第七章　计算机病毒及防治

现代信息工程职业技术学院《计算机安全技术》主讲 :金小江

第7

章　计算机病毒概述

第七章　计算机病毒及防治7.1　计算机病毒概述

7.2　DOS环境下的病毒

7.3　宏病毒

7.4　网络计算机病毒

7.5　反病毒技术

7.6　软件防病毒技术

7.7　典型病毒实例——CIH病毒介绍


第7


本章学习目标

（ 1 ）了解计算机病毒的定义、发展历史、分类、特点、入侵途径、流行特征、破坏行为、作用机制。（ 2 ）了解 DOS 环境下的病毒、宏病毒和网络计算机病毒的分类、传染过程、防治和清除方法。（ 3 ）熟悉基本的反病毒技术，包括计算机病毒的检测、防治与感染病毒后的修复；掌握杀毒软件的选购指标、反病毒软件的原理。（ 4 ）掌握如何恢复被 CIH 病毒破坏的硬盘信息。

返回本章首页


第7


7.1 　计算机病毒概述7.1.1　计算机病毒的定义

7.1.2 　计算机病毒的发展历史7.1.3 　计算机病毒的分类7.1.4 　计算机病毒的特点7.1.5 　计算机病毒的隐藏之处和入侵途径7.1.6 　现代计算机病毒的流行特征7.1.7 　计算机病毒的破坏行为7.1.8 　计算机病毒的作用机制

返回本章首页


第7


7.1.1 　计算机病毒的定义

“ 计算机病毒”最早是由美国计算机病毒研究专家 F.Cohen 博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

返回本节


第7


7.1.2 　计算机病毒的发展历史1 ．计算机病毒发展简史世界上第一例被证实的计算机病毒是在 1983 年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想； 1984 年，美国人 Tho

mpson 开发出了针对 UNIX 操作系统的病毒程序。 1988 年 11 月 2 日晚，美国康尔大学研究生罗特 · 莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。


第7


2 ．计算机病毒在中国的发展情况在我国， 80 年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1

982 年“黑色星期五”病毒侵入我国； 1985 年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有 1537 、 CLME 等。进入 90 年代，计算机病毒在国内的泛滥更为严重。 CIH 病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。


第7


3 ．计算机病毒发展的 10 个阶段（ 1） DOS引导阶段（ 2） DOS 可执行文件阶段（ 3）混合型阶段（ 4）伴随型阶段（ 5）多形型阶段（ 6）生成器，变体机阶段（ 7）网络，蠕虫阶段（ 8）Windows阶段（ 9）宏病毒阶段（ 10） Internet阶段

返回本节


第7


7.1.3 　计算机病毒的分类

病毒种类众多，分类如下：1 ．按传染方式分为引导型、文件型和混合型病毒2 ．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒3 ．按破坏性可分为良性病毒和恶性病毒4 ．网络病毒

返回本节


第7


7.1.4 　计算机病毒的特点

（ 1）刻意编写，人为破坏（ 2）自我复制能力（ 3）夺取系统控制权（ 4）隐蔽性（ 5）潜伏性（ 6）不可预见性

返回本节


第7


7.1.5 　计算机病毒的隐藏之处和入侵途径

1 ．病毒的隐藏之处（ 1）可执行文件。（ 2）引导扇区。（ 3）表格和文档。（ 4） Java小程序和 ActiveX控件。 2 ．病毒的入侵途径（ 1）传统方法（ 2） Internet

返回本节


第7


7.1.6 　现代计算机病毒的流行特征

1 ．攻击对象趋于混合型 2 ．反跟踪技术 3 ．增强隐蔽性 4 ．加密技术处理 5 ．病毒繁衍不同变种


第7


增强隐蔽性：（ 1）避开修改中断向量值（ 2）请求在内存中的合法身份（ 3）维持宿主程序的外部特性（ 4）不使用明显的感染标志


第7


加密技术处理：（ 1）对程序段动态加密（ 2）对显示信息加密（ 3）对宿主程序段加密

返回本节


第7


7.1.7 　计算机病毒的破坏行为

（ 1）攻击系统数据区（ 2）攻击文件（ 3）攻击内存（ 4）干扰系统运行，使运行速度下降（ 5）干扰键盘、喇叭或屏幕（ 6）攻击 CMOS

（ 7）干扰打印机（ 8）网络病毒破坏网络系统返回本节


第7


7.1.8 　计算机病毒的作用机制

1 ．计算机病毒的一般构成 2 ．计算机病毒的引导机制 3 ．计算机病毒的传染机制 4 ．计算机病毒的破坏机制


第7


一个引导病毒传染的实例

假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以后，小球病毒的引导模块就把全部病毒代码 1024字节保护到了内存的最高段，即 97C0 ： 7C00 处；然后修改 IN

T 13H 的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过 INT 13H 的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：


第7


1）读入目标软磁盘的自举扇区（ BOOT扇区）。2）判断是否满足传染条件。3）如果满足传染条件（即目标盘 BOOT区的 01FCH偏移位置为 5713H 标志），则将病毒代码的前 512字节写入 BOOT引导程序，将其后 512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。4）跳转到原 INT 13H 的入口执行正常的磁盘系统操作。


第7


一个文件病毒传染的实例

假如 VVV.COM（或 .EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改 INT 21H 的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染模块将通过 INT 21

H 的调用率先获得控制权，并进行以下操作：


第7


1）读出该文件特定部分。2）判断是否传染。3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。4）转回原 INT 21H 入口，对该执行文件进行正常加载。


第7


计算机病毒的传染过程

计算机病毒的传染过程1）驻入内存。2）判断传染条件。3）传染。

返回本节


第7


7.2 　 DOS 环境下的病毒

7.2.1 　 DOS基本知识介绍

7.2.2 　常见 DOS 病毒分析

返回本章首页


第7


7.2.1 　 DOS基本知识介绍

1 ． DOS 的基本结构 2 ． DOS启动过程 3 ． DOS 的程序加载过程 4 ． DOS 的中断系统


第7


1 ． DOS 的基本结构

（ 1）引导记录模块（ 2）基本输入输出管理模块（ 3）核心模块（ 4） SHELL模块


第7


2 ． DOS启动过程

PC X86 系列计算机设计时，都使地址 0

FFFF0H 处于 ROM区中，并将该地址的内容设计为一条跳转指令并首先执行它，这样就将控制权交给了自检程序和 ROM引导装入程序。启动过程为：硬件自检→自举→系统初始化→内核初始化→建立系统运行环境→ COMMAND.

COM初始化。


第7


3 ． DOS 的程序加载过程

（ 1） COMMAND 处理命令的过程（ 2） .EXE文件的加载（ 3） .COM文件的加载


第7


4 ． DOS 的中断系统

（ 1）中断向量表（ 2）中断响应过程（ 3）计算机病毒经常使用的中断


第7


多数病毒经常使用磁盘服务中断和时钟中断。

1） ROM BIOS 软中断 INT 13H 。 2）磁盘逻辑扇区读 /写中断 INT 25H 、 INT 26H 。 3）间隔时钟中断 INT 1CH 。 4）时钟中断 INT 8H 。是 ROM BIOS硬中断，其向量地址为 0000:0020H~0000:0023H 。 5）屏幕显示中断 INT 10H 。向量地址为 0000:0040H~0000:0043H 。 6）程序正常结束中断 INT 20H 。是 DOS 软中断，其向量地址为 0000:0080~0000:0083H 。 7）系统功能调用中断 INT 21H 。

返回本节


第7


7.2.2 　常见 DOS 病毒分析1 ．引导记录病毒（ 1）引导型病毒的传播、破坏过程（ 2）引导型病毒实例：火炬病毒 2 ．文件型病毒（ 1）文件型病毒的类型（ 2）文件型病毒的感染方式（ 3） .COM文件的感染（ 4） .EXE文件的感染（ 5） .SYS文件的感染


第7


系统启动

引导程序

病毒跳转到内存并获得系统控制权

符合条件?

激活病毒

传染或破坏

驻留等待

执行正常的系统引导

Y

N

系统启动

运行.COM，.EXE文件

病毒随文件到内存并获得系统控制权

符合条件?

激活病毒

传染或破坏

驻留等待

文件正常执行

Y

N

（ a）引导型病毒（ b）文件型病毒

图 7.1 　病毒的传播、破坏过程返回本节


第7


7.3 　宏病毒

7.3.1 　宏病毒的分类7.3.2 　宏病毒的行为和特征7.3.3 　宏病毒的特点7.3.4 　宏病毒的防治和清除方法

返回本章首页


第7


7.3.1 　宏病毒的分类

1 ．公（共）用宏病毒这类宏病毒对所有的 Word文档有效，其触发条件是在启动或调用 Word文档时，自动触发执行。它有两个显著的特点：1）只能用“ Autoxxxx”来命名，即宏名称是用“ Auto” 开头， xxxx表示的是具体的一种宏文件名。如 AutoOpen 、 AutoClose 、 AutoCopy 等。2）它们一定要附加在 Word 共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在 Normal.dot模板上，或者首先要能将自己写进这样的模板才行。


第7


2 ．私用宏病毒私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的 Word模板中，仅与使用这种模板的 Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。

返回本节


第7


7.3.2 　宏病毒的行为和特征

宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在 Windows 、 W

indows 95/98/NT 、 OS/2 、 Macintosh Syste

m7 等操作系统上执行病毒行为。宏病毒的主要特征如下：1）宏病毒会感染 .DOC文档和 .DOT模板文件。 2）宏病毒的传染通常是 Word 在打开一个带宏病毒的文档或模板时，激活宏病毒。


第7


3）多数宏病毒包含 AutoOpen 、 AutoClose 、AutoNew 和 AutoExit 等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。5）宏病毒在 .DOC文档、 .DOT模板中以 BFF（ Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。6）宏病毒具有兼容性。

返回本节


第7


7.3.3 　宏病毒的特点

1 ．传播极快 2 ．制作、变种方便3 ．破坏可能性极大

返回本节


第7


7.3.4 　宏病毒的防治和清除方法

Word 宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了 Word 宏病毒的编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。 1 ．查看“可疑”的宏 2 ．按使用习惯编制宏 3 ．防备 Autoxxxx 宏


第7


4 ．小心使用外来的 Word文档 5 ．使用选项“ Prompt to Save Normal Template”

6 ．通过 Shift键来禁止运行自动宏 7 ．查看宏代码并删除 8 ．使用 Disable Auto Marcros 宏 9 ．使用 OFFICE 97 的报警设置 10 ．设置 Normal.dot 的只读属性 11 ． Normal.dot 的密码保护 12 ．创建 Payload 宏 13 ．使用 Word Viewer 或 Word Pad

14 ．将文档存储为 RTF格式

返回本节


第7


7.4 　网络计算机病毒

7.4.1 　网络计算机病毒的特点

7.4.2 　网络对病毒的敏感性

7.4.3 　网络病毒实例——电子邮件病毒

返回本章首页


第7


7.4.1 　网络计算机病毒的特点在网络环境中，计算机病毒具有如下一些新的特点：（ 1）传染方式多（ 2）传染速度快（ 3）清除难度大（ 4）破坏性强（ 5）可激发性（ 6）潜在性

返回本节


第7


7.4.2 　网络对病毒的敏感性

1 ．网络对文件病毒的敏感性2 ．网络对引导病毒的敏感性 3 ．网络对宏病毒的敏感性


第7


1 ．网络对文件病毒的敏感性

（ 1）网络服务器上的文件病毒（ 2）端到端网络上的文件病毒（ 3） Internet 上的文件病毒


第7


2 ．网络对引导病毒的敏感性

（ 1）网络服务器上的引导病毒（ 2）端到端网络上的引导病毒（ 3） Internet 上的引导病毒


第7


3 ．网络对宏病毒的敏感性

（ 1）网络服务器上的宏病毒（ 2）端到端网络上的宏病毒（ 3） Internet 上的宏病毒

返回本节


第7


7.4.3 　网络病毒实例——电子邮件病毒1 ．电子邮件病毒的特点（ 1）邮件格式不统一，杀毒困难（ 2）传播速度快，传播范围广，破坏力大 2 ．电子邮件病毒的防范措施 1）首先，不要轻易打开陌生人来信中的附件文件。 2）对于比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。


第7


3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。 4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。5）使用优秀的防毒软件对电子邮件进行专门的保护。 6）使用防毒软件同时保护客户机和服务器。 7）使用特定的 SMTP杀毒软件。

返回本节


第7


7.5 　反病毒技术

7.5.1 　计算机病毒的检测

7.5.2 　计算机病毒的防治

7.5.3 　计算机感染病毒后的修复

返回本章首页


第7


7.5.1 　计算机病毒的检测

1 ．异常情况判断2 ．计算机病毒的检查


第7


1 ．异常情况判断计算机工作出现下列异常现象，则有可能感染了病毒：1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。4）硬盘不能引导系统。5）磁盘上的文件或程序丢失。


第7


6）磁盘读 /写文件明显变慢，访问的时间加长。7）系统引导变慢或出现问题，有时出现“写保护错”提示。8）系统经常死机或出现异常的重启动现象。9）原来运行的程序突然不能运行，总是出现出错提示。10）打印机不能正常启动。


第7


2 ．计算机病毒的检查

（ 1）检查磁盘主引导扇区（ 2）检查 FAT表（ 3）检查中断向量（ 4）检查可执行文件（ 5）检查内存空间（ 6）根据特征查找

返回本节


第7


7.5.2 　计算机病毒的防治

1 ．建立、健全法律和管理制度 2 ．加强教育和宣传 3 ．采取更有效的技术措施 4 ．网络计算机病毒的防治


第7


采取更有效的技术措施

（ 1）系统安全（ 2）软件过滤（ 3）文件加密（ 4）生产过程控制（ 5）后备恢复（ 6）其他有效措施


第7


其他有效措施 1）重要的磁盘和重要的带后缀 .COM 和 .EXE 的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。 2）消灭传染源。 3）建立程序的特征值档案。4）严格内存管理。 5）严格中断向量的管理。 6）强化物理访问控制措施 7）一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。


第7


防范计算机网络病毒的一些措施：

1）在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。 2）在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。 3）对非共享软件，将其执行文件和覆盖文件如 *.CO

M 、 *.EXE 、 *.OVL 等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。4）接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。


第7


5）工作站采用防病毒芯片，这样可防止引导型病毒。6）正确设置文件属性，合理规范用户的访问权限。 7）建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。 8）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如 LAN Protect 和 LAN Clear for

NetWare 等。9）为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与 Internet ，用户与网络之间进行隔离。

返回本节


第7


7.5.3 　计算机感染病毒后的修复

1 ．修复引导记录病毒（ 1）修复感染的软盘（ 2）修复感染的主引导记录（ 3）利用反病毒软件修复


第7


2 ．修复可执行文件病毒即使有经验的用户也会认为修复文件病毒感染很困难。一般要先用杀病毒软件杀毒，再用未感染的备份拷贝代替它，这是修复被感染程序文件的最有效途径。如果得不到备份，反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。

返回本节


第7


7.6 　软件防病毒技术

7.6.1 　防、杀毒软件的选择

7.6.2 　反病毒软件

7.6.3 　常用反病毒软件产品

返回本章首页


第7


7.6.1 　防、杀毒软件的选择

1 ．防、杀毒软件的选购指标 2 ．上网一族常用的防、杀毒软件 3 ．著名杀毒软件公司的站点地址


第7


1 ．防、杀毒软件的选购指标

（ 1）扫描速度（ 2）识别率（ 3）病毒清除测试


第7


2 ．上网一族常用的防、杀毒软件

Command's F － PROT 专业版 For Wi

n95 。Norton AntiVirus For Win95 。Norton AntiVirus For WinNT 。PC－ Cillin Anti－ Virus For Win95 。Virus Scan For Win95 。Web ScanX For Win95 或 NT 。eSafe Protect For Win95 等等。


第7


3 ．著名杀毒软件公司的站点地址表 8.1 　著名杀毒软件公司的网址

返回本节


第7


7.6.2 　反病毒软件

1 ．病毒扫描程序 2 ．内存扫描程序 3 ．完整性检查器 4 ．行为监视器


第7


1 ．病毒扫描程序

（ 1）串扫描算法（ 2）入口点扫描算法（ 3）类属解密法


第7


2 ．内存扫描程序

内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒。尽管病毒可以毫无觉察的把自己隐藏在程序和文件中，但病毒不能在内存中隐藏自己。因此内存扫描程序可以直接搜索内存，查找病毒代码。如果一个反病毒产品不使用内存扫描，其病毒检测技术是很不完善的，很可能漏查、漏杀某些病毒。


第7


3 ．完整性检查器完整性检查器的工作原理基于如下的假设：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。完整性检查器是一种强有力的防病毒保护方式。因为几乎所有的病毒都要修改可执行文件引导记录，包括新的未发现的病毒，所以它的检测率几乎百分之百。引起完整性检查器失效的可能有：有些程序执行时必须要修改它自己；对已经被病毒感染的系统再使用这种方法时，可能遭到病毒的蒙骗等。


第7


4 ．行为监视器

行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动，它就会通知用户，并且让用户决定这一类活动是否继续。

返回本节


第7


7.6.3 　常用反病毒软件产品

随着世界范围内计算机病毒的大量流行，病毒编制花样不断变化，反病毒软件也在经受一次又一次考验，各种反病毒产品也在不断地推陈出新、更新换代。这些产品的特点表现为技术领先、误报率低、杀毒效果明显、界面友好、良好的升级和售后服务技术支特、与各种软硬件平台兼容性好等方面。常用的反病毒软件有 KV3000 、瑞星（ 2001版）等。

返回本节


第7


7.7 　典型病毒实例—— CIH 病毒介绍

7.7.1 　 CIH 病毒简介

7.7.2 　恢复被 CIH 病毒破坏的硬盘信息

7.7.3 　 CIH 病毒的免疫

返回本章首页


第7


7.7.1 　 CIH 病毒简介1 ． CIH 病毒分析 CIH 病毒是迄今为止发现的最阴险、危害最大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表，而且破坏计算机系统 FLASH BIOS芯片中的系统程序，导致主板损坏。2 ． CIH 病毒发作时的现象 CIH 病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统 BOOT区，改写硬盘数据，破坏 FLASH BIOS ，用随机数填充 FLASH 内存，导致机器无法运行。所以该病毒发作时仅会破坏可升级主板的 FLASH BIOS 。

返回本节


第7


7.7.2 　恢复被 CIH 病毒破坏的硬盘信息

1 ．修复硬盘分区表信息 2 ．恢复 C 分区上的数据 3 ．查杀 CIH 病毒后的遗留问题


第7


1 ．修复硬盘分区表信息 1）准备一张无病毒的启动盘，注意要根据原有操作系统及分区情况制作 FAT16 或 FAT32 的系统引导盘。2）把下载的 VRVFIX.EXE文件拷入该引导盘，要确保还有足够的剩余空间，并打开写保护。3）用这张引导盘引导染毒的计算机（如果主板的 BIOS 已被 CIH 病毒破坏，可把硬盘拆下，拿到别的计算机上进行，也可先把主板 BIOS修复好后再处理硬盘），运行 VRVFIX.EXE ，按 Enter 开始计算分区信息并自动恢复，当出现提示时，按 Enter ，直到出现“ Make Partition Table ok” 。4）至此，修复完成，用引导盘重新引导系统，除 C盘以外的其他逻辑分区（ D 、 E 、 F...）的数据已经修复，但仍然无法访问 C 分区。


第7


2 ．恢复 C 分区上的数据

1）制作一张无病毒的引导盘，然后在 CONFIG.SYS文件中加入。 2）把下载的 Tiramisu压缩包里的所有文件解压缩到引导盘上。3）用这张引导盘引导计算机，运行 Tiramisu.exe ，在“ File”菜单中选择“ Start recovery”菜单项，程序开始自动从 C 分区上寻找目录结构。4） C 分区的目录结构搜索结束后，会显示目录搜索结果。5） Tiramisu 的工作原理是在内存中重建一个目录结构映射表，让用户通过这个目录结构表把硬盘上的数据备份出来。


第7


3 ．查杀 CIH 病毒后的遗留问题由于Windows 系统运行设置条件和被传染的文件头数据模块的大小不一样，被 CIH 病毒感染后，小部分文件会产生各种各样的不正常的特殊的传染结果。有些杀毒软件，只简单地把文件中的 CIH 病毒第一碎块中的文件映像开始执行指针参数恢复，或去掉病毒头的少量字节，没把病毒隐藏在文件体中的各个碎块清理掉。但这样简单杀毒后，完整的或不完整的病毒体残留在文件中，即留有病毒僵尸。

返回本节


第7


7.7.3 　 CIH 病毒的免疫

此处的 CIH 病毒疫苗 ANT-CIHv1.00 是 CIH 作者所作，已经在网上免费发放。网址是： http://www.nease

.net/~qiu/chi/ant-cih.zip。CIH 病毒疫苗是免疫的疫苗不是解毒程序，所以安装前，必须回到纯 DOS状态，然后用杀毒程序彻底把病毒杀干净。再回到 Windows 95/98 ，将 CIH.ZIP解压缩后，释放出三个文件，执行其中的 SETUP.EXE即可进行安装，系统会自动重新启动。安装完毕后，可以将这三个疫苗文件删除。

返回本节


第7


THANK YOU VERY MUCH ！

本章到此结束，

谢谢您的光临！返回本章首页结束放映

Documents

第七章 计算机病毒及防治

第七章　计算机病毒及防治