計算機病毒評估的方法(檢測計算機病毒方法)

1.檢測計算機病毒方法有哪些

計算機病毒檢測方法：

1.手工檢測

手工檢測是指通過一些軟件工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等提供的功能） 進行病毒的檢測。這種方法比較復(fù)雜，需要檢測者熟悉機器指令和操作系統(tǒng)，因而無法普及。它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內(nèi)存及磁盤的有關(guān)部分進行檢查，通過和正常情況下的狀態(tài)進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認(rèn)識的新病毒。

2.自動檢測

自動檢測是指通過一些診斷軟件來判讀一個系統(tǒng)或一個軟盤是否有毒的方法。自動檢測則比較簡單，一般用戶都可以進行，但需要較好的診斷軟件。這種方法可方便地檢測大量的病毒，但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發(fā)展總是滯后于病毒的發(fā)展，所以檢測工具總是對相對數(shù)量的未知病毒不能識別。

就兩種方法相比較而言，手工檢測方法操作難度大，技術(shù)復(fù)雜，它需要操作人員有一定的軟件分析經(jīng)驗以及對操作系統(tǒng)有一個深入的了解。而自動檢測方法操作簡單、使用方便，適合于一般的計算機用戶學(xué)習(xí)使用；但是，由于計算機病毒的種類較多，程序復(fù)雜，再加上不斷地出現(xiàn)病毒的變種，所以自動檢測方法不可能檢測所有未知的病毒。在出現(xiàn)一種新型的病毒時，如果現(xiàn)有的各種檢測工具無法檢測這種病毒，則只能用手工方法進行病毒的檢測。其實，自動檢測也是在手工檢測成功的基礎(chǔ)上把手工檢測方法程序化后所得的。

因此，手工檢測病毒是最基本、最有力的工具。

病毒感染正常文件或系統(tǒng)會引起各種變化，從這些變化中找出某些本質(zhì)性的變化，作為診斷病毒的判據(jù)。廣泛使用的主要檢測病毒方法有：比較法、搜索法、分析法、感染實驗法、軟件模擬法、行為檢測法。

2.計算機病毒常見的分類方法有哪些

計算機病毒分類，根據(jù)多年對計算機病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據(jù)下面的屬性進行分類：

按照計算機病毒存在的媒體進行分類根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計算機中的文件（如：COM,EXE,DOC等），引導(dǎo)型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。 按照計算機病毒傳染的方法進行分類根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，他處于激活狀態(tài)，一直到關(guān)機或重新啟動.非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。 根據(jù)病毒破壞的能力可劃分為以下幾種：

無害型

除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。

無危險型

這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險型，這類病毒在計算機系統(tǒng)操作中造成嚴(yán)重的錯誤。

非常危險型

這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當(dāng)它們傳染時會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。根據(jù)病毒特有的算法，病毒可以劃分為：

伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。

“蠕蟲”型病毒，通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。

寄生型病毒 除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段。

詭秘型病毒 它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。

變型病毒（又稱幽靈病毒） 這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。

3.計算機病毒分為哪幾種

1、木馬病毒。

木馬病毒其前綴是：Trojan，其共有特性以盜取用戶信息為目的。

2、系統(tǒng)病毒。

系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。其主要感染windows系統(tǒng)的可執(zhí)行文件。

3、蠕蟲病毒。

蠕蟲病毒的前綴是：Worm。其主要是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進行傳播

4、腳本病毒。

腳本病毒的前綴是：Script。其特點是采用腳本語言編寫。

5、后門病毒。

后門病毒的前綴是：Backdoor。其通過網(wǎng)絡(luò)傳播，并在系統(tǒng)中打開后門。

6、宏病毒。

其實宏病毒是也是腳本病毒的一種，其利用ms office文檔中的宏進行傳播。

7.破壞性程序病毒。

破壞性程序病毒的前綴是：Harm。其一般會對系統(tǒng)造成明顯的破壞，如格式化硬盤等。

8.、玩笑病毒。

玩笑病毒的前綴是：Joke。是惡作劇性質(zhì)的病毒，通常不會造成實質(zhì)性的破壞。

9.捆綁機病毒

捆綁機病毒的前綴是：Binder。這是一類會和其它特定應(yīng)用程序捆綁在一起的病毒。

這種病毒用它自已的程序意圖加入或取代部分操作系統(tǒng)進行工作，具有很強的破壞力，可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。

良性計算機病毒

良性病毒是指其不包含有立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內(nèi)的數(shù)據(jù)。有些人對這類計算機病毒的傳染不以為然，認(rèn)為這只是惡作劇，沒什么關(guān)系。其實良性、惡性都是相對而言的。良性病毒取得系統(tǒng)控制權(quán)后，會導(dǎo)致整個系統(tǒng)和應(yīng)用程序爭搶CPU的控制權(quán)，時時導(dǎo)致整個系統(tǒng)死鎖，給正常操作帶來麻煩。有時系統(tǒng)內(nèi)還會出現(xiàn)幾種病毒交叉感染的現(xiàn)象，一個文件不停地反復(fù)被幾種病毒所感染。例如原來只有10KB存儲空間，而且整個計算機系統(tǒng)也由于多種病毒寄生于其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統(tǒng)造成的損害。

源碼型病毒該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。

宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會 “感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上。 文件型病毒是主要感染可執(zhí)行文件的病毒，它通常隱藏在宿主程序中，執(zhí)行宿主程序時，將會先執(zhí)行病毒程序再執(zhí)行宿主程序。

傳播方式當(dāng)宿主程序運行時，病毒程序首先運行，然后駐留在內(nèi)存中，再伺機感染其它的可執(zhí)行程序，達到傳播的目的。

4.什么是計算機病毒

計算機病毒是一些計算機編程的程序員，出于炫耀或者報復(fù)別人的心態(tài)，而編出來的計算機惡意代碼。這種代碼可以通過各種網(wǎng)絡(luò)渠道，在計算機網(wǎng)絡(luò)之間傳播。像計算機病毒主要感染EXE文件來感染計算機系統(tǒng)，甚至嚴(yán)重的可以摧毀計算機系統(tǒng)，致使其癱瘓。像曾經(jīng)流行一時的“熊貓燒香”病毒，就是一種很厲害的計算機病毒。

還有就是計算機間諜程序，主要是計算機木馬，這些也可以入侵計算機，建立起惡意計算機用戶和一般正常計算機用戶的計算機之間的后門連接，一般的計算機用戶在不使用防病毒軟件或者防間諜軟件是無法得知自己的系統(tǒng)已經(jīng)被黑客控制。木馬一般不具有破壞性，但是，它可以盜取計算機用戶的帳號信息，秘密，銀行卡帳號等個人隱私材料。甚至，木馬可以下載專門的病毒和更多的計算機木馬到你的系統(tǒng)。造成更多的破壞，甚至可以將你的計算機作為木馬和病毒傳播的網(wǎng)絡(luò)平臺。