第4章 计算机病毒与木马
计算机木马病毒研究与防范毕业设计
湖北大学高等教育自学考试本科毕业生论文评审表论文题目:计算机木马病毒研究与防范姓名:李宝君专业:计算机应用技术办学点:郧阳师范高等专科学校学生类型:独立本科段(助学班/独立本科段)2014年 12月 18日湖北大学高等教育自学考试办公室印制论文内容摘要目录第一章.木马病毒的概述 (5)1.1木马的的定义 (5)1.2木马的基本特征 (5)1.3木马的传播途径 (6)1.4木马病毒的危害 (6)第二章.木马病毒的现状 (7)2.1特洛伊木马的发展 (7)2.2 木马病毒的种类 (7)第三章.木马病毒的基本原理 (10)4.1木马病毒的加载技术 (10)4.1.1 系统启动自动加载 (10)4.1.2 文件劫持 (10)4.2 木马病毒的隐藏技术 (10)第四章.木马病毒的防范 (12)5.1基于用户的防范措施 (12)5.2基于服务器端的防范措施 (13)5.3加强计算机网络管理 (15)致谢 (16)参考文献 (17)第一章木马病毒的概述1.1木马的的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。
窃取文件。
1.2木马的基本特征(1)隐蔽性是其首要的特征当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。
它的隐蔽性主要体现在6个方面:1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库(2)它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
(3)木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。
第4章 计算机病毒-计算机信息安全技术(第2版)-付永钢-清华大学出版社
• EXE文件病毒。
– 将自身代码添加在宿主程序中,通过修改指令指针的方 式,指向病毒起始位置来获取控制权。
• PE病毒
– 当前产生重大影响的病毒类型,如“CIH”、“尼姆达”、 “求职信”、“中国黑客”等。这类病毒主要感染 Windows系统中的PE文件格式文件(如EXE, SCR, DLL 等) 。
• (2) 传播方式多样。包括文件、电子邮件、Web服务器、网页和网络共 享等。
• (3) 制作技术不同于传统的病毒。许多蠕虫病毒是利用当前最新的编 程语言和编程技术来实现的,容易修改以产生新的变种。
• (4) 行踪隐蔽。蠕虫在传播过程中不需要像传统病毒那样要用户的辅 助工作,所以在蠕虫传播的过程第4章 计算机病毒
计算机病毒的分类
•按病毒按寄生方式分类
– 网络病毒 – 文件病毒 – 引导型病毒 – 混合型病毒
•按传播媒介分类
– 单机病毒 – 网络病毒
•按计算机病毒的链接方式分类
–源码型病毒 –嵌入型病毒 –外壳型病毒 –译码型病毒 –操作系统型病毒
第4章 计算机病毒
第4章 计算机病毒
第四章 计算机病毒
• 4.1 概述 • 4.2 计算机病毒的特征及分类 • 4.3常见的病毒类型 • 4.4计算机病毒制作与反病毒技术
4.1 概述
第4章 计算机病毒
• 带有恶意目的的破坏程序,称为恶意代码。
– 计算机病毒、木马、间谍软件、恶意广告、流 氓软件、逻辑炸弹、后门、僵尸网络、恶意脚 本等软件或代码片段。
4.1 概述
第4章 计算机病毒
电脑病毒和木马的概念介绍
电脑病毒和木马的概念介绍病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。
下面由店铺给你做出详细的电脑病毒和木马的概念介绍!希望对你有帮助!电脑病毒和木马的概念介绍:什么是病毒:计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》,病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
病毒必须满足两个条件:条件1、它必须能自行执行。
它通常将自己的代码置于另一个程序的执行路径中。
条件2、它必须能自我复制。
例如,它可能用受病毒感染的文件副本替换其他可执行文件。
病毒既可以感染桌面计算机也可以感染网络服务器。
此外,病毒往往还具有很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性等,由于计算机所具有的这些特点与生物学上的病毒有相似之处,因些人们才将这种恶意程序代码称之为“计算机病毒”。
一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。
有些病毒不损坏计算机,而只是复制自身,并通过显示文本、视频和音频消息表明它们的存在。
即使是这些良性病毒也会给计算机用户带来问题。
通常它们会占据合法程序使用的计算机内存。
结果,会引起操作异常,甚至导致系统崩溃。
另外,许多病毒包含大量错误,这些错误可能导致系统崩溃和数据丢失。
令人欣慰的是,在没有人员操作的情况下,一般的病毒不会自我传播,必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。
典型的病毒有黑色星期五病毒等。
什么是蠕虫:蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。
一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
计算机病毒与木马的区别
计算机病毒与木马的区别计算机病毒与木马的区别电脑病毒和木马有什么明显的区别呢!你知道吗!下面是我收集整理的,希望对大家有帮助~~一计算机病毒的定义计算机病毒Computer Virus在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
二计算机病毒的特点计算机病毒是人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。
三病毒存在的必然性计算机的信息需要存取、复制、传送,病毒作为信息的一种形式可以随之繁殖、感染、破坏,而当病毒取得控制权之后,他们会主动寻找感染目标,使自身广为流传。
四计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。
病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
五计算机病毒的产生病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。
病毒是人为的特制程序现在流行的病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.六计算机病毒分类根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:按照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
计算机病毒与木马
计算机病毒与木马计算机病毒和木马(Trojan Horse)是计算机安全领域的两个重要概念,它们都是恶意软件(Malware)的一种。
在本文中,我们将介绍计算机病毒和木马的定义、特征、传播方式及其对计算机安全造成的威胁。
计算机病毒计算机病毒(Computer Virus)是一种能够自我复制、植入到普通程序中、并在其运行时释放并对系统造成损害的计算机程序。
计算机病毒通常具有以下特征:•自我复制:计算机病毒可以自动复制自己,并将自己的拷贝插入到其他程序或文件中。
•侵害性:计算机病毒通常会修改、删除、加密、隐藏、破坏或损坏计算机系统中的文件、数据、软件或硬件。
•隐蔽性:计算机病毒通常会隐藏自己的存在,让被感染的计算机用户无法察觉。
•传染性:计算机病毒可以通过网络、邮件、移动存储设备等途径进行传播,感染更多的计算机系统。
计算机病毒对计算机系统的危害十分严重,其可以破坏数据、瘫痪系统、拦截信息等。
防范计算机病毒的方法包括使用杀毒软件、安装系统补丁、注意下载安装程序的来源、开启防火墙等。
木马木马(Trojan Horse)是一种在计算机上隐藏并执行恶意功能的程序。
与计算机病毒不同的是,木马并不具有自我复制的能力,它需要通过社会工程学手段等方式欺骗用户进行下载或安装。
木马通常具有以下特征:•隐藏性:木马通常会隐藏自己的存在,它可以将自己伪装为正常的软件,以此来欺骗用户进行安装。
•后门性:木马通常会在被植入的计算机上留下一个后门,以便黑客进行远程控制。
•损坏性:木马可以修改、删除、加密、隐藏、破坏文件、系统及数据等信息。
与计算机病毒类似,木马也对计算机系统造成的安全威胁十分严重。
防范木马的方法包括不轻易下载安装软件、使用杀木马软件、开启防火墙等。
计算机病毒和木马的危害计算机病毒和木马的存在都会对计算机系统造成安全威胁。
它们可以破坏文件、瘫痪系统、拦截信息等,甚至可以导致计算机系统的完全瘫痪。
此外,黑客可以通过木马植入到计算机系统中获取用户敏感信息,如密码、账号等。
计算机病毒和木马还有蠕虫区别是什么
计算机病毒和木马还有蠕虫区别是什么计算机病毒和木马还有蠕虫都是有区别的!那么区别是什么呢?下面由店铺给你做出详细的计算机病毒和木马还有蠕虫区别介绍!希望对你有帮助!计算机病毒和木马还有蠕虫区别一:各种病毒蠕虫木马纷至沓令防胜防苦恼比究竟病毒蠕虫木马间区别?相信数问题并没清晰解我简单讲讲病毒、蠕虫特洛伊木马导致您计算机计算机信息损坏恶意程序能使网络操作系统变慢危害严重甚至完全破坏您系统并且能使用您计算机自传播给您朋友、家、同事及 Web 其更范围内造危害三种东西都编制恶意代码都用户照危害往往统称作病毒其实种称并准确间虽着共性着差别计算机病毒(Computer Virus),根据《华民共计算机信息系统安全保护条例》病毒明确定义指编制或者计算机程序插入破坏计算机功能或者破坏数据影响计算机使用并且能够自我复制组计算机指令或者程序代码病毒必须满足两条件:1、必须能自行执行通自代码置于另程序执行路径2、必须能自我复制例能用受病毒染文件副本替换其执行文件病毒既染桌面计算机染网络服务器外病毒往往具强染性定潜伏性特定触发性破坏性等由于计算机所具些特点与物病毒相似处些才种恶意程序代码称计算机病毒些病毒设计通损坏程序、删除文件或重新格式化硬盘损坏计算机些病毒损坏计算机复制自身并通显示文本、视频音频消息表明存即使些良性病毒给计算机用户带问题通占据合程序使用计算机内存结引起操作异甚至导致系统崩溃另外许病毒包含量错误些错误能导致系统崩溃数据丢失令欣慰没员操作情况般病毒自我传播必须通某共享文件或者发送电邮件等式才能起移典型病毒黑色星期五病毒等蠕虫(worm)算病毒种与普通病毒间着区别般认:蠕虫种通网络传播恶性病毒具病毒些共性传播性、隐蔽性、破坏性等等同具自些特征利用文件寄(存于内存)网络造拒绝服务及黑客技术相结合等等普通病毒需要传播受染驻留文件进行复制蠕虫使用驻留文件即系统间进行自我复制普通病毒传染能力主要针计算机内文件系统言蠕虫病毒传染目标互联网内所计算机能控制计算机传输文件或信息功能旦您系统染蠕虫蠕虫即自行传播自台计算机复制另台计算机更危险量复制产破坏性蠕虫病毒普通病毒所能比拟网络发展使蠕虫短短间内蔓延整网络造网络瘫痪!局域网条件共享文件夹、电邮件Email、网络恶意网页、量存着漏洞服务器等都蠕虫传播良途径蠕虫病毒几内蔓延全球且蠕虫主攻击性突爆发性使手足措外蠕虫消耗内存或网络带宽能导致计算机崩溃且传播必通宿主程序或文件潜入您系统并允许其远程控制您计算机使危害远较普通病毒典型蠕虫病毒尼姆达、震荡波等[next] 木马?木马(Trojan Horse)希腊神面特洛伊木马名,希腊假装祭礼巨木马藏匿许希腊士兵并引诱特洛伊运进城内等夜马腹内士兵与城外士兵应外合举攻破特洛伊城现所谓特洛伊木马指些表面用软件、实际目却危害计算机安全并导致严重破坏计算机程序具欺骗性文件(宣称良性事实恶意)种基于远程控制黑客工具具隐蔽性非授权性特点所谓隐蔽性指木马设计者防止木马发现采用种手段隐藏木马服务端即使发现染木马难确定其具体位置;所谓非授权性指旦控制端与服务端连接控制端窃取服务端操作权限修改文件修改注册表控制鼠标键盘窃取信息等等特洛伊木马与病毒重区别特洛伊木马具传染性并能像病毒复制自身并"刻意"染其计算机病毒和木马还有蠕虫区别二:首先病毒,木马,蠕虫统称为电脑病毒。
CH07计算机病毒与木马防范技术
(1)驻留内存技术 (2)病毒变形及变种 (3)抗分析技术 (4)多态性病毒技术
使用不固定的密钥或者随机数加密病毒代码; 运行的过程中改变病毒代码; 通过一些奇怪的指令序列实现多态性。
(5)网络病毒技术
第 10 页 / 共 20 页
三、计算机病毒的技术特征
20 世 纪 70 年 代 , 在 美 国 作 家 雷 恩 出 版 的 《P1 的 青 春 - The Adolescence of P1》一书中,首次勾勒出了病毒程序的蓝图。 20世纪80年代早期出现了第一批计算机病毒。 1988 年冬天出现了第一个 Internet 蠕虫病毒,被命名为 Morris Worm (一种使用自行传播恶意代码的恶意软件,它可以通过网络 连接,自动将其自身从一台计算机分发到另一台计算机)。 1988年11月2日下午 5点,互联网的管理人员首次发现网络有不明 入侵者。 1991年在“海湾战争”中,美军第一次将计算机病毒应用于实战, 正式将病毒作为一种攻击性“武器”投入使用。 90 年代网上开始出现病毒交流布告栏,成为病毒编写者合作和共享 知识的平台。电子邮件、网站、共享驱动器和产品漏洞都为病毒复制 和攻击提供了平台。 2006年末,计算机病毒产业发生了巨大的变化 —从病毒研制到营销 过程完全采用商业化运作,直接以经济利益为目的传播病毒,破坏网 络系统。
特征:
第 5 页 / 共 20 页
一、计算机病毒概述
4、计算机病毒的分类
按照计算机病毒的特点及特性,计算机病毒的分类方法有 许多种。因此,同一种病毒可能有多种不同的分法。
按照计算机病毒攻击的系统分类 按照病毒的攻击机型分类 按照计算机病毒的链结方式分类 按照计算机病毒的破坏情况分类 按照计算机病毒的寄生部位或传染对象分类 按照传播媒介分类
专题一:计算机病毒与木马
1、什么是恶意代码?
它是一种计算机程序,它既有利用系统缺陷的攻击特性, 又有计算机病毒和木马的特性。
?
三、恶意代码
2、恶意代码的特性
● 攻击特性
● 病毒特性
● 木马特性
恶意代码给现代互联网的安全造成非常大的威胁,
是网络安全要面对的一个新的问题。
四、实例简介
1、大致流程
程序开始
定义TCP套结字结构
取自希腊神话的特洛伊木马记
★“木马的来源” ●木马的功能是:通过客户端可以操纵服务器, 进而操纵对方主机。
2、木马的式呢?
★ 木马一般有一个配置程序,允许使用者配置木马
的伪装方式和木马的反馈信息 ★ 木马的伪装方式: 包括木马在释放的时候,怎样避免受害者的发现。 ★ 木马的反馈信息: 就是木马被黑客释放以后,如果成功地驻留在某个
4、计算机病毒的破坏性
● 视觉和听觉 ● 破坏文件系统 ● 破坏存储器 ● 占用资源
5、计算机病毒的分类
① 根据传染性,计算机病毒可分为: 引导区传染
操作系统传染
应用程序传染
◆ 所有程序都有一个引导区
◆ 操作系统传染病毒与引导区传染病毒不同,它寄生 在磁盘上的系统文件中 ◆ 应用程序传染病毒寄生在某种特殊的应用程序中
5、木马的伪装方式
◆修改图标 ◆出错显示
◆捆绑文件
◆清除现场
◆改变端口
6、木马的激活方式
① 注册表 木马的自动启动脚本可以出现在注册表的
HKEY—LOAL—MACHINE和HKEY—CURRENT—USER
的以下分支: Software\Microsoft\Windows\Current Version\Run Software\Microsoft\Windows\Current Version\RunServices ② WIN.INI WIN.INI文件放在C:\WINDOWS的目录下,是Windows的一 个启动配置文件。如果用文本方式打开,在[Windows]字段中有启 果有启动程序,可能是木马。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(5)按照计算机病毒激活的时间分类 定时型病毒 随机型病毒
(6)按照传播媒介分类 单机病毒 网络病毒
4.1.4 计算机病毒的结构
1.计算机病毒的程序结构
计算机 病毒
引导模块
传染模块
表现、破坏 模块
图4.1 计算机病毒的程序结构图
2.计算机病毒的存储结构
(1)病毒的磁盘存储结构 (2)病毒的内存驻留结构
(1)计算机硬件的配置 (2)硬件的正常使用 (3)CMOS的设置
除了硬件故障,计算机的软件故障 也会导致计算机无法正常使用。 由于软件类型复杂多样,因此软件 故障的判别比较困难,这需要多了解软 件的知识和掌握软件的使用技巧。 这里给出几种常见的导致软件故障 的原因。
(1)丢失文件 (2)文件版本不匹配 (3)资源耗尽 (4)非法操作
(2)按照计算机病毒的链接方式分类 ① 源码型病毒 ② 嵌入型病毒 ③ 外壳型病毒 ④ 操作系统型病毒
(3)按照计算机病毒的破坏情况分类 ① 良性计算机病 ② 恶性计算机病毒
(4)按照计算机病毒的传染性分类 ① 磁盘引导区传染的计算机病毒 ② 操作系统传染的计算机病毒 ③ 可执行程序传染的计算机病毒
1.特洛伊木马与病毒的区别 2.特洛伊木马的种植 3.特洛伊木马的行为
4.4.3 木马的分类
1.远程控制木马 2.密码发送木马 3.键盘记录木马
4.破坏性质的木马 5.DoS攻击木马 6.代理木马 7.FTP木马
4.4.4 木马的发展
4.5 木马的攻击防护技术
4.5.1 常见木马的应用
前面介绍了木马的发展经历了四代,第一 代木马功能简单,主要针对UNIX,而Windows 系统木马数量不多。 从第二代木马开始,木马的功能已经十分 强大,并且可以进行各种入侵操作了。
“灰鸽子2007”(Win32.Hack.Huigezi), 该病毒是2007年的新的灰鸽子变种,它会利用 一些特殊技术,将自身伪装成计算机上的正常 文件,并能躲避网络防火墙软件的监控,使其 难以被用户发现。
此外,黑客可以利用控制端对受感染计 算机进行远程控制,并进行多种危险操作, 包括查看并获取电脑系统信息,从网上下载 任意的指定恶意文件,记录用户键盘和鼠标 操作,盗取用户隐私信息,如QQ、网游和网 上银行的账号等有效信息,执行系统命令, 关闭指定进程等。
图4.23 检查共享文件夹
③ 要定期检查计算机中的账户,看看是 否存在不明账户信息。一旦发现,应该 立即删除该账户,并且禁用Guest账号, 如图4.24所示,防止被病毒利用。
图4.24 检查计算机中的用户账户
④ 给计算机的账户设置比较复杂的密码,防 止被蠕虫病毒破译。 ⑤ 购买主流的网络安全产品,并随时更新。
4.3.4 蠕虫病毒
针对蠕虫病毒传播方式的特点,对其进 行防范需要以下的一些措施。 ① 用户在网络中共享的文件夹一定要将权 限设置为只读,如图4.22所示,而且最好对 重要的文件夹设置访问账号和密码。
图4.22 设置文件夹的权限
② 要定期检查自己的系统内是否具有可 写权限的共享文件夹,如图4.23所示,一 旦发现这种文件夹,需要及时关闭该共 享权限。
有些恶意代码会像生物病毒寄生在 其他生物细胞中一样,它们隐藏和寄生 在其他计算机用户的正常文件中伺机发 作,并大量复制病毒体,感染计算机中 的其他正常文件。
很多计算机病毒也会像生物病毒给 寄主带来极大伤害一样,给寄生的计算 机造成巨大的破坏,给人类社会造成不 利的影响,造成巨大的经济损失。
同时,计算机病毒与生物病毒也有 很多不同之处,例如,计算机病毒并不 是天然存在的,它们是由一些别有用心 的人利用计算机软硬件所固有的缺陷有 目的地编制而成的。
开机之后几秒钟突然黑屏;无法找到外 部设备,如无法检索到计算机硬盘;计算机 发出奇怪的声音;计算机经常死机或者重新 启动;启动应用程序时出现错误提示信息对 话框;菜单或对话框的显示失真。
4.2.2 计算机故障与病毒特征区别
计算机可能存在一些硬件故障导致 无法正常使用,这些硬件故障范围不是 很广泛,容易被确认。
这里对几种危害巨大的木马进行基 本的介绍,通过后面的实训更好地了解 木马的运行和防范。
“灰鸽子”是国内一个著名的后门 程序,灰鸽子变种木马运行后,会自我 复制到Windows目录下,并自行将安装 程序删除;修改注册表,将病毒文件注 册为服务项,实现开机自启。
木马程序还会注入所有的进程中, 隐藏自我,防止被杀毒软件查杀;自动 开启IE浏览器,以便与外界进行通信, 侦听黑客指令,在用户不知情的情况下 连接黑客指定站点,盗取用户信息、下 载其他特定程序。
② 软盘用完后应该从软驱中取出。 ③ 避免在软驱中存有软盘的情况下开机 或者启动操作系统。
4.3.3 宏病毒
对宏病毒进行防范可以采取如下几 项措施。 ① 提高宏的安全级别。目前,高版本的 Word软件可以设置宏的安全级别,在不 影响正常使用的情况下,应该选择较高 的安全级别。
② 删除不知来路的宏定义。 ③ 将Normal.dot模板进行备份,当被病 毒感染后,使用备份模板进行覆盖。
计算机病毒具有非法性、隐蔽性、 潜伏性、触发性、表现性、破坏性、传 染性、针对性、变异性和不可预见性。 单独根据某一个特性是不能判断某 个程序是否是病毒的。
例如“触发性”,很多应用程序都 具有一定的触发性,如杀毒软件可以在 满足一定条件下自动进行系统的病毒扫 描,但是并不能说它就是病毒,而且恰 恰相反,它是病毒的防护软件。
绝大多数的病毒只有在显微镜下才 能看到,而且不能独立生存,必须寄生 在其他生物的活细胞里才能生存。
由于病毒利用寄主细胞的营养生长 和繁殖后代,因此给寄主生物造成极大 的危害。 计算机病毒之所以被称为病毒,是 因为它们与生物医学上的病毒有着很多 的相同点。
例如,它们都具有寄生性、传染性 和破坏性。 我们通常所说的计算机病毒应该是 为达到特殊目的制作和传播的计算机代 码或程序,简单说就是恶意代码。
4.2.3 常见的计算机病毒
1.早期的DOS病毒
图4.2 毛毛虫病毒
2.引导型病毒
图4.3 小ห้องสมุดไป่ตู้病毒
3.文件型病毒
文件型病毒是指能够寄生在文件中的 以文件为主要感染对象的病毒。 这类病毒主要感染可执行文件或者数 据文件。 文件型病毒是数量最为庞大的一种病 毒,它主要分为伴随型病毒、“蠕虫”型 病毒和寄生型病毒几种。
这种木马病毒是如何实现自己的不 良目的的呢?首先,病毒运行后将创建 自己的副本于Windows的系统目录下, 文件名为System32.exe,如图4.18所示。
图4.18 病毒文件副本的建立
4.3 计算机病毒的检测与防范
4.3.1 文件型病毒
对文件型病毒的防范,一般采用以 下一些方法。 ① 安装最新版本、有实时监控文件系统 功能的防病毒软件。 ② 及时更新病毒引擎,一般每月至少更 新一次,最好每周更新一次,并在有病 毒突发事件时立即更新。
② 计算机磁盘的变化。主要现象包括对 一个简单的磁盘存储操作比预期时间长 很多;当没有存取数据时,硬盘指示灯 无缘无故地亮了;磁盘的可用空间大量 地减少;磁盘的扇区坏道增加;磁盘或 者磁盘驱动器不能访问。
③ 计算机内存的变化。主要现象包括系 统内存的容量突然间大量地减少;内存 中出现了不明的常驻程序。
木马可以被分成良性木马和恶性木 马两种。 良性的木马本身没有什么危害,关 键在于控制该木马的是什么样的人。 如果是恶意的入侵者,那么木马就 是用来实现入侵目的的;如果是网络管 理员,那么木马就是用来进行网络管理 的工具。
恶性木马则可以隶属于“病毒”家 族了,这种木马被设计出来的目的就是 进行破坏与攻击。 目前很多木马程序在互联网上传播, 它们中的很多与其他病毒相结合,因此 也可以将木马看作是一种伪装潜伏的网 络病毒。
第4章 计算机病毒与木马
4.1
计算机病毒概述
4.2
计算机病毒的危害
4.3
计算机病毒的检测与防范
4.4
木马攻击与分析
4.5
木马的攻击防护技术
本章学习要点 掌握计算机病毒的定义、分类和结构 掌握计算机病毒的表现以及与计算机故 障的区别 了解常见的计算机病毒的特点和检测技 术 掌握木马的定义、分类 了解常见的木马应用和防护方法
4.蠕虫病毒
蠕虫(Worm)病毒是一种通过网 络传播的恶意病毒。 它的出现比文件病毒、宏病毒等传 统病毒晚,但是无论是传播速度、传播 范围还是破坏程度都要比以往传统的病 毒严重得多。
5.木马病毒
木马又称作特洛伊木马,将在后面 进行详细的介绍。 在这里首先简单地介绍一种木马, 它就是证券大盗木马病毒。 该木马可以盗取多家证券交易系统 的交易账户和密码。
⑥ 提高防杀病毒的意识,不要轻易单击 陌生的站点。 ⑦ 不要随意查看陌生邮件,尤其是带有 附件的邮件。
4.4 木马攻击与分析
4.4.1 木马背景介绍 4.4.2 木马的概述
特洛伊木马病毒是指隐藏在正常程 序中的一段具有特殊功能的恶意代码, 它具备破坏和删除文件、发送密码、记 录键盘和用户操作、破坏用户系统,甚 至使系统瘫痪的功能。
④ 计算机文件系统的变化。主要现象包 括可执行程序的大小被改变了;重要的 文件奇怪地消失;文件被加入了一些奇 怪的内容;文件的名称、日期、扩展名 等属性被更改;系统出现一些特殊的文 件;驱动程序被修改导致很多外部设备 无法正常工作。
⑤ 异常的提示信息和现象。主要现象包 括出现不寻常的错误提示信息,例如出 现“write protect error on driver A”,表 示病毒试图存取软盘进行感染,再如访 问C盘时,提示“Not ready error drive A abort, Retry, Fail?” 。
③ 经常使用防毒软件对系统进行病毒检 查。 ④ 对关键文件,如系统文件、重要数据 等,在无毒环境下经常备份。 ⑤ 在不影响系统正常工作的情况下,对 系统文件设置最低的访问权限。