計算機網(wǎng)絡(luò)安全基礎(chǔ)第6章

第6章計算機病毒的防治2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第1頁/共48頁本章主要內(nèi)容：

1．計算機病毒計算機病毒的傳播計算機病毒的特點及破壞行為宏病毒及網(wǎng)絡(luò)病毒．病毒的預防、檢查和清除．病毒防御解決方案6.1什么是計算機病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第2頁/共48頁計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通常隱藏在其它看起來無害的程序中，能生成自身的復制并將其插入其它的程序中，執(zhí)行惡意的行動。通常，計算機病毒可分為下列幾類。（1）文件病毒。該病毒在操作系統(tǒng)執(zhí)行文件時取得控制權(quán)并把自己依附在可執(zhí)行文件上，然后，利用這些指令來調(diào)用附在文件中某處的病毒代碼。當文件執(zhí)行時，病毒會調(diào)出自己的代碼來執(zhí)行，接著又返回到正常的執(zhí)行系列。通常，這些情況發(fā)生得很快，以致于用戶并不知道病毒代碼已被執(zhí)行。6.1什么是計算機病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第3頁/共48頁引導扇區(qū)病毒。它會潛伏在軟盤的引導扇區(qū)，或者是在硬盤的引導扇區(qū)，或主引導記錄（分區(qū)扇區(qū)中插入指令）。此時，如果計算機從被感染的軟盤引導時，病毒就會感染到引導硬盤，并把自己的代碼調(diào)入內(nèi)存。軟盤并不需要一定是可引導的才能傳播病毒，病毒可駐留在內(nèi)存內(nèi)并感染被訪問的軟盤。觸發(fā)引導區(qū)病毒的典型事件是系統(tǒng)日期和時間。多裂變病毒。多裂變病毒是文件和引導扇區(qū)病毒的混合種，它能感染可執(zhí)行文件，從而能在網(wǎng)上迅速傳播蔓延。6.1什么是計算機病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第4頁/共48頁秘密病毒。這種病毒通過掛接中斷把它所進行的修改和自己的真面目隱藏起來，具有很大的欺騙性。因此，當某系統(tǒng)函數(shù)被調(diào)用時，這些病毒便“偽造”結(jié)果，使一切看起來非常正常。秘密病毒摧毀文件的方式是偽造文件大小和日期，隱藏對引導區(qū)的修改，而且使大多讀操作重定向。異形病毒。這是一種能變異的病毒，隨著感染時間的不同而改變其不同的形式。不同的感染操作會使病毒在文件中以不同的方式出現(xiàn)，使傳統(tǒng)的模式匹配法對此顯得軟弱無力。6.1什么是計算機病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第5頁/共48頁（6）宏病毒。宏病毒不只是感染可執(zhí)行文件，它可以感染一般軟件文件。雖然宏病毒不會有嚴重的危害，但它仍是令人討厭的，因為它會影響系統(tǒng)的性能以及用戶的工作效率。宏病毒是利用宏語言編寫的，不面向操作系統(tǒng)，所以，它不受操作平臺的約束，可以在DOS、

Windows、Unix、Mac甚至在OS/2系統(tǒng)中散播。這就是說，宏病毒能被傳到任何可運行編寫宏病毒的應(yīng)用程序的機器中。宏病毒對病毒而言是一次革命?，F(xiàn)在通過E-

mail、3W強大的互聯(lián)能力及宏語言的進一步強化，極大地增強了它的傳播能力。6.2計算機病毒的傳播2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第6頁/共48頁6.2.1計算機病毒的由來計算機病毒是由計算機黑客們編寫的，這些人想證明它們能編寫出不但可以干擾和摧毀計算機，而且能將破壞傳播到其它系統(tǒng)的程序。最早被記錄在案的病毒之一是1983年由南加州大學學生Fred

Cohen編寫的，當該程序安裝在硬盤上后，就可以對自己進行復制擴展，使計算機遭到“自我破壞”。1985年病毒程序通過電子公告牌向公眾提供。6.2計算機病毒的傳播2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第7頁/共48頁6.2.2計算機病毒的傳播計算機病毒通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。最明顯的也是最常見的入侵點是從工作站傳到工作站的軟盤。在計算機網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點還包括服務(wù)器、E-mail附加部分、BBS上下載的文件、3W站點、FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版軟件、示范軟件、電腦實驗室和其它共享設(shè)備。此外，也可以有其它的入侵點。病毒一旦進入系統(tǒng)以后，通常用以下兩種方式傳播：通過磁盤的關(guān)鍵區(qū)域；在可執(zhí)行的文件中。6.2計算機病毒的傳播2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第8頁/共48頁6.2.3計算機病毒的工作方式一般來說，病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。病毒能表現(xiàn)出的幾種特性或功能有：感染、變異、觸發(fā)、破壞以及高級功能（如隱身和多態(tài)）。1．感染任何計算機病毒的一個重要特性或功能是對計算機系統(tǒng)的感染。事實上，感染方法可用來區(qū)分兩種主要類型的病毒：引導扇區(qū)病毒和文件感染病毒。（1）引導扇區(qū)病毒引導扇區(qū)病毒的一個非常重要的特點是對軟盤和硬盤的引導扇區(qū)的攻擊。6.2計算機病毒的傳播引導扇區(qū)是大部分系統(tǒng)啟動或引導指令所保存的地方，而且對所有的磁盤來講，不管是否可以引導，都有一個引導扇區(qū)。感染的主要方式就是發(fā)生在計算機通過已被感染的引導盤（常見的如一個軟盤）引導時發(fā)生的。2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第9頁/共48頁6.2計算機病毒的傳播（2）文件型病毒文件型病毒與引導扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。它將自己依附在可執(zhí)行的文件（通常是.com和.exe）中，并等待程序的運行。這種病毒會感染其它的文件，而它自己卻駐留在內(nèi)存中。當該病毒完成了它的工作后，其宿主程序才被運行，使人看起來仿佛一切都很正常。2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第10頁/共48頁6.2計算機病毒的傳播2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第11頁/共48頁覆蓋型文件病毒的一個特點是不改變文件的長度，使原始文件看起來非常正常。即使是這樣，一般的病毒掃描程序或病毒檢測程序通常都可以檢測到覆蓋了程序的病毒代碼的存在。前依附型文件病毒將自己加在可執(zhí)行文件的開始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。伴隨型文件病毒為.exe文件建立一個相應(yīng)的含有病毒代碼的.com文件。當運行.EXE文件時，控制權(quán)就轉(zhuǎn)到隱藏的.com文件，病毒程序就得以運行。當執(zhí)行完之后，控制權(quán)又返回到.exe文件。6.2計算機病毒的傳播2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第12頁/共48頁變異變異又稱變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測，以達到逃避檢測的一種“功能”。變異是病毒可以創(chuàng)建類似于自己，但又不同于自身“品種”的一種技術(shù)，它使病毒掃描程序難以檢測。有的變異程序能夠?qū)⑵胀ǖ牟《巨D(zhuǎn)換成多態(tài)的病毒。觸發(fā)不少計算機病毒為了能在合適的時候從事它的見不得人的勾當，往往需要預先設(shè)置一些觸發(fā)的條件，并使之先置于未觸發(fā)狀態(tài)。如以時間、程序運行了次數(shù)和在文件病毒被復制到不同的系統(tǒng)上多少次之后作為觸發(fā)條件。6.2計算機病毒的傳播2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第13頁/共48頁破壞破壞，是大多數(shù)人所提心吊膽的。破壞的形式是多種多樣的，從無害到毀滅性的。破壞的方式總的來說可以歸納如下列幾種：修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。高級功能病毒計算機病毒經(jīng)過幾代的發(fā)展，在功能方面日趨高級，它們盡可能地逃避檢測，有的甚至被設(shè)計成能夠躲開病毒掃描和反病毒軟件。隱身病毒和多態(tài)病毒就屬于這一類。多態(tài)病毒的最大特點能變異成不同的品種，每個新的病毒都與上一代有一些差別，每個新病毒都各不相同。6.3計算機病毒的特點及破壞行為2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第14頁/共48頁計算機病毒的特點根據(jù)對計算機病毒的產(chǎn)生、傳染和破壞行為的分析，總結(jié)出病毒有以下幾個主要特點?？桃饩帉懭藶槠茐淖晕覐椭颇芰Z取系統(tǒng)控制權(quán)隱蔽性潛伏性不可預見性6.3計算機病毒的特點及破壞行為2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第15頁/共48頁6.3.2計算機病毒的破壞行為攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊部位包括硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。一般來說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復。攻擊文件。病毒對文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇和對文件加密等。攻擊內(nèi)存。內(nèi)存是計算機的重要資源，也是病毒攻擊的重要目標。病毒額外地占用和消耗內(nèi)存資源，可導致一些大程序運行受阻。病毒攻擊內(nèi)存的方式有大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。6.3計算機病毒的特點及破壞行為2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第16頁/共48頁干擾系統(tǒng)運行，使運行速度下降。此類行為也是花樣繁多，如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉(zhuǎn)、重啟動、死機、強制游戲、擾亂串并接口等等。病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，運行速度明顯下降。干擾鍵盤、喇叭或屏幕。病毒干擾鍵盤操作，如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、輸入紊亂等。許多病毒運行時，會使計算機的喇叭發(fā)出響聲。病毒擾亂顯示的方式很多，如字符跌落、環(huán)繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫等。6.3計算機病毒的特點及破壞行為2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第17頁/共48頁攻擊CMOS。在機器的CMOS中，保存著系統(tǒng)的重要

數(shù)據(jù)，如系統(tǒng)時鐘、磁盤類型和內(nèi)存容量等，并具有校驗和。有的病毒激活時，能夠?qū)MOS進行寫入動作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計算機硬件，亂寫某些主板BIOS芯片，損壞硬盤。干擾打印機。如假報警、間斷性打印或更換字符。網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第18頁/共48頁6.4.1宏病毒所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復相同的動作。在Word中對宏定義為“宏就是能組織到一起作為一獨立的命令使用的一系列Word命令，它能使日常工作變得更容易?！?/p>

Word宏是使用Word

Basic語言來編寫的。6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第19頁/共48頁1．宏病毒的行為和特征所謂“宏病毒”，就是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒，可以在Windows

9X、Windows

NT、OS/2和Macintosh

System7等操作系統(tǒng)上執(zhí)行病毒行為。（1）宏病毒行為機制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。這種宏是文檔資料，而文檔資料的攜帶性極高，如果宏隨著文檔而被分派到不同的工作平臺，只要能被執(zhí)行，它也就類似于計算機病毒的傳染過程。（2）宏病毒特征①宏病毒會感染.doc文檔和.dot模板文件。②宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復制到Word通用（Normal）模板中，以后在打開或關(guān)閉文件時宏病毒就會把病毒復制到該文件中。③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。④宏病毒中總是含有對文檔讀寫操作的宏命令。⑤宏病毒在.doc文檔、.dot模板中以.BFF（Binary

File

Format）格式存放，這是一種加密壓縮格式，不同

Word版本格式可能不兼容。6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第20頁/共48頁6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第21頁/共48頁2．宏病毒的防治和清除方法使用選項“提示保存Normal模板”不要通過Shift鍵來禁止運行自動宏查看宏代碼并刪除使用DisableAutoMacros宏使用Word

97的報警設(shè)置設(shè)置Normal.dot的只讀屬性Normal.dot的密碼保護6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第22頁/共48頁6.4.2網(wǎng)絡(luò)病毒1．網(wǎng)絡(luò)病毒的特點計算機網(wǎng)絡(luò)的主要特點是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點間信息的頻繁傳輸會把病毒傳染到所共享的機器上，從而形成多種共享資源的交叉感染。病毒的迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。對于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其它工作站。6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第23頁/共48頁2．病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復制已感染的文件。用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其它可執(zhí)行文件。用戶在工作站上執(zhí)行帶毒內(nèi)存駐留文件，當訪問服務(wù)器上的可執(zhí)行文件時進行感染。文件病毒可以通過因特網(wǎng)毫無困難地發(fā)送，而可執(zhí)行文件病毒不能通過因特網(wǎng)在遠程站點感染文件。此時因特網(wǎng)是文件病毒的載體。引導病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計算機是從一塊感染的軟盤上引導的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導病毒感染。6.4宏病毒及網(wǎng)絡(luò)病毒2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第24頁/共48頁專攻網(wǎng)絡(luò)的GPI病毒電子郵件病毒電子郵件系統(tǒng)的一個特點是不同的郵件系統(tǒng)使用不同的格式存儲文件和文檔，傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力。另外，通常用戶并不能訪問郵件數(shù)據(jù)庫，因為它們往往在遠程服務(wù)器上。對電子郵件系統(tǒng)進行病毒防護可從以下幾個方面著手。使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護使用防毒軟件同時保護客戶機和服務(wù)器使用特定的SMTP殺毒軟件6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第25頁/共48頁6.5.1病毒的預防通過采取技術(shù)上和管理上的措施，計算機病毒是完

全可以防范的。雖然新出現(xiàn)的病毒可采用更隱蔽的手段，利用現(xiàn)有DOS系統(tǒng)安全防護機制的漏洞，以及反病毒防

御技術(shù)上尚存在的缺陷，使病毒能夠一時得以在某一臺

PC機上存活并進行某種破壞，但是只要在思想上有反病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，這新病毒就無法逾越計算機安全保護屏障，從而不能廣泛傳播。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第26頁/共48頁對新購置的計算機系統(tǒng)用檢測病毒軟件檢查已知病毒，用人工檢測方法檢查未知病毒。新購置的硬盤或出廠時已格式化好的軟盤可能有病毒。對硬盤可以進行檢測或進行低級格式化，因為對硬盤只做DOS的Format格式化是不能去除主引導區(qū)（分

區(qū)表扇區(qū)）病毒的。新購置的計算機軟件也要進行病毒檢測。在保證硬盤無病毒的情況下，能用硬盤引導啟動的，盡量不要用軟盤去啟動。很多PC機可以通過設(shè)置CMOS參數(shù)，使啟動時直接從硬盤引導啟動。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第27頁/共48頁定期與不定期地進行磁盤文件備份工作。對于軟盤，要盡可能將數(shù)據(jù)和程序分別存放，裝程序的軟盤要進行寫保護。在別人的機器上使用過自己的已打開了寫保護的軟盤，再在自己的機器上使用，就應(yīng)進行病毒檢測。應(yīng)保留一張寫保護的、無病毒的并帶有各種命令文件的系統(tǒng)啟動軟盤，用于清除病毒和維護系統(tǒng)。用Bootsafe等實用程序或用Debug編程提取分區(qū)表等方法做好分區(qū)表、DOS引導扇區(qū)等的備份工作，在進行系統(tǒng)維護和修復工作時可作為參考。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第28頁/共48頁對于多人共用一臺計算機的環(huán)境，應(yīng)建立登記上機制度，做到使問題能盡早發(fā)現(xiàn)，有病毒能及時追查、清除，不致擴散。啟動Novell網(wǎng)或其它網(wǎng)絡(luò)的服務(wù)器時，一定要堅持用硬盤引導啟動，否則在受到引導扇區(qū)型病毒感染和破壞后，遭受損失的將不是一個人的機器，而會影響到連接整個網(wǎng)絡(luò)的中樞。在網(wǎng)絡(luò)服務(wù)器安裝生成時，應(yīng)將整個文件系統(tǒng)劃分成多文件卷系統(tǒng)，而不是只劃分成不區(qū)分系統(tǒng)、應(yīng)用程序和用戶獨占的單卷文件系統(tǒng)。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第29頁/共48頁安裝服務(wù)器時應(yīng)保證沒有病毒存在，即安裝環(huán)境不能帶病毒，而網(wǎng)絡(luò)操作系統(tǒng)本身不感染病毒。網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)將SYS系統(tǒng)卷設(shè)置成對其它用戶為只讀狀態(tài)，屏蔽其它網(wǎng)絡(luò)用戶對系統(tǒng)卷除讀取以外的其它所有操作，如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。在應(yīng)用程序卷安裝共享軟件時，應(yīng)由系統(tǒng)管理員進行，或由系統(tǒng)管理員臨時授權(quán)進行。系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子郵件系統(tǒng)、共享存儲區(qū)域和用戶卷進行病毒掃描，發(fā)現(xiàn)異常情況應(yīng)及時處理，不使其擴散。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第30頁/共48頁系統(tǒng)管理員的口令應(yīng)嚴格管理，為了防止泄漏，要定期或不定期地進行更換，保護網(wǎng)絡(luò)系統(tǒng)不被非法存取、感染上病毒或遭受破壞。在網(wǎng)絡(luò)工作站上采取必要的抗病毒技術(shù)措施，可使網(wǎng)絡(luò)用戶一開機就有一個良好的上機環(huán)境，不必再擔心來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身病毒。在服務(wù)器上安裝LanProtect等防病毒系統(tǒng)。實踐表明，這些簡單易行的措施是非常有效的。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第31頁/共48頁作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾條。在因特網(wǎng)中，由于不可能有百分之百的把握來阻止某些未來可能出現(xiàn)的計算機病毒的傳染，因此，當出現(xiàn)病毒傳染跡象時，應(yīng)立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進行處理。不應(yīng)讓系統(tǒng)帶病毒繼續(xù)工作下去，要按照特別情況查清整個網(wǎng)絡(luò)，使病毒無法反復出現(xiàn)來干擾工作。由于計算機病毒在網(wǎng)絡(luò)中傳播得非常迅速，很多用戶不知應(yīng)如何處理。因此，應(yīng)立即請求專家的幫助注意觀察下列現(xiàn)象：文件的大小和日期是否變化；系統(tǒng)啟動速度是否比平時慢；不做寫操作時出現(xiàn)“磁盤有寫保護”信息；6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第32頁/共48頁對貼有寫保護的軟盤操作時聲音很大；系統(tǒng)運行速度異常慢；用MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留；鍵盤、打印或顯示有異?，F(xiàn)象；有特殊文件自動生成；磁盤空間自動產(chǎn)生壞簇或磁盤空間減少；文件莫名其妙地丟失；系統(tǒng)異常死機的次數(shù)增加。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第33頁/共48頁6.5.2病毒的檢查計算機病毒要進行傳染，必然會留下痕跡。檢測計算機病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進而驗明“正身”，確認計算機病毒的存在。病毒靜態(tài)時存儲于磁盤中，激活時駐留在內(nèi)存中，因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。1．病毒的檢查方法檢測的原理主要是基于下列四種方法，比較被檢測對象與原始備份的比較法，利用病毒特征代碼串的搜索法，病毒體內(nèi)特定位置的特征字識別法以及運用反匯編技術(shù)分析被檢測對象，確認是否為病毒的分析法。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第34頁/共48頁比較法比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。搜索法搜索法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。計算機病毒特征字的識別法計算機病毒特征字的識別法是基于特征串掃描法發(fā)展起來的一種新方法。它工作起來速度更快、誤報警更少。特征字識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字來組成特征字庫。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第35頁/共48頁（4）分析法本方法由專業(yè)反病毒技術(shù)人員使用。分析法的目的在于：①確認被觀察的磁盤引導區(qū)和程序中是否含有病毒；②確認病毒的類型和種類，判定其是否是一種新病毒；③搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用；④詳細分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第36頁/共48頁病毒掃描程序這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱為病毒特征。這些病毒特征能唯一地識別某種類型的病毒，掃描程序能在程序中尋找這種病毒特征。完整性檢查程序另一類反病毒程序，它是通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。行為封鎖軟件該軟件的目的是防止病毒的破壞。通常，這種軟件試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發(fā)生時，行為封鎖軟件就會檢測到病毒并警告用戶。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第37頁/共48頁6.5.3計算機病毒的免疫計算機病毒的免疫，就是通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。

1．建立程序的特征值檔案嚴格內(nèi)存管理中斷向量管理6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第38頁/共48頁6.5.4計算機感染病毒后的恢復1．防止和修復引導記錄病毒防止軟引導記錄、主引導記錄和分區(qū)引導記錄病毒的較好方法是改變計算機的磁盤引導順序，避免從軟盤引導。必須從軟盤引導時，應(yīng)該確認該軟盤無毒。修復感染的軟盤修復感染的主引導記錄利用反病毒軟件修復

2．防止和修復可執(zhí)行文件病毒6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第39頁/共48頁6.5.5計算機病毒的清除使用DOS命令處理病毒引導型病毒的處理與引導型病毒有關(guān)的扇區(qū)大概有下面三個部分。硬盤的物理第一扇區(qū)，即0柱面、0磁頭、1扇區(qū)是開機之后存放的數(shù)據(jù)和程序是被最先訪問和執(zhí)行的。這個扇區(qū)成為“硬盤主引導扇區(qū)”。在該扇區(qū)的前半部分，稱為“主引導記錄”（Master

Boot

Record），簡稱MBR。第二部分不是程序，而是非執(zhí)行的數(shù)據(jù)，記錄硬盤

分區(qū)的信息，即人們常說的“硬盤分區(qū)表”（Partition

Table），從偏移量1BEH開始，到1FDH結(jié)束。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第40頁/共48頁（3）硬盤活動分區(qū)，大多是第一個分區(qū)的第一個扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū)，這個扇區(qū)稱為“活動分區(qū)的引導記錄”，它是開機后繼MBR后運行的第二段代碼的運行所在。其它分區(qū)也具有一個引導記錄（BOOT），但是其中的代碼不會被執(zhí)行。運行下面的程序來完成：“Fdisk／MBR”用于重寫一個無毒的MBR。“Fdisk”用于讀取或重寫硬盤分區(qū)表?！癋ormat

C：/S”或“SYS

C：”會重寫一個無毒的“活動分區(qū)的引導記錄”。對于可以更改活動分區(qū)的情況，需要另外特殊對待。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第41頁/共48頁3．宏病毒清除方法對于宏病毒最簡單的清除步驟為：關(guān)閉Word中的所有文檔。選擇“工具/模板/管理器/宏”選項。刪除左右兩個列表框中所有的宏（除了自己定義的）（一般病毒宏為AutoOpen、AutoNew或AutoClose）。關(guān)閉對話框。選擇“工具/宏”選項。若有

AutoOpen、AutoNew或AutoClose等宏，刪除之。6.5病毒的預防、檢查和清除2021年6月18日7時36分計算機網(wǎng)絡(luò)安全基礎(chǔ)第42頁/共48頁4．殺毒程序殺毒程序是許多反病毒程序中的一員，但它在處理病毒時，必須知道某種特別的病毒的信息，然后才能按需要對磁盤進行殺毒。對于文件型病毒，殺毒程序需要知道病毒的操作過程，如它將病毒代碼依附在文件頭部還是尾部。一旦病毒被從文件中清除，文件便恢復到原先的狀態(tài)，原先保存病