計算機第6章、計算機病毒

第力拿計算機—吞

重要性：★★★★☆難易度：★★★★☆

實用性：★★★★★操作性：★★★★☆

計算機實用技本

第會章計算機癡4

1.計算機病毒的定義

2.計算機病毒的產(chǎn)生

3.計算機病毒的特點

4.計算機病毒的分類

5.計算機病毒的傳播

6.計算機病毒的危害

7.計算機病毒的癥狀

8.計算機病毒的預防

9.計算機病毒的清理

10.計算機病毒的大事記

什畀林實用技本

□MC曲I

1?計算機隔恚的定義

3計算機病毒(ComputerVirus)在《中華人民共和國計算機信息

系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機

程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用

并且能夠自我復制的一組計算機指令或者程序代碼”。而在一

般教科書及通用資料中被定義為:利用計算機軟件與硬件的缺

陷或操作系統(tǒng)漏洞，由被感染機內(nèi)部發(fā)出的破壞計算機數(shù)據(jù)并

影響計算機正常工作的一組指令集或程序代碼。

計算機實用技本

□r■?生F1

1?計算機隔恚的定義

計算機病毒最早出現(xiàn)在70年代DavidGerrold科幻小說When

H.A.R.L.I.E.wasOne.最早科學定義出現(xiàn)在1983:在Fred

Cohen(南加大)的博士論文“計算機病毒實驗”“一種能把自己

(或經(jīng)演變)注入其它程序的計算機程序”啟動區(qū)病毒，宏(macro)

病毒，腳本(script)病毒也是相同概念傳播機制同生物病毒類似.

生物病毒是把自己注入細胞之中。

計算機實用技本

□r■?生

訪帝反

2?計算機隔恚的產(chǎn)金

O病毒不是來源于突發(fā)或偶然的原因。病毒來自于一次偶然的事件，

那時的研究人員為了計算出當時互聯(lián)網(wǎng)的在線人數(shù)，然而它卻自己

“繁殖”了起來導致了整個服務(wù)器的崩潰和堵塞，有時一次突發(fā)的停電

和偶然的錯誤，會在計算機的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指

令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧

嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相

適應和配合起來，病毒不會通過偶然形成，并且需要有一定的長

度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的。

現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)

地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一

些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對上司的不

滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，

為了軟件拿不到報酬預留的陷阱等。當然也有因政治，軍事，宗

教，民族，專利等方面的需求而專門編寫的，其中也包括一些病毒

研究機構(gòu)和黑客的測試病毒。

計算機實用技本

□r■住片

3?奸算機葛恚的清支

3①寄生性

3②傳染性

O③潛伏性

O④隱蔽性

3⑤破壞性

O⑥可觸發(fā)性

計算機實用技本

□r■住片

3?奸算機葛恚的清支

3①寄生性

O計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就

起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺

的。

計算機實用技本

□r■?生F1

3?奸算機葛恚的清支

3②傳染性

O計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一

旦病毒被復制或產(chǎn)生變種，其速度之快令人難以預防。傳染性

是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴

散到另一個生物體。在適當?shù)臈l件下，它可得到大量繁殖，并

使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機病毒也

會通過各種渠道從已被感染的計算機擴散到未被感染的計算

機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與

生物病毒不同的是，計算機病毒是一段人為編制的計算機程序

代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋

其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身

代碼插入其中，達到自我繁殖的目的。

計算機實用技本

□r■?生F1

3?奸算機葛恚的清支

O③潛伏性

O有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設(shè)計好的。比

如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具

備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。一個編制精巧的計

算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，因此病毒可以靜

靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到

運行機會，就又要四處繁殖、擴散，繼續(xù)為害。潛伏性的第二種表

現(xiàn)是指，計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足觸發(fā)條件

時，計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿

足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系

統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封

鎖鍵盤以及使系統(tǒng)死鎖等。

計算機實用技本

□ML曲I

3?奸算機葛恚的清支

3④隱蔽性

3計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出

來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病

毒處理起來通常很困難。

計算機實用技本

□r■住片

3?奸算機葛恚的清支

3⑤破壞性

3計算機中毒后，可能會導致正常的程序無法運行，把計算機內(nèi)

的文件刪除或受到不同程度的損壞。通常表現(xiàn)為：增、冊h

改、移。

計算機實用技本

□r■?生F1

3?奸算機葛恚的清支

3⑥可觸發(fā)性

3病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊

的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動

作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進

行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它

必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞

動作的頻率的。病毒具有預定的觸發(fā)條件，這些條件可能是時

間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機

制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，

使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。

計算機實用技本

□r■?生F1

4?計算機隔恚的今類

3按病毒存在的媒體分

O根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，

引導型病毒。網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)

行文件，文件病毒感染計算機中的文件（如：COM,EXE,

DOC等），引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)

引導扇區(qū)（MBR）,還有這三種情況的混合型，例如：多型

病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的

病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系

統(tǒng)，同時使用了加密和變形算法。

計算機實用技本

□r■?生F1

4?計算機隔恚的今類

3按病毒傳染的方法分

O根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留

型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存

(RAM)中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)

中去，它處于激活狀態(tài)，一直到關(guān)機或重新啟動。非駐留型病

毒在得到機會激活時并不感染計算機內(nèi)存，一些病毒在內(nèi)存中

留有小部分，但是并不通過這一部分進行傳染，這類病毒也被

劃分為非駐留型病毒。

計算機實用技本

□r■?生F1

4?計算機隔恚的今類

o按病毒破壞的能力分

o無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它

影響。

O無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及

同類音響。

3危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。

O非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存

區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并

不是本身的算法中存在危險的調(diào)用，而是當它們傳染時會引起

無法預料的和災難性的破壞。

計算機實用技本

□r■?生F1

4?計算機隔恚的今類

3按病毒的算法分

O伴隨型病毒這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)

生EXE文件的伴隨體，具有同樣的名字和不同的擴展名

(COM),例如：XCOPY.EXE的伴隨體是XCOPY-COM。

病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文

件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE

文件。

O“蠕蟲”型病毒通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信

息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算

網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存

在，一般除了內(nèi)存不占用其它資源。

計算機實用技本

□r■?生F1

4?計算機隔恚的今類

o寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型

病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能

進行傳播，按其算法不同可分為：練習型病毒，病毒自身包含

錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段。

o詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是

通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，

使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。

3變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的算

法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的

作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組

成。

計算機實用技本

□ML曲I

5?奸算機葛恚的傳播方式

3(1)通過軟盤

3通過使用外界被感染的軟盤,例如，不同渠道來的系統(tǒng)盤、

來歷不明的軟件、游戲盤等是最普遍的傳染途徑。由于使用帶

有病毒的軟盤,使機器感染病毒發(fā)病,并傳染給未被感染的“干

凈”的軟盤。大量的軟盤交換，合法或非法的程序拷貝，不加控

制地隨便在機器上使用各種軟件造成了病毒感染、泛濫蔓延的

溫床。

計算機實用技本

□r■住片

5?奸算機葛恚的傳播方式

3(2)通過硬盤

3病毒通過硬盤傳染也是重要的渠道，由于帶有病毒機器移

到其它地方使用、維修等,將干凈的磁盤傳染并再擴散。

計算機實用技本

□r■?生F1

5?奸算機葛恚的傳播方式

3(3)通過光盤

3因為光盤容量大，存儲了海量的可執(zhí)行文件，大量的病毒

就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此

光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過

程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠

可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴散。當前，

盜版光盤的泛濫給病毒的傳播帶來了很大的便利。

計算機實用技本

□r■?生F1

5?奸算機葛恚的傳播方式

3(4)通過網(wǎng)絡(luò)

3這種傳染擴散極快，能在很短時間內(nèi)傳遍網(wǎng)絡(luò)上的機器。

O隨著Internet的風靡，給病毒的傳播又增加了新的途徑，

它的發(fā)展使病毒可能成為災難，病毒的傳播更迅速，反病毒的

任務(wù)更加艱巨。Internet帶來兩種不同的安全威脅，一種威脅

來自文件下載，這些被瀏覽的或是被下載的文件可能存在病

毒。另一種威脅來自電子郵件。大多數(shù)Internet郵件系統(tǒng)提供

了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能，因此，遭受病毒

的文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。網(wǎng)

絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴重。

計算機實用技本

□r■?生F1

5?奸算機葛恚的傳播過程

o在系統(tǒng)運行時,病毒通過病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)

的內(nèi)存儲器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行，

當它發(fā)現(xiàn)有攻擊的目標存在并滿足條件時,便從內(nèi)存中將自身

存入被攻擊的目標,從而將病毒進行傳播。而病毒利用系統(tǒng)INT

13H讀寫磁盤的中斷又將其寫入系統(tǒng)的外存儲器軟盤或硬盤中,

再感染其他系統(tǒng)。

計算機實用技本

□ML曲I

5?奸算機葛恚的傳播過程

o例如黑色星期五病毒,它駐入內(nèi)存的條件是在執(zhí)行被傳染的文

件時進入內(nèi)存的。一旦進入內(nèi)存，便開始監(jiān)視系統(tǒng)的運行。當

它發(fā)現(xiàn)被傳染的目標時,進行如下操作：

O(1)首先對運行的可執(zhí)行文件特定地址的標識位信息進行判

斷是否已感染了病毒；

o(2)當條件滿足，利用INT13H將病毒鏈接到可執(zhí)行文件的首

部或尾部或中間,并存大磁盤中；

O(3)完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行,試圖尋找新的攻擊目

標。

計算機實用技本

□r■?生

訪帝反

6?奸算機葛恚的電害

與計算機病毒的破壞行為體現(xiàn)了病毒的殺傷能力。病毒破壞行為

的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能

量。數(shù)以萬計不斷發(fā)展擴張的病毒，其破壞行為千奇百怪，不

可能窮舉其破壞行為，而且難以做全面的描述，根據(jù)現(xiàn)有的病

毒資料可以把病毒的破壞目標和攻擊部位歸納如下：攻擊系

統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括：硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT

表、文件目錄等。迫使計算機空轉(zhuǎn)，計算機速度明顯下降。攻

擊磁盤，攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時丟

字節(jié)等。擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可

列舉如下：字符跌落、環(huán)繞、倒置、顯示前一屏、光標下跌、

滾屏、抖動、亂寫、吃字符等。

計算機實用技本

□r■?生

訪帝反

6?奸算機葛恚的電害

o（接上頁）鍵盤病毒，干擾鍵盤操作，已發(fā)現(xiàn)有下述方式：響

鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復、輸入紊亂等。

喇叭病毒，許多病毒運行時，會使計算機的喇叭發(fā)出響聲。有

的病毒作者通過喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏

旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財

富，已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈

噪聲、鳴叫、咔咔聲、嘀嗒聲等。攻擊CMOS,在機器的

CMOS區(qū)中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時鐘、磁盤類

型、內(nèi)存容量等，并具有校驗和。有的病毒激活時，能夠?qū)?/p>

CMOS區(qū)進行寫入動作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。干擾打

印機，典型現(xiàn)象為：假報警、間斷性打印、更換字符等。

計算機實用技本

□r■?生

訪帝反

6?奸算機葛恚的電害

3計算機資源的損失和破壞，不但會造成資源和財富的巨大浪

費，而且有可能造成社會性的災難，隨著信息化社會的發(fā)展，

計算機病毒的威脅日益嚴重，反病毒的任務(wù)也更加艱巨了。

1988年11月2日下午5時1分59秒，美國康奈爾大學的計算機科

學系研究生，23歲的莫里斯（Morris）將其編寫的蠕蟲程序輸

入計算機網(wǎng)絡(luò)，致使這個擁有數(shù)萬臺計算機的網(wǎng)絡(luò)被堵塞。這

件事就像是計算機界的一次大地震，引起了巨大反響，震驚全

世界，引起了人們對計算機病毒的恐慌，也使更多的計算機專

家重視和致力于計算機病毒研究。1988年下半年，我國在統(tǒng)

計局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對統(tǒng)計系統(tǒng)影響極大，此

后由計算機病毒發(fā)作而引起的“病毒事件”接連不斷，前一段時

間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會造成了很大損失。

計算機實用技本

□r■?生F1

7■奸算機葛恚的點校

31.計算機系統(tǒng)運行速度減慢。

32.計算機系統(tǒng)經(jīng)常無故發(fā)生死機。

O3.計算機系統(tǒng)中的文件長度發(fā)生變化。

O4.計算機存儲的容量異常減少。

O5.系統(tǒng)引導速度減慢。

O6.丟失文件或文件損壞。

37.計算機屏幕上出現(xiàn)異常顯示。

O8.計算機系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。

計算機實用技本

□r■?生F1

7■奸算機葛恚的點校

39.磁盤卷標發(fā)生變化。

310.系統(tǒng)不識別硬盤。

O11.對存儲系統(tǒng)異常訪問。

o12.鍵盤輸入異常。

O13.文件的日期、時間、屬性等發(fā)生變化。

O14.文件無法正確讀取、復制或打開。

O15.命令執(zhí)行出現(xiàn)錯誤。

O16.虛假報警。

計算機實用技本

□r■?生F1

7■奸算機葛恚的點校

17.換當前盤。有些病毒會將當前盤切換到C盤。

18.時鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時間倒轉(zhuǎn)，逆向計

時。

19.WIND0WS操作系統(tǒng)無故頻繁出現(xiàn)錯誤。

20.系統(tǒng)異常重新啟動。

21.一些外部設(shè)備工作異常。

22.異常要求用戶輸入密碼。

23.WORD或EXCEL提示執(zhí)行“宏”。

24.使不應駐留內(nèi)存的程序駐留內(nèi)存。

計算機實用技本

□r■?生

訪帝反

8■奸算機葛恚的預防一豢應次略可懵

1.建立良好的安全習慣

例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的

網(wǎng)站、不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習慣

會使您的計算機更安全。

2.關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)

默認情況下，許多操作系統(tǒng)會安裝一些輔助服務(wù)，如FTP客戶端、

Telnet和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對用戶沒有太

大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3.經(jīng)常升級安全補丁

據(jù)統(tǒng)計，有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進行傳播的，象蠕蟲

王、沖擊波、震蕩波等，所以我們應該定期到微軟網(wǎng)站去下載最新的安全補

T,以防范未然。

4.使用復雜的密碼

有許多網(wǎng)%病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的，因此使用復

雜的密碼，將會大大提高計算機的安全系數(shù)。

計算機實用技本

訪函Ed

8■奸算機葛恚的預防一豢應次略可懵

5.迅速隔離受感染的計算機

當您的計算機發(fā)現(xiàn)病毒或異常時應立刻斷網(wǎng)，以防止計算機受到更多的

感染，或者成為傳播源，再次感染其它計算機。

6.了解一些病毒知識

這樣就可以及時發(fā)現(xiàn)新病毒并采取相應措施，在關(guān)鍵時刻使自己的計算

機免受病毒破壞。如果能了解一些注冊表知識，就可以定期看一看注冊表的

自啟動項是否有可疑鍵值;如果了解一些內(nèi)存知識，就可以經(jīng)常看看內(nèi)存中

是否有可疑程序。

7.最好安裝專業(yè)的殺毒軟件進行全面監(jiān)控

在病毒日益增多的今天，使用殺毒軟件進行防毒，是越來越經(jīng)濟的選

建，不過用戶在安裝了反病毒軟件之后，應該經(jīng)常進行升級、將一些主要監(jiān)

至經(jīng)常打開（如郵件監(jiān)控）、內(nèi)存監(jiān)控等、遇到問題要上報，這樣才能真正保

障計算機的安全。

8.用戶還應該安裝個人防火墻軟件進行防黑

由于網(wǎng)絡(luò)的發(fā)展，用戶電腦面臨的黑客攻擊問題也越來越嚴重，許多網(wǎng)

絡(luò)病毒都采用了黑客的方法來攻擊用戶電腦，因此，用戶還應該安裝個人防

火墻軟件，將安全級別設(shè)為中、高，這樣才能有效地防止網(wǎng)絡(luò)上的黑客攻

擊。葉算機實用技本

□r■?生F1

8.4t算機葛恚的預防f帚a檢ai

3一、進程

3首先排查的就是進程了，方法簡單，開機后，什么都不要

啟動！

O第一步：直接打開任務(wù)管理器，查看有沒有可疑的進程，

不認識的進程可以Google或者百度一下。

3第二步：打開冰刃等軟件，先查看有沒有隱藏進程（冰刃

中以紅色標出），然后查看系統(tǒng)進程的路徑是否正確。

O第三步：如果進程全部正常，則利用W5yscheok等工具，

查看是否有可疑的線程注入到正常進程中。

計算機實用技本

□r■?生

訪帝反

8.4t算機葛恚的預防-經(jīng)帚a檢ai

3二、自啟動項目

3進程排查完畢，如果沒有發(fā)現(xiàn)異常，則開始排查啟動項。

①第一步：用msconfig察看是否有可疑的服務(wù)，開始，運

行，輸入“msconfig"，確定，切換到服務(wù)選項卡，勾選“隱藏所

有Microsoft服務(wù)’復選框，然后逐一確認剩下的服務(wù)是否正常

（可以憑經(jīng)驗識別，也可以利用搜索引擎）。

3第二步：用msconfig察看是否有可疑的自啟動項，切換到

“啟動”選項卡，逐一排查就可以了。

O第三步，用Autoruns等，查看更詳細的啟動項信息（包括

服務(wù)、驅(qū)動和自啟動項、IEBHO等信息）。

計算機實用技本

□r■?生F1

8.4t算機葛恚的預防f帚a檢ai

與三、網(wǎng)絡(luò)連接

3ADSL用戶,在這個時候可以進行虛擬撥號，連接到

Internet了。

O然后直接用冰刃的網(wǎng)絡(luò)連接查看，是否有可疑的連接。

O如果發(fā)現(xiàn)異常，不要著急，關(guān)掉系統(tǒng)中可能使用網(wǎng)絡(luò)的程

序（如迅雷等下載軟件、殺毒軟件的自動更新程序、IE瀏覽器

等），再次查看網(wǎng)絡(luò)連接信息。

計算機實用技本

□r■?生F1

8.4t算機葛恚的預防f帚a檢ai

3四、安全模式

3重啟，直接進入安全模式，如果無法進入，并且出現(xiàn)藍屏

等現(xiàn)象，則應該引起警惕，可能是病毒入侵的后遺癥，也可能

病毒還沒有清除！

O五、映像劫持

3打開注冊表編輯器，定位到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT

CurrentVersionlmageFileExecutionOpti,查看有沒有可疑的

映像劫持項目，如果發(fā)現(xiàn)可疑項，很可能已經(jīng)中毒。

計算機實用技本

□r■?生F1

8.4t算機葛恚的預防f帚a檢ai

O六、CPU時間

3如果開機以后，系統(tǒng)運行緩慢，還可以用GEU時間做參

考，找到可疑進程，方法如下：

O打開任務(wù)管理器，切換到進程選項卡，在菜單中點“查

看”，“選擇列”，勾選“CPU時間”，然后確定，單擊CPU時間的

標題，進行排序，尋找除了SystemldleProcess和SYSTEM以

夕卜，CPU時間較大的進程，這個進程需要一起一定的警惕。

計算機實用技本

□r■?生F1

9■奸算機葛恚的清理

o一般大范圍傳播的病毒都會讓用戶在重新啟動電腦的時候能夠

自動運行病毒，來達到長時間感染計算機并擴大病毒的感染能

力。

O通常病毒感染計算機第一件事情就是干掉他們的天敵--安全軟

件，比如卡巴斯基，NOD32等。這樣我們就不能通過使用殺

毒軟件的方法來處理已經(jīng)感染病毒的電腦。那么我們來說一下

手動殺毒方法。

計算機實用技本

□r■?生F1

9■奸算機葛恚的清理

3通常病毒會這樣進行自我啟動：

3直接自啟動：1.引導扇區(qū)2.驅(qū)動3.服務(wù)4.注冊表。

O間接自啟動：映像劫持，autorun.inf文件，HOOK,感染

文件或放置一個誘惑圖標讓用戶點擊。

計算機實用技本

□r■?生

訪帝反

9■奸算機葛恚的清理

①方法1、通過不讓病毒在重啟電腦以后啟動的方法

o知道了病毒的啟動原理，不難得出清理方式：首先刪掉注冊表文件

中病毒的啟動項。最最常見啟動位置在

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre

ntVersion\Run],刪除所有該子項內(nèi)的字符串等，只留下

cftmon.exe。立即按機箱上的重啟鍵，不讓病毒回寫注冊表（正常

關(guān)機可能會激活病毒回寫進啟動項目，比如“磁碟機”）。如果病毒仍

然啟動，就要懷疑有服務(wù)，或者驅(qū)動。那么這個時候就需要有一定

計算機能力的人，用批處理或者其他的程序同時找到并關(guān)閉病毒的

服務(wù)和刪除注冊表，然后快速關(guān)機。驅(qū)動一般在系統(tǒng)下很難刪除，

所以可以用上面介紹的Xdelete或者icesword,wsyscheck或者進入

DOS,WPE等其他系統(tǒng)進行刪除。

計算機實用技本

□r■?生

訪帝反

9■奸算機葛恚的清理

①方法2、通過直接刪除病毒文件的方法

O在病毒正在運行的系統(tǒng)里，直接刪除病毒文件會很難的。如果在網(wǎng)

上找到該病毒機理，進入DOS,找到所有病毒文件路徑，可以很輕

松的刪除病毒文件（除了感染型病毒）。我推薦最好用PE（不懂PE

的上百科看），用有一個可以啟動電腦的裝PE的U盤，或者光盤啟

動電腦，進入可以進入完全無毒的系統(tǒng)，然后使用綠色版的殺毒軟

件（網(wǎng)上有，我試過綠色卡巴和nod32,很好，可以在PE運行）全

盤查殺。殺毒完以后，我們先不要重新啟動電腦，看看到底刪除了

什么，如果有被感染的系統(tǒng)文件刪掉了，注意從相同系統(tǒng)拷貝一

個，否則可能不能開機。然后重啟，進系統(tǒng)用其他安全軟件修復系

統(tǒng)。

計算機實用技本

□r■?生F1

10.計算機痣恚大凈延

1.ElkCloner（1982年）

它被看作攻擊個人計算機的第一款全球病毒，也是所有令人頭痛的安全問題先驅(qū)

者。它通過蘋果AppleII軟盤進行傳播。這個病毒被放在一個游戲磁盤上，可以被使用

49次。在第50次程用的時候，它并不運行游戲，取而代之的是打開一個空白屏幕，并

顯示一首短詩。

2.Brain（1986年）

Brain是第一款攻擊運行微軟的受歡迎的操作系統(tǒng)DOS的病毒，可以感染360K軟

盤的病毒，該病毒會填充滿軟盤上未用的空間，而導致它不能再被使用。

3.Morris（1988年）

Morris該病毒程序利用了系統(tǒng)存在的弱點進行入侵，Morris設(shè)計的最初的目的并

不是搞破壞，而是用來測量網(wǎng)絡(luò)的大小。但是，由于程序的循環(huán)沒有處理好，計算機

會不停地執(zhí)行、復制Morris,最終導致死機。

4.CIH（1998年）

CIH病毒是迄今為止破壞性最嚴重的病毒，也是世界上首例破壞硬件的病毒。它

發(fā)作時不僅破壞硬盤的引導區(qū)和分區(qū)表，而且破壞計算機系統(tǒng)BIOS,導致主板損壞。

此病毒是由臺灣大學生陳盈豪研制的，據(jù)說他研制此病毒的目的是紀念1986年的災難

或是讓反病毒軟件難堪。

計算機實用技本

□r■?生F1

10.計算機痣恚大凈延

5.Melissa（1999年）

Melissa是最早通過電子郵件傳播的病毒之一，當用戶打開一封電子郵件的附件，

病毒會自動發(fā)送到用戶通訊簿中的前50個地址，因此這個病毒在數(shù)小時之內(nèi)傳遍全

談。

6.Lovebug（2000年）

Lovebug也通過電子郵件附件傳播，它利用了人類的本性，把自己偽裝成一封求

愛信來欺騙收件人打開。這個病毒以其傳播速度和范圍讓安全專家吃驚。在數(shù)小時之

內(nèi)，這個小小的計算機程序征服了全世界范圍之內(nèi)的計算機系統(tǒng)。

7.“紅色代碼”（2001年）

被認為是史上最昂貴的計算機病毒之一，這個自我復制的惡意代碼“紅色代碼”利

用了微軟IIS服務(wù)器中的一個漏洞。該蠕蟲病毒具有一個更惡毒的版本，被稱作紅色代

碼II。這兩個病毒都除了可以對網(wǎng)站進行修改外，被感染的系統(tǒng)性能還會嚴重下降。

8.“Nimda"（2001年）

尼姆達（Nimda）是歷史上傳播速度最快的病毒之一，在上線之后的22分鐘之后就

成為傳播最廣的病毒。

計算機實用技本

□r■?生F1

10.計算機痣恚大凈延

9.“沖擊波”（2003年）

沖擊波病毒的英文名稱是Blaster,還被叫做Lovsan或Lovesan,它利用了微軟軟

件中的一個缺話，對系統(tǒng)端口進行瘋狂攻擊，可以導致系統(tǒng)崩潰。

10.“震蕩波”（2004年）

震蕩波是又一個利用Windows缺陷的蠕蟲病毒，震蕩波可以導致計算機崩潰并不

斷重啟。

11.“熊貓燒香”（2007年）

熊貓燒