计算机安全与防病毒知识.docx

计算机安全与防病毒知识.docx

《计算机安全与防病毒知识.docx》由会员分享，可在线阅读，更多相关《计算机安全与防病毒知识.docx（9页珍藏版）》请在冰豆网上搜索。

计算机安全与防病毒知识

计算机安全与防病毒知识

现在我们大家一起来学习一些有关计算机安全与维护的知识。

当今社会以计算机及其应用为主的信息技术（IT，InformationTechnology）已经深入到我们工作和生活的方方面面，我们可以通过互联网和远方的朋友亲人聊天；职称考试要在网上报名；坐在办公室我们就可以知道世界各地的新闻时事；伴随着信息技术飞速发展给我们生活工作带来的方便和舒适，信息安全事件层出不穷。

首先，我们先来了解一下影响计算机安全的主要因素：

1、系统故障：

由于网络、计算机或者软件本身出现的故障而导致的数据丢失和或系统瘫痪是不可预见的，也是我们能力以外的，比例：

显示器或者硬盘坏了、键盘鼠标不好用了。

这些故障我们自己解决不了，必须找专业的维修人员来处理。

2、人为因素：

包括人为的操作错误、非法侵入和访问以及一些不道德的行为。

3、恶意程序：

包括计算机病毒、特洛伊木马和恶意软件。

其次，我们来了解一下保证计算机安全的主要措施：

1、系统故障对安全的影响最大，系统的数据和个人的信息都保存硬盘等存储器内，损坏后会造成大量的数据丢失。

为了避免高更大的损失，平时就要养成随时存盘的习惯，重要的文件要做好备份，最好双机备份。

2、人为因素是我们最容易控制的，不登录不明网站，不下载不明软件，对自己的帐号和密码要妥善保管，不要轻意删除系统内的文件，使用网吧等公用电脑时，最好不要输入个人信息。

3、如何识别病毒、特洛伊木马之类的恶意程序，是我这一讲的重点，下面我们先来区分一下它们。

在学习之前，我们先来理解一个计算机上常用的名词“进程”。

进程的概念是60年代初首先由麻省理工学院的MULTICS系统和IBM公司的CTSS/360系统引入的。

是程序在计算机上的一次执行活动。

当你运行一个程序，你就启动了一个进程。

显然，程序是死的（静态的），进程是活的（动态的）。

进程可以分为系统进程和用户进程。

凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身；用户进程就是所有由你启动的进程。

进程是操作系统进行资源分配的单位。

是应用程序的运行实例，是应用程序的一次动态执行。

看似高深，我们可以这样理解为：

我们把计算机看做自己“秘书”，那进程就他正在进行的工作，系统进程就是他必须进行而且一直在进行的工作，比如：

他要一刻不停地呼吸，必须时刻注意自己的言行举止，时刻等待我们的命令，这些都可以理解为系统进程。

而我们指派的他各项工作就是用户进程，工作完成了进程也就结束了。

我们可以通过“任务管理器”来管理我们的“秘书”--计算机正在运行的进程。

同时按下“Ctrl”、“Alt”和“Del”键，或者用鼠标右键点击系统状态栏选择“任务管理器”，计算机上就会打开一个叫“任务管理器”的窗口。

选择“进程”选项卡我们就可以看到计算机正进行的各项工作。

附1里列出了WindowsXP系统中的一些系统进程以便我们进行查对。

其中的“最基本的系统进程”计算机运行必须的进程，结束这些进程计算机会自动关机或者死机。

如果进程列表中的进程在附1里查不到，又不是我们正在运行的程序，那就很有可能是一些恶意程序的进程。

我们可以用鼠标右键选中该进程，选择“结束进程”或者“结束进程树”来结束这个进程，如果选择结束后，该进程又自动运行了，那就基本可以肯定是恶意程序的进程。

了解进程，我们再来区分一下恶意程序：

计算机病毒是一个程序，一段可执行码。

就像生物病毒一样，计算机病毒有独特的自我复制能力，使计算机病毒可以很快地蔓延，又常常难以根除。

它们能把自身附着在各种类型的文件上。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

计算机蠕虫也是计算机病毒的一种。

它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

与一般的计算机病毒不同，蠕虫传播无需用户操作，并可通过网络分发它自己的副本。

它会消耗内存或网络带宽，从而可能导致计算机崩溃。

蠕虫的传播不必通过“宿主”程序或文件，因此可潜入系统并允许其他人远程控制你的计算机。

特洛伊木马也是一个程序，程序表面上在执行一个任务，实际上却在执行另一个任务。

黑客的特洛伊木马程序事先已经以某种方式潜入你的机器，并在适当的时候激活，潜伏在后台监视系统的运行，它同一般程序一样，能实现任何软件的任何功能。

例如，拷贝、删除文件、格式化硬盘、甚至发电子邮件。

典型的特洛伊木马是窃取别人在网络上的帐号和口令，它有时在用户合法的登录前伪造登录现场，提示用户输入帐号和口令，然后将帐号和口令保存至一个文件中，显示登录错误，退出特洛伊木马程序。

用户还以为自己输错了，再试一次时，已经是正常的登录了，用户也就不会有怀疑。

其实，特洛伊木马已完成了任务，躲到一边去了。

更为恶性的特洛伊木马则会对系统进行全面破坏。

恶意软件也有叫广告软件的，是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件。

一般表现为强制安装、难以卸载、劫持浏览器、弹出广告和恶意收集用户信息。

杀毒软件当然是对抗计算机病毒的不二选择，但是由于法律和技术方面的原因，几乎所有的杀毒软件都不能彻底清除木马和恶意软件，所以一般我们都采用杀毒软件和防木马软件的组合，来保证信息的安全。

推荐的是“卡巴斯基＋360”的组合。

“360安全卫士”是奇虎公司的产品，最早的恶意软件“3721”也是这个公司的产品。

它是一个免费软件，我们可以从“”这个网址上免费下载。

下载后，双击开始安装。

安装完成后，可以选择查杀木马和清理恶意软件。

在“高级”选项中，可以查看启动项和进程列表。

在“保护”选项中，可以开启各项保护。

现在网上流行一种ARP欺骗木马，中毒现象表现为：

使用局域网时会突然掉线，过一段时间后又会恢复正常。

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

如盗取QQ密码、、各种网络游戏密码和账号、网上银行账号等，给用户造成了很大的不便和巨大的经济损失。

建议大家在局域网环境上网时，开启360安全卫士的“局域网ARP攻击拦截”。

“卡巴斯基”是俄罗斯著名数据安全厂商KasperskyLabs专为我国个人用户度身定制的反病毒产品。

这款产品功能包括：

病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序，时刻监控一切病毒可能入侵的途径。

安装完成“卡巴斯基”后须要重新启动计算机。

重新启动电脑后，双击右下角卡巴斯基的图标，再选择“设置”，将“扫描”项中均设置为“不提示操作”。

再选择“更新”选项，更新病毒库。

更新完成后，选“扫描”选项，启动扫描计算机。

怎样判断电脑是否含有病毒

对于一些初级电脑用户。

下面就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别“真毒”有一定帮助!

病毒与软、硬件故障的区别和联系

电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。

我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。

下面简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。

症状病毒的入侵的可能性软、硬件故障的可能性

经常死机:

病毒打开了许多文件或占用了大量内存;不稳定（如内存质量差，硬件超频性能差等）;运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件（有许多BUG）;硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

系统无法启动:

病毒修改了硬盘的引导信息，或删除了某些启动文件。

如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。

文件打不开:

病毒修改了文件格式;病毒修改了文件链接位置。

文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

经常报告内存不够:

病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够（目前基本内存要求为128M）等。

提示硬盘空间不够:

病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。

硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

软盘等设备未访问时出读写信号:

病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。

出现大量来历不明的文件:

病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。

启动黑屏:

病毒感染;显示器故障;内存故障；显示卡故障;主板故障;超频过度;CPU损坏等等。

数据丢失:

病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件，也可能是由于其它用户误删除了。

键盘或鼠标无端地锁死:

病毒作怪，特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

系统运行速度慢:

病毒占用了内存和CPU资源，在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

系统自动执行操作:

病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

病毒的分类及各自的特征

要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好!

病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

如按传染对象来分，病毒可以划分为以下几类:

a、引导型病毒

这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒。

b、文件型病毒

早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。

近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被子加载了。

它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。

c、网络型病毒

这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。

现在一些网