版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
第7章計(jì)算機(jī)病毒與防護(hù)
7.1計(jì)算機(jī)病毒簡(jiǎn)介
7.2計(jì)算機(jī)病毒定義
7.3計(jì)算機(jī)病毒和特征
7.4計(jì)算機(jī)病毒的產(chǎn)生
7.5計(jì)算機(jī)病毒分類與命名
7.6計(jì)算機(jī)病毒的傳播方式
7.7計(jì)算機(jī)病毒識(shí)別、防止與殺毒軟件
7.8如何預(yù)防計(jì)算機(jī)病毒
7.9計(jì)算機(jī)病毒判定、定解方法
隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展和計(jì)算機(jī)
應(yīng)用領(lǐng)域的日益擴(kuò)大,計(jì)算機(jī)病毒已經(jīng)成
為當(dāng)前社會(huì)的一大公害。了解計(jì)算機(jī)病毒
的來(lái)源,認(rèn)識(shí)計(jì)算機(jī)病毒的危害性,懂得
防治計(jì)算機(jī)病毒的措施,掌握消除計(jì)算機(jī)
病毒的方法,這將是每個(gè)計(jì)算機(jī)使用者的
必修課。
返回首頁(yè)
.7.1計(jì)算機(jī)病毒簡(jiǎn)介
?1983年11月,在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上,美
國(guó)計(jì)算機(jī)安全專家首次提出計(jì)算機(jī)病毒的概念,并在
VAX/750上進(jìn)行了實(shí)驗(yàn),以證明計(jì)算機(jī)病毒的傳播、破
壞特性。1988年發(fā)生在美國(guó)的“蠕蟲病毒”事件,給計(jì)
算機(jī)技術(shù)的發(fā)展罩上了一層陰影。蠕蟲病毒由美國(guó)
CORNELL大學(xué)研究生莫里斯編寫,雖然并無(wú)惡意,但在
當(dāng)時(shí),在Internet上大肆傳播,使得數(shù)千臺(tái)聯(lián)網(wǎng)的計(jì)算
機(jī)停止了運(yùn)行,造成巨額損失,成為一時(shí)的輿論焦點(diǎn)。
隨著時(shí)間的推移,計(jì)算機(jī)病毒的種類越來(lái)越多,在后來(lái)
不到三年的時(shí)間內(nèi),世界上出現(xiàn)了“巴基斯坦智囊”、
“黑色星期五”、“雨點(diǎn)”、“磁盤殺手”、“音樂(lè)”、
“揚(yáng)基都督”等數(shù)百種不同傳播和發(fā)作類型的病毒。
返回本節(jié)
計(jì)算機(jī)病毒在全球廣泛傳播的過(guò)程中,中國(guó)也未能幸免。
最初引起人們注意的病毒是80年代末出現(xiàn)的“黑色星
期五”、“米氏病毒”、“小球病毒”和“CIH病毒”
等。因當(dāng)時(shí)軟件種類不多,用戶之間的軟件交流較為
頻繁且反病毒軟件不普及,所以造成病毒的廣泛流行。
據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)估計(jì),全世界每周至少產(chǎn)生
7?10種計(jì)算機(jī)病毒。如今,在計(jì)算機(jī)上流行的各種病
毒已超過(guò)一萬(wàn)種,它們正在威脅著計(jì)算機(jī)的安全。研
制殺毒軟件和預(yù)防計(jì)算機(jī)病毒的措施已經(jīng)成為目前計(jì)
算機(jī)安全的新課題。
返回首頁(yè)
7.2計(jì)算機(jī)病毒定義
計(jì)算機(jī)病毒與醫(yī)學(xué)上的病毒不同,它不是天然存在的,
而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性,編
制成的具有特殊功能的程序。但由于它與生物醫(yī)學(xué)上
的病毒同樣有傳播和破壞的特性,因此就把病毒這一
名詞由生物醫(yī)學(xué)上引申到計(jì)算機(jī)領(lǐng)域中來(lái)。
計(jì)算機(jī)病毒的出現(xiàn)曾經(jīng)引起許多人的恐慌,個(gè)別人甚至
對(duì)計(jì)算機(jī)的發(fā)展前途失去了信心;與此同時(shí),也有一
部分人對(duì)計(jì)算機(jī)病毒滿不在乎。其實(shí),這兩種態(tài)度都
是片面的。對(duì)待計(jì)算機(jī)病毒應(yīng)該是用科學(xué)的方法分析
它,找出清除它的辦法,采取積極的預(yù)防措施,進(jìn)而
提高系統(tǒng)自身的可靠性。
那么,到底什么是計(jì)算機(jī)病毒呢?計(jì)算機(jī)病毒的本質(zhì)是
一種具有自我繁殖能力的指令代碼,這種指令代碼侵
入計(jì)算機(jī)系統(tǒng)后,會(huì)破壞計(jì)算機(jī)的正常運(yùn)行,毀壞計(jì)
算機(jī)中的數(shù)據(jù),并且通過(guò)自我復(fù)制和數(shù)據(jù)共享的手段
傳染給其他程序。
1994年2月18日,我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)
計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,在《條例》第二十
八條中明確指出:“計(jì)算機(jī)病毒,是指編制或者在計(jì)
算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),
影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或
者程序代碼。”此定義具有法律性、權(quán)威性。
*7.3計(jì)算機(jī)病毒特征
從上述對(duì)計(jì)算機(jī)病毒的描述中可以看出,計(jì)算機(jī)病毒具
有以下幾大特性:
1.程序性
計(jì)算機(jī)病毒實(shí)際上是一組指令代碼,即一段寄生在可執(zhí)
行的目標(biāo)程序上的程序。
2.破壞性
任何病毒只要侵入系統(tǒng),都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程
度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率,占用系
統(tǒng)資源,干擾計(jì)算機(jī)的正常運(yùn)行,重者可導(dǎo)致系統(tǒng)崩
潰。由此特性可將病毒分為良性病毒與惡性病毒。
3.傳染性
計(jì)算機(jī)病毒一旦發(fā)作,會(huì)將自身復(fù)制到內(nèi)存、硬盤、軟
盤甚至所有的文件中,使其他程序也感染上病毒。如
果網(wǎng)上有了計(jì)算機(jī)病毒,可以傳染到網(wǎng)上所有的計(jì)算
機(jī)。如果一張軟磁盤感染了病毒,它可以傳染到所有
使用這張軟磁盤的計(jì)算機(jī)上。傳染性是計(jì)算機(jī)病毒的
重要特性之一。
4.隱蔽性
計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)以后,常常不是立即發(fā)作,
而是附在正常程序中或磁盤較隱蔽的地方,也有個(gè)別
的以隱含文件形式出現(xiàn)。這樣做的目的是不讓用戶
發(fā)現(xiàn)它的存在,使它可以有足夠的時(shí)間對(duì)系統(tǒng)進(jìn)行破壞
和實(shí)現(xiàn)傳染。而這種破壞和傳染的過(guò)程用戶往往是感
覺(jué)不到的,只有當(dāng)系統(tǒng)出現(xiàn)不正常反映時(shí)用戶才有所
察覺(jué)。
■5.潛伏性
■計(jì)算機(jī)病毒侵入計(jì)算機(jī)以后,可潛伏在合法的文件中
并不立即發(fā)作。在潛伏期間,計(jì)算機(jī)病毒并不急于表
現(xiàn)自己或起破壞作用,而是使一些正常的程序感染病
毒,成為計(jì)算機(jī)病毒的“攜帶者”。經(jīng)過(guò)一段時(shí)間或
一旦滿足了某些條件,病毒便開(kāi)始發(fā)作。觸發(fā)計(jì)算機(jī)
病毒的條件可以是一個(gè),也可以是多個(gè)。
返回本節(jié)
■計(jì)算機(jī)病毒的觸發(fā)條件可以是某個(gè)日期、某個(gè)
時(shí)間、某個(gè)事件的出現(xiàn)或某個(gè)文件的使用次數(shù)
等特定的軟硬件環(huán)境。各種病毒的潛伏期也不
相同,短者數(shù)天、數(shù)月,長(zhǎng)者可達(dá)數(shù)年之久。
如“PETER-2”在每年2月27日會(huì)提3個(gè)問(wèn)題,
答錯(cuò)后會(huì)將硬盤加密。著名的“黑色星期五”
在逢13號(hào)的星期五發(fā)作。國(guó)內(nèi)的“上海一號(hào)”
會(huì)在每年三、六、九月的13日發(fā)作。這些病毒
在平時(shí)會(huì)隱臧得很好,只有在發(fā)作日才會(huì)露出
本來(lái)面目。
6.寄生性
計(jì)算機(jī)病毒可以寄生在某個(gè)程序上,一般它不是獨(dú)立存
在的。當(dāng)把感染了病毒的程序裝入計(jì)算機(jī)時(shí),病毒便
隨之進(jìn)入了系統(tǒng)。而這種進(jìn)入是在非授權(quán)的情況下與
它所寄生的程序一起混進(jìn)系統(tǒng)的。
7.不可預(yù)測(cè)性
從對(duì)病毒的檢測(cè)方面來(lái)看,病毒還有不可預(yù)測(cè)性。不同
種類的病毒,它們的代碼千差萬(wàn)別,但有些操作是共
有的(如駐內(nèi)存,改中斷)。有些人利用病毒的這種共
性,制作了聲稱可查所有病毒的程序。這種程序的確
可查出一些新病毒,但由于目前的軟件種類極其豐
富,且某些正常程序也使用了類似病毒的操作甚至借鑒
了某些病毒的技術(shù),因此使用這種查毒程序?qū)Σ《具M(jìn)
行檢測(cè)勢(shì)必會(huì)造成較多的誤報(bào)情況。何況病毒的制作
技術(shù)也在不斷的提高,病毒對(duì)反病毒軟件永遠(yuǎn)是超前
的,因此可查所有病毒的程序顯然是不存在的。
總之,一般正常的程序是由用戶調(diào)用,再由系統(tǒng)分配資
源,完成用戶交給的任務(wù)。其目的對(duì)用戶是可見(jiàn)的、
透明的。而病毒具有正常程序的一切特性,隱藏在正
常程序中,當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制
權(quán),先于正常程序執(zhí)行,其動(dòng)作、目的對(duì)用戶是未知
的,是未經(jīng)用戶允許的。
7.4計(jì)算機(jī)病毒的產(chǎn)生
-計(jì)算機(jī)病毒是隨著人們對(duì)計(jì)算機(jī)軟件硬件內(nèi)部機(jī)制的
不斷深入研究而產(chǎn)生的,是人為制造的,它的來(lái)源大
致有以下幾種。
1.“開(kāi)玩笑”
■某些愛(ài)好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技術(shù)精通的人士,為了炫
耀自己的高超技術(shù)和智慧,憑借對(duì)軟件硬件的深入了
解,編制某些特殊的程序。這些程序通過(guò)載體傳播出
去后,在一定條件下被觸發(fā)。如顯示一些動(dòng)畫,播放
一段音樂(lè),或提一些智力問(wèn)答題目等,其目的無(wú)非是
自我表現(xiàn)一下。但一旦這種計(jì)算機(jī)病毒發(fā)生,連他們
自己也無(wú)法控制。
5.報(bào)復(fù)
■有些人因?yàn)楣ぷ骰蛏钌系牟豁樞模蛘邔?duì)社
會(huì)不滿或受到不公正的待遇,于是產(chǎn)生報(bào)復(fù)心
理。如果這種情況發(fā)生在一個(gè)編程高手身上,
那么他就有意編制一些危險(xiǎn)的程序(程序中加
上計(jì)算機(jī)病毒),借以達(dá)到報(bào)復(fù)的目的。在國(guó)
外有這樣的事例:某公司職員在職期間編制了
一段代碼隱藏在其公司的系統(tǒng)中,一旦檢測(cè)到
他的名字在工資報(bào)表中被刪除,該程序立即發(fā)
作,破壞整個(gè)系統(tǒng)。類似案例在國(guó)內(nèi)也出現(xiàn)過(guò)。
-3.非法復(fù)制軟件帶來(lái)的后果
■計(jì)算機(jī)發(fā)展初期,法律上對(duì)于軟件版權(quán)保護(hù)還沒(méi)有像
今天這樣完善,很多商業(yè)軟件被復(fù)制。在這種情況下
有些開(kāi)發(fā)商為了保護(hù)自己的利益,在自己開(kāi)發(fā)的軟件
產(chǎn)品中加上了病毒程序,當(dāng)有人對(duì)該軟件進(jìn)行非法復(fù)
制時(shí),病毒便被觸發(fā),以此來(lái)報(bào)復(fù)非法復(fù)制者。如
“巴基斯坦病毒”,其制作者就是為了追蹤那些非法
拷貝他們產(chǎn)品的用戶。所以有些人為了貪圖便宜,通
過(guò)不正當(dāng)?shù)那蕾?gòu)買廉價(jià)軟件或非法復(fù)制別人的軟件,
也可能會(huì)使他的計(jì)算機(jī)感染上病毒。
-4.用于特殊目的
■某組織或個(gè)人為達(dá)到特殊目的,如為了對(duì)政府
機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行宣傳或破壞,為了
軍事目的,為了增加自己網(wǎng)站的訪問(wèn)量等,而
編寫病毒程序。有人利用Java和ActiveX的特
性編寫的Java病毒就是為了讓別人訪問(wèn)他的網(wǎng)
站。
-總之,計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)犯罪的一種
表現(xiàn)形式,具有一定的社會(huì)根源。
計(jì)算機(jī)病毒分類與命名
-1.計(jì)算機(jī)病毒的類型
■從第一個(gè)計(jì)算機(jī)病毒出世以來(lái),病毒的數(shù)量一直在不
斷增加。至今究竟世界上有多少種計(jì)算機(jī)病毒,說(shuō)法
不一,分類的方法也很多。下面僅舉兩種分類方法,
介紹幾種常見(jiàn)的計(jì)算機(jī)病毒類型。
-(1)按破壞的后果分類
-良性病毒:這類病毒大多是惡作劇的產(chǎn)物。病毒發(fā)作
時(shí),只是占用大量CPU資源和內(nèi)存資源,降低計(jì)算機(jī)的
運(yùn)行速度,或在屏幕上出現(xiàn)干擾性的圖形或文字。這
類病毒一般不破壞系統(tǒng)數(shù)據(jù),只起到一些干擾作用。
一旦消除,系統(tǒng)即可恢復(fù)正常工作。
惡性病毒:這種病毒具有較強(qiáng)的破壞性。病毒發(fā)作時(shí),
破壞系統(tǒng)數(shù)據(jù),刪改系統(tǒng)文件,重新格式化硬盤等。
由于這種病毒的破壞性較強(qiáng),即使消除了病毒之后,
系統(tǒng)也難以恢復(fù),一般需要重新安裝。
(2)按寄生方式分類
引導(dǎo)型病毒:這類病毒一般藏匿在磁盤片或硬盤的系
統(tǒng)引導(dǎo)區(qū)。計(jì)算機(jī)系統(tǒng)感染上這種病毒后,病毒就用
其自身取代引導(dǎo)區(qū)的引導(dǎo)記錄,而把原來(lái)操作系統(tǒng)的
引導(dǎo)記錄轉(zhuǎn)移到磁盤的其他空間。當(dāng)啟動(dòng)計(jì)算機(jī)系統(tǒng)
時(shí),首先執(zhí)行病毒程序,然后再執(zhí)行引導(dǎo)記錄。這類
病毒流傳較廣。如常見(jiàn)的“小球病毒”、“大麻病毒”
等,都屬于這一類病毒。
返回本節(jié)
-文件型病毒:這類病毒是一種專門傳染可執(zhí)行文件
(.COM、.EXE、.SYS等)的病毒。在用戶調(diào)用染毒的可
執(zhí)行文件時(shí),病毒首先被運(yùn)行,然后病毒駐留內(nèi)存伺
機(jī)傳播給其他文件或直接傳播給其他文件。其特點(diǎn)是
附著于正常程序文件,而成為程序文件的一個(gè)外殼或
部件。這種類型病毒又分為外殼型、侵入型等。外殼
型病毒流傳較廣,通常寄生在可執(zhí)行文件尾部,執(zhí)行
一次染毒程序,就繁殖一次,使正常程序染上病毒。
這種病毒發(fā)作時(shí),占用大量的CPU時(shí)間,使計(jì)算機(jī)無(wú)法
運(yùn)行。由于這種病毒自身的復(fù)制品包圍在主程序的
-周圍,故得此名,例如,“耶路撒冷”病毒就屬于這
一類。侵入型病毒是將自身的復(fù)制品侵入到現(xiàn)有的程
序中,對(duì)文件的內(nèi)容進(jìn)行刪除或修改,導(dǎo)致計(jì)算機(jī)無(wú)
法正常工作。
■混合型病毒:混合型病毒兼有以上兩種病毒的特點(diǎn),
既染毒引導(dǎo)區(qū)又染毒文件,又可以侵入到可執(zhí)行文件
中,以此擴(kuò)大其傳播途徑(如1997年國(guó)內(nèi)流傳較廣的
“TPVO-3783(SPY)”病毒)。
-計(jì)算機(jī)病毒還有其他的分類方法,例如按病毒的觸發(fā)
條件、按連接方式、時(shí)代特征進(jìn)行分類等,這里不再
詳述。
■2.計(jì)算機(jī)病毒命名
■對(duì)計(jì)算機(jī)病毒的命名,各個(gè)反病毒軟件不盡相
同,有時(shí)對(duì)同一種病毒不同的反病毒軟件會(huì)報(bào)
出不同的名稱。如對(duì)于“SPY”病毒,KILL起名
為“SPY”,KV300則叫“TPVO-3783”。
■給病毒命名的方法不外乎以下幾種:
■按病毒中出現(xiàn)的人名或特征字符命名,如
“ZHENJIANG-JES”其發(fā)作地點(diǎn)最先來(lái)自鎮(zhèn)江某
用戶。又如“ZHANGFANGT535”、“DISK
KILLER”、“上海一號(hào)”等都是這種命名法。
■按病毒發(fā)作的時(shí)間命名,如“NOVEMBER9TH”
在11月9日發(fā)作。
■按包含病毒代碼的長(zhǎng)度命名,如“PIXEL.xxx”
系列、“KO.xxx”系列等。
■按病毒發(fā)作時(shí)的癥狀命名,如“火炬”、“蠕
蟲”。
■3,計(jì)算機(jī)病毒分析
■計(jì)算機(jī)病毒的種類雖然很多,但對(duì)病毒代碼進(jìn)
行分析、比較可以看出,病毒代碼短小,其主
要結(jié)構(gòu)是類似的,都包含三部分:引導(dǎo)部分、
傳播部分、表現(xiàn)部分。
■引導(dǎo)部分的作用是將病毒主體加載到內(nèi)存,為
傳播部分做準(zhǔn)備(如駐留內(nèi)存,修改中斷,修
改高端內(nèi)存,保存原中斷向量等操作)。
■傳播部分的作用是將病毒代碼復(fù)制到傳播目標(biāo)
上去。不同類型的病毒在傳播方式、傳播條件
上各有不同
■表現(xiàn)部分是病毒間差異最大的部分,前兩個(gè)部
分也是為這部分服務(wù)的。大部分的病毒都是在
一定條件下才會(huì)觸發(fā),既才會(huì)表現(xiàn),體現(xiàn)出病
毒的特性。如以時(shí)鐘、計(jì)數(shù)器作為觸發(fā)條件
(或稱表現(xiàn)條件)的,或用鍵盤輸入特定字符來(lái)
觸發(fā)的。這一部分也是最為靈活的部分,根據(jù)
編制者的不同目的而千差萬(wàn)別。
7.6計(jì)算機(jī)病毒的傳播方式
■計(jì)算機(jī)病毒總是通過(guò)某種傳播媒介進(jìn)行傳染。
當(dāng)其“寄生”于傳播載體時(shí),僅處于一種無(wú)
“活力”的相對(duì)靜態(tài),沒(méi)有主動(dòng)傳播的能力。
只有當(dāng)其以運(yùn)行的方式進(jìn)入內(nèi)存后,就產(chǎn)生了
“活力”,使計(jì)算機(jī)系統(tǒng)成為一個(gè)帶毒的傳播
源,并且主動(dòng)地攻擊和感染在此系統(tǒng)中使用的
磁盤和文件。當(dāng)這些磁盤和文件再用于其他機(jī)
器上時(shí),又可能將病毒感染到其他系統(tǒng)中。目
前計(jì)算機(jī)病毒的傳播方式主要通過(guò)下列三種載
體進(jìn)行傳播。
-1.網(wǎng)絡(luò)傳播載體
■在計(jì)算機(jī)網(wǎng)絡(luò)中,每一個(gè)分計(jì)算機(jī)系統(tǒng)要通過(guò)與主計(jì)
算機(jī)系統(tǒng)之間的通信線路實(shí)現(xiàn)系統(tǒng)中的數(shù)據(jù)共享,這
個(gè)網(wǎng)絡(luò)中各系統(tǒng)之間的通信線路就構(gòu)成了病毒傳播的
載體,使得病毒能夠在網(wǎng)絡(luò)中傳播。一項(xiàng)由國(guó)際計(jì)算
機(jī)安全協(xié)會(huì)(ICSA,InternationalComputer
SecurityAssociation)所公布的2000年度傳播趨勢(shì)報(bào)
告結(jié)果顯示,電子郵件躍升為計(jì)算機(jī)病毒最主要的傳
播媒介,感染率由1998年的32%,1999年的56%,大幅
成長(zhǎng)至2000年的87%,引人矚目;傳統(tǒng)的經(jīng)由磁盤、網(wǎng)
絡(luò)下載的病毒感染方式則急劇下降。
■2.磁介質(zhì)傳播載體
■這種傳播載體主要有磁帶和磁盤,特別是軟磁
盤。軟磁盤由于其存儲(chǔ)容量大,操作方便,體
積小,便于攜帶,所以被廣泛采用。病毒程序
如果隱藏在軟盤中,隨著該軟盤被拷貝和復(fù)制,
再到不同的計(jì)算機(jī)系統(tǒng)中使用時(shí),病毒就被傳
播到該計(jì)算機(jī)系統(tǒng)中。目前微型計(jì)算機(jī)上的病
毒傳播,主要就是由軟盤作為媒介進(jìn)行傳播的。
-3.光學(xué)介質(zhì)傳播載體
■隨著激光技術(shù)及磁性介質(zhì)技術(shù)的發(fā)展,光盤、光磁盤
和磁光盤都得到了極大的發(fā)展,這種類型存儲(chǔ)介質(zhì),
當(dāng)然也就自然成為傳播計(jì)算機(jī)病毒的又一種新的載體。
■計(jì)算機(jī)病毒的傳播是以計(jì)算機(jī)系統(tǒng)的運(yùn)行及讀寫磁盤
為基礎(chǔ)的,沒(méi)有這兩個(gè)先決條件,計(jì)算機(jī)病毒是不會(huì)
傳播的。
■計(jì)算機(jī)不運(yùn)行時(shí)不存在對(duì)磁盤的讀寫或數(shù)據(jù)共享,當(dāng)
然也就無(wú)法傳播病毒了。如果沒(méi)有磁盤的讀寫,病毒
就不能傳入磁性存儲(chǔ)介質(zhì),或只是駐留于內(nèi)存中,或
只是駐留于存儲(chǔ)設(shè)備之中,孤立地存在,是不會(huì)對(duì)其
他存儲(chǔ)介質(zhì)傳播病毒的。
計(jì)算機(jī)病毒識(shí)別、防止與殺毒軟件
■對(duì)于計(jì)算機(jī)病毒的態(tài)度,和對(duì)待人類的傳染病
一樣,首先應(yīng)該采取“預(yù)防為主”的方針。但
是一旦計(jì)算機(jī)染上了病毒,也不要恐慌,及時(shí)
將病毒清除就可以了。下面介紹計(jì)算機(jī)感染病
毒后產(chǎn)生的現(xiàn)象、預(yù)防計(jì)算機(jī)病毒的措施、檢
測(cè)和清除計(jì)算機(jī)病毒的方法。
■計(jì)算機(jī)病毒的迅猛蔓延,已直接影響到人們對(duì)
計(jì)算機(jī)的應(yīng)用,很多部門也因計(jì)算機(jī)病毒的干
擾,遭受到各種不同程度的破壞和損失,人們
對(duì)計(jì)算機(jī)病毒已然是
■“深惡痛絕”。但計(jì)算機(jī)病毒的隱蔽性和多樣化,又
使得我們對(duì)其產(chǎn)生和發(fā)展趨勢(shì)很難預(yù)測(cè)和估計(jì)。病毒
類型不同,對(duì)計(jì)算機(jī)資源的破壞情況及破壞程度也不
完全一樣。它們可通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)
媒體(磁盤)、內(nèi)存或程序里,當(dāng)某種條件或時(shí)機(jī)成熟
時(shí),便會(huì)自身復(fù)制并傳播,使計(jì)算機(jī)資源、程序或數(shù)
據(jù)受到損壞。對(duì)計(jì)算機(jī)病毒的防范必須做到消與防相
結(jié)合,管理手段與技術(shù)措施相結(jié)合、個(gè)人道德的加強(qiáng)
與社會(huì)法律保障相結(jié)合,這樣才能有效預(yù)防病毒和防
止病毒的蔓延。
■目前雖然國(guó)內(nèi)外都已推出了一些優(yōu)秀的計(jì)算
機(jī)病毒檢測(cè)和清除軟件,但還是遠(yuǎn)遠(yuǎn)跟不上
計(jì)算機(jī)病毒的發(fā)展速度,因此也就抑制不了
計(jì)算機(jī)病毒的傳播。我們所要做的就是了解
計(jì)算機(jī)病毒的基本構(gòu)成和分類,認(rèn)識(shí)計(jì)算機(jī)
病毒的一般特征,識(shí)別、判斷、分析和處理
由計(jì)算機(jī)病毒引起的“軟故障”,積極、主
動(dòng)地采取一些有效的保護(hù)措施,防止計(jì)算機(jī)
病毒的侵害。
7、8如何預(yù)防計(jì)算機(jī)病毒
-由于計(jì)算機(jī)病毒都是人為制造的,所以預(yù)防計(jì)算機(jī)病
毒的根本是杜絕制造計(jì)算機(jī)病毒。為此,首先要加強(qiáng)
對(duì)使用計(jì)算機(jī)的人的職業(yè)道德教育,同時(shí)制定有關(guān)懲
治計(jì)算機(jī)犯罪的法律,廣大計(jì)算機(jī)用戶也應(yīng)自覺(jué)地向
計(jì)算機(jī)犯罪行為作斗爭(zhēng)。
-除上之外,還需要向使用計(jì)算機(jī)的人員講述防止計(jì)算
機(jī)病毒的基本知識(shí)和具體措施,讓他們自覺(jué)遵守有關(guān)
防止計(jì)算機(jī)病毒的規(guī)章制度。預(yù)防計(jì)算機(jī)病毒的具體
技術(shù)措施如下:
■專機(jī)專用。固定使用系統(tǒng)引導(dǎo)程序的軟盤,不要亂用
啟動(dòng)盤。
■系統(tǒng)要及時(shí)備份。將有用的程序拷貝到軟磁盤及光盤
上,以減少因病毒而造成的損失。
■如果計(jì)算機(jī)有硬盤驅(qū)動(dòng)器,輕易不要用軟盤啟動(dòng)。因
為這是造成硬盤引導(dǎo)區(qū)感染病毒的主要原因。
■如果必須用軟盤啟動(dòng),應(yīng)當(dāng)始終使用無(wú)病毒的同一啟
動(dòng)軟盤,并且將其寫保護(hù)。軟盤使用完后立即將其從
軟盤驅(qū)動(dòng)器中取出。
■除了要往磁盤中寫東西外,盡量將所有磁盤寫保護(hù),
防止其他計(jì)算機(jī)病毒的侵入。
-修改可執(zhí)行文件的屬性為只讀文件。
-不要非法復(fù)制和使用來(lái)路不明的軟件,如果有可能的
話,應(yīng)從原創(chuàng)作者處獲取共享軟件、免費(fèi)軟件和公共
域軟件。第一次運(yùn)行一個(gè)新軟件之前,應(yīng)當(dāng)檢查這個(gè)
新軟件是否有病毒。對(duì)不能確定其來(lái)源的文件一定要
進(jìn)行掃描。
■聯(lián)網(wǎng)的計(jì)算機(jī)一旦發(fā)現(xiàn)網(wǎng)上有病毒,要及時(shí)檢測(cè)計(jì)算
機(jī)系統(tǒng)是否已感染上病毒。如果還沒(méi)有感染上病毒,
立即采取防止措施;如果已經(jīng)感染上病毒,要及時(shí)清
除病毒。
■即使已采取了以上所有預(yù)防措施,仍應(yīng)當(dāng)定期掃描檢
查所使用的系統(tǒng)。
7.9計(jì)算機(jī)病毒判定、查解方法
-如何及早地發(fā)現(xiàn)新病毒呢?最基本的是做以下
簡(jiǎn)單判斷:首先應(yīng)注意內(nèi)存情況,因?yàn)榻^大部
分的病毒是要駐留內(nèi)存的,它會(huì)更改基本內(nèi)存
的數(shù)值;其次應(yīng)注意常用的可執(zhí)行文件(如
COMMAND.COM)的字節(jié)數(shù),因?yàn)榻^大多數(shù)的病毒
在對(duì)文件進(jìn)行傳播后會(huì)使文件的長(zhǎng)度增加。
■對(duì)于軟盤,則應(yīng)注意是否無(wú)故出現(xiàn)壞塊(有些
病毒會(huì)在盤上做壞簇標(biāo)記,以便將其自身部分
隱臧其中)。
■其他如出現(xiàn)軟件運(yùn)行速度變慢(磁盤讀盤速度影響除
外),輸出端口異常等現(xiàn)象都有可能是病毒造成的。最
準(zhǔn)確的方法是查看中斷向量及引導(dǎo)扇區(qū)是否被無(wú)故改
變,當(dāng)然這需要對(duì)系統(tǒng)及磁盤格式有一定的了解。
-理論上對(duì)計(jì)算機(jī)病毒的判定方法分為動(dòng)態(tài)和靜態(tài)兩種。
動(dòng)態(tài)判定方法通常體現(xiàn)在防病毒的產(chǎn)品中,判定的依
據(jù)即是根據(jù)程序功能中是否有“非法操作”。因?yàn)榉?/p>
法與合法操作的行為規(guī)范不可能有明確的劃分界線,
所以防病毒產(chǎn)品只能給出一些輔助性的預(yù)警提示。
■目前所流行的病毒檢測(cè)軟件,幾乎都是采用靜態(tài)的方
法來(lái)進(jìn)行檢測(cè)和判定。其基本思想是對(duì)已發(fā)現(xiàn)的計(jì)算
機(jī)病毒,經(jīng)分析后將其特征代碼取出,形成一個(gè)“病
毒代碼庫(kù)”。當(dāng)對(duì)磁盤及文件進(jìn)行掃描時(shí),將其內(nèi)容
與庫(kù)中的特征代碼進(jìn)行比較,以此為判定依據(jù)。由于
是用特征代碼的比較來(lái)判定,所以就有漏報(bào)或誤報(bào)的
可能??梢岳糜?jì)算機(jī)病毒的傳播特性,采用一些簡(jiǎn)
單的方法來(lái)對(duì)磁盤和文件進(jìn)行病毒判定。例如,要判
定某個(gè)啟動(dòng)盤上是否帶病毒,可用該盤啟動(dòng)后,利用
DOS的磁盤復(fù)制命令或某些工具軟件,對(duì)一個(gè)寫保
護(hù)的盤進(jìn)行復(fù)制。
■復(fù)制完成后,對(duì)復(fù)制盤進(jìn)行一些適當(dāng)?shù)淖x操作。
然后,用“干凈的”系統(tǒng)盤進(jìn)行啟動(dòng),對(duì)二者
進(jìn)行整盤比較,若有差異,則可判定原啟動(dòng)盤
上可能帶有病毒。
■計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)的侵犯,會(huì)使計(jì)算機(jī)
系統(tǒng)的某些部分發(fā)生變化,并一定會(huì)在適當(dāng)?shù)?/p>
時(shí)候表現(xiàn)出來(lái),因此根據(jù)某些不正常的現(xiàn)象也
可以做到初步判定系統(tǒng)中是否有計(jì)算機(jī)病毒,
比如要經(jīng)常留意:
-屏幕是否顯示異常,出現(xiàn)異常畫面或信息。
■系統(tǒng)啟動(dòng)速度是否比平時(shí)慢。
■磁盤讀寫時(shí)間是否比平時(shí)長(zhǎng)。
-文件是否莫名其妙地丟失或文件長(zhǎng)度增加。
■磁盤是否突然不能引導(dǎo)或系統(tǒng)找不到硬盤。
■磁盤上是否發(fā)現(xiàn)有特殊標(biāo)記或無(wú)故變小。
■運(yùn)行較大程序時(shí),是否出現(xiàn)特殊信息。
■程序運(yùn)行時(shí)死機(jī)次數(shù)是否增多。
-打印是否異常。
■是否有一些特殊文件名的文件自動(dòng)生成。
N如有上述現(xiàn)象,則需要對(duì)計(jì)算機(jī)系統(tǒng)作進(jìn)一步的病毒
檢測(cè)。
-常用殺毒軟件
■目前防病毒產(chǎn)品分為:防病毒卡和病毒預(yù)警軟件兩大
類。其基本思想都是編寫一段監(jiān)控程序,根據(jù)病毒程
序的一些主要特點(diǎn),由監(jiān)控程序監(jiān)視其他進(jìn)入內(nèi)存的
程序,當(dāng)發(fā)現(xiàn)這些程序試圖進(jìn)行一些“非法操作”時(shí),
則中止其運(yùn)行,并在屏幕上給出相應(yīng)的提示信息,由
用戶進(jìn)行相應(yīng)的判斷處理。由于新病毒的不斷出現(xiàn)及
殺毒軟件防范的疏漏,所以防病毒軟件只能對(duì)部分病
毒起到一定的輔助預(yù)防作用,不可能杜絕所有病毒的
侵入。
.查解方法
■在一般情況下,計(jì)算機(jī)病毒總是依附某一系
統(tǒng)軟件或用戶程序進(jìn)行繁殖和擴(kuò)散,病毒發(fā)
作時(shí)危及計(jì)算機(jī)的正常工作,破壞數(shù)據(jù)與程
序,侵犯計(jì)算機(jī)資源。計(jì)算機(jī)在感染病毒后,
總是有一定規(guī)律地出現(xiàn)異?,F(xiàn)象。
■屏幕顯示異常,屏幕顯示出不是由正常程序
產(chǎn)生的畫面或字符串,屏幕顯示混亂。程序
裝入時(shí)間增長(zhǎng),文件運(yùn)行速度下降。用戶沒(méi)
有訪問(wèn)的設(shè)備出現(xiàn)工作信號(hào)。
-磁盤出現(xiàn)莫名其妙的文件和壞塊,卷標(biāo)發(fā)生
變化。
-系統(tǒng)自行引導(dǎo)。
-丟失數(shù)據(jù)或程序,文件字節(jié)數(shù)發(fā)生變化。
?內(nèi)存空間、磁盤空間減小。
■異常死機(jī)。
?磁盤訪問(wèn)時(shí)間比平時(shí)增長(zhǎng)。
-系統(tǒng)引導(dǎo)時(shí)間增長(zhǎng)。
■如果出現(xiàn)上述現(xiàn)象時(shí),應(yīng)首先對(duì)系統(tǒng)的BOOT
區(qū)、IO.SYS、MSDOS.SYS、COMMAND.COM>.COM
和.EXE文件進(jìn)行仔細(xì)檢查,并與正確的文件
相比較,如有字節(jié)數(shù)增加的現(xiàn)象則可能感染
病毒。然后對(duì)其他文件進(jìn)行檢查,有無(wú)異常現(xiàn)
象,并找出異?,F(xiàn)象的原因。病毒與故障的區(qū)
別是:一般故障只是無(wú)規(guī)律地偶然發(fā)生一次,
而病毒的發(fā)作總是有規(guī)律的。
■與病毒現(xiàn)象類似的軟件故障
■軟件故障的范圍比較廣泛,問(wèn)題出現(xiàn)也比較多。對(duì)軟
件故障的辨認(rèn)和解決也是一件很難的事情,它需要用
戶有相當(dāng)?shù)能浖R(shí)和豐富的上機(jī)經(jīng)驗(yàn)。這里介紹一些
常見(jiàn)的癥狀。
■(1)出現(xiàn)Invaliddrivespecification(非法驅(qū)動(dòng)器號(hào))
-這個(gè)提示是說(shuō)明用戶的驅(qū)動(dòng)器丟失。如果用戶原來(lái)?yè)?/p>
有這個(gè)驅(qū)動(dòng)器,則可能是這個(gè)驅(qū)動(dòng)器的主引導(dǎo)扇區(qū)的
分區(qū)表參數(shù)破壞或是磁盤標(biāo)志50AA被修改。遇到這種情
況用DEBUG或NORTON等工具軟件將正確的主引導(dǎo)扇區(qū)信
息寫入磁盤的主引導(dǎo)扇區(qū)。
-(2)軟件程序已被破壞(非病毒)
■由于磁盤質(zhì)量等問(wèn)題,文件的數(shù)據(jù)部分丟失,而這
程序還能夠運(yùn)行,這時(shí)使用就會(huì)出現(xiàn)不正常現(xiàn)象,
如Format程序被破壞后,若繼續(xù)執(zhí)行,會(huì)格式化出
非標(biāo)準(zhǔn)格式的磁盤,這樣就會(huì)產(chǎn)生一連串的錯(cuò)誤。但
是這種問(wèn)題極為罕見(jiàn)。
■(3)DOS系統(tǒng)配置不當(dāng)
■DOS操作系統(tǒng)在啟動(dòng)時(shí)會(huì)去查找其系統(tǒng)配置文件
CONFIG.SYS,并按其要求配置運(yùn)行環(huán)境。如果系統(tǒng)環(huán)
境設(shè)置不當(dāng)會(huì)造成某些軟件不能正常運(yùn)行,如C/C++
語(yǔ)言系統(tǒng)、AUTOCAD等程序運(yùn)行時(shí)打開(kāi)的文件過(guò)多,
超過(guò)系統(tǒng)默認(rèn)值。
■(4)軟件與DOS版本的兼容性
■DOS操作系統(tǒng)自身的特點(diǎn)是具有向下的兼容性。
但軟件卻不同,許多軟件都要過(guò)多地受其環(huán)境
的限制,在某個(gè)版本下可正常運(yùn)行的軟件,
到另一個(gè)DOS版本下卻不能正常運(yùn)行,許多用
戶就懷疑是病毒引起的。如舊版的2.13漢字系
統(tǒng),在DOS3.30下運(yùn)行正常,而在DOS6.2
下運(yùn)行會(huì)出現(xiàn)亂碼現(xiàn)象。
(5)引導(dǎo)過(guò)程故障
■系統(tǒng)引導(dǎo)時(shí)屏幕顯示Missingoperating
system(操作系統(tǒng)丟失),故障原因是硬盤的
主引導(dǎo)程序可完成引導(dǎo),但無(wú)法找到DOS系統(tǒng)
的引導(dǎo)記錄。造成這種現(xiàn)象的原因是C盤無(wú)引
導(dǎo)記錄及DOS系統(tǒng)文件,或CMOS中硬盤的類型
與硬盤本身的格式化時(shí)的類型不同。需要將系
統(tǒng)文件傳遞到C盤上或修改CMOS配置使系統(tǒng)從
軟盤上引導(dǎo)。
剖析惡意網(wǎng)頁(yè)修改注冊(cè)表的十二種現(xiàn)象
近來(lái),屢屢發(fā)生網(wǎng)友在瀏覽網(wǎng)頁(yè)時(shí),造成注
冊(cè)表被修改,使得IE默認(rèn)連接首頁(yè)、標(biāo)題欄及
IE右鍵菜單被改為瀏覽網(wǎng)頁(yè)時(shí)的地址(多為廣
告信息),更有甚者使瀏覽者的電腦在啟動(dòng)時(shí)
出現(xiàn)一個(gè)提示窗口顯示自己的廣告,而且有愈
演愈烈之勢(shì),遇到這種情況我們?cè)撛鯓愚k呢?
剖析惡意網(wǎng)頁(yè)修改注冊(cè)表的十二種現(xiàn)象
一、注冊(cè)表被修改的原因及解決辦法
■其實(shí),該惡意網(wǎng)頁(yè)是含有有害代碼的
ActiveX網(wǎng)頁(yè)文件,這些廣告信息的出現(xiàn)是因
為瀏覽者的注冊(cè)表被惡意更改的結(jié)果。
■1、IE默認(rèn)連接首頁(yè)被修改
■1E瀏覽器上方的標(biāo)題欄被改成“歡迎訪
問(wèn)……網(wǎng)站”的樣式,這是最常見(jiàn)的篡改手段,
受害者眾多。
-受到更改的注冊(cè)表項(xiàng)目為:
■HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Main\StartPage
■HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\StartPage
■通過(guò)修改“StartPage”的鍵值,來(lái)達(dá)到修改瀏覽者IE默認(rèn)連
接首頁(yè)的目的,如瀏覽“萬(wàn)花谷”就會(huì)將你的IE默認(rèn)連接首頁(yè)修
改為
"”,即便是出于給自己
的主頁(yè)做廣告的目的,也顯得太霸道了一些,這也是這類網(wǎng)頁(yè)惹
人厭惡的原因。
■解決辦法:
■①在Windows啟動(dòng)后,點(diǎn)擊“開(kāi)始”一“運(yùn)行”菜
單項(xiàng),在“打開(kāi)”欄中鍵入regedit,然后按“確定”
鍵;
■②展開(kāi)注冊(cè)表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\InternetExplorer'Main下,在右半部分窗口中找
至U串值“StartPage”雙擊,將StartPage的鍵值改
為“about:blank”即可;
■③同理,展開(kāi)注冊(cè)表到
HKEY_CURRENT_USER\Software\Microsoft\In
ternetExplorer\Main,在右半部分窗口中找到串值
"StartPage\然后按②中所述方法處理。
■④退出注冊(cè)表編輯器,重新啟動(dòng)計(jì)算機(jī),一切0K了!
特殊例子:當(dāng)IE的起始頁(yè)變成了某些網(wǎng)址后,就算
你通過(guò)選項(xiàng)設(shè)置修改好了,重啟以后又會(huì)變成他們的
網(wǎng)址啦,十分的難纏。其實(shí)他們是在你機(jī)器里加了一
個(gè)自運(yùn)行程序,它會(huì)在系統(tǒng)啟動(dòng)時(shí)將你的IE起始頁(yè)設(shè)
成他們的網(wǎng)站。
■解決辦法:運(yùn)行注冊(cè)表編輯器regedit.exe,
然后依次展開(kāi)
HKEY_LOCAL_MACHINE\Software\Micr
osoft\Windows\CurrentVersion\Run
■主鍵,然后將其下的registry?exe子鍵刪除,
然后刪除自運(yùn)行程序c:\Program
Files\registry.exe,最后從IE選項(xiàng)中重新設(shè)
置起始頁(yè)就好了
■2、篡改IE的默認(rèn)頁(yè)
■有些IE被改了起始頁(yè)后,即使設(shè)置了“使用
默認(rèn)頁(yè)”仍然無(wú)效,這是因?yàn)镮E起始頁(yè)的默認(rèn)
頁(yè)也被篡改啦。具體說(shuō)來(lái)就是以下注冊(cè)表項(xiàng)被
修改:
HKEY_LOCAL_MACHINE\Software\Micr
osoft\Internet
Explorer\Main\Default_Page_URLuDefa
ult_Page_URL”這個(gè)子黯勺鍵值畫起始頁(yè)的
默次頁(yè)
■解決辦法:
■運(yùn)行注冊(cè)表編輯器,然后展開(kāi)上述子鍵,將
“Default_Page_UR”子鍵的鍵值中的那些
篡改網(wǎng)站的網(wǎng)址改掉就好了,或者設(shè)置為IE的
默認(rèn)值。
-3、修改IE瀏覽器缺省主頁(yè),并且鎖定設(shè)置項(xiàng),禁止用戶更改回來(lái)。
-主要是修改了注冊(cè)表中IE設(shè)置的下面這些鍵值(DWORD值為1時(shí)
為不可選):
■[HKEY_CURRENT_USER\Software\Policies\Microsoft\Int
ernetExplorer\ControlPanel]
“Settings”=dword
■[HKEY_CURRENT_USER\Software\Policies\Microsoft\Int
ernetExplorer\ControlPanel]
"Links"=dworcl:l
■[HKEY_CURRENT_USER\Software\Policies\Microsoft\Int
ernetExplorer\ControlPanel]
"SecAddSites"=dworcl:l
■解決辦法:將上面這些DWORD值改為“0”即可恢復(fù)功能。
■4、IE的默認(rèn)首頁(yè)灰色按扭不可選
■這是由于注冊(cè)表
HKEY.USERSX.DEFAULTXSoftwareXPolic
ies\Microsoft\IntemetExplorer\Control
Panel下的DWORD值“homepage”的鍵值
被修改的緣故。原來(lái)的鍵值為“0”,被修改為
“工”(即為灰色不可選狀態(tài))。
■解決辦法:將“homepage”的鍵值改為
“0”即可。
■5、IE標(biāo)題欄被修改
■在系統(tǒng)默認(rèn)狀態(tài)下,是由應(yīng)用程序本身來(lái)提
供標(biāo)題欄的信息,但也允許用戶自行在上述注
冊(cè)表項(xiàng)目中填加信息,而一些惡意的網(wǎng)站正是
利用了這一點(diǎn)來(lái)得逞的:它們將串值Window
Title下的鍵值改為其網(wǎng)站名或更多的廣告信息,
從而達(dá)到改變?yōu)g覽者IE標(biāo)題欄的目的。
■具體說(shuō)來(lái)受到更改的注冊(cè)表項(xiàng)目為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\InternetExplorer\Main\WindowTitle
HKEY_CURRENT_USER\Software\Microsoft\In
ternetExplorer\Main\WindowTitle
■解決辦法:
■①在Windows啟動(dòng)后,點(diǎn)擊“開(kāi)始”一“運(yùn)行”菜
單項(xiàng),在“打開(kāi)”欄中鍵入regedit,然后按“確定”
鍵;
-②展開(kāi)注冊(cè)表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\InternetExplorer\MainT,在右半部分窗口中找
到串值“WindowTitle”,將該串值刪除即可,或?qū)?/p>
WindowTitle的鍵值改為“IE瀏覽器”等你喜歡的
名字;
-③同理,展開(kāi)注冊(cè)表到
HKEY_CURRENT_USER\Software\Microsoft\In
ternetExplorer\Main然后按②中所述方法處理。
■④退出注冊(cè)表編輯器,重新啟動(dòng)計(jì)算機(jī),運(yùn)行IE,你
會(huì)發(fā)現(xiàn)困擾你的問(wèn)題解決了!
■6、IE右鍵菜單被修改
■受到修改的注冊(cè)表項(xiàng)目為:
HKEY_CURRENT_USER\Software\Micro
soft\InternetExplorer'MenuExt下被新建
了網(wǎng)頁(yè)的廣告信息,并由此在IE右鍵菜單中出
現(xiàn)!
■解決辦法:打開(kāi)注冊(cè)標(biāo)編輯器,找到
HKEY_CURRENT_USER\Software\Micro
soft\InternetExplorer\MenuExt
■刪除相關(guān)的廣告條文即可,注意不要把下載軟
件FlashGet和Netants也刪除掉啊,這兩個(gè)
可是“正常”的呀,除非你不想在IE的右鍵菜
單中見(jiàn)到它們。
■7、IE默認(rèn)搜索引擎被修改
■在IE瀏覽器的工具欄中有一個(gè)搜索引擎的工具按鈕,
可以實(shí)現(xiàn)網(wǎng)絡(luò)搜索,被篡改后只要點(diǎn)擊那個(gè)搜索工具
按鈕就會(huì)鏈接到那個(gè)篡改網(wǎng)站。
出現(xiàn)這種現(xiàn)象的原因是以下注冊(cè)表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\I
nternet
Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\I
nternet
Explorer\Search\SearchAssistant
-解決辦法:運(yùn)行注冊(cè)表編輯器,依次展開(kāi)上述
子鍵,將“CustomizeSearch”和
“SearchAssistant”的鍵值改為某個(gè)搜索引
擎的網(wǎng)址即可。
■8、系統(tǒng)啟動(dòng)時(shí)彈出對(duì)話框
■受到更改的注冊(cè)表項(xiàng)目為:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Winlogon
■在其下被建立了字符串“LegalNoticeCaption”和
LegaINoticeText55,其中“LegaINoticeCaption”
是提示框的標(biāo)題,“LegalNoticeText”是提示框的文
本內(nèi)容。由于它們的存在,就使得我們每次登陸到
Windwos桌面前都出現(xiàn)一個(gè)提示窗口,顯示那些網(wǎng)頁(yè)
的廣告信息!你瞧,多討厭??!
-解決辦法:打開(kāi)注冊(cè)表編輯器,找到
HKEY_LOCAL_MACHINE\Software\Micr
osoft\Windows\CurrentVersion\Winlog
on
■這一個(gè)主鍵,然后在右邊窗口中找到
“LegalNoticeCaption”和
“LegalNoticeText”這兩個(gè)字符串,刪除這
兩個(gè)字符串就可以解決在登陸時(shí)出現(xiàn)提示框的
現(xiàn)象了。
■9、瀏覽網(wǎng)頁(yè)注冊(cè)表被禁用這是由于注冊(cè)表
HKEY_CURRENT_USER\Software\Microsoft\Windows\C
urrentVersion\Po
licies'SysterrT卜的DWORD值“DisableRegistryTools”被修
改為“1”的緣故,將其鍵值恢復(fù)為“0”即可恢復(fù)注冊(cè)表的使用。
■解決辦法:用記事本程序建立以REG為后綴名的文件,將下面這
些內(nèi)容復(fù)制在
其中就可以了:
■REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]uDisableRegi
stryTools,9=dword:00000000
10、瀏覽網(wǎng)頁(yè)開(kāi)始菜單被修改
這是最“狠”的一種,讓瀏覽者有生不如死的感
覺(jué)。瀏覽后不僅有類似上面所說(shuō)的那些癥狀,還會(huì)有
以下更悲慘的遭遇:
1)禁止“關(guān)閉系統(tǒng)”
2)禁止“運(yùn)行”
3)禁止“注銷”
4)隱藏C盤—你的C盤找不到了!
5)禁止使用注冊(cè)表編輯器regedit
6)禁止使用DOS程序
7)使系統(tǒng)無(wú)法進(jìn)入“實(shí)模式”
8)禁止運(yùn)行任何程序
-具體的原因和解決辦法請(qǐng)看天極網(wǎng)e企業(yè)之安
全之路欄目的這篇文章:《瀏覽網(wǎng)頁(yè)注冊(cè)表被
修改之迷及解決辦法》。
■以上是比較常見(jiàn)的修改瀏覽者注冊(cè)表的現(xiàn)
象,今天在瀏覽網(wǎng)頁(yè)時(shí),無(wú)意中來(lái)到某個(gè)個(gè)人
網(wǎng)站,又遇到了以前沒(méi)有碰到過(guò)的問(wèn)題:
■11>IE中鼠標(biāo)右鍵失效
■瀏覽網(wǎng)頁(yè)后在IE中鼠標(biāo)右鍵失效,點(diǎn)擊右鍵沒(méi)有任
何反應(yīng)!
■12、查看““源文件”菜單被禁用
■在IE窗口中點(diǎn)擊“查看”一“源文件”,發(fā)現(xiàn)“源
文件”菜單已經(jīng)被禁用。
我在瀏覽網(wǎng)頁(yè)時(shí)并沒(méi)有注意到上面這兩個(gè)問(wèn)題,
因?yàn)楫?dāng)時(shí)正好朋友叫我有事,于是我就退出電腦了,
晚上吃完飯開(kāi)啟電腦連線上網(wǎng),就發(fā)
現(xiàn)IE中鼠標(biāo)右鍵失效,“查看”菜單中的“源文件”
被禁用。不能查看源文件也就罷了,但是無(wú)法使用鼠
標(biāo)右鍵真是太不方便了。得想個(gè)辦法!
■于是到注冊(cè)表中一番搜尋,經(jīng)過(guò)一番查找終于
弄明白了問(wèn)題的所在。
■原來(lái),惡意網(wǎng)頁(yè)修改了我的注冊(cè)表,具體的位
置為:在注冊(cè)表
HKEY_CURRENT_USER\Software\Polici
es\Microsoft\InternetExplorer下建立子
鍵“Restrictions”,然后在“Restrictions”
下面建立兩個(gè)DWORD值:“NoViewSource9
和“NoBrowserContextMenu”,并為
這兩個(gè)DWORD值賦值為“1”。
■在注冊(cè)表
HKEY_USERS\.DEFAULT\Software\Policies\Mi
crosoft\IntemetExplorer'Restrictions下,將兩
個(gè)DWORD值:“NoViewSource”和
“NoBrowserContextMenu”的鍵值者B改為了“工”。
■通過(guò)上面這些鍵值的修改就達(dá)到了在IE中使鼠標(biāo)
右鍵失效,使“查看”菜單中的“源文件”被禁用的
目的。要向你說(shuō)明的是第2點(diǎn)中提到的注冊(cè)表其實(shí)相當(dāng)
于第1點(diǎn)中提到的注冊(cè)表的分支,修改第1點(diǎn)中所說(shuō)的
注冊(cè)表鍵值,第2點(diǎn)中注冊(cè)表鍵值隨之改變。
-解決辦法:明白了道理,問(wèn)題解決起來(lái)就容易多了,具體解決辦
法為:將以下內(nèi)容另存為后綴名為reg的注冊(cè)表文件,比方說(shuō)
unlock.reg,雙擊unlock.reg導(dǎo)入注冊(cè)表,不用重啟電腦,重
新運(yùn)行IE就會(huì)發(fā)現(xiàn)IE的功能恢復(fù)正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\In
ternetExplorer\Restrictions]
“NoViewSource,9=dword:00000000
"NoBrowserContextMenu"=dworcl:00000000
■[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\I
nternetExplorer'Restrictions]
^NoViewSource”=dword:00000000
uNoBrowserContextMenu9,=dword:00000000
■要特別注意的是,在你編制的注冊(cè)表文件
unlock.reg中,“REGEDIT4”一定要大寫,
并且它的后面一定要空一行,還有,
“REGEDIT4”中的“4”和“T”之間一定不能
有空格,否則將前功盡棄!許多朋友寫注冊(cè)表
文件之所以不成功,就是因?yàn)闆](méi)有注意到上面
所說(shuō)的內(nèi)容,這回該注意點(diǎn)嘍。請(qǐng)注意如果你
是WM2000或WinXP用戶,請(qǐng)將
“REGEDIT4”改為WindowsRegistry
EditorVersion5.00。改回被惡意網(wǎng)頁(yè)修改
的注冊(cè)表
■方法:方法一:打開(kāi)www.372Lcom.cri網(wǎng)站找
到其它產(chǎn)品菜單一上網(wǎng)肋手一“E修復(fù)■■修復(fù)被
修改瀏覽器方法二:使用金山毒霸注冊(cè)表修復(fù)
工具修復(fù)注冊(cè)表
http:〃/dowriload/o
thertools/DubaRegSolve.EXE
http:〃/download/o
thertools/DubaRegSolve.EXE
謹(jǐn)防震蕩波變種E和震蕩波清除者病毒
-計(jì)算機(jī)病毒“震蕩波”出現(xiàn)后,近期又出現(xiàn)了
“震蕩波”變種E和“震蕩波清除者”病毒。
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心16日發(fā)布了這兩
個(gè)病毒的技術(shù)報(bào)告,提醒廣大用戶要及時(shí)采取
相關(guān)措施。
■病毒名稱:“震蕩波清除
者"(Worm_Cyde?A)
■感染系統(tǒng):
Win2000/WinXP/Win2003/WinNT4.0
■病毒特征:
■1>生成病毒文件
■病毒在%)system%)目錄下生成自身的拷svchost.exe,還在
%Windows%目錄下生成文件cyclone,txt。
-2、修改注冊(cè)表項(xiàng)
■病毒創(chuàng)建注冊(cè)表項(xiàng),使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window
s'CurrentVersion'Run下倉(cāng)犍"GenericHost
Service,,=u%%system%\svchost.exe,,HKEY_CURRENT_
USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run下創(chuàng)建"GenericHost
Service”="%)system%)\svchost?exe”
■3、通過(guò)系統(tǒng)漏洞主動(dòng)進(jìn)行傳播
■病毒在TCP/3332端口開(kāi)啟后門服務(wù),接受連接,
在UDP/69端口上運(yùn)行一個(gè)TFTP服務(wù)器下載蠕蟲副本。
病毒對(duì)外連接隨機(jī)產(chǎn)生主機(jī)的TCP/445端口,去感染
其他的主機(jī)。
■4、終止進(jìn)程
■病毒會(huì)終止以下進(jìn)程,msblast.exe>
avserve.exe>avserve2.exe和skynetave.exe,
這些進(jìn)程是“沖擊波,”震蕩波,,病毒及他們的變種創(chuàng)
建的。
■5、發(fā)動(dòng)DoS攻擊
■當(dāng)系統(tǒng)時(shí)間為5月18日,病毒將對(duì)網(wǎng)站
和發(fā)
動(dòng)DoS攻擊。
-病毒名稱:“震蕩波”變種
E(Worm_Sasser.E)
■感染系統(tǒng):Win2000/WinXP
■病毒特征:
■工、生成病毒文件
■病毒運(yùn)行后,目錄下生成自身的拷貝,
名稱為L(zhǎng)SASSS.EXE。
■修改注冊(cè)表項(xiàng)病毒創(chuàng)建注冊(cè)表項(xiàng),使得自身能夠在系
統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunT^JM
“LSASSS.EXE”=%System%\LSASSS.EXE
■3、通過(guò)系統(tǒng)漏洞主動(dòng)進(jìn)行傳播
■病毒通過(guò)在已被感染的機(jī)器上開(kāi)啟TCP端口
1023建立一個(gè)FTP服務(wù)器(機(jī)器A),用來(lái)作為
感染其它機(jī)器的服務(wù)器。并通過(guò)TCP445端口
掃描隨機(jī)的IP,當(dāng)發(fā)現(xiàn)存在漏洞的系統(tǒng)連接成
功時(shí),被感染的計(jì)算機(jī)(機(jī)器A)向連接成功的
機(jī)器(機(jī)器B)發(fā)動(dòng)攻擊,被攻擊的計(jì)算機(jī)(機(jī)器
B)將會(huì)自動(dòng)連接已被感染計(jì)算機(jī)(機(jī)器A)的
1023端口并通過(guò)FTP下載蠕蟲的拷貝。數(shù)據(jù)
包會(huì)運(yùn)行一個(gè)可打開(kāi)1022端口的遠(yuǎn)程殼。
■4、危害性
■受感染的系統(tǒng)可能會(huì)出現(xiàn)倒計(jì)時(shí)對(duì)話框,頻
繁重新啟動(dòng),系統(tǒng)運(yùn)行速度明顯減慢或死機(jī),
上網(wǎng)只能持續(xù)很短時(shí)間就無(wú)法瀏覽甚至斷網(wǎng)等
現(xiàn)象。病毒會(huì)對(duì)網(wǎng)絡(luò)性能有一定影響,尤其局
域網(wǎng)可能造成網(wǎng)絡(luò)癱瘓。
■清除該病毒的相關(guān)建議:
■1、安全模式啟動(dòng)
■重新啟動(dòng)系統(tǒng)同時(shí)按下按F8鍵,進(jìn)入系統(tǒng)安全
模式
■2、注冊(cè)表的恢復(fù)點(diǎn)擊“開(kāi)始一〉運(yùn)行",輸
入regedit,運(yùn)行注冊(cè)表編輯器,依次雙擊左側(cè)
的
HKEY_LOCAL_MACHINE>Software>Mic
rosoft>Windows>CurrentVersion>Run,
并刪除右側(cè)面板中的“LSASSS.EXE”二
^SystemRoot%\LSASSS.EXE
-3、刪除病毒釋放的文件
■點(diǎn)擊“開(kāi)始一〉查找一〉文件和文件夾”,查找文件
“LSASSS.EXE”,并將找到的文件刪除。
■4、安裝系統(tǒng)補(bǔ)丁程序
■到以下微軟網(wǎng)站下載安裝補(bǔ)丁程序:
/technet/security/
bulletin/MS04-011.mspx,或者在IE瀏覽器的工
>->WindowsUpdate升級(jí)系統(tǒng)。
■5、重新配置防火墻
■重新配置邊界防火墻或個(gè)人防火墻,關(guān)閉TCP端
口1022和1023。
▲般的預(yù)防方法:
單位里用電腦堅(jiān)決反對(duì)安裝盜版游戲,盜版游戲光
盤是計(jì)算機(jī)病毒的主要攜帶者。一些用于教學(xué)用的游
戲光盤,也一定要經(jīng)過(guò)本部門專業(yè)人員查毒、殺毒后
才能安裝使用。
-軟盤必須經(jīng)過(guò)查毒、殺毒才能將文件拷入硬盤使用。
mail附件中的*,exe文件,不要運(yùn)行,直接將信件刪除。
-添置正版殺毒軟件,用它的DOS版命令查殺硬盤引導(dǎo)
區(qū)病毒。
■要經(jīng)常從網(wǎng)絡(luò)中下載正版殺毒軟件的升級(jí)文件,及時(shí)
更新你的殺毒軟件,一般每月至少一至兩次。
■安裝實(shí)時(shí)監(jiān)控殺毒軟件,動(dòng)態(tài)監(jiān)視軟盤、硬盤、網(wǎng)絡(luò)
以及Email中可能出現(xiàn)的病毒。這種預(yù)防方法對(duì)硬件
的要求比較高,如內(nèi)存、硬盤要大一些,……
■安裝病毒疫苗,比如安裝CIH病毒疫苗,沖擊波震蕩波
補(bǔ)丁。
■購(gòu)買能夠防止一些病毒危害的電腦主板,如雙BIOS主
板、防主引導(dǎo)區(qū)病毒感染主板等等。
-硬盤盡量要分區(qū),主區(qū)(C盤)最好劃成5G以內(nèi),平時(shí)
的工作數(shù)據(jù)一定要存放在硬盤的擴(kuò)展分區(qū)內(nèi)(如D盤)。
即便是CIH病毒發(fā)作,現(xiàn)有的技術(shù)還是可以將硬盤數(shù)
據(jù)予以恢復(fù)。當(dāng)然恢復(fù)的程度,視具體的情況而定。
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 知識(shí)產(chǎn)權(quán)維權(quán)居間合同
- 機(jī)場(chǎng)餐廳快速裝修協(xié)議
- 生物質(zhì)能源居間合同模板
- 礦石運(yùn)輸安全防護(hù)協(xié)議
- 活畜運(yùn)輸承攬合同樣本
- 山區(qū)公路加固居間合作協(xié)議
- 汽車配件代理運(yùn)輸合同樣本
- 【2015社工師培訓(xùn)中級(jí)綜合能力】第九章-社會(huì)工作督導(dǎo)(中級(jí))
- 研發(fā)中心土方運(yùn)輸合同模板
- 月考(1-2單元)試題-2024-2025學(xué)年人教版數(shù)學(xué)四年級(jí)上冊(cè)
- 初中英語(yǔ)人教版八年級(jí)上冊(cè)Unit4What說(shuō)課稿
- 皇帝的新裝英語(yǔ)話劇劇本
- 便攜式自助座椅結(jié)構(gòu)設(shè)計(jì)9000
- 幼兒園“立改廢”流程圖
- 原子熒光光度計(jì)操作規(guī)程 (1)
- 號(hào)機(jī)組真空泵系統(tǒng)調(diào)試方案
- 修理廠設(shè)備設(shè)施一覽表范本
- 四問(wèn)“蕪湖模式”
- 如何提升管理組的領(lǐng)導(dǎo)能力和執(zhí)行力?
- 鉸鏈四桿機(jī)構(gòu)的演化形式
- 雙匯發(fā)展招股說(shuō)明書
評(píng)論
0/150
提交評(píng)論