：病毒對(duì)磁盤I/O訪問(wèn)的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件叫訪問(wèn)磁盤次數(shù)觸發(fā)。6）調(diào)用中斷功能觸發(fā)：病毒對(duì)中斷調(diào)用次數(shù)計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件。4．計(jì)算機(jī)病毒的破壞行為把病毒的破壞目標(biāo)和攻擊部位歸納如下：1）攻擊系統(tǒng)數(shù)據(jù)區(qū)2）攻擊文件3）攻擊內(nèi)存4）干擾系統(tǒng)運(yùn)行5）運(yùn)行速度下降6）攻擊磁盤7）攻擊CMOS5．計(jì)算機(jī)病毒的傳播（1）計(jì)算機(jī)病毒傳播的一般過(guò)程在系統(tǒng)運(yùn)行時(shí)，計(jì)算機(jī)病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行，當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件時(shí)，便從內(nèi)存中將自身存入被攻擊的目標(biāo)，從而將病毒進(jìn)行傳播。（2）計(jì)算機(jī)病毒的傳播途徑從計(jì)算機(jī)病毒的傳播機(jī)制分析可知，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計(jì)算機(jī)病毒傳播途徑?，F(xiàn)在通過(guò)Internet傳播計(jì)算機(jī)病毒與過(guò)去手工傳播計(jì)算機(jī)病毒的方式相比速度要快得7.1.6計(jì)算機(jī)病毒的檢測(cè)、防范和清殺1．計(jì)算機(jī)病毒的檢測(cè)判斷自己的計(jì)算機(jī)中是否染有病毒，最簡(jiǎn)單的方法是用較新的防病毒軟件對(duì)磁盤進(jìn)行全面的檢測(cè)。無(wú)論什么病毒，在其侵入系統(tǒng)后總會(huì)留下一些“蛛絲馬跡”。如何能夠及早地發(fā)現(xiàn)新病毒呢?常用的檢測(cè)病毒方法有：特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、軟件模擬法，這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開(kāi)銷不同，檢測(cè)范圍不同，各有所長(zhǎng)。2．計(jì)算機(jī)病毒的防范防范是對(duì)付計(jì)算機(jī)病毒的積極而又有效的措施，比等待計(jì)算機(jī)病毒出現(xiàn)之后再去掃描和清除能更有效地保護(hù)計(jì)算機(jī)系統(tǒng)。要做好計(jì)算機(jī)病毒的防范工作，首先是防范體系和制度的建立。其次，利用反病毒軟件及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，對(duì)它進(jìn)行監(jiān)視、跟蹤等操作，并采取有效的手段阻止它的傳播和破壞。7.2網(wǎng)絡(luò)病毒的防范和清殺

按照計(jì)算機(jī)病毒的傳播媒介來(lái)分類，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。單機(jī)病毒就是以前的DOS病毒、Windows病毒和能在多操作系統(tǒng)下運(yùn)行的宏病毒。單機(jī)病毒的載體是磁盤，常見(jiàn)的是病毒從軟盤傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤，軟盤又傳染其他系統(tǒng)。網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，它的傳播媒介不再是移動(dòng)式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強(qiáng)，破壞力更大1．網(wǎng)絡(luò)病毒的防范措施1）不使用或下載來(lái)源不明的軟件。2）不輕易上一些不正規(guī)的網(wǎng)站。3）提防電子郵件病毒的傳播。一些郵件病毒會(huì)利用ActiveX控件技術(shù)，當(dāng)以HTML方式打開(kāi)郵件時(shí)，病毒可能就會(huì)被激活。4）經(jīng)常關(guān)注一些網(wǎng)站、BBS發(fā)布的病毒報(bào)告，這樣可以在未感染病毒時(shí)做到預(yù)先防范。5）及時(shí)更新操作系統(tǒng)，為系統(tǒng)漏洞打上補(bǔ)丁。6）對(duì)于重要文件、數(shù)據(jù)做到定期備份。2．網(wǎng)絡(luò)病毒的清殺一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)病毒,應(yīng)設(shè)法立即清除,其操作步驟如下。1）立即通知所有用戶下網(wǎng)，關(guān)閉文件服務(wù)器。2）用帶有寫保護(hù)的、干凈的系統(tǒng)盤啟動(dòng)系統(tǒng)管理員工作站，并立即清除本機(jī)病毒。3）用帶有寫保護(hù)的、干凈的系統(tǒng)盤動(dòng)文件服務(wù)器。系統(tǒng)管理員登錄并下命令禁止其他用戶登錄。4）將文件服務(wù)器硬盤中的重要資料備份。5）用殺毒軟件掃描服務(wù)器上所有的文件，恢復(fù)或刪除被病毒感染的文件，重新安裝被刪除的文件。6）用殺毒軟件掃描并清除所有可能染上病毒的軟盤或備份文件中的病毒。7）用殺毒軟件掃描并清除所有的有盤工作站硬盤上的病毒。8）在確信病毒已經(jīng)徹底清除后，重新啟動(dòng)網(wǎng)絡(luò)和工作站。7.3典型網(wǎng)絡(luò)病毒介紹7.3.1宏病毒7.3.2電子郵件病毒7.3.3網(wǎng)絡(luò)病毒實(shí)例

返回本章首頁(yè)

7.3.1宏病毒1．宏病毒的定義所謂宏,就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí),避免一再地重復(fù)相同的動(dòng)作而設(shè)計(jì)出來(lái)的一種工具。“宏病毒”就是利用軟件所支持的宏命令編寫的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺(tái)式計(jì)算機(jī)病毒，可以在Windows9X、WindowsNT、OS/2和MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒行為。2．宏病毒的特征1）宏病毒會(huì)感染.doc文檔.dot模板文件。2）宏病毒的傳染通常是Word在打開(kāi)一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒，病毒宏將自身復(fù)制到Word通用（Normal）模板中，以后在打開(kāi)或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。3）多數(shù)宏病毒包含AutoOpen、AutlClose、AutoNew和AutoExit等自動(dòng)宏，通過(guò)這些自動(dòng)宏病毒取得文檔（模板）操作權(quán)。4）宏病毒中總是含有對(duì)文檔讀/寫操作的宏命令。5）Word宏病毒在發(fā)作時(shí)，會(huì)使Word運(yùn)行出現(xiàn)怪現(xiàn)象，如自動(dòng)建文件、開(kāi)窗口、內(nèi)存總是不夠、關(guān)閉Word并不對(duì)已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機(jī)無(wú)法正常打印。3．宏病毒的防范和清除宏病毒的防治和清除方法：1）使用選項(xiàng)“提示保存Normal模板”。2）不要通過(guò)Shift鍵來(lái)禁止運(yùn)行自動(dòng)宏。3）查看宏代碼并刪除。4）使用DisableAutoMacros宏5）使用Word97的報(bào)警設(shè)置。6）設(shè)置Normal.dot

的只讀屬性。7）Normal.dot的密碼保護(hù)。

7.3.2電子郵件病毒所謂電子郵件病毒就是以電子郵件作為傳播途徑的計(jì)算機(jī)病毒，實(shí)際上該類病毒和普通的病毒一樣，只不過(guò)是傳播方式改變而已。該類計(jì)算機(jī)病毒的特點(diǎn)包括以下幾方面。1）電子郵件本身是無(wú)毒的，但它的內(nèi)容中可以有UNIX下的特殊的換碼序列，就是通常所說(shuō)的ANSI字符，當(dāng)用UNIX智能終端上網(wǎng)查看電子郵件時(shí)，有被侵入的可能。2）電子郵件可以?shī)A帶任何類型的文件作為附件(Attachment)，附件文件可能帶有病毒。3）可利用某些電子郵件收發(fā)器特有的擴(kuò)充功能。4）可利用某些操作系統(tǒng)所特有的功能來(lái)進(jìn)行破壞。5）超大的電子郵件或電子郵件炸彈也可以被認(rèn)為是一種電子郵件計(jì)算機(jī)病毒，它能夠以下是一些常用的預(yù)防電子郵件計(jì)算機(jī)病毒的方法。1）不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序。2）不要輕易打開(kāi)附件中的文檔文件。

3）不要直接打開(kāi)文件擴(kuò)展名很怪的附件，或者是帶有腳本文件如·.VBS、*.SHS等的附件，4）如果使用Outlook作為收發(fā)電子郵件的軟件，應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。5）如果使用OutlookExpress作為收發(fā)電子郵件的軟件，也應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。這樣可以防止有些電子郵件計(jì)算機(jī)病毒利用OutlookExpress的缺省設(shè)置自動(dòng)運(yùn)行，破壞系統(tǒng)。6）對(duì)于使用Windows98操作系統(tǒng)的計(jì)算機(jī)，7）對(duì)于自己往外傳送的附件，也一定要仔細(xì)檢查，確定無(wú)毒后，才可發(fā)送。7.3.3網(wǎng)絡(luò)病毒實(shí)例1．電子郵件炸彈電子郵件炸彈是指發(fā)件者以不明來(lái)歷的電子郵件地址，不斷重復(fù)將電子郵件寄于同一個(gè)人。由于情況就像是戰(zhàn)爭(zhēng)時(shí)利用某種戰(zhàn)爭(zhēng)工具對(duì)同一個(gè)地方進(jìn)行大轟炸，因此稱為電子郵件炸彈。電子郵件炸彈之所以可怕，是因?yàn)樗梢源罅肯木W(wǎng)絡(luò)資源。比較有效的防御方式是，用戶可以在電子郵件中安裝一個(gè)過(guò)濾器，在接收任何電子郵件之前預(yù)先檢查發(fā)件人的資料，如果覺(jué)得有可疑之處，可以將它刪除，不讓它進(jìn)入你的電子郵箱。2．惡意網(wǎng)頁(yè)（1）惡意網(wǎng)頁(yè)的原理對(duì)于惡意網(wǎng)頁(yè)，常常采取Vbscript和JavaScript編程的形式，由于編程方式十分簡(jiǎn)單，所以在網(wǎng)上非常流行。（2）惡意網(wǎng)頁(yè)的預(yù)防１）禁用WindowsScriptingHost。

2）不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼。

3）不隨意查看陌生郵件，尤其是帶有附件的郵件。

4）安裝防病毒產(chǎn)品并保證更新最新的病毒特征碼。7.4常用殺毒軟件介紹7.4.1瑞星殺毒軟件7.4.2金山殺毒軟件7.4.3KV2006返回本章首頁(yè)7.4.1瑞星殺毒軟件7.4.1瑞星殺毒軟件瑞星殺毒軟件2006版，是北京瑞星科技股份有限公司采用最新技術(shù)開(kāi)發(fā)的新一代信息安全產(chǎn)品。使用第七代極速引擎，查殺毒速度提升30%，對(duì)各種網(wǎng)絡(luò)病毒、木馬、黑客攻擊具有全面查殺和主動(dòng)防御能力，能夠快速殺滅已知病毒、未知病毒、黑客木馬、惡意網(wǎng)頁(yè)、間諜軟件等各種有害程序。同時(shí)提供漏洞掃描、系統(tǒng)修復(fù)、垃圾郵件過(guò)濾、硬盤備份、個(gè)人防火墻、木馬墻、上網(wǎng)安全助手等各種功能，配合實(shí)時(shí)在線升級(jí)和在線專家門診，是互聯(lián)網(wǎng)時(shí)代抵御各種網(wǎng)絡(luò)威脅的必備工具軟件。返回本節(jié)目錄7.4.2金山殺毒軟件金山公司是國(guó)內(nèi)著名的軟件公司，其開(kāi)發(fā)的金山毒霸對(duì)查毒速度做了優(yōu)化，可以快速、徹底的查殺