毕业设计（论文）-“欢乐时光”专杀工具的设计与实现.doc

欢乐时光欢乐时光 专杀工具的设计与实现专杀工具的设计与实现 摘摘 要要 病毒检测是计算机安全领域的重要技术之一 是反病毒技术的核心 利用 病毒检测技术便于发现计算机系统是否受到安全威胁 同时也可以及时通告用 户做好病毒防范措施 本论文从计算机病毒及其检测的基本理论出发 对经典 的欢乐时光脚本病毒的特点进行分析 提出了预防脚本病毒的主要方法 得出 了对欢乐时光脚本病毒有效的检测方法 最后用VC 设计实现了一个对该病毒 的检测工具 该病毒检测工具采用匹配病毒感染标识的检测方法 在遍历文件 的同时对文件进行检测 同时该检测工具也具有清理相关注册表项及限制使用 次数等功能 该病毒检测工具能够准确地检测到计算机系统中被欢乐时光脚本 病毒所感染的文件并删除病毒脚本 关键词 关键词 计算机安全 欢乐时光脚本病毒 病毒检测 病毒感染标识的 匹配 遍历文件夹 The Implementation of HappyTime Virus Detection Software Abstract Virus detection is one of the most significant technologies in computer security field as well as the core technology in anti virus software With the technology of virus detection it is useful to discover whether a computer system is safe or not Simultaneously it could also inform users to do some preventive measure for virus promptly Based on the basic concept and theory of computer virus and virus detection a classical virus the HappyTime script virus is well analyzed first After that it points out the main methods of script virus prevention Then the effective method to detect HappyTime script virus is concluded Finally a virus detection software for HappyTime virus is designed and realized with VC The virus detection software is designed to detect a virus by matching the sign string of a virus while traversing the files The functions of cleaning up relative registry and limiting the times of using are also available in the software This virus detection software can accurately detect the files infected by the script of HappyTime virus in the computer system and delete the viral script Key words Computer security HappyTime script virus Virus detection Matching the sign string of a virus Traversing files 目目 录录 论文总页数 22页 1引言 1 2计算机病毒与病毒检测技术概述 1 2 1计算机病毒概述 1 2 2病毒检测概念及其发展历史 4 2 3病毒检测的发展趋势 5 2 4论文结构概述 6 3需求分析 7 3 1功能需求 7 3 2运行环境 7 4欢乐时光脚本病毒及其检测 7 4 1VBS 脚本病毒介绍 7 4 2欢乐时光脚本病毒 8 4 2 1欢乐时光病毒部分关键代码分析 8 4 2 2欢乐时光病毒主要特点 11 4 3利用匹配病毒感染标识方法检测病毒 11 5设计与实现 12 5 1总体设计思想 12 5 2遍历文件的实现 12 5 3扫描文件的实现 15 5 4软件使用次数限制实现 15 5 5软件功能简介 17 6检测工具的测试 19 结 论 20 参考文献 20 第 1 页 共 22 页 1 1 引言引言 随着计算机技术的飞速发展 计算机应用日趋深入普及 逐步渗透到人类生活 的各个方面 为社会发展做出了巨大的贡献 然而 科学技术都是在自身的矛盾中 发展的 计算机技术的提高和计算机应用的普及使人们忽略了潜在的不安全因素 致使计算机的安全运行受到了病毒的严重威胁 有效地防范计算机病毒已成为 计算机 互联网应用中迫切需要解决的突出问题 互联网的现状和未来的发展决定了研究计算机病毒和病毒检测技术的重大 意义 随着互联网的飞速发展 计算机病毒技术也在迅速发展 研究计算机病 毒及反病毒相关技术可深入了解病毒及其相关原理 针对不同种类 不同性质 的病毒采取不同的措施加以检测及防范 最大程度减少病毒的存在及传播 同 时进一步加深对网络安全的认识和提高网络安全的意识 2 2计算机病毒与病毒检测技术概述计算机病毒与病毒检测技术概述 2 12 1 计算机病毒概述计算机病毒概述 计算机病毒 Computer Virus 在 中华人民共和国计算机信息系统安全保 护条例 中被明确定义 病毒是 编制或者在计算机程序中插入的破坏计算机 功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者 程序代码 1 计算机病毒具有以下几个特点 1 寄生性 计算机病毒寄生在其他程序之中 当执行这个程序时 病毒就起破坏作用 而在未启动这个程序之前 它是不易被人发觉的 2 传染性 计算机病毒不但本身具有破坏性 更有害的是具有传染性 一旦病毒被复 制或产生变种 其速度之快令人难以预防 3 潜伏性 有些病毒发作时间是预先设计好的 比如黑色星期五病毒 不到预定时间 一般觉察不出来 等到条件具备的时候再暴发进而对系统进行破坏 4 隐蔽性 计算机病毒具有很强的隐蔽性 有的可以通过病毒检测软件检查出来 有 的很难检测出来 有的则时隐时现 变化无常 因此处理起来通常很困难 2 计算机病毒的表现形式 计算机受到病毒感染后 会表现出不同的症状 常见的要有 1 机器不能正常启动 通电后机器根本不能启动 或者可以启动 但所需要的时间比原来的启动 第 2 页 共 22 页 时间变长 2 运行速度降低 如果发现在运行某个程序时 读取数据的时间比原来长 存取文件的时间 都增加了 那就可能是由于病毒造成的 3 磁盘空间迅速变小 由于病毒程序要进驻内存 而且又能繁殖 因此使内存空间变小甚至变为 0 4 文件内容和长度有所改变 一个文件存入磁盘后 它的长度和其内容都不会改变 可是由于病毒的干 扰 文件长度可能改变 文件内容也可能出现乱码 有时文件内容无法显示或 显示后又消失了 5 经常出现 死机 现象 正常的操作是不会造成死机现象的 如果机器经常死机 那可能是由于系 统被病毒感染了 6 外部设备工作异常 因为外部设备受系统的控制 如果机器中有病毒 外部设备在工作时可能 会出现一些异常情况 3 计算机病毒的种类 计算机病毒根据感染形态大致可分为以下几种 1 引导型病毒 引导型病毒是病毒把自身的程序代码存放在硬盘的引导扇 区中 由于计算机的启动机制 使得病毒可以在每次开机 操作系统还没有引 导之前就被加载到内存中 这个特性使得病毒可以对计算机进行完全的控制 并拥有更大的能力进行传染和破坏 绝大多数引导型病毒有极强的传染性和破 坏性 通常会格式化硬盘 修改文件分配表等 一旦发作 计算机的数据通常 会全部丢失 2 文件型病毒 文件型病毒通常把病毒程序代码自身放在系统的可执行文 件 如 COM EXE DLL等 中 当这些文件被执行时 病毒的程序也就 被执行 文件型病毒依传染方式的不同 分为非常驻型以及常驻内存型两种 非常驻型病毒是将病毒程序自身放置于 COM EXE或是 SYS的文件中 当这 些中毒的程序被执行时 就会尝试把病毒程序传染给另一个或多个文件 该类 病毒只在感染病毒的程序被调用执行时 传染给其它程序 病毒本身并不常驻 内存 常驻内存型病毒躲在内存中 一旦常驻内存型病毒进入了内存 只要有 可执行文件被执行 就可以对其进行感染 3 复合型病毒 复合型病毒具备引导型病毒和文件型病毒的特性 可以传 第 3 页 共 22 页 染 COM EXE DLL文件 也可以感染磁盘的引导扇区 由于这个特性 使 得这种病毒具有很强的传染力 4 变型病毒 这一类病毒使用一个复杂的算法 使自己每传播一次都具有 不同的内容和长度 一般的做法是 病毒由一段混有无关指令的解码算法和被 变化过的病毒体组成 病毒之所以要进行自身代码的变化 主要原因是为了躲 避杀毒软件的清除 5 宏病毒 宏病毒主要利用微软Office软件Word Excel本身有宏命令的 功能而写的一种病毒 所谓的宏 就是一段脚本程序 由于Word Excel等软件 在处理文档时 为了使程序更智能化地按人的意愿工作 允许在Word中加入 VisualBasicScript 以下为VBS 程序 这给宏病毒提供了滋生的条件 宏病毒 就是用这些VBS程序编写的程序 6 网页病毒 网页病毒主要利用系统软件的安全漏洞 通过执行嵌入在网 页HTML语言内的VBS脚本程序 JavaScript脚本程序等可自动执行的程序 强行 修改操作系统的注册表和系统配置 或非法控制系统资源 盗取用户文件 这 种非法恶意程序能够自动执行 它完全不受用户的控制 一旦浏览含有该病毒 的网页 便会被病毒感染 它会给系统带来不同程度的破坏 轻则消耗系统资 源 使系统运行速度缓慢 直至重启 重则删除硬盘数据 甚至格式化硬盘 网页病毒发作通常有两种表现形式 一种是修改浏览器和注册表的各种设置 比如 IE的默认首页被修改 标题栏被添加非法信息 注册表被禁止打开等 另一种则是恶性结果 比如 开机出现对话框 格式化硬盘 全方位侵害封杀 系统 最后导致瘫痪崩溃 非法读取或盗取用户文件等 网页病毒的预防通常 是先打上IE补丁 接下来有两种方法 一是利用IE自身的设置进行预防 使浏 览器自身不执行网页上的脚本程序 或屏蔽某些恶性网站 在IE6的internet选 项的 常规 选项卡中 先选中某一网站区域 再点击 自定义级别 即可对 IE6浏览器能执行的脚本程序进行限制 要注意的是 禁用IE的JS VBS等脚本 程序的运行后 很多网页特效就没办法显示了 另一种办法 就是使用病毒防 火墙 或者直接用第三方IE保护软件来保护 7 蠕虫 型病毒 顾名思义 计算机蠕虫指的是某些恶性程序代码 会 从一台计算机传播到另外一台计算机进行感染 一般来说蠕虫能感染文件 对 自身进行复制 消耗系统资源 在互联网环境下 蠕虫病毒变得非常猖獗 它 靠复制自己来传播 如果不对蠕虫的传播渠道进行控制 如操作系统的漏洞 文件共享的权限等 即使不执行任何外来文件 也会被感染 现在的病毒一般 都是既能够感染文件 又可以通过E mail 共享文件夹 HTML代码 寻找漏洞 获得写权限传播病毒 第 4 页 共 22 页 2 22 2 病毒检测概念及其发展历史病毒检测概念及其发展历史 在与病毒的对抗中 及早发现病毒很重要 早发现 早处理 可以减少损 失 检测病毒的最主要的方法有 特征代码法 校验和法 行为监测法 软件 模拟法 这些方法依据的原理不同 实现时所需开销不同 检测范围不同 各 有所长 1 特征代码法 特征代码法是检测已知病毒的最简单 开销最小的方法 它的实现是采集 已知病毒样本 病毒如果既感染COM文件 又感染EXE文件 对这种病毒要同时 采集COM型病毒样本和EXE型病毒样本 打开被检测文件 在文件中搜索 检查 文件中是否含有病毒数据库中的病毒特征代码 如果发现病毒特征代码 由于 特征代码与病毒一一对应 便可以断定 被查文件中患有何种病毒 采用病毒特征代码法的检测工具 面对不断出现的新病毒 必须不断更新 版本 否则检测工具便会老化 逐渐失去实用价值 病毒特征代码法对从未见 过的新病毒 自然无法知道其特征代码 因而无法去检测这些新病毒 特征代码法的优点是 检测准确快速 可识别病毒的名称 误报警率低 其缺点是 1 速度慢 随着病毒种类的增多 检索时间变长 如果检索5000种病毒 必须对5000种病毒特征代码逐一检查 如果病毒种数再增加 检病毒的时间开 销就变得十分可观 此类工具检测的高速性 将变得日益困难 2 不能检查多形性病毒 特征代码法是不可能检测多态性病毒的 国外专 家认为多态性病毒是病毒特征代码法的索命者 3 不能对付隐蔽性病毒 如果隐蔽性病毒先进驻内存 病毒检测工具后运 行 隐蔽性病毒能先于检测工具 将被查文件中的病毒代码剥去 检测工具的 确是在检查一个虚假的 好文件 而不能报警 被隐蔽性病毒所蒙骗 2 校验和法 将正常文件的内容 计算其校验和 将该校验和写入文件中或写入别的文 件中保存 在文件使用过程中 定期地或每次使用文件前 检查文件现在内容 算出的校验和与原来保存的校验和是否一致 因而可以发现文件是否感染 这 种方法叫校验和法 它既可发现已知病毒又可发现未知病毒 但是 它不能识 别病毒类 不能报出病毒名称 由于文件内容改变并不一定是由于病毒引起的 而有可能是正常程序引起的 所以校验和法常常误报警 而且此种方法也会影 响文件的运行速度 校验和法的优点是 方法简单能发现未知病毒 被查文件的细微变化也能 发现 第 5 页 共 22 页 其缺点是 发布通行记录正常态的校验和 会误报警 不能识别病毒名称 3 行为监测法 利用病毒的特有行为特征性来监测病毒的方法 称为行为监测法 通过对 病毒多年的观察 研究 有一些行为是病毒的共同行为 而且比较特殊 在正 常程序中 这些行为比较罕见 当程序运行时 监视其行为 如果发现了病毒 行为 立即报警 行为监测法的优点 可发现未知病毒 可相当准确地预报未知的多数病毒 行为监测法的缺点 可能误报警 不能识别病毒名称 实现时有一定难度 4 软件模拟法 软件模拟扫描技术专门用来处理某种病毒 这种病毒在每次传染时 都以不 同的随机数加密于每个中毒的文件中 传统病毒特征码比对的方式根本就无法找 到这种病毒 软件模拟技术则是成功地模拟CPU执行 在其设计的虚拟机器 Virtual Machine 下假执行病毒的变体引擎解码程序 安全并确实地将多型体 病毒解开 使其显露原本的面目 再加以扫描 2 32 3 病毒检测的发展趋势病毒检测的发展趋势 未来的可能的反病毒技术 虚拟现实 只要技术足够成熟 完全有可能出 现类似人工智能的反病毒技术 而未来反病毒的疑难之一就是永远无法写出一 个完美的程序来检测和清除病毒 病毒同样能辨识和分析反毒程序 并对自身 重新编程 而反毒程序可能同样地要对病毒进行探测 再进行自编程 病毒与 反毒程序的角逐就变成了自编程能力的实现 可以考虑用这种方式 人工进入计算网络世界的方法来查杀病毒 人有足 够的智能和经验积累来完成对病毒的检测和杀除 而这就只剩下建立人与计算 机之间的通信的问题了 目前的虚拟现实技术重点放在了对人与人的自然界交 流方式 感官 的计算机描述的实现上 它如同人们所有的知觉都最终传 感给大脑 大脑对这种传感做出一种体验上的描述 从而形成知觉意识 如果 计算机将二进制代码流表述成脑电波的流信息 并通过神经传感给大脑 则完 全可以描述并引导 控制人的一切思维 简单地说 人的思维与计算机语言存 在了这样一个通用的接口 这种理论如果得以实现 则虚拟现实技术将进入新的发展领域 虽然从理 论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防 但是在实 际应用中 经过反病毒专家多年的统计 分析 研究积累的经验 完全有可能 第 6 页 共 22 页 以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序 在相当程 度上达到较精确地防御未知病毒的侵入 未来反病毒产品的特点 防杀兼备 万能恢复 从技术的数学模型上来说 过去 现在 将来的反病毒软件都不可能有任何理论上的超越 即无法跨越不 可判定性的鸿沟 特征码也好 启发式虚拟机也好 或者兼而有之 相互配合 暂时不会有新的突破 那么 具体到反病毒技术的产品 也基本上离不开这些 模式 当然 即使是从工程学的角度上来说 在相同的技术起点上如何构筑出 实现方式和最终效果完全不同的实用产品 仍然是一个永无止境的追求 从手 工查杀病毒 到早期散兵游勇式的查杀病毒 到与 Internet 技术接轨 直至今 天担负起防杀兼备 万能恢复的第三代反病毒软件 反病毒技术在与病毒的斗 争中不断进步 不断诞生各种为计算机用户解忧去患的反病毒产品 从早期的 防病毒卡 手动查杀的 dos 版软件 到在线监控实时查杀的病毒防火墙 安全 专家认为 真正的安全仅有查毒和杀毒是不够的 因为在电脑世界中 永远有 捉摸不定的元素 除去泛滥的病毒 系统的漏洞 硬件或软件的冲突 人为的 误操作 利用特洛伊木马恶意进攻 电脑本身的不稳定性 黑客袭击等形形色 色的安全威胁不胜枚举 所以 一个好的安全软件 仅仅能查毒杀毒是不够的 必须把备份与灾难恢复相结合起来 用户对于病毒的恐惧 并不是来自它的能 够自我复制 尽管这才是病毒之所以成为病毒的根本 担心害怕的是病毒侵入 并且发作 结果造成的大大小小的无可挽回的损失 这种客观的迫切的需要 成为新形势对反病毒技术和产品提出的最高要求 于是 第三代反病毒软件必 须要做到突破单一查毒杀毒的局限性 针对用户经常面临急需数据抢修 系统 恢复等难题 不仅可以杀灭入侵病毒 击溃来犯黑客 消灭有害数据 还有智 能灾难恢复 全息数据救援 维护系统正常运行的全面保障信息安全的功能 我们期望有一种针对恶性病毒发作时可能实施的破坏行为的截获 阻止装 置 对所有带有危险级别的 可能影响系统运行和信息资料安全的操作加以禁 止 对一个将要执行的操作进行安全性判断 不难预料 这种在线式的以危险 行为监控为特征的反病毒技术和产品也一定会出现 配合以前的第一代 第二 代 第三代反病毒技术 实现更高意义上的更加可靠的信息安全 2 42 4 论文结构概述论文结构概述 本论文主要包括五个方面 第一部分首先分析了计算机与网络安全的现状 着重分析了常见的几种计算机病毒的特点以及病毒带来的安全威胁 第二部分 主要介绍了病毒检测技术的历史及发展 介绍了当前病毒检测的主要方法 第 三部为需求分析 第四部分分首先主要介绍了VBS脚本病毒及其特点 在此基础 上进一步分析了欢乐时光脚本病毒的源代码 通过分析进而得出欢乐时光病毒 第 7 页 共 22 页 的原理及其特点 然后介绍了计算机在感染该病毒后的症状表现 第五部分介 绍了该病毒检测工具的总体设计思路 以及通过程序代码介绍了实现遍历文件 扫描文件匹配病毒感染标识 软件使用次数限制的设计与实现以及对该病毒检 测工具的使用做了简要介绍 3 3 需求分析需求分析 3 13 1 功能需求功能需求 欢乐时光脚本病毒具有很强的传播性和破坏性 是脚本病毒的典型代表 欢乐时光脚本病毒被激活后会感染系统内 html htm 和 asp 等文件 将病毒脚 本写入文件 创建相关注册表项以配合病毒的感染和传播 本设计需分析设计并实现一个专门检测欢乐时光脚本病毒的检测工具 主 要需实现的功能有 1 可以检测系统是否被欢乐时光病毒感染 在检测到文件被其感染时能自 动弹出提示框进行报警提示 2 清除被感染文件中的病毒脚本且不能更改正常文件 3 需提供全盘检测和指定路径检测两种方式 4 可以清理被病毒修改的相关注册表项 5 需要有使用次数限制的功能 在每次使用时提示还可以使用的次数 本软件应能在 Windows 操作系统下运行 还需有使用方便 界面简洁友好 等特性 3 23 2 运行环境运行环境 由于欢乐时光脚本病毒主要感染的系统为 Windows 操作系统 并且可以利 用微软的 Outlook Express 进行传播 导致更多的以 Windows 作为操作系统的主 机被感染 因此该病毒检测工具应该运行在 Windows 操作系统上 4 4 欢乐时光脚本病毒及其检测欢乐时光脚本病毒及其检测 4 14 1 VBSVBS 脚本病毒介绍脚本病毒介绍 脚本病毒以文本格式存在 可以用文本编辑器打开并编辑 VBScript这种 脚本语言功能非常强大 利用Windows系统的开放性 可以直接对文件系统 注 册表等进行控制 功能强大 VBS脚本病毒主要有以下特点 1 破坏力大 表现在对用户系统文件及性能的破坏和使邮件服务器崩溃 网络发生严重阻塞 2 感染力强 由于脚本是直接解释执行 因此这类病毒可以直接通过自我 复制的方式感染其他同类文件 并且自我的异常处理变得非常容易 3 传播范围大 这类病毒通过html文档 Email附件或其它方式 可以在 第 8 页 共 22 页 很短时间内传遍世界各地 4 病毒源码容易被获取 变种多 由于VBS病毒解释执行 其源代码可读 性非常强 因此变种比较多以至于很多杀毒软件无能为力 5 欺骗性强 脚本病毒为了得到运行机会 往往会采用各种让用户不大注 意的手段 譬如 邮件的附件名采用双后缀 如 txt vbs 由于系统默认不显 示后缀 因此在计算机系统里就只显示出 txt 因此 人们很容易认为这是一 文本文件而轻易地运行 正因为以上几个特点 脚本病毒发展异常迅猛 使得生成新型脚本病毒变 得非常容易 4 24 2 欢乐时光脚本病毒欢乐时光脚本病毒 4 2 14 2 1 欢乐时光病毒部分关键代码分析欢乐时光病毒部分关键代码分析 脚本病毒的代表作欢乐时光病毒VBS Happytime 是一个专门感染 html htm htt asp vbs文件的脚本类病毒 该病毒采用 VBScript 语言编 写 将病毒脚本内嵌至上述文件中 它既可在电子邮件的形式通过互联网进行 传播 也可以在本地通过文件进行感染 病毒脚本的部分关键代码如下 Rem I am sorry happy time On Error Resume Next mload 以上为病毒入口 并加上I am sorry happy time 以表明此文件已被感 染过 这也是病毒名称的由来 Set Od CreateObject Scripting Dictionary 创建Dictionary对象 即一个数组 用来保存数据键和项目对 Od Add html 1100 Od Add vbs 0100 Od Add htm 1100 Od Add asp 0010 向Dictionary对象添加要感染的项目对 即感染文件类型 Key CInt Month Date Day Date If Key 13 Then 如果月与日之和为13 Od RemoveAll Od Add exe 0001 第 9 页 共 22 页 Od Add dll 0001 就清空Dictionary数组 并将exe dll加入Dictionary 对象 以备删除之用 Cn Rg Ks try file Open filename CFile modeReadWrite 以读写方式打开文件 执行一个可能会出错的操作 catch return FALSE 捕捉所用异常事件 进行处理 但程序属正常运行 此处省略部分代码 if file m hFile CFile hFileNull try while file ReadString strLine 读入文件一行 strNewLine strLine strLine MakeUpper if strLine Find szVirusMark 0 匹配到病毒感染标识 AfxMessageBox 发现欢乐时光病毒 报警提示 strNewLine tempFile WriteString strNewLine file Close 删除病毒感染标识之后脚本 加作为结尾 写入文件 并关 闭文件 5 45 4 软件使用次数限制实现软件使用次数限制实现 限制软件使用次数 也就是限制软件的运行次数 可以在程序内部添加一 个修改注册表项的模块 每次程序启动时读取该项的值 如果未读到即该项不 第 14 页 共 22 页 存则在说明是该软件是首次使用 直接建立该项并写入一个定值 以后每运行 一次软件 该注册表项的值减1 直到该注册表项的值被减到小于程序规定的一 个值时 说明超过规定次数则进行提示 而程序也不再进入主界面 实现的代 码如下 unsigned char buffer 255 0 unsigned long length unsigned long type HKEY hKey RegOpenKey HKEY LOCAL MACHINE Software dm RegQueryValueEx hKey Num NULL RegCloseKey hKey int Count Count atoi const char buffer if Count 0 计数器为0说明是首次使用 RegCreateKey HKEY LOCAL MACHINE SOFTWARE dm 新建注册表项 RegSetValueEx hKey Num 0 REG SZ constunsignedchar 5 str len 5 设值为5表示只能使用5次 RegCloseKey hKey MessageBox NULL 本软件有使用次数限制 n您还可以使用5次 欢迎使用 MB OK 提示信息 else if Count 1 MessageBox NULL 您已经使用过5次 不能再使用本软件 抱歉 MB OK return true else char buf 255 0 第 15 页 共 22 页 Count 1 itoa Count buf 10 CString str str Format 您还可以使用 d次 Count MessageBox NULL str 欢迎使用 MB OK RegOpenKey HKEY LOCAL MACHINE SOFTWARE dm RegSetValueEx hKey Num 0 REG SZ const unsigned char buf strlen buf RegCloseKey hKey 未到期限则显示剩余使用次数 5 55 5 软件功能简介软件功能简介 本设计采用VC 编程实现 最后生成一个可执行的文件 即检测工具 双击运行后程序主界面 如图2所示 主界面上主要有选择路径按钮 查毒 按钮 清理注册表按钮以及一些与该病毒相关的其他按钮如病毒介绍按钮组成 程序运行后用户可以开始进行病毒检测工作 第一步是选择扫描路径 有两种 方式可以选择 一是选择 扫描所有本地硬盘 选项 二是单击 请选择路径 按钮 若选择 扫描所有本地硬盘 选项 检测程序将对计算机所有分区所有 文件进行病毒扫描 若单击 请选择路径 按钮 用户可以选择某路径进行病 毒扫描 第 16 页 共 22 页 图2 程序主界面 单击 请选择路径 按钮 此时会弹出一个选择文件的窗口 如图3所示 用户可以根据实际情况选择某一路径作为扫描路径 图3 选择文件对话框 点击选择路径按钮 选择待检测文的文件或文件夹 然后点击查毒按钮 查毒 按钮的显示变为 请稍后 此时检测工具正在进行病毒检测 如 图4所示 第 17 页 共 22 页 图4 点击 查毒 按钮后 当发现病毒时 自动弹出一个警告窗口 提示用户发现了欢乐时光病毒 如图5所示 图5 当检测到病毒时报警提示 6 6检测工具的测试检测工具的测试 测试环境 Windows XP Professional 第 18 页 共 22 页 1 使用次数限制测试