【正文】 師 學習中心 1 目 錄 摘要 ....................................................3 1 引言 ..................................................3 2 正文 ..................................................3 計算機病毒的概述 ...............................3 計算機病毒的定義 ...............................4 計算機病毒的特性 ...............................4 計算機病毒的分類 ...............................4 計算機病毒的基本分類 ...........................4 計算機病毒防范和清除的基本原則和技術(shù) ...........6 計算機病毒防范的概念和原則 .....................6 計算機病毒防范基本技術(shù) .........................6 清除計算機病毒的基本方法 ...................... 6 典型計算機病毒的原理、防范和清除 ...............6 引導區(qū)計算機病毒 ...............................7 文件型計算機病毒 ...............................7 腳本型計算機病毒 ...............................8 特洛伊木馬計算機病毒 ...........................8 蠕蟲計算機病毒 .................................9 “熊貓燒香”病毒剖析 ............................9 2 計算機主要檢測技術(shù)和特點 .........................26 3 參考資料 .............................................27 3 計算機病毒與防范 摘要 目前計算機的應用遍及到社會的各個領(lǐng)域，同時計算機病毒也給我們帶來了巨大的破壞和潛在的威脅，因此為了確保計算機能夠安全工作，計算機病毒的防范工作，已經(jīng)迫在眉睫。 分析了計算機病毒的特點 ， 討論了主要從及時清除計算機病毒 、 局域網(wǎng)病毒的防范 、 加強 計算機網(wǎng)絡(luò)管理 、 個人用戶的防范 ， 這幾個方面去進行計算機病毒的有效防范 。 2 正文 2． 1 計算機病毒的概述 隨著社會的不斷進步，科學的不斷發(fā)展，計算機病毒的種類也越來越多， 4 但終究萬 變不離其宗！ 計算機病毒的定義 一般來講，凡是能夠引起計算機故障，能夠破壞計算機中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計算機病毒。” 計算機病毒的特性 隱藏性與潛伏性 計算機病毒是一種具有很高編程技巧 、 短精悍的可執(zhí)行程序 。 計算機病毒程序經(jīng)運行取得系統(tǒng)控制權(quán) ， 可以在不到 1秒鐘的時間里傳染幾百個程序 。 傳染性 計算機病毒可通過各種渠道 (磁盤 、 共享目錄 、 郵件 )從已被感染的計算機擴散到其他機器上 ， 感染其它用戶 ． 在某情況下導致計算機工作失常 。 可觸發(fā)性病毒 具有預定的觸發(fā)條件 ， 可能是時間 、 日期 、 文類型或某些特定數(shù)據(jù)等 。 有些病毒針對特定的操作系統(tǒng)或特定的計算機 。 病毒程序即使被發(fā) ， 已被破壞的數(shù)據(jù)和程序以及操作系統(tǒng)都難以恢復 。 除了上述五點外，計算機病毒還具有不可預見性、衍生性、針對性、等特點。 5 計算機病毒的基本分類 傳統(tǒng)開機型計算機病毒 純粹的開機型計算機病毒多利用軟盤開機時侵入計算機系統(tǒng)，然后再伺機感染其他的軟盤或者硬盤，例如：“ Stoned 3”（米開朗基羅）。此類計算機病毒已出現(xiàn)的尚有“ Fish” . 檔案感染型兼開機型計算機病毒 檔案感染型兼開機型計算機病毒時利用檔案感染時司機感染開機區(qū)，因而具有雙中的行動能力，此類型較著名的計算機病毒有“ Cancer”。 傳統(tǒng)檔案型計算機病毒 傳統(tǒng)檔案型計算機病毒最大的特征，便是將計算機病毒本身植入檔案，使檔案膨脹，以達到散播傳染的目的。 千面人計算機病毒 千面人計算機病毒是指具有自我編碼能力的計算機病毒，“ 1701 下雨”等，為這種類型主要代表，此種計算機病毒編碼的目的，是使其感染的每一個檔案，看起來皆不一樣，干擾殺毒軟件的偵測，不過千面人計算機病毒仍會留下的這個“小辮子”，將其繩之以法。盡管如此，這類計算機病毒僅干擾了掃毒式軟件，對其他方式的防毒軟件并沒有太大的影響。此類計算機病毒有“ 4096” 等。這類計算機病毒有的采用 INT 1 單步執(zhí)行的方式，逐步追蹤磁盤中斷的過程，找出 BIOS磁盤中斷的部分，供計算機病毒內(nèi)部使用；有的采用死機的方式，記錄幾個 BIOS版本的磁盤中斷原始進入點，當計算機病毒遭到熟悉的 BIOS 版本，便可直接呼叫磁 盤中斷，對磁盤予取予求；有的則分析磁盤中斷的程序片段，找出 BIOS中的相似部分便可直接呼叫磁盤中斷。 Word 巨集計算機病毒 Word 巨集計算機病毒可以說時目前最新的計算機病毒種類了，它是文件型計算機病毒，異于以往以感染磁盤區(qū)或可執(zhí)行的檔案為主的計算機病毒，此類病毒時利用 Word 提供的巨集功能來感染文件。 計算機病毒防范和清除的基本原則和技術(shù) 計算機病毒防范的概念和原則 計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，即使發(fā)現(xiàn)計算機病毒入侵，并采取有效的手段阻止計算機病毒的傳播和破壞，回復受影響的計算機系統(tǒng)和數(shù)據(jù)。 計算機病毒防范基本技術(shù) 計算機病毒預防是在計算機病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計算機病毒的入侵或立即警報。但是，這種方法同樣對檢測者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。專用計算機治療工具，根據(jù)對計算機病毒特征的記錄，自動清除感染程序中的計算機病毒代碼，使之得以恢復。從探索與計算機病毒 對剛的全過程來看，專用工具的開發(fā)商也是先從使用簡單工具 7 進行治療開始，當治療獲得成功后，再研制相應的軟件產(chǎn)品，使計算機自動地完成全部治療操作。稱其為引導區(qū)計算機病毒時因為這類計算機病毒一般是都侵占系統(tǒng)硬盤的主引導扇區(qū) I/O 分區(qū)的引導扇區(qū)，對于軟盤則侵占了軟盤的引導扇區(qū)。 如何檢測呢？ INT 13H 中斷向量 、 DOS 分區(qū)引導扇區(qū)以及軟盤的引導扇區(qū) 清除： 用原來正常的分區(qū)表信息或引導扇區(qū)信息，覆蓋掉計算機病毒程序。可以直接用 Debug 將這兩種引導扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別回它的原來位置，這樣就消除了計算機病毒。只有極少計算機病毒程序感染數(shù)據(jù)文件。 清除： ，是駐留在文件尾部還是在文件首部。 。 腳本型計算機病毒 主要采用腳本語言設(shè)計的病毒稱其為腳本病毒。但是在腳本應用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當他和一些傳統(tǒng)的惡性病毒相結(jié)合時，其危害就更為嚴重了。 它的特點： ? 編寫簡單 ? 破壞力大 ? 感染力強 ? 傳播范圍大（多通過 Email，局域網(wǎng)共享，感染網(wǎng)頁文件的方式傳播） ? 計算機病毒源碼容易被獲取，變種多 ? 欺騙性強 ? 使得計算機病毒生產(chǎn) 機事先起來非常容易 清除： ? 禁用文件系統(tǒng)對象 FileSystemObject ? 卸載 Windows Scripting Host ? 刪除 vbs， vbe， js， jse 文件后綴與應用程序映射 ? 在 Windows 目錄中，找到 ，更改名稱或者刪除 ? 要徹底防止 vbs 網(wǎng)絡(luò)蠕蟲病毒，還需要設(shè)置一下瀏覽器 ? 禁止 OE 的自動收發(fā)電子郵件功能 ? 顯示所有文件類型的擴展名稱 ? 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為“中等” 9 特洛伊木馬計算機病毒 特洛伊木馬也叫黑客程序或后門病毒，是指吟唱在正常程序中的一段具 有特殊功能的程序，其隱蔽性及好，不易察覺，是一種極為危險的網(wǎng)絡(luò)攻擊手段。同時自己有自己一些特征，如利用文件寄生，對網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。 其特征： ? 自我繁殖 ? 利用軟件漏洞 ? 造成網(wǎng)絡(luò)擁堵 ? 消耗系統(tǒng)資源 ? 留下安全隱患 清除： ? 與防火墻互動 ? 交換機聯(lián)動 10 ? 通知 HIDS（基于主機的入侵檢測） ? 報警 “熊貓燒香”病毒剖析 “熊貓燒香”病毒感染機理 :“熊貓燒香”，是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中 exe， ， pif， src， html， asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為 gho 的文件，該文件是一系統(tǒng)備份工具 GHOST的備 份文件，使用戶的系統(tǒng)備份文件丟失。 1: 拷貝文件病毒運行后 , 會把自己拷貝到C:\WINDOWS\System32\Drivers\ 2: 添 加 注 冊 表 自 啟 動 病 毒 會 添 加 自 啟 動 項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare C:\WINDOWS\System32\Drivers\ 3:病毒行為