計算機(jī)病毒基礎(chǔ)知識大全科普_第1頁
計算機(jī)病毒基礎(chǔ)知識大全科普_第2頁
計算機(jī)病毒基礎(chǔ)知識大全科普_第3頁
計算機(jī)病毒基礎(chǔ)知識大全科普_第4頁
計算機(jī)病毒基礎(chǔ)知識大全科普_第5頁
已閱讀5頁,還剩19頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1

計算機(jī)病毒基礎(chǔ)知識大全科普

計算機(jī)病毒

計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的,破壞計算機(jī)功能

或數(shù)據(jù)、影響計算機(jī)使用,并能自我復(fù)制的一組計算機(jī)指令或者程序

代碼。

1.計算機(jī)病毒的特點

電腦病毒的主要特點如下。

⑴隱藏性

電腦病毒的隱藏性使得人們不簡單發(fā)覺它,例如有的病毒要等到某

個月13日且是星期五才發(fā)作,平常的日子不發(fā)作。一臺電腦或者一

張軟盤被感染上病毒一般是無法事先知道的,病毒程序是一個沒有文

件名的程序。

⑵埋伏性

從被感染上電腦病毒到電腦病毒開頭運行,一般是需要經(jīng)過一段時

間的。當(dāng)滿意病毒發(fā)作的指定環(huán)境條件時:病毒程序才開頭發(fā)作。

⑶傳染性

電腦病毒程序的一個主要特點是能夠?qū)⒆陨淼某绦驈?fù)制給其他程

序(文件型病毒),或者放入指定的位置,如引導(dǎo)扇區(qū)(引導(dǎo)型病毒)。

⑷哄騙性

每個電腦病毒都具有特洛伊木馬的特點,用哄騙手段寄生在其他文

1

2

件上,一旦該文件被加載,就會讓病毒發(fā)作并破壞電腦的軟、硬件資

源,迫使電腦無法正常工作。

⑸危害性

病毒的危害性是明顯的,幾乎沒有一個無害的病毒。它的危害性不

僅體現(xiàn)在破壞系統(tǒng),刪除或者修改數(shù)據(jù)方面,而且還要占用系統(tǒng)資源,

干擾機(jī)器的正常運行等。

2.計算機(jī)病毒的分類

2.1按傳染方式分類

病毒按傳染方式可分為:

1).引導(dǎo)區(qū)電腦病毒

2).文件型電腦病毒

3).復(fù)合型電腦病毒

4).宏病毒

5).木馬

6).蠕蟲

1).引導(dǎo)區(qū)電腦病毒:

隱蔽在磁盤內(nèi),在系統(tǒng)文件啟動以前電腦病毒已駐留在內(nèi)存內(nèi)。這

樣一來,電腦病毒就可完全掌握DOS中斷功能,以便進(jìn)行病毒傳播

和破壞活動。那些設(shè)計在DOS或Windows3.1上執(zhí)行的引導(dǎo)區(qū)病毒是

不能夠在新的電腦(操作系統(tǒng))上傳播°

2).文件型電腦病毒

又稱寄生病毒,通常感染執(zhí)行文件(.E_E),但是也有些會感染(其

2

3

它)可執(zhí)行文件,如DLL,SCR等。每次執(zhí)行受感染的文件時,電腦病

毒便會發(fā)作(電腦病毒會將自己復(fù)制到其他可執(zhí)行文件,并且連續(xù)執(zhí)

行原有的程序,以免被用戶所察覺)。

典型例子:CIH會感染W(wǎng)indows95/98的,E_E文件,并在每月的26

號發(fā)作日進(jìn)行嚴(yán)峻破壞。于每月的26號當(dāng)bl,此電腦病毒會試圖把

一些隨機(jī)資料覆寫在系統(tǒng)的硬盤,令該硬盤無法讀取原有資料。此外,

這病毒又會試圖破壞Flash(BIOS)內(nèi)的資料。

3).復(fù)合型電腦病毒:

具有引導(dǎo)區(qū)病毒和文件型病毒的雙重特點。

4).宏病毒:

宏病毒特地針對特定的應(yīng)用軟件,可感染依附于某些應(yīng)用軟件內(nèi)的

宏指令,它可以很簡單透過電子郵件附件、軟盤、文件下載和群組軟

件等多種方式進(jìn)行傳播如MicrosoftWord和E_celo

與其他電腦病毒類型的區(qū)分是宏病毒是攻擊數(shù)據(jù)文件而不是程序

文件。

5).特洛伊或特洛伊木馬

是一個看似正值的程序,但事實上當(dāng)執(zhí)行時會進(jìn)行一些惡性及不正

值的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬盤

內(nèi)的程序或數(shù)據(jù)。

特洛伊木馬與電腦病毒的重大區(qū)分是特洛伊木馬不具傳染性,它并

不能像病毒那樣復(fù)制自身,也并不刻意地去感染其他文件,它主要通

過將自身偽裝起來,吸引用戶下載執(zhí)行。

3

4

6).蠕蟲:

一般認(rèn)為:蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一

些共性,如傳播性、隱藏性、破壞性等等,同時具有自己的一些特征,

如不利用文件寄生(有的只存在于內(nèi)存中),對網(wǎng)絡(luò)造成拒絕服務(wù),以

及和黑客技術(shù)相結(jié)合,等等。

依據(jù)使用者狀況將蠕蟲病毒分為兩類:一種是面對企業(yè)用戶和局域

網(wǎng)而言;這種病毒利用系統(tǒng)漏洞,主動進(jìn)行攻擊,可以對整個互聯(lián)網(wǎng)

可造成癱瘓性的后果。另外一種是針對個人用戶的,通過網(wǎng)絡(luò)(主要

是電子郵件、惡意網(wǎng)頁形式)快速傳播的蠕蟲病毒,以愛蟲病毒、求

職信病毒為代表。

蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的全部計算機(jī),局域網(wǎng)條件下的共

享文件夾、電子郵件Email、網(wǎng)絡(luò)中的惡意網(wǎng)頁、大量存在著漏洞的

服務(wù)器等。

它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程序,但蠕

蟲是專注于利用網(wǎng)絡(luò)去集中。

2.2按連接方式分類

病毒按連接方式分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、

外殼型病毒等四種。

(1)源碼型病毒

該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序

編譯前插入到原程序中,經(jīng)編譯成為合法程序的一部分。

⑵嵌入型病毒

4

5

這種病毒是將自身嵌入到現(xiàn)有程序中,把計算機(jī)病毒的主體程序與

其攻擊的對象以插入的方式鏈接。這種計算機(jī)病毒是難以編寫的,一

旦侵入程序體后也較難消退。假如同時采納多態(tài)性病毒技術(shù),超級病

毒技術(shù)和隱藏性病毒技術(shù),將給當(dāng)前的反病毒技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。

(3)外殼型病毒

外殼型病毒將其自身包圍在主程序的四周,對原來的程序不作修改。

這種病毒最為常見,易于編寫,也易于發(fā)覺,一般測試文件的大小即

可知。

(4)操作系統(tǒng)型病毒

這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作,

具有很強(qiáng)的破壞力,可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒

就是典型的操作系統(tǒng)型病毒。

這種病毒在運行時,用自己的規(guī)律部分取代操作系統(tǒng)的合法程序模

塊,依據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作

系統(tǒng)中運行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等,對操

作系統(tǒng)進(jìn)行破壞。

2.3根據(jù)計算機(jī)病毒激活的時間分類

根據(jù)計算機(jī)病毒激活時間可分為定時的和隨機(jī)的。定時病毒僅在某

一特定時間才發(fā)作,而隨機(jī)病毒一般不是由時鐘來激活的。

2.4根據(jù)傳播媒介分類

根據(jù)計算機(jī)病毒的傳播媒介來分類,可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。

(1)單機(jī)病毒

5

6

單機(jī)病毒的載體是磁盤,常見的是病毒從軟盤傳入硬盤,感染系統(tǒng),

然后再傳染其他軟盤,軟盤又傳染其他系統(tǒng)。

(2)網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒的傳播媒介不再是移動式載體:而是網(wǎng)絡(luò)通道,這種病毒

的傳染力量更強(qiáng),破壞力更大。

2.5根據(jù)寄生方式和傳染途徑分類

計算機(jī)病毒按其寄生方式大致可分為兩類,一是引導(dǎo)型病毒,二是

文件型病毒;它們再按其傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存

型,駐留內(nèi)存型按其駐留內(nèi)存方式又可細(xì)分。混合型病毒集引導(dǎo)型和

文件型病毒特性于一體。

2.6按病毒的特性分類

Trojan-特洛伊木馬,有這個前綴的就是木馬了,在此類病毒名中有

PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能。

比如Trojuan.pass.ao

Win32PEWin95W32W95--系統(tǒng)病毒,特性是可以感染windows操

作系統(tǒng)的_.e_e和_.dll文件。

Worm--蠕蟲病毒,通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播。比較聞名的有

沖擊波。

Script--腳本病毒一般來說,腳本病毒還會有如下前綴:VBSJS(表明

是何種腳本編寫的)比如歡快時間。

Backdoor-后門病毒,特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,最聞

名的就是灰鴿子為代表。

6

7

Dropper-(種植)程序病毒,特性是運行時會從體內(nèi)釋放出一個或

幾個新的病毒到系統(tǒng)名目下,代表就是落雪了。

Joke?一玩笑病毒,只是嚇嚇人而已,沒什么危害。

HackTool-黑客工具。

Downloader-木馬下我者,以體積小的下載者下載體積大的木馬,

便利隱蔽。

AdWare-(廣告)病毒,監(jiān)視你在上網(wǎng)忖的一舉一動,然后把信息

反饋到用它的公司。

3.計算機(jī)病毒程序結(jié)構(gòu)

病毒引導(dǎo)模塊的主要作用是將靜態(tài)病毒激活,使之成為動態(tài)病毒

(加載)。

病毒程序的加載分為兩個步驟:一是系統(tǒng)加載過程;二是病毒附加

的加載過程。病毒程序選擇的加載點、目標(biāo)多是計算機(jī)的固有弱點或

軟件系統(tǒng)的輸入節(jié)點。

病毒程序的加載受到操作系統(tǒng)的制約。DOS系統(tǒng)下,病毒程序的加

載有3種方式:①參加系統(tǒng)啟動過程②依附正常文件加載③直接運

行病毒程序

DOS系統(tǒng)下,病毒的加載過程,主要由3個步驟組成:

(1)開拓內(nèi)存空間;

(2)病毒體定位和駐留;

其中駐留內(nèi)存的(方法)有以下幾種:

①削減DOS系統(tǒng)可安排空間

7

8

②利用系統(tǒng)模塊間的空隙和DOS間隙

③利用功能調(diào)用駐留內(nèi)存

④占用系統(tǒng)程序使用空間(又稱程序掩蓋方法)

一般Windows環(huán)境下的病毒有3種方法駐留內(nèi)存:一是將病毒作

為一個Windows環(huán)境下的應(yīng)用程序,擁有自己的窗口(隱蔽的)和消息

處理函數(shù);二是使用DPMI申請一塊系統(tǒng)內(nèi)存,將病毒代碼放入其中;

三是將病毒作為一個V_D(WIN9_下的設(shè)備驅(qū)動程序)或

VDD(WIN2000/NT下的設(shè)備驅(qū)動程序)加載到內(nèi)存中運行。

(3)恢復(fù)系統(tǒng)功能

3.2感染模塊

感染模塊主要完成病毒的動態(tài)感染,是各種病毒必不行少的模塊。

病毒在取得對系統(tǒng)的掌握權(quán)后,先執(zhí)行它的感染操作中的條件推斷模

塊,推斷感染條件是否滿意,假如滿意感染條件,進(jìn)行感染,將病毒

代碼放入宿主程序;然后再執(zhí)行其他的操作(如執(zhí)行病毒的表現(xiàn)(破壞)

模塊),最終再執(zhí)行系統(tǒng)正確的處理,這是病毒感染常常實行的手段

之一。

感染標(biāo)記又稱病毒簽名,表明白某種病毒的存在特性,往往是病毒

的一個重要的感染條件。感染標(biāo)記是一些具有唯一不變性的數(shù)字或字

符串,它們以ASCII碼方式存放在程序里的特定位置。感染標(biāo)記可以

存在于病毒程序的任何一點,也有可能是組合在程序中的代碼。感染

標(biāo)記是由病毒制造者有意設(shè)置的,但也可以不設(shè)置標(biāo)記。不同病毒的

感染標(biāo)記位置不同、內(nèi)容不同。病毒程序感染宿主程序時,要把感染

8

9

標(biāo)記寫入宿主程序,作為該程序已被感染的標(biāo)記。

病毒在感染健康程序以前,先要對感染對象進(jìn)行搜尋,查看它是否

帶有感染標(biāo)記。假如有,說明它己被感染過,就不會再被感染;假如

沒有,病毒就會感染該程序。

病毒的感染目標(biāo)和感染方式

就目前消失的各種計算機(jī)病毒來看,其寄生目標(biāo)有兩種:

一種是寄生在磁盤(主)引導(dǎo)扇區(qū)(利用轉(zhuǎn)儲或直接存取扇區(qū)的方法,

此方法還可將病毒駐入磁盤的文件安排表、文件名目區(qū)和數(shù)據(jù)存儲區(qū)

等,常利用INTI3H中斷);

另一種是寄生在可執(zhí)行文件

(如.E_E,.COM,.BAT,.SYS,QVL,.DLL,.V_D文件等)中。

而近來常被感染的一些數(shù)據(jù)文件(主要是微軟的辦公軟件系統(tǒng),

Word文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等等)其實也是可以看作一

種特別的可執(zhí)行文件(宏)。

文件型病毒常利用INT21H中斷來感染可執(zhí)行文件,病毒的感染通

常采納替代法、鏈接法和獨立存在法

病毒的感染機(jī)制

病毒在不同的載體上感染的機(jī)制不同。網(wǎng)絡(luò)上或系統(tǒng)上的感染是利

用網(wǎng)絡(luò)間或系統(tǒng)間的通信或數(shù)據(jù)共享機(jī)制實現(xiàn)的。存儲介質(zhì)(軟盤、

硬盤或磁帶等)或文件間的感染一般利用內(nèi)存作為中間媒介,病毒先

由帶毒介質(zhì)或文件進(jìn)入內(nèi)存,再由內(nèi)存侵入無毒介質(zhì)或文件。

病毒從內(nèi)存侵入無毒介質(zhì),常常利用操伶系統(tǒng)的讀寫磁盤中斷向量

9

10

入口地址或修改加載機(jī)制(例如INT13H或INT21H),使該中斷向量指

向病毒程序感染模塊。內(nèi)存中的病毒時刻監(jiān)視著操作系統(tǒng)的每一個操

作,這樣,一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用,病毒感染模

塊就會被激活,感染模塊在推斷感染條件滿意的條件下,把病毒自身

感染給被讀寫的磁盤或被加載的程序,實施病毒的感染,病毒被根據(jù)

病毒的磁盤儲存結(jié)構(gòu)存放在磁盤上,然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)

行原有的操作。另外還有被動感染。

3.3表現(xiàn)(破壞)模塊

表現(xiàn)(破壞)模塊主要完成病毒的表現(xiàn)或破壞功能。

它的發(fā)作部分應(yīng)具備兩個特征:程序要有肯定的隱藏性及埋伏性,

病毒發(fā)作的條件性和多樣性。

計算機(jī)病毒的破壞和表現(xiàn)模塊一般分為兩個部分:一個是破壞模塊

的觸發(fā)條件的推斷部分;一個是破壞功能的實施部分。

和病毒的感染模塊一樣,破壞模塊可能在病毒程序第一次加載時就

運行,也可能在第一次加載時只將引導(dǎo)模塊引入內(nèi)存,以后再通過某

些中斷機(jī)制觸發(fā)才運行。破壞機(jī)制在設(shè)計原則上也與感染機(jī)制基本相

同。

4.DOS基木系統(tǒng)學(xué)問

(1)引導(dǎo)程序(BOOT)。它駐留在系統(tǒng)盤的0面。道1扇區(qū),在啟動計

算機(jī)時,它首先被自動讀入內(nèi)存,然后由它負(fù)責(zé)把DOS的其他程序

調(diào)入內(nèi)存。

(2)BOM中的ROMBIOS。它供應(yīng)對計算機(jī)輸入/輸出設(shè)備進(jìn)行管理的

10

11

程序,被固化在主機(jī)板上的ROM中,是計算機(jī)硬件與軟件的最低層

的接口。

⑶輸入輸出管理IO.SYS模塊。其功能是初始化操作系統(tǒng),并供應(yīng)

DOS系統(tǒng)與ROMBIOS之間的接口。

(4)核心MSDOS.SYS模塊。它主要供應(yīng)設(shè)備管理、內(nèi)存管理、磁盤

文件及名目管理的功能,這些功能可以通過所謂的系統(tǒng)功能調(diào)用

INT21H來使用,它是用戶程序與計算機(jī)硬件之間的高層軟件接口。

⑸命令處理COMMAND.COM模塊。它是DOS調(diào)入內(nèi)存的最終一個

模塊,它的任務(wù)是負(fù)責(zé)接收和解釋用戶輸入的命令,可以執(zhí)行DOS

的全部內(nèi)、外部命令和批命令。它主要由3部分組成:常駐部分、初

始化部分和暫駐部分。

(1)在系統(tǒng)復(fù)位或加電時,計算機(jī)程序的指令指針自動從內(nèi)存地址

OFFFF:0000H外開頭執(zhí)行,該處含有一條無條件轉(zhuǎn)移指令,使掌握

轉(zhuǎn)移到系統(tǒng)的ROM板上,執(zhí)行ROMBIOS中的系統(tǒng)自檢和最初的初始

化工作程序,以及建立INT1FH以前的中斷向量表。假如自檢正常,

則把系統(tǒng)盤上存于。面0道1扇區(qū)的系統(tǒng)引導(dǎo)記錄讀入內(nèi)存地址

0000:7000H,并把掌握權(quán)交給引導(dǎo)程序中的第一條指令。

(2)引導(dǎo)記錄用于檢查系統(tǒng)所規(guī)定的兩個文件IO.SYS和MSDOS.SYS

是否按規(guī)定的位置存于啟動盤中,如符合要求就把它們讀入內(nèi)存地址

0060:0000H,否則啟動盤被認(rèn)為不合法,啟動失敗。

(3)IO.SYS與MSDOS.SYS被裝入內(nèi)存以后,引導(dǎo)記錄的使命即完成,

掌握權(quán)交給IO.SYS,該程序完成初始化系統(tǒng)、定位MSDOS.SYS以及裝

11

12

入COMMAND.COM等工作。

其主要過程是:

①建立新的磁盤基數(shù)表并修改INTIEH向量地址指向該磁盤基數(shù)表。

②初始化異步通信口R5-232和打印機(jī)口。

③修改OIH,03H,04H和1BH中斷入口。

④調(diào)用INT11H及INTI2H確定系統(tǒng)的硬件配置和內(nèi)存RAM容量。

⑤將系統(tǒng)初始化程序移到內(nèi)存高端并將MSDOS.SYS程序下移占據(jù)

其位置。

⑥掌握權(quán)交給MSDOS.SYSoMSDOS.SYS是DOS的核心部分,它在

接受掌握以后,也進(jìn)行一系列的初始化工作,這些工作包括:初始化

DOS內(nèi)部表和工作區(qū)、初始化DOS的中斷向量20H?2EH、建立磁盤

輸入/輸出參數(shù)表以及設(shè)置磁盤緩沖區(qū)和文件掌握塊等。完成這些工

作以后,連續(xù)執(zhí)行QSYS的系統(tǒng)初始化程序。

⑦初始化程序檢查系統(tǒng)盤上的系統(tǒng)配置程序CONFIG.SYS,假如存

在,則執(zhí)行該程序,按配置命令建立DOS的運行環(huán)境:設(shè)置磁盤緩

沖區(qū)大小、能同時打開的句柄文件個數(shù)、加載可安裝的設(shè)備驅(qū)動程序

等。

⑧將命令處理程序COMMAND.COM程序裝入內(nèi)存,并把掌握權(quán)交

給該程序。至此IO.SYS文件的使命即告完成。

(4)命令處理程序在接受掌握以后,重新設(shè)置中斷向量22H、23H、

24H和27H入口地址,然后檢查系統(tǒng)盤上是否存在AUTOE_EC.BAT

文件。若系統(tǒng)盤上不存在該文件,則顯示日期和時間等待用戶輸入,

12

13

顯示DOS提示符。若存在該文件,則程序轉(zhuǎn)入暫駐區(qū),由批處理程

序?qū)ζ溥M(jìn)行解釋和執(zhí)行,執(zhí)行完成后顯示DOS提示符。至此,DOS

的整個啟動過程全部結(jié)束,系統(tǒng)處于命令接受狀態(tài)。

DOS啟動后,內(nèi)存的組織即安排如圖2.6所示,該圖僅說明白DOS

在基本內(nèi)存(640KB)運行時的內(nèi)存安排狀態(tài)。在計算機(jī)通常的工作方

式(實方式)下,總體上來說,DOS可以管理的內(nèi)存空間為IMBo此

1MByte空間可分為兩大部分,一部分是RAM區(qū),另一部分則是ROM

區(qū)。而RAM區(qū)又分為系統(tǒng)程序、數(shù)據(jù)區(qū)和用戶程序區(qū)兩部分。由于

DOS的版本不同,DOS系統(tǒng)文件的長度就不同,從而駐留在內(nèi)存中的

系統(tǒng)程序占用的內(nèi)存空間也就不同,這樣用戶程序區(qū)的段地址就是一

個不確定的值。

從內(nèi)存肯定地址0040:0000H—0040:00FFH開頭存放一些重要的數(shù)

據(jù),這些數(shù)據(jù)是由ROMBIOS程序在引導(dǎo)過程中裝入的,記錄了有關(guān)

系統(tǒng)的設(shè)備配置和存儲單元的系統(tǒng)參數(shù),它們是供應(yīng)給ROMBIOS例

行程序在進(jìn)行設(shè)備操作時必備的重要數(shù)據(jù)。其中地址為40:13?40:14

的兩個字節(jié)存放了以IKB為單位的內(nèi)存總?cè)萘?含存儲擴(kuò)展板容量),

例如640KBRAM為280H。有些病毒程序通過調(diào)入內(nèi)皴高端并修改

40:13?40:14內(nèi)存而駐留內(nèi)存;地址為40:6C?40:6F的4個字節(jié)為時

鐘數(shù)據(jù)區(qū);前兩個字節(jié)(40:6C?40:6D)為0-65535之間的一個數(shù),由

8253定時器每55ms調(diào)1NT8H使數(shù)值加1;后兩個字節(jié)(40:6E?40:6F)

為小時數(shù),當(dāng)計數(shù)值滿65535時(恰好1小時),小時數(shù)加lo病毒常

通過調(diào)用這一時鐘數(shù)據(jù)來檢測激活的時機(jī)是否成熟。

13

14

電腦感染病毒的10種癥狀及簡潔處理方法電腦中病毒的癥狀介

電腦中病毒的癥狀(一)文件或文件夾無故消逝:

當(dāng)發(fā)覺電腦中的部分文件或文件夾無緣無故消逝,就可以確定電腦

已經(jīng)中廣病毒。部分電腦病毒通過將文件或文件夾隱蔽,然后偽造已

隱蔽的文件或文件夾并生成可執(zhí)行文件,當(dāng)用戶點擊這類帶有病毒程

序的偽裝文件時,將直接造成病毒的運行,從而造成用戶信息的泄露。

電腦中病毒的癥狀(二)運行應(yīng)用程序無反應(yīng):

部分電腦病毒采納映像劫持技術(shù),將常用的應(yīng)用程序運行路徑進(jìn)行

更改為病毒運行名目,從而當(dāng)我們試圖運行正常的程序時,其實是運

行了病毒程序,導(dǎo)致電腦病毒的啟動。

電腦中病毒的癥狀(三)電腦啟動項含有可疑的啟動項:

檢查〃系統(tǒng)配置實現(xiàn)程序〃窗口,假如發(fā)覺有不明的可執(zhí)行名目,則

可以確定自己的電腦已經(jīng)中病毒啦。當(dāng)然更多時候病毒程序是利用修

改注冊表項來添加自啟動項。

電腦中病毒的癥狀(四)電腦運行極度緩慢:

當(dāng)電腦運行速度明顯變得緩慢時,就及有可能是電腦中病毒所致。

中病毒的電腦,通過病毒程序會在后臺持續(xù)運行,并且絕大多數(shù)病毒

會占有過多的CPU及內(nèi)存,而且木馬病毒大都會借助網(wǎng)絡(luò)來傳播用

戶隱私信息。

電腦中病毒的癥狀(五)殺毒軟件失效:

通過殺毒軟件用于對系統(tǒng)進(jìn)行防護(hù),因此當(dāng)殺毒軟件無法正常運行

14

15

進(jìn)行殺毒操作時,就可以確信電腦已中病毒,此時我們需要借助網(wǎng)絡(luò)

來實行在線殺毒操作。大部分平安防護(hù)軟件如360,金山衛(wèi)士,管家

這三款比較主流的國產(chǎn)平安防護(hù)軟件都有芻主防備的防備模塊,而病

毒或木馬最先攻擊的就是平安防護(hù)軟件的自主防備模塊。假如您發(fā)覺

主動防備模塊被關(guān)閉或平安防護(hù)軟件直接無法啟動或內(nèi)存錯誤,很有

可能是平安防護(hù)軟件也招架不住這種強(qiáng)悍的病毒而癱瘓了

電腦中病毒的癥狀(六)電腦運行特別:

病毒會占用過多的系統(tǒng)性能,以及造成文件的破壞,甚至嚴(yán)峻影響

系統(tǒng)的穩(wěn)定性。當(dāng)電腦消失無故(藍(lán)屏)、運行程序特別、運行速度

太慢以及消失大量可疑后臺運行程序時,就要引起留意,可能電腦已

經(jīng)中病毒啦。

電腦中病毒的癥狀卜匕)系統(tǒng)語言更改為其他語言

大家的計算機(jī)系統(tǒng)語言默認(rèn)是簡體中文,假如開機(jī)后發(fā)覺急速阿吉

系統(tǒng)語言被修改為其他語言,很有可能是中了惡意病毒了,可以試用

平安防護(hù)軟件掃描清除病毒

電腦中病毒的癥狀(八)藍(lán)屏黑屏

黑屏比較少見,藍(lán)屏卻比較多見了。中了莫名的惡意病毒可能在運

行某個嬉戲或某個軟件時突然計算機(jī)藍(lán)屏:藍(lán)屏代碼可能是某條常見

代碼,可能是說計算機(jī)為了愛護(hù)系統(tǒng)自動強(qiáng)行重啟。

電腦中病毒的癥狀(九)主頁篡改,強(qiáng)行刷新或跳轉(zhuǎn)網(wǎng)頁,頻繁彈廣

主頁被篡改是早期病毒的主要攻擊對象,計算機(jī)操作系統(tǒng)中毒后一

15

16

般都會發(fā)生掃瞄器主頁被篡改的現(xiàn)象,所以當(dāng)年IE伴侶這款修復(fù)主

頁篡改的小軟件挺受歡迎。假如同時伴有掃瞄器頁面不停反復(fù)載入/

刷新或無緣無故彈出廣告,那么很有可能是中毒了

電腦中病毒的癥狀(十)應(yīng)用程序圖標(biāo)被篡改或空白

計算機(jī)桌面的程序快捷方式圖標(biāo)或程序名目的主e_e文件的圖標(biāo)

被篡改或為空白,那么很有可能這個軟件的e_e程序被病毒或木馬

感染。我印象中蠕蟲病毒會進(jìn)行此類感染修改

電腦中病毒后簡潔的處理方式

一、正在上網(wǎng)的用戶,發(fā)覺特別應(yīng)首先立刻斷開連接

假如你發(fā)覺IE常常詢問你是否運行某些ACTIVE_控件,或是生成

莫明其妙的文件、詢問調(diào)試腳本什么的,肯定要警惕了,你可能已經(jīng)

中招了。典型的上網(wǎng)被入侵有兩種狀況:

1、是掃瞄某些帶惡意代碼的網(wǎng)頁時候被修改了掃瞄器的默認(rèn)主頁

或是標(biāo)題,這算是輕的;還有就是遇到可以格式化硬盤或是令你的

windows不斷打開窗口,直到耗盡資源(死機(jī))??這種狀況惡劣得多,

你未保存和已經(jīng)放在硬盤上的數(shù)據(jù)都可能會受到部分或全部的損失。

2、是黑客的潛在的木馬發(fā)作,或是蠕蟲類病毒發(fā)作,讓你的機(jī)器

不斷地向外界發(fā)送你的隱.私、或是利用你的名義和郵件地址發(fā)送垃圾,

進(jìn)一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除

破壞你的文件。

處理方法:立刻斷開連接,這樣能將自己的損失降低的同時,也避

開了病毒向更多的在線電腦傳播。請先不要立刻重新啟動系統(tǒng)或是關(guān)

16

17

機(jī),進(jìn)一步的處理(措施)請參看后文。

二、中毒后,應(yīng)立刻備份轉(zhuǎn)移文檔和郵件等

中毒后運行殺毒軟件清除是不在話下的了,但為了防止殺毒軟件誤

殺或是刪掉你還處理完的文檔和重要的郵件,你應(yīng)當(dāng)首先將它們轉(zhuǎn)移

備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在

windows下備份,所以第一點這里筆者建議您先不要退出windows,

由于病毒一旦發(fā)作,可能就不能進(jìn)入windows了。

不管這些文件是否帶毒了,你都應(yīng)當(dāng)備份,用標(biāo)簽紙標(biāo)記為待查即

可。由于有些病毒是特地針對某個殺毒軟件設(shè)計的,一運行就會破壞

其他的文件,所以先備份是以防萬一的措施。等你清除完硬盤內(nèi)的病

毒后,再來漸漸分析處理這些額外備份的文件較為妥當(dāng)。

三、需要在windows下先運行一下殺CIH的軟件(即使是帶毒環(huán)境)

假如是發(fā)覺了CIH病毒的,要留意不能完全按平常報刊和手冊建議

的措施,先關(guān)機(jī)、冷啟動用系統(tǒng)盤來引導(dǎo)再殺毒,應(yīng)在帶毒的環(huán)境下

也運行一次專殺QH的軟件。這樣做,殺毒軟件可能會(報告)某些

文件在受讀寫愛護(hù)無法清理,但帶毒運行的實際R的不在于完全清除

病毒,而是在于把CIH下次開機(jī)時候的破壞減到最低,以防它再次開

機(jī)破壞主板的BIOS硬件,那么就會黑屏,讓你的下一步殺毒無法進(jìn)

行。

四、需要潔凈的DOS啟動盤和DOS下面進(jìn)行殺毒

到現(xiàn)在,就應(yīng)當(dāng)按許多殺毒軟件的標(biāo)準(zhǔn)手冊去按步就班地做,即關(guān)

機(jī)后冷啟動,用一張潔凈的DOS啟動盤引導(dǎo)是不能少的了;另外由于

17

18

中毒后可能windows已經(jīng)被破壞了部分關(guān)鍵文件,會頻繁地非法操作,

所以windows下的殺毒軟件可能會無法運行。所以請你也預(yù)備一個

DOS下面的殺毒軟件來以防萬一。

即使能在windows下運行殺毒軟件的,也請用兩種以上工具交叉清

理。在多數(shù)狀況下windows可能要重裝,由十病毒會破壞掉一部分文

件讓(系統(tǒng)變慢)或消失頻繁的非法操作。比如即使殺了QH,微軟

的outlook郵件程序也是反應(yīng)較慢的。建議不要對某種殺毒軟件帶偏

見,由于開發(fā)時候側(cè)重點不同、使用的殺毒引擎不同,各種殺毒軟件

都是有自己的特長和短處的,交叉使用效果較抱負(fù)。

五、假如有Ghost和分區(qū)表、引導(dǎo)區(qū)的備份,用之來恢復(fù)一次最(保

險)

假如你在平常作了windows的Ghost備份,用之來鏡像一次,得到

的操作系統(tǒng)是最保險的。這樣連潛在的未殺光的木馬程序也順便清理

了,當(dāng)然,這要求你的GHOST備份是肯定牢靠的,呵呵,要是作Ghost

的時候把木馬也〃備份〃了就……

六、再次恢復(fù)系統(tǒng)后,更改你的網(wǎng)絡(luò)相關(guān)密碼

包括登錄網(wǎng)絡(luò)的用戶名、密碼,郵箱的密碼和的等等,防止黑客已

經(jīng)在上次入侵過程中知道了你的密碼。另外由于許多蠕蟲病毒發(fā)作會

向外隨機(jī)發(fā)送你的信息,所以適當(dāng)?shù)母氖潜匾摹?/p>

以上所述是Caesar給大家介紹的電腦感染病毒的10種癥狀及簡潔

處理方法的相關(guān)學(xué)問,盼望對大家有所關(guān)心,假如大家有任何疑問請

給我留言,Caesar會準(zhǔn)時回復(fù)大家的。

18

19

電腦病毒還能這么玩?

2021年,一種新型蠕蟲病毒〃想哭〃(WannaCry)肆虐互聯(lián)網(wǎng),其通過

微軟的MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機(jī),該

病毒感染計算機(jī)后會向計算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件

被加密。受害者電腦被黑客鎖定后,病毒會提示支付價值相當(dāng)于

300-600美元的比特幣(bitcoin)才可解鎖。

這場勒索軟件攻擊規(guī)??涨埃瑲W洲刑警組織(Europol)估量在150個

國家中,約有20萬分電腦受到感染。而依據(jù)網(wǎng)絡(luò)風(fēng)險建模公司Cyence

的數(shù)據(jù),其造成的經(jīng)濟(jì)損失可能高達(dá)40億美元。

LazarusGroup,WannaCry,2021

電腦病毒(computervirus)自誕生之日起,好像就是邪惡和犯罪的代

名詞,電腦病毒始終伴隨著互聯(lián)網(wǎng)的進(jìn)展,威逼著我們的數(shù)據(jù)財產(chǎn)平

安。甚至成為一種國防軍事武器,像〃想哭〃病毒就被認(rèn)為是黑客組織

盜取并利用了美國國家平安局開發(fā)的,漏洞利用(e_ploit)網(wǎng)絡(luò)武器

〃永恒之藍(lán)〃(EternalBlue)而造成的。

且有意制作并傳播電腦病毒也是一種嚴(yán)峻的違法行為?!吨腥A人民

共和國刑法》第286條規(guī)定:有意制作、傳播計算機(jī)病毒等破壞性程

序,影響計算機(jī)系統(tǒng)正常運行,最高可處五年以上有期徒刑。

但實際上,電腦病毒也并非都是惡意的,世界上第一款試驗室外傳

播的電腦病毒日kCloner就源于一次惡作劇。1982年,美國一個15

歲高中生里奇?斯克倫塔(RichSkrenta)出于戲弄伴侶的目的制作了基

于蘋果II電腦系統(tǒng)的日kCloner病毒,并植入到嬉戲軟盤中,帶有病

19

20

毒的軟盤在伴侶間不斷傳播,引起了史上第一次大規(guī)模電腦病毒傳播

大事。

但這款病毒并不會對系統(tǒng)和數(shù)據(jù)造成損害,感染計算機(jī)后,它只會

在屏幕上顯示一首關(guān)于ElkCloner的詩。

RichardSkrenta,ElkCloner,1982

I惡意軟件博物館

在ElkCloner開啟的數(shù)十年的電腦病毒歷史中,也誕生了不少惡作

劇性質(zhì)的病毒,有些甚至還頗具藝術(shù)性。

芬蘭計算機(jī)平安專家米科?海普寧(MikkoHypp?nen)建立了一個線

上的惡意軟件博物館(MalwareMuseum),(保藏)了不少上世紀(jì)80、

90年月各種有意思的電腦病毒。

有展現(xiàn)各種花里胡哨視覺效果的,像LSD病毒在干掉電腦系統(tǒng)后會

播放一個跟磕了藥似的迷幻動畫;Crash病毒則以五顏六色的格子和亂

碼不停洗刷畫面,讓人眼花繚亂。

DeathDealer,LSD;1994

也有可以互動的病毒一一Casino病毒要你跟它玩幾局老虎機(jī)嬉戲,

賭輸了,你硬盤里的文件也就沒了。

Casino,1990

也有像Skynet這樣特別可愛的電腦病毒。它來自臺灣,入侵電腦

后會降低系統(tǒng)的運行速度,然后在紅色背景下緩緩地打出以下的黃色

文字:別可怕,我是一種很友善的病毒。你今日做了許多工作,所以,

我會讓你的電腦慢下來。祝你擁有美妙的一天,再見。

20

21

Skynet,1994

電腦病毒好像也已然成為一種獨特的(文化),甚至上升到了藝術(shù)

的高度。黑客們制作病毒不單只是為犯罪牟利,還帶有一種戲謔、嘲

弄,或者是展現(xiàn)力量的目的,客觀上制造出了一批富有制造力和生動

趣味的電腦病毒作品。

|電腦病毒可視化

電腦病毒甚至吸引了不少視覺藝術(shù)家,成為他們的靈感來源,甚至

創(chuàng)作媒介。美國藝術(shù)家亞歷克斯?德拉古列斯庫(Ale_Dragulescu)就曾

通過算法將計算機(jī)病毒可視化,創(chuàng)作了《惡意軟件》(Malwarez)系列。

原本抽象的電腦病毒一一它們只是屏幕上的一堆代碼一一被德拉古

列斯庫用三維圖像直觀形象地展現(xiàn)出來。這些計算機(jī)程序被賦以生物

病毒的形狀,更直觀地呈現(xiàn)了電腦病毒的邪惡和可怕。

Ale_Dragulescu,Malwarezseries,2021

丹麥討論與設(shè)計試驗室SPACE10的創(chuàng)意總監(jiān)巴斯?范?德坡(Basvan

dePoel)也對電腦病毒,以及賽博世界的陰暗面深感愛好。他與20多

位藝術(shù)家合作完成了名為〃電腦病毒圖錄〃(ComputerVirusCatalog)的

項目,通過一種與德拉古列斯庫不同的方式對電腦病毒進(jìn)行可視化。

范?德坡邀請他喜愛的藝術(shù)家,將最臭名昭著的數(shù)十種電腦病毒以

插畫的形式呈現(xiàn)出來。插畫依據(jù)病毒的背景(故事)或其感染電腦后

產(chǎn)生的視覺效果進(jìn)行創(chuàng)作。這些風(fēng)格迥異的插畫也充分體現(xiàn)了電腦病

毒種類的多樣性。

CayHickson,ComputerVirusCatalog(LSD),2021

21

22

MichaelWillis,ComputerVirusCatalog(MeltingWormVirus),2021

MikePerry,ComputerVirusCatalog(Selectronic),2021

|電腦病毒展覽

喜愛電腦病毒的范?德坡甚至在荷蘭鹿特丹籌辦了一場以計算機(jī)病

毒為主題的展覽。這場名為“惡意軟件:病毒感染癥狀展〃(Malware:

SymptomsofViralInfectionE_hibition)的展覽集中展現(xiàn)了從20世紀(jì)80

年月至今的數(shù)十種聞名電腦病毒。

Malware:SymptomsofViralInfectionE_hibition展覽現(xiàn)場

實際上,這并不是第一場以電腦病毒為主題的展覽。

早在2021年,弗朗茲卡?諾莉(FranziskaNori)就在德國法蘭克福應(yīng)用

藝術(shù)博物館(MuseumAngewandteKunst)策劃了一次名為Iloveyou

[rev.eng]的展覽。其旨在討論計算機(jī)平安和計算機(jī)病毒現(xiàn)象,是一次

挑戰(zhàn)當(dāng)代文化的試驗。

展覽分為四個討論領(lǐng)域一一文化、政治、技術(shù)和歷史,關(guān)注平安專

家和黑客、網(wǎng)絡(luò)藝術(shù)家和程序員、文學(xué)專家和代碼詩人(codepoet)的

不同立場

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論