計(jì)算機(jī)科學(xué)與技術(shù)畢業(yè)論文

1、計(jì)算機(jī)科學(xué)與技術(shù)畢業(yè)論文題 目 計(jì)算機(jī)病毒的預(yù)防技術(shù)探討 專 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 摘要：二十一世紀(jì)全世界的計(jì)算機(jī)都將通過internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。在當(dāng)今科技迅速發(fā)展的時(shí)代，計(jì)算機(jī)技術(shù)不僅給人們帶來了便利與驚喜，同時(shí)也在遭受著計(jì)算病毒帶來的煩惱和無奈，因?yàn)橛?jì)算機(jī)病毒不僅破壞文件，刪除有用的數(shù)據(jù)，還可導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，給計(jì)算機(jī)用戶造成巨大的損失。目前計(jì)算機(jī)病毒可以滲透到信息社會(huì)的各個(gè)領(lǐng)域，給計(jì)算機(jī)系統(tǒng)帶來了巨大的破壞和潛在的威脅。為了確保信息的安全與暢通，因此，研究計(jì)算機(jī)

2、病毒的防范措施已迫在眉睫。本文從計(jì)算機(jī)的特點(diǎn)入手，來初步探討對付計(jì)算機(jī)病毒的方法和措施。關(guān)鍵詞：計(jì)算機(jī)、防范、病毒 abstract:the twenty-first century will be the worlds computers go together through the internet, information security, the content also has been a fundamental change. it is not only from the generals defense has become a very common precautio

3、ns, but also from a specialized area became ubiquitous. in todays era of rapid technological development, computer and network technology not only brings convenience to people with surprises, but also in terms suffer from boredom and frustration caused by viruses, because computer viruses not only u

4、ndermine the file, delete the useful data, but also lead to paralysis of the entire computer system to give computer users to cause great losses. at present the computer virus can penetrate into the information society in various fields, to the computer system brought tremendous damage and potential

5、 threat. in order to ensure the safety and smooth flow of information, and therefore the study computer virus precautions imminent. in this paper, the characteristics of the computer and try to deal with computer viruses preliminary study methods and measures. key words:computer,prevention,virus第一章：

6、計(jì)算機(jī)病毒的內(nèi)涵、類型及特點(diǎn) 隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用，計(jì)算機(jī)病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報(bào)道，世界各國遭受計(jì)算機(jī)病毒感染和攻擊的事件數(shù)以億計(jì)，嚴(yán)重地干擾了正常的人類社會(huì)生活，給計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時(shí)，病毒技術(shù)在戰(zhàn)爭領(lǐng)域也曾廣泛的運(yùn)用，在海灣戰(zhàn)爭、近期的科索沃戰(zhàn)爭和伊拉克戰(zhàn)爭中，雙方都曾利用計(jì)算機(jī)病毒向敵方發(fā)起攻擊，破壞對方的計(jì)算機(jī)網(wǎng)絡(luò)和武器控制系統(tǒng)，達(dá)到了一定的政治目的與軍事目的。可以預(yù)見，隨著計(jì)算機(jī)、網(wǎng)絡(luò)運(yùn)用的不斷普及、深入，防范計(jì)算機(jī)病毒將越來越受到各國的高度重視。 11計(jì)算機(jī)病毒的定義及內(nèi)涵計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼 ,對計(jì)算機(jī)

7、的正常使用進(jìn)行破壞，使得電腦無法正常使用甚至整個(gè)操作系統(tǒng)或者電腦硬盤損壞。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。這種程序不是獨(dú)立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度，使機(jī)器不能正常運(yùn)行；重則使機(jī)器處于癱瘓，會(huì)給用戶帶來不可估量的損失。通常就把這種具有破壞作用的程序稱為計(jì)算機(jī)病毒。 除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅

8、僅表現(xiàn)在文字和圖像上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計(jì)算機(jī)的全部性能。計(jì)算機(jī)病毒：一種計(jì)算機(jī)程序，它可以附屬在可執(zhí)行文件或隱藏在系統(tǒng)數(shù)據(jù)區(qū)中，在開機(jī)或執(zhí)行某些程序后悄悄地進(jìn)駐內(nèi)存，然后對其它的文件進(jìn)行傳染，使之傳播出去，然后在特定的條件下破壞系統(tǒng)或騷擾用戶。目前有很多的清除病毒的軟件，但是新病毒還是層出不窮，成為一大危害。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好被環(huán)境激發(fā)，即可感染和破壞?！坝?jì)算機(jī)病毒”一詞最早是由美國計(jì)算機(jī)病毒研究專家f-coh

9、en博士提出的。 “病毒”一詞是借用生物學(xué)中的病毒。通過分析、研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。要做反計(jì)算機(jī)病毒技術(shù)的研究，首先應(yīng)搞清楚計(jì)算機(jī)病毒的特點(diǎn)和行為機(jī)理，為防范和清除計(jì)算機(jī)病毒提供充實(shí)可靠的依據(jù)。12計(jì)算機(jī)病毒的類型病毒是具有破壞修改計(jì)算機(jī)數(shù)據(jù),及硬件得程序。病毒的攻擊主要是通過“復(fù)制”、“改寫”、“刪除”等功能來實(shí)現(xiàn) 。1、可恢復(fù)性破壞：運(yùn)行時(shí)將宿主程序復(fù)原，保持正常運(yùn)行 。2、毀壞性破壞：傳染時(shí)對宿主程序進(jìn)行覆蓋性重寫，例如：405病毒 。3、替換性破壞：保持原文件名不變，例如：如alabama，format命令變成del 命令。 4、更新式傳染：有些病

10、毒家族進(jìn)行自動(dòng)升級更新。5、釋放式傳染：不將自身全部復(fù)制，只釋放子體程序，子體程序可以只具有表現(xiàn)/破壞模塊 ghost病毒傳染時(shí)將一種類似小球病毒但無傳染功能的子體傳染出去。 6、加密式傳染： 一是病毒自身加密，對付其他程序的檢測，二是對傳染對象進(jìn)行加密，作隱蔽用。denzuk病毒傳染引導(dǎo)區(qū)時(shí)，采用異常格式化方式，將原1-9扇區(qū)變成3-42區(qū)，檢測困難。 7、鍵盤干擾：改變輸入，如：typo病毒用被擊鍵右臨鍵碼代替輸入碼。（o-p） 8、格式化破壞：例如：aids information病毒在啟動(dòng)90次后，格式化磁盤。 9、刪除文件：有些病毒觸發(fā)后，刪除當(dāng)前執(zhí)行的文件，例如：黑色星期五病毒 。

11、10、寫入廢數(shù)據(jù)：有些病毒在破壞時(shí)對磁盤扇區(qū)寫入無用的字符，毀壞原來的文件數(shù)據(jù)。 例如：saturday 14th病毒破壞時(shí)對100個(gè)扇區(qū)亂寫，徹底毀壞引導(dǎo)區(qū)、fat和文件目錄； vp病毒在傳染.com文件時(shí)，另將vp寫入每個(gè)驅(qū)動(dòng)器的引導(dǎo)區(qū)中。 11、篡改（竄改）文件名 ：例如：pretoria病毒發(fā)作時(shí)將根目錄下的所有文件改名 。12、設(shè)計(jì)錯(cuò)誤：病毒編寫錯(cuò)誤造成預(yù)想之外的效果。 例如：4096病毒編寫時(shí)未把年份、文件長度寫入，在傳染一個(gè)文件后，dos將給出”error in exe file” 嚴(yán)重破壞被傳染文件 13計(jì)算機(jī)病毒的特征特性再生機(jī)制是生物病毒的一個(gè)重要特征。通過傳染，病毒從一個(gè)

12、生物體擴(kuò)散到另一個(gè)生物體。在適宜的條件下，它得到大量繁殖，并進(jìn)而使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣地，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。這就是計(jì)算機(jī)病毒最重要的特征傳染和破壞。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就與系統(tǒng)中的程序連接在一起，并不斷地去傳染(或連接、或覆蓋)其它未被感染的程序。具有這種特殊功能的程序代碼被稱為計(jì)算機(jī)病毒。攜帶有這種程序代碼的計(jì)算機(jī)程序被稱為計(jì)算機(jī)病毒載體或被感染程序。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最

13、重要條件。正常的計(jì)算機(jī)程序是不會(huì)將自身的代碼強(qiáng)行連接到其它程序之上的。比如dos的format程序決不會(huì)將其程序代碼連接到別的程序中去。在系統(tǒng)生成過程中有些系統(tǒng)的安裝程序會(huì)修改相關(guān)程序的參數(shù)配置，如mswindows系統(tǒng)。有些程序通過自身的設(shè)置功能，按用戶要求會(huì)修改自己的參數(shù)設(shè)置，如borland公司的sidekick。還有些程序出于加密防拷貝或某些其它目的，在運(yùn)行時(shí)動(dòng)態(tài)改變自身的程序代碼，如xcom通信程序。在這幾種情況下，那些被修改的程序內(nèi)部的確發(fā)生了變化，但這些變化只局限于各自應(yīng)用系統(tǒng)的內(nèi)部，不會(huì)發(fā)生將自身代碼連接到毫不相干的程序之上的情形。計(jì)算機(jī)病毒的再生機(jī)制，即它的傳染機(jī)制卻是使病毒

14、代碼強(qiáng)行傳染到一切未受到傳染的程序之上，迅速地在一臺(tái)計(jì)算機(jī)內(nèi)，甚至在一群計(jì)算機(jī)之間進(jìn)行傳染、擴(kuò)散。每一臺(tái)被感染了計(jì)算機(jī)病毒的計(jì)算機(jī)，本身既是一個(gè)受害者，又是一個(gè)新的計(jì)算機(jī)病毒的傳染源。被感染的計(jì)算機(jī)往往在一定程度上喪失了正常工作的能力，運(yùn)行速度降低，功能失常，文件和數(shù)據(jù)丟失，同時(shí)計(jì)算機(jī)病毒通過各種可能的渠道，如軟盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。當(dāng)你在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過的軟盤已感染上了病毒;而與這臺(tái)機(jī)器相鄰的其它幾臺(tái)計(jì)算機(jī)也許早已被該病毒侵染上了。通過數(shù)據(jù)共享的途徑，計(jì)算機(jī)病毒會(huì)非常迅速地蔓延開，若不加控制，就會(huì)在短時(shí)間內(nèi)傳播到世界各個(gè)角落里去?？梢姺从?jì)算機(jī)病毒的

15、問題是一個(gè)全球范圍的問題。在我國發(fā)現(xiàn)的首例計(jì)算機(jī)病毒就是國外稱為意大利病毒的小球病毒。在我國首先發(fā)現(xiàn)的traveller病毒隨著國際間的交往，也擴(kuò)散到國外，其大名出現(xiàn)在國外殺病毒軟件的病毒黑名單中。與生物病毒不同，所有的計(jì)算機(jī)病毒都是人為編寫的計(jì)算機(jī)程序代碼，是人為制造出來的而不是天生的。這些著意編寫的計(jì)算機(jī)程序代碼，其原始形式可以是c語言，可以是basic程序，可以是匯編語言程序，也可以是批命令程序，還可以是機(jī)器指令程序。其共同特點(diǎn)就是具有傳染性和破壞性。 計(jì)算機(jī)病毒的另一個(gè)特征是只有當(dāng)它在計(jì)算機(jī)內(nèi)得以運(yùn)行時(shí)，才具有傳染性和破壞性等活性。也就是說計(jì)算機(jī)cpu的控制權(quán)是關(guān)鍵問題。若計(jì)算機(jī)在正常

16、程序控制下運(yùn)行，而不運(yùn)行帶病毒的程序，則這臺(tái)計(jì)算機(jī)總是可靠的。在這臺(tái)計(jì)算機(jī)上可以查看病毒文件的名字，查看計(jì)算機(jī)病毒的代碼，打印病毒的代碼，甚至拷貝病毒程序，卻都不會(huì)感染上病毒。反病毒技術(shù)人員整天就是在這樣的環(huán)境下工作。他們的計(jì)算機(jī)雖也存有各種計(jì)算機(jī)病毒的代碼，但已置這些病毒于控制之下，計(jì)算機(jī)不會(huì)運(yùn)行病毒程序，整個(gè)系統(tǒng)是安全的。相反，計(jì)算機(jī)病毒一經(jīng)在計(jì)算機(jī)上運(yùn)行，絕大多數(shù)病毒首先要做初始化工作，在內(nèi)存中找一片安身之處，隨后將自身與系統(tǒng)軟件掛起鉤來，然后再執(zhí)行原來被感染程序。這一系列的操作中，最重要的是病毒與系統(tǒng)軟件掛起鉤來，只要系統(tǒng)不癱瘓，系統(tǒng)每執(zhí)行一次操作，病毒就有機(jī)會(huì)得以運(yùn)行，去危害那些未曾

17、被感染的程序。病毒程序與正常系統(tǒng)程序，或某種病毒與其它病毒程序，在同一臺(tái)計(jì)算機(jī)內(nèi)爭奪系統(tǒng)控制權(quán)時(shí)往往會(huì)造成系統(tǒng)崩潰，導(dǎo)致計(jì)算機(jī)癱瘓。反病毒技術(shù)也就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)。反病毒技術(shù)的優(yōu)劣就是體現(xiàn)在這一點(diǎn)上。一個(gè)好的抗病毒系統(tǒng)應(yīng)該不僅能可靠地識(shí)別出已知計(jì)算機(jī)病毒的代碼，阻止其運(yùn)行或旁路掉其對系統(tǒng)的控制權(quán)(實(shí)現(xiàn)安全帶毒運(yùn)行被感染程序)，還應(yīng)該識(shí)別出未知計(jì)算機(jī)病毒在系統(tǒng)內(nèi)的行為，阻止其傳染和破壞系統(tǒng)的行動(dòng)。而低性能的抗病毒系統(tǒng)只能完成對抗已知病毒的任務(wù)，對未知病毒則束手無策，任其在系統(tǒng)內(nèi)擴(kuò)散與破壞。所謂未知病毒是指新出現(xiàn)的，以前未曾分析過的

18、計(jì)算機(jī)病毒。在1992年初，dir病毒對我國廣大pc機(jī)用戶來說就是一種未知病毒。與未曾相識(shí)的敵手對陣不是件容易的事。dir病毒采用嵌入dos系統(tǒng)的設(shè)備驅(qū)動(dòng)程序鏈的方法攻擊ibmpc及其兼容機(jī)，是一種與以往病毒工作機(jī)制不同的新型計(jì)算機(jī)病毒。由于其奪取pc機(jī)系統(tǒng)控制權(quán)的方法很特別，在它的攻勢下，大批抗病毒系統(tǒng)敗下陣來。從這個(gè)例子可以看到，對付計(jì)算機(jī)病毒，目前尚無完滿通用的解決方案，反病毒技術(shù)需要不斷發(fā)展，以對抗各種新病毒。 不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)后，可以在不到1秒鐘的時(shí)間里傳染幾百個(gè)程

19、序，而且在屏幕上沒有任何異常顯示。傳染操作完成后，計(jì)算機(jī)系統(tǒng)仍能運(yùn)行，被感染的程序仍能執(zhí)行，好像不曾在計(jì)算機(jī)內(nèi)發(fā)生過什么。這種現(xiàn)象就是計(jì)算機(jī)病毒傳染的隱蔽性。正是由于這隱蔽性，計(jì)算機(jī)病毒得以在用戶沒有察覺的情況下游蕩于世界上百萬臺(tái)計(jì)算機(jī)中。讓我們設(shè)想，如果計(jì)算機(jī)病毒每當(dāng)感染一個(gè)新的程序時(shí)都在屏幕上顯示一條信息“我是病毒程序，我要干壞事了”，那么計(jì)算機(jī)病毒早就被控制住了。確實(shí)有些病毒非?！坝掠诒┞蹲约骸保瑫r(shí)不時(shí)在屏幕上顯示一些圖案或信息，或演奏一段樂曲。往往此時(shí)那臺(tái)計(jì)算機(jī)內(nèi)已有許多病毒的拷貝了。許多計(jì)算機(jī)用戶對計(jì)算機(jī)病毒沒有任何概念，更不用說心理上的警惕了。他們見到這些新奇的屏幕顯示和音響效果，

20、還以為是來自計(jì)算機(jī)系統(tǒng)，而沒有意識(shí)到這些病毒正在損害計(jì)算機(jī)系統(tǒng)，正在制造災(zāi)難。如磁盤殺手(diskkiller)病毒，當(dāng)它破壞磁盤數(shù)據(jù)時(shí)，屏幕上顯示如下信息:“diskkillerversion1.00byogresoftware，april1，1989.dontturnoffthepowerorremovethediskettewhileprocessing.”這兩句話中，第一句的含義是:“磁盤殺手1.00版ogresoftware公司1989年4月1日出版?！钡诙涞暮x是:“在處理過程中請不要關(guān)機(jī)或取出磁盤。”接著屏幕上顯示出“processing”意思是“正在處理”這時(shí)diskkill

21、er病毒鎖定鍵盤，對磁盤上的數(shù)據(jù)做加密變換處理。計(jì)算機(jī)的處理速度是很快的，當(dāng)你在屏幕上見到上述顯示信息時(shí)，已經(jīng)有很多數(shù)據(jù)被病毒破壞掉了。計(jì)算機(jī)病毒的第二個(gè)隱蔽性在于，被病毒感染的計(jì)算機(jī)在多數(shù)情況下仍能維持其部分功能，不會(huì)由于一感染上病毒，整臺(tái)計(jì)算機(jī)就不能啟動(dòng)了，或者某個(gè)程序一旦被病毒所感染，就被損壞得不能運(yùn)行了。如果出現(xiàn)這種情況，病毒也就不能流傳于世了。計(jì)算機(jī)病毒設(shè)計(jì)的精巧之處也在這里。正常程序被計(jì)算機(jī)病毒感染后，其原有功能基本上不受影響，病毒代碼附于其上而得以存活，得以不斷地得到運(yùn)行的機(jī)會(huì)，去傳染出更多的復(fù)制體，與正常程序爭奪系統(tǒng)的控制權(quán)和磁盤空間，不斷地破壞系統(tǒng)，導(dǎo)致整個(gè)系統(tǒng)的癱瘓。病毒的

22、代碼設(shè)計(jì)得非常精巧而又短小。典型的是tiny家族。這個(gè)家族的病毒都很短小，最小的病毒代碼長度只有133字節(jié)。一般pc機(jī)對dos文件的存取速度可達(dá)每秒100kb以上，所以病毒將這短短的幾百字節(jié)感染到正常程序之中所花的時(shí)間只是轉(zhuǎn)瞬之間，非常不易被察覺。 與隱蔽性相關(guān)聯(lián)的是計(jì)算機(jī)病毒的潛伏性。潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就又要四處繁殖、擴(kuò)散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，

23、有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。計(jì)算機(jī)病毒使用的觸發(fā)條件主要有以下三種。(1)利用計(jì)算機(jī)內(nèi)的實(shí)時(shí)時(shí)鐘提供的時(shí)間作為觸發(fā)器這種觸發(fā)條件被許多病毒所采用，觸發(fā)的時(shí)間有的精確到百分之幾秒，有的則只區(qū)分年份。表11列出了一些病毒觸發(fā)的時(shí)間，可以供防范計(jì)算機(jī)病毒時(shí)參考。(2)利用病毒體內(nèi)自帶的計(jì)數(shù)器作為觸發(fā)器計(jì)算機(jī)病毒利用計(jì)數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計(jì)數(shù)器達(dá)到某一設(shè)定的值，就執(zhí)行破壞操作。這些事件可以是計(jì)算機(jī)開機(jī)的次數(shù)，可以是病毒程序被運(yùn)行的次數(shù)，還可以是從開機(jī)起被運(yùn)行過的總的程序個(gè)數(shù)等。(3)

24、利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器特定操作可以是用戶按下某種特定的鍵組合，可以是執(zhí)行格式化命令，也可以是讀寫磁盤的某些扇區(qū)等。表11計(jì)算機(jī)病毒觸發(fā)時(shí)間一覽表被計(jì)算機(jī)病毒使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一條件，而是使用由多個(gè)條件組合起來的觸發(fā)條件。大多數(shù)病毒的組合觸發(fā)條件是基于時(shí)間的，再輔以讀、寫盤操作，按鍵操作以及其它條件。如在我國廣為流傳的小球病毒，每當(dāng)系統(tǒng)時(shí)鐘為整點(diǎn)或半點(diǎn)時(shí)，系統(tǒng)又正在進(jìn)行讀盤操作，而該盤是未被感染的，等等，一旦這些條件得到滿足時(shí)，小球病毒的屏幕顯示部分便被激活，一個(gè)小球彈跳在屏幕上。若顯示器是cga類型的，又正在使用漢字系統(tǒng)，則整個(gè)屏幕顯示

25、會(huì)不停地上下翻滾，使操作根本無法進(jìn)行。小球病毒的觸發(fā)條件在各種觸發(fā)條件中是很典型的，既有時(shí)間的條件，又有功能操作的條件，而且條件之間還存在著邏輯“與”和邏輯“或”的關(guān)系。利用這種觸發(fā)條件，計(jì)算機(jī)病毒不是隨時(shí)隨地表現(xiàn)自己，而是在適當(dāng)?shù)臅r(shí)機(jī)條件滿足時(shí)才向你示威，輕則只是在屏幕上顯示些信息，重則要銷毀數(shù)據(jù)，弄垮整個(gè)系統(tǒng)。計(jì)算機(jī)病毒的破壞作用是多種多樣的。有一種分類方法是將病毒分為惡性病毒和良性病毒。惡性病毒就是指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對系統(tǒng)產(chǎn)生直接的破壞作用。這類病毒是很多的，如米開朗琪羅病毒。當(dāng)米氏病毒發(fā)作時(shí)，硬盤的前17個(gè)扇區(qū)將被徹底破壞，使整個(gè)硬盤上的數(shù)

26、據(jù)無法被恢復(fù)，造成的損失是無法挽回的。有的病毒還會(huì)對硬盤做格式化等破壞。這些操作代碼都是刻意編寫進(jìn)病毒的，這是其本性之一。因此這類惡性病毒是很危險(xiǎn)的，應(yīng)當(dāng)注意防范。所幸防病毒系統(tǒng)可以通過監(jiān)控系統(tǒng)內(nèi)的這類異常動(dòng)作識(shí)別出計(jì)算機(jī)病毒的存在與否，或至少發(fā)出警報(bào)提醒用戶注意。良性病毒是指其不包含有立即對計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進(jìn)行擴(kuò)散，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。有些人對這類計(jì)算機(jī)病毒的傳染不以為然，認(rèn)為這只是惡作劇，沒什么關(guān)系。其實(shí)良性、惡性都是相對而言的。良性病毒取得系統(tǒng)控制權(quán)后，會(huì)導(dǎo)致整個(gè)系統(tǒng)運(yùn)行效率降低，系統(tǒng)可用內(nèi)存總數(shù)減少，使某

27、些應(yīng)用程序不能運(yùn)行。它還與操作系統(tǒng)和應(yīng)用程序爭搶cpu的控制權(quán)，時(shí)時(shí)導(dǎo)致整個(gè)系統(tǒng)死鎖，給正常操作帶來麻煩。有時(shí)系統(tǒng)內(nèi)還會(huì)出現(xiàn)幾種病毒交叉感染的現(xiàn)象，一個(gè)文件不停地反復(fù)被幾種病毒所感染。例如原來只有10kb的文件變成約90kb，就是被幾種病毒反復(fù)感染了數(shù)十次。這不僅消耗掉大量寶貴的磁盤存儲(chǔ)空間，而且整個(gè)計(jì)算機(jī)系統(tǒng)也由于多種病毒寄生于其中而無法正常工作。因此也不能輕視所謂良性病毒對計(jì)算機(jī)系統(tǒng)造成的損害。計(jì)算機(jī)病毒的實(shí)現(xiàn)方法是千差萬別的，加上許多病毒采用加密處理技術(shù)，使得被感染的程序恢復(fù)原形的工作，即殺毒工作很困難。目前還沒有通用的、能可靠自動(dòng)清病毒的方法。很多研究人員在這方面作了很多努力，一些國外

28、商品軟件也具有免疫功能(immunize)，但都存在缺陷，不盡如人意。某些病毒對系統(tǒng)的感染所造成的損失是不可挽回的，要修復(fù)被感染的文件是不可能的。當(dāng)被新病毒感染后，要清除這些病毒，不僅需要耗費(fèi)大量時(shí)間和精力去仔細(xì)地分析病毒代碼，而且還需要對病毒和計(jì)算機(jī)系統(tǒng)有全面的了解。因此抗計(jì)算機(jī)病毒工作最重要的就是防御病毒，不讓病毒侵入系統(tǒng)。一旦遭到破壞，做修復(fù)工作就很麻煩了，甚至是不可能的。 14計(jì)算機(jī)病毒的表現(xiàn)癥狀計(jì)算機(jī)受到病毒感染后，會(huì)表現(xiàn)出不同的癥狀。 1、 機(jī)器不能正常啟動(dòng) 。加電后機(jī)器根本不能啟動(dòng)，或者可以啟動(dòng)，但所需要的時(shí)間比原來的啟動(dòng)時(shí)間變長了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。 2、運(yùn)行速度降低 。

29、如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí)，讀取數(shù)據(jù)的時(shí)間比原來長，存文件或調(diào)文件的時(shí)間都增加了，那就可能是由于病毒造成的。 3、磁盤空間迅速變小 。由于病毒程序要進(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?”，用戶什么信息也進(jìn)不去。 4、文件內(nèi)容和長度有所改變 。一個(gè)文件存入磁盤后，本來它的長度和其內(nèi)容都不會(huì)改變，可是由于病毒的干擾，文件長度可能改變，文件內(nèi)容也可能出現(xiàn)亂碼。有時(shí)文件內(nèi)容無法顯示或顯示后又消失了。 5、經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象 。正常的操作是不會(huì)造成死機(jī)現(xiàn)象的，即使是初學(xué)者，命令輸入不對也不會(huì)死機(jī)。如果機(jī)器經(jīng)常死機(jī)，那可能是由于系統(tǒng)被病毒感染了。 6、外部設(shè)備工作異常 。因?yàn)橥獠吭O(shè)備受系

30、統(tǒng)的控制，如果機(jī)器中有病毒，外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些異常情況，出現(xiàn)一些用理論或經(jīng)驗(yàn)說不清道不明的現(xiàn)象。 以上僅列出一些比較常見的病毒表現(xiàn)形式，肯定還會(huì)遇到一些其他的特殊現(xiàn)象，這就需要由用戶自己判斷了。 15近幾年新產(chǎn)生的幾種主要病毒的特點(diǎn)自80年代莫里斯編制的第一個(gè)“蠕蟲”病毒程序至今，世界上已出現(xiàn)了多種不同類型的病毒。在最近幾年，又產(chǎn)生了以下幾種主要病毒：1、u盤寄生蟲病毒名稱：virus.autorun.gr中文名：u盤寄生蟲變種gr病毒長度：22096字節(jié)病毒類型：蠕蟲危險(xiǎn)級別：影響平臺(tái)：win9x/me/nt/2000/xp/2003virus.autorun“u盤寄生蟲”是一個(gè)

31、利用u盤等移動(dòng)設(shè)備進(jìn)行傳播的蠕蟲?！皍盤寄生蟲”是針對autorun.inf這樣的自動(dòng)播放文件的蠕蟲病毒。autorun.inf文件一般存在于u盤、mp3、移動(dòng)硬盤和硬盤各個(gè)分區(qū)的根目錄下，當(dāng)用戶雙擊u盤等設(shè)備的時(shí)候，該文件就會(huì)利用windows系統(tǒng)的自動(dòng)播放功能優(yōu)先運(yùn)行autorun.inf文件，而該文件就會(huì)立即執(zhí)行所要加載的病毒程序，從而破壞用戶計(jì)算機(jī)，使用戶計(jì)算機(jī)遭受損失。 2、arp病毒病毒名稱：“arp”類病毒病毒中文名：“arp”類病毒病毒類型：木馬危險(xiǎn)級別：影響平臺(tái)：win9x/me/nt/2000/xp/2003描述：arp地址欺騙類病毒（以下簡稱arp病毒）是一類特殊的病毒，

32、該病毒一般屬于木馬(trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的arp數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。通過偽造ip地址和mac地址實(shí)現(xiàn)arp欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的arp通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“maninthemiddle”進(jìn)行arp重定向和嗅探攻擊。用偽造源mac地址發(fā)送arp響應(yīng)包，對arp高速緩存機(jī)制的攻擊。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行arp欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。切換到

33、病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號了。 3、網(wǎng)游大盜病毒名稱：trojan/psw.gamepass.jws中文名：“網(wǎng)游大盜”變種jws病毒長度：13739字節(jié)病毒類型：木馬危害等級：影響平臺(tái)：win9x/me/nt/2000/xp/2003trojan/psw.gamepass.jws“網(wǎng)游大盜”變種jws是“網(wǎng)游大盜”木馬家族最新變種之一，采用visualc+編寫，并經(jīng)過加殼處理?！熬W(wǎng)游大盜”變種jws運(yùn)行后，會(huì)將自我復(fù)制到windows目錄下，自我注冊為“windows_down”系統(tǒng)

34、服務(wù)，實(shí)現(xiàn)開機(jī)自啟。該病毒會(huì)盜取包括“傳奇世界”、“魔獸世界”、“完美世界”、“征途”、“武林外傳”等多款網(wǎng)游玩家的帳戶和密碼，并且會(huì)下載其它病毒到本地運(yùn)行。玩家計(jì)算機(jī)一旦中毒，就可能導(dǎo)致游戲帳號、裝備等丟失，給玩家?guī)頁p失。 4、msn性感相冊病毒名稱：worm/msn.sendphoto.a中文名：性感相冊病毒類型：蠕蟲危害等級：影響平臺(tái)：win9x/me/nt/2000/xp/2003病毒運(yùn)行特征：該病毒運(yùn)行時(shí)，會(huì)通過msn即時(shí)聊天工具向msn上的好友發(fā)送大小為479382字節(jié)的photos.zip病毒包，該壓縮包里面包含名為photosalbum-2007-5-26.scr病毒文件，同

35、時(shí)會(huì)隨機(jī)向好友發(fā)送一些帶有誘惑性的信息，如：“看看我的性感相片”，“圣誕節(jié)快樂”等。 5、ani病毒病毒名稱：exploit.anifile病毒中文名：ani病毒病毒類型：蠕蟲危險(xiǎn)級別：影響平臺(tái)：windows2000/xp/2003/vista描述：以exploit.anifile.b為例，“ani毒”變種b是一個(gè)利用微軟windows系統(tǒng)ani文件處理漏洞(ms07-017)進(jìn)行傳播的網(wǎng)絡(luò)蠕蟲?！癮ni毒”變種b運(yùn)行后，自我復(fù)制到系統(tǒng)目錄下。修改注冊表，實(shí)現(xiàn)開機(jī)自啟動(dòng)。感染正常的可執(zhí)行文件和本地網(wǎng)頁文件，并下載大量木馬程序。感染本地磁盤和網(wǎng)絡(luò)共享目錄下的多種類型的網(wǎng)頁文件（包括*.html

36、，*.aspx，*.htm，*.php，*.jsp，*.asp），植入利用ani文件處理漏洞的惡意代碼。自我復(fù)制到各邏輯盤根目錄下，并創(chuàng)建autorun.inf自動(dòng)播放配置文件。雙擊盤符即可激活病毒，造成再次感染。修改hosts文件，屏蔽多個(gè)網(wǎng)址，這些網(wǎng)址大多是以前用來傳播其它病毒的站點(diǎn)。另外，“ani毒”變種b還可以利用自帶的smtp引擎通過電子郵件進(jìn)行傳播。 6、機(jī)器狗病毒病毒名稱：trojan/agent.pgz中文名：機(jī)器狗病毒類型：木馬危害等級：影響平臺(tái)：win9x/me/nt/2000/xp/2003病毒運(yùn)行特征：“機(jī)器狗”病毒主要在網(wǎng)吧等使用系統(tǒng)還原軟件以及硬盤還原卡的環(huán)境下發(fā)作

37、。病毒運(yùn)行后，會(huì)在%windir%system32drivers目錄下釋放出一個(gè)名為pcihdd.sys的驅(qū)動(dòng)程序，該文件會(huì)接管冰點(diǎn)或者硬盤保護(hù)卡對硬盤的讀寫操作，這樣該病毒就破解了還原系統(tǒng)的保護(hù)，使冰點(diǎn)、硬盤保護(hù)卡實(shí)效。接著，該病毒會(huì)利用ms06-014和ms07-017系統(tǒng)漏洞和等多個(gè)應(yīng)用軟件漏洞，從http:/xx.exiao*.com/、http:/www.h*.biz/、http:/www.xqh*.com/等惡意網(wǎng)址下載多款網(wǎng)游木馬，盜取包括傳奇、魔獸世界、征途、奇跡等多款網(wǎng)游帳號和密碼，嚴(yán)重威脅游戲玩家數(shù)字財(cái)產(chǎn)的安全。正因?yàn)檫€原軟件和硬盤保護(hù)卡大多在網(wǎng)吧使用，因此網(wǎng)吧成為該病毒發(fā)

38、作的重災(zāi)區(qū)。 7、代理木馬病毒名稱：trojan/agent病毒中文名：代理木馬病毒類型：木馬危險(xiǎn)級別：影響平臺(tái)：win9x/me/nt/2000/xp/2003描述：盜取用戶機(jī)密信息，下載惡意程序?！按砟抉R”及其變種是一個(gè)盜取用戶計(jì)算機(jī)上機(jī)密信息的木馬程序?！按砟抉R”變種cfd運(yùn)行后，自我復(fù)制到windows目錄下。修改注冊表，實(shí)現(xiàn)開機(jī)自啟。偵聽黑客指令，盜取用戶計(jì)算機(jī)上的機(jī)密信息，并將機(jī)密信息發(fā)送到黑客指定的郵箱里?！按砟抉R”會(huì)從網(wǎng)上下載大量的惡意程序，通過系統(tǒng)漏洞感染目標(biāo)電腦，中毒電腦可能會(huì)成為黑客操縱的“肉雞”，嚴(yán)重威脅電腦中的數(shù)據(jù)安全。 8、av殺手病毒名稱：trojan/ki

39、llav.ak中文名：“av殺手”變種ak病毒長度：19293字節(jié)病毒類型：木馬危險(xiǎn)級別：影響平臺(tái)：win9x/me/nt/2000/xp/2003。trojan/killav.ak“av殺手”變種ak是“av殺手”木馬家族的最新成員之一，采用delphi語言編寫，并經(jīng)過加殼處理。“av殺手”變種ak運(yùn)行后，自我修改文件屬性為“隱藏”。強(qiáng)行篡改注冊表相關(guān)鍵值，致使文件夾選項(xiàng)中的“顯示隱藏文件”功能失效。利用windows映像劫持技術(shù)（ifeo），修改注冊表，致使許多與安全相關(guān)的軟件無法啟動(dòng)運(yùn)行。在被感染計(jì)算機(jī)的后臺(tái)調(diào)用系統(tǒng)“spoolsv.exe”進(jìn)程，將惡意代碼注入其中并調(diào)用運(yùn)行，隱藏自我，

40、防止被查殺。在后臺(tái)連接駭客指定遠(yuǎn)程服務(wù)器站點(diǎn)，下載惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。在所有盤根目錄下生成“autorun.inf”文件（磁盤映像劫持文件）和病毒體文件，實(shí)現(xiàn)用戶一雙擊盤符就啟動(dòng)“av殺手”變種ak運(yùn)行的功能。 9、real腳本病毒病毒名稱：exploit.js.real中文名：real腳本病毒病毒長度：可變類型：網(wǎng)頁腳本危害等級：影響平臺(tái):windows98/2000/2003/xp描述：real腳本病毒是利用realplayer播放器activex控件安全漏洞的惡意網(wǎng)頁腳本，常用于自動(dòng)下載執(zhí)行木馬程序。病毒隱藏在real格式的視頻文件中，用戶一旦下載點(diǎn)擊運(yùn)行便會(huì)立刻中毒

41、，許多熱衷于網(wǎng)上下載視頻文件的電腦用戶因此中毒。 10、熊貓燒香病毒名稱：worm.whboy.h中文名：“熊貓燒香”病毒長度：可變病毒類型：蠕蟲危害等級：影響平臺(tái)：win9x/me/nt/2000/xp/2003以worm.whboy.h為例，熊貓燒香是一個(gè)由delphi工具編寫的蠕蟲病毒，能夠終止大量的反病毒軟件和防火墻軟件進(jìn)程，病毒會(huì)刪除擴(kuò)展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)?！靶茇垷恪备腥鞠到y(tǒng)的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁文件，ie就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。在硬

42、盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe.病毒還可以通過u盤和移動(dòng)硬盤等方式進(jìn)行傳播，并且利用windows系統(tǒng)的自動(dòng)播放功能來運(yùn)行。“熊貓燒香”還可以修改注冊表啟動(dòng)項(xiàng)，以使自身隨操作系統(tǒng)同步運(yùn)行。搜索硬盤中的*.exe可執(zhí)行文件并感染文件，被感染的文件圖標(biāo)變成“熊貓燒香”的圖案。病毒還可以通過共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。 另外比較典型的病毒還有：“美麗殺手”（melissa）病毒。這種病毒是專門針對微軟電子郵件服務(wù)器ms exchange和電子郵件收發(fā)軟件0utlookexpress的word宏病毒，是一種拒絕服務(wù)的攻擊型病毒，能夠影響計(jì)算機(jī)運(yùn)行微軟wor

43、d97、word2000和0utlook。這種病毒是一種word文檔附件，由e-mall攜帶傳播擴(kuò)散。由于這種病毒能夠自我復(fù)制，一旦用戶打開這個(gè)附件，“美麗殺手”病毒就會(huì)使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動(dòng)復(fù)制發(fā)送，從而過載e-mai1服務(wù)器或使之損壞?！懊利悮⑹帧辈《镜臄U(kuò)散速度之快可達(dá)幾何級數(shù)，據(jù)計(jì)算，如果“美麗殺手”病毒能夠按照理論上的速度傳播，只需要繁殖 5次就可以讓全世界所有的網(wǎng)絡(luò)用戶都都收到一份?！懊利悮⑹帧辈《镜淖盍钊丝植乐庍€不僅是拒絕電子郵件服務(wù)器，而是使用戶的非常敏感和核心的機(jī)密信息在不經(jīng)意間通過電子郵件的反復(fù)傳播和擴(kuò)散而被泄漏出去，連擴(kuò)散到了

44、什么地方可能都不得而知。據(jù)外電報(bào)道，在北約對南聯(lián)盟發(fā)動(dòng)的戰(zhàn)爭行動(dòng)中，證實(shí)“美麗殺手”病毒己使 5萬部電腦主機(jī)和幾十萬部電腦陷于癱瘓而無法工作，網(wǎng)絡(luò)被空數(shù)據(jù)包阻塞，迫使許多用戶關(guān)機(jī)避災(zāi)。 “怕怕”（papa）病毒?！芭屡隆辈《臼橇硪环Nexcel宏病毒，它能夠繞開網(wǎng)絡(luò)管理人員設(shè)置的保護(hù)措施進(jìn)入計(jì)算機(jī)。這種病毒與“美麗殺手”病毒相類似，其區(qū)別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播，拒絕服務(wù)和阻塞網(wǎng)絡(luò)，而且更為嚴(yán)重的是它能使整個(gè)網(wǎng)絡(luò)癱瘓，使被它感染的文件所具有的宏病毒預(yù)警功能喪失作用?！隘偱！保╩ad cow）和“怕怕b”病毒。 這兩種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。

45、正當(dāng)美國緊急動(dòng)員起來對付3月26日發(fā)現(xiàn)的“美麗殺手”和“怕怕”病毒時(shí)，在歐洲又出現(xiàn)了它們的新變種“美麗殺手b”（又叫作“瘋牛”）和“怕怕b”，目前正橫掃歐洲大陸，造成大規(guī)模破壞，而且還正在向全世界擴(kuò)散蔓延。 雖然這兩種病毒變種的病毒代碼不同，可能不是一個(gè)人所編寫，但是，它們同樣也是通過發(fā)送word和excel文件而傳播。每次被激活后， 這種病毒就會(huì)向用戶電子郵件簿的前60個(gè)地址發(fā)送垃圾郵件；它還可以向一個(gè)外部網(wǎng)站發(fā)送網(wǎng)絡(luò)請求，占用大量的帶寬而阻滯網(wǎng)絡(luò)的工作，其危害性比原型病毒有過之而無不及?！靶腋?999”宏病毒。 這是一種比“美麗殺手”的破壞作用小得多的病毒。“幸福1999”病毒會(huì)改變計(jì)算機(jī)

46、中的微軟公司windows程序與internet網(wǎng)工作。這種病毒還發(fā)送一個(gè)執(zhí)行文件，激活焰火顯示，使屏幕碎裂?！斑葸荨保╬ing）轟擊病毒?！斑葸荨鞭Z擊病毒的英文單詞是“分組internet 搜索者”的縮寫，指的是將一個(gè)分組信息發(fā)送到服務(wù)器并等待其響應(yīng)的過程，這是用戶用以確定一個(gè)系統(tǒng)是否在internet網(wǎng)上運(yùn)行的一種方法。據(jù)外電報(bào)道，運(yùn)用“咻咻”（ping）轟擊病毒，發(fā)送大量的“咻咻”空數(shù)據(jù)包，使服務(wù)器過載，不能對其它用戶作出響應(yīng)。16計(jì)算機(jī)病毒的特點(diǎn)：1、非授權(quán)可執(zhí)行性。用戶通常調(diào)用執(zhí)行一個(gè)程序時(shí),把系統(tǒng)控制交給這個(gè)程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運(yùn)行完成用戶的需求。因此

47、程序執(zhí)行的過程對用戶是透明的。而計(jì)算機(jī)病毒是非法程序,正常用戶是不會(huì)明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性:可存儲(chǔ)性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當(dāng)用戶運(yùn)行正常程序時(shí),病毒伺機(jī)竊取到系統(tǒng)的控制權(quán),得以搶先運(yùn)行,然而此時(shí)用戶還認(rèn)為在執(zhí)行正常程序。 2、隱蔽性。計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中,或者磁盤上標(biāo)為壞簇的扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲(chǔ)性。病毒想方設(shè)法隱藏自身,就是為了防止用戶察覺。 3、傳染性。傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病

48、毒的依據(jù)。病毒程序一旦侵入計(jì)算機(jī)系統(tǒng)就開始搜索可以傳染的程序或者磁介質(zhì),然后通過自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá),計(jì)算機(jī)病毒可以在極短的時(shí)間內(nèi),通過像 internet這樣的網(wǎng)絡(luò)傳遍世界。 4、潛伏性。計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來,然后在用戶不察覺的情況下進(jìn)行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長,病毒傳染的范圍也越廣,其危害性也越大。 5、表現(xiàn)性或破壞性。無論何種病毒程序一旦侵入系統(tǒng)都會(huì)對操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生

49、破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運(yùn)行,還有一些病毒程序刪除文件,加密磁盤中的數(shù)據(jù),甚至摧毀整個(gè)系統(tǒng)和數(shù)據(jù),使之無法恢復(fù),造成無可挽回的損失。因此,病毒程序的副作用輕者降低系統(tǒng)工作效率,重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。 6、可觸發(fā)性。計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制,使之進(jìn)行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計(jì)者的要求,在一定條件下實(shí)施攻擊。這

50、個(gè)條件可以是敲入特定字符,使用特定文件,某個(gè)特定日期或特定時(shí)刻,或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。 第二章：計(jì)算機(jī)病毒的技術(shù)分析長期以來，人們設(shè)計(jì)計(jì)算機(jī)的目標(biāo)主要是追求信息處理功能的提高和生產(chǎn)成本的降低，而對于安全問題則重視不夠。計(jì)算機(jī)系統(tǒng)的各個(gè)組成部分，接口界面，各個(gè)層次的相互轉(zhuǎn)換，都存在著不少漏洞和薄弱環(huán)節(jié)。硬件設(shè)什缺乏整體安全性考慮，軟件方面也更易存在隱患和潛在威脅。對計(jì)算機(jī)系統(tǒng)的測試，目前尚缺乏自動(dòng)化檢測工具和系統(tǒng)軟件的完整檢驗(yàn)手段，計(jì)算機(jī)系統(tǒng)的脆弱性，為計(jì)算機(jī)病毒的產(chǎn)生和傳播提供了可乘之機(jī)；全球萬維網(wǎng)（www）使“地球一村化”， 為計(jì)算機(jī)病毒創(chuàng)造了實(shí)施的空間；新的計(jì)算機(jī)技術(shù)在電子

51、系統(tǒng)中不斷應(yīng)用，為計(jì)算機(jī)病毒的實(shí)現(xiàn)提供了客觀條件。國外專家認(rèn)為，分布式數(shù)字處理、可重編程嵌入計(jì)算機(jī)、網(wǎng)絡(luò)化通信、計(jì)算機(jī)標(biāo)準(zhǔn)化、軟件標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)的信息格式、標(biāo)準(zhǔn)的數(shù)據(jù)鏈路等都使得計(jì)算機(jī)病毒侵入成為可能。21計(jì)算機(jī)病毒的分類與命名在對抗計(jì)算機(jī)病毒的斗爭中，很重要的一項(xiàng)工作就是計(jì)算機(jī)病毒的分類與命名。計(jì)算機(jī)病毒的分類可以有多種方法:按病毒對計(jì)算機(jī)系統(tǒng)的破壞性劃分，有良性病毒和惡性病毒，已如上述。按病毒攻擊的機(jī)型劃分，有蘋果機(jī)病毒，ibmpc機(jī)病毒，小型機(jī)病毒等。按危害對象劃分，有損害計(jì)算機(jī)的病毒和損害網(wǎng)絡(luò)通信的病毒。對于侵害ibmpc機(jī)的pc機(jī)病毒，也就是本書要著重討論、要重點(diǎn)對抗的病毒，可以有更科

52、學(xué)的分類。進(jìn)行這種分類的目的，就是要了解病毒的工作機(jī)理，針對其特點(diǎn)，采取更加有效的方法，防御和清除計(jì)算機(jī)病毒。對pc機(jī)病毒，比較公認(rèn)的、科學(xué)的劃分是將pc機(jī)病毒分為引導(dǎo)區(qū)型病毒、文件型病毒和混合型病毒(即又侵染引導(dǎo)區(qū)又感染文件的病毒)。這種劃分方法對于檢測、清除和預(yù)防病毒工作是有指導(dǎo)意義的，它不僅指明了不同種類病毒各自在pc機(jī)內(nèi)的寄生部位，而且也指明了病毒的攻擊對象。因此，可以通過采取相應(yīng)的措施保護(hù)易受病毒攻擊的部位，如分區(qū)表所在的主引導(dǎo)扇區(qū)、dos引導(dǎo)扇區(qū)以及可執(zhí)行文件等，并進(jìn)而找到綜合、有效的反計(jì)算機(jī)病毒措施。與國際上的情況一樣，國內(nèi)常見的pc機(jī)病毒中，引導(dǎo)區(qū)型比文件型病毒種類少，而混合型

53、的最少。這三種類型的病毒都是既有良性的又有惡性的。常見的文件型病毒有jerusalem、1575、揚(yáng)基病毒、648、v2000、1701落葉病毒等。常見的引導(dǎo)區(qū)型病毒有大麻、小球、米氏病毒、6.4病毒和香港病毒等?；旌闲筒《境Ｒ姷挠行率兰o(jì)病毒、flip等。一種計(jì)算機(jī)病毒往往有多個(gè)名字。人們在討論病毒防范時(shí)經(jīng)常要弄清他們正在討論的是不是同一種病毒。如1701病毒的別名有落葉病毒、落淚病毒、1704病毒、雨點(diǎn)病毒、感冒病毒等。國外又稱雨點(diǎn)病毒為flu病毒和jojo病毒。香港病毒又稱為封鎖病毒、不打印病毒、blockade病毒和端口病毒等。所以由此產(chǎn)生的統(tǒng)計(jì)數(shù)字有時(shí)也帶有偏差。目前國際上也尚無統(tǒng)一的

54、規(guī)范用以協(xié)調(diào)和指導(dǎo)這方面的命名工作。美國的抗病毒產(chǎn)品開發(fā)商集團(tuán)avpd正在各個(gè)成員單位間進(jìn)行計(jì)算機(jī)病毒的收集、識(shí)別、命名以及抗病毒產(chǎn)品開發(fā)等協(xié)調(diào)工作。在沒有見到對某種病毒的確切描述以及對它公認(rèn)的命名時(shí)，人們會(huì)根據(jù)該病毒的工作機(jī)理、表現(xiàn)形式、內(nèi)含的ascii字符串、病毒程序的代碼長度、發(fā)作日期或時(shí)間、該病毒的發(fā)現(xiàn)地、被病毒攻擊的機(jī)型、病毒中表現(xiàn)模塊發(fā)出的音響或顯示的圖形以及該病毒發(fā)現(xiàn)者當(dāng)時(shí)能體會(huì)到的各種特征來為它命名。前面所列舉的1701、香港病毒就都屬于這種情況。為某種新出現(xiàn)的計(jì)算機(jī)病毒命名，目的就是要使人們能快速、準(zhǔn)確地辨識(shí)出該病毒，以便防范和診治。因此該命名應(yīng)能最好地體現(xiàn)出該病毒的特征，使

55、之不容易與其它現(xiàn)存的計(jì)算機(jī)病毒混淆。 計(jì)算機(jī)病毒如今已是pc機(jī)用戶的一大公害，它造成的損失和破壞難以估計(jì)。而一些惡作劇者、一些懷有報(bào)復(fù)心理的程序員、一些蓄意破壞者和一些為了政治目的、經(jīng)濟(jì)利益以及軍事目的的病毒編制者，仍在制造著各種各樣的計(jì)算機(jī)病毒。有些病毒僅僅是以前某種病毒的變種。某些人通過反匯編等各種手段，對原病毒的內(nèi)部模塊，如表現(xiàn)模塊、破壞模塊、傳染模塊等加以修改，使之成為一種基于原病毒又不同于原病毒的新的計(jì)算機(jī)病毒，這就是計(jì)算機(jī)病毒的變種。某些病毒變種只是簡單地對原種病毒的顯示信息加以改動(dòng)，而對傳染模塊等重要代碼未動(dòng)分毫。而另外一些變種在修改了一些重要的代碼后，病毒以新的機(jī)制工作，此時(shí)，

56、這種變種已演化為一種新的病毒，已不能被叫做其原型病毒的變種了。生物界里的病毒也幾乎以相同的方式在演化著，一種病毒可能會(huì)衍生出若干種具有共同基本特征的病毒種系，成為一個(gè)病毒家族。而當(dāng)發(fā)生突變時(shí)，則會(huì)產(chǎn)生出一種新的病毒。對付老病毒及其變種，人們已有成功的經(jīng)驗(yàn)和藥物作為對策，而對于新的尚未接觸過的病毒，在未做仔細(xì)研究與試驗(yàn)之前，是很難采取合適的對策的。對付計(jì)算機(jī)病毒，人們也遇到類似的問題。如何準(zhǔn)確地捕獲用常用軟件無法識(shí)別出的新病毒，以及分析和研究它的工作機(jī)理和特性，是需要專門知識(shí)的，不分析它的傳染機(jī)制，就無法研制出防范和清除病毒的工具軟件。 22計(jì)算機(jī)病毒的危害1、病毒激發(fā)對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞

57、作用 。大部分病毒在激發(fā)的時(shí)候直接破壞計(jì)算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞cmo5設(shè)置等。磁盤殺手病毒（d1sk killer），內(nèi)含計(jì)數(shù)器，在硬盤染毒后累計(jì)開機(jī)時(shí)間48小時(shí)內(nèi)激發(fā)，激發(fā)的時(shí)候屏幕上顯示“warning! dontturn off power or remove diskette while disk killer is prosessing！” （警告！d1sk killer ll1在工作，不要關(guān)閉電源或取出磁盤），改寫硬盤數(shù)據(jù)。被d1sk killer破壞的硬盤可以用殺毒軟件修復(fù)，不要輕易放棄。 2、占用磁盤空間和對信息的破壞 。寄生在磁盤上的病毒總要非法占用一部分磁盤空間。引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個(gè)磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。文件型病毒利用一些dos功能進(jìn)行傳染，這些dos功能能夠檢測出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間。一些文件型病毒傳染速度很快，在短時(shí)間內(nèi)感染大量文件，每個(gè)文件都不同程度地加長了，就造