病毒常見問(wèn)題解答

病毒常見問(wèn)題解答第1頁(yè)，共40頁(yè)，2023年，2月20日，星期一本章目標(biāo)

本章以問(wèn)答的方式，將病毒的相關(guān)概念、特性、應(yīng)付方法等內(nèi)容融合在一起，通過(guò)本講的學(xué)習(xí)，學(xué)員可以對(duì)病毒有了更全面的認(rèn)識(shí)。2第2頁(yè)，共40頁(yè)，2023年，2月20日，星期一

所謂的殺病毒,就防毒軟件而言有兩種情況:

一種是將病毒程序代碼由感染的檔案中移除(例如一個(gè)10K的檔案感染了2K的病毒變成了12K,經(jīng)過(guò)殺毒之后,恢復(fù)成10K的正常檔案)，這就是所謂的清除

一種是將整個(gè)病毒檔案刪除(這是因?yàn)樵摍n案全都是病毒程序代碼)這種情況特別容易發(fā)生在特洛依木馬,蠕蟲之類的病毒，這種狀況就是采取的隔離措施為什么有些病毒清除不了（非運(yùn)行中），只能隔離而不能清除？3第3頁(yè)，共40頁(yè)，2023年，2月20日，星期一

發(fā)現(xiàn)病毒時(shí)，防毒軟件通常可以采取的措施有：清除隔離刪除重命名通過(guò)（即不做處置） 如果客戶懷疑自己的系統(tǒng)中感染了未知病毒，可以請(qǐng)他將可疑文件壓縮成zip文件，并且在壓縮時(shí)使用密碼virus，然后發(fā)送至郵箱：virus_doctor@進(jìn)行分析發(fā)現(xiàn)病毒時(shí)，防毒軟件是怎么處理的？4第4頁(yè)，共40頁(yè)，2023年，2月20日，星期一

清除不了病毒的文件可能有以下兩種情況：

該文件本身即是病毒文件而非病毒感染其他文件后生成。這種情況下只能采取隔離或是刪除的措施，因?yàn)槲募邪闹挥胁《敬a，不存在清除的問(wèn)題。

病毒在感染文件時(shí)采取了一些特殊的方法，對(duì)被感染的文件進(jìn)行了一些特殊的處理。使得防病毒軟件不能有效的還原原文件。但是，并不排除隨著防病毒軟件的改進(jìn)而可以清除的可能。對(duì)于隔離區(qū)的清除不了病毒的文件，是否可以等到新的解藥出來(lái)后，清除文件中的病毒就可以了？5第5頁(yè)，共40頁(yè)，2023年，2月20日，星期一

病毒碼中包含的是病毒的具體特征，而掃描引擎就是使用這些特征對(duì)文件進(jìn)行比對(duì)，以確定被掃描的文件是否為病毒。因此，理論上只要病毒碼包含了相關(guān)病毒的特征，則該病毒即可被檢測(cè)到。病毒碼更新，掃描引擎不更新的話，會(huì)不會(huì)繼續(xù)中病毒？6第6頁(yè)，共40頁(yè)，2023年，2月20日，星期一

造成這個(gè)問(wèn)題是以下原因：在Windows操作系統(tǒng)下運(yùn)行的程序，其執(zhí)行的原始文件往往會(huì)處在一個(gè)受保護(hù)的狀態(tài)，使得對(duì)該文件的相關(guān)操作被禁止。很多木馬程序都會(huì)在系統(tǒng)文件或是系統(tǒng)注冊(cè)表中寫下可以使自身在Windows啟動(dòng)時(shí)自動(dòng)執(zhí)行的項(xiàng)目，因此往往系統(tǒng)已啟動(dòng)木馬已在系統(tǒng)中運(yùn)行，造成防病毒軟件無(wú)法對(duì)木馬程序進(jìn)行有效處理。為什么現(xiàn)在有很多木馬程序殺不掉7第7頁(yè)，共40頁(yè)，2023年，2月20日，星期一

病毒的常見傳播方式有：通過(guò)電子郵件通過(guò)網(wǎng)絡(luò)共享通過(guò)點(diǎn)對(duì)點(diǎn)的文件共享軟件以磁盤之類的介質(zhì)各類病毒的傳播方式？8第8頁(yè)，共40頁(yè)，2023年，2月20日，星期一

不會(huì)。有些病毒或是木馬后門之類的惡意程序會(huì)在系統(tǒng)中寫入一些文件，用以記錄自身運(yùn)行使得一些狀態(tài)或是記錄從系統(tǒng)中取得的數(shù)據(jù)。這些文件由于是用于記錄數(shù)據(jù)，與通常的純數(shù)據(jù)文件并沒(méi)有什么差別，其本身并不具備執(zhí)行的能力，因此并不會(huì)被檢測(cè)，相應(yīng)的該文件也不會(huì)被采取一些自動(dòng)的措施進(jìn)行處理。對(duì)于病毒清除后的殘余文件，是否會(huì)隨著病毒清除后自動(dòng)刪除？9第9頁(yè)，共40頁(yè)，2023年，2月20日，星期一

各防病毒廠商在對(duì)病毒的認(rèn)定標(biāo)準(zhǔn)上存在一些細(xì)小的差異，導(dǎo)致某些文件某些廠商檢測(cè)而其他一些廠商不檢測(cè)的結(jié)果。舉例來(lái)說(shuō)，如果一個(gè)程序在執(zhí)行時(shí)需要客戶認(rèn)可其最終用戶許可協(xié)議，趨勢(shì)科技即不將其檢測(cè)為病毒，而其他廠家則可能會(huì)檢測(cè)該程序?yàn)椴《?。為什么有時(shí)候有些防病毒軟件認(rèn)為一個(gè)文件是病毒，而有些防病毒軟件卻認(rèn)為不是病毒？10第10頁(yè)，共40頁(yè)，2023年，2月20日，星期一

由于系統(tǒng)文件是操作系統(tǒng)的一部分，建議客戶使用原始的操作系統(tǒng)安裝盤恢復(fù)相應(yīng)的文件。對(duì)于被隔離的病毒文件如果是系統(tǒng)文件的話，應(yīng)該如何處理？11第11頁(yè)，共40頁(yè)，2023年，2月20日，星期一

修改系統(tǒng)時(shí)間確實(shí)可以阻止一些周期性發(fā)作的病毒的發(fā)作，但是并不是絕對(duì)可行。有些病毒由于其觸發(fā)機(jī)制的復(fù)雜性，修改系統(tǒng)時(shí)間并不能完全阻止其發(fā)作。病毒發(fā)作有的有周期的，是否本機(jī)時(shí)間改掉就可以了？12第12頁(yè)，共40頁(yè)，2023年，2月20日，星期一

計(jì)算機(jī)蠕蟲是指一個(gè)程序（或一組程序），它會(huì)自我復(fù)制、傳播到別的計(jì)算機(jī)系統(tǒng)中去。最重要的特征是其復(fù)制的行為發(fā)生于計(jì)算機(jī)與計(jì)算機(jī)之間。蠕蟲、病毒的特征和區(qū)別？13第13頁(yè)，共40頁(yè)，2023年，2月20日，星期一

要視病毒具體感染的文件類型而定，宏病毒通常會(huì)感染W(wǎng)ord文檔文件以及Excel電子數(shù)據(jù)表文件；腳本病毒通常會(huì)感染網(wǎng)頁(yè)類型文件；文件型病毒通常感染可執(zhí)行程序，如exe文件。不同的病毒生成的文件是什么類型的14第14頁(yè)，共40頁(yè)，2023年，2月20日，星期一

碰到這種情況，請(qǐng)記錄相關(guān)的文件名稱，并使用原始的操作系統(tǒng)安裝盤進(jìn)行相關(guān)文件的恢復(fù)

如果遇到病毒感染了系統(tǒng)文件怎么辦？如果刪除了或者殺死病毒造成系統(tǒng)不穩(wěn)定，但不想重新裝系統(tǒng)，怎么解決？15第15頁(yè)，共40頁(yè)，2023年，2月20日，星期一

病毒是否具有潛伏期要視病毒的具體觸發(fā)條件而定，只有那些觸發(fā)條件是使用特定時(shí)間的病毒才具有潛伏期。哪些病毒有潛伏期的？16第16頁(yè)，共40頁(yè)，2023年，2月20日，星期一防病毒軟件的作用是什么？清除

從被感染文件中清除病毒代碼。隔離

加密無(wú)法清除的文件并將它存放到某個(gè)特定的位置，以避免該文件中的病毒代碼的運(yùn)行。刪除

直接刪除被感染的文件。17第17頁(yè)，共40頁(yè)，2023年，2月20日，星期一如何設(shè)置防病毒軟件中的處理方式？當(dāng)載體文件被PE病毒、宏病毒或腳本病毒感染時(shí)，清除功能可以將病毒從被感染文件中除去。如果惡意程序的類型是蠕蟲、特洛伊木馬或后門程序時(shí)，由于這一類型的病毒本身就是一個(gè)病毒程序，不會(huì)感染其他文件，因此需要備份的情況下，請(qǐng)采取隔離的方式，否則直接刪除即可。18第18頁(yè)，共40頁(yè)，2023年，2月20日，星期一病毒會(huì)感染哪些文件？病毒只會(huì)感染程序文件或帶有可執(zhí)行代碼的文件，任何支持可執(zhí)行命令的文件格式都有可能被病毒感染。病毒不會(huì)感染純粹的數(shù)據(jù)文件——只會(huì)破壞它們。盡管病毒能夠成功的將指令插入這些文件中，它們相應(yīng)的查看器或播放器只會(huì)將它們顯示出來(lái)，而不會(huì)執(zhí)行這些指令。19第19頁(yè)，共40頁(yè)，2023年，2月20日，星期一計(jì)算機(jī)的CMOS會(huì)被感染嗎?不會(huì)。計(jì)算機(jī)的系統(tǒng)信息存在的區(qū)域一般是通過(guò)輸入/輸出（I/O）端口進(jìn)行訪問(wèn)的，不能被直接訪問(wèn)。當(dāng)然，惡意程序可以更改CMOS中的數(shù)據(jù)，但不會(huì)通過(guò)其傳播。任何隱藏在CMOS中的病毒都會(huì)找機(jī)會(huì)去感染可執(zhí)行體，然后將寫在CMOS中的內(nèi)容執(zhí)行起來(lái)。20第20頁(yè)，共40頁(yè)，2023年，2月20日，星期一防病毒軟件可能被病毒感染嗎？

是的，有這種可能性。防毒軟件本身也是一種可能被病毒感染的可執(zhí)行程序。因此，盡量使用可信的介質(zhì)或防毒軟件安裝程序。21第21頁(yè)，共40頁(yè)，2023年，2月20日，星期一我該使用多少種防毒軟件？

如果你只是一個(gè)家庭用戶，并且與其他用戶的文件交換頻率比較低的話，使用一種防毒軟件就足夠了。22第22頁(yè)，共40頁(yè)，2023年，2月20日，星期一什么是“正在流行”（in-the-wild)的病毒？相對(duì)于某些已經(jīng)被控制，只在實(shí)驗(yàn)室里才有的病毒而言，有些病毒是在真實(shí)的系統(tǒng)中存在的、是在正在傳播的。一般來(lái)說(shuō)，一段已經(jīng)被公布出來(lái)的病毒程序，但并沒(méi)有真正的流行的話，我們不稱其為“正在流行”（inthewild)病毒。23第23頁(yè)，共40頁(yè)，2023年，2月20日，星期一什么叫companion病毒？companion病毒是指病毒并不修改被感染的文件，而是創(chuàng)建一個(gè)新的文件。當(dāng)用戶執(zhí)行原先的程序時(shí)，病毒程序就會(huì)被調(diào)用。當(dāng)病毒程序退出時(shí)，再執(zhí)行原程序，給用戶造成一種正常的假象。某些只檢查現(xiàn)有文件的完整性（是否被改動(dòng)）的防毒軟件可能會(huì)檢測(cè)不到這種病毒。24第24頁(yè)，共40頁(yè)，2023年，2月20日，星期一什么是黑客程序？純粹的黑客程序（也稱遠(yuǎn)程訪問(wèn)木馬程序）是一種客戶機(jī)——服務(wù)器式的程序，目的是破壞系統(tǒng)的安全。通常，服務(wù)器端程序是被植入的，就象別的特洛伊木馬程序一樣，而且往往帶有蠕蟲的特點(diǎn)，更有利于其傳播。服務(wù)器端一旦安裝上以后，其充當(dāng)了一個(gè)類似于網(wǎng)關(guān)的角色，黑客就可以利用相關(guān)的客戶端軟件滲透到被感染的系統(tǒng)中來(lái)。這種惡意程序的行為特征是網(wǎng)絡(luò)中增加了不該有的流量，往往可以通過(guò)個(gè)人防火墻或相關(guān)的軟件將其找到。25第25頁(yè)，共40頁(yè)，2023年，2月20日，星期一什么是分區(qū)表？軟盤有分區(qū)表嗎？

分區(qū)扇區(qū)，又稱主引導(dǎo)記錄，是硬盤物理上的第一扇區(qū)(track0,head0,sector1)

。通常包含了分區(qū)表，硬盤的一些信息和一個(gè)小程序。分區(qū)表是一個(gè)64字節(jié)的數(shù)據(jù)結(jié)構(gòu)，定義了計(jì)算機(jī)硬盤如何劃分為多個(gè)邏輯硬盤。軟盤沒(méi)有分區(qū)表。26第26頁(yè)，共40頁(yè)，2023年，2月20日，星期一FDISK/MBR命令有什么作用？

FDISK/MBR會(huì)清除主引導(dǎo)區(qū)記錄。一般來(lái)說(shuō)不一定會(huì)更改分區(qū)信息，但對(duì)普通用戶而言，通常會(huì)造成嚴(yán)重后果。如果主引導(dǎo)區(qū)記錄的最后兩個(gè)字節(jié)不是55AA的話，F(xiàn)DISK/MBR這條命令會(huì)刪除分區(qū)表中的數(shù)據(jù)。如果你對(duì)分區(qū)表沒(méi)有足夠的認(rèn)識(shí)的話，請(qǐng)不要輕易使用FDISK/MBR命令，因?yàn)槟銜?huì)丟失數(shù)據(jù)。27第27頁(yè)，共40頁(yè)，2023年，2月20日，星期一如何清除主引導(dǎo)區(qū)中的病毒？有兩種方法：使用防毒軟件或者運(yùn)行FDISK/MBR命令。大部分防毒軟件都能清除引導(dǎo)區(qū)內(nèi)的病毒，但是有一些可能在特定的環(huán)境中有些問(wèn)題。這時(shí)可以考慮運(yùn)行FDISK/MBR。但是除非你對(duì)此行為將產(chǎn)生的后果十分清楚，否則將是非常不明智的。在運(yùn)行FDISK/MBR命令后，你有可能無(wú)法訪問(wèn)硬盤上的數(shù)據(jù)。28第28頁(yè)，共40頁(yè)，2023年，2月20日，星期一重新格式化硬盤可以清除引導(dǎo)區(qū)病毒嗎？不一定。格式化（FORMAT）命令會(huì)重寫引導(dǎo)扇區(qū)數(shù)據(jù)和硬盤上除主引導(dǎo)扇區(qū)外的數(shù)據(jù)。格式化并不更改主引導(dǎo)扇區(qū)的內(nèi)容。大部分引導(dǎo)型病毒會(huì)感染硬盤的主引導(dǎo)記錄。格式化硬盤不會(huì)清除引導(dǎo)型病毒，但可以通過(guò)其它方法來(lái)清除引導(dǎo)型病毒。29第29頁(yè)，共40頁(yè)，2023年，2月20日，星期一引導(dǎo)型病毒可以感染非引導(dǎo)盤嗎？可以。所有格式化過(guò)的磁盤都可以攜帶引導(dǎo)型病毒，因?yàn)槿魏握_格式化過(guò)的DOS磁盤在引導(dǎo)扇區(qū)內(nèi)（可啟動(dòng)的或不可啟動(dòng)的）都有可執(zhí)行代碼，導(dǎo)致可以被病毒感染。30第30頁(yè)，共40頁(yè)，2023年，2月20日，星期一使用DIR命令會(huì)感染我的系統(tǒng)嗎？使用DIR命令不會(huì)感染一個(gè)“干凈的系統(tǒng)”，即使所瀏覽的目的磁盤上有病毒也沒(méi)關(guān)系。但是如果你的計(jì)算機(jī)已經(jīng)感染了病毒，該命令有可能使“干凈”的磁盤感染上病毒。31第31頁(yè)，共40頁(yè)，2023年，2月20日，星期一將文件的屬性設(shè)為只讀可以保護(hù)其不被病毒感染嗎？一般來(lái)說(shuō)，不會(huì)。只讀屬性只會(huì)防住少數(shù)病毒，大部分病毒還是會(huì)通過(guò)覆蓋的方式感染文件的。

因此，雖然將可執(zhí)行文件的屬性設(shè)為只讀是個(gè)好主意（可以防止誤操作）但從防病毒角度講，沒(méi)什么大用。32第32頁(yè)，共40頁(yè)，2023年，2月20日，星期一寫保護(hù)可以防止病毒感染嗎？一般來(lái)說(shuō)，可以。在IBMPC（和某些兼容機(jī)）上的寫保護(hù)裝置可以很好的保護(hù)不受病毒的干擾。因?yàn)閷懕Ｗo(hù)是基于硬件的。而病毒只是一個(gè)程序，是軟件，不可能違背一些通用的規(guī)則。如果啟用了寫保護(hù)的軟盤在被感染病毒的系統(tǒng)里使用，它也不會(huì)被感染。33第33頁(yè)，共40頁(yè)，2023年，2月20日，星期一DOS病毒會(huì)在Windows環(huán)境下工作嗎？

絕大多數(shù)的DOS病毒不能在Windows環(huán)境下運(yùn)行，但是有一小部分可以（在限制的條件下）?？偟膩?lái)說(shuō)，以Windows專用內(nèi)存方式運(yùn)行的系統(tǒng)要比純DOS對(duì)病毒的抵抗性能要好。這是因?yàn)樵S多病毒與Windows的內(nèi)存管理方式不兼容。進(jìn)一步講，大部分現(xiàn)存的病毒如果想要通過(guò)以前的方式來(lái)感染EXE文件的話，將會(huì)破壞這些Windows程序。但是許多僅感染COM文件的病毒在Windows提供的虛擬DOS環(huán)境下就會(huì)很好的運(yùn)行。34第34頁(yè)，共40頁(yè)，2023年，2月20日，星期一什么是cavity病毒？cavity病毒是指病毒會(huì)覆蓋目標(biāo)文件中的某些部分（通常是空數(shù)值），通過(guò)這種方式將自己隱藏在目標(biāo)文件中，而不增加文件的長(zhǎng)度。35第35頁(yè)，共40頁(yè)，2023年，2月20日，星期一在閱讀電子郵件和瀏覽新聞組時(shí)會(huì)中毒嗎？絕大多數(shù)情況下，惡意程序只有當(dāng)其中的可執(zhí)行代碼被運(yùn)行才會(huì)被激活。有些電子郵件程序會(huì)自動(dòng)執(zhí)行郵件中所帶的可執(zhí)行代碼，例如JavaScript,Word宏語(yǔ)句等。在這種情況下，如果其中的代碼是惡意的話，病毒就會(huì)感染系統(tǒng)，因此強(qiáng)烈建議禁用自動(dòng)執(zhí)行的特性。36第36頁(yè)，共40頁(yè)，2023年，2月20日，星期一如果我的MS

Word關(guān)著還會(huì)感染W(wǎng)ord宏病毒嗎？

關(guān)于各個(gè)程序的宏病毒只會(huì)在自身程序中才能被執(zhí)行，因此如果Word程序關(guān)著，Word宏病毒是不會(huì)被執(zhí)行起來(lái)的（別的相應(yīng)的各個(gè)程序的宏病毒也是如此）。37第37頁(yè)，共40頁(yè)，2023年，2月20日，星期一什么是CARO和EICAR？什么是EICAR測(cè)試文件？CARO(ComputerAnti