计算机病毒的概念特征与防范

计算机安全技术基础第六讲计算机病毒的概念、特性与防备计算机病毒的产生计算机病毒的定义和特性计算机病毒的构成及状态计算机病毒的工作原理计算机病毒分类病毒检测的办法计算机病毒的传输途径计算机病毒发展的重要动向计算机传输蔓延的重要因素计算机病毒的防治方略计算机病毒的产生出名的数学家、计算机的创始人冯.诺依曼早在40数年前就指出，一部事实上足够复杂的机器含有复制本身的能力。冯.诺依曼提出的这种可能性，最早是在科幻小说中出现的1975年，美国科普作家约翰.布鲁勒尔写了一本名为“震荡波骑士”的书，在该书中，作者第一次描述了信息社会，并且计算机作为正义和邪恶双方斗争的工具，使之成为当年最佳畅销书之一在1977年夏天，托马斯.捷瑞安的科幻小说“P-1的春天”描写了一种能够在计算机中互相传染的病毒，病毒最后控制了7000台计算机，造成了异常灾难计算机病毒的产生1983年，程序自我复制机制秘密被公开，同年11月，美国计算机安全专家FredCohen在美国一次“计算机安全每七天会议”上，将含有自我复制能力且寄生于其它程序之上的“活的”计算机程序编码实现的可能性问题提出来之后，伦.艾德勒曼将其取名为计算机病毒FredCohen通过在VAX／750机上持续8个小时的实验之后，将一种攻击VAX／750机的计算机病毒制造出来，从而成为世界上第一例在公开场合下进行病毒实验的事件计算机病毒的产生1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系硕士，23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内造成因特网堵塞。这个网络连接着大学、研究机关的155000台计算机，使网络堵塞，运行缓慢1988年下六个月，我国在统计局系统初次发现了“小球”病毒，它对统计系统影响极大。计算机病毒的产生继小球(PingPong)病毒之后，随之又出现了大麻(stone)、巴基斯坦(brain)、黑色星期五(jerusalem)、磁盘杀手(diskkiller)、杨基都督(yankeedodle)、雨点(1701)、毛毛虫(1575)等。当时在全国约有75%的计算机染有病毒1993年开始，计算机病毒一改原有的体现形式，悄悄地侵入计算机系统，神出鬼没地进行感染，典型代表就是“幽灵”病毒1995年，一种新型的计算机病毒即宏病毒出现计算机病毒的产生1998年，我国发现了一种CIH的恶性计算机病毒，这种病毒是我国迄今为止发现的首例直接攻击、破坏硬件系统的计算机病毒。这种病毒可通过软件之间的互相拷贝进行传染，亦可通过互联网络传输文献时进行传染1999年，一种叫BO黑客病毒开始在我国互联网Chinanet传输，计算机一旦感染这种病毒，则整个系统在网上暴露无疑。因此，也称这种病毒为“后门”病毒蠕虫病毒搭乘伊拉克战争快车

3月24日，新蠕虫病毒“Ganda”出现了.该病毒以邮件附件的形式传输，病毒将本身组件嵌入在Win32PE可执行文献中，并极力避开反病毒软件的检测。该病毒进入系统后，一旦发现virus,firewall,fsecure,symantec,mcafee,pc-cillin,trendmicro,kaspersky,sophos,norton等字符的进程（这些都是出名的反病毒软件），将立刻中断该进程，先发制人把反毒软件干掉。反病毒软件失效后，该病毒就能够顺利逃避反病毒软件的检测蠕虫病毒搭乘伊拉克战争快车"Ganda"蠕虫病毒是在伊拉克战争暴发时传输的，病毒会用许多与伊拉克战争有关的邮件主题吸引大家的爱好，譬如：一张但愿终止间谍侦察行动”的动画。一种有关乔治.布什的屏保，一副执行特殊侦察任务的美国的某侦察卫星的特写镜头等。病毒运用这些手段，诱使你打开附件中招计算机病毒的定义“计算机病毒”一词是人们借用了生物学“病毒”这一术语，来描述那些含有明显生物病毒特性并对计算机信息系统进行破坏的“病原体”计算机病毒是隐藏在计算机系统的数据资源中，运用系统资源进行繁殖并生存，能够影响计算机系统正常运行并通过系统数据资源共享的途径进行传染的程序。这种计算机病毒程序普通要在计算机系统内，经历重复一自我繁殖和扩散，使计算机系统出现异常，最后造成计算机系统发生故障，甚至瘫痪。由于这种程序的特性和所经历的过程与生物病毒极为相似，因此人们称它为“计算机病毒”计算机病毒的特性“计算机病毒”不是天然存在的，而是人故意编制的一种特殊的计算机程序。这种程序含有以下特性：感染性流行性繁殖性变种性潜伏性针对性体现性感染性计算机病毒能够从一种程序传染到另一种程序，从一台计算机到另一台计算机，从一种计算机网络到另一种计算机网络或在网络内各个系统上传染、蔓延，同时使被感染的程序、计算机、网络成为计算机病毒的生存环境及新的传染源流行性一种计算机病毒出现之后，能够影响一类计算机程序、计算机系统、计算机网络，并且这种影响在一定的地区内或者一定的应用领域内是广泛的繁殖性计算机病毒在传染系统之后，能够运用系统环境进行繁殖或称之为自我复制，使得本身数量增多变种性计算机病毒在发展、演化过程中能够产生变种潜伏性计算机病毒在感染计算机系统后，感染条件满足前，病毒可能在系统中没有体现症状，不影响系统的正常使用针对性一种计算机病毒并不是能感染全部的计算机系统或程序，如：有的感染IBMPC及兼容机的，有感染APPLEII微机的，有感染COMMAND.COM或EXE。体现性计算机病毒感染系统后，被传染的系统在病毒体现及破坏部分被触发时，体现出一定的症状，如：显示屏异常、系统速度慢、文献被删除、死机等。计算机病毒的构成计算机病毒代码的构造普通来说涉及3大功效模块：引导模块传染模块破坏模块引导模块引导模块将病毒由外存引入内存，使后两个模块处在活动状态。传染模块传染模块显然用来将病毒传染到其它对象上去

破坏模块破坏模块实施病毒的破坏作用，如删除文献，格式化磁盘等由于有些病毒的该模块并没有明显的恶意破坏作用，而只是进行某些视屏或声方面的自我体现作用，故该模块有时又称体现模块计算机病毒的状态计算机病毒有两种状态，即静态病毒和动态病毒。静态病毒没有处在加载状态，不能执行病毒的传染或破坏作用。病毒的传染和破坏重要是由动态病毒进行的。内存中处在活动状态的病毒时该监视系统的运行，一旦传染条件或破坏条件被触发，即调用其传染代码段或破坏代码段，使病毒得以扩散，系统蒙受损失计算机病毒的工作原理计算机病毒传染的过程是这样的：病毒从带毒载体进入内存，普通运用操作系统的加载机制或引导机制。当系统运行一种带毒文献或用一带毒系统盘启动时，病毒就进入内存。而从RAM侵入无毒介质则运用了操作系统的读写磁盘中断或加载机制。内存中的病毒时刻监视着操作系统的每一种操作，一旦该操作满足病毒设定的传染条件(普通为访问一无毒盘或加载一无毒文献等)，病毒程序便将本身代码拷贝到受攻击目的上去，使之受传染计算机病毒的工作原理病毒传染都是运用其本身的传染机制实现的，是病毒的主动攻击；普通见到的尚有另一种传染，例如，把一种带毒的文献拷贝到一新盘上去或对一种带毒盘作全盘拷贝都会使新盘受到传染，这种传染是一种被动传染，这期间病毒的传染机制并没起作用。主动传染和被动传染在效果上是等效的，但后者的成功取决于顾客对病毒的存在不知不觉计算机病毒的传染过程驻入内存。病毒停留在内存中，监视系统的运行，选择机会进行传染。这一步普通由引导模块实现，如没引导模块，则这一步也不会有判断传染条件。传染模块被激活后，会立刻对攻击目的进行判断，以决定与否传染之。传染。通过适宜的方式把病毒写入磁盘，同时确保被攻击的对象（引导统计、原执行文献）仍可正常运行，即进行的是传染而非破坏，由于病毒要以一种特洛伊木马的形式寄生。计算机病毒分类病毒存在的媒体病毒破坏的能力病毒特有的算法

病毒存在的媒体根据病毒存在的媒体，病毒能够划分为:网络病毒、文献病毒和引导型病毒。网络病毒通过计算机网络传输感染网络中的可执行文献文献病毒感染计算机中的文献(如:com,exe,doc等）引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)尚有这三种状况的混合型，例如：多型病毒(文献和引导型)感染文献和引导扇区两种目的，这样的病毒普通都含有复杂的算法，它们使用非常规的方法侵入系统，同时使用了加密和变形算法病毒破坏的能力根据病毒破坏的能力可划分为下列几个：无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、去除系统内存区和操作系统中重要的信息病毒特有的算法根据病毒特有的算法，病毒能够划分为随着型病毒“蠕虫”型病毒寄生型病毒随着型病毒这一类病毒并不变化文献本身，它们根据算法产生EXE文献的随着体，含有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的随着体是XCOPY.COM。病毒把本身写入COM文献并不变化EXE文献，当DOS加载文献时，随着体优先被执行到，再由随着体加载执行原来的EXE文献"蠕虫"型病毒通过计算机网络传输，不变化文献和资料信息，运用网络从一台机器的内存传输到其它机器的内存，计算网络地址，将本身的病毒通过网络发送。有时它们在系统存在，普通除了内存不占用其它资源寄生型病毒除了随着和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文献中，通过系统的功效进行传输,按算法分为：练习型病毒诡秘型病毒变型病毒练习型病毒病毒本身包含错误，不能进行较好的传输，例如某些病毒在调试阶段。诡秘型病毒它们普通不直接修改DOS中断和扇区数据，而是通过设备技术和文献缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。运用DOS空闲的数据区进行工作。变型病毒又称幽灵病毒,这一类病毒使用一种复杂的算法，使自己每传输一份都含有不同的内容和长度。它们普通的作法是一段混有无关指令的解码算法和被变化过的病毒体构成。病毒检测的办法在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，能够减少损失。检测病毒办法有：特性代码法校验和法行为监测法软件模拟法这些办法根据的原理不同，实现时所需开销不同，检测范畴不同，各有所长特性代码法特性代码法被早期应用于SCAN、CPAV等出名病毒检测工具中。国外专家认为特性代码法是检测已知病毒的最简朴、开销最小的办法。特性代码法的实现环节以下：采集已知病毒样本，病毒如果既感染COM文献，又感染EXE文献，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。在病毒样本中，遵从一定的原则抽取特性代码。打开被检测文献，在文献中搜索，检查文献中与否含有病毒数据库中的病毒特性代码。抽取特性代码的原则抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适宜长度，首先维持特性代码的唯一性，另首先又不要有太大的空间与时间的开销。如果一种病毒的特性代码增加一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特性代码长度短些，以减少空间与时间开销特性代码法的优缺点特性代码法的优点是：检测精确快速、可识别病毒的名称、误报警率低、根据检测成果，可做解毒解决。其缺点是：不能检测未知病毒、收集已知病毒的特性代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。特性代码法的特点速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特性代码逐个检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。这类工具检测的高速性，将变得日益困难。误报警率低。不能检查多态性病毒。特性代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特性代码法的索命者。不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文献中的病毒代码剥去，检测工具确实是在检查一种虚假的“好文献”，而不能报警，被隐蔽性病毒所蒙骗校验和法将正常文献的内容，计算其校验和，将该校验和写入文献中或写入别的文献中保存。在文献使用过程中，定时地或每次使用文献前，检查文献现在内容算出的校验和与原来保存的校验和与否一致，因而能够发现文献与否感染，这种办法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特性代码法之外，还纳入校验和法，以提高其检测能力。校验和法的局限性不能识别病毒类，不能报出病毒名称。由于病毒感染并非文献内容变化的唯一的非他性因素，文献内容的变化有可能是正常程序引发的，因此校验和法经常误报警。并且此种办法也会影响文献的运行速度校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法被骗，对一种有毒文献算出正常校验和校验和法查病毒的方式在检测病毒工具中纳入校验和法，对被查的对象文献计算其正常状态的校验和，将校验和值写入被查文献中或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功效，将文献正常状态的校验和写入文献本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文献中预先保存的校验和。行为监测法运用病毒的特有行为特性性来监测病毒的办法，称为行为监测法。通过对病毒数年的观察、研究，有某些行为是病毒的共同行为，并且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立刻报警。做为监测病毒的行为特性以下：占有INT13H改DOS系统为数据区的内存总量对COM、EXE文献做写入动作病毒程序与宿主程序的切换占有INT13H全部的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。普通引导型病毒都会占用INT13H功效，由于其它系统功效未设立好，无法运用。引导型病毒占据INT13H功效，在其中放置病毒所需的代码。改DOS系统内存总量

病毒常驻内存后，为了避免DOS系统将其覆盖，必须修改系统内存总量。写入动作

病毒要感染，必须写COM、EXE文献。病毒程序与宿主程序的切换

染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特性行为行为监测法的优缺点行为监测法的优点：可发现未知病毒、可相称精确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度计算机病毒的传输途径通过软盘：通过使用外界被感染的软盘进行传输。通过光盘：某些软件在写入光盘前就已经被病毒感染，这种带毒的光盘也是病毒传输的一种途径。通过硬盘：通过使用带有病毒的计算机，将干净的软盘或光盘感染再进一步扩散。通过网络：通过网络传输病毒是现在病毒传输的一种重要途径。其传输速度快，传输范畴广，给防备计算机病毒带来严峻的挑战计算机病毒发展的重要动向病毒的多形化。这类病毒可使以往的搜索病毒程序失去搜索效能，经常产生漏杀现象；病毒产生的自动化。“病毒生产机”的出现，造成了“同族”病毒数量巨增，增加了反病毒的难度；病毒的智能化。将来的病毒将通过变化本身代码来对抗反病毒产品，这种变形技术，是智能化病毒的首要基本特性；病毒的政治化。将来的病毒将成为国际恐怖活动重要手段之一，通过病毒诈骗、讹诈，实施政治及人身攻击等；病毒的军用化计算机传输蔓延的重要因素计算机系统硬件和软件的脆弱性人为因素

计算机系统软硬件的脆弱性当代计算机系统，特别是微机系统是安全性、开放性及制造成本的一种折中。同时，就软件环境而言，计算机操作系统又是通过数年开发研制成功的，是在不停应用的过程中逐步成熟的，是在实际应用中发现问题、解决问题进而得以完善的，因此操作系统在一定程度上存在“漏洞”。正是这种硬件的折中和操作系统的不尽完善使得计算机本身在安全方面必然存在着脆弱性。无疑，这种脆弱性是当今计算机病毒蔓延的重要因素人为因素安全意识淡薄，安全制度不健全。安全技术防备方法单薄，系统安全防御能力不强。病毒的种类和花样不停增多和翻新，计算机系统将面临更严峻的考验计算机病毒的防治方略计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判

计算机病毒的防治方略防毒是指根据系统特性，采用对应的系统安全方法防止病毒侵入计算机。查毒是指对于拟定的环境，能够精确地报出病毒名称，该环境涉及，内存、文献、引导区(含主导区)、网络等。解毒是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象涉及：内存、引导区（含主引导区）、可执行文献、文档文献、网络等防毒能力防毒能力是指防止病毒侵入计算机系统的能力。通过采用防毒方法，应能够精确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网（涉及FTP方式、E-MAIL、HTTP方式）或其它形式的文献下载等多个方式进行的传输；能够在病毒侵入系统时发出警报，统计携带病毒的文献，即时去除其中的病毒；对网络而言，能够向网络管理员发送有关病毒入侵的信息，统计病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源查毒能力查毒能力是指发现和追踪病毒来源的能力。通过查毒应当能精确地发现计算机系统与否感染有病毒，并精确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评判。解毒能力解毒能力是指从感染对象中去除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判病毒检测软件的作用原理计算机病毒检测软件，普通从三个方面起作用，有效检测带毒文献。1．严密监控内存RAM区2．监控磁盘引导扇区严密监控内存RAM区对RAM的监控重要涉及三个方面：（1）跟踪内存容量的异常变化内存容量由内存0000:004BH处的一种字单元来表达。正常状况下，该处的一种字表达以K为单位的内存容量。例如，如果内存容量为512K，则该字的内容为0200H，如果内存容量为640K，则该字的内容为0280H。由于系统型的病毒在侵入系统后，普通都要对内存容量进行修改，方便保护其放在内存高端的病毒程序不被其它程序或COMMAND.COM文献的暂驻部分所覆盖。因此，如果软件检测到内存容量发生了某些异常变化，普通是容量被无端占用，大幅度缩容，则表明有病毒存在。严密监控内存RAM区（2）对中断向量进行监控、检测（3）对RAM区进行扫描运用检测软件中所储存的大量病毒特性值，对RAM区中的全部字符串进行扫描。如果发现RAM中的某些字符串与已知病毒的特性值字符串相似，则表明内存中己驻留了这种病毒，应立刻采用方法。监控磁盘引导扇区系统型病毒重要维护引导扇区，对引导扇区的严格监控，能够有效检测出系统型病毒。（1）代码和有变，则可能有病毒感染由DOS的多个版本格式化后磁盘引导扇区的内容都是固定的，因此其代码和也是固定的。检测软件在求出代码和后，如果发现其成果与DOS版本的正常代码不一致，就能够初步拟定被检测的磁盘引导扇区被病毒所感染。此办法有其局限性，普通它需结合其它办法才干做出最后判断。监控磁盘引导扇区（2）扫描引导扇区的全部字符串若发现有病毒特性值字符串出现，则能够鉴定有病毒存在于引导扇区。（3）全方位扫描磁盘文献检测软件对系统中的全部文献进行扫描，查找病毒特性值字符串，以拟定与否有病毒被检测出。显然，它是针对文献型病毒的一种作用方式。病毒消除软件的作用原理病毒消除软件必须包含两方面的功效:病毒检测病毒消除。定量检测及分析病毒即使对于病毒的检测已有专门的软件能够完毕，但是，这些专门用于病毒检测的软件只是对检测目的进行了扫描，也就是定性地检测。而在具体进行消除之前，必须对被感染的目的进行定量的检测分析，这是由于即使是同一病毒对不同的目的（不同的磁盘或不同的文献）感染的成果也是不完全相似的。在消除之前首先对被感染的目的进行一次具体的检测分析，才干对具体的感染目的进行对的的杀毒。病毒的去除病毒去除模块重要完毕将被感染目的上的病毒程序进行去除，使该被感染目的恢复原有的构造。具体地说，对于被系统型病毒感染的磁盘，重要是对磁盘原引导扇区的内容重新写回；而对于被文献型病毒感染的磁盘文献，则是将其中的病毒程序删除，同时恢复原文献中被修改的部分。但是，由于病毒程序是复杂的，对于将其中被某些病毒感染的目的来说，要想将病毒程序从其中完全去除是比较困难的。对于这种状况，消除软件对被感染的目的进行一定的修改，使病毒程序失去其传染性和破坏性，也不失为一种可行的方法。病毒防止软件的作用原理病毒防止软件又称为病毒报警软件，它必须在系统启动时尽量早地装人内存以发挥监控作用。它监视系统运行时的任何异常的举动，一旦发现有病毒侵入的迹象，即进行报警，提示顾客及时解决。所谓异常举动重要是指病毒在侵入系统时对系统所进行的多个非法修改操作。普通状况下，监视系统的异常举动，重要从三个方面来进行。监视特定的中断向量对于系统型的计算机病毒来说，在侵入系统时，普通都要对中断向量INT13H、INT8以及INT1CH等进行修改，对于文献型病毒则普通除对以上几个中断进行修改外，还要对中断INT21H进行修改，病毒程序让这些中断向量指向病毒程序的传染模块，由于这些中断功效调用都是系统运行时经常使用的中断功效调用，病毒程序修改它们后来，就使得病毒程序的传染模块处在激活状态，方便在适宜的时候进行传染。由于这样的因素，病毒报警软件在系统运行期间，就要随时监视这些中断向量地址与否被修改，在发现某一中断向量地址被修改时，立刻报警。监视写引导扇区的操作由于系统型的计算机病毒在进行传染时，重要是将病毒程序的一部分写入磁盘引导区或硬盘的主引导扇区，而磁盘引导扇区或硬盘主引导扇区普通状况下是不允许被进行写操作的。因此报警软件在系统运行期间，只要发现系统运行时出现引导扇区发生写操作，即进行报警，以制止计算机病毒的传染。监视写可执行文献的操作对于文献型的计算机病毒，在传染目的文献时，普通是将病毒程序采用链接的办法写入可执行文献的.EXE和.COM文件中，而对于普通的应用软件来说，在运行期间普通不可能对可执行文献进行写操作，因此病毒报警软件在系统运行时，如果检测到系统有对可执行文献进行写操作的企图，则表明有病毒试图感染系统，能够报答方便提示顾客，及时避免。防病毒卡的作用原理杀毒软件的原理决定了当一种新病毒出现时，必须由反病毒技术人员对新病毒样本进行分析，拟定特性值和编制对应的杀毒程序，通过对老版本杀毒软件的升级，才干杀除新病毒。因此杀毒软件对抗新病毒总有一定的滞后性，于是90年代我国计算机工作者发明了一种能在一定程度上对抗新病毒的反病毒产品—防病毒卡。防病毒卡的原理所谓防病毒卡是通过分析大量已知病毒，根据它们的机理、传染和破坏行为的共同规律特性分成若干类群体，在此基础上编制成监视病毒共性的防病毒程序，固化到EPROM存储器中做成防病毒卡。当防病毒卡监测到病毒行为时，就认为内存中有病毒在活动发出报警，采用某些方法尽量终止内存病毒的活动，避免病毒传染和破坏。在某些状况下，防病毒卡监视到硬盘主引导区、DOS引导区、FAT表以及可执行文献等的重要部位有可能被修改，但不能必定是病毒行为，就采用疑问式报警提示顾客注意，由顾客判断正当性，回答YES或NO表达同意或不同意修改。防病毒卡的特点防病毒卡对病毒的检测不依赖病毒的个性特性，而是根据已知病毒群体的共同行为，因此能够防治新病毒的出现，即没有原理性发展的新病毒。仍以引导型病毒为例，如果新病毒在占用内存、传染途径等方面找不到新路子，仍然占据常规内存高端，仍旧修改INT13，则不管病毒的磁盘统计发生任何变化，从而形成多个新病毒，但它们进入内存后只但是是“故伎重演”，就都能被防病毒卡检测出来。因此防病毒卡的重要特点是能够防治没有原理性突破的新病毒。防病毒卡的特点防病毒卡作为一种扩展计算机功效的硬件产品，含有某些突出的“硬”特点。在计算机上电过程中，扩展硬卡先于磁盘系统启动，使反病毒系统优于一切磁盘病毒完毕初始化，既能有效地拦截开机过程中的引导型病毒，又能预先建立防治文献型病毒的体系。硬卡的工作含有实时性，从开机上电直到关机，计算机系统始终处在硬卡的监视下，并且不占用计算机RAM内存。硬卡本身是完全免疫的，病毒不可能攻击变化硬卡上的反病毒系统。这些“硬”特点是磁盘软件不可能实现或者很难实现的。防病毒卡的局限性但另首先不能把防病毒卡的功效无限扩大，由于防病毒卡所能检测的病毒共性同样是设计人员对已知病毒的分析得来的。如果新病毒采用了新的机理，从而产生防病毒卡检测不到的传染破坏行为，防病毒卡就会“漏报”病毒。在防病毒卡发展史上最出名的漏报事件是DIR2病毒，90年代初设计的防病毒卡重要靠监视INT21中断来鉴别病毒，但1992年出现的DIR2病毒并不修改INT21就达成传染目的，因此当时的防病毒卡没能防得住DIR2病毒。体现为病毒已经进入内存并传染文献，而防病毒卡却无反映。防病毒卡的局限性防病毒卡的重要局限性是只防病毒不杀病毒，防病毒卡报告的去除病毒是指内存中的动态病毒，对磁盘上的静态病毒则无能为力。当使用染毒磁盘时，防病毒卡即使能发现病毒并报警，磁盘上的病毒也是“安然无恙”。而顾客的规定恰恰是消除磁盘病毒，因此能够说没有杀毒功效的纯防病毒卡不能构成完整的反病毒系统。另外防病毒卡的工作原理是先让病毒进入计算机内存，再根据其行为进行鉴定，因此造成计算机“带毒运行”，对计算机是不安全的。防病毒卡还存在“误报”问题，即在没有病毒状况下防病毒卡判断为有病毒活动。防病毒卡的局限性防病毒卡曾为对抗病毒，减少顾客损失发挥了重要作用，但防病毒卡已经结束其使命退出反病毒舞台。究其因素，并不是技术问题，而重要是下列两方面的因素。一是顾客变化造成的。90年代早期计算机顾客大多是计算机专业人员，他们对计算机及防病毒卡的认识较深，安装防病毒卡也较容易。但时至今天，计算机顾客大多是非专业人员，他们认为杀毒才是反病毒之根本，而防病毒卡侧重防止病毒恰恰不含有彻底杀毒功效。二是市场竞争造成的。由于防病毒卡的最大致命弱点是与计算机软硬件的兼容性问题。今天计算机软硬件发展飞速，反病毒厂家集中大量人力财力解决防病毒卡的兼容性问题与做反病毒软件相比，投人产出比相差太大。这样厂家为适应市场竞争需要，弃“硬”投“软”。计算机网络安全方略从管理的角度，能够从下列几个方面来防治计算机病毒一级提高网络安全：系统管理员要加强对系统的安全检测和控制能力，检测安全漏洞及配备错误，对已发现的系统漏洞，要立刻采用方法进行升级、改造，做到防微杜渐。加强安全管理。在确保正当顾客的正当存取的前提下，本着最小授权的原则设立属性和权限，加强网络访问控制，做好顾客上网访问的身份认证工作，对非法入侵者以物理隔离方式，可阻挡绝大部分黑客非法进入网络。集中监控。对网络实施集中同一管理和集中监控机制，建立和完善口令使用和分级管理制度，重要口令由专人负责，从而避免内部人员越级访问和越权采集数据。计算机网络安全方略多层次防御和部门间的物理隔离。能够在防火墙的基础上实施对不同部门之间的由多级网络设备隔离的小网络，根据信息源的性质，尽量对公众信息和保密信息实施不同的安全方略和多级别保护模式要随时跟踪最新网络安全技术，采用国内外先进的网络安全技术、工具和产品。同时，一旦防护手段失效，要有先进的系统恢复、备份技术。总之，只有把安全管理制度与安全管理技术手段结合起来，整个网络系统的安全才有确保，网络破坏活动才干被阻挡于门户之外。建立良好的电脑使用习惯。涉及不要使用盗版软件、尽量使用硬盘开机、启动盘一定要确保为写保护状态、使用防毒产品检查外来的文档、养成备份资料的好习惯、配备真正有效的防毒产品、勿收来历不明的电子邮件附件、不访问内容不健康的网站。几个典型的病毒Word宏病毒CIH病毒“爱虫”病毒红色代码病毒“蠕虫王”病毒Word宏病毒MicrosoftWord中对宏定义为："宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。"Word宏病毒是某些制作病毒的专业人员运用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口，专门制作的一种或多个含有病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过DOC文档及DOT模板进行自我复制及传输宏病毒的特点传输极快制作、变种方便破坏可能性极大传输极快Word宏病毒通过DOC文档及DOT模板进行自我复制及传输，而计算机文档是交流最广的文献类型。数年来，人们大多重视保护自己计算机的引导部分和可执行文献不被病毒感染，而对外来的文档文献基本是直接浏览使用，这给Word宏病毒传输带来诸多便利。特别是Internet网络的普及，E-mail的大量应用更为Word宏病毒传输铺平道路。制作、变种方便Word使用宏语言WordBasic来编写宏指令。宏病毒同样用WordBasic来编写。现在，世界上的宏病毒原型已有几十种，其变种与日骤增，追究其因素还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute-Only解决函数解决，它们仍处在可打开阅读修改状态全部顾客在Word工具的宏菜单中很方便就能够看到这种宏病毒的全部面目。固然会有"不法之徒"运用掌握的Basic语句把其中病毒激活条件和破坏条件加以变化，立刻就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重破坏可能性极大鉴于宏病毒用WordBasic语言编写，WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE、DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例宏病毒的共性宏病毒会感染DOC文档文献和DOT模板文献病毒宏的传染大多数宏病毒中含有AutoOpen，AutoClose，AutoNew和AutoExit等自动宏病毒宏中必然含有对文档读写操作的宏指令宏病毒在DOC文档、DOT模板中是以BFF（BinaryFileFormat）格式寄存CIH病毒介绍CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。它产自台湾，最早随盗版光盘在欧美等地广泛传输，随即进一步通过Internet传输到全世界各个角落。现在传输的重要途径是通过Internet和电子邮件。CIH病毒只感染Windows95/98操作系统，对DOS操作系统似乎还没有什么影响，这可能是由于它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。CIH病毒介绍CIH病毒每月26日都会暴发(有一种版本是每年4月26日暴发)。CIH病毒发作时，首先全方面破坏计算机系统硬盘上的数据，另首先对某些计算机主板的BIOS进行改写。BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒CIH病毒，"原体"加"变种"一共有5种之多，CIH病毒"变种"不仅不增加受感染文献，尚有很强的破坏性，这个病毒有3个重要变种(CIHv1.2：4月26日发作，CIHv1.3：6月26日发作，CIHv1.4：每月26日发作)CIH病毒发作现象攻击BIOS覆盖硬盘攻击BIOSCIH病毒最异乎寻常之处，是它对计算机BIOS的攻击。打开计算机时，BIOS首先获得系统的控制权，它从CMOS中读取系统设立参数，初始化并协调有关系统设备的数据流。CIH发作时，会试图向BIOS中写入垃圾信息，BIOS中的内容会被彻底洗去，造成计算机无法启动，只有更换主板或BIOS。据测试发现CIH能够破坏市面上常见的数十种BIOS。从这个角度上看，CIH病毒是首例直接攻击和破坏计算机硬件系统的病毒，会给众多的计算机顾客带来摧毁性的结局覆盖硬盘向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时，调用BIOSSendCommand直接对硬盘进行存取，将垃圾代码以2048个扇区为单位循环写入硬盘，直到全部硬盘(含逻辑盘)的数据均被破坏为止CIH病毒修复方法对于已经被CIH破坏的硬盘,能够作下列解决：第一种逻辑盘普通是C:盘，普通不可完全恢复，但是如果使用Kill98制作过应急盘，能够用Kill98应急盘中保存的主引导区统计、分区表统计恢复硬盘，找回大部分文献。其它逻辑盘只要不是FAT32，能够用NDD之类的磁盘工具或用Kill98应急盘恢复，但需要使用者对硬盘的物理构造有足够的理解。FAT32分区的逻辑盘的解决需要对FAT32构造含有进一步理解的专业人员用Debug等工具手工进行恢复CIH病毒修复方法对于被CIH破坏的主板,能够作下列解决：如果是能够提供良好服务的厂家品牌的主板，请与厂家联系。找一种相似型号的主板(规定BIOS的厂家和版本必须严格相似)，下载主板厂家提供的升级文献，取出坏BIOS，用新的BIOS片启动电脑，并在带电的状况下换回坏的BIOS片，从A盘写入。(此方法由于带电操作，有很大危险，有可能操作后造成硬件整体被破坏，请顾客谨慎！！！)有的主版升级程序在写入时会检测BIOS版本号，如无则无法改写，用此种办法写入BIOS，则必须更换计算机的BIOS芯片,能够与硬件购置商或主板代理商联系判断与否感染CIH病毒的办法1普通来讲，CIH病毒只感染EXE可执行文献，我们能够用UltraEditTextEditor软件打开记事本或写字板，或者其它惯用EXE文献，然后按下“切换16进制模式按钮（H）”，再查找“CIHv1．”，如果发现“CIHv1.2”，“CIHv1.3”或“CIHv1.4”的字符串，则阐明已经被感染上CIH病毒了判断与否感染CIH病毒的办法2感染到CIHv1.2版，则全部WinZip自解压文献均无法自动解开，同时会出现WinZip自解压首部中断。可能因素：磁盘或文献传输错误。这个信息感染到CIHv1.3版则部分WinZip自解压文献无法自动解开，有的还会造成MAGICZIP不能安装。如果碰到以上状况，有可能就是感染上CIH病毒了判断与否感染CIH