毕业设计（论文）-计算机病毒预防技术的探讨

淮北师范大学2012届学士学位论文计算机病毒的预防技术探讨学院计算机科学与技术专业计算你科学与技术（师范）研究方向计算机病毒的预防学生学号指导教师姓名指导教师职务讲师2012年4月20日2计算机病毒预防技术的探讨作者指导教师论文摘要现在，人们越来越重视计算机安全。伴随着电脑网络的普及，计算机病毒越来越猖獗，计算机反病毒技术也发展的很快。如今计算机反病毒技术，有实时反病毒技术、扫描技术、虚拟技术和主动核技术等。这些技术各有特点，都是十分优秀的反病毒技术，但是目前应用起来仍然不够成熟。现有计算机反病毒软件虽然在对抗病毒方面发挥了巨大的作用，但是仍有不尽人意之处，特别是应对位置病毒缺乏足够有效的方法。计算机病毒的防范技术还有待于我们去钻呀和发展，进一步完善。关键字INTERNET计算机技术病毒预防3DISCUSSIONONCOMPUTERVIRUSPREVENTIONTECHNIQUESAUTHORZHANGBINGBINGINSTRUCTORLECTURERWANGBAOHUAABSTRACTNOW,PEOPELEPAYMOREANDMOREATTENTIONTOCOMPUTERSECURITYWITHTHEPOPULARIZATIONOFCOMPUTERNETWORK,COMPUTERVIRUSESAREINCREASINGLYRAMPANTANDCOMPUTERANTIVIRUSTECHNOLOGYISALSODEVELOPINGVERYFASTNOWCOMPUTERANTIVIRUSTECHNOLOGYAREREALTIMEANTIVIRUSTECHNOLOGY,HEURISTICCODESCANNINGTECHNIQUES,VIRTURALMACHINETECHNOLOGUANDACTIVEKERNELTECHNOLOGY,ETCTHESETECHNOLOGIESHAVETHEIROWNFEATURESANDALLOFTHEMAREEXCELLENTANTIVIRUSTECHNOLOGIESBUTPEOPLEARESTILLNOTPROFICIENTINTHEUESOFTHESETECHNOGIESALTHOUGHTHEEXISTINGCOMPUTERANTIVIRUSSOFTWAREPLAYSANIMPORTANTROLEINSTOPPINGVIRUSES,THEREARESTILLSOMEPROBLEMSTHEPOINTISTHATPEOPLELACKEFFECTIVEMETHODSINCOPINGWITHUNKNOWNVIRUSESWESTILLNEEDSTUDYINTENSIVELYANDDEVELOPTHECOMPUTERVIRUSPREVENTIONTECHNOLOGYMAKINGITMOREPERFECTKEYWORDINTERNETCOMPUTERTECHNOLOGYVIRUSPROTECTION4目录课题研究意义及背景5第一章计算机病毒的特征、分类及传播方式611计算机病毒的定义和内涵612计算机病毒的特征713计算机病毒的分类7131按病毒攻存在媒体分类7132按病毒传染的方法分类8133按病毒的破坏能力分类8134按病毒的算法分类814计算机病毒的表现现状1015计算机病毒的传播方式10第三章计算机病的的危害、保护手段及攻击技术分析1921计算机病毒的危害1222计算机病毒的自我保护手段1523如何识别计算机病毒1624计算机病毒的攻击技术分析17241无线电方式17242“固化”式方式17243后门攻击方式18244数据控制连侵入方式1825异常处理18251异常处理的方式18252异常处理的过程19第三章几种常见病的的识别和防范1931如何识别病毒感染1932计算机病毒的技术预防措施2033引导型计算机病毒的识别和防范2334文件病毒的识别和防范2535宏病毒的识别和防范2936电子邮件病毒的识别和防范31第四章结论375参考文献38课题背景计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒技术不断更新和发展，但是仍然不能改变被动滞后的局面，计算机用户必须不断应付计算机新病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。从上世纪90年代中后期开始，随着国际互联网的发展壮大，依赖互联网络传播的邮件病毒、宏病毒和蠕虫病毒等大量涌现，病毒传播速度加快、隐蔽性增强、破坏性变大。最近这几年新病毒层出不穷，出现了“红色代码”、“尼姆达”、“爱虫”、“SQL蠕虫”、“求职信”、“冲击波”、“恶邮差”等等许多影响广、破坏大的病毒，众多病毒中蠕虫病毒的发展的特别快。最新发现的“震荡波“病毒来势汹汹，该病毒通过微软的最新高危漏洞LSASS漏洞微软MS04011公告进行传播，危害性极大，目前WINDOWS2000/XP/SERVER2003等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。计算机病毒的产生和迅速蔓延，使计算机系统的安全受到了极大的威胁，人们意识到计算机安全的重要性，也因此产生了对计算机反病毒技术的需求。随着计算机病毒采用的新技术不断出现，计算机反病毒技术也不断更新和发展，产生了实时反病毒技术、启发式代码扫描技术等许多优秀的反病毒技术。日新月异的计算机技术给计算机病毒提供了存在和发展的空间，尤其是网络技术的发展大大加快了计算机病毒的传播速度，日益普及的计算机网络给人们带来了许多的方便的同时也给计算机病毒技术的传播和发展提供了便利。随着计算机病毒的传播和攻击方式不断发展变化，我们必须不断调整防范计算机病毒的策略，提升和完善计算机反病毒技术，以对抗计算机病毒的危害。计算机病毒的防范是一项长期且艰巨的任务。6第一章计算机病毒的特征、分类及传播方式在当今科技迅速发展的时代，计算机和网络技术不仅给人们带来了便利与惊喜，同时也在遭受着计算病毒带来的烦恼和无奈，自从INTERNET潮流席卷全球以来,计算机信息以每秒千里的速度在传送,我们每天可以透过INTERNET收到来自全球各地不同的消息,。因为计算机病毒不仅破坏文件，删除有用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的重视。11计算机病毒的定义和内涵计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些共同特性一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。计算机病毒一种计算你程序，它可以附属在可执行文件或隐藏在系统数据区中，在开机或执行某些程序后悄悄的进驻内存，然后对其他的文件进行传染，使之传播出去，然后在特定的条件下破坏系统或骚扰用户。目前很多的清7楚病毒的软件，但是新病毒还是层出不穷，成为一大危害。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。12计算机病毒的特征计算机病毒是一段特殊的程序。除了与其他程序一样，可以存储和运行外，计算机病毒还有感染性、潜伏性、可触发性、破坏性衍生性等特征。下面简单就计算机病毒的特性加以介绍感染性。计算机病毒的感染性也称为寄生性，是指计算机病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生成的特性。计算机病毒的感染性是计算机病毒的根本属性，是判断一个程序是否为病毒程序的主要依据。隐蔽性。隐蔽性是计算机病毒的基本特征之一。从计算机病毒隐藏的位置来看，不同的病毒隐藏在不同的位置，有的隐藏在扇区中，有的则以隐藏文件的形式出现，让人防不胜防。潜伏性。计算机病毒的潜伏性是指其具有依附于其他媒体而寄生的能力，通过修改其他程序而把自身的复制体嵌入到其他程序或者磁盘的引导区甚至硬盘的主引导区中寄生。可触发性。计算机病毒一般都具有一个触发条件或者触发其感染，即在一定的条件下激活一个病毒的感染机制使之进行感染；或者触发其发作，即在一定的条件下激活病毒的表现攻击破坏部分。衍生性。计算机病毒的衍生性是指计算机病毒的制造者依据个人的主观愿望，对某一个已知病毒程序进行修改而衍生出另外一中或多种来源于同一种病毒，而又不同于源病毒程序的病毒程序，即源病毒程序的变种。这也许就是病毒种类繁多、复杂的原因之一。破坏性。计算机病毒的破坏性取决于计算机病毒制造者的目的和水平，它可以直接破坏计算机数据信息、抢占系统资源、影响计算机运行速度以及对计算机硬件构成破坏等。正是由于计算机病毒可怕的破坏性才使得计算机病毒令人如此恐怖。13计算机病毒的分类8根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类131按病毒存在的媒体根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如COM，EXE，DOC等），引导型病毒感染启动扇区（BOOT）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。132按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。133按病毒破坏的能力无害型除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、WINDOWS和其它操作系统造成破坏。例如在早期的病毒中，有一个“DENZUK”病9毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。134按病毒的算法伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如XCOPYEXE的伴随体是XCOPYCOM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。14计算机病毒的表现现状计算机受到病毒感染后，会表现出不同的症状。机器不能正常启动加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。运行速度降低如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。磁盘空间迅速变小10由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。文件内容和长度有所改变一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。经常出现“死机”现象。正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。外部设备工作异常因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。15计算机病毒的传播方式软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。硬盘由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘传染并再扩散。11BBS电子布告栏（BBS）因为上站容易、投资少，因此深受大众用户的喜爱。BBS是由计算机爱好者自发组织的通讯站点，用户可以在BBS上进行文件交换（包括自由软件、游戏、自编程序）。由于BBS站一般没有严格的安全管理，亦无任何限制，这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS站间通过中心站间进行传送，传播面较广。随着BBS在国内的普及，给病毒的传播又增加了新的介质。网络现代通信技术的巨大进步已使空间距离不再遥远，数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送，工作站的距离可以短至并排摆放的计算机，也可以长达上万公里，正所谓“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中，当您从网络另一端得到一个被感染的程序，并在您的计算机上未加任何防护措施的情况下运行它，病毒就传染开来了。这种病毒的传染方式在计算机网络连接很普及的国家是很常见的，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。第二章计算机病毒的保护手段及技术分析长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。对计算机系统的测试，目前尚缺乏自动化检测工具和系统软件的完整检验手段，计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（WWW）使“地球一村化”，为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。国外专家认为，分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。1221计算机病毒的危害（1）病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SKKILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“WARNINGDONTTURNOFFPOWERORREMOVEDISKETTEWHILEDISKKILLERISPROSESSING”（警告D1SKKILLERLL1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SKKILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。（2）占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。（3）抢占系统资源除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。（4）影响计算机运行速度病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。13有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。（5）计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。（6）计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。（7）计算机病毒给用户造成严重的心理压力据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。经检测确实存在病毒的约占70，另有30情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往14要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。22计算机病毒的自我保护手段（1）掩盖技术不断修改标志、传染方式、表现方式不通过传统的方式，如以热键激活取代中断激活方式ALABAMA病毒可拦截INT9，若发现用户使用热启动时，则调用其内部的BOOTSTRAP子程序启动计算机，是自己继续潜伏在内存。避开中断请求而直接调用中断服务过程。用中断请求INT27H或INT31H来合法获取内存。不将非法占用的区域标为坏簇，而标为已分配的簇。（2）造假技术修改文件长度如ZEROBUG病毒。（3）加密技术对病毒源码加密17011206病毒利用自身修改技术，每次传然后都有变化。（4）自灭技术YANKEEDOODLE病毒驻留内存后，若发现被传染的文件有被分析的可能，则用DEBUG调被传染的文件用Q命令删除。（5）嵌入技术拼接，成为合法程序的一部分，得到系统的认可例EDDIE病毒将自己隐藏在操作系统中，随操作系统启动按随机格式复制成其他的程序。（6）反动态跟踪技术PAKISTANI病毒驻留内存后，可通过INT13H监视用户读取引导扇区的操作，当用户用DEBUG读取0逻辑扇区时，病毒将存于它处的引导扇区显示出来。23如何识别计算机病毒15很多时候大家已经用杀毒软件查出了自己的机子中了例如BACKDOORRMTBOMB12、TROJANWIN32SENDIP15等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀TROJAN，蠕虫病毒的前缀是WORM等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“SASSER”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如WORMSASSERB就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强“_”），可以采用数字与字母混合表示变种标识。综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。24计算机病毒的攻击技术分析实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注入方法主要有以下几种16241无线电方式主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有（1）直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。（2）冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使之能够混在合法传输信号中，进入接收器，进而进入信息网络。（3）寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路，将病毒传染到被保护的链路或目标中。242“固化”式方法即把病毒事先存放在硬件（如芯片）和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。这种攻击方法十分隐蔽，即使芯片或组件被彻底检查，也很难保证其没有其他特殊功能。目前，我国很多计算机组件依赖进口，因此，很容易受到芯片的攻击。243后门攻击方式后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击，如目前普遍使用的WINDOWS98，就存在这样的后门。244、数据控制链侵入方式随着因特网技术的广泛应用，使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。25异常处理病毒在运行过程中，由于环境的变化、程序设计上的失误等原因，有时候轻则弹出提示窗口，重则会导致程序、甚至系统崩溃。为礼物被发现，异常处17理也经常用在计算机病毒中。251异常处理的方式WINDOWS下异常处理有两种方式筛选器异常处理和SHE异常处理。筛选器异常处理的方式有程序指定一个异常处理回调函数，当发生异常的时候，WINDOWS系统将调用这个回调函数并根据回调函数的返回值决定下一步如何操作。于一个进程来说，只有一个筛选器回调函数。很明显，这种异常处理方式不便于模块的封装由于筛选器回调函数是基于整个进程的，无法为一个线程或子程序单独设置一个异常处理回调函数，这样就无法将私有处理代码封装进某个模块中。SHE（“STRUCTUREDESCEPTIONHANDLING”）,即结构化异常处理，是操作系统提供给程序设计者的强有力处理程序错误或异常的武器。筛选器异常处理和SHE异常处理都是以回调函数的方式提供的另外，系统都会根据回调函数的返回值选择不同的操作。但它们之间也有如下区别（1）SHE可以为每个线程设置不同的异常处理程序，而且可以为每个线程设置多个异常处理程序（2）两者的回调函数的参数定义和返回值的定义不一样（3）SHE使用了与硬件相关的数据指针，所以在不同的硬件平台中使用SHE的方法会有所不同252异常处理的过程当系统遇到一个它不知道如何处理的宜昌时，它就查找异常处理链表。当一个异常发生时，操作系统要向引起异常的线程的堆栈里压入3个结构，分别是EXCEPTION_RECORD、EXCEPTION_POINTERS、CONTEXT。EXCEPTION_RECORD结构包含有关已发生的独立与CPU的信息，CONTEXT结构包含已发生异常的依赖与CPU信息，EXCEPTION_POINTERS结构只有两个指正数据成员，分别指向被压入栈的EXCEPTION_RECORD和CONTEXT结构，CONTEXT结构包含了特定处理的寄存处器数据，系统使用该结构执行各种内部操作。CONTEXT结构非常重要，程序通过修改结构中的成员，改变了线程的运行环境，从而达到反跟踪的目的，从原程序的任意EIP制定位置开始执行。第三章几种常见病毒的识别和防范1831如何防止病毒感染使用经过更新的反病毒程序扫描您的计算机。从MICROSOFTWEB站点安装最新的安全修补程序。重新安装反病毒程序（如果它已停止工作）。从反病毒供应商的WEB站点获取最新的“件病毒签名文”。对于每种新病毒，反病毒供应商都会发布更新来对付新病毒。杀除病毒后，请再次扫描您的计算机以确保完全杀除病毒。安排反病毒程序在您睡觉期间检查系统。如果以下一个或多个条件为真，则您可能必须格式化计算机硬盘，并重新安装WINDOWS以及您的所有计算机程序反病毒软件显示一条无法修复或杀除病毒的消息。病毒损坏或删除了计算机上的一些重要文件。如果WINDOWS或某些程序无法启动，或在启动时出现表明文件损坏或丢失的错误信息，则可能属于这种情况即使在您清理工作站之后，本文描述的症状依然存在，并且您能肯定问题是由病毒引起的。确保在您的计算机上安装了防火墙。有关安全性和防火墙的详细信息，请访问MICROSOFTWEB站点对于基于WINDOWSXP的计算机，请打开INTERNET连接防火墙ICF。对于所有其他版本的WINDOWS，请安装密集架第三方防火墙。确保安装了MICROSOFTOUTLOOK电子邮件安全更新默认情况下，OUTLOOK2000SP2POSTSP2和OUTLOOKXPSP1包括此安全更新。OUTLOOK2000PRESR1和OUTLOOK98不包括此功能，但可以通过安装OUTLOOK电子邮件安全更新来获取。将OUTLOOKEXPRESS6配置为禁止访问病毒附件。OUTLOOKEXPRESS的较早版本PREOUTLOOKEXPRESS6不包含附件阻塞功能。打开非您要求的带有附件的电子邮件附件时要格外小心。在OUTLOOK和OUTLOOKEXPRESS中禁用活动脚本。32计算机病毒的技术预防措施下面总结出一系列行之有效的措施供参考。19（1）新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后下面总结出一系列行之有效的措施供参考。（2）新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方再使用新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。（3）计算机系统的启动在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。启动前，一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下，只要软盘在启动时被读过，计算机病毒仍然会进入内存进行传染。很多计算机中，可以通过设置CMOS参数，使启动时直接从硬盘引导启动，而根本不去读软盘。这样即使软盘驱动器中插着软盘，启动时也会跳过软驱，尝试由硬盘进行引导。很多人认为，软盘上如果没有COMMANDCOM等系统启动文件，就不会带计算机病毒，其实引导型计算机病毒根本不需要这些系统文件就能进行传染。（4）单台计算机系统的安全使用在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘，再在自己的计算机上使用前，也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。（5）重要数据文件要有备份硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机20硬件或软件出现故障，使用户数据受到损伤时再去急救。对于软盘，要尽可能将数据和应用程序分别保存，装应用程序的软盘要有写保护。在任何情况下，总应保留一张写保护的、无计算机病毒的、带有常用DOS命令文件的系统启动软盘，用以清除计算机病毒和维护系统。常用的DOS应用程序也有副本，计算机修复工作就比较容易进行了。（6）不要随便直接运行或直接打开电子邮件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和OFFICE文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。（7）计算机网络的安全使用以上这些措施不仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，还应采取下列针对网络的防杀计算机病毒措施A安装网络服务器时应，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。B在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染和破坏。C一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。D为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其它网络用户对系统卷除读和执行以外的所有其它操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其它网络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。E在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网21络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。33引导型计算机病毒的识别和防范引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。纯粹的引导型计算机病毒一般不对磁盘文件进行感染。感染了引导型计算机病毒后，引导记录会发生变化。当然，通过一些防杀计算机病毒软件可以发现引导型计算机病毒，在没有防杀计算机病毒软件的情况下可以通过以下一些方法判断引导扇区是否被计算机病毒感染1先用可疑磁盘引导计算机，引导过程中，按F5键跳过CONFIGSYS和AUTOEXECBAT中的驱动程序和应用程序的加载，这时用MEM或MI等工具查看计算机的空余内存空间（FREEMEMORYSPACE）的大小；再用与可疑磁盘上相同版本的、未感染计算机病毒的DOS系统软盘启动计算机，启动过程中，按F5键跳过CONFIGSYS和AUTOEXECBAT中的驱动程序和应用程序的加载，然后用MEM或MI等工具查看并记录下计算机空余内存空间的大小，如果上述两次的空余内存空间大小不一致，则可疑磁盘的引导扇区肯定已被引导型计算机病毒感染。2用硬盘引导计算机，运行DOS中的MEM，可以查看内存分配情况，尤其要注意常规内存（CONVENTIONALMEMORY）的总数，一般为640KB字节，装有硬件防杀计算机病毒芯片的计算机有的可能为639KB字节。如果常规内存总数小于639KB字节，那么引导扇区肯定被感染上引导型计算机病毒。3机器在运行过程中刚设定好的时间、日期，运行一会儿被修改为缺省的时间、日期，这种情况下，系统很可能带有引导型计算机病毒。4在开机过程中，CMOS中刚设定好的软盘配置（即144MB或12MB），用“干净的”软盘启动时一切正常，但用硬盘引导后，再去读软盘则无法读取，此时CMOS中软盘设定情况为NONE，这种情况肯定带有引导型计算机病毒。5硬盘自引导正常，但用“干净的”DOS系统软盘引导时，无法访问硬盘如C盘（某些需要特殊的驱动程序的大硬盘和FAT32、NTFS等特殊分区除外），22这肯定感染上引导型计算机病毒。6系统文件都正常，但WINDOWS95/98经常无法启动，这有可能是感染上了引导型计算机病毒。上述介绍的仅是常见的几种情况。计算机被感染了引导型计算机病毒，最好用防杀计算机病毒软件加以清除，或者在“干净的”系统启动软盘引导下，用备份的引导扇区覆盖。预防引导型计算机病毒，通常采用以下一些方法（1坚持从不带计算机病毒的硬盘引导系统。（2安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。（3经常备份系统引导扇区。（4某些底板上提供引导扇区计算机病毒保护功能（VIRUSPROTECT），启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件（如WINDOWS95/98，WINDOWSNT以及多系统启动软件等）安装失败。34文件型计算机病毒的识别和防范大多数的计算机病毒都属于文件型计算机病毒。文件型计算机病毒一般只传染磁盘上的可执行文件（COM，EXE），在用户调用染毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。文件型计算机病毒通过修改COM、EXE或OVL等文件的结构，将计算机病毒代码插入到宿主程序，文件被感染后，长度、日期和时间等大多发生变化，也有些文件型计算机病毒传染前后文件长度、日期、时间不会发生任何变化，称之为隐型计算机病毒。隐型计算机病毒是在传染后对感染文件进行数据压缩，或利用可执行文件中有一些空的数据区，将自身分解在这些空区中，从而达到不被发现的目的。通过以下方法可以判别文件型计算机病毒1在用未感染计算机病毒的DOS启动软盘引导后，对同一目录列目录（DIR）后文件的总长度与通过硬盘启动后所列目录内文件总长度不一样，则该目录下的某些文件已被计算机病毒感染，因为在带毒环境下，文件的长度往往是不真实的。2有些文件型计算机病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同时也感染系统的引导扇区，如果磁盘的引导扇区被莫名奇妙地破坏了，23则磁盘上也有可能有文件型计算机病毒。3系统文件长度发生变化，则这些系统文件上很有可能含有计算机病毒代码。应记住一些常见的DOS系统的IOSYS、MSDOSSYS、COMMANDCOM、KRNL386EXE等系统文件的长度。4计算机在运行过外来软件后，经常死机，或者WINDOWS95/98无法正常启动，运行经常出错，等等，都有可能是感染上了文件型计算机病毒。5微机速度明显变慢，曾经正常运行的软件报内存不足，或计算机无法正常打印，这些现象都有可能感染上文件型计算机病毒。6有些带毒环境下，文件的长度和正常的完全一样，但是从带有写保护的软盘拷贝文件时，会提示软盘带有写保护，这肯定是感染了计算机病毒。对普通的单机和网络用户来说感染文件型计算机病毒后，最好的办法就是用防杀计算机病毒软件清除，或者干脆删除带毒的应用程序，然后重新安装。需要注意的是用防杀计算机病毒软件清除计算机病毒的时候必须保证内存中没有驻留计算机病毒，否则老的计算机病毒是清除了，可又感染上新的了。对于文件型计算机病毒的防范，一般采用以下一些方法（1安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。（2及时更新查杀计算机病毒引擎，一般要保证每月至少更新一次，有条件的可以每周更新一次，并在有计算机病毒突发事件的时候及时更新。（3经常使用防杀计算机病毒软件对系统进行计算机病毒检查。（4对关键文件，如系统文件、保密的数据等等，在没有计算机病毒的环境下经常备份。（5在不影响系统正常工作的情况下对系统文件设置最低的访问权限，以防止计算机病毒的侵害。（6当使用WINDOWS95/98/2000/NT操作系统时，修改文件夹窗口中的确省属性。具体操作为鼠标左键双击打开“我的电脑”，选择“查看”菜单中的“选项”命令。然后在“查看”中选择“显示所有文件”以及不选中”隐藏已知文件类型的文件扩展名”，按“确定”按钮。注意不同的操作系统平台可能显示的文字有所不同。35宏病毒的识别和防范宏病毒（MACROVIRUS）传播依赖于包括WORD、EXCEL和POWERPOINT等应用程序在内的OFFICE套装软件，只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏24硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。通过以下方法可以判别宏病毒1在使用的WORD中从“工具”栏处打开“宏”菜单，选中NORMALDOT模板，若发现有AUTOOPEN、AUTONEW、AUTOCLOSE等自动宏以及FILESAVE、FILESAVEAS、FILEEXIT等文件操作宏或一些怪名字的宏，如AAAZAO、PAYLOAD等，就极可能是感染了宏病毒了，因为NORMAL模板中是不包含这些宏的。2在使用的WORD“工具”菜单中看不到“宏”这个字，或看到“宏”但光标移到“宏”，鼠标点击无反应，这种情况肯定有宏病毒。3打开一个文档，不进行任何操作，退出WORD，如提示存盘，这极可能是WORD中的NORMALDOT模板中带宏病毒。4打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有WORD宏病毒。5在运行WORD过程中经常出现内存不足，打印不正常，也可能有宏病毒。6在运行WORD97时，打开DOC文档出现是否启动“宏”的提示，该文档极可能带有宏病毒。感染了宏病毒后，也可以采取对付文件型计算机病毒的方法，用防杀计算机病毒软件查杀，如果手头一时没有防杀计算机病毒软件的话，对付某些感染WORD文档的宏病毒也是可以通过手工操作的方法来查杀的。下面以WORD97为例简单介绍一下如何进行手工查杀首先，必须保证WORD97本身是没有感染宏病毒的，也就是WORD97安装目录下STARTUP目录下的文件和NORMALDOT文件没有被宏病毒感染。然后只打开WORD97，