病毒知识介绍

1、第3章病毒知识(zh shi)介绍共四十八页知识点病毒的定义、识别和防治网络(wnglu)病毒的特点及防治典型病毒杀毒软件的使用共四十八页难点(ndin)病毒(bngd)的识别和防治 共四十八页要求(yoqi) 熟练掌握以下内容：病毒定义(dngy)、识别和防治 网络病毒的特点及防治杀毒软件的使用了解以下内容：病毒的发展历史典型病毒共四十八页3.1 计算机病毒简介(jin ji)3.1.1 病毒的概念计算机病毒是一个程序，一段可执行代码。就像生物病毒一样，计算机病毒有独特的复制能力，可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，

2、它们就随同文件一起(yq)转移。 共四十八页计算机病毒（Computer Virus）在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且(bngqi)能够自我复制的一组计算机指令或者程序代码”。共四十八页3.1.2 病毒(bngd)的发展史计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程(jnchng)发展到一定阶段的必然产物。它产生的背景如下。1制造计算机病毒是计算机犯罪的一种新的衍化形式制造计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性，不易取证，风险小破坏大，从而刺激了犯罪意识和犯罪活

3、动，是某些人恶作剧和报复心态在计算机应用领域的表现。共四十八页3.1.2 病毒(bngd)的发展史2计算机软硬件产品的脆弱性是根本的技术原因计算机是电子产品。数据从输入、存储、处理、输出等环节，易误入、篡改、丢失、作假和破坏；程序易被删除、改写(gixi)；计算机软件设计的手工方式，效率低且生产周期长；人们至今没有办法事先了解一个程序有没有错误，只能在运行中发现、修改错误，并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。共四十八页3.1.2 病毒(bngd)的发展史3微机的普及应用是计算机病毒产生的必要环境1983年11月3日美国计算机专家首次提出了计算机病毒的概念并

4、进行了验证。几年前计算机病毒就迅速蔓延，到我国是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施，能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解得越来越清楚，不同的目的(md)可以做出截然不同的选择。目前，在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。 共四十八页3.1.3 病毒(bngd)的特点计算机病毒一般具有以下几个特点。（1）破坏性。凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现为：占用CPU时间和内存开销，从而造成进程堵塞；对数据或文件进行

5、破坏；打乱屏幕的显示等。（2）隐蔽性。病毒程序大多夹在正常(zhngchng)程序之中，很难被发现。（3）潜伏性。病毒侵入后，一般不立即活动，需要等一段时间，条件成熟后才作用。（4）传染性。对于绝大多数计算机病毒来讲，传染是它的一个重要特性。它通过修改别的程序，并把自身的拷贝包括进去，从而达到扩散的目的。共四十八页3.1.4 病毒(bngd)的分类计算机病毒一般可分成4种主要类别：系统引导病毒、文件型病毒、复合型病毒和宏病毒。1系统引导病毒系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，

6、蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。引导区型病毒是这样工作的：由于病毒隐藏在软盘的第一扇区，使它可以在系统文件装入内存之前先进入内存，从而获得(hud)对DOS的完全控制，这就使它得以传播和造成危害。共四十八页3.1.4 病毒(bngd)的分类2文件型病毒文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次激活它们时，感染文件把自身复制到其他文件中，并能在存储器里保存(bocn)很长时间，直到病毒又被激

7、活。目前，有数千种文件型病毒，它类似于引导区型病毒，极大多数文件型病毒活动在DOS环境中。然而，也有一些文件型病毒能很成功地感染微软 Windows、 IBM OS/2和 Macintosh环境。3复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征。4宏病毒宏病毒一般是指用 Basic书写的病毒程序，寄存在 Microsoft Office文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态。当触发条件满足时，宏病毒才开始传染、表现和破坏。共四十八页3.1.5 病毒(bngd)的结构计算机病毒一般由引导

8、模块、感染模块、破坏模块、触发模块四大部分组成。1引导模块计算机病毒为了进行自身的主动传播必须(bx)寄生在可以获取执行权的寄生对象上。就目前出现的各种计算机病毒来看，其寄生对象有两种：寄生在磁盘引导扇区和寄生在特定文件中（如EXE、COM、可执行文件、DOC、HTML等）。寄生在它们上面的病毒程序可以在一定条件下获得执行权，从而得以进入计算机系统，并处于激活状态，然后进行动态传播和破坏活动。2感染模块感染是指计算机病毒由一个载体传播到另一个载体。这种载体一般为磁盘，它是计算机病毒赖以生存和进行传染的媒介。但是，只有载体还不足以使病毒得到传播。促成病毒的传染还有一个先决条件，可分为两种情况：一

9、种情况是用户在复制磁盘或文件时，把一个病毒由一个载体复制到另一个载体上，或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方；另一种情况是在病毒处于激活状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体。共四十八页3.1.5 病毒(bngd)的结构3触发模块计算机病毒在传染或发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作，这个条件就是计算机病毒的触发条件。计算机病毒频繁的破坏行为可能给用户以重创。目前病毒采用的触发条件主要有以下几种。（1）日期触发。许多病毒采用日期作为触发条件。日期触发大体包括特定日期触发、月份触发和前半年触发/后半年

10、触发等。（2）时间触发。它包括特定的时间触发、染毒后累计工作时间触发和文件最后写入时间触发等。（3）键盘触发。有些病毒监视(jinsh)用户的击键动作，当发现病毒预定的击键时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发和热启动触发等。（4）感染触发。许多病毒的感染需要某些条件触发，而且相当数量的病毒以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括运行感染文件个数触发、感染序数触发、感染磁盘数触发和感染失败触发等。（5）启动触发。病毒对计算机的启动次数计数，并将此值作为触发条件。（6）访问磁盘次数触发。病毒对磁盘I/O访问次数进行计数，以预定次数作为触

11、发条件。（7）CPU型号/主板型号触发。病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号作为触发条件，这种病毒的触发方式奇特罕见。共四十八页3.1.5 病毒(bngd)的结构4破坏模块破坏模块在触发条件满足的情况下，病毒对系统或磁盘上的文件进行破坏。这种破坏活动不一定都是删除磁盘上的文件，有的可能是显示一串无用的提示信息。有的病毒在发作时，会干扰系统或用户的正常工作。而有的病毒，一旦(ydn)发作，则会造成系统死机或删除磁盘文件。新型的病毒发作还会造成网络的拥塞甚至瘫痪。计算机病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒，

12、其破坏行为千奇百怪。病毒破坏目标和攻击部位主要有系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。共四十八页3.1.6 病毒(bngd)的识别与防治只要掌握一些(yxi)病毒的命名规则，就能通过杀毒软件报告中出现的病毒名来判断该病毒的一些(yxi)共有特性。一般格式为：.。病毒前缀是指一个病毒的种类，它是用来区别病毒的种族分类的。不同种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀是Trojan，蠕虫病毒的前缀是Worm等。病毒名是指一个病毒的家族特征，用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名是统一的“CIH”，振荡波蠕虫病毒的家族名是“Sasser”。

13、病毒后缀是指一个病毒的变种特征，用来区别具体某个家族病毒的某个变种。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种b，因此一般称为“振荡波b变种”或者“振荡波变种b”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。 共四十八页1Windows操作系统一些常见的病毒前缀的解释（1）系统病毒系统病毒的前缀为Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染(gnrn)Windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播，如CIH病毒。（2）蠕虫病毒蠕虫病毒的前缀是Worm。这种

14、病毒的共有特性是通过网络或者系统漏洞进行传播，大部分蠕虫病毒都能向外发送带毒邮件、阻塞网络的特性，比如冲击波（阻塞网络）、小邮差（发带毒邮件）等。共四十八页（3）木马病毒、黑客病毒木马病毒其前缀是Trojan，黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的计算机，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344，还有可能遇见比

15、较多的针对(zhndu)网络游戏的木马病毒如 Trojan.LMir.PSW.60。这里补充一点，病毒名中有PSW或者PWD的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）。一些黑客程序如网络枭雄（Hack.Nether.Client）等。共四十八页（4）脚本病毒脚本病毒的前缀是Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(di m)（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c

16、.s）等。共四十八页（5）宏病毒其实宏病毒也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是Macro，第二前缀是Word、Word97、Excel、Excel97（也许(yx)还有别的）其中之一。凡是只感染Word 97及以前版本Word文档的病毒采用Word97做为第二前缀，格式是Macro.Word97；凡是只感染Word97以后版本Word文档的病毒采用Word做为第二前缀，格式是Macro.Word；凡是只感染Excel97及以前版本Excel文档的病毒采用Excel97做为第二前缀，格式是Macro.Excel97；凡是只感染Excel97以后版本Excel

17、文档的病毒采用Excel做为第二前缀，格式是Macro.Excel，以此类推。该类病毒的共有特性是能感染Office系列文档，然后通过Office通用模板进行传播，如著名的美丽莎（Macro.Melissa）病毒。共四十八页（6）后门病毒后门病毒的前缀是Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户计算机带来安全隐患。（7）病毒种植程序病毒这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏，如冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。（8）破坏性程序病毒破

18、坏性程序病毒的前缀是Harm。这类病毒的共有特性是本身具有(jyu)好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏，如格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。 共四十八页（9）玩笑病毒玩笑病毒的前缀是Joke，也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏，如女鬼（Joke.Girlghost）病毒。（10）捆绑机病毒捆绑机病毒的前缀是Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程

19、序将病毒与一些应用程序（如QQ、IE）捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，同时隐藏运行捆绑在一起的病毒，从而给用户造成危害，如捆绑QQ（Binder.QQPass.QQBin）、系统(xtng)杀手（Binder.killsys）等。 共四十八页2计算机的病毒防治步骤（1）清理首先，安装防病毒软件。目前世界上较为流行的防病毒软件有DrSdomon的AntiVirus、McAfee的VirusScan和Symantic的NortonAntivirus，国内比较流行的防病毒软件有瑞星杀毒软件、360安全卫士、金山毒霸等。其次，清理磁盘碎片。硬盘使

20、用一段时间后，可储存的空间在物理上已变得不连续。当安装应用程序或保存大型文件时，数据通常被分成许多碎片，存入硬盘不连续的区域中。硬盘中的碎片越来越多，文件也就分布得越来越乱，那么再运行某个程序或打开某个文件时，会发现机器慢得令人难以忍受。所以，要对机器进行(jnxng)定期的磁盘碎片清理，也就是把那些文件碎片重新按顺序在磁盘空间上连续排列。Windows操作系统自带磁片碎片整理程序，在“开始/程序/附件/系统工具”下可以找到该项。Norton套装软件中的SpeedDisk，也是个不错的磁盘碎片整理程序，它不仅速度快（整理1GB的硬盘只需DiskDefagment的一半时间），而且能把经常需要用

21、到的文件放在磁盘的前端（速度可大大提升），并将那些频繁变化的文件放到硬盘后面较空的位置上，以减少碎片的产生。 共四十八页（2）检查清理驱动器后，下一步就是检查。通过定期扫描硬盘，不断升级软件，经常查看(chkn)计算机状态，就可以防患于未然。具体做法如下。首先，让硬盘保持良好的状态。硬盘的日常维护不可缺少，这些维护主要使用磁盘扫描工具软件来进行。磁盘扫描工具能扫描磁盘的物理表面，检查文件系统的目录结构，并对硬盘的可靠性进行测试。通常，如果是非正常关机，硬盘上的文件最有可能出现交叉连接或簇丢失。此时若不修复，Windows将变得不稳定，程序执行也会出错。 其次，要不断更新软件。一般来说，软件升级

22、可以修复旧版本的BUG，还可以降低应用程序或操作系统的出错率。升级硬件的驱动程序则可充分地发挥硬件的性能，使之与操作系统更好地交互。通过厂商的网站，一般都可以及时获得最新的升级补丁或驱动程序。此外，一些知名的个人主页也提供软件和驱动程序下载。 然后，深入了解PC的内部结构。在“开始”菜单中选择“控制面板/系统/硬件/设备管理器”。这时可以查看到各部分硬件的详细资料。比如，要查看MODEM的情况，如果在MODEM的前面没有问号，表示该设备情况正常，在它上面双击会显示更详细的信息，包括配置是否恰当。配置设备或消除设备冲突的简单办法是用Win9x的硬件冲突诊断器来完成。此外，也可使用专门的软件来解决

23、硬件上的问题。 共四十八页另外，提高上网速度。上网速度慢，并不是(b shi)计算机本身的原因，主要是网上“人多路窄”，除非选用更快的MODEM或ISDN等高速一些的连接方式。如果在连接方式上无法变动，通过对系统优化，还是可以有限地改善上网速度。（3）C盘可定期清理的文件 Local Setting里面的东西可以定期删除，影响不大。另外，Cookie和各种临时文件也可以定期清理一下。 共四十八页3.2 网络病毒(bngd)及其防治3.2.1 网络病毒的特点计算机病毒攻击网络的途径主要是通过U盘复制、互联网上的文件传输、硬件设备中的固化病毒程序等。病毒还可以利用网络的薄弱环节攻击计算机网络。 在

24、网络环境(hunjng)中，计算机病毒具有如下一些新的特点。共四十八页1传染方式(fngsh)多病毒入侵网络的主要途径是通过工作站传播到服务器硬盘，再由服务器的共享目录传播到其他工作站。但病毒传染方式比较复杂，通常有以下几种。（1）引导型病毒对工作站或服务器的硬盘分区表或DOS引导区进行传染。（2）通过在有盘工作站上执行带毒程序，而传染服务器映像盘上的文件。由于login.exe文件是用户登录入网的一个被调用的可执行文件，因此该文件最易被病毒感染。而一旦login.exe文件被病毒感染，则每个工作站在使用它登录时使会感染，并进一步感染服务器共享目录。（3）服务器上的程序若被病毒感染，则所有使用

25、该带毒程序的工作站都将被感染。病毒有可能感染工作站上的硬盘分区或DOS引导区。（4）病毒通过工作站的拷贝操作进入服务器，进而在网上传染。（5）利用多任务可加载模块进行传染。共四十八页2传染速度快在单机上，病毒只能通过U盘或移动硬盘等从一台计算机传染到另一台计算机，而在网络中病毒则可通过网络通信机制迅速扩散。由于病毒在网络中传染速度非常快，故其扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在瞬间传播到千里之外。3清除难度大在单机上，再顽固的病毒也可通过删除带病毒文件，低级格式化硬盘等措施被清除，而网络中只要一台工作站未消毒干净就可令整个网络全部(qunb)被病毒更新感染

26、，甚至刚刚完成消毒工作的一台工作站也有可能被网上另一台工作站的带毒程序所感染。因此，仅对工作站进行杀毒处理并不能彻底解决网络病毒问题。共四十八页4破坏性强网络上的病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则网络系统的瘫痪，破坏服务系统的资源，使多年工作成果毁于一旦。5可激发性网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求，在某个工作站上激活并发出攻击。6潜在性网络一旦感染(gnrn)了病毒，即使病毒已被消除，其潜在的危险仍是巨大的。DATAQUEST公司研究发现，病毒在网络上被消除后，85的网络会在30天内

27、再次被感染。 共四十八页3.2.2 网络病毒的传播网络病毒一般会试图通过以下(yxi)4种不同的方式进行传播。（1）邮件附件。病毒经常会附在邮件的附件里，然后起一个吸引人的名字，诱惑人们去打开附件。一旦人们执行之后，机器就会染上附件中所附的病毒。（2）E-mail。有些蠕虫病毒会利用在Microsoft Security Bulletin的MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过E-mail进行传播，只需简单地打开邮件就会使机器感染上病毒，而并不需要打开

28、邮件附件。（3）Web服务器。有些网络病毒攻击IIS 4.0和IIS 5.0 Web服务器。例如“尼姆达”病毒来举例说明吧，主要通过两种手段来进行攻击。第一，它检查计算机是否已经被“红色代码II”病毒所破坏，因为“红色代码II”病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果“尼姆达”病毒发现了这样的机器，它会简单地使用“红色代码II”病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。（4）文件共享。Windows系统可以被配置成允许其他用

29、户读写系统中的文件。允许所有人访问自己的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创建文件时，它会在其中添加文件来传播病毒。 共四十八页3.2.3 网络病毒的防治1基于工作站的防治技术工作站就像是计算机网络的大门。只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有3种。一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力，但需人为经常去启动防病毒软件，因此不仅给工作人员增加了负担，而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒

30、卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行(ynxng)速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁，但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。共四十八页2基于服务器的防治技术网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦(ydn)被击垮，造成的损失是灾难性的，是难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块（NLM）

31、，以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。 共四十八页3个人用户防范网络病毒时注意事项（1）安装杀毒软件。（2）下载常识。（3）电子邮件。（4）使用基于客户端的防火墙或硬件过滤措施，可以增强计算机对黑客和恶意代码的攻击的免疫力，不过不太适用于家庭用户。（5）欺骗性广告。（6）网页病毒。（7）其他形式的文档。（8）及时打补丁。病毒防治，重在防范。随着计算机技术的发展，计算机病毒的传播途径和破坏手段也在逐渐的升级。作为使用者，面对纷繁复杂的网络世界(shji)时，一定要倍加小心，随时更新自己的杀毒软件，了解

32、病毒发展的最新动态，做到防患于未然。 共四十八页3.2.4 网络反病毒技术的特点网络反病毒技术包括预防病毒、检测(jin c)病毒和杀毒3种技术。（1）预防病毒技术。它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术包括加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡）等。（2）检测病毒技术。它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。（3）杀毒技术。它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。根据众多计算机病毒在网络上传播、破坏的情况，

33、以及对目前计算机网络防病毒产品性能测试的综合评价，不难得出，区别于单机反病毒技术，计算机网络反病毒技术至少具备如下三个特点。共四十八页1网络反病毒技术的安全度取决于“木桶理论”被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面，它同样也适用于这一理论。一个计算机网络对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。2网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用(zhn yn)”原则。3网络反病毒技术的兼容性是网络防毒的重点与难点。共四十八页3.2.5 病毒防火墙反病毒的

34、特点病毒防火墙就是杀毒软件里的实时监控、自动防护系统(xtng)。病毒防火墙被称为“病毒实时检测和清除系统(xtng)”，是反病毒软件的工作模式之一。当它们运行的时候，会把病毒特征监控的程序驻留内存中，随时查看系统(xtng)的运行中是否有病毒的迹象。一旦发现有携带病毒的文件，它们就会马上激活杀毒处理模块，先禁止带毒文件的运行或打开，再马上查杀带毒的文件。共四十八页3.3 典型病毒(bngd)介绍3.3.1 宏病毒宏病毒是一种寄存在文档或模板(mbn)的宏中的计算机病毒。Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更

35、容易。”Word使用宏语言WordBasic将宏作为一系列指令来编写。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。共四十八页宏病毒具有一些共性。（1）以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的错误认识。宏病毒会感染.doc文档文件和.dot模板文件。被它感染的.doc文档属性必然会被改为模板而不是文档，但不一定修改文件的扩展名。而用户在另存文档时，就无法将该

36、文档转换为任何其他方式，而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。 （2）染毒文档无法使用(shyng)“另存为”修改路径以保存到另外的磁盘/子目录中。 （3）病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒宏，病毒宏将自身复制至Word的通用模板（Normal）中，以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。 （4）大多数宏病毒中含有AutoOpen、AutoClose、AutoNew和AutoExit等自动宏。只有这样，宏病毒才能获得文档（模板）操作控制权。有些宏病毒还通过FileNew、FileOpen、FileSave、Fi

37、leSaveAs、FileExit等宏控制文件的操作。 （5）病毒宏中必然含有对文档读写操作的宏指令。 （6）宏病毒在.doc文档、.dot模板中是以BFF（Binary File Format）格式存放的，这是一种加密压缩格式，每种Word版本格式可能不兼容。共四十八页宏病毒传播途径主要有：U盘交流染毒文档文件；硬盘染毒，处理的文档文件必将染毒；光盘携带宏病毒；Internet上下载染毒文档文件；BBS交流染毒文档文件；电子邮件的附件(fjin)夹带病毒。 共四十八页为彻底清除宏病毒，一般可采取以下两个步骤。（1）进入“工具|宏”，查看模板Normal.dot，若发现有Filesave、Fi

38、lesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏，说明(shumng)系统确实感染了宏病毒，删除这些来历不明的宏。对以Auto命名的，若不是用户自己命名的自动宏，则说明文件感染了宏病毒，需删除它们。若是用户自己创建的自动宏，可以打开它，看是否与原来创建时的内容一样，如果存在被改变处，说明编制的自动宏已经被宏病毒修改。（2）为了彻底消除宏病毒，进入“文件|新建”，选择“模板”。正常情况下，可以在“文件模板”处见到“Normal.dot”，如果没有，说明文档模板文件Normal.dot已被病毒修改了。这时用原来备份的Normal.dot覆盖当前的Normal.dot；如果没有

39、备份，则删掉Normal.dot，重新进入Word，在“模板”里，重置默认字体等选项后退出Word，系统就会自动创建一个干净的Normal.dot。再进入Word，打开原来的文本并新建另一个空文档，这时新建文档是干净的。将原文件的全部内容拷贝到新文件中，关闭感染宏病毒的文本，然后再将新文本保存为原文件名存储。共四十八页3.3.2 电子邮件病毒通过电子邮件形式发送的计算机病毒，称之为“电子邮件病毒”。如何预防电子邮件病毒？（1）不要轻易打开附件中的文档文件。 （2）不要轻易执行附件中的*.exe和*.com文件。 （3）对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送。（4）对付电子邮件病毒，在运行(ynxng)的计算机上安装实时化的杀毒软件最为有效。共四十八页电子邮件病毒入侵后的5个清除步骤如下(rxi)。1断开网络2文件备份3借助杀毒软件4安全处理5电子邮件病毒共四十八页3.3.3 几个病