网络病毒防范技术培训课件

网络病毒防范技术病毒概述病毒分类病毒技术反病毒技术2网络病毒防范技术一、病毒概述一、病毒概述v病毒概念v病毒历史v病毒威胁v病毒特征3网络病毒防范技术一、病毒概述一、病毒概述1.1.病毒概念病毒概念概念概念“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义:国外最流行的定义为：计算机病毒，是一段附在其他程序上的可以实现自我繁殖的程序代码。在中华人民共和国计算机信息系统安全保护条例中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”.不同角度给出计算机病毒的定义：一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。4网络病毒防范技术一、病毒概述一、病毒概述病毒产生背景病毒产生背景 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：计算机病毒是计算机犯罪的一种新的衍化形式计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。计算机软硬件产品的危弱性是根本的技术原因 数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式,效率低下且生产周期长；对使用程序的错误和缺陷没有预知性微机的普及应用是计算机病毒产生的必要环境 5网络病毒防范技术一、病毒概述一、病毒概述病毒的来源病毒的来源搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如象圆点一类的良性病毒。软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒-就是蓄意进行破坏。用于研究或有益目的而设计的程序,由于某种原因失去控制或产生了意想不到的效果。6网络病毒防范技术一、病毒概述一、病毒概述2.2.病毒历史病毒历史病毒发展简历病毒发展简历电脑病毒的概念其实起源相当早，在第一部商用电脑出现之前好几年，电脑的先驱者冯诺伊曼（John Von Neumann）在他的一篇论文复杂自动装置的理论及组识的进行里，已经勾勒出病毒程序的蓝图。1977年夏天，托马斯捷瑞安（Thomas.J.Ryan）的科幻小说P-1的春天（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。第一个病毒诞生：1983 年 11 月 3 日，弗雷德科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机），伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出。7网络病毒防范技术一、病毒概述一、病毒概述“巴基斯坦”病毒：1986 年初，在巴基斯坦的拉合尔(Lahore)，巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。世界上公认的第一个在个人电脑上广泛流行的病毒通过软盘传播。“蠕虫莫里斯”：1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。2001年7月19日针对IIS服务的.ida漏洞产生的CodeRed冲击波：年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里李帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。8网络病毒防范技术一、病毒概述一、病毒概述计算机病毒发展的计算机病毒发展的10个阶段：个阶段：DOS引导阶段 DOS可执行文件阶段 混合型阶段 伴随型阶段 多形型阶段 生成器，变体机阶段 网络，蠕虫阶段 Windows阶段 宏病毒阶段 Internet阶段9网络病毒防范技术一、病毒概述一、病毒概述3.3.病毒威胁病毒威胁攻击系统数据区：删除、篡改文件、格式化硬盘攻击文件：删除、篡改文件攻击内存：复制垃圾文件，占用内存干扰系统运行，使运行速度下降 干扰键盘、喇叭或屏幕 攻击CMOS 干扰打印机 网络病毒破坏网络系统，导致网络瘫痪使邮件服务器、web服务器不能提供正常服务。10网络病毒防范技术一、病毒概述一、病毒概述4.4.病毒特征病毒特征特征特征可执行性：病毒可以是二进制代码，也可以是一段脚本传染性与传播性：病毒具有很强的自我复制能力破坏性：病毒对计算机及网络的破坏性极强寄生性：病毒通常附加在其他程序中，随其他程序的激活而激活欺骗性：病毒的传播一般是演变成另一个形式，如邮件、图片等隐蔽性和潜伏性：病毒的成名一般不容易被判断，且一般存储在系统文件中衍生性：病毒是一段程序，可根据个人意图随便更改代码11网络病毒防范技术一、病毒概述一、病毒概述病毒的病毒的传染途径染途径：通过软盘：通过使用外界被感染的软盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径；通过硬盘：通过硬盘传染也是重要的渠道,由于带有病毒的机器移到其它地方使用、维修等,将干净的硬盘传染并再扩散；通过网络：这种传染扩散极快,能在很短时间内传遍网络上的机器。病毒的隐藏之处病毒的隐藏之处可执行文件。引导扇区。表格和文档。Java小程序和ActiveX控件。12网络病毒防范技术二、病毒分类二、病毒分类v病毒分类病毒分类v宏病毒宏病毒v网络病毒网络病毒13网络病毒防范技术二、病毒分类二、病毒分类1.1.病毒分类病毒分类按攻击的操作系统分类按攻击的操作系统分类攻击DOS的病毒特点：出现早，传播快，变种多，如小球病毒攻击windows操作系统的病毒主要是干扰windows系统中的应用程序，如感染word、excel的宏病毒攻击unix或OS/2系统的病毒按传播媒介分类按传播媒介分类单机病毒 传播载体是磁盘、U盘等网络病毒传播媒介是网络破坏性：造成网络阻塞、修改网页、破坏文件等，如：CIH病毒、红色代码II、尼姆达14网络病毒防范技术二、病毒分类二、病毒分类按链接方式分类按链接方式分类 病毒要想感染和破坏文件，必须先与系统内可执行的文件建立链接。病毒要想感染和破坏文件，必须先与系统内可执行的文件建立链接。源码型病毒 是用高级语言编写，寄生或链接在其他程序中，不多见。入侵型病毒（嵌入型病毒）通常是将自己嵌入到宿主程序中，成为合法程序的一部分。特点：查杀困难，破坏性强，数量少外壳型病毒通常链接在宿主程序的尾部，对原程序不做修改或简单修改特点：易编写，数量多操作系统型病毒通常用自己的程序取代操作系统程序的一部分特点：随系统启动被激活，破坏性强，使系统瘫痪，无法启动15网络病毒防范技术二、病毒分类二、病毒分类按表现（破坏）情况分类按表现（破坏）情况分类良性病毒只表现自己，而不破坏系统的病毒特点：干扰计算机系统的正常运行，占用计算机资源，违背计算机用户的意愿恶性病毒指有意或无意地破坏系统中的信息资源。破坏行为：删除系统内存储的数据和文件；复制垃圾文件；格式化磁盘扇区；破坏硬件等.16网络病毒防范技术二、病毒分类二、病毒分类按寄生方式分类按寄生方式分类引导型病毒即磁盘引导型、引导扇区型、磁盘启动型、系统型病毒等定义：把自己的病毒程序放在软磁盘的引导区以及硬盘的主引导记录区或引导扇区，当作正常的引导程序，而将真正的引导程序搬到其他位置。破坏：改写主引导记录区、引导区、文件分配表、文件目录区、中断向量表等文件型病毒定义：指对所有通过操作系统的文件系统进行感染的病毒感染文件：可执行文件（.bat、.exe、.com、.dll.）、高级语言编写的源代码、编译过程中生成的中间文件。混合型病毒（又称综合型、复合型病毒）即有引导型病毒的特点，也有文件型病毒的特点。17网络病毒防范技术二、病毒分类二、病毒分类（a）引导型病毒引导型病毒 （b）文件型病毒文件型病毒图：病毒的传播、破坏过程图：病毒的传播、破坏过程18网络病毒防范技术二、病毒分类二、病毒分类一个引导病毒传染的实例一个引导病毒传染的实例 假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT 13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：读入目标软磁盘的自举扇区（BOOT扇区）。判断是否满足传染条件。如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。跳转到原INT 13H的入口执行正常的磁盘系统操作。19网络病毒防范技术二、病毒分类二、病毒分类一个文件病毒传染的实例一个文件病毒传染的实例 假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT 21H的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染模块将通过INT 21H的调用率先获得控制权，并进行以下操作：读出该文件特定部分。判断是否传染。如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。转回原INT 21H入口，对该执行文件进行正常加载。20网络病毒防范技术二、病毒分类二、病毒分类2.2.宏病毒宏病毒宏病毒的传播宏病毒的传播一般来说，一个宏病毒传播发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的所有Doc文档。当Word打开一个.doc文件时，先检查里面有没有模板/宏代码,如果有的话就认为这不是普通的doc文件，而是一个模版文件,并执行里面的auto类的宏(如果有的话)。一般染毒后的.doc被打开后，通过Auto宏或菜单、快捷键来激活，随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统永久控制权。夺权后，当系统有文档存储动作时，病毒就把自身复制入此文档并储存成一个后缀为.doc 的模板文件；另外，当一定条件满足时，病毒就会干些小小的或者大大的破坏活动。21网络病毒防范技术二、病毒分类二、病毒分类宏病毒分类宏病毒分类q公（共）用宏病毒这类宏病毒对所有的Word文档有效，其触发条件是在启动或调用Word文档时，自动触发执行。它有两个显著的特点：只能用“Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在Normal.dot模板上，或者首先要能将自己写进这样的模板才行。22网络病毒防范技术二、病毒分类二、病毒分类q私用宏病毒私用宏病毒私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。23网络病毒防范技术二、病毒分类二、病毒分类宏病毒特点宏病毒特点传播极快可通过网络、mail等传播制作、变种方便宏病毒则是以人们容易阅读的源代码宏语言Word Basic形式出现，所以编写和修改宏病毒比以往病毒更容易。破坏可能性极大多平台交叉感染24网络病毒防范技术二、病毒分类二、病毒分类3.3.网络病毒网络病毒网络病毒的特点网络病毒的特点传染方式多：主要是通过网络传播传染速度快 清除难度大：宿主广泛，难于判断破坏性强 可激发性 潜在性25网络病毒防范技术二、病毒分类二、病毒分类网络病毒的分类网络病毒的分类 网络病毒主要分为蠕虫病毒和木马病毒q蠕虫蠕虫定义：蠕虫是通过分布式网络来扩散传播特定信息或错误，破坏网络中信息或造成网络服务中断的病毒。组成：主程序：建立连接，通过读取公共配置文件以及收集当前网络状态信息，获得与当前机器联网的其他机器的信息和软件缺陷，主动尝试利用所获得的信息以及其他机器的缺陷在这些远程机器上建立其引导程序。引导程序特点：利用网络中软件系统的缺陷，进行自我复制和主动传播。蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。26网络病毒防范技术二、病毒分类二、病毒分类q木马木马又称特洛伊木马，是一种远程控制工具；是一个包含在一个合法程序中的非法的程序。一种黑客程序，本身不破坏数据，黑客利用其远程操纵受害计算机。一般的木马都有客户端和服务器端两个执行程序。常被用作窃取信息及非法使用资源的工具。攻击步骤：设定好服务器程序骗取对方执行服务器程序寻找对方的地址IP用客户端程序来控制对方的计算机27网络病毒防范技术二、病毒分类二、病毒分类q网络病毒的传播方式网络病毒的传播方式电子邮件:受病毒感染的文档或文件附加在邮件中可通过网关和邮件服务器涌入企业网络网页：浏览带有病毒的网站文件传输：被浏览的或是通过FTP下载的文件中可能存在病毒28网络病毒防范技术二、病毒分类二、病毒分类蠕虫蠕虫q蠕虫工作流程蠕虫工作流程 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段29网络病毒防范技术二、病毒分类二、病毒分类说明：说明：蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。30网络病毒防范技术二、病毒分类二、病毒分类q蠕虫的行为特征自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。利用软件漏洞：任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样的，有的是操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。31网络病毒防范技术二、病毒分类二、病毒分类造成网络拥塞：在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络服务器的影响尤其明显。留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。32网络病毒防范技术二、病毒分类二、病毒分类q蠕虫病毒与一般病毒的异同蠕虫病毒与一般病毒的异同病毒类型：普通病毒 蠕虫病毒 存在形式：寄存文件独立程序传染机制：宿主程序运行 主动攻击 传染目标：本地文件网络计算机q蠕虫病毒的隔离蠕虫病毒的隔离 在确认计算机中了蠕虫病毒后，要立即中断本机与外界的联系，防止蠕虫扩散。单机隔离禁用本机网卡或者拔掉网线，防止蠕虫扩散到网络中的其他计算机中网络隔离对出现蠕虫病毒的子网的出口路由设备进行配置，对蠕虫的相应端口进行关闭，防止蠕虫扩散到别的网络中去33网络病毒防范技术二、病毒分类二、病毒分类q防范蠕虫病毒措施防范蠕虫病毒措施预防隔离查杀免疫q蠕虫病毒的查杀蠕虫病毒的查杀基于特征的查杀提取特征码，网络特征、文件特征、传播特征；根据特征码制作专杀工具进行查杀。手工进行查杀检查可疑进程，可疑端口，查找各类启动项，进入安全模式手动进行查杀。34网络病毒防范技术二、病毒分类二、病毒分类q振荡波查杀实例振荡波查杀实例感染判断出现系统错误对话框，莫名其妙地死机或重新启动计算机；任务管理器里有一个叫avserve.exe、avserve2.exe或者skynetave.exe的进程在运行；在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件；注册表H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun项中存在avserve.exe=%Windir%avserve.exe值；系统速度极慢，CPU占用100%。35网络病毒防范技术二、病毒分类二、病毒分类手工查杀手工查杀清除内存中的病毒进程avserve.exe、avserve2.exe或者skynetave.exe在系统目录下删除相应病毒文件删除注册表中H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun值avserve.exe=%Windir%avserve.exe系统打补丁 KB84573236网络病毒防范技术三、病毒技术三、病毒技术v寄生技术寄生技术v驻留技术驻留技术v隐藏技术隐藏技术37网络病毒防范技术三、病毒技术三、病毒技术1.1.寄生技术寄生技术寄生技术是病毒在感染的时候，将病毒代码加入正常程序之中，原正常程序功能的全部或部分被保留。常见文件型病毒的传染方式病毒寄生技术分类：头寄生技术尾寄生技术插入寄生技术空洞利用38网络病毒防范技术三、病毒技术三、病毒技术q头寄生头寄生实现将病毒代码放到程序头上的两种方法：将原来程序的前面一部分拷贝到程序的最后，然后将文件头用病毒代码覆盖；生成一个新的文件，首先在头的位置上写入病毒代码，然后将原来的可执行文件放在病毒代码的后面，再用新的文件替换原来的文件，从而完成感染。感染情况：批处理病毒和COM格式的文件，还有EXE文件39网络病毒防范技术三、病毒技术三、病毒技术“头寄生头寄生”感染方式图感染方式图原程序代码头原程序代码原程序代码原程序代码头病毒代码感染方式1原程序代码头原程序代码病毒代码感染方式240网络病毒防范技术三、病毒技术三、病毒技术COM文件的尾寄生文件的尾寄生原始COM程序代码JMP病毒代码开始地址JMP病毒代码地址原始COM程序代码病毒代码42网络病毒防范技术三、病毒技术三、病毒技术q插入寄生插入寄生 病毒将自己插入被感染的程序中，可整段地插入，也可分段插入。DOS EXE文件头PE（DE）文件头感染前的程序DOS EXE文件头（修改后）DOS EXE文件头（修改后）病毒代码感染前的程序（经过压缩）病毒代码感染前的程序（没有压缩）“插入寄生插入寄生“方式方式43网络病毒防范技术三、病毒技术三、病毒技术q空洞利用利用Windows可执行文件的结构中，有很多没有使用的部分，一般是空的段或者每个段的最后部分，将病毒代码分散到其中 CIH病毒特点：文件大小没有改变，不易觉察PE格式复杂，实现困难44网络病毒防范技术三、病毒技术三、病毒技术2.2.驻留技术驻留技术 常见的病毒驻留有：DOS环境下的内存驻留、引导区病毒的内存驻留和windows环境下的内存驻留qDOS环境下的内存驻留环境下的内存驻留标准DOS终止并且驻留程序的两种方法：通过CONGIG.SYS中作为设备驱动程序加载；调用DOS中断INT21H（或INT27H）的退出，但仍然驻留功能。DOS的内存驻留病毒主要修改的INT21H功能有：执行文件（EXEC）、装入内存（LOAD）、搜索（FindFirst、FindNext）、创建文件（CREATE）、打开文件（OPEN）、关闭文件（CLOSE）、改变文件属性（CHMMODE）、文件改名（RENAME）45网络病毒防范技术三、病毒技术三、病毒技术q引导区病毒的内存驻留引导区病毒的内存驻留 该程序是将病毒代码放入系统内存中。特点：该病毒会造成系统可用内存减少，但一般减少的内存只有1k或几k。引导区病毒只会在系统启动的时候加载一次。qwindows环境下的内存驻留环境下的内存驻留 该驻留技术是在内存中寻找合适的页面并将病毒自身拷贝到其中，而且在系统运行期间能够始终保持病毒代码的存在。46网络病毒防范技术三、病毒技术三、病毒技术3.3.隐藏技术隐藏技术q引导型病毒的隐藏技术引导型病毒的隐藏技术引导型病毒的隐藏有两种基本方法：改变基本输入输出系统（BIOS）中断的入口地址，使其指向病毒代码之后，发现调用读被感染扇区的请求的时候，将原来的没有被感染过的内容返回给调用的程序。直接针对杀毒软件的。即在加载程序的时候制造假象，当启动任何程序的时候，修改DOS执行程序的中断功能，首先把被病毒感染的扇区恢复原样，当程序执行完毕后，再重新感染。47网络病毒防范技术三、病毒技术三、病毒技术q文件型病毒的隐藏技术文件型病毒的隐藏技术 是替换DOS或者基本输入输出系统的文件系统相关调用，在打开文件的时候将文件的内容恢复未感染的状态，在关闭文件的时候重新进行感染。qwindows环境下的隐藏技术环境下的隐藏技术 是通过将进程或模块隐藏起来实现的。48网络病毒防范技术三、病毒技术三、病毒技术v异常情况的判断异常情况的判断v计算机病毒的防治计算机病毒的防治v预防病毒的措施预防病毒的措施v计算机感染病毒后的修复计算机感染病毒后的修复49网络病毒防范技术三、病毒技术三、病毒技术1.1.异常情况的判断异常情况的判断 计算机工作出现下列异常现象，则有可能感染了病毒：计算机工作出现下列异常现象，则有可能感染了病毒：屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。硬盘不能引导系统。磁盘上的文件或程序丢失。磁盘读/写文件明显变慢，访问的时间加长。系统引导变慢或出现问题，有时出现“写保护错”提示。系统经常死机或出现异常的重启动现象。原来运行的程序突然不能运行，总是出现出错提示。打印机不能正常启动。50网络病毒防范技术三、病毒技术三、病毒技术2.2.计算机病毒的防治计算机病毒的防治q整体方案：整体方案：系统安全 软件过滤 文件加密 生产过程控制 后备恢复 其他有效措施51网络病毒防范技术三、病毒技术三、病毒技术q其他详细措施：其他详细措施：重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。消灭传染源。建立程序的特征值档案。严格内存管理。一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。52网络病毒防范技术三、病毒技术三、病毒技术3.3.预防病毒的措施预防病毒的措施在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。对非共享软件，将其执行文件和覆盖文件如*.COM、*.EXE等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。53网络病毒防范技术三、病毒技术三、病毒技术正确设置文件属性，合理规范用户的访问权限。建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LAN Protect和LAN Clear for NetWare等。为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进行隔离。54网络病毒防范技术三、病毒技术三、病毒技术4.4.计算机感染病毒后的修复计算机感染病毒后的修复q修复引导记录病毒修复感染的软盘修复感染的主引导记录利用反病毒软件修复q修复可执行文件病毒即使有经验的用户也会认为修复文件病毒感染很困难。一般要先用杀病毒软件杀毒，再用未感染的备份拷贝代替它，这是修复被感染程序文件的最有效途径。如果得不到备份，反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。55网络病毒防范技术