第七講 病毒常見問題解答

第七講

病毒常見問題解答本章目標(biāo) 本章以問答的方式，將病毒的相關(guān)概念、特性、應(yīng)付方法等內(nèi)容融合在一起，通過本講的學(xué)習(xí)，學(xué)員可以對病毒有了更全面的認(rèn)識。2

所謂的殺病毒,就防毒軟件而言有兩種情況:

一種是將病毒程序代碼由感染的檔案中移除(例如一個(gè)10K的檔案感染了2K的病毒變成了12K,經(jīng)過殺毒之后,恢復(fù)成10K的正常檔案)，這就是所謂的清除

一種是將整個(gè)病毒檔案刪除(這是因?yàn)樵摍n案全都是病毒程序代碼)這種情況特別容易發(fā)生在特洛依木馬,蠕蟲之類的病毒，這種狀況就是采取的隔離措施為什么有些病毒清除不了（非運(yùn)行中），只能隔離而不能清除？3

發(fā)現(xiàn)病毒時(shí)，防毒軟件通?？梢圆扇〉拇胧┯校呵宄綦x刪除重命名通過（即不做處置） 如果客戶懷疑自己的系統(tǒng)中感染了未知病毒，可以請他將可疑文件壓縮成zip文件，并且在壓縮時(shí)使用密碼virus，然后發(fā)送至郵箱：virus_doctor@進(jìn)行分析發(fā)現(xiàn)病毒時(shí)，防毒軟件是怎么處理的？4

清除不了病毒的文件可能有以下兩種情況：

該文件本身即是病毒文件而非病毒感染其他文件后生成。這種情況下只能采取隔離或是刪除的措施，因?yàn)槲募邪闹挥胁《敬a，不存在清除的問題。

病毒在感染文件時(shí)采取了一些特殊的方法，對被感染的文件進(jìn)行了一些特殊的處理。使得防病毒軟件不能有效的還原原文件。但是，并不排除隨著防病毒軟件的改進(jìn)而可以清除的可能。對于隔離區(qū)的清除不了病毒的文件，是否可以等到新的解藥出來后，清除文件中的病毒就可以了？5

病毒碼中包含的是病毒的具體特征，而掃描引擎就是使用這些特征對文件進(jìn)行比對，以確定被掃描的文件是否為病毒。因此，理論上只要病毒碼包含了相關(guān)病毒的特征，則該病毒即可被檢測到。病毒碼更新，掃描引擎不更新的話，會(huì)不會(huì)繼續(xù)中病毒？6

造成這個(gè)問題是以下原因：在Windows操作系統(tǒng)下運(yùn)行的程序，其執(zhí)行的原始文件往往會(huì)處在一個(gè)受保護(hù)的狀態(tài)，使得對該文件的相關(guān)操作被禁止。很多木馬程序都會(huì)在系統(tǒng)文件或是系統(tǒng)注冊表中寫下可以使自身在Windows啟動(dòng)時(shí)自動(dòng)執(zhí)行的項(xiàng)目，因此往往系統(tǒng)已啟動(dòng)木馬已在系統(tǒng)中運(yùn)行，造成防病毒軟件無法對木馬程序進(jìn)行有效處理。為什么現(xiàn)在有很多木馬程序殺不掉7

病毒的常見傳播方式有：通過電子郵件通過網(wǎng)絡(luò)共享通過點(diǎn)對點(diǎn)的文件共享軟件以磁盤之類的介質(zhì)各類病毒的傳播方式？8

不會(huì)。有些病毒或是木馬后門之類的惡意程序會(huì)在系統(tǒng)中寫入一些文件，用以記錄自身運(yùn)行使得一些狀態(tài)或是記錄從系統(tǒng)中取得的數(shù)據(jù)。這些文件由于是用于記錄數(shù)據(jù)，與通常的純數(shù)據(jù)文件并沒有什么差別，其本身并不具備執(zhí)行的能力，因此并不會(huì)被檢測，相應(yīng)的該文件也不會(huì)被采取一些自動(dòng)的措施進(jìn)行處理。對于病毒清除后的殘余文件，是否會(huì)隨著病毒清除后自動(dòng)刪除？9

各防病毒廠商在對病毒的認(rèn)定標(biāo)準(zhǔn)上存在一些細(xì)小的差異，導(dǎo)致某些文件某些廠商檢測而其他一些廠商不檢測的結(jié)果。舉例來說，如果一個(gè)程序在執(zhí)行時(shí)需要客戶認(rèn)可其最終用戶許可協(xié)議，趨勢科技即不將其檢測為病毒，而其他廠家則可能會(huì)檢測該程序?yàn)椴《?。為什么有時(shí)候有些防病毒軟件認(rèn)為一個(gè)文件是病毒，而有些防病毒軟件卻認(rèn)為不是病毒？10

由于系統(tǒng)文件是操作系統(tǒng)的一部分，建議客戶使用原始的操作系統(tǒng)安裝盤恢復(fù)相應(yīng)的文件。對于被隔離的病毒文件如果是系統(tǒng)文件的話，應(yīng)該如何處理？11

修改系統(tǒng)時(shí)間確實(shí)可以阻止一些周期性發(fā)作的病毒的發(fā)作，但是并不是絕對可行。有些病毒由于其觸發(fā)機(jī)制的復(fù)雜性，修改系統(tǒng)時(shí)間并不能完全阻止其發(fā)作。病毒發(fā)作有的有周期的，是否本機(jī)時(shí)間改掉就可以了？12

計(jì)算機(jī)蠕蟲是指一個(gè)程序（或一組程序），它會(huì)自我復(fù)制、傳播到別的計(jì)算機(jī)系統(tǒng)中去。最重要的特征是其復(fù)制的行為發(fā)生于計(jì)算機(jī)與計(jì)算機(jī)之間。蠕蟲、病毒的特征和區(qū)別？13

要視病毒具體感染的文件類型而定，宏病毒通常會(huì)感染W(wǎng)ord文檔文件以及Excel電子數(shù)據(jù)表文件；腳本病毒通常會(huì)感染網(wǎng)頁類型文件；文件型病毒通常感染可執(zhí)行程序，如exe文件。不同的病毒生成的文件是什么類型的14

碰到這種情況，請記錄相關(guān)的文件名稱，并使用原始的操作系統(tǒng)安裝盤進(jìn)行相關(guān)文件的恢復(fù)

如果遇到病毒感染了系統(tǒng)文件怎么辦？如果刪除了或者殺死病毒造成系統(tǒng)不穩(wěn)定，但不想重新裝系統(tǒng)，怎么解決？15

病毒是否具有潛伏期要視病毒的具體觸發(fā)條件而定，只有那些觸發(fā)條件是使用特定時(shí)間的病毒才具有潛伏期。哪些病毒有潛伏期的？16防病毒軟件的作用是什么？清除

從被感染文件中清除病毒代碼。隔離

加密無法清除的文件并將它存放到某個(gè)特定的位置，以避免該文件中的病毒代碼的運(yùn)行。刪除

直接刪除被感染的文件。17如何設(shè)置防病毒軟件中的處理方式？當(dāng)載體文件被PE病毒、宏病毒或腳本病毒感染時(shí)，清除功能可以將病毒從被感染文件中除去。如果惡意程序的類型是蠕蟲、特洛伊木馬或后門程序時(shí)，由于這一類型的病毒本身就是一個(gè)病毒程序，不會(huì)感染其他文件，因此需要備份的情況下，請采取隔離的方式，否則直接刪除即可。18病毒會(huì)感染哪些文件？病毒只會(huì)感染程序文件或帶有可執(zhí)行代碼的文件，任何支持可執(zhí)行命令的文件格式都有可能被病毒感染。病毒不會(huì)感染純粹的數(shù)據(jù)文件——只會(huì)破壞它們。盡管病毒能夠成功的將指令插入這些文件中，它們相應(yīng)的查看器或播放器只會(huì)將它們顯示出來，而不會(huì)執(zhí)行這些指令。19計(jì)算機(jī)的CMOS會(huì)被感染嗎?不會(huì)。計(jì)算機(jī)的系統(tǒng)信息存在的區(qū)域一般是通過輸入/輸出（I/O）端口進(jìn)行訪問的，不能被直接訪問。當(dāng)然，惡意程序可以更改CMOS中的數(shù)據(jù)，但不會(huì)通過其傳播。任何隱藏在CMOS中的病毒都會(huì)找機(jī)會(huì)去感染可執(zhí)行體，然后將寫在CMOS中的內(nèi)容執(zhí)行起來。20防病毒軟件可能被病毒感染嗎？ 是的，有這種可能性。防毒軟件本身也是一種可能被病毒感染的可執(zhí)行程序。因此，盡量使用可信的介質(zhì)或防毒軟件安裝程序。21我該使用多少種防毒軟件？ 如果你只是一個(gè)家庭用戶，并且與其他用戶的文件交換頻率比較低的話，使用一種防毒軟件就足夠了。22什么是“正在流行”（in-the-wild)的病毒？相對于某些已經(jīng)被控制，只在實(shí)驗(yàn)室里才有的病毒而言，有些病毒是在真實(shí)的系統(tǒng)中存在的、是在正在傳播的。一般來說，一段已經(jīng)被公布出來的病毒程序，但并沒有真正的流行的話，我們不稱其為“正在流行”（inthewild)病毒。23什么叫companion病毒？companion病毒是指病毒并不修改被感染的文件，而是創(chuàng)建一個(gè)新的文件。當(dāng)用戶執(zhí)行原先的程序時(shí)，病毒程序就會(huì)被調(diào)用。當(dāng)病毒程序退出時(shí)，再執(zhí)行原程序，給用戶造成一種正常的假象。某些只檢查現(xiàn)有文件的完整性（是否被改動(dòng)）的防毒軟件可能會(huì)檢測不到這種病毒。24什么是黑客程序？純粹的黑客程序（也稱遠(yuǎn)程訪問木馬程序）是一種客戶機(jī)——服務(wù)器式的程序，目的是破壞系統(tǒng)的安全。通常，服務(wù)器端程序是被植入的，就象別的特洛伊木馬程序一樣，而且往往帶有蠕蟲的特點(diǎn)，更有利于其傳播。服務(wù)器端一旦安裝上以后，其充當(dāng)了一個(gè)類似于網(wǎng)關(guān)的角色，黑客就可以利用相關(guān)的客戶端軟件滲透到被感染的系統(tǒng)中來。這種惡意程序的行為特征是網(wǎng)絡(luò)中增加了不該有的流量，往往可以通過個(gè)人防火墻或相關(guān)的軟件將其找到。25什么是分區(qū)表？軟盤有分區(qū)表嗎？分區(qū)扇區(qū)，又稱主引導(dǎo)記錄，是硬盤物理上的第一扇區(qū)(track0,head0,sector1)

。通常包含了分區(qū)表，硬盤的一些信息和一個(gè)小程序。分區(qū)表是一個(gè)64字節(jié)的數(shù)據(jù)結(jié)構(gòu)，定義了計(jì)算機(jī)硬盤如何劃分為多個(gè)邏輯硬盤。軟盤沒有分區(qū)表。26FDISK/MBR命令有什么作用？

FDISK/MBR會(huì)清除主引導(dǎo)區(qū)記錄。一般來說不一定會(huì)更改分區(qū)信息，但對普通用戶而言，通常會(huì)造成嚴(yán)重后果。如果主引導(dǎo)區(qū)記錄的最后兩個(gè)字節(jié)不是55AA的話，F(xiàn)DISK/MBR這條命令會(huì)刪除分區(qū)表中的數(shù)據(jù)。如果你對分區(qū)表沒有足夠的認(rèn)識的話，請不要輕易使用FDISK/MBR命令，因?yàn)槟銜?huì)丟失數(shù)據(jù)。27如何清除主引導(dǎo)區(qū)中的病毒？有兩種方法：使用防毒軟件或者運(yùn)行FDISK/MBR命令。大部分防毒軟件都能清除引導(dǎo)區(qū)內(nèi)的病毒，但是有一些可能在特定的環(huán)境中有些問題。這時(shí)可以考慮運(yùn)行FDISK/MBR。但是除非你對此行為將產(chǎn)生的后果十分清楚，否則將是非常不明智的。在運(yùn)行FDISK/MBR命令后，你有可能無法訪問硬盤上的數(shù)據(jù)。28重新格式化硬盤可以清除引導(dǎo)區(qū)病毒嗎？不一定。格式化（FORMAT）命令會(huì)重寫引導(dǎo)扇區(qū)數(shù)據(jù)和硬盤上除主引導(dǎo)扇區(qū)外的數(shù)據(jù)。格式化并不更改主引導(dǎo)扇區(qū)的內(nèi)容。大部分引導(dǎo)型病毒會(huì)感染硬盤的主引導(dǎo)記錄。格式化硬盤不會(huì)清除引導(dǎo)型病毒，但可以通過其它方法來清除引導(dǎo)型病毒。29引導(dǎo)型病毒可以感染非引導(dǎo)盤嗎？可以。所有格式化過的磁盤都可以攜帶引導(dǎo)型病毒，因?yàn)槿魏握_格式化過的DOS磁盤在引導(dǎo)扇區(qū)內(nèi)（可啟動(dòng)的或不可啟動(dòng)的）都有可執(zhí)行代碼，導(dǎo)致可以被病毒感染。30使用DIR命令會(huì)感染我的系統(tǒng)嗎？使用DIR命令不會(huì)感染一個(gè)“干凈的系統(tǒng)”，即使所瀏覽的目的磁盤上有病毒也沒關(guān)系。但是如果你的計(jì)算機(jī)已經(jīng)感染了病毒，該命令有可能使“干凈”的磁盤感染上病毒。31將文件的屬性設(shè)為只讀可以保護(hù)其不被病毒感染嗎？一般來說，不會(huì)。只讀屬性只會(huì)防住少數(shù)病毒，大部分病毒還是會(huì)通過覆蓋的方式感染文件的。

因此，雖然將可執(zhí)行文件的屬性設(shè)為只讀是個(gè)好主意（可以防止誤操作）但從防病毒角度講，沒什么大用。32寫保護(hù)可以防止病毒感染嗎？一般來說，可以。在IBMPC（和某些兼容機(jī)）上的寫保護(hù)裝置可以很好的保護(hù)不受病毒的干擾。因?yàn)閷懕Ｗo(hù)是基于硬件的。而病毒只是一個(gè)程序，是軟件，不可能違背一些通用的規(guī)則。如果啟用了寫保護(hù)的軟盤在被感染病毒的系統(tǒng)里使用，它也不會(huì)被感染。33DOS病毒會(huì)在Windows環(huán)境下工作嗎？絕大多數(shù)的DOS病毒不能在Windows環(huán)境下運(yùn)行，但是有一小部分可以（在限制的條件下）。總的來說，以Windows專用內(nèi)存方式運(yùn)行的系統(tǒng)要比純DOS對病毒的抵抗性能要好。這是因?yàn)樵S多病毒與Windows的內(nèi)存管理方式不兼容。進(jìn)一步講，大部分現(xiàn)存的病毒如果想要通過以前的方式來感染EXE文件的話，將會(huì)破壞這些Windows程序。但是許多僅感染COM文件的病毒在Windows提供的虛擬DOS環(huán)境下就會(huì)很好的運(yùn)行。34什么是cavity病毒？cavity病毒是指病毒會(huì)覆蓋目標(biāo)文件中的某些部分（通常是空數(shù)值），通過這種方式將自己隱藏在目標(biāo)文件中，而不增加文件的長度。35在閱讀電子郵件和瀏覽新聞組時(shí)會(huì)中毒嗎？絕大多數(shù)情況下，惡意程序只有當(dāng)其中的可執(zhí)行代碼被運(yùn)行才會(huì)被激活。有些電子郵件程序會(huì)自動(dòng)執(zhí)行郵件中所帶的可執(zhí)行代碼，例如JavaScript,Word宏語句等。在這種情況下，如果其中的代碼是惡意的話，病毒就會(huì)感染系統(tǒng)，因此強(qiáng)烈建議禁用自動(dòng)執(zhí)行的特性。36如果我的MS

Word關(guān)著還會(huì)感染W(wǎng)ord宏病毒嗎？關(guān)于各個(gè)程序的宏病毒只會(huì)在自身程序中才能被執(zhí)行，因此如果Word程序關(guān)著，Word宏病毒是不會(huì)被執(zhí)行起來的（別的相應(yīng)的各個(gè)程序的宏病毒也是如此）。37什么是CARO和EICAR？什么是EICAR測試文件？CARO(ComputerAntivirusResearchOrganization)計(jì)算機(jī)防病毒研究組織是計(jì)算機(jī)防病毒領(lǐng)域的研究者，許多成員是來自防病毒廠商。EICAR(EuropeanInstituteforComputerAntivirusResearch)歐洲防病毒研究協(xié)會(huì)是由學(xué)院，商業(yè)協(xié)會(huì)，媒體政府機(jī)構(gòu)等一起組成的一個(gè)團(tuán)體，主要成員有網(wǎng)絡(luò)安全專家，法律專家等。這個(gè)組織致力于控制計(jì)算機(jī)病毒和計(jì)算機(jī)資源的濫用。同時(shí)也是EICAR測試文件的提供者。EICAR測試文件是一個(gè)用來測試防毒軟件的文件。使用該文件就可以不必使用真正的病毒來實(shí)驗(yàn)了。38什么是實(shí)時(shí)掃描？實(shí)時(shí)掃描是防毒軟件的一種處理方法。當(dāng)您訪問任何一個(gè)文件的時(shí)候，這些文件都會(huì)先被防毒軟件掃描，這種掃描是基于后臺的，并不為用戶所察覺，在這種情況下，任何惡意程序在執(zhí)行或打開的時(shí)候，都會(huì)被事先掃描到。39什么是完整性檢查？完整性檢查會(huì)去檢查一個(gè)文件的校驗(yàn)和或者哈希值，以此來判別文件是否被改動(dòng)過。這種技術(shù)可以對文件的任何改動(dòng)做出判斷，不管是已知的或是未知的病毒都可以適用，因?yàn)檫@是通用的檢查。另外，除了病毒以外的別的任何改動(dòng)也可以被查出來。通常情況下，可以讓用戶來判斷哪種情況是有意的，哪種是由于病毒的原因造成的，某些產(chǎn)品提供了相關(guān)的幫助來協(xié)助用戶做相應(yīng)的判斷。40什么是啟發(fā)式掃描？啟發(fā)式掃描通過檢查可執(zhí)行程序的代碼來查找可能存在的未知病毒。通常有一系列的規(guī)則可以用來參考，當(dāng)相關(guān)的條件滿足時(shí)會(huì)發(fā)出警報(bào)。有些防毒軟件用這種技術(shù)來補(bǔ)充基于字符串匹配的掃描方式（查找已知病毒），以便更好的查到未知病毒。這種掃描方式并不是非?？煽?，有時(shí)候會(huì)產(chǎn)生誤報(bào)，在完整性檢查的軟件