最新計算機病毒畢業(yè)設計論文打印版

漳州師范學院畢業(yè)論文（設計）計算機病毒的研究與防治RESEARCHANDPREVENTIONOFCOMPUTERVIRUSES姓 名：學 號：系 別： 計算機科學與工程系專 業(yè)： 計算機科學與技術(shù)年 級： 09 級指導教師：2012年11 月20 日摘要自信息時代以來，計算機儼然已成了我們不可或缺的一部分，它慢慢滲入到我們的生活中，與我們形影不離。雖然計算機豐富了我們的生活、方便了我們的工作、提高了工作效率、創(chuàng)造了更高的財富價值，但伴隨著計算機的廣泛應用，不可避免的也帶來了計算機病毒。計算機病毒給我們的日常工作帶來了巨大的破壞和潛在的威脅。作為計算機的使用者，我們應了解計算機病毒的入侵和防范方法以維護正常、安全的計算機使用和通信環(huán)境。因此為了確保計算機能夠安全工作，研究計算機病毒防范的方式方法，已經(jīng)迫在眉睫。本論文從計算機病毒概述、計算機病毒防范和清除入手，淺談計算機病毒的特點及相應的一些的解決辦法。關鍵詞:計算機病毒;計算機安全;入侵途徑;病毒防治AbstractSincetheinformationage,thecomputerhasbecomeourindispensablepart,whichslowlyinfiltratesintoourlivesandneverleavesus.Althoughthecomputerhasenrichedourlives,facilitatedourwork,improvedourworkefficiencyandcreatedgreaterwealthvalue,butalongwithwideapplicationofthecomputer,italsoinevitablybringscomputerviruses.Computervirusesbringtremendousdamageandpotentialthreattoourdailywork.Ascomputerusers,weshouldbeawareoftheinvasionandthepreventionwaysofcomputervirusestomaintainanormalandsafeuseandcommunicationenvironmentofcomputer.Thereforeinordertoensurethecomputersecurity,studyinghowtopreventcomputervirusesisimminent.Startingwiththeoverview,preventionandremovalofcomputerviruses,thispaperdiscussesthecharacteristicsofcomputervirusesandthecorrespondingsolutions.Keywords ：computerviruses;computersecurity;invasionways;viruspreventionI目 錄 (I)1(1)1.1(1)1.2(2)1.3(5)1.4(6)1.5(10)2(11)2.1(11)2.2(11)2.3(21)3(22)3.1(22)3.2(23)3.3(23)3.4(24)3.5(24)4(25)(26)27計算機病毒的概述有計算機的地方就會伴隨著計算機病毒。說起計算機病毒，想必計算機的使用者都不會陌生了，因為我們時刻都在與它斗爭著。很多人對計算機病毒憎惡但又充滿了好奇，對病毒的制造者既痛恨又敬畏。計算機病毒當然不值得崇拜，它給個人和國家?guī)砹颂嗟膿p失了，每年因為計算機病毒造成的直接、間接經(jīng)濟損失都超過百億美元，而且還以逐年遞增的趨勢增長。但與此同時，它也促進了信息安全產(chǎn)業(yè)的發(fā)展，比如反病毒軟件、防火墻、入侵檢測系統(tǒng)、網(wǎng)絡隔離、數(shù)據(jù)恢復技術(shù)等等這一根根救命稻草，使很多企業(yè)和個人用戶免遭侵害，在很大程度上緩解了計算機病毒造成的巨大破壞力，同時，越來越多的個人和企業(yè)加入到信息安全領域，同層出不窮的黑客和病毒制造者做著頑強的斗爭。但稻草畢竟是稻草，救得了一時不一定救得了一世。目前市場上主流廠商的信息安全產(chǎn)品經(jīng)過多年的積累和精心的研發(fā)，無論從產(chǎn)品線還是從技術(shù)角度來講，都已經(jīng)達到了相當完善的程度。但是，再好的產(chǎn)品，如果不懂得如何去使用，發(fā)揮不了產(chǎn)品真正的優(yōu)勢，又與稻草有什么區(qū)別呢？很多用戶在被病毒感染以后才想起購買殺毒軟件，查殺以后就再也不管，沒有定期的升級和維護，更沒有根據(jù)自己的使用環(huán)境的特點，制定相應的防范策略，可以說把產(chǎn)品的使用效率降到了最低，這樣的狀態(tài)，怎能應付日新月異的病毒攻擊呢？那么，如何將手中的稻草變成強大的武器，當危險臨近時，能夠主動出擊，防患于未然呢？筆者認為，關鍵的問題在于對“對手”的了解。 我們要能未雨綢繆，配合手中的工具，防患于未然。1.1計算機病毒的定義計算機病毒與醫(yī)學上的“病毒”不同，它不是天然存在的，而是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。 由于它與醫(yī)學上的“病毒”同樣具有傳染和破壞的特性，例如，具有自我復制能力、很強的感染力、一定的潛伏性、特定的觸發(fā)性和很大的破壞性等等， 因此由生物醫(yī)學上的“病毒”概念引申出“計算機病毒”這一名詞。1從廣義上來說，凡是能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲等都可稱為計算機病毒。1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在條例第二十八條明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。[1]1.2計算機病毒的產(chǎn)生與發(fā)展人類創(chuàng)造了電子計算機之后，也制造了計算機病毒。自從 1983年發(fā)現(xiàn)了全世界首例計算機病毒以來，病毒的數(shù)量已達三十多萬種，并且這個數(shù)字還在高速增長。計算機病毒的危害及造成的損失是眾所周知的， 發(fā)明計算機病毒的人同樣也受到社會和公眾輿論的譴責。也許有人會問：“計算機病毒是哪位先生發(fā)明的?”這個問題至今還沒有一個確切的說法，下面是其中有代表性的幾種：（1）科學幻想起源說1977年，美國科普作家托馬斯.丁.雷恩推出轟動一時的《P-1的青春》一書。作者構(gòu)思了一種能自我復制，利用信息通道傳播的計算機程序，并稱之為計算機病毒。這是世界上第一個幻想出來的計算機病毒。我們的很多科學技術(shù)都是先幻想之后才產(chǎn)生的，因此，這種科學幻想起源說也是有理有據(jù)的。（2）惡作劇起源說這種說法是認為計算機病毒是那些對計算機知識和技術(shù)均有興趣的人，他們或是要顯示自己在計算機方面的天賦，或是報復他人或單位從而編制一些程序來顯示自己的才能且滿足自己的虛榮心，他們的出發(fā)點多少有些惡意的成分在內(nèi)，世界上流行的許多計算機病毒都是惡作劇者的產(chǎn)物。（3）游戲程序起源說據(jù)說20世紀70年代，美國貝爾實驗室的計算機程序員為了娛樂，在自己的實驗室的計算機上編制吃掉對方程序的程序，看誰先把對方的程序吃光，有人猜測這是世界上第一個計算機病毒。2（4）軟件商保護軟件起源說計算機軟件是一種知識密集型的高科技產(chǎn)品， 由于對軟件資源的保護不盡合理，使得許多合法的軟件被非法復制， 從而使得軟件制造商的利益受到了嚴重的侵害，因此，軟件制造商為了處罰那些非法復制者并保護自己的商業(yè)利益， 在軟件產(chǎn)品之中加入計算機病毒程序并由一定條件觸發(fā)并感染。IT行業(yè)普遍認為，從最原始的單機磁盤病毒到現(xiàn)在逐步進入人們視野的手機病毒，計算機病毒主要經(jīng)歷了如下發(fā)展階段[2]：（1）DOS引導階段1987年，計算機病毒主要是引導型病毒，具有代表性的是“小球”和“石頭”病毒。當時的計算機硬件較少，功能簡單，一般需要通過軟盤啟動后使用。引導型病毒利用軟盤的啟動原理工作， 它們修改系統(tǒng)啟動扇區(qū)，在計算機啟動時首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤時進行傳播。 1989年，引導型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭2”。（2）DOS可執(zhí)行階段1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用 DOS系統(tǒng)加載執(zhí)行文件的機制工作，該類型的典型代表為“耶路撒冷”、“星期天”病毒，病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時進行傳染，并將自己附加在可執(zhí)行文件中，使文件長度增加。1990年，發(fā)展為復合型病毒，可感染.COM和.EXE文件。（3）伴隨、批次型階段1992年，伴隨型病毒出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進行工作。具有代表性的有“金蟬”計算機病毒，它感染.EXE文件時生成一個和.EXE同名的擴展名為.COM伴隨體，它感染.COM文件時，改原來的.COM文件為同名的.EXE文件，這樣，在DOS加載文件時，病毒就取得控制權(quán)。這類計算機病毒的特點是不改變原來的文件內(nèi)容、日期及屬性，接觸計算機病毒時只要將其伴隨體刪除即可。3（4）幽靈、多形階段1994年，隨著匯編語言的發(fā)展，實現(xiàn)同一功能可以用不同的方式進行完成，這些方式的組合使一些看似隨機的代碼產(chǎn)生相同的運算結(jié)果。 幽靈病毒就是利用這個特點，每感染一次就產(chǎn)生不同的代碼。 例如，“一半”計算機病毒就是產(chǎn)生一段有上億種可能的解碼運算程序，計算機病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類計算機病毒就必須要對這段數(shù)據(jù)進行解碼，這就加大了查毒的難度。（5）生成器、變體機階段1995年，在匯編語言中，一些數(shù)據(jù)的運算放在不同的通用寄存器中，可運算出同樣的結(jié)果，隨機的插入一些空操作和無關指令，也不影響運算的結(jié)果，這樣，一段解碼算法就可以由生成器生成。當生成的是計算機病毒時，這種復雜的稱之為病毒生成器和變體機的病毒就產(chǎn)生了。具有典型代表的是“計算機病毒制造機VCL”，它可以在瞬間制造出成千上萬種不同的計算機病毒，查解時就不能使用傳統(tǒng)的特征識別法，需要在宏觀上分析指令，解碼后查解計算機病毒。（6）網(wǎng)絡、蠕蟲階段1995年，隨著網(wǎng)絡的普及，病毒開始利用網(wǎng)絡進行傳播，它們只是以上幾代病毒的改進。在非 DOS操作系統(tǒng)中，“蠕蟲”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤文件，利用網(wǎng)絡功能搜索網(wǎng)絡地址， 將自身向下一地址進行傳播，有時也在網(wǎng)絡服務器和啟動文件中存在。（7）Windows病毒階段1996年，隨著Windows和Windows95的日益普及，利用Windows進行工作的病毒開始發(fā)展，它們修改(NE，PE)文件，典型的代表是“DS.3873”，這類病毒的機制更為復雜，它們利用保護模式和API調(diào)用接口工作，清除方法也比較復雜。（8）宏病毒階段1996年，隨著WindowsWord功能的增強，使用Word宏語言也可以編制病毒，這種病毒使用類Basic語言，編寫容易，感染W(wǎng)ord文檔文件。在Excel和AmiPro出現(xiàn)的相同工作機制的病毒也歸為此類。4（9）Internet階段1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開始利用因特網(wǎng)進行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來越多， 如果不小心打開了這些郵件，機器就有可能中毒。1.3計算機病毒的特性寄生性。計算機病毒和生物病毒一樣，需要宿主。計算機病毒會寄生在其他程序之中，當執(zhí)行這個程序時，病毒就會發(fā)揮作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。隱蔽性。計算機病毒要想不容易被發(fā)現(xiàn)的話，就需要隱藏起來。它是一種隱藏性很高的可執(zhí)行程序，如不經(jīng)過程序代碼分析或計算機病毒代碼掃描， 病毒程序與正常程序是不容易區(qū)別開來的。潛伏性。并不是所有的病毒都能馬上發(fā)作的，有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。 [3]可觸發(fā)性。病毒因滿足特定的時間或日期，期待特定用戶識別符出現(xiàn)，特定文件的出現(xiàn)或使用，一個文件使用的次數(shù)超過設定數(shù)等，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。傳染性。病毒也會傳染，一臺計算機如果感染了病毒，那么曾在這臺計算機上使用過的移動硬盤或U盤往往已經(jīng)感染上了病毒，而與這臺計算機聯(lián)網(wǎng)的其他計算機也會被感染的。由于目前計算機網(wǎng)絡飛速發(fā)展，所以它能在短時間內(nèi)進行快速傳染。流行性。計算機病毒傳染表現(xiàn)大都與時間相關，就像生物領域的流行病一樣，一定的時間內(nèi)爆發(fā)、流行，等相應的殺毒軟件開發(fā)出來后，就趨向減少，甚至消失為止。5除了上述特點以外，計算機病毒還具有不可預見性、衍生性、針對性、欺騙性、持久性等特點。正是由于計算機病毒具有這些特點， 所以給計算機病毒的預防、檢測與清除工作帶來了很大的難度。隨著計算機應用的不斷發(fā)展，計算機病毒又出現(xiàn)一些新的特性如： 利用微軟漏洞主動傳播、局域網(wǎng)內(nèi)快速傳播、以多種方式傳播、大量消耗系統(tǒng)與網(wǎng)絡資源、雙程序結(jié)構(gòu)、用即時工具傳播病毒、病毒與黑客技術(shù)的融合、遠程啟動等。1.4計算機病毒的分類根據(jù)計算機病毒破壞的能力分類：無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音等。危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。非常危險型： 這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。例如 CIH病毒。根據(jù)計算機病毒的破壞情況分類 [4]：良性病毒：是指包含立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進行傳播，從一臺計算機傳染到另一臺，并不破壞計算機系統(tǒng)和數(shù)據(jù)，但它會使系統(tǒng)資源急劇減少，可用空間越來越少，最終導致系統(tǒng)崩潰。如國內(nèi)出現(xiàn)的小球病毒。惡性病毒：是指在代碼中包含損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接破壞作用的計算機病毒。它們往往封鎖、干擾、中斷輸入輸出、破壞分區(qū)表信息、刪除數(shù)據(jù)文件，甚至格式化硬盤等。如米開朗基羅病毒，當其發(fā)作時，硬盤的前 17個扇區(qū)將被徹底破壞，使整個硬盤上的數(shù)據(jù)丟失。需要指出的是，良性和惡性是相對比較而言的。按計算機病毒特有的算法分類 [5]：伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生 .EXE文件的伴隨體，具有同樣的名字和不同的擴展名（ .COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。計算機病毒把自身寫6入.COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件?！叭湎x”型病毒：這類病毒將計算機網(wǎng)絡地址作為感染目標，利用網(wǎng)絡從一臺計算機的內(nèi)存?zhèn)鞑サ狡渌嬎銠C的內(nèi)存，將自身通過網(wǎng)絡發(fā)送。蠕蟲通過計算機網(wǎng)絡傳播，不改變文件和資料信息，除了內(nèi)存，一般不占用其他資源。寄生型病毒：除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播。詭秘型病毒：它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)，利用DOS空閑的數(shù)據(jù)區(qū)進行工作。變型病毒：這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是由一段混有無關指令的解碼算法和被變化過的病毒體組成。按計算機病毒的工作方式分類 [6]：引導型病毒的工作方式如圖 1.1所示：7圖1.1引導型病毒的工作方式文件型病毒的工作方式：在目前已知的病毒中，大多數(shù)屬于文件型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（.COM、.EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。其常見的傳染方式是附著于正常程序文件中，成為程序文件的一個外殼或部件。文件型病毒的工作方式如圖1.2所示：8圖1.2 文件型病毒的工作方式混和型病毒工作方式：混和型病毒在傳染方式上兼具引導型病毒和文件型病毒的特點。這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，以該文件為載體進行傳播。當被感染文件執(zhí)行時，會感染硬盤的主引導記錄。以后用硬盤啟動系統(tǒng)時，就會實現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑筒《尽＠鏐loodBound.A，該病毒也稱為Tchechen.3420，主要感染.COM、.EXE和.MBR文件。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入MBR中，然后清除硬盤中的文件。宏病毒的工作方式：宏病毒是利用宏語句編寫的。它們通常利用宏的自動化功能進行感染，當一個感染的宏被運行時，它會將自己安裝在應用的模板中，并感染應用創(chuàng)建和打開的所有文檔。Office中的Word、Excel和PowerPoint都有宏。Java病毒工作方式：Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。 Java應用程9序不會直接運行在操作系統(tǒng)中， 而是運行在Java虛擬機（JVM）上。因此用Java編寫的應用程序的移植性非常強，包括現(xiàn)在的手機中的一些程序也是用 Java編寫的。JavaApplet 是一種內(nèi)嵌在 HTML網(wǎng)頁中的可攜式 Java小程序。具有Java功能的瀏覽器可以運行這個小程序。 JavaApplet可供Web開發(fā)人員建立含有功能更豐富的交互式動態(tài) Web網(wǎng)頁。它們會在使用者訪問網(wǎng)頁時被執(zhí)行。 黑客、病毒作者或其他惡意人士可能會用 Java惡意程序代碼當作武器攻擊使用者的系統(tǒng)。網(wǎng)絡病毒工作方式：隨著互聯(lián)網(wǎng)的高速發(fā)展，計算機病毒從原來的磁盤進行傳播發(fā)展到現(xiàn)在的通過網(wǎng)絡的漏洞進行傳播。到如今，網(wǎng)絡病毒已經(jīng)成為計算機網(wǎng)絡安全的最大威脅之一。網(wǎng)絡病毒中又以蠕蟲病毒出現(xiàn)最早，傳播最為廣泛，例如“沖擊波”、“紅色代碼”病毒等。腳本病毒工作方式：腳本病毒也是一種特殊的網(wǎng)絡病毒。腳本是指從一個數(shù)據(jù)文檔中執(zhí)行一個任務的一組指令，它也是嵌入到一個文件中，常見的是嵌入到網(wǎng)頁文件中。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。有些腳本語言，例如VBScript（VisualBasicScript）以及JavaScript 病毒，必須通過Microsoft 的WindowsScripting Host（WSH）才能夠激活執(zhí)行以及感染其他文件。PE病毒工作方式：PE病毒，是指感染W(wǎng)indowsPE格式文件的病毒。PE病毒是目前影響力極大的一類病毒。PE病毒同時也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強的一類病毒。如 FunLove、“中國黑客”等病毒都屬于這個范疇。1.5計算機病毒的主要傳播途徑計算機病毒要實現(xiàn)傳播，有三個關鍵環(huán)節(jié) :帶病毒文件的遷移。即感染病毒的文件從一臺計算機復制、遷移到另一臺計算機，感染其他計算機。10計算機操作者的觸發(fā)。計算機病毒是寄生在受感染文件上的，只有計算機操作者執(zhí)行或者打開受感染的文件，計算機病毒才有執(zhí)行的機會，才能取得主機的控制權(quán)。感染。病毒在取得主機的控制權(quán)后，就隨時可以尋找合適的目標文件進行感染，把病毒副本嵌入到目標文件中。計算機病毒的防范和清除計算機病毒日益嚴峻，引起人們越來越大的關注。它的存在和傳播對用戶造成了很大的危害，為了減少信息資料的丟失和破壞， 這就需要在日常使用計算機時，養(yǎng)成良好的習慣，預防計算機病毒。并且需要用戶掌握一些查殺病毒的知識，在發(fā)現(xiàn)病毒時，及時保護好資料，并清除病毒。2.1計算機病毒防范的概念和原則計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發(fā)現(xiàn)計算機病毒入侵，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統(tǒng)和數(shù)據(jù)。[7]計算機病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，即使是良性病毒，也要占有少量的系統(tǒng)空間，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒，能在很短的時間內(nèi)使整個計算機網(wǎng)絡處于癱瘓狀態(tài)，從而造成巨大的損失，因此，防治計算機病毒應以預防為主。2.2計算機病毒防范基本技術(shù)計算機病毒預防是在計算機病毒尚未入侵或剛剛?cè)肭郑?就攔截、阻擊計算機病毒的入侵或立即警報。目前在預防計算機病毒工具中采用的主要技術(shù)如下 [8] ：1、特征代碼技術(shù)特征代碼法被早期應用于 SCAN、CPAV等著名病毒檢測工具中，目前被認為是用來檢測己知病毒的最簡單、 開銷最小的方法。防毒軟件在最初的掃毒方式是將所有病毒的病毒碼加以剖析，并且將這些病毒獨有的特征搜集在一個病毒碼資料庫中，每當需要掃描該程序是否有毒的時候， 啟動殺毒軟件程序，以掃描的方11式與該病毒碼資料庫內(nèi)的現(xiàn)有資料一一比對，如果兩方資料皆有吻合之處的話，既判定該程序已遭病毒感染。特征代碼法的實現(xiàn)步驟如下 :采集已知病毒樣本。如果病毒既感染 .COM文件，又感染.EXE文件，那么要對這種病毒要同時采集.COM型病毒樣本和.EXE型病毒樣本。在病毒樣本中，抽取病毒特征代碼。在既感染.COM文件又感染.EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。將特征代碼納入病毒數(shù)據(jù)庫。檢測文件。打開被檢測文件，檢查文件中是否含有病毒碼，根據(jù)數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由特征代碼與病毒一一對應，便可以斷定，被查文件所感染的是何種病毒。2、校驗和技術(shù)通常，大多數(shù)的病毒都不是單獨存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。這樣防毒軟件在安裝的時候會自動將硬盤中的所有檔案資料做一次匯總并加以記錄，將正常文件的內(nèi)容計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)己知病毒又可發(fā)現(xiàn)未知病毒。運用校驗和檢查病毒采用三種方式 :在檢測病毒工具中納入校驗和，對被查的對象文件計算其正常狀態(tài)的校驗和，將校驗和寫入被查文件中或檢測工具中，而后進行比較；在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時，比較現(xiàn)行校驗和與原校驗和。實現(xiàn)應用程序的自檢測；將校驗和檢查程序常駐內(nèi)存，每當應用程序開始運行時，自動比較檢查應用程序內(nèi)部或別的文件中預先保存的校驗和。3、行為監(jiān)測法技術(shù)利用病毒的特有行為特征性來監(jiān)測病毒的方法， 稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程12序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。4、軟件模擬技術(shù)多態(tài)性病毒每次感染都會變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無法找出可能的作為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因為不知病毒的種類，難于做出殺毒處理，由此出現(xiàn)了一種新的軟件模擬法。有了病毒的一些基本知識后現(xiàn)在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷：1、反病毒軟件的掃描法這恐怕是我們絕大數(shù)朋友首選，也恐怕是唯一的選擇，現(xiàn)在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟件開發(fā)商帶來挑戰(zhàn)。但隨著計算機程序開發(fā)語言的技術(shù)性提高、計算機網(wǎng)絡越來越普及，病毒的開發(fā)和傳播是越來越容易了，因而反病毒軟件開發(fā)公司也是越來越多了。但目前比較有名的還是那么幾個系統(tǒng)的反病毒軟件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。2、觀察法這一方法只有在了解了一些病毒發(fā)作的癥狀及常棲身的地方才能準確地觀察到。如硬盤引導時經(jīng)常出現(xiàn)死機、系統(tǒng)引導時間較長、運行速度很慢、不能訪問硬盤、出現(xiàn)特殊的聲音或提示等上述在第一大點中出現(xiàn)的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡同走到底，軟、硬件出現(xiàn)故障同樣也可能出現(xiàn)那些癥狀。對于如此病毒引起的我們可以從以下幾個方面來觀察：a、內(nèi)存觀察這一方法一般用在DOS下發(fā)現(xiàn)的病毒，我們可用DOS下的“mem/c/p”命令來查看各程序占用內(nèi)存的情況，從中發(fā)現(xiàn)病毒占用內(nèi)存的情況（一般不單獨占用，而是依附在其它程序之中），有的病毒占用內(nèi)存也比較隱蔽，用“mem/c/p”發(fā)現(xiàn)不了它，但可以看到總的基本內(nèi)存640K之中少了那么區(qū)區(qū)1K或幾K。b、注冊表觀察法13這類方法一般適用于近來出現(xiàn)的所謂黑客程序， 如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達到自動啟動或加載的， 一般是在如下幾個地方實現(xiàn)：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]等等，在其中對注冊表中可能出現(xiàn)的地方會有一個比較詳盡的分析。c、系統(tǒng)配置文件觀察法這類方法一般也是適用于黑客類程序，這類病毒一般隱藏在 system.ini 、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell=”項，而在wini.ini文件中有“l(fā)oad=”、“run=”項，這些病毒一般就是在這些項目中加載它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。d、特征字符串觀察法這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特征代碼，如CIH病毒就會在入侵的文件中寫入“CIH”這樣的字符串，當然我們不可能輕易地發(fā)現(xiàn)，我們可以對主要的系統(tǒng)文件（如Explorer.exe)運用16進制代碼編輯器進行編輯就可發(fā)現(xiàn)，當然編輯之前最好還要備份，畢竟是主要系統(tǒng)文件。e、硬盤空間觀察法有些病毒不會破壞你的系統(tǒng)文件，而僅是生成一個隱藏的文件，這個文件一般內(nèi)容很少，但所占硬盤空間很大，有時大得讓你的硬盤無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然后把所查看的內(nèi)容屬性設置成可查看所有屬性的文件，相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性，到時刪除它即可。這方面的例子在平時也會碰到，明明只安裝了幾個常用程序，為什么在C盤之中幾個G的硬盤空間顯示就沒有了，經(jīng)過上述方法一般能很快地讓病毒顯形的。14連續(xù)長時間讀取內(nèi)存或者磁盤的空間突然減小、運行程序時死機等異常癥狀，這時我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對整個硬盤進行徹底的檢查。經(jīng)常對Windows進行更新可以有效地防止病毒的侵入,道高一尺，魔高一丈。即使我們做的夠多夠好，仍然無法應付最新的病毒爆發(fā)，這就需要我們在使用計算機的時候時刻保持清醒的頭腦，要密切注意計算機的異常癥狀。有了識別計算機病毒的方法，那計算機中毒都有哪些具體表現(xiàn)呢？根據(jù)計算機病毒感染和發(fā)作的階段，可以將計算機病毒的表現(xiàn)現(xiàn)象分為三大類，即：計算機病毒發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象[9]。計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象計算機病毒發(fā)作前，是指從計算機病毒感染計算機系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，直到激發(fā)條件滿足，計算機病毒發(fā)作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)的同時，又自我復制，以各種手段進行傳播。以下是一些計算機病毒發(fā)作前常見的表現(xiàn)現(xiàn)象：（１） 計算機經(jīng)常性無緣無故地死機病毒感染了計算機系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生。（２） 操作系統(tǒng)無法正常啟動關機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導。（３） 運行速度明顯變慢在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。（４）內(nèi)存不足的錯誤某個以前能夠正常運行的程序， 程序啟動的時候報系統(tǒng)內(nèi)存不足， 或者使用15應用程序中的某個功能時報說內(nèi)存不足。 這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。需要注意的是在Windows95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節(jié)，如果用“復制／粘貼”操作粘貼一段很大的文字到記事本程序時，也會報“內(nèi)存不足，不能完成操作”的錯誤，但這不是計算機病毒在作怪。（５） 打印和通訊發(fā)生異常硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發(fā)現(xiàn)無法進行打印操作，或打印出來的是亂碼。串口設備無法正常工作，比如調(diào)制解調(diào)器不撥號。這很可能是計算機病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務程序，使之不能正常工作。（６） 無意中要求對軟盤進行寫操作沒有進行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤，或者要求在讀取、復制寫保護的軟盤上的文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅(qū)中的時候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時候創(chuàng)建一個臨時文件，也有的安裝程序（如Office97）對軟盤有寫的操作。（７） 以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤在硬件和操作系統(tǒng)沒有進行改動的情況下，以前能夠正常運行的應用程序產(chǎn)生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的。（８） 系統(tǒng)文件的時間、日期、大小發(fā)生變化這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問、修改日期和時間也會被改成感染時的時間。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會修改它們的，除非是進行系統(tǒng)升級或打補丁。對應用程序使用到的數(shù)據(jù)文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。（９）word保存出現(xiàn)問題16運行Word，打開Word文檔后，該文件另存時只能以模板方式保存無法另存為一個DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。（10）磁盤空間迅速減少沒有安裝新的應用程序，而系統(tǒng)可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁、回收站中的文件過多、臨時文件夾下的文件數(shù)量過多過大、計算機系統(tǒng)有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows95/98下的內(nèi)存交換文件的增長，在Windows95/98下內(nèi)存交換文件會隨著應用程序運行的時間和進程的數(shù)量增加而增長，一般不會減少，而且同時運行的應用程序數(shù)量越多，內(nèi)存交換文件就越大。（11）網(wǎng)絡驅(qū)動器卷或共享目錄無法調(diào)用對于有讀權(quán)限的網(wǎng)絡驅(qū)動器卷、共享目錄等無法打開、瀏覽，或者對有寫權(quán)限的網(wǎng)絡驅(qū)動器卷、共享目錄等無法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對網(wǎng)絡驅(qū)動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網(wǎng)絡驅(qū)動器卷和共享目錄的正常訪問。（12）基本內(nèi)存發(fā)生變化在DOS下用mem/c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機系統(tǒng)感染了引導型計算機病毒所造成的。陌生人發(fā)來的電子函件收到陌生人發(fā)來的電子函件，尤其是那些標題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產(chǎn)品介紹；垃圾電子函件的內(nèi)容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件中計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節(jié)。當然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。17自動鏈接到一些陌生的網(wǎng)站沒有在上網(wǎng)，計算機會自動撥號并連接到因特網(wǎng)上一個陌生的站點，或者在上網(wǎng)的時候發(fā)現(xiàn)網(wǎng)絡特別慢，存在陌生的網(wǎng)絡鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠嬎銠C系統(tǒng)的信息“悄悄地”發(fā)回某個特定的網(wǎng)址，可以通過netstat命令查看當前建立的網(wǎng)絡鏈接，再比照訪問的網(wǎng)站來發(fā)現(xiàn)。需要注意的是有些網(wǎng)頁中有一些腳本程序會自動鏈接到一些網(wǎng)頁評比站點，或者是廣告站點，這時候也會有陌生的網(wǎng)絡鏈接出現(xiàn)。當然，這種情況也可以認為是非法的。一般的系統(tǒng)故障是有別于計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象，而計算機病毒感染所出現(xiàn)的現(xiàn)象會多得多。根據(jù)上述幾點，就可以初步判斷計算機和網(wǎng)絡是否感染上了計算機病毒。2．計算機病毒發(fā)作時的表征現(xiàn)象計算機病毒發(fā)作時是指滿足計算機病毒發(fā)作的條件，計算機病毒程序開始破壞行為的階段。計算機病毒發(fā)作時的表現(xiàn)大都各不相同，可以說一百個計算機病毒發(fā)作有一百種花樣。這與編寫計算機病毒者的心態(tài)、所采用的技術(shù)手段等都有密切的關系。以下列舉了一些計算機病毒發(fā)作時常見的表現(xiàn)現(xiàn)象：（1）提示一些不相干的話最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。（2）聲音異常惡作劇式的計算機病毒，最著名的是外國的“楊基”計算機病毒（Yangkee）和中國的“瀏陽河”計算機病毒。“楊基”計算機病毒發(fā)作是利用計算機內(nèi)置的揚聲器演奏《楊基》音樂，而“瀏陽河”計算機病毒更絕，當系統(tǒng)時鐘為9月9日時演奏歌曲《瀏陽河》，而當系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于“良性”計算機病毒，只是在發(fā)作時發(fā)出音樂和占用處理器資源。（3）產(chǎn)生特定的圖象另一類惡作劇式的計算機病毒， 比如小球計算機病毒，發(fā)作時會從屏幕上方18不斷掉落下來小球圖形。單純地產(chǎn)生圖象的計算機病毒大多也是“良性”計算機病毒，只是在發(fā)作時破壞用戶的顯示界面，干擾用戶的正常工作。（4）硬盤燈不斷閃爍硬盤燈閃爍說明有硬盤讀寫操作。當對硬盤有持續(xù)大量的操作時，硬盤的燈就會不斷閃爍，比如格式化或者寫入很大很大的文件。有時候?qū)δ硞€硬盤扇區(qū)或文件反復讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發(fā)作的時候?qū)τ脖P進行格式化，或者寫入許多垃圾文件，或反復讀取某個文件，致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計算機病毒大多是“惡性”計算機病毒。（5）進行游戲算法有些惡作劇式的計算機病毒發(fā)作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續(xù)他的工作。 比如曾經(jīng)流行一時的“臺灣一號”宏病毒，在系統(tǒng)日期為13日時發(fā)作，彈出對話框，要求用戶做算術(shù)題。這類計算機病毒一般是屬于“良性”計算機病毒，但也有那種用戶輸了后，進行破壞的“惡性”計算機病毒。（6）Windows桌面圖標發(fā)生變化這一般也是惡作劇式的計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象。 把Windows缺省的圖標改成其他樣式的圖標，或者將其他應用程序、快捷方式的圖標改成 Windows缺省圖標樣式，起到迷惑用戶的作用。（7）計算機突然死機或重啟有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發(fā)作時會造成意想不到情況；或者是計算機病毒在Autoexec.bat文件中添加了一句：Formatc：之類的語句，需要系統(tǒng)重啟后才能實施破壞的。（8）自動發(fā)送電子函件大多數(shù)電子函件計算機病毒都采用自動發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計算機病毒在某一特定時刻向同一個郵件服務器發(fā)送大量無用的信件，以達到阻塞該郵件服務器的正常服務功能的目的。(9）鼠標自己在動沒有對計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，19而屏幕上的鼠標自己在動，應用程序自己在運行，有受遙控的現(xiàn)象。大多數(shù)情況下是計算機系統(tǒng)受到了黑客程序的控制， 從廣義上說這也是計算機病毒發(fā)作的一種現(xiàn)象。需要指出的是，有些是計算機病毒發(fā)作的明顯現(xiàn)象， 比如提示一些不相干的話、播放音樂或者顯示特定的圖象等。 有些現(xiàn)象則很難直接判定是計算機病毒的表現(xiàn)現(xiàn)象，比如硬盤燈不斷閃爍，當同時運行多個內(nèi)存占用大的應用程序， 比如3DMAX，AdobePremiere等，而計算機本身性能又相對較弱的情況下，在啟動和切換應用程序的時候也會使硬盤不停地工作，硬盤燈不斷閃爍。計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象通常情況下，計算機病毒發(fā)作都會給計算機系統(tǒng)帶來破壞性的后果， 那種只是惡作劇式的“良性”計算機病毒只是計算機病毒家族中的很小一部分。 大多數(shù)計算機病毒都是屬于“惡性”計算機病毒。 “惡性”計算機病毒發(fā)作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發(fā)作后所造成的后果：硬盤無法啟動，數(shù)據(jù)丟失計算機病毒破壞了硬盤的引導扇區(qū)后， 就無法從硬盤啟動計算機系統(tǒng)了。 有些計算機病毒修改了硬盤的關鍵內(nèi)容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。系統(tǒng)文件丟失或被破壞通常系統(tǒng)文件是不會被刪除或修改的，除非對計算機操作系統(tǒng)進行了升級。但是某些計算機病毒發(fā)作時刪除了系統(tǒng)文件， 或者破壞了系統(tǒng)文件，使得以后無法正常啟動計算機系統(tǒng)。通常容易受攻擊的系統(tǒng)文件有 C，Emm386.exe，W，Kernel.exe，User.exe等等。文件目錄發(fā)生混亂目錄發(fā)生混亂有兩種情況。一種就是確實將目錄結(jié)構(gòu)破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據(jù)，再也無法恢復。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在有該計算機病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計算機病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復的。20部分文檔丟失或被破壞類似系統(tǒng)文件的丟失或被破壞，有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔，造成數(shù)據(jù)丟失。部分文檔自動加密碼還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件被加密，如果內(nèi)存中駐留有這種計算機病毒，那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密， 使得用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復了。修改Autoexec.bat文件，增加FormatC：一項，導致計算機重新啟動時格式化硬盤。在計算機系統(tǒng)穩(wěn)定工作后，一般很少會有用戶去注意Autoexec.bat文件的變化，但是這個文件在每次系統(tǒng)重新啟動的時候都會被自動運行，計算機病毒修改這個文件從而達到破壞系統(tǒng)的目的。使部分可軟件升級主板的BIOS程序混亂，主板被破壞。類似CIH計算機病毒發(fā)作后的現(xiàn)象，系統(tǒng)主板上的BIOS被計算機病毒改寫、破壞，使得系統(tǒng)主板無法正常工作，從而使計算機系統(tǒng)報廢。網(wǎng)絡癱瘓，無法提供正常的服務。由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統(tǒng)時要立即報警并清除，這樣才能確保系統(tǒng)安全，待計算機病毒發(fā)作后再去殺毒，實際上已經(jīng)為時已晚。發(fā)現(xiàn)了計算機病毒，那怎么辦？又有什么方法清除計算機病毒了？2.3清除計算機病毒的基本方法簡單的工具治療簡單工具治療是指使用 Debug等簡單的工具，借助檢測者對某種計算機病毒的具體知識，從感染計算機病毒的軟件中摘除計算機代碼。 但是，這種方法同樣對檢測者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。專用工具治療使用專用工具治療被感染的程序時通常使用的治療方法。專用計算機治療工具，根據(jù)對計算機病毒特征的記錄，自動清除感染程序中的計算機病毒代碼，21使之得以恢復。使用專用工具治療計算機病毒時，治療操作簡單、高效。從探索與計算機病毒對比的全過程來看，專用工具的開發(fā)商也是先從使用簡單工具進行治療開始，當治療獲得成功后，再研制相應的軟件產(chǎn)品，使計算機自動地完成全部治療操作。典型計算機病毒3.1引導區(qū)計算機病毒（1）引導區(qū)病毒概述[10]引導型病毒是一種在ROMBIOS之后，系統(tǒng)引導時出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS中斷服務程序。引導型病毒是利用操作系統(tǒng)的引導模塊放在某個固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù)，而不是以操作系統(tǒng)引導區(qū)的內(nèi)容為依據(jù)，因而病毒占據(jù)該物理位置即可獲得控制權(quán)，而將真正的引導區(qū)內(nèi)容搬家轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，將控制權(quán)交給真正的引導區(qū)內(nèi)容，使得這個帶病毒的系統(tǒng)看似正常運轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機傳染、發(fā)作。它會感染在該系統(tǒng)中進行讀寫操作的所有軟盤，然后再由這些軟盤以復制的方式和引導進入到其他計算機系統(tǒng)，感染其他計算機的操作系統(tǒng)。（2）清除消除這類計算機病毒的基本思想是：用原來正常的分區(qū)表信息或引導扇區(qū)信息，覆蓋掉計算機病毒程序。此時，如果用戶實現(xiàn)提取并保存了自己硬盤中分區(qū)表的信息和DOS分區(qū)引導區(qū)信息，那么，恢復工作變得非常簡單?？梢灾苯佑肈ebug將這兩種引導扇區(qū)的內(nèi)容分別存入內(nèi)存，然后分別寫回它的原來位置，這樣就清除了計算機病毒，對于軟盤也可以用同類正常軟盤的引導扇區(qū)內(nèi)容進行覆蓋。如果沒有實現(xiàn)保留硬盤中的這些信息，則恢復起來要麻煩些。對于那些對分區(qū)表和引導扇區(qū)內(nèi)容進行搬移的計算機病毒，則要分析這段計算機病毒程序，找到被搬移的正常引導扇區(qū)內(nèi)容的存放地址，將它們讀到內(nèi)存中，寫回到被計算機病毒程序侵占的扇區(qū)；如果對于那些不對分區(qū)進行搬移的計算機病毒，如“2708”病毒，則只有從一個與該計算機硬盤相近的機器中提取出正常的分區(qū)記錄的信息，將其讀入內(nèi)存，再將被計算機病毒覆蓋的分區(qū)記錄也讀到內(nèi)存中， 取其尾部22字節(jié)分區(qū)信息內(nèi)容，放到讀入的正常分區(qū)記錄內(nèi)容的相應部分，最后再將內(nèi)容寫回硬盤。3.2文件型計算機病毒文件型病毒概述文件型病毒與引導區(qū)型病毒工作的方式是完全不同的， 在各種PC機病毒中，文件型病毒占的數(shù)目最大，傳播得廣，采用的技巧也多。文件型病毒是對源文件進行修改，使其成為新的文件。文件型病毒分兩類：一種是將病毒加在COM前部，一種是加在文件尾部。文件型病毒傳染的對象主要是.COM和.EXE文件。我們把所有通過操作系統(tǒng)的文件系統(tǒng)進行感染的病毒都稱作文件病毒，所以這是一類數(shù)目非常巨大的病毒。理論上可以制造這樣一個病毒，該病毒可以感染基本上所有操作系統(tǒng)的可執(zhí)行文件。目前已經(jīng)存在這樣的文件病毒，可以感染所有標準的DOS可執(zhí)行文件：包括批處理文件、DOS下的可加載驅(qū)動程序（.SYS）文件以及普通的COM／EXE可執(zhí)行文件。當然還有感染所有視窗操作系統(tǒng)可執(zhí)行文件的病毒，可感染文件的種類包括：視窗3.X版本，視窗9X版本，視窗NT和視窗2000版本下的可執(zhí)行文件，后綴名是EXE、DLL或者VXD、SYS。除此之外，還有一些病毒可以感染高級語言程序的源代碼，開發(fā)庫和編譯過程所生成的中間文件。病毒也可能隱藏在普通的數(shù)據(jù)文件中，但是這些隱藏在數(shù)據(jù)文件中的病毒不是獨立存在的，必須需要隱藏在普通可執(zhí)行文件中的病毒部分來加載這些代碼。從某種意義上，宏病毒—隱藏在字處理文檔或者電子數(shù)據(jù)表中的病毒也是一種文件型病毒。（2）清除步驟[10]確定計算機病毒程序的位置，是駐留在文件尾部還是在文件首部；找到計算機病毒程序的首部位置 （對應于在文件尾部駐留方式） ，或者尾部位置（對應于在文件首部駐留方式）；恢復原文件頭部的參數(shù)；修改文件長度，將源文件寫回。3.3腳本型計算機病毒（1）腳本型病毒的概述23主要采用腳本語言設計的病毒稱其為腳本病毒。實際上在早期的系統(tǒng)中，計算機病毒就已經(jīng)開始利用腳本進行傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當它和一些傳統(tǒng)的惡性病毒相結(jié)合時，其危害就更為嚴重了。（2）清除[11]1.禁用文件系統(tǒng)對象 FileSystemObject；2.卸載WindowsScriptingHost ；刪除vbs，vbe，js，jse文件后綴與應用程序映射；在Windows目錄中，找到WScript.exe，更改名稱或者刪除；自定義安全級別；禁止Outlook，OutlookExpress的自動手法郵件功能；顯示擴展名；將系統(tǒng)的網(wǎng)絡連接的安全級別設置至少為“中等；安裝、使用殺毒軟件。3.4特洛伊木馬病毒（1）特洛伊木馬的概述特洛伊木馬也叫黑客程序或后門病毒， 是指隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易察覺，是一種極為危險的網(wǎng)絡攻擊手段。2）清除[12]備份重要數(shù)據(jù)；立即關閉設備電源；備份木馬入侵現(xiàn)場；修復木馬危害。3.5蠕蟲病毒（1）蠕蟲病毒概述凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。 所以從這個意義上說，蠕蟲也是一種病毒！網(wǎng)絡蠕蟲病毒，作為對互聯(lián)網(wǎng)危害嚴重的 一24種計算機程序，其破壞力和傳染性不容忽視。 與傳統(tǒng)的病毒不同，蠕蟲病毒以計算機為載體，以網(wǎng)絡為攻擊對象?。?）清除：與防火墻互動；交換機聯(lián)動；通知HIDS（基于主機的入侵檢測）；報警。結(jié)尾：魔高一尺，道高一丈。我們相信，只要知己知彼，我們一定會在與計算機病毒進行的這場持久戰(zhàn)中取得最終的勝利！計算機病毒的發(fā)展趨勢隨著網(wǎng)絡的發(fā)展，計算機病毒有了新變化，顯現(xiàn)出一些新的特點，只有對計算機病毒的新動向，新特點以及新技術(shù)有全面的了解， 才能跟蹤日新月異的計算機病毒技術(shù)發(fā)展趨勢，使反計算機病毒技術(shù)朝著更高效的目標邁進， 才能更有效地在網(wǎng)絡上禁毒，保證網(wǎng)絡的安全運行。從某種意義上說，21世紀是計算機病毒與反病毒激烈角逐的時代， 而智能化、人性化、平民化、多樣化也在逐漸成為新世紀計算機病毒的發(fā)展趨勢。（1）智能化與傳統(tǒng)的計算機病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術(shù)實現(xiàn)，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。例如“愛蟲”病毒是用VBScript語言編寫的，只要通過Windows下自帶的編輯軟件修改病毒代碼中的一部分，就能輕而易舉地制造病毒變種，以躲避反病毒軟件的追擊。（2）人性化病毒制造者充分利用心理學的知識，注重針對人類的心理如好奇，貪婪等制造出種種計算機病毒，其主題、文件名更人性化和極具誘惑力。如“My-babypic”計算機病毒，就是通過可愛寶寶的照片傳播計算機病毒。（3）平民化由于腳本語言的廣泛使用，專用計算機病毒生成工具的流行， 計算機病毒制造已經(jīng)變成了“小學生的游戲”。以前的計算機病毒制作者都是專家，編寫計算25機病毒在于表現(xiàn)自己高超的技術(shù)， 但是，現(xiàn)在的計算機病毒制作者利用部分相關資源，容易制造計算機病毒。例如“庫爾尼科娃”計算機病毒的設計者只是下載并修改了vbs蠕蟲孵化器，就制造出了“庫爾尼科娃”計算機病毒。正是由于這類工具太容易得到，使得現(xiàn)在新計算機病毒出現(xiàn)的頻率超出以往任何時候。（4）多樣化新計算機病毒層出不窮，老計算機病毒也充滿活力，并呈現(xiàn)多樣化的趨勢。1999年普遍發(fā)作的計算機病毒分析顯示，雖然新計算機病毒不斷產(chǎn)生，但較早的計算機病毒發(fā)作仍很普遍。 1999年報道最多的計算機病毒是 1996年就首次發(fā)現(xiàn)并到處傳播的宏病毒“Laroux”。新計算機病毒可以感染執(zhí)行程序，腳本文件和HTML網(wǎng)頁等多種形式，并正向電子郵件，網(wǎng)上賀卡，卡通圖片， ICQ和OICQ等發(fā)展。更為棘手的是，新計算機病毒的手段更加陰狠，破壞性更強。參考文獻：秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：1賴英旭.計算機病毒與防范技術(shù)[M]，北京:清華大學出版社，2011:32-34韓蘭勝.計算機病毒原理與防治技術(shù)[M]，武漢:華中科技大學出版社，2010:13-15韓筱卿.計算機病毒分析與防范大全[M]，北京:電子工業(yè)出版社，2006:14秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：15程勝利.計算機病毒及其防治技術(shù)[M]，北京:清華大學出版社，2005：54-55秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：93程勝利.計算機病毒及其防治技術(shù)[M]，北京:清華大學出版社，2007：241-252韓筱卿.計算機病毒分析與防范[M]，北京:電子工業(yè)出版社，2006:45-49秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：104-11226張仁斌.計算機病毒與反病毒技術(shù)[M]，北京:清華大學出版社，2006：219-236賴英旭.計算機病毒與防范技術(shù)[M]，北京:清華大學出版社，2011:48-62致謝首先感謝我的導師郝艷華。本文從開題、寫作直至最終定稿，郝老師給予了諸多建設性建議，并在百忙之中三閱其稿。恩師嚴謹?shù)闹螌W態(tài)度、科學的治學方法、淵博的學識、誨人不倦的精神和平易近人的工作作風令我景仰和敬慕， 并將使我終生受益。也感謝在一起愉快的度過畢業(yè)論文小組的同學們， 正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。27贈送以下資料學院本科生畢業(yè)論文（設計）開題報告姓名**性別女學號**********院－系教師教育學院專業(yè)小學教育（文科方年級2006級論文題淺論小學語文課堂教學情境的創(chuàng)設□教師推薦題目□自擬題28題目來 教育教學 題目類別 理論研究 指導教師 **選題的目的、意義 (理論意義、現(xiàn)實意義 ):選題的目的：本文通過對教學情境及語文課堂教學情境的定義、 教學情境在小學語文課堂中的作用的分析和闡述，提出創(chuàng)設有效語文課堂教學情境的措施及創(chuàng)設時應注意的問題，目的是為小學生營造一個較好的學習環(huán)境，讓小學生在愉快的課堂情境中，學會思考、陶冶情操、調(diào)動學生學習的積極性，讓學生真正成為學習的主人，變“要我學”為“我要學”。同時也便于教師充分發(fā)揮主導作用，達到最佳的教學效果。選題的意義：在新課程改革理念的指導下，如何營造自主、合作、探索的空間無疑顯得很重要。而創(chuàng)設課堂教學情境，實現(xiàn)師生互動是營造這一空間的有效方法?！墩Z文課程標準》中指出：語文教學應激發(fā)學生的學習興趣，注重培養(yǎng)學生自主學習的意識和習慣，為學生創(chuàng)設良好的自主學習情境。蘇聯(lián)心理學家贊可夫說：“教學法一旦觸及學生的情緒和意志領域，觸及學生的精神需要，這種教學法就會產(chǎn)生高度有效的作用?！币虼?，創(chuàng)設一個積極、和諧、融洽的教學情境，不僅可以有效地提高教學效果，還可以促進學生的個性發(fā)展，也符合《語文課程標準》的要求。創(chuàng)設教學情境有利于學生循著知識產(chǎn)生的脈絡去準確把握學習的內(nèi)容；有利于激發(fā)學生的學習興趣。有利于激發(fā)學生的思想感情。積極健康的學習心態(tài)是兒童開展智力活動的助推器，也是優(yōu)化課堂教學的催化劑，而語文課堂教學的情景創(chuàng)設則是調(diào)動學生內(nèi)心情感的基本手段。在語文課堂教學中創(chuàng)設教學情境，不僅可以優(yōu)化語文教學過程，使學生產(chǎn)生濃厚的興趣，而且可以獲得比傳統(tǒng)教學更明顯的教學效果。29選題的研究現(xiàn)狀（理論淵源及演化、國外相關研究綜述、國內(nèi)相關研究綜述）：國外的相關研究：情境教學的教學模式在教學實踐中的運用不是現(xiàn)在就有的。在西方古希臘羅馬時期的教育思想里，就有情境教學思想的萌芽。三百多年前，捷克教育家夸美紐斯在《大教學論》中寫道：“一切知識都是從感官開始的，假如有一個東西能夠同時在幾個感官上面留下印象，它便應當和幾個感官去接觸。”而且夸美紐斯認為這是教學中的“金科玉律”。情境教學不僅能讓學生在愉悅輕松的氛圍中學習， 促使學生始終情緒飽滿， 而且能使學生如臨其境， 激發(fā)學生的學習