计算机病毒知识 PPT课件.ppt

《计算机病毒知识 PPT课件.ppt》由会员分享，可在线阅读，更多相关《计算机病毒知识 PPT课件.ppt（79页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2024/4/12计算机病毒的特点计算机病毒的特点计算机病毒的特点计算机病毒的特点传染性传染性：通过各种渠道从已被感染的计算机扩散：通过各种渠道从已被感染的计算机扩散到未被感染的计算机。到未被感染的计算机。隐蔽性隐蔽性：病毒通常附在正常程序中或磁盘较隐蔽：病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。的地方，也有个别的以隐含文件形式出现。潜伏性潜伏性：大部分的病毒感染系统之后一般不会马：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。特定条件时才启动其破坏模块。破坏性破坏

2、性：任何病毒只要侵入系统，都会对系统及：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。应用程序产生程度不同的影响。可执行性可执行性2024/4/12Main Title,60 pt.,U/L caseLS=.8 lines计算机病毒概述计算机病毒概述2024/4/12什么是病毒?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。2024/4/12什么是计算机病毒?计算机病毒:是指在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2024/4/12Main Title,60 pt.,U

3、/L caseLS=.8 lines计计算机病毒算机病毒起源、历史和发展起源、历史和发展2024/4/12计算机病毒起源1.有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的2.有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚3.蓄意破坏，它分为个人行为和政府行为两种。个个人人行行为为多多为为雇雇员员对对雇雇主主的的报报复复行行为为，而而政政府府行行为则是有组织的战略战术手段。为则是有组织的战略战术手段。4.用于研究或实验而设计的“有用”程序，由于某种原因失去控 制扩散出实验室或研究所，从而成为危害四方的计算机病毒。2024/4/12计算机病毒历史1987年 世界各地的计算

4、机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等 1989年 全世界的计算机病毒攻击十分猖獗。1989年10月13日为“世界计算机病毒流行日”2024/4/12计算机病毒历史1991年 “海湾战争”中美军将计算机病毒用于实战。1992年 出现针对杀毒软件的“幽灵”病毒。1996年 首次出现针对微软公司Office的“宏病毒”。1998年 被公认为计算机反病毒界的CIH病毒年。1999年 完全通过Internet传播的病毒的出现，从而使病毒在极短的时间内遍布全球。2024/4/122001年 9月一种名为“尼姆达”的蠕虫病毒席卷世界。“尼姆达”病毒在全球各地侵袭了8

5、30万部电脑，总共造成约5.9亿美元的损失。2003年 1月25日，一种新的蠕虫病毒再次震惊了世界。人们给这一病毒起了不同的名字：“2003蠕虫王”、“强风”、“SQL杀手”等等。这一蠕虫病毒攻击互联网开始于北京时间25日13时15分左右，除我国外，全球已经有2.2万个网络服务器受到这一病毒的攻击而瘫痪。计算机病毒历史2024/4/12蠕虫病毒蠕虫病毒：就是像蠕虫一样：就是像蠕虫一样“寄生寄生”在其他东在其他东西上进行传播的计算机病毒。它的传染机理是西上进行传播的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网利用网络进行复制和传播，传染途径是通过网络和电子邮件络和电子邮件2

6、024/4/12Main Title,60 pt.,U/L caseLS=.8 lines传统计传统计算机病毒类型算机病毒类型介绍介绍2024/4/12传统病毒的分类v DOS病毒病毒v Windows病毒病毒v 宏病毒宏病毒v 脚本病毒脚本病毒v 引导型病毒引导型病毒病毒的不同类型病毒的不同类型病毒的不同类型病毒的不同类型2024/4/12引导型病毒计算机启动时计算机启动时使用了被病毒感染的磁盘使用了被病毒感染的磁盘启动病毒感染启动病毒感染硬盘硬盘在此以后在此以后所有使用的磁盘都会感染所有使用的磁盘都会感染2024/4/12宏病毒WordBasicVisual basic for Appli

7、cations(VBA)2024/4/12当被感染的文件用当被感染的文件用WordWord应应用程序打开的时候，通常用程序打开的时候，通常其中包含的宏代码就会复其中包含的宏代码就会复制到通用模板中去制到通用模板中去当病毒长驻在通用模板中时，它会自当病毒长驻在通用模板中时，它会自动生成一些额外的拷贝到别的被动生成一些额外的拷贝到别的被WordWord打开的文档中去打开的文档中去通用模板用于文档设置和通用模板用于文档设置和宏的基本设定宏的基本设定Word 文档中的宏病毒2024/4/12当启动文件夹中有宏病毒时，它会在所有用当启动文件夹中有宏病毒时，它会在所有用ExcelExcel打开的电子表格中

8、添夹自身的副本。打开的电子表格中添夹自身的副本。当当ExcelExcel启动的时候，在启启动的时候，在启动文件夹中的动文件夹中的ExcelExcel文件中文件中的宏会被自动执行。的宏会被自动执行。Excel 文档中的宏病毒一个被感染病毒的电子表格一个被感染病毒的电子表格文件被文件被ExcelExcel打开时，它会打开时，它会自动在启动文件夹中添加一自动在启动文件夹中添加一份自身的副本。份自身的副本。2024/4/12宏病毒某些症状某些症状某些症状某些症状被感染的文件的大小会增加被感染的文件的大小会增加当你关闭文件时程序会问你是否要保存所做的更当你关闭文件时程序会问你是否要保存所做的更改，而实际

9、上你并没有对文件做任何改动。改，而实际上你并没有对文件做任何改动。普通的文件被当作模板保存起来（针对普通的文件被当作模板保存起来（针对WordWord宏病宏病毒）毒）2024/4/12Main Title,60 pt.,U/L caseLS=.8 lines现代计现代计算机病毒类型算机病毒类型介绍介绍2024/4/12现代计算机病毒类型现代计算机病毒类型现代计算机病毒类型现代计算机病毒类型v 特洛伊木马程序特洛伊木马程序v 蠕虫蠕虫v 玩笑程序玩笑程序v 恶意程序恶意程序dropperdropperv 后门程序后门程序v DDosDDos 攻击程序攻击程序2024/4/12特洛伊木马程序特洛伊

10、木马程序往往表面上看起来无害，但是会执特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。行一些未预料或未经授权，通常是恶意的操作。2024/4/12蠕虫计算机蠕虫是指一个程序（或一组程序），它会自我复制、传计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。播到别的计算机系统中去。2024/4/12玩笑程序玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的这些玩笑程序设计时不是致力

11、于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。2024/4/12玩笑程序常见表现特征：常见表现特征：类似常见的普通可执行程序类似常见的普通可执行程序 不会感染其它程序不会感染其它程序不会造成直接破坏不会造成直接破坏可能给用户带来烦恼和困惑可能给用户带来烦恼和困惑可能不容易中断和停止可能不容易中断和停止某些设备（例如鼠标或键盘）可能会暂时工作反某些设备（例如鼠标或键盘）可能会暂时工作反常常2024/4/12病毒或恶意程序Droppers病毒或恶意程序Droppers被执行后，会在被感染系统

12、中植入病毒或是恶意程序在病毒或恶意程序植入后，可以感染文件和对系统造成破坏用于生成病毒或恶意程序的计算机程序用于生成病毒或恶意程序的计算机程序2024/4/12后门程序后门程序是一种会在系统中打开一个秘密访问方式的程序，经后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略常被用来饶过系统安全策略2024/4/12DDos攻击程序DDosDDos攻击程序用于攻击并禁用目标服务器的攻击程序用于攻击并禁用目标服务器的webweb服务，导致合法服务，导致合法用户无法获得正常服务用户无法获得正常服务2024/4/12Main Title,60 pt.,U/L caseLS=.

13、8 lines病毒的常见症状及传播途径病毒的常见症状及传播途径2024/4/121系统频繁死机。可能是因为病毒打开了许多文件或占系统频繁死机。可能是因为病毒打开了许多文件或占用了大量内存。用了大量内存。2系统无法启动。系统启动时间加长或不能正常启动。系统无法启动。系统启动时间加长或不能正常启动。可能是病毒修改了硬盘的引导信息或删除了某些启动可能是病毒修改了硬盘的引导信息或删除了某些启动文件，如引导型病毒引导文件损坏。文件，如引导型病毒引导文件损坏。3打不开文件。可能是病毒修改了文件格式或修改了文打不开文件。可能是病毒修改了文件格式或修改了文件链接位置。件链接位置。4经常报告内存不够。可能是病毒

14、非法侵占了大量内存。经常报告内存不够。可能是病毒非法侵占了大量内存。5提示硬盘空间不够。可能是病毒复制了大量的病毒文提示硬盘空间不够。可能是病毒复制了大量的病毒文件件6软盘等设备未访问时出现读写信号。软盘等设备未访问时出现读写信号。7生成不可见的表格文件或出现大量来历不明的文件。生成不可见的表格文件或出现大量来历不明的文件。8开机时出现黑屏，无法正常启动。开机时出现黑屏，无法正常启动。2024/4/12 9数据丢失。可执行文件没有经删除突然丢失，可能是病数据丢失。可执行文件没有经删除突然丢失，可能是病毒删除了文件。毒删除了文件。10浏览网页时，经常出现一些不明网页。浏览网页时，经常出现一些不明

15、网页。11系统不认识磁盘或硬盘，不能引导系统等。系统不认识磁盘或硬盘，不能引导系统等。12生成不可见的表格文件或特定文件。生成不可见的表格文件或特定文件。13磁盘卷标名发生变化。磁盘卷标名发生变化。14在未经您授权的情况下，有程序试图访问互联网在未经您授权的情况下，有程序试图访问互联网15您的收件箱内收到了大量没有发送地址和主题的邮件。您的收件箱内收到了大量没有发送地址和主题的邮件。16硬盘被频繁访问，硬盘灯狂闪硬盘被频繁访问，硬盘灯狂闪17IE无法使用或未经授权自动打开无法使用或未经授权自动打开18运行速度降低运行速度降低2024/4/12病毒的常见症状电脑运行比平常迟钝程序载入时间比平常久

16、对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了2024/4/12病毒的常见症状内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称，扩展名，日期，属性被更改过2024/4/12病毒的常见传播途径文件传输介质例如CIH病毒，通过复制感染程序传播电子邮件例如梅丽莎病毒，第一个通过电子邮件传播的病毒网络共享例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播文件共享软件例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播2024/4/12什么是黑客程序

17、？什么是黑客程序？纯粹的黑客程序（也称远程访问木马程序）是一种纯粹的黑客程序（也称远程访问木马程序）是一种客户机客户机服务器式的程序，目的是破坏系统的安服务器式的程序，目的是破坏系统的安全。通常，服务器端程序是被植入的，就象别的特全。通常，服务器端程序是被植入的，就象别的特洛伊木马程序一样，而且往往带有蠕虫的特点，更洛伊木马程序一样，而且往往带有蠕虫的特点，更有利于其传播。有利于其传播。服务器端一旦安装上以后，其充当了一个类似于网服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透关的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的

18、行为特征是到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防网络中增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。火墙或相关的软件将其找到。2024/4/12如何清除主引导区中的病毒？如何清除主引导区中的病毒？有两种方法：使用防毒软件或者运行有两种方法：使用防毒软件或者运行FDISK/MBRFDISK/MBR命命令。令。大部分防毒软件都能清除引导区内的病毒，但是有大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑一些可能在特定的环境中有些问题。这时可以考虑运行运行FDISK/MBRFDISK/MBR。但

19、是除非你对此行为将产生的后。但是除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行果十分清楚，否则将是非常不明智的。在运行FDISK FDISK/MBR/MBR命令后，你有可能无法访问硬盘上的数据。命令后，你有可能无法访问硬盘上的数据。2024/4/12重新格式化硬盘可以清除引导区病毒重新格式化硬盘可以清除引导区病毒吗？吗？不一定。格式化（不一定。格式化（FORMATFORMAT）命令会重写引导扇区数）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引

20、导记录。格式大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒，但可以通过其它方法化硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。来清除引导型病毒。2024/4/12防毒原则防毒原则1.不使用盗版或来历不明的软件。2.绝不把用户数据写到系统盘上。3.安装真正有效的防毒软件，并经常进行升级。4.新购买的电脑要在使用之前首先要进行病毒检查，以免机器带毒。5.准备一张干净的系统引导盘，并将常用的工具软件拷贝到该软盘上保存。此后一旦系统受病毒侵犯，我们就可以使用该盘引导系统，然后进行检查、杀毒等操作。2024/4/12防毒原则防毒原则6.对外来程序要使用尽可能多的查毒软

21、件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用。7.经常对重要数据进行备份，防患于未然。8.随时注意计算机的各种异常现象（如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等），一旦发现，应立即用杀毒软件仔细检查。2024/4/12碰到病毒之后的解决办法碰到病毒之后的解决办法1.在解毒之前，要先备份重要的数据文件。2.启动反病毒软件，并对整个硬盘进行扫描。3.发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。4.某些病毒在Wind

22、ows 状态下无法完全清除，此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。反病毒软件 1、软件的安装 2、病毒库的升级 3、系统盘、杀毒盘的制作2024/4/12Main Title,60 pt.,U/L caseLS=.8 lines常见问题常见问题2024/4/12为什么有些病毒清除不了（非运行中），只能隔离而不能清除？所谓的杀病毒,就防毒软件而言有两种情况:一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案)，这就是所谓的清除一种是将整个病毒档案删除(这是因为该档案全都

23、是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒，这种状况就是采取的隔离措施7.常见问题常见问题2024/4/12对于隔离区的清除不了病毒的文件，是否可以等到新的解药出来后，清除文件中的病毒就可以了？清除不了病毒的文件可能有以下两种情况：该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施，因为文件中包含的只有病毒代码，不存在清除的问题。病毒在感染文件时采取了一些特殊的方法，对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是，并不排除随着防病毒软件的改进而可以清除的可能。7.常见问题常见问题2024/4/12病毒码更新

24、，扫描引擎不更新的话，会不会继续中病毒？病毒码中包含的是病毒的具体特征，而扫描引擎就是使用这些特征对文件进行比对，以确定被扫描的文件是否为病毒。因此，理论上只要病毒码包含了相关病毒的特征，则该病毒即可被检测到。7.常见问题常见问题2024/4/12为什么现在有很多木马程序杀不掉？造成这个问题是以下原因：在Windows操作系统下运行的程序，其执行的原始文件往往会处在一个受保护的状态，使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目，因此往往系统已启动木马已在系统中运行，造成防病毒软件无法对木马程序进行有效处理。7.常见问

25、题常见问题2024/4/12各类病毒的传播方式 病毒的常见传播方式有：通过电子邮件通过网络共享通过点对点的文件共享软件以磁盘之类的介质7.常见问题常见问题2024/4/12对于病毒清除后的残余文件，是否会随着病毒清除后自动删除？不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件，用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据，与通常的纯数据文件并没有什么差别，其本身并不具备执行的能力，因此并不会被检测，相应的该文件也不会被采取一些自动的措施进行处理。7.常见问题常见问题2024/4/12为什么有时候有些防病毒软件认为一个文件是病为什么有时候有些防

26、病毒软件认为一个文件是病毒，而有些防病毒软件却认为不是病毒？毒，而有些防病毒软件却认为不是病毒？各防病毒厂商在对病毒的认定标准上存在一些细各防病毒厂商在对病毒的认定标准上存在一些细小的差异，导致某些文件某些厂商检测而其他一小的差异，导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说，如果一个程序些厂商不检测的结果。举例来说，如果一个程序在执行时需要客户认可其最终用户许可协议，趋在执行时需要客户认可其最终用户许可协议，趋势科技即不将其检测为病毒，而其他厂家则可能势科技即不将其检测为病毒，而其他厂家则可能会检测该程序为病毒。会检测该程序为病毒。7.常见问题常见问题2024/4/12对于被

27、隔离的病毒文件如果是系统文件对于被隔离的病毒文件如果是系统文件的话，应该如何处理？的话，应该如何处理？由于系统文件是操作系统的一部分，建由于系统文件是操作系统的一部分，建议客户使用原始的操作系统安装盘恢复议客户使用原始的操作系统安装盘恢复相应的文件。相应的文件。7.常见问题常见问题2024/4/12病毒发作有的有周期的，是否本机时间病毒发作有的有周期的，是否本机时间改掉就可以了？改掉就可以了？修改系统时间确实可以阻止一些周期性修改系统时间确实可以阻止一些周期性发作的病毒的发作，但是并不是绝对可发作的病毒的发作，但是并不是绝对可行。有些病毒由于其触发机制的复杂性，行。有些病毒由于其触发机制的复杂

28、性，修改系统时间并不能完全阻止其发作。修改系统时间并不能完全阻止其发作。7.常见问题常见问题2024/4/12蠕虫、病毒的特征和区别 计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生于计算机与计算机之间。7.常见问题常见问题2024/4/12不同的病毒生成的文件是什么类型的不同的病毒生成的文件是什么类型的 要视病毒具体感染的文件类型而定，宏要视病毒具体感染的文件类型而定，宏病毒通常会感染病毒通常会感染WordWord文档文件以及文档文件以及ExcelExcel电子数据表文件；脚本病毒通常会感染电子数据表文件；脚本病毒通常会感染网页类型

29、文件；文件型病毒通常感染可网页类型文件；文件型病毒通常感染可执行程序，如执行程序，如exeexe文件。文件。7.常见问题常见问题2024/4/12如果遇到病毒感染了系统文件怎么办？如果遇到病毒感染了系统文件怎么办？如果删除了或者杀死病毒造成系统不稳如果删除了或者杀死病毒造成系统不稳定，但不想重新装系统，怎么解决？定，但不想重新装系统，怎么解决？碰到这种情况，请记录相关的文件名称，碰到这种情况，请记录相关的文件名称，并使用原始的操作系统安装盘进行相关并使用原始的操作系统安装盘进行相关文件的恢复文件的恢复 7.常见问题常见问题2024/4/12哪些病毒有潜伏期的哪些病毒有潜伏期的 病毒是否具有潜伏

30、期要视病毒的具体触病毒是否具有潜伏期要视病毒的具体触发条件而定，只有那些触发条件是使用发条件而定，只有那些触发条件是使用特定时间的病毒才具有潜伏期。特定时间的病毒才具有潜伏期。7.常见问题常见问题2024/4/12防病毒软件的作用是什么？防病毒软件的作用是什么？清除从被感染文件中清除病毒代码。隔离加密无法清除的文件并将它存放到某个特定的位置，以避免该文件中的病毒代码的运行。删除直接删除被感染的文件。2024/4/12如何设置防病毒软件中的处理如何设置防病毒软件中的处理方式？方式？当载体文件被PE病毒、宏病毒或脚本病毒感染时，清除功能可以将病毒从被感染文件中除去。如果恶意程序的类型是蠕虫、特洛伊

31、木马或后门程序时，由于这一类型的病毒本身就是一个病毒程序，不会感染其他文件，因此需要备份的情况下，请采取隔离的方式，否则直接删除即可。2024/4/12病毒会感染哪些文件？病毒会感染哪些文件？病毒只会感染程序文件或带有可执行代码的文件，任何支持可病毒只会感染程序文件或带有可执行代码的文件，任何支持可执行命令的文件格式都有可能被病毒感染。执行命令的文件格式都有可能被病毒感染。病毒不会感染纯粹的数据文件病毒不会感染纯粹的数据文件只会破坏它们。尽管病毒能只会破坏它们。尽管病毒能够成功的将指令插入这些文件中，它们相应的查看器或播放器够成功的将指令插入这些文件中，它们相应的查看器或播放器只会将它们显示出

32、来，而不会执行这些指令。只会将它们显示出来，而不会执行这些指令。2024/4/12计算机的计算机的 CMOS 会被感染吗会被感染吗?不会。计算机的系统信息存在的区域一般是通过输入/输出（I/O）端口进行访问的，不能被直接访问。当然，恶意程序可以更改CMOS中的数据，但不会通过其传播。任何隐藏在CMOS中的病毒都会找机会去感染可执行体，然后将写在CMOS中的内容执行起来。2024/4/12防病毒软件可能被病毒感染吗？防病毒软件可能被病毒感染吗？是的，有这种可能性。防毒软件本身也是一种可能被病毒感染的可执行程序。因此，尽量使用可信的介质或防毒软件安装程序。2024/4/12我该使用多少种防毒软件？

33、我该使用多少种防毒软件？如果你只是一个家庭用户，并且与其他用户的文件交如果你只是一个家庭用户，并且与其他用户的文件交换频率比较低的话，使用一种防毒软件就足够了。否换频率比较低的话，使用一种防毒软件就足够了。否则，可以使用多种防毒软件来检查系统以降低感染病则，可以使用多种防毒软件来检查系统以降低感染病毒的几率毒的几率2024/4/12什么是黑客程序？什么是黑客程序？纯粹的黑客程序（也称远程访问木马程序）是一种纯粹的黑客程序（也称远程访问木马程序）是一种客户机客户机服务器式的程序，目的是破坏系统的安服务器式的程序，目的是破坏系统的安全。通常，服务器端程序是被植入的，就象别的特全。通常，服务器端程序

34、是被植入的，就象别的特洛伊木马程序一样，而且往往带有蠕虫的特点，更洛伊木马程序一样，而且往往带有蠕虫的特点，更有利于其传播。有利于其传播。服务器端一旦安装上以后，其充当了一个类似于网服务器端一旦安装上以后，其充当了一个类似于网关的角色，黑客就可以利用相关的客户端软件渗透关的角色，黑客就可以利用相关的客户端软件渗透到被感染的系统中来。这种恶意程序的行为特征是到被感染的系统中来。这种恶意程序的行为特征是网络中增加了不该有的流量，往往可以通过个人防网络中增加了不该有的流量，往往可以通过个人防火墙或相关的软件将其找到。火墙或相关的软件将其找到。2024/4/12FDISK/MBR命令有什么作用？命令有

35、什么作用？FDISK/MBRFDISK/MBR会清除主引导区记录。一般来说不一定会清除主引导区记录。一般来说不一定会更改分区信息，但对普通用户而言，通常会造成会更改分区信息，但对普通用户而言，通常会造成严重后果。严重后果。如果主引导区记录的最后两个字节不是如果主引导区记录的最后两个字节不是55 AA55 AA的话，的话，FDISK/MBRFDISK/MBR这条命令会删除分区表中的数据。这条命令会删除分区表中的数据。如果你对分区表没有足够的认识的话，请不要轻易如果你对分区表没有足够的认识的话，请不要轻易使用使用FDISK/MBR FDISK/MBR 命令，因为你会丢失数据。命令，因为你会丢失数据

36、。2024/4/12如何清除主引导区中的病毒？如何清除主引导区中的病毒？有两种方法：使用防毒软件或者运行有两种方法：使用防毒软件或者运行FDISK/MBRFDISK/MBR命命令。令。大部分防毒软件都能清除引导区内的病毒，但是有大部分防毒软件都能清除引导区内的病毒，但是有一些可能在特定的环境中有些问题。这时可以考虑一些可能在特定的环境中有些问题。这时可以考虑运行运行FDISK/MBRFDISK/MBR。但是除非你对此行为将产生的后。但是除非你对此行为将产生的后果十分清楚，否则将是非常不明智的。在运行果十分清楚，否则将是非常不明智的。在运行FDISK FDISK/MBR/MBR命令后，你有可能无

37、法访问硬盘上的数据。命令后，你有可能无法访问硬盘上的数据。2024/4/12重新格式化硬盘可以清除引导区病毒重新格式化硬盘可以清除引导区病毒吗？吗？不一定。格式化（不一定。格式化（FORMATFORMAT）命令会重写引导扇区数）命令会重写引导扇区数据和硬盘上除主引导扇区外的数据。格式化并不更据和硬盘上除主引导扇区外的数据。格式化并不更改主引导扇区的内容。改主引导扇区的内容。大部分引导型病毒会感染硬盘的主引导记录。格式大部分引导型病毒会感染硬盘的主引导记录。格式化硬盘不会清除引导型病毒，但可以通过其它方法化硬盘不会清除引导型病毒，但可以通过其它方法来清除引导型病毒。来清除引导型病毒。2024/4

38、/12引导型病毒可以感染非引导盘吗？引导型病毒可以感染非引导盘吗？可以。所有格式化过的磁盘都可以携带引导型病毒，可以。所有格式化过的磁盘都可以携带引导型病毒，因为任何正确格式化过的因为任何正确格式化过的DOSDOS磁盘在引导扇区内（可磁盘在引导扇区内（可启动的或不可启动的）都有可执行代码，导致可以启动的或不可启动的）都有可执行代码，导致可以被病毒感染。被病毒感染。2024/4/12使用使用DIR命令会感染我的系统吗？命令会感染我的系统吗？使用使用DIRDIR命令不会感染一个命令不会感染一个“干净的系统干净的系统”，即使所，即使所浏览的目的磁盘上有病毒也没关系。但是如果你的浏览的目的磁盘上有病毒

39、也没关系。但是如果你的计算机已经感染了病毒，该命令有可能使计算机已经感染了病毒，该命令有可能使“干净干净”的磁盘感染上病毒。的磁盘感染上病毒。2024/4/12将文件的属性设为只读将文件的属性设为只读可以保护其不被病毒可以保护其不被病毒感染吗？感染吗？一般来说，不会。只读属性只会防住少数病毒，大一般来说，不会。只读属性只会防住少数病毒，大部分病毒还是会通过覆盖的方式感染文件的。部分病毒还是会通过覆盖的方式感染文件的。因因此，虽然将可执行文件的属性设为只读是个好主意此，虽然将可执行文件的属性设为只读是个好主意（可以防止误操作）但从防病毒角度讲，没什么大（可以防止误操作）但从防病毒角度讲，没什么大

40、用。用。2024/4/12写保护可以防止病毒感染吗？写保护可以防止病毒感染吗？一般来说，可以。在一般来说，可以。在IBM PCIBM PC（和某些兼容机）上的（和某些兼容机）上的写保护装置可以很好的保护不受病毒的干扰。因为写保护装置可以很好的保护不受病毒的干扰。因为写保护是基于硬件的。而病毒只是一个程序，是软写保护是基于硬件的。而病毒只是一个程序，是软件，不可能违背一些通用的规则。如果启用了写保件，不可能违背一些通用的规则。如果启用了写保护的软盘在被感染病毒的系统里使用，它也不会被护的软盘在被感染病毒的系统里使用，它也不会被感染。感染。2024/4/12DOS病毒会在病毒会在Windows环境

41、下工作环境下工作吗？吗？绝大多数的绝大多数的DOSDOS病毒不能在病毒不能在WindowsWindows环境下运行，但环境下运行，但是有一小部分可以（在限制的条件下）。总的来说，是有一小部分可以（在限制的条件下）。总的来说，以以WindowsWindows专用内存方式运行的系统要比纯专用内存方式运行的系统要比纯DOSDOS对病对病毒的抵抗性能要好。这是因为许多病毒与毒的抵抗性能要好。这是因为许多病毒与WindowsWindows的的内存管理方式不兼容。内存管理方式不兼容。进一步讲，大部分现存的病毒如果想要通过以前的进一步讲，大部分现存的病毒如果想要通过以前的方式来感染方式来感染EXEEXE文件

42、的话，将会破坏这些文件的话，将会破坏这些WindowsWindows程程序。但是许多仅感染序。但是许多仅感染COMCOM文件的病毒在文件的病毒在WindowsWindows提供提供的虚拟的虚拟DOSDOS环境下就会很好的运行。环境下就会很好的运行。2024/4/12在阅读电子邮件和浏览新闻组时会中在阅读电子邮件和浏览新闻组时会中毒吗？毒吗？绝大多数情况下，恶意程序只有当其中的可执行代绝大多数情况下，恶意程序只有当其中的可执行代码被运行才会被激活。码被运行才会被激活。有些电子邮件程序会自动执行邮件中所带的可执行有些电子邮件程序会自动执行邮件中所带的可执行代码，例如代码，例如JavaScript,

43、WordJavaScript,Word宏语句等。在这种情宏语句等。在这种情况下，如果其中的代码是恶意的话，病毒就会感染况下，如果其中的代码是恶意的话，病毒就会感染系统，因此强烈建议禁用自动执行的特性。系统，因此强烈建议禁用自动执行的特性。2024/4/12如果我的如果我的MS Word关着还会感染关着还会感染Word宏病毒吗？宏病毒吗？关于各个程序的宏病毒只会在自身程序中才能被执关于各个程序的宏病毒只会在自身程序中才能被执行，因此如果行，因此如果WordWord程序关着，程序关着，WordWord宏病毒是不会被宏病毒是不会被执行起来的（别的相应的各个程序的宏病毒也是如执行起来的（别的相应的各个

44、程序的宏病毒也是如此）。此）。2024/4/12恶意病毒会破坏硬件吗？恶意病毒会破坏硬件吗？到目前为止，还没有任何一个病毒会对硬件造成物到目前为止，还没有任何一个病毒会对硬件造成物理上的破坏。但这并不是说病毒不可能破坏硬件，理上的破坏。但这并不是说病毒不可能破坏硬件，只是目前还没有而已。只是目前还没有而已。2024/4/12什么是什么是CARO和和EICAR？什么是？什么是EICAR测试文件？测试文件？CARO(Computer Antivirus Research CARO(Computer Antivirus Research Organization)Organization)计算机防病

45、毒研究组织是计算机防病计算机防病毒研究组织是计算机防病毒领域的研究者，许多成员是来自防病毒厂商。毒领域的研究者，许多成员是来自防病毒厂商。EICAR(European Institute for Computer EICAR(European Institute for Computer Antivirus Research)Antivirus Research)欧洲防病毒研究协会是由学院，欧洲防病毒研究协会是由学院，商业协会，媒体政府机构等一起组成的一个团体，商业协会，媒体政府机构等一起组成的一个团体，主要成员有网络安全专家，法律专家等。这个组织主要成员有网络安全专家，法律专家等。这个组织致

46、力于控制计算机病毒和计算机资源的滥用。同时致力于控制计算机病毒和计算机资源的滥用。同时也是也是EICAREICAR测试文件的提供者。测试文件的提供者。EICAR EICAR 测试文件是一个用来测试防毒软件的文件。测试文件是一个用来测试防毒软件的文件。使用该文件就可以不必使用真正的病毒来实验了。使用该文件就可以不必使用真正的病毒来实验了。2024/4/12什么是实时扫描？什么是实时扫描？实时扫描是防毒软件的一种处理方法。当您访问任实时扫描是防毒软件的一种处理方法。当您访问任何一个文件的时候，这些文件都会先被防毒软件扫何一个文件的时候，这些文件都会先被防毒软件扫描，这种扫描是基于后台的，并不为用户

47、所察觉，描，这种扫描是基于后台的，并不为用户所察觉，在这种情况下，任何恶意程序在执行或打开的时候，在这种情况下，任何恶意程序在执行或打开的时候，都会被事先扫描到。都会被事先扫描到。2024/4/12什么是完整性检查？什么是完整性检查？完整性检查会去检查一个文件的校验和或者哈希值，完整性检查会去检查一个文件的校验和或者哈希值，以此来判别文件是否被改动过。以此来判别文件是否被改动过。这种技术可以对文件的任何改动做出判断，不管是这种技术可以对文件的任何改动做出判断，不管是已知的或是未知的病毒都可以适用，因为这是通用已知的或是未知的病毒都可以适用，因为这是通用的检查。另外，除了病毒以外的别的任何改动也

48、可的检查。另外，除了病毒以外的别的任何改动也可以被查出来。通常情况下，可以让用户来判断哪种以被查出来。通常情况下，可以让用户来判断哪种情况是有意的，哪种是由于病毒的原因造成的，某情况是有意的，哪种是由于病毒的原因造成的，某些产品提供了相关的帮助来协助用户做相应的判断。些产品提供了相关的帮助来协助用户做相应的判断。2024/4/12什么是启发式扫描？什么是启发式扫描？启发式扫描通过检查可执行程序的代码来查找可能启发式扫描通过检查可执行程序的代码来查找可能存在的未知病毒。通常有一系列的规则可以用来参存在的未知病毒。通常有一系列的规则可以用来参考，当相关的条件满足时会发出警报。有些防毒软考，当相关的

49、条件满足时会发出警报。有些防毒软件用这种技术来补充基于字符串匹配的扫描方式件用这种技术来补充基于字符串匹配的扫描方式（查找已知病毒），以便更好的查到未知病毒。（查找已知病毒），以便更好的查到未知病毒。这种扫描方式并不是非常可靠，有时候会产生误报，这种扫描方式并不是非常可靠，有时候会产生误报，在完整性检查的软件里有时也会应用这种技术。在完整性检查的软件里有时也会应用这种技术。2024/4/12什么是误报？什么是误报？假报警顾名思义就是防毒软件给出的错误诊断。假报警顾名思义就是防毒软件给出的错误诊断。有两种错误警报：有两种错误警报：防毒软件报告被检测文件感染了某个病毒或恶防毒软件报告被检测文件感染了某个病毒或恶意程序，但实际上，该文件没有感染病毒或者意程序，但实际上，该文件没有感染病毒或者是感染了另外的不同于所报告的病毒。是感染了另外的不同于所报告的病毒。防毒软件没有对感染了病毒的文件做出中毒的防毒软件没有对感染了病毒的文件做出中毒的警告。警告。2024/4/12我可以从哪里获得关于某个病毒的具我可以从哪里获得关于某个病毒的具体信息？体信息？许多相关的网站都会提供具体的病毒信息。许多相关的网站都会提供具体的病毒信息。趋势科技网站提供的链接是：趋势科技网站提供的链接是：http:/http:/