計算機畢業(yè)論文---常見計算機病毒檢測預(yù)防研究

1、<p><b>　　本科畢業(yè)設(shè)計論文</b></p><p>　　題 目 常見計算機病毒檢測預(yù)防研究 </p><p>　　學 院 </p><p>　　專 業(yè)

2、 </p><p>　　學生姓名 </p><p>　　導師姓名 </p><p>　　畢業(yè)設(shè)計（論文）任務(wù)書</p><p>　　題目名稱 常見計算機病毒檢測與預(yù)防研究 </p&g

3、t;<p><b>　　任務(wù)與要求</b></p><p>　　1．熟悉計算機病毒的工作基本原理及相關(guān)知識，查閱相關(guān)資料了解計算機病毒的發(fā)展過程。</p><p>　　2．查閱相關(guān)國內(nèi)外文獻資料，了解計算機病毒的發(fā)展過程，如何感染計算機及對計算機病毒的預(yù)防方法。</p><p>　　3．獨立完成成畢業(yè)論文工作，論文字數(shù)不少于150

4、00字，論文由中英文摘要、目錄、引言、正文、結(jié)論、參考文獻等部分組成。</p><p>　　4．要求論文結(jié)構(gòu)合理，概念清楚，邏輯清晰，語言通順，文筆流暢。作風嚴謹，刻苦鉆研，每周與指導老師溝通。</p><p>　　5．按時提交開題報告及論文提綱。</p><p>　　6．按時參加論文答辯。</p><p>　　開始日期 2011年1月5日

5、 完成日期 2011年5月24日 </p><p>　　院 長（簽字） （簽字） 2011 年 月 日</p><p>　　注：本任務(wù)書一式兩份，一份交學院，一份學生自己保存。</p><p>　　畢業(yè)設(shè)計（論文）工作計劃</p><p>　　一、畢業(yè)設(shè)計（論文）進度</p><

6、p>　　起 止 時 間 工 作 內(nèi) 容</p><p>　　2011.1.5—2011.1.25 確定指導老師，選定畢業(yè)論文題目</p><p>　　2011.2.1—2011.3.1 下達任務(wù)書及計劃書</p><p>　　2011.3.3—2011.4.10

7、 提交開題報告及寫作提綱</p><p>　　2011.4.11—2011.5.1 利用因特網(wǎng)及圖書館資源進行相關(guān)資料的整理，整理寫作思路</p><p>　　2011.5.2—2011.5.20 撰寫畢業(yè)論文，提交初稿，改稿，定稿 </p><p>　　2011.5.22.—2011.5.24 畢業(yè)論

8、文答辯</p><p>　　二、主要參考書目（資料）</p><p>　　[1] 中華人民共和國工業(yè)和信息化部信息安全協(xié)調(diào)司.《計算機病毒檢測周報》.</p><p>　　[2] 郝文化.《防黑反毒技術(shù)指南》，機械工業(yè)出版社，2004年1月第一版.  </p><p>　　[3] 吳萬釗，吳萬鐸.《計算機病毒分析與防治大全》.學苑出

9、版社.1993年10月. </p><p>　　[4] 張仁斌，李鋼，侯整風.《計算機病毒與反病毒技術(shù)》.清華大學出版社，2006年6月</p><p>　　[5] 程勝利，談冉，熊文龍 等.《計算機病毒與其防治技術(shù)》，清華大學出版社，2004年9月第一版. </p><p>　　三、主要儀器設(shè)備及材料</p><p

10、>　　硬件：計算機、局域網(wǎng)、Internet等</p><p>　　軟件：WindowsXP等</p><p>　　四、教師的指導安排情況（場地安排、指導方式等） </p><p>　　1．每周至少匯報、指導一次</p><p>　　2．采取面談方式（教師休息室，教室等），電話，郵箱隨時聯(lián)系指導老師進行指導和給予建議。</p>

11、;<p><b>　　五、對計劃的說明</b></p><p>　　注：本計劃一式兩份，一份交學院，一份學生自己保存（計劃書雙面打印）</p><p>　　畢業(yè)設(shè)計（論文）中期檢查表</p><p>　　注：此表由指導教師填寫，中期檢查成績將作為畢業(yè)設(shè)計總成績的一部分；此表裝訂入畢業(yè)設(shè)計（論文）中。</p><

12、p>　　畢業(yè)設(shè)計（論文）成績登記表</p><p>　　注：學院、專業(yè)名均寫全稱；成績登記表雙面打印</p><p><b>　　摘 要</b></p><p>　　隨著人們對計算機安全要求的不斷提高,計算機病毒作為計算機安全的主要威脅,正在受到人們廣泛的關(guān)注。只有透徹理解病毒的內(nèi)在機理,知己知彼,才能更好的防治病毒,利用病毒。論文深

13、入剖析了Windows環(huán)境下各種病毒的相關(guān)技術(shù),并提出了相應(yīng)的檢測方案。 論文研究總結(jié)了病毒的感染、傳播及如何獲得系統(tǒng)控制權(quán)機理,總結(jié)了防治病毒的一般做法,并針對這些病毒的特點提出了基于命令式的預(yù)防腳本病毒方案。通過對大量病毒和染毒文件的剖析,筆者總結(jié)出了一系列染毒標志性行為,利用這些特征行為設(shè)計了病毒檢測方案,并對該方案的優(yōu)缺點進行了分析。 病毒成為當前網(wǎng)絡(luò)環(huán)境下病毒的主要形式,筆者對病毒感染過程及其原理詳細分析,對病毒也進行了研究,

14、總結(jié)了蠕蟲的行為特點,提出了防治未知病毒特別是像I-Worm.Jeans.a這樣的變形病毒的解決方案——與虛擬機相結(jié)合的基于攻擊行為的著色判決病毒檢測系統(tǒng)。 論文研究整理了病毒的常見反檢測技術(shù),包括隱藏、反跟蹤、變形等。針對病毒在入侵后能夠關(guān)閉殺毒軟件,筆者詳細的闡述了基于數(shù)字簽名的類主動內(nèi)核方案,并對該方案的相關(guān)問題進行了研究。針對病毒的加密變形,研究了虛擬機技術(shù)及在病毒檢測方面的應(yīng)用</p><p>　　關(guān)鍵

15、詞：計算機病毒  檢測技術(shù) 預(yù)防</p><p><b>　　Abstract</b></p><p>　　Nowadays, computer system"s security is becoming more and more significant in people"s daily life. So, more a

16、nd more attentions have been payed to computer viruses which will do great harm to the computer system. Understanding of the computer viruses well will help us greatly. This dissertation analysised all kinds of technolog

17、ies in different viruses which existing in Windows system, and proposed the correlative scheme of detecting viruses.This dissertation summarized the mechanisms of infectio</p><p>　　Keyword: worm virus virt

18、ual machine antivirus firewall</p><p><b>　　目 錄</b></p><p>　　第一章 緒 論1</p><p>　　1.1計算機病毒的定義1</p><p>　　1.1.1計算機病毒的種類1</p><p>　　1.1.2計算機病毒的

19、特性2</p><p>　　1.2 計算機病毒的發(fā)展階段4</p><p>　　1.2.1 第一代病毒4</p><p>　　1.2.2 第二代病毒5</p><p>　　1.2.3 第三代病毒5</p><p>　　1.2.4 第四代病毒5</p><p>　　第二章 計算機病

20、毒的檢測技術(shù)7</p><p>　　2.1 反病毒技術(shù)的發(fā)展歷程7</p><p>　　2.2 計算機病毒檢測技術(shù)的原理8</p><p>　　2.2.1檢測病毒的基本方法8</p><p>　　2.3 病毒主要檢測技術(shù)與方法13</p><p>　　2.3.1外觀檢測法13</p><

21、;p>　　2.3.2系統(tǒng)數(shù)據(jù)對比法15</p><p>　　2.3.3病毒簽名檢測法13</p><p>　　2.3.4特征代碼法13</p><p>　　2.3.5檢查常規(guī)內(nèi)存數(shù)13</p><p>　　2.3.6校驗和法13</p><p>　　2.3.7行為監(jiān)測法13</p>&l

22、t;p>　　2.3.8軟件模擬法13</p><p>　　2.3.9啟動式代碼掃描技術(shù)13</p><p>　　2.3.10主動內(nèi)核技術(shù)13</p><p>　　2.3.11病毒分析法13</p><p>　　2.3.12病毒感染法13</p><p>　　第三章 計算機病毒的工作原理18</

23、p><p>　　3.1 程序病毒的工作原理18</p><p>　　3.1.1 程序病毒是如何傳播的18</p><p>　　3.2 引導型病毒的工作原理23</p><p>　　3.2.1 引導性病毒是如何傳播的23</p><p>　　3.3 計算機病毒的發(fā)展趨勢24</p><p>

24、;　　第四章 常見計算機病毒的預(yù)防31</p><p>　　4.1 計算機病毒的預(yù)防31</p><p>　　4.1.1 計算機病毒防護技術(shù)介紹31</p><p>　　4.1.2 計算機病毒的技術(shù)防范措施32</p><p>　　4.1.3 預(yù)防計算機病毒的基本措施32</p><p>　　第五章

25、 結(jié) 論34</p><p><b>　　致 謝36</b></p><p><b>　　參考文獻37</b></p><p><b>　　第一章 緒 論</b></p><p>　　1.1計算機病毒的定義</p><p>　　目前計

26、算機的應(yīng)用遍及到社會的各個領(lǐng)域，同時計算機病毒也給我們帶來了巨大的破壞和潛在的威脅，因此為了確保計算機能夠安全工作，計算機病毒的防范工作，已經(jīng)迫在眉睫。從計算機病毒的定義入手，淺談計算機病毒的特點及其防范措施。 對于大多數(shù)計算機用戶來說，談到“計算機病毒”似乎覺得它深不可測，無法琢磨。其實計算機病毒是可以預(yù)防的，隨著計算機的普及與深入，對計算機病毒的防范也在越來越受到計算機用戶的重視。 　 一般來講，凡是能夠引起計

27、算機故障，能夠破壞計算機中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計算機病毒。而在我國也通過條例的形式給計算機病毒下了一個具有法律性、權(quán)威性的定義：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！?#160;</p><p>　　1.1.1計算機病毒的種類</p><p>　　自從1988年在美國發(fā)現(xiàn)的“蠕

28、蟲病毒”至今，計算機病毒以驚人的速度遞增，據(jù)國外統(tǒng)計，計算機病毒以10種/周的速度遞增，另據(jù)我國公安部統(tǒng)計，國內(nèi)以4種/月的速度遞增。病毒的種類繁多，分類方法也不一。為了更好的了解它，根據(jù)目前流行的計算機病毒，把它們概括成如下幾類：  1. 從其傳播方式上分為    ① 引導型病毒。又稱開機型病毒。當用戶開機時，通過DOS的引導程序引入內(nèi)存中，它不以文件的形式存儲在磁盤上，

29、因此也沒有文件名，十分隱蔽。由于它先于操作系統(tǒng)裝入內(nèi)存，因此它能夠完全控制DOS的各類中斷，具有強大的破壞能力。常見的大麻病毒、巴基斯坦智囊病毒及米開朗基羅病毒等均屬這類。</p><p>　?、?文件型病毒。這是一種針對性很強的病毒，一般來講，它只感染磁盤上的可執(zhí)行文件(COM，EXE，SYS等)，它通常依附在這些文件的頭部或尾部，一旦這些感染病毒的文件被執(zhí)行，病毒程序就會被激活，同時感染其它文件。這類病毒數(shù)量

30、最大，它們又可細分為外殼型、源碼型和嵌入型等。</p><p>　?、?混合型病毒。這類病毒兼有上述兩種病毒的特點，它既感染引導區(qū)又感染文件，正是因為這種特性，使它具有了很強的傳染性。如果只將病毒從被感染的文件中清除，當系統(tǒng)重新啟動時，病毒將從硬盤引導進入內(nèi)存，這之后文件又會被感染；如果只將隱藏在引導區(qū)中的病毒消除掉，當文件運行時，引導區(qū)又會被重新感染。 2. 按其破壞程序來分 </p>

31、<p>　?、?良性病毒。這類病毒多數(shù)是惡作劇的產(chǎn)物，其目的不為破壞系統(tǒng)資源，只是為了自我表現(xiàn)一下。其一般表現(xiàn)為顯示信息，發(fā)出聲響，自我復制等。</p><p>　?、?惡性病毒。這類病毒的目的在于破壞計算機中的數(shù)據(jù)，刪除文件，對數(shù)據(jù)進行刪改、加密，甚至對硬盤進行格式化，使計算機無法正常運行甚至癱瘓。 </p><p>　　1.1.2計算機病毒的特性</p>

32、;<p>　?、?傳染性。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。因此，這也是計算機病毒這一名稱的由來。  ②.潛伏性。有些計算機病毒并不是一浸入你的機器，就會對機器造成破壞，它可能隱藏合法文件中，靜靜地呆幾周或者幾個月甚至幾年，具有很強的潛伏性，一旦時機成熟就會迅速繁殖、擴散。  ③.隱蔽性。計算機病毒是一種具有很高

33、編程技巧、短小精悍的可執(zhí)行程序，如不經(jīng)過程序代碼分析或計算機病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。 </p><p>　?、?破壞性。任何計算機病毒浸入到機器中，都會對系統(tǒng)造成不同程度的影響。輕者占有系統(tǒng)資源，降低工作效率，重者數(shù)據(jù)丟失、機器癱瘓。 </p><p>　　除了上述四點外，計算機病毒還具有不可預(yù)見性、可觸發(fā)性、衍生性、針對性、欺騙性、持久性等

34、特點。正是由于計算機病毒具有這些特點，給計算機病毒的預(yù)防、檢測與清除工作帶來了很大的難度。 </p><p>　　1.2 計算機病毒的發(fā)展階段</p><p><b>　　表 1.2</b></p><p>　　1.2.1 第一代病毒</p><p>　　第一代病毒的產(chǎn)生年限可以認為在1986-1989年之間，

35、這一期間出現(xiàn)的病毒可以稱之為傳統(tǒng)的病毒，是計算機病毒的萌芽和滋生時期。由于當時計算機的應(yīng)用軟件少，而且大多是單機運行環(huán)境，因此病毒沒有大量流行，流行病毒的種類也很有限，病毒的清除工作相對來說較容易。這一階段的計算機病毒具有如下的一些特點：</p><p>　?。?）病毒攻擊的目標比較單一，或者是傳染磁盤引導扇區(qū)，或者是傳染可執(zhí)行文件。</p><p>　?。?）病毒程序主要采取截獲系統(tǒng)中斷

36、向量的方式監(jiān)視系統(tǒng)的運行狀態(tài)，并在一定的條件下對目標進行傳染。</p><p>　?。?）病毒傳染目標以后的特征比較明顯，如磁盤上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加、文件建立日期、時間發(fā)生變化等等。這些特征容易被人工或查毒軟件所發(fā)現(xiàn)。</p><p>　?。?）病毒程序不具有自我保護的措施，容易被人們分析和解剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的消毒軟件。然而隨著計算機反病毒技術(shù)的提高和反病毒產(chǎn)品的

37、不斷涌現(xiàn)，病毒編制者也在不斷地總結(jié)自己的編程技巧和經(jīng)驗，千方百計地逃避反病毒產(chǎn)品的分析、檢測和解毒，從而出現(xiàn)了第二代計算機病毒。</p><p>　　1.2.2 第二代病毒</p><p>　　第二代病毒又稱為混合型病毒（又有人稱之為“超級病毒”），其產(chǎn)生的年限可以認為在1989-1991年之間，它是計算機病毒由簡單發(fā)展到復雜，由單純走向成熟的階段。計算機局域網(wǎng)開始應(yīng)用與普及，許多單機應(yīng)用

38、軟件開始轉(zhuǎn)向網(wǎng)絡(luò)環(huán)境，應(yīng)用軟件更加成熟，由于網(wǎng)絡(luò)系統(tǒng)尚未有安全防護的意識，缺乏在網(wǎng)絡(luò)環(huán)境下病毒防御的思想準備與方法對策， 給計算機病毒帶來了第一次流行高峰。這一階段的計算機病毒具有如下特點：</p><p>　?。?）病毒攻擊的目標趨于混合型，即一種病毒既可傳染磁盤引導扇區(qū)，又可能傳染可執(zhí)行文件。</p><p>　　（2）病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運行，而采取更為隱

39、蔽的方法駐留內(nèi)存和傳染目標。</p><p>　?。?）病毒傳染目標后沒有明顯的特征，如磁盤上不出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加不明顯，不改變被傳染文件原來</p><p>　　的建立日期和時間，等等。</p><p>　　（4）病毒程序往往采取了自我保護措施，如加密技術(shù)、反跟蹤技術(shù)，制造障礙，增加人們分析和解剖的難度，同時也增</p><p&g

40、t;　　加了軟件檢測、解毒的難度。</p><p>　　（5）出現(xiàn)許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。</p><p>　　總之，這一時期出現(xiàn)的病毒不僅在數(shù)量上急劇地增加，更重要的是病毒從編制的方式、方法，駐留內(nèi)存以及對宿主程序的傳染方式、方法等方面都有了較大的變化。</p><p>　　1.2.3 第三代病毒</p>&l

41、t;p>　　第三代病毒的產(chǎn)生年限可以認為從1992年開始至1995年，此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒， 是最近幾年來出現(xiàn)的新型的計算機病毒。所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標時， 放人宿主程序中的病毒程序大部分都是可變的，即在搜集到同一種病毒的多個樣本中，病毒程序的代碼絕大多數(shù)是不同的， 這是此類病毒的重要特點。正是由于這一特點，傳統(tǒng)的利用特征碼法檢測病毒的產(chǎn)品不能檢測出此類病毒。</

42、p><p>　　據(jù)資料介紹，此類病毒的首創(chuàng)者是Mark Washburn，他并不是病毒的有意制造者，而是一位反病毒的技術(shù)專家。 他編寫的1260病毒就是一種多態(tài)性病毒，此病毒1990年1月問世，有極強的傳染力，被傳染的文件被加密，每次傳染時都更換加密密鑰，而且病毒程序都進行了相當大的改動。他編寫此類病毒的目的是為了研究，他將此類病毒散發(fā)給他的同事， 其目的是為了向他們證明特征代碼檢測法不是在任何場合下都是有效的。然

43、而，不幸的是，為研究病毒而發(fā)明的此種病毒超出了反病毒的技術(shù)范圍，流入了病毒技術(shù)中。 1992年上半年，在保加利亞發(fā)現(xiàn)了黑夜復仇者（Dark Avenger）病毒的變種“MutationDark Avenger”。這是世界上最早發(fā)現(xiàn)的多態(tài)性的實戰(zhàn)病毒，它可用獨特的加密算法產(chǎn)生幾乎無限數(shù)量的不同形態(tài)的同一病毒。據(jù)悉該病毒作者還散布一種名為“多態(tài)性發(fā)生器”的軟件工具， 利用此工具將普通病毒進行編譯即可使之變?yōu)槎鄳B(tài)性病毒。國內(nèi)在1994年年

44、底已經(jīng)發(fā)現(xiàn)了多態(tài)性病毒——“幽靈”病毒，迫使許多反病毒技術(shù)部門開發(fā)了相應(yīng)的檢測和消毒產(chǎn)品。</p><p>　　由此可見，第三階段是病毒的成熟發(fā)展階段。在這一階段中病毒的發(fā)展主要是病毒技術(shù)的發(fā)展，病毒開始向多維化方向發(fā)展，即傳統(tǒng)病毒傳染的過程與病毒自身運行的時間和空間無關(guān)，而新型的計算機病毒則將與病毒自身運行的時間、 空間和宿主程序緊密相關(guān)，這無疑將導致計算機病毒檢則和消除的困難。</p><

45、p>　　1.2.4 第四代病毒</p><p>　　90年代中后期，隨著遠程網(wǎng)、遠程訪問服務(wù)的開通，病毒流行面更加廣泛，病毒的流行迅速突破地域的限制， 首先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴散。1996年下半年隨著國內(nèi)Internet的大量普及，Email的使用，夾雜于 Email內(nèi)的WORD宏病毒已成為當前病毒的主流。由于宏病毒編寫簡單、破壞性強、清除繁雜，加上微軟對DOC文檔結(jié)構(gòu)沒有公開，給直

46、接基于文檔結(jié)構(gòu)清除宏病毒帶來了諸多不便。從某種意義上來講，微軟Word Basic的公開性以及 DOC文檔結(jié)構(gòu)的封閉性，宏病毒對文檔的破壞已經(jīng)不僅僅屬于普通病毒的概念，如果放任宏病毒泛濫，不采取強有力的徹底解決方法， 宏病毒對中國的信息產(chǎn)業(yè)將會產(chǎn)生不測的后果。這一時期的病毒的最大特點是利用Internet作為其主要傳播途徑，因而，病毒傳播快、隱蔽性強、破壞性大。此外， 隨著Windows95的應(yīng)用，出現(xiàn)了Windows環(huán)境下的病毒。這

47、些都給病毒防治和傳統(tǒng)DOS版殺毒軟件帶來新的挑戰(zhàn)。誠然，計算機病毒的發(fā)展必然會促進計算機反病毒技術(shù)的發(fā)展，也就是說， 新型病毒的出現(xiàn)向以行為規(guī)則判定病毒的預(yù)防產(chǎn)品、以病毒特征為基礎(chǔ)的檢測產(chǎn)品以及根據(jù)計算</p><p>　　第二章 計算機病毒的檢測技術(shù)</p><p>　　2.1 反病毒技術(shù)的發(fā)展歷程</p><p>　　第一代反病毒技術(shù)：采取單純的計算機病毒特征判

48、斷可以準確地清除計算機病毒，可靠性很高隨著病毒技術(shù)的發(fā)展，特別是加密和變形技術(shù)的應(yīng)用，這種簡單的靜態(tài)掃描方式逐漸失去了作用。第二代反病毒技術(shù)：采用靜態(tài)廣譜特征掃描方法檢測病毒可更多地檢測出變形病毒，但是誤報率也有所提高容易造成文件和數(shù)據(jù)的破壞。第三代反病毒技術(shù)：靜態(tài)掃描技術(shù)和動態(tài)仿真技術(shù)相結(jié)合查找病毒和清除病毒合二為一，形成一個整體解決方案能全面實現(xiàn)預(yù)防、檢測和清除等反病毒所必備的各種手段以駐留內(nèi)存方式防止病毒的入侵，凡是檢測到的計算機

49、病毒都能清除，不會破壞文件和數(shù)據(jù)第四代反計算機病毒技術(shù)：基于計算機病毒家族體系的命名規(guī)則、基于多位CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊、內(nèi)存解毒模塊和自身免疫模塊等先進的解毒技術(shù)。</p><p>　　2.2 計算機病毒技術(shù)的檢測原理</p><p>　　計算機病毒檢測技術(shù)：通過一定的技術(shù)手段判定出病毒的技術(shù)。計算機病毒檢測技術(shù)種類：根據(jù)病毒在特征分類基礎(chǔ)上的檢測

50、技術(shù)，根據(jù)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及感染方式、危機程度的變化對文件或數(shù)據(jù)段的檢驗和進行檢測，不針對具體病毒程序自身檢驗技術(shù)，即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，從而檢測到病毒的存在。反病毒程序計算各個可執(zhí)行程序的校驗和某些反病毒程序是常駐內(nèi)存程序反病毒程序常駐內(nèi)存中，搜索可能進入系統(tǒng)的計算機病毒，

51、其目的是阻止任何病毒感染系統(tǒng)。少數(shù)工具可以從感染病毒的程序中清除病毒，少數(shù)工具反病毒工具雖可將染毒程序修復好，但有些修復效果不能保證。某些反病毒工具還可能產(chǎn)生虛假報警。反病毒技術(shù)的主要分類：病毒診斷技術(shù)、病毒治療技術(shù)、病毒預(yù)防技術(shù)。</p><p>　　2.2.1檢測病毒的基本方法</p><p>　　1．借助簡單工具檢測——指DEBUG等常規(guī)軟件工具要求檢測者必須具備的知識：分析工具的性

52、能，磁盤內(nèi)部結(jié)構(gòu)（如BOOT區(qū)、主引導區(qū)、FAT表和文件目錄等有關(guān)知識），磁盤文件結(jié)構(gòu)（EXE文件頭部結(jié)構(gòu)，重定位方法、EXE和COM文件加載文件的不同等），中斷矢量表內(nèi)存管理（內(nèi)存控制塊、環(huán)境參數(shù)和文件的PSP結(jié)構(gòu)等），閱讀匯編程序的能力及其有關(guān)病毒的信息。 </p><p>　　2．借助專用工具檢測指專門的計算機病毒檢測工具，如Norto一般來說，專用工具具備自動掃描磁盤的功能，可檢測磁盤的染毒情況。病毒檢測

53、工具只能識別已知計算機病毒，其發(fā)展總是滯后于計算機病毒的發(fā)展，從而對相當數(shù)量的未知計算機病毒無法識別。</p><p>　　2.3 病毒主要檢測技術(shù)與方法</p><p>　　2.3.1外觀檢測法</p><p>　　雖不能準確判斷系統(tǒng)感染了何種病毒，但可通過異?，F(xiàn)象來判斷病毒的存在。</p><p>　　外觀檢測法是計算機病毒防治階段起重要

54、作用的一個環(huán)節(jié)</p><p><b>　　1．屏幕顯示異常</b></p><p><b>　　2．聲音異常</b></p><p><b>　　3．文件系統(tǒng)異常</b></p><p><b>　　4．程序異常</b></p><p

55、><b>　　5．系統(tǒng)異常</b></p><p>　　6．打印機、軟驅(qū)等外部設(shè)備異常</p><p>　　2.3.2系統(tǒng)數(shù)據(jù)對比法</p><p><b>　　內(nèi)存比較法：</b></p><p>　　依據(jù)：通常病毒要駐留內(nèi)存，造成可用內(nèi)存空間的減少</p><p>

56、　　內(nèi)存比較法是針對內(nèi)存駐留計算機病毒進行檢測的方法</p><p><b>　　中斷比較法：</b></p><p>　　依據(jù)：計算機病毒為實現(xiàn)其隱藏和傳染破壞的目的，常采用“截留盜用”技術(shù)，更改、接管中斷向量，使系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行計算機病毒控制部分。</p><p>　　方法：將正常系統(tǒng)的中斷向量與染毒系統(tǒng)的中斷向量進行比較，可發(fā)現(xiàn)是否有

57、計算機病毒修改或盜用中斷向量。</p><p>　　2.3.3病毒簽名檢測法</p><p>　　計算機病毒簽名：即計算機病毒感染標記。不同計算機病毒的簽名內(nèi)容不同，位置也不同。并非所有計算機病毒都具備計算機病毒簽名。計算機病毒簽名檢測法的特點：必須預(yù)先知道計算機病毒簽名的內(nèi)容和位置每一種計算機病毒簽名都要耗費大量勞力，因此用計算機病毒簽名的方法檢測計算機病毒，常常是低效不適用的方法可能造

58、成虛假報警。</p><p>　　2.3.4特征代碼法</p><p>　　原理：計算機病毒程序通常具有明顯的特征代碼特征代碼可能是病毒的感染標記，由字母和數(shù)字組成串可能是一小段程序由若干指令組成，特征代碼不一定連續(xù)。方法：通過搜索、比較計算機系統(tǒng)中是否含有與特征代碼數(shù)據(jù)庫中特征代碼匹配的特征代碼，從而確定系統(tǒng)是否染毒，感染了何種病毒。特點：依賴于對病毒精確特征的了解，必須事先對病毒樣本做

59、大量剖析分析計算機病毒需要很多時間，有時間滯后若病毒特殊代碼段的位置或代碼改動，則原檢測方法失敗。</p><p>　　2.3.5檢查常規(guī)內(nèi)存數(shù)</p><p>　　不能隨意選擇病毒體內(nèi)的一段作為特征代碼串代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)</p><p>　　保持唯一性的前提下，代碼串應(yīng)盡量短，特征代碼串應(yīng)最具代表性，足以區(qū)別于其他病毒程序，特征代碼串應(yīng)能區(qū)別于其他正常的

60、非病毒程序。實現(xiàn)步驟采集已知計算機病毒樣本、從計算機病毒樣本中，抽取計算機病毒特征代碼，將特征代碼納入計算機病毒數(shù)據(jù)庫檢測文件。</p><p><b>　　2.3.6校驗和法</b></p><p>　　原理：針對正常程序內(nèi)容計算其校驗和，將其寫入該程序或其他程序中保存。在程序應(yīng)用中，定期或每次使用前，計算程序當前內(nèi)容校驗和與原校驗和是否一致，從而發(fā)現(xiàn)病毒的存在&l

61、t;/p><p><b>　　特點：</b></p><p>　　可發(fā)現(xiàn)已知病毒，也可發(fā)現(xiàn)未知病毒</p><p>　　校驗和法不能識別病毒的種類，不能報出病毒具體名稱</p><p><b>　　校驗和法誤報率很高</b></p><p>　　方法：在計算機病毒工具中納入校驗和

62、在應(yīng)用程序中放入校驗和和自我檢查功能將校驗和檢查程序常駐內(nèi)存。</p><p>　　2.3.7行為檢測法</p><p>　　原理：病毒有些行為是病毒的共同行為，且比較特殊，甚至罕見。程序運行時，監(jiān)視其行為，若發(fā)現(xiàn)病毒行為，立即報警。檢測病毒的行為特征占用INT 13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量。對.COM和.EXE文件做寫入操作，計算機病毒與宿主程序的邦定和切換格式化磁盤或某些磁道等

63、破壞行為。掃描、試探特定網(wǎng)絡(luò)端口發(fā)送網(wǎng)絡(luò)廣播，修改文件、文件夾屬性，添加共享等。</p><p>　　2.3.8軟件模擬法</p><p>　　軟件模擬法：專門用來檢測變形病毒，即多態(tài)性病毒</p><p>　　變形病毒特征：病毒傳播到目標后，病毒自身代碼和結(jié)構(gòu)在空間上、時間上具有不同的變化。</p><p><b>　　變形病毒類

64、型：</b></p><p>　　第一類：一維變形計算機病毒</p><p>　　當病毒傳播到一個目標后，其自身代碼與前一目標中的病毒代碼幾乎沒有3個連續(xù)字節(jié)是相同的，但其相對空間的排列位置是不變的個別病毒遇到檢測時能進行自我加密或解密，或自我消失。有的病毒能在列目錄時能消失增加的字節(jié)數(shù)，或在加載跟蹤時能破壞跟蹤或逃之夭夭。</p><p><b&

65、gt;　　變形病毒類型：</b></p><p>　　第二類：二維變形計算機病毒</p><p>　　除了具備一維變形病毒的特征外，而且變化的代碼相互間的排列距離（相對空間位置）也是變化的。</p><p>　　第三類：三維變形計算機病毒</p><p>　　除了具備二維變形病毒的特征外，而且能分裂后分別潛藏幾處，當病毒引擎激活后

66、能自我恢復成一個完整的計算機病毒計算機病毒在附著體上的空間位置是變化的，即潛藏位置不定。</p><p>　　第四類：四維變形計算機病毒具備三維變形病毒的特征，而且這些特性隨時間動態(tài)變化。 四維變形病毒大部分具備網(wǎng)絡(luò)自動傳播功能，能在網(wǎng)絡(luò)的不同角落到處隱藏。</p><p>　　檢測：一般而言，多態(tài)計算機病毒的變換方式：</p><p>　　采用等價代碼對原有代碼進

67、行替換；</p><p>　　改變與執(zhí)行次序無關(guān)的指令的次序；</p><p><b>　　增加許多垃圾指令；</b></p><p>　　對原有病毒代碼進行壓縮或加密。</p><p>　　軟件模擬技術(shù)：又稱為解密引擎、虛擬機技術(shù)、虛擬執(zhí)行技術(shù)或軟件仿真技術(shù)。</p><p>　　軟件模擬技術(shù)是

68、一種軟件分析器，用軟件方法模擬一個程序運行環(huán)境，將可疑程序載入其中運行，在執(zhí)行過程中，待計算機病毒對自身進行解碼后，再運用特征代碼法來識別病毒的種類，并進行清除，從而實現(xiàn)對各類多態(tài)病毒的查殺。</p><p>　　2.3.9啟動式代碼掃描技術(shù)</p><p>　　1. 計算機病毒掃描技術(shù)：當前最主要的查殺方式</p><p>　　主要通過檢查文件、扇區(qū)和系統(tǒng)內(nèi)存來搜

69、索計算機病毒，用“標記”查找已知病毒，病毒標記就是病毒常用代碼的特征。</p><p><b>　　按殺毒方式分類：</b></p><p>　　通用掃描：不依賴操作系統(tǒng)，可查找各種病毒</p><p>　　專用掃描：專查某種計算機病毒</p><p>　　按用戶操作方式分類：</p><p>　

70、　實時掃描：若出現(xiàn)計算機病毒，能夠立即發(fā)現(xiàn)</p><p>　　請求掃描：只在運行時才能檢測計算機病毒</p><p>　　檢測病毒的主要依據(jù)：病毒和正常程序之間存在很多區(qū)別</p><p>　　2．啟發(fā)式代碼掃描：又稱啟發(fā)式職能代碼分析</p><p>　　將人工智能的知識和原理運用到計算機病毒檢測中，運用啟發(fā)式掃描技術(shù)的計算機病毒檢測軟件

71、，實際上就是以人工智能的方式實現(xiàn)的動態(tài)反編譯代碼分析、比較器，通過對程序有關(guān)指令序列進行反編譯，逐步分析、比較，根據(jù)其動機判斷是否為計算機病毒。</p><p>　　3．啟發(fā)式掃描通常應(yīng)設(shè)立的標志：</p><p>　　為了對程序可能的操作進行加權(quán)統(tǒng)計和描述，計算機病毒檢測程序會對被檢測程序作疑似計算機病毒的標記。如：TBScan定義的常用標志。</p><p>&

72、lt;b>　　4．誤報/漏報</b></p><p>　　誤報：將一個本無計算機病毒的程序指證為染毒程序</p><p>　　漏報：將一個計算機病毒程序作為正常程序處理</p><p>　　產(chǎn)生原因：被檢測程序中含有病毒所使用或含有的可疑功能</p><p>　　減少或避免誤報/漏報：</p><p>

73、;　　準確把握病毒的行為和可疑功能調(diào)用集合的精確定義；</p><p>　　對于常規(guī)程序代碼的識別能力；</p><p>　　對于特定程序代碼的識別能力；</p><p>　　類似“無罪假定”的功能。</p><p><b>　　5．其他掃描技術(shù)</b></p><p>　　CRC掃描：磁盤中的實

74、際文件或系統(tǒng)扇區(qū)的CRC值（檢驗和），這些CRC值被殺毒軟件保存在自己的數(shù)據(jù)庫中，在運行殺毒軟件時，用備份的CRC值與當前計算的值比較，可知文件是否已被修改或被計算機病毒感染。</p><p>　　2.3.10主動內(nèi)核技術(shù)</p><p>　　Active K（主動內(nèi)核）技術(shù)的要點在于能夠在計算機病毒突破計算機系統(tǒng)軟、硬件的瞬間發(fā)生作用。一方面不會傷及計算機系統(tǒng)本身；另一方面對企圖入侵系統(tǒng)

75、的計算機病毒具有徹底攔截并殺除的作用。</p><p>　　主動內(nèi)核技術(shù)：從操作系統(tǒng)內(nèi)核的深度，給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打一“主動”的補丁，從安全角度對系統(tǒng)進行管理和檢查，對系統(tǒng)的漏洞進行修補，任何文件在進入系統(tǒng)之前，作為主動內(nèi)核的反病毒模塊都將首先使用各種手段對文件進行檢測處理。</p><p>　　2.3.11病毒分析法</p><p>　　使用病毒分析法的人——反

76、計算機病毒技術(shù)人員</p><p>　　使用病毒分析法的目的：即使用病毒分析法的工作順序確認被觀察的磁盤引導扇區(qū)和程序中是否有病毒，確認病毒的類型和種類，判斷其是否是一種新病毒分析病毒的大致結(jié)構(gòu)，提取特征字符串或特征字，詳細分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。</p><p>　　使用病毒分析法的要求：</p><p>　　具有比較全面的有關(guān)計算機、DOS

77、結(jié)構(gòu)和功能調(diào)用以及關(guān)于計算機病毒方面的各種知識。此外，還需要Debug、Provie等分析用工具軟件和專用的試驗用計算機。</p><p>　　靜態(tài)分析：利用Debug等反匯編程序?qū)⒂嬎銠C病毒反匯編后進行分析，分析病毒的組成模塊、病毒使用的系統(tǒng)調(diào)用，病毒采用的技巧、清除病毒的方法，特征碼的選取。</p><p>　　動態(tài)分析：利用Debug等調(diào)試工具在內(nèi)存帶毒情況下，對病毒作動態(tài)跟蹤，觀察

78、病毒的具體工作過程，在靜態(tài)分析基礎(chǔ)上理解病毒的工作原理。</p><p>　　2.3.12病毒感染法</p><p><b>　　感染實驗法：</b></p><p>　　用于檢測病毒檢測工具不認識的新計算機病毒，可擺脫對計算機病毒檢測工具的依賴，自主地檢測可疑的新計算機病毒。</p><p><b>　　原理

79、：</b></p><p>　　① 利用計算機病毒的最重要的基本特征——感染特性</p><p>　?、?檢測未知引導型計算機病毒的感染實驗法</p><p>　?、?檢測未知文件型計算機病毒的感染實驗法</p><p>　　總之  計算機病毒檢測技術(shù)在計算機網(wǎng)絡(luò)安全防護中起著至關(guān)重要的作用，主要有：①堵塞計算

80、機病毒的傳播途徑，嚴防計算機病毒的侵害；②計算機病毒的可以對計算機數(shù)據(jù)和文件安全構(gòu)成威脅，那么計算機病毒檢測技術(shù)可以保護計算機數(shù)據(jù)和文件安全；③可以在一定程度上打擊病毒制造者的猖獗違法行為；④最新病毒檢測方法技術(shù)的問世為以后更好應(yīng)對多變的計算機病毒奠定了方法技術(shù)基礎(chǔ)。 雖然，計算機病毒檢測技術(shù)的作用很大，但并不能完全防止計算機病毒的攻擊，我們必須提高警惕，充分發(fā)揮主觀能動性。因此，加強IT行業(yè)從業(yè)人員的職業(yè)道德教育、加快完善計

81、算機病毒防止方面的法律法規(guī)、加強國際交流與合作同樣顯得刻不容緩。也許只有這樣計算機計算機病毒檢測技術(shù)才能更好發(fā)揮作用，我們才能更好防止日益變化和復雜的計算機病毒的攻擊。 </p><p>　　第三章 計算機病毒的工作原理</p><p>　　3.1 程序病毒的工作原理</p><p>　　計算機系統(tǒng)的內(nèi)存是一個非常重要的資源，我們可以認為所有的工作都需要

82、在內(nèi)存中運行（相當于人的大腦），所以控制了內(nèi)存就相當于控制了人的大腦，病毒一般都是通過各種方式把自己植入內(nèi)存，獲取系統(tǒng)最高控制權(quán)，然后感染在內(nèi)存中運行的程序。（注意，所有的程序都在內(nèi)存中運行，也就是說，在感染了病毒后，你所有運行過的程序都有可能被傳染上，感染哪些文件這由病毒的特性所決定）。目前最多的一類病毒，主要感染.exe 和 .dll 等可執(zhí)行文件和動態(tài)連接庫文件，比如很多的蠕蟲病毒都是這樣。注意蠕蟲病毒不是一個病毒，而是一個種類。

83、他的特點是針對目前INTERNET高速發(fā)展，主要在網(wǎng)絡(luò)上傳播，當他感染了一臺計算機之后，可以自動的把自己通過網(wǎng)絡(luò)發(fā)送出去，比如發(fā)送給同一居欲網(wǎng)的用戶或者自動讀取你的EMAIL列表，自動給你的朋友發(fā)EMAIL等等。感染了蠕蟲病毒的機器一秒種可能會發(fā)送幾百個包來探測起周圍的機器。會造成網(wǎng)絡(luò)資源的巨大浪費。所以這次我們殺毒主要是針對這種病毒。 切記：病毒傳染的前提就是，他必須把自己復制到內(nèi)存中，硬盤中的帶毒文件如果沒有被讀入內(nèi)寸，是不會傳染

84、的，這在殺毒中非常重要。而且，計算機斷電后內(nèi)存內(nèi)容會丟</p><p>　　3.1.1 程序性病毒是如何傳播的</p><p>　　病毒傳播最主要的途徑是網(wǎng)絡(luò)，還有軟盤和光盤。比如，我正在工作時，朋友拿來一個帶病毒的軟盤，比如，該病毒感染了磁盤里的A文件，我運行了一下這個A文件，病毒就被讀如內(nèi)存，如果你不運行染毒文件，程序型病毒是不會感染你的機器的（不要罵，我這里說的是程序型病毒，后面我會

85、說引導型病毒，他只要打開軟盤就會感染）當染毒文件被運行，病毒就進入內(nèi)存，并獲取了內(nèi)存控制權(quán)，開始感染所有之后運行的文件。比如我運行了WORD。EXE ，則該文件被感染，病毒把自己復制一份，加在WORD.EXE文件的后面，會使該文件長度增加1到幾個K。（不是所有病毒都這樣，我舉這個離子只是想介紹病毒感染過程） 好，接下來，比如說我關(guān)機了，則內(nèi)存中的病毒被清除，我機子中所有的染毒文件只有WORD.exe。第二天，我又開機時，內(nèi)存是干凈的。

86、比如我需要用WORD，于是，該染毒文件中的病毒被讀如內(nèi)存，繼續(xù)感染下面運行的程序，周而復始，時間越長，染毒文件越多。到了一定時間，病毒開始發(fā)作（根據(jù)病毒作者定義的條件，有的是時間，比如CIH，有的是感染規(guī)模等等）執(zhí)行病毒作者定義的操作，比如無限復制，占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡(luò)傳播甚至格式化</p><p>　　3.2 引導型病毒的工作原理</p><p>　　看了前面的病毒傳染

87、過程，大家很容易想到，只要我啟動計算機后不運行染毒程序，直接刪除不就可以了。實際上，現(xiàn)在的病毒沒有那么弱智的，下面我門來看看其他的幾種傳染機制，首先看看引導型病毒 。剛才說了，病毒必須進入內(nèi)存才可以繼續(xù)感染，只有被運行他才可以進入內(nèi)存，那么與等用戶來運行，如果用戶長期不用這個染度文件，豈不是等的花而也謝了。引導型病毒感染的不是文件，而是磁盤引導區(qū)，他把自己寫入引導區(qū)，這樣，只要磁盤被讀寫，病毒就首先被讀取入內(nèi)存。這就是為什么殺毒要用干凈

88、的啟動盤啟動，為的就是防止引導型病毒。</p><p>　　3.2.1 引導型病毒是如何傳播的</p><p>　　在計算機啟動時，必須讀取硬盤主引導區(qū)獲得分區(qū)信息，再讀取C：盤引導區(qū)獲取操作系統(tǒng)信息，這時候任何殺毒軟件都無法控制，這樣我先介紹一下計算機的啟動順序，大家只要記住一點就是：任何程序都要被讀入內(nèi)存才會起作用。 計算機加電后，內(nèi)存是空的，首先從BIOS中讀取一些啟動參數(shù)到內(nèi)存中

89、，這些命令控制計算機去做下一步工作就是自檢。（BIOS就是固化在ROM中的基本輸入輸出系統(tǒng)的意思，ROM是只讀存儲器，因為計算機是一個機電設(shè)備，它不會自己干什么事情，必須由軟件，也就是人事先寫好的程序來控制他工作，而這些程序必須被讀入內(nèi)存才可以控制計算機。接下來，計算機自檢，發(fā)現(xiàn)硬盤，讀取硬盤主引導程序到內(nèi)存中，再讀取C盤的引導程序到內(nèi)存中，再讀取操作系統(tǒng)文件到內(nèi)存中，然后開始由操作系統(tǒng)文件控制計算機開始啟動。啟動完畢后，讀入各種自動運

90、行的文件，比如天網(wǎng)放火墻、QQ、病毒監(jiān)測軟件、等等， 前面說過，誰先進入內(nèi)存，誰先占據(jù)系統(tǒng)控制權(quán)，從上面的啟動順序可以發(fā)現(xiàn)，如果病毒在引導區(qū)，那么，他被讀入內(nèi)存的時候，殺毒軟件還不知道在那里呢。 舉個離子：比如我拿了一張染有引導型病毒的軟盤用，當我雙擊A盤圖標后，計算機開始讀軟盤，首</p><p>　　3.3 計算機病毒的發(fā)展趨勢</p><p>　　從某種意義上說，21世紀是計算機

91、病毒與反病毒激烈角逐的時代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀計算機病毒的發(fā)展趨勢。</p><p>　?、?計算機病毒智能化</p><p>　　與傳統(tǒng)計算機病毒不同的是，許多新病毒（包括蠕蟲、黑客工具和木馬等惡意程序）是利用當前最新的編程語言與編程技術(shù)實現(xiàn)的，它們易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。例如，“愛蟲”病毒是用VB Script語言編寫的，只要通

92、過Windows下自帶的編輯軟件修改病毒代碼中的一部分，就能輕而易舉地制造出病毒變種，從而可以躲避反病毒軟件的追擊。 另外，新病毒利用Java、Active X、VB Script等技術(shù)，可以潛伏在HTML頁面里，在上網(wǎng)瀏覽時觸發(fā)。“Kakworm”病毒雖然早在2004年1月就被發(fā)現(xiàn)，但它的感染率一直居高不下，原因就是由于它利用ActiveX控件中存在的缺陷進行傳播，因此裝有IE6或Office 2003的計算機都可能被感染。

93、這個病毒的出現(xiàn)使原來不打開帶毒郵件附件而直接予以刪除的防郵件病毒的方法完全失效。更令人擔心的是，一旦這種病毒被賦予其他計算機病毒的特性，其危害很有可能超過任何現(xiàn)有的計算機病毒。 </p><p>　?、?計算機病毒人性化</p><p>　　更確切地說，也可以將人性化稱為誘惑性?，F(xiàn)在的計算機病毒越來越注重利用人們的心理因素，如好奇、貪婪等。前一陣肆虐一時的“裸妻”病毒郵件的主題就是英文的“

94、裸妻”，郵件正文為“我的妻子從未這樣”，郵件附件中攜帶一個名為“裸妻”的可執(zhí)行文件，用戶一旦執(zhí)行這個文件，病毒就被激活。最近出現(xiàn)的My-babypic病毒是通過可愛的寶寶照片傳播病毒的。而“庫爾尼科娃”病毒的大流行則是利用了“網(wǎng)壇美女”庫爾尼科娃難以抵擋的魅力。</p><p>　?、?計算機病毒隱蔽化 </p><p>　　相比較而言，新一代病毒更善于隱藏和偽裝自己。其郵件主題會在傳播中

95、改變，或者具有極具誘惑性的主題和附件名。許多病毒會偽裝成常用程序，或者在將病毒代碼寫入文件內(nèi)部的同時不改變文件長度，使用戶防不勝防。 主頁病毒的附件homepage html vbs并非一個HTML文檔，而是一個惡意的VB腳本程序，一旦被執(zhí)行，就會向用戶地址簿中的所有電子郵件地址發(fā)送帶毒的電子郵件副本。再比如“維羅納”病毒，該病毒將病毒寫入郵件正文，而且主題和附件名極具誘惑性，其主題眾多，更替頻繁，使用戶很容易由于麻痹大意而

96、感染。此外，matrix等病毒會自動隱藏和變形，甚至阻止受害用戶訪問反病毒網(wǎng)站和向記錄病毒的反病毒地址發(fā)送電子郵件，無法下載經(jīng)過更新和升級后的相應(yīng)殺毒軟件或發(fā)布病毒警告消息。 </p><p>　?、?計算機病毒多樣化</p><p>　　在新病毒層出不窮的同時，老病毒依然充滿活力，并呈現(xiàn)多樣化的趨勢。1999年對普遍發(fā)作的計算機病毒分析顯示，雖然新病毒不斷產(chǎn)生，但較早的病毒發(fā)作仍很普遍。

97、1999年報道最多的病毒是1996年就首次發(fā)現(xiàn)并到處傳播的宏病毒Laroux。新病毒具有可執(zhí)行程序、腳本文件、HTML網(wǎng)頁等多種形式，并正向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ、OICQ等發(fā)展。 更為棘手的是，新病毒的手段更加陰狠，破壞性更強。據(jù)計算機經(jīng)濟研究中心的報告顯示，在2000年5月“愛蟲”病毒大流行的前5天，病毒就已經(jīng)造成了67億美元的損失。而該中心1999年的統(tǒng)計數(shù)據(jù)顯示，到1999年末病毒損失只是120億美元。</p

98、><p>　　第四章 常見計算機病毒的預(yù)防</p><p>　　4.1 計算機病毒的預(yù)防</p><p>　　4.1.1 計算機病毒防護技術(shù)介紹</p><p>　　關(guān)于病毒，經(jīng)歷過計算機病毒多次侵害的人們，想必已經(jīng)非常熟悉了。人們也使用了許多種反病毒軟件，但仍經(jīng)常受到病毒的攻擊，大家都沒弄太清楚，到底怎么做，才能保證計算機每分每秒的安全

99、。經(jīng)歷過CIH，“美麗殺”病毒的洗禮，人們已知道了“查殺病毒不可能一勞永逸”的道理，已經(jīng)明白維護計算機的安全是一項漫長的過程。 現(xiàn)在世界上成熟的反病毒技術(shù)已經(jīng)完全可以作到對所有的已知病毒徹底預(yù)防、徹底殺除，主要涉及以下三大技術(shù)：1、實時監(jiān)視技術(shù) </p><p>　　這個技術(shù)為計算機構(gòu)筑起一道動態(tài)、實時的反病毒防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計算機系統(tǒng)之門外。時刻監(jiān)視系統(tǒng)當

100、中的病毒活動，時刻監(jiān)視系統(tǒng)狀況，時刻監(jiān)視軟盤、光盤、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。優(yōu)秀的反病毒軟件由于采用了與操作系統(tǒng)的底層無縫連接技術(shù)，實時監(jiān)視器占用的系統(tǒng)資源極小，用戶一方面完全感覺不到對機器性能的影響，一方面根本不用考慮病毒的問題。只要實時反病毒軟件實時地在系統(tǒng)中工作，病毒就無法侵入我們的計算機系統(tǒng)?？梢员ＷC反病毒軟件只需一次安裝，今后計算機運行的每一秒鐘都會執(zhí)行嚴格的反病毒檢查，使因特網(wǎng)、光盤、軟盤等

101、途徑進入計算機的每一個文件都安全無毒，如有毒則進行自動殺除。2、自動解壓縮技術(shù) </p><p>　　目前我們在因特網(wǎng)、光盤以及 WINDOWS中接觸到的大多數(shù)文件都是以壓縮狀態(tài)存放，以便節(jié)省傳輸時間或節(jié)約存放空間，這就使得各類壓縮文件已成為了計算機病毒傳播的溫床。如中國計算機報光盤InfoCD十月號染上CIH病毒事件，就是3個壓縮文件內(nèi)部中含有病毒。 如果用戶從網(wǎng)上下載了一個帶病毒的壓縮文件包，或從

102、光盤里運行一個壓縮過的帶毒文件，用戶會放心地使用這個壓縮文件包，然后自己的系統(tǒng)就會不知不覺地被壓縮文件包中的病毒感染。而且現(xiàn)在流行的壓縮標準有很多種，相互之間有些還并不兼容，全面覆蓋各種各樣的壓縮格式，就要求了解各種壓縮格式的算法和數(shù)據(jù)模型，這就必須和壓縮軟件的生產(chǎn)廠商有很密切的技術(shù)合作關(guān)系，否則，解壓縮就會出問題。3、全平臺反病毒技術(shù)</p><p>　　目前病毒活躍的平臺有：WINDOWS、NT、WIN

103、XP、WIN 2000、WIN 2003、NETWARE、NOTES、EXCHANGE等，為了反病毒軟件做到與系統(tǒng)的底層無縫連接，可靠地實時檢查和殺除病毒，必須在不同的平臺上使用相應(yīng)平臺的反病毒軟件，如你用的是WINDOWS的平臺，則你必須用WINDOWS版本的反毒軟件。如果是企業(yè)網(wǎng)絡(luò)，什么版本的平臺都有，那么就要在網(wǎng)絡(luò)的每一個SERVER、CLIENT端上安裝WINDOWS95/98/ME/XP/2000/2003等平臺的反病毒軟件，

104、每一個點上都安裝了相應(yīng)的反病毒模塊，每一個點上都能實時地抵御病毒攻擊。只有這樣，才能作到網(wǎng)絡(luò)的真正安全和可靠。</p><p>　　4.1.2 計算機病毒的技術(shù)防范措施</p><p>　　隨著計算機及計算機網(wǎng)絡(luò)的發(fā)展,伴隨而來的計算機病毒傳播問題越來越引起人們的關(guān)注。隨因特網(wǎng)的流行單位內(nèi)部局域網(wǎng)的建立,有些計算機病毒借助網(wǎng)絡(luò)爆發(fā)流行,它們與以往的計算機病毒相比具有一些新的特點,給廣大計

105、算機用戶帶來了極大的損失。</p><p>　　對于電腦病毒，主要采取以“防”為主，以“治”為輔的方法。阻止病毒的侵入比病毒侵入后再去發(fā)現(xiàn)和排除它重要得多。預(yù)防堵塞病毒傳播途徑主要有以下措施：</p><p>　　首先應(yīng)該謹慎使用公共和共享的軟件，因為這種軟件使用的人多而雜，所以它們攜帶病毒的可能性較大。</p><p>　　其次應(yīng)盡量不使用辦公室外帶來的軟盤，特別

106、是在公用電腦上使用過的軟盤，盡管有些軟盤只是本辦公室的職員帶回家使用過，但誰能保證這些職員家中的機器沒被感染呢?</p><p>　　密切關(guān)注有關(guān)媒體發(fā)布的反病毒信息，特別是某些定期發(fā)作的病毒，如CIH病毒會在4月26日發(fā)作等，在這個時間我們可以不開電腦。</p><p>　　寫保護所有系統(tǒng)盤和文件。</p><p>　　提高病毒防范意識，使用軟件時，盡量用正版軟件

107、，盡可能不使用盜版軟件和來歷不明的軟件。</p><p>　　除非是原始盤，絕不用軟盤去引導硬盤。</p><p>　　不要隨意復制、使用不明來源的軟盤、光盤。對外來盤要查、殺毒，確認無毒后再使用。自己的軟盤也不要拿到別的電腦上使用。</p><p>　　對重要的數(shù)據(jù)、資料、CMOS以及分區(qū)表要進行備份，創(chuàng)建一張無毒的啟動軟盤，用于重新啟動或安裝系統(tǒng)。</p&

108、gt;<p>　　在電腦系統(tǒng)中安裝正版殺毒軟件，定期用正版殺毒軟件對引導系統(tǒng)進行查毒、殺毒，建議配備多套殺毒軟件，因為每種殺毒軟件都有自己的特點，用殺毒軟件進行交叉殺毒則可以確保殺毒的效果，對殺毒軟件要及時進行升級。</p><p>　　使用病毒防火墻，病毒防火墻具有實時監(jiān)控的功能，能抵抗大部分的病毒入侵。很多殺毒軟件都帶有病毒防火墻功能。但是電腦的各種異?，F(xiàn)象，即使安裝了“防火墻”系統(tǒng)，也不要掉以

109、輕心，因為殺毒軟件對未知的病毒也是無可奈何的。</p><p>　　限制網(wǎng)上可執(zhí)行代碼的交換。</p><p>　　對新搬到本辦公室的機器“消毒”后再使用。</p><p>　　絕不把用戶數(shù)據(jù)或程序?qū)懙较到y(tǒng)盤上。</p><p>　　絕不執(zhí)行不知來源的程序。</p><p>　　如果不能防止病毒侵入，那至少應(yīng)該盡早發(fā)現(xiàn)

110、它的侵入。顯然，發(fā)現(xiàn)病毒越早越好，如果能夠在病毒產(chǎn)生危害之前發(fā)現(xiàn)和排除它，則可以使系統(tǒng)免受危害；如果能在病毒廣泛傳播之前發(fā)現(xiàn)它，則可以使系統(tǒng)中修復的任務(wù)較輕和較容易?？傊?，病毒在系統(tǒng)內(nèi)存在的時間越長，產(chǎn)生的危害就越大。</p><p>　　目前發(fā)現(xiàn)的計算機病毒的主要癥狀</p><p>　　由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來，磁盤壞簇莫名其妙地增多。</p>&