第9章病毒的防治

第9章病毒的防治9.1常見病毒及其基本原理9.2病毒的防治9.3殺毒軟件的安裝9.4個人版網(wǎng)絡(luò)防火墻的安裝9.5上網(wǎng)助手的安裝9.1常見病毒及其基本原理9.1.1病毒的特性1．非授權(quán)可執(zhí)行性用戶運行一個程序時，操作系統(tǒng)會把微機系統(tǒng)的部分控制權(quán)交給這個程序，并分配給它相應(yīng)系統(tǒng)資源，從而使之能夠運行以完成用戶的需求。計算機病毒是非法程序，用戶不會在自己的微機上運行帶毒程序。但計算機病毒具有正常程序的一切特性，如可存儲性、可執(zhí)行性，它通常隱藏在合法的程序或數(shù)據(jù)中。當(dāng)用戶運行正常程序時，病毒伺機竊取到系統(tǒng)的控制權(quán)，得以搶先運行，它的運行用戶往往是不知道的。2．隱蔽性計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常附著在程序、磁盤引導(dǎo)扇區(qū)、磁盤上標(biāo)為壞簇的扇區(qū)以及一些空閑的扇區(qū)中。它是以一種很隱蔽的方式存在著。3．傳染性傳染性是它最重要的特征，是判斷一段程序代碼是否為計算機病毒的依據(jù)。病毒程序一旦侵入計算機系統(tǒng)就開始搜索可被感染的程序或者磁介質(zhì)，然后通過自我復(fù)制迅速傳播。由于目前計算機網(wǎng)絡(luò)日益發(fā)達(dá)，計算機病毒可以在極短的時間內(nèi)通過像Internet這樣的網(wǎng)絡(luò)傳遍世界。4．潛伏性病毒的寄生能力，病毒傳染合法的程序和系統(tǒng)后不立即發(fā)作，而是悄悄隱藏起來，然后在用戶不察覺的情況下進(jìn)行傳染。這樣，病毒的潛伏性越好，它在系統(tǒng)中存在的時間也就越長，病毒傳染的范圍也越廣，其危害性也越大。5．表現(xiàn)性或破壞性無論何種病毒程序侵入系統(tǒng)，都會對操作系統(tǒng)的運行造成不同程度的影響。6．可觸發(fā)性計算機病毒都有一個或者幾個觸發(fā)條件。滿足其觸發(fā)條件或者會激活病毒的傳染機制，使之進(jìn)行傳染或發(fā)作。9.1.2按照病毒的分類1計算機病毒攻擊的操作系統(tǒng)分類：(1)攻擊DOS系統(tǒng)的病毒(2)攻擊Windows系統(tǒng)的病毒(3)攻擊其他操作系統(tǒng)的病毒2．按寄生方式分類(1)引導(dǎo)型病毒引導(dǎo)型病毒是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。引導(dǎo)型病毒按照其在硬盤上的寄生位置又可細(xì)分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。主引導(dǎo)記錄病毒感染硬盤的主引導(dǎo)區(qū)；分區(qū)引導(dǎo)記錄病毒感染硬盤的活動分區(qū)引導(dǎo)記錄。(2)文件型病毒文件型病毒是指能夠寄生在文件中的計算機病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。(3)復(fù)合型病毒復(fù)合型病毒是指具有引導(dǎo)型病毒和文件型病毒寄生方式的計算機病毒。這種病毒擴大了病毒程序的傳染途徑，它既感染磁盤的引導(dǎo)記錄，又感染可執(zhí)行文件。用染有此病毒的磁盤來引導(dǎo)系統(tǒng)或執(zhí)行染毒文件時，病毒都會被激活。因此在檢測、清除復(fù)合型病毒時，必須全面徹底地根治。如果只發(fā)現(xiàn)該病毒的一個特性，把它只當(dāng)作引導(dǎo)型或文件型病毒進(jìn)行清除，則表面上像是已經(jīng)清除，但還留有隱患，這種經(jīng)過“消毒”后的“潔凈”系統(tǒng)更具有攻擊性。3．按破壞性分類(1)良性病毒良性病毒是指那些只表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會大量占用CPU時間、增加系統(tǒng)開銷、降低系統(tǒng)工作效率的一類計算機病毒。(2)惡性病毒惡性病毒是指一旦發(fā)作后，就會破壞系統(tǒng)或數(shù)據(jù)、造成計算機系統(tǒng)癱瘓的一類計算機病毒。4．按照計算機病毒的鏈結(jié)方式分類(1)源碼型病毒這種病毒攻擊高級語言編寫的程序，在正常的程序源代碼中插入病毒代碼，作為程序的一部分。(2)嵌入型病毒這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。(3)外殼型病毒外殼型病毒將其自身包圍在主程序的四周，對原來的程序不做修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知是否感染這種病毒。(4)操作系統(tǒng)型病毒這種病毒將自身的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強的破壞力，可能導(dǎo)致整個系統(tǒng)的癱瘓。5．新時代網(wǎng)絡(luò)病毒的概念網(wǎng)絡(luò)病毒是指以網(wǎng)絡(luò)為平臺、對計算機安全產(chǎn)生威脅的所有程序的總和。(1)木馬病毒(Trojan)木馬是一種偽裝成正常程序的病毒程序，它可以竊取計算機的有關(guān)信息，向其他計算機發(fā)送，或者整個計算機都受其他計算機(人)控制。它的發(fā)展：第一代：簡單的密碼竊取、發(fā)送等。第二代：在技術(shù)上有了很大的進(jìn)步。第三代：在數(shù)據(jù)傳輸技術(shù)上改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳輸數(shù)據(jù)。第四代木馬在進(jìn)程隱藏方面做了大的改進(jìn)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)嵌入DLL線程；或者掛接PSAPI，實現(xiàn)木馬程序的隱藏。(2)蠕蟲病毒(worm)蠕蟲病毒是指利用網(wǎng)絡(luò)缺陷進(jìn)行繁殖的病毒程序，當(dāng)年的“莫里斯”病毒就是典型的蠕蟲病毒。它利用網(wǎng)絡(luò)的缺陷在網(wǎng)絡(luò)中大量繁殖，導(dǎo)致幾千臺服務(wù)器無法正常提供服務(wù)。(3)捆綁器病毒(binder)捆綁器病毒是一個新概念，人們編寫這些程序的最初目的是希望通過一次鼠標(biāo)單擊同時運行多個程序，然而這一工具卻成了病毒的幫兇。(4)網(wǎng)頁病毒網(wǎng)頁病毒是利用網(wǎng)頁來進(jìn)行破壞的病毒，它存在于網(wǎng)頁之中，主要利用軟件或操作系統(tǒng)平臺等安全漏洞，通過執(zhí)行嵌入在HTML網(wǎng)頁文件內(nèi)的JavaApplet代碼、JavaScript腳本程序、ActiveX代碼支持可自動執(zhí)行的病毒程序，以強行修改用戶操作系統(tǒng)的注冊表設(shè)置及系統(tǒng)實用配置程序，或非法控制系統(tǒng)資源，盜取用戶文件，或惡意刪除硬盤文件，格式化硬盤。(5)黑客程序(Hack)黑客程序其實不能算作病毒，因為黑客程序只是一個工具，它有界面且不會傳染。但黑客常常利用病毒來進(jìn)行攻擊，最常用的工具是木馬，即在被攻擊的計算機里植入一個木馬，這樣黑客就可以隨心所欲地控制被攻擊的計算機了。黑客還有很多其他攻擊方法，一般都是利用計算機上的安全漏洞，特別是一些服務(wù)端口的漏洞、ASP漏洞、操作系統(tǒng)漏洞等。9.1.3病毒的主要危害1．對計算機數(shù)據(jù)的直接破壞●對整個磁盤或磁盤的特定磁道進(jìn)行格式化。如“磁盤殺手”病毒。●刪除磁盤上特定的可執(zhí)行文件或數(shù)據(jù)文件。如“黑色星期五”、“新世紀(jì)”病毒?！裥薷幕蚱茐奈募械臄?shù)據(jù)。如DBASE病毒?！駥ο到y(tǒng)中用戶儲存的文件進(jìn)行加密或解密。如“密碼”病毒。●破壞文件分配表。如SRI848病毒?！窀淖兇疟P上目標(biāo)信息的存儲狀態(tài)。如DIR病毒?！窀幕蛑匦聦懭氪疟P的卷標(biāo)。如Brain病毒?！裨诖疟P上產(chǎn)生“壞”的扇區(qū)，減少磁盤空間，達(dá)到破壞有關(guān)程序或數(shù)據(jù)文件的目的。如“雪球”病毒?！窀淖兇疟P分配，使數(shù)據(jù)寫入錯誤的盤區(qū)。2．占用磁盤空間引導(dǎo)型病毒的一般侵占方式是病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個磁盤扇區(qū)。文件型病毒修改被感染文件，一般使文件變大，而且會越來越大。有些病毒會產(chǎn)生大量的臨時文件或病毒文件，造成磁盤空間的浪費。3．搶占系統(tǒng)資源大多數(shù)病毒都是常駐內(nèi)存的，這就必然會搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度與病毒本身長度大致相當(dāng)。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，使得一部分軟件不能運行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運行。4．影響計算機運行速度病毒進(jìn)駐內(nèi)存后不但干擾系統(tǒng)運行，還會影響計算機運行速度。（1）病毒在運行過程中需要不斷地監(jiān)控計算機的運行，執(zhí)行了大量的額外指令，從而導(dǎo)致計算機變慢；（2）有些病毒為了保護(hù)自己，不但對磁盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時要運行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行；（3）而病毒運行結(jié)束時再用一段程序?qū)Σ《局匦录用堋?．死機及其他不可預(yù)見錯誤被病毒感染的計算機經(jīng)常會出現(xiàn)死機、黑屏等不可預(yù)見的錯誤，有多種可能的原因：（1）病毒編寫時可能預(yù)先設(shè)計成會產(chǎn)生這種后果；（2）可能是由病毒的平臺兼容性較差而造成，病毒的編寫者一般不會在各種計算機環(huán)境下對病毒進(jìn)行測試，因此病毒的兼容性較差，常常導(dǎo)致死機；（3）病毒本身也有漏洞，病毒大都是個別人在一臺計算機上編寫調(diào)試后就向外傳播，這種病毒在運行過程中會發(fā)生病毒編寫者也不可預(yù)知的現(xiàn)象；（4）錯誤病毒的另一個主要來源是變種病毒。有些初學(xué)計算機者尚不具備獨立編寫軟件的能力，出于好奇或其他原因修改別人的病毒，造成錯誤。9.1.4計算機受病毒感染后的表現(xiàn)受感染的計算機有各種不同的表現(xiàn)，當(dāng)計算機出現(xiàn)如下現(xiàn)象時，就表明它可能已經(jīng)感染了病毒：(1)運行速度明顯變慢、系統(tǒng)引導(dǎo)、打印速度變慢。(2)經(jīng)常出現(xiàn)內(nèi)存不足的錯誤(3)硬盤燈不停地閃爍，有時要求對軟盤進(jìn)行寫操作(4)出現(xiàn)異常信息、異常圖形(5)經(jīng)常無緣無故地死機(6)操作系統(tǒng)無法正常啟動(7)系統(tǒng)文件的時間、日期、大小發(fā)生變化(8)打開Word文檔后，該文件另存時只能以模板方式保存(9)磁盤空間迅速減少(10)網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用(11)基本內(nèi)存變小(12)自動撥號上網(wǎng)到一些陌生的網(wǎng)站9.2病毒的防治計算機病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行；系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判?！胺蓝尽笔侵父鶕?jù)系統(tǒng)特性采取相應(yīng)的系統(tǒng)安全措施，預(yù)防病毒侵入計算機。“查毒”是指對于確定的環(huán)境，能夠準(zhǔn)確地報出病毒名稱，該環(huán)境包括內(nèi)存、文件、引導(dǎo)區(qū)(含主導(dǎo)區(qū))及網(wǎng)絡(luò)等?！敖舛尽笔侵父鶕?jù)不同類型病毒對感染對象的修改及病毒的感染特性進(jìn)行恢復(fù)。該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。感染對象包括內(nèi)存、引導(dǎo)區(qū)(含主引導(dǎo)區(qū))、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等。9.2.1計算機病毒的來源●新購的計算機系統(tǒng)等軟件中帶有病毒?！袷褂靡呀?jīng)感染了病毒的磁盤?！褚恍┤居胁《镜挠螒蜍浖?。●在安裝盜版軟件時感染病毒?！裼嬎銠C生產(chǎn)、經(jīng)營單位銷售的機器和軟件中有病毒?！窬S修部門交叉感染。●敵對分子以病毒進(jìn)行宣傳和破壞?！窬W(wǎng)絡(luò)中病毒自動感染，如蠕蟲病毒?！駷g覽網(wǎng)頁時感染病毒?！窠邮针娮余]件時感染病毒?！裨獾胶诳偷墓?。9.2.2病毒的預(yù)防可以從如下方面來防止計算機感染病毒。(1)保證新購置的計算機硬盤無病毒(2)安全地使用軟盤(3)慎用盜版軟件(4)安裝殺毒軟件(防火墻)，并及時升級在計算機上安裝殺毒軟件是必要的安裝殺毒軟件后還要及時地更新升級，因為現(xiàn)在的病毒發(fā)展是非常快的，相應(yīng)的殺毒軟件也必須在病毒庫中不斷增加新病毒的特征代碼。(5)安裝網(wǎng)絡(luò)防火墻(6)不訪問不保證安全的網(wǎng)站(7)安裝系統(tǒng)保護(hù)和修復(fù)工具(8)謹(jǐn)慎下載網(wǎng)上的程序(9)不隨意打開郵件，尤其是附件(10)提高瀏覽器的安全級別(11)關(guān)注計算機的異常情況當(dāng)計算機出現(xiàn)前面小節(jié)中提到的異常現(xiàn)象(如速度慢，死機等)時，就應(yīng)該懷疑計算機感染了病毒，這時要盡快地對計算機進(jìn)行查毒和殺毒。9.3殺毒軟件的安裝常用的殺毒軟件有NortonAntiVirus、瑞星、江民KV系列、冠群的KILL系列、趨勢、金山、熊貓衛(wèi)士系列和LANVRV系列等。下面介紹瑞星2004殺毒軟件的安裝。(1)運行rav.exe，出現(xiàn)自動安裝程序界面，開始運行瑞星安裝程序。(2)彈出語言選擇對話框，選擇要安裝的語言版本，單擊“確定”按鈕，開始安裝。(3)進(jìn)入歡迎安裝界面，單擊“下一步”按鈕，進(jìn)入“用戶許可協(xié)議”界面。(4)閱讀“最終用戶許可協(xié)議”，選中“我接受”單選按鈕，接受用戶許可協(xié)議，單擊“下一步”按鈕。(5)輸入產(chǎn)品序列號和用戶ID，這兩個號碼可以在軟件安裝盤上找到。(6)通過序列號驗證后，先要進(jìn)行內(nèi)存的病毒掃描，以保證系統(tǒng)是安全的。(7)選擇安裝的程序組。(8)選擇安裝方式，一般選擇“默認(rèn)安裝”。(9)瑞星殺毒軟件可以嵌入到下載工具中，下面選擇要嵌入的工具。(10)開始復(fù)制文件(11)選擇是否要在桌面上建立快捷方式。(12)這時安裝已經(jīng)完成，選擇要啟動的項目，單擊“完成”按鈕。(13)執(zhí)行瑞星殺毒程序，出現(xiàn)瑞星殺毒軟件的主界面9.4個人版網(wǎng)絡(luò)防火墻的安裝個人版網(wǎng)絡(luò)防火墻的作用是監(jiān)控端口，保護(hù)本機不受黑客的攻擊。建議用戶在經(jīng)常聯(lián)網(wǎng)的計算機上安裝個人版網(wǎng)絡(luò)防火墻。常用的個人版網(wǎng)絡(luò)防火墻有天網(wǎng)防火墻、金山網(wǎng)鏢、瑞星防火墻以及其他殺毒軟件所帶的防火墻。以“天網(wǎng)防火墻個人版”為例，介紹防火墻的安裝。(1)下載天網(wǎng)防火墻。天網(wǎng)防火墻可以從網(wǎng)上下載，它是一個共享軟件。(2)雙擊下載到本機上的安裝程序，出現(xiàn)一個歡迎界面，單擊“下一步”按鈕。(3)選擇安裝目錄，單擊“下一步”按鈕。(4)選擇“程序管理器程序組”，單擊“下一步”按鈕。(5)系統(tǒng)提示可以開始安裝，單擊“下一步”按鈕。(6)開始安裝程序，結(jié)束后單擊“完成”按鈕，系統(tǒng)提示重新啟動計算機(7)重啟計算機后，就可以運行“天網(wǎng)防火墻個人版”了。運行后，在任務(wù)欄的右側(cè)會出現(xiàn)一個小圖標(biāo)。雙擊該圖標(biāo)，可以對程序進(jìn)行配置、查看網(wǎng)絡(luò)上的攻擊情況等。下圖是對IP規(guī)則進(jìn)行設(shè)置，一般接受默認(rèn)值即可，若用戶比較熟悉TCP/IP協(xié)議，則可以進(jìn)行自定義設(shè)置。自定義IP規(guī)則的設(shè)置9.5上網(wǎng)助手的安裝3721上網(wǎng)助手對IE有保護(hù)作用，主要體現(xiàn)在:●IE修復(fù)專家：清理IE快捷菜單、清理IE工具欄?！癜踩雷o(hù)：屏蔽惡意代碼、即時保護(hù)IE、自動屏蔽插件、清理惡意程序、在線殺毒?！耠[私保護(hù)：清理使用痕跡、選擇性清理地址欄、自動清理痕跡、設(shè)置老