1、計算機病毒及防治計算機病毒從它誕生之日起到現在，已成為計算機病毒從它誕生之日起到現在，已成為了當今信息社會的一個癌癥，它隨著計算機網絡了當今信息社會的一個癌癥，它隨著計算機網絡的發展，已經傳播到信息社會的每一個角落，并的發展，已經傳播到信息社會的每一個角落，并大肆破壞計算機數據、改變操作程序、摧毀計算大肆破壞計算機數據、改變操作程序、摧毀計算機硬件，給人們造成了重大損失。為了更好地防機硬件，給人們造成了重大損失。為了更好地防范計算機及網絡病毒，必須了解計算機病毒的機范計算機及網絡病毒，必須了解計算機病毒的機制，同時掌握計算機病毒的預防和清除辦法。制，同時掌握計算機病毒的預防和清除辦法。8.1計

2、算機病毒概述8.1.1計算機病毒的定義 “計算機病毒”最早是由美國計算機病毒研究專家F.Cohen博士提出的。 “計算機病毒”有很多種定義，國外最流行的定義為：計算機病毒，是一段附著在其他程序上的可以實現自我繁殖的程序代碼。在中華人民共和國計算機信息系統安全保護條例中的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。8.1.2計算機病毒的發展歷史 1計算機病毒發展簡史 世界上第一例被證實的計算機病毒是在1983年，出現了計算機病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設計思想；1984年，美國人Th

3、ompson開發出了針對UNIX操作系統的病毒程序。 1988年11月2日晚，美國康爾大學研究生羅特莫里斯將計算機病毒蠕蟲投放到網絡中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯網的計算機都受到影響，直接經濟損失近億美元。 2計算機病毒在中國的發展情況 在我國，80年代末，有關計算機病毒問題的研究和防范已成為計算機安全方面的重大課題。 1982年“黑色星期五”病毒侵入我國；1985年在國內發現更為危險的“病毒生產機”，生存能力和破壞能力極強。這類病毒有1537、CLME等。進入90年代，計算機病毒在國內的泛濫更為嚴重。 CIH病毒是首例攻擊計算機硬件的病毒，它可攻擊計算機的主板，并可

4、造成網絡的癱瘓。 3計算機病毒發展的10個階段 （1）DOS引導階段 （2）DOS可執行文件階段 （3）混合型階段 （4）伴隨型階段 （5）多形型階段 （6）生成器，變體機階段 （7）網絡，蠕蟲階段 （8）Windows階段 （9）宏病毒階段 （10）Internet階段 計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。其產生的過程可分為： 程序設計傳播潛伏觸發、運行實行攻擊。究其產生的原因不外乎以下幾種： （1）一些計算機愛好者出于好奇或興趣 （2）產生于個別人的報復心理 （3）來源于軟件加密 （4）產生于游戲 （5）用于研究或實驗而設計的“有用”程序

5、（6）由于政治經濟和軍事等特殊目的8.1.3計算機病毒的分類 病毒種類眾多，分類如下： 1按傳染方式分為引導型、文件型和混合型病毒 2按連接方式分為源碼型、入侵型、操作系統型和外殼型病毒 3按破壞性可分為良性病毒和惡性病毒 4網絡病毒8.1.4計算機病毒的特點 （1）傳染性（自我復制能力 ） （2）非授權性（奪取系統控制權 ） （3）隱蔽性 （4）潛伏性 （5）刻意編寫，人為破壞 （6）不可預見性 8.1.5計算機病毒的隱藏之處和入侵途徑 1病毒的隱藏之處 （1）可執行文件。 （2）引導扇區。 （ 3）表格和文檔。 （4）Java小程序和ActiveX控件。 2病毒的入侵途徑 （1）傳統方法

6、（磁盤、光盤等） （2）Internet 8.1.6現代計算機病毒的流行特征 1攻擊對象趨于混合型 2反跟蹤技術 3增強隱蔽性 4加密技術處理 5病毒繁衍不同變種 增強隱蔽性： （1）避開修改中斷向量值 （2）請求在內存中的合法身份 （3）維持宿主程序的外部特性 （4）不使用明顯的感染標志 加密技術處理 ： （1）對程序段動態加密 （2）對顯示信息加密 （3）對宿主程序段加密 8.1.7計算機病毒的破壞行為 （1）攻擊系統數據區 （2）攻擊文件 （3）攻擊內存 （4）干擾系統運行，使運行速度下降 （5）干擾鍵盤、喇叭或屏幕 （6）攻擊CMOS （7）干擾打印機 （8）網絡病毒破壞網絡系統 8.

7、1.8計算機病毒的作用機制一個引導病毒傳染的實例 假定用硬盤啟動，且該硬盤已染上了小球病毒，那么加電自舉以后，小球病毒的引導模塊就把全部病毒代碼1024字節保護到了內存的最高段，即97C0：7C00處；然后修改INT 13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過INT 13H的作用，計算機病毒的傳染塊便率先取得控制權，它就進行如下操作： 1）讀入目標軟磁盤的自舉扇區（BOOT扇區）。 2）判斷是否滿足傳染條件。 3）如果滿足傳染條件（即目標盤BOOT區的01FCH偏移位置為5713H標志），則將病毒代碼的前512字節寫入BOOT引導程序，將其后512字節寫入該簇，隨

8、后將該簇標以壞簇標志，以保護該簇不被重寫。 4）跳轉到原INT 13H的入口執行正常的磁盤系統操作。 一個文件病毒傳染的實例 假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運行該文件后，耶路撒冷病毒的引導模塊會修改INT 21H的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內存，此后退回操作系統。以后再有任何加載執行文件的操作，病毒的傳染模塊將通過INT 21H的調用率先獲得控制權，并進行以下操作： 1）讀出該文件特定部分。 2）判斷是否傳染。 3）如果滿足條件，則用某種方式將病毒代碼與該可執行文件鏈接，再將鏈接后的文件重新寫入磁盤。 4）轉回原INT 21H入口，對該執行文

9、件進行正常加載。計算機病毒的一般構成計算機病毒在結構上有著共同性，一般由引導部分、傳染部分、表現部分三部分組成。1 . 引導部分 也就是病毒的初始化部分，它隨著宿主程序的執行而進入內存，為傳染部分做準備。2 . 傳染部分 作用是將病毒代碼復制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經感染過該目標等，如CIH病毒只針對Windows 95/98操作系統。3 . 表現部分 是病毒間差異最大的部分，前兩部分是為這部分服務的。它破壞被傳染系統或者在被傳染系統的設備上表現出特定的現象。大部分病毒都是在一定條件下才會觸發其表現部分的。計算機病毒的傳染過程 計算機病

10、毒的傳染過程 1）駐入內存。 2）判斷傳染條件。 3）傳染。 計算機病毒的觸發機制 感染、潛伏、可觸發、破壞是病毒的基本特性。 目前病毒采用的觸發條件主要有以下幾種： 1日期觸發：許多病毒采用日期做觸發條件。日期觸發大體包括：特定日期觸發、月份觸發、 前半年后半年觸發 等。 2時間觸發：時間觸發包括特定的時間觸發、染毒后累計工作時間觸發、文件最后寫入時間觸發等。 3鍵盤觸發：有些病毒監視用戶的擊鍵動作，當發現病毒預定的鍵人時，病毒被激活，進行某些特定操作。 鍵盤 觸發包括擊鍵次數觸發、組合鍵觸發、熱啟動觸發等。 4感染觸發：許多病毒的感染需要某些條件觸發， 而且相當數量的病毒又以與感染有關的信

11、息反過來作為破壞行為的觸發條件，稱為感染觸發。它包括：運行感染文件個數觸發、感染序數觸發、感染磁盤數觸發、感染失敗觸發等。 5啟動觸發：病毒對機器的啟動次數計數，并將此值作為觸發條件稱為啟動觸發。 6訪問磁盤次數觸發：病毒對磁盤I/O訪問的次數進行計數，以預定次數做觸發條件叫訪問磁盤次數觸發。 7調用中斷功能觸發：病毒對中斷調用次數計數，以預定次數做觸發條件。 8CPU型號/主板型號觸發：病毒能識別運行環境的CPU型號/主板型號，以預定CPU型號/主板型號做觸發條件， 這 種病毒的觸發方式奇特罕見。 病毒使用的觸發條件是多種多樣的，而且往往不只是使用上面所述的某一個條件，而是使用由多個條件組

12、合起來的觸發條件。 計算機病毒的傳染機制 1計算機病毒的傳染方式 被動傳染 (用戶在進行拷貝磁盤或文件 ) 主動傳染 (激活狀態下自動傳染 ) 2計算機病毒的傳染過程 拷貝和內存傳染。 3病毒傳染機理 見前面的實例計算機病毒的破壞機制 破壞機制在設計原則、工作原理上與傳染機制基本相同。 它也是通過修改某一中斷向量入口地址（一般為時鐘中 斷INT 8H,或與時鐘中斷有關的其他中斷，如INT 1CH），使該中斷向量指向病毒程序的破壞模塊。 病毒破壞目標和攻擊部位主要是：系統數據區、文件、內存、系統運行、運行速度、磁盤、屏幕顯示、鍵盤、喇叭、打 印機、CMOS、主板等。 計算機病毒的引導機制 1、病

13、毒的寄生對象 磁盤的引導扇區；可執行文件 2、病毒的寄生方式 替代法（引導扇區）；鏈接法（可執行文件） 3、病毒的引導過程 駐留內存；竊取系統控制權；恢復系統功能。中斷與計算機病毒1中斷基本概念 什么是中斷？先打個比方。當一個經理正處理文件時，電話鈴響了（中斷請求），不得不在文件上做一個記號（返 回地址），暫停工作，去接電話（中斷），并指示“按第二方案辦”（調中斷服務程序），然后，再靜下心來（恢復中 斷前狀態），接著處理文件。 中斷是CPU處理外部突發事件的一個重要技術。它能使CPU在運行過程中對外部事件發出的中斷請求及時地進行處理， 處理完成后又立即返回斷點，繼續進行CPU原來的工作。 2中

14、斷與計算機病毒 與病毒有關的重要中斷有： INT 08H和INT 1CH定時中斷，有些病毒利用它們的記時判斷激發條件。 INT 09H鍵盤輸入中斷，病毒用于監視用戶擊鍵情況。 INT 10H屏幕輸入輸出中斷，一些病毒用于在屏幕上顯示字符圖形表現自己。 INT 13H磁盤輸入輸出中斷，引導型病毒用于傳染病毒和格式化磁盤。 INT 21H DOS功能調用，包含了DOS的大部分功能，已發現的絕大多數文件型病毒修改INT 21H中斷， 因此也成為防 病毒的重點監視部位。 INT 24H DOS的嚴重錯誤處理中斷，文件型病毒常進行修改，以防止傳染寫保護磁盤時被發現。 8.2.1計算機病毒的檢測檢測病毒方

15、法有： 特征代碼法 校驗和法 行為監測法 軟件模擬法1、特征代碼法 國外專家認為特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。 特征代碼法的實現步驟： 采集已知病毒樣本；抽取特征代碼；將特征代碼納入病毒數據庫 ；打開被檢測文件，搜索、檢查文件中是否含有病毒數據庫中的病毒特征代碼。 特征代碼法的優點是：檢測準確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做解毒處理。 其缺點是：不能檢測未知病毒；搜集已知病毒的特征代碼，費用開銷大；在網絡上效率低（在網絡服務器上，因長時間檢索會使整個網絡性能變壞）。特征代碼法特點： 速度慢 誤報警率低 不能檢查多態性病毒 不能對付隱蔽性病毒 多態（形型

16、）性病毒是指采用特殊加密技多態（形型）性病毒是指采用特殊加密技術編寫的病毒，這種病毒在每感染一個對象時，術編寫的病毒，這種病毒在每感染一個對象時，采用隨機方法對病毒主體進行加密。多形型病采用隨機方法對病毒主體進行加密。多形型病毒主要是針對查毒軟件而設計的，所以隨著這毒主要是針對查毒軟件而設計的，所以隨著這類病毒的增多，使得查毒軟件的編寫變得更困類病毒的增多，使得查毒軟件的編寫變得更困難，并還會帶來許多的誤報。難，并還會帶來許多的誤報。2、校驗和法 計算正常文件的內容校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存

17、的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法。 優點：方法簡單，能發現未知病毒，被查文件的細微變化也能發現。 缺點：發布通行記錄正常態的校驗和，會誤報警，不能識別病毒名稱，不能對付隱蔽型病毒。 校驗和法特點 既可發現已知病毒，又可發現未知病毒； 不能識別病毒類，不能報出病毒名稱； 常常誤報警； 影響文件的運行速度； 對隱蔽性病毒無效。 3、行為監測法 利用病毒的特有行為特征性來監測病毒的方法，稱為行為監測法。 有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。 監測病毒的行為特征 A、占有INT

18、13H （磁盤輸入輸出中斷） B、改DOS系統為數據區的內存總量 （為了防止DOS系統將病毒覆蓋） C、對COM、EXE文件做寫入動作 D、病毒程序與宿主程序的切換 優點：可發現未知病毒、可相當準確地預報未知的多數病毒。 缺點：可能誤報警、不能識別病毒名稱、實現時有一定難度。4、軟件模擬法 它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。 主要用于檢測多態性病毒。作為特征代碼法的補充。5、先知掃描法 該技術是專門針對于未知的電腦病毒所設計的，利用這種技術可以直接模擬CPU的動作來偵測出某些變種病毒的活動情況，并且研制出該病毒的病毒碼。由于該技術較其他解毒技術嚴謹，對于比較復雜的程序在比對

19、上會耗費比較多的時間，所以該技術的應用不那么廣泛。6、實時I/O掃描 實時地對數據的輸入/輸出動作做病毒碼對比的動作，希望能夠在病毒尚未被執行之前，就能夠防堵下來。 理論上，這樣的實時掃描程序會影響到整體的數據傳輸速率。 8.2.2 異常情況判斷 計算機工作出現下列異常現象，則有可能感染了病毒： 1）屏幕出現異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統很難退出或恢復。 2）揚聲器發出與正常操作無關的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。 3）磁盤可用空間減少，出現大量壞簇，且壞簇數目不斷增多，直到無法繼續工作。 4）硬盤不能引導系統。 5）磁盤上

20、的文件或程序丟失。 6）磁盤讀/寫文件明顯變慢，訪問的時間加長。 7）系統引導變慢或出現問題，有時出現“寫保護錯”提示。 8）系統經常死機或出現異常的重啟動現象。 9）原來運行的程序突然不能運行，總是出現出錯提示。 10）打印機不能正常啟動。8.2.3計算機病毒的防治 1建立、健全法律和管理制度 2加強教育和宣傳 3采取更有效的技術措施 4網絡計算機病毒的防治 采取更有效的技術措施 （1）系統安全 （2）軟件過濾 （3）文件加密 （4）過程控制 （5）后備恢復 （6）其他有效措施 其他有效措施 1）重要的磁盤和重要的帶后綴.COM和.EXE的文件賦予只讀功能，避免病毒寫到磁盤上或可執行文件中。

21、 2）消滅傳染源。 3）建立程序的特征值檔案。 4）嚴格內存管理。 5）嚴格中斷向量的管理。 6）強化物理訪問控制措施 7）一旦發現病毒蔓延，要采用可靠的殺毒軟件和請有經驗的專家處理，必要時需報告計算機安全監察部門，特別要注意不要使其繼續擴散。8.3宏病毒 8.3.1宏病毒的分類 8.3.2宏病毒的行為和特征 8.3.3宏病毒的特點 8.3.4宏病毒的防治和清除方法8.3.1宏病毒的分類 1公（共）用宏病毒 這類宏病毒對所有的Word文檔有效，其觸發條件是在啟動或調用Word文檔時，自動觸發執行。它有兩個顯著的特點： 1）只能用“Autoxxxx”來命名，即宏名稱是用“Auto”開頭，xxxx

22、表示的是具體的一種宏文件名。如AutoOpen、AutoClose、AutoCopy等。 2）它們一定要附加在Word共用模板上才有“公用”作用。通常在用戶不規定和另行編制其他的公用模板時，它們應是附加在Normal.dot模板上，或者首先要能將自己寫進這樣的模板才行。 2私用宏病毒 私用宏病毒與公用宏病毒的主要區別是：前者一般放在用戶自定義的Word模板中，僅與使用這種模板的Word文檔有關，即只有使用這個特定模板的文檔，該宏病毒才有效，而對使用其他模板的文檔，私用宏病毒一般不起作用。8.3.2宏病毒的行為和特征 宏病毒是一種新形態的計算機病毒，也是一種跨平臺式計算機病毒。可以在Window

23、s、Windows 95/98/NT、OS/2、Macintosh System7等操作系統上執行病毒行為。 宏病毒的主要特征如下： 1）宏病毒會感染.DOC文檔和.DOT模板文件。 2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。 3）多數宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。 4）宏病毒中總是含有對文檔讀寫操作的宏命令。 5）宏病毒在.DOC文檔、.DOT模板中以BFF（Binary ）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。 6）宏病毒具有兼容

24、性。 8.3.3宏病毒的特點 1傳播極快 2制作、變種方便 3破壞可能性極大 4 多平臺交叉感染8.3.4 宏病毒的判斷方法 在打開“宏病毒防護功能”的情況下，如果您的OFFICE文檔在打開時，系統給出一個宏病毒警告框，那么您應該對這個文檔保持高度警惕，它已被感染的幾率極大。 注意：簡單地刪除被宏病毒感染的文檔并不能清除OFFICE系統中的宏病毒！8.3.5宏病毒的防治和清除方法 （1）首選方法：用最新版的反病毒軟件清除宏病毒 （2）應急處理方法：用寫字板或Word 6.0 文檔作為清除宏病毒的橋梁。 （3）如果已經感染了宏病毒，可按下面的方法清除:替換掉（或刪除）通用模板Normal.dot

25、文件；使用普通的殺毒軟件對所有的Word 文件進行殺毒 。 （4）宏病毒的防范。考慮到大部分Word 用戶使用的是普通的文字處理功能，很少有人使用宏編程，因此，為了能及早發現該病毒，避免不必要的損失，平時可將一個干凈的Normal.dot 文件和殺宏病毒軟件保存在軟盤中，并加上寫保護。當發現通用模板已被感染時，可用保存在軟盤中的Normal.dot 文件替換已被感染的模板文件，然后運行殺毒軟件。8.4網絡計算機病毒 8.4.1網絡計算機病毒的特點 8.4.2網絡對病毒的敏感性 8.4.3網絡病毒實例電子郵件病毒8.4.1網絡計算機病毒的特點 在網絡環境中，計算機病毒具有如下一些新的特點： （1

26、）傳染速度快 （2）傳染面廣 （3）傳染形式多 （4）清除難度大 （5）破壞性強 8.4.2網絡病毒的傳播方式 具體地說，其傳播方式有： 1、病毒直接從有盤站拷貝到服務器中；2、病毒先傳染工作站，在工作站內存駐留,等運行網絡盤內程序時再傳染給服務器；3、病毒先傳染工作站，在工作站內存駐留，在病毒運行時直接通過映像路徑傳染到服務器中； 4、如果遠程工作站被病毒侵入，病毒也可以通過通訊中數據交換進入網絡服務器中。 8.4.3網絡病毒實例蠕蟲病毒1蠕蟲的定義 Internet 蠕蟲是無須計算機使用者干預即可運行的獨立程序，它通過不停的獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。 蠕蟲與

27、病毒的最大不同在于它不需要人為干預，且能夠自主不斷地復制和傳播。2蠕蟲的行為特征2.1 蠕蟲的工作流程 蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段，如圖2所示。 蠕蟲程序掃描到有漏洞的計算機系統后，將蠕蟲主體遷移到目標主機。然后，蠕蟲程序進入被感染的系統，對目標主機進行現場處理。現場處理部分的工作包括：隱藏、信息搜集等。同時，蠕蟲程序生成多個副本，重復上述流程。不同的蠕蟲采取的IP生成策略可能并不相同，甚至隨機生成。各個步驟的繁簡程度也不同，有的十分復雜，有的則非常簡單。2.2 蠕蟲的行為特征 自我繁殖：蠕蟲在本質上已經演變為黑客入侵的自動化工具， 當蠕蟲被釋放（rele

28、ase）后，從搜索漏洞，到利用搜索結果攻擊系統，到復制副本，整個流程全由蠕蟲自身主動完成。就自主性而言，這一點有別于通常的病毒。 利用軟件漏洞：任何計算機系統都存在漏洞，這些就蠕蟲利用系統的漏洞獲得被攻擊的計算機系統的相應權限，使之進行復制和傳播過程成為可能。這些漏洞是各種各樣的，有操作系統本身的問題，有的是應用服務程序的問題，有的是網絡管理人員的配置問題。正是由于漏洞產生原因的復雜性，導致各種類型的蠕蟲泛濫。 造成網絡擁塞：在掃描漏洞主機的過程中，蠕蟲需要：判斷其它計算機是否存在；判斷特定應用服務是否存在；判斷漏洞是否存在等等，這不可避免的會產生附加的網絡數據流量。同時蠕蟲副本在不同機器之間

29、傳遞，或者向隨機目標的發出的攻擊數據都不可避免的會產生大量的網絡數據流量。即使是不包含破壞系統正常工作的惡意代碼的蠕蟲，也會因為它產生了巨量的網絡流量，導致整個網絡癱瘓，造成經濟損失。 消耗系統資源：蠕蟲入侵到計算機系統之后，會在被感染的計算機上產生自己的多個副本，每個副本啟動搜索程序尋找新的攻擊目標。大量的進程會耗費系統的資源，導致系統的性能下降。這對網絡服務器的影響尤其明顯。 留下安全隱患：大部分蠕蟲會搜集、擴散、暴露系統敏感信息（如用戶信息等），并在系統中留下后門。這些都會導致未來的安全隱患。 3、蠕蟲病毒與一般病毒的異同 病毒類型：普通病毒 蠕蟲病毒 存在形式：寄存文件獨立程序傳染機制

30、：宿主程序運行主動攻擊 傳染目標：本地文件網絡計算機 4、蠕蟲的破壞和發展趨勢 每一次蠕蟲的爆發都會給社會帶來巨大的損失。 目前蠕蟲爆發的頻率越來越快，技術越來越新，并與黑客技術相結合。尤其是近兩年來，越來越多的蠕蟲（如沖擊波、振蕩波等）出現。 對蠕蟲進行深入研究，并提出一種行之有效的解決方案，為企業和政府提供一個安全的網絡環境成為我們急待解決的問題。5、企業防范蠕蟲病毒措施 企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力；病毒的監控能力；新病毒的反應能力。 推薦的企業防范蠕蟲病毒的策略如下： （1）加強網絡管理員安全管理水平，提高安全意識。減少系統漏洞。 （2）建立病毒檢測系統。能夠

31、在第一時間內檢測到網絡異常和病毒攻擊。 （3）建立應急響應系統，將風險減少到最小！（4）建立災難備份系統。對于數據庫和數據系統，必須采用定期備份，多機備份措施，防止意外災難下的數據丟失！ 對于局域網而言，可以采用以下一些主要手段：（1）在因特網接入口處安裝防火墻式防殺計算機病毒產品，將病毒隔離在局域網之外。（2）對郵件服務器進行監控，防止帶毒郵件進行傳播！（3）對局域網用戶進行安全培訓。（4）建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等等！ 6、對個人用戶產生直接威脅的蠕蟲病毒 對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式一般為電

32、子郵件以及惡意網頁等等。即以各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播！ 威脅最大，難以根除，造成的損失也更大。 惡意網頁確切的講是一段黑客破壞代碼程序，它內嵌在網頁中，當用戶在不知情的情況下打開含有病毒的網頁時，病毒就會發作。 常常采取vb script和java script編程的形式！ 個人用戶對蠕蟲病毒的防范措施 1安裝合適的殺毒軟件賽門鐵克公司的Norton系列殺毒軟件 、瑞星、kv系列等殺毒軟件。 2 經常升級病毒庫殺毒軟件對病毒的查殺是以病毒的特征碼為依據的。 3提高防殺毒意識不要輕易點擊陌生的站點，有可能里面就含有惡意代碼！ 將IE安全級別改為“高” 。 4不隨意查看陌生郵件

33、，尤其是帶有附件的郵件升級IE和OE程序，及常用的其他應用程序！8.4.4網絡病毒實例特洛伊木馬 特洛伊木馬是一個包含在一個合法程序中的非法的程序。 一種黑客程序，本身不破壞數據，黑客利用其遠程操縱受害計算機。 一般的木馬都有客戶端和服務器端兩個執行程序。 通過各種途徑放置木馬程序。8.4.5網絡病毒實例電子郵件病毒 1電子郵件病毒的特點 （1）郵件格式不統一，殺毒困難 （2）傳播速度快，傳播范圍廣，破壞力大 2電子郵件病毒的防范措施 1）首先，不要輕易打開陌生人來信中的附件文件。 2）對于比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運

34、行。 3）給別人發送程序文件甚至包括電子賀卡時，一定要先在自己的計算機中試試，確認沒有問題后再發，以免好心辦了壞事。 4）不斷完善“網關”軟件及病毒防火墻軟件，加強對整個網絡入口點的防范。 5）使用優秀的防毒軟件對電子郵件進行專門的保護。 6）使用防毒軟件同時保護客戶機和服務器。 7）使用特定的SMTP殺毒軟件。 8.5反病毒技術 8.5.1計算機病毒的檢測 8.5.2計算機病毒的防治 8.5.3計算機感染病毒后的修復防范計算機網絡病毒的一些措施： 1）在網絡中，盡量多用無盤工作站，不用或少用有軟驅的工作站。 2）在網絡中，要保證系統管理員有最高的訪問權限，避免過多地出現超級用戶。 3）對非共

35、享軟件，將其執行文件和覆蓋文件如*.COM、*.EXE、*.OVL等備份到文件服務器上，定期從服務器上拷貝到本地硬盤上進行重寫操作。 4）接收遠程文件輸入時，一定不要將文件直接寫入本地硬盤，而應將遠程輸入文件寫到軟盤上，然后對其進行查毒，確認無毒后再拷貝到本地硬盤上。 5）工作站采用防病毒芯片，這樣可防止引導型病毒。 6）正確設置文件屬性，合理規范用戶的訪問權限。 7）建立健全網絡系統安全管理制度，嚴格操作規程和規章制度，定期作文件備份和病毒檢測。 8）目前預防病毒最好的辦法就是在計算機中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優秀的網絡防病毒軟件，如LAN Protect和LAN

36、Clear for NetWare等。 9）為解決網絡防病毒的要求，已出現了病毒防火墻，在局域網與Internet，用戶與網絡之間進行隔離。 8.5.3計算機感染病毒后的修復 1修復引導記錄病毒 （1）修復感染的軟盤 （2）修復感染的主引導記錄 （3）利用反病毒軟件修復 2修復可執行文件病毒 即使有經驗的用戶也會認為修復文件病毒感染很困難。一般要先用殺病毒軟件殺毒，再用未感染的備份拷貝代替它，這是修復被感染程序文件的最有效途徑。如果得不到備份，反病毒程序一般使用它們的病毒掃描器組件檢測并修復感染的程序文件。如果文件被非覆蓋型病毒感染，那么這個程序很可能會被修復。8.6軟件防病毒技術1防、殺毒軟

37、件的選購指標 （1）查殺病毒數量多，安全可靠 （2）要有實時反病毒“防火墻”技術 （3）內存占有量要低 （4）恢復數據能力 （5）掃描速度快、識別率高 （6）病毒清除測試2常用的防、殺毒軟件 諾頓（Norton AntiVirus）瑞星系列江民KV系列金山毒霸系列網絡版8.7典型病毒實例CIH病毒介紹 8.7.1CIH病毒 8.7.2Code Red II病毒 8.7.3RedLof病毒 8.7.4FunLove病毒 8.7.5求職信病毒 8.7.6尼姆達病毒8.7.1CIH病毒 CIH病毒是一種文件型病毒，又稱Win95.CIH、Win32.CIH、PE_CIH ，建立在WINDOW95/9

38、8平臺。 其宿主是Windows 95/98系統下的PE格式可執行文件即.EXE文件，CIH病毒具有以下特點： 受感染的.EXE文件的文件長度沒有改變； DOS以及WIN 3.1 格式（NE格式）的可執行文件不受感染，并且在Win NT中無效。 用資源管理器中“工具查找文件或文件夾”的“高級包含文字”查找.EXE特征字符串-“CIH v”，在查找過程中，顯示出一大堆符合查找特征的可執行文件。 若4月26日開機，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機后，計算機無法啟動。病毒的危害 主要表現在于病毒發作后，硬盤數據全部丟失，甚至主板上的BIOS中的原內容被會徹底破壞，主機無法啟動。只有更換B

39、IOS，或是向固定在主板上的BIOS中重新寫入原來版本的程序，才能解決問題。 病毒的檢測和清除目前，檢測和清除CIH病毒的程序已有很多， KV、瑞星、Norton Antiviurs，這些殺病毒工具都非常有效。8.7.2 Code Red II病毒 又稱“紅色代碼II”，屬蠕蟲病毒，別名Worm.CodeRedII “紅色代碼”通過微軟公司IIS系統漏洞進行感染，它使IIS服務程序處理請求數據包時溢出，導致把此“數據包”當作代碼運行，病毒駐留后再次通過此漏洞感染其它服務器。使用服務器的端口80進行傳播 。 “紅色代碼2”是“紅色代碼”的改良版，可以在遭到攻擊的機器上植入“特洛伊木馬”。 與其它

40、病毒不同的是，“紅色代碼”不同于以往的文件型病毒和引導型病毒，并不將病毒信息寫入被攻擊服務器的硬盤。它只存在于內存，傳染時不通過文件這一常規載體，而是借助這個服務器的網絡連接攻擊其它的服務器，直接從一臺電腦內存傳到另一臺電腦內存。 手動檢測及清除方法（1）斷開網絡，以避免重復感染和感染其它機器。（2）立即停止IIS服務。（3）按Ctrl+Alt+Delete，選擇“任務管理器” 選擇“進程”標簽 ，檢查是否進程中有兩個exploer.exe“。如果您找到 兩個”exploer.exe“，說明木馬已經在您的機器上運行了，您應當立刻殺掉木馬程序；否則，說明您還沒有執行木馬程序，您可以轉到第（5）步

41、。（4）在“任務管理器”菜單中選擇：查看-選定列-線程計數，按確定。這時您會發現顯示框中增加了新的一列線程數。檢查兩個exploer.exe, 顯示只有一個線程的exploer.exe 就是木馬程序。您應當立刻結束這個進程。清除 （5）重新啟動系統，運行cmd，在cmd窗口中運行以下命令，以刪除蠕蟲病毒留下的后門。C:CD C:ATTRIB -h -s -r explorer.exeDel explorer.exeDel C:inetpubscriptsroot.exeDel C:progra1Common1SystemMSADCRoot.exeD:CD D:Attrib -h -s -r e

42、xplorer.exeDel explorer.exeDel D:inetpubscriptsroot.exeDel D:progra1Common1SystemMSADCRoot.exe忽略其中任何錯誤。清除 （6）修改被蠕蟲改動過的注冊表：運行regedit選擇：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots選擇/C,選擇刪除；選擇/D, 選擇刪除。選擇：/MSADC，將217換為201。選擇：/scripts，將271換為201。對于Windows 2000系統，需要打開：HKEY

43、_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinLogon將SFCDisable改為0。 （7）重新啟動系統 （8）執行步驟4，給系統打補丁8.7.3RedLof病毒 此病毒可以在Windows 9X、Windows 2000、Windows XP等操作系統環境下正常運行。它感染腳本類型的文件，運行時，全盤查找腳本類型的文件(vbs,htm, html等)，如果找到，則將病毒自身加入這些文件的尾部，完成感染。 該病毒還會瘋狂感染文件夾，會在感染的文件夾下產生兩個文件，一個名為：desktop.ini的目錄配置文件，一個名為：f

44、older.htt的病毒體文件，當用戶雙擊鼠標進入被感染的文件夾時，病毒就會被激活，由于病毒每激活一次，就會在內存中復制一次，所以當用戶多次進入被感染的文件夾時，病毒就會大量進入內存，造成計算機運行速度越來越慢，而且該病毒還會隨著信件模板，進行網絡傳播。 查殺方法： 1、用最新版殺毒軟件。在殺毒過程中要關閉所有WINDOWS窗口，禁止使用WEB方式瀏覽“資源管理器”或“我的電腦”等。 2、在Windows操作系統環境下，要打開文件監控功能，先查殺內存然后在查殺所有硬盤文件。 3、在殺完毒之后應立即重新啟動計算機。 4、如果用戶在Windows操作系統環境下不能完全地清除此病毒，請到純DOS操作

45、環境下進行殺毒，將此病毒全部清除掉。8.7.4FunLove病毒 感染Win9X、NT/2000操作系統。 病毒侵入NT操作系統后，會產生一個Flcss.exe文件（位于%system%目錄下，如windowssystem，windowssystem32，winntsystem），然后給NTOSKRNL.EXE 和 NTLDR打上補丁，取得admininstrator的控制權，再將自己生成為NT的一個服務，名稱為FLC，然后開始復制（傳染）到所有可達目錄及子目錄下的EXE、OCX、SCR文件中。復制完成后，通過搜索網絡上其它機器，試圖感染之。這就是我們為什么會發現計算機不管有沒有設共享目錄，就有用戶聯上來的原因。但如果該機器沒有可寫的共享目錄，或可寫共享目錄是設了口令的，病毒是無法感染它的。查殺方法：1、取消共享。 2、確認NT操作系統是否被感染。通過查“控制面板”-“服務”中是否有FLC服務，確認病毒是否已進入內存；通