計算機(jī)病毒預(yù)防畢業(yè)論文

1、<p>　　計算機(jī)病毒的預(yù)防技術(shù)探討</p><p>　　學(xué) 院： 計算機(jī)科學(xué)與技術(shù) </p><p>　　專 業(yè)： 計算你科學(xué)與技術(shù)（師范）</p><p>　　研 究 方 向： 計算機(jī)病毒的預(yù)防 </p><p>　　學(xué) 生： &

2、lt;/p><p>　　學(xué) 號： </p><p>　　指導(dǎo)教師姓名： </p><p>　　指導(dǎo)教師職務(wù)： 講 師 </p><p>　　2012年4月20日</p><p>　　計算機(jī)病毒預(yù)防技術(shù)的探討</p>

3、<p>　　[論文摘要]：現(xiàn)在，人們越來越重視計算機(jī)安全。伴隨著電腦網(wǎng)絡(luò)的普及，計算機(jī)病毒越來越猖獗，計算機(jī)反病毒技術(shù)也發(fā)展的很快。如今計算機(jī)反病毒技術(shù)，有實(shí)時反病毒技術(shù)、掃描技術(shù)、虛擬技術(shù)和主動核技術(shù)等。這些技術(shù)各有特點(diǎn)，都是十分優(yōu)秀的反病毒技術(shù)，但是目前應(yīng)用起來仍然不夠成熟?，F(xiàn)有計算機(jī)反病毒軟件雖然在對抗病毒方面發(fā)揮了巨大的作用，但是仍有不盡人意之處，特別是應(yīng)對位置病毒缺乏足夠有效的方法。計算機(jī)病毒的防范技術(shù)還有待于我們

4、去鉆呀和發(fā)展，進(jìn)一步完善。</p><p>　　[關(guān)鍵字]：Internet; 計算機(jī)技術(shù); 病毒; 預(yù)防</p><p>　　Discussion on computer virus prevention techniques</p><p>　　[Abstract]: Now,peopele pay more and more attention to comp

5、uter security. With the popularization of computer network,computer viruses are increasingly rampant and computer antivirus technology is also developing very fast. Now computer anti-virus technology are real-time anti-

6、virus technology,heuristic code scanning techniques, virtural machine technologu and active kernel technology, etc. These technologies have their own features and all of them are excellent anti-virus technologies. But pe

7、o</p><p>　　[Key Word]Internet; Computer Technology; virus; protection</p><p><b>　　目 錄</b></p><p>　　課題研究意義及背景………………………………………………………………………5</p><p>　　第一章計算機(jī)病毒

8、的特征、分類及傳播方式…………………………………….…6</p><p>　　1.1 計算機(jī)病毒的定義和內(nèi)涵…………………………………………………………..6</p><p>　　1.2 計算機(jī)病毒的特征……………………………………………………………………7</p><p>　　1.3 計算機(jī)病毒的分類……………………………………………………………………7</

9、p><p>　　1.3.1 按病毒攻存在媒體分類………………………………………………………...…7</p><p>　　1.3.2 按病毒傳染的方法分類……………………………………………………..….…8</p><p>　　1.3.3 按病毒的破壞能力分類……………………………………………………………8</p><p>　　1.3.4 按病

10、毒的算法分類…………………………………………………………….……8</p><p>　　1.4 計算機(jī)病毒的表現(xiàn)現(xiàn)狀…………………………………………………………..…10</p><p>　　1.5計算機(jī)病毒的傳播方式………………………………………………………………10</p><p>　　第三章 計算機(jī)病的的危害、保護(hù)手段及攻擊技術(shù)分析……………………….…19&

11、lt;/p><p>　　2.1計算機(jī)病毒的危害…………………………………………………………….…….…12</p><p>　　2.2 計算機(jī)病毒的自我保護(hù)手段…………………………………………………..……15</p><p>　　2.3 如何識別計算機(jī)病毒…………………………………………………………………16</p><p>　　2.4計算機(jī)病

12、毒的攻擊技術(shù)分析…………………………………………………………17</p><p>　　2.4.1無線電方式………………………………………………………………………......…17</p><p>　　2.4.2“固化”式方式 …………………………………………………………………........…17</p><p>　　2.4.3后門攻擊方式…………………………………

13、………………………………….....…18 </p><p>　　2.4.4數(shù)據(jù)控制連侵入方式……………………………………………………………....…18</p><p>　　2.5 異常處理…………………………………………………………………………….....…18</p><p>　　2.5.1 異常處理的方式…………………………………………………………....…

14、…18</p><p>　　2.5.2 異常處理的過程……………………………………………………..……......…19</p><p>　　第三章 幾種常見病的的識別和防范................................................................................19</p><p>　　3.1如

15、何識別病毒感染 …………………………………………………………………....…19</p><p>　　3.2 計算機(jī)病毒的技術(shù)預(yù)防措施…………………………………………..………….…20</p><p>　　3.3引導(dǎo)型計算機(jī)病毒的識別和防范………………………………………………...…23</p><p>　　3.4文件病毒的識別和防范……………………………………

16、………………………25</p><p>　　3.5宏病毒的識別和防范…………………………………………………….…........…29</p><p>　　3.6電子郵件病毒的識別和防范………………………………….…………..………31 </p><p>　　第四章 結(jié)論…………………………………………………………….................……37&l

17、t;/p><p>　　參考文獻(xiàn)…………………………………………………………………………...........…38</p><p><b>　　課 題 背 景</b></p><p>　　計算機(jī)病毒一直是計算機(jī)用戶和安全專家的心腹大患，雖然計算機(jī)反病毒技術(shù)不斷更新和發(fā)展，但是仍然不能改變被動滯后的局面，計算機(jī)用戶必須不斷應(yīng)付計算機(jī)新病毒的出現(xiàn)?；ヂ?lián)

18、網(wǎng)的普及，更加劇了計算機(jī)病毒的泛濫。從上世紀(jì)90年代中后期開始，隨著國際互聯(lián)網(wǎng)的發(fā)展壯大，依賴互聯(lián)網(wǎng)絡(luò)傳播的郵件病毒、宏病毒和蠕蟲病毒等大量涌現(xiàn)，病毒傳播速度加快、隱蔽性增強(qiáng)、破壞性變大。最近這幾年新病毒層出不窮，出現(xiàn)了“紅色代碼”、“尼姆達(dá)”、“愛蟲”、 “SQL蠕蟲” 、“求職信”、“沖擊波”、“惡郵差”等等許多影響廣、破壞大的病毒，眾多病毒中蠕蟲病毒的發(fā)展的特別快。最新發(fā)現(xiàn)的"震蕩波"病毒來勢洶洶，該病毒通過

19、微軟的最新高危漏洞—LSASS 漏洞(微軟MS04-011 公告)進(jìn)行傳播，危害性極大，目前 WINDOWS 2000/XP/Server 2003 等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。計算機(jī)病毒的產(chǎn)生和迅速蔓延，使計算機(jī)系統(tǒng)的安全受到了極大的威脅，人們意識到計算機(jī)安全的重要性，也因此產(chǎn)生了對計算機(jī)反病毒技術(shù)的需求。隨著計算機(jī)病毒采用的新技術(shù)不斷出現(xiàn)，計算機(jī)反病毒</p>

20、<p>　　第一章 計算機(jī)病毒的特征、分類及傳播方式</p><p>　　在當(dāng)今科技迅速發(fā)展的時代，計算機(jī)和網(wǎng)絡(luò)技術(shù)不僅給人們帶來了便利與驚喜，同時也在遭受著計算病毒帶來的煩惱和無奈，自從Internet潮流席卷全球以來,計算機(jī)信息以每秒千里的速度在傳送, 我們每天可以透過Internet收到來自全球各地不同的消息,。因?yàn)橛嬎銠C(jī)病毒不僅破壞文件，刪除有用的數(shù)據(jù)，還可導(dǎo)致整個計算機(jī)系統(tǒng)癱瘓，給計算機(jī)

21、用戶造成巨大的損失。隨著計算機(jī)在社會生活各個領(lǐng)域的廣泛運(yùn)用,計算機(jī)病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報道,世界各國遭受計算機(jī)病毒感染和攻擊的事件數(shù)以億計,嚴(yán)重地干擾了正常的人類社會生活,給計算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時,病毒技術(shù)在戰(zhàn)爭領(lǐng)域也曾廣泛的運(yùn)用,在海灣戰(zhàn)爭、近期的科索沃戰(zhàn)爭中,雙方都曾利用計算機(jī)病毒向敵方發(fā)起攻擊,破壞對方的計算機(jī)網(wǎng)絡(luò)和武器控制系統(tǒng),達(dá)到了一定的政治目的與軍事目的?？梢灶A(yù)見,隨著計算機(jī)、網(wǎng)絡(luò)

22、運(yùn)用的不斷普及、深入,防范計算機(jī)病毒將越來越受到各國的重視。</p><p>　　1.1計算機(jī)病毒的定義和內(nèi)涵</p><p>　　計算機(jī)病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機(jī)病毒有獨(dú)特的復(fù)制能力。計算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。 除復(fù)制能力外，某些計算機(jī)

23、病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計算機(jī)的全部性能。</p><p>　　計算機(jī)病毒：一種計算你程序，它可以附屬在可執(zhí)行文件或隱藏在系統(tǒng)數(shù)據(jù)區(qū)中，在開機(jī)或執(zhí)行某些程序后悄悄的進(jìn)駐內(nèi)存，然后對其他

24、的文件進(jìn)行傳染，使之傳播出去，然后在特定的條件下破壞系統(tǒng)或騷擾用戶。目前很多的清楚病毒的軟件，但是新病毒還是層出不窮，成為一大危害。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好的環(huán)境激發(fā)，即可感染和破壞。 </p><p>　　1.2計算機(jī)病毒的特征</p><p>　　計算機(jī)病毒是一段特殊的

25、程序。除了與其他程序一樣，可以存儲和運(yùn)行外，計算機(jī)病毒還有感染性、潛伏性、可觸發(fā)性、破壞性衍生性等特征。下面簡單就計算機(jī)病毒的特性加以介紹：   感染性。計算機(jī)病毒的感染性也稱為寄生性，是指計算機(jī)病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生成的特性。計算機(jī)病毒的感染性是計算機(jī)病毒的根本屬性，是判斷一個程序是否為病毒程序的主要依據(jù)。 隱蔽性。隱蔽性是計算機(jī)病毒的基本特征之一。從計算機(jī)病毒隱藏的位置來看，

26、不同的病毒隱藏在不同的位置，有的隱藏在扇區(qū)中，有的則以隱藏文件的形式出現(xiàn)，讓人防不勝防。 潛伏性。計算機(jī)病毒的潛伏性是指其具有依附于其他媒體而寄生的能力，通過修改其他程序而把自身的復(fù)制體嵌入到其他程序或者磁盤的引導(dǎo)區(qū)甚至硬盤的主引導(dǎo)區(qū)中寄生。 可觸發(fā)性。計算機(jī)病毒一般都具有一個觸發(fā)條件：或者觸發(fā)其感染，即在一定的條件下激活一個病毒的感染機(jī)制使之進(jìn)行感染；或者觸發(fā)其發(fā)作，即在一定的條件下激活病毒的表現(xiàn)攻擊破壞部分。<

27、/p><p>　　衍生性。計算機(jī)病毒的衍生性是指計算機(jī)病毒的制造者依據(jù)個人的主觀愿望，對某一個已知病毒程序進(jìn)行修改而衍生出另外一中或多種來源于同一種病毒，而又不同于源病毒程序的病毒程序，即源病毒程序的變種。這也許就是病毒種類繁多、復(fù)雜的原因之一。 破壞性。計算機(jī)病毒的破壞性取決于計算機(jī)病毒制造者的目的和水平，它可以直接破壞計算機(jī)數(shù)據(jù)信息、搶占系統(tǒng)資源、影響計算機(jī)運(yùn)行速度以及對計算機(jī)硬件構(gòu)成破壞等。正是由于計算

28、機(jī)病毒可怕的破壞性才使得計算機(jī)病毒令人如此恐怖。</p><p>　　1.3計算機(jī)病毒的分類</p><p>　　根據(jù)多年對計算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計算機(jī)病毒可分類如下：按照計算機(jī)病毒屬性的方法進(jìn)行分類，計算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類：</p><p>　　1.3.1按病毒存在的媒體</p><p>　　根據(jù)

29、病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計算機(jī)中的文件（如：COM，EXE，DOC等），引導(dǎo)型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。 </p><

30、;p>　　1.3.2按病毒傳染的方法</p><p>　　根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，他處于激活狀態(tài)，一直到關(guān)機(jī)或重新啟動.非駐留型病毒在得到機(jī)會激活時并不感染計算機(jī)內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進(jìn)行傳染，這類病毒也被劃分為非駐留型病毒。 </p

31、><p>　　1.3.3按病毒破壞的能力</p><p>　　無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 </p><p>　　無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 </p><p>　　危險型：這類病毒在計算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯誤。 </p><p>　　非常危險型：這類

32、病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當(dāng)它們傳染時會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在

33、后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。 </p><p>　　1.3.4按病毒的算法</p><p>　　伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的E

34、XE文件。 </p><p>　　“蠕蟲”型病毒，通過計算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。 </p><p>　　寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)

35、型病毒，病毒自身包含錯誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。 </p><p>　　詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。 變型病毒（又稱幽靈病毒）這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的

36、病毒體組成。</p><p>　　1.4計算機(jī)病毒的表現(xiàn)現(xiàn)狀</p><p>　　計算機(jī)受到病毒感染后，會表現(xiàn)出不同的癥狀。 </p><p><b>　　機(jī)器不能正常啟動 </b></p><p>　　加電后機(jī)器根本不能啟動，或者可以啟動，但所需要的時間比原來的啟動時間變長了。有時會突然出現(xiàn)黑屏現(xiàn)象。 </p&g

37、t;<p><b>　　運(yùn)行速度降低 </b></p><p>　　如果發(fā)現(xiàn)在運(yùn)行某個程序時，讀取數(shù)據(jù)的時間比原來長，存文件或調(diào)文件的時間都增加了，那就可能是由于病毒造成的。 </p><p><b>　　磁盤空間迅速變小 </b></p><p>　　由于病毒程序要進(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小

38、甚至變?yōu)椤?”，用戶什么信息也進(jìn)不去。 </p><p>　　文件內(nèi)容和長度有所改變 </p><p>　　一個文件存入磁盤后，本來它的長度和其內(nèi)容都不會改變，可是由于病毒的干擾，文件長度可能改變，文件內(nèi)容也可能出現(xiàn)亂碼。有時文件內(nèi)容無法顯示或顯示后又消失了。 </p><p>　　經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象 。正常的操作是不會造成死機(jī)現(xiàn)象的，即使是初學(xué)者，命令輸入不對也

39、不會死機(jī)。如果機(jī)器經(jīng)常死機(jī)，那可能是由于系統(tǒng)被病毒感染了。 </p><p><b>　　外部設(shè)備工作異常 </b></p><p>　　因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制，如果機(jī)器中有病毒，外部設(shè)備在工作時可能會出現(xiàn)一些異常情況，出現(xiàn)一些用理論或經(jīng)驗(yàn)說不清道不明的現(xiàn)象。 </p><p>　　以上僅列出一些比較常見的病毒表現(xiàn)形式，肯定還會遇到一些其他的

40、特殊現(xiàn)象，這就需要由用戶自己判斷了。</p><p>　　1.5計算機(jī)病毒的傳播方式</p><p>　?、?軟盤 軟盤作為最常用的交換媒介，在計算機(jī)應(yīng)用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機(jī)應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導(dǎo)機(jī)器時，引導(dǎo)區(qū)病毒會在軟盤

41、與硬盤引導(dǎo)區(qū)互相感染。因此軟盤也成了計算機(jī)病毒的主要寄生的“溫床”。 </p><p>　?、?光盤 光盤因?yàn)槿萘看螅鎯α舜罅康目蓤?zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任，也決不會有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便

42、利。 </p><p><b>　?、?硬盤 </b></p><p>　　由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的軟盤傳染并再擴(kuò)散。 </p><p><b>　　④.BBS </b></p><p>　　電子布告欄（BBS）因?yàn)樯险救菀?、投資少，因此深受大眾用戶的喜愛。BBS是

43、由計算機(jī)愛好者自發(fā)組織的通訊站點(diǎn)，用戶可以在BBS上進(jìn)行文件交換（包括自由軟件、游戲、自編程序）。由于BBS站一般沒有嚴(yán)格的安全管理，亦無任何限制，這樣就給一些病毒程序編寫者提供了傳播病毒的場所。各城市BBS站間通過中心站間進(jìn)行傳送，傳播面較廣。隨著BBS在國內(nèi)的普及，給病毒的傳播又增加了新的介質(zhì)。 </p><p><b>　?、?網(wǎng)絡(luò) </b></p><p>　

44、　現(xiàn)代通信技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn)，數(shù)據(jù)、文件、電子郵件可以方便地在各個網(wǎng)絡(luò)工作站間通過電纜、光纖或電話線路進(jìn)行傳送，工作站的距離可以短至并排擺放的計算機(jī)，也可以長達(dá)上萬公里，正所謂“相隔天涯，如在咫尺”，但也為計算機(jī)病毒的傳播提供了新的“高速公路”。計算機(jī)病毒可以附著在正常文件中，當(dāng)您從網(wǎng)絡(luò)另一端得到一個被感染的程序，并在您的計算機(jī)上未加任何防護(hù)措施的情況下運(yùn)行它，病毒就傳染開來了。這種病毒的傳染方式在計算機(jī)網(wǎng)絡(luò)連接很普及的

45、國家是很常見的，國內(nèi)計算機(jī)感染一種“進(jìn)口”病毒已不再是什么大驚小怪的事了。在我們信息國際化的同時，我們的病毒也在國際化。大量的國外病毒隨著互聯(lián)網(wǎng)絡(luò)傳入國內(nèi)。</p><p>　　第二章 計算機(jī)病毒的保護(hù)手段及技術(shù)分析</p><p>　　長期以來，人們設(shè)計計算機(jī)的目標(biāo)主要是追求信息處理功能的提高和生產(chǎn)成本的降低，而對于安全問題則重視不夠。計算機(jī)系統(tǒng)的各個組成部分，接口界面，各個層次的相互轉(zhuǎn)

46、換，都存在著不少漏洞和薄弱環(huán)節(jié)。硬件設(shè)什缺乏整體安全性考慮，軟件方面也更易存在隱患和潛在威脅。對計算機(jī)系統(tǒng)的測試，目前尚缺乏自動化檢測工具和系統(tǒng)軟件的完整檢驗(yàn)手段，計算機(jī)系統(tǒng)的脆弱性，為計算機(jī)病毒的產(chǎn)生和傳播提供了可乘之機(jī)；全球萬維網(wǎng)（www）使“地球一村化”， 為計算機(jī)病毒創(chuàng)造了實(shí)施的空間；新的計算機(jī)技術(shù)在電子系統(tǒng)中不斷應(yīng)用，為計算機(jī)病毒的實(shí)現(xiàn)提供了客觀條件。國外專家認(rèn)為，分布式數(shù)字處理、可重編程嵌入計算機(jī)、網(wǎng)絡(luò)化通信、計算機(jī)標(biāo)準(zhǔn)化、

47、軟件標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)的信息格式、標(biāo)準(zhǔn)的數(shù)據(jù)鏈路等都使得計算機(jī)病毒侵入成為可能。</p><p>　　2.1計算機(jī)病毒的危害</p><p>　?。?）病毒激發(fā)對計算機(jī)數(shù)據(jù)信息的直接破壞作用</p><p>　　大部分病毒在激發(fā)的時候直接破壞計算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMO5

48、設(shè)置等。</p><p>　　磁盤殺手病毒（D1SK KILLER），內(nèi)含計數(shù)器，在硬盤染毒后累計開機(jī)時間48小時內(nèi)激發(fā)，激發(fā)的時候屏幕上顯示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing！” （警</p><p>　　告！D1SK KILLER

49、 ll1在工作，不要關(guān)閉電源或取出磁盤），改寫硬盤數(shù)據(jù)。被D1SK KILLER破壞的硬盤可以用殺毒軟件修復(fù)，不要輕易放棄。</p><p>　?。?）占用磁盤空間和對信息的破壞</p><p>　　寄生在磁盤上的病毒總要非法占用一部分磁盤空間。</p><p>　　引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型

50、病毒要覆蓋一個磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。</p><p>　　文件型病毒利用一些DOS功能進(jìn)行傳染，這些DOS功能能夠檢測出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間。一些文件型病毒傳染速度很快，在短時間內(nèi)感染大量文件，每個文件都不同程度地加長了，就造成磁盤空間的嚴(yán)重浪費(fèi)。</p><p>&

51、lt;b>　　（3）搶占系統(tǒng)資源</b></p><p>　　除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當(dāng)。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運(yùn)行。計算機(jī)操作系統(tǒng)的很多功能是通過中斷調(diào)用技術(shù)來實(shí)現(xiàn)的。病毒為了傳染激發(fā)，總是修改一些有關(guān)的

52、中斷地址，在正常中斷過程中加入病毒的“私貨”，從而干擾了系統(tǒng)的正常運(yùn)行。</p><p>　　（4）影響計算機(jī)運(yùn)行速度</p><p>　　病毒進(jìn)駐內(nèi)存后不但干擾系統(tǒng)運(yùn)行，還影響計算機(jī)速度，主要表現(xiàn)在：</p><p>　　病毒為了判斷傳染激發(fā)條件，總要對計算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視，這相對于計算機(jī)的正常運(yùn)行狀態(tài)既多余又有害。</p><p>　

53、　有些病毒為了保護(hù)自己，不但對磁盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時要運(yùn)行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行；而病毒運(yùn)行結(jié)束時再用一段程序?qū)Σ《局匦录用?。這樣CPU額外執(zhí)行數(shù)千條以至上萬條指令。</p><p>　　病毒在進(jìn)行傳染時同樣要插入非法的額外操作，特別是傳染軟盤時不但計算機(jī)速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。<

54、;/p><p>　?。?）計算機(jī)病毒錯誤與不可預(yù)見的危害</p><p>　　計算機(jī)病毒與其他計算機(jī)軟件的一大差別是病毒的無責(zé)任性。編制一個完善的計算機(jī)軟件需要耗費(fèi)大量的人力、物力，經(jīng)過長時間調(diào)試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計算機(jī)病毒都是個別人在一臺計算機(jī)上匆匆編制調(diào)試后就向外拋出。反病毒專家在分析大量病毒后發(fā)現(xiàn)絕大部分病毒都存在</p&g

55、t;<p><b>　　不同程度的錯誤。</b></p><p>　　錯誤病毒的另一個主要來源是變種病毒。有些初學(xué)計算機(jī)者尚不具備獨(dú)立編制軟件的能力，出于好奇或其他原因修改別人的病毒，造成錯誤。</p><p>　　計算機(jī)病毒錯誤所產(chǎn)生的后果往往是不可預(yù)見的，反病毒工作者曾經(jīng)詳細(xì)指出黑色星期五病毒存在9處錯誤，乒乓病毒有5處錯誤等。但是人們不可能花費(fèi)大量

56、時間去分析數(shù)萬種病毒的錯誤所在。大量含有未知錯誤的病毒擴(kuò)散傳播，其后果是難以預(yù)料的。</p><p>　?。?）計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響</p><p>　　兼容性是計算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對運(yùn)行條件“挑肥揀瘦”，要求機(jī)型和操作系統(tǒng)版本等。病毒的</p><p>　　編制者一般不會在各種計算機(jī)

57、環(huán)境下對病毒進(jìn)行測試，因此病毒的兼容性較差，常常導(dǎo)致</p><p><b>　　死機(jī)。</b></p><p>　?。?）計算機(jī)病毒給用戶造成嚴(yán)重的心理壓力</p><p>　　據(jù)有關(guān)計算機(jī)銷售部門統(tǒng)計，計算機(jī)售后用戶懷疑“計算機(jī)有病毒”而提出咨詢約占售后服務(wù)工作量的60％以上。經(jīng)檢測確實(shí)存在病毒的約占70％，另有30％情況只是用戶懷疑，而實(shí)

58、際上計算機(jī)并沒有病毒。那么用戶懷疑病毒的理由是什么呢？多半是出現(xiàn)諸如計算機(jī)死機(jī)、軟件運(yùn)行異常等現(xiàn)象。這些現(xiàn)象確實(shí)很有可能是計算機(jī)病毒造成的。但又不全是，實(shí)際上在計算機(jī)工作“異?！钡臅r候很難要求一位普通用戶去準(zhǔn)確判斷是否是病毒所為。大多數(shù)用戶對病毒采取寧可信其有的態(tài)度，這對于保護(hù)計算機(jī)安全無疑是十分必要的，然而往往要付出時間、金錢等方面的代價。僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補(bǔ)。不僅是個人單機(jī)用戶，在一些大型網(wǎng)絡(luò)系統(tǒng)中也

59、難免為甄別病毒而停機(jī)?？傊嬎銠C(jī)病毒像“幽靈”一樣籠罩在廣大計算機(jī)用戶心頭，給人們造成巨大的心理壓力，極大地影響</p><p>　　了現(xiàn)代計算機(jī)的使用效率，由此帶來的無形損失是難以估量的。</p><p>　　2.2計算機(jī)病毒的自我保護(hù)手段</p><p>　　（1）掩蓋技術(shù)：不斷修改標(biāo)志、傳染方式、表現(xiàn)方式：</p><p>　　不通過傳

60、統(tǒng)的方式，如以熱鍵激活取代中斷激活方式 Alabama病毒可攔截INT 9，若發(fā)現(xiàn)用戶使用熱啟動時，則調(diào)用其內(nèi)部的Bootstrap子程序啟動計算機(jī)，是自己繼續(xù)潛伏在內(nèi)存。 </p><p>　　避開中斷請求而直接調(diào)用中斷服務(wù)過程 。</p><p>　　用中斷請求INT 27H或INT31H來合法獲取內(nèi)存 。</p><p>　　不將非法占用的區(qū)域標(biāo)為壞簇，而標(biāo)為

61、已分配的簇 。</p><p><b>　?。?）造假技術(shù) </b></p><p>　　修改文件長度：如Zero Bug病毒 。</p><p><b>　?。?）加密技術(shù)</b></p><p>　　對病毒源碼加密：1701</p><p>　　1206病毒利用自身修改

62、技術(shù)，每次傳然后都有變化。</p><p><b>　?。?）自滅技術(shù)</b></p><p>　　Yankee Doodle病毒駐留內(nèi)存后，若發(fā)現(xiàn)被傳染的文件有被分析的可能，則用Debug調(diào)被傳染的文件用Q命令刪除。</p><p><b>　?。?）嵌入技術(shù) </b></p><p>　　拼接

63、，成為合法程序的一部分，得到系統(tǒng)的認(rèn)可 </p><p>　　例：EDDIE病毒將自己隱藏在操作系統(tǒng)中，隨操作系統(tǒng)啟動按隨機(jī)格式復(fù)制成其他的程序。 </p><p>　　（6）反動態(tài)跟蹤技術(shù) Pakistani病毒駐留內(nèi)存后，可通過INT 13H監(jiān)視用戶讀取引導(dǎo)扇區(qū)的操作，當(dāng)用戶用debug讀取0邏輯扇區(qū)時，病毒將存于它處的引導(dǎo)扇區(qū)顯示出來。</p><p>　　2

64、.3如何識別計算機(jī)病毒</p><p>　　很多時候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等這些一串英文還帶數(shù)字的病毒名，這時有些人就懵了，那么長一串的名字，我怎么知道是什么病毒?。?lt;/p><p>　　其實(shí)只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些公有

65、的特性了。　　世界上那么多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進(jìn)行分類命名。雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的。　　一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>。　　病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Wo

66、rm等等還有其他的?！　〔《久侵敢粋€病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“Sasser”?！　〔《竞缶Y是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（

67、也表明該病毒生命力頑強(qiáng)“_”），可以采用數(shù)字與字母混合表示</p><p>　　2.4計算機(jī)病毒的攻擊技術(shù)分析</p><p>　　實(shí)施計算機(jī)病毒入侵的核心技術(shù)是解決病毒的有效注入。其攻擊目標(biāo)是對方的各種系統(tǒng)，以及從計算機(jī)主機(jī)到各式各樣的傳感器、網(wǎng)橋等，以使他們的計算機(jī)在關(guān)鍵時刻受到誘騙或崩潰，無法發(fā)揮作用。從國外技術(shù)研究現(xiàn)狀來看，病毒注入方法主要有以下幾種：</p><

68、;p>　　2.4.1無線電方式</p><p>　　主要是通過無線電把病毒碼發(fā)射到對方電子系統(tǒng)中。此方式是計算機(jī)病毒注入的最佳方式，同時技術(shù)難度也最大?？赡艿耐緩接校?#160;（1）直接向?qū)Ψ诫娮酉到y(tǒng)的無線電接收器或設(shè)備發(fā)射，使接收器對其進(jìn)行處理并把病毒傳染到目標(biāo)機(jī)上。 （2）冒充合法無線傳輸數(shù)據(jù)。根據(jù)得到的或使用標(biāo)準(zhǔn)的無線電傳輸協(xié)議和數(shù)據(jù)格式，發(fā)射病毒碼，使之能夠混在合法傳輸信號中，進(jìn)入接收器，進(jìn)

69、而進(jìn)入信息網(wǎng)絡(luò)。 （3）尋找對方信息系統(tǒng)保護(hù)最差的地方進(jìn)行病毒注放。通過對方未保護(hù)的數(shù)據(jù)鏈路，將病毒傳染到被保護(hù)的鏈路或目標(biāo)中。 </p><p>　　2.4.2“固化”式方法</p><p>　　即把病毒事先存放在硬件（如芯片）和軟件中，然后把此硬件和軟件直接或間接交付給對方，使病毒直接傳染給對方電子系統(tǒng)，在需要時將其激活，達(dá)到攻擊目的。這種攻擊方法十分隱蔽，即使芯片或組件

70、被徹底檢查，也很難保證其沒有其他特殊功能。目前，我國很多計算機(jī)組件依賴進(jìn)口，因此，很容易受到芯片的攻擊。 </p><p>　　2.4.3后門攻擊方式 </p><p>　　后門，是計算機(jī)安全系統(tǒng)中的一個小洞，由軟件設(shè)計師或維護(hù)人發(fā)明，允許知道其存在的人繞過正常安全防護(hù)措施進(jìn)入系統(tǒng)。攻擊后門的形式有許多種，如控制電磁脈沖可將病毒注入目標(biāo)系統(tǒng)。計算機(jī)入侵者就常通過后門進(jìn)行攻擊，如目前普遍使用

71、的WINDOWS98，就存在這樣的后門。</p><p>　　2.4.4、數(shù)據(jù)控制鏈侵入方式</p><p>　　隨著因特網(wǎng)技術(shù)的廣泛應(yīng)用，使計算機(jī)病毒通過計算機(jī)系統(tǒng)的數(shù)據(jù)控制鏈侵入成為可能。使用遠(yuǎn)程修改技術(shù)，可以很容易地改變數(shù)據(jù)控制鏈的正常路徑。</p><p><b>　　2.5異常處理</b></p><p>　　

72、病毒在運(yùn)行過程中，由于環(huán)境的變化、程序設(shè)計上的失誤等原因，有時候輕則彈出提示窗口，重則會導(dǎo)致程序、甚至系統(tǒng)崩潰。為禮物被發(fā)現(xiàn)，異常處理也經(jīng)常用在計算機(jī)病毒中。</p><p>　　2.5.1異常處理的方式</p><p>　　Windows下異常處理有兩種方式：篩選器異常處理和SHE異常處理。</p><p>　　篩選器異常處理的方式有程序指定一個異常處理回調(diào)函數(shù)，

73、當(dāng)發(fā)生異常的時候，Windows系統(tǒng)將調(diào)用這個回調(diào)函數(shù)并根據(jù)回調(diào)函數(shù)的返回值決定下一步如何操作。于一個進(jìn)程來說，只有一個篩選器回調(diào)函數(shù)。很明顯，這種異常處理方式不便于模塊的封裝：由于篩選器回調(diào)函數(shù)是基于整個進(jìn)程的，無法為一個線程或子程序單獨(dú)設(shè)置一個異常處理回調(diào)函數(shù)，這樣就無法將私有處理代碼封裝進(jìn)某個模塊中。</p><p>　　SHE（“Structured Esception Handling”）,即結(jié)構(gòu)化異常

74、處理，是操作系統(tǒng)提供給程序設(shè)計者的強(qiáng)有力處理程序錯誤或異常的武器。篩選器異常處理和SHE異常處理都是以回調(diào)函數(shù)的方式提供的：另外，系統(tǒng)都會根據(jù)回調(diào)函數(shù)的返回值選擇不同的操作。但它們之間也有如下區(qū)別</p><p>　?。?）SHE可以為每個線程設(shè)置不同的異常處理程序，而且可以為每個線程設(shè)置多個異常處理程序</p><p>　?。?）兩者的回調(diào)函數(shù)的參數(shù)定義和返回值的定義不一樣</p&

75、gt;<p>　?。?）SHE使用了與硬件相關(guān)的數(shù)據(jù)指針，所以在不同的硬件平臺中使用SHE的方法會有所不同</p><p>　　2.5.2異常處理的過程</p><p>　　當(dāng)系統(tǒng)遇到一個它不知道如何處理的宜昌時，它就查找異常處理鏈表。當(dāng)一個異常發(fā)生時，操作系統(tǒng)要向引起異常的線程的堆棧里壓入3個結(jié)構(gòu)，分別是EXCEPTION_RECORD、EXCEPTION_POINTERS

76、、CONTEXT。EXCEPTION_RECORD結(jié)構(gòu)包含有關(guān)已發(fā)生的獨(dú)立與CPU的信息，CONTEXT結(jié)構(gòu)包含已發(fā)生異常的依賴與CPU信息，EXCEPTION_POINTERS結(jié)構(gòu)只有兩個指正數(shù)據(jù)成員，分別指向被壓入棧的EXCEPTION_RECORD和CONTEXT結(jié)構(gòu)，CONTEXT結(jié)構(gòu)包含了特定處理的寄存處器數(shù)據(jù)，系統(tǒng)使用該結(jié)構(gòu)執(zhí)行各種內(nèi)部操作。CONTEXT結(jié)構(gòu)非常重要，程序通過修改結(jié)構(gòu)中的成員，改變了線程的運(yùn)行環(huán)境，從而達(dá)到

77、反跟蹤的目的，從原程序的任意Eip制定位置開始執(zhí)行。第三章幾種常見病毒的識別和防范</p><p>　　3．1如何防止病毒感染</p><p>　　使用經(jīng)過更新的反病毒程序掃描您的計算機(jī)。從Microsoft Web 站點(diǎn)安裝最新的安全修補(bǔ)程序?！　≈匦掳惭b反病毒程序（如果它已停止工作）。</p><p>　　從反病毒供應(yīng)商的 W

78、eb 站點(diǎn)獲取最新的“件病毒簽名文”。對于每種新病毒，反病毒供應(yīng)商都會發(fā)布更新來對付新病毒。　　殺除病毒后，請?jiān)俅螔呙枘挠嬎銠C(jī)以確保完全殺除病毒。　　安排反病毒程序在您睡覺期間檢查系統(tǒng)?！　∪绻韵乱粋€或多個條件為真，則您可能必須格式化計算機(jī)硬盤，并重新安裝 Windows 以及您的所有計算機(jī)程序：　　反病毒軟件顯示一條無法修復(fù)或殺除病毒的消息。　　病毒損壞或刪除了計算機(jī)上的一些重要文件。如果&

79、#160;Windows 或某些程序無法啟動，或在啟動時出現(xiàn)表明文件損壞或丟失的錯誤信息，則可能屬于這種情況　　即使在您清理工作站之后，本文描述的癥狀依然存在，并且您能肯定問題是由病毒引起的?！　〈_保在您的計算機(jī)上安裝了防火墻。有關(guān)安全性和防火墻的詳細(xì)信息，請?jiān)L問Microsoft Web 站點(diǎn)：　　對于基于 Windows XP的計算機(jī)，請打開 Internet連接防火

80、墻 (ICF)?！　τ谒衅渌姹镜?#160;Windows，請安裝密集架第三方防火墻?！　〈_保安裝了 Microsoft Outlook電子郵件安全更新：　　默認(rèn)情況下，Outlook 2000 S</p><p>　　3．2計算機(jī)病毒的技術(shù)預(yù)防措施</p><p>　　下面總結(jié)出一系列行之有效的措施供參考?！　。?）新購置的

81、計算機(jī)硬軟件系統(tǒng)的測試　　新購置的計算機(jī)是有可能攜帶計算機(jī)病毒的。因此，在條件許可的情況下，要用檢測計算機(jī)病毒軟件檢查已知計算機(jī)病毒，用人工檢測方法檢查未知計算機(jī)病毒，并經(jīng)過證實(shí)沒有計算機(jī)病毒感染和破壞跡象后下面總結(jié)出一系列行之有效的措施供參考。</p><p>　　（2）新購置的計算機(jī)硬軟件系統(tǒng)的測試新購置的計算機(jī)是有可能攜帶計算機(jī)病毒的。因此，在條件許可的情況下，要用</p><p&

82、gt;　　檢測計算機(jī)病毒軟件檢查已知計算機(jī)病毒，用人工檢測方再使用</p><p>　　新購置計算機(jī)的硬盤可以進(jìn)行檢測或 進(jìn)行低級格式化來確保沒有計算機(jī)病毒存在。對硬盤只在DOS下做FORMAT格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表）計算機(jī)病毒的。軟盤在DOS下做FORMAT格式化可以去除感染的計算機(jī)病毒?！　⌒沦徶玫挠嬎銠C(jī)軟件也要進(jìn)行計算機(jī)病毒檢測。有些軟件廠商發(fā)售的軟件，可能無意中已被計算機(jī)病毒感染。就算是正版軟

83、件也難保證沒有攜帶計算機(jī)病毒的可能性，更不要說盜版軟件了。這在國內(nèi)、外都是有實(shí)例的。這時不僅要用殺毒軟件查找已知的計算機(jī)病毒，還要用人工檢測和實(shí)驗(yàn)的方法檢測?！　。?）計算機(jī)系統(tǒng)的啟動　　在保證硬盤無計算機(jī)病毒的情況下，盡量使用硬盤引導(dǎo)系統(tǒng)。啟動前，一般應(yīng)將軟盤從軟盤驅(qū)動器中取出。這是因?yàn)榧词乖诓煌ㄟ^軟盤啟動的情況下，只要軟盤在啟動時被讀過，計算機(jī)病毒仍然會進(jìn)入內(nèi)存進(jìn)行傳染。很多計算機(jī)中，可以通過設(shè)置CMOS參數(shù)，使啟動時直接從硬盤

84、引導(dǎo)啟動，而根本不去讀軟盤。這樣即使軟盤驅(qū)動器中插著軟盤，啟動時也會跳過軟驅(qū)，嘗試由硬盤進(jìn)行引導(dǎo)。很多人認(rèn)為，軟盤上如果沒有COMMAND.COM等系統(tǒng)啟動文件，就不會帶計算機(jī)病毒，其實(shí)引導(dǎo)型計算機(jī)病毒根本不需要這些系統(tǒng)文件就能進(jìn)行</p><p>　　（4）單臺計算機(jī)系統(tǒng)的安全使用　　在自己的機(jī)器上用別人的軟盤前應(yīng)進(jìn)行檢查。在別人的計算機(jī)上使用過自己的已打開了寫保護(hù)的軟盤，再在自己的計算機(jī)上使用前，也應(yīng)進(jìn)行計

85、算機(jī)病毒檢測。對重點(diǎn)保護(hù)的計算機(jī)系統(tǒng)應(yīng)做到專機(jī)、專盤、專人、專用，封閉的使用環(huán)境中是不會自然產(chǎn)生計算機(jī)病毒的?！。?）重要數(shù)據(jù)文件要有備份　　硬盤分區(qū)表、引導(dǎo)扇區(qū)等的關(guān)鍵數(shù)據(jù)應(yīng)作備份工作，并妥善保管。在進(jìn)行系統(tǒng)維護(hù)和修復(fù)工作時可作為參考。　　重要數(shù)據(jù)文件定期進(jìn)行備份工作。不要等到由于計算機(jī)病毒破壞、計算機(jī)硬件或軟件出現(xiàn)故障，使用戶數(shù)據(jù)受到損傷時再去急救?！　τ谲洷P，要盡可能將數(shù)據(jù)和應(yīng)用程序分別保存，裝應(yīng)用程序的軟盤要有寫保護(hù)。

86、　　在任何情況下，總應(yīng)保留一張寫保護(hù)的、無計算機(jī)病毒的、帶有常用DOS命令文件的系統(tǒng)啟動軟盤，用以清除計算機(jī)病毒和維護(hù)系統(tǒng)。常用的DOS應(yīng)用程序也有副本，計算機(jī)修復(fù)工作就比較容易進(jìn)行了。?。?）不要隨便直接運(yùn)行或直接打開電子郵件中夾帶的附件文件，不要隨意下載軟件，尤其是一些可執(zhí)行文件和Office文檔。即使下載了，也要先用最新的防殺計算機(jī)病毒軟件來檢查。?。?）計算機(jī)網(wǎng)絡(luò)的安全使用　　以</p><p>

87、　　而對于網(wǎng)絡(luò)計算機(jī)系統(tǒng)，還應(yīng)采取下列針對網(wǎng)絡(luò)的防殺計算機(jī)病毒措施： a安裝網(wǎng)絡(luò)服務(wù)器時應(yīng)，應(yīng)保證沒有計算機(jī)病毒存在，即安裝環(huán)境和網(wǎng)絡(luò)操作系統(tǒng)本身沒有感染計算機(jī)病毒。</p><p>　　b在安裝網(wǎng)絡(luò)服務(wù)器時，應(yīng)將文件系統(tǒng)劃分成多個文件卷系統(tǒng)，至少劃分成操作系統(tǒng)卷、共享的應(yīng)用程序卷和各個網(wǎng)絡(luò)用戶可以獨(dú)占的用戶數(shù)據(jù)卷。這種劃

88、分十分有利于維護(hù)網(wǎng)絡(luò)服務(wù)器的安全穩(wěn)定運(yùn)行和用戶數(shù)據(jù)的安全。如果系統(tǒng)卷受到某種損傷，導(dǎo)致服務(wù)器癱瘓，那么通過重裝系統(tǒng)卷，恢復(fù)網(wǎng)絡(luò)操作系統(tǒng)，就可以使服務(wù)器又馬上投入運(yùn)行。而裝在共享的應(yīng)用程序卷和用戶卷內(nèi)的程序和數(shù)據(jù)文件不會受到任何損傷。如果用戶卷內(nèi)由于計算機(jī)病毒或由于使用上的原因?qū)е麓鎯臻g擁塞時，系統(tǒng)卷是不受影響的，不會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)運(yùn)行失常。并且這種劃分十分有利于系統(tǒng)管理員設(shè)置網(wǎng)絡(luò)安全存取權(quán)限，保證網(wǎng)絡(luò)系統(tǒng)不受計算機(jī)病毒感染和破壞。&l

89、t;/p><p>　　c一定要用硬盤啟動網(wǎng)絡(luò)服務(wù)器，否則在受到引導(dǎo)型計算機(jī)病毒感染和破壞后，遭受損失的將不是一個人的機(jī)器，而會影響到整個網(wǎng)絡(luò)的中樞?！　為各個卷分配不同的用戶權(quán)限。將操作系統(tǒng)卷設(shè)置成對一般用戶為只讀權(quán)限，屏蔽其它網(wǎng)絡(luò)用戶對系統(tǒng)卷除讀和執(zhí)行以外的所有其它操作，如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。應(yīng)用程序卷也應(yīng)設(shè)置成對一般用戶是只讀權(quán)限的，不經(jīng)授權(quán)、不經(jīng)計算機(jī)病毒檢測，就不允許在共享的應(yīng)用

90、程序卷中安裝程序。保證除系統(tǒng)管理員外，其它網(wǎng)絡(luò)用戶不可能將計算機(jī)病毒感染到系統(tǒng)中，使網(wǎng)絡(luò)用戶總有一個安全的聯(lián)網(wǎng)工作環(huán)境。　　e在網(wǎng)絡(luò)服務(wù)器上必須安裝真正有效的防殺計算機(jī)病毒軟件，并經(jīng)常進(jìn)行升級。必要的時候還可以在網(wǎng)關(guān)、路由器上安裝計算機(jī)病毒防火墻產(chǎn)品，從網(wǎng)絡(luò)出入口保護(hù)整個網(wǎng)絡(luò)不受計算機(jī)病毒的侵害。在網(wǎng)絡(luò)工作站上采取必要的防殺計算機(jī)病毒措施，可使用戶不必?fù)?dān)心來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身的計算機(jī)病毒侵害。</p><p&

91、gt;　　3．3 引導(dǎo)型計算機(jī)病毒的識別和防范</p><p>　　引導(dǎo)型計算機(jī)病毒主要是感染磁盤的引導(dǎo)扇區(qū)，也就是常說的磁盤的BOOT區(qū)。我們在使用被感染的磁盤（無論是軟盤還是硬盤）啟動計算機(jī)時它們就會首先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引導(dǎo)系統(tǒng)，并伺機(jī)傳染其它軟盤或硬盤的引導(dǎo)區(qū)。純粹的引導(dǎo)型計算機(jī)病毒一般不對磁盤文件進(jìn)行感染。感染了引導(dǎo)型計算機(jī)病毒后，引導(dǎo)記錄會發(fā)生變化。當(dāng)然，通過一些防殺計算機(jī)病毒軟件可以發(fā)現(xiàn)

92、引導(dǎo)型計算機(jī)病毒，在沒有防殺計算機(jī)病毒軟件的情況下可以通過以下一些方法判斷引導(dǎo)扇區(qū)是否被計算機(jī)病毒感染：</p><p>　　(1)先用可疑磁盤引導(dǎo)計算機(jī)，引導(dǎo)過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅(qū)動程序和應(yīng)用程序的加載，這時用MEM或MI等工具查看計算機(jī)的空余內(nèi)存空間（Free Memory Space）的大?。辉儆门c可疑磁盤上相同版本的、未感染計算機(jī)病毒的DOS系統(tǒng)軟盤啟動計

93、算機(jī)，啟動過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅(qū)動程序和應(yīng)用程序的加載，然后用MEM或MI等工具查看并記錄下計算機(jī)空余內(nèi)存空間的大小，如果上述兩次的空余內(nèi)存空間大小不一致，則可疑磁盤的引導(dǎo)扇區(qū)肯定已被引導(dǎo)型計算機(jī)病毒感染。 (2)用硬盤引導(dǎo)計算機(jī)，運(yùn)行DOS中的MEM，可以查看內(nèi)存分配情況，尤其要注意常規(guī)內(nèi)存（Conventional Memory）的總數(shù)，一般為640Kb字節(jié)，裝有硬件防殺計算

94、機(jī)病毒芯片的計算機(jī)有的可能為639Kb字節(jié)。如果常規(guī)內(nèi)存總數(shù)小于639Kb字節(jié)，那么引導(dǎo)扇區(qū)肯定被感染上引導(dǎo)型計算機(jī)病毒。 (3)機(jī)器在運(yùn)行過程中剛設(shè)定好的時間、日期，運(yùn)行一會兒被修改為缺省的時間、日期，這種情況下，系統(tǒng)很可能帶有引導(dǎo)型計算機(jī)病毒?！?(4)</p><p>　　軟盤則無法讀取，此時CMOS中軟盤設(shè)定情況為None，這種情況肯定帶有引導(dǎo)型計算機(jī)病毒?！　?5)硬盤自引導(dǎo)正常，但用“干

95、凈的”DOS系統(tǒng)軟盤引導(dǎo)時，無法訪問硬盤如C：盤（某些需要特殊的驅(qū)動程序的大硬盤和FAT32、NTFS等特殊分區(qū)除外），這肯定感染上引導(dǎo)型計算機(jī)病毒?！?(6)系統(tǒng)文件都正常，但Windows 95/98經(jīng)常無法啟動，這有可能是感染上了引導(dǎo)型計算機(jī)病毒。上述介紹的僅是常見的幾種情況。計算機(jī)被感染了引導(dǎo)型計算機(jī)病毒，最好用防殺計算機(jī)病毒軟件加以清除，或者在“干凈的”系統(tǒng)啟動軟盤引導(dǎo)下，用備份的引導(dǎo)扇區(qū)覆蓋。預(yù)防引導(dǎo)型計算機(jī)病毒，通

96、常采用以下一些方法：　?。?) 堅(jiān)持從不帶計算機(jī)病毒的硬盤引導(dǎo)系統(tǒng)?！　。?) 安裝能夠?qū)崟r監(jiān)控引導(dǎo)扇區(qū)的防殺計算機(jī)病毒軟件，或經(jīng)常用能夠查殺引導(dǎo)型計算機(jī)病毒的防殺計算機(jī)病毒軟件進(jìn)行檢查?！　。?) 經(jīng)常備份系統(tǒng)引導(dǎo)扇區(qū)。 （4) 某些底板上提供引導(dǎo)扇區(qū)計算機(jī)病毒保護(hù)功能（Virus Protect），啟用它對系統(tǒng)引導(dǎo)扇區(qū)也有一定的保護(hù)作用。不過要注意的是啟用這功能可能會造成一些需要改寫引導(dǎo)扇區(qū)的軟件（如Windows&l

97、t;/p><p>　　3．4 文件型計算機(jī)病毒的識別和防范</p><p>　　大多數(shù)的計算機(jī)病毒都屬于文件型計算機(jī)病毒。文件型計算機(jī)病毒一般只傳染磁盤上的可執(zhí)行文件（COM，EXE），在用戶調(diào)用染毒的可執(zhí)行文件時，計算機(jī)病毒首先被運(yùn)行，然后計算機(jī)病毒駐留內(nèi)存伺機(jī)傳染其他文件，其特點(diǎn)是附著于正常程序文件，成為程序文件的一個外殼或部件。文件型計算機(jī)病毒通過修改COM、EXE或OVL等文件的結(jié)構(gòu)，

98、將計算機(jī)病毒代碼插入到宿主程序，文件被感染后，長度、日期和時間等大多發(fā)生變化，也有些文件型計算機(jī)病毒傳染前后文件長度、日期、時間不會發(fā)生任何變化，稱之為隱型計算機(jī)病毒。隱型計算機(jī)病毒是在傳染后對感染文件進(jìn)行數(shù)據(jù)壓縮，或利用可執(zhí)行文件中有一些空的數(shù)據(jù)區(qū)，將自身分解在這些空區(qū)中，從而達(dá)到不被發(fā)現(xiàn)的目的。通過以下方法可以判別文件型計算機(jī)病毒： (1)在用未感染計算機(jī)病毒的DOS啟動軟盤引導(dǎo)后，對同一目錄列目錄（DIR）后文件的總長度與

99、通過硬盤啟動后所列目錄內(nèi)文件總長度不一樣，則該目錄下的某些文件已被計算機(jī)病毒感染，因?yàn)樵趲Ф经h(huán)境下，文件的長度往往是不真實(shí)的?！　?2)有些文件型計算機(jī)病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同時也感染系統(tǒng)的引</p><p>　　3．5 宏病毒的識別和防范</p><p>　　宏病毒（Macro Virus）傳播依賴于包括Word、Excel和Power

100、Point等應(yīng)用程序在內(nèi)的Office套裝軟件，只要使用這些應(yīng)用程序的計算機(jī)就都有可能傳染上宏病毒，并且大多數(shù)宏病毒都有發(fā)作日期。輕則影響正常工作，重則破壞硬盤信息，甚至格式化硬盤，危害極大。目前宏病毒在國內(nèi)流行甚廣，已成為計算機(jī)病毒的主流，因此用戶應(yīng)時刻加以防范?！　⊥ㄟ^以下方法可以判別宏病毒：　 (1)在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、Auto

101、Close等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如A AAZAO、PayLoad等，就極可能是感染了宏病毒了，因?yàn)镹ormal模板中是不包含這些宏的。 (2)在使用的Word“工具”菜單中看不到“宏”這個字，或看到“宏”但光標(biāo)移到“宏”，鼠標(biāo)點(diǎn)擊無反應(yīng)，這種情況肯定有宏病毒。 (3)打開一個文檔，不進(jìn)行任何操作，退出Word，如提示存盤，這極可能是Word中的Nor

102、mal.dot模板中帶宏病毒。 (4</p><p>　　風(fēng)靡全球的“美麗莎”（Melissa）、Papa和HAPPY99等計算機(jī)病毒正是通過電子郵件的方式進(jìn)行傳播、擴(kuò)散，其結(jié)果導(dǎo)致郵件服務(wù)器癱瘓，用戶信息和重要文檔泄密，無法收發(fā)E-mail，給個人、企業(yè)和政府部門造成嚴(yán)重的損失。為此有必要介紹一下電子郵件計算機(jī)病毒?！　‰娮余]件計算機(jī)病毒實(shí)際上并不是一類單獨(dú)的計算機(jī)病毒，嚴(yán)格來說它應(yīng)該劃入到文件型計算機(jī)

103、病毒及宏病毒中去，只不過由于這些計算機(jī)病毒采用了獨(dú)特的電子郵件傳播方式（其中不少種類還專門針對電子郵件的傳播方式進(jìn)行了優(yōu)化），因此我們習(xí)慣于稱將它們?yōu)殡娮余]件計算機(jī)病毒。　　所謂電子郵件計算機(jī)病毒就是以電子郵件作為傳播途徑的計算機(jī)病毒，實(shí)際上該類計算機(jī)病毒和普通的計算機(jī)病毒一樣，只不過是傳播方式改變而已。該類計算機(jī)病毒的特點(diǎn)：　　(1)電子郵件本身是無毒的，但它的內(nèi)容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當(dāng)

104、用Unix智能終端上網(wǎng)查看電子郵件時，有被侵入的可能。 (2)電子郵件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計算機(jī)病毒?！　?3)利用某些電子郵件收發(fā)器特有的擴(kuò)充功</p><p>　　病毒程序的種類繁多，發(fā)展和傳播迅速，感染形式多樣，危害極大，但還是可以預(yù)防和滅殺的。只要我們增強(qiáng)計算機(jī)和計算機(jī)網(wǎng)絡(luò)的安全意識，采取有效的防殺措施，隨時注意工作中計算機(jī)的運(yùn)行情況，發(fā)現(xiàn)異常

105、及時處理，就可以大大減少病毒的危害，計算機(jī)病毒及其防御措施都是在不停的發(fā)展和更新的，因此我們應(yīng)該做到認(rèn)識病毒，了解病毒，及早發(fā)現(xiàn)病毒并采取相應(yīng)的措施從而確保我們的計算機(jī)能安全工作。建立良好的安全習(xí)慣。例如:對一些來歷不明的郵件及附件不要打開，并盡快刪除，不要上一些不太了解的網(wǎng)站，尤其是那些誘人名稱的網(wǎng)頁，更不要輕易打開，不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會使您的計算機(jī)更安全。</p>&l