計(jì)算機(jī)病毒的研究與防治畢業(yè)論文

1、漳州師范學(xué)院畢業(yè)論文（設(shè)計(jì)）計(jì)算機(jī)病毒的研究與防治research and preventionof computer viruses 姓 名： 學(xué) 號(hào)： 系 別： 計(jì)算機(jī)科學(xué)與工程系 專(zhuān) 業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) 年 級(jí)： 09級(jí) 指導(dǎo)教師： 2012年 11 月 20 日摘要自信息時(shí)代以來(lái)，計(jì)算機(jī)儼然已成了我們不可或缺的一部分，它慢慢滲入到我們的生活中，與我們形影不離。雖然計(jì)算機(jī)豐富了我們的生活、方便了我們的工作、提高了工作效率、創(chuàng)造了更高的財(cái)富價(jià)值，但伴隨著計(jì)算機(jī)的廣泛應(yīng)用，不可避免的也帶來(lái)了計(jì)算機(jī)病毒。計(jì)算機(jī)病毒給我們的日常工作帶來(lái)了巨大的破壞和潛在的威脅。作為計(jì)算機(jī)的使用者，我們應(yīng)了解

2、計(jì)算機(jī)病毒的入侵和防范方法以維護(hù)正常、安全的計(jì)算機(jī)使用和通信環(huán)境。因此為了確保計(jì)算機(jī)能夠安全工作，研究計(jì)算機(jī)病毒防范的方式方法，已經(jīng)迫在眉睫。本論文從計(jì)算機(jī)病毒概述、計(jì)算機(jī)病毒防范和清除入手，淺談?dòng)?jì)算機(jī)病毒的特點(diǎn)及相應(yīng)的一些的解決辦法。關(guān)鍵詞:計(jì)算機(jī)病毒;計(jì)算機(jī)安全;入侵途徑;病毒防治 abstract since the information age, the computer has become our indispensable part, which slowly infiltrates into our lives and never leaves us. although th

3、e computer has enriched our lives, facilitated our work, improved our work efficiency and created greater wealth value, but along with wide application of the computer, it also inevitably brings computer viruses. computer viruses bring tremendous damage and potential threat to our daily work. as com

4、puter users, we should be aware of the invasion and the prevention ways of computer viruses to maintain a normal and safe use and communication environment of computer. therefore in order to ensure the computer security, studying how to prevent computer viruses is imminent. starting with the overvie

5、w, prevention and removal of computer viruses, this paper discusses the characteristics of computer viruses and the corresponding solutions.key words：computer viruses; computer security; invasion ways; virus preventioni目 錄中英文摘要 (i)1計(jì)算機(jī)病毒的概述 (1)1.1計(jì)算機(jī)病毒的定義 (1)1.2 計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展 (2)1.3計(jì)算機(jī)病毒的特性 (5)1.4 計(jì)算機(jī)

6、病毒的分類(lèi)(6)1.5計(jì)算機(jī)病毒的傳播途徑 (10)2 計(jì)算機(jī)病毒的防范和清除 (11)2.1計(jì)算機(jī)病毒防范的概念和原則 (11)2.2計(jì)算機(jī)病毒防范基本技術(shù) (11)2.3清除計(jì)算機(jī)病毒的基本方法 (21)3 典型計(jì)算機(jī)病毒 (22)3.1引導(dǎo)區(qū)計(jì)算機(jī)病毒 (22)3.2文件型的計(jì)算機(jī)病毒 (23)3.3腳本型計(jì)算機(jī)病毒 (23)3.4特洛伊木馬病毒 (24)3.5 蠕蟲(chóng)病毒 (24)4 計(jì)算機(jī)病毒的發(fā)展趨勢(shì) (25)參考文獻(xiàn) (26)致謝（27）1計(jì)算機(jī)病毒的概述有計(jì)算機(jī)的地方就會(huì)伴隨著計(jì)算機(jī)病毒。說(shuō)起計(jì)算機(jī)病毒，想必計(jì)算機(jī)的使用者都不會(huì)陌生了，因?yàn)槲覀儠r(shí)刻都在與它斗爭(zhēng)著。很多人對(duì)計(jì)算機(jī)病

7、毒憎惡但又充滿了好奇，對(duì)病毒的制造者既痛恨又敬畏。 計(jì)算機(jī)病毒當(dāng)然不值得崇拜，它給個(gè)人和國(guó)家?guī)?lái)了太多的損失了，每年因?yàn)橛?jì)算機(jī)病毒造成的直接、間接經(jīng)濟(jì)損失都超過(guò)百億美元，而且還以逐年遞增的趨勢(shì)增長(zhǎng)。但與此同時(shí)，它也促進(jìn)了信息安全產(chǎn)業(yè)的發(fā)展，比如反病毒軟件、防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)隔離、數(shù)據(jù)恢復(fù)技術(shù)等等這一根根救命稻草，使很多企業(yè)和個(gè)人用戶免遭侵害，在很大程度上緩解了計(jì)算機(jī)病毒造成的巨大破壞力，同時(shí)，越來(lái)越多的個(gè)人和企業(yè)加入到信息安全領(lǐng)域，同層出不窮的黑客和病毒制造者做著頑強(qiáng)的斗爭(zhēng)。 但稻草畢竟是稻草，救得了一時(shí)不一定救得了一世。目前市場(chǎng)上主流廠商的信息安全產(chǎn)品經(jīng)過(guò)多年的積累和精心的研發(fā)，無(wú)論

8、從產(chǎn)品線還是從技術(shù)角度來(lái)講，都已經(jīng)達(dá)到了相當(dāng)完善的程度。但是，再好的產(chǎn)品，如果不懂得如何去使用，發(fā)揮不了產(chǎn)品真正的優(yōu)勢(shì)，又與稻草有什么區(qū)別呢？很多用戶在被病毒感染以后才想起購(gòu)買(mǎi)殺毒軟件，查殺以后就再也不管，沒(méi)有定期的升級(jí)和維護(hù)，更沒(méi)有根據(jù)自己的使用環(huán)境的特點(diǎn)，制定相應(yīng)的防范策略，可以說(shuō)把產(chǎn)品的使用效率降到了最低，這樣的狀態(tài)，怎能應(yīng)付日新月異的病毒攻擊呢？ 那么，如何將手中的稻草變成強(qiáng)大的武器，當(dāng)危險(xiǎn)臨近時(shí)，能夠主動(dòng)出擊，防患于未然呢？筆者認(rèn)為，關(guān)鍵的問(wèn)題在于對(duì)“對(duì)手”的了解。我們要能未雨綢繆，配合手中的工具，防患于未然。1.1計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，

9、而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。由于它與醫(yī)學(xué)上的“病毒”同樣具有傳染和破壞的特性，例如，具有自我復(fù)制能力、很強(qiáng)的感染力、一定的潛伏性、特定的觸發(fā)性和很大的破壞性等等，因此由生物醫(yī)學(xué)上的“病毒”概念引申出“計(jì)算機(jī)病毒”這一名詞。從廣義上來(lái)說(shuō)，凡是能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲(chóng)等都可稱為計(jì)算機(jī)病毒。1994年2月18日，我國(guó)正式頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，在條例第二十八條明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)

10、制的一組計(jì)算機(jī)指令或者程序代碼。11.2計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展人類(lèi)創(chuàng)造了電子計(jì)算機(jī)之后，也制造了計(jì)算機(jī)病毒。自從1983年發(fā)現(xiàn)了全世界首例計(jì)算機(jī)病毒以來(lái)，病毒的數(shù)量已達(dá)三十多萬(wàn)種，并且這個(gè)數(shù)字還在高速增長(zhǎng)。計(jì)算機(jī)病毒的危害及造成的損失是眾所周知的，發(fā)明計(jì)算機(jī)病毒的人同樣也受到社會(huì)和公眾輿論的譴責(zé)。也許有人會(huì)問(wèn)：“計(jì)算機(jī)病毒是哪位先生發(fā)明的?”這個(gè)問(wèn)題至今還沒(méi)有一個(gè)確切的說(shuō)法，下面是其中有代表性的幾種：（1）科學(xué)幻想起源說(shuō)1977年，美國(guó)科普作家托馬斯.丁.雷恩推出轟動(dòng)一時(shí)的p-1的青春一書(shū)。作者構(gòu)思了一種能自我復(fù)制，利用信息通道傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。這是世界上第一個(gè)幻想出來(lái)的計(jì)

11、算機(jī)病毒。我們的很多科學(xué)技術(shù)都是先幻想之后才產(chǎn)生的，因此，這種科學(xué)幻想起源說(shuō)也是有理有據(jù)的。（2）惡作劇起源說(shuō)這種說(shuō)法是認(rèn)為計(jì)算機(jī)病毒是那些對(duì)計(jì)算機(jī)知識(shí)和技術(shù)均有興趣的人，他們或是要顯示自己在計(jì)算機(jī)方面的天賦，或是報(bào)復(fù)他人或單位從而編制一些程序來(lái)顯示自己的才能且滿足自己的虛榮心，他們的出發(fā)點(diǎn)多少有些惡意的成分在內(nèi)，世界上流行的許多計(jì)算機(jī)病毒都是惡作劇者的產(chǎn)物。（3）游戲程序起源說(shuō)據(jù)說(shuō)20世紀(jì)70年代，美國(guó)貝爾實(shí)驗(yàn)室的計(jì)算機(jī)程序員為了娛樂(lè)，在自己的實(shí)驗(yàn)室的計(jì)算機(jī)上編制吃掉對(duì)方程序的程序，看誰(shuí)先把對(duì)方的程序吃光，有人猜測(cè)這是世界上第一個(gè)計(jì)算機(jī)病毒。（4）軟件商保護(hù)軟件起源說(shuō)計(jì)算機(jī)軟件是一種知識(shí)密集

12、型的高科技產(chǎn)品，由于對(duì)軟件資源的保護(hù)不盡合理，使得許多合法的軟件被非法復(fù)制，從而使得軟件制造商的利益受到了嚴(yán)重的侵害，因此，軟件制造商為了處罰那些非法復(fù)制者并保護(hù)自己的商業(yè)利益，在軟件產(chǎn)品之中加入計(jì)算機(jī)病毒程序并由一定條件觸發(fā)并感染。it行業(yè)普遍認(rèn)為，從最原始的單機(jī)磁盤(pán)病毒到現(xiàn)在逐步進(jìn)入人們視野的手機(jī)病毒，計(jì)算機(jī)病毒主要經(jīng)歷了如下發(fā)展階段2：（1）dos引導(dǎo)階段 1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少，功能簡(jiǎn)單，一般需要通過(guò)軟盤(pán)啟動(dòng)后使用。引導(dǎo)型病毒利用軟盤(pán)的啟動(dòng)原理工作，它們修改系統(tǒng)啟動(dòng)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)

13、存，修改磁盤(pán)讀寫(xiě)中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤(pán)時(shí)進(jìn)行傳播。1989年，引導(dǎo)型病毒發(fā)展為可以感染硬盤(pán)，典型的代表有“石頭2”。 （2）dos可執(zhí)行階段1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用dos系統(tǒng)加載執(zhí)行文件的機(jī)制工作，該類(lèi)型的典型代表為“耶路撒冷”、“星期天”病毒，病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改dos中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，使文件長(zhǎng)度增加。1990年，發(fā)展為復(fù)合型病毒，可感染.com和.exe文件。（3）伴隨、批次型階段 1992年，伴隨型病毒出現(xiàn)，它們利用dos加載文件的優(yōu)先順序進(jìn)行工作。具有代表性的有“金蟬”計(jì)算機(jī)病毒，它感染.exe

14、文件時(shí)生成一個(gè)和.exe同名的擴(kuò)展名為.com伴隨體，它感染.com文件時(shí)，改原來(lái)的.com文件為同名的.exe文件，這樣，在dos加載文件時(shí)，病毒就取得控制權(quán)。這類(lèi)計(jì)算機(jī)病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容、日期及屬性，接觸計(jì)算機(jī)病毒時(shí)只要將其伴隨體刪除即可。 （4）幽靈、多形階段 1994年，隨著匯編語(yǔ)言的發(fā)展，實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成，這些方式的組合使一些看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。 例如，“一半”計(jì)算機(jī)病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，計(jì)算機(jī)病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類(lèi)計(jì)算機(jī)病毒就必須要對(duì)這段數(shù)據(jù)進(jìn)

15、行解碼，這就加大了查毒的難度。（5）生成器、變體機(jī)階段 1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)的插入一些空操作和無(wú)關(guān)指令，也不影響運(yùn)算的結(jié)果，這樣，一段解碼算法就可以由生成器生成。當(dāng)生成的是計(jì)算機(jī)病毒時(shí)，這種復(fù)雜的稱之為病毒生成器和變體機(jī)的病毒就產(chǎn)生了。具有典型代表的是“計(jì)算機(jī)病毒制造機(jī)vcl”，它可以在瞬間制造出成千上萬(wàn)種不同的計(jì)算機(jī)病毒，查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法，需要在宏觀上分析指令，解碼后查解計(jì)算機(jī)病毒。（6）網(wǎng)絡(luò)、蠕蟲(chóng)階段1995年，隨著網(wǎng)絡(luò)的普及，病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的改進(jìn)。在非dos操作系統(tǒng)中，“蠕

16、蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤(pán)文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。（7）windows病毒階段 1996年，隨著windows和windows95的日益普及，利用windows進(jìn)行工作的病毒開(kāi)始發(fā)展，它們修改(ne，pe)文件，典型的代表是“ds.3873”，這類(lèi)病毒的機(jī)制更為復(fù)雜，它們利用保護(hù)模式和api調(diào)用接口工作，清除方法也比較復(fù)雜。 （8）宏病毒階段 1996年，隨著windows word功能的增強(qiáng)，使用word宏語(yǔ)言也可以編制病毒，這種病毒使用類(lèi)basic語(yǔ)言，編寫(xiě)容易，感染word文檔文件。在e

17、xcel和amipro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類(lèi)。 （9）internet階段 1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多，如果不小心打開(kāi)了這些郵件，機(jī)器就有可能中毒。1.3 計(jì)算機(jī)病毒的特性寄生性。計(jì)算機(jī)病毒和生物病毒一樣，需要宿主。計(jì)算機(jī)病毒會(huì)寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就會(huì)發(fā)揮作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺(jué)的。隱蔽性。計(jì)算機(jī)病毒要想不容易被發(fā)現(xiàn)的話，就需要隱藏起來(lái)。它是一種隱藏性很高的可執(zhí)行程序，如不經(jīng)過(guò)程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開(kāi)來(lái)的。 潛伏性。并不是所有

18、的病毒都能馬上發(fā)作的，有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開(kāi)來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長(zhǎng)，病毒的傳染范圍就會(huì)愈大。3可觸發(fā)性。病毒因滿足特定的時(shí)間或日期，期待特定用戶識(shí)別符出現(xiàn)，特定文件的出現(xiàn)或使用，一個(gè)文件使用的次數(shù)超過(guò)設(shè)定數(shù)等，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全

19、不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。傳染性。病毒也會(huì)傳染，一臺(tái)計(jì)算機(jī)如果感染了病毒，那么曾在這臺(tái)計(jì)算機(jī)上使用過(guò)的移動(dòng)硬盤(pán)或u盤(pán)往往已經(jīng)感染上了病毒，而與這臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)的其他計(jì)算機(jī)也會(huì)被感染的。由于目前計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展，所以它能在短時(shí)間內(nèi)進(jìn)行快速傳染。流行性。計(jì)算機(jī)病毒傳染表現(xiàn)大都與時(shí)間相關(guān)，就像生物領(lǐng)域的流行病一樣，一定的時(shí)間內(nèi)爆發(fā)、流行，等相應(yīng)的殺毒軟件開(kāi)發(fā)出來(lái)后，就趨向減少，甚至消失為止。除了上述特點(diǎn)以外，計(jì)算機(jī)病毒還具有不可預(yù)見(jiàn)性、衍生性、針對(duì)性、欺騙性、持久性等特點(diǎn)。正是由于計(jì)算機(jī)病毒具有這些特點(diǎn)，所以給計(jì)

20、算機(jī)病毒的預(yù)防、檢測(cè)與清除工作帶來(lái)了很大的難度。 隨著計(jì)算機(jī)應(yīng)用的不斷發(fā)展，計(jì)算機(jī)病毒又出現(xiàn)一些新的特性如：利用微軟漏洞主動(dòng)傳播、局域網(wǎng)內(nèi)快速傳播、以多種方式傳播、大量消耗系統(tǒng)與網(wǎng)絡(luò)資源、雙程序結(jié)構(gòu)、用即時(shí)工具傳播病毒、病毒與黑客技術(shù)的融合、遠(yuǎn)程啟動(dòng)等。1.4 計(jì)算機(jī)病毒的分類(lèi)根據(jù)計(jì)算機(jī)病毒破壞的能力分類(lèi)：無(wú)害型：除了傳染時(shí)減少磁盤(pán)的可用空間外，對(duì)系統(tǒng)沒(méi)有其它影響。 無(wú)危險(xiǎn)型：這類(lèi)病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音等。 危險(xiǎn)型：這類(lèi)病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。 非常危險(xiǎn)型： 這類(lèi)病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。例如cih病毒。根據(jù)計(jì)算機(jī)病毒的破壞情況

21、分類(lèi)4：良性病毒：是指包含立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類(lèi)病毒為了表現(xiàn)其存在，只是不停地進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)，但它會(huì)使系統(tǒng)資源急劇減少，可用空間越來(lái)越少，最終導(dǎo)致系統(tǒng)崩潰。如國(guó)內(nèi)出現(xiàn)的小球病毒。惡性病毒：是指在代碼中包含損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接破壞作用的計(jì)算機(jī)病毒。它們往往封鎖、干擾、中斷輸入輸出、破壞分區(qū)表信息、刪除數(shù)據(jù)文件，甚至格式化硬盤(pán)等。如米開(kāi)朗基羅病毒，當(dāng)其發(fā)作時(shí)，硬盤(pán)的前17個(gè)扇區(qū)將被徹底破壞，使整個(gè)硬盤(pán)上的數(shù)據(jù)丟失。需要指出的是，良性和惡性是相對(duì)比較而言的。按計(jì)算機(jī)病毒特有的算法分類(lèi) 5：伴隨

22、型病毒：這一類(lèi)病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生. exe文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（. com），例如：xcopy.exe的伴隨體是xcopy.com。計(jì)算機(jī)病毒把自身寫(xiě)入.com文件并不改變exe文件，當(dāng)dos加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的exe文件?！叭湎x(chóng)”型病毒：這類(lèi)病毒將計(jì)算機(jī)網(wǎng)絡(luò)地址作為感染目標(biāo)，利用網(wǎng)絡(luò)從一臺(tái)計(jì)算機(jī)的內(nèi)存?zhèn)鞑サ狡渌?jì)算機(jī)的內(nèi)存，將自身通過(guò)網(wǎng)絡(luò)發(fā)送。蠕蟲(chóng)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，除了內(nèi)存，一般不占用其他資源。寄生型病毒：除了伴隨和“蠕蟲(chóng)”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通

23、過(guò)系統(tǒng)的功能進(jìn)行傳播。詭秘型病毒：它們一般不直接修改dos中斷和扇區(qū)數(shù)據(jù)，而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等dos內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)，利用dos空閑的數(shù)據(jù)區(qū)進(jìn)行工作。 變型病毒：這一類(lèi)病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是由一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。按計(jì)算機(jī)病毒的工作方式分類(lèi)6：引導(dǎo)型病毒的工作方式如圖1.1所示： 圖1.1 引導(dǎo)型病毒的工作方式 文件型病毒的工作方式：在目前已知的病毒中，大多數(shù)屬于文件型病毒。文件型病毒一般只傳染磁盤(pán)上的可執(zhí)行文件（.com、.exe）。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先

24、被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其常見(jiàn)的傳染方式是附著于正常程序文件中，成為程序文件的一個(gè)外殼或部件。文件型病毒的工作方式如圖1.2所示： 圖1.2 文件型病毒的工作方式混和型病毒工作方式： 混和型病毒在傳染方式上兼具引導(dǎo)型病毒和文件型病毒的特點(diǎn)。這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，以該文件為載體進(jìn)行傳播。當(dāng)被感染文件執(zhí)行時(shí)，會(huì)感染硬盤(pán)的主引導(dǎo)記錄。以后用硬盤(pán)啟動(dòng)系統(tǒng)時(shí)，就會(huì)實(shí)現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑?dǎo)型病毒。例如bloodbound.a，該病毒也稱為tchechen.3420，主要感染.com、.exe和.mbr文件。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代

25、碼放入mbr中，然后清除硬盤(pán)中的文件。宏病毒的工作方式： 宏病毒是利用宏語(yǔ)句編寫(xiě)的。它們通常利用宏的自動(dòng)化功能進(jìn)行感染，當(dāng)一個(gè)感染的宏被運(yùn)行時(shí)，它會(huì)將自己安裝在應(yīng)用的模板中，并感染應(yīng)用創(chuàng)建和打開(kāi)的所有文檔。office中的word、excel和powerpoint都有宏。 java病毒工作方式： java是由sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語(yǔ)言。java應(yīng)用程序不會(huì)直接運(yùn)行在操作系統(tǒng)中，而是運(yùn)行在java虛擬機(jī)（jvm）上。因此用java編寫(xiě)的應(yīng)用程序的移植性非常強(qiáng)，包括現(xiàn)在的手機(jī)中的一些程序也是用java編寫(xiě)的。 java applet是一種內(nèi)嵌在html網(wǎng)頁(yè)中的可攜式j(luò)ava小程

26、序。具有java功能的瀏覽器可以運(yùn)行這個(gè)小程序。java applet可供web開(kāi)發(fā)人員建立含有功能更豐富的交互式動(dòng)態(tài)web網(wǎng)頁(yè)。它們會(huì)在使用者訪問(wèn)網(wǎng)頁(yè)時(shí)被執(zhí)行。黑客、病毒作者或其他惡意人士可能會(huì)用java惡意程序代碼當(dāng)作武器攻擊使用者的系統(tǒng)。網(wǎng)絡(luò)病毒工作方式： 隨著互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)病毒從原來(lái)的磁盤(pán)進(jìn)行傳播發(fā)展到現(xiàn)在的通過(guò)網(wǎng)絡(luò)的漏洞進(jìn)行傳播。到如今，網(wǎng)絡(luò)病毒已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全的最大威脅之一。網(wǎng)絡(luò)病毒中又以蠕蟲(chóng)病毒出現(xiàn)最早，傳播最為廣泛，例如“沖擊波”、“紅色代碼”病毒等。 腳本病毒工作方式： 腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。腳本是指從一個(gè)數(shù)據(jù)文檔中執(zhí)行一個(gè)任務(wù)的一組指令，它也是嵌入

27、到一個(gè)文件中，常見(jiàn)的是嵌入到網(wǎng)頁(yè)文件中。腳本病毒依賴于一些特殊的腳本語(yǔ)言（例如vbscript、javascript、jscript、perlscript、php、flash等）。有些腳本語(yǔ)言，例如vbscript（visual basic script）以及javascript病毒，必須通過(guò)microsoft的windows scripting host（wsh）才能夠激活執(zhí)行以及感染其他文件。pe病毒工作方式： pe病毒，是指感染windows pe格式文件的病毒。pe病毒是目前影響力極大的一類(lèi)病毒。pe病毒同時(shí)也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強(qiáng)的一類(lèi)病毒。如funlove、“

28、中國(guó)黑客”等病毒都屬于這個(gè)范疇。1.5計(jì)算機(jī)病毒的主要傳播途徑計(jì)算機(jī)病毒要實(shí)現(xiàn)傳播，有三個(gè)關(guān)鍵環(huán)節(jié):(1)帶病毒文件的遷移。即感染病毒的文件從一臺(tái)計(jì)算機(jī)復(fù)制、遷移到另一臺(tái)計(jì)算機(jī)，感染其他計(jì)算機(jī)。(2)計(jì)算機(jī)操作者的觸發(fā)。計(jì)算機(jī)病毒是寄生在受感染文件上的，只有計(jì)算機(jī)操作者執(zhí)行或者打開(kāi)受感染的文件，計(jì)算機(jī)病毒才有執(zhí)行的機(jī)會(huì)，才能取得主機(jī)的控制權(quán)。(3)感染。病毒在取得主機(jī)的控制權(quán)后，就隨時(shí)可以尋找合適的目標(biāo)文件進(jìn)行感染，把病毒副本嵌入到目標(biāo)文件中。2 計(jì)算機(jī)病毒的防范和清除計(jì)算機(jī)病毒日益嚴(yán)峻，引起人們?cè)絹?lái)越大的關(guān)注。它的存在和傳播對(duì)用戶造成了很大的危害，為了減少信息資料的丟失和破壞，這就需要在日常

29、使用計(jì)算機(jī)時(shí)，養(yǎng)成良好的習(xí)慣，預(yù)防計(jì)算機(jī)病毒。并且需要用戶掌握一些查殺病毒的知識(shí)，在發(fā)現(xiàn)病毒時(shí)，及時(shí)保護(hù)好資料，并清除病毒。2.1計(jì)算機(jī)病毒防范的概念和原則計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒入侵，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。7計(jì)算機(jī)病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，即使是良性病毒，也要占有少量的系統(tǒng)空間，影響系統(tǒng)的正常運(yùn)行。特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失，因此，防治計(jì)算機(jī)病毒應(yīng)以預(yù)防為主。2.2計(jì)算機(jī)病毒防范基本技術(shù)計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)

30、病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計(jì)算機(jī)病毒的入侵或立即警報(bào)。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下8 ：1、特征代碼技術(shù)特征代碼法被早期應(yīng)用于scan、cpav等著名病毒檢測(cè)工具中，目前被認(rèn)為是用來(lái)檢測(cè)己知病毒的最簡(jiǎn)單、開(kāi)銷(xiāo)最小的方法。防毒軟件在最初的掃毒方式是將所有病毒的病毒碼加以剖析，并且將這些病毒獨(dú)有的特征搜集在一個(gè)病毒碼資料庫(kù)中，每當(dāng)需要掃描該程序是否有毒的時(shí)候，啟動(dòng)殺毒軟件程序，以掃描的方式與該病毒碼資料庫(kù)內(nèi)的現(xiàn)有資料一一比對(duì)，如果兩方資料皆有吻合之處的話，既判定該程序已遭病毒感染。特征代碼法的實(shí)現(xiàn)步驟如下:1)采集已知病毒樣本。如果病毒既感染.com文件，又感染.exe文

31、件，那么要對(duì)這種病毒要同時(shí)采集.com型病毒樣本和.exe型病毒樣本。2)在病毒樣本中，抽取病毒特征代碼。在既感染.com文件又感染.exe文件的病毒樣本中，要抽取兩種樣本共有的代碼。3)將特征代碼納入病毒數(shù)據(jù)庫(kù)。4)檢測(cè)文件。打開(kāi)被檢測(cè)文件，檢查文件中是否含有病毒碼，根據(jù)數(shù)據(jù)庫(kù)中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由特征代碼與病毒一一對(duì)應(yīng)，便可以斷定，被查文件所感染的是何種病毒。2、校驗(yàn)和技術(shù)通常，大多數(shù)的病毒都不是單獨(dú)存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會(huì)有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。這樣防毒軟件在安裝的時(shí)候會(huì)自動(dòng)將硬盤(pán)中的所有檔案資料做一次

32、匯總并加以記錄，將正常文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫(xiě)入文件中或?qū)懭雱e的文件中保存。在每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)己知病毒又可發(fā)現(xiàn)未知病毒。運(yùn)用校驗(yàn)和檢查病毒采用三種方式:1)在檢測(cè)病毒工具中納入校驗(yàn)和，對(duì)被查的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和，將校驗(yàn)和寫(xiě)入被查文件中或檢測(cè)工具中，而后進(jìn)行比較；2)在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的校驗(yàn)和寫(xiě)入文件本身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和。實(shí)現(xiàn)應(yīng)用程序的自檢測(cè)；3)將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開(kāi)始運(yùn)行時(shí)

33、，自動(dòng)比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。3、行為監(jiān)測(cè)法技術(shù)利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。通過(guò)對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見(jiàn)。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。4、軟件模擬技術(shù)多態(tài)性病毒每次感染都會(huì)變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無(wú)法找出可能的作為特征的穩(wěn)定代碼。雖然行為檢測(cè)法可以檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢《镜姆N類(lèi)，難于做出殺毒處理，由此出現(xiàn)了

34、一種新的軟件模擬法。有了病毒的一些基本知識(shí)后現(xiàn)在我們就可以來(lái)檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個(gè)方法來(lái)判斷：1、反病毒軟件的掃描法 這恐怕是我們絕大數(shù)朋友首選，也恐怕是唯一的選擇，現(xiàn)在病毒種類(lèi)是越來(lái)越多，隱蔽的手段也越來(lái)越高明，所以給查殺病毒帶來(lái)了新的難度，也給反病毒軟件開(kāi)發(fā)商帶來(lái)挑戰(zhàn)。但隨著計(jì)算機(jī)程序開(kāi)發(fā)語(yǔ)言的技術(shù)性提高、計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越普及，病毒的開(kāi)發(fā)和傳播是越來(lái)越容易了，因而反病毒軟件開(kāi)發(fā)公司也是越來(lái)越多了。但目前比較有名的還是那么幾個(gè)系統(tǒng)的反病毒軟件，如金山毒霸、kv300、kill、pc-cillin、vrv、瑞星、諾頓等。 2、觀察法 這一方法只有在了解了一些病

35、毒發(fā)作的癥狀及常棲身的地方才能準(zhǔn)確地觀察到。如硬盤(pán)引導(dǎo)時(shí)經(jīng)常出現(xiàn)死機(jī)、系統(tǒng)引導(dǎo)時(shí)間較長(zhǎng)、運(yùn)行速度很慢、不能訪問(wèn)硬盤(pán)、出現(xiàn)特殊的聲音或提示等上述在第一大點(diǎn)中出現(xiàn)的故障時(shí)，我們首先要考慮的是病毒在作怪，但也不能一條胡同走到底，軟、硬件出現(xiàn)故障同樣也可能出現(xiàn)那些癥狀。對(duì)于如此病毒引起的我們可以從以下幾個(gè)方面來(lái)觀察： a、內(nèi)存觀察 這一方法一般用在dos下發(fā)現(xiàn)的病毒，我們可用dos下的“mem/c/p”命令來(lái)查看各程序占用內(nèi)存的情況，從中發(fā)現(xiàn)病毒占用內(nèi)存的情況（一般不單獨(dú)占用，而是依附在其它程序之中），有的病毒占用內(nèi)存也比較隱蔽，用“mem/c/p”發(fā)現(xiàn)不了它，但可以看到總的基本內(nèi)存640k之中少了那

36、么區(qū)區(qū)1k或幾k。 b、注冊(cè)表觀察法 這類(lèi)方法一般適用于近來(lái)出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過(guò)修改注冊(cè)表中的啟動(dòng)、加載配置來(lái)達(dá)到自動(dòng)啟動(dòng)或加載的，一般是在如下幾個(gè)地方實(shí)現(xiàn)： hkey_local_machinesoftwaremicrosoftwindwoscurrentversionrun hkey_local_machinesoftwaremicrosoftwindwoscurrentversionrunonce hkey_local_machinesoftwaremicrosoftwindwoscurrentversionrunsevices hkey_current_u

37、sersoftwaremicrosoftwindowscurrentversionrun hkey_current_usersoftwaremicrosoftwindowscurrentversionrunonce 等等，在其中對(duì)注冊(cè)表中可能出現(xiàn)的地方會(huì)有一個(gè)比較詳盡的分析。 c、系統(tǒng)配置文件觀察法 這類(lèi)方法一般也是適用于黑客類(lèi)程序，這類(lèi)病毒一般隱藏在system.ini 、wini.ini（win9x/winme）和啟動(dòng)組中，在system.ini文件中有一個(gè)shell=”項(xiàng)，而在wini.ini文件中有“l(fā)oad= ”、“run= ”項(xiàng)，這些病毒一般就是在這些項(xiàng)目中加載它們自身的程序的，注

38、意有時(shí)是修改原有的某個(gè)程序。我們可以運(yùn)行win9x/winme中的msconfig.exe程序來(lái)一項(xiàng)一項(xiàng)查看。 d、特征字符串觀察法 這種方法主要是針對(duì)一些較特別的病毒，這些病毒入侵時(shí)會(huì)寫(xiě)相應(yīng)的特征代碼，如cih病毒就會(huì)在入侵的文件中寫(xiě)入“cih”這樣的字符串，當(dāng)然我們不可能輕易地發(fā)現(xiàn)，我們可以對(duì)主要的系統(tǒng)文件（如explorer.exe)運(yùn)用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現(xiàn)，當(dāng)然編輯之前最好還要備份，畢竟是主要系統(tǒng)文件。 e、硬盤(pán)空間觀察法 有些病毒不會(huì)破壞你的系統(tǒng)文件，而僅是生成一個(gè)隱藏的文件，這個(gè)文件一般內(nèi)容很少，但所占硬盤(pán)空間很大，有時(shí)大得讓你的硬盤(pán)無(wú)法運(yùn)行一般的程序，但是你查又看不

39、到它，這時(shí)我們就要打開(kāi)資源管理器，然后把所查看的內(nèi)容屬性設(shè)置成可查看所有屬性的文件，相信這個(gè)龐然大物一定會(huì)到時(shí)顯形的，因?yàn)椴《疽话惆阉O(shè)置成隱藏屬性，到時(shí)刪除它即可。這方面的例子在平時(shí)也會(huì)碰到，明明只安裝了幾個(gè)常用程序，為什么在c盤(pán)之中幾個(gè)g的硬盤(pán)空間顯示就沒(méi)有了，經(jīng)過(guò)上述方法一般能很快地讓病毒顯形的。 連續(xù)長(zhǎng)時(shí)間讀取內(nèi)存或者磁盤(pán)的空間突然減小、運(yùn)行程序時(shí)死機(jī)等異常癥狀，這時(shí)我們就要考慮是否遭遇到病毒感染了，接著需要通過(guò)殺毒軟件來(lái)對(duì)整個(gè)硬盤(pán)進(jìn)行徹底的檢查。經(jīng)常對(duì)windows進(jìn)行更新可以有效地防止病毒的侵入,道高一尺，魔高一丈。即使我們做的夠多夠好，仍然無(wú)法應(yīng)付最新的病毒爆發(fā)，這就需要我們?cè)谑?/p>

40、用計(jì)算機(jī)的時(shí)候時(shí)刻保持清醒的頭腦，要密切注意計(jì)算機(jī)的異常癥狀。有了識(shí)別計(jì)算機(jī)病毒的方法，那計(jì)算機(jī)中毒都有哪些具體表現(xiàn)呢？根據(jù)計(jì)算機(jī)病毒感染和發(fā)作的階段，可以將計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類(lèi)，即：計(jì)算機(jī)病毒發(fā)作前、發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象9 。1.計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象計(jì)算機(jī)病毒發(fā)作前，是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開(kāi)始，直到激發(fā)條件滿足，計(jì)算機(jī)病毒發(fā)作之前的一個(gè)階段。在這個(gè)階段，計(jì)算機(jī)病毒的行為主要是以潛伏、傳播為主。計(jì)算機(jī)病毒會(huì)以各式各樣的手法來(lái)隱藏自己，在不被發(fā)現(xiàn)的同時(shí)，又自我復(fù)制，以各種手段進(jìn)行傳播。 以下是一些計(jì)算機(jī)病毒發(fā)作前常見(jiàn)的表現(xiàn)現(xiàn)象：（） 計(jì)算機(jī)經(jīng)常性無(wú)緣無(wú)故

41、地死機(jī) 病毒感染了計(jì)算機(jī)系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機(jī)現(xiàn)象發(fā)生 。（） 操作系統(tǒng)無(wú)法正常啟動(dòng)關(guān)機(jī)后再啟動(dòng)，操作系統(tǒng)報(bào)告缺少必要的啟動(dòng)文件，或啟動(dòng)文件被破壞，系統(tǒng)無(wú)法啟動(dòng)。這很可能是計(jì)算機(jī)病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無(wú)法被操作系統(tǒng)加載、引導(dǎo)。 （） 運(yùn)行速度明顯變慢 在硬件設(shè)備沒(méi)有損壞或更換的情況下，本來(lái)運(yùn)行速度很快的計(jì)算機(jī)，運(yùn)行同樣應(yīng)用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源，并且自身的運(yùn)行占用了大量的處理器時(shí)間，造成系統(tǒng)資源不足，運(yùn)行變慢。 （）內(nèi)存不足的錯(cuò)誤某個(gè)以前能夠正常運(yùn)行的程序，程序啟

42、動(dòng)的時(shí)候報(bào)系統(tǒng)內(nèi)存不足，或者使用應(yīng)用程序中的某個(gè)功能時(shí)報(bào)說(shuō)內(nèi)存不足。這可能是計(jì)算機(jī)病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。需要注意的是在windows 95/98下，記事本程序所能夠編輯的文本文件不超過(guò)64kb字節(jié)，如果用“復(fù)制粘貼”操作粘貼一段很大的文字到記事本程序時(shí)，也會(huì)報(bào)“內(nèi)存不足，不能完成操作”的錯(cuò)誤，但這不是計(jì)算機(jī)病毒在作怪。 （） 打印和通訊發(fā)生異常硬件沒(méi)有更改或損壞的情況下，以前工作正常的打印機(jī)，近期發(fā)現(xiàn)無(wú)法進(jìn)行打印操作，或打印出來(lái)的是亂碼。串口設(shè)備無(wú)法正常工作，比如調(diào)制解調(diào)器不撥號(hào)。這很可能是計(jì)算機(jī)病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序，使

43、之不能正常工作。 （） 無(wú)意中要求對(duì)軟盤(pán)進(jìn)行寫(xiě)操作 沒(méi)有進(jìn)行任何讀、寫(xiě)軟盤(pán)的操作，操作系統(tǒng)提示軟驅(qū)中沒(méi)有插入軟盤(pán)，或者要求在讀取、復(fù)制寫(xiě)保護(hù)的軟盤(pán)上的文件時(shí)打開(kāi)軟盤(pán)的寫(xiě)保護(hù)。這很可能是計(jì)算機(jī)病毒自動(dòng)查找軟盤(pán)是否在軟驅(qū)中的時(shí)候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開(kāi)文件的時(shí)候創(chuàng)建一個(gè)臨時(shí)文件，也有的安裝程序（如office 97）對(duì)軟盤(pán)有寫(xiě)的操作。 （） 以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤 在硬件和操作系統(tǒng)沒(méi)有進(jìn)行改動(dòng)的情況下，以前能夠正常運(yùn)行的應(yīng)用程序產(chǎn)生非法錯(cuò)誤和死機(jī)的情況明顯增加。這可能是由于計(jì)算機(jī)病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能，或者計(jì)算機(jī)病毒程序本

44、身存在著兼容性方面的問(wèn)題造成的。 （） 系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化 這是最明顯的計(jì)算機(jī)病毒感染跡象。計(jì)算機(jī)病毒感染應(yīng)用程序文件后，會(huì)將自身隱藏在原始文件的后面，文件大小大多會(huì)有所增加，文件的訪問(wèn)、修改日期和時(shí)間也會(huì)被改成感染時(shí)的時(shí)間。尤其是對(duì)那些系統(tǒng)文件，絕大多數(shù)情況下是不會(huì)修改它們的，除非是進(jìn)行系統(tǒng)升級(jí)或打補(bǔ)丁。對(duì)應(yīng)用程序使用到的數(shù)據(jù)文件，文件大小和修改日期、時(shí)間是可能會(huì)改變的，并不一定是計(jì)算機(jī)病毒在作怪。 （）word保存出現(xiàn)問(wèn)題 運(yùn)行word，打開(kāi)word文檔后，該文件另存時(shí)只能以模板方式保存無(wú)法另存為一個(gè)doc文檔，只能保存成模板文檔（dot）。這往往是打開(kāi)的word文檔中感染

45、了word宏病毒的緣故。 （10） 磁盤(pán)空間迅速減少 沒(méi)有安裝新的應(yīng)用程序，而系統(tǒng)可用的磁盤(pán)空間減少地很快。這可能是計(jì)算機(jī)病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁(yè)、回收站中的文件過(guò)多、臨時(shí)文件夾下的文件數(shù)量過(guò)多過(guò)大、計(jì)算機(jī)系統(tǒng)有過(guò)意外斷電等情況也可能會(huì)造成可用的磁盤(pán)空間迅速減少。另一種情況是windows 95/98下的內(nèi)存交換文件的增長(zhǎng)，在windows 95/98下內(nèi)存交換文件會(huì)隨著應(yīng)用程序運(yùn)行的時(shí)間和進(jìn)程的數(shù)量增加而增長(zhǎng)，一般不會(huì)減少，而且同時(shí)運(yùn)行的應(yīng)用程序數(shù)量越多，內(nèi)存交換文件就越大。 （11） 網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用 對(duì)于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無(wú)法打開(kāi)、瀏覽，或者

46、對(duì)有寫(xiě)權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無(wú)法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對(duì)網(wǎng)絡(luò)驅(qū)動(dòng)器卷和共享目錄的計(jì)算機(jī)病毒，但計(jì)算機(jī)病毒的某些行為可能會(huì)影響對(duì)網(wǎng)絡(luò)驅(qū)動(dòng)器卷和共享目錄的正常訪問(wèn)。（12）基本內(nèi)存發(fā)生變化在dos下用mem/c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時(shí)候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640kb要小，一般少1kb2kb。這通常是計(jì)算機(jī)系統(tǒng)感染了引導(dǎo)型計(jì)算機(jī)病毒所造成的。 (13) 陌生人發(fā)來(lái)的電子函件收到陌生人發(fā)來(lái)的電子函件，尤其是那些標(biāo)題很具誘惑力，比如一則笑話，或者一封情書(shū)等，又帶有附件的電子函件。當(dāng)然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開(kāi)。一般來(lái)說(shuō)廣告電子函

47、件有很明確的推銷(xiāo)目的，會(huì)有它推銷(xiāo)的產(chǎn)品介紹；垃圾電子函件的內(nèi)容要么自成章回，要么根本沒(méi)有價(jià)值。這兩種電子函件大多是不會(huì)攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件中計(jì)算機(jī)病毒的附件大多是腳本程序，通常不會(huì)超過(guò)100kb字節(jié)。當(dāng)然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計(jì)算機(jī)病毒。(14) 自動(dòng)鏈接到一些陌生的網(wǎng)站 沒(méi)有在上網(wǎng)，計(jì)算機(jī)會(huì)自動(dòng)撥號(hào)并連接到因特網(wǎng)上一個(gè)陌生的站點(diǎn)，或者在上網(wǎng)的時(shí)候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠?jì)算機(jī)系統(tǒng)的信息“悄悄地”發(fā)回某個(gè)特定的網(wǎng)址，可以通過(guò)n

48、etstat命令查看當(dāng)前建立的網(wǎng)絡(luò)鏈接，再比照訪問(wèn)的網(wǎng)站來(lái)發(fā)現(xiàn)。需要注意的是有些網(wǎng)頁(yè)中有一些腳本程序會(huì)自動(dòng)鏈接到一些網(wǎng)頁(yè)評(píng)比站點(diǎn)，或者是廣告站點(diǎn)，這時(shí)候也會(huì)有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。當(dāng)然，這種情況也可以認(rèn)為是非法的。一般的系統(tǒng)故障是有別于計(jì)算機(jī)病毒感染的。系統(tǒng)故障大多只符合上面的一點(diǎn)或二點(diǎn)現(xiàn)象，而計(jì)算機(jī)病毒感染所出現(xiàn)的現(xiàn)象會(huì)多得多。根據(jù)上述幾點(diǎn)，就可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染上了計(jì)算機(jī)病毒。 2計(jì)算機(jī)病毒發(fā)作時(shí)的表征現(xiàn)象 計(jì)算機(jī)病毒發(fā)作時(shí)是指滿足計(jì)算機(jī)病毒發(fā)作的條件，計(jì)算機(jī)病毒程序開(kāi)始破壞行為的階段。計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)大都各不相同，可以說(shuō)一百個(gè)計(jì)算機(jī)病毒發(fā)作有一百種花樣。這與編寫(xiě)計(jì)算機(jī)病毒

49、者的心態(tài)、所采用的技術(shù)手段等都有密切的關(guān)系。 以下列舉了一些計(jì)算機(jī)病毒發(fā)作時(shí)常見(jiàn)的表現(xiàn)現(xiàn)象：（1）提示一些不相干的話 最常見(jiàn)的是提示一些不相干的話，比如打開(kāi)感染了宏病毒的word文檔，如果滿足了發(fā)作條件的話，它就會(huì)彈出對(duì)話框顯示“這個(gè)世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。（2）聲音異常惡作劇式的計(jì)算機(jī)病毒，最著名的是外國(guó)的“楊基”計(jì)算機(jī)病毒（yangkee）和中國(guó)的“瀏陽(yáng)河”計(jì)算機(jī)病毒?！皸罨庇?jì)算機(jī)病毒發(fā)作是利用計(jì)算機(jī)內(nèi)置的揚(yáng)聲器演奏楊基音樂(lè)，而“瀏陽(yáng)河”計(jì)算機(jī)病毒更絕，當(dāng)系統(tǒng)時(shí)鐘為9月9日時(shí)演奏歌曲瀏陽(yáng)河，而當(dāng)系統(tǒng)時(shí)鐘為12月26日時(shí)則演奏東方紅的旋律。這類(lèi)計(jì)算機(jī)病毒大

50、多屬于“良性”計(jì)算機(jī)病毒，只是在發(fā)作時(shí)發(fā)出音樂(lè)和占用處理器資源。 （3）產(chǎn)生特定的圖象另一類(lèi)惡作劇式的計(jì)算機(jī)病毒，比如小球計(jì)算機(jī)病毒，發(fā)作時(shí)會(huì)從屏幕上方不斷掉落下來(lái)小球圖形。單純地產(chǎn)生圖象的計(jì)算機(jī)病毒大多也是“良性”計(jì)算機(jī)病毒，只是在發(fā)作時(shí)破壞用戶的顯示界面，干擾用戶的正常工作。 （4）硬盤(pán)燈不斷閃爍硬盤(pán)燈閃爍說(shuō)明有硬盤(pán)讀寫(xiě)操作。當(dāng)對(duì)硬盤(pán)有持續(xù)大量的操作時(shí)，硬盤(pán)的燈就會(huì)不斷閃爍，比如格式化或者寫(xiě)入很大很大的文件。有時(shí)候?qū)δ硞€(gè)硬盤(pán)扇區(qū)或文件反復(fù)讀取的情況下也會(huì)造成硬盤(pán)燈不斷閃爍。有的計(jì)算機(jī)病毒會(huì)在發(fā)作的時(shí)候?qū)τ脖P(pán)進(jìn)行格式化，或者寫(xiě)入許多垃圾文件，或反復(fù)讀取某個(gè)文件，致使硬盤(pán)上的數(shù)據(jù)遭到損失。具有

51、這類(lèi)發(fā)作現(xiàn)象的計(jì)算機(jī)病毒大多是“惡性”計(jì)算機(jī)病毒。 （5）進(jìn)行游戲算法 有些惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)采取某些算法簡(jiǎn)單的游戲來(lái)中斷用戶的工作，一定要玩嬴了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時(shí)的“臺(tái)灣一號(hào)”宏病毒，在系統(tǒng)日期為13日時(shí)發(fā)作，彈出對(duì)話框，要求用戶做算術(shù)題。這類(lèi)計(jì)算機(jī)病毒一般是屬于“良性”計(jì)算機(jī)病毒，但也有那種用戶輸了后，進(jìn)行破壞的“惡性”計(jì)算機(jī)病毒。（6）windows桌面圖標(biāo)發(fā)生變化 這一般也是惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象。把windows缺省的圖標(biāo)改成其他樣式的圖標(biāo)，或者將其他應(yīng)用程序、快捷方式的圖標(biāo)改成windows缺省圖標(biāo)樣式，起到迷惑用戶的作用。（7）計(jì)算機(jī)突然

52、死機(jī)或重啟 有些計(jì)算機(jī)病毒程序兼容性上存在問(wèn)題，代碼沒(méi)有嚴(yán)格測(cè)試，在發(fā)作時(shí)會(huì)造成意想不到情況；或者是計(jì)算機(jī)病毒在autoexec.bat文件中添加了一句：format c：之類(lèi)的語(yǔ)句，需要系統(tǒng)重啟后才能實(shí)施破壞的。（8）自動(dòng)發(fā)送電子函件 大多數(shù)電子函件計(jì)算機(jī)病毒都采用自動(dòng)發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計(jì)算機(jī)病毒在某一特定時(shí)刻向同一個(gè)郵件服務(wù)器發(fā)送大量無(wú)用的信件，以達(dá)到阻塞該郵件服務(wù)器的正常服務(wù)功能的目的。(9）鼠標(biāo)自己在動(dòng) 沒(méi)有對(duì)計(jì)算機(jī)進(jìn)行任何操作，也沒(méi)有運(yùn)行任何演示程序、屏幕保護(hù)程序等，而屏幕上的鼠標(biāo)自己在動(dòng)，應(yīng)用程序自己在運(yùn)行，有受遙控的現(xiàn)象。大多數(shù)情況下是計(jì)算機(jī)系統(tǒng)受到

53、了黑客程序的控制，從廣義上說(shuō)這也是計(jì)算機(jī)病毒發(fā)作的一種現(xiàn)象。 需要指出的是，有些是計(jì)算機(jī)病毒發(fā)作的明顯現(xiàn)象，比如提示一些不相干的話、播放音樂(lè)或者顯示特定的圖象等。有些現(xiàn)象則很難直接判定是計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象，比如硬盤(pán)燈不斷閃爍，當(dāng)同時(shí)運(yùn)行多個(gè)內(nèi)存占用大的應(yīng)用程序，比如3d max，adobe premiere等，而計(jì)算機(jī)本身性能又相對(duì)較弱的情況下，在啟動(dòng)和切換應(yīng)用程序的時(shí)候也會(huì)使硬盤(pán)不停地工作，硬盤(pán)燈不斷閃爍。 3. 計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象 通常情況下，計(jì)算機(jī)病毒發(fā)作都會(huì)給計(jì)算機(jī)系統(tǒng)帶來(lái)破壞性的后果，那種只是惡作劇式的“良性”計(jì)算機(jī)病毒只是計(jì)算機(jī)病毒家族中的很小一部分。大多數(shù)計(jì)算機(jī)病毒都是

54、屬于“惡性”計(jì)算機(jī)病毒?！皭盒浴庇?jì)算機(jī)病毒發(fā)作后往往會(huì)帶來(lái)很大的損失，以下列舉了一些惡性計(jì)算機(jī)病毒發(fā)作后所造成的后果：(1)硬盤(pán)無(wú)法啟動(dòng)，數(shù)據(jù)丟失 計(jì)算機(jī)病毒破壞了硬盤(pán)的引導(dǎo)扇區(qū)后，就無(wú)法從硬盤(pán)啟動(dòng)計(jì)算機(jī)系統(tǒng)了。有些計(jì)算機(jī)病毒修改了硬盤(pán)的關(guān)鍵內(nèi)容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤(pán)上的數(shù)據(jù)幾乎完全丟失。(2)系統(tǒng)文件丟失或被破壞 通常系統(tǒng)文件是不會(huì)被刪除或修改的，除非對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行了升級(jí)。但是某些計(jì)算機(jī)病毒發(fā)作時(shí)刪除了系統(tǒng)文件，或者破壞了系統(tǒng)文件，使得以后無(wú)法正常啟動(dòng)計(jì)算機(jī)系統(tǒng)。通常容易受攻擊的系統(tǒng)文件有c，emm386.exe，w，kerne

55、l.exe，user.exe等等。 (3)文件目錄發(fā)生混亂 目錄發(fā)生混亂有兩種情況。一種就是確實(shí)將目錄結(jié)構(gòu)破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫(xiě)一些無(wú)意義的數(shù)據(jù)，再也無(wú)法恢復(fù)。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤(pán)的其他扇區(qū)中，只要內(nèi)存中存在有該計(jì)算機(jī)病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應(yīng)用程序需要訪問(wèn)該目錄的時(shí)候提供正確的目錄項(xiàng)，使得從表面上看來(lái)與正常情況沒(méi)有兩樣。但是一旦內(nèi)存中沒(méi)有該計(jì)算機(jī)病毒，那么通常的目錄訪問(wèn)方式將無(wú)法訪問(wèn)到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。 (4)部分文檔丟失或被破壞類(lèi)似系統(tǒng)文件的丟失或被破壞，有些計(jì)算機(jī)病毒在發(fā)作時(shí)會(huì)刪除或破壞硬盤(pán)上的文檔，造成數(shù)據(jù)丟失。 (5)部分文檔自動(dòng)加密碼 還有些計(jì)算機(jī)病毒利用加密算法，將加密密鑰保存在計(jì)算機(jī)病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件被加密，如果內(nèi)存中駐留有這種計(jì)算機(jī)病毒，那么在系統(tǒng)訪問(wèn)被感染的文件時(shí)它自動(dòng)將文檔解密，使得用戶察覺(jué)不到。一旦這種計(jì)算機(jī)病毒被清除，那么被加密的文檔就很難被恢復(fù)了。(6)修改autoexec.bat文件，增加format c：一項(xiàng)，導(dǎo)致計(jì)算機(jī)重新啟動(dòng)時(shí)格式化硬盤(pán)。 在計(jì)算機(jī)系統(tǒng)穩(wěn)定工作后，一般很少會(huì)有用戶去注意autoexec.bat文件的變