计算机病毒清除及系统恢复论文.docx

1、计算机病毒清除及系统恢复论文 【摘要】 随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，给计算机网络和系统带来了巨大的潜在威胁和破坏。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手，来初步探讨研究计算机病毒的方法和措施。本文主要论述了病毒的由来、病毒的生存方式、传播方式、破坏和目的以及计算机病毒的防御和治理等分析。通过深入分析，来对计算机病毒进行全面的了解，初步探讨对付计算机病毒的方

2、法和措施。【关键词】 计算机、防御、病毒目 录前 言4第一章 计算机病毒的介绍5 第一节 计算机病毒概述5 一、计算机病毒的内涵5 二、计算机病毒的类型5第二节 计算机病毒特征7 一、计算机病毒的特征7第二章 计算机病毒分析8 第一节 计算机病毒分析8 一、病毒主要表现和破坏行为8 二、病毒存储结构分析8 第二节 病毒入侵分析9 一、病毒入侵方式9 二、病毒的传播方式10第三章 病毒的防治12 第一节 网络病毒的防御12 一、网络病毒防御的常识12 第二节 病毒的治理13 一、计算机病毒的治理措施13第四章 计算机病毒的检测与清除15 第一节 计算机病毒的检测15 一、病毒的检测方法15 第二

3、节 计算机病毒的清除16 一、病毒的清除16第五章 计算机系统的修复17 第一节 病毒感染修复处理方法17 一、计算机病毒感染后的一般修复处理法17第二节 恢复被病毒破坏的硬盘数据18 一、基础知识18 二、一个基本恢复被CIH破坏硬盘数据的例子19 三、经验总结21 第三节 计算机系统修复应急计划22 一、人员准备22 二、应急计划的实施步骤22 三、善后工作23结 论 24结 束 语25参考文献26前 言随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来

4、了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手，来初步探讨对付计算机病毒的方法和措施。病毒防治，运用以上技术或使用具有相应功能的反病毒软件即可基本保障计算机系统不受病毒的侵扰。相对

5、于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。网络防病毒最大的优势在于网络的管理功能，如果没有把管理功能加上，很难完成网络防毒的任务。只有管理与防范相结合，才能保证系统的良好运行。第一章 计算机病毒的介绍第一节 计算机病毒的概述1一、计算机病毒的内涵由于计算机病毒隐藏在合法用户文件中，因此病毒程序的执行也是对系统功能的合法调用 。关于计算机病毒，人们有以下3个基本观点：计算机病毒是人为制造的具有破坏性的程序。计算机病毒的运行是非授权入侵。计算机病毒可以隐藏在可执行文件或数据文件中。计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计

6、算机使用，并能自我复制的一组计算机指令或者程序代码。二、计算机病毒类型1、宏病毒 (Macro Virus)宏病毒是目前最热门的话题, 它主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word, Excel, AmiPro都相继传出宏病毒危害的事件。2、引导型病毒 (Boot Strap Sector Virus)又称开机型病毒，是藏匿和感染软盘或硬盘的第一个扇区，即平常我们所说的引导扇区(Boot Sector)。引导型病毒籍由引导动作而侵入内存。引导型病毒又可以分为：传统引导型病毒隐型引导型病毒，隐型引导型病毒感染的是硬盘的引导扇区，它伪

7、造引导扇区的内容，使防毒软件以为系统是正常的。目录型引导病毒，目录型引导病毒只感染电脑的文件分配表(FAT)，一旦你的文件分配表被破坏后，你的电脑中的文件读写就会不正常，甚至丢失文件。3、文件型病毒 (File Infector Virus)文件型病毒通常寄生在可执行档(如 *.COM, *.EXE等)中。当这些文件被执行时， 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同， 又分成非常驻型以及常驻型两种：非常驻型病毒(Non-memory Resident Virus)非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试地去传染

8、给另一个或多个文件。常驻型病毒(Memory Resident Virus)常驻型病毒躲在内存中，其行为就好像是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因，常驻型病毒往往对磁碟造成更大的伤害。第二节 计算机病毒的特征2一、计算机病毒的特征1、传染性病毒可以通过生物体之间的直接或间接接触从一个生物体进入另一个生物体，并且使得遭到传染的生物体成为病毒的新传染源。2、流行性由于病毒的传染性，所以病毒具有流行性。3、繁殖性在特定生物环境下不断地进行自我繁殖。4、表现性受病毒感染的生物体都不同程度地表现出一定的症状。5、针对性病毒的传染一般都会针对特定的对象。计算机病毒与生物病毒

9、几乎具有完全相同的特性。所不同的是，计算机病毒不是微生物，而是一个可执行的计算机程序。生物病毒是利用生物体之间的直接或间接接触并通过一定的媒介（如空气、食物、水等）传染的，而计算机病毒是利用数据或信息的存贮媒介（如磁盘 ）通过网络或磁盘传染的。病毒在企业内部的传播如图1.1所示。图1.1病毒在企业内部的传播第二章 计算机病毒分析第一节 计算机病毒分析一、 病毒主要表现和破坏性为机器的运行速度明显变慢。机器硬件没有问题，机器却频繁死机。对文件或数据进行修改，如修改文件名称、改写文件内容、甚至删除文件。机器不能识别和进入硬盘，或硬盘不能引导系统使我们不能使用硬盘。机器或文件被自动加密，本来无密码的

10、机器，开机时却出现“请输入密码”。设备的内存空间被无故占用，不能运行原来可以运行的程序文件。 引导区或DOS的命令外壳文件受攻击。对打印机打印的破坏，如使打印机打印速度变慢、打印出现异常字符、在调入汉字驱动程序后不能打印汉字等。机器的显示屏幕被骚扰，莫名其妙地出现一些字符或者演奏音乐等二、病毒的存储结构分析对于计算机病毒的存储结构来说，不同类型的病毒，在磁盘上的存储结构是不同的。磁盘空间的总体划分经过格式化后的磁盘包括：主引导记录区（只有硬盘有）、引导记录区、文件分配表 （FAT）、目录区和数据区。主引导记录区和引导记录区中存有DOS系统启动时所用的信息。文件分配表（FAT）是反映当前磁盘扇区

11、使用状况的表。1、 软盘空间的总体划分 当使用DOS的外部命令FORMAT格式化一张软盘后，不仅把磁盘划分为若干磁道，每一磁道划分为若干扇区，而且同时把划分的扇区分为五大区域，它们分别是引导记 录区、文件分配表1、文件分配表2、根目录区以及数据区。 对于软盘只有一个引导区，引导区在磁盘的0面0道1扇区，它的作用是在系统启动时负责把系统两个隐含文件IO.SYS和MSDOS.SYS装入内存，并提供DOS进行磁盘 读写所必需的磁盘I/O参数表。文件分配表（FAT表）是反映磁盘上所有文件各自占用的扇区的一个登记表，此表非 常重要。2、硬盘空间的总体划分对于不同类型、不同介质的磁盘，DOS划分磁盘的格式

12、是不同的。对于硬盘来说，由于其存储空间比较大，为了允许多个操作系统分享硬盘空间，并希望能从磁盘启动 系统，DOS在格式化硬盘时，把硬盘划分为主引导记录区和多个系统分区。第二节 病毒入侵分析3一、 病毒入侵的方式 1、源代码嵌入攻击型 从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。 2、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个入侵程

13、序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。 3、系统修改型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。 4、外壳附加型 这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。二、病毒的传播方式 计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播

14、机理分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。传统的手工传播计算机病毒的方式与现在通过Internet传播相比速度要慢得多。1、不可移动的计算机硬件设备这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。 2、移动存储设备可移动式磁盘包括软盘、CD-ROM（光盘）、磁带、优盘等其中软盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生的“温床”。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径之一。随着大容量可移动存储设备如Zip盘、可擦写光盘、磁光盘（MO）等的普遍使用，这些存储介质也将

15、成为计算机病毒寄生的场所。硬盘是现在数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬盘传播计算机病毒的途径体现在：硬盘向软盘上复制带毒文件，带毒情况下格式化软盘，向光盘上刻录带毒文件，硬盘之间的数据复制，以及将带毒文件发送至其他地方等。在移动存储设备中，软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。3、计算机网络 现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同

16、时，我们的病毒也在国际化。第三章 病毒的防治第一节 网络病毒的防御一、网络病毒防御的常识用常识进行判断。决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。 安装防病毒产品并保证更新最新的病毒定义码。我们建议您至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。领先的防病毒软件供应商现在都已将病毒扫描作为自动程序，当用户在初装其产品时自动执行。 确保你的计算机对插入的软盘、光盘和其他的可插拔介质。及对电子邮件和互联网文件都会做自动的病毒检查。 不要

17、从任何不可靠的渠道下载任何软件。因为通常我们无法判断什么是不可靠的渠道，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。 警惕欺骗性的病毒。如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，证实确有其事。使用其他形式的文档，如RTF（Rich Text Format）和PDF（Portable document.nbspFormat）。常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，

18、这并不表明仅在文件名称中用RTF后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而PDF文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。 不要用共享的软盘安装软件，或者是复制共享的软盘。这是导致病毒从一台机器传播到另一台机器的方式。 禁用Windows Scripting Host。Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScrip

19、t或Jscript。使用基于客户端的防火墙或过滤措施。如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。第二节 病毒的治理一、计算机病毒的治理措施1、 建立有效的计算机病毒防护体系有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系，须有有效的硬件和软件技术的支持，如安全设计及规范操作。2、 严把收硬件安全关国家的机密信息系统所用设备和系列产品，应建立自己的生产企业，实现计算机的国产化、系列化；对引进的计算机系统要在进行安全性

20、检查后才能启用，以预防和限制计算机病毒伺机入侵。3、 防止电磁辐射和电磁泄露采取电磁屏蔽的方法，阻断电磁波辐射，这样，不仅可以达到防止计算机信息泄露的目的，而且可以防止“电磁辐射式”病毒的攻击。4、 加强计算机应急反应分队建设应成立自动化系统安全支援分队，以解决计算机防御性的有关问题。早在1994年，美国软件工程学院就成立了计算机应急反应分队。计算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行：一是计算机病毒的数学模型。二是计算机病毒的注入方式，重点研究“固化”病毒的激发。三是计算机病毒的攻

21、击方式，重点研究网络间无线传递数据的标准化，以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。第四章 计算机病毒的检测和清除第一节 计算机病毒的检测一、病毒的检测方法51、特征代码法 特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本。病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。2、校验和法 将正常文件的

22、内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。3、行为监测法 利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。4、软件模拟法 多态性病毒每次感

23、染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。第二节 计算机病毒的清除一、病毒的清除671、删除可疑的启动程序 查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。2、恢复win.ini和system.ini系统配置文件的原始配置 许多病毒会将win.ini和system.ini系统配置文件修改，使之能

24、在系统启动时加载和运行木马程序。3、停止可疑的系统进程 木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，在对木马进行清除时，当然首先要停掉木马程序的系统进程。4、修改注册表 查看注册表，将注册表中木马修改的部分还原。5、使用杀毒软件和木马查杀工具进行木马查杀 常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。第五章 计算机系统的修复第一节 病毒感染修复处理方法78一、计算机病毒感染后的一般修复处理方法首先必须对系统破坏程度有一个全面的了解，并根据破

25、坏的程度来决定采用有效的计算机病毒清除方法和对策。如果受破坏的大多是系统文件和应用程序文件，并且感染程度较深，那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件，或比较严重的时候，比如硬件被CIH计算机病毒破坏，就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。修复前，尽可能再次备份重要的数据文件。目前防杀计算机病毒软件在杀毒前大多都能够保存重要的数据和感染的文件，以便能够在误杀或造成新的破坏时可以恢复现场。但是对那些重要的用户数据文件等还是应该在杀毒前手工单独进行备份，备份不能做在被感染破坏的系统内，也不应该与平时的常规备份混在一起。启动防杀计算机病毒软件，

26、并对整个硬盘进行扫描。某些计算机病毒在Windows 95/98状态下无法完全清除（如CIH计算机病毒），此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统，然后在DOS下运行相关杀毒软件进行清除。发现计算机病毒后，我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。对于杀毒软件无法杀除的计算机病毒，还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心，以供详细分析。第二节

27、 恢复被病毒破坏的硬盘数据一、基础知识1、DOS兼容系统硬盘数据的构成主分区和扩展分区结构基本相似，以下以主分区为例。 主引导记录（MBR）：MBR占一个扇区，在0柱面0面1扇区，由代码区和分区表构成。其中代码区可以由FDISK /MBR重建。系统扇区：0柱面0面2扇区到0柱面0面63扇区，共62个扇区。引导扇区（BOOT）：0柱面1面1扇区。这是我们过去称的DOS引导区。也占一个扇区。隐藏扇区：0柱面1面1扇区开始，如果是FAT16那么占一个扇区，如果是FAT32则由此占32个扇区。文件分配表（FAT）：每个有效的FAT结构区包含两个完全相同的拷贝：FAT1、FAT2， FAT16的第一FA

28、T表一般均在0柱面1面2扇区，FAT32的第一FAT表在0柱面0面33扇区。FAT表是记录文件占用扇区连接的地方，如果两个FAT表都坏了，后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2 的地址是需要计算的。FAT16的每个表项由2字节（16位）组成，通常每个表项指向的簇包含64个扇区，即32Kb字节。逻辑盘容量最大为2047MB。FAT32的每个表项由4字节（32位）组成，通常每个表项指向的簇包含8个扇区，即4Kb字节。逻辑盘容量最小为2048MB。根目录扇区（ROOT）：这里记录了根目录里的目录文件项等，ROOT区跟在FAT2后面。 数据区：跟在根目录扇区后面，这才是真正保存文件内容的地方。2、主引导记录简单说明 主引导记录是硬盘引导的起点，其分区表中比较重要的有3个标志，在偏移0x01BE处的字节，0x80 表示系统可引导，且整个分区表只能有一个分区的标志为0x80；对于C分区，在偏移0x01C2处的字节，FAT16为0x06，FAT32为0x0C；结尾