木马病毒怎么摧毁系统(怎样消灭木马病毒)
本文目录一览:
电脑病毒怎么危害电脑
破坏程序,损坏硬件。一般情况一让你的硬件超负荷运行,比如CPU满载。内存满载。让机器常在高速下运行,损耗硬件寿命。通常情况下没什么感觉。
病毒主要还是破坏数据。盗取资料、信息叫木马,木马只是病毒的一种。
还有很多病毒是破坏程序,让你的机器不能正常使用。获破坏系统。等多种让人心烦的事件。
希望能帮到你。祝你好运!
手机病毒是怎么通过网络链接破坏操作系统的?
手机病毒是一种具有传染性、破坏性的手机程序,可用杀毒软件进行清除与查杀,也可以手动卸载。其可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播,会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短(彩)信等进行恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。历史上最早的手机病毒出现在 2000年。
手机中的软件,嵌入式操作系统(固化在芯片中的操作系统,一般由 JAVA、C++等语言编写),相当于一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞来入侵手机的。
手机病毒要传播和运行,必要条件是移动服务商要提供数据传输功能,而且手机需要支持Java等高级程序写入功能。许多具备上网及下载等功能的手机都可能会被手机病毒入侵。
传播方式
利用蓝牙方式传播:“卡波尔”病毒会修改智能手机的系统设置,通过蓝牙自动搜索相邻的手机是否存在漏洞,并进行攻击。
感染PC上的手机可执行文件:“韦拉斯科”病毒感染电脑后,会搜索电脑硬盘上的SIS可执行文件并进行感染。
利用MMS多媒体信息服务方式来传播:。
利用手机的BUG攻击:这类病毒一般是在便携式信息设备的“ EPOC”上运行,如“EPOC-ALARM”、“EPOC-BANDINFO.A”、“EPOC-FAKE.A”、“EPOC-GHOST.A”、“EPOC-ALIGHT.A”等。
电脑中木马把我的杀毒软件系统破坏怎么办?
木马把杀毒软件破坏了最好是重装系统,然后安装腾讯电脑管家、诺顿这样能进入安全模式杀毒的软件,对电脑进行全盘杀毒,进入安全模式的操作过程:
重启计算机,按F8,选择安全模式;
打开已安装的杀毒软件,选择全盘扫描模式,
等待扫描结束,清理病毒威胁。
重启计算机。
病毒是怎么破坏电脑的正常运行?
转:
计算机病毒的工作机理
一,引导扇区病毒
二,文件型病毒
三,混合型病毒
一,引导扇区病毒
引导扇区病毒是借由硬盘的开机(BOOT)来感染的,也就是说病毒将磁盘上的BOOT Sector改变.在开机时先将病毒自己的程序由磁盘读进内存中,改变了磁盘的中断向量后,再交由正常的BOOT程序执行正确的BOOT的动作,也就是说在DOS主程序尚未载入时,病毒就已经读进内存中了,继而一执行到Dir,Type等,DOS指令就会感染到磁盘里.
引导扇区病毒很难让人发现到它的存在,它不算是常驻,因为在系统尚未Loading进来之前它就已经将系统中的Memory Size自行缩小.缩小的部分就是存放病毒程序的地方.所以很难发现它的存在.但是若注意的话,会发现似乎一个很小的程序也会读得很久.因此若发现如此情形,不妨检查一下磁盘上的BOOT Sector.虽然引导型病毒很毒,但是它的传染方式较文件型病毒不易暗传染.
二,文件型病毒
1,覆盖型病毒
2,前后附加型病毒
3,伴随型文件病毒
文件型病毒的宿主不是引导区而是一些可执行程序.病毒把自己附加在可执行文件中,并等待程序运行.病毒会驻留在内存中,企图感染其它文件.同引导扇区病毒不同,文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上.根据附着类型不同可分为三种文件病毒:覆盖型,前后附加型和伴随型文件病毒.
1,覆盖型病毒
简单地把自己覆盖到原始文件代码上,显然这会完全摧毁该文件,所以这种病毒比较容易被发现.当用户运行该文件时,病毒代码就会得到运行,而原始文件则不能正常运行.现在有些新型病毒可以覆盖写那些不影响宿主程序运行的那部分代码,人们也就不容易发现这种病毒.覆盖病毒的优势就是不改变文件长度,使原始文件看起来正常.杀毒程序还是可以检测到这种病毒代码的存在.
2,前后附加型病毒
前附加型病毒把自己附加在文件的开始部分,后附加型正好相反,这种病毒会增加文件的长度.也就容易被检测和发现,并被清除.
3,伴随型文件病毒
为EXE文件创建一个相应的含有病毒代码的COM文件,当有人运行EXE文件时,控制权就会转到COM文件上,病毒代码就得以运行.它执行完之后,控制权又会转回到EXE文件,这样用户不会发现任何问题.
三,混合型病毒
混合型病毒结合引导型和文件型两种病毒,它们互为感染,是病毒之王,极为厉害,不容易消除.它一般采取以下方法:在文件中的病毒执行时将病毒写入引导区,这是很容易理解的.染毒硬盘启动时,用引导型病毒的方法驻留内存.但此时DOS并未加载,无法修改INT21中断,也就无法感染文件.可以用这样的办法,修改INT 8中断,保存INT 21目前的地址,用INT 8服务程序监测INT 21的地址是否改变,若改变则说明DOS已加载,则可修改INT21中断指向病毒传染段.
第三节 常见计算机病毒
一,CIH病毒
二,宏病毒
三,网络病毒
一,CIH病毒
1998年7月26日,一个名叫CIH的计算机病毒首次露面美国,该病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗.CIH病毒是一种文件型病毒,是第一例感染Windows 95/98环境下PE格式EXE文件的病毒.不同与DOS型病毒,CIH病毒是建立在Windows 95/98平台.CIH有几个版本,其中流行最广的是CIHv1.2:4月26日发作,长度为1003个字节.
1,CIH病毒的运行机制
同传统的DOS型病毒相比,无论是内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都与众不同,新颖独到.它绕过了微软提供的应用程序界面,绕过了ActiveX,C++甚至C,使用汇编,利用VXD(虚拟设备驱动程序)接口编程,直接杀入Windows内核.
它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击(Fragmented Cavity Attack),将病毒化整为零,拆分成若干块,插入宿主文件中去.
最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例.可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向.
该病毒程序由三部分组成:病毒的驻留,病毒的感染,病毒的发作.
(1)病毒的驻留
当运行带有该病毒的.EXE时,由于该病毒修改了该文件程序的入口地址(Address of Entry Point),首先调入内存执行的是病毒的驻留程序,驻留程序长度为184个字节.
(2)病毒的感染
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows内核底层函数挂接钩子时指针指示的那段程序.其感染过程如下:
①文件的截获
②EXE文件的判断
③PE格式.EXE判别
(3)病毒的发作
①病毒发作条件判断.在CIHv1.4中,病毒的发作日期是4月26日,病毒从COMS的70,71端口取出系统当前日期,对其进行判断.
②病毒的破坏:首先,通过主板的BIOS端口地址0CFEH和0CFDH各BIOS引导块内各写入一个字节的乱码,造成主机无法启动.其次,覆盖硬盘.
2,CIH病毒的预防,检测与清除
CIH并不像人们传说的那样可怕.很多国内外的专家都提出了有效的措施来对付它.
(1)病毒的预防
①采取防止一般病毒的措施;
②修改主机的日期,跳过26日;
③将主板的Flash Rom跳线设置为Disable,阻止病毒改写BIOS.
(2)病毒的检测与清除
由于这一病毒主要是通过Internet和电子邮件传播的,其实时性和动态性是防治这一病毒的难点所在.要全面防治CIH病毒需要能够检测压缩文件病毒,具备病毒实时治愈能力的反病毒产品.目前国内市场已有这种反病毒产品,如KILL98.KILL98防毒墙能够实时监控所有出入系统的文件,对其加以病毒侦测,分析,一旦发现病毒立即加以清除,但并不会影响到文件的正常操作.
二,宏病毒
宏病毒是一种广泛流传的病毒,它在一定的条件下爆发,如每月的13日,并且可以感染Word中的模板文件.台湾I号和II号就是两种宏病毒,它在打开被病毒感染的文档时给出一道数学题,如果算错了,它就打开10个文档窗口.然后,它又给出一道题,如果再算错了,它又会打开10个文档窗口,就这样下去,直到耗尽机器上的系统资源.
1,宏病毒是怎样传播的
一般来说,一个宏病毒传播发生在被感染的宏指令覆盖,改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存储的所有doc文档.当word打开一个.doc文件时,首先检查里面有没有模板/宏代码.如果存在就被认为这不是普通的.doc文件,而是一个模板文件,并执行里面的Auto类的宏(如果存在).
一般染毒后的.doc被打开后,通过Auto宏或菜单,快捷方式和工具栏里的特洛伊木马程序来激活,随后感染诸如Normal.dot或Powerup.dot等全局模板文件得到系统"永久"控制权.夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀.doc的模板文件;另外,当一定条件满足时,病毒就会干些小的或大的破坏活动.
2,宏病毒本身的局限性
由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播.而word在存储模板文件时(Save As/另存为时),不能选择保存类型,只能存为文档模板(.dot).由此,很容易判断出一个文件是否为一个模板文件.如果是一个以.doc为后缀的模板文件,那么可以肯定地说,这是一个被感染的文件,或者是一个"宏病毒遗体".
三,网络病毒
1,网络病毒的特点
因特网的飞速发展给反病毒工作带来了新的挑战.因特网上有众多的软件供下载,有大量的数据交换,这给病毒的大范围传播提供了可能.
因特网衍生出一些新一代病毒,即Java及ActiveX病毒.它不需要寄主程序,因为因特网就是带着它们到处肆虐的寄主.网络病毒一旦突破网络安全系统,传播到网络服务器,进而在整个网络上感染,再生,就会使网络系统资源遭到破坏.
病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站.但病毒传染方式比较复杂,传播速度比较快.在网络中病毒则可以通过网络通信机制,借助高速电缆进行迅速扩散.由于病毒在网络中传染速度非常快,故其传染范围很大,不但能迅速传染局域网内所有电缆,还能通过远程工作站将病毒在瞬间内传播到千里之外,且清除难度大.
仅对工作站进行杀毒处理并不能彻底解决问题.网络上的病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则造成网络系统的瘫痪,破坏服务器系统资源,使多年工作毁于一旦.网络一旦感染了病毒,即使病毒已被消除,其潜在危险仍然巨大.病毒在网上被消除后,87%的网络在30天内会再次被感染.
2,网络病毒的传播与表现
大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件.
文件和目录级保护只在文件服务器中出现,而不在工作站中出现,所以可执行文件病毒无法破坏基于网络的文件保护.然而,一般文件服务器中的许多文件并没有得到保护,而且,非常容易成为感染的有效目标.
文件病毒可以通过因特网毫无困难的发送,而可执行文件病毒不能通过因特网在远程站点感染文件.此时因特网是文件病毒的载体.
如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染,但引导病毒无法通过因特网传播,因为客户机不能对服务器进行扇区级的操作.
3,专攻网络的GPI病毒
GPI意思是Get Password I,该病毒是由欧美地区兴起的专攻网络的一类病毒,是"耶路撒冷"病毒的变种,并且被特别改写成专门突破Novell网络系统安全结构的病毒.它的威力在于"自上而下"的传播.
4,电子邮件病毒
现今电子邮件已被广泛使用,E-mail已成为病毒传播的主要途径之一.由于可同时向一群用户或整个计算机系统发送电子邮件,一旦一个信息点被感染,整个系统受染也只是几个小时内的事情.电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,因为它们往往在远程服务器上.
病毒是怎样破坏电脑的?
转:
计算机病毒的工作机理
一,引导扇区病毒
二,文件型病毒
三,混合型病毒
一,引导扇区病毒
引导扇区病毒是借由硬盘的开机(BOOT)来感染的,也就是说病毒将磁盘上的BOOT Sector改变.在开机时先将病毒自己的程序由磁盘读进内存中,改变了磁盘的中断向量后,再交由正常的BOOT程序执行正确的BOOT的动作,也就是说在DOS主程序尚未载入时,病毒就已经读进内存中了,继而一执行到Dir,Type等,DOS指令就会感染到磁盘里.
引导扇区病毒很难让人发现到它的存在,它不算是常驻,因为在系统尚未Loading进来之前它就已经将系统中的Memory Size自行缩小.缩小的部分就是存放病毒程序的地方.所以很难发现它的存在.但是若注意的话,会发现似乎一个很小的程序也会读得很久.因此若发现如此情形,不妨检查一下磁盘上的BOOT Sector.虽然引导型病毒很毒,但是它的传染方式较文件型病毒不易暗传染.
二,文件型病毒
1,覆盖型病毒
2,前后附加型病毒
3,伴随型文件病毒
文件型病毒的宿主不是引导区而是一些可执行程序.病毒把自己附加在可执行文件中,并等待程序运行.病毒会驻留在内存中,企图感染其它文件.同引导扇区病毒不同,文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上.根据附着类型不同可分为三种文件病毒:覆盖型,前后附加型和伴随型文件病毒.
1,覆盖型病毒
简单地把自己覆盖到原始文件代码上,显然这会完全摧毁该文件,所以这种病毒比较容易被发现.当用户运行该文件时,病毒代码就会得到运行,而原始文件则不能正常运行.现在有些新型病毒可以覆盖写那些不影响宿主程序运行的那部分代码,人们也就不容易发现这种病毒.覆盖病毒的优势就是不改变文件长度,使原始文件看起来正常.杀毒程序还是可以检测到这种病毒代码的存在.
2,前后附加型病毒
前附加型病毒把自己附加在文件的开始部分,后附加型正好相反,这种病毒会增加文件的长度.也就容易被检测和发现,并被清除.
3,伴随型文件病毒
为EXE文件创建一个相应的含有病毒代码的COM文件,当有人运行EXE文件时,控制权就会转到COM文件上,病毒代码就得以运行.它执行完之后,控制权又会转回到EXE文件,这样用户不会发现任何问题.
三,混合型病毒
混合型病毒结合引导型和文件型两种病毒,它们互为感染,是病毒之王,极为厉害,不容易消除.它一般采取以下方法:在文件中的病毒执行时将病毒写入引导区,这是很容易理解的.染毒硬盘启动时,用引导型病毒的方法驻留内存.但此时DOS并未加载,无法修改INT21中断,也就无法感染文件.可以用这样的办法,修改INT 8中断,保存INT 21目前的地址,用INT 8服务程序监测INT 21的地址是否改变,若改变则说明DOS已加载,则可修改INT21中断指向病毒传染段.
第三节 常见计算机病毒
一,CIH病毒
二,宏病毒
三,网络病毒
一,CIH病毒
1998年7月26日,一个名叫CIH的计算机病毒首次露面美国,该病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗.CIH病毒是一种文件型病毒,是第一例感染Windows 95/98环境下PE格式EXE文件的病毒.不同与DOS型病毒,CIH病毒是建立在Windows 95/98平台.CIH有几个版本,其中流行最广的是CIHv1.2:4月26日发作,长度为1003个字节.
1,CIH病毒的运行机制
同传统的DOS型病毒相比,无论是内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都与众不同,新颖独到.它绕过了微软提供的应用程序界面,绕过了ActiveX,C++甚至C,使用汇编,利用VXD(虚拟设备驱动程序)接口编程,直接杀入Windows内核.
它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击(Fragmented Cavity Attack),将病毒化整为零,拆分成若干块,插入宿主文件中去.
最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例.可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向.
该病毒程序由三部分组成:病毒的驻留,病毒的感染,病毒的发作.
(1)病毒的驻留
当运行带有该病毒的.EXE时,由于该病毒修改了该文件程序的入口地址(Address of Entry Point),首先调入内存执行的是病毒的驻留程序,驻留程序长度为184个字节.
(2)病毒的感染
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows内核底层函数挂接钩子时指针指示的那段程序.其感染过程如下:
①文件的截获
②EXE文件的判断
③PE格式.EXE判别
(3)病毒的发作
①病毒发作条件判断.在CIHv1.4中,病毒的发作日期是4月26日,病毒从COMS的70,71端口取出系统当前日期,对其进行判断.
②病毒的破坏:首先,通过主板的BIOS端口地址0CFEH和0CFDH各BIOS引导块内各写入一个字节的乱码,造成主机无法启动.其次,覆盖硬盘.
2,CIH病毒的预防,检测与清除
CIH并不像人们传说的那样可怕.很多国内外的专家都提出了有效的措施来对付它.
(1)病毒的预防
①采取防止一般病毒的措施;
②修改主机的日期,跳过26日;
③将主板的Flash Rom跳线设置为Disable,阻止病毒改写BIOS.
(2)病毒的检测与清除
由于这一病毒主要是通过Internet和电子邮件传播的,其实时性和动态性是防治这一病毒的难点所在.要全面防治CIH病毒需要能够检测压缩文件病毒,具备病毒实时治愈能力的反病毒产品.目前国内市场已有这种反病毒产品,如KILL98.KILL98防毒墙能够实时监控所有出入系统的文件,对其加以病毒侦测,分析,一旦发现病毒立即加以清除,但并不会影响到文件的正常操作.
二,宏病毒
宏病毒是一种广泛流传的病毒,它在一定的条件下爆发,如每月的13日,并且可以感染Word中的模板文件.台湾I号和II号就是两种宏病毒,它在打开被病毒感染的文档时给出一道数学题,如果算错了,它就打开10个文档窗口.然后,它又给出一道题,如果再算错了,它又会打开10个文档窗口,就这样下去,直到耗尽机器上的系统资源.
1,宏病毒是怎样传播的
一般来说,一个宏病毒传播发生在被感染的宏指令覆盖,改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存储的所有doc文档.当word打开一个.doc文件时,首先检查里面有没有模板/宏代码.如果存在就被认为这不是普通的.doc文件,而是一个模板文件,并执行里面的Auto类的宏(如果存在).
一般染毒后的.doc被打开后,通过Auto宏或菜单,快捷方式和工具栏里的特洛伊木马程序来激活,随后感染诸如Normal.dot或Powerup.dot等全局模板文件得到系统"永久"控制权.夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀.doc的模板文件;另外,当一定条件满足时,病毒就会干些小的或大的破坏活动.
2,宏病毒本身的局限性
由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播.而word在存储模板文件时(Save As/另存为时),不能选择保存类型,只能存为文档模板(.dot).由此,很容易判断出一个文件是否为一个模板文件.如果是一个以.doc为后缀的模板文件,那么可以肯定地说,这是一个被感染的文件,或者是一个"宏病毒遗体".
三,网络病毒
1,网络病毒的特点
因特网的飞速发展给反病毒工作带来了新的挑战.因特网上有众多的软件供下载,有大量的数据交换,这给病毒的大范围传播提供了可能.
因特网衍生出一些新一代病毒,即Java及ActiveX病毒.它不需要寄主程序,因为因特网就是带着它们到处肆虐的寄主.网络病毒一旦突破网络安全系统,传播到网络服务器,进而在整个网络上感染,再生,就会使网络系统资源遭到破坏.
病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站.但病毒传染方式比较复杂,传播速度比较快.在网络中病毒则可以通过网络通信机制,借助高速电缆进行迅速扩散.由于病毒在网络中传染速度非常快,故其传染范围很大,不但能迅速传染局域网内所有电缆,还能通过远程工作站将病毒在瞬间内传播到千里之外,且清除难度大.
仅对工作站进行杀毒处理并不能彻底解决问题.网络上的病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则造成网络系统的瘫痪,破坏服务器系统资源,使多年工作毁于一旦.网络一旦感染了病毒,即使病毒已被消除,其潜在危险仍然巨大.病毒在网上被消除后,87%的网络在30天内会再次被感染.
2,网络病毒的传播与表现
大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件.
文件和目录级保护只在文件服务器中出现,而不在工作站中出现,所以可执行文件病毒无法破坏基于网络的文件保护.然而,一般文件服务器中的许多文件并没有得到保护,而且,非常容易成为感染的有效目标.
文件病毒可以通过因特网毫无困难的发送,而可执行文件病毒不能通过因特网在远程站点感染文件.此时因特网是文件病毒的载体.
如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染,但引导病毒无法通过因特网传播,因为客户机不能对服务器进行扇区级的操作.
3,专攻网络的GPI病毒
GPI意思是Get Password I,该病毒是由欧美地区兴起的专攻网络的一类病毒,是"耶路撒冷"病毒的变种,并且被特别改写成专门突破Novell网络系统安全结构的病毒.它的威力在于"自上而下"的传播.
4,电子邮件病毒
现今电子邮件已被广泛使用,E-mail已成为病毒传播的主要途径之一.由于可同时向一群用户或整个计算机系统发送电子邮件,一旦一个信息点被感染,整个系统受染也只是几个小时内的事情.电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,因为它们往往在远程服务器上.
