计算机病毒与防治毕业论文.doc

北京北大方正软件技术学院毕业设计（论文）题 目 计算机病毒与防治 系 别： 软件工程分院 专 业： 计算机应用技术 学 号： 090210223 姓 名： 李立成 指导老师： 毛俊婵 北京北大方正软件技术学院毕业设计成绩评定表（理科）系别 软件工程分院 专业 计算机应用技术 姓名 管波 学号 090210226 设计题目： 大学生独立主动学习素养的养成 指导教师： 毛俊婵 项目评分标准优秀良好合格不合格选 题优 秀：选题有重要理论意义和实际价值；良 好：选题有较强理论意义和实际价值；合 格：选题有一定理论意义和实际价值；不合格：选题欠妥。基础知识优 秀：有坚实的理论基础和系统深入的专业知识；良 好：有较坚实的理论基础和系统深入的专业知识；合 格：有一定的理论基础和专业知识；不合格：基础理论不够全面，专业知识不系统。实践能力优 秀：体现出较强的实践工作能力；良 好：体现出较好的实践工作能力；合 格：体现出一定的实践工作能力；不合格：体现出工作能力较差。写作能力优 秀：条理清楚，层次分明，文笔流畅，学风严谨；良 好：条理性好，层次分明，文字通顺，工作认真；合 格：条理较好，层次较分明，文字较通顺；不合格：条理不清，写作较差。论文综合评价优秀 良好 合格 不合格指导教师评定意见 签 字： 年 月 日毕业设计领导小组签字签 字： 年 月 日注：此表附毕业设计（论文）后计算机病毒与防治第一章：计算机病毒的概述1.1计算机病毒的定义计算机病毒（computer virus）在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！1.2计算机病毒的历史1994年 全球计算机反病毒研究中心大厦建成 1995年 全球计算机反病毒研究中心成立于美国纽约 1996年 第一任主席由比尔盖茨担任 1997年 研究中心有效控制了cih宏病毒的大规模爆发 1998年 积极研究各种计算机病毒 1999年 在去年的努力下病毒爆发率明显降低 2000年 千年虫病毒迅速占领整个互联网 2001年 经过一年的不懈研究研究“千年虫克星” 2002年 auto病毒突然在同一时间攻击了世界各国大型公司损失达到上亿美圆 2003年 auto病毒经过不断变种、更新、升级有明显扩散的趋势，直到年底被完全克制住 2004年 威金病毒一个新型的儒虫病毒在全球范围爆发，目前没有任何有效的方法可以阻止其爆发 2005年 内部增加了技术人员，同年消灭了灰鸽子、黑蝴蝶及威金病毒 2006年 针对亚洲大规模的爆发名叫“熊猫烧香”专门制作出了专杀工具 2007年 陈风升任全球计算机病毒研究中心首席技术顾问1.3计算机病毒的起源最早由冯诺伊曼提出一种可能性-现在称为病毒，但没引起注意.1975年，美国科普作家约翰布鲁勒尔(johnbrunner)写了本名为震荡波骑士(shockwaverider)的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一1977年夏天，托马斯捷瑞安(thomas.j.ryan)的科幻小说p-1的春天(theadolescenceofp-1)成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7，000台计算机，造成了一场灾难。1983年11月3日，弗雷德科恩(fredcohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼(lenadleman)将它命名为计算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在vax11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。1986年初，在巴基斯坦的拉合尔(lahore)，巴锡特(basit)和阿姆杰德(amjad)两兄弟经营着一家ibm-pc机及其兼容机的小商店。他们编写了pakistan病毒，即brain。在一年内流传到了世界各地。1988年3月2日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。1988年11月2日，美国六千多台计算机被病毒感染，造成internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即做出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括5个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的250，000台计算机。这次病毒事件，计算机系统直接经济损失达9600万美元。这个病毒程序设计者是罗伯特莫里斯(robertt.morris)，当年23岁，是在康乃尔(cornell)大学攻读学位的研究生。罗伯特莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特莫里斯成了入侵arpanet网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学aiken中心超级用户的特权。他也因此被判3年缓刑，罚款1万美元，他还被命令进行400小时的社区服务。1988年底，在我国的国家统计部门发现小球病毒。1.4计算机病毒的分类根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类： 按病毒存在的媒体根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：com，exe，doc等），引导型病毒感染启动扇区（boot）和硬盘的系统引导扇区（mbr），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。 按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（ram）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。 按病毒破坏的能力无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。 无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型：这类病毒在计算机系统操作中造成严重的错误。 非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的dos、windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“denzuk”病毒在360k磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。 按病毒的算法伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生exe文件的伴随体，具有同样的名字和不同的扩展名（com），例如：xcopy.exe的伴随体是xcopy-com。病毒把自身写入com文件并不改变exe文件，当dos加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的exe文件。 “蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。 寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。 诡秘型病毒它们一般不直接修改dos中断和扇区数据，而是通过设备技术和文件缓冲区等dos内部修改，不易看到资源，使用比较高级的技术。利用dos空闲的数据区进行工作。 变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。1.5计算机病毒的发展在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。它可划分为： dos引导阶段1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播； 1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”； dos可执行阶段1989年，可执行文件型病毒出现，它们利用dos系统加载执行文件的机制工作，代表为“耶路撒冷”，“星期天”病毒，病毒代码在系统执行文件时取得控制权，修改dos中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。 1990年，发展为复合型病毒，可感染com和exe文件。 伴随、批次型阶段1992年，伴随型病毒出现，它们利用dos加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染exe文件时生成一个和exe同名但扩展名为com的伴随体；它感染文件时,改原来的com文件为同名的exe文件，再产生一个原名的伴随体，文件扩展名为com，这样，在dos加载文件时，病毒就取得控制权.这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非dos操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在dos下的和“海盗旗”病毒类似的一类病毒。 幽灵、多形阶段1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。 生成器，变体机阶段1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样，一段解码算法就可以由生成器生成，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” vcl,它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。 网络，蠕虫阶段1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进.在非dos操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。 视窗阶段1996年，随着windows和windows95的日益普及，利用windows进行工作的病毒开始发展，它们修改（ne,pe）文件，典型的代表是ds.3873，这类病毒的机制更为复杂，它们利用保护模式和api调用接口工作，解除方法也比较复杂。 宏病毒阶段1996年，随着windows word功能的增强，使用word宏语言也可以编制病毒，这种病毒使用类basic语言、编写容易、感染word文档等文件，在excel和amipro出现的相同工作机制的病毒也归为此类，由于word文档格式没有公开，这类病毒查解比较困难。 互联网阶段1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒； 邮件炸弹阶段1997年，随着万维网（wold wide web）上java的普及，利用java语言进行传播和资料获取的病毒开始出现，典型的代表是javasnake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，例如mail-bomb病毒，它会严重影响因特网的效率。第二章：计算机病毒的特性1.繁殖性计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。 传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫 2.计算机网络痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 3.潜伏性 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。 隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。 破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。 可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。第三章：计算机病毒的传播方式与途径1.因特网传播: internet既方便又快捷，不仅提高人们的工作效率，而且降低运作成本，逐步被人们所接受并得到广泛的使用。商务来往的电子邮件，还有浏览网页、下载软件、即时通讯软件、网络游戏等等，都是通过互联网这一媒介进行。如此频繁的使用率，注定备受病毒的“青睐”。 通过电子邮件传播: 在电脑和网络日益普及的今天，商务联通更多使用电子邮件传递，病毒也随之找到了载体，最常见的是通过internet交换word格式的文档。由于internet使用的广泛，其传播速度相当神速。电子邮件携带病毒、木马及其他恶意程序，会导致收件者的计算机被黑客入侵。email协议的新闻组、文件服务器、ftp下载和bbs文件区也是病毒传播的主要形式。经常有病毒制造者上传带毒文件到ftp和bbs上，通常是使用群发到不同组，很多病毒伪装成一些软件的新版本，甚至是杀毒软件。很多病毒流行都是依靠这种方式同时使上千台计算机染毒。 bbs是由计算机爱好者自发组织的通讯站点，因为上站容易、投资少，因此深受大众用户的喜爱，用户可以在bbs上进行文件交换(包括自由软件、游戏、自编程序)。由于bbs站一般没有严格的安全管理，亦无任何限制，这样就给一些病毒程序编写者提供了传播病毒的场所。各城市bbs站间通过中心站间进行传送，传播面较广。随着bbs在国内的普及，给病毒的传播又增加了新的介质。 通过浏览网页和下载软件传播: 很多网友都遇到过这样的情况，在浏览过某网页之后，ie标题便被修改了，并且每次打开ie都被迫登陆某一固定网站，有的还被禁止恢复还原，这便是恶意代码在作怪。当你的ie被修改，注册表不能打开了，开机后ie疯狂地打开窗口，被强制安装了一些不想安装的软件，甚至可能当你访问了某个网页时，而自己的硬盘却被格式化那么很不幸，你肯定是中了恶意网站或恶意软件的毒了。 通过即时通讯软件传播: 即时通讯(instant messenger，简称im)软件可以说是目前我国上网用户使用率最高的软件，它已经从原来纯娱乐休闲工具变成生活工作的必备利器。由于用户数量众多，再加上即时通讯软件本身的安全缺陷，例如内建有联系人清单，使得病毒可以方便地获取传播目标，这些特性都能被病毒利用来传播自身，导致其成为病毒的攻击目标。事实上，臭名昭著、造成上百亿美元损失的求职信(worm.klez)病毒就是第一个可以通过icq进行传播的恶性蠕虫，它可以遍历本地icq中的联络人清单来传播自身。而更多的对即时通讯软件形成安全隐患的病毒还正在陆续发现中，并有愈演愈烈的态势。截至目前，通过qq来进行传播的病毒已达上百种。 p2p，即对等互联网络技术(点对点网络技术)，它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。每天全球有成千上万的网民在通过p2p软件交换资源、共享文件。由于这是一种新兴的技术，还很不完善，因此，存在着很大的安全隐患。由于不经过中继服务器，使用起来更加随意，所以许多病毒制造者开始编写依赖于p2p技术的病毒。 通过网络游戏传播: 网络游戏已经成为目前网络活动的主体之一，更多的人选择进入游戏来缓解生活的压力，实现自我价值，可以说，网络游戏已经成了一部分人生活中不可或缺的东西。对于游戏玩家来说，网络游戏中最重要的就是装备、道具这类虚拟物品了，这类虚拟物品会随着时间的积累而成为一种有真实价值的东西，因此出现了针对这些虚拟物品的交易，从而出现了偷盗虚拟物品的现象。一些用户要想非法得到用户的虚拟物品，就必须得到用户的游戏帐号信息，因此，目前网络游戏的安全问题主要就是游戏盗号问题。由于网络游戏要通过电脑并连接到网络上才能运行，偷盗玩家游戏账号、密码最行之有效的武器莫过于特洛伊木马(trojan horse)，专门偷窃网游账号和密码的木马也层出不穷，这种攻击性武器无论是菜鸟级的黑客，还是研究网络安全的高手，都视为最爱。 2.局域网传播 局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应用为企业的发展作出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。同时，由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。 3.通过不可移动的计算机硬件设备传播 此种传播方式，是通过不可移动的计算机硬件设备进行病毒传播，其中计算机的专用集成电路芯片(asic)和硬盘为病毒的重要传播媒介。通过asic传播的病毒极为少见，但是，其破坏力却极强，一旦遭受病毒侵害将会直接导致计算机硬件的损坏，检测、查杀此类病毒的手段还需进一步的提高。 硬盘是计算机数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬盘传播计算机病毒的途径是:硬盘向软盘上复制带毒文件、带毒情况下格式化软盘、向光盘上刻录带毒文件、硬盘之间的数据复制，以及将带毒文件发送至其它地方等。 4.通过移动存储设备传播 更多的计算机病毒逐步转为利用移动存储设备进行传播。移动存储设备包括我们常见的软盘、磁带、光盘、移动硬盘、u盘(含数码相机、mp3等)、zip和jaz磁盘，后两者仅仅是存储容量比较大的特殊磁盘。软盘主要是携带方便，早期在网络还不普及时，软盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生“温床”。光盘的存储容量大，所以大多数软件都刻录在光盘上，以便互相传递;同时，盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径。随着大容量可移动存储设备如zip盘、可擦写光盘、磁光盘(mo)等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。 随着时代的发展，移动硬盘、u盘等移动设备也成为了新攻击目标。而u盘因其超大空间的存储量，逐步成为了使用最广泛、最频繁的存储介质，为计算机病毒寄生的提供更宽裕的空间。目前，u盘病毒逐步的增加，使得u盘成为第二大病毒传播途径。 5.无线设备传播 目前，这种传播途径随着手机功能性的开放和增值服务的拓展，已经成为有必要加以防范的一种病毒传播途径。随着智能手机的普及，通过彩信、上网浏览与下载到手机中的程序越来越多，不可避免的会对手机安全产生隐患，手机病毒会成为新一轮电脑病毒危害的“源头”。手机、特别是智能手机和3g网络发展的同时，手机病毒的传播速度和危害程度也与日俱增。通过无线传播的趋势很有可能将会发展成为第二大病毒传播媒介，并很有可能与网络传播造成同等的危害。 病毒的种类繁多，特性不一.4.2计算机病毒传播途径计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种： (1）通过软盘 通过使用外界被感染的软盘，例如，不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘，使机器感染病毒发病，并传染给未被感染的“干净”的软盘。大量的软盘交换，合法或非法的程序拷贝，不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2）通过硬盘 通过硬盘传染也是重要的渠道，由于带有病毒机器移到其它地方使用、维修等，将干净的软盘传染并再扩散。 (3）通过光盘 因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。 (4）通过网络 这种传染扩散极快，能在很短时间内传遍网络上的机器。 随着internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。 4.3计算机病毒的传染计算机病毒的传染分两种。一种是在一定条件下方可进行传染,即条件传染。另一种是对一种传染对象的反复传染即无条件传染。 从目前蔓延传播病毒来看所谓条件传染，是指一些病毒在传染过程中，在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时，发现有自己的标志则不再进行传染，如果是一个新的系统或软件，首先读特定位置的值，并进行判断，如果发现读出的值与自己标识不一致，则对这一系统或应用程序，或数据盘进行传染，这是一种情况；另一种情况，有的病毒通过对文件的类型来判断是否进行传染，如黑色星期五病毒只感染.com或.exe文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘，又可以感染软盘，但对b驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.exe文件就进行一次传染，再运行再进行传染反复进行下去。 可见有条件时病毒能传染，无条件时病毒也可以进行传染4.4计算机病毒的过程在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。而病毒利用系统int 13h读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中，再感染其他系统。 可执行文件感染病毒后又怎样感染新的可执行文件? 可执行文件.com或.exe感染上了病毒，例如黑色星期五病毒，它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下操作： （1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒； （2）当条件满足，利用int 13h将病毒链接到可执行文件的首部或尾部或中间，并存大磁盘中； （3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。 操作系统型病毒是怎样进行传染的? 正常的pc dos启动过程是： （1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测； （2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入boot引导程序到内存的0000: 7c00处； （3）转入boot执行； （4）boot判断是否为系统盘，如果不是系统盘则提示； non-system disk or disk error replace and strike any key when ready 否则,读入ibm bio-com和ibm dos-com两个隐含文件； （5）执行ibm biocom和ibm dos-com两个隐含文件，将command-com装入内存； （6）系统正常运行，dos启动成功。 如果系统盘已感染了病毒，pc dos的启动将是另一番景象，其过程为： （1）将boot区中病毒代码首先读入内存的0000: 7c00处； （2）病毒将自身全部代码读入内存的某一安全地区、常驻内存，监视系统的运行； （3）修改int 13h中断服务处理程序的入口地址，使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘，都离不开对磁盘的读写操作，修改int 13h中断服务程序的入口地址是一项少不了的操作； （4）病毒程序全部被读入内存后才读入正常的boot内容到内存的0000: 7c00处，进行正常的启动过程； （5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。 如果发现有可攻击的对象，病毒要进行下列的工作： （1）将目标盘的引导扇区读入内存，对该盘进行判别是否传染了病毒； （2）当满足传染条件时，则将病毒的全部或者一部分写入boot区，把正常的磁盘的引导区程序写入磁盘特写位置； （3）返回正常的int 13h中断服务处理程序，完成了对目标盘的传染。 操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么? 因为操作系统型病毒只有在系统引导时才进入内存，开始活动，对非系统盘感染病毒后，不从它上面引导系统，则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来，然后将带毒盘重新格式化即可。第五章：计算机病毒的破坏行为4.1计算机病毒的行为计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，而且难以做全面的描述，根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下： 攻击系统数据区，攻击部位包括：硬盘主引寻扇区、boot扇区、fat表、文件目录等。迫使计算机空转，计算机速度明显下降。 攻击磁盘，攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。 扰乱屏幕显示，病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。 键盘病毒，干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒，许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音，有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富，已发现的喇叭发声有以下方式：演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。 攻击cmos ， 在机器的cmos区中，保存着系统的重要数据，例如系统时钟、磁盘类型、内存容量等。有的病毒激活时，能够对cmos区进行写入动作，破坏系统cmos中的数据。 干扰打印机，典型现象为：假报警、间断性打印、更换字符等。4.2计算机病毒的危害会造成计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，中国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，前一段时间发现的cih、美丽莎等病毒更是给社会造成了很大损失。1.3计算机病毒的症状1.计算机系统运行速度减慢。 2.计算机系统经常无故发生死机。 3.计算机系统中的文件长度发生变化。 4.计算机存储的容量异常减少。 5.系统引导速度减慢。 6.丢失文件或文件损坏。 7.计算机屏幕上出现异常显示。 8.计算机系统的蜂鸣器出现异常声响。 9.磁盘卷标发生变化。 10.系统不识别硬盘。 11.对存储系统异常访问。 12.键盘输入异常。 13.文件的日期、时间、属性等发生变化。 14.文件无法正确读取、复制或打开。 15.命令执行出现错误。 16.虚假报警。 17.换当前盘。有些病毒会将当前盘切换到c盘。 18.时钟倒转。有些病毒会命名系统时间倒转，逆向计时。 19.windows操作系统无故频繁出现错误。 20.系统异常重新启动。 21.一些外部设备工作异常。 22.异常要求用户输入密码。 23.word或excel提示执行“宏”。 24.使不应驻留内存的程序驻留内存4.3计算机病毒的危害会造成计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，中国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，前一段时间发现的cih、美丽莎等病毒更是给社会造成了很大损失。第五章：计算机病毒的触发机制第六章：计算机病毒的防治6.1预防计算机病毒如何检查笔记本是否中了病毒？以下就是?检查步骤： 一、进程首先排查的就是进程了，方法简单，开机后，什么都不要启动！ 第一步：直接打开任务管理器，查看有没有可疑的进程，不认识的进程可以google或者百度一下。 第二步：打开冰刃等软件，先查看有没有隐藏进程（冰刃中以红色标出），然后查看系统进程的路径是否正确。 第三步：如果进程全部正常，则利用wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。 二、自启动项目进程排查完毕，如果没有发现异常，则开始排查启动项。 第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有microsoft服务”复选框，然后逐一确认剩下的服务是否正常（可以凭经验识别，也可以利用搜索引擎）。 第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。 第三步，用autoruns等，查看更详细的启动项信息（包括服务、驱动和自启动项、iebho等信息）。 三、网络连接adsl用户，在这个时候可以进行虚拟拨号，连接到internet了。然后直接用冰刃的网络连接查看，是否有可疑的连接，对于ip地址如果发现异常，不要着急，关掉系统中可能使用网络的程序（如迅雷等下载软件、杀毒软件的自动更新程序、ie浏览器等），再次查看网络连接信息。 四、安全模式重启，直接进入安全模式，如果无法进入，并且出现蓝屏等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除！ 五、映像劫持y_local_machinesoftwaremicrosoftwindowsntcurrentversionimagefileexecutionopti，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。 六、cpu时间如果开机以后，系统运行缓慢，还可以用cpu时间做参考，找到可疑进程，方法如下： 打开任务管理器，切换到进程选项卡，在菜单中点“查看”，“选择列”，勾选“cpu时间”，然后确定，单击cpu时间的标题，进行排序，寻找除了systemidleprocess和system以外，cpu时间较大的进程，这个进程需要引起一定的警惕。6.2.1消除计算机方法纵观计算机病毒的发展历史，大家可以看出，计算机病毒已经从最初的挤占cpu资源、破坏硬盘数据逐步发展成为破坏计算机硬件设备，并向着更严重的方向发展(战略武器)，有谁能保证它们未来不破坏更重要的东西呢？怎样保护电脑，怎样使自己不因病毒作祟而蒙难、使病毒危机不引起我们的生存危机？最重要的是采取各种安全措施预防病毒，不给病毒以可乘之机。另外，就是使用各种杀毒程序，把病毒杀死，从电脑中清除出去。 （1） 预防病毒是最重要的杀毒软件做得再好，也只是针对已经出现的病毒，它们对新的病毒是无能为力的。而新的病毒总是层出不穷，并且在internet高速发展的今天，病毒传播也更为迅速。一旦感染病毒，计算机就会受到不同程度损害。虽然到最后病毒可以被杀掉，但损失却是无法挽回的。预防病毒要注意以下事项： 重要的是不要随便拷贝来历不明的软件，不要使用未经授权的软件。游戏软件和网上的免费软件是病毒的主要载体，使用前一定要用杀毒软件检查，防患于未然。一般不要在工作机上玩游戏。 给系统盘与文件加以写保护，防止被感染。 系统和重要软件及时备份，以防系统遭到破坏时，把损失降到最小限度。在计算机没有染毒时，一定要做一张或多作几张系统启动盘。因为很多病毒虽然杀除后就消失了，但也有些病毒在电脑一启动时就会驻留在内存中，在这种带有病毒的环境下杀毒只能把它们从硬盘上杀除，而内存中还有，杀完了立刻又染上，所以想要杀除它们的话，一定要用没有感染病毒的启动盘从软盘启动，才能保证电脑启动后内存中没有病毒。也只有这样，才能将病毒彻底杀除。再强调一下，备份文件和做启动盘时一定要保证你的电脑中是没有病毒的，否则的话只会适得其. 经常用清除杀毒软件对计算机作检查，及时发现病毒、消除病毒.（2） 清除病毒尽管采取了各种预防措施，有时仍不免会染上病毒。因此，检测和消除病毒仍是用户维护系统正常运转所必须的工作。目前流行的杀毒软件较多，有：kv300、kill、瑞星、pc cillin、nav、mcafee等。使用这些软件时必须先用杀毒盘或干净(保证无毒)的系统软盘启动。 现介绍其中一种kv300的使用。 启动与杀毒kv300的杀毒软盘本身就是启动盘。我们可以用kv300杀毒盘启动电脑。用启动软盘启动后，电脑不会进入我们平时看到的windows 98，而是进入字符的状态，也叫做dos命令行状态。在dos中，我们输入文件名，然后加回车，就可以运行它。 如果不是用“kv300”的软盘启动， 则先取出启动盘， 再把“kv300”软盘放入软驱。否则，就不用换盘了。现在我们输入杀毒软件的名称“kv300”，这是杀毒程序的名字，然后回车就可以运行它。 v300启动后的默认状态是等候杀毒，只要告诉它一个盘符就立即开始杀毒了，比如想杀c盘上的病毒，就按字母c。想杀a盘就按a。这是最基本的用法。 备份硬盘引导区信息。引导区是磁盘的特殊区域，系统启动时要读入引导区的信息。有的病毒会破坏引导区，这样在系统启动读入引导区信息时，病毒就会趁机跑到内存里，使系统环境染上病毒，严重的可能会使硬盘无法使用。如果你曾经在没有染毒时为硬盘的引导区信息做过备份，这时将它恢复到硬盘上就能把引导区病毒清除了。那该怎么做这个备份呢？ 在确定电脑没有染毒的情况下，在dos的提