計算機病毒的防治2

系統(tǒng)安全——計算機病毒防治2主講：劉亞琦《辦公自動化》計算機病毒具有以下幾個特點：1、寄生性計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。2、傳染性

計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產(chǎn)生變種，其速度之快令人難以預防。3、潛伏性有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。

12.5計算機病毒的特點4、隱蔽性計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。5、破壞性凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞。其表現(xiàn)：占用CPU時間和內(nèi)存開銷,從而造成進程堵塞；對數(shù)據(jù)或文件進行破壞；打亂屏幕的顯示等。1、移動存儲設備：優(yōu)盤、移動硬盤等移動存儲設備的廣泛使用2、網(wǎng)絡：這種傳染擴散極快,能在很短時間內(nèi)傳遍網(wǎng)絡上的機器。12.6計算機的傳播途徑各種病毒中，最應該引起我們注意的是惡意病毒，而目前有四大惡意病毒甚為猖獗，這些病毒的破壞性、傳染性、隱蔽性都很強，往往讓計算機用戶頭疼不已，有的用戶甚至在不知道自身計算機存在大量惡意病毒，而病毒已肆意發(fā)作、傳播，竊取用戶數(shù)據(jù)。1、宏病毒由于微軟的Office系列辦公軟件和Windows系統(tǒng)占了絕大多數(shù)的PC軟件市場，加上Windows和Office提供了宏病毒編制和運行所必需的庫（以VB庫為主）支持和傳播機會，所以宏病毒是最容易編制和流傳的病毒之一，很有代表性。宏病毒發(fā)作方式：在Word打開病毒文檔時，宏會接管計算機，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲存它們的宏。這樣的結(jié)果是某些Word版本會強迫你將感染的文檔儲存在模板中。判斷是否被感染：宏病毒一般在發(fā)作的時候沒有特別的跡象，通常是會偽裝成其他的對話框讓你確認。在感染了宏病毒的機器上，會出現(xiàn)不能打印文件、Office文檔無法保存或另存為等情況。宏病毒帶來的破壞：刪除硬盤上的文件；將私人文件復制到公開場合；從硬盤上發(fā)送文件到指定的E-mail、FTP地址。防范措施：平時最好不要幾個人共用一個Office程序，要加載實時的病毒防護功能。病毒的變種可以附帶在郵件的附件里，在用戶打開郵件或預覽郵件的時候執(zhí)行，應該留意。一般的殺毒軟件都可以清除宏病毒。12.7四大惡意病毒2、CIH病毒CIH是本世紀最著名和最有破壞力的病毒之一，它是第一個能破壞硬件的病毒。發(fā)作破壞方式：主要是通過篡改主板BIOS里的數(shù)據(jù)，造成電腦開機就黑屏，從而讓用戶無法進行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡上通過捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤上的文件及破壞硬盤的分區(qū)表。所以CIH發(fā)作以后，即使換了主板或其他電腦引導系統(tǒng)，如果沒有正確的分區(qū)表備份，染毒的硬盤上特別是其C分區(qū)的數(shù)據(jù)挽回的機會很少。防范措施：已經(jīng)有很多CIH免疫程序誕生了，包括病毒制作者本人寫的免疫程序。一般運行了免疫程序就可以不怕CIH了。如果已經(jīng)中毒，但尚未發(fā)作，記得先備份硬盤分區(qū)表和引導區(qū)數(shù)據(jù)再進行查殺，以免殺毒失敗造成硬盤無法自舉。3、蠕蟲病毒蠕蟲病毒以盡量多復制自身（像蟲子一樣大量繁殖）而得名，多感染電腦和占用系統(tǒng)、網(wǎng)絡資源，造成PC和服務器負荷過重而死機，并以使系統(tǒng)內(nèi)數(shù)據(jù)混亂為主要的破壞方式。它不一定馬上刪除你的數(shù)據(jù)讓你發(fā)現(xiàn)，比如著名的愛蟲病毒和尼姆達病毒。4、木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡病毒，等待時機成熟就出來害人。傳染方式：通過電子郵件附件發(fā)出；捆綁在其他的程序中。病毒特性：會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機加載附帶的木馬。木馬病毒的破壞性：木馬病毒的發(fā)作要在用戶的機器里運行客戶端程序，一旦發(fā)作，就可設置后門，定時地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時內(nèi)置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。病毒產(chǎn)業(yè)鏈是一條在病毒背后形成的非常完善的流水作業(yè)程序，制造、販賣、交易、傳播、使用“一條龍”，環(huán)環(huán)相扣，最終禍害網(wǎng)絡用戶，牟取經(jīng)濟利益。這一巨大的灰色產(chǎn)業(yè)鏈，發(fā)展迅速，百億暴利，受威脅的用戶增長也非常驚人，國內(nèi)的管理部門針對病毒產(chǎn)業(yè)的危害后果將采取一系列的整治及補救措施，加大打擊力度，嚴懲網(wǎng)絡犯罪。病毒產(chǎn)業(yè)鏈:制造、販賣、交易、傳播、使用“一條龍”，環(huán)環(huán)相扣，最終禍害網(wǎng)絡用戶，牟取經(jīng)濟利益?！靶茇垷恪卑甘堑湫偷牟《井a(chǎn)業(yè)鏈.據(jù)警方介紹，在“熊貓燒香”案中，產(chǎn)業(yè)鏈的每一環(huán)都有不同的牟利方式。病毒制造者有兩種方式，一是“賣病毒”，按購買者的要求在病毒程序中填上“指定網(wǎng)址”后把病毒出售；二是“賣肉機”，因中毒而被病毒制造者控制的計算機被稱為“肉機”，“肉機”的資料信息隨時可被竊取，“賣肉機”就是轉(zhuǎn)讓控制權(quán)。病毒購買者的牟利方式主要是“賣流量”，由于病毒程序中預設了“指定網(wǎng)址”，而這個“指定網(wǎng)址”設置了木馬程序，中毒的計算機只要一上網(wǎng)，就會被強制性地牽到這個“指定網(wǎng)址”上，自動下載木馬程序，將這臺計算機的相關(guān)信息資料傳給購買者，這些信息資料被稱為“信”，病毒購買者往往會將某一“指定網(wǎng)址”的“獲信權(quán)”出售，根據(jù)訪問流量收取費用。12.6病毒產(chǎn)業(yè)鏈各個環(huán)節(jié)的具體分工制造病毒在木馬王國里處于產(chǎn)業(yè)鏈的最高端，被稱之為“造槍的”，大多是程序員或者工作室，他們出于不同目的走到一起，針對不同的盜號目標開發(fā)不同版本的“木馬”。出售病毒負責“木馬”銷售的則被稱之為“賣槍的”，他們負責通過自建網(wǎng)站，向有意通過購買“木馬”而實施網(wǎng)絡盜竊的不法分子進行銷售，完成資金回流。購買病毒購買木馬的盜竊實施者。掛馬被雇傭散工將木馬通過各種方式盡可能多地傳播出去。分銷把包含信息的郵件打包轉(zhuǎn)賣給“大買家”，或自行雇人洗劫。變現(xiàn)從賬號里盜竊出來的虛擬物品被兌換成游戲虛擬物品，并轉(zhuǎn)移到某個倉庫賬號，在虛擬交易平臺上完成銷贓，最終變成人民幣。計算機病毒的發(fā)展是與計算機病毒對抗技術(shù)緊密聯(lián)系的。病毒對抗也叫做反病毒或殺毒。其主要工作就是分析病毒特征，尋找有效的方法在被感染的計算機上刪除病毒程序，組織病毒進一步傳播。普通用戶反病毒工作主要是使用計算機殺毒軟件進行病毒攔截、掃描和處置。1、殺毒原理殺毒軟件的任務是實時監(jiān)控和掃描磁盤。病毒會有一組代碼在寄生文件時是固定的，叫特征碼。殺毒軟件駐留內(nèi)存，假如發(fā)現(xiàn)特征碼即確定為病毒，所以計算機病毒制造者就要不斷地變換代碼以防止自身被查殺，這也就是說沒有一個病毒是可以永久不被查殺或者被有效制止的，一個病毒的消亡只是一個時間問題。反病毒工作者的任務也就是要在最短的時間內(nèi)分析出病毒特征，并找到有效地處置辦法。12.7病毒對抗2、殺毒軟件常見殺毒技術(shù)（1）實時監(jiān)控技術(shù)殺毒軟件的實時監(jiān)控方式因軟件而異。有的殺毒軟件，是通過在內(nèi)存里劃分一部分空間，將電腦里流過內(nèi)存的數(shù)據(jù)與殺毒軟件自身所帶的病毒庫（包含病毒定義）的特征碼相比較，以判斷是否為病毒。另一些殺毒軟件則在所劃分到的內(nèi)存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結(jié)果作出判斷。而掃描磁盤的方式，則和上面提到的實時監(jiān)控的第一種工作方式一樣，只是在這里，殺毒軟件將會將磁盤上所有的文件（或者用戶自定義的掃描范圍內(nèi)的文件）做一次檢查。（2）主動防御技術(shù)主動防御是一種阻止惡意程序執(zhí)行的技術(shù)，提供了更開放的高級用戶自定義規(guī)則功能，用戶可以根據(jù)自己系統(tǒng)的特殊情況，制定獨特的防御規(guī)則，使主動防御可以最大限度的保護系統(tǒng)。（3）云查殺隨著計算機和互聯(lián)網(wǎng)的不斷發(fā)展，計算機病毒越來越復雜，常見到殺毒軟件不能立即處理新型病毒或者未知病毒，而就是這個空缺期，病毒往往會對用戶的數(shù)據(jù)安全造成極大的影響。為了解決這個辦法，研究人員發(fā)明了“云查殺”技術(shù)，也就是互聯(lián)網(wǎng)查殺病毒。其原理是將病毒樣本放入服務器，通過殺毒軟件公司的服務器智能檢測，自動判斷文件是否