作者:Zyh
日期:2019.8.22
相信很多人對電腦感觸頗多���,但對于它的原理卻知之甚少����,不少人也因此收到困擾。但是值得一提的是:電腦病毒和木馬一不一樣的�����。
但是在這里��,我不會講專業的名詞把大家嚇倒�����。只希望讓大家對病毒有一個初步的認識。著重聲明一下�,在這里討論的病毒不具有破壞性與感染性��,可以看作生活中的一個小Joke(笑話),現在來動手做一個簡單的�����。
我們需要的工具如下:
1.電腦 2.電腦中的筆記本(notepad)
你沒有看錯我也沒有說錯�,建造這樣一個病毒你不需要任何一種編程軟件,也不需要精通任何一門編程語言......
第一步:右擊電腦桌面空白處�,新建一個文本文檔(后綴名為.txt)���,打開文檔��,輸入以下代碼:
start mshta vbscript:msgbox("你的電腦受到攻擊!���!"��,vbinformation,"系統提示")(window.close)
代碼說明:"你的電腦收到攻擊?��?!"是系統彈出的窗口上顯示的文字,可以隨意更改��,"系統提示"是窗口的標題����,也可以隨意更改。可以按照這種格式輸入多條語句�����,就可以彈出多個窗口了
代碼要在英文狀態下輸入�����! 如下圖所示:
然后點擊保存�,更改后綴名為.bat�,生成批處理文件,如下圖所示:(如果看不到后綴名����,上網百度)
我做的是有多條語句的���,打開之后的效果如下:
如果大家還是有疑問����,可以在評論中提出�����,歡迎添加我的QQ賬號:2936413843一起討論����,共同進步��!
如果這篇文章超過100贊,我會再更新���,帶給大家更多驚喜!���!
拜拜( ??? ? ??? )Bye!~~
說明哦���,這個代碼不會對電腦造成任何傷害,要破解也很簡單,我會在文末告訴大家哦��。
這個代碼的目的就是不斷讓你的電腦彈出提示框�����,即使你點了確認���,或者點了右上角的叉叉��,也結束不了��,彈出提示框的次數我們可以自己設置,也可以讓他寫成一個循環。
寫好后大概就是這個樣子。
是不是很好玩�����?其實很簡單哦����,來跟著小編一起寫一下吧。
首先我們在桌面上右鍵����,新建一個文本文檔。
然后我們打開這個文檔���,在里面復制粘貼以下代碼
WScript.Echo("嘿�,謝謝你打開我哦�,我等你很久拉!"&TSName)
WScript.Echo("你是可愛的小朋嗎?")
WScript.Echo("哈,我想你拉,這你都不知道嗎���?")
WScript.Echo("怎么才來,說~是不是不關心我")
WScript.Echo("哼,我生氣拉,等你這么久�����,心都涼啦�。")
WScript.Echo("寶寶很生氣,后果很嚴重哦。")
WScript.Echo("嘿嘿!你也會很慘滴哦")
WScript.Echo("是不是想清除我?")
WScript.Echo("那你要關注我哦�����!")
WScript.Echo("訪問我的網站也可以哦")
WScript.Echo("網址是www.zhaikukeji.xyz")
WScript.Echo("不想訪問�?")
WScript.Echo("那你要點上50下哦,不過會給你驚喜滴")
WScript.Echo("還剩49下,快點點哦")
WScript.Echo("還剩48下,快點�,小笨蛋��!")
WScript.Echo("還剩47下對,就這樣快點點!")
WScript.Echo("還剩46下�。你啊就是笨���,要快哦�,我先不打擾你工作���。")
WScript.Echo("還剩45下����,記得要快哦!")
WScript.Echo("還剩43下")
WScript.Echo("還剩42下")
WScript.Echo("還剩15下")
WScript.Echo("還剩14下")
WScript.Echo("還剩13下停停!?�?!慢點,我有話要說")
WScript.Echo("還剩12下,你繼續點我就會消失滴")
WScript.Echo("還剩11下�,以后就看不到我拉。555555")
WScript.Echo("還剩10下�,你現在可以選擇停止����!")
WScript.Echo("還剩9下���。你還點啊��,不要我拉���?")
WScript.Echo("還剩8下�����,有點傷心拉,干嘛丟棄人家")
WScript.Echo("還剩7下��。瘋了���,你有點負意���!")
WScript.Echo("還剩6下����。對。你就點吧����,我恨你�!")
WScript.Echo("還剩5下�,不明白,刪除我你就好嗎�?")
WScript.Echo("還剩4下����!真要刪除我���?")
WScript.Echo("還剩3下����?����?墒俏艺娴暮芫鞈倌?��。�。。")
WScript.Echo("還剩2下�。不要這么絕情嘛���,人家是愛你的����!")
WScript.Echo("還剩1下����。哼,既然你這么絕情�。也別怪我無義?。����。?)
WScript.Echo("我本因該消失的��,不過我留戀你滴芳容�����,上帝又給了一次機會。")
WScript.Echo("想結素我么?那你就再多點一次")
WScript.Echo("想結素我么?那你就再多點一次")
WScript.Echo("想結素我么?那你就再多點一次")
上面的內容就是我們的代碼啦,其實這個代碼很簡單啦,就是不斷地彈出提示�,提示的內容都由我們自己填寫�,大家也可以自己改一下哦���。你也可以將其中一行代碼復制一下����,粘貼多次來達到增加次數的目的,注意不要把標點符號刪掉了。
把代碼粘貼好之后����,我們點擊右上角的紅叉�,選擇保存�,然后回到桌面,在剛剛這個文檔上面右鍵-重命名��,將后綴名改為VBS�����。
不知道怎么顯示后綴的同學可以看一下小編以前推送的文章哦�,里面有詳細的教程�,鏈接在這里。
http://www.toutiao.com/i6380926620953215489/
重命名完成之后,我們的文件就準備好啦��,你可以嘗試將文件打開試試���?
怎么樣��,是不是不斷地彈出提示框���,卻不知道怎么關閉��?
哈哈��,想要關閉有兩個辦法����,第一個老老實實地點確定�����,根據你代碼的多少�,點完就可以啦���。另一個方法就是打開任務管理器�,找到這個任務����。
將這個任務結束掉就可以拉��。
是不是很好玩��?嘗試把這個文件發給別人,誘惑他打開,哈哈哈!
好啦,今天的教程就到這里啦,關注并收藏小編���,小編會每天推送好玩又實用的科技信息給你哦。你也可以訪問我們的官網,網址是www.zhaikukeji.xyz
算機病毒與計算機相伴生的東西�����,它對計算機的安全構成一定的威脅��,一旦病毒計算機遭到病毒入侵�,輕則導致信息丟失���,重則導致電腦癱瘓����。因此�,抵御病毒入侵顯得十分重要。
想要抵御病毒����,你得先了解它們����,知道它們長什么樣子���,是如何侵入計算機的才能很好的抵御它們�����。
文章很長建議收藏�,讀完這篇文章���,給你的計算機一個安全的環境���。
計算機病毒的特點
傳染性
這是病毒的基本特征��。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機�����,造成被感染的計算機工作失常甚至癱瘓。是否具有感染性是判別一個程序是否為計算機病毒的重要條件�����。
隱蔽性
病毒通常附在正常程序中或磁盤較隱蔽的地方�����,也有的以隱含文件形式出現。如果不經過代碼分析����,病毒程序與正常程序是不容易區分開來的����。計算機病毒的源程序可以是一個獨立的程序體��,源程序經過擴散生成的再生病毒一般采用附加和插入的方式隱藏在可執行程序和數據文件中����,采取分散和多處隱藏的方式����,當有病毒程序潛伏的程序被合法調用時,病毒程序也合法進入,并可將分散的程序部分在所非法占用的存儲空間進行重新分配,構成一個完整的病毒體投入運行����。
潛伏性
大部分病毒感染系統后�,會長期隱藏在系統中,悄悄的繁殖和擴散而不被發覺��,只有在滿足其特定條件的時候才啟動其表現(破壞)模塊�。
破壞性
任何病毒只要入侵系統,就會對系統及應用程序產生程度不同的影響��。輕則會降低計算機工作效率����,占用系統資源,重則可導致系統崩潰�,根據病毒的這一特性可將病毒分為良性病毒和惡性病毒���。良性病毒可能只顯示些畫面或無關緊要的語句,或者根本沒有任何破壞動作��,但會占用系統資源���。惡性病毒具有明確的目的����,或破壞數據、刪除文件,或加密磁盤、格式化磁盤����,甚至造成不可挽回的損失����。
不可預見性
從病毒的監測方面看�,病毒還有不可預見性。計算機病毒常常被人們修改,致使許多病毒都生出不少變種、變體����,而且病毒的制作技術也在不斷地深入性提高,病毒對反病毒軟件常常都是超前的,無法預測���。
觸發性
病毒因某個事件或數值的出現�����,誘使病毒實施感染或進行進攻的特性稱為可觸發性。病毒既要隱蔽又要維持攻擊力,就必須有可觸發性���。
病毒的觸發機制用于控制感染和破壞動作的頻率。計算機病毒一般都有一個觸發條件,它可以按照設計者的要求在某個點上激活并對系統發起攻擊。
針對性
有一定的環境要求,并不一定對任何系統都能感染���。
寄生性
計算機病毒程序嵌入到宿主程序中,依賴于宿主程序的執行而生存���,這就是計算機病毒的寄生性����。病毒程序在浸入到宿主程序后,一般會對宿主程序進行一定的修改����,宿主程序一旦執行�����,病毒程序就被激活,從而進行自我復制�。
通常認為��,計算機病毒的主要特點是傳染性、隱蔽性���、潛伏性、寄生性�����、破壞性���。
病毒介紹
計算機病毒是人為制造的�����,有破壞性�����,又有傳染性和潛伏性的��,對計算機信息或系統起破壞作用的程序�����。它不是獨立存在的���,而是隱蔽在其他可執行的程序之中����。計算機中病毒后����,輕則影響機器運行速度,重則死機系統破壞����;因此���,病毒給用戶帶來很大的損失�����,通常情況下,我們稱這種具有破壞作用的程序為計算機病毒����。
計算機病毒結構
一般由引導模塊�����、傳染模塊、表現模塊三部分組成����。
引導模塊 | 引導代碼 |
傳染模塊 | 傳染條件判斷 |
| 傳染代碼 |
表現模塊 | 表現及破壞條件判斷 |
| 破壞代碼 |
病毒分類(按照宿主分類)
(1)引導型病毒
引導區型病毒侵染軟(硬、優)盤中的“主引導記錄”
(Master Boot Record�,0柱面0磁頭1扇區)
解釋:引導型病毒是放在引導型扇區里面���,在計算機中都有個0柱面0磁頭1扇區特殊的記錄���,是計算機開機的重要文件���,病毒把Master Boot Record代碼修改之后����,在計算機開機的時候可能就會先激活病毒����。
(2)文件型病毒
通常它感染各種可執行文件、有可解釋執行腳本的文件、可包含宏代碼的文件。每一次它們激活時���,感染文件把病毒代碼自身復制到其他文件中。
(3)混合型病毒
混合型病毒通過技術手段把引導型病毒和文件型病毒組合成一體,使之具有引導型病毒和文件型病毒兩種特征�,以兩者相互促進的方式進行傳染��。這種病毒既可以傳染引導區又可以傳染可執行文件,增加了病毒的傳染性以及生存率�,使其傳播范圍更廣����,更難于清除干凈����。
經典實例
宏病毒
1.病毒是一種使用宏編輯語言編寫的病毒,主要寄生于Word文檔或模板的宏中。一旦打開這樣的文檔�����,宏病毒就會被激活�����,進入計算機內存并駐留在Normal模板上���,從而感染所有自動保存的文檔�。如果網絡上其他用戶打開感染病毒的文檔����,宏病毒就會轉移到他的計算機上。
宏病毒通常使用VB腳本,影響微軟的Office組建或類似的應用軟件,大多通過郵件傳播�����。
在我們計算機的Word文檔中就可以找到宏��,
2.宏病毒的工作原理:
3.宏病毒的特點:
(1)感染數據文件���。一般病毒只感染程序����,而宏病毒專門感染數據文件�。
(2)多平臺交叉感染。當Word、Excel這類軟件在不同平臺(如Windows�、OS/2和MacinTosh)上運行時��,會被宏病毒交叉感染。
(3)容易編寫。宏病毒以源代碼形式出現���,所以編寫和修改宏病毒就更容易了。這也是宏病毒的數量居高不下的原因。
(4)容易傳播����。只要打開帶有宏病毒的電子郵件,計算機就會被宏病毒感染�。此后��,打開或新建文件都會感染宏病毒。
4.宏病毒的預防
防治宏病毒的根本在于限制宏的執行���。
(1)禁止所有宏的執行。在打開Word文檔時��,按住Shift鍵�����,即可禁止自動宏�,從而達到防治宏病毒的目的��。
(2)檢查是否存在可疑的宏�����。若發現有一些奇怪名字的宏,肯定就是病毒無疑了����,將它立即刪除即可����。即便刪錯了也不會對Word文檔內容產生任何影響��。具體做法是�����,選擇【工具】【| 宏】命令,打開【宏】對話框��,選擇要刪除的宏�����,單擊【刪除】按鈕即可。
(3)按照自己的習慣設置。重新安裝Word后��,建立一個新文檔,將Word的工作環境按照自己的使用習慣進行設置���,并將需要使用的宏一次編制好,做完后保存新文檔�。這時候的Normal.dot模板絕對沒有宏病毒���,可將其備份起來�����。在遇到宏病毒時,用備份的Normal.dot模板覆蓋當前的模板�,可以消除宏病毒��。
(4)使用Windows自帶的寫字板。在使用可能有宏病毒的Word文檔時�,先用Windows自帶的寫字板打開文檔�����,將其轉換為寫字板格式的文件保存后,再用Word調用����。因為寫字板不調用�、不保存宏���,文檔經過這樣的轉換�,所有附帶的宏(包括宏病毒)都將丟失。
(5)提示保存Normal模板�����。選擇【工具】【| 選項】命令��,在【選項】對話框中打開【保存】選項卡,選中【提示保存Normal模板】復選框。一旦宏病毒感染了Word文檔����,退出Word時��,Word就會出現“更改的內容會影響到公用模板Normal,是否保存這些修改內容?”的提示信息����,此時應選擇“否”�,退出后進行殺毒��。
(6)使用.rtf和.csv格式代替.doc和.xls����。因為.rtf和.csv格式不支持宏功能���,所以交換文件時候����,用.rtf格式的文檔代替.doc格式,用.csv格式的電子表格代替.xls格式。這樣就可以避免宏病毒的傳播�����。
5.宏病毒的清除
(1)手工清除�����。選取【工具】【| 宏】命令�,打開【宏】對話框���,單擊【管理器】命令按鈕�����,打開【管理器】對話框,選擇【宏方案項】選項卡�,在【宏方案項的有效范圍】下拉列表中選擇要檢查的文檔��,將來源不明的宏刪除。退出Word���,然后到C盤根目錄下查看有沒有Autoexec.dot文件�����,如果有這個文件就刪除,再找到Normal.dot文件,刪除它。Word會自動重新生成一個干凈的Normal.dot文件。到目錄 C:\Program Files\Microsoft Office\Office\Startup 下查看有沒有模板文件,如果有而且不是用戶自己建立的,則刪除它�。重啟Word�����,這時Word已經恢復正常了。
(2)使用專業殺毒軟件。目前的專業殺毒軟件都具有清除宏病毒的能力。但是如果是新出現的病毒或者是病毒的變種則可能不能正常清除����,此時需要手工清理.
蠕蟲
1.定義:
蠕蟲(Worm)是一種通過網絡傳播的惡性病毒����,通過分布式網絡來擴散傳播特定的信息或錯誤���,進而造成網絡服務遭到拒絕并發生死鎖�。
2. 蠕蟲病毒的基本結構和傳播過程
蠕蟲的基本程序結構包括以下三個模塊
(1)傳播模塊:負責蠕蟲的傳播,傳播模塊又可分為三個基本模塊,即掃描模塊���、攻擊模塊和復制模塊�。
(2)隱藏模塊:浸入主機后,隱藏蠕蟲程序��,防止被用戶發現�����。
(3)目的功能模塊:實現對計算機的控制���、監視或破壞等功能��。
蠕蟲程序的一般傳播過程為:
(1)掃描:由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發送探測漏洞的信息并收到成功的反饋信息后��,就得到一個可傳播的對象����。
(2)攻擊:攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象,取得該主機的權限(一般為管理員權限)�,獲得一個shell����。
(3)復制:復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動�。
由此可見,傳播模塊實現的實際上是自動入侵的功能��,所以蠕蟲的傳播技術是蠕蟲技術的核心��。
3.蠕蟲病毒實例——熊貓燒香
熊貓燒香是一個感染型的蠕蟲病毒����,它能感染系統中exe��,com�,pif�,src,html�����,asp等文件�����,它還能結束大量的反病毒軟件進程。
熊貓燒香是一種蠕蟲病毒的變種�����,經過多次變種而來����,由于中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對exe文件的圖標進行替換,并不會對系統本身進行破壞。而大多數是中等病毒變種���,用戶電腦中毒后可能會出現藍屏����、頻繁重啟以及系統硬盤中數據文件被破壞等現象�����。
同時���,該病毒的某些變種可以通過局域網進行傳播����,進而感染局域網內所有計算機系統����,最終導致企業局域網癱瘓�,無法正常使用,它能感染系統中exe��,com��,pif�����,src,html,asp等文件�,它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的備份文件�。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣���。
木馬
1.定義:
木馬全稱為特洛伊木馬(Trojan Horse,英文則簡稱Trojan)�����,在計算機安全學中���,特洛伊木馬是指一種計算機程序��,表面上或實際上有某種有用的功能,同時又含有隱藏的可以控制用戶計算機系統、危害系統安全的功能�,可能造成用戶資料的泄漏�、破壞或整個系統的崩潰�。在一定程度上,木馬也可以稱為計算機病毒。
2.木馬病毒工作原理
一個完整的特洛伊木馬套裝程序含了兩部分:服務端(服務器部分)和客戶端(控制器部分)。植入對方電腦的是服務端��,而黑客正是利用客戶端進入運行了服務端的電腦���。運行了木馬程序的服務端以后�����,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開端口�,向指定地點發送數據(如網絡游戲的密碼�,即時通信軟件密碼和用戶上網密碼等)�����,黑客甚至可以利用這些打開的端口進入電腦系統�����。
3.木馬病毒的檢測
查看system.ini、win.ini�、啟動組中的啟動項目�����。在【開始】【| 運行】命令,輸入msconfig����,運行Windows自帶的“系統配置實用程序”����。選中system.ini標簽,展開【boot】目錄�����,查看“shell=”這行�����,正?!皊hell=Explorer.exe”����,如果不是���,就有可能中了木馬病毒��。選中win.ini標簽��,展開【windows】目錄項,查看“run=”和“load=”行���,等號后面應該為空。再看看有沒有非正常啟動項目�����,要是有類似netbus�、netspy、bo等關鍵詞�,就極有可能是中了木馬�����。
其他的一些方法,例如在正常操作計算機時�����,發現計算機的處理速度明顯變慢���、硬盤不停讀寫����、鼠標不聽使喚、鍵盤無效��、一些窗口自動關閉或打開……這一切都表明可能是木馬客戶端在遠程控制計算機����。
4.木馬病毒實例
Internet上每天都有新的木馬出現����,所采取的隱蔽措施也是五花八門。下面介紹幾種常見的木馬病毒的清除方法。
預防病毒
病毒預防
1.對病毒的預防在病毒防治工作中起主導作用�����,是病毒防治的重點��,主要針對病毒可能入侵的系統薄弱環節加以保護和監控�����。預防計算機病毒要從以下幾個方面著手。
(1)檢查外來文件。對于網絡上下載的或者外部存儲器中的程序和文檔�,在執行或打開文檔之前��,一定要檢查是否有病毒。
(2)局域網預防。盡可能選擇無盤工作站。限制用戶對服務器上可執行文件的操作��。使用抗病毒軟件動態檢查使用中的文件�。
(3)使用確認和數據完整性工具。
(4)周期性備份工作文件�。
2.網絡病毒的防治相對單機病毒的防治具有更大的難度��。目前,網絡大都采用Client/Server(客戶機/服務器)的工作模式���。防治網絡病毒需要從服務器和工作站兩個主要方面并結合網絡管理著手解決。
(1)在網絡管理方面進行防治
——制定嚴格的工作站安全操作規程。
——建立完整的網絡軟件和硬件的維護制度��,定期對各工作站進行維護。
——建立網絡系統軟件的安全管理制度��。
——設置正確的訪問權限和文件屬性
(2)基于工作站的防治方法
工作站是網絡的門�,只要將這扇門關好,就能有效地防治病毒入侵�?����?梢允褂脝螜C反病毒軟件���、防病毒卡以及工作站防病毒
芯片�����。
(3)基于服務器的防治方法
服務器是網絡的核心�����,一旦服務器被病毒感染,就會使整個網絡陷于癱瘓。目前���,基于服務器的防治病毒方法一般采用NLM
(Netware Loadable Module)技術進行程序設計,以服務器為基礎,提供實時掃描病毒能力��。其優點主要表現在不占用工作站的內存�,可以集中掃毒,能實現實時掃描功能,以及軟件安裝和升級都很方便等方面。
病毒的入侵必將對系統資源構成威脅�,即使良性病毒也要侵吞系統的寶貴資源����,所以防治病毒入侵遠比病毒入侵后再加以清除更為重要�����?����?共《炯夹g必須建立“預防為主,消滅結合”的基本觀念。
檢測病毒
檢測計算機上是否被病毒感染��,通?����?梢圆捎檬止z測和自動檢測。
——手工檢測是指通過一些工具軟件(比如Debug.com����、Pctools.exe等)�����,對易遭病毒攻擊和修改的內存及磁盤的相關部分進行檢測,通過與正常狀態進行對比來判斷是否被病毒感染��。雖然該方法操作復雜����,易出錯且效率低,但是該方法可以檢測和識別未知病毒����,以及檢測一些自動檢測工具不能識別的新病毒�����。
——自動檢測是指通過一些診斷軟件和殺毒軟件,來判斷一個系統或磁盤是否有病毒��,如使用瑞星�����、金山毒霸等軟件��。雖然該方法可以方便檢測大量病毒且操作簡單,但是自動檢測工具只能識別已知的病毒��,而且它的發展總是滯后于病毒的發展��。對病毒進行檢測可以采用手工方法和自動方法相結合的方式����。檢測病毒的技術和方法主要有以下幾種��。
比較法
比較法是將原始備份與被檢測的引導扇區或被檢測的文件進行比較��。該方法的優點是簡單、方便��,不需要專用軟件�。缺點是無法確認計算機病毒的種類和名稱。由于要進行比較�����,保存好原始備份就非常重要了�����,制作備份時必須在無計算機病毒的環境下進行�����,制作好的備份必須妥善保管,貼上標簽���,并加上寫保護。
特征代碼法
特征代碼法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描����。如果被檢測對象內部發現了某一種特定字符串��,就表明發現了該字符串所代表的的計算機病毒,這種計算機病毒掃描軟件稱之為Virus Scanner�。該方法優點是檢測準確快速�����、可識別病毒的名稱��、誤報警率低�,依據檢測結果可做解毒處理���。缺點是不能檢測未知病毒����,且搜集已知病毒的特征代碼費用開銷大,在網絡上效率低�。
分析法
分析法是防殺計算機病毒不可缺少的重要技術�,該方法要求具有比較全面的有關計算機���、DOS�����、Windows��、網絡等的結構和功能調用,以及與計算機病毒相關的各種知識。除此之外,還需要反匯編工具�、二進制文件編輯器等用于分析的工具程序和專用的實驗計算機���。分析的步驟分為靜態分析和動態分析兩種�����。靜態分析是指利用反匯編工具將計算機病毒代碼打印成反匯編指令程序清單后進行分析,了解計算機病毒分成哪些模塊,使用了哪些系統調用�,采用了哪些技巧��,并將計算機病毒感染文件的過程翻轉為清除計算機病毒、修復文件的過程。動態分析是指�,利用DEBUG等調試工具在內存帶毒的情況下,對計算機病毒做動態跟蹤����,觀察計算機病毒的具體工作過程�,以進一步在靜態分析的基礎上理解計算機病毒的工作原理��。
校驗和法
計算正常文件的校驗和�,并將結果寫入此文件或其他文件中保存。在文件使用過程中或使用之前,定期檢查文件的校驗和與原來保存的校驗和是否一致���,從而可以發現文件是否被感染,這種方法稱為校驗和。該方法優點是方法簡單����,能發現未知病毒���,也能發現被檢查文件的細微變化��。缺點是會誤報警,不能識別病毒名稱,不能對付隱蔽型病毒。
行為監測法
行為監測法是利用病毒的特有行為特征性來監測病毒的方法。監測病毒的行為特征如下。
——占有INT 13H所有的引導型病毒��,都攻擊Boot扇區或主引導扇區��。
——修改DOS系統數據區的內存總量���。
——對.com�、.exe文件進行寫入操作�����。
——病毒程序與宿主程序進行切換��。
行為監測法的優點是可發現未知病毒,能夠相當準確地預報未知的多數病毒�����。行為監測法的缺點是會誤報警���,不能識別病毒
名稱�����,實現時有一定難度。
軟件仿真掃描法
該技術專門用于對付多態性計算機病毒�����,能夠仿真CPU執行�,在DOS虛擬機下偽執行計算機病毒程序,安全地將其解密�����,然后再進行掃描�。
先知掃描法
先知掃描技術就是將專業人員用來判斷程序是否存在計算機病毒代碼的方法,分析歸納成專家系統和知識庫���,再利用軟件仿
真技術偽執行新的計算機病毒,超前分析出新計算機病毒代碼�����,用于對付以后的計算機病毒�。
人工智能陷阱技術和宏病毒陷阱技術
人工智能陷阱技術是一種監測計算機行為的常駐式掃描技術。其優點是執行速度快����、操作簡便�����,且可以檢測到各種計算機病
毒;缺點是程序設計難度大���,且不容易考慮周全���。
宏病毒陷阱技術則是結合了特征代碼法和人工智能陷阱技術����,根據行為模式來檢測已知及未知的宏病毒。
實時I/O掃描
實時I/O掃描的目的在于即時對計算機上的輸入/輸出數據作病毒碼比對�����,希望能夠在病毒尚未被執行前,將病毒防御于門外���。
網絡病毒檢測技術
網絡監測法是一種檢查、發現網絡病毒的方法�����。網絡病毒的特點是通過網絡進行傳播����,如果在服務器、網絡接入端和網站設置病毒防火墻���,可以起到大規模防止病毒擴散的目的。
殺毒技術
將染毒文件的病毒代碼摘除���,使之恢復為可正常運行的文件,稱為病毒的清除���。清除病毒所采用的技術稱為殺毒技術。
引導型病毒的清除
引導型病毒感染時一般攻擊硬盤主引導區以及硬盤或移動存儲介質的Boot扇區���。一般使用FDISK/MBR可以清除大多數引導型病毒。
宏病毒的清除
為了恢復宏病毒��,須用非文檔格式保存足夠的信息�。RTF(Rich Text Format)適合保留原始文檔的足夠信息而不包含宏�����。然后退出文檔編輯器�����,刪除已感染的文檔文件以及Normal.dot和start-up目錄下的文件。
文件型病毒的清除
一般文件型病毒的染毒文件可以修復。當恢復受感染文件需要考慮下列因素。
——不管文件的屬性,測試和恢復所有目錄下的可執行文件�。
——希望確保文件的屬性和最近修改時間不改變�。
——一定考慮一個文件多重感染的情況��。
病毒的去激活
清除內存中的病毒是指把RAM中的病毒進入非激活狀態�����。這需要操作系統和匯編語言的知識。
使用殺病毒軟件清除病毒
計算機一旦感染病毒,一般用戶首選是使用殺病毒軟件來清除病毒�。其優點是使用方便���、技術要求不高���,不需要具有太多的計算機知識����。缺點是有時會刪除帶毒文件��,可能導致系統不能正常運行��,同時需要經常升級病毒代碼庫。
結語
在因特網技術以及計算機技術不斷發展的形勢下,我國已經完全進入信息化時代,信息化時代的到來����,使得人們的生活以及工作都得到了極大地方便,但是���,在為人們提供錄入巨大方便的同時,網絡同樣也存在著一定的安全隱患�����。
因此���,我們對于一些開放型的信息必須要加大其控制的力度�,嚴防黑客以及破壞分子的不法行為。這是一場無形的戰斗�,在這場斗爭中���,安全技術是最為關鍵的方面���,提高安全防御技術����,是提高我國計算機網絡安全的根本所在。
