1、第3章 计算机病毒及防治 本章主要内容:1.什么是计算机病毒2.计算机上病毒的传播3.计算机病毒的特点及破坏行为4.病毒的预防、检查和清除13.1 什么是计算机病毒 计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。 通常,计算机病毒可分为下列几类。 (1)文件病毒。 (2)引导扇区病毒。 (3)多裂变病毒。 (4)秘密病毒。 (5)异形病毒。 (6)宏病毒。2计算机病毒的传染通过哪些途径计算机病毒的传染通过哪些途径? ? 计算机病毒之所以称之为病毒是因为其具有传染
2、性的本质。传统渠道通常有以下几种: (1)通过盘 (软盘):通过使用外界被感染的盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2)通过硬盘:通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。 (3)通过光盘:因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能
3、清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。 (4)通过网络:这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病
4、毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。3病毒传播方式被病毒感染的光盘下载含病毒的程序上传含病毒的程序软件共享未被感染的计算机被感染的计算机计算机网络43.2 计算机病毒的工作方式一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有:感染、变异、触发、破坏以及高级功能(如隐身和多态)。1感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染。 感染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒。52变异变异又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃
5、避检测的一种“功能”。 3触发以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。 4破坏破坏的方式总的来说可以归纳如下列几种:修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 5高级功能病毒计算机病毒经过几代的发展,在功能方面日趋高级,它们尽可能地逃避检测,有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。6引导扇区病毒 7 1引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘,但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外,还可以用其他的方法进行恢复。引导型病毒在不同的平台
6、上清除方法有所不同,在Windows 95/98下,可以执行以下步骤:(1)用Windows 95/98 的干净启动盘启动计算机。(2)在命令行中键入下列命令: fdisk /mbr (用来更新主引导记录,也称硬盘分区表) Sys C: (恢复硬盘引导扇区)(3)重启计算机。在Windows 2000/XP平台下,可以用以下方法进行恢复:(1)用Windows 2000/XP 安装光盘启动。(2)在“欢迎安装”的界面中按R键进行修复,启动Windows的修复控制台。(3)选择正确的要修复的机器的数量。(4)键入管理员密码,如果没有密码,则直接回车。(5)在命令行键入下面的命令:FIXMBR 回
7、车FIXBOOT 回车(6)键入EXIT,重启计算机。8文件感染病毒覆盖型文件病毒 前依附型文件病毒 伴随型文件病毒 后依附型文件病毒文件病毒 文件病毒文件病毒文件病毒 病毒病毒9 2 2文件型病毒的清除文件型病毒的清除 (1)检查注册表 (2)检查win.ini文件 (3)检查system.ini文件 (4)重新启动计算机,然后根据文件名,在硬盘找到这个程序,将其删除。103.3 计算机病毒的特点及破坏行为3.3.1 计算机病毒的特点根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以下几个主要特点。1刻意编写人为破坏2自我复制能力 3夺取系统控制权 4隐蔽性 5潜伏性 6不可预见性
8、 11电脑感染病毒的初步判断电脑感染病毒的初步判断1 1、电脑系统出现异常死机或死机频繁、电脑系统出现异常死机或死机频繁当电脑系统经常无故死机时,如果经检查不是由于CPU散热、显卡过热、内存单元损坏等硬件原因引起时,就可以初步判断电脑感染了病毒。2 2、运行速度突然减慢、运行速度突然减慢病毒会占用CPU、内存、文件系统和外设等资源,最终造成系统的运行速度减慢。3 3、出现异常的重启现象、出现异常的重启现象4 4、操作系统无故频繁报警或虚假报警、操作系统无故频繁报警或虚假报警5 5、文件的长度、属性、日期等信息无故改变、文件的长度、属性、日期等信息无故改变6 6、磁盘坏簇无故增多、磁盘坏簇无故增
9、多7 7、丢失文件或数据、丢失文件或数据8 8、磁盘出现特殊标签或系统无法正常引导磁盘、磁盘出现特殊标签或系统无法正常引导磁盘有些病毒会用一个自己的特殊标记把经自己感染的磁盘标记起来,而有的则会寄生在磁盘的引导区内,覆盖掉引导区的部分代码,导致系统不能正常启动。129 9、电脑的存储容量异常减少、电脑的存储容量异常减少1010、无法正常调用汉字库、无法正常调用汉字库1111、电脑屏幕上出现异常显示、电脑屏幕上出现异常显示1212、部分文档自动加密、部分文档自动加密1313、电脑的蜂鸣器出现异常声响、电脑的蜂鸣器出现异常声响有些病毒会让电脑的蜂鸣器发出无规律的噪声,有些则会使软驱不断发出读盘的噪
10、声。1414、主板被破坏、主板被破坏133.4 计算机病毒的破坏行为(1)攻击系统数据区。(2)攻击文件。(3)攻击内存。(4)干扰系统运行,使运行速度下降。(5)干扰键盘、喇叭或屏幕。(6)攻击CMOS。(7)干扰打印机。(8)网络病毒破坏网络系统,非法使用网络资源。14如何判断发现单机型病毒 防病毒软件发现。 计算机无法开机 计算机突然变慢 不能启动某些软件。方法:按ctrl+alt+del,打开任务管理器,再单击进程卡片,再单击卡片里的CPU项,会把占用CPU大小的进程从大到小排列,一般是System Idel Process 占用得最多,如果长期被其它进程占用第一,那它就是病毒15如何
11、发现单机型病毒 高级用户:查看每一个进程,看一下是否是你熟悉的服务或者软件,如果发现陌生的进程,就到网上查找是否是病毒。163.5.1 网络病毒1网络病毒的特点计算机网络的主要特点是资源共享。一旦共享资源感染病毒,网络各结点间信息的频繁传输会把病毒传染到所共享的机器上,从而形成多种共享资源的交叉感染。3.5 网络病毒 Internet Internet172病毒在网络上的传播与表现 文件病毒可以通过因特网毫无困难地发送,而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。 引导病毒在网络服务器上的表现:如果网络服务器计算机是从一个感染的U盘(软盘)上引导的,那么网络服
12、务器就可能被引导病毒感染。 18网络病毒危害 开启机器后门,盗取银行密码,QQ密码,私人资料。 发送垃圾电子邮件,制造电子垃圾。 被别人当作跳板,攻击其它网络上的计算机或者服务器(DOS攻击,分布式拒绝服务攻击) 向其它计算机传播病毒或者后门。 19如何发现网络型病毒网络型病毒分黑客后门病毒(特诺依木马Troian House)和蠕虫病毒等 杀毒程序报警 不断发送EMAIL 不时打开IE,或者打开IE时不断弹出新窗口 发现不寻常的网络流量(代表网络流量的图标一直在亮,而本机没有进行任何网络操作)20发现网络型病毒 其他用户发现你正在攻击其计算机。 发现不寻常的网络连接 发现上网速度(本地网络)
13、突然减慢。21发现网络病毒 在没有其它网络连接的时候,打开DOS方式,打入下面命令(netstat -b),现在电脑只使用了MSN上网,其他的如果进行网络连接就可能是后门22清除网络型病毒 一般情况下使用软件清除,或者知道程序路径自己清除。 但有可能遇到软件及自动清除都不见效的下面情况:23手工清除病毒 下载进程管理工具,如Process Explorer(http:/ 病毒的预防、检查和清除3.6.1 电脑病毒电脑病毒的防治的防治1 1、电脑病毒的预防、电脑病毒的预防(1)安装杀毒软件并保证及时升级(2)从可靠渠道下载软件,并经过杀毒的检测才运行(3)对电子邮件加倍提高警惕(4)对新购置的电
14、脑软硬件系统进行检测(5)定期备份文件252 2、一些预防病毒的简单措施、一些预防病毒的简单措施(1)防止SYN洪水攻击HKEY _ LOCAL _ MACHINESYSTEM CurrentControlSetServicesTcpipParameters DWORD值:SynAttackProtect26(2)防御脚本病毒(3)防止网页脚本病毒执行27(4)防止Word文档宏病毒283 3宏病毒的清除宏病毒的清除 在Micrsoft Office应用程序中打开“工具” “宏”“Visual Basic编辑器”,早期的版本为宏管理器。进入到编辑器窗口,用户可以查看Normal模板,若发现有A
15、utoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏,如XXYY等,而自己又没有加载这类特殊模板,这就极可能是宏病毒在作祟,因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后,可以在通用模板中删除被认为是病毒的宏。还有一种方法更为简单,通过搜索系统文件,找到Autoexec.dot和Nomal.dot文件,直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。29使用Internet防火墙用处:阻挡90%的黑客、蠕虫病毒及消除系统漏洞引起的安全性问题 WindowsXP或Wi
16、ndows 2003系统自带防火墙,只要在网络中使用即可,方法:网络上邻居(右键)-属性-本地连接右键-属性-高级-Internet连接防火墙-打钩 其它Windows操作系统(Win95,Win98,WinNT,Win2000)安全其它品牌个人防火墙(推荐:天网)30Win XP使用防火墙网上邻居-属性-本地连接-属性-高级-设置31使用防火墙并同时启动共享32启动共享时的安全措施33获得更新用处:把系统漏洞补住,如冲击波的RPC系统漏洞 WindowsXP安装SP2及安装安全补丁 Windows 2000安装SP4及安装安全补丁 Windows98网上安装安全补丁安装安全补丁方法:打开IE
17、-工具菜单-Windows Update34上网更新方式35上网更新方式36使用最新的防病毒软件 安装防病毒软件并定时更新病毒特征码。 推荐:瑞星/norton 如果安装了防病软件没有更新,几乎等于没有安装! 设置定时查找病毒及定时升级病毒特征码3738其他要注意的事项 下载软件最好到知名的网站下载,如华军软件(),天空下载站,太平洋下载等. 如果打开某个网页时发现要下载或者安装软件时,要特别注意,一般是按NO. 安装软件时,如金山词霸,QQ等,最好选择手动设置,将多余并会影响正常使用的附件(如QQ工具栏)去除. 对不明来历的光碟及软件,采用先杀毒再安装方式. 收到带不明附件的邮件不要轻易打开
18、.39四、日常维护计划 :盘最好只安装系统,不存放数据,把Outlook的邮件和My Document的文件都放在D盘。(因为病毒最喜欢把C盘缺省目录的文件删除,而重装系统也会把C盘所有文件格式化掉) 重要文件最好定期使用光碟刻录存放。 做好系统备份工作,重装系统会变得很轻松(使用GHOST) 定期做硬盘碎片整理及查杀病毒。40用好Ghost使安装操作系统更松:1. 新的机器(或者要重装机器),把数据全部备份.2. 使用Windows XP光碟重新启动到分区步骤.3. 分四个区(以200G为例),C盘20G,D盘60G,E盘60G,F盘60G.4. 使用NTFS格式化C盘安装系统.5. 安装所
19、有需要的软件,如office等.6. 用NTFS格式化D盘、 E盘,FAT32格式化F盘.417. 把My Document及EMAIL等数据都放在D盘的目录中.(病毒最喜欢删C盘的My Document的数据)8. 对C盘进行磁盘的碎片整理.9. 把ghost.exe文件放到F盘,重启计算机,使用ghost盘(或win98启动盘)启动.10.这里原来的F 盘变为C盘(NTFS分区对DOS不可见).11.运行ghost.exe,使用local-partition-to image,把整个系统备份到一个文件.12.结束42当系统完全崩溃或者被病毒已经破坏系统时:1. 备份C盘数据(可能还有一些数
20、据放在C盘)2. 使用ghost盘(或win98启动盘)启动计算机.原来F盘变成了C盘.3. 运行ghost.exe 使用local-partition-from image . 选中备份的文件,确定.4. 重启计算机这时系统已经变回原先干净的系统了.43养成良好的上网习惯1.不要随便按yes2.不要上一些不良的网站3.不要暴露真实身份安装软件(特别是一些免费软件)时小心1.最好使用自定义安装2.安装软件中如”上网助手中文域名购物网站”等推荐安装的软件不要安装 不要在陌生的计算机上输入自已的密码(包括QQ,刚刚上购物等)44五、网络故障检测当遇到网络不通时,自己可使用下面方法检测 首先,要清楚
21、自己网络参数,最重要是IP地址与网关,在DOS下使用IPCONFIG查询45网络检查 首先看一下物理连接是否通,方法:观看网卡灯是否亮,如果不亮,就看一下网线是否插好。如果都插好了,就知道可能是连接交换机掉电了。 其次是使用ping命令,测试网关是否通。方法如下:这种情况是通的46网络检测方法 如果下面情况就是网络不通47小 结1计算机病毒2计算机病毒的传播3计算机病毒的特点及破坏行为4宏病毒及网络病毒5病毒的预防、检查和清除相关链接 网虫病毒 网络安全48后面内容直接删除就行资料可以编辑修改使用资料可以编辑修改使用49主要经营:网络软件设计、图文设计制作、发布广告等公司秉着以优质的服务对待每一位客户,做到让客户满意!50致力于数据挖掘,合同简历、论文写作、PPT设计、计划书、策划案、学习课件、各类模板等方方面面,打造全网一站式需求51The user can demonstrate on a projector or computer, or print the presentation and make it into a film to be used in a wider field52
