計(jì)算機(jī)科學(xué)與技術(shù)畢業(yè)論文

計(jì)算機(jī)科學(xué)與技術(shù)畢業(yè)論文

題目計(jì)算機(jī)病毒的預(yù)防技術(shù)探討

專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)

摘要：

二十一世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。在當(dāng)今科技迅速發(fā)展的時(shí)代，計(jì)算機(jī)技術(shù)不僅給人們帶來了便利與驚喜，同時(shí)也在遭受著計(jì)算病毒帶來的煩惱和無奈，因?yàn)橛?jì)算機(jī)病毒不僅破壞文件，刪除有用的數(shù)據(jù)，還可導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，給計(jì)算機(jī)用戶造成巨大的損失。目前計(jì)算機(jī)病毒可以滲透到信息社會(huì)的各個(gè)領(lǐng)域，給計(jì)算機(jī)系統(tǒng)帶來了巨大的破壞和潛在的威脅。為了確保信息的安全與暢通，因此，研究計(jì)算機(jī)病毒的防范措施已迫在眉睫。本文從計(jì)算機(jī)的特點(diǎn)入手，來初步探討對(duì)付計(jì)算機(jī)病毒的方法和措施。

關(guān)鍵詞：計(jì)算機(jī)、防范、病毒

Abstract:

Thetwenty-firstcenturywillbetheworld'scomputersgotogetherthroughtheInternet,informationsecurity,thecontentalsohasbeenafundamentalchange.Itisnotonlyfromthegeneral'sdefensehasbecomeaverycommonprecautions,butalsofromaspecializedareabecameubiquitous.Intoday'seraofrapidtechnologicaldevelopment,computerandnetworktechnologynotonlybringsconveniencetopeoplewithsurprises,butalsointermssufferfromboredomandfrustrationcausedbyviruses,becausecomputervirusesnotonlyunderminethefile,deletetheusefuldata,butalsoleadtoparalysisoftheentirecomputersystemtogivecomputeruserstocausegreatlosses.Atpresentthecomputerviruscanpenetrateintotheinformationsocietyinvariousfields,tothecomputersystembroughttremendousdamageandpotentialthreat.Inordertoensurethesafetyandsmoothflowofinformation,andthereforethestudycomputervirusprecautionsimminent.Inthispaper,thecharacteristicsofthecomputerandtrytodealwithcomputervirusespreliminarystudymethodsandmeasures.

Keywords:

Computer,prevention,virus

第一章：計(jì)算機(jī)病毒的內(nèi)涵、類型及特點(diǎn)

隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用，計(jì)算機(jī)病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報(bào)道，世界各國(guó)遭受計(jì)算機(jī)病毒感染和攻擊的事件數(shù)以億計(jì)，嚴(yán)重地干擾了正常的人類社會(huì)生活，給計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時(shí)，病毒技術(shù)在戰(zhàn)爭(zhēng)領(lǐng)域也曾廣泛的運(yùn)用，在海灣戰(zhàn)爭(zhēng)、近期的科索沃戰(zhàn)爭(zhēng)和伊拉克戰(zhàn)爭(zhēng)中，雙方都曾利用計(jì)算機(jī)病毒向敵方發(fā)起攻擊，破壞對(duì)方的計(jì)算機(jī)網(wǎng)絡(luò)和武器控制系統(tǒng)，達(dá)到了一定的政治目的與軍事目的?？梢灶A(yù)見，隨著計(jì)算機(jī)、網(wǎng)絡(luò)運(yùn)用的不斷普及、深入，防范計(jì)算機(jī)病毒將越來越受到各國(guó)的高度重視。

1．1計(jì)算機(jī)病毒的定義及內(nèi)涵

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼,對(duì)計(jì)算機(jī)的正常使用進(jìn)行破壞，使得電腦無法正常使用甚至整個(gè)操作系統(tǒng)或者電腦硬盤損壞。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。這種程序不是獨(dú)立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度，使機(jī)器不能正常運(yùn)行；重則使機(jī)器處于癱瘓，會(huì)給用戶帶來不可估量的損失。通常就把這種具有破壞作用的程序稱為計(jì)算機(jī)病毒。

除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖像上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計(jì)算機(jī)的全部性能。

計(jì)算機(jī)病毒：一種計(jì)算機(jī)程序，它可以附屬在可執(zhí)行文件或隱藏在系統(tǒng)數(shù)據(jù)區(qū)中，在開機(jī)或執(zhí)行某些程序后悄悄地進(jìn)駐內(nèi)存，然后對(duì)其它的文件進(jìn)行傳染，使之傳播出去，然后在特定的條件下破壞系統(tǒng)或騷擾用戶。目前有很多的清除病毒的軟件，但是新病毒還是層出不窮，成為一大危害。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好被環(huán)境激發(fā)，即可感染和破壞。

“計(jì)算機(jī)病毒”一詞最早是由美國(guó)計(jì)算機(jī)病毒研究專家F--Cohen博士提出的?！安《尽币辉~是借用生物學(xué)中的病毒。通過分析、研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。要做反計(jì)算機(jī)病毒技術(shù)的研究，首先應(yīng)搞清楚計(jì)算機(jī)病毒的特點(diǎn)和行為機(jī)理，為防范和清除計(jì)算機(jī)病毒提供充實(shí)可靠的依據(jù)。

1．2計(jì)算機(jī)病毒的類型

病毒是具有破壞修改計(jì)算機(jī)數(shù)據(jù),及硬件得程序。病毒的攻擊主要是通過“復(fù)制”、“改寫”、“刪除”等功能來實(shí)現(xiàn)。

1、可恢復(fù)性破壞：運(yùn)行時(shí)將宿主程序復(fù)原，保持正常運(yùn)行。

2、毀壞性破壞：傳染時(shí)對(duì)宿主程序進(jìn)行覆蓋性重寫，例如：405病毒。

3、替換性破壞：保持原文件名不變，例如：如Alabama，format命令變成del命令。

4、更新式傳染：有些病毒家族進(jìn)行自動(dòng)升級(jí)更新。

5、釋放式傳染：不將自身全部復(fù)制，只釋放子體程序，子體程序可以只具有表現(xiàn)/破壞模塊Ghost病毒傳染時(shí)將一種類似小球病毒但無傳染功能的子體傳染出去。

6、加密式傳染：一是病毒自身加密，對(duì)付其他程序的檢測(cè)，二是對(duì)傳染對(duì)象進(jìn)行加密，作隱蔽用。DenZuk病毒傳染引導(dǎo)區(qū)時(shí)，采用異常格式化方式，將原1-9扇區(qū)變成3-42區(qū)，檢測(cè)困難。

7、鍵盤干擾：改變輸入，如：Typo病毒用被擊鍵右臨鍵碼代替輸入碼。（O--P）

8、格式化破壞：例如：AIDSInformation病毒在啟動(dòng)90次后，格式化磁盤。

9、刪除文件：有些病毒觸發(fā)后，刪除當(dāng)前執(zhí)行的文件，例如：黑色星期五病毒。

10、寫入廢數(shù)據(jù)：有些病毒在破壞時(shí)對(duì)磁盤扇區(qū)寫入無用的字符，毀壞原來的文件數(shù)據(jù)。

例如：Saturday14th病毒破壞時(shí)對(duì)100個(gè)扇區(qū)亂寫，徹底毀壞引導(dǎo)區(qū)、FAT和文件目錄；

VP病毒在傳染.com文件時(shí)，另將VP寫入每個(gè)驅(qū)動(dòng)器的引導(dǎo)區(qū)中。

11、篡改（竄改）文件名：例如：Pretoria病毒發(fā)作時(shí)將根目錄下的所有文件改名。

12、設(shè)計(jì)錯(cuò)誤：病毒編寫錯(cuò)誤造成預(yù)想之外的效果。

例如：4096病毒編寫時(shí)未把年份、文件長(zhǎng)度寫入，在傳染一個(gè)文件后，dos將給出”errorinexefile”嚴(yán)重破壞被傳染文件

1．3計(jì)算機(jī)病毒的特征特性

再生機(jī)制是生物病毒的一個(gè)重要特征。通過傳染，病毒從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適宜的條件下，它得到大量繁殖，并進(jìn)而使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣地，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。這就是計(jì)算機(jī)病毒最重要的特征——傳染和破壞。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就與系統(tǒng)中的程序連接在一起，并不斷地去傳染(或連接、或覆蓋)其它未被感染的程序。具有這種特殊功能的程序代碼被稱為計(jì)算機(jī)病毒。攜帶有這種程序代碼的計(jì)算機(jī)程序被稱為計(jì)算機(jī)病毒載體或被感染程序。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。正常的計(jì)算機(jī)程序是不會(huì)將自身的代碼強(qiáng)行連接到其它程序之上的。比如DOS的FORMAT程序決不會(huì)將其程序代碼連接到別的程序中去。在系統(tǒng)生成過程中有些系統(tǒng)的安裝程序會(huì)修改相關(guān)程序的參數(shù)配置，如MSWindows系統(tǒng)。有些程序通過自身的設(shè)置功能，按用戶要求會(huì)修改自己的參數(shù)設(shè)置，如Borland公司的SideKick。還有些程序出于加密防拷貝或某些其它目的，在運(yùn)行時(shí)動(dòng)態(tài)改變自身的程序代碼，如Xcom通信程序。在這幾種情況下，那些被修改的程序內(nèi)部的確發(fā)生了變化，但這些變化只局限于各自應(yīng)用系統(tǒng)的內(nèi)部，不會(huì)發(fā)生將自身代碼連接到毫不相干的程序之上的情形。計(jì)算機(jī)病毒的再生機(jī)制，即它的傳染機(jī)制卻是使病毒代碼強(qiáng)行傳染到一切未受到傳染的程序之上，迅速地在一臺(tái)計(jì)算機(jī)內(nèi)，甚至在一群計(jì)算機(jī)之間進(jìn)行傳染、擴(kuò)散。每一臺(tái)被感染了計(jì)算機(jī)病毒的計(jì)算機(jī)，本身既是一個(gè)受害者，又是一個(gè)新的計(jì)算機(jī)病毒的傳染源。被感染的計(jì)算機(jī)往往在一定程度上喪失了正常工作的能力，運(yùn)行速度降低，功能失常，文件和數(shù)據(jù)丟失，同時(shí)計(jì)算機(jī)病毒通過各種可能的渠道，如軟盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。當(dāng)你在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過的軟盤已感染上了病毒;而與這臺(tái)機(jī)器相鄰的其它幾臺(tái)計(jì)算機(jī)也許早已被該病毒侵染上了。通過數(shù)據(jù)共享的途徑，計(jì)算機(jī)病毒會(huì)非常迅速地蔓延開，若不加控制，就會(huì)在短時(shí)間內(nèi)傳播到世界各個(gè)角落里去?？梢姺从?jì)算機(jī)病毒的問題是一個(gè)全球范圍的問題。在我國(guó)發(fā)現(xiàn)的首例計(jì)算機(jī)病毒就是國(guó)外稱為意大利病毒的小球病毒。在我國(guó)首先發(fā)現(xiàn)的Traveller病毒隨著國(guó)際間的交往，也擴(kuò)散到國(guó)外，其大名出現(xiàn)在國(guó)外殺病毒軟件的病毒黑名單中。與生物病毒不同，所有的計(jì)算機(jī)病毒都是人為編寫的計(jì)算機(jī)程序代碼，是人為制造出來的而不是天生的。這些著意編寫的計(jì)算機(jī)程序代碼，其原始形式可以是C語(yǔ)言，可以是BASIC程序，可以是匯編語(yǔ)言程序，也可以是批命令程序，還可以是機(jī)器指令程序。其共同特點(diǎn)就是具有傳染性和破壞性。

計(jì)算機(jī)病毒的另一個(gè)特征是只有當(dāng)它在計(jì)算機(jī)內(nèi)得以運(yùn)行時(shí)，才具有傳染性和破壞性等活性。也就是說計(jì)算機(jī)CPU的控制權(quán)是關(guān)鍵問題。若計(jì)算機(jī)在正常程序控制下運(yùn)行，而不運(yùn)行帶病毒的程序，則這臺(tái)計(jì)算機(jī)總是可靠的。在這臺(tái)計(jì)算機(jī)上可以查看病毒文件的名字，查看計(jì)算機(jī)病毒的代碼，打印病毒的代碼，甚至拷貝病毒程序，卻都不會(huì)感染上病毒。反病毒技術(shù)人員整天就是在這樣的環(huán)境下工作。他們的計(jì)算機(jī)雖也存有各種計(jì)算機(jī)病毒的代碼，但已置這些病毒于控制之下，計(jì)算機(jī)不會(huì)運(yùn)行病毒程序，整個(gè)系統(tǒng)是安全的。相反，計(jì)算機(jī)病毒一經(jīng)在計(jì)算機(jī)上運(yùn)行，絕大多數(shù)病毒首先要做初始化工作，在內(nèi)存中找一片安身之處，隨后將自身與系統(tǒng)軟件掛起鉤來，然后再執(zhí)行原來被感染程序。這一系列的操作中，最重要的是病毒與系統(tǒng)軟件掛起鉤來，只要系統(tǒng)不癱瘓，系統(tǒng)每執(zhí)行一次操作，病毒就有機(jī)會(huì)得以運(yùn)行，去危害那些未曾被感染的程序。病毒程序與正常系統(tǒng)程序，或某種病毒與其它病毒程序，在同一臺(tái)計(jì)算機(jī)內(nèi)爭(zhēng)奪系統(tǒng)控制權(quán)時(shí)往往會(huì)造成系統(tǒng)崩潰，導(dǎo)致計(jì)算機(jī)癱瘓。反病毒技術(shù)也就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)。反病毒技術(shù)的優(yōu)劣就是體現(xiàn)在這一點(diǎn)上。一個(gè)好的抗病毒系統(tǒng)應(yīng)該不僅能可靠地識(shí)別出已知計(jì)算機(jī)病毒的代碼，阻止其運(yùn)行或旁路掉其對(duì)系統(tǒng)的控制權(quán)(實(shí)現(xiàn)安全帶毒運(yùn)行被感染程序)，還應(yīng)該識(shí)別出未知計(jì)算機(jī)病毒在系統(tǒng)內(nèi)的行為，阻止其傳染和破壞系統(tǒng)的行動(dòng)。而低性能的抗病毒系統(tǒng)只能完成對(duì)抗已知病毒的任務(wù)，對(duì)未知病毒則束手無策，任其在系統(tǒng)內(nèi)擴(kuò)散與破壞。所謂未知病毒是指新出現(xiàn)的，以前未曾分析過的計(jì)算機(jī)病毒。在1992年初，DIRⅡ病毒對(duì)我國(guó)廣大PC機(jī)用戶來說就是一種未知病毒。與未曾相識(shí)的敵手對(duì)陣不是件容易的事。DIRⅡ病毒采用嵌入DOS系統(tǒng)的設(shè)備驅(qū)動(dòng)程序鏈的方法攻擊IBMPC及其兼容機(jī)，是一種與以往病毒工作機(jī)制不同的新型計(jì)算機(jī)病毒。由于其奪取PC機(jī)系統(tǒng)控制權(quán)的方法很特別，在它的攻勢(shì)下，大批抗病毒系統(tǒng)敗下陣來。從這個(gè)例子可以看到，對(duì)付計(jì)算機(jī)病毒，目前尚無完滿通用的解決方案，反病毒技術(shù)需要不斷發(fā)展，以對(duì)抗各種新病毒。

不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)后，可以在不到1秒鐘的時(shí)間里傳染幾百個(gè)程序，而且在屏幕上沒有任何異常顯示。傳染操作完成后，計(jì)算機(jī)系統(tǒng)仍能運(yùn)行，被感染的程序仍能執(zhí)行，好像不曾在計(jì)算機(jī)內(nèi)發(fā)生過什么。這種現(xiàn)象就是計(jì)算機(jī)病毒傳染的隱蔽性。正是由于這隱蔽性，計(jì)算機(jī)病毒得以在用戶沒有察覺的情況下游蕩于世界上百萬臺(tái)計(jì)算機(jī)中。讓我們?cè)O(shè)想，如果計(jì)算機(jī)病毒每當(dāng)感染一個(gè)新的程序時(shí)都在屏幕上顯示一條信息“我是病毒程序，我要干壞事了”，那么計(jì)算機(jī)病毒早就被控制住了。確實(shí)有些病毒非?！坝掠诒┞蹲约骸?，時(shí)不時(shí)在屏幕上顯示一些圖案或信息，或演奏一段樂曲。往往此時(shí)那臺(tái)計(jì)算機(jī)內(nèi)已有許多病毒的拷貝了。許多計(jì)算機(jī)用戶對(duì)計(jì)算機(jī)病毒沒有任何概念，更不用說心理上的警惕了。他們見到這些新奇的屏幕顯示和音響效果，還以為是來自計(jì)算機(jī)系統(tǒng)，而沒有意識(shí)到這些病毒正在損害計(jì)算機(jī)系統(tǒng)，正在制造災(zāi)難。如磁盤殺手(DiskKiller)病毒，當(dāng)它破壞磁盤數(shù)據(jù)時(shí)，屏幕上顯示如下信息:“DiskKillerVersion1.00byOgreSoftware，April1，1989.Don'tturnoffthepowerorremovethediskettewhileprocessing.”這兩句話中，第一句的含義是:“磁盤殺手1.00版OgreSoftware公司1989年4月1日出版?！钡诙涞暮x是:“在處理過程中請(qǐng)不要關(guān)機(jī)或取出磁盤。”接著屏幕上顯示出“PROCESSING”意思是“正在處理”這時(shí)DiskKiller病毒鎖定鍵盤，對(duì)磁盤上的數(shù)據(jù)做加密變換處理。計(jì)算機(jī)的處理速度是很快的，當(dāng)你在屏幕上見到上述顯示信息時(shí)，已經(jīng)有很多數(shù)據(jù)被病毒破壞掉了。計(jì)算機(jī)病毒的第二個(gè)隱蔽性在于，被病毒感染的計(jì)算機(jī)在多數(shù)情況下仍能維持其部分功能，不會(huì)由于一感染上病毒，整臺(tái)計(jì)算機(jī)就不能啟動(dòng)了，或者某個(gè)程序一旦被病毒所感染，就被損壞得不能運(yùn)行了。如果出現(xiàn)這種情況，病毒也就不能流傳于世了。計(jì)算機(jī)病毒設(shè)計(jì)的精巧之處也在這里。正常程序被計(jì)算機(jī)病毒感染后，其原有功能基本上不受影響，病毒代碼附于其上而得以存活，得以不斷地得到運(yùn)行的機(jī)會(huì)，去傳染出更多的復(fù)制體，與正常程序爭(zhēng)奪系統(tǒng)的控制權(quán)和磁盤空間，不斷地破壞系統(tǒng)，導(dǎo)致整個(gè)系統(tǒng)的癱瘓。病毒的代碼設(shè)計(jì)得非常精巧而又短小。典型的是Tiny家族。這個(gè)家族的病毒都很短小，最小的病毒代碼長(zhǎng)度只有133字節(jié)。一般PC機(jī)對(duì)DOS文件的存取速度可達(dá)每秒100KB以上，所以病毒將這短短的幾百字節(jié)感染到正常程序之中所花的時(shí)間只是轉(zhuǎn)瞬之間，非常不易被察覺。

與隱蔽性相關(guān)聯(lián)的是計(jì)算機(jī)病毒的潛伏性。潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測(cè)程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就又要四處繁殖、擴(kuò)散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對(duì)數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。計(jì)算機(jī)病毒使用的觸發(fā)條件主要有以下三種。(1)利用計(jì)算機(jī)內(nèi)的實(shí)時(shí)時(shí)鐘提供的時(shí)間作為觸發(fā)器這種觸發(fā)條件被許多病毒所采用，觸發(fā)的時(shí)間有的精確到百分之幾秒，有的則只區(qū)分年份。表11列出了一些病毒觸發(fā)的時(shí)間，可以供防范計(jì)算機(jī)病毒時(shí)參考。(2)利用病毒體內(nèi)自帶的計(jì)數(shù)器作為觸發(fā)器計(jì)算機(jī)病毒利用計(jì)數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計(jì)數(shù)器達(dá)到某一設(shè)定的值，就執(zhí)行破壞操作。這些事件可以是計(jì)算機(jī)開機(jī)的次數(shù)，可以是病毒程序被運(yùn)行的次數(shù)，還可以是從開機(jī)起被運(yùn)行過的總的程序個(gè)數(shù)等。(3)利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器特定操作可以是用戶按下某種特定的鍵組合，可以是執(zhí)行格式化命令，也可以是讀寫磁盤的某些扇區(qū)等。表11計(jì)算機(jī)病毒觸發(fā)時(shí)間一覽表被計(jì)算機(jī)病毒使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一條件，而是使用由多個(gè)條件組合起來的觸發(fā)條件。大多數(shù)病毒的組合觸發(fā)條件是基于時(shí)間的，再輔以讀、寫盤操作，按鍵操作以及其它條件。如在我國(guó)廣為流傳的小球病毒，每當(dāng)系統(tǒng)時(shí)鐘為整點(diǎn)或半點(diǎn)時(shí)，系統(tǒng)又正在進(jìn)行讀盤操作，而該盤是未被感染的，等等，一旦這些條件得到滿足時(shí)，小球病毒的屏幕顯示部分便被激活，一個(gè)小球彈跳在屏幕上。若顯示器是CGA類型的，又正在使用漢字系統(tǒng)，則整個(gè)屏幕顯示會(huì)不停地上下翻滾，使操作根本無法進(jìn)行。小球病毒的觸發(fā)條件在各種觸發(fā)條件中是很典型的，既有時(shí)間的條件，又有功能操作的條件，而且條件之間還存在著邏輯“與”和邏輯“或”的關(guān)系。利用這種觸發(fā)條件，計(jì)算機(jī)病毒不是隨時(shí)隨地表現(xiàn)自己，而是在適當(dāng)?shù)臅r(shí)機(jī)——條件滿足時(shí)才向你示威，輕則只是在屏幕上顯示些信息，重則要銷毀數(shù)據(jù)，弄垮整個(gè)系統(tǒng)。計(jì)算機(jī)病毒的破壞作用是多種多樣的。有一種分類方法是將病毒分為惡性病毒和良性病毒。惡性病毒就是指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。這類病毒是很多的，如米開朗琪羅病毒。當(dāng)米氏病毒發(fā)作時(shí)，硬盤的前17個(gè)扇區(qū)將被徹底破壞，使整個(gè)硬盤上的數(shù)據(jù)無法被恢復(fù)，造成的損失是無法挽回的。有的病毒還會(huì)對(duì)硬盤做格式化等破壞。這些操作代碼都是刻意編寫進(jìn)病毒的，這是其本性之一。因此這類惡性病毒是很危險(xiǎn)的，應(yīng)當(dāng)注意防范。所幸防病毒系統(tǒng)可以通過監(jiān)控系統(tǒng)內(nèi)的這類異常動(dòng)作識(shí)別出計(jì)算機(jī)病毒的存在與否，或至少發(fā)出警報(bào)提醒用戶注意。良性病毒是指其不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進(jìn)行擴(kuò)散，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。有些人對(duì)這類計(jì)算機(jī)病毒的傳染不以為然，認(rèn)為這只是惡作劇，沒什么關(guān)系。其實(shí)良性、惡性都是相對(duì)而言的。良性病毒取得系統(tǒng)控制權(quán)后，會(huì)導(dǎo)致整個(gè)系統(tǒng)運(yùn)行效率降低，系統(tǒng)可用內(nèi)存總數(shù)減少，使某些應(yīng)用程序不能運(yùn)行。它還與操作系統(tǒng)和應(yīng)用程序爭(zhēng)搶CPU的控制權(quán)，時(shí)時(shí)導(dǎo)致整個(gè)系統(tǒng)死鎖，給正常操作帶來麻煩。有時(shí)系統(tǒng)內(nèi)還會(huì)出現(xiàn)幾種病毒交叉感染的現(xiàn)象，一個(gè)文件不停地反復(fù)被幾種病毒所感染。例如原來只有10KB的文件變成約90KB，就是被幾種病毒反復(fù)感染了數(shù)十次。這不僅消耗掉大量寶貴的磁盤存儲(chǔ)空間，而且整個(gè)計(jì)算機(jī)系統(tǒng)也由于多種病毒寄生于其中而無法正常工作。因此也不能輕視所謂良性病毒對(duì)計(jì)算機(jī)系統(tǒng)造成的損害。計(jì)算機(jī)病毒的實(shí)現(xiàn)方法是千差萬別的，加上許多病毒采用加密處理技術(shù)，使得被感染的程序恢復(fù)原形的工作，即殺毒工作很困難。目前還沒有通用的、能可靠自動(dòng)清病毒的方法。很多研究人員在這方面作了很多努力，一些國(guó)外商品軟件也具有免疫功能(Immunize)，但都存在缺陷，不盡如人意。某些病毒對(duì)系統(tǒng)的感染所造成的損失是不可挽回的，要修復(fù)被感染的文件是不可能的。當(dāng)被新病毒感染后，要清除這些病毒，不僅需要耗費(fèi)大量時(shí)間和精力去仔細(xì)地分析病毒代碼，而且還需要對(duì)病毒和計(jì)算機(jī)系統(tǒng)有全面的了解。因此抗計(jì)算機(jī)病毒工作最重要的就是防御病毒，不讓病毒侵入系統(tǒng)。一旦遭到破壞，做修復(fù)工作就很麻煩了，甚至是不可能的。

1．4計(jì)算機(jī)病毒的表現(xiàn)癥狀

計(jì)算機(jī)受到病毒感染后，會(huì)表現(xiàn)出不同的癥狀。

1、機(jī)器不能正常啟動(dòng)。

加電后機(jī)器根本不能啟動(dòng)，或者可以啟動(dòng)，但所需要的時(shí)間比原來的啟動(dòng)時(shí)間變長(zhǎng)了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。

2、運(yùn)行速度降低。

如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí)，讀取數(shù)據(jù)的時(shí)間比原來長(zhǎng)，存文件或調(diào)文件的時(shí)間都增加了，那就可能是由于病毒造成的。

3、磁盤空間迅速變小。

由于病毒程序要進(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?”，用戶什么信息也進(jìn)不去。

4、文件內(nèi)容和長(zhǎng)度有所改變。

一個(gè)文件存入磁盤后，本來它的長(zhǎng)度和其內(nèi)容都不會(huì)改變，可是由于病毒的干擾，文件長(zhǎng)度可能改變，文件內(nèi)容也可能出現(xiàn)亂碼。有時(shí)文件內(nèi)容無法顯示或顯示后又消失了。

5、經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象。

正常的操作是不會(huì)造成死機(jī)現(xiàn)象的，即使是初學(xué)者，命令輸入不對(duì)也不會(huì)死機(jī)。如果機(jī)器經(jīng)常死機(jī)，那可能是由于系統(tǒng)被病毒感染了。

6、外部設(shè)備工作異常。

因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制，如果機(jī)器中有病毒，外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些異常情況，出現(xiàn)一些用理論或經(jīng)驗(yàn)說不清道不明的現(xiàn)象。

以上僅列出一些比較常見的病毒表現(xiàn)形式，肯定還會(huì)遇到一些其他的特殊現(xiàn)象，這就需要由用戶自己判斷了。

1．5近幾年新產(chǎn)生的幾種主要病毒的特點(diǎn)

自80年代莫里斯編制的第一個(gè)“蠕蟲”病毒程序至今，世界上已出現(xiàn)了多種不同類型的病毒。在最近幾年，又產(chǎn)生了以下幾種主要病毒：

1、U盤寄生蟲

病毒名稱：Virus.Autorun.gr

中

文

名："U盤寄生蟲"變種gr

病毒長(zhǎng)度：22096字節(jié)

病毒類型：蠕蟲

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003

Virus.Autorun

“U盤寄生蟲”是一個(gè)利用U盤等移動(dòng)設(shè)備進(jìn)行傳播的蠕蟲?！癠盤寄生蟲”是針對(duì)autorun.inf這樣的自動(dòng)播放文件的蠕蟲病毒。autorun.inf文件一般存在于U盤、MP3、移動(dòng)硬盤和硬盤各個(gè)分區(qū)的根目錄下，當(dāng)用戶雙擊U盤等設(shè)備的時(shí)候，該文件就會(huì)利用Windows系統(tǒng)的自動(dòng)播放功能優(yōu)先運(yùn)行autorun.inf文件，而該文件就會(huì)立即執(zhí)行所要加載的病毒程序，從而破壞用戶計(jì)算機(jī)，使用戶計(jì)算機(jī)遭受損失。

2、ARP病毒

病毒名稱：“ARP”類病毒

病毒中文名：“ARP”類病毒

病毒類型：木馬

危險(xiǎn)級(jí)別：★★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003

描述：ARP地址欺騙類病毒（以下簡(jiǎn)稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“man

in

the

middle”

進(jìn)行ARP重定向和嗅探攻擊。

用偽造源MAC地址發(fā)送ARP響應(yīng)包，對(duì)ARP高速緩存機(jī)制的攻擊。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。

3、網(wǎng)游大盜

病毒名稱：Trojan/PSW.GamePass.jws

中

文

名：“網(wǎng)游大盜”變種jws

病毒長(zhǎng)度：13739字節(jié)

病毒類型：木馬

危害等級(jí)：★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003

Trojan/PSW.GamePass.jws“網(wǎng)游大盜”變種jws是“網(wǎng)游大盜”木馬家族最新變種之一，采用Visual

C++編寫，并經(jīng)過加殼處理?！熬W(wǎng)游大盜”變種jws運(yùn)行后，會(huì)將自我復(fù)制到Windows目錄下，自我注冊(cè)為“Windows_Down”系統(tǒng)服務(wù)，實(shí)現(xiàn)開機(jī)自啟。該病毒會(huì)盜取包括“傳奇世界”、“魔獸世界”、“完美世界”、“征途”、“武林外傳”等多款網(wǎng)游玩家的帳戶和密碼，并且會(huì)下載其它病毒到本地運(yùn)行。玩家計(jì)算機(jī)一旦中毒，就可能導(dǎo)致游戲帳號(hào)、裝備等丟失，給玩家?guī)頁(yè)p失。

4、MSN性感相冊(cè)

病毒名稱：Worm/MSN.SendPhoto.a

中

文

名：性感相冊(cè)

病毒類型：蠕蟲

危害等級(jí)：★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003

病毒運(yùn)行特征：該病毒運(yùn)行時(shí)，會(huì)通過MSN即時(shí)聊天工具向MSN上的好友發(fā)送大小為479382

字節(jié)的photos.zip

病毒包，該壓縮包里面包含名為photos

album-2007-5-26.scr病毒文件，同時(shí)會(huì)隨機(jī)向好友發(fā)送一些帶有誘惑性的信息，如：“看看我的性感相片”，“圣誕節(jié)快樂”等。

5、ANI病毒

病毒名稱：Exploit.ANIfile

病毒中文名：ANI病毒

病毒類型：蠕蟲

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Windows

2000/XP/2003/Vista

描述：

以Exploit.ANIfile.b為例，“ANI毒”變種b是一個(gè)利用微軟Windows系統(tǒng)ANI文件處理漏洞(MS07-017)進(jìn)行傳播的網(wǎng)絡(luò)蠕蟲?！癆NI毒”變種b運(yùn)行后，自我復(fù)制到系統(tǒng)目錄下。修改注冊(cè)表，實(shí)現(xiàn)開機(jī)自啟動(dòng)。感染正常的可執(zhí)行文件和本地網(wǎng)頁(yè)文件，并下載大量木馬程序。感染本地磁盤和網(wǎng)絡(luò)共享目錄下的多種類型的網(wǎng)頁(yè)文件（包括*.HTML，*.ASPX，*.HTM，*.PHP，*.JSP，*.ASP），植入利用ANI文件處理漏洞的惡意代碼。自我復(fù)制到各邏輯盤根目錄下，并創(chuàng)建autorun.inf自動(dòng)播放配置文件。雙擊盤符即可激活病毒，造成再次感染。修改hosts文件，屏蔽多個(gè)網(wǎng)址，這些網(wǎng)址大多是以前用來傳播其它病毒的站點(diǎn)。另外，“ANI毒”變種b還可以利用自帶的SMTP引擎通過電子郵件進(jìn)行傳播。

6、機(jī)器狗病毒

病毒名稱：Trojan/Agent.pgz

中

文

名：機(jī)器狗

病毒類型：木馬

危害等級(jí)：★★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003

病毒運(yùn)行特征：“機(jī)器狗”病毒主要在網(wǎng)吧等使用系統(tǒng)還原軟件以及硬盤還原卡的環(huán)境下發(fā)作。病毒運(yùn)行后，會(huì)在%WinDir%\System32\drivers

目錄下釋放出一個(gè)名為pcihdd.sys

的驅(qū)動(dòng)程序，該文件會(huì)接管冰點(diǎn)或者硬盤保護(hù)卡對(duì)硬盤的讀寫操作，這樣該病毒就破解了還原系統(tǒng)的保護(hù)，使冰點(diǎn)、硬盤保護(hù)卡實(shí)效。接著，該病毒會(huì)利用MS06-014和MS07-017系統(tǒng)漏洞和等多個(gè)應(yīng)用軟件漏洞，從http://xx.exiao***.com/

、http://www.h***.biz/

、http://www.xqh***.com/

等惡意網(wǎng)址下載多款網(wǎng)游木馬，盜取包括傳奇、魔獸世界、征途、奇跡等多款網(wǎng)游帳號(hào)和密碼，嚴(yán)重威脅游戲玩家數(shù)字財(cái)產(chǎn)的安全。正因?yàn)檫€原軟件和硬盤保護(hù)卡大多在網(wǎng)吧使用，因此網(wǎng)吧成為該病毒發(fā)作的重災(zāi)區(qū)。

7、代理木馬

病毒名稱：Trojan/Agent

病毒中文名：代理木馬

病毒類型：木馬

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003

描述：盜取用戶機(jī)密信息，下載惡意程序。

“代理木馬”及其變種是一個(gè)盜取用戶計(jì)算機(jī)上機(jī)密信息的木馬程序。“代理木馬”變種cfd運(yùn)行后，自我復(fù)制到Windows目錄下。修改注冊(cè)表，實(shí)現(xiàn)開機(jī)自啟。偵聽黑客指令，盜取用戶計(jì)算機(jī)上的機(jī)密信息，并將機(jī)密信息發(fā)送到黑客指定的郵箱里?！按砟抉R”會(huì)從網(wǎng)上下載大量的惡意程序，通過系統(tǒng)漏洞感染目標(biāo)電腦，中毒電腦可能會(huì)成為黑客操縱的“肉雞”，嚴(yán)重威脅電腦中的數(shù)據(jù)安全。

8、AV殺手

病毒名稱：Trojan/KillAV.ak

中

文

名：“AV殺手”變種ak

病毒長(zhǎng)度：19293字節(jié)

病毒類型：木馬

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Win

9X/ME/NT/2000/XP/2003。Trojan/KillAV.ak“AV殺手”變種ak是“AV殺手”木馬家族的最新成員之一，采用Delphi語(yǔ)言編寫，并經(jīng)過加殼處理?！癆V殺手”變種ak運(yùn)行后，自我修改文件屬性為“隱藏”。強(qiáng)行篡改注冊(cè)表相關(guān)鍵值，致使文件夾選項(xiàng)中的“顯示隱藏文件”功能失效。利用Windows映像劫持技術(shù)（IFEO），修改注冊(cè)表，致使許多與安全相關(guān)的軟件無法啟動(dòng)運(yùn)行。在被感染計(jì)算機(jī)的后臺(tái)調(diào)用系統(tǒng)“spoolsv.exe”進(jìn)程，將惡意代碼注入其中并調(diào)用運(yùn)行，隱藏自我，防止被查殺。在后臺(tái)連接駭客指定遠(yuǎn)程服務(wù)器站點(diǎn)，下載惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。在所有盤根目錄下生成“autorun.inf”文件（磁盤映像劫持文件）和病毒體文件，實(shí)現(xiàn)用戶一雙擊盤符就啟動(dòng)“AV殺手”變種ak運(yùn)行的功能。

9、Real腳本病毒

病毒名稱：Exploit.JS.Real

中文名：Real腳本病毒

病毒長(zhǎng)度：可變

類型：網(wǎng)頁(yè)腳本

危害等級(jí)：★★★

影響平臺(tái):

Windows98/2000/2003/xp

描述：Real腳本病毒是利用RealPlayer播放器ActiveX控件安全漏洞的惡意網(wǎng)頁(yè)腳本，常用于自動(dòng)下載執(zhí)行木馬程序。病毒隱藏在Real格式的視頻文件中，用戶一旦下載點(diǎn)擊運(yùn)行便會(huì)立刻中毒，許多熱衷于網(wǎng)上下載視頻文件的電腦用戶因此中毒。

10、熊貓燒香

病毒名稱：Worm.WhBoy.h

中文名：“熊貓燒香”

病毒長(zhǎng)度：可變

病毒類型：蠕蟲

危害等級(jí)：★★★★

影響平臺(tái)：Win9X/ME/NT/2000/XP/2003

以Worm.WhBoy.h為例，熊貓燒香是一個(gè)由Delphi工具編寫的蠕蟲病毒，能夠終止大量的反病毒軟件和防火墻軟件進(jìn)程，病毒會(huì)刪除擴(kuò)展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)?！靶茇垷恪备腥鞠到y(tǒng)的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁(yè)文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe.病毒還可以通過U盤和移動(dòng)硬盤等方式進(jìn)行傳播，并且利用Windows系統(tǒng)的自動(dòng)播放功能來運(yùn)行。

“熊貓燒香”還可以修改注冊(cè)表啟動(dòng)項(xiàng)，以使自身隨操作系統(tǒng)同步運(yùn)行。搜索硬盤中的*.EXE可執(zhí)行文件并感染文件，被感染的文件圖標(biāo)變成“熊貓燒香”的圖案。病毒還可以通過共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。

另外比較典型的病毒還有：

“美麗殺手”（Melissa）病毒。這種病毒是專門針對(duì)微軟電子郵件服務(wù)器MSExchange和電子郵件收發(fā)軟件0utlookExpress的Word宏病毒，是一種拒絕服務(wù)的攻擊型病毒，能夠影響計(jì)算機(jī)運(yùn)行微軟word97、word2000和0utlook。這種病毒是一種Word文檔附件，由E-mall攜帶傳播擴(kuò)散。由于這種病毒能夠自我復(fù)制，一旦用戶打開這個(gè)附件，“美麗殺手”病毒就會(huì)使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動(dòng)復(fù)制發(fā)送，從而過載E-mai1服務(wù)器或使之損壞?！懊利悮⑹帧辈《镜臄U(kuò)散速度之快可達(dá)幾何級(jí)數(shù)，據(jù)計(jì)算，如果“美麗殺手”病毒能夠按照理論上的速度傳播，只需要繁殖5次就可以讓全世界所有的網(wǎng)絡(luò)用戶都都收到一份?！懊利悮⑹帧辈《镜淖盍钊丝植乐庍€不僅是拒絕電子郵件服務(wù)器，而是使用戶的非常敏感和核心的機(jī)密信息在不經(jīng)意間通過電子郵件的反復(fù)傳播和擴(kuò)散而被泄漏出去，連擴(kuò)散到了什么地方可能都不得而知。據(jù)外電報(bào)道，在北約對(duì)南聯(lián)盟發(fā)動(dòng)的戰(zhàn)爭(zhēng)行動(dòng)中，證實(shí)“美麗殺手”病毒己使5萬部電腦主機(jī)和幾十萬部電腦陷于癱瘓而無法工作，網(wǎng)絡(luò)被空數(shù)據(jù)包阻塞，迫使許多用戶關(guān)機(jī)避災(zāi)。

“怕怕”（Papa）病毒?！芭屡隆辈《臼橇硪环NExcel宏病毒，它能夠繞開網(wǎng)絡(luò)管理人員設(shè)置的保護(hù)措施進(jìn)入計(jì)算機(jī)。這種病毒與“美麗殺手”病毒相類似，其區(qū)別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播，拒絕服務(wù)和阻塞網(wǎng)絡(luò)，而且更為嚴(yán)重的是它能使整個(gè)網(wǎng)絡(luò)癱瘓，使被它感染的文件所具有的宏病毒預(yù)警功能喪失作用。

“瘋牛”（MadCow）和“怕怕B”病毒。這兩種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當(dāng)美國(guó)緊急動(dòng)員起來對(duì)付3月26日發(fā)現(xiàn)的“美麗殺手”和“怕怕”病毒時(shí)，在歐洲又出現(xiàn)了它們的新變種“美麗殺手B”（又叫作“瘋?！保┖汀芭屡翨”，目前正橫掃歐洲大陸，造成大規(guī)模破壞，而且還正在向全世界擴(kuò)散蔓延。雖然這兩種病毒變種的病毒代碼不同，可能不是一個(gè)人所編寫，但是，它們同樣也是通過發(fā)送Word和Excel文件而傳播。每次被激活后，這種病毒就會(huì)向用戶電子郵件簿的前60個(gè)地址發(fā)送垃圾郵件；它還可以向一個(gè)外部網(wǎng)站發(fā)送網(wǎng)絡(luò)請(qǐng)求，占用大量的帶寬而阻滯網(wǎng)絡(luò)的工作，其危害性比原型病毒有過之而無不及。

“幸福1999”宏病毒。這是一種比“美麗殺手”的破壞作用小得多的病毒?！靶腋?999”病毒會(huì)改變計(jì)算機(jī)中的微軟公司W(wǎng)indows程序與Internet網(wǎng)工作。這種病毒還發(fā)送一個(gè)執(zhí)行文件，激活焰火顯示，使屏幕碎裂。

“咻咻”（Ping）轟擊病毒?！斑葸荨鞭Z擊病毒的英文單詞是“分組Internet搜索者”的縮寫，指的是將一個(gè)分組信息發(fā)送到服務(wù)器并等待其響應(yīng)的過程，這是用戶用以確定一個(gè)系統(tǒng)是否在Internet網(wǎng)上運(yùn)行的一種方法。據(jù)外電報(bào)道，運(yùn)用“咻咻”（Ping）轟擊病毒，發(fā)送大量的“咻咻”空數(shù)據(jù)包，使服務(wù)器過載，不能對(duì)其它用戶作出響應(yīng)。

1．6計(jì)算機(jī)病毒的特點(diǎn)：

1、非授權(quán)可執(zhí)行性。用戶通常調(diào)用執(zhí)行一個(gè)程序時(shí),把系統(tǒng)控制交給這個(gè)程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運(yùn)行完成用戶的需求。因此程序執(zhí)行的過程對(duì)用戶是透明的。而計(jì)算機(jī)病毒是非法程序,正常用戶是不會(huì)明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性:可存儲(chǔ)性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當(dāng)用戶運(yùn)行正常程序時(shí),病毒伺機(jī)竊取到系統(tǒng)的控制權(quán),得以搶先運(yùn)行,然而此時(shí)用戶還認(rèn)為在執(zhí)行正常程序。

2、隱蔽性。計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中,或者磁盤上標(biāo)為壞簇的扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲(chǔ)性。病毒想方設(shè)法隱藏自身,就是為了防止用戶察覺。

3、傳染性。傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。病毒程序一旦侵入計(jì)算機(jī)系統(tǒng)就開始搜索可以傳染的程序或者磁介質(zhì),然后通過自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá),計(jì)算機(jī)病毒可以在極短的時(shí)間內(nèi),通過像Internet這樣的網(wǎng)絡(luò)傳遍世界。

4、潛伏性。計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來,然后在用戶不察覺的情況下進(jìn)行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長(zhǎng),病毒傳染的范圍也越廣,其危害性也越大。

5、表現(xiàn)性或破壞性。無論何種病毒程序一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運(yùn)行,還有一些病毒程序刪除文件,加密磁盤中的數(shù)據(jù),甚至摧毀整個(gè)系統(tǒng)和數(shù)據(jù),使之無法恢復(fù),造成無可挽回的損失。因此,病毒程序的副作用輕者降低系統(tǒng)工作效率,重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。

6、可觸發(fā)性。計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制,使之進(jìn)行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計(jì)者的要求,在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入特定字符,使用特定文件,某個(gè)特定日期或特定時(shí)刻,或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。

第二章：計(jì)算機(jī)病毒的技術(shù)分析

長(zhǎng)期以來，人們?cè)O(shè)計(jì)計(jì)算機(jī)的目標(biāo)主要是追求信息處理功能的提高和生產(chǎn)成本的降低，而對(duì)于安全問題則重視不夠。計(jì)算機(jī)系統(tǒng)的各個(gè)組成部分，接口界面，各個(gè)層次的相互轉(zhuǎn)換，都存在著不少漏洞和薄弱環(huán)節(jié)。硬件設(shè)什缺乏整體安全性考慮，軟件方面也更易存在隱患和潛在威脅。對(duì)計(jì)算機(jī)系統(tǒng)的測(cè)試，目前尚缺乏自動(dòng)化檢測(cè)工具和系統(tǒng)軟件的完整檢驗(yàn)手段，計(jì)算機(jī)系統(tǒng)的脆弱性，為計(jì)算機(jī)病毒的產(chǎn)生和傳播提供了可乘之機(jī)；全球萬維網(wǎng)（www）使“地球一村化”，為計(jì)算機(jī)病毒創(chuàng)造了實(shí)施的空間；新的計(jì)算機(jī)技術(shù)在電子系統(tǒng)中不斷應(yīng)用，為計(jì)算機(jī)病毒的實(shí)現(xiàn)提供了客觀條件。國(guó)外專家認(rèn)為，分布式數(shù)字處理、可重編程嵌入計(jì)算機(jī)、網(wǎng)絡(luò)化通信、計(jì)算機(jī)標(biāo)準(zhǔn)化、軟件標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)的信息格式、標(biāo)準(zhǔn)的數(shù)據(jù)鏈路等都使得計(jì)算機(jī)病毒侵入成為可能。

2．1計(jì)算機(jī)病毒的分類與命名

在對(duì)抗計(jì)算機(jī)病毒的斗爭(zhēng)中，很重要的一項(xiàng)工作就是計(jì)算機(jī)病毒的分類與命名。計(jì)算機(jī)病毒的分類可以有多種方法:按病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞性劃分，有良性病毒和惡性病毒，已如上述。按病毒攻擊的機(jī)型劃分，有蘋果機(jī)病毒，IBMPC機(jī)病毒，小型機(jī)病毒等。按危害對(duì)象劃分，有損害計(jì)算機(jī)的病毒和損害網(wǎng)絡(luò)通信的病毒。對(duì)于侵害IBMPC機(jī)的PC機(jī)病毒，也就是本書要著重討論、要重點(diǎn)對(duì)抗的病毒，可以有更科學(xué)的分類。進(jìn)行這種分類的目的，就是要了解病毒的工作機(jī)理，針對(duì)其特點(diǎn)，采取更加有效的方法，防御和清除計(jì)算機(jī)病毒。對(duì)PC機(jī)病毒，比較公認(rèn)的、科學(xué)的劃分是將PC機(jī)病毒分為引導(dǎo)區(qū)型病毒、文件型病毒和混合型病毒(即又侵染引導(dǎo)區(qū)又感染文件的病毒)。這種劃分方法對(duì)于檢測(cè)、清除和預(yù)防病毒工作是有指導(dǎo)意義的，它不僅指明了不同種類病毒各自在PC機(jī)內(nèi)的寄生部位，而且也指明了病毒的攻擊對(duì)象。因此，可以通過采取相應(yīng)的措施保護(hù)易受病毒攻擊的部位，如分區(qū)表所在的主引導(dǎo)扇區(qū)、DOS引導(dǎo)扇區(qū)以及可執(zhí)行文件等，并進(jìn)而找到綜合、有效的反計(jì)算機(jī)病毒措施。與國(guó)際上的情況一樣，國(guó)內(nèi)常見的PC機(jī)病毒中，引導(dǎo)區(qū)型比文件型病毒種類少，而混合型的最少。這三種類型的病毒都是既有良性的又有惡性的。常見的文件型病毒有Jerusalem、1575、揚(yáng)基病毒、648、V2000、1701落葉病毒等。常見的引導(dǎo)區(qū)型病毒有大麻、小球、米氏病毒、6.4病毒和香港病毒等。混合型病毒常見的有新世紀(jì)病毒、Flip等。一種計(jì)算機(jī)病毒往往有多個(gè)名字。人們?cè)谟懻摬《痉婪稌r(shí)經(jīng)常要弄清他們正在討論的是不是同一種病毒。如1701病毒的別名有落葉病毒、落淚病毒、1704病毒、雨點(diǎn)病毒、感冒病毒等。國(guó)外又稱雨點(diǎn)病毒為Flu病毒和JOJO病毒。香港病毒又稱為封鎖病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此產(chǎn)生的統(tǒng)計(jì)數(shù)字有時(shí)也帶有偏差。目前國(guó)際上也尚無統(tǒng)一的規(guī)范用以協(xié)調(diào)和指導(dǎo)這方面的命名工作。美國(guó)的抗病毒產(chǎn)品開發(fā)商集團(tuán)AVPD正在各個(gè)成員單位間進(jìn)行計(jì)算機(jī)病毒的收集、識(shí)別、命名以及抗病毒產(chǎn)品開發(fā)等協(xié)調(diào)工作。在沒有見到對(duì)某種病毒的確切描述以及對(duì)它公認(rèn)的命名時(shí)，人們會(huì)根據(jù)該病毒的工作機(jī)理、表現(xiàn)形式、內(nèi)含的ASCII字符串、病毒程序的代碼長(zhǎng)度、發(fā)作日期或時(shí)間、該病毒的發(fā)現(xiàn)地、被病毒攻擊的機(jī)型、病毒中表現(xiàn)模塊發(fā)出的音響或顯示的圖形以及該病毒發(fā)現(xiàn)者當(dāng)時(shí)能體會(huì)到的各種特征來為它命名。前面所列舉的1701、香港病毒就都屬于這種情況。為某種新出現(xiàn)的計(jì)算機(jī)病毒命名，目的就是要使人們能快速、準(zhǔn)確地辨識(shí)出該病毒，以便防范和診治。因此該命名應(yīng)能最好地體現(xiàn)出該病毒的特征，使之不容易與其它現(xiàn)存的計(jì)算機(jī)病毒混淆。

計(jì)算機(jī)病毒如今已是PC機(jī)用戶的一大公害，它造成的損失和破壞難以估計(jì)。而一些惡作劇者、一些懷有報(bào)復(fù)心理的程序員、一些蓄意破壞者和一些為了政治目的、經(jīng)濟(jì)利益以及軍事目的的病毒編制者，仍在制造著各種各樣的計(jì)算機(jī)病毒。有些病毒僅僅是以前某種病毒的變種。某些人通過反匯編等各種手段，對(duì)原病毒的內(nèi)部模塊，如表現(xiàn)模塊、破壞模塊、傳染模塊等加以修改，使之成為一種基于原病毒又不同于原病毒的新的計(jì)算機(jī)病毒，這就是計(jì)算機(jī)病毒的變種。某些病毒變種只是簡(jiǎn)單地對(duì)原種病毒的顯示信息加以改動(dòng)，而對(duì)傳染模塊等重要代碼未動(dòng)分毫。而另外一些變種在修改了一些重要的代碼后，病毒以新的機(jī)制工作，此時(shí)，這種變種已演化為一種新的病毒，已不能被叫做其原型病毒的變種了。生物界里的病毒也幾乎以相同的方式在演化著，一種病毒可能會(huì)衍生出若干種具有共同基本特征的病毒種系，成為一個(gè)病毒家族。而當(dāng)發(fā)生突變時(shí)，則會(huì)產(chǎn)生出一種新的病毒。對(duì)付老病毒及其變種，人們已有成功的經(jīng)驗(yàn)和藥物作為對(duì)策，而對(duì)于新的尚未接觸過的病毒，在未做仔細(xì)研究與試驗(yàn)之前，是很難采取合適的對(duì)策的。對(duì)付計(jì)算機(jī)病毒，人們也遇到類似的問題。如何準(zhǔn)確地捕獲用常用軟件無法識(shí)別出的新病毒，以及分析和研究它的工作機(jī)理和特性，是需要專門知識(shí)的，不分析它的傳染機(jī)制，就無法研制出防范和清除病毒的工具軟件。

2．2計(jì)算機(jī)病毒的危害

1、病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用。

大部分病毒在激發(fā)的時(shí)候直接破壞計(jì)算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMO5設(shè)置等。磁盤殺手病毒（D1SKKILLER），內(nèi)含計(jì)數(shù)器，在硬盤染毒后累計(jì)開機(jī)時(shí)間48小時(shí)內(nèi)激發(fā)，激發(fā)的時(shí)候屏幕上顯示“Warning!!Don'tturnoffpowerorremovediskettewhileDiskKillerisProsessing！”（警告！D1SKKILLERll1在工作，不要關(guān)閉電源或取出磁盤），改寫硬盤數(shù)據(jù)。被D1SKKILLER破壞的硬盤可以用殺毒軟件修復(fù)，不要輕易放棄。

2、占用磁盤空間和對(duì)信息的破壞。

寄生在磁盤上的病毒總要非法占用一部分磁盤空間。引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個(gè)磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。文件型病毒利用一些DOS功能進(jìn)行傳染，這些DOS功能能夠檢測(cè)出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間。一些文件型病毒傳染速度很快，在短時(shí)間內(nèi)感染大量文件，每個(gè)文件都不同程度地加長(zhǎng)了，就造成磁盤空間的嚴(yán)重浪費(fèi)。

3、搶占系統(tǒng)資源。

除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動(dòng)態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長(zhǎng)度大致與病毒本身長(zhǎng)度相當(dāng)。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運(yùn)行。計(jì)算機(jī)操作系統(tǒng)的很多功能是通過中斷調(diào)用技術(shù)來實(shí)現(xiàn)的。病毒為了傳染激發(fā)，總是修改一些有關(guān)的中斷地址，在正常中斷過程中加入病毒的“私貨”，從而干擾了系統(tǒng)的正常運(yùn)行。

4、影響計(jì)算機(jī)運(yùn)行速度。

病毒進(jìn)駐內(nèi)存后不但干擾系統(tǒng)運(yùn)行，還影響計(jì)算機(jī)速度，主要表現(xiàn)在：

（1）病毒為了判斷傳染激發(fā)條件，總要對(duì)計(jì)算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視，這相對(duì)于計(jì)算機(jī)的正常運(yùn)行狀態(tài)既多余又有害。

（2）有些病毒為了保護(hù)自己，不但對(duì)磁盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動(dòng)態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時(shí)要運(yùn)行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行；而病毒運(yùn)行結(jié)束時(shí)再用一段程序?qū)Σ《局匦录用?。這樣CPU額外執(zhí)行數(shù)千條以至上萬條指令。

（3）病毒在進(jìn)行傳染時(shí)同樣要插入非法的額外操作，特別是傳染軟盤時(shí)不但計(jì)算機(jī)速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。

5、計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害。

計(jì)算機(jī)病毒與其他計(jì)算機(jī)軟件的一大差別是病毒的無責(zé)任性。編制一個(gè)完善的計(jì)算機(jī)軟件需要耗費(fèi)大量的人力、物力，經(jīng)過長(zhǎng)時(shí)間調(diào)試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計(jì)算機(jī)病毒都是個(gè)別人在一臺(tái)計(jì)算機(jī)上匆匆編制調(diào)試后就向外拋出。反病毒專家在分析大量病毒后發(fā)現(xiàn)絕大部分病毒都存在不同程度的錯(cuò)誤。錯(cuò)誤病毒的另一個(gè)主要來源是變種病毒。有些初學(xué)計(jì)算機(jī)者尚不具備獨(dú)立編制軟件的能力，出于好奇或其他原因修改別人的病毒，造成錯(cuò)誤。計(jì)算機(jī)病毒錯(cuò)誤所產(chǎn)生的后果往往是不可預(yù)見的，反病毒工作者曾經(jīng)詳細(xì)指出黑色星期五病毒存在9處錯(cuò)誤，乒乓病毒有5處錯(cuò)誤等。但是人們不可能花費(fèi)大量時(shí)間去分析數(shù)萬種病毒的錯(cuò)誤所在。大量含有未知錯(cuò)誤的病毒擴(kuò)散傳播，其后果是難以預(yù)料的。

6、計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響。

兼容性是計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對(duì)運(yùn)行條件“挑肥揀瘦”，要求機(jī)型和操作系統(tǒng)版本等。病毒的編制者一般不會(huì)在各種計(jì)算機(jī)環(huán)境下對(duì)病毒進(jìn)行測(cè)試，因此病毒的兼容性較差，常常導(dǎo)致死機(jī)。

7、計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力。

據(jù)有關(guān)計(jì)算機(jī)銷售部門統(tǒng)計(jì)，計(jì)算機(jī)售后用戶懷疑“計(jì)算機(jī)有病毒”而提出咨詢約占售后服務(wù)工作量的60％以上。經(jīng)檢測(cè)確實(shí)存在病毒的約占70％，另有30％情況只是用戶懷疑，而實(shí)際上計(jì)算機(jī)并沒有病毒。那么用戶懷疑病毒的理由是什么呢？多半是出現(xiàn)諸如計(jì)算機(jī)死機(jī)、軟件運(yùn)行異常等現(xiàn)象。這些現(xiàn)象確實(shí)很有可能是計(jì)算機(jī)病毒造成的。但又不全是，實(shí)際上在計(jì)算機(jī)工作“異?！钡臅r(shí)候很難要求一位普通用戶去準(zhǔn)確判斷是否是病毒所為。大多數(shù)用戶對(duì)病毒采取寧可信其有的態(tài)度，這對(duì)于保護(hù)計(jì)算機(jī)安全無疑是十分必要的，然而往往要付出時(shí)間、金錢等方面的代價(jià)。僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補(bǔ)。不僅是個(gè)人單機(jī)用戶，在一些大型網(wǎng)絡(luò)系統(tǒng)中也難免為甄別病毒而停機(jī)?？傊?jì)算機(jī)病毒像“幽靈”一樣籠罩在廣大計(jì)算機(jī)用戶心頭，給人們?cè)斐删薮蟮男睦韷毫Γ瑯O大地影響了現(xiàn)代計(jì)算機(jī)的使用效率，由此帶來的無形損失是難以估量的。

有些電腦病毒例如FormatC(macrovirus)及StonedDaniela，當(dāng)它們被觸發(fā)時(shí)，會(huì)無條件地把硬磁碟格式化及刪除磁碟上所有系統(tǒng)檔案。以AOL4FreeTrojanHorse為例子,它附在電子郵件訊息上并以AOL4FREE.COM為檔案名。其實(shí)它是用DOS的公用程式(utility)--BATEXEC1.5版本由成批文件(batchfile)轉(zhuǎn)換過來的〔這個(gè)公用程式是用來轉(zhuǎn)換一些很大的成批文件去更快的速度〕這個(gè)TrojanHorse首先會(huì)在DOS裏的不同目錄找尋DELTREE.EXE這個(gè)檔案，然后用這個(gè)檔案把硬磁碟裏的所有檔案刪除。當(dāng)檔案被刪除后，它會(huì)顯示一個(gè)DOS錯(cuò)誤訊息:”BadCommandorfilename〃以及一個(gè)猥褻的訊息(obscenemessage)。如果這病毒找不到DELTREE.EXE的話，它就不能把檔案刪除，但猥褻的訊息(obscenemessage)仍會(huì)出現(xiàn)。

有些病毒,如Monkey(Stoned.Empire.Monkey)及AntiEXE,會(huì)感染主啟動(dòng)記錄(MasterBootRecordMBR)及DOS啟動(dòng)磁區(qū)(DosBootSector),之后它會(huì)降低記憶體及硬磁碟的效能，直至當(dāng)我們的用電腦時(shí)螢光幕上顯示一些訊息或有其他損壞。

以AntiEXE為例子，在啟動(dòng)過程時(shí)載入的主啟動(dòng)記錄(MBR)，該病毒會(huì)把這個(gè)沒有被感染的MBR貯存在硬磁碟中柱(Cylinder)O,邊(Side)O,磁區(qū)(Sector)13的位置。然后病毒會(huì)把它的病毒編碼放在MBR裏，并且把已感染的MBR寫在硬磁碟中柱(Cylinder)O,邊(Side)O,扇區(qū)(Sector)1的位置。當(dāng)AntiEXE病毒在記憶體活躍時(shí)，它就會(huì)把由任何磁碟讀取得來的有毒MBR及\或DBS重新傳入一個(gè)清潔相同的地區(qū)(cleancounterpart)。隨著在磁碟讀取過程時(shí)把MBR及\或DBS安放，病毒會(huì)找尋一特定的*.EXE檔案(它的身份到現(xiàn)在還沒有知道),然后把檔案破壞。

另一例子，OneHalf會(huì)把大約一半的硬磁碟編加密碼，并且會(huì)顯示一段訊息:Diskisonehalf.Pressanykeytocontinue.〃如果我們用一般的方法去除MBR中的病毒，所有在密碼區(qū)的數(shù)據(jù)都會(huì)流失。

2．3計(jì)算機(jī)病毒的自我保護(hù)手段

1、掩蓋技術(shù)：不斷修改標(biāo)志、傳染方式、表現(xiàn)方式

（1）不通過傳統(tǒng)的方式，如以熱鍵激活取代中斷激活方式Alabama病毒可攔截INT9，若發(fā)現(xiàn)用戶使用熱啟動(dòng)時(shí)，則調(diào)用其內(nèi)部的Bootstrap子程序啟動(dòng)計(jì)算機(jī)，是自己繼續(xù)潛伏在內(nèi)存。

（2）避開中斷請(qǐng)求而直接調(diào)用中斷服務(wù)過程。

（3）用中斷請(qǐng)求INT27H或INT31H來合法獲取內(nèi)存。

（4）不將非法占用的區(qū)域標(biāo)為壞簇，而標(biāo)為已分配的簇。

2、造假技術(shù)

修改文件長(zhǎng)度：如ZeroBug病毒。

3、加密技術(shù)

對(duì)病毒源碼加密：1701

1206病毒利用自身修改技術(shù)，每次傳染后都有變化。

4、自滅技術(shù)

YankeeDoodle病毒駐留內(nèi)存后，若發(fā)現(xiàn)被傳染的文件有被分析的可能，則用Debug調(diào)被傳染的文件用Q命令刪除。

5、嵌入技術(shù)

拼接，成為合法程序的一部分，得到系統(tǒng)的認(rèn)可

例：EDDIE病毒將自己隱藏在操作系統(tǒng)中，隨操作系統(tǒng)啟動(dòng)按隨機(jī)格式復(fù)制成其他的程序。

6、反動(dòng)態(tài)跟蹤技術(shù)Pakistani病毒駐留內(nèi)存后，可通過INT13H監(jiān)視用戶讀取引導(dǎo)扇區(qū)的操作，當(dāng)用戶用debug讀取0邏輯扇區(qū)時(shí)，病毒將存于它處的引導(dǎo)扇區(qū)顯示出來。

2．4如何識(shí)別計(jì)算機(jī)病毒

很多時(shí)候用戶已經(jīng)用殺毒軟件查出了自己的機(jī)子中了，例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等這些一串英文還帶數(shù)字的病毒名，世界上那么多的病毒，反病毒公司為了方便管理，他們會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>。

病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等還有其他的。

病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“Sasser”。

病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng)^_^），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。

綜上所述，一個(gè)病毒的前綴對(duì)我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型，就可以對(duì)這個(gè)病毒有個(gè)大概的評(píng)估（當(dāng)然這需要積累一些常見病毒類型的相關(guān)知識(shí)，這不在本文討論范圍）。而通過病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細(xì)特征。病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個(gè)變種。

下面附帶一些常見的病毒前綴的解釋（針對(duì)我們用得最多的Windows操作系統(tǒng)）：

1、系統(tǒng)病毒

系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進(jìn)行傳播。如CIH病毒。

2、蠕蟲病毒

蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。

3、木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒則會(huì)通過該木馬病毒來進(jìn)行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有大家可能遇見比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如Trojan.LMir.PSW.60。這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么PWD之類的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。

4、腳本病毒

腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語(yǔ)言編寫，通過網(wǎng)頁(yè)進(jìn)行的傳播的病毒，如紅色代碼（Script.Redlof）——可不是我們的老大代碼兄哦^_^。腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎(Macro.Melissa)。

6、后門病毒

后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot。

7、病毒種植程序病毒

這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。

9．玩笑病毒

玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒會(huì)做出各種破壞操作來嚇唬用戶，其實(shí)病毒并沒有對(duì)用戶電腦進(jìn)行任何破壞。如：女鬼（Joke.Girlghost）病毒。

10．捆綁機(jī)病毒

捆綁機(jī)病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些捆綁病毒時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。

以上為比較常見的病毒前綴，有時(shí)候我們還會(huì)看到一些其他的，但比較少見，這里簡(jiǎn)單提一下：

DoS：會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；

Exploit：會(huì)自動(dòng)通過溢出對(duì)方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；

HackTool：黑客工具，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來用你做替身去破壞別人。

你可以在查出某個(gè)病毒以后通過以上所說的方法來初步判斷所中病毒的基本情況，達(dá)到知己知彼的效果。在殺毒無法自動(dòng)查殺，打算采用手工方式的時(shí)候這些信息會(huì)給你很大的幫助。

2．5病毒、蠕蟲和特洛伊木馬病毒的癥狀

至少已有

60,000

種已知病毒，而每天都有更多的病毒被編寫出來。當(dāng)前，大多數(shù)病毒都通過電子郵件和即時(shí)消息傳播。病毒經(jīng)常隨電子郵件一起到達(dá)，并偽裝成某種娛樂性信息，例如圖片、樂曲或賀卡。病毒可能攜帶具有破壞性的有效負(fù)載，例如蠕蟲或特洛伊木馬程序。

如果懷疑或證實(shí)計(jì)算機(jī)感染了病毒，請(qǐng)獲取最新的反病毒軟件。當(dāng)病毒感染了您的電子郵件或其他文件后，可能對(duì)您的計(jì)算機(jī)造成下列影響：

受感染的文件可能復(fù)制自身，從而用光硬盤的所有可用空間。

受感染文件的副本可能被發(fā)送到您的電子郵件地址列表中的所有地址。

病毒可能重新格式化您的磁盤驅(qū)動(dòng)器并刪除您的文件和程序。

病毒可能安裝隱藏程序，例如可從您的計(jì)算機(jī)中分發(fā)和售出的盜版軟件。

病毒可能會(huì)降低安全性，允許入侵者遠(yuǎn)程訪問您的計(jì)算機(jī)或網(wǎng)絡(luò)。

下列癥狀通常由病毒引起或與病毒相關(guān)聯(lián)：

您接收到包含奇怪附件的電子郵件。打開附件后，將出現(xiàn)對(duì)話框，或系統(tǒng)性能突然降低。

您最近打開的附件上具有雙擴(kuò)展名，例如，.jpg.vbs

或

.gif.exe。

反病毒程序被無端禁用，并且無法重新啟動(dòng)。

無法在計(jì)算機(jī)上安裝反病毒程序，或安裝的反病毒程序無法運(yùn)行。

屏幕上出現(xiàn)奇怪的對(duì)話框或消息框。

有人告訴您他們最近從您這里收到包含附加文件（尤其是擴(kuò)展名為

.exe、.bat、.scr、.vbs

的文件）的電子郵件，但您實(shí)際上并未發(fā)送。

桌面上出現(xiàn)的新圖標(biāo)不是由您放置的，或者與任何最近安裝的程序都不關(guān)聯(lián)。

揚(yáng)聲器中意外放出奇怪的聲音或樂曲。

程序從計(jì)算機(jī)中消失，但不是由您有意卸載。

病毒感染還可能導(dǎo)致下列癥狀，但這些癥狀也可能是普通

Windows功能造成的，或者是

Windows

內(nèi)部的并非由病毒引起的問題。

Windows

根本無法啟動(dòng)，即使您尚未進(jìn)行任何系統(tǒng)更改，或者尚未安裝或刪除任何程序。

出現(xiàn)許多調(diào)制解調(diào)器活動(dòng)。如果安裝了外置調(diào)制解調(diào)器，您可能會(huì)注意到當(dāng)調(diào)制解調(diào)器不使用時(shí)，指示燈閃個(gè)不停。您可能正在無意識(shí)地提供盜版軟件。

由于缺少某些關(guān)鍵的系統(tǒng)文件，Windows

無法啟動(dòng)，然后您會(huì)收到列出這些文件的錯(cuò)誤信息。

計(jì)算機(jī)有時(shí)會(huì)如期啟動(dòng)，但有時(shí)還未出現(xiàn)桌面圖標(biāo)和任務(wù)欄便停止響應(yīng)。

計(jì)算機(jī)運(yùn)行速度非常緩慢，并且啟動(dòng)時(shí)間很長(zhǎng)。

即使您的計(jì)算機(jī)具有足夠的

RAM，也會(huì)出現(xiàn)內(nèi)存不足的錯(cuò)誤信息。

不能正常安裝新程序。

Windows

意外地自動(dòng)重新啟動(dòng)。

過去運(yùn)行正常的程序現(xiàn)在頻繁停止響應(yīng)。如果試圖刪除和重新安裝該軟件，該問題繼續(xù)存在。

Scandisk

等磁盤實(shí)用工具報(bào)告多個(gè)嚴(yán)重的磁盤錯(cuò)誤。

分區(qū)完全消失。

當(dāng)您試圖使用

Microsoft

Office產(chǎn)品時(shí)，計(jì)算機(jī)總是停止響應(yīng)。

無法啟動(dòng)

Windows

任務(wù)管理器。

反病毒軟件指示存在病毒。

從病毒感染狀態(tài)中恢復(fù)和防止病毒感染

2．6計(jì)算機(jī)病毒的注入方法

實(shí)施計(jì)算機(jī)病毒入侵的核心技術(shù)是解決病毒的有效注入。其攻擊目標(biāo)是對(duì)方的各種系統(tǒng)，以及從計(jì)算機(jī)主機(jī)到各式各樣的傳感器、網(wǎng)橋等，以使他們的計(jì)算機(jī)在關(guān)鍵時(shí)刻受到誘騙或崩潰，無法發(fā)揮作用。從國(guó)外技術(shù)研究現(xiàn)狀來看，病毒注入方法主要有以下幾種：

1、無線電方式。主要是通過無線電把病毒碼發(fā)射到對(duì)方電子系統(tǒng)中。此方式是計(jì)算機(jī)病毒注入的最佳方式，同時(shí)技術(shù)難度也最大?？赡艿耐緩接校?/p>

（1）直接向?qū)Ψ诫娮酉到y(tǒng)的無線電接收器或設(shè)備發(fā)射，使接收器對(duì)其進(jìn)行處理并把病毒傳染到目標(biāo)機(jī)上。

（2）冒充合法無線傳輸數(shù)據(jù)。根據(jù)得到的或使用標(biāo)準(zhǔn)的無線電傳輸協(xié)議和數(shù)據(jù)格式，發(fā)射病毒碼，使之能夠混在合法傳輸信號(hào)中，進(jìn)入接收器，進(jìn)而進(jìn)入信息網(wǎng)絡(luò)。

（3）尋找對(duì)方信息系統(tǒng)保護(hù)最差的地方進(jìn)行病毒注放。通過對(duì)方未保護(hù)的數(shù)據(jù)鏈路，將病毒傳染到被保護(hù)的鏈路或目標(biāo)中。

2、“固化”式方法。即把病毒事先存放在硬件（如芯片）和軟件中，然后把此硬件和軟件直接或間接交付給對(duì)方，使病毒直接傳染給對(duì)方電子系統(tǒng)，在需要時(shí)將其激活，達(dá)到攻擊目的。這種攻擊方法十分隱蔽，即使芯片或組件被徹底檢查，也很難保證其沒有其他特殊功能。目前，我國(guó)很多計(jì)算機(jī)組件依賴進(jìn)口，因此，很容易受到芯片的攻擊。

3、后門攻擊方式。后門，是計(jì)算機(jī)安全系統(tǒng)中的一個(gè)小洞，由軟件設(shè)計(jì)師或維護(hù)人發(fā)明，允許知道其存在的人繞過正常安全防護(hù)措施進(jìn)入系統(tǒng)。攻擊后門的形式有許多種，如控制電磁脈沖可將病毒注入目標(biāo)系統(tǒng)。計(jì)算機(jī)入侵者就常通過后門進(jìn)行攻擊，如目前普遍使用的WINDOWS98，就存在這樣的后門。

4、數(shù)據(jù)控制鏈侵入方式。隨著因特網(wǎng)技術(shù)的廣泛應(yīng)用，使計(jì)算機(jī)病毒通過計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)控制鏈侵入成為可能。使用遠(yuǎn)程修改技術(shù)，可以很容易地改變數(shù)據(jù)控制鏈的正常路徑。

5、病毒傳播

病毒傳播技術(shù)主要研究傳播機(jī)理及耦合方式。目前已知的耦合機(jī)制有如下四種：

前門耦合采用系統(tǒng)本身正常傳播媒體，如收發(fā)設(shè)備、天線、通信線等，直接將病毒注入目標(biāo)系統(tǒng)，并使之傳播到與感染系統(tǒng)相連的所有其他系統(tǒng)。

后門耦合采用與系統(tǒng)不同的媒體進(jìn)入并干擾系統(tǒng)，如通過電源系統(tǒng)、溫控系統(tǒng)、推進(jìn)系統(tǒng)以及穩(wěn)定系統(tǒng)等進(jìn)行干擾。

直接耦合利用正常通信手段，直接將病毒注入目標(biāo)系統(tǒng)。敵方接收系統(tǒng)工作期間，以其對(duì)應(yīng)的接收頻率發(fā)送含有病毒的數(shù)據(jù)。此外，合法程序的惡意使用也是直接引入病毒的方式。

間接耦合利用病毒的傳染性將病毒注入從目標(biāo)系統(tǒng)安全防御最薄弱環(huán)節(jié)開始，病毒通過傳播后達(dá)到并干擾目標(biāo)系統(tǒng)。

2．7計(jì)算機(jī)病毒的主要傳播渠道

1.軟盤

軟盤作為最常用的交換媒介，在計(jì)算機(jī)應(yīng)用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用，因那時(shí)計(jì)算機(jī)應(yīng)用比較簡(jiǎn)單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導(dǎo)機(jī)器時(shí)，引導(dǎo)區(qū)病毒會(huì)在軟盤與硬盤引導(dǎo)區(qū)互相感染。因此軟盤也成了計(jì)算機(jī)病毒的主要寄生的“溫床”。

2.光盤

光盤因?yàn)槿萘看?，存?chǔ)了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對(duì)只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任，也決不會(huì)有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。

3.硬盤

由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的軟盤傳染并再擴(kuò)散。

4.BBS

電子布告欄（BBS）因?yàn)樯险救菀?、投資少，因此深受大眾用戶的喜愛。BBS是由計(jì)算機(jī)愛好者自發(fā)組織的通訊站點(diǎn)，用戶可以在BBS上進(jìn)行文件交換（包括自由軟件、游戲、自編程序）。由于BBS站一般沒有嚴(yán)格的安全管理，亦無任何限制，這樣就給一些病毒程序編寫者提供了傳播病毒的場(chǎng)所。各城市BBS站間通過中心站間進(jìn)行傳送，傳播面較廣。隨著BBS在國(guó)內(nèi)的普及，給病毒的傳播又增加了新的介質(zhì)。

5.網(wǎng)絡(luò)

現(xiàn)代通信技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn)，數(shù)據(jù)、文件、電子郵件可以方便地在各個(gè)網(wǎng)絡(luò)工作站間通過電纜、光纖或電話線路進(jìn)行傳送，工作站的距離可以短至并排擺放的計(jì)算機(jī)，也可以長(zhǎng)達(dá)上萬公里，正所謂“相隔天涯，如在咫尺”，但也為計(jì)算機(jī)病毒的傳播提供了新的“高速公路”。計(jì)算機(jī)病毒可以附著在正常文件中，當(dāng)您從網(wǎng)絡(luò)另一端得到一個(gè)被感染的程序，并在您的計(jì)算機(jī)上未加任何防護(hù)措施的情況下運(yùn)行它，病毒就傳染開來了。這種病毒的傳染方式在計(jì)算機(jī)網(wǎng)絡(luò)連接很普及的國(guó)家是很常見的，國(guó)內(nèi)計(jì)算機(jī)感染一種“進(jìn)口”病毒已不再是什么大驚小怪的事了。在我們信息國(guó)際化的同時(shí)，我們的病毒也在國(guó)際化。大量的國(guó)外病毒隨著互聯(lián)網(wǎng)絡(luò)傳入國(guó)內(nèi)。

2．8網(wǎng)絡(luò)的廣泛應(yīng)用給計(jì)算機(jī)病毒傳播帶來的影響

隨著Internet的風(fēng)靡，給病毒的傳播又增加了新的途徑，并將成為第一傳播途徑。Internet開拓性的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。Internet帶來兩種不同的安全威脅，一種威脅來自文件下載，這些被瀏覽的或是通