计算机病毒论文

随着计算机网络技术的高速发展,利用广泛开放的网络环境进行全球通信已成为时代发展的趋势。但是网络在给人们带来巨大便利的同时也带来了各种各样的安全威胁,其中计算机病毒就是其中之一,并且随着互联网的发展,计算机病毒传播的速度越来越快,给人们带来的危害也越来越大,因此如何对计算机病毒进行防治对于计算机安全来说就显得非常关键。

目前计算机的应用遍及到社会的各个领域，同时计算机病毒也给笔者带来了巨大的破坏和潜在的威胁。对于大多数计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机的普及与深入，对计算机病毒的防范也在越来越受到计算机用户的重视。作为计算机的使用者，应了解计算机病毒的防治技术和检测应用，以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作，计算机病毒的防治技术，已经迫在眉睫。本论文从计算机病毒的定义入手，浅谈计算机病毒的特点及其防治技术及其检测应用。

计算机病毒更新速度快，层出不穷，给计算机个人用户和、企业等都带来了巨大的危害。作为是计算机的使用者，同时也是计算机的专业的学者，就该应了解计算机病毒的防治技术及其检测应用，以维护正常、安全的计算机使用和通信环境。全文就计算机病毒防治技术及其检测应用的途径与防治研究做了详细论述。

关键字：计算机安全，病毒，防治技术，检测应用

第一章  前言

计算机技术的迅猛发展给人们的工作和生活带来了前所未有的便利和效率，成为现代社会不可缺少的一部分。计算机系统并不是安全的,其不安全因素有计算机信息系统自身的存在,也有人为因素的存在。计算机病毒就是最不安全的因素之一，它不但会造成资源和财富的巨大浪费，而且有可能造成社会性的大灾难。计算机病毒被人们称之为“21世纪最大的隐患”，病毒数量将呈现爆炸式的增长，病毒变种更是多不胜数，因此研究计算机病毒机理和反病毒技术具有重要意义。

本文将简述了解计算机病毒产生的原理，根据计算机病毒的感染方式,对病毒进行了分类，同时还根据计算机感染方式作了详细探讨它的入侵方式，在对分析计算机病毒将可能产生的各种溢出漏洞和后门，并给出了具体的防范措施和几种对抗计算机病毒的一些有效的软件工具，并对未来病毒的形式以及抗病毒技术进行了进一步的预测。

2.1计算机病毒含义

计算机病毒是指编制者在计算机程序中插入的内容,能破坏数据或破坏计算机功能，并能起到影响计算机的使用,具有自我复制的一段计算机指令或者程序代码, 在计算机运行中对计算机信息或系统起破坏作用的程序。计算机病毒的特点是人为的特制的程序，自我复制能力很强，具有很强的传染性，一定的潜伏性，在特定的触发条件下它具有很大的破坏性。在网络飞速发展的现代化信息时代的今天，病毒呈现出病毒的多样性、翻新速度快、传播途径多、扩散速度极快、目的性和针对性更强等新特点。

简单地说，计算机病毒是一种特殊的计算机程序。因为这种特殊的程序，它像微生物学所称的病毒一样，在计算机系统中繁殖、生存和传播，并像微生物学中的病毒对动植物体带来疾病那样，这种特殊的计算机程序 可以对计算机系统资源造成严重的破坏。所以人们就借用了这个微生物学名词，来形象地描述这种特殊的计算机程序。并称之为“计算机病毒”(Computer virus).

2.2病毒产生的特点

计算机病毒就是一些具有“病毒”功能的程序或程序段,把自己的一个副本附加到另一个程序上面进行复制,并广泛传播,干扰正常工作,占用系统资源,损坏数据等。其特点:

（1）感染性是指计算机病毒具有把自身复制到其他程序中的特性。

（2）隐蔽性是指具有很高的编程染技巧、短小精悍的程序，通过附在正常程序中或磁盘较隐蔽的地方。

（3）潜伏性指病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足特定的条件下时才启动其表现（破坏）模块。

（4）破坏性是指任何计算机病毒只要侵入系统,都会对系统及应用程序产生程度不同的破坏,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。 

（5）衍生性是指改动已有的计算机病毒程序而衍生出的新计算机病毒,可能比原计算机病毒具有更大的危害性。

（6）不可预见性是指从对计算机病毒的检测方面来看，计算机病毒还有不可预见性，不同种类的计算机病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。

由它的特点笔者也可以看出计算机病毒的结构组成包括传播机制,也称为感染机制,目的在于实现自身的复制和自身的隐藏;触发机制,包括日期和时间、键盘、感染、启动、磁盘访问和中断访问触发等;破坏机制主要攻击系统数据区、文件和硬盘、内存等等。

2.3 计算机病毒分类

2.3.1 按病毒存在的媒体分类

•网络病毒：通过计算机的网络传播媒介不再是移动式载体，而是在网络通道中传播，这种病毒的传染能力更强，破坏力更大，主要感染的是可执行文件； 

•文件病毒：文件型病毒主要以感染文件扩展名为.COM，.EXT，和.OVL等执行程序为主，它的安装必须借助于病毒的载体程序，方能把文件型病毒引入内存； 

•引导型病毒：引导型病毒是一种在ROM BIOS之后，系统引导时的病毒，它先于操作系统，依托的环境是BOIS中断服务程序,它主要感染的是启动扇区（BOOT）和硬盘的系统引导扇区（MBR）； 

•混合型病毒：是上述三种情况的混合，该病毒是利用文件感染时伺机感染引导区，因而具有双重传播能力；

2.3.2 按病毒传染的方法分类

•引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。 

•执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。 

•网络传染病毒：这类病毒是当前病毒的主流性病毒，特点是通过互联网络进行传播。如，蠕虫病毒就是通过主机的漏洞在网上迅速传播。 

2.3.3 按病毒破坏的能力分类

•无害型：除了传染时减少磁盘的可用空间外，对系统并没有什么其它影响。

•危险型：这类病毒在计算机系统操作中造成严重的错误。

•无危险型：这类病毒仅仅是减少系统的内存、显示图像、并发出声音及其同类发的音响。

•非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

2.3.4 按病毒算法分类

•伴随型病毒：这类病毒并不改变文件本身,根据算法产生扩展名为.EXE文件的伴随体，具有同样的名字和不同的扩展名（.COM）,如：XCOPY.EXE的伴随体是XCOPY.COM。

•蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用互联网从一台计算机的内存传播到其它机器上的内存，计算网络地址，将自身的病毒通过互联网发送。有时它会在系统内存在，一般除了内存不占用其它资源。

•寄生型病毒：依附在系统的主从引导扇区中或文件中，通过系统进行传播。

•练习型病毒：病毒自身就包含的有错误，不能进行有效的传播，例如病毒在调试阶段。

•变形病毒：这类病毒使用的是一个比较复杂的算法，使自己每 传播一份都具有不同的内容和不同的长度。它一般的作法是一段混合，有无关系指令的解码算法和经过变化的病毒体组成。

2.3.5 按计算机病毒的链结方式分类

•源码型病毒：该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译插入到源程序中，经编译成为合法的一部分。

•嵌入型病毒：这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。另外这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。 

•外壳型病毒：这种病毒最为常见,易于编写,也是易于被发现,一般测试的是文件的大小即可知道.壳型病毒将其自身包围在主程序的四周,并对原来的程序不作任何修改。

•操作系统型病毒：这类病毒用的是程序意图加入或取代部分操作系统从而进行工作,具有很强的破坏能力,可以导致整个系统的瘫痪,甚至死机或关机,如圆点病毒和大麻病毒就是典型的操作系统型病毒。

2.3.6 按病毒攻击操作系统分类

•Microsoft DOS  攻击DOS系统的病毒:这类病毒的种类及其变种极多,尽管DOS病毒技术在1995在基本上处于停滞状态,但是Microsoft DOS系统类病毒的数量和传播仍然在发展中。

•Unix(Linux) 攻击UNIX系统的病毒：起初人们认为Unix系统和各个Linux系统是免遭病毒侵袭的乐土.然而随着计算机病毒技术的发展,病毒的攻击目标也开始染指Unix和Linux。1997年2月,出现了首例攻击Linux系统的病毒—Bliss(上天的赐福)。

•Microsoft Windows 攻击Windows系统的病毒:自1996年1月出现了首例Widows 95病毒—Win95.Boza病毒以来,攻击Windows系列的开始,的计算机病毒系统的日趋增多。

•

（1)带病毒文件的复制或移动。即感染病毒的文件从一台计算机复制、移动到另一台计算机。

（2) 计算机操作者的触发。一般计算机病毒是寄生在受感染的文件上,只有计算机操作者执行时或者打开受感染的文件时,计算机病毒才会有执行的机会,才能取得主机的控制权。

（3)计算机病毒的感染。计算机病毒在取得主机的控制权后，就随时可以寻找合适自己的目标文件进行感染，把病毒副本嵌入到目标文件中,使之感染大量的文件。

3.2 计算机病毒传播途径

计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行的。而主要的传播途径有以下几种：

（1)软盘

软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,（如图3-1）

图3-1 软盘 

许多执行文件均可通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内相互感染。因此软盘也成了计算机病毒的主要的寄生“温床”。 

（2)光盘

光盘因为容量大,能存储大量的可执行文件,大量的病毒就有可能藏身于光盘当中,对只读式光盘,不能进行写操作,新的病毒也无法进入光盘当中,然而光盘上也具有的病毒也不能清除,这种以谋利为目的非法盗版光盘的制作过程中,(如图3-2)

图3-2 光盘 

一般不可能为病毒防护担负专门责任,也没有真正可靠可行性的技术能保障避病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利,甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“干净”的计算机带来了灾难。

（3)硬盘（含移动硬盘、USB）

有时，带病毒的硬盘在本地或移到其他地方使用甚至维修等，就会将干净的光盘(软盘)传染或者感染其他硬盘(如图3-3)并扩散。

图3-3  硬盘             图3-4  U盘 

而U盘（如图3-4）作为当前人们最方便、最常用的存储介质和文件拷贝、并且携带方便的工具,在病毒的传播中发挥了重要的作用。

（4)网络

有线网络的快速发展促进了以网络为媒介的各种服务（FTP, WWW, BBS, EMAIL等）的快速普及（如图3-5）。同时，这些服务也成为了新的病毒传播方式。如WEB服务、电子邮件（Email）、即时消息服务（QQ, ICQ, MSN等）、FTP服务、新闻组、电子布告栏（BBS）。

图3-5 计算机网络 

另一种是无线通讯系统,病毒对手机的攻击有3个层次:攻击网关,向手机用户发送大量垃圾信息;攻击WAP服务器,使手机无法访问服务器;直接对手机本身进行攻击,有针对性地对其操作系统和运行程序进行攻击,使手机无法提供正常的服务。

3.3 计算机病毒传播特性

计算机病毒与生物病毒有许多相似之处，同样有以下一些特性:

3.3.1 计算机病毒的传染性

传染性是计算机病毒的一个重要特性,也是衡量一种程序是否为病毒的首要条件。计算机病毒的传染性是计算机病毒的再生机制,病毒程序一旦进入系统中,与系统中的程序接在一起,它就会在运行这一被传染的程序时传染其它的程序。这样一来,病毒就会很快地传染到整个计算机系统,并可通过U盘、网络线路等进一步传播和蔓延,这就是计算机病毒最重要的特征—传染性和传播性。

目前病毒一般通过U盘进行传染,它的藏身处为系统引导区,也即DOS的BOOT区;或附在执行文件上。但不管哪一种情况,病毒要进入U盘就必须往U盘上写内容,故将U盘设为只读就可以防止病毒侵入。

3.3.2 计算机病毒的隐蔽性

由于病毒程序都是利用DOS（如图3-6）和BIOS（如图3-7）的系统功能完成其它功能,所以病毒程序一般都比较短小,容易附着在系统或可执行文件上而不容易察觉。另外一些病毒程序采用反跟踪技术和密码技术,则更难于发现.一个编制巧妙的计算机病毒程序,可以在几周甚至几年内隐蔽在合法文件之中,对其它系统进行传染,这就是计算机病毒生存下来的主要原因.计算机病毒的隐蔽性越好,在系统中存在的时间就越长,病毒的传染范围就越在。

图3-6  DOS介面                  图3-7  BIOS介面

计算机病毒进入系统并破坏程序和数据的过程是不容易查觉的.就计算机病毒本身其存留不定,可能隐蔽在备份盘或其它介质上.一种病毒可能在表面上被清除,但若干年后,随机地或有目的地再次传染开来.病毒在一种载体上的寿命,如不是人为清除,则与载体寿命一致。备份系统文件,目的是为防止病毒对文件的破坏而导致系统资源的损失,而实际上往往为病毒提供了安全场所,为病毒的再次触发激活创造了条件。

大部分的病毒的代码之所以设计得非 常短小,也是为了便于隐藏。病毒一般只有几百或上千字节,而PC机对DOS文件的存取速度每秒可达每秒几百到千字节以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。

3.3.3 计算机病毒的潜伏性

计算机病毒的潜伏性,是指计算机病毒所具有的依附于其媒体而寄生的能力.一个编制巧妙的计算机美丽程序,可以在几周或者几个月甚至几年内隐蔽在合法文件中;此 间,对其它系统进行传染,而不被人们发现.计算机病毒潜伏性与传染性相辅相承,潜伏性越好,其在系统中存在的时间就会越长,病毒的传染范围就会越在.

3.3.4 计算机病毒的破坏性

计算机病毒的破坏程序怎样,这要取决于计算机病毒的设计者.不同的病毒,可以毁掉系统内的部分数据,也可以破坏全部数据并使之无法恢复,同时以可以对系统的某些数据修改,使系统的输出结果面目全非.当然,也不是所有的病毒都对系统产生实质性的破坏作用.事实上,也存在对系统有有益的病毒, 弗雷 德.柯亨的压缩病毒C。任何计算机病毒只要侵入到系统,都会对系统产生有不同的影响,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃,但是,由于所有的病毒都是一种可以执行的程序,而这些病毒都存在着一个共同的危害,即降低计算机系统的工作效率。

3.3.5 计算机病毒的针对性

无论哪种计算机病毒,都不是对所有计算机系统进行传染破坏的。例如,有针对IBM PC及其兼容机的,有针对APPLE公司的Macintosh机的,以及针对Unix操作系统的等等。以前我国流行的小球病毒则是针对IBM PC XT机及其兼容的16位机的,针对某一种或几种计算机和特定的操作系统。

3.3.6 计算机病毒的不可预见性

计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,如小球病毒的变种就多达十余种之多;这给解毒抗毒工作带来了许多困难。而有些人利用病毒的这种共性,制作了声称可查了出所有病毒的程序,这种程序的确可查出一部分病毒,但由于目前的软件市场极其丰富,且某些正常程序也使用了类似病毒的操作,甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。

小结：

在计算机病毒的上述特征中，传染性最为重要。其次，则是潜伏性和破坏性。计算机病毒的这些特性决定了计算机病毒的作用机制。

第四章 计算机病毒的防治研究

计算机病毒的存在和传播对用户造成了很大的危害，为了减少信息资料的丢失和破坏，这就需要在日常使用计算机时，养成良好的习惯，预防计算机病毒。并且需要用户掌握一些查杀病毒的知识，在发现病毒时，及时保护好资料，并清除病毒。这里要坚持依法治毒，增强网络安全意识，并且要制定严格的病毒防治技术规范，防止计算机病毒的侵入。在现代社会中，随着互联网的快速发现，计算机的应用就范围愈来愈广泛，可以说整个社会对计算机信息系统的依赖程度是越来越大，甚至达到了离不开它。然而计算机并不是笔者想象中的哪么安全。其不安全因素有计算机信息系统自身的，有人为的因素。如何保护笔者的数据安全、防止病毒破坏、甚至达到打击计算机犯罪已成为当今社会面临的一个重大问题。

计算机病毒危害计算机本身的安全和信息安全，自计算机的第一个病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒的经验,掌握了很多实用的反病毒技术,并开发出了一些优秀的抗病毒产品,病毒对抗主要研究病毒的检测、病毒的清除和病毒的预防,病毒的检测技术主要有特征植检测技术、校验和检测技术、行为监测技术、启发式扫描技术、虚拟机技术。

4.1 特征代码技术的特征值

特征代码技术分为特征代码法病毒的特征值组成和计算机病毒的检测组成。

•早期的计算机应用于SCAN,CPAV等著名的病毒检测工具中,目前被认为是用来检测计算机己知病毒的最简单、开销最小的方法之一。防毒软件在最初的扫毒方式是将所有病毒的病毒代码加以解剖分析，且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描时，判断该程序是否有病毒的时候,启动杀毒软件程序,以扫描病毒的方式与该病毒码资料库内的现有资料进行一一比对,如果双方资料皆有吻合之处,既判定该程序已遭受到计算机病毒的感染。计算机病毒的特征值是指计算机病毒本身存在的特定寄生环境中确认自身是否存在的标记或符号,即指病毒在传染宿主程序时,首先判断该病毒准备传染的宿主是否已具有该病毒时,按特定的偏移量从文件中提出的特征值。一般而言,一种病毒的标识可以作为另一种病毒的特征值,但一种病毒的特征值并不一定表示该病毒的标识。如1575病毒的特征值可以是十六进制的0A0CH,也可以是从病毒代码中抽出的一组十六进制的代码:06 12 8C C0 02 1F 0E 07 A3等，前者是1575病毒的传染标识,而后者则不是的。传统的特征值搜索技术,被广泛应用于SCAN、CPAV、AVP等抗病毒软件中。特征值搜索技术被公认是检测已知病毒最简单最常用最有效方法之一,传统的特征代码法的实现步骤如下:

（1）采集已知病毒的样本。如果病毒既感染扩展名为.COM的文件(如图4-11)，又感扩展名为.EXE的可执行文件,那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。

（2）在病毒样本中,抽取病毒特征代码。在既能感染扩展名为.COM的文件，又感扩展名为.EXE(如图4-1)的可执行文件的病毒样本中，要抽取两种病毒样本共有的代码。

图4-1 Com文件                图4-2 Exe文体 

（3）将特征代码纳入病毒数据库中。

（4）检测文件。打开被检测的文件，在文件中搜索,检查文件中是否含有已知的病毒,根据数据库中的病毒特征代码判定,如果发现病毒特征代码,由此特征代码与病毒进行一一对应,便可以断定，被查文件所感染的是何种病毒。

•病毒的检测是对主引导区、可执行文件、内存空间和病毒特征值进行比较分析,寻找病毒感染后留下的痕迹。对主引导区、可执行文件、内存空间和病毒特征值进行对比分析如下:

（1）检查磁盘的主引导扇区

硬盘的主引导扇区,分区表以及文件分配表,文件目录区是病毒攻击的主要目标之一,引导病毒主要攻击磁盘上的引导扇区，硬盘存放主引导记录的主引导扇区一般位于０面０道的１扇区。病毒侵犯引导扇区的重点是前面的几十个字节。发现与引导扇区信息有关的异常现象,即可通过检查主引导扇区的内容来诊断故障。

（2）检查可执行文件

主要是检查后缀为.COM和.EXE等可执行文件,然后根据它的长度、内容、属性等来判断是否感染了计算机病毒．一般检查这些程序的头部,即前面的20个左右的字节，因为大多数病毒都会改变文件首部。

（3）检查内存空间

计算机病毒在传染或执行时,必然要占用一定内存空间进行,并驻留在内存中，等待时机成熟后进行攻击或传染。病毒占据的内存空间一般是用户所不能覆盖掉的,因此可通过检查内存的大小和内存中的数据来判断是否有病毒运行．可采取一些常用的简单工具如DEBUG、PCTOOLSG来检查内存。

4.2 校验和法技术

将正常文件的内容，计算其校验和,写入文件中保存。定期检查文件的校验和与原来保存的校验和是否一致,可以发现文件是否感染了病毒，这种方法叫校验和法,它既可发现已知的病毒又可发现未知的病毒。由于病毒感染并非文件内容改变的惟一性原因,文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警.而且此种方法也会影响文件的运行速度.因而用监视文件的校验和来检测病毒,不是最好的方法。通常,大多数的病毒都不是单独存在的,它们大都依附或寄生于其它的文档程序，所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录,将正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。

计算正常文件的内容和正常的系统扇区校验和,将该校验和写入数据库中保存。在文件使用/系统启动过程中,检查文件现在内容的校验和与原来保存的校验和是否一致,因而可以发现文件/引导区是否感染，这种方法叫校验和检测技术。在每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以判定文件是否感染，这种方法既能发现已知病毒,也能发现未知的病毒，但是,它不能识别病毒的种类,不能正确报出病毒名称。由于病毒感染并非是文件内容改变的惟一原因,文件内容的改变有可能是正常程序所引起的，所以校验和检测技术常常会误报警,而且此种方法也会影响文件的运行速度.此外校验和检测技术也对隐蔽性病毒无效。运用校验和检测技术查病毒采用以下三种方式：

（1）在检测病毒工具中纳入校验和检测技术,对被查找的对象文件计算其正常状态的校验和,将校验和写入被查文件中或检测工具当中，然后进行比较；

（2）在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件中，每当应用程序启动时,比较现行校验和与原校验和.实现应用程序的自检测；

（3）将校验和检查程序常驻内存中,每当应用程序开始运行时,自动比较检查应用程序的内部或别的文件中预先保存的校验和.有时把校验和检测方法称之为比较检测法,比较的对象可分为系统数据、文件的头部、文件的属性和文件的内容;

校验和法的优点是:方法实现简单 能发现未知的计算机病毒、被查找的文件具有细微变化也能被发现出来。其缺点是:对文件内容的变化过于敏感化、会产生误报警、不能识别出病毒名称、不能对付隐蔽型病毒。

4.3 行为监测法技术

利用病毒的特有行为特征性来监测计算机病毒的方法,称为行为监测法.通过人们对病毒多年的观察、研究发展,有一些行为是计算机病毒的共同拥有的行为动作，而且还比较特殊。在正常程序中,这些行为比较罕见.当程序运行时,监视其程序的行为时，如果发现了病毒行为,就立即报警。

一般来说,反病毒技术包括病毒的防范、检测和清除.其中如何发现计算机染毒就成了反病毒的重中之重,这就要求有先进、有效的病毒检测技术.病毒的检测技术通常采用的策略不外乎以下两类:

（1）针对某个或某个领域特定病毒的专用病毒检查技术,如特征值检测技术和校验和检测技术;

（2）针对广义的所有病毒的通用病毒检测技术;

病毒无论伪装得如何之巧妙,它总是存在着一些和正常程序不同的行为.行为监测是指通过审查应用程序的操作来判断是否有恶意倾向并向用户发出警告.这种技术能够有效防止病毒的传播,但也很容易将正常的升级程序、补丁程序误报为病毒。病毒程序的伪装行为越多,它们露出的马脚就会越多,因而就越容易被监测到。

人们通过对病毒多年的观察、研究,发现病毒有一些共有行为。在正常应用程序中，这些行为比较罕见,这就是病毒行为特性。

常见的病毒行为特性有:

（1）引导型病毒必然截留盗用INT 13H;

（2）高端内存驻留型病毒修改DOS系统数据区的内存总量;

（3）内存控制链驻留型病毒修改最后一个内存控制块的段 址;

（4）修改INT 21H，INT 25H，INT 23H;

（5）修改严重错误中断DOS INT 24H;

（6）对可执行文件进行写操作;

（7）写磁盘引导区;

（8）病毒程序与宿主程序的切换;

（9）WINDOWS PE病毒部分特征;

行为监测方法是以某种行为是否为病毒行为作为判断病毒的依据,可发现未知病毒,可相当准确地预报未知的多数病毒，但它可能误报警,不能识别病毒名称和实现时有一定难度。

行为监测法的长处:可发现未知计算机病毒,同时还可以准确地预报未知的多数病毒。行为监测法的短处:可能出现误报警、不一定能识别病毒名称、实现时有一定难度。

4.4 软件模拟技术

软件模拟技术分为少 态病毒和多态型病毒: 

（1）当有两个程序被同样的病毒以指定传播方式感染,并且病毒程序的代码顺序不同时,这种传播方式称为多形态的; 

（2）当有两个程序被同样的病毒以指定传播方式感染,并且病毒程序的代码顺相同但至少有一部分病毒代码被使用不同的密钥加密时,这种传播方式称为少形态的。 

多态型病毒的实现要比少 态 型病毒的实现复杂得多,它们能改变自身的译码部分。例如,通过从准备好的集合中任意选取译码程序.该方法也能通过在传播期间随即产生程序指令来完成.例如，可以通过如下的方法来实现：

（1）改变译码程序的顺序;

（2）处理器能够通过一个以上的指令（序列）来执行同样的操作;

（3）向译码程序中随机地放入哑 命令（Dummy Command）。

软件模拟法,以后演绎为虚拟机查毒，启发式查毒,是相对成熟的。

4.5 常见病毒的分析与防治

现在的用户一般都安装Windows系列的操作系统，而Windows病毒种类繁多，下面主要研究宏病毒、网页病毒、邮件病毒、及蠕虫病毒等一些常见的病毒。

4.5.1 宏病毒

（1）宏病毒分析

⏹宏病毒的定义:是一些制作病毒的专业人士利用Microsoft Office的开放性即Word和 Excel中提供的Word Basic/ Excel Basic接口编程,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用，这种病毒宏的集合影响到计算机的使用,并能通过文档及模板进行自我复制及传播。

⏹宏病毒的特点:传播极快;多平台交叉感染;制作、变种方便；地域性问题;破坏可能性极大。（如图4-3）

图4-3 宏病毒控制中心

⏹宏病毒的原理:宏病毒的产生,是编辑者利用了一些数据处理系统存在的内置宏命令编程语言特性所形成的。这些数据处理在系统内置的宏编程语言的宏病毒中有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开、关闭或删除来获取用户的控制权权限，实现宏命令在不同文件之间的共享和传递,从而在未经过用户许可的情况下获取控制权权限,达到传染的目的.目前宏病毒感染在文件中,以Word、Excel占多数。

（2）宏病毒的防治

⏹宏病毒的检测：

•在Normal模板发现有AutoOpen等自动宏,File Save等标准宏或一些怪名字的宏,而自己又没有加载特殊模板，这就有可能有病毒了,因为大多数用户的通用(Normal)模板中是没有宏的; 

•如当打开一个文档时,未经任何改动,立即就有存盘操作，也有可能是Word带有病毒;

•打开以DOC为后缀的文件在另 存菜单中只能以模板方式存盘,此时通用模板中含有的宏，也有可能是Word有病毒；

•无法使用“另存为（Save As）”修改路径；

•不能再被转存为其它格式的文件；

•DOC文件具备与DOT文档相一致的内部格式(尽管文件扩展名未改变)。 

⏹手工清除宏病毒的方法

•打开宏菜单,在通用模板中删除 你认为是病毒的宏; 

•打开带有病毒宏的文档（模板），然后打开宏菜单,在通用模板和病毒文件名模板中删除你认为是病毒的宏; 

•保存清洁文档。

⏹宏病毒的防范

•对于已染毒的模板文件（Normal.dot）,应先 其中的自动宏清除（AutoOpen、AutoClose、AutoNew）,然后将其置成只读方式; 

•对于其他已染病毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的; 

•平时使用时要加强预防,对来历不明的宏 最好删除; 

•先禁止所有自动执行的宏;

•安装反病毒软件。

4.5.2 网页病毒

⏹网页病毒的分析

随着网络的发展与普及,互联网对笔者来说起到了越来越重要的作用，但是与此同时,恶意网页代码也相继出现，给广大网络用户带来了一些灾难.这里所指的网页病毒是指在HTML文件中用于非法修改用户计算机配置的HTML文件,有不同于别的一般通过,从而通过网页传染的病毒。（如图4-4）

图4-4 网页病毒 

修改注册表是网页恶意代码采用的最常见的一种方法.恶意攻击性网页正是自动修改了网页浏览者在电脑的注册表中,从而达到修改IE首页地址、锁定部分功能等目的.现在本文来分析一下其修改注册表的代码.首先这里还得了解一下微软的ActiveX 技术。

ActiveX是Microsoft提出的一组使用COM使得软件部件在网络环境中进行交互的技术集.它与具体的编程语言无关.作为针对Internet应用开发技术,ActiveX被广泛应用于Web服务器以及客户端的各个方面。同样ActiveX可以应用于网页编制语言中,利用JavaScript语句轻易就可以把ActiveX嵌入到Web页面中。在Internet上,有超过1000个ActiveX控件供用户使用下载.在Windows的SYSTEM目录下,保存有很多Windows提供的ActiveX控件。

⏹网页病毒的防治

1.禁用文件系统对象FileSystemObject:用regsvr32 scrrun.dll /u命令禁止文件系统对象，或者直接查找scrrun.dll文件将其删除或者改名；

2.卸载Windows Scripting Host:打开-控制面板-添加/删除程序-Windows安装程序-附件,取消“Windows Scripting Host”一项;

3.在Windows目录中,找到WScript.exe或Cscript.exe，更改名称或者删除；

4.删除VBS、VBE、JS、JSE文件扩展名与应用程序的映射:点击我的电脑--查看--文件夹选项--文件类型,然后删除VBS、VBE、JS、JSE文件扩展名与应用程序的映射;

5.修改Windows“隐藏已知文件类型的扩展名称”的默认设置,使其显示所有文件类型的扩展名称;

6.点击IE的“Internet选项”安全选项卡里的“自定义级别”按钮,把ActiveX控件及插件设置为禁用;

7.将系统网络连接的安全级别至少设置为“中等”;

8.禁止OE的自动收发邮件功能;

9.安装病毒防火墙，定期升级杀毒程序。

4.5.3 邮件病毒

⏹邮件病毒的分析

邮件病毒并不是单独一种类型的病毒,大部分Windows病毒都可以通过附件的形式来进行传播,实际上该病毒就是借助于电子邮件进行传播的病毒，这些病毒利用了邮件系统安全机制的脆弱性进行传播.邮件病毒产生的原因在于邮件系统的服务不能控制邮件的内容和传播的行为,使病毒寄身于信内得以传播.邮件病毒并不是邮件系统的错，问题仍然出在操作系统和应用系统上,这些系统才是病毒的温床。病毒攻击的目标主要仍是微软的系统平台,主要通过两种借助邮件的形式进行传播,一是附件，二是直接采用HTML格式的邮件方式。（如图4-5）

图4-5 邮件病毒 

病毒寄生在附件内或干脆就是附件,而附件的文件名通常具有欺骗性,一种做法是把寄生有宏病毒的Word文档的名称起得很吸引人，看上去如同好友的信件或商业信函一样,引诱收件人去点击;另一种做法则是将病毒文件的文件名改头换面,有时甚至干脆直接将可执行文件伪装成微软的补丁包.如:主页病毒、美丽沙病毒等.由于一些E-mail软件如Outlook等可以发送HTML格式的邮件,而HTML文件可包含ActiveX控件,ActiveX在某些情况下又可以拥有对本地硬盘的读写权，因此带有病毒的HTML格式的邮件,可以在浏览邮件内容时被激活,但这种情况仅限于HTML格式的邮件。

⏹邮件病毒的防治

邮件病毒是夹带在邮件当中的,邮件是“死”的,其中的病毒也不会主动变“活”。一般邮件病毒的传播途径是通过附件进行的,如Happy99、Mellissa等等.用FoxMail收到的邮件中会看到带病毒的附件,如名为Happy99.exe的文件,不要运行它,直接删掉就可以。有些是潜伏在Word文件中的宏病毒,因此对Word文件形式的附件,也要小心。

对于另一种邮件病毒是不带附件的HTML文件,它利用Active X在某些情况下拥有对硬盘的读/写 权来进行破坏.在FoxMail中,有一选择项“是否使用嵌入式IE浏览器查看HTML邮件”，如果选择了“使用”,FoxMail将调用IE的功能来显示HTML邮件,病毒有机会被激活.但如果没有选择此开关，则FoxMail以文本方式显示邮件内容,因此潜伏在HTML中的病毒就不会发作。

4.5.4 脚本病毒

⏹脚本病毒的分析

任何语言都是可以编写病毒的,而用脚本编写病毒则还比较简单，并且编出的病毒具有传播快、破坏性大的特点.例如,爱虫病毒及新欢乐时光病毒、叛逃者病毒就是采用VBS脚本编写的,另外还有PHP，JS脚本病毒等等。（如图4-6）

图4-6 脚本病毒 

由于VBS脚本病毒比较普遍且破坏性都比较大,这里主要对这种病毒进行介绍.在介绍VBS病之前,本文有必要先了解一下有关WSH的知识。

⏹脚本病毒的防治

1．禁用文件系统对象FileSystemObject

方法:用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象.其中regsvr32是Windows\\System下的可执行文件.或者直接查找scrrun.dll文件删除或者改名.还有一种方法就是在注册表中HKEY_CLASSES_ROOT\\CLSID\\下找到一个主键{0D43FE01-F093-11CF-40-00A0C9054228}的项,咔嚓即可; 

2．删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 

点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射; 

3．卸载Windows Scripting Host

在Windows 98中（NT 4.0以上同理）,打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］,取消“Windows Scripting Host”一项。 和上面的方法一样,在注册表中HKEY_CLASSES_ROOT\\CLSID\\下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项,咔嚓; 

4．要彻底防治VBS网络蠕虫病毒,还需设置一下你的浏览器。首先打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用,这样就不怕了。譬如新欢乐时光的那个ActiveX组件如果不能运行,网络传播这项功能就玩完了; 

5．在Windows目录中，找到WScript.exe,更改名称或者删除，如果你觉得以后有机会用到的话,最好更改名称好了，当然以后也可以重新装上; 

6．由于蠕虫病毒大多利用文件扩展名来做文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称; 

7．将系统的网络连接的安全级别设置至少为“中等”,它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害; 

8．禁止OE的自动收发邮件功能; 

9．杀毒软件确实很必要，尽管有些杀毒软件挺让广大用户失望,不过，选择是双方的哦。在这个病毒横飞的网络,如果您的机器没有装上杀毒软件笔者觉得确实挺不可思议的。

4.5.5 蠕虫病毒

⏹蠕虫病毒的分析

•蠕虫的定义:严格来说，蠕虫病毒并不属于病毒。Eugene H. Spafford为了区分蠕虫和病毒，根据了蠕虫的技术角度的定义：计算机蠕虫可以运行，并能把自身包含所有功能的版本传播到另外的计算机上,但蠕虫与传统病毒相比，都具有传染性和复制功能，而且蠕虫与病毒、木马相互交叉，病毒利用蠕虫技术来传播，蠕虫利用病毒技术来搞破坏，二者难以区分，以尼姆达病毒为例，就是病毒、蠕虫、黑客技术的完美结合，反病毒软件商们也己将蠕虫列在了病毒之列。（如图4-7）

图4-7 蠕虫病毒分析 

•蠕虫病毒的特点:

（1）主动攻击;

（2）行踪隐蔽;

（3）利用系统、网络应用服务漏洞;

（4）造成网络拥塞;

（5）降低系统性能;

（6）产生安全隐患;

（7）反复性;

（8）破坏性。

⏹蠕虫病毒的防治

因为目前的蠕虫病毒越来越表现出三种传播趋势:邮件附件、无口令或者弱口令。

共享、利用操作系统或者应用系统漏洞来传播病毒,所以防治蠕虫也应从这三方面下手:

1.针对通过邮件附件传播的病毒:在邮件服务器上安装杀毒软件,对附件进行杀毒：在客户端(主要是Outlook)访问附件中的特定扩展名的文件,如.pif、.vbs、.js、.exe等;用户不运行可疑邮件携带的附件;

2.针对通过系统漏洞传播的病毒,配置Windows Update自动升级功能,使主机能够及时安装系统补丁,防患于未然；定期通过漏洞扫描产品查找主机存在的漏洞,发现漏洞，及时升级;

3.针对弱口令共享传播的病毒:通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会在搜索网络上的开放共享并复制病毒文件,更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令.对于此类病毒,在安全策略上需要增加口令的强度策略，保证必要的长度和复杂度;通过网络上的其他主机定期扫描开放共享和对登录口令进行破解尝试，发现问题及时整改;

4.重命名或删除命令的解释器:如Windows系统下的WScript. Exe,通过防火墙来禁止除服务端口外的其他端口,切断蠕虫的通信通道和传播通道。

4.5.6 特洛伊木马

⏹特洛伊木马分析

•特洛伊木马的定义：

在Internet上,木马指在从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序,这些程序可能造成用户的系统被破坏,甚至瘫痪。

图4-8 木马病毒 

通过木马（如图4-8）,黑客可以从远程“窥视”到用户电脑中所有文件、查看系统信息、盗取电脑中的各种口令、偷走所有他认为有价值的文件、删除所有文件,甚至将整个硬盘格式化,还可以将其他的电脑病毒传染到电脑上来，可以远程控制电脑鼠标、键盘、查看到用户的一举一动.黑客通过远程控制植入了“木马”的电脑，就像使用自己的电脑一样,这对于网络电脑用户来说是极其可怕的。

只要人们在本地计算机上能操作的功能,目前的木马基本上都能实现.换言之，木马的控制端可以像本地一样操作远程计算机.木马的功能可以概括为以下内容：

（1）窃取数据

以窃取数据为目的，本身不能破坏计算机的文件和数据，不妨碍系统的正常工作，它以系统使用者很难察觉的方式向外传送数据;

（2）篡改文件和数据

对系统文件和数据有选择地进行篡改，使计算机处理的数据产生错误的结果;

（3）施放病毒

将原先在系统中但处于休眠状态的病毒激活，或从外界将病毒导入计算机系统，使其感染并实施破坏工作;

（4）删除文件和数据

将系统中的文件和数据有选择地删除或全部删除;

（5）接受非授权操作者的指令

当网络中的木马被激活后，它可以获取网络服务器系统管理员的权限，随心所欲地窃取密码和各类数据，逃避追踪，并不会留下任何痕迹。这时，网络安全的各种措施对它都毫无作用;

（6）使系统自毁。

可以有种种方法,如改变时钟频率、使芯片热崩溃而损坏、造成系统瘫痪等。

一般情况下,系统软件和应用软件在文件传播中被放置木马.但是，也有一种情况是在系统或软件中被其设计者故意放置的特定目的木马.木马可能潜伏于系统软件中,包括操作系统和应用软件;也可能潜藏于硬件模块中,如将部分木马的软件固化,集成于电路芯片中。

木马与外界的联系途径和激活方式与计算机的工作方式有关.有的计算机以单机方式工作,有的以联网方式工作。工作方式不同,木马的激活也有所不同。

随着Internet 的飞速发展,计算机网络的应用已越来越普遍,愈来愈多的用户连在一起。任何一台终端机,都可以和连在网络上的另一台终端机通信,所以，要激活连在网络上的计算机中的木马就容易和方便多,完全可以通过网络向另一台终端机发送命令来做到这点。

•特洛伊木马的特征

木马的自启动

由于木马驻留在受害者的系统中，当木马安装后，木马必须具备自启动功能。为了能够在用户每次开机时自动加载，通常对Windows系统注册表、in.ini、system.ini文件或启动组文件进行修改。自动加载的方法如下：

1.KEY_LOCAL_MACHINE\\software\\Classes\\文件类型\\shell\\ Open\\command和HKEYCLASSES ROOT\\文件类型\\shell\\open\\command下的键值；

2.HKEY_LOCAL_MACHINE_\\software\\Microsoft\\Windows\\Current Verion以下以run开头的子键进行设置；

3.在Winstart.bat中启动；

4.ini文件在win.ini的[Windows]下的load和run后面进行设置；

5.启动菜单。在c:\\Windows\\startmenu\\programs\\启动组下添加；

6.在Autoexec.bat和Config.sys中加载运行；

7.System.ini的[boot]下的shell=文件名进行设置explorer.exe,有些木马会将此文件名改为木马程序名；

8.其它*.ini,如wininit.ini.应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的。

木马的隐藏性

（1） 进程隐蔽

“木马”程序会想尽一切办法隐藏自己,在任务栏中隐藏自己，这是最基本的,只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了； 

（2）伪装成应用程序扩展组件;

（3）冒充为图像文件。

修改木马程序的图标,达到伪装迷惑的目的。    

此类属于难以识别的木马.黑客们通常将木马程序写成任何类型的文件,然后挂在一个十分出名的软件中。

⏹特洛伊木马的防治

只要你有一点点的疏忽,就有可能被人安装木马.大家了解一些给人种植木马的常识,有利于保证计算机的安全。

•木马种入的可能途径主要有以下几种：

欺骗法:按病毒说法是社会工程,这个方法很多，且技术无关.采用各种欺骗手段让你去运行一个木马的服务端;

愿者上钩法：在个人网页上放置木马,引诱用户下载数据时下载它;

组装合成法:就是所谓的221把一个合法的程序和一个木马程序绑定之后,使其合法程序的功能不受影响，但当你运行合法程序时,木马就会自动加载;

经常检查自己的系统文件、注册表、端口和进程等等,还要经常去安全站点查看最新的木马公告,更新自己防火墙的木马数据库;

显示文件后缀名,只有看见文件的后缀名才会放心地运行它。

了解了可能中木马的方法和途径后,经常检查计算机,看计算机是否中了木马。

•检查计算机是否中了木马的常用方法有以下几种

端口扫描：端口扫描是检查远程计算机有无木马的最好办法,端口扫描的原理非常简单:扫描程序尝试连接某个端口进行扫描,如果扫描失败或超过某个特定的时间,则说明端口关闭,如果扫描成功,则说明端口开放。端口扫描也是安全评估的一个重要方法;

查看进程/内存模块:为了能发现DLL木马病毒,必须要能查看内存中运行的DLL模块才能查看到。在Windows系统下查看进程或内存模块的方法很多,如PSAPI、PDH等;

查看连接:查看连接和端口扫描的原理基本相同,不过是在本地机上通过命令Netstat -a查看所有的TCP/UDP连接,查看连接的速度要比端口扫描快.Netstat可以查看目前计算机打开的所有侦听的端口和建立的连接.缺点是无法查出驱动程序/动态链接木马;

查找文件:查找木马特定的文件也是一种常用方法;

杀病毒/木马软件。

•木马的清除

一般采用抗病毒软件清除木马。在市面上有很多杀毒软件都可以自动清除木马,但它们并不能防范新出现的木马程序.最关键的还是要知道木马在计算机中工作的原理,这样轻而轻而易举人发现木马,通过手工方式清除计算机中的木马。

首先从木马自启动中寻找踪迹木马,如启动组、win.ini、system.ini注册表等都是木马藏身的好地方。其次,找到木马的启动方式后，从中提出木马运行的关键文件,并删除这些文件。对使用文件关联技术的木马,需特别小心。

常见病毒实例

1．CIH病毒：它是继DOS病毒、WINDOWS病毒、宏病毒的第四类新型计算机病毒。产生时间1998.8从传入。有三个版本，1.2、1.3、1.4，发作时间分别是4.26、6.26、每月26日。它是定义为第一个直接攻击、破坏硬件的病毒。是破坏最严重的病毒。主要感染WIN98、95的可执行文件。发作时破坏Flash BIOS芯片中的系统程序,导致主板损坏。破坏硬盘中的数据，病毒发作后，屏幕上无任何信息，反复启动，看到的只是一个黑屏。

2．千年虫（W32/mypics worm.)：千年到来时出现的新蠕虫病毒，利用电子邮件感染计算机，最严重的是重新格式化硬盘并且将主页设置为带有成人内容的网站。它把本身伪装为一个图像文件附件，随电子邮件传播。该邮件无标题，消息栏中内容为：Here’s some pictures for you!,附件的内容是一个大小约为34304字节的Pics4you.exe 文件。当用户打开附件时，病毒自动安装在机器内存中。并从地址簿中找出50个地址以附件形式发送给别人。

3．“我爱你”病毒（爱虫）:蠕虫病毒。他是非定期发作，通过OE电子邮件传播，主题为：“I love you”或：“Very funny”。

4．Marburg病毒：它是无穷次变形能力，是一种WINDOWS病毒。专门感染Win95/98文件，该病毒会判断文件名中的V和SCAN等字母，躲开一些反病毒软件。发用时，会随机显示出Windows错误图标。它使用了高超的变形加密技术，查杀比对负CIH病毒复杂得多。它的出现将预示着新一代Windows病毒的大量产生。

5．Melissa（蒙莉莎）病毒：（美丽杀手），感染office 2000的计算机宏病毒。通过E-MAIL传播。该病毒从理论上的速度传播，只需要传播5次就可以达1亿多份。全世界的用户都会收到一份。标题是：Important Message From。

6．Happy99病毒：通过E-mall传播，如果点击这个文件，显示一幅燃放烟花的画面，同时在后台自动更改计算机的某些配置。检测是否染上了Happy99病毒，进入C:\\WINDOWS\\SYSTEM,查看是否有下面的三个文件：ska.exe\\ska.dll\\wsock32.ska。

7．Friday 13th病毒（黑色星期五、耶路撒冷B、犹太人。每当星期五且恰巧13日时，病毒发作，在屏幕出现一个黑盒子。在发作的一日，它将会删除每一个在计算机 上运行的文件。

8．Explore Zip：探险蠕虫，以附件形式隐藏在回复电子邮件，打开电子邮件时会成功钻进计算机，在后台自我复制，会将副本为附件，为所有未读邮件发送一封回信，疯狂的删除硬盘上的OFFICE文档，和程序语言。

9．concept病毒概念病毒）发现于1995年8月，是一个WORD宏病毒，首次打开染毒的文档时，将弹出一个仅有1和OK的两个按钮的对话框。用工具\\宏可看到它的五个宏。AAA.ZFS、AAAZAO、AUTOOPEN、Payload 和filesave as，每次存盘时，病毒将原文件另存为模板文件。

10.MDMA.A病毒。“无者1号”宏病毒，在WIN32、95、98、NT上传播。每月1号病毒发作，在3.x发作时会在AUTOEXEC.BAT加入DELTREE/Y C: 将导致下次启动时删除所有C:\\文件； 在98、95发作时，会删除C:\\WINDOWS下的HELP文件和C:\\WINDOWS\\SYSTEM目录下的。cpl文件。

11.HYMN病毒：(圣歌病毒）感染.COM,.EXE文件，具有隐藏性，感染文件的年份增加100、当用DIR查看文件时，看不到年份的变化，也看不到文件大小的增加，病毒进入内存后，监视计算机工作，在980次击键后，再键入的字符依次被两个空格，和五个怪字符代替，使键盘工作混乱。DOGLASI病毒（狗拉屎病毒）别名1537。驻留内存高端，感染.com,.exe文件，发作时显示：

小结

●如何判断你的电脑已经感染了病毒

电脑一旦感染病毒，会出现一些异常的现象.通过对这些异常现象的分析，就可以初步判断电脑是否感染了病毒.这些异常现象通常表现在为以下几种方式：

（1）系统的运行速度明显下降

如果电脑的运行速度突然减慢,也是一种较为明显的感染病毒的症状;

（2）打开文件时的速度比以前慢

如果发觉打开文件的时间越来越长,除了内存容量不够大、硬盘数据碎块太多没有整理以外,极有可能是因为电脑“中毒”了;

（3）电脑突然无法启动

这时,除了硬盘发生故障外,感染病毒的可能性极大;

（4）文件夹被莫名其妙地删除

文件突然莫名其妙地就从硬盘里消失了,如果不是自己误删,那就有可能是病毒引起的;

（5）电脑经常死机

电脑经常死机或程序运行时出现错误信息,甚至运行到一半就死机.这表明文件已经损坏，也可能是病毒所引起的,因为某些病毒会覆盖文件的数据,所以会造成文件损坏;

（6）电脑显示异常

当电脑显示异常时,则有可能是病毒发作的症状。例如

电脑屏幕异常滚动,而与显示器的质量无关;

电脑屏幕上出现异常信息显示;

电脑屏幕上的英文字符出现滑落;

电脑屏幕上显示的汉字不全;

电脑自己突然演奏音乐等等。

●防止电脑感染病毒的方法

防止电脑病毒的感染，除了靠杀毒软件，更要靠养成良好的工作习惯，来预防电脑病毒。

使用正版软件。目前市场上的盗版软件、猖獗，不法盗版者有意、无意之间成为电脑病毒的主要传播者。拒绝使用盗版软件，可以减少感染病毒的机会。

制作一张干净的启动盘，而且不要随便使用来历不明的启动盘。

不要随便打开电子邮件的附件文件。因特网的日益发展壮大，电脑病毒自然也不甘寂寞，利用电子邮件的附件加文件传染病毒，给人们带来了大灾难。

从网上下载的文件，必须先用杀毒软件检查

结束语

计算机病毒己成为目前信息安全的严重威胁，只有透彻地理解病毒的内在机理，做到知己知彼，才能更好的防治病毒。本论文深入剖析了Windows系统下各种病毒的相关技术，并给出了相关的计算机病毒防治技术及其检测应用。在本论文中，所做的工作主要有以下几方面：

（1) 研究总结了宏病毒、邮件病毒、网页病毒、的感染途经及如何获得系统控制权的机理,并针对这些病毒的特点和机理提出了相应的防范措施;

（2) 蠕虫病毒成为当前网络环境下病毒的重要形式之一, 一个新型蠕虫病毒往往会迅速扩散,并在全球范围内造成重大损失.由于该病毒本身的特点加上网络用户安全意识的淡薄,本论文在此分析了蠕虫的机理,并给出了一些防范措施;

（3)分析了破坏性程序特洛伊木马工作的基本原理及预防措施和清除的方法；

（4）根据计算机病毒的特点论文最后分析了目前常用的病毒检测技术。

本论文对Windows下计算机病毒技术进行了深入的研究,并提出了相应的检测方案,由于时间有限，仍然存在许多有待解决的问题存在,还需要进一步的完善和进一步的研究工作。

计算机病毒的形式是各种各样,从简单的脚本病毒到复杂的变形病毒、网络蠕虫、木马程序等等,都要分析这些病毒就必须要熟练掌握系统的底层原理和软件的编程技术，这些基础知识是需要不断学习和加强的;

随着信息技术的不断发展，计算机病毒技术也是在不断的提高当中,病毒的制造者也在不断的将最新最具破坏力的各种技术应用在其中,这就决定了研究计算机病毒不是一段时间的事情,而是需要时刻关注着病毒发现的最新动态,并做出一些超前研究;

针对计算机病毒的新特性和发展的趋势,探入讨论计算机病毒在网络环境中的应用和改进是当前所需是必要的；

当然后期的计算机病毒，渐渐会向手机病毒延伸，甚至超越现在有计算机病毒，在此同时我们要不断加强对着计算机和手机病毒以防范为主，检测为辅。

致  谢

衷心感谢我的指导高灵霞老师。

本文的研究工作是在高老师的直接指导和严格要求下完成的，从论文的选题到具体每一步的设计思路和实现思想，无不渗透着高老师的关怀和帮助。在整个研究学习过程中，我得到了高老师的言传身教，无论是从学习还是工作方法，高老师都给予我极大的帮助和启迪。在此期间，高老师严谨的治学态度、谦逊的品德、渊博的知识和丰富的经验使我受益匪浅。我在此对高老师无私的帮助和教诲表示忠心的感谢。

同时，感谢学校的辛勤培育之恩！学校给我提供了良好的学习环境，丰富的参考资料使我顺利完成了论文。

感谢所有给我帮助的同学，没有他们的帮助我无法顺利的完成论文，是他们使我感到了集体的温暖。

我谨以此篇文章献给所有爱护、关心、帮助、支持过我的老师、同学和朋友，对他们表示由衷的感谢!

参考文献

[1] 斯泽. 计算机病毒防范艺术[M]. 机械工业出版社, 2007

[2] 赖荣旭，钟玮.计算机病毒机制与防范技术[M].清华大学出版社，2011 

[3] 王倍昌.计算机病毒揭秘与对抗[M].电子工业出版社，2011 

[4] 王建锋.计算机病毒防治大全[M].电子工业出版社，2011 

[5] 殷伟.计算机安全与病毒防治[M].安徽科学技术出版社，2009

[6] 梁建瑞，梅多伦.计算机病毒手册[M].科学技术献出版社，2009

[7] 接祖华.病毒防范[M].海军出版社，2010

[8] 武春岭.信息安全技术与实施[M].电子工业出版社，2010

[9] 计算机病毒分析师必看书籍.来自互联网

[10] 韩筱卿.计算机病毒分析与防范大全[M].电子工业出版社，2008

[11] 李治国.计算机病毒防治实用教程[M].机械工业出版社，2010

[12] 至诚文化.黑客攻防入门实战详解[M].中国铁道出版社，2011

[13] 张奎亭，单蓉胜，罗诗尧.信息安全之个人防护[M].电子工业出版社，2008

[14] 傅建明，张焕国，彭.计算机病毒分析与对抗[M].武汉大学出版社，2009

[15] 李剑，刘正宏，沈俊辉.计算机病毒[M].北京邮电大学出版社，2009

[16] 秦志光，张凤荔.计算机病毒原理与防范[M].北京人民邮电出版社，2007

[17] 常丽.浅析计算机病毒及其防范措施[M].山西工程职业技术学院，2010年第8期

[18] 王慧敏.浅析计算机网络病毒的特点与防范[M].包头轻工职业技术学院，2010年9月第23卷第5期

[19] 张得心.七招防计算机病毒的新策略[M].黄冈职业技术学院，2010年第1期第24卷第1期

[20] 夏滢.几招小技巧维护计算机操作系统安全[M].山东省煤炭工业信息计算中心，2010年第4期

[21] 高亚娴.常见计算机反病毒技术的分析与研究[M].陕西教育学院，2010年第8月第6卷第24期

[22] 魏勇钢.刍议计算机反病毒技术的产生、发展和现状[M].信息与电脑，2010

[23] 《卡饭月刊》第32期(2011.11)，病毒处理技术,计算机病毒与防范艺术,计算机病毒技术,计算机病毒实例解析－手把手教你,计算机病毒培训教程,病毒和网络攻击中的多态、变形技术原理分析及对策,木马杀客（新）,计算机病毒与木马分析,计算机病毒及其防治