kj14计算机病毒防治

2020年1月29日星期三10时33分29秒1第十四章计算机病毒防治第一节计算机病毒概述第二节计算机病毒防治方法第三节常见杀毒软件的使用2020年1月29日星期三10时33分29秒2第一节计算机病毒概述1998年4月26日，诞生CIH病毒。1998年7月26日，CIH的恶性病毒就已经在美国开始大面积肆虐。1998年8月26日，该病毒入侵中国。1998年8月31日，我国公安部发出防范CIH病毒的紧急通知。1998年9月1日，中国中央电视台在新闻联播中播发了此通知。1999年4月26日，星期一，CIH导致了大量的PC计算机停止工作，同时导致用户的数据遭到严重破坏。2020年1月29日星期三10时33分29秒3第一节计算机病毒概述2020年1月29日星期三10时33分29秒4第一节计算机病毒概述在当代信息社会里，计算机的应用已经深入到各个角落。计算机的安全问题自然也就成为人们关注的问题。第一节计算机病毒概述“计算机病毒”一词最早由美国计算机病毒研究专家F.Cohen博士提出。通过分析、研究计算机病毒，发现它在很多方面与生物病毒有相似之处。计算机病毒对软件的维护、数据的修改和计算机系统运行的安全会造成极大的威胁。一、计算机病毒定义计算机病毒，是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。它们具有以下特性：(1)传染性。计算机病毒的传染性是其重要的特征，计算机病毒只有通过传染性，才能完成对其他程序的感染，附在被感染的程序中，再去传染其他的计算机系统或程序；(2)流行性。计算机病毒出现后，会影响到一定的地域或领域内网络中的每一台计算机；2020年1月29日星期三10时33分29秒5第一节计算机病毒概述(3)繁殖性。计算机病毒进入系统后，利用系统环境进行繁殖(再生)，自我复制，使自身数量增多。计算机病毒程序的一个特点是能够将自身的程序复制给其他的程序(文件型病毒)，或者放入指定的位置，如引导扇区(引导型病毒)；(4)表现性。计算机病毒进入系统后，系统在病毒表现及破坏部分作用下，出现屏幕显示异常、系统速度变慢、文件被删除、Windows不能启动等现象；(5)针对性。一种计算机病毒并不传染所有的计算机系统和计算机程序。例如，有的病毒传染Windows2000,但不传染Windows98；有的传染扩展名为.COM或.EXE文件；也有的传染非可执行文件；(6)欺骗性。计算机病毒在发展、传染和演变过程中可以产生变种，如小球病毒就有十几种变种；(7)危害性。病毒的危害性不仅在于破坏系统，删除或者修改数据，而且还要占用系统资源，干扰机器的正常运行等，甚至破坏计算机的硬件系统；(8)潜伏性。计算机病毒在传染计算机后，病毒已潜伏在系统中，可能不影响系统的正常运行。当满足一个指定的条件时，病毒程序才开始表现出来；2020年1月29日星期三10时33分29秒6第一节计算机病毒概述(9)隐蔽性。计算机病毒通常是一小段程序，附在正常程序之后，存在磁盘上较为隐蔽的位置。计算机病毒的隐蔽性还表现在：被病毒感染的计算机在多数情况下仍能维持其部分功能，不会一感染病毒，整台计算机就瘫痪；(10)触发性。计算机病毒在传染和攻击时都需要一个触发条件。这个条件是由病毒制造者决定的，它可以是系统的内部时钟；特定的字符；特定文件；文件的使用次数；系统的启动次数等；(11)攻击的主动性。计算机病毒侵入系统后时刻监视系统的运行，一旦时机成熟，即对系统实施主动攻击。2020年1月29日星期三10时33分29秒7第一节计算机病毒概述计算机病毒包括三大功能块，即引导模块、传播模块和破坏／表现模块。其中，后两个模块各包含一段触发条件检查代码，它们分别检查是否满足传染触发的条件和是否满足表现触发的条件，只有在相应的条件满足时，病毒才会进行传染或表现／破坏。必须指出，不是任何病毒都必须包括这三个模块，有些病毒没有引导模块，而有些病毒没有破坏模块。三个模块各自的作用是：引导模块将病毒由外存引入内存，使后两个模块处于活动状态；传播模块用来将病毒传染到其他对象上去；破坏／表现模块实施病毒的破坏作用，如删除文件、格式化磁盘等，由于该模块在有些病毒中并没有明显的恶意破坏作用，只是进行一些视屏或发声方面的自我表现作用，故该模块有时又称表现模块。2020年1月29日星期三10时33分29秒8第一节计算机病毒概述三、计算机病毒的分类计算机病毒按对计算机系统的破坏性划分有良性病毒和恶性病毒。又可分为引导型病毒、文件型病毒和混合型病毒(引导、文件双重型病毒)。1．操作系统型病毒(OperatingSystemViruses)这类病毒程序作为操作系统的一个模块在系统中运行，一旦激发，它就工作。例如，它作为操作系统的引导程序时，计算机一旦启动就首先运行病毒程序，然后才启动操作系统程序。这类病毒也称之为引导型病毒，如小球病毒、大麻病毒等。2．文件型病毒(FileViruses)文件型病毒攻击的对象是文件，并寄生在文件上，当文件运行时，首先运行病毒程序，然后才运行指定的文件(这类文件一般是可执行文件)。文件型病毒又称为外壳型(ShellViruses)型病毒，其病毒程序包围在宿主程序的外围，对其宿主程序不修改。感染文件的病毒有Jerusalem、YankeeDoole、Liberty、1575、Traveller、4096等，主要感染.COM和.EXE文件。这类病毒增加了被感染的文件字节数，并且病毒代码主体没有加密，也容易被查出和解除。这些病毒中，略有对抗反病毒手段的只有YankeeDoole病毒，当它发现用DEBUG工具跟踪时，会自动从文件中逃走。2020年1月29日星期三10时33分29秒9第一节计算机病毒概述3．复合型病毒复合型病毒既感染文件，又感染引导扇区。常见的有XqR(Newcentury)、Invader(侵入者)、Plastique(塑料炸弹)、3584(郑州狼)、ALFA/3072-2、Ghost/OneHalff3544(幽灵)等。如果只解除了文件或硬盘主引导扇区的病毒，则仍会感染系统。解决的方法是从软盘启动系统，然后调用软盘版杀毒软件，同时杀掉硬盘上引导扇区病毒和文件病毒。4．宏病毒宏病毒主要是利用软件本身所提供的宏能力来设病毒，所以凡是具有宏能力的软件都有宏病毒存在的可能，如Word、Excel。MicrosoftWord中把宏定义为：“宏就是能组织到一起作为独立的命令的一系列Word命令，它能使日常工作变得更容易。”而Word宏病毒利用Word的开放性即Word中提供的WordBasic编程接口，并能通过DOC文档及DOC模板进行自我复制及传播。随着Office新版本的推出，微软不断加强宏的功能，宏病毒的危害也就越来越大。Melissa病毒是利用宏来使E-mail管理程序Outlook自动根据其通讯录中记录的前五十个地址发信，而JulyKILLER(七月杀手)宏病毒的破坏方式则是产生一个只有一句话的“deltree/yc:\”的Autoexec.bat文件来替代现有的该文件，当下次启动计算机时这条指令就会删除C盘中的所有文件。所以宏病毒是一种危害极大的病毒。2020年1月29日星期三10时33分29秒10第一节计算机病毒概述编制计算机病毒的计算机是病毒第一个传染载体，由这台计算机传播病毒有以下途径：1．通过不移动的计算机硬件设备进行传染这些设备指装在计算机内的ROM芯片和硬盘等。新购置的计算机中，硬盘内也可能带有计算机病毒，该病毒可能在计算机的生产场地或销售环节的某一时刻进入硬盘，然后来到一个新的地点开始传播。因此对购置的新、旧计算机均应进行病毒检测。2．通过可移动式存储设备使病毒进行传播可移动式存储设备包括软盘、磁带、光盘等。携带病毒的软盘在计算机上使用后，会使该计算机感染病毒，带毒的计算机又会把病毒传染给在这台计算机上使用的其他软盘。3．通过计算机网络进行病毒传染这种渠道传播速度快，能在短时间内传遍网上的计算机，CIH病毒就是网上传播最厉害的一种病毒。随着网络技术的普及和发展，网络安全将成为主要的研究课题。2020年1月29日星期三10时33分29秒11第一节计算机病毒概述计算机感染病毒后，系统内部会发生某些变化，并在一定条件下表现出来。如出现以下一些异常现象，就可能是染上了病毒。1．系统引导出现异常现象(1)磁盘引导时出现异常现象；(2)引导时间比平时长；(3)磁盘上的特殊标记或引导扇区、卷标等信息被修改；(4)系统出现异常现象、死机、自动启动等。2．执行文件时出现异常现象(1)计算机运行速度变慢；(2)磁盘文件长度、属性、日期和时间等被改变；(3)文件丢失；(4)文件装入时间比平时长；(5)运行原来正常的文件时，发生死机现象；(6)运行较大程序时，显示：Programistoolongtoload或Divideoverflow或Programtoobigtofitinmemory(7)系统自动生成一些特殊文件。2020年1月29日星期三10时33分29秒12第一节计算机病毒概述3．使用外部设备时出现的异常现象(1)扬声器发出异常声音和音乐；(2)正常的外部设备无法使用，如键盘输入的字符与屏幕显示的字符不一致；(3)显示器上出现一些不正常的画面或信息；(4)打印机、RS-232接口、软驱、调制解调器等外设有异常现象，无法正常工作；(5)系统非法使用某些外部设备；(6)软盘无法进行正常的读写操作；(7)磁盘的卷标名发生变化。4．使用DOS命令时出现异常现象(1)用DIR命令时，列表速度变慢，磁盘指示灯亮的时间较长；(2)用DIR命令时，出现重复显示现象，如在A驱动器上插入磁盘，用DIR看A盘目录，再换另一张软盘查看目录，仍显示前一个磁盘的目录；(3)DOS命令无法正常执行等；(4)系统不认识磁盘或硬盘不能引导系统等。2020年1月29日星期三10时33分29秒13第二节计算机病毒防治方法一、计算机病毒的预防l．宣传教育要大力宣传计算机病毒的危害性，病毒所导致的经济危害性不低于一些刑事犯罪活动。信息数据是当今人类的最重要财富，而病毒攻击的对象往往是非常有用的信息数据。有些数据是不可恢复的，一旦被破坏就永远消失，这会对社会生活造成不可估量的损失。2．尽量减少计算机的交叉使用如果条件允许，一般要定人定机使用，这样有利于管理，一旦发现病毒就能及时处理。3．建立必要的规章制度必须建立一套切实可行的规章制度，严格控制外来的软盘，尽量不要将软盘外借。4．软件备份对重要的可执行文件、磁盘引导扇区、程序和数据等要作一些备份。5．使用防毒卡防毒卡是防止病毒侵入的工具。将防病毒程序放在一块硬件卡上，插入计算机的扩展槽上，防止外来信息写入硬盘。2020年1月29日星期三10时33分29秒14第二节计算机病毒防治方法二、计算机病毒的检测和清除1．检测计算机病毒检测计算机病毒，要先确定计算机病毒的存在。一般的病毒静态存储在磁盘中，激活时驻留在内存中。因此对计算机病毒的检测可分为对内存的检测和对磁盘的检测两种。对计算机进行病毒检测时，应采用未受病毒感染的DOS系统软盘进行冷启动，以保证内存中不带病毒。因为某些病毒通过截取键盘，会仍然驻留在内存中。而且某些计算机病毒会向检测者报告假情况。DIR-Ⅱ病毒在内存中时，用DEBUG程序查看被感染文件，根本看不到DIR-Ⅱ病毒的代码，很多检测程序因此查不出被其感染的文件。又如引导区型的巴基斯坦智囊病毒，当它活跃在内存中时，检查引导区时看不到病毒程序而只看到正常的引导扇区。检测磁盘中的病毒可分成检测引导扇区型病毒和检测文件型病毒。这两种检测从原理讲是一样的，但由于各自的存储方式不同，检测方法也有差别。检测磁盘引导区的病毒可看内存的空间是否被病毒占用，用MEM/c/p命令即可检测。检查磁盘文件病毒，可查看文件的长度是否被加长，这样可查出病毒是否感染了文件。2020年1月29日星期三10时33分29秒15第二节计算机病毒防治方法2．清除计算机病毒病毒的清除是使计算机正常工作的必不可少的工作。清除计算机病毒建立在