信息安全学习笔记（五）------计算机病毒

计算机病毒

1. 病毒概述：病毒是某些人利用计算机软件，硬件所固有的脆弱性，编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质或程序中，达到某种条件时被激活，同时可以通过修改其他程序的方法感染其他软件，达到对计算机资源进行破坏的一组程序和指令。
   计算机病毒官方定义为指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2. 计算机病毒的特征：
   1)传染性：计算机病毒是一段人为设置的计算机程序代码，这段代码一旦进入计算机并得以执行，他会搜索其他符合其传染条件的程序或者存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。
   只要一台计算机被感染，如不及时处理，那麽病毒就会在这台计算机上复制，其中大量的文件（大部分是可执行文件）会被感染，在与其他计算机交互的过程中（包括U盘，网络）就会造成其他计算机的感染。
   2)隐蔽性：计算机病毒一般短小精悍的程序，通常附着在正常程序或者磁盘中比较隐晦的地方，也有个别以隐藏文件的形式出现。
   3)潜伏性：大部分病毒感染计算机后不会立即发作，他可以长期隐藏在系统中，只有在满足条件时才会发作。
   4)破坏性：降低计算机效率，占用资源；导致系统崩溃；

3. 计算机病毒的命名：<病毒前缀>.<病毒名>.<病毒后缀>
   病毒前缀：指一个病毒的种类。比如木马病毒是Trojan，蠕虫病毒是Worm。
   病毒名：用来区别和标识病毒家族。比如CIH病毒的家族名统一都是CIH，震荡波蠕虫病毒标识名Sasser。
   病毒后缀：指一个病毒的变种。
   常见的病毒解释
   

4. 典型病毒分析：
   1)U盘病毒
   &&U盘“runauto…”文件夹病毒及清除方法：
   对于计算机硬盘中出现的“runauto…”文件夹不能删除的情况，主要是其真实名称是“runauto…\”，其所在目录是MS-DOS，只要在cmd下输入"C："，然后在输入"rd/s/q runauto…"即可
   &&U盘“autorun.inf”文件病毒及清除方法：
   目前几乎所有U盘类病毒都是利用autorun.inf这一文件来进行侵入的，这就好像人身上的一个创口，任何病毒都可能通过此处进入。autorun.inf这一文件本来是为了让U盘，光盘在计算机内自动运行，其是保存在驱动器根目录下的一个隐藏文件。autorun.inf可以为黑客所利用主要是因为自动，当U盘，光盘放入计算机就可以自动启动，而如果是病毒的话也会自动启动。但是堂而皇之地将病毒放入U盘就肯定会被发现，因此就用如下两种方法来隐藏病毒
   a.假回收站的方式：病毒通常在U盘中建立一个RECYCLER的文件夹，把病毒藏在很深的目录中。一般人就会以为这是回收站。
   b.冒充杀毒软件：
   如果发现U盘中有autorun.inf文件应立即杀毒；有类似回收站，杀毒软件的文件夹应立即杀毒；
   2)ARP病毒：ARP地址欺骗病毒是一类特殊的病毒，属于木马病毒。当其发作时会向全网发送伪造的ARP数据包，干扰整个网络的运行。
   ARP病毒通过伪造的IP，MAC地址实现ARP欺骗，使得网络阻塞或者中间人攻击。
   当局域网内的某台主机运行了ARP病毒时就会欺骗局域网内的其他所有主机和路由器，让所有上网流量流经病毒主机。其他用户原先直接通过路由器上网改为通过病毒主机上网，切换过程中会造成断网，然后当用户再次登陆时黑客就可以通过流经的数据包获得登录账号和密码。
   可以通过360ARP防火墙解决此问题