計(jì)算機(jī)病毒課件ppt(計(jì)算機(jī)病毒)

1.計(jì)算機(jī)病毒

檢測磁盤中的計(jì)算機(jī)病毒可分成檢測引導(dǎo)型計(jì)算機(jī)病毒和檢測文件型計(jì)算機(jī)病毒。

這兩種檢測從原理上講是一樣的，但由于各自的存儲方式不同，檢測方法是有差別的。 2.4.1 比較法 比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。

比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。

而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快，新的計(jì)算機(jī)病毒層出不窮，由于目前還沒有做出通用的能查出一切計(jì)算機(jī)病毒，或通過代碼分析，可以判定某個程序中是否含有計(jì)算機(jī)病毒的查毒程序，發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法，有時必須結(jié)合這兩者來一同工作。

使用比較法能發(fā)現(xiàn)異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內(nèi)的程序代碼發(fā)生了變化。對硬盤主引導(dǎo)扇區(qū)或?qū)OS的引導(dǎo)扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。

由于要進(jìn)行比較，保留好原始備份是非常重要的，制作備份時必須在無計(jì)算機(jī)病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫好標(biāo)簽，并加上寫保護(hù)。 比較法的好處是簡單、方便，不需專用軟件。

缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是由于計(jì)算機(jī)病毒造成的，或是由于DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。

這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來確證是否存在計(jì)算機(jī)病毒。另外，當(dāng)找不到原始備份時，用比較法就不能馬上得到結(jié)論。

從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。 2.4.2 加總比對法 根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否感染了計(jì)算機(jī)病毒。

一個很簡單的例子就是當(dāng)您把車停下來之后，將里程表的數(shù)字記下來。那么下次您再開車時，只要比對一下里程表的數(shù)字，那么您就可以斷定是否有人偷開了您的車子。

這種技術(shù)可偵測到各式的計(jì)算機(jī)病毒，但最大的缺點(diǎn)就是誤判斷高，且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對于隱形計(jì)算機(jī)病毒也無法偵測到。

2.4.3 搜索法. 搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。

國外對這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成：一部分是計(jì)算機(jī)病毒代碼庫，含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。

目前常見的防殺計(jì)算機(jī)病毒軟件對已知計(jì)算機(jī)病毒的檢測大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫內(nèi)所含計(jì)算機(jī)病毒的種類多少。

顯而易見，庫中計(jì)算機(jī)病毒代碼種類越多，掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。

短小的計(jì)算機(jī)病毒只有一百多個字節(jié)，長的有上萬字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對應(yīng)的計(jì)算機(jī)病毒檢查出來。

選這種串做為計(jì)算機(jī)病毒代碼庫的特征串就是不合適的。 另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會經(jīng)常變化的。

代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的，足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的，是計(jì)算機(jī)病毒掃描程序的精華所在。

一般情況下，代碼串是連續(xù)的若干個字節(jié)組成的串，但是有些掃描軟件采用的是可變長串，即在串中包含有一個到幾個“模糊”字節(jié)。掃描軟件遇到這種串時，只要除“模糊”字節(jié)之外的字串都能完好匹配，則也能判別出計(jì)算機(jī)病毒。

除了前面說的選特征串的規(guī)則外，最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報告給用戶，是假警報，這種“狼來了”的假警報太多了，就會使用戶放松警惕，等真的計(jì)算機(jī)病毒一來，破壞就嚴(yán)重了；再就是若將這假警報送給殺計(jì)算機(jī)病毒程序，會將好程序給“殺死”了。

使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時，計(jì)算機(jī)病毒檢測軟件讓計(jì)算機(jī)用戶使用起來很方便，對計(jì)算機(jī)病毒了解不多的人也能用它來發(fā)現(xiàn)計(jì)算機(jī)病毒。

另外，不用專門軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計(jì)算機(jī)病毒。 這種掃描法的缺點(diǎn)也是明顯的。

第一是當(dāng)被掃描的文件很長時，掃描所花時間也越多；第二是不容易選出合適。

2.計(jì)算機(jī)病毒

如何根據(jù)名稱識別計(jì)算機(jī)病毒 發(fā)布時間：2004年11月15日 13:23 很多時候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor。

RmtBomb。12 、Trojan。

Win32。SendIP。

15 等等這些一串英文還帶數(shù)字的病毒名，這時有些人就懵了，那么長一串的名字，我怎么知道是什么病毒??？ 其實(shí)只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進(jìn)行分類命名。

雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的。一般格式為：。

病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。 不同的種類的病毒，其前綴也是不同的。

比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。 病毒名是指一個病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“ Sasser ”。

病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如 Worm。

Sasser。b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。

如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng) ^_^），可以采用數(shù)字與字母混合表示變種標(biāo)識。 綜上所述，一個病毒的前綴對我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。

通過判斷病毒的類型，就可以對這個病毒有個大概的評估（當(dāng)然這需要積累一些常見病毒類型的相關(guān)知識，這不在本文討論范圍）。而通過病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細(xì)特征。

病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個變種。 下面附帶一些常見的病毒前綴的解釋（針對我們用得最多的Windows操作系統(tǒng)）： 1、系統(tǒng)病毒 系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。

這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的 *。 exe 和 *。

dll 文件，并通過這些文件進(jìn)行傳播。如CIH病毒。

2、蠕蟲病毒 蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。

比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件） 等。 3、木馬病毒、黑客病毒 木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。

木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進(jìn)行遠(yuǎn)程控制。 木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進(jìn)行控制。

現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan。

QQ3344 ，還有大家可能遇見比較多的針對網(wǎng)絡(luò)游戲的木馬病毒如 Trojan。 LMir。

PSW。60 。

這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack。Nether。

Client）等。 4、腳本病毒 腳本病毒的前綴是： Script。

腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒，如紅色代碼（Script。Redlof）——可不是我們的老大代碼兄哦 ^_^。

腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS。Happytime）、十四日 （Js。

Fortnight。c。

s）等。 5、宏病毒 其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。

宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。 凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro。

Word97；凡是只感染W(wǎng)ORD97以后版本 WORD文檔的病毒采用Word做為第二前綴，格式是：Macro。Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用 Excel97做為第二前綴，格式是：Macro。

Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro。Excel，依此類推。

該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎 （Macro。 Melissa）。

6、后門病毒 后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。

如54很多朋友遇到過的IRC后門Backdoor。IRCBot 。

7、病毒種植程序病毒 這類病毒的公有特性是運(yùn)行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。 如：冰河播種者（Dropper。

BingHe2。2C）、MSN射手（Dropper。

Worm。Smibag）等。

8。破壞性程序病毒 破壞性程序病毒的前綴是：Harm。

這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶。

3.病毒知識

一、特點(diǎn) 寄生性、隱蔽性、非法性、傳染性、破壞性二、分類： 1、引導(dǎo)型病毒：寄生在系統(tǒng)引導(dǎo)區(qū)，比較容易被清除，現(xiàn)在已經(jīng)很少見。

2、文件型病毒：寄生在可執(zhí)行文件中，感染速度快，較易清除。 3、目錄型病毒：寄生在系統(tǒng)目錄結(jié)構(gòu)中 4、混合型病毒：多種類型的混合 5、宏病毒：專門感染Microsoft Office 系列文件的病毒 6、蠕蟲病毒：感染網(wǎng)絡(luò)，使網(wǎng)速大大降低。

目前流行的病毒大多集成了黑客技術(shù)、木馬技術(shù)和病毒技術(shù)三種，非常難以清除而且很容易中。三、一些常見危害較大的病毒 1、CIH病毒：文件型病毒，4月26日發(fā)作時破壞性最大，首個能破壞硬件系統(tǒng)的病毒。

2、Melissa病毒：宏病毒，郵件傳播 3、沖擊波、震蕩波病毒：利用WINDOWS的漏洞，使計(jì)算機(jī)自動重啟并堵塞網(wǎng)絡(luò)。一般來說，計(jì)算機(jī)病毒可分為二大類，“良性”病毒和惡性病毒。

所謂“良性”病毒，是指病毒不對計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，但會造成計(jì)算機(jī)程序工作異常。有時病毒還會出來表現(xiàn)一番，例如：“小球（pingpang）”病毒、“臺灣一號”和“維也納”等。

惡性病毒往往沒有直觀的表現(xiàn)，但會對計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，有的甚至?xí)茐挠?jì)算機(jī)硬件，造成整個計(jì)算機(jī)癱瘓。例如：前幾年流行的“米開朗基羅”、“黑色星期五”和今天的“cih系統(tǒng)毀滅者”病毒等均屬此類。

“良性”病毒一般比較容易判斷，病毒發(fā)作時會盡可能地表現(xiàn)自己，雖然影響程序的正常運(yùn)行，但重新啟動后可繼續(xù)工作。惡性病毒感染后一般沒有異常表現(xiàn)，病毒會想方設(shè)法將自己隱藏得更深。

一旦惡性病毒發(fā)作，等人們察覺時，已經(jīng)對計(jì)算機(jī)數(shù)據(jù)或硬件造成了破壞，損失將很難挽回。? 純數(shù)據(jù)文件不會被病毒感染，如：聲音、圖像、動畫、文本等文件。

病毒一般感染主引導(dǎo)區(qū)，硬盤分區(qū)表，批處理文件，可執(zhí)行程序，以及word、excel文檔這類非純粹的數(shù)據(jù)文件等。? 如何來判斷計(jì)算機(jī)是否被病毒感染呢？最簡便且行之有效的方法當(dāng)然是利用各種殺毒軟件或防病毒卡來檢驗(yàn)計(jì)算機(jī)是否染毒。

應(yīng)該做到定時查殺，常備不懈。如果沒有配備相應(yīng)的反病毒產(chǎn)品，則可通過如下途徑初步判斷計(jì)算機(jī)是否感染了病毒。

? 1.程序突然工作異常。如文件打不開，word97、excel97出現(xiàn)“宏”警示框（用戶無自編“宏”的情況下），死機(jī)等。

? 2.文件大小自動發(fā)生改變。? 3.更換軟盤后，列表時內(nèi)容不變。

? 4.檢查內(nèi)存，基本內(nèi)存小于640k（某些機(jī)型小于639k）。? 5.windows出現(xiàn)異常出錯信息。

? 6.用與硬盤相同版本的系統(tǒng)盤從a驅(qū)引導(dǎo)后找不到硬盤。? 7.運(yùn)行速度變慢。

? 8.以前運(yùn)行正常的程序運(yùn)行時出現(xiàn)內(nèi)存不足。? 9.系統(tǒng)無法啟動。

? 出現(xiàn)以上情況之一可懷疑是病毒所為，但最終確認(rèn)最好是請專業(yè)反病毒公司協(xié)助。? 病毒發(fā)作的后果? 根據(jù)病毒的不同類型和病毒編寫者的不同意圖，計(jì)算機(jī)病毒發(fā)作后會有不同的表現(xiàn)，當(dāng)然其結(jié)果也大不一樣。

“良性”病毒發(fā)作時一般會暫時影響計(jì)算機(jī)的正常運(yùn)行，搞一些惡作劇或開一個玩笑，病毒編寫者為了表現(xiàn)自己，會讓病毒顯現(xiàn)出來。重新啟動后一般即可重新工作。

? 惡性病毒發(fā)作的后果與“良性”病毒有本質(zhì)的區(qū)別，它會對計(jì)算機(jī)的軟硬件實(shí)施破壞。與“良性”病毒不同，通常破壞時無任何跡象，在瞬間就造成毀滅性的破壞。

具體的破壞方式主要有：? 1.修改數(shù)據(jù)文件，導(dǎo)致數(shù)據(jù)紊亂。? 2.刪除可執(zhí)行文件，導(dǎo)致系統(tǒng)無法正常運(yùn)行。

? 3.破壞cmos，導(dǎo)致系統(tǒng)無法正常啟動。? 4.攻擊bios，破壞bios芯片，導(dǎo)致硬件系統(tǒng)完全癱瘓。

? 5.對硬盤進(jìn)行破壞，表現(xiàn)為：? ●格式化硬盤，致使硬盤數(shù)據(jù)完全丟失。? ●寫入垃圾瑪，破壞部分或全部數(shù)據(jù)。

●修改硬盤分區(qū)表或引導(dǎo)區(qū)信息，使系統(tǒng)無法正常從硬盤引導(dǎo)。若以a盤引導(dǎo)，則c盤仍無法找到。

? ●破壞文件分配表，造成文件數(shù)據(jù)丟失或紊亂。? 病毒發(fā)作后的急救措施? 根據(jù)病毒發(fā)作后不同的破壞程度，可采用一些相應(yīng)的急救措施來進(jìn)行挽救，以使損失減到最校下面就不同的病毒破壞介紹一些較為常用的補(bǔ)救措施。

? 1.flashbios被破壞?重寫bios程序（一般需專業(yè)技術(shù)人員進(jìn)行）或者更換主版。? 2.cmos被破壞 將cmos放電，然后用計(jì)算機(jī)的設(shè)置程序進(jìn)行重新設(shè)置。

? 3.引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)被破壞?某些殺毒軟件提供備份和恢復(fù)系統(tǒng)主引導(dǎo)區(qū)和引導(dǎo)區(qū)信息內(nèi)容，用此功能進(jìn)行恢復(fù)。若能找到具有相同類型硬盤、同樣的分區(qū)和安裝有同樣的操作系統(tǒng)的其他計(jì)算機(jī)，可利用它進(jìn)行備份，然后恢復(fù)被病毒破壞的引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)。

? 4.文件丟失? 若是在純dos系統(tǒng)中，可利用ndd等磁盤工具進(jìn)行恢復(fù)。注意，若有其他操作系統(tǒng)，則不能用ndd磁盤工具，否則會帶來更大的破壞。

? 若有備份文件，病毒對磁盤的破壞均可通過備份文件進(jìn)行恢復(fù)。如果沒有備份文件，有些較為復(fù)雜的操作，例如：部分文件分配表被破壞等，需專業(yè)技術(shù)人員來進(jìn)行，碰到這種較為復(fù)雜的情況，請向?qū)I(yè)反病毒公司救助。

4.簡述計(jì)算機(jī)病毒的分類

計(jì)算機(jī)病毒就是一種附加到計(jì)算機(jī)內(nèi)部重要區(qū)域（例如可執(zhí)行文件以及硬盤和軟盤的引導(dǎo)區(qū)）的惡意代碼。

病毒通過將其自身復(fù)制到其他宿主文件或磁盤上，可以達(dá)到破壞數(shù)據(jù)的目的。當(dāng)宿主文件運(yùn)行并釋放惡意代碼時，就傳播了病毒。

當(dāng)計(jì)算機(jī)從受感染磁盤中引導(dǎo)時，病毒可以迅速地傳播到內(nèi)存中。 一旦病毒駐留在內(nèi)存中，它就可能感染其他可執(zhí)行文件或磁盤引導(dǎo)扇區(qū)。

一般情況下，病毒保持一種靜止?fàn)顟B(tài)，直到出現(xiàn)某個觸發(fā)事件，例如，某個系統(tǒng)日期。除復(fù)制之外，計(jì)算機(jī)病毒經(jīng)常還會執(zhí)行某些其他活動，通常是一些破壞活動或顯示一條消息。

病毒是由了解如何使用和處理代碼的人員編寫的。 現(xiàn)在，已知的病毒已超過了 20,000 種。

其中許多病毒都是由像 Symantec 這樣的防病毒供應(yīng)商發(fā)現(xiàn)的，供應(yīng)商們已經(jīng)分析過它們，但這些病毒并沒有在工作或家庭環(huán)境中遇到。 盡管人們聽說的有關(guān)病毒的情況很多都是夸大其辭，但實(shí)際上病毒也是非常普遍和易于傳播的。

如果不對病毒設(shè)置防護(hù)措施，您的網(wǎng)絡(luò)就很可能丟失數(shù)據(jù)，甚至可能造成崩潰。 程序型病毒可以通過任何網(wǎng)絡(luò)、調(diào)制解調(diào)器或磁性媒質(zhì)傳播。

大多數(shù)引導(dǎo)型病毒只能通過軟盤傳播。復(fù)合型病毒尤其復(fù)雜，因?yàn)檫@種病毒按照程序型病毒傳播，但感染引導(dǎo)扇區(qū)并可以通過軟盤傳播。

隨著局域網(wǎng)、Internet 和全球性的電子郵件的大量使用，病毒傳播的速度也在迅速地增加。當(dāng)受感染文件通過電子郵件發(fā)送出去時，本地的病毒可能會迅速地傳播到公司的其他部門甚至是世界各地。

病毒感染的主要威脅來自于那些打開并使用的共享文件。 病毒是按照它們感染的內(nèi)容和逃避檢測的方式進(jìn)行分類的。

基本的病毒類型是按照它們感染計(jì)算機(jī)的區(qū)域定義的： 引導(dǎo)型病毒：將指令插入到軟盤的引導(dǎo)扇區(qū)，或者硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)記錄（分區(qū)表扇區(qū)）。 程序型病毒：感染可執(zhí)行文件，例如，。

COM、。EXE 和 。

DLL 文件。 宏病毒：通過修改宏的行為方式感染文檔文件，例如，Microsoft Word 。

DOC 文件。 其他具有破壞性的代碼類型，包括蠕蟲、特洛伊木馬和邏輯炸彈病毒。

這些具有破壞性代碼的病毒類型不同于其他病毒，因?yàn)樗鼈儾⒉贿M(jìn)行復(fù)制。

5.簡述什么是計(jì)算機(jī)病毒

1.計(jì)算機(jī)病毒的傳染方式 所謂傳染是指計(jì)算機(jī)病毒由一個載體傳播到另一個載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。

這種載體一般為磁 盤或磁帶，它是計(jì)算機(jī)病毒賴以生存和進(jìn)行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。

促成病毒的傳染 還有一個先決條件，可分為兩種情況，或者叫做兩種方式。 其中一種情況是，用戶在進(jìn)行拷貝磁盤或文件時，把一個病毒由一個載體復(fù)制到另一個載體上。

或者是通過網(wǎng)絡(luò) 上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動傳染。

另外一種情況是，計(jì)算機(jī)病毒是以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。 在病毒處于激活的 狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。

這種傳染方式叫做計(jì)算 機(jī)病毒的主動傳染。 2.計(jì)算機(jī)病毒的傳染過程 對于病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進(jìn)行而進(jìn)行的，而對于計(jì)算機(jī)病毒的主動傳 染而言，其傳染過程是這樣的：在系統(tǒng)運(yùn)行時，病毒通過病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存， 并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。

在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存的過程中，通常還要修改系統(tǒng)中斷向量入 口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng) 功能調(diào)用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下， 利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒 自身傳染給被讀寫的磁盤或被加載的程序，也就是實(shí)施病毒的傳染，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。

計(jì)算機(jī)病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執(zhí)行到的瞬間，搶在宿主程序開始執(zhí)行前， 立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序；二是駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在 執(zhí)行一個程序或D1R等操作時傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后， 仍可活動， 直至關(guān)閉計(jì)算機(jī)。 3.系統(tǒng)型病毒傳染機(jī)理 計(jì)算機(jī)軟硬盤的配置和使用情況是不同的。

軟盤容量小，可以方便地移動交換使用，在計(jì)算機(jī)運(yùn)行過程中可能多 次更換軟盤；硬盤作為固定設(shè)備安裝在計(jì)算機(jī)內(nèi)部使用，大多數(shù)計(jì)算機(jī)配備一只硬盤。系統(tǒng)型病毒針對軟硬盤的不同 特點(diǎn)采用了不同的傳染方式。

系統(tǒng)型病毒利用在開機(jī)引導(dǎo)時竊獲的INT 13控制權(quán)，在整個計(jì)算機(jī)運(yùn)行過程中隨時監(jiān)視軟盤操作情況， 趁讀寫 軟盤的時機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把病 毒寫入軟盤第一個扇區(qū)，從而完成對軟盤的傳染。 染毒的軟盤在軟件交流中又會傳染其他計(jì)算機(jī)。

由于在每個讀寫階 段病毒都要讀引導(dǎo)區(qū)，既影響微機(jī)工作效率，又容易因驅(qū)動器頻繁尋道而造成物理損傷。 系統(tǒng)型病毒對硬盤的傳染往往是在計(jì)算機(jī)上第一次使用帶毒軟盤進(jìn)行的，具體步驟與軟盤傳染相似，也是讀出引 導(dǎo)區(qū)判斷后寫入病毒。

4.文件型病毒傳染機(jī)理 當(dāng)執(zhí)行被傳染的。COM或。

EXE可執(zhí)行文件時，病毒駐人內(nèi)存。一旦病毒駐人內(nèi)存，便開始監(jiān)視系統(tǒng)的運(yùn)行。

當(dāng)它發(fā) 現(xiàn)被傳染的目標(biāo)時，進(jìn)行如下操作： （1）首先對運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已感染了病毒； （2）當(dāng)條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存入磁盤中； （3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。 文件型病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染，主要傳染途徑有： （1）加載執(zhí)行文件 文件型病毒駐內(nèi)存后，通過其所截獲的INT 21中斷檢查每一個加載運(yùn)行可執(zhí)行文件進(jìn)行傳染。

加載傳染方式每次傳染一個文件，即用戶準(zhǔn)備運(yùn)行的那個文件，傳染不到那些用戶沒有使用的文件。 （2）列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，不夠過癮，于是后來造出通過列目錄傳染的 病毒。

在用戶列硬盤目錄的時候，病毒檢查每一個文件的擴(kuò)展名，如果是可執(zhí)行文件就調(diào)用病毒的傳染模塊進(jìn)行傳染。 這樣病毒可以一次傳染硬盤一個于目錄下的全部可執(zhí)行文件。

DIR是最常用的DOS命令，每次傳染的文件又多，所以病 毒的擴(kuò)散速度很快，往往在短時間內(nèi)傳遍整個硬盤。 對于軟盤而言，由于讀寫速度比硬盤慢得多，如果一次傳染多個文件所費(fèi)時間較長，容易被用戶發(fā)現(xiàn)，所以病毒 “忍痛”放棄了一些傳染機(jī)會，采用列一次目錄只傳染一個文件的方式。

（3）創(chuàng)建文件過程 創(chuàng)建文件是DOS內(nèi)部的一項(xiàng)操作，功能是在磁盤上建立一個新文件。 已經(jīng)發(fā)現(xiàn)利用創(chuàng)建文件過程把病毒附加到新 文件上去的病毒，這種傳染方式更為隱蔽狡猾。

因?yàn)榧虞d傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細(xì)心的 用戶往往會發(fā)現(xiàn)文件染毒前后長度的變化，從而暴露病毒的蹤跡。 而創(chuàng)建文件的傳染手段卻造成了新文件生來帶毒的 奇觀。

好在一般用戶很少去創(chuàng)建一個可執(zhí)行文件，但經(jīng)常使用各種編譯、連接工具的計(jì)算機(jī)專業(yè)工作者應(yīng)該注意文件 型病毒發(fā)展的這一動向，特別在商品軟件最。

6.計(jì)算機(jī)病毒的危害

說起計(jì)算機(jī)病毒，不少人都吃過它的苦頭，有的人對它真的是深惡痛絕。

自從一個美國學(xué)生因?yàn)檎{(diào)皮或好奇使它偶然問世后，它的家族就開始以幾何級數(shù)瘋狂繁衍?，F(xiàn)在它的子孫已經(jīng)不下幾萬種。

因?yàn)橛?jì)算機(jī)病毒能夠破壞計(jì)算機(jī)系統(tǒng)或毀壞計(jì)算機(jī)中的數(shù)據(jù)，造成巨大的經(jīng)濟(jì)損失，所以被認(rèn)為是二十世紀(jì)信息時代到來后的一大公害。正因?yàn)槿绱耍芯坑?jì)算機(jī)病毒已經(jīng)成為一門專門的學(xué)問。

國內(nèi)也已經(jīng)有了幾家專門開發(fā)防殺計(jì)算機(jī)病毒軟件的著名計(jì)算機(jī)公司。在一*般人看來，計(jì)算機(jī)病毒真是“有百害而無一利”了。

然而事情總有它的另一方面。據(jù)說，在九十年代初的海灣戰(zhàn)爭中，計(jì)算機(jī)病毒竟成了一種克敵制勝的武器。