電腦病毒

電腦病毒

電腦病毒,是指編製或者在電腦程式中插入的“破壞電腦功能或者毀壞資料,影響電腦使用,並能自我復製的一組電腦指令或者程式代碼”。本詞條為消歧義詞條。常說的病毒有兩種,本詞條介紹的是電腦病毒,要了解生物方面的病毒,請參看另一詞條“病毒”。
  • 中文名稱
    電腦病毒
  • 外文名稱
    Computer Virus
  • 套用行業
    IT業

基本介紹

電腦病毒(Computer Virus)在《中華人民共和國電腦信息系統安全保護條例》中被明確定義,是指“編製者在電腦程式中插入的破壞電腦功能或者破壞資料,影響電腦使用並且能夠自我復製的一組電腦指令或者程式代碼”。與醫學上的“病毒”不同,電腦病毒不是天然存在的,是某些人利用電腦軟體和硬體所固有的脆弱性編製的一組指令集或程式代碼。它能通過某種途徑潛伏在電腦的存儲介質(或程式)裏,當達到某種條件時即被激活,通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中,從而感染其他程式,對電腦資源進行破壞,對被感染使用者有很大的危害性。

電腦病毒

主要特點

繁殖性

電腦病毒可以像生物病毒一樣進行繁殖,當正常程式運行的時候,它也進行運行自身復製,是否具有繁殖、感染的特征是判斷某段程式為電腦病毒的首要條件。

傳染性

電腦病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復製或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,電腦病毒也會通過各種渠道從已被感染的電腦擴散到未被感染的電腦,在某些情況下造成被感染的電腦工作失常甚至癱瘓。與生物病毒不同的是,電腦病毒是一段人為編製的電腦程式代碼,這段程式代碼一旦進入電腦並得以執行,它就會搜尋其他符合其傳染條件的程式或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。隻要一台電腦染毒,如不及時處理,那麽病毒會在這台電腦上迅速擴散,電腦病毒可通過各種可能的渠道,如軟碟硬碟移動硬碟、電腦網路去傳染其他的電腦。當您在一台機器上發現了病毒時,往往曾在這台電腦上用過的軟碟已感染上了病毒,而與這台機器相聯網的其他電腦也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為電腦病毒的最重要條件。

電腦病毒

潛伏性

有些病毒像定時炸彈一樣,讓它什麽時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編製精巧的電腦病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶裏呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,電腦病毒的內部往往有一種觸發機製,不滿足觸發條件時,電腦病毒除了傳染外不做什麽破壞。觸發條件一旦得到滿足,有的在螢幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、移除磁碟檔案、對資料檔案做加密、封鎖鍵盤以及使系統死鎖等。

隱蔽性

電腦病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。

破壞性

電腦中毒後,可能會導致正常的程式無法運行,把電腦內的檔案移除或受到不同程度的損壞。通常表現為:增、刪、改、移。

可觸發性

病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特徵稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機製就是用來控製感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案類型或某些特定資料等。病毒運行時,觸發機製檢查預定條件是否滿足,如果滿足,啓動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。

原理

病毒依附存儲介質軟碟、 硬碟等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒激活是將病毒放在記憶體, 並設定觸發條件,觸發的條件是多樣化的, 可以是時鍾,系統的日期,使用者標識符,也可以是系統一次通信等。條件成熟病毒就開始自我復製到傳染對象中,進行各種破壞活動等。

病毒的傳染是病毒性能的一個重要標志。在傳染環節中,病毒復製一個自身副本到傳染對象中去。

主要分類

根據多年對電腦病毒的研究,按照科學的、系統的、嚴密的方法,電腦病毒可分類如下:按照電腦病毒屬性的方法進行分類,電腦病毒可以根據下面的屬性進行分類:

按病毒存在的媒體

根據病毒存在的媒體,病毒可以劃分為網路病毒,檔案病毒,引導型病毒。網路病毒通過電腦網路傳播感染網路中的執行檔,檔案病毒感染電腦中的檔案(如:COM,EXE,DOC等),引導型病毒感染啓動扇區(Boot)和硬碟的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(檔案和引導型)感染檔案和引導扇區兩種目標,這樣的病毒通常都具有復雜的演算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形演算法。

按病毒傳染的方法

根據病毒傳染的方法可分為駐留型病毒非駐留型病毒,駐留型病毒感染電腦後,把自身的記憶體駐留部分放在記憶體(RAM)中,這一部分程式掛接系統調用並合並到作業系統中去,他處于激活狀態,一直到關機或重新啓動.非駐留型病毒在得到機會激活時並不感染電腦記憶體,一些病毒在記憶體中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。

按病毒破壞的能力

無害型:除了傳染時減少磁碟的可用空間外,對系統沒有其它影響。

無危險型:這類病毒僅僅是減少記憶體、顯示圖像、發出聲音及同類音響。

危險型:這類病毒在電腦系統操作中造成嚴重的錯誤。

非常危險型:這類病毒移除程式、破壞資料、清除系統記憶體區和作業系統中重要的信息。這些病毒對系統造成的危害,並不是本身的演算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程式產生的錯誤也會破壞檔案和扇區,這些病毒也按照他們引起的破壞能力劃分。

按病毒的演算法

伴隨型病毒,這一類病毒並不改變檔案本身,它們根據演算法產生EXE檔案的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM檔案並不改變EXE檔案,當DOS載入檔案時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE檔案。

“蠕蟲”型病毒,通過電腦網路傳播,不改變檔案和資料信息,利用網路從一台機器的記憶體傳播到其它機器的記憶體,計算網路地址,將自身的病毒通過網路傳送。有時它們在系統存在,一般除了記憶體不佔用其它資源。

寄生型病毒,除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或檔案中,通過系統的功能進行傳播,按其演算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。

詭秘型病毒它們一般不直接修改DOS中斷和扇區資料,而是通過設備技術和檔案緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閒的資料區進行工作。

變型病毒(又稱幽靈病毒)這一類病毒使用一個復雜的演算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。

病毒種類

系統病毒

系統病毒的首碼為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特徵是可以感染windows作業系統的 *.exe 和 *.dll 檔案,並通過這些檔案進行傳播。如CIH病毒。

蠕蟲病毒

蠕蟲病毒的首碼是:Worm。這種病毒的共有特徵是通過網路或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外傳送帶毒郵件,阻塞網路的特徵。比如沖擊波(阻塞網路),小郵差(發帶毒郵件) 等。

木馬病毒、黑客病毒

木馬病毒其首碼是:Trojan,黑客病毒首碼名一般為 Hack。木馬病毒的共有特徵是通過網路或者系統漏洞進入使用者的系統並隱藏,然後向外界泄露使用者的信息。而黑客病毒則有一個可視的介面,能對使用者的電腦進行遠程控製。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入使用者的電腦,而黑客病毒則會通過該木馬病毒來進行控製。現在這兩種類型都越來越趨向于整合了。一般的木馬如QQ訊息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網路遊戲的木馬病毒如 Trojan.LMir.PSW.60。這裏補充一點,病毒名中有PSW或者什麽PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程式如:網路梟雄(Hack.Nether.Client)等。

腳本病毒

腳本病毒的首碼是:Script。腳本病毒的共有特徵是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下首碼:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。

宏病毒

其實宏病毒是也是腳本病毒的一種,由于它的特殊性,因此在這裏單獨算成一類。宏病毒的首碼是:Macro,第二首碼是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是隻感染WORD97及以前版本WORD文檔的病毒採用Word97作為第二首碼,格式是:Macro.Word97;凡是隻感染WORD97以後版本WORD文檔的病毒採用Word做為第二首碼,格式是:Macro.Word;凡是隻感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二首碼,格式是:Macro.Excel97;凡是隻感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二首碼,格式是:Macro.Excel,以此類推。該類病毒的共有特徵是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。

後門病毒

後門病毒的首碼是:Backdoor。該類病毒的共有特徵是通過網路傳播,給系統開後門,給使用者電腦帶來安全隱患。

病毒種植程式病毒

這類病毒的共有特徵是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

破壞性程式病毒

破壞性程式病毒的首碼是:Harm。這類病毒的共有特徵是本身具有好看的圖示來誘惑使用者點擊,當使用者點擊這類病毒時,病毒便會直接對使用者電腦產生破壞。如:格式化C糟(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。

玩笑病毒

玩笑病毒的首碼是:Joke。也稱惡作劇病毒。這類病毒的共有特徵是本身具有好看的圖示來誘惑使用者點擊,當使用者點擊這類病毒時,病毒會做出各種破壞操作來嚇唬使用者,其實病毒並沒有對使用者電腦進行任何破壞。如:女鬼(Joke.Girl ghost)病毒。

電腦病毒 電腦病毒 電腦病毒

捆綁機病毒

捆綁機病毒的首碼是:Binder。這類病毒的共有特徵是病毒作者會使用特定的捆綁程式將病毒與一些應用程式如QQ、IE捆綁起來,表面上看是一個正常的檔案,當使用者運行這些捆綁病毒時,會表面上運行這些應用程式,然後隱藏運行捆綁在一起的病毒,從而給使用者造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。

以上為比較常見的病毒首碼,有時候我們還會看到一些其他的,但比較少見,這裏簡單提一下:

DoS:會針對某台主機或者伺服器進行DoS攻擊;

Exploit:會自動通過溢出對方或者自己的系統漏洞來傳播自身,或者他本身就是一個用于Hacking的溢出工具;

HackTool:黑客工具,也許本身並不破壞你的機子,但是會被別人加以利用來用你做替身去破壞別人。

你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況,達到知己知彼的效果。在防毒無法自動查殺,打算採用手工方式的時候這些信息會給你很大的幫助。

其他資料

預防

提高系統的安全性是防病毒的一個重要方面,但完美的系統是不存在的,過于強調提高系統的安全性將使系統多數時間用于病毒檢查,系統失去了可用性、實用性和易用性,另一方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。 加強內部網路管理人員以及使用人員的安全意識很多電腦系統常用口令來控製對系統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。

電腦病毒

產生

病毒不是來源于突發的原因。電腦病毒的製造卻來自于一次偶然的事件,那時的研究人員為了計算出當時網際網路的線上人數,然而它卻自己“繁殖”了起來導致了整個伺服器的崩潰和堵塞,有時一次突發的停電和偶然的錯誤,會在電腦的磁碟和記憶體中產生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的系統網路環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和產地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程式員為了表現自己和證明自己的能力,出于對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控製口令,為了軟體拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.

發展

在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑製其流傳。作業系統升級後,病毒也會調整為新的方式,產生新的病毒技術。它可劃分為:

DOS引導階段

1987年,電腦病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。當時的電腦硬體較少,功能簡單,一般需要通過軟碟啓動後使用.引導型病毒利用軟碟的啓動原理工作,它們修改系統啓動扇區,在電腦啓動時首先取得控製權,減少系統記憶體,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播;

1989年,引導型病毒發展為可以感染硬碟,典型的代表有“石頭2”;

DOS可執行階段

1989年,執行檔型病毒出現,它們利用DOS系統載入執行檔案的機製工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統執行檔案時取得控製權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在執行檔中,使檔案長度增加。

1990年,發展為復合型病毒,可感染COM和EXE檔案。

伴隨、批次型階段

1992年,伴隨型病毒出現,它們利用DOS載入檔案的優先順序進行工作,具有代表性的是“金蟬”病毒,它感染EXE檔案時生成一個和EXE同名但擴展名為COM的伴隨體;它感染檔案時,改原來的COM檔案為同名的EXE檔案,再產生一個原名的伴隨體,檔案擴展名為COM,這樣,在DOS載入檔案時,病毒就取得控製權.這類病毒的特點是不改變原來的檔案內容,日期及屬性,解除病毒時隻要將其伴隨體移除即可。在非DOS作業系統中,一些伴隨型病毒利用作業系統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問使用者名稱稱和口令,然後返回一個出錯信息,將自身移除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。

幽靈、多形階段

1994年,隨著匯編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程式,病毒體被隱藏在解碼前的資料中,查解這類病毒就必須能對這段資料進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程式區,多數具有解碼演算法,一種病毒往往要兩段以上的子程式方能解除。

生成器,變體機階段

1995年,在匯編語言中,一些資料的運算放在不同的通用暫存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼演算法就可以由生成器生成,當生成器的生成結果為病毒時,就產生了這種復雜的“病毒生成器” ,而變體機就是增加解碼復雜程度的指令生成機製。這一階段的典型代表是“病毒製造機” VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特征識別法,需要在巨觀上分析指令,解碼後查解病毒。

網路,蠕蟲階段

1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們隻是以上幾代病毒的改進.在非DOS作業系統中,“蠕蟲”是典型的代表,它不佔用除記憶體以外的任何資源,不修改磁碟檔案,利用網路功能搜尋網路地址,將自身向下一地址進行傳播,有時也在網路伺服器和啓動檔案中存在。

視窗階段

1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)檔案,典型的代表是DS.3873,這類病毒的機製更為復雜,它們利用保護模式和API調用接口工作,解除方法也比較復雜。

宏病毒階段

1996年,隨著Windows Word功能的增強,使用Word宏語言也可以編製病毒,這種病毒使用類Basic語言、編寫容易、感染Word文檔等檔案,在Excel和AmiPro出現的相同工作機製的病毒也歸為此類,由于Word文檔格式沒有公開,這類病毒查解比較困難。

網際網路階段

1997年,隨著因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的封包和郵件越來越多,如果不小心開啟了這些郵件,機器就有可能中毒;

郵件炸彈階段

1997年,隨著全球資訊網(World Wide Web)上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件伺服器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。

行為

電腦病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下:

攻擊系統資料區,攻擊部位包括:硬碟主引尋扇區、Boot扇區、FAT表、檔案目錄等。迫使電腦空轉,電腦速度明顯下降。

攻擊磁碟,攻擊磁碟資料、不寫盤、寫操作變讀操作、寫盤時丟位元組等。

擾亂螢幕顯示,病毒擾亂螢幕顯示的方式很多,可列舉如下:字元跌落、環繞、倒置、顯示前一屏、游標下跌、滾屏、抖動、亂寫、吃字元等。

鍵盤病毒,幹擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉快取區字元、重復、輸入紊亂等。喇叭病毒,許多病毒運行時,會使電腦的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名曲,在高雅的曲調中去殺戮人們的信息財富,已發現的喇叭發聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。

攻擊CMOS , 在機器的CMOS區中,儲存著系統的重要資料,例如系統時鍾、磁碟類型、記憶體容量等。有的病毒激活時,能夠對CMOS區進行寫入動作,破壞系統CMOS中的資料。

幹擾印表機,典型現象為:假報警、間斷性列印、更換字元等。

危害

會造成電腦資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨著信息化社會的發展,電腦病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的電腦科學系研究生,23歲的莫裏斯(Morris)將其編寫的蠕蟲程式輸入電腦網路,致使這個擁有數萬台電腦的網路被堵塞。這件事就像是電腦界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對電腦病毒的恐慌,也使更多的電腦專家重視和致力于電腦病毒研究。1988年下半年,中國在統計局系統首次發現了“小球”病毒,它對統計系統影響極大,此後由電腦病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。

症狀

1.電腦系統運行速度減慢。

2.電腦系統經常無故發生當機。

3.電腦系統中的檔案長度發生變化。

4.電腦存儲的容量異常減少。

5.系統引導速度減慢。

6.丟失檔案或檔案損壞。

7.電腦螢幕上出現異常顯示。

8.電腦系統的蜂鳴器出現異常聲響。

9.磁碟卷標發生變化。

10.系統不識別硬碟

11.對存儲系統異常訪問。

12.鍵盤輸入異常。

13.檔案的日期、時間、屬性等發生變化。

14.檔案無法正確讀取、復製或開啟。

15.命令執行出現錯誤。

16.虛假報警。

17.換當前盤。有些病毒會將當前盤切換到C糟。

18.時鍾倒轉。有些病毒會命名系統時間倒轉,逆向計時。

19.WINDOWS作業系統無故頻繁出現錯誤。

20.系統異常重新啓動。

21.一些外部設備工作異常。

22.異常要求使用者輸入密碼。

23.WORD或EXCEL提示執行“宏”。

24.使不應駐留記憶體的程式駐留記憶體。

出現

電腦病毒的產生是電腦技術和以電腦為核心的社會信息化進程發展到一定階段的必然產物。它產生的背景是:

(1)電腦病毒是電腦犯罪的一種新的衍化形式

電腦病毒是高技術犯罪,具有瞬時性、動態性和隨機性。不易取證,風險小破壞大,從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在電腦套用領域的表現;

(2)電腦軟硬體產品的脆弱性是根本的技術原因

電腦是電子產品。資料從輸入、存儲、處理、輸出等環節,易誤入、篡改、丟失、作假和破壞;程式易被移除、改寫;電腦軟體設計的手工方式,效率低下且生產周期長;人們至今沒有辦法事先了解一個程式有沒有錯誤,隻能在運行中發現、修改錯誤,並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。

檢查

如何檢查筆記本是否中了病毒?以下就是?檢查步驟:

一、進程

首先排查的就是進程了,方法簡單,開機後,什麽都不要啓動!

第一步:直接開啟任務管理器,查看有沒有可疑的進程,不認識的進程可以Google或者百度一下。

第二步:開啟冰刃等軟體,先查看有沒有隱藏進程(冰刃中以紅色標出),然後查看系統進程的路徑是否正確。

第三步:如果進程全部正常,則利用Wsyscheck等工具,查看是否有可疑的執行緒註入到正常進程中。

二、自啓動項目

進程排查完畢,如果沒有發現異常,則開始排查啓動項。

第一步:用msconfig察看是否有可疑的服務,開始,運行,輸入“msconfig”,確定,切換到服務選項卡,勾選“隱藏所有Microsoft服務”復選框,然後逐一確認剩下的服務是否正常(可以憑經驗識別,也可以利用搜索引擎)。

第二步:用msconfig察看是否有可疑的自啓動項,切換到“啓動”選項卡,逐一排查就可以了。

第三步,用Autoruns等,查看更詳細的啓動項信息(包括服務、驅動和自啓動項、IEBHO等信息)。

三、網路連線

ADSL使用者,在這個時候可以進行虛擬撥號,連線到Internet了。然後直接用冰刃的網路連線查看,是否有可疑的連線,對于IP地址如果發現異常,不要著急,關掉系統中可能使用網路的程式(如迅雷等下載軟體、防毒軟體的自動更新程式、IE流覽器等),再次查看網路連線信息

四、安全模式

重啓,直接進入安全模式,如果無法進入,並且出現藍屏等現象,則應該引起警惕,可能是病毒入侵的後遺症,也可能病毒還沒有清除!

五、映像劫持

開啟註冊表編輯器,定位:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有沒有可疑的映像劫持項目,如果發現可疑項,很可能已經中毒。

六、CPU時間

如果開機以後,系統運行緩慢,還可以用CPU時間做參考,找到可疑進程,方法如下:

開啟任務管理器,切換到進程選項卡,在選單中點“查看”,“選擇列”,勾選“CPU時間”,然後確定,單擊CPU時間的標題,進行排序,尋找除了SystemIdleProcess和SYSTEM以外,CPU時間較大的進程,這個進程需要引起一定的警惕。

方式

命名

很多時候大家已經用防毒軟體查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數位的病毒名,這時有些人就蒙了,那麽長一串的名字,我怎麽知道是什麽病毒啊?

其實隻要我們掌握一些病毒的命名規則,我們就能通過防毒軟體的報告中出現的病毒名來判斷該病毒的一些共有的特徵了:一般格式為:<;病毒首碼>.<;病毒名>.<;病毒尾碼>

病毒首碼是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其首碼也是不同的。比如我們常見的木馬病毒的首碼 Trojan ,蠕蟲病毒的首碼是 Worm 等等還有其他的。

電腦病毒

病毒名是指一個病毒的家族特征,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統一的“ CIH ”,振蕩波蠕蟲病毒的家族名是“ Sasser ”。

病毒尾碼是指一個病毒的變種特征,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B,因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多,可以採用數位與字母混合表示變種標識。

電腦病毒

主名稱

病毒的主名稱是由分析員根據病毒體的特征字元串、特定行為或者所使用的編譯平台來定的,如果無法確定則可以用字元串”Agent”來代替主名稱,小于10k大小的檔案可以命名為“Small”。

版本信息

版本信息隻允許為數位,對于版本信息不明確的不加版本信息。

主名稱變種號

如果病毒的主行為類型、行為類型、宿主檔案類型、主名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。

附屬名稱

病毒所使用的有輔助功能的可運行的檔案,通常也作為病毒增加到病毒庫中,這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。

Client 說明:後門程式的控製端

KEY_HOOK 說明:用于掛接鍵盤的模組

API_HOOK 說明:用于掛接API的模組

Install 說明:用于安裝病毒的模組

Dll 說明:檔案為動態庫,並且包含多種功能

(空) 說明:沒有附屬名稱,這條記錄是病毒主體記錄

附屬名稱變種號

如果病毒的主行為類型、行為類型、宿主檔案類型、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴展3位,如:aa、ab、aaa、aab以此類推。

病毒長度

病毒長度欄位隻用于主行為類型為感染型(Virus)的病毒,欄位的值為數位。欄位值為0,表示病毒長度可變。

途徑

電腦病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種:

(1)通過軟碟

通過使用外界被感染的軟碟,例如,不同渠道來的系統盤、來歷不明的軟體、遊戲盤等是最普遍的傳染途徑。由于使用帶有病毒的軟碟,使機器感染病毒發病,並傳染給未被感染的“幹凈”的軟碟。大量的軟碟交換,合法或非法的程式拷貝,不加控製地隨便在機器上使用各種軟體造成了病毒感染、泛濫蔓延的溫床。

(2)通過硬碟

通過硬碟傳染也是重要的渠道,由于帶有病毒機器移到其它地方使用、維修等,將幹凈的軟碟傳染並再擴散。

電腦病毒

(3)通過光碟

因為光碟容量大,存儲了海量的執行檔,大量的病毒就有可能藏身于光碟,對唯讀式光碟,不能進行寫操作,因此光碟上的病毒不能清除。以謀利為目的非法盜版軟體的製作過程中,不可能為病毒防護擔負專門責任,也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前,盜版光碟的泛濫給病毒的傳播帶來了很大的便利。

(4)通過網路

這種傳染擴散極快,能在很短時間內傳遍網路上的機器。

隨著Internet的風靡,給病毒的傳播又增加了新的途徑,它的發展使病毒可能成為災難,病毒的傳播更迅速,反病毒的任務更加艱巨。Internet帶來兩種不同的安全威脅,一種威脅來自檔案下載,這些被流覽的或是被下載的檔案可能存在病毒。另一種威脅來自電子郵件。大多數Internet郵件系統提供了在網路間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或檔案就可能通過網關和郵件伺服器涌入企業網路。網路使用的簡易性和開放性使得這種威脅越來越嚴重。

(5)通過隨身碟

隨身碟病毒

傳染

電腦病毒的傳染分兩種:一種是在一定條件下方可進行傳染,即條件傳染;另一種是對一種傳染對象的反復傳染即無條件傳染。

從目前蔓延傳播病毒來看所謂條件傳染,是指一些病毒在傳染過程中,在被傳染的系統中的特定位置上打上自己特有的標志。這一病毒在再次攻擊這一系統時,發現有自己的標志則不再進行傳染,如果是一個新的系統或軟體,首先讀特定位置的值,並進行判斷,如果發現讀出的值與自己標識不一致,則對這一系統或應用程式,或資料盤進行傳染,這是一種情況;另一種情況,有的病毒通過對檔案的類型來判斷是否進行傳染,如黑色星期五病毒隻感染.COM或.EXE檔案等等;還有一種情況有的病毒是以電腦系統的某些設備為判斷條件來決定是否感染。例如大麻病毒可以感染硬碟,又可以感染軟碟,但對B驅動器的軟碟進行讀寫操作時不傳染。但我們也發現有的病毒對傳染對象反復傳染。例如黑色星期五病毒隻要發現.EXE檔案就進行一次傳染,再運行再進行傳染反復進行下去。

可見有條件時病毒能傳染,無條件時病毒也可以進行傳染。

過程

在系統運行時,病毒通過病毒載體即系統的外存儲器進入系統的記憶體儲器,常駐記憶體。該病毒在系統記憶體中監視系統的運行,當它發現有攻擊的目標存在並滿足條件時,便從記憶體中將自身存入被攻擊的目標,從而將病毒進行傳播。而病毒利用系統INT 13H讀寫磁碟的中斷又將其寫入系統的外存儲器軟碟硬碟中,再感染其他系統。

執行檔感染病毒後又怎樣感染新的執行檔?

執行檔.COM或.EXE感染上了病毒,例如黑色星期五病毒,它駐入記憶體的條件是在執行被傳染的檔案時進入記憶體的。一旦進入記憶體,便開始監視系統的運行。當它發現被傳染的目標時,進行如下操作:

(1)首先對運行的執行檔特定地址的標識位信息進行判斷是否已感染了病毒;

(2)當條件滿足,利用INT 13H將病毒連結到執行檔的首部或尾部或中間,並存大磁碟中;

(3)完成傳染後,繼續監視系統的運行,嘗試尋找新的攻擊目標。

作業系統型病毒是怎樣進行傳染的?

正常的PC DOS啓動過程是:

(1)加電開機後進入系統的檢測程式並執行該程式對系統的基本設備進行檢測;

(2)檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程式到記憶體的0000: 7C00處;

(3)轉入Boot執行;

(4)Boot判斷是否為系統盤,如果不是系統盤則提示;

non-system disk or disk error

Replace and strike any key when ready

否則,讀入IBM BIO-COM和IBM DOS-COM兩個隱含檔案;

(5)執行IBM BIOCOM和IBM DOS-COM兩個隱含檔案,將COMMAND-COM裝入記憶體;

(6)系統正常運行,DOS啓動成功。

如果系統盤已感染了病毒,PC DOS的啓動將是另一番景象,其過程為:

(1)將Boot區中病毒代碼首先讀入記憶體的0000: 7C00處;

(2)病毒將自身全部代碼讀入記憶體的某一安全地區、常駐記憶體,監視系統的運行;

(3)修改INT 13H中斷服務處理程式的入口地址,使之指向病毒控製模組並執行之。因為任何一種病毒要感染軟碟或者硬碟,都離不開對磁碟的讀寫操作,修改INT 13H中斷服務程式的入口地址是一項少不了的操作;

(4)病毒程式全部被讀入記憶體後才讀入正常的Boot內容到記憶體的0000: 7C00處,進行正常的啓動過程;

(5)病毒程式伺機等待隨時準備感染新的系統盤或非系統盤。

如果發現有可攻擊的對象,病毒要進行下列的工作:

(1)將目標盤的引導扇區讀入記憶體,對該盤進行判別是否傳染了病毒;

(2)當滿足傳染條件時,則將病毒的全部或者一部分寫入Boot區,把正常的磁碟的引導區程式寫入磁碟特寫位置;

(3)返回正常的INT 13H中斷服務處理程式,完成了對目標盤的傳染。

作業系統型病毒對非系統盤感染病毒後最簡單的處理方法是什麽?

因為作業系統型病毒隻有在系統引導時才進入記憶體,開始活動,對非系統盤感染病毒後,不從它上面引導系統,則病毒不會進入記憶體。這時對已感染的非系統盤消毒最簡單的方法是將盤上有用的檔案拷貝出來,然後將帶毒盤重新格式化即可。

Backdoor

危害級別:1,

說明:中文名稱—“後門”, 是指在使用者不知道也不允許的情況下,在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程控製,而且使用者無法通過正常的方法禁止其運行。“後門”其實是木馬的一種特例,它們之間的區別在于“後門”可以對被感染的系統進行遠程控製(如:檔案管理、進程控製等)。

Worm

危害級別:2,

說明:中文名稱—“蠕蟲”,是指利用系統的漏洞、外發郵件、已分享資料夾、可傳輸檔案的軟體(如:MSN、OICQ、IRC等)、可移動存儲介質(如:隨身碟、軟碟),這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用于表示病毒所使用的傳播方式

Mail

危害級別:1說明:通過郵件傳播

IM

危害級別:2,說明:通過某個不明確的載體或多個明確的載體傳播自己

MSN

危害級別:3,說明:通過MSN傳播

QQ

危害級別:4,說明:通過OICQ傳播

ICQ

危害級別:5,說明:通過ICQ傳播

P2P

危害級別:6,說明:通過P2P軟體傳播

IRC

危害級別:7,說明:通過IRC傳播

其他

說明:不依賴其他軟體進行傳播的傳播方式,如:利用系統漏洞、已分享資料夾、可移動存儲介質。

Trojan

危害級別:3,說明:中文名稱—“木馬”,是指在使用者不知道也不允許的情況下,在被感染的系統上以隱蔽的方式運行,而且使用者無法通過正常的方法禁止其運行。這種病毒通常都有利益目的,它的利益目的也就是這種病毒的子行為。

Spy

危害級別:1,說明:竊取使用者信息(如檔案等)

PSW

危害級別:2,說明:具有竊取密碼的行為

DL

危害級別:3,說明:下載病毒並運行,判定條款:沒有可調出的任何介面,邏輯功能為:從某網站上下載檔案載入或運行.

邏輯條件引發的事件:

事件1、.不能正常下載或下載的檔案不能判定為病毒 ,操作準則:該檔案不能符合正常軟體功能組件標識條款的,確定為:Trojan.DL

事件2.下載的檔案是病毒,操作準則: 下載的檔案是病毒,確定為: Trojan.DL

IMMSG

危害級別:4,說明:通過某個不明確的載體或多個明確的載體傳播即時訊息(這一行為與蠕蟲的傳播行為不同,蠕蟲是傳播病毒自己,木馬僅僅是傳播訊息)

MSNMSG

危害級別:5,說明:通過MSN傳播即時訊息

QQMSG

危害級別:6,說明:通過OICQ傳播即時訊息

ICQMSG

危害級別:7,說明:通過ICQ傳播即時訊息

UCMSG

危害級別:8,說明:通過UC傳播即時訊息

Proxy

危害級別:9,說明:將被感染的電腦作為代理伺服器

Clicker

危害級別:10,說明:點擊指定的網頁 ,判定條款:沒有可調出的任何介面,邏輯功能為:點擊某網頁。

操作準則:該檔案不符合正常軟體功能組件標識條款的,確定為:Trojan.Clicker。

(該檔案符合正常軟體功能組件標識條款,就參考流氓軟體判定規則進行流氓軟體判定)

Dialer

危害級別:12,說明:通過撥號來騙取Money的程式 ,註意:無法描述其利益目的但又符合木馬病毒的基本特征,則不用具體的子行為進行描述。

AOL、Notifier,

按照原來病毒名命名保留。

Viru

危害級別:4,說明:中文名稱—“感染型病毒”,是指將病毒代碼附加到被感染的宿主檔案(如:PE檔案、DOS下的COM檔案、VBS檔案、具有可運行宏的檔案)中,使病毒代碼在被感染宿主檔案運行時取得運行權的病毒。

Harm

危害級別:5,說明:中文名稱—“破壞性程式”,是指那些不會傳播也不感染,運行後直接破壞在地電腦(如:格式化硬碟、大量移除檔案等)導致在地電腦無法正常使用的程式。

Dropper

危害級別:6,說明:中文名稱—“釋放病毒的程式”,是指不屬于正常的安裝或自解壓程式,並且運行後釋放病毒並將它們運行。

判定條款:沒有可調出的任何介面,邏輯功能為:自釋放檔案載入或運行。

邏輯條件引發的事件:

事件1:.釋放的檔案不是病毒。操作準則: 釋放的檔案和釋放者本身沒邏輯關系並該檔案不符合正常軟體功能組件標識條款的,確定為:Droper

事件2:釋放的檔案是病毒。操作準則: 釋放的檔案是病毒,確定該檔案為:Droper

電腦病毒

Hack

危害級別:無 ,說明:中文名稱—“黑客工具”,是指可以在在地電腦通過網路攻擊其他電腦的工具。

Exploit

漏洞探測攻擊工具

DDoser

拒絕服務攻擊工具

Flooder

洪水攻擊工具 ,註意:不能明確攻擊方式並與黑客相關的軟體,則不用具體的子行為進行描述

Spam

,垃圾郵件

Nuker、Sniffer、Spoofer、Anti

,說明:免殺的黑客工具

Bi

Bi nder

,危害級別:無 ,說明:捆綁病毒的工具

正常軟體功能組件標識條款:被檢查的檔案體內有以下信息能標識出該檔案是正常軟體的功能組件:檔案版本信息,軟體信息(註冊表鍵值、安裝目錄)等。

宿主檔案

宿主檔案是指病毒所使用的檔案類型,有是否顯示的屬性。目前的宿主檔案有以下幾種。 

JS說明:JavaScript腳本檔案

VBS說明:VBScript腳本檔案

HTML說明:HTML檔案

Java說明:Java的Class檔案

COM說明:Dos下的Com檔案

EXE說明:Dos下的Exe檔案

Boot說明:硬碟軟碟引導區

Word說明:MS公司的Word檔案

Excel說明:MS公司的Excel檔案

PE說明:PE檔案

WinREG說明:註冊表檔案

Ruby說明:一種腳本

Python說明:一種腳本

BAT說明:BAT腳本檔案

IRC說明:IRC腳本 事件

1.Elk Cloner

1982年,它被看作攻擊個人電腦的第一款全球病毒,也是所有令人頭痛的安全問題先驅者。它通過蘋果Apple II軟碟進行傳播。這個病毒被放在一個遊戲磁碟上,可以被使用49次。在第50次使用的時候,它並不運行遊戲,取而代之的是開啟一個空白螢幕,並顯示一首短詩。

2.Brain

1986年,Brain是第一款攻擊運行微軟的受歡迎的作業系統DOS的病毒,可以感染360K軟碟的病毒,該病毒會填充滿軟碟上未用的空間,而導致它不能再被使用。

3.Morri

1988年,Morris該病毒程式利用了系統存在的弱點進行入侵,Morris設計的最初的目的並不是搞破壞,而是用來測量網路的大小。但是,由于程式的迴圈沒有處理好,電腦會不停地執行、復製Morris,最終導致當機。

4.CIH

1998年,CIH病毒是迄今為止破壞性最嚴重的病毒,也是世界上首例破壞硬體的病毒。它發作時不僅破壞硬碟的引導區和分區表,而且破壞電腦系統BIOS,導致主機板損壞。此病毒是由台灣大學生陳盈豪研製的,據說他研製此病毒的目的是紀念1986年的災難或是讓反病毒軟體難堪。

5.Melissa

1999年,Melissa是最早通過電子郵件傳播的病毒之一,當使用者開啟一封電子郵件的附屬檔案,病毒會自動傳送到使用者通訊簿中的前50個地址,因此這個病毒在數小時之內傳遍全球。

6.Love bug

2000年,Love bug也通過電子郵件附近傳播,它利用了人類的本性,把自己偽裝成一封求愛信來欺騙收件人開啟。這個病毒以其傳播速度和範圍讓安全專家吃驚。在數小時之內,這個小小的電腦程式征服了全世界範圍之內的電腦系統。

7.“紅色代碼”

2001年,被認為是史上最昂貴的電腦病毒之一,這個自我復製的惡意代碼“紅色代碼”利用了微軟IIS伺服器中的一個漏洞。該蠕蟲病毒具有一個更惡毒的版本,被稱作紅色代碼II。這兩個病毒都除了可以對網站進行修改外,被感染的系統性能還會嚴重下降。

8.“Nimda”

2001年尼姆達(Nimda)是歷史上載播速度最快的病毒之一,在上線之後的22分鍾之後就成為傳播最廣的病毒。

9.“沖擊波”

2003年,沖擊波病毒的英文名稱是Blaster,還被叫做Lovsan或Lovesan,它利用了微軟軟體中的一個缺陷,對系統連線埠進行瘋狂攻擊,可以導致系統崩潰。

10.“震蕩波”

2004年,震蕩波是又一個利用Windows缺陷的蠕蟲病毒,震蕩波可以導致電腦崩潰並不斷重啓。

11.“熊貓燒香”

2007年,熊貓燒香會使所有程式圖示變成熊貓燒香,並使它們不能套用。

12.“掃蕩波”

2008年,同沖擊波和震蕩波一樣,也是個利用漏洞從網路入侵的程式。而且正好在黑屏事件,大批使用者關閉自動更新以後,這更加劇了這個病毒的蔓延。這個病毒可以導致被攻擊者的機器被完全控製。

13.“Conficker”

2008年,Conficker.C病毒原來要在2009年3月進行大量傳播,然後在4月1日實施全球性攻擊,引起全球性災難。不過,這種病毒實際上沒有造成什麽破壞。

14.“木馬下載器”

2009年,本年度的新病毒,中毒後會產生1000~2000不等的木馬病毒,導致系統崩潰,短短3天變成360安全衛士首殺榜前3名(現在位居榜首)

15.“鬼影病毒”

2010年,該病毒成功運行後,在進程中、系統啓動載入項裏找不到任何異常,病毒代碼寫入MBR暫存,即使格式化重灌系統,也無法將徹底清除該病毒。猶如“鬼影”一般“陰魂不散”,所以稱為“鬼影”病毒。鬼影有上次變種,分別為鬼影、魅影、魔影。都具有很強的隱蔽性和破壞性。

16 .極虎病毒

2010年,該病毒類似qvod播放器的圖示。感染極虎之後可能會遭遇的情況:電腦進程中莫名其妙的有ping.exe和rar.exe進程,並且cpu佔用很高,風扇轉的很響很頻繁(手提電腦),並且這兩個進程無法結束。某些檔案會出現usp10.dll、lpk.dll檔案,,防毒軟體和安全類軟體會被自動關閉如瑞星、360安全衛士等如果沒有及時升級到最新版本都有可能被停掉。破壞防毒軟體,系統檔案,感染系統檔案,讓防毒軟體無從下手。極虎病毒最大的危害是造成系統檔案被篡改,無法使用防毒軟體進行清理,一旦清理,系統將無法開啟和正常運行,同時基于電腦和網路的帳戶信息可能會被盜,如網路遊戲帳戶、銀行帳戶、支付帳戶以及重要的電子郵件帳戶等。

17.寶馬病毒

2011年360安全衛士電腦病毒之首。破壞電腦軟體,防毒軟體和安全類軟體會被自動關閉。

註意

1. 建立良好的安全習慣

例如:對一些來歷不明的郵件及附屬檔案不要開啟,不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等,這些必要的習慣會使您的電腦更安全。

2. 關閉或移除系統中不需要的服務

默認情況下,許多作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對使用者沒有太大用處,如果移除它們,就能大大減少被攻擊的可能性。

3. 經常升級安全補丁

據統計,有80%的網路病毒是通過系統安全漏洞進行傳播的,象蠕蟲王、沖擊波、震蕩波等,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。

4. 使用復雜的密碼

有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,將會大大提高電腦的安全系數。

5. 迅速隔離受感染的電腦

當您的電腦發現病毒或異常時應立刻斷網,以防止電腦受到更多的感染,或者成為傳播源,再次感染其它電腦。

6. 了解一些病毒知識

這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的電腦免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啓動項是否有可疑鍵值;如果了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。

7. 最好安裝專業的防毒軟體進行全面監控

在病毒日益增多的今天,使用防毒軟體進行防毒,是越來越經濟的選擇,不過使用者在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常開啟(如郵件監控)、記憶體監控等、遇到問題要上報, 這樣才能真正保障電腦的安全。

8. 使用者還應該安裝個人防火牆軟體進行防黑

由于網路的發展,使用者電腦面臨的黑客攻擊問題也越來越嚴重,許多網路病毒都採用了黑客的方法來攻擊使用者電腦,因此,使用者還應該安裝個人防火牆軟體,將安全級別設為中、高,這樣才能有效地防止網路上的黑客攻擊。

處理

一般大範圍傳播的病毒都會讓使用者在重新啓動電腦的時候能夠自動運行病毒,來達到長時間感染電腦並擴大病毒的感染能力。

通常病毒感染電腦第一件事情就是殺掉他們的天敵--安全軟體, 比如卡巴斯基,360安全衛士,NOD32 等等。這樣我們就不能通過使用防毒軟體的方法來處理已經感染病毒的電腦。那麽我說一下手動防毒方法。

我們要解決病毒可以首先解決在電腦重啓以後自我啓動。

通常病毒會這樣進行自我啓動  

直接自啓動,1.引導扇區 2.驅動 3.服務4.註冊表。

間接自啓動:映像劫持,autorun.inf檔案,HOOK,感染檔案;放置一個誘惑圖示讓使用者點擊。

知道上面病毒的啓動原理,不難得出清理方式:首先刪掉註冊表檔案中病毒的啓動項。最常見的啓動位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ,移除所有該子項內的字元串等,隻留下cftmon.exe。立即按機箱上的重啓鍵,不讓病毒回寫註冊表(正常關機可能會激活病毒回寫進啓動項目,比如“磁碟機”)。如果病毒仍然啓動,就要懷疑有服務,或者驅動。那麽這個時候就需要有一定電腦能力的人,用批處理或者其他的程式同時找到並關閉病毒的服務和移除註冊表,然後快速關機。驅動一般在系統下很難移除,所以可以用上面介紹的Xdelete 或者icesword,wsyscheck或者進入DOS,WPE等其他系統進行移除。

通過不讓病毒在重啓電腦以後啓動的 方法移除病毒,下面我來說一下通過直接移除病毒檔案方法。

在病毒正在運行的系統裏,直接移除病毒檔案會很難。如果在網上找到該病毒機理,進入DOS ,找到所有病毒檔案路徑,可以很輕松的移除病毒檔案(除了感染型病毒)。推薦最好用PE(不懂PE的上百科看),用有一個可以啓動電腦的裝PE 的隨身碟,或者光碟啓動電腦,進入可以進入完全無毒的系統,然後使用綠色版的防毒軟體(網上有,我試過綠色卡巴和nod32,很好,可以在PE 運行)全盤查殺。防毒完以後,我們先不要重新啓動電腦,看看到底移除了什麽,如果有被感染的系統檔案刪掉了,註意從相同系統拷貝一個,否則可能不能開機。然後重啓,進系統用其他安全軟體修復系統。

真正我們電腦感染上棘手的病毒,最簡單有效的方法就是重灌系統。如果C糟(系統盤)有重要資料先備份。不能開機,可以進入PE備份。

問:為什麽我重裝了幾次還是有病毒,是不是這個病毒很厲害?

答:首先要說明幾點,一、重裝以後的系統是幹凈的。二、遇到引導性病毒,感染BIOS病毒可能非常小,就像中彩票。

這種情況是由于其他盤仍然有病毒殘留,比如有如果有autorun.inf 類型的病毒,雙擊開啟DEF等盤的時候就會啓動病毒,或者病毒感染了其他盤上的檔案,你重灌系統以後,運行這個檔案的時候,就又啓動病毒。正確的方法是,找一個達人,或者不要開啟除C:(系統盤)以外的任何盤,然後上網或者隨身碟下載一個防毒軟體,升級更新以後,全盤防毒。

【預防】

1.防毒軟體經常更新,以快速檢測到可能入侵電腦的新病毒或者變種。

2.使用安全監視軟體(和防毒軟體不同比如360安全衛士,瑞星卡卡)主要防止流覽器被異常修改,插入鉤子,安裝不安全惡意的外掛程式。

3.使用防火牆或者防毒軟體自帶防火牆。

4,關閉電腦自動播放(網上有)並對電腦和移動儲存工具進行常見病毒免疫。

5.定時全盤病毒木馬掃描。

6. 註意網址正確性,避免進入山寨網站。

7.不隨意接受、開啟陌生人發來的電子郵件或通過QQ傳遞的檔案或網址。

8.使用正版軟體。

9.使用移動存儲器前,最好要先查殺病毒,然後再使用。

下面推薦幾款軟體:

推薦:防毒軟體,卡巴斯基,NOD32,avast5.0 ,360防毒,Mcafee(個人版,企業版都不錯,不過企業版比較穩定,不過用企業版的一般都是達人,或者去卡飯網下載規則包)

隨身碟病毒專殺:AutoGuarder2

安全軟體:360安全衛士(可以查殺木馬)

單獨防火牆:天網(已經沒有的賣了),comodo,或者防毒軟體自帶防火牆。

區域網路使用者使用antiARP,防範區域網路ARP欺騙病毒(比如:磁碟機,機械狗)

使用超級巡警免疫工具。

達人使用 SSM(system safety monitor)

相關

Windows病毒的九大藏身地點

1.點擊 開始-- 程式-- 啓動,看一看裏面有沒有壞家伙

開啟註冊表(開始-- 運行 輸入:regedit,回車),按以下路徑展開註冊表左邊樹狀表

2.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load,觀察一下有沒有可疑程式安家

3.HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit,找找有沒有病毒在這裏申請運行

4.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

6.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

8.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

在XP中還有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX

9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

p.s 這是微軟的漏洞還是微軟故意留下的,不得而知。

開啟系統配置實用程式(開始-- 運行 輸入:msconfig,回車)還能檢查System.ini與Win.ini

電腦病毒

根據眾多達人的見解,總結如下:

電腦病毒類似于生物病毒,它能把自身依附著在檔案上或寄生在存儲媒體裏,能對電腦系統進行各種破壞;同時有獨特的復製能力,能夠自我復製;具有傳染性可以很快地傳播蔓延,當檔案被復製或在網路中從一個使用者傳送到另一個使用者時,它們就隨同檔案一起蔓延開來,但又常常難以根除。與生物病毒不同的是幾乎所有的電腦病毒都是人為地製造出來的,是一段可執行代碼,一個程式。一般定義為:電腦病毒是能夠通過某種途徑潛伏在電腦存儲介質(或程式)裏,當達到某種條件時即被激活的具有對電腦資源進行破壞作用的一組程式或指令集合。電腦病毒的特點

● 傳染性

● 隱蔽性

● 潛伏性

● 可激發性

●破壞性    

相關詞條

相關搜尋

其它詞條