❶ 電腦病毒
1、最初"計算機病毒"這一概念的提出可追溯到七十年代美國作家雷恩出版的《P1的青春》一書,書中構思了一種能夠自我復制,利用通信進行傳播的計算機程序,並稱之為計算機病毒。
2、貝爾實驗室的三位年輕程序員也受到馮•諾依曼理論的啟發,發明了「磁芯大戰」游戲。
3、1983 年 11月,在一次國際計算機安全學術會議上,美國學者科恩第一次明確提出計算機病毒的概念,並進行了演示。
4、世界上公認的第一個在個人電腦上廣泛流行的病毒是1986年初誕生的大腦(C-Brain)病毒,編寫該病毒的是一對巴基斯坦兄弟,兩兄弟經營著一家電腦公司,以出售自己編制的電腦軟體為生。當時,由於當地盜版軟體猖獗,為了防止軟體被任意非法拷貝,也為了追蹤到底有多少人在非法使用他們的軟體,於是在1986年年初,他們編寫了「大腦(Brain)」病毒,又被稱為「巴基斯坦」病毒。該病毒運行在DOS操作系統下,通過軟盤傳播,只在盜拷軟體時才發作,發作時將盜拷者的硬碟剩餘空間吃掉。
5、1988年11月美國國防部的軍用計算機網路遭受莫里斯病毒襲擊,致使美國Internet網路上6000多計算機感染,直接經濟損失9600萬美元。莫里斯病毒是由康乃爾大學23歲的羅特•莫里斯製作。後來出現的各類蠕蟲,都是仿造了莫里斯蠕蟲,以至於人們將該病毒的編制者莫里斯稱為「蠕蟲之父」。
6、1999年 Happy99、美麗殺手(Melissa)等完全通過Internet傳播的病毒的出現標志著Internet病毒將成為病毒新的增長點。其特點就是利用Internet的優勢,快速進行大規模的傳播,從而使病毒在極短的時間內遍布全球。
7、CIH病毒是繼DOS病毒的第四類新型病毒,CIH這三個字母曾經代表著災難。1998年8月從台灣傳入大陸,共有三個主要版本:1.2版/1.3版/1.4版,發作時間分別是4月26日、6月26日、每月26日。該病毒是第一個直接攻擊、破壞硬體的計算機病毒,是迄今為止破壞最為嚴重的病毒。
CIH病毒製造者 陳盈豪 曾有兩次精神科門診記錄,被人們認為是「電腦鬼才」。
8、2000年的5月,通過電子郵件傳播的"愛蟲"病毒迅速在世界各地蔓延,更大規模的發作,造成全世界空前的計算機系統破壞。 I LOVE YOU愛蟲病毒是使用VB Script程序語言編寫的病毒,它主要是通過一封信件標題為「I LOVE YOU"的電子郵件傳播的。一旦執行附加文件,病毒會獲取Outlook通訊錄的名單,並自動發出「I LOVE YOU」電子郵件,從而導致網路阻塞。破壞性:愛蟲病毒的傳播會導致網路癱瘓,病毒發作時,還會把*.mp3、*.jpg等10種文件改為*.vbs,並傳染覆蓋這些文件。
與愛蟲病毒相似的網路病毒還有Melissa(美麗殺手病毒)等。
9、著名的「黑色星期五」病毒在逢13號的星期五發作。
10、2001年9月18日出現的Nimda病毒則是病毒演變過程中的另一個里程碑,它首次利用了系統中的漏洞對互聯網發起攻擊,具備了典型的黑客特徵。它的出現意味著,混合著多種黑客手段的病毒從此誕生。
尼姆達是一種新型的、復雜的、發送大量郵件的蠕蟲病毒,它通過網路進行傳播。尼姆達病毒總是偽裝成一封主題行空缺的電子郵件展開對計算機的侵襲。打開這封「來歷不明」的電子郵件,就會發現隨信有一個名為readme.exe(即可執行自述文件)的附件,如果該附件被打開,尼姆達就順利地完成了侵襲電腦的第一步。接下來,該病毒不斷搜索區域網內共享的網路資源,將病毒文件復制到用戶計算機中,並隨機選擇各種文件作為附件,再按照用戶儲存在計算機里的郵件地址發送病毒,以此完成病毒傳播的一個循環過程。
11、2002年,求職信Klez病毒,郵件病毒,主要影響微軟的Outlook Express用戶。
12、「附件在哪啊?你找到我嗎?放心打開來,這是一個重要文件,可以查殺QQ病毒的專殺工具請查收附件。」如果你收到一封這樣的電子郵件,千萬不要打開,這是國內第一例中文混合型病毒,會導致電腦里的各種密碼,包括操作系統、網路游戲、電子郵件的各種密碼被竊取。
13、沖擊波,2003年8月11日,沖擊波席捲全球,利用微軟網路介面RPC漏洞進行傳播,造成眾多電腦中毒,機器不穩定,重啟,死機,部分網路癱瘓,沒打過補丁的WINDOWS操作系統很難逃出它的魔爪。
14、震盪波:具有類似沖擊波的表現形式,感染的系統重新啟動計算機,原因是給蠕蟲病毒導致系統文件lsess.Exe的崩潰。
15、小球病毒,作為Dos時代的老牌病毒,它也是國內流行起來的第一例電腦病毒。小球病毒可以險惡地控制電腦,使程序運行緩慢甚至無法運行。
特洛伊木馬,一經潛入,後患無窮
據說在海灣戰爭中,美國防部一秘密機構曾對伊拉克的通訊系統進行了有計劃的病毒攻擊,一度使伊拉克的國防通訊陷於癱瘓。
1、MSN小丑(MsnFunny),自動向用戶的msn發送消息和病毒
2、Word文檔殺手:破壞文檔數據,記錄管理員密碼。
3、雛鷹(BBeagle):木馬程序,電子郵件傳播,監測系統時間,2004年2月25日則自動退出。
4、好大(Sobig):1分鍾300封病毒郵件
5、紅色代碼(I-Worm Redcode):感染對象,伺服器,修改伺服器網站網頁
6、藍色代碼(Bluecode):啟動多個進程,系統運行速度非常慢,cpu佔用率急速上升,甚至癱瘓
7、密碼殺手2004:通過鍵盤記錄技術截取幾乎所有登錄窗口的輸入信息,通過電子郵件發送給病毒作者。
8、挪威客(Mydoom.e):瘋狂發送帶毒郵件,隨機刪除計算機數據。
9、網路天空(Netsky):帶毒郵件大量傳播,消耗網路資源,影響企業的郵件伺服器
10、武漢男生:qq發送誘惑信息,盜取傳奇密碼以郵件形式發給盜密碼者,並結束多種反病毒軟體。
11、證券大盜(PSW.Soufan):特洛伊木馬,盜取多家證券交易系統的交易賬戶和密碼。記錄鍵盤信息的同時通過屏幕快照將用戶資料已圖片形式發送。
2008年度十大病毒/木馬
根據病毒危害程度、病毒感染率以及用戶的關注度,計算出綜合指數,最終得出以下十大病毒/木馬為2008年最具影響的十大病毒/木馬。
1、 機器狗系列病毒
關鍵詞:底層穿磁碟 感染系統文件
機器狗病毒因最初的版本採用電子狗的照片做圖標而被網民命名為「機器狗」,該病毒變種繁多,多表現為殺毒軟體無法正常運行。該病毒的主要危害是充當病毒木馬下載器,通過修改注冊表,讓大多數流行的安全軟體失效,然後瘋狂下載各種盜號工具或黑客工具,給廣大網民的網路虛擬財產造成巨大威脅。
機器狗病毒直接操作磁碟以繞過系統文件完整性的檢驗,通過感染系統文件(比如explorer.exe,userinit.exe,winhlp32.exe等)達到隱蔽啟動;通過底層技術穿透冰點、影子等還原系統軟體導致大量網吧用戶感染病毒,無法通過還原來保證系統的安全;通過修復SSDT、映像挾持、進程操作等方法使得大量的安全軟體失去作用;聯網下載大量的盜號木馬。部分機器狗變種還會下載ARP惡意攻擊程序對所在區域網(或者伺服器)進行ARP欺騙影響網路安全。
2、AV終結者病毒系列
關鍵詞:殺毒軟體無法打開 反復感染
AV終結者最大特點是禁用所有殺毒軟體以及大量的安全輔助工具,讓用戶電腦失去安全保障;破壞安全模式,致使用戶根本無法進入安全模式清除病毒;強行關閉帶有病毒字樣的網頁,只要在網頁中輸入「病毒」相關字樣,網頁遂被強行關閉,即使是一些安全論壇也無法登陸,用戶無法通過網路尋求解決辦法;在磁碟根目錄下釋放autorun.Inf,利用系統自播放功能,如果不加以清理,重裝系統以後也可能反復感染。
2008年年末出現的「超級AV終結者」結合了AV終結者、機器狗、掃盪波、autorun病毒的特點,是金山毒霸「雲安全」中心捕獲的新型計算機病毒。它對用戶具有非常大的威脅。它通過微軟特大漏洞MS08067在區域網傳播,並帶有機器狗的穿還原功能,下載大量的木馬,對網吧和區域網用戶影響極大。
3、onlinegames系列
關鍵詞:網游 盜號
這是一類盜號木馬系列的統稱,這類木馬最大的特點就是通過ShellExecuteHooks啟動,盜取流行的各大網路游戲(魔獸,夢幻西遊等)的帳號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗殺毒軟體,但經常伴隨著超級Av終結者、機器狗等病毒出現。
4 、HB蝗蟲系列木馬
關鍵詞:網游盜號
HB蝗蟲病毒新型變種是金山毒霸「雲安全」中心截獲的年末最「牛」的盜號木馬病毒。該系列盜號木馬技術成熟,傳播途徑廣泛,目標游戲非常的多(存在專門的生成器),基本囊括了市面上大多數的游戲,例如魔獸世界、大話西遊onlineII、劍俠世界、封神榜II、完美系列游戲、夢幻西遊、魔域等等。
該類木馬主要通過網頁掛馬、流行病毒下載器傳播。而傳播此盜號木馬的的下載器一般會對抗殺毒軟體,造成殺毒軟體不能打開、電腦反映速度變慢。
5 、掃盪波病毒
關鍵詞:新型蠕蟲 漏洞
這是一個新型蠕蟲病毒。是微軟「黑屏」事件後,出現的最具攻擊性的病毒之一。「掃盪波」運行後遍歷區域網的計算機並發起攻擊,攻擊成功後,被攻擊的計算機會下載並執行一個下載者病毒,而下載者病毒還會下載「掃盪波」,同時再下載一批游戲盜號木馬。被攻擊的計算機中「掃盪波」而後再向其他計算機發起攻擊,如此向互聯網中蔓延開來。據了解,之前發現的蠕蟲病毒一般通過自身傳播,而掃盪波則通過下載器病毒進行下載傳播,由於其已經具備了自傳播特性,因此,被金山毒霸反病毒工程師確認為新型蠕蟲。
微軟宣布「黑屏」後的第3天,緊急發布了MS08-067安全公告,提示用戶注意一個非常危險的漏洞,而後利用該漏洞發動攻擊的惡意程序不斷涌現;10月24日晚,金山發布紅色安全預警,通過對微軟MS08-067漏洞進行詳細的攻擊原型模擬演示,證實了黑客完全有機會利用微軟MS08-067漏洞發起遠程攻擊,微軟操作系統面臨大面積崩潰威脅;11月7日,金山再次發布預警,「掃盪波」病毒正在利用該漏洞進行大面積攻擊;11月7日晚,金山已證實「掃盪波」實為一個新型蠕蟲病毒,並發布周末紅色病毒預警。
6、QQ盜聖
關鍵詞:QQ盜號
這是QQ盜號木馬系列病毒,病毒通常釋放病毒體(類似於UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安裝目錄(C:\Program Files\Internet Explore\),通過注冊表Browser Helper Objects實現開機自啟動。當它成功運行後,就把之前生成的文件注入進程,查找QQ登陸窗口,監視用戶輸入盜取的帳號和密碼,並發送到木馬種植者指定的網址。
7、RPC盜號者
關鍵詞:不能復制粘貼
該系列木馬採用替換系統文件,達到開機啟動的目的,由於替換的是RPC服務文件rpcss.dll ,修復不當,會影響系統的剪切板、上網等功能。部分版本加入了反調試功能,導致開機的時候系統載入緩慢。
8、偽QQ系統消息
關鍵詞:QQ系統消息,殺毒軟體不能使用
經金山毒霸「雲安全」檢測為釣魚程序,病毒最大的特點是偽裝QQ系統消息,用戶一旦點擊,錢財及電腦安全將面臨巨大威脅。
該病毒的綜合破壞能力比較強,它利用AUTO技術自動傳播,當進入電腦後就運行自帶的對抗模塊,嘗試映像劫持或直接關閉用戶系統中的安全軟體。病毒還帶有下載器的功能,可下載其它木馬到電腦中運行。
9、QQ幽靈
關鍵詞:QQ 木馬下載器
此病毒查找QQ安裝目錄,並在其目錄釋放一個精心修改psapi.dll,當QQ啟動的時候將會將這個dll文件載入(程序載入dll文件的順序1:應用程序的安裝目錄2:當前的工作目錄3:系統目錄4:路徑變數),從而執行惡意代碼下載大量病毒到用戶電腦。
10、磁碟機
關鍵詞:無法徹底清除 隱蔽
磁碟機與AV終結者、機器狗極為相似。最大特點是導致大量用戶殺毒軟體和安全工具無法運行,進入安全模式後出現藍屏現象;而且更為嚴重的是,由於Exe文件被感染,重裝系統仍無法徹底清除。
磁碟機病毒主要通過網站掛馬、U盤、區域網內的ARP傳播等方式進行傳播,而且非常隱蔽,病毒在傳播過程中,所利用的技術手段都是用戶甚至殺毒軟體無法截獲的。病毒一旦在用戶電腦內成功運行後,會自動下載自己的最新版本以及大量的其他一些木馬到本地運行,盜取用戶虛擬資產和其他機密信息;同時該病毒會感染用戶機器上的exe文件,包括壓縮包內的exe文件,並會通過UPX加殼,導致用戶很難徹底清除。
二、2008年計算機病毒、木馬的特點分析
2008年是病毒、木馬異常活躍的一年。從病毒傳播的角度看2008年大量的病毒通過網頁掛馬方式進行傳播,主要利用的是realplay,adobe flash和IE漏洞進行傳播。從病毒的運作模式看2008年大量病毒採用的方式是下載器對抗安全軟體,關閉安全軟體然後下載大量盜號木馬到用戶電腦--盜取用戶網游的賬號發送到黑客的資料庫。從病毒的危害來看2008年絕大多數流行的病毒都為網游盜號類木馬,其次是遠程式控制制類木馬。
1、病毒製造進入「機械化」時代
由於各種病毒製作工具的泛濫和病毒製作的分工更加明細和程式化,病毒作者開始按照既定的病毒製作流程製作病毒。病毒製造進入了「機械化」時代。
這種「機械化」很大程度上得益於病毒製作門檻的降低和各種製作工具的流行。「病毒製造機」是網上流行的一種製造病毒的工具,病毒作者不需要任何專業技術就可以手工製造生成病毒。金山毒霸全球反病毒監測中心通過監測發現網路上有諸多此類廣告,病毒作者可根據自己對病毒的需求,在相應的製作工具中定製和勾選病毒功能。病毒傻瓜式製作導致病毒進入「機械化」時代。
病毒的機械化生產導致病毒數量的爆炸式增長。反病毒廠商傳統的人工收集以及鑒定方法已經無法應對迅猛增長的病毒。金山毒霸2009依託於「雲安全」技術,一舉實現了病毒庫病毒樣本數量增加5倍、日最大病毒處理能力提高100倍 、緊急病毒響應時間縮短到1小時以內,給用戶帶來了更好的安全體驗。
2、病毒製造的模塊化、專業化特徵明顯
病毒團伙按功能模塊發外包生產或采購技術先進的病毒功能模塊,使得病毒的各方面功能都越來越「專業」,病毒技術得以持續提高和發展,對網民的危害越來越大,而解決問題也越來越難。例如年底出現的「超級AV終結者」集病毒技術之大成,是模塊化生產的典型代表。
在專業化方面,病毒製造業被自然的分割成以下幾個環節:病毒製作者、病毒批發商、病毒傳播者、「箱子」批發商、「信封」批發商、「信封」零售終端。病毒作者包括有「資深程序員」,甚至可能有逆向工程師。病毒批發商購買病毒源碼,並進行銷售和生成木馬。病毒傳播者負責將病毒通過各種渠道傳播出去,以盜取有價值的QQ號碼、游戲帳號、裝備等。「箱子」批發商通過出租或者銷售「箱子」(即可以盜取虛擬資產的木馬,可以將盜取的號碼收集起來)牟利,他們往往擁有自己的木馬或者木馬生成器。「信封」批發商通過購買或者租用「箱子」,通過出售收獲的信封牟利。「信封」零售終端負責過濾「信封」中收集到的有價值的虛擬資產並進行銷售。每個環節各司其職,專業化趨勢明顯。
3、病毒「運營」模式互聯網化
病毒團伙經過2008一年的運營已經完全轉向互聯網,攻擊的方式一般為:通過網站入侵—>寫入惡意攻擊代碼–>利用成為新型網路病毒傳播的主要方式,網民訪問帶有掛馬代碼的『正常網站』時,會受到漏洞攻擊而『不知不覺』中毒。這種傳播方式的特點是快速、隱敝性強、適合商業化運營(可像互聯網廠商一樣精確統計收益,進行銷售分成)。
例如 「機器狗」病毒,「商人」購買之後,就可以通過「機器狗」招商。因為機器狗本身並不具備「偷」東西的功能,只是可以通過對抗安全軟體保護病毒,因此「機器狗」就變成了病毒的渠道商,木馬及其他病毒都紛紛加入「機器狗」的下載名單。病毒要想加入這些渠道商的名單中,必須繳納大概3000塊錢左右的「入門費」。而「機器狗」也與其他類似的「下載器」之間互相推送,就像正常的商業行為中的資源互換。這樣,加入了渠道名單的病毒就可以通過更多的渠道進入用戶的電腦。病毒通過哪個渠道進入的,就向哪個渠道繳費。
此外,病毒的推廣和銷售都已經完全互聯網化。病毒推廣的手法包括通過一些技術論壇進行推廣,黑客網站也是推廣的重要渠道,此外還包括網路貼吧、QQ群等渠道進行推廣。其銷售渠道也完全互聯網化,銷售的典型渠道包括:公開拍賣網站,比如淘寶、易趣等。還有通過QQ直銷,或者通過專門網站進行銷售。
4、病毒團伙對於「新」漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。當ms08-67漏洞被爆光後部分流行木馬下載器就將此漏洞的攻擊代碼集成到病毒內部實現更廣泛的傳播。而年底出現的IE0day漏洞,掛馬集團從更新掛馬連接添加IE 0day漏洞攻擊代碼到微軟更新補丁已經過了近10天。期間有上千萬網民訪問過含有此漏洞攻擊代碼的網頁。
此外,2008年Flash player漏洞也給諸多網民造成了損失。由於軟體在自身設計、更新、升級等方面的原因,存在一些漏洞,而這些漏洞會被黑客以及惡意網站利用。在用戶瀏覽網頁的過程中,通過漏洞下載木馬病毒入侵用戶系統,進行遠程式控制制、盜竊用戶帳號和密碼等,從而使用戶遭受損失。
金山毒霸團隊密切關注windows系統軟體漏洞和第三方應用軟體漏洞信息,及時更新漏洞庫信息,同時金山清理專家採用P2SP技術,大大提高了補丁下載的速度,減少了用戶電腦的風險暴露時間。
5、 病毒與安全軟體的對抗日益激烈
在病毒產業鏈分工中,下載器扮演了『黑社會』的角色,它結束並破壞殺毒軟體,穿透還原軟體,『保護』盜號木馬順利下載到用戶機器上,通過『保護費』和下載量分臟。下載者在2008年充當了急先鋒,始終跑在對抗殺毒軟體的第一線,出盡風頭且獲得豐厚回報。
從『AV終結者』的廣泛流行就不難看出,對抗殺毒軟體已經成為下載者病毒的『必備技能』。
縱觀08年的一些流行病毒,如機器狗、磁碟機、AV終結者等等,無一例外均為對抗型病毒。而且一些病毒製作者也曾揚言「餓死殺毒軟體」。對抗殺毒軟體和破壞系統安全設置的病毒以前也有,但08年表現得尤為突出。主要是由於大部分殺毒軟體加大了查殺病毒的力度,使得病毒為了生存而必須對抗殺毒軟體。這些病毒使用的方法也多種多樣,如修改系統時間、結束殺毒軟體進程、破壞系統安全模式、禁用windows自動升級等功能。
病毒與殺毒軟體對抗特徵主要表現為對抗頻率變快,周期變短,各個病毒的新版本更新非常快,一兩天甚至幾個小時更新一次來對抗殺毒軟體。
金山毒霸通過強化自保護功能,提高病毒攻擊的技術門檻。目前,金山毒霸雲安全體系可以做到病毒樣本的收集、病毒庫更新測試和升級發布全無人值守,自動化的解決方案以應對病毒傳播製作者不斷花樣翻新的挑戰。
三、2009年計算機病毒、木馬發展趨勢預測
1、0Day漏洞將與日俱增
2008年安全界關注的最多的不是Windows系統漏洞,而是每在微軟發布補丁隨後幾天之後,黑客們放出來的0Day 漏洞,這些漏洞由於處在系統更新的空白期,使得所有的電腦都處於無補丁的可補的危險狀態。
黑客在嘗到0day漏洞攻擊帶來的巨大感染量和暴利以後會更加關注於0day漏洞的挖掘,2009年可能會出現大量新的0day漏洞(含系統漏洞及流行互聯網軟體的漏洞),病毒團伙利用0day漏洞的發現到廠商發布補丁這一時間差發動漏洞攻擊以賺取高額利潤。
2、網頁掛馬現象日益嚴峻
網頁掛馬已經成為木馬、病毒傳播的主要途徑之一。入侵網站,篡改網頁內容,植入各種木馬,用戶只要瀏覽被植入木馬的網站,即有可能遭遇木馬入侵,甚至遭遇更猛烈的攻擊,造成網路財產的損失。
2008年,網站被掛馬現象屢見不鮮,大到一些門戶網站,小到某地方電視台的網站,都曾遭遇掛馬問題。伴隨著互聯網的日益普及,網頁掛馬已經成為木馬、病毒傳播的主要途徑之一的今天,金山毒霸反病毒工程師預測2009年網路掛馬問題將更加嚴峻,更多的網站將遭遇木馬攻擊。
3、病毒與反病毒廠商對抗將加劇
隨著反病毒廠商對於安全軟體自保護能力的提升,病毒的對抗會越發的激烈。病毒不再會局限於結束和破壞殺毒軟體,隱藏和局部『寄生』系統文件的弱對抗性病毒將會大量增加。
4、新平台上的嘗試
病毒、木馬進入新經濟時代後,肯定是無孔不入;網路的提速讓病毒更加的泛濫。因此在2009年,我們可以預估vista系統,windows 7系統的病毒將可能成為病毒作者的新寵;當我們的智能手機進入3G時代後,手機平台的病毒/木馬活動會上升。軟體漏洞的無法避免,在新平台上的漏洞也會成為病毒/木馬最主要的傳播手段。
四、2009年反病毒技術發展趨勢
在病毒製作門檻的逐步降低,病毒、木馬數量的迅猛增長,反病毒廠商與病毒之間的對抗日益激烈的大環境下,傳統「獲取樣本->特徵碼分析->更新部署」的殺毒軟體運營模式,已無法滿足日益變化及增長的安全威脅。在海量病毒、木馬充斥互聯網,病毒製作者技術不斷更新的大環境下,反病毒廠商必須要有更有效的方法來彌補傳統反病毒方式的不足,「雲安全」應運而生。
金山毒霸「雲安全」是為了解決木馬商業化的互聯網安全形勢應運而生的一種安全體系結構。它包括智能化客戶端、集群式服務端和開放的平台三個層次。「雲安全」是現有反病毒技術基礎上的強化與補充,最終目的是為了讓互聯網時代的用戶都能得到更快、更全面的安全保護。
首先穩定高效的智能客戶端,它可以是獨立的安全產品,也可以作為與其他產品集成的安全組件,比如金山毒霸 2009和網路安全中心等,它為整個雲安全體系提供了樣本收集與威脅處理的基礎功能;
其次服務端的支持,它是包括分布式的海量數據存儲中心、專業的安全分析服務以及安全趨勢的智能分析挖掘技術,同時它和客戶端協作,為用戶提供雲安全服務;
最後,雲安全需要一個開放性的安全服務平台作為基礎,它為第三方安全合作夥伴提供了與病毒對抗的平台支持,使得缺乏技術儲備與設備支持的第三方合作夥伴,也可以參與到反病毒的陣線中來,為反病毒產業的下游合作夥伴提供商業上的激勵,擺脫目前反病毒廠商孤軍奮戰的局面。
❷ 我的電腦中了洛克伊木馬病毒應該用什麼殺毒軟才能把這個病毒殺掉
如何識別木馬
識別木馬有新招,希望這篇文章對你有所幫助。
一、經常看到有玩家說,在輸入自己的帳號的時候通故意輸錯帳號和碼。其芹中碧實培凳這種木馬是最早期的木馬程序。現在已經很少有編木馬程序的程序員,還按照這種監聽鍵盤記錄的思路去編寫木馬程序。現在的木馬程序已經發展到通過內存提取數據來獲得用戶的帳號和密碼。大家都知道,不管是傳奇還是任何一款程序。它都是有他所特有的數據的(包括玩家的帳號、密碼,等級裝備資料等等)。這些數據都是會通過本機與游戲伺服器取得了驗證以後,玩家的角色資料才會出現在玩家的面前。而這些數據在運行的時候都是存放在計算機的內存裡面的。木馬作者只需要在自己的程序裡面加入條件語句就可以取得玩家真實的游戲帳號、密碼、角色等級~~~~~,以我自己的計算機知識,這種語句的大概意思應該是:當游戲進程進入到讓玩家選擇角色的時候再從內存中提取最後一次的帳號、密碼、角色等級等資料。也就是說,其實玩家之前所做的故意輸錯帳號或密碼完全是浪費自己的表情、浪費自己的時間。
下邊先來說一下木馬是如何通過網頁進入你的電腦的,相信大家都知道,現在有很多圖片木馬,EML和EXE木馬,其中的圖片木馬其實很簡單,就是把木馬exe文件的文件頭換成bmp文件的文件頭,然後欺騙IE瀏覽器自動打開該文件,然後利用網頁里的一段javaSCRIPT小程序調用DEBUG把臨時文件里的bmp文件還原成木馬exe文件並拷貝到啟動項里,接下來的事情很簡單,你下次啟動電腦的時候就是你噩夢的開始了,EML木馬更是傳播方便,把木馬文件偽裝成audio/x-wav聲音文件,這樣你接收到這封郵件的時候只要瀏覽一下,不需要你點任何連接,windows就會為你代勞自動播放這個他認為是wav的音樂文件,木馬就這樣輕松的進入你的電腦,這種木馬還可以frame到網頁里,只要打開網頁,木馬就會自動運行,另外還有一種方法,就是把木馬exe編譯到.JS文件里,然後在網頁里調用,同樣也可以無聲無息的入侵你的電腦,這只是些簡單的辦法,還有遠程式控制制和共享等等漏洞可以鑽,知道這些,相信你已經對網頁木馬已經有了大概了解,
簡單防治的方法:
開始-設置-控制面版-添加刪除程序-windows安裝程序-把附件里的windows scripting host去掉,然後打開Internet Explorer瀏覽器,點工具-Internet選項-安全-自定義級別,把裡面的腳本的3個選項全部禁用,然後嫌舉把「在中載入程序和文件」禁用,當然這只是簡單的防治方法,不過可能影響一些網頁的動態java效果,不過為了安全就犧牲一點啦,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可以加裝防火牆,再到微軟的網站打些補丁,反正我所知道的網吧用的都是原始安裝的windows,很不安全哦,還有盡量少在一些小網站下載一些程序,尤其是一些號稱黑客工具的軟體,小心盜不著別人自己先被盜了,當然,如果你執意要用的話,號被盜了也應該付出這個代價吧。還有,不要以為裝了還原精靈就很安全,據我所知,一般網吧的還原精靈都只還原c:盤即系統區,所以只要木馬直接感染你安裝在別的盤里的游戲執行文件,你照樣逃不掉的。
下邊介紹一下木馬和如何簡單的檢查一下是否中了木馬。
木馬程序一般分為伺服器端程序和客戶端程序兩個部分,當伺服器端程序安裝在某台連接到網路的電腦後,就能使用客戶端程序對其進行登陸。這和PcAnywhere以及NetMeeting的遠程式控制制功能相似。但不同的是,木馬是非法取得對對方電腦的控制權,一旦登陸成功,就可以取得管理員級的權利,對方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的「偽黑客」很少使用,因為一不小心就會引火上身,被對方反查過來就會偷雞不成蝕把米了,一般他們都會採用只有伺服器端的小木馬,這類木馬通常會把截取的密碼發到一個免費郵箱里,不需要人為操作,有空去收趟郵件就可以了,這種木馬遍布互連網的各個角落,的確防不勝防,由於木馬程序眾多,加之不斷有新版本、新品種產生,使得軟體無法完全應付,所以手動檢查清除是十分必要的。
木馬會想盡一切辦法隱藏自己,別指望在任務管理器里看到他們的蹤影,有些木馬更是會和一些系統進程寄生在一起的,如著名的廣外幽靈就是寄生在MsgSrv32.exe里;當然它也會悄無聲息地啟動,木馬會在每次用戶啟動windows時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法木馬都會用上,如啟動組、win.ini、system.ini、注冊表等等都是木馬藏身之地;下邊簡單說一下如何檢查,點開始-運行,輸入:
msconfig回車 就會打開系統配置實用程序,先點system.ini,看看shell=文件名,正確的文件名應該是「explorer.exe」,如果explorer.exe後邊還跟有別的程序的話,就要好好檢查這個程序了,然後點win.ini,「run=」和「load=」是可能載入「木馬」程序的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了,當然你也得看清楚,因為如「AOL木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件;最後點「啟動」,檢查裡面的啟動項是不是有不熟悉的,如果你實在不清楚的話可以把他們全部取消,然後重新運行msconfig,看一下有沒有取消的啟動項重新被選中的,一般木馬都會存在於內存中,(就是線程插入,然後隱藏進程的木馬,DLL無進程木馬就不會駐留在內存裡面,我們在下一次中會講到)所以發現你取消他的啟動項就會自動添加上的,然後你就可以逐步添上你的輸入法,音量控制,防火牆等軟體的啟動項了;還有一類木馬,他是關聯注冊表的文件打開方式的,一般木馬經常關聯.exe,點開始-運行,輸入:regedit回車,打開注冊表編輯器,點第一條,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command裡面的默認鍵值是不是"%1" %* ,如果是一個程序路徑的話就一定是中木馬了,另外配合兩種以上的殺毒軟體也是必要的,另外在windows下木馬一般很難清除,最後重新啟動到dos環境下再進行查殺。
防木馬程序、防火牆、及殺毒軟體介紹:
1、木馬剋星: 專業的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌~!
2、綠鷹PC萬能精靈2.91 :專業的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌~!
3、Symantec AntiVirus:這個我就不用再介紹了吧,全球最大的殺毒軟體!強力推薦8.1企業版。
4、天網防火牆2.51個人版:天網防火牆個人版在網路效率與系統安全上完全採用天網防火牆的設計思想,採用最底層的網路驅動隔絕,其作用層在網路硬體與Windows網路驅動之間,在黑客攻擊數據接觸Windows網路驅動之前將所有的攻擊數據攔截,保護脆弱的Windows網路驅動不會崩潰
看看這個,是用VB編的木馬程序
1.「特洛伊木馬」有被稱為BO, 是在美國一次黑客技術討論會上由一個黑客組織推出的。它其實是一種客戶機/伺服器程序,其利用的原理就是:在本機直接啟動運行的程序擁有與使用者相同的許可權。因此如果能夠啟動伺服器端(即被攻擊的計算機)的伺服器程序,就可以使用相應的客戶端工具客戶程序直接控制它了。下面來談談如何用VB來實現它。
使用VB建立兩個程序,一個為客戶端程序Client,一個為伺服器端程序systry。
在Client工程中建立一個窗體,載入WinSock控制項,稱為tcpClient,協議選擇TCP,再加入兩個文本框,用以輸入伺服器的IP地址或伺服器名,然後建立一個按鈕,按下之後就可以對連接進行初始化了,代碼如下:
Private Sub cmdConnect_Click()
If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then
MsgBox ("請輸入主機名或主機IP地址。")
Exit Sub
Else
If Len(Text1.Text) > 0 Then
tcpClient.RemoteHost = Text1.Text
Else
tcpClient.RemoteHost = Text2.Text
End If
End If
tcpClient.Connect
Timer1.Enabled = True
End Sub
連接建立之後就可以使用DataArrival事件處理所收到的數據了。
連接建立之後就可以使用DataArrival事件處理所收到的數據了。
在伺服器端systry工程也建立一個窗體,載入WinSock控制項,稱為tcpServer,協議選擇TCP,在Form_Load事件中加入如下代碼:
Private Sub Form_Load()
tcpServer.LocalPort = 1999
tcpServer.Listen
End Sub
准備應答客戶端程序的請求連接,使用ConnectionRequest事件來應答戶端程序的請求,代碼如下:
Private Sub tcpServer_ConnectionRequest
(ByVal requestID As Long)
If tcpServer.State < > sckClosed Then
tcpServer.Close『檢查控制項的 State 屬性是否為關閉的。
End If 』如果不是,在接受新的連接之前先關閉此連接。
tcpServer.Accept requestID
End Sub
這樣在客戶端程序按下了連接按鈕後,伺服器端程序的ConnectionRequest事件被觸發,執行了以上的代碼。如果不出意外,連接就被建立起來了。
2. 建立連接後伺服器端的程序通過DataArrival事件接收客戶機端程序所發的指令運行既定的程序。如:把伺服器端的驅動器名、目錄名、文件名等傳到客戶機端,客戶機端接收後用TreeView控制項以樹狀的形式顯示出來,瀏覽伺服器端文件目錄;強制關閉或重啟伺服器端的計算機;屏蔽任務欄窗口;屏蔽開始菜單;按照客戶機端傳過來的文件名或目錄名,而刪除它;屏蔽熱啟動鍵;運行伺服器端的任何程序;還包括獲取目標計算機屏幕圖象、窗口及進程列表;激活、終止遠端進程;打開、關閉、移動遠端窗口;控制目標計算機滑鼠的移動與動作;交換遠端滑鼠的左右鍵;在目標計算機模擬鍵盤輸入,下載、上裝文件;提取、創建、修改目標計算機系統注冊表關鍵字;在遠端屏幕上顯示消息。DataArrival事件程序如下:
Private Sub tcpServer_DataArrival
(ByVal bytesTotal As Long)
Dim strData As String
Dim i As Long
Dim mKey As String
tcpServer.GetData strData
『接收數據並存入strData
For i = 1 To Len(strData)
『分離strData中的命令
If Mid(strData, i, 1) = "@" Then
mKey = Left(strData, i - 1)
『把命令ID號存入mKey
『把命令參數存入strData
strData = Right(strData, Len(strData) - i)
Exit For
End If
Next i
Select Case Val(mKey)
Case 1
『驅動器名、目錄名、文件名
Case 2
強制關閉伺服器端的計算機
Case 3
強制重啟伺服器端的計算機
Case 4
屏蔽任務欄窗口;
Case 5
屏蔽開始菜單;
Case 6
按照客戶機端傳過來的文件名或目錄名,而刪除它;
Case 7
屏蔽熱啟動鍵;
Case 8
運行伺服器端的任何程序
End Select
End Sub
詳細程序略。
客戶機端用tcpClient.SendData發命令。命令包括命令ID和命令參數,它們用符號「@」隔開。
另外,當客戶機端斷開與伺服器端的來接後,伺服器端應用tcpServer_Close事件,來繼續准備接收客戶機端的請求,其代碼如下:
Private Sub tcpServer_Close()
tcpServer.Close
tcpServer.Listen
End Sub
這就是一個最基本的特洛伊木馬程序,只要你的機器運行了伺服器端程序,那別人就可以在千里之外控制你的計算機。至於如何讓伺服器端程序運行就要發揮你的聰明才智了,在我的源程序中有一中方法,是修改系統注冊表的方法。
這就是一個最基本的特洛伊木馬程序,只要你的機器運行了伺服器端程序,那別人就可以在千里之外控制你的計算機。至於如何讓伺服器端程序運行就要發揮你的聰明才智了,在我的源程序中有一中方法,是修改系統注冊表的方法。
成功的特洛伊木馬程序要比這個復雜一些,還有程序的隱藏、自動復制、傳播等問題要解決。警告:千萬不要用BO程序破壞別人的系統。
❸ 計算機病毒
電腦病毒是指具有不良特徵的計算機程序。
法律定義
以下內容是中國大陸的電腦病毒的法律定義,司法部門憑這個就可以逮捕病毒製作和散播者。
1994年2月18日《中華人民共和國計算機信息系統安全保護條例》第二十八條[1]
計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我復制的一組計算機指令或者程序代碼。
電腦病毒的定義一直存在著爭議,不少人包括世界各國的反病毒廠商都將基於網路的木馬、後門程序以及惡意軟體也歸在電腦病毒之列查殺。
中國互聯網協會關於惡意軟體的定義[2]
惡意軟體是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟體,但已被我國現有法律法規規定的計算機病毒除外。
歷史
「病毒」一詞最早用來表達此意是在弗雷德·科恩(Fred Cohen)1984年的論文《電腦病毒實驗》。而病毒一詞廣為人知是得力於科幻小說。一部是70年代中期大衛·傑洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一個叫「病毒」的程序和與之對戰的叫「抗體」的程序;另一部是約翰·布魯勒爾(John Brunner)1975年的小說《乘波者》,描述了一個叫做「磁帶蠕蟲」、在網路上刪除數據的程序。[1]
20世紀60年代初,美國麻省理工學院的一些青年研究人員,在做完工作後,利用業務時間玩一種他們自己創造的計算機游戲。做法是某個人編制一段小程序,然後輸入到計算機中運行,並銷毀對方的游戲程序。而這也可能就是計算機病毒的雛形。
據某計算機安全公司的估算,目前全世界現有20萬有能力寫較成熟電腦病毒的程序員。
運行環境
由於世界操作系統90%的市場都由微軟Windows系列壟斷[2][3] ,所以病毒作者紛紛把病毒針對對象攻擊目標選為Windows,製作病毒者首先應該確定要攻擊的操作系統版本有何漏洞,這才是他所寫的病毒能夠利用的關鍵。至於Linux、Mac OS等使用人群少的操作系統,能夠感染的病毒實在是少的可憐,但這並不說明它系統很完美,只能說用的人群少,病毒作者們認為它們沒有「攻擊價值」罷了,病毒作者大多發布病毒的目的是想出名[4],如果將病毒發布到冷門操作系統下,很可能會導致他的「傑作」被「埋沒」,這是病毒作者們最不願意的。曾有一個為企業修改版的Linux自稱無病毒的操作系統,沒出幾天就得到了黑客們發現漏洞並給以在該系統運行環境下病毒大面積傳播的回擊,所以說暫時還沒有計算機病毒不能誕生和生存的運行環境。
特徵
在計算機科學里,電腦病毒是類似生物病毒一樣的程序,它會復制自己並傳播到其他宿主,並對宿主造成損害。宿主也是程序,通常是操作系統,從而進一步傳染到其他程序、其他的電腦。電腦病毒在傳播期間一般會隱蔽自己,由特定的條件觸發,並開始產生破壞。[5]
電腦病毒具有的不良特徵有傳播性、隱蔽性、感染性、潛伏性、可激發性[6]、表現性或破壞性,通常只表現兩種以上所述的特徵就可以認定該程序是病毒。
主要特徵詳解
傳播性
病毒一般會自動利用25電子郵件埠傳播,利用對象為微軟操作系統捆綁的Outlook的某個漏洞。將病毒自動復制並群發給存儲的通訊錄名單成員。郵件標題較為吸引人點擊,大多利用社會工程學如「親愛的」這樣家人朋友之間親密的話語,以降低人的警戒性。如果病毒製作者再應用腳本漏洞,將病毒直接嵌入郵件中,那麼用戶一點郵件標題打開郵件就會中病毒,這比引誘用戶先去打開郵件然後再下載病毒附件再去運行的方法要高明的多。
隱蔽性
病毒大多用C語言編寫,最大的病毒不過1MB,一般的病毒僅在1KB左右,這樣除了傳播快速之外,隱蔽性也極強。部分病毒使用「無進程」技術或插入到某個系統必要的關鍵進程當中去,所以在任務管理器中找不到它的單獨運行進程。而病毒自身一旦運行後,就會自己修改自己的文件名並隱藏在某個用戶不常去的系統文件夾中,這樣的文件夾通常有上千個系統文件,如果憑手工查找很難找到病毒。而病毒在運行前的偽裝技術也不得不值得我們關注,將病毒和一個吸引人的文件捆綁合並成一個文件,那麼運行正常吸引他的文件時,病毒也在我們的操作系統中悄悄的運行了。
感染性
某些病毒具有感染性,比如感染中毒用戶計算機上的可執行文件,如exe、dll,scr格式,通過這種方法達到自我復制,對自己生存保護的目的,類似於生物病毒的生殖中的克隆過程。通常也可以利用網路共享的漏洞,復制並傳播給鄰近的計算機用戶群,使鄰里通過路由器上網的計算機或網吧的計算機的多台計算機的程序全部受到感染。
潛伏性
部分病毒有一定的「潛伏期」,在特定的日子,如某個節日或者星期幾按時爆發。如1999年的刷BIOS的著名病毒CIH病毒就在每年的4月26日爆發。如同生物病毒一樣,這使電腦病毒可以在爆發之前以最大幅度散播開去。
可激發性
根據病毒作者的「需求」,設置觸發病毒攻擊的「玄機」。如CIH病毒的製作者陳盈豪曾打算設計的病毒,就是「精心」為簡體中文Windows系統所設計的。病毒運行後會主動檢測中毒者操作系統的語言,如果發現操作系統語言為簡體中文,病毒就會自動對計算機發起攻擊,而語言不是簡體中文版本的Windows,那麼你即使運行了病毒,病毒也不會對你的計算機發起攻擊或者破壞。[7]
表現性
病毒運行後,如果按照作者的設計,會有一定的表現特徵,如CPU佔用率100%,在用戶無任何操作下讀寫硬碟或其他磁碟數據,藍屏死機,滑鼠右鍵無法使用等。但這樣明顯的表現特徵反倒幫助被感染病毒者發現自己已經感染病毒並清除病毒很有幫助,隱蔽性就不存在了。
破壞性
某些威力強大的病毒,運行後直接格式化用戶的硬碟數據,更為厲害一些的如CIH可以刷BIOS。一般病毒的破壞對象都集中在對操作系統和硬碟數據的破壞上。但近年來有個別極為強大的病毒,已經開始將攻擊對象瞄準向了計算機硬體,以損毀硬體為破壞目標,一般應用的主要原理是攻擊硬體的頻繁工作如執行大量垃圾程序反復重起進入重新啟動操作系統循環或硬體的超負荷超電壓工作如超頻。
分類
腳本病毒
主條目:宏病毒
宏病毒的感染對象為高級辦公系列軟體,如Microsoft Word,Excel這些辦公軟體本身支持運行命令,所以也被Office文檔中含有惡意的宏病毒所利用。openoffice.org對宏的支持不完善,所以含有宏病毒的文檔在openoffice.org下打開後病毒無法運行。
腳本木馬,是針對用腳本語言編譯論壇或動態頁面時疏忽有可上傳漏洞時使用的木馬,可以將它上傳後進而控制整個伺服器的硬碟數據。
木馬
主條目:特洛伊木馬
一般也叫遠程監控軟體,如果木馬能連通的話,那麼可以說已經得到了遠程計算機的全部操作許可權,操作遠程計算機與操作自己計算機沒什麼大的區別,這類程序可以監視被控用戶的攝像頭與截取密碼。而Windows NT以後的版本自帶的「遠程桌面連接」,如果被不良用戶利用的話,那麼也與木馬沒什麼區別。
惡意程序
主條目:蠕蟲病毒
蠕蟲病毒漏洞利用類,也是我們最熟知的病毒,通常在全世界范圍內大規模爆發的就是它了。如針對舊版本未打補丁的Windows XP的沖擊波病毒和震盪波病毒。
間諜軟體和流氓軟體,是部分不良網路公司出品的一種收集用戶瀏覽網頁習慣而制訂自己廣告投放策略的軟體。這種軟體本身對計算機的危害性不是很大,只是中毒者隱私遭到泄露和一旦安裝上它就無法刪除卸載了。
惡作劇軟體,如破壞性很大的「格盤炸彈」,運行程序後自動格式化硬碟,原本只為「愚人」目的,但這種惡意程序運行後就會對用戶重要數據造成很大的損失。
免殺技術以及新特徵
免殺是指對病毒的處理使之躲過殺毒軟體查殺的一種技術。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說「病毒比殺毒軟體還新,所以殺毒軟體根本無法識別它是病毒」,但由於傳播後部分用戶中毒向殺毒軟體公司舉報的原因,就會引起安全公司的注意並將之特徵碼收錄到自己的病毒庫當中,病毒就會被殺毒軟體所識別。
病毒作者可以通過對病毒進行再次保護如使用匯編技術或者給文件加殼就可以輕易躲過殺毒軟體的病毒特徵碼庫而免於被殺毒軟體查殺。
羅馬尼亞的BitDefender,俄羅斯的Kaspersky Anti-Virus,歐洲的NOD32,以及美國的Norton Antivirus,McAfee等產品在國際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫總數量也都僅在50萬左右。
自我更新性是近年來病毒的又一新特徵。病毒可以藉助於網路進行變種更新,得到最新的免殺版本的病毒並繼續在用戶感染的計算機上運行。
除了自身免殺自我更新之外,個別病毒還具有了對抗它的「天敵」殺毒軟體和防火牆產品反反病毒軟體的全新特徵,只要病毒運行後,病毒會自動破壞中毒者計算機上安裝的殺毒軟體和防火牆產品,導致病毒生存能力更加強大。
防範
安裝並及時更新殺毒軟體與防火牆產品
保持最新病毒庫以便能夠查出最新的病毒,如卡巴斯基反病毒軟體的升級伺服器每3小時就有新病毒庫包可供用戶更新。而在防火牆的使用中應注意到禁止來路不明的軟體訪問網路。
修補操作系統以及其捆綁的軟體的漏洞
主條目:Microsoft Update
打系統以及其捆綁的軟體如Internet Explorer、Windows Media Player的漏洞安全補丁,以操作系統Windows為例Windows NT以及以下版本可以在Microsoft Update補丁系統,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系統的「自動補丁」程序下載補丁進行安裝。關閉系統默認網路共享,防止區域網入侵或蠕蟲傳播。
不要點來路不明連接以及運行不明程序[8]
來路不明的連接很可能是蠕蟲病毒自動通過電子郵件或即時通訊軟體發過來的,如QQ病毒之一的QQ尾巴,大多這樣信息中所帶連接指向都是些利用IE瀏覽器漏洞的網站,用戶訪問這些網站後不用下載直接就可能會中更多的病毒。另外不要運行來路不明的程序,如一些「性誘惑」的文件名騙人吸引人去點擊,點擊後病毒就在系統中運行了。
建議安裝冷門操作系統或偵測類工具包
主條目:後門
冷門操作系統,很少會有病毒作者去思考如何在這樣的環境下爆發他設計的病毒,當然應用於伺服器市場的Linux和FreeBSD就不能算伺服器市場的冷門了,如果個人用戶覺得Linux不錯的話,建議安裝免費的Redhat發行版的Linux,開放源代碼的操作系統漏洞被檢測出來的很多,這樣在實際運行中漏洞就會很少。因為後門如下載者或盜密碼軟體,大多可以因為防火牆自身的原理而穿過網路防火牆,安裝著網路防火牆也沒什麼用,所以建議安裝嗅探類工具,分析網路數據包,這樣您所處在的網路會非常安全。
❹ 程序出現致命錯誤,程序員應該怎麼辦
軟體有bug 不兼容,或者安裝的應用程序軟體損壞,更換版本,或最新最新版試試
以及重新安裝系統,更換一個電腦安裝試試
解決方法:
1.檢查電腦系統損壞,文件受損,中了病毒木馬,惡意軟體等干擾。
2.系統文件損壞或丟失,盜版軟體或系統或,很容易出現該問題。建議:使用完整版或正版系統。
3.安裝的軟體與系統或其它軟體發生沖突,找到發生沖突的軟體,卸載它。如果更新下載補丁不是該軟體的錯誤補丁,也會引起軟體異常,解決辦法:卸載該軟體,重新下載重新安裝試試。順便檢查開機啟動項,把沒必要啟動的啟動項禁止開機啟動。
❺ 求助,急!我的電腦不知道中了什麼病毒,麻煩各位高手幫我分析一下吧,小妹不勝感激!
第一,首先可以肯定的是,你的電腦之所以會出現這么多的毛病,都是由於那個可移動硬碟所引起的。所以,可以確定你的系統並米什麼問題。。。
至於你說的『桌面很乾凈上面一個圖標也沒有』,這很可能是因為那些蠕蟲病毒已經破壞了系統文件夾里的explorer.exe。「然後所有和網路有關的exe文件如qq、rtx(bqq)、飛信等都打不開了,接著用nod32殺毒什麼也殺不出來」你說的這個嘛~應該也是那些病毒更改了系統裡面的注冊表,導致所有聯網的程序和殺毒工具都不能運行。這樣它才可以肆無忌憚的來破壞你系統裡面的文件。這很有可能就是你殺毒不夠徹底,米能殺死所有的毒吧。本人覺得,諾頓並不怎麼好的。建議你還是用卡巴或者驅逐艦吧。這驅逐艦也挺厲害的。偶現在用的就是驅逐艦。。。。
第二,conime.exe 這個進程並不喊巧是什麼病毒,所以你米必要去關注它咯。當然如果有很多和它相同名字的進程,那肯定就是病毒了。下面給你介紹一下這個進程的一些基本情況吧。
conime - conime.exe - 進程信息
進程文件: conime 或者 conime.exe
進程名稱: conime
描述:
conime.exe是輸入法編輯器相關程序。注意:conime.exe同時可能是一個bfghost1.0遠程式控制制後門程序。此程序允許攻擊者訪問你的計算機,鄭則鍵竊取密碼和個人數據。建議立即刪除此進程。
出品者: 微軟
屬於: Microsoft
系統進程: 否
後台程序: 否
使用網路: 否
硬體相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 4
間諜軟體: 否
廣告軟體: 否
病毒: 否
木馬: 否
--------------------------------------
conime.exe進程說明:conime.exe是輸入法編輯器,允許用戶使用標准鍵盤就能輸入復雜的字元與符號! conime.exe同時可能是一個bfghost1.0遠程式控制制後門程序。此程序允許攻盯納擊者訪問你的計算機,竊取密碼和個人數據。建議立即刪除此進程。」
以前總是不知什麼時候這個進程就悄悄啟動了,後來才發現往往在運行cmd.exe之後會出現。但是conime.exe並不是cmd.exe的子進程,它的的父進程ID並沒有在任務管理器中顯示。
conime經常會被病毒利用感染,建議刪除。可以用冰遁或手動刪除(刪除前要結束進程)
不過,刪除之後,在CMD就不能輸入中文了,如果有這個需要的朋友就不要刪除它了。
文件位置:
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\dllcache\conime.exe
第三,下面偶就給你的所有進程作一個仔細的分析吧!!
一、ALG.EXE
進程文件: alg.exe
進程名稱: Application Layer Gateway Service
進程類別:其他進程
英文描述:
alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should
中文參考:
alg.exe是微軟Windows操作系統自帶的程序。它用於處理微軟Windows網路連接共享和網路連接防火牆。應用程序網關服務,為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的支持。該進程屬 Windows 系統服務。這個程序對你系統的正常運行是非常重要的。
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
如果此文件在C:\windows\alg.exe:
這是一個病毒樣本eraseme_88446.exe 釋放到系統中的。
C:\windows\alg.exe偷偷潛入系統後,下次開機時會遇到1-2次藍屏重啟。
特點:
1、C:\windows\alg.exe注冊為系統服務,實現啟動載入。
2、C:\windows\alg.exe控制winlogon.exe進程。因此,在WINDOWS下無法終止C:\windows\alg.exe進程。
3、在IceSword的「埠」列表中可見C:\windows\alg.exe打開5-6個埠訪問網路。
4、C:\windows\alg.exe修改系統文件ftp.exe和tftp.exe。與原系統文件比較,病毒改動後的ftp.exe和tftp.exe文件大小不變,但MD5值均變為(見附圖)。系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。
手工殺毒流程:
1、清理注冊表:
(1)展開:HKLM\System\CurrentControlSet\Services
刪除:Application Layer Gateway Services(指向 C:\windows\alg.exe)
(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將SFCDisable的建值改為dword:00000000
(3)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
刪除:"SFCScan"=dword:00000000
(4)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
刪除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重啟系統。顯示隱藏文件。
3、刪除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp,改名為ftp.exe;找到backup.tftp,改名為tftp.exe。然後,將ftp.exe和tftp.exe拖拽到system32文件夾,覆蓋被病毒改寫過的ftp.exe和tftp.exe。
alg.exe是什麼病毒?
正常的alg.exe是windows自帶的程序,只是有可能被病毒感染或者被偽裝; 字串7
alg - alg.exe - 進程信息
進程文件: alg 或者 alg.exe
進程名稱: Application Layer Gateway Service
描述:
alg.exe是微軟Windows操作系統自帶的程序。它用於處理微軟Windows網路連接共享和網路連接防火牆。這個程序對你系統的正常運行是非常重要的。
字串5
C:\windows\alg.exe病毒:
這是一個病毒樣本eraseme_88446.exe(樣本來自「劍盟」)釋放到系統中的。瑞星今天的病毒庫不報。 字串1
C:\windows\alg.exe偷偷潛入系統後,下次開機時會遇到1-2次藍屏重啟。
字串9
特點:
1、C:\windows\alg.exe注冊為系統服務,實現啟動載入。
2、C:\windows\alg.exe控制winlogon.exe進程。因此,在WINDOWS下無法終止C:\windows\alg.exe進程。
3、在IceSword的「埠」列表中可見C:\windows\alg.exe打開5-6個埠訪問網路。
4、C:\windows\alg.exe修改系統文件ftp.exe和tftp.exe。與原系統文件比較,病毒改動後的ftp.exe和tftp.exe文件大小不變,但MD5值均變為(見附圖)。系統原有的正常文件ftp.exe和tftp.exe被改名為backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目錄下。
字串5
手工殺毒流程:
1、清理注冊表:
(1)展開:HKLM\System\CurrentControlSet\Services
刪除:Application Layer Gateway Services(指向 C:\windows\alg.exe)
字串1
(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將SFCDisable的建值改為dword:00000000 字串8
(3)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
刪除:"SFCScan"=dword:00000000
字串6
(4)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
刪除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM" 字串8
2、重啟系統。顯示隱藏文件。
3、刪除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目錄下找到backup.ftp,改名為ftp.exe;找到backup.tftp,改名為tftp.exe。然後,將ftp.exe和tftp.exe拖拽到system32文件夾,覆蓋被病毒改寫過的ftp.exe和tftp.exe.
二、svchost.exe LOCAL SERVICE
svchost.exe NETWORK SERVICE
svchost.exe NETWORK SERVICE
svchost.exe SYSTEM
svchost.exe SYSTEM
這5個進程是安全的。不是病毒。
正常進程里有5個左右的svchost.exe
svchost.exe,是系統必不可少的一個進程,很多服務都會多多少少用到它,svchost本身只是作為服務宿主,並不實現任何服務功能,需要Svchost啟動的服務以動態鏈接庫形式實現,在安裝這些服務時,把服務的可執行程序指向svchost,啟動這些服務時由svchost調用相應服務的動態鏈接庫來啟動服務。
不過要注意的是 由於這個程序本身特的殊性,很多木馬製造者也盯上了這個文件!
三、System Idle Process進程的作用是在系統空閑的時候分派CPU的時間,它顯示的超過80%以上的CPU資源並不是指的它佔用了這么多CPU資源,恰恰相反,而是表示有80%以上的CPU資源空閑了出來,這里的數字越大表示CPU資源越多,數字越小則表示CPU資源緊張。
四、system
進程文件:System
進程名:System
描述:System - 系統 體制 計劃
系統里確實有system這個進程,但注意,它並不是system.exe,可能是木馬偽裝而成的,還是先查查木馬吧
進程文件:system.exe
進程名稱:system.exe
描述:
system.exe是netcontroller木馬病毒生成的文件,出現在c:\windows目錄下,建議將其刪除。但要系統的system進程區分開來。system進程是沒有.exe的,其信息可見:http://www.pctutu.com/tasklist/system.html
出品者:未知
屬於:未知
系統進程:否
後台進程:否
使用網路:是
硬體相關:是
常見錯誤:未知
內存使用:未知
安全等級:4
間諜軟體:否
廣告軟體:否
病毒:是
木馬:是
system:[ 'sistəm ]
n.
1. 體系;系統[C]
2. 制度,體制[C]
3. 現存社會體制[the S]
4. 秩序,規律[U]
5. 方式,方法[C]
6. 身體,全身[the S]
7. 宇宙,世界[the S]
C語庫函數
函數名: system
功 能: 發出一個DOS命令
用 法: int system(char *command);
程序例:
#include <stdlib.h>
#include <stdio.h>
int main(void)
{
printf("About to spawn command.com and run a DOS command\n");
system("dir");
return 0;
}
五、smss
進程文件: smss or smss.exe
進程名稱: Session Manager Subsystem
描述:
smss.exe是微軟windows操作系統的一部分。該進程調用對話管理子系統和負責操作你系統的對話。這個程序對你系統的正常運行是非常重要的。注意:smss.exe也可能是win32.ladex.a木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。請注意此進程所在的文件夾,正常的進程應該是在windows的system32和servicepackfiles\i386下面。
出品者:microsoft corp.
屬於:microsoft windows operating system
系統進程:是
後台進程:是
使用網路:否
硬體相關:否
常見錯誤:未知
內存使用:未知
安全等級:0
間諜軟體:否
廣告軟體:否
病毒:否
木馬:否
注意:smss.exe進程屬於系統進程,這里提到的木馬smss.exe是木馬偽裝成系統進程
如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,這是一種Windows下的PE病毒,它採用VB6編寫 ,是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項,還會修改系統文件WIN.INI,並在[WINDOWS]項中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除時請先結束病毒進程smss.exe,再刪除%WINDIR%下的smss.exe文件,然後清除它在注冊表和WIN.INI文件中的相關項即可。
六、csrss - csrss.exe
進程文件: csrss 或者 csrss.exe
進程名稱: Microsoft Client/Server Runtime Server Subsystem
描述:
csrss.exe是微軟客戶端/服務端運行時子系統。該進程管理Windows圖形相關任務。這個程序對你系統的正常運行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播,當你打開附件時,即被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者訪問你的計算機,竊取木馬和個人數據。這個進程的安全等級是建議立即進行刪除。
Client/Server Runtime Server Subsystem,客戶端服務子系統,用以控制Windows圖形相關子系統。正常情況下在Windows NT4/2000/XP/2003系統中只有一個CSRSS.EXE進程,正常位於System32文件夾中,若以上系統中出現兩個(其中一個位於Windows文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系統漏洞傳播的一個類似於病毒的小插件,它會產生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,並且在系統啟動項中自動載入,在桌面產生一個名為「新浪遊戲總動園」的快捷方式,不僅如此,新浪還將Nmgamex.dll文件與系統啟動文件rundll32.exe進行綁定,並且偽造系統文件csrss.exe,產生一個同名的文件與系統綁定載入到系統啟動項內,無法直接關閉系統進程後刪除。手工清除方法:先先修改注冊表,清除名為啟動項:NMGameX.dll、csrss.exe,然後刪除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三個文件,再修改Windows文件夾中的csrss.exe文件為任意一個文件名,從新啟動計算機後刪除修改過的csrss.exe文件。
七、winlogon.exe
是系統必須的文件,並不是病毒,這個文件的作用就是啟動和關閉系統的,但是這個文件一定會在WINDOWS\SYSTEM32下,如果出現在別的文件夾下,那可能就是病毒了。
八、Services.exe
進程文件: services 或者 services.exe
進程名稱: Windows Service Controller
描述:
services.exe是微軟Windows操作系統的一部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對你系統的正常運行是非常重要的,正常的services.exe應位於%System%文件夾中,也就是在進程里用戶名顯示為「system」,不過services也可能是W32.Randex.R(儲存在%systemroot%\system32\目錄)和Sober.P (儲存在%systemroot%\Connection Wizard\Status\目錄)木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。該進程的安全等級是建議立即刪除。
九、lsass.exe
是1個系統進程, 文件位於C:\windows\System32 目錄下. 你看任務管理器進程列表有多於1個lsass.exe, 可以搜索硬碟上所有叫lsass.exe的文件, 除了system32目錄下那個, 別的都可以刪除.
進程文件: lsass or lsass.exe
進程名稱: 本地安全許可權服務
描 述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等。
介 紹:這是一個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區邊界檢查,構建超過1000個"AND"的請求,並發送給伺服器,導致觸發堆棧溢出,使Lsass.exe服務崩潰,系統在30秒內重新啟動。
十、spoolsv.exe
這個是 系統自帶的服務,作用是將文件下載到列印機以便斥候列印。如果你的電腦不需要列印功能,可以關閉這個服務。
關閉方法:
我的電腦->管理->服務和應用程序->服務->print spooler
右鍵,屬性,停止,同時啟動類型改為禁用 就可以了。
⑾、stormliv.exe
官方說是解碼器的更新程序 進入控制面板---管理工具---服務---Contrl Center of Storm Media---禁用 可以禁止隨系統啟暴風影音的一個進程 運行msconfig,到進程管理裡面把那個進程前的對勾取消了就,下次就不在啟動了 在你看片的時候它還會自動起來的` 在 控制面板 的 管理工具 中打開 服務 找到Contrl Center of Storm Media 雙擊 在服務狀態下點 停止 在啟動類型中選 已禁用 以後再啟動系統就不會載入了
⑿、smagent.exe
進程名稱:smagent
描述:smagent.exe是analog devices音效卡驅動程序。
⒀、TTraveler.exe
QQ自帶的瀏覽器TT的進程
⒁、 ctfmon或ctfmon.exe
進程名稱: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office語言條。Ctfmon.exe提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持。
常見錯誤: N/A
是否為系統進程: 否
CTFMON.EXE是Office自動載入的文字服務,安裝Office XP後,部分輸入法變得非常難用,卸載Office XP後,它在控制面板中生成的文字服務仍然存在,任務欄中的輸入法也沒有恢復。目前,禁止文字服務自動載入的常用方法有三種:
1.從系統配置實用程序(msconfig.exe)里移除CTFMON.EXE,這個方法並不能真正禁用文字服務,因為當啟動Office程序時,文字服務還會自動載入。
2.在「開始→運行」中鍵入「regedit.exe」,打開「注冊表編輯器」,展開分支「HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run」,將CTFMON.EXE項更名為「INTERNAT.EXE」即可。但此方法在啟動Office後也會失效。
3.以Windows XP為例介紹第三種方法的操作步驟:首先退出所有的Office 程序,進入「控制面板→添加/刪除程序」,選擇「Microsoft Office XP」項,點擊「更改」;在維護模式對話框里選擇「添加或刪除功能」,然後點擊「下一步」;展開「Office共享功能」,點擊「中文可選用戶輸入方法」項,選擇「不安裝」,點擊「更新」;然後進入「控制面板→區域和語言選項」,進入「語言」選項卡,點擊「詳細信息」,在已安裝服務列表中,將除英語(美國)之外的其他輸入法一一刪除;最後點擊「開始→運行」,鍵入「Regsvr32.exe /U msimtf.dll」注銷Msimtf.dll,接著鍵入「Regsvr32.exe /U Msctf.dll」注銷Msctf.dll。這種方法效果不錯,但是操作太繁瑣。
其實筆者還有個簡單實用的方法,就是更名。Office自動載入CTFMON.EXE時只能靠文件名來判斷哪個程序是它所需要的,所以我們只需將系統目錄(如「系統盤符\WINDOWS\System32\」)下的CTFMON.EXE更名為INTERNAT.EXE(或者我們想讓系統自動載入的其他程序)即可。
==============================
槍斃ctfmon.exe,恢復你的默認輸入法!
如果你的win2000系統裝了officeXP或以上版本,它會在你和系統里留下一個可誤的ctfmon.exe,這真的是一個惡魔,曾經困擾了無數的網友。今天我決意執起正義之劍,斬妖除魔,還網友一個純潔的中英文輸入空間!
在對它行刑之前,我先來宣讀一下他的罪狀:
1. 無論你打開什麼窗口,總會彈出一個輸入法工具體,並且默認是中文輸入,非常討厭。
2. 它替換了原來的區域和輸入法設置,並以一個文字服務的設置取而代之,而且不能設置默認的輸入法。
3. 結束掉原來的輸入法工具進程internat.exe,並令他不能在開機時起動。
4. 將自己放在開機時啟動的程序列表中,除非修改注冊表,否則無法去除。
5. 像病毒一樣有重生能力,當你把ctfmon.exe刪了以後,他又會隨著Office的啟動而重新生成。
6. 當你結束了ctfmon.exe後,經常會出現輸入法切換快捷鍵亂掉的情況。
好,經最高程序員審判庭批准,現對ctfmon.exe執行死行,立即執行!
第一步:右擊任務欄空白處,點「任務管理器」。
第二步:找到ctfmon.exe,並終止它。
第三步:在系統目錄下的system32目錄下找到ctfmon.exe,刪除掉。
第四步:寫一個最簡單的api程序(代碼見附錄),編譯後放到ctfmon.exe所在目錄,並更名為ctfmon.exe。
第五步:點擊「開始」菜單,點擊「運行」,輸入internat.exe後點擊確定。
第六步:重起計算機。
⒂、explorer.exe
是一個系統環境進程
它是控制系統在某個環境下正常運行的進程.
比如,如果把這個進程刪除,你將會看到桌面空白一片 所有圖標和任務欄都不見了.它就是控制這些能正常工作的進程!
⒃、wuauclt.exe
是Windows XP的自動更新進程.卡巴斯基的主動防禦很嚴格,卡巴報警是因為像wuauclt.exe這些無毒的軟體運行時需要注入其它進程,這種行為是入侵行為,因為它未經允許,同時把這些軟體定義為風險軟體。 風險軟體不一定是病毒,幾乎100%的軟體不可能獨立運行,都需要其他程序的支持,注入行為不可避免,類似的報警行為還有禁止訪問注冊表,自行運行瀏覽器(很多軟體安裝完之後都會彈出自己的網站)等等。 關閉卡巴斯基的主動防禦功能,就可以了....你若想讓卡巴斯基的主動防禦功能開啟,那你就等更新完成了再開啟.
⒄、SRCDNoti.exe:
是超級兔子魔法設置相關程序
所在位置:*:\Program Files\Super Rabbit\MagicSet\SRCDNoti.exe(*為你的安裝盤)
呵呵。最後還是建議你重裝下系統吧。那麼多的問題,要是偶,早就煩死了。呵呵
❻ 電腦與病毒
隔離就是將被感染的文件通過殺毒軟體特有的方法進行加密並放置指定的目錄,這是由於病毒被加密,所以不會發作了。
而刪除就是將中毒文件直接刪除。
有時病毒感染了很重要的文件,如果選擇刪除,就會連同有用的文件一起刪除,而隔離就會將中毒文件加密並放入一個指定的目錄,如果需要這個文件,還可以還原回來,就相當於一個回收站的過程。
隔離可以恢復被殺毒軟體由於殺毒誤刪除的文件,所以推薦使用隔離。
隔離中的病毒,如果沒有用途,可以直接刪除,絲毫不會影響系統。
建立良好的安全習慣,不打開可疑郵件和可疑網站;關閉或刪除系統中不需要的服務;很多病毒利用漏洞傳播,一定要及時給系統打補丁;安裝專業的防毒軟體進行實時監控,平時上網的時候一定要打開防病毒軟體的實時監控功能。
我的建議
1.及時升級你的病毒庫和防火牆
2.上網的時候開啟防火牆和殺毒軟體的實時監控
3.不要瀏覽一些垃圾網站
4.經常打系統補丁,防患未然
5,及時殺毒,最好每周一次
6.對下載的文件及時殺毒,再打開
❼ 電腦中病毒怎麼辦
一、如何判斷你的計算機是否感染了病毒電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯系,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。 如下症狀是因為被入侵還是因為軟、硬體故障所至1、經常死機:病毒打開了許多文件或佔用了大量內存;不穩定(如內存質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的內存和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路上的軟體時經常死機也許是由於網路速度太慢,所運行的程序太大,或者自己的工作站硬體配置太低。 2、系統無法啟動:病毒修改了硬碟的引導信息,或刪除了某些啟動文件。如引導型病毒引導文件損壞;硬碟損壞或參數設置不正確;系統文件人為地誤刪除等。 3、文件打不開:病毒修改了文件格式;病毒修改了文件鏈接位置。文件損壞;硬碟損壞;文件快捷方式對應的鏈接位置發生了變化;原來編輯文件的軟體刪除了;如果是在區域網中多表現為伺服器中文件存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。 4、經常報告內存不夠:病毒非法佔用了大量內存;打開了大量的軟體;運行了需內存資源的軟體;系統配置不正確;內存本身就不夠(目前基本內存要求為128M)等。 5、提示硬碟空間不夠:病毒復制了大量的病毒文件(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠)。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在區域網中系統管理員為每個用戶設置了工作站用戶的"私人盤"使用空間限制,因查看的是整個網路盤的大小,其實"私人盤"上容量已用完了。 6、軟盤等設備未訪問時出讀寫信號:病毒感染;軟盤取走了還在打開曾經在軟盤中打開過的文件。 7、出現大量來歷不明的文件:病毒復制文件;可能是一些軟體安裝中產生的臨時文件;也或許是一些軟體的配置信息及運行記錄。 8、啟動黑屏:病毒感染(記憶最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等 9、數據丟失:病毒刪除了文件;硬碟扇區損壞;因恢復文件而覆蓋原文件;如果是在網路上的文件,也可能是由於其它用戶誤刪除了。 二、 蠕蟲病毒的種類 1、 蠕蟲病毒的種類:1988年11月2日,世界上第一個計算機蠕蟲正式誕生。美國康乃爾大學一年級研究生莫里斯為了求證計算機程序能否在不同的計算機之間自我復制傳播,他寫了一段試驗程序,為了程序能順利進入另一台計算機,他寫了一段破解用戶口令的代碼。11月2日早上5點,這段被稱為"Worm"(蠕蟲)的程序開始了它的旅行,它果然沒有辜負莫里斯的期望:它爬進了幾千台電腦,讓它們死機,造成了經濟損失高達9600萬美元的記錄。從此,"蠕蟲"這個名詞傳開了,莫里斯也許並不知道:他在證明這個結論的同時,也打開了潘多拉魔盒。 A、郵件蠕蟲:IFrame是一段用於往網頁里放入一個小頁面的HTML語言,它用來實現"框架"結構。當年有好事者測試出一個可怕的現象:往一個頁面里放入多個IFrame時,框架里請求運行程序的代碼就會被執行,如果有人故意做了一個執行破壞程序的頁面,那後果可想而知。由於IFrame的尺寸可以自由設置,因此破壞者可以在一個頁面里放入多個"看不見"的框架,並附帶多個"看不見"的有害程序,瀏覽了那個網頁的人自然就成了受害者!和IFrame漏洞相比,MIME漏洞更加出名,它其實只是一小段用來描述信息類型的數據。瀏覽器通過讀取它來得知接收到的數據該怎麼處理,如果是文本和圖片就顯示出來,是程序就彈出下載確認,是音樂就直接播放。請留意最後一個類型:音樂,瀏覽器對它採取的動作是:播放。 B、網頁里的爬蟲 C、社會學蟲子 D、系統漏洞蠕蟲 2、幾個典型病毒實例 A、油畫 在網路上流傳著一幅詭異的油畫,據說很多人看後會產生幻覺,有人解釋為油畫的構圖色彩導致的視覺刺激,也有人認為是心理作用,眾說紛紜,卻沒有令人信服的答案。面對著屏幕上那兩個看似正常的孩子,會使人入神的看,而絲毫沒有注意到IE瀏覽器左下角的狀態欄打開頁面的進度條一直沒停止過。電腦光碟機自動彈了出來,剛按回去又彈了出來,滑鼠正在不聽使喚的亂跑,鍵盤也沒了反應,過了一會兒,電腦自己重啟了,而且永遠停留在了"NTLDR is missing..."的出錯信息上。顯而易見,這又是一個典型的木馬破壞事件,你打開的根本不是圖片。IE瀏覽器的功能很強大,它可以自動識別並打開特定格式的文件而不用在乎它是什麼文件後綴名,因為IE對文件內容的判斷並不是基於後綴名的,而是基於文件頭部和MIME。當用戶打開一個文件時,IE讀取該文件的頭部信息並在本機注冊表資料庫內查找它對應的MIME格式描述,例如打開一個MIDI文件,IE先讀取文件前面一段數據,根據MIDI文件的標準定義,它必須包含以"RIFF"開頭的描述信息,根據這段標記,IE在注冊表定位找到了"x-audio/midi"的MIME格式,然後IE確認它自己不具備打開這段數據的能力,所以它根據注冊表裡的文件後綴名信息找到某個已經注冊為打開後綴名為".MID"的文件,然後提交給此程序執行,我們就看到了最終結果。正是因為這個原理,所以IE很容易受傷。入侵者通過偽造一個MIME標記描述信息而使網頁得以藏蟲,在這里也是相同的道理,小王打開的實際上是一個後綴名改為圖片格式的HTML頁面,它包含上述兩個漏洞的病毒文件和一個高度和寬度都設置為100%的圖片IMG標記,所以人們看來這只是一個圖片文件,然而,圖片的背後卻是惡毒的木馬。木馬程序體積都比較大,下載需要一定時間,這就是IE進度條一直沒停止的原因。入侵者為了確保受害者打開頁面的時間可以使整個木馬文件下載完畢,就採用了社會工程學,讓受害者不會在很短的時間內關閉頁面。 B、點陣圖特性(BMP)他是一家公司的網路管理員,在伺服器維護和安全設置方面有足夠多的經驗,因此他無需懼怕那些利用瀏覽器漏洞實現的病毒。這天他在一個技術論壇里看到一個網友發的關於AMD某些型號的處理器存在運算瑕庇的帖子,並給出一個測試頁面連接,根據官方描述,如果你用的CPU存在瑕庇,那麼你會看到頁面上的測試圖片顯示得破損錯亂。他心裡一驚:自己用的CPU正是這個型號。他馬上點擊了頁面連接。看著頁面上亂七八糟的一幅圖片,他心裡涼了一截:這台機器的CPU居然有問題,而他還要用這台機器處理公司的重要數據的!他馬上去管理部找負責人協商,把顯示著一幅胡里花哨圖片的機器晾在一邊。管理部答應盡快給他更換一台機器,讓他把硬碟轉移過去,因為上面有重要的業務資料。他回來時看到那幅圖片還在耀武揚威,他厭惡的關閉了頁面,照例打開存放資料的文件夾,他的腦袋一下子空白了:資料不見了!誰刪除了?他慌亂的查找硬碟每個角落,可那些文件卻像蒸發了一樣。許久,他終於反應過來了:機器被入侵了!他取下硬碟直奔數據恢復公司而去。事後他仔細分析了原因,因為機器已經通過了嚴格的安全測試而且打了所有補丁,通過網頁漏洞和溢出攻擊是不可能的了,唯一值得懷疑的只有那個所謂的瑕庇測試網頁了,他迅速下載分析了整個頁面代碼,看著頁面源代碼里後綴名為".BMP"的IMG標記和一堆復雜的腳本代碼,他知道自己是栽在了BMP木馬的手上。那幅"測試瑕庇"的圖片,無論到什麼機器上都是一樣有"瑕庇",因為它根本不是圖片文件,而是一個以BMP格式文件頭部開始的木馬程序。為什麼看似溫順的圖片文件也變成了害人的凶器?這要從點陣圖(Bitmap)格式說起,許多朋友應該都知道流傳了很久的被稱為"圖片藏字"的"密文"傳播方式,即在點陣圖文件尾部追加一定量的數據而不會對原點陣圖文件造成太大破壞,這是點陣圖格式的限制寬松而造成的。系統判斷一個點陣圖文件的方法並不是嚴格盤查,而是僅僅從文件頭部的54位元組里讀取它的長寬、位數、文件大小、數據區長度就完成了圖片的識別,寬松的盤查機制使得BMP木馬得以誕生。不過先要澄清一點概念,BMP木馬並不是在BMP點陣圖文件屁股後追加的EXE文件,而是一個獨立的EXE可執行文件,但是它的文件PE頭部已經用點陣圖文件頭部替換了,由於系統的盤查機制,這個EXE文件就被瀏覽器認成點陣圖文件了。既然是點陣圖,在瀏覽器的程序邏輯里,這是需要下載到Internet高速緩存文件夾然後顯示在頁面上的文件,但是因為這個文件本來就不是點陣圖,它被強制顯示出來以後自然會變成一堆無意義的垃圾數據,在用戶眼裡,它就成了一幅亂七八糟的圖像。但這不是引起木馬危機的原因,要留意的是這些文字:"需要下載到Internet高速緩存文件夾"!這說明瀏覽器已經請狼入室了--木馬已經在硬碟上安家了,但是目前它還在沉睡中,因為它的文件頭部被改為點陣圖格式,導致它自身已經不能運行,既然不能運行,理所當然就不能對系統構成危害,那麼這只狼在硬碟呆多久也是廢物一個,入侵者當然不能任由它浪費,因此他們在做個頁面給瀏覽器下載木馬的同時,也會設置頁面代碼讓瀏覽器幫忙脫去這只狼的外衣--把點陣圖格式頭部換成可執行文件的PE頭部,然後運行它。經過這些步驟,一隻惡狼進駐了系統。這個無法修補的漏洞十分可怕,用戶很難知道他們正在瀏覽的頁面是否正在偷偷下載著木馬數據,因為即使他們打好了所有補丁也無濟於事,木馬是被IE"合法"下載的,不屬於代碼漏洞,而且單靠程序本身也很難判斷這個圖像是不是木馬程序,機器靠二進制完成處理工作,而不是視網膜成象交給大腦判斷。但是,由於這也是需要下載文件的入侵方式,它能否下載完畢以及用戶願不願意去看頁面就要取決於入侵者的社會工程學了,在任何一個頁面里放出一個亂七八糟的圖片或者來一個隱藏的圖片框都不是最明智的選擇,除非利用一些"暇庇聲明"或更能引起人的興趣的伎倆。那家公司的網管之所以會這么不設防,就是因為攻擊者偷用了人們的"心理盲區",因為人們對安全、漏洞、病毒、暇庇等內容會特別敏感,所以入侵者發個專業暇庇案例就欺騙了一大堆人,這次是拿真實的事件:AMD某些型號CPU會導致圖像顯示出問題的暇庇來做魚餌,下一次又該拿什麼了呢? C、魔鬼的詛咒(JPEG、GIF)對於某娛樂論壇的大部分用戶來說,今天是個黑色的日子,因為他們在看過一個《被詛咒的眼睛》油畫帖子後,系統遭到了不明原因的破壞。論壇管理層的技術人員立即對這個帖子進行了多次分析,可是整個頁面就只有一個JPEG圖片的連接,其他惡意代碼和程序根本不存在。入侵者靠什麼破壞了看帖用戶的機器?難道竟是這個JPEG圖片?答案恐怕讓人難以接受,的確就是這幅JPEG圖片讓用戶感染了病毒。盡管病毒研究一直未曾停止,可是發展到這個地步,實在讓人不能承受:再下去是不是打開一個文本文件都會被感染病毒?圖片帶毒來襲,實在讓所有人都擦了一把汗,然而我們都知道,JPEG、GIF等格式圖片不具備可以執行自身並散播病毒的條件,這不符合邏輯。回憶一下2004年9月14日的事,微軟發布了MS04-028安全公告:JPEG處理(GDI+)中的緩沖區溢出可能使代碼得以執行。沒錯,就是這個漏洞,它的術語叫GDI+,對應的動態鏈接庫為GdiPlus.dll,這是一種圖形設備介面,能夠為應用程序和程序員提供二維媒介圖形、映像和版式,大部分Windows程序都調用這個DLL完成JPEG格式圖片的處理工作。但是現在,正是這個"公眾人物"成了眾矢之的。說到這里,有基礎的讀者應該明白了吧:並不是圖片自己能傳播病毒,而是系統負責圖形處理工作的模塊會在處理圖片時發生溢出導致圖片內攜帶的惡意指令得以執行破壞。如果某個圖片工具不調用這個系統模塊,而是使用自己的處理模塊,那麼同樣包含惡意指令的圖片就不能達到破壞目的。但是因為這個系統模塊是默認的處理模塊,所以大部分程序在"JPEG病毒"面前紛紛落馬。這個溢出是怎麼產生的呢?這要從系統如何讀取JPEG格式圖形的原理說起,系統處理一個JPEG圖片時,需要在內存里載入JPEG處理模塊,然後JPEG處理模塊再把圖片數據讀入它所佔據的內存空間里,也就是所說的緩沖區,最後我們就看到了圖片的顯示,然而就是在圖片數據進入緩沖區的這一步出了錯--Windows規定了緩沖區的大小,卻沒有嚴格檢查實際容納的數據量,這個帶缺陷的邊界檢查模式導致了噩夢:入侵者把一個JPEG圖片的數據加工得異常巨大並加入惡意指令,那麼這個圖片在系統載入內存時候會發生什麼情況呢?圖片數據會漲滿整個JPEG處理模塊提供的緩沖區並恰好把惡意指令溢出到程序自身的內存區域,而這部分內存區域是用於執行指令的,即核心區,於是惡意指令被程序誤執行了,入侵者破壞系統或入侵機器的行為得以正常實施。有人也許會疑惑,入侵者都是神運算元嗎,他們為什麼能准確的知道會是哪些數據可以溢出執行?答案很簡單,因為Windows在分配JPEG處理模塊的空間時,給它指定的內存起始地址是固定的,入侵者只要計算好這個空間大小,就能知道會有哪些數據被執行了,所以JPEG病毒迅速傳播起來。所謂JPEG病毒,並不是JPEG圖片能放出病毒,而是系統處理JPEG圖片的模塊自己執行了JPEG圖片攜帶的病毒,所以我們大可不必人心惶惶,只要補上了GDIPLUS.DLL的漏洞,那麼即使你機器上的所有JPEG圖片都帶有病毒數據,它們也無法流竄出來搞破壞,正如美國馬薩諸塞州立大學助理教授奧斯汀所言:"病毒不僅僅是可自我復制的代碼,他們需要通過可執行代碼的方式來進行傳播。JPEG文件不能執行代碼,他們是由應用軟體打開的數據文件。應用軟體不會去查找數據文件中的可執行的代碼,為此不會運行這些病毒代碼。" 蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒 對於個人用戶而言,威脅大的蠕蟲病毒採取的傳播方式一般為電子郵件(Email)以及惡意網頁等等對於利用email傳播得蠕蟲病毒來說,通常利用的是社會工程學(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播惡意網頁確切的講是一段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理並不復雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關於用網頁進行破壞的技術的論壇,並提供破壞程序代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。對於惡意網頁,常常採取vb script和java script編程的形式!由於編程方式十分的簡單!所以在網上非常的流行!Vb script和java script是由微軟操作系統的wsh(Windows Scripting HostWindows腳本主機)解析並執行的,由於其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然後偽裝成郵件附件誘惑用戶點擊運行,更為可怕的是,這樣的病毒是以源代碼的形式出現的,只要懂得一點關於腳本編程的人就可以修改其代碼,形成各種各樣的變種。下面以一個簡單的腳本為例:Set o**Fs=CreateO**ect ("Scripting.FileSystemO**ect")(創建一個文件系統對象)o**Fs.CreateTextFile ("C:\virus.txt", 1)(通過文件系統對象的方法創建了TXT文件)如果我們把這兩句話保存成為.vbs的VB腳本文件,點擊就會在C盤中創建一個TXT文件了。倘若我們把第二句改為:o**Fs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件,WScript.ScriptFullName指明是這個程序本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這么簡單的兩句就實現了自我復制的功能,已經具備病毒的基本特徵--自我復制能力。此類病毒往往是通過郵件傳播的,在vb script中調用郵件發送功能也非常的簡單,病毒往往採用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的,一個簡單的實例如下:Set o**OA=Wscript.CreateO**ect ("Outlook.Application")(創建一個OUTLOOK應用的對象)Set o**Mapi=o**OA.GetNameSpace ("MAPI")(取得MAPI名字空間)For i=1 to o**Mapi.AddressLists.Count(遍歷地址簿) Set o**AddList=o**Mapi.AddressLists (i) For j=1 To o**AddList. AddressEntries.Count Set o**Mail=o**OA.CreateItem (0) o**Mail.Recipients.Add (o**AddList. AddressEntries (j))(取得收件人郵件地址 )o**Mail.Su**ect="你好!" (設置郵件主題,這個往往具有很大的誘惑性質)o**Mail.Body="這次給你的附件,是我的新文檔!" (設置信件內容)o**Mail.Attachments.Add ("c:\virus.vbs")(把自己作為附件擴散出去 )o**Mail.Send(發送郵件)NextNext Set o**Mapi=Nothing(清空o**Mapi變數,釋放資源)set o**OA=Nothing(清空o**OA變數)這一小段代碼的功能是向地址簿中的用戶發送電子郵件,並將自己作為附件擴散出去。這段代碼中的第一行是創建一個Outlook的對象,是必不可少的。在其下是一個循環,在循環中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時也是非常難以根除的! 三、個人用戶對蠕蟲病毒的防範措施通過上述的分析,我們可以知道,病毒並不是非常可怕的,網路蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防範此類病毒需要注意以下幾點:1、必須安裝防病毒軟體。瑞星在殺毒軟體的同時整合了防火強功能,從而對蠕蟲兼木馬程序有很大克製作用。2、經常升級病毒庫,殺毒軟體對病毒的查殺是以病毒的特徵碼為依據的,而病毒每天都層出不窮,尤其是在網路時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒! 一般要做到一周一次或者更多次。但由於我們安裝的殺毒軟體一般是一個安裝幾台機器,會遇我升級失敗的情況,一個ID號的軟體一天有升級數目的限制,如遇到這種情況,就改天再升級,即可解決這個問題。3、提高防殺毒意識.不要輕易去點擊陌生的站點,有可能裡面就含有惡意代碼!4、不隨意查看陌生郵件,尤其是帶有附件的郵件,由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應用程序! 1、Message Error、 Do***ent Re: Mail Authentification Re: Is that your do***ent? Notice again 5、要養成經常升級系統的習慣:具體方法A、將開始菜單設置成經典模式。然且在開始菜單中點擊windows update項按指引即可完成升級。B、也可以配置自動更新(建議不採用這種方法) 6、不要輕信QQ里推薦給你的圖片、網址什麼的,有時這些東西往往是你的朋友(網友)發給你的。 7、 要養成良好的計算機應用習慣,備份重要的數據。 8、不要輕信有人得用系統信使發來的消息,瀏覽不明網站.
病毒總是會想方設法地入侵我們的電腦搞破壞,雖然你可以使用反病毒之類的軟體,但也絕不能忽視平時的預防工作。「御敵於國門之外」是最理想的,所以建議大家應採用「防為先」的原則來對付病毒。下面的防毒、治毒觀點,希望對大家有所借鑒。
1.先製作一張應急盤
製作一個無毒的系統應急引導盤是非常非常必要的,最好還要復制一個反病毒軟體和一些你認為比較實用的工具軟體到這個盤上,然後關上防寫。
2.謹防入口
有了好用的東東,我們都喜歡與朋友共享,根據經驗,建議你在掃描病毒前最好不要用軟盤啟動系統,君不見,90%以上的病毒是引導型病毒?也不要執行未檢驗的壓縮文件,比如從網上Down的文件(在網吧里還是可以考慮的^_^)。還有,勸大家要小心電子郵件的附件(雖然有些從表面上看是文本形式的),即使是朋友發過來的也別輕易就去雙擊運行。
3.實施備份
對於我們在日常工作中辛辛苦苦創作的論文、費時費力地從網上收集來的各種資料,這都是你的勞動成果,應該是至少每周進行一次備份,而且最好是進行異地備份(就是備份到你的電腦之外的存儲設備,比如軟盤或USB移動硬碟)。這樣當電腦內的文件萬一被病毒破壞後,它們就派上大用場了,當然在此之前一定要確認你的備份文件是「干凈」的。
4.「我的電腦」
你的私人電腦,最好不要讓別人隨便亂動:菜鳥會動不動就在上面來個「誤操作」什麼的,大蝦也難免想借你的愛機試試他剛「研究」的幾板斧。不管是哪種情況都有可能讓你的資料瞬間全無,哭都來不及!所以至少你要嚴防他人在你的電腦上使用他自己的軟盤或光碟,不管他是有意還是無意的。
5.留心異狀
奉勸各位一句:平時使用電腦時一定要細心加小心地注意它的表現,如果發覺有異常症狀出現,比如速度慢得像蝸牛、256MB的內存竟然不夠、突然增加一些從未謀面的文件、系統或自己熟悉的文件長度有所增減等,你的第一反應就應該是:中毒了!!!此時你務必要停下手頭的工作,馬上進行病毒的查殺,千萬馬虎不得!否則,你的損失只能是越來越嚴重,若等到系統崩潰、一切化為烏有的那一刻,就悔之晚矣!
6.不忘升級
安裝了反病毒軟體並不是一勞永逸的,千萬別讓病毒從反病毒軟體的眼皮底下溜入系統。所以你要時常關心反病毒方面的報道或常到對應的反病毒廠商的網頁上溜達溜達,了解最近病毒的活動動向,更新病毒的查殺代碼,升級你的反病毒軟體。
❽ 程序員能消除病毒嗎
程序員可以消除病毒的。
程序員對殺毒軟體的能力持懷疑態度,一個普通用戶如果打開某殺毒軟體,看到自己電腦健康,得分95應該很高興了,但是程序員的想法確是,殺毒軟體顯示的95分就健康嗎,這只是軟體的一個界面,他高興給你顯示1w分都行,到底我電腦是個什麼狀態只有天知道。
計算機病毒是一種程序,它會將自身附著在主機上,目的是進一步繁殖和傳播。從個人到大型組織,任何擁有適當技能的人都可以創建計算機病毒,並且可以感染計算機、智能手機、平板電腦,甚至智能汽車。
「計算機病毒」一詞經常被錯誤的被用成一個總稱,泛指所有感染軟體、計算機和文件的可疑程序、插件或代碼。這一短語的誤用可能是因為計算機病毒較常出現在電視節目和電影中。這類程序實際上正確的總稱應該是惡意軟體,計算機病毒只是其中的一種類型,其他類型的惡意軟體還包括間諜軟體、蠕蟲和特洛伊木馬等。
❾ 什麼是計算機病毒,計算機病毒主要特點有哪些,傳染途徑和危害分別是什麼,如何防治計算機病毒
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指「編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自 熊貓燒香病毒(尼姆亞病毒變種) 我塵告帆復制的一組計算機指令或者程序代碼」。與醫學上的「病毒」不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大。 編輯本段產生 病毒不是來源於突發的原因。電腦病毒的製造卻來自於一次偶然的事件,那時的研究人員為了計算出當時互 計算機病毒矢量圖(17張)聯網的在線人數,然而它卻自友余己「繁殖」了起來,導致了整個伺服器的崩潰和堵塞,有時一次突發的停電和偶然的錯誤,會在計算機的磁碟和內存中產生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的系統網路環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和產地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程序員為了表現自己和證明自己的能力,出於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控制口令,為了軟體拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.病毒是有誤的,沒有規律的程序. 編輯本段預防 計算機病毒 提高系統的安全性是防病毒的一個重要方面,但完美的系統是不存在的,過於強調提高系統的安全性將使系統多數時間用於病毒檢查,系統失去派雹了可用性、實用性和易用性,另一方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。 加強內部網路管理人員以及使用人員的安全意識很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。另外,安裝殺軟並定期更新也是預防病毒的重中之重。