誰(shuí)能給我簡(jiǎn)述一下計(jì)算機(jī)病毒的工作原理??? 計(jì)算機(jī)病毒工作原理
計(jì)算機(jī)病毒的定義
計(jì)算機(jī)病毒是一個(gè)程序,一段可執(zhí)行碼 ,對(duì)計(jì)算機(jī)的正常使用進(jìn)行破壞,使得電腦無(wú)法正常使用甚至整個(gè)操作系統(tǒng)或者電腦硬盤損壞。就像生物病毒一樣,計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí),它們就隨同文件一起蔓延開(kāi)來(lái)。這種程序不是獨(dú)立存在的,它隱蔽在其他可執(zhí)行的程序之中,既有破壞性,又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度,使機(jī)器不能正常運(yùn)行;重則使機(jī)器處于癱瘓,會(huì)給用戶帶來(lái)不可估量的損失。通常就把這種具有破壞作用的程序稱為計(jì)算機(jī)病毒。
除復(fù)制能力外,某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí),它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序,它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩,并降低你的計(jì)算機(jī)的全部性能。
1.計(jì)算機(jī)病毒的特點(diǎn)
計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn):
(1) 寄生性
計(jì)算機(jī)病毒寄生在其他程序之中,當(dāng)執(zhí)行這個(gè)程序時(shí),病毒就起破壞作用,而在未啟動(dòng)這個(gè)程序之前,它是不易被人發(fā)覺(jué)的。
(2) 傳染性
計(jì)算機(jī)病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復(fù)制或產(chǎn)生變種,其速度之快令人難以預(yù)防。
(3) 潛伏性
有些病毒像定時(shí)炸彈一樣,讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒,不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái),等到條件具備的時(shí)候一下子就爆炸開(kāi)來(lái),對(duì)系統(tǒng)進(jìn)行破壞。
(4) 隱蔽性
計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性,有的可以通過(guò)病毒軟件檢查出來(lái),有的根本就查不出來(lái),有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常,這類病毒處理起來(lái)通常很困難。
2.計(jì)算機(jī)病毒的表現(xiàn)形式
計(jì)算機(jī)受到病毒感染后,會(huì)表現(xiàn)出不同的癥狀,下邊把一些經(jīng)常碰到的現(xiàn)象列出來(lái),供用戶參考。
(1) 機(jī)器不能正常啟動(dòng)
加電后機(jī)器根本不能啟動(dòng),或者可以啟動(dòng),但所需要的時(shí)間比原來(lái)的啟動(dòng)時(shí)間變長(zhǎng)了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。
(2) 運(yùn)行速度降低
如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí),讀取數(shù)據(jù)的時(shí)間比原來(lái)長(zhǎng),存文件或調(diào)文件的時(shí)間都增加了,那就可能是由于病毒造成的。
(3) 磁盤空間迅速變小
由于病毒程序要進(jìn)駐內(nèi)存,而且又能繁殖,因此使內(nèi)存空間變小甚至變?yōu)椤?”,用戶什么信息也進(jìn)不去。
(4) 文件內(nèi)容和長(zhǎng)度有所改變
一個(gè)文件存入磁盤后,本來(lái)它的長(zhǎng)度和其內(nèi)容都不會(huì)改變,可是由于病毒的干擾,文件長(zhǎng)度可能改變,文件內(nèi)容也可能出現(xiàn)亂碼。有時(shí)文件內(nèi)容無(wú)法顯示或顯示后又消失了。
(5) 經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象
正常的操作是不會(huì)造成死機(jī)現(xiàn)象的,即使是初學(xué)者,命令輸入不對(duì)也不會(huì)死機(jī)。如果機(jī)器經(jīng)常死機(jī),那可能是由于系統(tǒng)被病毒感染了。
(6) 外部設(shè)備工作異常
因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制,如果機(jī)器中有病毒,外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些異常情況,出現(xiàn)一些用理論或經(jīng)驗(yàn)說(shuō)不清道不明的現(xiàn)象。
以上僅列出一些比較常見(jiàn)的病毒表現(xiàn)形式,肯定還會(huì)遇到一些其他的特殊現(xiàn)象,這就需要由用戶自己判斷了。
3.計(jì)算機(jī)病毒的預(yù)防
前面介紹了計(jì)算機(jī)病毒,現(xiàn)在講一下怎樣預(yù)防病毒的問(wèn)題。首先,在思想上重視,加強(qiáng)管理,止病毒的入侵。凡是從外來(lái)的軟盤往機(jī)器中拷信息,都應(yīng)該先對(duì)軟盤進(jìn)行查毒,若有病毒必須清除,這樣可以保證計(jì)算機(jī)不被新的病毒傳染。此外,由于病毒具有潛伏性,可能機(jī)器中還隱蔽著某些舊病毒,一旦時(shí)機(jī)成熟還將發(fā)作,所以,要經(jīng)常對(duì)磁盤進(jìn)行檢查,若發(fā)現(xiàn)病毒就及時(shí)殺除。思想重視是基礎(chǔ),采取有效的查毒與消毒方法是技術(shù)保證。檢查病毒與消除病毒目前通常有兩種手段,一種是在計(jì)算機(jī)中加一塊防病毒卡,另一種是使用防病毒軟件工作原理基本一樣,一般用防病毒軟件的用戶更多一些。切記要注意一點(diǎn),預(yù)防與消除病毒是一項(xiàng)長(zhǎng)期的工作任務(wù),不是一勞永逸的,應(yīng)堅(jiān)持不懈。
計(jì)算機(jī)病毒是在什么情況下出現(xiàn)的?
計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是:
(1)計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式
計(jì)算機(jī)病毒是高技術(shù)犯罪, 具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證, 風(fēng)險(xiǎn)小破壞大, 從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。
(2)計(jì)算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因
計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計(jì)算機(jī)軟件設(shè)計(jì)的手工方式, 效率低下且生產(chǎn)周期長(zhǎng);人們至今沒(méi)有辦法事先了解一個(gè)程序有沒(méi)有錯(cuò)誤, 只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤, 并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。
(3)微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境
1983年11月3日美國(guó)計(jì)算機(jī)專家首次提出了計(jì)算機(jī)病毒的概念并進(jìn)行了驗(yàn)證。幾年前計(jì)算機(jī)病毒就迅速蔓延, 到我國(guó)才是近年來(lái)的事。而這幾年正是我國(guó)微型計(jì)算機(jī)普及應(yīng)用熱潮。微機(jī)的廣泛普及, 操作系統(tǒng)簡(jiǎn)單明了, 軟、硬件透明度高, 基本上沒(méi)有什么安全措施, 能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶日益增多, 對(duì)其存在的缺點(diǎn)和易攻擊處也了解的越來(lái)越清楚, 不同的目的可以做出截然不同的選擇。目前, 在IBM PC系統(tǒng)及其兼容機(jī)上廣泛流行著各種病毒就很說(shuō)明這個(gè)問(wèn)題。
計(jì)算機(jī)病毒是如何分類的?
計(jì)算機(jī)病毒可以從不同的角度分類。若按其表現(xiàn)性質(zhì)可分為良性的和惡性的。良性的危害性小, 不破壞系統(tǒng)和數(shù)據(jù), 但大量占用系統(tǒng)開(kāi)銷, 將使機(jī)器無(wú)法正常工作,陷于癱瘓。如國(guó)內(nèi)出現(xiàn)的圓點(diǎn)病毒就是良性的。惡性病毒可能會(huì)毀壞數(shù)據(jù)文件, 也可能使計(jì)算機(jī)停止工作。若按激活的時(shí)間可分為定時(shí)的和隨機(jī)的。定時(shí)病毒僅在某一特定時(shí)間才發(fā)作, 而隨機(jī)病毒一般不是由時(shí)鐘來(lái)激活的。若按其入侵方式可分操作系統(tǒng)型病毒( 圓點(diǎn)病毒和大麻病毒是典型的操作系統(tǒng)病毒), 這種病毒具有很強(qiáng)的破壞力(用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作), 可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓;原碼病毒, 在程序被編譯之前插入到FORTRAN、C、或PASCAL等語(yǔ)言編制的源程序里, 完成這一工作的病毒程序一般是在語(yǔ)言處理程序或連接程序中;外殼病毒, 常附在主程序的首尾, 對(duì)源程序不作更改, 這種病毒較常見(jiàn), 易于編寫, 也易于發(fā)現(xiàn), 一般測(cè)試可執(zhí)行文件的大小即可知;入侵病毒, 侵入到主程序之中, 并替代主程序中部分不常用到的功能模塊或堆棧區(qū), 這種病毒一般是針對(duì)某些特定程序而編寫的。若按其是否有傳染性又可分為不可傳染性和可傳染性病毒。不可傳染性病毒有可能比可傳染性病毒更具有危險(xiǎn)性和難以預(yù)防。若按傳染方式可分磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒、操作系統(tǒng)傳染的計(jì)算機(jī)病毒和一般應(yīng)用程序傳染的計(jì)算機(jī)病毒。若按其病毒攻擊的機(jī)種分類, 攻擊微型計(jì)算機(jī)的, 攻擊小型機(jī)的, 攻擊工作站的, 其中以攻擊微型計(jì)算機(jī)的病毒為多, 世界上出現(xiàn)的病毒幾乎90%是攻擊IBM PC機(jī)及其兼容機(jī)。
計(jì)算機(jī)病毒的定義
一 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒(Computer Virus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。
二 計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒是人為的特制程序,具有自我復(fù)制能力,很強(qiáng)的感染性,一定的潛伏性,特定的觸發(fā)性和很大的破壞性。
三 病毒存在的必然性計(jì)算機(jī)的信息需要存取、復(fù)制、傳送,病毒作為信息的一種形式可以隨之繁殖、感染、破壞,而當(dāng)病毒取得控制權(quán)之后,他們會(huì)主動(dòng)尋找感染目標(biāo),使自身廣為流傳。
四 計(jì)算機(jī)病毒的長(zhǎng)期性病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播,提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面,但完美的系統(tǒng)是不存在的,過(guò)于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查,系統(tǒng)失去了可用性、實(shí)用性和易用性,另一方面,信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無(wú)法選擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在,兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。
五 計(jì)算機(jī)病毒的產(chǎn)生病毒不是來(lái)源于突發(fā)或偶然的原因.一次突發(fā)的停電和偶然的錯(cuò)誤,會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令,但這些代碼是無(wú)序和混亂的,病毒則是一種比較完美的,精巧嚴(yán)謹(jǐn)?shù)拇a,按照嚴(yán)格的秩序組織起來(lái),與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái),病毒不會(huì)通過(guò)偶然形成,并且需要有一定的長(zhǎng)度,這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的。病毒是人為的特制程序現(xiàn)在流行的病毒是由人為故意編寫的,多數(shù)病毒可以找到作者信息和產(chǎn)地信息,通過(guò)大量的資料分析統(tǒng)計(jì)來(lái)看,病毒作者主要情況和目的是:一些天才的程序員為了表現(xiàn)自己和證明自己的能力,處于對(duì)上司的不滿,為了好奇,為了報(bào)復(fù),為了祝賀和求愛(ài),為了得到控制口令,為了軟件拿不到報(bào)酬預(yù)留的陷阱等.當(dāng)然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒.
六 計(jì)算機(jī)病毒分類根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究,按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法,計(jì)算機(jī)病毒可分類如下:按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類,計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類:
其他計(jì)算機(jī)病毒介紹
按照計(jì)算機(jī)病毒存在的媒體進(jìn)行分類根據(jù)病毒存在的媒體,病毒可以劃分為網(wǎng)絡(luò)病毒,文件病毒,引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件,文件病毒感染計(jì)算機(jī)中的文件(如:COM,EXE,DOC等),引導(dǎo)型病毒感染啟動(dòng)扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的病毒通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時(shí)使用了加密和變形算法。 按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計(jì)算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過(guò)這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。 按照計(jì)算機(jī)病毒破壞的能力進(jìn)行分類根據(jù)病毒破壞的能力可劃分為以下幾種:無(wú)害型除了傳染時(shí)減少磁盤的可用空間外,對(duì)系統(tǒng)沒(méi)有其它影響。無(wú)危險(xiǎn)型這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害,并不是本身的算法中存在危險(xiǎn)的調(diào)用,而是當(dāng)它們傳染時(shí)會(huì)引起無(wú)法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū),這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無(wú)害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如:在早期的病毒中,有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作,不會(huì)造成任何破壞,但是在后來(lái)的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。 按照計(jì)算機(jī)病毒特有的算法進(jìn)行分類根據(jù)病毒特有的算法,病毒可以劃分為:伴隨型病毒這一類病毒并不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件,當(dāng)DOS加載文件時(shí),伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來(lái)的EXE文件。“蠕蟲(chóng)”型病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存,計(jì)算網(wǎng)絡(luò)地址,將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在,一般除了內(nèi)存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲(chóng)”型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過(guò)系統(tǒng)的功能進(jìn)行傳播,按其算法不同可分為:練習(xí)型病毒病毒自身包含錯(cuò)誤,不能進(jìn)行很好的傳播,例如一些病毒在調(diào)試階段。詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改,不易看到資源,使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒(又稱幽靈病毒)這一類病毒使用一個(gè)復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。
七、計(jì)算機(jī)病毒的發(fā)展在病毒的發(fā)展史上,病毒的出現(xiàn)是有規(guī)律的,一般情況下一種新的病毒技術(shù)出現(xiàn)后,病毒迅速發(fā)展,接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升級(jí)后,病毒也會(huì)調(diào)整為新的方式,產(chǎn)生新的病毒技術(shù)。它可劃分為:
DOS引導(dǎo)階段
1987年,計(jì)算機(jī)病毒主要是引導(dǎo)型病毒,具有代表性的是“小球”和“石頭”病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少,功能簡(jiǎn)單,一般需要通過(guò)軟盤啟動(dòng)后使用.引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作,它們修改系統(tǒng)啟動(dòng)扇區(qū),在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播.1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有“石頭2”。 DOS可執(zhí)行階段1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長(zhǎng)度增加。1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。 伴隨,批次型階段1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作,具有代表性的是“金蟬”病毒,它感染EXE文件時(shí)生成一個(gè)和EXE同名但擴(kuò)展名為COM的伴隨體;它感染文件時(shí),改原來(lái)的COM文件為同名的EXE文件,再產(chǎn)生一個(gè)原名的伴隨體,文件擴(kuò)展名為COM,這樣,在DOS加載文件時(shí),病毒就取得控制權(quán).這類病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容,日期及屬性,解除病毒時(shí)只要將其伴隨體刪除即可。在非DOS操作系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作,具有典型代表的是“海盜旗”病毒,它在得到執(zhí)行時(shí),詢問(wèn)用戶名稱和口令,然后返回一個(gè)出錯(cuò)信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。 幽靈,多形階段1994年,隨著匯編語(yǔ)言的發(fā)展,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn),每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導(dǎo)區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。 生成器,變體機(jī)階段1995年,在匯編語(yǔ)言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無(wú)關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成,當(dāng)生成器的生成結(jié)果為病毒時(shí),就產(chǎn)生了這種復(fù)雜的“病毒生成器” ,而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“病毒制造機(jī)” VCL,它可以在瞬間制造出成千上萬(wàn)種不同的病毒,查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法,需要在宏觀上分析指令,解碼后查解病毒。 網(wǎng)絡(luò),蠕蟲(chóng)階段1995年,隨著網(wǎng)絡(luò)的普及,病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播,它們只是以上幾代病毒的改進(jìn).在非DOS操作系統(tǒng)中,“蠕蟲(chóng)”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播,有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。 視窗階段1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開(kāi)始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,解除方法也比較復(fù)雜。 宏病毒階段1996年,隨著Windows Word功能的增強(qiáng),使用Word宏語(yǔ)言也可以編制病毒,這種病毒使用類Basic語(yǔ)言,編寫容易,感染W(wǎng)ord文檔等文件,在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類,由于Word文檔格式?jīng)]有公開(kāi),這類病毒查解比較困難 互連網(wǎng)階段1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多,如果不小心打開(kāi)了這些郵件,機(jī)器就有可能中毒. 爪哇(Java),郵件炸彈階段1997年,隨著萬(wàn)維網(wǎng)(Wold Wide Web)上Java的普及,利用Java語(yǔ)言進(jìn)行傳播和資料獲取的病毒開(kāi)始出現(xiàn),典型的代表是JavaSnake病毒,還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒,例如Mail-Bomb病毒,它會(huì)嚴(yán)重影響因特網(wǎng)的效率。
八 他的破壞行為計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬(wàn)計(jì)不斷發(fā)展擴(kuò)張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據(jù)現(xiàn)有的病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下:
攻擊系統(tǒng)數(shù)據(jù)區(qū),攻擊部位包括:硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。一般來(lái)說(shuō),攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒,受損的數(shù)據(jù)不易恢復(fù)。 攻擊文件病毒對(duì)文件的攻擊方式很多,可列舉如下:刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫入時(shí)間空白、變碎片、假冒文件、丟失文件簇、丟失數(shù)據(jù)文件等。 攻擊內(nèi)存內(nèi)存是計(jì)算機(jī)的重要資源,也是病毒攻擊的主要目標(biāo)之一,病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源,可以導(dǎo)致一些較的大程序難以運(yùn)行。病毒攻擊內(nèi)存的方式如下:占用大量?jī)?nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存等。 干擾系統(tǒng)運(yùn)行病毒會(huì)干擾系統(tǒng)的正常運(yùn)行,以此做為自己的破壞行為,此類行為也是花樣繁多,可以列舉下述諸方式:不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、使文件打不開(kāi)、使內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲、擾亂串行口、并行口等。 速度下降病毒激活時(shí),其內(nèi)部的時(shí)間延遲程序啟動(dòng),在時(shí)鐘中納入了時(shí)間的循環(huán)計(jì)數(shù),迫使計(jì)算機(jī)空轉(zhuǎn),計(jì)算機(jī)速度明顯下降。 攻擊磁盤攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時(shí)丟字節(jié)等。 擾亂屏幕顯示病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫、吃字符等。 鍵盤病毒干擾鍵盤操作,已發(fā)現(xiàn)有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。 喇叭許多病毒運(yùn)行時(shí),會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。有的病毒作者通過(guò)喇叭發(fā)出種種聲音,有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲,在高雅的曲調(diào)中去殺戮人們的信息財(cái)富,已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS 在機(jī)器的CMOS區(qū)中,保存著系統(tǒng)的重要數(shù)據(jù),例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等,并具有校驗(yàn)和。有的病毒激活時(shí),能夠?qū)MOS區(qū)進(jìn)行寫入動(dòng)作,破壞系統(tǒng)CMOS中的數(shù)據(jù)。 干擾打印機(jī)典型現(xiàn)象為:假報(bào)警、間斷性打印、更換字符等。
九、計(jì)算機(jī)病毒的危害性計(jì)算機(jī)資源的損失和破壞,不但會(huì)造成資源和財(cái)富的巨大浪費(fèi),而且有可能造成社會(huì)性的災(zāi)難,隨著信息化社會(huì)的發(fā)展,計(jì)算機(jī)病毒的威脅日益嚴(yán)重,反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒,美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲(chóng)程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使這個(gè)擁有數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對(duì)計(jì)算機(jī)病毒的恐慌,也使更多的計(jì)算機(jī)專家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年,我國(guó)在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒,它對(duì)統(tǒng)計(jì)系統(tǒng)影響極大,此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷,前一段時(shí)間發(fā)現(xiàn)的CIH、美麗殺等病毒更是給社會(huì)造成了很大損失。
3.計(jì)算機(jī)病毒是一個(gè)程序,一段可執(zhí)行碼。就像生物病毒一樣,計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí),它們就隨同文件一起蔓延開(kāi)來(lái)。
除復(fù)制能力外,某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí),它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序,它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩,并降低你的計(jì)算機(jī)的全部性能。
可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過(guò)磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體(如磁盤、內(nèi)存)或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播,使計(jì)算機(jī)的資源受到不同程序的破壞等等。這些說(shuō)法在某種意義上借用了生物學(xué)病毒的概念,計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞,同時(shí)能夠自我復(fù)制, 具有傳染性。所以, 計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)(或程序)里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。
計(jì)算機(jī)病毒寄生方式有哪幾種?
(1)寄生在磁盤引導(dǎo)扇區(qū)中:任何操作系統(tǒng)都有個(gè)自舉過(guò)程, 例如DOS在啟動(dòng)時(shí), 首先由系統(tǒng)讀入引導(dǎo)扇區(qū)記錄并執(zhí)行它, 將DOS讀入內(nèi)存。病毒程序就是利用了這一點(diǎn), 自身占據(jù)了引導(dǎo)扇區(qū)而將原來(lái)的引導(dǎo)扇區(qū)內(nèi)容及其病毒的其他部分放到磁盤的其他空間, 并給這些扇區(qū)標(biāo)志為壞簇。這樣, 系統(tǒng)的一次初始化, 病毒就被激活了。它首先將自身拷貝到內(nèi)存的高端并占據(jù)該范圍, 然后置觸發(fā)條件如INT 13H中斷(磁盤讀寫中斷)向量的修改, 置內(nèi)部時(shí)鐘的某一值為條件等, 最后引入正常的操作系統(tǒng)。以后一旦觸發(fā)條件成熟, 如一個(gè)磁盤讀或?qū)懙恼?qǐng)求, 病毒就被觸發(fā)。如果磁盤沒(méi)有被感染(通過(guò)識(shí)別標(biāo)志)則進(jìn)行傳染。
(2)寄生在可執(zhí)行程序中:這種病毒寄生在正常的可執(zhí)行程序中, 一旦程序執(zhí)行病毒就被激活, 于是病毒程序首先被執(zhí)行, 它將自身常駐內(nèi)存, 然后置觸發(fā)條件, 也可能立即進(jìn)行傳染, 但一般不作表現(xiàn)。做完這些工作后, 開(kāi)始執(zhí)行正常的程序, 病毒程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長(zhǎng)度和一些控制信息, 以保證病毒成為源程序的一部分, 并在執(zhí)行時(shí)首先執(zhí)行它。這種病毒傳染性比較強(qiáng)。
(3)寄生在硬盤的主引導(dǎo)扇區(qū)中:例如大麻病毒感染硬盤的主引導(dǎo)扇區(qū), 該扇區(qū)與DOS無(wú)關(guān)。
計(jì)算機(jī)病毒的工作過(guò)程應(yīng)包括哪些環(huán)節(jié)?
計(jì)算機(jī)病毒的完整工作過(guò)程應(yīng)包括以下幾個(gè)環(huán)節(jié):
(1)傳染源:病毒總是依附于某些存儲(chǔ)介質(zhì), 例如軟盤、 硬盤等構(gòu)成傳染源。
(2)傳染媒介:病毒傳染的媒介由工作的環(huán)境來(lái)定, 可能是計(jì)算機(jī)網(wǎng), 也可能是可移動(dòng)的存儲(chǔ)介質(zhì), 例如軟磁盤等。
(3)病毒激活:是指將病毒裝入內(nèi)存, 并設(shè)置觸發(fā)條件, 一旦觸發(fā)條件成熟, 病毒就開(kāi)始作用--自我復(fù)制到傳染對(duì)象中, 進(jìn)行各種破壞活動(dòng)等。
(4)病毒觸發(fā):計(jì)算機(jī)病毒一旦被激活, 立刻就發(fā)生作用, 觸發(fā)的條件是多樣化的, 可以是內(nèi)部時(shí)鐘, 系統(tǒng)的日期, 用戶標(biāo)識(shí)符,也可能是系統(tǒng)一次通信等等。
(5)病毒表現(xiàn):表現(xiàn)是病毒的主要目的之一, 有時(shí)在屏幕顯示出來(lái), 有時(shí)則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)。可以這樣說(shuō), 凡是軟件技術(shù)能夠觸發(fā)到的地方, 都在其表現(xiàn)范圍內(nèi)。
(6)傳染:病毒的傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中, 病毒復(fù)制一個(gè)自身副本到傳染對(duì)象中去。
不同種類的計(jì)算機(jī)病毒的傳染方法有何不同?
從病毒的傳染方式上來(lái)講, 所有病毒到目前為止可以歸結(jié)于三類:感染用戶程序的計(jì)算機(jī)病毒;感染操作系統(tǒng)文件的計(jì)算機(jī)病毒;感染磁盤引導(dǎo)扇區(qū)的計(jì)算機(jī)病毒。這三類病毒的傳染方式均不相同。
感染用戶應(yīng)用程序的計(jì)算機(jī)病毒的傳染方式是病毒以鏈接的方式對(duì)應(yīng)用程序進(jìn)行傳染。這種病毒在一個(gè)受傳染的應(yīng)用程序執(zhí)行時(shí)獲得控制權(quán), 同時(shí)掃描計(jì)算機(jī)系統(tǒng)在硬盤或軟盤上的另外的應(yīng)用程序, 若發(fā)現(xiàn)這些程序時(shí), 就鏈接在應(yīng)用程序中, 完成傳染, 返回正常的應(yīng)用程序并繼續(xù)執(zhí)行。
感染操作系統(tǒng)文件的計(jì)算機(jī)病毒的傳染方式是通過(guò)與操作系統(tǒng)中所有的模塊或程序鏈接來(lái)進(jìn)行傳染。由于操作系統(tǒng)的某些程序是在系統(tǒng)啟動(dòng)過(guò)程中調(diào)入內(nèi)存的, 所以傳染操作系統(tǒng)的病毒是通過(guò)鏈接某個(gè)操作系統(tǒng)中的程序或模塊并隨著它們的運(yùn)行進(jìn)入內(nèi)存的。病毒進(jìn)入內(nèi)存后就判斷是否滿足條件時(shí)則進(jìn)行傳?/ca>
如果你的計(jì)算機(jī)感染了病毒,那么系統(tǒng)的運(yùn)行速度會(huì)大幅度變慢。病毒入侵后,首先占領(lǐng)內(nèi)存這個(gè)據(jù)點(diǎn),然后便以此為根據(jù)地在內(nèi)存中開(kāi)始漫無(wú)休止地復(fù)制自己,隨著它越來(lái)越龐大,很快就占用了系統(tǒng)大量的內(nèi)存,導(dǎo)致正常程序運(yùn)行時(shí)因缺少主內(nèi)存而變慢,甚至不能啟動(dòng);同時(shí)病毒程序會(huì)迫使CPU轉(zhuǎn)而執(zhí)行無(wú)用的垃圾程序,使得系統(tǒng)始終處于忙碌狀態(tài),從而影響了正常程序的運(yùn)行,導(dǎo)致計(jì)算機(jī)速度變慢。下面我們就介紹幾種能使系統(tǒng)變慢的病毒。
1、使系統(tǒng)變慢的bride病毒
病毒類型:黑客程序
發(fā)作時(shí)間:隨機(jī)
傳播方式:網(wǎng)絡(luò)
感染對(duì)象:網(wǎng)絡(luò)
警惕程度:★★★★
病毒介紹:
此病毒可以在Windows 2000、Windows XP等操作系統(tǒng)環(huán)境下正常運(yùn)行。運(yùn)行時(shí)會(huì)自動(dòng)連接網(wǎng)站,如果無(wú)法連接到此網(wǎng)站,則病毒會(huì)休眠幾分鐘,然后修改注冊(cè)表將自己加入注冊(cè)表自啟動(dòng)項(xiàng),病毒會(huì)釋放出四個(gè)病毒體和一個(gè)有漏洞的病毒郵件并通過(guò)郵件系統(tǒng)向外亂發(fā)郵件,病毒還會(huì)釋放出FUNLOVE病毒感染局域網(wǎng)計(jì)算機(jī),最后病毒還會(huì)殺掉已知的幾十家反病毒軟件,使這些反病毒軟件失效。
病毒特征
如果用戶發(fā)現(xiàn)計(jì)算機(jī)中有這些特征,則很有可能中了此病毒。
·病毒運(yùn)行后會(huì)自動(dòng)連接網(wǎng)站。
·病毒會(huì)釋放出Bride.exe,Msconfig.exe,Regedit.exe三個(gè)文件到系統(tǒng)目錄;釋放出:Help.eml, Explorer.exe文件到桌面。
·病毒會(huì)在注冊(cè)表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項(xiàng)中加入病毒Regedit.exe的路徑。
·病毒運(yùn)行時(shí)會(huì)釋放出一個(gè)FUNLOVE病毒并將之執(zhí)行,而FUNLOVE病毒會(huì)在計(jì)算機(jī)中大量繁殖,造成系統(tǒng)變慢,網(wǎng)絡(luò)阻塞。
·病毒會(huì)尋找計(jì)算機(jī)中的郵件地址,然后按照地址向外大量發(fā)送標(biāo)題為:<被感染的計(jì)算機(jī)機(jī)名>(例:如果用戶的計(jì)算機(jī)名為:張冬, 則病毒郵件的標(biāo)題為:張冬)的病毒郵件。
·病毒還會(huì)殺掉幾十家國(guó)外著名的反病毒軟件。
用戶如果在自己的計(jì)算機(jī)中發(fā)現(xiàn)以上全部或部分現(xiàn)象,則很有可能中了Bride(Worm.bride)病毒,請(qǐng)用戶立刻用手中的殺毒軟件進(jìn)行清除。
2、使系統(tǒng)變慢的阿芙倫病毒
病毒類型:蠕蟲(chóng)病毒
發(fā)作時(shí)間:隨機(jī)
傳播方式:網(wǎng)絡(luò)/文件
感染對(duì)象:網(wǎng)絡(luò)
警惕程度:★★★★
病毒介紹:
此病毒可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系統(tǒng)環(huán)境下正常運(yùn)行。病毒運(yùn)行時(shí)將自己復(fù)到到TEMP、SYSTEM、RECYCLED目錄下,并隨機(jī)生成文件名。該病毒運(yùn)行后,會(huì)使消耗大量的系統(tǒng)資源,使系統(tǒng)明顯變慢,并且殺掉一些正在運(yùn)行的反病毒軟件,建立四個(gè)線程在局域網(wǎng)中瘋狂傳播。
病毒特征
如果用戶發(fā)現(xiàn)計(jì)算機(jī)中有這些特征,則很有可能中了此病毒:
·病毒運(yùn)行時(shí)會(huì)將自己復(fù)到到TEMP、SYSTEM、RECYCLED目錄下,文件名隨機(jī)
·病毒運(yùn)行時(shí)會(huì)使系統(tǒng)明顯變慢
·病毒會(huì)殺掉一些正在運(yùn)行的反病毒軟件
·病毒會(huì)修改注冊(cè)表的自啟動(dòng)項(xiàng)進(jìn)行自啟動(dòng)
·病毒會(huì)建立四個(gè)線程在局域網(wǎng)中傳播
用戶如果在自己的計(jì)算機(jī)中發(fā)現(xiàn)以上全部或部分現(xiàn)象,則很有可能中了“阿芙倫(Worm.Avron)”病毒,由于此病毒沒(méi)有固定的病毒文件名,所以,最好還是選用殺毒軟件進(jìn)行清除。
3、惡性蠕蟲(chóng) 震蕩波
病毒名稱: Worm.Sasser
中文名稱: 震蕩波
病毒別名: W32/Sasser.worm [Mcafee]
病毒類型: 蠕蟲(chóng)
受影響系統(tǒng):WinNT/Win2000/WinXP/Win2003
病毒感染癥狀:
·莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī);
·系統(tǒng)速度極慢,cpu占用100%;
·網(wǎng)絡(luò)變慢;
·最重要的是,任務(wù)管理器里有一個(gè)叫"avserve.exe"的進(jìn)程在運(yùn)行!
破壞方式:
·利用WINDOWS平臺(tái)的 Lsass 漏洞進(jìn)行廣泛傳播,開(kāi)啟上百個(gè)線程不停攻擊其它網(wǎng)上其它系統(tǒng),堵塞網(wǎng)絡(luò)。病毒的攻擊行為可讓系統(tǒng)不停的倒計(jì)時(shí)重啟。
·和最近出現(xiàn)的大部分蠕蟲(chóng)病毒不同,該病毒并不通過(guò)郵件傳播,而是通過(guò)命令易受感染的機(jī)器
下載特定文件并運(yùn)行,來(lái)達(dá)到感染的目的。
·文件名為:avserve.exe
解決方案:
·請(qǐng)升級(jí)您的操作系統(tǒng),免受攻擊
·請(qǐng)打開(kāi)個(gè)人防火墻屏蔽端口:445、5554和9996,防止名為avserve.exe的程序訪問(wèn)網(wǎng)絡(luò)
·手工解決方案:
首先,若系統(tǒng)為WinMe/WinXP,則請(qǐng)先關(guān)閉系統(tǒng)還原功能;
步驟一,使用進(jìn)程程序管理器結(jié)束病毒進(jìn)程
右鍵單擊任務(wù)欄,彈出菜單,選擇“任務(wù)管理器”,調(diào)出“Windows任務(wù)管理器”窗口。在任務(wù)管理器中,單擊“進(jìn)程”標(biāo)簽,在例表欄內(nèi)找到病毒進(jìn)程“avserve.exe”,單擊“結(jié)束進(jìn)程按鈕”,點(diǎn)擊“是”,結(jié)束病毒進(jìn)程,然后關(guān)閉“Windows任務(wù)管理器”;
步驟二,查找并刪除病毒程序
通過(guò)“我的電腦”或“資源管理器”進(jìn)入 系統(tǒng)安裝目錄(Winnt或windows),找到文件“avser ve.exe”,將它刪除;然后進(jìn)入系統(tǒng)目錄(Winntsystem32或windowssystem32),找 到文件"*_up.exe", 將它們刪除;
步驟三,清除病毒在注冊(cè)表里添加的項(xiàng)
打開(kāi)注冊(cè)表編輯器: 點(diǎn)擊開(kāi)始——>運(yùn)行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到后雙擊):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
在右邊的面板中, 找到并刪除如下項(xiàng)目:"avserve.exe" = %SystemRoot%avserve.exe
關(guān)閉注冊(cè)表編輯器。
第二部份 系統(tǒng)加速
一、Windows 98
一、病毒定義 所謂病毒就是一段代碼,其本質(zhì)和大家使用的QQ、WORD什么的程序沒(méi)有區(qū)別,只不過(guò)制作者令其具有了自我復(fù)制和定時(shí)發(fā)作進(jìn)行破壞功能。一般病毒都在1K到數(shù)K大小。 二、病毒種類 我們所遇到的病毒可分引導(dǎo)型(感染磁盤引導(dǎo)區(qū))程序型(感染可執(zhí)行文件)宏病毒(感染W(wǎng)ORD文檔)等。 三、病毒工作原理 計(jì)算機(jī)系統(tǒng)的內(nèi)存是一個(gè)非常重要的資源,我們可以認(rèn)為所有的工作都需要在內(nèi)存中運(yùn)行(相當(dāng)與人的大腦),所以控制了內(nèi)存就相當(dāng)于控制了人的大腦,病毒一般都是通過(guò)各種方式把自己植入內(nèi)存,獲取系統(tǒng)最高控制權(quán),然后感染在內(nèi)存中運(yùn)行的程序。(注意,所有的程序都在內(nèi)存中運(yùn)行,也就是說(shuō),在感染了病毒后,你所有運(yùn)行過(guò)的程序都有可能被傳染上,感染那些文件這由病毒的特性所決定) 1、程序型病毒的工作原理。 這是目前最多的一類病毒,主要感染.exe 和 .dll 等可執(zhí)行文件和動(dòng)態(tài)連接庫(kù)文件,比如很多的蠕蟲(chóng)病毒都是這樣。注意蠕蟲(chóng)病毒不是一個(gè)病毒,而是一個(gè)種類。他的特點(diǎn)是針對(duì)目前INTERNET高速發(fā)展,主要在網(wǎng)絡(luò)上傳播,當(dāng)他感染了一臺(tái)計(jì)算機(jī)之后,可以自動(dòng)的把自己通過(guò)網(wǎng)絡(luò)發(fā)送出去,比如發(fā)送給同一居欲網(wǎng)的用戶或者自動(dòng)讀取你的EMAIL列表,自動(dòng)給你的朋友發(fā)EMAIL等等。感染了蠕蟲(chóng)病毒的機(jī)器一秒種可能會(huì)發(fā)送幾百個(gè)包來(lái)探測(cè)起周圍的機(jī)器。會(huì)造成網(wǎng)絡(luò)資源的巨大浪費(fèi)。所以這次我們殺毒主要是針對(duì)這種病毒。 那么病毒是怎么傳染的那? 切記:病毒傳染的前提就是,他必須把自己復(fù)制到內(nèi)存中,硬盤中的帶毒文件如果沒(méi)有被讀入內(nèi)寸,是不會(huì)傳染的,這在殺毒中非常重要。而且,計(jì)算機(jī)斷電后內(nèi)存內(nèi)容會(huì)丟失這我想大家都知道。 所以:病毒和殺毒軟件斗爭(zhēng)的焦點(diǎn)就在于爭(zhēng)奪啟動(dòng)后的內(nèi)存控制權(quán)。 2、程序型病毒是怎么傳播的。 病毒傳播最主要的途徑是網(wǎng)絡(luò),還有軟盤和光盤。比如,我正在工作時(shí),朋友拿來(lái)一個(gè)帶病毒的軟盤,比如,該病毒感染了磁盤里的A文件,我運(yùn)行了一下這個(gè)A文件,病毒就被讀如內(nèi)存,如果你不運(yùn)行染毒文件,程序型病毒是不會(huì)感染你的機(jī)器的(不要罵,我這里說(shuō)的是程序型病毒,后面我會(huì)說(shuō)引導(dǎo)型病毒,他只要打開(kāi)軟盤就會(huì)感染)當(dāng)染毒文件被運(yùn)行,病毒就進(jìn)入內(nèi)存,并獲取了內(nèi)存控制權(quán),開(kāi)始感染所有之后運(yùn)行的文件。比如我運(yùn)行了WORD。EXE ,則該文件被感染,病毒把自己復(fù)制一份,加在WORD.EXE文件的后面,會(huì)使該文件長(zhǎng)度增加1到幾個(gè)K。(不是所有病毒都這樣,我舉這個(gè)離子只是想介紹病毒感染過(guò)程) 好,接下來(lái),比如說(shuō)我關(guān)機(jī)了,則內(nèi)存中的病毒被清除,我機(jī)子中所有的染毒文件只有WORD.exe。第二天,我又開(kāi)機(jī)時(shí),內(nèi)存是干凈的。比如我需要用WORD,于是,該染毒文件中的病毒被讀如內(nèi)存,繼續(xù)感染下面運(yùn)行的程序,周而復(fù)始,時(shí)間越長(zhǎng),染毒文件越多。 到了一定時(shí)間,病毒開(kāi)始發(fā)作(根據(jù)病毒作者定義的條件,有的是時(shí)間,比如CIH,有的是感染規(guī)模等等)執(zhí)行病毒作者定義的操作,比如無(wú)限復(fù)制,占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡(luò)傳播甚至格式化磁盤等等。 但是,無(wú)論如何,病毒只不過(guò)是一段代碼,他不可能破壞硬件(歡迎和我討論),就算是CIH也不是破壞硬件,他只是改寫了BIOS中的數(shù)據(jù),實(shí)際上還是軟破壞。什么叫破壞硬件?就是病毒發(fā)作時(shí),你的硬盤啪的一下裂成兩半,可能嗎? 所以,完全不必懼怕病毒,他不會(huì)讓我門受到太大的經(jīng)濟(jì)損失,如果我們養(yǎng)成良好的工作習(xí)慣的話(比如自己的文檔不要保存在C盤等,后面我會(huì)細(xì)說(shuō)) 3、引導(dǎo)型病毒的工作原理 看了前面的病毒傳染過(guò)程,大家很容易想到,只要我啟動(dòng)計(jì)算機(jī)后不運(yùn)行染毒程序,直接刪除不就可以了。實(shí)際上,現(xiàn)在的病毒沒(méi)有那么弱智的,下面我門來(lái)看看其他的幾種傳染機(jī)制,首先看看引導(dǎo)型病毒 剛才說(shuō)了,病毒必須進(jìn)入內(nèi)存才可以繼續(xù)感染,只有被運(yùn)行他才可以進(jìn)入內(nèi)存,那么與等用戶來(lái)運(yùn)行,如果用戶長(zhǎng)期不用這個(gè)染度文件,豈不是等的花而也謝了。引導(dǎo)型病毒感染的不是文件,而是磁盤引導(dǎo)區(qū),他把自己寫入引導(dǎo)區(qū),這樣,只要磁盤被讀寫,病毒就首先被讀取入內(nèi)存。這就是為什么殺毒要用干凈的啟動(dòng)盤啟動(dòng),為的就是防止引導(dǎo)型病毒。下面我詳細(xì)的談一下磁盤引導(dǎo)區(qū),看不懂的可以跳過(guò)去。 4、引導(dǎo)型病毒是如何傳播的 在計(jì)算機(jī)啟動(dòng)時(shí),必須讀取硬盤主引導(dǎo)區(qū)獲得分區(qū)信息,再讀取C:盤引導(dǎo)區(qū)獲取操作系統(tǒng)信息,這時(shí)候任何殺毒軟件都無(wú)法控制,這樣我先介紹一下計(jì)算機(jī)的啟動(dòng)順序,大家只要記住一點(diǎn)就是:任何程序都要被讀入內(nèi)存才會(huì)起作用。 計(jì)算機(jī)加電后,內(nèi)存是空的,首先從BIOS中讀取一些啟動(dòng)參數(shù)到內(nèi)存中,這些命令控制計(jì)算機(jī)去做下一步工作就是自檢。(BIOS就是固化在ROM中的基本輸入輸出系統(tǒng)的意思,ROM是只讀存儲(chǔ)器,因?yàn)橛?jì)算機(jī)是一個(gè)機(jī)電設(shè)備,他不會(huì)自己干什么事情,必須由軟件,也就是人事先寫好的程序來(lái)控制他工作,而這些程序必須被讀入內(nèi)存才可以控制計(jì)算機(jī),哈哈越扯越遠(yuǎn)了,不說(shuō)了,在將就變成計(jì)算機(jī)基礎(chǔ)講座了,哈哈) 接下來(lái),計(jì)算機(jī)自檢,發(fā)現(xiàn)硬盤,讀取硬盤主引導(dǎo)程序到內(nèi)存中,再讀取C盤的引導(dǎo)程序到內(nèi)存中,再讀取操作系統(tǒng)文件到內(nèi)存中,然后開(kāi)始由操作系統(tǒng)文件控制計(jì)算機(jī)開(kāi)始啟動(dòng)。啟動(dòng)完畢后,讀入各種自動(dòng)運(yùn)行的文件,比如天網(wǎng)放火墻、QQ、病毒監(jiān)測(cè)軟件、等等, 前面說(shuō)過(guò),誰(shuí)先進(jìn)入內(nèi)存,誰(shuí)先占據(jù)系統(tǒng)控制權(quán),從上面的啟動(dòng)順序可以發(fā)現(xiàn),如果病毒在引導(dǎo)區(qū),那么,他被讀入內(nèi)存的時(shí)候,殺毒軟件還不知道在那里呢。 舉個(gè)離子:比如我拿了一張染有引導(dǎo)型病毒的軟盤用,當(dāng)我雙擊A盤圖標(biāo)后,計(jì)算機(jī)開(kāi)始讀軟盤,首先讀入軟盤引導(dǎo)區(qū),病毒隨之進(jìn)入內(nèi)存,并立即把自己寫入硬盤引導(dǎo)區(qū)(如果開(kāi)了病毒檢測(cè),則時(shí)可以檢測(cè)到并殺之)。如果沒(méi)有裝殺毒軟件,檢測(cè)布道,則下次開(kāi)機(jī)時(shí),計(jì)算機(jī)自檢之后,讀硬盤引導(dǎo)區(qū)時(shí)就會(huì)同時(shí)讀入病毒,接下來(lái),病毒獲得系統(tǒng)控制權(quán),改寫操作系統(tǒng)文件,隱藏自己,然后計(jì)算機(jī)繼續(xù)啟動(dòng)進(jìn)入WIN200桌面,然后病毒檢測(cè)才開(kāi)始運(yùn)行,病毒完全可能已經(jīng)把自己偽裝起來(lái),讓殺毒軟件找不到。 所以這中病毒一定要用啟動(dòng)盤啟動(dòng)后,再殺,就是為了跳過(guò)讀硬盤引導(dǎo)區(qū)那一段。在后面我會(huì)纖細(xì)介紹。 5、病毒如何自動(dòng)把自身裝入內(nèi)存。 剛才介紹了現(xiàn)在的病毒不會(huì)等待用戶去運(yùn)行染毒文件才進(jìn)駐內(nèi)存,他們都有自己的辦法運(yùn)行自己,進(jìn)駐內(nèi)存,但是有一個(gè)共同的特征就是,他必須把自己放在合適的位置,讓系統(tǒng)在啟動(dòng)的某個(gè)階段自動(dòng)去調(diào)用他。因?yàn)橛?jì)算機(jī)剛剛加電的時(shí)候,系統(tǒng)控制權(quán)是在BIOS手里的(因?yàn)樗钤缪b入內(nèi)存),而B(niǎo)IOS是保存在只讀的ROM中的,所以這時(shí),系統(tǒng)是無(wú)毒的,所以引導(dǎo)型病毒要做的就是在BIOS向操作系統(tǒng)交權(quán)之前也就是讀取啟動(dòng)盤時(shí)截取之。 那么程序型病毒怎么把自身裝如內(nèi)存呢?他沒(méi)有截取控制權(quán)的這個(gè)能力,BIOS會(huì)順利的把控制權(quán)交給操作系統(tǒng),這時(shí),用戶看到的就是開(kāi)始啟動(dòng)WIN200,由于操作系統(tǒng)在啟動(dòng)時(shí)會(huì)讀取大量的動(dòng)態(tài)聯(lián)結(jié)庫(kù)文件,病毒就可以把自己放在一個(gè)合適的位置上,然后告訴WIN2000啟動(dòng)時(shí)把自己讀如內(nèi)存,這一步很好實(shí)現(xiàn),比如大家都知道,QQ啟動(dòng)時(shí)會(huì)被自動(dòng)運(yùn)行,實(shí)際上,程序型病毒自動(dòng)運(yùn)行自己的辦法和QQ從本質(zhì)上是相同的。就是讓系統(tǒng)在啟動(dòng)的某個(gè)階段自動(dòng)去調(diào)用而已。 下面先介紹蠕蟲(chóng)病毒,用他攜帶的木馬程序的自動(dòng)運(yùn)行方式來(lái)介紹一下這個(gè)過(guò)程。 四、關(guān)于蠕蟲(chóng)病毒 我們學(xué)校網(wǎng)絡(luò)中最多的就是蠕蟲(chóng)病毒,所以我要單獨(dú)的說(shuō)一下。 蠕蟲(chóng)病毒是在INTERNET高速發(fā)展后出現(xiàn)的病毒,他具有了一些新特性。大部分的蠕蟲(chóng)病毒是程序型的,不會(huì)感染引導(dǎo)區(qū),他們一般通過(guò)郵件傳播(注意,不是唯一的傳播方式,所有傳統(tǒng)的傳播方式都會(huì)傳播之,并且許多蠕蟲(chóng)病毒會(huì)自己搜索網(wǎng)絡(luò)上沒(méi)有感染的機(jī)器并感染之,他實(shí)際上是一個(gè)寫的很好的以太網(wǎng)傳輸狀態(tài)的檢測(cè)工具^(guò)_^),并且大多攜帶木馬程序,具有根據(jù)微軟服務(wù)軟件的漏洞來(lái)入侵計(jì)算機(jī)的攻擊能力,大部分蠕蟲(chóng)病毒并不破壞計(jì)算機(jī)里的信息,只是瘋狂的去感染其他的計(jì)算機(jī)。感染了蠕蟲(chóng)病毒的計(jì)算機(jī)會(huì)不停的向外發(fā)送信息包,占用CPU可在80%以上,造成本機(jī)運(yùn)行極其緩慢,網(wǎng)絡(luò)擁塞,甚至可以導(dǎo)致網(wǎng)絡(luò)癱瘓。 一般蠕蟲(chóng)病毒會(huì)攜帶木馬程序,安裝在系統(tǒng)目錄中,那么他是怎么自動(dòng)運(yùn)行的那,等一會(huì)我通過(guò)一個(gè)例子來(lái)介紹。 五、什么是木馬 在我校很多機(jī)器中都有木馬軟件。 木馬就是遠(yuǎn)程控制軟件的一種,也稱為后門軟件,其作用就是利用操作系統(tǒng)的漏洞或者使用者的疏忽來(lái)進(jìn)入系統(tǒng)并在遠(yuǎn)程控制下從系統(tǒng)內(nèi)部攻擊系統(tǒng)。因特洛伊木馬病毒是一種比較早期的成功的此種軟件,且有古代戰(zhàn)爭(zhēng)典故,想必大家都知道。所以,后來(lái)多稱此種帶有攻擊性質(zhì)的遠(yuǎn)程控制軟件為木馬 而其他的一些不帶攻擊性質(zhì)的遠(yuǎn)程控制軟件其實(shí)原理都是一樣的,比如, 塞門鐵客(英文不會(huì)寫)的大名鼎鼎的PCANYWHERE就是一個(gè)很成功的遠(yuǎn)程控制軟件 木馬可以被殺毒軟件查殺,所以,這里也把他作為病毒來(lái)處理。 六、殺毒軟件為什么能殺毒 1、 為什么殺毒軟件必須不停的升級(jí) 病毒就是一段代碼,用一些語(yǔ)言寫出來(lái),比如匯編等。沒(méi)種病毒都會(huì)有一些特征,叫做病毒特征碼,實(shí)際上就是病毒代碼中的一段讀一無(wú)二的字符。舉個(gè)容易理解的例子(實(shí)際上不是這樣):比如有個(gè)病毒發(fā)作后會(huì)格式化C:盤,那么病毒代碼中就會(huì)有這么一句命令:FORMAT C:/U (實(shí)際上病毒不會(huì)去用DOS命令的,那太高級(jí)了,他會(huì)直接調(diào)用13號(hào)中斷寫硬盤,所以這里只是一個(gè)例子),那么就可以用FORMAT C: /U這樣一個(gè)字符串作為這個(gè)病毒的特征代碼,殺毒時(shí),把所有的文件打開(kāi),從頭到尾的搜索,如果找到著段代碼,就報(bào)告發(fā)現(xiàn)病毒,然后清除之。 從我描述的這個(gè)過(guò)程大家就可以明白,為什么殺毒軟件必須不停的升級(jí),因?yàn)椋挥幸环N病毒被發(fā)現(xiàn)后,他的特征代碼才能被找到,才能被殺毒軟件識(shí)別。 2、 一個(gè)病毒從制作、傳播到被殺死過(guò)程的例子: 某個(gè)軟件天才某天心情好,寫了一個(gè)病毒,然后開(kāi)始通過(guò)網(wǎng)絡(luò)傳播,然后大批的機(jī)器被感染,然后用戶向殺毒軟件公司抱怨有病毒殺不了,(其實(shí)大部分是殺毒軟件公司的工作人員更早發(fā)現(xiàn)該病毒),然后,軟件公司得到病毒樣本,開(kāi)始分析樣本,找到病毒特征碼,然后更新其病毒庫(kù),令其在殺毒時(shí)也查找這種病毒碼,然后通知用戶,請(qǐng)他們升級(jí)其購(gòu)買的軟件。然后用戶升級(jí),再殺毒,結(jié)果,該病毒被殺死,同時(shí)新的病毒被發(fā)現(xiàn),周而復(fù)始。 所以,殺毒軟件永遠(yuǎn)跟在病毒的后面這是毫無(wú)疑問(wèn)的。從我的敘述中大家可以發(fā)現(xiàn),實(shí)際上,如果一種病毒被發(fā)現(xiàn),幾乎所有的公司都會(huì)得到他的樣本并分析出他的特征碼,然后另其自己的殺毒軟件可以殺死該毒,那么,各種殺毒軟件的優(yōu)劣從何而來(lái)呢? 3、 什么殺毒軟件好? 其實(shí),大家都有一樣的病毒庫(kù),但是,在我剛才描述的查毒過(guò)程中,大家不知道有沒(méi)有注意到,實(shí)際上他是等于在磁盤的所有文件中尋找某段特征代碼,如果你的硬盤有20G的數(shù)據(jù),他就要把這20G的數(shù)據(jù)過(guò)濾一遍,逐個(gè)字符來(lái)對(duì)比,其速度我不說(shuō)你們也能想到。更要命的是一般的病毒庫(kù)都裝了幾萬(wàn)中病毒代碼,哈哈,這么查上幾萬(wàn)遍,查下來(lái),估計(jì)你也從我們學(xué)校畢業(yè)了。所以實(shí)際上各個(gè)公司都有自己的殺毒引擎,實(shí)際上這才是核心技術(shù),他使用的獨(dú)特的算法高速檢查,但就算這樣,查一遍下來(lái)至少也要幾個(gè)小時(shí)。所以,為了提高殺毒效率,可以令殺毒程序只檢查一些可能被感染的文件,比如。EXE 。DLL等,象。BMP 。MPG就不會(huì)被檢查,這樣,時(shí)間就縮短了很多,然后,他們可以只檢查每個(gè)。EXE文件的文件頭,從這里可以發(fā)現(xiàn)病毒修改的蛛絲馬跡。然后,他們開(kāi)始把一些不常見(jiàn)的病毒排除出病毒庫(kù)之外,只檢查一些常見(jiàn)的病毒,就是所謂的快速殺毒。這是為什么不同軟件查出不同病毒的原因之一,再下來(lái),也是最關(guān)鍵的一點(diǎn),就是殺毒軟件根據(jù)病毒代碼判斷病毒是完全有可能發(fā)生誤判,錯(cuò)判的,提高判斷的準(zhǔn)確性必須以犧牲查毒時(shí)間為代價(jià)。所以,不同公司的殺毒引擎提供不同的判斷方法,導(dǎo)致了可能有的軟件查不出來(lái)的毒別的軟件可以查出。 所以,所有的殺毒軟件都包括兩個(gè)主要的部分,一是殺毒引擎,另一個(gè)是病毒數(shù)據(jù)庫(kù)。病毒數(shù)據(jù)庫(kù)必須不停的更新,就我校的情況我個(gè)人推薦半個(gè)月更新一次。 我認(rèn)為,各種殺毒軟件其實(shí)功能相差不多,主要是看哪個(gè)可以迅速更新,再好的殺毒軟件不跟新等于沒(méi)有。
計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
其觸發(fā)機(jī)制是:C盤存在autoexec.bat文件,當(dāng)我們用帶有此病毒的啟動(dòng)軟盤啟動(dòng)微機(jī)時(shí),若C盤也有autoexec.bat文件,則病毒將C盤原autoexec.bat文件改名為auto.bat,把自身復(fù)制到C盤并顯示“Hello Word!”。如果按以前的分類,它可以算是個(gè)良性病毒(但再良的病毒都要占用系統(tǒng)資源)。當(dāng)然它還無(wú)加密和沒(méi)有嚴(yán)重破壞系統(tǒng)的行為,但要是把echo Hello Word!改為format c:或deltree c:/y等那就……
病毒是一種程序!不過(guò)病毒的程序很大牌它會(huì)破壞電腦中的程序或者非法偷看電腦里面的檔案!病毒也等同于軟件的!
慈磚19668977951: 計(jì)算機(jī)病毒是怎么樣產(chǎn)生的 -
平壩縣變速: ______ 隨著電腦的不斷普及,擁有和使用電腦的人越來(lái)越多,應(yīng)用的范圍也越來(lái)越廣,人們會(huì)在各自的電腦上運(yùn)行各種各樣的應(yīng)用軟件.本來(lái)人們運(yùn)行什么樣的軟件是無(wú)可厚非的,但是由于人們?cè)谑褂酶髯缘能浖r(shí)由于種種原因,使得軟件的來(lái)路非常...
慈磚19668977951: 什么是電腦病毒? -
平壩縣變速: ______ 計(jì)算機(jī)病毒”與醫(yī)學(xué)上的“病毒”不同,它不是天然存在的,是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性,編制成的具有特殊功能的程序,通常人們稱之為電腦病毒.1994年2月18日,我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安...
慈磚19668977951: 簡(jiǎn)述計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)可能產(chǎn)生的影響 -
平壩縣變速: ______ 導(dǎo)致系統(tǒng)癱瘓
慈磚19668977951: 介紹一下電腦病毒?
平壩縣變速: ______ 計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn): (1) 寄生性 (2) 傳染性 (3) 潛伏性 (4) 隱蔽性 (5)破壞性 (6)計(jì)算機(jī)病毒的可觸發(fā)性 詳細(xì)請(qǐng)點(diǎn)擊:""" http://baike.baidu.com/view/5339.htm
慈磚19668977951: 計(jì)算機(jī)病毒是什么?仔細(xì)介紹一下
平壩縣變速: ______ 病毒的產(chǎn)生 那么究竟它是如何產(chǎn)生的呢?其過(guò)程可分為:程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、運(yùn)行--實(shí)行攻擊.究其產(chǎn)生的原因不外乎以下幾種: 開(kāi)個(gè)玩笑,一個(gè)惡作劇.某些愛(ài)好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技術(shù)精通的人士為了炫耀自己的高超技術(shù)和智慧,...
慈磚19668977951: 計(jì)算機(jī)病毒是什么?
平壩縣變速: ______ 計(jì)算機(jī)病毒是一種干擾計(jì)算機(jī)正常工作的一些惡意的程序!是一種侵犯他人利益的程序,這種程序會(huì)造成他人的利益或者經(jīng)濟(jì)損失!通常的病毒是通過(guò)修改注冊(cè)表來(lái)達(dá)到干擾計(jì)算機(jī)正常運(yùn)行的目的!但像有些盜號(hào)的病毒則是通過(guò)一些鍵盤記錄程序或者是遠(yuǎn)程桌面連接來(lái)達(dá)到盜號(hào)的目的!像有些病毒是通過(guò)網(wǎng)頁(yè)來(lái)傳播的,種植病毒的人把木馬等惡意程序掛在網(wǎng)頁(yè)上,打開(kāi)該網(wǎng)頁(yè)的用戶就會(huì)中病毒,所以,經(jīng)常升級(jí)殺毒軟件和經(jīng)常定時(shí)的殺毒是防止被盜號(hào)的最好辦法!
慈磚19668977951: 計(jì)算機(jī)病毒的定義 -
平壩縣變速: ______ 計(jì)算機(jī)病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”.
慈磚19668977951: 電腦病毒是什么?
平壩縣變速: ______ 電腦病毒就是由人編寫出來(lái)的帶有破壞性的程序
慈磚19668977951: 幫忙介紹一些對(duì)付電腦病毒的有效的方法可以嗎?謝了
平壩縣變速: ______ 推薦幾個(gè)給你(全部免費(fèi),且可在線升級(jí)): 一、殺毒軟件類 1、瑞星殺毒軟件官方... 金山網(wǎng)鏢的序列號(hào)106500-010802-710731-996656 你需要做以下工作: 1)把你現(xiàn)...
慈磚19668977951: 計(jì)算機(jī)病毒的分類與防范
平壩縣變速: ______ 按破壞性分 ⑴ 良性病毒 ⑵ 惡性病毒 ⑶ 極惡性病毒 ⑷ 災(zāi)難性病毒 按傳染方式分 ⑴ 引導(dǎo)區(qū)型病毒 引導(dǎo)區(qū)型病毒主要通過(guò)軟盤在操作系統(tǒng)中傳播,感染引導(dǎo)區(qū),蔓延到硬盤,并能感染到硬盤中的"主引導(dǎo)記錄". ⑵ 文件型病毒 文件型病毒是文...
計(jì)算機(jī)病毒是一個(gè)程序,一段可執(zhí)行碼 ,對(duì)計(jì)算機(jī)的正常使用進(jìn)行破壞,使得電腦無(wú)法正常使用甚至整個(gè)操作系統(tǒng)或者電腦硬盤損壞。就像生物病毒一樣,計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí),它們就隨同文件一起蔓延開(kāi)來(lái)。這種程序不是獨(dú)立存在的,它隱蔽在其他可執(zhí)行的程序之中,既有破壞性,又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度,使機(jī)器不能正常運(yùn)行;重則使機(jī)器處于癱瘓,會(huì)給用戶帶來(lái)不可估量的損失。通常就把這種具有破壞作用的程序稱為計(jì)算機(jī)病毒。
除復(fù)制能力外,某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí),它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序,它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩,并降低你的計(jì)算機(jī)的全部性能。
1.計(jì)算機(jī)病毒的特點(diǎn)
計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn):
(1) 寄生性
計(jì)算機(jī)病毒寄生在其他程序之中,當(dāng)執(zhí)行這個(gè)程序時(shí),病毒就起破壞作用,而在未啟動(dòng)這個(gè)程序之前,它是不易被人發(fā)覺(jué)的。
(2) 傳染性
計(jì)算機(jī)病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復(fù)制或產(chǎn)生變種,其速度之快令人難以預(yù)防。
(3) 潛伏性
有些病毒像定時(shí)炸彈一樣,讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒,不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái),等到條件具備的時(shí)候一下子就爆炸開(kāi)來(lái),對(duì)系統(tǒng)進(jìn)行破壞。
(4) 隱蔽性
計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性,有的可以通過(guò)病毒軟件檢查出來(lái),有的根本就查不出來(lái),有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常,這類病毒處理起來(lái)通常很困難。
2.計(jì)算機(jī)病毒的表現(xiàn)形式
計(jì)算機(jī)受到病毒感染后,會(huì)表現(xiàn)出不同的癥狀,下邊把一些經(jīng)常碰到的現(xiàn)象列出來(lái),供用戶參考。
(1) 機(jī)器不能正常啟動(dòng)
加電后機(jī)器根本不能啟動(dòng),或者可以啟動(dòng),但所需要的時(shí)間比原來(lái)的啟動(dòng)時(shí)間變長(zhǎng)了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。
(2) 運(yùn)行速度降低
如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí),讀取數(shù)據(jù)的時(shí)間比原來(lái)長(zhǎng),存文件或調(diào)文件的時(shí)間都增加了,那就可能是由于病毒造成的。
(3) 磁盤空間迅速變小
由于病毒程序要進(jìn)駐內(nèi)存,而且又能繁殖,因此使內(nèi)存空間變小甚至變?yōu)椤?”,用戶什么信息也進(jìn)不去。
(4) 文件內(nèi)容和長(zhǎng)度有所改變
一個(gè)文件存入磁盤后,本來(lái)它的長(zhǎng)度和其內(nèi)容都不會(huì)改變,可是由于病毒的干擾,文件長(zhǎng)度可能改變,文件內(nèi)容也可能出現(xiàn)亂碼。有時(shí)文件內(nèi)容無(wú)法顯示或顯示后又消失了。
(5) 經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象
正常的操作是不會(huì)造成死機(jī)現(xiàn)象的,即使是初學(xué)者,命令輸入不對(duì)也不會(huì)死機(jī)。如果機(jī)器經(jīng)常死機(jī),那可能是由于系統(tǒng)被病毒感染了。
(6) 外部設(shè)備工作異常
因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制,如果機(jī)器中有病毒,外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些異常情況,出現(xiàn)一些用理論或經(jīng)驗(yàn)說(shuō)不清道不明的現(xiàn)象。
以上僅列出一些比較常見(jiàn)的病毒表現(xiàn)形式,肯定還會(huì)遇到一些其他的特殊現(xiàn)象,這就需要由用戶自己判斷了。
3.計(jì)算機(jī)病毒的預(yù)防
前面介紹了計(jì)算機(jī)病毒,現(xiàn)在講一下怎樣預(yù)防病毒的問(wèn)題。首先,在思想上重視,加強(qiáng)管理,止病毒的入侵。凡是從外來(lái)的軟盤往機(jī)器中拷信息,都應(yīng)該先對(duì)軟盤進(jìn)行查毒,若有病毒必須清除,這樣可以保證計(jì)算機(jī)不被新的病毒傳染。此外,由于病毒具有潛伏性,可能機(jī)器中還隱蔽著某些舊病毒,一旦時(shí)機(jī)成熟還將發(fā)作,所以,要經(jīng)常對(duì)磁盤進(jìn)行檢查,若發(fā)現(xiàn)病毒就及時(shí)殺除。思想重視是基礎(chǔ),采取有效的查毒與消毒方法是技術(shù)保證。檢查病毒與消除病毒目前通常有兩種手段,一種是在計(jì)算機(jī)中加一塊防病毒卡,另一種是使用防病毒軟件工作原理基本一樣,一般用防病毒軟件的用戶更多一些。切記要注意一點(diǎn),預(yù)防與消除病毒是一項(xiàng)長(zhǎng)期的工作任務(wù),不是一勞永逸的,應(yīng)堅(jiān)持不懈。
計(jì)算機(jī)病毒是在什么情況下出現(xiàn)的?
計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是:
(1)計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式
計(jì)算機(jī)病毒是高技術(shù)犯罪, 具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證, 風(fēng)險(xiǎn)小破壞大, 從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。
(2)計(jì)算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因
計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計(jì)算機(jī)軟件設(shè)計(jì)的手工方式, 效率低下且生產(chǎn)周期長(zhǎng);人們至今沒(méi)有辦法事先了解一個(gè)程序有沒(méi)有錯(cuò)誤, 只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤, 并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。
(3)微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境
1983年11月3日美國(guó)計(jì)算機(jī)專家首次提出了計(jì)算機(jī)病毒的概念并進(jìn)行了驗(yàn)證。幾年前計(jì)算機(jī)病毒就迅速蔓延, 到我國(guó)才是近年來(lái)的事。而這幾年正是我國(guó)微型計(jì)算機(jī)普及應(yīng)用熱潮。微機(jī)的廣泛普及, 操作系統(tǒng)簡(jiǎn)單明了, 軟、硬件透明度高, 基本上沒(méi)有什么安全措施, 能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶日益增多, 對(duì)其存在的缺點(diǎn)和易攻擊處也了解的越來(lái)越清楚, 不同的目的可以做出截然不同的選擇。目前, 在IBM PC系統(tǒng)及其兼容機(jī)上廣泛流行著各種病毒就很說(shuō)明這個(gè)問(wèn)題。
計(jì)算機(jī)病毒是如何分類的?
計(jì)算機(jī)病毒可以從不同的角度分類。若按其表現(xiàn)性質(zhì)可分為良性的和惡性的。良性的危害性小, 不破壞系統(tǒng)和數(shù)據(jù), 但大量占用系統(tǒng)開(kāi)銷, 將使機(jī)器無(wú)法正常工作,陷于癱瘓。如國(guó)內(nèi)出現(xiàn)的圓點(diǎn)病毒就是良性的。惡性病毒可能會(huì)毀壞數(shù)據(jù)文件, 也可能使計(jì)算機(jī)停止工作。若按激活的時(shí)間可分為定時(shí)的和隨機(jī)的。定時(shí)病毒僅在某一特定時(shí)間才發(fā)作, 而隨機(jī)病毒一般不是由時(shí)鐘來(lái)激活的。若按其入侵方式可分操作系統(tǒng)型病毒( 圓點(diǎn)病毒和大麻病毒是典型的操作系統(tǒng)病毒), 這種病毒具有很強(qiáng)的破壞力(用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作), 可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓;原碼病毒, 在程序被編譯之前插入到FORTRAN、C、或PASCAL等語(yǔ)言編制的源程序里, 完成這一工作的病毒程序一般是在語(yǔ)言處理程序或連接程序中;外殼病毒, 常附在主程序的首尾, 對(duì)源程序不作更改, 這種病毒較常見(jiàn), 易于編寫, 也易于發(fā)現(xiàn), 一般測(cè)試可執(zhí)行文件的大小即可知;入侵病毒, 侵入到主程序之中, 并替代主程序中部分不常用到的功能模塊或堆棧區(qū), 這種病毒一般是針對(duì)某些特定程序而編寫的。若按其是否有傳染性又可分為不可傳染性和可傳染性病毒。不可傳染性病毒有可能比可傳染性病毒更具有危險(xiǎn)性和難以預(yù)防。若按傳染方式可分磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒、操作系統(tǒng)傳染的計(jì)算機(jī)病毒和一般應(yīng)用程序傳染的計(jì)算機(jī)病毒。若按其病毒攻擊的機(jī)種分類, 攻擊微型計(jì)算機(jī)的, 攻擊小型機(jī)的, 攻擊工作站的, 其中以攻擊微型計(jì)算機(jī)的病毒為多, 世界上出現(xiàn)的病毒幾乎90%是攻擊IBM PC機(jī)及其兼容機(jī)。
計(jì)算機(jī)病毒的定義
一 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒(Computer Virus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。
二 計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒是人為的特制程序,具有自我復(fù)制能力,很強(qiáng)的感染性,一定的潛伏性,特定的觸發(fā)性和很大的破壞性。
三 病毒存在的必然性計(jì)算機(jī)的信息需要存取、復(fù)制、傳送,病毒作為信息的一種形式可以隨之繁殖、感染、破壞,而當(dāng)病毒取得控制權(quán)之后,他們會(huì)主動(dòng)尋找感染目標(biāo),使自身廣為流傳。
四 計(jì)算機(jī)病毒的長(zhǎng)期性病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播,提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面,但完美的系統(tǒng)是不存在的,過(guò)于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查,系統(tǒng)失去了可用性、實(shí)用性和易用性,另一方面,信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無(wú)法選擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在,兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。
五 計(jì)算機(jī)病毒的產(chǎn)生病毒不是來(lái)源于突發(fā)或偶然的原因.一次突發(fā)的停電和偶然的錯(cuò)誤,會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令,但這些代碼是無(wú)序和混亂的,病毒則是一種比較完美的,精巧嚴(yán)謹(jǐn)?shù)拇a,按照嚴(yán)格的秩序組織起來(lái),與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái),病毒不會(huì)通過(guò)偶然形成,并且需要有一定的長(zhǎng)度,這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的。病毒是人為的特制程序現(xiàn)在流行的病毒是由人為故意編寫的,多數(shù)病毒可以找到作者信息和產(chǎn)地信息,通過(guò)大量的資料分析統(tǒng)計(jì)來(lái)看,病毒作者主要情況和目的是:一些天才的程序員為了表現(xiàn)自己和證明自己的能力,處于對(duì)上司的不滿,為了好奇,為了報(bào)復(fù),為了祝賀和求愛(ài),為了得到控制口令,為了軟件拿不到報(bào)酬預(yù)留的陷阱等.當(dāng)然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒.
六 計(jì)算機(jī)病毒分類根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究,按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法,計(jì)算機(jī)病毒可分類如下:按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類,計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類:
其他計(jì)算機(jī)病毒介紹
按照計(jì)算機(jī)病毒存在的媒體進(jìn)行分類根據(jù)病毒存在的媒體,病毒可以劃分為網(wǎng)絡(luò)病毒,文件病毒,引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件,文件病毒感染計(jì)算機(jī)中的文件(如:COM,EXE,DOC等),引導(dǎo)型病毒感染啟動(dòng)扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的病毒通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時(shí)使用了加密和變形算法。 按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計(jì)算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過(guò)這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。 按照計(jì)算機(jī)病毒破壞的能力進(jìn)行分類根據(jù)病毒破壞的能力可劃分為以下幾種:無(wú)害型除了傳染時(shí)減少磁盤的可用空間外,對(duì)系統(tǒng)沒(méi)有其它影響。無(wú)危險(xiǎn)型這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害,并不是本身的算法中存在危險(xiǎn)的調(diào)用,而是當(dāng)它們傳染時(shí)會(huì)引起無(wú)法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū),這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無(wú)害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如:在早期的病毒中,有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作,不會(huì)造成任何破壞,但是在后來(lái)的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。 按照計(jì)算機(jī)病毒特有的算法進(jìn)行分類根據(jù)病毒特有的算法,病毒可以劃分為:伴隨型病毒這一類病毒并不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件,當(dāng)DOS加載文件時(shí),伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來(lái)的EXE文件。“蠕蟲(chóng)”型病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存,計(jì)算網(wǎng)絡(luò)地址,將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在,一般除了內(nèi)存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲(chóng)”型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過(guò)系統(tǒng)的功能進(jìn)行傳播,按其算法不同可分為:練習(xí)型病毒病毒自身包含錯(cuò)誤,不能進(jìn)行很好的傳播,例如一些病毒在調(diào)試階段。詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改,不易看到資源,使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒(又稱幽靈病毒)這一類病毒使用一個(gè)復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。
七、計(jì)算機(jī)病毒的發(fā)展在病毒的發(fā)展史上,病毒的出現(xiàn)是有規(guī)律的,一般情況下一種新的病毒技術(shù)出現(xiàn)后,病毒迅速發(fā)展,接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升級(jí)后,病毒也會(huì)調(diào)整為新的方式,產(chǎn)生新的病毒技術(shù)。它可劃分為:
DOS引導(dǎo)階段
1987年,計(jì)算機(jī)病毒主要是引導(dǎo)型病毒,具有代表性的是“小球”和“石頭”病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少,功能簡(jiǎn)單,一般需要通過(guò)軟盤啟動(dòng)后使用.引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作,它們修改系統(tǒng)啟動(dòng)扇區(qū),在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播.1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有“石頭2”。 DOS可執(zhí)行階段1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長(zhǎng)度增加。1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。 伴隨,批次型階段1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作,具有代表性的是“金蟬”病毒,它感染EXE文件時(shí)生成一個(gè)和EXE同名但擴(kuò)展名為COM的伴隨體;它感染文件時(shí),改原來(lái)的COM文件為同名的EXE文件,再產(chǎn)生一個(gè)原名的伴隨體,文件擴(kuò)展名為COM,這樣,在DOS加載文件時(shí),病毒就取得控制權(quán).這類病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容,日期及屬性,解除病毒時(shí)只要將其伴隨體刪除即可。在非DOS操作系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作,具有典型代表的是“海盜旗”病毒,它在得到執(zhí)行時(shí),詢問(wèn)用戶名稱和口令,然后返回一個(gè)出錯(cuò)信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。 幽靈,多形階段1994年,隨著匯編語(yǔ)言的發(fā)展,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn),每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導(dǎo)區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。 生成器,變體機(jī)階段1995年,在匯編語(yǔ)言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無(wú)關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成,當(dāng)生成器的生成結(jié)果為病毒時(shí),就產(chǎn)生了這種復(fù)雜的“病毒生成器” ,而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“病毒制造機(jī)” VCL,它可以在瞬間制造出成千上萬(wàn)種不同的病毒,查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法,需要在宏觀上分析指令,解碼后查解病毒。 網(wǎng)絡(luò),蠕蟲(chóng)階段1995年,隨著網(wǎng)絡(luò)的普及,病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播,它們只是以上幾代病毒的改進(jìn).在非DOS操作系統(tǒng)中,“蠕蟲(chóng)”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播,有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。 視窗階段1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開(kāi)始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,解除方法也比較復(fù)雜。 宏病毒階段1996年,隨著Windows Word功能的增強(qiáng),使用Word宏語(yǔ)言也可以編制病毒,這種病毒使用類Basic語(yǔ)言,編寫容易,感染W(wǎng)ord文檔等文件,在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類,由于Word文檔格式?jīng)]有公開(kāi),這類病毒查解比較困難 互連網(wǎng)階段1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多,如果不小心打開(kāi)了這些郵件,機(jī)器就有可能中毒. 爪哇(Java),郵件炸彈階段1997年,隨著萬(wàn)維網(wǎng)(Wold Wide Web)上Java的普及,利用Java語(yǔ)言進(jìn)行傳播和資料獲取的病毒開(kāi)始出現(xiàn),典型的代表是JavaSnake病毒,還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒,例如Mail-Bomb病毒,它會(huì)嚴(yán)重影響因特網(wǎng)的效率。
八 他的破壞行為計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬(wàn)計(jì)不斷發(fā)展擴(kuò)張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據(jù)現(xiàn)有的病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下:
攻擊系統(tǒng)數(shù)據(jù)區(qū),攻擊部位包括:硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。一般來(lái)說(shuō),攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒,受損的數(shù)據(jù)不易恢復(fù)。 攻擊文件病毒對(duì)文件的攻擊方式很多,可列舉如下:刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫入時(shí)間空白、變碎片、假冒文件、丟失文件簇、丟失數(shù)據(jù)文件等。 攻擊內(nèi)存內(nèi)存是計(jì)算機(jī)的重要資源,也是病毒攻擊的主要目標(biāo)之一,病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源,可以導(dǎo)致一些較的大程序難以運(yùn)行。病毒攻擊內(nèi)存的方式如下:占用大量?jī)?nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存等。 干擾系統(tǒng)運(yùn)行病毒會(huì)干擾系統(tǒng)的正常運(yùn)行,以此做為自己的破壞行為,此類行為也是花樣繁多,可以列舉下述諸方式:不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、使文件打不開(kāi)、使內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲、擾亂串行口、并行口等。 速度下降病毒激活時(shí),其內(nèi)部的時(shí)間延遲程序啟動(dòng),在時(shí)鐘中納入了時(shí)間的循環(huán)計(jì)數(shù),迫使計(jì)算機(jī)空轉(zhuǎn),計(jì)算機(jī)速度明顯下降。 攻擊磁盤攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時(shí)丟字節(jié)等。 擾亂屏幕顯示病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫、吃字符等。 鍵盤病毒干擾鍵盤操作,已發(fā)現(xiàn)有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。 喇叭許多病毒運(yùn)行時(shí),會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。有的病毒作者通過(guò)喇叭發(fā)出種種聲音,有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲,在高雅的曲調(diào)中去殺戮人們的信息財(cái)富,已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS 在機(jī)器的CMOS區(qū)中,保存著系統(tǒng)的重要數(shù)據(jù),例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等,并具有校驗(yàn)和。有的病毒激活時(shí),能夠?qū)MOS區(qū)進(jìn)行寫入動(dòng)作,破壞系統(tǒng)CMOS中的數(shù)據(jù)。 干擾打印機(jī)典型現(xiàn)象為:假報(bào)警、間斷性打印、更換字符等。
九、計(jì)算機(jī)病毒的危害性計(jì)算機(jī)資源的損失和破壞,不但會(huì)造成資源和財(cái)富的巨大浪費(fèi),而且有可能造成社會(huì)性的災(zāi)難,隨著信息化社會(huì)的發(fā)展,計(jì)算機(jī)病毒的威脅日益嚴(yán)重,反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒,美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲(chóng)程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使這個(gè)擁有數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對(duì)計(jì)算機(jī)病毒的恐慌,也使更多的計(jì)算機(jī)專家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年,我國(guó)在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒,它對(duì)統(tǒng)計(jì)系統(tǒng)影響極大,此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷,前一段時(shí)間發(fā)現(xiàn)的CIH、美麗殺等病毒更是給社會(huì)造成了很大損失。
3.計(jì)算機(jī)病毒是一個(gè)程序,一段可執(zhí)行碼。就像生物病毒一樣,計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí),它們就隨同文件一起蔓延開(kāi)來(lái)。
除復(fù)制能力外,某些計(jì)算機(jī)病毒還有其它一些共同特性:一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí),它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序,它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩,并降低你的計(jì)算機(jī)的全部性能。
可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過(guò)磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體(如磁盤、內(nèi)存)或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播,使計(jì)算機(jī)的資源受到不同程序的破壞等等。這些說(shuō)法在某種意義上借用了生物學(xué)病毒的概念,計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞,同時(shí)能夠自我復(fù)制, 具有傳染性。所以, 計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)(或程序)里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。
計(jì)算機(jī)病毒寄生方式有哪幾種?
(1)寄生在磁盤引導(dǎo)扇區(qū)中:任何操作系統(tǒng)都有個(gè)自舉過(guò)程, 例如DOS在啟動(dòng)時(shí), 首先由系統(tǒng)讀入引導(dǎo)扇區(qū)記錄并執(zhí)行它, 將DOS讀入內(nèi)存。病毒程序就是利用了這一點(diǎn), 自身占據(jù)了引導(dǎo)扇區(qū)而將原來(lái)的引導(dǎo)扇區(qū)內(nèi)容及其病毒的其他部分放到磁盤的其他空間, 并給這些扇區(qū)標(biāo)志為壞簇。這樣, 系統(tǒng)的一次初始化, 病毒就被激活了。它首先將自身拷貝到內(nèi)存的高端并占據(jù)該范圍, 然后置觸發(fā)條件如INT 13H中斷(磁盤讀寫中斷)向量的修改, 置內(nèi)部時(shí)鐘的某一值為條件等, 最后引入正常的操作系統(tǒng)。以后一旦觸發(fā)條件成熟, 如一個(gè)磁盤讀或?qū)懙恼?qǐng)求, 病毒就被觸發(fā)。如果磁盤沒(méi)有被感染(通過(guò)識(shí)別標(biāo)志)則進(jìn)行傳染。
(2)寄生在可執(zhí)行程序中:這種病毒寄生在正常的可執(zhí)行程序中, 一旦程序執(zhí)行病毒就被激活, 于是病毒程序首先被執(zhí)行, 它將自身常駐內(nèi)存, 然后置觸發(fā)條件, 也可能立即進(jìn)行傳染, 但一般不作表現(xiàn)。做完這些工作后, 開(kāi)始執(zhí)行正常的程序, 病毒程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長(zhǎng)度和一些控制信息, 以保證病毒成為源程序的一部分, 并在執(zhí)行時(shí)首先執(zhí)行它。這種病毒傳染性比較強(qiáng)。
(3)寄生在硬盤的主引導(dǎo)扇區(qū)中:例如大麻病毒感染硬盤的主引導(dǎo)扇區(qū), 該扇區(qū)與DOS無(wú)關(guān)。
計(jì)算機(jī)病毒的工作過(guò)程應(yīng)包括哪些環(huán)節(jié)?
計(jì)算機(jī)病毒的完整工作過(guò)程應(yīng)包括以下幾個(gè)環(huán)節(jié):
(1)傳染源:病毒總是依附于某些存儲(chǔ)介質(zhì), 例如軟盤、 硬盤等構(gòu)成傳染源。
(2)傳染媒介:病毒傳染的媒介由工作的環(huán)境來(lái)定, 可能是計(jì)算機(jī)網(wǎng), 也可能是可移動(dòng)的存儲(chǔ)介質(zhì), 例如軟磁盤等。
(3)病毒激活:是指將病毒裝入內(nèi)存, 并設(shè)置觸發(fā)條件, 一旦觸發(fā)條件成熟, 病毒就開(kāi)始作用--自我復(fù)制到傳染對(duì)象中, 進(jìn)行各種破壞活動(dòng)等。
(4)病毒觸發(fā):計(jì)算機(jī)病毒一旦被激活, 立刻就發(fā)生作用, 觸發(fā)的條件是多樣化的, 可以是內(nèi)部時(shí)鐘, 系統(tǒng)的日期, 用戶標(biāo)識(shí)符,也可能是系統(tǒng)一次通信等等。
(5)病毒表現(xiàn):表現(xiàn)是病毒的主要目的之一, 有時(shí)在屏幕顯示出來(lái), 有時(shí)則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)。可以這樣說(shuō), 凡是軟件技術(shù)能夠觸發(fā)到的地方, 都在其表現(xiàn)范圍內(nèi)。
(6)傳染:病毒的傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中, 病毒復(fù)制一個(gè)自身副本到傳染對(duì)象中去。
不同種類的計(jì)算機(jī)病毒的傳染方法有何不同?
從病毒的傳染方式上來(lái)講, 所有病毒到目前為止可以歸結(jié)于三類:感染用戶程序的計(jì)算機(jī)病毒;感染操作系統(tǒng)文件的計(jì)算機(jī)病毒;感染磁盤引導(dǎo)扇區(qū)的計(jì)算機(jī)病毒。這三類病毒的傳染方式均不相同。
感染用戶應(yīng)用程序的計(jì)算機(jī)病毒的傳染方式是病毒以鏈接的方式對(duì)應(yīng)用程序進(jìn)行傳染。這種病毒在一個(gè)受傳染的應(yīng)用程序執(zhí)行時(shí)獲得控制權(quán), 同時(shí)掃描計(jì)算機(jī)系統(tǒng)在硬盤或軟盤上的另外的應(yīng)用程序, 若發(fā)現(xiàn)這些程序時(shí), 就鏈接在應(yīng)用程序中, 完成傳染, 返回正常的應(yīng)用程序并繼續(xù)執(zhí)行。
感染操作系統(tǒng)文件的計(jì)算機(jī)病毒的傳染方式是通過(guò)與操作系統(tǒng)中所有的模塊或程序鏈接來(lái)進(jìn)行傳染。由于操作系統(tǒng)的某些程序是在系統(tǒng)啟動(dòng)過(guò)程中調(diào)入內(nèi)存的, 所以傳染操作系統(tǒng)的病毒是通過(guò)鏈接某個(gè)操作系統(tǒng)中的程序或模塊并隨著它們的運(yùn)行進(jìn)入內(nèi)存的。病毒進(jìn)入內(nèi)存后就判斷是否滿足條件時(shí)則進(jìn)行傳?/ca>
如果你的計(jì)算機(jī)感染了病毒,那么系統(tǒng)的運(yùn)行速度會(huì)大幅度變慢。病毒入侵后,首先占領(lǐng)內(nèi)存這個(gè)據(jù)點(diǎn),然后便以此為根據(jù)地在內(nèi)存中開(kāi)始漫無(wú)休止地復(fù)制自己,隨著它越來(lái)越龐大,很快就占用了系統(tǒng)大量的內(nèi)存,導(dǎo)致正常程序運(yùn)行時(shí)因缺少主內(nèi)存而變慢,甚至不能啟動(dòng);同時(shí)病毒程序會(huì)迫使CPU轉(zhuǎn)而執(zhí)行無(wú)用的垃圾程序,使得系統(tǒng)始終處于忙碌狀態(tài),從而影響了正常程序的運(yùn)行,導(dǎo)致計(jì)算機(jī)速度變慢。下面我們就介紹幾種能使系統(tǒng)變慢的病毒。
1、使系統(tǒng)變慢的bride病毒
病毒類型:黑客程序
發(fā)作時(shí)間:隨機(jī)
傳播方式:網(wǎng)絡(luò)
感染對(duì)象:網(wǎng)絡(luò)
警惕程度:★★★★
病毒介紹:
此病毒可以在Windows 2000、Windows XP等操作系統(tǒng)環(huán)境下正常運(yùn)行。運(yùn)行時(shí)會(huì)自動(dòng)連接網(wǎng)站,如果無(wú)法連接到此網(wǎng)站,則病毒會(huì)休眠幾分鐘,然后修改注冊(cè)表將自己加入注冊(cè)表自啟動(dòng)項(xiàng),病毒會(huì)釋放出四個(gè)病毒體和一個(gè)有漏洞的病毒郵件并通過(guò)郵件系統(tǒng)向外亂發(fā)郵件,病毒還會(huì)釋放出FUNLOVE病毒感染局域網(wǎng)計(jì)算機(jī),最后病毒還會(huì)殺掉已知的幾十家反病毒軟件,使這些反病毒軟件失效。
病毒特征
如果用戶發(fā)現(xiàn)計(jì)算機(jī)中有這些特征,則很有可能中了此病毒。
·病毒運(yùn)行后會(huì)自動(dòng)連接網(wǎng)站。
·病毒會(huì)釋放出Bride.exe,Msconfig.exe,Regedit.exe三個(gè)文件到系統(tǒng)目錄;釋放出:Help.eml, Explorer.exe文件到桌面。
·病毒會(huì)在注冊(cè)表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項(xiàng)中加入病毒Regedit.exe的路徑。
·病毒運(yùn)行時(shí)會(huì)釋放出一個(gè)FUNLOVE病毒并將之執(zhí)行,而FUNLOVE病毒會(huì)在計(jì)算機(jī)中大量繁殖,造成系統(tǒng)變慢,網(wǎng)絡(luò)阻塞。
·病毒會(huì)尋找計(jì)算機(jī)中的郵件地址,然后按照地址向外大量發(fā)送標(biāo)題為:<被感染的計(jì)算機(jī)機(jī)名>(例:如果用戶的計(jì)算機(jī)名為:張冬, 則病毒郵件的標(biāo)題為:張冬)的病毒郵件。
·病毒還會(huì)殺掉幾十家國(guó)外著名的反病毒軟件。
用戶如果在自己的計(jì)算機(jī)中發(fā)現(xiàn)以上全部或部分現(xiàn)象,則很有可能中了Bride(Worm.bride)病毒,請(qǐng)用戶立刻用手中的殺毒軟件進(jìn)行清除。
2、使系統(tǒng)變慢的阿芙倫病毒
病毒類型:蠕蟲(chóng)病毒
發(fā)作時(shí)間:隨機(jī)
傳播方式:網(wǎng)絡(luò)/文件
感染對(duì)象:網(wǎng)絡(luò)
警惕程度:★★★★
病毒介紹:
此病毒可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系統(tǒng)環(huán)境下正常運(yùn)行。病毒運(yùn)行時(shí)將自己復(fù)到到TEMP、SYSTEM、RECYCLED目錄下,并隨機(jī)生成文件名。該病毒運(yùn)行后,會(huì)使消耗大量的系統(tǒng)資源,使系統(tǒng)明顯變慢,并且殺掉一些正在運(yùn)行的反病毒軟件,建立四個(gè)線程在局域網(wǎng)中瘋狂傳播。
病毒特征
如果用戶發(fā)現(xiàn)計(jì)算機(jī)中有這些特征,則很有可能中了此病毒:
·病毒運(yùn)行時(shí)會(huì)將自己復(fù)到到TEMP、SYSTEM、RECYCLED目錄下,文件名隨機(jī)
·病毒運(yùn)行時(shí)會(huì)使系統(tǒng)明顯變慢
·病毒會(huì)殺掉一些正在運(yùn)行的反病毒軟件
·病毒會(huì)修改注冊(cè)表的自啟動(dòng)項(xiàng)進(jìn)行自啟動(dòng)
·病毒會(huì)建立四個(gè)線程在局域網(wǎng)中傳播
用戶如果在自己的計(jì)算機(jī)中發(fā)現(xiàn)以上全部或部分現(xiàn)象,則很有可能中了“阿芙倫(Worm.Avron)”病毒,由于此病毒沒(méi)有固定的病毒文件名,所以,最好還是選用殺毒軟件進(jìn)行清除。
3、惡性蠕蟲(chóng) 震蕩波
病毒名稱: Worm.Sasser
中文名稱: 震蕩波
病毒別名: W32/Sasser.worm [Mcafee]
病毒類型: 蠕蟲(chóng)
受影響系統(tǒng):WinNT/Win2000/WinXP/Win2003
病毒感染癥狀:
·莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī);
·系統(tǒng)速度極慢,cpu占用100%;
·網(wǎng)絡(luò)變慢;
·最重要的是,任務(wù)管理器里有一個(gè)叫"avserve.exe"的進(jìn)程在運(yùn)行!
破壞方式:
·利用WINDOWS平臺(tái)的 Lsass 漏洞進(jìn)行廣泛傳播,開(kāi)啟上百個(gè)線程不停攻擊其它網(wǎng)上其它系統(tǒng),堵塞網(wǎng)絡(luò)。病毒的攻擊行為可讓系統(tǒng)不停的倒計(jì)時(shí)重啟。
·和最近出現(xiàn)的大部分蠕蟲(chóng)病毒不同,該病毒并不通過(guò)郵件傳播,而是通過(guò)命令易受感染的機(jī)器
下載特定文件并運(yùn)行,來(lái)達(dá)到感染的目的。
·文件名為:avserve.exe
解決方案:
·請(qǐng)升級(jí)您的操作系統(tǒng),免受攻擊
·請(qǐng)打開(kāi)個(gè)人防火墻屏蔽端口:445、5554和9996,防止名為avserve.exe的程序訪問(wèn)網(wǎng)絡(luò)
·手工解決方案:
首先,若系統(tǒng)為WinMe/WinXP,則請(qǐng)先關(guān)閉系統(tǒng)還原功能;
步驟一,使用進(jìn)程程序管理器結(jié)束病毒進(jìn)程
右鍵單擊任務(wù)欄,彈出菜單,選擇“任務(wù)管理器”,調(diào)出“Windows任務(wù)管理器”窗口。在任務(wù)管理器中,單擊“進(jìn)程”標(biāo)簽,在例表欄內(nèi)找到病毒進(jìn)程“avserve.exe”,單擊“結(jié)束進(jìn)程按鈕”,點(diǎn)擊“是”,結(jié)束病毒進(jìn)程,然后關(guān)閉“Windows任務(wù)管理器”;
步驟二,查找并刪除病毒程序
通過(guò)“我的電腦”或“資源管理器”進(jìn)入 系統(tǒng)安裝目錄(Winnt或windows),找到文件“avser ve.exe”,將它刪除;然后進(jìn)入系統(tǒng)目錄(Winntsystem32或windowssystem32),找 到文件"*_up.exe", 將它們刪除;
步驟三,清除病毒在注冊(cè)表里添加的項(xiàng)
打開(kāi)注冊(cè)表編輯器: 點(diǎn)擊開(kāi)始——>運(yùn)行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到后雙擊):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
在右邊的面板中, 找到并刪除如下項(xiàng)目:"avserve.exe" = %SystemRoot%avserve.exe
關(guān)閉注冊(cè)表編輯器。
第二部份 系統(tǒng)加速
一、Windows 98
一、病毒定義 所謂病毒就是一段代碼,其本質(zhì)和大家使用的QQ、WORD什么的程序沒(méi)有區(qū)別,只不過(guò)制作者令其具有了自我復(fù)制和定時(shí)發(fā)作進(jìn)行破壞功能。一般病毒都在1K到數(shù)K大小。 二、病毒種類 我們所遇到的病毒可分引導(dǎo)型(感染磁盤引導(dǎo)區(qū))程序型(感染可執(zhí)行文件)宏病毒(感染W(wǎng)ORD文檔)等。 三、病毒工作原理 計(jì)算機(jī)系統(tǒng)的內(nèi)存是一個(gè)非常重要的資源,我們可以認(rèn)為所有的工作都需要在內(nèi)存中運(yùn)行(相當(dāng)與人的大腦),所以控制了內(nèi)存就相當(dāng)于控制了人的大腦,病毒一般都是通過(guò)各種方式把自己植入內(nèi)存,獲取系統(tǒng)最高控制權(quán),然后感染在內(nèi)存中運(yùn)行的程序。(注意,所有的程序都在內(nèi)存中運(yùn)行,也就是說(shuō),在感染了病毒后,你所有運(yùn)行過(guò)的程序都有可能被傳染上,感染那些文件這由病毒的特性所決定) 1、程序型病毒的工作原理。 這是目前最多的一類病毒,主要感染.exe 和 .dll 等可執(zhí)行文件和動(dòng)態(tài)連接庫(kù)文件,比如很多的蠕蟲(chóng)病毒都是這樣。注意蠕蟲(chóng)病毒不是一個(gè)病毒,而是一個(gè)種類。他的特點(diǎn)是針對(duì)目前INTERNET高速發(fā)展,主要在網(wǎng)絡(luò)上傳播,當(dāng)他感染了一臺(tái)計(jì)算機(jī)之后,可以自動(dòng)的把自己通過(guò)網(wǎng)絡(luò)發(fā)送出去,比如發(fā)送給同一居欲網(wǎng)的用戶或者自動(dòng)讀取你的EMAIL列表,自動(dòng)給你的朋友發(fā)EMAIL等等。感染了蠕蟲(chóng)病毒的機(jī)器一秒種可能會(huì)發(fā)送幾百個(gè)包來(lái)探測(cè)起周圍的機(jī)器。會(huì)造成網(wǎng)絡(luò)資源的巨大浪費(fèi)。所以這次我們殺毒主要是針對(duì)這種病毒。 那么病毒是怎么傳染的那? 切記:病毒傳染的前提就是,他必須把自己復(fù)制到內(nèi)存中,硬盤中的帶毒文件如果沒(méi)有被讀入內(nèi)寸,是不會(huì)傳染的,這在殺毒中非常重要。而且,計(jì)算機(jī)斷電后內(nèi)存內(nèi)容會(huì)丟失這我想大家都知道。 所以:病毒和殺毒軟件斗爭(zhēng)的焦點(diǎn)就在于爭(zhēng)奪啟動(dòng)后的內(nèi)存控制權(quán)。 2、程序型病毒是怎么傳播的。 病毒傳播最主要的途徑是網(wǎng)絡(luò),還有軟盤和光盤。比如,我正在工作時(shí),朋友拿來(lái)一個(gè)帶病毒的軟盤,比如,該病毒感染了磁盤里的A文件,我運(yùn)行了一下這個(gè)A文件,病毒就被讀如內(nèi)存,如果你不運(yùn)行染毒文件,程序型病毒是不會(huì)感染你的機(jī)器的(不要罵,我這里說(shuō)的是程序型病毒,后面我會(huì)說(shuō)引導(dǎo)型病毒,他只要打開(kāi)軟盤就會(huì)感染)當(dāng)染毒文件被運(yùn)行,病毒就進(jìn)入內(nèi)存,并獲取了內(nèi)存控制權(quán),開(kāi)始感染所有之后運(yùn)行的文件。比如我運(yùn)行了WORD。EXE ,則該文件被感染,病毒把自己復(fù)制一份,加在WORD.EXE文件的后面,會(huì)使該文件長(zhǎng)度增加1到幾個(gè)K。(不是所有病毒都這樣,我舉這個(gè)離子只是想介紹病毒感染過(guò)程) 好,接下來(lái),比如說(shuō)我關(guān)機(jī)了,則內(nèi)存中的病毒被清除,我機(jī)子中所有的染毒文件只有WORD.exe。第二天,我又開(kāi)機(jī)時(shí),內(nèi)存是干凈的。比如我需要用WORD,于是,該染毒文件中的病毒被讀如內(nèi)存,繼續(xù)感染下面運(yùn)行的程序,周而復(fù)始,時(shí)間越長(zhǎng),染毒文件越多。 到了一定時(shí)間,病毒開(kāi)始發(fā)作(根據(jù)病毒作者定義的條件,有的是時(shí)間,比如CIH,有的是感染規(guī)模等等)執(zhí)行病毒作者定義的操作,比如無(wú)限復(fù)制,占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡(luò)傳播甚至格式化磁盤等等。 但是,無(wú)論如何,病毒只不過(guò)是一段代碼,他不可能破壞硬件(歡迎和我討論),就算是CIH也不是破壞硬件,他只是改寫了BIOS中的數(shù)據(jù),實(shí)際上還是軟破壞。什么叫破壞硬件?就是病毒發(fā)作時(shí),你的硬盤啪的一下裂成兩半,可能嗎? 所以,完全不必懼怕病毒,他不會(huì)讓我門受到太大的經(jīng)濟(jì)損失,如果我們養(yǎng)成良好的工作習(xí)慣的話(比如自己的文檔不要保存在C盤等,后面我會(huì)細(xì)說(shuō)) 3、引導(dǎo)型病毒的工作原理 看了前面的病毒傳染過(guò)程,大家很容易想到,只要我啟動(dòng)計(jì)算機(jī)后不運(yùn)行染毒程序,直接刪除不就可以了。實(shí)際上,現(xiàn)在的病毒沒(méi)有那么弱智的,下面我門來(lái)看看其他的幾種傳染機(jī)制,首先看看引導(dǎo)型病毒 剛才說(shuō)了,病毒必須進(jìn)入內(nèi)存才可以繼續(xù)感染,只有被運(yùn)行他才可以進(jìn)入內(nèi)存,那么與等用戶來(lái)運(yùn)行,如果用戶長(zhǎng)期不用這個(gè)染度文件,豈不是等的花而也謝了。引導(dǎo)型病毒感染的不是文件,而是磁盤引導(dǎo)區(qū),他把自己寫入引導(dǎo)區(qū),這樣,只要磁盤被讀寫,病毒就首先被讀取入內(nèi)存。這就是為什么殺毒要用干凈的啟動(dòng)盤啟動(dòng),為的就是防止引導(dǎo)型病毒。下面我詳細(xì)的談一下磁盤引導(dǎo)區(qū),看不懂的可以跳過(guò)去。 4、引導(dǎo)型病毒是如何傳播的 在計(jì)算機(jī)啟動(dòng)時(shí),必須讀取硬盤主引導(dǎo)區(qū)獲得分區(qū)信息,再讀取C:盤引導(dǎo)區(qū)獲取操作系統(tǒng)信息,這時(shí)候任何殺毒軟件都無(wú)法控制,這樣我先介紹一下計(jì)算機(jī)的啟動(dòng)順序,大家只要記住一點(diǎn)就是:任何程序都要被讀入內(nèi)存才會(huì)起作用。 計(jì)算機(jī)加電后,內(nèi)存是空的,首先從BIOS中讀取一些啟動(dòng)參數(shù)到內(nèi)存中,這些命令控制計(jì)算機(jī)去做下一步工作就是自檢。(BIOS就是固化在ROM中的基本輸入輸出系統(tǒng)的意思,ROM是只讀存儲(chǔ)器,因?yàn)橛?jì)算機(jī)是一個(gè)機(jī)電設(shè)備,他不會(huì)自己干什么事情,必須由軟件,也就是人事先寫好的程序來(lái)控制他工作,而這些程序必須被讀入內(nèi)存才可以控制計(jì)算機(jī),哈哈越扯越遠(yuǎn)了,不說(shuō)了,在將就變成計(jì)算機(jī)基礎(chǔ)講座了,哈哈) 接下來(lái),計(jì)算機(jī)自檢,發(fā)現(xiàn)硬盤,讀取硬盤主引導(dǎo)程序到內(nèi)存中,再讀取C盤的引導(dǎo)程序到內(nèi)存中,再讀取操作系統(tǒng)文件到內(nèi)存中,然后開(kāi)始由操作系統(tǒng)文件控制計(jì)算機(jī)開(kāi)始啟動(dòng)。啟動(dòng)完畢后,讀入各種自動(dòng)運(yùn)行的文件,比如天網(wǎng)放火墻、QQ、病毒監(jiān)測(cè)軟件、等等, 前面說(shuō)過(guò),誰(shuí)先進(jìn)入內(nèi)存,誰(shuí)先占據(jù)系統(tǒng)控制權(quán),從上面的啟動(dòng)順序可以發(fā)現(xiàn),如果病毒在引導(dǎo)區(qū),那么,他被讀入內(nèi)存的時(shí)候,殺毒軟件還不知道在那里呢。 舉個(gè)離子:比如我拿了一張染有引導(dǎo)型病毒的軟盤用,當(dāng)我雙擊A盤圖標(biāo)后,計(jì)算機(jī)開(kāi)始讀軟盤,首先讀入軟盤引導(dǎo)區(qū),病毒隨之進(jìn)入內(nèi)存,并立即把自己寫入硬盤引導(dǎo)區(qū)(如果開(kāi)了病毒檢測(cè),則時(shí)可以檢測(cè)到并殺之)。如果沒(méi)有裝殺毒軟件,檢測(cè)布道,則下次開(kāi)機(jī)時(shí),計(jì)算機(jī)自檢之后,讀硬盤引導(dǎo)區(qū)時(shí)就會(huì)同時(shí)讀入病毒,接下來(lái),病毒獲得系統(tǒng)控制權(quán),改寫操作系統(tǒng)文件,隱藏自己,然后計(jì)算機(jī)繼續(xù)啟動(dòng)進(jìn)入WIN200桌面,然后病毒檢測(cè)才開(kāi)始運(yùn)行,病毒完全可能已經(jīng)把自己偽裝起來(lái),讓殺毒軟件找不到。 所以這中病毒一定要用啟動(dòng)盤啟動(dòng)后,再殺,就是為了跳過(guò)讀硬盤引導(dǎo)區(qū)那一段。在后面我會(huì)纖細(xì)介紹。 5、病毒如何自動(dòng)把自身裝入內(nèi)存。 剛才介紹了現(xiàn)在的病毒不會(huì)等待用戶去運(yùn)行染毒文件才進(jìn)駐內(nèi)存,他們都有自己的辦法運(yùn)行自己,進(jìn)駐內(nèi)存,但是有一個(gè)共同的特征就是,他必須把自己放在合適的位置,讓系統(tǒng)在啟動(dòng)的某個(gè)階段自動(dòng)去調(diào)用他。因?yàn)橛?jì)算機(jī)剛剛加電的時(shí)候,系統(tǒng)控制權(quán)是在BIOS手里的(因?yàn)樗钤缪b入內(nèi)存),而B(niǎo)IOS是保存在只讀的ROM中的,所以這時(shí),系統(tǒng)是無(wú)毒的,所以引導(dǎo)型病毒要做的就是在BIOS向操作系統(tǒng)交權(quán)之前也就是讀取啟動(dòng)盤時(shí)截取之。 那么程序型病毒怎么把自身裝如內(nèi)存呢?他沒(méi)有截取控制權(quán)的這個(gè)能力,BIOS會(huì)順利的把控制權(quán)交給操作系統(tǒng),這時(shí),用戶看到的就是開(kāi)始啟動(dòng)WIN200,由于操作系統(tǒng)在啟動(dòng)時(shí)會(huì)讀取大量的動(dòng)態(tài)聯(lián)結(jié)庫(kù)文件,病毒就可以把自己放在一個(gè)合適的位置上,然后告訴WIN2000啟動(dòng)時(shí)把自己讀如內(nèi)存,這一步很好實(shí)現(xiàn),比如大家都知道,QQ啟動(dòng)時(shí)會(huì)被自動(dòng)運(yùn)行,實(shí)際上,程序型病毒自動(dòng)運(yùn)行自己的辦法和QQ從本質(zhì)上是相同的。就是讓系統(tǒng)在啟動(dòng)的某個(gè)階段自動(dòng)去調(diào)用而已。 下面先介紹蠕蟲(chóng)病毒,用他攜帶的木馬程序的自動(dòng)運(yùn)行方式來(lái)介紹一下這個(gè)過(guò)程。 四、關(guān)于蠕蟲(chóng)病毒 我們學(xué)校網(wǎng)絡(luò)中最多的就是蠕蟲(chóng)病毒,所以我要單獨(dú)的說(shuō)一下。 蠕蟲(chóng)病毒是在INTERNET高速發(fā)展后出現(xiàn)的病毒,他具有了一些新特性。大部分的蠕蟲(chóng)病毒是程序型的,不會(huì)感染引導(dǎo)區(qū),他們一般通過(guò)郵件傳播(注意,不是唯一的傳播方式,所有傳統(tǒng)的傳播方式都會(huì)傳播之,并且許多蠕蟲(chóng)病毒會(huì)自己搜索網(wǎng)絡(luò)上沒(méi)有感染的機(jī)器并感染之,他實(shí)際上是一個(gè)寫的很好的以太網(wǎng)傳輸狀態(tài)的檢測(cè)工具^(guò)_^),并且大多攜帶木馬程序,具有根據(jù)微軟服務(wù)軟件的漏洞來(lái)入侵計(jì)算機(jī)的攻擊能力,大部分蠕蟲(chóng)病毒并不破壞計(jì)算機(jī)里的信息,只是瘋狂的去感染其他的計(jì)算機(jī)。感染了蠕蟲(chóng)病毒的計(jì)算機(jī)會(huì)不停的向外發(fā)送信息包,占用CPU可在80%以上,造成本機(jī)運(yùn)行極其緩慢,網(wǎng)絡(luò)擁塞,甚至可以導(dǎo)致網(wǎng)絡(luò)癱瘓。 一般蠕蟲(chóng)病毒會(huì)攜帶木馬程序,安裝在系統(tǒng)目錄中,那么他是怎么自動(dòng)運(yùn)行的那,等一會(huì)我通過(guò)一個(gè)例子來(lái)介紹。 五、什么是木馬 在我校很多機(jī)器中都有木馬軟件。 木馬就是遠(yuǎn)程控制軟件的一種,也稱為后門軟件,其作用就是利用操作系統(tǒng)的漏洞或者使用者的疏忽來(lái)進(jìn)入系統(tǒng)并在遠(yuǎn)程控制下從系統(tǒng)內(nèi)部攻擊系統(tǒng)。因特洛伊木馬病毒是一種比較早期的成功的此種軟件,且有古代戰(zhàn)爭(zhēng)典故,想必大家都知道。所以,后來(lái)多稱此種帶有攻擊性質(zhì)的遠(yuǎn)程控制軟件為木馬 而其他的一些不帶攻擊性質(zhì)的遠(yuǎn)程控制軟件其實(shí)原理都是一樣的,比如, 塞門鐵客(英文不會(huì)寫)的大名鼎鼎的PCANYWHERE就是一個(gè)很成功的遠(yuǎn)程控制軟件 木馬可以被殺毒軟件查殺,所以,這里也把他作為病毒來(lái)處理。 六、殺毒軟件為什么能殺毒 1、 為什么殺毒軟件必須不停的升級(jí) 病毒就是一段代碼,用一些語(yǔ)言寫出來(lái),比如匯編等。沒(méi)種病毒都會(huì)有一些特征,叫做病毒特征碼,實(shí)際上就是病毒代碼中的一段讀一無(wú)二的字符。舉個(gè)容易理解的例子(實(shí)際上不是這樣):比如有個(gè)病毒發(fā)作后會(huì)格式化C:盤,那么病毒代碼中就會(huì)有這么一句命令:FORMAT C:/U (實(shí)際上病毒不會(huì)去用DOS命令的,那太高級(jí)了,他會(huì)直接調(diào)用13號(hào)中斷寫硬盤,所以這里只是一個(gè)例子),那么就可以用FORMAT C: /U這樣一個(gè)字符串作為這個(gè)病毒的特征代碼,殺毒時(shí),把所有的文件打開(kāi),從頭到尾的搜索,如果找到著段代碼,就報(bào)告發(fā)現(xiàn)病毒,然后清除之。 從我描述的這個(gè)過(guò)程大家就可以明白,為什么殺毒軟件必須不停的升級(jí),因?yàn)椋挥幸环N病毒被發(fā)現(xiàn)后,他的特征代碼才能被找到,才能被殺毒軟件識(shí)別。 2、 一個(gè)病毒從制作、傳播到被殺死過(guò)程的例子: 某個(gè)軟件天才某天心情好,寫了一個(gè)病毒,然后開(kāi)始通過(guò)網(wǎng)絡(luò)傳播,然后大批的機(jī)器被感染,然后用戶向殺毒軟件公司抱怨有病毒殺不了,(其實(shí)大部分是殺毒軟件公司的工作人員更早發(fā)現(xiàn)該病毒),然后,軟件公司得到病毒樣本,開(kāi)始分析樣本,找到病毒特征碼,然后更新其病毒庫(kù),令其在殺毒時(shí)也查找這種病毒碼,然后通知用戶,請(qǐng)他們升級(jí)其購(gòu)買的軟件。然后用戶升級(jí),再殺毒,結(jié)果,該病毒被殺死,同時(shí)新的病毒被發(fā)現(xiàn),周而復(fù)始。 所以,殺毒軟件永遠(yuǎn)跟在病毒的后面這是毫無(wú)疑問(wèn)的。從我的敘述中大家可以發(fā)現(xiàn),實(shí)際上,如果一種病毒被發(fā)現(xiàn),幾乎所有的公司都會(huì)得到他的樣本并分析出他的特征碼,然后另其自己的殺毒軟件可以殺死該毒,那么,各種殺毒軟件的優(yōu)劣從何而來(lái)呢? 3、 什么殺毒軟件好? 其實(shí),大家都有一樣的病毒庫(kù),但是,在我剛才描述的查毒過(guò)程中,大家不知道有沒(méi)有注意到,實(shí)際上他是等于在磁盤的所有文件中尋找某段特征代碼,如果你的硬盤有20G的數(shù)據(jù),他就要把這20G的數(shù)據(jù)過(guò)濾一遍,逐個(gè)字符來(lái)對(duì)比,其速度我不說(shuō)你們也能想到。更要命的是一般的病毒庫(kù)都裝了幾萬(wàn)中病毒代碼,哈哈,這么查上幾萬(wàn)遍,查下來(lái),估計(jì)你也從我們學(xué)校畢業(yè)了。所以實(shí)際上各個(gè)公司都有自己的殺毒引擎,實(shí)際上這才是核心技術(shù),他使用的獨(dú)特的算法高速檢查,但就算這樣,查一遍下來(lái)至少也要幾個(gè)小時(shí)。所以,為了提高殺毒效率,可以令殺毒程序只檢查一些可能被感染的文件,比如。EXE 。DLL等,象。BMP 。MPG就不會(huì)被檢查,這樣,時(shí)間就縮短了很多,然后,他們可以只檢查每個(gè)。EXE文件的文件頭,從這里可以發(fā)現(xiàn)病毒修改的蛛絲馬跡。然后,他們開(kāi)始把一些不常見(jiàn)的病毒排除出病毒庫(kù)之外,只檢查一些常見(jiàn)的病毒,就是所謂的快速殺毒。這是為什么不同軟件查出不同病毒的原因之一,再下來(lái),也是最關(guān)鍵的一點(diǎn),就是殺毒軟件根據(jù)病毒代碼判斷病毒是完全有可能發(fā)生誤判,錯(cuò)判的,提高判斷的準(zhǔn)確性必須以犧牲查毒時(shí)間為代價(jià)。所以,不同公司的殺毒引擎提供不同的判斷方法,導(dǎo)致了可能有的軟件查不出來(lái)的毒別的軟件可以查出。 所以,所有的殺毒軟件都包括兩個(gè)主要的部分,一是殺毒引擎,另一個(gè)是病毒數(shù)據(jù)庫(kù)。病毒數(shù)據(jù)庫(kù)必須不停的更新,就我校的情況我個(gè)人推薦半個(gè)月更新一次。 我認(rèn)為,各種殺毒軟件其實(shí)功能相差不多,主要是看哪個(gè)可以迅速更新,再好的殺毒軟件不跟新等于沒(méi)有。
計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
其觸發(fā)機(jī)制是:C盤存在autoexec.bat文件,當(dāng)我們用帶有此病毒的啟動(dòng)軟盤啟動(dòng)微機(jī)時(shí),若C盤也有autoexec.bat文件,則病毒將C盤原autoexec.bat文件改名為auto.bat,把自身復(fù)制到C盤并顯示“Hello Word!”。如果按以前的分類,它可以算是個(gè)良性病毒(但再良的病毒都要占用系統(tǒng)資源)。當(dāng)然它還無(wú)加密和沒(méi)有嚴(yán)重破壞系統(tǒng)的行為,但要是把echo Hello Word!改為format c:或deltree c:/y等那就……
病毒是一種程序!不過(guò)病毒的程序很大牌它會(huì)破壞電腦中的程序或者非法偷看電腦里面的檔案!病毒也等同于軟件的!
局域網(wǎng)中電腦病毒入侵的原理及防范方法
一、局域網(wǎng)病毒入侵原理及現(xiàn)象 一般來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)節(jié)點(diǎn)站(包括有盤工作站、無(wú)盤工作站和遠(yuǎn)程工作站)。計(jì)算機(jī)病毒一般首先通過(guò)各種途徑進(jìn)入到有盤工作站,也就進(jìn)入網(wǎng)絡(luò),然后開(kāi)始在網(wǎng)上的傳播。具體地說(shuō),其傳播方式有以下幾種。(1)病毒直接從工作站拷貝到服務(wù)器中或...
電腦病毒是如何產(chǎn)生的?
根據(jù)病毒創(chuàng)造者的動(dòng)機(jī),這些指令可以做出任何事情,其中包括顯示一段信息、刪除文件或精細(xì)地改變數(shù)據(jù),甚至破壞電腦的硬件。有些情況下,電腦病毒并沒(méi)有破壞指令的企圖,但取而代之就是病毒占據(jù)磁盤空間、CPU時(shí)間或網(wǎng)絡(luò)的連接。 電腦病毒---什么是電腦病毒從廣義上定義,凡能夠引起計(jì)算機(jī)故障,破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)...
簡(jiǎn)述計(jì)算機(jī)病毒傳染的機(jī)制?
主要有三種途徑:加載傳染、列目錄傳染和創(chuàng)建文件傳染。加載傳染每次傳染一個(gè)文件,列目錄傳染一次傳染多個(gè)文件,而創(chuàng)建文件傳染則將病毒附加到新文件上,更為隱蔽。了解計(jì)算機(jī)病毒傳染機(jī)制,有助于我們預(yù)防和控制病毒的傳播,通過(guò)識(shí)別和分析病毒傳染方式,可以采取相應(yīng)措施保護(hù)計(jì)算機(jī)系統(tǒng)的安全。
計(jì)算機(jī)病毒的種類、工作原理、攻擊方式和防御措施
6、后門病毒 后門病毒的前綴是:Backdoor。該類病毒的公有特性是通過(guò)網(wǎng)絡(luò)傳播,給系統(tǒng)開(kāi)后門,給用戶電腦帶來(lái)安全隱患。如54很多朋友遇到過(guò)的IRC后門Backdoor.IRCBot 。7、病毒種植程序病毒 這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下,由釋放出來(lái)的新病毒產(chǎn)生破壞。如:...
請(qǐng)教一下,計(jì)算機(jī)病毒在內(nèi)存當(dāng)中是如何侵染健康的文件的?具體的原理是什...
Svchost 病毒會(huì)讓Svchost給它分配一個(gè)服務(wù),進(jìn)而藏進(jìn)Svchost里讓你無(wú)法刪除。或者偽裝成Svchost.exe,比如Svch0st.exe,Svohost.exe,Swchost.exe等,使你看不出來(lái),這叫潛伏期 病毒遇到好時(shí)機(jī)就會(huì)進(jìn)入發(fā)作期,它會(huì)更改或刪除計(jì)算機(jī)里的文件,嚴(yán)重的甚至?xí)绊懙骄W(wǎng)絡(luò),感染其他計(jì)算機(jī) 病毒放肆到一定程度,我們...
簡(jiǎn)述計(jì)算機(jī)病毒傳染的機(jī)制.
計(jì)算機(jī)病毒的傳染過(guò)程分為被動(dòng)傳染和主動(dòng)傳染。在被動(dòng)傳染中,傳染過(guò)程隨著磁盤或文件拷貝工作的進(jìn)行而進(jìn)行。而在主動(dòng)傳染中,病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)內(nèi)存儲(chǔ)器,常駐內(nèi)存,監(jiān)視系統(tǒng)的運(yùn)行。病毒引導(dǎo)模塊將病毒傳染模塊駐留在內(nèi)存過(guò)程中,通常還要修改系統(tǒng)中斷向量入口地址,使中斷向量指向病毒...
計(jì)算機(jī)病毒,木馬的查殺及其原理?
計(jì)算機(jī)病毒,木馬的查殺及其原理? 我想學(xué)習(xí)一些,病毒和木馬的原理,在中病毒和木馬后,他會(huì)給我的電腦做哪些操作,留哪些后門。如何手動(dòng)查殺?請(qǐng)給個(gè)相關(guān)資料的論壇!... 我想學(xué)習(xí)一些,病毒和木馬的原理,在中病毒和木馬后,他會(huì)給我的電腦做哪些操作,留哪些后門。如何手動(dòng)查殺?請(qǐng)給個(gè)相關(guān)資料的論壇! 展開(kāi) 我來(lái)...
跪求一篇關(guān)于計(jì)算機(jī)病毒原理及防范的論文.(4000字左右) 先湊合出來(lái)...
(1)可移動(dòng)媒體。計(jì)算機(jī)病毒和其他惡意軟件最初的也可能是最多的傳送器是文件傳輸,開(kāi)始于軟盤,慢慢發(fā)展到一切移動(dòng)介質(zhì)。(2)網(wǎng)絡(luò)共享。一旦為計(jì)算機(jī)提供了通過(guò)網(wǎng)絡(luò)彼此直接連接的機(jī)制,就會(huì)為惡意軟件編寫者提供另一個(gè)傳輸機(jī)制,從而可以傳播惡意代碼。(3)對(duì)等(P2P)網(wǎng)絡(luò)程序。QQ對(duì)等程序的出現(xiàn),為P2P文件傳輸...
計(jì)算機(jī)病毒是怎么回事?
1、繁殖性 像生物病毒一樣可以進(jìn)行繁殖,當(dāng)你的程序正在運(yùn)行的時(shí)候他就在進(jìn)行自身復(fù)制,是否具有繁殖性是判別是否中病毒的重要因素。2、傳染性 被病毒復(fù)制繼而產(chǎn)生變種速度之快到令人難以預(yù)防,傳染性是病毒的基本特征。計(jì)算機(jī)總會(huì)通過(guò)各種聚到將感染病毒的計(jì)算機(jī)擴(kuò)散到還未被感染的計(jì)算機(jī)導(dǎo)致計(jì)算機(jī)無(wú)法工作。
系統(tǒng)引導(dǎo)型病毒工作原理
隨著電腦的普及和網(wǎng)絡(luò)的迅猛發(fā)展,計(jì)算機(jī)病毒呈現(xiàn)愈演愈烈的趨勢(shì)。那么,系統(tǒng)引導(dǎo)型病毒工作原理是什么那就讓裕祥安全網(wǎng)的小編和你一起去了解一下吧!系統(tǒng)引導(dǎo)型病毒工作原理:引導(dǎo)型病毒是一種在ROM BIOS之后,系統(tǒng)引導(dǎo)時(shí)出現(xiàn)的病毒,它先于操作系統(tǒng),依托的環(huán)境是BIOS中斷服務(wù)程序。引導(dǎo)型病毒是利用操作...
相關(guān)評(píng)說(shuō):
平壩縣變速: ______ 隨著電腦的不斷普及,擁有和使用電腦的人越來(lái)越多,應(yīng)用的范圍也越來(lái)越廣,人們會(huì)在各自的電腦上運(yùn)行各種各樣的應(yīng)用軟件.本來(lái)人們運(yùn)行什么樣的軟件是無(wú)可厚非的,但是由于人們?cè)谑褂酶髯缘能浖r(shí)由于種種原因,使得軟件的來(lái)路非常...
平壩縣變速: ______ 計(jì)算機(jī)病毒”與醫(yī)學(xué)上的“病毒”不同,它不是天然存在的,是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性,編制成的具有特殊功能的程序,通常人們稱之為電腦病毒.1994年2月18日,我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安...
平壩縣變速: ______ 導(dǎo)致系統(tǒng)癱瘓
平壩縣變速: ______ 計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn): (1) 寄生性 (2) 傳染性 (3) 潛伏性 (4) 隱蔽性 (5)破壞性 (6)計(jì)算機(jī)病毒的可觸發(fā)性 詳細(xì)請(qǐng)點(diǎn)擊:""" http://baike.baidu.com/view/5339.htm
平壩縣變速: ______ 病毒的產(chǎn)生 那么究竟它是如何產(chǎn)生的呢?其過(guò)程可分為:程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、運(yùn)行--實(shí)行攻擊.究其產(chǎn)生的原因不外乎以下幾種: 開(kāi)個(gè)玩笑,一個(gè)惡作劇.某些愛(ài)好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技術(shù)精通的人士為了炫耀自己的高超技術(shù)和智慧,...
平壩縣變速: ______ 計(jì)算機(jī)病毒是一種干擾計(jì)算機(jī)正常工作的一些惡意的程序!是一種侵犯他人利益的程序,這種程序會(huì)造成他人的利益或者經(jīng)濟(jì)損失!通常的病毒是通過(guò)修改注冊(cè)表來(lái)達(dá)到干擾計(jì)算機(jī)正常運(yùn)行的目的!但像有些盜號(hào)的病毒則是通過(guò)一些鍵盤記錄程序或者是遠(yuǎn)程桌面連接來(lái)達(dá)到盜號(hào)的目的!像有些病毒是通過(guò)網(wǎng)頁(yè)來(lái)傳播的,種植病毒的人把木馬等惡意程序掛在網(wǎng)頁(yè)上,打開(kāi)該網(wǎng)頁(yè)的用戶就會(huì)中病毒,所以,經(jīng)常升級(jí)殺毒軟件和經(jīng)常定時(shí)的殺毒是防止被盜號(hào)的最好辦法!
平壩縣變速: ______ 計(jì)算機(jī)病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”.
平壩縣變速: ______ 電腦病毒就是由人編寫出來(lái)的帶有破壞性的程序
平壩縣變速: ______ 推薦幾個(gè)給你(全部免費(fèi),且可在線升級(jí)): 一、殺毒軟件類 1、瑞星殺毒軟件官方... 金山網(wǎng)鏢的序列號(hào)106500-010802-710731-996656 你需要做以下工作: 1)把你現(xiàn)...
平壩縣變速: ______ 按破壞性分 ⑴ 良性病毒 ⑵ 惡性病毒 ⑶ 極惡性病毒 ⑷ 災(zāi)難性病毒 按傳染方式分 ⑴ 引導(dǎo)區(qū)型病毒 引導(dǎo)區(qū)型病毒主要通過(guò)軟盤在操作系統(tǒng)中傳播,感染引導(dǎo)區(qū),蔓延到硬盤,并能感染到硬盤中的"主引導(dǎo)記錄". ⑵ 文件型病毒 文件型病毒是文...
