第一篇：淺析計算機病毒及防范的措施

淺析計算機病毒及防范的措施

摘要：我在實習時發現實習單位計算機中有好多病毒，我們帶去的安裝軟件有的都不能顯示，給我們帶來很多麻煩。目前計算機病毒可以滲透到信息社會的各個領域，給計算機系統帶來了巨大的破壞和潛在的威脅。為了確保信息的安全與暢通，因此，研究計算機病毒的防范措施已迫在眉睫。本文從計算機的特點入手，來初步探討對付計算機病毒的方法和措施。

關鍵詞：計算機、防范、病毒

隨著計算機在社會生活各個領域的廣泛運用，計算機病毒攻擊與防范技術也在不斷拓展。據報道，世界各國遭受計算機病毒感染和攻擊的事件數以億計，嚴重地干擾了正常的人類社會生活，給計算機網絡和系統帶來了巨大的潛在威脅和破壞。與此同時，病毒技術在戰爭領域也曾廣泛的運用，在海灣戰爭、近期的科索沃戰爭中，雙方都曾利用計算機病毒向敵方發起攻擊，破壞對方的計算機網絡和武器控制系統，達到了一定的政治目的與軍事目的?？梢灶A見，隨著計算機、網絡運用的不斷普及、深入，防范計算機病毒將越來越受到各國的高度重視。

一、計算機病毒的內涵、類型及特點

計算機病毒是一組通過復制自身來感染其它軟件的程序。當程序運行時，嵌入的病毒也隨之運行并感染其它程序。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設定好的環境激發，即可感染和破壞。自80年代莫里斯編制的第一個“蠕蟲”病毒程序至今，世界上已出現了多種不同類型的病毒。在最近幾年，又產生了以下幾種主要病毒：

（1）“美麗殺手”（Melissa）病毒。這種病毒是專門針對微軟電子郵件服務器MS Exchange和電子郵件收發軟件0ut1ookExpress的Word宏病毒，是一種拒絕服務的攻擊型病毒，能夠影響計算機運行微軟word97、word2000和0utlook。這種病毒是一種Word文檔附件，由E-mall攜帶傳播擴散。由于這種

病毒能夠自我復制，一旦用戶打開這個附件，“美麗殺手”病毒就會使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動復制發送，從而過載E-mai1服務器或使之損壞?！懊利悮⑹帧辈《镜臄U散速度之快可達幾何級數，據計算，如果“美麗殺手”病毒能夠按照理論上的速度傳播，只需要繁殖5次就可以讓全世界所有的網絡用戶都都收到一份。“美麗殺手”病毒的最令人恐怖之處還不僅是拒絕電子郵件服務器，而是使用戶的非常敏感和核心的機密信息在不經意間通過電子郵件的反復傳播和擴散而被泄漏出去，連擴散到了什么地方可能都不得而知。據外電報道，在北約對南聯盟發動的戰爭行動中，證實“美麗殺手”病毒己使5萬部電腦主機和幾十萬部電腦陷于癱瘓而無法工作，網絡被空數據包阻塞，迫使許多用戶關機避災。

（2）“怕怕”（Papa）病毒?！芭屡隆辈《臼橇硪环NExcel宏病毒，它能夠繞開網絡管理人員設置的保護措施進入計算機。這種病毒與“美麗殺手”病毒相類似，其區別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播，拒絕服務和阻塞網絡，而且更為嚴重的是它能使整個網絡癱瘓，使被它感染的文件所具有的宏病毒預警功能喪失作用。

（3）“瘋?！保∕ad Cow）和“怕怕B”病毒。這兩種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當美國緊急動員起來對付3月26日發現的“美麗殺手”和“怕怕”病毒時，在歐洲又出現了它們的新變種“美麗殺手B”（又叫作“瘋牛”）和“怕怕B”，目前正橫掃歐洲大陸，造成大規模破壞，而且還正在向全世界擴散蔓延。雖然這兩種病毒變種的病毒代碼不同，可能不是一個人所編寫，但是，它們同樣也是通過發送Word和Excel文件而傳播。每次被激活后，這種病毒就會向用戶電子郵件簿的前60個地址發送垃圾郵件；它還可以向一個外部網站發送網絡請求，占用大量的帶寬而阻滯網絡的工作，其危害性比原型病毒有過之而無不及。

（4）“幸福1999”宏病毒。這是一種比“美麗殺手”的破壞作用小得多的病毒?！靶腋?999”病毒會改變計算機中的微軟公司Windows程序與Internet網工作。這種病毒還發送一個執行文件，激活焰火顯示，使屏幕碎裂。

（5）“咻咻”（Ping）轟擊病毒?！斑葸荨鞭Z擊病毒的英文單詞是“分組Internet搜索者”的縮寫，指的是將一個分組信息發送到服務器并等待其響應的過程，這是用戶用以確定一個系統是否在Internet網上運行的一種方法。據外電報道，運用“咻咻”（Ping）轟擊病毒，發送大量的“咻咻”空數據包，使服務器過載，不能對其它用戶作出響應。

歸納起來，計算機病毒有以下特點：一是攻擊隱蔽性強。病毒可以無聲無息地感染計算機系統而不被察覺，待發現時，往往已造成嚴重后果。二是繁殖能力強。電腦一旦染毒，可以很快“發病”。目前的三維病毒還會產生很多變種。三是傳染途徑廣。可通過軟盤、有線和無線網絡、硬件設備等多渠道自動侵入計算機中，并不斷蔓延。四是潛伏期長。病毒可以長期潛伏在計算機系統而不發作，待滿足一定條件后，就激發破壞。五是破壞力大。計算機病毒一旦發作，輕則干擾系統的正常運行，重則破壞磁盤數據、刪除文件，導致整個計算機系統的癱瘓。六是針對性強。計算機病毒的效能可以準確地加以設計，滿足不同環境和時機的要求。

二、計算機病毒的技術分析

長期以來，人們設計計算機的目標主要是追求信息處理功能的提高和生產成本的降低，而對于安全問題則重視不夠。計算機系統的各個組成部分，接口界面，各個層次的相互轉換，都存在著不少漏洞和薄弱環節。硬件設什缺乏整體安全性考慮，軟件方面也更易存在隱患和潛在威脅。對計算機系統的測試，目前尚缺乏自動化檢測工具和系統軟件的完整檢驗手段，計算機系統的脆弱性，為計算機病毒的產生和傳播提供了可乘之機；全球萬維網（www）使“地球一村化”，為計算

機病毒創造了實施的空間；新的計算機技術在電子系統中不斷應用，為計算機病毒的實現提供了客觀條件。國外專家認為，分布式數字處理、可重編程嵌入計算機、網絡化通信、計算機標準化、軟件標準化、標準的信息格式、標準的數據鏈路等都使得計算機病毒侵入成為可能。

實施計算機病毒入侵的核心技術是解決病毒的有效注入。其攻擊目標是對方的各種系統，以及從計算機主機到各式各樣的傳感器、網橋等，以使他們的計算機在關鍵時刻受到誘騙或崩潰，無法發揮作用。從國外技術研究現狀來看，病毒注入方法主要有以下幾種：

1．無線電方式。主要是通過無線電把病毒碼發射到對方電子系統中。此方式是計算機病毒注入的最佳方式，同時技術難度也最大?？赡艿耐緩接校孩僦苯酉驅Ψ诫娮酉到y的無線電接收器或設備發射，使接收器對其進行處理并把病毒傳染到目標機上。②冒充合法無線傳輸數據。根據得到的或使用標準的無線電傳輸協議和數據格式，發射病毒碼，使之能夠混在合法傳輸信號中，進入接收器，進而進人信息網絡。③尋找對方信息系統保護最差的地方進行病毒注放。通過對方未保護的數據鏈路，將病毒傳染到被保護的鏈路或目標中。

2．“固化”式方法。即把病毒事先存放在硬件（如芯片）和軟件中，然后把此硬件和軟件直接或間接交付給對方，使病毒直接傳染給對方電子系統，在需要時將其激活，達到攻擊目的。這種攻擊方法十分隱蔽，即使芯片或組件被徹底檢查，也很難保證其沒有其他特殊功能。目前，我國很多計算機組件依賴進口，困此，很容易受到芯片的攻擊。

3．后門攻擊方式。后門，是計算機安全系統中的一個小洞，由軟件設計師或維護人發明，允許知道其存在的人繞過正常安全防護措施進入系統。攻擊后門的形式有許多種，如控制電磁脈沖可將病毒注入目標系統。計算機入侵者就常通過后門進行攻擊，如目前普遍使用的WINDOWS98，就存在這樣的后門。

4．數據控制鏈侵入方式。隨著因特網技術的廣泛應用，使計算機病毒通過計算機系統的數據控制鏈侵入成為可能。使用遠程修改技術，可以很容易地改變數據控制鏈的正常路徑。

除上述方式外，還可通過其他多種方式注入病毒。

三、對計算機病毒攻擊的防范的對策和方法

1．建立有效的計算機病毒防護體系。有效的計算機病毒防護體系應包括多個防護層。一是訪問控制層；二是病毒檢測層；三是病毒遏制層；四是病毒清除層；五是系統恢復層；六是應急計劃層。上述六層計算機防護體系，須有有效的硬件和軟件技術的支持，如安全設計及規范操作。

2．嚴把收硬件安全關。國家的機密信息系統所用設備和系列產品，應建立自己的生產企業，實現計算機的國產化、系列化；對引進的計算機系統要在進行安全性檢查后才能啟用，以預防和限制計算機病毒伺機入侵。

3．防止電磁輻射和電磁泄露。采取電磁屏蔽的方法，阻斷電磁波輻射，這樣，不僅可以達到防止計算機信息泄露的目的，而且可以防止“電磁輻射式”病毒的攻擊。

4、．加強計算機應急反應分隊建設。應成立自動化系統安全支援分隊，以解決計算機防御性的有關問題。早在1994年，美國軟件工程學院就成立了計算機應急反應分隊。

計算機病毒攻擊與防御手段是不斷發展的，要在計算機病毒對抗中保持領先地位，必須根據發展趨勢，在關鍵技術環節上實施跟蹤研究。實施跟蹤研究應著重圍繞以下方面進行：一是計算機病毒的數學模型。二是計算機病毒的注入方式，重點研究“固化”病毒的激發。三是計算機病毒的攻擊方式，重點研究網絡間無線

傳遞數據的標準化，以及它的安全脆弱性和高頻電磁脈沖病毒槍置人病毒的有效性。四是研究對付計算機病毒的安全策略及防御技術。

第二篇：計算機病毒及防范措施

計算機病毒及防范措施

摘要

隨著全球計算機用戶的激增,隨著帶來的計算機病毒的危害力度也逐漸顯現,迫切需要在防范計算機病毒方面加強研究。基于此,本文在全面總結了計算機病毒的內涵、分類以及計算機感染病毒的諸多現象的基礎上,深入探討了防范計算機病毒的具體可行性措施,以期為廣大計算用用戶安全使用計算機提供一些理論指導和參考。

關鍵詞:

計算機；病毒；類型；防范；措施

1計算機病毒的概念、分類及感染現象

1.1計算機病毒的概念。計算機病毒就是指計算機運行時出現的人為制造的,可以針對計算機信息或者計算機系統產生破壞性的程序。所以我們可以變相的認為計算機病毒其實就是一種類程序,但是這種程序不一定是獨立存在的,相反,很多時候都是隱藏在別的正常的計算機程序的下面,因此計算機病毒具有很強的隱藏能力,除了一定的隱藏能力,計算機病毒還具有偽裝自己的破壞能力,且這種破壞可以具有不定時長的潛伏期。1.2計算機病毒的分類。1.2.1引導型病毒。所謂引導型病毒較為權威的觀點提出其是出現在romBios之后,開展系統引導期間有病毒存在,其優先級是早于操作系統的,同時其是以Bios中存在的中斷服務程序作為工作環境。通常操作系統引導模塊的位置固定,基本都是在計算機的某一個固定場所,同時在轉交控制權的時候,其通常的判斷標準就是具體物理位置,并不是我們所認為的以引導區域具體的承載內容為判斷標準,所以病毒一旦搶占了這個物理位置,也就意味著對計算機獲得了實質的控制能力,把正統的引導區內容進行替換亦或是轉移,若是病毒程序正式生效,則將控制權移交給貨真價實的引導區內容,這樣的后果就是表面看起來這個計算機系統運轉一切如常,私底下計算機病毒已經在悄悄的復制、傳播,產生危害只是時間問題。1.2.2文件型病毒。文件型病毒,顧名思義,其針對的對象重點是可執行文件,諸如一些擴展名為com、exe、oVl文件,都是其潛伏、攻擊的主要目標,文件型病毒比較常見,是目前比較多見的主流型病毒,以種類多而聞名。文件型病毒有一個突出的特點,就是其安裝一定要在病毒載體程序的幫助下才行,也就是說只有對病毒載體程序進行運行,才能夠在內存中導入文件型病毒。1.3計算機感染病毒的現象。計算機病毒的種類現在已經是千奇百怪了,計算機感染了不同的病毒,其表現的中毒癥狀也不一致。但從整體而言,計算機一旦感染了計算機病毒,主要的中毒表現可以歸納為以下幾類:屏幕顯示異常,并會伴隨著一定的異響;計算機系統反應遲鈍,死機變得司空見慣計算機內的文件數據被強行修改或刪除,文件和其內部的內容產生分離;硬件接口出現失效,不能與外界進行數據交流和傳輸。

2計算機病毒的具體防范措施

2.1需要建立完善的防范體系和制度。若是缺乏完備的防范系統,則無法開展計算機病毒的防范工作,所有的防范工作都會在就死算計病毒危害之后。建設健全計算機病毒防范體系疏于社會性工作,某個人或是某家企業是無法單獨完成的,這要求全員的廣泛參與,并對有效資源進行充分利用,進而使得全社會、廣泛的計算機病毒防范網絡進行有效形成。防范體系內的所有主體都需要遵守計算機防范制度,進而推動防范體系的有效運作。2.2一定要培養計算機用戶具備安全意識。我們要始終相信一點,利用在技術和管理方面的方案的采取,來有效防范計算機病毒。在2003年“非典”爆發時,因為實施了恰當的病毒控制管理方案,相關研究人員不斷的突破技術,才可有效控制病毒。因此我們必須首先在思想層面反病毒,此外因為反病毒管理以及技術方面的相關措施的開展,已經能夠有效的保護計算機安全,即便是新病毒也能夠有效防范。2.3選擇一個合適的計算機病毒查殺軟件。該軟件需要能夠清除病毒,同時能夠對病毒進行掃描和檢測,進而可以試試監控計算機。此外其應該能夠及時更新新的病毒信息,并能夠進行辨別,反饋病毒信息。為保護數據避免丟失,需要功能較為完備的計算機病毒查殺軟件是需要含有數據備份這一重要功能的。2.4對計算機進行經常性的病毒清理。對計算機進行經常性的病毒清理,這就需要計算機用戶及時更新計算機的病毒查殺軟件,進行計算機病毒數據的更新。及時備份系統內的數據,避免出現丟失數據問題。對防范意識進行快速提升,并且要提前查殺所安裝軟硬件的病毒。為能夠對計算機病毒進行全面防范,要求計算機用戶注重對其軟件的管理工作,堅決避免使用盜版軟件,軟件應用前必須開展安全檢驗。

3結語

綜上所述,有效防范計算機病毒必須借助進行科學合理的計算機病毒防范體系以及相關制度的建立,對于計算機病毒的侵入能夠快速及時發現,同時進行相關措施的實施來對其傳播以及破壞進行有效阻止,進而對受損計算機系統和相關數據進行快速恢復。在未來,隨著科學技術的進一步進步,全球計算機用戶的數量將會進一步增加,網絡計算機將更加的普遍,那時,計算機病毒影響的計算機數量將是全球性的,所以,更需要全球各個國家加強計算機病毒的防范和管理,如此,才能讓計算機更好的為我們美好的生活和工作所服務。

第三篇：網絡時代計算機病毒的特點及其防范措施

網絡時代計算機病毒的特點及其防范措施

趙深茂

摘要：本文分析了當前網絡時代計算機病毒的特點，并提出了相應的防范措施，對今后的病毒防范趨勢作了預測與判斷。

關鍵詞：網絡；病毒；防范

一、引言

隨著計算機在社會生活各個領域的廣泛運用，計算機病毒攻擊與防范技術也在不斷拓展。據報道，世界各國遭受計算機病毒感染和攻擊的事件屢屢發生，嚴重地干擾了正常的人類社會生活，給計算機網絡和系統帶來了巨大的潛在威脅和破壞。同時隨著互聯網的迅猛發展，電子郵件成為人們相互交流最常使用的工具，于是它也成電子郵件型病毒的重要載體，最近幾年，出現了許多危害極大的郵件型病毒[1]，如“LOVEYOU"病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”[2]病毒等，這些病毒主要是利用電子郵件作為傳播途徑，而且一般都是選擇Microsoft Outlook侵入，利用Outlook的可編程特性完成發作和破壞。因此，防范計算機病毒將越來越受到世界各國的高度重視。

二、計算機病毒的特點

計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。廣義的計算機病毒還包括邏輯炸彈、特洛伊木馬和系統陷阱入口等等。計算機病毒雖是一個小小程序，但它和通常的計算機程序不同，具有以下特點[3]。

(1)計算機病毒的程序性(可執行性)：計算機病毒與其他合法程序一樣，是一段可執行程序，但它不是一個完整的程序，而是寄生在其他可執行程序上，因此它享有—切程序所能得到的權力；

(2)計算機病毒的傳染性：傳染性是病毒的基本特征，計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。病毒程序代碼一旦進入計算機并得以執行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的；

(3)計算機病毒的潛伏性：一個編制精巧的計算機病毒程序，進入系統之后一般不會馬上發作，可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中，對其他系統進行傳染，而不被人發現；

(4)計算機病毒的可觸發性：病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性；

(5)計算機病毒的破壞性：系統被病毒感染后，病毒一般不即時發作，而是潛藏在系統中，等條件成熟后，便會發作，給系統帶來嚴重的破壞；

(6)攻擊的主動性：病毒對系統的攻擊是主動的，計算機系統無論采取多么嚴密的保護措施都不可能徹底地排除病毒對系統的攻擊，而保護措施充其量是一種預防的手段而已；

(7)病毒的針對性計算機病毒是針對特定的計算機和特定的操作系統的。例如，有針對IBM PC機及其兼容機的，有針對Apple公司的Macintosh的，還有針對UNIX操作系統的。例如小球病毒是針對IBM PC機及其兼容機上的DOS操作系統的。

三、計算機病毒的危害

我們教研室的計算機里都保存大量的文檔、業務資料、公文、檔案等重要數據和信息資

料，如果被病毒破壞，被黑客盜取或篡改，就會造成數據信息丟失，甚至泄密，嚴懲影響正常辦公的順利進行。計算機感染病毒以后，輕則運行速度明顯變慢，頻繁死機，重則文件被刪除，硬盤分區表被破壞，甚至硬盤被非法格式化，更甚者還會造成計算機硬件損壞，很難修復。有很多的網頁上含有惡意代碼病毒，用誘人的網頁名稱吸引人們訪問他們的網頁，然后修改訪問者計算機IE瀏覽器的主頁設置為他們的網頁，較為惡劣的還會放置木馬程序到訪問者計算機的系統文件里，隨系統的啟動一起加載，造成主頁很難修改回來，更為惡劣的是修改操作系統注冊表并注銷造成注冊表無法修改。還有病毒智能化程序相當高[4]，感染以后殺掉防殺病毒程序的進程，造成殺毒軟件失效，感染的方式也由早期的被動感染到今天的主動感染。

四、計算機病毒的防護

在我們正常的工作中，怎樣才能減少和避免計算機病毒的感染與危害呢？在平時的計算機使用中只要注意做到以下幾個方面[5,6]，就會大大減少病毒感染的機會。

（1）建立良好的安全習慣。例如：對一些來歷不明的郵件及附件不要打開，并盡快刪除，不要上一些不太了解的網站，尤其是那些誘人名稱的網頁，更不要輕易打開，不要執行從Internet下載后未經殺毒處理的軟件等，這些必要的習慣會使您的計算機更安全。

（2）關閉或刪除系統中不需要的服務。默認情況下，許多操作系統會安裝一些輔助服務，如FTP客戶端、Telnet和Web服務器。這些服務為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除他們，就能大大減少被攻擊的可能性。

（3）經常升級操作系統的安全補丁。據統計，有80%的網絡病毒是通過系統安全漏洞進行傳播的，像紅色代碼、尼姆達、沖擊波等病毒，所以應該定期到微軟網站去下載最新的安全補丁，以防患于未然。

（4）使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的。因此使用復雜的密碼，將會大大提高計算機的安全系數。

（5）迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立即中斷網絡，然后盡快采取有效的查殺病毒措施，以防止計算機受到更多的感染，或者成為傳播源感染其他計算機。

（6）安裝專業的防病毒軟件進行全面監控。在病毒日益增多的今天，使用殺毒軟件進行防殺病毒，是簡單有效并且是越來越經濟的選擇。用戶在安裝了反病毒軟件后，應該經常升級至最新版本，并定期查殺計算機。將殺毒軟件的各種防病毒監控始終打開（如郵件監控和網頁監控等），可以很好地保障計算機的安全。

（7）及時安裝防火墻。安裝較新版本的個人防火墻，并隨系統啟動一同加載，即可防止多數黑客進入計算機偷窺、竊密或放置黑客程序。

盡管病毒和黑客程序的種類繁多，發展和傳播迅速，感染形式多樣，危害極大，但是還是可以預防和殺滅的。只要我們增強計算機和計算機網絡的安全意識，采取有效的防殺措施，隨時注意工作中計算機的運行情況，發現異常及時處理，就可以大大減少病毒和黑客的危害。

參考文獻：

[1]張小磊.《計算機病毒診斷與防治》.北京希望電子出版社.2003年8月.[2]程勝利.《計算機病毒及其防治技術》.清華大學出版社.2005年9月.[3]韓筱卿.王建峰等.《計算機病毒分析與防范大全》.電子工業出版社.2006年3月.[4]曹天杰.張永平，蘇成.《計算機系統安全》.高等教育出版社.[5]彭國軍等.《計算機病毒分析與對抗》.武漢大學出版社.2004年4月.[6]陳立新.《計算機病毒防治百事通》.清華大學出版社.2000年1月.

第四篇：網絡時代計算機病毒的特點及其防范措施

網絡時代計算機病毒的特點及其防范措施

付丞

(四川化工職業技術學院，四川省瀘州市，646005)

[摘要]隨著網絡時代的來臨，在各個領域對計算機的應用已經十分廣泛，這使計算機病毒成為網絡安全的最大威脅。本文通過分析當前常見的計算機病毒的特點，闡述了計算機病毒會產生的危害，并對如何防范計算機病毒提出了相應的措施。

[關鍵詞]網絡;病毒;防范

Network-time computer Virus' Characteristic and Preventive Measures

Fucheng

(SiChuan College of Chemical Technology,Luzhou 646005,SiChuan)

[Abstract]Along with network time oncoming, already extremely was widespread in each domain to the computer application, this caused the computer virus to become the network security the biggest threat.This article through the analysis current common computer virus' characteristic, elaborated the computer virus can produce the harm, how and to did guard against the computer virus to propose the corresponding measure.[Keywords] Network;Virus;Preventive

1.引言

隨著網絡信息時代的來臨，計算進已經廣泛地應用到了人們生活的方方面面。在享受著網絡帶給我們便利的同時，網絡本身也成為了孕育計算機病毒的溫床。計算機屢屢遭受病毒感染和攻擊，嚴重地干擾了人們正常的工作和生活，給計算機網絡和系統帶來了巨大的潛在威脅和破壞。雖然防毒軟件不斷地升級，但是病毒也在跟著不斷地增加和升級。最近幾年，病毒的類型也發生了變化，出現了很多新型的病毒[1]，如造成了巨大損失的“沖擊波”病毒，“震蕩波”病毒，“熊貓燒香”病毒以及“求職信”[2]病毒等等。因此，了解計算機病毒的特點，加強網絡環境下計算機病毒的防范，具有很重要的意義。

2.計算機病毒的特點

計算機病毒(Computer Vires)就是指人為編寫的一組計算機指令或者程序代碼，利用計算機軟件或者硬件的漏洞和缺陷，通過某種途徑感染或攻擊計算機，對計算機軟件或者硬件起到影響和破壞的作用。計算機病毒雖只是一個很小的程序，甚至有時只是一段代碼，但它卻會對計算機造成巨大的影響。大部分的計算機病毒具有以下幾個特點[3]。

(1)寄生性:在前文提到過，計算機病毒是一段可執行程序，但它并不是一個完整的程序，而是通過寄生在其他系統正常的可執行程序上來享有—切程序所能得到的權力。

(2)傳染性：傳染性是計算機病毒的基本特征，一個計算機病毒一旦感染上了網絡中的一臺計算機，并得以執行，就會自動地搜尋其他符合它的傳染條件的程序、存儲介質甚至是同一網絡中的其他主機，從而達到自我繁殖的目的。

(3)潛伏性：很多計算機病毒程序侵入系統不會馬上發作，而讓它發作的時間和條件是預先設定好的，不是設定好的時間或者條件觸發一點都察覺不出來。

(4)破壞性：系統被病毒感染后，病毒會迅速地按照設定破壞計算機的應用程序或者存儲介質，對計算機用戶造成巨大的甚至是不可恢復的損失。

(5)攻擊主動性：計算機病毒對系統的攻擊是大多是主動的，對本機采取了再嚴密的措施，都不能百分之百地防止病毒的侵犯，大多數病毒如果感染了同一網絡中的主機并且得到執行后，就會主動地尋找和攻擊其他主機，使其他主機和網絡遭到嚴重的破壞。

(6)頑固性：許多單機上的計算機病毒可以通過殺毒軟件刪除帶毒文件，甚至格式化硬盤等措施徹底清除。但是網絡中只要有一臺計算機未能徹底殺毒，就可能使得整個網絡再次病毒肆虐。然而對整個網絡同時進行查殺，往往由予客觀原因限制耗時耗力達不到預期效果。

3.計算機病毒的危害

計算機病毒具有以上的特點，決定了計算機病毒會對我們的系統造成巨大的危害?，F在在每個單位都提倡辦公信息化，我們會將大量的重要文檔和數據都儲存在計算機中，有的甚至是獨此一份的。而如果計算機被病毒感染，一般都會表現為系統運行速度變慢，CPU占用率持續升高，造成計算機經常死機，而嚴重的情況會導致特定的文件被感染、刪除，造成重要信息的泄露和丟失，更有甚者還會直接造成硬件的損壞，破壞計算機硬盤或者主板，使計算機的修復相當地困難?，F在網絡生活已經成為人們必不可少的部分，而很多網頁就利用人們的心理，用令人們感興趣的網頁名稱或者廣告來吸引人們對網站的訪問，然后利用網頁中包含的惡意代碼，將他們的網頁強行設置為訪問者計算機瀏覽器的主頁，為了防止用戶修改主頁，更有惡劣的還會放置一段木馬程序到訪問者計算機里，強制修改系統啟動項，隨系統一起啟動，這樣造成即使使用殺毒軟件都很難將主頁修改還原，而他們也達到了盈利的目的。雖然很多人都會安裝殺毒軟件，但是現在還有的病毒智能化程序相當高[4]，在感染計算機后，病毒會反客為主，首先將殺毒軟件的進程殺掉，造成用戶安裝的殺毒軟件不能正常使用。如今計算機病毒也從當初的被動感染，進化到了今天的主動感染，也就是說即使不去訪問有病毒的網頁或者主機，病毒一樣會尋找系統漏洞對計算機造成破壞。

4.計算機病毒的防范措施

計算機病毒既然危害性這么大，又不能徹底的防范，我們平常的工作生活又不能離開計算機，應該采取怎么樣的措施才能使我們能夠最好地預防計算機病毒的侵入呢？其實只要我們能在工作或者生活中注意以下幾個方面，那么我們就能將計算機被病毒感染的可能性降到最低。

(1)樹立個人安全防范意識：對病毒的防范首先要樹立好的個人防范意識，對一些來歷不明的郵件、不了解的網站、網上下載的未經殺毒處理的軟件等不要輕易的打開，將主動感染病毒的幾率控制到最低。

(2)關閉系統中不需要的服務：系統默認情況下在開機時會加載很多的服務項，而這些服務項對于普通用戶來說使用率比較低，甚至根本用不上，反而為病毒攻擊提供了入口和條件。關閉平時不需要的服務項，會減少被病毒攻擊的可能性。

(3)注意修復系統漏洞：計算機操作系統特別是WINDOWS操作系統都會有安全漏洞，而有80%的絡病毒是通過系統安全漏洞進行傳播的，因此操作系統公司會定期地根據最新情況發布安全漏洞補丁。通過各種上網輔助軟件，如360安全衛士，瑞星卡卡上網助手，魯大師等都可以及時地修復系統安全漏洞，大大加強系統的安全性。

(4)第一時間隔離受感染的計算機：大部分病毒都是通過網絡傳播的，并且很多病毒都具有局域網廣播式攻擊性，當發現計算機感染病毒時，應該第一時間斷開網絡連接，再進行相應的殺毒處理，防止被二次感染或者成為感染源。

(5)防毒軟件要全面而專業：防毒軟件作為普通用戶對抗和防范病毒的主要武器，一定要選擇全面專業的，并且防毒軟件要及時地更新和升級，這樣才能保證計算機隨時都處于最安全的狀態。

(6)要注意U盤的使用：雖然大部分病毒是通過網絡傳播，但是作為人們現在常用的存儲工具——U盤也是病毒傳播的主要途徑之一，很多U盤病毒會趁你不注意時對計算機造成極大損害。因此對U盤的防范也是病毒防范的重點，每個接入計算機的U盤都應該經過防毒軟件的全面查殺再執行打開。

5.結論

盡管現在計算機病毒的種類繁多，發展和傳播迅速，感染形式多樣，危害極大，但是還是可防范的。只要我們首先樹立良好的個人安全意識，在平時的計算機使用中嚴格按照規定操作，采取全面而專業的防毒措施，隨時監控計算機的使用狀態，發現異常情況及時處理，這樣就可以大大減輕計算機病毒的危害，使我們的工作和生活能正常有序的進行。參考文獻：

[1]張小磊.計算機病毒診斷與防治[M].北京：北京希望電子出版社，2003年.[2]程勝利.計算機病毒及其防治技術[M].北京：清華大學出版社，2005年.[3]韓筱卿，王建峰等.計算機病毒分析與防范大全[M].北京：電子工業出版社，2006年.[4]曹天杰，張永平，蘇成.計算機系統安全[M].北京：高等教育出版社，2003年.作者簡介

付丞（1983-），男，四川省瀘州市，學士學位，助教。從事計算機通信研究。

聯系地址：四川省瀘州市江陽區瓦窯壩62號四川化工職業技術學院，郵編：646005，網絡時代計算機病毒的特點及其防范措施付丞(四川化工職業技術學院，四川省瀘州市，646005)[摘 要]隨著網絡時代的來臨，在各個領域對計算機的應用已經十分廣泛，這使計算機病毒成為網絡安全的最大威脅。本文通過分析當前網絡時代計算機病毒的特點，提出了相應的防范措施。[關鍵詞]網絡;病毒;防范Network-time computer Virus' Characteristic and Preventive MeasuresFucheng(SiChuan College of Chemical Technology,Luzhou 646005,SiChuan)[Abstract]Along with network time oncoming, already extremely was widespread in each domain to the computer application, this caused the computer virus to become the network security the biggest threat.This article through the analysis current network time computer virus' characteristic, proposed the corresponding guard measure.[Keywords] Network;Virus;Preventive1.引言隨著網絡信息時代的來臨，計算進已經廣泛地應用到了人們生活的方方面面。在享受著網絡帶給我們便利的同時，網絡本身也成為了孕育計算機病毒的溫床。世界各國遭受計算機病毒感染和攻擊的事件屢屢發生，嚴重地干擾了人們正常的工作和生活，給計算機網絡和系統帶來了巨大的潛在威脅和破壞。雖然防毒軟件不斷地升級，但是病毒也在跟著不斷地增加和升級。最近幾年，出現了許多危害極大的新型病毒[1]，如“LOVEYOU"病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”[2]病毒等，這些病毒主要是利用電子郵件作為傳播途徑。因此，了解計算機病毒的特點，加強網絡環境下計算機病毒的防范，具有很重要的意義。2.計算機病毒的特點計算機病毒(Computer Vires)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義：病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組汁算機指令或者程序代碼”。而在一般教科書及通用資料中被定義為：利用計算機軟件與硬件的缺陷，破壞計算機數據并影響計算機正常丁作的一組指令集或程序代碼。通俗地來說，計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。廣義的計算機病毒還包括邏輯炸彈、特洛伊木馬和系統陷阱入口等等。計算機病毒雖是一個小小程序，但它和通常的計算機程序不同，具有以下特點[3]。(1)寄生性:計算機病毒與其他合法程序一樣，是一段可執行程序，但它不是一個完整的程序，而是通過寄生在其他可執行程序上來享有—切程序所能得到的權力。(2)傳染性：傳染性是計算機病毒的基本特征，計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。病毒程序代碼一旦進入計算機并得以執行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。(3)潛伏性：很多計算機病毒程序侵入系統不會馬上發作，而讓它發作的時間和條件是預先設定好的，不是設定好的時間或者條件觸發一點都察覺不出來。(4)破壞性：系統被病毒感染后，病毒會迅速地按照設定破壞計算機的應用程序或者存儲介質，對計算機用戶造成巨大的甚至是不可恢復的損失。(5)攻擊主動性：計算機病毒對系統的攻擊是主動的，計算機系統無論采取多么嚴密的保護措施都不可能徹底地排除病毒對系統的攻擊，只能通過多種防范措施減小病毒的感染幾率。(6)頑固性：許多單機上的計算機病毒可以通過殺毒軟件刪除帶毒文件，甚至格式化硬盤等措施徹底清除。但是網絡中只要有一臺計算機未能徹底殺毒，就可能使得整個網絡再次病毒肆虐。然而對整個網絡同時進行查殺，往往由予客觀原因限制耗時耗力達不到預期效果。3.計算機病毒的危害計算機病毒具有以上的特點，決定了計算機病毒會對我們的系統造成巨大的危害?，F在在每個單位都提倡辦公信息化，我們的計算機里都會保存大量的文檔、檔案等重要數據和信息資料，有的信息甚至是獨此一份的。如果計算機被病毒感染，輕則系統運行速度明顯變慢，頻繁死機，重則文件被刪除，硬盤分區被破壞，信息丟失、泄露，更有甚者還會造成計算機硬件損壞。現在還有很多的網頁都上含有惡意代碼病毒，用誘人的網頁名稱吸引人們訪問他們的網頁，然后篡改訪問者計算機IE瀏覽器的主頁設置為他們的網頁，放置木馬程序到訪問者計算機里，強制修改系統啟動項，隨系統一起啟動，這樣造成即使使用殺毒軟件都很難將主頁修改還原。較為惡劣的病毒為了防止人們利用軟件來修復操作系統注冊表，它會強制修改注冊表并注銷造成注冊表無法再修改。還有的病毒智能化程序相當高[4]，感染以后直接首先殺掉防毒病毒程序的進程，造成殺毒軟件失效。計算機病毒感染的方式也由早期的被動感染，進化到了今天的主動感染，也就是說即使不去訪問有病毒的網頁或者主機，病毒一樣會尋找系統漏洞對計算機造成破壞。4.計算機病毒的防范措施計算機病毒既然危害性這么大，又不能徹底的防范，我們平常的工作生活又不能離開計算機，那在我們正常的工作中，怎樣才能減少和避免計算機病毒的感染與危害呢？在平時的計算機使用中只要注意做到以下幾個方面，就會大大減少病毒感染的機會。(1)樹立個人安全防范意識：對病毒的防范首先要樹立好的個人防范意識，對一些來歷不明的郵件、不了解的網站、網上下載的未經殺毒處理的軟件等不要輕易的打開，將主動感染病毒的幾率控制到最低。(2)關閉系統中不需要的服務：系統默認情況下在開機時會加載很多的服務項，而這些服務項對于普通用戶來說使用率比較低，甚至根本用不上，反而為病毒攻擊提供了入口和條件。關閉平時不需要的服務項，會減少被病毒攻擊的可能性。(3)注意修復系統漏洞：計算機操作系統特別是WINDOWS操作系統都會有安全漏洞，而有80%的網絡病毒是通過系統安全漏洞進行傳播的，因此操作系統公司會定期地根據最新情況發布安全漏洞補丁。通過各種上網輔助軟件，如360安全衛士，瑞星卡卡上網助手，魯大師等都可以及時地修復系統安全漏洞，大大加強系統的安全性。(4)第一時間隔離受感染的計算機：大部分病毒都是通過網絡傳播的，并且很多病毒都具有局域網廣播式攻擊性，當發現計算機感染病毒時，應該第一時間斷開網絡連接，再進行相應的殺毒處理，防止被二次感染或者成為感染源。

(5)防毒軟件要全面而專業：防毒軟件作為普通用戶對抗和防范病毒的主要武器，一定要選擇全面專業的，并且防毒軟件要及時地更新和升級，這樣才能保證計算機隨時都處于最安全的狀態。(6)要注意U盤的使用：雖然大部分病毒是通過網絡傳播，但是作為人們現在常用的存儲工具——U盤也是病毒傳播的主要途徑之一，很多U盤病毒會趁你不注意時對計算機造成極大損害。因此對U盤的防范也是病毒防范的重點，每個接入計算機的U盤都應該經過防毒軟件的全面查殺

再執行打開。5.結論盡管現在計算機病毒的種類繁多，發展和傳播迅速，感染形式多樣，危害極大，但是還是可防范的。只要我們首先樹立良好的個人安全意識，在平時的計算機使用中嚴格按照規定操作，采取全面而專業的防毒措施，隨時監控計算機的使用狀態，發現異常情況及時處理，這樣就可以大大減輕計算機病毒的危害，使我們的工作和生活能正常有序的進行。參考文獻：[1]張小磊.計算機病毒診斷與防治[M].北京：北京希望電子出版社，2003年.[2]程勝利.計算機病毒及其防治技術[M].北京：清華大學出版社，2005年.[3]韓筱卿，王建峰等.計算機病毒分析與防范大全[M].北京：電子工業出版社，2006年.[4]曹天杰，張永平，蘇成.計算機系統安全[M].北京：高等教育出版社，2003年.作者簡介付丞（1983-），男，四川省瀘州市，學士學位，助教。從事計算機通信研究。聯系地址：四川省瀘州市江陽區瓦窯壩62號四川化工職業技術學院，郵編：646005，

第五篇：計算機病毒畢業論文

漳州師范學院

畢業論文（設計）

計算機病毒的研究與防治

RESEARCH AND PREVENTION OF COMPUTER VIRUSES

姓 名： 學 號：

系 別： 計算機科學與工程系 專 業： 計算機科學與技術 年 級： 09級 指導教師：

2012年 11 月 20 日

摘要

自信息時代以來，計算機儼然已成了我們不可或缺的一部分，它慢慢滲入到我們的生活中，與我們形影不離。雖然計算機豐富了我們的生活、方便了我們的工作、提高了工作效率、創造了更高的財富價值，但伴隨著計算機的廣泛應用，不可避免的也帶來了計算機病毒。計算機病毒給我們的日常工作帶來了巨大的破壞和潛在的威脅。作為計算機的使用者，我們應了解計算機病毒的入侵和防范方法以維護正常、安全的計算機使用和通信環境。因此為了確保計算機能夠安全工作，研究計算機病毒防范的方式方法，已經迫在眉睫。本論文從計算機病毒概述、計算機病毒防范和清除入手，淺談計算機病毒的特點及相應的一些的解決辦法。關鍵詞:計算機病毒;計算機安全;入侵途徑;病毒防治

Abstract

Since the information age, the computer has become our indispensable part, which slowly infiltrates into our lives and never leaves us.Although the computer has enriched our lives, facilitated our work, improved our work efficiency and created greater wealth value, but along with wide application of the computer, it also inevitably brings computer viruses.Computer viruses bring tremendous damage and potential threat to our daily work.As computer users, we should be aware of the invasion and the prevention ways of computer viruses to maintain a normal and safe use and communication environment of computer.Therefore in order to ensure the computer security, studying how to prevent computer viruses is imminent.Starting with the overview, prevention and removal of computer viruses, this paper discusses the characteristics of computer viruses and the corresponding solutions.Key words：computer viruses;computer security;invasion ways;virus prevention

I

目 錄

中英文摘要…………………………………………………………?????(I)1計算機病毒的概述????????????????????????(1)1.1計算機病毒的定義???????????????????????(1)1.2 計算機病毒的產生與發展 ??????????????????(2)1.3計算機病毒的特性???????????????????????(5)1.4 計算機病毒的分類???????????????????????(6)1.5計算機病毒的傳播途徑 ????????????????????(10)2 計算機病毒的防范和清除???????????????????(11)2.1計算機病毒防范的概念和原則 ?????????????????(11)2.2計算機病毒防范基本技術 ???????????????????(11)2.3清除計算機病毒的基本方法 ??????????????????(21)3 典型計算機病毒???????????????????????(22)3.1引導區計算機病毒 ??????????????????????(22)3.2文件型的計算機病毒 ?????????????????????(23)3.3腳本型計算機病毒 ??????????????????????(23)3.4特洛伊木馬病毒 ???????????????????????(24)3.5 蠕蟲病毒??????????????????????????(24)4 計算機病毒的發展趨勢?????????????????????(25)參考文獻????????????????????????????(26)致謝??????????????????????????????（27）1計算機病毒的概述

有計算機的地方就會伴隨著計算機病毒。說起計算機病毒，想必計算機的使用者都不會陌生了，因為我們時刻都在與它斗爭著。很多人對計算機病毒憎惡但又充滿了好奇，對病毒的制造者既痛恨又敬畏。

計算機病毒當然不值得崇拜，它給個人和國家帶來了太多的損失了，每年因為計算機病毒造成的直接、間接經濟損失都超過百億美元，而且還以逐年遞增的趨勢增長。但與此同時，它也促進了信息安全產業的發展，比如反病毒軟件、防火墻、入侵檢測系統、網絡隔離、數據恢復技術等等??這一根根救命稻草，使很多企業和個人用戶免遭侵害，在很大程度上緩解了計算機病毒造成的巨大破壞力，同時，越來越多的個人和企業加入到信息安全領域，同層出不窮的黑客和病毒制造者做著頑強的斗爭。

但稻草畢竟是稻草，救得了一時不一定救得了一世。目前市場上主流廠商的信息安全產品經過多年的積累和精心的研發，無論從產品線還是從技術角度來講，都已經達到了相當完善的程度。但是，再好的產品，如果不懂得如何去使用，發揮不了產品真正的優勢，又與稻草有什么區別呢？很多用戶在被病毒感染以后才想起購買殺毒軟件，查殺以后就再也不管，沒有定期的升級和維護，更沒有根據自己的使用環境的特點，制定相應的防范策略，可以說把產品的使用效率降到了最低，這樣的狀態，怎能應付日新月異的病毒攻擊呢？

那么，如何將手中的稻草變成強大的武器，當危險臨近時，能夠主動出擊，防患于未然呢？筆者認為，關鍵的問題在于對“對手”的了解。我們要能未雨綢繆，配合手中的工具，防患于未然。

1.1計算機病毒的定義

計算機病毒與醫學上的“病毒”不同，它不是天然存在的，而是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。由于它與醫學上的“病毒”同樣具有傳染和破壞的特性，例如，具有自我復制能力、很強的感染力、一定的潛伏性、特定的觸發性和很大的破壞性等等，因此由生物醫學上的“病毒”概念引申出“計算機病毒”這一名詞。

從廣義上來說，凡是能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。依據此定義，諸如邏輯炸彈，蠕蟲等都可稱為計算機病毒。1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》，在條例第二十八條明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。[1]

1.2計算機病毒的產生與發展

人類創造了電子計算機之后，也制造了計算機病毒。自從1983年發現了全世界首例計算機病毒以來，病毒的數量已達三十多萬種，并且這個數字還在高速增長。計算機病毒的危害及造成的損失是眾所周知的，發明計算機病毒的人同樣也受到社會和公眾輿論的譴責。也許有人會問：“計算機病毒是哪位先生發明的?”這個問題至今還沒有一個確切的說法，下面是其中有代表性的幾種：

（1）科學幻想起源說

1977年，美國科普作家托馬斯.丁.雷恩推出轟動一時的《P-1的青春》一書。作者構思了一種能自我復制，利用信息通道傳播的計算機程序，并稱之為計算機病毒。這是世界上第一個幻想出來的計算機病毒。我們的很多科學技術都是先幻想之后才產生的，因此，這種科學幻想起源說也是有理有據的。

（2）惡作劇起源說

這種說法是認為計算機病毒是那些對計算機知識和技術均有興趣的人，他們或是要顯示自己在計算機方面的天賦，或是報復他人或單位從而編制一些程序來顯示自己的才能且滿足自己的虛榮心，他們的出發點多少有些惡意的成分在內，世界上流行的許多計算機病毒都是惡作劇者的產物。

（3）游戲程序起源說

據說20世紀70年代，美國貝爾實驗室的計算機程序員為了娛樂，在自己的實驗室的計算機上編制吃掉對方程序的程序，看誰先把對方的程序吃光，有人猜測這是世界上第一個計算機病毒。（4）軟件商保護軟件起源說

計算機軟件是一種知識密集型的高科技產品，由于對軟件資源的保護不盡合理，使得許多合法的軟件被非法復制，從而使得軟件制造商的利益受到了嚴重的侵害，因此，軟件制造商為了處罰那些非法復制者并保護自己的商業利益，在軟件產品之中加入計算機病毒程序并由一定條件觸發并感染。

IT行業普遍認為，從最原始的單機磁盤病毒到現在逐步進入人們視野的手機病毒，計算機病毒主要經歷了如下發展階段[2]

（1）DOS引導階段

1987年，計算機病毒主要是引導型病毒，具有代表性的是“小球”和“石頭”病毒。當時的計算機硬件較少，功能簡單，一般需要通過軟盤啟動后使用。引導型病毒利用軟盤的啟動原理工作，它們修改系統啟動扇區，在計算機啟動時首先取得控制權，減少系統內存，修改磁盤讀寫中斷，影響系統工作效率，在系統存取磁盤時進行傳播。1989年，引導型病毒發展為可以感染硬盤，典型的代表有“石頭2”。（2）DOS可執行階段

1989年，可執行文件型病毒出現，它們利用DOS系統加載執行文件的機制工作，該類型的典型代表為“耶路撒冷”、“星期天”病毒，病毒代碼在系統執行文件時取得控制權，修改DOS中斷，在系統調用時進行傳染，并將自己附加在可執行文件中，使文件長度增加。1990年，發展為復合型病毒，可感染.COM和.EXE文件。

（3）伴隨、批次型階段

1992年，伴隨型病毒出現，它們利用DOS加載文件的優先順序進行工作。具有代表性的有“金蟬”計算機病毒，它感染.EXE文件時生成一個和.EXE同名的擴展名為.COM伴隨體，它感染.COM文件時，改原來的.COM文件為同名的.EXE文件，這樣，在DOS加載文件時，病毒就取得控制權。這類計算機病毒的特點是不改變原來的文件內容、日期及屬性，接觸計算機病毒時只要將其伴隨體刪除即可。（4）幽靈、多形階段

1994年，隨著匯編語言的發展，實現同一功能可以用不同的方式進行完成，這些方式的組合使一些看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點，每感染一次就產生不同的代碼。例如，“一半”計算機病毒就是產生一段有上億種可能的解碼運算程序，計算機病毒體被隱藏在解碼前的數據中，查解這類計算機病毒就必須要對這段數據進行解碼，這就加大了查毒的難度。

（5）生成器、變體機階段

1995年，在匯編語言中，一些數據的運算放在不同的通用寄存器中，可運算出同樣的結果，隨機的插入一些空操作和無關指令，也不影響運算的結果，這樣，一段解碼算法就可以由生成器生成。當生成的是計算機病毒時，這種復雜的稱之為病毒生成器和變體機的病毒就產生了。具有典型代表的是“計算機病毒制造機VCL”，它可以在瞬間制造出成千上萬種不同的計算機病毒，查解時就不能使用傳統的特征識別法，需要在宏觀上分析指令，解碼后查解計算機病毒。

（6）網絡、蠕蟲階段

1995年，隨著網絡的普及，病毒開始利用網絡進行傳播，它們只是以上幾代病毒的改進。在非DOS操作系統中，“蠕蟲”是典型的代表，它不占用除內存以外的任何資源，不修改磁盤文件，利用網絡功能搜索網絡地址，將自身向下一地址進行傳播，有時也在網絡服務器和啟動文件中存在。

（7）Windows病毒階段

1996年，隨著Windows和Windows95的日益普及，利用Windows進行工作的病毒開始發展，它們修改(NE，PE)文件，典型的代表是“DS.3873”，這類病毒的機制更為復雜，它們利用保護模式和API調用接口工作，清除方法也比較復雜。

（8）宏病毒階段

1996年，隨著Windows Word功能的增強，使用Word宏語言也可以編制病毒，這種病毒使用類Basic語言，編寫容易，感染Word文檔文件。在Excel和AmiPro出現的相同工作機制的病毒也歸為此類。（9）Internet階段

1997年，隨著因特網的發展，各種病毒也開始利用因特網進行傳播，一些攜帶病毒的數據包和郵件越來越多，如果不小心打開了這些郵件，機器就有可能中毒。

1.3 計算機病毒的特性

寄生性。計算機病毒和生物病毒一樣，需要宿主。計算機病毒會寄生在其他程序之中，當執行這個程序時，病毒就會發揮作用，而在未啟動這個程序之前，它是不易被人發覺的。

隱蔽性。計算機病毒要想不容易被發現的話，就需要隱藏起來。它是一種隱藏性很高的可執行程序，如不經過程序代碼分析或計算機病毒代碼掃描，病毒程序與正常程序是不容易區別開來的。

潛伏性。并不是所有的病毒都能馬上發作的，有些病毒像定時炸彈一樣，讓它什么時間發作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。一個編制精巧的計算機病毒程序，進入系統之后一般不會馬上發作，可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中，對其他系統進行傳染，而不被人發現，潛伏性愈好，其在系統中的存在時間就會愈長，病毒的傳染范圍就會愈大。[3]

可觸發性。病毒因滿足特定的時間或日期，期待特定用戶識別符出現，特定文件的出現或使用，一個文件使用的次數超過設定數等，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發性。

傳染性。病毒也會傳染，一臺計算機如果感染了病毒，那么曾在這臺計算機上使用過的移動硬盤或U盤往往已經感染上了病毒，而與這臺計算機聯網的其他計算機也會被感染的。由于目前計算機網絡飛速發展，所以它能在短時間內進行快速傳染。

流行性。計算機病毒傳染表現大都與時間相關，就像生物領域的流行病一樣，一定的時間內爆發、流行，等相應的殺毒軟件開發出來后，就趨向減少，甚至消失為止。除了上述特點以外，計算機病毒還具有不可預見性、衍生性、針對性、欺騙性、持久性等特點。正是由于計算機病毒具有這些特點，所以給計算機病毒的預防、檢測與清除工作帶來了很大的難度。

隨著計算機應用的不斷發展，計算機病毒又出現一些新的特性如：利用微軟漏洞主動傳播、局域網內快速傳播、以多種方式傳播、大量消耗系統與網絡資源、雙程序結構、用即時工具傳播病毒、病毒與黑客技術的融合、遠程啟動等。

1.4 計算機病毒的分類

根據計算機病毒破壞的能力分類：

無害型：除了傳染時減少磁盤的可用空間外，對系統沒有其它影響。無危險型：這類病毒僅僅是減少內存、顯示圖像、發出聲音等。危險型：這類病毒在計算機系統操作中造成嚴重的錯誤。

非常危險型： 這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。例如CIH病毒。

根據計算機病毒的破壞情況分類[4]：

良性病毒：是指包含立即對計算機系統產生直接破壞作用的代碼。這類病毒為了表現其存在，只是不停地進行傳播，從一臺計算機傳染到另一臺，并不破壞計算機系統和數據，但它會使系統資源急劇減少，可用空間越來越少，最終導致系統崩潰。如國內出現的小球病毒。

惡性病毒：是指在代碼中包含損傷和破壞計算機系統的操作，在其傳染或發作時會對系統產生直接破壞作用的計算機病毒。它們往往封鎖、干擾、中斷輸入輸出、破壞分區表信息、刪除數據文件，甚至格式化硬盤等。如米開朗基羅病毒，當其發作時，硬盤的前17個扇區將被徹底破壞，使整個硬盤上的數據丟失。需要指出的是，良性和惡性是相對比較而言的。

按計算機病毒特有的算法分類 [5]：

伴隨型病毒：這一類病毒并不改變文件本身，它們根據算法產生.EXE文件的伴隨體，具有同樣的名字和不同的擴展名（.COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。計算機病毒把自身寫 6 入.COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EXE文件。

“蠕蟲”型病毒：這類病毒將計算機網絡地址作為感染目標，利用網絡從一

臺計算機的內存傳播到其他計算機的內存，將自身通過網絡發送。蠕蟲通過計算機網絡傳播，不改變文件和資料信息，除了內存，一般不占用其他資源。

寄生型病毒：除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或文件中，通過系統的功能進行傳播。

詭秘型病毒：它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和文件緩沖區等DOS內部修改，不易看到資源，使用比較高級的技術，利用DOS空閑的數據區進行工作。

變型病毒：這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不

同的內容和長度。它們一般的作法是由一段混有無關指令的解碼算法和被變化過的病毒體組成。

按計算機病毒的工作方式分類[6]：

引導型病毒的工作方式如圖1.1所示：

圖1.1 引導型病毒的工作方式

文件型病毒的工作方式：

在目前已知的病毒中，大多數屬于文件型病毒。文件型病毒一般只傳染磁盤上的可執行文件（.COM、.EXE）。在用戶調用染毒的可執行文件時，病毒首先被運行，然后病毒駐留內存伺機傳染其他文件或直接傳染其他文件。其常見的傳染方式是附著于正常程序文件中，成為程序文件的一個外殼或部件。文件型病毒的工作方式如圖1.2所示：

圖1.2 文件型病毒的工作方式

混和型病毒工作方式：

混和型病毒在傳染方式上兼具引導型病毒和文件型病毒的特點。這種病毒的原始狀態是依附在可執行文件上，以該文件為載體進行傳播。當被感染文件執行時，會感染硬盤的主引導記錄。以后用硬盤啟動系統時，就會實現從文件型病毒轉變為引導型病毒。例如BloodBound.A，該病毒也稱為Tchechen.3420，主要感染.COM、.EXE和.MBR文件。它將自己附著在可執行文件的尾部，將破壞性的代碼放入MBR中，然后清除硬盤中的文件。

宏病毒的工作方式：

宏病毒是利用宏語句編寫的。它們通常利用宏的自動化功能進行感染，當一個感染的宏被運行時，它會將自己安裝在應用的模板中，并感染應用創建和打開的所有文檔。Office中的Word、Excel和PowerPoint都有宏。

Java病毒工作方式：

Java是由Sun公司創建的一種用于互聯網環境中的編程語言。Java應用程 序不會直接運行在操作系統中，而是運行在Java虛擬機（JVM）上。因此用Java編寫的應用程序的移植性非常強，包括現在的手機中的一些程序也是用Java編寫的。

Java Applet是一種內嵌在HTML網頁中的可攜式Java小程序。具有Java功能的瀏覽器可以運行這個小程序。Java Applet可供Web開發人員建立含有功能更豐富的交互式動態Web網頁。它們會在使用者訪問網頁時被執行。黑客、病毒作者或其他惡意人士可能會用Java惡意程序代碼當作武器攻擊使用者的系統。

網絡病毒工作方式：

隨著互聯網的高速發展，計算機病毒從原來的磁盤進行傳播發展到現在的通過網絡的漏洞進行傳播。到如今，網絡病毒已經成為計算機網絡安全的最大威脅之一。網絡病毒中又以蠕蟲病毒出現最早，傳播最為廣泛，例如“沖擊波”、“紅色代碼”病毒等。

腳本病毒工作方式：

腳本病毒也是一種特殊的網絡病毒。腳本是指從一個數據文檔中執行一個任務的一組指令，它也是嵌入到一個文件中，常見的是嵌入到網頁文件中。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。有些腳本語言，例如VBScript（Visual Basic Script）以及JavaScript病毒，必須通過Microsoft的Windows Scripting Host（WSH）才能夠激活執行以及感染其他文件。

PE病毒工作方式：

PE病毒，是指感染Windows PE格式文件的病毒。PE病毒是目前影響力極大的一類病毒。PE病毒同時也是所有病毒中數量極多、破壞性極大、技巧性最強的一類病毒。如FunLove、“中國黑客”等病毒都屬于這個范疇。

1.5計算機病毒的主要傳播途徑

計算機病毒要實現傳播，有三個關鍵環節:(1)帶病毒文件的遷移。即感染病毒的文件從一臺計算機復制、遷移到另一臺計算機，感染其他計算機。

10(2)計算機操作者的觸發。計算機病毒是寄生在受感染文件上的，只有計算機操作者執行或者打開受感染的文件，計算機病毒才有執行的機會，才能取得主機的控制權。

(3)感染。病毒在取得主機的控制權后，就隨時可以尋找合適的目標文件進行感染，把病毒副本嵌入到目標文件中。計算機病毒的防范和清除

計算機病毒日益嚴峻，引起人們越來越大的關注。它的存在和傳播對用戶造成了很大的危害，為了減少信息資料的丟失和破壞，這就需要在日常使用計算機時，養成良好的習慣，預防計算機病毒。并且需要用戶掌握一些查殺病毒的知識，在發現病毒時，及時保護好資料，并清除病毒。

2.1計算機病毒防范的概念和原則

計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發現計算機病毒入侵，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統和數據。[7]

計算機病毒的侵入必將對系統資源構成威脅，即使是良性病毒，也要占有少量的系統空間，影響系統的正常運行。特別是通過網絡傳播的計算機病毒，能在很短的時間內使整個計算機網絡處于癱瘓狀態，從而造成巨大的損失，因此，防治計算機病毒應以預防為主。

2.2計算機病毒防范基本技術

計算機病毒預防是在計算機病毒尚未入侵或剛剛入侵，就攔截、阻擊計算機

病毒的入侵或立即警報。目前在預防計算機病毒工具中采用的主要技術如下[8] ：

1、特征代碼技術

特征代碼法被早期應用于SCAN、CPAV等著名病毒檢測工具中，目前被認為是用來檢測己知病毒的最簡單、開銷最小的方法。防毒軟件在最初的掃毒方式是將所有病毒的病毒碼加以剖析，并且將這些病毒獨有的特征搜集在一個病毒碼資料庫中，每當需要掃描該程序是否有毒的時候，啟動殺毒軟件程序，以掃描的方 11 式與該病毒碼資料庫內的現有資料一一比對，如果兩方資料皆有吻合之處的話，既判定該程序已遭病毒感染。特征代碼法的實現步驟如下: 1)采集已知

病毒樣本。如果病毒既感染.COM文件，又感染.EXE文件，那么要對這種病毒要同時采集.COM型病毒樣本和.EXE型病毒樣本。

2)在病毒樣本中，抽取病毒特征代碼。在既感染.COM文件又感染.EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼。

3)將特征代碼納入病毒數據庫。

4)檢測文件。打開被檢測文件，檢查文件中是否含有病毒碼，根據數據庫中的病毒特征代碼。如果發現病毒特征代碼，由特征代碼與病毒一一對應，便可以斷定，被查文件所感染的是何種病毒。

2、校驗和技術

通常，大多數的病毒都不是單獨存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會有檔案大小增加的情況產生或者是檔案日期被修改的情形。這樣防毒軟件在安裝的時候會自動將硬盤中的所有檔案資料做一次匯總并加以記錄，將正常文件的內容計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法，它既可發現己知病毒又可發現未知病毒。運用校驗和檢查病毒采用三種方式: 1)在檢測病毒工具中納入校驗和，對被查的對象文件計算其正常狀態的校驗和，將校驗和寫入被查文件中或檢測工具中，而后進行比較；

2)在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和。實現應用程序的自檢測；

3)將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。

3、行為監測法技術

利用病毒的特有行為特征性來監測病毒的方法，稱為行為監測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程 序中，這些行為比較罕見。當程序運行時，監視其行為，如果發現了病毒行為，立即報警。

4、軟件模擬技術

多態性病毒每次感染都會變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無法找出可能的作為特征的穩定代碼。雖然行為檢測法可以檢測多態性病毒，但是在檢測出病毒后，因為不知病毒的種類，難于做出殺毒處理，由此出現了一種新的軟件模擬法。

有了病毒的一些基本知識后現在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷：

1、反病毒軟件的掃描法

這恐怕是我們絕大數朋友首選，也恐怕是唯一的選擇，現在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟件開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網絡越來越普及，病毒的開發和傳播是越來越容易了，因而反病毒軟件開發公司也是越來越多了。但目前比較有名的還是那么幾個系統的反病毒軟件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。

2、觀察法

這一方法只有在了解了一些病毒發作的癥狀及常棲身的地方才能準確地觀察到。如硬盤引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬盤、出現特殊的聲音或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡同走到底，軟、硬件出現故障同樣也可能出現那些癥狀。對于如此病毒引起的我們可以從以下幾個方面來觀察：

a、內存觀察

這一方法一般用在DOS下發現的病毒，我們可用DOS下的“mem/c/p”命令來查看各程序占用內存的情況，從中發現病毒占用內存的情況（一般不單獨占用，而是依附在其它程序之中），有的病毒占用內存也比較隱蔽，用“mem/c/p”發現不了它，但可以看到總的基本內存640K之中少了那么區區1K或幾K。b、注冊表觀察法 這類方法一般適用于近來出現的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達到自動啟動或加載的，一般是在如下幾個地方實現：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRun] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunOnce] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunSevices] [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun] [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce] 等等，在其中對注冊表中可能出現的地方會有一個比較詳盡的分析。

c、系統配置文件觀察法

這類方法一般也是適用于黑客類程序，這類病毒一般隱藏在system.ini、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell=”項，而在wini.ini文件中有“load= ”、“run= ”項，這些病毒一般就是在這些項目中加載它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。d、特征字符串觀察法

這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特征代碼，如CIH病毒就會在入侵的文件中寫入“CIH”這樣的字符串，當然我們不可能輕易地發現，我們可以對主要的系統文件（如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現，當然編輯之前最好還要備份，畢竟是主要系統文件。e、硬盤空間觀察法

有些病毒不會破壞你的系統文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所占硬盤空間很大，有時大得讓你的硬盤無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然后把所查看的內容屬性設置成可查看所有屬性的文件，相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性，到時刪除它即可。這方面的例子在平時也會碰到，明明只安裝了幾個常用程序，為什么在C盤之中幾個G的硬盤空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。連續長時間讀取內存或者磁盤的空間突然減小、運行程序時死機等異常癥狀，這時我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對整個硬盤進行徹底的檢查。經常對Windows進行更新可以有效地防止病毒的侵入, 道高一尺，魔高一丈。即使我們做的夠多夠好，仍然無法應付最新的病毒爆發，這就需要我們在使用計算機的時候時刻保持清醒的頭腦，要密切注意計算機的異常癥狀。

有了識別計算機病毒的方法，那計算機中毒都有哪些具體表現呢？ 根據計算機病毒感染和發作的階段，可以將計算機病毒的表現現象分為三大 類，即：計算機病毒發作前、發作時和發作后的表現現象[9]。

1.計算機病毒發作前的表現現象

計算機病毒發作前，是指從計算機病毒感染計算機系統，潛伏在系統內開始，直到激發條件滿足，計算機病毒發作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發現的同時，又自我復制，以各種手段進行傳播。

以下是一些計算機病毒發作前常見的表現現象：

（１）計算機經常性無緣無故地死機

病毒感染了計算機系統后，將自身駐留在系統內并修改了中斷處理程序等，引起系統工作不穩定，造成死機現象發生。

（２）操作系統無法正常啟動

關機后再啟動，操作系統報告缺少必要的啟動文件，或啟動文件被破壞，系統無法啟動。這很可能是計算機病毒感染系統文件后使得文件結構發生變化，無法被操作系統加載、引導。

（３）運行速度明顯變慢

在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統資源，并且自身的運行占用了大量的處理器時間，造成系統資源不足，運行變慢。

（４）內存不足的錯誤

某個以前能夠正常運行的程序，程序啟動的時候報系統內存不足，或者使用 應用程序中的某個功能時報說內存不足。這可能是計算機病毒駐留后占用了系統中大量的內存空間，使得可用內存空間減小。需要注意的是在Windows 95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節，如果用“復制／粘貼”操作粘貼一段很大的文字到記事本程序時，也會報“內存不足，不能完成操作”的錯誤，但這不是計算機病毒在作怪。

（５）打印和通訊發生異常

硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發現無法進行打印操作，或打印出來的是亂碼。串口設備無法正常工作，比如調制解調器不撥號。這很可能是計算機病毒駐留內存后占用了打印端口、串行通訊端口的中斷服務程序，使之不能正常工作。

（６）無意中要求對軟盤進行寫操作

沒有進行任何讀、寫軟盤的操作，操作系統提示軟驅中沒有插入軟盤，或者要求在讀取、復制寫保護的軟盤上的文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅中的時候引起的系統異常。需要注意的是有些編輯軟件需要在打開文件的時候創建一個臨時文件，也有的安裝程序（如Office 97）對軟盤有寫的操作。

（７）以前能正常運行的應用程序經常發生死機或者非法錯誤

在硬件和操作系統沒有進行改動的情況下，以前能夠正常運行的應用程序產生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的。

（８）系統文件的時間、日期、大小發生變化

這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問、修改日期和時間也會被改成感染時的時間。尤其是對那些系統文件，絕大多數情況下是不會修改它們的，除非是進行系統升級或打補丁。對應用程序使用到的數據文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。

（９）word保存出現問題

運行Word，打開Word文檔后，該文件另存時只能以模板方式保存無法另存為一個DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。

（10）磁盤空間迅速減少

沒有安裝新的應用程序，而系統可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經常瀏覽網頁、回收站中的文件過多、臨時文件夾下的文件數量過多過大、計算機系統有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows 95/98下的內存交換文件的增長，在Windows 95/98下內存交換文件會隨著應用程序運行的時間和進程的數量增加而增長，一般不會減少，而且同時運行的應用程序數量越多，內存交換文件就越大。

（11）網絡驅動器卷或共享目錄無法調用

對于有讀權限的網絡驅動器卷、共享目錄等無法打開、瀏覽，或者對有寫權限的網絡驅動器卷、共享目錄等無法創建、修改文件。雖然目前還很少有純粹地針對網絡驅動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網絡驅動器卷和共享目錄的正常訪問。

（12）基本內存發生變化

在DOS下用mem/c/p命令查看系統中內存使用狀況的時候可以發現基本內存總字節數比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機系統感染了引導型計算機病毒所造成的。

(13)陌生人發來的電子函件

收到陌生人發來的電子函件，尤其是那些標題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產品介紹；垃圾電子函件的內容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節，多的有幾十兆甚至上百兆字節，而電子函件中計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節。當然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。(14)自動鏈接到一些陌生的網站

沒有在上網，計算機會自動撥號并連接到因特網上一個陌生的站點，或者在上網的時候發現網絡特別慢，存在陌生的網絡鏈接。這種聯接大多是黑客程序將收集到的計算機系統的信息“悄悄地”發回某個特定的網址，可以通過netstat命令查看當前建立的網絡鏈接，再比照訪問的網站來發現。需要注意的是有些網頁中有一些腳本程序會自動鏈接到一些網頁評比站點，或者是廣告站點，這時候也會有陌生的網絡鏈接出現。當然，這種情況也可以認為是非法的。

一般的系統故障是有別于計算機病毒感染的。系統故障大多只符合上面的一點或二點現象，而計算機病毒感染所出現的現象會多得多。根據上述幾點，就可以初步判斷計算機和網絡是否感染上了計算機病毒。2．計算機病毒發作時的表征現象

計算機病毒發作時是指滿足計算機病毒發作的條件，計算機病毒程序開始破壞行為的階段。計算機病毒發作時的表現大都各不相同，可以說一百個計算機病毒發作有一百種花樣。這與編寫計算機病毒者的心態、所采用的技術手段等都有密切的關系。

以下列舉了一些計算機病毒發作時常見的表現現象：

（1）提示一些不相干的話

最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發作條件的話，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。

（2）聲音異常

惡作劇式的計算機病毒，最著名的是外國的“楊基”計算機病毒（Yangkee）和中國的“瀏陽河”計算機病毒?！皸罨庇嬎銠C病毒發作是利用計算機內置的揚聲器演奏《楊基》音樂，而“瀏陽河”計算機病毒更絕，當系統時鐘為9月9日時演奏歌曲《瀏陽河》，而當系統時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于“良性”計算機病毒，只是在發作時發出音樂和占用處理器資源。

（3）產生特定的圖象

另一類惡作劇式的計算機病毒，比如小球計算機病毒，發作時會從屏幕上方 不斷掉落下來小球圖形。單純地產生圖象的計算機病毒大多也是“良性”計算機病毒，只是在發作時破壞用戶的顯示界面，干擾用戶的正常工作。

（4）硬盤燈不斷閃爍

硬盤燈閃爍說明有硬盤讀寫操作。當對硬盤有持續大量的操作時，硬盤的燈就會不斷閃爍，比如格式化或者寫入很大很大的文件。有時候對某個硬盤扇區或文件反復讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發作的時候對硬盤進行格式化，或者寫入許多垃圾文件，或反復讀取某個文件，致使硬盤上的數據遭到損失。具有這類發作現象的計算機病毒大多是“惡性”計算機病毒。

（5）進行游戲算法

有些惡作劇式的計算機病毒發作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續他的工作。比如曾經流行一時的“臺灣一號”宏病毒，在系統日期為13日時發作，彈出對話框，要求用戶做算術題。這類計算機病毒一般是屬于“良性”計算機病毒，但也有那種用戶輸了后，進行破壞的“惡性”計算機病毒。

（6）Windows桌面圖標發生變化

這一般也是惡作劇式的計算機病毒發作時的表現現象。把Windows缺省的圖標改成其他樣式的圖標，或者將其他應用程序、快捷方式的圖標改成Windows缺省圖標樣式，起到迷惑用戶的作用。

（7）計算機突然死機或重啟

有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發作時會造成意想不到情況；或者是計算機病毒在Autoexec.bat文件中添加了一句：Format c：之類的語句，需要系統重啟后才能實施破壞的。

（8）自動發送電子函件

大多數電子函件計算機病毒都采用自動發送電子函件的方法作為傳播的手段，也有的電子函件計算機病毒在某一特定時刻向同一個郵件服務器發送大量無用的信件，以達到阻塞該郵件服務器的正常服務功能的目的。

(9）鼠標自己在動

沒有對計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，而屏幕上的鼠標自己在動，應用程序自己在運行，有受遙控的現象。大多數情況下是計算機系統受到了黑客程序的控制，從廣義上說這也是計算機病毒發作的一種現象。

需要指出的是，有些是計算機病毒發作的明顯現象，比如提示一些不相干的話、播放音樂或者顯示特定的圖象等。有些現象則很難直接判定是計算機病毒的表現現象，比如硬盤燈不斷閃爍，當同時運行多個內存占用大的應用程序，比如3D MAX，Adobe Premiere等，而計算機本身性能又相對較弱的情況下，在啟動和切換應用程序的時候也會使硬盤不停地工作，硬盤燈不斷閃爍。

3.計算機病毒發作后的表現現象

通常情況下，計算機病毒發作都會給計算機系統帶來破壞性的后果，那種只是惡作劇式的“良性”計算機病毒只是計算機病毒家族中的很小一部分。大多數計算機病毒都是屬于“惡性”計算機病毒?！皭盒浴庇嬎銠C病毒發作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發作后所造成的后果：

(1)硬盤無法啟動，數據丟失

計算機病毒破壞了硬盤的引導扇區后，就無法從硬盤啟動計算機系統了。有些計算機病毒修改了硬盤的關鍵內容（如文件分配表，根目錄區等），使得原先保存在硬盤上的數據幾乎完全丟失。

(2)系統文件丟失或被破壞

通常系統文件是不會被刪除或修改的，除非對計算機操作系統進行了升級。但是某些計算機病毒發作時刪除了系統文件，或者破壞了系統文件，使得以后無法正常啟動計算機系統。通常容易受攻擊的系統文件有Command.com，Emm386.exe，Win.com，Kernel.exe，User.exe等等。

(3)文件目錄發生混亂

目錄發生混亂有兩種情況。一種就是確實將目錄結構破壞，將目錄扇區作為普通扇區，填寫一些無意義的數據，再也無法恢復。另一種情況將真正的目錄區轉移到硬盤的其他扇區中，只要內存中存在有該計算機病毒，它能夠將正確的目錄扇區讀出，并在應用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。但是一旦內存中沒有該計算機病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區。這種破壞還是能夠被恢復的。(4)部分文檔丟失或被破壞

類似系統文件的丟失或被破壞，有些計算機病毒在發作時會刪除或破壞硬盤上的文檔，造成數據丟失。

(5)部分文檔自動加密碼

還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內或其他隱蔽的地方，而被感染的文件被加密，如果內存中駐留有這種計算機病毒，那么在系統訪問被感染的文件時它自動將文檔解密，使得用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復了。

(6)修改Autoexec.bat文件，增加Format C：一項，導致計算機重新啟動時格式化硬盤。

在計算機系統穩定工作后，一般很少會有用戶去注意Autoexec.bat文件的變化，但是這個文件在每次系統重新啟動的時候都會被自動運行，計算機病毒修改這個文件從而達到破壞系統的目的。

(7)使部分可軟件升級主板的BIOS程序混亂，主板被破壞。

類似CIH計算機病毒發作后的現象，系統主板上的BIOS被計算機病毒改寫、破壞，使得系統主板無法正常工作，從而使計算機系統報廢。

(8)網絡癱瘓，無法提供正常的服務。

由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統時要立即報警并清除，這樣才能確保系統安全，待計算機病毒發作后再去殺毒，實際上已經為時已晚。

發現了計算機病毒，那怎么辦？又有什么方法清除計算機病毒了？

2.3清除計算機病毒的基本方法

1.簡單的工具治療

簡單工具治療是指使用Debug等簡單的工具，借助檢測者對某種計算機病毒的具體知識，從感染計算機病毒的軟件中摘除計算機代碼。但是，這種方法同樣對檢測者自身的專業素質要求較高，而且治療效率也較低。2.專用工具治療

使用專用工具治療被感染的程序時通常使用的治療方法。專用計算機治療工具，根據對計算機病毒特征的記錄，自動清除感染程序中的計算機病毒代碼，使之得以恢復。使用專用工具治療計算機病毒時，治療操作簡單、高效。從探索與計算機病毒對比的全過程來看，專用工具的開發商也是先從使用簡單工具進行治療開始，當治療獲得成功后，再研制相應的軟件產品，使計算機自動地完成全部治療操作。典型計算機病毒

3.1引導區計算機病毒

（1）引導區病毒概述[10]引導型病毒是一種在ROM BIOS之后，系統引導時出現的病毒，它先于操作系統，依托的環境是BIOS中斷服務程序。引導型病毒是利用操作系統的引導模塊放在某個固定的位置，并且控制權的轉交方式是以物理位置為依據，而不是以操作系統引導區的內容為依據，因而病毒占據該物理位置即可獲得控制權，而將真正的引導區內容搬家轉移或替換，待病毒程序執行后，將控制權交給真正的引導區內容，使得這個帶病毒的系統看似正常運轉，而病毒已隱藏在系統中并伺機傳染、發作。它會感染在該系統中進行讀寫操作的所有軟盤，然后再由這些軟盤以復制的方式和引導進入到其他計算機系統，感染其他計算機的操作系統。（2）清除

消除這類計算機病毒的基本思想是：用原來正常的分區表信息或引導扇區信息，覆蓋掉計算機病毒程序。此時，如果用戶實現提取并保存了自己硬盤中分區表的信息和DOS分區引導區信息，那么，恢復工作變得非常簡單。可以直接用Debug將這兩種引導扇區的內容分別存入內存，然后分別寫回它的原來位置，這樣就清除了計算機病毒，對于軟盤也可以用同類正常軟盤的引導扇區內容進行覆蓋。

如果沒有實現保留硬盤中的這些信息，則恢復起來要麻煩些。對于那些對分區表和引導扇區內容進行搬移的計算機病毒，則要分析這段計算機病毒程序，找到被搬移的正常引導扇區內容的存放地址，將它們讀到內存中，寫回到被計算機病毒程序侵占的扇區；如果對于那些不對分區進行搬移的計算機病毒，如 “2708” 病毒，則只有從一個與該計算機硬盤相近的機器中提取出正常的分區記錄的信息，將其讀入內存，再將被計算機病毒覆蓋的分區記錄也讀到內存中，取其尾部 22 64字節分區信息內容，放到讀入的正常分區記錄內容的相應部分，最后再將內容寫回硬盤。

3.2文件型計算機病毒

(1)文件型病毒概述

文件型病毒與引導區型病毒工作的方式是完全不同的，在各種PC機病毒中，文件型病毒占的數目最大，傳播得廣，采用的技巧也多。文件型病毒是對源文件進行修改，使其成為新的文件。文件型病毒分兩類：一種是將病毒加在COM前部，一種是加在文件尾部。文件型病毒傳染的對象主要是.COM和.EXE文件。我們把所有通過操作系統的文件系統進行感染的病毒都稱作文件病毒，所以這是一類數目非常巨大的病毒。理論上可以制造這樣一個病毒，該病毒可以感染基本上所有操作系統的可執行文件。目前已經存在這樣的文件病毒，可以感染所有標準的DOS可執行文件：包括批處理文件、DOS下的可加載驅動程序（.SYS）文件以及普通的COM／EXE可執行文件。當然還有感染所有視窗操作系統可執行文件的病毒，可感染文件的種類包括：視窗3.X版本，視窗9X版本，視窗NT和視窗2000版本下的可執行文件，后綴名是EXE、DLL或者VXD、SYS。

除此之外，還有一些病毒可以感染高級語言程序的源代碼，開發庫和編譯過程所生成的中間文件。病毒也可能隱藏在普通的數據文件中，但是這些隱藏在數據文件中的病毒不是獨立存在的，必須需要隱藏在普通可執行文件中的病毒部分來加載這些代碼。從某種意義上，宏病毒—隱藏在字處理文檔或者電子數據表中的病毒也是一種文件型病毒。

（2）清除步驟[10]確定計算機病毒程序的位置，是駐留在文件尾部還是在文件首部； 找到計算機病毒程序的首部位置（對應于在文件尾部駐留方式），或者尾部位置（對應于在文件首部駐留方式）；

恢復原文件頭部的參數； 修改文件長度，將源文件寫回。

3.3腳本型計算機病毒

（1）腳本型病毒的概述 主要采用腳本語言設計的病毒稱其為腳本病毒。實際上在早期的系統中，計算機病毒就已經開始利用腳本進行傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當它和一些傳統的惡性病毒相結合時，其危害就更為嚴重了。

（2）清除[11]

1.禁用文件系統對象FileSystemObject； 2.卸載Windows Scripting Host；

3.刪除vbs，vbe，js，jse文件后綴與應用程序映射； 4.在Windows目錄中，找到WScript.exe，更改名稱或者刪除； 5.自定義安全級別；

6.禁止Outlook，Outlook Express的自動手法郵件功能； 7.顯示擴展名；

8.將系統的網絡連接的安全級別設置至少為“中等； 9.安裝、使用殺毒軟件。

3.4 特洛伊木馬病毒

（1）特洛伊木馬的概述

特洛伊木馬也叫黑客程序或后門病毒，是指隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易察覺，是一種極為危險的網絡攻擊手段。（2）清除[12] 1.備份重要數據； 2.立即關閉設備電源； 3.備份木馬入侵現場； 4.修復木馬危害。

3.5蠕蟲病毒

（1）蠕蟲病毒概述

凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種病毒！網絡蠕蟲病毒，作為對互聯網危害嚴重的 一 種計算機程序，其破壞力和傳染性不容忽視。與傳統的病毒不同，蠕蟲病毒以計算機為載體，以網絡為攻擊對象?。?）清除： 1.與防火墻互動； 2.交換機聯動；

3.通知HIDS（基于主機的入侵檢測）； 4.報警。

結尾：魔高一尺，道高一丈。我們相信，只要知己知彼，我們一定會在與計算機病毒進行的這場持久戰中取得最終的勝利！計算機病毒的發展趨勢

隨著網絡的發展，計算機病毒有了新變化，顯現出一些新的特點，只有對計算機病毒的新動向，新特點以及新技術有全面的了解，才能跟蹤日新月異的計算機病毒技術發展趨勢，使反計算機病毒技術朝著更高效的目標邁進，才能更有效地在網絡上禁毒，保證網絡的安全運行。

從某種意義上說，21世紀是計算機病毒與反病毒激烈角逐的時代，而智能化、人性化、平民化、多樣化也在逐漸成為新世紀計算機病毒的發展趨勢。（1）智能化

與傳統的計算機病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術實現，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。例如“愛蟲”病毒是用VBScript語言編寫的，只要通過Windows下自帶的編輯軟件修改病毒代碼中的一部分，就能輕而易舉地制造病毒變種，以躲避反病毒軟件的追擊。（2）人性化

病毒制造者充分利用心理學的知識，注重針對人類的心理如好奇，貪婪等制造出種種計算機病毒，其主題、文件名更人性化和極具誘惑力。如 “My-babypic”計算機病毒，就是通過可愛寶寶的照片傳播計算機病毒。（3）平民化

由于腳本語言的廣泛使用，專用計算機病毒生成工具的流行，計算機病毒制造已經變成了“小學生的游戲”。以前的計算機病毒制作者都是專家，編寫計算 機病毒在于表現自己高超的技術，但是，現在的計算機病毒制作者利用部分相關資源，容易制造計算機病毒。例如“庫爾尼科娃”計算機病毒的設計者只是下載并修改了vbs蠕蟲孵化器，就制造出了“庫爾尼科娃”計算機病毒。正是由于這類工具太容易得到，使得現在新計算機病毒出現的頻率超出以往任何時候。（4）多樣化

新計算機病毒層出不窮，老計算機病毒也充滿活力，并呈現多樣化的趨勢。1999年普遍發作的計算機病毒分析顯示，雖然新計算機病毒不斷產生，但較早的計算機病毒發作仍很普遍。1999年報道最多的計算機病毒是1996年就首次發現并到處傳播的宏病毒“Laroux”。新計算機病毒可以感染執行程序，腳本文件和HTML網頁等多種形式，并正向電子郵件，網上賀卡，卡通圖片，ICQ和OICQ等發展。更為棘手的是，新計算機病毒的手段更加陰狠，破壞性更強。

參考文獻：

[1] 秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：1 [2] 賴英旭.計算機病毒與防范技術[M]，北京:清華大學出版社，2011:32-34 [3] 韓蘭勝.計算機病毒原理與防治技術[M]，武漢:華中科技大學出版社，2010:13-15 [4] 韓筱卿.計算機病毒分析與防范大全[M]，北京:電子工業出版社，2006:14 [5] 秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：15 [6] 程勝利.計算機病毒及其防治技術[M]，北京:清華大學出版社，2005：54-55 [7] 秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：93 [8] 程勝利.計算機病毒及其防治技術[M]，北京:清華大學出版社，2007：241-252 [9] 韓筱卿.計算機病毒分析與防范[M]，北京:電子工業出版社，2006: 45-49 [10] 秦志光.計算機病毒原理與防范[M]，北京:人民郵電出版社，2007：104-112 [11] 張仁斌.計算機病毒與反病毒技術[M]，北京:清華大學出版社，2006：219-236 [12] 賴英旭.計算機病毒與防范技術[M]，北京:清華大學出版社，2011:48-62

致謝

首先感謝我的導師郝艷華。本文從開題、寫作直至最終定稿，郝老師給予了諸多建設性建議，并在百忙之中三閱其稿。恩師嚴謹的治學態度、科學的治學方法、淵博的學識、誨人不倦的精神和平易近人的工作作風令我景仰和敬慕，并將使我終生受益。也感謝在一起愉快的度過畢業論文小組的同學們，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。