總目錄12.1計(jì)算機(jī)病毒的定義12.2計(jì)算機(jī)病毒的診斷與防治技術(shù)12.3網(wǎng)絡(luò)病毒的診斷與防治第12章病毒診斷與防治技術(shù)12.4常用病毒軟件的使用技術(shù)12.5應(yīng)用實(shí)例總目錄12.1計(jì)算機(jī)病毒的定義12.2計(jì)算機(jī)病毒的診1總目錄本節(jié)內(nèi)容

12.1.1計(jì)算機(jī)病毒的定義12.1.2計(jì)算機(jī)病毒的基本原理12.1.3計(jì)算機(jī)病毒的分類12.1.4計(jì)算機(jī)病毒的破壞能力

12.1計(jì)算機(jī)病毒概述總目錄本節(jié)內(nèi)容12.1計(jì)算機(jī)病毒概述2總目錄12.1.1計(jì)算機(jī)病毒的定義1．病毒的定義美國(guó)計(jì)算機(jī)研究專家F·Cohen博士最早提出了“計(jì)算機(jī)病毒”的概念：計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼。這段代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。其特性在很多方面與生物病毒有著極其相似的地方。《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條中對(duì)計(jì)算機(jī)病毒做的定義是：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。廣義上說，凡能夠破壞計(jì)算機(jī)正常運(yùn)行和破壞計(jì)算機(jī)中數(shù)據(jù)的程序代碼都可以稱為計(jì)算機(jī)病毒。總目錄12.1.1計(jì)算機(jī)病毒的定義3總目錄從1987年發(fā)現(xiàn)第1例計(jì)算機(jī)病毒以來，計(jì)算機(jī)病毒的發(fā)展經(jīng)歷了以下幾個(gè)主要階段：DOS引導(dǎo)階段；DOS可執(zhí)行文件階段；混合型階段；伴隨及批次性階段；多形性階段；生成器及變體機(jī)階段；網(wǎng)絡(luò)及蠕蟲階段；視窗階段；宏病毒階段；互聯(lián)網(wǎng)病毒階段。總目錄從1987年發(fā)現(xiàn)第1例計(jì)算機(jī)病毒以來，計(jì)算機(jī)病4總目錄12.1.2計(jì)算機(jī)病毒的基本原理1.

計(jì)算機(jī)病毒的工作原理(1)計(jì)算機(jī)病毒的主要特征l

可控性：計(jì)算機(jī)病毒與各種應(yīng)用程序一樣也是人為編寫出來的，是可控制的。l

傳染性：病毒的傳染性又稱“自我復(fù)制”或“再生”。再生是判斷是不是計(jì)算機(jī)病毒的最重要依據(jù)。在一定條件下，病毒通過某種渠道從一個(gè)文件和一臺(tái)計(jì)算機(jī)傳染到另外沒有被病毒傳染的文件和計(jì)算機(jī)。l

奪取系統(tǒng)控制權(quán)：計(jì)算機(jī)病毒的首要目標(biāo)就是爭(zhēng)奪系統(tǒng)的控制權(quán)，一般采用修改中斷入口或在正常程序中插入一段病毒程序，在系統(tǒng)啟動(dòng)或程序調(diào)用時(shí)，先運(yùn)行病毒程序，而后才轉(zhuǎn)向正常的系統(tǒng)或程序運(yùn)行。l

隱蔽性：計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在兩個(gè)方面：其一，傳染的隱蔽性，大多數(shù)病毒在進(jìn)行傳染時(shí)不具有外部表現(xiàn)，不易被人發(fā)現(xiàn)。其二，一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)。l

潛伏性：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，傳染計(jì)算機(jī)或網(wǎng)絡(luò)后，可以潛伏幾周或者幾個(gè)月甚至幾年。總目錄12.1.2計(jì)算機(jī)病毒的基本原理5總目錄(2)計(jì)算機(jī)病毒發(fā)作的觸發(fā)條件l利用系統(tǒng)時(shí)鐘提供的時(shí)間作為觸發(fā)機(jī)制，這種觸發(fā)機(jī)制被大量病毒使用。如“CIH”病毒是在每月的26日才會(huì)觸發(fā)，“黑色星期五”病毒是在既是13日又是星期五才觸發(fā)。l

利用病毒體自帶的計(jì)數(shù)器作為觸發(fā)器。l

利用特定環(huán)境作為觸發(fā)條件。總目錄(2)計(jì)算機(jī)病毒發(fā)作的觸發(fā)條件6總目錄(3)不可預(yù)見性不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)不斷地發(fā)展，這在為計(jì)算機(jī)提供了新的發(fā)展空間的同時(shí)，也對(duì)未來病毒的預(yù)測(cè)更加困難，這就要求人們不斷提高對(duì)病毒的認(rèn)識(shí)，增強(qiáng)防范意識(shí)。總目錄(3)不可預(yù)見性7總目錄(4)病毒的衍生性、持久性和欺騙性l

人們可以對(duì)一種計(jì)算機(jī)病毒進(jìn)行改進(jìn)，從而衍生出一種不同于原版本的新的計(jì)算機(jī)病毒（又稱為變種病毒）。l

計(jì)算機(jī)病毒程序可由一個(gè)受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳播，使得病毒的感染具有持久性和復(fù)雜性。l

計(jì)算機(jī)病毒行動(dòng)詭秘，而計(jì)算機(jī)對(duì)其反應(yīng)卻較“遲鈍”，往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來，這就是計(jì)算機(jī)病毒的欺騙性。總目錄(4)病毒的衍生性、持久性和欺騙性8總目錄2.計(jì)算機(jī)病毒的作用機(jī)理任何一種計(jì)算機(jī)病毒都是由三個(gè)部份組成：引導(dǎo)部份、傳染部份和表現(xiàn)部份。l

病毒的引導(dǎo)部份的作用是將病毒的主體加載到計(jì)算機(jī)內(nèi)存，為感染部份作準(zhǔn)備，在這期間發(fā)生駐留內(nèi)存、修改中斷地址、修改存放在高端內(nèi)存中的信息、保存原中斷向量等操作。引導(dǎo)部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備。l

病毒的傳染部份的作用是將病毒代碼程序自動(dòng)傳染到目標(biāo)上去。不同的病毒在傳染方式和傳染條件上各有不同。l

病毒的表現(xiàn)部份是病毒主體部份，病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞就是表現(xiàn)部份的作為，病毒的引導(dǎo)部份及傳染部份都是為表現(xiàn)部份服務(wù)的。大部份病毒都是在一定的條件下才會(huì)觸發(fā)其表現(xiàn)部份的。總目錄2.計(jì)算機(jī)病毒的作用機(jī)理9總目錄12.1.3計(jì)算機(jī)病毒的分類1.DOS病毒（DOSVirus）指針對(duì)DOS操作系統(tǒng)開發(fā)的病毒。由于Windows2000/XP/2003病毒的出現(xiàn)，DOS病毒幾乎絕跡。但DOS病毒在Windows2000/XP/2003環(huán)境中仍可以進(jìn)行感染，因此若執(zhí)行了染毒程序，Windows2000/XP/2003用戶也會(huì)被感染。使用現(xiàn)代的殺毒軟件能夠查殺的病毒中一半以上都是DOS病毒，可見DOS時(shí)代DOS病毒的泛濫程度。但這些眾多的病毒中除了少數(shù)幾個(gè)讓用戶膽戰(zhàn)心驚的病毒之外，大部分病毒都只是制作者出于好奇或?qū)_代碼進(jìn)行一定變形而制作的病毒。

2.Windows病毒（WindowsVirus）主要指針對(duì)Windows2000/XP/2003操作系統(tǒng)的病毒。現(xiàn)在的電腦用戶一般都安裝Windows系統(tǒng)，Windows病毒一般感染W(wǎng)indows2000/XP/2003系統(tǒng)，其中最典型的病毒有CIH病毒。但這并不意味著可以忽略系統(tǒng)是WindowsNT系列包括Windows2000/XP/2003的計(jì)算機(jī)。一些Windows病毒不僅在Windows2000/XP/2003上正常感染，還可以感染W(wǎng)indowsNT上的其它文件。主要感染的文件擴(kuò)展名為EXE、SCR、DLL、OCX等。總目錄12.1.3計(jì)算機(jī)病毒的分類10總目錄3.入侵型病毒（IntrusionVirus）可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下難以發(fā)現(xiàn)，清除起來較困難。4.嵌入式病毒(EmbeddedVirus)這種病毒將自身代碼嵌入到被感染文件中，當(dāng)文件被感染后，查殺和清除病毒都很困難。由于編寫嵌入式病毒比較困難，所以這種病毒數(shù)量不多。5.外殼類病毒(ShellVirus)這種病毒將自身代碼附著于正常程序的首部或尾部。該類病毒的種類繁多，大多感染文件的病毒都是這種類型。總目錄3.入侵型病毒（IntrusionVirus11總目錄6.引導(dǎo)區(qū)病毒（BootVirus）通過感染軟盤的引導(dǎo)扇區(qū)和硬盤的引導(dǎo)扇區(qū)或者主引導(dǎo)記錄進(jìn)行傳播的病毒。7.文件型病毒（FileVirus）指將自身代碼插入到可執(zhí)行文件內(nèi)來進(jìn)行傳播并伺機(jī)進(jìn)行破壞的病毒。8.宏病毒（MacroVirus）使用宏語言編寫，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行（主要是微軟的辦公軟件系統(tǒng)，字處理、電子數(shù)據(jù)表和其他Office程序中），利用宏語言的功能將自己復(fù)制并且繁殖到其他數(shù)據(jù)文檔里的程序。總目錄6.引導(dǎo)區(qū)病毒（BootVirus）12總目錄9.蠕蟲病毒（WormVirus）通過網(wǎng)絡(luò)或者程序漏洞進(jìn)行自主傳播，向外發(fā)送帶毒郵件或通過即時(shí)通訊工具（QQ、MSN等）發(fā)送帶毒文件，阻塞網(wǎng)絡(luò)的正常通信。10.特洛伊木馬（Trojan）通常假扮成有用的程序誘騙用戶主動(dòng)激活，或利用系統(tǒng)漏洞侵入用戶電腦。木馬進(jìn)入用戶電腦后隱藏在的系統(tǒng)目錄下，然后修改注冊(cè)表，完成黑客定制的操作。11.后門程序（Backdoor）會(huì)通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的電腦并隱藏在系統(tǒng)目錄下，被開后門的計(jì)算機(jī)可以被黑客遠(yuǎn)程控制。黑客可以用大量被植入后門程序的計(jì)算機(jī)組成僵尸網(wǎng)絡(luò)（Botnet）用以發(fā)動(dòng)網(wǎng)絡(luò)攻擊等。總目錄9.蠕蟲病毒（WormVirus）13總目錄12.惡意腳本（HarmScript）、惡意網(wǎng)頁(yè)使用腳本語言編寫，嵌入在網(wǎng)頁(yè)當(dāng)中，調(diào)用系統(tǒng)程序、修改注冊(cè)表對(duì)用戶計(jì)算機(jī)進(jìn)行破壞，或調(diào)用特殊指令下載并運(yùn)行病毒、木馬文件。

13.惡意程序（HarmProgram）會(huì)對(duì)用戶的計(jì)算機(jī)、文件進(jìn)行破壞的程序，本身不會(huì)復(fù)制和傳播。14.惡作劇程序（Joke）這一類程序不會(huì)對(duì)用戶的計(jì)算機(jī)、文件造成破壞，但會(huì)降低計(jì)算機(jī)和網(wǎng)絡(luò)的運(yùn)行效率，并會(huì)給用戶帶來恐慌和不必要的麻煩。總目錄12.惡意腳本（HarmScript）、惡意14總目錄12.1.4計(jì)算機(jī)病毒的破壞能力l

病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用；l

干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降；l

占有磁盤空間和對(duì)信息的破壞；l

強(qiáng)占系統(tǒng)資源；l

干擾I/O設(shè)備，篡改預(yù)定設(shè)置以及擾亂運(yùn)行；l

破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。總目錄12.1.4計(jì)算機(jī)病毒的破壞能力15總目錄12.2計(jì)算機(jī)病毒的診斷與防治技術(shù)本節(jié)內(nèi)容12.2.1計(jì)算機(jī)病毒的檢測(cè)12.2.2計(jì)算機(jī)病毒的防范措施總目錄12.2計(jì)算機(jī)病毒的診斷與防治技術(shù)本節(jié)內(nèi)容16總目錄12.2.1計(jì)算機(jī)病毒的檢測(cè)

1.計(jì)算機(jī)病毒的表現(xiàn)當(dāng)計(jì)算機(jī)染上病毒之后，會(huì)有許多明顯的特征。例如，文件的長(zhǎng)度和日期忽然改變、系統(tǒng)執(zhí)行速度下降、出現(xiàn)一些奇怪的信息、無故死機(jī)，更為嚴(yán)重的是硬盤已經(jīng)被格式化了。如果你的計(jì)算機(jī)上出現(xiàn)下述現(xiàn)象，則有可能是感染了計(jì)算機(jī)病毒：l

系統(tǒng)啟動(dòng)速度比平時(shí)慢；l

系統(tǒng)運(yùn)行速度異常；l

某些文件的長(zhǎng)度及文件的建立日期發(fā)生變化；l

沒有發(fā)出“寫”操作命令而出現(xiàn)“磁盤寫保護(hù)”的提示；l

在內(nèi)存中發(fā)現(xiàn)不明程序的駐留或不明進(jìn)程的運(yùn)行；l

打印機(jī)、顯示器有異常現(xiàn)象；l

系統(tǒng)自動(dòng)生成一些不明的特殊文件；l

文件莫明奇妙地丟失；l

系統(tǒng)自動(dòng)關(guān)機(jī)；l

系統(tǒng)經(jīng)常異常死機(jī)。總目錄12.2.1計(jì)算機(jī)病毒的檢測(cè)17總目錄2.計(jì)算機(jī)病毒的診斷常見的防毒軟件是如何去發(fā)現(xiàn)它們的呢？就是利用所謂的病毒碼（VirusPattern）。病毒碼其實(shí)可以想象成是犯人的指紋，當(dāng)防毒軟件公司收集到一個(gè)新的病毒時(shí)，就會(huì)從這個(gè)病毒程序中，截取小段獨(dú)一無二足以表示這個(gè)病毒的二進(jìn)制程序代碼（binarycode），來當(dāng)作掃毒程序辨認(rèn)病毒的依據(jù)，而這段獨(dú)一無二的二進(jìn)制程序碼就是所謂的病毒碼。反病毒軟件常用以下6種技術(shù)來查找病毒：總目錄2.計(jì)算機(jī)病毒的診斷18總目錄(1)病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析，根據(jù)其特征，編成病毒碼，加入資料庫(kù)中。以后每當(dāng)執(zhí)行掃描病毒程序時(shí)，能立刻掃描目標(biāo)文件，并與病毒代碼對(duì)比，即能偵察到是否有病毒。大多數(shù)防毒軟件均采用這種方式，其缺點(diǎn)是無法掃描新病毒及以變種病毒。(2)加總比對(duì)法根據(jù)每個(gè)程序的文件名稱、大小、時(shí)間及內(nèi)容，加總（按位加）為一個(gè)檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個(gè)資料庫(kù)中，再利用加總法追蹤并記錄每個(gè)程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術(shù)可偵察到各種病毒，但最大的缺點(diǎn)是誤判較高，且無法確認(rèn)是哪種病毒感染的。(3)人工智能陷阱人工智能陷阱是一種監(jiān)測(cè)電腦行為的常駐內(nèi)存掃描技術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快，且可以偵察到各種病毒；其缺點(diǎn)是程序設(shè)計(jì)難度大。總目錄(1)病毒碼掃描法19總目錄(4)軟件模擬掃描法軟件模擬掃描技術(shù)專門用來對(duì)付“千面人”病毒（Polymorphic/Mutationvirus）。千面人病毒在每次傳染時(shí)，都以不同的隨機(jī)亂數(shù)加密于每個(gè)中毒文件中，傳統(tǒng)病毒碼比對(duì)方式根本就無法找到這種病毒。(5)先知掃描法軟件模擬技術(shù)可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)器，模擬CPU動(dòng)作并通過執(zhí)行程序以解開變體引擎病毒，應(yīng)用類似的技術(shù)也可以用來分析一般程序檢查可疑的病毒碼。因此，VICE可用來判斷程序有無病毒碼存在的方法，分析專家系統(tǒng)知識(shí)庫(kù)，再利用軟件工程模擬技術(shù)（softwareemulation）加上病毒運(yùn)行機(jī)制，則可分析出新的病毒碼以對(duì)付以后的病毒。這就是先知掃描法VICE（VirusInstructionCodeEmulation）。(6)實(shí)時(shí)I/O掃描實(shí)時(shí)I/O掃描（real_timeI/Oscan）的目的是在于及時(shí)地對(duì)數(shù)據(jù)的輸入輸出動(dòng)作做病毒碼對(duì)比的動(dòng)作，希望能夠能在病毒尚未被執(zhí)行之前，就能夠截留下來。實(shí)時(shí)掃描技術(shù)會(huì)影響到數(shù)據(jù)的輸入輸出速度，但使用實(shí)時(shí)掃描技術(shù)后，文件一旦傳入就已經(jīng)被掃描和清除過病毒了。總目錄(4)軟件模擬掃描法20總目錄12.2.2計(jì)算機(jī)病毒的防范措施防范網(wǎng)絡(luò)病毒的過程實(shí)際上就是技術(shù)對(duì)抗的過程，反病毒技術(shù)也得適應(yīng)病毒繁衍和傳播方式的發(fā)展而不斷調(diào)整。(1)系統(tǒng)防毒措施l

制定系統(tǒng)的防毒策略；l

部署多層防御策略；l

定期更新防毒定義文件和引擎；l

定期備份文件；l

預(yù)訂可發(fā)布新病毒威脅警告的電子郵件。總目錄12.2.2計(jì)算機(jī)病毒的防范措施21總目錄(2)終端用戶防毒措施l

對(duì)于來歷不明的郵件，最好不要輕易打開而是將其直接刪除。l

如果將MicrosoftWord當(dāng)作電子編輯使用，就需要將NORMAL.DOT在操作系統(tǒng)級(jí)設(shè)置只讀文件。同時(shí)將MicrosoftWord的設(shè)置更改為“PrompttoSaveNormalTemplate（保存常規(guī)模板）”。許多病毒通過更改NORMAL.DOT文件進(jìn)行自我傳播，采取上述措施可產(chǎn)生阻止作用。l

加上存儲(chǔ)介質(zhì)的寫保護(hù)功能。(3)服務(wù)器防毒措施目前隨著基于Web的電子郵件訪問，公共文件夾以及訪問存儲(chǔ)器的映射網(wǎng)絡(luò)驅(qū)動(dòng)器等方式的出現(xiàn)，病毒也可以通過多種方式進(jìn)入電子郵件服務(wù)器。這時(shí)，就只有基于電子郵件服務(wù)器的解決方案才能檢測(cè)和刪除受感染的文件。從以下幾個(gè)方面可以做到防毒：l

攔截受感染的附件；l

設(shè)置全面的隨機(jī)掃描；l

試探隨機(jī)掃描；l

重要數(shù)據(jù)定期保存、備份。

總目錄(2)終端用戶防毒措施22總目錄(4)多層防御機(jī)制多層防御體系將病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理集成起來，提供全面的病毒防護(hù)能力，從而達(dá)到“治療”病毒的效果。病毒檢測(cè)一直是病毒防護(hù)的支柱，多層次防御軟件使用了三層保護(hù)功能：實(shí)時(shí)掃描、完整性保護(hù)、完整性檢驗(yàn)。l

后臺(tái)實(shí)時(shí)掃描驅(qū)動(dòng)器能對(duì)未知的異形病毒和秘密病毒進(jìn)行連續(xù)的檢測(cè)。l

完整性保護(hù)可阻止病毒從一個(gè)感染的工作站擴(kuò)散到服務(wù)器，還可以防止與未知的病毒感染有關(guān)的文件崩潰。l

完整性檢驗(yàn)無需冗余的掃描而提高實(shí)時(shí)檢驗(yàn)的性能。(5)在網(wǎng)關(guān)、服務(wù)器上防御措施防范手段應(yīng)集中在網(wǎng)絡(luò)整體上，在個(gè)人計(jì)算機(jī)的硬件和軟件，LAN服務(wù)器、服務(wù)器上的網(wǎng)關(guān)、Internet及Internet的網(wǎng)站上，層層設(shè)防，對(duì)每種病毒都實(shí)行隔離，過濾。

總目錄(4)多層防御機(jī)制23總目錄12.3網(wǎng)絡(luò)病毒的診斷與防治本節(jié)內(nèi)容12.3.1網(wǎng)絡(luò)病毒的特征12.3.2計(jì)算機(jī)網(wǎng)絡(luò)病毒的診斷技術(shù)12.3.3局域網(wǎng)病毒的防范技術(shù)總目錄12.3網(wǎng)絡(luò)病毒的診斷與防治本節(jié)內(nèi)容24總目錄12.3.1網(wǎng)絡(luò)病毒的特征1.網(wǎng)絡(luò)病毒的傳播方式（1）郵件附件病毒經(jīng)常會(huì)附在郵件的附件里，然后起一個(gè)吸引人的名字，誘惑人們?nèi)ゴ蜷_附件，一旦人們?cè)噲D打開附件時(shí)，機(jī)器就會(huì)感染上附件中所附帶的病毒。（2）Email有些蠕蟲病毒會(huì)利用“MicrosoftSecurityBulletin”的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個(gè)病毒副本來進(jìn)行傳播。正如在公告中所描述的那樣，該漏洞存在于InternetExplorer之中，可以通過E-mail的附件來傳染病毒，用戶只要打開郵件就會(huì)使機(jī)器感染上病毒，并不需要打開郵件附件。（3）Web服務(wù)器有些網(wǎng)絡(luò)病毒攻擊IIS4.0和5.0Web服務(wù)器。以“尼姆達(dá)”病毒為例，主要通過兩種手段來進(jìn)行攻擊：第一，它檢查計(jì)算機(jī)是否已經(jīng)被“紅色代碼II”病毒所破壞，因?yàn)榧t色代碼Ⅱ病毒會(huì)創(chuàng)建一個(gè)“后門”，任何惡意用戶都可以利用這個(gè)“后門”獲得對(duì)系統(tǒng)的控制權(quán)。如果“尼姆達(dá)”病毒發(fā)現(xiàn)了具有這種“后門”的機(jī)器，就會(huì)利用“紅色代碼Ⅱ”病毒留下的后門來感染機(jī)器。第二，病毒會(huì)試圖利用“WebServerFolderTraversal”漏洞來感染機(jī)器。（4）文件共享還有一種病毒的傳播手段是通過文件共享來進(jìn)行的。Windows系統(tǒng)可以被配置成允許其他用戶讀寫系統(tǒng)中的文件，之后允許所有人訪問系統(tǒng)中的文件。如果病毒發(fā)現(xiàn)系統(tǒng)被配置為其他用戶有創(chuàng)建文件的權(quán)限時(shí)，將會(huì)在該系統(tǒng)中添加文件來傳播病毒。總目錄12.3.1網(wǎng)絡(luò)病毒的特征25總目錄2.網(wǎng)絡(luò)病毒的特點(diǎn)(1)感染速度快在單機(jī)環(huán)境下，病毒只能通過軟盤從一臺(tái)計(jì)算機(jī)帶到另一臺(tái)，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通訊機(jī)制迅速擴(kuò)散。根據(jù)測(cè)定，對(duì)于一個(gè)局域網(wǎng)絡(luò)在正常情況下，只要有一臺(tái)工作站有病毒，就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺(tái)甚至上千臺(tái)計(jì)算機(jī)全部感染。(2)擴(kuò)散面廣由于病毒在網(wǎng)絡(luò)中擴(kuò)散非常快，擴(kuò)散范圍很廣，不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能通過遠(yuǎn)程工作站將病毒在一瞬間傳播到千里之外。(3)傳播的形式復(fù)雜多樣計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站/服務(wù)器/工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣。(4)通過工作站傳染病毒先傳染工作站，在工作站內(nèi)存駐留，當(dāng)已感染病毒的工作站連入網(wǎng)絡(luò)時(shí)再傳染給服務(wù)器。總目錄2.網(wǎng)絡(luò)病毒的特點(diǎn)26總目錄(5)通過服務(wù)器感染如果遠(yuǎn)程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中，一旦病毒進(jìn)入文件服務(wù)器，就可通過它迅速傳染到整個(gè)網(wǎng)絡(luò)的每一個(gè)計(jì)算機(jī)上。而對(duì)于無盤工作站來說，由于其并非真的“無盤”（它的盤是網(wǎng)絡(luò)盤），當(dāng)其運(yùn)行網(wǎng)絡(luò)盤上的一個(gè)帶毒程序時(shí)，便將內(nèi)存中的病毒傳染給該程序或通過映像路徑傳染到服務(wù)器的其他文件上，因此無盤工作站也是病毒孽生的溫床。（6）難于徹底清除單機(jī)上的計(jì)算機(jī)病毒有時(shí)可通過刪除帶毒文件或低級(jí)格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡(luò)中只要有一臺(tái)工作站未能消毒干凈就可使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺(tái)工作站就有可能被網(wǎng)上另一臺(tái)帶毒工作站所感染。因此，僅對(duì)工作站進(jìn)行病毒清除，并不能解決病毒對(duì)網(wǎng)絡(luò)的危害。

總目錄(5)通過服務(wù)器感染27總目錄（7）破壞性大網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰，破壞服務(wù)器信息，使多年工作毀于一旦。（8）可激發(fā)性網(wǎng)絡(luò)病毒激發(fā)的條件多樣化，可以是內(nèi)部時(shí)鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡(luò)的一次通信。一個(gè)病毒程序可以按照病毒設(shè)計(jì)者的要求，在某個(gè)工作站上激發(fā)并發(fā)出攻擊。（9）潛在性網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險(xiǎn)性也是巨大的。根據(jù)統(tǒng)計(jì)，病毒在網(wǎng)絡(luò)上被清除后，85％的網(wǎng)絡(luò)在30天內(nèi)會(huì)被再次感染。

總目錄（7）破壞性大28總目錄12.3.2網(wǎng)絡(luò)病毒的診斷技術(shù)在防范網(wǎng)絡(luò)病毒時(shí)，需要注意以下幾點(diǎn)：（1）留心郵件的附件對(duì)于郵件附件盡可能小心，安裝一套殺毒軟件，在打開郵件之前對(duì)附件進(jìn)行預(yù)掃描。因?yàn)橛械牟《距]件惡毒之極，只要你將鼠標(biāo)移至郵件上，即使沒有打開它，也會(huì)自動(dòng)執(zhí)行和感染。更不要打開陌生人來信中的附件文件，當(dāng)你收到陌生人寄來的一些自稱是“不可不看”的附件時(shí)，千萬不要貿(mào)然打開它，尤其對(duì)于一些“.exe”之類的可執(zhí)行程序文件，更要慎之又慎！總目錄12.3.2網(wǎng)絡(luò)病毒的診斷技術(shù)29總目錄（2）注意文件擴(kuò)展名因?yàn)閃indows允許用戶在文件命名時(shí)使用多個(gè)擴(kuò)展名，而許多電子郵件程序只顯示第一個(gè)擴(kuò)展名，有時(shí)會(huì)造成一些假像。所以我們可以在“文件夾選項(xiàng)”中，設(shè)置顯示文件名的擴(kuò)展名，這樣一些有害文件，如VBS文件就會(huì)原形畢露。注意千萬別打開擴(kuò)展名為vbs、shs和pif的郵件附件，因?yàn)橐话闱闆r下，這些擴(kuò)展名的文件幾乎不會(huì)在正常附件中使用，但它們經(jīng)常被病毒和蠕蟲使用。例如，你看到的郵件附件名稱是“wow.jpg”，而它的全名實(shí)際是“wow.jpg.vbs”，打開這個(gè)附件意味著運(yùn)行一個(gè)惡意的VBScript病毒，而不是jpg察看器。總目錄（2）注意文件擴(kuò)展名30總目錄（3）不要輕易運(yùn)行來歷不明的程序?qū)τ谝话闳思膩淼某绦颍疾灰\(yùn)行，就算是比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運(yùn)行。因?yàn)橛行┎《臼峭低档馗街先サ模ㄒ苍S朋友的電腦已經(jīng)感染了病毒），可他自己卻不知道。比如“happy99”就是這樣的病毒，它會(huì)自我復(fù)制，跟著你的郵件走。當(dāng)你收到郵件廣告或者主動(dòng)提供的電子郵件時(shí)，盡量也不要打開附件以及它提供的鏈接。（4）不要盲目轉(zhuǎn)發(fā)信件收到自認(rèn)為有趣的郵件時(shí)，不要盲目轉(zhuǎn)發(fā)，因?yàn)檫@樣會(huì)幫助病毒的傳播；給別人發(fā)送程序文件甚至包括電子賀卡時(shí)，一定要先在自己的電腦中試試，確認(rèn)沒有問題后再發(fā)，以免好心辦了壞事。（5）堵住系統(tǒng)漏洞現(xiàn)在很多網(wǎng)絡(luò)病毒都是利用了微軟的IE和Outlook的漏洞進(jìn)行傳播的，因此大家需要特別注意微軟網(wǎng)站提供的補(bǔ)丁，很多網(wǎng)絡(luò)病毒可以通過下載和安裝補(bǔ)丁文件或安裝升級(jí)版本來消除阻止它們。同時(shí)，及時(shí)給系統(tǒng)打補(bǔ)丁也是一個(gè)良好的習(xí)慣，可以讓你的系統(tǒng)時(shí)時(shí)處于最新、最安全的狀態(tài)。要注意應(yīng)該從信任度高的網(wǎng)站下載補(bǔ)丁。

總目錄（3）不要輕易運(yùn)行來歷不明的程序31總目錄（3）不要輕易運(yùn)行來歷不明的程序?qū)τ谝话闳思膩淼某绦颍疾灰\(yùn)行，就算是比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運(yùn)行。因?yàn)橛行┎《臼峭低档馗街先サ模ㄒ苍S朋友的電腦已經(jīng)感染了病毒），可他自己卻不知道。比如“happy99”就是這樣的病毒，它會(huì)自我復(fù)制，跟著你的郵件走。當(dāng)你收到郵件廣告或者主動(dòng)提供的電子郵件時(shí)，盡量也不要打開附件以及它提供的鏈接。（4）不要盲目轉(zhuǎn)發(fā)信件收到自認(rèn)為有趣的郵件時(shí)，不要盲目轉(zhuǎn)發(fā)，因?yàn)檫@樣會(huì)幫助病毒的傳播；給別人發(fā)送程序文件甚至包括電子賀卡時(shí)，一定要先在自己的電腦中試試，確認(rèn)沒有問題后再發(fā)，以免好心辦了壞事。（5）堵住系統(tǒng)漏洞現(xiàn)在很多網(wǎng)絡(luò)病毒都是利用了微軟的IE和Outlook的漏洞進(jìn)行傳播的，因此大家需要特別注意微軟網(wǎng)站提供的補(bǔ)丁，很多網(wǎng)絡(luò)病毒可以通過下載和安裝補(bǔ)丁文件或安裝升級(jí)版本來消除阻止它們。同時(shí)，及時(shí)給系統(tǒng)打補(bǔ)丁也是一個(gè)良好的習(xí)慣，可以讓你的系統(tǒng)時(shí)時(shí)處于最新、最安全的狀態(tài)。要注意應(yīng)該從信任度高的網(wǎng)站下載補(bǔ)丁。

總目錄（3）不要輕易運(yùn)行來歷不明的程序32總目錄（8）從正規(guī)網(wǎng)站下載軟件不要從任何不可靠的渠道下載任何軟件，因?yàn)橥ǔＮ覀儫o法判斷什么是不可靠的渠道，所以比較保險(xiǎn)的辦法是對(duì)安全下載的軟件在安裝前先做病毒掃描。（9）多做自動(dòng)病毒檢查應(yīng)確保你的計(jì)算機(jī)對(duì)插入的軟盤、光盤和其他的可插拔介質(zhì)，以及對(duì)電子郵件和互聯(lián)網(wǎng)文件都會(huì)做自動(dòng)的病毒檢查。（10）使用最新殺毒軟件要養(yǎng)成用最新殺毒軟件及時(shí)查毒的好習(xí)慣。但是千萬不要以為安裝了殺毒軟件就可以高枕無憂了，一定要及時(shí)更新病毒庫(kù)，否則殺毒軟件就會(huì)形同虛設(shè)；另外要正確設(shè)置殺毒軟件的各項(xiàng)功能，充分發(fā)揮它的功效。

總目錄（8）從正規(guī)網(wǎng)站下載軟件33總目錄（8）從正規(guī)網(wǎng)站下載軟件不要從任何不可靠的渠道下載任何軟件，因?yàn)橥ǔＮ覀儫o法判斷什么是不可靠的渠道，所以比較保險(xiǎn)的辦法是對(duì)安全下載的軟件在安裝前先做病毒掃描。（9）多做自動(dòng)病毒檢查應(yīng)確保你的計(jì)算機(jī)對(duì)插入的軟盤、光盤和其他的可插拔介質(zhì)，以及對(duì)電子郵件和互聯(lián)網(wǎng)文件都會(huì)做自動(dòng)的病毒檢查。（10）使用最新殺毒軟件要養(yǎng)成用最新殺毒軟件及時(shí)查毒的好習(xí)慣。但是千萬不要以為安裝了殺毒軟件就可以高枕無憂了，一定要及時(shí)更新病毒庫(kù)，否則殺毒軟件就會(huì)形同虛設(shè)；另外要正確設(shè)置殺毒軟件的各項(xiàng)功能，充分發(fā)揮它的功效。

總目錄（8）從正規(guī)網(wǎng)站下載軟件3412.3.3局域網(wǎng)病毒的防范技術(shù)計(jì)算機(jī)病毒在網(wǎng)絡(luò)中泛濫已久，而其在局域網(wǎng)中也能快速繁殖，導(dǎo)致局域網(wǎng)計(jì)算機(jī)的相互感染，下面將介紹有關(guān)局域網(wǎng)病毒的防范技術(shù)。個(gè)人用戶感染該病毒后，使用單機(jī)版殺毒軟件即可清除；然而企業(yè)的網(wǎng)絡(luò)中，一臺(tái)機(jī)器一旦感染“尼姆達(dá)”，病毒便會(huì)自動(dòng)復(fù)制、發(fā)送并采用各種手段不停交叉感染局域網(wǎng)內(nèi)的其他用戶。計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化，因此，大型局域網(wǎng)絡(luò)系統(tǒng)的防病毒工作已不再像單臺(tái)計(jì)算機(jī)病毒的檢測(cè)及清除那樣簡(jiǎn)單，而需要建立多層次的、立體的病毒防護(hù)體系，而且要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對(duì)病毒的防護(hù)策略。一個(gè)網(wǎng)絡(luò)的防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。12.3.3局域網(wǎng)病毒的防范技術(shù)35總目錄（1）增加安全意識(shí)杜絕病毒，主觀能動(dòng)性起到很重要的作用。要從加強(qiáng)安全意識(shí)著手，對(duì)日常工作中隱藏的病毒危害增加警覺性，如安裝一種大眾認(rèn)可的網(wǎng)絡(luò)版殺毒軟件，定時(shí)更新病毒版本，對(duì)來歷不明的文件運(yùn)行前進(jìn)行查殺，每周查殺一次病毒，減少共享文件夾的數(shù)量，文件共享的時(shí)候盡量控制權(quán)限和增加密碼等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。（2）小心郵件隨著網(wǎng)絡(luò)的普及，電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作效率的同時(shí)，也無意之中成為了病毒的幫兇。有數(shù)據(jù)顯示，如今有超過一半以上的病毒通過郵件進(jìn)行傳播。盡管這些病毒的傳播原理很簡(jiǎn)單，但由于人們的粗心和不重視，致使這類病毒傳染得很快很廣。例如，若所有的Windows用戶都關(guān)閉了VB腳本功能，像“庫(kù)爾尼科娃”這樣的病毒就不可能傳播。只要用戶隨時(shí)小心警惕，不要打開值得懷疑的郵件和郵件附件，就可把病毒拒絕在外。（3）挑選網(wǎng)絡(luò)版殺毒軟件選擇一個(gè)功力高深的網(wǎng)絡(luò)版病毒“殺手”是至關(guān)重要的。一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素。

總目錄（1）增加安全意識(shí)36總目錄12.4常用病毒工具軟件本節(jié)內(nèi)容12.4.1金山毒霸

12.4.2NortonAntiVirus防病毒軟總目錄12.4常用病毒工具軟件本節(jié)內(nèi)容37總目錄12.4.1金山毒霸1.金山毒霸簡(jiǎn)介在這一小節(jié)中，以最新版本“金山毒霸2007”為藍(lán)本，介紹金山毒霸軟件的查毒、殺毒、防毒技術(shù)。金山毒霸2007是一款功能強(qiáng)大、方便易用的個(gè)人及家庭首選反病毒產(chǎn)品，包括金山毒霸、金山網(wǎng)鏢、金山反間諜和金山漏洞修復(fù)4個(gè)組件。它能保護(hù)您的計(jì)算機(jī)免受病毒、黑客、垃圾郵件、木馬和間諜軟件的攻擊。金山毒霸2007發(fā)布了金山毒霸脫殼引擎模塊，大幅度增強(qiáng)對(duì)殼的支持，即大幅度的改善了金山毒霸對(duì)已知病毒加殼后的查殺能力。

總目錄12.4.1金山毒霸38總目錄金山毒霸2007具有下述特點(diǎn)：(1)兩大領(lǐng)先技術(shù)l

數(shù)據(jù)流殺毒技術(shù)：基于傳統(tǒng)的靜態(tài)磁盤文件和狹義匹配技術(shù)，更進(jìn)一步從網(wǎng)絡(luò)和數(shù)據(jù)流入手，極大地提高了查殺木馬及其變種的能力。l

主動(dòng)實(shí)時(shí)升級(jí)技術(shù)：當(dāng)有最新的病毒庫(kù)或者功能出現(xiàn)時(shí)，只要用戶處于上網(wǎng)狀態(tài)，無需做任何操作，毒霸可自動(dòng)下載更新版本并自動(dòng)進(jìn)行安裝，防止被新病毒感染和破壞。(2)三大核心引擎：反間諜、反釣魚、堵漏洞l

反間諜：可將駐留于內(nèi)存及硬盤中的間諜軟件和木馬程序徹底清除，保護(hù)用戶的系統(tǒng)安全。l

反釣魚：防止釣魚網(wǎng)站，釣魚郵件的攻擊，用戶訪問釣魚網(wǎng)站時(shí)金山毒霸會(huì)自動(dòng)攔截，防止用戶的賬號(hào)密碼等重要信息被盜。主動(dòng)漏洞修復(fù)：可掃描操作系統(tǒng)及各種應(yīng)用軟件的漏洞，當(dāng)新的安全漏洞出現(xiàn)時(shí)金山毒霸2007會(huì)下載漏洞信息和補(bǔ)丁程序，經(jīng)掃描程序檢查后自動(dòng)幫助用戶進(jìn)行修補(bǔ)。

總目錄金山毒霸2007具有下述特點(diǎn)：39總目錄(3)四大利器l

迅速搶先：銀行帳號(hào)、信用卡號(hào)、網(wǎng)游賬號(hào)，一旦木馬或間諜軟件試圖通過郵件盜取這些數(shù)據(jù)，系統(tǒng)會(huì)自動(dòng)報(bào)警并提示用戶，防止數(shù)據(jù)被泄密。并能自動(dòng)清理用戶在計(jì)算機(jī)后留下的使用記錄。l

搶先加載：防毒勝于殺毒，搶先啟動(dòng)的防毒系統(tǒng)可保障在Windows未完全啟動(dòng)時(shí)就開始保護(hù)用戶的計(jì)算機(jī)系統(tǒng)，早于絕大多數(shù)開機(jī)自運(yùn)行的病毒程序，使用戶避免“帶毒殺毒”的危險(xiǎn)。搶先式防毒讓你的安全也搶先了一步。l

文件粉碎：“文件粉碎器”把您要銷毀的文件徹底刪除。l應(yīng)急U盤：支持創(chuàng)建應(yīng)急殺毒U盤，在windows系統(tǒng)不能正常啟動(dòng)的情況下，可以用應(yīng)急U盤啟動(dòng)系統(tǒng)，自動(dòng)查殺病毒并恢復(fù)系統(tǒng)。在本小節(jié)中，介紹的是最新版的金山系統(tǒng)：金山毒霸2007版組合裝。金山毒霸是一個(gè)套裝軟件，它包括了金山毒霸、金山反間諜、金山網(wǎng)鏢和金山漏洞修復(fù)等4個(gè)組件。如圖12-1所示。

總目錄(3)四大利器40總目錄總目錄41總目錄12.4.2NortonAntiVirus防病毒軟件1.NortonAntiVirus軟件簡(jiǎn)介NortonAntiVirus，中文簡(jiǎn)稱諾頓防病毒軟件，是最受信賴的防病毒軟件之一。無論您是在網(wǎng)上沖浪、聊天、發(fā)送電子郵件還是交換文件，NortonAntiVirus諾頓防病毒都可以防御大量的互聯(lián)網(wǎng)威脅。它可以自動(dòng)檢測(cè)并殺除病毒、除去計(jì)算機(jī)中不受歡迎的間諜軟件，還可掃描電子郵件和附件的威脅，支持自動(dòng)更新。SymantecAntiVirusCorporate(NortonAntiVirus諾頓殺毒軟件企業(yè)版本)是世界上最優(yōu)秀的殺毒軟件之一，軟件由Symantec公司開發(fā)，有企業(yè)版本、專業(yè)版本、標(biāo)準(zhǔn)版本等，在這里介紹的是NortonAntiVirus企業(yè)版，與其他版本相比能為你帶來更低的系統(tǒng)資源占用，更可靠的性能。在本小節(jié)中介紹的是NortonAntiVirusv9.0版（軟件下載網(wǎng)址：http：///downinfo/3501.html，軟件大小：18.26MB，軟件運(yùn)行環(huán)境：Windows2000/XP）。

總目錄12.4.2NortonAntiViru42總目錄2.NortonAntiVirusv9.0的安裝在NortonAntiVirusv9.0系統(tǒng)文件夾下，運(yùn)行“Setup.exe”文件開始安裝，當(dāng)出現(xiàn)如圖12-9所示的對(duì)話框時(shí)，根據(jù)本機(jī)的情況進(jìn)行服務(wù)器和客戶端的選擇。若本機(jī)作為NortonAntiVirus服務(wù)器（可以監(jiān)控一個(gè)局域網(wǎng)絡(luò)），則選擇“服務(wù)器安裝”選項(xiàng)，若本機(jī)是一個(gè)客戶端，則選擇“客戶端安裝”選項(xiàng)。總目錄2.NortonAntiVirusv9.43總目錄選擇好安裝選項(xiàng)后，單擊“下一步”按鈕，即往下安裝。當(dāng)出現(xiàn)如圖12-10所示的對(duì)話框時(shí)，進(jìn)行網(wǎng)絡(luò)類型安裝選擇。

網(wǎng)絡(luò)安裝類型選擇完全由上一步的設(shè)置所定，若在“客戶端服務(wù)器選項(xiàng)”對(duì)話框中選擇了“服務(wù)器安裝”選項(xiàng)，則在圖12-10中選擇“接受管理”，否則選擇“不接受管理”，再單擊“下一步”按鈕。之后，根據(jù)屏幕提示往下安裝，當(dāng)所有選擇項(xiàng)選擇完畢，即開始正式安裝。

總目錄選擇好安裝選項(xiàng)后，單擊“下一步”按鈕，即往下安44總目錄3.NortonAntiVirusv9.0的使用(1)軟件的啟動(dòng)點(diǎn)擊“開始-所有程序-SymantecClientSecurity-SymantecAutiVirus”，啟動(dòng)NortonAntiVirusv9.0，如圖12-12所示。

總目錄3.NortonAntiVirusv9.0的使用45總目錄12.5應(yīng)用實(shí)例本節(jié)內(nèi)容12.5.1“震蕩波”病毒的防護(hù)技術(shù)12.5.2“宏”病毒的防護(hù)技術(shù)12.5.3“愛蟲”病毒的清除技術(shù)總目錄12.5應(yīng)用實(shí)例本節(jié)內(nèi)容46總目錄12.5.1“震蕩波”病毒的防范技術(shù)2005年4月底，反病毒專家們截獲并消滅了專偷網(wǎng)上銀行資金的病毒“網(wǎng)銀大盜”病毒后，5月1日，國(guó)家計(jì)算機(jī)病毒應(yīng)急中心發(fā)現(xiàn)，一種利用微軟操作系統(tǒng)漏洞的蠕蟲病毒正在對(duì)互聯(lián)網(wǎng)發(fā)起攻擊，并陸續(xù)接到江蘇、寧夏、北京、黑龍江、遼寧和廣東等地區(qū)用戶報(bào)告。憑著與計(jì)算機(jī)病毒多年的實(shí)戰(zhàn)經(jīng)驗(yàn)，專家們認(rèn)為這個(gè)病毒潛在的危害巨大，病毒利用的是WindowsLSASS的一個(gè)已知漏洞(MS04-011)，被攻擊的計(jì)算機(jī)會(huì)出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象，與2004年大面積爆發(fā)的“沖擊波”病毒危害十分相似。總目錄12.5.1“震蕩波”病毒的防范技術(shù)47總目錄通過對(duì)病毒樣本的分析，該病毒特性為：l

該蠕蟲不象往常的蠕蟲那樣通過郵件傳播，而只是通過系統(tǒng)漏洞傳播。l

該蠕蟲用來傳播的文件名稱是：avserve.exe(大小是15872字節(jié))。l

該蠕蟲的傳播不需要人為的干預(yù)，該蠕蟲能自動(dòng)在網(wǎng)絡(luò)上搜索含有漏洞的系統(tǒng)，并引導(dǎo)這些有漏洞的系統(tǒng)下載病毒文件并執(zhí)行。l

病毒從TCP的1068端口開始搜尋可能的IP地址并試圖傳播。l病毒在TCP端口5554，建立FTP文件服務(wù)器，該蠕蟲能自動(dòng)創(chuàng)建FTP腳本文件，并運(yùn)行該腳本。該腳本能自動(dòng)引導(dǎo)被感染的計(jì)算機(jī)下載病毒文件并執(zhí)行

總目錄通過對(duì)病毒樣本的分析，該病毒特性為：48總目錄一套完整的“震蕩波”解決方案分為三步，稱為“震蕩波”完全解決三部曲：第1步：針對(duì)病毒利用的是微軟操作系統(tǒng)的已知漏洞MS04-011，解決的方法就是打上這個(gè)漏洞的補(bǔ)丁即可。下載地址為：http：//exec/news_sys/news/jiangmin/index/important/2004511533255.htm。第2步：對(duì)于已感染該病毒的用戶，可用KV2004以上版本殺毒。第3步：由于病毒利用TCP455、9995、5554端口，利用自身的IP地址列表，對(duì)特定IP地址段可能存在的計(jì)算機(jī)進(jìn)行漏洞掃描并試圖傳播病毒，所以只需將以上端口封住即可，一般用戶可以使用Windows2000以上操作系統(tǒng)自帶的TCP/IP篩選功能進(jìn)行封堵。對(duì)于沒有經(jīng)過微軟合法授權(quán)的電腦用戶來說，由于微軟不提供相應(yīng)的技術(shù)支持，安裝相應(yīng)的漏洞補(bǔ)丁程序是很困難的。因此，解決病毒的辦法只能有后兩種，安裝殺毒軟件和封堵相應(yīng)的端口。總目錄一套完整的“震蕩波”解決方案分為三步，稱為“震49總目錄12.5.2“宏”病毒的防護(hù)技術(shù)宏病毒是專門攻擊Word、Excel文檔的病毒，計(jì)算機(jī)染上宏病毒后，Word文檔可能打不開，或打開后是亂碼。該病毒于1996年9月首次登陸我國(guó)，是一種傳染性和破壞性都很強(qiáng)的計(jì)算機(jī)病毒。預(yù)防宏病毒最簡(jiǎn)單而有效的方法是在Word2000/XP中可進(jìn)行安全設(shè)置保護(hù)：Word2000/XP提供了防“宏病毒”的功能，方法是：?jiǎn)螕簟肮ぞ?宏-安全性”，選擇“高”選項(xiàng)，這樣，當(dāng)前打開的文檔所使用的模板就有了防止“自動(dòng)宏”執(zhí)行的功能，當(dāng)以后使用這個(gè)模板的文檔時(shí)，如打開的文件帶有“自動(dòng)宏”，Word2000/XP將首先告訴用戶打開的文檔帶有自動(dòng)宏，并詢問用戶是否執(zhí)行宏，選擇“否”，待進(jìn)入并打開文檔后，再自動(dòng)對(duì)文檔進(jìn)行“宏”檢查。總目錄12.5.2“宏”病毒的防護(hù)技術(shù)50總目錄12.5.3“愛蟲”病毒的清除技術(shù)“愛蟲”病毒是一種郵件病毒，如果你收到這樣的一封郵件，郵件主題為“ILOVEYOU（我愛你）”，郵件內(nèi)容為“KindlychecktheattachedILOVELETTERcomingfromme（請(qǐng)盡快查收來自我的郵件附件中的求愛信）”，附件文件名為“LOVE-LETTER-FOR-YOU.htm”。該封郵件就是典型的“愛蟲”病毒源。如果你出于好奇而打開了該郵件的附件，則你的計(jì)算機(jī)就會(huì)自動(dòng)感染“愛蟲”病毒，所以，當(dāng)你收到主題為“ILOVEYOU”的郵件時(shí)，請(qǐng)直接將其刪除，絕不要去打開和閱讀其附件。總目錄12.5.3“愛蟲”病毒的清除技術(shù)51總目錄“愛蟲”病毒的清除技術(shù)：首先運(yùn)行regedit.exe（在“開始-運(yùn)行”下運(yùn)行），找到并刪除鍵值HKEY_CURRENT_USER\Software\Microsoft\WindowsScript（Host）\Settings。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Mail下，輸入一個(gè)正確的主頁(yè)地址。刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的MSKernel32鍵值。將鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService下的Win32DLL刪除，再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下，如果有WIN-BUGSFIX鍵值，就刪除它。找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ex-plorer\DocFindSpecMRU。在這個(gè)條目包含所有最近使用過的文件，一般可以刪除它。刪除c：\windows\system或c：\windows\system32目錄下MSKernel32.vbs、LOVE-LE-TTER-FOR-YOU.HTM和LOVE-LETTER-FOR-YOU.TXT.vbs三個(gè)文件。同時(shí)刪除windows目錄下的Win32DLL.vbs文件。“愛蟲”病毒侵襲的文件類型有：vbs、vbe、js、jse、css、wsh、sct、hta、jpg、jpeg。這些文件被感染后，有可能不能恢復(fù)，不得不刪除它。注意，要?jiǎng)h除所有硬盤和所有網(wǎng)絡(luò)驅(qū)動(dòng)器上的有關(guān)文件。最后查找WIN-BUGSFIX.exe或WIN_BUGSFIX-32.exe以及script.ini，還有可能是winfat32.exe，這些文件都是可能存在的，如果這些文件存在就將其刪除。注意：上述文件刪除后，還要將回收站清空。總目錄“愛蟲”病毒的清除技術(shù)：52總目錄12.1計(jì)算機(jī)病毒的定義12.2計(jì)算機(jī)病毒的診斷與防治技術(shù)12.3網(wǎng)絡(luò)病毒的診斷與防治第12章病毒診斷與防治技術(shù)12.4常用病毒軟件的使用技術(shù)12.5應(yīng)用實(shí)例總目錄12.1計(jì)算機(jī)病毒的定義12.2計(jì)算機(jī)病毒的診53總目錄本節(jié)內(nèi)容

12.1.1計(jì)算機(jī)病毒的定義12.1.2計(jì)算機(jī)病毒的基本原理12.1.3計(jì)算機(jī)病毒的分類12.1.4計(jì)算機(jī)病毒的破壞能力

12.1計(jì)算機(jī)病毒概述總目錄本節(jié)內(nèi)容12.1計(jì)算機(jī)病毒概述54總目錄12.1.1計(jì)算機(jī)病毒的定義1．病毒的定義美國(guó)計(jì)算機(jī)研究專家F·Cohen博士最早提出了“計(jì)算機(jī)病毒”的概念：計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼。這段代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。其特性在很多方面與生物病毒有著極其相似的地方。《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條中對(duì)計(jì)算機(jī)病毒做的定義是：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。廣義上說，凡能夠破壞計(jì)算機(jī)正常運(yùn)行和破壞計(jì)算機(jī)中數(shù)據(jù)的程序代碼都可以稱為計(jì)算機(jī)病毒。總目錄12.1.1計(jì)算機(jī)病毒的定義55總目錄從1987年發(fā)現(xiàn)第1例計(jì)算機(jī)病毒以來，計(jì)算機(jī)病毒的發(fā)展經(jīng)歷了以下幾個(gè)主要階段：DOS引導(dǎo)階段；DOS可執(zhí)行文件階段；混合型階段；伴隨及批次性階段；多形性階段；生成器及變體機(jī)階段；網(wǎng)絡(luò)及蠕蟲階段；視窗階段；宏病毒階段；互聯(lián)網(wǎng)病毒階段。總目錄從1987年發(fā)現(xiàn)第1例計(jì)算機(jī)病毒以來，計(jì)算機(jī)病56總目錄12.1.2計(jì)算機(jī)病毒的基本原理1.

計(jì)算機(jī)病毒的工作原理(1)計(jì)算機(jī)病毒的主要特征l

可控性：計(jì)算機(jī)病毒與各種應(yīng)用程序一樣也是人為編寫出來的，是可控制的。l

傳染性：病毒的傳染性又稱“自我復(fù)制”或“再生”。再生是判斷是不是計(jì)算機(jī)病毒的最重要依據(jù)。在一定條件下，病毒通過某種渠道從一個(gè)文件和一臺(tái)計(jì)算機(jī)傳染到另外沒有被病毒傳染的文件和計(jì)算機(jī)。l

奪取系統(tǒng)控制權(quán)：計(jì)算機(jī)病毒的首要目標(biāo)就是爭(zhēng)奪系統(tǒng)的控制權(quán)，一般采用修改中斷入口或在正常程序中插入一段病毒程序，在系統(tǒng)啟動(dòng)或程序調(diào)用時(shí)，先運(yùn)行病毒程序，而后才轉(zhuǎn)向正常的系統(tǒng)或程序運(yùn)行。l

隱蔽性：計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在兩個(gè)方面：其一，傳染的隱蔽性，大多數(shù)病毒在進(jìn)行傳染時(shí)不具有外部表現(xiàn)，不易被人發(fā)現(xiàn)。其二，一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)。l

潛伏性：一個(gè)編制精巧的計(jì)算機(jī)病毒程序，傳染計(jì)算機(jī)或網(wǎng)絡(luò)后，可以潛伏幾周或者幾個(gè)月甚至幾年。總目錄12.1.2計(jì)算機(jī)病毒的基本原理57總目錄(2)計(jì)算機(jī)病毒發(fā)作的觸發(fā)條件l利用系統(tǒng)時(shí)鐘提供的時(shí)間作為觸發(fā)機(jī)制，這種觸發(fā)機(jī)制被大量病毒使用。如“CIH”病毒是在每月的26日才會(huì)觸發(fā)，“黑色星期五”病毒是在既是13日又是星期五才觸發(fā)。l

利用病毒體自帶的計(jì)數(shù)器作為觸發(fā)器。l

利用特定環(huán)境作為觸發(fā)條件。總目錄(2)計(jì)算機(jī)病毒發(fā)作的觸發(fā)條件58總目錄(3)不可預(yù)見性不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)不斷地發(fā)展，這在為計(jì)算機(jī)提供了新的發(fā)展空間的同時(shí)，也對(duì)未來病毒的預(yù)測(cè)更加困難，這就要求人們不斷提高對(duì)病毒的認(rèn)識(shí)，增強(qiáng)防范意識(shí)。總目錄(3)不可預(yù)見性59總目錄(4)病毒的衍生性、持久性和欺騙性l

人們可以對(duì)一種計(jì)算機(jī)病毒進(jìn)行改進(jìn)，從而衍生出一種不同于原版本的新的計(jì)算機(jī)病毒（又稱為變種病毒）。l

計(jì)算機(jī)病毒程序可由一個(gè)受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳播，使得病毒的感染具有持久性和復(fù)雜性。l

計(jì)算機(jī)病毒行動(dòng)詭秘，而計(jì)算機(jī)對(duì)其反應(yīng)卻較“遲鈍”，往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來，這就是計(jì)算機(jī)病毒的欺騙性。總目錄(4)病毒的衍生性、持久性和欺騙性60總目錄2.計(jì)算機(jī)病毒的作用機(jī)理任何一種計(jì)算機(jī)病毒都是由三個(gè)部份組成：引導(dǎo)部份、傳染部份和表現(xiàn)部份。l

病毒的引導(dǎo)部份的作用是將病毒的主體加載到計(jì)算機(jī)內(nèi)存，為感染部份作準(zhǔn)備，在這期間發(fā)生駐留內(nèi)存、修改中斷地址、修改存放在高端內(nèi)存中的信息、保存原中斷向量等操作。引導(dǎo)部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備。l

病毒的傳染部份的作用是將病毒代碼程序自動(dòng)傳染到目標(biāo)上去。不同的病毒在傳染方式和傳染條件上各有不同。l

病毒的表現(xiàn)部份是病毒主體部份，病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞就是表現(xiàn)部份的作為，病毒的引導(dǎo)部份及傳染部份都是為表現(xiàn)部份服務(wù)的。大部份病毒都是在一定的條件下才會(huì)觸發(fā)其表現(xiàn)部份的。總目錄2.計(jì)算機(jī)病毒的作用機(jī)理61總目錄12.1.3計(jì)算機(jī)病毒的分類1.DOS病毒（DOSVirus）指針對(duì)DOS操作系統(tǒng)開發(fā)的病毒。由于Windows2000/XP/2003病毒的出現(xiàn)，DOS病毒幾乎絕跡。但DOS病毒在Windows2000/XP/2003環(huán)境中仍可以進(jìn)行感染，因此若執(zhí)行了染毒程序，Windows2000/XP/2003用戶也會(huì)被感染。使用現(xiàn)代的殺毒軟件能夠查殺的病毒中一半以上都是DOS病毒，可見DOS時(shí)代DOS病毒的泛濫程度。但這些眾多的病毒中除了少數(shù)幾個(gè)讓用戶膽戰(zhàn)心驚的病毒之外，大部分病毒都只是制作者出于好奇或?qū)_代碼進(jìn)行一定變形而制作的病毒。

2.Windows病毒（WindowsVirus）主要指針對(duì)Windows2000/XP/2003操作系統(tǒng)的病毒。現(xiàn)在的電腦用戶一般都安裝Windows系統(tǒng)，Windows病毒一般感染W(wǎng)indows2000/XP/2003系統(tǒng)，其中最典型的病毒有CIH病毒。但這并不意味著可以忽略系統(tǒng)是WindowsNT系列包括Windows2000/XP/2003的計(jì)算機(jī)。一些Windows病毒不僅在Windows2000/XP/2003上正常感染，還可以感染W(wǎng)indowsNT上的其它文件。主要感染的文件擴(kuò)展名為EXE、SCR、DLL、OCX等。總目錄12.1.3計(jì)算機(jī)病毒的分類62總目錄3.入侵型病毒（IntrusionVirus）可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下難以發(fā)現(xiàn)，清除起來較困難。4.嵌入式病毒(EmbeddedVirus)這種病毒將自身代碼嵌入到被感染文件中，當(dāng)文件被感染后，查殺和清除病毒都很困難。由于編寫嵌入式病毒比較困難，所以這種病毒數(shù)量不多。5.外殼類病毒(ShellVirus)這種病毒將自身代碼附著于正常程序的首部或尾部。該類病毒的種類繁多，大多感染文件的病毒都是這種類型。總目錄3.入侵型病毒（IntrusionVirus63總目錄6.引導(dǎo)區(qū)病毒（BootVirus）通過感染軟盤的引導(dǎo)扇區(qū)和硬盤的引導(dǎo)扇區(qū)或者主引導(dǎo)記錄進(jìn)行傳播的病毒。7.文件型病毒（FileVirus）指將自身代碼插入到可執(zhí)行文件內(nèi)來進(jìn)行傳播并伺機(jī)進(jìn)行破壞的病毒。8.宏病毒（MacroVirus）使用宏語言編寫，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行（主要是微軟的辦公軟件系統(tǒng)，字處理、電子數(shù)據(jù)表和其他Office程序中），利用宏語言的功能將自己復(fù)制并且繁殖到其他數(shù)據(jù)文檔里的程序。總目錄6.引導(dǎo)區(qū)病毒（BootVirus）64總目錄9.蠕蟲病毒（WormVirus）通過網(wǎng)絡(luò)或者程序漏洞進(jìn)行自主傳播，向外發(fā)送帶毒郵件或通過即時(shí)通訊工具（QQ、MSN等）發(fā)送帶毒文件，阻塞網(wǎng)絡(luò)的正常通信。10.特洛伊木馬（Trojan）通常假扮成有用的程序誘騙用戶主動(dòng)激活，或利用系統(tǒng)漏洞侵入用戶電腦。木馬進(jìn)入用戶電腦后隱藏在的系統(tǒng)目錄下，然后修改注冊(cè)表，完成黑客定制的操作。11.后門程序（Backdoor）會(huì)通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的電腦并隱藏在系統(tǒng)目錄下，被開后門的計(jì)算機(jī)可以被黑客遠(yuǎn)程控制。黑客可以用大量被植入后門程序的計(jì)算機(jī)組成僵尸網(wǎng)絡(luò)（Botnet）用以發(fā)動(dòng)網(wǎng)絡(luò)攻擊等。總目錄9.蠕蟲病毒（WormVirus）65總目錄12.惡意腳本（HarmScript）、惡意網(wǎng)頁(yè)使用腳本語言編寫，嵌入在網(wǎng)頁(yè)當(dāng)中，調(diào)用系統(tǒng)程序、修改注冊(cè)表對(duì)用戶計(jì)算機(jī)進(jìn)行破壞，或調(diào)用特殊指令下載并運(yùn)行病毒、木馬文件。

13.惡意程序（HarmProgram）會(huì)對(duì)用戶的計(jì)算機(jī)、文件進(jìn)行破壞的程序，本身不會(huì)復(fù)制和傳播。14.惡作劇程序（Joke）這一類程序不會(huì)對(duì)用戶的計(jì)算機(jī)、文件造成破壞，但會(huì)降低計(jì)算機(jī)和網(wǎng)絡(luò)的運(yùn)行效率，并會(huì)給用戶帶來恐慌和不必要的麻煩。總目錄12.惡意腳本（HarmScript）、惡意66總目錄12.1.4計(jì)算機(jī)病毒的破壞能力l

病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用；l

干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降；l

占有磁盤空間和對(duì)信息的破壞；l

強(qiáng)占系統(tǒng)資源；l

干擾I/O設(shè)備，篡改預(yù)定設(shè)置以及擾亂運(yùn)行；l

破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。總目錄12.1.4計(jì)算機(jī)病毒的破壞能力67總目錄12.2計(jì)算機(jī)病毒的診斷與防治技術(shù)本節(jié)內(nèi)容12.2.1計(jì)算機(jī)病毒的檢測(cè)12.2.2計(jì)算機(jī)病毒的防范措施總目錄12.2計(jì)算機(jī)病毒的診斷與防治技術(shù)本節(jié)內(nèi)容68總目錄12.2.1計(jì)算機(jī)病毒的檢測(cè)

1.計(jì)算機(jī)病毒的表現(xiàn)當(dāng)計(jì)算機(jī)染上病毒之后，會(huì)有許多明顯的特征。例如，文件的長(zhǎng)度和日期忽然改變、系統(tǒng)執(zhí)行速度下降、出現(xiàn)一些奇怪的信息、無故死機(jī)，更為嚴(yán)重的是硬盤已經(jīng)被格式化了。如果你的計(jì)算機(jī)上出現(xiàn)下述現(xiàn)象，則有可能是感染了計(jì)算機(jī)病毒：l

系統(tǒng)啟動(dòng)速度比平時(shí)慢；l

系統(tǒng)運(yùn)行速度異常；l

某些文件的長(zhǎng)度及文件的建立日期發(fā)生變化；l

沒有發(fā)出“寫”操作命令而出現(xiàn)“磁盤寫保護(hù)”的提示；l

在內(nèi)存中發(fā)現(xiàn)不明程序的駐留或不明進(jìn)程的運(yùn)行；l

打印機(jī)、顯示器有異常現(xiàn)象；l

系統(tǒng)自動(dòng)生成一些不明的特殊文件；l

文件莫明奇妙地丟失；l

系統(tǒng)自動(dòng)關(guān)機(jī)；l

系統(tǒng)經(jīng)常異常死機(jī)。總目錄12.2.1計(jì)算機(jī)病毒的檢測(cè)69總目錄2.計(jì)算機(jī)病毒的診斷常見的防毒軟件是如何去發(fā)現(xiàn)它們的呢？就是利用所謂的病毒碼（VirusPattern）。病毒碼其實(shí)可以想象成是犯人的指紋，當(dāng)防毒軟件公司收集到一個(gè)新的病毒時(shí)，就會(huì)從這個(gè)病毒程序中，截取小段獨(dú)一無二足以表示這個(gè)病毒的二進(jìn)制程序代碼（binarycode），來當(dāng)作掃毒程序辨認(rèn)病毒的依據(jù)，而這段獨(dú)一無二的二進(jìn)制程序碼就是所謂的病毒碼。反病毒軟件常用以下6種技術(shù)來查找病毒：總目錄2.計(jì)算機(jī)病毒的診斷70總目錄(1)病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析，根據(jù)其特征，編成病毒碼，加入資料庫(kù)中。以后每當(dāng)執(zhí)行掃描病毒程序時(shí)，能立刻掃描目標(biāo)文件，并與病毒代碼對(duì)比，即能偵察到是否有病毒。大多數(shù)防毒軟件均采用這種方式，其缺點(diǎn)是無法掃描新病毒及以變種病毒。(2)加總比對(duì)法根據(jù)每個(gè)程序的文件名稱、大小、時(shí)間及內(nèi)容，加總（按位加）為一個(gè)檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個(gè)資料庫(kù)中，再利用加總法追蹤并記錄每個(gè)程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術(shù)可偵察到各種病毒，但最大的缺點(diǎn)是誤判較高，且無法確認(rèn)是哪種病毒感染的。(3)人工智能陷阱人工智能陷阱是一種監(jiān)測(cè)電腦行為的常駐內(nèi)存掃描技術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快，且可以偵察到各種病毒；其缺點(diǎn)是程序設(shè)計(jì)難度大。總目錄(1)病毒碼掃描法71總目錄(4)軟件模擬掃描法軟件模擬掃描技術(shù)專門用來對(duì)付“千面人”病毒（Polymorphic/Mutationvirus）。千面人病毒在每次傳染時(shí)，都以不同的隨機(jī)亂數(shù)加密于每個(gè)中毒文件中，傳統(tǒng)病毒碼比對(duì)方式根本就無法找到這種病毒。(5)先知掃描法軟件模擬技術(shù)可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)器，模擬CPU動(dòng)作并通過執(zhí)行程序以解開變體引擎病毒，應(yīng)用類似的技術(shù)也可以用來分析一般程序檢查可疑的病毒碼。因此，VICE可用來判斷程序有無病毒碼存在的方法，分析專家系統(tǒng)知識(shí)庫(kù)，再利用軟件工程模擬技術(shù)（softwareemulation）加上病毒運(yùn)行機(jī)制，則可分析出新的病毒碼以對(duì)付以后的病毒。這就是先知掃描法VICE（VirusInstructionCodeEmulation）。(6)實(shí)時(shí)I/O掃描實(shí)時(shí)I/O掃描（real_timeI/Oscan）的目的是在于及時(shí)地對(duì)數(shù)據(jù)的輸入輸出動(dòng)作做病毒碼對(duì)比的動(dòng)作，希望能夠能在病毒尚未被執(zhí)行之前，就能夠截留下來。實(shí)時(shí)掃描技術(shù)會(huì)影響到數(shù)據(jù)的輸入輸出速度，但使用實(shí)時(shí)掃描技術(shù)后，文件一旦傳入就已經(jīng)被掃描和清除過病毒了。總目錄(4)軟件模擬掃描法72總目錄12.2.2計(jì)算機(jī)病毒的防范措施防范網(wǎng)絡(luò)病毒的過程實(shí)際上就是技術(shù)對(duì)抗的過程，反病毒技術(shù)也得適應(yīng)病毒繁衍和傳播方式的發(fā)展而不斷調(diào)整。(1)系統(tǒng)防毒措施l

制定系統(tǒng)的防毒策略；l

部署多層防御策略；l

定期更新防毒定義文件和引擎；l

定期備份文件；l

預(yù)訂可發(fā)布新病毒威脅警告的電子郵件。總目錄12.2.2計(jì)算機(jī)病毒的防范措施73總目錄(2)終端用戶防毒措施l

對(duì)于來歷不明的郵件，最好不要輕易打開而是將其直接刪除。l

如果將MicrosoftWord當(dāng)作電子編輯使用，就需要將NORMAL.DOT在操作系統(tǒng)級(jí)設(shè)置只讀文件。同時(shí)將MicrosoftWord的設(shè)置更改為“PrompttoSaveNormalTemplate（保存常規(guī)模板）”。許多病毒通過更改NORMAL.DOT文件進(jìn)行自我傳播，采取上述措施可產(chǎn)生阻止作用。l

加上存儲(chǔ)介質(zhì)的寫保護(hù)功能。(3)服務(wù)器防毒措施目前隨著基于Web的電子郵件訪問，公共文件夾以及訪問存儲(chǔ)器的映射網(wǎng)絡(luò)驅(qū)動(dòng)器等方式的出現(xiàn)，病毒也可以通過多種方式進(jìn)入電子郵件服務(wù)器。這時(shí)，就只有基于電子郵件服務(wù)器的解決方案才能檢測(cè)和刪除受感染的文件。從以下幾個(gè)方面可以做到防毒：l

攔截受感染的附件；l

設(shè)置全面的隨機(jī)掃描；l

試探隨機(jī)掃描；l

重要數(shù)據(jù)定期保存、備份。

總目錄(2)終端用戶防毒措施74總目錄(4)多層防御機(jī)制多層防御體系將病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理集成起來，提供全面的病毒防護(hù)能力，從而達(dá)到“治療”病毒的效果。病毒檢測(cè)一直是病毒防護(hù)的支柱，多層次防御軟件使用了三層保護(hù)功能：實(shí)時(shí)掃描、完整性保護(hù)、完整性檢驗(yàn)。l

后臺(tái)實(shí)時(shí)掃描驅(qū)動(dòng)器能對(duì)未知的異形病毒和秘密病毒進(jìn)行連續(xù)的檢測(cè)。l

完整性保護(hù)可阻止病毒從一個(gè)感染的工作站擴(kuò)散到服務(wù)器，還可以防止與未知的病毒感染有關(guān)的文件崩潰。l

完整性檢驗(yàn)無需冗余的掃描而提高實(shí)時(shí)檢驗(yàn)的性能。(5)在網(wǎng)關(guān)、服務(wù)器上防御措施防范手段應(yīng)集中在網(wǎng)絡(luò)整體上，在個(gè)人計(jì)算機(jī)的硬件和軟件，LAN服務(wù)器、服務(wù)器上的網(wǎng)關(guān)、Internet及Internet的網(wǎng)站上，層層設(shè)防，對(duì)每種病毒都實(shí)行隔離，過濾。

總目錄(4)多層防御機(jī)制75總目錄12.3網(wǎng)絡(luò)病毒的診斷與防治本節(jié)內(nèi)容12.3.1網(wǎng)絡(luò)病毒的特征12.3.2計(jì)算機(jī)網(wǎng)絡(luò)病毒的診斷技術(shù)12.3.3局域網(wǎng)病毒的防范技術(shù)總目錄12.3網(wǎng)絡(luò)病毒的診斷與防治本節(jié)內(nèi)容76總目錄12.3.1網(wǎng)絡(luò)病毒的特征1.網(wǎng)絡(luò)病毒的傳播方式（1）郵件附件病毒經(jīng)常會(huì)附在郵件的附件里，然后起一個(gè)吸引人的名字，誘惑人們?nèi)ゴ蜷_附件，一旦人們?cè)噲D打開附件時(shí)，機(jī)器就會(huì)感染上附件中所附帶的病毒。（2）Email有些蠕蟲病毒會(huì)利用“MicrosoftSecurityBulletin”的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個(gè)病毒副本來進(jìn)行傳播。正如在公告中所描述的那樣，該漏洞存在于InternetExplorer之中，可以通過E-mail的附件來傳染病毒，用戶只要打開郵件就會(huì)使機(jī)器感染上病毒，并不需要打開郵件附件。（3）Web服務(wù)器有些網(wǎng)絡(luò)病毒攻擊IIS4.0和5.0Web服務(wù)器。以“尼姆達(dá)”病毒為例，主要通過兩種手段來進(jìn)行攻擊：第一，它檢查計(jì)算機(jī)是否已經(jīng)被“紅色代碼II”病毒所破壞，因?yàn)榧t色代碼Ⅱ病毒會(huì)創(chuàng)建一個(gè)“后門”，任何惡意用戶都可以利用這個(gè)“后門”獲得對(duì)系統(tǒng)的控制權(quán)。如果“尼姆達(dá)”病毒發(fā)現(xiàn)了具有這種“后門”的機(jī)器，就會(huì)利用“紅色代碼Ⅱ”病毒留下的后門來感染機(jī)器。第二，病毒會(huì)試圖利用“WebServerFolderTraversal”漏洞來感染機(jī)器。（4）文件共享還有一種病毒的傳播手段是通過文件共享來進(jìn)行的。Windows系統(tǒng)可以被配置成允許其他用戶讀寫系統(tǒng)中的文件，之后允許所有人訪問系統(tǒng)中的文件。如果病毒發(fā)現(xiàn)系統(tǒng)被配置為其他用戶有創(chuàng)建文件的權(quán)限時(shí)，將會(huì)在該系統(tǒng)中添加文件來傳播病毒。總目錄12.3.1網(wǎng)絡(luò)病毒的特征77總目錄2.網(wǎng)絡(luò)病毒的特點(diǎn)(1)感染速度快在單機(jī)環(huán)境下，病毒只能通過軟盤從一臺(tái)計(jì)算機(jī)帶到另一臺(tái)，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通訊機(jī)制迅速擴(kuò)散。根據(jù)測(cè)定，對(duì)于一個(gè)局域網(wǎng)絡(luò)在正常情況下，只要有一臺(tái)工作站有病毒，就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺(tái)甚至上千臺(tái)計(jì)算機(jī)全部感染。(2)擴(kuò)散面廣由于病毒在網(wǎng)絡(luò)中擴(kuò)散非常快，擴(kuò)散范圍很廣，不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能通過遠(yuǎn)程工作站將病毒在一瞬間傳播到千里之外。(3)傳播的形式復(fù)雜多樣計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站/服務(wù)器/工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣。(4)通過工作站傳染病毒先傳染工作站，在工作站內(nèi)存駐留，當(dāng)已感染病毒的工作站連入網(wǎng)絡(luò)時(shí)再傳染給服務(wù)器。總目錄2.網(wǎng)絡(luò)病毒的特點(diǎn)78總目錄(5)通過服務(wù)器感染如果遠(yuǎn)程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中，一旦病毒進(jìn)入文件服務(wù)器，就可通過它迅速傳染到整個(gè)網(wǎng)絡(luò)的每一個(gè)計(jì)算機(jī)上。而對(duì)于無盤工作站來說，由于其并非真的“無盤”（它的盤是網(wǎng)絡(luò)盤），當(dāng)其運(yùn)行網(wǎng)絡(luò)盤上的一個(gè)帶毒程序時(shí)，便將內(nèi)存中的病毒傳染給該程序或通過映像路徑傳染到服務(wù)器的其他文件上，因此無盤工作站也是病毒孽生的溫床。（6）難于徹底清除單機(jī)上的計(jì)算機(jī)病毒有時(shí)可通過刪除帶毒文件或低級(jí)格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡(luò)中只要有一臺(tái)工作站未能消毒干凈就可使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺(tái)工作站就有可能被網(wǎng)上另一臺(tái)帶毒工作站所感染。因此，僅對(duì)工作站進(jìn)行病毒清除，并不能解決病毒對(duì)網(wǎng)絡(luò)的危害。

總目錄(5)通過服務(wù)器感染79總目錄（7）破壞性大網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰，破壞服務(wù)器信息，使多年工作毀于一旦。（8）可激發(fā)性網(wǎng)絡(luò)病毒激發(fā)的條件多樣化，可以是內(nèi)部時(shí)鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡(luò)的一次通信。一個(gè)病毒程序可以按照病毒設(shè)計(jì)者的要求，在某個(gè)工作站上激發(fā)并發(fā)出攻擊。（9）潛在性網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險(xiǎn)性也是巨大的。根據(jù)統(tǒng)計(jì)，病毒在網(wǎng)絡(luò)上被清除后，85％的網(wǎng)絡(luò)在30天內(nèi)會(huì)被再次感染。

總目錄（7）破壞性大80總目錄12.3.2網(wǎng)絡(luò)病毒的診斷技術(shù)在防范網(wǎng)絡(luò)病毒時(shí)，需要注意以下幾點(diǎn)：（1）留心郵件的附件對(duì)于郵件附件盡可能小心，安裝一套殺毒軟件，在打開郵件之前對(duì)附件進(jìn)行預(yù)掃描。因?yàn)橛械牟《距]件惡毒之極，只要你將鼠標(biāo)移至郵件上，即使沒有打開它，也會(huì)自動(dòng)執(zhí)行和感染。更不要打開陌生人來信中的附件文件，當(dāng)你收到陌生人寄來的一些自稱是“不可不看”的附件時(shí)，千萬不要貿(mào)然打開它，尤其對(duì)于一些“.exe”之類的可執(zhí)行程序文件，更要慎之又慎！總目錄12.3.2網(wǎng)絡(luò)病毒的診斷技術(shù)81總目錄（2）注意文件擴(kuò)展名因?yàn)閃indows允許用戶在文件命名時(shí)使用多個(gè)擴(kuò)展名，而許多電子郵件程序只顯示第一個(gè)擴(kuò)展名，有時(shí)會(huì)造成一些假像。所以我們可以在“文件夾選項(xiàng)”中，設(shè)置顯示文件名的擴(kuò)展名，這樣一些有害文件，如VBS文件就會(huì)原形畢露。注意千萬別打開擴(kuò)展名為vbs、shs和pif的郵件附件，因?yàn)橐话闱闆r下，這些擴(kuò)展名的文件幾乎不會(huì)在正常附件中使用，但它們經(jīng)常被病毒和蠕蟲使用。例如，你看到的郵件附件名稱是“wow.jpg”，而它的全名實(shí)際是“wow.jpg.vbs”，打開這個(gè)附件意味著運(yùn)行一個(gè)惡意的VBScript病毒，而不是jpg察看器。總目錄（2）注意文件擴(kuò)展名82總目錄（3）不要輕易運(yùn)行來歷不明的程序?qū)τ谝话闳思膩淼某绦颍疾灰\(yùn)行，就算是比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運(yùn)行。因?yàn)橛行┎《臼峭低档馗街先サ模ㄒ苍S朋友的電腦已經(jīng)感染了病毒），可他自己卻不知道。比如“happy99”就是這樣的病毒，它會(huì)自我復(fù)制，跟著你的郵件走。當(dāng)你收到郵件廣告或者主動(dòng)提供的電子郵件時(shí)，盡量也不要打開附件以及它提供的鏈接。（4）不要盲目轉(zhuǎn)發(fā)信件收到自認(rèn)為有趣的郵件時(shí)，不要盲目轉(zhuǎn)發(fā)，因?yàn)檫@樣會(huì)幫助病毒的傳播；給別人發(fā)送程序文件甚至包括電子賀卡時(shí)，一定要先在自己的電腦中試試，確認(rèn)沒有問題后再發(fā)，以免好心辦了壞事。（5