计算机病毒的防治2

系统安全——计算机病毒防治2主讲：刘亚琦《办公自动化》计算机病毒具有以下几个特点：1、寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。2、传染性

计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。3、潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。

12.5计算机病毒的特点4、隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。5、破坏性凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用CPU时间和内存开销,从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示等。1、移动存储设备：优盘、移动硬盘等移动存储设备的广泛使用2、网络：这种传染扩散极快,能在很短时间内传遍网络上的机器。12.6计算机的传播途径各种病毒中，最应该引起我们注意的是恶意病毒，而目前有四大恶意病毒甚为猖獗，这些病毒的破坏性、传染性、隐蔽性都很强，往往让计算机用户头疼不已，有的用户甚至在不知道自身计算机存在大量恶意病毒，而病毒已肆意发作、传播，窃取用户数据。1、宏病毒由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场，加上Windows和Office提供了宏病毒编制和运行所必需的库（以VB库为主）支持和传播机会，所以宏病毒是最容易编制和流传的病毒之一，很有代表性。宏病毒发作方式：在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。判断是否被感染：宏病毒一般在发作的时候没有特别的迹象，通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上，会出现不能打印文件、Office文档无法保存或另存为等情况。宏病毒带来的破坏：删除硬盘上的文件；将私人文件复制到公开场合；从硬盘上发送文件到指定的E-mail、FTP地址。防范措施：平时最好不要几个人共用一个Office程序，要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。一般的杀毒软件都可以清除宏病毒。12.7四大恶意病毒2、CIH病毒CIH是本世纪最著名和最有破坏力的病毒之一，它是第一个能破坏硬件的病毒。发作破坏方式：主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。防范措施：已经有很多CIH免疫程序诞生了，包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒，但尚未发作，记得先备份硬盘分区表和引导区数据再进行查杀，以免杀毒失败造成硬盘无法自举。3、蠕虫病毒蠕虫病毒以尽量多复制自身（像虫子一样大量繁殖）而得名，多感染电脑和占用系统、网络资源，造成PC和服务器负荷过重而死机，并以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数据让你发现，比如著名的爱虫病毒和尼姆达病毒。4、木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。传染方式：通过电子邮件附件发出；捆绑在其他的程序中。病毒特性：会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。木马病毒的破坏性：木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。病毒产业链是一条在病毒背后形成的非常完善的流水作业程序，制造、贩卖、交易、传播、使用“一条龙”，环环相扣，最终祸害网络用户，牟取经济利益。这一巨大的灰色产业链，发展迅速，百亿暴利，受威胁的用户增长也非常惊人，国内的管理部门针对病毒产业的危害后果将采取一系列的整治及补救措施，加大打击力度，严惩网络犯罪。病毒产业链:制造、贩卖、交易、传播、使用“一条龙”，环环相扣，最终祸害网络用户，牟取经济利益。“熊猫烧香”案是典型的病毒产业链.据警方介绍，在“熊猫烧香”案中，产业链的每一环都有不同的牟利方式。病毒制造者有两种方式，一是“卖病毒”，按购买者的要求在病毒程序中填上“指定网址”后把病毒出售；二是“卖肉机”，因中毒而被病毒制造者控制的计算机被称为“肉机”，“肉机”的资料信息随时可被窃取，“卖肉机”就是转让控制权。病毒购买者的牟利方式主要是“卖流量”，由于病毒程序中预设了“指定网址”，而这个“指定网址”设置了木马程序，中毒的计算机只要一上网，就会被强制性地牵到这个“指定网址”上，自动下载木马程序，将这台计算机的相关信息资料传给购买者，这些信息资料被称为“信”，病毒购买者往往会将某一“指定网址”的“获信权”出售，根据访问流量收取费用。12.6病毒产业链各个环节的具体分工制造病毒在木马王国里处于产业链的最高端，被称之为“造枪的”，大多是程序员或者工作室，他们出于不同目的走到一起，针对不同的盗号目标开发不同版本的“木马”。出售病毒负责“木马”销售的则被称之为“卖枪的”，他们负责通过自建网站，向有意通过购买“木马”而实施网络盗窃的不法分子进行销售，完成资金回流。购买病毒购买木马的盗窃实施者。挂马被雇佣散工将木马通过各种方式尽可能多地传播出去。分销把包含信息的邮件打包转卖给“大买家”，或自行雇人洗劫。变现从账号里盗窃出来的虚拟物品被兑换成游戏虚拟物品，并转移到某个仓库账号，在虚拟交易平台上完成销赃，最终变成人民币。计算机病毒的发展是与计算机病毒对抗技术紧密联系的。病毒对抗也叫做反病毒或杀毒。其主要工作就是分析病毒特征，寻找有效的方法在被感染的计算机上删除病毒程序，组织病毒进一步传播。普通用户反病毒工作主要是使用计算机杀毒软件进行病毒拦截、扫描和处置。1、杀毒原理杀毒软件的任务是实时监控和扫描磁盘。病毒会有一组代码在寄生文件时是固定的，叫特征码。杀毒软件驻留内存，假如发现特征码即确定为病毒，所以计算机病毒制造者就要不断地变换代码以防止自身被查杀，这也就是说没有一个病毒是可以永久不被查杀或者被有效制止的，一个病毒的消亡只是一个时间问题。反病毒工作者的任务也就是要在最短的时间内分析出病毒特征，并找到有效地处置办法。12.7病毒对抗2、杀毒软件常见杀毒技术（1）实时监控技术杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。（2）主动防御技术主动防御是一种阻止恶意程序执行的技术，提供了更开放的高级用户自定义规则功能，用户可以根据自己系统的特殊情况，制定独特的防御规则，使主动防御可以最大限度的保护系统。（3）云查杀随着计算机和互联网的不断发展，计算机病毒越来越复杂，常见到杀毒软件不能立即处理新型病毒或者未知病毒，而就是这个空缺期，病毒往往会对用户的数据安全造成极大的影响。为了解决这个办法，研究人员发明了“云查杀”技术，也就是互联网查杀病毒。其原理是将病毒样本放入服务器，通过杀毒软件公司的服务器智能检测，自动判断文件是否