第4章 计算机病毒与木马

例如“触发性”，很多应用程序都
具有一定的触发性，如杀毒软件可以在 满足一定条件下自动进行系统的病毒扫 描，但是并不能说它就是病毒，而且恰 恰相反，它是病毒的防护软件。
因此，必须对病毒的特性有一个全
面的了解，下面对病毒的主要特性进行 简单的介绍。
1．非法性 2．隐藏性 3．潜伏性 4．可触发性 5．破坏性 6．传染性
4.4.4 木马的发展
4.5 木马的攻击防护技术
4.5.1 常见木马的应用
前面介绍了木马的发展经历了四代，第一 代木马功能简单，主要针对UNIX，而Windows 系统木马数量不多。
从第二代木马开始，木马的功能已经十分 强大，并且可以进行各种入侵操作了。
这里对几种危害巨大的木马进行基
本的介绍，通过后面的实训更好地了解 木马的运行和防范。
图4.24 检查计算机中的用户账户
④ 给计算机的账户设置比较复杂的密码，防 止被蠕虫病毒破译。
⑤ 购买主流的网络安全产品，并随时更新。
⑥ 提高防杀病毒的意识，不要轻易单击 陌生的站点。
⑦ 不要随意查看陌生邮件，尤其是带有 附件的邮件。
4.4 木马攻击与分析
4.4.1 木马背景介绍 4.4.2 木马的概述
恶性木马则可以隶属于“病毒”家 族了，这种木马被设计出来的目的就是 进行破坏与攻击。
目前很多木马程序在互联网上传播， 它们中的很多与其他病毒相结合，因此 也可以将木马看作是一种伪装潜伏的网 络病毒。
如果机器有时死机，有时又重新启
动；在没有执行什么操作的情况下，拼 命读写硬盘；系统莫明其妙地对软驱进 行搜索；没有运行大的程序，而系统的 速度越来越慢，系统资源占用很多。
③ 经常使用防毒软件对系统进行病毒检 查。
④ 对关键文件，如系统文件、重要数据 等，在无毒环境下经常备份。
⑤ 在不影响系统正常工作的情况下，对 系统文件设置最低的访问权限。
4.3.2 引导型病毒
对引导型病毒的防范，一般采取如 下措施。 ① 尽量避免使用软盘等移动设备保存和 传递资料，如果需要使用，则应该先对 软盘中的文件进行病毒的查杀。
计算机 病毒
引导模块
传染模块
表现、破坏 模块
图4.1 计算机病毒的程序结构图
2．计算机病毒的存储结构
（1）病毒的磁盘存储结构 （2）病毒的内存驻留结构
4.2 计算机病毒的危害
4.2.1 计算机病毒的表现
当计算机病毒发作时一般会出现一 些发作现象，只有根据计算机病毒的发 作现象，才可能及时发现并清除病毒。
1．早期的DOS病毒
图4.2 毛毛虫病毒
2．引导型病毒
图4.3 小球病毒
3．文件型病毒
文件型病毒是指能够寄生在文件中的 以文件为主要感染对象的病毒。
这类病毒主要感染可执行文件或者数 据文件。
文件型病毒是数量最为庞大的一种病 毒，它主要分为伴随型病毒、“蠕虫”型 病毒和寄生型病毒几种。
4．蠕虫病毒
（4）按照计算机病毒的传染性分类 ① 磁盘引导区传染的计算机病毒 ② 操作系统传染的计算机病毒 ③ 可执行程序传染的计算机病毒
（5）按照计算机病毒激活的时间分类 ➢ 定时型病毒 ➢ 随机型病毒
（6）按照传播媒介分类 ➢ 单机病毒 ➢ 网络病毒
4.1.4 计算机病毒的结构
1．计算机病毒的程序结构
⑤ 异常的提示信息和现象。主要现象包
括出现不寻常的错误提示信息，例如出 现“write protect error on driver A”，表 示病毒试图存取软盘进行感染，再如访 问C盘时，提示“Not ready error drive A abort, Retry, Fail?” 。
开机之后几秒钟突然黑屏；无法找到外
蠕虫（Worm）病毒是一种通过网 络传播的恶意病毒。
它的出现比文件病毒、宏病毒等传 统病毒晚，但是无论是传播速度、传播 范围还是破坏程度都要比以往传统的病 毒严重得多。
5．木马病毒
木马又称作特Baidu Nhomakorabea伊木马，将在后面 进行详细的介绍。
在这里首先简单地介绍一种木马， 它就是证券大盗木马病毒。
该木马可以盗取多家证券交易系统 的交易账户和密码。
② 要定期检查自己的系统内是否具有可 写权限的共享文件夹，如图4.23所示，一 旦发现这种文件夹，需要及时关闭该共 享权限。
图4.23 检查共享文件夹
③ 要定期检查计算机中的账户，看看是
否存在不明账户信息。一旦发现，应该 立即删除该账户，并且禁用Guest账号， 如图4.24所示，防止被病毒利用。
如果它发现用户的计算机上安装有摄 像头，还会自动将其开启并将拍摄的屏幕 画面发送给黑客。
不但影响用户电脑系统的正常运作， 而且会导致用户的网络私人信息和数据的 泄露。
有些恶意代码会像生物病毒寄生在
其他生物细胞中一样，它们隐藏和寄生 在其他计算机用户的正常文件中伺机发 作，并大量复制病毒体，感染计算机中 的其他正常文件。
很多计算机病毒也会像生物病毒给
寄主带来极大伤害一样，给寄生的计算 机造成巨大的破坏，给人类社会造成不 利的影响，造成巨大的经济损失。
同时，计算机病毒与生物病毒也有
“灰鸽子”是国内一个著名的后门
程序，灰鸽子变种木马运行后，会自我 复制到Windows目录下，并自行将安装 程序删除；修改注册表，将病毒文件注 册为服务项，实现开机自启。
木马程序还会注入所有的进程中，
隐藏自我，防止被杀毒软件查杀；自动 开启IE浏览器，以便与外界进行通信， 侦听黑客指令，在用户不知情的情况下 连接黑客指定站点，盗取用户信息、下 载其他特定程序。
绝大多数的病毒只有在显微镜下才
能看到，而且不能独立生存，必须寄生 在其他生物的活细胞里才能生存。
由于病毒利用寄主细胞的营养生长 和繁殖后代，因此给寄主生物造成极大 的危害。
计算机病毒之所以被称为病毒，是 因为它们与生物医学上的病毒有着很多 的相同点。
例如，它们都具有寄生性、传染性 和破坏性。
我们通常所说的计算机病毒应该是 为达到特殊目的制作和传播的计算机代 码或程序，简单说就是恶意代码。
很多不同之处，例如，计算机病毒并不 是天然存在的，它们是由一些别有用心 的人利用计算机软硬件所固有的缺陷有 目的地编制而成的。
从广义上讲，凡是人为编制的、干
扰计算机正常运行并造成计算机软硬件 故障，甚至破坏计算机数据的、可自我 复制的计算机程序或指令集合都是计算 机病毒。
在《中华人民共和国计算机信息系
特洛伊木马病毒是指隐藏在正常程 序中的一段具有特殊功能的恶意代码， 它具备破坏和删除文件、发送密码、记 录键盘和用户操作、破坏用户系统，甚 至使系统瘫痪的功能。
木马可以被分成良性木马和恶性木 马两种。
良性的木马本身没有什么危害，关 键在于控制该木马的是什么样的人。
如果是恶意的入侵者，那么木马就 是用来实现入侵目的的；如果是网络管 理员，那么木马就是用来进行网络管理 的工具。
③ 计算机内存的变化。主要现象包括系
统内存的容量突然间大量地减少；内存 中出现了不明的常驻程序。
④ 计算机文件系统的变化。主要现象包
括可执行程序的大小被改变了；重要的 文件奇怪地消失；文件被加入了一些奇 怪的内容；文件的名称、日期、扩展名 等属性被更改；系统出现一些特殊的文 件；驱动程序被修改导致很多外部设备 无法正常工作。
➢ 了解常见的木马应用和防护方法
4.1 计算机病毒概述
4.1.1 计算机病毒的起源 4.1.2 计算机病毒的定义
计算机病毒一词是从生物医学病毒 概念中引申而来的。
在生物界，病毒（Virus）是一种没有 细胞结构、只有由蛋白质的外壳和被包裹着 的一小段遗传物质两部分组成的、比细菌还 要小的病原体生物，如大肠杆菌、口蹄疫、 狂犬病毒、天花病毒、肺结核病毒、禽流感 病毒等。
4.1.3 计算机病毒的分类
（1）按照计算机病毒攻击的系统分类 ① 攻击DOS系统的病毒 ② 攻击Windows系统的病毒 ③ 攻击UNIX系统的病毒
（2）按照计算机病毒的链接方式分类 ① 源码型病毒 ② 嵌入型病毒 ③ 外壳型病毒 ④ 操作系统型病毒
（3）按照计算机病毒的破坏情况分类 ① 良性计算机病 ② 恶性计算机病毒
③ 将Normal.dot模板进行备份，当被病 毒感染后，使用备份模板进行覆盖。
4.3.4 蠕虫病毒
针对蠕虫病毒传播方式的特点，对其进 行防范需要以下的一些措施。 ① 用户在网络中共享的文件夹一定要将权 限设置为只读，如图4.22所示，而且最好对 重要的文件夹设置访问账号和密码。
图4.22 设置文件夹的权限
“灰鸽子2007”（Win32.Hack.Huigezi）， 该病毒是2007年的新的灰鸽子变种，它会利用 一些特殊技术，将自身伪装成计算机上的正常 文件，并能躲避网络防火墙软件的监控，使其 难以被用户发现。
此外，黑客可以利用控制端对受感染计
算机进行远程控制，并进行多种危险操作， 包括查看并获取电脑系统信息，从网上下载 任意的指定恶意文件，记录用户键盘和鼠标 操作，盗取用户隐私信息，如QQ、网游和网 上银行的账号等有效信息，执行系统命令， 关闭指定进程等。
除了硬件故障，计算机的软件故障 也会导致计算机无法正常使用。
由于软件类型复杂多样，因此软件 故障的判别比较困难，这需要多了解软 件的知识和掌握软件的使用技巧。
这里给出几种常见的导致软件故障 的原因。
（1）丢失文件 （2）文件版本不匹配 （3）资源耗尽 （4）非法操作
4.2.3 常见的计算机病毒
这些常见的发作现象包括以下几个 方面。
① 计算机运行速度的变化。主要现象包
括计算机的反应速度比平时迟钝很多； 应用程序的载入比平时要多花费很长的 时间；开机时间过长。
② 计算机磁盘的变化。主要现象包括对
一个简单的磁盘存储操作比预期时间长 很多；当没有存取数据时，硬盘指示灯 无缘无故地亮了；磁盘的可用空间大量 地减少；磁盘的扇区坏道增加；磁盘或 者磁盘驱动器不能访问。
部设备，如无法检索到计算机硬盘；计算机 发出奇怪的声音；计算机经常死机或者重新 启动；启动应用程序时出现错误提示信息对 话框；菜单或对话框的显示失真。
4.2.2 计算机故障与病毒特征区别
计算机可能存在一些硬件故障导致 无法正常使用，这些硬件故障范围不是 很广泛，容易被确认。
（1）计算机硬件的配置 （2）硬件的正常使用 （3）CMOS的设置
第4章 计算机病毒与木马
4.1
计算机病毒概述
4.2
计算机病毒的危害
4.3
计算机病毒的检测与防范
4.4
木马攻击与分析
4.5
木马的攻击防护技术
本章学习要点
➢ 掌握计算机病毒的定义、分类和结构
➢ 掌握计算机病毒的表现以及与计算机故 障的区别
➢ 了解常见的计算机病毒的特点和检测技 术
➢ 掌握木马的定义、分类
统安全保护条例》中明确定义，病毒是 指“编制或者在计算机程序中插入的破 坏计算机功能或者破坏数据，影响计算 机使用并且能够自我复制的一组计算机 指令或者程序代码”。
计算机病毒具有非法性、隐蔽性、 潜伏性、触发性、表现性、破坏性、传 染性、针对性、变异性和不可预见性。
单独根据某一个特性是不能判断某 个程序是否是病毒的。
② 软盘用完后应该从软驱中取出。
③ 避免在软驱中存有软盘的情况下开机 或者启动操作系统。
4.3.3 宏病毒
对宏病毒进行防范可以采取如下几 项措施。 ① 提高宏的安全级别。目前，高版本的 Word软件可以设置宏的安全级别，在不 影响正常使用的情况下，应该选择较高 的安全级别。
② 删除不知来路的宏定义。
用任务管理器调出任务表，发现有
多个名字相同的程序在运行，而且可能 会随时间的增加而增多，这时就应该查 一查系统，是不是有木马在计算机里安 家落户了。
1．特洛伊木马与病毒的区别 2．特洛伊木马的种植 3．特洛伊木马的行为
4.4.3 木马的分类
1．远程控制木马 2．密码发送木马 3．键盘记录木马
4．破坏性质的木马 5．DoS攻击木马 6．代理木马 7．FTP木马
这种木马病毒是如何实现自己的不
良目的的呢？首先，病毒运行后将创建 自己的副本于Windows的系统目录下， 文件名为System32.exe，如图4.18所示。
图4.18 病毒文件副本的建立
4.3 计算机病毒的检测与防范
4.3.1 文件型病毒
对文件型病毒的防范，一般采用以 下一些方法。 ① 安装最新版本、有实时监控文件系统 功能的防病毒软件。 ② 及时更新病毒引擎，一般每月至少更 新一次，最好每周更新一次，并在有病 毒突发事件时立即更新。