[[439738]]

計(jì)算機(jī)病毒與計(jì)算機(jī)相伴生的東西，它對(duì)計(jì)算機(jī)的安全構(gòu)成一定的威脅，一旦病毒計(jì)算機(jī)遭到病毒入侵，輕則導(dǎo)致信息丟失，重則導(dǎo)致電腦癱瘓。因此，抵御病毒入侵顯得十分重要。

想要抵御病毒，你得先了解它們，知道它們長(zhǎng)什么樣子，是如何侵入計(jì)算機(jī)的才能很好的抵御它們。

文章很長(zhǎng)建議收藏，讀完這篇文章，給你的計(jì)算機(jī)一個(gè)安全的環(huán)境。

計(jì)算機(jī)病毒的特點(diǎn)

傳染性

這是病毒的基本特征。計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。是否具有感染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的重要條件。

隱蔽性

病毒通常附在正常程序中或磁盤(pán)較隱蔽的地方，也有的以隱含文件形式出現(xiàn)。如果不經(jīng)過(guò)代碼分析，病毒程序與正常程序是不容易區(qū)分開(kāi)來(lái)的。計(jì)算機(jī)病毒的源程序可以是一個(gè)獨(dú)立的程序體，源程序經(jīng)過(guò)擴(kuò)散生成的再生病毒一般采用附加和插入的方式隱藏在可執(zhí)行程序和數(shù)據(jù)文件中，采取分散和多處隱藏的方式，當(dāng)有病毒程序潛伏的程序被合法調(diào)用時(shí)，病毒程序也合法進(jìn)入，并可將分散的程序部分在所非法占用的存儲(chǔ)空間進(jìn)行重新分配，構(gòu)成一個(gè)完整的病毒體投入運(yùn)行。

潛伏性

大部分病毒感染系統(tǒng)后，會(huì)長(zhǎng)期隱藏在系統(tǒng)中，悄悄的繁殖和擴(kuò)散而不被發(fā)覺(jué)，只有在滿(mǎn)足其特定條件的時(shí)候才啟動(dòng)其表現(xiàn)(破壞)模塊。

破壞性

任何病毒只要入侵系統(tǒng)，就會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕則會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重則可導(dǎo)致系統(tǒng)崩潰，根據(jù)病毒的這一特性可將病毒分為良性病毒和惡性病毒。良性病毒可能只顯示些畫(huà)面或無(wú)關(guān)緊要的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。惡性病毒具有明確的目的，或破壞數(shù)據(jù)、刪除文件，或加密磁盤(pán)、格式化磁盤(pán)，甚至造成不可挽回的損失。

不可預(yù)見(jiàn)性

從病毒的監(jiān)測(cè)方面看，病毒還有不可預(yù)見(jiàn)性。計(jì)算機(jī)病毒常常被人們修改,致使許多病毒都生出不少變種、變體，而且病毒的制作技術(shù)也在不斷地深入性提高,病毒對(duì)反病毒軟件常常都是超前的,無(wú)法預(yù)測(cè)。

觸發(fā)性

病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行進(jìn)攻的特性稱(chēng)為可觸發(fā)性。病毒既要隱蔽又要維持攻擊力，就必須有可觸發(fā)性。

病毒的觸發(fā)機(jī)制用于控制感染和破壞動(dòng)作的頻率。計(jì)算機(jī)病毒一般都有一個(gè)觸發(fā)條件，它可以按照設(shè)計(jì)者的要求在某個(gè)點(diǎn)上激活并對(duì)系統(tǒng)發(fā)起攻擊。

針對(duì)性

有一定的環(huán)境要求，并不一定對(duì)任何系統(tǒng)都能感染。

寄生性

計(jì)算機(jī)病毒程序嵌入到宿主程序中，依賴(lài)于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在浸入到宿主程序后，一般會(huì)對(duì)宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而進(jìn)行自我復(fù)制。

通常認(rèn)為，計(jì)算機(jī)病毒的主要特點(diǎn)是傳染性、隱蔽性、潛伏性、寄生性、破壞性。

病毒介紹

計(jì)算機(jī)病毒是人為制造的，有破壞性，又有傳染性和潛伏性的，對(duì)計(jì)算機(jī)信息或系統(tǒng)起破壞作用的程序。它不是獨(dú)立存在的，而是隱蔽在其他可執(zhí)行的程序之中。計(jì)算機(jī)中病毒后，輕則影響機(jī)器運(yùn)行速度，重則死機(jī)系統(tǒng)破壞;因此，病毒給用戶(hù)帶來(lái)很大的損失，通常情況下，我們稱(chēng)這種具有破壞作用的程序?yàn)橛?jì)算機(jī)病毒。

計(jì)算機(jī)病毒結(jié)構(gòu)

一般由引導(dǎo)模塊、傳染模塊、表現(xiàn)模塊三部分組成。

引導(dǎo)模塊	引導(dǎo)代碼
傳染模塊	傳染條件判斷
	傳染代碼
表現(xiàn)模塊	表現(xiàn)及破壞條件判斷
	破壞代碼

病毒分類(lèi)(按照宿主分類(lèi))

(1)引導(dǎo)型病毒

引導(dǎo)區(qū)型病毒侵染軟(硬、優(yōu))盤(pán)中的“主引導(dǎo)記錄”

(Master Boot Record，0柱面0磁頭1扇區(qū))

解釋?zhuān)阂龑?dǎo)型病毒是放在引導(dǎo)型扇區(qū)里面，在計(jì)算機(jī)中都有個(gè)0柱面0磁頭1扇區(qū)特殊的記錄，是計(jì)算機(jī)開(kāi)機(jī)的重要文件，病毒把Master Boot Record代碼修改之后，在計(jì)算機(jī)開(kāi)機(jī)的時(shí)候可能就會(huì)先激活病毒。

(2)文件型病毒

通常它感染各種可執(zhí)行文件、有可解釋執(zhí)行腳本的文件、可包含宏代碼的文件。每一次它們激活時(shí)，感染文件把病毒代碼自身復(fù)制到其他文件中。

(3)混合型病毒

混合型病毒通過(guò)技術(shù)手段把引導(dǎo)型病毒和文件型病毒組合成一體，使之具有引導(dǎo)型病毒和文件型病毒兩種特征，以?xún)烧呦嗷ゴ龠M(jìn)的方式進(jìn)行傳染。這種病毒既可以傳染引導(dǎo)區(qū)又可以傳染可執(zhí)行文件，增加了病毒的傳染性以及生存率，使其傳播范圍更廣，更難于清除干凈。

經(jīng)典實(shí)例

宏病毒

1.病毒是一種使用宏編輯語(yǔ)言編寫(xiě)的病毒，主要寄生于Word文檔或模板的宏中。一旦打開(kāi)這樣的文檔，宏病毒就會(huì)被激活，進(jìn)入計(jì)算機(jī)內(nèi)存并駐留在Normal模板上，從而感染所有自動(dòng)保存的文檔。如果網(wǎng)絡(luò)上其他用戶(hù)打開(kāi)感染病毒的文檔，宏病毒就會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。

宏病毒通常使用VB腳本，影響微軟的Office組建或類(lèi)似的應(yīng)用軟件，大多通過(guò)郵件傳播。

在我們計(jì)算機(jī)的Word文檔中就可以找到宏，

2.宏病毒的工作原理：

3.宏病毒的特點(diǎn)：

(1)感染數(shù)據(jù)文件。一般病毒只感染程序，而宏病毒專(zhuān)門(mén)感染數(shù)據(jù)文件。

(2)多平臺(tái)交叉感染。當(dāng)Word、Excel這類(lèi)軟件在不同平臺(tái)(如Windows、OS/2和MacinTosh)上運(yùn)行時(shí)，會(huì)被宏病毒交叉感染。

(3)容易編寫(xiě)。宏病毒以源代碼形式出現(xiàn)，所以編寫(xiě)和修改宏病毒就更容易了。這也是宏病毒的數(shù)量居高不下的原因。

(4)容易傳播。只要打開(kāi)帶有宏病毒的電子郵件，計(jì)算機(jī)就會(huì)被宏病毒感染。此后，打開(kāi)或新建文件都會(huì)感染宏病毒。

4.宏病毒的預(yù)防

防治宏病毒的根本在于限制宏的執(zhí)行。

(1)禁止所有宏的執(zhí)行。在打開(kāi)Word文檔時(shí)，按住Shift鍵，即可禁止自動(dòng)宏，從而達(dá)到防治宏病毒的目的。

(2)檢查是否存在可疑的宏。若發(fā)現(xiàn)有一些奇怪名字的宏，肯定就是病毒無(wú)疑了，將它立即刪除即可。即便刪錯(cuò)了也不會(huì)對(duì)Word文檔內(nèi)容產(chǎn)生任何影響。具體做法是，選擇【工具】【| 宏】命令，打開(kāi)【宏】對(duì)話(huà)框，選擇要?jiǎng)h除的宏，單擊【刪除】按鈕即可。

(3)按照自己的習(xí)慣設(shè)置。重新安裝Word后，建立一個(gè)新文檔，將Word的工作環(huán)境按照自己的使用習(xí)慣進(jìn)行設(shè)置，并將需要使用的宏一次編制好，做完后保存新文檔。這時(shí)候的Normal.dot模板絕對(duì)沒(méi)有宏病毒，可將其備份起來(lái)。在遇到宏病毒時(shí)，用備份的Normal.dot模板覆蓋當(dāng)前的模板，可以消除宏病毒。

(4)使用Windows自帶的寫(xiě)字板。在使用可能有宏病毒的Word文檔時(shí)，先用Windows自帶的寫(xiě)字板打開(kāi)文檔，將其轉(zhuǎn)換為寫(xiě)字板格式的文件保存后，再用Word調(diào)用。因?yàn)閷?xiě)字板不調(diào)用、不保存宏，文檔經(jīng)過(guò)這樣的轉(zhuǎn)換，所有附帶的宏(包括宏病毒)都將丟失。

(5)提示保存Normal模板。選擇【工具】【| 選項(xiàng)】命令，在【選項(xiàng)】對(duì)話(huà)框中打開(kāi)【保存】選項(xiàng)卡，選中【提示保存Normal模板】復(fù)選框。一旦宏病毒感染了Word文檔，退出Word時(shí)，Word就會(huì)出現(xiàn)“更改的內(nèi)容會(huì)影響到公用模板Normal，是否保存這些修改內(nèi)容?”的提示信息，此時(shí)應(yīng)選擇“否”，退出后進(jìn)行殺毒。

(6)使用.rtf和.csv格式代替.doc和.xls。因?yàn)?rtf和.csv格式不支持宏功能，所以交換文件時(shí)候，用.rtf格式的文檔代替.doc格式，用.csv格式的電子表格代替.xls格式。這樣就可以避免宏病毒的傳播。

5.宏病毒的清除

(1)手工清除。選取【工具】【| 宏】命令，打開(kāi)【宏】對(duì)話(huà)框，單擊【管理器】命令按鈕，打開(kāi)【管理器】對(duì)話(huà)框，選擇【宏方案項(xiàng)】選項(xiàng)卡，在【宏方案項(xiàng)的有效范圍】下拉列表中選擇要檢查的文檔，將來(lái)源不明的宏刪除。退出Word，然后到C盤(pán)根目錄下查看有沒(méi)有Autoexec.dot文件，如果有這個(gè)文件就刪除，再找到Normal.dot文件，刪除它。Word會(huì)自動(dòng)重新生成一個(gè)干凈的Normal.dot文件。到目錄 C:\Program Files\Microsoft Office\Office\Startup 下查看有沒(méi)有模板文件，如果有而且不是用戶(hù)自己建立的，則刪除它。重啟Word，這時(shí)Word已經(jīng)恢復(fù)正常了。

(2)使用專(zhuān)業(yè)殺毒軟件。目前的專(zhuān)業(yè)殺毒軟件都具有清除宏病毒的能力。但是如果是新出現(xiàn)的病毒或者是病毒的變種則可能不能正常清除，此時(shí)需要手工清理.

蠕蟲(chóng)

1.定義：

蠕蟲(chóng)(Worm)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。

2. 蠕蟲(chóng)病毒的基本結(jié)構(gòu)和傳播過(guò)程

蠕蟲(chóng)的基本程序結(jié)構(gòu)包括以下三個(gè)模塊

(1)傳播模塊：負(fù)責(zé)蠕蟲(chóng)的傳播，傳播模塊又可分為三個(gè)基本模塊，即掃描模塊、攻擊模塊和復(fù)制模塊。

(2)隱藏模塊：浸入主機(jī)后，隱藏蠕蟲(chóng)程序，防止被用戶(hù)發(fā)現(xiàn)。

(3)目的功能模塊：實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。

蠕蟲(chóng)程序的一般傳播過(guò)程為：

(1)掃描：由蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。

(2)攻擊：攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象，取得該主機(jī)的權(quán)限(一般為管理員權(quán)限)，獲得一個(gè)shell。

(3)復(fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)。

由此可見(jiàn)，傳播模塊實(shí)現(xiàn)的實(shí)際上是自動(dòng)入侵的功能，所以蠕蟲(chóng)的傳播技術(shù)是蠕蟲(chóng)技術(shù)的核心。

3.蠕蟲(chóng)病毒實(shí)例——熊貓燒香

熊貓燒香是一個(gè)感染型的蠕蟲(chóng)病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能結(jié)束大量的反病毒軟件進(jìn)程。

熊貓燒香是一種蠕蟲(chóng)病毒的變種，經(jīng)過(guò)多次變種而來(lái)，由于中毒電腦的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案，所以也被稱(chēng)為 “熊貓燒香”病毒。但原病毒只會(huì)對(duì)exe文件的圖標(biāo)進(jìn)行替換，并不會(huì)對(duì)系統(tǒng)本身進(jìn)行破壞。而大多數(shù)是中等病毒變種，用戶(hù)電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象。

同時(shí)，該病毒的某些變種可以通過(guò)局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無(wú)法正常使用，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能終止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的備份文件。被感染的用戶(hù)系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

木馬

1.定義：

木馬全稱(chēng)為特洛伊木馬(Trojan Horse,英文則簡(jiǎn)稱(chēng)Trojan)，在計(jì)算機(jī)安全學(xué)中，特洛伊木馬是指一種計(jì)算機(jī)程序，表面上或?qū)嶋H上有某種有用的功能，同時(shí)又含有隱藏的可以控制用戶(hù)計(jì)算機(jī)系統(tǒng)、危害系統(tǒng)安全的功能，可能造成用戶(hù)資料的泄漏、破壞或整個(gè)系統(tǒng)的崩潰。在一定程度上，木馬也可以稱(chēng)為計(jì)算機(jī)病毒。

2.木馬病毒工作原理

一個(gè)完整的特洛伊木馬套裝程序含了兩部分：服務(wù)端(服務(wù)器部分)和客戶(hù)端(控制器部分)。植入對(duì)方電腦的是服務(wù)端，而黑客正是利用客戶(hù)端進(jìn)入運(yùn)行了服務(wù)端的電腦。運(yùn)行了木馬程序的服務(wù)端以后，會(huì)產(chǎn)生一個(gè)有著容易迷惑用戶(hù)的名稱(chēng)的進(jìn)程，暗中打開(kāi)端口，向指定地點(diǎn)發(fā)送數(shù)據(jù)(如網(wǎng)絡(luò)游戲的密碼，即時(shí)通信軟件密碼和用戶(hù)上網(wǎng)密碼等)，黑客甚至可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)。

3.木馬病毒的檢測(cè)

查看system.ini、win.ini、啟動(dòng)組中的啟動(dòng)項(xiàng)目。在【開(kāi)始】【| 運(yùn)行】命令，輸入msconfig，運(yùn)行Windows自帶的“系統(tǒng)配置實(shí)用程序”。選中system.ini標(biāo)簽，展開(kāi)【boot】目錄，查看“shell=”這行，正常“shell=Explorer.exe”，如果不是，就有可能中了木馬病毒。選中win.ini標(biāo)簽，展開(kāi)【windows】目錄項(xiàng)，查看“run=”和“load=”行，等號(hào)后面應(yīng)該為空。再看看有沒(méi)有非正常啟動(dòng)項(xiàng)目，要是有類(lèi)似netbus、netspy、bo等關(guān)鍵詞，就極有可能是中了木馬。

其他的一些方法，例如在正常操作計(jì)算機(jī)時(shí)，發(fā)現(xiàn)計(jì)算機(jī)的處理速度明顯變慢、硬盤(pán)不停讀寫(xiě)、鼠標(biāo)不聽(tīng)使喚、鍵盤(pán)無(wú)效、一些窗口自動(dòng)關(guān)閉或打開(kāi)……這一切都表明可能是木馬客戶(hù)端在遠(yuǎn)程控制計(jì)算機(jī)。

4.木馬病毒實(shí)例

Internet上每天都有新的木馬出現(xiàn)，所采取的隱蔽措施也是五花八門(mén)。下面介紹幾種常見(jiàn)的木馬病毒的清除方法。

預(yù)防病毒

病毒預(yù)防

1.對(duì)病毒的預(yù)防在病毒防治工作中起主導(dǎo)作用，是病毒防治的重點(diǎn)，主要針對(duì)病毒可能入侵的系統(tǒng)薄弱環(huán)節(jié)加以保護(hù)和監(jiān)控。預(yù)防計(jì)算機(jī)病毒要從以下幾個(gè)方面著手。

(1)檢查外來(lái)文件。對(duì)于網(wǎng)絡(luò)上下載的或者外部存儲(chǔ)器中的程序和文檔，在執(zhí)行或打開(kāi)文檔之前，一定要檢查是否有病毒。

(2)局域網(wǎng)預(yù)防。盡可能選擇無(wú)盤(pán)工作站。限制用戶(hù)對(duì)服務(wù)器上可執(zhí)行文件的操作。使用抗病毒軟件動(dòng)態(tài)檢查使用中的文件。

(3)使用確認(rèn)和數(shù)據(jù)完整性工具。

(4)周期性備份工作文件。

2.網(wǎng)絡(luò)病毒的防治相對(duì)單機(jī)病毒的防治具有更大的難度。目前，網(wǎng)絡(luò)大都采用Client/Server(客戶(hù)機(jī)/服務(wù)器)的工作模式。防治網(wǎng)絡(luò)病毒需要從服務(wù)器和工作站兩個(gè)主要方面并結(jié)合網(wǎng)絡(luò)管理著手解決。

(1)在網(wǎng)絡(luò)管理方面進(jìn)行防治

——制定嚴(yán)格的工作站安全操作規(guī)程。

——建立完整的網(wǎng)絡(luò)軟件和硬件的維護(hù)制度，定期對(duì)各工作站進(jìn)行維護(hù)。

——建立網(wǎng)絡(luò)系統(tǒng)軟件的安全管理制度。

——設(shè)置正確的訪問(wèn)權(quán)限和文件屬性

(2)基于工作站的防治方法

工作站是網(wǎng)絡(luò)的門(mén)，只要將這扇門(mén)關(guān)好，就能有效地防治病毒入侵。可以使用單機(jī)反病毒軟件、防病毒卡以及工作站防病毒

芯片。

(3)基于服務(wù)器的防治方法

服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會(huì)使整個(gè)網(wǎng)絡(luò)陷于癱瘓。目前，基于服務(wù)器的防治病毒方法一般采用NLM

(Netware Loadable Module)技術(shù)進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒能力。其優(yōu)點(diǎn)主要表現(xiàn)在不占用工作站的內(nèi)存，可以集中掃毒，能實(shí)現(xiàn)實(shí)時(shí)掃描功能，以及軟件安裝和升級(jí)都很方便等方面。

病毒的入侵必將對(duì)系統(tǒng)資源構(gòu)成威脅，即使良性病毒也要侵吞系統(tǒng)的寶貴資源，所以防治病毒入侵遠(yuǎn)比病毒入侵后再加以清除更為重要。抗病毒技術(shù)必須建立“預(yù)防為主，消滅結(jié)合”的基本觀念。

檢測(cè)病毒

檢測(cè)計(jì)算機(jī)上是否被病毒感染，通?？梢圆捎檬止z測(cè)和自動(dòng)檢測(cè)。

——手工檢測(cè)是指通過(guò)一些工具軟件(比如Debug.com、Pctools.exe等)，對(duì)易遭病毒攻擊和修改的內(nèi)存及磁盤(pán)的相關(guān)部分進(jìn)行檢測(cè)，通過(guò)與正常狀態(tài)進(jìn)行對(duì)比來(lái)判斷是否被病毒感染。雖然該方法操作復(fù)雜，易出錯(cuò)且效率低，但是該方法可以檢測(cè)和識(shí)別未知病毒，以及檢測(cè)一些自動(dòng)檢測(cè)工具不能識(shí)別的新病毒。

——自動(dòng)檢測(cè)是指通過(guò)一些診斷軟件和殺毒軟件，來(lái)判斷一個(gè)系統(tǒng)或磁盤(pán)是否有病毒，如使用瑞星、金山毒霸等軟件。雖然該方法可以方便檢測(cè)大量病毒且操作簡(jiǎn)單，但是自動(dòng)檢測(cè)工具只能識(shí)別已知的病毒，而且它的發(fā)展總是滯后于病毒的發(fā)展。對(duì)病毒進(jìn)行檢測(cè)可以采用手工方法和自動(dòng)方法相結(jié)合的方式。檢測(cè)病毒的技術(shù)和方法主要有以下幾種。

比較法

比較法是將原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。該方法的優(yōu)點(diǎn)是簡(jiǎn)單、方便，不需要專(zhuān)用軟件。缺點(diǎn)是無(wú)法確認(rèn)計(jì)算機(jī)病毒的種類(lèi)和名稱(chēng)。由于要進(jìn)行比較，保存好原始備份就非常重要了，制作備份時(shí)必須在無(wú)計(jì)算機(jī)病毒的環(huán)境下進(jìn)行，制作好的備份必須妥善保管，貼上標(biāo)簽，并加上寫(xiě)保護(hù)。

特征代碼法

特征代碼法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的的計(jì)算機(jī)病毒，這種計(jì)算機(jī)病毒掃描軟件稱(chēng)之為Virus Scanner。該方法優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱(chēng)、誤報(bào)警率低，依據(jù)檢測(cè)結(jié)果可做解毒處理。缺點(diǎn)是不能檢測(cè)未知病毒，且搜集已知病毒的特征代碼費(fèi)用開(kāi)銷(xiāo)大，在網(wǎng)絡(luò)上效率低。

分析法

分析法是防殺計(jì)算機(jī)病毒不可缺少的重要技術(shù)，該方法要求具有比較全面的有關(guān)計(jì)算機(jī)、DOS、Windows、網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用，以及與計(jì)算機(jī)病毒相關(guān)的各種知識(shí)。除此之外，還需要反匯編工具、二進(jìn)制文件編輯器等用于分析的工具程序和專(zhuān)用的實(shí)驗(yàn)計(jì)算機(jī)。分析的步驟分為靜態(tài)分析和動(dòng)態(tài)分析兩種。靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令程序清單后進(jìn)行分析，了解計(jì)算機(jī)病毒分成哪些模塊，使用了哪些系統(tǒng)調(diào)用，采用了哪些技巧，并將計(jì)算機(jī)病毒感染文件的過(guò)程翻轉(zhuǎn)為清除計(jì)算機(jī)病毒、修復(fù)文件的過(guò)程。動(dòng)態(tài)分析是指，利用DEBUG等調(diào)試工具在內(nèi)存帶毒的情況下，對(duì)計(jì)算機(jī)病毒做動(dòng)態(tài)跟蹤，觀察計(jì)算機(jī)病毒的具體工作過(guò)程，以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒的工作原理。

校驗(yàn)和法

計(jì)算正常文件的校驗(yàn)和，并將結(jié)果寫(xiě)入此文件或其他文件中保存。在文件使用過(guò)程中或使用之前，定期檢查文件的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否被感染，這種方法稱(chēng)為校驗(yàn)和。該方法優(yōu)點(diǎn)是方法簡(jiǎn)單，能發(fā)現(xiàn)未知病毒，也能發(fā)現(xiàn)被檢查文件的細(xì)微變化。缺點(diǎn)是會(huì)誤報(bào)警，不能識(shí)別病毒名稱(chēng)，不能對(duì)付隱蔽型病毒。

行為監(jiān)測(cè)法

行為監(jiān)測(cè)法是利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法。監(jiān)測(cè)病毒的行為特征如下。

——占有INT 13H所有的引導(dǎo)型病毒，都攻擊Boot扇區(qū)或主引導(dǎo)扇區(qū)。

——修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量。

——對(duì).com、.exe文件進(jìn)行寫(xiě)入操作。

——病毒程序與宿主程序進(jìn)行切換。

行為監(jiān)測(cè)法的優(yōu)點(diǎn)是可發(fā)現(xiàn)未知病毒，能夠相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。行為監(jiān)測(cè)法的缺點(diǎn)是會(huì)誤報(bào)警，不能識(shí)別病毒

名稱(chēng)，實(shí)現(xiàn)時(shí)有一定難度。

軟件仿真掃描法

該技術(shù)專(zhuān)門(mén)用于對(duì)付多態(tài)性計(jì)算機(jī)病毒，能夠仿真CPU執(zhí)行，在DOS虛擬機(jī)下偽執(zhí)行計(jì)算機(jī)病毒程序，安全地將其解密，然后再進(jìn)行掃描。

先知掃描法

先知掃描技術(shù)就是將專(zhuān)業(yè)人員用來(lái)判斷程序是否存在計(jì)算機(jī)病毒代碼的方法，分析歸納成專(zhuān)家系統(tǒng)和知識(shí)庫(kù)，再利用軟件仿

真技術(shù)偽執(zhí)行新的計(jì)算機(jī)病毒，超前分析出新計(jì)算機(jī)病毒代碼，用于對(duì)付以后的計(jì)算機(jī)病毒。

人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)

人工智能陷阱技術(shù)是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。其優(yōu)點(diǎn)是執(zhí)行速度快、操作簡(jiǎn)便，且可以檢測(cè)到各種計(jì)算機(jī)病

毒;缺點(diǎn)是程序設(shè)計(jì)難度大，且不容易考慮周全。

宏病毒陷阱技術(shù)則是結(jié)合了特征代碼法和人工智能陷阱技術(shù)，根據(jù)行為模式來(lái)檢測(cè)已知及未知的宏病毒。

實(shí)時(shí)I/O掃描

實(shí)時(shí)I/O掃描的目的在于即時(shí)對(duì)計(jì)算機(jī)上的輸入/輸出數(shù)據(jù)作病毒碼比對(duì)，希望能夠在病毒尚未被執(zhí)行前，將病毒防御于門(mén)外。

網(wǎng)絡(luò)病毒檢測(cè)技術(shù)

網(wǎng)絡(luò)監(jiān)測(cè)法是一種檢查、發(fā)現(xiàn)網(wǎng)絡(luò)病毒的方法。網(wǎng)絡(luò)病毒的特點(diǎn)是通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，如果在服務(wù)器、網(wǎng)絡(luò)接入端和網(wǎng)站設(shè)置病毒防火墻，可以起到大規(guī)模防止病毒擴(kuò)散的目的。

殺毒技術(shù)

將染毒文件的病毒代碼摘除，使之恢復(fù)為可正常運(yùn)行的文件，稱(chēng)為病毒的清除。清除病毒所采用的技術(shù)稱(chēng)為殺毒技術(shù)。

引導(dǎo)型病毒的清除

引導(dǎo)型病毒感染時(shí)一般攻擊硬盤(pán)主引導(dǎo)區(qū)以及硬盤(pán)或移動(dòng)存儲(chǔ)介質(zhì)的Boot扇區(qū)。一般使用FDISK/MBR可以清除大多數(shù)引導(dǎo)型病毒。

宏病毒的清除

為了恢復(fù)宏病毒，須用非文檔格式保存足夠的信息。RTF(Rich Text Format)適合保留原始文檔的足夠信息而不包含宏。然后退出文檔編輯器，刪除已感染的文檔文件以及Normal.dot和start-up目錄下的文件。

文件型病毒的清除

一般文件型病毒的染毒文件可以修復(fù)。當(dāng)恢復(fù)受感染文件需要考慮下列因素。

——不管文件的屬性，測(cè)試和恢復(fù)所有目錄下的可執(zhí)行文件。

——希望確保文件的屬性和最近修改時(shí)間不改變。

——一定考慮一個(gè)文件多重感染的情況。

病毒的去激活

清除內(nèi)存中的病毒是指把RAM中的病毒進(jìn)入非激活狀態(tài)。這需要操作系統(tǒng)和匯編語(yǔ)言的知識(shí)。

使用殺病毒軟件清除病毒

計(jì)算機(jī)一旦感染病毒，一般用戶(hù)首選是使用殺病毒軟件來(lái)清除病毒。其優(yōu)點(diǎn)是使用方便、技術(shù)要求不高，不需要具有太多的計(jì)算機(jī)知識(shí)。缺點(diǎn)是有時(shí)會(huì)刪除帶毒文件，可能導(dǎo)致系統(tǒng)不能正常運(yùn)行，同時(shí)需要經(jīng)常升級(jí)病毒代碼庫(kù)。

結(jié)語(yǔ)

在因特網(wǎng)技術(shù)以及計(jì)算機(jī)技術(shù)不斷發(fā)展的形勢(shì)下，我國(guó)已經(jīng)完全進(jìn)入信息化時(shí)代，信息化時(shí)代的到來(lái)，使得人們的生活以及工作都得到了極大地方便，但是，在為人們提供錄入巨大方便的同時(shí)，網(wǎng)絡(luò)同樣也存在著一定的安全隱患。

 

因此，我們對(duì)于一些開(kāi)放型的信息必須要加大其控制的力度，嚴(yán)防黑客以及破壞分子的不法行為。這是一場(chǎng)無(wú)形的戰(zhàn)斗，在這場(chǎng)斗爭(zhēng)中，安全技術(shù)是最為關(guān)鍵的方面，提高安全防御技術(shù)，是提高我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全的根本所在。