《计算机病毒及防范》PPT课件.ppt

第5章 计算机网络病毒及其防范,5.1 计算机病毒概述5.2 计算机网络病毒 5.3 反病毒技术 5.4 计算机网络病毒的防范 5.5 小结习题与思考题,5.1 计算机病毒概述,5.1.1 计算机病毒的定义“计算机病毒”有很多种定义，从广义上讲，凡是能引起计算机故障，破坏计算机中数据的程序统称为计算机病毒。现今国外流行的定义为：计算机病毒是一段附着在其他程序上的，可以实现自我繁殖的程序代码。在国内，中华人民共和国计算机信息系统安全保护条例的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。,5.1.2 计算机病毒的发展过程1983年11月3日，弗雷德科恩(Fred.Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼(Len.Adleman)将它命名为计算机病毒(Computer Viruses)。计算机病毒在20世纪90年代开始大规模流行。1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序(当时未给它命名)。这个程序通过UNIX的口令检测作为合法用户注册，进入系统后，将特洛伊木马程序不断传播、复制，使系统瘫痪。这是一个真正实用的、攻击计算机的病毒。,1988年11月2日晚，美国康尔大学研究生罗特莫里斯(R.T.Morris)利用计算机系统存在的弱点，将计算机蠕虫病毒投放到网络中，使该病毒程序迅速扩展。至第二天凌晨，病毒从美国东海岸传到西海岸，造成了大批计算机瘫痪，遭受攻击的包括五个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的250000台计算机，直接经济损失达9600万美元。这是自计算机出现以来最严重的一次计算机病毒侵袭事件，给全世界带来巨大的震动，引起世界各国的广泛关注。,随着计算机技术的发展，有越来越多的病毒出现。1995年在北美地区流行着一种“宏”病毒，它不感染.exe和.com文件，只感染文档文件。与传统病毒相比，宏病毒编写更为简单。1996年12月，宏病毒正式在我国出现，病毒名是“Taiwan No.1”。它是在文件型和引导型病毒的基础上发展出来的，它不仅可由磁盘传播，还可由Internet上E-mail和下载文件传播，传播速度快，可以在多平台上交叉感染，危害极大。据专家估计，宏病毒的感染率高达40%以上，即每发现100个病毒就有40个是宏病毒。,在国内，最初让人关注的病毒是1982年出现的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。由于当时网络没有普及，因此没有造成病毒的广泛流行。1998年6月出现了CIH病毒，CIH病毒是目前破坏性最大的病毒之一。其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH。它感染Windows 95/98下的PE(Portable Executable Format)可执行文件，但是不感染DOS文件。它是世界上首例也是目前惟一能攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。CIH病毒产于台湾，是台湾大学生陈盈豪编写的。目前发现至少有五个版本，发作时间一般是每月26日。,V1.0版本是最初的CIH版本，不具有破坏性，感染Windows 可执行文件。V1.1版本能自动判断运行系统，如果是Windows NT，则自动隐蔽，被感染的文件长度并不增加。V1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码，成为恶性病毒。它会感染ZIP自解压文件，导致ZIP压缩包在解压时出现错误信息，发作时间是每年4月26日。其中V1.3版为6月26日发作，不感染WINZIP类的自解压程序。V1.4版本修改了发作日期及病毒的版权信息，为每月的26日发作。由于该病毒一般隐藏在盗版光盘、软件以及游戏程序中，并能通过Internet迅速传播到世界各地，因此破坏性极大。,病毒发作时，通过复制的代码不断覆盖硬盘系统区，损坏BIOS和主引导区数据，看起来硬盘灯在闪烁，但再次启动时，计算机屏幕便一片漆黑，此时用户硬盘上的分区表已被破坏，数据很难再恢复，它对于网络系统的损失更严重。遭到袭击的不仅有国家机关、企事业单位、金融系统，还有公安机关、军事部，估计全球因此损失了上百亿美元。最近，“红辣椒”、“恶邮差”、“冲击波”、Win32.Cydog等一系列病毒的出现，给计算机用户造成了很大的损失。现在，由于网络的普及，计算机成为开放网络的一个结点，使得病毒可以长驱直入。计算机病毒非但没有得到抑制，数量反而与日俱增，所造成的危害也越来越大，甚至会造成网络的一时瘫痪。,5.1.3 计算机病毒的分类目前出现的计算机病毒种类繁多，同时，一种病毒也可能发生多种变形。根据计算机病毒的特征和表现的不同，计算机病毒有多种分类方法。1.按传染方式分类 传染是计算机病毒的一个主要特征。计算机病毒按其传染方式可分为三种类型，分别是引导型、文件型和混合型病毒。,(1)引导型病毒指传染计算机系统磁盘引导程序的计算机病毒。它是一种开机即可启动的病毒，先于操作系统而存在。这类病毒将自身的部分或全部代码寄生在引导扇区，即修改系统的引导扇区，在计算机启动时这些病毒首先取得控制权，减少系统内存，修改磁盘读写中断，在系统存取操作磁盘时进行传播，影响系统工作效率。这类病毒的典型例子有大麻病毒、小球病毒等。(2)文件型病毒指传染可执行文件的计算机病毒。这类计算机病毒传染计算机的可执行文件(通常为.com或.exe、.ovl文件等)以及这些文件在执行过程中所使用的数据文件。在用户调用染毒的执行文件时，病毒被激活。,病毒首先运行，然后病毒常驻内存，伺机传染给其他文件或直接传染其他文件。其特点是依靠正常的可执行文件的掩护而潜伏下来，成为程序文件的一个外壳或部件。这是较为常见的传染方式。这类病毒的典型例子有黑色星期五病毒、维也纳病毒和宏病毒等。(3)混合型病毒指传染可执行文件又传染引导程序的计算机病毒。它兼有文件型和引导型病毒的特点。因此，混合型病毒的破坏性更大，传染的机会多，查杀病毒更困难。,2.按寄生方式分类 寄生是计算机病毒赖以存在的方式。计算机病毒按其寄生方式可分为四种类型，分别是代替型、链接型、转储型和源码病毒。(1)代替型计算机病毒是指计算机病毒在传染病毒宿主之后，计算机病毒用自身代码的部分或全部代替正常程序的部分或全部，从而使宿主程序不能正常运行。有些攻击操作系统的病毒在发作时用自己的逻辑运行模块取代操作系统原来的逻辑运行模块，使操作系统不能正常行使自己的功能。,(2)链接型计算机病毒是将计算机病毒程序代码链接到被传染的宿主程序代码的首部、中部或尾部，对原来的程序不做修改。这种病毒较为常见，大部分文件型病毒都属于这一类。(3)转储型计算机病毒是指计算机病毒将原合法程序的代码转移到存储介质的其他部位，而病毒代码占据原合法程序的位置。一旦这种病毒感染了一个文件，就很难被发现，隐蔽性较好。(4)源码病毒主要是利用JAVA、VBS、ActiveX等网络编程语言编写的，放在电子邮件的附件HTML主页中，进入被感染的计算机中执行。,在用户使用浏览器来阅读这些带有病毒的网页，或者打开邮件的附件时，病毒就不知不觉地侵入用户的机器中。这些病毒除了可以通过网络传播外，还可以通过网络将计算机内的机密泄露出去。3.按危害程度分类严格地说，只要是计算机病毒，就会对系统造成一定的危害性，只是不同的计算机病毒造成的危害程度不同。计算机病毒按其危害程度可分为三种类型，分别为良性病毒、恶性病毒和中性病毒。,(1)良性病毒又称表现型病毒。它只是为了以一种特殊的方式表现其存在，如只显示某项信息、发出蜂鸣声，或播放一段音乐，对源程序不做修改，不删除硬盘上的文件，不格式化硬盘，也不直接破坏计算机的硬件设备，相对而言对系统的危害较小。但是这类病毒还是具有潜在的破坏性，它使内存空间减少，占用磁盘空间，与操作系统和应用程序争抢CPU的控制权，降低系统运行效率等。(2)恶性病毒又称破坏型病毒。它的目的就是对计算机的软件和硬件进行恶意的攻击，使系统遭到严重的破坏，如破坏数据、彻底删除硬盘上的文件或格式化磁盘，使用户用任何软件都无法恢复被删除的文件，它们甚至可能攻击硬盘，破坏主板，导致系统死机而无法工作，在网络上高速传播，致使网络瘫痪等。因此恶性病毒非常危险，造成的危害十分严重。,(3)中性病毒是指那些既不对计算机系统造成直接破坏，又没有表现症状，只是疯狂地复制自身的计算机病毒，也就是常说的蠕虫型病毒。蠕虫型计算机病毒比较特殊，它不会攻击其他程序，不附着其他程序，不需要寄主。部分蠕虫病毒能在内存和磁盘上移动，以防被其他程序覆盖。从总体上来说，它的危害程度介于良性计算机病毒与恶性计算机病毒之间。说其危害程度轻，是指有的蠕虫型计算机病毒不做其他的破环，只是在硬盘上疯狂地复制自身，挤占硬盘的大量存储空间，只影响一些文件的存储，但不对文件造成直接破坏；说其危害程度重，是指有的蠕虫型计算机病毒大量复制自身，耗尽了系统资源，使系统不堪重负而崩溃，造成严重的危害。典型的蠕虫有Exporer.Zip.Worm、Melissa、红色代码等。,所以，对于蠕虫型计算机病毒的危害程度，不能一概而论，只能用“中性病毒”这个概念来对其加以界定。4.按攻击对象划分1)攻击DOS的病毒IBM PC及其兼容机在我国使用得非常广泛，它们都可以运行DOS操作系统。在已发现的病毒中，攻击DOS的病毒种类最多、数量最多，且每种病毒都有变种，所以这种病毒传播得非常广泛。小球病毒是国内发现的第一个DOS病毒。,2)攻击Windows的病毒攻击Windows的病毒多种多样，其中的宏病毒变形很多，有感染Word的宏病毒，有感染Excel的宏病毒，还有感染Access的宏病毒，其中感染Word的宏病毒最多。Concept病毒是世界上首例攻击Windows的宏病毒。3)攻击网络的病毒近几年来，因特网在全世界迅速发展，上网已成为计算机使用者的时尚。随着网上用户的增加，网络病毒的传播速度更快，范围更广，病毒造成的危害更大。如GPI病毒是世界上第一个专门攻击计算机网络的病毒。,5.1.4 计算机病毒的特征计算机病毒是一种特殊的程序，所以它除了具有与其他正常程序一样的特性外，还具有与众不同的基本特征。通过对计算机病毒的研究，可以总结出它的几个特征。1.传染性 计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。传染性是病毒的基本属性，是判断一个可疑程序是否是病毒的主要依据。病毒一旦入侵系统，它就会寻找符合传染条件的程序或存储介质，确定目标后将自身代码插入其中，达到自我繁殖的目的。,只要一台计算机感染病毒，如果没有得到及时的控制，那么病毒会很快在这台计算机上扩散，被感染的文件又成了新的传染源，通过与其他计算机进行信息交换，进行更大范围的传染。如果是联网的计算机感染了病毒，那么病毒的传播速度将更快。计算机病毒一般有自己的标志。当染毒程序被运行时，病毒被激活，它监视着计算机系统的运行，一旦发现某个程序没有自己的标志，就立刻发起攻击，传染无毒程序。,2.潜伏性 计算机病毒的潜伏性是指病毒具有依附其他媒体而寄生的能力，也称隐蔽性。病毒程序为了达到不断传播并破坏系统的目的，一般不会在传染某一程序后立即发作，否则就暴露了自身。因此，它通常附着在正常程序或磁盘较隐蔽的地方，也有个别的病毒以隐含文件的方式出现。一般情况下，系统被感染病毒后用户是感觉不到它的存在的，只有病毒发作后或者系统出现什么不正常的反应时，用户才能察觉。病毒的潜伏性与病毒的传染性相辅相成，病毒可以在潜伏阶段传播，潜伏性越大，传播的范围越广。,3.破坏性计算机病毒的破坏性是指病毒破坏文件或数据，甚至损坏主板，干扰系统的正常运行。任何病毒只要入侵系统就会对系统及应用程序产生不同程度的影响。病毒的破坏性只有在病毒发作时才能体现出来。病毒破坏的严重程度取决于病毒制造者的目的和技术水平。轻者只是影响系统的工作效率，占用系统资源，造成系统运行不稳定。重者则可以破坏或删除系统的重要数据和文件，或者加密文件、格式化磁盘，甚至攻击计算机硬件，导致整个系统瘫痪。,4.可触发性 计算机病毒的可触发性是指病毒因某个事件或某个数值的出现，诱发病毒发作。为了不让用户发现，病毒必须隐藏起来，少做动作。但如果完全不动，又失去了作用。因此，病毒为了又隐蔽自己，又保持杀伤力，就必须设置合理的触发条件。每种计算机病毒都有自己预先设计好的触发条件，这些条件可能是时间、日期、文件类型或使用文件的次数这样特定的数据等。满足触发条件的时候，病毒发作，对系统或文件进行感染或破坏。条件不满足的时候，病毒继续潜伏。,5.针对性 计算机病毒的针对性是指病毒的运行需要特定的软、硬件环境，只能在特定的操作系统和硬件平台上运行，并不能传染所有的计算机系统或所有的计算机程序。如一些病毒只传染给计算机中的.com或.exe文件，一些病毒只破坏引导扇区，或者针对某一类型机器，如IBM PC机的病毒就不能传染到Macintosh机上。同样，攻击DOS的病毒也不能在UNIX操作系统下运行等。,6.衍生性 计算机病毒可以演变，在演变过程中形成多种形态，即计算机病毒具有衍生性。计算机病毒是一段特殊的程序或代码，只要了解病毒程序的人就可以将程序随意改动，只要原程序有所变化，也许只是将发作日期，或者是攻击对象发生简单变化，表现出不同的症状，便衍生出另一种不同于原版病毒的新病毒，这种衍生出的病毒被称为病毒的变种。由于病毒的变种，对于病毒的检测来说，病毒变得更加不可预测，加大了反病毒的难度。,5.2 计算机网络病毒,5.2.1 计算机网络病毒的特点随着计算机技术及网络技术的发展，计算机病毒呈现出一些新的特点。(1)入侵计算机网络的病毒形式多样。既有单用户微型机上常见的某些计算机病毒，如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒，也有专门攻击计算机网络的网络型病毒，如特洛伊木马病毒及蠕虫病毒。,(2)不需要寄主。传统型病毒的一个特点就是一定有一个“寄主”程序，病毒就隐藏在这些程序里。最常见的就是一些可执行文件，像扩展名为.exe及.com的文件，以及.doc文件为“寄主”的宏病毒。现在，在网络上不需要寄主的病毒也出现了。例如Java和ActiveX的执行方式，是把程序码写在网页上。当与这个网站连接时，浏览器就把这些程序码读下来。这样，使用者就会在神不知鬼不觉的状态下，执行了一些来路不明的程序。,(3)电子邮件成为新的载体。随着因特网技术的发展，电子邮件已经成为广大用户进行信息交流的重要工具。但是，计算机病毒也得到了迅速的发展，电子邮件作为媒介使计算机病毒传播得尤为迅速，引起各界广泛关注。(4)利用操作系统安全漏洞主动攻击。目前一些网络病毒能够通过网络扫描操作系统漏洞，一旦发现漏洞后自主传播其病毒，甚至能在几个小时就传遍全球。,5.2.2 计算机网络病毒的传播方式计算机应用的普及使信息交换日益频繁，信息共享也成为一种发展趋势，所以病毒入侵计算机系统的途径也成倍增长。通常把病毒入侵途径划分为两大类：传统方式和Internet方式，如图5-2-1所示。,图5-2-1 病毒传播方式,1.传统方式 病毒通过软盘、硬盘、CD-ROM及局域网络感染可以归为病毒入侵的传统方式。在计算机进行文件交换、执行程序或启动过程中，病毒可能入侵计算机。因此，计算机上所有接受信息的方式都使病毒入侵成为可能。2.Internet方式 Internet正在逐步成为病毒入侵的主要途径。病毒可以通过Internet上的电子邮件、网页和文件下载入侵联网计算机。此外还有利用操作系统的漏洞主动入侵联网计算机系统的病毒。如果在互联网中网页只是单纯用HTML写成的话，那么要传播病毒的机会可以说是非常小的。,但是，为了让网页看起来更生动、更丰富，许多语言被开发出来，其中最有名的就数Java和ActiveX了。Java和ActiveX的执行方式，是把程序码写在网页上，使该网页成为新一代病毒的寄生场所。另外，被宏病毒感染的文档可以很容易地通过Internet以几种不同的方式发送，如电子邮件、FTP或Web浏览器。同样，在打开莫名其妙的邮件或者下载一些有毒程序的时候，计算机已经通过互联网中毒了。,5.2.3 计算机网络病毒的危害性在现阶段，由于计算机网络系统的各个组成部分、接口以及各连接层次的相互转换环节都不同程度的存在着某些漏洞和薄弱环节，而网络软件方面的保护机制不完善，使得病毒通过感染网络服务器，进而在网络上快速蔓延，并影响到各网络用户的数据安全以及机器的正常运行。一些良性病毒不直接破坏正常代码，只是为了表示它存在，可能会干扰屏幕的显示，或使计算机的运行速度减慢。一些恶性病毒会明确地破坏计算机的系统资源和用户信息，造成无法弥补的损失。所以计算机网络一旦染上病毒，其影响要远比单机染毒更大，破坏性也更大。,归纳起来，计算机网络病毒的危害大致会表现在如下几个方面：(1)破坏磁盘文件分配表(FAT表)，使磁盘上的信息丢失，这时使用DIR命令查看文件，会发现文件还在，但文件名与文件的主体已失去联系，文件已无法使用了。(2)删除软盘或硬盘上的可执行文件或数据文件，使文件丢失。(3)修改或破坏文件中的数据，这时文件的格式是正常的，但内容已发生了变化。,(4)产生垃圾文件，占据磁盘及内存空间，使磁盘空间逐渐减少或者使一些大程序运行不畅。(5)破坏硬盘的主引导扇区，使计算机无法启动。(6)对整个磁盘或磁盘的特定扇区进行格式化，使磁盘中的全部或部分信息丢失使受损的数据难以恢复。(7)对CMOS进行写入操作，破坏CMOS中的数据，使计算机无法工作。(8)非法使用及破坏网络中的资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。,(9)占用CPU运行时间，使主机运行效率降低。(10)破坏外设的正常工作。如屏幕不能正常显示，干扰用户的操作；破坏键盘输入程序，封锁键盘、换字和震铃等，使用户的正常输入出现错误；干扰打印机，使之出现间歇性打印或假报警。(11)破坏系统设置或对系统信息加密，使用户系统工作紊乱。,5.2.4 计算机网络病毒实例尼姆达(Nimda)病毒是一种危害较为严重的网络蠕虫病毒。它于2001年9月18日上午开始传播，目前全球计算机面临着该病毒带来的严重威胁。尼姆达病毒也称为“中国一号”(I-worm/China-1#)网络蠕虫病毒，这与病毒体内的标记“R.P.ChinaVersion l.0”有关。有关专家指出，这是迄今为止危害极为严重的病毒之一。,1.尼姆达病毒的侵害原理尼姆达(也称W32.Nimda.A.mm和readme.exe)是一种新型的、复杂的、发送大量邮件的蠕虫病毒，它通过E-mail、共享网络资源以及IIS服务器进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封“来历不明”的电子邮件，就会发现随信有一个名为readme.exe(即可执行自述文件)的附件，如果该附件被打开，尼姆达就顺利地完成了侵袭电脑的第一步。接下来，该病毒不断搜索局域网内共享的网络资源，将病毒文件复制到用户计算机中，并随机选择各种文件作为附件，再按照用户储存在计算机里的邮件地址发送病毒，以此完成病毒传播的一个循环过程。,在有些情况下，只要用户打开电子邮件，即使不碰附件，用户计算机也会感染上“尼姆达”。该病毒不但感染运行Windows 95/98/Me/2000操作系统的计算机，而且还能感染运行Windows 2000和Windows NT操作系统的服务器。2 尼姆达病毒的传播途径尼姆达病毒的传播途径主要有四种方式。(1)感染文件。尼姆达病毒定位于本机系统中的.exe文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些文件的时候，病毒进行传播。,(2)发送邮件。尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给这些地址，这些邮件包含一个名为readme.exe的附件，在某些系统(Windows NT及Windows 9x未安装相应补丁)中该readme.exe能够自动执行，从而感染整个系统。(3)网页漏洞传播。尼姆达病毒可以通过电子邮件发送自己，搜寻开放的网络共享，并试图把自己复制到没有经过升级的微软IIS Web服务器上。这个蠕虫病毒使用Unicode Web Traversal进行传播。如果成功，蠕虫将会随机修改该站点的Web页，当用户浏览该站点时便被感染。,(4)局域网传播。尼姆达病毒还会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个名为RICHED20.dll的隐藏文件到每一个包含.doc和.eml文件的目录中，当用户通过Word、写字板、Outlook打开.doc或.eml文档时，这些应用程序将执行RICHED20.dll文件，从而使机器被感染。同时该病毒还可以感染远程服务器上被启动的文件。3.尼姆达病毒的危害(1)发送大量邮件。尼姆达病毒使用MAPI把自己作为“readme.exe”发送出去(在收到的邮件中“readme.exe”作为附件不可见)，再搜索网络共享资源，并试图将带毒邮件放入别人的共享目录中。,(2)修改文件。尼姆达病毒可以覆盖多个合法文件，这些文件在被调用时病毒将被激活。(3)降低系统性能。由于尼姆达病毒自我复制的速度非常快，传播的范围非常广，病毒制造的大量的垃圾数据会阻塞网络，导致网络系统速度变慢。(4)危害安全设置。如果服务器曾经遭遇红色代码病毒的侵害，尼姆达病毒就能利用那个后门把自己复制到那台服务器上，文件名是admin.dll。该病毒可在被感染的服务器上建立拥有管理权限的guest账号，使系统C盘变成共享的网络硬盘，并为HTM、HTML、ASP添加脚本。尼姆达病毒也有很多变种，如Nimda.E，还有后来的“本拉登”病毒，都是尼姆达病毒的变种。,4.尼姆达病毒的清除与预防针对Windows 2000 Professional/server/Advanced server/Windows NT4 Server操作系统，清除尼姆达病毒的基本步骤如下：(1)首先安装IIS补丁，以及IE相应的最新补丁(防止浏览带毒网页时中毒)。针对Windows 98用户，只需安装相应的IE补丁程序。下载IIS补丁的网址为：IIS4.0的网址是 ReleaselD=23667,IIS 5.0的网址是ReleaselD=23665对于IE补丁程序可由上述网址下载。由Microsoft安全公告(Security Bulletin)MS01-020提供的补丁程序有Internet Explorer 5.01 Service Pack 2、Internet Explorer 5.5 Service Pack 2、Internet Explorer 6。(2)进行隔离。断开所有网线，将服务器隔离。(3)打开进程管理器，查看进程列表。终止运行“*.tmp.exe”以及“load.exe”的进程。(4)切换到系统的TEMP目录，寻找文件长度为57 344的文件，删掉它们。,(5)寻找系统的system目录下的名称为Riched20.dll的文件，如果此文件的长度是57 344字节，那么删除它。查找系统的system目录下的名称为load.exe，大小为57 344字节的文件并删除。在C:、D:、E:三个根目录下寻找Admin.dll并删除。(6)打开System.ini文件，在load中如果有一行“shell=explorer.exeload.exe-dontrunold”，则改为“shell=explorer.exe”。(7)解决病毒留下的后门程序。将IIS服务的Scripts目录中TFTP*.exe和root.exe文件全部删除，以解决病毒留下的后门程序。,(8)去掉共享。当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C、D等，应该将其共享属性去掉。(9)查看管理权限。查看一下Administrators组中是否加进了guest用户，如果是，请将guest用户从Administrators组中删除。(10)查杀病毒。使用杀毒软件和专用清除软件进行查杀，彻底清除尼姆达病毒，恢复网络连接。,杀毒后，Word等字处理软件可能会运行不正常。此时可以从安装盘里找到相应的文件重新拷贝回来，即可恢复Word等软件的正常使用。拷贝文件方法为：如果是Windows 98系统，解开压缩包Win 98_35.cab，找到Riched20.dll文件并将其拷贝到system目录；如果是Windows 98第二版，则该文件在压缩包Win 98_41.cab中；如果是Windows 2000系统，则该文件在System32dllcache目录中有备份。将它拷贝到system 32目录。或者也可以从其他未感染过病毒的机器拷贝这些文件。,5.3 反病毒技术,5.3.1 计算机病毒的检测 当一台计算机染上病毒之后，会有一些异常情况。可以从异常情况入手，逐步排除。例如，磁盘空间急剧减少，出现大量坏簇，或者磁盘上的文件或程序无故丢失，也有的会出现文件的长度和日期忽然改变，系统执行速度下降或出现一些奇怪的信息或无故死机，或更为严重的是硬盘已经被格式化了等等。如果计算机出现了上述种种症状，就要考虑是不是计算机被病毒感染了。,检测计算机上是否被病毒感染，通常可以分两种方法：手工检测和自动检测。手工检测是指通过一些工具软件，如D、Pctools.exe、N和Sysinfo.exe等进行病毒的检测。其基本过程是利用这些工具软件，对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测，通过与正常情况下的状态进行对比来判断是否被病毒感染。这种方法要求检测者熟悉机器指令和操作系统，操作比较复杂，容易出错，且效率较低，适合计算机专业人员，因而无法普及。但是，使用该方法可以检测和识别未知的病毒，以及检测一些自动检测工具不能识别的新病毒。,自动检测是指通过一些诊断软件和杀毒软件，来判断一个系统或磁盘是否有毒，如使用瑞星、金山毒霸等。该方法可以方便地检测大量病毒，且操作简单，一般用户都可以进行。但是，自动检测工具只能识别已知的病毒，而且它的发展总是滞后于病毒的发展，所以自动检测工具总是对相对数量的病毒不能识别。对病毒进行检测可以采用手工方法和自动方法相结合的方式。一般归纳起来常用以下六种技术来检测病毒。,1.病毒码扫描法病毒码是一段足以表示这个病毒的独一无二的二进制程序码，此码可以作为辨认此病毒的依据，因此，病毒码的选取是非常重要的。病毒码扫描法是将新发现的病毒加以分析后，根据其特征，编成病毒码，加入资料库中的方法。病毒码一般情况下是由连续的若干个字节组成的串。字符串的类型有两种：一种是固定长度，一种是可变长度。有些扫描软件采用的是固定长度串，这种方法扫描速度快，扫描程序容易编写。,有些扫描软件采用的是可变长串，即在串中包含有一个到几个可以“模糊”识别的字节。扫描软件遇到这种字符串时，只要除“模糊”字节之外的字串都能完全匹配，这也能判别出病毒。例如，一种病毒给定特征字符串是“C4 8B 11 10?46 9A”，则“C4 8B 11 10 37 46 9A”和“C4 8B 11 10 32 46 9A”都能被识别出来。采用这种方法，对于有微小变化的变种病毒的识别率就提高了，降低了误报率。病毒码扫描软件由两部分组成：一部分是病毒码库，另一部分是利用该代码库进行扫描的扫描程序。病毒扫描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒的种类有多少。显而易见，病毒代码库中病毒种类越多，扫描程序能识别的病毒越多。,每当执行扫毒程序时，便能立刻扫描目标文件，并与病毒码对比，即能侦测到是否有病毒，同时还能判断是什么病毒。病毒码扫描法又快又有效率，误报警率很低，对病毒了解不多的人也可以用它来查毒。大多数防毒软件均采用这种方式，但其缺点是无法侦测到未知的新病毒及已变种的病毒，另外对病毒代码库的维护是一项艰巨而复杂的工作，需要具备许多专业知识的反病毒人员来完成。尽管如此，病毒码扫描法仍然是今天用得最为广泛的查毒方法。,2.对比法对比法是将原始备份的正常无毒对象与被检测的可疑对象进行比较，如果相比较后发现内容不一致，就可以认为有病毒存在。该方法思想比较简单，实现起来较为容易。对比法可以针对文件的长度或内容进行比较，但是只比较文件的长度和内容有时候会出现误报，有时候一些操作会引起文件长度和内容的合法变化。也有一些病毒在感染文件时并不能引起文件长度的改变。为了降低误报率，又提出加总对比法。这种方法根据每个程序的文件名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面或是将所有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否遭到更改，以判断是否中毒。,对比法也可以从内存空间的占用情况、中断向量的使用情况等方面进行对比。通过对内存的检测，观察其空间变化。计算机病毒在传染或执行时，必然要占用一定的内存空间，并驻留在内存中，等待时机再进行传染或攻击。所以可以将系统表现不正常时候的内存占用情况与正常系统内存的占用空间进行比较，可以判定是否有病毒驻留其间。另外，病毒常采用更改、接管中断向量，让系统中断向量转向执行病毒程序后，再执行其原来的功能。因此，将正常系统的中断向量与感染病毒的系统的中断向量进行比较，就可以发现是否有病毒修改和盗用中断向量。进行比较时可以用专门的查病毒程序检测，或者使用常规的DOS命令和PCTOOLS等工具也可以进行。,这种对比技术可侦测到各式的病毒，并发现那些尚不能被现有的查病毒程序发现的新病毒。但最大的缺点就是误判较高，且无法确认是哪种病毒感染的。3.行为监测法 行为监测法是一种监测电脑行为的常驻式扫描技术。通过对病毒的深入分析和总结，发现病毒的一些共同行为。比如计算机病毒常常攻击硬盘的主引导扇区、分区表以及文件分配表和文件目录区。也有一些病毒常常在FAT表上标注坏簇来隐藏自己，还有一种常用的方法就是修改中断向量，病毒常攻击的中断有磁盘输入/输出中断(13H)、绝对读中断(25H)、绝对写中断(26H)以及时钟中断(08H)等。这些行为具有特殊性，一般不会在正常程序中出现，或者很少出现。,行为监测法就是将所有病毒所产生的行为归纳起来，生成病毒特征系统。一旦发现执行中的程序有可疑之处，系统就会根据病毒特征系统进行判断，并具有告警提示作用。这种技术的优点是执行速度快、手续简便，且可以侦测到各式病毒，包括未知病毒。其缺点就是行为监测法实现起来比较难，且不容易考虑周全。随着病毒编制水平的提高，对病毒特征库的维护工作量也越来越大了。不过在这千变万化的病毒世界中，行为监测技术的不断完善是反病毒技术研究的一个方向。,4.软件模拟法 软件模拟实验技术专门用来对付多态性的病毒。有些病毒在每次传染时，都以不同的随机乱数加密于每个中毒的文件中，使每个中毒文件的表现都有所差异，病毒码也同时发生变化。因为没有固定的病毒码，传统病毒码对比的方式根本就无法找到这种病毒。软件模拟实验技术则是在其设计的虚拟机器(Virtual Machine)上模拟CPU的执行过程，让CPU假执行病毒的变体引擎解码程序，安全并确实地将多态性病毒解开，使其显露原本的面目。,利用模拟实验法可以及时地发现新病毒，监测病毒的运行，待病毒自身的密码破译后，提取特征串或特征字作为此病毒的病毒码，从而掌握新病毒的类型和大致结构，为制定相应的反病毒措施提供条件。以后再发现这种病毒，就可以用病毒码扫描法识别这种病毒。5.实时I/O扫描实时I/O扫描的目的在于即时地对计算机上的输入/输出数据做病毒码比对的工作，希望能够在病毒尚未被执行之前，就能够防堵下来，即将病毒防御于门外。理论上，这样的实时扫描技术会影响到数据的输入/输出速度。但是使用实时扫描技术，文件输入进来之后，就等于扫过一次毒了。如果扫描速度能够提高很多的话，这种方法确实能对数据起到一个很好的保护作用。,6.网络监测法网络监测法是一种检查、发现网络病毒的方法。根据网络病毒主要通过网络传播的特点，感染网络病毒的计算机一般会发送大量的数据包，产生突发的网络流量，有的还开放固定的TCP/IP端口。用户可以通过流量监视、端口扫描和网络监听来发现病毒，这种方法对查找局域网内感染网络病毒的计算机比较有效。一般在检测病毒的时候，通常是几种方法相结合，以达到更好的查毒的目的。,5.3.2 计算机病毒的防范 病毒的繁衍方式、传播方式不断地变化，反病毒技术也应该在与病毒对抗的同时不断推陈出新。现在，防治感染病毒主要有两种手段：一是用户遵守和加强安全操作控制措施，在思想上要重视病毒可能造成的危害；二是在安全操作的基础上，使用硬件和软件防病毒工具，利用网络的优势，把防病毒纳入到网络安全体系之中。形成一套完整的安全机制，使病毒无法逾越计算机安全保护的屏障，病毒便无法广泛传播。实践证明，通过这些防护措施和手段，可以有效地降低计算机系统被病毒感染的几率，保障系统的安全稳定运行。,对病毒的预防在病毒防治工作中起到主导作用。病毒预防是一个主动的过程，不是针对某一种病毒，而是针对病毒可能入侵的系统薄弱环节加以保护和监控。而病毒治疗属于一个被动的过程。只有在发现一种病毒进行研究以后，才可以找到相应的治疗方法，这也是杀毒软件总是落后于病毒软件的原因。所以，病毒的防治重点应放在预防上。防治计算机病毒要从以下几个方面着手。,1.在思想和制度方面1)加强立法、健全管理制度法律是国家强制实施的、公民必须遵循的行为准则。对信息资源要有相应的立法。为此，国家专门出台了中华人民共和国计算机信息系统安全保护条例、中华人民共和国信息网络国际联网管理暂行规定来约束用户的行为，保护守法的计算机用户的合法权益。除国家制定的法律、法规外，凡使用计算机的单位都应制定相应的管理制度，避免蓄意制造、传播病毒的恶性事件发生。例如，建立安全管理责任，根据最小特权原则，对系统的工作人员和资源进行访问权限划分；建立人员许可证制度，对外来人员上机实行登记制度等。,2)加强教育和宣传，打击盗版加强计算机安全教育，使计算机的使用者能学习和掌握一些必备的反病毒知识和防范措施，使网络资源得到正常合理的使用，防止信息系统及其软件的破坏，防止非法用户的入侵干扰，防止有害信息的传播。现在盗版软件泛滥，这也是造成病毒泛滥的原因之一。因此，加大执法力度，打击非法的盗版活动，使用正版软件是截断病毒扩散的重要手段。,2.在技术措施方面 除管理方面的措施外，防止计算机病毒的感染和蔓延还应采取有效的技术措施。应采用纵深防御的方法，采用多种阻塞渠道和多种安全机制对病毒进行隔离，这是保护计算机系统免遭病毒危害的有效方法。内部控制和外部控制相结合，设置相应的安全策略。常用的方法有系统安全、软件过滤、文件加密、生产过程控制、后备恢复和安装防病毒软件等措施。,1)系统安全 对病毒的预防依赖于计算机系统本身的安全，而系统的安全又首先依赖于操作系统的安全。开发并完善高安全的操作系统并向之迁移，例如，从DOS平台移至安全性较高的UNIX或Windows 2000平台，并且跟随版本和操作系统补丁的升级而全面升级，是有效防止病毒的入侵和蔓延的一种根本手段。2)软件过滤 软件过滤的目的是识别某一类特殊的病毒，防止它们进入系统和不断复制。对于进入系统内的病毒，一般采用专家系统对系统参数进行分析，以识别系统的不正常处和未经授权的改变。也可采用类似疫苗的方法识别和清除。,3)软件加密 软件加密是对付病毒的有效的技术措施，由于开销较大，目前只用于特别重要的系统。软件加密就是将系统中可执行文件加密。若施放病毒者不能在可执行文件加密前得到该文件，或不能破译加密算法，则该文件不可能被感染。即使病毒在可执行文件加密前传染了该文件，该文件解码后，病毒也不能向其他可执行文件传播，从而杜绝了病毒的复制。4)备份恢复 定期或不定期地进行磁盘文件备份，确保每一个细节的准确、可靠，在万一系统崩溃时最大限度地恢复系统。对付病毒破坏最有效的办法就是制作备份。将程序和数据分别备份在不同的磁盘上，当系统遭遇病毒袭击时，可通过与后备副本比较或重新装入一个备份的、干净的源程序来解决。,5)建立严密的病毒监视体