計(jì)算機(jī)病毒的防治

計(jì)算機(jī)病毒的防治第1頁(yè)，共71頁(yè)，2023年，2月20日，星期四9.1計(jì)算機(jī)病毒基本常識(shí)

9.1.1什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里,當(dāng)達(dá)到某種條件時(shí)，就被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令。第2頁(yè)，共71頁(yè)，2023年，2月20日，星期四從1981年開始，IBM公司的個(gè)人電腦以其可靠的性能和開放式的結(jié)構(gòu)，成為電腦市場(chǎng)上的主流機(jī)型。但是由于IBMPC電腦自身結(jié)構(gòu)的弱點(diǎn)，尤其是DOS操作系統(tǒng)的開放性，自1987年起，裝有DOS操作系統(tǒng)的電腦成為計(jì)算機(jī)病毒第一個(gè)攻擊的目標(biāo)，計(jì)算機(jī)病毒從此開始滋長(zhǎng)和發(fā)展起來了，也就開始了遙遙無期的反病毒斗爭(zhēng)。第3頁(yè)，共71頁(yè)，2023年，2月20日，星期四計(jì)算機(jī)病毒使電腦界恐慌，是因?yàn)橛?jì)算機(jī)病毒的破壞性，計(jì)算機(jī)病毒能蔓延到世界各地，靠的是病毒的傳染特性。病毒傳播最原始的介質(zhì)是軟盤，那時(shí)計(jì)算機(jī)病毒傳播得較慢；電腦數(shù)據(jù)光盤的出現(xiàn)以及互聯(lián)網(wǎng)的發(fā)展，使計(jì)算機(jī)病毒的傳播如魚得水。第4頁(yè)，共71頁(yè)，2023年，2月20日，星期四以下幾種典型計(jì)算機(jī)病毒，代表了計(jì)算機(jī)病毒的主要發(fā)展過程。

1987年10月，在美國(guó)發(fā)現(xiàn)世界上第一例計(jì)算機(jī)病毒：Brian病毒，它是引導(dǎo)型病毒。

1989年，“米開朗基羅”病毒給許多計(jì)算機(jī)用戶造成巨大損失。

1992年，傳染極快的文件型病毒DIR2病毒，曾經(jīng)使很多用戶困惑不已。

1996年，感染微軟Office的“宏病毒”，給反病毒界一個(gè)展示“輯毒”能力的舞臺(tái)。

第5頁(yè)，共71頁(yè)，2023年，2月20日，星期四

1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒傳播，引起人們的恐慌。

1999年，通過電子郵件在互聯(lián)網(wǎng)上進(jìn)行傳播的美麗殺手（Melissa）病毒。

1999年，CIH病毒4月26日在我國(guó)大規(guī)模爆發(fā)，使很多電腦癱瘓，造成巨大損失。第6頁(yè)，共71頁(yè)，2023年，2月20日，星期四

2000年，“ILOVEYOU”病毒，通過網(wǎng)絡(luò)在全球瘋狂蔓延，已有十幾種變種。

2001年，W32.Sircam病毒，通過郵件快速傳播的惡性網(wǎng)絡(luò)蠕蟲在全球大面積爆發(fā)。

2002年，求職信Klez病毒，主要影響微軟的OutlookExpress用戶。

2003年，硬盤殺手（Worm.Opasoft）病毒，是一個(gè)可以覆蓋硬盤分區(qū)的惡性病毒。第7頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.1.2計(jì)算機(jī)病毒的特點(diǎn)

1．可執(zhí)行性計(jì)算機(jī)程序（軟件），只有被執(zhí)行后才能完成相應(yīng)的任務(wù)，例如只有成功啟動(dòng)Windows98后，桌面上才會(huì)出現(xiàn)“開始”按鈕，才有“我的電腦”。在DOS命令提示行中輸入命令并回車就是執(zhí)行程序，在Windows98下雙擊程序快捷圖標(biāo)也是執(zhí)行程序。第8頁(yè)，共71頁(yè)，2023年，2月20日，星期四計(jì)算機(jī)病毒是一段可執(zhí)行程序，它和其它正常程序一樣能被執(zhí)行，這就是計(jì)算機(jī)病毒的可執(zhí)行性。計(jì)算機(jī)病毒不是一個(gè)完整的程序，而是寄生在磁盤的一些扇區(qū)或其它可執(zhí)行程序中，當(dāng)執(zhí)行帶病毒的程序或從帶病毒的系統(tǒng)啟動(dòng)時(shí)，病毒就得到了執(zhí)行的機(jī)會(huì)并被激活，這時(shí)病毒才具有傳染性和破壞性。如果電腦在正常程序控制下運(yùn)行，沒有運(yùn)行帶病毒的程序，則這臺(tái)計(jì)算機(jī)總是可靠的。第9頁(yè)，共71頁(yè)，2023年，2月20日，星期四

2．傳染性傳染性是計(jì)算機(jī)病毒的基本特征，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。正常的計(jì)算機(jī)程序一般是不會(huì)將自身的程序代碼強(qiáng)行連接到其它程序上的，而計(jì)算機(jī)病毒卻能使自身的程序代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序中。計(jì)算機(jī)病毒可通過各種可能的渠道，如軟盤、電腦光盤和計(jì)算機(jī)網(wǎng)絡(luò)傳染到其它的計(jì)算機(jī)系統(tǒng)中。當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過的沒有寫保護(hù)的軟盤已感染上了病毒，與這臺(tái)機(jī)器相聯(lián)的其它計(jì)算機(jī)可能也染上了病毒。第10頁(yè)，共71頁(yè)，2023年，2月20日，星期四

3．潛伏性計(jì)算機(jī)病毒是設(shè)計(jì)精巧的計(jì)算機(jī)程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上表現(xiàn)出來，可以在較長(zhǎng)時(shí)間內(nèi)隱藏在文件中，或者隱藏在軟盤和硬盤的一些扇區(qū)里，當(dāng)病毒被激活時(shí)，就對(duì)其它文件或磁盤進(jìn)行病毒傳染，而不被人發(fā)現(xiàn)，潛伏時(shí)間越長(zhǎng)，病毒的傳染范圍就會(huì)越大。第11頁(yè)，共71頁(yè)，2023年，2月20日，星期四

4．可觸發(fā)性因某個(gè)事件或數(shù)值的出現(xiàn)，即滿足一定的條件，病毒就實(shí)施感染或?qū)﹄娔X系統(tǒng)進(jìn)行攻擊的特性稱為可觸發(fā)性。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是日期、時(shí)間、文件類型、系統(tǒng)啟動(dòng)次數(shù)或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，使病毒進(jìn)行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。第12頁(yè)，共71頁(yè)，2023年，2月20日，星期四

5．破壞性所有的計(jì)算機(jī)病毒都是可執(zhí)行的程序，電腦系統(tǒng)染上病毒后，在正常運(yùn)行程序的基礎(chǔ)上增加運(yùn)行病毒程序這一環(huán)節(jié)。計(jì)算機(jī)病毒在不同程度上影響了電腦系統(tǒng)的正常運(yùn)行，例如系統(tǒng)啟動(dòng)的時(shí)間長(zhǎng)了、運(yùn)行程序速度變慢、使系統(tǒng)不能正常引導(dǎo)、丟失數(shù)據(jù)，這些都是計(jì)算機(jī)病毒的破壞性。

第13頁(yè)，共71頁(yè)，2023年，2月20日，星期四計(jì)算機(jī)病毒破壞性的強(qiáng)弱，取決于病毒設(shè)計(jì)者的目的。它可能破壞軟盤或硬盤的全部數(shù)據(jù)或部分?jǐn)?shù)據(jù)，可能擾亂電腦的正常運(yùn)行（顯示、聲音、不能正常打印等），可能系統(tǒng)不能正常啟動(dòng)DOS或Windows98，可能毀壞系統(tǒng)BIOS使開機(jī)黑屏等。在這些破壞性中，毀壞數(shù)據(jù)而且不能恢復(fù)的損失是最大的，也是用戶最不想遇到的。第14頁(yè)，共71頁(yè)，2023年，2月20日，星期四

6．針對(duì)性一般來說，計(jì)算機(jī)病毒是針對(duì)特定的計(jì)算機(jī)或特定的操作系統(tǒng)的，計(jì)算機(jī)病毒的針對(duì)性指病毒作用的硬件和軟件環(huán)境。例如，有針對(duì)IBMPC機(jī)及其兼容機(jī)的，有針對(duì)App1e公司的Macintosh的，還有針對(duì)UNIX操作系統(tǒng)的。例如DIR2針對(duì)IBMPC機(jī)及其兼容機(jī)上的DOS操作系統(tǒng)，宏病毒針對(duì)Word或Excel，CIH病毒針對(duì)Windows95/98系統(tǒng)。第15頁(yè)，共71頁(yè)，2023年，2月20日，星期四

7．隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序，通常附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)。大部分病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了隱藏，病毒程序一般只有幾百字節(jié)或幾K字節(jié)，不易察覺。感染、潛伏、可觸發(fā)和破壞性是病毒的基本特性。感染性使病毒得以傳播，破壞性體現(xiàn)了病毒的破壞能力，潛伏性使病毒有更廣的感染范圍，可觸發(fā)性是病毒的破壞性和潛伏性之間的調(diào)整杠桿，實(shí)質(zhì)上兼顧了病毒的傳染范圍和破壞頻度。第16頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.1.3計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒層出不窮，破壞能力也千奇百怪，誰(shuí)也說不清到底有多少種病毒，但可以把病毒歸類，并按照寄生方式和傳染途徑分為以下幾種類型：引導(dǎo)型病毒：隱藏在系統(tǒng)盤引導(dǎo)區(qū)中的病毒，如Brain病毒、小球病毒、2708病毒。文件型病毒：附屬在可執(zhí)行文件內(nèi)的病毒，如DIR2、CIH病毒。第17頁(yè)，共71頁(yè)，2023年，2月20日，星期四混合型病毒：集引導(dǎo)型和文件型病毒特性于一體，如Newcentury病毒。 宏病毒：利用Word和Excel宏作為載體的病毒，如七月殺手病毒。網(wǎng)絡(luò)病毒（郵件病毒）：通過互聯(lián)網(wǎng)電子郵件（附件）傳染并自動(dòng)發(fā)送郵件的病毒，如Melissa（美麗殺手）、ILOVEYOU（愛蟲病毒）。

黑客程序：通過通訊程序監(jiān)控用戶的計(jì)算機(jī)，隨時(shí)進(jìn)行竊取和破壞用戶數(shù)據(jù)。嚴(yán)格地說，黑客程序不是計(jì)算機(jī)病毒。第18頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.1.4計(jì)算機(jī)感染病毒后的主要癥狀從目前發(fā)現(xiàn)的病毒來看,由于病毒傳染性和破壞性，所以有一些易于覺察的表現(xiàn)。主要表現(xiàn)如下：*磁盤壞簇莫名其妙地增多（當(dāng)然也可能你的軟盤或硬盤真的有物理?yè)p壞）。*由于病毒程序附加在文件上，使可執(zhí)行程序文件增大（很多病毒在帶毒查看時(shí)，件大小不變）。*由于病毒不斷傳染給其它文件，使可用磁盤空間變小。第19頁(yè)，共71頁(yè)，2023年，2月20日，星期四*DOS或Windows98不能啟動(dòng)，有的病毒會(huì)破壞系統(tǒng)引導(dǎo)區(qū)或刪除系統(tǒng)文件。*莫名其妙丟失數(shù)據(jù)或文件，一些病毒會(huì)刪除數(shù)據(jù)或文件。*中斷向量發(fā)生變化，病毒獲得控制權(quán)，但這種變化一般不容易覺察。*打印出現(xiàn)問題，使得打印不能正常進(jìn)行。*鼠標(biāo)不能使用，鍵盤使用異常。*訪問寫保護(hù)軟盤時(shí)，軟驅(qū)響聲大（病毒試圖寫盤進(jìn)行病毒傳染，但寫不了）。第20頁(yè)，共71頁(yè)，2023年，2月20日，星期四*死機(jī)現(xiàn)象頻繁。*出現(xiàn)一些意外的問候語(yǔ)、畫面或提示聲音。*系統(tǒng)啟動(dòng)或程序運(yùn)行出現(xiàn)異?，F(xiàn)象，例如比以前速度慢了，*打開電腦時(shí)，黑屏且無聲音提示，當(dāng)系統(tǒng)BIOS被破壞時(shí)就是這樣。*收到來歷不明的郵件或郵件附件。*CMOS信息被修改或丟失（如硬盤參數(shù)等）。*互聯(lián)網(wǎng)的郵件服務(wù)器，被眾多垃圾郵件阻塞，以至于癱瘓。第21頁(yè)，共71頁(yè)，2023年，2月20日，星期四上面的現(xiàn)象可能是計(jì)算機(jī)病毒引起的，但也可能是由于誤操作、系統(tǒng)本身不穩(wěn)定、電腦被其他人使用并修改過或其它原因。例如，升級(jí)BIOS失敗時(shí)，啟動(dòng)電腦時(shí)就會(huì)出現(xiàn)黑屏；主板后備電池電壓低時(shí)，CMOS信息會(huì)丟失；超頻后散熱不好，會(huì)頻繁死機(jī)等。第22頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.1.5計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的破壞性。電腦界不斷出現(xiàn)的病毒，對(duì)電腦系統(tǒng)的危害多種多樣，攻擊電腦系統(tǒng)的主要方式是：破壞軟盤和硬盤磁盤系統(tǒng)數(shù)據(jù)區(qū)、文件、CMOS、網(wǎng)絡(luò)系統(tǒng)、系統(tǒng)BIOS、顯示BIOS（我想將來會(huì)有這樣的病毒）；降低系統(tǒng)運(yùn)行速度；干擾系統(tǒng)運(yùn)行、內(nèi)存分配、屏幕顯示、鍵盤、鼠標(biāo)、喇叭、打印機(jī)等的正常操作；阻塞網(wǎng)絡(luò)的正常通訊。第23頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(1)破壞系統(tǒng)數(shù)據(jù)區(qū)。包括硬盤分區(qū)表、軟盤和硬盤的引導(dǎo)扇區(qū)、文件分配表FAT、文件目錄等。這些數(shù)據(jù)被破壞，恢復(fù)比較困難。

(2)破壞文件。可執(zhí)行程序文件、Word文檔和模板是病毒傳染的對(duì)象。病毒攻擊的文件可以是任何文件，攻擊文件的方式包括刪除文件、覆蓋文件、文件改名、丟失部分?jǐn)?shù)據(jù)等。

第24頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(3)破壞CMOS信息。病毒修改CMOS中的信息（如軟驅(qū)和硬盤參數(shù)），使電腦啟動(dòng)時(shí)出現(xiàn)錯(cuò)誤。

(4)破壞網(wǎng)絡(luò)系統(tǒng)。病毒程序自動(dòng)給網(wǎng)絡(luò)用戶發(fā)送大量的垃圾郵件，造成互聯(lián)網(wǎng)的阻塞，以及黑客攻擊網(wǎng)站等。

(5)破壞系統(tǒng)BIOS和顯卡BIOS。由于現(xiàn)在的BIOS是可以升級(jí)的FlashROM，升級(jí)程序可以把新的BIOS程序?qū)懭隑IOS芯片，那么病毒程序也能做到，現(xiàn)在出現(xiàn)的是攻擊主板BIOS（通常稱系統(tǒng)BIOS），使電腦啟動(dòng)時(shí)黑屏，將來顯示BIOS是新的攻擊對(duì)象。第25頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(6)干擾系統(tǒng)正常運(yùn)行。包括不執(zhí)行發(fā)出的命令、內(nèi)部堆棧（Stack）溢出、死機(jī)或重新啟動(dòng)電腦、影響系統(tǒng)運(yùn)行速度等。

(7)干擾內(nèi)存分配。包括病毒本身占用內(nèi)存、病毒有意占用內(nèi)存、改變內(nèi)存容量、使得運(yùn)行程序時(shí)報(bào)告內(nèi)存不足等。

(8)干擾打印。一些病毒會(huì)使打印機(jī)不能正常打印，假提示缺紙等。

(9)干擾屏幕顯示。病毒擾亂屏幕的正常顯示，常表現(xiàn)為字符跌落、小球反彈、不正常問候語(yǔ)或提示畫面等。第26頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(10)干擾鍵盤。鍵盤按鍵無效，換字符、掉字符等。

(11)干擾鼠標(biāo)。一些病毒會(huì)使鼠標(biāo)操作異常，如擾亂串并口的病毒會(huì)使串口鼠標(biāo)無效。

(12)干擾喇叭。有的病毒在發(fā)作時(shí)，會(huì)發(fā)出提示音或奏出音樂。在計(jì)算機(jī)病毒的眾多破壞性中，損失最大的是丟失數(shù)據(jù)資料（破壞硬盤或軟盤中的系統(tǒng)數(shù)據(jù)，刪除或覆蓋文件）、泄露保密資料和網(wǎng)絡(luò)癱瘓，至于病毒對(duì)電腦系統(tǒng)的其它干擾并不會(huì)造成巨大的損失，即使是毀壞了BIOS，重寫B(tài)IOS就可以了。第27頁(yè)，共71頁(yè)，2023年，2月20日，星期四特別提示*為了防治病毒破壞或硬盤故障，請(qǐng)及時(shí)備份數(shù)據(jù)（必要時(shí)，備份整個(gè)硬盤）。*安裝實(shí)時(shí)監(jiān)控病毒的程序（防火墻），定時(shí)查殺病毒，是一種主動(dòng)而且有效的計(jì)算機(jī)病毒防治方式。第28頁(yè)，共71頁(yè)，2023年，2月20日，星期四9.2計(jì)算機(jī)病毒防治9.2.1病毒的傳播途徑1．傳染計(jì)算機(jī)病毒的途徑(1)軟盤交流染毒文件。(2)硬盤染毒，運(yùn)行程序或處理的Word文檔。(3)電腦數(shù)據(jù)光盤。(4)Internet上下載染毒文件。(5)電子郵件的附件夾帶病毒。第29頁(yè)，共71頁(yè)，2023年，2月20日，星期四

2．不會(huì)有病毒傳染的情況

(1)病毒不能傳染寫保護(hù)的軟盤。

(2)干凈的系統(tǒng)啟動(dòng)后，對(duì)帶病毒的軟盤或硬盤列目錄（不是運(yùn)行其中的程序），不會(huì)傳染病毒。

(3)CMOS中可能被病毒破壞，但CMOS中不會(huì)隱藏病毒。

(4)沒有執(zhí)行程序的數(shù)據(jù)文件不會(huì)含有病毒，如純文本文件*.TXT不會(huì)有病毒（Word文檔和模板中的宏，在文檔或模板被打開時(shí)宏會(huì)被執(zhí)行，宏就是宏病毒寄生的地方，所以Word文檔或模板可能被感染宏病毒）。第30頁(yè)，共71頁(yè)，2023年，2月20日，星期四

3．可能傳染病毒的操作

(1)帶病毒的軟盤啟動(dòng)系統(tǒng)，病毒可能傳染硬盤以及本次使用的未寫保護(hù)的軟盤。

(2)帶病毒的系統(tǒng)中，病毒可能傳染本次使用的未寫保護(hù)的軟盤（包括列目錄操作）。

(3)帶病毒的系統(tǒng)中，發(fā)送郵件，可能病毒也被發(fā)送。

(4)帶病毒的系統(tǒng)中，運(yùn)行未帶病毒的程序，這個(gè)程序可能染上病毒。第31頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(5)打開來歷不明的郵件或郵件附件，你的電腦可能染上病毒。

(6)運(yùn)行了帶病毒的程序，會(huì)傳染其它被運(yùn)行的程序。

(7)打開帶宏病毒的Word文檔或模板，會(huì)把宏病毒傳給其它Word文檔或模板。第32頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.2.2用戶防治病毒感染系統(tǒng)的措施

1．防治病毒傳染的措施

(1)軟盤盡量帶寫保護(hù)。

(2)安裝病毒實(shí)時(shí)監(jiān)控程序（防火墻），同時(shí)注意軟件及時(shí)升級(jí)。

(3)慎用外來軟件（使用前進(jìn)行病毒掃描）。

(4)安裝硬盤還原卡可抵御病毒。第33頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(5)經(jīng)常查殺病毒，包括在殺毒軟件中設(shè)置定時(shí)查殺病毒。

(6)將BIOS中的“BootVirusDetection”設(shè)置為“Enabled”，可以防止引導(dǎo)病毒。

(7)注意系統(tǒng)中的一些異常變化，如執(zhí)行程序文件變大、數(shù)據(jù)莫名奇妙地丟失、發(fā)送帶附件的郵件時(shí)死機(jī)、打印機(jī)不能打印等，及時(shí)做查殺病毒處理。第34頁(yè)，共71頁(yè)，2023年，2月20日，星期四

2．注意一些病毒的發(fā)作日期在下面的這些日期前（不勝枚舉！僅列出幾個(gè)有代表性的日期），要特別注意查殺病毒，因?yàn)椴《究赡芤蓧氖铝恕?/p>

3月6日：米開朗基羅病毒

4月26日：CIH病毒1.2版（是在我國(guó)流行最廣的CIH病毒版本）

第35頁(yè)，共71頁(yè)，2023年，2月20日，星期四

5月4日：NewCentury病毒

6月26日：CIH病毒1.3版

7月每一天：七月殺手宏病毒每月26日：CIH病毒1.4版

13日星期五：磁盤殺手病毒第36頁(yè)，共71頁(yè)，2023年，2月20日，星期四特別提示*經(jīng)常備份自己的數(shù)據(jù)資料，是我們必須做的！*如果硬盤資料遭病毒破壞,不要急著重裝系統(tǒng)或?qū)τ脖P做低級(jí)和高級(jí)格式化（FORMAT），因?yàn)椴《静豢赡茉诙虝r(shí)間內(nèi),將硬盤的全部資料破壞,硬盤的數(shù)據(jù)很有可能可以恢復(fù)，就像我們可以恢復(fù)被刪除的文件一樣。瑞星公司殺毒軟件RAV15.34.10版本的DOS版，提供了挽救CIH病毒損壞硬盤數(shù)據(jù)的工具。第37頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.2.3常用反病毒軟件防治計(jì)算機(jī)病毒主要靠自己的警惕性和查殺病毒的軟件。常見的查殺病毒軟件有：PC–CILLIN、NortonAntivirus、KV系列和瑞星RAV殺毒軟件。下面以瑞星RAV15.34.10版本為例，說明查殺病毒的一般方法，其它的殺毒軟件與其有相似之處。瑞星RAV15.34.10在Windows下運(yùn)行主界面如圖9-1所示。

第38頁(yè)，共71頁(yè)，2023年，2月20日，星期四1．瑞星RAV15.34.10簡(jiǎn)介瑞星RAV15.34.10具有以下特點(diǎn)：(1)實(shí)時(shí)監(jiān)控病毒（包括郵件病毒），即防火墻功能。(2)定時(shí)查殺病毒。(3)清除CIH、求職信、硬盤殺手等Windows環(huán)境下的病毒。（4)清除“宏病毒”。(5)清除黑客（BO）程序。(6)檢測(cè)壓縮和自解壓格式文件。第39頁(yè)，共71頁(yè)，2023年，2月20日，星期四

(7)安全修復(fù)被CIH病毒破壞的硬盤數(shù)據(jù)。

(8)保存和恢復(fù)硬盤引導(dǎo)扇區(qū)（分區(qū)表和第一分區(qū)的引導(dǎo)扇區(qū)）。

(9)查殺病毒速度相當(dāng)快。

(10)DOS、Windows9x、WindowsNT4.0、Windows2000/XP多平臺(tái)殺毒。第40頁(yè)，共71頁(yè)，2023年，2月20日，星期四圖9-1瑞星RAV15.34.10Windows版運(yùn)行主界面第41頁(yè)，共71頁(yè)，2023年，2月20日，星期四

2．RAV查殺病毒的步驟方法一在Windows下運(yùn)行RAV，出現(xiàn)如圖9-1所示的界面。選擇殺毒路徑：在圖9-1左邊窗口中選擇殺毒路徑。查殺病毒：按“殺毒”按鈕；根據(jù)用戶設(shè)置的方式查殺病毒。

第42頁(yè)，共71頁(yè)，2023年，2月20日，星期四特別提示*在清除病毒過程中，如果出現(xiàn)：“請(qǐng)用瑞星原盤引導(dǎo)計(jì)算機(jī)清除病毒”，表示該文件正在運(yùn)行或被使用，請(qǐng)使用“瑞星殺毒軟件”DOS版（A號(hào)盤）原盤啟動(dòng)電腦后，清除病毒。第43頁(yè)，共71頁(yè)，2023年，2月20日，星期四方法二步驟1：用瑞星A號(hào)盤啟動(dòng)Windows98DOS，并進(jìn)入RAV運(yùn)行界面(RAV15.34.10自帶漢字顯示字庫(kù))。步驟2：選定要查殺病毒的盤符，如驅(qū)動(dòng)器C：后按回車鍵，查殺硬盤引導(dǎo)型病毒、查殺文件中存在的病毒（包括宏病毒、CIH病毒等Windows環(huán)境下的病毒）。查殺其它路徑的病毒，需先選擇路徑，再查殺病毒。第44頁(yè)，共71頁(yè)，2023年，2月20日，星期四

【特別提示】*在RAV15.34.10Windows版本中可以制作“升級(jí)瑞星DOS版”到瑞星原盤上，方法是：工具→制作瑞星安裝盤→升級(jí)DOS瑞星版。*RAV15.34.10Windows版本具有防火墻和定時(shí)查殺病毒的功能，DOS版本沒有這些功能。*查殺硬盤引導(dǎo)型病毒最好使用RAV15.34.10DOS版（使用A號(hào)盤啟動(dòng)電腦并殺毒）。第45頁(yè)，共71頁(yè)，2023年，2月20日，星期四*如果啟動(dòng)MSDOS6.22，在運(yùn)行RAV15.34.10DOS版，那么就不能查殺FAT32的硬盤邏輯盤，因?yàn)镸SDOS6.22不認(rèn)識(shí)FAT32的邏輯盤。*對(duì)于重寫(overwrite)型病毒和伙伴(companion)型等類型的病毒，由于病毒已破壞原文件或該文件本身就是病毒生成的，因此清除這類病毒時(shí)需刪除當(dāng)前文件。第46頁(yè)，共71頁(yè)，2023年，2月20日，星期四

3．RAV防火墻“瑞星殺毒軟件”的Windows版中提供了實(shí)時(shí)監(jiān)控計(jì)算機(jī)病毒和“黑客”的功能，我們把它稱為防火墻。安裝瑞星RAV15.34.10版本默認(rèn)設(shè)置就是啟用實(shí)時(shí)監(jiān)控，即開啟了防火墻功能，此時(shí)在桌面的右下角有一把綠色小雨傘。如果關(guān)閉防火墻后，桌面右下角的一把綠色小雨傘消失。第47頁(yè)，共71頁(yè)，2023年，2月20日，星期四當(dāng)綠色小雨傘出現(xiàn)在桌面的右下角，表明電腦處于“瑞星殺毒軟件”的實(shí)時(shí)監(jiān)控之下，訪問軟盤、本地硬盤、光盤、網(wǎng)絡(luò)鄰居、因特網(wǎng)和所在局域網(wǎng)服務(wù)器時(shí)，都在防火墻的監(jiān)控之中。當(dāng)文件被讀取、拷貝、移動(dòng)、壓縮、解壓、從因特網(wǎng)下載保存、從E-mail信箱接收保存時(shí)，“瑞星殺毒軟件”將根據(jù)預(yù)先設(shè)定的處理形式對(duì)含有病毒的文件進(jìn)行處理，如：自動(dòng)清除病毒，自動(dòng)禁止使用帶毒文件，自動(dòng)將文件移動(dòng)到指定文件夾，自動(dòng)刪除帶毒文件或詢問用戶如何處理等。使用RAV防火墻，應(yīng)該說是一種主動(dòng)的防治病毒的方式，而不是在系統(tǒng)被病毒感染以后，再去被動(dòng)查殺病毒。第48頁(yè)，共71頁(yè)，2023年，2月20日，星期四

4．RAV定時(shí)查殺病毒“瑞星殺毒軟件”的Windows版中提供了“定時(shí)查殺病毒”功能。安裝瑞星RAV15.34.10版本后，默認(rèn)設(shè)置就是啟用定時(shí)查殺病毒功能，此時(shí)在桌面的右下角有一時(shí)鐘圖標(biāo)，關(guān)閉定時(shí)查殺功能后，該圖標(biāo)消失。第49頁(yè)，共71頁(yè)，2023年，2月20日，星期四用戶可通過“設(shè)置→定時(shí)殺毒”選擇“每小時(shí)”、“每日”、“每周”、“每月”等不同掃描頻率，并可指定待查的磁盤或目錄。當(dāng)系統(tǒng)時(shí)鐘到達(dá)所選定的時(shí)間，“瑞星殺毒軟件”將自動(dòng)啟動(dòng)，并開始在后臺(tái)掃描預(yù)先指定選定磁盤或目錄。如果發(fā)現(xiàn)病毒，查毒界面會(huì)自動(dòng)跳出，用戶可以看到查毒情況，查毒完畢可自動(dòng)將查毒結(jié)果保存，供用戶隨時(shí)查閱，如果未發(fā)現(xiàn)病毒，軟件將自動(dòng)關(guān)閉退出。第50頁(yè)，共71頁(yè)，2023年，2月20日，星期四9.3目前幾類流行的病毒計(jì)算機(jī)病毒應(yīng)該說是從DOS環(huán)境下發(fā)展起來的，但現(xiàn)在的病毒制造者把注意力主要放在宏病毒、Windows系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，病毒傳染越來越快，破壞能力也越來越大。下面簡(jiǎn)單介紹目前幾類流行病毒。第51頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.3.1宏病毒宏病毒是使用某個(gè)應(yīng)用程序自帶的宏編程語(yǔ)言編寫的病毒。宏病毒從1996年下半年傳入我國(guó)，主要感染W(wǎng)ord、Excel等文件，最常見的是感染W(wǎng)ord文檔和文檔模板文件的宏病毒。

Word中的宏，是利用Word中提供的WordBasic編程接口編制程序，原本是為了讓用戶能夠用簡(jiǎn)單的程序簡(jiǎn)化一些經(jīng)常重復(fù)的操作，沒想到卻為宏病毒創(chuàng)造了條件：因?yàn)楹暧袌?zhí)行的機(jī)會(huì)（打開Word文檔時(shí)，會(huì)執(zhí)行宏）。第52頁(yè)，共71頁(yè)，2023年，2月20日，星期四宏病毒容易編寫：以往病毒是以二進(jìn)制的機(jī)器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的WordBasic語(yǔ)言源代碼形式出現(xiàn)，編寫和修改宏病毒比以往病毒更容易，所以這種病毒發(fā)展得特別快。宏病毒容易傳播：無論以什么方式得到的Word文檔（例如通過軟盤、電子郵件），如果它們帶有宏病毒，只要在Word中打開這些文件，你的計(jì)算機(jī)就會(huì)被宏病毒感染，若沒有及時(shí)發(fā)現(xiàn)和殺毒，那么，打開或新建Word文檔都可能帶上宏病毒，這使得宏病毒非常容易傳播。第53頁(yè)，共71頁(yè)，2023年，2月20日，星期四宏病毒病例：七月殺手病毒。發(fā)作時(shí)間：七月的每一天。破壞性：七月殺手病毒自動(dòng)將硬盤中C盤根目錄下的自動(dòng)批處理文件AUTOEXEC.BAT原來的內(nèi)容全部刪除，然后追加一條命令：DELTREEC:\/Y，當(dāng)用戶下一次啟動(dòng)電腦時(shí)，就會(huì)刪除C：中的所有文件和子目錄。第54頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.3.2網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒主要是指通過互聯(lián)網(wǎng)電子郵件（附件）傳染并自動(dòng)發(fā)送郵件的病毒。大多數(shù)情況下，網(wǎng)絡(luò)病毒都能從Outlook通訊錄中獲取多個(gè)用戶的E-mail地址，并自動(dòng)向它們發(fā)送受病毒感染的電子郵件，當(dāng)下一個(gè)用戶打開受感染的文件時(shí)，又重復(fù)上述自動(dòng)發(fā)送帶病毒的電子郵件的操作，如此傳播，用不了多少時(shí)間，就可能讓網(wǎng)絡(luò)郵件服務(wù)器因“忙不過來”而癱瘓。很多網(wǎng)絡(luò)病毒以Word或Excel宏作為載體（郵件的附件），因而又具有宏病毒的特征。第55頁(yè)，共71頁(yè)，2023年，2月20日，星期四網(wǎng)絡(luò)病毒病例：ILOVEYOU（愛蟲病毒）。愛蟲病毒傳播：愛蟲病毒是使用VBScript程序語(yǔ)言編寫的病毒，它主要是通過一封信件標(biāo)題為“ILOVEYOU"的電子郵件傳播的，附加文件為“LOVE-LETTER-FOR-YOU.txt.vbs"。一旦執(zhí)行附加文件，病毒會(huì)獲取Outlook通訊錄的名單，并自動(dòng)發(fā)出“ILOVEYOU”電子郵件，連鎖性的大規(guī)模傳播，從而導(dǎo)致網(wǎng)絡(luò)阻塞。第56頁(yè)，共71頁(yè)，2023年，2月20日，星期四破壞性：愛蟲病毒的傳播會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓，病毒發(fā)作時(shí)，還會(huì)把*.mp3、*.vbs、*.jpg、*.jpeg等10種文件改為*.vbs，并傳染覆蓋這些文件。當(dāng)你收到信件標(biāo)題為“ILOVEYOU"的電子郵件時(shí)，應(yīng)立即刪除。與愛蟲病毒相似的網(wǎng)絡(luò)病毒還有Melissa（美麗殺手病毒）、PAPA（怕怕病毒）等。第57頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.3.3CIH病毒

CIH病毒是繼DOS病毒、Windows病毒、宏病毒后的第四類新型病毒，1998年8月從臺(tái)灣傳入大陸，CIH病毒感染W(wǎng)indows95/98的可執(zhí)行程序，共有三個(gè)主要版本：1.2版/1.3版/1.4版，發(fā)作時(shí)間分別是4月26日、6月26日、每月26日。該病毒是第一個(gè)直接攻擊、破壞硬件的計(jì)算機(jī)病毒，是迄今為止破壞最為嚴(yán)重的病毒。第58頁(yè)，共71頁(yè)，2023年，2月20日，星期四破壞性：破壞硬盤中的數(shù)據(jù)，同時(shí)重寫主板BIOS的內(nèi)容（FlashROM類型芯片），導(dǎo)致開機(jī)黑屏。解決方法：重新寫入正確的主板BIOS（參見9.4節(jié)）；被破壞的硬盤數(shù)據(jù)使用RAV15.34.10DOS版進(jìn)行恢復(fù)（參見9.2節(jié)）。第59頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.3.4硬盤殺手病毒硬盤殺手病毒（Worm.OpaSoft）會(huì)毀壞硬盤所有數(shù)據(jù)的，它是迄今第一個(gè)可以覆蓋硬盤分區(qū)的蠕蟲病毒，破壞力是有史以來最兇狠的，電腦一旦被感染硬盤殺手病毒，將可能毀壞硬盤所有數(shù)據(jù)。破壞性：它可以在Windows95以上的所有版本的操作系統(tǒng)中運(yùn)行，將用戶計(jì)算機(jī)上的所有硬盤里的所有資料瞬間清除并且無法恢復(fù)。另外該病毒還可以利用網(wǎng)絡(luò)漏洞和共享目錄進(jìn)行網(wǎng)絡(luò)感染，傳播能力遠(yuǎn)遠(yuǎn)強(qiáng)于CIH！如果啟動(dòng)電腦時(shí)屏幕上會(huì)出現(xiàn)以下內(nèi)容的信息：第60頁(yè)，共71頁(yè)，2023年，2月20日，星期四NOTICE:IllegalMicrosoftWindowslicensedetected!YouareinviolationoftheDigitalMillenniumCopyrightAct!Yourunauthorizedlicensehasbeenrevoked.formoreinformation,pleasecallusat:1-888-NOPIRACYonourwebsite,at:BusinessSoftwareAlliancePromotingasafe&legalonlineworld.第61頁(yè)，共71頁(yè)，2023年，2月20日，星期四不過當(dāng)用戶看到此信息后，則硬盤數(shù)據(jù)已經(jīng)被破壞，無法恢復(fù)。預(yù)防辦法：升級(jí)殺毒軟件查殺，如瑞星15.15.01及以上版本可以查殺硬盤殺手病毒（Worm.OpaSoft），金山毒霸硬盤殺手專殺工具1.8.1可以查殺硬盤殺手病毒（Worm.OpaSoft）等。第62頁(yè)，共71頁(yè)，2023年，2月20日，星期四

9.3.5黑客程序“黑客”是指利用通訊軟件，通過網(wǎng)絡(luò)非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，獲取或篡改各種數(shù)據(jù)，危害信息安全的入侵者或入侵行為，直接威脅用戶的數(shù)據(jù)安全：泄露軍事情報(bào)，竊取商業(yè)機(jī)密，修改金融數(shù)據(jù)，攻擊網(wǎng)站等，都嚴(yán)重干擾計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。目前已發(fā)現(xiàn)BO（BackOrifice）、NetBus、NetSpy、Backdoor等幾十種“黑客”程序。第63頁(yè)，共71頁(yè)，2023年，2月20日，星期四黑客程序就是黑客組織通過網(wǎng)絡(luò)在你的計(jì)算機(jī)系統(tǒng)中安裝了監(jiān)控程序（例如當(dāng)在郵件附件中收到未知的可執(zhí)行程序，好奇地執(zhí)行了這個(gè)程序，有可能就是黑客“遙控”遠(yuǎn)程電腦的監(jiān)控程序），可以通過TCP/IP網(wǎng)絡(luò)協(xié)議遠(yuǎn)程控制你的計(jì)算機(jī)，在被攻擊者完全不知道的情況下，任意訪問和控制你的計(jì)算機(jī)資源，包括竊取口令、修改注冊(cè)表、查看和增刪文件、記錄鍵盤輸入的所有內(nèi)容、重新啟動(dòng)遠(yuǎn)程電腦等。

第64頁(yè)，共71頁(yè)，2023年，2月20日，星期四防止被黑客攻擊的措施