自动数141班-作品大刀队

关于电脑的PPT竞赛走近计算机病毒计算机病毒计算机病毒起源电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯诺伊曼(JohnVonNeumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯诺伊曼(JohnVonNeumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。1975年，美国科普作家约翰布鲁勒尔(JohnBrunner)写了一本名为《震荡波骑士》(ShockWaveRider)的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。1977年夏天，托马斯捷瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(TheAdolescenceofP-1)成为美国的畅销书，在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7，000台计算机，造成了一场灾难。虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间，美国着名的ATT贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做磁芯大战(corewar)的游戏，进一步将电脑病毒感染性的概念体现出来。1983年11月3日，一位南加州大学的学生弗雷德科恩(FredCohen)在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。不过，这种具备感染与破坏性的程序被真正称之为病毒，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论磁芯大战与苹果二型电脑(别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影)时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个病毒的名字可以称呼了。第一例引发人们关注的病毒：“耶路撒冷“1988年，13号星期五，一些国家的公司和大学遭到了“耶鲁撒冷”(Jerusalem)病毒的拜访。在这一天，病毒摧毁了电脑上所有想要执行的文件。从某种意义上，“耶路撒冷”病毒首次通过自己的破坏引起了人们对电脑病毒的关注。从欧洲到美洲以及中东都有“耶路撒冷”病毒的报告，该病毒因攻击了耶路撒冷大学而得名。"米开朗基罗"病毒米开朗基罗病毒也叫米氏病毒Michelangelo，于1991年4月被发现。估计来自瑞典或荷兰，是一个恶性的引导区型病毒。米氏病毒也是驻留内存的，占640KB之内的2KB高端内存。感染软盘的DOS引导扇区和硬盘的主引导扇区。高密度和低密度的软盘上，感染都将原引导扇区回写到软盘中，但扇区位置是不一样的。在360KB的低密软盘上，原引导扇区被覆盖写到根目录的最后一个扇区，与大麻病毒的方法是一样的。但对高密的1.2MB软盘，原引导扇区被写到第27扇区，落在根目录中，因此会造成损失。硬盘的主引导扇区也像大麻病毒一样被写到0面0道7扇区。众所周知的“熊猫烧香”史上超强电脑病毒:”Creeper“(1971年)最早的计算机病毒Creeper(根据老卡通片《史酷比(ScoobyDoo)》中的一个形象命名)出现在1971年，距今以后42年之久。当然在那时，Creeper还尚未被称为病毒，因为计算机病毒尚不存在。Creeper由BBN技术公司程序员罗伯特·托马斯(RobertThomas)编写，通过阿帕网(ARPANET，互联网前身)从公司的DECPDP-10传播，显示“我是Creeper，有本事来抓我呀!(I'mthecreeper，catchmeifyoucan!)”。Creeper在网络中移动，从一个系统跳到另外一个系统并自我复制。但是一旦遇到另一个Creeper，便将其注销。ElkCloner病毒(1982年):

里奇.斯克伦塔(RichSkrenta)在一台苹果计算机上制造了世界上第一个计算机病毒。1982年，斯克伦塔编写了一个通过软盘传播的病毒，他称之为“ElkCloner”，那时候的计算机还没有硬盘驱动器。该病毒感染了成千上万的机器，但它是无害的：它只是在用户的屏幕上显示一首诗，其中有两句是这样的：“它将进入你所有的磁盘/它会进入你的芯片。”机器狗病毒(2007年):机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户计算机带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe，userinit.exe，winhlp32.exe等)达到隐蔽启动;通过还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全病毒的特点：1．计算机病毒的特点计算机病毒具有以下几个特点：（1）寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。（2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难计算机病毒的表现形式：计算机受到病毒感染后，会表现出不同的症状：

（1）机器不能正常启动加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。（2）运行速度降低如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。（3）磁盘空间迅速变小由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。（4）文件内容和长度有所改变一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。（5）经常出现“死机”现象正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。（6）外部设备工作异常因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。病毒的发展趋势：（1）网络化：（2）人性化：（3）隐蔽化：（4）多样化:（5）平民化:

与传统的计算机病毒不同的是，许多新的病毒（恶意程序）是利用当前最新的基于因特网的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。例如“爱虫”病毒是用VBScript语言编写的，只要通过视窗操作系统下自带的编辑软件修改病毒代码中的一部分，就能轻而易举地制造病毒变种，以躲避反病毒软件的追击。

另外新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。“Kakworm”病毒虽然早在去年1月就被发现，但它的感染率一直居高不下，就是由于它利用ActiveX控件中存在的缺陷传播，装有IE5或Office2000的电脑都可能被感染。这个病毒的出现使原来不打开带毒邮件附件而直接删除的防邮件病毒方法完全失效。更为令人担心的是，一旦这种病毒被赋予其他计算机病毒的恶毒的特性，造成的危害很有可能超过任何现有的计算机病毒。由于电脑病毒的网络化，造成现在病毒的传播速度超过了最大胆的想象，24小时之内，病毒可以传播到世界上任何一个角落！网络化:

CompanyLogo人性化：

充分利用了心理学的知识，注重针对人类的心理如好奇、贪婪等。前一阵肆虐一时的“裸妻”病毒，主题就是英文的“裸妻”，邮件正文为“我的妻子从未这样”，邮件附件中携带一个名为“裸妻”的可执行文件，用户执行这个文件，病毒就被激活。最近出现的My—babypic病毒，通过可爱宝宝的照片传播病毒。而“库尔尼科娃”病毒的大流行，更是由于“网坛美女”库尔尼科娃挡不住的魅力。隐蔽化：

相比较而言，新一代病毒更善于隐藏自己、伪装自己。主题会在传播中改变，或者具有极具诱惑性的主题、附件名；许多病毒会伪装成常用程序，或者将病毒代码写入文件内部长度不发生变化，使用户防不胜防。主页病毒的附件homepage.html.vbs并非一个HTML文档，而是一个恶意的VB脚本程序，一旦执行后，就会向用户地址簿中的所有电子邮件地址发送带毒的电子邮件副本。再比如维罗纳病毒，将病毒写入邮件正文，而且主题、附件名极具诱惑性、主题众多，更替频繁，使用户麻痹大意而感染。而matrix等病毒会自动隐藏、变形，甚至阻止受害用户访问反病毒网站和向病毒记录的反病毒地址发送电子邮件，无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。还有的病毒在本地没有代码，代码存在与远程的机器上，这样杀毒软件更难以发现病毒的踪迹。

CompanyLogo多样化：

新病毒层出不穷，老病毒也充满活力，并呈现多样化的趋势。1999年普遍发作的电脑病毒分析显示，虽然新病毒不断产生，但较早的病毒发作仍很普遍。1999年报道最多的病毒是1996年就首次发现并到处传播的宏病毒Laroux。新病毒可以是可执行程序、脚本文件、HTML网页等多种形式，并正向电子邮件、网上贺卡、卡通图片、ICQ、OICQ等发展。更为棘手的是，新病毒的手段更加阴狠，破坏性更强。据计算机经济研究中心的报告显示，在2000年5月，“爱虫”病毒大流行的前5天，就造成了67亿美元的损失。而该中心1999年的统计数据显示，到99年末病毒损失才达120亿美元。

CompanyLogo平民化：

由于脚本语言的广泛使用，专用病毒生成工具的流行，电脑病毒已经变成了“小学生的游戏”。以前的病毒制作者都是专家，编写病毒在于表现自己高超的技术。但是“库尔尼科娃”病毒的设计者不同，他只是修改了下载的VBS蠕虫孵化器，“库尔尼科娃”病毒就诞生了。据报道，VBS蠕虫孵化器被人们从因特网上下载了1.5万次以上。正是由于这类工具太容易得到，使得现在新病毒出现的频率超出以往任何时候。病毒的防治：

CompanyLogo（1）病毒的本质：（2）病毒的防治：病毒的本质：

CompanyLogo

电脑病毒是一些能够自我复制的程序段．它能附在应用程序或系统文件的可执行部分。在宿主程序执行的某些阶段，它能够获得执行控制权。按病毒传染机理可分为两大类：一类是系统引导型，它感染系统引导时的程序(系统引导扇区，操作系统的某些模块、设备驱动程序等)；另一类是文件型，它感染可执行的程序文件(即应用程序，含COM文件。EXE文件或覆盖文件等)。电脑病毒的防治：

CompanyLogo

(1)病毒的宿主目标必须是电脑系统的可执行程序，也就是说它们只能感染系统引导程序或应用程序。

(2)病毒的感染总是以某种方式改变被感染的程序段．如果附在现存程序上，它会改变程序的开头。结尾或程序中间的某些部分，如果它隐藏在磁盘的某些区，它会更改这些区的内容。(3)如果病毒要存活。传播，那么它的程序代码必须能够被执行，即病毒必须把自身或一部分定位于宿主程序的特殊位置，以便获得控制权。那么怎么才能防治病毒呢？

CompanyLogo1.操作系统病毒这种病毒的特点是：当系统引导时就装入内存，在计算机运行过程中，能够经常捕获到CPU的控制权，在得到CPU的控制权时进行病毒传播，并在特定条件下发作。该类病毒的上述活动是悄悄完成的，很难被发觉，因而有很大的危险性。2.源码型病毒源码型病毒专门攻击高级语言如FORTRAN、C、PASCAL等源程序和数据文件的源码。它们在编译之前插入到源程序。3.外壳型病毒这类病毒攻击的主要目标是系统的、.EXE等可执行文件。染上这种病毒的可执行文件一旦运行，首先执行这段病毒程序，达到不断复制的目的。由于它的不断繁殖，使计算机工作效率大大降低，最终造成死机。

CompanyLogo4.定时炸弹型病毒许多微机上配有供系统时钟用的扩充板，扩充板上有可充电电池和CMOS存储器，定时炸弹型病毒可避开DOS的中断调用，通过低层硬件访问对CMOS存储读写。因而这类程序利用这一