计算机科学与技术毕业论文

2024年1月12日发(作者：)

计算机科学与技术毕业论文

题 目 计算机病毒的预防技术探讨

专 业 计算机科学与技术

摘要：

二十一世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。在当今科技迅速发展的时代，计算机技术不仅给人们带来了便利与惊喜，同时也在遭受着计算病毒带来的烦恼和无奈，因为计算机病毒不仅破坏文件，删除有用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手，来初步探讨对付计算机病毒的方法和措施。

关键词：计算机、防范、病毒

Abstract:

The twenty-first century will be the world's computers go together through the Internet,

information security, the content also has been a fundamental change. It is not only from

the general's defense has become a very common precautions, but also from a specialized

area became ubiquitous. In today's era of rapid technological development, computer and

network technology not only brings convenience to people with surprises, but also in terms

suffer from boredom and frustration caused by viruses, because computer viruses not only

undermine the file, delete the useful data, but also lead to paralysis of the entire computer

system to give computer users to cause great losses. At present the computer virus can

penetrate into the information society in various fields, to the computer system brought

tremendous damage and potential threat. In order to ensure the safety and smooth flow of

information, and therefore the study computer virus precautions imminent. In this paper, the

characteristics of the computer and try to deal with computer viruses preliminary study

methods and measures.

Key words:

Computer,prevention,virus

第一章：计算机病毒的内涵、类型及特点

随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争和伊拉克战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。

1．1计算机病毒的定义及内涵

计算机病毒是一个程序，一段可执行码 ,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

计算机病毒：一种计算机程序，它可以附属在可执行文件或隐藏在系统数据区中，在开机或执行某些程序后悄悄地进驻内存，然后对其它的文件进行传染，使之传播出去，然后在特定的条件下破坏系统或骚扰用户。目前有很多的清除病毒的软件，但是新病毒还是层出不穷，成为一大危害。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好被环境激发，即可感染和破坏。

“计算机病毒”一词最早是由美国计算机病毒研究专家F--Cohen博士提出的。 “病毒”一词是借用生物学中的病毒。通过分析、研究计算机病毒，人们发现它在很多方面与生物病毒有着相似之处。要做反计算机病毒技术的研究，首先应搞清楚计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。

1．2计算机病毒的类型

病毒是具有破坏修改计算机数据,及硬件得程序。病毒的攻击主要是通过“复制”、“改写”、“删除”等功能来实现 。

1、可恢复性破坏：运行时将宿主程序复原，保持正常运行 。

2、毁坏性破坏：传染时对宿主程序进行覆盖性重写，例如：405病毒 。

3、替换性破坏：保持原文件名不变，例如：如Alabama，format命令变成del 命令。

4、更新式传染：有些病毒家族进行自动升级更新。

5、释放式传染：不将自身全部复制，只释放子体程序，子体程序可以只具有表现/破坏模块 Ghost病毒传染时将一种类似小球病毒但无传染功能的子体传染出去。

6、加密式传染： 一是病毒自身加密，对付其他程序的检测，二是对传染对象进行加密，作隐蔽用。DenZuk病毒传染引导区时，采用异常格式化方式，将原1-9扇区变成3-42区，检测困难。

7、键盘干扰：改变输入，如：Typo病毒用被击键右临键码代替输入码。（O--P）

8、格式化破坏：例如：AIDS Information病毒在启动90次后，格式化磁盘。

9、删除文件：有些病毒触发后，删除当前执行的文件，例如：黑色星期五病毒 。

10、写入废数据：有些病毒在破坏时对磁盘扇区写入无用的字符，毁坏原来的文件数据。

例如：Saturday 14th病毒破坏时对100个扇区乱写，彻底毁坏引导区、FAT和文件目录；

VP病毒在传染.com文件时，另将VP写入每个驱动器的引导区中。

11、篡改（窜改）文件名 ：例如：Pretoria病毒发作时将根目录下的所有文件改名 。

12、设计错误：病毒编写错误造成预想之外的效果。

例如：4096病毒编写时未把年份、文件长度写入，在传染一个文件后，dos将给出”error in

exe file” 严重破坏被传染文件

1．3计算机病毒的特征特性

再生机制是生物病毒的一个重要特征。通过传染，病毒从一个生物体扩散到另一个生物体。在适宜的条件下，它得到大量繁殖，并进而使被感染的生物体表现出病症甚至死亡。同样地，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，就与系统中的程序连接在一起，并不断地去传染(或连接、或覆盖)其它未被感染的程序。具有这种特殊功能的程序代码被称为计算机病毒。携带有这种程序代码的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。比如DOS的FORMAT程序决不会将其程序代码连接到别的程序中去。在系统生成过程中有些系统的安装程序会修改相关程序的参数配置，如MSWindows系统。有些程序通过自身的设置功能，按用户要求会修改自己的参数设置，如Borland公司的SideKick。还有些程序出于加密防拷贝或某些其它目的，在运行时动态改变自身的程序代码，如Xcom通信程序。在这几种情况下，那些被修改的程序内部的确发生了变化，但这些变化只局限于各自应用系统的内部，不会发生将自身代码连接到毫不相干的程序之上的情形。计算机病毒的再生机制，即它的传染机制却是使病毒代码强行传染到一切未受到传染的程序之上，迅速地在一台计算机内，甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机，本身既是一个受害者，又是一个新的计算机病毒的传染源。被感染的计算机往往在一定程度上丧失了正常工作的能力，运行速度降低，功能失常，文件和数据丢失，同时计算机病毒通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒;而与这台机器相邻的其它几台计算机也许早已被该病毒侵染上了。通过数据共享的途径，计算机病毒会非常迅速地蔓延开，若不加控制，就会在短时间内传播到世界各个角落里去。可见反计算机病毒的问题是一个全球范围的问题。在我国发现的首例计算机病毒就是国外称为意大利病毒的小球病毒。在我国首先发现的Traveller病毒随着国际间的交往，也扩散到国外，其大名出现在国外杀病毒软件的病毒黑名单中。与生物病毒不同，所有的计算机病毒都是人为编写的计算机程序代码，是人为制造出来的而不是天生的。这些着意编写的计算机程序代码，其原始形式可以是C语言，可以是BASIC程序，可以是汇编语言程序，也可以是批命令程序，还可以是机器指令程序。其共同特点就是具有传染性和破坏性。

计算机病毒的另一个特征是只有当它在计算机内得以运行时，才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字，查看计算机病毒的代码，打印病毒的代码，甚至拷贝病毒程序，却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码，但已置这些病毒于控制之下，计算机不会运行病毒程序，整个系统是安全的。相反，计算机病毒一经在计算机上运行，绝大多数病毒首先要做初始化工作，在内存中找一片安身之处，随后将自身与系统软件挂起钩来，然后再执行原来被感染程序。这一系列的操作中，最重要的是病毒与系统软件挂起钩来，只要系统不瘫痪，系统每执行一次操作，病毒就有机会得以运行，去危害那些未曾被感染的程序。病毒程序与正常系统程序，或某种病毒与其它病毒程序，在同一台计算机内争夺系统控制权时往往会造成系统崩溃，导致计算机瘫痪。反病毒技术也就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码，阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序)，还应该识别出未知计算机病毒在系统内的行为，阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成对抗已知病毒的任务，对未知病毒则束手无策，任其在系统内扩散与破坏。所谓未知病毒是指新出现的，以前未曾分析过的计算机病毒。在1992年初，DIRⅡ病毒对我国广大PC机用户来说就是一种未知病毒。与未曾相识的敌手对阵不是件容易的事。DIRⅡ病毒采用嵌入DOS系统的设备驱动程序链的方法攻击IBMPC及其兼容机，是一种与以往病毒工作机制不同的新型计算机病毒。由于其夺取PC机系统控制权的方法很特别，在它的攻势下，大批抗病毒系统败下阵来。从这个例子可以看到，对付计算机病毒，目前尚无完满通用的解决方案，反病毒技术需要不断发展，以对抗各种新病毒。

不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。在没有防护措施的情况下，计算机病毒程序经运行取得系统控制权后，可以在不到1秒钟的时间里传染几百个程序，而且在屏幕上没有任何异常显示。传染操作完成后，计算机系统仍能运行，被感染的程序仍能执行，好像不曾在计算机内发生过什么。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性，计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。让我们设想，如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序，我要干坏事了”，那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”，时不时在屏幕上显示一些图案或信息，或演奏一段乐曲。往往此

时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念，更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果，还以为是来自计算机系统，而没有意识到这些病毒正在损害计算机系统，正在制造灾难。如磁盘杀手(DiskKiller)病毒，当它破坏磁盘数据时，屏幕上显示如下信息:“DiskKillerVersion1.00byOgreSoftware，April1，'tturnoffthepowerorremovethediskettewhileprocessing.”这两句话中，第一句的含义是:“磁盘杀手1.00版OgreSoftware公司1989年4月1日出版。”第二句的含义是:“在处理过程中请不要关机或取出磁盘。”接着屏幕上显示出“PROCESSING”意思是“正在处理”这时DiskKiller病毒锁定键盘，对磁盘上的数据做加密变换处理。计算机的处理速度是很快的，当你在屏幕上见到上述显示信息时，已经有很多数据被病毒破坏掉了。计算机病毒的第二个隐蔽性在于，被病毒感染的计算机在多数情况下仍能维持其部分功能，不会由于一感染上病毒，整台计算机就不能启动了，或者某个程序一旦被病毒所感染，就被损坏得不能运行了。如果出现这种情况，病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后，其原有功能基本上不受影响，病毒代码附于其上而得以存活，得以不断地得到运行的机会，去传染出更多的复制体，与正常程序争夺系统的控制权和磁盘空间，不断地破坏系统，导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的病毒都很短小，最小的病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上，所以病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间，非常不易被察觉。

与隐蔽性相关联的是计算机病毒的潜伏性。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。计算机病毒使用的触发条件主要有以下三种。(1)利用计算机内的实时时钟提供的时间作为触发器这种触发条件被许多病毒所采用，触发的时间有的精确到百分之几秒，有的则只区分年份。表11列出了一些病毒触发的时间，可以供防范计算机病毒时参考。(2)利用病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数，一旦计数器达到某一设定的值，就执行破坏操作。这些事件可以是计算机开机的次数，可以是病毒程序被运行的次数，还可以是从开机起被运行过的总的程序个数等。(3)利用计算机内执行的

某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合，可以是执行格式化命令，也可以是读写磁盘的某些扇区等。表11计算机病毒触发时间一览表被计算机病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一条件，而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其它条件。如在我国广为流传的小球病毒，每当系统时钟为整点或半点时，系统又正在进行读盘操作，而该盘是未被感染的，等等，一旦这些条件得到满足时，小球病毒的屏幕显示部分便被激活，一个小球弹跳在屏幕上。若显示器是CGA类型的，又正在使用汉字系统，则整个屏幕显示会不停地上下翻滚，使操作根本无法进行。小球病毒的触发条件在各种触发条件中是很典型的，既有时间的条件，又有功能操作的条件，而且条件之间还存在着逻辑“与”和逻辑“或”的关系。利用这种触发条件，计算机病毒不是随时随地表现自己，而是在适当的时机——条件满足时才向你示威，轻则只是在屏幕上显示些信息，重则要销毁数据，弄垮整个系统。计算机病毒的破坏作用是多种多样的。有一种分类方法是将病毒分为恶性病毒和良性病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如米开朗琪罗病毒。当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否，或至少发出警报提醒用户注意。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然，认为这只是恶作剧，没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，时时导致整个系统死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB，就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间，而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。计算机病毒的实现方法是千差万别的，加上许多病毒采用加密处理技术，使得被感染的程序恢复原形的工作，即杀毒工作很困难。目前还没有通用的、能可靠自动清病毒的方法。很多研究人员在这方面作了很多努力，一些国外商品软件也具有免疫功能(Immunize)，但都存在缺陷，不尽如人意。某些病毒对系统的感染所造成的损失是不可挽回的，要

修复被感染的文件是不可能的。当被新病毒感染后，要清除这些病毒，不仅需要耗费大量时间和精力去仔细地分析病毒代码，而且还需要对病毒和计算机系统有全面的了解。因此抗计算机病毒工作最重要的就是防御病毒，不让病毒侵入系统。一旦遭到破坏，做修复工作就很麻烦了，甚至是不可能的。

1．4计算机病毒的表现症状

计算机受到病毒感染后，会表现出不同的症状。

1、 机器不能正常启动 。

加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。

2、运行速度降低 。

如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。

3、磁盘空间迅速变小 。

由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。

4、文件内容和长度有所改变 。

一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。

5、经常出现“死机”现象 。

正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。

6、外部设备工作异常 。

因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。

以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。

1．5近几年新产生的几种主要病毒的特点

自80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。在最近几年，又产生了以下几种主要病毒：

1、U盘寄生虫

病毒名称：

中 文 名："U盘寄生虫"变种gr

病毒长度：22096字节

病毒类型：蠕虫

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

n “U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对这样的自动播放文件的蠕虫病毒。文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。

2、ARP病毒

病毒名称：“ARP”类病毒

病毒中文名：“ARP”类病毒

病毒类型：木马

危险级别：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

描述：ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重

新登录传奇服务器，这样病毒主机就可以盗号了。

3、网游大盗

病毒名称：Trojan/

中 文 名：“网游大盗”变种jws

病毒长度：13739字节

病毒类型：木马

危害等级：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/“网游大盗”变种jws是“网游大盗”木马家族最新变种之一，采用Visual C++编写，并经过加壳处理。“网游大盗”变种jws运行后，会将自我复制到Windows目录下，自我注册为“Windows_Down”系统服务，实现开机自启。该病毒会盗取包括“传奇世界”、“魔兽世界”、“完美世界”、“征途”、“武林外传”等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失，给玩家带来损失。

4、MSN性感相册

病毒名称：Worm/oto.a

中 文 名：性感相册

病毒类型：蠕虫

危害等级：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

病毒运行特征：该病毒运行时，会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节的 病毒包，该压缩包里面包含名为photos 病毒文件，同时会随机向好友发送一些带有诱惑性的信息，如：“看看我的性感相片”，“圣诞节快乐”等。

5、ANI病毒

病毒名称：e

病毒中文名：ANI病毒

病毒类型：蠕虫

危险级别：★★

影响平台：Windows 2000/XP/2003/Vista

描述： 以e.b为例，“ANI毒”变种b是一个利用微软Windows系统ANI文

件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后，自我复制到系统目录下。修改注册表，实现开机自启动。感染正常的可执行文件和本地网页文件，并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件（包括*.HTML，*.ASPX，*.HTM，*.PHP，*.JSP，*.ASP），植入利用ANI文件处理漏洞的恶意代码。自我复制到各逻辑盘根目录下，并创建自动播放配置文件。双击盘符即可激活病毒，造成再次感染。修改hosts文件，屏蔽多个网址，这些网址大多是以前用来传播其它病毒的站点。另外，“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。

6、机器狗病毒

病毒名称：Trojan/

中 文 名：机器狗

病毒类型：木马

危害等级：★★★

影响平台：Win 9X/ME/NT/2000/XP/2003

病毒运行特征：“机器狗”病毒主要在网吧等使用系统还原软件以及硬盘还原卡的环境下发作。病毒运行后，会在%WinDir%System32drivers 目录下释放出一个名为 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从***.com/ 、www.h***.biz/ 、***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。

7、代理木马

病毒名称：Trojan/Agent

病毒中文名：代理木马

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

描述：盗取用户机密信息，下载恶意程序。

“代理木马”及其变种是一个盗取用户计算机上机密信息的木马程序。“代理木马”变种cfd运行后，自我复制到Windows目录下。修改注册表，实现开机自启。侦听黑客指令，盗取用户计算机上的机密信息，并将机密信息发送到黑客指定的邮箱里。“代理木马”会从网上下

载大量的恶意程序，通过系统漏洞感染目标电脑，中毒电脑可能会成为黑客操纵的“肉鸡”，严重威胁电脑中的数据安全。

8、AV杀手

病毒名称：Trojan/

中 文 名：“AV杀手”变种ak

病毒长度：19293字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003。Trojan/“AV杀手”变种ak是“AV杀手”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“AV杀手”变种ak运行后，自我修改文件属性为“隐藏”。强行篡改注册表相关键值，致使文件夹选项中的“显示隐藏文件”功能失效。利用Windows映像劫持技术（IFEO），修改注册表，致使许多与安全相关的软件无法启动运行。在被感染计算机的后台调用系统“”进程，将恶意代码注入其中并调用运行，隐藏自我，防止被查杀。在后台连接骇客指定远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行。在所有盘根目录下生成“”文件（磁盘映像劫持文件）和病毒体文件，实现用户一双击盘符就启动“AV杀手”变种ak运行的功能。

9、Real脚本病毒

病毒名称：

中文名：Real脚本病毒

病毒长度：可变

类型：网页脚本

危害等级：★★★

影响平台: Windows98/2000/2003/xp

描述：Real脚本病毒是利用RealPlayer播放器ActiveX控件安全漏洞的恶意网页脚本，常用于自动下载执行木马程序。病毒隐藏在Real格式的视频文件中，用户一旦下载点击运行便会立刻中毒，许多热衷于网上下载视频文件的电脑用户因此中毒。

10、熊猫烧香

病毒名称：.h

中文名：“熊猫烧香”

病毒长度：可变

病毒类型：蠕虫

危害等级：★★★★

影响平台：Win9X/ME/NT/2000/XP/2003

以.h为例，熊猫烧香是一个由Delphi工具编写的蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件和.病毒还可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。

“熊猫烧香”还可以修改注册表启动项，以使自身随操作系统同步运行。搜索硬盘中的*.EXE可执行文件并感染文件，被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

另外比较典型的病毒还有：

“美丽杀手”（Melissa）病毒。这种病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件0utlookExpress的Word宏病毒，是一种拒绝服务的攻击型病毒，能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件，由E-mall携带传播扩散。由于这种病毒能够自我复制，一旦用户打开这个附件，“美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送，从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数，据计算，如果“美丽杀手”病毒能够按照理论上的速度传播，只需要繁殖 5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器，而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反复传播和扩散而被泄漏出去，连扩散到了什么地方可能都不得而知。据外电报道，在北约对南联盟发动的战争行动中，证实“美丽杀手”病毒己使 5万部电脑主机和几十万部电脑陷于瘫痪而无法工作，网络被空数据包阻塞，迫使许多用户关机避灾。

“怕怕”（Papa）病毒。“怕怕”病毒是另一种Excel宏病毒，它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒相类似，其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播，拒绝服务和阻塞网络，而且更为严重的是它能使整个网络瘫痪，使被它感染的文件所具有的宏病毒预警功能丧失作用。

“疯牛”（Mad Cow）和“怕怕B”病毒。 这两种病毒分别是“美丽杀手”和“怕怕”病毒的新的变型病毒。正当美国紧急动员起来对付3月26日发现的“美丽杀手”和“怕怕”病毒时，在欧洲又出现了它们的新变种“美丽杀手B”（又叫作“疯牛”）和“怕怕B”，目前正横扫欧洲大陆，造成大规模破坏，而且还正在向全世界扩散蔓延。 虽然这两种病毒变种的病毒代码不同，可能不是一个人所编写，但是，它们同样也是通过发送Word和Excel文件而传播。每次被激活后， 这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件；它还可以向一个外部网站发送网络请求，占用大量的带宽而阻滞网络的工作，其危害性比原型病毒有过之而无不及。

“幸福1999”宏病毒。 这是一种比“美丽杀手”的破坏作用小得多的病毒。“幸福1999”病毒会改变计算机中的微软公司Windows程序与Internet网工作。这种病毒还发送一个执行文件，激活焰火显示，使屏幕碎裂。

“咻咻”（Ping）轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet 搜索者”的缩写，指的是将一个分组信息发送到服务器并等待其响应的过程，这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道，运用“咻咻”（Ping）轰击病毒，发送大量的“咻咻”空数据包，使服务器过载，不能对其它用户作出响应。

1．6计算机病毒的特点：

1、非授权可执行性。用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。

2、隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。

3、传染性。传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我

复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。

4、潜伏性。计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。

5、表现性或破坏性。无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。

6、可触发性。计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。

第二章：计算机病毒的技术分析

长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。对计算机系统的测试，目前尚缺乏自动化检测工具和系统软件的完整检验手段，计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（www）使“地球一村化”， 为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。国外专家认为，分布式数字处理、可重编程嵌入计算机、

网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。

2．1计算机病毒的分类与命名

在对抗计算机病毒的斗争中，很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种方法:按病毒对计算机系统的破坏性划分，有良性病毒和恶性病毒，已如上述。按病毒攻击的机型划分，有苹果机病毒，IBMPC机病毒，小型机病毒等。按危害对象划分，有损害计算机的病毒和损害网络通信的病毒。对于侵害IBMPC机的PC机病毒，也就是本书要着重讨论、要重点对抗的病毒，可以有更科学的分类。进行这种分类的目的，就是要了解病毒的工作机理，针对其特点，采取更加有效的方法，防御和清除计算机病毒。对PC机病毒，比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒(即又侵染引导区又感染文件的病毒)。这种划分方法对于检测、清除和预防病毒工作是有指导意义的，它不仅指明了不同种类病毒各自在PC机内的寄生部位，而且也指明了病毒的攻击对象。因此，可以通过采取相应的措施保护易受病毒攻击的部位，如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等，并进而找到综合、有效的反计算机病毒措施。与国际上的情况一样，国内常见的PC机病毒中，引导区型比文件型病毒种类少，而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等。常见的引导区型病毒有大麻、小球、米氏病毒、6.4病毒和香港病毒等。混合型病毒常见的有新世纪病毒、Flip等。一种计算机病毒往往有多个名字。人们在讨论病毒防范时经常要弄清他们正在讨论的是不是同一种病毒。如1701病毒的别名有落叶病毒、落泪病毒、1704病毒、雨点病毒、感冒病毒等。国外又称雨点病毒为Flu病毒和JOJO病毒。香港病毒又称为封锁病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此产生的统计数字有时也带有偏差。目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时，人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作日期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的1701、香港病毒就都属于这种情况。为某种新出现的计算机病毒命名，目的就是要使人

们能快速、准确地辨识出该病毒，以便防范和诊治。因此该命名应能最好地体现出该病毒的特征，使之不容易与其它现存的计算机病毒混淆。

计算机病毒如今已是PC机用户的一大公害，它造成的损失和破坏难以估计。而一些恶作剧者、一些怀有报复心理的程序员、一些蓄意破坏者和一些为了政治目的、经济利益以及军事目的的病毒编制者，仍在制造着各种各样的计算机病毒。有些病毒仅仅是以前某种病毒的变种。某些人通过反汇编等各种手段，对原病毒的内部模块，如表现模块、破坏模块、传染模块等加以修改，使之成为一种基于原病毒又不同于原病毒的新的计算机病毒，这就是计算机病毒的变种。某些病毒变种只是简单地对原种病毒的显示信息加以改动，而对传染模块等重要代码未动分毫。而另外一些变种在修改了一些重要的代码后，病毒以新的机制工作，此时，这种变种已演化为一种新的病毒，已不能被叫做其原型病毒的变种了。生物界里的病毒也几乎以相同的方式在演化着，一种病毒可能会衍生出若干种具有共同基本特征的病毒种系，成为一个病毒家族。而当发生突变时，则会产生出一种新的病毒。对付老病毒及其变种，人们已有成功的经验和药物作为对策，而对于新的尚未接触过的病毒，在未做仔细研究与试验之前，是很难采取合适的对策的。对付计算机病毒，人们也遇到类似的问题。如何准确地捕获用常用软件无法识别出的新病毒，以及分析和研究它的工作机理和特性，是需要专门知识的，不分析它的传染机制，就无法研制出防范和清除病毒的工具软件。

2．2计算机病毒的危害

1、病毒激发对计算机数据信息的直接破坏作用 。

大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning!! Don'tturn off power or remove diskette

while Disk Killer is Prosessing！” （警告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。

2、占用磁盘空间和对信息的破坏 。

寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行

传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。

3、抢占系统资源 。

除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。

4、影响计算机运行速度 。

病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：

（1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视， 这相对于计算机的正常运行状态既多余又有害。

（2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。

（3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且软盘正常的读写顺序被打乱，发出刺耳的噪声。

5、计算机病毒错误与不可预见的危害 。

计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误， 乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。 大量含有未知错误的病毒扩散传播，其后果是难以预料的。

6、计算机病毒的兼容性对系统运行的影响 。

兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。

7、计算机病毒给用户造成严重的心理压力 。

据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60％以上。经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。

有些电脑病毒例如 FormatC (macro virus)及Stoned Daniela，当它们被触发时，会无条件地把硬磁碟格式化及删除磁碟上所有系统档案。以AOL4Free Trojan Horse为例子,它附在电子邮件讯息上并以为档案名。其实它是用DOS的公用程式 (utility)

-- BATEXEC 1.5版本由成批文件(batch file)转换过来的〔这个公用程式是用来转换一些很大的成批文件去更快的速度〕这个Trojan Horse首先会在DOS裏的不同目录找寻这个档案，然后用这个档案把硬磁碟裏的所有档案删除。当档案被删除后，它会显示一个DOS错误讯息:”BadCommand or file name〃以及一个猥亵的讯息(obscene

message)。如果这病毒找不到的话，它就不能把档案删除，但猥亵的讯息(obscene message)仍会出现。

有些病毒, 如Monkey(Stoned. Empire. Monkey)及AntiEXE,会感染主启动记录(Master

Boot Record MBR)及DOS启动磁区(Dos Boot Sector),之后它会降低记忆体及硬磁碟的效能，直至当我们的用电脑时萤光幕上显示一些讯息或有其他损坏。

以AntiEXE为例子，在启动过程时载入的主启动记录(MBR)，该病毒会把这个没有被感染的MBR贮存在硬磁碟中柱(Cylinder) O,边(Side) O,磁区(Sector)13的位置。然后病毒会把它的病毒编码放在MBR裏，并且把已感染的MBR写在硬磁碟中柱(Cylinder) O,边(Side)

O,扇区(Sector)1的位置。当AntiEXE病毒在记忆体活跃时，它就会把由任何磁碟读取得来的有毒MBR及或DBS重新传入一个清洁相同的地区(clean counterpart)。随著在磁碟读取

过程时把MBR及或DBS安放，病毒会找寻一特定的*.EXE档案(它的身份到现在还没有知道),然后把档案破坏。

另一例子，One Half会把大约一半的硬磁碟编加密码，并且会显示一段讯息:Disk is one

half. Press any key to continue.〃 如果我们用一般的方法去除MBR中的病毒，所有在密码区的数据都会流失。

2．3计算机病毒的自我保护手段

1、掩盖技术：不断修改标志、传染方式、表现方式

（1）不通过传统的方式，如以热键激活取代中断激活方式 Alabama病毒可拦截INT 9，若发现用户使用热启动时，则调用其内部的Bootstrap子程序启动计算机，是自己继续潜伏在内存。

（2）避开中断请求而直接调用中断服务过程 。

（3）用中断请求INT 27H或INT31H来合法获取内存 。

（4）不将非法占用的区域标为坏簇，而标为已分配的簇 。

2、造假技术

修改文件长度：如Zero Bug病毒 。

3、加密技术

对病毒源码加密：1701

1206病毒利用自身修改技术，每次传染后都有变化。

4、自灭技术

Yankee Doodle病毒驻留内存后，若发现被传染的文件有被分析的可能，则用Debug调被传染的文件用Q命令删除。

5、嵌入技术

拼接，成为合法程序的一部分，得到系统的认可

例：EDDIE病毒将自己隐藏在操作系统中，随操作系统启动按随机格式复制成其他的程序。

6、反动态跟踪技术 Pakistani病毒驻留内存后，可通过INT 13H监视用户读取引导扇区的操作，当用户用debug读取0逻辑扇区时，病毒将存于它处的引导扇区显示出来。

2．4如何识别计算机病毒

很多时候用户已经用杀毒软件查出了自己的机子中了，例如b.12 、.15 等等这些一串英文还带数字的病毒名，世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是

Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 .b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 .60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（）等。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（）——可不是我们的老大代码兄哦

^_^。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（ime）、十四日（s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，

格式是：97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(a)。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（2.2C）、MSN射手()等。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（C.f）、杀手命令（）等。

9．玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（ost）病毒。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户

运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（）、系统杀手（s）等。

以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。

2．5病毒、蠕虫和特洛伊木马病毒的症状

至少已有 60,000 种已知病毒，而每天都有更多的病毒被编写出来。当前，大多数病毒都通过电子邮件和即时消息传播。病毒经常随电子邮件一起到达，并伪装成某种娱乐性信息，例如图片、乐曲或贺卡。病毒可能携带具有破坏性的有效负载，例如蠕虫或特洛伊木马程序。

如果怀疑或证实计算机感染了病毒，请获取最新的反病毒软件。当病毒感染了您的电子邮件或其他文件后，可能对您的计算机造成下列影响：

受感染的文件可能复制自身，从而用光硬盘的所有可用空间。

受感染文件的副本可能被发送到您的电子邮件地址列表中的所有地址。

病毒可能重新格式化您的磁盘驱动器并删除您的文件和程序。

病毒可能安装隐藏程序，例如可从您的计算机中分发和售出的盗版软件。

病毒可能会降低安全性，允许入侵者远程访问您的计算机或网络。

下列症状通常由病毒引起或与病毒相关联：

您接收到包含奇怪附件的电子邮件。打开附件后，将出现对话框，或系统性能突然降低。

您最近打开的附件上具有双扩展名，例如，. 或 .。

反病毒程序被无端禁用，并且无法重新启动。

无法在计算机上安装反病毒程序，或安装的反病毒程序无法运行。

屏幕上出现奇怪的对话框或消息框。

有人告诉您他们最近从您这里收到包含附加文件（尤其是扩展名为 .exe、.bat、.scr、.vbs 的文件）的电子邮件，但您实际上并未发送。

桌面上出现的新图标不是由您放置的，或者与任何最近安装的程序都不关联。

扬声器中意外放出奇怪的声音或乐曲。

程序从计算机中消失，但不是由您有意卸载。

病毒感染还可能导致下列症状，但这些症状也可能是普通 Windows功能造成的，或者是 Windows 内部的并非由病毒引起的问题。

Windows 根本无法启动，即使您尚未进行任何系统更改，或者尚未安装或删除任何程序。

出现许多调制解调器活动。如果安装了外置调制解调器，您可能会注意到当调制解调器不使用时，指示灯闪个不停。您可能正在无意识地提供盗版软件。

由于缺少某些关键的系统文件，Windows 无法启动，然后您会收到列出这些文件的错误信息。

计算机有时会如期启动，但有时还未出现桌面图标和任务栏便停止响应。

计算机运行速度非常缓慢，并且启动时间很长。

即使您的计算机具有足够的 RAM，也会出现内存不足的错误信息。

不能正常安装新程序。

Windows 意外地自动重新启动。

过去运行正常的程序现在频繁停止响应。如果试图删除和重新安装该软件，该问题继续存在。

Scandisk 等磁盘实用工具报告多个严重的磁盘错误。

分区完全消失。

当您试图使用 Microsoft Office产品时，计算机总是停止响应。

无法启动 Windows 任务管理器。

反病毒软件指示存在病毒。

从病毒感染状态中恢复和防止病毒感染

2．6计算机病毒的注入方法

实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注入方法主要有以下几种：

1、无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有：

（1）直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。

（2）冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使之能够混在合法传输信号中，进入接收器，进而进入信息网络。

（3）寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路，将病毒传染到被保护的链路或目标中。

2、“固化”式方法。即把病毒事先存放在硬件（如芯片）和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。这种攻击方法十分隐蔽，即使芯片或组件被彻底检查，也很难保证其没有其他特殊功能。目前，我国很多计算机组件依赖进口，因此，很容易受到芯片的攻击。

3、后门攻击方式。后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击，如目前普遍使用的WINDOWS98，就存在这样的后门。

4、数据控制链侵入方式。随着因特网技术的广泛应用，使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。

5、病毒传播

病毒传播技术主要研究传播机理及耦合方式。目前已知的耦合机制有如下四种：

前门耦合 采用系统本身正常传播媒体，如收发设备、天线、通信线等，直接将病毒注入目标系统，并使之传播到与感染系统相连的所有其他系统。

后门耦合 采用与系统不同的媒体进入并干扰系统，如通过电源系统、温控系统、推进系统以及稳定系统等进行干扰。

直接耦合 利用正常通信手段，直接将病毒注入目标系统。敌方接收系统工作期间，以其对应的接收频率发送含有病毒的数据。此外，合法程序的恶意使用也是直接引入病毒的方式。

间接耦合 利用病毒的传染性将病毒注入从目标系统安全防御最薄弱环节开始，病毒通过传播后达到并干扰目标系统。

2．7计算机病毒的主要传播渠道

1.软盘

软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。

2.光盘

光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。

3.硬盘

由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘传染并再扩散。

电子布告栏（BBS）因为上站容易、投资少，因此深受大众用户的喜爱。BBS是由计算机爱好者自发组织的通讯站点，用户可以在BBS上进行文件交换（包括自由软件、游戏、自编程序）。由于BBS站一般没有严格的安全管理，亦无任何限制，这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS站间通过中心站间进行传送，传播面较广。随着BBS在国内的普及，给病毒的传播又增加了新的介质。

5.网络

现代通信技术的巨大进步已使空间距离不再遥远，数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送，工作站的距离可以短至并排摆放的计算机，也可以长达上万公里，正所谓“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中，当您从网络另一端得到一个被感染的程序，并在您的计算机上未加任何防护措施的情况下运行它，病毒就传染开来了。这种病毒的传染方式在计算机网络连接很普及的国家是很常见的，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。

2．8网络的广泛应用给计算机病毒传播带来的影响

随着Internet的风靡，给病毒的传播又增加了新的途径，并将成为第一传播途径。Internet开拓性的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。

当前，Internet网上病毒的最新趋势是：

1、法分子或好事之徒制作的匿名个人网页直接提供了下载大批病毒活样本的便利途径。

2、于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。

3、由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网上学术交流活动，如病毒制造协会年会等等，都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。

4、散见于网站上大批病毒制作工具、向导、程序等等，使得无编程经验和基础的人制造新病毒成为可能。

5、新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。

第三章：对计算机病毒攻击的防范的对策和方法

3．1如何防止病毒感染或从病毒感染状态中恢复

使用经过更新的反病毒程序扫描您的计算机。从Microsoft Web 站点安装最新的安全修补程序。

重新安装反病毒程序（如果它已停止工作）。

从反病毒供应商的 Web 站点获取最新的“件病毒签名文”。对于每种新病毒，反病毒供应商都会发布更新来对付新病毒。

杀除病毒后，请再次扫描您的计算机以确保完全杀除病毒。

安排反病毒程序在您睡觉期间检查系统。

如果以下一个或多个条件为真，则您可能必须格式化计算机硬盘，并重新安装 Windows 以及您的所有计算机程序：

反病毒软件显示一条无法修复或杀除病毒的消息。

病毒损坏或删除了计算机上的一些重要文件。如果 Windows 或某些程序无法启动，或在启动时出现表明文件损坏或丢失的错误信息，则可能属于这种情况

即使在您清理工作站之后，本文描述的症状依然存在，并且您能肯定问题是由病毒引起的。

确保在您的计算机上安装了防火墙。有关安全性和防火墙的详细信息，请访问Microsoft Web 站点：

对于基于 Windows XP的计算机，请打开 Internet连接防火墙 (ICF)。

对于所有其他版本的 Windows，请安装密集架第三方防火墙。

确保安装了 Microsoft Outlook电子邮件安全更新：

默认情况下，Outlook 2000 SP2 post-SP2 和 Outlook XP SP1 包括此安全更新。

Outlook 2000 pre-SR1 和 Outlook 98 不包括此功能，但可以通过安装 Outlook 电子邮件安全更新来获取。

将 Outlook Express6 配置为禁止访问病毒附件。

Outlook Express 的较早版本 (pre-Outlook Express 6) 不包含附件阻塞功能。打开非您要求的带有附件的电子邮件附件时要格外小心。

在 Outlook 和 Outlook Express 中禁用活动脚本。

3．2计算机病毒的技术预防措施

下面总结出一系列行之有效的措施供参考。

1、新购置的计算机硬软件系统的测试

新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。

新购置计算机的硬盘可以进行检测或 进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。

新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。

2、计算机系统的启动

在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。启动前，一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下，只要软盘在启动时被读过，计算机病毒仍然会进入内存进行传染。很多计算机中，可以通过设置CMOS参数，使启动时直接从硬盘引导启动，而根本不去读软盘。这样即使软盘驱动器中插着软盘，启动时也会跳过软驱，尝试由硬盘进行引导。很多人认为，软盘上如果没有等系统启动文件，就不会带计算机病毒，其实引导型计算机病毒根本不需要这些系统文件就能进行传染。

3、单台计算机系统的安全使用

在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘，再在自己的计算机上使用前，也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。

4、重要数据文件要有备份

硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。

重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障，使用户数据受到损伤时再去急救。

对于软盘，要尽可能将数据和应用程序分别保存，装应用程序的软盘要有写保护。

在任何情况下，总应保留一张写保护的、无计算机病毒的、带有常用DOS命令文件的系统启动软盘，用以清除计算机病毒和维护系统。常用的DOS应用程序也有副本，计算机修复工作就比较容易进行了。

5、不要随便直接运行或直接打开电子邮件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。

6、计算机网络的安全使用

以上这些措施不仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，还应采取下列针对网络的防杀计算机病毒措施：

（1）安装网络服务器时应，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。

（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。

如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染和破坏。

（3）一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。

（4）为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其它网络用户对系统卷除读和执行以外的所有其它操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其它网络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。

（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。

（6）系统管理员的职责：

1） 系统管理员的口令应严格管理，不使泄漏，不定期地予以更换，保护网络系统不被非法存取，不被感染上计算机病毒或遭受破坏。

2） 在安装应用程序软件时，应由系统管理员进行，或由系统管理员临时授权进行。

以保护网络用户使用共享资源时总是安全无毒的。

3）系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷应定期进行计算机病毒扫描，发现异常情况及时处理。如果可能，在应用程序卷中安装最新版本的防杀计算机病毒软件供用户使用。

4）网络系统管理员应做好日常管理事务的同时，还要准备应急措施，及时发现计算机病毒感染迹象。当出现计算机病毒传播迹象时，应立即隔离被感染的计算机系统和网络，并进行处理。不应当带毒继续工作下去，要按照特别情况清查整个网络，切断计算机病毒传播的途径，保障正常工作的进行。必要的时候应立即得到专家的帮助。

由于技术上的计算机病毒防治方法尚无法达到完美的境地，难免会有新的计算机病毒突破防护系统的保护，传染到计算机系统中。因此对可能由计算机病毒引起的现象应予以注意，发现异常情况时，不使计算机病毒传播影响到整个网络。

3．3 引导型计算机病毒的识别和防范

引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。纯粹的引导型计算机病毒一般不对磁盘文件进行感染。感染了引导型计算机病毒后，引导记录会发生变化。当然，通过一些防杀计算机病毒软件可以发现引导型计算机病毒，在没有防杀计算机病毒软件的情况下可以通过以下一些方法判断引导扇区是否被计算机病毒感染：

1、先用可疑磁盘引导计算机，引导过程中，按F5键跳过和中的驱动程序和应用程序的加载，这时用MEM或MI等工具查看计算机的空余内存空间（Free

Memory Space）的大小；再用与可疑磁盘上相同版本的、未感染计算机病毒的DOS系统软盘启动计算机，启动过程中，按F5键跳过和中的驱动程序和应用程序的加载，然后用MEM或MI等工具查看并记录下计算机空余内存空间的大小，如果上述两次的空余内存空间大小不一致，则可疑磁盘的引导扇区肯定已被引导型计算机病毒感染。

2、用硬盘引导计算机，运行DOS中的MEM，可以查看内存分配情况，尤其要注意常规内存（Conventional Memory）的总数，一般为640Kb字节，装有硬件防杀计算机病毒芯片的计算机有的可能为639Kb字节。如果常规内存总数小于639Kb字节，那么引导扇区肯定被感染上引导型计算机病毒。

3、机器在运行过程中刚设定好的时间、日期，运行一会儿被修改为缺省的时间、日期，这种情况下，系统很可能带有引导型计算机病毒。

4、在开机过程中，CMOS中刚设定好的软盘配置（即1.44Mb或1.2Mb），用“干净的”软盘启动时一切正常，但用硬盘引导后，再去读软盘则无法读取，此时CMOS中软盘设定情况为None，这种情况肯定带有引导型计算机病毒。

5、硬盘自引导正常，但用“干净的”DOS系统软盘引导时，无法访问硬盘如C：盘（某些需要特殊的驱动程序的大硬盘和FAT32、NTFS等特殊分区除外），这肯定感染上引导型计算机病毒。

6、系统文件都正常，但Windows 95/98经常无法启动，这有可能是感染上了引导型计算机病毒。

上述介绍的仅是常见的几种情况。计算机被感染了引导型计算机病毒，最好用防杀计算机病毒软件加以清除，或者在“干净的”系统启动软盘引导下，用备份的引导扇区覆盖。

预防引导型计算机病毒，通常采用以下一些方法：

（1) 坚持从不带计算机病毒的硬盘引导系统。

（2) 安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。

（3) 经常备份系统引导扇区。

（4) 某些底板上提供引导扇区计算机病毒保护功能（Virus Protect），启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件（如Windows 95/98，Windows NT以及多系统启动软件等）安装失败。

3．4 文件型计算机病毒的识别和防范

大多数的计算机病毒都属于文件型计算机病毒。文件型计算机病毒一般只传染磁盘上的可执行文件（COM，EXE），在用户调用染毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。文件型计算机病毒通过修改COM、EXE或OVL等文件的结构，将计算机病毒代码

插入到宿主程序，文件被感染后，长度、日期和时间等大多发生变化，也有些文件型计算机病毒传染前后文件长度、日期、时间不会发生任何变化，称之为隐型计算机病毒。隐型计算机病毒是在传染后对感染文件进行数据压缩，或利用可执行文件中有一些空的数据区，将自身分解在这些空区中，从而达到不被发现的目的。通过以下方法可以判别文件型计算机病毒：

1、在用未感染计算机病毒的DOS启动软盘引导后，对同一目录列目录（DIR）后文件的总长度与通过硬盘启动后所列目录内文件总长度不一样，则该目录下的某些文件已被计算机病毒感染，因为在带毒环境下，文件的长度往往是不真实的。

2、有些文件型计算机病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同时也感染系统的引导扇区，如果磁盘的引导扇区被莫名奇妙地破坏了，则磁盘上也有可能有文件型计算机病毒。

3、系统文件长度发生变化，则这些系统文件上很有可能含有计算机病毒代码。应记住一些常见的DOS系统的、、、等系统文件的长度。

4、计算机在运行过外来软件后，经常死机，或者Windows 95/98无法正常启动，运行经常出错，等等，都有可能是感染上了文件型计算机病毒。

5、微机速度明显变慢，曾经正常运行的软件报内存不足，或计算机无法正常打印，这些现象都有可能感染上文件型计算机病毒。

6、有些带毒环境下，文件的长度和正常的完全一样，但是从带有写保护的软盘拷贝文件时，会提示软盘带有写保护，这肯定是感染了计算机病毒。

对普通的单机和网络用户来说感染文件型计算机病毒后，最好的办法就是用防杀计算机病毒软件清除，或者干脆删除带毒的应用程序，然后重新安装。需要注意的是用防杀计算机病毒软件清除计算机病毒的时候必须保证内存中没有驻留计算机病毒，否则老的计算机病毒是清除了，可又感染上新的了。

对于文件型计算机病毒的防范，一般采用以下一些方法：

（1) 安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。

（2) 及时更新查杀计算机病毒引擎，一般要保证每月至少更新一次，有条件的可以每周更新一次，并在有计算机病毒突发事件的时候及时更新。

（3) 经常使用防杀计算机病毒软件对系统进行计算机病毒检查。

（4) 对关键文件，如系统文件、保密的数据等等，在没有计算机病毒的环境下经常备份。

（5) 在不影响系统正常工作的情况下对系统文件设置最低的访问权限，以防止计算机病毒的侵害。

（6) 当使用Windows 95/98/2000/NT操作系统时，修改文件夹窗口中的确省属性。具体操作为：鼠标左键双击打开“我的电脑”，选择“查看”菜单中的“选项”命令。然后在“查看”中选择“显示所有文件”以及不选中”隐藏已知文件类型的文件扩展名”，按“确定”按钮。注意不同的操作系统平台可能显示的文字有所不同。

3．5 宏病毒的识别和防范

宏病毒（Macro Virus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件，只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。

通过以下方法可以判别宏病毒：

1、在使用的Word中从“工具”栏处打开“宏”菜单，选中模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如A

AAZAO、PayLoad等，就极可能是感染了宏病毒了，因为Normal模板中是不包含这些宏的。

2、在使用的Word“工具”菜单中看不到“宏”这个字，或看到“宏”但光标移到“宏”，鼠标点击无反应，这种情况肯定有宏病毒。

3、打开一个文档，不进行任何操作，退出Word，如提示存盘，这极可能是Word中的模板中带宏病毒。

4、打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。

5、在运行Word过程中经常出现内存不足，打印不正常，也可能有宏病毒。

6、在运行Word 97时，打开DOC文档出现是否启动“宏”的提示，该文档极可能带有宏病毒。

感染了宏病毒后，也可以采取对付文件型计算机病毒的方法，用防杀计算机病毒软件查杀，如果手头一时没有防杀计算机病毒软件的话，对付某些感染Word文档的宏病毒也是可以通过手工操作的方法来查杀的。下面以Word 97为例简单介绍一下如何进行手工查杀：

首先，必须保证Word 97本身是没有感染宏病毒的，也就是Word 97安装目录下Startup目录下的文件和文件没有被宏病毒感染。

然后只打开Word 97，而不是直接双击文档，选择“工具”菜单中的“选项”命令。再在“常规”中选中“宏病毒防护”，在“保存”中不选中“快速保存”，按确定按钮。

打开文档，此时系统应该提示是否启用“宏”，选“否”，不启用宏而直接打开文档。再选择“工具”菜单的“宏”子菜单的“宏”命令，将可疑的宏全部删除。然后将文档保存。宏病毒被清除。

有些宏可能会屏蔽掉“宏”菜单，使得上述方法无法实施，这个时候可以试试下面这种方法：

首先保证Word 97不受宏病毒的感染，只打开Word 97并新建一个空文档，然后在“工具”菜单中选择“选项”命令，在“常规”中选中“宏病毒防护”，在“保存”中选择“提示保存Normal模板”，按确定按钮。

接着再启动一个Word 97应用程序，然后用新启动的这个Word 97打开感染宏病毒的文档，应当也会出现是否启用宏的提示，选“否”；然后选择“编辑”菜单中的“全选”命令；然后再选择“编辑”菜单中的“复制”命令；再切换到先前的Word 97中，选择“编辑”菜单中的“粘贴”命令，可以发现原来的文档被粘贴到先前Word 97新建的文档里。

切换回打开带宏病毒文档的Word 97中，选择“文件”菜单中的“退出”命令，退出Word

97，如果提示说是否保存模板，则选“否”。

再切换回先打开的Word 97中，选择“文件”菜单中的“保存”命令，将文件保存。由于宏病毒不会随剪贴板功能而被复制，所以这种办法也能起到杀灭宏病毒的效果。

对宏病毒的预防是完全可以做到的，只要在使用Office套装软件之前进行一些正确的设置，就基本上能够防止宏病毒的侵害。任何设置都必须在确保软件未被宏病毒感染的情况下进行：

（1) 在Word中打开“选项”中的“宏病毒防护”（Word 97及以上版本才提供此功能）和“提示保存Normal模板”；清理“工具”菜单中“模板和加载项”中的“共用模板及加载项”中预先加载的文件，不必要的就不加载，必须加载的则要确保没有宏病毒的存在，并且确认没有选中“自动更新样式”选项；退出Word，此时会提示保存模板，按“是”按钮，保存并退出Word；找到文件，将文件属性改成“只读”。

（2) 在Excel中选择“工具”菜单中的“选项”命令，在“常规”中选中“宏病毒防护功能”。

（3) 在PowerPoint中选择“工具”菜单中的“选项”命令，在“常规”中选中“宏病毒防护”。

（4) 其他防范文件型计算机病毒所做的工作。

做了防护工作后，对打开提示有是否启用宏，除非能够完全确信文档中只包含明确没有破坏意图的宏，否则都不执行宏；而对退出时提示保存除文档以外的文件，如模板等，一律不予保存。

以上这些防范宏病毒的方法可以说是最简单实用的，而且效果最明显。

3．6电子邮件计算机病毒的识别和防范

风靡全球的“美丽莎”（Melissa）、Papa和HAPPY99等计算机病毒正是通过电子邮件的方式进行传播、扩散，其结果导致邮件服务器瘫痪，用户信息和重要文档泄密，无法收发E-mail，给个人、企业和政府部门造成严重的损失。为此有必要介绍一下电子邮件计算机病毒。

电子邮件计算机病毒实际上并不是一类单独的计算机病毒，严格来说它应该划入到文件型计算机病毒及宏病毒中去，只不过由于这些计算机病毒采用了独特的电子邮件传播方式（其中不少种类还专门针对电子邮件的传播方式进行了优化），因此我们习惯于称将它们为电子邮

件计算机病毒。

所谓电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒，实际上该类计算机病毒和普通的计算机病毒一样，只不过是传播方式改变而已。该类计算机病毒的特点：

1、电子邮件本身是无毒的，但它的内容中可以有Unix下的特殊的换码序列，就是通常所说的ANSI字符，当用Unix智能终端上网查看电子邮件时，有被侵入的可能。

2、电子邮件可以夹带任何类型的文件作为附件（Attachment），附件文件可能带有计算机病毒。

3、利用某些电子邮件收发器特有的扩充功能，比如Outlook/Outlook Express能够执行VBA指令编写的宏，等等，在电子邮件中夹带有针对性的代码，利用电子邮件进行传染、扩散。

4、利用某些操作系统所特有的功能，比如利用Windows 98下的Windows Scripting Host，利用*.SHS文件来进行破坏。

5、超大的电子邮件、电子邮件炸弹也可以认为是一种电子邮件计算机病毒，它能够影响邮件服务器的正常服务功能。

通常对付电子邮件计算机病毒，只要删除携带电子邮件计算机病毒的信件就能够删除它。但是大多数的电子邮件计算机病毒在一被接收到客户端时就开始发作了，基本上没有潜伏期。所以预防电子邮件计算机病毒是至关重要的。以下是一些常用的预防电子邮件计算机病毒的方法：

1、不要轻易执行附件中的EXE和COM等可执行程序。这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子邮件中的可执行程序附件都必须检查，确定无异后才可使用。

2、不要轻易打开附件中的文档文件。对方发送过来的电子邮件及相关附件的文档，首先要用“另存为„”命令（“Save As„”）保存到本地硬盘，待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档，会自动启用Word或Excel，如有附件中有计算机病毒则会立刻传染，如有“是否启用宏”的提示，那绝对不要轻易打开，否则极有可能传染上电子邮件计算机病毒。

3、对于文件扩展名很怪的附件，或者是带有脚本文件如*.VBS、*.SHS等的附件，千万不要直接打开，一般可以删除包含这些附件的电子邮件，以保证计算机系统不受计算机病毒的侵害。

4、如果是使用Outlook作为收发电子邮件软件的话，应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“安全”中设置“附件的安全性”为“高”；在“其他”中按“高级选项”按钮，按“加载项管理器”按钮，不选中“服务器脚本运行”。最后按“确定”按钮保存设置。

5、如果是使用Outlook Express作为收发电子邮件软件的话，也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。这样可以防止有些电子邮件计算机病毒利用Outlook Express的缺省设置自动运行，破坏系统。

6、对于使用Windows 98操作系统的计算机，在“控制面板”中的“添加/删除程序”中选择检查一下是否安装了Windows Scripting Host。如果已经安装的，请卸载，并且检查Windows的安装目录下是否存在文件，如果存在的话也要删除。因为有些电子邮件计算机病毒就是利用Windows Scripting Host进行破坏的。

7、对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送，虽然电子邮件计算机病毒相当可怕，只要防护得当，还是完全可以避免传染上计算机病毒的，仍可放心使用。

对付电子邮件计算机病毒，还可以在计算机上安装有电子邮件实时监控功能的防杀计算机病毒软件。有条件的还可以在电子邮件服务器上安装服务器版电子邮件计算机病毒防护软件，从外部切断电子邮件计算机病毒的入侵途径，确保整个网络的安全。

3．7计算机病毒检测方法

检测磁盘中的计算机病毒可分成检测引导型计算机病毒和检测文件型计算机病毒。这两种检测从原理上讲是一样的，但由于各自的存储方式不同，检测方法是有差别的。

3．7．1比较法

比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、FC或PCTOOLS等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作。

使用比较法能发现异常，如文件的长度有变化，或虽然文件长度未发生变化，但文件内的程序代码发生了变化。对硬盘主引导扇区或对DOS的引导扇区做检查，比较法能发现其中的程序代码是否发生了变化。由于要进行比较，保留好原始备份是非常重要的，制作备份时必须在无计算机病毒的环境里进行，制作好的备份必须妥善保管，写好标签，并加上写保护。

比较法的好处是简单、方便，不需专用软件。缺点是无法确认计算机病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是由于计算机病毒造成的，或是由于DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确证是否存在计算机病毒。另外，当找不到原始备份时，用比较法就不能马上得到结论。从这里可以看到制作和保留原始主引导扇区和其它数据备份的重要性。

3．7．2加总比对法

根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否遭更改，以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后，将里程表的数字记下来。那么下次您再开车时，只要比对一下里程表

的数字，那么您就可以断定是否有人偷开了您的车子。这种技术可侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到。

3．7．3搜索法.

搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的计算机病毒。国外对这种按搜索法工作的计算机病毒扫描软件叫Virus Scanner。计算机病毒扫描软件由两部分组成：一部分是计算机病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。目前常见的防杀计算机病毒软件对已知计算机病毒的检测大多采用这种方法。计算机病毒扫描程序能识别的计算机病毒的数目完全取决于计算机病毒代码库内所含计算机病毒的种类多少。显而易见，库中计算机病毒代码种类越多，扫描程序能认出的计算机病毒就越多。计算机病毒代码串的选择是非常重要的。短小的计算机病毒只有一百多个字节，长的有上万字节的。如果随意从计算机病毒体内选一段作为代表该计算机病毒的特征代码串，可能在不同的环境中，该特征串并不真正具有代表性，不能用于将该串所对应的计算机病毒检查出来。选这种串做为计算机病毒代码库的特征串就是不合适的。

另一种情况是代码串不应含有计算机病毒的数据区，数据区是会经常变化的。代码串一定要在仔细分析了程序之后才选出最具代表特性的，足以将该计算机病毒区别于其它计算机病毒的字节串。选定好的特征代码串是很不容易的，是计算机病毒扫描程序的精华所在。一般情况下，代码串是连续的若干个字节组成的串，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时，只要除“模糊”字节之外的字串都能完

好匹配，则也能判别出计算机病毒。

除了前面说的选特征串的规则外，最重要的是一条是特征串必须能将计算机病毒与正常

的非计算机病毒程序区分开。不然将非计算机病毒程序当成计算机病毒报告给用户，是假警报，这种“狼来了”的假警报太多了，就会使用户放松警惕，等真的计算机病毒一来，破坏就严重了；再就是若将这假警报送给杀计算机病毒程序，会将好程序给“杀死”了。

使用特征串的扫描法被查计算机病毒软件广泛应用。当特征串选择得很好时，计算机病毒检测软件让计算机用户使用起来很方便，对计算机病毒了解不多的人也能用它来发现计算机病毒。另外，不用专门软件，用PCTOOLS等软件也能用特征串扫描法去检测特定的计算机病毒。

这种扫描法的缺点也是明显的。第一是当被扫描的文件很长时，扫描所花时间也越多；第二是不容易选出合适的特征串；第三是新的计算机病毒的特征串未加入计算机病毒代码库时，老版本的扫毒程序无法识别出新的计算机病毒；第四是怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变计算机病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力；第五是容易产生误报，只要在正常程序内带有某种计算机病毒的特征串，即使该代码段已不可能被执行，而只是被杀死的计算机病毒体残余，扫描程序仍会报警；第六是不易识别多维变形计算机病毒。不管怎样，基于特征串的计算机病毒扫描法仍是今天用得最为普遍的查计算机病毒方法。

3．7．4分析法

一般使用分析法的人不是普通用户，而是防杀计算机病毒技术人员。使用分析法的目的在于：

1、确认被观察的磁盘引导扇区和程序中是否含有计算机病毒；

2、确认计算机病毒的类型和种类，判定其是否是一种新的计算机病毒；

3、搞清楚计算机病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到计算机病毒代码库供计算机病毒扫描和识别程序用；

4、详细分析计算机病毒代码，为制定相应的防杀计算机病毒措施制定方案。

上述四个目的按顺序排列起来，正好是使用分析法的工作顺序。使用分析法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用以及关于计算机病毒方面的

各种知识，这是与其他检测计算机病毒方法不一样的地方。

要使用分析法检测计算机病毒，其条件除了要具有相关的知识外，还需要反汇编工具、二进制文件编辑器等分析用工具程序和专用的试验计算机。因为即使是很熟练的防杀计算机病毒技术人员，使用性能完善的分析软件，也不能保证在短时间内将计算机病毒代码完全分析清楚。而计算机病毒有可能在被分析阶段继续传染甚至发作，把软盘硬盘内的数据完全毁坏掉，这就要求分析工作必须在专门设立的试验计算机机上进行，不怕其中的数据被破坏。在不具备条件的情况下，不要轻易开始分析工作，很多计算机病毒采用了自加密、反跟踪等技术，使得分析计算机病毒的工作经常是冗长和枯燥的。特别是某些文件型计算机病毒的代码可达10Kb以上，与系统的牵扯层次很深，使详细的剖析工作十分复杂。

计算机病毒检测的分析法是防杀计算机病毒工作中不可缺少的重要技术，任何一个性能优良的防杀计算机病毒系统的研制和开发都离不开专门人员对各种计算机病毒的详尽而认真的分析。

分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令后程序清单后进行分析，看计算机病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，并将计算机病毒感染文件的过程翻转为清除该计算机病毒、修复文件的过程；判断哪些代码可被用做特征码以及如何防御这种计算机病毒。分析人员具有的素质越高，分析过程越快、理解越深。动态分析则是指利用DEBUG等调试工具在内存带毒的情况下，对计算机病毒做动态跟踪，观察计算机病毒的具体工作过程，以进一步在静态分析的基础上理解计算机病毒工作的原理。在计算机病毒编码比较简单的情况下，动态分析不是必须的。但当计算机病毒采用了较多的技术手段时，必须使用动、静相结合的分析方法才能完成整个分析过程。

3．7．5 人工智能陷阱技术和宏病毒陷阱技术

人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将所有计算机病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所警觉，并告知使用者。这种技术的优点是执行速度快、操作简便，且可以侦测到各式计算机病毒；其缺点就是

程序设计难，且不容易考虑周全。不过在这千变万化的计算机病毒世界中，人工智能陷阱扫描技术是一个至少具有主动保护功能的新技术。

宏病毒陷阱技术（MacroTrap）是结合了搜索法和人工智能陷阱技术，依行为模式来侦测已知及未知的宏病毒。其中，配合OLE2技术，可将宏与文件分开，使得扫描速度变得飞快，而且更可有效地将宏病毒彻底清除。

3．7．6 软件仿真扫描法

该技术专门用来对付多态变形计算机病毒（Polymorphic/MutationVirus）。多态变形计算机病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法的方式根本就无法找到这种计算机病毒。软件仿真技术则是成功地仿真CPU执行，在DOS虚拟机（Virtual Machine）下伪执行计算机病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。

3．7．7 先知扫描法

先知扫描技术（VICE，Virus Instruction Code Emulation）是继软件仿真后的一大技术上突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机，仿真CPU动作并伪执行程序以解开多态变形计算机病毒，那么应用类似的技术也可以用来分析一般程序，检查可疑的计算机病毒代码。因此先知扫描技术将专业人员用来判断程序是否存在计算机病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术（Software Emulation）伪执行新的计算机病毒，超前分析出新计算机病毒代码，对付以后的计算机病毒。

3．8计算机系统的修复

3．8．1计算机病毒感染后的一般修复处理方法

一旦遇到计算机病毒破坏了系统也不必惊惶失措，采取一些简单的办法可以杀除大多数的计算机病毒，恢复被计算机病毒破坏的系统。

下面介绍计算机病毒感染后的一般修复处理方法：

1、首先必须对系统破坏程度有一个全面的了解，并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。

如果受破坏的大多是系统文件和应用程序文件，并且感染程 度较深，那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件，或比较严重的时候，比如硬件被CIH计算机病毒破坏，就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。

2、修复前，尽可能再次备份重要的数据文件。

目前防杀计算机病毒软件在杀毒前大多都能够保存重要的数据和感染的文件，以便能够在误杀或造成新的破坏时可以恢复现场。但是对那些重要的用户数据文件等还是应该在杀毒前手工单独进行备份，备份不能做在被感染破坏的系统内，也不应该与平时的常规备份混在一起。

3、启动防杀计算机病毒软件，并对整个硬盘进行扫描。某些计算机病毒在Windows 95/98状态下无法完全清除（如CIH计算机病毒），此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统，然后在DOS下运行相关杀毒软件进行清除。

4、发现计算机病毒后，我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。

5、杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。

6、此外，对于杀毒软件无法杀除的计算机病毒，还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心，以供详细分析。

3．8．2实例：手工恢复被CIH计算机病毒破坏的硬盘数据

1、基础知识

（1）DOS兼容系统硬盘数据的构成 ：

主分区和扩展分区结构基本相似，以下以主分区为例。

主引导记录（MBR）：MBR占一个扇区，在0柱面0面1扇区，由代码区和分区表构成。其中代码区可以由FDISK /MBR重建。

系统扇区：0柱面0面2扇区到0柱面0面63扇区，共62个扇区。

引导扇区（BOOT）：0柱面1面1扇区。这是我们过去称的DOS引导区。也占一个扇区。

隐藏扇区：0柱面1面1扇区开始，如果是FAT16那么占一个扇区，如果是FAT32则由此占32个扇区。

文件分配表（FAT）：每个有效的FAT结构区包含两个完全相同的拷贝：FAT1、FAT2， FAT16的第一FAT表一般均在0柱面1面2扇区，FAT32的第一FAT表在0柱面0面33扇区。FAT表是记录文件占用扇区连接的地方，如果两个FAT表都坏了，后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2 的地址是需要计算的。

FAT16的每个表项由2字节（16位）组成，通常每个表项指向的簇包含64个扇区，即32Kb字节。逻辑盘容量最大为2047MB。FAT32的每个表项由4字节（32位）组成，通常每个表项指向的簇包含8个扇区，即4Kb字节。逻辑盘容量最小为2048MB。有关计算公式为：

每个扇区长度＝512字节

簇容量＝每扇区长度×每簇扇区数

总簇数＝逻辑盘容量／簇容量

总簇数＝FAT表长度（字节）／每个表项长度（字节）-2

FAT表长度＝逻辑盘容量／簇容量×每个表项长度

FAT表的开始由介质描述符加上一串“已占用”标志组成：

FAT16硬盘：F8 FF FF 7F

FAT32硬盘：F8 FF FF 0F FF FF FF 0F

根目录扇区（ROOT）：这里记录了根目录里的目录文件项等，ROOT区跟在FAT2后面。

数据区：跟在根目录扇区后面，这才是真正保存文件内容的地方。

（2）主引导记录简单说明：

主引导记录是硬盘引导的起点，其分区表中比较重要的有3个标志，在偏移0x01BE处的

字节，0x80 表示系统可引导，且整个分区表只能有一个分区的标志为0x80；对于C分区，在偏移0x01C2处的字节，FAT16为0x06，FAT32为0x0C；结尾的0x55 0xAA标记，用来表示主引导记录是一个有效的记录。

2、一个基本恢复被CIH破坏硬盘数据的例子

其实，无论主引导记录还是隐含扇区还是启动扇区，都不重要，这些扇区的重建都比较容易。对数据恢复来说，能否成功的找回数据文件是重要的。另外，由于FAT表记录了文件在硬盘上占用扇区的链表，如果2个FAT表都完全损坏了。那么恢复文件，特别是占用多个不连续扇区文件就相当困难了。

恢复被CIH破坏的硬盘数据的基本思路是：

（1）FAT2没有损坏的情况，用FAT2覆盖FAT1。

（2）FAT2也已经损坏的情况，一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话，也并非没有可能，但这往往还要知道文件的一些细节，包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏，还是有一定用处的，另外，一般来说，FAT16的硬盘因为FAT表扇区比较靠前，破坏的比较严重，一般两个FAT表都会被破坏了，恢复起来比较困难。另外小容量的硬盘也是很难恢复。

在进行数据恢复之前准备好软盘3张：

DISK1 ：WIN98启动盘（带）

DISK2：NORTON DISKEDIT等工具（此盘不要写保护）

DISK3：DOS下杀CIH的工具

找一台完好无损的计算机，将待恢复的的硬盘接上，开机，进入SETUP，检测硬盘，把参数记下：

CLY 620 HEAD 128 PRECOMP 0 LANDZ 4959 SECTOR 63 MODE LBA

用准备好的软盘启动并输入：

A:>C:

显示Invalid drive specification（无效的盘标识符）

用FDISK /MBR命令重建主引导记录，并重新用软盘引导。此时已经看的见C:硬盘。运

行DISKEDIT，启动过程中显示Invalid media type reading DRIVER C。用DEBUG 清空分区表，并置0x80和0x55 0xAA标志。重新启动，再运行DISKEDIT，显示设定为READ ONLY，没关系，把CONFIGURATION中的只读选项去掉，存盘，好了，可以编辑了。

我们期待FAT2没有损坏，以用FAT2覆盖FAT1，在这个时候DISKEDIT要比DEBUG容易的多，在FIND OBJECT中选择 FAT，查一下起始扇区，在0柱面68面14扇区，偏移0x0000的字节：F8 FF FF 0F （FAT32的）。该项显示表明FAT2没坏。其实

如果不用DISKEDIT的可以用DEBUG查，偏移0000的F8 FF FF 0F。记下了该扇区：0柱面68面14扇区备用。FAT1一般前面已经被破坏了，但后面应该还在，这可以作为检查。因为是32位的，FAT1 一般在0柱面1面33扇区。

接下来再在DISKEDIT的FIND中查找IO SYS（IO 和SYS中要有空格）以查找根目录扇区（ROOT）。找到后观察，是否有C: 下常见文件，以确定根目录扇区没被破坏。

有了根目录扇区后就该计算FAT表的长度了，因为FAT2是到ROOT前一扇区为止且FAT1和FAT2的长度相同，所以可以非常简单地计算出FAT表的长度。然后可以用FAT2覆盖FAT1，这里用DEBUG还是DISKEDIT都可以，如果用DEBUG一般是用INT 25读绝对扇区，再用INT 26写入，不过可能要分几次。用DISKEDIT可以标记FAT2的内容，然后复制下来，再写到FAT1。

然后可以恢复主引导记录、隐含扇区和启动扇区。可以先用NDD 修复分区表，然后可以考虑用标准覆盖法，如果你希望下一步由NORTON Utilities来接手，这些都可以不做。用软盘启动后用NORTON Utilities扫描C盘，文件基本恢复。对C盘杀毒后，就基本完成对启动盘的修复工作。

然后再修复D盘。再回到DOS，用DEBUG查找结束标志为55AA 的扇区，由结构判定是否为扩展分区。并算出大小来添入分区表。当然，DISKEDIT等工具可以很好的完成这一工作。

3、经验总结

恢复数据要本着几项原则：

（1）先备份；

（2）优先抢救最关键的数据；