第7章計(jì)算機(jī)與防護(hù)

第7章計(jì)算機(jī)病毒與防護(hù)

7.1計(jì)算機(jī)病毒簡(jiǎn)介

7.2計(jì)算機(jī)病毒定義

7.3計(jì)算機(jī)病毒和特征

7.4計(jì)算機(jī)病毒的產(chǎn)生

7.5計(jì)算機(jī)病毒分類與命名

7.6計(jì)算機(jī)病毒的傳播方式

7.7計(jì)算機(jī)病毒識(shí)別、防止與殺毒軟件

7.8如何預(yù)防計(jì)算機(jī)病毒

7.9計(jì)算機(jī)病毒判定、定解方法

隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展和計(jì)算機(jī)

應(yīng)用領(lǐng)域的日益擴(kuò)大，計(jì)算機(jī)病毒已經(jīng)成

為當(dāng)前社會(huì)的一大公害。了解計(jì)算機(jī)病毒

的來(lái)源，認(rèn)識(shí)計(jì)算機(jī)病毒的危害性，懂得

防治計(jì)算機(jī)病毒的措施，掌握消除計(jì)算機(jī)

病毒的方法，這將是每個(gè)計(jì)算機(jī)使用者的

必修課。

返回首頁(yè)

.7.1計(jì)算機(jī)病毒簡(jiǎn)介

?1983年11月，在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上,美

國(guó)計(jì)算機(jī)安全專家首次提出計(jì)算機(jī)病毒的概念，并在

VAX/750上進(jìn)行了實(shí)驗(yàn)，以證明計(jì)算機(jī)病毒的傳播、破

壞特性。1988年發(fā)生在美國(guó)的“蠕蟲病毒”事件，給計(jì)

算機(jī)技術(shù)的發(fā)展罩上了一層陰影。蠕蟲病毒由美國(guó)

CORNELL大學(xué)研究生莫里斯編寫，雖然并無(wú)惡意，但在

當(dāng)時(shí)，在Internet上大肆傳播，使得數(shù)千臺(tái)聯(lián)網(wǎng)的計(jì)算

機(jī)停止了運(yùn)行，造成巨額損失，成為一時(shí)的輿論焦點(diǎn)。

隨著時(shí)間的推移，計(jì)算機(jī)病毒的種類越來(lái)越多，在后來(lái)

不到三年的時(shí)間內(nèi)，世界上出現(xiàn)了“巴基斯坦智囊”、

“黑色星期五”、“雨點(diǎn)”、“磁盤殺手”、“音樂(lè)”、

“揚(yáng)基都督”等數(shù)百種不同傳播和發(fā)作類型的病毒。

返回本節(jié)

計(jì)算機(jī)病毒在全球廣泛傳播的過(guò)程中，中國(guó)也未能幸免。

最初引起人們注意的病毒是80年代末出現(xiàn)的“黑色星

期五”、“米氏病毒”、“小球病毒”和“CIH病毒”

等。因當(dāng)時(shí)軟件種類不多，用戶之間的軟件交流較為

頻繁且反病毒軟件不普及，所以造成病毒的廣泛流行。

據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)估計(jì)，全世界每周至少產(chǎn)生

7?10種計(jì)算機(jī)病毒。如今，在計(jì)算機(jī)上流行的各種病

毒已超過(guò)一萬(wàn)種，它們正在威脅著計(jì)算機(jī)的安全。研

制殺毒軟件和預(yù)防計(jì)算機(jī)病毒的措施已經(jīng)成為目前計(jì)

算機(jī)安全的新課題。

返回首頁(yè)

7.2計(jì)算機(jī)病毒定義

計(jì)算機(jī)病毒與醫(yī)學(xué)上的病毒不同，它不是天然存在的,

而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編

制成的具有特殊功能的程序。但由于它與生物醫(yī)學(xué)上

的病毒同樣有傳播和破壞的特性，因此就把病毒這一

名詞由生物醫(yī)學(xué)上引申到計(jì)算機(jī)領(lǐng)域中來(lái)。

計(jì)算機(jī)病毒的出現(xiàn)曾經(jīng)引起許多人的恐慌，個(gè)別人甚至

對(duì)計(jì)算機(jī)的發(fā)展前途失去了信心；與此同時(shí)，也有一

部分人對(duì)計(jì)算機(jī)病毒滿不在乎。其實(shí)，這兩種態(tài)度都

是片面的。對(duì)待計(jì)算機(jī)病毒應(yīng)該是用科學(xué)的方法分析

它，找出清除它的辦法，采取積極的預(yù)防措施，進(jìn)而

提高系統(tǒng)自身的可靠性。

那么，到底什么是計(jì)算機(jī)病毒呢？計(jì)算機(jī)病毒的本質(zhì)是

一種具有自我繁殖能力的指令代碼，這種指令代碼侵

入計(jì)算機(jī)系統(tǒng)后，會(huì)破壞計(jì)算機(jī)的正常運(yùn)行，毀壞計(jì)

算機(jī)中的數(shù)據(jù)，并且通過(guò)自我復(fù)制和數(shù)據(jù)共享的手段

傳染給其他程序。

1994年2月18日，我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十

八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)

算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，

影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或

者程序代碼。”此定義具有法律性、權(quán)威性。

*7.3計(jì)算機(jī)病毒特征

從上述對(duì)計(jì)算機(jī)病毒的描述中可以看出，計(jì)算機(jī)病毒具

有以下幾大特性：

1.程序性

計(jì)算機(jī)病毒實(shí)際上是一組指令代碼，即一段寄生在可執(zhí)

行的目標(biāo)程序上的程序。

2.破壞性

任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程

度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系

統(tǒng)資源，干擾計(jì)算機(jī)的正常運(yùn)行，重者可導(dǎo)致系統(tǒng)崩

潰。由此特性可將病毒分為良性病毒與惡性病毒。

3.傳染性

計(jì)算機(jī)病毒一旦發(fā)作，會(huì)將自身復(fù)制到內(nèi)存、硬盤、軟

盤甚至所有的文件中，使其他程序也感染上病毒。如

果網(wǎng)上有了計(jì)算機(jī)病毒，可以傳染到網(wǎng)上所有的計(jì)算

機(jī)。如果一張軟磁盤感染了病毒，它可以傳染到所有

使用這張軟磁盤的計(jì)算機(jī)上。傳染性是計(jì)算機(jī)病毒的

重要特性之一。

4.隱蔽性

計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)以后，常常不是立即發(fā)作，

而是附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別

的以隱含文件形式出現(xiàn)。這樣做的目的是不讓用戶

發(fā)現(xiàn)它的存在，使它可以有足夠的時(shí)間對(duì)系統(tǒng)進(jìn)行破壞

和實(shí)現(xiàn)傳染。而這種破壞和傳染的過(guò)程用戶往往是感

覺(jué)不到的，只有當(dāng)系統(tǒng)出現(xiàn)不正常反映時(shí)用戶才有所

察覺(jué)。

■5.潛伏性

■計(jì)算機(jī)病毒侵入計(jì)算機(jī)以后，可潛伏在合法的文件中

并不立即發(fā)作。在潛伏期間，計(jì)算機(jī)病毒并不急于表

現(xiàn)自己或起破壞作用，而是使一些正常的程序感染病

毒，成為計(jì)算機(jī)病毒的“攜帶者”。經(jīng)過(guò)一段時(shí)間或

一旦滿足了某些條件，病毒便開(kāi)始發(fā)作。觸發(fā)計(jì)算機(jī)

病毒的條件可以是一個(gè)，也可以是多個(gè)。

返回本節(jié)

■計(jì)算機(jī)病毒的觸發(fā)條件可以是某個(gè)日期、某個(gè)

時(shí)間、某個(gè)事件的出現(xiàn)或某個(gè)文件的使用次數(shù)

等特定的軟硬件環(huán)境。各種病毒的潛伏期也不

相同，短者數(shù)天、數(shù)月，長(zhǎng)者可達(dá)數(shù)年之久。

如“PETER-2”在每年2月27日會(huì)提3個(gè)問(wèn)題,

答錯(cuò)后會(huì)將硬盤加密。著名的“黑色星期五”

在逢13號(hào)的星期五發(fā)作。國(guó)內(nèi)的“上海一號(hào)”

會(huì)在每年三、六、九月的13日發(fā)作。這些病毒

在平時(shí)會(huì)隱臧得很好，只有在發(fā)作日才會(huì)露出

本來(lái)面目。

6.寄生性

計(jì)算機(jī)病毒可以寄生在某個(gè)程序上，一般它不是獨(dú)立存

在的。當(dāng)把感染了病毒的程序裝入計(jì)算機(jī)時(shí)，病毒便

隨之進(jìn)入了系統(tǒng)。而這種進(jìn)入是在非授權(quán)的情況下與

它所寄生的程序一起混進(jìn)系統(tǒng)的。

7.不可預(yù)測(cè)性

從對(duì)病毒的檢測(cè)方面來(lái)看，病毒還有不可預(yù)測(cè)性。不同

種類的病毒，它們的代碼千差萬(wàn)別，但有些操作是共

有的（如駐內(nèi)存，改中斷）。有些人利用病毒的這種共

性，制作了聲稱可查所有病毒的程序。這種程序的確

可查出一些新病毒，但由于目前的軟件種類極其豐

富，且某些正常程序也使用了類似病毒的操作甚至借鑒

了某些病毒的技術(shù)，因此使用這種查毒程序?qū)Σ《具M(jìn)

行檢測(cè)勢(shì)必會(huì)造成較多的誤報(bào)情況。何況病毒的制作

技術(shù)也在不斷的提高，病毒對(duì)反病毒軟件永遠(yuǎn)是超前

的，因此可查所有病毒的程序顯然是不存在的。

總之，一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資

源，完成用戶交給的任務(wù)。其目的對(duì)用戶是可見(jiàn)的、

透明的。而病毒具有正常程序的一切特性，隱藏在正

常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制

權(quán)，先于正常程序執(zhí)行，其動(dòng)作、目的對(duì)用戶是未知

的，是未經(jīng)用戶允許的。

7.4計(jì)算機(jī)病毒的產(chǎn)生

-計(jì)算機(jī)病毒是隨著人們對(duì)計(jì)算機(jī)軟件硬件內(nèi)部機(jī)制的

不斷深入研究而產(chǎn)生的，是人為制造的，它的來(lái)源大

致有以下幾種。

1.“開(kāi)玩笑”

■某些愛(ài)好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技術(shù)精通的人士，為了炫

耀自己的高超技術(shù)和智慧，憑借對(duì)軟件硬件的深入了

解，編制某些特殊的程序。這些程序通過(guò)載體傳播出

去后，在一定條件下被觸發(fā)。如顯示一些動(dòng)畫，播放

一段音樂(lè)，或提一些智力問(wèn)答題目等，其目的無(wú)非是

自我表現(xiàn)一下。但一旦這種計(jì)算機(jī)病毒發(fā)生，連他們

自己也無(wú)法控制。

5.報(bào)復(fù)

■有些人因?yàn)楣ぷ骰蛏钌系牟豁樞模蛘邔?duì)社

會(huì)不滿或受到不公正的待遇，于是產(chǎn)生報(bào)復(fù)心

理。如果這種情況發(fā)生在一個(gè)編程高手身上，

那么他就有意編制一些危險(xiǎn)的程序（程序中加

上計(jì)算機(jī)病毒），借以達(dá)到報(bào)復(fù)的目的。在國(guó)

外有這樣的事例：某公司職員在職期間編制了

一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測(cè)到

他的名字在工資報(bào)表中被刪除，該程序立即發(fā)

作，破壞整個(gè)系統(tǒng)。類似案例在國(guó)內(nèi)也出現(xiàn)過(guò)。

-3.非法復(fù)制軟件帶來(lái)的后果

■計(jì)算機(jī)發(fā)展初期，法律上對(duì)于軟件版權(quán)保護(hù)還沒(méi)有像

今天這樣完善，很多商業(yè)軟件被復(fù)制。在這種情況下

有些開(kāi)發(fā)商為了保護(hù)自己的利益，在自己開(kāi)發(fā)的軟件

產(chǎn)品中加上了病毒程序，當(dāng)有人對(duì)該軟件進(jìn)行非法復(fù)

制時(shí)，病毒便被觸發(fā)，以此來(lái)報(bào)復(fù)非法復(fù)制者。如

“巴基斯坦病毒”，其制作者就是為了追蹤那些非法

拷貝他們產(chǎn)品的用戶。所以有些人為了貪圖便宜，通

過(guò)不正當(dāng)?shù)那蕾?gòu)買廉價(jià)軟件或非法復(fù)制別人的軟件,

也可能會(huì)使他的計(jì)算機(jī)感染上病毒。

-4.用于特殊目的

■某組織或個(gè)人為達(dá)到特殊目的，如為了對(duì)政府

機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行宣傳或破壞，為了

軍事目的，為了增加自己網(wǎng)站的訪問(wèn)量等，而

編寫病毒程序。有人利用Java和ActiveX的特

性編寫的Java病毒就是為了讓別人訪問(wèn)他的網(wǎng)

站。

-總之，計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)犯罪的一種

表現(xiàn)形式，具有一定的社會(huì)根源。

計(jì)算機(jī)病毒分類與命名

-1.計(jì)算機(jī)病毒的類型

■從第一個(gè)計(jì)算機(jī)病毒出世以來(lái)，病毒的數(shù)量一直在不

斷增加。至今究竟世界上有多少種計(jì)算機(jī)病毒，說(shuō)法

不一，分類的方法也很多。下面僅舉兩種分類方法，

介紹幾種常見(jiàn)的計(jì)算機(jī)病毒類型。

-(1)按破壞的后果分類

-良性病毒：這類病毒大多是惡作劇的產(chǎn)物。病毒發(fā)作

時(shí)，只是占用大量CPU資源和內(nèi)存資源，降低計(jì)算機(jī)的

運(yùn)行速度，或在屏幕上出現(xiàn)干擾性的圖形或文字。這

類病毒一般不破壞系統(tǒng)數(shù)據(jù)，只起到一些干擾作用。

一旦消除，系統(tǒng)即可恢復(fù)正常工作。

惡性病毒：這種病毒具有較強(qiáng)的破壞性。病毒發(fā)作時(shí)，

破壞系統(tǒng)數(shù)據(jù)，刪改系統(tǒng)文件，重新格式化硬盤等。

由于這種病毒的破壞性較強(qiáng)，即使消除了病毒之后，

系統(tǒng)也難以恢復(fù)，一般需要重新安裝。

(2)按寄生方式分類

引導(dǎo)型病毒：這類病毒一般藏匿在磁盤片或硬盤的系

統(tǒng)引導(dǎo)區(qū)。計(jì)算機(jī)系統(tǒng)感染上這種病毒后，病毒就用

其自身取代引導(dǎo)區(qū)的引導(dǎo)記錄，而把原來(lái)操作系統(tǒng)的

引導(dǎo)記錄轉(zhuǎn)移到磁盤的其他空間。當(dāng)啟動(dòng)計(jì)算機(jī)系統(tǒng)

時(shí)，首先執(zhí)行病毒程序，然后再執(zhí)行引導(dǎo)記錄。這類

病毒流傳較廣。如常見(jiàn)的“小球病毒”、“大麻病毒”

等，都屬于這一類病毒。

返回本節(jié)

-文件型病毒：這類病毒是一種專門傳染可執(zhí)行文件

（.COM、.EXE、.SYS等）的病毒。在用戶調(diào)用染毒的可

執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺

機(jī)傳播給其他文件或直接傳播給其他文件。其特點(diǎn)是

附著于正常程序文件，而成為程序文件的一個(gè)外殼或

部件。這種類型病毒又分為外殼型、侵入型等。外殼

型病毒流傳較廣，通常寄生在可執(zhí)行文件尾部，執(zhí)行

一次染毒程序，就繁殖一次，使正常程序染上病毒。

這種病毒發(fā)作時(shí)，占用大量的CPU時(shí)間，使計(jì)算機(jī)無(wú)法

運(yùn)行。由于這種病毒自身的復(fù)制品包圍在主程序的

-周圍，故得此名，例如，“耶路撒冷”病毒就屬于這

一類。侵入型病毒是將自身的復(fù)制品侵入到現(xiàn)有的程

序中，對(duì)文件的內(nèi)容進(jìn)行刪除或修改，導(dǎo)致計(jì)算機(jī)無(wú)

法正常工作。

■混合型病毒：混合型病毒兼有以上兩種病毒的特點(diǎn)，

既染毒引導(dǎo)區(qū)又染毒文件，又可以侵入到可執(zhí)行文件

中，以此擴(kuò)大其傳播途徑(如1997年國(guó)內(nèi)流傳較廣的

“TPVO-3783(SPY)”病毒)。

-計(jì)算機(jī)病毒還有其他的分類方法，例如按病毒的觸發(fā)

條件、按連接方式、時(shí)代特征進(jìn)行分類等，這里不再

詳述。

■2.計(jì)算機(jī)病毒命名

■對(duì)計(jì)算機(jī)病毒的命名，各個(gè)反病毒軟件不盡相

同，有時(shí)對(duì)同一種病毒不同的反病毒軟件會(huì)報(bào)

出不同的名稱。如對(duì)于“SPY”病毒，KILL起名

為“SPY”，KV300則叫“TPVO-3783”。

■給病毒命名的方法不外乎以下幾種：

■按病毒中出現(xiàn)的人名或特征字符命名，如

“ZHENJIANG-JES”其發(fā)作地點(diǎn)最先來(lái)自鎮(zhèn)江某

用戶。又如“ZHANGFANGT535”、“DISK

KILLER”、“上海一號(hào)”等都是這種命名法。

■按病毒發(fā)作的時(shí)間命名，如“NOVEMBER9TH”

在11月9日發(fā)作。

■按包含病毒代碼的長(zhǎng)度命名，如“PIXEL.xxx”

系列、“KO.xxx”系列等。

■按病毒發(fā)作時(shí)的癥狀命名，如“火炬”、“蠕

蟲”。

■3,計(jì)算機(jī)病毒分析

■計(jì)算機(jī)病毒的種類雖然很多，但對(duì)病毒代碼進(jìn)

行分析、比較可以看出，病毒代碼短小，其主

要結(jié)構(gòu)是類似的，都包含三部分：引導(dǎo)部分、

傳播部分、表現(xiàn)部分。

■引導(dǎo)部分的作用是將病毒主體加載到內(nèi)存，為

傳播部分做準(zhǔn)備（如駐留內(nèi)存，修改中斷，修

改高端內(nèi)存，保存原中斷向量等操作）。

■傳播部分的作用是將病毒代碼復(fù)制到傳播目標(biāo)

上去。不同類型的病毒在傳播方式、傳播條件

上各有不同

■表現(xiàn)部分是病毒間差異最大的部分，前兩個(gè)部

分也是為這部分服務(wù)的。大部分的病毒都是在

一定條件下才會(huì)觸發(fā)，既才會(huì)表現(xiàn)，體現(xiàn)出病

毒的特性。如以時(shí)鐘、計(jì)數(shù)器作為觸發(fā)條件

（或稱表現(xiàn)條件）的，或用鍵盤輸入特定字符來(lái)

觸發(fā)的。這一部分也是最為靈活的部分，根據(jù)

編制者的不同目的而千差萬(wàn)別。

7.6計(jì)算機(jī)病毒的傳播方式

■計(jì)算機(jī)病毒總是通過(guò)某種傳播媒介進(jìn)行傳染。

當(dāng)其“寄生”于傳播載體時(shí)，僅處于一種無(wú)

“活力”的相對(duì)靜態(tài)，沒(méi)有主動(dòng)傳播的能力。

只有當(dāng)其以運(yùn)行的方式進(jìn)入內(nèi)存后，就產(chǎn)生了

“活力”，使計(jì)算機(jī)系統(tǒng)成為一個(gè)帶毒的傳播

源，并且主動(dòng)地攻擊和感染在此系統(tǒng)中使用的

磁盤和文件。當(dāng)這些磁盤和文件再用于其他機(jī)

器上時(shí)，又可能將病毒感染到其他系統(tǒng)中。目

前計(jì)算機(jī)病毒的傳播方式主要通過(guò)下列三種載

體進(jìn)行傳播。

-1.網(wǎng)絡(luò)傳播載體

■在計(jì)算機(jī)網(wǎng)絡(luò)中，每一個(gè)分計(jì)算機(jī)系統(tǒng)要通過(guò)與主計(jì)

算機(jī)系統(tǒng)之間的通信線路實(shí)現(xiàn)系統(tǒng)中的數(shù)據(jù)共享，這

個(gè)網(wǎng)絡(luò)中各系統(tǒng)之間的通信線路就構(gòu)成了病毒傳播的

載體，使得病毒能夠在網(wǎng)絡(luò)中傳播。一項(xiàng)由國(guó)際計(jì)算

機(jī)安全協(xié)會(huì)(ICSA,InternationalComputer

SecurityAssociation)所公布的2000年度傳播趨勢(shì)報(bào)

告結(jié)果顯示，電子郵件躍升為計(jì)算機(jī)病毒最主要的傳

播媒介，感染率由1998年的32%,1999年的56%,大幅

成長(zhǎng)至2000年的87%,引人矚目；傳統(tǒng)的經(jīng)由磁盤、網(wǎng)

絡(luò)下載的病毒感染方式則急劇下降。

■2.磁介質(zhì)傳播載體

■這種傳播載體主要有磁帶和磁盤，特別是軟磁

盤。軟磁盤由于其存儲(chǔ)容量大，操作方便，體

積小，便于攜帶，所以被廣泛采用。病毒程序

如果隱藏在軟盤中，隨著該軟盤被拷貝和復(fù)制,

再到不同的計(jì)算機(jī)系統(tǒng)中使用時(shí)，病毒就被傳

播到該計(jì)算機(jī)系統(tǒng)中。目前微型計(jì)算機(jī)上的病

毒傳播，主要就是由軟盤作為媒介進(jìn)行傳播的。

-3.光學(xué)介質(zhì)傳播載體

■隨著激光技術(shù)及磁性介質(zhì)技術(shù)的發(fā)展，光盤、光磁盤

和磁光盤都得到了極大的發(fā)展，這種類型存儲(chǔ)介質(zhì)，

當(dāng)然也就自然成為傳播計(jì)算機(jī)病毒的又一種新的載體。

■計(jì)算機(jī)病毒的傳播是以計(jì)算機(jī)系統(tǒng)的運(yùn)行及讀寫磁盤

為基礎(chǔ)的，沒(méi)有這兩個(gè)先決條件，計(jì)算機(jī)病毒是不會(huì)

傳播的。

■計(jì)算機(jī)不運(yùn)行時(shí)不存在對(duì)磁盤的讀寫或數(shù)據(jù)共享，當(dāng)

然也就無(wú)法傳播病毒了。如果沒(méi)有磁盤的讀寫，病毒

就不能傳入磁性存儲(chǔ)介質(zhì)，或只是駐留于內(nèi)存中，或

只是駐留于存儲(chǔ)設(shè)備之中，孤立地存在，是不會(huì)對(duì)其

他存儲(chǔ)介質(zhì)傳播病毒的。

計(jì)算機(jī)病毒識(shí)別、防止與殺毒軟件

■對(duì)于計(jì)算機(jī)病毒的態(tài)度，和對(duì)待人類的傳染病

一樣，首先應(yīng)該采取“預(yù)防為主”的方針。但

是一旦計(jì)算機(jī)染上了病毒，也不要恐慌，及時(shí)

將病毒清除就可以了。下面介紹計(jì)算機(jī)感染病

毒后產(chǎn)生的現(xiàn)象、預(yù)防計(jì)算機(jī)病毒的措施、檢

測(cè)和清除計(jì)算機(jī)病毒的方法。

■計(jì)算機(jī)病毒的迅猛蔓延，已直接影響到人們對(duì)

計(jì)算機(jī)的應(yīng)用，很多部門也因計(jì)算機(jī)病毒的干

擾，遭受到各種不同程度的破壞和損失，人們

對(duì)計(jì)算機(jī)病毒已然是

■“深惡痛絕”。但計(jì)算機(jī)病毒的隱蔽性和多樣化，又

使得我們對(duì)其產(chǎn)生和發(fā)展趨勢(shì)很難預(yù)測(cè)和估計(jì)。病毒

類型不同，對(duì)計(jì)算機(jī)資源的破壞情況及破壞程度也不

完全一樣。它們可通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)

媒體（磁盤）、內(nèi)存或程序里，當(dāng)某種條件或時(shí)機(jī)成熟

時(shí)，便會(huì)自身復(fù)制并傳播，使計(jì)算機(jī)資源、程序或數(shù)

據(jù)受到損壞。對(duì)計(jì)算機(jī)病毒的防范必須做到消與防相

結(jié)合，管理手段與技術(shù)措施相結(jié)合、個(gè)人道德的加強(qiáng)

與社會(huì)法律保障相結(jié)合，這樣才能有效預(yù)防病毒和防

止病毒的蔓延。

■目前雖然國(guó)內(nèi)外都已推出了一些優(yōu)秀的計(jì)算

機(jī)病毒檢測(cè)和清除軟件，但還是遠(yuǎn)遠(yuǎn)跟不上

計(jì)算機(jī)病毒的發(fā)展速度，因此也就抑制不了

計(jì)算機(jī)病毒的傳播。我們所要做的就是了解

計(jì)算機(jī)病毒的基本構(gòu)成和分類，認(rèn)識(shí)計(jì)算機(jī)

病毒的一般特征，識(shí)別、判斷、分析和處理

由計(jì)算機(jī)病毒引起的“軟故障”，積極、主

動(dòng)地采取一些有效的保護(hù)措施，防止計(jì)算機(jī)

病毒的侵害。

7、8如何預(yù)防計(jì)算機(jī)病毒

-由于計(jì)算機(jī)病毒都是人為制造的，所以預(yù)防計(jì)算機(jī)病

毒的根本是杜絕制造計(jì)算機(jī)病毒。為此，首先要加強(qiáng)

對(duì)使用計(jì)算機(jī)的人的職業(yè)道德教育，同時(shí)制定有關(guān)懲

治計(jì)算機(jī)犯罪的法律，廣大計(jì)算機(jī)用戶也應(yīng)自覺(jué)地向

計(jì)算機(jī)犯罪行為作斗爭(zhēng)。

-除上之外，還需要向使用計(jì)算機(jī)的人員講述防止計(jì)算

機(jī)病毒的基本知識(shí)和具體措施，讓他們自覺(jué)遵守有關(guān)

防止計(jì)算機(jī)病毒的規(guī)章制度。預(yù)防計(jì)算機(jī)病毒的具體

技術(shù)措施如下：

■專機(jī)專用。固定使用系統(tǒng)引導(dǎo)程序的軟盤，不要亂用

啟動(dòng)盤。

■系統(tǒng)要及時(shí)備份。將有用的程序拷貝到軟磁盤及光盤

上，以減少因病毒而造成的損失。

■如果計(jì)算機(jī)有硬盤驅(qū)動(dòng)器，輕易不要用軟盤啟動(dòng)。因

為這是造成硬盤引導(dǎo)區(qū)感染病毒的主要原因。

■如果必須用軟盤啟動(dòng)，應(yīng)當(dāng)始終使用無(wú)病毒的同一啟

動(dòng)軟盤，并且將其寫保護(hù)。軟盤使用完后立即將其從

軟盤驅(qū)動(dòng)器中取出。

■除了要往磁盤中寫東西外，盡量將所有磁盤寫保護(hù)，

防止其他計(jì)算機(jī)病毒的侵入。

-修改可執(zhí)行文件的屬性為只讀文件。

-不要非法復(fù)制和使用來(lái)路不明的軟件，如果有可能的

話，應(yīng)從原創(chuàng)作者處獲取共享軟件、免費(fèi)軟件和公共

域軟件。第一次運(yùn)行一個(gè)新軟件之前，應(yīng)當(dāng)檢查這個(gè)

新軟件是否有病毒。對(duì)不能確定其來(lái)源的文件一定要

進(jìn)行掃描。

■聯(lián)網(wǎng)的計(jì)算機(jī)一旦發(fā)現(xiàn)網(wǎng)上有病毒，要及時(shí)檢測(cè)計(jì)算

機(jī)系統(tǒng)是否已感染上病毒。如果還沒(méi)有感染上病毒，

立即采取防止措施；如果已經(jīng)感染上病毒，要及時(shí)清

除病毒。

■即使已采取了以上所有預(yù)防措施，仍應(yīng)當(dāng)定期掃描檢

查所使用的系統(tǒng)。

7.9計(jì)算機(jī)病毒判定、查解方法

-如何及早地發(fā)現(xiàn)新病毒呢？最基本的是做以下

簡(jiǎn)單判斷：首先應(yīng)注意內(nèi)存情況，因?yàn)榻^大部

分的病毒是要駐留內(nèi)存的，它會(huì)更改基本內(nèi)存

的數(shù)值；其次應(yīng)注意常用的可執(zhí)行文件（如

COMMAND.COM）的字節(jié)數(shù)，因?yàn)榻^大多數(shù)的病毒

在對(duì)文件進(jìn)行傳播后會(huì)使文件的長(zhǎng)度增加。

■對(duì)于軟盤，則應(yīng)注意是否無(wú)故出現(xiàn)壞塊（有些

病毒會(huì)在盤上做壞簇標(biāo)記，以便將其自身部分

隱臧其中）。

■其他如出現(xiàn)軟件運(yùn)行速度變慢（磁盤讀盤速度影響除

外），輸出端口異常等現(xiàn)象都有可能是病毒造成的。最

準(zhǔn)確的方法是查看中斷向量及引導(dǎo)扇區(qū)是否被無(wú)故改

變，當(dāng)然這需要對(duì)系統(tǒng)及磁盤格式有一定的了解。

-理論上對(duì)計(jì)算機(jī)病毒的判定方法分為動(dòng)態(tài)和靜態(tài)兩種。

動(dòng)態(tài)判定方法通常體現(xiàn)在防病毒的產(chǎn)品中，判定的依

據(jù)即是根據(jù)程序功能中是否有“非法操作”。因?yàn)榉?/p>

法與合法操作的行為規(guī)范不可能有明確的劃分界線，

所以防病毒產(chǎn)品只能給出一些輔助性的預(yù)警提示。

■目前所流行的病毒檢測(cè)軟件，幾乎都是采用靜態(tài)的方

法來(lái)進(jìn)行檢測(cè)和判定。其基本思想是對(duì)已發(fā)現(xiàn)的計(jì)算

機(jī)病毒，經(jīng)分析后將其特征代碼取出，形成一個(gè)“病

毒代碼庫(kù)”。當(dāng)對(duì)磁盤及文件進(jìn)行掃描時(shí)，將其內(nèi)容

與庫(kù)中的特征代碼進(jìn)行比較，以此為判定依據(jù)。由于

是用特征代碼的比較來(lái)判定，所以就有漏報(bào)或誤報(bào)的

可能?？梢岳糜?jì)算機(jī)病毒的傳播特性，采用一些簡(jiǎn)

單的方法來(lái)對(duì)磁盤和文件進(jìn)行病毒判定。例如，要判

定某個(gè)啟動(dòng)盤上是否帶病毒，可用該盤啟動(dòng)后，利用

DOS的磁盤復(fù)制命令或某些工具軟件，對(duì)一個(gè)寫保

護(hù)的盤進(jìn)行復(fù)制。

■復(fù)制完成后，對(duì)復(fù)制盤進(jìn)行一些適當(dāng)?shù)淖x操作。

然后，用“干凈的”系統(tǒng)盤進(jìn)行啟動(dòng)，對(duì)二者

進(jìn)行整盤比較，若有差異，則可判定原啟動(dòng)盤

上可能帶有病毒。

■計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)的侵犯，會(huì)使計(jì)算機(jī)

系統(tǒng)的某些部分發(fā)生變化，并一定會(huì)在適當(dāng)?shù)?/p>

時(shí)候表現(xiàn)出來(lái)，因此根據(jù)某些不正常的現(xiàn)象也

可以做到初步判定系統(tǒng)中是否有計(jì)算機(jī)病毒，

比如要經(jīng)常留意：

-屏幕是否顯示異常，出現(xiàn)異常畫面或信息。

■系統(tǒng)啟動(dòng)速度是否比平時(shí)慢。

■磁盤讀寫時(shí)間是否比平時(shí)長(zhǎng)。

-文件是否莫名其妙地丟失或文件長(zhǎng)度增加。

■磁盤是否突然不能引導(dǎo)或系統(tǒng)找不到硬盤。

■磁盤上是否發(fā)現(xiàn)有特殊標(biāo)記或無(wú)故變小。

■運(yùn)行較大程序時(shí)，是否出現(xiàn)特殊信息。

■程序運(yùn)行時(shí)死機(jī)次數(shù)是否增多。

-打印是否異常。

■是否有一些特殊文件名的文件自動(dòng)生成。

N如有上述現(xiàn)象，則需要對(duì)計(jì)算機(jī)系統(tǒng)作進(jìn)一步的病毒

檢測(cè)。

-常用殺毒軟件

■目前防病毒產(chǎn)品分為：防病毒卡和病毒預(yù)警軟件兩大

類。其基本思想都是編寫一段監(jiān)控程序，根據(jù)病毒程

序的一些主要特點(diǎn)，由監(jiān)控程序監(jiān)視其他進(jìn)入內(nèi)存的

程序，當(dāng)發(fā)現(xiàn)這些程序試圖進(jìn)行一些“非法操作”時(shí),

則中止其運(yùn)行，并在屏幕上給出相應(yīng)的提示信息，由

用戶進(jìn)行相應(yīng)的判斷處理。由于新病毒的不斷出現(xiàn)及

殺毒軟件防范的疏漏，所以防病毒軟件只能對(duì)部分病

毒起到一定的輔助預(yù)防作用，不可能杜絕所有病毒的

侵入。

.查解方法

■在一般情況下，計(jì)算機(jī)病毒總是依附某一系

統(tǒng)軟件或用戶程序進(jìn)行繁殖和擴(kuò)散，病毒發(fā)

作時(shí)危及計(jì)算機(jī)的正常工作，破壞數(shù)據(jù)與程

序，侵犯計(jì)算機(jī)資源。計(jì)算機(jī)在感染病毒后,

總是有一定規(guī)律地出現(xiàn)異?，F(xiàn)象。

■屏幕顯示異常，屏幕顯示出不是由正常程序

產(chǎn)生的畫面或字符串，屏幕顯示混亂。程序

裝入時(shí)間增長(zhǎng)，文件運(yùn)行速度下降。用戶沒(méi)

有訪問(wèn)的設(shè)備出現(xiàn)工作信號(hào)。

-磁盤出現(xiàn)莫名其妙的文件和壞塊，卷標(biāo)發(fā)生

變化。

-系統(tǒng)自行引導(dǎo)。

-丟失數(shù)據(jù)或程序，文件字節(jié)數(shù)發(fā)生變化。

?內(nèi)存空間、磁盤空間減小。

■異常死機(jī)。

?磁盤訪問(wèn)時(shí)間比平時(shí)增長(zhǎng)。

-系統(tǒng)引導(dǎo)時(shí)間增長(zhǎng)。

■如果出現(xiàn)上述現(xiàn)象時(shí)，應(yīng)首先對(duì)系統(tǒng)的BOOT

區(qū)、IO.SYS、MSDOS.SYS、COMMAND.COM>.COM

和.EXE文件進(jìn)行仔細(xì)檢查，并與正確的文件

相比較，如有字節(jié)數(shù)增加的現(xiàn)象則可能感染

病毒。然后對(duì)其他文件進(jìn)行檢查，有無(wú)異常現(xiàn)

象，并找出異?，F(xiàn)象的原因。病毒與故障的區(qū)

別是：一般故障只是無(wú)規(guī)律地偶然發(fā)生一次，

而病毒的發(fā)作總是有規(guī)律的。

■與病毒現(xiàn)象類似的軟件故障

■軟件故障的范圍比較廣泛，問(wèn)題出現(xiàn)也比較多。對(duì)軟

件故障的辨認(rèn)和解決也是一件很難的事情，它需要用

戶有相當(dāng)?shù)能浖R(shí)和豐富的上機(jī)經(jīng)驗(yàn)。這里介紹一些

常見(jiàn)的癥狀。

■(1)出現(xiàn)Invaliddrivespecification(非法驅(qū)動(dòng)器號(hào))

-這個(gè)提示是說(shuō)明用戶的驅(qū)動(dòng)器丟失。如果用戶原來(lái)?yè)?/p>

有這個(gè)驅(qū)動(dòng)器，則可能是這個(gè)驅(qū)動(dòng)器的主引導(dǎo)扇區(qū)的

分區(qū)表參數(shù)破壞或是磁盤標(biāo)志50AA被修改。遇到這種情

況用DEBUG或NORTON等工具軟件將正確的主引導(dǎo)扇區(qū)信

息寫入磁盤的主引導(dǎo)扇區(qū)。

-(2)軟件程序已被破壞(非病毒)

■由于磁盤質(zhì)量等問(wèn)題，文件的數(shù)據(jù)部分丟失，而這

程序還能夠運(yùn)行，這時(shí)使用就會(huì)出現(xiàn)不正常現(xiàn)象，

如Format程序被破壞后，若繼續(xù)執(zhí)行，會(huì)格式化出

非標(biāo)準(zhǔn)格式的磁盤，這樣就會(huì)產(chǎn)生一連串的錯(cuò)誤。但

是這種問(wèn)題極為罕見(jiàn)。

■(3)DOS系統(tǒng)配置不當(dāng)

■DOS操作系統(tǒng)在啟動(dòng)時(shí)會(huì)去查找其系統(tǒng)配置文件

CONFIG.SYS,并按其要求配置運(yùn)行環(huán)境。如果系統(tǒng)環(huán)

境設(shè)置不當(dāng)會(huì)造成某些軟件不能正常運(yùn)行，如C/C++

語(yǔ)言系統(tǒng)、AUTOCAD等程序運(yùn)行時(shí)打開(kāi)的文件過(guò)多，

超過(guò)系統(tǒng)默認(rèn)值。

■(4)軟件與DOS版本的兼容性

■DOS操作系統(tǒng)自身的特點(diǎn)是具有向下的兼容性。

但軟件卻不同，許多軟件都要過(guò)多地受其環(huán)境

的限制，在某個(gè)版本下可正常運(yùn)行的軟件，

到另一個(gè)DOS版本下卻不能正常運(yùn)行，許多用

戶就懷疑是病毒引起的。如舊版的2.13漢字系

統(tǒng)，在DOS3.30下運(yùn)行正常，而在DOS6.2

下運(yùn)行會(huì)出現(xiàn)亂碼現(xiàn)象。

(5)引導(dǎo)過(guò)程故障

■系統(tǒng)引導(dǎo)時(shí)屏幕顯示Missingoperating

system(操作系統(tǒng)丟失)，故障原因是硬盤的

主引導(dǎo)程序可完成引導(dǎo)，但無(wú)法找到DOS系統(tǒng)

的引導(dǎo)記錄。造成這種現(xiàn)象的原因是C盤無(wú)引

導(dǎo)記錄及DOS系統(tǒng)文件，或CMOS中硬盤的類型

與硬盤本身的格式化時(shí)的類型不同。需要將系

統(tǒng)文件傳遞到C盤上或修改CMOS配置使系統(tǒng)從

軟盤上引導(dǎo)。

剖析惡意網(wǎng)頁(yè)修改注冊(cè)表的十二種現(xiàn)象

近來(lái)，屢屢發(fā)生網(wǎng)友在瀏覽網(wǎng)頁(yè)時(shí)，造成注

冊(cè)表被修改，使得IE默認(rèn)連接首頁(yè)、標(biāo)題欄及

IE右鍵菜單被改為瀏覽網(wǎng)頁(yè)時(shí)的地址（多為廣

告信息），更有甚者使瀏覽者的電腦在啟動(dòng)時(shí)

出現(xiàn)一個(gè)提示窗口顯示自己的廣告，而且有愈

演愈烈之勢(shì)，遇到這種情況我們?cè)撛鯓愚k呢？

剖析惡意網(wǎng)頁(yè)修改注冊(cè)表的十二種現(xiàn)象

一、注冊(cè)表被修改的原因及解決辦法

■其實(shí)，該惡意網(wǎng)頁(yè)是含有有害代碼的

ActiveX網(wǎng)頁(yè)文件，這些廣告信息的出現(xiàn)是因

為瀏覽者的注冊(cè)表被惡意更改的結(jié)果。

■1、IE默認(rèn)連接首頁(yè)被修改

■1E瀏覽器上方的標(biāo)題欄被改成“歡迎訪

問(wèn)……網(wǎng)站”的樣式，這是最常見(jiàn)的篡改手段,

受害者眾多。

-受到更改的注冊(cè)表項(xiàng)目為：

■HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet

Explorer\Main\StartPage

■HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Main\StartPage

■通過(guò)修改“StartPage”的鍵值，來(lái)達(dá)到修改瀏覽者IE默認(rèn)連

接首頁(yè)的目的，如瀏覽“萬(wàn)花谷”就會(huì)將你的IE默認(rèn)連接首頁(yè)修

改為

"”，即便是出于給自己

的主頁(yè)做廣告的目的，也顯得太霸道了一些，這也是這類網(wǎng)頁(yè)惹

人厭惡的原因。

■解決辦法：

■①在Windows啟動(dòng)后，點(diǎn)擊“開(kāi)始”一“運(yùn)行”菜

單項(xiàng)，在“打開(kāi)”欄中鍵入regedit,然后按“確定”

鍵；

■②展開(kāi)注冊(cè)表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\InternetExplorer'Main下，在右半部分窗口中找

至U串值“StartPage”雙擊,將StartPage的鍵值改

為“about:blank”即可；

■③同理，展開(kāi)注冊(cè)表到

HKEY_CURRENT_USER\Software\Microsoft\In

ternetExplorer\Main,在右半部分窗口中找到串值

"StartPage\然后按②中所述方法處理。

■④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，一切0K了！

特殊例子：當(dāng)IE的起始頁(yè)變成了某些網(wǎng)址后，就算

你通過(guò)選項(xiàng)設(shè)置修改好了，重啟以后又會(huì)變成他們的

網(wǎng)址啦，十分的難纏。其實(shí)他們是在你機(jī)器里加了一

個(gè)自運(yùn)行程序，它會(huì)在系統(tǒng)啟動(dòng)時(shí)將你的IE起始頁(yè)設(shè)

成他們的網(wǎng)站。

■解決辦法：運(yùn)行注冊(cè)表編輯器regedit.exe,

然后依次展開(kāi)

HKEY_LOCAL_MACHINE\Software\Micr

osoft\Windows\CurrentVersion\Run

■主鍵，然后將其下的registry?exe子鍵刪除，

然后刪除自運(yùn)行程序c:\Program

Files\registry.exe,最后從IE選項(xiàng)中重新設(shè)

置起始頁(yè)就好了

■2、篡改IE的默認(rèn)頁(yè)

■有些IE被改了起始頁(yè)后，即使設(shè)置了“使用

默認(rèn)頁(yè)”仍然無(wú)效，這是因?yàn)镮E起始頁(yè)的默認(rèn)

頁(yè)也被篡改啦。具體說(shuō)來(lái)就是以下注冊(cè)表項(xiàng)被

修改：

HKEY_LOCAL_MACHINE\Software\Micr

osoft\Internet

Explorer\Main\Default_Page_URLuDefa

ult_Page_URL”這個(gè)子黯勺鍵值畫起始頁(yè)的

默次頁(yè)

■解決辦法：

■運(yùn)行注冊(cè)表編輯器，然后展開(kāi)上述子鍵，將

“Default_Page_UR”子鍵的鍵值中的那些

篡改網(wǎng)站的網(wǎng)址改掉就好了，或者設(shè)置為IE的

默認(rèn)值。

-3、修改IE瀏覽器缺省主頁(yè)，并且鎖定設(shè)置項(xiàng)，禁止用戶更改回來(lái)。

-主要是修改了注冊(cè)表中IE設(shè)置的下面這些鍵值（DWORD值為1時(shí)

為不可選）：

■[HKEY_CURRENT_USER\Software\Policies\Microsoft\Int

ernetExplorer\ControlPanel]

“Settings”=dword

■[HKEY_CURRENT_USER\Software\Policies\Microsoft\Int

ernetExplorer\ControlPanel]

"Links"=dworcl:l

■[HKEY_CURRENT_USER\Software\Policies\Microsoft\Int

ernetExplorer\ControlPanel]

"SecAddSites"=dworcl:l

■解決辦法：將上面這些DWORD值改為“0”即可恢復(fù)功能。

■4、IE的默認(rèn)首頁(yè)灰色按扭不可選

■這是由于注冊(cè)表

HKEY.USERSX.DEFAULTXSoftwareXPolic

ies\Microsoft\IntemetExplorer\Control

Panel下的DWORD值“homepage”的鍵值

被修改的緣故。原來(lái)的鍵值為“0”，被修改為

“工”（即為灰色不可選狀態(tài)）。

■解決辦法：將“homepage”的鍵值改為

“0”即可。

■5、IE標(biāo)題欄被修改

■在系統(tǒng)默認(rèn)狀態(tài)下，是由應(yīng)用程序本身來(lái)提

供標(biāo)題欄的信息，但也允許用戶自行在上述注

冊(cè)表項(xiàng)目中填加信息，而一些惡意的網(wǎng)站正是

利用了這一點(diǎn)來(lái)得逞的：它們將串值Window

Title下的鍵值改為其網(wǎng)站名或更多的廣告信息,

從而達(dá)到改變?yōu)g覽者IE標(biāo)題欄的目的。

■具體說(shuō)來(lái)受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\InternetExplorer\Main\WindowTitle

HKEY_CURRENT_USER\Software\Microsoft\In

ternetExplorer\Main\WindowTitle

■解決辦法：

■①在Windows啟動(dòng)后，點(diǎn)擊“開(kāi)始”一“運(yùn)行”菜

單項(xiàng)，在“打開(kāi)”欄中鍵入regedit,然后按“確定”

鍵；

-②展開(kāi)注冊(cè)表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\InternetExplorer\MainT,在右半部分窗口中找

到串值“WindowTitle”，將該串值刪除即可，或?qū)?/p>

WindowTitle的鍵值改為“IE瀏覽器”等你喜歡的

名字；

-③同理，展開(kāi)注冊(cè)表到

HKEY_CURRENT_USER\Software\Microsoft\In

ternetExplorer\Main然后按②中所述方法處理。

■④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，運(yùn)行IE,你

會(huì)發(fā)現(xiàn)困擾你的問(wèn)題解決了！

■6、IE右鍵菜單被修改

■受到修改的注冊(cè)表項(xiàng)目為：

HKEY_CURRENT_USER\Software\Micro

soft\InternetExplorer'MenuExt下被新建

了網(wǎng)頁(yè)的廣告信息，并由此在IE右鍵菜單中出

現(xiàn)！

■解決辦法：打開(kāi)注冊(cè)標(biāo)編輯器，找到

HKEY_CURRENT_USER\Software\Micro

soft\InternetExplorer\MenuExt

■刪除相關(guān)的廣告條文即可，注意不要把下載軟

件FlashGet和Netants也刪除掉啊，這兩個(gè)

可是“正常”的呀，除非你不想在IE的右鍵菜

單中見(jiàn)到它們。

■7、IE默認(rèn)搜索引擎被修改

■在IE瀏覽器的工具欄中有一個(gè)搜索引擎的工具按鈕，

可以實(shí)現(xiàn)網(wǎng)絡(luò)搜索，被篡改后只要點(diǎn)擊那個(gè)搜索工具

按鈕就會(huì)鏈接到那個(gè)篡改網(wǎng)站。

出現(xiàn)這種現(xiàn)象的原因是以下注冊(cè)表被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\I

nternet

Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\I

nternet

Explorer\Search\SearchAssistant

-解決辦法：運(yùn)行注冊(cè)表編輯器，依次展開(kāi)上述

子鍵，將“CustomizeSearch”和

“SearchAssistant”的鍵值改為某個(gè)搜索引

擎的網(wǎng)址即可。

■8、系統(tǒng)啟動(dòng)時(shí)彈出對(duì)話框

■受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\Winlogon

■在其下被建立了字符串“LegalNoticeCaption”和

LegaINoticeText55,其中“LegaINoticeCaption”

是提示框的標(biāo)題，“LegalNoticeText”是提示框的文

本內(nèi)容。由于它們的存在，就使得我們每次登陸到

Windwos桌面前都出現(xiàn)一個(gè)提示窗口，顯示那些網(wǎng)頁(yè)

的廣告信息！你瞧，多討厭??！

-解決辦法：打開(kāi)注冊(cè)表編輯器，找到

HKEY_LOCAL_MACHINE\Software\Micr

osoft\Windows\CurrentVersion\Winlog

on

■這一個(gè)主鍵，然后在右邊窗口中找到

“LegalNoticeCaption”和

“LegalNoticeText”這兩個(gè)字符串，刪除這

兩個(gè)字符串就可以解決在登陸時(shí)出現(xiàn)提示框的

現(xiàn)象了。

■9、瀏覽網(wǎng)頁(yè)注冊(cè)表被禁用這是由于注冊(cè)表

HKEY_CURRENT_USER\Software\Microsoft\Windows\C

urrentVersion\Po

licies'SysterrT卜的DWORD值“DisableRegistryTools”被修

改為“1”的緣故，將其鍵值恢復(fù)為“0”即可恢復(fù)注冊(cè)表的使用。

■解決辦法：用記事本程序建立以REG為后綴名的文件，將下面這

些內(nèi)容復(fù)制在

其中就可以了：

■REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\System]uDisableRegi

stryTools,9=dword:00000000

10、瀏覽網(wǎng)頁(yè)開(kāi)始菜單被修改

這是最“狠”的一種，讓瀏覽者有生不如死的感

覺(jué)。瀏覽后不僅有類似上面所說(shuō)的那些癥狀，還會(huì)有

以下更悲慘的遭遇：

1）禁止“關(guān)閉系統(tǒng)”

2）禁止“運(yùn)行”

3）禁止“注銷”

4）隱藏C盤—你的C盤找不到了！

5）禁止使用注冊(cè)表編輯器regedit

6）禁止使用DOS程序

7）使系統(tǒng)無(wú)法進(jìn)入“實(shí)模式”

8）禁止運(yùn)行任何程序

-具體的原因和解決辦法請(qǐng)看天極網(wǎng)e企業(yè)之安

全之路欄目的這篇文章：《瀏覽網(wǎng)頁(yè)注冊(cè)表被

修改之迷及解決辦法》。

■以上是比較常見(jiàn)的修改瀏覽者注冊(cè)表的現(xiàn)

象，今天在瀏覽網(wǎng)頁(yè)時(shí)，無(wú)意中來(lái)到某個(gè)個(gè)人

網(wǎng)站，又遇到了以前沒(méi)有碰到過(guò)的問(wèn)題：

■11>IE中鼠標(biāo)右鍵失效

■瀏覽網(wǎng)頁(yè)后在IE中鼠標(biāo)右鍵失效，點(diǎn)擊右鍵沒(méi)有任

何反應(yīng)！

■12、查看““源文件”菜單被禁用

■在IE窗口中點(diǎn)擊“查看”一“源文件”，發(fā)現(xiàn)“源

文件”菜單已經(jīng)被禁用。

我在瀏覽網(wǎng)頁(yè)時(shí)并沒(méi)有注意到上面這兩個(gè)問(wèn)題，

因?yàn)楫?dāng)時(shí)正好朋友叫我有事，于是我就退出電腦了，

晚上吃完飯開(kāi)啟電腦連線上網(wǎng)，就發(fā)

現(xiàn)IE中鼠標(biāo)右鍵失效，“查看”菜單中的“源文件”

被禁用。不能查看源文件也就罷了，但是無(wú)法使用鼠

標(biāo)右鍵真是太不方便了。得想個(gè)辦法！

■于是到注冊(cè)表中一番搜尋，經(jīng)過(guò)一番查找終于

弄明白了問(wèn)題的所在。

■原來(lái)，惡意網(wǎng)頁(yè)修改了我的注冊(cè)表，具體的位

置為：在注冊(cè)表

HKEY_CURRENT_USER\Software\Polici

es\Microsoft\InternetExplorer下建立子

鍵“Restrictions”，然后在“Restrictions”

下面建立兩個(gè)DWORD值：“NoViewSource9

和“NoBrowserContextMenu”，并為

這兩個(gè)DWORD值賦值為“1”。

■在注冊(cè)表

HKEY_USERS\.DEFAULT\Software\Policies\Mi

crosoft\IntemetExplorer'Restrictions下，將兩

個(gè)DWORD值：“NoViewSource”和

“NoBrowserContextMenu”的鍵值者B改為了“工”。

■通過(guò)上面這些鍵值的修改就達(dá)到了在IE中使鼠標(biāo)

右鍵失效，使“查看”菜單中的“源文件”被禁用的

目的。要向你說(shuō)明的是第2點(diǎn)中提到的注冊(cè)表其實(shí)相當(dāng)

于第1點(diǎn)中提到的注冊(cè)表的分支，修改第1點(diǎn)中所說(shuō)的

注冊(cè)表鍵值，第2點(diǎn)中注冊(cè)表鍵值隨之改變。

-解決辦法：明白了道理，問(wèn)題解決起來(lái)就容易多了，具體解決辦

法為：將以下內(nèi)容另存為后綴名為reg的注冊(cè)表文件，比方說(shuō)

unlock.reg,雙擊unlock.reg導(dǎo)入注冊(cè)表，不用重啟電腦，重

新運(yùn)行IE就會(huì)發(fā)現(xiàn)IE的功能恢復(fù)正常了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\In

ternetExplorer\Restrictions]

“NoViewSource,9=dword:00000000

"NoBrowserContextMenu"=dworcl:00000000

■[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\I

nternetExplorer'Restrictions]

^NoViewSource”=dword:00000000

uNoBrowserContextMenu9,=dword:00000000

■要特別注意的是，在你編制的注冊(cè)表文件

unlock.reg中，“REGEDIT4”一定要大寫，

并且它的后面一定要空一行，還有，

“REGEDIT4”中的“4”和“T”之間一定不能

有空格，否則將前功盡棄！許多朋友寫注冊(cè)表

文件之所以不成功，就是因?yàn)闆](méi)有注意到上面

所說(shuō)的內(nèi)容，這回該注意點(diǎn)嘍。請(qǐng)注意如果你

是WM2000或WinXP用戶，請(qǐng)將

“REGEDIT4”改為WindowsRegistry

EditorVersion5.00。改回被惡意網(wǎng)頁(yè)修改

的注冊(cè)表

■方法:方法一:打開(kāi)www.372Lcom.cri網(wǎng)站找

到其它產(chǎn)品菜單一上網(wǎng)肋手一“E修復(fù)■■修復(fù)被

修改瀏覽器方法二:使用金山毒霸注冊(cè)表修復(fù)

工具修復(fù)注冊(cè)表

http:〃/dowriload/o

thertools/DubaRegSolve.EXE

http:〃/download/o

thertools/DubaRegSolve.EXE

謹(jǐn)防震蕩波變種E和震蕩波清除者病毒

-計(jì)算機(jī)病毒“震蕩波”出現(xiàn)后，近期又出現(xiàn)了

“震蕩波”變種E和“震蕩波清除者”病毒。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心16日發(fā)布了這兩

個(gè)病毒的技術(shù)報(bào)告，提醒廣大用戶要及時(shí)采取

相關(guān)措施。

■病毒名稱：“震蕩波清除

者"(Worm_Cyde?A)

■感染系統(tǒng)：

Win2000/WinXP/Win2003/WinNT4.0

■病毒特征：

■1＞生成病毒文件

■病毒在%)system%)目錄下生成自身的拷svchost.exe,還在

%Windows%目錄下生成文件cyclone,txt。

-2、修改注冊(cè)表項(xiàng)

■病毒創(chuàng)建注冊(cè)表項(xiàng)，使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window

s'CurrentVersion'Run下倉(cāng)犍"GenericHost

Service,,=u%%system%\svchost.exe,,HKEY_CURRENT_

USER\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run下創(chuàng)建"GenericHost

Service”="％)system%)\svchost?exe”

■3、通過(guò)系統(tǒng)漏洞主動(dòng)進(jìn)行傳播

■病毒在TCP/3332端口開(kāi)啟后門服務(wù)，接受連接，

在UDP/69端口上運(yùn)行一個(gè)TFTP服務(wù)器下載蠕蟲副本。

病毒對(duì)外連接隨機(jī)產(chǎn)生主機(jī)的TCP/445端口，去感染

其他的主機(jī)。

■4、終止進(jìn)程

■病毒會(huì)終止以下進(jìn)程，msblast.exe>

avserve.exe>avserve2.exe和skynetave.exe,

這些進(jìn)程是“沖擊波，”震蕩波,,病毒及他們的變種創(chuàng)

建的。

■5、發(fā)動(dòng)DoS攻擊

■當(dāng)系統(tǒng)時(shí)間為5月18日，病毒將對(duì)網(wǎng)站

和發(fā)

動(dòng)DoS攻擊。

-病毒名稱：“震蕩波”變種

E(Worm_Sasser.E)

■感染系統(tǒng)：Win2000/WinXP

■病毒特征：

■工、生成病毒文件

■病毒運(yùn)行后，目錄下生成自身的拷貝,

名稱為L(zhǎng)SASSS.EXE。

■修改注冊(cè)表項(xiàng)病毒創(chuàng)建注冊(cè)表項(xiàng)，使得自身能夠在系

統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，在

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\RunT^JM

“LSASSS.EXE”=%System%\LSASSS.EXE

■3、通過(guò)系統(tǒng)漏洞主動(dòng)進(jìn)行傳播

■病毒通過(guò)在已被感染的機(jī)器上開(kāi)啟TCP端口

1023建立一個(gè)FTP服務(wù)器（機(jī)器A）,用來(lái)作為

感染其它機(jī)器的服務(wù)器。并通過(guò)TCP445端口

掃描隨機(jī)的IP,當(dāng)發(fā)現(xiàn)存在漏洞的系統(tǒng)連接成

功時(shí)，被感染的計(jì)算機(jī)（機(jī)器A）向連接成功的

機(jī)器（機(jī)器B）發(fā)動(dòng)攻擊，被攻擊的計(jì)算機(jī)（機(jī)器

B）將會(huì)自動(dòng)連接已被感染計(jì)算機(jī)（機(jī)器A）的

1023端口并通過(guò)FTP下載蠕蟲的拷貝。數(shù)據(jù)

包會(huì)運(yùn)行一個(gè)可打開(kāi)1022端口的遠(yuǎn)程殼。

■4、危害性

■受感染的系統(tǒng)可能會(huì)出現(xiàn)倒計(jì)時(shí)對(duì)話框，頻

繁重新啟動(dòng)，系統(tǒng)運(yùn)行速度明顯減慢或死機(jī)，

上網(wǎng)只能持續(xù)很短時(shí)間就無(wú)法瀏覽甚至斷網(wǎng)等

現(xiàn)象。病毒會(huì)對(duì)網(wǎng)絡(luò)性能有一定影響，尤其局

域網(wǎng)可能造成網(wǎng)絡(luò)癱瘓。

■清除該病毒的相關(guān)建議：

■1、安全模式啟動(dòng)

■重新啟動(dòng)系統(tǒng)同時(shí)按下按F8鍵，進(jìn)入系統(tǒng)安全

模式

■2、注冊(cè)表的恢復(fù)點(diǎn)擊“開(kāi)始一〉運(yùn)行"，輸

入regedit,運(yùn)行注冊(cè)表編輯器，依次雙擊左側(cè)

的

HKEY_LOCAL_MACHINE>Software>Mic

rosoft>Windows>CurrentVersion>Run,

并刪除右側(cè)面板中的“LSASSS.EXE”二

^SystemRoot%\LSASSS.EXE

-3、刪除病毒釋放的文件

■點(diǎn)擊“開(kāi)始一〉查找一〉文件和文件夾”，查找文件

“LSASSS.EXE”，并將找到的文件刪除。

■4、安裝系統(tǒng)補(bǔ)丁程序

■到以下微軟網(wǎng)站下載安裝補(bǔ)丁程序：

/technet/security/

bulletin/MS04-011.mspx,或者在IE瀏覽器的工

>->WindowsUpdate升級(jí)系統(tǒng)。

■5、重新配置防火墻

■重新配置邊界防火墻或個(gè)人防火墻，關(guān)閉TCP端

口1022和1023。

▲般的預(yù)防方法:

單位里用電腦堅(jiān)決反對(duì)安裝盜版游戲，盜版游戲光

盤是計(jì)算機(jī)病毒的主要攜帶者。一些用于教學(xué)用的游

戲光盤，也一定要經(jīng)過(guò)本部門專業(yè)人員查毒、殺毒后

才能安裝使用。

-軟盤必須經(jīng)過(guò)查毒、殺毒才能將文件拷入硬盤使用。

mail附件中的*,exe文件，不要運(yùn)行，直接將信件刪除。

-添置正版殺毒軟件，用它的DOS版命令查殺硬盤引導(dǎo)

區(qū)病毒。

■要經(jīng)常從網(wǎng)絡(luò)中下載正版殺毒軟件的升級(jí)文件，及時(shí)

更新你的殺毒軟件，一般每月至少一至兩次。

■安裝實(shí)時(shí)監(jiān)控殺毒軟件，動(dòng)態(tài)監(jiān)視軟盤、硬盤、網(wǎng)絡(luò)

以及Email中可能出現(xiàn)的病毒。這種預(yù)防方法對(duì)硬件

的要求比較高，如內(nèi)存、硬盤要大一些，……

■安裝病毒疫苗，比如安裝CIH病毒疫苗,沖擊波震蕩波

補(bǔ)丁。

■購(gòu)買能夠防止一些病毒危害的電腦主板，如雙BIOS主

板、防主引導(dǎo)區(qū)病毒感染主板等等。

-硬盤盡量要分區(qū)，主區(qū)（C盤）最好劃成5G以內(nèi)，平時(shí)

的工作數(shù)據(jù)一定要存放在硬盤的擴(kuò)展分區(qū)內(nèi)（如D盤）。

即便是CIH病毒發(fā)作，現(xiàn)有的技術(shù)還是可以將硬盤數(shù)

據(jù)予以恢復(fù)。當(dāng)然恢復(fù)的程度，視具體的情況而定。