计算机一级MSOffice第一章考点解析12

　　1.4计算机病毒及其防治
　　1.4.1 计算机病毒的特征和分类
　　要真正地识别病毒，及实地查杀病毒，就有必要对病毒有较详细的了解，知道计算机病毒到底是什么，又是怎样分类的。
　　1．计算机病毒

　　 
　　计算机病毒一般具有寄生性、破坏性、传染性、潜伏性和隐蔽性的特征。 
　　1)寄生性 
　　它是一种特殊的寄生程序，不是一个通常意义下的完整的计算机程序，而是寄生在其他可执 行的程序中，因此，它能享有被寄生的程序所能得到的一切权利。 
　　2)破坏性 
　　破坏是广义的，不仅仅是指破坏系统、删除或修改数据甚至格式化整个磁盘，它们或是破坏 系统，或是破坏数据并使之无法恢复，从而给用户带来极大的损失。 
　　3)传染性 
　　传染性是病毒的基本特性。计算机病毒往往能够主动地将自身的复制品或变种传染到其他 未染毒的程序上。计算机病毒只有在运行时才具有传染性。此时，病毒寻找符合传染条件的程序或文件，然后将病毒代码嵌人其中，达到不断传染的目的。判断一个程序是不是计算机病毒的最重要因素就是其是否具有传染性。 
　　4)潜伏性 
　　病毒程序通常短小精悍，寄生在别的程序上使得其难以被发现。在外界激发条件出现之前， 病毒可以在计算机内的程序中潜伏、传播。 
　　5)隐蔽性 
　　计算机病毒是一段寄生在其他程序中的可执行程序，具有很强的隐蔽性。当运行受感染的 程序时，病毒程序能首先获得计算机系统的监控权，进而能监视计算机的运行，并传染其他程序。但不到发作时机，整个计算机系统看上去一切如常，很难被察觉，其隐蔽性使广大计算机用户对病毒失去应有的警惕性。计算机病毒是计算机科学发展过程中出现的“污染”，是一种新的高科技类型犯罪。它可以造成重大的政治、经济危害。因此，舆论谴责计算机病毒是“射向文明的黑色子弹”。

　　2．计算机病毒的分类 、 
　　计算机病毒的分类方法很多，按计算机病毒的感染方式，分为如下五类： 
　　1)引导区型病毒 
　　通过读U盘、光盘及各种移动存储介质感染引导区型病毒，感染硬盘的主引导记录，当硬盘主引导记录感染病毒后，病毒就企图感染每个插入计算机进行读写的移动盘的引导区。这类病毒常常将其病毒程序替代主引导区中的系统程序。引导区病毒总是先于系统文件装入内存储器，获得控制权并进行传染和破坏。 
　　2)文件型病毒 
　　文件型病毒主要感染扩展名为．COM、．EXE、．DRV、．BIN、．0VL、．SYS等可执行文件。通常寄生在文件的首部或尾部，并修改程序的第一条指令。当染毒程序执行时就先跳转去执行病毒程序，进行传染和破坏。这类病毒只有当带毒程序执行时才能进入内存，一旦符合激发条件，它就发作。 
　　3)混合型病毒 
　　这类病毒既传染磁盘的引导区，也传染可执行文件，兼有上述两类病毒的特点。混合型病毒 综合系统型和文件型病毒的特性，它的“性情”也就比系统型和文件型病毒更为“凶残”。这种病毒通过这两种方式来传染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机或执行程序而感染其他的磁盘或文件，此种病毒也是最难杀灭的。 
　　4)宏病毒 
　　开发宏可以让工作变得简单、高效。然而，黑客利用了宏具有的良好扩展性编制病毒——宏病毒就是寄存在Microsoft Office文档或模板的宏中的病毒。它只感染Microsoft Word文档文件(DOC)和模板文件(DOT)，与操作系统没有特别的关联。它们大多以Visual Basic或Word提供的宏程序语言编写，比较容易制造。它能通过E-mail下载 W。rd文档附件等途径蔓延。当对感染宏病毒的w0。d文档操作时(如打开文档、保存文档、关闭文档等操作)它就进行破坏和传播。宏病毒还可衍生出各种变形病毒，这种“父生子子生孙”的传播方式实在让许多系统防不胜防，这也使宏病毒成为威胁计算机系统的“第一杀手”。word宏病毒破坏造成的结果是：不能正常打印：封闭或改变文件名称或存储路径，删除或随意复制文件；封闭有关菜单，最终导致无法正常编辑文件。
　　5)Internet病毒(网络病毒)
　　Internet病毒大多是通过E-Mail传播的。黑客是危害计算机系统的源头之一，“黑客”利用通信软件，通过网络非法进入他人的计算机系统，截取或篡改数据，危害信息安全。 如果网络用户收到来历不明的E—mail，不小心执行了附带的“黑客程序”，该用户的计算机系统就会被偷偷修改注册表信息， “黑客程序”也会悄悄地隐藏在系统中。当用户运Windows时，“黑客程序”会驻留在内存，一旦该计算机联入网络，外界的“黑客”就可以监控该计算机系统，从而“黑客”可以对该计算机系统“为所欲为”。已经发现的“黑客程序”有BO(Back Oririce)、Netbus、Netspy、 Backdoor等。　　3．计算机感染病毒的常见症状 ，计算机病毒虽然很难检测，但是，只要细心留意计算机的运行状况，还是可以发现计算机感染病毒的一些异常情况的。例如：

　　 
　　另外，该后门程序一旦开启后门功能，就会收集操作系统中用户的个人私密数据信息，并且 
　　远程接受并执行恶意攻击者的代码指令。如果恶意攻击者远程控制了操作系统，那么用户的计算机名与IP地址就会被窃取。随后，操作系统会主动访问恶意攻击者指定的Web网址，同时下载其他病毒或是恶意木马程序，更改计算机用户操作系统中的注册表、截获键盘与鼠标的操作、对屏幕进行截图等，给计算机用户的隐私和其操作系统的安全带来较大的危害。 
　　还有“代理木马”新变种Trojan—Agent．DDFC。专家说，该变种是远程控制的恶意程序，自身为可执行文件，在文件资源中捆绑动态链接库资源，运行后鼠标没有任何反应，以此来迷惑计算机用户，且不会进行自我删除。
　　变种运行后，将自身复制到系统目录中重命名为一个可执行文件，随即替换受感染操作系统的系统文件；用同样的手法替换掉系统中即时聊天工具的可执行程序文件，并设置成开机自动运行。在计算机用户毫不知情的情况下，恶意程序就可以自动运行加载。
　　该变种还会在受感染操作系统的后台自动记录键盘按键信息，然后保存在系统目录下的指
　　定文件中。迫使操作系统与远程服务器进行连接，发送被感染机器的用户名、操作系统、CPU型
　　号等信息。除此之外，变种还会迫使受感染的操作系统主动连接访问互联网中指定的Web服务
　　器，下载其他木马、病毒等恶意程序。 
　　随着制造病毒和反病毒双方较量的不断深入，病毒制造者的技术越来越高，病毒的欺骗性、 
　　隐蔽性也越来越好。用户要在实践中细心观察，发现计算机的异常现象。 
　　4．计算机病毒的清除 
　　如果计算机染上了病毒，文件被破坏了，最好立即关闭系统。如果继续使用，会使更多的文件遭受破坏。针对已经感染病毒的计算机，专家建议立即升级系统中的防病毒软件，进行全面杀毒。一般的杀毒软件都具有清除／删除病毒的功能。清除病毒是指把病毒从原有的文件中清除掉，恢复原有文件的内容，删除是指把整个文件删除掉。经过杀毒后，被破坏的文件有可能恢复成正常的文件。对未感染病毒的计算机建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。
　　用反病毒软件消除病毒是当前比较流行的做法。它既方便，又安全，一般不会破坏系统中的正常数据。特别是优秀的反病毒软件都有较好的界面和提示，使用相当方便。通常，反病毒软件只能检测出已知的病毒并消除它们，不能检测出新的病毒或病毒的变种。所以，各种反病毒软件的开发都不是一劳永逸的，而要随着新病毒的出现而不断升级。目前较著名的反病毒软件都具 有实时检测系统驻留在内存中，随时检测是否有病毒入侵。
　　目前较流行的杀毒软件有瑞星、诺顿、卡巴斯基、金山毒霸及江民杀毒软件等。