你真的了解计算机病毒吗？内容很“干”，记得喝水

关注后回复 “进群” ，拉你进程序员交流群

作者丨鸭血粉丝Tang

来源丨Java极客技术（ID：Javageektech）

计算机病毒与计算机相伴生的东西，它对计算机的安全构成一定的威胁，一旦病毒计算机遭到病毒入侵，轻则导致信息丢失，重则导致电脑瘫痪。因此，抵御病毒入侵显得十分重要。

想要抵御病毒，你得先了解它们，知道它们长什么样子，是如何侵入计算机的才能很好的抵御它们。

文章很长建议收藏，读完这篇文章，给你的计算机一个安全的环境。

宏病毒通常使用VB脚本，影响微软的Office组建或类似的应用软件，大多通过邮件传播。

在我们计算机的Word文档中就可以找到宏，

2.宏病毒的工作原理：

3.宏病毒的特点：

（1）感染数据文件。一般病毒只感染程序，而宏病毒专门感染数据文件。

（2）多平台交叉感染。当Word、Excel这类软件在不同平台（如Windows、OS/2和MacinTosh）上运行时，会被宏病毒交叉感染。

（3）容易编写。宏病毒以源代码形式出现，所以编写和修改宏病毒就更容易了。这也是宏病毒的数量居高不下的原因。

（4）容易传播。只要打开带有宏病毒的电子邮件，计算机就会被宏病毒感染。此后，打开或新建文件都会感染宏病毒。

4.宏病毒的预防

防治宏病毒的根本在于限制宏的执行。

（1）禁止所有宏的执行。在打开Word文档时，按住Shift键，即可禁止自动宏，从而达到防治宏病毒的目的。

（2）检查是否存在可疑的宏。若发现有一些奇怪名字的宏，肯定就是病毒无疑了，将它立即删除即可。即便删错了也不会对Word文档内容产生任何影响。具体做法是，选择【工具】【| 宏】命令，打开【宏】对话框，选择要删除的宏，单击【删除】按钮即可。

（3）按照自己的习惯设置。重新安装Word后，建立一个新文档，将Word的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新文档。这时候的Normal.dot模板绝对没有宏病毒，可将其备份起来。在遇到宏病毒时，用备份的Normal.dot模板覆盖当前的模板，可以消除宏病毒。

（4）使用Windows自带的写字板。在使用可能有宏病毒的Word文档时，先用Windows自带的写字板打开文档，将其转换为写字板格式的文件保存后，再用Word调用。因为写字板不调用、不保存宏，文档经过这样的转换，所有附带的宏（包括宏病毒）都将丢失。

（5）提示保存Normal模板。选择【工具】【| 选项】命令，在【选项】对话框中打开【保存】选项卡，选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档，退出Word时，Word就会出现“更改的内容会影响到公用模板Normal，是否保存这些修改内容的提示信息，此时应选择“否”，退出后进行杀毒。

（6）使用.rtf和.csv格式代替.doc和.xls。因为.rtf和.csv格式不支持宏功能，所以交换文件时候，用.rtf格式的文档代替.doc格式，用.csv格式的电子表格代替.xls格式。这样就可以避免宏病毒的传播。

5.宏病毒的清除

（1）手工清除。选取【工具】【| 宏】命令，打开【宏】对话框，单击【管理器】命令按钮，打开【管理器】对话框，选择【宏方案项】选项卡，在【宏方案项的有效范围】下拉列表中选择要检查的文档，将来源不明的宏删除。退出Word，然后到C盘根目录下查看有没有Autoexec.dot文件，如果有这个文件就删除，再找到Normal.dot文件，删除它。Word会自动重新生成一个干净的Normal.dot文件。到目录 C:Program FilesMicrosoft OfficeOfficeStartup 下查看有没有模板文件，如果有而且不是用户自己建立的，则删除它。重启Word，这时Word已经恢复正常了。

（2）使用专业杀毒软件。目前的专业杀毒软件都具有清除宏病毒的能力。但是如果是新出现的病毒或者是病毒的变种则可能不能正常清除，此时需要手工清理.

蠕虫

1.定义：

蠕虫（Worm）是一种通过网络传播的恶性病毒，通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。

2. 蠕虫病毒的基本结构和传播过程

蠕虫的基本程序结构包括以下三个模块

（1）传播模块：负责蠕虫的传播，传播模块又可分为三个基本模块，即扫描模块、攻击模块和复制模块。

（2）隐藏模块：浸入主机后，隐藏蠕虫程序，防止被用户发现。

（3）目的功能模块：实现对计算机的控制、监视或破坏等功能。

蠕虫程序的一般传播过程为：

（1）扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

（2）攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。

（3）复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

由此可见，传播模块实现的实际上是自动入侵的功能，所以蠕虫的传播技术是蠕虫技术的核心。

3.蠕虫病毒实例——熊猫烧香

熊猫烧香是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能结束大量的反病毒软件进程。

2.木马病毒工作原理

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

3.木马病毒的检测

查看system.ini、win.ini、启动组中的启动项目。在【开始】【| 运行】命令，输入msconfig，运行Windows自带的“系统配置实用程序”。选中system.ini标签，展开【boot】目录，查看“shell=”这行，正常“shell=Explorer.exe”，如果不是，就有可能中了木马病毒。选中win.ini标签，展开【windows】目录项，查看“run=”和“load=”行，等号后面应该为空。再看看有没有非正常启动项目，要是有类似netbus、netspy、bo等关键词，就极有可能是中了木马。

其他的一些方法，例如在正常操作计算机时，发现计算机的处理速度明显变慢、硬盘不停读写、鼠标不听使唤、键盘无效、一些窗口自动关闭或打开……这一切都表明可能是木马客户端在远程控制计算机。

4.木马病毒实例

Internet上每天都有新的木马出现，所采取的隐蔽措施也是五花八门。下面介绍几种常见的木马病毒的清除方法。

预防病毒

病毒预防

1.对病毒的预防在病毒防治工作中起主导作用，是病毒防治的重点，主要针对病毒可能入侵的系统薄弱环节加以保护和监控。预防计算机病毒要从以下几个方面着手。

（1）检查外来文件。对于网络上下载的或者外部存储器中的程序和文档，在执行或打开文档之前，一定要检查是否有病毒。

（2）局域网预防。尽可能选择无盘工作站。限制用户对服务器上可执行文件的操作。使用抗病毒软件动态检查使用中的文件。

（3）使用确认和数据完整性工具。

（4）周期性备份工作文件。

2.网络病毒的防治相对单机病毒的防治具有更大的难度。目前，网络大都采用Client/Server（客户机/服务器）的工作模式。防治网络病毒需要从服务器和工作站两个主要方面并结合网络管理着手解决。

（1）在网络管理方面进行防治

——制定严格的工作站安全操作规程。

——建立完整的网络软件和硬件的维护制度，定期对各工作站进行维护。

——建立网络系统软件的安全管理制度。

——设置正确的访问权限和文件属性

（2）基于工作站的防治方法

工作站是网络的门，只要将这扇门关好，就能有效地防治病毒入侵。可以使用单机反病毒软件、防病毒卡以及工作站防病毒

芯片。

（3）基于服务器的防治方法

服务器是网络的核心，一旦服务器被病毒感染，就会使整个网络陷于瘫痪。目前，基于服务器的防治病毒方法一般采用NLM

（Netware Loadable Module）技术进行程序设计，以服务器为基础，提供实时扫描病毒能力。其优点主要表现在不占用工作站的内存，可以集中扫毒，能实现实时扫描功能，以及软件安装和升级都很方便等方面。

病毒的入侵必将对系统资源构成威胁，即使良性病毒也要侵吞系统的宝贵资源，所以防治病毒入侵远比病毒入侵后再加以清除更为重要。抗病毒技术必须建立“预防为主，消灭结合”的基本观念。

检测病毒

检测计算机上是否被病毒感染，通常可以采用手工检测和自动检测。

——手工检测是指通过一些工具软件（比如Debug.com、Pctools.exe等），对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测，通过与正常状态进行对比来判断是否被病毒感染。虽然该方法操作复杂，易出错且效率低，但是该方法可以检测和识别未知病毒，以及检测一些自动检测工具不能识别的新病毒。

——自动检测是指通过一些诊断软件和杀毒软件，来判断一个系统或磁盘是否有病毒，如使用瑞星、金山毒霸等软件。虽然该方法可以方便检测大量病毒且操作简单，但是自动检测工具只能识别已知的病毒，而且它的发展总是滞后于病毒的发展。对病毒进行检测可以采用手工方法和自动方法相结合的方式。检测病毒的技术和方法主要有以下几种。

比较法

比较法是将原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单、方便，不需要专用软件。缺点是无法确认计算机病毒的种类和名称。由于要进行比较，保存好原始备份就非常重要了，制作备份时必须在无计算机病毒的环境下进行，制作好的备份必须妥善保管，贴上标签，并加上写保护。

特征代码法

特征代码法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的的计算机病毒，这种计算机病毒扫描软件称之为Virus Scanner。该方法优点是检测准确快速、可识别病毒的名称、误报警率低，依据检测结果可做解毒处理。缺点是不能检测未知病毒，且搜集已知病毒的特征代码费用开销大，在网络上效率低。

分析法

分析法是防杀计算机病毒不可缺少的重要技术，该方法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用，以及与计算机病毒相关的各种知识。除此之外，还需要反汇编工具、二进制文件编辑器等用于分析的工具程序和专用的实验计算机。分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析，了解计算机病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，并将计算机病毒感染文件的过程翻转为清除计算机病毒、修复文件的过程。动态分析是指，利用DEBUG等调试工具在内存带毒的情况下，对计算机病毒做动态跟踪，观察计算机病毒的具体工作过程，以进一步在静态分析的基础上理解计算机病毒的工作原理。

病毒的去激活

清除内存中的病毒是指把RAM中的病毒进入非激活状态。这需要操作系统和汇编语言的知识。

使用杀病毒软件清除病毒

计算机一旦感染病毒，一般用户首选是使用杀病毒软件来清除病毒。其优点是使用方便、技术要求不高，不需要具有太多的计算机知识。缺点是有时会删除带毒文件，可能导致系统不能正常运行，同时需要经常升级病毒代码库。

结语

在因特网技术以及计算机技术不断发展的形势下，我国已经完全进入信息化时代，信息化时代的到来，使得人们的生活以及工作都得到了极大地方便，但是，在为人们提供录入巨大方便的同时，网络同样也存在着一定的安全隐患。

因此，我们对于一些开放型的信息必须要加大其控制的力度，严防黑客以及破坏分子的不法行为。这是一场无形的战斗，在这场斗争中，安全技术是最为关键的方面，提高安全防御技术，是提高我国计算机网络安全的根本所在。

-End-

最近有一些小伙伴，让我帮忙找一些 面试题 资料，于是我翻遍了收藏的 5T 资料后，汇总整理出来，可以说是程序员面试必备！所有资料都整理到网盘了，欢迎下载！

文章知识点与官方知识档案匹配，可进一步学习相关知识Java技能树首页概览92145 人正在系统学习中

来源：程序员大咖