毕业论文-计算机病毒的预防技术探讨.doc

计算机病毒的预防技术探讨论文摘要:现在，人们越来越重视计算机安全。伴随着电脑网络的普及，计算机病毒越来越猖獗，计算机反病毒技术也发展得很快。如今计算机反病毒技术，有实时反病毒技术、扫描技术、虚拟机技术和主动核技术等。这些技术各有特点，都是十分优秀的反病毒技术，但是目前应用起来仍然不够成熟。现有计算机反病毒软件虽然在对抗病毒方面发挥了巨大的作用，但是仍有不尽人意之处，特别是应对未知病毒缺乏足够有效的方法。计算机病毒的防范技术还有待于我们去钻研和发展，和进一步完善。关键字 Internet 计算机技术 病毒 黑客 预防Abstract: Nowadays, people pay more and more attention to computer security. With the popularization of computer network, computer viruses are increasingly rampant and computer antivirus technology is also developing very fast. Now computer anti-virus technologies are real-time anti-virus technology, heuristic code scanning techniques, virtual machine technology and active kernel technology, etc. These technologies have their own features and all of them are excellent anti-virus technologies. But people are still not proficient in the use of these technologies. Although the existing computer antivirus software plays an important role in stopping viruses, there are still some problems. The point is that people lack effective methods in coping with unknown viruses. We still need study intensively and develop the computer virus prevention technology making it more perfect. 【Key Words】Internet; Computer Technology; virus; hacker; protection目录第1 章分析计算机病毒本质特征、传播手段及发展趋势71.1计算机病毒具有的特点71.2计算机病病毒传播手段及发展趋势8第2 章述说计算机反病毒技术的产生与发展102.1病毒的定义112.2病毒的命名122.3电脑病毒的发展趋势122.4病毒的演化及发展过程132.5计算机病毒的危害14 第3章： 介绍了目前的反病毒技术原理、特点17结束语20第一章：分析计算机病毒本质特征、传播手段及发展趋势1.1计算机病毒具有如下特点：我们的计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被发觉的，计算机病毒不但具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变异，其速度之快令人难以预防，因此我们要非常重视并了解计算机病毒具有的特征和特点，加以防范，和去除，传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫计算机网络瘫痪。与有些病毒不同的是，这段程序一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件会被感染。而被感染的文件又成了新的传染源，再与其他电脑进行数据交换或通过网络接触，病毒会继续进行传染。 我们的计算机正常的计算机程序一般是不会将自身的强行连接，而病毒却能使自身的强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，计算机网络去传染其他的计算机。当机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。一些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。因此我们要有心理准备，要有一定的预见性，防患于未然，一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。 潜伏性的是说，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、以及使系统死锁等，计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。我们的计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移，病毒因某个事件或数值的出现，如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。计算机病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。但随着时代，和技术的进步，病毒和特点和特征必将种类、数目越来越多，越来越复杂。1.2传播手段及发展趋势在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。可执行文件感染病毒后又怎样感染新的可执行文件 可执行文件感染上了病毒,有的会入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时,进行如下操作：首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒；当条件满足,利用病毒链接到可执行文件的首部或尾部或中间,并存大磁盘中；完成传染后,它会寻找新的攻击目标。正常的PC 启动过程是：加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测正常后从系统盘区即引导程序到内存的转执行系统盘,如果不是系统盘则提示否则,读两个隐含文件，执行两个隐含文件, 将系统正常运行启动成功。如果系统盘已感染了病毒, PC的启动将是另一番景象,其过程为： 启动区中病毒首先读入内存处，病毒将自身入内存的安全地区、常驻内存,监视系统的运行，修改中断服务处理程序,使之指向病毒控制并执行之。因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作,修改中断服务程序的是一项少不了的操作，病毒程序全部被读入内存后才读入正常的Boot内容到内存的处,进行正常的启动过程，病毒程序伺机等待随时准备感染新的系统盘或非系统盘。如果发现有可攻击的对象, 病毒要进行下列的工作：将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒，当满足传染条件时,则将病毒的全部或者一部分写入, 把正常的磁盘的引导区程序写入磁盘特写位置，返回正常的中断服务处理程序, 完成了对目标盘的传染。 操作系统型病毒在什么情况下对软、硬盘进行感染，操作系统型病毒只有在系统引导时进入内存。如果一个软盘染有病毒,但并不从它上面引导系统，则病毒不会进入内存, 也就不能活动。毒感染软盘、硬盘的引导区,只要用带病毒的盘启动系统后,病毒便驻留内存,对哪个盘进行操作, 就对哪个盘进行感染。操作系统型病毒对非系统盘感染病毒后最简单的处理方法，因为操作系统型病毒只有在系统引导时才进入内存,开始活动,对非系统盘感染病毒后,不从它上面引导系统,则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。随着时代，的发展，病毒传播手段和发展趋势将种类、数目越来越多，越来越复杂，我们要去留心关注，用有效和有用的方法反计算机病毒手段处理，将是用计算机人息息相关的严肃的对待。第二章：述说计算机反病毒技术的产生与发展电脑病毒最初的历史，可以到上世纪，当时电脑病毒的电脑程式，使其成为了电脑病毒史上第一种感染个人电脑的电脑病毒，它以软磁碟作传播媒介，破坏程度是相当轻微，受感染电脑只会在萤光幕上显示一段小的诗句。当中除了为电脑病毒一词下了明确的定义外，也描述了他与其他专家对电脑病毒研究的实验成果。首种广泛传播于MS-DOS 个人电脑系统的电脑病毒首宗恶意并广泛传播的电脑病毒始于该种电脑病毒名为脑，能破坏电脑的起动区，亦被视为能透过自我隐藏来逃避侦测的病毒。 被发现，是首只档案感染型病毒。档案感染型病毒主要通过感染 .COM 档案和 .EXE档案，来破坏资料、损毁档案或在染毒档案执行的过程中感染其它程式。 袭击电脑的病毒在这年出现，而互联网虫 亦引起了第一波的互联网危机。同年，电脑事故应变队伍成立并不断发展，也就演变成为今天著名的电脑保安事故应变队伍协调中心。 我们需要有一定的认识和了解。首个病毒交流布告栏于保加利亚上线，藉以给病毒编程者交换病毒程式码及心得。同年，防毒产品开始粉墨登场。 在windows 95 作业平台初出现时，运行于DOS作业系统的电脑病毒仍然是电脑病毒的主流，而这些以DOS为本的病毒往往未能复制到windows 95 作业平台上运行。不过，正当电脑用家以为可以松一口气的时候，于一九九五年年底，首种运行于 MS-Word工作环境的巨集病毒，也正式面世。 病毒成为首只侵袭Excel 档案的巨集病毒。只袭击Linux 作业平台的电脑病毒。 透过互联网在未授权的情况下遥距操控另一部电脑，此病毒的命名也了微软旗下的Microsoft Office产品接触了。首种病毒 它透过袭击MS Word作台阶，再利用MS Outlook及Outlook Express内的地址簿，将病毒透过电子邮件广泛传播。该年CIH 病毒爆发，全球超过千万台电脑被破坏。，破坏的规模和范围都是史无前例的，震撼了人们的心理，震动了地球。 拒绝服务袭击规模很大，致使雅虎、亚马逊书店等主要网站服务瘫痪。附著电邮传播的脚本病毒档更被广泛传播，终令不少电脑用户明白到小心处理可疑电邮的重要性。该年，首只运行于 作业系统的木马程式自由破解，也终于出现了。这个木马程式以破解一个运行于 作业系统的模拟器作诱饵，致使用户在无意中把这病毒透过红外线资料交换或以电邮的形式在无线网中把病毒传播。 混合式病毒，它除了会像传统病毒般感染电脑档案外，同时亦拥有蠕虫及木马程式的特徵。它利用了微软邮件系统自动运行附件的安全漏洞，藉著耗费大量的系统资源，造成电脑运行缓慢直至瘫痪。该病毒除了以电子邮件作传播途径外，也可透过网络传输和电脑硬碟共享把病毒散播。 自求职信病毒已为伺服器及个人电脑带来很大的烦脑，受害者一旦被其感染，电脑便处于带毒运行状态，它会在创建一个背景工作线程，搜索所有本地驱动器和可写入的网络资源，继而在网络中完全共享的文件中迅速地传播。 冲击波病毒于开始爆发，它利用了微软作业系统Windows 2000 及Windows XP的保安漏洞，取得完整的使用者权限在目标电脑上执行任何的程式码，并透过互联网，继续攻击网络上仍存有此漏洞的电脑。由于防毒软件也不能过滤这种病毒，病毒迅速蔓延至多个国家，造成大批电脑瘫痪和网络连接速度减慢。 继冲击波病毒之后，电脑病毒肆虐，并透过电子邮件扩散。 病毒不但会伪造寄件人身分，还会根据电脑通讯录内的资料，发出大量情感文字等为主旨的电邮外，此外它也可以驱使染毒的电脑自动下载某些网页，使编写病毒的作者有机会窃取电脑用户的个人及商业资料，它利用电子邮件作传播媒介，诱使用户开启带有病毒的附件档。受感染的电脑除会自动转寄病毒电邮外，还会令电脑系统开启一道后门，供骇客用作攻击网络的仲介。它还会对一些著名网站作分散式拒绝服务攻击，其变种更阻止染毒电脑访问一些著名的防毒软件厂商网站。由于它可在寄出电子邮件，会将电子邮件服务被迫中断，在电脑病毒史上，其传播速度创下了新纪录。 防毒公司都会以网络天空这种病毒，被评为史上变种速度最快的病毒，因为它自二月中旬出现以来，其变种的命名已经用尽了英文字母，接踵而至的是以双码英文字母名称它透过电子邮件作大量传播，当收件人运行了带著病毒的附件后，病毒程式会自动扫瞄电脑硬盘及网络磁碟机来搜集电邮地址，透过自身的电邮发送引擎，转发伪冒寄件者的病毒电邮，而且病毒电邮的主旨、内文及附件档案名称都是多变的。 震荡波病毒与较早前出现的冲击波病毒雷同，都是针对微软视窗作业系统的保安漏洞，也不需依赖电子邮件作传播媒介。它利用系统内的缓冲溢位漏洞，导致电脑连续地重新开机并不断感染互联网上其他电脑。以短短的时间，它取代了冲击波，创下了最短攻击周期纪录。现在人都知道有电脑病毒，不过，你不一定对它熟悉并真正地了解它，希望我们一起认识病毒，提高我们的安全意识。2.1病毒的定义电脑病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。从广义上定义，凡能够引起电脑故障，破坏电脑数据的程序统称为电脑病毒。依据此定义，诸如熊猫烧香病毒等均可称为电脑病毒。在国内研究者对电脑病毒也做过不尽相同的定义，但没有公认的明确定义。2.2病毒的命名病毒的命名没有固定的方法，有的按病毒第一次出现的地点来命名，如其样本最先来自镇江某用户。也有的按病毒中出现的人名或特征字符，有的按病毒发作时的症状命名，当然，也有按病毒发作的时间来命名的，有些名称包含病毒代码的长度。因此我们可以随心所欲的，没有条条框框，只要你命名有一定的原由，一定的道理，怎么定名怎么好。2.3电脑病毒的发展趋势在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：电脑病毒主要是引导型病毒，由于那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。可执行文件型病毒出现，它们利用系统加载执行文件的机制工作，病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。发展为复合型病毒，可感染和文件。伴随型病毒出现，它们利用加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染文件的同时会生成一个和同名的扩展名伴随体；它感染文件时，改为原来的 文件为同名的，在产生一个原名的伴随体，文件扩展这样在加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。有些病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。我们在操作计算机时要格外注意，并注意防范，切不要疏忽大意，铸成大错。汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样某些解码算法可以由生成器生成不同的变种。可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，有些病毒不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，这类病毒的急智更为复杂，它们利用保护模式和调用接口工作，解除方法也比较复杂。随着Office功能的增强及盛行，使用Word也可以编制病毒，这种病毒使用类Basic 语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就有可能中毒。随着互联网上的普及，利用传播和资料获取的病毒开始出现，还有一些利用邮件服务器进行传播和破坏的病毒，它就严重影响因特网的效率。2.4病毒的演化及发展过程当前电脑病毒的最新发展趋势主要可以归结为以下几点：任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，病毒在不断的演化，使杀毒软件更难检测。现在操作系统很多，因此，病毒也瞄准了很多其他平台，不再仅仅局限于Microsoft Windows平台了。 一些新病毒变得越来越隐蔽，同时新型电脑病毒也越来越多，更多的病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。同时，制造病毒和查杀病毒永远是一对矛盾，既然杀毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。因此，反病毒还需要很多专家的努力！2.5计算机病毒的主要危害大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏设置等。磁盘杀手病毒，内含计数器，在硬盘染毒后累计开机时间数小时内激发，激发的时候屏幕上改写硬盘数据，被D1SK 破的硬盘可以用杀毒软件修复，不要轻易放弃。 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些功能进行传染，这些功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 除少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。 病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： 病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。 有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且软盘正常的读写顺序被打乱，发出刺耳的噪声。 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因 修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出有些病毒存在的错误，但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。 据有关部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的很大。经检测确实存在病毒的约占也很大量，另有情况只是用户怀疑，而实际上计算机并没有病毒。那么怀疑病毒的理由是什么，多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。 电脑病毒对电脑系统可以造成很大的影响.大部份的病毒都是把电脑程式及数据破坏.下面描述了病毒制造的不同破坏及影响. 有些电脑病毒 当它们被触发时,会无条件地把硬磁碟格式化及删除磁碟上所有系统档案.附在电子邮件讯息上档案名.其实它是用DOS的公用程式版本由成批文件换过来的. 这个首先会在的不同目录找寻DELTREE这个档案,然后用这个档案把所有档案删除.当档案被删除后,它会显示一个错误讯息:如果这病毒找不到DELTREE的话,它就不能把档案删除,但猥亵的讯息仍会出现. 有些病毒, 会感染主启动记录及启动磁区,之后它会降低记忆体及硬磁碟的效能,直至当我们的用电脑时萤光幕上显示一些讯息 或有其他损坏. 在启动过程时载入的主启动记录，病毒会把这个没有被感染的存在硬磁碟中柱位置.然后病毒会把它的病毒编码放在裏,并且把已感染的MBR写在硬磁碟中柱的位置.当病毒在记忆体活跃时,它就会把由任何磁碟读取得来的有毒及或重新传入一个清洁相同的地区.随著在磁碟读取过程时把安放,病毒会找寻一特定的档案它的身份到现在还没有知道,然后把档案破坏. 硬磁碟编加密码,并且会显示一段讯息，如果我们用一般的方法去除MBR中的病毒,所有在密码区的数据都会流失. 我觉得有很多的电脑用家,当听到电脑病毒时都闻毒而色变.其中有些或者真是曾身受其害,但更多的是因为夸张的道听途说而致人人自危.不但担惊受怕,更多的是钱包受损. 病毒对电脑的危害是众所周知的，轻则影响机器速度，重则破坏文件或造成死机。为方便随时对电脑进行保养和维护，必须准备工具，如干净的启动盘或windows操作系统启动盘，以及杀病毒和磁盘工具软件等，以应付系统感染病毒或硬盘不能启动等情况。此外还应准备各种配件的驱动程序，如光驱、声卡、显示卡、modem等。软驱和光驱的清洗盘及其清洗液等也应常备。第三章:介绍了目前最新的反病毒技术原理、特点自世界上第一个计算机病毒产生开始，一场病毒程序与杀毒软件之间旷日持久的斗争就已经展开。病毒技术在不断地发展，反病毒技术也在不断更新换代。早期在编写病毒还是个技术工种的时候，反病毒工程师们忙着提取病毒的特征码，加入到杀毒软件的病毒库中，升级更新一下，就算完事，这就是传统的特征码扫描技术。就算病毒后来学会了发展种类繁多的变种，反病毒工程师们也只需从各变种中找出共同之处，如一些非连续的程序代码，以此找出同一类型病毒的普遍特征，提取出所谓“广谱特征码”，也不会费太多功夫。一直以来，这种特征码扫描技术作为最有效，最为可靠的反病毒技术，成为各种杀毒软件的基础技术，直至如今仍是最主要的反病毒技术。但随着互联网的高速发展，病毒发展得也越来越快：病毒技术水平不断提高，病毒的传播手段也越来越多种多样，病毒的种类和数量也越来越多。这种情况下，传统的特征码技术已不足以应对，毕竟，一家杀毒软件厂商扩充病毒库的速度是赶不上互联网上数百万病毒制作者编写病毒的速度的，而且，它还具有天生的滞后性的弱点。如何防范每天大量出现的新病毒，于是一些新的反病毒技术应运而生。杀毒软件厂商热炒的是主动防御的概念，只不过可能有的厂商称之为主动防御，有的称之为行为检测，或者其他一些什么新名词，但它们的共同特点是，用以防范未知病毒，所以我们可以将它理解为与传统扫描技术不同的，能够主动检测和拦截未知威胁的防御技术。这种理解上的主动防御是一个广义的概念，比如一些厂商把查毒技术，或者查毒技术，甚至等都算在主动防御中。而狭义上的主动防御，是指基于行为检测的反病毒技术，即通过病毒的行为特征来判别其是否为病毒并进行处理的病毒行为阻断技术。该技术通过提取计算机病毒的共性特征，如修改注册表、自我复制、不断连接网络等，综合这些病毒行为特征来判断其是否为病毒。也就是说全程监视进程的行为，一旦发现“违规”行为，就通知用户，或者直接终止进程。启发式是指自我发现的能力,运用某种方式或方法去判定事物的知识和技能， 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。而这其中，前者被称为静态启发，后者被成为动态启发。但主动防御技术存在一个最大的弊端就是容易导致大量的误报或误杀，而且有一些杀毒软件的主动防御功能是给出报告，需要用户进行判断来决定操作，这对一些电脑安全知识匮乏的用户而言并不实用。动态技术与虚拟机技术结合比较紧密，通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。而且，动态因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。目前，动态主要应用在对花指令病毒的扫描和查杀.静态技术有点相当于广谱特征码技术，指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序有很多区别.比如通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序最初的指令通常是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列，根据这此区别设置一个特别的启发特征库，据此就可通过简单的反编译，在不运行病毒程序的情况下，核对病毒相关指令序列从而判定是否为病毒。比较新的一个反病毒概念，是虚拟出一个来，让程序的可疑行为在其中充分表演，但是沙盒会记下他的每一个动作，直到在病毒充分暴露了其病毒属性后，沙盒则会执行回滚 机制，就像将沙盘再度抹平一样，将病毒的痕迹和动作抹去，恢复系统到正常状态。查毒技术目前主要用于脱壳方面。为了应付杀毒软件，很多病毒往往加上多种难以破解的壳，这样就形成多个变种，给杀毒软件的查杀带来很多麻烦。而虚拟机查毒技术就是在系统上虚拟一个操作环境，然后在这个虚拟环境下运行病毒，在病毒现出原形后将其清除。而且这个虚拟环境和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。利用查毒技术可以很好地进行脱壳，或者清除未知病毒，但它最大的弊端是需要占用太多的系统资源，这可能会极大地影响用户进行其它工作，因而目前使用范围仍遭到不少限制。它可以算是虚拟机的一种发展，其技术原理似乎也和虚拟机大致相同，但它们仍有很大区别。沙盒是一种更深层的系统内核级技术，在一个程序运行时，沙盒会接管程序调用接口或函数的行为，并会在确认为病毒行为后实行机制，让系统复原;而虚拟机并不具备回滚复原机制，在激发病毒后，虚拟机会根据病毒的行为特征判断为是某一类病毒，并调用引擎对该病毒进行清除，两者之间有着本质的区别。此外，技术还较好地避免了内存占用的问题，不过虚拟机技