第3章 计算机病毒
防病毒技术是网络安全维护日常中最基本的工作,也是工作量最大、最经常性的任务,所以掌握计算机病毒的相关知识是非常重要的。本章从大家都有实际体会的校园网中的病毒入手,介绍计算机病毒的概念和发展历程,以及计算机病毒的分类、特征与传播途径。在此基础上讲述计算机防病毒技术的原理、杀毒软件的配置和应用。
职业能力要求
- 熟练掌握杀毒软件和其他安全防护软件的配置和应用。
学习目标
了解计算机病毒的概念及发展历程。
掌握计算机病毒的分类与特征。
掌握计算机病毒的传播途径。
掌握计算机防病毒技术的原理。
掌握杀毒软件和其他安全防护软件的配置和应用。
计算机病毒概述
3.1.1 计算机病毒的基本概念
1.计算机病毒的简介
Internet迅猛发展,网络应用日益广泛与深入。除了操作系统和Web程序的大量漏洞之外,现在几乎所有的软件都成为病毒的攻击目标。同时,病毒的数量和破坏力越来越大,而且病毒的“工业化”入侵及“流程化”攻击等特点越发明显。现在黑客和病毒制造者为获取经济利益,分工明确,通过集团化、产业化运作,批量制造计算机病毒,寻找上网计算机的各种漏洞,并设计入侵、攻击流程,盗取用户信息。
计算机病毒增加的速度是惊人的。腾讯公司2015年的互联网安全报告中统计出新增病毒样本接近1.5亿个(如图1-2所示)。国内共有4.75亿人次网民被病毒感染,有1332万台电脑遭到病毒攻击,人均病毒感染次数为35.65次,其中木马病毒样本数量最多,流氓软件感染最为频繁。
随着计算机病毒的增加,计算机病毒的防护也越来越重要。为了做好计算机病毒的防护,首先需要知道什么是计算机病毒。
2.计算机病毒的定义
一般来说,凡是能够引起计算机故障、破坏计算机数据的程序或指令集合统称为计算机病毒(Computer Virus)。依据此定义,逻辑炸弹、蠕虫等均可称为计算机病毒。
1994年2月18日,我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》。在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”
在这个定义中明确地指出了计算机病毒的程序、指令的特征及对计算机的破坏性。随着移动通信的迅猛发展,手机和iPad等手持移动设备已经成为人们生活中必不可少的一部分,现在已经有了针对手持移动设备攻击的病毒。以安卓系统为例,2012~2015年安卓系统恶意程序的发展趋势如图3-1所示。
图3-1 安卓系统病毒发展趋势(2012~2015年)
随着这些手持终端处理能力的增强,其病毒的破坏性也与日俱增。随着未来网络家电的使用和普及,病毒也会蔓延到此领域。这些病毒也是由计算机程序编写而成的,也属于计算机病毒的范畴,所以计算机病毒的定义不单指对计算机的破坏。
3.1.2 计算机病毒的产生
1.理论基础
计算机病毒并非是最近才出现的新产物。早在1949年,计算机的先驱者约翰·冯·诺依曼(John Von Neumann)在他所提出的一篇论文《复杂自动装置的理论及组织的行为》中就提出一种会自我繁殖的程序(现在称为病毒)。
2.磁芯大战
在约翰·冯·诺依曼发表《复杂自动装置的理论及组织的行为》一文的10年之后,在美国电话电报公司(AT&T)的贝尔(Bell)实验室中,这些概念在一种很奇怪的电子游戏中成形了。这种电子游戏叫做磁芯大战(Core War)。磁芯大战是当时贝尔实验室中3个年轻工程师完成的。
Core War的进行过程如下:双方各编写一套程序,输入同一台计算机中;这两套程序在计算机内存中运行,相互追杀;有时会放下一些关卡,有时会停下来修复被对方破坏的指令;被困时,可以自己复制自己,逃离险境。因为这些程序都在计算机的内存(以前是用磁芯做内存的)游走,因此称为Core War。这就是计算机病毒的雏形。
3.计算机病毒的出现
1983年,杰出计算机奖得奖人科恩·汤普逊(Ken Thompson)在颁奖典礼上做了一个演讲,不但公开地证实了计算机病毒的存在,而且告诉听众怎样去写病毒程序。1983年11月3日,弗雷德·科恩(Fred Cohen)在南加州大学攻读博士学位期间,研制出一种在运行过程中可以复制自身的破坏性程序,制造了第一个病毒,虽然之前有人曾经编写过一些具有潜在破坏力的恶性程序,但是他是第一个在公众面前展示有效样本的人。在他的论文中,将病毒定义为“一个可以通过修改其他程序来复制自己并感染它们的程序”。伦·艾德勒曼(Len Adleman)将其命名为计算机病毒,并在每周一次的计算机安全讨论会上正式提出,之后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986年初,第一个真正的计算机病毒问世,即在巴基斯坦出现的“Brain”病毒。该病毒在1年内流传到了世界各地,并且出现了多个对原始程序的修改版本,引发了如“Lehigh”“迈阿密”等病毒的涌现。所有这些病毒都针对PC用户,并以软盘为载体,随寄主程序的传递感染其他计算机。
4.我国计算机病毒的出现
我国的计算机病毒最早发现于1989年,是来自西南铝加工厂的病毒报告——小球病毒报告。此后,国内各地陆续报告发现该病毒。在不到3年的时间,我国又出现了“黑色星期五”“雨点”“磁盘杀手”“音乐”“扬基都督”等数百种不同传染和发作类型的病毒。1989年7月,公安部计算机管理监察局监察处病毒研究小组针对国内出现的病毒,迅速编写了反病毒软件KILL 6.0,这是国内第一个反病毒软件。
3.1.3 计算机病毒的发展历程
在病毒的发展史上,病毒的出现是有规律的。一般情况下,一种新的病毒技术出现后,迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。计算机病毒的发展过程可划分为以下几个阶段。
1.DOS引导阶段
1987年,计算机病毒主要是引导型病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。典型代表是“小球”和“石头”病毒。
2.DOS可执行阶段
1989年,可执行文件型病毒出现。利用DOS系统加载执行文件的机制工作,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。典型代表是“耶路撒冷”病毒。
3.伴随阶段
1992年,伴随型病毒出现。利用DOS加载文件的优先顺序进行工作。感染EXE文件时生成一个和EXE同名的扩展名为“.com”的伴随体;感染COM文件时,将原来的COM文件改为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为“.com”。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容、日期及属性,解除病毒时只要将其伴随体删除即可,典型代表是海盗旗病毒。
4.多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式完成。这些方式的组合使得一段看似随机的代码产生相同的运算结果。多形病毒是一种综合性病毒,既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序才能解除。典型代表是“幽灵”病毒,每感染一次就产生不同的代码。
5.生成器、变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可以运算出同样的结果。随机插入一些空操作和无关指令,也不影响运算的结果。这样,一段解码算法就可以由生成器生成。当生成的是病毒时,病毒生成器和变体机就产生了。典型代表是病毒制造机(Virus Creation Laboratory,VCL),可以在瞬间制造出成千上万种不同的病毒。
6.网络、蠕虫病毒阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,是上几代病毒的改进。在Windows操作系统中,蠕虫病毒是典型的代表,不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一个地址进行传播,有时也在网络服务器和启动文件中存在。网络带宽的增加为蠕虫病毒的传播提供了条件。目前,网络中蠕虫病毒占非常大的比重,而且有越来越盛的趋势,典型代表是“尼姆达”和“冲击波”病毒。
7.视窗阶段
1996年,随着Windows 95的日益普及,利用Windows进行工作的病毒开始发展,修改NE、PE文件。这类病毒的机制更为复杂,利用保护模式和API(Application Programming Interface,应用程序编程接口)调用接口工作,解除方法也比较复杂。典型代表是DS.3873。
8.宏病毒阶段
1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于当时Word文档格式没有公开,这类病毒查杀比较困难,典型代表是“台湾一号”宏病毒。
9.邮件病毒阶段
1999年,随着E-mail的使用越来越多,一些病毒通过电子邮件来传播,如果不小心打开了这些邮件,机器就会中毒,还有一些利用邮件服务器进行传播和破坏的病毒,典型代表是Mellisa、happy99病毒。
10.手持移动设备病毒阶段
2000年,随着手持终端处理能力的增强,病毒也随之攻击手机和iPad等手持移动设备。2000年6月,世界上第一个手机病毒“VBS.Timofonica”在西班牙出现。这个病毒通过运营商Telefonica的移动系统向该系统内的任意用户发送骂人的短消息。2015年上半年手机病毒出现爆发式增长,病毒软件新增数量达到127万个。
表3-1所示为近20年的典型计算机病毒事件。
表3-1 典型的计算机病毒事件
时 间 |
名 称 |
事 件 |
---|---|---|
1983.11.10 |
|
弗里德·科恩以测试计算机安全为目的编写首个计算机病毒 |
1986 |
Brain |
巴基斯坦的两兄弟为了防止自己辛苦编写的DOS软件被盗版制作的软盘引导病毒 |
1987.10 |
黑色星期五 |
病毒第一次大规模爆发 |
1988.11 |
蠕虫病毒 |
罗伯特·莫里斯写的第一个蠕虫病毒 |
1990.1 |
4096 |
发现首例隐蔽型病毒,破坏数据 |
1991.4 |
米开朗基罗 |
第一个格式化硬盘的开机型病毒 |
1991 |
GPI |
首例网络病毒,突破了NOVELL公司的 Netware网络安全机制 |
1995 |
VCL(Virus Creation Laboratory) |
病毒生产工具在美国传播 |
1996 |
宏病毒 |
传播方式增加(邮件等) |
1998 |
CIH |
第一个破坏硬件的病毒,面向Windows的 VxD技术编制的 |
1999 |
Mellisa、happy99 |
邮件病毒 |
2000 |
红色代码 |
黑客型病毒 |
2000.6 |
VBS.Timofonica |
世界上第一个手机病毒 |
2001 |
Nimda |
集中了当时所有蠕虫传播途径,成为当时破坏性非常大的病毒 |
2002 |
SQL SPIDA.B |
第一个攻击SQL服务器的病毒 |
2003 |
SQL_slammer |
利用SQL Server数据库的漏洞 |
2003.8 |
冲击波 |
通过微软的RPC缓冲区溢出漏洞进行传播的蠕虫病毒 |
2004.5 |
震荡波 |
类似于“冲击波”病毒 |
2005 |
QQMyRun |
通过QQ传播的蠕虫病毒 |
2006 |
熊猫烧香 |
破坏多种文件的蠕虫病毒 |
2007 |
AV终结者 |
专门破坏杀毒软件的病毒 |
2008.3 |
磁碟机病毒 |
近几年来发现的病毒技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香” |
2009 |
机器狗 |
该病毒变种繁多,多表现为杀毒软件无法正常运行 |
2010 |
广告木马 |
2010年通过篡改网页的广告木马最流行 |
2011 |
鬼影病毒 |
特点基本为改写硬盘主引导记录(MBR)释放驱动程序替换系统文件,干扰或阻止杀毒软件运行,恶意修改主页,下载多种盗号木马 |
2012 |
鬼影病毒变种 |
出现数个变种,包括鬼影5、鬼影6、鬼影6变种等 |
2014 |
苹果大盗病毒 |
该病毒爆发在“越狱”的apple手机上,目的盗取Apple ID和密码 |
2015 |
Xcode ghost病毒 |
感染Apple手机,主要通过非官方下载的Xcode传播,使编译出的App被注入第三方的代码,向指定网站上传用户数据 |
计算机病毒的特征
计算机病毒是人为编制的一组程序或指令集合。这段程序代码一旦进入计算机并得以执行,就会对计算机的某些资源进行破坏,再搜寻其他符合其传染条件的程序或存储介质,达到自我繁殖的目的。计算机病毒具有以下一些特征。
3.2.1 传染性
传染性是计算机病毒最重要的特性。计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性,会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。只要一台计算机感染病毒,与其他计算机通过存储介质或者网络进行数据交换时,病毒就会继续进行传播。传染性是判断一段程序代码是否为计算机病毒的根本依据。
例如,2002年度10大流行病毒之一的欢乐时光病毒就是通过网络传播的。感染该病毒后在本地产生大量图3-2所示的两个文件,而且文件属性是隐藏的。
图3-2 欢乐时光病毒
3.2.2 破坏性
任何计算机病毒只要侵入系统,就会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源(如占用内存空间、占用磁盘存储空间等),有的只显示一些画面或音乐、无聊的语句,或者根本没有任何破坏性动作。例如,“欢乐时光”病毒的特征是超级解霸不断地运行,系统资源占用率非常高。“圣诞节”病毒藏在电子邮件的附件中,计算机一旦感染上,就会自动重复转发,造成更大范围的传播,桌面会弹出一个对话框,任务栏中有图3-3所示的图标。
图3-3 圣诞节病毒
有的计算机病毒可使系统不能正常使用,破坏数据,泄露个人信息,导致系统崩溃等。有的对数据造成不可挽回的破坏,如“米开朗基罗”病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法恢复,造成的损失是无法挽回的。又如“CIH”病毒,不仅破坏硬盘的引导区和分区表,还破坏计算机系统flash BIOS芯片中的系统程序,感染“CIH”病毒的表现如图3-4所示。
图3-4 CIH病毒
程序的破坏性体现了病毒设计者的真正意图。这种破坏性所带来的经济损失是非常巨大的。近年来全球重大病毒疫情的损失统计如表3-2所示。
表3-2 近年来全球重大病毒疫情的损失统计
时间 |
病毒名称 |
感染计算机的台数 |
疫情特点 |
损失金额 |
---|---|---|---|---|
2001 |
Nimda |
超过800万台 |
集中了所有蠕虫传播途径的黑客型病毒 |
6.35亿美元 |
2001 |
红色代码 |
100万台 |
攻击IIS服务器的黑客型病毒 |
26.2亿美元 |
2002 |
求职信 |
600万台 |
首个经历一年的变种,依然造成全球大感染的病毒 |
90亿美元 |
2003 |
蠕虫王 |
超过100万台 |
第一个攻击SQL服务器的病毒 |
10亿美元 |
2003 |
冲击波 |
超过100万台 |
利用公布不到一个月的Microsoft Windows漏洞进行攻击的病毒 |
20亿~100亿美元 |
近几年计算机病毒的发展中引起信息泄露事件逐渐增多,涉及面也越来越广。2014年最具影响力的十大数据泄密事件,支付宝、苹果、携程、微软、索尼和小米等都赫然在列。这些事件造成经济损失很难估算,对信息安全的威胁是巨大的。
3.2.3 潜伏性及可触发性
大部分病毒感染系统之后不会马上发作,而是悄悄地隐藏起来,然后在用户没有察觉的情况下进行传染。病毒的潜伏性越好,在系统中存在的时间也就越长,病毒传染的范围越广,其危害性也越大。
计算机病毒的可触发性是指,满足其触发条件或者激活病毒的传染机制,使之进行传染,或者激活病毒的表现部分或破坏部分。
计算机病毒的可触发性与潜伏性是联系在一起的,潜伏下来的病毒只有具有了可触发性,其破坏性才成立,也才能真正称为“病毒”。如果设想一个病毒永远不会运行,就像死火山一样,对网络安全就构不成威胁。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。例如,有以下一些触发条件。
(1)敲入特定字符。例如,“AIDS“病毒,一旦敲入A、I、D、S就会触发该病毒。
(2)使用特定文件。
(3)某个特定日期或特定时刻。例如,“PETER-2”在每年2月27日会提3个问题,答错后会将硬盘加密;著名的“黑色星期五”在逢13号的星期五发作;还有26日发作的“CIH”。
(4)病毒内置的计数器达到一定次数。例如,“2708”病毒,当系统启动次数达到32次后即破坏串、并口地址。
3.2.4 非授权性
一般正常的程序由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的,即具有未授权性。
3.2.5 隐蔽性
计算机病毒具有隐蔽性,以便不被用户发现及躲避反病毒软件的检验。因此,系统感染病毒后,一般情况下,用户感觉不到病毒的存在,只有在其发作,系统出现不正常反应时用户才知道。
为了更好地隐藏,病毒的代码设计得非常短小,一般只有几百字节或1KB。以现在计算机的运行速度,病毒转瞬之间便可将短短的几百字节附着到正常程序之中,使人很难察觉。隐蔽的方法很多,举例如下。
(1)隐藏在引导区,如“小球”病毒。
(2)附加在某些正常文件后面。
(3)隐藏在某些文件空闲字节里。例如,“CIH”病毒使用大量的诡计来隐藏自己,把自己分裂成几个部分,隐藏在某些文件的空闲字节里,而不会改变文件长度。
(4)隐藏在邮件附件或者网页里。
3.2.6 不可预见性
从对病毒的检测来看,病毒还有不可预见性。不同种类的病毒,其代码千差万别,但有些操作是共有的(如驻内存、改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可以查出一些新病毒,但是由于目前的软件种类极其丰富,并且某些正常程序也使用了类似病毒的操作,甚至借鉴了某些病毒的技术,所以使用这种方法对病毒进行检测势必会造成较多的误报情况。病毒的制作技术也在不断提高,病毒对反病毒软件来说永远是超前的。
计算机病毒的分类
3.3.1 按照计算机病毒依附的操作系统分类
1.基于DOS系统的病毒
基于DOS系统的病毒是一种只能在DOS环境下运行、传染的计算机病毒,是最早出现的计算机病毒。例如,“米开朗基罗病毒”“黑色星期五”病毒等均属于此类病毒。
DOS下的病毒一般又分为引导型病毒、文件型病毒、混合型病毒等(在后面的传染途径分类中详细介绍)。
2.基于Windows系统的病毒
由于Windows的图形用户界面(Graphical User Interface,GUI)和多任务操作系统深受用户的欢迎,尤其是在PC中几乎都使用Windows操作系统,从而成为病毒攻击的主要对象。目前大部分病毒都是基于Windows操作系统的,就是安全性最高的Windows Vista也有漏洞,而且该漏洞已经被黑客利用,产生了能感染Windows Vista系统的“威金”病毒、盗号木马等病毒。
3.基于UNIX / Linux系统的病毒
现在UNIX/Linux系统应用非常广泛,并且许多大型服务器均采用UNIX/Linux操作系统,或者基于UNIX/Linux开发的操作系统。例如,Solaris是Sun公司开发和发布的操作系统,是UNIX系统的一个重要分支,而2008年4月Turkey新蠕虫专门攻击Solaris系统。
4.基于嵌入式操作系统的病毒
嵌入式操作系统是一种用途广泛的系统软件,过去主要应用于工业控制和国防系统领域。随着Internet技术的发展、信息家电的普及应用,及嵌入式操作系统的微型化和专业化,嵌入式操作系统的应用也越来越广泛,如应用到手机操作系统中。现在,Android、Apple ios是主要的手机操作系统。目前发现了多种手机病毒,手机病毒也是一种计算机程序,和其他计算机病毒(程序)一样具有传染性、破坏性。手机病毒可利用发送短信、彩信,发送电子邮件,浏览网站,下载铃声等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等,甚至还会损毁 SIM卡、芯片等硬件。
2015年,Android手机新增手机病毒样本261万个,每月人均接收垃圾短信10条。骚扰电话出现总量为412亿次。
2015年是苹果走下安全神坛的一年,在移动安全领域先后曝出Safari跨域漏洞和Airdrop漏洞,此外,Xcode Ghost也让更多用户对苹果系统的安全失去信心。
3.3.2 按照计算机病毒的传播媒介分类
网络的发展也导致了病毒制造技术和传播途径的不断发展和更新。近几年,病毒所造成的破坏非常巨大。一系列的事实证明,在所有的安全问题中,病毒已经成为信息安全的第一威胁。由于病毒具有自我复制和传播的特点,所以,研究病毒的传播途径对病毒的防范具有极为重要的意义。从计算机病毒的传播机理分析可知,只要是能够进行数据交换的介质,都可能成为计算机病毒的传播途径,如图3-5所示。
在DOS病毒时代,最常见的传播途径就是从光盘、软盘传入硬盘,感染系统,再传染其他软盘,又传染其他系统。现在,随着USB接口的普及,使用闪存盘、移动硬盘的用户越来越多,成为病毒传播的新途径。
目前绝大部分病毒是通过网络来传播的。在网络传播中主要有以下方面。
图3-5 病毒传播途径
1.通过浏览网页传播
例如,“欢乐时光”(RedLof)是一种脚本语言病毒,能够感染“.htt”“.htm”等多种类型文件,可以通过局域网共享、Web浏览等途径传染。系统一旦感染这种病毒,就会在文件目录下生成“desktop.ini”“folder.htt”两个文件,系统速度会变慢。
2.通过网络下载传播
随着迅雷、快车、BT、电驴等新兴下载方式的流行,黑客也开始将其作为重要的病毒传播手段,如冲击波等病毒,通过网络下载的软件携带病毒。
3.通过即时通信(Instant Messenger,IM)软件传播
黑客可以编写“QQ尾巴”类病毒,通过IM软件传送病毒文件、广告消息等。
4.通过邮件传播
“爱虫”“Sobig”“求职信”等病毒都是通过电子邮件传播的。2000年国际计算机安全协会(International Computer Security Association,ICSA)统计的电子邮件为计算机病毒最主要的传播媒介,感染率由1998年的32%增长至87%。随着病毒传播途径的增加及人们安全意识的提高,邮件传播所占的比重下降,但是仍然是主要的传播途径。例如,2007年的“ANI蠕虫”病毒仍然通过邮件进行传播。
5.通过局域网传播
“欢乐时光”“尼姆达”“冲击波”等病毒通过局域网传播。2007年的“熊猫烧香”病毒、2008年著名的“磁碟机”病毒仍然通过局域网进行传播。
现在的病毒都不是单一的某种传播途径,而是通过多种途径传播。例如,2008年著名的“磁碟机”病毒的传播途径主要有U盘/移动硬盘/数码存储卡传播(移动存储介质);各种木马下载器之间相互传播;通过恶意网站下载;通过感染文件传播;通过内网ARP攻击传播。因此,对病毒的防御越来越难。
3.3.3 按照计算机病毒的宿主分类
1.引导型病毒
引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。引导型病毒感染的主要方式是计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。
引导型病毒隐藏在ROM BIOS之中,先于操作系统,依托的环境是BIOS(Basic Input Output System,基本输入输出系统)中断服务程序。引导型病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据。因此,病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使这个带病毒的系统看似正常运转,病毒却已隐藏在系统中伺机传染、发作,如图3-6所示。
图3-6 引导型病毒感染过程
引导型病毒按其所在的引导区不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2708等。BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区),典型的病毒有“Brain”“小球”病毒等。
引导型病毒几乎都会常驻在内存中,差别只在于内存中的位置。所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份,这样就不必在每次要执行时都到硬盘中搜寻,以提高效率。
引导区感染了病毒,用格式化程序(Format)可清除病毒。如果主引导区感染了病毒,用格式化程序是不能清除该病毒的,可以用FDISK/MBR清除该病毒。
2.文件型病毒
文件型病毒主要以可执行程序为宿主,一般感染文件扩展名为“.com”“.exe”和“.bat”等可执行程序。文件型病毒通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序,看起来仿佛一切都很正常。然后,病毒驻留内存,伺机传染其他文件或直接传染其他文件。
文件型病毒的特点是附着于正常程序文件,成为程序文件的一个外壳或部件。文件型病毒的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,才能引入内存。“黑色星期五”“CIH”等就是典型的文件型病毒。根据文件型病毒寄生在文件中的方式不同,可以分为覆盖型文件病毒、依附型文件病毒、伴随型文件病毒,如图3-7所示。
图3-7 文件型病毒寄生方式
(1)覆盖型文件病毒:此类计算机病毒的特征是覆盖所感染文件中的数据。也就是说,一旦某个文件感染了此类计算机病毒,即使将带毒文件中的恶意代码清除,文件中被其覆盖的那部分内容也不能恢复。对于覆盖型的文件则只能将其彻底删除。
(2)依附型文件病毒:依附病毒会把自己的代码复制到宿主文件的开头或结尾处,并不改变其攻击目标(即该病毒的宿主程序),相当于给宿主程序加了一个“外壳”。然后,依附病毒常常是移动文件指针到文件末尾,写入病毒体,并修改文件的前二三个字节为一个跳转语句(JMP/EB),略过源文件代码而跳到病毒体。病毒体尾部保存了源文件中3个字节的数据,于是病毒执行完毕之后恢复数据并把控制权交回源文件。
(3)伴随型文件病毒:并不改变文件本身,根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名。例如,“xcopy.exe”的伴随体是“xcopy.com”。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的EXE文件。
文件型病毒曾经是DOS时代病毒的特点,进入Windows之后,文件型病毒的数量下降很多。但2006年的维金和2007年初的“熊猫烧香”病毒“风靡”全国之后,文件型病毒不断增多,除了传统的文件感染方式外,还新增了如“瓢虫”“小浩”等新的覆盖式感染。这种不负责任的感染方式将导致中毒用户机器上的被感染文件无法修复,带来毁灭性的损坏。
3.宏病毒
宏是Microsoft公司为其Office软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时避免一再地重复相同的动作而设计出来的一种工具。利用简单的语法,把常用的动作写成宏,在工作时,可以直接利用事先编好的宏自动运行,完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。
宏病毒主要以Microsoft Office的“宏”为宿主,寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,并能通过DOC文档及DOT模板进行自我复制及传播。
3.3.4 蠕虫病毒
1.蠕虫病毒的概念
蠕虫(Worm)病毒是一种常见的计算机病毒 ,通过网络复制和传播,具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中)。蠕虫病毒是自包含的程序(或是一套程序),能传播自身功能的拷贝或自身某些部分到其他的计算机系统中(通常是经过网络连接)。与一般病毒不同,蠕虫病毒不需要将其自身附着到宿主程序 。
蠕虫病毒的传播方式有:通过操作系统漏洞传播、通过电子邮件传播、通过网络攻击传播、通过移动设备进行传播、通过即时通信等社交网络传播。
在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的。网络的发展,使蠕虫可以在短时间内蔓延整个网络,造成网络瘫痪。根据使用者情况将蠕虫病毒分为两类。一类是针对企业用户和局域网的,这类病毒利用系统漏洞,主动进行攻击,可以对整个Internet造成瘫痪性的后果,如“尼姆达”“SQL蠕虫王”。另外一类是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播,以“爱虫”病毒、“求职信”病毒为代表。在这两类蠕虫中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性;第二类病毒的传播方式比较复杂、多样,少数利用了Microsoft应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,例如,“求职信”病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位。
2.蠕虫病毒与传统病毒的区别
蠕虫病毒一般不采取利用PE格式插入文件的方法,而是复制自身在Internet环境下进行传播。传统病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是Internet内的所有计算机。局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫病毒的主动攻击性和突然爆发性将使人们手足无措。蠕虫病毒与传统病毒的比较如表3-3所示。
表3-3 蠕虫病毒与传统病毒的比较
|
传统病毒 |
蠕虫病毒 |
---|---|---|
存在形式 |
寄存文件 |
独立存在 |
传染机制 |
宿主文件运行 |
主动攻击 |
传染目标 |
文件 |
网络 |
计算机病毒的防治
众所周知,对于一个计算机系统,要知道其有无感染病毒,首先要进行检测,然后才是防治。具体的检测方法不外乎两种:自动检测和人工检测。
自动检测是由成熟的检测软件(杀毒软件)来自动工作,无需多少人工干预,但是由于现在新病毒出现快、变种多,有时候没及时更新病毒库,所以,需要自己能够根据计算机出现的异常情况进行检测,即人工检测的方法。感染病毒的计算机系统内部会发生某些变化,并在一定的条件下表现出来,因而可以通过直接观察来判断系统是否感染病毒。
3.4.1 计算机病毒引起的异常现象
通过对所发现的异常现象进行分析,可以大致判断系统是否被传染病毒。系统感染病毒后会有一些现象,如下所述。
1.运行速度缓慢,CPU使用率异常高
如果开机以后,系统运行缓慢,关闭应用软件,可以用任务管理器查看CPU的使用率。如果使用率突然增高,超过正常值,一般就是系统出现的异常,如图3-8所示,进而再找到可疑进程。
图3-8 CPU利用率异常
2.查找可疑进程
发现系统异常,首先排查的就是进程了。开机后,不启动任何应用服务,而是进行以下操作。
(1)直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度查看一下。
(2)打开冰刃等软件,先查看有没有隐藏进程(冰刃中如果有会以红色标出),然后查看系统进程的路径是否正确,如图3-9所示。
图3-9 冰刃中隐藏的进程
3.蓝屏
有时候病毒文件会让Windows内核模式的设备驱动程序或者子系统引发一个非法异常,引起蓝屏现象。
4.浏览器出现异常
当浏览器出现异常时候,例如,莫名的被关闭,主页篡改,强行刷新或跳转网页,频繁弹出广告等。
5.应用程序图标被篡改或空白
程序快捷方式图标或程序目录的主EXE文件的图标被篡改或为空白,那么很有可能这个软件的EXE程序被病毒或木马感染。例如“熊猫烧香”病毒,如图3-10所示。
图3-10 “熊猫烧香”病毒的现象
出现上述系统异常情况,也可能是由误操作和软硬件故障引起的。在系统出现异常情况后,及时更新病毒库,使用杀毒软件进行全盘扫描,可以准确确定是否感染了病毒,并及时清除。
3.4.2 计算机病毒程序一般构成
计算机病毒程序通常由3个单元和一个标志构成:引导模块、感染模块、破坏表现模块和感染标志。
1.感染标志
计算机病毒在感染前,需要先通过识别感染标志判断计算机系统是否被感染。若判断没有被感染,则将病毒程序的主体设法引导安装在计算机系统,为其感染模块和破坏表现模块的引入、运行和实施做好准备。
2.引导模块
实现将计算机病毒程序引入计算机内存,并使得传染和表现模块处于活动状态。引导模块需要提供自我保护功能,避免在内存中的自身代码不被覆盖或清除。计算机病毒程序引入内存后为传染模块和表现模块设置相应的启动条件,以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块。
3.感染模块
(1)感染条件判断子模块:依据引导模块设置的传染条件,判断当前系统环境是否满足传染条件。
(2)传染功能实现子模块:如果传染条件满足,则启动传染功能,将计算机病毒程序附加在其他宿主程序上。
4.破坏模块
病毒的破坏模块主要包括两部分:一是激发控制,当病毒满足一个条件,病毒就发作;另一个就是破坏操作,不同病毒有不同的操作方法,典型的恶性病毒是疯狂拷贝、删除文件等。
3.4.3 计算机防病毒技术原理
自20世纪80年代出现具有危害性的计算机病毒以来,计算机专家就开始研究反病毒技术,反病毒技术随着病毒技术的发展而发展。
常用的计算机病毒诊断技术有以下几种。这些方法依据的原理不同,实现时所需的开销不同,检测范围也不同,各有所长。
1.特征代码法
特征代码法是现在的大多数反病毒软件的静态扫描所采用的方法,是检测已知病毒最简单、开销最小的方法。
当防毒软件公司收集到一种新的病毒时,就会从这个病毒程序中截取一小段独一无二而且足以表示这种病毒的二进制代码(Binary Code),来当做扫描程序辨认此病毒的依据,而这段独一无二的二进制代码,就是所谓的病毒特征码。分析出病毒的特征码后,并集中存放于病毒代码库文件中,在扫描的时候将扫描对象与特征代码库比较,如果吻合,则判断为感染上病毒。特征代码法实现起来简单,对于查杀传统的文件型病毒特别有效,而且由于已知特征代码,清除病毒十分安全和彻底。使用特征码技术需要实现一些补充功能,如近来的压缩可执行文件自动查杀技术。特征代码法的特点如下。
(1)特征代码法的优点:检测准确、可识别病毒的名称、误报警率低、依据检测结果可做杀毒处理。
(2)特征代码法的缺点主要表现在以下几个方面。
① 速度慢。检索病毒时,必须对每种病毒特征代码逐一检查,随着病毒种类的增多,特征代码也增多,检索时间就会变长。
② 不能检查多形性病毒。
③ 不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,然后运行病毒检测工具,隐蔽性病毒就能先于检测工具,将被查文件中的病毒代码剥去,检测工具只是在检查一个虚假的“好文件”,而不会报警,被隐蔽性病毒所蒙骗。
④ 不能检查未知病毒。对于从未见过的新病毒,病毒特征代码法自然无法知道其特征代码,因而无法检测这些新病毒。
2.校验和法
病毒在感染程序时,大多都会使被感染的程序大小增加或者日期改变,校验和法就是根据病毒的这种行为来进行判断的。首先把硬盘中的某些文件(如计算磁盘中的实际文件或系统扇区的CRC检验和)的资料汇总并记录下来。在以后的检测过程中重复此项动作,并与前次记录进行比较,借此来判断这些文件是否被病毒感染。校验和法的特点如下。
(1)校验和法的优点:方法简单,能发现未知病毒,被查文件的细微变化也能被发现。
(2)校验和法的缺点主要体现在以下几方面。
① 由于病毒感染并非文件改变的唯一原因,文件的改变常常是正常程序引起的,如常见的正常操作(如版本更新、修改参数等),所以校验和法误报率较高。
② 效率较低。
③ 不能识别病毒名称。
④ 不能对付隐蔽型病毒。
3.行为监测法
病毒感染文件时,常常有一些不同于正常程序的行为。利用病毒的特有行为和特性监测病毒的方法称为行为监测法。通过对病毒多年的观察、研究,发现有一些行为是病毒的共同行为,而且比较特殊,而在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法就是引入一些人工智能技术,通过分析检查对象的逻辑结构,将其分为多个模块,分别引入虚拟机中执行并监测,从而查出使用特定触发条件的病毒。
行为监测法的优点在于:不仅可以发现已知病毒,而且可以相当准确地预报未知的多数病毒。但行为监测法也有其短处,即可能误报警和不能识别病毒名称,而且实现起来有一定的难度。
4.虚拟机技术
多态性病毒每次感染病毒代码都发生变化。对于这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能作为特征的稳定代码。虽然行为监测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于进行杀毒处理。
为了检测多态性病毒和一些未知的病毒,可应用新的检测方法——虚拟机技术(软件模拟法)。“虚拟机技术”即是在计算机中创造一个虚拟系统。虚拟系统通过生成现有操作系统的全新虚拟镜像,其具有真实系统完全一样的功能。进入虚拟系统后,所有操作都是在这个全新的独立的虚拟系统里面进行,可以独立安装运行软件,保存数据,不会对真正的系统产生任何影响。将病毒在虚拟环境中激活,从而观察病毒的执行过程,根据其行为特征,从而判断是否为病毒。这个技术主要对加壳和加密的病毒非常有效,因为这两类病毒在执行时最终还是要自身脱壳和解密的,这样,杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。
虚拟机技术是一种软件分析器,用软件方法来模拟和分析程序的运行。虚拟机技术一般结合特征代码法和行为监测法一起使用。
Sandboxie(又叫沙箱、沙盘)即是一种虚拟系统。在隔离沙箱内运行程序完全隔离,任何操作都不对真实系统产生危害,就如同一面镜子,病毒所影响的是镜子中的影子系统而已。
在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性,并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性。由此可见,虚拟机技术是离不开传统病毒特征码技术的。
总地来说,特征代码法查杀已知病毒比较安全彻底,实现起来简单,常用于静态扫描模块中;其他几种方法适合于查杀未知病毒和变形病毒,但误报率高,实现难度大,在常驻内存的动态监测模块中发挥重要作用。综合利用上述几种技术,互补不足,并不断发展改进,才是反病毒软件的必然趋势。
防病毒软件
3.5.1 常用的单机杀毒软件
随着计算机技术的不断发展,病毒不断涌现出来,杀毒软件也层出不穷,各个品牌的杀毒软件也不断更新换代,功能更加完善。在我国最流行、最常用的杀毒软件有360杀毒、金山毒霸、瑞星、Kapersky、NOD32、Norton AntiVirus、McAfee VirusScan、Kv3000、KILL等。
各个品牌的杀毒软件各有特色,但是基本功能都大同小异。从群体统计来看,国内个人计算机防病毒使用360杀毒的占绝大多数。
下面以360杀毒为例,详细介绍其功能、用法等。图3-11所示为360杀毒的主界面。
图3-11 360杀毒的主界面
360杀毒包括5个查杀引擎,这5个引擎分别是:云查杀引擎、QVM人工智能引擎、系统文件智能修复引擎、小红伞常规查杀引擎和bitdenfender常规查杀引擎。一般来说,云查杀引擎是最起作用的一个,其次是QVM人工智能引擎,bitdenfender杀毒引擎 和系统文件智能修复引擎主要起辅助作用。
在主界面右上角的设置里,首先,对各项进行常规功能设置,如图3-12所示。
图3-12 常规设置
在多引擎设置的选项,可自定义启动引擎的数量。如果不希望占用太多系统资源,可以选择启动前3个引擎,如图3-13所示。
图3-13 多引擎设置
对常用的文件可以设置文件白名单,如图3-14所示。
图3-14 文件白名单
在主界面的功能大全里,360杀毒的保护功能包括系统安全、系统优化、系统急救,如图3-15所示。
图3-15 功能大全
和防病毒技术相关的为宏病毒的查杀,如图3-16所示。
图3-16 查杀宏病毒
360隔离沙箱的主界面上有以下的功能,如图3-17所示。
图3-17 沙箱
在沙箱的高级设置细节如图3-18所示。安装360后,选中资源管理器里面的文件并单击右键可以用快捷方式在沙箱里运行,我们平时要注意应用这些功能 。
图3-18 沙箱高级设置
360杀毒软件设置好以后,完成文件反病毒、沙箱、主动防御的功能。除此之外,还有系统优化、系统急救等功能,由于篇幅的限制,这里不进行详细的介绍。
3.5.2 网络防病毒方案
目前,Internet已经成为病毒传播最大的来源,电子邮件和网络信息传递为病毒传播打开了高速通道。病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,造成的危害越来越大,几乎到了令人防不胜防的地步,如图3-19所示。这对防病毒产品提出了新的要求。
图3-19 病毒的多层感染途径和方式
很多企业、学校都建立了一个完整的网络平台,急需相对应的网络防病毒体系。尤其是学校这样的网络环境,网络规模大、计算机数量多、学生使用计算机流动性强,很难全网一起杀毒,更需要建立整体防病毒方案。
我们以国内著名的瑞星杀毒软件网络版为例介绍网络防病毒的体系结构。瑞星杀毒软件网络版采用分布式的体系结构,整个防病毒体系是由4个相互关联的子系统组成:系统中心、服务器端、客户端、移动式管理员控制台。各个子系统协同工作,共同完成对整个网络的病毒防护工作,为企业级用户的网络系统提供全方位防病毒解决方案,如图3-20所示。
图3-20 瑞星网络防病毒的体系结构
1.系统中心
系统中心是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒防护的自动控制核心,其实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,同时根据管理员控制台的设置,实现对整个防护系统的自动控制。
2.服务器端/客户端
服务器端/客户端是分别针对网络服务器/网络工作站(客户机)设计的,承担着对当前服务器/工作站上病毒的实时监控、检测和清除,自动向系统中心报告病毒监测情况,以及自动进行升级的任务。
3.管理员控制台
管理员控制台是为网络管理员专门设计的,是整个瑞星杀毒软件网络版网络防病毒系统设置、管理和控制的操作平台。它集中管理网络上所有已安装了瑞星杀毒软件网络版的计算机,同时实现对系统中心的管理。它可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上,实现移动式管理。
瑞星杀毒软件网络版采用分布式体系,结构清晰明了,管理维护方便。管理员只要拥有管理员账号和口令,就能在网络上任何一台安装了瑞星管理员控制台的计算机上,实现对整个网络上所有计算机的集中管理。
另外,校园网、企业网络面临的威胁已经由传统的病毒威胁转化为包括蠕虫、木马、间谍软件、广告软件和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁在业界称为混合型威胁。混合型病毒将传统病毒原理和黑客攻击原理巧妙地结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDoS攻击、遗留后门等攻击技术综合在一起,其传播速度非常快,造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多。混合型病毒的出现使人们意识到:必须设计一个有效的主动式保护战略,在病毒爆发之前进行遏制。
3.5.3 选择防病毒软件的标准
1.病毒查杀能力
病毒查杀的能力是衡量网络版杀毒软件性能的重要因素。用户在选择软件的时候,不仅要考虑可查杀病毒的种类数量,更应该注重其对流行病毒的查杀能力。很多厂商都以拥有大病毒库而自豪,其实很多恶意攻击都是针对政府、金融机构、门户网站的,并不对普通用户的计算机构成危害。过于庞大的病毒库会降低杀毒软件的工作效率,同时也会增大误报、误杀的可能性。
2.对新病毒的反应能力
对新病毒的反应能力也是考察防病毒软件查杀病毒能力的一个重要方面。通常,防病毒软件供应商都会在全国甚至全世界建立一个病毒信息收集、分析和预测的网络,使其软件能更加及时、有效地查杀出的新病毒。这一搜集网络体现了软件商对新病毒的反应能力。
3.病毒实时监测能力
对网络驱动器的实时监控是网络版杀毒软件的一个重要功能。在很多单位,特别是网吧、学校、机关中,有一些老式机器因为资源、系统等问题不能安装杀毒软件,就需要使用这种功能进行实时监控。同时,实时监控还应识别尽可能多的邮件格式,具备对网页的监控和从端口进行拦截病毒邮件的功能。
4.快速、方便的升级能力
只有不断更新病毒数据库,才能保证防病毒软件对新病毒的查杀能力。升级的方式应该多样化,防病毒软件厂商必须提供多种升级方式,特别是对于公安、医院、金融等不能连接到Internet的用户,必须要求厂商提供除Internet以外的本地服务器、本机等升级方式。自动升级的设置也应该多样。
5.智能安装、远程识别
对于中小企业用户,由于网络结构相对简单,网络管理员可以手动安装相应软件,只需要明确各种设备的防护需求即可。对于计算机网络应用复杂的用户(跨国机构、国内连锁机构、大型企业等)选择软件时,应该考虑到各种情况,要求能提供多种安装方式,如域用户的安装、普通用户的安装、未连网用户的安装和移动客户的安装等。
6.管理方便,易于操作
系统的可管理性是系统管理员尤其需要注意的问题,对于那些多数员工对计算机知识不是很了解的单位,应该限制客户端对软件参数的修改权限;对于软件开发、系统集成等科技企业,根据员工对网络安全知识的了解情况及工作需要,可适当开放部分参数设置的权限,但必须做到可集中控制管理。对于网络管理技术薄弱的企业,可以考虑采用远程管理的措施,把企业用户的防病毒管理交给专业防病毒厂商的控制中心专门管理,从而降低用户企业的管理难度。
7.对资源的占用情况
防病毒程序进行实时监控都或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。例如,一些单位上网速度太慢,有一部分原因是防病毒程序对文件过滤带来的影响。企业应该根据自身网络的特点,灵活地配置企业版防病毒软件的相关设置。
8.系统兼容性与可融合性
系统兼容性是选购防病毒软件时需要考虑的因素。防病毒软件的一部分常驻程序如果与其他软件不兼容,将会带来很多问题,比如引起某些第三方控件无法使用,影响系统的运行。在选购安装时,应该经过严密的测试,以免影响正常系统的运行。对于机器操作系统千差万别的企业,还应该要求企业版防病毒能适应不同的操作系统平台。
练习题
1.选择题
(1)计算机病毒是一种( ),其特性不包括( )。
① A.软件故障 B.硬件故障 C.程序 D.细菌
② A.传染性 B.隐藏性 C.破坏性 D.自生性
(2)下列叙述中正确的是( )。
A.计算机病毒只感染可执行文件
B.计算机病毒只感染文本文件
C.计算机病毒只能通过软件复制的方式进行传播
D.计算机病毒可以通过读写磁盘或网络等方式进行传播
(3)计算机病毒的传播方式有( )。(多选题)
A.通过共享资源传播 B.通过网页恶意脚本传播
C.通过网络文件传输传播 D.通过电子邮件传播
(4)( )病毒是定期发作的,可以设置Flash ROM 写状态来避免病毒破坏ROM。
A.Melissa B.CIH C.I love you D.蠕虫
(5)以下( )不是杀毒软件。
A.瑞星 B.Word C.Norton AntiVirus D.金山毒霸
(6)效率最高、最保险的杀毒方式是( )。
A.手动杀毒 B.自动杀毒 C.杀毒软件 D.磁盘格式化
(7)网络病毒与一般病毒相比,( )。
A.隐蔽性强 B.潜伏性强 C.破坏性大 D.传播性广
(8)计算机病毒按其表现性质可分为( )。(多选题)
A.良性的 B.恶性的 C.随机的 D.定时的
(9)计算机病毒的破坏方式包括( )。(多选题)
A.删除修改文件类 B.抢占系统资源类
C.非法访问系统进程类 D.破坏操作系统类
(10)用每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒,这种病毒的检测方法叫做( )。
A.比较法 B.特征字的识别法
C.搜索法 D.分析法 E.扫描法
(11)计算机病毒的特征( )。
A.隐蔽性 B.潜伏性,传染性
C.破坏性 D.可触发性 E.以上都正确
(12)( )病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件。
A.引导扇区病毒 B.宏病毒
C.Windows病毒 D.复合型病毒
(13)以下描述的现象中,不属于计算机病毒的是( )。
A.破坏计算机的程序或数据
B.使网络阻塞
C.各种网上欺骗行为
D.Windows“控制面板”中无“本地连接”图标
(14)某个U盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是( )。
A.删除该U盘上所有程序 B.给该U盘加上写保护
C.将该U盘放一段时间后再用 D.将U盘重新格式化
2.判断题
(1)只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒。
( )
(2)将文件的属性设为只读不可以保护其不被病毒感染。
( )
(3)重新格式化硬盘可以清除所有病毒。
( )
(4)GIF和JPG格式的文件不会感染病毒。
( )
(5)蠕虫病毒是指一个程序(或一组程序),会自我复制、传播到其他计算机系统中去。
( )
(6)在Outlook Express中仅预览邮件的内容而不打开邮件的附件是不会中毒的。
( )
(7)木马与传统病毒不同的是:木马不自我复制。
( )
(8)文本文件不会感染宏病毒。
( )
(9)蠕虫既可以在互联网上传播,也可以在局域网上传播。而且由于局域网本身的特性,蠕虫在局域网上传播速度更快,危害更大。
( )
(10)世界上第一个攻击硬件的病毒是“CIH”。
( )
(11)间谍软件具有计算机病毒的所有特征。
( )
(12)防病毒墙可以部署在局域网的出口处,防止病毒进入局域网。
( )
3.问答题
(1)什么是计算机病毒?
(2)计算机病毒有哪些特征?
(3)计算机病毒是如何分类的?举例说明有哪些种类的病毒。
(4)什么是宏病毒?宏病毒的主要特征是什么?
(5)什么是蠕虫病毒?蠕虫病毒的主要特征是什么?
(6)计算机病毒的检测方法有哪些?简述其原理。
(7)目前病毒最主要的传播途径是什么?
(8)网络防病毒与单机防病毒有哪些区别?