計(jì)算機(jī)系統(tǒng)維護(hù)技術(shù)（第2版）主編：步山岳章慧副主編：王媛媛劉虎 唐朝霞陳宏明

高等教育出版社2010.09

計(jì)算機(jī)系統(tǒng)維護(hù)技術(shù)（第2版）-封面13.1計(jì)算機(jī)病毒的概述

13.2

計(jì)算機(jī)病毒制作技術(shù)13.3反計(jì)算機(jī)病毒技術(shù)13.4特洛伊木馬13.5計(jì)算機(jī)病毒的防范13.6手工殺毒基本方法13.7殺病毒軟件簡(jiǎn)介什么是計(jì)算機(jī)病毒？計(jì)算機(jī)病毒都有什么特征？13.1計(jì)算機(jī)病毒的概述（CONTD…）破壞性隱蔽性傳染性潛伏性可觸發(fā)性不可預(yù)見(jiàn)性計(jì)算機(jī)病毒的特征13.1計(jì)算機(jī)病毒的概述（CONTD…）軟件產(chǎn)品的脆弱性是產(chǎn)生計(jì)算機(jī)病毒根本的技術(shù)原因。社會(huì)因素是產(chǎn)生計(jì)算機(jī)病毒的土壤。經(jīng)濟(jì)利益驅(qū)動(dòng)是產(chǎn)生計(jì)算機(jī)病毒的動(dòng)力計(jì)算機(jī)病毒的產(chǎn)生原因：計(jì)算機(jī)病毒的傳播途徑：

計(jì)算機(jī)病毒主要是通過(guò)復(fù)制文件、發(fā)送文件、運(yùn)行程序等操作傳播，移動(dòng)存儲(chǔ)設(shè)備和網(wǎng)絡(luò)是主要傳播路徑。13.1計(jì)算機(jī)病毒的概述（CONTD…）計(jì)算機(jī)病毒的分類(lèi)：大致有8種類(lèi)型引導(dǎo)型病毒文件型病毒宏病毒蠕蟲(chóng)病毒特洛伊木馬型病毒網(wǎng)頁(yè)病毒移動(dòng)病毒混合病毒。引導(dǎo)型病毒：主要通過(guò)感染軟盤(pán)、硬盤(pán)上的引導(dǎo)扇區(qū)或改寫(xiě)磁盤(pán)分區(qū)表（FAT）來(lái)感染系統(tǒng)，引導(dǎo)型病毒是一種開(kāi)機(jī)即可啟動(dòng)的病毒，優(yōu)先于操作系統(tǒng)而存在。該病毒幾乎常駐內(nèi)存，激活時(shí)即可發(fā)作，破壞性大，早期的計(jì)算機(jī)病毒大多數(shù)屬于這類(lèi)病毒。文件型病毒：它主要是以感染COM、EXE等可執(zhí)行文件為主，被感染的可執(zhí)行文件在執(zhí)行的同時(shí)，病毒被加載并向其它正常的可執(zhí)行文件傳染。病毒以這些可執(zhí)行文件為載體，當(dāng)運(yùn)行可執(zhí)行文件時(shí)就可以激活病毒。宏病毒：宏病毒是一種寄存于文檔或模板的宏中的計(jì)算機(jī)病毒，是利用宏語(yǔ)言編寫(xiě)的。

13.1計(jì)算機(jī)病毒的概述（CONTD…）計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象：1．突然經(jīng)常性無(wú)緣無(wú)故地死機(jī)2．運(yùn)行速度明顯變慢3．打印和通訊發(fā)生異常4．磁盤(pán)空間迅速減少5．收到陌生人發(fā)來(lái)的電子郵件6．自動(dòng)鏈接到一些陌生的網(wǎng)站7．計(jì)算機(jī)不識(shí)別硬盤(pán)8．操作系統(tǒng)無(wú)法正常啟動(dòng)9．部分文檔丟失或被破壞10．網(wǎng)絡(luò)癱瘓11.手機(jī)中毒聲音變調(diào)、死機(jī)，自動(dòng)打電話

腳本語(yǔ)言與ActiveX技術(shù)

13.2計(jì)算機(jī)病毒制作技術(shù)

采用自加密技術(shù)

采用變形技術(shù)

對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)

采用特殊的隱形技術(shù)

反跟蹤技術(shù)

利用中斷處理機(jī)制

3．采用變形技術(shù)當(dāng)某些計(jì)算機(jī)病毒編制者通過(guò)修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí)，稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)被修改計(jì)算機(jī)病毒的變形。4．采用特殊的隱形技術(shù)當(dāng)計(jì)算機(jī)病毒采用特殊的隱形技術(shù)后，可以在計(jì)算機(jī)病毒進(jìn)入內(nèi)存后，使計(jì)算機(jī)用戶幾乎感覺(jué)不到它的存在。13.2計(jì)算機(jī)病毒制作技術(shù)

5．對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)計(jì)算機(jī)病毒采用對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù)時(shí)，當(dāng)發(fā)現(xiàn)磁盤(pán)上有某些著名的計(jì)算機(jī)病毒殺毒軟件或在文件中查找到出版這些軟件的公司名時(shí)，就會(huì)刪除這些殺毒軟件或文件，造成殺毒軟件失效，甚至引起計(jì)算機(jī)系統(tǒng)崩潰。6．反跟蹤技術(shù)計(jì)算機(jī)病毒采用反跟蹤措施的目的是要提高計(jì)算機(jī)病毒程序的防破譯能力和偽裝能力。13.2計(jì)算機(jī)病毒制作技術(shù)

7．利用中斷處理機(jī)制病毒設(shè)計(jì)者則會(huì)篡改中斷功能為達(dá)到傳染、激發(fā)和破壞等目的。如INT13H是磁盤(pán)輸入輸出中斷，引導(dǎo)型病毒就是用它來(lái)傳染病毒和格式化磁盤(pán)的。13.2計(jì)算機(jī)病毒制作技術(shù)

病毒防火墻

13.3反計(jì)算機(jī)病毒技術(shù)

虛擬機(jī)技術(shù)

主動(dòng)內(nèi)核保護(hù)技術(shù)

啟發(fā)掃描的反病毒技術(shù)

1.病毒防火墻對(duì)系統(tǒng)實(shí)施實(shí)時(shí)監(jiān)控，對(duì)流入、流出系統(tǒng)的數(shù)據(jù)中可能含有的病毒代碼進(jìn)行過(guò)濾。2.虛擬機(jī)技術(shù)虛擬機(jī)殺毒技術(shù)具體的做法是：用程序代碼虛擬一個(gè)CPU，同樣也虛擬CPU的各個(gè)寄存器，硬件端口，用調(diào)試程序調(diào)入被調(diào)的“樣本”，將每一個(gè)語(yǔ)句放到虛擬環(huán)境中執(zhí)行，這樣我們就可以通過(guò)內(nèi)存和寄存器以及端口的變化來(lái)了解程序的執(zhí)行情況。13.4特洛伊木馬特洛伊木馬實(shí)際上是一種典型的黑客程序，它是一種基于遠(yuǎn)程控制的黑客工具，現(xiàn)在已成為黑客程序的代名詞。特洛伊木馬的啟動(dòng)方式

特洛伊木馬的端口

特洛伊木馬的隱藏

特洛伊木馬查殺

13.5計(jì)算機(jī)病毒的防范1．安裝防病毒和防火墻軟件并及時(shí)更新病毒庫(kù)

2.不要打開(kāi)來(lái)歷不明的電子郵件

3．插入可移動(dòng)存儲(chǔ)介質(zhì)時(shí)先對(duì)其進(jìn)行病毒掃描

4．不要瀏覽危險(xiǎn)網(wǎng)站或從不可靠的網(wǎng)站下載軟件

5．使用*.txt等形式的文檔

6．及時(shí)更新操作系統(tǒng)

7．備份重要資料

8．做好密碼管理工作

9．手機(jī)病毒的防范13.7殺病毒軟件簡(jiǎn)介

目前市場(chǎng)上提供的殺毒軟件的品種很多，其中比較著名的殺毒軟件如下：

北京江民公司的KV系列

北京瑞星計(jì)算機(jī)科技公司的瑞星系列

俄羅斯的卡巴斯基（Kaspersky）系列

美國(guó)賽門(mén)鐵克（Symamtec）的諾頓系列

金山公司的金山