計(jì)算機(jī)常見(jiàn)病毒及處理方法.doc

病毒定義 一、計(jì)算機(jī)病毒(Computer Virus)在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義，病毒“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。 二、計(jì)算機(jī)病毒的長(zhǎng)期性：病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面，但完美的系統(tǒng)是不存在的，過(guò)于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查，系統(tǒng)失去了可用性、實(shí)用性和易用性，另一方面，信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無(wú)法選擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在，兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。 三、計(jì)算機(jī)病毒的產(chǎn)生：病毒不是來(lái)源于突發(fā)或偶然的原因一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤(pán)和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無(wú)序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái)，病毒不會(huì)通過(guò)偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的?，F(xiàn)在流行的病毒是由人為故意編寫(xiě)的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計(jì)分析來(lái)看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，處于對(duì)上司的不滿(mǎn)，為了好奇，為了報(bào)復(fù)，為了祝賀和求愛(ài)，為了得到控制口令，為了軟件拿不到報(bào)酬預(yù)留的陷阱等當(dāng)然也有因政治，軍事，宗教，民族專(zhuān)利等方面的需求而專(zhuān)門(mén)編寫(xiě)的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒 四、計(jì)算機(jī)病毒的特點(diǎn)，計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)： （1） 寄生性 計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺(jué)的。 （2） 傳染性 計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過(guò)傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，井使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計(jì)算機(jī)病毒也會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)井得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散，其中的大量文件（一般是可執(zhí)行文件）會(huì)被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過(guò)網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)進(jìn)行傳染。 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計(jì)算機(jī)病毒可通過(guò)各種可能的渠道，如軟盤(pán)、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過(guò)的軟盤(pán)已感染上了病毒，而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。 病毒程序通過(guò)修改磁盤(pán)扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散。被嵌入的程序叫做宿主程序； （3） 潛伏性 有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開(kāi)來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長(zhǎng)，病毒的傳染范圍就會(huì)愈大。 潛伏性的第一種表現(xiàn)是指，病毒程序不用專(zhuān)用檢測(cè)程序是檢查不出來(lái)的，因此病毒可以靜靜地躲在磁盤(pán)或磁帶里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就又要四處繁殖、擴(kuò)散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿(mǎn)足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿(mǎn)足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤(pán)、刪除磁盤(pán)文件、對(duì)數(shù)據(jù)文件做加密、封鎖鍵盤(pán)以及使系統(tǒng)死鎖等； （4） 隱蔽性 計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過(guò)病毒軟件檢查出來(lái)，有的根本就查不出來(lái)，有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常，這類(lèi)病毒處理起來(lái)通常很困難。 （5）破壞性 計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞 ； （6）計(jì)算機(jī)病毒的可觸發(fā)性 病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱(chēng)為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來(lái)控制感染和破壞動(dòng)作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類(lèi)型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿(mǎn)足，如果滿(mǎn)足，啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿(mǎn)足，使病毒繼續(xù)潛伏。 五、計(jì)算機(jī)病毒分類(lèi)，根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類(lèi)如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類(lèi)，計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類(lèi)： 按照計(jì)算機(jī)病毒存在的媒體進(jìn)行分類(lèi)根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計(jì)算機(jī)中的文件（如：COM，EXE，DOC等），引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤(pán)的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。 按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類(lèi)根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過(guò)這一部分進(jìn)行傳染,這類(lèi)病毒也被劃分為非駐留型病毒。 根據(jù)病毒破壞的能力可劃分為以下幾種：無(wú)害型除了傳染時(shí)減少磁盤(pán)的可用空間外，對(duì)系統(tǒng)沒(méi)有其它影響。無(wú)危險(xiǎn)型這類(lèi)病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類(lèi)音響。危險(xiǎn)型，這類(lèi)病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型 這類(lèi)病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無(wú)法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無(wú)害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤(pán)上很好的工作，不會(huì)造成任何破壞，但是在后來(lái)的高密度軟盤(pán)上卻能引起大量的數(shù)據(jù)丟失。根據(jù)病毒特有的算法，病毒可以劃分為： 伴隨型病毒，這一類(lèi)病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫(xiě)入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的EXE文件。“蠕蟲(chóng)”型病毒，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。 寄生型病毒 除了伴隨和“蠕蟲(chóng)”型，其它病毒均可稱(chēng)為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過(guò)系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。詭秘型病毒 它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒（又稱(chēng)幽靈病毒） 這一類(lèi)病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。 六、計(jì)算機(jī)病毒的發(fā)展，在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升級(jí)后，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。它可劃分為： DOS引導(dǎo)階段 1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少,功能簡(jiǎn)單,一般需要通過(guò)軟盤(pán)啟動(dòng)后使用.引導(dǎo)型病毒利用軟盤(pán)的啟動(dòng)原理工作,它們修改系統(tǒng)啟動(dòng)扇區(qū),在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤(pán)讀寫(xiě)中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤(pán)時(shí)進(jìn)行傳播； 1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤(pán),典型的代表有“石頭2”； DOS可執(zhí)行階段 1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長(zhǎng)度增加。 1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。 伴隨、批次型階段 1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作，具有代表性的是“金蟬”病毒,它感染EXE文件時(shí)生成一個(gè)和EXE同名但擴(kuò)展名為COM的伴隨體；它感染文件時(shí),改原來(lái)的COM文件為同名的EXE文件,再產(chǎn)生一個(gè)原名的伴隨體,文件擴(kuò)展名為COM，這樣,在DOS加載文件時(shí),病毒就取得控制權(quán).這類(lèi)病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容,日期及屬性,解除病毒時(shí)只要將其伴隨體刪除即可。在非DOS操作系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作,具有典型代表的是“海盜旗”病毒,它在得到執(zhí)行時(shí),詢(xún)問(wèn)用戶(hù)名稱(chēng)和口令,然后返回一個(gè)出錯(cuò)信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類(lèi)似的一類(lèi)病毒。 幽靈、多形階段 1994年,隨著匯編語(yǔ)言的發(fā)展,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn),每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類(lèi)病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導(dǎo)區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。 生成器,變體機(jī)階段 1995年,在匯編語(yǔ)言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無(wú)關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成，當(dāng)生成器的生成結(jié)果為病毒時(shí),就產(chǎn)生了這種復(fù)雜的“病毒生成器” ，而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“病毒制造機(jī)” VCL,它可以在瞬間制造出成千上萬(wàn)種不同的病毒,查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法,需要在宏觀上分析指令,解碼后查解病毒。 網(wǎng)絡(luò),蠕蟲(chóng)階段 1995年,隨著網(wǎng)絡(luò)的普及,病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播,它們只是以上幾代病毒的改進(jìn).在非DOS操作系統(tǒng)中,“蠕蟲(chóng)”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤(pán)文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。 視窗階段 1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開(kāi)始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類(lèi)病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,解除方法也比較復(fù)雜。 宏病毒階段1996年,隨著Windows Word功能的增強(qiáng),使用Word宏語(yǔ)言也可以編制病毒,這種病毒使用類(lèi)Basic語(yǔ)言、編寫(xiě)容易、感染W(wǎng)ord文檔等文件，在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類(lèi)，由于Word文檔格式?jīng)]有公開(kāi)，這類(lèi)病毒查解比較困難； 互連網(wǎng)階段 1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多,如果不小心打開(kāi)了這些郵件,機(jī)器就有可能中毒； 爪哇(Java),郵件炸彈階段 1997年,隨著萬(wàn)維網(wǎng)（Wold Wide Web）上Java的普及,利用Java語(yǔ)言進(jìn)行傳播和資料獲取的病毒開(kāi)始出現(xiàn),典型的代表是JavaSnake病毒，還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如Mail-Bomb病毒，它會(huì)嚴(yán)重影響因特網(wǎng)的效率。 七、其他的破壞行為，計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬(wàn)計(jì)不斷發(fā)展擴(kuò)張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，而且難以做全面的描述，根據(jù)現(xiàn)有的病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下： 攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括：硬盤(pán)主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。一般來(lái)說(shuō)，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。 攻擊文件，病毒對(duì)文件的攻擊方式很多，可列舉如下：刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫(xiě)入時(shí)間空白、變碎片、假冒文件、丟失文件簇、丟失數(shù)據(jù)文件等。攻擊內(nèi)存，內(nèi)存是計(jì)算機(jī)的重要資源，也是病毒攻擊的主要目標(biāo)之一，病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源，可以導(dǎo)致一些較的大程序難以運(yùn)行。病毒攻擊內(nèi)存的方式如下：占用大量?jī)?nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存等。干擾系統(tǒng)運(yùn)行，此類(lèi)型病毒會(huì)干擾系統(tǒng)的正常運(yùn)行，以此作為自己的破壞行為，此類(lèi)行為也是花樣繁多，可以列舉下述諸方式：不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、使文件打不開(kāi)、使內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲、擾亂串行口、并行口等。 速度下降，病毒激活時(shí)，其內(nèi)部的時(shí)間延遲程序啟動(dòng)，在時(shí)鐘中納入了時(shí)間的循環(huán)計(jì)數(shù)，迫使計(jì)算機(jī)空轉(zhuǎn)，計(jì)算機(jī)速度明顯下降。攻擊磁盤(pán)，攻擊磁盤(pán)數(shù)據(jù)、不寫(xiě)盤(pán)、寫(xiě)操作變讀操作、寫(xiě)盤(pán)時(shí)丟字節(jié)等。 擾亂屏幕顯示病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫(xiě)、吃字符等。 鍵盤(pán)病毒，干擾鍵盤(pán)操作，已發(fā)現(xiàn)有下述方式：響鈴、封鎖鍵盤(pán)、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。 喇叭病毒，許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。有的病毒作者通過(guò)喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財(cái)富，已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS ， 在機(jī)器的CMOS區(qū)中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時(shí)鐘、磁盤(pán)類(lèi)型、內(nèi)存容量等，并具有校驗(yàn)和。有的病毒激活時(shí)，能夠?qū)MOS區(qū)進(jìn)行寫(xiě)入動(dòng)作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。 干擾打印機(jī)，典型現(xiàn)象為：假報(bào)警、間斷性打印、更換字符等。 八、計(jì)算機(jī)病毒的危害性，計(jì)算機(jī)資源的損失和破壞，不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的災(zāi)難，隨著信息化社會(huì)的發(fā)展，計(jì)算機(jī)病毒的威脅日益嚴(yán)重，反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒，美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生，23歲的莫里斯（Morris）將其編寫(xiě)的蠕蟲(chóng)程序輸入計(jì)算機(jī)網(wǎng)絡(luò)，致使這個(gè)擁有數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對(duì)計(jì)算機(jī)病毒的恐慌，也使更多的計(jì)算機(jī)專(zhuān)家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年，我國(guó)在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對(duì)統(tǒng)計(jì)系統(tǒng)影響極大，此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷，前一段時(shí)間發(fā)現(xiàn)的CIH、美麗殺等病毒更是給社會(huì)造成了很大損失。病毒預(yù)防 首先，在思想上重視，加強(qiáng)管理，止病毒的入侵。凡是從外來(lái)的軟盤(pán)往機(jī)器中拷信息，都應(yīng)該先對(duì)軟盤(pán)進(jìn)行查毒，若有病毒必須清除，這樣可以保證計(jì)算機(jī)不被新的病毒傳染。此外，由于病毒具有潛伏性，可能機(jī)器中還隱蔽著某些舊病毒，一旦時(shí)機(jī)成熟還將發(fā)作，所以，要經(jīng)常對(duì)磁盤(pán)進(jìn)行檢查，若發(fā)現(xiàn)病毒就及時(shí)殺除。思想重視是基礎(chǔ)，采取有效的查毒與消毒方法是技術(shù)保證。檢查病毒與消除病毒目前通常有兩種手段，一種是在計(jì)算機(jī)中加一塊防病毒卡，另一種是使用防病毒軟件工作原理基本一樣，一般用防病毒軟件的用戶(hù)更多一些。切記要注意一點(diǎn)，預(yù)防與消除病毒是一項(xiàng)長(zhǎng)期的工作任務(wù)，不是一勞永逸的，應(yīng)堅(jiān)持不懈。計(jì)算機(jī)病毒是在什么情況下出現(xiàn)的? 計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是： （1）計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式計(jì)算機(jī)病毒是高技術(shù)犯罪, 具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證, 風(fēng)險(xiǎn)小破壞大, 從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)； （2）計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫(xiě)；計(jì)算機(jī)軟件設(shè)計(jì)的手工方式, 效率低下且生產(chǎn)周期長(zhǎng)；人們至今沒(méi)有辦法事先了解一個(gè)程序有沒(méi)有錯(cuò)誤, 只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤, 并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便； （3）微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境。 1983年11月3日美國(guó)計(jì)算機(jī)專(zhuān)家首次提出了計(jì)算機(jī)病毒的概念并進(jìn)行了驗(yàn)證。幾年前計(jì)算機(jī)病毒就迅速蔓延，到我國(guó)才是近年來(lái)的事。而這幾年正是我國(guó)微型計(jì)算機(jī)普及應(yīng)用熱潮。微機(jī)的廣泛普及，操作系統(tǒng)簡(jiǎn)單明了，軟、硬件透明度高，基本上沒(méi)有什么安全措施, 能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶(hù)日益增多，對(duì)其存在的缺點(diǎn)和易攻擊處也了解的越來(lái)越清楚，不同的目的可以做出截然不同的選擇。目前，在IBM PC系統(tǒng)及其兼容機(jī)上廣泛流行著各種病毒就很說(shuō)明這個(gè)問(wèn)題。預(yù)防病毒的八點(diǎn)注意事項(xiàng)1、備好啟動(dòng)軟盤(pán)，并貼上寫(xiě)保護(hù)。 檢查電腦的問(wèn)題，最好應(yīng)在沒(méi)有病毒干擾的環(huán)境下進(jìn)行，才能測(cè)出真正的原因，或解決病毒的侵入。因此，在安裝系統(tǒng)之后，應(yīng)該及時(shí)做一張啟動(dòng)盤(pán)，以備不時(shí)之需。2、重要資料，必須備份。資料是最重要的，程序損壞了可重新拷貝或再買(mǎi)一份，但是自己鍵入的資料，可能是三年的會(huì)計(jì)資料或畫(huà)了三個(gè)月的圖紙，結(jié)果某一天，硬盤(pán)壞了或者因?yàn)椴《径鴵p壞了資料，會(huì)讓人欲哭無(wú)淚，所以對(duì)于重要資料經(jīng)常備份是絕對(duì)必要的。 3、盡量避免在無(wú)防毒軟件的機(jī)器上使用可移動(dòng)儲(chǔ)存介質(zhì)。一般人都以為不要使用別人的磁盤(pán)，即可防毒，但是不要隨便用別人的電腦也是非常重要的，否則有可能帶一大堆病毒回家。 4、使用新軟件時(shí)，先用掃毒程序檢查，可減少中毒機(jī)會(huì)。 5、準(zhǔn)備一份具有殺毒及保護(hù)功能的軟件，將有助于杜絕病毒。 6、重建硬盤(pán)是有可能的，救回的機(jī)率相當(dāng)高。若硬盤(pán)資料已遭破壞，不必急著格式化，因病毒不可能在短時(shí)間內(nèi)將全部硬盤(pán)資料破壞，故可利用殺毒軟件加以分析，恢復(fù)至受損前狀態(tài)。7、不要在互聯(lián)網(wǎng)上隨意下載軟件。病毒的一大傳播途徑，就是Internet。潛伏在網(wǎng)絡(luò)上的各種可下載程序中，如果你隨意下載、隨意打開(kāi)，對(duì)于制造病毒者來(lái)說(shuō)，可真是再好不過(guò)了。因此，不要貪圖免費(fèi)軟件，如果實(shí)在需要，請(qǐng)?jiān)谙螺d后執(zhí)行殺毒軟件徹底檢查。8、不要輕易打開(kāi)電子郵件的附件。近年來(lái)造成大規(guī)模破壞的許多病毒，都是通過(guò)電子郵件傳播的。不要以為只打開(kāi)熟人發(fā)送的附件就一定保險(xiǎn)，有的病毒會(huì)自動(dòng)檢查受害人電腦上的通訊錄并向其中的所有地址自動(dòng)發(fā)送帶毒文件。最妥當(dāng)?shù)淖龇?，是先將附件保存下?lái)，不要打開(kāi)，先用查毒軟件徹底檢查。 問(wèn)答計(jì)算機(jī)病毒寄生方式有哪幾種?（1）寄生在磁盤(pán)引導(dǎo)扇區(qū)中：任何操作系統(tǒng)都有個(gè)自舉過(guò)程, 例如DOS在啟動(dòng)時(shí), 首先由系統(tǒng)讀入引導(dǎo)扇區(qū)記錄并執(zhí)行它, 將DOS讀入內(nèi)存。病毒程序就是利用了這一點(diǎn), 自身占據(jù)了引導(dǎo)扇區(qū)而將原來(lái)的引導(dǎo)扇區(qū)內(nèi)容及其病毒的其他部分放到磁盤(pán)的其他空間, 并給這些扇區(qū)標(biāo)志為壞簇。這樣, 系統(tǒng)的一次初始化, 病毒就被激活了。它首先將自身拷貝到內(nèi)存的高端并占據(jù)該范圍, 然后置觸發(fā)條件如INT 13H中斷（磁盤(pán)讀寫(xiě)中斷）向量的修改, 置內(nèi)部時(shí)鐘的某一值為條件等, 最后引入正常的操作系統(tǒng)。以后一旦觸發(fā)條件成熟, 如一個(gè)磁盤(pán)讀或?qū)懙恼?qǐng)求, 病毒就被觸發(fā)。如果磁盤(pán)沒(méi)有被感染（通過(guò)識(shí)別標(biāo)志）則進(jìn)行傳染。（2）寄生在可執(zhí)行程序中：這種病毒寄生在正常的可執(zhí)行程序中, 一旦程序執(zhí)行病毒就被激活, 于是病毒程序首先被執(zhí)行, 它將自身常駐內(nèi)存, 然后置觸發(fā)條件, 也可能立即進(jìn)行傳染, 但一般不作表現(xiàn)。做完這些工作后, 開(kāi)始執(zhí)行正常的程序, 病毒程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長(zhǎng)度和一些控制信息, 以保證病毒成為源程序的一部分, 并在執(zhí)行時(shí)首先執(zhí)行它。這種病毒傳染性比較強(qiáng)。（3）寄生在硬盤(pán)的主引導(dǎo)扇區(qū)中：例如大麻病毒感染硬盤(pán)的主引導(dǎo)扇區(qū), 該扇區(qū)與DOS無(wú)關(guān)。病毒是怎么命名的?很多時(shí)候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數(shù)字的病毒名，這時(shí)有些人就蒙了，那么長(zhǎng)一串的名字，我怎么知道是什么病毒??？ 其實(shí)只要我們掌握一些病毒的命名規(guī)則，我們就能通過(guò)殺毒軟件的報(bào)告中出現(xiàn)的病毒名來(lái)判斷該病毒的一些共有的特性了：一般格式為：. 病毒前綴是指一個(gè)病毒的種類(lèi)，他是用來(lái)區(qū)別病毒的種族分類(lèi)的。不同的種類(lèi)的病毒，其前綴也是不同的。比如我們常見(jiàn)的木馬病毒的前綴 Trojan ，蠕蟲(chóng)病毒的前綴是 Worm 等等還有其他的。 病毒名是指一個(gè)病毒的家族特征，是用來(lái)區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，振蕩波蠕蟲(chóng)病毒的家族名是“ Sasser ”。 病毒后綴是指一個(gè)病毒的變種特征，是用來(lái)區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來(lái)表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲(chóng)病毒的變種B，因此一般稱(chēng)為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。 下面附帶一些常見(jiàn)的病毒前綴的解釋?zhuān)ㄡ槍?duì)我們用得最多的Windows操作系統(tǒng)）：(1)系統(tǒng)病毒 系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通過(guò)這些文件進(jìn)行傳播。如CIH病毒。(2)蠕蟲(chóng)病毒 蠕蟲(chóng)病毒的前綴是：Worm。這種病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲(chóng)病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件） 等。(3)木馬病毒、黑客病毒 木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶(hù)的系統(tǒng)并隱藏，然后向外界泄露用戶(hù)的信息，而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶(hù)的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶(hù)的電腦，而黑客病毒則會(huì)通過(guò)該木馬病毒來(lái)進(jìn)行控制?，F(xiàn)在這兩種類(lèi)型都越來(lái)越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ，還有大家可能遇見(jiàn)比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如 Trojan.LMir.PSW.60 。這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么PWD之類(lèi)的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫(xiě)）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。(4)腳本病毒 腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè)時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。(5)宏病毒 其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類(lèi)。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，以此類(lèi)推。該類(lèi)病毒的共有特性是能感染OFFICE系列文檔，然后通過(guò)OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎（Macro.Melissa）。(6)后門(mén)病毒 后門(mén)病毒的前綴是：Backdoor。該類(lèi)病毒的共有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門(mén)，給用戶(hù)電腦帶來(lái)安全隱患。(7)病毒種植程序病毒 這類(lèi)病毒的共有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。(8)破壞性程序病毒 破壞性程序病毒的前綴是：Harm。這類(lèi)病毒的共有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)病毒時(shí)，病毒便會(huì)直接對(duì)用戶(hù)計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤(pán)（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。(9)玩笑病毒 玩笑病毒的前綴是：Joke。也稱(chēng)惡作劇病毒。這類(lèi)病毒的共有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)病毒時(shí)，病毒會(huì)做出各種破壞操作來(lái)嚇唬用戶(hù)，其實(shí)病毒并沒(méi)有對(duì)用戶(hù)電腦進(jìn)行任何破壞。如：女鬼（Joke.Girl ghost）病毒。(10)捆綁機(jī)病毒 捆綁機(jī)病毒的前綴是：Binder。這類(lèi)病毒的共有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶(hù)運(yùn)行這些捆綁病毒時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶(hù)造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。 以上為比較常見(jiàn)的病毒前綴，有時(shí)候我們還會(huì)看到一些其他的，但比較少見(jiàn)，這里簡(jiǎn)單提一下： DoS：會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊； Exploit：會(huì)自動(dòng)通過(guò)溢出對(duì)方或者自己的系統(tǒng)漏洞來(lái)傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具； HackTool：黑客工具，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來(lái)用你做替身去破壞別人。你可以在查出某個(gè)病毒以后通過(guò)以上所說(shuō)的方法來(lái)初步判斷所中病毒的基本情況，達(dá)到知己知彼的效果。在殺毒無(wú)法自動(dòng)查殺，打算采用手工方式的時(shí)候這些信息會(huì)給你很大的幫助計(jì)算機(jī)病毒的工作過(guò)程應(yīng)包括哪些環(huán)節(jié)?計(jì)算機(jī)病毒的完整工作過(guò)程應(yīng)包括以下幾個(gè)環(huán)節(jié)：（1）傳染源：病毒總是依附于某些存儲(chǔ)介質(zhì), 例如軟盤(pán)、 硬盤(pán)等構(gòu)成傳染源。（2）傳染媒介：病毒傳染的媒介由工作的環(huán)境來(lái)定, 可能是計(jì)算機(jī)網(wǎng), 也可能是可移動(dòng)的存儲(chǔ)介質(zhì), 例如軟磁盤(pán)等。（3）病毒激活：是指將病毒裝入內(nèi)存, 并設(shè)置觸發(fā)條件, 一旦觸發(fā)條件成熟, 病毒就開(kāi)始作用自我復(fù)制到傳染對(duì)象中, 進(jìn)行各種破壞活動(dòng)等。（4）病毒觸發(fā)：計(jì)算機(jī)病毒一旦被激活, 立刻就發(fā)生作用, 觸發(fā)的條件是多樣化的, 可以是內(nèi)部時(shí)鐘, 系統(tǒng)的日期, 用戶(hù)標(biāo)識(shí)符，也可能是系統(tǒng)一次通信等等。（5）病毒表現(xiàn)：表現(xiàn)是病毒的主要目的之一, 有時(shí)在屏幕顯示出來(lái), 有時(shí)則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)?？梢赃@樣說(shuō), 凡是軟件技術(shù)能夠觸發(fā)到的地方, 都在其表現(xiàn)范圍內(nèi)。（6）傳染：病毒的傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中, 病毒復(fù)制一個(gè)自身副本到傳染對(duì)象中去。不同種類(lèi)的計(jì)算機(jī)病毒的傳染方法有何不同? 從病毒的傳染方式上來(lái)講, 所有病毒到目前為止可以歸結(jié)于三類(lèi)：感染用戶(hù)程序的計(jì)算機(jī)病毒；感染操作系統(tǒng)文件的計(jì)算機(jī)病毒；感染磁盤(pán)引導(dǎo)扇區(qū)的計(jì)算機(jī)病毒。這三類(lèi)病毒的傳染方式均不相同。 感染用戶(hù)應(yīng)用程序的計(jì)算機(jī)病毒的傳染方式是病毒以鏈接的方式對(duì)應(yīng)用程序進(jìn)行傳染。這種病毒在一個(gè)受傳染的應(yīng)用程序執(zhí)行時(shí)獲得控制權(quán), 同時(shí)掃描計(jì)算機(jī)系統(tǒng)在硬盤(pán)或軟盤(pán)上的另外的應(yīng)用程序, 若發(fā)現(xiàn)這些程序時(shí), 就鏈接在應(yīng)用程序中, 完成傳染, 返回正常的應(yīng)用程序并繼續(xù)執(zhí)行。 感染操作系統(tǒng)文件的計(jì)算機(jī)病毒的傳染方式，是通過(guò)與操作系統(tǒng)中所有的模塊或程序鏈接來(lái)進(jìn)行傳染。由于操作系統(tǒng)的某些程序是在系統(tǒng)啟動(dòng)過(guò)程中調(diào)入內(nèi)存的, 所以傳染操作系統(tǒng)的病毒是通過(guò)鏈接某個(gè)操作系統(tǒng)中的程序或模塊并隨著它們的運(yùn)行進(jìn)入內(nèi)存的。病毒進(jìn)入內(nèi)存后就判斷是否滿(mǎn)足條件時(shí)則進(jìn)行傳染。 感染磁盤(pán)引導(dǎo)扇區(qū)的病毒的傳染方式, 從實(shí)質(zhì)上講Boot區(qū)傳染的病毒是將其自身附加到軟盤(pán)或硬盤(pán)的Boot扇區(qū)的引導(dǎo)程序中, 并將病毒的全部或部分存入引導(dǎo)扇區(qū)512B之中。這種病毒是在系統(tǒng)啟動(dòng)的時(shí)候進(jìn)入內(nèi)存中, 并取得控制權(quán), 在系統(tǒng)運(yùn)行的任何時(shí)刻都會(huì)保持對(duì)系統(tǒng)的控制, 時(shí)刻監(jiān)視著系統(tǒng)中使用的新軟盤(pán)。當(dāng)一片新的軟盤(pán)插入系統(tǒng)進(jìn)行第一次讀寫(xiě)時(shí), 病毒就將其傳輸出該軟盤(pán)的0扇區(qū)中, 而后將傳染下一個(gè)使用該軟盤(pán)的系統(tǒng)。通過(guò)感染病毒的軟盤(pán)對(duì)系統(tǒng)進(jìn)行引導(dǎo)是這種病毒傳染的主要途徑。計(jì)算機(jī)病毒傳染的先決條件是什么? 計(jì)算機(jī)病毒的傳染是以計(jì)算機(jī)系統(tǒng)的運(yùn)行及讀寫(xiě)磁盤(pán)為基礎(chǔ)的。沒(méi)有這樣的條件計(jì)算機(jī)病毒是不會(huì)傳染的, 因?yàn)橛?jì)算機(jī)不啟動(dòng)不運(yùn)行時(shí)就談不上對(duì)磁盤(pán)的讀寫(xiě)操作或數(shù)據(jù)共享, 沒(méi)有磁盤(pán)的讀寫(xiě), 病毒就傳播不到磁盤(pán)上或網(wǎng)絡(luò)里。所以只要計(jì)算機(jī)運(yùn)行就會(huì)有磁盤(pán)讀寫(xiě)動(dòng)作, 病毒傳染的兩個(gè)先條件就很容易得到滿(mǎn)足。系統(tǒng)運(yùn)行為病毒駐留內(nèi)存創(chuàng)造了條件, 病毒傳染的第一步是駐留內(nèi)存；一旦進(jìn)入內(nèi)存之后, 尋找傳染機(jī)會(huì), 尋找可攻擊的對(duì)象, 判斷條件是否滿(mǎn)足, 決定是否可傳染；當(dāng)條件滿(mǎn)足時(shí)進(jìn)行傳染, 將病毒寫(xiě)入磁盤(pán)系統(tǒng)。計(jì)算機(jī)病毒的傳染通過(guò)哪些途徑? 計(jì)算機(jī)病毒之所以稱(chēng)之為病毒是因?yàn)槠渚哂袀魅拘缘谋举|(zhì)。傳統(tǒng)渠道通常有以下幾種： （1）通過(guò)軟盤(pán)：通過(guò)使用外界被感染的軟盤(pán), 例如, 不同渠道來(lái)的系統(tǒng)盤(pán)、來(lái)歷不明的軟件、游戲盤(pán)等是最普遍的傳染途徑。由于使用帶有病毒的軟盤(pán), 使機(jī)器感染病毒發(fā)病, 并傳染給未被感染的“干凈”的軟盤(pán)。大量的軟盤(pán)交換, 合法或非法的程序拷貝, 不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 （2）通過(guò)硬盤(pán)：通過(guò)硬盤(pán)傳染也是重要的渠道, 由于帶有病毒機(jī)器移到其它地方使用、維修等, 將干凈的軟盤(pán)傳染并再擴(kuò)散。 （3）通過(guò)光盤(pán)：因?yàn)楣獗P(pán)容量大，存儲(chǔ)了海量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤(pán)，對(duì)只讀式光盤(pán)，不能進(jìn)行寫(xiě)操作，因此光盤(pán)上的病毒不能清除。以謀利為目的非法盜版軟件的制作過(guò)程中，不可能為病毒防護(hù)擔(dān)負(fù)專(zhuān)門(mén)責(zé)任，也決不會(huì)有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤(pán)的泛濫給病毒的傳播帶來(lái)了極大的便利。 （4）通過(guò)網(wǎng)絡(luò)：這種傳染擴(kuò)散極快, 能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。隨著Internet的風(fēng)靡，給病毒的傳播又增加了新的途徑，它的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。Internet帶來(lái)兩種不同的安全威脅，一種威脅來(lái)自文件下載，這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來(lái)自電子郵件。大多數(shù)Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能，因此，遭受病毒的文檔或文件就可能通過(guò)網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)使用的簡(jiǎn)易性和開(kāi)放性使得這種威脅越來(lái)越嚴(yán)重。 計(jì)算機(jī)病毒的傳染是否一定要滿(mǎn)足條件才進(jìn)行? 不一定。 計(jì)算機(jī)病毒的傳染分兩種。一種是在一定條件下方可進(jìn)行傳染, 即條件傳染。另一種是對(duì)一種傳染對(duì)象的反復(fù)傳染即無(wú)條件傳染。 從目前蔓延傳播病毒來(lái)看所謂條件傳染, 是指一些病毒在傳染過(guò)程中, 在被傳染的系統(tǒng)中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統(tǒng)時(shí), 發(fā)現(xiàn)有自己的標(biāo)志則不再進(jìn)行傳染, 如果是一個(gè)新的系統(tǒng)或軟件, 首先讀特定位置的值, 并進(jìn)行判斷, 如果發(fā)現(xiàn)讀出的值與自己標(biāo)識(shí)不一致, 則對(duì)這一系統(tǒng)或應(yīng)用程序, 或數(shù)據(jù)盤(pán)進(jìn)行傳染, 這是一種情況；另一種情況, 有的病毒通過(guò)對(duì)文件的類(lèi)型來(lái)判斷是否進(jìn)行傳染, 如黑色星期五病毒只感染.COM或.EXE文件等等；還有一種情況有的病毒是以計(jì)算機(jī)系統(tǒng)的某些設(shè)備為判斷條件來(lái)決定是否感染。例如大麻病毒可以感染硬盤(pán), 又可以感染軟盤(pán), 但對(duì)B驅(qū)動(dòng)器的軟盤(pán)進(jìn)行讀寫(xiě)操作時(shí)不傳染。但我們也發(fā)現(xiàn)有的病毒對(duì)傳染對(duì)象反復(fù)傳染。例如黑色星期五病毒只要發(fā)現(xiàn).EXE文件就進(jìn)行一次傳染, 再運(yùn)行再進(jìn)行傳染反復(fù)進(jìn)行下去。 可見(jiàn)有條件時(shí)病毒能傳染, 無(wú)條件時(shí)病毒也可以進(jìn)行傳染。微型計(jì)算機(jī)病毒對(duì)系統(tǒng)的影響表現(xiàn)在哪些方面? 計(jì)算機(jī)病毒對(duì)微型計(jì)算機(jī)而言，它的影響表現(xiàn)在：（1）破壞硬盤(pán)的分區(qū)表, 即硬盤(pán)的主引導(dǎo)扇區(qū)。（2）破壞或重寫(xiě)軟盤(pán)或硬盤(pán)DOS系統(tǒng)Boot區(qū)即引導(dǎo)區(qū)。（3）影響系統(tǒng)運(yùn)行速度, 使系統(tǒng)的運(yùn)行明顯變慢。（4）破壞程序或覆蓋文件。（5）破壞數(shù)據(jù)文件。（6）格式化或者刪除所有或部分磁盤(pán)內(nèi)容。（7）直接或間接破壞文件連接。（8）使被感染程序或覆蓋文件的長(zhǎng)度增大。計(jì)算機(jī)病毒傳染的一般過(guò)程是什么? 在系統(tǒng)運(yùn)行時(shí), 病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器, 常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行, 當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿(mǎn)足條件時(shí), 便從內(nèi)存中將自身存入被攻擊的目標(biāo), 從而將病毒進(jìn)行傳播。而病毒利用系統(tǒng)INT 13H讀寫(xiě)磁盤(pán)的中斷又將其寫(xiě)入系統(tǒng)的外存儲(chǔ)器軟盤(pán)或硬盤(pán)中, 再感染其他系統(tǒng)?？蓤?zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件? 可執(zhí)行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。一旦進(jìn)入內(nèi)存, 便開(kāi)始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí), 進(jìn)行如下操作：（1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒；（2）當(dāng)條件滿(mǎn)足, 利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間, 并存大磁盤(pán)中；（3）完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行, 試圖尋找新的攻擊目標(biāo)。操作系統(tǒng)型病毒是怎樣進(jìn)行傳染的? 正常的PC DOS啟動(dòng)過(guò)程是：（1）加電開(kāi)機(jī)后進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測(cè)；（2）檢測(cè)正常后從系統(tǒng)盤(pán)0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導(dǎo)程序到內(nèi)存的0000: 7C00處；（3）轉(zhuǎn)入Boot執(zhí)行；（4）Boot判斷是否為系統(tǒng)盤(pán), 如果不是系統(tǒng)盤(pán)則提示；non-system disk or disk errorReplace and strike any key when ready否則, 讀入IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件；（5）執(zhí)行IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件, 將COMMAND.COM裝入內(nèi)存；（6）系統(tǒng)正常運(yùn)行, DOS啟動(dòng)成功。 如果系統(tǒng)盤(pán)已感染了病毒, PC DOS的啟動(dòng)將是另一番景象, 其過(guò)程為：（1）將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處；（2）病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運(yùn)行；（3）修改INT 13H中斷服務(wù)處理程序的入口地址, 使之指向病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N病毒要感染軟盤(pán)或者硬盤(pán), 都離不開(kāi)對(duì)磁盤(pán)的讀寫(xiě)操作, 修改INT 13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作；（4）病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處, 進(jìn)行正常的啟動(dòng)過(guò)程；（5）病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤(pán)或非系統(tǒng)盤(pán)。 如果發(fā)現(xiàn)有可攻擊的對(duì)象, 病毒要進(jìn)行下列的工作：（1）將目標(biāo)盤(pán)的引導(dǎo)扇區(qū)讀入內(nèi)存, 對(duì)該盤(pán)進(jìn)行判別是否傳染了病毒；（2）當(dāng)滿(mǎn)足傳染條件時(shí), 則將病毒的全部或者一部分寫(xiě)入Boot區(qū), 把正常的磁盤(pán)的引導(dǎo)區(qū)程序?qū)懭氪疟P(pán)特寫(xiě)位置；（3）返回正常的INT 13H中斷服務(wù)處理程序, 完成了對(duì)目標(biāo)盤(pán)的傳染。 操作系統(tǒng)型病毒在什么情況下對(duì)軟、硬盤(pán)進(jìn)行感染? 操作系統(tǒng)型病毒只有在系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存。如果一個(gè)軟盤(pán)染有病毒, 但并不從它上面引導(dǎo)系統(tǒng)，則病毒不會(huì)進(jìn)入內(nèi)存, 也就不能活動(dòng)。例如圓點(diǎn)病毒感染軟盤(pán)、硬盤(pán)的引導(dǎo)區(qū), 只要用帶病毒的盤(pán)啟動(dòng)系統(tǒng)后, 病毒便駐留內(nèi)存, 對(duì)哪個(gè)盤(pán)進(jìn)行操作, 就對(duì)哪個(gè)盤(pán)進(jìn)行感染。 操作系統(tǒng)型病毒對(duì)非系統(tǒng)盤(pán)感染病毒后最簡(jiǎn)單的處理方法是什么? 因?yàn)椴僮飨到y(tǒng)型病毒只有在系統(tǒng)引導(dǎo)時(shí)才進(jìn)入內(nèi)存, 開(kāi)始活動(dòng), 對(duì)非系統(tǒng)盤(pán)感染病毒后, 不從它上面引導(dǎo)系統(tǒng), 則病毒不會(huì)進(jìn)入內(nèi)存。這時(shí)對(duì)已感染的非系統(tǒng)盤(pán)消毒最簡(jiǎn)單的方法是將盤(pán)上有用的文件拷貝出來(lái), 然后將帶毒盤(pán)重新格式化即可。目前發(fā)現(xiàn)的計(jì)算機(jī)病毒主要癥狀有哪些? 從目前發(fā)現(xiàn)的病毒來(lái)看, 主要癥狀有：（1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái), 磁盤(pán)壞簇莫名其妙地增多。（2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間, 使可執(zhí)行程序容量增大。（3）由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽, 使接觸到的磁盤(pán)出現(xiàn)特別標(biāo)簽。（4）由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間, 使可用系統(tǒng)空間變小。（5）由于病毒程序的異?；顒?dòng), 造成異常的磁盤(pán)訪問(wèn)。（6）由于病毒程序附加或占用引導(dǎo)部分, 使系統(tǒng)導(dǎo)引變慢。（7）丟失數(shù)據(jù)和程序。（8）中斷向量發(fā)生變化。（9）打印出現(xiàn)問(wèn)題。（10）死機(jī)現(xiàn)象增多。（11）生成不可見(jiàn)的表格文件或特定文件。（12）系統(tǒng)出現(xiàn)異常動(dòng)作, 例如：突然死機(jī), 又在無(wú)任何外界介入下, 自行起動(dòng)。（13）出現(xiàn)一些無(wú)意義的畫(huà)面問(wèn)候語(yǔ)等顯示。（14）程序運(yùn)行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。（15）磁盤(pán)的卷標(biāo)名發(fā)生變化。（16）系統(tǒng)不認(rèn)識(shí)磁盤(pán)或硬盤(pán)不能引導(dǎo)系統(tǒng)等。（17）在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。（18）在使用寫(xiě)保護(hù)的軟盤(pán)時(shí)屏幕上出現(xiàn)軟盤(pán)寫(xiě)保護(hù)的提示。（19）異常要求用戶(hù)輸入口令相關(guān)常見(jiàn)病毒Backdoor，危害級(jí)別：1，說(shuō)明： 中文名稱(chēng)“后門(mén)”， 是指在用戶(hù)不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制，而且用戶(hù)無(wú)法通過(guò)正常的方法禁止其運(yùn)行。“后門(mén)”其實(shí)是木馬的一種特例，它們之間的區(qū)別在于“后門(mén)”可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制（如：文件管理、進(jìn)程控制等）。 Worm，危害級(jí)別：2，說(shuō)明： 中文名稱(chēng)“蠕蟲(chóng)”，是指利用系統(tǒng)的漏洞、外發(fā)郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動(dòng)存儲(chǔ)介質(zhì)（如：U盤(pán)、軟盤(pán)），這些方式傳播自己的病毒。這種類(lèi)型的病毒其子型行為類(lèi)型用于表示病毒所使用的傳播方式。 Mail，危害級(jí)別：1說(shuō)明：通過(guò)郵件傳播 IM，危害級(jí)別：2，說(shuō)明：通過(guò)某個(gè)不明確的載體或多個(gè)明確的載體傳播自己 MSN，危害級(jí)別：3，說(shuō)明：通過(guò)MSN傳播 QQ，危害級(jí)別：4，說(shuō)明：通過(guò)OICQ傳播 ICQ危害級(jí)別：5，說(shuō)明：通過(guò)ICQ傳播 P2P，危害級(jí)別：6，說(shuō)明：通過(guò)P2P軟件傳播 IRC，危害級(jí)別：7，說(shuō)明：通過(guò)ICR傳播 其他，說(shuō)明：不依賴(lài)其他軟件進(jìn)行傳播的傳播方式，如：利用系統(tǒng)漏洞、共享目錄、可移動(dòng)存儲(chǔ)介質(zhì)。 Trojan，危害級(jí)別：3，說(shuō)明： 中文名稱(chēng)“木馬”，是指在用戶(hù)不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行，而且用戶(hù)無(wú)法通過(guò)正常的方法禁止其運(yùn)行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。 Spy，危害級(jí)別：1，說(shuō)明：竊取用戶(hù)信息（如文件等） PSW，危害級(jí)別：2，說(shuō)明：具有竊取密碼的行為 DL，危害級(jí)別：3，說(shuō)明：下載病毒并運(yùn)行，判定條款：沒(méi)有可調(diào)出的任何界面,邏輯功能為:從某網(wǎng)站上下載文件加載或運(yùn)行. 邏輯條件引發(fā)的事件:事件1、.不能正常下載或下載的文件不能判定為病毒 ，操作準(zhǔn)則:該文件不能符合正常軟件功能組件標(biāo)識(shí)條款的,確定為:Trojan.DL事件2.下載的文件是病毒，操作準(zhǔn)則: 下載的文件是病毒,確定為: Trojan.DLIMMSG，危害級(jí)別：4，說(shuō)明：通過(guò)某個(gè)不明確的載體或多個(gè)明確的載體傳播即時(shí)消息（這一行為與蠕蟲(chóng)的傳播行為不同，蠕蟲(chóng)是傳播病毒自己，木馬僅僅是傳播