微机组成与组装技术及应用教程第12章.pptVIP

第12 章 常见病毒检测与维护 本章学习重点 ? 病毒故障现象与分析 ? 病毒检测方法 ? 病毒修复与维护 12.1 病毒故障现象与分析 通常中了病毒以后，会出现很多的症状，主要为以下几种： （1） Windows出现异常的错误提示信息 分析：Windows错误信息提示，是Windows系统提供的一项新功能，此功能向用户和Microsoft提供错误信息，方便用户使用。但是，操作系统本身，除了用户关闭或者程序错误以外，是不会出现错误汇报的。因此，这可能是中了病毒。在2004年出现的冲击波病毒以及震荡波病毒，就是利用关闭系统进程，然后提示错误，警告用户将在1分钟内倒计时关机。 防治：此类病毒，一般都是新病毒，根据一些新的漏洞进行传播，所以，一般都使用专杀工具。同时，此类病毒通过网络传播，使用防火墙，对相应访问端口进行屏蔽，效果会更好。杀完毒，设置好防火墙以后，还需要安装相应的系统补丁。 防治：这类病毒一般是很占用资源的，所以很容易发现蠕虫病毒。在发现病毒的情况下，先关闭病毒进程以及病毒程序，然后使用杀毒软件检查。  (3)运行程序突然异常死机 分析：电脑程序，如果不是设计错误的话，完全可以正常打开关闭。但是，如果是病毒破坏的话，很多程序需要使用的文件都会无法使用所以，可能会出现死机的情况。比如QQ软件以及IE软件，就经常出现错误。 防治：程序发生错误的话，可以使用程序安装光盘覆盖安装或者修复，而如果依然有病毒存在，依然要使用杀毒软件来检查。 （4） 文件大小发生改变 分析：有些病毒是利用电脑的可执行文件，和可执行文件进行捆绑，然后在运行的时候两个程序一起运行。而这类可执行文件惟一的缺点是文件大小会改变，因此在平时使用的时候要特别注意。 防治：杀毒软件对此类文件有效，最重要的是平时要打开病毒监控，随时对软件的运行进行监控。 12.2 病毒检测方法 12.2.1 病毒的特性 计算机病毒实质上是指编制或在计算机程序中插入破坏计算机功能或数据，影响计算机使用并能自我复制的一组计算机指令或程序代码。一般病毒具有以下特性： 1．可执行性 与其他合法程序一样,是一段可执行程序,但不是一个完整的程序,而是寄生在其他可执行程序上,当病毒运行时,便于合法程序争夺系统的控制权，往往会造成系统崩溃，导致计算机瘫痪。 2.传染性 通过各种渠道（磁盘、共享目录、邮件等）从已被感染的计算机扩散到其他机器上，在某种情况下导致计算机工作失常。 3.潜伏性 一些编制精巧的病毒程序，进入系统之后不马上发作，隐藏在合法文件中，对其他系统进行秘密感染，一旦时机成熟，就四处繁殖、扩散。有的则执行格式化磁盘、删除磁盘文件、对数据文件进行加密等使系统死锁的操作。 5．针对性 有些病毒针对特定的操作系统或特定的计算机。 6．隐蔽性 大部分病毒代码非常短小，也是为了隐蔽。一般都夹在正常程序之中，难以发现，一旦发作，则会给计算机带来了不同程度的破坏。 12.2.2 病毒的分类 通常，计算机病毒可分为下列几类： 1.文件病毒 该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行系列。通常，这些情况发生得很快，以至于用户并不知道病毒代码已被执行。 3.多裂变病毒 多裂变病毒时文件和引导扇区病毒的混合种，它能感染可执行文件，从而能在网上迅速传播蔓延。 4.秘密病毒 这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来，具有很大的欺骗性。因此，当某系统函数调用时，这些病毒便“伪造”结果，使一切看起来非常正常。 5.异形病毒 这是一种能变异的病毒，随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法对此显得软弱无力。 12.2.3 病毒的检测方法 在与病毒的对抗中，第一时间发现病毒很重要。早发现，早处理，最大程度的减少损失。检测病毒方法大致有：特征代码法、校验和法、行为监测法、软件模拟法，这些方法依据的原理不同，实现时所需代价不同，检测范围不同，各有所长。 1．特征代码法 特征代码法是使用最为普遍的病毒检测方法，同时是检测已知病毒的最简单、代价最小的方法。特征码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。采用病毒特征代码法的检测工具，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒无法检测。 2．校验和法 将正常文件的内容，计算其校验和，写入文件中保存。定期检查文件的校