计算机病毒的防治

计算机病毒的防治

计算机病毒的防治 主要内容： 1．计算机病毒及分类 2．计算机病毒的传播 3．计算机病毒的特点及破坏行为 4．宏病毒及网络病毒 5 ．病毒的预防、检查和清除 6 ．病毒防御解决方案

一. 计算机病毒及分类 1.什么是计算机病毒? 2.计算机病毒可分为下列几类。（1）文件病毒。（2）引导扇区病毒。（3）多裂变病毒。（4）秘密病毒。（5）异形病毒。（6）宏病毒。

2 计算机病毒的传播 2.1 计算机病毒的由来计算机病毒是由计算机黑客们编写的，这些人想证明它们能编写出不但可以干扰和摧毁计算机，而且能将破坏传播到其它系统的程序。 2.2 计算机病毒的传播 2.3 计算机病毒的工作方式一般来说，病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。

2 计算机病毒的传播 1．感染（1）引导扇区病毒引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。

2 计算机病毒的传播 （2）文件型病毒文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常。

2 计算机病毒的传播 2．变异变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。变异是病毒可以创建类似于自己，但又不同于自身“品种”的一种技术，它使病毒扫描程序难以检测。有的变异程序能够将普通的病毒转换成多态的病毒。 3．触发不少计算机病毒为了能在合适的时候从事它的见不得人的勾当，往往需要预先设置一些触发的条件，并使之先置于未触发状态。如以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。

2 计算机病毒的传播 4．破坏破坏，是大多数人所提心吊胆的。破坏的形式是多种多样的，从无害到毁灭性的。破坏的方式总的来说可以归纳如下列几种：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 5．高级功能病毒计算机病毒经过几代的发展，在功能方面日趋高级，它们尽可能地逃避检测，有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。多态病毒的最大特点能变异成不同的品种，每个新的病毒都与上一代有一些差别，每个新病毒都各不相同。

3 计算机病毒的特点及破坏行为 3.1 计算机病毒的特点根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。 1．刻意编写人为破坏 2．自我复制能力 3．夺取系统控制权 4．隐蔽性 5．潜伏性 6．不可预见性

3 计算机病毒的特点及破坏行为 3.2 计算机病毒的破坏行为（1）攻击系统数据区。（2）攻击文件。（3）攻击内存。（4）干扰系统运行，使运行速度下（5）干扰键盘、喇叭或屏幕。（6）攻击CMOS。（7）干扰打印机。（8）网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。

4 宏病毒及网络病毒 4.1 宏病毒所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。在Word中对宏定义为“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。”Word宏是使用Word Basic语言来编写的。

4 宏病毒及网络病毒 1．宏病毒的行为和特征所谓“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows 9X、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒行为。（1）宏病毒行为机制 Word模式定义出一种文件格式，将文档资料以及该文档所需要的宏混在一起放在后缀为.doc的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方法。这种宏是文档资料，而文档资料的携带性极高，如果宏随着文档而被分派到不同的工作平台，只要能被执行，它也就类似于计算机病毒的传染过程。

4 宏病毒及网络病毒 （2）宏病毒特征 ①宏病毒会感染.doc文档和.dot模板文件。 ②宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒宏将自身复制到Word通用（Normal）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 ③多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 ④宏病毒中总是含有对文档读写操作的宏命令。 ⑤宏病毒在.doc文档、.dot模板中以.BFF（Binary File Format）格式存放，这是一种加密压缩格式，不同Word版本格式可能不兼容。

4 宏病毒及网络病毒 2．宏病毒的防治和清除方法（1）使用选项“提示保存Normal模板” （2）不要通过Shift键来禁止运行自动宏（3）查看宏代码并删除（4）使用DisableAutoMacros宏（5）使用Word 97的报警设置（6）设置Normal.dot的只读属性（7）Normal.dot的密码保护

4 宏病毒及网络病毒 4.2 网络病毒 1．网络病毒的特点计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。对于金融等系统的敏感数据，一旦遭到破坏，后果就不堪设想。因此，网络环境下病毒的防治就显得更加重要了。病毒入侵网络的主要途径是通过工作站传播到服务器硬盘，再由服务器的共享目录传播到其它工作站。

4 宏病毒及网络病毒 2．病毒在网络上的传播与表现大多数公司使用局域网文件服务器，用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上其它可执行文件。用户在工作站上执行带毒内存驻留文件，当访问服务器上的可执行文件时进行感染。文件病毒可以通过因特网毫无困难地发送，而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。引导病毒在网络服务器上的表现：如果网络服务器计算机是从一块感染的软盘上引导的，那么网络服务器就可能被引导病毒感染。

4 宏病毒及网络病毒 3．专攻网络的GPI病毒 4．电子邮件病毒电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档，传统的杀毒软件对检测此类格式的文件无能为力。另外，通常用户并不能访问邮件数据库，因为它们往往在远程服务器上。对电子邮件系统进行病毒防护可从以下几个方面着手。（1）使用优秀的防毒软件对电子邮件进行专门的保护（2）使用防毒软件同时保护客户机和服务器（3）使用特定的SMTP杀毒软件

5 病毒的预防、检查和清除 5.1 病毒的预防通过采取技术上和管理上的措施，计算机病毒是完全可以防范的。虽然新出现的病毒可采用更隐蔽的手段，利用现有DOS系统安全防护机制的漏洞，以及反病毒防御技术上尚存在的缺陷，使病毒能够一时得以在某一台PC机上存活并进行某种破坏，但是只要在思想上有反病毒的警惕性，依靠使用反病毒技术和管理措施，这新病毒就无法逾越计算机安全保护屏障，从而不能广泛传播。

5 病毒的预防、检查和清除 （1）对新购置的计算机系统用检测病毒软件检查已知病毒，用人工检测方法检查未知病毒。（2）新购置的硬盘或出厂时已格式化好的软盘可能有病毒。对硬盘可以进行检测或进行低级格式化，因为对硬盘只做DOS的Format格式化是不能去除主引导区（分区表扇区）病毒的。（3）新购置的计算机软件也要进行病毒检测。（4）在保证硬盘无病毒的情况下，能用硬盘引导启动的，尽量不要用软盘去启动。（5）很多PC机可以通过设置CMOS参数，使启动时直接从硬盘引导启动。

5 病毒的预防、检查和清除 （6）定期与不定期地进行磁盘文件备份工作。（7）对于软盘，要尽可能将数据和程序分别存放，装程序的软盘要进行写保护。（8）在别人的机器上使用过自己的已打开了写保护的软盘，再在自己的机器上使用，就应进行病毒检测。（9）应保留一张写保护的、无病毒的并带有各种命令文件的系统启动软盘，用于清除病毒和维护系统。（10）用Bootsafe等实用程序或用Debug编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作，在进行系统维护和修复工作时可作为参考。

5 病毒的预防、检查和清除 （11）对于多人共用一台计算机的环境，应建立登记上机制度，做到使问题能尽早发现，有病毒能及时追查、清除，不致扩散。（12）启动Novell网或其它网络的服务器时，一定要坚持用硬盘引导启动，否则在受到引导扇区型病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到连接整个网络的中枢。（13）在网络服务器安装生成时，应将整个文件系统划分成多文件卷系统，而不是只划分成不区分系统、应用程序和用户独占的单卷文件系统。

5 病毒的预防、检查和清除 （14）安装服务器时应保证没有病毒存在，即安装环境不能带病毒，而网络操作系统本身不感染病毒。（15）网络系统管理员应将SYS系统卷设置成对其它用户为只读状态，屏蔽其它网络用户对系统卷除读取以外的其它所有操作，如修改、改名、删除、创建文件和写文件等操作权限。（16）在应用程序卷安装共享软件时，应由系统管理员进行，或由系统管理员临时授权进行。（17）系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描，发现异常情况应及时处理，不使其扩散。

5 病毒的预防、检查和清除 （18）系统管理员的口令应严格管理，为了防止泄漏，要定期或不定期地进行更换，保护网络系统不被非法存取、感染上病毒或遭受破坏。（19）在网络工作站上采取必要的抗病毒技术措施，可使网络用户一开机就有一个良好的上机环境，不必再担心来自网络内和网络工作站本身病毒。（20）在服务器上安装Lan Protect等防病毒系统。实践表明，这些简单易行的措施是非常有效的。

5 病毒的预防、检查和清除 作为应急措施，网络系统管理员应牢记下列几条。（1）在因特网中，由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染，因此，当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进行处理。不应让系统带病毒继续工作下去，要按照特别情况查清整个网络，使病毒无法反复出现来干扰工作。（2）由于计算机病毒在网络中传播得非常迅速，很多用户不知应如何处理。因此，应立即请求专家的帮助（3）注意观察下列现象： ●文件的大小和日期是否变化； ●系统启动速度是否比平时慢； ●不做写操作时出现“磁盘有写保护”信息；

5 病毒的预防、检查和清除 ●对贴有写保护的软盘操作时声音很大； ●系统运行速度异常慢； ●用MI检查内存发现不该驻留的程序已驻留； ●键盘、打印或显示有异常现象； ●有特殊文件自动生成； ●磁盘空间自动产生坏簇或磁盘空间减少； ●文件莫名其妙地丢失； ●系统异常死机的次数增加。

5 病毒的预防、检查和清除 5.2 病毒的检查计算机病毒要进行传染，必然会留下痕迹。检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中，因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。 1．病毒的检查方法检测的原理主要是基于下列四种方法，比较被检测对象与原始备份的比较法，利用病毒特征代码串的搜索法，病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。

5 病毒的预防、检查和清除 （1）比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。（2）搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。（3）计算机病毒特征字的识别法计算机病毒特征字的识别法是基于特征串扫描法发展起来的一种新方法。它工作起来速度更快、误报警更少。特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。

5 病毒的预防、检查和清除 （4）分析法本方法由专业反病毒技术人员使用。分析法的目的在于： ①确认被观察的磁盘引导区和程序中是否含有病毒； ②确认病毒的类型和种类，判定其是否是一种新病毒； ③搞清楚病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到病毒代码库供病毒扫描和识别程序用； ④详细分析病毒代码，为制定相应的反病毒措施制定方案。

5 病毒的预防、检查和清除 2．病毒扫描程序这种程序找到病毒的主要办法之一就是寻找扫描串，也被称为病毒特征。这些病毒特征能唯一地识别某种类型的病毒，扫描程序能在程序中寻找这种病毒特征。 3．完整性检查程序另一类反病毒程序，它是通过识别文件和系统的改变来发现病毒，或病毒的影响。 4．行为封锁软件该软件的目的是防止病毒的破坏。通常，这种软件试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时，行为封锁软件就会检测到病毒并警告用户。

5 病毒的预防、检查和清除 5.3 计算机病毒的免疫计算机病毒的免疫，就是通过一定的方法，使计算机自身具有防御计算机病毒感染的能力。 1．建立程序的特征值档案 2．严格内存管理 3．中断向量管理

5 病毒的预防、检查和清除 5.4 计算机感染病毒后的恢复 1．防止和修复引导记录病毒防止软引导记录、主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序，避免从软盘引导。必须从软盘引导时，应该确认该软盘无毒。（1）修复感染的软盘（2）修复感染的主引导记录（3）利用反病毒软件修复 2．防止和修复可执行文件病毒

5 病毒的预防、检查和清除 5.5 计算机病毒的清除 1．使用DOS命令处理病毒 2．引导型病毒的处理与引导型病毒有关的扇区大概有下面三个部分。（1）硬盘的物理第一扇区，即0柱面、0磁头、1扇区是开机之后存放的数据和程序是被最先访问和执行的。这个扇区成为“硬盘主引导扇区”。在该扇区的前半部分，称为“主引导记录”（Master Boot Record），简称 MBR。（2）第二部分不是程序，而是非执行的数据，记录硬盘分区的信息，即人们常说的“硬盘分区表”（Partition Table），从偏移量1BEH开始，到1FDH结束。

5 病毒的预防、检查和清除 （3）硬盘活动分区，大多是第一个分区的第一个扇区。一般位于0柱面、1磁头、1扇区，这个扇区称为“活动分区的引导记录”，它是开机后继MBR后运行的第二段代码的运行所在。其它分区也具有一个引导记录（BOOT），但是其中的代码不会被执行。运行下面的程序来完成：  “Fdisk／MBR”用于重写一个无毒的MBR。  “Fdisk”用于读取或重写硬盘分区表。  “Format C：/S”或“SYS C：”会重写一个无毒的“活动分区的引导记录”。对于可以更改活动分区的情况，需要另外特殊对待。

5 病毒的预防、检查和清除 3．宏病毒清除方法对于宏病毒最简单的清除步骤为：（1）关闭Word中的所有文档。（2）选择“工具/模板/管理器/宏”选项。（3）删除左右两个列表框中所有的宏（除了自己定义的）（一般病毒宏为AutoOpen、AutoNew或AutoClose）。（4）关闭对话框。（5）选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏，删除之。

5 病毒的预防、检查和清除 4．杀毒程序杀毒程序是许多反病毒程序中的一员，但它在处理病毒时，必须知道某种特别的病毒的信息，然后才能按需要对磁盘进行杀毒。对于文件型病毒，杀毒程序需要知道病毒的操作过程，如它将病毒代码依附在文件头部还是尾部。一旦病毒被从文件中清除，文件便恢复到原先的状态，原先保存病毒的扇区被覆盖，从而消除了病毒被重新使用的可能性。对于引导扇区病毒，在使用杀毒程序时需格外的小心谨慎，因为在重新建立引导扇区和MBR（主引导记录）时，如果出现错误，其后果是灾难性的，不但会导致磁盘分区的丢失，甚至丢失硬盘上的所有文件，使系统再也无法引导了。

6 病毒防御解决方案 6.1 Intel多层次病毒防御方案 Intel LANDesk Virus Protect是一个易于管理的多层次病毒防御解决方案，它把病毒的检测，数据的保护，以及集中式的全域控制组织在一起，从而保证了病毒“治疗”并不比疾病本身更差。 1．功能 Intel LANDesk Virus Protect 有下列三层保护的功能：后台实时扫描、完整性保护和完整性检验。 2．集中式管理 3．服务器/客户机病毒防御的灵活选择

6 病毒防御解决方案 6.2 KV3000杀病毒软件简介 1．功能简介 KV3000是一套系列杀毒软件，可分为DOS版和Windows 95/98/ME/2000/NT4版，该软件保存在两张磁盘和一张光盘上。KV3000具有预防、浏览和消除病毒的功能，并具有独特的开放式系统。 2．KV3000的功能和使用格式 3．保存和恢复正确的硬盘主引导信息 4．清除所有引导区型病毒 5．恢复当前硬盘的主引导信息

6 病毒防御解决方案 6．安装和使用实时监测病毒程序KVW3000.EXE

6 病毒防御解决方案 6.3 瑞星RISING99杀病毒软件简介 1．简介 “瑞星杀毒软件”世纪版、标准版和OEM版，均包括DOS版、Windows 95/98/NT版两个杀毒程序。但提供的功能不同，其中世纪版还包括实时监控程序（防火墙）。 2．DOS版菜单工作方式及使用方法 3．命令行工作方式的使用方法 4．引导型病毒提取程序 5．Windows 95/98/NT版的使用方法 6．实时监控“防火墙”

小结 1．计算机病毒 2．计算机病毒的传播 3．计算机病毒的特点及破坏行为 4．宏病毒及网络病毒 5．病毒的预防、检查和清除

习题与思考题 1．什么是计算机病毒？ 2．计算病毒的基本特征是什么？ 3．简述计算机病毒攻击的对象及所造成的危害。 4．病毒按寄生方式分为哪几类？ 5．计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？ 6．简述检测计算机病毒的常用方法。 7．简述宏病毒的特征及其清除方法。 8．什么是计算机病毒免疫？ 9．简述计算机病毒的防治措施。 10．什么是网络病毒，防治网络病毒的要点是什么？

计 算 机 病 毒 的 防 治