計算機病毒課件ppt(計算機病毒)

1.計算機病毒

檢測磁盤(pán)中的計算機病毒可分成檢測引導型計算機病毒和檢測文件型計算機病毒。

這兩種檢測從原理上講是一樣的，但由于各自的存儲方式不同，檢測方法是有差別的。 2.4.1 比較法 比較法是用原始備份與被檢測的引導扇區或被檢測的文件進(jìn)行比較。

比較時(shí)可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來(lái)進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專(zhuān)用的查計算機病毒程序，只要用常規DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。

而且用這種比較法還可以發(fā)現那些尚不能被現有的查計算機病毒程序發(fā)現的計算機病毒。因為計算機病毒傳播得很快，新的計算機病毒層出不窮，由于目前還沒(méi)有做出通用的能查出一切計算機病毒，或通過(guò)代碼分析，可以判定某個(gè)程序中是否含有計算機病毒的查毒程序，發(fā)現新計算機病毒就只有靠比較法和分析法，有時(shí)必須結合這兩者來(lái)一同工作。

使用比較法能發(fā)現異常，如文件的長(cháng)度有變化，或雖然文件長(cháng)度未發(fā)生變化，但文件內的程序代碼發(fā)生了變化。對硬盤(pán)主引導扇區或對DOS的引導扇區做檢查，比較法能發(fā)現其中的程序代碼是否發(fā)生了變化。

由于要進(jìn)行比較，保留好原始備份是非常重要的，制作備份時(shí)必須在無(wú)計算機病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫(xiě)好標簽，并加上寫(xiě)保護。 比較法的好處是簡(jiǎn)單、方便，不需專(zhuān)用軟件。

缺點(diǎn)是無(wú)法確認計算機病毒的種類(lèi)名稱(chēng)。另外，造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗證，以查明是由于計算機病毒造成的，或是由于DOS數據被偶然原因，如突然停電、程序失控、惡意程序等破壞的。

這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來(lái)確證是否存在計算機病毒。另外，當找不到原始備份時(shí)，用比較法就不能馬上得到結論。

從這里可以看到制作和保留原始主引導扇區和其它數據備份的重要性。 2.4.2 加總比對法 根據每個(gè)程序的檔案名稱(chēng)、大小、時(shí)間、日期及內容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個(gè)數據庫中，再利用此加總對比系統，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否感染了計算機病毒。

一個(gè)很簡(jiǎn)單的例子就是當您把車(chē)停下來(lái)之后，將里程表的數字記下來(lái)。那么下次您再開(kāi)車(chē)時(shí)，只要比對一下里程表的數字，那么您就可以斷定是否有人偷開(kāi)了您的車(chē)子。

這種技術(shù)可偵測到各式的計算機病毒，但最大的缺點(diǎn)就是誤判斷高，且無(wú)法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無(wú)法偵測到。

2.4.3 搜索法. 搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內部發(fā)現了某一種特定字節串，就表明發(fā)現了該字節串所代表的計算機病毒。

國外對這種按搜索法工作的計算機病毒掃描軟件叫Virus Scanner。計算機病毒掃描軟件由兩部分組成：一部分是計算機病毒代碼庫，含有經(jīng)過(guò)特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。

目前常見(jiàn)的防殺計算機病毒軟件對已知計算機病毒的檢測大多采用這種方法。計算機病毒掃描程序能識別的計算機病毒的數目完全取決于計算機病毒代碼庫內所含計算機病毒的種類(lèi)多少。

顯而易見(jiàn)，庫中計算機病毒代碼種類(lèi)越多，掃描程序能認出的計算機病毒就越多。計算機病毒代碼串的選擇是非常重要的。

短小的計算機病毒只有一百多個(gè)字節，長(cháng)的有上萬(wàn)字節的。如果隨意從計算機病毒體內選一段作為代表該計算機病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對應的計算機病毒檢查出來(lái)。

選這種串做為計算機病毒代碼庫的特征串就是不合適的。 另一種情況是代碼串不應含有計算機病毒的數據區，數據區是會(huì )經(jīng)常變化的。

代碼串一定要在仔細分析了程序之后才選出最具代表特性的，足以將該計算機病毒區別于其它計算機病毒的字節串。選定好的特征代碼串是很不容易的，是計算機病毒掃描程序的精華所在。

一般情況下，代碼串是連續的若干個(gè)字節組成的串，但是有些掃描軟件采用的是可變長(cháng)串，即在串中包含有一個(gè)到幾個(gè)“模糊”字節。掃描軟件遇到這種串時(shí)，只要除“模糊”字節之外的字串都能完好匹配，則也能判別出計算機病毒。

除了前面說(shuō)的選特征串的規則外，最重要的是一條是特征串必須能將計算機病毒與正常的非計算機病毒程序區分開(kāi)。不然將非計算機病毒程序當成計算機病毒報告給用戶(hù)，是假警報，這種“狼來(lái)了”的假警報太多了，就會(huì )使用戶(hù)放松警惕，等真的計算機病毒一來(lái)，破壞就嚴重了；再就是若將這假警報送給殺計算機病毒程序，會(huì )將好程序給“殺死”了。

使用特征串的掃描法被查計算機病毒軟件廣泛應用。當特征串選擇得很好時(shí)，計算機病毒檢測軟件讓計算機用戶(hù)使用起來(lái)很方便，對計算機病毒了解不多的人也能用它來(lái)發(fā)現計算機病毒。

另外，不用專(zhuān)門(mén)軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計算機病毒。 這種掃描法的缺點(diǎn)也是明顯的。

第一是當被掃描的文件很長(cháng)時(shí)，掃描所花時(shí)間也越多；第二是不容易選出合適。

2.計算機病毒

如何根據名稱(chēng)識別計算機病毒 發(fā)布時(shí)間：2004年11月15日 13:23 很多時(shí)候大家已經(jīng)用殺毒軟件查出了自己的機子中了例如Backdoor。

RmtBomb。12 、Trojan。

Win32。SendIP。

15 等等這些一串英文還帶數字的病毒名，這時(shí)有些人就懵了，那么長(cháng)一串的名字，我怎么知道是什么病毒啊？ 其實(shí)只要我們掌握一些病毒的命名規則，我們就能通過(guò)殺毒軟件的報告中出現的病毒名來(lái)判斷該病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司為了方便管理，他們會(huì )按照病毒的特性，將病毒進(jìn)行分類(lèi)命名。

雖然每個(gè)反病毒公司的命名規則都不太一樣，但大體都是采用一個(gè)統一的命名方法來(lái)命名的。一般格式為：。

病毒前綴是指一個(gè)病毒的種類(lèi)，他是用來(lái)區別病毒的種族分類(lèi)的。 不同的種類(lèi)的病毒，其前綴也是不同的。

比如我們常見(jiàn)的木馬病毒的前綴 Trojan ，蠕蟲(chóng)病毒的前綴是 Worm 等等還有其他的。 病毒名是指一個(gè)病毒的家族特征，是用來(lái)區別和標識病毒家族的，如以前著(zhù)名的CIH病毒的家族名都是統一的“ CIH ”，還有近期鬧得正歡的振蕩波蠕蟲(chóng)病毒的家族名是“ Sasser ”。

病毒后綴是指一個(gè)病毒的變種特征，是用來(lái)區別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來(lái)表示，如 Worm。

Sasser。b 就是指 振蕩波蠕蟲(chóng)病毒的變種B，因此一般稱(chēng)為 “振蕩波B變種”或者“振蕩波變種B”。

如果該病毒變種非常多（也表明該病毒生命力頑強 ^_^），可以采用數字與字母混合表示變種標識。 綜上所述，一個(gè)病毒的前綴對我們快速的判斷該病毒屬于哪種類(lèi)型的病毒是有非常大的幫助的。

通過(guò)判斷病毒的類(lèi)型，就可以對這個(gè)病毒有個(gè)大概的評估（當然這需要積累一些常見(jiàn)病毒類(lèi)型的相關(guān)知識，這不在本文討論范圍）。而通過(guò)病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細特征。

病毒后綴能讓我們知道現在在你機子里呆著(zhù)的病毒是哪個(gè)變種。 下面附帶一些常見(jiàn)的病毒前綴的解釋?zhuān)ㄡ槍ξ覀冇玫米疃嗟腤indows操作系統）： 1、系統病毒 系統病毒的前綴為：Win32、PE、Win95、W32、W95等。

這些病毒的一般公有的特性是可以感染windows操作系統的 *。 exe 和 *。

dll 文件，并通過(guò)這些文件進(jìn)行傳播。如CIH病毒。

2、蠕蟲(chóng)病毒 蠕蟲(chóng)病毒的前綴是：Worm。這種病毒的公有特性是通過(guò)網(wǎng)絡(luò )或者系統漏洞進(jìn)行傳播，很大部分的蠕蟲(chóng)病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò )的特性。

比如沖擊波（阻塞網(wǎng)絡(luò )），小郵差（發(fā)帶毒郵件） 等。 3、木馬病毒、黑客病毒 木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。

木馬病毒的公有特性是通過(guò)網(wǎng)絡(luò )或者系統漏洞進(jìn)入用戶(hù)的系統并隱藏，然后向外界泄露用戶(hù)的信息，而黑客病毒則有一個(gè)可視的界面，能對用戶(hù)的電腦進(jìn)行遠程控制。 木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶(hù)的電腦，而黑客病毒則會(huì )通過(guò)該木馬病毒來(lái)進(jìn)行控制。

現在這兩種類(lèi)型都越來(lái)越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan。

QQ3344 ，還有大家可能遇見(jiàn)比較多的針對網(wǎng)絡(luò )游戲的木馬病毒如 Trojan。 LMir。

PSW。60 。

這里補充一點(diǎn)，病毒名中有PSW或者什么PWD之類(lèi)的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫(xiě)）一些黑客程序如：網(wǎng)絡(luò )梟雄（Hack。Nether。

Client）等。 4、腳本病毒 腳本病毒的前綴是： Script。

腳本病毒的公有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播的病毒，如紅色代碼（Script。Redlof）——可不是我們的老大代碼兄哦 ^_^。

腳本病毒還會(huì )有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè )時(shí)光（VBS。Happytime）、十四日 （Js。

Fortnight。c。

s）等。 5、宏病毒 其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類(lèi)。

宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。 凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro。

Word97；凡是只感染W(wǎng)ORD97以后版本 WORD文檔的病毒采用Word做為第二前綴，格式是：Macro。Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用 Excel97做為第二前綴，格式是：Macro。

Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro。Excel，依此類(lèi)推。

該類(lèi)病毒的公有特性是能感染OFFICE系列文檔，然后通過(guò)OFFICE通用模板進(jìn)行傳播，如：著(zhù)名的美麗莎 （Macro。 Melissa）。

6、后門(mén)病毒 后門(mén)病毒的前綴是：Backdoor。該類(lèi)病毒的公有特性是通過(guò)網(wǎng)絡(luò )傳播，給系統開(kāi)后門(mén)，給用戶(hù)電腦帶來(lái)安全隱患。

如54很多朋友遇到過(guò)的IRC后門(mén)Backdoor。IRCBot 。

7、病毒種植程序病毒 這類(lèi)病毒的公有特性是運行時(shí)會(huì )從體內釋放出一個(gè)或幾個(gè)新的病毒到系統目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。 如：冰河播種者（Dropper。

BingHe2。2C）、MSN射手（Dropper。

Worm。Smibag）等。

8。破壞性程序病毒 破壞性程序病毒的前綴是：Harm。

這類(lèi)病毒的公有特性是本身具有好看的圖標來(lái)誘惑用戶(hù)。

3.病毒知識

一、特點(diǎn) 寄生性、隱蔽性、非法性、傳染性、破壞性二、分類(lèi)： 1、引導型病毒：寄生在系統引導區，比較容易被清除，現在已經(jīng)很少見(jiàn)。

2、文件型病毒：寄生在可執行文件中，感染速度快，較易清除。 3、目錄型病毒：寄生在系統目錄結構中 4、混合型病毒：多種類(lèi)型的混合 5、宏病毒：專(zhuān)門(mén)感染Microsoft Office 系列文件的病毒 6、蠕蟲(chóng)病毒：感染網(wǎng)絡(luò )，使網(wǎng)速大大降低。

目前流行的病毒大多集成了黑客技術(shù)、木馬技術(shù)和病毒技術(shù)三種，非常難以清除而且很容易中。三、一些常見(jiàn)危害較大的病毒 1、CIH病毒：文件型病毒，4月26日發(fā)作時(shí)破壞性最大，首個(gè)能破壞硬件系統的病毒。

2、Melissa病毒：宏病毒，郵件傳播 3、沖擊波、震蕩波病毒：利用WINDOWS的漏洞，使計算機自動(dòng)重啟并堵塞網(wǎng)絡(luò )。一般來(lái)說(shuō)，計算機病毒可分為二大類(lèi)，“良性”病毒和惡性病毒。

所謂“良性”病毒，是指病毒不對計算機數據進(jìn)行破壞，但會(huì )造成計算機程序工作異常。有時(shí)病毒還會(huì )出來(lái)表現一番，例如：“小球（pingpang）”病毒、“臺灣一號”和“維也納”等。

惡性病毒往往沒(méi)有直觀(guān)的表現，但會(huì )對計算機數據進(jìn)行破壞，有的甚至會(huì )破壞計算機硬件，造成整個(gè)計算機癱瘓。例如：前幾年流行的“米開(kāi)朗基羅”、“黑色星期五”和今天的“cih系統毀滅者”病毒等均屬此類(lèi)。

“良性”病毒一般比較容易判斷，病毒發(fā)作時(shí)會(huì )盡可能地表現自己，雖然影響程序的正常運行，但重新啟動(dòng)后可繼續工作。惡性病毒感染后一般沒(méi)有異常表現，病毒會(huì )想方設法將自己隱藏得更深。

一旦惡性病毒發(fā)作，等人們察覺(jué)時(shí)，已經(jīng)對計算機數據或硬件造成了破壞，損失將很難挽回。? 純數據文件不會(huì )被病毒感染，如：聲音、圖像、動(dòng)畫(huà)、文本等文件。

病毒一般感染主引導區，硬盤(pán)分區表，批處理文件，可執行程序，以及word、excel文檔這類(lèi)非純粹的數據文件等。? 如何來(lái)判斷計算機是否被病毒感染呢？最簡(jiǎn)便且行之有效的方法當然是利用各種殺毒軟件或防病毒卡來(lái)檢驗計算機是否染毒。

應該做到定時(shí)查殺，常備不懈。如果沒(méi)有配備相應的反病毒產(chǎn)品，則可通過(guò)如下途徑初步判斷計算機是否感染了病毒。

? 1.程序突然工作異常。如文件打不開(kāi)，word97、excel97出現“宏”警示框（用戶(hù)無(wú)自編“宏”的情況下），死機等。

? 2.文件大小自動(dòng)發(fā)生改變。? 3.更換軟盤(pán)后，列表時(shí)內容不變。

? 4.檢查內存，基本內存小于640k（某些機型小于639k）。? 5.windows出現異常出錯信息。

? 6.用與硬盤(pán)相同版本的系統盤(pán)從a驅引導后找不到硬盤(pán)。? 7.運行速度變慢。

? 8.以前運行正常的程序運行時(shí)出現內存不足。? 9.系統無(wú)法啟動(dòng)。

? 出現以上情況之一可懷疑是病毒所為，但最終確認最好是請專(zhuān)業(yè)反病毒公司協(xié)助。? 病毒發(fā)作的后果? 根據病毒的不同類(lèi)型和病毒編寫(xiě)者的不同意圖，計算機病毒發(fā)作后會(huì )有不同的表現，當然其結果也大不一樣。

“良性”病毒發(fā)作時(shí)一般會(huì )暫時(shí)影響計算機的正常運行，搞一些惡作劇或開(kāi)一個(gè)玩笑，病毒編寫(xiě)者為了表現自己，會(huì )讓病毒顯現出來(lái)。重新啟動(dòng)后一般即可重新工作。

? 惡性病毒發(fā)作的后果與“良性”病毒有本質(zhì)的區別，它會(huì )對計算機的軟硬件實(shí)施破壞。與“良性”病毒不同，通常破壞時(shí)無(wú)任何跡象，在瞬間就造成毀滅性的破壞。

具體的破壞方式主要有：? 1.修改數據文件，導致數據紊亂。? 2.刪除可執行文件，導致系統無(wú)法正常運行。

? 3.破壞cmos，導致系統無(wú)法正常啟動(dòng)。? 4.攻擊bios，破壞bios芯片，導致硬件系統完全癱瘓。

? 5.對硬盤(pán)進(jìn)行破壞，表現為：? ●格式化硬盤(pán)，致使硬盤(pán)數據完全丟失。? ●寫(xiě)入垃圾瑪，破壞部分或全部數據。

●修改硬盤(pán)分區表或引導區信息，使系統無(wú)法正常從硬盤(pán)引導。若以a盤(pán)引導，則c盤(pán)仍無(wú)法找到。

? ●破壞文件分配表，造成文件數據丟失或紊亂。? 病毒發(fā)作后的急救措施? 根據病毒發(fā)作后不同的破壞程度，可采用一些相應的急救措施來(lái)進(jìn)行挽救，以使損失減到最校下面就不同的病毒破壞介紹一些較為常用的補救措施。

? 1.flashbios被破壞?重寫(xiě)bios程序（一般需專(zhuān)業(yè)技術(shù)人員進(jìn)行）或者更換主版。? 2.cmos被破壞 將cmos放電，然后用計算機的設置程序進(jìn)行重新設置。

? 3.引導區或主引導扇區被破壞?某些殺毒軟件提供備份和恢復系統主引導區和引導區信息內容，用此功能進(jìn)行恢復。若能找到具有相同類(lèi)型硬盤(pán)、同樣的分區和安裝有同樣的操作系統的其他計算機，可利用它進(jìn)行備份，然后恢復被病毒破壞的引導區或主引導扇區。

? 4.文件丟失? 若是在純dos系統中，可利用ndd等磁盤(pán)工具進(jìn)行恢復。注意，若有其他操作系統，則不能用ndd磁盤(pán)工具，否則會(huì )帶來(lái)更大的破壞。

? 若有備份文件，病毒對磁盤(pán)的破壞均可通過(guò)備份文件進(jìn)行恢復。如果沒(méi)有備份文件，有些較為復雜的操作，例如：部分文件分配表被破壞等，需專(zhuān)業(yè)技術(shù)人員來(lái)進(jìn)行，碰到這種較為復雜的情況，請向專(zhuān)業(yè)反病毒公司救助。

4.簡(jiǎn)述計算機病毒的分類(lèi)

計算機病毒就是一種附加到計算機內部重要區域（例如可執行文件以及硬盤(pán)和軟盤(pán)的引導區）的惡意代碼。

病毒通過(guò)將其自身復制到其他宿主文件或磁盤(pán)上，可以達到破壞數據的目的。當宿主文件運行并釋放惡意代碼時(shí)，就傳播了病毒。

當計算機從受感染磁盤(pán)中引導時(shí)，病毒可以迅速地傳播到內存中。 一旦病毒駐留在內存中，它就可能感染其他可執行文件或磁盤(pán)引導扇區。

一般情況下，病毒保持一種靜止狀態(tài)，直到出現某個(gè)觸發(fā)事件，例如，某個(gè)系統日期。除復制之外，計算機病毒經(jīng)常還會(huì )執行某些其他活動(dòng)，通常是一些破壞活動(dòng)或顯示一條消息。

病毒是由了解如何使用和處理代碼的人員編寫(xiě)的。 現在，已知的病毒已超過(guò)了 20,000 種。

其中許多病毒都是由像 Symantec 這樣的防病毒供應商發(fā)現的，供應商們已經(jīng)分析過(guò)它們，但這些病毒并沒(méi)有在工作或家庭環(huán)境中遇到。 盡管人們聽(tīng)說(shuō)的有關(guān)病毒的情況很多都是夸大其辭，但實(shí)際上病毒也是非常普遍和易于傳播的。

如果不對病毒設置防護措施，您的網(wǎng)絡(luò )就很可能丟失數據，甚至可能造成崩潰。 程序型病毒可以通過(guò)任何網(wǎng)絡(luò )、調制解調器或磁性媒質(zhì)傳播。

大多數引導型病毒只能通過(guò)軟盤(pán)傳播。復合型病毒尤其復雜，因為這種病毒按照程序型病毒傳播，但感染引導扇區并可以通過(guò)軟盤(pán)傳播。

隨著(zhù)局域網(wǎng)、Internet 和全球性的電子郵件的大量使用，病毒傳播的速度也在迅速地增加。當受感染文件通過(guò)電子郵件發(fā)送出去時(shí)，本地的病毒可能會(huì )迅速地傳播到公司的其他部門(mén)甚至是世界各地。

病毒感染的主要威脅來(lái)自于那些打開(kāi)并使用的共享文件。 病毒是按照它們感染的內容和逃避檢測的方式進(jìn)行分類(lèi)的。

基本的病毒類(lèi)型是按照它們感染計算機的區域定義的： 引導型病毒：將指令插入到軟盤(pán)的引導扇區，或者硬盤(pán)的引導扇區或主引導記錄（分區表扇區）。 程序型病毒：感染可執行文件，例如，。

COM、。EXE 和 。

DLL 文件。 宏病毒：通過(guò)修改宏的行為方式感染文檔文件，例如，Microsoft Word 。

DOC 文件。 其他具有破壞性的代碼類(lèi)型，包括蠕蟲(chóng)、特洛伊木馬和邏輯炸彈病毒。

這些具有破壞性代碼的病毒類(lèi)型不同于其他病毒，因為它們并不進(jìn)行復制。

5.簡(jiǎn)述什么是計算機病毒

1.計算機病毒的傳染方式 所謂傳染是指計算機病毒由一個(gè)載體傳播到另一個(gè)載體，由一個(gè)系統進(jìn)入另一個(gè)系統的過(guò)程。

這種載體一般為磁 盤(pán)或磁帶，它是計算機病毒賴(lài)以生存和進(jìn)行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。

促成病毒的傳染 還有一個(gè)先決條件，可分為兩種情況，或者叫做兩種方式。 其中一種情況是，用戶(hù)在進(jìn)行拷貝磁盤(pán)或文件時(shí)，把一個(gè)病毒由一個(gè)載體復制到另一個(gè)載體上。

或者是通過(guò)網(wǎng)絡(luò ) 上的信息傳遞，把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動(dòng)傳染。

另外一種情況是，計算機病毒是以計算機系統的運行以及病毒程序處于激活狀態(tài)為先決條件。 在病毒處于激活的 狀態(tài)下，只要傳染條件滿(mǎn)足，病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統。

這種傳染方式叫做計算 機病毒的主動(dòng)傳染。 2.計算機病毒的傳染過(guò)程 對于病毒的被動(dòng)傳染而言，其傳染過(guò)程是隨著(zhù)拷貝磁盤(pán)或文件工作的進(jìn)行而進(jìn)行的，而對于計算機病毒的主動(dòng)傳 染而言，其傳染過(guò)程是這樣的：在系統運行時(shí)，病毒通過(guò)病毒載體即系統的外存儲器進(jìn)入系統的內存儲器，常駐內存， 并在系統內存中監視系統的運行。

在病毒引導模塊將病毒傳染模塊駐留內存的過(guò)程中，通常還要修改系統中斷向量入 口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統執行磁盤(pán)讀寫(xiě)操作或系統 功能調用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿(mǎn)足的條件下， 利用系統INT 13H讀寫(xiě)磁盤(pán)中斷把病毒 自身傳染給被讀寫(xiě)的磁盤(pán)或被加載的程序，也就是實(shí)施病毒的傳染，然后再轉移到原中斷服務(wù)程序執行原有的操作。

計算機病毒的傳染方式基本可分為兩大類(lèi)，一是立即傳染，即病毒在被執行到的瞬間，搶在宿主程序開(kāi)始執行前， 立即感染磁盤(pán)上的其他程序，然后再執行宿主程序；二是駐留內存并伺機傳染，內存中的病毒檢查當前系統環(huán)境，在 執行一個(gè)程序或D1R等操作時(shí)傳染磁盤(pán)上的程序，駐留在系統內存中的病毒程序在宿主程序運行結束后， 仍可活動(dòng)， 直至關(guān)閉計算機。 3.系統型病毒傳染機理 計算機軟硬盤(pán)的配置和使用情況是不同的。

軟盤(pán)容量小，可以方便地移動(dòng)交換使用，在計算機運行過(guò)程中可能多 次更換軟盤(pán)；硬盤(pán)作為固定設備安裝在計算機內部使用，大多數計算機配備一只硬盤(pán)。系統型病毒針對軟硬盤(pán)的不同 特點(diǎn)采用了不同的傳染方式。

系統型病毒利用在開(kāi)機引導時(shí)竊獲的INT 13控制權，在整個(gè)計算機運行過(guò)程中隨時(shí)監視軟盤(pán)操作情況， 趁讀寫(xiě) 軟盤(pán)的時(shí)機讀出軟盤(pán)引導區，判斷軟盤(pán)是否染毒，如未感染就按病毒的寄生方式把原引導區寫(xiě)到軟盤(pán)另一位置，把病 毒寫(xiě)入軟盤(pán)第一個(gè)扇區，從而完成對軟盤(pán)的傳染。 染毒的軟盤(pán)在軟件交流中又會(huì )傳染其他計算機。

由于在每個(gè)讀寫(xiě)階 段病毒都要讀引導區，既影響微機工作效率，又容易因驅動(dòng)器頻繁尋道而造成物理?yè)p傷。 系統型病毒對硬盤(pán)的傳染往往是在計算機上第一次使用帶毒軟盤(pán)進(jìn)行的，具體步驟與軟盤(pán)傳染相似，也是讀出引 導區判斷后寫(xiě)入病毒。

4.文件型病毒傳染機理 當執行被傳染的。COM或。

EXE可執行文件時(shí)，病毒駐人內存。一旦病毒駐人內存，便開(kāi)始監視系統的運行。

當它發(fā) 現被傳染的目標時(shí)，進(jìn)行如下操作： （1）首先對運行的可執行文件特定地址的標識位信息進(jìn)行判斷是否已感染了病毒； （2）當條件滿(mǎn)足，利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間，并存入磁盤(pán)中； （3）完成傳染后，繼續監視系統的運行，試圖尋找新的攻擊目標。 文件型病毒通過(guò)與磁盤(pán)文件有關(guān)的操作進(jìn)行傳染，主要傳染途徑有： （1）加載執行文件 文件型病毒駐內存后，通過(guò)其所截獲的INT 21中斷檢查每一個(gè)加載運行可執行文件進(jìn)行傳染。

加載傳染方式每次傳染一個(gè)文件，即用戶(hù)準備運行的那個(gè)文件，傳染不到那些用戶(hù)沒(méi)有使用的文件。 （2）列目錄過(guò)程 一些病毒編制者可能感到加載傳染方式每次傳染一個(gè)文件速度較慢，不夠過(guò)癮，于是后來(lái)造出通過(guò)列目錄傳染的 病毒。

在用戶(hù)列硬盤(pán)目錄的時(shí)候，病毒檢查每一個(gè)文件的擴展名，如果是可執行文件就調用病毒的傳染模塊進(jìn)行傳染。 這樣病毒可以一次傳染硬盤(pán)一個(gè)于目錄下的全部可執行文件。

DIR是最常用的DOS命令，每次傳染的文件又多，所以病 毒的擴散速度很快，往往在短時(shí)間內傳遍整個(gè)硬盤(pán)。 對于軟盤(pán)而言，由于讀寫(xiě)速度比硬盤(pán)慢得多，如果一次傳染多個(gè)文件所費時(shí)間較長(cháng)，容易被用戶(hù)發(fā)現，所以病毒 “忍痛”放棄了一些傳染機會(huì )，采用列一次目錄只傳染一個(gè)文件的方式。

（3）創(chuàng )建文件過(guò)程 創(chuàng )建文件是DOS內部的一項操作，功能是在磁盤(pán)上建立一個(gè)新文件。 已經(jīng)發(fā)現利用創(chuàng )建文件過(guò)程把病毒附加到新 文件上去的病毒，這種傳染方式更為隱蔽狡猾。

因為加載傳染和列目錄傳染都是病毒感染磁盤(pán)上原有的文件，細心的 用戶(hù)往往會(huì )發(fā)現文件染毒前后長(cháng)度的變化，從而暴露病毒的蹤跡。 而創(chuàng )建文件的傳染手段卻造成了新文件生來(lái)帶毒的 奇觀(guān)。

好在一般用戶(hù)很少去創(chuàng )建一個(gè)可執行文件，但經(jīng)常使用各種編譯、連接工具的計算機專(zhuān)業(yè)工作者應該注意文件 型病毒發(fā)展的這一動(dòng)向，特別在商品軟件最。

6.計算機病毒的危害

說(shuō)起計算機病毒，不少人都吃過(guò)它的苦頭，有的人對它真的是深?lèi)和唇^。

自從一個(gè)美國學(xué)生因為調皮或好奇使它偶然問(wèn)世后，它的家族就開(kāi)始以幾何級數瘋狂繁衍。現在它的子孫已經(jīng)不下幾萬(wàn)種。

因為計算機病毒能夠破壞計算機系統或毀壞計算機中的數據，造成巨大的經(jīng)濟損失，所以被認為是二十世紀信息時(shí)代到來(lái)后的一大公害。正因為如此，研究計算機病毒已經(jīng)成為一門(mén)專(zhuān)門(mén)的學(xué)問(wèn)。

國內也已經(jīng)有了幾家專(zhuān)門(mén)開(kāi)發(fā)防殺計算機病毒軟件的著(zhù)名計算機公司。在一*般人看來(lái)，計算機病毒真是“有百害而無(wú)一利”了。

然而事情總有它的另一方面。據說(shuō)，在九十年代初的海灣戰爭中，計算機病毒竟成了一種克敵制勝的武器。