第七章
计算机病毒防治
第 七 章 计算机病毒防治
7.1 计算机病毒的特点与分类
7.1.1 计算机病毒的发展
7.1.2 计算机病毒的特性
7.1.3 计算机病毒分类
7.1.4 计算机病毒的传播
7.1.5计算机病毒机理
7.2 计算机病毒检查与清除
7.2.1 网络病毒检查与清除方法
7.2.2 宏病毒检查与清除方法
7.2.3 典型病毒清除方法
第七章 计算机病毒防治 ( 续 )
7.3 计算机病毒防治措施
7.3.1 计算机病毒防治管理措施
7.3.2计算机病毒防治技措施
7.3.3 常用病毒防治软件简介
7.4 本章知识点小结
第 七 章 计算机病毒防治
计算机病毒的出现成为信息化社会的公害, 是
一种特殊的犯罪形式防治计算机病毒是一个系统工程,
不仅要有强大的技术支持, 而且要有完善的法律法规,
严谨的管理体系, 科学的规章制度以及系统的防范措
施 。 本章介绍了计算机病毒的基本知识包括计算机病
毒的发展历史, 病毒特性, 分类方法, 传播途径和工
作机理, 列举了典型病毒的检查和清除方法, 讨论了
关于防治计算机病毒的管理和技术措施 。
7.1 计算机病毒的特点与分类
计算机病毒也是计算机程序, 有着生物病毒相
似的特性, 病毒驻留在受感染的计算机内, 并不断
传播和感染可连接的系统, 在满足触发条件时, 病
毒发作, 破坏正常的系统工作, 强占系统资源, 甚
至损坏系统数据 。 病毒不但具有普通程序存储和运
行的特点, 还具有传染性, 潜伏性, 可触发性, 破
坏性, 针对性, 隐蔽性和衍生性等特征 。
7.1.1 计算机病毒的发展
计算机病毒是伴随计算机的发展而不断发
展变化的 。 早在 1949年计算机刚刚诞生时, 计
算机之父冯 ·诺依曼在, 复杂自动机组织论, 中便
定义了病毒的基本概念, 他提出, 一部事实上足
够复杂的机器能够复制自身,, 而能够复制自身
正是计算机病毒的本质特征之一 。
7.1.1 计算机病毒的发展 ( 续 )
时 间 名 称 特 点
20世纪 60年代初 Core War 通过复制自身来摆脱对方控制
1981年 Elk Cloner 通过磁盘进行感染
1986年底 Brain 首次使用了伪装手段
1987年 Casade 自我加解密
1987年 12月 Christmas
Tree
第一个网络病毒,在 VM/CMS操作系
统下传播
1988年,耶路撒冷”病
毒
文件型病毒
1988年 11月 2日 蠕虫程序 造成 Internet的堵塞
7.1.1 计算机病毒的发展 ( 续 )
首例能够破坏硬件的病毒CHI1998年 6月
第一个使用 FTP进行传播Homer1997年 4月
第一个 Linux环境下的病毒Bliss 1997年 2月
攻击 Windows操作系统病毒大规模出
现
宏病毒
Concept
1995年 8月 9日
感染 C语言和 Pascal语言
感染 OBJ文件
SrcVir
Shifter
1993,1994年
第一个多态病毒Chameleon1990年
标志着计算机病毒开始入侵我国“小球”1989年 4月
格式化硬盘Yankee1989年
特点名称时间
7.1.1 计算机病毒的发展 ( 续 )
时 间 名 称 特 点
1999年 美丽杀 宏病毒和蠕虫的混合物,通过电子邮件传播
2000年 VBS/KAK 使用脚本技术
2001年 红色代码 利用微软操作系统的缓冲区溢出的漏洞传播
2001年 Nimda 利用电子邮件传播
2001年 网络神偷 木马 /黑客病毒,对本地及远程驱动器的文件进
行任何操作
2002年 6月 Perrum 第一个从程序感染转变为数据文件感染的病毒
2003年,2003蠕虫
王”
多元混合化,数小时内使全球主干网陷入瘫痪
2004年 频繁的变种病毒大量出现
7.1.2 计算机病毒的特性
1,传染性
2,潜伏性
3,可触发性
4,破坏性
5,针对性
6,隐蔽性
7,衍生性
传染性
传染性是病毒的基本特征 。 病毒通过修改磁盘扇区信息
或文件内容, 并把自身嵌入到一切符合其传染条件的未受到
传染的程序之上, 实现自我复制和自我繁殖, 达到传染和扩
散的目的 。 被感染的程序和系统将成为新的传染源, 在与其
它系统和设备接触时继续进行传播 。 其中, 被嵌入的程序叫
做宿主程序 。 病毒的传染可以通过各种移动存储设备, 如软
盘, 移动硬盘, U盘, 可擦写光盘, 手机, PDA等;病毒可以
通过有线网络, 无线网络, 手机网络等渠道迅速波及全球 。
例如,, 爱虫, 病毒在两天内迅速传播到世界的主要计算机
网络, 并造成欧, 美国家的计算机网络瘫痪 。
潜伏性
病毒在进入系统之后通常不会马上发作, 可长期隐藏
在系统中, 除了传染外不做什么破坏, 以提供足够的时间
繁殖扩散 。 病毒在潜伏期, 不破坏系统, 因而不易被用户
发现 。 潜伏性越好, 其在系统中的存在时间就会越长, 病
毒的传染范围就会越大 。 病毒只有在满足特定触发条件时
才启动其破坏模块 。 例如, PETER-2病毒在每年的 2月 27
日会提三个问题答错后会将硬盘加密 。 著名 CIH病毒在每
月的 26日发作 。
可触发性
病毒因某个事件或数值的出现, 激发其进行传染,
或者激活病毒的表现部分或破坏部分的特性称为可触发
性 。 计算机病毒一般都有一个或者多个触发条件, 病毒
的触发机制用来控制感染和破坏动作的频率 。 病毒具有
的预定的触发条件可能是敲入特定字符, 使用特定文件,
某个特定日期或特定时刻, 或者是病毒内置的计数器达
到一定次数等 。 病毒运行时, 触发机制检查预定条件是
否满足, 满足条件时, 病毒触发感染或破坏动作, 否则
继续潜伏 。
破坏性
病毒是一种可执行程序, 病毒的运行必然要占用系统资
源, 如占用内存空间, 占用磁盘存储空间以及系统运行时间等 。
病毒的破坏性主要取决于病毒设计者的目的 。 良性病毒可能只
是干扰显示屏幕, 显示一些乱码或无聊的语句, 或者根本无任
何破坏动作, 只是占用系统资源, 如 FENP病毒, 小球病毒,
W-BOOT病毒等 。 恶性病毒则有明确的目的, 它们破坏数据,
删除文件, 加密磁盘甚至格式化磁盘, 破坏硬件, 对数据造成
不可挽回的破坏 。 另外, 病毒的交叉感染, 也会导致系统崩溃
等恶果 。
针对性
病毒是针对特定的计算机, 操作系统, 服务软件, 甚
至特定的版本和特定模版而设计的 。 例如:小球病毒是针
对 IBM PC 机及其兼容机上的 DOS 操作系统的 。
,CodeBlue ( 蓝色代码 ), 专门 攻击 WINDOWS
2000操作系统 。 英文 Word中的宏病毒模板在同一版本
的中文 Word中无法打开而自动失效 。 2002年 1月 8日 出
现 的感染 SWF 文 件的 SWF.LFM.926 病 毒由于 依 赖
Macro-media独立运行的 Flash播放器, 而不是依靠安
装在浏览器中插件, 使其传播受到限制 。
隐蔽性
大部分病毒都设计得短小精悍, 一般只有几百 K甚
至几十 K字节, 并且, 病毒通常都附在正常程序中或磁盘
较隐蔽的地方 ( 如引导扇区 ), 或以隐含文件形式出现,
目的是不让用户发现它的存在 。 如果不经过代码分析,
病毒程序与正常程序是不容易区别开的 。 病毒在潜伏期
并不恶意破坏系统工作, 受感染的计算机系统通常仍能
正常运行, 用户不会感到任何异常, 从而隐藏病毒的存
在, 使病毒可以在不被察觉的情况下, 感染尽可能多的
计算机系统 。
隐蔽性 ( 续 )
? 传染的隐蔽性 。 大多数病毒在进行传染时速度极快, 一般不
具有外部表现, 不易被发现 。 PC机对 DOS文件的存取速度
可达每秒几百 KB以上, 几百字节的病毒可在转瞬间附着在
正常的程序之中, 不易被人察觉 。
? 存在的隐蔽性 。 病毒一般都附着在正常程序之中, 正常程序
被计算机病毒感染后, 其原有功能基本上不受影响, 使病毒
在正常程序的工作过程中不断得到运行, 传染更多的系统和
资源, 与正常程序争夺系统的控制权和磁盘空间, 不断地破
坏正常的系统 。
衍生性
很多病毒使用高级语言编写, 如, 爱虫, 是脚本语
言病毒,, 美丽杀, 是宏病毒,通过分析计算机病毒的
结构可以了解设计者的设计思想, 从而衍生出各种新的
计算机病毒, 称为病毒变种 。 这就是计算机病毒的衍生
性 。 变种病毒造成的后果可能比原版病毒更为严重 。
,爱虫, 病毒在十几天中, 出现三十多种变种 。, 美丽
杀, 病毒也有多种变种, 并且此后很多宏病毒都使用了
,美丽杀, 的传染机理 。 这些变种的主要传染和破坏的
机理与母体病毒基本一致, 只是改变了病毒的外部表象 。
其他特性
随着计算机软件和网络技术的发展, 网络时
代的病毒又具有很多新的特点如主动通过网络和
邮件系统传播, 传播速度极快, 变种多;病毒不
但能够复制自身给其他的程序, 而且具有了蠕虫
的特点, 可以利用网络进行传播;具有了黑客程
序的功能, 一旦侵入计算机系统后, 病毒控制可
以从入侵的系统中窃取信息, 远程控制这些系统 。
病毒的功能呈现多样化, 也更具有危害性 。
7.1.3 计算机病毒分类
1,按照计算机病毒的危害程度分类
2,按照传染方式分类
3,按照计算机病毒的寄生方式分类
4,其他一些分类方式
按照计算机病毒的危害程度分类
? 良性病毒是指不对计算机系统和数据进行彻底破坏的病毒 。
这类病毒占用系统资源, 会导致整个系统运行效率降;与
操作系统和应用程序争抢 CPU的控制权, 导致整个系统死
锁, 妨碍正常的系统操作 。 在多个病毒交叉感染时也可造
成系统崩溃 。 如小球病毒, 1575/1591病毒, 救护车病毒,
扬基病毒, Dabi病毒 。
? 恶性病毒是指能够损伤和破坏计算机系统及其数据, 在其
传染或发作时对系统产生彻底破坏作用的病毒 。 目的明确,
破坏数据, 删除文件, 加密磁盘, 甚至格式化磁盘 。 米开
朗基罗病毒发作时, 硬盘的前 17个扇区将被彻底破坏, 使
整个硬盘上的数据无法被恢复 。
按照传染方式分类
? 引导型病毒是指寄生在磁盘引导区或主引导区的计算机
病毒。按照引导型病毒在硬盘上的寄生位置可细分为主
引导记录病毒和分区引导记录病毒。
? 文件型病毒是指能够寄生在文件中的计算机病毒。这类
病毒程序感染可执行文件或数据文件。
? 混合型病毒是指具有引导型病毒和文件型病毒两种寄生
方式的计算机病毒。这种病毒既感染磁盘的引导区,又
感染可执行文件,增加了病毒的传染性及存活率。
按照计算机病毒的寄生方式分类
? 源码型病毒是用高级语言编写的, 攻击用高级语言编写
的程序 。 这种病毒若不进行汇编, 链接, 就无法传染扩
散 。
? 嵌入型病毒是将自身嵌入到现有程序中, 把计算机病毒
的主体程序与其攻击的对象以插入的方式链接 。 技术难
度较大, 一旦侵入后也较难消除 。
? 外壳型病毒寄生在宿主程序的前面或后面, 并修改程序
的第一条执行指令, 使病毒先于宿主程序执行 。 易于编
写, 易于发现, 通过文件的大小判别 。
其他分类方式
? 按照攻击的操作系统可分为:攻击 DOS操作系统的,
攻击 Windows系统的, 攻击 UNIX系统的, 攻击 OS/2
系统的病毒 。
? 按照计算机病毒激活的时间可分为:定时发作的病毒和
不由时钟来激活的随机病毒 。
? 按照传播媒介可分为:以磁盘为载体的单机病毒和以网
络为载体的网络病毒 。
? 按攻击的机型还可将病毒分为:攻击微型机的病毒, 攻
击小型机的病毒和攻击工作站的病毒 。
7.1.4 计算机病毒的传播
? 第一种途径,通过不可移动的计算机硬件设备进行传
播 。 设备中有计算机的专用 ASIC( Application
Specific Integrated Circuit,特定用途集成电路 )
芯片和硬盘等 。 这种病毒极少, 破坏力极强 。
? 第二种途径:通过移动存储设备传染 。 如软盘, U盘,
可擦写光盘, MP3,存储卡, 记忆棒等 。
? 第三种途径:通过计算机网络传播, 是传播的主流途
径, 也是危害最大的传播途径 。
? 第四种途径:通过点对点通信系统和无线通道传播 。
7.1.5 计算机病毒机理
? 下面通过例 1 介绍计算机病毒的结构。 文件名为,autoexec.bat,其内容如下:
@echo off #关闭回显功能
echo This is a virus demonstration program,#病毒示例程序
if exist b:\autoexec.bat goto virus #检查时机
goto no-virus #时机不成熟则继续潜伏
:virus #时机成熟
b,#到 b:盘
rename autoexec.bat auto.bat #修改原文件名字
copy a:\autoexec.bat b,#复制自身
echo You have a virus! #表现症状
:no-virus #正常程序入口
a:
\auto.bat #执行正常程序
7.1.5 计算机病毒机理
由例 1可见, 病毒一般包含 3个模块:引导模块, 感
染模块和表现模块 ( 或破坏模块 ) 。 引导模块将病毒程
序引入内存并使其后面的两个模块处于激活状态;感染
模块在感染条件满足时把病毒感染到所攻击的对象上;
表现模块 ( 破坏模块 ) 在病毒发作条件满足时, 实施对
系统的干扰和破坏活动 。 并不是所有计算机病毒都由这 3
大模块组成, 有的病毒可能没有引导模块, 如, 维也纳,
病毒;有的可能没有破坏模块, 如, 巴基斯坦, 病毒;
而有的病毒在 3个模块之间可能没有明显的界限 。
7.1.5计算机病毒机理
1,引导型病毒
2,外壳型病毒
3,宏病毒
引导型病毒
引导型病毒是一种在 ROM BIOS之后, 系统引导时出
现的病毒, 它先于操作系统, 依托的环境是 BIOS中断服务
程序 。 引导型病毒利用操作系统的引导模块放在固定的位置,
并且控制权的转交方式是以物理地址为依据, 而不是以操作
系统引导区的内容为依据 。 因而, 引导型病毒改写磁盘上的
引导扇区 ( BOOT SECTOR) 的内容或改写硬盘上的分区表
( FAT), 占据该物理位置即可获得控制权 。 病毒将真正的
引导区内容搬家转移或替换, 待病毒程序被执行后, 再将控
制权交给真正的引导区内容, 使得带病毒的系统看似运转正
常, 从而隐藏病毒的存在, 伺机传染, 发作 。
外壳型病毒
作为典型的文件型病毒, 外壳型病毒需要
寄生的宿主程序, 并修改宿主程序的第一条执
行指令, 使病毒先于宿主程序执行, 随着宿主
程序的使用而传染扩散 。 下面的例子中, 将修
改 windows下的可执行文件 more.com,在
more.com文件末尾添加新的代码, 使程序一
运行便执行该代码段, 并使得 more.com在执
行时必须按下 Escape键才能正常运行 。
外壳型病毒 ( 续 )
例 2:修改 more.com文件, 使得 more.com在执行时必须先按下
Escape键才能继续执行 。
C:\WINDOWS\COMMAND>debug more.com
#使用 debug工具编辑 more.com
-r #查看寄存器状态, 其中 CX指示了 16进制表示的文件长度
AX=0000 BX=0000 CX=2967 DX=0000 SP=FFFE
BP=0000 SI=0000 DI=0000 DS=128C ES=128C
SS=128C CS=128C IP=0100 NV UP EI PL NZ NA PO NC
128C:0100 E85A10 CALL 115D
#此处显示了该程序的第一条汇编语句
外壳型病毒 ( 续 )
通过上述操作可以获得该程序的基本信息,
包括该文件的大小 (这里是 2967)和第一条汇编
语句的 16进制编码 (这里是 E85A10)。 由于文件
大小为 2967,而文件起始位置为 128C:0100,
所以, 从地址为 2967+100=2A67开始添加新
的代码 。
2,外壳型病毒 ( 续 三 )
? -a 2A67 #从地址 2A67处添加代码
? 128C:2A67 mov ah,0
? 128C:2A69 int 16 #触发中断 16,且 ah=0,系统等待按键
? 128C:2A6B cmp al,1b #判断是否是
Escape键
? 128C:2A6D jnz 2A67 #若非 Escape键, 循环等待
? 128C:2A6F mov word ptr[100],5AE8 #恢复开始的 3个字节
? 128C:2A75 mov byte ptr[102],10
? 128C:2A7A push cs #将程序入口地址 cs:100进栈
? 128C:2A7B mov si,100
? 128C:2A7E push si
? 128C:2A7F retf #回到 cs:100程序入口处
? 128C:2A80
外壳型病毒 ( 续 )
? -a 100 #修改文件第一句语句为:跳转到, 病毒, 代
码
处
? 128C:0100 jmp 2A67
? 128C:0103
? -r cx #更改文件的大小为
2A80- 100=2970
? CX 2967
?,2980
? -w #写文件
? Writing 02980 bytes
? -q #退出 debug
外壳型病毒 ( 续 )
? 此后, 当 使 用 more.com 时, 例 如 使 用, dir/s
|more分页显示所在目录及其子目录内容时, 只有按
下 Escape键才能使程序正常执行 。
? 通过上面的例子可以看到, 病毒可以在文件的前面,
后面, 甚至文件内部的空白处添加新的代码, 在程序
正常运行的基础上实现新的功能 。 病毒将自身附加在
宿主程序上, 并通过修改宿主程序的第一条指令, 使
病毒先于正常程序执行 。 当然, 病毒要实现自我复制,
自动传播和破坏系统, 其程序要复杂得多 。
宏病毒
Word的工作模式是当载入文档时, 就先执行起始的宏,
再载入资料内容, 目的是为了使 Word能够根据资料的不同
需要, 使用不同的宏工作 。 Word为普通用户事先定义一个
共用的范本文档 Normal.dot,里面包含了基本的宏 。 只要
一启动 Word,就会自动运行 Normal.dot文件 。 类似的电
子表格软件 Excel 也支持宏, 但 它 的 范 本 文 件 是
Personal.xls。 这就为宏病毒在每次启动 Word时能够取得
系统控制权提供了机会, 使用染毒的模板对文档进行操作 。
宏病毒 ( 续 )
感染了 Word宏病毒的文档运行时, 实现了病毒的自动
运行, 病毒把带病毒的宏移植到通用宏的代码段, 实现对其
它文件的感染 。 在 Word退出系统时, 它会自动地把所有的
通用宏, 包括感染病毒的宏保存到模板文件中, 当 Word系
统再一次启动时, 它又会自动地把所有的通用宏从模板中装
入 。 因此, 一旦 Word系统受到宏病毒的感染, 则以后每当
系统进行初始化时, 系统都会随着 Normal.dot的装入而成
为带毒的 Normal.dot系统, 进而在打开和创建任何文档时
感染该文档 。 当然, 这只是宏病毒传播的一个基本途径 。
7.2 计算机病毒检查与清除
根据计算机病毒的特点, 人们找到了许多
检测计算机病毒的方法 。 但是由于计算机病毒
与反病毒是互相对抗发展的, 任何一种检测方
法都不可能是万能的, 综合运用这些检测方法
并且在此基础上根据病毒的最新特点不断改进
或发现新的方法才能更准确地发现病毒 。
7.2.1 网络病毒检查与清除方法
1 检查注册表。大多数病毒都会修改注册表,使得每一
次机器启动时都能够得到自动执行。
2 检查磁盘文件 。 有些网络病毒会在磁盘上留下自己的
文件, 如木马病毒 Netbus;有些修改或覆盖原有系
统的文件, 如外壳型病毒;有些则以系统文件的命名
方式来命名自己, 以迷惑用户, 如本文中的示例 。
3 检查共享文件夹 。 为实现远程访问的目的, 病毒可将
服务程序放在共享目录中 。
7.2.1 网络病毒检查与清除方法 ( 续 )
4 检查进程 。 网络病毒在发作时会占用系统资源, 自动
产生正常系统运行时没有的进程, 甚至关闭一些正常
系统运行的进程 。
5 检查端口 。 网络病毒要与外界进行联系或传播病毒,
必然要开启通讯端口, 自动发送垃圾信息, 感染其它
系统或接受远程控制, 窃取系统资料 。
6 其它异常症状 。 如系统性能下降, 浏览器被修改, 出
现乱码, 无法正常使用邮件系统等等 。
7.2.2 宏病毒检查与清除方法
1 检查通用模板中出现的宏 。 大多数宏病毒是通过感染通用模板
Normal.dot进行传播的, 而通常通用模板中是没有宏的, 所以,
通过菜单, 工具 /宏,, 如果发现有 AutoOpen等自动宏,
FileSave
等标准宏或一些怪名字的宏, 而用户又没有使用特殊的宏的时候,
用户文档很可能感染上了宏病毒了 。
2 无故出现存盘操作 。 当打开一个 Word文档, 并且文档没有经过任
何改动, 立刻就有存盘操作 。
3 Word功能混乱, 无法使用 。 宏病毒能够破坏 Word的运行机制,
使文档的打开, 关闭, 存盘等操作无法正常进行 。 如 Word
的,doc文档文件无法另存为其它格式的文件, 而只能以模板文件
方式存盘 。
7.2.2 宏病毒检查与清除方法 ( 续 )
4 Word 菜单命令消失 。 一些病毒感染系统时, 会关闭
Word菜单的某些命令, 以隐藏和保护自己 。 如
Phardera病毒在其发作时只弹出一个对话框, 干扰用
户的正常操作, 同时, 病毒去掉, 工具, 菜单中的, 宏,
和
,自定义, 命令, 阻止手工查杀病毒 。
5 Word文档的内容发生变化 。 例如,Wazzu病毒感染
文档后, 会打乱原格式, 并在文档中加入, Wazzu”;
Concep.F病毒则将原文档中的,,,,, e”,,not”
替换
7.2.2 宏病毒检查与清除方法
? 在没打开任何文件 ( 文档文件或模板文件 ) 的情况下, 启
动 Word;
? 选择菜单, 工具 /模板和加载项, 中的, 管理器 /宏方案,
项, 删除左右两个列表框中除了自己定义的之外的所有宏;
? 关闭对话框;
? 选择菜单, 工具 /宏,, 若有 AutoOpen,AutoNew、
AutoClose等宏, 则删除 。
? 由于 Word宏病毒会寄生在任何,doc文档中, 可在打开,doc
文件后, 重复上面 2~4步骤, 然后将文件存盘, 以清
除,doc文档中的病毒 。
7.2.3 典型病毒清除方法
1,Sircam蠕虫病毒
2,圣诞节病毒
3.,欢乐时光, 病毒
4.,冰河, 木马病毒
Sircam 蠕虫病毒
? 清空回收站, 因为病毒将自身隐藏在回收站;
? 删除 Autoexec.bat文件中的 "@win ecycledsirc32.exe";
? 恢复注册表:
? 将 regedit.exe改名为 regedit.com因为该病毒关联 exe文件;
? 打开注册表编辑器, 查找主键:
HKEY_CLASSES_ROOT\exefile\shell\open\command将其键值
改为, %1”%*;
? 删除主键 HKEY_LOCAL_MACHINE\Software\SirCam;
? 删除键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
Current
Version\Run Services\Driver32;
? 将 regedit.com改回为 regedit.exe。
圣诞节病毒 ( 蠕虫病毒 )
? 通过开始 /程序, 进入 MS-DOS模式;
? 将 DOS指令 regedit.exe重新命名为 regedit.com;
? 打开注册表编辑器, 查找主键:
? HKEY_CLASSES_ROOT\exefile\shell\open\co
mmand将其键值改为 "%1" %*;
? 删除键值
? HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\Win32BaseSer
viceMOD;
? 将 regedit.com重新命名为 regedit.exe。
“欢乐时光, 病毒 ( 邮件病毒 )
? 检查 C:\Help.htm,C,盘第一个子目录下的 Help.vbs 和 Help.hta、
Windows目录下的 Help.htm 或者与原桌面背景文件名相同的
html 格式文件, 若其中 含有, Rem I am sorry! happy time”字
符串, 则删除该文件;
? 检查 C,盘上所有 vbs,html 或者 asp 文件, 若含有, Rem I am
sorry! happy time”字符串, 则删除该文件;
? 检查 WindowsWeb 目录下所有 vbs,html,htt 和 asp 文件, 若
含有, Rem I am sorry! happy time”字符串, 则删除该文件;
? 删除 HKEY_CURRENT_USER\Software 下 Help 项;
? 删除收件箱中所有带有 Untitled.htm 附件的不明邮件 。
“冰河, 木马病毒
? 删除 C:\Winnt\system32下的 Kernel32.exe和
Sysexplr.exe文件;
? 删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run下的键值
WINDOWS\SYSTEM\Kernel32.exe;
? 删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Runservices下的键值
WINDOWS\SYSTEM\Kernel32.exe;
“冰河, 木马病毒 ( 续 )
? 修改注册表
HKEY_CLASSES_ROOT\txtfile\shell\open
\command 下的默认值, 由被病毒感染后的
Sysexplr.exe %1改为正常情况下的 notepad.exe
%1
? 重新启动, 在纯 Dos模式中删除冰河以及它的关联程
序, 默认是 C:\WINDOWS\SYSTEM\
Kernel32.exe 和 sysexplr.exe。
7.3 计算机病毒防治措施
作为信息时代的主要载体,网络和计算机成为人类
工作、生活不可或缺的一部分,也必将为社会的发展进
一步带来巨大的变革。由于网络和计算机的开放性和共
享性,病毒也将伴随网络和计算机的发展而不断升级,
因此,病毒和反病毒之间的对抗将是长期的。为防患于
未然,以最大限度地减少计算机病毒的发生和危害,必
须采取有效的预防措施,使病毒的波及范围、破坏作用
减到最小。
7.3.1 计算机病毒防治管理措施
? 1994年颁布了, 中华人民共和国计算机信息系统安
全保护条例,,其中规定:故意输入计算机病毒以
及其他有害数据,危害计算机信息安全的要对个人
和单位处以高额罚款,并依法追究刑事责任。
? 1997年出台的新, 刑法, 中增加了有关对制作、传
播计算机病毒进行处罚的条款。
? 2000年 5月,公安部颁布实施了, 计算机病毒防治
管理办法, 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 备好启动盘, 并设置写保护 。
? 尽量不用软盘, U盘, 移动硬盘或其他移动存储设备启
动计算机, 而用本地硬盘启动 。
? 定期对重要的资料和系统文件进行备份 。 可以通过比照
文件大小, 检查文件个数, 核对文件名字来及时发现病
毒 。
? 重要的系统文件和磁盘可以通过赋予只读功能, 避免病
毒的寄生和入侵 。 也可以通过转移文件位置, 修改相应
的系统配置来保护重要的系统文件 。
? 重要部门的计算机, 尽量专机专用与外界隔绝 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 尽量避免在无防毒措施的机器上使用软盘, U盘, 移
动硬盘, 可擦写光盘等可移动的储存设备 。
? 使用新软件时, 先用杀毒程序检查 。
? 安装杀毒软件, 防火墙等防病毒工具, 并准备一套具
有查毒, 防毒, 解毒及修复系统的工具软件 。 并定期
对软件进行升级, 对系统进行查毒 。
? 经常升级安全补丁 。
? 使用复杂的密码 。 有许多网络病毒是通过猜测简单密
码的方式攻击系统的, 因此使用复杂的密码, 可大大
提高计算机的安全系数 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 不要在 Internet上随意下载软件 。 如果特别需要,
须在下载软件后进行杀毒 。
? 不要轻易打开电子邮件的附件 。 较妥当的做法是先
将附件保存下来, 待杀毒软件检查后再打开 。
? 不要随意借入和借出移动存储设备, 在使用借入或
返还的这些设备时, 一定要通过杀毒软件的检查 。
? 了解一些病毒知识。这样就可以及时发现新病毒并
采取相应措施,在关键时刻使自己的计算机免受病
毒破坏。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 一旦发现病毒, 迅速隔离受感染的计算机, 避免
病毒继续扩散 。 并使用可靠的查杀工具, 必要时
需向国家计算机病毒应急中心和当地公共信息网
络安全监察部门报告, 请专家协助处理 。
? 若硬盘资料已遭破坏, 应利用灾后重建的解毒程
序和恢复工具加以分析, 重建受损状态, 而不要
急于格式化 。
7.3.2 计算机病毒防治技措施
1,系统安全
2,软件过滤
3,文件加密
4,备份恢复
系统安全
许多计算机病毒都是通过系统漏洞进行传播的。
有效的杀毒软件可以防御病毒的侵害。除软件防病毒
外,采用防病毒卡和防病毒芯片也是十分有效的方法。
防病毒卡和芯片可与系统结合成一体,系统启动后,
在加载执行前获得控制权并开始监测病毒,使病毒一
进入内存即被查出。同时自身的检测程序固化在芯片
中,病毒无法改变其内容,可有效地抵制病毒对自身
的攻击。
软件过滤
软件过滤的目的是识别某一类特殊的病毒, 以防止
它们进入系统和复制传播, 已被用来保护一些大, 中型
计算机系统 。 如国外使用的一种 T-cell程序集, 对系统
中的数据和程序用一种难以复制的印章加以保护, 如果
印章被改变, 系统就认为发生了非法入侵 。 又如 Digital
公司的一些操作系统采用 CA-examine程序作为病毒检
测工具主要用来分析关键的系统程序和内存常驻模块,
能检测出多种修改系统的病毒 。
文件加密
文件加密是将系统中可执行文件加密, 以避免病毒的
危害 。 可执行文件是可被操作系统和其它软件识别和执行
的文件 。 若病毒不能在可执行文件加密前感染该文件, 或
不能破译加密算法, 则混入病毒代码的文件不能执行 。 为
减小开销, 文件加密也可采用另一种方法:可执行程序作
为明文, 并对其校验和进行单向加密, 形成加密的签名块,
并附在可执行文件之后 。 加密的签名块在文件执行前用公
钥解密, 并与重新计算的校验和相比较, 如有病毒入侵,
造成可执行文件改变, 则校验和不符, 应停止执行并进行
检查 。
备份恢复
数据备份是保证数据安全的重要手段, 可以通
过与备份文件的比较来判定是否有病毒入侵 。 当系
统文件被病毒侵染, 可用备份文件恢复原有的系统 。
数据备份可采用自动方式, 也可采用手动方式;可
定期备份和也可按需备份 。 数据备份不仅可用于被
病毒侵入破坏的数据恢复, 而且可在其它原因破坏
了数据完整性后进行系统恢复 。
7.3.3 常用病毒防治软件简介
各种防病毒软件通常具有如下一些功能:按照用
户要求对系统进行定期查毒、杀毒;对系统进行文件
级、邮件级、内存级、网页级的实时监控;定期或智
能化的升级病毒库;硬盘数据的保护、备份和恢复;
注册表的维护和修复;多种压缩格式的查毒、杀毒;
多种安全策略的选择和用户自定义安全规则的设置。
有些还提供了硬盘恢复工具、系统漏洞扫描工具、系
统优化工具等。
国际上流行的防病毒软件
1.卡巴斯基
2,诺顿
3,NOD32
4,McAfee
卡巴斯基
卡巴斯基 (Kaspersky)杀毒软件来源于俄罗斯,
是世界上优秀的网络杀毒软件, 查杀病毒性能较高 。
卡巴斯基杀毒软件具有较强的中心管理和杀毒能力;
提供了各种类型的抗病毒防护解决方案:抗病毒扫描
仪, 监控器, 行为阻段和完全检验 。 它支持几乎是所
有的操作系统, E-mail通路和防火墙 。 卡巴斯基控制
所有可能的病毒进入端口, 它强大的功能和局部的灵
活性以及网络管理工具为自动信息搜索, 中央安装和
病毒防护控制提供了便利 。
诺顿
赛门铁克 (Symantec)的诺顿品牌是个人用
户安全和解决方案领域的全球零售市场的领导者 。
它通过无缝集成的产品, 保护个人计算机免受病
毒爆发或恶意黑客的攻击 。 全球 500强企业中的
454家和, 财富, 杂志 500强中的 489家企业都
在使用赛门铁克解决方案 。
NOD32
Eset公司的 NOD32是全球较为流行的防毒软件
之一, 产品深受用户欢迎 。 NOD32在准确度及速度上
均打破多项世界纪录 。 NOD32在全球共获得 40多个
奖项, 包括 Virus Bulletin,PC Magazine,ICS认
证, Checkmark认证等, 并且是全球唯一通过 26次
VB100% 测试的防毒软件 。 NOD32提供多种操作系
统 平台 的产 品, 包括 DOS, Windows9x/Me,
WindowsNT/XP/2000,Novell Netware Server、
Linux,BSD等 。
McAfee
McAfee防毒软件也是全球畅销的杀毒软件之一,
它能够自动监视系统, 自动侦测文件的安全性, 可使
用密码将个人的设置锁定, 能够对所有可能的病毒来
源进行默认监控, 包括软盘, CD-ROM,Internet下
载, 电子邮件附件, 已访问的服务器, 共享文件以及
在线服务等 。 一旦检测到病毒, 能够自动将其清除,
删除, 或者隔离起来, 以便进一步分析并找出病毒的
根源 。
国产反病毒软件
1,江民 KV系列
2,金山毒霸
3,瑞星杀毒软件
4,熊猫卫士
江民 KV系列
江民科技致力于研发和经营范围涉及单机, 网络反病
毒软件;单机, 网络黑客防火墙;邮件服务器防病毒软
件等一系列网络安全产品 。 江民 KV系列产品在单机版
防杀毒市场上占有一定优势, 在国内防杀毒业界保持着
一定的领先地位 。 江民系列产品的特点是:与操作系统
结合紧密, 节约系统资源, 不影响系统的稳定性和客户
的正常操作;其界面风格简洁, 可操作性强, 易于用户
的使用;在查毒率方面, 查杀压缩格式和加壳格式文件
的支持方面, 江民都表现得很出色 。
金山毒霸
金山公司是中国领先的应用软件产品和服务
供应商,其金山毒霸系列杀毒软件产品是国内较
有影响的防杀毒品牌之一。金山公司在积极推广
金山毒霸和金山网镖的同时,还积极推动反垃圾
邮件活动。金山毒霸的查杀毒速度快是其产品的
一大特点;在精细查毒方式下,其查毒率也较高;
金山毒霸可以对多种压缩格式进行病毒查杀;在
清除病毒方面,金山毒霸也有很好的表现。
瑞星杀毒软件
瑞星公司是从事计算机病毒防治与研究的专业软
件公司, 研制生产涉及计算机反病毒和信息安全相关
的系列产品, 开发基于多种操作系统的瑞星杀毒软件
单机版, 网络版, 企业级防火墙, 入侵检测, 漏洞扫
描等系列信息安全产品 。 瑞星杀毒软件具有智能反病
毒引擎, 对未知病毒, 变种病毒, 黑客木马, 恶意网
页程序, 间谍程序有快速查杀的能力, 并拥有及时便
捷的升级服务和技术支持 。
熊猫卫士
熊猫卫士是 Panda 软件公司在中国推出的
反病毒产品, 方正科技于 2002年初正式入资熊
猫中国, 成为熊猫软件国内的主要股东, 并成
为一个拥有核心本土技术的国际化厂商 。 熊猫
卫士可以抵御病毒, 蠕虫和特洛依木马, 防护
新的网络病毒的攻击, 如垃圾邮件, 间谍程序,
拨号器, 黑客工具和恶作剧 。
7.4 本章知识点小结
1 计算机病毒的特点与分类
(1)计算机病毒的发展
(2)计算机病毒的特性
(3)计算机病毒的分类
(4)计算机病毒的传播
(5)计算机病毒的机理
2 计算机病毒检查与清除
(1)网络病毒检查与清除方法
(2)宏病毒检查与清除方法
(3)典型病毒清除方法
7.4 本章知识点小结 ( 续 )
3 计算机病毒防治措施
(1)计算机病毒防治管理措施
(2)计算机病毒防治技术措施
(3)常用病毒防治软件简介
计算机病毒防治
第 七 章 计算机病毒防治
7.1 计算机病毒的特点与分类
7.1.1 计算机病毒的发展
7.1.2 计算机病毒的特性
7.1.3 计算机病毒分类
7.1.4 计算机病毒的传播
7.1.5计算机病毒机理
7.2 计算机病毒检查与清除
7.2.1 网络病毒检查与清除方法
7.2.2 宏病毒检查与清除方法
7.2.3 典型病毒清除方法
第七章 计算机病毒防治 ( 续 )
7.3 计算机病毒防治措施
7.3.1 计算机病毒防治管理措施
7.3.2计算机病毒防治技措施
7.3.3 常用病毒防治软件简介
7.4 本章知识点小结
第 七 章 计算机病毒防治
计算机病毒的出现成为信息化社会的公害, 是
一种特殊的犯罪形式防治计算机病毒是一个系统工程,
不仅要有强大的技术支持, 而且要有完善的法律法规,
严谨的管理体系, 科学的规章制度以及系统的防范措
施 。 本章介绍了计算机病毒的基本知识包括计算机病
毒的发展历史, 病毒特性, 分类方法, 传播途径和工
作机理, 列举了典型病毒的检查和清除方法, 讨论了
关于防治计算机病毒的管理和技术措施 。
7.1 计算机病毒的特点与分类
计算机病毒也是计算机程序, 有着生物病毒相
似的特性, 病毒驻留在受感染的计算机内, 并不断
传播和感染可连接的系统, 在满足触发条件时, 病
毒发作, 破坏正常的系统工作, 强占系统资源, 甚
至损坏系统数据 。 病毒不但具有普通程序存储和运
行的特点, 还具有传染性, 潜伏性, 可触发性, 破
坏性, 针对性, 隐蔽性和衍生性等特征 。
7.1.1 计算机病毒的发展
计算机病毒是伴随计算机的发展而不断发
展变化的 。 早在 1949年计算机刚刚诞生时, 计
算机之父冯 ·诺依曼在, 复杂自动机组织论, 中便
定义了病毒的基本概念, 他提出, 一部事实上足
够复杂的机器能够复制自身,, 而能够复制自身
正是计算机病毒的本质特征之一 。
7.1.1 计算机病毒的发展 ( 续 )
时 间 名 称 特 点
20世纪 60年代初 Core War 通过复制自身来摆脱对方控制
1981年 Elk Cloner 通过磁盘进行感染
1986年底 Brain 首次使用了伪装手段
1987年 Casade 自我加解密
1987年 12月 Christmas
Tree
第一个网络病毒,在 VM/CMS操作系
统下传播
1988年,耶路撒冷”病
毒
文件型病毒
1988年 11月 2日 蠕虫程序 造成 Internet的堵塞
7.1.1 计算机病毒的发展 ( 续 )
首例能够破坏硬件的病毒CHI1998年 6月
第一个使用 FTP进行传播Homer1997年 4月
第一个 Linux环境下的病毒Bliss 1997年 2月
攻击 Windows操作系统病毒大规模出
现
宏病毒
Concept
1995年 8月 9日
感染 C语言和 Pascal语言
感染 OBJ文件
SrcVir
Shifter
1993,1994年
第一个多态病毒Chameleon1990年
标志着计算机病毒开始入侵我国“小球”1989年 4月
格式化硬盘Yankee1989年
特点名称时间
7.1.1 计算机病毒的发展 ( 续 )
时 间 名 称 特 点
1999年 美丽杀 宏病毒和蠕虫的混合物,通过电子邮件传播
2000年 VBS/KAK 使用脚本技术
2001年 红色代码 利用微软操作系统的缓冲区溢出的漏洞传播
2001年 Nimda 利用电子邮件传播
2001年 网络神偷 木马 /黑客病毒,对本地及远程驱动器的文件进
行任何操作
2002年 6月 Perrum 第一个从程序感染转变为数据文件感染的病毒
2003年,2003蠕虫
王”
多元混合化,数小时内使全球主干网陷入瘫痪
2004年 频繁的变种病毒大量出现
7.1.2 计算机病毒的特性
1,传染性
2,潜伏性
3,可触发性
4,破坏性
5,针对性
6,隐蔽性
7,衍生性
传染性
传染性是病毒的基本特征 。 病毒通过修改磁盘扇区信息
或文件内容, 并把自身嵌入到一切符合其传染条件的未受到
传染的程序之上, 实现自我复制和自我繁殖, 达到传染和扩
散的目的 。 被感染的程序和系统将成为新的传染源, 在与其
它系统和设备接触时继续进行传播 。 其中, 被嵌入的程序叫
做宿主程序 。 病毒的传染可以通过各种移动存储设备, 如软
盘, 移动硬盘, U盘, 可擦写光盘, 手机, PDA等;病毒可以
通过有线网络, 无线网络, 手机网络等渠道迅速波及全球 。
例如,, 爱虫, 病毒在两天内迅速传播到世界的主要计算机
网络, 并造成欧, 美国家的计算机网络瘫痪 。
潜伏性
病毒在进入系统之后通常不会马上发作, 可长期隐藏
在系统中, 除了传染外不做什么破坏, 以提供足够的时间
繁殖扩散 。 病毒在潜伏期, 不破坏系统, 因而不易被用户
发现 。 潜伏性越好, 其在系统中的存在时间就会越长, 病
毒的传染范围就会越大 。 病毒只有在满足特定触发条件时
才启动其破坏模块 。 例如, PETER-2病毒在每年的 2月 27
日会提三个问题答错后会将硬盘加密 。 著名 CIH病毒在每
月的 26日发作 。
可触发性
病毒因某个事件或数值的出现, 激发其进行传染,
或者激活病毒的表现部分或破坏部分的特性称为可触发
性 。 计算机病毒一般都有一个或者多个触发条件, 病毒
的触发机制用来控制感染和破坏动作的频率 。 病毒具有
的预定的触发条件可能是敲入特定字符, 使用特定文件,
某个特定日期或特定时刻, 或者是病毒内置的计数器达
到一定次数等 。 病毒运行时, 触发机制检查预定条件是
否满足, 满足条件时, 病毒触发感染或破坏动作, 否则
继续潜伏 。
破坏性
病毒是一种可执行程序, 病毒的运行必然要占用系统资
源, 如占用内存空间, 占用磁盘存储空间以及系统运行时间等 。
病毒的破坏性主要取决于病毒设计者的目的 。 良性病毒可能只
是干扰显示屏幕, 显示一些乱码或无聊的语句, 或者根本无任
何破坏动作, 只是占用系统资源, 如 FENP病毒, 小球病毒,
W-BOOT病毒等 。 恶性病毒则有明确的目的, 它们破坏数据,
删除文件, 加密磁盘甚至格式化磁盘, 破坏硬件, 对数据造成
不可挽回的破坏 。 另外, 病毒的交叉感染, 也会导致系统崩溃
等恶果 。
针对性
病毒是针对特定的计算机, 操作系统, 服务软件, 甚
至特定的版本和特定模版而设计的 。 例如:小球病毒是针
对 IBM PC 机及其兼容机上的 DOS 操作系统的 。
,CodeBlue ( 蓝色代码 ), 专门 攻击 WINDOWS
2000操作系统 。 英文 Word中的宏病毒模板在同一版本
的中文 Word中无法打开而自动失效 。 2002年 1月 8日 出
现 的感染 SWF 文 件的 SWF.LFM.926 病 毒由于 依 赖
Macro-media独立运行的 Flash播放器, 而不是依靠安
装在浏览器中插件, 使其传播受到限制 。
隐蔽性
大部分病毒都设计得短小精悍, 一般只有几百 K甚
至几十 K字节, 并且, 病毒通常都附在正常程序中或磁盘
较隐蔽的地方 ( 如引导扇区 ), 或以隐含文件形式出现,
目的是不让用户发现它的存在 。 如果不经过代码分析,
病毒程序与正常程序是不容易区别开的 。 病毒在潜伏期
并不恶意破坏系统工作, 受感染的计算机系统通常仍能
正常运行, 用户不会感到任何异常, 从而隐藏病毒的存
在, 使病毒可以在不被察觉的情况下, 感染尽可能多的
计算机系统 。
隐蔽性 ( 续 )
? 传染的隐蔽性 。 大多数病毒在进行传染时速度极快, 一般不
具有外部表现, 不易被发现 。 PC机对 DOS文件的存取速度
可达每秒几百 KB以上, 几百字节的病毒可在转瞬间附着在
正常的程序之中, 不易被人察觉 。
? 存在的隐蔽性 。 病毒一般都附着在正常程序之中, 正常程序
被计算机病毒感染后, 其原有功能基本上不受影响, 使病毒
在正常程序的工作过程中不断得到运行, 传染更多的系统和
资源, 与正常程序争夺系统的控制权和磁盘空间, 不断地破
坏正常的系统 。
衍生性
很多病毒使用高级语言编写, 如, 爱虫, 是脚本语
言病毒,, 美丽杀, 是宏病毒,通过分析计算机病毒的
结构可以了解设计者的设计思想, 从而衍生出各种新的
计算机病毒, 称为病毒变种 。 这就是计算机病毒的衍生
性 。 变种病毒造成的后果可能比原版病毒更为严重 。
,爱虫, 病毒在十几天中, 出现三十多种变种 。, 美丽
杀, 病毒也有多种变种, 并且此后很多宏病毒都使用了
,美丽杀, 的传染机理 。 这些变种的主要传染和破坏的
机理与母体病毒基本一致, 只是改变了病毒的外部表象 。
其他特性
随着计算机软件和网络技术的发展, 网络时
代的病毒又具有很多新的特点如主动通过网络和
邮件系统传播, 传播速度极快, 变种多;病毒不
但能够复制自身给其他的程序, 而且具有了蠕虫
的特点, 可以利用网络进行传播;具有了黑客程
序的功能, 一旦侵入计算机系统后, 病毒控制可
以从入侵的系统中窃取信息, 远程控制这些系统 。
病毒的功能呈现多样化, 也更具有危害性 。
7.1.3 计算机病毒分类
1,按照计算机病毒的危害程度分类
2,按照传染方式分类
3,按照计算机病毒的寄生方式分类
4,其他一些分类方式
按照计算机病毒的危害程度分类
? 良性病毒是指不对计算机系统和数据进行彻底破坏的病毒 。
这类病毒占用系统资源, 会导致整个系统运行效率降;与
操作系统和应用程序争抢 CPU的控制权, 导致整个系统死
锁, 妨碍正常的系统操作 。 在多个病毒交叉感染时也可造
成系统崩溃 。 如小球病毒, 1575/1591病毒, 救护车病毒,
扬基病毒, Dabi病毒 。
? 恶性病毒是指能够损伤和破坏计算机系统及其数据, 在其
传染或发作时对系统产生彻底破坏作用的病毒 。 目的明确,
破坏数据, 删除文件, 加密磁盘, 甚至格式化磁盘 。 米开
朗基罗病毒发作时, 硬盘的前 17个扇区将被彻底破坏, 使
整个硬盘上的数据无法被恢复 。
按照传染方式分类
? 引导型病毒是指寄生在磁盘引导区或主引导区的计算机
病毒。按照引导型病毒在硬盘上的寄生位置可细分为主
引导记录病毒和分区引导记录病毒。
? 文件型病毒是指能够寄生在文件中的计算机病毒。这类
病毒程序感染可执行文件或数据文件。
? 混合型病毒是指具有引导型病毒和文件型病毒两种寄生
方式的计算机病毒。这种病毒既感染磁盘的引导区,又
感染可执行文件,增加了病毒的传染性及存活率。
按照计算机病毒的寄生方式分类
? 源码型病毒是用高级语言编写的, 攻击用高级语言编写
的程序 。 这种病毒若不进行汇编, 链接, 就无法传染扩
散 。
? 嵌入型病毒是将自身嵌入到现有程序中, 把计算机病毒
的主体程序与其攻击的对象以插入的方式链接 。 技术难
度较大, 一旦侵入后也较难消除 。
? 外壳型病毒寄生在宿主程序的前面或后面, 并修改程序
的第一条执行指令, 使病毒先于宿主程序执行 。 易于编
写, 易于发现, 通过文件的大小判别 。
其他分类方式
? 按照攻击的操作系统可分为:攻击 DOS操作系统的,
攻击 Windows系统的, 攻击 UNIX系统的, 攻击 OS/2
系统的病毒 。
? 按照计算机病毒激活的时间可分为:定时发作的病毒和
不由时钟来激活的随机病毒 。
? 按照传播媒介可分为:以磁盘为载体的单机病毒和以网
络为载体的网络病毒 。
? 按攻击的机型还可将病毒分为:攻击微型机的病毒, 攻
击小型机的病毒和攻击工作站的病毒 。
7.1.4 计算机病毒的传播
? 第一种途径,通过不可移动的计算机硬件设备进行传
播 。 设备中有计算机的专用 ASIC( Application
Specific Integrated Circuit,特定用途集成电路 )
芯片和硬盘等 。 这种病毒极少, 破坏力极强 。
? 第二种途径:通过移动存储设备传染 。 如软盘, U盘,
可擦写光盘, MP3,存储卡, 记忆棒等 。
? 第三种途径:通过计算机网络传播, 是传播的主流途
径, 也是危害最大的传播途径 。
? 第四种途径:通过点对点通信系统和无线通道传播 。
7.1.5 计算机病毒机理
? 下面通过例 1 介绍计算机病毒的结构。 文件名为,autoexec.bat,其内容如下:
@echo off #关闭回显功能
echo This is a virus demonstration program,#病毒示例程序
if exist b:\autoexec.bat goto virus #检查时机
goto no-virus #时机不成熟则继续潜伏
:virus #时机成熟
b,#到 b:盘
rename autoexec.bat auto.bat #修改原文件名字
copy a:\autoexec.bat b,#复制自身
echo You have a virus! #表现症状
:no-virus #正常程序入口
a:
\auto.bat #执行正常程序
7.1.5 计算机病毒机理
由例 1可见, 病毒一般包含 3个模块:引导模块, 感
染模块和表现模块 ( 或破坏模块 ) 。 引导模块将病毒程
序引入内存并使其后面的两个模块处于激活状态;感染
模块在感染条件满足时把病毒感染到所攻击的对象上;
表现模块 ( 破坏模块 ) 在病毒发作条件满足时, 实施对
系统的干扰和破坏活动 。 并不是所有计算机病毒都由这 3
大模块组成, 有的病毒可能没有引导模块, 如, 维也纳,
病毒;有的可能没有破坏模块, 如, 巴基斯坦, 病毒;
而有的病毒在 3个模块之间可能没有明显的界限 。
7.1.5计算机病毒机理
1,引导型病毒
2,外壳型病毒
3,宏病毒
引导型病毒
引导型病毒是一种在 ROM BIOS之后, 系统引导时出
现的病毒, 它先于操作系统, 依托的环境是 BIOS中断服务
程序 。 引导型病毒利用操作系统的引导模块放在固定的位置,
并且控制权的转交方式是以物理地址为依据, 而不是以操作
系统引导区的内容为依据 。 因而, 引导型病毒改写磁盘上的
引导扇区 ( BOOT SECTOR) 的内容或改写硬盘上的分区表
( FAT), 占据该物理位置即可获得控制权 。 病毒将真正的
引导区内容搬家转移或替换, 待病毒程序被执行后, 再将控
制权交给真正的引导区内容, 使得带病毒的系统看似运转正
常, 从而隐藏病毒的存在, 伺机传染, 发作 。
外壳型病毒
作为典型的文件型病毒, 外壳型病毒需要
寄生的宿主程序, 并修改宿主程序的第一条执
行指令, 使病毒先于宿主程序执行, 随着宿主
程序的使用而传染扩散 。 下面的例子中, 将修
改 windows下的可执行文件 more.com,在
more.com文件末尾添加新的代码, 使程序一
运行便执行该代码段, 并使得 more.com在执
行时必须按下 Escape键才能正常运行 。
外壳型病毒 ( 续 )
例 2:修改 more.com文件, 使得 more.com在执行时必须先按下
Escape键才能继续执行 。
C:\WINDOWS\COMMAND>debug more.com
#使用 debug工具编辑 more.com
-r #查看寄存器状态, 其中 CX指示了 16进制表示的文件长度
AX=0000 BX=0000 CX=2967 DX=0000 SP=FFFE
BP=0000 SI=0000 DI=0000 DS=128C ES=128C
SS=128C CS=128C IP=0100 NV UP EI PL NZ NA PO NC
128C:0100 E85A10 CALL 115D
#此处显示了该程序的第一条汇编语句
外壳型病毒 ( 续 )
通过上述操作可以获得该程序的基本信息,
包括该文件的大小 (这里是 2967)和第一条汇编
语句的 16进制编码 (这里是 E85A10)。 由于文件
大小为 2967,而文件起始位置为 128C:0100,
所以, 从地址为 2967+100=2A67开始添加新
的代码 。
2,外壳型病毒 ( 续 三 )
? -a 2A67 #从地址 2A67处添加代码
? 128C:2A67 mov ah,0
? 128C:2A69 int 16 #触发中断 16,且 ah=0,系统等待按键
? 128C:2A6B cmp al,1b #判断是否是
Escape键
? 128C:2A6D jnz 2A67 #若非 Escape键, 循环等待
? 128C:2A6F mov word ptr[100],5AE8 #恢复开始的 3个字节
? 128C:2A75 mov byte ptr[102],10
? 128C:2A7A push cs #将程序入口地址 cs:100进栈
? 128C:2A7B mov si,100
? 128C:2A7E push si
? 128C:2A7F retf #回到 cs:100程序入口处
? 128C:2A80
外壳型病毒 ( 续 )
? -a 100 #修改文件第一句语句为:跳转到, 病毒, 代
码
处
? 128C:0100 jmp 2A67
? 128C:0103
? -r cx #更改文件的大小为
2A80- 100=2970
? CX 2967
?,2980
? -w #写文件
? Writing 02980 bytes
? -q #退出 debug
外壳型病毒 ( 续 )
? 此后, 当 使 用 more.com 时, 例 如 使 用, dir/s
|more分页显示所在目录及其子目录内容时, 只有按
下 Escape键才能使程序正常执行 。
? 通过上面的例子可以看到, 病毒可以在文件的前面,
后面, 甚至文件内部的空白处添加新的代码, 在程序
正常运行的基础上实现新的功能 。 病毒将自身附加在
宿主程序上, 并通过修改宿主程序的第一条指令, 使
病毒先于正常程序执行 。 当然, 病毒要实现自我复制,
自动传播和破坏系统, 其程序要复杂得多 。
宏病毒
Word的工作模式是当载入文档时, 就先执行起始的宏,
再载入资料内容, 目的是为了使 Word能够根据资料的不同
需要, 使用不同的宏工作 。 Word为普通用户事先定义一个
共用的范本文档 Normal.dot,里面包含了基本的宏 。 只要
一启动 Word,就会自动运行 Normal.dot文件 。 类似的电
子表格软件 Excel 也支持宏, 但 它 的 范 本 文 件 是
Personal.xls。 这就为宏病毒在每次启动 Word时能够取得
系统控制权提供了机会, 使用染毒的模板对文档进行操作 。
宏病毒 ( 续 )
感染了 Word宏病毒的文档运行时, 实现了病毒的自动
运行, 病毒把带病毒的宏移植到通用宏的代码段, 实现对其
它文件的感染 。 在 Word退出系统时, 它会自动地把所有的
通用宏, 包括感染病毒的宏保存到模板文件中, 当 Word系
统再一次启动时, 它又会自动地把所有的通用宏从模板中装
入 。 因此, 一旦 Word系统受到宏病毒的感染, 则以后每当
系统进行初始化时, 系统都会随着 Normal.dot的装入而成
为带毒的 Normal.dot系统, 进而在打开和创建任何文档时
感染该文档 。 当然, 这只是宏病毒传播的一个基本途径 。
7.2 计算机病毒检查与清除
根据计算机病毒的特点, 人们找到了许多
检测计算机病毒的方法 。 但是由于计算机病毒
与反病毒是互相对抗发展的, 任何一种检测方
法都不可能是万能的, 综合运用这些检测方法
并且在此基础上根据病毒的最新特点不断改进
或发现新的方法才能更准确地发现病毒 。
7.2.1 网络病毒检查与清除方法
1 检查注册表。大多数病毒都会修改注册表,使得每一
次机器启动时都能够得到自动执行。
2 检查磁盘文件 。 有些网络病毒会在磁盘上留下自己的
文件, 如木马病毒 Netbus;有些修改或覆盖原有系
统的文件, 如外壳型病毒;有些则以系统文件的命名
方式来命名自己, 以迷惑用户, 如本文中的示例 。
3 检查共享文件夹 。 为实现远程访问的目的, 病毒可将
服务程序放在共享目录中 。
7.2.1 网络病毒检查与清除方法 ( 续 )
4 检查进程 。 网络病毒在发作时会占用系统资源, 自动
产生正常系统运行时没有的进程, 甚至关闭一些正常
系统运行的进程 。
5 检查端口 。 网络病毒要与外界进行联系或传播病毒,
必然要开启通讯端口, 自动发送垃圾信息, 感染其它
系统或接受远程控制, 窃取系统资料 。
6 其它异常症状 。 如系统性能下降, 浏览器被修改, 出
现乱码, 无法正常使用邮件系统等等 。
7.2.2 宏病毒检查与清除方法
1 检查通用模板中出现的宏 。 大多数宏病毒是通过感染通用模板
Normal.dot进行传播的, 而通常通用模板中是没有宏的, 所以,
通过菜单, 工具 /宏,, 如果发现有 AutoOpen等自动宏,
FileSave
等标准宏或一些怪名字的宏, 而用户又没有使用特殊的宏的时候,
用户文档很可能感染上了宏病毒了 。
2 无故出现存盘操作 。 当打开一个 Word文档, 并且文档没有经过任
何改动, 立刻就有存盘操作 。
3 Word功能混乱, 无法使用 。 宏病毒能够破坏 Word的运行机制,
使文档的打开, 关闭, 存盘等操作无法正常进行 。 如 Word
的,doc文档文件无法另存为其它格式的文件, 而只能以模板文件
方式存盘 。
7.2.2 宏病毒检查与清除方法 ( 续 )
4 Word 菜单命令消失 。 一些病毒感染系统时, 会关闭
Word菜单的某些命令, 以隐藏和保护自己 。 如
Phardera病毒在其发作时只弹出一个对话框, 干扰用
户的正常操作, 同时, 病毒去掉, 工具, 菜单中的, 宏,
和
,自定义, 命令, 阻止手工查杀病毒 。
5 Word文档的内容发生变化 。 例如,Wazzu病毒感染
文档后, 会打乱原格式, 并在文档中加入, Wazzu”;
Concep.F病毒则将原文档中的,,,,, e”,,not”
替换
7.2.2 宏病毒检查与清除方法
? 在没打开任何文件 ( 文档文件或模板文件 ) 的情况下, 启
动 Word;
? 选择菜单, 工具 /模板和加载项, 中的, 管理器 /宏方案,
项, 删除左右两个列表框中除了自己定义的之外的所有宏;
? 关闭对话框;
? 选择菜单, 工具 /宏,, 若有 AutoOpen,AutoNew、
AutoClose等宏, 则删除 。
? 由于 Word宏病毒会寄生在任何,doc文档中, 可在打开,doc
文件后, 重复上面 2~4步骤, 然后将文件存盘, 以清
除,doc文档中的病毒 。
7.2.3 典型病毒清除方法
1,Sircam蠕虫病毒
2,圣诞节病毒
3.,欢乐时光, 病毒
4.,冰河, 木马病毒
Sircam 蠕虫病毒
? 清空回收站, 因为病毒将自身隐藏在回收站;
? 删除 Autoexec.bat文件中的 "@win ecycledsirc32.exe";
? 恢复注册表:
? 将 regedit.exe改名为 regedit.com因为该病毒关联 exe文件;
? 打开注册表编辑器, 查找主键:
HKEY_CLASSES_ROOT\exefile\shell\open\command将其键值
改为, %1”%*;
? 删除主键 HKEY_LOCAL_MACHINE\Software\SirCam;
? 删除键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
Current
Version\Run Services\Driver32;
? 将 regedit.com改回为 regedit.exe。
圣诞节病毒 ( 蠕虫病毒 )
? 通过开始 /程序, 进入 MS-DOS模式;
? 将 DOS指令 regedit.exe重新命名为 regedit.com;
? 打开注册表编辑器, 查找主键:
? HKEY_CLASSES_ROOT\exefile\shell\open\co
mmand将其键值改为 "%1" %*;
? 删除键值
? HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\Win32BaseSer
viceMOD;
? 将 regedit.com重新命名为 regedit.exe。
“欢乐时光, 病毒 ( 邮件病毒 )
? 检查 C:\Help.htm,C,盘第一个子目录下的 Help.vbs 和 Help.hta、
Windows目录下的 Help.htm 或者与原桌面背景文件名相同的
html 格式文件, 若其中 含有, Rem I am sorry! happy time”字
符串, 则删除该文件;
? 检查 C,盘上所有 vbs,html 或者 asp 文件, 若含有, Rem I am
sorry! happy time”字符串, 则删除该文件;
? 检查 WindowsWeb 目录下所有 vbs,html,htt 和 asp 文件, 若
含有, Rem I am sorry! happy time”字符串, 则删除该文件;
? 删除 HKEY_CURRENT_USER\Software 下 Help 项;
? 删除收件箱中所有带有 Untitled.htm 附件的不明邮件 。
“冰河, 木马病毒
? 删除 C:\Winnt\system32下的 Kernel32.exe和
Sysexplr.exe文件;
? 删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run下的键值
WINDOWS\SYSTEM\Kernel32.exe;
? 删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Runservices下的键值
WINDOWS\SYSTEM\Kernel32.exe;
“冰河, 木马病毒 ( 续 )
? 修改注册表
HKEY_CLASSES_ROOT\txtfile\shell\open
\command 下的默认值, 由被病毒感染后的
Sysexplr.exe %1改为正常情况下的 notepad.exe
%1
? 重新启动, 在纯 Dos模式中删除冰河以及它的关联程
序, 默认是 C:\WINDOWS\SYSTEM\
Kernel32.exe 和 sysexplr.exe。
7.3 计算机病毒防治措施
作为信息时代的主要载体,网络和计算机成为人类
工作、生活不可或缺的一部分,也必将为社会的发展进
一步带来巨大的变革。由于网络和计算机的开放性和共
享性,病毒也将伴随网络和计算机的发展而不断升级,
因此,病毒和反病毒之间的对抗将是长期的。为防患于
未然,以最大限度地减少计算机病毒的发生和危害,必
须采取有效的预防措施,使病毒的波及范围、破坏作用
减到最小。
7.3.1 计算机病毒防治管理措施
? 1994年颁布了, 中华人民共和国计算机信息系统安
全保护条例,,其中规定:故意输入计算机病毒以
及其他有害数据,危害计算机信息安全的要对个人
和单位处以高额罚款,并依法追究刑事责任。
? 1997年出台的新, 刑法, 中增加了有关对制作、传
播计算机病毒进行处罚的条款。
? 2000年 5月,公安部颁布实施了, 计算机病毒防治
管理办法, 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 备好启动盘, 并设置写保护 。
? 尽量不用软盘, U盘, 移动硬盘或其他移动存储设备启
动计算机, 而用本地硬盘启动 。
? 定期对重要的资料和系统文件进行备份 。 可以通过比照
文件大小, 检查文件个数, 核对文件名字来及时发现病
毒 。
? 重要的系统文件和磁盘可以通过赋予只读功能, 避免病
毒的寄生和入侵 。 也可以通过转移文件位置, 修改相应
的系统配置来保护重要的系统文件 。
? 重要部门的计算机, 尽量专机专用与外界隔绝 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 尽量避免在无防毒措施的机器上使用软盘, U盘, 移
动硬盘, 可擦写光盘等可移动的储存设备 。
? 使用新软件时, 先用杀毒程序检查 。
? 安装杀毒软件, 防火墙等防病毒工具, 并准备一套具
有查毒, 防毒, 解毒及修复系统的工具软件 。 并定期
对软件进行升级, 对系统进行查毒 。
? 经常升级安全补丁 。
? 使用复杂的密码 。 有许多网络病毒是通过猜测简单密
码的方式攻击系统的, 因此使用复杂的密码, 可大大
提高计算机的安全系数 。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 不要在 Internet上随意下载软件 。 如果特别需要,
须在下载软件后进行杀毒 。
? 不要轻易打开电子邮件的附件 。 较妥当的做法是先
将附件保存下来, 待杀毒软件检查后再打开 。
? 不要随意借入和借出移动存储设备, 在使用借入或
返还的这些设备时, 一定要通过杀毒软件的检查 。
? 了解一些病毒知识。这样就可以及时发现新病毒并
采取相应措施,在关键时刻使自己的计算机免受病
毒破坏。
7.3.1 计算机病毒防治管理措施 ( 续 )
? 一旦发现病毒, 迅速隔离受感染的计算机, 避免
病毒继续扩散 。 并使用可靠的查杀工具, 必要时
需向国家计算机病毒应急中心和当地公共信息网
络安全监察部门报告, 请专家协助处理 。
? 若硬盘资料已遭破坏, 应利用灾后重建的解毒程
序和恢复工具加以分析, 重建受损状态, 而不要
急于格式化 。
7.3.2 计算机病毒防治技措施
1,系统安全
2,软件过滤
3,文件加密
4,备份恢复
系统安全
许多计算机病毒都是通过系统漏洞进行传播的。
有效的杀毒软件可以防御病毒的侵害。除软件防病毒
外,采用防病毒卡和防病毒芯片也是十分有效的方法。
防病毒卡和芯片可与系统结合成一体,系统启动后,
在加载执行前获得控制权并开始监测病毒,使病毒一
进入内存即被查出。同时自身的检测程序固化在芯片
中,病毒无法改变其内容,可有效地抵制病毒对自身
的攻击。
软件过滤
软件过滤的目的是识别某一类特殊的病毒, 以防止
它们进入系统和复制传播, 已被用来保护一些大, 中型
计算机系统 。 如国外使用的一种 T-cell程序集, 对系统
中的数据和程序用一种难以复制的印章加以保护, 如果
印章被改变, 系统就认为发生了非法入侵 。 又如 Digital
公司的一些操作系统采用 CA-examine程序作为病毒检
测工具主要用来分析关键的系统程序和内存常驻模块,
能检测出多种修改系统的病毒 。
文件加密
文件加密是将系统中可执行文件加密, 以避免病毒的
危害 。 可执行文件是可被操作系统和其它软件识别和执行
的文件 。 若病毒不能在可执行文件加密前感染该文件, 或
不能破译加密算法, 则混入病毒代码的文件不能执行 。 为
减小开销, 文件加密也可采用另一种方法:可执行程序作
为明文, 并对其校验和进行单向加密, 形成加密的签名块,
并附在可执行文件之后 。 加密的签名块在文件执行前用公
钥解密, 并与重新计算的校验和相比较, 如有病毒入侵,
造成可执行文件改变, 则校验和不符, 应停止执行并进行
检查 。
备份恢复
数据备份是保证数据安全的重要手段, 可以通
过与备份文件的比较来判定是否有病毒入侵 。 当系
统文件被病毒侵染, 可用备份文件恢复原有的系统 。
数据备份可采用自动方式, 也可采用手动方式;可
定期备份和也可按需备份 。 数据备份不仅可用于被
病毒侵入破坏的数据恢复, 而且可在其它原因破坏
了数据完整性后进行系统恢复 。
7.3.3 常用病毒防治软件简介
各种防病毒软件通常具有如下一些功能:按照用
户要求对系统进行定期查毒、杀毒;对系统进行文件
级、邮件级、内存级、网页级的实时监控;定期或智
能化的升级病毒库;硬盘数据的保护、备份和恢复;
注册表的维护和修复;多种压缩格式的查毒、杀毒;
多种安全策略的选择和用户自定义安全规则的设置。
有些还提供了硬盘恢复工具、系统漏洞扫描工具、系
统优化工具等。
国际上流行的防病毒软件
1.卡巴斯基
2,诺顿
3,NOD32
4,McAfee
卡巴斯基
卡巴斯基 (Kaspersky)杀毒软件来源于俄罗斯,
是世界上优秀的网络杀毒软件, 查杀病毒性能较高 。
卡巴斯基杀毒软件具有较强的中心管理和杀毒能力;
提供了各种类型的抗病毒防护解决方案:抗病毒扫描
仪, 监控器, 行为阻段和完全检验 。 它支持几乎是所
有的操作系统, E-mail通路和防火墙 。 卡巴斯基控制
所有可能的病毒进入端口, 它强大的功能和局部的灵
活性以及网络管理工具为自动信息搜索, 中央安装和
病毒防护控制提供了便利 。
诺顿
赛门铁克 (Symantec)的诺顿品牌是个人用
户安全和解决方案领域的全球零售市场的领导者 。
它通过无缝集成的产品, 保护个人计算机免受病
毒爆发或恶意黑客的攻击 。 全球 500强企业中的
454家和, 财富, 杂志 500强中的 489家企业都
在使用赛门铁克解决方案 。
NOD32
Eset公司的 NOD32是全球较为流行的防毒软件
之一, 产品深受用户欢迎 。 NOD32在准确度及速度上
均打破多项世界纪录 。 NOD32在全球共获得 40多个
奖项, 包括 Virus Bulletin,PC Magazine,ICS认
证, Checkmark认证等, 并且是全球唯一通过 26次
VB100% 测试的防毒软件 。 NOD32提供多种操作系
统 平台 的产 品, 包括 DOS, Windows9x/Me,
WindowsNT/XP/2000,Novell Netware Server、
Linux,BSD等 。
McAfee
McAfee防毒软件也是全球畅销的杀毒软件之一,
它能够自动监视系统, 自动侦测文件的安全性, 可使
用密码将个人的设置锁定, 能够对所有可能的病毒来
源进行默认监控, 包括软盘, CD-ROM,Internet下
载, 电子邮件附件, 已访问的服务器, 共享文件以及
在线服务等 。 一旦检测到病毒, 能够自动将其清除,
删除, 或者隔离起来, 以便进一步分析并找出病毒的
根源 。
国产反病毒软件
1,江民 KV系列
2,金山毒霸
3,瑞星杀毒软件
4,熊猫卫士
江民 KV系列
江民科技致力于研发和经营范围涉及单机, 网络反病
毒软件;单机, 网络黑客防火墙;邮件服务器防病毒软
件等一系列网络安全产品 。 江民 KV系列产品在单机版
防杀毒市场上占有一定优势, 在国内防杀毒业界保持着
一定的领先地位 。 江民系列产品的特点是:与操作系统
结合紧密, 节约系统资源, 不影响系统的稳定性和客户
的正常操作;其界面风格简洁, 可操作性强, 易于用户
的使用;在查毒率方面, 查杀压缩格式和加壳格式文件
的支持方面, 江民都表现得很出色 。
金山毒霸
金山公司是中国领先的应用软件产品和服务
供应商,其金山毒霸系列杀毒软件产品是国内较
有影响的防杀毒品牌之一。金山公司在积极推广
金山毒霸和金山网镖的同时,还积极推动反垃圾
邮件活动。金山毒霸的查杀毒速度快是其产品的
一大特点;在精细查毒方式下,其查毒率也较高;
金山毒霸可以对多种压缩格式进行病毒查杀;在
清除病毒方面,金山毒霸也有很好的表现。
瑞星杀毒软件
瑞星公司是从事计算机病毒防治与研究的专业软
件公司, 研制生产涉及计算机反病毒和信息安全相关
的系列产品, 开发基于多种操作系统的瑞星杀毒软件
单机版, 网络版, 企业级防火墙, 入侵检测, 漏洞扫
描等系列信息安全产品 。 瑞星杀毒软件具有智能反病
毒引擎, 对未知病毒, 变种病毒, 黑客木马, 恶意网
页程序, 间谍程序有快速查杀的能力, 并拥有及时便
捷的升级服务和技术支持 。
熊猫卫士
熊猫卫士是 Panda 软件公司在中国推出的
反病毒产品, 方正科技于 2002年初正式入资熊
猫中国, 成为熊猫软件国内的主要股东, 并成
为一个拥有核心本土技术的国际化厂商 。 熊猫
卫士可以抵御病毒, 蠕虫和特洛依木马, 防护
新的网络病毒的攻击, 如垃圾邮件, 间谍程序,
拨号器, 黑客工具和恶作剧 。
7.4 本章知识点小结
1 计算机病毒的特点与分类
(1)计算机病毒的发展
(2)计算机病毒的特性
(3)计算机病毒的分类
(4)计算机病毒的传播
(5)计算机病毒的机理
2 计算机病毒检查与清除
(1)网络病毒检查与清除方法
(2)宏病毒检查与清除方法
(3)典型病毒清除方法
7.4 本章知识点小结 ( 续 )
3 计算机病毒防治措施
(1)计算机病毒防治管理措施
(2)计算机病毒防治技术措施
(3)常用病毒防治软件简介