计算机病毒与防护作业题

1.描述计算机病毒的概念和特征

答：在《计算机信息系统安全保护条例》中明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其特征有：1、可执行性；2. 寄生性；3. 诱惑欺骗性；4. 非授权性；5. 针对性；6. 衍生性；7. 传染性；8. 潜伏性；9. 可触发性；10. 隐蔽性；11. 破坏性； 12. 持久性；13. 不可预见性

2.叙述计算机病毒的四大功能模块及其作用。

答：1、感染标志；2、引导模块；3感染模块；4、破坏表现模块

引导模块是感染、破坏表现模块的基础；

感染模块是病毒的核心；

破坏表现模块依赖感染模块扩大攻击的范围。

3.描述宏病毒、脚本病毒、木马和蠕虫的特征，及其防范策略。答：宏病毒是使用宏语言编写的恶意程序。或者说是利用宏语言编写的一个或多个具有病毒特点的宏的集合。

1、office文档大量使用，传播快；

2、宏语言编写方便，变种多；

3、宏语言可以调用系统函数，破坏性大；

4、Office文档可以再不同平台使用，多平台感染。

1、在Normal模板发现有AutoOpen或Document_Open、Document_Close 等自动宏，而自己又没有加载，这就有可能有病毒了。

2、禁止所有自动执行的宏。

3、提高office软件自身对宏的审核与限制。如：Word菜单\工具\宏\安全性\有两个选项：安全级应为“中及其以上”，

4、可靠发行商应不信任对VB项目的访问。

5、提高office软件自身对宏的审核与限制。

6、对于已染毒的模板文件（Normal.dot），应先将其中的自动宏清除，然后将其置成只读方式。

7、对于其他已染毒的文件均应将自动宏清除。

8、对于在另存菜单中只能以模板方式存盘.或者无法使用“另存为（Save As）”，或不能再被转存为其它格式的文件。

9、平时使用时要加强预防。对来历不明的宏最好删除。

10、安装反病毒软件。

脚本病毒是用脚本语言（如VBscript、Javascript、PHP等）编写而成的恶意代码。

脚本语言的特点：

1.语法结构简单。

2.学习使用容易。

3.以解释方式执行。

4.开发较快，广泛使用。

5.执行较慢。

一般防范：

1.卸载VB脚本依赖的WSH。

2.增强IE安全设置。

3.禁用outlook的自动收发邮件功能。

4.显示扩展名。

5.运行杀毒软件（检查恶意网页，防范注册表被非授权修改等）。

木马(Horse) ：是一种与远程计算机建立连接，使远程计算机能够通过网络控制被木马感染的计算机系统并且可能造成信息损失、系统损坏甚至瘫痪的程序。

木马系统组成

控制端程序：用于控制远程木马

木马程序：也称服务器端程序，驻留在受害者系统中，非法获取权限和信息，接收控制端指令，执行相应破坏行为。

木马配置程序：设置木马的端口、触发条件、隐藏行为等。

基本特征

远程控制的隐蔽性

木马和远程控制软件的最主要区别，例如不出现在任务管理器中等等。自动运行性

启动配置文件、启动组、注册表

特点：

欺骗性

名字方式：字母“l”与数字“1”、字母“o”与数字“0”例：explorer.exe 与exp1orer.exe的区别

相同文件名但不同路径，或者常用压缩文件的图标等。

功能的特殊性

搜索缓存中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能

木马防范

1.不要执行任何来历不明的软件或程序

2.不要相信你的邮箱不会收到垃圾和病毒

3.不要因为对方是你的好朋友就轻易执行他发过来的软件或程序。

4.注册表的保护

5.及时为系统漏洞打补丁

6.监控网络连接和网络流量

7.安装木马防护软件。

蠕虫是可以独立运行，并能把自身的一个完整拷贝传播到另一台电脑上的程序。

特点：

主动攻击，不需要计算机用户的参与。

行踪隐蔽，利用多种脆弱点传播和破坏。

阻塞网络，产生大量冗余数据流。

消耗系统资源，进行广泛扫描和攻击。

产生安全隐患。如创建后门，为其他病毒服务。

反复性，漏洞很难及时地全部补上。

防范、检测与清除

1.及时安装系统补丁。

2.关闭系统不需要的网络服务。

3.保护注册表，防止非授权地修改。

4.禁用移动存储器的AutoRun功能。

5.安装防火墙阻断不必要的网络服务。例如：TCP 135 139和445

端口等。

6.安装并运行杀毒软件、网络入侵检测系统等。