学习电脑技术病毒研究

1、定义 一、计算机例中被明确定义，(Computer)在中民指编制或者在计算机程序中计算机信息系统安全保护条的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我的一组计算机指令或者程序代码”。二、计算机的长期毒往往会利用计算机操作系统的弱点进行，提高系统的安全性是防的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于检查，系统失去了可用性、实用性和易用性，另一方面，信息的要求让人们在泄密和抓住之间无法选择。与反将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。三、计算机的产生不是来源于突发或偶然的原因一次突发的停电和偶然的错误，会在计

2、算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和的，则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的是由人为故意编写的，多数可以找到作者和产地信息，从大量的统计分析来看，作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了，为了祝贺和求爱，为了得到控制口令，为了拿不到预留的陷阱等当然也有因政事，的测试，民族专利等方面的需求而专门编写的，其中也包括一些研究机构和四、计算机的特点，计算机

3、具有以下几个特点：（1） 寄生性 计算机寄生在其他程序之中，当执行这个程序时，就起破坏作用，而在未启动这个程序之前，它是不易发觉的。（2） 传染性 计算机不但本身具有破坏性，更有害的是具有传染性，一旦被通过传或产生变种，其速度之快令人难以预防。传染性是的基本特征。在生物界，染从一个生物体扩散到另一个生物体。在适当的条件下，它到大量繁殖，井使被的生物体到未被病症甚至。同样，计算机也会通过各种从已被的计算机扩散的计算机，在某些情况下造成被的计算机工作失常甚至瘫痪。与生物不同的是，计算机是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或介质，确

4、定目标后再将自身代码其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被。而被的文件又成了新的传染源，再与其他机器进行或通过网络接触，会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而传染到一切符合其传染条件的未受到传染的程序之上。计算机却能使自身的代码强行可通过各种可能的，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了时，往往曾在这台计算机上用过的软盘已上了，而与这台机器相联网的其他计算机也许也被该染上了。是否具有传染性是判别一个程序是否为计算机的最重要条件。程序通过修改

5、磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到序叫做宿主程序；的传染和扩散。被嵌入的程（3） 潜伏性 有些像定时一样，让它什么时间发作是预先设计好的。比如黑色星期五，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就开来，对系统进行破坏。一个编制精巧的计算机程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不发现，潜伏性愈好，其在系统中的存在时间就会愈长，的传染范围就会愈大。 潜伏性的第一种表现是指，程序不用检测程序是检查不出来的，因此可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩

6、散，继续为害。潜伏性的第二种表现是指，计算机的往往有一种触发机制，不满足触发条件时，计算机除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、键盘以及使系统死锁等；（4） 隐蔽性 计算机具有很强的隐蔽性，有的可以通过检查出来，有的根本。就查不出来，有的时隐时现、变化无常，这类处理起来通常很（5）破坏性 计算机到不同程度的损坏 ；后，可能会导致正常的程序无法运行，把计算机内的文件删除或受（6）计算机的可触发毒因某个事件或数值的出现，诱使实施或进行的特性称为可触发性。为了隐蔽自己，必须潜伏，少做

7、动作。如果完全不动，一直潜伏的话，既不能也不能进行破坏，便失去了毒的触发机制就是用来控制力。既要隐蔽又要维持力，它必须具有可触发和破坏动作的频率的。具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。运行时，触发机制检查预定条件是否满足，如果满足，启动或破坏动作，使进行或；如果不满足，使五、计算机继续潜伏。分类，根据多年对计算机的研究，按照科学的、系统的、严密的方法，计算机可分类如下：按照计算机属性的方法进行分类，计算机可以根据下面的属性进行分类：按照计算机存在的进行分类根据通过计算机网络存在的，可以划分为网络，文件，引导型。网络网络中的可执行文件，文件启动扇区（Boot）

8、和硬盘的系计算机中的文件（如：COM，EXE，DOC 等），引导型统引导扇区（MBR），还有这三种情况的混合型，例如：多型（文件和引导型）文件和引导扇区两种目标，这样的统，同时使用了加密和变形算法。通常都具有复杂的算法，它们使用非常规的办法侵入系按照计算机，驻留型传染的方法进行分类根据传染的方法可分为驻留型和非驻留型计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型在得到机会激活时并不计算机内存,一些在内存中留有小部分,但是并不通过这一部分进行传染,这类毒破坏的能力可划分为以下几种：无害型也被划分为非

9、驻留型。根据病除了传染时减少磁盘的可用空间外，对系统没有其它影响。无型这类仅仅是减少内存、显示图像、发出声音及同类音响。型，这类在计算机系统操作中造成严重的错误。非常这类型删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些对系统造成的危害，并不是本身的算法中存在的调用，而是当它们传染时会引起无法预料的和性的破坏。由引起其它的程序产生的错误也会破坏文件和扇区，这些也按照他们引起的破坏能力划分。一些现在的无害型也可能会对新版的 DOS、Windows 和其它操作系统造成破坏。例如：在早期的中，有一个“Denzuk”在 360K 磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘

10、上却能引起大量的数据丢失。根据特有的算法，可以划分为：伴随型，这一类并不改变文件本身，它们根据算法产生 EXE 文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE 的伴随体是。把自身写入COM 文件并不改变EXE 文件，当 DOS 加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE 文件。“蠕虫”型，通过计算机网络，不改变文件和资料信息，利用网络从一台机器的内存到其它机器的内存，计算网络地址，将自身的通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型除了伴随和“蠕虫”型，其它均可称为寄生型，它们依附在系统的引导扇区或文件中，通过系统的功

11、能进行，按其算法不同可分为：练习型，自身包含错误，不能进行很好的，例如一些在调试阶段。诡秘型DOS变型它们一般不直接修改 DOS 中断和扇区数据，而是通过设备技术和文件缓冲区等修改，不易看到资源，使用比较高级的技术。利用 DOS 空闲的数据区进行工作。（又称） 这一类使用一个复杂的算法，使自己每一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的成。算法和被变化过的体组六、计算机的发展，在的发展史上，的出现是有规律的，一般情况下一种新的技术的发展会抑制其流传。操作系统升级后，技术出现后，迅速发展，接着反也会调整为新的方式，产生新的DOS 引导阶段技术。它可划分为：1987 年，计算机

12、主要是引导型，具有代表性的是“小球”和“石头”。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行；,引导型 DOS 可执行阶段发展为可以硬盘,典型的代表有“石头 2”；,可执行文件型出现,它们利用 DOS 系统加载执行文件的机制工作,代表为“,代码在系统执行文件时取得控制权,修改 DOS 中断,在系统调用撒冷”,“天”时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990 年 发展为复合型伴随、批次型阶段可和 EXE 文件

13、。1992 年,伴随型出现,它们利用 DOS 加载文件的优先顺序进行工作，具有代表性的是“金蝉”,它EXE 文件时生成一个和EXE 同名但扩展名为COM 的伴随体；它文件时,，这样,改原来的COM 文件为同名的EXE 文件 再产生一个原名的伴随体文件扩展名为在 DOS 加载文件时,就取得控制权.这类的特点是不改变原来的文件内容,日期及属性,解除时只要将其伴随体删除即可。在非 DOS 操作系统中,一些伴随型利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”口令,然后返回一个出错信息,将自身删除。批次型,它在得到执行时,询问用户名称和是工作在 DOS 下的和“海盗旗”类似的一类、多形阶段。

14、1994 年,随着汇编语言的发展,实现同能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。就是利用这个特点,每一次就产生不同的代码。例如“一半”在前的数据中,查解这类就是产生一段有上亿种可能的就必须能对这段数据进行运算程序,体被隐藏,加大了查毒的难度。多形型是一种综合毒,它既能引导区又能程序区,多数具有算法,一种往往要两段以上的子程序方能解除。,变体机阶段1995 年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的成，当加一些空操作和无关指令,也不影响运算的结果,这样,一段算法就可以由生的生成结果为时,就产生了这种复杂的“” ，而

15、变体机就是增制造机” VCL,它可以在瞬复杂程度的指令生成机制。这一阶段的典型代表是“间制造出成千上万种不同的,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,后查解。网络,蠕虫阶段1995 年,随着网络的普及,开始利用网络进行,它们只是以上几代的改进.在非DOS 操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行中存在。视窗阶段，有时也在网络服务器和启动文件1996 年,随着 Windows 和 Windows95 的日益普及,利用 Windows 进行工作的开始发展,它们修改(NE,PE)文件,典型的代表是

16、 DS.3873,这类的机制更为复杂,它们利用保护模式和API 调用接口工作,解除方法也比较复杂。宏阶段 1996 年,随着 Windows Word 功能的增强,使用 Word 宏语言也可以编制,这种使用类 Basic 语言、编写容易、Word 文档等文件，在 Excel 和 AmiPro 出现的相同工作机制的也归为此类，由于 Word 文档格式没有公开，这类互连网阶段查解比较；1997 年,随着因特网的发展,各种也开始利用因特网进行,一些携带的数据包和邮件越来越多,如果不打开了这些邮件,机器就有可能爪哇(Java),邮件阶段；1997 年,随着网（Wold Wide Web）上 Java

17、的普及,利用 Java 语言进行和资料获取的和破坏的病开始出现,典型的代表是 JavaSnake，还有一些利用邮件服务器进行毒，例如-Bomb，它会严重影响因特网的效率。七、其他的破坏行为，计算机的破坏行为体现了的能力。破坏行为的激烈程度取决于作者的愿望和他所具有的技术能量。数以万计不断发展扩张的，其资料破坏行为千奇百怪，不可能穷举其破坏行为，而且难以做全面的描述，根据现有的可以把的破坏目标和部位归纳如下：系统数据区，部位包括：硬盘主引寻扇区、Boot 扇区、FAT 表、文件目录等。一般来说，系统数据区的是恶毒，受损的数据不易恢复。文件，对文件的方式很多，可列举如下：删除、改名、替换内容、丢失

18、部分程序代码、内容颠倒、写入时间空白、变碎片、文件、丢失文件簇、的主要目标之一，病丢失数据文件等。内存，内存是计算机的重要资源，也是毒额外地占用和消耗系统的内存资源，可以导致一些较的大程序难以运行。内存的方式如下：占用大量内存、改变内存总量、分配内存、蚕食内存等。干扰系统运行，此类型会干扰系统的正常运行，以此作为自己的破坏行为，此类行为也是花样繁多，可以列举下述诸方式：不执行命令、干扰命令的执行、虚假、使文件打不开、使栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制、扰乱串行口、并行口等。 速度下降，激活时，其的时间延迟程序启动，在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显

19、下降。磁盘，磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。 扰乱屏幕显示扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖写、吃字符等。 键盘，干扰键盘操作，已发现有下述方式：响铃、键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭，许多运行时，会使计算机的喇叭发出响声。有的作者通过喇叭发出种种声音，有的作者让演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富，已发现的喇叭有以下方式：演奏曲子、警笛声、噪声、鸣叫、咔咔声、嘀嗒声等。CMOS ， 在机器的 CMOS 区中，保存着系统的重要数据，例如系统时钟、磁盘类型、内存容量等，并具有校验和。有

20、的激活时，能够对CMOS 区进行写入动作，破坏系统 CMOS 中的数据。 干扰，典型现象为：假、间断性打印、更换字符等。八、计算机的危害性，计算机资源的损失和破坏，不但会造成资源和的巨大浪费，而且有可能造成社会性的毒的任务也更加艰巨了。，随着信息化社会的发展，计算机的日益严重，反病年月 日下午 时 分秒，康奈尔大学的计算机科学系有数，23 岁的（Morris）将其编写的蠕虫程序输入计算机网络，致使这个拥计算机的网络被堵塞。这件事就像是计算机界的一次，引起了巨大反响，震重视和致力于计算机病，它对统计系统影响惊全世界，引起了人们对计算机毒研究。1988 年下半年，我国在的，也使的计算机系统首次发现

21、了“小球”极大，此后由计算机发作而引起的“事件”接连不断，前一段时间发现的CIH、美丽杀等更是给社会造成了很大损失。预防 首先，上重视，加强管理，止的。凡是从外来的软盘往机器中拷信息，都应该先对软盘进行查毒，若有必须清除，这样可以保证计算机不被新的传染。此外，由于具有潜伏性，可能机器中还隐蔽着某些旧，一旦时机成熟还将发作，重视是基础，采取有效的查毒所以，要经常对磁盘进行检查，若发现就及时杀除。与方法是技术保证。检查与消除目前通常有两种，一种是在计算机中加一块防卡，另一种是使用防工作原理基本一样，一般用防的用户一些。切记要注意一点，预防与消除懈。是一项长期的工作任务，不是一劳永逸的，应坚持不计算

22、机计算机是在什么情况下出现的?的产生是计算机技术和以计算机为的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机是计算机的一种新的衍化形式计算机刺激了是高技术意识和, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而活动。是某些人恶作剧和心态在计算机应用领域的表现；（2）计算机软硬件产品的脆弱性是根本的技术原因计算机是电子产品。数据从输入、处理、输出等环节, 易误入、篡改、丢失、和破坏；程序易被删除、改写；计算机设计工方式, 效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些

23、脆弱性就为的侵入提供了方便；（3）微机的普及应用是计算机产生的必要环境。首次提出了计算机1983 年 11 月 3 日计算机的概念并进行了验证。几年前计算机就迅速蔓延，到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件高，基本上没安全措施, 能够透彻了解它结构的用户日益增多，对其存在的缺点和易处也了解的越来越清楚，不同的目的可以做出截然不同的选择。目前，在 IBM PC 系统及其兼容机上广泛流行着各种病毒就很说明这个问题。预防的八点注意事项1、备好启动软盘，并贴上写保护。 检查电脑，最好应在没有干扰的环境下进行，才能测出真正的原因，或解决的

24、侵入。因此，在安装系统之后，应该及时做一张启动盘，以备不时之需。2、重要资料，必须备份。资料是最重要的，程序损坏了可重新拷贝或再买一份，但是自己键入的资料，可能是三年的会计资料或画了三个月的图纸，结果某一天，硬盘坏了或者因为而损坏了资料，会让人欲哭无泪，所以对于重要资料经常备份是绝对必要的。3、尽量避免在无防毒的机器上使用可移动介质。一般人都以为不要使用别人的磁盘，即可防毒，但是不要随便用别人的电脑也是非常重要的，否则有可能带一大堆回家。4、使用新时，先用扫毒程序检查，可减少机会。5、准备一份具有杀毒及保护功能的，将有助于杜绝。6、重建硬盘是有可能的，救回的机率相当高。若硬盘资料已遭破坏，不必

25、急着格式化，因不可能在短时间内将全部硬盘资料破坏，故可利用杀毒加以分析，恢复至受损前状态。7、不要在互联网上随意。的一大途径，就是ernet。潜伏在网络上的各种可程序中，如果你随意、随意打开，对于制造者来说，可真是再好不过了。因此，不要免费，如果实在需要，请在后执行杀毒彻底检查。，都是通过电子邮件8、不要轻易打开电子邮件的附件。近年来造成大规模破坏的许多的。不要以为只打开熟人发送的附件就一定保险，有的会自动检查受害人电脑上的并向其中的所有地址自动发送带毒文件。最妥当的做法，是先将附件保存下来，不要打开，先用查毒问答计算机彻底检查。寄生方式有哪几种?（1）寄生在磁盘引导扇区中：任何操作系统都有个

26、自举过程, 例如 DOS 在启动时, 首先由系统读入引导扇区并执行它, 将 DOS 读入内存。程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其扇区标志为坏簇。这样, 系统的一次初始化,的其他部分放到磁盘的其他空间, 并给这些就被激活了。它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如13H 中断（磁盘读写中断）向量的修改, 置时钟的某一值为条件等, 最后引入正常的操作系统。以后一旦触发条件成熟, 如一个磁盘读或写的请求,就被触发。如果磁盘没有被（通过识别标志）则进行传染。（2）寄生在可执行程序中：这种寄生在正常的可执行程序中, 一旦程序执行就被激活, 于是程序首

27、先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序,程序也可能在执行正常程序之后再置触发条件等工作。可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证成为源程序的一部分, 并在执行时首先执行它。这种传染性比较强。（3）寄生在硬盘的主引导扇区中：例如关。是怎么命名的?硬盘的主引导扇区, 该扇区与 DOS 无很多时候大家已经用杀毒查出了自己的机子中了例如 Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的名，这时有些人就蒙了

28、，那么长一串的名字，我怎么知道是什么其实只要掌握一些啊？名规则，就能通过杀毒的中出现的名来判断该的一些共有的特性了：一般格式为：.前缀是指一个其前缀也是不同的。比如等还有其他的。名是指一个的种类，他是用来区别的种族分类的。不同的种类的，Trojan ，蠕虫的前缀是 Worm 等常见的木马的前缀的特征，是用来区别和标识的，如以前着名的 CIH的名都是的“CIH ”，振荡波蠕虫的名是“Sasser ”。的某个变种的。一后缀是指一个的变种特征，是用来区别具体某个般都采用英文中的 26 个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫的变种 B，因此一般称为 “振荡波B 变种”或者“振

29、荡波变种B”。如果该数字与字母混合表示变种标识。变种非常多，可以采用下面附带一些常见的(1)系统前缀的解释（针对用得最多的 Windows 操作系统）：系统是可以毒。(2)蠕虫蠕虫的前缀为：Win32、PE、Win95、W32、W95 等。这些的一般共有的特性windows 操作系统的 *.exe 和*.dll 文件，并通过这些文件进行。如 CIH 病的前缀是：Worm。这种的共有特性是通过网络或者系统进行，很大部分的蠕虫都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。(3)木马、木马其前缀是：Trojan，前缀名一般为 Hack 。木马的共有特性是通过

30、网络或者系统进入用户的系统并隐藏，然后向外界用户的信息，而则有一个可视的界面，能对用户的电脑进行控制。木马、则会通过该木马消息尾巴木马往往是成对出现的，即木来进行控制。现在这两种类型马负责侵入用户的电脑，而都越来越趋向于整合了。一般的木马如3344 ，还有大家可能遇Trojan.见比较多的针对的木马如Trojan.LMir.PSW.60 。这里补充一点，名中有PSW 或者什么 PWD 之类的一般都表示这个码”的英文“password”的缩写）一些(4)的前缀是：Script。有盗取的功能（这些字母一般都为“密程序如：网络枭雄（Hack.Nether.C nt）等。的共有特性是使用语言编写，通过

31、网页进行的的，如红色代码（Script.Redlof）。还会有如下前缀：VBS、JS（表明是何种编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。(5)宏其实宏是也是的一种，由于它的特殊性，因此在这里单独算成一类。宏的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只WORD97 及以前版本 WORD 文档的采用 Word97 做为第二前缀，格式是：Macro.Word97；凡是只WORD97 以后版本 WORD 文档的采用 Word 做为第二前缀，格式是：Macro.Word；凡是

32、只EXCEL97 及以前版本 EXCEL 文档的采用Excel97 做为第二前缀，格式是：Macro.Excel97；凡是只EXCEL97 以后版本 EXCEL 文档的能采用 Excel 做为第二前缀，格式是：Macro.Excel，以此类推。该类的共有特性是OFFICE 系列文档，然后通过 OFFICE 通用模板进行， 如： 着名的美丽莎（Macro.Melissa）。(6)后门后门的前缀是：Backdoor。该类的共有特性是通过网络，给系统开后门，给用户电脑带来安全隐患。(7)种植程序这类的共有特性是运行时会从体内出一个或几个新的到系统目录下，由出来的新产生破坏。 如：冰河播种者（ Dro

33、pper.BingHe2.2C ）、MSN 射手（Dropper.Worm.Smibag）等。(8)破坏性程序破坏性程序的前缀是：Harm。这类的共有特性是本身具有好看的图标来用户点击，当用户点击这类时，便会直接对用户计算机产生破坏。如：格式化 C mand.Killer）等。盘（Harm.formatC.f）、(9)玩笑命令（玩笑的前缀是：Joke。也称恶作剧。这类的共有特性是本身具有好看的图标来用户点击，当用户点击这类时，会做出各种破坏操作来吓唬用户，其实并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girl ghost）机。(10)机的前缀是：Binder。这类的共有特性是作者会使用

34、特定的程序将些与一些应用程序如、IE起来，表面上看是一个正常的文件，当用户运行这时，会表面上运行这些应用程序，然后隐藏运行在一起的，从而给用户造成危害。如：以上为比较常见的单提一下：（Binder.Pass.Bin）、系统（Binder.killsys）等。前缀，有时候还会看到一些其他的，但比较少见，这里简DoS：会针对某台主机或者服务器进行 DoS；Exploit：会自动通过溢出对方或者自己的系统用于 Hacking 的溢出工具；来自身，或者他本身就是一个HackTool：替身去破坏别人。工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做你可以在查出某个以后通过以上所说的方法来初步

35、判断所中的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助计算机计算机的工作过程应包括哪些环节?的完整工作过程应包括以下几个环节：传染源：传染媒介：总是依附于某些介质, 例如软盘、 硬盘等传染源。传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。（3）激活：是指将装入内存, 并设置触发条件, 一旦触发条件成熟,就开始作用自我到传染对象中, 进行各种破坏活动等。（4）触发：计算机一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是时钟, 系统的日期, 用户标识符，也可能是系次通信等等。（5）表现：表

36、现是的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统技术能够触发到的地方, 都在其表现范围内。数据。可以这样说, 凡是（6）传染：的传染是性能的一个重要标志。在传染环节中,一个自身副本到传染对象中去。不同种类的计算机的传染方法有何不同?从的传染方式上来讲, 所有到目前为止可以归结于三类：用户程序的计算机病毒；操作系统文件的计算机；磁盘引导扇区的计算机。这三类的传染方式均不相同。用户应用程序的计算机的传染方式是以的方式对应用程序进行传染。这种在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就在应用程序中, 完成传染,

37、返回正常的应用程序并继续执行。操作系统文件的计算机的传染方式，是通过与操作系统中所有的模块或程序来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的是通过某个操作系统中的程序或模块并随着它们的运行进入内存的进入内存后就判断是否满足条件时则进行传染。磁盘引导扇区的的传染方式, 从实质上讲 Boot 区传染的是将其自身附加到软盘或硬盘的Boot 扇区的引导程序中, 并将的全部或部分存入引导扇区 512B 之中。这种是在系统启动的时候进入内存中, 并取得控制权, 在系统运行的任何时刻都会保持对系统的控制, 时刻监视着系统中使用的新软盘。当一片新的软盘系统进行第一次读写

38、时,就将其传输出该软盘的 0 扇区中, 而后将传染下一个使用该软盘的系统。通过的软盘对系统进行引导是这种传染的主要途径。计算机计算机传染的先决条件是什么?的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件计算机是不会传染的, 因为计算机不启动不运行时就谈不上对磁盘的读写操作或数据共享, 没有磁盘的读写,就不到磁盘上或网络里。所以只要计算机运行就会有磁盘读写动作, 病毒传染的两个先条件就很容易得到满足。系统运行为驻留内存创造了条件,传染的第一步是驻留内存；一旦进入内存之后, 寻找传染机会, 寻找可的对象, 判断条件是否满足, 决定是否可传染；当条件满足时进行传染, 将写入磁盘系统。计算

39、机计算机的传染通过哪些途径?之所以称之为是因为其具有传染性的本质。传统通常有以下几种：（1）通过软盘：通过使用外界被的软盘, 例如, 不同来的系统盘、来历不明的、盘等是最普遍的传染途径。由于使用带有的软盘,使机器发病, 并传染给未被的“干净”的软盘。大量的软盘交换, 合法或的程序拷贝, 不加控制地随便在机器上使用各种造成了、泛滥蔓延的温床。（2）通过硬盘：通过硬盘传染也是重要的修等, 将干净的软盘传染并再扩散。, 由于带有机器移到其它地方使用、维（3）通过光盘：因为光盘容量大，了海量的可执行文件，大量的就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的不能清除。以谋利为目的盗版的制

40、作过程中，不可能为防护担负专门责任，也决不会有真正可靠可行的技术保障避免便利。的传入、传染、流行和扩散。当前，盗版光盘的泛滥给的带来了极大的（4）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着 毒的 自文件多数ernet 的风靡，给更迅速，反的又增加了新的途径，它的发展使可能成为，病的任务更加艰巨。 ernet 带来两种不同的安全，一种来，这些被浏览的或是被的文件可能存在。另一种来自电子邮件。大ernet 邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种越来越严重。计算机的传染是否

41、一定要满足条件才进行?不一定。计算机的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。从目前蔓延来看所谓条件传染, 是指一些在传染过程中, 在被传染的系统中的这一系统时, 发现有自己的标志则不特定位置上打上自己特有的示志。这一在再次再进行传染, 如果是一个新的系统或, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的通过对文件的类型来判断是否进行传染, 如黑色五只感染.COM 或.EXE 文件等等；还有一种情况有的是以计算机系统的某些设备

42、为判断条件来决定是否。例如可以也发现有的硬盘, 又可以软盘, 但对 B 驱动器的软盘进行读写操作时不传染。但对传染对象反复传染。例如黑色五只要发现.EXE 文件就进行一次传染, 再运行再进行传染反复进行下去。可见有条件时能传染, 无条件时也可以进行传染。微型计算机对系统的影响表现在哪些方面?计算机对微型计算机而言，它的影响表现在：破坏硬盘的分区表, 即硬盘的主引导扇区。破坏或重写软盘或硬盘 DOS 系统 Boot 区即引导区。影响系统运行速度, 使系统的运行明显变慢。破坏程序或覆盖文件。破坏数据文件。格式化或者删除所有或部分磁盘内容。直接或间接破坏文件连接。使被程序或覆盖文件的长度增大。计算机

43、传染的一般过程是什么?在系统运行时,通过载体即系统的外器进入系统的内器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有的目标存在并满足条件时, 便从内存中将自身存入被的目标, 从而将进行。而利用系统13H 读写磁盘的中断又将其写入系统的外器软盘或硬盘中, 再其他系统。可执行文件后又怎样新的可执行文件?可执行文件.COM 或.EXE上了, 例如黑色五, 它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作：（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已了；（2）当条件满足, 利用中；13H 将到

44、可执行文件的首部或尾部或中间, 并存大磁盘（3）完成传染后, 继续监视系统的运行, 试图寻找新的目标。操作系统型是怎样进行传染的?正常的 PC DOS 启动过程是：加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测；检测正常后从系统盘 0 面 0 道 1 扇区即逻辑 0 扇区读入 Boot 引导程序到内存的 0000: 7C00 处；转入 Boot 执行；Boot 判断是否为系统盘, 如果不是系统盘则提示；non-system disk or disk errorReplace and strike any key when ready否则, 读入 IBM（5）执行 IBM和 I

45、BM和 IBM两个隐含文件；两个隐含文件, 将装入内存；（6）系统正常运行, DOS 启动成功。如果系统盘已（1）将 Boot 区中了, PC DOS 的启动将是另一番景象, 其过程为：代码首先读入内存的 0000: 7C00 处；（2）将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行；（3）修改13H 中断服务处理程序的地址, 使之指向控制模块并执行之。因为任何一种要软盘或者硬盘, 都离不开对磁盘的读写操作, 修改13H 中断服务程序的地址是一项少不了的操作；（4）程序全部被读入内存后才读入正常的Boot 内容到内存的 0000: 7C00 处, 进行正常的启动过程；（5）程

46、序伺机等待随时准备新的系统盘或非系统盘。如果发现有可的对象,要进行下列的工作：（1）将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了；（2）当满足传染条件时, 则将程序写入磁盘特写位置；的全部或者一部分写入 Boot 区, 把正常的磁盘的引导区（3）返回正常的13H 中断服务处理程序, 完成了对目标盘的传染。操作系统型操作系统型系统，则在什么情况下对软、硬盘进行?只有在系统引导时进入内存。如果一个软盘染有, 但并不从它上面引导不会进入内存,也就不能活动。例如圆点软盘、硬盘的引导区, 只要用带的盘启动系统后,便驻留内存, 对哪个盘进行操作, 就对哪个盘进行后最简单的处理方法是什么?。操作系

47、统型对非系统盘因为操作系统型只有在系统引导时才进入内存, 开始活动, 对非系统盘后, 不从它上面引导系统, 则不会进入内存。这时对已的非系统盘最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。目前发现的计算机主要症状有哪些?从目前发现的由于由于由于由于由于由于来看, 主要症状有：程序把自己或操作系统的一部分用坏簇隐起来, 磁盘坏簇莫名其妙地增多。程序附加在可执行程序头尾或插在中间, 使可执行程序容量增大。程序把自己的某个特殊标志作为, 使接触到的磁盘出现特别。使可用系统空间变小。本身或其品不断系统空间,程序的异常活动, 造成异常的磁盘程序附加或占用引导部分, 使系统导引变慢

48、。丢失数据和程序。中断向量发生变化。打印出现问题。死机现象增多。生成不可见的表格文件或特定文件。系统出现异常动作, 例如：突然死机, 又在无任何外界介入下, 自行起动。出现一些无意义的画面问候语等显示。程序运行出现异常现象或不合理的结果。磁盘的卷标名发生变化。系统不认识磁盘或硬盘不能引导系统等。在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。在使用写保护的软盘时屏幕上出现软盘写保护的提示。（19）异常要求用户输令相关常见Backdoor，危害级别：1，说明： 中文名称“后门”， 是指在用户不知道也不允许的情况下，在被的系统上以隐蔽的方式运行可以对被的系统进行控制，而且用户无

49、法通过正常的方法其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被的系统进行控制（如：文件管理、进程控制等）。Worm，危害级别：2，说明： 中文名称“蠕虫”，是指利用系统的、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC 等）、可移动介质（如：U 盘、软盘），这些方式自己的。这种类型的其子型行为类型用于表示所使用的方式。，危害级别：1 说明：通过邮件IM，危害级别：2，说明：通过某个不明确的载体或多个明确的载体自己MSN，危害级别：3，说明：通过MSN，危害级别：4，说明：通过 OICQ ICQ 危害级别：5，说明：通过 ICQ P2P，危害级别：6

50、，说明：通过 P2P IRC，危害级别：7，说明：通过 ICR其他，说明：不依赖其他介质。进行的方式，如：利用系统、共享目录、可移动Trojan ，危害级别：3，说明： 中文名称“木马”，是指在用户不知道也不允许的情况下，在被的系统上以隐蔽的方式运行，而且用户无法通过正常的方法其运行。这种通常都有利益目的，它的利益目的也就是这种的子行为。Spy，危害级别：1，说明：窃取用户信息（如文件等）PSW，危害级别：2，说明：具有窃取的行为DL，危害级别：3，说明：并运行，判定条款：没有可调出的任何界面,逻辑功能为:从某上文件加载或运行.逻辑条件的事件:事件 1、.不能正常或的文件不能判定为，操作准则:

51、该文件不能符合正常功能组件标识条款的,确定为:Trojan.DL事件 2.的文件是，操作准则:的文件是,确定为: Trojan.DLIMMSG，危害级别：4，说明：通过某个不明确的载体或多个明确的载体即时消息（这一行为与蠕虫的行为不同，蠕虫是自己，木马仅仅是即时消息即时消息即时消息即时消息消息）MSNMSG，危害级别：5，说明：通过MSN MSG，危害级别：6，说明：通过 OICQICQMSG，危害级别：7，说明：通过 ICQ UCMSG，危害级别：8，说明：通过 UCProxy ，危害级别：9，说明：将被的计算机作为服务器Clicker，危害级别：10，说明：点击指定的网页 ，判定条款：没有可