计算机病毒的预防技术探讨.doc

吉林大学远程教育 中文题目 计算机病毒的预防技术探讨学生姓名 侯海龙 专业 计算机科学与技术 层次年级 高起专 学号 20920108110322 指导教师 初泰丽 职称 高级讲师 学习中心 烟台学习中心 成绩 85分 2011年 9月20 日吉林大学远程教育2011届专科生毕业设计（论文）摘 要二十一世纪全世界的计算机都将通过Internet连接到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。在当今科技迅速发展的世道，计算机技术不仅给人们带来了便利与惊喜，同时也在遭受着计算病毒带来的烦恼和无奈，因为计算机病毒不仅破坏文件，删除有用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手，来初步他闹对付计算机病毒的方法和措施。关键词：计算机 防范 病毒目 录前言 1第一章：计算机病毒的内涵、类型及特点2 1.1 计算机病毒的定义及内涵21.2 计算机病毒的类型31.3 计算机病毒的特征特性41.4 进几年新产生的几种主要病毒的特点5第二章：计算机病毒的特点62.1 计算机病毒的分类与命名62.2 计算机病毒的危害72.3 计算机病毒的自我保护手段92.4 如何识别计算机病毒92.5 计算机病毒的注入方法112.6 计算机病毒主要的传播渠道12第三章：对计算机攻击的防范的对策和方法153.1 如何防止病毒感染或从病毒感染状态中恢复153.2 计算机病毒技术防范措施153.3 计算机病毒的检测方法163.3.1 比较法16 3.3.2加总比法16 3.3.3搜索法16 3.3.4分析法16第四章：计算机系统修复应急计划18结束语 19参考文献 19致谢 20前 言对于计算机和网络来说摧毁力量最大的就是我们所说的电脑病毒，他可能会在我们无声无息中进入我们的网络，这边文章讲述了我们大家如何防范病毒，如何用简单而又快捷的方法对病毒做出相应的处理。还大概介绍了世界现在比较出名的几种电脑病毒的防范和如何检测到这些病毒，讲述了电脑病毒的内涵和它的定义。在文章结束的地方我还为大家简单的介绍了一下对计算机系统被病毒攻击修复的应急计划。第一章：计算机病毒的内涵、类型及特点随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断扩展，据报道，世界各国遭受计算机病毒感染和攻击的时间数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争和伊拉克战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。1.1 计算机病毒的定义及内涵 计算机病毒是一个程序，一段可执行码，计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个造作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传说到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐藏在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外，某些计算机病毒还有其他一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存储空间给你带来麻烦，并降低你的计算机的全部性能。 计算机病毒：以一种计算机程序，它可以附属在可执行文件或隐藏在系统数据区中，在开机或执行某些程序后悄悄地进驻内存，然后对其它的文件进行传染，使之传播出去，然后在特定的条件下破坏系统或骚扰用户。目前有很多的清除病毒的软件，但是新病毒还是层出不穷，成为一大危害。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好被环境激发，即可感染和破坏。1.2 计算机病毒的类型1、木马病毒。木马病毒其前缀是：Trojan，其共有特性以盗取用户信息为目的。2、系统病毒。系统病毒的前缀为：Win32、PE、Win95、W32、W95等。其主要感染windows系统的可执行文件。3、蠕虫病毒。蠕虫病毒的前缀是：Worm。其主要是通过网络或者系统漏洞进行传播 4、脚本病毒。脚本病毒的前缀是：Script。其特点是采用脚本语言编写。5、后门病毒。后门病毒的前缀是：Backdoor。其通过网络传播，并在系统中打开后门。6、宏病毒。其实宏病毒是也是脚本病毒的一种，其利用ms office文档中的宏进行传播。7破坏性程序病毒。破坏性程序病毒的前缀是：Harm。其一般会对系统造成明显的破坏，如格式化硬盘等。 8.、玩笑病毒。玩笑病毒的前缀是：Joke。是恶作剧性质的病毒，通常不会造成实质性的破坏。9捆绑机病毒捆绑机病毒的前缀是：Binder。这是一类会和其它特定应用程序捆绑在一起的病毒。1.3 计算机病毒的特征特性（1） 寄生性 计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。 （2） 传染性 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。 （3） 潜伏性 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。 （4） 隐蔽性 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。 （5）破坏性 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 1.4 近几年心生产的几种主要病毒的特点 自80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。在最近几年，又生产了以下几种主要病毒： （1）、U盘寄生虫 “U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。是针对autorun.inf这样的自动播放文件的蠕虫病毒。Autorun.inf文件一般存在于U盘、MP3、移动硬盘盒硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要家在的病毒程序，从而破坏用户计算机，使用计算机遭受损失 （2）ARP病毒 ARP是一类特殊的病毒，该病毒一般属于木马病毒，不具备主动传播特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle”进行ARP重定向和嗅探攻击。用伪造MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转悠通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造短线的假象，那么用户就得 重新登陆传奇服务器，这样病毒主机就可以盗号了。第二章：计算机病毒的技术分析 长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。对计算机系统的测试， 目前尚缺乏自动化检测工具盒系统软件的完整检验手段，计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（www）使“地球一村化”，为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。国外专家认为，分布式数字处理、可重编程嵌入计算机、网络通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。 2.1 计算机病毒的分类与命名在对抗计算机病毒的斗争中，很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种方法：按病毒对计算机系统的破坏性划分，有良性病毒和恶性病毒，已如上述。俺病毒攻击的机型划分，有苹果机病毒，IBMPC机病毒，小型机病毒等。按危害对象划分，有损害计算机的病毒和损害网络通信的病毒。对于侵害IBMPC机的PC机病毒，也就是本书要着重讨论、要重点对抗的病毒，可以有更科学的分类。进行这种分类的目的，就是要了解病毒的工作原理，针对其特点，采取更加有效的方法，方宇和清除计算机病毒。对PC机病毒，比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒（既又侵染引导区又感染文件的病毒）。这种划分方法对于检查、清除和预防病毒工作是有指导意义的，它不仅指明了不同种类病毒各自在PC机内的寄生部位，如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等，并进而找到综合、有效的反计算机病毒措施。与国际上的情况一样，国内常见的PC机病毒中，引导区型比文件型病毒种类少，而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等，目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时，人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作时期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的1701、香港病毒就都属于这种情况。计算机病毒如今已是PC机用回的一大公害，它造成的损失和破坏难以估计。而一些恶作剧者、一些怀有报复心理的程序员、一些蓄意破坏者和一些为了政治目的、经济利益以及军事目的的病毒编织者，仍在制造者各种各样的计算机病毒。对于计算机病毒，人们也遇到类似的问题。如何准确地捕获用常用软件无法识别出的新病毒，以及分析和研究它的工作机理和特性，是需要专门知识的，不分析它的传染机制，就无法研制出防范和清除病毒的工具软件。2.2 计算机的危害病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显 示“Warning! Dontturn off power or remove diskette while Disk Killer is Prosessing！” （警告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。 2占用磁盘空间和对信息的破坏 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 3抢占系统资源 除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。 4影响计算机运行速度 病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： （1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视， 这相对于计算机的正常运行状态既多余又有害。 （2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行； 而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 （3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且软盘正常的读写顺序被打乱，发出刺耳的噪声。 5计算机病毒错误与不可预见的危害 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、 物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。 错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。 6计算机病毒的兼容性对系统运行的影响 兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的 编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。 7计算机病毒给用户造成严重的心理压力 据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。 经检测确实存在病毒的约占70，另有30情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。 2.3 计算机病毒的自我保护手段1.掩盖技术：不断修改标志、传染方式、表示方式（1）不通过传统的方式，如以热键激活取代中断激活方式Alabama病毒可拦截INT9，若发现用户使用热启动时，则调用其内部的Bootstrap子程序启动计算机，是自己继续潜伏在内存。（2）避开中断请求而直接调用中断服务过程。（3）用中断请求INT27H或INT31H来合法获取内存。（4）不将非法占用的区域标为坏鏃，而标为已分配的鏃。2.造假技术修改文件长度：如Zero Bug病毒。3.加密技术对病毒源码加密：17011206病毒利用自身修改技术，每次传染后都有变化。4.自灭技术Yankee Doodle病毒驻留内存后，若发现被传染的文件有被分析的可能，则用Debug调被传染的文件用Q命令删除。5.反动态跟踪技术Pakistani病毒驻留内存后，可通过INT 13H监视用户读取引导扇区的操作，当用户用debug读取0逻辑扇区时，病毒将存在它处的引导扇区显示出来。2.4 如何识别计算机病毒 很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：. 。 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。 综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。 下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）： 1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。 3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 4、脚本病毒 脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）可不是我们的老大代码兄哦 _。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 5、宏病毒 其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。 6、后门病毒 后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 8破坏性程序病毒 破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。 9玩笑病毒 玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。 10捆绑机病毒 捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。 以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下： DoS：会针对某台主机或者服务器进行DoS攻击； Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具； HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。2.5 计算机病毒的主要传播渠道(1)通过软盘 通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2)通过硬盘 通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。 (3)通过光盘 因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。 (4)通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。 随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。第三章：对计算机病毒攻击的防范的对策和方法3.1 如何防止病毒感染或从病毒感染状态中恢复使用经过更新的反病毒程序扫描您的计算机。从Microsoft Web站点安装最新的安全修补程序。重新安装反病毒程序（如果它已停止工作）从反病毒供应商的Web站点获取最新的“件病毒签名文”。对于每种新病毒，反病毒供应商都会发布更新来对付新病毒。杀除病毒后，请再次扫描您的计算机以确保安全杀除病毒。安排反病毒程序在您睡觉期间检查系统。以下一个或多个条件为真，则您可能必须格式化计算机硬盘，并重新安装Windows以及您的所有计算机程序：反病毒软件显示一条无法修复或杀除病毒的消息。病毒损坏或删除了计算机上的一些重要文件。如果Windows或某些程序无法启动，或在启动时出现表明文件损坏或丢失的错误信息，则可能属于这种情况即使在您清理工作站之后，本文描述的症状依然存在，并且您能肯定问题是由病毒引起的。确保在您的计算机上安装了防火墙。有关安全性和防火墙的详细信息，请访问Microsoft Web站点。3.2 计算机病毒的技术防范措施 防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。为了将病毒拒之门外，就要做好以下预防措施：树立病毒防范意识，从思想上重视计算机病毒 要从思想上重视计算机病毒可能会给计算机安全运行带来的危害。对于计算机病毒，有病毒防护意识的人和没有病毒防护意识的人对待病毒的态度完全不同。例如对于反病毒研究人员，机器内存储的上千种病毒不会随意进行破坏，所采取的防护措施也并不复杂。而对于病毒毫无警惕意识的人员，可能连计算机显示屏上出现的病毒信息都不去仔细观察一下，任其在磁盘中进行破坏。其实，只要稍有警惕，病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。安装正版的杀毒软件和防火墙，并及时升级到最新版本(如瑞星、金山毒霸、江民、卡巴斯基、诺顿等)。另外还要及时升级杀毒软件病毒库，这样才能防范新病毒，为系统提供真正安全环境。 及时对系统和应用程序进行升级 及时更新操作系统，安装相应补丁程序，从根源上杜绝黑客利用系统漏洞攻击用户的计算机。可以利用系统自带的自动更新功能或者开启有些软件的“系统漏洞检查”功能(如“360安全卫士”)，全面扫描操作系统漏洞，要尽量使用正版软件，并及时将计算机中所安装的各种应用软件升级到最新版本，其中包括各种即时通讯工具、下载工具、播放器软件、搜索工具等，避免病毒利用应用软件的漏洞进行木马病毒传播。把好入口关 很多病毒都是因为使用了含有病毒的盗版光盘，拷贝了隐藏病毒的U盘资料等而感染的，所以必须把好计算机的“入口”关，在使用这些光盘、U盘以及从网络上下载的程序之前必须使用杀毒工具进行扫描，查看是否带有病毒，确认无病毒后，再使用。不要随便登录不明网站、黑客网站或色情网站 用户不要随便登录不明网站或者黄色网站，不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等，这样可以避免网络上的恶意软件插件进入你的计算机。养成经常备份重要数据的习惯 要定期与不定期地对磁盘文件进行备份，特别是一些比较重要的数据资料，以便在感染病毒导致系统崩溃时可以最大限度地恢复数据，尽量减少可能造成的损失。养成使用计算机的良好习惯 在日常使用计算机的过程中，应该养成定期查毒、杀毒的习惯。因为很多病毒在感染后会在后台运行，用肉眼是无法看到的，而有的病毒会存在潜伏期，在特定的时间会自动发作，所以要定期对自己的计算机进行检查，一旦发现感染了病毒，要及时清除。要学习和掌握一些必备的相关知识 无论您是只使用家用计算机的发烧友，还是每天上班都要面对屏幕工作的计算机一族，都将无一例外地、毫无疑问地会受到病毒的攻击和感染，只是或早或晚而已。因此，一定要学习和掌握一些必备的相关知识，这样才能及时发现新病毒并采取相应措施，在关键时刻减少病毒对自己计算机造成的危害。掌握了计算机病毒的知识，一旦遇到计算机病毒就不会“闻毒色变”，只要我们对计算机病毒有一个理性的认识并掌握一些防毒知识，就完全有可能让病毒远离我们。3.3 计算机病毒的检测方法3.3.1 比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP/FC或PCTOOLS等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作。3.3.2 加总比法根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再奖检查码附于程序的后面，或是将所有检查码放在同一个数据中，在利用此加总对比系统，追踪并记录每个程序的检查码是否遭更改，以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后，将里程表的数字记下来。那么下次您再开车时，只要比对一下里程表的数字，那么您就可以断定是否有人偷开您的车子。这种技术课侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到。3.3.3 搜索法搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的计算机病毒。国外对这种按搜索法工作的计算机病毒扫描软件叫Virus Scanner。计算机病毒扫描软件由两部分组成：一部分是计算机病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。目前常见的防杀计算机病毒软件对已知计算机病毒的检测大多采用这种方法。3.3.3 分析法一般使用分析法的人不是普通用户，而是防杀计算机病毒技术人员。使用分析法的目的在于：1、确认被观察的磁盘引导扇区和程序中是否含有计算机病毒；2、确认计算机病毒的类型和种类，判定其是否是一种新的计算机病毒；3、搞清楚计算机病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到计算机毒代码库供计算机病毒扫描和识别程序用；分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令后程序清单后进行分析，看计算机病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，并将计算机病毒感染文件的过程翻转为清除该计算机病毒、修复文件的过程；判断哪些代码可被用做特征码以及如何防御这种计算机病毒。分析人员具有的素质越高，分析过程越快、理解越深。动态分析则是指利用DEBUG等调式工具在内存带毒的情况下，对计算机病毒做动态跟踪，观察计算机病毒的具体工作过程，以进一步在静态分析的基础理解计算机病毒工作的原理。在计算机病毒编码比较简单的情况下，动态分析不是必须的。但当计算机病毒采用了较多的技术手段时，必须使用动、静相结合的分析方法才能完成整个分析过程。第四章：计算机病毒系统修复应急计划就象解决计算机2000年问题一样，对计算机病毒实施的技术防范，任何一个小小的隐患，都可能导致巨大的损失。所以，防范计算机病毒工作也需要制定应急计划，一旦发生了计算机病毒发作，按预定的应急计划行事，将可能造成的损失降到最小程度。一个应急计划必须包括人员、分工以及各项具体实施步骤和物质准备。1. 人员准备：首先需要指定一个全局的负责人，一般有领导担当，负责各项工作的分和协调。2. 应急计划的实施步骤（1） 对染毒的计算机和网络进行隔离（2） 向主管部门汇报计算机病毒疫情（3） 确定计算机病毒疫情规模（4） 破坏情况估计及制定抢救策略（5） 实施计算机网络系统恢复计划和数据抢救恢复计划此外，