目录
1.病毒简介 (3)
2.病毒定义 (3)
3?病毒与反病毒 (3)
4.病毒来源 (4)
5.病毒特点 (4)
5.1寄生性 (4)
5.2传染性 (4)
5.3潜伏性 (5)
5.4隐蔽性 (5)
5.5破坏性 (6)
5.6可触发性 (6)
6.病毒分类 (6)
6.1按病毒存在的媒体 (6)
6.2按病毒传染的方法 (7)
6.3按病毒破坏的能力 (7)
6.4按病毒的算法 (7)
7.病毒发展 (8)
7.1D0S引导阶段 (8)
7. 2 DOS可执行阶段 (8)
7. 3伴随、批次型阶段 (9)
7. 4幽灵、多形阶段 (9)
7. 5生成器,变体机阶段 (9)
7. 6网络,蠕虫阶段 (10)
7?7视窗阶段 (10)
7. 8宏病毒阶段 (10)
7. 9互连网阶段 (10)
7. 10邮件炸弹阶段 (10)
8.行为 (11)
9.危害 (12)
10?症状 (12)
11?出现 (13)
12?命名 (14)
13.传播途径 (15)
14?传染 (16)
15?传染过程 (17)
16.病毒种类 (19)
16. 1系统病毒 (19)
16. 2蠕虫病毒 (19)
16. 3木马病毒 (19)
16. 4脚本病毒 (19)
16. 5宏病毒 (19)
16. 6后门病毒 (20)
16. 7病毒种植程序病毒 (21)
16. 8破坏性程序病毒 (21)
16. 9玩笑病毒 (21)
16. 10捆绑机病毒 (21)
17.危害级别 (22)
18.重大病毒事件 (25)
19.安全建议 (28)
20.病毒处理 (29)
21.病毒预防 (31)
22.Windows病毒的九大藏身地点 (31)
23.推荐病毒安全网站 (33)
24 ?总结 (33)
计算机病毒
1.病毒简介
编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus) □具有破坏性,复制性和传染性。
2.病毒定义
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指
“编制或者在计算机程序小插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷,rti被感染机内部发出的破坏计算机数据并影响计算机止常工作的一组指令集或程序代码。计算机病毒最早出现在70年代David Gerrold科幻小说When
H. A. R. L. I. E. was One.最早科学定义出现在1983:在Fred Cohen (南加大) 的博士论文“计算机病毒实验” “一种能把自己(或经演变)注入其它程序的计算机程序”。启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似?生物病毒是把口己注入细胞Z中。
3.病毒与反病毒
病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数吋间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
4.病毒来源
病毒不是来源于突发或偶然的原因。一次突发的停电和偶然的错误,会在计算机的磁盘和内存小产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基木的长度从概率上來讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和口的是:一些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其屮也包括一些病毒研究机构和黑客的测试病毒.
5.病毒特点
计算机病毒具有以下几个特点:
5. 1寄生性
计算机病毒寄生在其他程序Z中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
5. 2传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度Z快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现岀病症英至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将口身代码插入其中,达到口我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其屮的大量文件(一?般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进
行数据交换或通过网络接触,病毒会继续进行传染。
正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。
而病毒却能使口身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如U盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的硬盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别?个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把口身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序;
5. 3潜伏性
有些病毒像定吋炸弹一样,让它什么吋间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出來,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出來的,因此病毒可以静静地躲在磁盘或磁带里呆上儿天,甚至儿年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
5.4隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
5.5破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。通常表现为:增、删、改、移。
5.6可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动, 一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽乂要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、H期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
6?病毒分类
根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
6?1按病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络屮的可执行文件,文件病毒感染计算机中的文件(如:COM, EXE, DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如: 多型病毒
(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
6.2按病毒传染的方法
根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)屮,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动?非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不
通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
6.3按病毒破坏的能力
无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型:这类病毒在计算机系统操作中造成严重的错误。
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是木身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错谋也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度U盘上却能引起大量的数据丢失。
6. 4按病毒的算法
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE 文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY. EXE 的伴随体是XCOPY-COMo病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原來的EXE文件。
"蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有吋它们在系统存在,一般除了内存不山用其它资源。
寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒) 这一类病毒使用一个复杂的算法,使自己
每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
7.发展
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
7. 1 DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和
“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过U盘启动后使用?引导型病毒利用U盘的启动原理工作,它们修改系统启动扇区,在计算机启动
时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘吋进行传播;
1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2” :
7. 2 DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件吋取得控制权,修改DOS屮断,在系统调用吋进行传染,并将自己附加在可执行文件中,使文件长度增加。
1990年,发展为复合型病毒,可感染COM和EXE文件。
7.3伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作, 具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随休;它感染文件时,改原来的COM文件为同名的EXE文件, 再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原來的文件内容,口期及属性, 解除病毒吋只要将其伴随体删除即可。
在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个岀错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。
7. 4幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感
染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
7. 5生成器,变体机阶段
1995年,在汇编语言屮,一些数据的运算放在不同的通用寄存器中,可运算出同样的结杲,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒吋,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造岀成千上万种不同的病毒,查解时就不能使用传统的特征识别法, 需耍在宏观上分析指令,解码后查解病毒。
7. 6网络,蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上儿代病毒的改进?在非DOS操作系统屮,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
7.7视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE, PE)文件,典型的代表是DS. 3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
7. 9宏病毒阶段
1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言、编写容易、感染Word文档等文件,在Excel和AmiPro岀现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难。
7. 10互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒;
7. 11邮件炸弹阶段
1997年,随着万维网(Wold Wide Web)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSrmke病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。
8行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿累和他所具有的技术能量。数以万计不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,而且难以做全而的描述,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:攻击系统数据区,攻击部位包括:硬盘主引寻扇区、Boot扇区、FAT 表、文件目录等。
一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。攻击文件,病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件等。攻击内存,内存是计算机的重要资源,也是病毒攻击的主要目标之一,病毒额外地占用和消耗系统的内存资源,可以导致一些较大的程序难以运行。
病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存等。干扰系统运行,此类型病毒会干扰系统的正常运行,以此作为自己的破坏行为,此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、使文件打不开、使内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串行口、并行口等。
速度下降,病毒激活时,其内部的吋间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
攻击磁盘,攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。扰
乱屏幕显示,病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。
键盘病毒,干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒,许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者通过喇叭发岀种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调小去杀戮人们的信息财富,己发现的喇叭发声有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。
攻击CMOS ,在机器的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
干扰打印机,典型现象为:假报警、间断性打印、更换字符等。
9危害
计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59 秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了“小球” 病毒,它对统计系统影响极大,此后市计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的熊猫烧香、鬼影等病毒更是给社会造成了很大损失。
10症状
1?计算机系统运行速度减慢。
2.计算机系统经常无故发生死机。
3?计算机系统中的文件长度发生变化。
4?计算机存储的容量异常减少。
5.系统引导速度减慢。
6.丢失文件或文件损坏。
7 ?计算机屏幕上出现异常显示。
8.计算机系统的蜂鸣器出现异常声响。
9?磁盘卷标发生变化。
10?系统不识别便盘。
11?对存储系统异常访问。
12.键盘输入异常。
13?文件的日期、时间、属性等发生变化。
14?文件无法正确读取、复制或打开。
15?命令执行出现错误。
16?虚假报警。
17?换当前盘。有些病毒会将当前盘切换到C盘。
1&时钟倒转。有些病毒会命名系统时间倒转,逆向计时。
19. WINDOWS操作系统无故频繁出现错误。
20 ?系统异常重新启动。
21.-些外部设备工作异常。
22 ?异常要求用户输入密码。
23.W ORD或EXCEL提示执行“宏”。
24.是不应驻留内存的程序驻留内存。
11出现
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪,具有瞬吋性、动态性和随机性。不易取证, 风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现;
(2)计算机软硬件产品的脆弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡
改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道述有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
12命名规则
很多时候大家已经用杀毒软件查出了自己的机了中了例如Backdoor. RmtBomb. 12、Trojan. Win32. SendTP. 15 等等这些一串英文还带数字的病毒名,这吋有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:一般格式为:〈病毒前缀〉?〈病毒名 >.< 病毒后缀〉
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan ,蠕虫病毒的前
缀是Worm等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著
名的CIH病毒的家族名都是统一的“ CIH ",振荡波蠕虫病毒的家族名是
“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm. Sasser, b就是指振荡波蠕虫病毒的变种B,因此一般称为“振荡波B变种”或者“振荡波变
种。如果该病毒变种非常多,可以采用数字与字母泯合表示变种标?识。
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串” Agent"来代替主名称,小于10k大小的文件可以命名为“Samll” o
版本信息
版木信息只允许为数字,对于版木信息不明确的不加版木信息。主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a-z,女口:aa> ab> aaa> aab以此类推。由系统口动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下儿种:
Client说明:后门程序的控制端
KEY_HOOK说明:用于挂接键盘的模块
APIJI00K说明:用于挂接API的模块
Install说明:用于安装病毒的模块
D11说明:文件为动态库,并凡包含多种功能
(空)说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这吋需耍变种号来区分不同的病毒记录。变种号为不写字母a-z,如果一位版木号不够用则最多可以扩展3位,如:aa> ab> aaa> aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
13传播途径
计算机病毒Z所以称Z为病毒是因为其具有传染性的本质。传统渠道通常有以下几种:
(1)通过U盘
通过使用外界被感染的U盘,例如,不同渠道来的系统盘、来历不明的软
件、游戏盘等是最普遍的传染途径。由于使用带有病毒的U盘,使机器感染病毒发病,并传染给未被感染的“干净”的U盘。大量的U盘交换, 合法或非法的程序拷贝,不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘
通过硬盘传染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的硬盘传染并再扩散。
(3)通过光盘
因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。
(4)通过网络
这种传染扩散极快,能在很短时间内传遍网络上的机器。
随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet 带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
14传染
计算机病毒的传染分两种。一种是在一定条件下方可进行传染,即条件传染。另一种是对一种传染对象的反复传染即无条件传染。
从目前蔓延传播病毒來看所谓条件传染,是指一些病毒在传染过程中, 在被传染的系统屮的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时,发现有自己的标志则不再进行传染,如果是一个新的系统或软件,首先读特定位置的值,并进行判断,如果发现读岀的值与自己标识不一致,则对这一系统或应用程序,或数据盘进行传染,这是一种情况;另一种情况,有的病毒通过对文件的类型
来判断是否进行传染,如黑色星期五病毒只感染.COM或.EXE文件等等;
还冇一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘,又可以感染U盘,但对B驱动器的U盘进行读写操作时不传染。但我们也发现冇的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染,再运行再进行传染反复进行下去。
可见有条件时病毒能传染,无条件时病毒也可以进行传染。
15传染过程
在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将口身存入被攻击的目标,从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的屮断乂将其写入系统的外存储器U盘或硬盘中,再感染其他系统。
町执行文件感染病毒后又怎样感染新的可执行文件?
可执行文件?COM或.EXE感染上了病毒,例如黑色星期五病毒,它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足,利用1NT 13H将病毒链接到可执行文件的首部或尾部或中间,并存在磁盘中;
(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的?
止常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
(3)转入Boot执行;
(4)Boot判断是否为系统盘,如果不是系统盘则提示;
non-system disk or disk error
Replace and strike any key when ready
否则,读入IBM BIO-COM和IBM DOS-COM两个隐含文件;
(5)执行IBM B1OCOM 和IBM DOS-COM 两个隐含文件,将COMMAND-COM 装入内存;
(6)系统正常运行,DOS启动成功。
如果系统盘已感染了病毒,PC DOS的启动将是另一番景象,其过程为:
(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存,监视系统的运行;
(3)修改INT 1311中断服务处理程序的入口地址,使之指向病毒控制模块并执行之。因为任何一种病毒耍感染U盘或者硬盘,都离不开对磁盘的读写操作,修改INT 13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处,进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象,病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存,对该盘进行判别是否传染了病毒;
(2)当满足传染条件时,则将病毒的全部或者一部分写入Boot区,把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返冋正常的INT 1311中断服务处理程序,完成了对目标盘的传染。
操作系统型病毒在什么情况下对U盘、硬盘进行感染?
操作系统型病毒只有在系统引导时进入内存。如果一个U盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存,也就不能活动。例如圆点病毒感染U 盘、硬盘的引导区,只要用带病毒的盘启动系统后,病毒便驻留内存,对哪个盘进行操作,就对哪个盘进行感染。
操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?
因为操作系统型病毒只有在系统引导时才进入内存,开始活动,对非系统盘
感染病毒后,不从它上面引导系统,则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来,然后将带毒盘重新格式化即可。
16病毒种类
16. 1系统病毒
系统病毒的前缀为:Win32. PE、Win95、W32、W95等。这些病毒的一般共有的特性是口J以感染windows操作系统的*. exe和*.dll文件,并通过这些文件进行传播。如CIH病毒。
16. 2蠕虫病毒
蠕虫病毒的前缀是:Worm o这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)、Stuxnet超级工厂(利用西门子漏洞)等。
16. 3木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越來越趋向于整合了。一般的木马如金狐QQ大盗,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan. LMir.PSW. 60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:灰鸽了(Win32. Hack. Iluigczi)等。
16. 4脚本病毒
脚木病毒的前缀是:Scripto脚木病毒的共有特性是使用脚木语言编写,通过网页进行的传播的病毒,如红色代码(Script. Redlof )。脚本病毒述会有如下前
缀:VBS、JS (表明是何种脚本编写的),如欢乐时光(VBS. Happy time)、十四日(Js. Fortnight, c. s)等。
16. 5宏病毒
其实宏病毒是也是脚木病毒的一种,由于它的特殊性,因此在这里单独算成
一类。
宏病毒的前缀是:Macro,第二前缀是:Word、Word97> Excel> Excel97 (也许还有别的)其中之一。
凡是只感染W0RD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro. Word97;
凡是只感染W0RD97以后版本WORD文档的病毒采用Word做为第二前缀,
格式是:Macro. Word;
凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二
前缀,格式是:Macro. Excel97;
凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前
缀,格式是:Macro. Excel,以此类推。
该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro. Melissa)。
16. 6后门病毒
后门病毒的前缀是:Backdooro该类病毒的共有特性是通过网络传播, 给系统开后门,给用户电脑带来安全隐患。
16. 7病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或儿个新的病毒到系统口
录下,由释放岀来的新病毒产生破坏。如:冰河播种者(Dropper. BingHe2.
2C)^ MSN 射手(Dropper. Worm. Smibag)等。
16. 8破坏性程序病毒
计算机病毒知识与防治 电脑感染了病毒后常出现的异常表现有以下几种: 感染病毒的异常表现: 1、开机运行几秒后突然黑屏 2、外部设备无法找到 3、硬盘无法找到 4、电脑发出异样声音 硬盘引导区感染病毒的异常表现 1、无法正常启动硬盘 2、引导时出现死机现象 3、执行C盘时显示“Not ready error drive A Abort,Retry,Fail?” 操作系统病感染病毒的异常表现: 1、引导系统时间变长 2、计算机处理速度比以前明显减慢 3、系统文件出现莫名其妙的丢失,或字节变长,日期修改等现象 4、系统生成一些特殊的文件 5、驱动程序被修改使得某些外设不能正常工作 6、软驱、光驱丢失 7、计算机经常死机或重新启动 应用程序感染病毒的异常表现 1、启动应用程序出现“非法操作”对话框 2、应用程序文件变大 3、应用程序不能被复制、移动、删除 4、硬盘上出现大量无效文件 5、某些程序运行时载入时间变长 预防电脑病毒要做好以下几点: 1、尽量少从别人的电脑中复制资料到自己的电脑中使
用,如果必须复制资料到自己的电脑中使用,那么,在使用资料前,请先用杀毒软件查杀病毒,确保无病毒后,再进行使用。如果您还没有安装杀毒软件,请尽快安装。 2、提倡使用正版电脑光盘。尽量少使用盗版电脑光盘,在使用盗版电脑光盘前也请先用杀毒软件查病毒,确保无病毒后,再进行使用。 3、在进入互联网前,一定要启动杀毒软件的病毒防火墙,现在的病毒防火墙技术已经相当成熟了,病毒防火墙不但可预防感染病毒,而且还可查杀部份黑客程序。 4、经常更新杀毒软件病毒库,并使用杀毒软件进行查杀病毒。 5、不要轻易下载小网站的软件与程序。 6、不要光顾那些很诱惑人的小网站,因为这些网站很有可能就是网络陷阱。 有效地预防病毒要做到以下几点: 1、安装新的计算机系统时,要注意打系统补丁,防止震荡波类的恶性蠕虫病毒传播感染; 2、上网的时候要打开杀毒软件实时监控; 3、安装个人防火墙,隔绝病毒跟外界的联系,防止木马病毒盗窃资料。 4、防邮件病毒,收到邮件时首先要进行病毒扫描,不要随意打开陌生人的附件; 5、防木马病毒,从网上下载任何文件后,一定要先进行病毒扫描再运行; 6、防恶意“好友”,当收到好友通过QQ、Msn发过来的网址连接或文件,不要随意打开。
计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分,满分100分; 1.下面是关于计算机病毒的两种论断,经判断___; (1)计算机病毒也是一种程序,它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分,满分100分
1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化
4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运
计算机病毒知识测试题(单选) 姓名得分: 注:每题5分,满分100分 1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机内存芯片损坏D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8.下列4项中,不属于计算机病毒特征的是______ A)潜伏性B)传染性C)激发性D)免疫性 9.下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒
世界上第一例计算机病毒是什么 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。以下是网小编为大家整理的关于第一例计算机病毒的相关知识,希望对大家有所帮助! 磁芯大战--第一个电脑病毒 电脑病毒并非是最近才出现的新产物,事实上,早在一九四九年,距离第一部商用电脑的出现仍有好几年时,电脑的先驱者约翰.范纽曼(JohnVonNeumann)在他所提出的一篇论文《复杂自动装置的理论及组织的进行》里,即已把病毒程式的蓝图勾勒出来,当时,绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的,可是少数几个科学家默默的研究范纽曼的所提出的概念,直到十年之后,在美国电话电报公司(AT&T)的贝尔(Bell)实验室中,这些概念在一种很奇怪的电子游戏中成形了,这种电子游戏叫做“磁蕊大战”(corewar)。 磁蕊大战是当时贝尔实验室中三个年轻程式人员在工余想出来的,他们是道格拉斯麦耀莱(H,DouglasMcIlroy),维特.维索斯基(VictorVysottsky)以及罗伯.莫里斯(RobertT.Morris),当时三人年纪都只有二十多岁。 附注:RobertT.Morris就是后来写了一个Worm,把Internet 搞的天翻地覆的那个RobertT.MorrisJr.(上图)的爸爸,当时大Morris
刚好是负责Arpanet网路安全。 磁芯大战的玩法如下:两方各写一套程式,输入同一部电脑中,这两套程式在电脑?记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令;当它被困时,也可以把自己复制一次,逃离险境,因为它们都在电脑的记忆磁芯中游走,因此得到了磁芯大战之名. 这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全[吃掉]为止.磁芯大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫[达尔文]这包含了[物竞天择,适者生存]的意思.它的游戏规则跟以上所描述的最接近,双方以组合语言(AssemblyLanguage)各写一套程式,叫有机体(organism),这两个机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负.在比赛时Morris经常匠心独具,击败对手. 另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑[爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖. 为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失. [侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险
计算机病毒 一、单选:(共55题) 1. 防病毒软件( )所有病毒。 A. 是有时间性的,不能消除 B. 是一种专门工具,可以消除 C. 有的功能很强,可以消除 D. 有的功能很弱,不能消除 参考答案:A 2. 下面关于计算机病毒描述正确的有( )。 A. 计算机病毒是程序,计算机感染病毒后,可以找出病毒程序,进而清除它 B. 只要计算机系统能够使用,就说明没有被病毒感染 C. 只要计算机系统的工作不正常,一定是被病毒感染了 D. 软磁盘写保护后,使用时一般不会被感染上病毒 参考答案:D 3. 下列说法中错误的是( )。 A. 计算机病毒是一种程序 B. 计算机病毒具有潜伏性 C. 计算机病毒是通过运行外来程序传染的 D. 用防病毒卡和查病毒软件能确保微机不受病毒危害 参考答案:D 4. 关于计算机病毒的传播途径,不正确的说法是( )。 A. 通过软件的复制 B. 通过共用软盘 C. 通过共同存放软盘 D. 通过借用他人的软盘 参考答案:C 5. 目前最好的防病毒软件的作用是( )。 A. 检查计算机是否染有病毒,消除已感染的任何病毒 B. 杜绝病毒对计算机的感染 C. 查出计算机已感染的任何病毒,消除其中的一部分 D. 检查计算机是否染有病毒,消除已感染的部分病毒 参考答案:D 6. 文件型病毒传染的对象主要是( )类文件。 A. DBF B. DOC C. COM和EXE D. EXE和DOC 参考答案:C 7. 宏病毒是随着Office软件的广泛使用,有人利用宏语言编制的一种寄生于( )的宏中的计算机病毒。 A. 应用程序 B. 文档或模板 C. 文件夹 D. 具有“隐藏”属性的文件 参考答案:B
第十二讲 网络安全与管理 教师:汪洪祥 项目4 计算机病毒及防治 项目1 双机互连对等网络的组建 2013/11/24 本讲的主要内容: 一、项目提出 二、项目分析 三、相关知识点 1.病毒的定义与特征 2.病毒的分类 3.宏病毒的蠕虫病毒 4.木马 5.反病毒技术 4.1 项目提出 有一天,小李在QQ聊天时,收到一位网友发来的信息,如图4-1所示,出于好奇和对网友的信任,小李打开了网友提供的超链接,此时突然弹出一个无法关闭的窗口,提示系统即将在一分钟以后关机,并进入一分钟倒计时状态,如图4-2所示。
小李惊呼上当受骗,那么小李的计算机究竟怎么了? 4.2 项目分析 小李的计算机中了冲击波(Worm.Blaster)病毒。 2002年8月12日,冲击波病毒导致全球范围内数以亿计的计算机中毒,所带来的直接经济损失达数十亿美金。 病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows 2000或XP的计算机,找到后就利用RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重新启动、甚至导致系统崩溃。 另外,该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。 4.2 项目分析 病毒手动清除方法:用DOS系统启动盘启动进入DOS环境下,删除C:\windows\msblast.exe文件;也可安全模式下删除该文件。 预防方法:打上RPC漏洞安全补丁。 据北京江民新科技术有限公司统计,2011年上半年最为活跃的病毒类型为木马
病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,如图4-3所示,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。 防范计算机病毒等的有效方法是除了及时打上各种安全补丁外,还应安装反病毒工具,并进行合理设置,比较常见的工具有360杀毒软件、360安全卫士等。 6 4.3 相关知识点 4.3.1 计算机病毒的概念与特征 1. 计算机病毒的定义 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 4.3 相关知识点 2 计算机病毒的特征 ①传染性。计算机病毒会通过各种媒介从已被感染的计算机扩散到未被感染的计算机。这些媒介可以是程序、文件、存储介质、网络等。 ②隐蔽性。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区分的。在没有防护措施的情况下,计算机病毒程序一经运行并取得系统控制权后,可以迅速感染给其他程序,而在此过程中屏幕上可能没有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。 ③潜伏性。病毒具有依附其他媒介寄生的能力,它可以在磁盘、光盘或其他介质上潜伏几天,甚至几年。不满足其触发条件时,除了感染其他文件以外不做破坏;触发条件一旦得到满足,病毒就四处繁殖、扩散、破坏。 ④触发性。计算机病毒发作往往需要一个触发条件,其可能利用计算机系统时钟、病毒体自带计数器、计算机内执行的某些特定操作等。如CIH病毒在每年4月26日发作,而一些邮件病毒在打开附件时发作。 4.3 相关知识点 ⑤破坏性。当触发条件满足时,病毒在被感染的计算机上开始发作。根据计算机病毒的危害性不同,病毒发作时表现出来的症状和破坏性可能有很大差别。从显
单选15题15分多选10题20分 名词5题20分简答5题25 分论述1题20分二选一(除了多选题) 计算机病毒选择题 一、单选题 1、下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2、通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3、对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4、计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机存芯片损坏D)使计算机系统突然掉电 5、计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6、计算机病毒对于操作计算机的人,______ A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7、以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8、下列4项中,不属于计算机病毒特征的是______
A)潜伏性B)传染性C)激发性D)免疫性 9、下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒 B)计算机病毒是一种被破坏了的程序 C)反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能 D)感染过计算机病毒的计算机具有对该病毒的免疫性 10、确保单位局域网的信息安全,防止来自省局网的黑客入侵,采用______以实现一定的防作用。 A)网管软件 B)列表 C)防火墙软件 D)杀毒软件 11、宏病毒可感染下列的______文件 A)exe B)doc C)bat D)txt 12、下面哪个症状不是感染计算机病毒时常见到的() A)屏幕上出现了跳动的小球 B)打印时显示No paper C)系统出现异常死锁现象 D)系统.EXE文件字节数增加 13、使用瑞星进行杀毒操作时,下列哪个论述是完全正确的() A)瑞星查杀到80%了,系统很慢,应该不会有病毒了,结束查杀 B)平时开着瑞星实时监控,电脑比较慢,干脆把监控先停了 C) 进入安全模式,对所有本地磁盘、系统存、引导区、关键区域进行查杀 D)只对C盘进行查杀就行了,因为WINDOWS操作系统就装在C盘 14、在下列计算机安全防护措施中,( )是最重要的 A)提高管理水平和技术水平 B)提高硬件设备运行的可靠性 C)预防计算机病毒的传染和传播 D)尽量防止自然因素的损害 15、防止U盘感染病毒的方法用( ) A)不要把U盘和有毒的U盘放在一起 B)在写保护缺口贴上胶条 C)保持机房清洁 D)定期对U盘格式化
4. 计算机病毒造成的危害 是 A)使磁盘发霉 B)破坏计算机系统 D)使计算机系统突然掉电 计算机病毒知识测试题(单选) 姓名_______________ 得分: ____________________________________________________________ 注:每题5分,满分100分 1 ?下面是关于计算机病毒的两种论断,经判断 _________ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有⑴正确B)只有⑵ 正确 C)(1)和⑵ 都正确 D)(1)和⑵ 都不正确 2. _________________________________ 通常所说的“计算机病毒”是指 A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3. 对于已感染了病毒的____________________ U盘,最彻底的清除病毒的方法是 A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 5. _____________________________ 计算机病毒的危害性表现在 A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6. ___________________________________ 计算机病毒对于操作计算机的人, A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7. 以下措施不能防止计算机病毒的是________ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的 U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8. 下列4项中,不属于计算机病毒特征的是_________ A)潜伏性B)传染性 C)激发性 D)免疫性 9. _____________________________________________ 下列关于计算机病毒的叙述中,正确的一条是_______________________________________________
1、所谓计算机病毒是指( )。 A、能够破坏计算机各种资源的小程序或操作命令 B、特制的破坏计算机内信息且自我复制的程序 C、计算机内存放的、被破坏的程序 D、能感染计算机操作者的生物病毒 2、计算机病毒是指( )。 A、编制有错误的计算机程序 B、设计不完善的计算机程序 C、已被破坏的计算机程序 D、以危害系统为目的的特殊计算机程序 3、计算机发现病毒后,比较彻底的清除方式是( )。 A、用查毒软件处理 B、删除磁盘文件 C、用杀毒软件处理 D、格式化磁盘
4、计算机病毒是( )。 A、一种生物病毒 B、一种芯片 C、具有远程控制计算机功能的一段程序 D、具有破坏计算机功能或毁坏数据的一组程序代码 5、一般而言,Internet防火墙建立在一个网络的( )。 A、内部子网之间传送信息的中枢 B、每个子网的内部 C、内部网络与外部网络的交叉点 D、部分内部网络与外部网络的结合处 6、为了保护个人电脑隐私,不应该做的要( )。 A、废弃硬盘要不进行特殊处理,随手就扔 B、使用“文件粉碎”功能删除文件 C、给个人电脑设臵安全密码,避免让不信任的人使用你的电脑 D、删除来历不明的文件
7、下面关于SSID说法不正确的是( )。 A、只有设臵为名称相同SSID的值的电脑才能互相通信 B、通过对多个无线接入点AP设臵不同的 C、提供了40位和128位长度的密钥机制 D、SSID就是一个局域网的名称 8、信息隐藏技术主要应用不包含哪一个( )。 A、数据完整性保护和不可抵赖性的确认 B、数据保密 C、数据加密 D、数字作品版权保护 9、计算机病毒主要造成( )。 A、磁盘的损坏 B、CPU的损坏 C、磁盘驱动器的损坏 D、程序和数据的损坏
关于计算机病毒的基本知识 什么是计算机病毒 计算机病毒简单的讲,计算机病毒是一种人为编制的计算机程序,一般是编制者为了 达到某种特定的目的,编制的一种具有破坏计算机信息系统、毁坏数据,,影响计算机使 用的计算机程序代码。这种程序一般来说是一种毕竟精巧严谨的代码,按照严格的逻辑组 织起来。在大多数的情况下,这种程序不是独立存在的,它依附与其他的计算机程序。之 所以称之为病毒,是因为其与生物病毒一样,能够进行自我复制功能和破坏功能。其具既 有破坏性,又有传染性和潜伏性,给用户带来巨大的损失。 计算机病毒的来源 计算机病毒的来源是多种多样,主要有以下几种 1.无聊程序或实验品 主要是部分计算机工作人员或业余爱好者为了纯粹个人利益或性质而制造出来的,有 的是用来测试个人的编程能力,有的则纯粹是为了开玩笑,这类病毒一般以良性病毒为主。 2.蓄意破坏 一般多表现为病毒作者对某个人或组织的报复性行为,也有一些是团体行为,比如现 代战争中的信息战,实施有组织有规模的病毒攻击是打击敌方性息系统的一个有效手段。 3.研究实验用 这类病毒则是用于研究或实验而设计的样本程序,由于某种原因失去控制扩散出实验 室或研究所,从而成为危害四方的计算机病毒。 计算机病毒的特点 1.传染性 这是病毒的基本特征,是判别一个程序是否为计算机病毒最重要的特征,一旦病毒被 复制或产生变种,其传染速度之快令人难以预防。 2.破坏性 任何计算机病毒感染了系统后,都会对系统产生不同程度的影响。给用户带来巨大的 损失。 3.寄生性
一般的计算机病毒都不是独立存在的,而是寄生与其它的程序,当执行这个程序时, 病毒代码就会被执行。一般在正常程序未启动之前,用户是不易发觉病毒的存在的。 4.隐蔽性 计算机病毒具有很强的隐蔽性,它通常附在正常的程序之中或藏在磁盘的隐密地方, 有些病毒采用了极其高明的手段来隐藏自己,而且有的病毒在感染了系统之后,计算机系 统仍能正常工作,用户不会感到有任何异常,在这种情况下,普通用户是无法在正常的情 况下发现病毒的。 5.潜伏性 大部分的病毒感染系统之后一般不会马上发作,它隐藏在系统中,就像定时炸弹一样,只有在满足其特定条件时才启动。比如黑色星期五病毒,不到预订时间不会查觉出异常, 一旦缝到13日的星期五就会爆炸开来,对系统进行破坏。 计算机病毒的分类 1.引导性病毒 其感染对象是计算机储存介质的引导区。病毒将自身的全部或部分逻辑取代正常的引 导记录,而将正常的引导记录隐藏在介质的其他储存空间。由于引导区是计算机系统正常 工作的先决条件,所以此类病毒可在计算机运行前获得控制权,其感染性很强。 2.文件型病毒 其感染对象是计算机系统中独立存在的文件。病毒将自身粘贴到可执行文件或其它文 件中,在文件运行或被调用时驻留内存、传染、破坏。 3.混合型病毒 混合型病毒通过感染多个目标,其感染对象包括引导区和文件,同时具有以上两种病 毒的特征。按针对系统的不同,可分为:DOS病毒、Windows病毒、宏病毒。 计算机病毒的传播途径 1.磁盘 早期的计算机病毒大都以磁盘等储存设备来传递的,包括软盘、硬盘、磁带机、光盘等。在这些储存设备中,尤以磁盘是使用最广泛的移动设备,是早期病毒传染的主要途径。 2.下载 随着Internet技术的迅猛发展,现在使用计算机的人们几乎每天都从网络上下载一 些有用的资料信息。而这无疑会给病毒提供良好的侵入通道。
【安全】常见病毒类型说明及行为分析0点 1、目前杀毒厂商对恶意程序的分类 nbsp; 木马病毒:TROJ_XXXX.XX nbsp; 后门程序:BKDR_XXXX.XX nbsp; 蠕虫病毒:WORM_XXXX.XX nbsp; 间谍软件:TSPY_XXXX.XX nbsp; 广告软件:ADW_XXXX.XX nbsp; 文件型病毒:PE_XXXX.XX nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒 POLYBOOT-B 2、病毒感染的一般方式 病毒感染系统时,感染的过程大致可以分为: 通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如: 打开后门等待连接 发起DDOS攻击 进行键盘记录 发送带计算机使用记录电子邮件 2.1 常见病毒传播途径 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对毒,它们传播、感染系统的方法也有所不同。 nbsp; 计算机病毒传播方式主要有: ü电子邮件 ü网络共享 ü P2P 共享 ü系统漏洞 ü浏览网页 ü移动磁盘传播 ü打开带毒影音文件 2.1.1电子邮件传播方式 nbsp; HTML正文可能被嵌入恶意脚本, nbsp; 邮件附件携带病毒压缩文件 nbsp; 利用社会工程学进行伪装,增大病毒传播机会 nbsp; 快捷传播特性
例:WORM_MYTOB,WORM_STRATION等病毒 2.1.2 网络共享传播方式 nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ nbsp; 通过空口令或弱口令猜测,获得完全访问权限 病毒自带口令猜测列表 nbsp; 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例:WORM_SDBOT 等病毒 2.1.3 P2P共享软件传播方式 nbsp; 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 nbsp; 通过P2P软件共享给网络用户 nbsp; 利用社会工程学进行伪装,诱使用户下载 例:WORM_PEERCOPY.A,灰鸽子等病毒 2.1.4 系统漏洞传播方式 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏nbsp; 病毒往往利用系统漏洞进入系统,达到传播的目的。 nbsp; 常被利用的漏洞 – RPC-DCOM 缓冲区溢出(MS03-026) – Web DAV (MS03-007) – LSASS (MS04-011) – Internet Explorer 中的漏洞(MS08-078) –服务器服务中允许远程执行代码的漏洞(MS08-067) (Local Security Authority Subsystem Service) 例:WORM_MYTOB 、WORM_SDBOT等病毒 2.1.5 网页感染传播方式 主要是通过恶意脚本 网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点: 1、代码灵活多变 利用直接的JAVA恶意脚本。 利用