学习情境四：系统防护与数据加密项目9计算机病毒与木马防护9.1项目背景9.2项目知识准备9.3项目实施9.4项目习作网络安全技术与实施项目背景新一代的计算机病毒充分利用某些常用操作系统与应用软件的低防护性的弱点不断肆虐,最近几年随着因特网在全球的普及,通过网络传播病毒,使得病毒的扩散速度也急骤提高,受感染的范围越来越广。因此,计算机网络的安全保护将会变得越来越重要。那么如何查杀和防治计算机病毒呢？职业能力目标和要求计算机病毒的检测与防范9.2项目知识准备9.2.1计算机病毒的起源关于计算机病毒的起源，目前有很多种说法，一般人们认为，计算机病毒来源于早期的特洛伊木马程序。这种程序借用古希腊传说中特洛伊战役中木马计的故事：特洛伊王子在访问希腊时，诱走希腊王后，因此希腊人远征特洛伊，9年围攻不下。第十年，希腊将领献计，将一批精兵藏在一巨大的木马腹中，放在城外，然后佯作撤兵，特洛伊人以为敌人已退，将木马作为战利品推进城去，当夜希腊伏兵出来，打开城门里应外合攻占了特洛伊城。一些程序开发者利用这一思想开发出一种外表上很有魅力而且显得很可靠的程序，但是这些程序在被用户使用一段时间或者执行一定次数后，便会产生故障，出现各种问9.2.2计算机病毒的定义一般来讲，凡是能够引起计算机故障，能够破坏计算机中的资源（包括硬件和软件）的代码，统称为计算机病毒。

　　美国国家计算机安全局出版的《计算机安全术语汇编》对计算机病毒的定义是：“计算机病毒是一种自我繁殖的特洛伊木马，它由任务部分、接触部分和自我繁殖部分组成”。而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义，《中华人民共和国计算机信息系统安全保护条例》明确定义：“计算机病毒（ComputerVirus）是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。根据病毒存在的媒体，病毒可以划分为网络病毒、文件病毒、引导型病毒和混合型病毒。混合型病毒：是上述三种情况的混合。例如：多型病毒(文件和引导型)感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。9.2.3计算机病毒的分类9.2.3计算机病毒的分类2．按病毒传染的方法分类根据病毒的传染方法，可将计算机病毒分为引导扇区传染病毒、执行文件传染病毒和网络传染病毒。引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。

　　网络传染病毒：这类病毒是当前病毒的主流，特点是通过因特网络进行传播。例如，蠕虫病毒就是通过主机的漏洞在网上传播的。根据病毒破坏的能力，计算机病毒可划分为无害型病毒、无危险病毒、危险型病毒和非常危险型病毒。非常危险型：删除程序、破坏数据、清除系统内存和操作系统中重要的信息。9.2.3计算机病毒的分类4．按病毒算法分类根据病毒特有的算法，病毒可以分为伴随型病毒、蠕虫型病毒、寄生型病毒、练习型病毒、诡秘型病毒和幽灵病毒.9.2.3计算机病毒的分类根据病毒的攻击目标，计算机病毒可以分为DOS病毒、Windows病毒和其他系统病毒。Windows病毒：主要指针对Windows9x操作系统的病毒。其他系统病毒：主要攻击Linux、Unix和OS2及嵌入式系统的病毒。由于系统本身的复杂性，这类病毒数量不是很多。9.2.3计算机病毒的分类由于计算机病毒本身必须有一个攻击对象才能实现对计算机系统的攻击，并且计算机病毒所攻击的对象是计算机系统可执行的部分。因此，根据链接方式计算机病毒可分为：源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。9.2.3计算机病毒的分类计算机病毒一般由引导模块、感染模块、破坏模块、触发模块四大部分组成。

　　根据是否被加载到内存，计算机病毒又分为静态和动态。处于静态的病毒存于存储器介质中，一般不执行感染和破坏，其传播只能借助第三方活动(如：复制、下载、邮件传输等)实现。当病毒经过引导进入内存后，便处于活动状态，满足一定的触发条件后就开始进行传染和破坏，从而构成对计算机系统和资源的威胁和毁坏。9.2.4计算机病毒的结构5．计算机病毒会导致用户的数据不安全。9.2.5计算机病毒的危害4．Word文档杀手病毒9.2.6常见的计算机病毒木马是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。9.2.7木马（2）目前流行的技术9.2.8计算机病毒的检测与防范任务9-1360杀毒软件的使用360杀毒是完全免费的杀毒软件，它创新性地整合了四大领先防杀引擎，包括国际知名的BitDefender病毒查杀引擎、360云查杀引擎、360主动防御引擎、360QVM人工智能引擎。

　　四个引擎智能调度，为您提供全时全面的病毒防护，不但查杀能力出色，而且能第一时间防御新出现的病毒木马。此外，360杀毒轻巧快速不卡机，误杀率远远低于其它杀软，荣获多项国际权威认证，已有超过2亿用户选择360杀毒保护电脑安全。9.3项目实施360杀毒软件工作界面9.3项目实施360杀毒软件全盘扫面界面9.3项目实施任务9-2360安全卫士软件的使用360安全卫士是当前功能更强、效果更好、更受用户欢迎的上网必备安全软件。由于使用方便，用户口碑好，目前，首选安装360的用户已超过4亿。360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能，并独创了“木马防火墙”功能，依靠抢先侦测和云端鉴别，可全面、智能地拦截各类木马，保护用户的帐号、隐私等重要信息。9.3项目实施安全卫士进行全盘扫描推荐选择全盘扫描9.3项目实施待扫描完成以后，选中需要清理的内容，按立即清理，是否需要清理看这里清理恶评及系统插件9.3项目实施管理应用软件9.3项目实施修复系统漏洞9.3项目实施开机加速修复操作9.3项目实施任务9-3宏病毒和网页病毒的防范宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

　　宏病毒的前缀是：Macro，第二前缀是：Word、Excel（也许还有别的）其中之一。凡是只感染WORD文档的病毒格式是：Macro.Word；凡是感染EXCELL文档的病毒格式是：该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如 ：著名的美丽莎(Macro.Melissa)。 9.3 项目实施 4．单击“创建”按钮，如图所示。9.3 项目实施 Shell（“c:\windows\system32\sndvol32.exe”）9.3 项目实施 7．再次启动刚保存的文档，可以看到音量控制程序被自动启动。9.3 项目实施 所谓网页病毒，就是网页中含有病毒脚本文件或JAVA小程序，当你打开网页时，这些恶意程序就会自动下载到你的硬盘中，修改注册表、 嵌入系统进程；当系统重启后，病毒体又会自我更名、复制、再伪装 ，进行各种破坏活动。 在IE中，打开“工具”“Internet选项”“隐私”对话框，这里设定了“阻止所有cookie”、“高”、“中高”、“中”、“低”、 “接受所有cookie”六个级别(默认为“中”)，你只要拖动滑块就可 以方便地进行设定，而点击下方的“编辑”按钮，在“网站地址”中 输入特定的网址，就可以将其设定为允许或拒绝它们使用cookie。

　　9.3 项目实施 在网页中经常使用Java、JavaApplet、ActiveX编写的脚本，它们可 能会获取用户标识、IP地址，乃至口令，甚至会在机器上安装某些程 序或进行其他操作，因此应对Java、Java小程序脚本、ActiveX控件和 插件的使用进行限制。打开“Internet选项”“安全”“自定义 级别”，就可以设置“ActiveX控件和插件”、“Java”、“脚本”、 “下载”、“用户验证”以及其它安全选项。对于一些不太安全的控 件或插件以及下载操作，应该予以禁止、限制，至少要进行提示。 9.3 项目实施 缺省条件下，用户在第一次使用Web地址、表单、表单的用户名和密码后，同意保存密码，在下一次再进入同样的Web页及输入密码时，只需 输入开头部分，后面的就会自动完成，给用户带来了方便，但同时也留 下了安全隐患，不过可以通过调整“自动完成”功能的设置来解决。设 置方法如下:依次点击“Internet选项”“内容”“自动完成”， 打开“自动完成设置”对话框，选中要使用的“自动完成”复选项。 在“Internet选项”对话框中的“常规”标签下单击历史记录区域的“清除历史记录”按钮即可。

　　若只想清除部分记录，单击IE工具栏上的“ 历史”按钮，在左栏的地址历史记录中，找到希望清除的地址或其下网 页，单击鼠标右键，从弹出的快捷菜单中选取“删除”。 9.3 项目实施 为了加快浏览速度，IE会自动把你浏览过的网页保存在缓存文件夹下。当你确认不再需要浏览过的网页时，在此选中所有网页，删除即可 。或者在“Internet选项”的“常规”标签下单击“Internet临时文 件”项目中的“删除文件”按钮，在打开的“删除文件”对话框中选 中“删除所有脱机内容”，单击“确定”，这种方法会遗留少许