电脑病毒是与电脑相关联的,它对电脑的安全造成一定的威胁,一旦病毒电脑被病毒入侵,就会导致信息泄露轻则损失,重则电脑瘫痪。因此,抵御病毒入侵是非常重要的。要想抵御病毒,首先要了解它们,了解它们长什么样子,它们是如何侵入计算机的,才能很好地抵御它们。文章很长,建议收藏。看完这篇文章,给你的电脑一个安全的环境。计算机病毒的特征传染性是病毒的基本特征。计算机病毒会通过各种途径从被感染的计算机传播到未被感染的计算机,导致被感染的计算机工作不正常甚至瘫痪。是否具有传染性是判断程序是否为计算机病毒的重要条件。隐藏病毒通常附着在正常程序或磁盘的隐藏位置,有的以隐藏文件的形式出现。如果不进行代码分析,病毒程序很难与正常程序区分开来。计算机病毒的源程序可以是一个独立的程序体。由源程序扩散产生的复制病毒,一般通过附加、插入等方式隐藏在可执行程序和数据文件中。当程序的潜伏程序被合法调用时,病毒程序也合法进入,可以将被非法占用的存储空间中零散的程序部分重新分配,形成一个完整的病毒体并运行。大多数潜伏病毒在感染系统后,会长期潜伏在系统中,悄悄繁殖传播而不被人察觉,只有在满足特定条件时才会激活性能(破坏)模块。破坏性任何病毒只要侵入系统,就会对系统和应用程序造成不同程度的影响。轻者会降低计算机的工作效率,占用系统资源,重者会导致系统崩溃。根据病毒的这一特点,病毒可分为良性病毒和恶性病毒。良性病毒可能只显示一些图片或不相关的语句,或者根本没有任何破坏行为,但占用系统资源。恶性病毒目的明确,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成无法挽回的损失。不可预测性从病毒监控的角度来看,病毒也是不可预测的。计算机病毒经常经过人的修改,产生了很多病毒的变种和变种,病毒的制作技术也在不断进步。病毒往往走在杀毒软件前面,无法预测。由于某个事件或值的出现而触发病毒从而诱发病毒感染或攻击的特性称为可触发性。病毒要隐藏起来并保持其攻击力,就必须是可触发的。病毒的触发机制用于控制感染频率和破坏行为。计算机病毒一般都有一个触发条件,可以根据设计者的要求在某一时刻被激活,对系统进行攻击。针对目标有一定的环境要求,不一定会感染任何系统。寄生计算机病毒程序嵌入宿主程序中,依赖于宿主程序的执行而生存。这就是计算机病毒的寄生性。病毒程序潜入宿主程序后,一般会对宿主程序进行一定程度的修改。一旦宿主程序被执行,病毒程序就会被激活,进行自我复制。一般认为,计算机病毒的主要特征是传染性、隐蔽性、潜伏性、寄生性和破坏性。病毒简介计算机病毒是破坏计算机信息或系统的人为的、具有破坏性、传染性和潜伏性的程序。它不是独立存在的,而是隐藏在其他可执行程序之中。计算机中毒后,会影响机器的运行速度,或使系统崩溃、毁坏;因此,病毒给用户带来了很大的损失。通常,我们称这种破坏性程序为计算机病毒。计算机病毒结构一般由三部分组成:引导模块、感染模块和执行模块。引导模块引导代码感染模块感染条件判断感染代码性能模块性能及破坏条件判断破坏代码病毒分类(按主机分类)(1)引导型病毒引导区型病毒感染软(硬、优)中的“高手”)磁盘“引导记录”(MasterBootRecord,0cylinder,0head,1sector)解释:引导病毒放在引导扇区。在计算机中,有0柱面、0磁头、1扇区的特殊记录。计算机启动的重要文件。病毒修改MasterBootRecord代码后,可能会在电脑开机时先被激活。(2)文件型病毒通常感染各种可执行文件、可以解释执行脚本的文件、可以包含宏代码的文件。每次激活时,受感染的文件都会将病毒代码本身复制到其他文件中。(3)混合型病毒混合型病毒通过技术手段将引导病毒和文件病毒合二为一,使其具有引导病毒和文件病毒的两种特征,并以两者相互促进的方式进行感染。该病毒既可以感染引导区,也可以感染可执行文件,增加了病毒的传染性和存活率,使其传播范围更广,更难清除。宏病毒经典实例1、病毒是用宏编辑语言编写的病毒,主要寄生在Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,感染所有自动保存的文档。如果网络上的另一个用户打开受感染的文档,宏病毒就会转移到他的计算机上。宏病毒通常使用VB脚本影响MicrosoftOffice组件或类似的应用软件,多通过电子邮件传播。宏可以在我们计算机的Word文档中找到。2、宏病毒的工作原理:3、宏病毒的特点:(1)感染数据文件。一般病毒只感染程序,而宏病毒专门感染数据文件。(2)多平台交叉感染。Word、Excel等软件在不同平台(如Windows、OS/2、MacinTosh)上运行时,会被宏病毒交叉感染。(3)易于编写。宏病毒以源代码形式出现,因此编写和修改宏病毒更容易。这也是宏病毒数量居高不下的原因。(4)易于传播。只要打开带有宏病毒的电子邮件,您的计算机就会感染宏病毒。之后,打开或创建新文件都会感染宏病毒。4、宏病毒防护宏病毒防护的根本在于限制宏的执行。(1)禁止执行所有宏。在打开Word文档时,按住Shift键可以禁用自动宏,从而达到防止宏病毒的目的。(2)检查可疑宏。如果发现一些名字奇怪的宏,那肯定是病毒,可以立即删除。即使误删,也不会对Word文档的内容产生任何影响。具体方法是选择【工具】【|宏】命令,打开【宏】对话框,选中要删除的宏,点击【删除】按钮。(3)根据自己的习惯设置。重装Word后,新建一个文档,根据自己的使用习惯设置Word的工作环境,一次性编译需要用到的宏,完成后保存新文档。此时Normal.dot模板已完全没有宏病毒,可以备份。当遇到宏病毒时,用备份的Normal.dot模板覆盖当前模板,即可清除宏病毒。(4)使用Windows自带的写字板。在使用可能带有宏病毒的Word文档时,先用Windows自带的写字板打开文档,转换成写字板格式的文件并保存,然后用Word调用。由于写字板不调用或保存宏,因此文档以这种方式转换后,所有附带的宏(包括宏病毒)都将丢失。(5)提示保存Normal模板。选择[工具][|Options]命令,打开[Options]对话框中的[Save]选项卡,勾选[PrompttosaveNormaltemplate]复选框。一旦宏病毒感染了Word文档,退出Word时,Word会提示“修改的内容会影响公共模板正常,是否保存这些修改的内容?”此时应选择“否”,退出后进行杀毒。(6)使用.rtf和.csv格式代替.doc和.xls。由于.rtf和.csv格式不支持宏功能,因此在交换文件时,请使用.rtf格式文档而不是.doc格式,使用.csv格式电子表格而不是.xls格式。这样就可以避免宏病毒的传播。5.宏病毒清除(1)手动清除。选择[工具][|Macro]命令打开[Macro]对话框,单击[Manager]命令按钮打开[Manager]对话框,选择[MacroProjectItems]选项卡,选择[MacroProjectItemsValid]Scope]下拉-下拉列表选择要检查的文档,删除未知来源的宏。退出Word,然后到C盘根目录下查看是否有Autoexec.dot文件。如果有这个文件,将其删除,然后找到Normal.dot文件,将其删除。Word会自动重新生成干净的Normal.dot文件。到C:\ProgramFiles\MicrosoftOffice\Office\Startup目录下查看是否有模板文件,如果有且不是用户创建的,则将其删除。重启Word,Word恢复正常。(2)使用专业杀毒软件。目前的专业杀毒软件都有清除宏病毒的能力。但是如果是新病毒或者病毒的变种,可能无法正常清除,此时需要手动清理。蠕虫1.定义:蠕虫(Worm)是一种通过网络传播的恶性病毒,通过分布式网络传播特定信息或错误,导致网络服务拒绝和死锁。2.蠕虫的基本结构和传播过程蠕虫的基本程序结构包括以下三个模块(1)传播模块:负责蠕虫的传播,传播模块可以分为三个基本模块,即扫描模块,攻击模块和复制模块模块。(2)隐藏模块:潜入主机后,隐藏蠕虫程序,防止被用户发现。(3)目标功能模块:实现控制、监视或破坏计算机等功能。蠕虫程序的一般传播过程为:(1)扫描:蠕虫的扫描功能模块负责检测存在漏洞的主机。当程序向主机发送检测漏洞的信息并收到成功的反馈时,它就获得了一个可传播的对象。(2)攻击:攻击模块根据漏洞攻击步骤,自动对步骤1中发现的对象进行攻击,获得宿主机权限(一般为管理员权限),获得shell。(3)复制:复制模块通过原主机与新主机的交互,将蠕虫程序复制到新主机并启动。可见传播模块实现的其实是自动入侵的功能,所以蠕虫传播技术是蠕虫技术的核心。3、蠕虫病毒实例——熊猫烧香熊猫烧香是一种传染性蠕虫病毒,可以感染系统中的exe、com、pif、src、html、asp等文件,还可以结束大量反病毒软件进程。熊猫烧香是一种蠕虫病毒的变种。它已经变异了很多次。由于中毒计算机的可执行文件会出现“熊猫烧香”病毒,故又称“熊猫烧香”病毒。但原病毒只会替换exe文件的图标,并不会破坏系统本身。其中大多数是温和的病毒变种。用户电脑中毒后,可能会出现蓝屏、频繁重启、系统硬盘数据文件损坏等情况。同时,病毒的某些变种可以通过局域网进行传播,进而感染局域网内的所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。它可以感染系统中的exe、com、pif、src、html、asp等文件,终止大量杀毒软件进程,删除扩展名为gho的备份文件。受感染用户系统中的所有.exe可执行文件都被更改为看起来像一只拿着三炷香的熊猫。木马1.定义:木马的全称是特洛伊木马(TrojanHorse,英文简称特洛伊木马)。可控制用户计算机系统、危害系统安全的隐藏功能,可能导致用户数据泄露、破坏或整个系统崩溃。在一定程度上,特洛伊木马也可以称为计算机病毒。二、木马病毒的工作原理一个完整的木马打包程序包含两部分:服务器(服务器部分)和客户端(控制器部分)。是植入对方电脑的服务器,黑客利用客户端进入运行服务器的电脑。木马程序服务器运行后,会产生一个名字容易被用户混淆的进程,偷偷打开端口,发送数据(如网络游戏密码,即时通讯密码等)软件和用户的上网密码等)到指定地点。黑客甚至可以使用这些开放端口来访问计算机系统。3、木马病毒检测检查system.ini、win.ini、启动组中的启动项。在[开始][|Run]命令,输入msconfig运行Windows自带的“系统配置实用程序”。选择system.ini标签,展开[boot]目录,查看“shell=”行,是正常的“shell=Explorer.exe”,如果不是,可能感染了木马病毒。选择win.ini标签,展开[windows]目录项,勾选“run=”和“load=”行。等号应为空。然后查看是否有异常的启动项。如果有netbus、netspy、bo等关键字,很有可能是中了木马。其他一些方法,比如电脑正常运行时,发现电脑处理速度明显变慢,硬盘不断读写,鼠标不灵,键盘无效,某些windows自动关闭或自动打开...这些都表明它可能是木马客户端正在远程控制计算机。4、木马病毒实例Internet上每天都有新的木马出现,所采取的隐藏措施也五花八门。下面介绍几种常见的木马病毒清除方法。病毒预防病毒预防1、病毒预防在病毒防控工作中具有先导作用,是病毒防控工作的重点。主要对系统中可能被病毒侵入的薄弱环节进行防护和监控。预防计算机病毒应从以下几个方面入手。(一)查验国外文件。对于从互联网上下载或存储在外部存储器中的程序和文档,在执行或打开文档之前一定要检查病毒。(2)局域网预防。尽可能选择无盘工作站。限制用户对服务器上可执行文件的操作。使用防病毒软件动态检查正在使用的文件。(3)使用验证和数据完整性工具。(4)定期备份工作档案。2、网络病毒的防治比单机病毒的防治难度更大。目前,网络大多采用Client/Server(客户端/服务器)的工作方式。网络病毒的防控需要从服务器和工作站两个主要方面结合网络管理来解决。(1)网管防控——制定严格的工作站安全操作规程。——建立完善的网络软硬件维护制度,定期维护各工作站。——建立网络系统软件安全管理体系。——设置正确的访问权限和文件属性(2)基于工作站的防控方法工作站是网络的大门,只要关好大门,就可以有效防止病毒入侵。可以使用单机杀毒软件、杀毒卡、工作站杀毒芯片。(3)基于服务器的防御方法服务器是网络的核心,一旦服务器感染病毒,整个网络就会瘫痪。目前,基于服务器的病毒防控方法普遍采用NLM(NetwareLoadableModule)技术进行程序设计,以服务器为基础,提供实时病毒扫描能力。其优势主要表现在不占用工作站内存,可集中扫描病毒,可实现实时扫描功能,软件安装升级非常方便。病毒入侵肯定会对系统资源造成威胁,即使是良性病毒也会侵占宝贵的系统资源,所以预防病毒入侵远比病毒入侵后清除更重要。反病毒技术必须树立“预防为主,消除相结合”的基本理念。病毒检测检测计算机是否感染病毒,通常可以采用手动检测和自动检测。——手动检测是指使用一些软件工具(如Debug.com、Pctools.exe等)检测内存和磁盘中易受病毒攻击和修改的相关部分,判断是否被病毒感染通过将其与正常状态进行比较来确定病毒。感染。该方法虽然操作复杂、容易出错、效率低下,但可以检测识别未知病毒,也可以检测一些自动检测工具无法识别的新病毒。——自动检测是指使用一些诊断软件和杀毒软件来判断系统或磁盘是否有病毒,比如使用瑞星、金山杀毒等软件。这种方法虽然可以方便地检测大量病毒,操作简单,但自动检测工具只能识别已知病毒,其发展总是滞后于病毒的发展。可以通过手动和自动方法的组合来检测病毒。病毒检测的技术和方法主要有以下几种。比较方法比较方法是将原始备份与检测到的引导扇区或检测到的文件进行比较。这种方法的优点是简单、方便,不需要专门的软件。缺点是无法确认计算机病毒的类型和名称。因为对比,所以保留原来的备份很重要。进行备份时,必须在计算机无病毒的环境中进行。备份必须妥善保存、标记和写保护。特征码法特征码法是利用每个计算机病毒体所包含的特定字符串对检测对象进行扫描。如果在检测对象中发现了特定的字符串,则表明已经发现了该字符串所代表的计算机病毒,这种计算机病毒扫描软件称为VirusScanner。本发明的优点是检测准确、快速,可识别病毒名称,误报率低,可根据检测结果进行解毒。缺点是无法检测未知病毒,收集已知病毒特征码的成本高,网络效率低。分析方法分析方法是防治计算机病毒必不可少的重要技术。这种方法需要对计算机、DOS、Windows、网络等有比较全面的结构和函数调用,以及计算机病毒相关的各种知识。此外,还需要反汇编工具和二进制文件编辑器等分析工具程序和专用实验计算机。分析的步骤分为静态分析和动态分析。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令和程序列表进行分析,了解计算机病毒分为哪些模块,使用了哪些系统调用,使用了哪些技术,以及reversetheprocessofcomputervirusinfectionfiles清除计算机病毒和修复文件的过程。动态分析是指利用DEBUG等调试工具动态跟踪计算机病毒,观察内存感染病毒时计算机病毒的具体工作过程,从而在静态分析的基础上进一步了解计算机病毒的工作原理分析。checksum方法计算一个普通文件的校验和,并将结果写入本文件或其他文件保存。在文件使用过程中或使用前,定期检查文件的校验和是否与原来保存的校验和一致,以发现文件是否被感染。这种方法称为校验和。这种方法的优点是方法简单,可以发现未知病毒,也可以发现被检查文件的细微变化。缺点是会误报,无法识别病毒名称,无法对付隐藏病毒。行为监控法行为监控法是利用病毒特有的行为特征对病毒进行监控的方法。被监控病毒的行为特征如下。——所有占用INT13H的引导病毒都会攻击Boot扇区或主引导扇区。——修改DOS系统数据区内存总量。——对.com和.exe文件的写操作。——病毒程序和宿主程序切换。行为监控方式的优点是可以发现未知病毒,可以对大部分未知病毒进行比较准确的预测。行为监控方式的缺点是会造成误报,无法识别病毒名称,实施难度大。软件模拟扫描法该技术专门用于对付多态型计算机病毒。它可以模拟CPU执行,在DOS虚拟机下伪执行计算机病毒程序,安全解密,然后进行扫描。Prophet扫描法Prophet扫描技术是专业人士用来判断程序中是否存在计算机病毒代码,分析归纳成专家系统和知识库,然后利用软件模拟技术伪执行新的计算机病毒的方法,并提前分析新的计算机病毒代码,用于对付未来的计算机病毒。AITrapTechnology和MacroVirusTrapTechnologyAITrapTechnology是一种监控计算机行为的常驻扫描技术。其优点是执行速度快,操作简单,可检测各种计算机病毒;缺点是程序设计难度大,不易深思熟虑。宏病毒陷阱技术结合特征码法和人工智能陷阱技术,根据行为模式检测已知和未知的宏病毒。实时I/O扫描实时I/O扫描的目的是将计算机上的输入/输出数据与病毒代码进行实时比较,希望在病毒执行之前阻止其执行。网络病毒检测技术网络监控方法是一种检查和发现网络病毒的方法。网络病毒的特点是通过网络传播。如果在服务器、网络接入终端和网站上安装病毒防火墙,就可以防止病毒的大规模传播。杀毒技术将被病毒感染的文件的病毒代码去除,恢复为可以正常运行的文件,称为杀毒。用于清除病毒的技术称为防病毒技术。引导病毒的清理引导病毒感染时,一般会攻击硬盘的主引导扇区和硬盘或移动存储介质的引导扇区。通常,使用FDISK/MBR可以清除大多数引导型病毒。清除宏病毒为了恢复宏病毒,必须以非文档格式存储足够的信息。RTF(富文本格式)适用于保留原始文档的足够信息而不包含宏。然后退出文档编辑器,删除被感染的文档文件以及Normal.dot和启动目录下的文件。文件型病毒清除可修复一般文件型病毒感染的文件。还原受感染的文件时需要考虑以下因素。-测试和恢复所有目录中的可执行文件,无论文件属性如何。-想要保证文件的属性和最后修改时间不被改变。-一定要考虑一个文件被多次感染的情况。病毒灭活清除内存中的病毒是指将内存中的病毒置于非活动状态。这需要了解操作系统和汇编语言。使用杀毒软件清除病毒一旦电脑感染病毒,一般用户的第一选择就是使用杀毒软件清除病毒。它的优点是使用方便,技术要求低,不需要有太多的计算机知识。缺点是感染病毒的文件有时会被删除,可能导致系统无法正常运行,需要经常更新病毒码库。结束语随着互联网技术和计算机技术的不断发展,我国已经全面进入信息时代,信息时代的到来极大地方便了人们的生活和工作。同时,网络中也存在一定的隐患。因此,我们必须加强对一些公开信息的管控,严防黑客和破坏者的非法活动。这是一场看不见的战斗。在这场斗争中,安全技术是最关键的方面。提高安全防御技术是提高我国计算机网络安全的根本。
