计算机病毒知识

附录Ⅳ计算机病毒知识随着计算机技术日新月异的发展，各种工具软件的功能日益强大和完善，已经成为用户使用和维护计算机时必不可少的助手。本文简要介绍一些常用工具软件的用法。主要内容包括：了解计算机安全的基本知识掌握计算机病毒的基本知识及防治计算机病毒的方法1计算机病毒的基础知识1．计算机病毒简介计算机病毒寄生于计算机系统，它层出不穷、种类繁多、无孔不入，给我们工作和生活带来了许多烦恼，也带来许多损失，所以说计算机病毒是计算机安全的头号敌人。特别是在现在的信息社会，病毒的传播更为广泛，一个小小的病毒在一瞬间就可能使几百万台计算机瘫痪。因此，正确地认识和有效地防范、清除计算机病毒，已经成为计算机专业人士和广大用户十分关心的问题。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。2．计算机病毒的种类计算机病毒按对计算机系统的破坏性划分有良性病毒和恶性病毒。又可分为引导型病毒、文件型病毒和混合型病毒(引导、文件双重型病毒)。(1)操作系统型病毒(OperatingSystemViruses)这类病毒程序作为操作系统的一个模块在系统中运行，一旦激发，它就工作。例如，它作为操作系统的引导程序时，计算机一旦启动就首先运行病毒程序，然后才启动操作系统程序。这类病毒也称之为引导型病毒，如小球病毒、大麻病毒等。(2)文件型病毒(FileViruses)文件型病毒攻击的对象是文件，并寄生在文件上，当文件运行时，首先运行病毒程序，然后才运行指定的文件(这类文件一般是可执行文件)。文件型病毒又称为外壳型(ShellViruses)型病毒，其病毒程序包围在宿主程序的外围，对其宿主程序不修改。(3)复合型病毒复合型病毒既感染文件，又感染引导扇区。常见的有XqR(Newcentury)、Invader(侵入者)、Plastique(塑料炸弹)、3584(郑州狼)、ALFA/3072-2、Ghost/OneHalff3544(幽灵)等。如果只解除了文件或硬盘主引导扇区的病毒，则仍会感染系统。解决的方法是从软盘启动系统，然后调用软盘版杀毒软件，同时杀掉硬盘上引导扇区病毒和文件病毒。(4)宏病毒宏病毒主要是利用软件本身所提供的宏能力来设病毒，所以凡是具有宏能力的软件都有宏病毒存在的可能，如Word、Excel。MicrosoftWord中把宏定义为：“宏就是能组织到一起作为独立的命令的一系列Word命令，它能使日常工作变得更容易。”而Word宏病毒利用Word的开放性即Word中提供的WordBasic编程接口，并能通过DOC文档及DOC模板进行自我复制及传播。随着Office新版本的推出，微软不断加强宏的功能，宏病毒的危害也就越来越大。Melissa病毒是利用宏来使E-mail管理程序Outlook自动根据其通讯录中记录的前五十个地址发信，而JulyKILLER(七月杀手)宏病毒的破坏方式则是产生一个只有一句话的“deltree/yc:\”的Autoexec.bat文件来替代现有的该文件，当下次启动计算机时这条指令就会删除C盘中的所有文件。所以宏病毒是一种危害极大的病毒。3．计算机病毒的特征(1)计算机病毒的程序性（可执行性）计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。(2)计算机病毒的传染性传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。(3)计算机病毒的潜伏性一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。(4)计算机病毒的可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。(5)计算机病毒的破坏性所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。(6)攻击的主动性病毒对系统的攻击是主动的，不以人的意志为转移的。也就是说，从一定的程度上讲，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。(7)病毒的针对性计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对1BMPC机及其兼容机的，有针对App1e公司的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。(8)病毒的非授权性病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。(9)病毒的隐蔽性病毒一般是具有很高编程技巧，短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。(10)病毒的衍生性这种特性为一些好事者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种）。这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。(11)病毒的寄生性（依附性）病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。(12)病毒的不可预见性从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。(13)计算机病毒的欺骗性计算机病毒行动诡秘，计算机对其反应迟钝，往往把病毒造成的错误当成事实接受下来，故它很容易获得成功。(14)计算机病毒的持久性即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下，由于病毒程序由一个受感染的拷贝通过网络系统反复传播，使得病毒程序的清除非常复杂。4．计算机病毒的传播途径编制计算机病毒的计算机是病毒第一个传染载体，由这台计算机传播病毒有以下途径：(1)通过不移动的计算机硬件设备进行传染这些设备指装在计算机内的ROM芯片和硬盘等。新购置的计算机中，硬盘内也可能带有计算机病毒，该病毒可能在计算机的生产场地或销售环节的某一时刻进入硬盘，然后来到一个新的地点开始传播。因此对购置的新、旧计算机均应进行病毒检测。(2)通过可移动式存储设备使病毒进行传播可移动式存储设备包括软盘、磁带、光盘等。携带病毒的软盘在计算机上使用后，会使该计算机感染病毒，带毒的计算机又会把病毒传染给在这台计算机上使用的其他软盘。(3)通过计算机网络进行病毒传染这种渠道传播速度快，能在短时间内传遍网上的计算机，CIH病毒就是网上传播最厉害的一种病毒。随着网络技术的普及和发展，网络安全将成为主要的研究课题。5．计算机病毒的危害(1)病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SKKILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning!!Don'tturnoffpowerorremovediskettewhileDiskKillerisProsessing！”（警告！D1SKKILLERll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SKKILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。(2)占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。(3)抢占系统资源除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。(4)影响计算机运行速度病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：①病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。②有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。③病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。(5)计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。(6)计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。(7)计算机病毒给用户造成严重的心理压力据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60％以上。经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。6．计算机病毒的防范措施(l)宣传教育要大力宣传计算机病毒的危害性，病毒所导致的经济危害性不低于一些刑事犯罪活动。信息数据是当今人类的最重要财富，而病毒攻击的对象往往是非常有用的信息数据。有些数据是不可恢复的，一旦被破坏就永远消失，这会对社会生活造成不可估量的损失。⑵用户应养成及时下载最新系统安全漏洞补丁的安全习惯，从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时，升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。⑶尽量减少计算机的交叉使用如果条件允许，一般要定人定机使用，这样有利于管理，一旦发现病毒就能及时处理。⑷．建立必要的规章制度必须建立一套切实可行的规章制度，严格控制外来的软盘，尽量不要将软盘外借。⑸使用防毒卡防毒卡是防止病毒侵入的工具。将防病毒程序放在一块硬件卡上，插入计算机的扩展槽上，防止外来信息写入硬盘。⑹请定期做好重要资料的备份，以免造成重大损失。⑺选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。⑻请勿随便打开来源不明的Excel或Word文档，并且要及时升级病毒库，开启实时监控，以免受到病毒的侵害。⑼上网浏览时一定要开启杀毒软件的实时监控功能，以免遭到病毒侵害。⑽上网浏览时，不要随便点击不安全陌生网站，以免遭到病毒侵害。⑾及时更新计算机的防病毒软件、安装防火墙，为操作系统及时安装补丁程序。⑿在上网过程中要注意加强自我保护，避免访问非法网站，这些网站往往潜入了恶意代码，一旦用户打开其页面时，即会被植入木马与病毒。⒀利用WindowsUpdate功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。⒁将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。⒂开启杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。7．感染计算机病毒后的常见现象(1)系统引导出现异常现象①磁盘引导时出现异常现象；②引导时间比平时长；③磁盘上的特殊标记或引导扇区、卷标等信息被修改；④系统出现异常现象、死机、自动启动等。(2)执行文件时出现异常现象①计算机运行速度变慢；②磁盘文件长度、属性、日期和时间等被改变；③文件丢失；④文件装入时间比平时长；⑤运行原来正常的文件时，发生死机现象；⑥运行较大程序时，显示：Programistoolongtoload或Divideoverflow或Programtoobigtofitinmemory⑦系统自动生成一些特殊文件。(3)使用外部设备时出现的异常现象①扬声器发出异常声音和音乐；②正常的外部设备无法使用，如键盘输入的字符与屏幕显示的字符不一致；③显示器上出现一些不正常的画面或信息；④打印机、RS-232接口、软驱、调制解调器等外设有异常现象，无法正常工作；⑤系统非法使用某些外部设备；⑥软盘无法进行正常的读写操作；⑦磁盘的卷标名发生变化。(4)使用DOS命令时出现异常现象①用DIR命令时，列表速度变慢，磁盘指示灯亮的时间较长；②用DIR命令时，出现重复显示现象，如在A驱动器上插入磁盘，用DIR看A盘目录，再换另一张软盘查看目录，仍显示前一个磁盘的目录；③DOS命令无法正常执行等；④系统不认识磁盘或硬盘不能引导系统等。2瑞星杀毒软件的使用方法1．瑞星杀毒软件的特点⑴系统加固，强力抵御恶意程序、木马等对系统的侵害⑵应用程序保护，阻止病毒侵害重要程序，预防盗号⑶增强自我保护，使病毒无法破坏瑞星产品本身⑷应用程序访问限制，加固重要服务程序⑸防止指定程序被未知程序启动，使病毒无法破坏⑹恶意行为检测，可用来发现未知病毒⑺隐藏进程检测，检测“任务管理器”中无法查看的进程⑻优化后的病毒库⑼全新架构的引擎⑽支持全系列主流Windows系统⑾安全工具集成平台，提供各类安全工具和专杀工具2．瑞星杀毒软件的安装⑴启动安装程序当把瑞星杀毒软件下载版安装程序保存到您的电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行安装了。这时会给出安装提示，用户只要按照相应提示就可以轻松进行安装了。⑵完成安装当软件安装成功后会出现以下结束框，默认是启动“运行设置向导”、“运行瑞星杀毒软件主程序”和“瑞星监控中心”，当用户点击【完成】后，就完成了整个瑞星杀毒软件下载版的安装，这时会自动运行设置向导，按照自己的需求进行每一项的具体设置，点击下一步完成各项设置。（用户也可以通过打勾的方法，自行改变要启动的程序）。2．瑞星杀毒软件的操作⑴手动查杀病毒①启动瑞星杀毒软件;②确定要扫描的文件夹或者其它目标，在"查杀目标"中被勾选的目录即是当前选定的查杀目标;③单击【杀毒】，则开始扫描相应目标，发现病毒立即清除；扫描过程中可随时点击【暂停】按钮来暂时停止扫描，按【继续】按钮则继续扫描，或点击【停止】按钮停止扫描。扫描中，带毒文件或系统的名称、所在文件夹、病毒名称将显示在查毒结果栏内，您可以使用右键菜单对染毒文件进行处理;④扫描结束后，扫描结果将自动保存到杀毒软件工作目录的指定文件中，您可以通过历史记录来查看以往的扫描结果⑤如果您想继续扫描其他文件或磁盘，重复第二、第三步即可2.定时查杀病毒定时扫描功能是在一定时刻，瑞星杀毒软件自动启动，对预先设置的扫描目标进行扫描病毒。此功能为用户提供了即使在无人值守的情况下，也能保证计算机防御病毒的安全。⑴在瑞星杀毒软件主程序界面中，选择【设置】/【详细设