《计算机安全及病毒防治》由会员分享,可在线阅读,更多相关《计算机安全及病毒防治(34页珍藏版)》请在金锄头文库上搜索。
1、计算机安全与病毒防治作者 孙建华一、 计算机病毒1、什么是计算机病毒 中华人民共和国计算机信息系统安全保护条例第二十八条给出的的计算机病毒定义如下:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。2、计算机病毒的产生病毒是一种按照严格的秩序组织起来与所在的系统和环境相适应的代码,是人为特制的程序。病毒不是来源于突发的或偶然的事件,一次突发的死机或偶然的错误,可能会在计算机磁盘上产生一些乱码或随机指令,但这些代码是无序混乱的一些东西。病毒来源和目的一般是这样:一些程序员为了表现自己和证明自己的能力,处于对上司的不满
2、,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿报酬等编写病毒或陷阱程序。当然也有出于政治、军事、宗教、民族、专利等方面的原因而专门编写的病毒,这其中也包括一些病毒研究机构和黑客编写的病毒。3、计算机病毒的特点 人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。4、病毒存在的必然性 计算机的信息需要存取、复制和传送,病毒作为信息的一种形式可以随之繁殖,感染,破坏。当病毒取得控制权之后,他们会主动寻找感染目标,使自己广为流传。5、计算机病毒的长期性完美的系统是不存在的,计算机操作系统的弱点往往被病毒所利用,提高系统的安全性是防治病毒的一个
3、重要方面。病毒主要由反病毒软件来对付,而且反病毒技术将成为一种长期的科研做下去二、 病毒的特征1、经常死机或系统变慢病毒运行占用了大量系统资源或其本身的有BUG破坏系统了的稳定性。2、系统无法启动病毒修改了硬盘的引导信息或删除了某些系统文件是系统无法启动。3、文件打不开或丢失病毒修改了文件格式或毁坏了文件或删除了文件。4、经常报告内存不够病毒非法占用了大量内存。5、提示硬盘空间不够病毒复制了大量的病毒相关程序或垃圾文件。6、磁盘设备无故读写病毒在后台读写磁盘文件,如下载或删除文件。7、出现大量来历不明的文件病毒复制或下载许多不明文件。8、屏幕键盘鼠标喇叭等设备异常病毒扰乱屏幕显示的方式,锁死键
4、盘或鼠标,使喇叭打印机工作异常。9、系统自动执行操作病毒在后台执行非法操作,启动运行了相关的程序。10、上网速度变慢或不稳定可能遭到攻击或病毒在非法传送文件。11、网络掉线无法打开网页可能遭ARP类的病毒攻击。12、网络自行进行传送活动可能是木马程序在运行。13、病毒监控程序被停止病毒为自身繁衍破坏查杀程序。三、病毒的种类按传染对象来分1、引导型病毒这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的。这类病毒造成的损失比较大,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒。2、文件型病毒这类病毒一般是感染以EXE、COM等为扩展名的可
5、执行文件,当你执行某个可执行文件时病毒程序被激活。也有一些病毒感染以DLL、OVL、SYS等为扩展名的文件,甚至OFFICE文档文件,如WORD、EXCEL等。3、网络型病毒这种病毒是近几来网络高速发展的产物,感染的对象不再局限于可执行文件,而是几乎所有的文件进行感染,其传播途经也发生了质的飞跃,可以通过网络攻击、电子邮件、网页链接或系统漏洞攻击等传播。4、复合型病毒复合型病毒,是因为它们同时具备了多种病毒特征,查杀这类病毒的杀毒软件要同时具备查杀多类病毒的功能。按病毒的破坏程度来分1、良性病毒:这些病毒之所以把它们称之为良性病毒,是因为它们入侵的目的不是破坏你的系统,只是想玩一玩或窃取你电脑
6、中的一些通讯信息,如密码、Q币等。如一些木马病毒。不破坏系统和数据。2、恶性病毒这些病毒对软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏、数据丢失等严重后果。这类病毒入侵后系统除了不能正常使用之外,别无其它损失。系统损坏后最多只需要重装系统。破坏系统但不破坏数据。3、极恶性病毒这类病毒比上述两类病毒损坏的程度又要大些,一般如果是感染上这类病毒你的系统就要彻底崩溃,根本无法正常启动,保分留在磁盘中的有用数据也可能随之不能获取。破坏系统也破坏数据。4、灾难性病毒这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度,这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造
7、成系统根本无法启动,有时甚至会格式化或锁死你的硬盘,使你无法使用硬盘。破坏系统也破坏数据,系统就很难恢复,数据也就很难找回。按照病毒的特性分类1、系统病毒这些病毒的一般公有的特性是可以感染Windows操作系统的*.exe和 *.dll文件,并通过这些文件进行传播。如CIH病毒。系统病毒命名的前缀为:Win32、PE、Win95、W32、W95等。2、蠕虫病毒这种病毒的公有特性是通过网络或者系统漏洞进行传播,病毒以计算机为载体,复制自身在互联网环境下进行传播,蠕虫病毒的传染目标是网络上所有计算机。如局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良
8、好途径。比如冲击波(阻塞网络),小邮差(发带毒邮件),ARP等。蠕虫病毒命名的前缀是:Worm。3、木马病毒与黑客病毒木马病毒的公有特性是通过网络或者系统漏洞进入系统并隐藏,然后向外界泄露用户的信息,而黑客病毒的控制端一般有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。木马病毒命名前缀是:Trojan,黑客病毒前缀名一般为Hack。4、脚本病毒脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码。脚本病毒命名的前缀是:Script。5、宏病毒其实宏病毒是也是脚本病毒的一种,
9、由于它的特殊性,因此在这里单独算成一类。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播。宏病毒命名的前缀是:Macro。 四、发现病毒如果感觉计算机可能中了病毒,那么如何来发现和确认病毒呢?这些我们可以用下面的方法来处理。1、反病毒软件的扫描法这恐怕是我们绝大数人的首选,如瑞星、诺顿等。2、查看系统中可启动程序的地方查看系统中程序启动处有无异是一项重要的手段,如果病毒不能启动,对系统就不能造成危害。1)用注册启动程序在开始菜单处运行“注册表编辑器”程序regedit(图1)查看注册表项:以下是程序启动的重要表项:HKEY_CURRENT_USERSoftw
10、areMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOneHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOneExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
11、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShellHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooksHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper ObjectsHKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWind
12、owsAppInit_DLLsHKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsloadHKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinitNotif、Userinit、ShellHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOneHKE
13、Y_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOneExHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooksHKEY_LOCAL_MACH
14、INESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLsHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsloadHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinitNotify、Userinit、ShellHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsHKEY_LOCAL_MACHINESYSTEMControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002ServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestoreHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCu
