計算機病毒的破壞行為有哪些（計算機病毒主要通過什麼途徑傳播）

2023-06-06 10:42:39

計算機病毒與計算機相伴生的東西，它對計算機的安全構成一定的威脅，一旦病毒計算機遭到病毒入侵，輕則導致資訊丟失，重則導致電腦癱瘓。因此，抵禦病毒入侵顯得十分重要。

想要抵禦病毒，你得先了解它們，知道它們長什麼樣子，是如何侵入計算機的才能很好的抵禦它們。

文章很長建議收藏，讀完這篇文章，給你的計算機一個安全的環境。

計算機病毒的特點

傳染性

這是病毒的基本特徵。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，造成被感染的計算機工作失常甚至癱瘓。是否具有感染性是判別一個程式是否為計算機病毒的重要條件。

隱蔽性

病毒通常附在正常程式中或磁碟較隱蔽的地方，也有的以隱含檔案形式出現。如果不經過程式碼分析，病毒程式與正常程式是不容易區分開來的。計算機病毒的源程式可以是一個獨立的程式體，源程式經過擴散生成的再生病毒一般採用附加和插入的方式隱藏在可執行程式和資料檔案中，採取分散和多處隱藏的方式，當有病毒程式潛伏的程式被合法呼叫時，病毒程式也合法進入，並可將分散的程式部分在所非法佔用的儲存空間進行重新分配，構成一個完整的病毒體投入執行。

潛伏性

大部分病毒感染系統後，會長期隱藏在系統中，悄悄的繁殖和擴散而不被發覺，只有在滿足其特定條件的時候才啟動其表現（破壞）模組。

破壞性

任何病毒只要入侵系統，就會對系統及應用程式產生程度不同的影響。輕則會降低計算機工作效率，佔用系統資源，重則可導致系統崩潰，根據病毒的這一特性可將病毒分為良性病毒和惡性病毒。良性病毒可能只顯示些畫面或無關緊要的語句，或者根本沒有任何破壞動作，但會佔用系統資源。惡性病毒具有明確的目的，或破壞資料、刪除檔案，或加密磁碟、格式化磁碟，甚至造成不可挽回的損失。

不可預見性

從病毒的監測方面看，病毒還有不可預見性。計算機病毒常常被人們修改,致使許多病毒都生出不少變種、變體，而且病毒的製作技術也在不斷地深入性提高,病毒對反病毒軟體常常都是超前的,無法預測。

觸發性

病毒因某個事件或數值的出現，誘使病毒實施感染或進行進攻的特性稱為可觸發性。病毒既要隱蔽又要維持攻擊力，就必須有可觸發性。

病毒的觸發機制用於控制感染和破壞動作的頻率。計算機病毒一般都有一個觸發條件，它可以按照設計者的要求在某個點上啟用並對系統發起攻擊。

針對性

有一定的環境要求，並不一定對任何系統都能感染。

寄生性

計算機病毒程式嵌入到宿主程式中，依賴於宿主程式的執行而生存，這就是計算機病毒的寄生性。病毒程式在浸入到宿主程式後，一般會對宿主程式進行一定的修改，宿主程式一旦執行，病毒程式就被啟用，從而進行自我複製。

通常認為，計算機病毒的主要特點是傳染性、隱蔽性、潛伏性、寄生性、破壞性。

病毒介紹

計算機病毒是人為製造的，有破壞性，又有傳染性和潛伏性的，對計算機資訊或系統起破壞作用的程式。它不是獨立存在的，而是隱蔽在其他可執行的程式之中。計算機中病毒後，輕則影響機器執行速度，重則宕機系統破壞；因此，病毒給使用者帶來很大的損失，通常情況下，我們稱這種具有破壞作用的程式為計算機病毒。

計算機病毒結構

一般由引導模組、傳染模組、表現模組三部分組成。

引導模組	引導程式碼
傳染模組	傳染條件判斷
	傳染程式碼
表現模組	表現及破壞條件判斷
	破壞程式碼

病毒分類（按照宿主分類）

（1）引導型病毒

引導區型病毒侵染軟（硬、優）盤中的“主開機記錄”

（Master Boot Record，0柱面0磁頭1扇區）

解釋：引導型病毒是放在引導型扇區裡面，在計算機中都有個0柱面0磁頭1扇區特殊的記錄，是計算機開機的重要檔案，病毒把Master Boot Record程式碼修改之後，在計算機開機的時候可能就會先啟用病毒。

（2）檔案型病毒

通常它感染各種可執行檔案、有可解釋執行指令碼的檔案、可包含巨集程式碼的檔案。每一次它們啟用時，感染檔案把病毒程式碼自身複製到其他檔案中。

（3）混合型病毒

混合型病毒通過技術手段把引導型病毒和檔案型病毒組合成一體，使之具有引導型病毒和檔案型病毒兩種特徵，以兩者相互促進的方式進行傳染。這種病毒既可以傳染引導區又可以傳染可執行檔案，增加了病毒的傳染性以及生存率，使其傳播範圍更廣，更難於清除乾淨。

經典例項

巨集病毒

1.病毒是一種使用巨集編輯語言編寫的病毒，主要寄生於Word文件或模板的巨集中。一旦開啟這樣的文件，巨集病毒就會被啟用，進入計算機記憶體並駐留在Normal模板上，從而感染所有自動儲存的文件。如果網路上其他使用者開啟感染病毒的文件，巨集病毒就會轉移到他的計算機上。

巨集病毒通常使用VB指令碼，影響微軟的Office組建或類似的應用軟體，大多通過郵件傳播。

在我們計算機的Word文件中就可以找到巨集，

2.巨集病毒的工作原理：

3.巨集病毒的特點：

（1）感染資料檔案。一般病毒只感染程式，而巨集病毒專門感染資料檔案。

（2）多平臺交叉感染。當Word、Excel這類軟體在不同平臺（如Windows、OS/2和MacinTosh）上執行時，會被巨集病毒交叉感染。

（3）容易編寫。巨集病毒以原始碼形式出現，所以編寫和修改巨集病毒就更容易了。這也是巨集病毒的數量居高不下的原因。

（4）容易傳播。只要開啟帶有巨集病毒的電子郵件，計算機就會被巨集病毒感染。此後，開啟或新建檔案都會感染巨集病毒。

4.巨集病毒的預防

防治巨集病毒的根本在於限制巨集的執行。

（1）禁止所有巨集的執行。在開啟Word文件時，按住Shift鍵，即可禁止自動巨集，從而達到防治巨集病毒的目的。

（2）檢查是否存在可疑的巨集。若發現有一些奇怪名字的巨集，肯定就是病毒無疑了，將它立即刪除即可。即便刪錯了也不會對Word文件內容產生任何影響。具體做法是，選擇【工具】【| 巨集】命令，開啟【巨集】對話方塊，選擇要刪除的巨集，單擊【刪除】按鈕即可。

（3）按照自己的習慣設定。重新安裝Word後，建立一個新文件，將Word的工作環境按照自己的使用習慣進行設定，並將需要使用的巨集一次編制好，做完後儲存新文件。這時候的Normal.dot模板絕對沒有巨集病毒，可將其備份起來。在遇到巨集病毒時，用備份的Normal.dot模板覆蓋當前的模板，可以消除巨集病毒。

（4）使用Windows自帶的寫字板。在使用可能有巨集病毒的Word文件時，先用Windows自帶的寫字板開啟文件，將其轉換為寫字板格式的檔案儲存後，再用Word呼叫。因為寫字板不呼叫、不儲存巨集，文件經過這樣的轉換，所有附帶的巨集（包括巨集病毒）都將丟失。

（5）提示儲存Normal模板。選擇【工具】【| 選項】命令，在【選項】對話方塊中開啟【儲存】選項卡，選中【提示儲存Normal模板】覈取方塊。一旦巨集病毒感染了Word文件，退出Word時，Word就會出現“更改的內容會影響到公用模板Normal，是否儲存這些修改內容？”的提示資訊，此時應選擇“否”，退出後進行防毒。

（6）使用.rtf和.csv格式代替.doc和.xls。因為.rtf和.csv格式不支援巨集功能，所以交換檔案時候，用.rtf格式的文件代替.doc格式，用.csv格式的電子表格代替.xls格式。這樣就可以避免巨集病毒的傳播。

5.巨集病毒的清除

（1）手工清除。選取【工具】【| 巨集】命令，開啟【巨集】對話方塊，單擊【管理器】命令按鈕，開啟【管理器】對話方塊，選擇【巨集方案項】選項卡，在【巨集方案項的有效範圍】下拉選單中選擇要檢查的文件，將來源不明的巨集刪除。退出Word，然後到C盤根目錄下檢視有沒有Autoexec.dot檔案，如果有這個檔案就刪除，再找到Normal.dot檔案，刪除它。Word會自動重新生成一個乾淨的Normal.dot檔案。到目錄 C:/Program Files/Microsoft Office/Office/Startup 下檢視有沒有模板檔案，如果有而且不是使用者自己建立的，則刪除它。重啟Word，這時Word已經恢復正常了。

（2）使用專業防毒軟體。目前的專業防毒軟體都具有清除巨集病毒的能力。但是如果是新出現的病毒或者是病毒的變種則可能不能正常清除，此時需要手工清理.

蠕蟲

1.定義：

蠕蟲（Worm）是一種通過網路傳播的惡性病毒，通過分散式網路來擴散傳播特定的資訊或錯誤，進而造成網路服務遭到拒絕併發生死鎖。

2. 蠕蟲病毒的基本結構和傳播過程

蠕蟲的基本程式結構包括以下三個模組

（1）傳播模組：負責蠕蟲的傳播，傳播模組又可分為三個基本模組，即掃描模組、攻擊模組和複製模組。

（2）隱藏模組：浸入主機後，隱藏蠕蟲程式，防止被使用者發現。

（3）目的功能模組：實現對計算機的控制、監視或破壞等功能。

蠕蟲程式的一般傳播過程為：

（1）掃描：由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當程式向某個主機傳送探測漏洞的資訊並收到成功的反饋資訊後，就得到一個可傳播的物件。

（2）攻擊：攻擊模組按漏洞攻擊步驟自動攻擊步驟1中找到的物件，取得該主機的許可權（一般為管理員許可權），獲得一個shell。

（3）複製：複製模組通過原主機和新主機的互動將蠕蟲程式複製到新主機並啟動。

由此可見，傳播模組實現的實際上是自動入侵的功能，所以蠕蟲的傳播技術是蠕蟲技術的核心。

3.蠕蟲病毒例項——熊貓燒香

熊貓燒香是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能結束大量的反病毒軟體程序。

熊貓燒香是一種蠕蟲病毒的變種，經過多次變種而來，由於中毒電腦的可執行檔案會出現“熊貓燒香”圖案，所以也被稱為 “熊貓燒香”病毒。但原病毒只會對exe檔案的圖示進行替換，並不會對系統本身進行破壞。而大多數是中等病毒變種，使用者電腦中毒後可能會出現藍屏、頻繁重啟以及系統硬碟中資料檔案被破壞等現象。

同時，該病毒的某些變種可以通過區域網進行傳播，進而感染區域網內所有計算機系統，最終導致企業區域網癱瘓，無法正常使用，它能感染系統中exe，com，pif，src，html，asp等檔案，它還能終止大量的反病毒軟體程序並且會刪除副檔名為gho的備份檔案。被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣。

木馬

1.定義：

木馬全稱為特洛伊木馬（Trojan Horse,英文則簡稱Trojan），在電腦保安學中，特洛伊木馬是指一種計算機程式，表面上或實際上有某種有用的功能，同時又含有隱藏的可以控制使用者計算機系統、危害系統安全的功能，可能造成使用者資料的洩漏、破壞或整個系統的崩潰。在一定程度上，木馬也可以稱為計算機病毒。

2.木馬病毒工作原理

一個完整的特洛伊木馬套裝程式含了兩部分：服務端（伺服器部分）和客戶端（控制器部分）。植入對方電腦的是服務端，而黑客正是利用客戶端進入執行了服務端的電腦。執行了木馬程式的服務端以後，會產生一個有著容易迷惑使用者的名稱的程序，暗中開啟埠，向指定地點傳送資料（如網路遊戲的密碼，即時通訊軟體密碼和使用者上網密碼等），黑客甚至可以利用這些開啟的埠進入電腦系統。

3.木馬病毒的檢測

檢視system.ini、win.ini、啟動組中的啟動專案。在【開始】【| 執行】命令，輸入msconfig，執行Windows自帶的“系統配置實用程式”。選中system.ini標籤，展開【boot】目錄，檢視“shell=”這行，正常“shell=Explorer.exe”，如果不是，就有可能中了木馬病毒。選中win.ini標籤，展開【windows】目錄項，檢視“run=”和“load=”行，等號後面應該為空。再看看有沒有非正常啟動專案，要是有類似netbus、netspy、bo等關鍵詞，就極有可能是中了木馬。

其他的一些方法，例如在正常操作計算機時，發現計算機的處理速度明顯變慢、硬碟不停讀寫、滑鼠不聽使喚、鍵盤無效、一些視窗自動關閉或開啟……這一切都表明可能是木馬客戶端在遠端控制計算機。

4.木馬病毒例項

Internet上每天都有新的木馬出現，所採取的隱蔽措施也是五花八門。下面介紹幾種常見的木馬病毒的清除方法。

預防病毒

病毒預防

1.對病毒的預防在病毒防治工作中起主導作用，是病毒防治的重點，主要針對病毒可能入侵的系統薄弱環節加以保護和監控。預防計算機病毒要從以下幾個方面著手。

（1）檢查外來檔案。對於網路上下載的或者外部儲存器中的程式和文件，在執行或開啟文件之前，一定要檢查是否有病毒。

（2）區域網預防。儘可能選擇無盤工作站。限制使用者對伺服器上可執行檔案的操作。使用抗病毒軟體動態檢查使用中的檔案。

（3）使用確認和資料完整性工具。

（4）週期性備份工作檔案。

2.網路病毒的防治相對單機病毒的防治具有更大的難度。目前，網路大都採用Client/Server（客戶機/伺服器）的工作模式。防治網路病毒需要從伺服器和工作站兩個主要方面並結合網路管理著手解決。

（1）在網路管理方面進行防治

——制定嚴格的工作站安全操作規程。

——建立完整的網路軟體和硬體的維護制度，定期對各工作站進行維護。

——建立網路系統軟體的安全管理制度。

——設定正確的訪問許可權和檔案屬性

（2）基於工作站的防治方法

工作站是網路的門，只要將這扇門關好，就能有效地防治病毒入侵。可以使用單機反病毒軟體、防病毒卡以及工作站防病毒

晶片。

（3）基於伺服器的防治方法

伺服器是網路的核心，一旦伺服器被病毒感染，就會使整個網路陷於癱瘓。目前，基於伺服器的防治病毒方法一般採用NLM

（Netware Loadable Module）技術進行程式設計，以伺服器為基礎，提供實時掃描病毒能力。其優點主要表現在不佔用工作站的記憶體，可以集中掃毒，能實現實時掃描功能，以及軟體安裝和升級都很方便等方面。

病毒的入侵必將對系統資源構成威脅，即使良性病毒也要侵吞系統的寶貴資源，所以防治病毒入侵遠比病毒入侵後再加以清除更為重要。抗病毒技術必須建立“預防為主，消滅結合”的基本觀念。

檢測病毒

檢測計算機上是否被病毒感染，通常可以採用手工檢測和自動檢測。

——手工檢測是指通過一些工具軟體（比如Debug.com、Pctools.exe等），對易遭病毒攻擊和修改的記憶體及磁碟的相關部分進行檢測，通過與正常狀態進行對比來判斷是否被病毒感染。雖然該方法操作複雜，易出錯且效率低，但是該方法可以檢測和識別未知病毒，以及檢測一些自動檢測工具不能識別的新病毒。

——自動檢測是指通過一些診斷軟體和防毒軟體，來判斷一個系統或磁碟是否有病毒，如使用瑞星、金山毒霸等軟體。雖然該方法可以方便檢測大量病毒且操作簡單，但是自動檢測工具只能識別已知的病毒，而且它的發展總是滯後於病毒的發展。對病毒進行檢測可以採用手工方法和自動方法相結合的方式。檢測病毒的技術和方法主要有以下幾種。

比較法

比較法是將原始備份與被檢測的引導扇區或被檢測的檔案進行比較。該方法的優點是簡單、方便，不需要專用軟體。缺點是無法確認計算機病毒的種類和名稱。由於要進行比較，儲存好原始備份就非常重要了，製作備份時必須在無計算機病毒的環境下進行，製作好的備份必須妥善保管，貼上標籤，並加上防寫。

特徵程式碼法

特徵程式碼法是用每一種計算機病毒體含有的特定字串對被檢測的物件進行掃描。如果被檢測物件內部發現了某一種特定字串，就表明發現了該字串所代表的的計算機病毒，這種計算機病毒掃描軟體稱之為Virus Scanner。該方法優點是檢測準確快速、可識別病毒的名稱、誤報警率低，依據檢測結果可做解毒處理。缺點是不能檢測未知病毒，且蒐集已知病毒的特徵程式碼費用開銷大，在網路上效率低。

分析法

分析法是防殺計算機病毒不可缺少的重要技術，該方法要求具有比較全面的有關計算機、DOS、Windows、網路等的結構和功能呼叫，以及與計算機病毒相關的各種知識。除此之外，還需要反彙編工具、二進位制檔案編輯器等用於分析的工具程式和專用的實驗計算機。分析的步驟分為靜態分析和動態分析兩種。靜態分析是指利用反彙編工具將計算機病毒程式碼列印成反彙編指令程式清單後進行分析，瞭解計算機病毒分成哪些模組，使用了哪些系統呼叫，採用了哪些技巧，並將計算機病毒感染檔案的過程翻轉為清除計算機病毒、修復檔案的過程。動態分析是指，利用DEBUG等除錯工具在記憶體帶毒的情況下，對計算機病毒做動態跟蹤，觀察計算機病毒的具體工作過程，以進一步在靜態分析的基礎上理解計算機病毒的工作原理。

校驗和法

計算正常檔案的校驗和，並將結果寫入此檔案或其他檔案中儲存。在檔案使用過程中或使用之前，定期檢查檔案的校驗和與原來儲存的校驗和是否一致，從而可以發現檔案是否被感染，這種方法稱為校驗和。該方法優點是方法簡單，能發現未知病毒，也能發現被檢查檔案的細微變化。缺點是會誤報警，不能識別病毒名稱，不能對付隱蔽型病毒。

行為監測法

行為監測法是利用病毒的特有行為特徵性來監測病毒的方法。監測病毒的行為特徵如下。

——佔有INT 13H所有的引導型病毒，都攻擊Boot扇區或主引導扇區。

——修改DOS系統資料區的記憶體總量。

——對.com、.exe檔案進行寫入操作。

——病毒程式與宿主程式進行切換。

行為監測法的優點是可發現未知病毒，能夠相當準確地預報未知的多數病毒。行為監測法的缺點是會誤報警，不能識別病毒

名稱，實現時有一定難度。

軟體模擬掃描法

該技術專門用於對付多型性計算機病毒，能夠模擬CPU執行，在DOS虛擬機器下偽執行計算機病毒程式，安全地將其解密，然後再進行掃描。

先知掃描法

先知掃描技術就是將專業人員用來判斷程式是否存在計算機病毒程式碼的方法，分析歸納成專家系統和知識庫，再利用軟體仿

真技術偽執行新的計算機病毒，超前分析出新計算機病毒程式碼，用於對付以後的計算機病毒。

人工智慧陷阱技術和巨集病毒陷阱技術

人工智慧陷阱技術是一種監測計算機行為的常駐式掃描技術。其優點是執行速度快、操作簡便，且可以檢測到各種計算機病

毒；缺點是程式設計難度大，且不容易考慮周全。

巨集病毒陷阱技術則是結合了特徵程式碼法和人工智慧陷阱技術，根據行為模式來檢測已知及未知的巨集病毒。

實時I/O掃描

實時I/O掃描的目的在於即時對計算機上的輸入/輸出資料作病毒碼比對，希望能夠在病毒尚未被執行前，將病毒防禦於門外。

網路病毒檢測技術

網路監測法是一種檢查、發現網路病毒的方法。網路病毒的特點是通過網路進行傳播，如果在伺服器、網路接入端和網站設定病毒防火牆，可以起到大規模防止病毒擴散的目的。

防毒技術

將染毒檔案的病毒程式碼摘除，使之恢復為可正常執行的檔案，稱為病毒的清除。清除病毒所採用的技術稱為防毒技術。

引導型病毒的清除

引導型病毒感染時一般攻擊硬碟主引導區以及硬碟或移動儲存介質的Boot扇區。一般使用FDISK/MBR可以清除大多數引導型病毒。

巨集病毒的清除

為了恢復巨集病毒，須用非文件格式儲存足夠的資訊。RTF（Rich Text Format）適合保留原始文件的足夠資訊而不包含巨集。然後退出文件編輯器，刪除已感染的文件檔案以及Normal.dot和start-up目錄下的檔案。

檔案型病毒的清除

一般檔案型病毒的染毒檔案可以修復。當恢復受感染檔案需要考慮下列因素。

——不管檔案的屬性，測試和恢復所有目錄下的可執行檔案。

——希望確保檔案的屬性和最近修改時間不改變。

——一定考慮一個檔案多重感染的情況。

病毒的去啟用

清除記憶體中的病毒是指把RAM中的病毒進入非啟用狀態。這需要作業系統和組合語言的知識。

使用殺病毒軟體清除病毒

計算機一旦感染病毒，一般使用者首選是使用殺病毒軟體來清除病毒。其優點是使用方便、技術要求不高，不需要具有太多的計算機知識。缺點是有時會刪除帶毒檔案，可能導致系統不能正常執行，同時需要經常升級病毒程式碼庫。

結語

在因特網技術以及計算機技術不斷髮展的形勢下，我國已經完全進入資訊化時代，資訊化時代的到來，使得人們的生活以及工作都得到了極大地方便，但是，在為人們提供錄入巨大方便的同時，網路同樣也存在著一定的安全隱患。

因此，我們對於一些開放型的資訊必須要加大其控制的力度，嚴防黑客以及破壞分子的不法行為。這是一場無形的戰鬥，在這場鬥爭中，安全技術是最為關鍵的方面，提高安全防禦技術，是提高我國計算機網路安全的根本所在。