計(jì)算機(jī)安全技術(shù)與病毒防治

計(jì)算機(jī)病毒概述引導(dǎo)扇區(qū)型病毒文件型病毒宏病毒其他類型的病毒5.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。這種特殊功能主要體現(xiàn)在三個(gè)方面：復(fù)制性、隱蔽性和破壞性。

20世紀(jì)70年代，美國出版了兩本科幻小說：《震蕩波騎士》和《P1的青春》。

第一個(gè)被稱作計(jì)算機(jī)病毒程序是在1983年11月，由弗雷德·科恩博士研制出來的。

1988年由羅伯特·莫里斯編寫的“蠕蟲病毒”，是一次非常典型的計(jì)算機(jī)病毒人侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，迫使美國政府立即作出反應(yīng)，國防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組。5.1計(jì)算機(jī)病毒概述5.1.1病毒的產(chǎn)生

計(jì)算機(jī)病毒是一種高技術(shù)犯罪的毒果，另一方面，計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是引發(fā)病毒產(chǎn)生的根本原因，為病毒的侵人提供了客觀方便。

病毒制造者的動(dòng)機(jī)主要有：①開個(gè)玩笑，一個(gè)惡作劇。②產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。③用于版權(quán)保護(hù)。④用于特殊目的。5.1計(jì)算機(jī)病毒概述5.1.2病毒的發(fā)展過程（1）DOS引導(dǎo)階段（2）DOS可執(zhí)行階段（3）伴隨、批次型階段（4）幽靈、多形階段（5）生成器、變體機(jī)階段（6）網(wǎng)絡(luò)、蠕蟲階段（7）Windows階段（8）宏病毒階段（9）互聯(lián)網(wǎng)階段（l0）爪哇、郵件炸彈階段5.1.3病毒的破壞行為1.攻擊系統(tǒng)數(shù)據(jù)區(qū)2.攻擊文件3.攻擊內(nèi)存4.干擾系統(tǒng)運(yùn)行5.各種設(shè)備異常5.1計(jì)算機(jī)病毒概述5.1.4病毒的傳播方式病毒的傳播途徑有五種：(1)利用電磁波(2)利用有線線路傳播(3)直接放毒(4)利用微波傳輸(5)利用軍用或民用設(shè)備傳播5.1計(jì)算機(jī)病毒概述5.1.5病毒程序的結(jié)構(gòu)它們的主要結(jié)構(gòu)包含三個(gè)部分：引導(dǎo)部分、傳染部分、表現(xiàn)部分。引導(dǎo)部分的作用是借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存，以便傳染部分和表現(xiàn)部分進(jìn)人活動(dòng)狀態(tài)。它所做的工作有：駐留內(nèi)存，修改中斷，修改高端內(nèi)存，保存原中斷向量等操作。另外，引導(dǎo)部分還可以根據(jù)特定的計(jì)算機(jī)系統(tǒng)，將分別存放的病毒程序鏈接在一起，重新進(jìn)行裝配，形成新的病毒程序，破壞計(jì)算機(jī)系統(tǒng)。5.1計(jì)算機(jī)病毒概述傳染部分的作用是將病毒代碼復(fù)制到傳染目標(biāo)上去，是病毒的核心。一般復(fù)制傳染的速度比較快，不會(huì)引起用戶的注意，同時(shí)還要盡可能擴(kuò)大染毒范圍。病毒的傳染模塊大致由兩部分組成：條件判斷部分，程序主體部分。表現(xiàn)部分是病毒間差異最大的部分，前兩個(gè)部分也是為這部分服務(wù)的。5.1.6病毒的本質(zhì)計(jì)算機(jī)病毒的本質(zhì)是一組計(jì)算機(jī)指令或者程序代碼，是一種可存儲(chǔ)、可執(zhí)行的特殊程序。5.1計(jì)算機(jī)病毒概述5.1.7病毒的基本特征計(jì)算機(jī)病毒在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中定義為：“指編制或者在計(jì)算機(jī)程序中插人的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。有復(fù)制傳染的功能，有表現(xiàn)破壞的功能，有隱藏的手段。它還具有衍生性。1.傳染性2.隱蔽性3.破壞性5.1計(jì)算機(jī)病毒概述5.1.8病毒的分類計(jì)算機(jī)病毒的類型根據(jù)不同的角度各有不同：按傳染方式：引導(dǎo)型病毒、文件型病毒和混合型病毒；按連接人侵方式：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒；按病毒存在的媒體：網(wǎng)絡(luò)病毒、文件病毒、引導(dǎo)型病毒；按其駐留的方法：駐留型病毒和非駐留型病毒；按其表現(xiàn)性質(zhì)：良性病毒和惡性病毒；按寄生方式：內(nèi)存宿主型病毒和磁盤宿主型病毒；根據(jù)病毒破壞的能力：無害型、無危險(xiǎn)型、危險(xiǎn)型、非常危險(xiǎn)型等。5.1計(jì)算機(jī)病毒概述1．引導(dǎo)型病毒引導(dǎo)型病毒，感染對(duì)象是計(jì)算機(jī)存儲(chǔ)介質(zhì)的引導(dǎo)扇區(qū)。病毒將自身的全部或部分程序取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在介質(zhì)的其他存儲(chǔ)空間。2．文件病毒文件病毒是文件侵染者，也被稱為寄生病毒。它運(yùn)行在計(jì)算機(jī)內(nèi)存里，通常它感染帶有.COM，.EXE，.DRV，擴(kuò)展名的可執(zhí)行文件。它們每一次激活時(shí)，感染文件把自身復(fù)制到其他可執(zhí)行文件中，并能在內(nèi)存中保存很長時(shí)間，直到病毒又被激活。當(dāng)用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。5.1計(jì)算算機(jī)機(jī)病病毒毒概概述述3.宏宏病病毒毒4.源源碼碼病病毒毒5.入入侵侵型型病病6.操操作作系系統(tǒng)統(tǒng)病病毒毒7.外外殼殼病病毒毒8.駐駐留留型型病病毒毒9.感感染染計(jì)計(jì)算算機(jī)機(jī)后后10.無無害害型型病病毒毒根據(jù)據(jù)病病毒毒特特有有的的算算法法，，病病毒毒還還可可以以劃劃分分為為：：伴伴隨隨型型病病毒毒；；““蠕蠕蟲蟲””型型病病毒毒；；練練習(xí)習(xí)型型病病毒毒，，自自身身包包含含錯(cuò)錯(cuò)誤誤，，不不能能進(jìn)進(jìn)行行很很好好的的傳傳播播，，例例如如一一些些病病毒毒在在調(diào)調(diào)試試階階段段；；詭詭秘秘型型病病毒毒，，一一般般不不直直接接修修改改DOS中中斷斷和和扇扇區(qū)區(qū)數(shù)數(shù)據(jù)據(jù)，，而而是是通通過過設(shè)設(shè)備備技技術(shù)術(shù)和和文文件件緩緩沖沖區(qū)區(qū)等等DOS內(nèi)內(nèi)部部修修改改，，不不易易看看到到資資源源，，使使用用比比較較高高級(jí)級(jí)的的技技術(shù)術(shù)，，利利用用DOS空空閑閑的的數(shù)數(shù)據(jù)據(jù)區(qū)區(qū)進(jìn)進(jìn)行行工工作作；；變變型型病病毒毒（（又又稱稱幽幽靈靈病病毒毒）），，使使用用一一個(gè)個(gè)復(fù)復(fù)雜雜的的算算法法，，使使自自己己每每傳傳播播一一份份都都具具有有不不同同的的內(nèi)內(nèi)容容和和長長度度。。它它們們一一般般由由一一段段混混有有無無關(guān)關(guān)指指令令的的解解碼碼算算法法和和被被變變化化過過的的病病毒毒體體組組成成。。5.2引引導(dǎo)扇區(qū)型病病毒3.2.1硬硬盤主引導(dǎo)導(dǎo)記錄和引導(dǎo)導(dǎo)扇區(qū)硬盤的主引導(dǎo)導(dǎo)分區(qū)是磁道道號(hào)為0、磁磁頭號(hào)為0、、扇區(qū)號(hào)為1（C－0，，H－0，R＝l）的扇扇區(qū)，它是硬硬盤的第一個(gè)個(gè)物理扇區(qū)。。主引導(dǎo)分區(qū)區(qū)中的數(shù)據(jù)由由硬盤主引導(dǎo)導(dǎo)記錄和硬盤盤分區(qū)表組成成，最后2個(gè)個(gè)字節(jié)是55H、AAH。主引導(dǎo)記記錄占用位置置000～0EFH，硬硬盤分區(qū)表占占用位置01BE～01FEH。分分區(qū)表包含4個(gè)16字節(jié)節(jié)的表項(xiàng)，共共64個(gè)字節(jié)節(jié)，每一個(gè)表表項(xiàng)描述一個(gè)個(gè)分區(qū)，表項(xiàng)項(xiàng)的內(nèi)容參見見P150表表5-1所示示。5.2引引導(dǎo)扇區(qū)型病病毒5.2.22708病毒的分析析2708病毒毒是一種引導(dǎo)導(dǎo)型病毒，它它在傳染軟盤盤時(shí)，把正常常引導(dǎo)扇區(qū)放放到磁盤的1面27道(以十六進(jìn)制制表示)08扇區(qū)，因此此取名為2708病毒。。在病毒發(fā)作作時(shí)，病毒程程序?qū)IOS中的打印印端口地址數(shù)數(shù)據(jù)置0，從從而封鎖打印印機(jī)。1．2708病毒的引導(dǎo)導(dǎo)過程2．2708病毒的傳播播方式3．2708病毒的發(fā)作作2708病毒毒在傳染硬盤盤主引導(dǎo)扇區(qū)區(qū)后，每次從從硬盤啟動(dòng)時(shí)時(shí)，都會(huì)將啟啟動(dòng)次數(shù)加1，并將這這個(gè)計(jì)數(shù)器保保存在主引導(dǎo)導(dǎo)扇區(qū)中。當(dāng)當(dāng)啟動(dòng)次數(shù)達(dá)達(dá)到32次后后，計(jì)數(shù)器不不再增加，覆覆蓋BIOS區(qū)域中的并并口和串口地地址，而不能能進(jìn)行打印操操作。5.2引引導(dǎo)扇區(qū)型病病毒5.2.3引引導(dǎo)型病毒毒的檢測和防防治1．引導(dǎo)型病病毒的引導(dǎo)過過程引導(dǎo)型病毒在在系統(tǒng)起動(dòng)時(shí)時(shí)，在正常系系統(tǒng)引導(dǎo)之前前將其自身裝裝入到系統(tǒng)中中。在傳染硬硬盤時(shí)它覆蓋蓋了硬盤的主主引導(dǎo)扇區(qū)或或DOS引導(dǎo)導(dǎo)扇區(qū)，在傳傳染軟盤時(shí)則則覆蓋了引導(dǎo)導(dǎo)扇區(qū)。在系系統(tǒng)引導(dǎo)時(shí)，，ROMBIOS把這這些扇區(qū)的內(nèi)內(nèi)容讀入內(nèi)存存并執(zhí)行。這這樣，病毒程程序就獲得了了控制權(quán)。它它首先把自己己復(fù)制到內(nèi)存存高端，在完完成安裝過程程后再繼續(xù)DOS引導(dǎo)過過程。為了保保護(hù)內(nèi)存高端端的病毒程序序不被系統(tǒng)使使用，要將內(nèi)內(nèi)存容量減少少若干KB。。2．引導(dǎo)型病病毒的傳播方方式引導(dǎo)型病毒的的傳染對(duì)象是是軟盤的引導(dǎo)導(dǎo)扇區(qū)和硬盤盤的主引導(dǎo)扇扇區(qū)及硬盤DOS引導(dǎo)扇扇區(qū)。5.2引引導(dǎo)扇區(qū)型病病毒3．引導(dǎo)型病病毒的表現(xiàn)形形式在滿足特定條條件后，就會(huì)會(huì)激活病毒的的表現(xiàn)模塊。。而病毒的表表現(xiàn)方式，可可以說是各種種各樣，它集集中體現(xiàn)了病病毒炮制者的的企圖。4．引導(dǎo)型病病毒的檢測對(duì)于這這類病病毒的的診斷斷比文文件型型病毒毒要容容易得得多，，可以以從以以下幾幾個(gè)方方面進(jìn)進(jìn)行診診斷：：（1））察看看系統(tǒng)統(tǒng)內(nèi)存存容量量是否否減少少。(0:0413一一個(gè)字字)（2））檢查查系統(tǒng)統(tǒng)高端端內(nèi)存存中是是否有有病毒毒代碼碼。（3））檢查查軟盤盤的引引導(dǎo)扇扇區(qū)和和硬盤盤的主主引導(dǎo)導(dǎo)扇區(qū)區(qū)及硬硬盤DOS引導(dǎo)導(dǎo)扇區(qū)區(qū)。5.2引引導(dǎo)導(dǎo)扇區(qū)區(qū)型病病毒用DEBUG讀讀入引引導(dǎo)扇扇區(qū)的的方法法：A）DEBUG-A100XXXX：：0100MOVAX，，0201XXXX：：0103MOVBX，，7C00XXXX：：0106MOVCX，，0001XXXX：：0109MOVDX，，0080XXXX:010CINT13XXXX:010EINT3XXXX：：010F-G-L100001-L300201-Q5.2引引導(dǎo)導(dǎo)扇區(qū)區(qū)型病病毒5．引引導(dǎo)型型病毒毒的清清除在檢測測到磁磁盤被被引導(dǎo)導(dǎo)型病病毒感感染以以后，，消除除病毒毒的思思路是是用正正常的的系統(tǒng)統(tǒng)引導(dǎo)導(dǎo)程序序覆蓋蓋引導(dǎo)導(dǎo)扇區(qū)區(qū)中的的病毒毒程序序。如如果在在被病病毒感感染以以前，，讀取取并保保存了了硬盤盤主引引導(dǎo)扇扇區(qū)和和DOS引引導(dǎo)扇扇區(qū)中中的內(nèi)內(nèi)容，，就很很容易易清除除病毒毒?？煽梢杂糜肈EBUG把把保存存的內(nèi)內(nèi)容讀讀入內(nèi)內(nèi)存，，再寫寫入引引導(dǎo)扇扇區(qū)。。引導(dǎo)導(dǎo)扇區(qū)區(qū)中的的病毒毒即被被正常常引導(dǎo)導(dǎo)程序序所替替代。。假如如MBP.DAT和BOOT.DAT分別別保存存的是是硬盤盤的主主引導(dǎo)導(dǎo)扇區(qū)區(qū)和DOS引引導(dǎo)扇扇區(qū)的的內(nèi)容容，長長度為為512字節(jié)節(jié)。按按以下下步驟驟執(zhí)行行：A＞DEBUG—NMBP.DAT—L7C00—NB00T.DAT—L7E00—A100XXXX:0100MOVAX,0301XXXX:0103MOVBX,7C00XXXX:0106MOVCX,0001XXXX:0109MOVDX,0080XXXX:010CINT13XXXX:010EINT3XXXX：：010F—G—W7E00201—Q備份：：-L100001-NBOOT.DAT-RCXCX:200-W-Q備份主主引導(dǎo)導(dǎo)記錄錄：—A100MOVAX,0201MOVBX,7C00MOVCX,0001MOVDX,0080INT13INT3—G-NMBP.DAT-RCXCX:200-RBXBX:0000-W-Q5.2引引導(dǎo)導(dǎo)扇區(qū)區(qū)型病病毒如果沒沒有保保存引引導(dǎo)扇扇區(qū)的的信息息，則則清除除其中中的病病毒比比較困困難。。對(duì)于于那些些把引引導(dǎo)扇扇區(qū)內(nèi)內(nèi)容轉(zhuǎn)轉(zhuǎn)移到到其他他扇區(qū)區(qū)中的的病毒毒，需需要分分析病病毒程程序的的引導(dǎo)導(dǎo)代碼碼，找找出正正常引引導(dǎo)扇扇區(qū)內(nèi)內(nèi)容的的存放放地址址，把把它們們讀入入內(nèi)存存，再再按上上面介介紹的的方法法寫到到引導(dǎo)導(dǎo)扇區(qū)區(qū)中。。而對(duì)對(duì)于那那些直直接覆覆蓋引引導(dǎo)扇扇區(qū)的的病毒毒，則則必須須從其其他微微機(jī)中中讀取取正常常的引引導(dǎo)程程序。。對(duì)于硬硬盤DOS引導(dǎo)導(dǎo)扇區(qū)區(qū)中的的病毒毒，可可以用用和硬硬盤上上相同同版本本的DOS（從從軟盤盤）啟啟動(dòng)，，再執(zhí)執(zhí)行SYSC：命命令傳傳送系系統(tǒng)到到C盤，，即可可以清清除硬硬盤DOS引引導(dǎo)扇扇區(qū)中中的病病毒。。5.3文文件型型病毒毒5.3.1COM文件件格式式COM文件件中只只使用用一個(gè)個(gè)段，，文件件中的的程序序和數(shù)數(shù)據(jù)的的大小小限制制在64KB內(nèi)內(nèi)。在在執(zhí)行行一個(gè)個(gè)COM文文件時(shí)時(shí)，DOS分配配一個(gè)個(gè)內(nèi)存存塊，，包括括所有有的可可用內(nèi)內(nèi)存空空間。。在內(nèi)內(nèi)存塊塊的最最前面面為該該程序序建立立程序序段前前綴PSP。PSP的大大小為為100H字節(jié)節(jié)。COM文件件的內(nèi)內(nèi)容直直接讀讀人到到PSP之之后的的內(nèi)存存。四四個(gè)段段寄存存器CS、、DS、ES、、SS都被被初始始化為為PSP的的段地地址，，堆棧棧指針針SP被設(shè)設(shè)置為為FFFEH，，指令令指針針I(yè)P設(shè)置置為0100H。然然后開開始執(zhí)執(zhí)行這這個(gè)COM程序序5.3文文件型型病毒毒5.3.2EXE文件件格式式EXE文件件中可可包含含多個(gè)個(gè)段，，每個(gè)個(gè)段的的大小小在64KB內(nèi)內(nèi)，但但文件件中的的程序序、數(shù)數(shù)據(jù)總總的大大小可可以超超過64KB。。EXE文文件分分為兩兩個(gè)部部分，，EXE文文件頭頭和裝裝入模模塊。。文件件頭描描述關(guān)關(guān)于整整個(gè)EXE文件件的一一些信信息，，在裝裝入過過程中中由DOS使用用。EXE文件件的格格式如如P157圖5-3所示示.在執(zhí)行行一個(gè)個(gè)EXE文文件時(shí)時(shí)，分分配內(nèi)內(nèi)存塊塊、生生成環(huán)環(huán)境段段、建建立PSP的過過程和和執(zhí)行行COM文文件時(shí)時(shí)完全全相同同。EXE文件件中裝裝入模模塊的的內(nèi)容容直接接讀人人到PSP之后后的內(nèi)內(nèi)存，，內(nèi)存存的段段被稱稱為起起始段段值。。DS、ES初初始化化為PSP的段段地址址，CS、、IP和SS、、SP根據(jù)據(jù)文件件頭中中相應(yīng)應(yīng)字段段的內(nèi)內(nèi)容進(jìn)進(jìn)行初初始化化，CS和和SS的內(nèi)內(nèi)容再再加上上起始始段值值。5.3文文件型型病毒毒5.3.3黑色色星期期五病病毒分分析1．黑黑色星星期五五病毒毒的特特點(diǎn)黑色星星期五五病毒毒是一一種文文件型型病毒毒。它它駐留留在后后綴為為COM和和EXE文文件中中。當(dāng)當(dāng)運(yùn)運(yùn)行帶帶病毒毒的文文件時(shí)時(shí)，病病毒程程序首首先獲獲得控控制。。如果果系統(tǒng)統(tǒng)中還還沒有有駐留留這種種病毒毒，則則將其其自身身駐留留，修修改系系統(tǒng)的的INT21H和和INT8H中斷斷向量量，指指向病病毒程程序的的相應(yīng)應(yīng)位置置，之之后再再執(zhí)行行原文文件中中的程程序。。2．黑黑色星星期五五病毒毒的組組成引導(dǎo)駐留部部分、傳播播部分、破破壞（表現(xiàn)現(xiàn)）部分。。5.3文文件型病毒毒(1)引導(dǎo)導(dǎo)駐留部分分文件運(yùn)行時(shí)時(shí)，根據(jù)INT21H的E0H功能能的返回值值，判斷當(dāng)當(dāng)前系統(tǒng)是是否已被病病毒感染。。如未被感感染，則截截獲INT21H和INT8H向向量，使它它們指向病病毒程序的的相應(yīng)部分分。病毒程程序?qū)⒆陨砩硪苿?dòng)到內(nèi)內(nèi)存的某一一位置，從從XXXX:0000至XXXX:0710H。病毒程程序?qū)⒆陨砩眈v留后，，才轉(zhuǎn)去執(zhí)執(zhí)行原可執(zhí)執(zhí)行文件。。（2）傳播播部分病毒駐留系系統(tǒng)，運(yùn)行行一個(gè)可執(zhí)執(zhí)行文件，，則傳染該該文件。病病毒程序?qū)⒆x寫指針針移到文件件尾部，判判斷文件尾尾部是否有有標(biāo)識(shí)“4D73446F73”，如如果有，則則感染該文文件再執(zhí)行行該文件中中的原有程程序；如果果沒有病毒毒標(biāo)識(shí)，則則認(rèn)為該文文件未被感感染。5.3文文件型病毒毒感染步驟：：病毒程序序首先將文文件建立日日期時(shí)間、、屬性保存存下來，再再修改文件件屬性。然然后病毒將將自身鏈接接于文件之之中，并修修改文件長長度。最后后，恢復(fù)原原文件的屬屬性和建立立日期時(shí)間間。病毒在在感染文件件后，再轉(zhuǎn)轉(zhuǎn)去執(zhí)行原原文件，使使用戶難于于發(fā)現(xiàn)病毒毒的感染。。在病毒對(duì)文文件的感染染過程中，，修改了DOS的的INT24H中斷。INT24H是DOS的的出錯(cuò)處理理中斷，如如果屏蔽了了這個(gè)中斷斷，就可以以使病毒傳傳染過程中中可能發(fā)生生的一些錯(cuò)錯(cuò)誤(如磁磁盤寫保護(hù)護(hù)、文件讀讀寫出錯(cuò)等等)不被用用戶發(fā)現(xiàn)。。5.3文文件型病毒毒（3）破壞壞部分一種是降低低系統(tǒng)的運(yùn)運(yùn)行速度，，另一種是是刪除被執(zhí)執(zhí)行的文件件。它截獲獲了INT8H時(shí)時(shí)鐘中斷服服務(wù)程序，，滿足其激激活條件（（病毒駐留留內(nèi)存約半半小時(shí)后））時(shí)，在屏屏幕上顯示示黑色的方方塊，并且且在程序中中執(zhí)行無用用循環(huán)，耗耗用CPU的處理周周期，使用用戶程序的的執(zhí)行速度度大大降低低。如果機(jī)機(jī)器日期是是十三日及及星期五，，而且不是是1987年，則病病毒在DOS加載COM或EXE可執(zhí)執(zhí)行文件時(shí)時(shí)，刪除這這些文件。。3．黑色星星期五病毒毒的傳染機(jī)機(jī)制黑色星期五五病毒的傳傳染是在執(zhí)執(zhí)行DOS的加載載執(zhí)行功能能調(diào)用（即即INT21H的4BH）時(shí)完完成的。5.3文文件型病毒毒在DOS系統(tǒng)下，，DOS外外部命令和和所有的可可執(zhí)行文件件，執(zhí)行時(shí)時(shí)都要調(diào)用用INT21H的4BH功能。。其入口參參數(shù)是：DS:DX指向可執(zhí)執(zhí)行文件的的文件名ASCII串ES:BX指向執(zhí)行行此命令的的參數(shù)塊；；AX＝＝4B00H在帶有病毒毒的系統(tǒng)中中，INT21H中斷指向向病毒程序序。病毒程程序從加載載執(zhí)行功能能的入口參參數(shù)處取出出文件名，，根據(jù)文件件名后綴判判斷文件的的類型。如果是COM文件，，檢查其是是否被病毒毒感染，未未感染的情情況下則將將病毒程序序放置在原原COM文文件的前面面，并在其其尾部加上上病毒標(biāo)志志。如果被被感染，則則調(diào)用INT21H的4BH功功能執(zhí)行原原COM文文件。5.3文文件型病毒毒如果是EXE文件，，則將病毒毒程序?qū)懙降紼XE文文件的最后后，然后修修改EXE文件的文文件頭參數(shù)數(shù)，使其指指向病毒程程序，因此此執(zhí)行受感感染EXE文件時(shí)即即讓病毒程程序獲得控控制權(quán)。在在感染完成成后，執(zhí)行行原EXE文件的內(nèi)內(nèi)容。5.3.4文件型病病毒的檢測測與防治1．文件型型病毒的引引導(dǎo)過程可執(zhí)行文件件的裝人執(zhí)執(zhí)行，是由由DOS系系統(tǒng)INT21H的的4BH功功能調(diào)用完完成的。DOS執(zhí)行行這個(gè)調(diào)用用時(shí)，從磁磁盤上裝入入可執(zhí)行文文件，進(jìn)行行加載并將將控制權(quán)交交給被加載載的用戶程程序。5.3文文件型病毒毒對(duì)于COM文件，第第一條指令令位于CS:100地址處；；對(duì)于EXE文件，，由文件頭頭中的CS、IP字字段確定程程序的第一一條指令。。病毒感染可可執(zhí)行文件件，為了獲獲得控制，，修改了原原文件的頭頭部參數(shù)。。對(duì)于COM文件，，要修改文文件頭三個(gè)個(gè)字節(jié)的內(nèi)內(nèi)容；對(duì)于于EXE文文件，則要要修改文件件首部(文文件頭)偏偏移14－－15H處處的IP指指針和偏移移16－17H處的的CS段值值。為了不不影響用戶戶程序的堆堆棧段內(nèi)容容，還要修修改偏移0E－0FH處的SS段值和和偏移10～11H處的SP指針。還還要修改EXE文件件頭部02－05H處的文件件長度標(biāo)識(shí)識(shí)。5.3文文件型病毒毒2．文件型型病毒的傳傳染方式在傳染過程程中，病毒毒程序或者者位于文件件的首部，，或者位于于文件的尾尾部，并且且使原文件件的長度增增加若干字字節(jié)。位于于文件中間間的病毒則則較為少見見。病毒程序在在引導(dǎo)過程程中，修改改INT21H系統(tǒng)中斷斷，具有向向外傳播的的能力。INT21H是對(duì)文文件進(jìn)行各各種操作的的系統(tǒng)調(diào)用用入口，病病毒籍此控控制可執(zhí)行行文件的裝裝入執(zhí)行和和對(duì)文件的的讀、寫等等操作。在在裝入執(zhí)行行或讀寫可可執(zhí)行文件件時(shí)，病毒毒就可能傳傳染這個(gè)文文件。病毒毒程序首先先判斷文件件是否存在在特殊標(biāo)志志（即是否否被感染）），如果文文件已被感感染則跳過過傳染過程程；如果未未被感染，，則把病毒毒程序鏈接接在文件之之中。最后后再執(zhí)行系系統(tǒng)功能調(diào)調(diào)用。5.3文文件型病毒毒3．文件型型病毒的檢檢測常用的辦法法是借助于于“查毒軟軟件”，其其基本思想想是：在一一個(gè)文件的的特定位置置，查找病病毒的特定定標(biāo)識(shí)，如如果存在，，則認(rèn)為文文件被病毒毒感染。這這種檢測病病毒的方法法稱為“特特征標(biāo)識(shí)匹匹配法”，，它一次可可以檢查磁磁盤上的所所有可執(zhí)行行文件。(1）檢測測系統(tǒng)內(nèi)存存中是否含含有病毒病毒的傳染性性是它的重要要特性。病毒毒一般都是修修改INT21H中中斷來截獲系系統(tǒng)調(diào)用，因因此可以根據(jù)據(jù)INT21H中斷向向量的入口地地址來判斷是是否有病毒駐駐留內(nèi)存。用DOS命令令MEM，可可以列出系統(tǒng)統(tǒng)中駐留的所所有程序，檢檢查其中是否否有非法程序序駐留。如果果發(fā)現(xiàn)非法駐駐留的程序，，則可以判定定系統(tǒng)內(nèi)存中中含有病毒。。5.3文件件型病毒（2）檢查文文件中的病毒毒對(duì)可執(zhí)行文件件中病毒的判判定，一般情情況下只能采采用比較法，，即通過觀察察文件的長度度或日期時(shí)間間是否變化來來判斷有無病病毒。4．文件型病病毒的清除文件型病毒和和被感染文件件的鏈接方式式是多種多樣樣的，有的病病毒駐留在文文件的首部，，有的則駐留留在尾部，而而且各個(gè)病毒毒保存被感染染文件的參數(shù)數(shù)的方法和位位置也各不相相同。因此要要清除文件中中的病毒，就就要分析病毒毒程序代碼，，找出病毒和和被感染文件件之間的鏈接接關(guān)系，才有有可能把病毒毒從被感染文文件中分離出出來。5.3文件件型病毒清除文件中的的病毒一般應(yīng)應(yīng)按照以下步步驟進(jìn)行：(1)分析病病毒與被感染染文件之間的的鏈接方式；；(2)確定病病毒程序駐留留在文件的位位置，并找到到病毒程序的的開始和結(jié)束束位置。把被被感染文件的的主要部分還還原。(3)恢復(fù)被被感染文件的的頭部參數(shù)。。對(duì)于COM文件，它的的頭三個(gè)字節(jié)節(jié)被替換為病病毒程序，這這三個(gè)字節(jié)被被保存在病毒毒體中，找出出這三個(gè)字節(jié)節(jié)，放到文件件的頭部。對(duì)對(duì)于EXE文文件，文件頭頭中的CS、、IP、SS、SP等字字段被病毒程程序修改，這這些字段的原原有值被存放放在病毒體中中。找出恢復(fù)復(fù),還需要修修改文件頭中中的長度參數(shù)數(shù)。（4）把恢復(fù)復(fù)后的內(nèi)容寫寫到文件中。。文件長度要要變短一些，，只把文件的的正常內(nèi)容寫寫到文件中，，病毒體就從從文件中“剝剝離”出來。。5.3文件件型病毒要正確清除文文件中的病毒毒，首先要了了解病毒的傳傳染方法。對(duì)對(duì)于不同病毒毒，具體的清清除方法也是是不同的。如如果用DEBUG等工具具清除病毒，，其效率是很很低的，而且且容易出現(xiàn)失失誤。一般的的方法是編制制“殺毒程序序”，把上面面的步驟用程程序?qū)崿F(xiàn)，這這樣，對(duì)同一一種病毒感染染的多個(gè)文件件，可以用程程序逐個(gè)清除除。5.4宏病病毒宏病毒的產(chǎn)生生，是利用了了一些數(shù)據(jù)處處理系統(tǒng)，如如字處理或表表格處理系統(tǒng)統(tǒng)，內(nèi)置宏命命令編程語言言的特性而形形成的。這種特性可以以把特定的宏宏命令代碼附附加在指定文文件上，在未未經(jīng)使用者許許可的情況下下獲取某種控控制權(quán)，實(shí)現(xiàn)現(xiàn)宏命令在不不同文件之間間的共享和傳傳遞。由于“宏”是是使用VisualBasicForApplications這樣的的高級(jí)語言編編寫的，其編編寫過程相對(duì)對(duì)比較簡單，，而功能又十十分強(qiáng)大，因因此宏病毒的的產(chǎn)生不再需需要病毒制造造者具有較多多的計(jì)算機(jī)專專業(yè)知識(shí)和技技巧，一個(gè)心心懷不軌的人人只需掌握一一些基本的““宏”編寫手手段，即可編編出破壞力很很大的宏病毒毒。5.4宏病病毒3.4.lVBA與與宏病毒VBA是把DOS版本的的Basic的一些實(shí)現(xiàn)現(xiàn)方法轉(zhuǎn)變到到Windows中。只只要在Office環(huán)境境中打開這些些文件，為了了特定的任務(wù)務(wù)，VBA的的代碼就會(huì)隨隨之而來地解解釋執(zhí)行。而而且VBA的的進(jìn)一步升級(jí)級(jí)，使其具備備訪問系統(tǒng)和和控制系統(tǒng)的的能力，直接接調(diào)用WindowsAPI，，訪問系統(tǒng)資資源，采取““Shell+命令行””方式直接調(diào)調(diào)用DOS或或windows命令等等等。VBA的出現(xiàn)現(xiàn)是面向知識(shí)識(shí)階層的計(jì)算算機(jī)用戶的，，他們不需要要更深入的編編程知識(shí)和經(jīng)經(jīng)驗(yàn)，只要懂懂得Basic就可以將將一系列費(fèi)時(shí)時(shí)而重復(fù)的操操作和命令，，根據(jù)不同的的使用要求和和基本命令組組合在一起形形成宏。目的的是為了讓用用戶能夠用簡簡單的編程方方法，來簡化化這些經(jīng)常性性的操作，就就像DOS的的批處理程序序?qū)⒍鄠€(gè)執(zhí)行行命令依次放放在一起執(zhí)行行一樣。5.4宏病病毒它的編制技術(shù)術(shù)與其他的編編程技術(shù)相比比，要求是很很低的，Office系系統(tǒng)甚至提供供了不用編程程，僅依靠錄錄制用戶實(shí)際際操作的方法法就可以生成成宏的功能。。宏，簡單的的理解可以是是Office應(yīng)用產(chǎn)品品中，點(diǎn)擊菜菜單命令的錄錄音機(jī)。系統(tǒng)統(tǒng)能夠重復(fù)執(zhí)執(zhí)行用戶曾經(jīng)經(jīng)執(zhí)行或者設(shè)設(shè)計(jì)的一系列列的點(diǎn)擊命令令。這就使那那些對(duì)計(jì)算機(jī)機(jī)編程語言沒沒有多少知識(shí)識(shí)但卻對(duì)病毒毒“一往情深深”者也可以以加入到病毒毒制造者的行行列中。5.4.2宏宏病毒的表表現(xiàn)有些宏病毒只只進(jìn)行自身的的傳播，并不不具破壞性，，如被一種Autoopen宏病毒毒感染了的文文檔，不能再再被轉(zhuǎn)存為其其他格式的文文件，也無法法使用“另存存為”（Saveas）修改路徑徑以保存到另另外的磁盤／／子目錄中，，它具備與模模板文檔一致致的內(nèi)部格式式。5.4宏病病毒有些宏病毒或或使打印中途途中斷，或打打印出混亂信信息，如Nuclear、Kompu等屬此此類。有些宏宏病毒將文檔檔中的部分字字符、文本進(jìn)進(jìn)行替換，如如Concept．F發(fā)作時(shí)，用用“，’“e”，“not”替換所所有“?！?，，“a”，““and”。。還有一些現(xiàn)現(xiàn)象是：Word運(yùn)行時(shí)時(shí)出現(xiàn)如自動(dòng)動(dòng)打開文件，，打開窗口等等情況；使用用過的文件屬屬性發(fā)生改變變；Word文件自動(dòng)對(duì)對(duì)一張寫保護(hù)護(hù)的空盤強(qiáng)行行存盤等。有些病毒極具具破壞性，如如MDMA.A（無政府府者一號(hào)，最最早發(fā)現(xiàn)于1996年夏夏）另外有一種雙雙棲復(fù)合型病病毒，如Nuclear是由AutoExec、Dropsuriv、Fileexit等9宏病病毒復(fù)合成的的一種DOS和Windows雙棲型駐留留宏病毒。5.4宏病病毒3.4.3宏宏病毒的特特點(diǎn)1．宏病毒制制造容易。2．它是一種種真正跨硬件件平臺(tái)的病毒毒。3．宏病毒的的傳播速度極極快。4．大多時(shí)宏宏病毒具有很很好的隱蔽性性，不易被發(fā)發(fā)覺。5．破壞性極極強(qiáng)。5.4.3宏宏病毒的傳傳染性在Office系統(tǒng)中集集成了許多模模板，如典雅雅型傳真、報(bào)報(bào)告、通訊錄錄、改擴(kuò)建項(xiàng)項(xiàng)目表、經(jīng)濟(jì)濟(jì)社會(huì)發(fā)展計(jì)計(jì)劃、海報(bào)。。企業(yè)財(cái)政報(bào)報(bào)告等模板。。這些模板不不僅包含了相相應(yīng)類型文檔檔的一般格式式，而且還允允許用戶在模模板內(nèi)添加宏宏，使得用戶戶在制作自己己的特定格式式時(shí)，減少重重復(fù)勞動(dòng)。5.4宏病病毒W(wǎng)ord最常常用的是通用用模板（Normal.dot），，Excel最常用的是是Excel.xlb等等。任何一個(gè)個(gè)Office文件背后后都有相應(yīng)的的模板，我們們打開或建立立大多數(shù)Office文文件時(shí)，系統(tǒng)統(tǒng)都會(huì)自動(dòng)裝裝入通用或公公用模板并執(zhí)執(zhí)行其中的宏宏命令。其中中的操作可以以是打開文件件、關(guān)閉文件件、讀取數(shù)據(jù)據(jù)以及保存和和打印，并對(duì)對(duì)應(yīng)著特定的的宏命令，如如存文件與FileSave相對(duì)應(yīng)應(yīng)，另存文件件對(duì)應(yīng)著FileSaveAs，打打印則對(duì)應(yīng)著著FilePrint等等。如這些宏宏命令集合在在一起構(gòu)成了了通用宏，通通用宏保存在在模板文件中中，以使Office啟啟動(dòng)后可以有有效地工作。。5.4宏病病毒以Word為為例，當(dāng)Word打開文文件時(shí)，它首首先要檢查文文件內(nèi)包含的的宏是否有自自動(dòng)執(zhí)行的宏宏（AutoOpen宏宏）存在，假假如有這樣的的宏，Word就啟動(dòng)并并運(yùn)行之。當(dāng)當(dāng)然，如果AutoClose宏存存在，則系統(tǒng)統(tǒng)在關(guān)閉一個(gè)個(gè)文件時(shí)，會(huì)會(huì)自動(dòng)執(zhí)行它它。通常，Word宏病病毒至少會(huì)包包含一個(gè)以上上的自動(dòng)宏，，Word中中運(yùn)行這類自自動(dòng)宏時(shí)，實(shí)實(shí)際上就是在在運(yùn)行病毒代代碼。宏病毒的內(nèi)部部都具有把帶帶病毒的宏復(fù)復(fù)制到通用宏宏的代碼段，，也就是說當(dāng)當(dāng)病毒代碼被被執(zhí)行過后，，它就會(huì)將自自身復(fù)制到通通用宏集合內(nèi)內(nèi)。當(dāng)Word系統(tǒng)退出出時(shí)，會(huì)自動(dòng)動(dòng)地把包括宏宏病毒在內(nèi)的的所有通用宏宏保存到模板板文件中。以以后每當(dāng)Word應(yīng)用程程序啟動(dòng)初始始化時(shí)，系統(tǒng)統(tǒng)都會(huì)隨著通通用模板的裝裝入而成為帶帶毒的Word系統(tǒng)，繼繼而在打開和和創(chuàng)建任何文文檔時(shí)感染該該文檔。5.4宏病病毒實(shí)際上，宏病病毒感染通用用模板的目的的，僅僅相當(dāng)當(dāng)于普通病毒毒要感染引導(dǎo)導(dǎo)扇區(qū)和駐留留內(nèi)存功能，，附加在共用用模板上才有有“共用”的的作用，感染染W(wǎng)ord或或Excel系統(tǒng)是為了了進(jìn)一步地獲獲得對(duì)系統(tǒng)，，特別是對(duì)Office系統(tǒng)的控制制權(quán)。它要傳傳染的其他Office文件才是病病毒傳染的最最終結(jié)果，即即傳染用戶自自己的文檔文文件或個(gè)人模模板?？梢哉f說，在同一臺(tái)臺(tái)計(jì)算機(jī)上宏宏病毒的傳染染主要靠通用用模板的機(jī)制制，在不同的的計(jì)算機(jī)之間間宏病毒的傳傳播，就要靠靠具體的Office文文件，通過磁磁介質(zhì)或網(wǎng)絡(luò)絡(luò)來進(jìn)行了。。其中也包括括Office系統(tǒng)中““HTML模模板”發(fā)布到到網(wǎng)上的傳染染機(jī)制。5.4宏病病毒一旦宏病毒侵侵入Word系統(tǒng)，它它就會(huì)替代原原有的正常宏宏，如FileOPen、FileSave、FileSaveAs和FilePrint等，并通通過這些宏所所關(guān)聯(lián)的文件件操作功能獲獲取對(duì)文件交交換的控制。。當(dāng)某項(xiàng)功能能被調(diào)用時(shí)，，相應(yīng)的宏病病毒就會(huì)篡奪奪控制權(quán)，實(shí)實(shí)施病毒所定定義的非法操操作，包括傳傳染操作、表表現(xiàn)操作以及及破壞操作等等等。宏病毒毒在感染一個(gè)個(gè)文檔時(shí)，首首先要把文檔檔轉(zhuǎn)換成模板板格式，然后后把所有宏病病毒復(fù)制到該該文檔中。被被轉(zhuǎn)換成模板板格式后的染染毒文件無法法另存為任何何其他格式。。含有自動(dòng)宏宏的宏病毒染染毒文檔，當(dāng)當(dāng)被其他計(jì)算算機(jī)的Word系統(tǒng)打開開時(shí)，便會(huì)自自動(dòng)感染該計(jì)計(jì)算機(jī)。例如如，如果病毒毒捕獲并修改改了FileOpen，，那么它將感感染每一個(gè)被被打開的Word文件。。5.4宏病病毒5.4.4宏宏病毒的檢檢測與清除(1)用操作作系統(tǒng)的“查查找”功能(2)用Office系統(tǒng)的檢查查(3)還可以以使用一種非非常簡單的辦辦法，清除對(duì)對(duì)Word系系統(tǒng)的感染，，即找到并且且刪除Autoexec.dot和和Normal.dot文件。(4)使用專專業(yè)殺毒軟件件.5.4宏病病毒5.4.5宏宏病毒的預(yù)預(yù)防1.當(dāng)懷疑系系統(tǒng)有宏病毒毒時(shí)，首先應(yīng)應(yīng)查看是否存存在“可疑””的宏。2.使用Word用戶，，在打開一個(gè)個(gè)新文檔時(shí)，，系統(tǒng)將Word的工作作環(huán)境按照用用戶的使用習(xí)習(xí)慣進(jìn)行設(shè)置置，并使通用用模板更新。。3.當(dāng)無法判判斷外來的Word文檔檔是否帶宏病病毒時(shí)，在不不保留原來文文檔的排版格格式的必要前前提下，可先先用Windows提供供的書寫器或或?qū)懽职鍋泶虼蜷_它們，將將其先轉(zhuǎn)換成成書寫器或?qū)憣懽职甯袷降牡奈募⒈４娲婧?，再用Word調(diào)用用打開。4．除對(duì)Word宏進(jìn)行行“過濾”外外，還有一個(gè)個(gè)簡單的方法法，就是在調(diào)調(diào)用Word文檔時(shí)先禁禁止所有的以以“Auto”開頭的宏宏的執(zhí)行。5.4宏病病毒5．對(duì)于使用用Office97版本的用戶戶，系統(tǒng)已經(jīng)經(jīng)提供禁止宏宏功能，將其其激活或打開開即可。6．對(duì)于使用用Excel的用戶，在在打開一個(gè)新新文檔時(shí)，系系統(tǒng)將Excel的工作作環(huán)境按照用用戶的使用習(xí)習(xí)慣進(jìn)行設(shè)置置，并使Excel8.xlb文件件更新。7．如果用戶戶自己編制有有Autoxxxx這類類宏，建議將將編制完成的的結(jié)果記錄下下來，即將其其中的代碼內(nèi)內(nèi)容打印或抄抄錄下來備查查。8．如果用戶戶沒有編制過過任何以“Auto”開開頭的宏，而而系統(tǒng)運(yùn)行不不正常而又完完全能排除是是由其他的硬硬件故障或系系統(tǒng)軟件配置置問題引起的的，那么，在在打開“工具具”菜單的““宏”選項(xiàng)后后，最好刪除除掉這些自動(dòng)動(dòng)宏，即便錯(cuò)錯(cuò)刪了，也不不會(huì)對(duì)文檔內(nèi)內(nèi)容產(chǎn)生任何何影響，僅是是缺少了相應(yīng)應(yīng)的“宏功能能”。5.4宏病病毒9．將常用的的模板文件改改為只讀屬性性，可防止Office系統(tǒng)被感染染。DOS的的autoexec.bat和config.sys文件件最好也都設(shè)設(shè)為只讀屬性性文件。5.4宏病病毒5.4.7Office產(chǎn)品中對(duì)對(duì)宏病毒的說說明宏病毒主要是是針對(duì)Office產(chǎn)品品內(nèi)嵌的較強(qiáng)強(qiáng)功能的VBA技術(shù)而設(shè)設(shè)計(jì)的。1．Word文檔宏病毒是一種種寄存在文檔檔或模板的宏宏中的計(jì)算機(jī)機(jī)病毒。一旦旦打開這樣的的文檔，宏病病毒就會(huì)被激激活，轉(zhuǎn)移到到計(jì)算機(jī)上，，并駐留在Normal模板上。從從此以后，所所有自動(dòng)保存存的文檔都會(huì)會(huì)“感染”上上這種宏病毒毒，而且如果果其他用戶打打開了感染病病毒的文檔，，宏病毒又會(huì)會(huì)轉(zhuǎn)移到他的的計(jì)算機(jī)上。。Word無法法掃描軟盤、、硬盤或網(wǎng)絡(luò)絡(luò)驅(qū)動(dòng)器上的的宏病毒（要要得到這種保保護(hù)，需要購購買和安裝專專門的防病毒毒軟件）。但但當(dāng)打開一個(gè)個(gè)含有可能攜攜帶病毒的宏宏的文檔時(shí)，，Word能能夠顯示警告告信息。5.4宏病病毒2．Excel文檔MicrosoftExcel無無法掃描軟盤盤、硬盤或網(wǎng)網(wǎng)絡(luò)盤來查找找和刪除宏病病毒。如果需需要這種保護(hù)護(hù)，則需要購購買和安裝反反病毒軟件。。然而，每次次打開含有宏宏的工作簿時(shí)時(shí)，MicrosoftExcel都會(huì)顯示警警告信息，然然后選擇是以以允許運(yùn)行宏宏的方式還是是禁止運(yùn)行宏宏的方式打開開工作簿。如如果以禁止運(yùn)運(yùn)行宏的方式式打開工作簿簿，則只能查查看和編輯宏宏。宏病毒只只有在允許運(yùn)運(yùn)行時(shí)才是有有害的，所以以禁止宏的運(yùn)運(yùn)行可以使打打開工作簿更更安全。如果要使工作作簿中包含有有用的宏（例例如，公司中中使用的訂貨貨表），則可可單擊“啟用用宏”，使打打開工作簿中中的宏有效；；如果不想讓讓工作簿中包包含宏，或者者不太確定工工作簿來源的的可靠性，則則可單擊“禁禁止宏”，使使得打開工作作簿中的宏失失效。5.4宏病病毒3．PowerPoint文槁宏病毒是某種種保存在演示示文稿或模板板內(nèi)的宏中的的計(jì)算機(jī)病毒毒。比如：PowerPoint可可以在每次打打開演示文稿稿，并且里面面的宏可能包包含病毒時(shí)，，顯示警告信信息?？梢宰宰孕袥Q定打開開演示文稿時(shí)時(shí)是否激活宏宏或不激活宏宏。如果希望演示示文稿能包含含有用的宏，，可以啟用宏宏打開演示文文稿。如果不不知道演示文文稿的來源，，例如，從電電子郵件的附附件、網(wǎng)絡(luò)或或不安全的Internet節(jié)點(diǎn)中中得到的演示示文稿，最好好禁用宏打開開演示文稿，，不要冒險(xiǎn)。。要停止對(duì)宏病病毒的檢查，，可以在看到到病毒警告信信息時(shí)，清除除“每次打開開包含宏的文文檔前確認(rèn)””復(fù)選框。要要徹底中止宏宏的檢查，請(qǐng)請(qǐng)單擊“工具具”菜單中的的“選項(xiàng)”，，單擊“常規(guī)規(guī)”選項(xiàng)卡，，清除“宏病病毒防護(hù)”復(fù)復(fù)選框。5.4宏病病毒5.4.8宏宏病毒實(shí)例例Melissa中文為美美麗莎，是第第一個(gè)通過用用戶的郵件通通信錄中的地地址“極其迅迅速地”向外外傳播的MS-Word宏病毒。。它是徹底的的“互聯(lián)網(wǎng)生生存”病毒，，感染對(duì)象是是Word97和Word2000系統(tǒng)統(tǒng)，它利用計(jì)計(jì)算機(jī)中的通通信錄，從Outlook的全域域地址表中獲獲取成員地址址信息，通過過微軟的Word宏和Outlook電子郵件件程序傳播。。它會(huì)以當(dāng)前前計(jì)算機(jī)主人人的名義，煞煞有其事地告告訴被入侵者者“這是來自自XX的重要要信息”，如如果他敢打開開附件中名為為list.doc的Word文件件，不僅會(huì)看看到80個(gè)色色情文學(xué)網(wǎng)址址的列表，而而且病毒會(huì)利利用他的計(jì)算算機(jī)實(shí)施傳播播。它傳播方方式頗為隱秘秘，其主題中中的XX就是是發(fā)件人的名名字。它暫時(shí)時(shí)還不會(huì)給用用戶的數(shù)據(jù)文文件造成什么么傷害，但會(huì)會(huì)瘋狂占用網(wǎng)網(wǎng)絡(luò)的郵件傳傳送資源，有有可能造成互互聯(lián)網(wǎng)的癱瘓瘓！也稱“美美麗殺手”。。5.5其他他類型的病毒毒5.5.1CIH病病毒1．CIH病病毒的版本（1）CIH病毒1.0版本（2）CIH病毒v1.1版本（3）CIH病毒v1.2版本（4）CIH病毒v1.3版本（5）CIH病毒v1.4版本2．CIH病病毒特征與檢檢測由于流行的CIH病毒版版本中，其標(biāo)標(biāo)識(shí)版本號(hào)的的信息使用的的是明文，所所以可以通過過搜索可執(zhí)行行文件中的字字符串來識(shí)別別是否感染了了CIH病病毒，搜索的的特征串為““CIHv”或者是““CIHv1．”。5.5其其他類型的的病毒3．CIH病毒的清清除手工的方法法就是直接接搜索特征征代碼，并并將其修改改掉。首先是處理理掉兩個(gè)轉(zhuǎn)轉(zhuǎn)跳點(diǎn)，搜搜索：5ECC568BF0特征串以以及5ECCFB33DB特特征串，將將這兩個(gè)特特征串中的的CC改改為90（nop），接著著搜索CD205300010083C420與CD2067004000特征字串串，將其全全部修改為為90即可可（以上數(shù)數(shù)值全部為為16進(jìn)制制）。另外一種方方法是將原原先的PE程序的正正確入口點(diǎn)點(diǎn)找回來，，填入當(dāng)前前人口點(diǎn)即即可4.CIH的傳染機(jī)機(jī)理5．CIH病毒對(duì)BIOS的的破壞5.5其其他類型的的病毒5.5.2愛蟲蟲病毒愛蟲病毒也也稱“ILOVEYOU”病毒，，它在2000年年5月4日出現(xiàn)現(xiàn)后，迅速速在世界范范圍內(nèi)蔓延延，因?yàn)樗峭ㄟ^MicrosoftOutlook電子郵郵件系統(tǒng)傳傳播的，傳傳播速度極極快。病毒毒代碼以VBS（（VsuaBasicScript）的形形式存在于于附件中。。一旦在Outlook里里雙擊打開開這個(gè)郵件件，就會(huì)執(zhí)執(zhí)行附件中中的VBS程序，它它就會(huì)自動(dòng)動(dòng)復(fù)制到系系統(tǒng)中，然然后向地址址簿中的所所有郵件地地址發(fā)送這這個(gè)病毒。。它還將以以病毒體覆覆蓋到本地地及網(wǎng)絡(luò)硬硬盤的某些些類型的文文件。5.5其其他類型的的病毒5.5.3歡樂時(shí)時(shí)光病毒歡樂時(shí)光病病毒也稱作作“Happytime””病毒，也也是一種VBS形形式的病毒毒，通過郵郵件附件的的形式傳播播。而它的的主要特點(diǎn)點(diǎn)是，只要要在Outlook中收到了了這個(gè)帶病病毒的郵件件，即使你你不打開和和雙擊其附附件，它也也能在計(jì)算算機(jī)上執(zhí)行行！具有同同樣特點(diǎn)的的病毒還有有Bubbleboy（泡沫沫小子）、、Kak(野蠻蠕蟲蟲病毒)、、Verona(羅羅密歐與朱朱麗葉）等等。5.5其其他類型的的病毒5.5.4紅色代代碼病毒“紅色代碼碼”病毒是是一種新型型網(wǎng)絡(luò)病毒毒，其傳染染過程充分分體現(xiàn)了網(wǎng)網(wǎng)絡(luò)時(shí)代網(wǎng)網(wǎng)絡(luò)攻擊技技術(shù)與病毒毒機(jī)制的巧巧妙結(jié)合，，它將網(wǎng)絡(luò)絡(luò)蠕蟲、計(jì)計(jì)算機(jī)病毒毒、木馬程程序、分布布式拒絕服服務(wù)攻擊等等功能合為為一體，可可稱之為新新一代的病病毒。對(duì)其其中的代碼碼進(jìn)行改造造后，其破破壞能力更更強(qiáng)，通過過網(wǎng)絡(luò)攻擊擊得到目標(biāo)標(biāo)主機(jī)的管管理權(quán)限后后，可以為為所欲為，，毀壞或盜盜走機(jī)密數(shù)數(shù)據(jù)，嚴(yán)重重威脅網(wǎng)絡(luò)絡(luò)安全。9、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Wednesday,December28,202210、雨中黃葉葉樹，燈下下白頭人。。。21:53:1421:53:1421:5312/28/20229:53:14PM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。12月-2221:53:1421:53Dec-2228-Dec-22