计算机病毒的防治精选文档.ppt

《计算机病毒的防治精选文档.ppt》由会员分享，可在线阅读，更多相关《计算机病毒的防治精选文档.ppt（71页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、计算机病毒的防治计算机病毒的防治本讲稿第一页，共七十一页9.1 计算机病毒基本常识计算机病毒基本常识 9.1.1什么是计算机病毒计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时，就被激活的具有对计算机资源进行破坏作用的一组程序或指令。本讲稿第二页，共七十一页从1981年开始，IBM公司的个人电脑以其可靠的性能和开放式的结构，成为电脑市场上的主流机型。但是由于IBMPC电脑自身结构的弱点，尤其是DOS操作系统的开放性，自1987年起，装有DOS操作系统的电脑成为计算机病毒第一个攻击的目标，计算机病毒从此开始滋长和发展起来了，也就开始了遥遥无期的反病毒斗争。本讲稿第

2、三页，共七十一页计算机病毒使电脑界恐慌，是因为计算机病毒的破坏性，计算机病毒能蔓延到世界各地，靠的是病毒的传染特性。病毒传播最原始的介质是软盘，那时计算机病毒传播得较慢；电脑数据光盘的出现以及互联网的发展，使计算机病毒的传播如鱼得水。本讲稿第四页，共七十一页以下几种典型计算机病毒，代表了计算机病毒的主要发展过程。1987年10月，在美国发现世界上第一例计算机病毒：Brian病毒，它是引导型病毒。1989年，“米开朗基罗”病毒给许多计算机用户造成巨大损失。1992年，传染极快的文件型病毒DIR2病毒，曾经使很多用户困惑不已。1996年，感染微软Office的“宏病毒”，给反病毒界一个展示“辑毒”

3、能力的舞台。本讲稿第五页，共七十一页1998年，首例破坏计算机硬件的CIH病毒传播，引起人们的恐慌。1999年，通过电子邮件在互联网上进行传播的美丽杀手（Melissa）病毒。1999年，CIH病毒4月26日在我国大规模爆发，使很多电脑瘫痪，造成巨大损失。本讲稿第六页，共七十一页2000年，“ILOVEYOU”病毒，通过网络在全球疯狂蔓延，已有十几种变种。2001年，W32.Sircam病毒，通过邮件快速传播的恶性网络蠕虫在全球大面积爆发。2002年，求 职 信 Klez病 毒，主 要 影 响 微 软 的OutlookExpress用户。2003年，硬盘杀手（Worm.Opasoft）病毒，是

4、一个可以覆盖硬盘分区的恶性病毒。本讲稿第七页，共七十一页9.1.2计算机病毒的特点1可执行性计算机程序（软件），只有被执行后才能完成相应的任务，例如只有成功启动Windows98后，桌面上才会出现“开始”按钮，才有“我的电脑”。在DOS命令提示行中输入命令并回车就是执行程序，在Windows98下双击程序快捷图标也是执行程序。本讲稿第八页，共七十一页计算机病毒是一段可执行程序，它和其它正常程序一样能被执行，这就是计算机病毒的可执行性。计算机病毒不是一个完整的程序，而是寄生在磁盘的一些扇区或其它可执行程序中，当执行带病毒的程序或从带病毒的系统启动时，病毒就得到了执行的机会并被激活，这时病毒才具有

5、传染性和破坏性。如果电脑在正常程序控制下运行，没有运行带病毒的程序，则这台计算机总是可靠的。本讲稿第九页，共七十一页2传染性传染性是计算机病毒的基本特征，是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序一般是不会将自身的程序代码强行连接到其它程序上的，而计算机病毒却能使自身的程序代码强行传染到一切符合其传染条件的未受到传染的程序中。计算机病毒可通过各种可能的渠道，如软盘、电脑光盘和计算机网络传染到其它的计算机系统中。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的没有写保护的软盘已感染上了病毒，与这台机器相联的其它计算机可能也染上了病毒。本讲稿第十页，共七十一页3潜伏性计算

6、机病毒是设计精巧的计算机程序，进入系统之后一般不会马上表现出来，可以在较长时间内隐藏在文件中，或者隐藏在软盘和硬盘的一些扇区里，当病毒被激活时，就对其它文件或磁盘进行病毒传染，而不被人发现，潜伏时间越长，病毒的传染范围就会越大。本讲稿第十一页，共七十一页4可触发性因某个事件或数值的出现，即满足一定的条件，病毒就实施感染或对电脑系统进行攻击的特性称为可触发性。病毒具有预定的触发条件，这些条件可能是日期、时间、文件类型、系统启动次数或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。本讲稿第十二页，共七十一页5破坏性所有的计算机病

7、毒都是可执行的程序，电脑系统染上病毒后，在正常运行程序的基础上增加运行病毒程序这一环节。计算机病毒在不同程度上影响了电脑系统的正常运行，例如系统启动的时间长了、运行程序速度变慢、使系统不能正常引导、丢失数据，这些都是计算机病毒的破坏性。本讲稿第十三页，共七十一页计算机病毒破坏性的强弱，取决于病毒设计者的目的。它可能破坏软盘或硬盘的全部数据或部分数据，可能扰乱电脑的正常运行（显示、声音、不能正常打印等），可能系统不能正常启动DOS或Windows98，可能毁坏系统BIOS使开机黑屏等。在这些破坏性中，毁坏数据而且不能恢复的损失是最大的，也是用户最不想遇到的。本讲稿第十四页，共七十一页6针对性一般

8、来说，计算机病毒是针对特定的计算机或特定的操作系统的，计算机病毒的针对性指病毒作用的硬件和软件环境。例如，有针对IBMPC机及其兼容机的，有针对App1e公司的Macintosh的，还有针对UNIX操作系统的。例如DIR2针对IBMPC机及其兼容机上的DOS操作系统，宏病毒针对Word或Excel，CIH病毒针对Windows95/98系统。本讲稿第十五页，共七十一页7隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序，通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。大部分病毒的代码之所以设计得非常短小，也是为了隐藏，病毒程序一般只有几百字节或几K字节，不易察觉。感染、潜伏、

9、可触发和破坏性是病毒的基本特性。感染性使病毒得以传播，破坏性体现了病毒的破坏能力，潜伏性使病毒有更广的感染范围，可触发性是病毒的破坏性和潜伏性之间的调整杠杆，实质上兼顾了病毒的传染范围和破坏频度。本讲稿第十六页，共七十一页9.1.3计算机病毒的分类计算机病毒层出不穷，破坏能力也千奇百怪，谁也说不清到底有多少种病毒，但可以把病毒归类，并按照寄生方式和传染途径分为以下几种类型：引导型病毒：隐藏在系统盘引导区中的病毒，如Brain病毒、小球病毒、2708病毒。文件型病毒：附属在可执行文件内的病毒，如DIR2、CIH病毒。本讲稿第十七页，共七十一页混合型病毒：集引导型和文件型病毒特性于一体，如Newc

10、entury病毒。宏病毒：利用Word和Excel宏作为载体的病毒，如七月杀手病毒。网络病毒（邮件病毒）：通过互联网电子邮件（附件）传染并自动发送邮件的病毒，如Melissa（美丽杀手）、ILOVEYOU（爱虫病毒）。黑客程序：通过通讯程序监控用户的计算机，随时进行窃取和破坏用户数据。严格地说，黑客程序不是计算机病毒。本讲稿第十八页，共七十一页9.1.4计算机感染病毒后的主要症状从目前发现的病毒来看,由于病毒传染性和破坏性，所以有一些易于觉察的表现。主要表现如下：*磁盘坏簇莫名其妙地增多（当然也可能你的软盘或硬盘真的有物理损坏）。*由于病毒程序附加在文件上，使可执行程序文件增大（很多病毒在带毒

11、查看时，件大小不变）。*由于病毒不断传染给其它文件，使可用磁盘空间变小。本讲稿第十九页，共七十一页*DOS或Windows98不能启动，有的病毒会破坏系统引导区或删除系统文件。*莫名其妙丢失数据或文件，一些病毒会删除数据或文件。*中断向量发生变化，病毒获得控制权，但这种变化一般不容易觉察。*打印出现问题，使得打印不能正常进行。*鼠标不能使用，键盘使用异常。*访问写保护软盘时，软驱响声大（病毒试图写盘进行病毒传染，但写不了）。本讲稿第二十页，共七十一页*死机现象频繁。*出现一些意外的问候语、画面或提示声音。*系统启动或程序运行出现异常现象，例如比以前速度慢了，*打开电脑时，黑屏且无声音提示，当系

12、统BIOS被破坏时就是这样。*收到来历不明的邮件或邮件附件。*CMOS信息被修改或丢失（如硬盘参数等）。*互联网的邮件服务器，被众多垃圾邮件阻塞，以至于瘫痪。本讲稿第二十一页，共七十一页上面的现象可能是计算机病毒引起的，但也可能是由于误操作、系统本身不稳定、电脑被其他人使用并修改过或其它原因。例如，升级BIOS失败时，启动电脑时就会出现黑屏；主板后备电池电压低时，CMOS信息会丢失；超频后散热不好，会频繁死机等。本讲稿第二十二页，共七十一页9.1.5计算机病毒的危害计算机病毒的破坏行为体现了病毒的破坏性。电脑界不断出现的病毒，对电脑系统的危害多种多样，攻击电脑系统的主要方式是：破坏软盘和硬盘磁

13、盘系统数据区、文件、CMOS、网络系统、系统BIOS、显示BIOS（我想将来会有这样的病毒）；降低系统运行速度；干扰系统运行、内存分配、屏幕显示、键盘、鼠标、喇叭、打印机等的正常操作；阻塞网络的正常通讯。本讲稿第二十三页，共七十一页(1)破坏系统数据区。包括硬盘分区表、软盘和硬盘的引导扇区、文件分配表FAT、文件目录等。这些数据被破坏，恢复比较困难。(2)破坏文件。可执行程序文件、Word文档和模板是病毒传染的对象。病毒攻击的文件可以是任何文件，攻击文件的方式包括删除文件、覆盖文件、文件改名、丢失部分数据等。本讲稿第二十四页，共七十一页(3)破坏CMOS信息。病毒修改CMOS中的信息（如软驱和

14、硬盘参数），使电脑启动时出现错误。(4)破坏网络系统。病毒程序自动给网络用户发送大量的垃圾邮件，造成互联网的阻塞，以及黑客攻击网站等。(5)破坏系统BIOS和显卡BIOS。由于现在的BIOS是可以升级的FlashROM，升级程序可以把新的BIOS程序写入BIOS芯片，那么病毒程序也能做到，现在出现的是攻击主板BIOS（通常称系统BIOS），使电脑启动时黑屏，将来显示BIOS是新的攻击对象。本讲稿第二十五页，共七十一页(6)干扰系统正常运行。包括不执行发出的命令、内部堆栈（Stack）溢出、死机或重新启动电脑、影响系统运行速度等。(7)干扰内存分配。包括病毒本身占用内存、病毒有意占用内存、改变内

15、存容量、使得运行程序时报告内存不足等。(8)干扰打印。一些病毒会使打印机不能正常打印，假提示缺纸等。(9)干扰屏幕显示。病毒扰乱屏幕的正常显示，常表现为字符跌落、小球反弹、不正常问候语或提示画面等。本讲稿第二十六页，共七十一页(10)干扰键盘。键盘按键无效，换字符、掉字符等。(11)干扰鼠标。一些病毒会使鼠标操作异常，如扰乱串并口的病毒会使串口鼠标无效。(12)干扰喇叭。有的病毒在发作时，会发出提示音或奏出音乐。在计算机病毒的众多破坏性中，损失最大的是丢失数据资料（破坏硬盘或软盘中的系统数据，删除或覆盖文件）、泄露保密资料和网络瘫痪，至于病毒对电脑系统的其它干扰并不会造成巨大的损失，即使是毁坏

16、了BIOS，重写BIOS就可以了。本讲稿第二十七页，共七十一页特别提示*为了防治病毒破坏或硬盘故障，请及时备份数据（必要时，备份整个硬盘）。*安装实时监控病毒的程序（防火墙），定时查杀病毒，是一种主动而且有效的计算机病毒防治方式。本讲稿第二十八页，共七十一页9.2 计算机病毒防治计算机病毒防治 9.2.1病毒的传播途径1传染计算机病毒的途径(1)软盘交流染毒文件。(2)硬盘染毒，运行程序或处理的Word文档。(3)电脑数据光盘。(4)Internet上下载染毒文件。(5)电子邮件的附件夹带病毒。本讲稿第二十九页，共七十一页2不会有病毒传染的情况(1)病毒不能传染写保护的软盘。(2)干净的系统启

17、动后，对带病毒的软盘或硬盘列目录（不是运行其中的程序），不会传染病毒。(3)CMOS中可能被病毒破坏，但CMOS中不会隐藏病毒。(4)没有执行程序的数据文件不会含有病毒，如纯文本文件*.TXT不会有病毒（Word文档和模板中的宏，在文档或模板被打开时宏会被执行，宏就是宏病毒寄生的地方，所以Word文档或模板可能被感染宏病毒）。本讲稿第三十页，共七十一页3可能传染病毒的操作(1)带病毒的软盘启动系统，病毒可能传染硬盘以及本次使用的未写保护的软盘。(2)带病毒的系统中，病毒可能传染本次使用的未写保护的软盘（包括列目录操作）。(3)带病毒的系统中，发送邮件，可能病毒也被发送。(4)带病毒的系统中，运

18、行未带病毒的程序，这个程序可能染上病毒。本讲稿第三十一页，共七十一页(5)打开来历不明的邮件或邮件附件，你的电脑可能染上病毒。(6)运行了带病毒的程序，会传染其它被运行的程序。(7)打开带宏病毒的Word文档或模板，会把宏病毒传给其它Word文档或模板。本讲稿第三十二页，共七十一页9.2.2用户防治病毒感染系统的措施1防治病毒传染的措施(1)软盘尽量带写保护。(2)安装病毒实时监控程序（防火墙），同时注意软件及时升级。(3)慎用外来软件（使用前进行病毒扫描）。(4)安装硬盘还原卡可抵御病毒。本讲稿第三十三页，共七十一页(5)经常查杀病毒，包括在杀毒软件中设置定时查杀病毒。(6)将BIOS中的“

19、BootVirusDetection”设置为“Enabled”，可以防止引导病毒。(7)注意系统中的一些异常变化，如执行程序文件变大、数据莫名奇妙地丢失、发送带附件的邮件时死机、打印机不能打印等，及时做查杀病毒处理。本讲稿第三十四页，共七十一页2注意一些病毒的发作日期在下面的这些日期前（不胜枚举！仅列出几个有代表性的日期），要特别注意查杀病毒，因为病毒可能要干坏事了。3月6日：米开朗基罗病毒4月26日：CIH病毒1.2版（是在我国流行最广的CIH病毒版本）本讲稿第三十五页，共七十一页5月4日：NewCentury病毒6月26日：CIH病毒1.3版7月每一天：七月杀手宏病毒每月26日：CIH病毒

20、1.4版13日星期五：磁盘杀手病毒本讲稿第三十六页，共七十一页特别提示*经常备份自己的数据资料，是我们必须做的！*如果硬盘资料遭病毒破坏,不要急着重装系统或对硬盘做低级和高级格式化（FORMAT），因为病毒不可能在短时间内,将硬盘的全部资料破坏,硬盘的数据很有可能可以恢复，就像我们可以恢复被删除的文件一样。瑞星公司杀毒软件RAV15.34.10版本的DOS版，提供了挽救CIH病毒损坏硬盘数据的工具。本讲稿第三十七页，共七十一页9.2.3常用反病毒软件防治计算机病毒主要靠自己的警惕性和查杀病毒的软件。常见的查杀病毒软件有：PCCILLIN、NortonAntivirus、KV系列和瑞星RAV杀毒

21、软件。下面以瑞星RAV15.34.10版本为例，说明查杀病毒的一般方法，其它的杀毒软件与其有相似之处。瑞星RAV15.34.10在Windows下运行主界面如图9-1所示。本讲稿第三十八页，共七十一页1瑞星RAV15.34.10简介瑞星RAV15.34.10具有以下特点：(1)实时监控病毒（包括邮件病毒），即防火墙功能。(2)定时查杀病毒。(3)清除CIH、求职信、硬盘杀手等Windows环境下的病毒。（4)清除“宏病毒”。(5)清除黑客（BO）程序。(6)检测压缩和自解压格式文件。本讲稿第三十九页，共七十一页(7)安全修复被CIH病毒破坏的硬盘数据。(8)保存和恢复硬盘引导扇区（分区表和第一

22、分区的引导扇区）。(9)查杀病毒速度相当快。(10)DOS、Windows9x、WindowsNT4.0、Windows2000/XP多平台杀毒。本讲稿第四十页，共七十一页图9-1瑞星RAV15.34.10Windows版运行主界面本讲稿第四十一页，共七十一页2RAV查杀病毒的步骤方法一在Windows下运行RAV，出现如图9-1所示的界面。选择杀毒路径：在图9-1左边窗口中选择杀毒路径。查杀病毒：按“杀毒”按钮；根据用户设置的方式查杀病毒。本讲稿第四十二页，共七十一页特别提示*在清除病毒过程中，如果出现：“请用瑞星原盘引导计算机清除病毒”，表示该文件正在运行或被使用，请使用“瑞星杀毒软件”D

23、OS版（A号盘）原盘启动电脑后，清除病毒。本讲稿第四十三页，共七十一页方法二步骤1：用瑞星A号盘启动Windows98DOS，并进入RAV运行界面(RAV15.34.10自带汉字显示字库)。步骤2：选定要查杀病毒的盘符，如驱动器C：后按回车键，查杀硬盘引导型病毒、查杀文件中存在的病毒（包括宏病毒、CIH病毒等Windows环境下的病毒）。查杀其它路径的病毒，需先选择路径，再查杀病毒。本讲稿第四十四页，共七十一页【特别提示】*在RAV15.34.10Windows版本中可以制作“升级瑞星DOS版”到瑞星原盘上，方法是：工具制作瑞星安装盘升级DOS瑞星版。*RAV15.34.10Windows版本

24、具有防火墙和定时查杀病毒的功能，DOS版本没有这些功能。*查杀硬盘引导型病毒最好使用RAV15.34.10DOS版（使用A号盘启动电脑并杀毒）。本讲稿第四十五页，共七十一页*如果启动MSDOS6.22，在运行RAV15.34.10DOS版，那么就不能查杀FAT32的硬盘逻辑盘，因为MSDOS6.22不认识FAT32的逻辑盘。*对于重写(overwrite)型病毒和伙伴(companion)型等类型的病毒，由于病毒已破坏原文件或该文件本身就是病毒生成的，因此清除这类病毒时需删除当前文件。本讲稿第四十六页，共七十一页3RAV防火墙“瑞星杀毒软件”的Windows版中提供了实时监控计算机病毒和“黑客

25、”的功能，我们把它称为防火墙。安装瑞星RAV15.34.10版本默认设置就是启用实时监控，即开启了防火墙功能，此时在桌面的右下角有一把绿色小雨伞。如果关闭防火墙后，桌面右下角的一把绿色小雨伞消失。本讲稿第四十七页，共七十一页当绿色小雨伞出现在桌面的右下角，表明电脑处于“瑞星杀毒软件”的实时监控之下，访问软盘、本地硬盘、光盘、网络邻居、因特网和所在局域网服务器时，都在防火墙的监控之中。当文件被读取、拷贝、移动、压缩、解压、从因特网下载保存、从E-mail信箱接收保存时，“瑞星杀毒软件”将根据预先设定的处理形式对含有病毒的文件进行处理，如：自动清除病毒，自动禁止使用带毒文件，自动将文件移动到指定文

26、件夹，自动删除带毒文件或询问用户如何处理等。使用RAV防火墙，应该说是一种主动的防治病毒的方式，而不是在系统被病毒感染以后，再去被动查杀病毒。本讲稿第四十八页，共七十一页4RAV定时查杀病毒“瑞星杀毒软件”的Windows版中提供了“定时查杀病毒”功能。安装瑞星RAV15.34.10版本后，默认设置就是启用定时查杀病毒功能，此时在桌面的右下角有一时钟图标，关闭定时查杀功能后，该图标消失。本讲稿第四十九页，共七十一页用户可通过“设置定时杀毒”选择“每小时”、“每日”、“每周”、“每月”等不同扫描频率，并可指定待查的磁盘或目录。当系统时钟到达所选定的时间，“瑞星杀毒软件”将自动启动，并开始在后台扫

27、描预先指定选定磁盘或目录。如果发现病毒，查毒界面会自动跳出，用户可以看到查毒情况，查毒完毕可自动将查毒结果保存，供用户随时查阅，如果未发现病毒，软件将自动关闭退出。本讲稿第五十页，共七十一页9.3 目前几类流行的病毒目前几类流行的病毒计算机病毒应该说是从DOS环境下发展起来的，但现在的病毒制造者把注意力主要放在宏病毒、Windows系统和网络系统，病毒传染越来越快，破坏能力也越来越大。下面简单介绍目前几类流行病毒。本讲稿第五十一页，共七十一页9.3.1宏病毒宏病毒是使用某个应用程序自带的宏编程语言编写的病毒。宏病毒从1996年下半年传入我国，主要感染Word、Excel等文件，最常见的是感染W

28、ord文档和文档模板文件的宏病毒。Word中的宏，是利用Word中提供的WordBasic编程接口编制程序，原本是为了让用户能够用简单的程序简化一些经常重复的操作，没想到却为宏病毒创造了条件：因为宏有执行的机会（打开Word文档时，会执行宏）。本讲稿第五十二页，共七十一页宏病毒容易编写：以往病毒是以二进制的机器码形式出现，而宏病毒则是以人们容易阅读的WordBasic语言源代码形式出现，编写和修改宏病毒比以往病毒更容易，所以这种病毒发展得特别快。宏病毒容易传播：无论以什么方式得到的Word文档（例如通过软盘、电子邮件），如果它们带有宏病毒，只要在Word中打开这些文件，你的计算机就会被宏病毒感

29、染，若没有及时发现和杀毒，那么，打开或新建Word文档都可能带上宏病毒，这使得宏病毒非常容易传播。本讲稿第五十三页，共七十一页宏病毒病例：七月杀手病毒。发作时间：七月的每一天。破坏性：七月杀手病毒自动将硬盘中C盘根目录下的自动批处理文件AUTOEXEC.BAT原来的内容全部删除，然后追加一条命令：DELTREEC:/Y，当用户下一次启动电脑时，就会删除C：中的所有文件和子目录。本讲稿第五十四页，共七十一页9.3.2网络病毒网络病毒主要是指通过互联网电子邮件（附件）传染并自动发送邮件的病毒。大多数情况下，网络病毒都能从Outlook通讯录中获取多个用户的E-mail地址，并自动向它们发送受病毒感

30、染的电子邮件，当下一个用户打开受感染的文件时，又重复上述自动发送带病毒的电子邮件的操作，如此传播，用不了多少时间，就可能让网络邮件服务器因“忙不过来”而瘫痪。很多网络病毒以Word或Excel宏作为载体（邮件的附件），因而又具有宏病毒的特征。本讲稿第五十五页，共七十一页网络病毒病例：ILOVEYOU（爱虫病毒）。爱虫病毒传播：爱虫病毒是使用VBScript程序语言编写的病毒，它主要是通过一封信件标题为“ILOVEYOU的电子邮件传播的，附加文件为“LOVE-LETTER-FOR-YOU.txt.vbs。一旦执行附加文件，病毒会获取Outlook通讯录的名单，并自动发出“I LOVEYOU”电子

31、邮件，连锁性的大规模传播，从而导致网络阻塞。本讲稿第五十六页，共七十一页破坏性：爱虫病毒的传播会导致网络瘫痪，病毒发作时，还会把*.mp3、*.vbs、*.jpg、*.jpeg等10种文件改为*.vbs，并传染覆盖这些文件。当你收到信件标题为“ILOVEYOU的电子邮件时，应立即删除。与爱虫病毒相似的网络病毒还有Melissa（美丽杀手病毒）、PAPA（怕怕病毒）等。本讲稿第五十七页，共七十一页9.3.3CIH病毒CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒，1998年8月从台湾传入大陆，CIH病毒感染Windows95/98的可执行程序，共有三个主要版本：1.2版/

32、1.3版/1.4版，发作时间分别是4月26日、6月26日、每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒，是迄今为止破坏最为严重的病毒。本讲稿第五十八页，共七十一页破坏性：破坏硬盘中的数据，同时重写主板BIOS的内容（FlashROM类型芯片），导致开机黑屏。解决方法：重新写入正确的主板BIOS（参见9.4节）；被破坏的硬盘数据使用RAV15.34.10DOS版进行恢复（参见9.2节）。本讲稿第五十九页，共七十一页9.3.4硬盘杀手病毒硬盘杀手病毒（Worm.OpaSoft）会毁坏硬盘所有数据的，它是迄今第一个可以覆盖硬盘分区的蠕虫病毒，破坏力是有史以来最凶狠的，电脑一旦被感染硬盘杀

33、手病毒，将可能毁坏硬盘所有数据。破坏性：它可以在Windows95以上的所有版本的操作系统中运行，将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染，传播能力远远强于CIH！如果启动电脑时屏幕上会出现以下内容的信息：本讲稿第六十页，共七十一页NOTICE:IllegalMicrosoftWindowslicensedetected!You are in violation of the Digital Millennium CopyrightAct!Yourunauthorizedlicensehasbeenrevoked.formor

34、einformation,pleasecallusat:1-888-NOPIRACYonourwebsite,at:www.bsa.orgBusinessSoftwareAlliancePromotingasafe&legalonlineworld.本讲稿第六十一页，共七十一页不过当用户看到此信息后，则硬盘数据已经被破坏，无法恢复。预防办法：升级杀毒软件查杀，如瑞星15.15.01及以上版本可以查杀硬盘杀手病毒（Worm.OpaSoft），金山毒霸硬盘杀手专杀工具1.8.1可以查杀硬盘杀手病毒（Worm.OpaSoft）等。本讲稿第六十二页，共七十一页9.3.5黑客程序“黑客”是指利用通讯软件

35、，通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全的入侵者或入侵行为，直接威胁用户的数据安全：泄露军事情报，窃取商业机密，修改金融数据，攻击网站等，都严重干扰计算机及网络系统的正常运行。目前 已 发 现 BO（Back Orifice）、NetBus、NetSpy、Backdoor等几十种“黑客”程序。本讲稿第六十三页，共七十一页黑客程序就是黑客组织通过网络在你的计算机系统中安装了监控程序（例如当在邮件附件中收到未知的可执行程序，好奇地执行了这个程序，有可能就是黑客“遥控”远程电脑的监控程序），可以通过TCP/IP网络协议远程控制你的计算机，在被攻击者完全不知道的情况下，任意访

36、问和控制你的计算机资源，包括窃取口令、修改注册表、查看和增删文件、记录键盘输入的所有内容、重新启动远程电脑等。本讲稿第六十四页，共七十一页防止被黑客攻击的措施有：(1)对利用互联网进行通信的计算机进行严格控制，妥善保管重要数据（包括利用加密手段），防止被窃取。(2)不随意运行从网上下载的文件，尤其是莫名其妙发来的电子邮件中的执行文件，切断黑客监控程序的入口。(3)连入互联网的计算机与本地局域网进行物理隔离。本讲稿第六十五页，共七十一页9.4 电脑被电脑被CIH病毒攻击后的处理办法病毒攻击后的处理办法1999年4月26日，CIH病毒的发作可能在BIOS中被填入垃圾数据，使电脑瘫痪，有的用户考虑如

37、何恢复主板BIOS，更多的用户担心是否能恢复硬盘数据。2000年4月26日，CIH病毒的悲剧重演。本讲稿第六十六页，共七十一页9.4.1修复CIH病毒破坏的硬盘数据CIH病毒发作时，会重写主板的BIOS（当主板BIOS芯片是FlashROM时），同时破坏了系统的主引导区（分区表）、引导区、文件分配表、根目录区等重要信息，这样用户硬盘中的数据会全部丢失，造成重大的损失。本讲稿第六十七页，共七十一页RAV15.34.10DOS版提供了修复硬盘数据的功能。当硬盘数据被CIH病毒破坏或其它原因丢失时，可以使用这个功能修复硬盘数据。修复功能支持FAT16分区，也支持FAT32分区，可以完全恢复D、E等扩

38、展逻辑盘数据，修复FAT32分区的C盘数据的成功率非常高。本讲稿第六十八页，共七十一页使用RAV15.34.10修复硬盘数据的步骤如下：(1)使用瑞星A号盘启动Windows98DOS，并进入RAV运行界面。(2)选择菜单：实用工具硬盘数据恢复，开始修复的工作。(3)修复工作完成后，RAV会给出修复报告。在RAVWindows版本是没有提供修复硬盘数据的功能。本讲稿第六十九页，共七十一页9.4.2修复被CIH病毒破坏的BIOS修复被病毒破坏的主板BIOS的方法与升级BIOS失败时的处理方法一样，参见第7章7.5节升级系统BIOS。根据病毒的作用的机理和病毒的发展趋势，破坏显卡FlashBIOS的病毒将来也有可能出现，故障现象也会是开机黑屏，解决的办法与显卡BIOS升级失败一样，参见第7章7.6节升级显卡BIOS。本讲稿第七十页，共七十一页 思考与训练思考与训练1什么是计算机病毒？它有哪些危害？2什么样的操作会传染计算机病毒？3主板BIOS被CIH病毒写入垃圾数据后，启动电脑时会出现什么情况？如何处理？4什么是病毒防火墙？试着使用瑞星和PC-CILLIN的防火墙功能。5使用PC-CILLIN、NortonAntivirus、KV系列或瑞星RAV查杀病毒，看看你的硬盘是否有病毒。本讲稿第七十一页，共七十一页