6.3.3 计算机病毒与木马
本课核心知识点整理
病毒的本质
计算机病毒本质上是一组计算机指令或程序代码。它会破坏计算机功能或数据、影响正常使用,并具有自我复制能力。
课堂强调病毒题主要考两类:病毒的特性,和按感染对象等方式做简单分类。现实中的病毒名称非常多,不可能靠背全名单解决,关键是抓行为特征。
病毒的主要特性
| 特性 | 含义 |
|---|---|
| 破坏性 | 破坏功能、数据或系统运行 |
| 传染性 | 通过文件、U 盘、邮件、网络等传播 |
| 自我复制 | 能复制自身代码 |
| 隐蔽性 | 隐藏文件、进程或行为,不易发现 |
| 潜伏性 | 长时间潜伏,暂不发作 |
| 触发性 | 满足时间、事件、操作等条件后发作 |
例如 U 盘病毒可能插一台感染一台;邮件病毒可能通过内网邮件迅速传播;潜伏病毒可能平时不表现,到了特定日期或事件才破坏。
病毒、蠕虫、木马区别
| 类型 | 关键特征 | 典型题干 |
|---|---|---|
| 病毒 | 依附/感染文件或程序,运行后复制传播 | 感染可执行文件、引导区、宏 |
| 蠕虫 | 借助网络漏洞自我传播,不一定依附宿主文件 | 自动扫描网络、快速扩散 |
| 木马 | 伪装正常程序,隐藏控制、窃取或后门功能 | 看似正常工具,暗中远程控制 |
| 后门 | 绕过正常认证的隐藏入口 | 保留秘密访问通道 |
| 间谍软件 | 收集用户信息和行为 | 监控、窃取隐私 |
一句话记忆:病毒看感染,蠕虫看自传播,木马看伪装和控制。
按感染对象分类
| 类型 | 感染对象 |
|---|---|
| 引导型病毒 | 磁盘引导区、启动相关区域 |
| 文件型病毒 | 可执行文件等 |
| 宏病毒 | Office 文档宏 |
| 混合型病毒 | 同时具备多种感染方式 |
考试如果给出病毒名称但你没见过,不要慌,优先从题干描述的传播方式和感染对象判断。
防护思路
| 风险 | 防护 |
|---|---|
| 文件感染 | 杀毒软件、来源校验、不运行未知程序 |
| 网络蠕虫 | 系统补丁、关闭不必要端口、边界防护 |
| 木马远控 | 最小权限、应用白名单、行为监控 |
| 勒索破坏 | 离线备份、权限隔离、补丁和邮件防护 |
| 潜伏触发 | 定期扫描、日志审计、异常监控 |
例题
伪装成正常程序,暗中提供远程控制功能的恶意软件通常是:
计算机病毒区别于普通错误程序的重要特征是:
利用网络漏洞自动扫描并扩散的恶意软件通常称为:
自查要点
- 病毒的破坏性、传染性、潜伏性、触发性分别是什么意思?
- 病毒、木马、蠕虫的判断关键词分别是什么?
- 宏病毒为什么和文档有关?
- 为什么补丁管理能降低蠕虫传播风险?
- 为什么备份是应对破坏性恶意软件的重要手段?