计算机病毒知识精选PPT.ppt

《计算机病毒知识精选PPT.ppt》由会员分享，可在线阅读，更多相关《计算机病毒知识精选PPT.ppt（80页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机病毒知识计算机病毒知识计算机病毒知识计算机病毒知识第1页，此课件共80页哦计算机病毒的特点计算机病毒的特点传染性传染性：通过各种渠道从已被感染的计算机扩散到未：通过各种渠道从已被感染的计算机扩散到未被感染的计算机。被感染的计算机。隐蔽性隐蔽性：病毒通常附在正常程序中或磁盘较隐蔽的地方，：病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。也有个别的以隐含文件形式出现。潜伏性潜伏性：大部分的病毒感染系统之后一般不会马上发：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。

2、时才启动其破坏模块。破坏性破坏性：任何病毒只要侵入系统，都会对系统及应用程：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。序产生程度不同的影响。可执行性可执行性第2页，此课件共80页哦Main Title,60 pt.,U/L caseLS=.8 lines计算机病毒概述计算机病毒概述第3页，此课件共80页哦什么是病毒?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。第4页，此课件共80页哦什么是计算机病毒?计算机病毒:是指在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。第5页，

3、此课件共80页哦Main Title,60 pt.,U/L caseLS=.8 lines计计算机病毒算机病毒起源、历史和发展起源、历史和发展第6页，此课件共80页哦计算机病毒起源1.有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的2.有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚3.蓄意破坏，它分为个人行为和政府行为两种。个个人人行行为为多多为为雇雇员员对对雇雇主主的的报报复复行行为为，而而政政府府行行为为则则是是有组织的战略战术手段。有组织的战略战术手段。4.用于研究或实验而设计的“有用”程序，由于某种原因失去控 制扩散出实验室或研究所，从而成为危害四方的计算机病毒

4、。第7页，此课件共80页哦计算机病毒历史1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等 1989年 全世界的计算机病毒攻击十分猖獗。1989年10月13日为“世界计算机病毒流行日”第8页，此课件共80页哦计算机病毒历史1991年 “海湾战争”中美军将计算机病毒用于实战。1992年 出现针对杀毒软件的“幽灵”病毒。1996年 首次出现针对微软公司Office的“宏病毒”。1998年 被公认为计算机反病毒界的CIH病毒年。1999年 完全通过Internet传播的病毒的出现，从而使病毒在极短的时间内遍布全球。第9页，此课件共80页哦2001

5、年 9月一种名为“尼姆达”的蠕虫病毒席卷世界。“尼姆达”病毒在全球各地侵袭了830万部电脑，总共造成约5.9亿美元的损失。2003年 1月25日，一种新的蠕虫病毒再次震惊了世界。人们给这一病毒起了不同的名字：“2003蠕虫王”、“强风”、“SQL杀手”等等。这一蠕虫病毒攻击互联网开始于北京时间25日13时15分左右，除我国外，全球已经有2.2万个网络服务器受到这一病毒的攻击而瘫痪。计算机病毒历史第10页，此课件共80页哦蠕虫病毒蠕虫病毒：就是像蠕虫一样：就是像蠕虫一样“寄生寄生”在其他东西在其他东西上进行传播的计算机病毒。它的传染机理是利用上进行传播的计算机病毒。它的传染机理是利用网络进行复制

6、和传播，传染途径是通过网络和电网络进行复制和传播，传染途径是通过网络和电子邮件子邮件第11页，此课件共80页哦Main Title,60 pt.,U/L caseLS=.8 lines传统计传统计算机病毒类型算机病毒类型介绍介绍第12页，此课件共80页哦传统病毒的分类v DOS病毒病毒v Windows病毒病毒v 宏病毒宏病毒v 脚本病毒脚本病毒v 引导型病毒引导型病毒病毒的不同类型病毒的不同类型病毒的不同类型病毒的不同类型第13页，此课件共80页哦引导型病毒计算机启动时计算机启动时使用了被病毒感染的磁盘使用了被病毒感染的磁盘启动病毒感染启动病毒感染硬盘硬盘在此以后在此以后所有使用的磁盘都会感

7、染所有使用的磁盘都会感染第14页，此课件共80页哦宏病毒WordBasicVisual basic for Applications(VBA)第18页，此课件共80页哦当被感染的文件用当被感染的文件用WordWord应应用程序打开的时候，通常用程序打开的时候，通常其中包含的宏代码就会复其中包含的宏代码就会复制到通用模板中去制到通用模板中去当病毒长驻在通用模板中时，它会自当病毒长驻在通用模板中时，它会自动生成一些额外的拷贝到别的被动生成一些额外的拷贝到别的被WordWord打开的文档中去打开的文档中去通用模板用于文档设置和通用模板用于文档设置和宏的基本设定宏的基本设定Word 文档中的宏病毒第1

8、9页，此课件共80页哦当启动文件夹中有宏病毒时，它会在所有用当启动文件夹中有宏病毒时，它会在所有用ExcelExcel打开打开的电子表格中添夹自身的副本。的电子表格中添夹自身的副本。当当ExcelExcel启动的时候，在启启动的时候，在启动文件夹中的动文件夹中的ExcelExcel文件中文件中的宏会被自动执行。的宏会被自动执行。Excel 文档中的宏病毒一个被感染病毒的电子表格一个被感染病毒的电子表格文件被文件被ExcelExcel打开时，它会打开时，它会自动在启动文件夹中添加一自动在启动文件夹中添加一份自身的副本。份自身的副本。第20页，此课件共80页哦宏病毒某些症状某些症状某些症状某些症状

9、被感染的文件的大小会增加被感染的文件的大小会增加当你关闭文件时程序会问你是否要保存所做的更改，而当你关闭文件时程序会问你是否要保存所做的更改，而实际上你并没有对文件做任何改动。实际上你并没有对文件做任何改动。普通的文件被当作模板保存起来（针对普通的文件被当作模板保存起来（针对WordWord宏病毒）宏病毒）第21页，此课件共80页哦Main Title,60 pt.,U/L caseLS=.8 lines现代计现代计算机病毒类型算机病毒类型介绍介绍第22页，此课件共80页哦现代计算机病毒类型现代计算机病毒类型现代计算机病毒类型现代计算机病毒类型v 特洛伊木马程序特洛伊木马程序v 蠕虫蠕虫v 玩

10、笑程序玩笑程序v 恶意程序恶意程序dropperdropperv 后门程序后门程序v DDos DDos 攻击程序攻击程序第23页，此课件共80页哦特洛伊木马程序特洛伊木马程序往往表面上看起来无害，但是会执行一些特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。未预料或未经授权，通常是恶意的操作。第24页，此课件共80页哦蠕虫计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。系统中去。第25页，此课件共80页哦玩笑程序玩笑程序是普通的可执行程序，这些程序建立的目的

11、是用于和计算机用玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。当的操作，从而导致文件的损坏和数据的丢失。第26页，此课件共80页哦玩笑程序常见表现特征：常见表现特征：类似常见的普通可执行程序类似常见的普通可执行程序 不会感染其它程序不会感染其它程序不会造成直接破坏不会造成直接破坏可能给用户带来烦恼和困惑可能给用户带来烦恼和困惑可能不容易中断和停止可能不容易中断和停

12、止某些设备（例如鼠标或键盘）可能会暂时工作反常某些设备（例如鼠标或键盘）可能会暂时工作反常第27页，此课件共80页哦病毒或恶意程序Droppers病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序在病毒或恶意程序植入后，可以感染文件和对系统造成破坏用于生成病毒或恶意程序的计算机程序用于生成病毒或恶意程序的计算机程序第28页，此课件共80页哦后门程序后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略来饶过系统安全策略第29页，此课件共80页哦DDos攻击程序DDosDDos攻击程序用

13、于攻击并禁用目标服务器的攻击程序用于攻击并禁用目标服务器的webweb服务，导致合法用户无服务，导致合法用户无法获得正常服务法获得正常服务第30页，此课件共80页哦Main Title,60 pt.,U/L caseLS=.8 lines病毒的常见症状及传播途径病毒的常见症状及传播途径第31页，此课件共80页哦1系统频繁死机。可能是因为病毒打开了许多文件或占用了系统频繁死机。可能是因为病毒打开了许多文件或占用了大量内存。大量内存。2系统无法启动。系统启动时间加长或不能正常启动。可能系统无法启动。系统启动时间加长或不能正常启动。可能是病毒修改了硬盘的引导信息或删除了某些启动文件，如是病毒修改了硬

14、盘的引导信息或删除了某些启动文件，如引导型病毒引导文件损坏。引导型病毒引导文件损坏。3打不开文件。可能是病毒修改了文件格式或修改了文件链打不开文件。可能是病毒修改了文件格式或修改了文件链接位置。接位置。4经常报告内存不够。可能是病毒非法侵占了大量内存。经常报告内存不够。可能是病毒非法侵占了大量内存。5提示硬盘空间不够。可能是病毒复制了大量的病毒文件提示硬盘空间不够。可能是病毒复制了大量的病毒文件6软盘等设备未访问时出现读写信号。软盘等设备未访问时出现读写信号。7生成不可见的表格文件或出现大量来历不明的文件。生成不可见的表格文件或出现大量来历不明的文件。8开机时出现黑屏，无法正常启动。开机时出现

15、黑屏，无法正常启动。第32页，此课件共80页哦 9数据丢失。可执行文件没有经删除突然丢失，可能是病毒数据丢失。可执行文件没有经删除突然丢失，可能是病毒删除了文件。删除了文件。10浏览网页时，经常出现一些不明网页。浏览网页时，经常出现一些不明网页。11系统不认识磁盘或硬盘，不能引导系统等。系统不认识磁盘或硬盘，不能引导系统等。12生成不可见的表格文件或特定文件。生成不可见的表格文件或特定文件。13磁盘卷标名发生变化。磁盘卷标名发生变化。14在未经您授权的情况下，有程序试图访问互联网在未经您授权的情况下，有程序试图访问互联网15您的收件箱内收到了大量没有发送地址和主题的邮件。您的收件箱内收到了大量

16、没有发送地址和主题的邮件。16硬盘被频繁访问，硬盘灯狂闪硬盘被频繁访问，硬盘灯狂闪17IE无法使用或未经授权自动打开无法使用或未经授权自动打开18运行速度降低运行速度降低第33页，此课件共80页哦病毒的常见症状电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了第34页，此课件共80页哦病毒的常见症状内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称，扩展名，日期，属性被更改过第35页，此课件共80页哦病毒的常见传播途径文件传输介质例如CIH病

17、毒，通过复制感染程序传播电子邮件例如梅丽莎病毒，第一个通过电子邮件传播的病毒网络共享例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播文件共享软件例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播第36页，此课件共80页哦什么是黑客程序？什么是黑客程序？纯粹的黑客程序（也称远程访问木马程序）是一种客户机纯粹的黑客程序（也称远程访问木马程序）是一种客户机服务器式的程序，目的是破坏系统的安全。通常，服务器端程服务器式的程序，目的是破坏系统的安全。通常，服务器端程序是被植入的，就象别的特洛伊木马程序一样，而且往往带有序是被植入的，就象别的特洛伊木马程序一样，而且往

18、往带有蠕虫的特点，更有利于其传播。蠕虫的特点，更有利于其传播。服务器端一旦安装上以后，其充当了一个类似于网关的角色，服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。可以通过个人防火墙或相关的软件将其找到。第37页，此课件共80页哦如何清除主引导区中的病毒？如何清除主引导区中的病毒？有两种方法：使用防毒软件或者运行有两种方法：使用防毒软件

19、或者运行FDISK/MBRFDISK/MBR命令。命令。大部分防毒软件都能清除引导区内的病毒，但是有一些可能大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑运行在特定的环境中有些问题。这时可以考虑运行FDISK/MBRFDISK/MBR。但是除非你对此行为将产生的后果十分清楚，否则将是非但是除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行常不明智的。在运行FDISK/MBRFDISK/MBR命令后，你有可能无法访命令后，你有可能无法访问硬盘上的数据。问硬盘上的数据。第38页，此课件共80页哦重新格式化硬盘可以清除引导区病毒重新格式化硬盘可

20、以清除引导区病毒吗？吗？不一定。格式化（不一定。格式化（FORMATFORMAT）命令会重写引导扇区数据和）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式化大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒，但可以通过其它方法来清硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。除引导型病毒。第39页，此课件共80页哦防毒原则1.不使用盗版或来历不明的软件。2.绝不把用户数据写到系统盘上。3.安装真正有效的防毒软件，并经常进行

21、升级。4.新购买的电脑要在使用之前首先要进行病毒检查，以免机器带毒。5.准备一张干净的系统引导盘，并将常用的工具软件拷贝到该软盘上保存。此后一旦系统受病毒侵犯，我们就可以使用该盘引导系统，然后进行检查、杀毒等操作。第40页，此课件共80页哦防毒原则6.对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用。7.经常对重要数据进行备份，防患于未然。8.随时注意计算机的各种异常现象（如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等），一旦发现，应立即用杀毒软件仔细检查。第41页，此课件共

22、80页哦碰到病毒之后的解决办法1.在解毒之前，要先备份重要的数据文件。2.启动反病毒软件，并对整个硬盘进行扫描。3.发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。4.某些病毒在Windows 状态下无法完全清除，此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。反病毒软件 1、软件的安装 2、病毒库的升级 3、系统盘、杀毒盘的制作第42页，此课件共80页哦Main Title,60 pt.,U/L caseLS=.8 lines常见问题常见问题第43页，此课件共80页哦

23、为什么有些病毒清除不了（非运行中），只能隔离而不能清除？所谓的杀病毒,就防毒软件而言有两种情况:一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案)，这就是所谓的清除一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒，这种状况就是采取的隔离措施7.常见问题常见问题第44页，此课件共80页哦对于隔离区的清除不了病毒的文件，是否可以等到新的解药出来后，清除文件中的病毒就可以了？清除不了病毒的文件可能有以下两种情况：该文件本身即是病毒文件而非病毒感染其他文件后生成。这

24、种情况下只能采取隔离或是删除的措施，因为文件中包含的只有病毒代码，不存在清除的问题。病毒在感染文件时采取了一些特殊的方法，对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是，并不排除随着防病毒软件的改进而可以清除的可能。7.常见问题常见问题第45页，此课件共80页哦病毒码更新，扫描引擎不更新的话，会不会继续中病毒？病毒码中包含的是病毒的具体特征，而扫描引擎就是使用这些特征对文件进行比对，以确定被扫描的文件是否为病毒。因此，理论上只要病毒码包含了相关病毒的特征，则该病毒即可被检测到。7.常见问题常见问题第46页，此课件共80页哦为什么现在有很多木马程序杀不掉？造成这个问

25、题是以下原因：在Windows操作系统下运行的程序，其执行的原始文件往往会处在一个受保护的状态，使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目，因此往往系统已启动木马已在系统中运行，造成防病毒软件无法对木马程序进行有效处理。7.常见问题常见问题第47页，此课件共80页哦各类病毒的传播方式 病毒的常见传播方式有：通过电子邮件通过网络共享通过点对点的文件共享软件以磁盘之类的介质7.常见问题常见问题第48页，此课件共80页哦对于病毒清除后的残余文件，是否会随着病毒清除后自动删除？不会。有些病毒或是木马后门之类的恶意程序会在系

26、统中写入一些文件，用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据，与通常的纯数据文件并没有什么差别，其本身并不具备执行的能力，因此并不会被检测，相应的该文件也不会被采取一些自动的措施进行处理。7.常见问题常见问题第49页，此课件共80页哦为什么有时候有些防病毒软件认为一个文件是病毒，为什么有时候有些防病毒软件认为一个文件是病毒，而有些防病毒软件却认为不是病毒？而有些防病毒软件却认为不是病毒？各防病毒厂商在对病毒的认定标准上存在一些细小的各防病毒厂商在对病毒的认定标准上存在一些细小的差异，导致某些文件某些厂商检测而其他一些厂商不差异，导致某些文件某些厂商检测而

27、其他一些厂商不检测的结果。举例来说，如果一个程序在执行时需要检测的结果。举例来说，如果一个程序在执行时需要客户认可其最终用户许可协议，趋势科技即不将其检客户认可其最终用户许可协议，趋势科技即不将其检测为病毒，而其他厂家则可能会检测该程序为病毒。测为病毒，而其他厂家则可能会检测该程序为病毒。7.常见问题常见问题第50页，此课件共80页哦对于被隔离的病毒文件如果是系统文件的话，对于被隔离的病毒文件如果是系统文件的话，应该如何处理？应该如何处理？由于系统文件是操作系统的一部分，建议客户由于系统文件是操作系统的一部分，建议客户使用原始的操作系统安装盘恢复相应的文件。使用原始的操作系统安装盘恢复相应的文

28、件。7.常见问题常见问题第51页，此课件共80页哦病毒发作有的有周期的，是否本机时间改病毒发作有的有周期的，是否本机时间改掉就可以了？掉就可以了？修改系统时间确实可以阻止一些周期性发作修改系统时间确实可以阻止一些周期性发作的病毒的发作，但是并不是绝对可行。有些的病毒的发作，但是并不是绝对可行。有些病毒由于其触发机制的复杂性，修改系统时病毒由于其触发机制的复杂性，修改系统时间并不能完全阻止其发作。间并不能完全阻止其发作。7.常见问题常见问题第52页，此课件共80页哦蠕虫、病毒的特征和区别 计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生

29、于计算机与计算机之间。7.常见问题常见问题第53页，此课件共80页哦不同的病毒生成的文件是什么类型的不同的病毒生成的文件是什么类型的 要视病毒具体感染的文件类型而定，宏病要视病毒具体感染的文件类型而定，宏病毒通常会感染毒通常会感染WordWord文档文件以及文档文件以及ExcelExcel电子电子数据表文件；脚本病毒通常会感染网页类数据表文件；脚本病毒通常会感染网页类型文件；文件型病毒通常感染可执行程序，型文件；文件型病毒通常感染可执行程序，如如exeexe文件。文件。7.常见问题常见问题第54页，此课件共80页哦如果遇到病毒感染了系统文件怎么办？如果如果遇到病毒感染了系统文件怎么办？如果删除

30、了或者杀死病毒造成系统不稳定，但不删除了或者杀死病毒造成系统不稳定，但不想重新装系统，怎么解决？想重新装系统，怎么解决？碰到这种情况，请记录相关的文件名称，碰到这种情况，请记录相关的文件名称，并使用原始的操作系统安装盘进行相关文并使用原始的操作系统安装盘进行相关文件的恢复件的恢复 7.常见问题常见问题第55页，此课件共80页哦哪些病毒有潜伏期的哪些病毒有潜伏期的 病毒是否具有潜伏期要视病毒的具体触发病毒是否具有潜伏期要视病毒的具体触发条件而定，只有那些触发条件是使用特定条件而定，只有那些触发条件是使用特定时间的病毒才具有潜伏期。时间的病毒才具有潜伏期。7.常见问题常见问题第56页，此课件共80

31、页哦防病毒软件的作用是什么？防病毒软件的作用是什么？清除从被感染文件中清除病毒代码。隔离加密无法清除的文件并将它存放到某个特定的位置，以避免该文件中的病毒代码的运行。删除直接删除被感染的文件。第57页，此课件共80页哦如何设置防病毒软件中的处理如何设置防病毒软件中的处理方式？方式？当载体文件被PE病毒、宏病毒或脚本病毒感染时，清除功能可以将病毒从被感染文件中除去。如果恶意程序的类型是蠕虫、特洛伊木马或后门程序时，由于这一类型的病毒本身就是一个病毒程序，不会感染其他文件，因此需要备份的情况下，请采取隔离的方式，否则直接删除即可。第58页，此课件共80页哦病毒会感染哪些文件？病毒会感染哪些文件？病

32、毒只会感染程序文件或带有可执行代码的文件，任何支持可执病毒只会感染程序文件或带有可执行代码的文件，任何支持可执行命令的文件格式都有可能被病毒感染。行命令的文件格式都有可能被病毒感染。病毒不会感染纯粹的数据文件病毒不会感染纯粹的数据文件只会破坏它们。尽管病毒能够成功的将只会破坏它们。尽管病毒能够成功的将指令插入这些文件中，它们相应的查看器或播放器只会将它们显示出来，指令插入这些文件中，它们相应的查看器或播放器只会将它们显示出来，而不会执行这些指令。而不会执行这些指令。第59页，此课件共80页哦计算机的计算机的 CMOS 会被感染吗会被感染吗?不会。计算机的系统信息存在的区域一般是通过输入/输出（

33、I/O）端口进行访问的，不能被直接访问。当然，恶意程序可以更改CMOS中的数据，但不会通过其传播。任何隐藏在CMOS中的病毒都会找机会去感染可执行体，然后将写在CMOS中的内容执行起来。第60页，此课件共80页哦防病毒软件可能被病毒感染吗？防病毒软件可能被病毒感染吗？是的，有这种可能性。防毒软件本身也是一种可能被病毒感染的可执行程序。因此，尽量使用可信的介质或防毒软件安装程序。第61页，此课件共80页哦我该使用多少种防毒软件？我该使用多少种防毒软件？如果你只是一个家庭用户，并且与其他用户的文件交换如果你只是一个家庭用户，并且与其他用户的文件交换频率比较低的话，使用一种防毒软件就足够了。否则，频

34、率比较低的话，使用一种防毒软件就足够了。否则，可以使用多种防毒软件来检查系统以降低感染病毒的几可以使用多种防毒软件来检查系统以降低感染病毒的几率率第62页，此课件共80页哦什么是黑客程序？什么是黑客程序？纯粹的黑客程序（也称远程访问木马程序）是一种客户机纯粹的黑客程序（也称远程访问木马程序）是一种客户机服务器式的程序，目的是破坏系统的安全。通常，服务器端服务器式的程序，目的是破坏系统的安全。通常，服务器端程序是被植入的，就象别的特洛伊木马程序一样，而且往往带程序是被植入的，就象别的特洛伊木马程序一样，而且往往带有蠕虫的特点，更有利于其传播。有蠕虫的特点，更有利于其传播。服务器端一旦安装上以后，

35、其充当了一个类似于网关服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透到被的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是网络中感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防火墙或相增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。关的软件将其找到。第63页，此课件共80页哦FDISK/MBR命令有什么作用？命令有什么作用？FDISK/MBRFDISK/MBR会清除主引导区记录。一般来说不一定会更改会清除主引导区记录。一般来说不一定会更改分区信息，但对普通用户而言，

36、通常会造成严重后果。分区信息，但对普通用户而言，通常会造成严重后果。如果主引导区记录的最后两个字节不是如果主引导区记录的最后两个字节不是55 AA55 AA的话，的话，FDISK FDISK/MBR/MBR这条命令会删除分区表中的数据。这条命令会删除分区表中的数据。如果你对分区表没有足够的认识的话，请不要轻易使如果你对分区表没有足够的认识的话，请不要轻易使用用FDISK/MBR FDISK/MBR 命令，因为你会丢失数据。命令，因为你会丢失数据。第64页，此课件共80页哦如何清除主引导区中的病毒？如何清除主引导区中的病毒？有两种方法：使用防毒软件或者运行有两种方法：使用防毒软件或者运行FDIS

37、K/MBRFDISK/MBR命令。命令。大部分防毒软件都能清除引导区内的病毒，但是有一些可能在大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑运行特定的环境中有些问题。这时可以考虑运行FDISK/MBRFDISK/MBR。但是。但是除非你对此行为将产生的后果十分清楚，否则将是非常不明智除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行的。在运行FDISK/MBRFDISK/MBR命令后，你有可能无法访问硬盘上的数命令后，你有可能无法访问硬盘上的数据。据。第65页，此课件共80页哦重新格式化硬盘可以清除引导区病毒吗？重新格式化硬盘可以清除引导

38、区病毒吗？不一定。格式化（不一定。格式化（FORMATFORMAT）命令会重写引导扇区数据和硬盘）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。会清除引导型病毒，但可以通过其它方法来清除引导型病毒。第66页，此课件共80页哦引导型病毒可以感染非引导盘吗？引导型病毒可以感染非引导盘吗？可以。所有格式化过的磁盘都可以携带引导型病毒，可以。所有格式化过

39、的磁盘都可以携带引导型病毒，因为任何正确格式化过的因为任何正确格式化过的DOSDOS磁盘在引导扇区内（可启磁盘在引导扇区内（可启动的或不可启动的）都有可执行代码，导致可以被病毒感动的或不可启动的）都有可执行代码，导致可以被病毒感染。染。第67页，此课件共80页哦使用使用DIR命令会感染我的系统吗？命令会感染我的系统吗？使用使用DIRDIR命令不会感染一个命令不会感染一个“干净的系统干净的系统”，即使所浏览的目，即使所浏览的目的磁盘上有病毒也没关系。但是如果你的计算机已经感染了病的磁盘上有病毒也没关系。但是如果你的计算机已经感染了病毒，该命令有可能使毒，该命令有可能使“干净干净”的磁盘感染上病毒

40、。的磁盘感染上病毒。第68页，此课件共80页哦将文件的属性设为只读可将文件的属性设为只读可以保护其不被病毒感染以保护其不被病毒感染吗？吗？一般来说，不会。只读属性只会防住少数病毒，大部一般来说，不会。只读属性只会防住少数病毒，大部分病毒还是会通过覆盖的方式感染文件的。分病毒还是会通过覆盖的方式感染文件的。因此，虽因此，虽然将可执行文件的属性设为只读是个好主意（可以防止误操作）然将可执行文件的属性设为只读是个好主意（可以防止误操作）但从防病毒角度讲，没什么大用。但从防病毒角度讲，没什么大用。第69页，此课件共80页哦写保护可以防止病毒感染吗？写保护可以防止病毒感染吗？一般来说，可以。在一般来说，

41、可以。在IBM PCIBM PC（和某些兼容机）上的写保（和某些兼容机）上的写保护装置可以很好的保护不受病毒的干扰。因为写保护是基护装置可以很好的保护不受病毒的干扰。因为写保护是基于硬件的。而病毒只是一个程序，是软件，不可能违背一于硬件的。而病毒只是一个程序，是软件，不可能违背一些通用的规则。如果启用了写保护的软盘在被感染病毒的些通用的规则。如果启用了写保护的软盘在被感染病毒的系统里使用，它也不会被感染。系统里使用，它也不会被感染。第70页，此课件共80页哦DOS病毒会在病毒会在Windows环境下工作吗环境下工作吗？绝大多数的绝大多数的DOSDOS病毒不能在病毒不能在WindowsWindo

42、ws环境下运行，但是有一小部环境下运行，但是有一小部分可以（在限制的条件下）。总的来说，以分可以（在限制的条件下）。总的来说，以WindowsWindows专用内存专用内存方式运行的系统要比纯方式运行的系统要比纯DOSDOS对病毒的抵抗性能要好。这是因对病毒的抵抗性能要好。这是因为许多病毒与为许多病毒与WindowsWindows的内存管理方式不兼容。的内存管理方式不兼容。进一步讲，大部分现存的病毒如果想要通过以前的方式来进一步讲，大部分现存的病毒如果想要通过以前的方式来感染感染EXEEXE文件的话，将会破坏这些文件的话，将会破坏这些WindowsWindows程序。但是许多仅程序。但是许多仅

43、感染感染COMCOM文件的病毒在文件的病毒在WindowsWindows提供的虚拟提供的虚拟DOSDOS环境下就会很环境下就会很好的运行。好的运行。第71页，此课件共80页哦在阅读电子邮件和浏览新闻组时会中毒在阅读电子邮件和浏览新闻组时会中毒吗？吗？绝大多数情况下，恶意程序只有当其中的可执行代码被运行绝大多数情况下，恶意程序只有当其中的可执行代码被运行才会被激活。才会被激活。有些电子邮件程序会自动执行邮件中所带的可执行代码，例如有些电子邮件程序会自动执行邮件中所带的可执行代码，例如JavaScript,WordJavaScript,Word宏语句等。在这种情况下，如果其中的代宏语句等。在这种情

44、况下，如果其中的代码是恶意的话，病毒就会感染系统，因此强烈建议禁用自动码是恶意的话，病毒就会感染系统，因此强烈建议禁用自动执行的特性。执行的特性。第72页，此课件共80页哦如果我的如果我的MS Word关着还会感染关着还会感染Word宏病毒吗？宏病毒吗？关于各个程序的宏病毒只会在自身程序中才能被执行，因此关于各个程序的宏病毒只会在自身程序中才能被执行，因此如果如果WordWord程序关着，程序关着，WordWord宏病毒是不会被执行起来的宏病毒是不会被执行起来的（别的相应的各个程序的宏病毒也是如此）。（别的相应的各个程序的宏病毒也是如此）。第73页，此课件共80页哦恶意病毒会破坏硬件吗？恶意病

45、毒会破坏硬件吗？到目前为止，还没有任何一个病毒会对硬件造成物理到目前为止，还没有任何一个病毒会对硬件造成物理上的破坏。但这并不是说病毒不可能破坏硬件，只是上的破坏。但这并不是说病毒不可能破坏硬件，只是目前还没有而已。目前还没有而已。第74页，此课件共80页哦什么是什么是CARO和和EICAR？什么是？什么是EICAR测试文件？测试文件？CARO(Computer Antivirus Research Organization)CARO(Computer Antivirus Research Organization)计算机防计算机防病毒研究组织是计算机防病毒领域的研究者，许多成员是来自病毒研究

46、组织是计算机防病毒领域的研究者，许多成员是来自防病毒厂商。防病毒厂商。EICAR(European Institute for Computer Antivirus EICAR(European Institute for Computer Antivirus Research)Research)欧洲防病毒研究协会是由学院，商业协会，欧洲防病毒研究协会是由学院，商业协会，媒体政府机构等一起组成的一个团体，主要成员有网媒体政府机构等一起组成的一个团体，主要成员有网络安全专家，法律专家等。这个组织致力于控制计算络安全专家，法律专家等。这个组织致力于控制计算机病毒和计算机资源的滥用。同时也是机病毒和

47、计算机资源的滥用。同时也是EICAREICAR测试文件测试文件的提供者。的提供者。EICAR EICAR 测试文件是一个用来测试防毒软件的文件。使用测试文件是一个用来测试防毒软件的文件。使用该文件就可以不必使用真正的病毒来实验了。该文件就可以不必使用真正的病毒来实验了。第75页，此课件共80页哦什么是实时扫描？什么是实时扫描？实时扫描是防毒软件的一种处理方法。当您访问任何一个文件实时扫描是防毒软件的一种处理方法。当您访问任何一个文件的时候，这些文件都会先被防毒软件扫描，这种扫描是基于后的时候，这些文件都会先被防毒软件扫描，这种扫描是基于后台的，并不为用户所察觉，在这种情况下，任何恶意程序在执台

48、的，并不为用户所察觉，在这种情况下，任何恶意程序在执行或打开的时候，都会被事先扫描到。行或打开的时候，都会被事先扫描到。第76页，此课件共80页哦什么是完整性检查？什么是完整性检查？完整性检查会去检查一个文件的校验和或者哈希值，以此完整性检查会去检查一个文件的校验和或者哈希值，以此来判别文件是否被改动过。来判别文件是否被改动过。这种技术可以对文件的任何改动做出判断，不管是已知的或是这种技术可以对文件的任何改动做出判断，不管是已知的或是未知的病毒都可以适用，因为这是通用的检查。另外，除了病未知的病毒都可以适用，因为这是通用的检查。另外，除了病毒以外的别的任何改动也可以被查出来。通常情况下，可以让

49、毒以外的别的任何改动也可以被查出来。通常情况下，可以让用户来判断哪种情况是有意的，哪种是由于病毒的原因造成的，用户来判断哪种情况是有意的，哪种是由于病毒的原因造成的，某些产品提供了相关的帮助来协助用户做相应的判断。某些产品提供了相关的帮助来协助用户做相应的判断。第77页，此课件共80页哦什么是启发式扫描？什么是启发式扫描？启发式扫描通过检查可执行程序的代码来查找可能存在的启发式扫描通过检查可执行程序的代码来查找可能存在的未知病毒。通常有一系列的规则可以用来参考，当相关的未知病毒。通常有一系列的规则可以用来参考，当相关的条件满足时会发出警报。有些防毒软件用这种技术来补充条件满足时会发出警报。有些

50、防毒软件用这种技术来补充基于字符串匹配的扫描方式（查找已知病毒），以便更好基于字符串匹配的扫描方式（查找已知病毒），以便更好的查到未知病毒。的查到未知病毒。这种扫描方式并不是非常可靠，有时候会产生误报，这种扫描方式并不是非常可靠，有时候会产生误报，在完整性检查的软件里有时也会应用这种技术。在完整性检查的软件里有时也会应用这种技术。第78页，此课件共80页哦什么是误报？什么是误报？假报警顾名思义就是防毒软件给出的错误诊断。假报警顾名思义就是防毒软件给出的错误诊断。有两种错误警报：有两种错误警报：防毒软件报告被检测文件感染了某个病毒或恶意程序，但防毒软件报告被检测文件感染了某个病毒或恶意程序，但实