計算機病毒基礎知識大全科普
計算機病毒(Computer Virus)是編制者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)的代碼,能影響計算機使用,能自我復制的一組計算機指令或者程序代碼。下面就讓小編帶你去看看計算機病毒基礎知識大全,希望能幫助到大家!
計算機病毒
計算機病毒是指編制或者在計算機程序中插入的,破壞計算機功能或數(shù)據(jù)、影響計算機使用, 并能自我復制的一組計算機指令或者程序代碼。
1.計算機病毒的特點
電腦病毒的主要特點如下。
(1)隱蔽性
電腦病毒的隱蔽性使得人們不容易發(fā)現(xiàn)它,例如有的病毒要等到某個月13日且是星期五才發(fā)作,平時的日子不發(fā)作。一臺電腦或者一張軟盤被感染上病毒一般是無法事先知道的,病毒程序是一個沒有文件名的程序。
(2)潛伏性
從被感染上電腦病毒到電腦病毒開始運行,一般是需要經過一段時間的。當滿足病毒發(fā)作的指定環(huán)境條件時,病毒程序才開始發(fā)作。
(3)傳染性
電腦病毒程序的一個主要特點是能夠將自身的程序復制給其他程序(文件型病毒),或者放入指定的位置,如引導扇區(qū)(引導型病毒)。
(4)欺騙性
每個電腦病毒都具有特洛伊木馬的特點,用欺騙手段寄生在其他文件上,一旦該文件被加載,就會讓病毒發(fā)作并破壞電腦的軟、硬件資源,迫使電腦無法正常工作。
(5)危害性
病毒的危害性是顯然的,幾乎沒有一個無害的病毒。它的危害性不僅體現(xiàn)在破壞系統(tǒng),刪除或者修改數(shù)據(jù)方面,而且還要占用系統(tǒng)資源,干擾機器的正常運行等。
2.計算機病毒的分類
2.1按傳染方式分類
病毒按傳染方式可分為:
1).引導區(qū)電腦病毒
2).文件型電腦病毒
3).復合型電腦病毒
4).宏病毒
5).木馬
6).蠕蟲
1).引導區(qū)電腦病毒:
隱藏在磁盤內,在系統(tǒng)文件啟動以前電腦病毒已駐留在內存內。這樣一來,電腦病毒就可完全控制DOS中斷功能,以便進行病毒傳播和破壞活動。那些設計在DOS或Windows3.1上執(zhí)行的引導區(qū)病毒是不能夠在新的電腦操作系統(tǒng)上傳播。
2).文件型電腦病毒
又稱寄生病毒,通常感染執(zhí)行文件(.E__E),但是也有些會感染其它可執(zhí)行文件,如DLL,SCR等。每次執(zhí)行受感染的文件時,電腦病毒便會發(fā)作(電腦病毒會將自己復制到其他可執(zhí)行文件,并且繼續(xù)執(zhí)行原有的程序,以免被用戶所察覺)。
典型例子:CIH會感染Windows95/98的.E__E文件,并在每月的26號發(fā)作日進行嚴重破壞。于每月的26號當日,此電腦病毒會試圖把一些隨機資料覆寫在系統(tǒng)的硬盤,令該硬盤無法讀取原有資料。此外,這病毒又會試圖破壞Flash BIOS內的資料。
3).復合型電腦病毒:
具有引導區(qū)病毒和文件型病毒的雙重特點。
4).宏病毒:
宏病毒專門針對特定的應用軟件,可感染依附于某些應用軟件內的宏指令,它可以很容易透過電子郵件附件、軟盤、文件下載和群組軟件等多種方式進行傳播如Microsoft Word和E__cel。
與其他電腦病毒類型的區(qū)別是宏病毒是攻擊數(shù)據(jù)文件而不是程序文件。
5).特洛伊或特洛伊木馬
是一個看似正當?shù)某绦颍聦嵣袭攬?zhí)行時會進行一些惡性及不正當?shù)幕顒?。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬盤內的程序或數(shù)據(jù)。
特洛伊木馬與電腦病毒的重大區(qū)別是特洛伊木馬不具傳染性,它并不能像病毒那樣復制自身,也并不"刻意"地去感染其他文件,它主要通過將自身偽裝起來,吸引用戶下載執(zhí)行。
6).蠕蟲:
一般認為:蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務,以及和黑客技術相結合,等等。
根據(jù)使用者情況將蠕蟲病毒分為兩類:一種是面向企業(yè)用戶和局域網而言;這種病毒利用系統(tǒng)漏洞,主動進行攻擊,可以對整個互聯(lián)網可造成癱瘓性的后果。另外一種是針對個人用戶的,通過網絡(主要是電子郵件、惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒、求職信病毒為代表。
蠕蟲病毒的傳染目標是互聯(lián)網內的所有計算機,局域網條件下的共享文件夾、電子郵件Email、網絡中的惡意網頁、大量存在著漏洞的服務器等。
它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程序,但蠕蟲是專注于利用網絡去擴散。
2.2按連接方式分類
病毒按連接方式分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒等四種。
(1) 源碼型病毒
該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序編譯前插入到原程序中,經編譯成為合法程序的一部分。
(2)嵌入型病毒
這種病毒是將自身嵌入到現(xiàn)有程序中,把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的,一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術,超級病毒技術和隱蔽性病毒技術,將給當前的反病毒技術帶來嚴峻的挑戰(zhàn)。
(3)外殼型病毒
外殼型病毒將其自身包圍在主程序的四周,對原來的程序不作修改。這種病毒最為常見,易于編寫,也易于發(fā)現(xiàn),一般測試文件的大小即可知。
(4)操作系統(tǒng)型病毒
這種病毒用它自已的程序意圖加入或取代部分操作系統(tǒng)進行工作,具有很強的破壞力,可以導致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。
這種病毒在運行時,用自己的邏輯部分取代操作系統(tǒng)的合法程序模塊,根據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等,對操作系統(tǒng)進行破壞。
2.3按照計算機病毒激活的時間分類
按照計算機病毒激活時間可分為定時的和隨機的。定時病毒僅在某一特定時間才發(fā)作,而隨機病毒一般不是由時鐘來激活的。
2.4按照傳播媒介分類
按照計算機病毒的傳播媒介來分類,可分為單機病毒和網絡病毒。
(1)單機病毒
單機病毒的載體是磁盤,常見的是病毒從軟盤傳入硬盤,感染系統(tǒng),然后再傳染其他軟盤,軟盤又傳染其他系統(tǒng)。
(2)網絡病毒
網絡病毒的傳播媒介不再是移動式載體,而是網絡通道,這種病毒的傳染能力更強,破壞力更大。
2.5按照寄生方式和傳染途徑分類
計算機病毒按其寄生方式大致可分為兩類,一是引導型病毒,二是文件型病毒;它們再按其傳染途徑又可分為駐留內存型和不駐留內存型,駐留內存型按其駐留內存方式又可細分。混合型病毒集引導型和文件型病毒特性于一體。
2.6按病毒的特性分類
Trojan--特洛伊木馬,有這個前綴的就是木馬了,在此類病毒名中有PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能。比如 Trojuan.qqpass.a。
Win32 PE Win95 W32 W95--系統(tǒng)病毒,特性是可以感染windows操作系統(tǒng)的 __.e__e 和 __.dll 文件。
Worm--蠕蟲病毒,通過網絡或者系統(tǒng)漏洞進行傳播。比較著名的有沖擊波。
Script--腳本病毒 一般來說,腳本病毒還會有如下前綴:VBSJS(表明是何種腳本編寫的)比如歡樂時光。
Backdoor--后門病毒,特性是通過網絡傳播,給系統(tǒng)開后門,最著名的就是灰鴿子為代表。
Dropper--種植程序病毒,特性是運行時會從體內釋放出一個或幾個新的病毒到系統(tǒng)目錄下,代表就是落雪了。
Joke--玩笑病毒 ,只是嚇嚇人而已,沒什么危害。
HackTool--黑客工具。
Downloader--木馬下載者,以體積小的下載者下載體積大的木馬,方便隱藏。
AdWare--廣告病毒,監(jiān)視你在上網時的一舉一動,然后把信息反饋到用它的公司。
3.計算機病毒程序結構
病毒引導模塊的主要作用是將靜態(tài)病毒激活,使之成為動態(tài)病毒(加載)。
病毒程序的加載分為兩個步驟:一是系統(tǒng)加載過程;二是病毒附加的加載過程。病毒程序選擇的加載點、目標多是計算機的固有弱點或軟件系統(tǒng)的輸入節(jié)點。
病毒程序的加載受到操作系統(tǒng)的制約。DOS系統(tǒng)下,病毒程序的加載有3種方式:①參與系統(tǒng)啟動過程②依附正常文件加載③直接運行病毒程序
DOS系統(tǒng)下,病毒的加載過程,主要由3個步驟組成:
(1)開辟內存空間;
(2)病毒體定位和駐留;
其中駐留內存的方法有以下幾種:
① 減少DOS系統(tǒng)可分配空間
② 利用系統(tǒng)模塊間的空隙和DOS間隙
③利用功能調用駐留內存
④占用系統(tǒng)程序使用空間(又稱程序覆蓋方法)
一般Windows環(huán)境下的病毒有3種方法駐留內存:一是將病毒作為一個Windows環(huán)境下的應用程序,擁有自己的窗口(隱藏的)和消息處理函數(shù);二是使用DPMI申請一塊系統(tǒng)內存,將病毒代碼放入其中;三是將病毒作為一個V__D(WIN 9__下的設備驅動程序)或VDD(WIN2000/NT下的設備驅動程序)加載到內存中運行。
(3)恢復系統(tǒng)功能
3.2感染模塊
感染模塊主要完成病毒的動態(tài)感染,是各種病毒必不可少的模塊。病毒在取得對系統(tǒng)的控制權后,先執(zhí)行它的感染操作中的條件判斷模塊,判斷感染條件是否滿足,如果滿足感染條件,進行感染,將病毒代碼放入宿主程序;然后再執(zhí)行其他的操作(如執(zhí)行病毒的表現(xiàn)(破壞)模塊),最后再執(zhí)行系統(tǒng)正確的處理,這是病毒感染經常采取的手段之一。
感染標記又稱病毒簽名,表明了某種病毒的存在特性,往往是病毒的一個重要的感染條件。感染標記是一些具有唯一不變性的數(shù)字或字符串,它們以ASCII碼方式存放在程序里的特定位置。感染標記可以存在于病毒程序的任何一點,也有可能是組合在程序中的代碼。感染標記是由病毒制造者有意設置的,但也可以不設置標記。不同病毒的感染標記位置不同、內容不同。病毒程序感染宿主程序時,要把感染標記寫入宿主程序,作為該程序已被感染的標記。
病毒在感染健康程序以前,先要對感染對象進行搜索,查看它是否帶有感染標記。如果有,說明它已被感染過,就不會再被感染;如果沒有,病毒就會感染該程序。
病毒的感染目標和感染方式
就目前出現(xiàn)的各種計算機病毒來看,其寄生目標有兩種:
一種是寄生在磁盤(主)引導扇區(qū)(利用轉儲或直接存取扇區(qū)的方法,此方法還可將病毒駐入磁盤的文件分配表、文件目錄區(qū)和數(shù)據(jù)存儲區(qū)等,常利用INT 13H中斷);
另一種是寄生在可執(zhí)行文件(如.E__E,.COM, .BAT, .SYS, .OVL, .DLL,.V__D文件等)中 。
而近來常被感染的一些數(shù)據(jù)文件(主要是微軟的辦公軟件系統(tǒng),Word文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等等)其實也是可以看作一種特殊的可執(zhí)行文件(宏) 。
文件型病毒常利用INT 21H中斷來感染可執(zhí)行文件,病毒的感染通常采用替代法、鏈接法和獨立存在法
病毒的感染機制
病毒在不同的載體上感染的機制不同。網絡上或系統(tǒng)上的感染是利用網絡間或系統(tǒng)間的通信或數(shù)據(jù)共享機制實現(xiàn)的。存儲介質(軟盤、硬盤或磁帶等)或文件間的感染一般利用內存作為中間媒介,病毒先由帶毒介質或文件進入內存,再由內存侵入無毒介質或文件。
病毒從內存侵入無毒介質,經常利用操作系統(tǒng)的讀寫磁盤中斷向量入口地址或修改加載機制(例如INT l3H或INT 21H),使該中斷向量指向病毒程序感染模塊。內存中的病毒時刻監(jiān)視著操作系統(tǒng)的每一個操作,這樣,一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調用,病毒感染模塊就會被激活,感染模塊在判斷感染條件滿足的條件下,把病毒自身感染給被讀寫的磁盤或被加載的程序,實施病毒的感染,病毒被按照病毒的磁盤儲存結構存放在磁盤上,然后再轉移到原中斷服務程序執(zhí)行原有的操作。另外還有被動感染。
3.3表現(xiàn)(破壞)模塊
表現(xiàn)(破壞)模塊主要完成病毒的表現(xiàn)或破壞功能。
它的發(fā)作部分應具備兩個特征:程序要有一定的隱蔽性及潛伏性,病毒發(fā)作的條件性和多樣性。
計算機病毒的破壞和表現(xiàn)模塊一般分為兩個部分:一個是破壞模塊的觸發(fā)條件的判斷部分;一個是破壞功能的實施部分。
和病毒的感染模塊一樣,破壞模塊可能在病毒程序第一次加載時就運行,也可能在第一次加載時只將引導模塊引入內存,以后再通過某些中斷機制觸發(fā)才運行。破壞機制在設計原則上也與感染機制基本相同。
4.DOS基本系統(tǒng)知識
(1)引導程序(BOOT)。它駐留在系統(tǒng)盤的0面0道1扇區(qū),在啟動計算機時,它首先被自動讀入內存,然后由它負責把DOS的其他程序調入內存。
(2)BOM中的ROMBIOS。它提供對計算機輸入/輸出設備進行管理的程序,被固化在主機板上的ROM中,是計算機硬件與軟件的最低層的接口。
(3)輸入輸出管理IO.SYS模塊。其功能是初始化操作系統(tǒng),并提供DOS系統(tǒng)與ROM BIOS之間的接口。
(4)核心MSDOS.SYS模塊。它主要提供設備管理、內存管理、磁盤文件及目錄管理的功能,這些功能可以通過所謂的系統(tǒng)功能調用INT 21H來使用,它是用戶程序與計算機硬件之間的高層軟件接口。
(5)命令處理COMMAND.COM模塊。它是DOS調入內存的最后一個模塊,它的任務是負責接收和解釋用戶輸入的命令,可以執(zhí)行DOS的所有內、外部命令和批命令。它主要由3部分組成:常駐部分、初始化部分和暫駐部分。
(1)在系統(tǒng)復位或加電時,計算機程序的指令指針自動從內存地址0FFFF:0000H外開始執(zhí)行,該處含有一條無條件轉移指令,使控制轉移到系統(tǒng)的ROM板上,執(zhí)行ROM BIOS中的系統(tǒng)自檢和最初的初始化工作程序,以及建立INT 1FH以前的中斷向量表。如果自檢正常,則把系統(tǒng)盤上存于0面0道1扇區(qū)的系統(tǒng)引導記錄讀入內存地址0000:7000H,并把控制權交給引導程序中的第一條指令。
(2)引導記錄用于檢查系統(tǒng)所規(guī)定的兩個文件IO.SYS和MSDOS.SYS是否按規(guī)定的位置存于啟動盤中,如符合要求就把它們讀入內存地址0060:0000H,否則啟動盤被認為不合法,啟動失敗。
(3)IO.SYS與MSDOS.SYS被裝入內存以后,引導記錄的使命即完成,控制權交給IO.SYS,該程序完成初始化系統(tǒng)、定位MSDOS.SYS以及裝入COMMAND.COM等工作。
其主要過程是:
①建立新的磁盤基數(shù)表并修改INT lEH向量地址指向該磁盤基數(shù)表。
②初始化異步通信口R5-232和打印機口。
③修改0lH,03H,04H和1BH中斷入口。
④調用INT 11H及INT l2H確定系統(tǒng)的硬件配置和內存RAM容量。
⑤將系統(tǒng)初始化程序移到內存高端并將MSDOS.SYS程序下移占據(jù)其位置。
⑥控制權交給MSDOS.SYS。MSDOS.SYS是DOS的核心部分,它在接受控制以后,也進行一系列的初始化工作,這些工作包括:初始化DOS內部表和工作區(qū)、初始化DOS的中斷向量20H~2EH、建立磁盤輸入/輸出參數(shù)表以及設置磁盤緩沖區(qū)和文件控制塊等。完成這些工作以后,繼續(xù)執(zhí)行IO.SYS的系統(tǒng)初始化程序。
⑦初始化程序檢查系統(tǒng)盤上的系統(tǒng)配置程序CONFIG.SYS,如果存在,則執(zhí)行該程序,按配置命令建立DOS的運行環(huán)境:設置磁盤緩沖區(qū)大小、能同時打開的句柄文件個數(shù)、加載可安裝的設備驅動程序等。
⑧將命令處理程序COMMAND.COM程序裝入內存,并把控制權交給該程序。至此IO.SYS文件的使命即告完成。
(4)命令處理程序在接受控制以后,重新設置中斷向量22H、23H、24H和27H入口地址,然后檢查系統(tǒng)盤上是否存在AUTOE__EC.BAT文件。若系統(tǒng)盤上不存在該文件,則顯示日期和時間等待用戶輸入,顯示DOS提示符。若存在該文件,則程序轉入暫駐區(qū),由批處理程序對其進行解釋和執(zhí)行,執(zhí)行完成后顯示DOS提示符。至此,DOS的整個啟動過程全部結束,系統(tǒng)處于命令接受狀態(tài)。
DOS啟動后,內存的組織即分配如圖2.6所示,該圖僅說明了DOS在基本內存(640KB)運行時的內存分配狀態(tài)。在計算機通常的工作方式(實方式)下,總體上來說,DOS可以管理的內存空間為1 MB。此lMByte空間可分為兩大部分,一部分是RAM區(qū),另一部分則是ROM區(qū)。而RAM區(qū)又分為系統(tǒng)程序、數(shù)據(jù)區(qū)和用戶程序區(qū)兩部分。由于DOS的版本不同,DOS系統(tǒng)文件的長度就不同,從而駐留在內存中的系統(tǒng)程序占用的內存空間也就不同,這樣用戶程序區(qū)的段地址就是一個不確定的值。
從內存絕對地址0040:0000H~0040:00FFH開始存放一些重要的數(shù)據(jù),這些數(shù)據(jù)是由ROM BIOS程序在引導過程中裝入的,記錄了有關系統(tǒng)的設備配置和存儲單元的系統(tǒng)參數(shù),它們是提供給ROM BIOS例行程序在進行設備操作時必備的重要數(shù)據(jù)。其中地址為40:13~40:14的兩個字節(jié)存放了以lKB為單位的內存總容量(含存儲擴展板容量),例如640 KB RAM為280H。有些病毒程序通過調入內皴高端并修改40:13~40:14內存而駐留內存;地址為40:6C~40:6F的4個字節(jié)為時鐘數(shù)據(jù)區(qū);前兩個字節(jié)(40:6C~40:6D)為0~65535之間的一個數(shù),由8253定時器每55 ms調1NT 8H使數(shù)值加1;后兩個字節(jié)(40:6E~40:6F)為小時數(shù),當計數(shù)值滿65 535時(恰好1小時),小時數(shù)加1。病毒常通過調用這一時鐘數(shù)據(jù)來檢測激活的時機是否成熟。
電腦感染病毒的10種癥狀及簡單處理辦法 電腦中病毒的癥狀介紹
電腦中病毒的癥狀(一)文件或文件夾無故消失:
當發(fā)現(xiàn)電腦中的部分文件或文件夾無緣無故消失,就可以確定電腦已經中了病毒。部分電腦病毒通過將文件或文件夾隱藏,然后偽造已隱藏的文件或文件夾并生成可執(zhí)行文件,當用戶點擊這類帶有病毒程序的偽裝文件時,將直接造成病毒的運行,從而造成用戶信息的泄露。
電腦中病毒的癥狀(二)運行應用程序無反應:
部分電腦病毒采用映像劫持技術,將常用的應用程序運行路徑進行更改為病毒運行目錄,從而當我們試圖運行正常的程序時,其實是運行了病毒程序,導致電腦病毒的啟動。
電腦中病毒的癥狀(三)電腦啟動項含有可疑的啟動項:
檢查“系統(tǒng)配置實現(xiàn)程序”窗口,如果發(fā)現(xiàn)有不明的可執(zhí)行目錄,則可以確定自己的電腦已經中病毒啦。當然更多時候病毒程序是利用修改注冊表項來添加自啟動項。
電腦中病毒的癥狀(四)電腦運行極度緩慢:
當電腦運行速度明顯變得緩慢時,就及有可能是電腦中病毒所致。中病毒的電腦,通過病毒程序會在后臺持續(xù)運行,并且絕大多數(shù)病毒會占有過多的CPU及內存,而且木馬病毒大都會借助網絡來傳播用戶隱私信息。
電腦中病毒的癥狀(五)殺毒軟件失效:
通過殺毒軟件用于對系統(tǒng)進行防護,因此當殺毒軟件無法正常運行進行殺毒操作時,就可以確信電腦已中病毒,此時我們需要借助網絡來實行在線殺毒操作。大部分安全防護軟件如360,金山衛(wèi)士,QQ管家這三款比較主流的國產安全防護軟件都有自主防御的防御模塊,而病毒或木馬最先攻擊的就是安全防護軟件的自主防御模塊。如果您發(fā)現(xiàn)主動防御模塊被關閉或安全防護軟件直接無法啟動或內存錯誤,很有可能是安全防護軟件也招架不住這種強悍的病毒而癱瘓了
電腦中病毒的癥狀(六)電腦運行異常:
病毒會占用過多的系統(tǒng)性能,以及造成文件的破壞,甚至嚴重影響系統(tǒng)的穩(wěn)定性。當電腦出現(xiàn)無故藍屏、運行程序異常、運行速度太慢以及出現(xiàn)大量可疑后臺運行程序時,就要引起注意,可能電腦已經中病毒啦。
電腦中病毒的癥狀(七)系統(tǒng)語言更改為其他語言
大家的計算機系統(tǒng)語言默認是簡體中文,如果開機后發(fā)現(xiàn)急速阿吉系統(tǒng)語言被修改為其他語言,很有可能是中了惡意病毒了,可以試用安全防護軟件掃描清除病毒
電腦中病毒的癥狀(八)藍屏黑屏
黑屏比較少見,藍屏卻比較多見了。中了莫名的惡意病毒可能在運行某個游戲或某個軟件時突然計算機藍屏,藍屏代碼可能是某條常見代碼,可能是說計算機為了保護系統(tǒng)自動強行重啟。
電腦中病毒的癥狀(九)主頁篡改,強行刷新或跳轉網頁,頻繁彈廣告
主頁被篡改是早期病毒的主要攻擊對象,計算機操作系統(tǒng)中毒后一般都會發(fā)生瀏覽器主頁被篡改的現(xiàn)象,所以當年IE伴侶這款修復主頁篡改的小軟件挺受歡迎。如果同時伴有瀏覽器頁面不停反復載入/刷新或無緣無故彈出廣告,那么很有可能是中毒了
電腦中病毒的癥狀(十)應用程序圖標被篡改或空白
計算機桌面的程序快捷方式圖標或程序目錄的主e__e文件的圖標被篡改或為空白,那么很有可能這個軟件的e__e程序被病毒或木馬感染。小編印象中蠕蟲病毒會進行此類感染修改
電腦中病毒后簡單的處理方式
一、正在上網的用戶,發(fā)現(xiàn)異常應首先馬上斷開連接
如果你發(fā)現(xiàn)IE經常詢問你是否運行某些ACTIVE__控件,或是生成莫明其妙的文件、詢問調試腳本什么的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
1、是瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬盤或是令你的windows不斷打開窗口,直到耗盡資源死機??這種情況惡劣得多,你未保存和已經放在硬盤上的數(shù)據(jù)都可能會受到部分或全部的損失。
2、是黑客的潛在的木馬發(fā)作,或是蠕蟲類病毒發(fā)作,讓你的機器不斷地向外界發(fā)送你的隱私、或是利用你的名義和郵件地址發(fā)送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的文件。
處理辦法:馬上斷開連接,這樣能將自己的損失降低的同時,也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統(tǒng)或是關機,進一步的處理措施請參看后文。
二、中毒后,應馬上備份轉移文檔和郵件等
中毒后運行殺毒軟件清除是不在話下的了,但為了防止殺毒軟件誤殺或是刪掉你還處理完的文檔和重要的郵件,你應該首先將它們轉移備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在windows下備份,所以第一點這里筆者建議您先不要退出windows,因為病毒一旦發(fā)作,可能就不能進入windows了。
不管這些文件是否帶毒了,你都應該備份,用標簽紙標記為待查即可。因為有些病毒是專門針對某個殺毒軟件設計的,一運行就會破壞其他的文件,所以先備份是以防萬一的措施。等你清除完硬盤內的病毒后,再來慢慢分析處理這些額外備份的文件較為妥善。
三、需要在windows下先運行一下殺CIH的軟件(即使是帶毒環(huán)境)
如果是發(fā)現(xiàn)了CIH病毒的,要注意不能完全按平時報刊和手冊建議的措施,先關機、冷啟動用系統(tǒng)盤來引導再殺毒,應在帶毒的環(huán)境下也運行一次專殺CIH的軟件。這樣做,殺毒軟件可能會報告某些文件在受讀寫保護無法清理,但帶毒運行的實際目的不在于完全清除病毒,而是在于把CIH下次開機時候的破壞減到最低,以防它再次開機破壞主板的BIOS硬件,那么就會黑屏,讓你的下一步殺毒無法進行。
四、需要干凈的DOS啟動盤和DOS下面進行殺毒
到現(xiàn)在,就應該按很多殺毒軟件的標準手冊去按步就班地做,即關機后冷啟動,用一張干凈的DOS啟動盤引導是不能少的了;另外由于中毒后可能windows已經被破壞了部分關鍵文件,會頻繁地非法操作,所以windows下的殺毒軟件可能會無法運行。所以請你也準備一個DOS下面的殺毒軟件來以防萬一。
即使能在windows下運行殺毒軟件的,也請用兩種以上工具交叉清理。在多數(shù)情況下windows可能要重裝,因為病毒會破壞掉一部分文件讓系統(tǒng)變慢或出現(xiàn)頻繁的非法操作。比如即使殺了CIH,微軟的outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟件帶偏見,由于開發(fā)時候側重點不同、使用的殺毒引擎不同,各種殺毒軟件都是有自己的長處和短處的,交叉使用效果較理想。
五、如果有Ghost和分區(qū)表、引導區(qū)的備份,用之來恢復一次最保險
如果你在平時作了windows的Ghost備份,用之來鏡像一次,得到的操作系統(tǒng)是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了,當然,這要求你的GHOST備份是絕對可靠的,呵呵,要是作Ghost的時候把木馬也“備份”了就……
六、再次恢復系統(tǒng)后,更改你的網絡相關密碼
包括登錄網絡的用戶名、密碼,郵箱的密碼和QQ的等等,防止黑客已經在上次入侵過程中知道了你的密碼。另外因為很多蠕蟲病毒發(fā)作會向外隨機發(fā)送你的信息,所以適當?shù)母氖潜匾摹?/p>
以上所述是Caesar給大家介紹的電腦感染病毒的10種癥狀及簡單處理辦法的相關知識,希望對大家有所幫助,如果大家有任何疑問請給我留言,Caesar會及時回復大家的。
電腦病毒還能這么玩?
2017年,一種新型蠕蟲病毒“想哭”(WannaCry)肆虐互聯(lián)網,其通過微軟的MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機,該病毒感染計算機后會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。受害者電腦被黑客鎖定后,病毒會提示支付價值相當于300~600美元的比特幣(bitcoin)才可解鎖。
這場勒索軟件攻擊規(guī)??涨埃瑲W洲刑警組織(Europol)估計在150個國家中,約有20萬臺電腦受到感染。而根據(jù)網絡風險建模公司Cyence的數(shù)據(jù),其造成的經濟損失可能高達40億美元。
Lazarus Group, WannaCry, 2017
電腦病毒(computer virus)自誕生之日起,似乎就是邪惡和犯罪的代名詞,電腦病毒一直伴隨著互聯(lián)網的發(fā)展,威脅著我們的數(shù)據(jù)財產安全。甚至成為一種國防軍事武器,像“想哭”病毒就被認為是黑客組織盜取并利用了美國國家安全局開發(fā)的,漏洞利用(e__ploit)網絡武器“永恒之藍”(EternalBlue)而造成的。
且故意制作并傳播電腦病毒也是一種嚴重的違法行為。《中華人民共和國刑法》第286條規(guī)定:故意制作、傳播計算機病毒等破壞性程序,影響計算機系統(tǒng)正常運行,最高可處五年以上有期徒刑。
但實際上,電腦病毒也并非都是惡意的,世界上第一款實驗室外傳播的電腦病毒Elk Cloner就源于一次惡作劇。1982年,美國一個15歲高中生里奇·斯克倫塔(Rich Skrenta)出于捉弄朋友的目的制作了基于蘋果II電腦系統(tǒng)的Elk Cloner病毒,并植入到游戲軟盤中,帶有病毒的軟盤在朋友間不斷傳播,引起了史上第一次大規(guī)模電腦病毒傳播事件。
但這款病毒并不會對系統(tǒng)和數(shù)據(jù)造成損害,感染計算機后,它只會在屏幕上顯示一首關于Elk Cloner的詩。
Richard Skrenta, Elk Cloner, 1982
|惡意軟件博物館
在Elk Cloner開啟的數(shù)十年的電腦病毒歷史中,也誕生了不少惡作劇性質的病毒,有些甚至還頗具藝術性。
芬蘭計算機安全專家米科·海普寧(Mikko Hypp?nen)建立了一個線上的惡意軟件博物館(Malware Museum),收藏了不少上世紀80、90年代各種有意思的電腦病毒。
有展示各種花里胡哨視覺效果的,像LSD病毒在干掉電腦系統(tǒng)后會播放一個跟磕了藥似的迷幻動畫;Crash病毒則以五顏六色的格子和亂碼不停洗刷畫面,讓人眼花繚亂。
Death Dealer, LSD, 1994
也有可以互動的病毒——Casino病毒要你跟它玩幾局老虎機游戲,賭輸了,你硬盤里的文件也就沒了。
Casino, 1990
也有像Skynet這樣非??蓯鄣碾娔X病毒。它來自臺灣,入侵電腦后會降低系統(tǒng)的運行速度,然后在紅色背景下緩緩地打出以下的黃色文字:別害怕,我是一種很友善的病毒。你今天做了很多工作,所以,我會讓你的電腦慢下來。祝你擁有美好的一天,再見。
Skynet, 1994
電腦病毒似乎也已然成為一種獨特的文化,甚至上升到了藝術的高度。黑客們制作病毒不單只是為犯罪牟利,還帶有一種戲謔、嘲弄,或者是展示能力的目的,客觀上創(chuàng)造出了一批富有創(chuàng)造力和生動趣味的電腦病毒作品。
|電腦病毒可視化
電腦病毒甚至吸引了不少視覺藝術家,成為他們的靈感來源,甚至創(chuàng)作媒介。美國藝術家亞歷克斯·德拉古列斯庫(Ale__ Dragulescu)就曾通過算法將計算機病毒可視化,創(chuàng)作了《惡意軟件》(Malwarez)系列。
原本抽象的電腦病毒——它們只是屏幕上的一堆代碼——被德拉古列斯庫用三維圖像直觀形象地展示出來。這些計算機程序被賦以生物病毒的外形,更直觀地展現(xiàn)了電腦病毒的邪惡和可怕。
Ale__ Dragulescu, Malwarez series, 2011
丹麥研究與設計實驗室SPACE10的創(chuàng)意總監(jiān)巴斯·范·德坡(Bas van de Poel)也對電腦病毒,以及賽博世界的陰暗面深感興趣。他與20多位藝術家合作完成了名為“電腦病毒圖錄”(Computer Virus Catalog)的項目,通過一種與德拉古列斯庫不同的方式對電腦病毒進行可視化。
范·德坡邀請他喜歡的藝術家,將最臭名昭著的數(shù)十種電腦病毒以插畫的形式呈現(xiàn)出來。插畫依據(jù)病毒的背景故事或其感染電腦后產生的視覺效果進行創(chuàng)作。這些風格迥異的插畫也充分體現(xiàn)了電腦病毒種類的多樣性。
Cay Hickson, Computer Virus Catalog (LSD), 2014
Michael Willis, Computer Virus Catalog (Melting Worm Virus), 2014
Mike Perry, Computer Virus Catalog (Selectronic), 2014
|電腦病毒展覽
熱愛電腦病毒的范·德坡甚至在荷蘭鹿特丹籌辦了一場以計算機病毒為主題的展覽。這場名為“惡意軟件:病毒感染癥狀展”(Malware: Symptoms of Viral Infection E__hibition)的展覽集中展示了從20世紀80年代至今的數(shù)十種著名電腦病毒。
Malware: Symptoms of Viral Infection E__hibition 展覽現(xiàn)場
實際上,這并不是第一場以電腦病毒為主題的展覽。
早在2002年,弗朗茲卡·諾莉(Franziska Nori)就在德國法蘭克福應用藝術博物館(Museum Angewandte Kunst)策劃了一次名為"I love you [rev.eng]" 的展覽。其旨在研究計算機安全和計算機病毒現(xiàn)象,是一次挑戰(zhàn)當代文化的實驗。
展覽分為四個研究領域——文化、政治、技術和歷史,關注安全專家和黑客、網絡藝術家和程序員、文學專家和代碼詩人(code poet)的不同立場。探討了什么是電腦病毒;是誰為了什么創(chuàng)造了它們;這些現(xiàn)象的背后隱藏著什么,等等一系列計算機病毒的相關問題。
I love you [rev.eng] 展覽現(xiàn)場
這場展覽集中地展現(xiàn)了計算機病毒作為藝術的可能性,而不單單把它看作是破壞社會秩序的洪水猛獸。
|電腦病毒作為觀念藝術媒介
在2001年的第49屆威尼斯雙年展(Venice Biennale)中,有這樣一件奇特的作品——它由一面印滿代碼的大幕布、兩臺背靠背的計算機,以及掛在墻上的10個CD-ROM組成。
0100101110101101.ORG, Biennale.py, 2001
這實際上是Biennale.py病毒的展示形式。Biennale.py病毒由歐洲的一個網絡藝術團體0100101110101101.ORG與另一個以編程技能聞名的組織epidemiC合作,專門為這次雙年展制作的電腦病毒。幕布上印的是病毒的代碼,CD-ROM儲存著10000份病毒拷貝,兩臺電腦則不停的互相感染又殺毒,無止境的循環(huán),通過屏幕展示著系統(tǒng)崩潰的狂亂。
Biennale.py也是第一個用Python語言編寫的病毒,它只影響用Python計算機語言編寫的程序,這也意味著它只能在Python環(huán)境中生存。而且這種病毒是它是完全透明的,程序員的名字和域名(domain)都寫在了代碼中,病毒的作者還把殺滅這種病毒的方法發(fā)送給了全世界的殺毒軟件公司。因此一旦其在系統(tǒng)中運行,就馬上會被發(fā)現(xiàn)并消滅。只有悄悄地在后臺運行,不對宿主造成傷害,它才能更好地隱藏自己,生存下來。
Biennale.py源代碼
中國藝術家郭偶東(Guo O Dong)則選擇“折磨”他的電腦。這臺被稱為史上最慘筆記本電腦的三星NC10被藝術家植入了包括ILOVEYOU、BlackEnergy、WannaCry等在內的六種21世紀以來最強大的病毒,宛如一個病毒實驗室。
這臺電腦被郭偶東放到網上進行拍賣,最終拍出了135萬美元的高價。且為防止病毒泄露,拍賣結束后,這臺史上最毒筆記本電腦的互聯(lián)網功能和可用端口都被禁用了。
Guo O Dong & MSCHF, The Persistence of Chaos, 2019
郭偶東在接受采訪時表示,這個筆記本電腦藝術品背后的意圖是將互聯(lián)網世界帶來的抽象威脅具體化。“我們有一種幻想,認為計算機上發(fā)生的事情實際上不會影響我們,但這是荒謬的,”他說,“影響電網或公共基礎設施的武器化病毒可能造成直接危害?!?/p>
而且,隨著網絡安全技術的進步,這臺電腦中封裝的兇悍病毒將不再危險,而終將成為歷史。這件名為《混亂的持續(xù)》(The Persistence of Chaos)的作品也像是一個保存了活生生的歷史材料的小博物館。
俗話說有光就會有影,電腦病毒作為賽博世界的黑暗面恐怕在未來很長一段時間內都會持續(xù)存在。盡管計算機安全技術不斷更新,防火墻變得越來越堅固牢靠,但道高一尺魔高一丈,總會有新的、更強力的病毒被創(chuàng)造出來,又刺激安全技術的進一步發(fā)展。兩者似乎呈現(xiàn)出一種互相對立又相互促進的動態(tài)平衡。
在這個過程中,計算機病毒家族不斷發(fā)展壯大,至今已有至少10萬種不同的電腦病毒被發(fā)現(xiàn),其早已成為人類文化的一部分。計算機藝術家們則從中找尋靈感,汲取養(yǎng)分,在有限的空間中尋找著藝術的可能性,更從自己的角度見證著數(shù)碼時代的發(fā)展。
計算機病毒基礎知識大全科普相關文章:
★ 常識科普知識大全