计算机病毒网络

1、第八章计算机病毒及防治(fngzh) 一. 基本要求与基本知识点（1）了解计算机病毒产生的历史，掌握计算机病毒的概念、特征和分类；（2）了解计算机病毒的破坏现象和症状，掌握计算机病毒的结构；（3）学习引导型病毒的产生机理；（4）了解检测和防治病毒的常用方法。二. 教学重点与难点(ndin)（1）计算机病毒的概念和特征；（2）计算机病毒的组成；（3）引导型病毒的产生机理；（4）检测和防治病毒的常用方法。1共五十三页81 计算机病毒的基本概念 8.1.1 计算机病毒的定义计算机病毒实质上是一组计算机程序，因为计算机病毒在很多方面与生物病毒有相似之处，以此借用生物病毒的概念。在中华人民共和国计算机信

2、息系统安全保护条例中定义为：“计算机病毒（CV，Computer Viruses），是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令(zhlng)或者程序代码”。计算机病毒是一种“计算机程序”，它通过某种途径潜伏在计算机系统资源中，不仅能破坏计算机系统，而且还能传播、感染到其它系统。2共五十三页8.1.2 计算机病毒的产生(chnshng)和发展1949年计算机的创始人冯诺依曼的复杂自动组织论论文，提出计算机程序可以在内存中进行(jnxng)自我复制和变异的理论，勾勒出计算机病毒程序的特征。但当时，绝大多数计算机专家都无法想象这种会自

3、我复制的程序所带来的后果。1959年AT&TBell实验室的3位成员编制出一个称为“磁芯大战”（Core War）的游戏。游戏参与各方编制具有自我复制能力的程序，这些程序之间相互攻击，毁灭对方程序者为赢家。1975年美国科普作家约翰布鲁尔（John Brunner）写了一本名为震荡波骑士（Shock Wave Rider）的书。该书第一次描写了在信息社会中，计算机作为正义与邪恶双方斗争的工具，称为当年最畅销书之一。3共五十三页1977年夏天，美国作家托马斯捷瑞安（ThomasJRyan）的科幻小说P-1的青春（The Adolescence of P-1）轰动美国科普界。作者幻想了世界第一个计

4、算机病毒，可以从一台计算机传染(chunrn)到另一台计算机，最终控制了7000台计算机，酿成一场灾难，这实际上是计算机病毒的思想基础。“计算机病毒”这一概念是在这部科幻小说中提出的，今天却在现实生活中泛滥成灾，称为全球一大公害。1983年，弗雷德科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程序。并在全美计算机安全会议上提出，在VAXll750机上演示，从而在实验室证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。 4共五十三页1986年，在巴基斯坦的拉合尔，两个以编制(binzh)软件为生的兄弟巴希特（Basit）和阿姆杰德（Amjad），为打击那些

5、盗版软件的使用者，编制(binzh)了一个名为“巴基斯坦”（Brain）病毒。这就是最早在世界上流行的一个计算机病毒。1988年各种计算机病毒开始大肆流行，人们发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等。特别是1988年罗伯特莫里斯（Rober Moms）制造的蠕虫病毒首次通过网络传播病毒，是一起震撼世界的“计算机病毒侵入网络的案件”。5共五十三页自从计算机病毒出现以来，病毒在设计上越来越复杂，在数量上呈指数增长，并在功能或形态上发生了变异。纵观计算机病毒的发展过程不难看出，新病毒的产生、传播和蔓延(mn yn)与计算机软、硬件技术的发展和新的操作系统的广泛应用密切相关。随

6、着网络环境的普及应用与计算机软硬件规模的增大，在方便人们使用的同时，也扩展了病毒的传播途径，加快了病毒的传播速度，并且增加了检测难度。尤其是互联网的发展促使计算机病毒传播速度更快，传播空间更广，使病毒具有更大的危害性和破坏性。计算机病毒“无处不在，无时不有”。6共五十三页 8.1.3计算机病毒的特征(tzhng)和生物病毒相类似，计算机病毒具有传染性、潜伏性、可激活性以及破坏性等特征。（1）程序性计算机病毒（CV）是人为编制的一段可执行程序。CV要得到运行，必须有机会进入内存。CV是通过寄生在某些(mu xi)合法的可执行程序之上。当这些合法程序被调入内存运行时，CV也被载入内存，并抢先获得系

7、统控制权，被“合法”运行。（2）传染性传染性是CV的基本特征，是衡量CV的标准。计算机病毒会通过各种途径从已被感染的计算机扩散到未被感染的计算机，从已感染的一个网络传播到另一个未感染的网络。 7共五十三页（3）隐蔽性CV通常以附加或插入的方式，隐藏在可执行文件或数据文件等资源中，并以分散多处的方式存放(cnfng)。当CV程序运行时，先将分散的程序部分在内存中重新装配，构成一个完整的病毒程序，然后进入运行状态。一旦CV被发现，通常都是计算机已经感染病毒，并且已经发作，出现了异常。（4）潜伏性一个编织精巧的计算机病毒程序，具有短小精悍的特点，不易被察觉和发现。它进入系统之后一般不会马上发作，可以

8、在几周或者几个月内甚至几年内隐藏在合法系统资源中，对其它系统进行传染，而不被发现。潜伏性越好，其在系统中存在的时间就会越长，CV传染的范围就会越大。 8共五十三页（5）激活性因某个条件的出现，诱使CV感染或实施攻击的特性称为激活性。激活的本质是一种条件控制，其中条件可以是时间、日期、文件类型或特定的数据等病毒。CV具有预定的激活机制，在CV运行时，激活机制检查预定条件是否满足(mnz)。如果满足(mnz)，则启动感染或破坏动作；如果不满足(mnz)，则CV继续潜伏。（6）破坏性CV设计的目的就是干扰或破坏计算机系统的正常运行，其破坏程度各不相同，如有的侵占系统资源、降低系统性能；有的毁坏系统部

9、分或全部数据；有的造成系统瘫痪等。9共五十三页8.1.4 计算机病毒的分类(fn li)1、按攻击的操作系统进行分类攻击DOS系统的计算机病毒。此类CV出现最早、最多、变种也最多。攻击Windows系统的计算机病毒。由于Windows是图形用户界面和多任务操作系统，深受用户欢迎，Windows已经逐渐取代DOS，因此成为CV攻击的主要对象。发现的首例破坏计算机硬件的CIH病毒就是(jish)一个攻击Windows 95/98的病毒。攻击UNIX系统的计算机病毒。当前UNIX系统应用非常广泛，并且许多大型的信息系统均采用UNIX操作系统，因此UNIX病毒的出现，对信息系统也将是一个严重的威胁。1

10、0共五十三页攻击OS/2系统的计算机病毒。世界(shji)上已经发现攻击OS/2操作系统的病毒。2、按攻击的机型分类攻击微型计算机的病毒，即为世界上传染最广泛的一种病毒。攻击小型机的计算机病毒。小型机应用很广，1988年Internet受到worm程序攻击，许多小型机遭受破坏。攻击工作站的计算机病毒。近年来，工作站应用有了较大进展，因此对工作站攻击的病毒也构成对信息系统的威胁。11共五十三页3、按感染方式分类文件病毒：主要传染文件扩展名为COM、EXE等可执行文件。当这些文件被调入内存运行时，CV即可获得(hud)控制权，“合法”运行。引导区病毒：用计算机病毒的全部或部分取代正常的引导区数据，

11、而将正常的引导区数据移到磁盘的其它位置。由于引导区是磁盘能正常启动的先决条件，因此这种CV在运行一开始，就能获得系统控制权，其传染性较大。混合型病毒：指既传染磁盘引导区，又传染可执行文件的计算机病毒。宏病毒：感染数据文件的计算机病毒。如感染Word（DOC/DOT）文件和Excel（XLS）文件的宏病毒。12共五十三页4、按寄生方式分类覆盖式计算机病毒：计算机病毒将自身程序代码部分或全部的覆盖在宿主程序上，使合法程序的部分功能或全部功能被破坏；代替式计算机病毒：计算机病毒用自身程序代码替代宿主程序，从而使计算机病毒以“合法”身份运行(ynxng)。链接式计算机病毒：计算机病毒将自身程序代码附加

12、在宿主程序代码的首部、中间或最后，但不破坏原合法程序的代码。 转储式计算机病毒：病毒将原合法的程序代码转储到存储介质的其它位置，而用病毒代码占据原合法程序的位置。添充式计算机病毒：病毒程序代码侵占宿主程序的空闲存储空间，不改变宿主程序的字节长度。 13共五十三页5、按侵入的途径分类源码型计算机病毒：指计算机病毒程序(chngx)在源程序(chngx)被编译前就插入其中，而后被编译成合法程序(chngx)的一部分。这类病毒生成困难较大，较少见。操作系统型计算机病毒：指计算机病毒程序将自动加入或替代部分操作系统工作，这种病毒常见，且危害最大。程序型计算机病毒：将计算机病毒自身程序侵入到主程序中。这

13、类病毒在清除的同时，会破坏系统中的主程序。外壳型计算机病毒：将自身放在主程序的开头或结尾，不对原主程序作修改。这种病毒容易编制，也容易被发现和清除。14共五十三页8.2 计算机病毒的工作(gngzu)机理 8.2.1 计算机病毒的危害当病毒发作条件满足(mnz)时，病毒发作并表现出一定的症状和破坏性。根据计算机病毒危害的不同，病毒发作时表现出的症状可能有很大差别。从显示一些干扰信息，到降低系统性能，破坏数据（信息），直到造成系统瘫痪等。（1）计算机病毒对独立计算机系统的危害 破坏磁盘文件分配表或目录区，使用户磁盘上的信息丢失； 删除软盘或硬盘上的可执行文件或系统文件，使系统无法启动；15共五十

14、三页 修改或破坏(phui)文件的数据； 病毒程序自身在计算机系统中多次复制，使系统的存储空间减少，造成正常的文件不能存储； 删除或改写磁盘上的特定扇区； 对系统中用户存储的特定文件进行非法加密或解密； 感染和破坏压缩文件，使其在解压时失败； 改写BIOS中内容，使主板遭到毁灭性的破坏。16共五十三页（2）计算机病毒对网络的危害 病毒通过“自我复制”传染正在运行的系统，与正常的运行程序争夺系统资源，造成系统瘫痪，并通过网络系统侵害与之联网的其他计算机； 病毒会导致计算机控制的失灵； 病毒会导致电子邮件传递混乱或Email系统关闭； 病毒程序在激活(j hu)时，能删除系统存取器中的大量数据，使

15、与之相联的计算机用户的程序和数据丢失。 17共五十三页8.2.2 计算机病毒的结构(jigu)虽然不各种计算机病毒的机制和症状不尽相同，但计算机病毒的结构基本相似，一般由引导模块、传染模块和破坏模块三个功能模块组成。（1）引导模块引导模块又称载入模块，负责完成病毒的装入、初始化和截取系统控制权的功能。它借助与宿主程序，将整个病毒程序加载到内存安装(nzhung)好，并使传染模块和破坏模块进入活动状态。该模块使病毒由静态变为动态。18共五十三页（2）传染模块目的是将计算机病毒迅速传播，尽可能扩大传染范围，是计算机病毒不可缺少的模块。传染模块包括两部分：一是计算机病毒的条件判断部分，负责判断传染条

16、件是否成立 ；二是计算机病毒(bngd)的传染部分，负责复制一个计算机病毒(bngd)副本，并寄生于传染对象，完成病毒(bngd)的复制和传染任务。19共五十三页（3）破坏模块计算机病毒编制的意图是攻击和破坏计算机系统，因此破坏模块是计算机病毒的核心部分。该模块首先判断破坏条件是否成立，当条件成立时，破坏模块将对系统实施攻击和破坏。 引导模块借助宿主程序将病毒的传染模块和破坏模块加载到内存，使传染模块和破坏模块进入活动状态。由此可见，引导模块是传染和破坏的基础，依靠传染模块扩大传染范围，由破坏模块完成对计算机系统及其数据进行破坏的任务(rn wu)。图8-1给出了计算机病毒的工作流程。20共五

17、十三页图8-1 计算机病毒的工作(gngzu)流程21共五十三页从病毒的工作流程可见(kjin)： 病毒的运行过程分三个阶段，即引导阶段、传染阶段和破坏阶段； 病毒总是夺取系统控制权，先于宿主运行； 病毒一旦进入系统，一直会在系统中捕获传染对象，进行传染或破坏活动，直至关机才会从系统中消失。 22共五十三页8.3 计算机病毒实例(shl)分析本节介绍分析一种典型的主引导区病毒，即“大麻”病毒。1引导区的结构硬盘空间被划分为两部分(b fen)：主引导区和多个系统分区，如表8-1所示：表8-1 硬盘空间划分 （1）主引导区主引导程序是硬盘启动时首先执行的程序，负责读取磁盘划分信息，并调入活动分区

18、的引导程序运行。分区表描述了硬盘中个系统分区的划分情况。23共五十三页主引导区占据磁盘的0磁道0磁头的第一扇区，是一个隐藏扇区，它为系统的启动（硬盘启动）提供重要信息。它包含三个关键代码：第一个关键代码为FA33C0(起始位置)，第二个关键代码为800101（中间(zhngjin)位置），第三个关键代码为55AA（最后位置）。即主引导区的标志，如图8-2所示。24共五十三页通常抗病毒软件的特征扫描(somio)检测，就是通过检测这些代码的完整性，来检测主引导区的数据完整性。图8-2 主引导(yndo)分区 25共五十三页（2）系统分区(fn q)多个系统分区是分别提供给各种不同的操作系统（如D

19、OS/Windows、UNIX、OS/2等）使用的区域，每个区域只能存放一种操作系统。每个系统分区中的操作系统具有自己的分区引导程序、文件分配表、文件根目录区以及数据区。 例如只含DOS系统分区的硬盘空间分配如表8-2所示。系统分区只能有一个活动分区，启动时活动分区中的引导程序被调入内存执行。表8-2只含DOS系统分区的硬盘空间分配 26共五十三页2计算机的引导过程系统启动时，磁盘自举程序首先判断是否从软盘启动，如不能进行软盘启动，则转向硬盘启动。主引导程序是硬盘启动时首先要执行的程序，由它完成活动分区引导程序的装入，从而进一步引导系统。硬盘启动DOS的过程大致分三个阶段：（1）开机加电，由硬

20、件重设CPU的各寄存器，并从F000：0000处开始执行BIOS程序。（F000段是BIOS（基本输入/输出系统）部分，是出厂(ch chng)时由厂家固化在ROM中的一组小程序，这些程序以中断号来调用），进行各项BIOS的初始化和检测工作。之后由BIOS得中断INT 13H，从硬盘读入第0磁道0磁头1扇区的主引导区内容到0000：7C00H的内存中，随后转入第二阶段；27共五十三页（2）程序指针转向0000：7C00H，执行从硬盘读入的主引导程序。这段程序执行后，从硬盘的1磁道0磁头1扇区中将硬盘DOS分区的引导程序读入到0000：7C00H的内存中，随后转入第三阶段；（3）程序指针转向00

21、00：7C00H，执行从硬盘读入的DOS分区引导程序，连续(linx)加载IO.SYS和MSDOS.SYS两个系统文件，并启动COMMAND程序，完成DOS系统的加载。28共五十三页在DOS系统加载过程中，需要进行“读入”和“执行”操作，使病毒有机会进入内存并获得系统控制权。第一阶段从0磁道0磁头1扇区加载主引导程序，第二阶段执行之。如果病毒的引导模块替换了这一扇区，则可顺利(shnl)被加载，并获得系统控制权，这类病毒被称为主引导区病毒；第二阶段从1磁道0磁头1扇区加载DOS分区引导程序，第三阶段执行之。如果病毒的引导模块替换了该扇区，则可顺利被加载，并获得系统控制权，这类病毒被称为引导区病

22、毒，又称为BOOT病毒。29共五十三页由此可见，主引导区病毒第一阶段被载入，并在第二阶段获得系统控制权。引导区病毒在第二阶段被载入，并于第三阶段获得系统控制权。主引导分区是硬盘所特有的，因此(ync)由DOS系统软盘进行的启动，要比硬盘启动时少执行一段主引导程序，只需要加载软盘引导分区到内存并执行。主引导区病毒和BOOT病毒的有许多相似之处，二者研究方法基本相同，在此我们仅讨论主引导区病毒。30共五十三页3主引导区病毒的工作原理病毒往往从“底层”侵入，破坏计算机系统。所谓“底层”是指病毒直接利用操作系统控制系统资源，甚至有时越过操作系统强行控制计算机系统硬件资源。主引导区病毒的侵入属于后一种情

23、况。病毒感染硬盘的主引导区时，原主引导区内容被移到0道0头的其它空闲扇区，而病毒的引导模块则占据0磁道0磁头1扇区，伺机传染和破坏。一旦从硬盘启动，病毒引导模块便自动装入内存并获得系统控制权。然后(rnhu)病毒引导程序负责将病毒的其它部分（如传染模块和破坏模块）装入内存适当位置，并采取驻留技术以保证其不会被覆盖，同时还设定病毒发作条件等。完成上述工作后，病毒程序将控制权移交给主引导程序，是系统在带毒状态下启动。31共五十三页（1）加电检测后，由于系统的其它功能没有设置好，DOS尚未启动，此时病毒无法利用DOS对系统入侵，而是通过BIOS中断的INT 13H来载入内存。主引导区病毒是一种在执行

24、ROMBIOS之后，在分区系统启动之前感染计算机的病毒，它依托BIOS中断服务程序载入，并先于操作系统获得控制权。（注：主引导程序为隐藏区，不属于任何系统分区，独立于操作系统，不能通过操作系统的功能读写，必须(bx)使用BIOS提供的物理硬盘读写中断功能进行读写。）32共五十三页（2）主引导区病毒隐藏在硬盘中，每次计算机启动时都会被激活，当满足条件时，进行传染和破坏。 （3）主引导区病毒往往通过带毒的软盘在启动时，进行传染和扩散的。因为只要机器一访问软盘，主引导区病毒就会传染软盘，而用该带毒软盘启动系统时，又会传染未染毒(rn d)的硬盘。所以通过软盘很容易使主引导区病毒从一台机器传播到另一台

25、机器。33共五十三页4、“大麻“主引导(yndo)区病毒大麻病毒目前已有多个变种。早在1988年初，在新西兰的惠灵顿市报道发现了大麻病毒大麻病毒，因此又称其为新西兰病毒。最初的大麻病毒不感染硬盘，只感染软盘。变种之后，大部分感染硬盘，并有屏幕显示信息：“Your PC is now stoned！”。大约1989年大麻病毒传入我国，成为当时四处传播的主要病毒之一。大麻病毒短小，总共不到400个字节的代码，可以完成驻留内存、修改中断向量、区别软盘和硬盘、感染软盘、感染硬盘、显示信息等多个功能。图8-3为大麻病毒的加载过程。34共五十三页图8-3大麻(dm)病毒加载过程35共五十三页 大麻病毒特点

26、如下：（1）大麻病毒感染硬盘时，首先将原主引导区内容移至0磁头0磁道7扇区，而将病毒引导模块放入0磁道0磁头1扇区的主引导区中。其对磁盘的破坏性，因DOS版本的不同而不同。对DOS2.x的FDISK划分分区时，0磁道0磁头7扇区中正好是存放FAT文件(wnjin)分配表，因此硬盘的感染将使文件(wnjin)分配表FAT被破坏，从而使硬盘无法启动。对DOS3.x的FDISK，则将0磁道0磁头7扇区作为保留扇区，感染病毒对硬盘影响不大。由于病毒占据了主引导区，系统启动后会首先进行病毒加载，病毒进入内存后，再读出原主引导区内容，进行正常引导。36共五十三页（2）病毒的驻留方式大麻病毒在驻留内存时，采

27、用驻留内存高端的方法。大麻病毒首先确定RAM空间的最高端地址，然后将传染和破坏模块装入最高端的2KB中，并将系统内存可用空间减少2KB，这样在之后引导装入分区操作系统时，就不会覆盖存放病毒的空间。（3）病毒的传染和发作大麻病毒修改INT 13H中断向量的入口地址，使其指向病毒的传染和破坏模块，即原正常中断服务程序之前(zhqin)插入了病毒的传染和破坏模块。37共五十三页通过检测INT 13H的功能调用来确定是否进行传染或发作。病毒对硬盘的读写操作通常不予以理睬，而直接执行正常的中断服务程序。因为硬盘启动时就带有病毒或由带毒软盘启动时已感染病毒硬盘，因此无需重复传染。而对于软盘的读写操作，通常

28、都要进行传染。这是因为此类病毒是通过软盘进行传播的。当对软盘进行读写操作时，系统调用INT 13H中断，于是先执行病毒的传染和破坏模块，然后再执行正常的中断服务程序。通过执行INT 13H，完成对软盘的传染：将软盘0磁道0磁头1扇区的引导区内容移到0磁道1磁头3扇区存放，而将病毒的引导模块放入BOOT区。之后判断病毒是否满足发作条件，并做相应(xingyng)的操作。38共五十三页8.4 计算机病毒的检测(jin c)与清除成熟的反病毒(bngd)技术已经完全可以作到对所有的已知病毒(bngd)进行检测、清除和预防。反计算机病毒(bngd)主要从查毒、杀毒、防毒三方面来进行。“查毒”是指对于确

29、定的环境（包括内存、文件、引导区/主导区、网络等），能够准确地检测出是何种计算机病毒。“杀毒”是指根据不同类型病毒，按照病毒的感染特性，对感染对象所进行的恢复。感染对象包括内存、引导区（含主引导区）、可执行文件、文档文件、网络等。“防毒”是指根据系统特性，采取相应的系统安全措施，预防病毒侵入计算机。39共五十三页 8.4.1计算机病毒的检测(jin c)计算机病毒的检测是指通过一定的技术手段判定计算机病毒的过程。计算机病毒进行传染会留下痕迹，因此检测计算机病毒，要对病毒的寄生场所进行检查，发现异常，确认计算机病毒的存在。如果系统感染病毒，要及时检测病毒，以确定病毒的类型和种类，以及所在的文件或

30、磁盘，为清除病毒做准备。通常有以下检测方法。1、特征(tzhng)代码扫描法病毒的特征代码是病毒程序编制者，用来识别自己所编写病毒程序的唯一代码串。如“黑色星期五”病毒以“MSDOS”作为自身的特征代码。由于特征代码与病毒一一对应，因此一旦发现病毒特征代码，便可以断定感染了何种病毒。特征代码扫描法通过病毒扫描程序进行检测，常见的有我国公安部发行的SCAN. EXE和美国McAfee Associates的SCAN.EXE。40共五十三页2、比较法病毒感染系统和文件(wnjin)，常引起系统或文件(wnjin)的变化，这种变化包括长度和内容上的变化。因此可以通过比较系统和文件(wnjin)的变化

31、，来检测病毒。（1）用原始备份与被检测的引导扇区进行比较。如“大麻”病毒会使硬盘主引导区或软盘引导区内容发生变化。（2）用原始备份与被检测的文件进行比较。许多病毒在对文件进行传染后，会改变文件的属性及长度。如感染“黑色星期一”病毒，文件长度会增加1055字节。（3）大部分病毒是要驻留内存的，因此可以通过检测内存空间是否无故减少，来检测病毒的存在。如感染“大麻”病毒时，常驻内存容量减少2K字节。41共五十三页（4）此外病毒常采用“截留盗用”技术，窃取并修改向量中断入口地址，插入病毒传染和破坏模块，获得中断控制权。如“大麻”病毒对软盘的传染和破坏是通过修改INT 13H入口地址实现的。因此可以通过

32、检测中断向量表是否发生变化，来检测病毒的存在。比较法可以使用常规DOS软件和PCTOO LS工具进行检测，方便简单，无需专用软件。3、分析法分析法是反病毒专业技术人员常使用的方法。病毒分析法利用常用(chn yn)的病毒剖析工具，确认系统是否感染病毒，如果病毒存在，需要确认病毒的类型和种类。此外，还可以发现是否感染新病毒。如果感染新病毒，则分析其结构和代码，提取其特征代码，增添到病毒代码库，并制定相应的反病毒方案。42共五十三页常用的病毒分析工具主要有：DEBUG：是DOS系统提供的一个(y )动态调试程序，它是解剖、分析病毒的常用工具之一。DEBUG提供一个(y )可控的调试环境，使用户能够

33、监督和控制被调试程序的执行，能够方便地装入、显示、修改和执行文件，可以检查、修改指定的内存区域中的内容，检查、修改软硬盘上指定扇区内容。利用DEBUG，可以直接对系统内存、对软硬盘上指定扇区或指定文件进行操作，检测和清除计算机病毒。43共五十三页PCTOOLS：提供了许多与DOS相同的功能，并且还增加了更多的其它功能。如恢复删除文件，查看文件内容(nirng)，在磁盘或文件中搜索字符串，显示磁盘结构和系统信息等。利用PCTOOLS，可以查看磁盘DOS区的所有细节，因此可以检测和分析某些病毒。Norton Utility：对磁盘操作系统功能很强，它除了具有PCTOOLS软件的功能之外，还具有一些独特的功能。它可以查看、编辑磁盘上任一扇区的数据，包括磁盘分区表、BOOT区、FAT表、目录区和文件区的数据，也可以选择ASCII码进行操作，并得到非文件区的一些特定参数的解释，如FFF7为坏簇。利用Norton Utility，可以获得磁盘信息，恢复磁盘文件，对磁盘映射，也可以对磁盘进行读写，读写文件、读写簇、读写扇区等，对于诊断和清除病毒十分有效。44共五十三页 8.4.2 计算机病毒的清除(qngch)去除系统或文件中的病毒代码，使之恢复成为正常运行的系统或文件，称为杀毒或病毒的清除。一般有两种清除病毒的方法：一是根据(gnj)