如何識別病毒和木馬

如何識別病毒和木馬

    病毒和木馬對電腦有著強大的控制和破壞能力，它們可能盜取目標主機的登錄賬戶和密碼、刪除目標主機的重要文件、重新啟動目標主機、使目標主機系統癱瘓等惡意行為。因此，電腦上網時的安全防范則顯得尤為重要。

    1．病毒

    電腦病毒是指編制或在電腦程序中插入的可以破壞計算機功能或毀壞數據、影響電腦使用並能自我復制的一組電腦指令或程序代碼。電腦病毒可以快速蔓延且難以根治。電腦病毒不是獨立存在的，而是寄生在其他可以執行的程序中，具有很強的隱藏性和破壞性，當將攜帶有病毒的文件復制或從一個用戶傳送給另一個用戶對，它們就隨同文件一起蔓延起來。

    想要保護好電腦及網絡安全，了解並識別病毒是非常有必要的，電腦病毒可以根據以下屬性進行分類。

    按病毒存在的媒體

    根據病毒存在的媒體，病毒可以劃分為網絡病毒、文件病毒以及引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件；文件病毒感染計算機中的文件（如：COM、EXE和DOC等）；引導型病毒感染啟動扇區( Boot)和硬盤的系統引導扇區(MBR)。還有這3種情況的混合型，如多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規的辦法侵入系統，同

時使用了加密和變形算法。

    按病毒傳染的方法

    根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒。駐留型病毒感染計算機後，把自身的內存駐留部分放在內存（RAM）中，這一部分程序掛接系統調用並合並到操作系統中去，它處於激活狀態，一直到關機或重新啟動；非駐留型病毒在得到機會激活時並不感染計算機內存，一些病毒在內存中留有小部分，但是並不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。

    按病毒破壞的能力

    無害型：除了傳染時減少磁盤的可用空間外，對系統沒有其他影響。

    無危險型：這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。

    危險型：這類病毒在計算機系統操作中造成嚴重的錯誤。

    非常危險型：這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害，並不是本身的算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其他的程序產生的錯誤也會破壞文件和扇區，這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其他操作系統造成破壞。例如在早期的病毒中，有一個Denzuk病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在後來的高密度軟盤上卻能引起大量的數據丟失。

    按病毒的算法

    伴隨型病毒並不會改變文件本身，它們是根據算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名( COM)。例如XCOPY.EXE的伴隨體是XCOPY-COM，病毒把自身寫入COM文件時並不改變EXE文件。但是，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EXE文件。

    “蠕蟲”型病毒是通過計算機網絡傳播，不改變文件和資料信息，利用網絡從一台計算機的內存傳播到其他計算機的內存中，計算網絡地址，將自身的病毒通過網絡發送。有時它們在系統存在，一般除了內存不占用其他資源。

    寄生型病毒除了伴隨著“蠕蟲”型病毒，其他病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或文件中，通過系統的功能進行傳播，按其算法不同可分為以下3種。

    練習型病毒，病毒自身包含錯誤，不能進行很好的傳播，如一些病毒在調試階段。

    詭秘型病毒一般不會直接修改DOS中斷和扇區數據，而是通過設備技術和文件緩沖區等DOS內部修改，不易看到資源，使用比較高級的技術。利用DOS空閒的數據區進行工作。

    變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的***算法和被變化過的病毒體組成。

  2．木馬

  木馬又稱為特洛伊木馬，英文叫做Troj an horse，其名稱取自希臘神話的特洛伊木馬記。

    它是一款基於遠程控制的黑客工具．在黑客進行的各種攻擊行為中，木馬都起到了開路先鋒的作用。一台電腦一旦中了木馬，它就成了一台傀儡電腦，又稱“肉機”，對方可以在目標計算機中上傳文件、偷窺私人文件、偷取賬號密碼及口令信息等，可以說該計算機的一切秘密都將暴露在黑客面前，沒有隱私可言。

    隨著網絡技術的發展，現在的木馬可謂是品種繁多、花樣百出，並且還在不斷地增加。因此，要想一次性列舉所有的木馬種類是不可能的事。但是，從木馬的主要攻擊能力來劃分，常見的木馬主要有以下幾種類型，下面將分別進行介紹。

    密碼發送木馬

    密碼發送型木馬可以在受害者不知道的情況下把找到的所有隱藏密碼改善到指定的信箱，從而達到獲取密碼的目的，這類木馬大多使用25號端口發送E-mail。

    破壞記錄木馬

    顧名思義，破壞性木馬唯一的功能就是破壞感染木馬的計算機文件系統，使其遭受系統崩潰或者重要數據丟失的巨大損失。

    鍵盤記錄木馬

    鍵盤記錄型木馬主要用來記錄受害者的鍵盤敲擊記錄，這類木馬有在線和離線記錄兩個選項，分別記錄對方在線和離線狀態下敲擊鍵盤時的按鍵情況。

    代理木馬

    代理木馬最重要的任務是給被控制的“肉機”種上代理木馬，讓其變成攻擊者發動攻擊的跳板。通過這類木馬，攻擊者可在匿名情況下使用Telnet、ICO、IRC等程序，從而在入侵的同時隱藏自己的足跡，謹防別

人發現自己的身份。

     FTP木馬

    FTP木馬的唯一功能就是打開21端口並等待用戶連接，新FTP木馬還加上了密碼功能，這樣只有攻擊者本人才知道正確的密碼，從而進入對方的計算機。（平方米符號：平方米符號怎麼打？http://./html/xwzx/6641.html）

    反彈端口型木馬

    反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，正好與一般木馬相反。木馬定時監測控制端的存在，發現控制端上線立即彈出主動連接控制端打開的主動端口。

如何識別病毒和木馬.