淺談計(jì)算機(jī)病毒的原理和防范分析研究 計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)

目錄TOC\o"1-3"\h\u9691摘要 I20879一、計(jì)算機(jī)病毒的概念及危害 125415（一）計(jì)算機(jī)病毒的概念 14244（二）計(jì)算機(jī)病毒的特征 1159961.滋生性 1153023.傳染性 1301004.潛伏性 179645.隱蔽性 166236.可觸發(fā)性 23827（三）計(jì)算機(jī)病毒的危害 223891二、計(jì)算機(jī)常見病毒分析與病毒傳播 24173（一）計(jì)算機(jī)常見病毒 2266921.系統(tǒng)病毒 2276792.木馬病毒 3250803.腳本病毒 3199944.宏病毒 427359（二）基于網(wǎng)絡(luò)的病毒傳播模式 4211241.通過電子郵件進(jìn)行傳播 4321072.通過掃描系統(tǒng)漏洞傳播 5174433.通過無線電的方式傳播 64838三、計(jì)算機(jī)病毒防范技術(shù) 64684（一）網(wǎng)絡(luò)防火墻技術(shù) 65046（二）實(shí)時反病毒技術(shù) 72193（三）漏洞掃描技術(shù) 75865（四）計(jì)算機(jī)病毒免疫技術(shù) 723708（五）計(jì)算機(jī)病毒的檢測技術(shù) 8212491.特征代碼法 831372.軟件模擬法 8292823.感染實(shí)驗(yàn)法 85329四、計(jì)算機(jī)病毒防御策略 820417（一）基于主機(jī)的檢測策略 95670（二）基于網(wǎng)絡(luò)的檢測策略 9909（三）建立行之有效的計(jì)算機(jī)病毒防護(hù)體系 1018186（四）加強(qiáng)工作站的防治技術(shù) 1012588結(jié)語 113560參考文獻(xiàn) 12摘要伴隨著計(jì)算機(jī)系統(tǒng)的不斷發(fā)展，目前計(jì)算機(jī)病毒已成為系統(tǒng)以及網(wǎng)絡(luò)安全的巨大威脅。因此要對計(jì)算機(jī)病毒常見類型以及基礎(chǔ)常識進(jìn)行把握，在這樣的前提下如果遭遇病毒不會變的束手無策?；诖耍疚膶τ?jì)算機(jī)病毒的定義、傳播方式以及受到感染之后的現(xiàn)象進(jìn)行詳細(xì)分析，并分析了計(jì)算機(jī)病毒的傳播方式，主要包括基于網(wǎng)絡(luò)的病毒傳播模式、計(jì)算機(jī)常見病毒、幾個經(jīng)典的計(jì)算機(jī)病毒傳播模型，進(jìn)一步研究了計(jì)算機(jī)病毒防御方法，包括基于主機(jī)的檢測方案、基于網(wǎng)絡(luò)的檢測策略、創(chuàng)建一套完善的病毒防護(hù)機(jī)制、對防治技術(shù)進(jìn)行不斷完善，同時對病毒檢測手段進(jìn)行升級，最后對病毒防范措施進(jìn)行詳細(xì)分析，除了漏洞掃描以及防火墻等技術(shù)之外，還包括反病毒、計(jì)算機(jī)病毒免疫技術(shù)，以便最大限度地減少計(jì)算機(jī)病毒造成的危害。關(guān)鍵詞：計(jì)算機(jī)病毒；計(jì)算機(jī)病毒傳播途徑；預(yù)防計(jì)算機(jī)病毒一、計(jì)算機(jī)病毒的概念及危害（一）計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒是程序員為了破壞計(jì)算機(jī)的功能或數(shù)據(jù)而插入的程序代碼或者相關(guān)指令，這些代碼或指令對計(jì)算機(jī)的正常使用可能帶來影響。計(jì)算機(jī)病毒屬于最常見的可執(zhí)行代碼以及程序，在特征方面與生物病毒相當(dāng)類似，不但能夠進(jìn)行大量復(fù)制，同時還可以相互感染，而且還具備再生以及活等基本特征。計(jì)算機(jī)病毒擁有相當(dāng)強(qiáng)大的復(fù)制能力，傳播速度相當(dāng)快，徹底根除難度非常大。而且計(jì)算機(jī)病毒不許附加到很多種類的文件里面，通過傳輸或者復(fù)制的方式將文件在用戶之間進(jìn)行傳遞，將與該文件共享該文件。（二）計(jì)算機(jī)病毒的特征1.滋生性與生物病毒非常相似，計(jì)算機(jī)病毒還能不斷繁殖，即便用戶進(jìn)行正常操作也會不停復(fù)制。在判斷計(jì)算機(jī)病毒的時候，其關(guān)鍵依據(jù)在于是否具備傳染以及滋生的特性。2.破壞性一旦計(jì)算機(jī)出現(xiàn)病毒，往往導(dǎo)致文件被惡意刪除或者程序不能正常運(yùn)作，最終對計(jì)算機(jī)帶來不同程度的損害。3.傳染性計(jì)算機(jī)病毒感染性意味著計(jì)算機(jī)病毒可以通過將其他程序修改為其他無毒文件來轉(zhuǎn)移其或其變體。這些文件可以是系統(tǒng)或程序。4.潛伏性潛伏期指的是通過其他媒體進(jìn)行其中的一種綜合能力，這也是計(jì)算機(jī)病毒的一大特性。入侵后如果條件未達(dá)到通常病毒不會攻擊系統(tǒng)，但是會減慢計(jì)算機(jī)的運(yùn)行速度。5.隱蔽性計(jì)算機(jī)病毒非常隱蔽，在某些情況下可以被病毒軟件檢測到。計(jì)算機(jī)病毒在電腦中常常是隱蔽的、可變的，因此針對這些病毒進(jìn)行處理難度非常大。6.可觸發(fā)性編寫病毒到時候通常會為病毒專門創(chuàng)建相應(yīng)的觸發(fā)條件，比如程序運(yùn)行、指定的日期或者條件等。如果達(dá)到這些條件，計(jì)算機(jī)病毒馬上會對系統(tǒng)發(fā)動攻擊。（三）計(jì)算機(jī)病毒的危害通常情況下，當(dāng)電腦被中毒時，普通的程序就不會起作用了。電腦病毒會以不同的方式刪除或損壞檔案，一般有以下幾種：刪除、修改、添加、移除。病毒的強(qiáng)大之處并不在于它的殺傷力，而在于它的滋生能力，一旦它的突變和復(fù)制，就很難控制住它的傳播。這種病毒最基本的特征就是繁殖，這一點(diǎn)和生物世界很像，可以在不同的生物之間進(jìn)行傳染。在合適的環(huán)境下，病毒能快速增殖，使被其侵染的有機(jī)體表現(xiàn)出疾病癥狀，甚至導(dǎo)致死亡。與此類似，電腦病毒也會用不同的方法把它從被感染的電腦傳給沒有被感染的電腦，造成電腦的故障或癱瘓。許多“木馬”主要是通過竊取使用者的個人資料，比如網(wǎng)絡(luò)銀行帳號密碼，網(wǎng)絡(luò)游戲帳號密碼等等來達(dá)到牟利目的。比如：在做生意的時候，一位淘寶賣家接到了一條信息，說他需要一些服裝，但是他去了好幾家店鋪，都沒有找到合適的，對方需要一種和他店鋪里差不多的款式，希望他能找到。說著，又給了他一個網(wǎng)絡(luò)上的鏈接，他打開一看，里面有許多照片，但是卻沒有打開，而是被告知他的賬戶已經(jīng)被踢出了服務(wù)器，這讓他不得不再次登錄。假如資料被竊取，毫無疑問會對顧客帶來巨大的損失，所以在這個充滿了各種病毒的環(huán)境下，我們不得不說，使用者在使用軟體的時候，會有許多擔(dān)心。二、計(jì)算機(jī)常見病毒分析與病毒傳播（一）計(jì)算機(jī)常見病毒1.系統(tǒng)病毒對于這些系統(tǒng)病毒，最常見的就是前綴除了Win95、Win32以及W95之外等等。這種病毒有多種作用，除可以通過Windows中的*.

dll和*.

exe等來傳染外，還可以利用這些文件來進(jìn)行病毒的擴(kuò)散，其中最常見的就是CIH。一般人對電腦病毒的認(rèn)識都比較淺薄，遇到這種情況的時候很容易手足無措，其實(shí)只要知道如何重新安裝電腦的方法，就可以很好地處理這個問題，比如說可以從電腦里下載一些抗病毒的程序，對電腦進(jìn)行即時保護(hù)，同時也可以將其殺死。我推薦電腦上的使用者使用360掃描系統(tǒng)來檢測那些頑固的病毒，然后將它們清除掉，而像“小紅傘”、“Nod32”、“卡巴斯基”、“Average”、“Average”之類的防病毒程序，則是非常有用的。在這些程序當(dāng)中，

Kabbah、

Risin往往占用較多的系統(tǒng)資源，所以，在正常的程序當(dāng)中，都會有像是東方微點(diǎn)、nod32這樣的殺毒程序。對于這種殺毒程序，一定要注意及時更新，當(dāng)殺毒程序無法正常運(yùn)行時，就應(yīng)該及時的替換其它的殺毒程序。當(dāng)電腦病毒難以被消滅的時候，一般情況下就是這種病毒是一種新的電腦病毒，也可能是一種變種、

shell等電腦病毒，此時可以使用相應(yīng)的選擇來進(jìn)行人工終止。2.木馬病毒特洛伊木馬是以“木馬”為名，而黑客則是以“黑客”為名。前者有一個共同的特點(diǎn)，就是利用系統(tǒng)或者網(wǎng)絡(luò)中的漏洞，將其隱藏在電腦系統(tǒng)中，從而竊取用戶的個人信息。對于黑客病毒來說，它的作用就是通過遙控，以可視化的方式，悄無聲息地入侵電腦。這兩種類型的病毒通常是成雙成對的，其中一種主要是攻擊電腦的，而另一種則是在整個過程中被完全控制。現(xiàn)在，這兩種病毒的融合程度越來越高，例如，

QQ信息木馬，

QQ號是3344，會受到

PSW.60,

LMIR等與網(wǎng)絡(luò)游戲有很大關(guān)系的木馬攻擊。另外，對于“病毒”、“PSW”或者“PWD”這樣的名字，往往表示這種病毒能夠盜取口令（在英語里，它們往往被簡稱為“密碼”），以及某些類似于“黑客”之類的黑客軟件。空蕩蕩的。Client等一個完整的木馬包括兩個部分：一個是控制層，另一個是服務(wù)層。受害人被稱作“服務(wù)器”，而“黑客”則會對“服務(wù)器”受害人所操作的電腦進(jìn)行攻擊。特洛伊木馬在啟動的時候，會發(fā)出一些讓人摸不著頭腦的名字，然后將這些名字傳給受害人，受害人很難注意到，他們只需要打開一個端口，然后將這些數(shù)據(jù)發(fā)送到對應(yīng)的地址，這樣他們就可以竊取到使用者的密碼和賬戶，然后利用這個端口，對使用者的電腦進(jìn)行大規(guī)模的攻擊。3.腳本病毒腳本病毒也是一種較為普遍的病毒，其前綴為

script，其實(shí)質(zhì)是以撰寫腳本語言借網(wǎng)站的方式進(jìn)行擴(kuò)散，最普遍的有紅色代碼（Script.

Redlof）。劇本病毒還具有

VBS,JS（命令書寫何種劇本），例如，常用的十四日（Js.

Fortnight.

c.

s）和快樂日子（VBS.

Happytime）等。為獲取持久利益，一個程序代碼的病毒經(jīng)常采用多種方式跟蹤用戶。比如，郵件附件的名字往往都帶有雙后綴，比如.

jpg.

vbs，因?yàn)樵谌笔∏闆r下，系統(tǒng)會將后綴是隱藏的，所以用戶往往很少注意到這個文件，所以它經(jīng)常被視為

JPG文件。而在所有的代碼中，最常用的就是“Nimya”這種殺傷力極強(qiáng)的網(wǎng)絡(luò)病毒。在幾年前，“熊貓燒香”和它的變異體就是這種寄生蟲。這種病毒的特點(diǎn)是利用Windows的缺陷，當(dāng)電腦受到影響以后，電腦就會不斷的撥打電話號碼，并且利用這個檔案中的網(wǎng)路分享或是具體的通訊錄進(jìn)行迅速的擴(kuò)散，從而造成了使用者的大部分私人資料的損失。一般情況下，要通過具有監(jiān)測功能的反病毒程序來對這些蠕蟲進(jìn)行有效的抑制，并且盡量避免隨意的去看那些不熟悉的電子郵箱和附件。4.宏病毒宏病毒是其中最普通的一種，因?yàn)樗容^特別，所以被排除在外。它的前綴是一個“宏”字，后面是Excel97和Word97，也可以是

Excel和

Word。當(dāng)該病毒只侵染了老的

word文件和WORD97時，它的最后一個字一般都是Word97，最常用的是

Macro.Word97；而如果只是WORD97等較高階的WORD文檔，一般都會用Word作為前綴，最常用的是

Macro.

Word；當(dāng)該病毒只侵染了較老的

EXCEL文件和EXCEL97時，它的后置一般都是Excel97，最常用的是

Macro.

Excel

97；而當(dāng)這種病毒只會傳染給更多的

EXCEL文件，比如EXCEL97，那么它就會用Excel作為開頭，而最常用的就是宏表和Excel表。而這種新型的病毒，一般都是通過OFFICE來復(fù)制自己的基因，從而在OFFIC的基礎(chǔ)上，以梅麗莎為代表。（二）基于網(wǎng)絡(luò)的病毒傳播模式基于網(wǎng)絡(luò)的計(jì)算機(jī)病毒分布在多個渠道，例如：通過電子郵件，掃描系統(tǒng)間隙，通過無線電等。1.通過電子郵件進(jìn)行傳播以電郵為載體，以編碼型病毒為載體進(jìn)行網(wǎng)絡(luò)病毒的傳播。如果你的郵件中有一個含有病毒的檔案，你就可以開啟這個檔案的附屬檔案（一般是在你的電腦上按兩下附件的圖示），把這個檔案的附屬檔案傳送到你的電腦上。因?yàn)榇罅康膃mail應(yīng)用，很多病毒生產(chǎn)商都選擇了這樣的方式來傳播。有兩種方式可以用電子郵件來傳播。一是將惡意代碼輸入到了郵箱里。其次，就是將相關(guān)的密碼惡意的加入到了這個網(wǎng)址當(dāng)中，然后將這個病毒以以下方式傳播了出去：（1）尋找目標(biāo)病毒可以在通訊簿、歷史記錄或受感染計(jì)算機(jī)的電子郵件中的硬盤中，對可以使用的郵件地址進(jìn)行大范圍的搜索。例如，

HTML文件在

Internet文件夾中被暫時保存，這種類型的文件中很有可能會有詳細(xì)的電郵地址。只要電腦上安裝了電子郵件，就能迅速讀取出具體的地址。(2)復(fù)制和發(fā)送自己的文件在尋找可以使用的電子郵件地址時，病毒一般會將自己復(fù)制出來，然后向外界發(fā)送，但是有些病毒很隱蔽，一般不會將自己的電子郵件發(fā)給病毒，而是會先將使用者的電子郵件給感染。改變系統(tǒng)設(shè)定是最常用的電郵HTML的預(yù)設(shè)形式，當(dāng)使用者把訊息傳送到其他地方時，病毒會盡快地影響訊息的內(nèi)容。（3）激活病毒代碼如果接受方接收到了病毒編碼，那么一般情況下，病毒并不會活動，而是需要使用者來啟動。所以，這個病毒就會嘗試著給這個使用者啟動它的病毒密碼。這種病毒能制造出各種各樣的具有誤導(dǎo)性的標(biāo)題和內(nèi)容來誘騙用戶。比如，“我愛你”這種名為“笑話”的病毒，會用來開啟含有該病毒的電子郵件，并在此之后啟動該密碼。2.通過掃描系統(tǒng)漏洞傳播這個病毒是一個單獨(dú)的軟件，不是安裝在主文件夾里的。他的傳輸方法就是在網(wǎng)絡(luò)上，通過網(wǎng)絡(luò)上的一個漏洞來對電腦進(jìn)行遠(yuǎn)程認(rèn)證，然后通過這個漏洞，讓電腦受到各種程度的破壞。該蠕蟲獲取系統(tǒng)控制權(quán)限的方法主要有：(1)對系統(tǒng)缺陷的利用通常，這種病毒會利用系統(tǒng)的軟件和缺陷，大規(guī)模地?cái)U(kuò)散，例如，某些版本的瀏覽器可以自動瀏覽EML文件。和email不一樣，蠕蟲病毒經(jīng)常利用它的系統(tǒng)缺陷來遙控計(jì)算機(jī)。也就是說，它會先控制住對方的主機(jī)，然后再制造一個分身，然后在入侵對方的電腦系統(tǒng)后，將其毀滅。（2）使用LAN進(jìn)行傳播一些局域網(wǎng)管理員因?yàn)楣ぷ髦械暮鲆暬蛉鄙侔踩J(rèn)識，使得一些局域網(wǎng)中的一些電腦可以被遠(yuǎn)程地寫到一些電腦上。這往往是蚯蚓的可乘之機(jī)。為了分享，病毒可以在局域網(wǎng)中被拷貝到一個可寫入的引導(dǎo)文件。一些病毒發(fā)現(xiàn)了win.ini可以保存在本地網(wǎng)上，或是修改了它的登錄，使它在下次重新啟動時繼續(xù)工作。(3)該病毒也可以通過該網(wǎng)絡(luò)，對大量的IIS從等網(wǎng)絡(luò)中的缺陷進(jìn)行使用，從而達(dá)到對該網(wǎng)絡(luò)中的一個遠(yuǎn)程網(wǎng)絡(luò)的目的。在這種情況下，任何進(jìn)入該網(wǎng)站的人，都會受到該病毒的影響。3.通過無線電的方式傳播無線電波可以將病毒傳送到其它的電子系統(tǒng)中，并且可以將其連同接收者一同傳送到標(biāo)簽上。利物浦大學(xué)的電腦、電子與電子學(xué)院的研究員們，已經(jīng)在實(shí)驗(yàn)室里研制出了一種“變色龍”病毒，并對其進(jìn)行了仿真。這個示范將會找到家用及商業(yè)接入點(diǎn)來連接到Wi-Fi網(wǎng)路上的無線路由器。無線保真網(wǎng)路不但擴(kuò)散迅速，而且也省去了偵測與判斷何種密碼與口令對無線保真存取點(diǎn)最脆弱的偵測與判定。它也可以模仿無線信號的正常傳送，將病毒編碼傳送出去，并且在傳送的時候，還可以將病毒編碼的正確性和正確性混合在一起。當(dāng)該病毒入侵到一個計(jì)算機(jī)系統(tǒng)后，該計(jì)算機(jī)系統(tǒng)就會自動地被入侵，從而起到防護(hù)作用。三、計(jì)算機(jī)病毒防范技術(shù)（一）網(wǎng)絡(luò)防火墻技術(shù)防火墻是最常用的一種安全分離方法，它的實(shí)質(zhì)是一個信息存取控制體系，它是一個內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個安全防護(hù)系統(tǒng)。該系統(tǒng)將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開來，并把使用者限定在嚴(yán)密的保護(hù)范圍之內(nèi)。通常情況下，在進(jìn)行通訊的時候，會對其進(jìn)行嚴(yán)格的控制標(biāo)準(zhǔn)，它的目的是為了防止沒有獲得權(quán)限的其他人進(jìn)入到這里，并且還能夠防止有人對網(wǎng)絡(luò)進(jìn)行了襲擊，或是對數(shù)據(jù)和設(shè)備造成了損害。一般情況下，在安全的企業(yè)內(nèi)部網(wǎng)與網(wǎng)際網(wǎng)路的交界處，會配置一道防火墻。因特網(wǎng)，也可以對因特網(wǎng)中的重要資料和服務(wù)器進(jìn)行防護(hù)。即使是從內(nèi)部網(wǎng)絡(luò)登陸，為了更好地保障信息的安全，也需要利用內(nèi)部網(wǎng)絡(luò)的安全屏障來屏蔽信息。防火墻安保系統(tǒng)一般采用的是拓樸，以該拓樸為依據(jù)，可保證網(wǎng)絡(luò)運(yùn)行的安全，與此同時，利用數(shù)據(jù)整合，對網(wǎng)絡(luò)數(shù)據(jù)的安全性進(jìn)行了全面的提高。在因特網(wǎng)上，在多種不同的情況下使用該防火墻。因此，在計(jì)算機(jī)系統(tǒng)中，防火墻扮演了一個非常關(guān)鍵的角色。通過使用防火墻來保證一個完整的、可靠的、可靠的計(jì)算機(jī)網(wǎng)絡(luò)。它是保證計(jì)算機(jī)系統(tǒng)的安全性的必要前提。在表格1中列出了電腦的防火墻。表1計(jì)算機(jī)各類防火墻對比分類特點(diǎn)簡單包過濾防火墻應(yīng)用層控制很弱，效率高狀態(tài)檢測包過濾防火墻數(shù)據(jù)包過濾對用戶透明，效率高應(yīng)用代理防火墻應(yīng)用層控制很弱，檢測性能高（二）實(shí)時反病毒技術(shù)新型計(jì)算機(jī)的病毒給防病毒程序帶來了很大的困難，而防病毒技術(shù)正是基于這種情況而產(chǎn)生的。在控制面板上還安裝了大量的防病毒卡片，用于對電腦中可能存在的病毒進(jìn)行實(shí)時監(jiān)測，并對可能出現(xiàn)的病毒進(jìn)行預(yù)警。目前，對殺毒技術(shù)進(jìn)行了即時監(jiān)測。在被呼叫前，所有的程式都會先經(jīng)過篩選。電腦中的病毒一被破解，就會報警，并會自行清除。（三）漏洞掃描技術(shù)無論是系統(tǒng)還是應(yīng)用軟件，漏洞都是無法避免的。這種漏洞帶來了安全性危險。所以，要盡快解決新出現(xiàn)的缺陷，并且盡快地進(jìn)行更新和修補(bǔ)工作。通過這種方法，可以從內(nèi)部發(fā)現(xiàn)軟件設(shè)計(jì)中存在的問題。該方法能有效地探測出被攻擊者所使用的各類錯誤的設(shè)置和系統(tǒng)缺陷。這是一種能在局部和遠(yuǎn)端的宿主上，能夠自動發(fā)現(xiàn)是否存在安全性缺陷的程式。其中，POP3的缺陷掃描、FTP缺陷掃描、SSH缺陷掃描、

HTTP缺陷掃描等是目前國內(nèi)外研究的熱點(diǎn)。（四）計(jì)算機(jī)病毒免疫技術(shù)病毒免疫力意味著系統(tǒng)已感染病毒，但病毒已被處理或移除，系統(tǒng)不再受到類似病毒的感染和攻擊。目前，常用的免疫方法對某些計(jì)算機(jī)病毒具有計(jì)算機(jī)病毒免疫力，但這種方法不能防止計(jì)算機(jī)病毒的破壞行為，另一種是基于自我完整性測試的計(jì)算機(jī)病毒免疫程序。原則是可執(zhí)行文件添加了一個可以從自身恢復(fù)信息的免疫shell。（五）計(jì)算機(jī)病毒的檢測技術(shù)1.特征代碼法對于現(xiàn)有的已知病毒，最高效、方便的監(jiān)控方式是特征識別法，其基本原理是通過對病毒編碼的細(xì)致解析，從病毒編碼庫中獲取其特有的特征信息，形成“病毒數(shù)據(jù)庫”。精確地掃描監(jiān)控到的程序，然后在這個基礎(chǔ)上，找到病毒庫中的代碼。如果找到的編碼是一模一樣的，則說明該計(jì)劃已經(jīng)被病毒感染了。2.軟件模擬法變異的病毒在被傳染的時候改變了自己的編碼，簽署編碼的方法對該病毒來說是不正確的。因?yàn)槎嘈蔚牟《臼墙?jīng)過密碼處理的，而且每個案例中所用的關(guān)鍵字都是不一樣的，所以被感染的檔案中的病毒程式碼也是有差異的。所以，不能發(fā)現(xiàn)同樣的穩(wěn)定代碼作為一個功能。對于變異的病毒，可用軟件仿真的方式進(jìn)行分析。這是一個軟體分析器，利用軟件方法，來仿真程式的運(yùn)作，并把結(jié)果輸出至一臺可供藥物測試之用的虛擬機(jī)。新的偵測工具利用一種軟體模仿的方式來偵測過程的初始階段所產(chǎn)生的病毒。若疑似有隱匿或變異的，則會由軟體模擬模組對其進(jìn)行監(jiān)控。當(dāng)一個病毒本身的口令被譯碼之后，就會執(zhí)行簽署的方式來辨識該病毒的型別。3.感染實(shí)驗(yàn)法該技術(shù)的原則是利用了一種病毒的最基本特性：受感染特性。所有的病毒都是受到了傳染的，而不是被傳染的，那就不叫病毒了。如果系統(tǒng)沒有正確地反應(yīng)，那么發(fā)現(xiàn)工具的最新版將不會被發(fā)現(xiàn)。我們能做傳染試驗(yàn)。在對該軟件進(jìn)行了測試之后，再對該軟件進(jìn)行測試，就可以確定該軟件是否被下了毒。這樣我們就能看到這些常規(guī)計(jì)劃的長短以及檢查結(jié)果了。當(dāng)我們看到一些軟件在發(fā)展，或者是經(jīng)過了測試，或者是修改，我們就可以說是一個病毒感染了你的系統(tǒng)。四、計(jì)算機(jī)病毒防御策略要想對病毒攻擊進(jìn)行有效應(yīng)對，其中最理想的途徑為避免病毒在網(wǎng)絡(luò)里面大范圍傳播。不過網(wǎng)絡(luò)自身運(yùn)行技術(shù)相當(dāng)復(fù)雜，因此仍然難以預(yù)防病毒。目前，計(jì)算機(jī)病毒的預(yù)防和控制僅基于檢測和清除。防病毒的常見類型主要包括兩大類，其一為以網(wǎng)絡(luò)作為基礎(chǔ)的防病毒手策略，另一種則為以主機(jī)作為基礎(chǔ)的防病毒策略。（一）基于主機(jī)的檢測策略基于主機(jī)的方面策略主要包括三個部分：一是認(rèn)證技術(shù)，二是存取控制，三是特征匹配。(1)簽名匹配：對抵達(dá)宿主的編碼進(jìn)行比對，以判斷編碼是否具有破壞性。特征掃描技術(shù)是根據(jù)“同一病毒或者該病毒只包含同一編碼的一小塊”來進(jìn)行的。簡單來說，當(dāng)一個病毒和一個變異體有了某些共性時，就可以把他們叫做“簽名”，然后，把這個“簽名”和一個程序的本體相對比，就可以把這個病毒找出來。要想阻止新的病毒，就得利用病毒特征掃描的方式來進(jìn)行檢測。否則，標(biāo)識就會消失。當(dāng)沒有發(fā)現(xiàn)新的病毒特征時，不能發(fā)現(xiàn)新的病毒特征。(2)訪問控制技術(shù)：惡意代碼必須要混入到計(jì)算機(jī)系統(tǒng)中，才能獲得相應(yīng)的操縱權(quán)限，從而對計(jì)算機(jī)造成破壞。如果你可以控制相應(yīng)的系統(tǒng)，那么你就有足夠的能力完成一項(xiàng)任務(wù)。就算被植入了惡意程序，也不可能被破壞。病毒檢測能夠檢測和甄別異常程序代碼和指令，對系統(tǒng)安全等級進(jìn)行有效排序，并結(jié)合病毒代碼自身屬性，合理分配權(quán)重。當(dāng)這些數(shù)據(jù)的權(quán)重之和超過了預(yù)定的關(guān)閉狀態(tài)時，就可以確定這個程序中有病毒了。(3)整合技術(shù)，一般情況下，病毒編碼不是獨(dú)立的，而是以一種特殊的方式，通過嵌套的方式，或與其它的軟件相結(jié)合。一個軟件，一個文檔，一旦被病毒侵染，就會被摧毀。當(dāng)您在使用本文檔的時候，一定要經(jīng)常核對文檔的內(nèi)容與原件的相符，或者在每一次的應(yīng)用之前核對文檔的完整性，最后再確認(rèn)文檔沒有受到污染。文件的完整性檢測技術(shù)在兩個方面對文件進(jìn)行了檢測。在沒有做什么改變的情況下，要想成功地被病毒傳染是非常困難的，所以，在目前廣泛應(yīng)用的情況下，對一個病毒進(jìn)行完整性測試是非常困難的。為了更好地保護(hù)自己的電腦，需要在電腦中設(shè)置相關(guān)的防毒程序，并及時的進(jìn)行升級。不難發(fā)現(xiàn)，經(jīng)營費(fèi)用通常都很高，而且經(jīng)營的整體性不強(qiáng)。（二）基于網(wǎng)絡(luò)的檢測策略基于互聯(lián)網(wǎng)的病毒探測技術(shù)中，除濫用探測技術(shù)外，還有一種特殊探測技術(shù)。(1)異常探測：在一個病毒的擴(kuò)散期間，通常會傳送大量的掃描信息，這個時候的網(wǎng)絡(luò)通信量會有一個顯著上升的變化。所以，如何檢測到這些病毒的異常，然后制定相應(yīng)的對策，是目前最好的抗病毒策略。異常探測能夠迅速發(fā)現(xiàn)網(wǎng)絡(luò)中的異常數(shù)據(jù)，消除數(shù)據(jù)阻塞，消除數(shù)據(jù)的大規(guī)模擴(kuò)散。它不僅可以在很短的時間內(nèi)，還可以在很短的時間內(nèi)，探測到一些未知的病毒，但也有一個缺點(diǎn)，那就是虛警率很高。(2)誤用探測：這一技術(shù)也是以特征碼為基礎(chǔ)的。濫用檢測要通過對所識別的數(shù)據(jù)流和簽字庫中的簽字進(jìn)行全面的比較，從而判斷出數(shù)據(jù)流是否被病毒污染。簽署的原則，除常用的端口號碼和協(xié)定類型以外，還包含封包和簽署字元等。這種方法有一個優(yōu)點(diǎn)，就是可以精確地對某種特殊種類的病毒進(jìn)行識別，但是它也有一個缺點(diǎn)，那就是對不明的病毒很難進(jìn)行迅速的檢測，并且對病毒簽名的管理往往要花費(fèi)大量的資源和人員。（三）建立行之有效的計(jì)算機(jī)病毒防護(hù)體系計(jì)算機(jī)防病毒系統(tǒng)由多層保護(hù)組成，如病毒檢測層，病毒清除層，系統(tǒng)恢復(fù)層和訪問控制層。每個保護(hù)層通常與軟件和硬件支持一起使用。關(guān)閉硬件是計(jì)算機(jī)保護(hù)的重要要求。這些信息系統(tǒng)中使用的設(shè)備必須嚴(yán)格按照國家安全法規(guī)執(zhí)行，并擁有自己的制造公司和產(chǎn)品