篇一:恶意程序
恶意程序
一、分类
1.单一功能病毒:计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或程序代码。
特点:破坏性、传染性、隐藏性、寄生性、潜伏性、欺骗性。
(1) 文件感染病毒 :主要感染计算机中.exe或.doc等可执行程序。
(2) 宏病毒:是一种专门寄生在具有宏功能的文档或模板中的计算机病毒。
(3) 引导型病毒:引导型病毒将其代码写入MBR主引导去(硬盘0头0柱面第一个扇区)
或BR引导区(硬盘逻辑0扇),将其真正的引导区内容转移或替换。
(4) 邮件型病毒:主要通过电子邮件传播。
2.木马
木马是指通过伪装欺骗手段诱使用户安装运行,但不具有复制、传播能力的恶意代码。主要功能是对远端目标主机实现远程控制。
木马和病毒的主要区别:木马没有病毒的繁殖性和自动感染功能,而病毒往往不具备远程控制功能。
3.蠕虫
蠕虫是指可以通过网络等途径,自动将自身的全部代码或部分代码通过网络复制、传播给其他网络中计算机的完全独立可运行程序。
不同于病毒的是 不需要宿主文件。
组成:主程序、引导程序。
防护:及时打补丁。蠕虫没有扩散可用的漏洞,就无法自动扩散。
4.恶意脚本
可以直接对浏览器中的首页信息等进行修改和控制,甚至实施网站挂马、主页替换、跨站点脚本攻击等恶意操作。
载体是Web系统。所以,对Web系统进行有效的防范是防止恶意脚本攻击的根源。
5.综合性病毒
具备多种感染传播功能才能实现,这种病毒即为综合型病毒
二、恶意程序的传播方式和破坏功能
1.恶意程序的传播方法:网站挂马、诱骗下载、通过移动存储介质传播(自动播放文件autorun.ini)、通过电子邮件和即时通信软件传播、通过局域网传播(利用局域网其他计算机中 网络服务程序的漏洞 和 共享机制 实现传播)。
2.恶意程序的破坏功能:浏览器配置被修改、窃取用户密码账号等隐私信息、实现远程控制、破坏系统或网络的正常运行(eg:修改Hosts文件,利用虚假IP地址的映像劫持技术来屏蔽计算机与安全站点之间的连接)。
三、恶意程序检查查杀技术:特征码查杀、启发式查杀、基于虚拟机技术的行为判定、主动防御。
1.特征码查杀技术:提取典型代码特征添加到特征库中~匹配成功则检测出相应特征码对应的恶意程序。对采用了加密和变形等加壳技术的恶意程序失去作用。
特征码的提取(十六进制串作为特征串,或十六进制的校验和作为特征码)
第一种方法,提取恶意程序代码中的特征码。
第二种方法,通过特殊字符串提取特征码。
第三种方法,提取通杀特征码。
2.启发式查杀技术
通过实现分析恶意程序执行指令的顺序或特定行为组合情况等特征,建立检测的基准行
为或指令的样本库,并以这些基准行为或指令的特征来检测并确定是否是恶意程序。
启发式查杀技术具有对加壳变形的恶意程序的检测能力,还具有对未知病毒一定的检测能力。但是会造成误报。
3.虚拟机查杀技术
虚拟机查杀技术是在扫描恶意程序时,通过将恶意程序加载到虚拟机环境中运行,从而让恶意程序自动脱壳还原为原有状态,在进行检测查杀的技术。
利用虚拟机技术可以发现大部分的变形病毒和加壳的未知病毒。但是需要消耗较多的系统资源,可能引起性能的下降。
4.主动防御技术
主动防御技术不是事先对恶意程序的查杀,而是实现对恶意程序的及时拦截。
四、恶意程序的防范
(1)做好计算机自身的安全防范;
(2)防止网站浏览和访问造成的恶意程序入侵;
(3)防止因下载而造成的恶意程序入侵;
(4)防止通信类软件造成的恶意程序入侵;
(5)防止因移动存储介质造成的恶意程序入侵;
(6)防止基于局域网的恶意程序入侵(关闭文件共享功能);
Web安全防护
1 客户端安全防护
2 通信信道安全防护
3 服务器端安全防护
Web安全检测:黑盒检测 白盒检测
1. 木马:具有远程控制、信息偷取、隐蔽传输功能的恶意程序。
特点:伪装性、隐蔽性、窃密性、破坏性。
组成:客户端、服务端。
木马的连接方式:传统连接技术、反弹端口技术、线程插入技术。
木马的隐藏技术:线程插入技术、DLL动态劫持技术、Rootkit技术(一种内核隐藏技术)。
2. Webshell:具有较为强大的远程控制功能。
第六章
一.简要说明与其他计算机病毒相比,网络病毒表现出来的特点,并说明为什么会表现出这些新特点?
1.传染方式多 2.传染速度快 3.清除难度大 4.破坏性强
原因:
二.简述注册表中键值分成哪几大类?每大类键值在整个计算机系统设置中所起的作用是什么?
Windows的注册表是控制系统启动、运行的最底层设置,其数据保存在文件System.dat和User.dat中,这些文件至关重要,但又极其脆弱。
注册表包括以下5个主要键项:
HKEY_CLASSESE_ROOT:包含启动应用程序所需的全部信息,包括扩展名、应用
程序与文档之间的关系,驱动程序名、DDE和OLD信息,类ID编号和应用程
序与文档的图标等。
(2) HKEY_CURRENT_USER:包含当前登录用户的配置信息,包括环境变量,个人
程序,桌面设置等。
(3) HKEY_LOCAL_MACHINE:包含本地计算机的系统信息,包括硬件和操作系统信
息,如设备驱动程序,安全数据和计算机专用的各类软件设置信息。
(4) HKEY_USERS:包含计算机所有用户使用的配置数据,这些数据只有当用户登
录系统时才能访问。这些信息告诉当前用户使用的图标】激活的程序组、开
始菜单内容以及颜色字体等。
(5) HKEY_CURRENT_CONFIG:存放当前硬件的配置信息,其中的信息是从
HKEY_LOCAL_MACHINE映射出来的。
三.脚本病毒由哪些弱点?针对这些弱点,如何采取防范措施?
脚本病毒的弱点:
(1) 绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject。
(2) VBScript代码是通过Windows Script Host来解释执行的。
(3) VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。
(4) 通过网页传播的病毒需要ActiveX的支持。
(5) 通过E-mail传播的病毒需要OutlookExpress的自动发送邮件功能的支持,但大
部分病毒都是以E-mail为主要传播方式进行传播的。
防范措施:
(1) 禁用文件系统对象FileSystemObject;
(2) 卸载Windows Script Host;
(3) 删除VBS,VBE,JS,JSE文件后缀名与其应用程序的映射;
(4) 在Windows目录中,找到Wscript.exe,更改名称或者删除,如果觉得以后有机
会的话,更改名称即可,然后以后还可以重新装上;
(5) 自定义安全级别;
(6) 禁止OutlookExpress的自动收发邮件功能;
(7) 显示扩展名;
(8) 将系统的网络连接安全级别设置为“中等”以上,它可以在一定程度桑预防某
些有害的Java程序或者某些ActiveX组件对计算机的危害;
(9) 安全舒勇杀毒软件;
七.简述防范恶意网页病毒的方法,并说明如何清除感染的恶意网页病毒。
针对不同的特点,采取特定的方法来消除病毒;
1.IE浏览器窗口不停的打开,知道最后死机。
(1)Windoes98系统中, “开始/设置/控制面板/—添加/删除程序—Windows安装程序—附件,不勾选 Windows Scriping.exe 项,”最后将其卸载。
(2)Windows XP/2000系统中,“开始/搜索/文件或文件夹”,在系统目录(C:\WINDOWS\system.32)下,查找WScript.exe文件,将之删除。
删除之后,重启系统,就会消除这类病毒的破坏。
2.IE的主页设置被屏蔽锁定
通过修改注册表清除病毒。
3.在IE工具栏中有非法添加的按钮
修复方法:选中工具栏上的非法按钮—右键—自定义,找到非法按钮然后删除。 (1)
4.IE默认的搜索引擎被篡改
从注册表regedit中修改回原来的网址。
八.简述即时通信软件病毒的工作原理及其特点,并说明如何防范这一类病毒。
IM工作原理:即时通信病毒是利用IM软件的传输漏洞进行传播。
特点:1.更强的隐蔽性; 2.攻击更加便利; 3.更快的传播速度;
防范:(1)尽量不要在公共场合使用IM软件。 (2)随时注意微软公司官方的安全公告,及时下载更新系统漏洞补丁,不给病毒制造者以可乘之机。 (3)养成良好的上网习惯,时刻提高警惕。 (4)制定适合工作环境的内容信息交换规范,严格管理实时监控内部员工IM软件的使用情况。 (5)关闭或者删除系统中不需要的服务,如FTP客户端、Telnet及Web服务等。 (6)建议使用6位以上的复杂密码。 (7)当用户的计算机发现或者异常时,应该立即断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其他计算机。
九.简述网络病毒在防范及清除时需要注意的问题,以及必须采取的相关措施。
网络病毒的防御:首先必须对计算机的安全要有足够的重视,增强防范意识,健全管理制度,加强网络管理,使用合法软件,介绍病毒入侵的机会。
需要加以注意的集中措施:(1)使用无盘工作站; (2)尽量少用超级用户登录; (3)严格控制用户的网络使用权限; (4)不允许一个用户有对其他用户私人目录的读写和文件扫描的权利; (5)不允许第一个用户对同一目录有读写权利; (6)对某些频繁使用的或者非常重要的文件的属性加以控制,以免病毒传染; (7)对远程工作站的登录权限严格限制。
网络病毒的清除:由于网络病毒的特点,以及网络系统中各计算机之间的关联性,要求必须按照一定的步骤进行,以防止网络病毒的二次感染或者清除不彻底。
第七章
一.说明是计算机木马?
木马是指通过伪装欺骗手段诱使用户安装运行,但不具有复制、传播能力的恶意代码。主要功能是对远端目标主机实现远程控制。
二.木马按照功能划分为哪几类?
(1)密码发送型; (2)信息收集型; (3)远程控制型; (4)破坏型; (5)FTP型; (6)主动对抗型;
三.木马有哪些典型特征?
(1)隐蔽性; (2)自动运行性; (3)欺骗性; (4)自动恢复性; (5)功能的特殊性; (6)危害性;
四.木马的进程隐藏技术有哪些?
(1)进程伪隐藏; (2)进程插入; (3)DLL注入; (4)Rootkit技术;
五.木马是如何获取目标主机信息的?
(1)获取网络信息的主要手段就是通过扫描的方法对主机或网络发送相应探测数据包,根据返回数据确定各种网络信息的特征。 主要方法分为三类:高级ICMP扫描技术、高级TCP扫描技术、高级UDP扫描技术。
六.阐述木马技术的发展趋势。
七个方向:(1)ICMP木马;(2)DLL替换;(3)权限提升;(4)防火墙穿越;(5)模块化设计;(6)隐蔽加载;(7)感染方式多样化;
七.如何预防和清除“冰河”木马?
预防:首先在 控制面板—查看选项卡 里取消系统默认的“隐藏已知文件扩展名”选项。然后在C:/Windows/system的目录下,新建两个TXT文本文件,将文件名(包括“扩展名”)
改成Kernel32.exe和Sysexplr.ese,最后将文件属性设为只读、隐藏。在Windows NT/2000/XP中,如果系统有多个用户,则将访问权限设置为“everyone”都“拒绝访问”,其他继承权限也做相应的设置。
清除:
①除C:Windows/system下的Kernel32.exe和Sysexplr.exe文件。
②“冰河”会在注册表HKEY_LOCAL_MACHINE/software/Microsoft/windows/Current Verson/Run 下扎根,键值为C:windows/system/Kernel32.exe,删除它。
③在注册表的HKEY_LOCAL_MACHINE/software/Microsoft/windows/Current Verson/Runservices 下,还有键值为C:windows/system/Kernel32.exe的,也要删除。
④最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:windows/system/Sysexplr.exe%1改为正常情况下的C:windows/notepad.exe%1,即可恢复TXT文件的关联功能。
八.木马的防范策略有哪些?
(1)关闭本机不用的端口; (2)修改注册表权限; (3)不要随意打开来历不明的邮件; (4)不要随意下载来历不明的软件; (5)尽量少用共享文件夹; (6)运行实时监控程序; (7)经常升级和更新病毒库;
九.木马的检测方法有哪些?
1.查看开放端口; 2.查看win.ini和system.ini系统配置文件; 3.使用内存监测工具检查;
4.查看自启动文件; 5.查看注册表; 6.查看系统进程; 7.使用检测软件;
十.简述Linux木马的典型特征。
第八章
一.蠕虫与传统意义上的病毒在定义上有哪些不同?
蠕虫是通过网络传播,无需用户干预能够把独立地或者依赖文件共享主动攻击的恶意代码。
病毒是一段代码,能够把自身加到其他程序包括操作系统上。它不能独立运行,需要有他的宿主程序运行来激活它。
最主要的两点区别在于:
(1) 主动性方面:蠕虫的传播具有很强的主动性,他的运行与传播并不需要计算
机用户的干预;而病毒则必须要借助计算机用户的某种操作来激活它,这样
才能达到其攻击的目的。
(2) 感染对象方面:蠕虫感染的对象是有相应漏洞或者其他脆弱性的计算机系统,
而病毒的感染对象则是计算机中的文件系统。
二.请简述蠕虫的的行为特征有哪些?
主动攻击,行踪隐蔽,利用系统,网络应用服务漏洞,造成网络拥塞,降低系统性能,产生安全隐患,反复性,破坏性。
三.如何看待病毒的网络传播特性与蠕虫的传播特性之间的关系?
四.我们应该如何预防蠕虫?这和预防病毒有什么区别?
预防:1.加强人的安全意识; 2.提高软件产品的安全性(①安全编码;②非可执行的缓冲区;③数组边间检查;④加强对返回地址的保护;⑤及时打补丁或者升级)。
两者的区别:
篇二:病毒
1计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。[1]
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来
2病毒(Computer Virus)在《》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。[4]
计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质(或程序)里,条件满足时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。
3第一份关于计算机病毒的工作( "病毒" 一词当时并未使用)于 1949 年由翰·冯·诺伊曼完成。以 "Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲,后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。
1980 年,Jürgen Kraus 于撰写他的学位论文 "Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。 “病毒”一词最早用来表达此意是在(Fred Cohen)1984年的论文《电脑病毒实验》。[8]
1983 年 11月,在一次计算机学术上,学者第一次明确提出计算机病毒的概念,并进行了演示。
1986年年初,巴基斯坦兄弟编写了“()”病毒,又被称为“”病毒。 1987年,第一个电脑病毒C-BRAIN诞生。由兄弟:巴斯特(Basit)和阿姆捷特(Amjad)编写。计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。 1988年在的计算机上发现的,最早的计算机病毒。
1989年,引导型病毒发展为可以感染,的有“石头2”。 1990年,发展为,可感染和文件。
1992年,利用加载文件的顺序进行,具有代表性的是“”病毒。
1995年,当生成器的生成为病毒时,就产生了这种的“病毒生成器” ,病毒流行中国。[9] 典型病毒代表是“病毒制造机” “”。 1998年工学院刘盈豪编制了病毒。 2000年最具破坏力的10种病毒分别是:Kakworm,, Apology-B, Marker , ,
[10]
,Navidad,Ska-Happy99 ,WM97/Thus ,XM97/Jin。
2003年,中国地区发作最多的十个病毒,分别是:红色结束符、、FUNLOVE、QQ传送者、冲击波杀手、罗拉、、尼姆达II、、。[2] [11]
2005年,1月到10月,反病毒监测中心共截获或到的病毒达到50179个,其中马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,病毒多达2000多种。[12]
[13]
2007年1月,病毒累计感染了80%的,其中78%以上的病毒为木马、后门病毒。
猫烧香肆虐全球。[14]
2010年,全国计算机数量已500万台,其中93%受过病毒感染,感染电脑病毒共损失59000万亿。[ 4繁殖性
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。 破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。 传染性
计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。 潜伏性
计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作, 会使电脑变慢。 隐蔽性
计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。 可触发性
编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏 5
病毒介质、 等构成源。病毒传染的媒介由工作的来定。病毒活是将病毒放在内存, 并设置触发条件,触发的条件是多样化的, 可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。
病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。[19-20] 5分类 破坏性
良性病毒、恶性病毒、极恶性病毒、灾难性病毒。 传染方式
引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。
文件型病毒是文件感染者,也称为“寄生病毒”。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。
混合型病毒具有引导区型病毒和文件型病毒两者的特点。
宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。 连接方式
源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。 入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。
外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。[21] 计算机病毒种类繁多而且复杂,按照不同的方式以及计算机病毒的特点及特性,可以有多种不同的分类方法。同时,根据不同的分类方法,同一种计算机病毒也可以属于不同的计算机病毒种类。
按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类。 根据病毒存在的媒体划分:
网络病毒——通过计算机网络传播感染网络中的可执行文件。 文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。
引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。 还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
根据病毒传染渠道划分:
驻留型病毒——这种病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动 非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。 根据破坏能力划分:
无害型——除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。 危险型——这类病毒在计算机系统操作中造成严重的错误。
非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。 根据算法划分:
伴随型病毒——这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒——通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算机将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒——除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同还可细分为以下几类。 练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等对DOS内部进行修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 6命名
计算机病毒命名,DOS系统下病毒无前缀。(一般病毒命名格式:<前缀>.<病毒名>.<后缀>)
7征兆预防 病毒征兆
屏幕上出现不应有的特殊字符或图像、字符无规则变或脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提等。 发出尖叫、蜂鸣音或非正常奏乐等。
经常无故死机,随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地
磁碟机(2007年)[3]
变成无效设备等现象。
磁盘标号被自动改写、出现异常文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件(exe)变得无法运行等。
打印异常、打印速度明显降低、不能打印、不能打印汉字与图形等或打印时出现乱码。 收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等。[23-24] 保护预防
程序或数据神秘地消失了,文件名不能辨认等;注意对系统文件、可执行文件和数据写保护;不使用来历不明的程序或数据;尽量不用软盘进行系统引导。
不轻易打开来历不明的电子邮件;使用新的计算机系统或软件时,先杀毒后使用;备份系统和参数,建立系统的应急计划等。安装杀毒软件。分类管理数据。[25] [24] 网络安全 ? 网络安全 ??? 不可否认性 ??? 公钥基础设施 ??其他科技名词 ??? 入侵监测 ??
?
??? 安全审计 ?? 防火墙
??? 网络欺骗 ?? 电话网防火墙
??? 分组过滤 ?? 单机电话防火墙
? 应急通信 ??? 抗毁性 ??? 公钥加密 ?
? 身份验证 ??? 生存性 ??? 漏洞 ?
? 授权 ??? 有效性 ??? 病毒 ??
??
????
以上科技名词按拼音字母排序,排名不分先后 参考资料
1. .Microsoft [引用日期2014-09-14] .
2. .新华网 [引用日期2014-09-14] .
3. .网易 [引用日期2014-09-10] .
4. .网易 [引用日期2014-09-10] .
5. .国家计算机网络应急技术处理协调中心 [引用日期2014-09-14] . 6. 王贵和 .《计算机病毒原理与反病毒工具》 :科学技术文献出版社 ,1995年9月 . 7. .黑龙江农业信息网 [引用日期2014-09-10] . 8. .新浪网 [引用日期2014-09-10] . 9. .中国新闻网 [引用日期2014-09-10] . 10. .新浪网 [引用日期2014-09-10]
预防::1.不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。2.写保护所有系统软盘。3.安装真正有效的防毒软件,并经常进行升级。4.新购买的电脑在使用之前首先要进行病毒检查,以免机器带毒。5.准备一张干净的系统引导盘,并将常用的工具软件拷贝到该盘上,
篇三:WSH使用说明
走近WSH
WSH--这个在词典中都很难找寻的名词,对许多朋友来讲也许还比较陌生。但正是WSH ,使 Windows 操作系统具备了更为强大的功能。它让我们在使用系统时拥有了许多的便利,但同时,也让我们的电脑遭遇了不少的麻烦。下面,就让我们一步步走进 WSH 的神秘世界,共同评判它的是非功过。
一、WSH 是什么?
WSH,是“Windows Scripting Host”的缩略形式,其通用的中文译名为“Windows 脚本宿主”。对于这个较为抽象的名词,我们可以先作这样一个笼统的理解:它是内嵌于 Windows 操作系统中的脚本语言工作环境。
Windows Scripting Host 这个概念最早出现于 Windows 98 操作系统。大家一定还记得 MS-Dos 下的批处理命令,它曾有效地简化了我们的工作、带给我们方便,这一点就有点类似于如今大行其道的脚本语言。但就算我们把批处理命令看成是一种脚本语言,那它也是 98 版之前的 Windows 操作系统所唯一支持的“脚本语言”。而此后随着各种真正的脚本语言不断出现,批处理命令显然就很是力不从心了。面临这一危机,微软在研发 Windows 98 时,为了实现多类脚本文件在 Windows 界面或 Dos 命令提示符下的直接运行,就在系统内植入了一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境,并将其命名为“Windows Scripting Host”。WSH 架构于 ActiveX 之上,通过充当 ActiveX 的脚本引擎控制器,WSH 为 Windows 用户充分利用威力强大的脚本指令语言扫清了障碍。
再具体一点描述:你自己编写了一个脚本文件,如后缀为 .vbs 或 .js 的文件,然后在 Windows 下双击并执行它,这时,系统就会自动调用一个适当的程序来对它进行解释并执行,而这个程序,就是 Windows Scripting Host,程序执行文件名为 Wscript.exe (若是在命令行下,则为 Cscript.exe)。
WSH 诞生后,在 Windows 系列产品中很快得到了推广。除 Windows 98 外,微软在 Internet Information Server 4.0、Windows Me、Windows 2000 Server,以及 Windows 2000 Professional 等产品中都嵌入了 WSH。现在,早期的 Windows 95 也可单独安装相应版本的 WSH。(附:各种版本 WSH 的安装程序可以从 http://msdn.microsoft.com/scripting 站点下载)。
二、WSH 有什么用?
WSH 的设计,在很大程度上考虑到了“非交互性脚本(noninteractive scripting)”的需要。在这一指导思想下产生的 WSH,给脚本带来非常强大的功能,例如:我们可以利用它完成映射网络驱动器、检索及修改环境变量、处理注册表项等工作;管理员还可以使用 WSH 的支持功能来创建简单的登陆脚本,甚至可以编写脚本来管理活动目录。
而事实上,上述功能的实现,均与 WSH 内置的多个对象密切相关,这些内置对象肩负着
直接处理脚本指令的重任。因此,我们也可以通过了解 WSH 的内置对象来探寻 WSH 可以实现的功能。
图 1 是 WSH 的内置对象构成情况。
(图1)
从图中我们可以看出,WSH 共有 14 个内置对象,它们各自有着明确分工。具体而言,位于最底部的 Wscript ,主要作用是提取命令行变量,确定脚本文件名,确定 WSH 执行文件名(wscript.exe 还是 cscript.exe),确认 host 版本信息,创建、关连及分离 COM 对象,写入事件,按程序结束一个脚本文件的运行,向默认的输出设备(如对话框、命令行)输出信息等;WshArguments 的作用是获取全部的命令行变量; WshNamed 负责获取指定的命令行参数集;WshUnnamed 负责获取未经指定的命令行参数集;WshNetwork 的主要作用是开放或关闭网络共享,连接或断开网络打印机,映射或取消网络中的共享,获取当前登陆用户的信息;WshController 可以创建一个远程脚本对象;WshRemote 可以实现网络中对计算机系统的远程管理,也可按计划对其它程序/脚本进行处理;WshRemote Error 的作用在于:当一个远程脚本(WshRemote 对象)因脚本错误而终止时,获取可用的错误信息;WshShell 主要负责程序的本地运行,处理注册表项、创建快捷方式、获取系统文件夹信息,处理环境变量;WshShortcut 主要用于按计划创建快捷方式;WshSpecialfolders 用于获取任意一个 Windows 特殊文件夹的信息;WshURLShortcut 用于按程序要求创建进入互联网资源的快捷方式;WshEnvironment 用于获取任意的环境变量(如 WINDIR, PATH, 或 PROMPT);WshScriptExec 用于确定一个脚本文件的运行状态及错误信息。
在这些内置对象的帮助下,我们就可以利用 WSH 充分发挥 VBScript 及 JScript 等脚本的强大威力,极大地提高我们的工作效率。
三、WSH 是怎样工作的?
WSH 的工作流程,实际上就是脚本文件被解析并执行的过程。我们知道,现在脚本经常会
被植入网页,其中包括 HTML 页面(客户机端)和 ASP 页面(服务器端)。对于植入 HTML 页面的脚本,其所需的解析引擎会由 IE 这样的网页浏览器载入;对于植入 ASP 页面的脚本,其所需的解析引擎会由 IIS(Internet Information Services)提供。
而对于出现在 HTML 和 ASP 页面之外的脚本(它们常以独立的文件形式存在),就需要经由 WSH 来处理了。在这里要插一句“废话”:WSH 的正常工作的前提,是你必须安装了微软 3.0 或更高版本的 IE,因为 WSH 在工作时会调用 IE 中的 VBScript 和 JScript 解析引擎。
现在,就让我们来看看脚本文件经由 WSH 执行的过程。为了更加直观,笔者根据有关资料绘制了一幅工作流程图(图2),从图中大家能对 WSH 在脚本文件运行中所起到的作用有个理性认识。对于这个流程图,还需要补充两点:1、图中第(2、3)步,WSH 根据脚本文件后缀名,到系统注册表中查询所需的脚本引擎时,VBScript 和 JScript 两种语言的解析引擎是 Windows 系统中原有的,而其它脚本语言的解析引擎,如 PERL、TCL等,需要用户另行定义;2、第(5)步执行脚本命令时,一些脚本指令会使用到 WSH 内置对象所提供的服务(参见本文第二部分),例如处理注册表项。这时,脚本指令就会向 WSH 提出请求,并由 WSH 完成所需任务。也正是在这一步,WSH 的功用得到了淋漓尽致的发挥。
(图2)
四、WSH 怎么用?
谈到这个问题,就不太好讲了。正如前面所述,WSH 实际上是一个脚本语言的运行环境,它之所以具备强大的功能,是在于充分挖掘了脚本语言的潜力。因此,如果抛开脚本语言而空谈 WSH ,那实际上就没有了意义。而如果再展开来讲述脚本语言,显然就离开了今天的主题。
在这种情况下,只好采取一种折衷的方法:给大家推荐几个脚本文件利用 WSH 执行任务
的实例,希望大家能通过这些例子对 WSH 的使用有一个初步的了解。
脚本文件的编写十分方便,你可以选用任意一个文字编辑软件进行编写,写完后,你只需将它保存为 WSH 所支持的文件名就行了(如 ..js 文件、.vbs 文件)。最常用的编辑器当然就是我们的记事本(Notepad)了,下面的实例都是以它作为工具编写的。
准备好了吗?让我们先来看一个最简单的例子吧。打开记事本,在上面写下:
WScript.Echo("走近 WSH")
好了,将它保存为以 ..vbs 或 .js 为后缀名(可千万不要弄成了 ..txt)的文件并退出记事本。双击执行这个文件,看看结果吧,是不是很有意思?
有了第一印象后,我们继续往下看。
这一次,我们要利用 WSH 完成一次创建十个文件夹的工作。代码如下:
dim objdir
set objdir=wscript.createobject("scripting.filesystemobject")
for k=1 to 10
anewfolder="c:\chapter" & k
objdir.createfolder(anewfolder)
next
同样,将它存为 .vbs 文件并退出。运行后,我们会发现,C 盘根目录下一次性多出了十个新文件夹。
最后,再举一个在服务器上的运用。下面的代码将帮助你重新启动指定的 IIS 服务:
' define a constant for stopped services
Const ADS_SERVICE_STOPPED = 1
' get an ADSI object for a computer
Set objComputer = GetObject("WinNT://MYCOMPUTER,computer")
' get an object for a service
Set objService = objComputer.GetObject("Service","MYSERVICE")
' check to see if the service is stopped
If (objService.Status = ADS_SERVICE_STOPPED) Then
' if the service is stopped, then start it
objService.Start
End If
将它以 startsvc.vbs 为名保存在 C: 盘根目录。并通过如下命令执行:CSCRIPT C:\STARTSVC.VBS 。运行后,经你指定的 IIS 服务项将被重新开启。
已经举了三个例子,其实,在 Windows 的 samples 目录下,有个 WSH 文件夹,那里面有不少很具代表性的 .vbs 和 .js 脚本文件。大家有空可以打开来看看,相信会受益匪浅的。
此外,利用 WSH ,我们还可以自己编写脚本文件来提高网络管理方面的效率。但由于受条件限制,本人在这方面的使用心得并不多,因此也就不好多说了^_^。不过,网上这方面现成的代码倒是很多,大家有兴趣可以去研究一下。
五、WSH 有不足吗?
答案当然是肯定的。任何事物都有两面性,WSH 也不例外。应该说,WSH 的优点在于它使我们可以充分利用脚本来实现计算机工作的自动化;但不可否认,也正是它的这一特点,使我们的系统又有了新的安全隐患。许多计算机病毒制造者正在热衷于用脚本语言来编制病毒,并利用 WSH 的支持功能,让这些隐藏着病毒的脚本在网络中广为传播。去年曾名燥一时的 I Love You 便是一个典型代表。因此,大家对于来历不明、尤其是邮件附件里的一些脚本文件还是应该保持戒备。至于相应的防范措施,笔者在别的文章中已有论述,在此就不再罗嗦了。
以上文字,希望能对大家认识 WSH 有所帮助。在运用过程中,大家若有什么心得或发现,别望了一起分享哦。
强制关机脚本,有兴趣的同学可以研究 on error resume next
dim WSHshellA
set WSHshellA = wscript.createobject("wscript.shell")
WSHshellA.run "cmd.exe/c shutdown -r -t 10 -c ""叫**,不叫**就10秒关你机,不信,试试···"" ",0 ,true dim a
do while(a <> "**")
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
《vbs脚本病毒制造机》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/30509.html
转载请保留,谢谢!
- 上一篇:幼儿园小朋友过生日
- 下一篇:幼师实习内容