第 10 章计算机病毒和流氓软件

第10章计算机病毒和流氓软件

10.1 计算机病毒1.计算机病毒的定义 计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，属于黑色软件。合法软件：指为方便用户使用计算机工作、娱乐而开发的一类软件，属于白色软件。流氓软件（恶意软件）：在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。属于灰色软件。

2．计算机病毒的特点 　　一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。　　具有传染性、潜伏性、隐蔽性、破坏性、可触发性等。 3．病毒的表现　　不正常的提示信息；系统不能正常操作；用户不能正常操作；数据文件破坏；无故死机或重启；操作系统无法启动；运行速度变慢；磁盘可利用空间突然减少；网络服务不正常等。

4．计算机病毒的危害 攻击内存：内存是计算机病毒最主要的攻击目标。计算机病毒在发作时额外地占用和消耗系统的内存资源，导致系统资源匮乏，进而引起死机。病毒攻击内存的方式主要有占用大量内存、改变内存总量、禁止分配内存和消耗内存。攻击文件：文件也是病毒主要攻击的目标。当一些文件被病毒感染后，如果不采取特殊的修复方法，文件很难恢复原样。病毒对文件的攻击方式主要有删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇或丢失数据文件等。攻击系统数据区：对系统数据区进行攻击通常会导致灾难性后果，攻击部位主要包括硬盘主引导扇区、Boot扇区、FAT表和文件目录等，当这些地方被攻击后，普通用户很难恢复其中的数据。

干扰系统正常运行：病毒会干扰系统的正常运行，其行为也是花样繁多的，主要表现方式有不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、重启动、死机、强制游戏以及扰乱串并行口等。干扰系统正常运行：病毒会干扰系统的正常运行，其行为也是花样繁多的，主要表现方式有不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、重启动、死机、强制游戏以及扰乱串并行口等。影响计算机运行速度：当病毒激活时，其内部的时间延迟程序便会启动。该程序在时钟中纳入了时间的循环计数，迫使计算机空转，导致计算机速度明显下降。攻击磁盘：表现为攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。

5．计算机病毒的分类 (1)引导扇区病毒　　　病毒修改或覆盖硬盘原来的主引导记录，有少数几种病毒甚至对引导扇区参数进行了加密处理。　　所有引导区病毒基本上都是内存驻留型的，微机启动时，病毒就被加载到内存中，直到系统关机为止，病毒一直存在，所以引导型病毒基本上都会减少可用的内存容量。 (2)文件病毒 ·文件病毒：大部分感染可执行程序进行传播。 ·寄生病毒：寄生在宿主程序上，并不破坏宿主程序的功能。 ·覆盖病毒：直接用病毒程序替换被感染的程序，这样所有的文件头也变成了病毒程序的文件头。 ·伴随病毒：病毒为被感染的文件创建一个病毒文件。

文件病毒的工作原理: 文件病毒感被激活后，病毒会立刻获得控制权。病毒首先检查系统内存，查看内存中是否已经有病毒代码存在，如果没有，就将病毒代码装入内存。然后执行病毒设计的一些功能，如，破坏功能，显示信息或动画等。为了病毒定时发作，病毒往往会修改系统的时钟中断，在合适的时候激活。完成这些工作后，病毒将控制权交回被感染的程序。 (3)宏病毒 ·宏病毒主要运行在微软公司的Office软件中。 ·宏病毒利用了宏语言VBA。VBA语言可以对文本和数据表进行完整的控制，可以调用操作系统的任意功能，甚至包括格式化硬盘这种操作。

(4)蠕虫病毒 蠕虫病毒以网络为寄生环境，以网络上节点计算机为基本感染单位，通过网络设计的缺陷，达到占用整个网络资源的目的。蠕虫病毒往往利用系统漏洞或利用欺骗方法进行传播。蠕虫病毒由传播模块、隐藏模块、功能模块组成。蠕虫病毒传播过程：扫描　攻击　复制 ·扫描：由扫描模块负责探测主机地漏洞。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。 ·攻击：攻击模块自动攻击找到漏洞的主机，取得该主机的权限。 ·复制：复制模块通过原主机和新主机的交互，将蠕虫病毒复制到新主机中并启动。

(5)木马程序 木马程序分为服务器端和客户端两个部分，服务器端程序一般被伪装并安装在受害者计算机中，以后程序将随该计算机每次运行而自动加载，而客户端一般安装在控制者计算机中。　木马程序可以用来作正常的用途，也可以被一些别有用心的人利用来做非法的事情。木马程序与远程控制程序的基本区别在于，远程控制程序是在用户明确授权后运行的，并在用户主机上有明显的控制图标，而木马程序则是隐蔽运行的。木马程序通常并不感染文件，木马程序一般会修改注册表的启动项，或者修改打开文件的关联而获得运行的机会。

木马程序的类型 密码发送木马程序：在用户计算机的文件里查找密码。　键盘记录木马程序：记录受害计算机的键盘击键记录，获得用户密码信息。　破坏型木马程序：破坏并删除文件。下载类木马：在下载文件同时下载了木马邮件炸弹木马程序：木马程序会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件。代理木马程序：黑客给被控制的主机种上代理木马程序后，通过代理木马程序，攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。

木马程序的特性 ·自动运行：潜人用户启动配置文件中，如注册表、启动组等。 ·自动恢复功能：当用户删除了其中的一个，木马程序利用其他的备份又可以恢复。 ·自动打开端口：木马程序经常利用高端端口进行连接。 ·特殊功能：有些木马程序具有搜索Cache中的口令、扫描IP地址、进行键盘记录、捕获用户屏幕、远程注册表的操作、锁定鼠标等功能。 ·设置后门：攻击者可以利用木马程序设置后门，即使木马程序后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。 ·冒名顶替：攻击者冒充合法用户发送邮件、修改文档内容。

10.1.2计算机病毒的预防和清除 • 1．计算机病毒的预防 • (1) 修补系统漏洞 • Windows操作系统的漏洞层出不穷，特别是如今使用比较多的Windows XP操作系统，其漏洞是怎么也补不完，哪怕是最新的Windows XP SP2也存在相当多的漏洞。因此及时安装操作系统的漏洞补丁是非常必要的。浏览网页需要Web浏览器，有些恶意网页利用浏览器的漏洞编写恶意代码，访问该网站会不知不觉地中毒。因此不仅要修补系统漏洞，还要修补IE浏览器的漏洞，这样才能减少病毒入侵的威胁。

(2)安装杀毒软件 使用杀毒软件可最大程度地保证计算机不受病毒感染，保障计算机的安全运行。目前多数杀毒软件都带有实时病毒防火墙，可监控来自计算机外部的病毒，保护计算机免受病毒感染。常用杀毒软件 (1)瑞星杀毒软件 (2)金山毒霸 (3)Norton Anti Virus（诺顿） (4)Kaspersky（卡巴斯基）

(3)安装网络防火墙 防火墙是一种被动防卫技术，是一种网络安全防护措施，它采用隔离控制技术，是设置在内部网络和外部网络之间的一道屏障，用来分隔内部网络和外部网络的地址，使外部网络无从查探内部网络的IP地址，从而不会与内部系统发生直接的数据交流。

(4)提高安全防范意识 在使用计算机的过程中，需要增强安全防护意识，如不访问非法网站，对网上传播的文件要多加注意，密码设置最好采用数字和字母的混合，不少于8位、及时更新操作系统的安全补丁、备份硬盘的主引导扇区和分区表、安装杀毒软件并经常升级病毒库以及开启杀毒软件的实时监测功能等，这些措施对防范计算机病毒都有积极的作用。

2．计算机病毒的清除 清除病毒的方法有三类，一是利用影子系统等系统还原类的软件，二是借助反病毒软件消除，三是手工清除，但是用手工方法消除病毒不仅繁琐，而且对技术人员专业素质要求很高，只有具备较深的电脑专业知识的人员才会使用。

10.2流氓软件 10.2.1流氓软件的概述 1．流氓软件的分类根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：广告软件、间谍软件、浏览器劫持、行为记录软件、恶意共享软件等。

2．流氓软件的表现形式

2．流氓软件的表现形式 强制安装恶意捆绑广告弹出浏览器劫持恶意收集用户信息难以卸载恶意卸载其他侵害用户软件安装、使用和卸载的知情权、选择权的恶意行为

3.流氓软件的感染途径 通过浏览网页感染通过在线下载文件感染通过在线交流感染通过和别人共享你的计算机感染

4．恶意软件使用的技术 Rootkit技术 IE插件修改系统启动项修改文件关联修改系统服务

(1)Rootkit技术 Rootkit是经常听到的名词，它是提供给用户管理员权限使用的工具集，这个工具集一般可以加载到一个内核程序当中，对操作系统内核进行挂钩和保护，做到保护和引入入侵者的作用，它必须要深入到系统的最内核层，做一些修改和挂钩。流氓软件经常使用这种技术，导致自己的文件和注册表不被删除。这也是恶意软件广泛采用的技术，对自己的文件进行强有力的保护。

(2)IE插件 通过BHO进行劫持浏览器，BHO是浏览器辅助对象，也就是说在浏览器启动的时候会调用这个BHO，帮助浏览器完成一些额外的工作，本来这是一个好意，但是已经被恶意软件给泛滥的应用，现在很多人启动一个浏览器的时候会被加载相当多的BHO，而这些BHO大量都被恶意软件控制了。在地址栏输出关键词的时候会将你搜索结果进行一个转向，去劫持用户的地址栏搜索和相关的搜索。

(3)修改系统启动项 在系统启动项里加入自己的一个启动，用户每次开机的时候都会使得恶意软件启动起来。 (4)修改文件关联当双击TXT文件的时候，恶意软件去修改这个文件关联以后，你可能双击任何一个TXT文件以后都可能把恶意软件运行起来。

(5)修改系统服务 在Windows XP系统中有很多系统服务。恶意软件也可以把自己加到系统服务项当中，一直在运行。比如说我们的任务计划，恶意软件也可能还有计划任务，计划任务是Windows提供一套自动运行的机制，可以定义某一个工作几点开始，或者是周几开始。恶意软件会把自己加到这里面来。

10.2.2流氓软件的预防和清除 1．流氓软件的预防第一，养成良好的电脑使用习惯。谨防共享软件中的流氓软件，安装共享软件时，别一路“next”到底，看清每一步，就会大大降低流氓软件安装的概率。第二，用杀毒软件和防火墙筑起一道城墙，过去杀毒软件和防火墙对于流氓软件是无能为力，最近随着流氓软件的猖獗，杀毒软件也都致力于流氓软件的防范。第三，努力避开使用IE核心浏览器。基于IE核心的浏览器是流氓软件前生发芽的沃土，IE新版本的推出，相信完全给我们带来福音。

2、流氓软件的清除 工具清除：在安全模式下使用工具软件清除，各种工具(瑞星卡卡上网安全助手，超级兔子网络安全卫生、360安全卫生、windows流氓软件清理大师)联合查杀. 手动清除：在注册表中自启动项目中、RUN子键中删除。 1.注册表查找流氓软件的名称，删除; 2.msconfig中启动组是否有不正常的启动项; 3.进入安全模式，在安全模式下搜索流氓软件名，找到执行文件（有些为动态链接库）彻底删除他们。使用XP自带的恶意程序扫描器:运行MRT.EXE

10.3 常见杀毒软件的使用 10.3.1金山毒霸的使用 10.3.2卡巴斯基的使用

10.4 防火墙软件的使用 10.4.1 防火墙的概念及作用在网络中“防火墙”是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。

10.4.2天网防火墙的使用 10.4.3 瑞星个人防火墙的使用

10.5计算机病毒的手工清除 手工清除病毒必须具备较强的操作系统的基础理论知识，特别要求对操作系统的系统文件、文件夹、自启动程序、系统进程和系统服务有较深入的了解，此外还必须对各种计算机病毒的基本原理和计算机病毒的特性有所了解。下面我们将介绍计算机病毒的手工清除方法。

10.5.1 手工清除方法 计算机病毒经常感染的系统路径如何发现病毒感染病毒的解决办法 10.5.2 手工清除实例

第 10 章 计算机病毒和流氓软件