第十章計(jì)算機(jī)病毒及防治

第十章計(jì)算機(jī)病毒及防治10.1計(jì)算機(jī)病毒概述10.2

DOS環(huán)境下的病毒10.3宏病毒10.4網(wǎng)絡(luò)計(jì)算機(jī)病毒10.5反病毒技術(shù)10.6軟件防病毒技術(shù)10.7典型病毒實(shí)例——CIH病毒介紹10.1計(jì)算機(jī)病毒概述一、計(jì)算機(jī)病毒的定義二、計(jì)算機(jī)病毒的發(fā)展歷史三、計(jì)算機(jī)病毒的分類(lèi)四、計(jì)算機(jī)病毒的特點(diǎn)五、計(jì)算機(jī)病毒的隱藏之處和入侵途徑六、現(xiàn)代計(jì)算機(jī)病毒的流行特征七、計(jì)算機(jī)病毒的破壞行為八、計(jì)算機(jī)病毒的作用機(jī)制一、計(jì)算機(jī)病毒的定義“計(jì)算機(jī)病毒”最早是由美國(guó)計(jì)算機(jī)病毒研究專(zhuān)家F.Cohen博士提出的。“計(jì)算機(jī)病毒”有很多種定義，國(guó)外最流行的定義為：計(jì)算機(jī)病毒，是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。二、計(jì)算機(jī)病毒的發(fā)展歷史1．計(jì)算機(jī)病毒發(fā)展簡(jiǎn)史

世界上第一例被證實(shí)的計(jì)算機(jī)病毒是在1983年，出現(xiàn)了計(jì)算機(jī)病毒傳播的研究報(bào)告。同時(shí)有人提出了蠕蟲(chóng)病毒程序的設(shè)計(jì)思想；1984年，美國(guó)人Thompson開(kāi)發(fā)出了針對(duì)UNIX操作系統(tǒng)的病毒程序。

1988年11月2日晚，美國(guó)康爾大學(xué)研究生羅特·莫里斯將計(jì)算機(jī)病毒蠕蟲(chóng)投放到網(wǎng)絡(luò)中。該病毒程序迅速擴(kuò)展，造成了大批計(jì)算機(jī)癱瘓，甚至歐洲聯(lián)網(wǎng)的計(jì)算機(jī)都受到影響，直接經(jīng)濟(jì)損失近億美元。

2．計(jì)算機(jī)病毒在中國(guó)的發(fā)展情況

在我國(guó)，80年代末，有關(guān)計(jì)算機(jī)病毒問(wèn)題的研究和防范已成為計(jì)算機(jī)安全方面的重大課題。1982年“黑色星期五”病毒侵入我國(guó)；1985年在國(guó)內(nèi)發(fā)現(xiàn)更為危險(xiǎn)的“病毒生產(chǎn)機(jī)”，生存能力和破壞能力極強(qiáng)。這類(lèi)病毒有1537、CLME等。進(jìn)入90年代，計(jì)算機(jī)病毒在國(guó)內(nèi)的泛濫更為嚴(yán)重。CIH病毒是首例攻擊計(jì)算機(jī)硬件的病毒，它可攻擊計(jì)算機(jī)的主板，并可造成網(wǎng)絡(luò)的癱瘓。二、計(jì)算機(jī)病毒的發(fā)展歷史3．計(jì)算機(jī)病毒發(fā)展的10個(gè)階段（1）DOS引導(dǎo)階段

（2）DOS可執(zhí)行文件階段

（3）混合型階段

（4）伴隨型階段

（5）多形型階段

（6）生成器，變體機(jī)階段

（7）網(wǎng)絡(luò)，蠕蟲(chóng)階段

（8）Windows階段

（9）宏病毒階段

（10）Internet階段

二、計(jì)算機(jī)病毒的發(fā)展歷史三、計(jì)算機(jī)病毒的分類(lèi)病毒種類(lèi)眾多，分類(lèi)如下：1．按傳染方式分為引導(dǎo)型、文件型和混合型病毒2．按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒3．按破壞性可分為良性病毒和惡性病毒4．網(wǎng)絡(luò)病毒四、計(jì)算機(jī)病毒的特點(diǎn)

（1）刻意編寫(xiě)，人為破壞

（2）自我復(fù)制能力

（3）奪取系統(tǒng)控制權(quán)

（4）隱蔽性

（5）潛伏性

（6）不可預(yù)見(jiàn)性

五、計(jì)算機(jī)病毒的隱藏之處和入侵途徑1．病毒的隱藏之處（1）可執(zhí)行文件。（2）引導(dǎo)扇區(qū)。（3）表格和文檔。

（4）Java小程序和ActiveX控件。2．病毒的入侵途徑

（1）傳統(tǒng)方法

（2）Internet六、現(xiàn)代計(jì)算機(jī)病毒的流行特征1．攻擊對(duì)象趨于混合型

2．反跟蹤技術(shù)

3．增強(qiáng)隱蔽性

4．加密技術(shù)處理

5．病毒繁衍不同變種

增強(qiáng)隱蔽性：（1）避開(kāi)修改中斷向量值

（2）請(qǐng)求在內(nèi)存中的合法身份

（3）維持宿主程序的外部特性

（4）不使用明顯的感染標(biāo)志

六、現(xiàn)代計(jì)算機(jī)病毒的流行特征加密技術(shù)處理：（1）對(duì)程序段動(dòng)態(tài)加密

（2）對(duì)顯示信息加密

（3）對(duì)宿主程序段加密

六、現(xiàn)代計(jì)算機(jī)病毒的流行特征七、計(jì)算機(jī)病毒的破壞行為

（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)

（2）攻擊文件

（3）攻擊內(nèi)存

（4）干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降

（5）干擾鍵盤(pán)、喇叭或屏幕

（6）攻擊CMOS（7）干擾打印機(jī)

（8）網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)

八、計(jì)算機(jī)病毒的作用機(jī)制

1．計(jì)算機(jī)病毒的一般構(gòu)成

2．計(jì)算機(jī)病毒的引導(dǎo)機(jī)制

3．計(jì)算機(jī)病毒的傳染機(jī)制

4．計(jì)算機(jī)病毒的破壞機(jī)制

一個(gè)引導(dǎo)病毒傳染的實(shí)例假定用硬盤(pán)啟動(dòng)，且該硬盤(pán)已染上了小球病毒，那么加電自舉以后，小球病毒的引導(dǎo)模塊就把全部病毒代碼1024字節(jié)保護(hù)到了內(nèi)存的最高段，即97C0：7C00處；然后修改INT13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫(xiě)軟磁盤(pán)的操作通過(guò)INT13H的作用，計(jì)算機(jī)病毒的傳染塊便率先取得控制權(quán)，它就進(jìn)行如下操作：1）讀入目標(biāo)軟磁盤(pán)的自舉扇區(qū)（BOOT扇區(qū)）。2）判斷是否滿(mǎn)足傳染條件。3）如果滿(mǎn)足傳染條件（即目標(biāo)盤(pán)BOOT區(qū)的01FCH偏移位置為5713H標(biāo)志），則將病毒代碼的前512字節(jié)寫(xiě)入BOOT引導(dǎo)程序，將其后512字節(jié)寫(xiě)入該簇，隨后將該簇標(biāo)以壞簇標(biāo)志，以保護(hù)該簇不被重寫(xiě)。4）跳轉(zhuǎn)到原INT13H的入口執(zhí)行正常的磁盤(pán)系統(tǒng)操作。

一個(gè)文件病毒傳染的實(shí)例假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運(yùn)行該文件后，耶路撒冷病毒的引導(dǎo)模塊會(huì)修改INT21H的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內(nèi)存，此后退回操作系統(tǒng)。以后再有任何加載執(zhí)行文件的操作，病毒的傳染模塊將通過(guò)INT21H的調(diào)用率先獲得控制權(quán)，并進(jìn)行以下操作：1）讀出該文件特定部分。2）判斷是否傳染。3）如果滿(mǎn)足條件，則用某種方式將病毒代碼與該可執(zhí)行文件鏈接，再將鏈接后的文件重新寫(xiě)入磁盤(pán)。4）轉(zhuǎn)回原INT21H入口，對(duì)該執(zhí)行文件進(jìn)行正常加載。計(jì)算機(jī)病毒的傳染過(guò)程計(jì)算機(jī)病毒的傳染過(guò)程1）駐入內(nèi)存。2）判斷傳染條件。3）傳染。

10.2

DOS環(huán)境下的病毒一、DOS基本知識(shí)介紹二、常見(jiàn)DOS病毒分析一、DOS基本知識(shí)介紹

1．DOS的基本結(jié)構(gòu)

2．DOS啟動(dòng)過(guò)程

3．DOS的程序加載過(guò)程

4．DOS的中斷系統(tǒng)

1．DOS的基本結(jié)構(gòu)（1）引導(dǎo)記錄模塊

（2）基本輸入輸出管理模塊

（3）核心模塊

（4）SHELL模塊

2．DOS啟動(dòng)過(guò)程PCX86系列計(jì)算機(jī)設(shè)計(jì)時(shí)，都使地址0FFFF0H處于ROM區(qū)中，并將該地址的內(nèi)容設(shè)計(jì)為一條跳轉(zhuǎn)指令并首先執(zhí)行它，這樣就將控制權(quán)交給了自檢程序和ROM引導(dǎo)裝入程序。啟動(dòng)過(guò)程為：硬件自檢→自舉→系統(tǒng)初始化→內(nèi)核初始化→建立系統(tǒng)運(yùn)行環(huán)境→COMMAND.COM初始化。3．DOS的程序加載過(guò)程（1）COMMAND處理命令的過(guò)程

（2）.EXE文件的加載

（3）.COM文件的加載

4．DOS的中斷系統(tǒng)（1）中斷向量表

（2）中斷響應(yīng)過(guò)程

（3）計(jì)算機(jī)病毒經(jīng)常使用的中斷

多數(shù)病毒經(jīng)常使用磁盤(pán)服務(wù)中斷和時(shí)鐘中斷。1）ROMBIOS軟中斷INT13H。

2）磁盤(pán)邏輯扇區(qū)讀/寫(xiě)中斷INT25H、INT26H。

3）間隔時(shí)鐘中斷INT1CH。

4）時(shí)鐘中斷INT8H。是ROMBIOS硬中斷，其向量地址為0000:0020H~0000:0023H。

5）屏幕顯示中斷INT10H。向量地址為0000:0040H~0000:0043H。

6）程序正常結(jié)束中斷INT20H。是DOS軟中斷，其向量地址為0000:0080~0000:0083H。

7）系統(tǒng)功能調(diào)用中斷INT21H。

二、常見(jiàn)DOS病毒分析1．引導(dǎo)記錄病毒

（1）引導(dǎo)型病毒的傳播、破壞過(guò)程

（2）引導(dǎo)型病毒實(shí)例：火炬病毒

2．文件型病毒（1）文件型病毒的類(lèi)型（2）文件型病毒的感染方式

（3）.COM文件的感染

（4）.EXE文件的感染

（5）.SYS文件的感染

（a）引導(dǎo)型病毒（b）文件型病毒圖10.1病毒的傳播、破壞過(guò)程10.3宏病毒一、宏病毒的分類(lèi)二、宏病毒的行為和特征三、宏病毒的特點(diǎn)四、宏病毒的防治和清除方法一、宏病毒的分類(lèi)1．公（共）用宏病毒這類(lèi)宏病毒對(duì)所有的Word文檔有效，其觸發(fā)條件是在啟動(dòng)或調(diào)用Word文檔時(shí)，自動(dòng)觸發(fā)執(zhí)行。它有兩個(gè)顯著的特點(diǎn)：1）只能用“Autoxxxx”來(lái)命名，即宏名稱(chēng)是用“Auto”開(kāi)頭，xxxx表示的是具體的一種宏文件名。如AutoOpen、AutoClose、AutoCopy等。2）它們一定要附加在Word共用模板上才有“公用”作用。通常在用戶(hù)不規(guī)定和另行編制其他的公用模板時(shí)，它們應(yīng)是附加在Normal.dot模板上，或者首先要能將自己寫(xiě)進(jìn)這樣的模板才行。2．私用宏病毒私用宏病毒與公用宏病毒的主要區(qū)別是：前者一般放在用戶(hù)自定義的Word模板中，僅與使用這種模板的Word文檔有關(guān)，即只有使用這個(gè)特定模板的文檔，該宏病毒才有效，而對(duì)使用其他模板的文檔，私用宏病毒一般不起作用。一、宏病毒的分類(lèi)二、宏病毒的行為和特征宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺(tái)式計(jì)算機(jī)病毒?？梢栽赪indows、Windows95/98/NT、OS/2、MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒行為。

宏病毒的主要特征如下：1）宏病毒會(huì)感染.DOC文檔和.DOT模板文件。

2）宏病毒的傳染通常是Word在打開(kāi)一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。

3）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動(dòng)宏，通過(guò)這些自動(dòng)宏病毒取得文檔（模板）操作權(quán)。

4）宏病毒中總是含有對(duì)文檔讀寫(xiě)操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，每個(gè)Word版本格式可能不兼容。6）宏病毒具有兼容性。

二、宏病毒的行為和特征三、宏病毒的特點(diǎn)1．傳播極快

2．制作、變種方便3．破壞可能性極大

四、宏病毒的防治和清除方法Word宏病毒，是近年來(lái)被人們談?wù)摰米疃嗟囊环N計(jì)算機(jī)病毒。與那些用復(fù)雜的計(jì)算機(jī)編程語(yǔ)言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的編制、發(fā)作過(guò)程之后，即使是普通的計(jì)算機(jī)用戶(hù)，不借助任何殺毒軟件，就可以較好地對(duì)其進(jìn)行防冶。

1．查看“可疑”的宏

2．按使用習(xí)慣編制宏

3．防備Autoxxxx宏

4．小心使用外來(lái)的Word文檔

5．使用選項(xiàng)“PrompttoSaveNormalTemplate”

6．通過(guò)Shift鍵來(lái)禁止運(yùn)行自動(dòng)宏

7．查看宏代碼并刪除

8．使用DisableAutoMarcros宏

9．使用OFFICE97的報(bào)警設(shè)置

10．設(shè)置Normal.dot的只讀屬性

11．Normal.dot的密碼保護(hù)

12．創(chuàng)建Payload宏

13．使用WordViewer或WordPad14．將文檔存儲(chǔ)為RTF格式

10.4網(wǎng)絡(luò)計(jì)算機(jī)病毒一、網(wǎng)絡(luò)計(jì)算機(jī)病毒的特點(diǎn)二、網(wǎng)絡(luò)對(duì)病毒的敏感性三、網(wǎng)絡(luò)病毒實(shí)例——電子郵件病毒一、網(wǎng)絡(luò)計(jì)算機(jī)病毒的特點(diǎn)

在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)病毒具有如下一些新的特點(diǎn)：（1）傳染方式多

（2）傳染速度快

（3）清除難度大

（4）破壞性強(qiáng)

（5）可激發(fā)性

（6）潛在性

二、網(wǎng)絡(luò)對(duì)病毒的敏感性1．網(wǎng)絡(luò)對(duì)文件病毒的敏感性2．網(wǎng)絡(luò)對(duì)引導(dǎo)病毒的敏感性3．網(wǎng)絡(luò)對(duì)宏病毒的敏感性1．網(wǎng)絡(luò)對(duì)文件病毒的敏感性（1）網(wǎng)絡(luò)服務(wù)器上的文件病毒

（2）端到端網(wǎng)絡(luò)上的文件病毒

（3）Internet上的文件病毒

2．網(wǎng)絡(luò)對(duì)引導(dǎo)病毒的敏感性（1）網(wǎng)絡(luò)服務(wù)器上的引導(dǎo)病毒

（2）端到端網(wǎng)絡(luò)上的引導(dǎo)病毒

（3）Internet上的引導(dǎo)病毒

3．網(wǎng)絡(luò)對(duì)宏病毒的敏感性（1）網(wǎng)絡(luò)服務(wù)器上的宏病毒

（2）端到端網(wǎng)絡(luò)上的宏病毒

（3）Internet上的宏病毒

三、網(wǎng)絡(luò)病毒實(shí)例——電子郵件病毒1．電子郵件病毒的特點(diǎn)（1）郵件格式不統(tǒng)一，殺毒困難

（2）傳播速度快，傳播范圍廣，破壞力大

2．電子郵件病毒的防范措施

1）首先，不要輕易打開(kāi)陌生人來(lái)信中的附件文件。

2）對(duì)于比較熟悉、了解的朋友們寄來(lái)的信件，如果其信中夾帶了程序附件，但是他卻沒(méi)有在信中提及或是說(shuō)明，也不要輕易運(yùn)行。

3）給別人發(fā)送程序文件甚至包括電子賀卡時(shí)，一定要先在自己的計(jì)算機(jī)中試試，確認(rèn)沒(méi)有問(wèn)題后再發(fā)，以免好心辦了壞事。

4）不斷完善“網(wǎng)關(guān)”軟件及病毒防火墻軟件，加強(qiáng)對(duì)整個(gè)網(wǎng)絡(luò)入口點(diǎn)的防范。5）使用優(yōu)秀的防毒軟件對(duì)電子郵件進(jìn)行專(zhuān)門(mén)的保護(hù)。

6）使用防毒軟件同時(shí)保護(hù)客戶(hù)機(jī)和服務(wù)器。

7）使用特定的SMTP殺毒軟件。

三、網(wǎng)絡(luò)病毒實(shí)例——電子郵件病毒10.5反病毒技術(shù)一、計(jì)算機(jī)病毒的檢測(cè)二、計(jì)算機(jī)病毒的防治三、計(jì)算機(jī)感染病毒后的修復(fù)一、計(jì)算機(jī)病毒的檢測(cè)1．異常情況判斷2．計(jì)算機(jī)病毒的檢查1．異常情況判斷計(jì)算機(jī)工作出現(xiàn)下列異?，F(xiàn)象，則有可能感染了病毒：1）屏幕出現(xiàn)異常圖形或畫(huà)面，這些畫(huà)面可能是一些鬼怪，也可能是一些下落的雨點(diǎn)、字符、樹(shù)葉等，并且系統(tǒng)很難退出或恢復(fù)。2）揚(yáng)聲器發(fā)出與正常操作無(wú)關(guān)的聲音，如演奏樂(lè)曲或是隨意組合的、雜亂的聲音。3）磁盤(pán)可用空間減少，出現(xiàn)大量壞簇，且壞簇?cái)?shù)目不斷增多，直到無(wú)法繼續(xù)工作。4）硬盤(pán)不能引導(dǎo)系統(tǒng)。5）磁盤(pán)上的文件或程序丟失。

6）磁盤(pán)讀/寫(xiě)文件明顯變慢，訪問(wèn)的時(shí)間加長(zhǎng)。7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問(wèn)題，有時(shí)出現(xiàn)“寫(xiě)保護(hù)錯(cuò)”提示。8）系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動(dòng)現(xiàn)象。9）原來(lái)運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯(cuò)提示。10）打印機(jī)不能正常啟動(dòng)。1．異常情況判斷2．計(jì)算機(jī)病毒的檢查（1）檢查磁盤(pán)主引導(dǎo)扇區(qū)（2）檢查FAT表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內(nèi)存空間（6）根據(jù)特征查找二、計(jì)算機(jī)病毒的防治1．建立、健全法律和管理制度

2．加強(qiáng)教育和宣傳

3．采取更有效的技術(shù)措施

4．網(wǎng)絡(luò)計(jì)算機(jī)病毒的防治

采取更有效的技術(shù)措施（1）系統(tǒng)安全

（2）軟件過(guò)濾

（3）文件加密

（4）生產(chǎn)過(guò)程控制

（5）后備恢復(fù)

（6）其他有效措施

其他有效措施1）重要的磁盤(pán)和重要的帶后綴.COM和.EXE的文件賦予只讀功能，避免病毒寫(xiě)到磁盤(pán)上或可執(zhí)行文件中。2）消滅傳染源。

3）建立程序的特征值檔案。4）嚴(yán)格內(nèi)存管理。5）嚴(yán)格中斷向量的管理。6）強(qiáng)化物理訪問(wèn)控制措施7）一旦發(fā)現(xiàn)病毒蔓延，要采用可靠的殺毒軟件和請(qǐng)有經(jīng)驗(yàn)的專(zhuān)家處理，必要時(shí)需報(bào)告計(jì)算機(jī)安全監(jiān)察部門(mén)，特別要注意不要使其繼續(xù)擴(kuò)散。防范計(jì)算機(jī)網(wǎng)絡(luò)病毒的一些措施：1）在網(wǎng)絡(luò)中，盡量多用無(wú)盤(pán)工作站，不用或少用有軟驅(qū)的工作站。

2）在網(wǎng)絡(luò)中，要保證系統(tǒng)管理員有最高的訪問(wèn)權(quán)限，避免過(guò)多地出現(xiàn)超級(jí)用戶(hù)。

3）對(duì)非共享軟件，將其執(zhí)行文件和覆蓋文件如*.COM、*.EXE、*.OVL等備份到文件服務(wù)器上，定期從服務(wù)器上拷貝到本地硬盤(pán)上進(jìn)行重寫(xiě)操作。4）接收遠(yuǎn)程文件輸入時(shí)，一定不要將文件直接寫(xiě)入本地硬盤(pán)，而應(yīng)將遠(yuǎn)程輸入文件寫(xiě)到軟盤(pán)上，然后對(duì)其進(jìn)行查毒，確認(rèn)無(wú)毒后再拷貝到本地硬盤(pán)上。5）工作站采用防病毒芯片，這樣可防止引導(dǎo)型病毒。6）正確設(shè)置文件屬性，合理規(guī)范用戶(hù)的訪問(wèn)權(quán)限。

7）建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測(cè)。

8）目前預(yù)防病毒最好的辦法就是在計(jì)算機(jī)中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優(yōu)秀的網(wǎng)絡(luò)防病毒軟件，如LANProtect和LANClearforNetWare等。9）為解決網(wǎng)絡(luò)防病毒的要求，已出現(xiàn)了病毒防火墻，在局域網(wǎng)與Internet，用戶(hù)與網(wǎng)絡(luò)之間進(jìn)行隔離。

三、計(jì)算機(jī)感染病毒后的修復(fù)1．修復(fù)引導(dǎo)記錄病毒（1）修復(fù)感染的軟盤(pán)（2）修復(fù)感染的主引導(dǎo)記錄（3）利用反病毒軟件修復(fù)2．修復(fù)可執(zhí)行文件病毒即使有經(jīng)驗(yàn)的用戶(hù)也會(huì)認(rèn)為修復(fù)文件病毒感染很困難。一般要先用殺病毒軟件殺毒，再用未感染的備份拷貝代替它，這是修復(fù)被感染程序文件的最有效途徑。如果得不到備份，反病毒程序一般使用它們的病毒掃描器組件檢測(cè)并修復(fù)感染的程序文件。如果文件被非覆蓋型病毒感染，那么這個(gè)程序很可能會(huì)被修復(fù)。三、計(jì)算機(jī)感染病毒后的修復(fù)10.6軟件防病毒技術(shù)一、防、殺毒軟件的選擇二、反病毒軟件三、常用反病毒軟件產(chǎn)品一、防、殺毒軟件的選擇1．防、殺毒軟件的選購(gòu)指標(biāo)

2．上網(wǎng)一族常用的防、殺毒軟件

3．著名殺毒軟件公司的站點(diǎn)地址

1．防、殺毒軟件的選購(gòu)指標(biāo)（1）掃描速度

（2）識(shí)別率

（3）病毒清除測(cè)試

2．上網(wǎng)一族常用的防、殺毒軟件Command'sF－PROT專(zhuān)業(yè)版ForWin95。NortonAntiVirusForWin95。NortonAntiVirusForWinNT。PC－CillinAnti－VirusForWin95。VirusScanForWin95。WebScanXForWin95或NT。eSafeProtectForWin95等等。3．著名殺毒軟件公司的站點(diǎn)地址表8.1著名殺毒軟件公司的網(wǎng)址二、反病毒軟件1．病毒掃描程序

2．內(nèi)存掃描程序

3．完整性檢查器

4．行為監(jiān)視器

1．病毒掃描程序（1）串掃描算法

（2）入口點(diǎn)掃描算法

（3）類(lèi)屬解密法

2．內(nèi)存掃描程序內(nèi)存掃描程序采用與病毒掃描程序同樣的基本原理進(jìn)行工作。它的工作是掃描內(nèi)存以搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒。盡管病毒可以毫無(wú)覺(jué)察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。因此內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。如果一個(gè)反病毒產(chǎn)品不使用內(nèi)存掃描，其病毒檢測(cè)技術(shù)是很不完善的，很可能漏查、漏殺某些病毒。3．完整性檢查器完整性檢查器的工作原理基于如下的假設(shè)：在正常的計(jì)算機(jī)操作期間，大多數(shù)程序文件和引導(dǎo)記錄不會(huì)改變。這樣，計(jì)算機(jī)在未感染狀態(tài)，取得每個(gè)可執(zhí)行文件和引導(dǎo)記錄的信息指紋，將這一信息存放在硬盤(pán)的數(shù)據(jù)庫(kù)中。

完整性檢查器是一種強(qiáng)有力的防病毒保護(hù)方式。因?yàn)閹缀跛械牟《径家薷目蓤?zhí)行文件引導(dǎo)記錄，包括新的未發(fā)現(xiàn)的病毒，所以它的檢測(cè)率幾乎百分之百。引起完整性檢查器失效的可能有：有些程序執(zhí)行時(shí)必須要修改它自己；對(duì)已經(jīng)被病毒感染的系統(tǒng)再使用這種方法時(shí)，可能遭到病毒的蒙騙等。4．行為監(jiān)視器行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺(tái)工作，等待病毒或其他有惡意的損害活動(dòng)。如果行為監(jiān)視程序檢測(cè)到這類(lèi)活動(dòng)，它就會(huì)通知用戶(hù)，并且讓用戶(hù)決定這一類(lèi)活動(dòng)是否繼續(xù)。三、常用反病毒軟件產(chǎn)品

隨著世界范圍內(nèi)計(jì)算機(jī)病毒的大量流行，病毒編制花樣不斷變化，反病毒軟件也在經(jīng)受一次又一次考驗(yàn)，各種反病毒產(chǎn)品也在不斷地推陳出新、更新?lián)Q代。這些產(chǎn)品的特點(diǎn)表現(xiàn)為技術(shù)領(lǐng)先、誤報(bào)率低、殺毒效果明顯、界面友好、良好的升級(jí)和售后服務(wù)技術(shù)支特、與各種軟硬件平臺(tái)兼容性好等方面。常用的反病毒軟件有KV3000、瑞星（2001版）等。10.7典型病毒實(shí)例——CIH病毒介紹一、CIH病毒簡(jiǎn)介二、恢復(fù)被CIH病毒破壞的硬盤(pán)信息三、CIH病毒的免疫一、CIH病毒簡(jiǎn)介1．CIH病毒分析CIH病毒是迄今為止發(fā)現(xiàn)的最陰險(xiǎn)、危害最大的病毒之一。它發(fā)作時(shí)不僅破壞硬盤(pán)的引導(dǎo)扇區(qū)和分區(qū)表，而且破壞計(jì)算機(jī)系統(tǒng)FLASHBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。2．CIH病毒發(fā)作時(shí)的現(xiàn)象CIH病毒發(fā)作時(shí)，將用凌亂的信息覆蓋硬盤(pán)主引導(dǎo)區(qū)和系統(tǒng)BOOT區(qū)，改寫(xiě)硬盤(pán)數(shù)據(jù)，破壞FLASHBIOS，用隨機(jī)數(shù)填充FLASH內(nèi)存，導(dǎo)致機(jī)器無(wú)法運(yùn)行。所以該病毒發(fā)作時(shí)僅會(huì)破壞可升級(jí)主板的FLASHBIOS。二、恢復(fù)被CIH病毒破壞的硬盤(pán)信息1．修復(fù)硬盤(pán)分區(qū)表信息

2．恢復(fù)C分區(qū)上的數(shù)據(jù)

3．查殺CIH病毒后的遺留問(wèn)題

1．修復(fù)硬盤(pán)分區(qū)表信息1）準(zhǔn)備一張無(wú)病毒的啟動(dòng)盤(pán)，注意要根據(jù)原有操作系統(tǒng)及分區(qū)情況制作FAT16或FA