版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1
計算機(jī)病毒基礎(chǔ)知識大全科普
計算機(jī)病毒
計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的,破壞計算機(jī)功能
或數(shù)據(jù)、影響計算機(jī)使用,并能自我復(fù)制的一組計算機(jī)指令或者程序
代碼。
1.計算機(jī)病毒的特點
電腦病毒的主要特點如下。
⑴隱藏性
電腦病毒的隱藏性使得人們不簡單發(fā)覺它,例如有的病毒要等到某
個月13日且是星期五才發(fā)作,平常的日子不發(fā)作。一臺電腦或者一
張軟盤被感染上病毒一般是無法事先知道的,病毒程序是一個沒有文
件名的程序。
⑵埋伏性
從被感染上電腦病毒到電腦病毒開頭運行,一般是需要經(jīng)過一段時
間的。當(dāng)滿意病毒發(fā)作的指定環(huán)境條件時:病毒程序才開頭發(fā)作。
⑶傳染性
電腦病毒程序的一個主要特點是能夠?qū)⒆陨淼某绦驈?fù)制給其他程
序(文件型病毒),或者放入指定的位置,如引導(dǎo)扇區(qū)(引導(dǎo)型病毒)。
⑷哄騙性
每個電腦病毒都具有特洛伊木馬的特點,用哄騙手段寄生在其他文
1
2
件上,一旦該文件被加載,就會讓病毒發(fā)作并破壞電腦的軟、硬件資
源,迫使電腦無法正常工作。
⑸危害性
病毒的危害性是明顯的,幾乎沒有一個無害的病毒。它的危害性不
僅體現(xiàn)在破壞系統(tǒng),刪除或者修改數(shù)據(jù)方面,而且還要占用系統(tǒng)資源,
干擾機(jī)器的正常運行等。
2.計算機(jī)病毒的分類
2.1按傳染方式分類
病毒按傳染方式可分為:
1).引導(dǎo)區(qū)電腦病毒
2).文件型電腦病毒
3).復(fù)合型電腦病毒
4).宏病毒
5).木馬
6).蠕蟲
1).引導(dǎo)區(qū)電腦病毒:
隱蔽在磁盤內(nèi),在系統(tǒng)文件啟動以前電腦病毒已駐留在內(nèi)存內(nèi)。這
樣一來,電腦病毒就可完全掌握DOS中斷功能,以便進(jìn)行病毒傳播
和破壞活動。那些設(shè)計在DOS或Windows3.1上執(zhí)行的引導(dǎo)區(qū)病毒是
不能夠在新的電腦(操作系統(tǒng))上傳播°
2).文件型電腦病毒
又稱寄生病毒,通常感染執(zhí)行文件(.E_E),但是也有些會感染(其
2
3
它)可執(zhí)行文件,如DLL,SCR等。每次執(zhí)行受感染的文件時,電腦病
毒便會發(fā)作(電腦病毒會將自己復(fù)制到其他可執(zhí)行文件,并且連續(xù)執(zhí)
行原有的程序,以免被用戶所察覺)。
典型例子:CIH會感染W(wǎng)indows95/98的,E_E文件,并在每月的26
號發(fā)作日進(jìn)行嚴(yán)峻破壞。于每月的26號當(dāng)bl,此電腦病毒會試圖把
一些隨機(jī)資料覆寫在系統(tǒng)的硬盤,令該硬盤無法讀取原有資料。此外,
這病毒又會試圖破壞Flash(BIOS)內(nèi)的資料。
3).復(fù)合型電腦病毒:
具有引導(dǎo)區(qū)病毒和文件型病毒的雙重特點。
4).宏病毒:
宏病毒特地針對特定的應(yīng)用軟件,可感染依附于某些應(yīng)用軟件內(nèi)的
宏指令,它可以很簡單透過電子郵件附件、軟盤、文件下載和群組軟
件等多種方式進(jìn)行傳播如MicrosoftWord和E_celo
與其他電腦病毒類型的區(qū)分是宏病毒是攻擊數(shù)據(jù)文件而不是程序
文件。
5).特洛伊或特洛伊木馬
是一個看似正值的程序,但事實上當(dāng)執(zhí)行時會進(jìn)行一些惡性及不正
值的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬盤
內(nèi)的程序或數(shù)據(jù)。
特洛伊木馬與電腦病毒的重大區(qū)分是特洛伊木馬不具傳染性,它并
不能像病毒那樣復(fù)制自身,也并不刻意地去感染其他文件,它主要通
過將自身偽裝起來,吸引用戶下載執(zhí)行。
3
4
6).蠕蟲:
一般認(rèn)為:蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一
些共性,如傳播性、隱藏性、破壞性等等,同時具有自己的一些特征,
如不利用文件寄生(有的只存在于內(nèi)存中),對網(wǎng)絡(luò)造成拒絕服務(wù),以
及和黑客技術(shù)相結(jié)合,等等。
依據(jù)使用者狀況將蠕蟲病毒分為兩類:一種是面對企業(yè)用戶和局域
網(wǎng)而言;這種病毒利用系統(tǒng)漏洞,主動進(jìn)行攻擊,可以對整個互聯(lián)網(wǎng)
可造成癱瘓性的后果。另外一種是針對個人用戶的,通過網(wǎng)絡(luò)(主要
是電子郵件、惡意網(wǎng)頁形式)快速傳播的蠕蟲病毒,以愛蟲病毒、求
職信病毒為代表。
蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的全部計算機(jī),局域網(wǎng)條件下的共
享文件夾、電子郵件Email、網(wǎng)絡(luò)中的惡意網(wǎng)頁、大量存在著漏洞的
服務(wù)器等。
它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程序,但蠕
蟲是專注于利用網(wǎng)絡(luò)去集中。
2.2按連接方式分類
病毒按連接方式分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、
外殼型病毒等四種。
(1)源碼型病毒
該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序
編譯前插入到原程序中,經(jīng)編譯成為合法程序的一部分。
⑵嵌入型病毒
4
5
這種病毒是將自身嵌入到現(xiàn)有程序中,把計算機(jī)病毒的主體程序與
其攻擊的對象以插入的方式鏈接。這種計算機(jī)病毒是難以編寫的,一
旦侵入程序體后也較難消退。假如同時采納多態(tài)性病毒技術(shù),超級病
毒技術(shù)和隱藏性病毒技術(shù),將給當(dāng)前的反病毒技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。
(3)外殼型病毒
外殼型病毒將其自身包圍在主程序的四周,對原來的程序不作修改。
這種病毒最為常見,易于編寫,也易于發(fā)覺,一般測試文件的大小即
可知。
(4)操作系統(tǒng)型病毒
這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作,
具有很強(qiáng)的破壞力,可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒
就是典型的操作系統(tǒng)型病毒。
這種病毒在運行時,用自己的規(guī)律部分取代操作系統(tǒng)的合法程序模
塊,依據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作
系統(tǒng)中運行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等,對操
作系統(tǒng)進(jìn)行破壞。
2.3根據(jù)計算機(jī)病毒激活的時間分類
根據(jù)計算機(jī)病毒激活時間可分為定時的和隨機(jī)的。定時病毒僅在某
一特定時間才發(fā)作,而隨機(jī)病毒一般不是由時鐘來激活的。
2.4根據(jù)傳播媒介分類
根據(jù)計算機(jī)病毒的傳播媒介來分類,可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。
(1)單機(jī)病毒
5
6
單機(jī)病毒的載體是磁盤,常見的是病毒從軟盤傳入硬盤,感染系統(tǒng),
然后再傳染其他軟盤,軟盤又傳染其他系統(tǒng)。
(2)網(wǎng)絡(luò)病毒
網(wǎng)絡(luò)病毒的傳播媒介不再是移動式載體:而是網(wǎng)絡(luò)通道,這種病毒
的傳染力量更強(qiáng),破壞力更大。
2.5根據(jù)寄生方式和傳染途徑分類
計算機(jī)病毒按其寄生方式大致可分為兩類,一是引導(dǎo)型病毒,二是
文件型病毒;它們再按其傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存
型,駐留內(nèi)存型按其駐留內(nèi)存方式又可細(xì)分。混合型病毒集引導(dǎo)型和
文件型病毒特性于一體。
2.6按病毒的特性分類
Trojan-特洛伊木馬,有這個前綴的就是木馬了,在此類病毒名中有
PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能。
比如Trojuan.pass.ao
Win32PEWin95W32W95--系統(tǒng)病毒,特性是可以感染windows操
作系統(tǒng)的_.e_e和_.dll文件。
Worm--蠕蟲病毒,通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播。比較聞名的有
沖擊波。
Script--腳本病毒一般來說,腳本病毒還會有如下前綴:VBSJS(表明
是何種腳本編寫的)比如歡快時間。
Backdoor-后門病毒,特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,最聞
名的就是灰鴿子為代表。
6
7
Dropper-(種植)程序病毒,特性是運行時會從體內(nèi)釋放出一個或
幾個新的病毒到系統(tǒng)名目下,代表就是落雪了。
Joke?一玩笑病毒,只是嚇嚇人而已,沒什么危害。
HackTool-黑客工具。
Downloader-木馬下我者,以體積小的下載者下載體積大的木馬,
便利隱蔽。
AdWare-(廣告)病毒,監(jiān)視你在上網(wǎng)忖的一舉一動,然后把信息
反饋到用它的公司。
3.計算機(jī)病毒程序結(jié)構(gòu)
病毒引導(dǎo)模塊的主要作用是將靜態(tài)病毒激活,使之成為動態(tài)病毒
(加載)。
病毒程序的加載分為兩個步驟:一是系統(tǒng)加載過程;二是病毒附加
的加載過程。病毒程序選擇的加載點、目標(biāo)多是計算機(jī)的固有弱點或
軟件系統(tǒng)的輸入節(jié)點。
病毒程序的加載受到操作系統(tǒng)的制約。DOS系統(tǒng)下,病毒程序的加
載有3種方式:①參加系統(tǒng)啟動過程②依附正常文件加載③直接運
行病毒程序
DOS系統(tǒng)下,病毒的加載過程,主要由3個步驟組成:
(1)開拓內(nèi)存空間;
(2)病毒體定位和駐留;
其中駐留內(nèi)存的(方法)有以下幾種:
①削減DOS系統(tǒng)可安排空間
7
8
②利用系統(tǒng)模塊間的空隙和DOS間隙
③利用功能調(diào)用駐留內(nèi)存
④占用系統(tǒng)程序使用空間(又稱程序掩蓋方法)
一般Windows環(huán)境下的病毒有3種方法駐留內(nèi)存:一是將病毒作
為一個Windows環(huán)境下的應(yīng)用程序,擁有自己的窗口(隱蔽的)和消息
處理函數(shù);二是使用DPMI申請一塊系統(tǒng)內(nèi)存,將病毒代碼放入其中;
三是將病毒作為一個V_D(WIN9_下的設(shè)備驅(qū)動程序)或
VDD(WIN2000/NT下的設(shè)備驅(qū)動程序)加載到內(nèi)存中運行。
(3)恢復(fù)系統(tǒng)功能
3.2感染模塊
感染模塊主要完成病毒的動態(tài)感染,是各種病毒必不行少的模塊。
病毒在取得對系統(tǒng)的掌握權(quán)后,先執(zhí)行它的感染操作中的條件推斷模
塊,推斷感染條件是否滿意,假如滿意感染條件,進(jìn)行感染,將病毒
代碼放入宿主程序;然后再執(zhí)行其他的操作(如執(zhí)行病毒的表現(xiàn)(破壞)
模塊),最終再執(zhí)行系統(tǒng)正確的處理,這是病毒感染常常實行的手段
之一。
感染標(biāo)記又稱病毒簽名,表明白某種病毒的存在特性,往往是病毒
的一個重要的感染條件。感染標(biāo)記是一些具有唯一不變性的數(shù)字或字
符串,它們以ASCII碼方式存放在程序里的特定位置。感染標(biāo)記可以
存在于病毒程序的任何一點,也有可能是組合在程序中的代碼。感染
標(biāo)記是由病毒制造者有意設(shè)置的,但也可以不設(shè)置標(biāo)記。不同病毒的
感染標(biāo)記位置不同、內(nèi)容不同。病毒程序感染宿主程序時,要把感染
8
9
標(biāo)記寫入宿主程序,作為該程序已被感染的標(biāo)記。
病毒在感染健康程序以前,先要對感染對象進(jìn)行搜尋,查看它是否
帶有感染標(biāo)記。假如有,說明它己被感染過,就不會再被感染;假如
沒有,病毒就會感染該程序。
病毒的感染目標(biāo)和感染方式
就目前消失的各種計算機(jī)病毒來看,其寄生目標(biāo)有兩種:
一種是寄生在磁盤(主)引導(dǎo)扇區(qū)(利用轉(zhuǎn)儲或直接存取扇區(qū)的方法,
此方法還可將病毒駐入磁盤的文件安排表、文件名目區(qū)和數(shù)據(jù)存儲區(qū)
等,常利用INTI3H中斷);
另一種是寄生在可執(zhí)行文件
(如.E_E,.COM,.BAT,.SYS,QVL,.DLL,.V_D文件等)中。
而近來常被感染的一些數(shù)據(jù)文件(主要是微軟的辦公軟件系統(tǒng),
Word文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等等)其實也是可以看作一
種特別的可執(zhí)行文件(宏)。
文件型病毒常利用INT21H中斷來感染可執(zhí)行文件,病毒的感染通
常采納替代法、鏈接法和獨立存在法
病毒的感染機(jī)制
病毒在不同的載體上感染的機(jī)制不同。網(wǎng)絡(luò)上或系統(tǒng)上的感染是利
用網(wǎng)絡(luò)間或系統(tǒng)間的通信或數(shù)據(jù)共享機(jī)制實現(xiàn)的。存儲介質(zhì)(軟盤、
硬盤或磁帶等)或文件間的感染一般利用內(nèi)存作為中間媒介,病毒先
由帶毒介質(zhì)或文件進(jìn)入內(nèi)存,再由內(nèi)存侵入無毒介質(zhì)或文件。
病毒從內(nèi)存侵入無毒介質(zhì),常常利用操伶系統(tǒng)的讀寫磁盤中斷向量
9
10
入口地址或修改加載機(jī)制(例如INT13H或INT21H),使該中斷向量指
向病毒程序感染模塊。內(nèi)存中的病毒時刻監(jiān)視著操作系統(tǒng)的每一個操
作,這樣,一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用,病毒感染模
塊就會被激活,感染模塊在推斷感染條件滿意的條件下,把病毒自身
感染給被讀寫的磁盤或被加載的程序,實施病毒的感染,病毒被根據(jù)
病毒的磁盤儲存結(jié)構(gòu)存放在磁盤上,然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)
行原有的操作。另外還有被動感染。
3.3表現(xiàn)(破壞)模塊
表現(xiàn)(破壞)模塊主要完成病毒的表現(xiàn)或破壞功能。
它的發(fā)作部分應(yīng)具備兩個特征:程序要有肯定的隱藏性及埋伏性,
病毒發(fā)作的條件性和多樣性。
計算機(jī)病毒的破壞和表現(xiàn)模塊一般分為兩個部分:一個是破壞模塊
的觸發(fā)條件的推斷部分;一個是破壞功能的實施部分。
和病毒的感染模塊一樣,破壞模塊可能在病毒程序第一次加載時就
運行,也可能在第一次加載時只將引導(dǎo)模塊引入內(nèi)存,以后再通過某
些中斷機(jī)制觸發(fā)才運行。破壞機(jī)制在設(shè)計原則上也與感染機(jī)制基本相
同。
4.DOS基木系統(tǒng)學(xué)問
(1)引導(dǎo)程序(BOOT)。它駐留在系統(tǒng)盤的0面。道1扇區(qū),在啟動計
算機(jī)時,它首先被自動讀入內(nèi)存,然后由它負(fù)責(zé)把DOS的其他程序
調(diào)入內(nèi)存。
(2)BOM中的ROMBIOS。它供應(yīng)對計算機(jī)輸入/輸出設(shè)備進(jìn)行管理的
10
11
程序,被固化在主機(jī)板上的ROM中,是計算機(jī)硬件與軟件的最低層
的接口。
⑶輸入輸出管理IO.SYS模塊。其功能是初始化操作系統(tǒng),并供應(yīng)
DOS系統(tǒng)與ROMBIOS之間的接口。
(4)核心MSDOS.SYS模塊。它主要供應(yīng)設(shè)備管理、內(nèi)存管理、磁盤
文件及名目管理的功能,這些功能可以通過所謂的系統(tǒng)功能調(diào)用
INT21H來使用,它是用戶程序與計算機(jī)硬件之間的高層軟件接口。
⑸命令處理COMMAND.COM模塊。它是DOS調(diào)入內(nèi)存的最終一個
模塊,它的任務(wù)是負(fù)責(zé)接收和解釋用戶輸入的命令,可以執(zhí)行DOS
的全部內(nèi)、外部命令和批命令。它主要由3部分組成:常駐部分、初
始化部分和暫駐部分。
(1)在系統(tǒng)復(fù)位或加電時,計算機(jī)程序的指令指針自動從內(nèi)存地址
OFFFF:0000H外開頭執(zhí)行,該處含有一條無條件轉(zhuǎn)移指令,使掌握
轉(zhuǎn)移到系統(tǒng)的ROM板上,執(zhí)行ROMBIOS中的系統(tǒng)自檢和最初的初始
化工作程序,以及建立INT1FH以前的中斷向量表。假如自檢正常,
則把系統(tǒng)盤上存于。面0道1扇區(qū)的系統(tǒng)引導(dǎo)記錄讀入內(nèi)存地址
0000:7000H,并把掌握權(quán)交給引導(dǎo)程序中的第一條指令。
(2)引導(dǎo)記錄用于檢查系統(tǒng)所規(guī)定的兩個文件IO.SYS和MSDOS.SYS
是否按規(guī)定的位置存于啟動盤中,如符合要求就把它們讀入內(nèi)存地址
0060:0000H,否則啟動盤被認(rèn)為不合法,啟動失敗。
(3)IO.SYS與MSDOS.SYS被裝入內(nèi)存以后,引導(dǎo)記錄的使命即完成,
掌握權(quán)交給IO.SYS,該程序完成初始化系統(tǒng)、定位MSDOS.SYS以及裝
11
12
入COMMAND.COM等工作。
其主要過程是:
①建立新的磁盤基數(shù)表并修改INTIEH向量地址指向該磁盤基數(shù)表。
②初始化異步通信口R5-232和打印機(jī)口。
③修改OIH,03H,04H和1BH中斷入口。
④調(diào)用INT11H及INTI2H確定系統(tǒng)的硬件配置和內(nèi)存RAM容量。
⑤將系統(tǒng)初始化程序移到內(nèi)存高端并將MSDOS.SYS程序下移占據(jù)
其位置。
⑥掌握權(quán)交給MSDOS.SYSoMSDOS.SYS是DOS的核心部分,它在
接受掌握以后,也進(jìn)行一系列的初始化工作,這些工作包括:初始化
DOS內(nèi)部表和工作區(qū)、初始化DOS的中斷向量20H?2EH、建立磁盤
輸入/輸出參數(shù)表以及設(shè)置磁盤緩沖區(qū)和文件掌握塊等。完成這些工
作以后,連續(xù)執(zhí)行QSYS的系統(tǒng)初始化程序。
⑦初始化程序檢查系統(tǒng)盤上的系統(tǒng)配置程序CONFIG.SYS,假如存
在,則執(zhí)行該程序,按配置命令建立DOS的運行環(huán)境:設(shè)置磁盤緩
沖區(qū)大小、能同時打開的句柄文件個數(shù)、加載可安裝的設(shè)備驅(qū)動程序
等。
⑧將命令處理程序COMMAND.COM程序裝入內(nèi)存,并把掌握權(quán)交
給該程序。至此IO.SYS文件的使命即告完成。
(4)命令處理程序在接受掌握以后,重新設(shè)置中斷向量22H、23H、
24H和27H入口地址,然后檢查系統(tǒng)盤上是否存在AUTOE_EC.BAT
文件。若系統(tǒng)盤上不存在該文件,則顯示日期和時間等待用戶輸入,
12
13
顯示DOS提示符。若存在該文件,則程序轉(zhuǎn)入暫駐區(qū),由批處理程
序?qū)ζ溥M(jìn)行解釋和執(zhí)行,執(zhí)行完成后顯示DOS提示符。至此,DOS
的整個啟動過程全部結(jié)束,系統(tǒng)處于命令接受狀態(tài)。
DOS啟動后,內(nèi)存的組織即安排如圖2.6所示,該圖僅說明白DOS
在基本內(nèi)存(640KB)運行時的內(nèi)存安排狀態(tài)。在計算機(jī)通常的工作方
式(實方式)下,總體上來說,DOS可以管理的內(nèi)存空間為IMBo此
1MByte空間可分為兩大部分,一部分是RAM區(qū),另一部分則是ROM
區(qū)。而RAM區(qū)又分為系統(tǒng)程序、數(shù)據(jù)區(qū)和用戶程序區(qū)兩部分。由于
DOS的版本不同,DOS系統(tǒng)文件的長度就不同,從而駐留在內(nèi)存中的
系統(tǒng)程序占用的內(nèi)存空間也就不同,這樣用戶程序區(qū)的段地址就是一
個不確定的值。
從內(nèi)存肯定地址0040:0000H—0040:00FFH開頭存放一些重要的數(shù)
據(jù),這些數(shù)據(jù)是由ROMBIOS程序在引導(dǎo)過程中裝入的,記錄了有關(guān)
系統(tǒng)的設(shè)備配置和存儲單元的系統(tǒng)參數(shù),它們是供應(yīng)給ROMBIOS例
行程序在進(jìn)行設(shè)備操作時必備的重要數(shù)據(jù)。其中地址為40:13?40:14
的兩個字節(jié)存放了以IKB為單位的內(nèi)存總?cè)萘?含存儲擴(kuò)展板容量),
例如640KBRAM為280H。有些病毒程序通過調(diào)入內(nèi)皴高端并修改
40:13?40:14內(nèi)存而駐留內(nèi)存;地址為40:6C?40:6F的4個字節(jié)為時
鐘數(shù)據(jù)區(qū);前兩個字節(jié)(40:6C?40:6D)為0-65535之間的一個數(shù),由
8253定時器每55ms調(diào)1NT8H使數(shù)值加1;后兩個字節(jié)(40:6E?40:6F)
為小時數(shù),當(dāng)計數(shù)值滿65535時(恰好1小時),小時數(shù)加lo病毒常
通過調(diào)用這一時鐘數(shù)據(jù)來檢測激活的時機(jī)是否成熟。
13
14
電腦感染病毒的10種癥狀及簡潔處理方法電腦中病毒的癥狀介
紹
電腦中病毒的癥狀(一)文件或文件夾無故消逝:
當(dāng)發(fā)覺電腦中的部分文件或文件夾無緣無故消逝,就可以確定電腦
已經(jīng)中廣病毒。部分電腦病毒通過將文件或文件夾隱蔽,然后偽造已
隱蔽的文件或文件夾并生成可執(zhí)行文件,當(dāng)用戶點擊這類帶有病毒程
序的偽裝文件時,將直接造成病毒的運行,從而造成用戶信息的泄露。
電腦中病毒的癥狀(二)運行應(yīng)用程序無反應(yīng):
部分電腦病毒采納映像劫持技術(shù),將常用的應(yīng)用程序運行路徑進(jìn)行
更改為病毒運行名目,從而當(dāng)我們試圖運行正常的程序時,其實是運
行了病毒程序,導(dǎo)致電腦病毒的啟動。
電腦中病毒的癥狀(三)電腦啟動項含有可疑的啟動項:
檢查〃系統(tǒng)配置實現(xiàn)程序〃窗口,假如發(fā)覺有不明的可執(zhí)行名目,則
可以確定自己的電腦已經(jīng)中病毒啦。當(dāng)然更多時候病毒程序是利用修
改注冊表項來添加自啟動項。
電腦中病毒的癥狀(四)電腦運行極度緩慢:
當(dāng)電腦運行速度明顯變得緩慢時,就及有可能是電腦中病毒所致。
中病毒的電腦,通過病毒程序會在后臺持續(xù)運行,并且絕大多數(shù)病毒
會占有過多的CPU及內(nèi)存,而且木馬病毒大都會借助網(wǎng)絡(luò)來傳播用
戶隱私信息。
電腦中病毒的癥狀(五)殺毒軟件失效:
通過殺毒軟件用于對系統(tǒng)進(jìn)行防護(hù),因此當(dāng)殺毒軟件無法正常運行
14
15
進(jìn)行殺毒操作時,就可以確信電腦已中病毒,此時我們需要借助網(wǎng)絡(luò)
來實行在線殺毒操作。大部分平安防護(hù)軟件如360,金山衛(wèi)士,管家
這三款比較主流的國產(chǎn)平安防護(hù)軟件都有芻主防備的防備模塊,而病
毒或木馬最先攻擊的就是平安防護(hù)軟件的自主防備模塊。假如您發(fā)覺
主動防備模塊被關(guān)閉或平安防護(hù)軟件直接無法啟動或內(nèi)存錯誤,很有
可能是平安防護(hù)軟件也招架不住這種強(qiáng)悍的病毒而癱瘓了
電腦中病毒的癥狀(六)電腦運行特別:
病毒會占用過多的系統(tǒng)性能,以及造成文件的破壞,甚至嚴(yán)峻影響
系統(tǒng)的穩(wěn)定性。當(dāng)電腦消失無故(藍(lán)屏)、運行程序特別、運行速度
太慢以及消失大量可疑后臺運行程序時,就要引起留意,可能電腦已
經(jīng)中病毒啦。
電腦中病毒的癥狀卜匕)系統(tǒng)語言更改為其他語言
大家的計算機(jī)系統(tǒng)語言默認(rèn)是簡體中文,假如開機(jī)后發(fā)覺急速阿吉
系統(tǒng)語言被修改為其他語言,很有可能是中了惡意病毒了,可以試用
平安防護(hù)軟件掃描清除病毒
電腦中病毒的癥狀(八)藍(lán)屏黑屏
黑屏比較少見,藍(lán)屏卻比較多見了。中了莫名的惡意病毒可能在運
行某個嬉戲或某個軟件時突然計算機(jī)藍(lán)屏:藍(lán)屏代碼可能是某條常見
代碼,可能是說計算機(jī)為了愛護(hù)系統(tǒng)自動強(qiáng)行重啟。
電腦中病毒的癥狀(九)主頁篡改,強(qiáng)行刷新或跳轉(zhuǎn)網(wǎng)頁,頻繁彈廣
告
主頁被篡改是早期病毒的主要攻擊對象,計算機(jī)操作系統(tǒng)中毒后一
15
16
般都會發(fā)生掃瞄器主頁被篡改的現(xiàn)象,所以當(dāng)年IE伴侶這款修復(fù)主
頁篡改的小軟件挺受歡迎。假如同時伴有掃瞄器頁面不停反復(fù)載入/
刷新或無緣無故彈出廣告,那么很有可能是中毒了
電腦中病毒的癥狀(十)應(yīng)用程序圖標(biāo)被篡改或空白
計算機(jī)桌面的程序快捷方式圖標(biāo)或程序名目的主e_e文件的圖標(biāo)
被篡改或為空白,那么很有可能這個軟件的e_e程序被病毒或木馬
感染。我印象中蠕蟲病毒會進(jìn)行此類感染修改
電腦中病毒后簡潔的處理方式
一、正在上網(wǎng)的用戶,發(fā)覺特別應(yīng)首先立刻斷開連接
假如你發(fā)覺IE常常詢問你是否運行某些ACTIVE_控件,或是生成
莫明其妙的文件、詢問調(diào)試腳本什么的,肯定要警惕了,你可能已經(jīng)
中招了。典型的上網(wǎng)被入侵有兩種狀況:
1、是掃瞄某些帶惡意代碼的網(wǎng)頁時候被修改了掃瞄器的默認(rèn)主頁
或是標(biāo)題,這算是輕的;還有就是遇到可以格式化硬盤或是令你的
windows不斷打開窗口,直到耗盡資源(死機(jī))??這種狀況惡劣得多,
你未保存和已經(jīng)放在硬盤上的數(shù)據(jù)都可能會受到部分或全部的損失。
2、是黑客的潛在的木馬發(fā)作,或是蠕蟲類病毒發(fā)作,讓你的機(jī)器
不斷地向外界發(fā)送你的隱.私、或是利用你的名義和郵件地址發(fā)送垃圾,
進(jìn)一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除
破壞你的文件。
處理方法:立刻斷開連接,這樣能將自己的損失降低的同時,也避
開了病毒向更多的在線電腦傳播。請先不要立刻重新啟動系統(tǒng)或是關(guān)
16
17
機(jī),進(jìn)一步的處理(措施)請參看后文。
二、中毒后,應(yīng)立刻備份轉(zhuǎn)移文檔和郵件等
中毒后運行殺毒軟件清除是不在話下的了,但為了防止殺毒軟件誤
殺或是刪掉你還處理完的文檔和重要的郵件,你應(yīng)當(dāng)首先將它們轉(zhuǎn)移
備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在
windows下備份,所以第一點這里筆者建議您先不要退出windows,
由于病毒一旦發(fā)作,可能就不能進(jìn)入windows了。
不管這些文件是否帶毒了,你都應(yīng)當(dāng)備份,用標(biāo)簽紙標(biāo)記為待查即
可。由于有些病毒是特地針對某個殺毒軟件設(shè)計的,一運行就會破壞
其他的文件,所以先備份是以防萬一的措施。等你清除完硬盤內(nèi)的病
毒后,再來漸漸分析處理這些額外備份的文件較為妥當(dāng)。
三、需要在windows下先運行一下殺CIH的軟件(即使是帶毒環(huán)境)
假如是發(fā)覺了CIH病毒的,要留意不能完全按平常報刊和手冊建議
的措施,先關(guān)機(jī)、冷啟動用系統(tǒng)盤來引導(dǎo)再殺毒,應(yīng)在帶毒的環(huán)境下
也運行一次專殺QH的軟件。這樣做,殺毒軟件可能會(報告)某些
文件在受讀寫愛護(hù)無法清理,但帶毒運行的實際R的不在于完全清除
病毒,而是在于把CIH下次開機(jī)時候的破壞減到最低,以防它再次開
機(jī)破壞主板的BIOS硬件,那么就會黑屏,讓你的下一步殺毒無法進(jìn)
行。
四、需要潔凈的DOS啟動盤和DOS下面進(jìn)行殺毒
到現(xiàn)在,就應(yīng)當(dāng)按許多殺毒軟件的標(biāo)準(zhǔn)手冊去按步就班地做,即關(guān)
機(jī)后冷啟動,用一張潔凈的DOS啟動盤引導(dǎo)是不能少的了;另外由于
17
18
中毒后可能windows已經(jīng)被破壞了部分關(guān)鍵文件,會頻繁地非法操作,
所以windows下的殺毒軟件可能會無法運行。所以請你也預(yù)備一個
DOS下面的殺毒軟件來以防萬一。
即使能在windows下運行殺毒軟件的,也請用兩種以上工具交叉清
理。在多數(shù)狀況下windows可能要重裝,由十病毒會破壞掉一部分文
件讓(系統(tǒng)變慢)或消失頻繁的非法操作。比如即使殺了QH,微軟
的outlook郵件程序也是反應(yīng)較慢的。建議不要對某種殺毒軟件帶偏
見,由于開發(fā)時候側(cè)重點不同、使用的殺毒引擎不同,各種殺毒軟件
都是有自己的特長和短處的,交叉使用效果較抱負(fù)。
五、假如有Ghost和分區(qū)表、引導(dǎo)區(qū)的備份,用之來恢復(fù)一次最(保
險)
假如你在平常作了windows的Ghost備份,用之來鏡像一次,得到
的操作系統(tǒng)是最保險的。這樣連潛在的未殺光的木馬程序也順便清理
了,當(dāng)然,這要求你的GHOST備份是肯定牢靠的,呵呵,要是作Ghost
的時候把木馬也〃備份〃了就……
六、再次恢復(fù)系統(tǒng)后,更改你的網(wǎng)絡(luò)相關(guān)密碼
包括登錄網(wǎng)絡(luò)的用戶名、密碼,郵箱的密碼和的等等,防止黑客已
經(jīng)在上次入侵過程中知道了你的密碼。另外由于許多蠕蟲病毒發(fā)作會
向外隨機(jī)發(fā)送你的信息,所以適當(dāng)?shù)母氖潜匾摹?/p>
以上所述是Caesar給大家介紹的電腦感染病毒的10種癥狀及簡潔
處理方法的相關(guān)學(xué)問,盼望對大家有所關(guān)心,假如大家有任何疑問請
給我留言,Caesar會準(zhǔn)時回復(fù)大家的。
18
19
電腦病毒還能這么玩?
2021年,一種新型蠕蟲病毒〃想哭〃(WannaCry)肆虐互聯(lián)網(wǎng),其通過
微軟的MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機(jī),該
病毒感染計算機(jī)后會向計算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件
被加密。受害者電腦被黑客鎖定后,病毒會提示支付價值相當(dāng)于
300-600美元的比特幣(bitcoin)才可解鎖。
這場勒索軟件攻擊規(guī)??涨埃瑲W洲刑警組織(Europol)估量在150個
國家中,約有20萬分電腦受到感染。而依據(jù)網(wǎng)絡(luò)風(fēng)險建模公司Cyence
的數(shù)據(jù),其造成的經(jīng)濟(jì)損失可能高達(dá)40億美元。
LazarusGroup,WannaCry,2021
電腦病毒(computervirus)自誕生之日起,好像就是邪惡和犯罪的代
名詞,電腦病毒始終伴隨著互聯(lián)網(wǎng)的進(jìn)展,威逼著我們的數(shù)據(jù)財產(chǎn)平
安。甚至成為一種國防軍事武器,像〃想哭〃病毒就被認(rèn)為是黑客組織
盜取并利用了美國國家平安局開發(fā)的,漏洞利用(e_ploit)網(wǎng)絡(luò)武器
〃永恒之藍(lán)〃(EternalBlue)而造成的。
且有意制作并傳播電腦病毒也是一種嚴(yán)峻的違法行為?!吨腥A人民
共和國刑法》第286條規(guī)定:有意制作、傳播計算機(jī)病毒等破壞性程
序,影響計算機(jī)系統(tǒng)正常運行,最高可處五年以上有期徒刑。
但實際上,電腦病毒也并非都是惡意的,世界上第一款試驗室外傳
播的電腦病毒日kCloner就源于一次惡作劇。1982年,美國一個15
歲高中生里奇?斯克倫塔(RichSkrenta)出于戲弄伴侶的目的制作了基
于蘋果II電腦系統(tǒng)的日kCloner病毒,并植入到嬉戲軟盤中,帶有病
19
20
毒的軟盤在伴侶間不斷傳播,引起了史上第一次大規(guī)模電腦病毒傳播
大事。
但這款病毒并不會對系統(tǒng)和數(shù)據(jù)造成損害,感染計算機(jī)后,它只會
在屏幕上顯示一首關(guān)于ElkCloner的詩。
RichardSkrenta,ElkCloner,1982
I惡意軟件博物館
在ElkCloner開啟的數(shù)十年的電腦病毒歷史中,也誕生了不少惡作
劇性質(zhì)的病毒,有些甚至還頗具藝術(shù)性。
芬蘭計算機(jī)平安專家米科?海普寧(MikkoHypp?nen)建立了一個線
上的惡意軟件博物館(MalwareMuseum),(保藏)了不少上世紀(jì)80、
90年月各種有意思的電腦病毒。
有展現(xiàn)各種花里胡哨視覺效果的,像LSD病毒在干掉電腦系統(tǒng)后會
播放一個跟磕了藥似的迷幻動畫;Crash病毒則以五顏六色的格子和亂
碼不停洗刷畫面,讓人眼花繚亂。
DeathDealer,LSD;1994
也有可以互動的病毒一一Casino病毒要你跟它玩幾局老虎機(jī)嬉戲,
賭輸了,你硬盤里的文件也就沒了。
Casino,1990
也有像Skynet這樣特別可愛的電腦病毒。它來自臺灣,入侵電腦
后會降低系統(tǒng)的運行速度,然后在紅色背景下緩緩地打出以下的黃色
文字:別可怕,我是一種很友善的病毒。你今日做了許多工作,所以,
我會讓你的電腦慢下來。祝你擁有美妙的一天,再見。
20
21
Skynet,1994
電腦病毒好像也已然成為一種獨特的(文化),甚至上升到了藝術(shù)
的高度。黑客們制作病毒不單只是為犯罪牟利,還帶有一種戲謔、嘲
弄,或者是展現(xiàn)力量的目的,客觀上制造出了一批富有制造力和生動
趣味的電腦病毒作品。
|電腦病毒可視化
電腦病毒甚至吸引了不少視覺藝術(shù)家,成為他們的靈感來源,甚至
創(chuàng)作媒介。美國藝術(shù)家亞歷克斯?德拉古列斯庫(Ale_Dragulescu)就曾
通過算法將計算機(jī)病毒可視化,創(chuàng)作了《惡意軟件》(Malwarez)系列。
原本抽象的電腦病毒一一它們只是屏幕上的一堆代碼一一被德拉古
列斯庫用三維圖像直觀形象地展現(xiàn)出來。這些計算機(jī)程序被賦以生物
病毒的形狀,更直觀地呈現(xiàn)了電腦病毒的邪惡和可怕。
Ale_Dragulescu,Malwarezseries,2021
丹麥討論與設(shè)計試驗室SPACE10的創(chuàng)意總監(jiān)巴斯?范?德坡(Basvan
dePoel)也對電腦病毒,以及賽博世界的陰暗面深感愛好。他與20多
位藝術(shù)家合作完成了名為〃電腦病毒圖錄〃(ComputerVirusCatalog)的
項目,通過一種與德拉古列斯庫不同的方式對電腦病毒進(jìn)行可視化。
范?德坡邀請他喜愛的藝術(shù)家,將最臭名昭著的數(shù)十種電腦病毒以
插畫的形式呈現(xiàn)出來。插畫依據(jù)病毒的背景(故事)或其感染電腦后
產(chǎn)生的視覺效果進(jìn)行創(chuàng)作。這些風(fēng)格迥異的插畫也充分體現(xiàn)了電腦病
毒種類的多樣性。
CayHickson,ComputerVirusCatalog(LSD),2021
21
22
MichaelWillis,ComputerVirusCatalog(MeltingWormVirus),2021
MikePerry,ComputerVirusCatalog(Selectronic),2021
|電腦病毒展覽
喜愛電腦病毒的范?德坡甚至在荷蘭鹿特丹籌辦了一場以計算機(jī)病
毒為主題的展覽。這場名為“惡意軟件:病毒感染癥狀展〃(Malware:
SymptomsofViralInfectionE_hibition)的展覽集中展現(xiàn)了從20世紀(jì)80
年月至今的數(shù)十種聞名電腦病毒。
Malware:SymptomsofViralInfectionE_hibition展覽現(xiàn)場
實際上,這并不是第一場以電腦病毒為主題的展覽。
早在2021年,弗朗茲卡?諾莉(FranziskaNori)就在德國法蘭克福應(yīng)用
藝術(shù)博物館(MuseumAngewandteKunst)策劃了一次名為Iloveyou
[rev.eng]的展覽。其旨在討論計算機(jī)平安和計算機(jī)病毒現(xiàn)象,是一次
挑戰(zhàn)當(dāng)代文化的試驗。
展覽分為四個討論領(lǐng)域一一文化、政治、技術(shù)和歷史,關(guān)注平安專
家和黑客、網(wǎng)絡(luò)藝術(shù)家和程序員、文學(xué)專家和代碼詩人(codepoet)的
不同立場
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年度雙向轉(zhuǎn)診醫(yī)療應(yīng)急物資儲備合作協(xié)議3篇
- 構(gòu)建現(xiàn)代化產(chǎn)業(yè)體系的戰(zhàn)略與實施路徑
- 2024年二手別墅買賣合同模板:奢華庭院房產(chǎn)交易范本3篇
- 2024年度電競產(chǎn)業(yè)投資與合作合同3篇
- 2024年三輪摩托車零部件再生利用合作協(xié)議2篇
- 2024年度經(jīng)濟(jì)型A4一頁紙印刷與售后服務(wù)合同2篇
- 2024年版電焊作業(yè)標(biāo)準(zhǔn)合作合同版B版
- 2024年度房屋租賃代售權(quán)及傭金支付協(xié)議書3篇
- 2024BEC商務(wù)英語教學(xué)研討會組織與贊助合同2篇
- 2024年城市綠化用地使用權(quán)購置合同3篇
- 湖南財政經(jīng)濟(jì)學(xué)院《世界市場行情》2023-2024學(xué)年第一學(xué)期期末試卷
- 【課件】講文明懂禮儀守規(guī)矩 課件-2024-2025學(xué)年文明禮儀教育主題班會
- 施工單位主體驗收自評報告
- 醫(yī)保專(兼)職管理人員的勞動合同(2篇)
- 2024年保密基礎(chǔ)知識競賽試題庫及答案(共355題)
- 2024年儲糧安全生產(chǎn)責(zé)任制樣本(四篇)
- 2024年執(zhí)業(yè)醫(yī)師考試-中醫(yī)師承及確有專長考核考試近5年真題集錦(頻考類試題)帶答案
- 追覓科技筆試在線測評題
- Unit6《Is he your grandpa?》-2024-2025學(xué)年三年級上冊英語單元測試卷(譯林版三起 2024新教材)
- 戰(zhàn)馬魂(2023年重慶A中考語文試卷記敘文閱讀題及答案)
- 2024年中國物流集團(tuán)限公司夏季招聘高頻500題難、易錯點模擬試題附帶答案詳解
評論
0/150
提交評論