项目七 病毒与网络安全 7.1 计算机病毒简介 7.2 计算机病毒防治 7.3 计算机病毒处理 7.4 我国互联网安全问题现状及未来发展
7.1 计算机病毒简介 7.1.1 计算机病毒的定义 计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。一般定义为:利用计算机软件与硬件的缺陷,由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。计算机病毒最早出现在20世纪70年代 David Gerrold的科幻小说《When H.A.R.L.I.E. was One》中最早科学定义出现在1983 Fred Cohen (南加州大学)的博士论文“计算机病毒实验”“一种能把自己(或经演变)注入其他程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似,生物病毒是把自己注入细胞之中。 下一页 返回
7.1 计算机病毒简介 7.1.2 计算机病毒的产生 计算机病毒的产生:病毒不是来源于突发或偶然的原因。一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来。病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者的主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇、报复、祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等。当然也有因政治、军事、宗教、民族、专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。 上一页 下一页 返回
7.1 计算机病毒简介 7.1.3 计算机病毒的特点 (1)寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。 (2)传染性:计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码。这段程序代码一旦进入计算机并得以执行,就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。 上一页 下一页 返回
7.1 计算机病毒简介 只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当用户在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。 上一页 下一页 返回
7.1 计算机病毒简介 (3)潜伏性:有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。 上一页 下一页 返回
7.1 计算机病毒简介 (4)隐蔽性:计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。 (5)破坏性:计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。通常表现为:增、删、改、移。 上一页 下一页 返回
7.1 计算机病毒简介 (6)计算机病毒的可触发性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。 上一页 下一页 返回
7.1 计算机病毒简介 7.1.4 计算机病毒的分类 根据对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下: 7.1 计算机病毒简介 7.1.4 计算机病毒的分类 根据对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下: 1. 按照计算机病毒存在的媒体进行分类 根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。 上一页 下一页 返回
7.1 计算机病毒简介 2. 按照计算机病毒传染的方法进行分类 7.1 计算机病毒简介 2. 按照计算机病毒传染的方法进行分类 根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,处于激活状态,一直到关机或重新启动。非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。 3. 根据病毒破坏的能力划分 无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。 上一页 下一页 返回
7.1 计算机病毒简介 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 7.1 计算机病毒简介 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:这类病毒会在计算机系统操作中造成严重的错误。 非常危险型:这类病毒会删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其他的程序产生的错误也会破坏文件和扇区,这些病毒也按照它们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其他操作系统造成破坏。例如:在早期的病毒中,有一个Denzuk病毒能在360KB磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。 上一页 下一页 返回
7.1 计算机病毒简介 4. 根据病毒特有的算法划分 (1)随型病毒,这一类病毒并不改变文件本身,它们能根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。 (2)“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统内存在,一般除了内存不占用其他资源。 上一页 下一页 返回
7.1 计算机病毒简介 (3)寄生型病毒,除了伴随和“蠕虫”型,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。 (4)诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。 (5)变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 上一页 下一页 返回
7.1 计算机病毒简介 7.1.5 病毒发展 计算机病毒的发展,在病毒的发展史上,病毒的出现是有规律的,一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为: 1.DOS引导阶段 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。 1989年,引导型病毒发展为可以感染硬盘的病毒,典型的代表有“石头2”。 上一页 下一页 返回
7.1 计算机病毒简介 2.DOS可执行阶段 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”和“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。 3. 伴随,批次型阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的病毒。 上一页 下一页 返回
7.1 计算机病毒简介 4. 幽灵,多形阶段 1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合是一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。 上一页 下一页 返回
7.1 计算机病毒简介 5. 生成器,变体机阶段 1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。 上一页 下一页 返回
7.1 计算机病毒简介 6. 网络,蠕虫阶段 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 7. 视窗阶段 1996年,随着Windows和Windows 95的日益普及,利用Windows进行工作的病毒开始发展,它们修改NE,PE文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。宏病毒阶段1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言、编写容易、感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难。 上一页 下一页 返回
7.1 计算机病毒简介 8. 互联网阶段 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。 9. 爪哇,邮件炸弹阶段 1997年,随着万维网(World Wide Web)上爪哇(Java)的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是Java Snake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。 上一页 下一页 返回
7.1 计算机病毒简介 7.1.6 病毒的破坏行为 计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,而且难以做全面的描述,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下。 上一页 下一页 返回
7.1 计算机病毒简介 攻击系统数据区,攻击部位包括:硬盘主引导扇区、Boot扇区、FAT表、文件目录等。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。攻击文件,病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件等。攻击内存,内存是计算机的重要资源,也是病毒攻击的主要目标之一,病毒额外地占用和消耗系统的内存资源,可以导致一些较大的程序难以运行。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存等。干扰系统运行,此类型病毒会干扰系统的正常运行,以此作为自己的破坏行为,此类行为也是花样繁多,可以列举下述方式:不执行命令、干扰内部命令的执行、虚假报警、使文件打不开、使内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串行口、并行口等。速度下降,病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。 上一页 下一页 返回
7.1 计算机病毒简介 攻击磁盘,攻击磁盘数据、不写盘、写操作变成读操作、写盘时丢字节等。扰乱屏幕显示,病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。键盘病毒,干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒,许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富,已发现的喇叭发声有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。 攻击CMOS,在机器的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。干扰打印机,典型现象为:假报警、间断性打印、更换字符等。 上一页 下一页 返回
7.1 计算机病毒简介 7.1.7 病毒危害性 计算机病毒的危害性,计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大,此后由计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的CIH、美丽莎等病毒更是给社会造成了很大损失。 上一页 下一页 返回
7.1 计算机病毒简介 7.1.8 计算机中毒的症状 ① 计算机系统运行速度减慢。 ② 计算机系统经常无故发生死机。 7.1 计算机病毒简介 7.1.8 计算机中毒的症状 ① 计算机系统运行速度减慢。 ② 计算机系统经常无故发生死机。 ③ 计算机系统中的文件长度发生变化。 ④ 计算机存储的容量异常减少。 ⑤ 系统引导速度减慢。 ⑥ 丢失文件或文件损坏。 ⑦ 计算机屏幕上出现异常显示。 ⑧ 计算机系统的蜂鸣器出现异常声响。 上一页 下一页 返回
7.1 计算机病毒简介 ⑨ 磁盘卷标发生变化。 ⑩ 系统不识别硬盘。 (11)对存储系统异常访问。 (12)键盘输入异常。 7.1 计算机病毒简介 ⑨ 磁盘卷标发生变化。 ⑩ 系统不识别硬盘。 (11)对存储系统异常访问。 (12)键盘输入异常。 (13)文件的日期、时间、属性等发生变化。 (14)文件无法正确读取、复制或打开。 (15)命令执行出现错误。 (16) 虚假报警。 上一页 下一页 返回
7.1 计算机病毒简介 (17)切换当前盘符。有些病毒会将当前盘切换到C盘。 (18)时钟倒转。有些病毒会命名系统时间倒转,逆向计时。 7.1 计算机病毒简介 (17)切换当前盘符。有些病毒会将当前盘切换到C盘。 (18)时钟倒转。有些病毒会命名系统时间倒转,逆向计时。 (19) WINDOWS操作系统无故频繁出现错误。 (20) 系统异常重新启动。 (21)一些外部设备工作异常。 (22) 异常要求用户输入密码。 (23) WORD或EXCEL提示执行“宏”。 (24) 不应驻留内存的程序驻留内存。 上一页 返回
7.2 计算机病毒防治 7.2.1 计算机病毒的出现 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是: 1. 计算机病毒是计算机犯罪的一种新的衍化形式 计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动,是某些人恶作剧和报复心态在计算机应用领域的表现。 下一页 返回
7.2 计算机病毒防治 7.2.2 计算机病毒的命名及传染方式 2. 计算机软硬件产品的脆弱性是根本的技术原因 7.2 计算机病毒防治 2. 计算机软硬件产品的脆弱性是根本的技术原因 计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中,这些脆弱性就为病毒的侵入提供了方便。 7.2.2 计算机病毒的命名及传染方式 通常,利用杀毒软件查出计算机中的一些病毒,例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15 等等这些一串英文带数字的病毒名,那么计算机的病毒是如何命名的呢? 上一页 下一页 返回
7.2 计算机病毒防治 其实只要掌握一些病毒的命名规则,就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>。 病毒前缀是指一个病毒的种类,它是用来区别病毒的种族分类的。不同种类的病毒其前缀也是不同的。比如常见的木马病毒的前缀是Trojan,蠕虫病毒的前缀是Worm等等。 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的CIH,振荡波蠕虫病毒的家族名是Sasser。 上一页 下一页 返回
7.2 计算机病毒防治 病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种B,因此一般称为“振荡B变种”或者“振荡波变种B”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。 主名称:病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串Agent来代替主名称,小于10KB大小的文件可以命名为Small。 上一页 下一页 返回
7.2 计算机病毒防治 版本信息:版本信息只允许为数字,对于版本信息不明确的不加版本信息。 7.2 计算机病毒防治 版本信息:版本信息只允许为数字,对于版本信息不明确的不加版本信息。 主名称变种号:如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a~z,如:aa、ab、aaa、aab依此类推。由系统自动计算,不需要人工输入或选择。 附属名称:病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种。 上一页 下一页 返回
7.2 计算机病毒防治 Client:后门程序的控制端。 KEY_HOOK:用于挂接键盘的模块。 API_HOOK:用于挂接API的模块。 7.2 计算机病毒防治 Client:后门程序的控制端。 KEY_HOOK:用于挂接键盘的模块。 API_HOOK:用于挂接API的模块。 Install:用于安装病毒的模块。 Dll:文件为动态库,并且包含多种功能。 “空”:没有附属名称,这条记录是病毒主体记录。 附属名称变种号:如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为小写字母a~z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab依此类推。由系统自动计算,不需要人工输入或选择。 病毒长度:病毒长度字段只用于主行为类型为感染型的病毒,字段的值为数字。字段值为0,表示病毒长度可变。 上一页 下一页 返回
7.2 计算机病毒防治 下面附带一些常见的病毒前缀的解释(针对用得最多的Windows操作系统)。 1)系统病毒 7.2 计算机病毒防治 下面附带一些常见的病毒前缀的解释(针对用得最多的Windows操作系统)。 1)系统病毒 系统病毒的前缀为Win32、PE、Win95、W32、W2000等。这些病毒的共有的特性是可以感染Windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。 2)蠕虫病毒 蠕虫病毒的前缀是Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。 上一页 下一页 返回
7.2 计算机病毒防治 3)木马病毒、黑客病毒 木马病毒其前缀是Trojan,黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的计算机,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344,还有可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文password的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。 上一页 下一页 返回
7.2 计算机病毒防治 4)脚本病毒 脚本病毒的前缀是Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 上一页 下一页 返回
7.2 计算机病毒防治 5)宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的第一前缀是Macro,第二前缀是Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染Word97及以前版本Word文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染Word97以后版本Word文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染Excel97及以前版本Excel文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是感染Excel97以后版本Excel文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染Office系列文档,然后通过Office通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 上一页 下一页 返回
7.2 计算机病毒防治 6)后门病毒 后门病毒的前缀是Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户计算机带来安全隐患。 7)病毒种植程序病毒 这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 上一页 下一页 返回
7.2 计算机病毒防治 8)破坏性程序病毒 破坏性程序病毒的前缀是Harm。这类病毒的共有特性是用好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 9)玩笑病毒 玩笑病毒的前缀是Joke。也称恶作剧病毒。这类病毒的共有特性是用好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户计算机进行任何破坏。如:女鬼(Joke.Girl ghost)病毒。 上一页 下一页 返回
7.2 计算机病毒防治 10)捆绑机病毒 捆绑机病毒的前缀是Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的但比较少见的病毒前缀,这里简单介绍一下。 上一页 下一页 返回
7.2 计算机病毒防治 DOS:会针对某台主机或者服务器进行DOS攻击。 7.2 计算机病毒防治 DOS:会针对某台主机或者服务器进行DOS攻击。 Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者它本身就是一个用于Hacking的溢出工具。 HackTool:黑客工具,也许本身并不破坏用户的机器,但是会被别人加以利用来用做替身去破坏别人。 可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒软件无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。 上一页 下一页 返回
7.2 计算机病毒防治 7.2.3 计算机病毒的传染途径 计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种。 7.2 计算机病毒防治 7.2.3 计算机病毒的传染途径 计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种。 (1)通过软盘:通过使用外界被感染的软盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘,使机器感染病毒发病,并传染给未被感染的“干净”的软盘。大量的软盘交换,合法或非法的程序拷贝,不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2)通过硬盘:通过硬盘传染也是重要的渠道,由于将带有病毒的机器移到其他地方使用、维修等,会将干净的软盘传染并再扩散。 上一页 下一页 返回
7.2 计算机病毒防治 (3)通过光盘:因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。 (4)通过网络:这种传染扩散极快,能在很短时间内传遍网络上的机器。 上一页 下一页 返回
7.2 计算机病毒防治 随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,感染病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。 上一页 下一页 返回
7.2 计算机病毒防治 7.2.4 计算机病毒传染的过程 在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。 上一页 下一页 返回
7.2 计算机病毒防治 可执行文件.COM或.EXE感染上了病毒,例如“黑色星期五”病毒,它是在执行被传染的文件时进入内存的。一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时,会进行如下操作: (1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒。 (2)当条件满足时,利用INT 13H将病毒链接到可执行文件的首部、尾部或中间,并存入磁盘中。 (3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。 上一页 下一页 返回
7.2 计算机病毒防治 7.2.5 常见计算机病毒 Backdoor,危害级别:1。中文名称——“后门”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm,危害级别:2。中文名称——“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 上一页 下一页 返回
7.2 计算机病毒防治 Mail,危害级别:1。通过邮件传播。 IM,危害级别:2。通过某个不明确的载体或多个明确的载体传播自己。 7.2 计算机病毒防治 Mail,危害级别:1。通过邮件传播。 IM,危害级别:2。通过某个不明确的载体或多个明确的载体传播自己。 MSN,危害级别:3。通过MSN传播。 QQ,危害级别:4。通过QQ传播。 ICQ危害级别:5。通过ICQ传播。 P2P,危害级别:6。通过P2P软件传播。 IRC,危害级别:7。通过ICR传播。 其他,不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 上一页 下一页 返回
7.2 计算机病毒防治 Trojan,危害级别:3。中文名称——“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy,危害级别:1。窃取用户信息(如文件等)。 PSW,危害级别:2。具有窃取密码的行为。 DL,危害级别:3。下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为从某网站上下载文件加载或运行。 上一页 下一页 返回
7.2 计算机病毒防治 IMMSG,危害级别:4。通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)。 MSNMSG,危害级别:5。通过MSN传播即时消息。 QQMSG,危害级别:6。通过OICQ传播即时消息。 ICQMSG,危害级别:7。通过ICQ传播即时消息。 UCMSG,危害级别:8。通过UC传播即时消息。 Proxy,危害级别:9。将被感染的计算机作为代理服务器 上一页 下一页 返回
7.2 计算机病毒防治 Clicker,危害级别:10。点击指定的网页,判定条款:没有可调出的任何界面,逻辑功能为点击某网页。 7.2 计算机病毒防治 Clicker,危害级别:10。点击指定的网页,判定条款:没有可调出的任何界面,逻辑功能为点击某网页。 Virus,危害级别:4。中文名称—— “感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm,危害级别:5。中文名称——“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 上一页 下一页 返回
7.2 计算机病毒防治 Dropper,危害级别:6。中文名称——“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 Hack,危害级别:无。中文名称——“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 Exploit,漏洞探测攻击工具。 DDoser,拒绝服务攻击工具。 Flooder,洪水攻击工具。注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述。 Spam,垃圾邮件。 上一页 下一页 返回
7.2 计算机病毒防治 Nuker、Sniffer、Spoofer、Anti,免杀的黑客工具。 Binder,危害级别:无。捆绑病毒的工具。 7.2 计算机病毒防治 Nuker、Sniffer、Spoofer、Anti,免杀的黑客工具。 Binder,危害级别:无。捆绑病毒的工具。 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件——文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 JS:JavaScript脚本文件。 VBS:VBScript脚本文件。 HTML:HTML文件。 上一页 下一页 返回
7.2 计算机病毒防治 Java:Java的Class文件。 COM:Dos下的Com文件。 EXE:Dos下的Exe文件。 7.2 计算机病毒防治 Java:Java的Class文件。 COM:Dos下的Com文件。 EXE:Dos下的Exe文件。 Boot:硬盘或软盘引导区。 Word:MS公司的Word文件。 Excel:MS公司的Excel文件。 PE:PE文件。 WinREG:注册表文件。 Ruby:一种脚本。 Python:一种脚本。 BAT:BAT脚本文件。 IRC:IRC脚本。 上一页 下一页 返回
7.2 计算机病毒防治 7.2.6 计算机历史上出现过的重大病毒 1.Elk Cloner(1982年) 7.2 计算机病毒防治 7.2.6 计算机历史上出现过的重大病毒 1.Elk Cloner(1982年) 它被看作是攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。 2.Brain(1986年) Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染360KB软盘的病毒,该病毒会填充软盘上未用的空间,而导致它不能再被使用。 上一页 下一页 返回
7.2 计算机病毒防治 3.Morris(1988年) Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。 4.CIH(1998年) CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或让反病毒软件难堪。 上一页 下一页 返回
7.2 计算机病毒防治 5.Melissa(1999年) Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内会传遍全球。 6.Love bug(2000年) Love bug也通过电子邮件进行传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。 上一页 下一页 返回
7.2 计算机病毒防治 7. “红色代码”(2001年) 被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作“红色代码II”。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。 8.“冲击波”(2003年) 冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。 9.“震荡波”(2004年) 震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。 上一页 下一页 返回
7.2 计算机病毒防治 10.“熊猫烧香”(2007年) 熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。 7.2 计算机病毒防治 10.“熊猫烧香”(2007年) 熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。 11.“扫荡波”(2008年) 同冲击波和震荡波一样,也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。 12.“母马下载器”(2009年) 本年度的新病毒,中毒后会产生1000~2000个木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)。 上一页 下一页 返回
7.2 计算机病毒防治 13. Nimda 尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。 14. Conficker Conficker.C病毒原本要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。 上一页 下一页 返回
7.2 计算机病毒防治 7.2.7 如何远离计算机病毒 1. 建立良好的安全习惯 7.2 计算机病毒防治 7.2.7 如何远离计算机病毒 1. 建立良好的安全习惯 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。 2. 关闭或删除系统中不需要的服务 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。 上一页 下一页 返回
7.2 计算机病毒防治 3. 经常升级安全补丁 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防患未然。 4. 使用复杂的密码 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 5. 迅速隔离受感染的计算机 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其他计算机。 上一页 下一页 返回
7.2 计算机病毒防治 6. 了解一些病毒知识 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 7. 最好安装专业的杀毒软件进行全面监控 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级,将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报,这样才能真正保障计算机的安全。 8. 用户还应该安装个人防火墙软件进行防黑 由于网络的发展,用户计算机面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户计算机,因此,用户还应该安装个人防火墙软件,将安全级别设为中或高,这样才能有效地防止网络上的黑客攻击。 上一页 返回
7.3 计算机病毒处理 一般大范围传播的病毒都会让用户在重新启动计算机的时候能够自动运行病毒,来长时间感染计算机并扩大病毒的感染能力。 7.3 计算机病毒处理 一般大范围传播的病毒都会让用户在重新启动计算机的时候能够自动运行病毒,来长时间感染计算机并扩大病毒的感染能力。 通常病毒感染计算机第一件事情就是杀掉它们的天敌——安全软件,比如卡巴斯基、360安全卫士、NOD32 等。这样用户就不能通过使用杀毒软件的方法来处理已经感染病毒的计算机。这个时候可以利用手动杀毒的方法进行杀毒。 下一页 返回
7.3 计算机病毒处理 7.3.1 手动杀毒 要解决病毒,可以首先解决在计算机重启后病毒的自我启动。 7.3 计算机病毒处理 7.3.1 手动杀毒 要解决病毒,可以首先解决在计算机重启后病毒的自我启动。 通常病毒会通过直接或间接的方式进行自我启动。 直接自启动:① 引导扇区;② 驱动;③ 服务;④ 注册表。 间接自启动:印象劫持,autorun.inf文件,HOOK,感染文件,放置一个诱惑图标让用户点击。 上一页 下一页 返回
7.3 计算机病毒处理 了解了病毒的启动原理,就能得出清理方式:首先删掉注册表文件中的病毒启动项。最常见的启动位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,删除所有该子项内的字符串等,只留下cftmon.exe。立即按机箱上的重启按钮,不让病毒回写注册表(正常关机可能会激活病毒回写进启动项目,比如“磁碟机”病毒)。如果病毒仍然启动,就要怀疑有服务,或者驱动。那么这个时候就需要有一定计算机知识的人,用批处理或者其他的程序同时找到并关闭病毒的服务和删除注册表,然后快速关机。驱动一般在系统下很难删除,所以可以用上面介绍的Xdelete 或者icesword,wsyscheck或者进入DOS,WPE等其他系统进行删除。 如果是通过引导扇区启动,还要用其他软件,比如diskgen,重写主引导记录。如果是通过BIOS启动,用放电法还原BIOS。 上一页 下一页 返回
7.3 计算机病毒处理 当病毒不能启动以后,就像一堆垃圾一样在计算机中,然后需要注意不要再激活病毒,删掉autorun.inf、可疑文件,删除印象劫持的注册表等可能触发病毒的系统设置,用干净的U盘去其他计算机中复制一个杀毒软件安装到这台计算上,升级到最新的病毒库,全盘查杀病毒残留。 下面介绍直接删除病毒文件方法。 上一页 下一页 返回
7.3 计算机病毒处理 在病毒正在运行的系统里,直接删除病毒文件是很难的。如果在网上找到该病毒机理,进入DOS,找到所有病毒文件路径,可以很轻松地删除病毒文件(除了感染型病毒)。最好用PE(不懂PE的可以去了解一下相关知识),用一个可以启动计算机的装有PE的U盘或者光盘启动计算机,可以进入完全无毒的系统,然后使用绿色版的杀毒软件(如绿色卡巴斯基和Nod32,可以在PE上运行)全盘查杀。杀完毒以后,不要重新启动计算机,看看到底删除了什么,如果有被感染的系统文件删掉了,注意从相同系统中复制一个,否则可能无法开机。然后重启,进入系统,用其他安全软件修复系统。 计算机感染上棘手的病毒,最简单有效的方法就是重装系统。如果C盘(系统盘)有重要资料要先备份。不能开机,可以进入PE进行备份。 上一页 下一页 返回
7.3 计算机病毒处理 7.3.2 杀毒软件杀毒 360杀毒是360安全中心出品的一款免费的安全杀毒软件。360杀毒具有查杀率高、资源占用少、升级迅速等优点。 1. 特点 (1)完全永久免费的杀毒软件; (2)全面安全防护,强力查杀病毒; (3)查杀率高,彻底扫除病毒威胁; (4)检测隐藏文件及进程病毒; (5)领先的启发式扫描,预防未知病毒采用虚拟环境启发式分析技术发现和阻止未知病毒; (6)优化设计,不影响系统性能; (7)快速的病毒库及引擎升级。 上一页 下一页 返回
7.3 计算机病毒处理 2.360杀毒系统 软件版本:v1.0 正式版(1.0.0.1069) 软件大小:65.82MB 7.3 计算机病毒处理 2.360杀毒系统 软件版本:v1.0 正式版(1.0.0.1069) 软件大小:65.82MB 系统要求:32位 Windows XP / Vista / Windows 7 系统要求:奔腾3以上CPU 最低512MB内存 (1)扫描过程集成在主界面中,不再弹出新窗口; (2)增加“定时升级”方式,可以更灵活地设置病毒库升级; (3)定时扫描时可以选择是进行“全盘扫描”或是“快速扫描”; (4)可以设置开机不自动启动360杀毒,方便将360杀毒作为辅助杀毒软件的用户; (5)实时防护拦截提示时,可以快速地添加文件到信任列表; (6)免打扰模式更智能,现在,360杀毒可以非常“聪明”地识别热门游戏,运行游戏时就会自动进入免打扰模式; 上一页 下一页 返回
7.3 计算机病毒处理 (7)提供“强制开启”实时防护的功能(请注意需要重启后才生效); 7.3 计算机病毒处理 (7)提供“强制开启”实时防护的功能(请注意需要重启后才生效); (8)Vista 或 Windows 7 操作系统中启动杀毒不再弹出UAC提示框; (9)全新的日志系统,方便用户查看扫描、监控、升级的详细日志。 3. 安装360杀毒 要安装360杀毒,首先请访问360杀毒官方网站http://sd.360.cn 下载最新版本的360杀毒安装程序。下载完成后,运行安装程序。 单击“下一步”按钮,阅读许可协议,单击“我接受”按钮,然后单击“下一步”按钮,如果不同意许可协议,可以单击“取消”按钮退出安装。 上一页 下一页 返回
7.3 计算机病毒处理 可以选择将360杀毒安装到哪个目录下,建议按照默认设置即可。也可以单击“浏览”按钮选择安装目录。然后单击“下一步”按钮。 可以看见一个窗口,输入想在开始菜单中显示的程序组名称,然后单击“安装”按钮,安装程序会开始复制文件。 文件复制完成后,会显示安装完成窗口。请单击“完成”按钮,360杀毒就已经成功的安装到您的计算机上了。 上一页 下一页 返回
7.3 计算机病毒处理 4. 卸载360杀毒 选择“开始”→“程序”→“360杀毒”→“卸载360杀毒”命令,360杀毒会询问是否要卸载程序,单击“是”按钮开始进行卸载。 卸载程序会开始删除程序文件。 在卸载过程中,卸载程序会询问用户是否删除文件恢复区中的文件。如果准备重装360杀毒,建议选择“否”保留文件恢复区中的文件,否则请选择“是”删除文件。 卸载完成后,会提示用户重启系统。可以根据自己的情况选择是否立即重启。 如果准备立即重启,请关闭其他程序,保存正在编辑的文档、游戏的进度等,单击“完成”按钮重启系统。重启之后,360杀毒卸载完成。 上一页 下一页 返回
7.3 计算机病毒处理 5. 病毒查杀 360杀毒具有实时病毒防护和手动扫描功能,为系统提供全面的安全防护。 7.3 计算机病毒处理 5. 病毒查杀 360杀毒具有实时病毒防护和手动扫描功能,为系统提供全面的安全防护。 实时防护功能在文件被访问时对文件进行扫描,及时拦截活动的病毒。在发现病毒时会通过提示窗口发出警告。 360杀毒提供了4种手动病毒扫描方式:快速扫描、全盘扫描、指定位置扫描及右键扫描。 快速扫描:扫描Windows系统目录及Program Files目录; 全盘扫描:扫描所有磁盘; 指定位置扫描:扫描用户指定的目录; 上一页 下一页 返回
7.3 计算机病毒处理 右键扫描:集成到右键菜单中,当用户在文件或文件夹上右击时,可以在弹出的快捷菜单中选择“使用360杀毒扫描”命令对选中文件或文件夹进行扫描; 其中前三种扫描都已经在360杀毒主界面中作为快捷任务列出,只需选择相关任务就可以开始扫描。 启动扫描之后,会显示扫描进度窗口。 在这个窗口中可以看到正在扫描的文件、总体进度,以及发现问题的文件。 如果用户希望360杀毒在扫描完电脑后自动关闭计算机,请选中“扫描完成后关闭计算机”选项。请注意,只有在将发现病毒的处理方式设置为“自动清除”时,此选项才有效。如果选择了其他病毒处理方式,扫描完成后不会自动关闭计算机。 上一页 下一页 返回
7.3 计算机病毒处理 6. 升级 360杀毒具有自动升级功能,如果开启了自动升级功能,360杀毒会在有升级可用时就自动下载并安装升级文件。自动升级完成后会通过气泡窗口提示用户。 如果想手动进行升级,可以在360杀毒主界面单击“升级”标签,进入升级界面,并单击“检查更新”按钮。升级程序会连接服务器检查是否有可用更新,如果有的话就会下载并安装升级文件,升级完成后会提示用户——“恭喜您!现在,360杀毒已经可以查杀最新病毒啦!” 上一页 返回
7.4 我国互联网安全问题现状及未来发展 7.4.1 我国互联网的安全现状 7.4 我国互联网安全问题现状及未来发展 7.4.1 我国互联网的安全现状 从前面的介绍可以看出,安全与病毒是网络安全的两大威胁。而清醒地认识国内网络安全的现状、分析存在的问题对于消除这些威胁、建设网络安全体系起着重要的作用。网络安全问题主要体现在以下几个方面。 1. 网络系统运行的安全问题 随着近年来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司、银行系统等陆续设立自己的网站,电子商务也以前所未有的速度迅速发展,但相应的网络安全的投入与建设明显滞后,许多应用系统安全防护能力设低甚至处于不设防的状态,存在着极大的信息安全风险和隐患。此外,目前绝大部分的互联网访问流量都来自互联网数据中心(Internet data center, IDC),因此,加强数据中心的安全就显得特别重要。从以前出现的网络安全案例来看,这方面是国内网络安全的关键问题之一。 下一页 返回
7.4 我国互联网安全问题现状及未来发展 2. 互联网信息发布和管理中存在的问题 7.4 我国互联网安全问题现状及未来发展 2. 互联网信息发布和管理中存在的问题 全国人大通过的《关于维护互联网安全的决定》中,对于网络安全作出了详细的规定,而在日常工作中,有些单位和个人并没有严格按照规定来执行,把一些不应该在网上公布的信息在网上公布了,实际工作中缺少详细的操作规程和管理规章。 从近期我国发生的安全攻击事件来看,有很多是内部人员的疏忽大意导致的。因此,不管是在互联网上发布信息的单位,还是提供互联网信息服务的机构,都很有必要加强内部的安全体系,尤其是对于系统管理和维护的人员,提高技术水平和安全意识尤为重要。 上一页 下一页 返回
7.4 我国互联网安全问题现状及未来发展 3. 基础信息产业严重依靠国外带来的安全问题 7.4 我国互联网安全问题现状及未来发展 3. 基础信息产业严重依靠国外带来的安全问题 我国的信息化建设还基本上依靠国外技术设备。当外国网络安全公司大举推销安全产品时,我们是在相对缺乏知识和经验的情况下引进的,难免出现了花钱买淘汰技术和不成熟技术的现象。 在计算机软硬件的生产领域,我们在关键部位和环节上受制于人,计算机硬件中许多核心部件(特别是CPU)都是外国厂商制造的;计算机软件也面临市场垄断和价格歧视的威胁,国外厂商几乎垄断了我国计算机软件市场。 从信息安全的角度来讲,对国外技术的过于依赖也存在着安全方面的隐患,如果不摆脱这方面的困境,是不能从根本上解决我们的信息和网络安全问题的。 上一页 下一页 返回
7.4 我国互联网安全问题现状及未来发展 4. 全社会的信息安全意识淡薄 7.4 我国互联网安全问题现状及未来发展 4. 全社会的信息安全意识淡薄 有些人对于我国目前网络安全的现状没有客观清醒的认识,少数人认为我国信息化程度不高,互联网用户的数量也不多,信息安全的问题现在还不严重,这种错误的认识已经成为我国网络安全的严重隐患。另外,我国的信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的 IT 业形势极不适应,目前这方面还仅仅作为信息化的研究分支立项,投入很少,这种状况下,国内和国外差距正在越来越大。 对于互联网用户而言,应该对目前互联网用户系统存在的安全隐患有明确的认识,在安装操作系统和应用软件时及时对安全漏洞进行扫描并加以修补。 以上的问题已经明显摆在我们面前,并且影响和威胁着互联网的正常发展,如果不能得到及时解决,在激烈的信息争夺和网络信息大战中我们就会处于被动和弱势。 上一页 下一页 返回
7.4 我国互联网安全问题现状及未来发展 7.4.2 如何面对网络安全的未来 7.4 我国互联网安全问题现状及未来发展 7.4.2 如何面对网络安全的未来 目前,我国的互联网发展迅速,网民和上网计算机数量都在迅速增加。如此庞大的互联网架构如果没有安全的保障简直不可想象,中国必须加快信息安全产业的发展,以应对网络安全的严峻挑战。 随着中国加入WTO,中国的经济将更紧密地与全球经济融为一体,中国的网络安全建设必需适应Internet的整体发展趋势。因此要结合自身特点,研制、开发有自主知识产权的信息安全产品,完善网络和信息安全法规,提高全民网络信息安全意识,为确保中国在全球的数字化的进程中迎头赶上打下良好的安全基础。 上一页 下一页 返回
7.4 我国互联网安全问题现状及未来发展 从广大网络用户的角度来讲,未来的信息网络的发展意味着迅捷、方便。我们有理由相信网络能够朝着更完美的趋势发展,信息高速公路、蓝牙技术等各种与网络密切相关的信息技术即将走入我们的生活。但是,问题与发展总是一起出现的,信息网络技术的发展肯定面临着安全问题,这是毫无疑问的,但这并不可怕,只要我们能多了解一点网络安全方面的知识,多掌握一点网络安全防护方面的技术,我们完全能够轻松地驾驭好网络这一功能强大的信息工具。 上一页 返回