第 4 章 计算机病毒与木马

1. 4.1 4.2 4.3 4.4 4.5 计算机病毒概述 计算机病毒的危害 计算机病毒的检测与防范 木马攻击与分析 木马的攻击防护技术 第4章 计算机病毒与木马

2. 本章学习要点 • 掌握计算机病毒的定义、分类和结构 • 掌握计算机病毒的表现以及与计算机故障的区别 • 了解常见的计算机病毒的特点和检测技术 • 掌握木马的定义、分类 • 了解常见的木马应用和防护方法

3. 4.1 计算机病毒概述 • 4.1.1 计算机病毒的起源 • 4.1.2 计算机病毒的定义 • 计算机病毒一词是从生物医学病毒概念中引申而来的。

4. 在生物界，病毒（Virus）是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的、比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。

5. 绝大多数的病毒只有在显微镜下才能看到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。

6. 由于病毒利用寄主细胞的营养生长和繁殖后代，因此给寄主生物造成极大的危害。 • 计算机病毒之所以被称为病毒，是因为它们与生物医学上的病毒有着很多的相同点。

7. 例如，它们都具有寄生性、传染性和破坏性。 • 我们通常所说的计算机病毒应该是为达到特殊目的制作和传播的计算机代码或程序，简单说就是恶意代码。

8. 有些恶意代码会像生物病毒寄生在其他生物细胞中一样，它们隐藏和寄生在其他计算机用户的正常文件中伺机发作，并大量复制病毒体，感染计算机中的其他正常文件。

9. 很多计算机病毒也会像生物病毒给寄主带来极大伤害一样，给寄生的计算机造成巨大的破坏，给人类社会造成不利的影响，造成巨大的经济损失。

10. 同时，计算机病毒与生物病毒也有很多不同之处，例如，计算机病毒并不是天然存在的，它们是由一些别有用心的人利用计算机软硬件所固有的缺陷有目的地编制而成的。

11. 从广义上讲，凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的、可自我复制的计算机程序或指令集合都是计算机病毒。

12. 在《中华人民共和国计算机信息系统安全保护条例》中明确定义，病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

13. 计算机病毒具有非法性、隐蔽性、潜伏性、触发性、表现性、破坏性、传染性、针对性、变异性和不可预见性。 • 单独根据某一个特性是不能判断某个程序是否是病毒的。

14. 例如“触发性”，很多应用程序都具有一定的触发性，如杀毒软件可以在满足一定条件下自动进行系统的病毒扫描，但是并不能说它就是病毒，而且恰恰相反，它是病毒的防护软件。

15. 因此，必须对病毒的特性有一个全面的了解，下面对病毒的主要特性进行简单的介绍。

16. 1．非法性 • 2．隐藏性 • 3．潜伏性 • 4．可触发性 • 5．破坏性 • 6．传染性

17. 4.1.3 计算机病毒的分类 • （1）按照计算机病毒攻击的系统分类 • ① 攻击DOS系统的病毒 • ② 攻击Windows系统的病毒 • ③ 攻击UNIX系统的病毒

18. （2）按照计算机病毒的链接方式分类 • ① 源码型病毒 • ② 嵌入型病毒 • ③ 外壳型病毒 • ④ 操作系统型病毒

19. （3）按照计算机病毒的破坏情况分类 • ① 良性计算机病 • ② 恶性计算机病毒

20. （4）按照计算机病毒的传染性分类 • ① 磁盘引导区传染的计算机病毒 • ② 操作系统传染的计算机病毒 • ③ 可执行程序传染的计算机病毒

21. （5）按照计算机病毒激活的时间分类 • 定时型病毒 • 随机型病毒

22. （6）按照传播媒介分类 • 单机病毒 • 网络病毒

23. 4.1.4 计算机病毒的结构 • 1．计算机病毒的程序结构 图4.1 计算机病毒的程序结构图

24. 2．计算机病毒的存储结构 • （1）病毒的磁盘存储结构 • （2）病毒的内存驻留结构

25. 4.2 计算机病毒的危害 • 4.2.1 计算机病毒的表现 • 当计算机病毒发作时一般会出现一些发作现象，只有根据计算机病毒的发作现象，才可能及时发现并清除病毒。 • 这些常见的发作现象包括以下几个方面。

26. ① 计算机运行速度的变化。主要现象包括计算机的反应速度比平时迟钝很多；应用程序的载入比平时要多花费很长的时间；开机时间过长。

27. ② 计算机磁盘的变化。主要现象包括对一个简单的磁盘存储操作比预期时间长很多；当没有存取数据时，硬盘指示灯无缘无故地亮了；磁盘的可用空间大量地减少；磁盘的扇区坏道增加；磁盘或者磁盘驱动器不能访问。

28. ③ 计算机内存的变化。主要现象包括系统内存的容量突然间大量地减少；内存中出现了不明的常驻程序。

29. ④ 计算机文件系统的变化。主要现象包括可执行程序的大小被改变了；重要的文件奇怪地消失；文件被加入了一些奇怪的内容；文件的名称、日期、扩展名等属性被更改；系统出现一些特殊的文件；驱动程序被修改导致很多外部设备无法正常工作。

30. ⑤ 异常的提示信息和现象。主要现象包括出现不寻常的错误提示信息，例如出现“write protect error on driver A”，表示病毒试图存取软盘进行感染，再如访问C盘时，提示“Not ready error drive A abort, Retry, Fail?” 。

31. 开机之后几秒钟突然黑屏；无法找到外部设备，如无法检索到计算机硬盘；计算机发出奇怪的声音；计算机经常死机或者重新启动；启动应用程序时出现错误提示信息对话框；菜单或对话框的显示失真。

32. 4.2.2 计算机故障与病毒特征区别 • 计算机可能存在一些硬件故障导致无法正常使用，这些硬件故障范围不是很广泛，容易被确认。

33. （1）计算机硬件的配置 • （2）硬件的正常使用 • （3）CMOS的设置

34. 除了硬件故障，计算机的软件故障也会导致计算机无法正常使用。 • 由于软件类型复杂多样，因此软件故障的判别比较困难，这需要多了解软件的知识和掌握软件的使用技巧。 • 这里给出几种常见的导致软件故障的原因。

35. （1）丢失文件 • （2）文件版本不匹配 • （3）资源耗尽 • （4）非法操作

36. 4.2.3 常见的计算机病毒 • 1．早期的DOS病毒 图4.2 毛毛虫病毒

37. 2．引导型病毒 图4.3 小球病毒

38. 3．文件型病毒 • 文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。 • 这类病毒主要感染可执行文件或者数据文件。 • 文件型病毒是数量最为庞大的一种病毒，它主要分为伴随型病毒、“蠕虫”型病毒和寄生型病毒几种。

39. 4．蠕虫病毒 • 蠕虫（Worm）病毒是一种通过网络传播的恶意病毒。 • 它的出现比文件病毒、宏病毒等传统病毒晚，但是无论是传播速度、传播范围还是破坏程度都要比以往传统的病毒严重得多。

40. 5．木马病毒 • 木马又称作特洛伊木马，将在后面进行详细的介绍。 • 在这里首先简单地介绍一种木马，它就是证券大盗木马病毒。 • 该木马可以盗取多家证券交易系统的交易账户和密码。

41. 这种木马病毒是如何实现自己的不良目的的呢？首先，病毒运行后将创建自己的副本于Windows的系统目录下，文件名为System32.exe，如图4.18所示。

42. 图4.18 病毒文件副本的建立

43. 4.3 计算机病毒的检测与防范 • 4.3.1 文件型病毒 • 对文件型病毒的防范，一般采用以下一些方法。 • ① 安装最新版本、有实时监控文件系统功能的防病毒软件。 • ② 及时更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突发事件时立即更新。

44. ③ 经常使用防毒软件对系统进行病毒检查。 • ④ 对关键文件，如系统文件、重要数据等，在无毒环境下经常备份。 • ⑤ 在不影响系统正常工作的情况下，对系统文件设置最低的访问权限。

45. 4.3.2 引导型病毒 • 对引导型病毒的防范，一般采取如下措施。 • ① 尽量避免使用软盘等移动设备保存和传递资料，如果需要使用，则应该先对软盘中的文件进行病毒的查杀。

46. ② 软盘用完后应该从软驱中取出。 • ③ 避免在软驱中存有软盘的情况下开机或者启动操作系统。

47. 4.3.3 宏病毒 • 对宏病毒进行防范可以采取如下几项措施。 • ① 提高宏的安全级别。目前，高版本的Word软件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别。

48. ② 删除不知来路的宏定义。 • ③ 将Normal.dot模板进行备份，当被病毒感染后，使用备份模板进行覆盖。

49. 4.3.4 蠕虫病毒 • 针对蠕虫病毒传播方式的特点，对其进行防范需要以下的一些措施。 • ① 用户在网络中共享的文件夹一定要将权限设置为只读，如图4.22所示，而且最好对重要的文件夹设置访问账号和密码。

50. 图4.22 设置文件夹的权限