计算机病毒介绍.

计算机病毒介绍病毒的种类及防范第一部分什么是计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。如今从广义上讲，一切危害用户计算机数据、偷盗用户隐私、损害他人利益及影响用户正常操作的程序或代码都可被定义为计算机病毒。第二部分计算机病毒的基本特点1，感染模块这是病毒最关键的部分，为了自身的生存，病毒必须不断感染一个又一个正常的程序或系统，借此来传播自己。这一点和生物病毒有着相似之处，可以理解为病毒执行写操作，把病毒代码“写”到正常程序中。第二部分计算机病毒的基本特点2，传播模块计算机病毒是不甘心仅仅感染一个正常程序或系统的，病毒感染其它正常程序或系统的过程就是传播。不同病毒的传播模块是不同的，文件型病毒每次新感染一个宿主程序，就完成了自身的传播，而蠕虫病毒的传播可能只是一个复制命令。第二部分计算机病毒的基本特点3，触发模块只有满足破坏条件后病毒才能发作，实现破坏，这就是触发模块。病毒在成功感染后，一边很小心地隐藏自己，一边判断是否够条件来发作。条件不成熟时，病毒所做的只是隐藏和进一步感染，而不会表现出任何破坏，只有这样，病毒才可能有更强的生命力，避免短时间内就被用户发现并消灭。第二部分计算机病毒的基本特点4，破坏模块当病毒判断满足条件可以发作时，就表现出破坏，破坏的表现形式很多，这一个模块是给计算机病毒定性的根本依据。同一个病毒还可以在不同的触发条件下进行不同的破坏表现。病毒作者在编写病毒时，已经告诉了病毒在什么条件下进行什么破坏，并允许其他人对这些信息进行修改，这就是很多病毒出现变种的原因。第三部分引导型病毒什么是引导型病毒引导型病毒，就是感染磁盘引导区的病毒。引导型病毒分为两类：主引导区病毒和DOS引导区病毒。小知识：硬盘被分区后，就由分区程序建立的主引导区，固定大小为515字节，里面包括硬盘引导程序和硬盘分区表。硬盘被高级格式化后，格式化程序建立了DOS引导区，存放系统的引导信息，负责对系统的引导。第三部分引导型病毒引导型病毒的感染原理引导型病毒驻留内存，通过两种方式感染主引导区或DOS引导区。利用一切办法把自身的代码全部或部分复制到原来的引导区，覆盖或修改了正常的引导文件，导致系统不能正常引导。把自身的代码连接到正常的引导程序中，使得任何情况下只要启动计算机，在引导过程中病毒就被执行，这样病毒就早于操作系统而获得控制权。第三部分引导型病毒感染引导型病毒的现象感染引导型病毒后，开机时可能出现以下错误信息：DISKBOOTFAILURE,INSERTSYSTEMDISKANDPRESSENTER（磁盘引导失败）Invalidpartitiontable（无效的分区表信息）Errorloadingoperatingsystem（不能加载操作系统，DOS引导记录出错）Missingoperatingsystem（缺少操作系统，DOS引导记录出错）第三部分引导型病毒如何清除引导型病毒杀毒软件清除。目前的杀毒软件基本上都可以清除各种类型的引导型病毒，而且操作十分简单。手动清除。无论是主引导区病毒，还是DOS引导区病毒，清除的基本思想都是用正确的引导区信息去覆盖受到破坏的引导区信息。这样既可以清除病毒，又可以恢复系统。在进行操作前，必须保证内存中无毒，并用无毒的软件盘光盘进行引导，然后再通过SYS命令将启动盘上的系统引导信息传递给系统盘。第四部分文件型病毒什么是文件型病毒文件型病毒的感染对象是“.exe”、“.com”等类型的可执行文件。文件型病毒的一个共同的特征，就是被感染的对象首先要可以被执行，否则它们就是失去了继续感染的机会。文件型病毒在感染文件时，采取直接连接，覆盖，修改，插空等方法，把自身代码和正常程序融合。第四部分文件型病毒文件型病毒的特点感染和破坏能力强1，在内存中感染病毒后，对所有.exe或.com文件的任何操作（包括查看文件大小）都可能使立即染毒。这两个格式又恰恰是最常用的两种，这就是文件型病毒感染能力特别强的原因。2，由于文件型病毒必须将自身的代码以各种形式融合到宿主程序中去，这必然就破坏了宿主程序原来的结构，严重的话很可能导致宿主程序不能正常执行或根本不能执行，而且也无法完全清除。宿主程序：就是病毒寄生的对象。病毒依赖宿主程序的存在而存在，消亡而消亡。第四部分文件型病毒文件型病毒的特点清除比较困难1，最初的文件型病毒，感染文件一般是将病毒代码直接附加到宿主程序代码前或最后，宿主程序本身代码不会改变，清除比较方便，只需要把病毒代码从宿主程序中分离出去就成了。2，后来的文件型病毒改变了这种感染模式，他们开始将病毒代码附加到宿主程序的中间，而且是分段存放，甚至采用加密技术，对清除工作造成了很大的困难。第四部分文件型病毒文件型病毒是如何工作的1）如果病毒只存在于宿主程序中，而该宿主程序并未被执行，此时的病毒处于静态下，不能表现感染和破坏作用。2）当宿主程序被执行时，病毒代码首先被执行，这时的病毒由静态转变为动态。3）动态病毒一般都驻留内存，监视所有可执行文件的任何动作，一旦发现内存中有宿主程序存在，判断是否已经被感染，如果已经被感染就继续寻找其它宿主程序，如果未被感染就立刻感染并做上“已感染”的标记。4）感染后的宿主程序同样成为一个新的病毒源，重复第一个步骤。第四部分文件型病毒如何防御文件型病毒及时备份任何时候感染了病毒，只需要利用备份进行覆盖，就可以达到清除病毒并恢复系统的目的。小知识：使用系统自带的备份工具ntbackup.exe进行文件备份。备份文件的扩展名为.bkf，不是可执行文件，所以不会被文件型病毒感染而成为宿主程序。第四部分文件型病毒系统备份工具ntbackup第四部分文件型病毒如何防御文件型病毒利用杀毒软件目前杀毒软件的反病毒技术已经比较成熟，实时监控的功能可以即时检测当前系统的状况，如果发现当前内存中有带有病毒特征码的程序，立刻终止其进程的操作，并清除病毒。这样有可以有效地防止文件型病毒驻留内存。第四部分文件型病毒感染文件型病毒后如何处理利用杀毒软件清除被感染的文件杀毒软件的杀毒引擎可以剥离宿主程序中的病毒代码，还原文件的初始状态，但对于一些被破坏严重的文件，可能已经无法正常运行，杀毒软件也不能保证恢复文件。利用备份的文件覆盖被感染的文件。第五部分宏病毒什么是宏病毒宏病毒是一种比较特殊的数据型病毒，专门感染OFFICE办公自动化软件的Word和Excel文档。宏病毒主要是利用隐藏在Word文档和Excel文档中的宏命令来进行破坏。小知识：所谓“宏”，是指一组可以被执行的指令的集合，用来实现复杂操作的自动化执行，从而大大简化了工作步骤，提高了效率。（可以理解为bat批处理文件）第五部分宏病毒什么是宏病毒在Word和Excel中包含以下几种特殊的自动宏。AutoOpen打开文档时AutoClose关闭文档时AutoNew新建文档时AutoExec打开Word和Excel时AutoExit退出时由于用户对Word和Excel文档执行操作时必须要执行“打开”、“关闭”、“新建”、“退出”这四个操作中至少一个，那么也就至少需要执行AutoOpen、AutoClose、AutoNew、AutoExit四个宏中的任意一个，那么隐藏在里面的宏病毒就不知不觉地被激活了。第五部分宏病毒宏病毒和文件型病毒的区别相同点：都需要宿主程序，只要在宿主程序被打卡时才感染系统。不同点：1）宏病毒的宿主为Word和Excel文档，文件型病毒的宿主为可执行文件。2）宏病毒只存在于Word和Excel环境下，如果没有安装Word或者Excel，就不会感染宏病毒。第五部分宏病毒宏病毒有哪些特点感染和传播隐蔽：宏病毒隐藏在模板或word文档中。当打开一个word文档时，先加载的是被调用的模板，文档里的宏病毒便直接感染了模板，然后所有调用此模板的文档都会感染宏病毒。由于宏病毒的感染和传播过程，都发生在打开，关闭或保存word文档的时候，所以用户根本无法察觉。第五部分宏病毒小知识：Word工作原理所有的Word文档都是通过模板建立的，当建立一个Word文档时，Word先会打开一个默认的模板，或者由用户选择模板，在此模板的基础上对文件进行编辑，最后保存一个.doc的文件。模板文件的位置C：\Documentsandsettings\用户名\ApplicationDate\Microsoft\Templates\*.dot第五部分宏病毒Word模板的选择（分为公共模板和文档模板）模板里包含了字体，自动图文集，页面设置，菜单等格式第五部分宏病毒宏病毒有哪些特点破坏性强：宏病毒使用VB语言编写指令，由于VB语言的功能十分强大，甚至可以直接利用DOS功能来执行如Format(格式化）一类的命令，导致隐藏在其中的宏病毒可以执行一些很危险的破坏性操作。另外由于VB语言是开放性语言，任何人都可以对已存在的宏病毒进行简单修改，这样，一个新的宏病毒就随之产生了。第五部分宏病毒感染宏病毒有哪些症状内存占用严重，系统资源匮乏。选择“另存为”时，只能保存为.dot模板格式，无法选择其它格式。自动建立，关闭Word文档。关闭Word文档时不对已经修改的文档提示保存。当出现上述的任何一种情况，就应该怀疑是中了宏病毒，特别是第二种情况，可以确定是中了宏病毒，应及时清除。第五部分宏病毒如何预防宏病毒安装杀毒软件预防目前几乎所有的杀毒软件都完全可以检测和清除隐藏在Word文档里的宏病毒，使系统恢复正常。对于新出现的宏病毒，需要对杀毒软件的病毒库进行更新。第五部分宏病毒如何预防宏病毒使用Word本身的设置进行预防1）设置宏安全级别具体方法：打开Word，选择工具—选项—安全性—宏安全性，打开宏的安全级别设置选项，将安全级别设置为“非常高”。经过这样的设置后只可以运行Word默认的宏。2）运行宏前自动提示在宏安全性选项里切换到“可靠发行商”，取消“信任所有安装的的加载项和模板”前面的勾选，这样设置后当打开含有宏的文档时，会提示宏已经被禁止。第五部分宏病毒设置宏的安全级别运行宏前自动提示第五部分宏病毒Word2007默认设置为禁用所有宏，并发出通知第五部分宏病毒如何清除宏病毒使用杀毒软件清除1）由于宏病毒在感染后会驻留内存，因此使用杀毒软件清除是最简单的方法，注意杀毒的时候关闭Word文档，保证杀毒正常顺利进行。2）宏病毒只感染Word文档，所以无需进行全盘杀毒，只需要搜索出来所有的.doc和.dot的文件进行快捷杀毒即可，这样既有针对性，又有较高的效率。第五部分宏病毒如何清除宏病毒手动清除原则：手动清除宏病毒时，先要清除模板中的病毒，因为模板是其它Word文档操作的基础。方法：1）按住Shift键打开模板或者文档，避免宏被执行。2）选择工具—宏—宏，把宏列表里的除了自己建的以外的宏逐个删除，如果自己没有建立过，可以全部删除。第五部分宏病毒查看模板或文档的宏列表第六部分脚本病毒什么是脚本病毒脚本病毒也叫做VBS病毒或JS病毒，这一类病毒是用VisualBasicScript或JavaScript语言编写的，执行方式为解释执行。即一边把高级语言的代码转化成可被计算机识别的语言一边执行，也就是说转化和执行是同时进行的。这类病毒的扩展名一般是.vbs或.js，它们可以通过自我复制来感染文件，甚至jpg和mp3这种格式的文件都可能被感染，病毒中的大部分代码都可以直接附加到同类程序的代码中。第六部分脚本病毒脚本病毒的特点破坏性大，感染力强√脚本语言功能强大，可以直接调用Windows组件，迅速获得对系统文件和注册表的控制权，造成很大的破坏。如耗费系统资源、制造系统垃圾、滥发电子邮件、阻塞网络等。√脚本语言是解释执行的方式，使得它的感染变得非常简单。电子邮件、局域网共享、网页浏览等都是它感染的良好途径。第六部分脚本病毒脚本病毒的特点欺骗性强，不易清除√脚本病毒很善于伪装自己，如给邮件的附件加双扩展名，比如“我的