下载文档原格式
选择 1、网络威胁因素主要有哪几个方面: (ABCD )A. 硬 件 设 备 和 线 路 的 安 全 问 题 B. 网络系统和软件的安全问题 C. 网络管理 人员的安全意识问题 D. 环境的安全因素 2、计算机病毒的特征:(ABCDE )A. 可执行 性 B. 隐蔽性、传染性 C. 潜伏性 D. 表现性或 破坏性 E. 可触发性 3、计算机病毒的传播途径:(ABC )A. 过软盘 和光盘传播 B.通过硬盘传播 C. 通过计算机 网络进行传播 4、许多黑客攻击都是利用软件实现中的缓冲 区溢出的漏洞,对于这一威胁,最可靠的解决 方案是什么?(B ) B.给系统安装最新的补丁 5、计算机病毒的主要来源有_(多选) (ABD )A. 黑客组织编写 B.恶作剧 D.恶意编制 6、计算机病毒是(A )A. 计算机程序 7、计算机病毒的危害性有以下几种表现(多 选) (BCD ) B.删除数据 C.阻塞网络 D. 信息泄 漏 8、目前使用的防杀病毒软件的作用是(A )A. 检查计算机是否感染病毒,清除已感染的任何 病毒 9、计算机病毒破坏的主要对象是:(D ) D.程 序和数据 10、网络黑客的攻击方法有(ABCD )A. WWW 的欺骗技术 B. 网络监听 C. 偷取特权 D. 利用账号进行攻击1.计算机病毒从本质上来说是( B )。
B.程 序代码2.特洛伊木马从本质上来说是( B )。
B. 程 序代码3.计算机病毒先后经历了( D )代的发展。
D. 四代4. 计 算 机 病 毒 的 主 要 传 播 途 径 有 (ABCD) 。
A.计算机不可移动的硬件设备 B. 可移动的储 存设备 C.计算机网络 D. 点对点通信系统和 无线网络5.病毒程序一旦被激活,就会马上(A)。
A.复 制6.蠕虫是由以下( A )部分构成的。
A.传播 模块7.蠕虫入侵是利用了主机的( C )。
C.设备 8.木马入侵主机的主要目的是为了(BC)。
计算机病毒的传播方式以及应对方法摘要:目前计算机的应用遍及到社会各个领域,同时计算机病毒也给我们带来了巨大的破坏力和潜在威胁,为了确保计算机系统能够稳定运行以及信息的安全性,了解计算机病毒的一些特征、传播方式及防范措施十分必要。
关键词:计算机病毒分类传播方式预防查杀一、计算机病毒的定义:一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括软件和硬件)的代码,统称为计算机病毒。
它通常隐藏在一些看起来无害的程序中,能生成自身的拷贝并将其插入其他的程序中,执行恶意的行动,其具有以下几个特点:1、传染性。
计算机病毒会通过各种渠道从被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染计算机工作失常甚至瘫痪。
2、潜伏性。
有些计算机病毒并不是一侵入机器就对机器造成破坏,它可能隐藏在合法的文件中,静静的呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。
3、隐蔽性。
计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序很难区分开来。
4、破坏性。
任何计算机病毒侵入到机器中,都会对系统造成不同程度的影响,轻者占有系统资源,降低工作效率,重者数据丢失,机器瘫痪。
除了上述四个特点,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。
正是由于计算机具有这些特点,给计算机病毒的预防、检测和清除工作带来了很大的麻烦。
二、计算机病毒的分类:1、系统病毒。
系统病毒的前缀为: Win32 、PE、Win95 、W32、W95 等。
这种病毒的公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。
2、蠕虫病毒。
蠕虫病毒的前缀是:Worm 。
这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
3、木马病毒。
木马病毒其前缀是:Trojan,它是一种会在主机上未经授权就自动执行的恶意程序。
计算机病毒的预防和一般的生物学病毒不同的是,计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。
没有这样的条件,计算机病毒是不会传染的,因为计算机不启动、不运行时,就谈不上对磁盘的读写操作或数据共享,没有磁盘的读写,病毒就传播不到磁盘上或网络里。
所以只要计算机运行,就会有磁盘读写动作,病毒传染的两个先决条件就很容易得到满足。
系统运行为病毒驻留内存创造了条件,病毒传染的第一步是驻留内存,一旦进入内存之后,便寻找传染机会,寻找可攻击的对象,判断条件是否满足,决定是否可传染。
当条件满足时进行传染,将病毒写入磁盘系统。
而且,所有的计算机病毒都是人为地制造出来的,有时一旦扩散出去连制造者自己也无法控制。
因此,病毒已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。
为此,了解计算机病毒的来源,认识计算机病毒的危害性,懂得防治计算机病毒的常用措施,就成为了目前比较急迫的问题。
1、计算机病毒的分类目前世界上估计有20多万种病毒,按照基本类型划分,可归结为6种类型:(1)引导型病毒;(2)可执行文件病毒;(3)宏病毒;(4)混合型病毒;(5)特洛伊木马型病毒;(6) In-ternet语言病毒。
2、计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
它产生的背景是:(1)计算机病毒是计算机犯罪的一种新的衍化形式。
计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。
不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。
是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的脆弱性是根本的技术原因。
计算机是电子产品,数据从输入、存储、处理到输出等环节,易被误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误和缺陷隐藏在其中。
这些脆弱性就为病毒的侵入提供了方便。
二、Word现毒的表现例1Nuclear宏病毒:这是一个对操作系统文件和打印输出有破坏功能的宏病毒。
这个宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload这些宏是只执行(Execute-only)宏。
Nuclear宏病毒造成的破坏现象为:1打开一个染毒文档并打印的时侯,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!”,这个现象是在每分钟的55秒—60秒之间操作打印时发生。
2如果在每天17:00—18:00之间打开一个染毒文档,Nuclear病毒会将PH33R 病毒传染到计算机上,这是个驻留型病毒。
3在每年的四月五日,该病毒会将计算机上IO.SYS,MSDOS.SYS文件清零,并且删除C盘根目录上的文件。
一旦病毒发作,MS-DOS就不可能被引导,计算机将陷入瘫痪。
例2台湾一号病毒:台湾一号病毒会在每月的13日影响您正常使用Word文档和编辑器。
它包含以下病毒宏:AutoCloseAutoNewAutoOpen这些宏是可被编辑宏。
在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条语句与13日有关。
台湾一号病毒造成的危害是:在每月13日,若用户使用Word打开一个带毒的文档(模板)时,病毒会被激发,激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至Word 内存不够,Word出错为止;如心算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答是“我就是巨集病毒”,再提示用户:“如何预防巨集病毒?”,回答是“不要看我”。
三Word宏病毒发现及清除:根据宏病毒的传染机制,不难看出宏病毒传染中的特点,所以发现宏病毒可以通过以下步聚进行:1在自己使用的Word中打开工具中的宏菜单,点中通用(Normal)模板,若发现有“AutoOpen”等自动宏,“FileSave”等文件操作宏或一些怪名字的宏,而自己又没有加载特殊模板,这就有可能有病毒了。
计算机病毒的预防技术说到预防计算机病毒,正如不可能研究出一种像能包治人类百病的灵丹妙药一样,研制出万能的防计算机病毒程序也是不可能的。
但可针对病毒的特点,利用现有的技术,开发出新的技术,使防御病毒软件在与计算机病毒的对抗中不断得到完善,更好地发挥保护计算机的作用。
计算机病毒预防是指在病毒尚未入侵或刚刚入侵时,就拦截、阻击病毒的入侵或立即报警。
目前在预防病毒工具中采用的技术主要有:1.将大量的消毒/杀毒软件汇集一体,检查是否存在已知病毒,如在开机时或在执行每一个可执行文件前执行扫描程序。
这种工具的缺点是:对变种或未知病毒无效;系统开销大,常驻内存,每次扫描都要花费一定时间,已知病毒越多,扫描时间越长。
2.检测一些病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在病毒行为。
其缺点是:无法准确识别正常程序与病毒程序的行为,常常报警,而频频误报警的结果是使用户失去对病毒的戒心。
3.监测写盘操作,对引导区BR或主引导区MBR的写操作报警。
若有一个程序对可执行文件进行写操作,就认为该程序可能是病毒,阻击其写操作,并报警。
其缺点是:一些正常程序与病毒程序同样有写操作,因而被误报警。
4.对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。
其缺点是:易于早发现病毒,对已知和未知病毒都有防止和抑制能力。
5.智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区分正常程序与病毒程序行为,是否误报警取决于知识库选取的合理性。
其缺点是:单一的知识库无法覆盖所有的病毒行为,如对不驻留内存的新病毒,就会漏报。
6.智能监察型:设计病毒特征库(静态),病毒行为知识库(动态),受保护程序存取行为知识库(动态)等多个知识库及相应的可变推理机。
通过调整推理机,能够对付新类型病毒,误报和漏报较少。
这是未来预防病毒技术发展的方向。
计算机病毒的种类及预防措施什么是计算机病毒?计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒等。
下面是详细介绍:系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
这些病毒的一般公有的特性是可以感染windows操作系统的*.exe 和*.dll 文件,并通过这些文件进行传播。
如CIH病毒。
蠕虫病毒蠕虫病毒的前缀是:Worm。
这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
木马病毒脚本病毒宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。
凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。
该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
后门病毒后门病毒的前缀是:Backdoor。
该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
病毒种植程序病毒破坏性程序病毒玩笑病毒玩笑病毒的前缀是:Joke。
如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.篇一:《计算机病毒》复习思考题20XX20XX《计算机病毒》复习思考题第一手资料:教材、教学PPT必读参考资料:1.金山毒霸20XX-20XX中国互联网安全研究报告.doc2.中国互联网站发展状况及其安全报告(20XX年).pdf3.瑞星20XX年上半年中国信息安全报告.pdf4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc5.★★★木马防治之“葵花宝典”.doc6.★★★深层病毒防护指南.doc7.专题:★★★手动杀毒综合篇.doc8.打造安全U盘(实验).doc9.打造安全、流畅、稳定的系统.ppt10.HiPS主机入侵防御系统.ppt11.关于HoSTS文件.doc12.病毒触发条件.doc第一章计算机病毒概述1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型?3.计算机病毒有哪些传播途径?查找相关资料,试述计算机病毒发展趋势与特点。
研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?第2章预备知识1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FoRmaT)能否清除任何计算机病毒?为什么?3.doS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?4.针对PE文件格式,请思考:win32病毒感染PE文件,须对该文件作哪些修改?第3章计算机病毒的逻辑结构与基本机制1.文件型病毒有哪些感染方式?2.计算机病毒的感染过程是什么?3.计算机病毒一般采用哪些条件作为触发条件?试述计算机病毒的逻辑结构。
第4章doS病毒的基本原理与doS病毒分析1.试述引导型病毒的启动过程。
2.编写程序,利用inT13H实现引导区的备份与恢复。
宏病毒的预防与清除
作者:咸爱勇
来源:《电脑知识与技术》2012年第36期
摘要:现代办公人们离不开计算机,但是,它也带来了许多的不便与麻烦,宏病毒就是这些麻烦中的一个体现。
由于人们防毒意识不强,对新技术不了解,就给宏病毒的传播和爆发带来了有利的条件,通过U盘、邮件等方式来回拷贝文件,使病毒文件从一台计算机传播到另一台计算机,严重危害了办公环境。
为此,该文以最常见的宏病毒为例,从以下几个方面进行阐述:第一章,着重介绍了宏病毒的由来及计算机病毒与生物病毒的异同;第二章,介绍了目前单位内部发现的带病毒文件及发作的症状;第三章,给出清除这些宏病毒的解决方案;第四章,进行总结,给出了一些防治的措施。
关键词:VBA ;EXCEL;宏病毒
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)36-8650-03
1 宏病毒简介
在20世纪90年代,微软为了解决office产品的自动化问题,设计了一种新型的语言Visual Basic for Application,这种语言是可以让office产品的word、excel等软件共享使用的通用性语言,是Visual Basic的一种子集语言。
一系列的可以执行的VBA语句,我们称为宏。
宏的功能很强大,可以使重复的任务自动化、自定义工具栏、操作复杂的数据等大大提高工作的效率,同时还可以把office产品中的软件当作开发和运行的平台,对计算机进行一系列的操作控制。
宏的使用很简单,对于不会编写代码的人也可以使用。
以Excel为例(未特殊说明,以下的例子都以excel2003来讲解),我们可以很方便的录制一个宏。
由于宏具有功能强大和简单易用的特点,所以,它就很容易被人们使用,来完成一些特定的工作任务,同样的,它也就更容易被别有用心的人编写成为恶意代码,我们把这些恶意代码称为宏病毒。
在文献[1]中,计算机病毒被明确定义为编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
根据计算机病毒的定义,可以知道计算机病毒不是天然形成的,而是人为编写的逻辑严谨的代码。
虽然偶然的程序错误,也会在计算机的磁盘和内存中产生乱码和指令,但是,它们都是无序的,从概率上分析,是不可能组成可以运行的程序片段。
而生物病毒是天然形成的,这也是计算机病毒与生物病毒最大的不同。
表1列出了计算机病毒和生物病毒的异同。
宏病毒是计算机病毒的一种,它具有计算机病毒的一些特征,但是它与别的计算机病毒不同的是,不会感染系统文件或者exe文件,只感染office文档文件。
宏病毒以VBA语言方式
直接混杂在文档文件中,具有很强的隐蔽性,以让人信赖的文档文件加以传播,从外表看来,这个文件是安全的,当运行的时候,才知道它是有危害的。
2 发现的宏病毒
目前,单位办公主要着重依靠于office软件,其中的word和excel这两个更是重中之重,可以算是每天开机必用软件。
如果其中一个或者多个出现问题,那么,就会大大的影响了办公的效率。
悲观的是,单位中常常见到excel的宏病毒,给办公带来了极大的不便,还好word文档的宏病毒还没有发现。
在大量的excel中,有很多表格中夹杂着宏病毒或者病毒的残留。
最常见的就是poppy宏病毒,对于此类宏病毒危害性还算小,如果中了此病毒,目前的症状只是造成了office大量的文档都中毒且打不开文档,造成office产品崩溃,不会感染windows系统文件。
由于病毒已经发作,而且,病毒的源文件藏在excel表格中,所以即使是重新安装office 产品或者重新安装windows也无济于事,根源在于病毒的源文件并没有消除,只要再次打开带有宏病毒的excel文档,依然会发生中毒现象。
通过查找相关的资料,XLSTART目录是Excel的专用启动目录(就像Windows XP的启动程序组一样),Excel每次启动时都会检查该目录,如果有文件就自动执行(或打开)该目录中的所有文件,否则就直接启动并创建一个新的工作簿供用户使用。
XLSTART目录中保存的既可以是Excel宏文件,又可以是模板文件或具体的工作簿文件,甚至还可以是相关文件的快捷方式,Excel将根据文件类型的不同分别加以处理。
也就是说,如果中了poppy宏病毒,那么它会在此目录中建立文件,无论你打开的Excel文档有没有病毒,都会自动的执行带有病毒的文件,然后通过宏使其打开的这个Excel带上病毒,最终通过一些途径传播到其它的计算机上。
3 宏病毒的解决方案
一个程序的运行,需要有相应的可执行环境。
病毒也是程序,它同样需要运行环境。
对于宏病毒的运行环境就是office的机器。
因为office2003产品中宏是默认开启的,所以,就很容易给宏病毒的运行创造了条件。
把宏设为禁止,就可以很好的阻止了宏病毒,但是我们往往是在安装完后不会更改其设置的。
这种方法也不能够把病毒清除,只是缺少了环境,进入了潜伏中。
假使开启了宏或者将此文件拷贝到另一台计算机中,此时,宏病毒就可能发作,对文件造成了破坏。
了解了宏病毒的某些特征,那么就可以采取相应的措施来解决此类问题。
为了能够从根本上清除宏病毒,该文提供了以下两种方法:
3.1 手工清除
1)先从XLSTART目录出发,如果自己本身没有对excel进行设置自启动的表格的话,这个目录本身应该是个空的目录,所以,应该把目录中的文件进行删除。
2)创建一个新的excel文档,并打开这个文档,依次点击:工具-宏-安全性,把宏安全设置为中。
因为在office2003中的excel中,宏默认是高,我们要在下一个步骤打开带有病毒的文件,如果安全等级过高,带有病毒的文件会保护自己使其打不开excel文件,所以降低下安全性(如果电脑已经中了宏病毒,宏安全默认为低)。
3)打开带有宏病毒的文件,在打开过程中会询问“禁用宏”和“启用宏”,此时应该选择禁用。
查看这个excel中有没有隐藏的表格。
依次点击:格式-工作表-取消隐藏,来查看,不过一般带有病毒的excel文件,通过这个也不会显示,必须通过一段VBA代码才可以显示。
依次点击:工具-宏-Visual Basic编辑器,在工程栏中检查每个表格中是不是有代码(如图1所示,红色圈起来的都应该删除),如果有,这些代码就是宏病毒的源程序,那就删除,就破坏了宏病毒的主程序了。
3.2 杀毒软件
上述的手工清除步骤比较繁琐,对于少量的文件还可以处理,如果大量的文件都有病毒,那么工作量是相当的庞大。
除了手动清理外,还可以用网上的杀毒软件来查杀,推荐使用金山毒霸的宏查杀。
曾经测试了包括360杀毒、瑞星等杀毒软件,对于宏病毒一般发现不了。
有的文件发现了清理后会留下后遗症,可以结合第4步来完成文件的修复。
4 总结和建议
为了防止宏病毒的再次感染和发作,营造安全的办公环境,我们就要采取一些预防的措施。
为此,给出了如下的建议:
1)安装office2003完成后,把宏的安全等级调高,改为“非常高”的状态。
2)如果要用到excel自启动的目录,那么就自己设置一个新的目录。
依次点击:工具-选项-常规-替补启动目录。
这样我们就设置了替补启动目录,在每次启动时,它和xlstart目录下的文件能够同时启动。
这样设置的好处是知道自己需要的文件都在替补目录中,外来的在xlstart中,很容易知道哪些文件是有问题的。
3)计算机中安装杀毒软件,并定期更新病毒库。
对于新的文档一定要先用杀毒软件查杀其是否安全,待查杀完后,再打开。
4)使用高版本的office,如office2007或者office2010。
使用高版本的对计算机的性能要求也高。
参考文献:
[1] 中华人民共和国计算机信息系统安全保护条例[Z].
[2] Walkenbach J. Excel2003高级VBA编程宝典[M].盖江南,王勇,等,译.北京:电子工业出版社,2005.
[3] 谭浩强. Visual Basic程序设计[M].北京:清华大学出版社,2004.。
