淺析計算機病毒及防范措施-論文.doc

畢 業(yè) 論 文（設(shè) 計）課題名稱： 淺析計算機病毒及防范措施 系 別： 計算機科學(xué)與技術(shù) 專 業(yè)： 計算機應(yīng)用與維護 屆 別： 2008級 指導(dǎo)教師： 學(xué)生姓名： 2008 年 4 月 10 日目 錄第1章概述211計算機病毒的歷史212計算機病毒213計算機病毒的產(chǎn)生3131計算機病毒是計算機犯罪的一種新的衍化形式3132計算機軟硬件產(chǎn)品的微弱性是根本的技術(shù)原因3132計算機的普及應(yīng)用是計算機病毒產(chǎn)生的必要環(huán)境314計算機病毒的基本特征3141非授權(quán)可執(zhí)行性3142隱蔽性4143傳染性4144潛伏性4145表現(xiàn)性或破壞性4146可觸發(fā)性4第2章 計算機病毒傳播和防護知識521計算機病毒的傳播途徑522對計算機病毒攻擊的防范523計算機的幾種主要病毒6第3章 計算機病毒發(fā)展趨勢和管理方法831計算機病毒的發(fā)展趁勢8311我們將與病毒長久共存8312網(wǎng)絡(luò)蠕蟲病毒的發(fā)展8313變形病毒11314變形病毒的基本類型12315特洛伊木馬與有害代碼14 316病毒的種類數(shù)量15317尋找抗病毒的有效方法1732對計算機病毒攻擊的防范的對策和方法19321對計算機病毒攻擊的防范對策19322對計算機病毒的方法20致 謝21參考文獻22淺析計算機病毒及防范措施【摘 要】：隨著計算機在社會生活各個領(lǐng)域的廣泛運用，計算機病毒攻擊與防范技術(shù)也在不斷發(fā)展。據(jù)報道，世界各國遭受計算機病毒感染和攻擊的事件數(shù)以億計，嚴重地干擾了正常人類社會生活，給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。在開放的網(wǎng)絡(luò)環(huán)境下，計算機病毒的危害比以往要大得多，特別是近幾年，通過互聯(lián)網(wǎng)進行傳播的病毒數(shù)量急劇增長，危害范圍也不斷擴大，由于計算機病毒帶來的經(jīng)濟損失數(shù)量是巨大的?！娟P(guān)鍵字】：計算機病毒、防范措施第1章 概述1、1計算機病毒的歷史1977年，thomas j ryan在科幻小說p-1的青春中幻想一種計算機病毒可以從一臺計算機傳染到另一臺計算機，最終控制了7000臺計算機。1983年美國計算機安全專家fredcohen博士在vax-11上通過實驗證明了計算機病毒的存在。1986年，巴基斯坦倆兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認的第一個傳染pc兼容機的病毒，并且很快在全球流行。1988年，小球病毒傳入我國，在幾個月之內(nèi)迅速傳染了20多個省、市，成為我國第一個病毒案例。此后，如同打開的潘多拉的盒子，各種計算機病毒層出不窮。1、2計算機病毒計算機病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復(fù)制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復(fù)制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。除復(fù)制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體 。當你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計算機的全部性能。可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤和網(wǎng)絡(luò)等作為媒介傳播擴散，能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內(nèi)存）或程序里。當某種條件或時機成熟時,它會自生復(fù)制并傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學(xué)病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ嬎銠C系統(tǒng)進行各種破壞，同時能夠自我復(fù)制，具有傳染性。所以，計算機病毒就是能夠通過某種途徑潛伏在計算機儲存介質(zhì)（或程序）里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。1、3計算機病毒的產(chǎn)生1、3、1計算機病毒是計算機犯罪的一種新的衍化形式計算機病毒是高技術(shù)犯罪，具有瞬時性、動態(tài)性和隨機性。不易取證，風險小破壞大，從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復(fù)心態(tài)在計算機應(yīng)用領(lǐng)域的表現(xiàn)。1、3、2計算機軟硬件產(chǎn)品的微弱性是根本的技術(shù)原因計算機是電子產(chǎn)品。數(shù)據(jù)從輸入、儲存、處理、輸出等環(huán)節(jié)，易誤入，篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機軟件設(shè)計的手工方式,效率低下且生產(chǎn)周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤, 只能在運行中發(fā)現(xiàn)、修改錯誤,并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。1、3、3計算機的普及應(yīng)用是計算機病毒產(chǎn)生的必要環(huán)境1983年11月3日美國計算機專家首次提出了計算機病毒的概念并驚醒了驗證。幾年前計算機病毒就迅速蔓延，到我國才是近年來的事。而這幾年正是我國微型計算機普及應(yīng)用熱潮。微機的廣泛普及, 操作系統(tǒng)簡單明了, 軟、硬件透明度高, 基本上沒有什么安全措施,能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶日益增多, 對其存在的缺點和易攻擊處也了解的越來越清楚, 不同的目的可以做出截然不同的選擇。目前, 在ibmpc系統(tǒng)及其兼容機上廣泛流行著各種病毒就很說明這個問題。1、4計算機病毒的基本特征1、4、1非授權(quán)可執(zhí)行性用戶通常調(diào)用執(zhí)行一個程序時，把系統(tǒng)控制交給這個程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運行完成用戶的需求。因此程序執(zhí)行的過程對用戶是透明的。而計算機病毒是非法程序,正常用戶是不會明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計算機病毒具有正常程序的一切特性:可存儲性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當用戶運行正常程序時,病毒伺機竊取到系統(tǒng)的控制權(quán),得以搶先運行,然而此時用戶還認為在執(zhí)行正常程序。1、4、2隱蔽性計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可儲存性。病毒想方設(shè)法隱藏自身，就是為了防止用戶察覺。1、4、3傳染性傳染性是計算機病毒最重要的特征,是判斷一段程序代碼是否為計算機病毒的依據(jù)。病毒程序一旦侵入計算機系統(tǒng)就開始搜索可以傳染的程序或者磁介質(zhì),然后通過自我復(fù)制迅速傳播。由于目前計算機網(wǎng)絡(luò)日益發(fā)達,計算機病毒可以在極短的時間內(nèi),通過像internet這樣的網(wǎng)絡(luò)傳遍世界。1、4、4潛伏性計算機病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來,然后在用戶不察覺的情況下進行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時間也就越長,病毒傳染的范圍也越廣,其危害性也越大。1、4、5表現(xiàn)性或破壞性無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤存儲空間以及系統(tǒng)運行時間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運行,還有一些病毒程序刪除文件,加密磁盤中的數(shù)據(jù),甚至摧毀整個系統(tǒng)和數(shù)據(jù),使之無法恢復(fù),造成無可挽回的損失。因此,病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計者的真正意圖。1、4、6可觸發(fā)性計算機病毒一般都有一個或者幾個觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機制,使之進行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計者的要求,在一定條件下實施攻擊。這個條件可以是敲入特定字符,使用特定文件,某個特定日期或特定時刻,或者是病毒內(nèi)置的計數(shù)器達到一定次數(shù)等。第2章 計算機病毒傳播和防護知識2、1計算機病毒的傳播途徑一、通過不可移動的計算機硬件設(shè)備進行傳播，這些設(shè)備通常有計算機的專用asic芯片和硬盤等。這種病毒雖然極少，但破壞力卻極強，目前尚沒有交好的檢測手段對付。二、通過移動存儲設(shè)備來傳播這些設(shè)備包括軟盤、磁帶、u盤等。在移動存儲設(shè)備中，軟盤、u盤是使用最廣泛移動最頻繁的存儲介質(zhì)。目前，大多數(shù)計算機都是從這類途徑感染病毒的。三、通過計算機網(wǎng)絡(luò)進行傳播?，F(xiàn)代信息技術(shù)的巨大進步已使空間距離不再遙遠，“相隔天涯，如在咫尺”，但也為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中通過網(wǎng)絡(luò)進入一個又一個系統(tǒng)， 國內(nèi)計算機感染一種“進口”病毒已不再是什么大驚小怪的事了。在我們信息國際化的同時， 我們的病毒也在國際化。估計以后這種方式將成為第一傳播途徑。四、通過點對點通信系統(tǒng)和無線通道傳播。目前，這種傳播途徑還不是十分廣泛，但預(yù)計在未來的信息時代，這種途徑很可能與網(wǎng)絡(luò)傳播途徑成為病毒擴散的兩大“時尚渠道”。2、2對計算機病毒攻擊的防范簡而言之，病毒防治的關(guān)鍵是：把好入口關(guān)。防治工具殺毒軟件（病毒卡及其防火墻），如金山毒霸、kv300、kill、pc-cillin、vrv、瑞星、諾頓等反病毒軟件。根據(jù)計算機病毒的工作原理，我們可以找到防治它們的方法。首先，因為許多病毒程序都需要修改中斷向量表，以便在出現(xiàn)某種中斷請求時激活病毒，所以，通過檢查中斷向量表是否異常就可以發(fā)現(xiàn)病毒程序的存在及其入口地址。然后就可以對它進行剖析和進行針對性的防治。其次，由于多數(shù)病毒潛伏在磁盤的引導(dǎo)扇區(qū)內(nèi)，利用計算機啟動過程進入內(nèi)存，因此，保持和恢復(fù)dos盤引導(dǎo)扇區(qū)的正確性十分重要。對于健康的磁盤必須加上“寫保護”。對于有病毒的磁盤，利用dos命令中“sys”系統(tǒng)傳送命令可以簡單地加以治愈。當然；有病毒的dos盤也必須完成正常的引導(dǎo)過程，所以必定要把正常的引導(dǎo)扇區(qū)保存在磁盤的某個地方，找到這個地址，把引導(dǎo)扇區(qū)調(diào)回原處，磁盤的病毒也就解除了。另外，由于有病毒的磁盤都存在一定的標記便于病毒程序識別，利用這個特點，我們可以給健康的磁盤也打上這樣的標記，以欺騙病毒程序使它誤以為已經(jīng)進行過傳染工作而不再進行感染，相當于使磁盤具有了“免疫功能”?？傊?，針對病毒的工作原理，可以編制出各種防治病毒程序。計算機病毒攻擊與防御手段是不斷發(fā)展的，要在計算機病毒對抗中保持領(lǐng)先地位，必須根據(jù)發(fā)展趨勢，在關(guān)鍵技術(shù)環(huán)節(jié)上實施跟蹤研究，這需要每一個反病毒工作者及愛好正義的人們?yōu)榇烁冻鲎巫尾痪氲呐Α?、3計算機的幾種主要病毒計算機病毒是一組通過復(fù)制自身來感染其它軟件的程序。當程序運行時，嵌入的病毒也隨之運行并感染其它程序。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好的環(huán)境激發(fā)，即可感染和破壞。自80年代莫里斯編制的第一個“蠕蟲”病毒程序至今，世界上已出現(xiàn)了多種不同類型的病毒。在最近幾年，又產(chǎn)生了以下幾種主要病毒：（1）“美麗殺手”（melissa）病毒。這種病毒是專門針對微軟電子郵件服務(wù)器ms exchange和電子郵件收發(fā)軟件0utlookexpress的word宏病毒，是一種拒絕服務(wù)的攻擊型病毒，能夠影響計算機運行微軟word97、word2000和0utlook。這種病毒是一種word文檔附件，由e-mall攜帶傳播擴散。由于這種病毒能夠自我復(fù)制，一旦用戶打開這個附件，“美麗殺手”病毒就會使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動復(fù)制發(fā)送，從而過載e-mai1服務(wù)器或使之損壞?！懊利悮⑹帧辈《镜臄U散速度之快可達幾何級數(shù)，據(jù)計算，如果“美麗殺手”病毒能夠按照理論上的速度傳播，只需要繁殖 5次就可以讓全世界所有的網(wǎng)絡(luò)用戶都都收到一份?！懊利悮⑹帧辈《镜淖盍钊丝植乐庍€不僅是拒絕電子郵件服務(wù)器，而是使用戶的非常敏感和核心的機密信息在不經(jīng)意間通過電子郵件的反復(fù)傳播和擴散而被泄漏出去，連擴散到了什么地方可能都不得而知。據(jù)外電報道，在北約對南聯(lián)盟發(fā)動的戰(zhàn)爭行動中，證實“美麗殺手”病毒己使 5萬部電腦主機和幾十萬部電腦陷于癱瘓而無法工作，網(wǎng)絡(luò)被空數(shù)據(jù)包阻塞，迫使許多用戶關(guān)機避災(zāi)。（2）“怕怕”（papa）病毒?！芭屡隆辈《臼橇硪环Nexcel宏病毒，它能夠繞開網(wǎng)絡(luò)管理人員設(shè)置的保護措施進入計算機。這種病毒與“美麗殺手”病毒相類似，其區(qū)別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播，拒絕服務(wù)和阻塞網(wǎng)絡(luò)，而且更為嚴重的是它能使整個網(wǎng)絡(luò)癱瘓，使被它感染的文件所具有的宏病毒預(yù)警功能喪失作用。（3）“瘋牛”（madcow）和“怕怕b”病毒。這倆種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當美國緊急動員起來對付3月26日發(fā)現(xiàn)的“美麗殺手”和“怕怕”病毒時，在歐洲又出現(xiàn)了它們的新變種“美麗殺手b”（又叫作“瘋?！保┖汀芭屡耣”，目前正橫掃歐洲大陸，造成大規(guī)模破壞，而且還正在向全世界擴散蔓延。 雖然這兩種病毒變種的病毒代碼不同，可能不是一個人所編寫，但是，它們同樣也是通過發(fā)送word和excel文件而傳播。每次被激活后， 這種病毒就會向用戶電子郵件簿的前60個地址發(fā)送垃圾郵件；它還可以向一個外部網(wǎng)站發(fā)送網(wǎng)絡(luò)請求，占用大量的帶寬而阻滯網(wǎng)絡(luò)的工作，其危害性比原型病毒有過之而無不及。（4）“幸福1999”宏病毒。這是一種比“美麗殺手”的破壞作用小得多病毒。“幸福1999”病毒會改變計算機中的微軟公司windows程序與internet網(wǎng)工作。這種病毒還發(fā)送一個執(zhí)行文件，激活焰火顯示，使屏幕碎裂。（5）“咻咻”（ping）轟擊病毒?！斑葸荨鞭Z擊病毒的英文單詞是“分組internet 搜索者”的縮寫，指的是將一個分組信息發(fā)送到服務(wù)器并等待其響應(yīng)的過程，這是用戶用以確定一個系統(tǒng)是否在internet網(wǎng)上運行的一種方法。據(jù)外電報道，運用“咻咻”（ping）轟擊病毒，發(fā)送大量的“咻咻”空數(shù)據(jù)包，使服務(wù)器過載，不能對其它用戶做出響應(yīng)。第3章 計算機病毒發(fā)展趨勢和管理方法3、1計算機病毒的發(fā)展趨勢3、1、1我們將與病毒長久共存人類進入了信息社會創(chuàng)造了智能機器(電子計算機)， 同時也創(chuàng)造了機器(電子計算機)病毒，福禍同降。 人類在信息社會更容易與機器(電子計算機)融為一個整體，可是，破壞這個整體的一個方面將是機器病毒(計算機病毒)，人類同時在與生物病毒作斗爭時又要與機器病毒作斗爭，這是人類在方便自己時也在為難自己。從一九八三年計算機病毒首次被確認以來，并沒有引起人們的重視。直到一九八七年計算機病毒才開使受到世界范圍內(nèi)的普遍重視。我國于一九八九年在計算機界發(fā)現(xiàn)病毒。至今，全世界已發(fā)現(xiàn)近數(shù)萬種病毒，并且還在高速度的增加。由于計算機軟件的脆弱性與互聯(lián)網(wǎng)的開放性，我們將與病毒長久共存。而且，病毒主要朝著能更好的隱蔽自己并對抗反病毒手段的方向發(fā)展。同時，病毒已被人們利用其特有的性質(zhì)與其他功能相結(jié)合進行有目的的活動。病毒的花樣不斷翻新，編程手段越來越高，防不勝防。特別是internet的廣泛應(yīng)用，促進了病毒的空前活躍，網(wǎng)絡(luò)蠕蟲病毒傳播更快更廣，windows病毒更加復(fù)雜，帶有黑客性質(zhì)的病毒和特絡(luò)依木馬等有害代碼大量涌現(xiàn)。下面按病毒先后出現(xiàn)的順序，簡要例舉部分病毒的特性就可看出其發(fā)展。3、1、2網(wǎng)絡(luò)蠕蟲病毒的發(fā)展最早的網(wǎng)絡(luò)蠕蟲病毒作者是美國的小莫里思，他編寫的蠕蟲病毒是在美國軍方的局域網(wǎng)內(nèi)活動，但是，必需事先獲取局域網(wǎng)的權(quán)限和口令。世界性的一個大規(guī)模在internet網(wǎng)上傳播的網(wǎng)絡(luò)蠕蟲病毒是1998年底的happy99網(wǎng)絡(luò)蠕蟲病毒，當你在網(wǎng)上向外發(fā)出信件時，happy99網(wǎng)絡(luò)蠕蟲病毒會頂替你的信件或隨你的信件從網(wǎng)上跑到你發(fā)信的目標出，到了1月1日，收件人一執(zhí)行，便會在屏幕上不斷暴發(fā)出絢麗多彩的禮花，機器就不在干什么了。1999年3月歐美暴發(fā)了“美麗殺”網(wǎng)絡(luò)蠕蟲宏病毒，歐美最大的一些網(wǎng)站頻頻遭受到堵塞，造成巨大經(jīng)濟損失。2000年至今，是網(wǎng)絡(luò)蠕蟲開始大鬧互聯(lián)網(wǎng)的發(fā)展期。2000年，在歐美還暴發(fā)了i-worm/love letter“愛蟲”網(wǎng)絡(luò)蠕蟲病毒，又使歐美最大的一些網(wǎng)站和企業(yè)及政府的服務(wù)器頻頻遭受到堵塞和破壞，造成了比“美麗殺”病毒破壞還大的經(jīng)濟損失。目前，該病毒以有十多種變種產(chǎn)生，不斷的到處破壞。2001年后，有更多的網(wǎng)絡(luò)蠕蟲出現(xiàn)。i_worm.navidad網(wǎng)絡(luò)蠕蟲。該病毒能引發(fā)大規(guī)模的郵件泛濫。其傳播機制不同于一般的網(wǎng)絡(luò)蠕蟲程序（如愛蟲、美麗公園等），該網(wǎng)絡(luò)蠕蟲程序具有較大的迷惑性：用戶通過outlook express 收到的是一封來自你曾經(jīng)發(fā)送過的人的回復(fù)信件，內(nèi)容與您發(fā)送的完全一致，郵件的主題、郵件的正文都一樣，只是增加了一個電子郵件的附件，該附件的文件名稱是：navidad.exe文件，文件的大小是：32768字節(jié)。該附件就是該網(wǎng)絡(luò)蠕蟲程序的主體文件。該郵件只是在微軟的outlook express郵件系統(tǒng)下自動傳播，它會自動地給您的收件箱(而不是地址簿)的所有人發(fā)送一份該網(wǎng)絡(luò)蠕蟲程序。由于病毒修改該注冊表項目的文件名稱的錯誤，windows系統(tǒng)在啟動，讀取可執(zhí)行exe文件時，會因為找不到winsvrc.exe文件而不能正常啟動windows系統(tǒng)。i_worm.blebla.b網(wǎng)絡(luò)蠕蟲。該病毒是通過電子郵件的附件來發(fā)送的，文件的名稱是：xromeo.exe 和xjuliet.chm，該蠕蟲程序的名稱由此而來。當用戶在使用oe閱讀信件時，這兩個附件自動被保存、運行。 當運行了該附件后， 該蠕蟲程序?qū)⒆陨戆l(fā)送給outlook地址薄里的每一個人，并將信息發(fā)送給p.virus 新聞組。該蠕蟲程序是以一個email附件的形式發(fā)送的，信件的主體是以html語言寫成的，并且含有兩個附件：xromeo.exe及xjuliet.chm.收件人本身看不見什么郵件的內(nèi)容。該蠕蟲程序的危害性還表現(xiàn)在它還能修改注冊表一些項目，使得一些文件的執(zhí)行，必須依賴該蠕蟲程序生成的在windows目錄下的sysrnj.exe文件,由此可見對于該病毒程序的清除不能簡單的將蠕蟲程序刪除掉,而必需先將注冊表中的有關(guān)該蠕蟲的設(shè)置刪除后,才能刪除這些蠕蟲程序。i_worm/emanuel網(wǎng)絡(luò)蠕蟲。該病毒通過microsoft的outlook express來自動傳播給受感染計算機的地址薄里的所有人，給每人發(fā)送一封帶有該附件的郵件。該網(wǎng)絡(luò)蠕蟲長度16,896-22000字節(jié)，有多個變種。在用戶執(zhí)行該附件后，該網(wǎng)絡(luò)蠕蟲程序在系統(tǒng)狀態(tài)區(qū)域的時鐘旁邊放置一個“花”一樣的圖標，如果用戶點擊該花圖標，會出現(xiàn)一個消息框,大意是不要按此按鈕.如果按了該按鈕的話,會出現(xiàn)一個以emmanuel為標題的信息框, 當您關(guān)閉該信息框時又會出現(xiàn)一些別的:諸如上帝保佑您的提示信息。還有一個網(wǎng)絡(luò)蠕蟲i-worm/hybris的最明顯的特征是, 當您打開帶有該網(wǎng)絡(luò)蠕蟲程序的附件時, 您的計算機的屏幕就會被一個始終位于最上方的圖象所覆蓋,該圖象是活動的、轉(zhuǎn)動的、黑白相見的螺旋狀的圓形圖形。該網(wǎng)絡(luò)蠕蟲程序與其他常見的網(wǎng)絡(luò)蠕蟲程序一樣,是通過網(wǎng)絡(luò)上的電子郵件系統(tǒng)outlook來傳播的, 同樣是修改windows系統(tǒng)下的主管電子郵件收發(fā)的文件wsock32.dll文件。它與別的網(wǎng)絡(luò)蠕蟲程序的不同之處在于它不斷可以通過網(wǎng)絡(luò)自動發(fā)送網(wǎng)絡(luò)蠕蟲程序本身，而且發(fā)送的文件的名稱是變化的。該病毒是世界上第一個可自我將病毒體分解成多個大小可變化的程序塊（插件），分別潛藏計算機內(nèi)的不同位置，以便躲避查毒軟件。該病毒具有將這些碎塊聚合成一個完整的病毒，再進行傳播和破壞。早在1997年王江民先生在計算機病毒的發(fā)展趨勢與對抗手段一文中就有一段話預(yù)言會有這種病毒出現(xiàn)。i_worm/html.little davinia網(wǎng)絡(luò)蠕蟲。這是一個破壞性極大的網(wǎng)絡(luò)蠕蟲，可以清除硬盤上的所有數(shù)據(jù)，它利用word2000的漏洞、email等來傳播。該網(wǎng)絡(luò)蠕蟲程序是復(fù)合型的, 是html（網(wǎng)頁語言）形式的、vbs文件結(jié)構(gòu)、帶有宏的網(wǎng)絡(luò)蠕蟲程序。該病毒還能修改系統(tǒng)的注冊表，一旦修改注冊表成功，該病毒就會自動搜索所有的本地硬盤、網(wǎng)絡(luò)盤、以及所有目錄下的文件，采用覆蓋的方式將發(fā)現(xiàn)的文件寫上一些含有一些雜亂信息的文字，被損壞的文件很難修復(fù)！i_worm.mtx網(wǎng)絡(luò)蠕蟲病毒已大面積傳播, 超過了cih的感染率,但破壞性沒cih大。它是一個變形病毒, 變化無窮。該網(wǎng)絡(luò)蠕蟲的郵件比較特殊，它沒有主題、正文，只有一個附件文件，附件的文件名是變化的。i_worm.annakournikova網(wǎng)絡(luò)蠕蟲程序是使用了一個病毒制造機程序vbswg制造并加密。該蠕蟲程序發(fā)送的郵件的附件是：annakournikova.jpg.vbs（俄羅斯體育選手的名稱命名的文件名稱），它是一個vbs程序文件。當郵件用戶不小心執(zhí)行了該附件，那么該網(wǎng)絡(luò)蠕蟲程序會給outlook地址薄里的所有人發(fā)送一份該網(wǎng)絡(luò)蠕蟲程序，郵件的附件文件名稱：annakournikova.jpg.vbs（俄羅斯網(wǎng)球女明星的圖片文件）該網(wǎng)絡(luò)蠕蟲程序的長度是2853字節(jié)左右。如果機器的日期是1月26日的話，該網(wǎng)絡(luò)蠕蟲程序會自動將您指向一個位于荷蘭的計算機商店的網(wǎng)絡(luò)地址。該網(wǎng)絡(luò)蠕蟲程序會給所有地址薄里的所有用戶發(fā)送網(wǎng)絡(luò)蠕蟲程序來看，它和轟動一時的“愛蟲程序”有相似之處。i_worm.magistr網(wǎng)絡(luò)蠕蟲惡性病毒可通過互聯(lián)網(wǎng)上電子郵件或在局域網(wǎng)內(nèi)進行傳播。可通過outlook、netscape messenger等其他電子郵件軟件和新聞組在內(nèi)的軟件讀取其中地址簿中的地址發(fā)送帶毒電子郵件進行傳播。該病毒隨機在當前機上找一個.exe或.scr文件和一些.doc或.txt文件作為附件發(fā)出去，如果你的機中.doc或.txt文件是機密文件，肯定會被發(fā)在互聯(lián)網(wǎng)上到處都是。目前，該病毒已有許許多多的變種。病毒發(fā)作時間是在病毒感染系統(tǒng)一個月后。病毒會改寫本地機和局域網(wǎng)中電腦上的文件，文件內(nèi)容全部被改寫，這將導(dǎo)致文件不能恢復(fù)！如果在win9x環(huán)境下，該病毒會象cih病毒一樣，破壞bios和清除硬盤上的數(shù)據(jù)，是危害性一非常大的一種病毒。該病毒采用了多變形引擎和兩組加密模塊，病毒感染文件的中部和尾部，將中部的原文件部分代碼加密后潛藏在病毒體內(nèi)，病毒長為24000-30000字節(jié)。 病毒使用了非常復(fù)雜的感染機制，感染.exe、.dll、.ocx、.scr、.cpl等文件，病毒每傳染一個目標，就變化一次，具有無窮次變化，其目的是使反病毒軟件難以發(fā)現(xiàn)和清除。病毒在發(fā)展，網(wǎng)絡(luò)在發(fā)展，網(wǎng)絡(luò)又促進了病毒的發(fā)展，復(fù)雜的病毒又超著變形病毒發(fā)展。313變形病毒早先，國內(nèi)外連續(xù)發(fā)現(xiàn)多種更高級的能變換自身代碼的“變形”病毒，其名字有:stea lth(詭秘)病毒、mutation engine(變形金鋼或稱變形病毒生產(chǎn)機)、fear(恐怖)、satan(惡魔)、 tremor(地震)、 casper(卡死脖幽靈)、one_half/3544(幽靈)、natas/4744(拿他死幽靈王)、new dir2病毒等。 特別是mutation engine，它遇到普通病毒后并能將其改造成為變形病毒。這些變形病毒具有多態(tài)性、多變性，甚至沒有一個連續(xù)的字節(jié)是相同的，從而使以往的搜索病毒方法不知去搜索什么。1992年，我們首次發(fā)現(xiàn)了國內(nèi)第一例變形病毒，病毒名字為“doctor”（醫(yī)生）。目前，我國已發(fā)現(xiàn)了許許多多變形病毒， 其名字稱為“doctor” (醫(yī)生)、newflip(顛倒屏幕)、casper(卡死脖幽靈)、ghost/one_half/3544(幽靈)、vtech、natas/4744(拿他死幽靈王)、1982/(福州大學(xué)hxh)、1748/hxh、2560/hyy、v3、hyy/3532(福州1號變形王)、tremor、5volt4、clme、1748/hxh、new dir2、connie2臺灣2號變形王、made-sp、hefei（合肥1號，2號）、joke、nightall、win-marburg、win32/hps、win32/cxdz、win32/matrix、i-worm/magistr（馬吉思）等病毒。這些變形病毒能將自身的代碼變換成億萬種樣貼附在被感染的文件中，其casper(卡死脖幽靈)、ghost/one_half/3544(幽靈)、1982/(福州大學(xué)hxh)病毒可變代碼為數(shù)千億種，natas/4744(拿他死幽靈王)、 hyy/3532(hyy/3532(福州1號變形王)、hefei變形鬼魂、connie2臺灣2號變形王、madesp、hefei、joke、nightall、marburg病毒代碼可變無窮次。這使的一些病毒掃描軟件產(chǎn)生漏查漏殺現(xiàn)象。其中，connie2臺灣2號變形王、made-sp、joke、nightall、windows marburg、i-worm/magistr變形病毒變形復(fù)雜，幾乎達到了不可解除的狀態(tài)。通過以上例子來看，計算機病毒在不斷發(fā)展，手段越來越高明，結(jié)構(gòu)越來越特別。目前，對出現(xiàn)的上萬種引導(dǎo)區(qū)病毒和普通的文件型病毒以及宏病毒已有了較好的對策，但變形病毒將會是今后病毒發(fā)展主要方向之一，這應(yīng)當引起我們的警惕。那么變形病毒是什么樣呢？3、1、4變形病毒的基本類型病毒都具有一定的基本特性，這些基本特性主要指的是病毒的傳染性、繁殖性、破壞性、惡作劇等其它表現(xiàn)，這是普通病毒所應(yīng)具備的基本特性。過去，一些教科書里對病毒的基本定義簡單的說是“具有傳染性質(zhì)的一組代碼，可稱為病毒”。即病毒從一個文件傳染到另一個文件上，許多文件會染毒。引導(dǎo)區(qū)病毒從一個磁盤傳染到另一個磁盤上。而在互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)會在互聯(lián)網(wǎng)上通過一臺機器自動傳播到另一臺機器上，一臺機器中只有一個蠕蟲病毒，當然，也有的蠕蟲可以在當前機器中感染大量文件?，F(xiàn)在應(yīng)發(fā)展一下對病毒的基本定義。即對病毒的基本定義簡單的說是“具有傳播性質(zhì)的一組代碼，可稱為病毒”。病毒這些基本特性不能用來決定病毒是屬于第幾代的。能用變化自身代碼和形狀來對抗反病毒手段的變形病毒才是下一代病毒首要的基本特征。我們通過多年的反病毒研究，對變形病毒做了以下定義：變形病毒特征主要是，病毒傳播到目標后，病毒自身代碼和結(jié)構(gòu)在空間上、時間上具有不同的變化。我們以下簡要劃分的變形病毒種類分為四類。第一類變形病毒的特性是：具備普通病毒所具有的基本特性，然而，病毒每傳播到一個目標后，其自身代碼與前一目標中的病毒代碼幾乎沒有三個連續(xù)的字節(jié)是相同的，但這些代碼其相對空間的排列位置是不變動的, 這里稱為：一維變形病毒。在一維變形病毒中, 個別的病毒感染系統(tǒng)后，遇到檢測時能夠進行自我加密或脫密，或自我消失。有的列目錄時能消失增加的字節(jié)數(shù)，或加載跟蹤時，病毒能破壞跟蹤或者逃之夭夭。第二類變形病毒的特性是：除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離(相對空間位置),也是變化的，這里稱為：二維變形病毒。在二維變形病毒中， 有如前面提到的made-sp病毒等，能用某種不動聲色特殊的方式或混載于正常的系統(tǒng)命令中去修改系統(tǒng)關(guān)鍵內(nèi)核，并與之溶為一體，或干脆另創(chuàng)建一些新的中斷調(diào)用功能。有的感染文件的字節(jié)數(shù)不定，或與文件溶為一體。第三類變形病毒的特性是：具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，當病毒引擎被激發(fā)后都能自我恢復(fù)成一個完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。比如：可能一部分藏在第一臺機器硬盤的主引導(dǎo)區(qū)，另外幾部分也可能潛藏在幾個文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統(tǒng)引導(dǎo)區(qū)、也可能另開墾一塊區(qū)域潛藏.等等。而在下一臺被感染的機器內(nèi)，病毒又改變了其潛藏的位置。這里稱為：三維變形病毒。第四類變形病毒的特性是：具備三維變形病毒的特性，并且，這些特性隨時間動態(tài)變化。比如，在染毒的機器中，剛開機時病毒在內(nèi)存里變化為一個樣子，一段時間后又變成了另一個樣子，再次開機后病毒在內(nèi)存里又是一個不同的樣子。還有的是這樣一類病毒，其本身就是具有傳播性質(zhì)的“病毒生產(chǎn)機”病毒，它們會在計算機內(nèi)或通過網(wǎng)絡(luò)傳播時，將自己重新組合代碼生成于前一個有些代碼不同的變種新病毒，這里稱為：四維變形病毒。四維變形病毒大部分具備網(wǎng)絡(luò)自動傳播功能，在網(wǎng)絡(luò)的不同角落里到處隱藏。還有一些這類高級病毒不再持有以往絕大多數(shù)病毒那種“惡作劇”的目的，它可能主要是，人類在信息社會投入巨資研究出的、可擾亂破壞社會的信息、政治、經(jīng)濟制序等、或是主宰戰(zhàn)爭目的的一種“信息戰(zhàn)略武器”病毒。它們有可能接受機外遙控信息，也可以向外發(fā)出信息。比如在多媒體機上可通過視頻、音頻、無線電或互聯(lián)網(wǎng)收發(fā)信息。也可以通過計算機的輻射波，向外發(fā)出信息。也可以潛藏在聯(lián)接internet網(wǎng)的計算機中，收集密碼和重要信息，再悄悄的隨著主人通信時，將重要信息發(fā)出去（i-worm/magistr（馬吉思）病毒就有此功能），這些變形病毒的智能化程度相當高。以上，我們把變形病毒劃分定義為一維變形病毒、二維變形病毒、三維變形病毒、四維變形病毒。這樣，可使我們站在一定的高度上對變形病毒有一個較清楚的認識，以便今后針對其采取強而有效的措施進行診治。以上的四類變形病毒可以說是病毒發(fā)展的趨向，也就是說：病毒主要朝著能對抗反病毒手段和有目的方向發(fā)展。目前，已發(fā)展到了一維、二維、三維變形病毒。315特洛伊木馬與有害代碼互聯(lián)網(wǎng)的發(fā)展，使病毒、黑客、后門、漏洞、有害代碼等相互結(jié)合起來，對信息社會造成極大的威脅。國際上最早最有名的backdoor.bo1.2、bo2k和國產(chǎn)的“冰河”的客戶端程序是一個可潛伏在用戶機中的后門程序，它可將用戶上網(wǎng)后的計算機大開后門，任意進出?？梢杂涗浉鞣N口令信息，獲取系統(tǒng)信息，限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制；還可遠程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、修改、刪除文件或目錄、文件壓縮、快速瀏覽文件、遠程打開文件等多項文件操作功能；還可對注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能。這在當時，影響極大。國產(chǎn)類似上述的后門程序有“冰河”一系列版本，被散發(fā)的面積很大，有相當多的用戶在不知不覺中使機器中“毒”。這是一個基于tcp/ip協(xié)議和windows操作系統(tǒng)的網(wǎng)絡(luò)工具，可用于監(jiān)控遠程計算機和配置服務(wù)器程序。但是，其被監(jiān)控端后臺監(jiān)控程序在被執(zhí)行時，沒有明顯的告誡警示不明用戶的安裝界面和安裝路徑及其屏幕右下角沒有最小化托盤圖標，而是悄悄的就安裝在用戶機中了，為用戶帶來潛在的危害。所以，被所有反病毒公司的反病毒軟件做為“后門有害程序”而殺掉。類似這類的國內(nèi)外程序還有，yai、picture、netspy、netbus、daodan、bo.proc、cafcini.09、badboy、interna 、qaz、sping、thething、matrim、subx等等。主要的特絡(luò)依木馬有surfspy、exebind、scandriv、ncalrpc、way20、oicq.key、cainabel151、zerg、bo.1eanpb、cockhorse、zspyiis、nethisf等等。其中oicq.key、nethisf一種可將ip地址、系統(tǒng)密碼等發(fā)出去的特絡(luò)依木馬，被不軌人悄聲捆綁在某oicq在線聊天程序中，結(jié)果被人下載了幾十萬多次，真不知有多少人受到傷害。還有那些直接就破壞的惡性程序，如shanghai.tcbomb（上海tc炸彈），放在網(wǎng)上供人下載。不知情的用戶一執(zhí)行后，瞬間硬盤就不能用了，數(shù)據(jù)就取不出來了，這會使受害者茹痛不生。還有harm/del-c，這個程序被人用了一個響亮的名字，一執(zhí)行后，c盤下的文件全被刪除了。這類惡意程序還有funjoke、siji、ha-ha、mailtospam、syscrash、clickme、quake、way20、tds.se、stretch、nuker等等。還有那些不破壞的惡作劇，出現(xiàn)一幅嚇人的畫面，或死機，或屏幕抖動等等。這類程序有joke/ghos（女鬼）、tbluebomb、fluke、jokewow等等。攻擊類的黑客程序，它是行為人（黑客）使用的工具，一般的反病毒軟件不去查它，留給“網(wǎng)絡(luò)防火墻”來處理。網(wǎng)絡(luò)的廣泛使用和漫無邊際的交流，為破壞者提供了場所。一些惡性破壞程序和惡作劇等各種各樣的有害代碼被人在網(wǎng)上傳播和供人下栽，或以美麗獵奇的標題誘人上當。這些有害代碼也成了反病毒軟件的任務(wù)。目前，國內(nèi)外的后門、漏洞、有害代碼等成了反病毒軟件要對付的主攻方向，已有了2000多種，僅次于7500多種宏病毒。有害代碼程序會越來越多，而查毒軟件對其沒有任何先知的智能化的查找方法，最多也只能在其行為上（破壞時）“實時監(jiān)測”。3、1、6病毒的種類數(shù)量目前，病毒到底有多少 各反病毒公司說法不一。如下：dos病毒： 40000 種win32病毒： 15 種win9x病毒： 600 種winnt/win2000病毒： 200 種word宏病毒： 7500 種excel宏病毒： 1500 種powerpoint病毒： 100 種script腳本病毒： 500 種macintos蘋果機病毒： 50 種linux病毒： 5 種手機病毒： 2 種合計: 55000 種國際上有名的病毒編寫組織有：29alinezerometaphase隨著計算機的不斷發(fā)展，和歷史原因，以及軟件、硬件上技術(shù)的壟斷與操作系統(tǒng)、辦公集成系統(tǒng)在習慣上根深蒂固的壟斷及延續(xù)，造成了計算機所固有的脆弱性。 比如，因芯片或硬盤(或光盤)或軟件在技術(shù)上的被壟斷， 壟斷部門有可能把“病毒”設(shè)計進芯片或硬盤(或光盤)或軟件的非正常區(qū)域。或在硬件、軟件中留有“后門”，非常時期時再通過某種方式將“病毒”激活, 或?qū)ⅰ昂箝T”打開，施行毀滅性的打擊，真是神不知鬼不覺。比如說：cpu等芯片，它的功能和構(gòu)造比我們身上帶的bp機要強大和復(fù)雜的多，誰能說它里面沒有“后門”或“病毒”呢！它是否能象bp機一樣通過主板上的導(dǎo)線接收外來的無線信息這不是太容易了嗎 一但接收到了外來信息，它是否會放出“病毒”或開啟“后門”或發(fā)出破壞指令呢，或令“死機”！哪后果可想而知我們已發(fā)現(xiàn)某一廣泛使用的操作系統(tǒng)中的一處“缺陷”！這是“缺陷” 還是“后門”? 我們還發(fā)現(xiàn)某操作系統(tǒng)中隱藏有一處非常危險的邏輯錯誤，是“錯誤”還是隱藏的“炸彈” 為什么至今連續(xù)幾年的新版本都不改掉！為什么另一家相同功能的操作系統(tǒng)中就沒有這一“錯誤”！這一“錯誤”（后門）如果在信息戰(zhàn)中被利用，計算機將徹底癱瘓！這一現(xiàn)狀，必應(yīng)引起我們的高度重視，小規(guī)模的信息化戰(zhàn)爭和對抗已不斷出現(xiàn)。比如說，94年4月，南非的黑人領(lǐng)袖在競選總統(tǒng)時獲得較大優(yōu)勢，但是，最后在統(tǒng)計選票的關(guān)鍵時刻，出現(xiàn)了計算機病毒的嚴重事件，機器被病毒搞癱瘓了，迫使選票結(jié)果推遲了幾天，險些使大選結(jié)果遭到毀滅性破壞。這一事件的產(chǎn)生過程，直到現(xiàn)在還是個謎。中美黑客對抗和攻擊引發(fā)我們深思大規(guī)模的信息戰(zhàn)爭也將一觸即發(fā)。所以，我們必須加強反病毒手段的研究和全方位信息安全的研究。國際互聯(lián)網(wǎng)internet的廣泛發(fā)展，雖然加速了病毒的傳播速度和廣度，但是，各國的老病毒由于其本身的局限性還不會在全球廣泛傳播。只有本地化和地域性的新型病毒隨著國與國信息的頻繁往來交流，將上升為全球性病毒。新病毒對各國來說都是新的，這就要看誰具備了快速的反病毒手段，誰具備了快速為用戶能解除病毒的條件。另外，在網(wǎng)絡(luò)上抗病毒（防火墻）和對網(wǎng)絡(luò)性能要求成反比，所以，總會有漏網(wǎng)的病毒，目前，各國都在研究各種各樣的防火墻（防病毒是防火墻內(nèi)的功能之一），但在網(wǎng)絡(luò)上還沒有完美無缺的抗病毒方法和產(chǎn)品。據(jù)實驗，最好的防病毒產(chǎn)品，對新病毒的漏網(wǎng)率為20，那么，10個新病毒就可能有2個漏網(wǎng)，100個新病毒就可能有20個病毒漏網(wǎng)，這多可怕！而往往有時用戶的機器中也就染上了那么一兩種病毒，而就這一兩種病毒就使機器不能正常工作了，而也就在這時，這一兩種病毒使那些能殺1千種、1萬種、5萬種的殺毒軟件的威風不知道哪去了。也就為了殺除這一兩種病毒，用戶到處尋求有效的反病毒解決方案！317尋找抗病毒的有效方法在反病毒的長期過程中，我們必須用科學(xué)的觀點正視如下現(xiàn)實：（1）目前的防病毒軟硬件不可能自動防今后一切病毒?。?）目前的查解病毒軟硬件不可能自動查解今后一切動恢復(fù)被這些新病毒感染的文件! 有些惑人的廣告詞，如“自動查解今后一切未知病毒”、“可解除所有病毒”、“百分之百查殺世界流行病毒”等等，太夸大其詞了。如果，這些廣告詞的創(chuàng)造者，真正親自研究解除過一百種以上病毒，那他就不會使用“一切”、“所有”的詞了，因為那些病毒的創(chuàng)造者們頭腦十分發(fā)達靈巧，魔法無窮，怪招百出。誰也不能預(yù)計今后一切病毒會發(fā)展到什么樣子，很難能開發(fā)出具有先知先覺功能的“一切”、“所有”的自動反病毒軟硬件和工具。（3）目前的防、查、解病毒軟件和硬件， 如果其對付的病毒種類越多，越會有誤查誤報現(xiàn)象，也不排除有誤解或解壞現(xiàn)象。殺毒編程太費事、太累、還要冒風險，后來國外有的軟件干脆只殺除其已知病毒的70，復(fù)雜病毒只查不殺了。所以，殺病毒時，用戶應(yīng)遵循一查找、二備份、三解除的原則。（4）目前的防、查、解病毒軟件和硬件是易耗品， 必須經(jīng)常更新、升級或自我升級。病毒窮出不盡，有時明明知道機內(nèi)染有一種新病毒，那么在別的機器內(nèi)和磁盤中還有此病毒嗎? 這需要靠經(jīng)驗和時間去費力的判斷，用戶苦于手頭沒有主動式快速診治新病毒的手段。目前，計算機病毒之所以到處不斷的泛濫，其一個方面的原因就是查解病毒的手段老是跟在一些新病毒的后面發(fā)展，所以病毒就到處傳染。并且，現(xiàn)代信息傳遞有多么快、多么廣，病毒就傳染有多么快、多么廣。病毒產(chǎn)生在先、診治手段在后，讓病毒牽著鼻子走的狀態(tài)，怕是長久問題。那么，有沒有能緊緊跟上病毒的傳播，而對其采取有效的查解手段呢? 最起碼在新病毒剛露頭時，就應(yīng)有能立即快速將其查找出來的手段，這樣可針對其采取相應(yīng)的措施，將新病毒消滅在初發(fā)階段。目前，要想有效診治病毒的手段之一，就是最起碼應(yīng)該使懂電腦基本操作的和略知病毒常識的用戶，有一種能不必編程序而可方便有效的主動去快速查出新病毒的手段。查出新病毒后，可根據(jù)情況采取相應(yīng)對策，這樣做會及早的限制住新病毒的流行。這種方法之一就是，用戶應(yīng)有一種能根據(jù)病毒特征碼和開放式加載查毒模塊來查出普通病毒和變形病毒的專門的程序，其新病毒的特征碼和解密模塊可通過專業(yè)報刊雜志和internet網(wǎng)及有關(guān)渠道獲得，需要有反病毒部門經(jīng)常提供新病毒特征碼和反毒程序模塊。那么，有這種可以隨時增加查病毒能力的程序嗎？那些變形病毒容易查出嗎變形病毒的出現(xiàn)，使抗病毒的難度加大了。在這里我們說，病毒在發(fā)展，但反病毒理論和技術(shù)也在發(fā)展！一種殺病毒軟件性能優(yōu)劣的一個關(guān)鍵方面就是看，用什么樣的理論來指導(dǎo)技術(shù)上的快速跟進。比如說：目前，國際上已有數(shù)萬種病毒，但是變種