毕业设计 病毒入侵微机的途径与防治研究

1本科毕业论文(病毒入侵微机的途径与防治研究)2011年04月26日2病毒入侵微机的途径与防治研究摘要：目前计算机的应用深入到社会的各行各业，计算机与人们的生产生活密切相关已然成为人们生活的一部分或者说一种生活方式。每件事物都有它的好处和它的坏处，对于计算来说它丰富了我们的生活、方便了我们的工作、提高了生产率、创造了更高的财富价值这是它的好处，但同时伴随计算机的深入应用计算机病毒产生或发展也给我们带来了巨大的破坏和潜在的威胁，这是坏处。对于大多数一般的计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机的普及与深入，对计算机病毒的防范也在越来越受到计算机用户的重视。作为计算机的使用者，应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作，计算机病毒的防范工作，已经迫在眉睫。本论文从计算机病毒概述及入侵途径、计算机病毒防范、计算机病毒治理清楚入手，浅谈计算机病毒的特点及其应对手法。关键词：计算机病毒计算机安全入侵途径病毒防治31.计算机病毒的概述 1.1计算机病毒的定义 1.2计算机产生与发展 1.3计算机病毒的特性 1.4计算机病毒发展趋势 1.5计算机病毒的分类 1.6计算机病毒入侵途径 2.计算机病毒防范和清除的基本原则和技术 2.1计算机病毒防范的概念和原则 2.2计算机病毒防范基本技术 2.3清除计算机病毒的基本方法 3.典型计算机病毒的原理、防范和清除 3.1引导区计算机病毒 3.2文件型计算机病毒 3.3脚本型计算机病毒 3.4特洛伊木马计算机病毒 3.5蠕虫计算机病毒 5.熊猫烧香病毒剖析 4 提起计算机病毒，绝大多数计算机的使用者都会深恶痛绝，因为没有“中过招”的人已经是凤毛麟角了。但在谈虎色变之余，很多人对计算机病毒又充满了好奇，对病毒的制造者既痛恨又敬畏。这种复杂的感情实际上很容易理解，就像古人面对大自然的感情一样，因为无法解释风雨雷电，也就只能制造神话，崇拜图腾了。计算机病毒当然不值得崇拜，它给社会信息化的发展制造了太多的麻烦，每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但同时，它也催化了一个新兴的产业——信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术……这一根根救命稻草，使很多企业和个人用户免遭侵害，在很大程度上缓解了计算机病毒造成的巨大破坏，同时，越来越多的企业加入到信息安全领域，同层出不穷的黑客和病毒制造者做着顽强的斗争。但稻草毕竟是稻草，救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发，无论从产品线还是从技术角度来讲，都已经达到了相当完善的程度。但是，再好的产品，如果不懂得如何去使用，发挥不了产品真正的优势，又与稻草有什么区别呢?很多用户在被病毒感染以后才想起购买杀毒软件，查杀以后就再也不管，没有定期的升级和维护，更没有根据自己的使用环境的特点，制定相应的防范策略，可以说把产品的使用效率降到了最低，这样的状态，怎能应付日新月异的病毒攻击呢?那么,如何将手中的稻草变成强大的武器，当危险临近时，能够主动出击，防患于未然呢?笔者认为，关键的问题在于对“对手”的了解。正如我们上面举过的例子，我们现在之所以对很多自然现象习以为常，是因为我们对其成因有了最基础的了解，这样才可能未雨绸缪，配合手中的工具，防患于未然。51.1计算机病毒的定义一般来讲，凡是能够引起计算机故障，能够破坏计算机中的资源(包括硬件和软1.2计算机病毒的产生与发展自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，虽然全世界的计算机专家们站在不同立场或不同角度分析二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果.得启动原理工作，它们修改系统启动扇区，在计病毒发展为可以感染硬盘，典型的代表有"石头2"。6幽灵、多形阶段：合使一段看似随机的代码产生相同的运算结果。就产生不同的代码。生成器阶段：生成器生成。当生成的是病毒时，这种复杂的网络、蠕虫阶段：Windows病毒阶段：用保护模式和API调用接口工作，清除方法也比较复杂。宏病毒阶段：7机制的病毒也归为此类。互连网阶段：1.3计算机病毒的特性●寄生性。计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏●传染性。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪.●潜伏性。有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染●隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，如不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来●破坏性。计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。●可触发性。病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维8持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜持久性等特点。正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。1.5计算机病毒的分类按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性根据病毒存在的媒体，病毒可以划分为网络病毒的文件(如：COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型，例如：多型病毒(文件和引导型)感染文件和引导扇区两种目标，这样的病毒常都具有复杂的算法，它们使9(2)按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到(3)按病毒破坏的能力无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上能引发大量的数据丢失。(4)按病毒的算法伴随型病毒，这一类病毒并不改变文件本身，它具有同样的名字和不同的扩展名(COM),例如：XCOP毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法，使自己每传播一份(5)按计算机病毒的工作方式带毒硬盘引导带毒硬盘引导将0:413单元的值减少1K↓2.文件型病毒的工作方式在目前已知的病毒中，大多数属于文件型病毒。文件型病毒一般只传染磁盘上的可执行文件(COM、EXE)。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件，成为程序文件的一个外壳或部件。病毒宿主程序。病毒宿主程序图6-2病毒感染COM文件的两种方法N符合条件?Y激活病毒驻留等待文件正常执行引导程序病毒跳转到内存并获得系统控制权N符合条件?Y激活病毒传染或破坏驻留等待执行正常的系统引导(a)引导型病毒(b)文件型病毒3.混和型病毒工作方式混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始状态是依附在可执行文件上，以该文件为载体进行传播。当被感染文件执行时，会感染硬盘的主引导记录。以后用硬盘启动系统时，就会实现从文件型病毒转变为引导型病毒。例如BloodBound.A,该病毒也称为Tchechen.3420,主要感染COM、EXE和MBR。它将自己附着在可执行文件的尾部，将破坏性的代码放入MBR中，然后清除硬盘中的文件4.宏病毒的工作方式5.Java病毒工作方式Java是由Sun公司创建的一种用于互联网环境中的编程语言。Java应用程序不会直接运行在操作系统中，而是运行在Java虚拟机(JVM)上。因此用Java编写的应用程序的移植性非常强，包括现在的手机中的一些程序也是用Java编写的。JavaApplet是一种内嵌在HTML网页中的可携式Java小程序。具有Java功能的浏览器可以运行这个小程序。JavaApplet可供Web开发人员建立含有功能更丰富的交互式动态Web网页。它们会在使用者访问网页时被执行。黑客、病毒作者或其他恶意人士可能会用Java恶意程序代码当作武器攻击使用者的系统6.网络病毒工作方式播。到如今，网络病毒已经成为计算机网络安全的最大威胁之一。网络病毒中又以蠕虫病毒出现最探测地址漏洞是否存在N是否存在N随机生产IP地址Y图6-3蠕虫病毒的工作流程7.脚本病毒工作方式脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组指令，它也是嵌入到一个文件中，常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊的脚本语言(例如VBScript、JavaScript、JscriHost(WSH)才能够激活执行以及感染其他文件8.PE病毒工作方式计算机病毒传播途径关键环节(3)感染。病毒在取得主机的控制权后，就随时可以寻找合适的目标文件进行感染，把病毒副本嵌入到目标文件中。1.4计算机病毒入侵的途径随着社会的不断进步科学的不断发展计算机病毒的种类也越来越多，但终究万变不离其宗!那他们是靠什么途径传播的了?目前比较常见的病毒入侵的途径有几种：1木马入侵木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的；也可能是我们不小心，运行了包含有木马的程序，最多的情况还是我们防范意识不强，随便运行了别人发来的“好玩”的程序。所以，我们自己要多加注意，不要随意打开来历不明的电子邮件及文件，不要随便运行别人发来的软件，之前要查毒。安装木马查杀软件并及时更新。2共享入侵是为了方便远程管理而开放的共享，这个功能对个人用户来说用处不大，反而给黑客入侵提供了便利。个人用户应禁止自动打开默认共享，给自己的帐户设置复杂密码，最好是数字、字母以及特殊符号相结合，安装防火墙。3漏洞入侵(InternetInformationServer)服务为Web服务器提供了强大的Internet和Intranet服务功能。主要通过端口80来完成操作，因为作为Web服务器，80端口总要打开，具有很大的威胁性。长期以来攻击IIS服务是黑客惯用的手段，远程攻击者只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击，这种情况多是由于企业管理者或网管对安全问题关注不够造成的。我们要时刻关注微软官方站点，及时安装iis的漏洞补丁。4网页恶意代码入侵在我们浏览网页的时候不可避免的会遇到一些不正规的网站，当打开一个网页后，就发现注册表和IE设置被修改了，这就是网页恶意代码造成的破坏，但是这种网页恶意代码有着更大的危害，很有可能在我们不知道的情况下下载木马，蠕虫等病毒，同时把我们的私人信息，如银行帐号，QQ帐号，游戏帐号泄露出去。要避免被网页恶意代码感染，首先关键是不要轻易去访问一些并不信任的站点，尤其是一些带有美女图片等的网址。否则往往不经易间就会误入网页代码的圈套。。但是这个并不能真正防止网页恶意代码的攻击，因为这些恶意代码有可能在任何地方出现。我们应尽量避免从Internet下载不知名的软件、游戏程序，即使从知名的网站下载的软件也要及时用最新的木马查杀程序对软件和系统进行扫描，这样才能减少误中病毒的机会。安装具有注册表实时监控功能的防护软件，做好注册表的备5通过光盘由于光盘的容量大，对于只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。为了使软件及相关的数字资源的传播而得到广泛应用。一些不法分子将病毒刻录到光盘中让用户在不知不觉中被隐藏与其上的病毒感染从而入侵你的电脑系统。U盘作为当前人们最方便、最常用的存储介质和文件拷贝、携带工具，同时病毒的传播中发挥了重要的作用。7通过网络计算机网络特别是Internet的普及，给病毒的传播提供了便捷的途径。计算机病毒可以附着在正常文件中，当你从网上下载一个被感染的程序或文件，并在你的计算机上未加任何防护措施的情况下运行它，病毒就传染过来了。通过Internet传播病毒的方式很多，包括FTP文件下载、访问恶意文件下载、即时通讯等等。人们使用Internet的频率是如此之高，使得Internet已是计算机病毒的第一传播途径。知道了计算机病毒的传播途径，那他们都是通过什么样的方式传播的呢?计算机病毒的入侵方式知道了计算机病毒的特性、分类和传播途径，找到了病根，只要对症下药就OK了!计算机病毒防范和清除的基本原则和技术计算机病毒的存在和传播对用户造成了很大的危害，为了减少信息资料的丢失和破坏，这就需要在日常使用计算机时，养成良好的习惯，预防计算机病毒。并且需要用户掌握一些查杀病毒的知识，在发现病毒时，及时保护好资料，并清除病毒。2.1计算机病毒防范的概念和原则计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的广泛性。2.2计算机病毒防范基本技术计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵，就拦截、阻击计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下：特征代码法被早期应用于SCAN,CPAV等著名病毒检测工具中，目前被认为是用来检测己知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，每当需要扫描该程序是否有毒的时候，启动杀毒软件程序，以扫描的方式与该病毒码资料库内的现有资料一一比对，如果两方资料皆有吻合之处的话，既判定该程序已遭病毒感染。特征代1)采集已知病毒样本。如果病毒既感染com文件，又感染EXE文件，那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。本中，要抽取两种样本共有的代码。3)将特征代码纳入病毒数据库。4)检测文件。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数，根据数据库中的病毒特征代码。如果发现病毒特征代码，由特征代码与病毒一一对应，便可以断定，被查文件所感染的是何种病毒。2、校验和法技术通常，大多数的病毒都不是单独存在的，它们大都依附或寄生于其它的文档程序，所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录，将正常文件的内容计算其校验和，将该校验和写入文件中或写入别的文件中保存。在每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现己知病毒又可发现未知病毒。运用校验1)在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和写入被查文件中或检测工具中，而后进行比较；2)在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和。实现应用程序的自检测；3)将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。3、行为监测法技术利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。多态性病毒每次感染都会变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也各不相同，无法找出可能的作为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做杀毒处理，由此出现了一种新的软件模拟法。易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病用在此就不必说叙了，我相信大家都有这个水平!这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛!对于如属病毒引起的我们可以这一方法一般用在DOS下发现的病毒，我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况(一般不单独占用，而是依附在其它程序之中),有的病毒占用内存也比较隐蔽，用“mem/c/p”发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。b、注册表观察法这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表等等，在其中对注册表中可能出现的地方会有一个比较详尽的分析。c、系统配置文件观察法(Win9x/WinME)和启动组中，在system.ini文件中有一个“shell=”项，而在wini.ini文件中有“load=”、“run=”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。d、特征字符串观察法这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件(如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要e、硬盘空间观察法有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件(这方法应不需要我来说吧?),相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。连续长时间读取、内存或者磁盘的空间突然减小、运行程序时候死机等异常症状，这时我们就要考虑是否遭遇到病毒感染了，接着需要通过杀毒软件来对整个硬盘进行彻底的检查。经常对Windows进行更新可以有效地防止病毒的侵入道高一尺，魔高一丈。即使我们做的够多够好，仍然无法应付最新的病毒爆发，这就需要我们在使用计算机的时候时刻保持清醒的头脑，要密切注意计算机的异常症状。比如，电脑动作比平常迟钝，正常使用计算机的时候突然出现黑屏、运行一个小程序的时候出现硬盘连续长时间读取、内存或者磁盘的空间突然减小、运行程序时候死机等异常症状，这时我们就要考虑是否遭遇到病毒感染了，接着需要通过杀毒软件来对整个硬盘进行彻底的检查。经常对Windows进行更新可以有效地防止病毒的侵入。有了识别计算机病毒的方法，那计算机具体中毒都有哪些表现了?根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类，即：计算机病毒发作前、发作时和发作后的表现现象。1。计算机病毒发作前的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现同时，又自我复制，以各种手段进行传以下是一些计算机病毒发作前常见的表现现象：(1)平时运行正常的计算机突然经常性无缘无故地死机病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生(2)操作系统无法正常启动关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。(3)运行速度明显变慢在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运行同样应用程序，速度明显变慢，而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时(4)以前能正常运行的软件经常发生内存不足的错误某个以前能够正常运行的程序，程序启动的时候报系统内存不足，或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。需要注意的是存不足，不能完成操作"的错误，但这不是计算机病毒在作怪。(5)打印和通讯发生异常硬件没有更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。串口设备无法正常工作，比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。(6)无意中要求对软盘进行写操作没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件，也有的安装程序(如Office97)对软盘有写的操作。(7)以前能正常运行的应用程序经常发生死机或者非法错误在硬件和操作系统没有进行改动的情况下，以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。(8)系统文件的时间、日期、大小发生变化这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加，文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件，绝大多数情况下是不会修改它们的，除非是进行系统升级或打补丁。对应用程序使用到的数据文件，文件大小和修改日期、时间是可能会改变的，并(9)运行Word,打开Word文档后，该文件另存时只能以模板方式(10)磁盘空间迅速减少没有安装新的应用程序，而系统可用的可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows95/98下的内存交换文件的增长，在Windows95/98下内存交换文件会随着运行的应用程序数量越多，内存交换文件就越大。(11)网络驱动器卷或共享目录无法调用对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒，但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。(12)基本内存发生变化在DOS下用mem/c/p命令查看系统中内存使用状况的时候可以发现基系统感染了引导型计算机病毒所造成的。收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话，或者一封情书等，又带有附件的电子函件。当然，这要与广告电子明确的推销目的，会有它推销的产品介绍；垃圾电子函件的内容要么自成章回，要么根本没有价值。这两种电子函件大多是不会携带附件的。电子函件炸弹虽然也带有附件，但附件一般都很大，少则上兆字节，多的有几十兆甚至上百兆字节，而电子函件计算机病毒的附件大多是脚本程序，通常不会超过100Kb字节。当然，电子函件炸弹在一定意义上也可以看成是一种黑客程序，是一种计算机病毒。没有在上网，计算机会自动拨号并连接到因特网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。这种联接大多需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点，或者是广告站点，这时候也会有陌生的网络链接出现。当然，这种情况也可以认为是非法的。一般的系统故障是有别于计算机病毒感染的。系统故障大多只符合上面的一点或二点现象，而计算机病毒感染所出现的现象会多的多。根据上述几点，就可以初步判断计算机和网络是否感染上了计算机病毒。2.计算机病毒发作时的表征现象计算机病毒发作时是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现大都各不相同，可以说一百个计算机病毒发作有一百种花样。这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。以下列举了一些计算机病毒发作时常见的表现现象：(1)提示一些不相干的话最常见的是提示一些不相干的话，比如打开感染了宏病毒的Word文档，如果满足了发作条件的话，它就会弹出对话框显示“这个世界太黑暗(2)发出一段的音乐统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时是在发作时发出音乐和占用处理器资源。(3)产生特定的图象另一类恶作剧式的计算机病毒，比如小球计算机病毒，发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是“良性”计算机病毒，只是在发作时破坏用户的显示界面，干扰用户的正常工作。(4)硬盘灯不断闪烁硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时，硬盘的灯就会不断闪烁，比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化，或者写入许多垃圾文件，或反复读取某个文件，致使硬盘上的数据遭到损失。具有这类发作现象的计算(5)进行游戏算法有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标，或者将其他应用程序、快捷方式的图标改(7)计算机突然死机或重启有些计算机病毒程序兼容性上存在问题，代码没有严格测试，在发作时会造成意想不到情况；或者是计算机病毒在Autoexec.bat文件中添加了大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段，也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能。没有对计算机进行任何操作，也没有运行任何演示程序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制，从广义上说这也是计算机病毒发作的一种现象。需要指出的是，有些是计算机病毒发作的明显现象，比如提示一些不相干的话、播放音乐或者显示特定的图象等。有些现象则很难直接判定是计算机病毒的表现现象，比如硬盘灯不断闪烁，当同时运行多个内存占用大的应用程序，比如3DMAX,AdobePremiere等，而计算机本身性能又相对较弱的情况下，在启动和切换应用程序的时候也会使硬盘不停地工作，3.计算机病毒发作后的表现现象通常情况下，计算机病毒发作都会给计算机系统带来破坏性的后果，后往往会带来很大的损失，以下列举了一些恶性计算机病毒发作后所造成(1)硬盘无法启动，数据丢失计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容(如文件分配表，根目录区等),使得原先保存在硬盘上的数据几乎完全丢失。(2)系统文件丢失或被破坏通常系统文件是不会被删除或修改的，除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件，或者破坏了系统文件，使得以后无法法正常启动计算机系统.通常容易受攻击的系统文件C,Emm386.exe,W,Kernel.exe,User.exe等等。(3)文件目录发生混乱目录发生混乱有两种情况。一种就是确实将目录结构破坏，将目录扇区作为普通扇区，填写一些无意义的数据，再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中，只要内存中存在有该计算机病毒，它能够将正确的目录扇区读出，并在应用程序需要访问该目录的时候提供正确的目录项，使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒，那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。(4)部分文档丢失或被破坏类似系统文件的丢失或被破坏，有些计算机病毒在发作时会删除或破坏硬盘上的文档，造成数据丢失。(5)部分文档自动加密码还有些计算机病毒利用加密算法，将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方，而被感染的文件被加密，如果内存中驻留有这种计算机病毒，那么在系统访问被感染的文件时它自动将文档解密，使得用户察觉不到。一旦这种计算机病毒被清除，那么被加密的文档就很难被恢复了。件的变化，但是这个文件在每次系统重新启动的时候都会被自动运行，计算机病毒修改这个文件从而达到破坏系统的目的。类似CIH计算机病毒发作后的现象，系统主板上的BIOS被计算机病毒改写、破坏，使得系统主板无法正常工作，从而使计算机系统报废。(8)网络瘫痪，无法提供正常的服务。由上所述，我们可以了解到防杀计算机病毒软件必须要实时化，在计算机病毒进入系统时要立即报警并清除，这样才能确保系统安全，待计算机病毒发作后再去杀毒，实际上已经为时已晚。4.从表现形式和传播途径发现计算机病毒上面介绍了计算机病毒在不同情况下的表现形式。计算机病毒要进行传染，必然会表现出来，留下痕迹。检测计算机病毒，就是要到计算机病于磁盘中，激活时驻留在内存中。因此对计算机病毒的检测分为对内存的计算机病毒，当它在内存中时，查看被感染的文件长度，不会发现该文件的长度已发生变化，而当在内存中没有该计算机病毒时，才会发现文件长过了被其感染的文件。再如引导型的巴基斯坦智囊计算机病毒，当它在内存中时，检查引导区时看不到该计算机病毒程序而只看到正常的引导扇区。因此，只有在要求确认某种计算机病毒的类型和对其进行分析、研究时，才在内存中带毒的情况下做检测工作。从原始的、未受计算机病毒感染的DOS系统软盘启动，可以保证内存中不带毒。启动必须是上电启动而不能是按键盘上的Alt+Ctrl+Del三个键。因为某些计算机病毒通过截取键盘中断处理程序，仍然会将自己驻留在内存中。可见保留一份未被计算机病毒感染的、写保护的DOS系统软盘是很盘的版本应该等于或高于硬盘内DOS系统的版本号。若硬盘上使用了磁盘管理软件、磁盘压缩存储管理软件等，启动系统的软盘上应该把这些软件盘引导启动后，将不能访问硬盘上的所有分区，使躲藏在其中的计算机病发现了计算机病毒，那怎么办了，又有怎么的方法清除计算机病毒了??2.3清除计算机病毒的基本方法简单工具治疗是指使用Debug等简单的工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机代码。但是，这种方法同样对检测者自身的专业素质要求较高，而且治疗效率也较低。2.专用工具治疗使用专用工具治疗被感染的程序时通常使用的治疗方法。专用计算机治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。使用专用工具治疗计算机病毒时，治疗操作简单、高效。从探索与计算机病毒对刚的全过程来看，专用工具的开发商也是先从使用简单工具进行治疗开始，当治疗获得成功后，再研制相应的软件产品，使计算机自动地完成全部治疗操作。典型计算机病毒的原理、防范和清除4.1引导区计算机病毒(1)引导区病毒概述托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。它会感染在该系统中进行读写操作的所有软盘，然后再由这些软盘以复制的方式和引导进入到其他计算机系统，感染其他计算机的操作系统。(2)如何防范引导区病毒：前面已经提到，引导区病毒只有用染有病毒的软盘或光盘启动计算机的时候才会感染，所以养成良好的习惯是防范这种病毒的关键：对不明来路的软盘使用前应该先查毒；不用计算机的时候不要把软盘、光盘留在驱动器里(许多机器感染这个病毒都是由于用了带有病毒的可引导光盘启动计算机所造成的);另外，最好在主板的设置里把防病毒一项打开。(3)清除原理：用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。此时，如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息，那么,恢复工作变得非常简单。可以直接用Debug将这两种引导扇区的内容分别调入内存，然后分别恢复到它的原来位置，这样就消除了计算机病毒。当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌，先要看清楚该文件其实，这是硬盘引导区先染上了引导区病毒，以后在安装先将引导区做了一个文件形式的备就是其备份，该文件以隐含的形式存放在由于该引导型病毒存在文件中，没有作用，所以可以直接删除。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。(5)Windows95/98/me系统上的清除方法：1.找一张“干净”的启动盘(没有这个引导区病毒的盘),启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的，您可以在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作的话，你是不能使用一张Windows98的启动盘进行下述操作的。A:\sysa:c:[回车]其中第一行用于清除主引导记录中的病毒，第二行用于清除C盘引导区上的病毒。(6)Windows2000/XP系统上的清除1.如果你之前通过X:\i386\winnt32.exe/cmdcons命令安装了恢复控制台可以直接选择进入。如果以前没有安装过恢复控制台则要使用系统的安装光盘启动计算机。当出现安装界面的时候按R选择“要用‘恢复控制台’修复”。系统会提示你登入2.然后分别执行fixmbr(恢复主引导记录)和fixboot(恢复启动盘上的引导区),再输入EXIT[回车],重新启动即可。(7)清除引导区病毒的注意事项：式，但是用硬盘启动计算机以后可以访问硬盘，则说明你的机器感染了可以加密引导区信息的病毒，此时看到的是加密的信息，比如前面提到的“Monkey(猴子)”病毒。遇到这种病毒时你应该让系统自己引导计算机，让病毒自己解密，然后用杀毒软件导区的信息(目前国产的三大杀毒软件都有此功能),然后再用干净的启动盘启动计算机，把刚刚备份出来的引导区信息再写回硬盘就可以了。2.如果你的机器被病毒感染无法启动，且用软盘引导也看不到硬盘(硬盘不是NTFS分区)则最好不要对硬盘进行写操作，应该找有经验的