Skip to main content

任务一 计算机病毒的防范

知识点总结

  1. 计算机病毒的定义是什么? 人为制造,能够自我复制、自动侵入计算机系统,具有破坏性的一组计算机指令或程序代码。

  2. 计算机病毒的五大特征是什么? 传染性、破坏性、潜伏性、寄生性、隐蔽性。

  3. 计算机病毒的其他特征有哪些? 可执行性、可触发性、攻击的主动性。

  4. 计算机病毒的主要传播途径有哪些? 移动存储设备、计算机网络、利用系统和应用软件漏洞。

  5. 按破坏后果,病毒分为哪两类? 良性病毒、恶性病毒。

  6. 良性病毒的特点是什么? 干扰用户工作,不破坏系统数据,清除病毒后可恢复正常。

  7. 恶性病毒的特点是什么? 破坏数据、造成系统瘫痪,数据丢失后难以修复。

  8. 按寄生方式,病毒分为哪几类? 引导型病毒、文件型病毒、复合型病毒、宏病毒。

  9. 引导型病毒发作在哪个阶段? 系统开机引导阶段。

  10. 文件型病毒主要感染什么文件? 感染 .COM、.EXE、.SYS 等可执行文件。

  11. 文件型病毒可细分为哪几种? 外壳型、源码型、嵌入型。

  12. 复合型病毒有什么特点? 既传染磁盘引导区,又传染可执行文件,危害更大。

  13. 宏病毒寄生在哪里? 寄生在 Office 文档或模板的宏中。

  14. 按传播媒介,病毒分为哪两类? 单机病毒、网络病毒。

  15. 按发作条件,病毒分为哪三类? 定时发作型、定数发作型、随机发作型。

  16. CIH 病毒的特殊危害是什么? 是首个能破坏计算机硬件(BIOS)的恶性病毒,还会破坏硬盘数据。

  17. 什么是网络病毒? 通过网络传播,破坏网络组件,利用网络协议和结构进行扩散的病毒。

  18. 常见网络病毒有哪些? 木马病毒、蠕虫病毒、邮件病毒、漏洞型病毒、网页病毒。

  19. 木马病毒的主要危害是什么? 作为后门程序,可远程控制计算机,窃取用户密码、资料等重要信息。

  20. 蠕虫病毒的主要特点是什么? 一般作为独立程序存在,大量自我复制,主动攻击,造成网络拥堵、系统资源耗尽。

  21. 邮件病毒如何传播? 隐藏在邮件附件中,部分可通过浏览器漏洞,仅浏览邮件即可感染。

  22. 漏洞型病毒依靠什么传播? 利用操作系统或应用软件的漏洞传播,如冲击波、震荡波病毒。

  23. 网页病毒的危害表现有哪些? 修改浏览器主页、频繁弹窗、非法篡改系统设置,无传染性但危害明显。

  24. 网络病毒的主要特点是什么? 感染速度快、扩散面广、传播形式多元化、难以彻底清除。

  25. 计算机病毒的主要危害有哪些? 使电脑运行缓慢、消耗系统资源、破坏硬盘与数据、窃取用户信息。

  26. 计算机病毒的防范措施有哪些? 安装并及时升级杀毒软件;养成良好上网习惯;规范使用移动存储设备;及时更新系统补丁;重要数据定期备份。

同步训练

一、选择题

  1. 下面有关计算机病毒的叙述中,( )是不正确的 A. 计算机病毒会破坏计算机系统数据 B. 将磁盘格式化可以清除病毒 C. 有些病毒可以写入关上了写保护口的U盘 D. 现在的微机经常是带病毒运行的

  2. 下列关于计算机病毒的叙述中,正确的是( ) A. 反病毒软件可以查、杀任何种类的病毒 B. 计算机病毒是一种破坏了的程序 C. 反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能 D. 感染过计算机病毒的计算机具有对该病毒的免疫性

  3. 计算机病毒的特点是( ) A. 传染性、潜伏性和破坏性 B. 传染性、破坏性和易读性 C. 潜伏性、破坏性和易读性 D. 传染性、潜伏性和安全性

  4. 下面的关于计算机病毒的说法,正确的为( ) A. 计算机病毒是一段程序,只要不主动执行它就不会造成破坏 B. 计算机病毒只会破坏系统软件 C. 计算机病毒不会通过光盘传染 D. 计算机病毒是一个能通过自身复制传染,起破坏作用的计算机程序

  5. 下列措施中不能防止计算机病毒的是( ) A. 安装防病毒卡 B. 定期取得最高版本的杀毒软件 C. 不使用来历不明的U盘 D. 为了拷贝文件,而不将U盘写保护

  6. 若发现某U盘已经感染上病毒,最不应采取的手段是( ) A. 将该U盘报废 B. 换一台计算机再使用该U盘上的文件 C. 格式化该U盘 D. 用消毒软件清除该U盘的病毒

  7. 计算机病毒能够自我复制,这是计算机病毒的( ) A. 隐蔽性 B. 潜伏性 C. 传染性 D. 破坏性

  8. 下面是关于计算机病毒的4条叙述,其中正确的一条是( ) A. 严禁在计算机上玩游戏是预防计算机病毒侵入的措施 B. 计算机病毒是一种人为编制的特殊程序,会使计算机系统不能正常运转 C. 计算机病毒只能破坏磁盘上的程序和数据 D. 计算机病毒只破坏内存中的程序和数据

  9. 当计算机病毒发作时,主要造成的破坏是( ) A. 对磁盘片的物理损坏 B. 对磁盘驱动器的损坏 C. 对CPU的损坏 D. 对存储在硬盘上的程序、数据甚至系统的破坏

  10. 目前最好的防病毒软件的作用是( ) A. 检查计算机是否染有病毒,消除已感染的任何病毒 B. 杜绝病毒对计算机的侵害 C. 查出计算机已感染的任何病毒,消除其中的一部分 D. 检查计算机是否染有病毒,消除已感染的部分病毒

二、判断题

  1. 使计算机病毒传播范围最广的媒介是Internet ( )
  2. 使用杀毒软件一定能检测并清除计算机感染的病毒 ( )
  3. 程序装入时间比平时长,程序运行比平时慢,出现这种情况,表示计算机可能有病毒 ( )
  4. 所谓良性病毒,只占用系统CPU资源和干扰系统工作,一般并不破坏数据 ( )
  5. 当你用一张带引导型病毒的系统盘启动计算机时,病毒会进入内存,但不会感染硬盘 ( )

三、填空题

  1. 计算机病毒的传播途径主要有 ______、磁盘、光盘等。
  2. 计算机病毒分为 ______、文件型、复合型三类。
  3. 计算机病毒也是一段程序,它区别于正常程序的主要特点是 ______ 和 ______。
  4. 网络计算机病毒相比于单机病毒危害性更 ______。
  5. 从计算机病毒破坏性来看,所谓 ______ 病毒,即该病毒发作时将破坏数据,删除文件或使整个系统处于瘫痪状态等。

同步训练答案

一、选择题答案

1.B 2.C 3.A 4.D 5.D 6.B 7.C 8.B 9.D 10.D

二、判断题答案

1.√ 2.× 3.√ 4.√ 5.×

  1. 关于计算机病毒,下列叙述中错误的是() A. 计算机病毒是一种人为编造的程序和指令 B. 计算机病毒只可感染可执行文件 C. 文件染上计算机病毒不一定立即触发 D. 预防计算机病毒有软件预防和硬件保护

  2. 下列关于防火墙的描述中,不正确的是() A. 限制特定端口互联 B. 限制特定IP互联 C. 限制CPU温度过高 D. 记录网络访问记录

预备知识

一、计算机病毒定义

计算机病毒是人为制造的能够自我复制并能自动侵入计算机系统,给计算机系统带来破坏的一组计算机指令或程序代码(五个关键词:人为制造、自我复制、自动侵入、带来破坏、指令或程序代码)。它可以通过网络或移动存储设备等传入计算机系统,隐藏在引导扇区、可执行文件或数据文件中。可以在计算机内部反复地自我繁殖和扩散,影响计算机系统的正常工作,浪费系统资源,破坏文件中的数据,造成种种不良后果。

电脑染上病毒后,如果没有发作,是很难觉察到的。但病毒发作时就很容易从以下症状中感觉出来:工作会很不正常;莫名其妙的死机;突然重新启动或无法启动;程序不能运行;磁盘坏簇莫名其妙地增多;磁盘空间变小;系统启动变慢;数据和程序丢失;出现异常的声音、音乐或出现一些无意义的画面问候语等显示;正常的外设使用异常,如打印出现问题,键盘输入的字符与屏幕显示不一致等;异常要求用户输入口令;局域网环境下,出现网络堵塞,服务器不能正常工作等很多症状,凡是电脑不正常的情况都有可能与病毒有关。

二、计算机病毒的特征

  1. 传染性 计算机病毒的程序性,代表它和其他合法程序一样,是一段可执行程序,但它不是一段完整的程序,而是寄生在其他可执行程序上的一段程序,病毒一旦进入电脑后得到执行,它就会搜索其他符合条件的环境,确定目标后再将自身复制其中,从而达到病毒繁殖的目的,传染性是计算机病毒的一个重要标识,也是确定一个程序是否为计算机病毒的首要条件。运行被传染的程序之后,又会传染其他程序,于是很快波及整个计算机系统乃至计算机网络。

  2. 破坏性 病毒入侵计算机,往往具有极大的破坏性,能够破坏数据信息,甚至造成大面积的计算机瘫痪,对计算机用户造成较大损失。特性表现为侵占系统资源,降低运行效率,使系统无法正常运行等。传统计算机病毒的传播途径通常是U盘、光盘等磁介质,其主要攻击单机,由于被病毒感染了的系统容易造成泄密,所以造成的危害已经远远超过病毒对单机的危害。随着互联网的发展,网络病毒已经成为病毒传播最大的来源,可能会造成网络拥堵甚至瘫痪,直接危害到网络系统。

  3. 潜伏性 病毒只有在满足其特定条件时,才会对计算机产生致命的破坏,电脑或者系统中毒后不会马上反应,病毒会长期隐藏在系统中,病毒程序能隐蔽在合法文件中几个月甚至几年,存在时间越长,传染范围越大。因此,计算机病毒的隐蔽性,使得计算机安全防范处于被动状态,造成严重的安全隐患。

  4. 寄生性 计算机病毒不是一段完整的程序,通常情况下,都是在其他正常程序或数据中寄生,在此基础上利用一定媒介实现传播,在宿主计算机实际运行过程中,一旦达到某种设置条件,计算机病毒就会被激活,随着程序的启动,计算机病毒会对宿主计算机文件进行不断修改,使其破坏作用得以发挥。

  5. 隐蔽性 病毒程序可以潜伏在合法文件中并不立即发作,只是悄悄地进行传播、繁殖,使更多的正常程序成为病毒的携带者,一旦满足条件便表现其破坏作用。

计算机病毒除具有以上五大典型特征外,还有可执行性(计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力)、可触发性(病毒会因某个事件或数值的出现,诱使计算机病毒实施感染或进行攻击的特征)、攻击的主动性(病毒对计算机系统的攻击是主动的,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施只是一种预防的手段而已)等一些特点。

三、计算机病毒的传播途径

计算机病毒有自己的传输模式和不同的传输路径。计算机病毒本身的主要功能是它自己的复制和传播,这意味着计算机病毒的传播非常容易,通常可以交换数据的环境就可以进行病毒传播。有三种主要类型的计算机病毒传输方式:

  1. 通过移动存储设备进行病毒传播:如U盘、CD、移动硬盘等都可以是传播病毒的路径,而且因为它们经常被移动和使用,所以它们更容易得到计算机病毒的青睐,成为计算机病毒的携带者。
  2. 通过网络来传播:随着网络技术的发展和互联网的广泛应用,计算机网络已经成为病毒传播的主要途径。比如网页、电子邮件、QQ、论坛等都可以是计算机病毒网络传播的途径,计算机病毒传播的速度越来越快,范围也在逐步扩大。
  3. 利用计算机系统和应用软件的弱点传播:近年来,越来越多的计算机病毒利用应用系统和软件应用的不足(即系统漏洞)传播。

四、计算机病毒的分类

图4-1-1为计算机病毒的主要分类。

1. 按破坏的后果分类

(1) 良性病毒:主要是进行与当前执行程序无关的事件来干扰用户工作,但不破坏系统数据。清除病毒后,便可恢复正常。常见的情况是大量占用CPU的时间和内存、外存等资源,从而降低了运行速度。如小球病毒。 (2) 恶性病毒:破坏计算机系统的数据,造成系统瘫痪。清除病毒后,也无法修复丢失的数据。常见的情况是破坏、删除系统文件,甚至重新格式化硬盘。如“黑色星期五”和“CIH系统毁灭者”病毒等均属此类。

2. 按病毒的寄生方式(传染方式)分类

(1) 引导型病毒:出现在系统开机引导阶段。即系统启动时,病毒用自身代替原磁盘的引导记录,使得系统首先运行病毒程序,然后才执行原来的引导记录,每次启动后病毒都隐藏下来,伺机发作。 (2) 文件型病毒:可传染.COM.EXE.SYS等类型的可执行文件。每执行一次染毒文件,病毒便主动传染另一个未染毒的可执行文件。这类计算机病毒数量最大,它们又可细分为外壳型、源码型和嵌入型等。

  • 外壳型病毒:常附着在主程序的首尾,在文件执行时先行执行此病毒程序,从而不断地复制,使计算机工作效率降低,最终使计算机死机。大多数文件型病毒都属于这一类。
  • 源码型病毒:攻击高级语言编写的程序,病毒在高级语言编写的程序编译之前插入到源程序中,经编译成功后成为合法程序的一部分。这种病毒较少。
  • 嵌入型病毒:指病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接,它只能针对某个具体程序。这种病毒较少。 (3) 复合型病毒:既传染磁盘引导区,又传染可执行文件的计算机病毒,两种特征都具有,以两种方式进行传染,危害性更大。 (4) 宏病毒:也是一种文件型病毒,但寄生在文档或模板宏中。是用BASIC语言编写的一种寄存于Office文档或模板的宏中的计算机病毒,宏病毒影响对文档的各种操作。 按这种方式分类的病毒也多是传统的单机病毒。

3. 按照病毒的传播媒介来分类

可分为单机病毒和网络病毒。 (1) 单机病毒:载体是磁盘,常见的是病毒从移动存储设备传到硬盘,感染系统,然后再传染其他移动存储设备,移动存储设备又传染其他系统。 (2) 网络病毒:通过网络快速传播的病毒,其传染能力更强,破坏力更大。比如木马病毒、蠕虫病毒等。

4. 按病毒的发作条件分类

(1) 定时发作型:早期的病毒通常选择在某一特定日期或某一时间为触发机制,一旦日期与病毒预设日期符合,病毒则开始发作。典型的如黑色星期五病毒,CIH病毒则在每月的26日发作。 (2) 定数发作型:具有计数器,能对个数等进行统计,当达到设定数时病毒发作。 (3) 随机发作型:没有规律,随机发作。目前大多数是这种病毒。

5. 一个特殊病毒:CIH病毒

CIH病毒是第一个能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾。CIH病毒最常见的就是对BIOS的攻击,它将计算机中的BIOS内容破坏,造成计算机无法启动,相当于对主板的破坏,所以说它是破坏计算机系统硬件的一种病毒。同时破坏硬盘数据,以2 048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。不过它只感染Windows95/98程序,所以对目前的操作系统已经没有破坏作用。


五、网络病毒

1. 定义

广义上认为,可以通过网络传播,同时破坏某些网络组件(服务器、客户端、交换和路由设备)的病毒就是网络病毒。狭义上认为,局限于网络范围的病毒就是网络病毒,即网络病毒应该是充分利用网络协议及网络体系结构作为其传播途径或机制,同时网络病毒的破坏也应是针对网络的。

2. 类型

对于INTERNET的用户,网络病毒主要是指特洛伊木马病毒、邮件病毒、蠕虫病毒、网页病毒等通过网络传播的病毒。 (1) 木马病毒: 木马病毒也叫特洛伊木马病毒,其思想来源于古希腊战争中的特洛伊木马故事。是一种后门程序,与一般的病毒不同,它不进行自我复制,也不“刻意”去感染其他文件,但是通过植入软件、电子邮件等在宿主中伪装成正常程序,并吸引用户下载后,它能在用户执行程序时抢先执行,然后破坏或窃取用户的重要文件和资料,有时甚至远程控制用户的计算机操作。木马病毒实质是计算机黑客用于远程控制计算机的程序,一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。 木马病毒对计算机网络用户的危害是巨大的,它可能使用户的计算机随时暴露于黑客的控制与监视之下,从而使黑客们可以轻而易举地窃取到用户的资料信息,以获取更多非法利益。与传统的病毒相比较,木马程序对用户信息安全的危害要大许多。因此,有效地检测与清除木马程序对维护网络安全和保障用户权益具有重要意义。

(2) 蠕虫病毒: 蠕虫病毒除具有病毒的一般特征外,它还具有自己的一些特征。一般不寄生在别的程序中,大多作为一个独立的程序而存在,感染的对象是网络中的所有计算机,它能通过大量的自我复制,利用操作系统和程序的漏洞主动发起攻击,在感染了一台计算机后通过网络感染这个网络内的所有计算机,被感染后,蠕虫会发送大量数据包,所以被感染的网络速度就会变慢,也会因为CPU、内存占用过高而产生或濒临死机状态。它的危害性也更大。

(3) 邮件型病毒: 相比较而言,邮件型病毒更容易清除,它是由电子邮件进行传播的,病毒会隐藏在附件中,伪造虚假信息欺骗用户打开或下载该附件,有的邮件病毒也可以通过浏览器的漏洞来进行传播,这样,用户即使只是浏览了邮件内容,并没有查看附件,也同样会让病毒乘虚而入。例如“I LOVE YOU”(也称“爱虫”)病毒,因为邮件主题通常是“I love you”而得名。

(4) 漏洞型病毒: 应用最广泛的就是Windows操作系统,而Windows操作系统的系统操作漏洞非常多,微软会定期发布安全补丁,即便你没有运行非法软件,或者不安全连接,漏洞型病毒也会利用操作系统或软件的漏洞攻击你的计算机,例如2004年风靡的冲击波和震荡波病毒就是漏洞型病毒的一种,它们造成全世界网络计算机的瘫痪,造成了巨大的经济损失。

(5) 网页病毒: 使用网络的过程中,可能因为打开一些不正规的网站或不健康的网页,而使计算机使用出现异常,如IE浏览器主页被更改,频繁弹出某一网页或对话框,计算机运行缓慢等。诸如此类的网页就是恶意网页。恶意网页中包含有恶意代码,往往是出于提高其网站知名度或搞恶作剧为目的,强制用户访问它的网站,可能对访问计算机进行非法设置和恶意攻击,从而使访问者深受其害。现在,网页恶意代码已经被杀毒软件定义为网页病毒,不过,网页病毒不具备传染性,但其危害程度也绝不亚于普通病毒。若要避免或减轻恶意网页的危害,还得从预防做起。

3. 特点

(1) 感染速度极快: 单机运行条件下,病毒仅仅会经过移动存储设备来由一台计算机感染到另一台。但在计算机网络中可通过网络平台迅速地扩散。结合相关的测定结果,在计算机网络正常运用情况下,若一台工作站存在病毒,会在短短的十几分钟之内感染几百台计算机设备。

(2) 扩散面极广: 在网络环境中,病毒的扩散速度很快,且扩散范围极广,会在很短时间内感染局域网之内的全部计算机,也可经过远程工作站来把病毒在短暂时间内快速传播至千里以外。

(3) 传播形式多元化: 对于计算机网络系统而言,病毒主要是通过“工作站—服务器—工作站”的基本途径传播。然而,病毒传播形式呈现多元化的特点。

(4) 无法彻底清除: 没有联入网络的单机上的计算机病毒,可采取删除携带病毒的文件或低级格式化硬盘等方式来彻底清除掉病毒。在整个网络环境中一台工作站无法彻底进行消毒处理,就会感染整个网络系统中的设备。还有可能一台工作站刚刚清除,瞬间就被另一台携带病毒的工作站感染。针对此类问题,只是对工作站开展相应的病毒查杀与清除,是无法彻底解决与清除掉病毒对整个网络系统所造成的危害。


六、计算机病毒的危害

任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致数据丢失、系统崩溃。

  1. 电脑运行缓慢 病毒运行时不仅要占用内存,还会中断、干扰系统运行,使系统运行缓慢。有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行它们的动作,因此会花更多时间来载入程序,对一个简单的工作,磁盘似乎花了比预期长的时间。

  2. 消耗计算机资源 很多病毒在活动状态下都是常驻内存的,如果发现你并没有运行多少程序时系统却已经被占用了不少内存,这就有可能是病毒在作怪了;一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,造成磁盘空间的严重浪费。

  3. 破坏硬盘和数据 引导区病毒会破坏硬盘引导区信息,使电脑无法启动,硬盘分区丢失。大部分病毒在激发的时候直接破坏计算机的重要信息数据,它会直接破坏CMOS设置或者删除重要文件,会格式化磁盘或者改写目录区,会用“垃圾”数据来改写文件。

  4. 窃取用户信息 多是一些网络病毒。而其中大部分都是以窃取用户信息,获取经济利益为目的,如窃取用户资料、网银账号密码、网游账号密码等。一旦这些信息失窃,将给用户带来不小经济损失。比如木马病毒。


七、计算机病毒的防范

计算机病毒也不是不可控制的,可以通过下面几个方面来减少计算机病毒对计算机带来的破坏:

  1. 安装最新的杀毒软件,每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时要开启杀毒软件的全部监控。比较常用的杀毒软件有:金山毒霸、360系列、瑞星系列、Kill系列、诺顿系列等。由于计算机病毒的种类繁多,新的变种不断出现,因此杀毒软件是有时间性的,所以软件杀毒不可能消除所有的病毒。

  2. 培养良好的上网习惯,例如:对不明邮件及附件慎重打开,不随意地点击和下载陌生的文档,尽可能使用较为复杂的密码。不要执行从网络下载后未经杀毒处理的软件;不要随便浏览或登录陌生的网站,加强自我保护。现在有很多非法网站,而被潜入恶意的代码,一旦被用户打开,即会被植入木马或其他病毒。

  3. 培养自觉的信息安全意识,在使用移动存储设备时,尽可能不要共享这些设备,在对信息安全要求比较高的场所,应将电脑上面的USB接口封闭,同时,有条件的情况下应该做到专机专用。此外关闭不用的计算机端口。

  4. 及时对计算机系统更新,同时将应用软件升级到最新版本,比如:播放器软件,通信工具等,避免病毒以网页木马的方式入侵到系统或者通过其他应用软件漏洞来进行病毒的传播;将受到病毒侵害的计算机进行尽快隔离,在使用计算机的过程,若发现电脑上存在有病毒或者是计算机异常时,应该及时中断网络;当发现计算机网络一直中断或者网络异常时,立即切断网络,以免病毒在网络中传播。

  5. 做好数据文件的备份,在日常使用中需要备份计算机中的重要数据与文件,通过这样的方法减少网络病毒给计算机造成的损失。