計(jì)算機(jī)病毒與防治畢業(yè)論文

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　題 目 計(jì)算機(jī)病毒與防治 </p><p>　　系 別： 軟件工程分院 </p><p>　　專(zhuān) 業(yè)： 計(jì)算機(jī)應(yīng)用技術(shù) </p><p>　　學(xué) 號(hào)： </p>

2、<p>　　姓 名： </p><p>　　指導(dǎo)老師： </p><p><b>　　計(jì)算機(jī)病毒與防治</b></p><p>　　第一章：計(jì)算機(jī)病毒的概述</p><p>　　1.1計(jì)算機(jī)病毒的定義</p><p>　　計(jì)算

3、機(jī)病毒（Computer Virus）在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自</p><p>　　我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。與醫(yī)學(xué)上的“病毒”不同，計(jì)算機(jī)病毒不是天然存在的，是某些人利用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過(guò)某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)（或程序）里，

4、當(dāng)達(dá)到某種條件時(shí)即被激活，通過(guò)修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞，所謂的病毒就是人為造成的，對(duì)其他用戶的危害性很大！</p><p>　　1.2計(jì)算機(jī)病毒的歷史</p><p>　　●1994年 全球計(jì)算機(jī)反病毒研究中心大廈建成 </p><p>　　●1995年 全球計(jì)算機(jī)反病毒研究中心成立于

5、美國(guó)紐約 </p><p>　　●1996年 第一任主席由比爾·蓋茨擔(dān)任 </p><p>　　●1997年 研究中心有效控制了CIH宏病毒的大規(guī)模爆發(fā) </p><p>　　●1998年 積極研究各種計(jì)算機(jī)病毒 </p><p>　　●1999年 在去年的努力下病毒爆發(fā)率明顯降低 </p><p>　　●2

6、000年 千年蟲(chóng)病毒迅速占領(lǐng)整個(gè)互聯(lián)網(wǎng) </p><p>　　●2001年 經(jīng)過(guò)一年的不懈研究研究“千年蟲(chóng)克星” </p><p>　　●2002年 AUTO病毒突然在同一時(shí)間攻擊了世界各國(guó)大型公司損失達(dá)到上億美圓 </p><p>　　●2003年 AUTO病毒經(jīng)過(guò)不斷變種、更新、升級(jí)有明顯擴(kuò)散的趨勢(shì)，直到年底被完全克制住 </p><p>

7、;　　●2004年 威金病毒一個(gè)新型的儒蟲(chóng)病毒在全球范圍爆發(fā)，目前沒(méi)有任何有效的方法可以阻止其爆發(fā) </p><p>　　●2005年 內(nèi)部增加了技術(shù)人員，同年消滅了灰鴿子、黑蝴蝶及威金病毒 </p><p>　　●2006年 針對(duì)亞洲大規(guī)模的爆發(fā)名叫“熊貓燒香”專(zhuān)門(mén)制作出了專(zhuān)殺工具 </p><p>　　●2007年 陳風(fēng)升任全球計(jì)算機(jī)病毒研究中心首席技術(shù)顧問(wèn)&l

8、t;/p><p>　　1.3計(jì)算機(jī)病毒的起源</p><p>　　最早由馮·諾伊曼提出一種可能性----現(xiàn)在稱為病毒，但沒(méi)引起注意. 1975 年，美國(guó)科普作家約翰·布魯勒爾 (JOHN BRUNNER) 寫(xiě)了本名為《震蕩波騎士》(SHOCK WAVE RIDER) 的書(shū)，該書(shū)第一次描寫(xiě)了在信息

9、社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭(zhēng)的工具的故事，成為當(dāng)年最佳暢銷(xiāo)書(shū)之一</p><p>　　1977年夏天，托馬斯·捷·瑞安 (THOMAS.J.RYAN) 的科幻小說(shuō)《P-1的春天》(THE ADOLESCENCE OF P-1) 成為美國(guó)的暢銷(xiāo)書(shū)，作者在這本書(shū)中描寫(xiě)了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了 7

10、，000 臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。</p><p>　　1983年11月3日，弗雷德·科恩 (FRED COHEN) 博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼 (LEN ADLEMAN) 將它命名為計(jì)算機(jī)病毒(COMPUTER VIRUSES)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，8

11、小時(shí)后專(zhuān)家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。</p><p>　　1986 年初，在巴基斯坦的拉合爾 (LAHORE)，巴錫特 (BASIT) 和阿姆杰德(AMJAD) 兩兄弟經(jīng)營(yíng)著一家 IBM-PC 機(jī)及其兼容機(jī)的小商店。他們編寫(xiě)了PAKISTAN&

12、#160;病毒，即BRAIN。在一年內(nèi)流傳到了世界各地。 1988 年 3 月 2 日，一種蘋(píng)果機(jī)的病毒發(fā)作，這天受感染的蘋(píng)果機(jī)停止工作，只顯示“向所有蘋(píng)果電腦的使用者宣布和平的信息”。以慶祝蘋(píng)果機(jī)生日。 </p><p>　　1988 年 11 月 2 日，美國(guó)六千多臺(tái)計(jì)算機(jī)被病毒感染，造成&

13、#160;INTERNET不能正常運(yùn)行。這是一次非常典型的計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，迫使美國(guó)政府立即做出反應(yīng)，國(guó)防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組。這次事件中遭受攻擊的包括5個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的 250，000 臺(tái)計(jì)算機(jī)。這次病毒事件，計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá) 9600 萬(wàn)美元。這個(gè)病毒程序設(shè)計(jì)者是羅伯特·莫里斯 (ROBERT

14、 T.MORRIS)，當(dāng)年 23 歲，是在康乃爾 (CORNELL) 大學(xué)攻讀學(xué)位的研究生。</p><p>　　羅伯特·莫里斯設(shè)計(jì)的病毒程序利用了系統(tǒng)存在的弱點(diǎn)。由于羅伯特·莫里斯成了入侵 ARPANET 網(wǎng)的最大的電子入侵者，而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計(jì)，并獲得哈佛大學(xué) AIKEN 中心超級(jí)用戶的特

15、權(quán)。他也因此被判3年緩刑，罰款1萬(wàn)美元，他還被命令進(jìn)行400 小時(shí)的社區(qū)服務(wù)。</p><p>　　1988 年底，在我國(guó)的國(guó)家統(tǒng)計(jì)部門(mén)發(fā)現(xiàn)小球病毒。</p><p>　　1.4計(jì)算機(jī)病毒的分類(lèi)</p><p>　　根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類(lèi)如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類(lèi)，計(jì)算機(jī)病毒可以根

16、據(jù)下面的屬性進(jìn)行分類(lèi)： </p><p><b>　　按病毒存在的媒體</b></p><p>　　根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計(jì)算機(jī)中的文件（如：COM，EXE，DOC等），引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤(pán)的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如

17、：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。 </p><p><b>　　按病毒傳染的方法</b></p><p>　　根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操

18、作系統(tǒng)中去，他處于激活狀態(tài)，一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過(guò)這一部分進(jìn)行傳染，這類(lèi)病毒也被劃分為非駐留型病毒。 </p><p><b>　　按病毒破壞的能力</b></p><p>　　無(wú)害型：除了傳染時(shí)減少磁盤(pán)的可用空間外，對(duì)系統(tǒng)沒(méi)有其它影響。 </p><p>

19、　　無(wú)危險(xiǎn)型：這類(lèi)病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類(lèi)音響。 </p><p>　　危險(xiǎn)型：這類(lèi)病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。 </p><p>　　非常危險(xiǎn)型：這類(lèi)病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無(wú)法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文

20、件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無(wú)害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤(pán)上很好的工作，不會(huì)造成任何破壞，但是在后來(lái)的高密度軟盤(pán)上卻能引起大量的數(shù)據(jù)丟失。 </p><p><b>　　按病毒的算法</b></p><p>　　伴隨型病毒，這一類(lèi)病毒并

21、不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫(xiě)入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的EXE文件。 </p><p>　　“蠕蟲(chóng)”型病毒，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的

22、病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。 </p><p>　　寄生型病毒除了伴隨和“蠕蟲(chóng)”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過(guò)系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。 </p><p>　　詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過(guò)設(shè)備技術(shù)

23、和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。 </p><p>　　變型病毒（又稱幽靈病毒）這一類(lèi)病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。</p><p>　　1.5計(jì)算機(jī)病毒的發(fā)展</p><p>　　在病毒的發(fā)展史上，病毒

24、的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升級(jí)后，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。它可劃分為： </p><p><b>　　DOS引導(dǎo)階段</b></p><p>　　1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少，功能簡(jiǎn)單，一般需要通過(guò)軟

25、盤(pán)啟動(dòng)后使用.引導(dǎo)型病毒利用軟盤(pán)的啟動(dòng)原理工作，它們修改系統(tǒng)啟動(dòng)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤(pán)讀寫(xiě)中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤(pán)時(shí)進(jìn)行傳播； </p><p>　　1989年，引導(dǎo)型病毒發(fā)展為可以感染硬盤(pán)，典型的代表有“石頭2”； </p><p><b>　　DOS可執(zhí)行階段</b></p><p>　　1

26、989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作，代表為“耶路撒冷”，“星期天”病毒，病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，使文件長(zhǎng)度增加。 </p><p>　　1990年，發(fā)展為復(fù)合型病毒，可感染COM和EXE文件。 </p><p><b>　　伴隨、批次型階段</b><

27、;/p><p>　　1992年，伴隨型病毒出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作，具有代表性的是“金蟬”病毒，它感染EXE文件時(shí)生成一個(gè)和EXE同名但擴(kuò)展名為COM的伴隨體；它感染文件時(shí),改原來(lái)的COM文件為同名的EXE文件，再產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM，這樣，在DOS加載文件時(shí)，病毒就取得控制權(quán).這類(lèi)病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容，日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可。在非DOS操作

28、系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作，具有典型代表的是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問(wèn)用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類(lèi)似的一類(lèi)病毒。 </p><p><b>　　幽靈、多形階段</b></p><p>　　1994年，隨著匯編語(yǔ)言的發(fā)展，實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成，這些方式

29、的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類(lèi)病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。 </p><p><b>　　生成器，變體

30、機(jī)階段</b></p><p>　　1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)的插入一些空操作和無(wú)關(guān)指令，也不影響運(yùn)算的結(jié)果，這樣，一段解碼算法就可以由生成器生成，當(dāng)生成器的生成結(jié)果為病毒時(shí)，就產(chǎn)生了這種復(fù)雜的“病毒生成器” ，而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“病毒制造機(jī)” VCL,它可以在瞬間制造出成千上萬(wàn)種不同的病毒，查

31、解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法，需要在宏觀上分析指令，解碼后查解病毒。 </p><p><b>　　網(wǎng)絡(luò)，蠕蟲(chóng)階段</b></p><p>　　1995年，隨著網(wǎng)絡(luò)的普及，病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的改進(jìn).在非DOS操作系統(tǒng)中，“蠕蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤(pán)文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，

32、有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。 </p><p><b>　　視窗階段</b></p><p>　　1996年，隨著Windows和Windows95的日益普及，利用Windows進(jìn)行工作的病毒開(kāi)始發(fā)展，它們修改（NE,PE）文件，典型的代表是DS.3873，這類(lèi)病毒的機(jī)制更為復(fù)雜，它們利用保護(hù)模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。 </p>

33、<p><b>　　宏病毒階段</b></p><p>　　1996年，隨著Windows Word功能的增強(qiáng)，使用Word宏語(yǔ)言也可以編制病毒，這種病毒使用類(lèi)Basic語(yǔ)言、編寫(xiě)容易、感染W(wǎng)ord文檔等文件，在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類(lèi)，由于Word文檔格式?jīng)]有公開(kāi)，這類(lèi)病毒查解比較困難。 </p><p><b&

34、gt;　　互聯(lián)網(wǎng)階段</b></p><p>　　1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多，如果不小心打開(kāi)了這些郵件，機(jī)器就有可能中毒； </p><p><b>　　郵件炸彈階段</b></p><p>　　1997年，隨著萬(wàn)維網(wǎng)（Wold Wide Web）上Java的普

35、及，利用Java語(yǔ)言進(jìn)行傳播和資料獲取的病毒開(kāi)始出現(xiàn)，典型的代表是JavaSnake病毒，還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如Mail-Bomb病毒，它會(huì)嚴(yán)重影響因特網(wǎng)的效率。</p><p>　　第二章：計(jì)算機(jī)病毒的特性</p><p><b>　　1.繁殖性</b></p><p>　　計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正

36、常程序運(yùn)行的時(shí)候，它也進(jìn)行運(yùn)行自身復(fù)制，是否具有繁殖、感染的特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的首要條件。 </p><p><b>　　傳染性</b></p><p>　　計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過(guò)傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可

37、得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計(jì)算機(jī)病毒也會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱 </p><p><b>　　2.計(jì)算機(jī)網(wǎng)絡(luò)</b></p><p>　　瘓。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符合其

38、傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)電腦上迅速擴(kuò)散，計(jì)算機(jī)病毒可通過(guò)各種可能的渠道，如軟盤(pán)、硬盤(pán)、移動(dòng)硬盤(pán)、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過(guò)的軟盤(pán)已感染上了病毒，而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。 </p>

39、<p><b>　　3.潛伏性 </b></p><p>　　有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺(jué)察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開(kāi)來(lái)，對(duì)系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，因此病毒可以靜靜地躲在磁盤(pán)或磁帶里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就又要四處繁殖、擴(kuò)散

40、，繼續(xù)危害。潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤(pán)、刪除磁盤(pán)文件、對(duì)數(shù)據(jù)文件做加密、封鎖鍵盤(pán)以及使系統(tǒng)死鎖等。 </p><p><b>　　隱蔽性</b></p><p>　　計(jì)算機(jī)病毒具有很強(qiáng)的

41、隱蔽性，有的可以通過(guò)病毒軟件檢查出來(lái)，有的根本就查不出來(lái)，有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常，這類(lèi)病毒處理起來(lái)通常很困難。 </p><p><b>　　破壞性</b></p><p>　　計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。通常表現(xiàn)為：增、刪、改、移。 </p><p><b>　　可觸發(fā)性&l

42、t;/b></p><p>　　病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來(lái)控制感染和破壞動(dòng)作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類(lèi)型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)

43、制檢查預(yù)定條件是否滿足，如果滿足，啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。</p><p>　　第三章：計(jì)算機(jī)病毒的傳播方式與途徑</p><p><b>　　1.因特網(wǎng)傳播: </b></p><p>　　Internet既方便又快捷，不僅提高人們的工作效率，而且降低運(yùn)作成本，逐步被人們所接受并得到廣泛的使用。商

44、務(wù)來(lái)往的電子郵件，還有瀏覽網(wǎng)頁(yè)、下載軟件、即時(shí)通訊軟件、網(wǎng)絡(luò)游戲等等，都是通過(guò)互聯(lián)網(wǎng)這一媒介進(jìn)行。如此頻繁的使用率，注定備受病毒的“青睞”。 </p><p>　　通過(guò)電子郵件傳播: </p><p>　　在電腦和網(wǎng)絡(luò)日益普及的今天，商務(wù)聯(lián)通更多使用電子郵件傳遞，病毒也隨之找到了載體，最常見(jiàn)的是通過(guò)Internet交換Word格式的文檔。由于Internet使用的廣泛，其傳播速度相當(dāng)神速。

45、電子郵件攜帶病毒、木馬及其他惡意程序，會(huì)導(dǎo)致收件者的計(jì)算機(jī)被黑客入侵。email協(xié)議的新聞組、文件服務(wù)器、FTP下載和BBS文件區(qū)也是病毒傳播的主要形式。經(jīng)常有病毒制造者上傳帶毒文件到FTP和BBS上，通常是使用群發(fā)到不同組，很多病毒偽裝成一些軟件的新版本，甚至是殺毒軟件。很多病毒流行都是依靠這種方式同時(shí)使上千臺(tái)計(jì)算機(jī)染毒。 </p><p>　　BBS是由計(jì)算機(jī)愛(ài)好者自發(fā)組織的通訊站點(diǎn)，因?yàn)樯险救菀?、投資少，因

46、此深受大眾用戶的喜愛(ài)，用戶可以在BBS上進(jìn)行文件交換(包括自由軟件、游戲、自編程序)。由于BBS站一般沒(méi)有嚴(yán)格的安全管理，亦無(wú)任何限制，這樣就給一些病毒程序編寫(xiě)者提供了傳播病毒的場(chǎng)所。各城市BBS站間通過(guò)中心站間進(jìn)行傳送，傳播面較廣。隨著B(niǎo)BS在國(guó)內(nèi)的普及，給病毒的傳播又增加了新的介質(zhì)。 </p><p>　　通過(guò)瀏覽網(wǎng)頁(yè)和下載軟件傳播: </p><p>　　很多網(wǎng)友都遇到過(guò)這樣的情況，

47、在瀏覽過(guò)某網(wǎng)頁(yè)之后，IE標(biāo)題便被修改了，并且每次打開(kāi)IE都被迫登陸某一固定網(wǎng)站，有的還被禁止恢復(fù)還原，這便是惡意代碼在作怪。當(dāng)你的IE被修改，注冊(cè)表不能打開(kāi)了，開(kāi)機(jī)后IE瘋狂地打開(kāi)窗口，被強(qiáng)制安裝了一些不想安裝的軟件，甚至可能當(dāng)你訪問(wèn)了某個(gè)網(wǎng)頁(yè)時(shí)，而自己的硬盤(pán)卻被格式化……那么很不幸，你肯定是中了惡意網(wǎng)站或惡意軟件的毒了。 </p><p>　　通過(guò)即時(shí)通訊軟件傳播: </p><p>　

48、　即時(shí)通訊(Instant Messenger，簡(jiǎn)稱IM)軟件可以說(shuō)是目前我國(guó)上網(wǎng)用戶使用率最高的軟件，它已經(jīng)從原來(lái)純娛樂(lè)休閑工具變成生活工作的必備利器。由于用戶數(shù)量眾多，再加上即時(shí)通訊軟件本身的安全缺陷，例如內(nèi)建有聯(lián)系人清單，使得病毒可以方便地獲取傳播目標(biāo)，這些特性都能被病毒利用來(lái)傳播自身，導(dǎo)致其成為病毒的攻擊目標(biāo)。事實(shí)上，臭名昭著、造成上百億美元損失的求職信(Worm.Klez)病毒就是第一個(gè)可以通過(guò)ICQ進(jìn)行傳播的惡性蠕蟲(chóng)，它可以

49、遍歷本地ICQ中的聯(lián)絡(luò)人清單來(lái)傳播自身。而更多的對(duì)即時(shí)通訊軟件形成安全隱患的病毒還正在陸續(xù)發(fā)現(xiàn)中，并有愈演愈烈的態(tài)勢(shì)。截至目前，通過(guò)QQ來(lái)進(jìn)行傳播的病毒已達(dá)上百種。 </p><p>　　P2P，即對(duì)等互聯(lián)網(wǎng)絡(luò)技術(shù)(點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)技術(shù))，它讓用戶可以直接連接到其它用戶的計(jì)算機(jī)，進(jìn)行文件共享與交換。每天全球有成千上萬(wàn)的網(wǎng)民在通過(guò)P2P軟件交換資源、共享文件。由于這是一種新興的技術(shù)，還很不完善，因此，存在著很大的安全隱患

50、。由于不經(jīng)過(guò)中繼服務(wù)器，使用起來(lái)更加隨意，所以許多病毒制造者開(kāi)始編寫(xiě)依賴于P2P技術(shù)的病毒。 </p><p>　　通過(guò)網(wǎng)絡(luò)游戲傳播: </p><p>　　網(wǎng)絡(luò)游戲已經(jīng)成為目前網(wǎng)絡(luò)活動(dòng)的主體之一，更多的人選擇進(jìn)入游戲來(lái)緩解生活的壓力，實(shí)現(xiàn)自我價(jià)值，可以說(shuō)，網(wǎng)絡(luò)游戲已經(jīng)成了一部分人生活中不可或缺的東西。對(duì)于游戲玩家來(lái)說(shuō)，網(wǎng)絡(luò)游戲中最重要的就是裝備、道具這類(lèi)虛擬物品了，這類(lèi)虛擬物品會(huì)隨著時(shí)間

51、的積累而成為一種有真實(shí)價(jià)值的東西，因此出現(xiàn)了針對(duì)這些虛擬物品的交易，從而出現(xiàn)了偷盜虛擬物品的現(xiàn)象。一些用戶要想非法得到用戶的虛擬物品，就必須得到用戶的游戲帳號(hào)信息，因此，目前網(wǎng)絡(luò)游戲的安全問(wèn)題主要就是游戲盜號(hào)問(wèn)題。由于網(wǎng)絡(luò)游戲要通過(guò)電腦并連接到網(wǎng)絡(luò)上才能運(yùn)行，偷盜玩家游戲賬號(hào)、密碼最行之有效的武器莫過(guò)于特洛伊木馬(Trojan horse)，專(zhuān)門(mén)偷竊網(wǎng)游賬號(hào)和密碼的木馬也層出不窮，這種攻擊性武器無(wú)論是菜鳥(niǎo)級(jí)的黑客，還是研究網(wǎng)絡(luò)安全的高手

52、，都視為最?lèi)?ài)。 </p><p><b>　　2.局域網(wǎng)傳播 </b></p><p>　　局域網(wǎng)是由相互連接的一組計(jì)算機(jī)組成的，這是數(shù)據(jù)共享和相互協(xié)作的需要。組成網(wǎng)絡(luò)的每一臺(tái)計(jì)算機(jī)都能連接到其他計(jì)算機(jī)，數(shù)據(jù)也能從一臺(tái)計(jì)算機(jī)發(fā)送到其他計(jì)算機(jī)上。如果發(fā)送的數(shù)據(jù)感染了計(jì)算機(jī)病毒，接收方的計(jì)算機(jī)將自動(dòng)被感染，因此，有可能在很短的時(shí)間內(nèi)感染整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)。局域網(wǎng)絡(luò)技術(shù)的應(yīng)

53、用為企業(yè)的發(fā)展作出巨大貢獻(xiàn)，同時(shí)也為計(jì)算機(jī)病毒的迅速傳播鋪平了道路。同時(shí)，由于系統(tǒng)漏洞所產(chǎn)生的安全隱患也會(huì)使病毒在局域網(wǎng)中傳播。 </p><p>　　3.通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備傳播 </p><p>　　此種傳播方式，是通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行病毒傳播，其中計(jì)算機(jī)的專(zhuān)用集成電路芯片(ASIC)和硬盤(pán)為病毒的重要傳播媒介。通過(guò)ASIC傳播的病毒極為少見(jiàn)，但是，其破壞力卻極強(qiáng)，

54、一旦遭受病毒侵害將會(huì)直接導(dǎo)致計(jì)算機(jī)硬件的損壞，檢測(cè)、查殺此類(lèi)病毒的手段還需進(jìn)一步的提高。 </p><p>　　硬盤(pán)是計(jì)算機(jī)數(shù)據(jù)的主要存儲(chǔ)介質(zhì)，因此也是計(jì)算機(jī)病毒感染的重災(zāi)區(qū)。硬盤(pán)傳播計(jì)算機(jī)病毒的途徑是:硬盤(pán)向軟盤(pán)上復(fù)制帶毒文件、帶毒情況下格式化軟盤(pán)、向光盤(pán)上刻錄帶毒文件、硬盤(pán)之間的數(shù)據(jù)復(fù)制，以及將帶毒文件發(fā)送至其它地方等。 </p><p>　　4.通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播 </p&g

55、t;<p>　　更多的計(jì)算機(jī)病毒逐步轉(zhuǎn)為利用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播。移動(dòng)存儲(chǔ)設(shè)備包括我們常見(jiàn)的軟盤(pán)、磁帶、光盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)(含數(shù)碼相機(jī)、MP3等)、ZIP和JAZ磁盤(pán)，后兩者僅僅是存儲(chǔ)容量比較大的特殊磁盤(pán)。軟盤(pán)主要是攜帶方便，早期在網(wǎng)絡(luò)還不普及時(shí)，軟盤(pán)是使用廣泛、移動(dòng)頻繁的存儲(chǔ)介質(zhì)，因此也成了計(jì)算機(jī)病毒寄生“溫床”。光盤(pán)的存儲(chǔ)容量大，所以大多數(shù)軟件都刻錄在光盤(pán)上，以便互相傳遞;同時(shí)，盜版光盤(pán)上的軟件和游戲及非法拷貝也是目

56、前傳播計(jì)算機(jī)病毒主要途徑。隨著大容量可移動(dòng)存儲(chǔ)設(shè)備如Zip盤(pán)、可擦寫(xiě)光盤(pán)、磁光盤(pán)(MO)等的普遍使用，這些存儲(chǔ)介質(zhì)也將成為計(jì)算機(jī)病毒寄生的場(chǎng)所。 </p><p>　　隨著時(shí)代的發(fā)展，移動(dòng)硬盤(pán)、U盤(pán)等移動(dòng)設(shè)備也成為了新攻擊目標(biāo)。而U盤(pán)因其超大空間的存儲(chǔ)量，逐步成為了使用最廣泛、最頻繁的存儲(chǔ)介質(zhì)，為計(jì)算機(jī)病毒寄生的提供更寬裕的空間。目前，U盤(pán)病毒逐步的增加，使得U盤(pán)成為第二大病毒傳播途徑。 </p>

57、<p><b>　　5.無(wú)線設(shè)備傳播 </b></p><p>　　目前，這種傳播途徑隨著手機(jī)功能性的開(kāi)放和增值服務(wù)的拓展，已經(jīng)成為有必要加以防范的一種病毒傳播途徑。隨著智能手機(jī)的普及，通過(guò)彩信、上網(wǎng)瀏覽與下載到手機(jī)中的程序越來(lái)越多，不可避免的會(huì)對(duì)手機(jī)安全產(chǎn)生隱患，手機(jī)病毒會(huì)成為新一輪電腦病毒危害的“源頭”。手機(jī)、特別是智能手機(jī)和3G網(wǎng)絡(luò)發(fā)展的同時(shí)，手機(jī)病毒的傳播速度和危害程度也與

58、日俱增。通過(guò)無(wú)線傳播的趨勢(shì)很有可能將會(huì)發(fā)展成為第二大病毒傳播媒介，并很有可能與網(wǎng)絡(luò)傳播造成同等的危害。 </p><p>　　病毒的種類(lèi)繁多，特性不一.</p><p>　　4.2計(jì)算機(jī)病毒傳播途徑</p><p>　　計(jì)算機(jī)病毒之所以稱之為病毒是因?yàn)槠渚哂袀魅拘缘谋举|(zhì)。傳統(tǒng)渠道通常有以下幾種： </p><p><b>　　(1）

59、通過(guò)軟盤(pán) </b></p><p>　　通過(guò)使用外界被感染的軟盤(pán)，例如，不同渠道來(lái)的系統(tǒng)盤(pán)、來(lái)歷不明的軟件、游戲盤(pán)等是最普遍的傳染途徑。由于使用帶有病毒的軟盤(pán)，使機(jī)器感染病毒發(fā)病，并傳染給未被感染的“干凈”的軟盤(pán)。大量的軟盤(pán)交換，合法或非法的程序拷貝，不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 </p><p><b>　　(2）通過(guò)硬盤(pán) &l

60、t;/b></p><p>　　通過(guò)硬盤(pán)傳染也是重要的渠道，由于帶有病毒機(jī)器移到其它地方使用、維修等，將干凈的軟盤(pán)傳染并再擴(kuò)散。 </p><p><b>　　(3）通過(guò)光盤(pán) </b></p><p>　　因?yàn)楣獗P(pán)容量大，存儲(chǔ)了海量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤(pán)，對(duì)只讀式光盤(pán)，不能進(jìn)行寫(xiě)操作，因此光盤(pán)上的病毒不能清除。以謀利為

61、目的非法盜版軟件的制作過(guò)程中，不可能為病毒防護(hù)擔(dān)負(fù)專(zhuān)門(mén)責(zé)任，也決不會(huì)有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤(pán)的泛濫給病毒的傳播帶來(lái)了很大的便利。 </p><p><b>　　(4）通過(guò)網(wǎng)絡(luò) </b></p><p>　　這種傳染擴(kuò)散極快，能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。 </p><p>　　隨著Interne

62、t的風(fēng)靡，給病毒的傳播又增加了新的途徑，它的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。Internet帶來(lái)兩種不同的安全威脅，一種威脅來(lái)自文件下載，這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來(lái)自電子郵件。大多數(shù)Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能，因此，遭受病毒的文檔或文件就可能通過(guò)網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)使用的簡(jiǎn)易性和開(kāi)放性使得這種威脅越來(lái)越嚴(yán)重。 </p&

63、gt;<p>　　4.3計(jì)算機(jī)病毒的傳染</p><p>　　計(jì)算機(jī)病毒的傳染分兩種。一種是在一定條件下方可進(jìn)行傳染,即條件傳染。另一種是對(duì)一種傳染對(duì)象的反復(fù)傳染即無(wú)條件傳染。 </p><p>　　從目前蔓延傳播病毒來(lái)看所謂條件傳染，是指一些病毒在傳染過(guò)程中，在被傳染的系統(tǒng)中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統(tǒng)時(shí)，發(fā)現(xiàn)有自己的標(biāo)志則不再進(jìn)行傳染，如果是

64、一個(gè)新的系統(tǒng)或軟件，首先讀特定位置的值，并進(jìn)行判斷，如果發(fā)現(xiàn)讀出的值與自己標(biāo)識(shí)不一致，則對(duì)這一系統(tǒng)或應(yīng)用程序，或數(shù)據(jù)盤(pán)進(jìn)行傳染，這是一種情況；另一種情況，有的病毒通過(guò)對(duì)文件的類(lèi)型來(lái)判斷是否進(jìn)行傳染，如黑色星期五病毒只感染.COM或.EXE文件等等；還有一種情況有的病毒是以計(jì)算機(jī)系統(tǒng)的某些設(shè)備為判斷條件來(lái)決定是否感染。例如大麻病毒可以感染硬盤(pán)，又可以感染軟盤(pán)，但對(duì)B驅(qū)動(dòng)器的軟盤(pán)進(jìn)行讀寫(xiě)操作時(shí)不傳染。但我們也發(fā)現(xiàn)有的病毒對(duì)傳染對(duì)象反復(fù)傳染。

65、例如黑色星期五病毒只要發(fā)現(xiàn).EXE文件就進(jìn)行一次傳染，再運(yùn)行再進(jìn)行傳染反復(fù)進(jìn)行下去。 </p><p>　　可見(jiàn)有條件時(shí)病毒能傳染，無(wú)條件時(shí)病毒也可以進(jìn)行傳染</p><p>　　4.4計(jì)算機(jī)病毒的過(guò)程</p><p>　　在系統(tǒng)運(yùn)行時(shí)，病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行，當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件

66、時(shí)，便從內(nèi)存中將自身存入被攻擊的目標(biāo)，從而將病毒進(jìn)行傳播。而病毒利用系統(tǒng)INT 13H讀寫(xiě)磁盤(pán)的中斷又將其寫(xiě)入系統(tǒng)的外存儲(chǔ)器軟盤(pán)或硬盤(pán)中，再感染其他系統(tǒng)。 </p><p>　　可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件? </p><p>　　可執(zhí)行文件.COM或.EXE感染上了病毒，例如黑色星期五病毒，它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。一旦進(jìn)入內(nèi)存，便開(kāi)始監(jiān)視系統(tǒng)的運(yùn)

67、行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí)，進(jìn)行如下操作： </p><p>　　（1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒； </p><p>　　（2）當(dāng)條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存大磁盤(pán)中； </p><p>　?。?）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。 </p>&

68、lt;p>　　操作系統(tǒng)型病毒是怎樣進(jìn)行傳染的? </p><p>　　正常的PC DOS啟動(dòng)過(guò)程是： </p><p>　　（1）加電開(kāi)機(jī)后進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測(cè)； </p><p>　　（2）檢測(cè)正常后從系統(tǒng)盤(pán)0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導(dǎo)程序到內(nèi)存的0000: 7C00處； </p><p&g

69、t;　　（3）轉(zhuǎn)入Boot執(zhí)行； </p><p>　?。?）Boot判斷是否為系統(tǒng)盤(pán)，如果不是系統(tǒng)盤(pán)則提示； </p><p>　　non-system disk or disk error </p><p>　　Replace and strike any key when ready </p><p>　　否則,讀入IBM BIO-CO

70、M和IBM DOS-COM兩個(gè)隱含文件； </p><p>　?。?）執(zhí)行IBM BIOCOM和IBM DOS-COM兩個(gè)隱含文件，將COMMAND-COM裝入內(nèi)存； </p><p>　?。?）系統(tǒng)正常運(yùn)行，DOS啟動(dòng)成功。 </p><p>　　如果系統(tǒng)盤(pán)已感染了病毒，PC DOS的啟動(dòng)將是另一番景象，其過(guò)程為： </p><p>　?。?/p>

71、1）將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處； </p><p>　　（2）病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存，監(jiān)視系統(tǒng)的運(yùn)行； </p><p>　?。?）修改INT 13H中斷服務(wù)處理程序的入口地址，使之指向病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N病毒要感染軟盤(pán)或者硬盤(pán)，都離不開(kāi)對(duì)磁盤(pán)的讀寫(xiě)操作，修改INT 13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作；

72、</p><p>　?。?）病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處，進(jìn)行正常的啟動(dòng)過(guò)程； </p><p>　?。?）病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤(pán)或非系統(tǒng)盤(pán)。 </p><p>　　如果發(fā)現(xiàn)有可攻擊的對(duì)象，病毒要進(jìn)行下列的工作： </p><p>　?。?）將目標(biāo)盤(pán)的引導(dǎo)扇區(qū)讀入內(nèi)存，對(duì)該盤(pán)進(jìn)

73、行判別是否傳染了病毒； </p><p>　?。?）當(dāng)滿足傳染條件時(shí)，則將病毒的全部或者一部分寫(xiě)入Boot區(qū)，把正常的磁盤(pán)的引導(dǎo)區(qū)程序?qū)懭氪疟P(pán)特寫(xiě)位置； </p><p>　?。?）返回正常的INT 13H中斷服務(wù)處理程序，完成了對(duì)目標(biāo)盤(pán)的傳染。 </p><p>　　操作系統(tǒng)型病毒對(duì)非系統(tǒng)盤(pán)感染病毒后最簡(jiǎn)單的處理方法是什么? </p><p&g

74、t;　　因?yàn)椴僮飨到y(tǒng)型病毒只有在系統(tǒng)引導(dǎo)時(shí)才進(jìn)入內(nèi)存，開(kāi)始活動(dòng)，對(duì)非系統(tǒng)盤(pán)感染病毒后，不從它上面引導(dǎo)系統(tǒng)，則病毒不會(huì)進(jìn)入內(nèi)存。這時(shí)對(duì)已感染的非系統(tǒng)盤(pán)消毒最簡(jiǎn)單的方法是將盤(pán)上有用的文件拷貝出來(lái)，然后將帶毒盤(pán)重新格式化即可。</p><p>　　第五章：計(jì)算機(jī)病毒的破壞行為</p><p>　　4.1計(jì)算機(jī)病毒的行為</p><p>　　計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的

75、殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬(wàn)計(jì)不斷發(fā)展擴(kuò)張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，而且難以做全面的描述，根據(jù)現(xiàn)有的病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下： </p><p>　　攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括：硬盤(pán)主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。迫使計(jì)算機(jī)空轉(zhuǎn)，計(jì)算機(jī)速度明顯下降。 </p><p>　

76、　攻擊磁盤(pán)，攻擊磁盤(pán)數(shù)據(jù)、不寫(xiě)盤(pán)、寫(xiě)操作變讀操作、寫(xiě)盤(pán)時(shí)丟字節(jié)等。 </p><p>　　擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫(xiě)、吃字符等。 </p><p>　　鍵盤(pán)病毒，干擾鍵盤(pán)操作，已發(fā)現(xiàn)有下述方式：響鈴、封鎖鍵盤(pán)、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。喇叭病毒，許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。有

77、的病毒作者通過(guò)喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財(cái)富，已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 </p><p>　　攻擊CMOS ， 在機(jī)器的CMOS區(qū)中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時(shí)鐘、磁盤(pán)類(lèi)型、內(nèi)存容量等。有的病毒激活時(shí)，能夠?qū)MOS區(qū)進(jìn)行寫(xiě)入動(dòng)作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。 </p><

78、;p>　　干擾打印機(jī)，典型現(xiàn)象為：假報(bào)警、間斷性打印、更換字符等。</p><p>　　4.2計(jì)算機(jī)病毒的危害</p><p>　　會(huì)造成計(jì)算機(jī)資源的損失和破壞，不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的災(zāi)難，隨著信息化社會(huì)的發(fā)展，計(jì)算機(jī)病毒的威脅日益嚴(yán)重，反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒，美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生，23歲的莫里斯

79、（Morris）將其編寫(xiě)的蠕蟲(chóng)程序輸入計(jì)算機(jī)網(wǎng)絡(luò)，致使這個(gè)擁有數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對(duì)計(jì)算機(jī)病毒的恐慌，也使更多的計(jì)算機(jī)專(zhuān)家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年，中國(guó)在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對(duì)統(tǒng)計(jì)系統(tǒng)影響極大，此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷，前一段時(shí)間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會(huì)造成了很大損失。</p>

80、<p>　　1.3計(jì)算機(jī)病毒的癥狀</p><p>　　1.計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢。 </p><p>　　2.計(jì)算機(jī)系統(tǒng)經(jīng)常無(wú)故發(fā)生死機(jī)。 </p><p>　　3.計(jì)算機(jī)系統(tǒng)中的文件長(zhǎng)度發(fā)生變化。 </p><p>　　4.計(jì)算機(jī)存儲(chǔ)的容量異常減少。 </p><p>　　5.系統(tǒng)引導(dǎo)速度減慢。 &l

81、t;/p><p>　　6.丟失文件或文件損壞。 </p><p>　　7.計(jì)算機(jī)屏幕上出現(xiàn)異常顯示。 </p><p>　　8.計(jì)算機(jī)系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 </p><p>　　9.磁盤(pán)卷標(biāo)發(fā)生變化。 </p><p>　　10.系統(tǒng)不識(shí)別硬盤(pán)。 </p><p>　　11.對(duì)存儲(chǔ)系統(tǒng)異常訪問(wèn)

82、。 </p><p>　　12.鍵盤(pán)輸入異常。 </p><p>　　13.文件的日期、時(shí)間、屬性等發(fā)生變化。 </p><p>　　14.文件無(wú)法正確讀取、復(fù)制或打開(kāi)。 </p><p>　　15.命令執(zhí)行出現(xiàn)錯(cuò)誤。 </p><p><b>　　16.虛假報(bào)警。 </b></p>

83、<p>　　17.換當(dāng)前盤(pán)。有些病毒會(huì)將當(dāng)前盤(pán)切換到C盤(pán)。 </p><p>　　18.時(shí)鐘倒轉(zhuǎn)。有些病毒會(huì)命名系統(tǒng)時(shí)間倒轉(zhuǎn)，逆向計(jì)時(shí)。 </p><p>　　19.WINDOWS操作系統(tǒng)無(wú)故頻繁出現(xiàn)錯(cuò)誤。 </p><p>　　20.系統(tǒng)異常重新啟動(dòng)。 </p><p>　　21.一些外部設(shè)備工作異常。 </p>

84、<p>　　22.異常要求用戶輸入密碼。 </p><p>　　23.WORD或EXCEL提示執(zhí)行“宏”。 </p><p>　　24.使不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存</p><p>　　4.3計(jì)算機(jī)病毒的危害</p><p>　　會(huì)造成計(jì)算機(jī)資源的損失和破壞，不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的災(zāi)難，隨著信息化社會(huì)

85、的發(fā)展，計(jì)算機(jī)病毒的威脅日益嚴(yán)重，反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒，美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生，23歲的莫里斯（Morris）將其編寫(xiě)的蠕蟲(chóng)程序輸入計(jì)算機(jī)網(wǎng)絡(luò)，致使這個(gè)擁有數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對(duì)計(jì)算機(jī)病毒的恐慌，也使更多的計(jì)算機(jī)專(zhuān)家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年，中國(guó)在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對(duì)

86、統(tǒng)計(jì)系統(tǒng)影響極大，此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷，前一段時(shí)間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會(huì)造成了很大損失。</p><p>　　第五章：計(jì)算機(jī)病毒的觸發(fā)機(jī)制</p><p>　　第六章：計(jì)算機(jī)病毒的防治</p><p>　　6.1預(yù)防計(jì)算機(jī)病毒</p><p>　　如何檢查筆記本是否中了病毒？以下就是?檢查步驟： &l

87、t;/p><p><b>　　一、進(jìn)程</b></p><p>　　首先排查的就是進(jìn)程了，方法簡(jiǎn)單，開(kāi)機(jī)后，什么都不要啟動(dòng)！ </p><p>　　第一步：直接打開(kāi)任務(wù)管理器，查看有沒(méi)有可疑的進(jìn)程，不認(rèn)識(shí)的進(jìn)程可以Google或者百度一下。 </p><p>　　第二步：打開(kāi)冰刃等軟件，先查看有沒(méi)有隱藏進(jìn)程（冰刃中以紅色標(biāo)出

88、），然后查看系統(tǒng)進(jìn)程的路徑是否正確。 </p><p>　　第三步：如果進(jìn)程全部正常，則利用Wsyscheck等工具，查看是否有可疑的線程注入到正常進(jìn)程中。 </p><p><b>　　二、自啟動(dòng)項(xiàng)目</b></p><p>　　進(jìn)程排查完畢，如果沒(méi)有發(fā)現(xiàn)異常，則開(kāi)始排查啟動(dòng)項(xiàng)。 </p><p>　　第一步：用msc

89、onfig察看是否有可疑的服務(wù)，開(kāi)始，運(yùn)行，輸入“msconfig”，確定，切換到服務(wù)選項(xiàng)卡，勾選“隱藏所有Microsoft服務(wù)”復(fù)選框，然后逐一確認(rèn)剩下的服務(wù)是否正常（可以憑經(jīng)驗(yàn)識(shí)別，也可以利用搜索引擎）。 </p><p>　　第二步：用msconfig察看是否有可疑的自啟動(dòng)項(xiàng)，切換到“啟動(dòng)”選項(xiàng)卡，逐一排查就可以了。 </p><p>　　第三步，用Autoruns等，查看更詳細(xì)的

90、啟動(dòng)項(xiàng)信息（包括服務(wù)、驅(qū)動(dòng)和自啟動(dòng)項(xiàng)、IEBHO等信息）。 </p><p><b>　　三、網(wǎng)絡(luò)連接</b></p><p>　　ADSL用戶，在這個(gè)時(shí)候可以進(jìn)行虛擬撥號(hào)，連接到Internet了。然后直接用冰刃的網(wǎng)絡(luò)連接查看，是否有可疑的連接，對(duì)于IP地址如果發(fā)現(xiàn)異常，不要著急，關(guān)掉系統(tǒng)中可能使用網(wǎng)絡(luò)的程序（如迅雷等下載軟件、殺毒軟件的自動(dòng)更新程序、IE瀏覽器等）

91、，再次查看網(wǎng)絡(luò)連接信息。 </p><p><b>　　四、安全模式</b></p><p>　　重啟，直接進(jìn)入安全模式，如果無(wú)法進(jìn)入，并且出現(xiàn)藍(lán)屏等現(xiàn)象，則應(yīng)該引起警惕，可能是病毒入侵的后遺癥，也可能病毒還沒(méi)有清除！ </p><p><b>　　五、映像劫持</b></p><p>　　Y_LO

92、CAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti，查看有沒(méi)有可疑的映像劫持項(xiàng)目，如果發(fā)現(xiàn)可疑項(xiàng)，很可能已經(jīng)中毒。 </p><p><b>　　六、CPU時(shí)間</b></p><p>　　如果開(kāi)機(jī)以后，系統(tǒng)運(yùn)行緩慢，還可以用CPU時(shí)間做參考，找到可疑進(jìn)程，方法如下： &l

93、t;/p><p>　　打開(kāi)任務(wù)管理器，切換到進(jìn)程選項(xiàng)卡，在菜單中點(diǎn)“查看”，“選擇列”，勾選“CPU時(shí)間”，然后確定，單擊CPU時(shí)間的標(biāo)題，進(jìn)行排序，尋找除了SystemIdleProcess和SYSTEM以外，CPU時(shí)間較大的進(jìn)程，這個(gè)進(jìn)程需要引起一定的警惕。</p><p>　　6.2.1消除計(jì)算機(jī)方法</p><p>　　縱觀計(jì)算機(jī)病毒的發(fā)展歷史，大家可以看出，計(jì)

94、算機(jī)病毒已經(jīng)從最初的擠占CPU資源、破壞硬盤(pán)數(shù)據(jù)逐步發(fā)展成為破壞計(jì)算機(jī)硬件設(shè)備，并向著更嚴(yán)重的方向發(fā)展(戰(zhàn)略武器)，有誰(shuí)能保證它們未來(lái)不破壞更重要的東西呢？怎樣保護(hù)電腦，怎樣使自己不因病毒作祟而蒙難、使病毒危機(jī)不引起我們的生存危機(jī)？最重要的是采取各種安全措施預(yù)防病毒，不給病毒以可乘之機(jī)。另外，就是使用各種殺毒程序，把病毒殺死，從電腦中清除出去。 　　</p><p>　　預(yù)防病毒是最重要的　　　</p>

95、;<p>　　殺毒軟件做得再好，也只是針對(duì)已經(jīng)出現(xiàn)的病毒，它們對(duì)新的病毒是無(wú)能為力的。而新的病毒總是層出不窮，并且在Internet高速發(fā)展的今天，病毒傳播也更為迅速。一旦感染病毒，計(jì)算機(jī)就會(huì)受到不同程度損害。雖然到最后病毒可以被殺掉，但損失卻是無(wú)法挽回的?！　?lt;/p><p>　　預(yù)防病毒要注意以下事項(xiàng)：　　</p><p>　　① 重要的是不要隨便拷貝來(lái)歷不明的軟件，不要

96、使用未經(jīng)授權(quán)的軟件。游戲軟件和網(wǎng)上的免費(fèi)軟件是病毒的主要載體，使用前一定要用殺毒軟件檢查，防患于未然。一般不要在工作機(jī)上玩游戲。 　　　　</p><p>　?、?給系統(tǒng)盤(pán)與文件加以寫(xiě)保護(hù)，防止被感染?！　?lt;/p><p>　?、?系統(tǒng)和重要軟件及時(shí)備份，以防系統(tǒng)遭到破壞時(shí)，把損失降到最小限度。在計(jì)算機(jī)沒(méi)有染毒時(shí)，一定要做一張或多作幾張系統(tǒng)啟動(dòng)盤(pán)。因?yàn)楹芏嗖《倦m然殺除后就消失了，但也有些病

97、毒在電腦一啟動(dòng)時(shí)就會(huì)駐留在內(nèi)存中，在這種帶有病毒的環(huán)境下殺毒只能把它們從硬盤(pán)上殺除，而內(nèi)存中還有，殺完了立刻又染上，所以想要?dú)⒊鼈兊脑?，一定要用沒(méi)有感染病毒的啟動(dòng)盤(pán)從軟盤(pán)啟動(dòng)，才能保證電腦啟動(dòng)后內(nèi)存中沒(méi)有病毒。也只有這樣，才能將病毒徹底殺除。再?gòu)?qiáng)調(diào)一下，備份文件和做啟動(dòng)盤(pán)時(shí)一定要保證你的電腦中是沒(méi)有病毒的，否則的話只會(huì)適得其.</p><p>　?、?經(jīng)常用清除殺毒軟件對(duì)計(jì)算機(jī)作檢查，及時(shí)發(fā)現(xiàn)病毒、消除病毒.　

98、　</p><p><b>　　清除病毒　　</b></p><p>　　盡管采取了各種預(yù)防措施，有時(shí)仍不免會(huì)染上病毒。因此，檢測(cè)和消除病毒仍是用戶維護(hù)系統(tǒng)正常運(yùn)轉(zhuǎn)所必須的工作。目前流行的殺毒軟件較多，有：KV300、KILL、瑞星、PC CILLIN、NAV、MCAFEE等。使用這些軟件時(shí)必須先用殺毒盤(pán)或干凈(保證無(wú)毒)的系統(tǒng)軟盤(pán)啟動(dòng)。 現(xiàn)介紹其中一種kv300的使

99、用?！　?lt;/p><p>　?、?啟動(dòng)與殺毒　　KV300的殺毒軟盤(pán)本身就是啟動(dòng)盤(pán)。我們可以用KV300殺毒盤(pán)啟動(dòng)電腦。用啟動(dòng)軟盤(pán)啟動(dòng)后，電腦不會(huì)進(jìn)入我們平時(shí)看到的Windows 98，而是進(jìn)入字符的狀態(tài)，也叫做DOS命令行狀態(tài)。在DOS中，我們輸入文件名，然后加回車(chē)，就可以運(yùn)行它。 　　</p><p>　　如果不是用“KV300”的軟盤(pán)啟動(dòng)， 則先取出啟動(dòng)盤(pán)， 再把“KV300”軟盤(pán)放

100、入軟驅(qū)。否則，就不用換盤(pán)了?，F(xiàn)在我們輸入殺毒軟件的名稱“KV300”，這是殺毒程序的名字，然后回車(chē)就可以運(yùn)行它。 </p><p>　　V300啟動(dòng)后的默認(rèn)狀態(tài)是等候殺毒，只要告訴它一個(gè)盤(pán)符就立即開(kāi)始?xì)⒍玖耍热缦霘盤(pán)上的病毒，就按字母C。想殺A盤(pán)就按A。這是最基本的用法。 </p><p>　?、?備份硬盤(pán)引導(dǎo)區(qū)信息。引導(dǎo)區(qū)是磁盤(pán)的特殊區(qū)域，系統(tǒng)啟動(dòng)時(shí)要讀入引導(dǎo)區(qū)的信息。有的病毒會(huì)破壞

101、引導(dǎo)區(qū)，這樣在系統(tǒng)啟動(dòng)讀入引導(dǎo)區(qū)信息時(shí)，病毒就會(huì)趁機(jī)跑到內(nèi)存里，使系統(tǒng)環(huán)境染上病毒，嚴(yán)重的可能會(huì)使硬盤(pán)無(wú)法使用。如果你曾經(jīng)在沒(méi)有染毒時(shí)為硬盤(pán)的引導(dǎo)區(qū)信息做過(guò)備份，這時(shí)將它恢復(fù)到硬盤(pán)上就能把引導(dǎo)區(qū)病毒清除了。　　</p><p>　　那該怎么做這個(gè)備份呢？ 　　</p><p>　　在確定電腦沒(méi)有染毒的情況下，在DOS的提示符下輸入命令：KV300/b; 然后，在A驅(qū)動(dòng)器中放一張格式化過(guò)的軟

102、盤(pán)，KV300會(huì)自動(dòng)把硬盤(pán)的引導(dǎo)區(qū)信息寫(xiě)入軟盤(pán)，信息以hdpt.dat為文件名保存。應(yīng)該妥善地保存這張軟盤(pán)，如果以后硬盤(pán)染上了引導(dǎo)區(qū)病毒，只要用KV300的殺毒盤(pán)啟動(dòng)電腦， 再換上保存有硬盤(pán)引導(dǎo)信息的軟盤(pán)， 然后輸入命令KV300/ hdpt.dat的命令就可以把引導(dǎo)區(qū)信息恢復(fù)到硬盤(pán)上，硬盤(pán)就又可以使用了。　?、?其他使用</p><p>　　按F2，再輸入盤(pán)符是掃描病毒，也就是查毒但并不殺毒。 　　</p

103、><p>　　按F3為殺毒。 　　</p><p>　　按F5可選擇查毒的路徑。 　　</p><p>　　按F6可查看硬盤(pán)的分區(qū)表。 　　</p><p>　　按F7會(huì)列出KV300能殺的所有病毒。 　　</p><p>　　按F8可以顯示幫助信息。 　　</p><p>　　按F9顯示版本信息。

104、 　　</p><p>　　按F10是系統(tǒng)測(cè)試和修復(fù)。如果我們的硬盤(pán)被CIH病毒破壞了的話，就可以用這個(gè)功能來(lái)恢復(fù)硬盤(pán)中邏輯分區(qū)。在個(gè)別的情況下也可能恢復(fù)基本分區(qū)C。 　　</p><p>　　要退出KV300的話，就按Esc鍵。 </p><p>　　6.2.2計(jì)算機(jī)病毒的檢測(cè)和清除 </p><p>　　1．檢測(cè)計(jì)算機(jī)病毒 </p&

105、gt;<p>　　一般的病毒靜態(tài)存儲(chǔ)在磁盤(pán)中，激活時(shí)駐留在內(nèi)存中。因此對(duì)計(jì)算機(jī)病毒的檢測(cè)可分為對(duì)內(nèi)存的檢測(cè)和對(duì)磁盤(pán)的檢測(cè)兩種。 </p><p>　　對(duì)計(jì)算機(jī)進(jìn)行病毒檢測(cè)時(shí)，應(yīng)采用未受病毒感染的DOS系統(tǒng)軟盤(pán)進(jìn)行冷啟動(dòng)，以保證內(nèi)存中不帶病毒。否則查看不到被它感染的文件長(zhǎng)度已發(fā)生變化。 </p><p>　　檢測(cè)磁盤(pán)中的病毒可分成檢測(cè)引導(dǎo)扇區(qū)型病毒和檢測(cè)文件型病毒。 

106、   檢測(cè)磁盤(pán)引導(dǎo)區(qū)的病毒可看內(nèi)存的空間是否被病毒占用，用MEM/c/p命令即可檢測(cè)。檢查磁盤(pán)文件病毒，可查看文件的長(zhǎng)度是否被加長(zhǎng)，這樣可查出病毒是否感染了文件。 </p><p>　　2．清除計(jì)算機(jī)病毒 </p><p>　　清除計(jì)算機(jī)病毒主要應(yīng)做以下工作：一是清除內(nèi)存中的病毒，二是清除磁盤(pán)中的病毒，三是病毒發(fā)作后的善后處理。 </p><p>

107、;　　清除引導(dǎo)扇區(qū)型病毒時(shí)，應(yīng)預(yù)先準(zhǔn)備好正常引導(dǎo)程序的備份，從軟盤(pán)啟動(dòng)系統(tǒng)。對(duì)主引導(dǎo)區(qū)中的分區(qū)表信息應(yīng)特別注意，因?yàn)橐坏┓謪^(qū)表信息被破壞，要從硬盤(pán)中提取現(xiàn)有分區(qū)的狀況并恢復(fù)分區(qū)表比較困難。 </p><p>　　對(duì)于將引導(dǎo)扇區(qū)轉(zhuǎn)儲(chǔ)的引導(dǎo)區(qū)型病毒，只要將原引導(dǎo)扇區(qū)找出并回寫(xiě)就可以了，但在回寫(xiě)前要檢查其有效性，不然也可能會(huì)造成破壞，使原本在帶病毒的情況下尚能存取的硬盤(pán)，在清除了病毒之后反而找不到硬盤(pán)了。這種情況一般為

108、分區(qū)信息丟失。 </p><p>　　被覆蓋型病毒感染的文件最好徹底刪除。要徹底清除病毒一般來(lái)說(shuō)要有正版的殺毒軟件殺毒，才能使病毒徹底清除?；蛘哂脖P(pán)加上保護(hù)措施，即在主板上加裝防病毒卡，使病毒不能寫(xiě)入到計(jì)算機(jī)硬盤(pán)上。 </p><p>　　對(duì)于被非覆蓋型病毒感染的文件，則反病毒軟件也可以仿照病毒傳染的逆過(guò)程，將病毒清除出被感染文件，并保持其原來(lái)的功能。 </p><p&

109、gt;　　3．當(dāng)沒(méi)有殺毒軟件時(shí)發(fā)現(xiàn)病毒的方法 </p><p>　　計(jì)算機(jī)的用戶為防范病毒，都希望有一個(gè)功能強(qiáng)大、能消除多種病毒的反病毒軟件。 </p><p>　　但任何一種查病毒程序都無(wú)法查出世界上所有的病毒，對(duì)那些新出現(xiàn)的，還沒(méi)有收入病毒庫(kù)的病毒，殺毒軟件就無(wú)法查出。 </p><p>　　首先準(zhǔn)備一張封好寫(xiě)保護(hù)口的DOS系統(tǒng)盤(pán)，再準(zhǔn)備一張同樣的空白盤(pán)。DOS

110、系統(tǒng)盤(pán)上應(yīng)含有幾個(gè)COM型和EXE型文件。 </p><p>　　用系統(tǒng)軟盤(pán)啟動(dòng)被檢查的計(jì)算機(jī)，用系統(tǒng)盤(pán)上的DISKCOPY命令將系統(tǒng)盤(pán)整盤(pán)拷貝到空白盤(pán)，制成取樣盤(pán)。 </p><p>　　再用硬盤(pán)重新啟動(dòng)計(jì)算機(jī)，運(yùn)行一些懷疑帶病毒的程序，使病毒有機(jī)會(huì)感染內(nèi)存。然后將取樣盤(pán)插入軟驅(qū)。運(yùn)行上面的.COM型和.EXE型DOS程序，使被運(yùn)行的.COM型和.EXE型DOS程序有機(jī)會(huì)被感染。最后運(yùn)行

111、取樣盤(pán)上的DEBUG程序，并使用下列3條命令： </p><p>　　L  100  0  0  1 </p><p>　　W  100  0  0  1 </p><p><b>　　Q </b></p><p>　　第1條命令是從A驅(qū)動(dòng)器

112、讀DOS引導(dǎo)扇區(qū)到內(nèi)存，第2條命令是將剛讀入內(nèi)存的內(nèi)容再寫(xiě)回軟盤(pán)上，第3條命令是退出DEBUG。這樣使在計(jì)算機(jī)執(zhí)行磁盤(pán)寫(xiě)命令時(shí)才被感染的病毒有機(jī)會(huì)傳染取樣盤(pán)，同時(shí)又不會(huì)破壞其他扇區(qū)的內(nèi)容。 </p><p>　　在上述操作結(jié)束之后，取出取樣盤(pán)并進(jìn)行寫(xiě)保護(hù)。然后對(duì)這張取樣盤(pán)進(jìn)行判斷，看是否被感染上病毒。用干凈的系統(tǒng)盤(pán)重新對(duì)計(jì)算機(jī)進(jìn)行冷啟動(dòng)，用干凈盤(pán)上的DISKCOMP命令比較DOS系統(tǒng)盤(pán)和取樣盤(pán)，以發(fā)現(xiàn)是否有引導(dǎo)區(qū)