網(wǎng)吧安全與病毒防御

計算機病毒的防治

本章主要內(nèi)容： 1．計算機病毒 2．計算機病毒的傳播 3．計算機病毒的特點及破壞行為 4．宏病毒及網(wǎng)絡病毒 5．病毒的預防、檢查和清除 6．病毒防御解決方案2023/11/101什么是計算機病毒 計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。 通常，計算機病毒可分為下列幾類。 （1）文件病毒。 （2）引導扇區(qū)病毒。 （3）多裂變病毒。（4）秘密病毒。（5）異形病毒。（6）宏病毒。2023/11/102計算機病毒的傳播計算機病毒的由來

計算機病毒是由計算機黑客們編寫的，這些人想證明它們能編寫出不但可以干擾和摧毀計算機，而且能將破壞傳播到其它系統(tǒng)的程序。

2023/11/1036.2計算機病毒的傳播6.2.2計算機病毒的傳播 計算機病毒通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。最明顯的也是最常見的入侵點是從工作站傳到工作站的軟盤。 病毒一旦進入系統(tǒng)以后，通常用以下兩種方式傳播： （1）通過磁盤的關(guān)鍵區(qū)域； （2）在可執(zhí)行的文件中。2023/11/1046.2計算機病毒的傳播6.2.3計算機病毒的工作方式 一般來說，病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。 1．感染 任何計算機病毒的一個重要特性或功能是對計算機系統(tǒng)的感染。 （1）引導扇區(qū)病毒

2023/11/1056.2計算機病毒的傳播（2）文件型病毒 文件型病毒與引導扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。2023/11/1066.2計算機病毒的傳播 覆蓋型文件病毒的一個特點是不改變文件的長度，使原始文件看起來非常正常。 前依附型文件病毒將自己加在可執(zhí)行文件的開始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。 伴隨型文件病毒為.exe文件建立一個相應的含有病毒代碼的.com文件。2023/11/1076.2計算機病毒的傳播 2．變異 變異又稱變種，這是病毒為逃避病毒掃描和其它反病毒軟件的檢測，以達到逃避檢測的一種“功能”。 3．觸發(fā) 不少計算機病毒為了能在合適的時候從事它的見不得人的勾當，往往需要預先設置一些觸發(fā)的條件，并使之先置于未觸發(fā)狀態(tài)。2023/11/1086.2計算機病毒的傳播 4．破壞 修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。 5．高級功能病毒 計算機病毒逃避檢測，躲開病毒掃描和反病毒軟件。 多態(tài)病毒特點能變異，新病毒都與上一代有差別，每個新病毒都各不相同。2023/11/1096.3計算機病毒的特點及破壞行為

6.3.1計算機病毒的特點 病毒有以下幾個主要特點。 1．刻意編寫人為破壞 2．自我復制能力 3．奪取系統(tǒng)控制權(quán) 4．隱蔽性 5．潛伏性 6．不可預見性2023/11/10106.3計算機病毒的特點及破壞行為6.3.2計算機病毒的破壞行為（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。（2）攻擊文件。刪除、改名、替換內(nèi)容、丟失簇或?qū)ξ募用?。?）攻擊內(nèi)存。大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。（4）干擾系統(tǒng)運行，使運行速度下降。（5）干擾鍵盤、喇叭或屏幕。（6）攻擊CMOS。系統(tǒng)時鐘、磁盤類型和內(nèi)存容量等，亂寫某些主板BIOS芯片，損壞硬盤。（7）干擾打印機。如假報警、間斷性打印或更換字符。（8）網(wǎng)絡病毒破壞網(wǎng)絡系統(tǒng)，非法使用網(wǎng)絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡帶寬等。2023/11/10116.4宏病毒及網(wǎng)絡病毒6.4.1宏病毒 所謂宏，就是軟件設計者為了在使用軟件工作時，避免一再的重復相同的動作而設計出來的一種工具。 1．宏病毒的行為和特征 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。（1）宏病毒行為機制 Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。2023/11/1012（2）宏病毒特征 ①宏病毒會感染.doc文檔和.dot模板文件。 ②宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。 ③多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏。 ④宏病毒中總是含有對文檔讀寫操作的宏命令。 ⑤宏病毒在.doc文檔、.dot模板中以.BFF（Binary）格式存放。6.4宏病毒及網(wǎng)絡病毒2023/11/10136.4宏病毒及網(wǎng)絡病毒2．宏病毒的防治和清除方法（1）使用選項“提示保存Normal模板”（2）不要通過Shift鍵來禁止運行自動宏（3）查看宏代碼并刪除（4）使用DisableAutoMacros宏（5）使用Word97的報警設置（6）設置Normal.dot的只讀屬性（7）Normal.dot的密碼保護2023/11/10146.4宏病毒及網(wǎng)絡病毒6.4.2網(wǎng)絡病毒 1．網(wǎng)絡病毒的特點 計算機網(wǎng)絡的主要特點是資源共享。。病毒的會在這種環(huán)境下迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。它對于系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設想。因此，網(wǎng)絡環(huán)境下病毒的防治就顯得更加重要了。 病毒入侵網(wǎng)絡的主要途徑是通過工作站傳播到服務器硬盤，再由服務器的共享目錄傳播到其它工作站。2023/11/10156.4宏病毒及網(wǎng)絡病毒 2．病毒在網(wǎng)絡上的傳播與表現(xiàn) 大多數(shù)公司使用局域網(wǎng)文件服務器，用戶直接從文件服務器復制已感染的文件。 因特網(wǎng)是文件病毒的載體。 引導病毒在網(wǎng)絡服務器上的表現(xiàn)：如果網(wǎng)絡服務器計算機是從一塊感染的軟盤上引導的，那么網(wǎng)絡服務器就可能被引導病毒感染。2023/11/10166.4宏病毒及網(wǎng)絡病毒 3．專攻網(wǎng)絡的GPI病毒 4．電子郵件病毒 對電子郵件系統(tǒng)進行病毒防護可從以下幾個方面著手。（1）使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護（2）使用防毒軟件同時保護客戶機和服務器（3）使用特定的SMTP殺毒軟件2023/11/10176.5病毒的預防、檢查和清除

6.5.1病毒的預防 通過采取技術(shù)上和管理上的措施，計算機病毒是完全可以防范的。（1）對新購置的計算機系統(tǒng)用檢測病毒軟件檢查已知病毒，用人工檢測方法檢查未知病毒。（2）新購置的硬盤或出廠時已格式化好的軟盤可能有病毒。對硬盤可以進行檢測或進行低級格式化，因為對硬盤只做DOS的Format格式化是不能去除主引導區(qū)（分區(qū)表扇區(qū)）病毒的。（3）新購置的計算機軟件也要進行病毒檢測。（4）在保證硬盤無病毒的情況下，能用硬盤引導啟動的，盡量不要用軟盤去啟動。（5）很多PC機可以通過設置CMOS參數(shù)，使啟動時直接從硬盤引導啟動。

2023/11/10186.5病毒的預防、檢查和清除（6）定期與不定期地進行磁盤文件備份工作。（7）對于軟盤，要盡可能將數(shù)據(jù)和程序分別存放，裝程序的軟盤要進行寫保護。（8）在別人的機器上使用過自己的已打開了寫保護的軟盤，再在自己的機器上使用，就應進行病毒檢測。（9）應保留一張寫保護的、無病毒的并帶有各種命令文件的系統(tǒng)啟動軟盤，用于清除病毒和維護系統(tǒng)。（10）用Bootsafe等實用程序或用Debug編程提取分區(qū)表等方法做好分區(qū)表、DOS引導扇區(qū)等的備份工作，在進行系統(tǒng)維護和修復工作時可作為參考。2023/11/10196.5病毒的預防、檢查和清除（11）對于多人共用一臺計算機的環(huán)境，應建立登記上機制度，做到使問題能盡早發(fā)現(xiàn)，有病毒能及時追查、清除，不致擴散。（12）啟動Novell網(wǎng)或其它網(wǎng)絡的服務器時，一定要堅持用硬盤引導啟動，否則在受到引導扇區(qū)型病毒感染和破壞后，遭受損失的將不是一個人的機器，而會影響到連接整個網(wǎng)絡的中樞。（13）在網(wǎng)絡服務器安裝生成時，應將整個文件系統(tǒng)劃分成多文件卷系統(tǒng)，而不是只劃分成不區(qū)分系統(tǒng)、應用程序和用戶獨占的單卷文件系統(tǒng)。2023/11/10206.5病毒的預防、檢查和清除（14）安裝服務器時應保證沒有病毒存在，即安裝環(huán)境不能帶病毒，而網(wǎng)絡操作系統(tǒng)本身不感染病毒。（15）網(wǎng)絡系統(tǒng)管理員應將SYS系統(tǒng)卷設置成對其它用戶為只讀狀態(tài)，屏蔽其它網(wǎng)絡用戶對系統(tǒng)卷除讀取以外的其它所有操作，如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。（16）在應用程序卷安裝共享軟件時，應由系統(tǒng)管理員進行，或由系統(tǒng)管理員臨時授權(quán)進行。（17）系統(tǒng)管理員對網(wǎng)絡內(nèi)的共享電子郵件系統(tǒng)、共享存儲區(qū)域和用戶卷進行病毒掃描，發(fā)現(xiàn)異常情況應及時處理，不使其擴散。2023/11/10216.5病毒的預防、檢查和清除（18）系統(tǒng)管理員的口令應嚴格管理，為了防止泄漏，要定期或不定期地進行更換，保護網(wǎng)絡系統(tǒng)不被非法存取、感染上病毒或遭受破壞。（19）在網(wǎng)絡工作站上采取必要的抗病毒技術(shù)措施，可使網(wǎng)絡用戶一開機就有一個良好的上機環(huán)境，不必再擔心來自網(wǎng)絡內(nèi)和網(wǎng)絡工作站本身病毒。（20）在服務器上安裝LanProtect等防病毒系統(tǒng)。實踐表明，這些簡單易行的措施是非常有效的。2023/11/10226.5病毒的預防、檢查和清除 作為應急措施，網(wǎng)絡系統(tǒng)管理員應牢記下列幾條。（1）隔離斷網(wǎng)操作，清查病毒。（2）對于傳播速度快的惡性病毒要請求專業(yè)人員處理。（3）注意觀察下列現(xiàn)象：●文件的大小和日期是否變化；●系統(tǒng)啟動速度是否比平時慢；●不做寫操作時出現(xiàn)“磁盤有寫保護”信息；●對貼有寫保護的軟盤操作時聲音很大；●系統(tǒng)運行速度異常慢；●用MI檢查內(nèi)存發(fā)現(xiàn)不該駐留的程序已駐留；●鍵盤、打印或顯示有異?，F(xiàn)象；●有特殊文件自動生成；●磁盤空間自動產(chǎn)生壞簇或磁盤空間減少；●文件莫名其妙地丟失；●系統(tǒng)異常死機的次數(shù)增加。2023/11/10236.5病毒的預防、檢查和清除

6.5.2病毒的檢查 計算機病毒要進行傳染，必然會留下痕跡。因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。 1．病毒的檢查方法 檢測的原理主要是基于下列四種方法比較法搜索法特征字識別法分析法2023/11/10246.5病毒的預防、檢查和清除（1）比較法 比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。（2）搜索法 搜索法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。（3）計算機病毒特征字的識別法 計算機病毒特征字的識別法是基于特征串掃描法發(fā)展起來的一種新方法。（4）分析法 本方法由專業(yè)反病毒技術(shù)人員使用。 分析法的目的在于： ①確認是否含有病毒 ②確認病毒的類型和種類 ③搞清結(jié)構(gòu)，提取樣本數(shù)據(jù) ④分析病毒代碼2023/11/10256.5病毒的預防、檢查和清除 2．病毒掃描程序 這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱為病毒特征。 3．完整性檢查程序 檢查文件與系統(tǒng)文件 4．行為封鎖軟件 該軟件的目的是防止病毒的破壞。2023/11/10266.5病毒的預防、檢查和清除6.5.3計算機病毒的免疫 通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。 1．建立程序的特征值檔案 2．嚴格內(nèi)存管理 3．中斷向量管理2023/11/10276.5病毒的預防、檢查和清除6.5.4計算機感染病毒后的恢復 1．防止和修復引導記錄病毒 改變計算機的磁盤引導順序，避免從軟盤引導。必須從軟盤引導時，應該確認該軟盤無毒。 （1）修復感染的軟盤 （2）修復感染的主引導記錄 （3）利用反病毒軟件修復 2．防止和修復可執(zhí)行文件病毒2023/11/10286.5病毒的預防、檢查和清除6.5.5計算機病毒的清除 1．使用DOS命令處理病毒 2．引導型病毒的處理 與引導型病毒有關(guān)的扇區(qū)大概有下面三個部分。（1）硬盤的物理第一扇區(qū)，即0柱面、0磁頭、1扇區(qū)是開機之后存放的數(shù)據(jù)和程序是被最先訪問和執(zhí)行的。這個扇區(qū)成為“硬盤主引導扇區(qū)”。在該扇區(qū)的前半部分，稱為“主引導記錄”（MasterBootRecord），簡稱MBR。（2）第二部分不是程序，而是非執(zhí)行的數(shù)據(jù)，記錄硬盤分區(qū)的信息，即人們常說的“硬盤分區(qū)表”（PartitionTable），從偏移量1BEH開始，到1FDH結(jié)束。2023/11/10296.5病毒的預防、檢查和清除（3）硬盤活動分區(qū)，大多是第一個分區(qū)的第一個扇區(qū)。一般位于0柱面、1磁頭、1扇區(qū)，這個扇區(qū)稱為“活動分區(qū)的引導記錄”，它是開機后繼MBR后運行的第二段代碼的運行所在。其它分區(qū)也具有一個引導記錄（BOOT），但是其中的代碼不會被執(zhí)行。 運行下面的程序來完成：

“Fdisk／MBR”用于重寫一個無毒的MBR。

“Fdisk”用于讀取或重寫硬盤分區(qū)表。

“FormatC：/S”或“SYSC：”會重寫一個無毒的“活動分區(qū)的引導記錄”。對于可以更改活動分區(qū)的情況，需要另外特殊對待。2023/11/10306.5病毒的預防、檢查和清除 3．宏病毒清除方法 對于宏病毒最簡單的清除步驟為：（1）關(guān)閉Word中的所有文檔。（2）選擇“工具/模板/管理器/宏”選項。（3）刪除左右兩個列表框中所有的宏（除了自己定義的）（一般病毒宏為AutoOpen、AutoNew或AutoClose）。（4）關(guān)閉對話框。（5）選擇“工具/宏”選項。若有AutoOpen、AutoNew或AutoClose等宏，刪除之。2023/11/10316.5病毒的預防、檢查和清除 4．殺毒程序 殺毒程序是許多反病毒程序中的一員，但它在處理病毒時，必須知道某種特別的病毒的信息，然后才能按需要對磁盤進行殺毒。 對于文件型病毒，殺毒程序需要知道病毒的操作過程，如它將病毒代碼依附在文件頭部還是尾部。一旦病毒被從文件中清除，文件便恢復到原先的狀態(tài)，原先保存病毒的扇區(qū)被覆蓋，從而消除了病毒被重新使用的可能性。

對于引導扇區(qū)病毒，在使用殺毒程序時需格外的小心謹慎，因為在重新建立引導扇區(qū)和MBR（主引導記錄）時，如果出現(xiàn)錯誤，其后果是災難性的，不但會導致磁盤分區(qū)的丟失，甚至丟失硬盤上的所有文件，使系統(tǒng)再也無法引導了。2023/1