各种计算机病毒及防治精要.ppt

8.6.2　反病毒软件 1．病毒扫描程序 2．内存扫描程序 3．完整性检查器 4．行为监视器 1．病毒扫描程序 （1）串扫描算法 （2）入口点扫描算法 （3）类属解密法 2．内存扫描程序 内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒。 尽管病毒可以毫无觉察的把自己隐藏在程序和文件中，但病毒不能在内存中隐藏自己。因此内存扫描程序可以直接搜索内存，查找病毒代码。如果一个反病毒产品不使用内存扫描，其病毒检测技术是很不完善的，很可能漏查、漏杀某些病毒。 3．完整性检查器 完整性检查器的工作原理基于如下的假设：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。 完整性检查器是一种强有力的防病毒保护方式。因为几乎所有的病毒都要修改可执行文件引导记录，包括新的未发现的病毒，所以它的检测率几乎百分之百。引起完整性检查器失效的可能有：有些程序执行时必须要修改它自己；对已经被病毒感染的系统再使用这种方法时，可能遭到病毒的蒙骗等。 4．行为监视器 行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动，它就会通知用户，并且让用户决定这一类活动是否继续。 返回本节 8.6.3　常用反病毒软件产品 随着世界范围内计算机病毒的大量流行，病毒编制花样不断变化，反病毒软件也在经受一次又一次考验，各种反病毒产品也在不断地推陈出新、更新换代。这些产品的特点表现为技术领先、误报率低、杀毒效果明显、界面友好、良好的升级和售后服务技术支特、与各种软硬件平台兼容性好等方面。常用的反病毒软件有KV3000、瑞星（2001版）等。 返回本节 8.7　典型病毒实例——CIH病毒介绍 8.7.1　CIH病毒简介 8.7.2　恢复被CIH病毒破坏的硬盘信息 8.7.3　CIH病毒的免疫 返回本章首页 8.7.1　CIH病毒简介 1．CIH病毒分析 CIH病毒是迄今为止发现的最阴险、危害最大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表，而且破坏计算机系统FLASH BIOS芯片中的系统程序，导致主板损坏。 2．CIH病毒发作时的现象 CIH病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统BOOT区，改写硬盘数据，破坏FLASH BIOS，用随机数填充FLASH内存，导致机器无法运行。所以该病毒发作时仅会破坏可升级主板的FLASH BIOS。 返回本节 8.7.2　恢复被CIH病毒破坏的硬盘信息 1．修复硬盘分区表信息 2．恢复C分区上的数据 3．查杀CIH病毒后的遗留问题 1．修复硬盘分区表信息 1）准备一张无病毒的启动盘，注意要根据原有操作系统及分区情况制作FAT16或FAT32的系统引导盘。 2）把下载的VRVFIX.EXE文件拷入该引导盘，要确保还有足够的剩余空间，并打开写保护。 3）用这张引导盘引导染毒的计算机（如果主板的BIOS已被CIH病毒破坏，可把硬盘拆下，拿到别的计算机上进行，也可先把主板BIOS修复好后再处理硬盘），运行VRVFIX.EXE，按Enter开始计算分区信息并自动恢复，当出现提示时，按Enter，直到出现“Make Partition Table ok”。 4）至此，修复完成，用引导盘重新引导系统，除C盘以外的其他逻辑分区（D、E、F...）的数据已经修复，但仍然无法访问C分区。 2．恢复C分区上的数据 1）制作一张无病毒的引导盘，然后在CONFIG.SYS文件中加入。 2）把下载的Tiramisu压缩包里的所有文件解压缩到引导盘上。 3）用这张引导盘引导计算机，运行Tiramisu.exe，在“File”菜单中选择“Start recovery”菜单项，程序开始自动从C分区上寻找目录结构。 4）C分区的目录结构搜索结束后，会显示目录搜索结果 。 5）Tiramisu的工作原理是在内存中重建一个目录结构映射表，让用户通过这个目录结构表把硬盘上的数据备份出来。 3．查杀CIH病毒后的遗留问题 由于Windows系统运行设置条件和被传染的文件头数据模块的大小不一样，被CIH病毒感染后，小部分文件会产生各种各样的不正常的特殊的传染结果。有些杀毒软件，只简单地把文件中的CIH病毒第一碎块中的文件映像开始执行指针参数恢复，或去掉病毒头的少量字节，没把病毒隐藏在文件体中的各个碎块清理掉。但这样简单杀毒后，完整的或不完整的病毒体残留在文件中，即留有病毒僵尸。 返回本