1、第3章病毒知識(zh shi)介紹共四十八頁知識點病毒的定義、識別和防治網絡(wnglu)病毒的特點及防治典型病毒殺毒軟件的使用共四十八頁難點(ndin)病毒(bngd)的識別和防治 共四十八頁要求(yoqi) 熟練掌握以下內容：病毒定義(dngy)、識別和防治 網絡病毒的特點及防治殺毒軟件的使用了解以下內容：病毒的發展歷史典型病毒共四十八頁3.1 計算機病毒簡介(jin ji)3.1.1 病毒的概念計算機病毒是一個程序，一段可執行代碼。就像生物病毒一樣，計算機病毒有獨特的復制能力，可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，

2、它們就隨同文件一起(yq)轉移。 共四十八頁計算機病毒（Computer Virus）在中華人民共和國計算機信息系統安全保護條例中被明確定義，病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且(bngqi)能夠自我復制的一組計算機指令或者程序代碼”。共四十八頁3.1.2 病毒(bngd)的發展史計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程(jnchng)發展到一定階段的必然產物。它產生的背景如下。1制造計算機病毒是計算機犯罪的一種新的衍化形式制造計算機病毒是高技術犯罪，具有瞬時性、動態性和隨機性，不易取證，風險小破壞大，從而刺激了犯罪意識和犯罪活

3、動，是某些人惡作劇和報復心態在計算機應用領域的表現。共四十八頁3.1.2 病毒(bngd)的發展史2計算機軟硬件產品的脆弱性是根本的技術原因計算機是電子產品。數據從輸入、存儲、處理、輸出等環節，易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫(gixi)；計算機軟件設計的手工方式，效率低且生產周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤，只能在運行中發現、修改錯誤，并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。共四十八頁3.1.2 病毒(bngd)的發展史3微機的普及應用是計算機病毒產生的必要環境1983年11月3日美國計算機專家首次提出了計算機病毒的概念并

4、進行了驗證。幾年前計算機病毒就迅速蔓延，到我國是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及，操作系統簡單明了，軟、硬件透明度高，基本上沒有什么安全措施，能夠透徹了解它內部結構的用戶日益增多，對其存在的缺點和易攻擊處也了解得越來越清楚，不同的目的(md)可以做出截然不同的選擇。目前，在IBM PC系統及其兼容機上廣泛流行著各種病毒就很說明這個問題。 共四十八頁3.1.3 病毒(bngd)的特點計算機病毒一般具有以下幾個特點。（1）破壞性。凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞。其表現為：占用CPU時間和內存開銷，從而造成進程堵塞；對數據或文件進行

5、破壞；打亂屏幕的顯示等。（2）隱蔽性。病毒程序大多夾在正常(zhngchng)程序之中，很難被發現。（3）潛伏性。病毒侵入后，一般不立即活動，需要等一段時間，條件成熟后才作用。（4）傳染性。對于絕大多數計算機病毒來講，傳染是它的一個重要特性。它通過修改別的程序，并把自身的拷貝包括進去，從而達到擴散的目的。共四十八頁3.1.4 病毒(bngd)的分類計算機病毒一般可分成4種主要類別：系統引導病毒、文件型病毒、復合型病毒和宏病毒。1系統引導病毒系統引導病毒又稱引導區型病毒。直到20世紀90年代中期，引導區型病毒是最流行的病毒類型，主要通過軟盤在DOS操作系統里傳播。引導區型病毒侵染軟盤中的引導區，

6、蔓延到用戶硬盤，并能侵染到用戶硬盤中的“主引導記錄”。一旦硬盤中的引導區被病毒感染，病毒就試圖侵染每一個插入計算機的從事訪問的軟盤的引導區。引導區型病毒是這樣工作的：由于病毒隱藏在軟盤的第一扇區，使它可以在系統文件裝入內存之前先進入內存，從而獲得(hud)對DOS的完全控制，這就使它得以傳播和造成危害。共四十八頁3.1.4 病毒(bngd)的分類2文件型病毒文件型病毒是文件侵染者，也被稱為寄生病毒。它運作在計算機存儲器里，通常感染擴展名為COM、EXE、DRV、BIN、OVL、SYS等文件。每一次激活它們時，感染文件把自身復制到其他文件中，并能在存儲器里保存(bocn)很長時間，直到病毒又被激

7、活。目前，有數千種文件型病毒，它類似于引導區型病毒，極大多數文件型病毒活動在DOS環境中。然而，也有一些文件型病毒能很成功地感染微軟 Windows、 IBM OS/2和 Macintosh環境。3復合型病毒復合型病毒具有引導區型病毒和文件型病毒兩者的特征。4宏病毒宏病毒一般是指用 Basic書寫的病毒程序，寄存在 Microsoft Office文檔上的宏代碼。它影響對文檔的各種操作，如打開、存儲、關閉或清除等。當打開Office文檔時，宏病毒程序就會被執行，即宏病毒處于活動狀態。當觸發條件滿足時，宏病毒才開始傳染、表現和破壞。共四十八頁3.1.5 病毒(bngd)的結構計算機病毒一般由引導

8、模塊、感染模塊、破壞模塊、觸發模塊四大部分組成。1引導模塊計算機病毒為了進行自身的主動傳播必須(bx)寄生在可以獲取執行權的寄生對象上。就目前出現的各種計算機病毒來看，其寄生對象有兩種：寄生在磁盤引導扇區和寄生在特定文件中（如EXE、COM、可執行文件、DOC、HTML等）。寄生在它們上面的病毒程序可以在一定條件下獲得執行權，從而得以進入計算機系統，并處于激活狀態，然后進行動態傳播和破壞活動。2感染模塊感染是指計算機病毒由一個載體傳播到另一個載體。這種載體一般為磁盤，它是計算機病毒賴以生存和進行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。促成病毒的傳染還有一個先決條件，可分為兩種情況：一

9、種情況是用戶在復制磁盤或文件時，把一個病毒由一個載體復制到另一個載體上，或者是通過網絡上的信息傳遞，把一個病毒程序從一方傳遞到另一方；另一種情況是在病毒處于激活狀態下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體。共四十八頁3.1.5 病毒(bngd)的結構3觸發模塊計算機病毒在傳染或發作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發作，否則不傳染或不發作，這個條件就是計算機病毒的觸發條件。計算機病毒頻繁的破壞行為可能給用戶以重創。目前病毒采用的觸發條件主要有以下幾種。（1）日期觸發。許多病毒采用日期作為觸發條件。日期觸發大體包括特定日期觸發、月份觸發和前半年觸發/后半年

10、觸發等。（2）時間觸發。它包括特定的時間觸發、染毒后累計工作時間觸發和文件最后寫入時間觸發等。（3）鍵盤觸發。有些病毒監視(jinsh)用戶的擊鍵動作，當發現病毒預定的擊鍵時，病毒被激活，進行某些特定操作。鍵盤觸發包括擊鍵次數觸發、組合鍵觸發和熱啟動觸發等。（4）感染觸發。許多病毒的感染需要某些條件觸發，而且相當數量的病毒以與感染有關的信息反過來作為破壞行為的觸發條件，稱為感染觸發。它包括運行感染文件個數觸發、感染序數觸發、感染磁盤數觸發和感染失敗觸發等。（5）啟動觸發。病毒對計算機的啟動次數計數，并將此值作為觸發條件。（6）訪問磁盤次數觸發。病毒對磁盤I/O訪問次數進行計數，以預定次數作為觸

11、發條件。（7）CPU型號/主板型號觸發。病毒能識別運行環境的CPU型號/主板型號，以預定CPU型號/主板型號作為觸發條件，這種病毒的觸發方式奇特罕見。共四十八頁3.1.5 病毒(bngd)的結構4破壞模塊破壞模塊在觸發條件滿足的情況下，病毒對系統或磁盤上的文件進行破壞。這種破壞活動不一定都是刪除磁盤上的文件，有的可能是顯示一串無用的提示信息。有的病毒在發作時，會干擾系統或用戶的正常工作。而有的病毒，一旦(ydn)發作，則會造成系統死機或刪除磁盤文件。新型的病毒發作還會造成網絡的擁塞甚至癱瘓。計算機病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術能量。數以萬計、不斷發展擴張的病毒，

12、其破壞行為千奇百怪。病毒破壞目標和攻擊部位主要有系統數據區、文件、內存、系統運行速度、磁盤、CMOS、主板和網絡等。共四十八頁3.1.6 病毒(bngd)的識別與防治只要掌握一些(yxi)病毒的命名規則，就能通過殺毒軟件報告中出現的病毒名來判斷該病毒的一些(yxi)共有特性。一般格式為：.。病毒前綴是指一個病毒的種類，它是用來區別病毒的種族分類的。不同種類的病毒，其前綴也是不同的。比如常見的木馬病毒的前綴是Trojan，蠕蟲病毒的前綴是Worm等。病毒名是指一個病毒的家族特征，用來區別和標識病毒家族的，如以前著名的CIH病毒的家族名是統一的“CIH”，振蕩波蠕蟲病毒的家族名是“Sasser”。

13、病毒后綴是指一個病毒的變種特征，用來區別具體某個家族病毒的某個變種。一般都采用英文中的26個字母來表示，如 Worm.Sasser.b 就是指振蕩波蠕蟲病毒的變種b，因此一般稱為“振蕩波b變種”或者“振蕩波變種b”。如果該病毒變種非常多，可以采用數字與字母混合表示變種標識。 共四十八頁1Windows操作系統一些常見的病毒前綴的解釋（1）系統病毒系統病毒的前綴為Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染(gnrn)Windows操作系統的 *.exe 和 *.dll 文件，并通過這些文件進行傳播，如CIH病毒。（2）蠕蟲病毒蠕蟲病毒的前綴是Worm。這種

14、病毒的共有特性是通過網絡或者系統漏洞進行傳播，大部分蠕蟲病毒都能向外發送帶毒郵件、阻塞網絡的特性，比如沖擊波（阻塞網絡）、小郵差（發帶毒郵件）等。共四十八頁（3）木馬病毒、黑客病毒木馬病毒其前綴是Trojan，黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網絡或者系統漏洞進入用戶的系統并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的計算機進行遠程控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的計算機，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344，還有可能遇見比

15、較多的針對(zhndu)網絡游戲的木馬病毒如 Trojan.LMir.PSW.60。這里補充一點，病毒名中有PSW或者PWD的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）。一些黑客程序如網絡梟雄（Hack.Nether.Client）等。共四十八頁（4）腳本病毒腳本病毒的前綴是Script。腳本病毒的共有特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼(di m)（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c

16、.s）等。共四十八頁（5）宏病毒其實宏病毒也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。宏病毒的前綴是Macro，第二前綴是Word、Word97、Excel、Excel97（也許(yx)還有別的）其中之一。凡是只感染Word 97及以前版本Word文檔的病毒采用Word97做為第二前綴，格式是Macro.Word97；凡是只感染Word97以后版本Word文檔的病毒采用Word做為第二前綴，格式是Macro.Word；凡是只感染Excel97及以前版本Excel文檔的病毒采用Excel97做為第二前綴，格式是Macro.Excel97；凡是只感染Excel97以后版本Excel

17、文檔的病毒采用Excel做為第二前綴，格式是Macro.Excel，以此類推。該類病毒的共有特性是能感染Office系列文檔，然后通過Office通用模板進行傳播，如著名的美麗莎（Macro.Melissa）病毒。共四十八頁（6）后門病毒后門病毒的前綴是Backdoor。該類病毒的共有特性是通過網絡傳播，給系統開后門，給用戶計算機帶來安全隱患。（7）病毒種植程序病毒這類病毒的共有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞，如冰河播種者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。（8）破壞性程序病毒破

18、壞性程序病毒的前綴是Harm。這類病毒的共有特性是本身具有(jyu)好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞，如格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。 共四十八頁（9）玩笑病毒玩笑病毒的前綴是Joke，也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶計算機進行任何破壞，如女鬼（Joke.Girlghost）病毒。（10）捆綁機病毒捆綁機病毒的前綴是Binder。這類病毒的共有特性是病毒作者會使用特定的捆綁程

19、序將病毒與一些應用程序（如QQ、IE）捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，同時隱藏運行捆綁在一起的病毒，從而給用戶造成危害，如捆綁QQ（Binder.QQPass.QQBin）、系統(xtng)殺手（Binder.killsys）等。 共四十八頁2計算機的病毒防治步驟（1）清理首先，安裝防病毒軟件。目前世界上較為流行的防病毒軟件有DrSdomon的AntiVirus、McAfee的VirusScan和Symantic的NortonAntivirus，國內比較流行的防病毒軟件有瑞星殺毒軟件、360安全衛士、金山毒霸等。其次，清理磁盤碎片。硬盤使

20、用一段時間后，可儲存的空間在物理上已變得不連續。當安裝應用程序或保存大型文件時，數據通常被分成許多碎片，存入硬盤不連續的區域中。硬盤中的碎片越來越多，文件也就分布得越來越亂，那么再運行某個程序或打開某個文件時，會發現機器慢得令人難以忍受。所以，要對機器進行(jnxng)定期的磁盤碎片清理，也就是把那些文件碎片重新按順序在磁盤空間上連續排列。Windows操作系統自帶磁片碎片整理程序，在“開始/程序/附件/系統工具”下可以找到該項。Norton套裝軟件中的SpeedDisk，也是個不錯的磁盤碎片整理程序，它不僅速度快（整理1GB的硬盤只需DiskDefagment的一半時間），而且能把經常需要用

21、到的文件放在磁盤的前端（速度可大大提升），并將那些頻繁變化的文件放到硬盤后面較空的位置上，以減少碎片的產生。 共四十八頁（2）檢查清理驅動器后，下一步就是檢查。通過定期掃描硬盤，不斷升級軟件，經常查看(chkn)計算機狀態，就可以防患于未然。具體做法如下。首先，讓硬盤保持良好的狀態。硬盤的日常維護不可缺少，這些維護主要使用磁盤掃描工具軟件來進行。磁盤掃描工具能掃描磁盤的物理表面，檢查文件系統的目錄結構，并對硬盤的可靠性進行測試。通常，如果是非正常關機，硬盤上的文件最有可能出現交叉連接或簇丟失。此時若不修復，Windows將變得不穩定，程序執行也會出錯。 其次，要不斷更新軟件。一般來說，軟件升級

22、可以修復舊版本的BUG，還可以降低應用程序或操作系統的出錯率。升級硬件的驅動程序則可充分地發揮硬件的性能，使之與操作系統更好地交互。通過廠商的網站，一般都可以及時獲得最新的升級補丁或驅動程序。此外，一些知名的個人主頁也提供軟件和驅動程序下載。 然后，深入了解PC的內部結構。在“開始”菜單中選擇“控制面板/系統/硬件/設備管理器”。這時可以查看到各部分硬件的詳細資料。比如，要查看MODEM的情況，如果在MODEM的前面沒有問號，表示該設備情況正常，在它上面雙擊會顯示更詳細的信息，包括配置是否恰當。配置設備或消除設備沖突的簡單辦法是用Win9x的硬件沖突診斷器來完成。此外，也可使用專門的軟件來解決

23、硬件上的問題。 共四十八頁另外，提高上網速度。上網速度慢，并不是(b shi)計算機本身的原因，主要是網上“人多路窄”，除非選用更快的MODEM或ISDN等高速一些的連接方式。如果在連接方式上無法變動，通過對系統優化，還是可以有限地改善上網速度。（3）C盤可定期清理的文件 Local Setting里面的東西可以定期刪除，影響不大。另外，Cookie和各種臨時文件也可以定期清理一下。 共四十八頁3.2 網絡病毒(bngd)及其防治3.2.1 網絡病毒的特點計算機病毒攻擊網絡的途徑主要是通過U盤復制、互聯網上的文件傳輸、硬件設備中的固化病毒程序等。病毒還可以利用網絡的薄弱環節攻擊計算機網絡。 在

24、網絡環境(hunjng)中，計算機病毒具有如下一些新的特點。共四十八頁1傳染方式(fngsh)多病毒入侵網絡的主要途徑是通過工作站傳播到服務器硬盤，再由服務器的共享目錄傳播到其他工作站。但病毒傳染方式比較復雜，通常有以下幾種。（1）引導型病毒對工作站或服務器的硬盤分區表或DOS引導區進行傳染。（2）通過在有盤工作站上執行帶毒程序，而傳染服務器映像盤上的文件。由于login.exe文件是用戶登錄入網的一個被調用的可執行文件，因此該文件最易被病毒感染。而一旦login.exe文件被病毒感染，則每個工作站在使用它登錄時使會感染，并進一步感染服務器共享目錄。（3）服務器上的程序若被病毒感染，則所有使用

25、該帶毒程序的工作站都將被感染。病毒有可能感染工作站上的硬盤分區或DOS引導區。（4）病毒通過工作站的拷貝操作進入服務器，進而在網上傳染。（5）利用多任務可加載模塊進行傳染。共四十八頁2傳染速度快在單機上，病毒只能通過U盤或移動硬盤等從一臺計算機傳染到另一臺計算機，而在網絡中病毒則可通過網絡通信機制迅速擴散。由于病毒在網絡中傳染速度非常快，故其擴散范圍很大，不但能迅速傳染局域網內所有計算機，還能通過遠程工作站將病毒在瞬間傳播到千里之外。3清除難度大在單機上，再頑固的病毒也可通過刪除帶病毒文件，低級格式化硬盤等措施被清除，而網絡中只要一臺工作站未消毒干凈就可令整個網絡全部(qunb)被病毒更新感染

26、，甚至剛剛完成消毒工作的一臺工作站也有可能被網上另一臺工作站的帶毒程序所感染。因此，僅對工作站進行殺毒處理并不能徹底解決網絡病毒問題。共四十八頁4破壞性強網絡上的病毒將直接影響網絡的工作，輕則降低速度，影響工作效率，重則網絡系統的癱瘓，破壞服務系統的資源，使多年工作成果毀于一旦。5可激發性網絡病毒激發的條件多樣化，可以是內部時鐘、系統的日期和用戶名，也可以是網絡的一次通信等。一個病毒程序可以按照設計者的要求，在某個工作站上激活并發出攻擊。6潛在性網絡一旦感染(gnrn)了病毒，即使病毒已被消除，其潛在的危險仍是巨大的。DATAQUEST公司研究發現，病毒在網絡上被消除后，85的網絡會在30天內

27、再次被感染。 共四十八頁3.2.2 網絡病毒的傳播網絡病毒一般會試圖通過以下(yxi)4種不同的方式進行傳播。（1）郵件附件。病毒經常會附在郵件的附件里，然后起一個吸引人的名字，誘惑人們去打開附件。一旦人們執行之后，機器就會染上附件中所附的病毒。（2）E-mail。有些蠕蟲病毒會利用在Microsoft Security Bulletin的MS01-020中討論過的安全漏洞將自身藏在郵件中，并向其他用戶發送一個病毒副本來進行傳播。正如在公告中所描述的那樣，該漏洞存在于Internet Explorer之中，但是可以通過E-mail進行傳播，只需簡單地打開郵件就會使機器感染上病毒，而并不需要打開

28、郵件附件。（3）Web服務器。有些網絡病毒攻擊IIS 4.0和IIS 5.0 Web服務器。例如“尼姆達”病毒來舉例說明吧，主要通過兩種手段來進行攻擊。第一，它檢查計算機是否已經被“紅色代碼II”病毒所破壞，因為“紅色代碼II”病毒會創建一個“后門”，任何惡意用戶都可以利用這個“后門”獲得對系統的控制權。如果“尼姆達”病毒發現了這樣的機器，它會簡單地使用“紅色代碼II”病毒留下的后門來感染機器。第二，病毒會試圖利用“Web Server Folder Traversal”漏洞來感染機器。如果它成功地找到了這個漏洞，病毒會使用它來感染系統。（4）文件共享。Windows系統可以被配置成允許其他用

29、戶讀寫系統中的文件。允許所有人訪問自己的文件會導致很糟糕的安全性，而且默認情況下，Windows系統僅僅允許授權用戶訪問系統中的文件。然而，如果病毒發現系統被配置為其他用戶可以在系統中創建文件時，它會在其中添加文件來傳播病毒。 共四十八頁3.2.3 網絡病毒的防治1基于工作站的防治技術工作站就像是計算機網絡的大門。只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有3種。一是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力，但需人為經常去啟動防病毒軟件，因此不僅給工作人員增加了負擔，而且很有可能在病毒發作后才能檢測到。二是在工作站上插防病毒

30、卡。防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行(ynxng)速度有一定的影響。三是在網絡接口卡上安裝防病病毒芯片。它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務器的橋梁，但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網絡的傳輸速度也會產生一定的影響。共四十八頁2基于服務器的防治技術網絡服務器是計算機網絡的中心，是網絡的支柱。網絡癱瘓的一個重要標志就是網絡服務器癱瘓。網絡服務器一旦(ydn)被擊垮，造成的損失是災難性的，是難以挽回和無法估量的。目前基于服務器的防治病毒的方法大都采用防病毒可裝載模塊（NLM）

31、，以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術，目的在于保護服務器不受病毒的攻擊，從而切斷病毒進一步傳播的途徑。 共四十八頁3個人用戶防范網絡病毒時注意事項（1）安裝殺毒軟件。（2）下載常識。（3）電子郵件。（4）使用基于客戶端的防火墻或硬件過濾措施，可以增強計算機對黑客和惡意代碼的攻擊的免疫力，不過不太適用于家庭用戶。（5）欺騙性廣告。（6）網頁病毒。（7）其他形式的文檔。（8）及時打補丁。病毒防治，重在防范。隨著計算機技術的發展，計算機病毒的傳播途徑和破壞手段也在逐漸的升級。作為使用者，面對紛繁復雜的網絡世界(shji)時，一定要倍加小心，隨時更新自己的殺毒軟件，了解

32、病毒發展的最新動態，做到防患于未然。 共四十八頁3.2.4 網絡反病毒技術的特點網絡反病毒技術包括預防病毒、檢測(jin c)病毒和殺毒3種技術。（1）預防病毒技術。它通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術包括加密可執行程序、引導區保護、系統監控與讀寫控制（如防病毒卡）等。（2）檢測病毒技術。它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。（3）殺毒技術。它通過對計算機病毒的分析，開發出具有刪除病毒程序并恢復原文件的軟件。根據眾多計算機病毒在網絡上傳播、破壞的情況，

33、以及對目前計算機網絡防病毒產品性能測試的綜合評價，不難得出，區別于單機反病毒技術，計算機網絡反病毒技術至少具備如下三個特點。共四十八頁1網絡反病毒技術的安全度取決于“木桶理論”被計算機安全界廣泛采用的著名的“木桶理論”認為，整個系統的安全防護能力取決于系統中安全防護能力最薄弱的環節。計算機網絡病毒防治是計算機安全極為重要的一個方面，它同樣也適用于這一理論。一個計算機網絡對病毒的防御能力取決于網絡中病毒防護能力最薄弱的一個節點。2網絡反病毒技術尤其是網絡病毒實時監測技術應符合“最小占用(zhn yn)”原則。3網絡反病毒技術的兼容性是網絡防毒的重點與難點。共四十八頁3.2.5 病毒防火墻反病毒的

34、特點病毒防火墻就是殺毒軟件里的實時監控、自動防護系統(xtng)。病毒防火墻被稱為“病毒實時檢測和清除系統(xtng)”，是反病毒軟件的工作模式之一。當它們運行的時候，會把病毒特征監控的程序駐留內存中，隨時查看系統(xtng)的運行中是否有病毒的跡象。一旦發現有攜帶病毒的文件，它們就會馬上激活殺毒處理模塊，先禁止帶毒文件的運行或打開，再馬上查殺帶毒的文件。共四十八頁3.3 典型病毒(bngd)介紹3.3.1 宏病毒宏病毒是一種寄存在文檔或模板(mbn)的宏中的計算機病毒。Microsoft Word中對宏定義為：“宏就是能組織到一起作為一獨立的命令使用的一系列Word命令，它能使日常工作變得更

35、容易。”Word使用宏語言WordBasic將宏作為一系列指令來編寫。一旦打開這樣的文檔，其中的宏就會被執行，于是宏病毒就會被激活，轉移到計算機上，并駐留在Normal模板。從此以后，所有自動保存的文檔都會感染上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。共四十八頁宏病毒具有一些共性。（1）以往病毒只感染程序，不感染數據文件，而宏病毒專門感染數據文件，徹底改變了人們的“數據文件不會傳播病毒”的錯誤認識。宏病毒會感染.doc文檔文件和.dot模板文件。被它感染的.doc文檔屬性必然會被改為模板而不是文檔，但不一定修改文件的擴展名。而用戶在另存文檔時，就無法將該

36、文檔轉換為任何其他方式，而只能用模板方式存盤。這一點在多種文本編輯器需轉換文檔時是絕對不允許的。 （2）染毒文檔無法使用(shyng)“另存為”修改路徑以保存到另外的磁盤/子目錄中。 （3）病毒宏的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活了病毒宏，病毒宏將自身復制至Word的通用模板（Normal）中，以后在打開或關閉文件時病毒宏就會把病毒復制到該文件中。 （4）大多數宏病毒中含有AutoOpen、AutoClose、AutoNew和AutoExit等自動宏。只有這樣，宏病毒才能獲得文檔（模板）操作控制權。有些宏病毒還通過FileNew、FileOpen、FileSave、Fi

37、leSaveAs、FileExit等宏控制文件的操作。 （5）病毒宏中必然含有對文檔讀寫操作的宏指令。 （6）宏病毒在.doc文檔、.dot模板中是以BFF（Binary File Format）格式存放的，這是一種加密壓縮格式，每種Word版本格式可能不兼容。共四十八頁宏病毒傳播途徑主要有：U盤交流染毒文檔文件；硬盤染毒，處理的文檔文件必將染毒；光盤攜帶宏病毒；Internet上下載染毒文檔文件；BBS交流染毒文檔文件；電子郵件的附件(fjin)夾帶病毒。 共四十八頁為徹底清除宏病毒，一般可采取以下兩個步驟。（1）進入“工具|宏”，查看模板Normal.dot，若發現有Filesave、Fi

38、lesaveas等文件操作宏或類似AAAZAO、AAAZFS怪名字的宏，說明(shumng)系統確實感染了宏病毒，刪除這些來歷不明的宏。對以Auto命名的，若不是用戶自己命名的自動宏，則說明文件感染了宏病毒，需刪除它們。若是用戶自己創建的自動宏，可以打開它，看是否與原來創建時的內容一樣，如果存在被改變處，說明編制的自動宏已經被宏病毒修改。（2）為了徹底消除宏病毒，進入“文件|新建”，選擇“模板”。正常情況下，可以在“文件模板”處見到“Normal.dot”，如果沒有，說明文檔模板文件Normal.dot已被病毒修改了。這時用原來備份的Normal.dot覆蓋當前的Normal.dot；如果沒有

39、備份，則刪掉Normal.dot，重新進入Word，在“模板”里，重置默認字體等選項后退出Word，系統就會自動創建一個干凈的Normal.dot。再進入Word，打開原來的文本并新建另一個空文檔，這時新建文檔是干凈的。將原文件的全部內容拷貝到新文件中，關閉感染宏病毒的文本，然后再將新文本保存為原文件名存儲。共四十八頁3.3.2 電子郵件病毒通過電子郵件形式發送的計算機病毒，稱之為“電子郵件病毒”。如何預防電子郵件病毒？（1）不要輕易打開附件中的文檔文件。 （2）不要輕易執行附件中的*.exe和*.com文件。 （3）對于自己往外傳送的附件，也一定要仔細檢查，確定無毒后，才可發送。（4）對付電子郵件病毒，在運行(ynxng)的計算機上安裝實時化的殺毒軟件最為有效。共四十八頁電子郵件病毒入侵后的5個清除步驟如下(rxi)。1斷開網絡2文件備份3借助殺毒軟件4安全處理5電子郵件病毒共四十八頁3.3.3 幾個病