第七讲 病毒常见问题解答

第七讲

病毒常见问题解答本章目标 本章以问答的方式，将病毒的相关概念、特性、应付方法等内容融合在一起，通过本讲的学习，学员可以对病毒有了更全面的认识。2

所谓的杀病毒,就防毒软件而言有两种情况:

一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案)，这就是所谓的清除

一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒，这种状况就是采取的隔离措施为什么有些病毒清除不了（非运行中），只能隔离而不能清除？3

发现病毒时，防毒软件通常可以采取的措施有：清除隔离删除重命名通过（即不做处置） 如果客户怀疑自己的系统中感染了未知病毒，可以请他将可疑文件压缩成zip文件，并且在压缩时使用密码virus，然后发送至邮箱：virus_doctor@进行分析发现病毒时，防毒软件是怎么处理的？4

清除不了病毒的文件可能有以下两种情况：

该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施，因为文件中包含的只有病毒代码，不存在清除的问题。

病毒在感染文件时采取了一些特殊的方法，对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是，并不排除随着防病毒软件的改进而可以清除的可能。对于隔离区的清除不了病毒的文件，是否可以等到新的解药出来后，清除文件中的病毒就可以了？5

病毒码中包含的是病毒的具体特征，而扫描引擎就是使用这些特征对文件进行比对，以确定被扫描的文件是否为病毒。因此，理论上只要病毒码包含了相关病毒的特征，则该病毒即可被检测到。病毒码更新，扫描引擎不更新的话，会不会继续中病毒？6

造成这个问题是以下原因：在Windows操作系统下运行的程序，其执行的原始文件往往会处在一个受保护的状态，使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目，因此往往系统已启动木马已在系统中运行，造成防病毒软件无法对木马程序进行有效处理。为什么现在有很多木马程序杀不掉7

病毒的常见传播方式有：通过电子邮件通过网络共享通过点对点的文件共享软件以磁盘之类的介质各类病毒的传播方式？8

不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件，用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据，与通常的纯数据文件并没有什么差别，其本身并不具备执行的能力，因此并不会被检测，相应的该文件也不会被采取一些自动的措施进行处理。对于病毒清除后的残余文件，是否会随着病毒清除后自动删除？9

各防病毒厂商在对病毒的认定标准上存在一些细小的差异，导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说，如果一个程序在执行时需要客户认可其最终用户许可协议，趋势科技即不将其检测为病毒，而其他厂家则可能会检测该程序为病毒。为什么有时候有些防病毒软件认为一个文件是病毒，而有些防病毒软件却认为不是病毒？10

由于系统文件是操作系统的一部分，建议客户使用原始的操作系统安装盘恢复相应的文件。对于被隔离的病毒文件如果是系统文件的话，应该如何处理？11

修改系统时间确实可以阻止一些周期性发作的病毒的发作，但是并不是绝对可行。有些病毒由于其触发机制的复杂性，修改系统时间并不能完全阻止其发作。病毒发作有的有周期的，是否本机时间改掉就可以了？12

计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生于计算机与计算机之间。蠕虫、病毒的特征和区别？13

要视病毒具体感染的文件类型而定，宏病毒通常会感染Word文档文件以及Excel电子数据表文件；脚本病毒通常会感染网页类型文件；文件型病毒通常感染可执行程序，如exe文件。不同的病毒生成的文件是什么类型的14

碰到这种情况，请记录相关的文件名称，并使用原始的操作系统安装盘进行相关文件的恢复

如果遇到病毒感染了系统文件怎么办？如果删除了或者杀死病毒造成系统不稳定，但不想重新装系统，怎么解决？15

病毒是否具有潜伏期要视病毒的具体触发条件而定，只有那些触发条件是使用特定时间的病毒才具有潜伏期。哪些病毒有潜伏期的？16防病毒软件的作用是什么？清除

从被感染文件中清除病毒代码。隔离

加密无法清除的文件并将它存放到某个特定的位置，以避免该文件中的病毒代码的运行。删除

直接删除被感染的文件。17如何设置防病毒软件中的处理方式？当载体文件被PE病毒、宏病毒或脚本病毒感染时，清除功能可以将病毒从被感染文件中除去。如果恶意程序的类型是蠕虫、特洛伊木马或后门程序时，由于这一类型的病毒本身就是一个病毒程序，不会感染其他文件，因此需要备份的情况下，请采取隔离的方式，否则直接删除即可。18病毒会感染哪些文件？病毒只会感染程序文件或带有可执行代码的文件，任何支持可执行命令的文件格式都有可能被病毒感染。病毒不会感染纯粹的数据文件——只会破坏它们。尽管病毒能够成功的将指令插入这些文件中，它们相应的查看器或播放器只会将它们显示出来，而不会执行这些指令。19计算机的CMOS会被感染吗?不会。计算机的系统信息存在的区域一般是通过输入/输出（I/O）端口进行访问的，不能被直接访问。当然，恶意程序可以更改CMOS中的数据，但不会通过其传播。任何隐藏在CMOS中的病毒都会找机会去感染可执行体，然后将写在CMOS中的内容执行起来。20防病毒软件可能被病毒感染吗？ 是的，有这种可能性。防毒软件本身也是一种可能被病毒感染的可执行程序。因此，尽量使用可信的介质或防毒软件安装程序。21我该使用多少种防毒软件？ 如果你只是一个家庭用户，并且与其他用户的文件交换频率比较低的话，使用一种防毒软件就足够了。22什么是“正在流行”（in-the-wild)的病毒？相对于某些已经被控制，只在实验室里才有的病毒而言，有些病毒是在真实的系统中存在的、是在正在传播的。一般来说，一段已经被公布出来的病毒程序，但并没有真正的流行的话，我们不称其为“正在流行”（inthewild)病毒。23什么叫companion病毒？companion病毒是指病毒并不修改被感染的文件，而是创建一个新的文件。当用户执行原先的程序时，病毒程序就会被调用。当病毒程序退出时，再执行原程序，给用户造成一种正常的假象。某些只检查现有文件的完整性（是否被改动）的防毒软件可能会检测不到这种病毒。24什么是黑客程序？纯粹的黑客程序（也称远程访问木马程序）是一种客户机——服务器式的程序，目的是破坏系统的安全。通常，服务器端程序是被植入的，就象别的特洛伊木马程序一样，而且往往带有蠕虫的特点，更有利于其传播。服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。25什么是分区表？软盘有分区表吗？分区扇区，又称主引导记录，是硬盘物理上的第一扇区(track0,head0,sector1)

。通常包含了分区表，硬盘的一些信息和一个小程序。分区表是一个64字节的数据结构，定义了计算机硬盘如何划分为多个逻辑硬盘。软盘没有分区表。26FDISK/MBR命令有什么作用？

FDISK/MBR会清除主引导区记录。一般来说不一定会更改分区信息，但对普通用户而言，通常会造成严重后果。如果主引导区记录的最后两个字节不是55AA的话，FDISK/MBR这条命令会删除分区表中的数据。如果你对分区表没有足够的认识的话，请不要轻易使用FDISK/MBR命令，因为你会丢失数据。27如何清除主引导区中的病毒？有两种方法：使用防毒软件或者运行FDISK/MBR命令。大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑运行FDISK/MBR。但是除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行FDISK/MBR命令后，你有可能无法访问硬盘上的数据。28重新格式化硬盘可以清除引导区病毒吗？不一定。格式化（FORMAT）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。29引导型病毒可以感染非引导盘吗？可以。所有格式化过的磁盘都可以携带引导型病毒，因为任何正确格式化过的DOS磁盘在引导扇区内（可启动的或不可启动的）都有可执行代码，导致可以被病毒感染。30使用DIR命令会感染我的系统吗？使用DIR命令不会感染一个“干净的系统”，即使所浏览的目的磁盘上有病毒也没关系。但是如果你的计算机已经感染了病毒，该命令有可能使“干净”的磁盘感染上病毒。31将文件的属性设为只读可以保护其不被病毒感染吗？一般来说，不会。只读属性只会防住少数病毒，大部分病毒还是会通过覆盖的方式感染文件的。

因此，虽然将可执行文件的属性设为只读是个好主意（可以防止误操作）但从防病毒角度讲，没什么大用。32写保护可以防止病毒感染吗？一般来说，可以。在IBMPC（和某些兼容机）上的写保护装置可以很好的保护不受病毒的干扰。因为写保护是基于硬件的。而病毒只是一个程序，是软件，不可能违背一些通用的规则。如果启用了写保护的软盘在被感染病毒的系统里使用，它也不会被感染。33DOS病毒会在Windows环境下工作吗？绝大多数的DOS病毒不能在Windows环境下运行，但是有一小部分可以（在限制的条件下）。总的来说，以Windows专用内存方式运行的系统要比纯DOS对病毒的抵抗性能要好。这是因为许多病毒与Windows的内存管理方式不兼容。进一步讲，大部分现存的病毒如果想要通过以前的方式来感染EXE文件的话，将会破坏这些Windows程序。但是许多仅感染COM文件的病毒在Windows提供的虚拟DOS环境下就会很好的运行。34什么是cavity病毒？cavity病毒是指病毒会覆盖目标文件中的某些部分（通常是空数值），通过这种方式将自己隐藏在目标文件中，而不增加文件的长度。35在阅读电子邮件和浏览新闻组时会中毒吗？绝大多数情况下，恶意程序只有当其中的可执行代码被运行才会被激活。有些电子邮件程序会自动执行邮件中所带的可执行代码，例如JavaScript,Word宏语句等。在这种情况下，如果其中的代码是恶意的话，病毒就会感染系统，因此强烈建议禁用自动执行的特性。36如果我的MS

Word关着还会感染Word宏病毒吗？关于各个程序的宏病毒只会在自身程序中才能被执行，因此如果Word程序关着，Word宏病毒是不会被执行起来的（别的相应的各个程序的宏病毒也是如此）。37什么是CARO和EICAR？什么是EICAR测试文件？CARO(ComputerAntivirusResearchOrganization)计算机防病毒研究组织是计算机防病毒领域的研究者，许多成员是来自防病毒厂商。EICAR(EuropeanInstituteforComputerAntivirusResearch)欧洲防病毒研究协会是由学院，商业协会，媒体政府机构等一起组成的一个团体，主要成员有网络安全专家，法律专家等。这个组织致力于控制计算机病毒和计算机资源的滥用。同时也是EICAR测试文件的提供者。EICAR测试文件是一个用来测试防毒软件的文件。使用该文件就可以不必使用真正的病毒来实验了。38什么是实时扫描？实时扫描是防毒软件的一种处理方法。当您访问任何一个文件的时候，这些文件都会先被防毒软件扫描，这种扫描是基于后台的，并不为用户所察觉，在这种情况下，任何恶意程序在执行或打开的时候，都会被事先扫描到。39什么是完整性检查？完整性检查会去检查一个文件的校验和或者哈希值，以此来判别文件是否被改动过。这种技术可以对文件的任何改动做出判断，不管是已知的或是未知的病毒都可以适用，因为这是通用的检查。另外，除了病毒以外的别的任何改动也可以被查出来。通常情况下，可以让用户来判断哪种情况是有意的，哪种是由于病毒的原因造成的，某些产品提供了相关的帮助来协助用户做相应的判断。40什么是启发式扫描？启发式扫描通过检查可执行程序的代码来查找可能存在的未知病毒。通常有一系列的规则可以用来参考，当相关的条件满足时会发出警报。有些防毒软件用这种技术来补充基于字符串匹配的扫描方式（查找已知病毒），以便更好的查到未知病毒。这种扫描方式并不是非常可靠，有时候会产生误报，在完整性检查的软件