計(jì)算機(jī)病毒與反病毒技術(shù)

1、計(jì)算機(jī)病毒與反病毒技術(shù)導(dǎo) 讀計(jì)算機(jī)病毒的發(fā)展歷史及危害計(jì)算機(jī)病毒的基本特征和傳播方式病毒的結(jié)構(gòu)常用的反病毒技術(shù)常用的病毒防范方法2 9.1.1 計(jì)算機(jī)病毒的歷史9.1 計(jì)算機(jī)病毒1977年科幻小說(shuō)The Adolescence of P-1構(gòu)思 了一種能夠自我復(fù)制、利用通信進(jìn)行傳播的計(jì)算機(jī) 程序。1983年Fred Adleman首次在VAX 11/750上試驗(yàn)病毒；1987年Brain病毒在全世界傳播；1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒 襲擊美國(guó)6000臺(tái)計(jì)算機(jī)，直接損失盡億美元；八十年代末，病毒開始傳入我國(guó)(小球病毒)；1991年,病毒第一次用于戰(zhàn)爭(zhēng)實(shí)戰(zhàn)

2、;1998年,CIH病毒出現(xiàn),第一例破壞硬件的病毒;3病毒的產(chǎn)生 它的產(chǎn)生是計(jì)算機(jī)技術(shù)和社會(huì)信息化發(fā)展到一定階段的必然產(chǎn)物. 1、計(jì)算機(jī)病毒產(chǎn)生的背景（1）是計(jì)算機(jī)犯罪的新形式：計(jì)算機(jī)病毒是高技術(shù) 犯罪，具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取 證，風(fēng)險(xiǎn)小破壞大。（2）計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因。（3）微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境。9.1 計(jì)算機(jī)病毒42、計(jì)算機(jī)病毒產(chǎn)生的原因搞計(jì)算機(jī)的人員和業(yè)余愛好者的惡作劇、尋開心制造出的病毒, 例如象圓點(diǎn)一類的良性病毒。 個(gè)別人的報(bào)復(fù)心理。例如1987年底出現(xiàn)在以色列耶路撒冷西伯萊大學(xué)的猶太人病毒, 就是雇員在工作中受挫或被辭退時(shí)故意制

3、造的。 用于版權(quán)保護(hù)的目的而采取的報(bào)復(fù)性懲罰措施。 用于研究或有益目的而設(shè)計(jì)的程序, 由于某種原因失去控制或產(chǎn)生了意想不到的效果。 9.1 計(jì)算機(jī)病毒59.1.2 病毒的本質(zhì)病毒的概念 計(jì)算機(jī)病毒是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。 “計(jì)算機(jī)病毒（Computer Virus）是指編制的或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”9.1 計(jì)算機(jī)病毒6 病毒的定義借用了生物學(xué)病毒的概念, 計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系

4、統(tǒng)和網(wǎng)絡(luò), 危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞, 同時(shí)能夠自我復(fù)制, 具有傳染性。 與生物病毒不同的是幾乎所有的計(jì)算機(jī)病毒都是人為地故意制造出來(lái)的, 有時(shí)一旦擴(kuò)散出來(lái)后連編者自己也無(wú)法控制。它已經(jīng)不是一個(gè)簡(jiǎn)單的純計(jì)算機(jī)學(xué)術(shù)問(wèn)題, 而是一個(gè)嚴(yán)重的社會(huì)問(wèn)題了。 9.1 計(jì)算機(jī)病毒7病毒的生命周期（1）隱藏階段：這個(gè)階段的病毒不進(jìn)行操作，而是等待事件觸發(fā)。（2）傳播階段：病毒會(huì)把自身的一個(gè)副本傳播到未感染這種病毒的程序或磁盤的某個(gè)扇區(qū)中去。（3）觸發(fā)階段：病毒將被激活去執(zhí)行病毒設(shè)計(jì)者預(yù)先設(shè)計(jì)好的功能。（4）執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計(jì)的功能直至執(zhí)行完畢。9.1 計(jì)算機(jī)病

5、毒8病毒的生存周期: 1. 判斷部分 判斷是否滿足發(fā)作條件 2. 執(zhí)行部分 執(zhí)行惡意代碼 3. 偽裝、復(fù)制部分 1)偽裝成正常程序，或者隱藏自身。（木馬常用） 2)復(fù)制自身代碼依附到其他正常程序上（傳染），這是傳統(tǒng)病毒的特征。 9.1 計(jì)算機(jī)病毒9病毒的特征： （1）傳染性； 傳染性是病毒的基本特征。計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，使被感染的計(jì)算機(jī)工作失常甚至癱瘓。 病毒程序一般通過(guò)修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中，利用這種方法達(dá)到病毒的傳染和擴(kuò)散。（被嵌入的程序叫做宿主程序） 9.1 計(jì)算機(jī)病毒10（2）破壞性 對(duì)系統(tǒng)來(lái)講，所有的計(jì)算機(jī)病毒都存在

6、一個(gè)共同的危害，即占用系統(tǒng)資源，降低計(jì)算機(jī)系統(tǒng)的工作效率。 計(jì)算機(jī)病毒可能會(huì)徹底破壞系統(tǒng)的正常運(yùn)行它可以毀掉系統(tǒng)的部分?jǐn)?shù)據(jù)，也可以破壞全部數(shù)據(jù)并使之無(wú)法恢復(fù)。并非所有的病毒都有惡劣的破壞作用，有些病毒除了占用磁盤和內(nèi)存外，沒(méi)有別的危害。但有時(shí)幾種本沒(méi)有多大破壞作用的病毒交叉感染，也會(huì)導(dǎo)致系統(tǒng)崩潰。9.1 計(jì)算機(jī)病毒11（3）潛伏性 ： 計(jì)算機(jī)病毒程序進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)。潛伏性越好，它的危害就越大 潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測(cè)程序是檢查不出來(lái)的。 潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種

7、觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。 9.1 計(jì)算機(jī)病毒12（4）可執(zhí)行性 計(jì)算機(jī)病毒與其他合法程序一樣，是一段可執(zhí)行的程序，但它不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序中。只有在執(zhí)行時(shí)，才具有傳染性、破壞性。 未經(jīng)授權(quán)而執(zhí)行：病毒通過(guò)悄悄地篡奪合法程序的系統(tǒng)控制權(quán)而得到運(yùn)行的機(jī)會(huì)。一般正常的程序是由用戶啟動(dòng)，完成用戶交給的任務(wù)，其目的對(duì)用戶是可見的。而病毒隱藏在合法程序中，當(dāng)用戶啟動(dòng)合法程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行。病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。9.1 計(jì)算機(jī)病毒13（5）可觸發(fā)性： 病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染

8、或進(jìn)行攻擊的特性稱為可觸發(fā)性。 病毒的觸發(fā)機(jī)制用來(lái)控制感染和破壞動(dòng)作的頻率。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。 如CIH，觸發(fā)條件：26日 9.1 計(jì)算機(jī)病毒14（6）隱蔽性： 病毒一般不經(jīng)過(guò)代碼分析，很難與正常程序是區(qū)分出來(lái)。一般在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。 一是傳染的隱蔽性，大多數(shù)病毒在傳染時(shí)速度是極快的，不易被人發(fā)現(xiàn)。 二是病毒程序存在的隱蔽性，一般的病毒程序都附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。9.1 計(jì)算機(jī)病毒15（7）衍生性：

9、 分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染和破壞部分反映了設(shè)計(jì)者的設(shè)計(jì)思想和設(shè)計(jì)目的。但是，這可以被其他掌握原理的人進(jìn)行任意改動(dòng)，從而又衍生出一種不同于原版本的新的計(jì)算機(jī)病毒（又稱為變種），這就是計(jì)算機(jī)病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴(yán)重得多。9.1 計(jì)算機(jī)病毒16（8）寄生性： 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對(duì)宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁衍。9.1 計(jì)算機(jī)病毒179.1 計(jì)算機(jī)病毒9.1.3 病毒的分類按破壞性分為：無(wú)害型無(wú)危險(xiǎn)型危險(xiǎn)型非常危險(xiǎn)型

10、按激活時(shí)間分為定時(shí)隨機(jī)18按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的EXE文件?！叭湎x”型病毒：只占用內(nèi)存，不改變文件，通過(guò)網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長(zhǎng)度。一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。9.1 計(jì)算機(jī)病毒19按傳染方式分為：文件型：病毒一般附著在可執(zhí)行文件上,長(zhǎng)駐內(nèi)存;引導(dǎo)型：影響軟盤引導(dǎo)扇區(qū)及硬盤主引

11、導(dǎo)扇區(qū),當(dāng)系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存，控制系統(tǒng)；混合型：既可感染引導(dǎo)區(qū)，又可感染文件。宏病毒：感染MS Office文檔網(wǎng)絡(luò)病毒:木馬、蠕蟲病毒、網(wǎng)頁(yè)病毒9.1 計(jì)算機(jī)病毒20理論上，與外界交換數(shù)據(jù)的所有場(chǎng)合都有可能。傳播途徑：因特網(wǎng)傳播:通過(guò)電子郵件傳播、通過(guò)瀏覽網(wǎng)頁(yè)和下載軟件傳播、通過(guò)即時(shí)通訊軟件傳播、通過(guò)網(wǎng)絡(luò)游戲傳播；局域網(wǎng)傳播：數(shù)據(jù)在從一臺(tái)計(jì)算機(jī)發(fā)送到其他計(jì)算機(jī)上時(shí)，傳播了被感染文件；通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備傳播：計(jì)算機(jī)的專用集成電路芯片(ASIC)和硬盤為病毒的重要傳播媒介。極為少見，但破壞性強(qiáng)。9.1.3 病毒的傳播及危害9.1 計(jì)算機(jī)病毒21通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播：移動(dòng)存儲(chǔ)設(shè)備包括我們

12、常見的軟盤、磁帶、光盤、移動(dòng)硬盤、U盤(含數(shù)碼相機(jī)、MP3等)。U盤病毒逐步的增加，使得U盤成為第二大病毒傳播途徑。無(wú)線設(shè)備傳播：隨著手機(jī)功能性的開放和增值服務(wù)的拓展，手機(jī)病毒會(huì)成為新一輪電腦病毒危害的“源頭”。特別是智能手機(jī)和3G網(wǎng)絡(luò)的發(fā)展，讓手機(jī)病毒的傳播速度和危害程度與日俱增。9.1 計(jì)算機(jī)病毒22病毒的危害：國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心2008年公布的數(shù)據(jù)顯示，我國(guó)計(jì)算機(jī)病毒感染率達(dá)到。在受病毒感染的用戶中，感染病毒3次以上的用戶達(dá)、密碼被盜的用戶占。 近年來(lái)病毒功能越來(lái)越強(qiáng)大，不僅擁有蠕蟲病毒傳播速度和破壞能力，而且還具有木馬的控制計(jì)算機(jī)和盜竊重要信息的功能。如“熊貓燒香” 病毒的制造

13、、傳播者追求經(jīng)濟(jì)利益的目的越來(lái)越強(qiáng)，這種趨利性引發(fā)了大量的網(wǎng)絡(luò)犯罪活動(dòng)。 9.1 計(jì)算機(jī)病毒23危害的表現(xiàn)：1病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用。 如：格式化磁盤、改寫文件分配表和目錄區(qū)、刪除或者改寫替換文件等。2占用磁盤空間和對(duì)信息的破壞。 引導(dǎo)型病毒侵占引導(dǎo)扇區(qū)，導(dǎo)致文件丟失。文件型病毒大量侵占磁盤空間。3搶占系統(tǒng)資源 病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。搶占中斷，破壞正常運(yùn)行。 9.1 計(jì)算機(jī)病毒244影響計(jì)算機(jī)運(yùn)行速度 長(zhǎng)駐內(nèi)存的病毒或多或少的要消耗系統(tǒng)處理時(shí)間。5計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害 病毒特別是變種病毒存在大量錯(cuò)誤，帶來(lái)極大危害6計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行

14、的影響 病毒的兼容性較差，常常導(dǎo)致死機(jī)。7計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力 經(jīng)常遭到病毒攻擊，導(dǎo)致用戶對(duì)病毒產(chǎn)生恐懼心理，從而產(chǎn)生誤判，帶來(lái)?yè)p失。9.1 計(jì)算機(jī)病毒25病毒破壞行為的常見表現(xiàn)：BIOS病毒現(xiàn)象1、開機(jī)運(yùn)行幾秒后突然黑屏2、外部設(shè)備無(wú)法找到3、硬盤無(wú)法找到4、電腦發(fā)出異樣聲音硬盤引導(dǎo)區(qū)病毒現(xiàn)象1、無(wú)法正常啟動(dòng)硬盤2、引導(dǎo)時(shí)出現(xiàn)死機(jī)現(xiàn)象3、執(zhí)行C盤時(shí)顯示“Not ready error drive A Abort，Retry，F(xiàn)ail?”9.1 計(jì)算機(jī)病毒26操作系統(tǒng)病毒現(xiàn)象1、引導(dǎo)系統(tǒng)時(shí)間變長(zhǎng)2、計(jì)算機(jī)處理速度比以前明顯放慢3、系統(tǒng)文件出現(xiàn)莫名其妙的丟失，或字節(jié)變長(zhǎng)，日期修改等

15、現(xiàn)象4、系統(tǒng)生成一些特殊的文件5、驅(qū)動(dòng)程序被修改使得某些外設(shè)不能正常工作6、軟驅(qū)、光驅(qū)丟失7、計(jì)算機(jī)經(jīng)常死機(jī)或重新啟動(dòng)9.1 計(jì)算機(jī)病毒27應(yīng)用程序病毒現(xiàn)象1、啟動(dòng)應(yīng)用程序出現(xiàn)“非法錯(cuò)誤”對(duì)話框2、應(yīng)用程序文件變大3、應(yīng)用程序不能被復(fù)制、移動(dòng)、刪除4、硬盤上出現(xiàn)大量無(wú)效文件5、某些程序運(yùn)行時(shí)載入時(shí)間變長(zhǎng)9.1 計(jì)算機(jī)病毒28格式：.病毒前綴是指一個(gè)病毒的種類，他是用來(lái)區(qū)別病毒的種族分類的。病毒名是指一個(gè)病毒的家族特征，是用來(lái)區(qū)別和標(biāo)識(shí)病毒家族的。病毒后綴是指一個(gè)病毒的變種特征，是用來(lái)區(qū)別具體某個(gè)家族病毒的某個(gè)變種的，可能有多個(gè)。 9.1.5 病毒的命名9.1 計(jì)算機(jī)病毒29CIH病毒是一種能夠

16、破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒，臺(tái)灣制造。CIH病毒傳播的主要途徑是Internet和電子郵件，它也會(huì)通過(guò)軟盤或光盤的交流傳播。CIH病毒只感染W(wǎng)indows 95/98操作系統(tǒng)，對(duì)DOS操作系統(tǒng)及NT以上系統(tǒng)(winNT,2000,XP,2003,VISTA等)無(wú)危害。傳播的實(shí)時(shí)性和隱蔽性很強(qiáng)。9.2 典型病毒分析9.2.1 CIH病毒30CIH病毒發(fā)作特征 當(dāng)其發(fā)作條件成熟時(shí)，其將破壞硬盤數(shù)據(jù)，同時(shí)有可能破壞BIOS程序，其發(fā)作特征是：1、以2048個(gè)扇區(qū)為單位，從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)被全部破壞為止。最壞的情況下硬盤所有數(shù)據(jù)(含全部邏輯盤數(shù)據(jù))均被破壞。2、

17、某些主板上的Flash Rom中的BIOS信息將被清除。 9.2 典型病毒分析31CIH病毒的版本 CIH病毒屬文件型病毒，其別名有、PE_CIH，發(fā)展過(guò)程經(jīng)歷了v1.0,v1.1,共5個(gè)版本，最流行的是版本。 在CIH的相關(guān)版本中，只有、這3個(gè)版本的病毒具有實(shí)際的破壞性，感染后只增加文件長(zhǎng)度，具有可判斷Win NT軟件的功能，一旦判斷用戶運(yùn)行的是Win NT，則不發(fā)生作用，進(jìn)行自我隱藏，以避免產(chǎn)生錯(cuò)誤提示信息。 9.2 典型病毒分析32宏是微軟公司為其OFFICE軟件包設(shè)計(jì)的一個(gè)特殊功能，目的是讓用戶文檔中的一些任務(wù)自動(dòng)化。OFFICE中的WORD和EXEAL都有宏。宏病毒是一種寄存在文檔或

18、模板的宏中的計(jì)算機(jī)病毒。一旦打開中毒的文檔，宏就會(huì)被執(zhí)行，宏病毒就會(huì)被激活，從而轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。使得以后編輯的自動(dòng)保存的文檔都會(huì)感染。9.2 典型病毒分析9.2.2 宏病毒33宏病毒的危害：1.對(duì)WORD運(yùn)行的破壞是：不能正常打?。环忾]或改變文件存儲(chǔ)路徑；將文件改名；亂復(fù)制文件；封閉有關(guān)菜單；文件無(wú)法正常編輯。2.對(duì)系統(tǒng)的破壞是：WORD Basic語(yǔ)言能夠調(diào)用系統(tǒng)命令，造成破壞。 特點(diǎn)：感染數(shù)據(jù)文件、多平臺(tái)交叉感染、容易編寫、容易傳播9.2 典型病毒分析34宏病毒的預(yù)防與清除預(yù)防：?jiǎn)⒂煤瓴《痉雷o(hù)功能，防止宏自動(dòng)執(zhí)行。將自動(dòng)執(zhí)行宏功能禁止掉，即使有宏病毒存在，但無(wú)法

19、被激活，也無(wú)法發(fā)作傳染、破壞，這樣就起到了防毒的效果。方法：在“Windows資源管理器”中，按住Shift鍵，然后再雙擊該Word文檔，則可阻止自動(dòng)宏的運(yùn)行。9.2 典型病毒分析35在確定不使用宏的情況下，刪除模板中的宏。懷疑文件有宏病毒時(shí)，在WORD打開后另存為RTF格式（寫字板）或者格式，EXCEL另存為CSV格式。運(yùn)用NORMAL摸板保存提示防止自動(dòng)保存引起的病毒感染和激活。將常用的Word模板文件改為只讀屬性，可防止Word系統(tǒng)被感染；DOS下的和config .sys文件最好也都設(shè)為只讀屬性文件。9.2 典型病毒分析36清除： 手工：以Word為例，選取“工具”菜單中“宏”一項(xiàng)，進(jìn)

20、入“管理器”，在“宏有效范圍”下拉列表框中打開要檢查的文檔。將上面的列表框中不明來(lái)源的自動(dòng)執(zhí)行宏刪除即可。使用專業(yè)殺毒軟件：目前殺毒軟件都具備清除宏病毒的能力，不過(guò)只能對(duì)已知的宏病毒進(jìn)行檢查和清除, 對(duì)于新出現(xiàn)的病毒或病毒的變種則可能不能正常地清除，或者將會(huì)破壞文件的完整性，此時(shí)還是手工清理為妙。 9.2 典型病毒分析37蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序,它能傳播它自身功能的拷貝或它的某些部分到其他的計(jì)算機(jī)系統(tǒng)中。蠕蟲不需要將其自身附著到宿主程序，它是一種獨(dú)立智能程序。9.2.3 蠕蟲病毒9.2 典型病毒分析38蠕

21、蟲病毒常見的傳播方式有兩種： 1.利用系統(tǒng)漏洞傳播：蠕蟲病毒利用計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)缺陷，通過(guò)網(wǎng)絡(luò)主動(dòng)的將自己擴(kuò)散出去。 2.利用電子郵件傳播：蠕蟲病毒將自己隱藏在電子郵件中，隨電子郵件擴(kuò)散到整個(gè)網(wǎng)絡(luò)中，這也是個(gè)人計(jì)算機(jī)被感染的主要途徑。感染對(duì)象： 感染的對(duì)象是全網(wǎng)絡(luò)中所有的計(jì)算機(jī)，并且這種感染是主動(dòng)進(jìn)行的，幾小時(shí)可以蔓延全球。 9.2 典型病毒分析39預(yù)防方法：大多數(shù)蠕蟲通過(guò)都是利用了微軟Outlook的漏洞進(jìn)行傳播的，因此需要特別注意微軟網(wǎng)站提供的補(bǔ)丁。盡量少用OUTLOOK。對(duì)于郵件附件盡可能小心，打開郵件之前對(duì)附件進(jìn)行預(yù)掃描。設(shè)置文件夾選項(xiàng)，顯示文件名的擴(kuò)展名， 防止后綴名為VBS、SHS

22、等有毒文件。千萬(wàn)別打開擴(kuò)展名為VBS、SHS和PIF的郵件附件。另外對(duì)于有2個(gè)擴(kuò)展名的附件也要謹(jǐn)慎。 9.2 典型病毒分析40一般情況下勿將磁盤上的目錄設(shè)為共享，如果確有必要，請(qǐng)將權(quán)限設(shè)置為只讀，讀操作須指定口令。 當(dāng)你收到郵件廣告或者主動(dòng)提供的電子郵件時(shí)，不要打開附件以及它提供的鏈接。將瀏覽器的隱私設(shè)置設(shè)為“高”。不要從在線聊天系統(tǒng)的陌生人那里接受附件，比如ICQ或QQ中傳來(lái)的東西。9.2 典型病毒分析41病毒的發(fā)展趨勢(shì)（1）傳播網(wǎng)絡(luò)化（2）利用操作系統(tǒng)和應(yīng)用程序的漏洞 （3）混合型威脅 （4）病毒制作技術(shù)新 （5）病毒家族化特征顯著 9.2 典型病毒分析429.3.1 反病毒技術(shù)的發(fā)展階段

23、一個(gè)合理的反病毒方法，應(yīng)包括以下幾個(gè)措施：檢測(cè)：就是能夠確定一個(gè)系統(tǒng)是否已發(fā)生病毒感染，并能正確確定病毒的位置。識(shí)別：檢測(cè)到病毒后，能夠辯別出病毒的種類。清除：識(shí)別病毒之后，對(duì)感染病毒的程序進(jìn)行檢查，清除病毒并使程序還原到感染之前的狀態(tài)，從系統(tǒng)中清除病毒以保證病毒不會(huì)繼續(xù)傳播。9.3 反病毒技術(shù)43預(yù)防病毒的基本措施（1）人工預(yù)防也稱標(biāo)志免疫法。因?yàn)槿魏我环N病毒均有一定標(biāo)志，將此標(biāo)志固定在某一位置，然后把程序修改正確，達(dá)到免疫的目的。（2）軟件預(yù)防主要是使用計(jì)算機(jī)病毒的疫苗程序，這種程序能夠監(jiān)督系統(tǒng)運(yùn)行，并防止某些病毒入侵。（3）硬件預(yù)防主要采取兩種方法：一是改變計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)；二是插入附加固件。（4）管理預(yù)防：法律制度、計(jì)算機(jī)系統(tǒng)管理制度。 9.3 反病毒技術(shù)44清除病毒的基本方法清除病毒的基本方法包括人工處理和利用反病毒軟件兩種。人工處理方法是清除病毒的最基本方法，也是非常重要的方法，它通過(guò)準(zhǔn)確的分析判斷直接清除病毒。反病毒軟件具有對(duì)特定種類的病毒進(jìn)行檢測(cè)的功能，大部分反病毒軟件可同時(shí)消除查出來(lái)的病毒。另外，利用反病毒軟件消除病毒時(shí)，一般不會(huì)因清除病毒而破壞系統(tǒng)中的正常數(shù)據(jù)。但反病毒軟件很難處理變種病毒