計算機病毒課件ppt(計算機病毒)

1.計算機病毒

檢測磁盤中的計算機病毒可分成檢測引導型計算機病毒和檢測文件型計算機病毒。

這兩種檢測從原理上講是一樣的，但由于各自的存儲方式不同，檢測方法是有差別的。 2.4.1 比較法 比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。

比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進行比較，或用程序來進行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專用的查計算機病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進行。

而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計算機病毒程序發(fā)現(xiàn)的計算機病毒。因為計算機病毒傳播得很快，新的計算機病毒層出不窮，由于目前還沒有做出通用的能查出一切計算機病毒，或通過代碼分析，可以判定某個程序中是否含有計算機病毒的查毒程序，發(fā)現(xiàn)新計算機病毒就只有靠比較法和分析法，有時必須結合這兩者來一同工作。

使用比較法能發(fā)現(xiàn)異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內的程序代碼發(fā)生了變化。對硬盤主引導扇區(qū)或對DOS的引導扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。

由于要進行比較，保留好原始備份是非常重要的，制作備份時必須在無計算機病毒的環(huán)境里進行，制作好的備份必須妥善保管，寫好標簽，并加上寫保護。 比較法的好處是簡單、方便，不需專用軟件。

缺點是無法確認計算機病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進一步驗證，以查明是由于計算機病毒造成的，或是由于DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。

這些要用到以后講的分析法，查看變化部分代碼的性質，以此來確證是否存在計算機病毒。另外，當找不到原始備份時，用比較法就不能馬上得到結論。

從這里可以看到制作和保留原始主引導扇區(qū)和其它數(shù)據(jù)備份的重要性。 2.4.2 加總比對法 根據(jù)每個程序的檔案名稱、大小、時間、日期及內容，加總為一個檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否感染了計算機病毒。

一個很簡單的例子就是當您把車停下來之后，將里程表的數(shù)字記下來。那么下次您再開車時，只要比對一下里程表的數(shù)字，那么您就可以斷定是否有人偷開了您的車子。

這種技術可偵測到各式的計算機病毒，但最大的缺點就是誤判斷高，且無法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無法偵測到。

2.4.3 搜索法. 搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計算機病毒。

國外對這種按搜索法工作的計算機病毒掃描軟件叫Virus Scanner。計算機病毒掃描軟件由兩部分組成：一部分是計算機病毒代碼庫，含有經(jīng)過特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的掃描程序。

目前常見的防殺計算機病毒軟件對已知計算機病毒的檢測大多采用這種方法。計算機病毒掃描程序能識別的計算機病毒的數(shù)目完全取決于計算機病毒代碼庫內所含計算機病毒的種類多少。

顯而易見，庫中計算機病毒代碼種類越多，掃描程序能認出的計算機病毒就越多。計算機病毒代碼串的選擇是非常重要的。

短小的計算機病毒只有一百多個字節(jié)，長的有上萬字節(jié)的。如果隨意從計算機病毒體內選一段作為代表該計算機病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對應的計算機病毒檢查出來。

選這種串做為計算機病毒代碼庫的特征串就是不合適的。 另一種情況是代碼串不應含有計算機病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會經(jīng)常變化的。

代碼串一定要在仔細分析了程序之后才選出最具代表特性的，足以將該計算機病毒區(qū)別于其它計算機病毒的字節(jié)串。選定好的特征代碼串是很不容易的，是計算機病毒掃描程序的精華所在。

一般情況下，代碼串是連續(xù)的若干個字節(jié)組成的串，但是有些掃描軟件采用的是可變長串，即在串中包含有一個到幾個“模糊”字節(jié)。掃描軟件遇到這種串時，只要除“模糊”字節(jié)之外的字串都能完好匹配，則也能判別出計算機病毒。

除了前面說的選特征串的規(guī)則外，最重要的是一條是特征串必須能將計算機病毒與正常的非計算機病毒程序區(qū)分開。不然將非計算機病毒程序當成計算機病毒報告給用戶，是假警報，這種“狼來了”的假警報太多了，就會使用戶放松警惕，等真的計算機病毒一來，破壞就嚴重了；再就是若將這假警報送給殺計算機病毒程序，會將好程序給“殺死”了。

使用特征串的掃描法被查計算機病毒軟件廣泛應用。當特征串選擇得很好時，計算機病毒檢測軟件讓計算機用戶使用起來很方便，對計算機病毒了解不多的人也能用它來發(fā)現(xiàn)計算機病毒。

另外，不用專門軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計算機病毒。 這種掃描法的缺點也是明顯的。

第一是當被掃描的文件很長時，掃描所花時間也越多；第二是不容易選出合適。

2.計算機病毒

如何根據(jù)名稱識別計算機病毒 發(fā)布時間：2004年11月15日 13:23 很多時候大家已經(jīng)用殺毒軟件查出了自己的機子中了例如Backdoor。

RmtBomb。12 、Trojan。

Win32。SendIP。

15 等等這些一串英文還帶數(shù)字的病毒名，這時有些人就懵了，那么長一串的名字，我怎么知道是什么病毒?。?其實只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。

雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的。一般格式為：。

病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。 不同的種類的病毒，其前綴也是不同的。

比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。 病毒名是指一個病毒的家族特征，是用來區(qū)別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“ Sasser ”。

病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如 Worm。

Sasser。b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。

如果該病毒變種非常多（也表明該病毒生命力頑強 ^_^），可以采用數(shù)字與字母混合表示變種標識。 綜上所述，一個病毒的前綴對我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。

通過判斷病毒的類型，就可以對這個病毒有個大概的評估（當然這需要積累一些常見病毒類型的相關知識，這不在本文討論范圍）。而通過病毒名我們可以利用查找資料等方式進一步了解該病毒的詳細特征。

病毒后綴能讓我們知道現(xiàn)在在你機子里呆著的病毒是哪個變種。 下面附帶一些常見的病毒前綴的解釋（針對我們用得最多的Windows操作系統(tǒng)）： 1、系統(tǒng)病毒 系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。

這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的 *。 exe 和 *。

dll 文件，并通過這些文件進行傳播。如CIH病毒。

2、蠕蟲病毒 蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。

比如沖擊波（阻塞網(wǎng)絡），小郵差（發(fā)帶毒郵件） 等。 3、木馬病毒、黑客病毒 木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。

木馬病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。 木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。

現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan。

QQ3344 ，還有大家可能遇見比較多的針對網(wǎng)絡游戲的木馬病毒如 Trojan。 LMir。

PSW。60 。

這里補充一點，病毒名中有PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡梟雄（Hack。Nether。

Client）等。 4、腳本病毒 腳本病毒的前綴是： Script。

腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，如紅色代碼（Script。Redlof）——可不是我們的老大代碼兄哦 ^_^。

腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS。Happytime）、十四日 （Js。

Fortnight。c。

s）等。 5、宏病毒 其實宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。

宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。 凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro。

Word97；凡是只感染W(wǎng)ORD97以后版本 WORD文檔的病毒采用Word做為第二前綴，格式是：Macro。Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用 Excel97做為第二前綴，格式是：Macro。

Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro。Excel，依此類推。

該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進行傳播，如：著名的美麗莎 （Macro。 Melissa）。

6、后門病毒 后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。

如54很多朋友遇到過的IRC后門Backdoor。IRCBot 。

7、病毒種植程序病毒 這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。 如：冰河播種者（Dropper。

BingHe2。2C）、MSN射手（Dropper。

Worm。Smibag）等。

8。破壞性程序病毒 破壞性程序病毒的前綴是：Harm。

這類病毒的公有特性是本身具有好看的圖標來誘惑用戶。

3.病毒知識

一、特點 寄生性、隱蔽性、非法性、傳染性、破壞性二、分類： 1、引導型病毒：寄生在系統(tǒng)引導區(qū)，比較容易被清除，現(xiàn)在已經(jīng)很少見。

2、文件型病毒：寄生在可執(zhí)行文件中，感染速度快，較易清除。 3、目錄型病毒：寄生在系統(tǒng)目錄結構中 4、混合型病毒：多種類型的混合 5、宏病毒：專門感染Microsoft Office 系列文件的病毒 6、蠕蟲病毒：感染網(wǎng)絡，使網(wǎng)速大大降低。

目前流行的病毒大多集成了黑客技術、木馬技術和病毒技術三種，非常難以清除而且很容易中。三、一些常見危害較大的病毒 1、CIH病毒：文件型病毒，4月26日發(fā)作時破壞性最大，首個能破壞硬件系統(tǒng)的病毒。

2、Melissa病毒：宏病毒，郵件傳播 3、沖擊波、震蕩波病毒：利用WINDOWS的漏洞，使計算機自動重啟并堵塞網(wǎng)絡。一般來說，計算機病毒可分為二大類，“良性”病毒和惡性病毒。

所謂“良性”病毒，是指病毒不對計算機數(shù)據(jù)進行破壞，但會造成計算機程序工作異常。有時病毒還會出來表現(xiàn)一番，例如：“小球（pingpang）”病毒、“臺灣一號”和“維也納”等。

惡性病毒往往沒有直觀的表現(xiàn)，但會對計算機數(shù)據(jù)進行破壞，有的甚至會破壞計算機硬件，造成整個計算機癱瘓。例如：前幾年流行的“米開朗基羅”、“黑色星期五”和今天的“cih系統(tǒng)毀滅者”病毒等均屬此類。

“良性”病毒一般比較容易判斷，病毒發(fā)作時會盡可能地表現(xiàn)自己，雖然影響程序的正常運行，但重新啟動后可繼續(xù)工作。惡性病毒感染后一般沒有異常表現(xiàn)，病毒會想方設法將自己隱藏得更深。

一旦惡性病毒發(fā)作，等人們察覺時，已經(jīng)對計算機數(shù)據(jù)或硬件造成了破壞，損失將很難挽回。? 純數(shù)據(jù)文件不會被病毒感染，如：聲音、圖像、動畫、文本等文件。

病毒一般感染主引導區(qū)，硬盤分區(qū)表，批處理文件，可執(zhí)行程序，以及word、excel文檔這類非純粹的數(shù)據(jù)文件等。? 如何來判斷計算機是否被病毒感染呢？最簡便且行之有效的方法當然是利用各種殺毒軟件或防病毒卡來檢驗計算機是否染毒。

應該做到定時查殺，常備不懈。如果沒有配備相應的反病毒產(chǎn)品，則可通過如下途徑初步判斷計算機是否感染了病毒。

? 1.程序突然工作異常。如文件打不開，word97、excel97出現(xiàn)“宏”警示框（用戶無自編“宏”的情況下），死機等。

? 2.文件大小自動發(fā)生改變。? 3.更換軟盤后，列表時內容不變。

? 4.檢查內存，基本內存小于640k（某些機型小于639k）。? 5.windows出現(xiàn)異常出錯信息。

? 6.用與硬盤相同版本的系統(tǒng)盤從a驅引導后找不到硬盤。? 7.運行速度變慢。

? 8.以前運行正常的程序運行時出現(xiàn)內存不足。? 9.系統(tǒng)無法啟動。

? 出現(xiàn)以上情況之一可懷疑是病毒所為，但最終確認最好是請專業(yè)反病毒公司協(xié)助。? 病毒發(fā)作的后果? 根據(jù)病毒的不同類型和病毒編寫者的不同意圖，計算機病毒發(fā)作后會有不同的表現(xiàn)，當然其結果也大不一樣。

“良性”病毒發(fā)作時一般會暫時影響計算機的正常運行，搞一些惡作劇或開一個玩笑，病毒編寫者為了表現(xiàn)自己，會讓病毒顯現(xiàn)出來。重新啟動后一般即可重新工作。

? 惡性病毒發(fā)作的后果與“良性”病毒有本質的區(qū)別，它會對計算機的軟硬件實施破壞。與“良性”病毒不同，通常破壞時無任何跡象，在瞬間就造成毀滅性的破壞。

具體的破壞方式主要有：? 1.修改數(shù)據(jù)文件，導致數(shù)據(jù)紊亂。? 2.刪除可執(zhí)行文件，導致系統(tǒng)無法正常運行。

? 3.破壞cmos，導致系統(tǒng)無法正常啟動。? 4.攻擊bios，破壞bios芯片，導致硬件系統(tǒng)完全癱瘓。

? 5.對硬盤進行破壞，表現(xiàn)為：? ●格式化硬盤，致使硬盤數(shù)據(jù)完全丟失。? ●寫入垃圾瑪，破壞部分或全部數(shù)據(jù)。

●修改硬盤分區(qū)表或引導區(qū)信息，使系統(tǒng)無法正常從硬盤引導。若以a盤引導，則c盤仍無法找到。

? ●破壞文件分配表，造成文件數(shù)據(jù)丟失或紊亂。? 病毒發(fā)作后的急救措施? 根據(jù)病毒發(fā)作后不同的破壞程度，可采用一些相應的急救措施來進行挽救，以使損失減到最校下面就不同的病毒破壞介紹一些較為常用的補救措施。

? 1.flashbios被破壞?重寫bios程序（一般需專業(yè)技術人員進行）或者更換主版。? 2.cmos被破壞 將cmos放電，然后用計算機的設置程序進行重新設置。

? 3.引導區(qū)或主引導扇區(qū)被破壞?某些殺毒軟件提供備份和恢復系統(tǒng)主引導區(qū)和引導區(qū)信息內容，用此功能進行恢復。若能找到具有相同類型硬盤、同樣的分區(qū)和安裝有同樣的操作系統(tǒng)的其他計算機，可利用它進行備份，然后恢復被病毒破壞的引導區(qū)或主引導扇區(qū)。

? 4.文件丟失? 若是在純dos系統(tǒng)中，可利用ndd等磁盤工具進行恢復。注意，若有其他操作系統(tǒng)，則不能用ndd磁盤工具，否則會帶來更大的破壞。

? 若有備份文件，病毒對磁盤的破壞均可通過備份文件進行恢復。如果沒有備份文件，有些較為復雜的操作，例如：部分文件分配表被破壞等，需專業(yè)技術人員來進行，碰到這種較為復雜的情況，請向專業(yè)反病毒公司救助。

4.簡述計算機病毒的分類

計算機病毒就是一種附加到計算機內部重要區(qū)域（例如可執(zhí)行文件以及硬盤和軟盤的引導區(qū)）的惡意代碼。

病毒通過將其自身復制到其他宿主文件或磁盤上，可以達到破壞數(shù)據(jù)的目的。當宿主文件運行并釋放惡意代碼時，就傳播了病毒。

當計算機從受感染磁盤中引導時，病毒可以迅速地傳播到內存中。 一旦病毒駐留在內存中，它就可能感染其他可執(zhí)行文件或磁盤引導扇區(qū)。

一般情況下，病毒保持一種靜止狀態(tài)，直到出現(xiàn)某個觸發(fā)事件，例如，某個系統(tǒng)日期。除復制之外，計算機病毒經(jīng)常還會執(zhí)行某些其他活動，通常是一些破壞活動或顯示一條消息。

病毒是由了解如何使用和處理代碼的人員編寫的。 現(xiàn)在，已知的病毒已超過了 20,000 種。

其中許多病毒都是由像 Symantec 這樣的防病毒供應商發(fā)現(xiàn)的，供應商們已經(jīng)分析過它們，但這些病毒并沒有在工作或家庭環(huán)境中遇到。 盡管人們聽說的有關病毒的情況很多都是夸大其辭，但實際上病毒也是非常普遍和易于傳播的。

如果不對病毒設置防護措施，您的網(wǎng)絡就很可能丟失數(shù)據(jù)，甚至可能造成崩潰。 程序型病毒可以通過任何網(wǎng)絡、調制解調器或磁性媒質傳播。

大多數(shù)引導型病毒只能通過軟盤傳播。復合型病毒尤其復雜，因為這種病毒按照程序型病毒傳播，但感染引導扇區(qū)并可以通過軟盤傳播。

隨著局域網(wǎng)、Internet 和全球性的電子郵件的大量使用，病毒傳播的速度也在迅速地增加。當受感染文件通過電子郵件發(fā)送出去時，本地的病毒可能會迅速地傳播到公司的其他部門甚至是世界各地。

病毒感染的主要威脅來自于那些打開并使用的共享文件。 病毒是按照它們感染的內容和逃避檢測的方式進行分類的。

基本的病毒類型是按照它們感染計算機的區(qū)域定義的： 引導型病毒：將指令插入到軟盤的引導扇區(qū)，或者硬盤的引導扇區(qū)或主引導記錄（分區(qū)表扇區(qū)）。 程序型病毒：感染可執(zhí)行文件，例如，。

COM、。EXE 和 。

DLL 文件。 宏病毒：通過修改宏的行為方式感染文檔文件，例如，Microsoft Word 。

DOC 文件。 其他具有破壞性的代碼類型，包括蠕蟲、特洛伊木馬和邏輯炸彈病毒。

這些具有破壞性代碼的病毒類型不同于其他病毒，因為它們并不進行復制。

5.簡述什么是計算機病毒

1.計算機病毒的傳染方式 所謂傳染是指計算機病毒由一個載體傳播到另一個載體，由一個系統(tǒng)進入另一個系統(tǒng)的過程。

這種載體一般為磁 盤或磁帶，它是計算機病毒賴以生存和進行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。

促成病毒的傳染 還有一個先決條件，可分為兩種情況，或者叫做兩種方式。 其中一種情況是，用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載體上。

或者是通過網(wǎng)絡 上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染。

另外一種情況是，計算機病毒是以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件。 在病毒處于激活的 狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。

這種傳染方式叫做計算 機病毒的主動傳染。 2.計算機病毒的傳染過程 對于病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進行而進行的，而對于計算機病毒的主動傳 染而言，其傳染過程是這樣的：在系統(tǒng)運行時，病毒通過病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)的內存儲器，常駐內存， 并在系統(tǒng)內存中監(jiān)視系統(tǒng)的運行。

在病毒引導模塊將病毒傳染模塊駐留內存的過程中，通常還要修改系統(tǒng)中斷向量入 口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng) 功能調用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下， 利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒 自身傳染給被讀寫的磁盤或被加載的程序，也就是實施病毒的傳染，然后再轉移到原中斷服務程序執(zhí)行原有的操作。

計算機病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執(zhí)行到的瞬間，搶在宿主程序開始執(zhí)行前， 立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序；二是駐留內存并伺機傳染，內存中的病毒檢查當前系統(tǒng)環(huán)境，在 執(zhí)行一個程序或D1R等操作時傳染磁盤上的程序，駐留在系統(tǒng)內存中的病毒程序在宿主程序運行結束后， 仍可活動， 直至關閉計算機。 3.系統(tǒng)型病毒傳染機理 計算機軟硬盤的配置和使用情況是不同的。

軟盤容量小，可以方便地移動交換使用，在計算機運行過程中可能多 次更換軟盤；硬盤作為固定設備安裝在計算機內部使用，大多數(shù)計算機配備一只硬盤。系統(tǒng)型病毒針對軟硬盤的不同 特點采用了不同的傳染方式。

系統(tǒng)型病毒利用在開機引導時竊獲的INT 13控制權，在整個計算機運行過程中隨時監(jiān)視軟盤操作情況， 趁讀寫 軟盤的時機讀出軟盤引導區(qū)，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導區(qū)寫到軟盤另一位置，把病 毒寫入軟盤第一個扇區(qū)，從而完成對軟盤的傳染。 染毒的軟盤在軟件交流中又會傳染其他計算機。

由于在每個讀寫階 段病毒都要讀引導區(qū)，既影響微機工作效率，又容易因驅動器頻繁尋道而造成物理損傷。 系統(tǒng)型病毒對硬盤的傳染往往是在計算機上第一次使用帶毒軟盤進行的，具體步驟與軟盤傳染相似，也是讀出引 導區(qū)判斷后寫入病毒。

4.文件型病毒傳染機理 當執(zhí)行被傳染的。COM或。

EXE可執(zhí)行文件時，病毒駐人內存。一旦病毒駐人內存，便開始監(jiān)視系統(tǒng)的運行。

當它發(fā) 現(xiàn)被傳染的目標時，進行如下操作： （1）首先對運行的可執(zhí)行文件特定地址的標識位信息進行判斷是否已感染了病毒； （2）當條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存入磁盤中； （3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標。 文件型病毒通過與磁盤文件有關的操作進行傳染，主要傳染途徑有： （1）加載執(zhí)行文件 文件型病毒駐內存后，通過其所截獲的INT 21中斷檢查每一個加載運行可執(zhí)行文件進行傳染。

加載傳染方式每次傳染一個文件，即用戶準備運行的那個文件，傳染不到那些用戶沒有使用的文件。 （2）列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個文件速度較慢，不夠過癮，于是后來造出通過列目錄傳染的 病毒。

在用戶列硬盤目錄的時候，病毒檢查每一個文件的擴展名，如果是可執(zhí)行文件就調用病毒的傳染模塊進行傳染。 這樣病毒可以一次傳染硬盤一個于目錄下的全部可執(zhí)行文件。

DIR是最常用的DOS命令，每次傳染的文件又多，所以病 毒的擴散速度很快，往往在短時間內傳遍整個硬盤。 對于軟盤而言，由于讀寫速度比硬盤慢得多，如果一次傳染多個文件所費時間較長，容易被用戶發(fā)現(xiàn)，所以病毒 “忍痛”放棄了一些傳染機會，采用列一次目錄只傳染一個文件的方式。

（3）創(chuàng)建文件過程 創(chuàng)建文件是DOS內部的一項操作，功能是在磁盤上建立一個新文件。 已經(jīng)發(fā)現(xiàn)利用創(chuàng)建文件過程把病毒附加到新 文件上去的病毒，這種傳染方式更為隱蔽狡猾。

因為加載傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細心的 用戶往往會發(fā)現(xiàn)文件染毒前后長度的變化，從而暴露病毒的蹤跡。 而創(chuàng)建文件的傳染手段卻造成了新文件生來帶毒的 奇觀。

好在一般用戶很少去創(chuàng)建一個可執(zhí)行文件，但經(jīng)常使用各種編譯、連接工具的計算機專業(yè)工作者應該注意文件 型病毒發(fā)展的這一動向，特別在商品軟件最。

6.計算機病毒的危害

說起計算機病毒，不少人都吃過它的苦頭，有的人對它真的是深惡痛絕。

自從一個美國學生因為調皮或好奇使它偶然問世后，它的家族就開始以幾何級數(shù)瘋狂繁衍?，F(xiàn)在它的子孫已經(jīng)不下幾萬種。

因為計算機病毒能夠破壞計算機系統(tǒng)或毀壞計算機中的數(shù)據(jù)，造成巨大的經(jīng)濟損失，所以被認為是二十世紀信息時代到來后的一大公害。正因為如此，研究計算機病毒已經(jīng)成為一門專門的學問。

國內也已經(jīng)有了幾家專門開發(fā)防殺計算機病毒軟件的著名計算機公司。在一*般人看來，計算機病毒真是“有百害而無一利”了。

然而事情總有它的另一方面。據(jù)說，在九十年代初的海灣戰(zhàn)爭中，計算機病毒竟成了一種克敵制勝的武器。