计算机病毒介绍资料.doc

计算机病毒特点分析 如何根据名称识别计算机病毒 区别计算机病毒与故障技巧篇 详细讲解病毒的知识(1) 详细讲解病毒的知识(2) 计算机病毒的入侵方式及分类 防御计算机病毒十大必知步骤 判断病毒的标准及清除方法 VBS脚本病毒原理分析及防范(1) VBS脚本病毒原理分析及防范(2) VBS脚本病毒原理分析及防范(3) VBS脚本病毒原理分析及防范(4) 简介概述计算机病毒的演变历史 防范与清除 文件型病毒的消毒原理 传染型病毒混合感染的清除方法 病毒杀不掉的原因以及处理方法 常见危险文件病毒的防范方法 窥视计算机病毒的磁盘存储结构 病毒出现时可能引发的异常现象 电脑客户端的病毒防护步骤(1) 电脑客户端的病毒防护步骤(2) 电脑客户端的病毒防护步骤(3) 邮件病毒入侵后的清除步骤 图文详解 QQ病毒查杀实战(1) 图文详解 QQ病毒查杀实战(2) 图文详解 QQ病毒查杀实战(3) 宽带用户防范病毒入侵的对策 恶意网页病毒症状分析及修复方法(1) 恶意网页病毒症状分析及修复方法(2) 详解六大QQ病毒特征及清除方法(1) 详解六大QQ病毒特征及清除方法(2) 详解六大QQ病毒特征及清除方法(3) 详解六大QQ病毒特征及清除方法(4) 防止电脑反复中病毒及重复感染 几种常见恶性电脑病毒清除方法(1) 几种常见恶性电脑病毒清除方法(2) 特洛伊木马特点分析 木马是如何启动的 木马的隐藏方式 木马的种类 特洛伊木马具有的特性 中木马后出现的状况 端口木马安全扫描应用知识(1) 端口木马安全扫描应用知识(2) 端口木马安全扫描应用知识(3) 清除木马不如预防木马 木马防范与清除 防范木马和黑客 保护QQ安全 104种木马的手工清除方法(一) 104种木马的手工清除方法(一) 104种木马的手工清除方法(一) 关于木马隐藏一个的新方法 教您手工轻松清除隐藏在电脑里的病毒和木马 网上九大流行木马清除方法(1) 网上九大流行木马清除方法(2) 网上九大流行木马清除方法(3) 用DOS命令检查特洛伊木马 菜鸟怎样杀木马 黑客是如何骗取你执行木马的 查看文件属性帮你清除木马 笔记本中“特洛伊木马”清除记 黑客种植木马的方法及防范策略 黑客的木马Web应用程序 网络安全之特洛伊木马攻防战略 使用windows2k注册表防御BO 2k木马 查看开放端口判断木马的方法 蠕虫病毒特点分析 蠕虫病毒的特征 网络蠕虫病毒的检测与防治(1) 网络蠕虫病毒的检测与防治(2) 分析蠕虫病毒传播模式 蠕虫：病毒家族里古老又年轻的一员 蠕虫病毒的防范与清除 企业防范蠕虫病毒措施 全面了解蠕虫病毒(1) 全面了解蠕虫病毒(2) 解析并防范计算机蠕虫病毒 “冲击波”清除常见问题 “SCO炸弹”蠕虫病毒分析报告 如何快速识别“震荡波”病毒 网络蠕虫病毒的预警与防范（图） 2000用户中震荡波时采取的措施 如何完全清除“震荡波”病毒 Win XP中震荡波后应采取的措施 计算机病毒特点分析如何根据名称识别计算机病毒很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？ 其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：. 。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 _），可以采用数字与字母混合表示变种标识。综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。4、脚本病毒 脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）可不是我们的老大代码兄哦 _。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。6、后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。7、病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。8破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。9玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。10捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者服务器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。计算机病毒特点分析区别计算机病毒与故障技巧篇 在清除计算机病毒的过程中, 有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起, 同时有些病毒发作现象又与硬件或软件的故障现象相类似, 如引导型病毒等。这给用户造成了很大的麻烦, 许多用户往往在用各种查解病毒软件查不出病毒时就去格式化硬盘, 不仅影响了硬盘的寿命, 而且还不能从根本上解决问题。所以, 正确区分计算机的病毒与故障是保障计算机系统安全运行的关键。 一、计算机病毒的现象与查解方法 在一般情况下, 计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散, 病毒发作时危及计算机的正常工作, 破坏数据与程序, 侵犯计算机资源。计算机在感染病毒后, 总是有一定规律地出现异常现象: 屏幕显示异常, 屏幕显示出不是由正常程序产生的画面或字符串, 屏幕显示混乱; 程序装入时间增长, 文件运行速度下降; 用户没有访问的设备出现工作信号; 磁盘出现莫名其妙的文件和坏块, 卷标发生变化; 系统自行引导; 丢失数据或程序, 文件字节数发生变化; 内存空间、磁盘空间减小; 异常死机; 磁盘访问时间比平时增长; 系统引导时间增长。 如果出现上述现象时, 应首先对系统的BOOT区、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE文件进行仔细检查, 并与正确的文件相比较, 如有异常现象则可能感染病毒。然后对其它文件进行检查，有无异常现象, 找出异常现象的原因。病毒与故障的区别的关键是, 一般故障只是无规律的偶然发生一次而病毒的发作总是有规律的。 这里建议使用在DOS6.0以上版本所带的MSAV软件, 它的最突出的功能是能查出所有文件的变化, 并能做出记录。 如果MSAV报告有大量的文件被改动, 则系统可能被病毒感染。二、与病毒现象类似的硬件故障 硬件的故障范围不太广泛, 但是很容易被确认。在处理计算机的异常现象时很容易被忽略, 只有先排除硬件故障,才是解决问题的根本。 1. 系统的硬件配置 这种故障常在兼容机上发生, 由于配件的不完全兼容, 导致一些软件不能够正常运行。笔者遇到过一台兼容机, 联迅绿色节能主板, 昆腾大脚硬盘, 开始时安装小软件非常顺利, 但是安装WINDOWS时却出现了装不上的故障, 开始也怀疑病毒作怪, 在用了许多杀毒软件后也不能解决问题。后来查阅了一些资料才发现了问题所在, 因主板是节能型的,而CPU、硬盘却不是节能型的, 当安装软件的时间超过主板进入休眠时间的期限时, 主板就进入了休眠状态, 于是就由于主板、CPU、硬盘工作不协调而出现了故障。解决的办法很简单, 把主板的节能开关关掉就一切正常了。所以, 用户在自己组装计算机时应首先考虑配件的兼容性, 购买配件前应仔细阅读产品说明书。2. 电源电压不稳定 由于计算机所使用的电源的电压不稳定, 容易导致用户文件在磁盘读写时出现丢失或被破坏的现象, 严重时将会引起系统自启动。如果用户所用的电源的电压经常性的不稳定, 为了使您的计算机更安全地工作, 建议您使用电源稳压器或不间断电源（UPS）。 3. 插件接触不良 由于计算机插件接触不良, 会使某些设备出现时好时坏的现象。例如: 显示器信号线与主机接触不良时可能会使显示器显示不稳定; 磁盘线与多功能卡接触不良时会导致磁盘读写时好时坏; 打印机电缆与主机接触不良时会造成打印机不工作或工作现象不正常; 鼠标线与串行口接触不良时会出现鼠标时动时不动的故障等等。 4. 软驱故障 用户如果使用质量低劣的磁盘或使用损坏的、发霉的磁盘, 将会把软驱磁头弄脏, 出现无法读写磁盘或读写出错等故障。遇到这种情况, 只需用清洗盘清洗磁头, 一般情况下都能排队故障。如果污染特别严重, 需要将软驱拆开, 用清洗液手工清洗。 5. 关于CMOS的问题 众所周知, CMOS中所存储的信息对计算机系统来说是十分重要的, 在微机启动时总是先要按CMOS中的信息来检测和初始化系统(当然是最基本的初始化)。在486以上的主板里, 大都有一个病毒监测开关, 用户一般情况下都设置为ON, 这时如果安装WINDOWS95, 就会发生死机现象。原因是安装WINDOWS95时, 安装程序会修改硬盘的引导部分、系统的内部中断和中断向量表, 而病毒监测程序不允许这样做, 于是就导致了死机。 建议用户在安装新系统时, 先把CMOS中病毒监测开关关掉。另外, 系统的引导速度和一些程序的运行速度减慢也可能与CMOS有关, 因为CMOS的高级设置中有一些影子内存开关, 这也会影响系统的运行速度。 三、与病毒现象类似的软件故障 软件故障的范围比较广泛, 问题出现也比较多。对软件故障的辨认和解决也是一件很难的事情, 它需要用户有相当的软件知识和丰富的上机经验。这里介绍一些常见的症状。 1. 出现Invalid drive specification(非法驱动器号) 这个提示是说明用户的驱动器丢失, 如果用户原来拥有这个驱动器, 则可能是这个驱动器的主引导扇区的分区表参数破坏或是磁盘标志50AA被修改。遇到这种情况用DEBUG或NORTON等工具软件将正确的主引导扇区信息写入磁盘的主引导扇区。 2. 软件程序已被破坏(非病毒) 由于磁盘质量等问题, 文件的数据部分丢失, 而这程序还能够运行, 这时使用就会出现不正常现象, 如Format程序被破坏后, 若继续执行, 会格式化出非标准格式的磁盘, 这样就会产生一连串的错误。但是这种问题极为罕见。 3. DOS系统配置不当DOS操作系统在启动时会去查找其系统配置文件CONFIG.SYS,并按其要求配置运行环境。如果系统环境设置不当会造成某些软件不能正常运行, 如CC+语言系统、AUTOCAD等等。原因是这些程序运行时打开的文件过多, 超过系统默认值。 4. 软件与DOS版本的兼容性 DOS操作系统自身的特点是具有向下的兼容性。但软件却不同,许多软件都要过多地受其环境的限制, 在某个版本下可正常运行的软件, 到另一个DOS版本下却不能正常运行, 许多用户就怀疑是病毒引起的。如旧版的2.13汉字系统, 在DOS 3.30下运行正常, 而在DOS6.2下运行会出现乱码现象。 5. 引导过程故障 系统引导时屏幕显示Missing operating system（操作系统丢失）, 故障原因是硬盘的主引导程序可完成引导,但无法找到DOS系统的引导记录。造成这种现象的原因是C盘无引导记录及DOS系统文件, 或CMOS中硬盘的类型与硬盘本身的格式化时的类型不同。需要将系统文件传递到C盘上或修改CMOS配置使系统从软盘上引导。 6. 用不同的编辑软件程序 用户用一些编辑软件编辑源程序, 编辑系统会在文件的特殊地方做上一些标记。这样当源程序编译或解释执行时就会出错。例如, 用WPS的N命令编辑的文本文件, 在其头部也有版面参数,有的程序编译或解释系统却不能将之与源程序分辨开, 这样就出现了错误。 7. 有关FOXBASE问题 经常使用FOXBASE的用户可能会发现在磁盘中会生成一些S字符或数字命名的文件, 还会发现某些数据库文件数据丢失。这一现象与计算机病毒极为相似, 其实造成这一现象的主要原因是用户在使用FOXBASE后，没有后退到DOS状态就关掉机器, 或在使用FOXBASE中途掉。建议用户在使用FOXBASE后返回到DOS状态后才关机, 否则不但会造成上述现象, 并且会对磁盘造成损坏。 在学习、使用计算机的过程中, 可能还会遇到许许多多与病毒现象相似的软硬件故障, 所以用户要多阅读、参考有关资料, 了解检测病毒的方法, 并注意在学习、工作中积累经验, 就不难区分病毒与软硬件故障了。计算机病毒特点分析详细讲解病毒的知识(1) 一、病毒的历史 自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的蠕虫病毒事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，蠕虫在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。 在国内，最初引起人们注意的病毒是80年代末出现的黑色星期五，米氏病毒，小球病毒等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步。 最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的P1的青春一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。二、病毒的产生 那么究竟它是如何产生的呢？那么究竟它是如何产生的呢？ 1、开个玩笑，一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。 2、产生于个别人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程高手身上，那么他有可能会编制一些危险的程序。 在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。 3、用于版权保护。计算机发展初期，由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。三、病毒的特征 未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。1. 传染性.正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 2. 隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。 3. 潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如PETER-2在每年2月27日会提三个问题，答错后会将硬盘加密。著名的黑色星期五在逢13号的星期五发作。国内的上海一号会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。 4. 破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。 5. 不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。计算机病毒特点分析详细讲解病毒的知识(2) 四、病毒的定义 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。（此节内容摘自计算机安全管理与实用技术一书） 五、病毒的分析 计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分: 1、引导部分的作用是将病毒主体加载到内存，为传染部分做准备（如驻留内存，修改中断，修改高端内存，保存原中断向量等操作）。 2、传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。 3、表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部分。 六、病毒的命名 对病毒命名，各个反毒软件亦不尽相同，有时对一种病毒不同的软件会报出不同的名称。如SPY病毒，VRV起名为SPY，KV300则叫TPVO-3783。给病毒起名的方法不外乎以下几种： 1、按病毒出现的地点，如ZHENJIANG_JES其样本最先来自镇江某用户。 2、按病毒中出现的人名或特征字符，如ZHANGFANG-1535，DISK KILLER，上海一号。 3、按病毒发作时的症状命名，如火炬，蠕虫。 4、按病毒发作的时间，如NOVEMBER 9TH在11月9日发作。有些名称包含病毒代码的长度，如PIXEL.xxx系列,KO.xxx等 。计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。 七、病毒的分类 从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。1、按破坏性可分为：良性病毒，恶性病毒。前面已介绍过。 （1）良性病毒：仅仅显示信息、奏乐、发出声响，自我复制的。 （2）恶性病毒：封锁、干扰、中断输入输出、使用户无法打印等正常工作，甚至电脑中止运行。 （3）极恶性病毒：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统死机、崩溃、无法重启。 （4）灾难性病毒：破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。2、新兴一族：宏病毒。 按传染方式分为：引导型病毒、文件型病毒和混合型病毒。 （1）文件型病毒：一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。 （2）混合型病毒：兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径（如97年国内流行较广的TPVO-3783（SPY）。按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。 （1）源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 （2）入侵型病毒：可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。 （3）操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。 （4）外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。病毒现象种种 用户在运行外来软件或从Internet网下载文件时，很可能无意中给计算机感染上病毒，但绝大多数的用户不能马上发现自己的计算机被感染上病毒，当然我们可以根据种种现象去判断您的微机是否感染上病毒。其现象分为： 1、病毒发作前：（1）计算机无故死机（2）计算机无法启动（3）Windows3.X运行不正常（4）Windows9X无法正常启动（5）微机运行速度明显变慢（6）曾正常运行的软件常报内存不足（7）微机打印和通讯发 生异常（8）曾正常运行的应用程序发生死机或者非法错误 （9）系统文件的时间、日期、长度发生变化（10）运行Word，打开文档后，该文件另存时只能以模板方式保存（11）无意中要求对软盘进行写操作 （12）磁盘空间迅速减少（13）网络数据卷无法调用（14）基本内存发生变化 根据上述几点，我们就可以判断您的微机和网络是否感染上病毒，如当前流行的Win95.CIH病毒，通常也会表现为某些应用软件经常发生死机。2、病毒发作中病毒的发作，有的只按时间来确定，有的按重复感染的次数来确定，但更多数是随机发生。发作时表现为：提示一段话 发出动听的音乐 产生特定的图象 硬盘灯不断闪烁 进行游戏算法 Windows桌面图标发生变化 3、病毒发作后 恶性病毒发作后会导致下列情况： 硬盘无法启动，数据丢失 系统文件丢失 文件目录发生混乱 部分文档丢失 部分文档自动加密码 丢失被病毒加密的有关数据 修改某些Autoexec.bat文件，增加Format一项，导致计算机重新启动时格式化硬盘上的所有数据 使部分可升级主板的BIOS程序混乱，主板被破坏。引导型病毒一般侵占硬盘的引导区（即BOOT区），感染病毒后，引导记录会发生变化。计算机病毒特点分析计算机病毒的入侵方式及分类 要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。如按其入侵的方式来分为以下几种： a、源代码嵌入攻击型 从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。 b、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。 c、系统修改型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。 d、外壳附加型 这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。 如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种： a、良性病毒： 这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。 b、恶性病毒 我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为“恶性病毒”，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。 c、极恶性病毒 这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。 d、灾难性病毒 这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这“万一”。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。计算机病毒特点分析防御计算机病毒十大必知步骤 近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤： 1、用常识进行判断 决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件 - 因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。 2、安装防病毒产品并保证更新最新的病毒定义码 建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”（LiveUpdate）功能。 3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。 确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。5、不要从任何不可靠的渠道下载任何软件 这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。 6、警惕欺骗性的病毒如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，如赛门铁克的网站/avcenter， 证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。 7、使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。8、不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。 9、禁用Windows Scripting HostWindows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。 10、使用基于客户端的防火墙或过滤措施如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。计算机病毒特点分析判断病毒的标准及清除方法 在通常情况下，普通计算机用户分不清影响自己系统工作的“恶意程序”是病毒还是木马。要知道，如果能够区分是什么类型的病毒，对于顺利清除病毒会大有帮助。病毒程序的最大特点是具有“主动传染性”。病毒可以侵入到整个系统使其受到感染，而每个受感染的程序又可能成为一个病毒，继续将病毒传染给其他程序。一个病毒程序的最大特征在于，它能够传染别的程序，并且具有传递性。这使它有别于同样具有隐蔽性、激发性和攻击性的逻辑炸弹、特洛伊木马等。相对于“恶作剧邮件”而言，这种传染性是主动的，而恶作剧邮件是欺骗收件人，让收件人利用邮件工具发送的，程序本身并不具备主动传播的特性，因而不是病毒。因此传染性成为判定一个程序是否为病毒的首要条件，甚至可以称为充分条件。因为有的病毒大量传播，却对宿主机不会造成任何破坏，比如前一段时间发现的SARS病毒。病毒传播的方式多种多样，传统的病毒一般通过感染可执行程序传播，通常称之为文件型病毒，这类病毒名前辍一般为Win32、Win95等等。文件型病毒感染文件后，会将病毒代码添加到正常程序的代码中。杀毒软件清除这些插入的代码就可以修复文件，但有的病毒是用病毒代码覆盖可执行程序的正常代码，杀毒软件清除病毒后很难知道程序被感染之前的代码是什么，也就意味着，清除这类病毒后，不能保证程序完全被修复，一般就需要找一个正常的备份文件来恢复。因此，我们知道，清除病毒并不等同于修复文件。通常修复被病毒破坏的文件，特别是可执行程序是困难的。而木马程序通常并不感染文件，木马一般会修改注册表的启动项，或者修改打开文件的关联而获得运行机会。正是由于这个特点，使得我们了解某个木马的入侵特征后，可以相对容易地用手工方法将其清除。杀毒软件清除木马的方法一般就是删除木马生成的文件，因此在你使用杀毒软件扫描后，发现最终是删除了这个带毒文件，也不用感到奇怪。这个程序本来就不是系统的正常文件，把它删除不会对系统产生任何不良影响。计算机病毒特点分析VBS脚本病毒原理分析及防范(1)网络的流行，让我们的世界变得更加美好，但它也有让人不愉快的时候。当您收到一封主题为“I Love You”的邮件，用兴奋得几乎快发抖的鼠标去点击附件的时候；当您浏览一个信任的网站之后，发现打开每个文件夹的速度非常慢的时候，您是否察觉病毒已经闯进了您的世界呢？2000年5月4日欧美爆发的“爱虫”网络蠕虫病毒。由于通过电子邮件系统传播，爱虫病毒在短短几天内狂袭全球数百万计的电脑。微软、Intel等在内的众多大型企业网络系统瘫痪，全球经济损失达几十亿美元。而去年爆发的新欢乐时光病毒至今都让广大电脑用户更是苦不堪言。 上面提及的两个病毒最大的一个共同特点是：使用VBScript编写。以爱虫和新欢乐时光病毒为典型代表的VBS脚本病毒十分的猖獗，很重要的一个原因就是其编写简单。下面我们就来逐一对VBS脚本病毒的各个方面加以分析：一、Vbs脚本病毒的特点及发展现状VBS病毒是用V