計算機病毒預防畢業(yè)論文

1、<p>　　計算機病毒的預防技術探討</p><p>　　學 院： 計算機科學與技術 </p><p>　　專 業(yè)： 計算你科學與技術（師范）</p><p>　　研 究 方 向： 計算機病毒的預防 </p><p>　　學 生： &

2、lt;/p><p>　　學 號： </p><p>　　指導教師姓名： </p><p>　　指導教師職務： 講 師 </p><p>　　2012年4月20日</p><p>　　計算機病毒預防技術的探討</p>

3、<p>　　[論文摘要]：現(xiàn)在，人們越來越重視計算機安全。伴隨著電腦網(wǎng)絡的普及，計算機病毒越來越猖獗，計算機反病毒技術也發(fā)展的很快。如今計算機反病毒技術，有實時反病毒技術、掃描技術、虛擬技術和主動核技術等。這些技術各有特點，都是十分優(yōu)秀的反病毒技術，但是目前應用起來仍然不夠成熟。現(xiàn)有計算機反病毒軟件雖然在對抗病毒方面發(fā)揮了巨大的作用，但是仍有不盡人意之處，特別是應對位置病毒缺乏足夠有效的方法。計算機病毒的防范技術還有待于我們

4、去鉆呀和發(fā)展，進一步完善。</p><p>　　[關鍵字]：Internet; 計算機技術; 病毒; 預防</p><p>　　Discussion on computer virus prevention techniques</p><p>　　[Abstract]: Now,peopele pay more and more attention to comp

5、uter security. With the popularization of computer network,computer viruses are increasingly rampant and computer antivirus technology is also developing very fast. Now computer anti-virus technology are real-time anti-

6、virus technology,heuristic code scanning techniques, virtural machine technologu and active kernel technology, etc. These technologies have their own features and all of them are excellent anti-virus technologies. But pe

7、o</p><p>　　[Key Word]Internet; Computer Technology; virus; protection</p><p><b>　　目 錄</b></p><p>　　課題研究意義及背景………………………………………………………………………5</p><p>　　第一章計算機病毒

8、的特征、分類及傳播方式…………………………………….…6</p><p>　　1.1 計算機病毒的定義和內(nèi)涵…………………………………………………………..6</p><p>　　1.2 計算機病毒的特征……………………………………………………………………7</p><p>　　1.3 計算機病毒的分類……………………………………………………………………7</

9、p><p>　　1.3.1 按病毒攻存在媒體分類………………………………………………………...…7</p><p>　　1.3.2 按病毒傳染的方法分類……………………………………………………..….…8</p><p>　　1.3.3 按病毒的破壞能力分類……………………………………………………………8</p><p>　　1.3.4 按病

10、毒的算法分類…………………………………………………………….……8</p><p>　　1.4 計算機病毒的表現(xiàn)現(xiàn)狀…………………………………………………………..…10</p><p>　　1.5計算機病毒的傳播方式………………………………………………………………10</p><p>　　第三章 計算機病的的危害、保護手段及攻擊技術分析……………………….…19&

11、lt;/p><p>　　2.1計算機病毒的危害…………………………………………………………….…….…12</p><p>　　2.2 計算機病毒的自我保護手段…………………………………………………..……15</p><p>　　2.3 如何識別計算機病毒…………………………………………………………………16</p><p>　　2.4計算機病

12、毒的攻擊技術分析…………………………………………………………17</p><p>　　2.4.1無線電方式………………………………………………………………………......…17</p><p>　　2.4.2“固化”式方式 …………………………………………………………………........…17</p><p>　　2.4.3后門攻擊方式…………………………………

13、………………………………….....…18 </p><p>　　2.4.4數(shù)據(jù)控制連侵入方式……………………………………………………………....…18</p><p>　　2.5 異常處理…………………………………………………………………………….....…18</p><p>　　2.5.1 異常處理的方式…………………………………………………………....…

14、…18</p><p>　　2.5.2 異常處理的過程……………………………………………………..……......…19</p><p>　　第三章 幾種常見病的的識別和防范................................................................................19</p><p>　　3.1如

15、何識別病毒感染 …………………………………………………………………....…19</p><p>　　3.2 計算機病毒的技術預防措施…………………………………………..………….…20</p><p>　　3.3引導型計算機病毒的識別和防范………………………………………………...…23</p><p>　　3.4文件病毒的識別和防范……………………………………

16、………………………25</p><p>　　3.5宏病毒的識別和防范…………………………………………………….…........…29</p><p>　　3.6電子郵件病毒的識別和防范………………………………….…………..………31 </p><p>　　第四章 結論…………………………………………………………….................……37&l

17、t;/p><p>　　參考文獻…………………………………………………………………………...........…38</p><p><b>　　課 題 背 景</b></p><p>　　計算機病毒一直是計算機用戶和安全專家的心腹大患，雖然計算機反病毒技術不斷更新和發(fā)展，但是仍然不能改變被動滯后的局面，計算機用戶必須不斷應付計算機新病毒的出現(xiàn)。互聯(lián)

18、網(wǎng)的普及，更加劇了計算機病毒的泛濫。從上世紀90年代中后期開始，隨著國際互聯(lián)網(wǎng)的發(fā)展壯大，依賴互聯(lián)網(wǎng)絡傳播的郵件病毒、宏病毒和蠕蟲病毒等大量涌現(xiàn)，病毒傳播速度加快、隱蔽性增強、破壞性變大。最近這幾年新病毒層出不窮，出現(xiàn)了“紅色代碼”、“尼姆達”、“愛蟲”、 “SQL蠕蟲” 、“求職信”、“沖擊波”、“惡郵差”等等許多影響廣、破壞大的病毒，眾多病毒中蠕蟲病毒的發(fā)展的特別快。最新發(fā)現(xiàn)的"震蕩波"病毒來勢洶洶，該病毒通過

19、微軟的最新高危漏洞—LSASS 漏洞(微軟MS04-011 公告)進行傳播，危害性極大，目前 WINDOWS 2000/XP/Server 2003 等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。計算機病毒的產(chǎn)生和迅速蔓延，使計算機系統(tǒng)的安全受到了極大的威脅，人們意識到計算機安全的重要性，也因此產(chǎn)生了對計算機反病毒技術的需求。隨著計算機病毒采用的新技術不斷出現(xiàn)，計算機反病毒</p>

20、<p>　　第一章 計算機病毒的特征、分類及傳播方式</p><p>　　在當今科技迅速發(fā)展的時代，計算機和網(wǎng)絡技術不僅給人們帶來了便利與驚喜，同時也在遭受著計算病毒帶來的煩惱和無奈，自從Internet潮流席卷全球以來,計算機信息以每秒千里的速度在傳送, 我們每天可以透過Internet收到來自全球各地不同的消息,。因為計算機病毒不僅破壞文件，刪除有用的數(shù)據(jù)，還可導致整個計算機系統(tǒng)癱瘓，給計算機

21、用戶造成巨大的損失。隨著計算機在社會生活各個領域的廣泛運用,計算機病毒攻擊與防范技術也在不斷拓展。據(jù)報道,世界各國遭受計算機病毒感染和攻擊的事件數(shù)以億計,嚴重地干擾了正常的人類社會生活,給計算機網(wǎng)絡和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時,病毒技術在戰(zhàn)爭領域也曾廣泛的運用,在海灣戰(zhàn)爭、近期的科索沃戰(zhàn)爭中,雙方都曾利用計算機病毒向敵方發(fā)起攻擊,破壞對方的計算機網(wǎng)絡和武器控制系統(tǒng),達到了一定的政治目的與軍事目的?？梢灶A見,隨著計算機、網(wǎng)絡

22、運用的不斷普及、深入,防范計算機病毒將越來越受到各國的重視。</p><p>　　1.1計算機病毒的定義和內(nèi)涵</p><p>　　計算機病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。 除復制能力外，某些計算機

23、病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發(fā)了其它類型的災害。若是病毒并不寄生于一個污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計算機的全部性能。</p><p>　　計算機病毒：一種計算你程序，它可以附屬在可執(zhí)行文件或隱藏在系統(tǒng)數(shù)據(jù)區(qū)中，在開機或執(zhí)行某些程序后悄悄的進駐內(nèi)存，然后對其他

24、的文件進行傳染，使之傳播出去，然后在特定的條件下破壞系統(tǒng)或騷擾用戶。目前很多的清楚病毒的軟件，但是新病毒還是層出不窮，成為一大危害。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設定好的環(huán)境激發(fā)，即可感染和破壞。 </p><p>　　1.2計算機病毒的特征</p><p>　　計算機病毒是一段特殊的

25、程序。除了與其他程序一樣，可以存儲和運行外，計算機病毒還有感染性、潛伏性、可觸發(fā)性、破壞性衍生性等特征。下面簡單就計算機病毒的特性加以介紹：   感染性。計算機病毒的感染性也稱為寄生性，是指計算機病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生成的特性。計算機病毒的感染性是計算機病毒的根本屬性，是判斷一個程序是否為病毒程序的主要依據(jù)。 隱蔽性。隱蔽性是計算機病毒的基本特征之一。從計算機病毒隱藏的位置來看，

26、不同的病毒隱藏在不同的位置，有的隱藏在扇區(qū)中，有的則以隱藏文件的形式出現(xiàn)，讓人防不勝防。 潛伏性。計算機病毒的潛伏性是指其具有依附于其他媒體而寄生的能力，通過修改其他程序而把自身的復制體嵌入到其他程序或者磁盤的引導區(qū)甚至硬盤的主引導區(qū)中寄生。 可觸發(fā)性。計算機病毒一般都具有一個觸發(fā)條件：或者觸發(fā)其感染，即在一定的條件下激活一個病毒的感染機制使之進行感染；或者觸發(fā)其發(fā)作，即在一定的條件下激活病毒的表現(xiàn)攻擊破壞部分。<

27、/p><p>　　衍生性。計算機病毒的衍生性是指計算機病毒的制造者依據(jù)個人的主觀愿望，對某一個已知病毒程序進行修改而衍生出另外一中或多種來源于同一種病毒，而又不同于源病毒程序的病毒程序，即源病毒程序的變種。這也許就是病毒種類繁多、復雜的原因之一。 破壞性。計算機病毒的破壞性取決于計算機病毒制造者的目的和水平，它可以直接破壞計算機數(shù)據(jù)信息、搶占系統(tǒng)資源、影響計算機運行速度以及對計算機硬件構成破壞等。正是由于計算

28、機病毒可怕的破壞性才使得計算機病毒令人如此恐怖。</p><p>　　1.3計算機病毒的分類</p><p>　　根據(jù)多年對計算機病毒的研究，按照科學的、系統(tǒng)的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據(jù)下面的屬性進行分類：</p><p>　　1.3.1按病毒存在的媒體</p><p>　　根據(jù)

29、病毒存在的媒體，病毒可以劃分為網(wǎng)絡病毒，文件病毒，引導型病毒。網(wǎng)絡病毒通過計算機網(wǎng)絡傳播感染網(wǎng)絡中的可執(zhí)行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。 </p><

30、;p>　　1.3.2按病毒傳染的方法</p><p>　　根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調用并合并到操作系統(tǒng)中去，他處于激活狀態(tài)，一直到關機或重新啟動.非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。 </p

31、><p>　　1.3.3按病毒破壞的能力</p><p>　　無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 </p><p>　　無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 </p><p>　　危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。 </p><p>　　非常危險型：這類

32、病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在

33、后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。 </p><p>　　1.3.4按病毒的算法</p><p>　　伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的E

34、XE文件。 </p><p>　　“蠕蟲”型病毒，通過計算機網(wǎng)絡傳播，不改變文件和資料信息，利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。 </p><p>　　寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按其算法不同可分為：練習

35、型病毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。 </p><p>　　詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設備技術和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。 變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的

36、病毒體組成。</p><p>　　1.4計算機病毒的表現(xiàn)現(xiàn)狀</p><p>　　計算機受到病毒感染后，會表現(xiàn)出不同的癥狀。 </p><p><b>　　機器不能正常啟動 </b></p><p>　　加電后機器根本不能啟動，或者可以啟動，但所需要的時間比原來的啟動時間變長了。有時會突然出現(xiàn)黑屏現(xiàn)象。 </p&g

37、t;<p><b>　　運行速度降低 </b></p><p>　　如果發(fā)現(xiàn)在運行某個程序時，讀取數(shù)據(jù)的時間比原來長，存文件或調文件的時間都增加了，那就可能是由于病毒造成的。 </p><p><b>　　磁盤空間迅速變小 </b></p><p>　　由于病毒程序要進駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小

38、甚至變?yōu)椤?”，用戶什么信息也進不去。 </p><p>　　文件內(nèi)容和長度有所改變 </p><p>　　一個文件存入磁盤后，本來它的長度和其內(nèi)容都不會改變，可是由于病毒的干擾，文件長度可能改變，文件內(nèi)容也可能出現(xiàn)亂碼。有時文件內(nèi)容無法顯示或顯示后又消失了。 </p><p>　　經(jīng)常出現(xiàn)“死機”現(xiàn)象 。正常的操作是不會造成死機現(xiàn)象的，即使是初學者，命令輸入不對也

39、不會死機。如果機器經(jīng)常死機，那可能是由于系統(tǒng)被病毒感染了。 </p><p><b>　　外部設備工作異常 </b></p><p>　　因為外部設備受系統(tǒng)的控制，如果機器中有病毒，外部設備在工作時可能會出現(xiàn)一些異常情況，出現(xiàn)一些用理論或經(jīng)驗說不清道不明的現(xiàn)象。 </p><p>　　以上僅列出一些比較常見的病毒表現(xiàn)形式，肯定還會遇到一些其他的

40、特殊現(xiàn)象，這就需要由用戶自己判斷了。</p><p>　　1.5計算機病毒的傳播方式</p><p>　?、?軟盤 軟盤作為最常用的交換媒介，在計算機應用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導機器時，引導區(qū)病毒會在軟盤

41、與硬盤引導區(qū)互相感染。因此軟盤也成了計算機病毒的主要寄生的“溫床”。 </p><p>　　②.光盤 光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便

42、利。 </p><p><b>　?、?硬盤 </b></p><p>　　由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的軟盤傳染并再擴散。 </p><p><b>　?、?BBS </b></p><p>　　電子布告欄（BBS）因為上站容易、投資少，因此深受大眾用戶的喜愛。BBS是

43、由計算機愛好者自發(fā)組織的通訊站點，用戶可以在BBS上進行文件交換（包括自由軟件、游戲、自編程序）。由于BBS站一般沒有嚴格的安全管理，亦無任何限制，這樣就給一些病毒程序編寫者提供了傳播病毒的場所。各城市BBS站間通過中心站間進行傳送，傳播面較廣。隨著BBS在國內(nèi)的普及，給病毒的傳播又增加了新的介質。 </p><p><b>　?、?網(wǎng)絡 </b></p><p>　

44、　現(xiàn)代通信技術的巨大進步已使空間距離不再遙遠，數(shù)據(jù)、文件、電子郵件可以方便地在各個網(wǎng)絡工作站間通過電纜、光纖或電話線路進行傳送，工作站的距離可以短至并排擺放的計算機，也可以長達上萬公里，正所謂“相隔天涯，如在咫尺”，但也為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中，當您從網(wǎng)絡另一端得到一個被感染的程序，并在您的計算機上未加任何防護措施的情況下運行它，病毒就傳染開來了。這種病毒的傳染方式在計算機網(wǎng)絡連接很普及的

45、國家是很常見的，國內(nèi)計算機感染一種“進口”病毒已不再是什么大驚小怪的事了。在我們信息國際化的同時，我們的病毒也在國際化。大量的國外病毒隨著互聯(lián)網(wǎng)絡傳入國內(nèi)。</p><p>　　第二章 計算機病毒的保護手段及技術分析</p><p>　　長期以來，人們設計計算機的目標主要是追求信息處理功能的提高和生產(chǎn)成本的降低，而對于安全問題則重視不夠。計算機系統(tǒng)的各個組成部分，接口界面，各個層次的相互轉

46、換，都存在著不少漏洞和薄弱環(huán)節(jié)。硬件設什缺乏整體安全性考慮，軟件方面也更易存在隱患和潛在威脅。對計算機系統(tǒng)的測試，目前尚缺乏自動化檢測工具和系統(tǒng)軟件的完整檢驗手段，計算機系統(tǒng)的脆弱性，為計算機病毒的產(chǎn)生和傳播提供了可乘之機；全球萬維網(wǎng)（www）使“地球一村化”， 為計算機病毒創(chuàng)造了實施的空間；新的計算機技術在電子系統(tǒng)中不斷應用，為計算機病毒的實現(xiàn)提供了客觀條件。國外專家認為，分布式數(shù)字處理、可重編程嵌入計算機、網(wǎng)絡化通信、計算機標準化、

47、軟件標準化、標準的信息格式、標準的數(shù)據(jù)鏈路等都使得計算機病毒侵入成為可能。</p><p>　　2.1計算機病毒的危害</p><p>　?。?）病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用</p><p>　　大部分病毒在激發(fā)的時候直接破壞計算機的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMO5

48、設置等。</p><p>　　磁盤殺手病毒（D1SK KILLER），內(nèi)含計數(shù)器，在硬盤染毒后累計開機時間48小時內(nèi)激發(fā)，激發(fā)的時候屏幕上顯示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing！” （警</p><p>　　告！D1SK KILLER

49、 ll1在工作，不要關閉電源或取出磁盤），改寫硬盤數(shù)據(jù)。被D1SK KILLER破壞的硬盤可以用殺毒軟件修復，不要輕易放棄。</p><p>　?。?）占用磁盤空間和對信息的破壞</p><p>　　寄生在磁盤上的病毒總要非法占用一部分磁盤空間。</p><p>　　引導型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導扇區(qū)，而把原來的引導區(qū)轉移到其他扇區(qū)，也就是引導型

50、病毒要覆蓋一個磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復。</p><p>　　文件型病毒利用一些DOS功能進行傳染，這些DOS功能能夠檢測出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間。一些文件型病毒傳染速度很快，在短時間內(nèi)感染大量文件，每個文件都不同程度地加長了，就造成磁盤空間的嚴重浪費。</p><p>&

51、lt;b>　?。?）搶占系統(tǒng)資源</b></p><p>　　除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當。病毒搶占內(nèi)存，導致內(nèi)存減少，一部分軟件不能運行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運行。計算機操作系統(tǒng)的很多功能是通過中斷調用技術來實現(xiàn)的。病毒為了傳染激發(fā)，總是修改一些有關的

52、中斷地址，在正常中斷過程中加入病毒的“私貨”，從而干擾了系統(tǒng)的正常運行。</p><p>　?。?）影響計算機運行速度</p><p>　　病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影響計算機速度，主要表現(xiàn)在：</p><p>　　病毒為了判斷傳染激發(fā)條件，總要對計算機的工作狀態(tài)進行監(jiān)視，這相對于計算機的正常運行狀態(tài)既多余又有害。</p><p>　

53、　有些病毒為了保護自己，不但對磁盤上的靜態(tài)病毒加密，而且進駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時要運行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行；而病毒運行結束時再用一段程序對病毒重新加密。這樣CPU額外執(zhí)行數(shù)千條以至上萬條指令。</p><p>　　病毒在進行傳染時同樣要插入非法的額外操作，特別是傳染軟盤時不但計算機速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。<

54、;/p><p>　?。?）計算機病毒錯誤與不可預見的危害</p><p>　　計算機病毒與其他計算機軟件的一大差別是病毒的無責任性。編制一個完善的計算機軟件需要耗費大量的人力、物力，經(jīng)過長時間調試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計算機病毒都是個別人在一臺計算機上匆匆編制調試后就向外拋出。反病毒專家在分析大量病毒后發(fā)現(xiàn)絕大部分病毒都存在</p&g

55、t;<p><b>　　不同程度的錯誤。</b></p><p>　　錯誤病毒的另一個主要來源是變種病毒。有些初學計算機者尚不具備獨立編制軟件的能力，出于好奇或其他原因修改別人的病毒，造成錯誤。</p><p>　　計算機病毒錯誤所產(chǎn)生的后果往往是不可預見的，反病毒工作者曾經(jīng)詳細指出黑色星期五病毒存在9處錯誤，乒乓病毒有5處錯誤等。但是人們不可能花費大量

56、時間去分析數(shù)萬種病毒的錯誤所在。大量含有未知錯誤的病毒擴散傳播，其后果是難以預料的。</p><p>　?。?）計算機病毒的兼容性對系統(tǒng)運行的影響</p><p>　　兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環(huán)境下運行，反之兼容性差的軟件則對運行條件“挑肥揀瘦”，要求機型和操作系統(tǒng)版本等。病毒的</p><p>　　編制者一般不會在各種計算機

57、環(huán)境下對病毒進行測試，因此病毒的兼容性較差，常常導致</p><p><b>　　死機。</b></p><p>　　（7）計算機病毒給用戶造成嚴重的心理壓力</p><p>　　據(jù)有關計算機銷售部門統(tǒng)計，計算機售后用戶懷疑“計算機有病毒”而提出咨詢約占售后服務工作量的60％以上。經(jīng)檢測確實存在病毒的約占70％，另有30％情況只是用戶懷疑，而實

58、際上計算機并沒有病毒。那么用戶懷疑病毒的理由是什么呢？多半是出現(xiàn)諸如計算機死機、軟件運行異常等現(xiàn)象。這些現(xiàn)象確實很有可能是計算機病毒造成的。但又不全是，實際上在計算機工作“異常”的時候很難要求一位普通用戶去準確判斷是否是病毒所為。大多數(shù)用戶對病毒采取寧可信其有的態(tài)度，這對于保護計算機安全無疑是十分必要的，然而往往要付出時間、金錢等方面的代價。僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補。不僅是個人單機用戶，在一些大型網(wǎng)絡系統(tǒng)中也

59、難免為甄別病毒而停機?？傊嬎銠C病毒像“幽靈”一樣籠罩在廣大計算機用戶心頭，給人們造成巨大的心理壓力，極大地影響</p><p>　　了現(xiàn)代計算機的使用效率，由此帶來的無形損失是難以估量的。</p><p>　　2.2計算機病毒的自我保護手段</p><p>　　（1）掩蓋技術：不斷修改標志、傳染方式、表現(xiàn)方式：</p><p>　　不通過傳

60、統(tǒng)的方式，如以熱鍵激活取代中斷激活方式 Alabama病毒可攔截INT 9，若發(fā)現(xiàn)用戶使用熱啟動時，則調用其內(nèi)部的Bootstrap子程序啟動計算機，是自己繼續(xù)潛伏在內(nèi)存。 </p><p>　　避開中斷請求而直接調用中斷服務過程 。</p><p>　　用中斷請求INT 27H或INT31H來合法獲取內(nèi)存 。</p><p>　　不將非法占用的區(qū)域標為壞簇，而標為

61、已分配的簇 。</p><p><b>　?。?）造假技術 </b></p><p>　　修改文件長度：如Zero Bug病毒 。</p><p><b>　?。?）加密技術</b></p><p>　　對病毒源碼加密：1701</p><p>　　1206病毒利用自身修改

62、技術，每次傳然后都有變化。</p><p><b>　　（4）自滅技術</b></p><p>　　Yankee Doodle病毒駐留內(nèi)存后，若發(fā)現(xiàn)被傳染的文件有被分析的可能，則用Debug調被傳染的文件用Q命令刪除。</p><p><b>　?。?）嵌入技術 </b></p><p>　　拼接

63、，成為合法程序的一部分，得到系統(tǒng)的認可 </p><p>　　例：EDDIE病毒將自己隱藏在操作系統(tǒng)中，隨操作系統(tǒng)啟動按隨機格式復制成其他的程序。 </p><p>　?。?）反動態(tài)跟蹤技術 Pakistani病毒駐留內(nèi)存后，可通過INT 13H監(jiān)視用戶讀取引導扇區(qū)的操作，當用戶用debug讀取0邏輯扇區(qū)時，病毒將存于它處的引導扇區(qū)顯示出來。</p><p>　　2

64、.3如何識別計算機病毒</p><p>　　很多時候大家已經(jīng)用殺毒軟件查出了自己的機子中了例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等這些一串英文還帶數(shù)字的病毒名，這時有些人就懵了，那么長一串的名字，我怎么知道是什么病毒??？</p><p>　　其實只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些公有

65、的特性了?！　∈澜缟夏敲炊嗟牟《?，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的?！　∫话愀袷綖椋?lt;病毒前綴>.<病毒名>.<病毒后綴>?！　〔《厩熬Y是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Wo

66、rm等等還有其他的?！　〔《久侵敢粋€病毒的家族特征，是用來區(qū)別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“Sasser”?！　〔《竞缶Y是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（

67、也表明該病毒生命力頑強“_”），可以采用數(shù)字與字母混合表示</p><p>　　2.4計算機病毒的攻擊技術分析</p><p>　　實施計算機病毒入侵的核心技術是解決病毒的有效注入。其攻擊目標是對方的各種系統(tǒng)，以及從計算機主機到各式各樣的傳感器、網(wǎng)橋等，以使他們的計算機在關鍵時刻受到誘騙或崩潰，無法發(fā)揮作用。從國外技術研究現(xiàn)狀來看，病毒注入方法主要有以下幾種：</p><

68、;p>　　2.4.1無線電方式</p><p>　　主要是通過無線電把病毒碼發(fā)射到對方電子系統(tǒng)中。此方式是計算機病毒注入的最佳方式，同時技術難度也最大?？赡艿耐緩接校?#160;（1）直接向對方電子系統(tǒng)的無線電接收器或設備發(fā)射，使接收器對其進行處理并把病毒傳染到目標機上。 （2）冒充合法無線傳輸數(shù)據(jù)。根據(jù)得到的或使用標準的無線電傳輸協(xié)議和數(shù)據(jù)格式，發(fā)射病毒碼，使之能夠混在合法傳輸信號中，進入接收器，進

69、而進入信息網(wǎng)絡。 （3）尋找對方信息系統(tǒng)保護最差的地方進行病毒注放。通過對方未保護的數(shù)據(jù)鏈路，將病毒傳染到被保護的鏈路或目標中。 </p><p>　　2.4.2“固化”式方法</p><p>　　即把病毒事先存放在硬件（如芯片）和軟件中，然后把此硬件和軟件直接或間接交付給對方，使病毒直接傳染給對方電子系統(tǒng)，在需要時將其激活，達到攻擊目的。這種攻擊方法十分隱蔽，即使芯片或組件

70、被徹底檢查，也很難保證其沒有其他特殊功能。目前，我國很多計算機組件依賴進口，因此，很容易受到芯片的攻擊。 </p><p>　　2.4.3后門攻擊方式 </p><p>　　后門，是計算機安全系統(tǒng)中的一個小洞，由軟件設計師或維護人發(fā)明，允許知道其存在的人繞過正常安全防護措施進入系統(tǒng)。攻擊后門的形式有許多種，如控制電磁脈沖可將病毒注入目標系統(tǒng)。計算機入侵者就常通過后門進行攻擊，如目前普遍使用

71、的WINDOWS98，就存在這樣的后門。</p><p>　　2.4.4、數(shù)據(jù)控制鏈侵入方式</p><p>　　隨著因特網(wǎng)技術的廣泛應用，使計算機病毒通過計算機系統(tǒng)的數(shù)據(jù)控制鏈侵入成為可能。使用遠程修改技術，可以很容易地改變數(shù)據(jù)控制鏈的正常路徑。</p><p><b>　　2.5異常處理</b></p><p>　　

72、病毒在運行過程中，由于環(huán)境的變化、程序設計上的失誤等原因，有時候輕則彈出提示窗口，重則會導致程序、甚至系統(tǒng)崩潰。為禮物被發(fā)現(xiàn)，異常處理也經(jīng)常用在計算機病毒中。</p><p>　　2.5.1異常處理的方式</p><p>　　Windows下異常處理有兩種方式：篩選器異常處理和SHE異常處理。</p><p>　　篩選器異常處理的方式有程序指定一個異常處理回調函數(shù)，

73、當發(fā)生異常的時候，Windows系統(tǒng)將調用這個回調函數(shù)并根據(jù)回調函數(shù)的返回值決定下一步如何操作。于一個進程來說，只有一個篩選器回調函數(shù)。很明顯，這種異常處理方式不便于模塊的封裝：由于篩選器回調函數(shù)是基于整個進程的，無法為一個線程或子程序單獨設置一個異常處理回調函數(shù)，這樣就無法將私有處理代碼封裝進某個模塊中。</p><p>　　SHE（“Structured Esception Handling”）,即結構化異常

74、處理，是操作系統(tǒng)提供給程序設計者的強有力處理程序錯誤或異常的武器。篩選器異常處理和SHE異常處理都是以回調函數(shù)的方式提供的：另外，系統(tǒng)都會根據(jù)回調函數(shù)的返回值選擇不同的操作。但它們之間也有如下區(qū)別</p><p>　?。?）SHE可以為每個線程設置不同的異常處理程序，而且可以為每個線程設置多個異常處理程序</p><p>　?。?）兩者的回調函數(shù)的參數(shù)定義和返回值的定義不一樣</p&

75、gt;<p>　?。?）SHE使用了與硬件相關的數(shù)據(jù)指針，所以在不同的硬件平臺中使用SHE的方法會有所不同</p><p>　　2.5.2異常處理的過程</p><p>　　當系統(tǒng)遇到一個它不知道如何處理的宜昌時，它就查找異常處理鏈表。當一個異常發(fā)生時，操作系統(tǒng)要向引起異常的線程的堆棧里壓入3個結構，分別是EXCEPTION_RECORD、EXCEPTION_POINTERS

76、、CONTEXT。EXCEPTION_RECORD結構包含有關已發(fā)生的獨立與CPU的信息，CONTEXT結構包含已發(fā)生異常的依賴與CPU信息，EXCEPTION_POINTERS結構只有兩個指正數(shù)據(jù)成員，分別指向被壓入棧的EXCEPTION_RECORD和CONTEXT結構，CONTEXT結構包含了特定處理的寄存處器數(shù)據(jù)，系統(tǒng)使用該結構執(zhí)行各種內(nèi)部操作。CONTEXT結構非常重要，程序通過修改結構中的成員，改變了線程的運行環(huán)境，從而達到

77、反跟蹤的目的，從原程序的任意Eip制定位置開始執(zhí)行。第三章幾種常見病毒的識別和防范</p><p>　　3．1如何防止病毒感染</p><p>　　使用經(jīng)過更新的反病毒程序掃描您的計算機。從Microsoft Web 站點安裝最新的安全修補程序。　　重新安裝反病毒程序（如果它已停止工作）。</p><p>　　從反病毒供應商的 W

78、eb 站點獲取最新的“件病毒簽名文”。對于每種新病毒，反病毒供應商都會發(fā)布更新來對付新病毒?！　⒊《竞?，請再次掃描您的計算機以確保完全殺除病毒?！　“才欧床《境绦蛟谀X期間檢查系統(tǒng)?！　∪绻韵乱粋€或多個條件為真，則您可能必須格式化計算機硬盤，并重新安裝 Windows 以及您的所有計算機程序：　　反病毒軟件顯示一條無法修復或殺除病毒的消息?！　〔《緭p壞或刪除了計算機上的一些重要文件。如果&

79、#160;Windows 或某些程序無法啟動，或在啟動時出現(xiàn)表明文件損壞或丟失的錯誤信息，則可能屬于這種情況　　即使在您清理工作站之后，本文描述的癥狀依然存在，并且您能肯定問題是由病毒引起的?！　〈_保在您的計算機上安裝了防火墻。有關安全性和防火墻的詳細信息，請訪問Microsoft Web 站點：　　對于基于 Windows XP的計算機，請打開 Internet連接防火

80、墻 (ICF)?！　τ谒衅渌姹镜?#160;Windows，請安裝密集架第三方防火墻?！　〈_保安裝了 Microsoft Outlook電子郵件安全更新：　　默認情況下，Outlook 2000 S</p><p>　　3．2計算機病毒的技術預防措施</p><p>　　下面總結出一系列行之有效的措施供參考?！　。?）新購置的

81、計算機硬軟件系統(tǒng)的測試　　新購置的計算機是有可能攜帶計算機病毒的。因此，在條件許可的情況下，要用檢測計算機病毒軟件檢查已知計算機病毒，用人工檢測方法檢查未知計算機病毒，并經(jīng)過證實沒有計算機病毒感染和破壞跡象后下面總結出一系列行之有效的措施供參考。</p><p>　?。?）新購置的計算機硬軟件系統(tǒng)的測試新購置的計算機是有可能攜帶計算機病毒的。因此，在條件許可的情況下，要用</p><p&

82、gt;　　檢測計算機病毒軟件檢查已知計算機病毒，用人工檢測方再使用</p><p>　　新購置計算機的硬盤可以進行檢測或 進行低級格式化來確保沒有計算機病毒存在。對硬盤只在DOS下做FORMAT格式化是不能去除主引導區(qū)（分區(qū)表）計算機病毒的。軟盤在DOS下做FORMAT格式化可以去除感染的計算機病毒?！　⌒沦徶玫挠嬎銠C軟件也要進行計算機病毒檢測。有些軟件廠商發(fā)售的軟件，可能無意中已被計算機病毒感染。就算是正版軟

83、件也難保證沒有攜帶計算機病毒的可能性，更不要說盜版軟件了。這在國內(nèi)、外都是有實例的。這時不僅要用殺毒軟件查找已知的計算機病毒，還要用人工檢測和實驗的方法檢測?！　。?）計算機系統(tǒng)的啟動　　在保證硬盤無計算機病毒的情況下，盡量使用硬盤引導系統(tǒng)。啟動前，一般應將軟盤從軟盤驅動器中取出。這是因為即使在不通過軟盤啟動的情況下，只要軟盤在啟動時被讀過，計算機病毒仍然會進入內(nèi)存進行傳染。很多計算機中，可以通過設置CMOS參數(shù)，使啟動時直接從硬盤

84、引導啟動，而根本不去讀軟盤。這樣即使軟盤驅動器中插著軟盤，啟動時也會跳過軟驅，嘗試由硬盤進行引導。很多人認為，軟盤上如果沒有COMMAND.COM等系統(tǒng)啟動文件，就不會帶計算機病毒，其實引導型計算機病毒根本不需要這些系統(tǒng)文件就能進行</p><p>　?。?）單臺計算機系統(tǒng)的安全使用　　在自己的機器上用別人的軟盤前應進行檢查。在別人的計算機上使用過自己的已打開了寫保護的軟盤，再在自己的計算機上使用前，也應進行計

85、算機病毒檢測。對重點保護的計算機系統(tǒng)應做到專機、專盤、專人、專用，封閉的使用環(huán)境中是不會自然產(chǎn)生計算機病毒的?！。?）重要數(shù)據(jù)文件要有備份　　硬盤分區(qū)表、引導扇區(qū)等的關鍵數(shù)據(jù)應作備份工作，并妥善保管。在進行系統(tǒng)維護和修復工作時可作為參考?！　≈匾獢?shù)據(jù)文件定期進行備份工作。不要等到由于計算機病毒破壞、計算機硬件或軟件出現(xiàn)故障，使用戶數(shù)據(jù)受到損傷時再去急救?！　τ谲洷P，要盡可能將數(shù)據(jù)和應用程序分別保存，裝應用程序的軟盤要有寫保護。

86、　　在任何情況下，總應保留一張寫保護的、無計算機病毒的、帶有常用DOS命令文件的系統(tǒng)啟動軟盤，用以清除計算機病毒和維護系統(tǒng)。常用的DOS應用程序也有副本，計算機修復工作就比較容易進行了?！。?）不要隨便直接運行或直接打開電子郵件中夾帶的附件文件，不要隨意下載軟件，尤其是一些可執(zhí)行文件和Office文檔。即使下載了，也要先用最新的防殺計算機病毒軟件來檢查?！。?）計算機網(wǎng)絡的安全使用　　以</p><p>

87、　　而對于網(wǎng)絡計算機系統(tǒng)，還應采取下列針對網(wǎng)絡的防殺計算機病毒措施： a安裝網(wǎng)絡服務器時應，應保證沒有計算機病毒存在，即安裝環(huán)境和網(wǎng)絡操作系統(tǒng)本身沒有感染計算機病毒。</p><p>　　b在安裝網(wǎng)絡服務器時，應將文件系統(tǒng)劃分成多個文件卷系統(tǒng)，至少劃分成操作系統(tǒng)卷、共享的應用程序卷和各個網(wǎng)絡用戶可以獨占的用戶數(shù)據(jù)卷。這種劃

88、分十分有利于維護網(wǎng)絡服務器的安全穩(wěn)定運行和用戶數(shù)據(jù)的安全。如果系統(tǒng)卷受到某種損傷，導致服務器癱瘓，那么通過重裝系統(tǒng)卷，恢復網(wǎng)絡操作系統(tǒng)，就可以使服務器又馬上投入運行。而裝在共享的應用程序卷和用戶卷內(nèi)的程序和數(shù)據(jù)文件不會受到任何損傷。如果用戶卷內(nèi)由于計算機病毒或由于使用上的原因導致存儲空間擁塞時，系統(tǒng)卷是不受影響的，不會導致網(wǎng)絡系統(tǒng)運行失常。并且這種劃分十分有利于系統(tǒng)管理員設置網(wǎng)絡安全存取權限，保證網(wǎng)絡系統(tǒng)不受計算機病毒感染和破壞。&l

89、t;/p><p>　　c一定要用硬盤啟動網(wǎng)絡服務器，否則在受到引導型計算機病毒感染和破壞后，遭受損失的將不是一個人的機器，而會影響到整個網(wǎng)絡的中樞?！　為各個卷分配不同的用戶權限。將操作系統(tǒng)卷設置成對一般用戶為只讀權限，屏蔽其它網(wǎng)絡用戶對系統(tǒng)卷除讀和執(zhí)行以外的所有其它操作，如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權限。應用程序卷也應設置成對一般用戶是只讀權限的，不經(jīng)授權、不經(jīng)計算機病毒檢測，就不允許在共享的應用

90、程序卷中安裝程序。保證除系統(tǒng)管理員外，其它網(wǎng)絡用戶不可能將計算機病毒感染到系統(tǒng)中，使網(wǎng)絡用戶總有一個安全的聯(lián)網(wǎng)工作環(huán)境?！　在網(wǎng)絡服務器上必須安裝真正有效的防殺計算機病毒軟件，并經(jīng)常進行升級。必要的時候還可以在網(wǎng)關、路由器上安裝計算機病毒防火墻產(chǎn)品，從網(wǎng)絡出入口保護整個網(wǎng)絡不受計算機病毒的侵害。在網(wǎng)絡工作站上采取必要的防殺計算機病毒措施，可使用戶不必擔心來自網(wǎng)絡內(nèi)和網(wǎng)絡工作站本身的計算機病毒侵害。</p><p&

91、gt;　　3．3 引導型計算機病毒的識別和防范</p><p>　　引導型計算機病毒主要是感染磁盤的引導扇區(qū)，也就是常說的磁盤的BOOT區(qū)。我們在使用被感染的磁盤（無論是軟盤還是硬盤）啟動計算機時它們就會首先取得系統(tǒng)控制權，駐留內(nèi)存之后再引導系統(tǒng)，并伺機傳染其它軟盤或硬盤的引導區(qū)。純粹的引導型計算機病毒一般不對磁盤文件進行感染。感染了引導型計算機病毒后，引導記錄會發(fā)生變化。當然，通過一些防殺計算機病毒軟件可以發(fā)現(xiàn)

92、引導型計算機病毒，在沒有防殺計算機病毒軟件的情況下可以通過以下一些方法判斷引導扇區(qū)是否被計算機病毒感染：</p><p>　　(1)先用可疑磁盤引導計算機，引導過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅動程序和應用程序的加載，這時用MEM或MI等工具查看計算機的空余內(nèi)存空間（Free Memory Space）的大??；再用與可疑磁盤上相同版本的、未感染計算機病毒的DOS系統(tǒng)軟盤啟動計

93、算機，啟動過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅動程序和應用程序的加載，然后用MEM或MI等工具查看并記錄下計算機空余內(nèi)存空間的大小，如果上述兩次的空余內(nèi)存空間大小不一致，則可疑磁盤的引導扇區(qū)肯定已被引導型計算機病毒感染。 (2)用硬盤引導計算機，運行DOS中的MEM，可以查看內(nèi)存分配情況，尤其要注意常規(guī)內(nèi)存（Conventional Memory）的總數(shù)，一般為640Kb字節(jié)，裝有硬件防殺計算

94、機病毒芯片的計算機有的可能為639Kb字節(jié)。如果常規(guī)內(nèi)存總數(shù)小于639Kb字節(jié)，那么引導扇區(qū)肯定被感染上引導型計算機病毒。 (3)機器在運行過程中剛設定好的時間、日期，運行一會兒被修改為缺省的時間、日期，這種情況下，系統(tǒng)很可能帶有引導型計算機病毒?！?(4)</p><p>　　軟盤則無法讀取，此時CMOS中軟盤設定情況為None，這種情況肯定帶有引導型計算機病毒?！　?5)硬盤自引導正常，但用“干

95、凈的”DOS系統(tǒng)軟盤引導時，無法訪問硬盤如C：盤（某些需要特殊的驅動程序的大硬盤和FAT32、NTFS等特殊分區(qū)除外），這肯定感染上引導型計算機病毒。　 (6)系統(tǒng)文件都正常，但Windows 95/98經(jīng)常無法啟動，這有可能是感染上了引導型計算機病毒。上述介紹的僅是常見的幾種情況。計算機被感染了引導型計算機病毒，最好用防殺計算機病毒軟件加以清除，或者在“干凈的”系統(tǒng)啟動軟盤引導下，用備份的引導扇區(qū)覆蓋。預防引導型計算機病毒，通

96、常采用以下一些方法：　?。?) 堅持從不帶計算機病毒的硬盤引導系統(tǒng)?！　。?) 安裝能夠實時監(jiān)控引導扇區(qū)的防殺計算機病毒軟件，或經(jīng)常用能夠查殺引導型計算機病毒的防殺計算機病毒軟件進行檢查?！　。?) 經(jīng)常備份系統(tǒng)引導扇區(qū)。 （4) 某些底板上提供引導扇區(qū)計算機病毒保護功能（Virus Protect），啟用它對系統(tǒng)引導扇區(qū)也有一定的保護作用。不過要注意的是啟用這功能可能會造成一些需要改寫引導扇區(qū)的軟件（如Windows&l

97、t;/p><p>　　3．4 文件型計算機病毒的識別和防范</p><p>　　大多數(shù)的計算機病毒都屬于文件型計算機病毒。文件型計算機病毒一般只傳染磁盤上的可執(zhí)行文件（COM，EXE），在用戶調用染毒的可執(zhí)行文件時，計算機病毒首先被運行，然后計算機病毒駐留內(nèi)存伺機傳染其他文件，其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。文件型計算機病毒通過修改COM、EXE或OVL等文件的結構，

98、將計算機病毒代碼插入到宿主程序，文件被感染后，長度、日期和時間等大多發(fā)生變化，也有些文件型計算機病毒傳染前后文件長度、日期、時間不會發(fā)生任何變化，稱之為隱型計算機病毒。隱型計算機病毒是在傳染后對感染文件進行數(shù)據(jù)壓縮，或利用可執(zhí)行文件中有一些空的數(shù)據(jù)區(qū)，將自身分解在這些空區(qū)中，從而達到不被發(fā)現(xiàn)的目的。通過以下方法可以判別文件型計算機病毒： (1)在用未感染計算機病毒的DOS啟動軟盤引導后，對同一目錄列目錄（DIR）后文件的總長度與

99、通過硬盤啟動后所列目錄內(nèi)文件總長度不一樣，則該目錄下的某些文件已被計算機病毒感染，因為在帶毒環(huán)境下，文件的長度往往是不真實的。　　(2)有些文件型計算機病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同時也感染系統(tǒng)的引</p><p>　　3．5 宏病毒的識別和防范</p><p>　　宏病毒（Macro Virus）傳播依賴于包括Word、Excel和Power

100、Point等應用程序在內(nèi)的Office套裝軟件，只要使用這些應用程序的計算機就都有可能傳染上宏病毒，并且大多數(shù)宏病毒都有發(fā)作日期。輕則影響正常工作，重則破壞硬盤信息，甚至格式化硬盤，危害極大。目前宏病毒在國內(nèi)流行甚廣，已成為計算機病毒的主流，因此用戶應時刻加以防范?！　⊥ㄟ^以下方法可以判別宏病毒：　 (1)在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、Auto

101、Close等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如A AAZAO、PayLoad等，就極可能是感染了宏病毒了，因為Normal模板中是不包含這些宏的。 (2)在使用的Word“工具”菜單中看不到“宏”這個字，或看到“宏”但光標移到“宏”，鼠標點擊無反應，這種情況肯定有宏病毒。 (3)打開一個文檔，不進行任何操作，退出Word，如提示存盤，這極可能是Word中的Nor

102、mal.dot模板中帶宏病毒。 (4</p><p>　　風靡全球的“美麗莎”（Melissa）、Papa和HAPPY99等計算機病毒正是通過電子郵件的方式進行傳播、擴散，其結果導致郵件服務器癱瘓，用戶信息和重要文檔泄密，無法收發(fā)E-mail，給個人、企業(yè)和政府部門造成嚴重的損失。為此有必要介紹一下電子郵件計算機病毒?！　‰娮余]件計算機病毒實際上并不是一類單獨的計算機病毒，嚴格來說它應該劃入到文件型計算機

103、病毒及宏病毒中去，只不過由于這些計算機病毒采用了獨特的電子郵件傳播方式（其中不少種類還專門針對電子郵件的傳播方式進行了優(yōu)化），因此我們習慣于稱將它們?yōu)殡娮余]件計算機病毒。　　所謂電子郵件計算機病毒就是以電子郵件作為傳播途徑的計算機病毒，實際上該類計算機病毒和普通的計算機病毒一樣，只不過是傳播方式改變而已。該類計算機病毒的特點：　　(1)電子郵件本身是無毒的，但它的內(nèi)容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當

104、用Unix智能終端上網(wǎng)查看電子郵件時，有被侵入的可能。 (2)電子郵件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計算機病毒。　　(3)利用某些電子郵件收發(fā)器特有的擴充功</p><p>　　病毒程序的種類繁多，發(fā)展和傳播迅速，感染形式多樣，危害極大，但還是可以預防和滅殺的。只要我們增強計算機和計算機網(wǎng)絡的安全意識，采取有效的防殺措施，隨時注意工作中計算機的運行情況，發(fā)現(xiàn)異常

105、及時處理，就可以大大減少病毒的危害，計算機病毒及其防御措施都是在不停的發(fā)展和更新的，因此我們應該做到認識病毒，了解病毒，及早發(fā)現(xiàn)病毒并采取相應的措施從而確保我們的計算機能安全工作。建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開，并盡快刪除，不要上一些不太了解的網(wǎng)站，尤其是那些誘人名稱的網(wǎng)頁，更不要輕易打開，不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習慣會使您的計算機更安全。</p>&l