各種計(jì)算機(jī)病毒的簡介

計(jì)算機(jī)病毒

ComputerVirus

主要內(nèi)容

?1計(jì)算機(jī)病毒的定義

2計(jì)算機(jī)病毒的產(chǎn)生

?:*3計(jì)算機(jī)病毒的特點(diǎn)

4計(jì)算機(jī)病毒的分類

?:*5計(jì)算機(jī)病毒的入侵方式

?:*6計(jì)算機(jī)病毒的命名

?:*7計(jì)算機(jī)病毒的生命周期

?8計(jì)算機(jī)病毒的發(fā)展

?:?計(jì)算機(jī)病毒的危害

?:?計(jì)算機(jī)病毒的表現(xiàn)

?:?計(jì)算機(jī)病毒的結(jié)構(gòu)

?:?計(jì)算機(jī)病毒的傳播

?:?計(jì)算機(jī)病毒的發(fā)展趨勢

典型計(jì)算機(jī)病毒的舉例與分析

計(jì)算機(jī)病毒主要檢測技術(shù)和特點(diǎn)

?:?計(jì)算機(jī)病毒的預(yù)防

?:?計(jì)算機(jī)病毒的清除■

?:?參考資料

1計(jì)算機(jī)病毒定義

指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算

機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且

能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代

碼。

計(jì)算機(jī)病毒的產(chǎn)生

源算

設(shè)計(jì)

編寫

傳播

潛伏

觸發(fā)

攻擊

?:?病毒不是來源于突發(fā)或偶然的原因。一次突

發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤

和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些

代碼是無序和混亂的，病毒則是一種比較完

美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組

織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配

合起來，病毒不會(huì)通過偶然形成，并且需要

有一定的長度，這個(gè)基本的長度從概率上來

講是不可能通過隨機(jī)代碼產(chǎn)生的。

現(xiàn)在流行的病毒是由人為故意編寫的，多

數(shù)病毒可以找到作者和產(chǎn)地信息，從大量

的統(tǒng)計(jì)分析來看，病毒作者主要情況和目

的是：一些天才的程序員為了表現(xiàn)自己和

證明自己的能力，出于對上司的不滿，為

了好奇，為了報(bào)復(fù)，為了祝賀和求愛，為

了得到控制口令，為了軟件拿不到報(bào)酬預(yù)

留的陷阱等.當(dāng)然也有因政治，軍事，宗

教，民族.專利等方面的需求而專門編寫

的，其中也包括一些病毒研究機(jī)構(gòu)和黑客

的測試病毒.

計(jì)算機(jī)病毒的特點(diǎn)

寄生性

?傳染性

?潛伏性

?隱蔽性

?破壞性

?:?可觸發(fā)性

寄生性

?:?計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這

個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)

這個(gè)程序之前，它是不易被人發(fā)覺的。

傳染性

?:?計(jì)算機(jī)病毒不但本身具有破壞性，更有害的

是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種,

其速度之快令人難以預(yù)防。傳染性是病毒的

基本特征。像生物界的病毒傳染一樣，計(jì)算

機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算

機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下

造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與

生物病毒不同的是，計(jì)算機(jī)病毒一般

?:?人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一

旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符

合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后

再將自身代碼插入其中，達(dá)到自我繁殖的目的。

只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病

毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散，其中的大量文件

（一般是可執(zhí)行文件）會(huì)被感染。而被感染的

文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)

據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)進(jìn)行傳染。

?是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)

病毒的最重要條件。病毒程序通過修改磁盤

扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方

法達(dá)到病毒的傳染和擴(kuò)散。被嵌入的程序叫做

宿主程序。

潛伏性

有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)

先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間

一點(diǎn)都覺察不出來，等到條件具備的時(shí)候一下子就

爆炸開來，對系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算

機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可

以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱臧在合法文件

中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性

愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長，病毒的傳

染范圍就會(huì)愈大。潛伏性的第一種表現(xiàn)是指，病毒

程序不用專用檢測程序是檢查不出來的，

?:?潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)

部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí),

計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)

條件一旦得到滿足，有的在屏幕上顯示信息、

圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操

作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)

文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等

隱蔽性

。計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通

過病毒軟件檢查出來，有的根本就查不出來,

有的時(shí)隱時(shí)現(xiàn)、變化無常，這類病毒處理起

來通常很困難。

破壞性

。計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無法

運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程

度的損壞。通常表現(xiàn)為：增、冊I）、改、移。

可觸發(fā)性

?:?病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染

或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，

病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛

伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去

了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須

具有可觸發(fā)性。病毒具有預(yù)定的觸發(fā)條件，這些條

件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。

病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如

果滿足，啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或

攻擊；如果不滿足，使病毒繼續(xù)潛伏

計(jì)算機(jī)病毒的分類

?根據(jù)病毒存在的媒體：

?網(wǎng)絡(luò)病毒：通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)

行文件。

?:?文件病毒：感染計(jì)算機(jī)中的文件（如：COM,

EXE,DOC等）

?:?引導(dǎo)型病毒：感染啟動(dòng)扇區(qū)（Boot）和硬盤的系統(tǒng)

引導(dǎo)扇區(qū)（MBR）

還有這三種情況的混合型，例如：多型病毒（文件

和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的

病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦

法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。

?:?根據(jù)病毒傳染的方法：

?:?駐留型病毒：感染計(jì)算機(jī)后，把自身的內(nèi)存駐

留部分放在內(nèi)存（RAM）中，這一部分程序

掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于

激活狀態(tài)，一直到關(guān)機(jī)或重新啟動(dòng).

?:?非駐留型病毒：在得到機(jī)會(huì)激活時(shí)并不感染計(jì)

算機(jī)內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是

并不通過這一部分進(jìn)行傳染，這類病毒也被劃

分為非駐留型病毒。

?按病毒破壞的能力：

?:?無害型：除了傳染時(shí)減少磁盤的可用空間外，

對系統(tǒng)沒有其它影響。

?:?無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示

圖像、發(fā)出聲音及同類音響。

?:?危險(xiǎn)型：這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成

嚴(yán)重的錯(cuò)誤。

?:?非常危險(xiǎn)型：這類病毒刪除程序、破壞數(shù)據(jù)、

清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。

?:?按病毒的算法：

?:?伴隨型病毒：這一類病毒并不改變文件本身，

它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同

樣的名字和不同的擴(kuò)展名（COM）

?“蠕蟲”型病毒:通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改

變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)

存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將

自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們在系統(tǒng)存

在，一般除了內(nèi)存不占用其它資源。

?:?練習(xí)型病毒：病毒自身包含錯(cuò)誤，不能進(jìn)行很好的

傳播，例如一些病毒在調(diào)試階段。

?:?詭秘型病毒：它們一般不直接修改DOS中斷和扇區(qū)

數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部

修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用

DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。

變型病毒（又稱幽靈病毒）：這一類病毒使用一個(gè)

復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容

和長度。它們一般的作法是一段混有無關(guān)指令的解

碼算法和被變化過的病毒體組成。

練習(xí)型病毒，詭秘型病毒，變型病毒三種又

可以統(tǒng)稱為寄生型病毒，共性是它們依附在

系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能

進(jìn)行傳播。

計(jì)算機(jī)病毒的入侵方式

。源代碼嵌入攻擊：在源程序編譯之前插入病

毒代碼，最后隨源程序一起被編譯成可執(zhí)行

的文件，一次剛生成的文件就是帶毒文件。

?:?代碼取代攻擊：主要用自身的病毒代碼取代

主程序的整個(gè)或者部分模塊，這類病毒在早

期的DOS時(shí)代非常普遍，清除起來也較困難。

?:?外殼寄生入侵：通常將病毒代碼附加在正常

程序的頭部或者尾部，即相當(dāng)于給程序添加

了一個(gè)外殼。在被感染的程序執(zhí)行時(shí)，病毒

代碼先被執(zhí)行，然后才將正常的程序調(diào)入內(nèi)

存，有很多病毒采用此類入侵方式。

?:?系統(tǒng)修改入侵：用自身程序覆蓋或修改系統(tǒng)

中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中

部分功能的目的。由于是直接感染系統(tǒng)，一

次危害較大，這事目前的主流入侵方式。

計(jì)算機(jī)病毒的命名

?以病毒的出現(xiàn)的地點(diǎn)命名，如："chongqing_JES”

?:?按病毒中出現(xiàn)的人名或特征字符命名，如

“ZHANGFANG-1535”

?:?按病毒發(fā)作時(shí)的癥狀命名，如“火炬”

?:?按病毒發(fā)作的時(shí)間命名，如“NOVEMBER9TH”

有些命名包括病毒代碼的長度，如“PIXEL.XXX”系

歹U

計(jì)算機(jī)病毒的生命周期

?開發(fā)期

?傳染期

?潛伏期

?發(fā)作期

?發(fā)現(xiàn)期

分析期

。消亡期

計(jì)算機(jī)病毒的發(fā)展

在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般

情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，

接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升

級(jí)后，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技

術(shù)。

按計(jì)算機(jī)病毒的技術(shù)性劃分為：

第一代原始病毒（86-89）：傳統(tǒng)病毒，單擊環(huán)

境，萌芽和滋生時(shí)期，種類有限，清除相對較容易

?:?第二代混合型病毒(89-91)：由單擊轉(zhuǎn)向

網(wǎng)絡(luò)，計(jì)算機(jī)病毒的第一次大流行，破壞性

更大

?:?第三代多態(tài)性病毒(92?95)：“變形”病

毒，所謂變形是只此類病毒在每次傳染目標(biāo)

時(shí)放入宿主程序中的病毒程序大部分都是可

變的，即在搜集到同一病毒的多個(gè)樣本中，

病毒程序的代碼絕大多數(shù)是不同的，這是此

類病毒的特點(diǎn)。從而導(dǎo)致傳統(tǒng)的利用特征碼

檢測病毒產(chǎn)品的方法不能檢測出此類病毒。

?:?第四代網(wǎng)絡(luò)病毒（20世紀(jì)90中期）：依賴互

聯(lián)網(wǎng)絡(luò)傳播的郵件病毒和宏病毒等大量涌現(xiàn),

病毒傳播快、隱蔽性強(qiáng)、破壞性大。也就是

從這一階段開始，反病毒產(chǎn)業(yè)開始萌芽并逐

步形成一個(gè)規(guī)模宏大的新興產(chǎn)業(yè)。

?:?第五代主動(dòng)攻擊型病毒（21世紀(jì)）：利用操

作系統(tǒng)的漏洞進(jìn)行進(jìn)攻型的擴(kuò)散，并不需要

任何媒介或操作，用戶只要接入互聯(lián)網(wǎng)絡(luò)就

有可能被感染。該病毒的危害性更大。

?:?第六代“手機(jī)病毒”階段：隨著移動(dòng)通訊網(wǎng)

絡(luò)的發(fā)展以及移動(dòng)終端一一手機(jī)功能的不斷

強(qiáng)大，計(jì)算機(jī)病毒開始從傳統(tǒng)的互聯(lián)網(wǎng)絡(luò)走

進(jìn)移動(dòng)通訊網(wǎng)絡(luò)世界。與互聯(lián)網(wǎng)用戶相比，

手機(jī)用戶覆蓋面更廣、數(shù)量更多，因而高性

能的手機(jī)病毒一旦爆發(fā)，其危害和影響比

“沖擊波”“震蕩波”等互聯(lián)網(wǎng)病毒還要大。

計(jì)算機(jī)病毒的危害

?:?經(jīng)濟(jì)損失，舉例如下：

?1998年6月“CIH病毒”全球約5億美元

?1999年3月“梅利莎(Melissa)”約3-6億美元

?2000年“愛蟲”約100億美元

?2003年夏季沖擊波(Blaster)”數(shù)百億美元

2004年計(jì)算機(jī)病毒Mydoom造成的全球經(jīng)濟(jì)損失已

達(dá)261億美元

?2010年計(jì)算機(jī)病毒造成的全球經(jīng)濟(jì)損失大概1.6萬

億美元

對計(jì)算機(jī)的影響?對軍事的影響

破壞數(shù)據(jù)直面軍事信息安全的挑戰(zhàn)

占用磁盤空間高度依賴信息系統(tǒng)的美軍

搶占系統(tǒng)資源青睞計(jì)算機(jī)病毒武器

影響計(jì)算機(jī)運(yùn)行速度

計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)

見的危害

病毒兼容性對系統(tǒng)的運(yùn)行

影響

。海灣戰(zhàn)爭中，美軍上千臺(tái)計(jì)算機(jī)感染“猶太

人”、“大麻”等病毒，并以開始影響作戰(zhàn)

的正常運(yùn)行

?:?伊拉克戰(zhàn)爭中，美軍通過第三方把帶有病毒

的打印機(jī)賣個(gè)伊拉克，然后無線電遙控激活,

破壞伊拉克計(jì)算機(jī)系統(tǒng)

?:?科索沃戰(zhàn)爭中，美軍將大量病毒和欺騙性信

息輸入南聯(lián)盟互聯(lián)網(wǎng)絡(luò)以阻塞其信息傳輸通

道。南聯(lián)盟使用“爸爸”“瘋?！辈《竟?/p>

北約指揮通信網(wǎng)，使其通信癱瘓。

計(jì)算機(jī)病毒的表現(xiàn)

?:?發(fā)作前的表現(xiàn)

?:?發(fā)作時(shí)的表現(xiàn)

。發(fā)作后的表現(xiàn)

病毒發(fā)作前的表現(xiàn)

無緣無故死機(jī)以前正常運(yùn)行的程序發(fā)

?:?操作系統(tǒng)無法正常啟動(dòng)生死機(jī)或非法錯(cuò)誤

?運(yùn)行速度異常?:?系統(tǒng)文件的時(shí)間、日期

和美小次生亞也

內(nèi)存不足的錯(cuò)誤

?磁盤空間迅速減少

?:?打印、通信及主機(jī)接口

發(fā)生異常?陌生人發(fā)來的電子郵件

?無意中要求對軟盤進(jìn)行網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目

寫操作錄無法調(diào)用

自動(dòng)連接陌生網(wǎng)站

病毒發(fā)作時(shí)的表現(xiàn)

?顯示器屏幕異常?被感染系統(tǒng)被打開服務(wù)

?聲音異常端口

?硬盤燈不斷閃爍?反計(jì)算機(jī)病毒軟件無法

?進(jìn)行游戲算法正常工作

?Windows桌面圖標(biāo)發(fā)生

變化

?計(jì)算機(jī)突然死機(jī)或重啟

鼠標(biāo)、鍵盤失控

病毒發(fā)作后表現(xiàn)

無

盤

硬

?：?其他異?，F(xiàn)象

失

文

件

、

被

破

壞

數(shù)

密

據(jù)

?使部分可軟件升級(jí)主板

的BIOS程序混亂

網(wǎng)絡(luò)癱瘓

計(jì)算機(jī)病毒的結(jié)構(gòu)

計(jì)算機(jī)病毒一般包括三個(gè)部分：

引導(dǎo)部分傳染部分表現(xiàn)部分或破壞部分

引導(dǎo)部分是將病毒主體部分加載到內(nèi)存，為傳

染部分做準(zhǔn)備（如駐留內(nèi)存，修改中斷等）

傳染部分是將病毒代碼復(fù)制到傳染目標(biāo)上去，

不同病毒在傳染方式，傳染條件以及傳播所

借助的媒體上各有不同

?:?表現(xiàn)部分是病毒間差異最大的部分，前兩個(gè)

部分也是為這個(gè)部分服務(wù)的，大部分病毒都

要滿足一定條件才會(huì)觸發(fā)其表現(xiàn)部分，如計(jì)

算機(jī)時(shí)鐘、計(jì)算器作為觸發(fā)條件或用鍵盤輸

入特定字符來觸發(fā)。

當(dāng)然不是所有的病毒都包括著三個(gè)部分。

病毒的組成部分也可用下圖表示:

病毒引導(dǎo)模塊

1,

激活傳染條件

傳染功能實(shí)現(xiàn)模塊

判斷模塊

病毒傳染模塊

觸發(fā)表現(xiàn)條件

判斷模塊表現(xiàn)功能實(shí)現(xiàn)模塊

病毒表現(xiàn)模塊

計(jì)算機(jī)病毒的傳播

。計(jì)算機(jī)病毒的傳播主要是通過拷貝文件、傳

送文件、運(yùn)行程序等方式進(jìn)行

?:?主要的傳播途徑：移動(dòng)存儲(chǔ)介質(zhì)，硬盤，光

盤，網(wǎng)絡(luò)，點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道。

計(jì)算機(jī)病毒的發(fā)展趨勢

?:?智能化：利用當(dāng)期最新的編程語言和編程技

術(shù)實(shí)現(xiàn)，易于修改以產(chǎn)生新的變種，逃避發(fā)病毒軟

徉的搜索

?:?人性化：利用人們的心里因素，如好奇心，貪婪性,

“裸妻”

?隱蔽化：更善于隱蔽和偽裝自己

?:?多樣化：新病毒層出不窮，老病毒依然充滿活力

專用病毒生成工具的出現(xiàn)：例如VBS蠕蟲孵化器

?:?攻擊發(fā)病毒軟件：專門攻擊反病毒軟件和其

他安全措施的病毒的出現(xiàn)。越來越多的病毒

可以在反病毒軟件對其查殺之前獲取比反病

毒軟件更高的運(yùn)行等級(jí)，從而阻止發(fā)病毒軟

件的運(yùn)行并使之癱瘓。

典型計(jì)算機(jī)病毒的舉例與分析

。引導(dǎo)區(qū)計(jì)算機(jī)病毒

文件型病毒

?:?文件與引導(dǎo)復(fù)合型病毒

腳本病毒

?宏病毒

特洛伊木馬病毒

?:?蠕蟲病毒

黑客型病毒

?:?后門病毒

引導(dǎo)區(qū)計(jì)算機(jī)病毒

?:?在系統(tǒng)引導(dǎo)時(shí)，系統(tǒng)BIOS只是機(jī)械的將這些扇區(qū)中

的內(nèi)容讀入內(nèi)存，這樣計(jì)算機(jī)病毒就首先獲得對系

統(tǒng)的控制權(quán)，它一般都是將整個(gè)計(jì)算機(jī)病毒程序安

裝到內(nèi)存的高端駐留，為了保證計(jì)算機(jī)病毒程序使

用的這部分內(nèi)存區(qū)域不在被系統(tǒng)分配，它一般將系

統(tǒng)內(nèi)存總量減少若干KB,在完成其自身安裝以后，

在將系統(tǒng)的控制權(quán)轉(zhuǎn)給真正的系統(tǒng)引導(dǎo)程序，完成

系統(tǒng)的安裝，在用戶看來系統(tǒng)已正常引導(dǎo)，不過此

時(shí)系統(tǒng)已在計(jì)算機(jī)病毒程序的控制之下。

*這類計(jì)算機(jī)病毒在進(jìn)行自身安裝的時(shí)候，為

了實(shí)現(xiàn)向外進(jìn)行傳播和破壞等作用，一般都

要修改系統(tǒng)的中斷向量，使之指向計(jì)算機(jī)病

毒程序相應(yīng)服務(wù)部分，這樣在系統(tǒng)運(yùn)行時(shí)只

要使用到這部分的中斷向量，或者滿足計(jì)算

機(jī)病毒程序設(shè)定的某些特定條件，就將觸發(fā)

計(jì)算機(jī)病毒程序進(jìn)行傳播和破壞，通過對系

統(tǒng)中斷向量的篡改，是原來只是駐留在軟、

硬盤導(dǎo)扇區(qū)中的計(jì)算機(jī)病毒程序由靜態(tài)轉(zhuǎn)化

為動(dòng)態(tài)，具有隨時(shí)向外進(jìn)行傳播和對系統(tǒng)進(jìn)

行破壞的能力。

?:?傳染對象一般為軟盤的引導(dǎo)扇區(qū)和硬盤的主引

導(dǎo)扇區(qū)（也叫分區(qū)扇區(qū)）及硬盤分區(qū)的引導(dǎo)扇

區(qū)。

?:?傳染形式兩種：一種是將原正常引導(dǎo)的內(nèi)容移

到一個(gè)特定的位置，而將計(jì)算機(jī)病毒程序（或

其中的一部分）放在這個(gè)引導(dǎo)扇區(qū)：另一種是

直接覆蓋掉原引導(dǎo)扇區(qū)的執(zhí)行代碼。

?:?預(yù)防：盡量不用軟盤或用干凈的軟盤啟動(dòng)系統(tǒng),

對軟盤進(jìn)行讀寫保護(hù)，

文件型病毒

?文件型病毒是指寄生在正?？蓤?zhí)行或動(dòng)態(tài)鏈接庫文

件（如COM、EXE和DLL）中，通過運(yùn)行被感染的文

件而激活的一種病毒。它通常隱藏在宿主程序中，

執(zhí)行宿主程序時(shí)，將會(huì)先執(zhí)行病毒程序再執(zhí)行宿主

程序。

?:?預(yù)防方法：由于文件被感染時(shí)，文件長度增長或文

件頭部信息被修改，文件目錄表中信息被修改，文

件長度不變而內(nèi)容信息被修改等。方法有：常駐內(nèi)

存監(jiān)視INT21H中斷、給可執(zhí)行文件加上“自檢外

殼”；在源程序中增加自檢及清除計(jì)算機(jī)病毒的功

能

文件與引導(dǎo)復(fù)合型病毒

即感染磁盤的引導(dǎo)目錄又感染可執(zhí)行文件。

這種病毒的原始狀態(tài)時(shí)依附在可執(zhí)行文件上,

靠該文件作為載體而進(jìn)行傳播，當(dāng)文件執(zhí)行

時(shí)，如果系統(tǒng)中有硬盤則立即感染硬盤的主

引導(dǎo)扇區(qū)，以后再用硬盤啟動(dòng)系統(tǒng)時(shí)，系統(tǒng)

中就會(huì)有該病毒，從而實(shí)現(xiàn)從文件型病毒向

系統(tǒng)計(jì)算機(jī)病毒的轉(zhuǎn)變。在此以后只對系統(tǒng)

中可執(zhí)行文件進(jìn)行感染，

腳本病毒

腳本病毒的公有特性是使用腳本語言編寫，

通過網(wǎng)頁進(jìn)行的傳播的病毒，通常是

JavaScript代碼編寫的惡意代碼，一般帶有

廣告性質(zhì)，會(huì)修改您的IE首頁、修改注冊表

等信息，造成用戶使用計(jì)算機(jī)不方便。腳本

病毒的前綴是：Scriptoo

?:?分為：純腳本型和混合型

宏病毒

宏病毒是一種寄存在文檔或模板的宏中的計(jì)

算機(jī)病毒。一旦打開這樣的文檔，其中的宏

就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移

到計(jì)算機(jī)上，并駐留在Normal模板上。從此

以后，所有自動(dòng)保存的文檔都會(huì)“感染”上

這種宏病毒，而且如果其他用戶打開了感染

病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)

±o

特點(diǎn)：

傳播極快

制作、變種方便

破壞性極大

多平臺(tái)交叉感染

。宏病毒傳播途徑主要有：

1,軟盤交流染毒文檔文件；

2,硬盤染毒，處理的文檔文件必將染毒;

3,光盤攜帶宏病毒；

4,Internet上下載染毒文檔文件；

5,BBS交流染毒文檔文件；

6,電子郵件的附件夾帶病毒

特洛伊木馬病毒

?一種秘密潛伏的能夠通過遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制

的惡意程序?？刂普呖梢钥刂票幻孛苤踩肽?/p>

馬的計(jì)算機(jī)的一切動(dòng)作和資源，是惡意攻擊

者進(jìn)行竊取信息等的工具。

?:?木馬程序一般由兩個(gè)部分組成：一個(gè)是服務(wù)

裁（被控制端），一個(gè)是客戶端（控制端）。

?特征：

1.包含在正常程序中，當(dāng)用戶執(zhí)行正常程序時(shí),

啟動(dòng)自身，在用戶難以察覺的情況下，完成

一些危害用戶的操作，具有隱蔽性

2,具有自動(dòng)運(yùn)行性

3,包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功

能的程序

4.具備自動(dòng)恢復(fù)功能。

5,能自動(dòng)打開特別的端口。

6,功能的特殊性。

蠕蟲病毒

自包含的程序（或是一套程序）,它能傳播它自身功能

的拷貝或它的某些部分到其他的計(jì)算機(jī)系統(tǒng)中（通常

是經(jīng)過網(wǎng)絡(luò)連接）。與一般病毒不同，蠕蟲不需要將

其自身附著到宿主程序

?:?兩種類型的蠕蟲：主機(jī)蠕蟲與網(wǎng)絡(luò)蠕蟲。主計(jì)算機(jī)

蠕蟲完全包含在它們運(yùn)行的計(jì)算機(jī)中，并且使用網(wǎng)

絡(luò)的連接僅將自身拷貝到其他的計(jì)算機(jī)中，主計(jì)算

機(jī)蠕蟲在將其自身的拷貝加入到另外的主機(jī)后，就

會(huì)終止它自身（因此在任意給定的時(shí)刻，只有一個(gè)蠕

蟲的拷貝運(yùn)行），蠕蟲病毒一般是通過1434端口漏

洞傳播。

?:?傳播方式：

1.利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻

擊。

2,利用的傳播途徑包括文件、電子郵件、

Web服務(wù)器、網(wǎng)絡(luò)共享等等

防范措施

?:?使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件，防范郵

件蠕蟲的最好辦法，就是提高自己的安全意

識(shí)，不要輕易打開帶有附件的電子郵件。

黑客型病毒

?:?計(jì)算機(jī)病毒加惡意程序的組合攻擊方式，已

成為計(jì)算機(jī)病毒的發(fā)展趨勢，這種稱為黑客

型計(jì)算機(jī)病毒除破壞計(jì)算機(jī)內(nèi)存儲(chǔ)的信息外,

還在計(jì)算機(jī)中植入木馬和后門程序，即使計(jì)

算機(jī)病毒已被清除，但這些程序還會(huì)繼續(xù)利

用系統(tǒng)漏洞為黑客提供下一次攻擊的機(jī)會(huì)。

*黑客型計(jì)算機(jī)病毒不同于傳統(tǒng)計(jì)算機(jī)病毒，

其感染機(jī)制是利用操作系統(tǒng)軟件或常用應(yīng)用

軟件中的設(shè)計(jì)缺陷而設(shè)計(jì)的。

后門病毒

?是集黑客、蠕蟲、后門功能與一體，通過局域網(wǎng)共享目錄和

系統(tǒng)漏洞進(jìn)行傳播的一種計(jì)算機(jī)病毒形態(tài)。由于操作系統(tǒng)和

軟件設(shè)計(jì)的固有缺陷，使得后'1計(jì)算機(jī)病毒非常難以防范，

即使是亡羊補(bǔ)牢的工作也難以挽回后門計(jì)算機(jī)病毒造成的損

失。

預(yù)防：

?1。建立良好的安全習(xí)慣

?2O關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)

?3o經(jīng)常升級(jí)安全補(bǔ)丁

?4o設(shè)置復(fù)雜的密碼

?5o迅速隔離受感染的計(jì)算機(jī)

6o經(jīng)常了解一些反病毒資訊

?7o最好是安裝專業(yè)的防毒軟件進(jìn)行全面監(jiān)控

計(jì)算機(jī)病毒主要檢測技術(shù)和特點(diǎn)

外觀檢測法

屏幕顯示異常

聲音異常

文件系統(tǒng)異常

程序異常

系統(tǒng)異常

打印機(jī)、軟驅(qū)等外部設(shè)備異常

?:?系統(tǒng)數(shù)據(jù)對比法

長度比較法機(jī)內(nèi)容比較法

內(nèi)存比較法

中斷比較法

?:?病毒簽名檢測法

不同計(jì)算機(jī)被感染主程序時(shí)，在宿主計(jì)算機(jī)的

不同位置放入特殊的感染標(biāo)記。標(biāo)記一般為

一些數(shù)字或字符。剖析計(jì)算機(jī)病毒樣本，掌

握計(jì)算機(jī)病毒簽名的內(nèi)容和位置后，可在可

疑程序的特定位置搜索計(jì)算機(jī)病毒簽名，以

此斷定程序被何種病毒感染。

花費(fèi)大，低效，不使用，可能有誤差。

?:?特征代碼檢測法

某些計(jì)算機(jī)病毒判斷主程序是否收到感

染是以宿主程序是否有某些可執(zhí)行代碼段落

做判斷?？梢圆捎迷诳梢沙绦蛑兴阉髂承┨?/p>

殊代碼，即為特征代碼檢測法。

計(jì)算機(jī)病毒程序通常帶有明顯的特征代

碼，特征代碼可能是計(jì)算機(jī)病毒的感染標(biāo)記,

也可能是一小段計(jì)算機(jī)程序，由若干個(gè)指令

組成，

特征代碼法可能是計(jì)算機(jī)病毒掃描工具檢測

病毒最可靠的方法。

實(shí)現(xiàn)步驟：

?:?采集已知計(jì)算機(jī)病毒樣本

?:?在計(jì)算機(jī)病毒樣本中，抽取病毒特征代碼

將特征代碼納入病毒數(shù)據(jù)庫

?:?檢測文件。

。檢測常規(guī)內(nèi)存數(shù)

病毒在發(fā)作、執(zhí)行時(shí)將占用一定的系統(tǒng)資

源如內(nèi)存空間、CPU時(shí)間等。目前大部分計(jì)

算機(jī)病毒都是常駐內(nèi)存的，伺機(jī)進(jìn)行感染和

破壞。為防止系統(tǒng)將其內(nèi)存空間覆蓋或者收

回，病毒一般都會(huì)修改系統(tǒng)數(shù)據(jù)區(qū)中記錄的

系統(tǒng)內(nèi)存數(shù)或內(nèi)存控制塊中的數(shù)據(jù)，因此，

可通過檢查內(nèi)存的大小和內(nèi)存的使用情況來

判斷系統(tǒng)是否感染病毒。

通常采用簡單的工具軟件如

Pctools,Debug等檢測系統(tǒng)常規(guī)內(nèi)存數(shù)。

校驗(yàn)和法

?:?針對正常程序的內(nèi)容計(jì)算其校驗(yàn)和，將該校

驗(yàn)和寫入程序中或?qū)懭雱e的程序中保持，在

程序的應(yīng)用過程中，定期的或者每次使用程

序之前，檢測針對程序當(dāng)前內(nèi)容計(jì)算出的校

驗(yàn)和與原來保持的校驗(yàn)和是否一致，從而發(fā)

現(xiàn)程序是否被感染病毒。

既可以發(fā)現(xiàn)已知病毒也可以發(fā)現(xiàn)未知病毒,

誤報(bào)率比較高，不能識(shí)別病毒種類和具體名

稱。

?:?行為檢測法（實(shí)時(shí)監(jiān)控法）

人們發(fā)現(xiàn)病毒有些比較特殊的共性，正

常程序中這些行為比較罕見。當(dāng)程序運(yùn)行時(shí)

監(jiān)視其行為，如果發(fā)現(xiàn)了這些病毒行為，立

即報(bào)警。

檢測病毒的行為特征

?占用INT13H?:?掃描、試探特定網(wǎng)絡(luò)端

?修改DOS系統(tǒng)數(shù)據(jù)區(qū)的□

內(nèi)存總量?發(fā)送網(wǎng)絡(luò)廣播

對.COM和.EXE文件做?:?修改文件、文件夾屬性,

寫入修改添加共享等

計(jì)算機(jī)病毒程序與宿主

程序的綁定和切換

?格式化磁盤或者某些磁

道等破壞行為

。軟件模擬法

專門用來檢測變形病毒，也就是多態(tài)性病毒。

。變形病毒的類型

一維變形計(jì)算機(jī)病毒

二維變形計(jì)算機(jī)病毒

三維變形計(jì)算機(jī)病毒

四維變形計(jì)算機(jī)病毒

?:?軟件模擬技術(shù)又稱為解密引擎、虛擬機(jī)技術(shù)、

虛擬執(zhí)行技術(shù)或軟件仿真技術(shù)等。他是一種

軟件分析器，使用模擬軟件法的反計(jì)算機(jī)病

毒軟件運(yùn)行時(shí)，用軟件方法模擬一個(gè)程序運(yùn)

行環(huán)境，將可疑程序載入其中運(yùn)行，由于是

虛擬的環(huán)境，所以計(jì)算機(jī)病毒程序的運(yùn)行不

會(huì)對系統(tǒng)造成危害，而在執(zhí)行過程中，待計(jì)

算機(jī)病毒對自身進(jìn)行解碼以后，在運(yùn)行特征

代碼法來識(shí)別計(jì)算機(jī)病毒的種類，并清除計(jì)

算機(jī)病毒，從而實(shí)現(xiàn)對各種多態(tài)計(jì)算機(jī)病毒

的查殺。

?:?啟發(fā)式代碼掃描技術(shù)

也稱為啟發(fā)式智能代碼分析，他將人工智

能的知識(shí)和原理運(yùn)用到計(jì)算機(jī)病毒檢測當(dāng)中，

運(yùn)用啟發(fā)式掃描技術(shù)的計(jì)算機(jī)病毒檢測軟件，

實(shí)際上就是以人工智能的方式實(shí)現(xiàn)的動(dòng)態(tài)反編

譯代碼分析、比較器，通過對程序有關(guān)指令序

列進(jìn)行反編譯，逐步分析、比較，根據(jù)其動(dòng)機(jī)

判斷其是否為計(jì)算機(jī)病毒。

病毒分析法

是反計(jì)算機(jī)病毒工作中不可或缺的重要技術(shù)，任

何一個(gè)性能優(yōu)良的反計(jì)算機(jī)病毒系統(tǒng)的研制和開發(fā)

都離不開專門人員對各種計(jì)算機(jī)病毒的詳盡而認(rèn)真

的分析。

?分析步驟分為動(dòng)態(tài)和靜態(tài)兩種

靜態(tài)是利用Debug等反匯編程序?qū)⒂?jì)算機(jī)病毒代

碼打印成