計(jì)算機(jī)病毒課件ppt(計(jì)算機(jī)病毒)

1.計(jì)算機(jī)病毒

檢測磁盤中的計(jì)算機(jī)病毒可分成檢測引導(dǎo)型計(jì)算機(jī)病毒和檢測文件型計(jì)算機(jī)病毒。

這兩種檢測從原理上講是一樣的，但由于各自的存儲(chǔ)方式不同，檢測方法是有差別的。 2.4.1 比較法 比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。

比較時(shí)可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。

而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快，新的計(jì)算機(jī)病毒層出不窮，由于目前還沒有做出通用的能查出一切計(jì)算機(jī)病毒，或通過代碼分析，可以判定某個(gè)程序中是否含有計(jì)算機(jī)病毒的查毒程序，發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法，有時(shí)必須結(jié)合這兩者來一同工作。

使用比較法能發(fā)現(xiàn)異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內(nèi)的程序代碼發(fā)生了變化。對(duì)硬盤主引導(dǎo)扇區(qū)或?qū)OS的引導(dǎo)扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。

由于要進(jìn)行比較，保留好原始備份是非常重要的，制作備份時(shí)必須在無計(jì)算機(jī)病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫好標(biāo)簽，并加上寫保護(hù)。 比較法的好處是簡單、方便，不需專用軟件。

缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是由于計(jì)算機(jī)病毒造成的，或是由于DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。

這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來確證是否存在計(jì)算機(jī)病毒。另外，當(dāng)找不到原始備份時(shí)，用比較法就不能馬上得到結(jié)論。

從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。 2.4.2 加總比對(duì)法 根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫中，再利用此加總對(duì)比系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否感染了計(jì)算機(jī)病毒。

一個(gè)很簡單的例子就是當(dāng)您把車停下來之后，將里程表的數(shù)字記下來。那么下次您再開車時(shí)，只要比對(duì)一下里程表的數(shù)字，那么您就可以斷定是否有人偷開了您的車子。

這種技術(shù)可偵測到各式的計(jì)算機(jī)病毒，但最大的缺點(diǎn)就是誤判斷高，且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對(duì)于隱形計(jì)算機(jī)病毒也無法偵測到。

2.4.3 搜索法. 搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測的對(duì)象進(jìn)行掃描。如果在被檢測對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。

國外對(duì)這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成：一部分是計(jì)算機(jī)病毒代碼庫，含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。

目前常見的防殺計(jì)算機(jī)病毒軟件對(duì)已知計(jì)算機(jī)病毒的檢測大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫內(nèi)所含計(jì)算機(jī)病毒的種類多少。

顯而易見，庫中計(jì)算機(jī)病毒代碼種類越多，掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。

短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié)，長的有上萬字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對(duì)應(yīng)的計(jì)算機(jī)病毒檢查出來。

選這種串做為計(jì)算機(jī)病毒代碼庫的特征串就是不合適的。 另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會(huì)經(jīng)常變化的。

代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的，足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的，是計(jì)算機(jī)病毒掃描程序的精華所在。

一般情況下，代碼串是連續(xù)的若干個(gè)字節(jié)組成的串，但是有些掃描軟件采用的是可變長串，即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí)，只要除“模糊”字節(jié)之外的字串都能完好匹配，則也能判別出計(jì)算機(jī)病毒。

除了前面說的選特征串的規(guī)則外，最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報(bào)告給用戶，是假警報(bào)，這種“狼來了”的假警報(bào)太多了，就會(huì)使用戶放松警惕，等真的計(jì)算機(jī)病毒一來，破壞就嚴(yán)重了；再就是若將這假警報(bào)送給殺計(jì)算機(jī)病毒程序，會(huì)將好程序給“殺死”了。

使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時(shí)，計(jì)算機(jī)病毒檢測軟件讓計(jì)算機(jī)用戶使用起來很方便，對(duì)計(jì)算機(jī)病毒了解不多的人也能用它來發(fā)現(xiàn)計(jì)算機(jī)病毒。

另外，不用專門軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計(jì)算機(jī)病毒。 這種掃描法的缺點(diǎn)也是明顯的。

第一是當(dāng)被掃描的文件很長時(shí)，掃描所花時(shí)間也越多；第二是不容易選出合適。

2.計(jì)算機(jī)病毒

如何根據(jù)名稱識(shí)別計(jì)算機(jī)病毒 發(fā)布時(shí)間：2004年11月15日 13:23 很多時(shí)候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor。

RmtBomb。12 、Trojan。

Win32。SendIP。

15 等等這些一串英文還帶數(shù)字的病毒名，這時(shí)有些人就懵了，那么長一串的名字，我怎么知道是什么病毒啊？ 其實(shí)只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報(bào)告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司為了方便管理，他們會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。

雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。一般格式為：。

病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。 不同的種類的病毒，其前綴也是不同的。

比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。 病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“ CIH ”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“ Sasser ”。

病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如 Worm。

Sasser。b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。

如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng) ^_^），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。 綜上所述，一個(gè)病毒的前綴對(duì)我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。

通過判斷病毒的類型，就可以對(duì)這個(gè)病毒有個(gè)大概的評(píng)估（當(dāng)然這需要積累一些常見病毒類型的相關(guān)知識(shí)，這不在本文討論范圍）。而通過病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細(xì)特征。

病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個(gè)變種。 下面附帶一些常見的病毒前綴的解釋（針對(duì)我們用得最多的Windows操作系統(tǒng)）： 1、系統(tǒng)病毒 系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。

這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的 *。 exe 和 *。

dll 文件，并通過這些文件進(jìn)行傳播。如CIH病毒。

2、蠕蟲病毒 蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。

比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件） 等。 3、木馬病毒、黑客病毒 木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。

木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。 木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒則會(huì)通過該木馬病毒來進(jìn)行控制。

現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan。

QQ3344 ，還有大家可能遇見比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如 Trojan。 LMir。

PSW。60 。

這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么PWD之類的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack。Nether。

Client）等。 4、腳本病毒 腳本病毒的前綴是： Script。

腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒，如紅色代碼（Script。Redlof）——可不是我們的老大代碼兄哦 ^_^。

腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時(shí)光（VBS。Happytime）、十四日 （Js。

Fortnight。c。

s）等。 5、宏病毒 其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。

宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。 凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro。

Word97；凡是只感染W(wǎng)ORD97以后版本 WORD文檔的病毒采用Word做為第二前綴，格式是：Macro。Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用 Excel97做為第二前綴，格式是：Macro。

Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro。Excel，依此類推。

該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎 （Macro。 Melissa）。

6、后門病毒 后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。

如54很多朋友遇到過的IRC后門Backdoor。IRCBot 。

7、病毒種植程序病毒 這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。 如：冰河播種者（Dropper。

BingHe2。2C）、MSN射手（Dropper。

Worm。Smibag）等。

8。破壞性程序病毒 破壞性程序病毒的前綴是：Harm。

這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶。

3.病毒知識(shí)

一、特點(diǎn) 寄生性、隱蔽性、非法性、傳染性、破壞性二、分類： 1、引導(dǎo)型病毒：寄生在系統(tǒng)引導(dǎo)區(qū)，比較容易被清除，現(xiàn)在已經(jīng)很少見。

2、文件型病毒：寄生在可執(zhí)行文件中，感染速度快，較易清除。 3、目錄型病毒：寄生在系統(tǒng)目錄結(jié)構(gòu)中 4、混合型病毒：多種類型的混合 5、宏病毒：專門感染Microsoft Office 系列文件的病毒 6、蠕蟲病毒：感染網(wǎng)絡(luò)，使網(wǎng)速大大降低。

目前流行的病毒大多集成了黑客技術(shù)、木馬技術(shù)和病毒技術(shù)三種，非常難以清除而且很容易中。三、一些常見危害較大的病毒 1、CIH病毒：文件型病毒，4月26日發(fā)作時(shí)破壞性最大，首個(gè)能破壞硬件系統(tǒng)的病毒。

2、Melissa病毒：宏病毒，郵件傳播 3、沖擊波、震蕩波病毒：利用WINDOWS的漏洞，使計(jì)算機(jī)自動(dòng)重啟并堵塞網(wǎng)絡(luò)。一般來說，計(jì)算機(jī)病毒可分為二大類，“良性”病毒和惡性病毒。

所謂“良性”病毒，是指病毒不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，但會(huì)造成計(jì)算機(jī)程序工作異常。有時(shí)病毒還會(huì)出來表現(xiàn)一番，例如：“小球（pingpang）”病毒、“臺(tái)灣一號(hào)”和“維也納”等。

惡性病毒往往沒有直觀的表現(xiàn)，但會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，有的甚至?xí)茐挠?jì)算機(jī)硬件，造成整個(gè)計(jì)算機(jī)癱瘓。例如：前幾年流行的“米開朗基羅”、“黑色星期五”和今天的“cih系統(tǒng)毀滅者”病毒等均屬此類。

“良性”病毒一般比較容易判斷，病毒發(fā)作時(shí)會(huì)盡可能地表現(xiàn)自己，雖然影響程序的正常運(yùn)行，但重新啟動(dòng)后可繼續(xù)工作。惡性病毒感染后一般沒有異常表現(xiàn)，病毒會(huì)想方設(shè)法將自己隱藏得更深。

一旦惡性病毒發(fā)作，等人們察覺時(shí)，已經(jīng)對(duì)計(jì)算機(jī)數(shù)據(jù)或硬件造成了破壞，損失將很難挽回。? 純數(shù)據(jù)文件不會(huì)被病毒感染，如：聲音、圖像、動(dòng)畫、文本等文件。

病毒一般感染主引導(dǎo)區(qū)，硬盤分區(qū)表，批處理文件，可執(zhí)行程序，以及word、excel文檔這類非純粹的數(shù)據(jù)文件等。? 如何來判斷計(jì)算機(jī)是否被病毒感染呢？最簡便且行之有效的方法當(dāng)然是利用各種殺毒軟件或防病毒卡來檢驗(yàn)計(jì)算機(jī)是否染毒。

應(yīng)該做到定時(shí)查殺，常備不懈。如果沒有配備相應(yīng)的反病毒產(chǎn)品，則可通過如下途徑初步判斷計(jì)算機(jī)是否感染了病毒。

? 1.程序突然工作異常。如文件打不開，word97、excel97出現(xiàn)“宏”警示框（用戶無自編“宏”的情況下），死機(jī)等。

? 2.文件大小自動(dòng)發(fā)生改變。? 3.更換軟盤后，列表時(shí)內(nèi)容不變。

? 4.檢查內(nèi)存，基本內(nèi)存小于640k（某些機(jī)型小于639k）。? 5.windows出現(xiàn)異常出錯(cuò)信息。

? 6.用與硬盤相同版本的系統(tǒng)盤從a驅(qū)引導(dǎo)后找不到硬盤。? 7.運(yùn)行速度變慢。

? 8.以前運(yùn)行正常的程序運(yùn)行時(shí)出現(xiàn)內(nèi)存不足。? 9.系統(tǒng)無法啟動(dòng)。

? 出現(xiàn)以上情況之一可懷疑是病毒所為，但最終確認(rèn)最好是請專業(yè)反病毒公司協(xié)助。? 病毒發(fā)作的后果? 根據(jù)病毒的不同類型和病毒編寫者的不同意圖，計(jì)算機(jī)病毒發(fā)作后會(huì)有不同的表現(xiàn)，當(dāng)然其結(jié)果也大不一樣。

“良性”病毒發(fā)作時(shí)一般會(huì)暫時(shí)影響計(jì)算機(jī)的正常運(yùn)行，搞一些惡作劇或開一個(gè)玩笑，病毒編寫者為了表現(xiàn)自己，會(huì)讓病毒顯現(xiàn)出來。重新啟動(dòng)后一般即可重新工作。

? 惡性病毒發(fā)作的后果與“良性”病毒有本質(zhì)的區(qū)別，它會(huì)對(duì)計(jì)算機(jī)的軟硬件實(shí)施破壞。與“良性”病毒不同，通常破壞時(shí)無任何跡象，在瞬間就造成毀滅性的破壞。

具體的破壞方式主要有：? 1.修改數(shù)據(jù)文件，導(dǎo)致數(shù)據(jù)紊亂。? 2.刪除可執(zhí)行文件，導(dǎo)致系統(tǒng)無法正常運(yùn)行。

? 3.破壞cmos，導(dǎo)致系統(tǒng)無法正常啟動(dòng)。? 4.攻擊bios，破壞bios芯片，導(dǎo)致硬件系統(tǒng)完全癱瘓。

? 5.對(duì)硬盤進(jìn)行破壞，表現(xiàn)為：? ●格式化硬盤，致使硬盤數(shù)據(jù)完全丟失。? ●寫入垃圾瑪，破壞部分或全部數(shù)據(jù)。

●修改硬盤分區(qū)表或引導(dǎo)區(qū)信息，使系統(tǒng)無法正常從硬盤引導(dǎo)。若以a盤引導(dǎo)，則c盤仍無法找到。

? ●破壞文件分配表，造成文件數(shù)據(jù)丟失或紊亂。? 病毒發(fā)作后的急救措施? 根據(jù)病毒發(fā)作后不同的破壞程度，可采用一些相應(yīng)的急救措施來進(jìn)行挽救，以使損失減到最校下面就不同的病毒破壞介紹一些較為常用的補(bǔ)救措施。

? 1.flashbios被破壞?重寫bios程序（一般需專業(yè)技術(shù)人員進(jìn)行）或者更換主版。? 2.cmos被破壞 將cmos放電，然后用計(jì)算機(jī)的設(shè)置程序進(jìn)行重新設(shè)置。

? 3.引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)被破壞?某些殺毒軟件提供備份和恢復(fù)系統(tǒng)主引導(dǎo)區(qū)和引導(dǎo)區(qū)信息內(nèi)容，用此功能進(jìn)行恢復(fù)。若能找到具有相同類型硬盤、同樣的分區(qū)和安裝有同樣的操作系統(tǒng)的其他計(jì)算機(jī)，可利用它進(jìn)行備份，然后恢復(fù)被病毒破壞的引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)。

? 4.文件丟失? 若是在純dos系統(tǒng)中，可利用ndd等磁盤工具進(jìn)行恢復(fù)。注意，若有其他操作系統(tǒng)，則不能用ndd磁盤工具，否則會(huì)帶來更大的破壞。

? 若有備份文件，病毒對(duì)磁盤的破壞均可通過備份文件進(jìn)行恢復(fù)。如果沒有備份文件，有些較為復(fù)雜的操作，例如：部分文件分配表被破壞等，需專業(yè)技術(shù)人員來進(jìn)行，碰到這種較為復(fù)雜的情況，請向?qū)I(yè)反病毒公司救助。

4.簡述計(jì)算機(jī)病毒的分類

計(jì)算機(jī)病毒就是一種附加到計(jì)算機(jī)內(nèi)部重要區(qū)域（例如可執(zhí)行文件以及硬盤和軟盤的引導(dǎo)區(qū)）的惡意代碼。

病毒通過將其自身復(fù)制到其他宿主文件或磁盤上，可以達(dá)到破壞數(shù)據(jù)的目的。當(dāng)宿主文件運(yùn)行并釋放惡意代碼時(shí)，就傳播了病毒。

當(dāng)計(jì)算機(jī)從受感染磁盤中引導(dǎo)時(shí)，病毒可以迅速地傳播到內(nèi)存中。 一旦病毒駐留在內(nèi)存中，它就可能感染其他可執(zhí)行文件或磁盤引導(dǎo)扇區(qū)。

一般情況下，病毒保持一種靜止?fàn)顟B(tài)，直到出現(xiàn)某個(gè)觸發(fā)事件，例如，某個(gè)系統(tǒng)日期。除復(fù)制之外，計(jì)算機(jī)病毒經(jīng)常還會(huì)執(zhí)行某些其他活動(dòng)，通常是一些破壞活動(dòng)或顯示一條消息。

病毒是由了解如何使用和處理代碼的人員編寫的。 現(xiàn)在，已知的病毒已超過了 20,000 種。

其中許多病毒都是由像 Symantec 這樣的防病毒供應(yīng)商發(fā)現(xiàn)的，供應(yīng)商們已經(jīng)分析過它們，但這些病毒并沒有在工作或家庭環(huán)境中遇到。 盡管人們聽說的有關(guān)病毒的情況很多都是夸大其辭，但實(shí)際上病毒也是非常普遍和易于傳播的。

如果不對(duì)病毒設(shè)置防護(hù)措施，您的網(wǎng)絡(luò)就很可能丟失數(shù)據(jù)，甚至可能造成崩潰。 程序型病毒可以通過任何網(wǎng)絡(luò)、調(diào)制解調(diào)器或磁性媒質(zhì)傳播。

大多數(shù)引導(dǎo)型病毒只能通過軟盤傳播。復(fù)合型病毒尤其復(fù)雜，因?yàn)檫@種病毒按照程序型病毒傳播，但感染引導(dǎo)扇區(qū)并可以通過軟盤傳播。

隨著局域網(wǎng)、Internet 和全球性的電子郵件的大量使用，病毒傳播的速度也在迅速地增加。當(dāng)受感染文件通過電子郵件發(fā)送出去時(shí)，本地的病毒可能會(huì)迅速地傳播到公司的其他部門甚至是世界各地。

病毒感染的主要威脅來自于那些打開并使用的共享文件。 病毒是按照它們感染的內(nèi)容和逃避檢測的方式進(jìn)行分類的。

基本的病毒類型是按照它們感染計(jì)算機(jī)的區(qū)域定義的： 引導(dǎo)型病毒：將指令插入到軟盤的引導(dǎo)扇區(qū)，或者硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)記錄（分區(qū)表扇區(qū)）。 程序型病毒：感染可執(zhí)行文件，例如，。

COM、。EXE 和 。

DLL 文件。 宏病毒：通過修改宏的行為方式感染文檔文件，例如，Microsoft Word 。

DOC 文件。 其他具有破壞性的代碼類型，包括蠕蟲、特洛伊木馬和邏輯炸彈病毒。

這些具有破壞性代碼的病毒類型不同于其他病毒，因?yàn)樗鼈儾⒉贿M(jìn)行復(fù)制。

5.簡述什么是計(jì)算機(jī)病毒

1.計(jì)算機(jī)病毒的傳染方式 所謂傳染是指計(jì)算機(jī)病毒由一個(gè)載體傳播到另一個(gè)載體，由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過程。

這種載體一般為磁 盤或磁帶，它是計(jì)算機(jī)病毒賴以生存和進(jìn)行傳染的媒介。但是，只有載體還不足以使病毒得到傳播。

促成病毒的傳染 還有一個(gè)先決條件，可分為兩種情況，或者叫做兩種方式。 其中一種情況是，用戶在進(jìn)行拷貝磁盤或文件時(shí)，把一個(gè)病毒由一個(gè)載體復(fù)制到另一個(gè)載體上。

或者是通過網(wǎng)絡(luò) 上的信息傳遞，把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動(dòng)傳染。

另外一種情況是，計(jì)算機(jī)病毒是以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。 在病毒處于激活的 狀態(tài)下，只要傳染條件滿足，病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。

這種傳染方式叫做計(jì)算 機(jī)病毒的主動(dòng)傳染。 2.計(jì)算機(jī)病毒的傳染過程 對(duì)于病毒的被動(dòng)傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進(jìn)行而進(jìn)行的，而對(duì)于計(jì)算機(jī)病毒的主動(dòng)傳 染而言，其傳染過程是這樣的：在系統(tǒng)運(yùn)行時(shí)，病毒通過病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存， 并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。

在病毒引導(dǎo)模塊將病毒傳染模塊駐留內(nèi)存的過程中，通常還要修改系統(tǒng)中斷向量入 口地址（例如INT 13H或INT 21H），使該中斷向量指向病毒程序傳染模塊。這樣，一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng) 功能調(diào)用，病毒傳染模塊就被激活，傳染模塊在判斷傳染條件滿足的條件下， 利用系統(tǒng)INT 13H讀寫磁盤中斷把病毒 自身傳染給被讀寫的磁盤或被加載的程序，也就是實(shí)施病毒的傳染，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。

計(jì)算機(jī)病毒的傳染方式基本可分為兩大類，一是立即傳染，即病毒在被執(zhí)行到的瞬間，搶在宿主程序開始執(zhí)行前， 立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序；二是駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在 執(zhí)行一個(gè)程序或D1R等操作時(shí)傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后， 仍可活動(dòng)， 直至關(guān)閉計(jì)算機(jī)。 3.系統(tǒng)型病毒傳染機(jī)理 計(jì)算機(jī)軟硬盤的配置和使用情況是不同的。

軟盤容量小，可以方便地移動(dòng)交換使用，在計(jì)算機(jī)運(yùn)行過程中可能多 次更換軟盤；硬盤作為固定設(shè)備安裝在計(jì)算機(jī)內(nèi)部使用，大多數(shù)計(jì)算機(jī)配備一只硬盤。系統(tǒng)型病毒針對(duì)軟硬盤的不同 特點(diǎn)采用了不同的傳染方式。

系統(tǒng)型病毒利用在開機(jī)引導(dǎo)時(shí)竊獲的INT 13控制權(quán)，在整個(gè)計(jì)算機(jī)運(yùn)行過程中隨時(shí)監(jiān)視軟盤操作情況， 趁讀寫 軟盤的時(shí)機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把病 毒寫入軟盤第一個(gè)扇區(qū)，從而完成對(duì)軟盤的傳染。 染毒的軟盤在軟件交流中又會(huì)傳染其他計(jì)算機(jī)。

由于在每個(gè)讀寫階 段病毒都要讀引導(dǎo)區(qū)，既影響微機(jī)工作效率，又容易因驅(qū)動(dòng)器頻繁尋道而造成物理損傷。 系統(tǒng)型病毒對(duì)硬盤的傳染往往是在計(jì)算機(jī)上第一次使用帶毒軟盤進(jìn)行的，具體步驟與軟盤傳染相似，也是讀出引 導(dǎo)區(qū)判斷后寫入病毒。

4.文件型病毒傳染機(jī)理 當(dāng)執(zhí)行被傳染的。COM或。

EXE可執(zhí)行文件時(shí)，病毒駐人內(nèi)存。一旦病毒駐人內(nèi)存，便開始監(jiān)視系統(tǒng)的運(yùn)行。

當(dāng)它發(fā) 現(xiàn)被傳染的目標(biāo)時(shí)，進(jìn)行如下操作： （1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒； （2）當(dāng)條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存入磁盤中； （3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。 文件型病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染，主要傳染途徑有： （1）加載執(zhí)行文件 文件型病毒駐內(nèi)存后，通過其所截獲的INT 21中斷檢查每一個(gè)加載運(yùn)行可執(zhí)行文件進(jìn)行傳染。

加載傳染方式每次傳染一個(gè)文件，即用戶準(zhǔn)備運(yùn)行的那個(gè)文件，傳染不到那些用戶沒有使用的文件。 （2）列目錄過程 一些病毒編制者可能感到加載傳染方式每次傳染一個(gè)文件速度較慢，不夠過癮，于是后來造出通過列目錄傳染的 病毒。

在用戶列硬盤目錄的時(shí)候，病毒檢查每一個(gè)文件的擴(kuò)展名，如果是可執(zhí)行文件就調(diào)用病毒的傳染模塊進(jìn)行傳染。 這樣病毒可以一次傳染硬盤一個(gè)于目錄下的全部可執(zhí)行文件。

DIR是最常用的DOS命令，每次傳染的文件又多，所以病 毒的擴(kuò)散速度很快，往往在短時(shí)間內(nèi)傳遍整個(gè)硬盤。 對(duì)于軟盤而言，由于讀寫速度比硬盤慢得多，如果一次傳染多個(gè)文件所費(fèi)時(shí)間較長，容易被用戶發(fā)現(xiàn)，所以病毒 “忍痛”放棄了一些傳染機(jī)會(huì)，采用列一次目錄只傳染一個(gè)文件的方式。

（3）創(chuàng)建文件過程 創(chuàng)建文件是DOS內(nèi)部的一項(xiàng)操作，功能是在磁盤上建立一個(gè)新文件。 已經(jīng)發(fā)現(xiàn)利用創(chuàng)建文件過程把病毒附加到新 文件上去的病毒，這種傳染方式更為隱蔽狡猾。

因?yàn)榧虞d傳染和列目錄傳染都是病毒感染磁盤上原有的文件，細(xì)心的 用戶往往會(huì)發(fā)現(xiàn)文件染毒前后長度的變化，從而暴露病毒的蹤跡。 而創(chuàng)建文件的傳染手段卻造成了新文件生來帶毒的 奇觀。

好在一般用戶很少去創(chuàng)建一個(gè)可執(zhí)行文件，但經(jīng)常使用各種編譯、連接工具的計(jì)算機(jī)專業(yè)工作者應(yīng)該注意文件 型病毒發(fā)展的這一動(dòng)向，特別在商品軟件最。

6.計(jì)算機(jī)病毒的危害

說起計(jì)算機(jī)病毒，不少人都吃過它的苦頭，有的人對(duì)它真的是深惡痛絕。

自從一個(gè)美國學(xué)生因?yàn)檎{(diào)皮或好奇使它偶然問世后，它的家族就開始以幾何級(jí)數(shù)瘋狂繁衍?，F(xiàn)在它的子孫已經(jīng)不下幾萬種。

因?yàn)橛?jì)算機(jī)病毒能夠破壞計(jì)算機(jī)系統(tǒng)或毀壞計(jì)算機(jī)中的數(shù)據(jù)，造成巨大的經(jīng)濟(jì)損失，所以被認(rèn)為是二十世紀(jì)信息時(shí)代到來后的一大公害。正因?yàn)槿绱?，研究?jì)算機(jī)病毒已經(jīng)成為一門專門的學(xué)問。

國內(nèi)也已經(jīng)有了幾家專門開發(fā)防殺計(jì)算機(jī)病毒軟件的著名計(jì)算機(jī)公司。在一*般人看來，計(jì)算機(jī)病毒真是“有百害而無一利”了。

然而事情總有它的另一方面。據(jù)說，在九十年代初的海灣戰(zhàn)爭中，計(jì)算機(jī)病毒竟成了一種克敵制勝的武器。