計算機病毒評估的方法(檢測計算機病毒方法)

1.檢測計算機病毒方法有哪些

計算機病毒檢測方法：

1.手工檢測

手工檢測是指通過(guò)一些軟件工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能） 進(jìn)行病毒的檢測。這種方法比較復雜，需要檢測者熟悉機器指令和操作系統，因而無(wú)法普及。它的基本過(guò)程是利用一些工具軟件，對易遭病毒攻擊和修改的內存及磁盤(pán)的有關(guān)部分進(jìn)行檢查，通過(guò)和正常情況下的狀態(tài)進(jìn)行對比分析，來(lái)判斷是否被病毒感染。這種方法檢測病毒，費時(shí)費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動(dòng)檢測工具不認識的新病毒。

2.自動(dòng)檢測

自動(dòng)檢測是指通過(guò)一些診斷軟件來(lái)判讀一個(gè)系統或一個(gè)軟盤(pán)是否有毒的方法。自動(dòng)檢測則比較簡(jiǎn)單，一般用戶(hù)都可以進(jìn)行，但需要較好的診斷軟件。這種方法可方便地檢測大量的病毒，但是，自動(dòng)檢測工具只能識別已知病毒，而且自動(dòng)檢測工具的發(fā)展總是滯后于病毒的發(fā)展，所以檢測工具總是對相對數量的未知病毒不能識別。

就兩種方法相比較而言，手工檢測方法操作難度大，技術(shù)復雜，它需要操作人員有一定的軟件分析經(jīng)驗以及對操作系統有一個(gè)深入的了解。而自動(dòng)檢測方法操作簡(jiǎn)單、使用方便，適合于一般的計算機用戶(hù)學(xué)習使用；但是，由于計算機病毒的種類(lèi)較多，程序復雜，再加上不斷地出現病毒的變種，所以自動(dòng)檢測方法不可能檢測所有未知的病毒。在出現一種新型的病毒時(shí)，如果現有的各種檢測工具無(wú)法檢測這種病毒，則只能用手工方法進(jìn)行病毒的檢測。其實(shí)，自動(dòng)檢測也是在手工檢測成功的基礎上把手工檢測方法程序化后所得的。

因此，手工檢測病毒是最基本、最有力的工具。

病毒感染正常文件或系統會(huì )引起各種變化，從這些變化中找出某些本質(zhì)性的變化，作為診斷病毒的判據。廣泛使用的主要檢測病毒方法有：比較法、搜索法、分析法、感染實(shí)驗法、軟件模擬法、行為檢測法。

2.計算機病毒常見(jiàn)的分類(lèi)方法有哪些

計算機病毒分類(lèi)，根據多年對計算機病毒的研究，按照科學(xué)的、系統的、嚴密的方法，計算機病毒可分類(lèi)如下：按照計算機病毒屬性的方法進(jìn)行分類(lèi)，計算機病毒可以根據下面的屬性進(jìn)行分類(lèi)：

按照計算機病毒存在的媒體進(jìn)行分類(lèi)根據病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò )病毒，文件病毒，引導型病毒。網(wǎng)絡(luò )病毒通過(guò)計算機網(wǎng)絡(luò )傳播感染網(wǎng)絡(luò )中的可執行文件，文件病毒感染計算機中的文件（如：COM,EXE,DOC等），引導型病毒感染啟動(dòng)扇區（Boot）和硬盤(pán)的系統引導扇區（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規的辦法侵入系統，同時(shí)使用了加密和變形算法。 按照計算機病毒傳染的方法進(jìn)行分類(lèi)根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內存駐留部分放在內存（RAM）中，這一部分程序掛接系統調用并合并到操作系統中去，他處于激活狀態(tài)，一直到關(guān)機或重新啟動(dòng).非駐留型病毒在得到機會(huì )激活時(shí)并不感染計算機內存，一些病毒在內存中留有小部分，但是并不通過(guò)這一部分進(jìn)行傳染，這類(lèi)病毒也被劃分為非駐留型病毒。 根據病毒破壞的能力可劃分為以下幾種：

無(wú)害型

除了傳染時(shí)減少磁盤(pán)的可用空間外，對系統沒(méi)有其它影響。

無(wú)危險型

這類(lèi)病毒僅僅是減少內存、顯示圖像、發(fā)出聲音及同類(lèi)音響。危險型，這類(lèi)病毒在計算機系統操作中造成嚴重的錯誤。

非常危險型

這類(lèi)病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害，并不是本身的算法中存在危險的調用，而是當它們傳染時(shí)會(huì )引起無(wú)法預料的和災難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會(huì )破壞文件和扇區，這些病毒也按照他們引起的破壞能力劃分。一些現在的無(wú)害型病毒也可能會(huì )對新版的DOS、Windows和其它操作系統造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤(pán)上很好的工作，不會(huì )造成任何破壞，但是在后來(lái)的高密度軟盤(pán)上卻能引起大量的數據丟失。根據病毒特有的算法，病毒可以劃分為：

伴隨型病毒，這一類(lèi)病毒并不改變文件本身，它們根據算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫(xiě)入COM文件并不改變EXE文件，當DOS加載文件時(shí)，伴隨體優(yōu)先被執行到，再由伴隨體加載執行原來(lái)的EXE文件。

“蠕蟲(chóng)”型病毒，通過(guò)計算機網(wǎng)絡(luò )傳播，不改變文件和資料信息，利用網(wǎng)絡(luò )從一臺機器的內存傳播到其它機器的內存，計算網(wǎng)絡(luò )地址，將自身的病毒通過(guò)網(wǎng)絡(luò )發(fā)送。有時(shí)它們在系統存在，一般除了內存不占用其它資源。

寄生型病毒 除了伴隨和“蠕蟲(chóng)”型，其它病毒均可稱(chēng)為寄生型病毒，它們依附在系統的引導扇區或文件中，通過(guò)系統的功能進(jìn)行傳播，按其算法不同可分為：練習型病毒，病毒自身包含錯誤，不能進(jìn)行很好的傳播，例如一些病毒在調試階段。

詭秘型病毒 它們一般不直接修改DOS中斷和扇區數據，而是通過(guò)設備技術(shù)和文件緩沖區等DOS內部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數據區進(jìn)行工作。

變型病毒（又稱(chēng)幽靈病毒） 這一類(lèi)病毒使用一個(gè)復雜的算法，使自己每傳播一份都具有不同的內容和長(cháng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。

3.計算機病毒分為哪幾種

1、木馬病毒。

木馬病毒其前綴是：Trojan，其共有特性以盜取用戶(hù)信息為目的。

2、系統病毒。

系統病毒的前綴為：Win32、PE、Win95、W32、W95等。其主要感染windows系統的可執行文件。

3、蠕蟲(chóng)病毒。

蠕蟲(chóng)病毒的前綴是：Worm。其主要是通過(guò)網(wǎng)絡(luò )或者系統漏洞進(jìn)行傳播

4、腳本病毒。

腳本病毒的前綴是：Script。其特點(diǎn)是采用腳本語(yǔ)言編寫(xiě)。

5、后門(mén)病毒。

后門(mén)病毒的前綴是：Backdoor。其通過(guò)網(wǎng)絡(luò )傳播，并在系統中打開(kāi)后門(mén)。

6、宏病毒。

其實(shí)宏病毒是也是腳本病毒的一種，其利用ms office文檔中的宏進(jìn)行傳播。

7.破壞性程序病毒。

破壞性程序病毒的前綴是：Harm。其一般會(huì )對系統造成明顯的破壞，如格式化硬盤(pán)等。

8.、玩笑病毒。

玩笑病毒的前綴是：Joke。是惡作劇性質(zhì)的病毒，通常不會(huì )造成實(shí)質(zhì)性的破壞。

9.捆綁機病毒

捆綁機病毒的前綴是：Binder。這是一類(lèi)會(huì )和其它特定應用程序捆綁在一起的病毒。

這種病毒用它自已的程序意圖加入或取代部分操作系統進(jìn)行工作，具有很強的破壞力，可以導致整個(gè)系統的癱瘓。圓點(diǎn)病毒和大麻病毒就是典型的操作系統型病毒。

良性計算機病毒

良性病毒是指其不包含有立即對計算機系統產(chǎn)生直接破壞作用的代碼。這類(lèi)病毒為了表現其存在，只是不停地進(jìn)行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內的數據。有些人對這類(lèi)計算機病毒的傳染不以為然，認為這只是惡作劇，沒(méi)什么關(guān)系。其實(shí)良性、惡性都是相對而言的。良性病毒取得系統控制權后，會(huì )導致整個(gè)系統和應用程序爭搶CPU的控制權，時(shí)時(shí)導致整個(gè)系統死鎖，給正常操作帶來(lái)麻煩。有時(shí)系統內還會(huì )出現幾種病毒交叉感染的現象，一個(gè)文件不停地反復被幾種病毒所感染。例如原來(lái)只有10KB存儲空間，而且整個(gè)計算機系統也由于多種病毒寄生于其中而無(wú)法正常工作。因此也不能輕視所謂良性病毒對計算機系統造成的損害。

源碼型病毒該病毒攻擊高級語(yǔ)言編寫(xiě)的程序，該病毒在高級語(yǔ)言所編寫(xiě)的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。

宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開(kāi)這樣的文檔，其中的宏就會(huì )被執行，于是宏病毒就會(huì )被激活，轉移到計算機上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì ) “感染”上這種宏病毒，而且如果其他用戶(hù)打開(kāi)了感染病毒的文檔，宏病毒又會(huì )轉移到他的計算機上。 文件型病毒是主要感染可執行文件的病毒，它通常隱藏在宿主程序中，執行宿主程序時(shí)，將會(huì )先執行病毒程序再執行宿主程序。

傳播方式當宿主程序運行時(shí)，病毒程序首先運行，然后駐留在內存中，再伺機感染其它的可執行程序，達到傳播的目的。

4.什么是計算機病毒

計算機病毒是一些計算機編程的程序員，出于炫耀或者報復別人的心態(tài)，而編出來(lái)的計算機惡意代碼。這種代碼可以通過(guò)各種網(wǎng)絡(luò )渠道，在計算機網(wǎng)絡(luò )之間傳播。像計算機病毒主要感染EXE文件來(lái)感染計算機系統，甚至嚴重的可以摧毀計算機系統，致使其癱瘓。像曾經(jīng)流行一時(shí)的“熊貓燒香”病毒，就是一種很厲害的計算機病毒。

還有就是計算機間諜程序，主要是計算機木馬，這些也可以入侵計算機，建立起惡意計算機用戶(hù)和一般正常計算機用戶(hù)的計算機之間的后門(mén)連接，一般的計算機用戶(hù)在不使用防病毒軟件或者防間諜軟件是無(wú)法得知自己的系統已經(jīng)被黑客控制。木馬一般不具有破壞性，但是，它可以盜取計算機用戶(hù)的帳號信息，秘密，銀行卡帳號等個(gè)人隱私材料。甚至，木馬可以下載專(zhuān)門(mén)的病毒和更多的計算機木馬到你的系統。造成更多的破壞，甚至可以將你的計算機作為木馬和病毒傳播的網(wǎng)絡(luò )平臺。