病毒診斷與防治技術課件

總目錄12.1計算機病毒的定義12.2計算機病毒的診斷與防治技術12.3網(wǎng)絡病毒的診斷與防治第12章病毒診斷與防治技術12.4常用病毒軟件的使用技術12.5應用實例總目錄12.1計算機病毒的定義12.2計算機病毒的診1總目錄本節(jié)內(nèi)容

12.1.1計算機病毒的定義12.1.2計算機病毒的基本原理12.1.3計算機病毒的分類12.1.4計算機病毒的破壞能力

12.1計算機病毒概述總目錄本節(jié)內(nèi)容12.1計算機病毒概述2總目錄12.1.1計算機病毒的定義1．病毒的定義美國計算機研究專家F·Cohen博士最早提出了“計算機病毒”的概念：計算機病毒是一段人為編制的計算機程序代碼。這段代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。其特性在很多方面與生物病毒有著極其相似的地方?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》第二十八條中對計算機病毒做的定義是：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。廣義上說，凡能夠破壞計算機正常運行和破壞計算機中數(shù)據(jù)的程序代碼都可以稱為計算機病毒?？偰夸?2.1.1計算機病毒的定義3總目錄從1987年發(fā)現(xiàn)第1例計算機病毒以來，計算機病毒的發(fā)展經(jīng)歷了以下幾個主要階段：DOS引導階段；DOS可執(zhí)行文件階段；混合型階段；伴隨及批次性階段；多形性階段；生成器及變體機階段；網(wǎng)絡及蠕蟲階段；視窗階段；宏病毒階段；互聯(lián)網(wǎng)病毒階段?？偰夸洀?987年發(fā)現(xiàn)第1例計算機病毒以來，計算機病4總目錄12.1.2計算機病毒的基本原理1.

計算機病毒的工作原理(1)計算機病毒的主要特征l

可控性：計算機病毒與各種應用程序一樣也是人為編寫出來的，是可控制的。l

傳染性：病毒的傳染性又稱“自我復制”或“再生”。再生是判斷是不是計算機病毒的最重要依據(jù)。在一定條件下，病毒通過某種渠道從一個文件和一臺計算機傳染到另外沒有被病毒傳染的文件和計算機。l

奪取系統(tǒng)控制權：計算機病毒的首要目標就是爭奪系統(tǒng)的控制權，一般采用修改中斷入口或在正常程序中插入一段病毒程序，在系統(tǒng)啟動或程序調用時，先運行病毒程序，而后才轉向正常的系統(tǒng)或程序運行。l

隱蔽性：計算機病毒的隱蔽性表現(xiàn)在兩個方面：其一，傳染的隱蔽性，大多數(shù)病毒在進行傳染時不具有外部表現(xiàn)，不易被人發(fā)現(xiàn)。其二，一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)。l

潛伏性：一個編制精巧的計算機病毒程序，傳染計算機或網(wǎng)絡后，可以潛伏幾周或者幾個月甚至幾年。總目錄12.1.2計算機病毒的基本原理5總目錄(2)計算機病毒發(fā)作的觸發(fā)條件l利用系統(tǒng)時鐘提供的時間作為觸發(fā)機制，這種觸發(fā)機制被大量病毒使用。如“CIH”病毒是在每月的26日才會觸發(fā)，“黑色星期五”病毒是在既是13日又是星期五才觸發(fā)。l

利用病毒體自帶的計數(shù)器作為觸發(fā)器。l

利用特定環(huán)境作為觸發(fā)條件?？偰夸?2)計算機病毒發(fā)作的觸發(fā)條件6總目錄(3)不可預見性不同種類病毒的代碼千差萬別，病毒的制作技術也在不斷地提高，病毒比反病毒軟件永遠是超前的。新的操作系統(tǒng)和應用系統(tǒng)的出現(xiàn)，軟件技術不斷地發(fā)展，這在為計算機提供了新的發(fā)展空間的同時，也對未來病毒的預測更加困難，這就要求人們不斷提高對病毒的認識，增強防范意識。總目錄(3)不可預見性7總目錄(4)病毒的衍生性、持久性和欺騙性l

人們可以對一種計算機病毒進行改進，從而衍生出一種不同于原版本的新的計算機病毒（又稱為變種病毒）。l

計算機病毒程序可由一個受感染的拷貝通過網(wǎng)絡系統(tǒng)反復傳播，使得病毒的感染具有持久性和復雜性。l

計算機病毒行動詭秘，而計算機對其反應卻較“遲鈍”，往往把病毒造成的錯誤當成事實接受下來，這就是計算機病毒的欺騙性。總目錄(4)病毒的衍生性、持久性和欺騙性8總目錄2.計算機病毒的作用機理任何一種計算機病毒都是由三個部份組成：引導部份、傳染部份和表現(xiàn)部份。l

病毒的引導部份的作用是將病毒的主體加載到計算機內(nèi)存，為感染部份作準備，在這期間發(fā)生駐留內(nèi)存、修改中斷地址、修改存放在高端內(nèi)存中的信息、保存原中斷向量等操作。引導部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內(nèi)存，為傳染部分做準備。l

病毒的傳染部份的作用是將病毒代碼程序自動傳染到目標上去。不同的病毒在傳染方式和傳染條件上各有不同。l

病毒的表現(xiàn)部份是病毒主體部份，病毒對計算機系統(tǒng)的破壞就是表現(xiàn)部份的作為，病毒的引導部份及傳染部份都是為表現(xiàn)部份服務的。大部份病毒都是在一定的條件下才會觸發(fā)其表現(xiàn)部份的?？偰夸?.計算機病毒的作用機理9總目錄12.1.3計算機病毒的分類1.DOS病毒（DOSVirus）指針對DOS操作系統(tǒng)開發(fā)的病毒。由于Windows2000/XP/2003病毒的出現(xiàn)，DOS病毒幾乎絕跡。但DOS病毒在Windows2000/XP/2003環(huán)境中仍可以進行感染，因此若執(zhí)行了染毒程序，Windows2000/XP/2003用戶也會被感染。使用現(xiàn)代的殺毒軟件能夠查殺的病毒中一半以上都是DOS病毒，可見DOS時代DOS病毒的泛濫程度。但這些眾多的病毒中除了少數(shù)幾個讓用戶膽戰(zhàn)心驚的病毒之外，大部分病毒都只是制作者出于好奇或對公開代碼進行一定變形而制作的病毒。

2.Windows病毒（WindowsVirus）主要指針對Windows2000/XP/2003操作系統(tǒng)的病毒。現(xiàn)在的電腦用戶一般都安裝Windows系統(tǒng)，Windows病毒一般感染W(wǎng)indows2000/XP/2003系統(tǒng)，其中最典型的病毒有CIH病毒。但這并不意味著可以忽略系統(tǒng)是WindowsNT系列包括Windows2000/XP/2003的計算機。一些Windows病毒不僅在Windows2000/XP/2003上正常感染，還可以感染W(wǎng)indowsNT上的其它文件。主要感染的文件擴展名為EXE、SCR、DLL、OCX等?？偰夸?2.1.3計算機病毒的分類10總目錄3.入侵型病毒（IntrusionVirus）可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下難以發(fā)現(xiàn)，清除起來較困難。4.嵌入式病毒(EmbeddedVirus)這種病毒將自身代碼嵌入到被感染文件中，當文件被感染后，查殺和清除病毒都很困難。由于編寫嵌入式病毒比較困難，所以這種病毒數(shù)量不多。5.外殼類病毒(ShellVirus)這種病毒將自身代碼附著于正常程序的首部或尾部。該類病毒的種類繁多，大多感染文件的病毒都是這種類型?？偰夸?.入侵型病毒（IntrusionVirus11總目錄6.引導區(qū)病毒（BootVirus）通過感染軟盤的引導扇區(qū)和硬盤的引導扇區(qū)或者主引導記錄進行傳播的病毒。7.文件型病毒（FileVirus）指將自身代碼插入到可執(zhí)行文件內(nèi)來進行傳播并伺機進行破壞的病毒。8.宏病毒（MacroVirus）使用宏語言編寫，可以在一些數(shù)據(jù)處理系統(tǒng)中運行（主要是微軟的辦公軟件系統(tǒng)，字處理、電子數(shù)據(jù)表和其他Office程序中），利用宏語言的功能將自己復制并且繁殖到其他數(shù)據(jù)文檔里的程序。總目錄6.引導區(qū)病毒（BootVirus）12總目錄9.蠕蟲病毒（WormVirus）通過網(wǎng)絡或者程序漏洞進行自主傳播，向外發(fā)送帶毒郵件或通過即時通訊工具（QQ、MSN等）發(fā)送帶毒文件，阻塞網(wǎng)絡的正常通信。10.特洛伊木馬（Trojan）通常假扮成有用的程序誘騙用戶主動激活，或利用系統(tǒng)漏洞侵入用戶電腦。木馬進入用戶電腦后隱藏在的系統(tǒng)目錄下，然后修改注冊表，完成黑客定制的操作。11.后門程序（Backdoor）會通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的電腦并隱藏在系統(tǒng)目錄下，被開后門的計算機可以被黑客遠程控制。黑客可以用大量被植入后門程序的計算機組成僵尸網(wǎng)絡（Botnet）用以發(fā)動網(wǎng)絡攻擊等?？偰夸?.蠕蟲病毒（WormVirus）13總目錄12.惡意腳本（HarmScript）、惡意網(wǎng)頁使用腳本語言編寫，嵌入在網(wǎng)頁當中，調用系統(tǒng)程序、修改注冊表對用戶計算機進行破壞，或調用特殊指令下載并運行病毒、木馬文件。

13.惡意程序（HarmProgram）會對用戶的計算機、文件進行破壞的程序，本身不會復制和傳播。14.惡作劇程序（Joke）這一類程序不會對用戶的計算機、文件造成破壞，但會降低計算機和網(wǎng)絡的運行效率，并會給用戶帶來恐慌和不必要的麻煩?？偰夸?2.惡意腳本（HarmScript）、惡意14總目錄12.1.4計算機病毒的破壞能力l

病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用；l

干擾系統(tǒng)運行，使運行速度下降；l

占有磁盤空間和對信息的破壞；l

強占系統(tǒng)資源；l

干擾I/O設備，篡改預定設置以及擾亂運行；l

破壞網(wǎng)絡系統(tǒng)，非法使用網(wǎng)絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡帶寬等。總目錄12.1.4計算機病毒的破壞能力15總目錄12.2計算機病毒的診斷與防治技術本節(jié)內(nèi)容12.2.1計算機病毒的檢測12.2.2計算機病毒的防范措施總目錄12.2計算機病毒的診斷與防治技術本節(jié)內(nèi)容16總目錄12.2.1計算機病毒的檢測

1.計算機病毒的表現(xiàn)當計算機染上病毒之后，會有許多明顯的特征。例如，文件的長度和日期忽然改變、系統(tǒng)執(zhí)行速度下降、出現(xiàn)一些奇怪的信息、無故死機，更為嚴重的是硬盤已經(jīng)被格式化了。如果你的計算機上出現(xiàn)下述現(xiàn)象，則有可能是感染了計算機病毒：l

系統(tǒng)啟動速度比平時慢；l

系統(tǒng)運行速度異常；l

某些文件的長度及文件的建立日期發(fā)生變化；l

沒有發(fā)出“寫”操作命令而出現(xiàn)“磁盤寫保護”的提示；l

在內(nèi)存中發(fā)現(xiàn)不明程序的駐留或不明進程的運行；l

打印機、顯示器有異?，F(xiàn)象；l

系統(tǒng)自動生成一些不明的特殊文件；l

文件莫明奇妙地丟失；l

系統(tǒng)自動關機；l

系統(tǒng)經(jīng)常異常死機?？偰夸?2.2.1計算機病毒的檢測17總目錄2.計算機病毒的診斷常見的防毒軟件是如何去發(fā)現(xiàn)它們的呢？就是利用所謂的病毒碼（VirusPattern）。病毒碼其實可以想象成是犯人的指紋，當防毒軟件公司收集到一個新的病毒時，就會從這個病毒程序中，截取小段獨一無二足以表示這個病毒的二進制程序代碼（binarycode），來當作掃毒程序辨認病毒的依據(jù)，而這段獨一無二的二進制程序碼就是所謂的病毒碼。反病毒軟件常用以下6種技術來查找病毒：總目錄2.計算機病毒的診斷18總目錄(1)病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析，根據(jù)其特征，編成病毒碼，加入資料庫中。以后每當執(zhí)行掃描病毒程序時，能立刻掃描目標文件，并與病毒代碼對比，即能偵察到是否有病毒。大多數(shù)防毒軟件均采用這種方式，其缺點是無法掃描新病毒及以變種病毒。(2)加總比對法根據(jù)每個程序的文件名稱、大小、時間及內(nèi)容，加總（按位加）為一個檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個資料庫中，再利用加總法追蹤并記錄每個程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術可偵察到各種病毒，但最大的缺點是誤判較高，且無法確認是哪種病毒感染的。(3)人工智能陷阱人工智能陷阱是一種監(jiān)測電腦行為的常駐內(nèi)存掃描技術。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當?shù)男袨?，系統(tǒng)就會有所警覺。這種技術的優(yōu)點是執(zhí)行速度快，且可以偵察到各種病毒；其缺點是程序設計難度大?？偰夸?1)病毒碼掃描法19總目錄(4)軟件模擬掃描法軟件模擬掃描技術專門用來對付“千面人”病毒（Polymorphic/Mutationvirus）。千面人病毒在每次傳染時，都以不同的隨機亂數(shù)加密于每個中毒文件中，傳統(tǒng)病毒碼比對方式根本就無法找到這種病毒。(5)先知掃描法軟件模擬技術可以建立一個保護模式下的DOS虛擬機器，模擬CPU動作并通過執(zhí)行程序以解開變體引擎病毒，應用類似的技術也可以用來分析一般程序檢查可疑的病毒碼。因此，VICE可用來判斷程序有無病毒碼存在的方法，分析專家系統(tǒng)知識庫，再利用軟件工程模擬技術（softwareemulation）加上病毒運行機制，則可分析出新的病毒碼以對付以后的病毒。這就是先知掃描法VICE（VirusInstructionCodeEmulation）。(6)實時I/O掃描實時I/O掃描（real_timeI/Oscan）的目的是在于及時地對數(shù)據(jù)的輸入輸出動作做病毒碼對比的動作，希望能夠能在病毒尚未被執(zhí)行之前，就能夠截留下來。實時掃描技術會影響到數(shù)據(jù)的輸入輸出速度，但使用實時掃描技術后，文件一旦傳入就已經(jīng)被掃描和清除過病毒了。總目錄(4)軟件模擬掃描法20總目錄12.2.2計算機病毒的防范措施防范網(wǎng)絡病毒的過程實際上就是技術對抗的過程，反病毒技術也得適應病毒繁衍和傳播方式的發(fā)展而不斷調整。(1)系統(tǒng)防毒措施l

制定系統(tǒng)的防毒策略；l

部署多層防御策略；l

定期更新防毒定義文件和引擎；l

定期備份文件；l

預訂可發(fā)布新病毒威脅警告的電子郵件?？偰夸?2.2.2計算機病毒的防范措施21總目錄(2)終端用戶防毒措施l

對于來歷不明的郵件，最好不要輕易打開而是將其直接刪除。l

如果將MicrosoftWord當作電子編輯使用，就需要將NORMAL.DOT在操作系統(tǒng)級設置只讀文件。同時將MicrosoftWord的設置更改為“PrompttoSaveNormalTemplate（保存常規(guī)模板）”。許多病毒通過更改NORMAL.DOT文件進行自我傳播，采取上述措施可產(chǎn)生阻止作用。l

加上存儲介質的寫保護功能。(3)服務器防毒措施目前隨著基于Web的電子郵件訪問，公共文件夾以及訪問存儲器的映射網(wǎng)絡驅動器等方式的出現(xiàn)，病毒也可以通過多種方式進入電子郵件服務器。這時，就只有基于電子郵件服務器的解決方案才能檢測和刪除受感染的文件。從以下幾個方面可以做到防毒：l

攔截受感染的附件；l

設置全面的隨機掃描；l

試探隨機掃描；l

重要數(shù)據(jù)定期保存、備份。

總目錄(2)終端用戶防毒措施22總目錄(4)多層防御機制多層防御體系將病毒檢測、多層數(shù)據(jù)保護和集中式管理集成起來，提供全面的病毒防護能力，從而達到“治療”病毒的效果。病毒檢測一直是病毒防護的支柱，多層次防御軟件使用了三層保護功能：實時掃描、完整性保護、完整性檢驗。l

后臺實時掃描驅動器能對未知的異形病毒和秘密病毒進行連續(xù)的檢測。l

完整性保護可阻止病毒從一個感染的工作站擴散到服務器，還可以防止與未知的病毒感染有關的文件崩潰。l

完整性檢驗無需冗余的掃描而提高實時檢驗的性能。(5)在網(wǎng)關、服務器上防御措施防范手段應集中在網(wǎng)絡整體上，在個人計算機的硬件和軟件，LAN服務器、服務器上的網(wǎng)關、Internet及Internet的網(wǎng)站上，層層設防，對每種病毒都實行隔離，過濾。

總目錄(4)多層防御機制23總目錄12.3網(wǎng)絡病毒的診斷與防治本節(jié)內(nèi)容12.3.1網(wǎng)絡病毒的特征12.3.2計算機網(wǎng)絡病毒的診斷技術12.3.3局域網(wǎng)病毒的防范技術總目錄12.3網(wǎng)絡病毒的診斷與防治本節(jié)內(nèi)容24總目錄12.3.1網(wǎng)絡病毒的特征1.網(wǎng)絡病毒的傳播方式（1）郵件附件病毒經(jīng)常會附在郵件的附件里，然后起一個吸引人的名字，誘惑人們?nèi)ゴ蜷_附件，一旦人們試圖打開附件時，機器就會感染上附件中所附帶的病毒。（2）Email有些蠕蟲病毒會利用“MicrosoftSecurityBulletin”的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個病毒副本來進行傳播。正如在公告中所描述的那樣，該漏洞存在于InternetExplorer之中，可以通過E-mail的附件來傳染病毒，用戶只要打開郵件就會使機器感染上病毒，并不需要打開郵件附件。（3）Web服務器有些網(wǎng)絡病毒攻擊IIS4.0和5.0Web服務器。以“尼姆達”病毒為例，主要通過兩種手段來進行攻擊：第一，它檢查計算機是否已經(jīng)被“紅色代碼II”病毒所破壞，因為紅色代碼Ⅱ病毒會創(chuàng)建一個“后門”，任何惡意用戶都可以利用這個“后門”獲得對系統(tǒng)的控制權。如果“尼姆達”病毒發(fā)現(xiàn)了具有這種“后門”的機器，就會利用“紅色代碼Ⅱ”病毒留下的后門來感染機器。第二，病毒會試圖利用“WebServerFolderTraversal”漏洞來感染機器。（4）文件共享還有一種病毒的傳播手段是通過文件共享來進行的。Windows系統(tǒng)可以被配置成允許其他用戶讀寫系統(tǒng)中的文件，之后允許所有人訪問系統(tǒng)中的文件。如果病毒發(fā)現(xiàn)系統(tǒng)被配置為其他用戶有創(chuàng)建文件的權限時，將會在該系統(tǒng)中添加文件來傳播病毒。總目錄12.3.1網(wǎng)絡病毒的特征25總目錄2.網(wǎng)絡病毒的特點(1)感染速度快在單機環(huán)境下，病毒只能通過軟盤從一臺計算機帶到另一臺，而在網(wǎng)絡中則可以通過網(wǎng)絡通訊機制迅速擴散。根據(jù)測定，對于一個局域網(wǎng)絡在正常情況下，只要有一臺工作站有病毒，就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺甚至上千臺計算機全部感染。(2)擴散面廣由于病毒在網(wǎng)絡中擴散非常快，擴散范圍很廣，不但能迅速傳染局域網(wǎng)內(nèi)所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。(3)傳播的形式復雜多樣計算機病毒在網(wǎng)絡上一般是通過“工作站/服務器/工作站”的途徑進行傳播的，但傳播的形式復雜多樣。(4)通過工作站傳染病毒先傳染工作站，在工作站內(nèi)存駐留，當已感染病毒的工作站連入網(wǎng)絡時再傳染給服務器?？偰夸?.網(wǎng)絡病毒的特點26總目錄(5)通過服務器感染如果遠程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進入網(wǎng)絡服務器中，一旦病毒進入文件服務器，就可通過它迅速傳染到整個網(wǎng)絡的每一個計算機上。而對于無盤工作站來說，由于其并非真的“無盤”（它的盤是網(wǎng)絡盤），當其運行網(wǎng)絡盤上的一個帶毒程序時，便將內(nèi)存中的病毒傳染給該程序或通過映像路徑傳染到服務器的其他文件上，因此無盤工作站也是病毒孽生的溫床。（6）難于徹底清除單機上的計算機病毒有時可通過刪除帶毒文件或低級格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡中只要有一臺工作站未能消毒干凈就可使整個網(wǎng)絡重新被病毒感染，甚至剛剛完成清除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。因此，僅對工作站進行病毒清除，并不能解決病毒對網(wǎng)絡的危害。

總目錄(5)通過服務器感染27總目錄（7）破壞性大網(wǎng)絡上病毒將直接影響網(wǎng)絡的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡崩潰，破壞服務器信息，使多年工作毀于一旦。（8）可激發(fā)性網(wǎng)絡病毒激發(fā)的條件多樣化，可以是內(nèi)部時鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡的一次通信。一個病毒程序可以按照病毒設計者的要求，在某個工作站上激發(fā)并發(fā)出攻擊。（9）潛在性網(wǎng)絡一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據(jù)統(tǒng)計，病毒在網(wǎng)絡上被清除后，85％的網(wǎng)絡在30天內(nèi)會被再次感染。

總目錄（7）破壞性大28總目錄12.3.2網(wǎng)絡病毒的診斷技術在防范網(wǎng)絡病毒時，需要注意以下幾點：（1）留心郵件的附件對于郵件附件盡可能小心，安裝一套殺毒軟件，在打開郵件之前對附件進行預掃描。因為有的病毒郵件惡毒之極，只要你將鼠標移至郵件上，即使沒有打開它，也會自動執(zhí)行和感染。更不要打開陌生人來信中的附件文件，當你收到陌生人寄來的一些自稱是“不可不看”的附件時，千萬不要貿(mào)然打開它，尤其對于一些“.exe”之類的可執(zhí)行程序文件，更要慎之又慎！總目錄12.3.2網(wǎng)絡病毒的診斷技術29總目錄（2）注意文件擴展名因為Windows允許用戶在文件命名時使用多個擴展名，而許多電子郵件程序只顯示第一個擴展名，有時會造成一些假像。所以我們可以在“文件夾選項”中，設置顯示文件名的擴展名，這樣一些有害文件，如VBS文件就會原形畢露。注意千萬別打開擴展名為vbs、shs和pif的郵件附件，因為一般情況下，這些擴展名的文件幾乎不會在正常附件中使用，但它們經(jīng)常被病毒和蠕蟲使用。例如，你看到的郵件附件名稱是“wow.jpg”，而它的全名實際是“wow.jpg.vbs”，打開這個附件意味著運行一個惡意的VBScript病毒，而不是jpg察看器?？偰夸洠?）注意文件擴展名30總目錄（3）不要輕易運行來歷不明的程序對于一般人寄來的程序，都不要運行，就算是比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運行。因為有些病毒是偷偷地附著上去的（也許朋友的電腦已經(jīng)感染了病毒），可他自己卻不知道。比如“happy99”就是這樣的病毒，它會自我復制，跟著你的郵件走。當你收到郵件廣告或者主動提供的電子郵件時，盡量也不要打開附件以及它提供的鏈接。（4）不要盲目轉發(fā)信件收到自認為有趣的郵件時，不要盲目轉發(fā)，因為這樣會幫助病毒的傳播；給別人發(fā)送程序文件甚至包括電子賀卡時，一定要先在自己的電腦中試試，確認沒有問題后再發(fā)，以免好心辦了壞事。（5）堵住系統(tǒng)漏洞現(xiàn)在很多網(wǎng)絡病毒都是利用了微軟的IE和Outlook的漏洞進行傳播的，因此大家需要特別注意微軟網(wǎng)站提供的補丁，很多網(wǎng)絡病毒可以通過下載和安裝補丁文件或安裝升級版本來消除阻止它們。同時，及時給系統(tǒng)打補丁也是一個良好的習慣，可以讓你的系統(tǒng)時時處于最新、最安全的狀態(tài)。要注意應該從信任度高的網(wǎng)站下載補丁。

總目錄（3）不要輕易運行來歷不明的程序31總目錄（3）不要輕易運行來歷不明的程序對于一般人寄來的程序，都不要運行，就算是比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運行。因為有些病毒是偷偷地附著上去的（也許朋友的電腦已經(jīng)感染了病毒），可他自己卻不知道。比如“happy99”就是這樣的病毒，它會自我復制，跟著你的郵件走。當你收到郵件廣告或者主動提供的電子郵件時，盡量也不要打開附件以及它提供的鏈接。（4）不要盲目轉發(fā)信件收到自認為有趣的郵件時，不要盲目轉發(fā)，因為這樣會幫助病毒的傳播；給別人發(fā)送程序文件甚至包括電子賀卡時，一定要先在自己的電腦中試試，確認沒有問題后再發(fā)，以免好心辦了壞事。（5）堵住系統(tǒng)漏洞現(xiàn)在很多網(wǎng)絡病毒都是利用了微軟的IE和Outlook的漏洞進行傳播的，因此大家需要特別注意微軟網(wǎng)站提供的補丁，很多網(wǎng)絡病毒可以通過下載和安裝補丁文件或安裝升級版本來消除阻止它們。同時，及時給系統(tǒng)打補丁也是一個良好的習慣，可以讓你的系統(tǒng)時時處于最新、最安全的狀態(tài)。要注意應該從信任度高的網(wǎng)站下載補丁。

總目錄（3）不要輕易運行來歷不明的程序32總目錄（8）從正規(guī)網(wǎng)站下載軟件不要從任何不可靠的渠道下載任何軟件，因為通常我們無法判斷什么是不可靠的渠道，所以比較保險的辦法是對安全下載的軟件在安裝前先做病毒掃描。（9）多做自動病毒檢查應確保你的計算機對插入的軟盤、光盤和其他的可插拔介質，以及對電子郵件和互聯(lián)網(wǎng)文件都會做自動的病毒檢查。（10）使用最新殺毒軟件要養(yǎng)成用最新殺毒軟件及時查毒的好習慣。但是千萬不要以為安裝了殺毒軟件就可以高枕無憂了，一定要及時更新病毒庫，否則殺毒軟件就會形同虛設；另外要正確設置殺毒軟件的各項功能，充分發(fā)揮它的功效。

總目錄（8）從正規(guī)網(wǎng)站下載軟件33總目錄（8）從正規(guī)網(wǎng)站下載軟件不要從任何不可靠的渠道下載任何軟件，因為通常我們無法判斷什么是不可靠的渠道，所以比較保險的辦法是對安全下載的軟件在安裝前先做病毒掃描。（9）多做自動病毒檢查應確保你的計算機對插入的軟盤、光盤和其他的可插拔介質，以及對電子郵件和互聯(lián)網(wǎng)文件都會做自動的病毒檢查。（10）使用最新殺毒軟件要養(yǎng)成用最新殺毒軟件及時查毒的好習慣。但是千萬不要以為安裝了殺毒軟件就可以高枕無憂了，一定要及時更新病毒庫，否則殺毒軟件就會形同虛設；另外要正確設置殺毒軟件的各項功能，充分發(fā)揮它的功效。

總目錄（8）從正規(guī)網(wǎng)站下載軟件3412.3.3局域網(wǎng)病毒的防范技術計算機病毒在網(wǎng)絡中泛濫已久，而其在局域網(wǎng)中也能快速繁殖，導致局域網(wǎng)計算機的相互感染，下面將介紹有關局域網(wǎng)病毒的防范技術。個人用戶感染該病毒后，使用單機版殺毒軟件即可清除；然而企業(yè)的網(wǎng)絡中，一臺機器一旦感染“尼姆達”，病毒便會自動復制、發(fā)送并采用各種手段不停交叉感染局域網(wǎng)內(nèi)的其他用戶。計算機病毒形式及傳播途徑日趨多樣化，因此，大型局域網(wǎng)絡系統(tǒng)的防病毒工作已不再像單臺計算機病毒的檢測及清除那樣簡單，而需要建立多層次的、立體的病毒防護體系，而且要具備完善的管理系統(tǒng)來設置和維護對病毒的防護策略。一個網(wǎng)絡的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。12.3.3局域網(wǎng)病毒的防范技術35總目錄（1）增加安全意識杜絕病毒，主觀能動性起到很重要的作用。要從加強安全意識著手，對日常工作中隱藏的病毒危害增加警覺性，如安裝一種大眾認可的網(wǎng)絡版殺毒軟件，定時更新病毒版本，對來歷不明的文件運行前進行查殺，每周查殺一次病毒，減少共享文件夾的數(shù)量，文件共享的時候盡量控制權限和增加密碼等，都可以很好地防止病毒在網(wǎng)絡中的傳播。（2）小心郵件隨著網(wǎng)絡的普及，電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作效率的同時，也無意之中成為了病毒的幫兇。有數(shù)據(jù)顯示，如今有超過一半以上的病毒通過郵件進行傳播。盡管這些病毒的傳播原理很簡單，但由于人們的粗心和不重視，致使這類病毒傳染得很快很廣。例如，若所有的Windows用戶都關閉了VB腳本功能，像“庫爾尼科娃”這樣的病毒就不可能傳播。只要用戶隨時小心警惕，不要打開值得懷疑的郵件和郵件附件，就可把病毒拒絕在外。（3）挑選網(wǎng)絡版殺毒軟件選擇一個功力高深的網(wǎng)絡版病毒“殺手”是至關重要的。一般而言，查殺是否徹底，界面是否友好、方便，能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。

總目錄（1）增加安全意識36總目錄12.4常用病毒工具軟件本節(jié)內(nèi)容12.4.1金山毒霸

12.4.2NortonAntiVirus防病毒軟總目錄12.4常用病毒工具軟件本節(jié)內(nèi)容37總目錄12.4.1金山毒霸1.金山毒霸簡介在這一小節(jié)中，以最新版本“金山毒霸2007”為藍本，介紹金山毒霸軟件的查毒、殺毒、防毒技術。金山毒霸2007是一款功能強大、方便易用的個人及家庭首選反病毒產(chǎn)品，包括金山毒霸、金山網(wǎng)鏢、金山反間諜和金山漏洞修復4個組件。它能保護您的計算機免受病毒、黑客、垃圾郵件、木馬和間諜軟件的攻擊。金山毒霸2007發(fā)布了金山毒霸脫殼引擎模塊，大幅度增強對殼的支持，即大幅度的改善了金山毒霸對已知病毒加殼后的查殺能力。

總目錄12.4.1金山毒霸38總目錄金山毒霸2007具有下述特點：(1)兩大領先技術l

數(shù)據(jù)流殺毒技術：基于傳統(tǒng)的靜態(tài)磁盤文件和狹義匹配技術，更進一步從網(wǎng)絡和數(shù)據(jù)流入手，極大地提高了查殺木馬及其變種的能力。l

主動實時升級技術：當有最新的病毒庫或者功能出現(xiàn)時，只要用戶處于上網(wǎng)狀態(tài)，無需做任何操作，毒霸可自動下載更新版本并自動進行安裝，防止被新病毒感染和破壞。(2)三大核心引擎：反間諜、反釣魚、堵漏洞l

反間諜：可將駐留于內(nèi)存及硬盤中的間諜軟件和木馬程序徹底清除，保護用戶的系統(tǒng)安全。l

反釣魚：防止釣魚網(wǎng)站，釣魚郵件的攻擊，用戶訪問釣魚網(wǎng)站時金山毒霸會自動攔截，防止用戶的賬號密碼等重要信息被盜。主動漏洞修復：可掃描操作系統(tǒng)及各種應用軟件的漏洞，當新的安全漏洞出現(xiàn)時金山毒霸2007會下載漏洞信息和補丁程序，經(jīng)掃描程序檢查后自動幫助用戶進行修補。

總目錄金山毒霸2007具有下述特點：39總目錄(3)四大利器l

迅速搶先：銀行帳號、信用卡號、網(wǎng)游賬號，一旦木馬或間諜軟件試圖通過郵件盜取這些數(shù)據(jù)，系統(tǒng)會自動報警并提示用戶，防止數(shù)據(jù)被泄密。并能自動清理用戶在計算機后留下的使用記錄。l

搶先加載：防毒勝于殺毒，搶先啟動的防毒系統(tǒng)可保障在Windows未完全啟動時就開始保護用戶的計算機系統(tǒng)，早于絕大多數(shù)開機自運行的病毒程序，使用戶避免“帶毒殺毒”的危險。搶先式防毒讓你的安全也搶先了一步。l

文件粉碎：“文件粉碎器”把您要銷毀的文件徹底刪除。l應急U盤：支持創(chuàng)建應急殺毒U盤，在windows系統(tǒng)不能正常啟動的情況下，可以用應急U盤啟動系統(tǒng)，自動查殺病毒并恢復系統(tǒng)。在本小節(jié)中，介紹的是最新版的金山系統(tǒng)：金山毒霸2007版組合裝。金山毒霸是一個套裝軟件，它包括了金山毒霸、金山反間諜、金山網(wǎng)鏢和金山漏洞修復等4個組件。如圖12-1所示。

總目錄(3)四大利器40總目錄總目錄41總目錄12.4.2NortonAntiVirus防病毒軟件1.NortonAntiVirus軟件簡介NortonAntiVirus，中文簡稱諾頓防病毒軟件，是最受信賴的防病毒軟件之一。無論您是在網(wǎng)上沖浪、聊天、發(fā)送電子郵件還是交換文件，NortonAntiVirus諾頓防病毒都可以防御大量的互聯(lián)網(wǎng)威脅。它可以自動檢測并殺除病毒、除去計算機中不受歡迎的間諜軟件，還可掃描電子郵件和附件的威脅，支持自動更新。SymantecAntiVirusCorporate(NortonAntiVirus諾頓殺毒軟件企業(yè)版本)是世界上最優(yōu)秀的殺毒軟件之一，軟件由Symantec公司開發(fā)，有企業(yè)版本、專業(yè)版本、標準版本等，在這里介紹的是NortonAntiVirus企業(yè)版，與其他版本相比能為你帶來更低的系統(tǒng)資源占用，更可靠的性能。在本小節(jié)中介紹的是NortonAntiVirusv9.0版（軟件下載網(wǎng)址：http：///downinfo/3501.html，軟件大?。?8.26MB，軟件運行環(huán)境：Windows2000/XP）。

總目錄12.4.2NortonAntiViru42總目錄2.NortonAntiVirusv9.0的安裝在NortonAntiVirusv9.0系統(tǒng)文件夾下，運行“Setup.exe”文件開始安裝，當出現(xiàn)如圖12-9所示的對話框時，根據(jù)本機的情況進行服務器和客戶端的選擇。若本機作為NortonAntiVirus服務器（可以監(jiān)控一個局域網(wǎng)絡），則選擇“服務器安裝”選項，若本機是一個客戶端，則選擇“客戶端安裝”選項?？偰夸?.NortonAntiVirusv9.43總目錄選擇好安裝選項后，單擊“下一步”按鈕，即往下安裝。當出現(xiàn)如圖12-10所示的對話框時，進行網(wǎng)絡類型安裝選擇。

網(wǎng)絡安裝類型選擇完全由上一步的設置所定，若在“客戶端服務器選項”對話框中選擇了“服務器安裝”選項，則在圖12-10中選擇“接受管理”，否則選擇“不接受管理”，再單擊“下一步”按鈕。之后，根據(jù)屏幕提示往下安裝，當所有選擇項選擇完畢，即開始正式安裝。

總目錄選擇好安裝選項后，單擊“下一步”按鈕，即往下安44總目錄3.NortonAntiVirusv9.0的使用(1)軟件的啟動點擊“開始-所有程序-SymantecClientSecurity-SymantecAutiVirus”，啟動NortonAntiVirusv9.0，如圖12-12所示。

總目錄3.NortonAntiVirusv9.0的使用45總目錄12.5應用實例本節(jié)內(nèi)容12.5.1“震蕩波”病毒的防護技術12.5.2“宏”病毒的防護技術12.5.3“愛蟲”病毒的清除技術總目錄12.5應用實例本節(jié)內(nèi)容46總目錄12.5.1“震蕩波”病毒的防范技術2005年4月底，反病毒專家們截獲并消滅了專偷網(wǎng)上銀行資金的病毒“網(wǎng)銀大盜”病毒后，5月1日，國家計算機病毒應急中心發(fā)現(xiàn)，一種利用微軟操作系統(tǒng)漏洞的蠕蟲病毒正在對互聯(lián)網(wǎng)發(fā)起攻擊，并陸續(xù)接到江蘇、寧夏、北京、黑龍江、遼寧和廣東等地區(qū)用戶報告。憑著與計算機病毒多年的實戰(zhàn)經(jīng)驗，專家們認為這個病毒潛在的危害巨大，病毒利用的是WindowsLSASS的一個已知漏洞(MS04-011)，被攻擊的計算機會出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象，與2004年大面積爆發(fā)的“沖擊波”病毒危害十分相似?？偰夸?2.5.1“震蕩波”病毒的防范技術47總目錄通過對病毒樣本的分析，該病毒特性為：l

該蠕蟲不象往常的蠕蟲那樣通過郵件傳播，而只是通過系統(tǒng)漏洞傳播。l

該蠕蟲用來傳播的文件名稱是：avserve.exe(大小是15872字節(jié))。l

該蠕蟲的傳播不需要人為的干預，該蠕蟲能自動在網(wǎng)絡上搜索含有漏洞的系統(tǒng)，并引導這些有漏洞的系統(tǒng)下載病毒文件并執(zhí)行。l

病毒從TCP的1068端口開始搜尋可能的IP地址并試圖傳播。l病毒在TCP端口5554，建立FTP文件服務器，該蠕蟲能自動創(chuàng)建FTP腳本文件，并運行該腳本。該腳本能自動引導被感染的計算機下載病毒文件并執(zhí)行

總目錄通過對病毒樣本的分析，該病毒特性為：48總目錄一套完整的“震蕩波”解決方案分為三步，稱為“震蕩波”完全解決三部曲：第1步：針對病毒利用的是微軟操作系統(tǒng)的已知漏洞MS04-011，解決的方法就是打上這個漏洞的補丁即可。下載地址為：http：//exec/news_sys/news/jiangmin/index/important/2004511533255.htm。第2步：對于已感染該病毒的用戶，可用KV2004以上版本殺毒。第3步：由于病毒利用TCP455、9995、5554端口，利用自身的IP地址列表，對特定IP地址段可能存在的計算機進行漏洞掃描并試圖傳播病毒，所以只需將以上端口封住即可，一般用戶可以使用Windows2000以上操作系統(tǒng)自帶的TCP/IP篩選功能進行封堵。對于沒有經(jīng)過微軟合法授權的電腦用戶來說，由于微軟不提供相應的技術支持，安裝相應的漏洞補丁程序是很困難的。因此，解決病毒的辦法只能有后兩種，安裝殺毒軟件和封堵相應的端口?？偰夸浺惶淄暾摹罢鹗幉ā苯鉀Q方案分為三步，稱為“震49總目錄12.5.2“宏”病毒的防護技術宏病毒是專門攻擊Word、Excel文檔的病毒，計算機染上宏病毒后，Word文檔可能打不開，或打開后是亂碼。該病毒于1996年9月首次登陸我國，是一種傳染性和破壞性都很強的計算機病毒。預防宏病毒最簡單而有效的方法是在Word2000/XP中可進行安全設置保護：Word2000/XP提供了防“宏病毒”的功能，方法是：單擊“工具-宏-安全性”，選擇“高”選項，這樣，當前打開的文檔所使用的模板就有了防止“自動宏”執(zhí)行的功能，當以后使用這個模板的文檔時，如打開的文件帶有“自動宏”，Word2000/XP將首先告訴用戶打開的文檔帶有自動宏，并詢問用戶是否執(zhí)行宏，選擇“否”，待進入并打開文檔后，再自動對文檔進行“宏”檢查?？偰夸?2.5.2“宏”病毒的防護技術50總目錄12.5.3“愛蟲”病毒的清除技術“愛蟲”病毒是一種郵件病毒，如果你收到這樣的一封郵件，郵件主題為“ILOVEYOU（我愛你）”，郵件內(nèi)容為“KindlychecktheattachedILOVELETTERcomingfromme（請盡快查收來自我的郵件附件中的求愛信）”，附件文件名為“LOVE-LETTER-FOR-YOU.htm”。該封郵件就是典型的“愛蟲”病毒源。如果你出于好奇而打開了該郵件的附件，則你的計算機就會自動感染“愛蟲”病毒，所以，當你收到主題為“ILOVEYOU”的郵件時，請直接將其刪除，絕不要去打開和閱讀其附件?？偰夸?2.5.3“愛蟲”病毒的清除技術51總目錄“愛蟲”病毒的清除技術：首先運行regedit.exe（在“開始-運行”下運行），找到并刪除鍵值HKEY_CURRENT_USER\Software\Microsoft\WindowsScript（Host）\Settings。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Mail下，輸入一個正確的主頁地址。刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的MSKernel32鍵值。將鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService下的Win32DLL刪除，再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下，如果有WIN-BUGSFIX鍵值，就刪除它。找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ex-plorer\DocFindSpecMRU。在這個條目包含所有最近使用過的文件，一般可以刪除它。刪除c：\windows\system或c：\windows\system32目錄下MSKernel32.vbs、LOVE-LE-TTER-FOR-YOU.HTM和LOVE-LETTER-FOR-YOU.TXT.vbs三個文件。同時刪除windows目錄下的Win32DLL.vbs文件?！皭巯x”病毒侵襲的文件類型有：vbs、vbe、js、jse、css、wsh、sct、hta、jpg、jpeg。這些文件被感染后，有可能不能恢復，不得不刪除它。注意，要刪除所有硬盤和所有網(wǎng)絡驅動器上的有關文件。最后查找WIN-BUGSFIX.exe或WIN_BUGSFIX-32.exe以及script.ini，還有可能是winfat32.exe，這些文件都是可能存在的，如果這些文件存在就將其刪除。注意：上述文件刪除后，還要將回收站清空?？偰夸洝皭巯x”病毒的清除技術：52總目錄12.1計算機病毒的定義12.2計算機病毒的診斷與防治技術12.3網(wǎng)絡病毒的診斷與防治第12章病毒診斷與防治技術12.4常用病毒軟件的使用技術12.5應用實例總目錄12.1計算機病毒的定義12.2計算機病毒的診53總目錄本節(jié)內(nèi)容

12.1.1計算機病毒的定義12.1.2計算機病毒的基本原理12.1.3計算機病毒的分類12.1.4計算機病毒的破壞能力

12.1計算機病毒概述總目錄本節(jié)內(nèi)容12.1計算機病毒概述54總目錄12.1.1計算機病毒的定義1．病毒的定義美國計算機研究專家F·Cohen博士最早提出了“計算機病毒”的概念：計算機病毒是一段人為編制的計算機程序代碼。這段代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。其特性在很多方面與生物病毒有著極其相似的地方。《中華人民共和國計算機信息系統(tǒng)安全保護條例》第二十八條中對計算機病毒做的定義是：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。廣義上說，凡能夠破壞計算機正常運行和破壞計算機中數(shù)據(jù)的程序代碼都可以稱為計算機病毒。總目錄12.1.1計算機病毒的定義55總目錄從1987年發(fā)現(xiàn)第1例計算機病毒以來，計算機病毒的發(fā)展經(jīng)歷了以下幾個主要階段：DOS引導階段；DOS可執(zhí)行文件階段；混合型階段；伴隨及批次性階段；多形性階段；生成器及變體機階段；網(wǎng)絡及蠕蟲階段；視窗階段；宏病毒階段；互聯(lián)網(wǎng)病毒階段?？偰夸洀?987年發(fā)現(xiàn)第1例計算機病毒以來，計算機病56總目錄12.1.2計算機病毒的基本原理1.

計算機病毒的工作原理(1)計算機病毒的主要特征l

可控性：計算機病毒與各種應用程序一樣也是人為編寫出來的，是可控制的。l

傳染性：病毒的傳染性又稱“自我復制”或“再生”。再生是判斷是不是計算機病毒的最重要依據(jù)。在一定條件下，病毒通過某種渠道從一個文件和一臺計算機傳染到另外沒有被病毒傳染的文件和計算機。l

奪取系統(tǒng)控制權：計算機病毒的首要目標就是爭奪系統(tǒng)的控制權，一般采用修改中斷入口或在正常程序中插入一段病毒程序，在系統(tǒng)啟動或程序調用時，先運行病毒程序，而后才轉向正常的系統(tǒng)或程序運行。l

隱蔽性：計算機病毒的隱蔽性表現(xiàn)在兩個方面：其一，傳染的隱蔽性，大多數(shù)病毒在進行傳染時不具有外部表現(xiàn)，不易被人發(fā)現(xiàn)。其二，一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)。l

潛伏性：一個編制精巧的計算機病毒程序，傳染計算機或網(wǎng)絡后，可以潛伏幾周或者幾個月甚至幾年?？偰夸?2.1.2計算機病毒的基本原理57總目錄(2)計算機病毒發(fā)作的觸發(fā)條件l利用系統(tǒng)時鐘提供的時間作為觸發(fā)機制，這種觸發(fā)機制被大量病毒使用。如“CIH”病毒是在每月的26日才會觸發(fā)，“黑色星期五”病毒是在既是13日又是星期五才觸發(fā)。l

利用病毒體自帶的計數(shù)器作為觸發(fā)器。l

利用特定環(huán)境作為觸發(fā)條件?？偰夸?2)計算機病毒發(fā)作的觸發(fā)條件58總目錄(3)不可預見性不同種類病毒的代碼千差萬別，病毒的制作技術也在不斷地提高，病毒比反病毒軟件永遠是超前的。新的操作系統(tǒng)和應用系統(tǒng)的出現(xiàn)，軟件技術不斷地發(fā)展，這在為計算機提供了新的發(fā)展空間的同時，也對未來病毒的預測更加困難，這就要求人們不斷提高對病毒的認識，增強防范意識?？偰夸?3)不可預見性59總目錄(4)病毒的衍生性、持久性和欺騙性l

人們可以對一種計算機病毒進行改進，從而衍生出一種不同于原版本的新的計算機病毒（又稱為變種病毒）。l

計算機病毒程序可由一個受感染的拷貝通過網(wǎng)絡系統(tǒng)反復傳播，使得病毒的感染具有持久性和復雜性。l

計算機病毒行動詭秘，而計算機對其反應卻較“遲鈍”，往往把病毒造成的錯誤當成事實接受下來，這就是計算機病毒的欺騙性?？偰夸?4)病毒的衍生性、持久性和欺騙性60總目錄2.計算機病毒的作用機理任何一種計算機病毒都是由三個部份組成：引導部份、傳染部份和表現(xiàn)部份。l

病毒的引導部份的作用是將病毒的主體加載到計算機內(nèi)存，為感染部份作準備，在這期間發(fā)生駐留內(nèi)存、修改中斷地址、修改存放在高端內(nèi)存中的信息、保存原中斷向量等操作。引導部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內(nèi)存，為傳染部分做準備。l

病毒的傳染部份的作用是將病毒代碼程序自動傳染到目標上去。不同的病毒在傳染方式和傳染條件上各有不同。l

病毒的表現(xiàn)部份是病毒主體部份，病毒對計算機系統(tǒng)的破壞就是表現(xiàn)部份的作為，病毒的引導部份及傳染部份都是為表現(xiàn)部份服務的。大部份病毒都是在一定的條件下才會觸發(fā)其表現(xiàn)部份的。總目錄2.計算機病毒的作用機理61總目錄12.1.3計算機病毒的分類1.DOS病毒（DOSVirus）指針對DOS操作系統(tǒng)開發(fā)的病毒。由于Windows2000/XP/2003病毒的出現(xiàn)，DOS病毒幾乎絕跡。但DOS病毒在Windows2000/XP/2003環(huán)境中仍可以進行感染，因此若執(zhí)行了染毒程序，Windows2000/XP/2003用戶也會被感染。使用現(xiàn)代的殺毒軟件能夠查殺的病毒中一半以上都是DOS病毒，可見DOS時代DOS病毒的泛濫程度。但這些眾多的病毒中除了少數(shù)幾個讓用戶膽戰(zhàn)心驚的病毒之外，大部分病毒都只是制作者出于好奇或對公開代碼進行一定變形而制作的病毒。

2.Windows病毒（WindowsVirus）主要指針對Windows2000/XP/2003操作系統(tǒng)的病毒?，F(xiàn)在的電腦用戶一般都安裝Windows系統(tǒng)，Windows病毒一般感染W(wǎng)indows2000/XP/2003系統(tǒng)，其中最典型的病毒有CIH病毒。但這并不意味著可以忽略系統(tǒng)是WindowsNT系列包括Windows2000/XP/2003的計算機。一些Windows病毒不僅在Windows2000/XP/2003上正常感染，還可以感染W(wǎng)indowsNT上的其它文件。主要感染的文件擴展名為EXE、SCR、DLL、OCX等?？偰夸?2.1.3計算機病毒的分類62總目錄3.入侵型病毒（IntrusionVirus）可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下難以發(fā)現(xiàn)，清除起來較困難。4.嵌入式病毒(EmbeddedVirus)這種病毒將自身代碼嵌入到被感染文件中，當文件被感染后，查殺和清除病毒都很困難。由于編寫嵌入式病毒比較困難，所以這種病毒數(shù)量不多。5.外殼類病毒(ShellVirus)這種病毒將自身代碼附著于正常程序的首部或尾部。該類病毒的種類繁多，大多感染文件的病毒都是這種類型。總目錄3.入侵型病毒（IntrusionVirus63總目錄6.引導區(qū)病毒（BootVirus）通過感染軟盤的引導扇區(qū)和硬盤的引導扇區(qū)或者主引導記錄進行傳播的病毒。7.文件型病毒（FileVirus）指將自身代碼插入到可執(zhí)行文件內(nèi)來進行傳播并伺機進行破壞的病毒。8.宏病毒（MacroVirus）使用宏語言編寫，可以在一些數(shù)據(jù)處理系統(tǒng)中運行（主要是微軟的辦公軟件系統(tǒng)，字處理、電子數(shù)據(jù)表和其他Office程序中），利用宏語言的功能將自己復制并且繁殖到其他數(shù)據(jù)文檔里的程序。總目錄6.引導區(qū)病毒（BootVirus）64總目錄9.蠕蟲病毒（WormVirus）通過網(wǎng)絡或者程序漏洞進行自主傳播，向外發(fā)送帶毒郵件或通過即時通訊工具（QQ、MSN等）發(fā)送帶毒文件，阻塞網(wǎng)絡的正常通信。10.特洛伊木馬（Trojan）通常假扮成有用的程序誘騙用戶主動激活，或利用系統(tǒng)漏洞侵入用戶電腦。木馬進入用戶電腦后隱藏在的系統(tǒng)目錄下，然后修改注冊表，完成黑客定制的操作。11.后門程序（Backdoor）會通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的電腦并隱藏在系統(tǒng)目錄下，被開后門的計算機可以被黑客遠程控制。黑客可以用大量被植入后門程序的計算機組成僵尸網(wǎng)絡（Botnet）用以發(fā)動網(wǎng)絡攻擊等。總目錄9.蠕蟲病毒（WormVirus）65總目錄12.惡意腳本（HarmScript）、惡意網(wǎng)頁使用腳本語言編寫，嵌入在網(wǎng)頁當中，調用系統(tǒng)程序、修改注冊表對用戶計算機進行破壞，或調用特殊指令下載并運行病毒、木馬文件。

13.惡意程序（HarmProgram）會對用戶的計算機、文件進行破壞的程序，本身不會復制和傳播。14.惡作劇程序（Joke）這一類程序不會對用戶的計算機、文件造成破壞，但會降低計算機和網(wǎng)絡的運行效率，并會給用戶帶來恐慌和不必要的麻煩。總目錄12.惡意腳本（HarmScript）、惡意66總目錄12.1.4計算機病毒的破壞能力l

病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用；l

干擾系統(tǒng)運行，使運行速度下降；l

占有磁盤空間和對信息的破壞；l

強占系統(tǒng)資源；l

干擾I/O設備，篡改預定設置以及擾亂運行；l

破壞網(wǎng)絡系統(tǒng)，非法使用網(wǎng)絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡帶寬等?？偰夸?2.1.4計算機病毒的破壞能力67總目錄12.2計算機病毒的診斷與防治技術本節(jié)內(nèi)容12.2.1計算機病毒的檢測12.2.2計算機病毒的防范措施總目錄12.2計算機病毒的診斷與防治技術本節(jié)內(nèi)容68總目錄12.2.1計算機病毒的檢測

1.計算機病毒的表現(xiàn)當計算機染上病毒之后，會有許多明顯的特征。例如，文件的長度和日期忽然改變、系統(tǒng)執(zhí)行速度下降、出現(xiàn)一些奇怪的信息、無故死機，更為嚴重的是硬盤已經(jīng)被格式化了。如果你的計算機上出現(xiàn)下述現(xiàn)象，則有可能是感染了計算機病毒：l

系統(tǒng)啟動速度比平時慢；l

系統(tǒng)運行速度異常；l

某些文件的長度及文件的建立日期發(fā)生變化；l

沒有發(fā)出“寫”操作命令而出現(xiàn)“磁盤寫保護”的提示；l

在內(nèi)存中發(fā)現(xiàn)不明程序的駐留或不明進程的運行；l

打印機、顯示器有異?，F(xiàn)象；l

系統(tǒng)自動生成一些不明的特殊文件；l

文件莫明奇妙地丟失；l

系統(tǒng)自動關機；l

系統(tǒng)經(jīng)常異常死機?？偰夸?2.2.1計算機病毒的檢測69總目錄2.計算機病毒的診斷常見的防毒軟件是如何去發(fā)現(xiàn)它們的呢？就是利用所謂的病毒碼（VirusPattern）。病毒碼其實可以想象成是犯人的指紋，當防毒軟件公司收集到一個新的病毒時，就會從這個病毒程序中，截取小段獨一無二足以表示這個病毒的二進制程序代碼（binarycode），來當作掃毒程序辨認病毒的依據(jù)，而這段獨一無二的二進制程序碼就是所謂的病毒碼。反病毒軟件常用以下6種技術來查找病毒：總目錄2.計算機病毒的診斷70總目錄(1)病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析，根據(jù)其特征，編成病毒碼，加入資料庫中。以后每當執(zhí)行掃描病毒程序時，能立刻掃描目標文件，并與病毒代碼對比，即能偵察到是否有病毒。大多數(shù)防毒軟件均采用這種方式，其缺點是無法掃描新病毒及以變種病毒。(2)加總比對法根據(jù)每個程序的文件名稱、大小、時間及內(nèi)容，加總（按位加）為一個檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個資料庫中，再利用加總法追蹤并記錄每個程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術可偵察到各種病毒，但最大的缺點是誤判較高，且無法確認是哪種病毒感染的。(3)人工智能陷阱人工智能陷阱是一種監(jiān)測電腦行為的常駐內(nèi)存掃描技術。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當?shù)男袨?，系統(tǒng)就會有所警覺。這種技術的優(yōu)點是執(zhí)行速度快，且可以偵察到各種病毒；其缺點是程序設計難度大。總目錄(1)病毒碼掃描法71總目錄(4)軟件模擬掃描法軟件模擬掃描技術專門用來對付“千面人”病毒（Polymorphic/Mutationvirus）。千面人病毒在每次傳染時，都以不同的隨機亂數(shù)加密于每個中毒文件中，傳統(tǒng)病毒碼比對方式根本就無法找到這種病毒。(5)先知掃描法軟件模擬技術可以建立一個保護模式下的DOS虛擬機器，模擬CPU動作并通過執(zhí)行程序以解開變體引擎病毒，應用類似的技術也可以用來分析一般程序檢查可疑的病毒碼。因此，VICE可用來判斷程序有無病毒碼存在的方法，分析專家系統(tǒng)知識庫，再利用軟件工程模擬技術（softwareemulation）加上病毒運行機制，則可分析出新的病毒碼以對付以后的病毒。這就是先知掃描法VICE（VirusInstructionCodeEmulation）。(6)實時I/O掃描實時I/O掃描（real_timeI/Oscan）的目的是在于及時地對數(shù)據(jù)的輸入輸出動作做病毒碼對比的動作，希望能夠能在病毒尚未被執(zhí)行之前，就能夠截留下來。實時掃描技術會影響到數(shù)據(jù)的輸入輸出速度，但使用實時掃描技術后，文件一旦傳入就已經(jīng)被掃描和清除過病毒了?？偰夸?4)軟件模擬掃描法72總目錄12.2.2計算機病毒的防范措施防范網(wǎng)絡病毒的過程實際上就是技術對抗的過程，反病毒技術也得適應病毒繁衍和傳播方式的發(fā)展而不斷調整。(1)系統(tǒng)防毒措施l

制定系統(tǒng)的防毒策略；l

部署多層防御策略；l

定期更新防毒定義文件和引擎；l

定期備份文件；l

預訂可發(fā)布新病毒威脅警告的電子郵件?？偰夸?2.2.2計算機病毒的防范措施73總目錄(2)終端用戶防毒措施l

對于來歷不明的郵件，最好不要輕易打開而是將其直接刪除。l

如果將MicrosoftWord當作電子編輯使用，就需要將NORMAL.DOT在操作系統(tǒng)級設置只讀文件。同時將MicrosoftWord的設置更改為“PrompttoSaveNormalTemplate（保存常規(guī)模板）”。許多病毒通過更改NORMAL.DOT文件進行自我傳播，采取上述措施可產(chǎn)生阻止作用。l

加上存儲介質的寫保護功能。(3)服務器防毒措施目前隨著基于Web的電子郵件訪問，公共文件夾以及訪問存儲器的映射網(wǎng)絡驅動器等方式的出現(xiàn)，病毒也可以通過多種方式進入電子郵件服務器。這時，就只有基于電子郵件服務器的解決方案才能檢測和刪除受感染的文件。從以下幾個方面可以做到防毒：l

攔截受感染的附件；l

設置全面的隨機掃描；l

試探隨機掃描；l

重要數(shù)據(jù)定期保存、備份。

總目錄(2)終端用戶防毒措施74總目錄(4)多層防御機制多層防御體系將病毒檢測、多層數(shù)據(jù)保護和集中式管理集成起來，提供全面的病毒防護能力，從而達到“治療”病毒的效果。病毒檢測一直是病毒防護的支柱，多層次防御軟件使用了三層保護功能：實時掃描、完整性保護、完整性檢驗。l

后臺實時掃描驅動器能對未知的異形病毒和秘密病毒進行連續(xù)的檢測。l

完整性保護可阻止病毒從一個感染的工作站擴散到服務器，還可以防止與未知的病毒感染有關的文件崩潰。l

完整性檢驗無需冗余的掃描而提高實時檢驗的性能。(5)在網(wǎng)關、服務器上防御措施防范手段應集中在網(wǎng)絡整體上，在個人計算機的硬件和軟件，LAN服務器、服務器上的網(wǎng)關、Internet及Internet的網(wǎng)站上，層層設防，對每種病毒都實行隔離，過濾。

總目錄(4)多層防御機制75總目錄12.3網(wǎng)絡病毒的診斷與防治本節(jié)內(nèi)容12.3.1網(wǎng)絡病毒的特征12.3.2計算機網(wǎng)絡病毒的診斷技術12.3.3局域網(wǎng)病毒的防范技術總目錄12.3網(wǎng)絡病毒的診斷與防治本節(jié)內(nèi)容76總目錄12.3.1網(wǎng)絡病毒的特征1.網(wǎng)絡病毒的傳播方式（1）郵件附件病毒經(jīng)常會附在郵件的附件里，然后起一個吸引人的名字，誘惑人們?nèi)ゴ蜷_附件，一旦人們試圖打開附件時，機器就會感染上附件中所附帶的病毒。（2）Email有些蠕蟲病毒會利用“MicrosoftSecurityBulletin”的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個病毒副本來進行傳播。正如在公告中所描述的那樣，該漏洞存在于InternetExplorer之中，可以通過E-mail的附件來傳染病毒，用戶只要打開郵件就會使機器感染上病毒，并不需要打開郵件附件。（3）Web服務器有些網(wǎng)絡病毒攻擊IIS4.0和5.0Web服務器。以“尼姆達”病毒為例，主要通過兩種手段來進行攻擊：第一，它檢查計算機是否已經(jīng)被“紅色代碼II”病毒所破壞，因為紅色代碼Ⅱ病毒會創(chuàng)建一個“后門”，任何惡意用戶都可以利用這個“后門”獲得對系統(tǒng)的控制權。如果“尼姆達”病毒發(fā)現(xiàn)了具有這種“后門”的機器，就會利用“紅色代碼Ⅱ”病毒留下的后門來感染機器。第二，病毒會試圖利用“WebServerFolderTraversal”漏洞來感染機器。（4）文件共享還有一種病毒的傳播手段是通過文件共享來進行的。Windows系統(tǒng)可以被配置成允許其他用戶讀寫系統(tǒng)中的文件，之后允許所有人訪問系統(tǒng)中的文件。如果病毒發(fā)現(xiàn)系統(tǒng)被配置為其他用戶有創(chuàng)建文件的權限時，將會在該系統(tǒng)中添加文件來傳播病毒?？偰夸?2.3.1網(wǎng)絡病毒的特征77總目錄2.網(wǎng)絡病毒的特點(1)感染速度快在單機環(huán)境下，病毒只能通過軟盤從一臺計算機帶到另一臺，而在網(wǎng)絡中則可以通過網(wǎng)絡通訊機制迅速擴散。根據(jù)測定，對于一個局域網(wǎng)絡在正常情況下，只要有一臺工作站有病毒，就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺甚至上千臺計算機全部感染。(2)擴散面廣由于病毒在網(wǎng)絡中擴散非常快，擴散范圍很廣，不但能迅速傳染局域網(wǎng)內(nèi)所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。(3)傳播的形式復雜多樣計算機病毒在網(wǎng)絡上一般是通過“工作站/服務器/工作站”的途徑進行傳播的，但傳播的形式復雜多樣。(4)通過工作站傳染病毒先傳染工作站，在工作站內(nèi)存駐留，當已感染病毒的工作站連入網(wǎng)絡時再傳染給服務器?？偰夸?.網(wǎng)絡病毒的特點78總目錄(5)通過服務器感染如果遠程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進入網(wǎng)絡服務器中，一旦病毒進入文件服務器，就可通過它迅速傳染到整個網(wǎng)絡的每一個計算機上。而對于無盤工作站來說，由于其并非真的“無盤”（它的盤是網(wǎng)絡盤），當其運行網(wǎng)絡盤上的一個帶毒程序時，便將內(nèi)存中的病毒傳染給該程序或通過映像路徑傳染到服務器的其他文件上，因此無盤工作站也是病毒孽生的溫床。（6）難于徹底清除單機上的計算機病毒有時可通過刪除帶毒文件或低級格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡中只要有一臺工作站未能消毒干凈就可使整個網(wǎng)絡重新被病毒感染，甚至剛剛完成清除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。因此，僅對工作站進行病毒清除，并不能解決病毒對網(wǎng)絡的危害。

總目錄(5)通過服務器感染79總目錄（7）破壞性大網(wǎng)絡上病毒將直接影響網(wǎng)絡的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡崩潰，破壞服務器信息，使多年工作毀于一旦。（8）可激發(fā)性網(wǎng)絡病毒激發(fā)的條件多樣化，可以是內(nèi)部時鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡的一次通信。一個病毒程序可以按照病毒設計者的要求，在某個工作站上激發(fā)并發(fā)出攻擊。（9）潛在性網(wǎng)絡一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據(jù)統(tǒng)計，病毒在網(wǎng)絡上被清除后，85％的網(wǎng)絡在30天內(nèi)會被再次感染。

總目錄（7）破壞性大80總目錄12.3.2網(wǎng)絡病毒的診斷技術在防范網(wǎng)絡病毒時，需要注意以下幾點：（1）留心郵件的附件對于郵件附件盡可能小心，安裝一套殺毒軟件，在打開郵件之前對附件進行預掃描。因為有的病毒郵件惡毒之極，只要你將鼠標移至郵件上，即使沒有打開它，也會自動執(zhí)行和感染。更不要打開陌生人來信中的附件文件，當你收到陌生人寄來的一些自稱是“不可不看”的附件時，千萬不要貿(mào)然打開它，尤其對于一些“.exe”之類的可執(zhí)行程序文件，更要慎之又慎！總目錄12.3.2網(wǎng)絡病毒的診斷技術81總目錄（2）注意文件擴展名因為Windows允許用戶在文件命名時使用多個擴展名，而許多電子郵件程序只顯示第一個擴展名，有時會造成一些假像。所以我們可以在“文件夾選項”中，設置顯示文件名的擴展名，這樣一些有害文件，如VBS文件就會原形畢露。注意千萬別打開擴展名為vbs、shs和pif的郵件附件，因為一般情況下，這些擴展名的文件幾乎不會在正常附件中使用，但它們經(jīng)常被病毒和蠕蟲使用。例如，你看到的郵件附件名稱是“wow.jpg”，而它的全名實際是“wow.jpg.vbs”，打開這個附件意味著運行一個惡意的VBScript病毒，而不是jpg察看器?？偰夸洠?）注意文件擴展名82總目錄（3）不要輕易運行來歷不明的程序對于一般人寄來的程序，都不要運行，就算是比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運行。因為有些病毒是偷偷地附著上去的（也許朋友的電腦已經(jīng)感染了病毒），可他自己卻不知道。比如“happy99”就是這樣的病毒，它會自我復制，跟著你的郵件走。當你收到郵件廣告或者主動提供的電子郵件時，盡量也不要打開附件以及它提供的鏈接。（4）不要盲目轉發(fā)信件收到自認為有趣的郵件時，不要盲目轉發(fā)，因為這樣會幫助病毒的傳播；給別人發(fā)送程序文件甚至包括電子賀卡時，一定要先在自己的電腦中試試，確認沒有問題后再發(fā)，以免好心辦了壞事。（5