病毒查杀及预防

课程名称：病毒查杀及预防

一：病毒含义

计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码 二：病毒特征

传染性：病毒通过自身复制来感染正常文件，达到破坏电脑正常运行的目的，但是它的感染是有条件的，也就是病毒程序必须被执行之后它才具有传染性，才能感染其他文件。

破坏性：任何病毒侵入计算机后，都会或大或小地对计算机的正常使用造成一定的影响，轻者降低计算机的性能，占用系统资源，重者破坏数据导致系统崩溃，甚至损坏硬件隐藏性。病毒程序一般都设计得非常小巧，当它附带在文件中或隐藏在磁盘上时，不易被人觉察，有些更是以隐藏文件的形式出现，不经过仔细地查看，一般用户是不会发现的。

潜伏性：一般病毒在感染文件后并不是立即发作，而是隐藏在系统中，在满足条件时才激活。一般都是某个特定的日期，例如“黑色星期五”就是在每逢13号的星期五才会发作。

可触发性：病毒如果没有被激活，它就像其他没执行的程序一样，安静地呆在系统中，没传染性也不具有杀伤力，但是一旦遇到某个特定的文件，它就会被触发，具有传染性和破坏力，对系统产生破坏作用。这些特定的触发条件一般都是病毒制造者设定的，它可能是时间、日期、文件类型或某些特定数据等。

不可预见性：病毒种类多种多样，病毒代码千差万别，而且新的病毒制作技术也不断涌现，因此，我们对于已知病毒可以检测、查杀，而对于新的病毒却没有未卜先知的能力，尽管这些新式病毒有某些病毒的共性，但是它采用的技术将更加复杂，更不可预见。

寄生性：病毒嵌入到载体中，依靠载体而生存，当载体被执行时，病毒程序也就被激活，然后进行复制和传播。

三：病毒分类

1）按传染方式分为：引导型病毒、文件型病毒和混合型病毒。

文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。

混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径（如97年国内流行较广的“TPVO-3783（SPY）”）。

2）按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。 源码病毒较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。

入侵型病毒可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。

操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。

外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。

3）按破坏性可分为：良性病毒，恶性病毒。

新兴一族：宏病毒。宏病毒是近两年才出现的，如分类它可算做文件型。

4）传染对象来分只不过四类：BIOS、硬盘引导区、操作系统与应用程序病毒。 四：计算机病毒的检测

1）使用无毒的系统软件和应用软件。

2）CMOS设置。

3）使用最新的系统安全更新。

4）禁用Windows Script Host（WSH）和FSO对象。

5）启动防火墙 。

6）启用宏病毒警告 。

7）邮件附件的处理。

8）安装杀毒软件。

五：计算机病毒的检测方法

1）特征代码法

2）校验和法

3）行为监测法

4）软件模拟法

5）启发式扫描技术

六：计算机病毒的清除

1）引导型病毒的清除

引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其他的方法进行恢复。

引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以下步骤：

（1）用Windows 95/98 的干净启动盘启动计算机。

（2）在命令行中键入下列命令：

fdisk /mbr （用来更新主引导记录，也称硬盘分区表）

Sys C: （恢复硬盘引导扇区）

（3）重启计算机。

在Windows 2000/XP平台下，可以用以下方法进行恢复：

（1）用Windows 2000/XP 安装光盘启动。

（2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。

（3）选择正确的要修复的机器的数量。

（4）键入管理员密码，如果没有密码，则直接回车。

（5）在命令行键入下面的命令：

FIXMBR 回车 FIXBOOT 回车

（6）键入EXIT，重启计算机。

2）文件型病毒的清除

（1）检查注册表

（2）检查win.ini文件

（3）检查system.ini文件

（4）重新启动计算机，然后根据文件名，在硬盘找到这个程序，将其删除。

3）宏病毒的清除

在Micrsoft Office应用程序中打开“工具”→ “宏”→“Visual Basic编辑器”，早期的版本为宏管理器。进入到编辑器窗口，用户可以查看Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又没有加载这类特殊模板，这就极可能是宏病毒在作祟，因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后，可以在通用模板中删除被认为是病毒的宏。

还有一种方法更为简单，通过搜索系统文件，找到Autoexec.dot和Nomal.dot文件，直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。

4）网络病毒的清除

（1）系统加固。

（2）建立病毒预警检测系统。

（3）在互联网接入口处安装防病毒网关，将病毒隔离在外部网络。 七：病毒的预防

1）杜绝传染渠道

病毒的传染无非是两种方式：一是网络，二是软盘与光盘。如今由于电子邮件的盛行，通过互联网传递的病毒要远远高于后者。为此，我们要特别注意在网上的行为。

1、不要轻易下载小网站的软件与程序。

2、不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。

3、不要随便打开某些来路不明的E-mail与附件程序。

4、 安装正版杀毒软件公司提供的防火墙，比如赛门铁克的个人防火墙软件，并注意时时打开着。

5、不要在线启动、阅读某些文件，否则您很有可能成为网络病毒的传播者。

6、经常给自己发封E-mail，看看是否会收到第二封未属标题及附带程序的邮件。

对于软盘，光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件。可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令。

2）设置传染对象的属性病毒其实是一段程序或指令代码，它主要针对的是以EXE与COM结尾的文件，由于它天生的局限性，因此预防病毒的另一种方法便是设置传染对象的属性，即：把所有以EXE与COM为扩展名的文件设定“只读”。这样一来就算病毒程序被激活，也无法对其他程序进行写操作，也就不能感染可执行程序了，因此病毒的破坏功能受到了很大的限制。

3）关于宏病毒

不夸张地说，几乎所有使用Word的朋友都曾经与宏病毒狭路相逢过。宏病毒的产生主要是因为Word本身配有内置语言，简单地说就是具备编程功能，因此有很多别有用心的人就利用了它的这一功能制作出宏病毒。宏病毒的检测其实

非常简单，只要点击Word界面上菜单栏的[工具]→[宏]→[宏]，接着在“宏名”列表中查看是否有AutoExce与AutoOpen两个自动宏便可。

预防宏病毒，宏病毒通常是驻留在文档或模板的宏中，如果打开这样的文档或模板，就会激活宏病毒，并使病毒进入Normal.dot模板文件中。为此要预防宏病毒，可以采用以下方法：

1、利用Word本身具有清除宏（病毒）的功能。当Word识别出一个打开的文档中具有自动执行宏时，它会出现一个对话框，让用户选择是否打开宏，为了预防宏病毒一般我们选择[取消宏]按钮。

2、在Normal.dot模板文件中创建一个自己的宏（AutoExce），具体代码为： “Sub Main DisableAutoMacros 1 End Sub”这样就能禁止其他自动宏的运行，预防宏病毒的感染。另外注意一点，此程序是在Word的“工具/宏/Visual Basic编辑器”中完成。

3、将文件保存为TXT（纯文本文件）或RTF形式（文本文件，但可以包括其他一些非文本文件信息，例如：图片，表格等）。