計(jì)算機(jī)畢業(yè)論文---常見(jiàn)計(jì)算機(jī)病毒檢測(cè)預(yù)防研究

1、<p><b>　　本科畢業(yè)設(shè)計(jì)論文</b></p><p>　　題 目 常見(jiàn)計(jì)算機(jī)病毒檢測(cè)預(yù)防研究 </p><p>　　學(xué) 院 </p><p>　　專 業(yè)

2、 </p><p>　　學(xué)生姓名 </p><p>　　導(dǎo)師姓名 </p><p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書(shū)</p><p>　　題目名稱 常見(jiàn)計(jì)算機(jī)病毒檢測(cè)與預(yù)防研究 </p&g

3、t;<p><b>　　任務(wù)與要求</b></p><p>　　1．熟悉計(jì)算機(jī)病毒的工作基本原理及相關(guān)知識(shí)，查閱相關(guān)資料了解計(jì)算機(jī)病毒的發(fā)展過(guò)程。</p><p>　　2．查閱相關(guān)國(guó)內(nèi)外文獻(xiàn)資料，了解計(jì)算機(jī)病毒的發(fā)展過(guò)程，如何感染計(jì)算機(jī)及對(duì)計(jì)算機(jī)病毒的預(yù)防方法。</p><p>　　3．獨(dú)立完成成畢業(yè)論文工作，論文字?jǐn)?shù)不少于150

4、00字，論文由中英文摘要、目錄、引言、正文、結(jié)論、參考文獻(xiàn)等部分組成。</p><p>　　4．要求論文結(jié)構(gòu)合理，概念清楚，邏輯清晰，語(yǔ)言通順，文筆流暢。作風(fēng)嚴(yán)謹(jǐn)，刻苦鉆研，每周與指導(dǎo)老師溝通。</p><p>　　5．按時(shí)提交開(kāi)題報(bào)告及論文提綱。</p><p>　　6．按時(shí)參加論文答辯。</p><p>　　開(kāi)始日期 2011年1月5日

5、 完成日期 2011年5月24日 </p><p>　　院 長(zhǎng)（簽字） （簽字） 2011 年 月 日</p><p>　　注：本任務(wù)書(shū)一式兩份，一份交學(xué)院，一份學(xué)生自己保存。</p><p>　　畢業(yè)設(shè)計(jì)（論文）工作計(jì)劃</p><p>　　一、畢業(yè)設(shè)計(jì)（論文）進(jìn)度</p><

6、p>　　起 止 時(shí) 間 工 作 內(nèi) 容</p><p>　　2011.1.5—2011.1.25 確定指導(dǎo)老師，選定畢業(yè)論文題目</p><p>　　2011.2.1—2011.3.1 下達(dá)任務(wù)書(shū)及計(jì)劃書(shū)</p><p>　　2011.3.3—2011.4.10

7、 提交開(kāi)題報(bào)告及寫(xiě)作提綱</p><p>　　2011.4.11—2011.5.1 利用因特網(wǎng)及圖書(shū)館資源進(jìn)行相關(guān)資料的整理，整理寫(xiě)作思路</p><p>　　2011.5.2—2011.5.20 撰寫(xiě)畢業(yè)論文，提交初稿，改稿，定稿 </p><p>　　2011.5.22.—2011.5.24 畢業(yè)論

8、文答辯</p><p>　　二、主要參考書(shū)目（資料）</p><p>　　[1] 中華人民共和國(guó)工業(yè)和信息化部信息安全協(xié)調(diào)司.《計(jì)算機(jī)病毒檢測(cè)周報(bào)》.</p><p>　　[2] 郝文化.《防黑反毒技術(shù)指南》，機(jī)械工業(yè)出版社，2004年1月第一版.  </p><p>　　[3] 吳萬(wàn)釗，吳萬(wàn)鐸.《計(jì)算機(jī)病毒分析與防治大全》.學(xué)苑出

9、版社.1993年10月. </p><p>　　[4] 張仁斌，李鋼，侯整風(fēng).《計(jì)算機(jī)病毒與反病毒技術(shù)》.清華大學(xué)出版社，2006年6月</p><p>　　[5] 程勝利，談冉，熊文龍 等.《計(jì)算機(jī)病毒與其防治技術(shù)》，清華大學(xué)出版社，2004年9月第一版. </p><p>　　三、主要儀器設(shè)備及材料</p><p

10、>　　硬件：計(jì)算機(jī)、局域網(wǎng)、Internet等</p><p>　　軟件：WindowsXP等</p><p>　　四、教師的指導(dǎo)安排情況（場(chǎng)地安排、指導(dǎo)方式等） </p><p>　　1．每周至少匯報(bào)、指導(dǎo)一次</p><p>　　2．采取面談方式（教師休息室，教室等），電話，郵箱隨時(shí)聯(lián)系指導(dǎo)老師進(jìn)行指導(dǎo)和給予建議。</p>

11、;<p><b>　　五、對(duì)計(jì)劃的說(shuō)明</b></p><p>　　注：本計(jì)劃一式兩份，一份交學(xué)院，一份學(xué)生自己保存（計(jì)劃書(shū)雙面打?。?lt;/p><p>　　畢業(yè)設(shè)計(jì)（論文）中期檢查表</p><p>　　注：此表由指導(dǎo)教師填寫(xiě)，中期檢查成績(jī)將作為畢業(yè)設(shè)計(jì)總成績(jī)的一部分；此表裝訂入畢業(yè)設(shè)計(jì)（論文）中。</p><

12、p>　　畢業(yè)設(shè)計(jì)（論文）成績(jī)登記表</p><p>　　注：學(xué)院、專業(yè)名均寫(xiě)全稱；成績(jī)登記表雙面打印</p><p><b>　　摘 要</b></p><p>　　隨著人們對(duì)計(jì)算機(jī)安全要求的不斷提高,計(jì)算機(jī)病毒作為計(jì)算機(jī)安全的主要威脅,正在受到人們廣泛的關(guān)注。只有透徹理解病毒的內(nèi)在機(jī)理,知己知彼,才能更好的防治病毒,利用病毒。論文深

13、入剖析了Windows環(huán)境下各種病毒的相關(guān)技術(shù),并提出了相應(yīng)的檢測(cè)方案。 論文研究總結(jié)了病毒的感染、傳播及如何獲得系統(tǒng)控制權(quán)機(jī)理,總結(jié)了防治病毒的一般做法,并針對(duì)這些病毒的特點(diǎn)提出了基于命令式的預(yù)防腳本病毒方案。通過(guò)對(duì)大量病毒和染毒文件的剖析,筆者總結(jié)出了一系列染毒標(biāo)志性行為,利用這些特征行為設(shè)計(jì)了病毒檢測(cè)方案,并對(duì)該方案的優(yōu)缺點(diǎn)進(jìn)行了分析。 病毒成為當(dāng)前網(wǎng)絡(luò)環(huán)境下病毒的主要形式,筆者對(duì)病毒感染過(guò)程及其原理詳細(xì)分析,對(duì)病毒也進(jìn)行了研究,

14、總結(jié)了蠕蟲(chóng)的行為特點(diǎn),提出了防治未知病毒特別是像I-Worm.Jeans.a這樣的變形病毒的解決方案——與虛擬機(jī)相結(jié)合的基于攻擊行為的著色判決病毒檢測(cè)系統(tǒng)。 論文研究整理了病毒的常見(jiàn)反檢測(cè)技術(shù),包括隱藏、反跟蹤、變形等。針對(duì)病毒在入侵后能夠關(guān)閉殺毒軟件,筆者詳細(xì)的闡述了基于數(shù)字簽名的類主動(dòng)內(nèi)核方案,并對(duì)該方案的相關(guān)問(wèn)題進(jìn)行了研究。針對(duì)病毒的加密變形,研究了虛擬機(jī)技術(shù)及在病毒檢測(cè)方面的應(yīng)用</p><p>　　關(guān)鍵

15、詞：計(jì)算機(jī)病毒  檢測(cè)技術(shù) 預(yù)防</p><p><b>　　Abstract</b></p><p>　　Nowadays, computer system"s security is becoming more and more significant in people"s daily life. So, more a

16、nd more attentions have been payed to computer viruses which will do great harm to the computer system. Understanding of the computer viruses well will help us greatly. This dissertation analysised all kinds of technolog

17、ies in different viruses which existing in Windows system, and proposed the correlative scheme of detecting viruses.This dissertation summarized the mechanisms of infectio</p><p>　　Keyword: worm virus virt

18、ual machine antivirus firewall</p><p><b>　　目 錄</b></p><p>　　第一章 緒 論1</p><p>　　1.1計(jì)算機(jī)病毒的定義1</p><p>　　1.1.1計(jì)算機(jī)病毒的種類1</p><p>　　1.1.2計(jì)算機(jī)病毒的

19、特性2</p><p>　　1.2 計(jì)算機(jī)病毒的發(fā)展階段4</p><p>　　1.2.1 第一代病毒4</p><p>　　1.2.2 第二代病毒5</p><p>　　1.2.3 第三代病毒5</p><p>　　1.2.4 第四代病毒5</p><p>　　第二章 計(jì)算機(jī)病

20、毒的檢測(cè)技術(shù)7</p><p>　　2.1 反病毒技術(shù)的發(fā)展歷程7</p><p>　　2.2 計(jì)算機(jī)病毒檢測(cè)技術(shù)的原理8</p><p>　　2.2.1檢測(cè)病毒的基本方法8</p><p>　　2.3 病毒主要檢測(cè)技術(shù)與方法13</p><p>　　2.3.1外觀檢測(cè)法13</p><

21、;p>　　2.3.2系統(tǒng)數(shù)據(jù)對(duì)比法15</p><p>　　2.3.3病毒簽名檢測(cè)法13</p><p>　　2.3.4特征代碼法13</p><p>　　2.3.5檢查常規(guī)內(nèi)存數(shù)13</p><p>　　2.3.6校驗(yàn)和法13</p><p>　　2.3.7行為監(jiān)測(cè)法13</p>&l

22、t;p>　　2.3.8軟件模擬法13</p><p>　　2.3.9啟動(dòng)式代碼掃描技術(shù)13</p><p>　　2.3.10主動(dòng)內(nèi)核技術(shù)13</p><p>　　2.3.11病毒分析法13</p><p>　　2.3.12病毒感染法13</p><p>　　第三章 計(jì)算機(jī)病毒的工作原理18</

23、p><p>　　3.1 程序病毒的工作原理18</p><p>　　3.1.1 程序病毒是如何傳播的18</p><p>　　3.2 引導(dǎo)型病毒的工作原理23</p><p>　　3.2.1 引導(dǎo)性病毒是如何傳播的23</p><p>　　3.3 計(jì)算機(jī)病毒的發(fā)展趨勢(shì)24</p><p>

24、;　　第四章 常見(jiàn)計(jì)算機(jī)病毒的預(yù)防31</p><p>　　4.1 計(jì)算機(jī)病毒的預(yù)防31</p><p>　　4.1.1 計(jì)算機(jī)病毒防護(hù)技術(shù)介紹31</p><p>　　4.1.2 計(jì)算機(jī)病毒的技術(shù)防范措施32</p><p>　　4.1.3 預(yù)防計(jì)算機(jī)病毒的基本措施32</p><p>　　第五章

25、 結(jié) 論34</p><p><b>　　致 謝36</b></p><p><b>　　參考文獻(xiàn)37</b></p><p><b>　　第一章 緒 論</b></p><p>　　1.1計(jì)算機(jī)病毒的定義</p><p>　　目前計(jì)

26、算機(jī)的應(yīng)用遍及到社會(huì)的各個(gè)領(lǐng)域，同時(shí)計(jì)算機(jī)病毒也給我們帶來(lái)了巨大的破壞和潛在的威脅，因此為了確保計(jì)算機(jī)能夠安全工作，計(jì)算機(jī)病毒的防范工作，已經(jīng)迫在眉睫。從計(jì)算機(jī)病毒的定義入手，淺談?dòng)?jì)算機(jī)病毒的特點(diǎn)及其防范措施。 對(duì)于大多數(shù)計(jì)算機(jī)用戶來(lái)說(shuō)，談到“計(jì)算機(jī)病毒”似乎覺(jué)得它深不可測(cè)，無(wú)法琢磨。其實(shí)計(jì)算機(jī)病毒是可以預(yù)防的，隨著計(jì)算機(jī)的普及與深入，對(duì)計(jì)算機(jī)病毒的防范也在越來(lái)越受到計(jì)算機(jī)用戶的重視。 　 一般來(lái)講，凡是能夠引起計(jì)

27、算機(jī)故障，能夠破壞計(jì)算機(jī)中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。而在我國(guó)也通過(guò)條例的形式給計(jì)算機(jī)病毒下了一個(gè)具有法律性、權(quán)威性的定義：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。” </p><p>　　1.1.1計(jì)算機(jī)病毒的種類</p><p>　　自從1988年在美國(guó)發(fā)現(xiàn)的“蠕

28、蟲(chóng)病毒”至今，計(jì)算機(jī)病毒以驚人的速度遞增，據(jù)國(guó)外統(tǒng)計(jì)，計(jì)算機(jī)病毒以10種/周的速度遞增，另?yè)?jù)我國(guó)公安部統(tǒng)計(jì)，國(guó)內(nèi)以4種/月的速度遞增。病毒的種類繁多，分類方法也不一。為了更好的了解它，根據(jù)目前流行的計(jì)算機(jī)病毒，把它們概括成如下幾類：  1. 從其傳播方式上分為    ① 引導(dǎo)型病毒。又稱開(kāi)機(jī)型病毒。當(dāng)用戶開(kāi)機(jī)時(shí)，通過(guò)DOS的引導(dǎo)程序引入內(nèi)存中，它不以文件的形式存儲(chǔ)在磁盤(pán)上，

29、因此也沒(méi)有文件名，十分隱蔽。由于它先于操作系統(tǒng)裝入內(nèi)存，因此它能夠完全控制DOS的各類中斷，具有強(qiáng)大的破壞能力。常見(jiàn)的大麻病毒、巴基斯坦智囊病毒及米開(kāi)朗基羅病毒等均屬這類。</p><p>　　② 文件型病毒。這是一種針對(duì)性很強(qiáng)的病毒，一般來(lái)講，它只感染磁盤(pán)上的可執(zhí)行文件(COM，EXE，SYS等)，它通常依附在這些文件的頭部或尾部，一旦這些感染病毒的文件被執(zhí)行，病毒程序就會(huì)被激活，同時(shí)感染其它文件。這類病毒數(shù)量

30、最大，它們又可細(xì)分為外殼型、源碼型和嵌入型等。</p><p>　?、?混合型病毒。這類病毒兼有上述兩種病毒的特點(diǎn)，它既感染引導(dǎo)區(qū)又感染文件，正是因?yàn)檫@種特性，使它具有了很強(qiáng)的傳染性。如果只將病毒從被感染的文件中清除，當(dāng)系統(tǒng)重新啟動(dòng)時(shí)，病毒將從硬盤(pán)引導(dǎo)進(jìn)入內(nèi)存，這之后文件又會(huì)被感染；如果只將隱藏在引導(dǎo)區(qū)中的病毒消除掉，當(dāng)文件運(yùn)行時(shí)，引導(dǎo)區(qū)又會(huì)被重新感染。 2. 按其破壞程序來(lái)分 </p>

31、<p>　?、?良性病毒。這類病毒多數(shù)是惡作劇的產(chǎn)物，其目的不為破壞系統(tǒng)資源，只是為了自我表現(xiàn)一下。其一般表現(xiàn)為顯示信息，發(fā)出聲響，自我復(fù)制等。</p><p>　?、?惡性病毒。這類病毒的目的在于破壞計(jì)算機(jī)中的數(shù)據(jù)，刪除文件，對(duì)數(shù)據(jù)進(jìn)行刪改、加密，甚至對(duì)硬盤(pán)進(jìn)行格式化，使計(jì)算機(jī)無(wú)法正常運(yùn)行甚至癱瘓。 </p><p>　　1.1.2計(jì)算機(jī)病毒的特性</p>

32、;<p>　　①.傳染性。計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。因此，這也是計(jì)算機(jī)病毒這一名稱的由來(lái)。  ②.潛伏性。有些計(jì)算機(jī)病毒并不是一浸入你的機(jī)器，就會(huì)對(duì)機(jī)器造成破壞，它可能隱藏合法文件中，靜靜地呆幾周或者幾個(gè)月甚至幾年，具有很強(qiáng)的潛伏性，一旦時(shí)機(jī)成熟就會(huì)迅速繁殖、擴(kuò)散。  ③.隱蔽性。計(jì)算機(jī)病毒是一種具有很高

33、編程技巧、短小精悍的可執(zhí)行程序，如不經(jīng)過(guò)程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開(kāi)來(lái)的。 </p><p>　?、?破壞性。任何計(jì)算機(jī)病毒浸入到機(jī)器中，都會(huì)對(duì)系統(tǒng)造成不同程度的影響。輕者占有系統(tǒng)資源，降低工作效率，重者數(shù)據(jù)丟失、機(jī)器癱瘓。 </p><p>　　除了上述四點(diǎn)外，計(jì)算機(jī)病毒還具有不可預(yù)見(jiàn)性、可觸發(fā)性、衍生性、針對(duì)性、欺騙性、持久性等

34、特點(diǎn)。正是由于計(jì)算機(jī)病毒具有這些特點(diǎn)，給計(jì)算機(jī)病毒的預(yù)防、檢測(cè)與清除工作帶來(lái)了很大的難度。 </p><p>　　1.2 計(jì)算機(jī)病毒的發(fā)展階段</p><p><b>　　表 1.2</b></p><p>　　1.2.1 第一代病毒</p><p>　　第一代病毒的產(chǎn)生年限可以認(rèn)為在1986-1989年之間，

35、這一期間出現(xiàn)的病毒可以稱之為傳統(tǒng)的病毒，是計(jì)算機(jī)病毒的萌芽和滋生時(shí)期。由于當(dāng)時(shí)計(jì)算機(jī)的應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行環(huán)境，因此病毒沒(méi)有大量流行，流行病毒的種類也很有限，病毒的清除工作相對(duì)來(lái)說(shuō)較容易。這一階段的計(jì)算機(jī)病毒具有如下的一些特點(diǎn)：</p><p>　?。?）病毒攻擊的目標(biāo)比較單一，或者是傳染磁盤(pán)引導(dǎo)扇區(qū)，或者是傳染可執(zhí)行文件。</p><p>　?。?）病毒程序主要采取截獲系統(tǒng)中斷

36、向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對(duì)目標(biāo)進(jìn)行傳染。</p><p>　?。?）病毒傳染目標(biāo)以后的特征比較明顯，如磁盤(pán)上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長(zhǎng)度增加、文件建立日期、時(shí)間發(fā)生變化等等。這些特征容易被人工或查毒軟件所發(fā)現(xiàn)。</p><p>　?。?）病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的消毒軟件。然而隨著計(jì)算機(jī)反病毒技術(shù)的提高和反病毒產(chǎn)品的

37、不斷涌現(xiàn)，病毒編制者也在不斷地總結(jié)自己的編程技巧和經(jīng)驗(yàn)，千方百計(jì)地逃避反病毒產(chǎn)品的分析、檢測(cè)和解毒，從而出現(xiàn)了第二代計(jì)算機(jī)病毒。</p><p>　　1.2.2 第二代病毒</p><p>　　第二代病毒又稱為混合型病毒（又有人稱之為“超級(jí)病毒”），其產(chǎn)生的年限可以認(rèn)為在1989-1991年之間，它是計(jì)算機(jī)病毒由簡(jiǎn)單發(fā)展到復(fù)雜，由單純走向成熟的階段。計(jì)算機(jī)局域網(wǎng)開(kāi)始應(yīng)用與普及，許多單機(jī)應(yīng)用

38、軟件開(kāi)始轉(zhuǎn)向網(wǎng)絡(luò)環(huán)境，應(yīng)用軟件更加成熟，由于網(wǎng)絡(luò)系統(tǒng)尚未有安全防護(hù)的意識(shí)，缺乏在網(wǎng)絡(luò)環(huán)境下病毒防御的思想準(zhǔn)備與方法對(duì)策， 給計(jì)算機(jī)病毒帶來(lái)了第一次流行高峰。這一階段的計(jì)算機(jī)病毒具有如下特點(diǎn)：</p><p>　?。?）病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染磁盤(pán)引導(dǎo)扇區(qū)，又可能傳染可執(zhí)行文件。</p><p>　?。?）病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，而采取更為隱

39、蔽的方法駐留內(nèi)存和傳染目標(biāo)。</p><p>　?。?）病毒傳染目標(biāo)后沒(méi)有明顯的特征，如磁盤(pán)上不出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長(zhǎng)度增加不明顯，不改變被傳染文件原來(lái)</p><p>　　的建立日期和時(shí)間，等等。</p><p>　　（4）病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反跟蹤技術(shù)，制造障礙，增加人們分析和解剖的難度，同時(shí)也增</p><p&g

40、t;　　加了軟件檢測(cè)、解毒的難度。</p><p>　　（5）出現(xiàn)許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。</p><p>　　總之，這一時(shí)期出現(xiàn)的病毒不僅在數(shù)量上急劇地增加，更重要的是病毒從編制的方式、方法，駐留內(nèi)存以及對(duì)宿主程序的傳染方式、方法等方面都有了較大的變化。</p><p>　　1.2.3 第三代病毒</p>&l

41、t;p>　　第三代病毒的產(chǎn)生年限可以認(rèn)為從1992年開(kāi)始至1995年，此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒， 是最近幾年來(lái)出現(xiàn)的新型的計(jì)算機(jī)病毒。所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標(biāo)時(shí)， 放人宿主程序中的病毒程序大部分都是可變的，即在搜集到同一種病毒的多個(gè)樣本中，病毒程序的代碼絕大多數(shù)是不同的， 這是此類病毒的重要特點(diǎn)。正是由于這一特點(diǎn)，傳統(tǒng)的利用特征碼法檢測(cè)病毒的產(chǎn)品不能檢測(cè)出此類病毒。</

42、p><p>　　據(jù)資料介紹，此類病毒的首創(chuàng)者是Mark Washburn，他并不是病毒的有意制造者，而是一位反病毒的技術(shù)專家。 他編寫(xiě)的1260病毒就是一種多態(tài)性病毒，此病毒1990年1月問(wèn)世，有極強(qiáng)的傳染力，被傳染的文件被加密，每次傳染時(shí)都更換加密密鑰，而且病毒程序都進(jìn)行了相當(dāng)大的改動(dòng)。他編寫(xiě)此類病毒的目的是為了研究，他將此類病毒散發(fā)給他的同事， 其目的是為了向他們證明特征代碼檢測(cè)法不是在任何場(chǎng)合下都是有效的。然

43、而，不幸的是，為研究病毒而發(fā)明的此種病毒超出了反病毒的技術(shù)范圍，流入了病毒技術(shù)中。 1992年上半年，在保加利亞發(fā)現(xiàn)了黑夜復(fù)仇者（Dark Avenger）病毒的變種“MutationDark Avenger”。這是世界上最早發(fā)現(xiàn)的多態(tài)性的實(shí)戰(zhàn)病毒，它可用獨(dú)特的加密算法產(chǎn)生幾乎無(wú)限數(shù)量的不同形態(tài)的同一病毒。據(jù)悉該病毒作者還散布一種名為“多態(tài)性發(fā)生器”的軟件工具， 利用此工具將普通病毒進(jìn)行編譯即可使之變?yōu)槎鄳B(tài)性病毒。國(guó)內(nèi)在1994年年

44、底已經(jīng)發(fā)現(xiàn)了多態(tài)性病毒——“幽靈”病毒，迫使許多反病毒技術(shù)部門(mén)開(kāi)發(fā)了相應(yīng)的檢測(cè)和消毒產(chǎn)品。</p><p>　　由此可見(jiàn)，第三階段是病毒的成熟發(fā)展階段。在這一階段中病毒的發(fā)展主要是病毒技術(shù)的發(fā)展，病毒開(kāi)始向多維化方向發(fā)展，即傳統(tǒng)病毒傳染的過(guò)程與病毒自身運(yùn)行的時(shí)間和空間無(wú)關(guān)，而新型的計(jì)算機(jī)病毒則將與病毒自身運(yùn)行的時(shí)間、 空間和宿主程序緊密相關(guān)，這無(wú)疑將導(dǎo)致計(jì)算機(jī)病毒檢則和消除的困難。</p><

45、p>　　1.2.4 第四代病毒</p><p>　　90年代中后期，隨著遠(yuǎn)程網(wǎng)、遠(yuǎn)程訪問(wèn)服務(wù)的開(kāi)通，病毒流行面更加廣泛，病毒的流行迅速突破地域的限制， 首先通過(guò)廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。1996年下半年隨著國(guó)內(nèi)Internet的大量普及，Email的使用，夾雜于 Email內(nèi)的WORD宏病毒已成為當(dāng)前病毒的主流。由于宏病毒編寫(xiě)簡(jiǎn)單、破壞性強(qiáng)、清除繁雜，加上微軟對(duì)DOC文檔結(jié)構(gòu)沒(méi)有公開(kāi)，給直

46、接基于文檔結(jié)構(gòu)清除宏病毒帶來(lái)了諸多不便。從某種意義上來(lái)講，微軟Word Basic的公開(kāi)性以及 DOC文檔結(jié)構(gòu)的封閉性，宏病毒對(duì)文檔的破壞已經(jīng)不僅僅屬于普通病毒的概念，如果放任宏病毒泛濫，不采取強(qiáng)有力的徹底解決方法， 宏病毒對(duì)中國(guó)的信息產(chǎn)業(yè)將會(huì)產(chǎn)生不測(cè)的后果。這一時(shí)期的病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑，因而，病毒傳播快、隱蔽性強(qiáng)、破壞性大。此外， 隨著Windows95的應(yīng)用，出現(xiàn)了Windows環(huán)境下的病毒。這

47、些都給病毒防治和傳統(tǒng)DOS版殺毒軟件帶來(lái)新的挑戰(zhàn)。誠(chéng)然，計(jì)算機(jī)病毒的發(fā)展必然會(huì)促進(jìn)計(jì)算機(jī)反病毒技術(shù)的發(fā)展，也就是說(shuō)， 新型病毒的出現(xiàn)向以行為規(guī)則判定病毒的預(yù)防產(chǎn)品、以病毒特征為基礎(chǔ)的檢測(cè)產(chǎn)品以及根據(jù)計(jì)算</p><p>　　第二章 計(jì)算機(jī)病毒的檢測(cè)技術(shù)</p><p>　　2.1 反病毒技術(shù)的發(fā)展歷程</p><p>　　第一代反病毒技術(shù)：采取單純的計(jì)算機(jī)病毒特征判

48、斷可以準(zhǔn)確地清除計(jì)算機(jī)病毒，可靠性很高隨著病毒技術(shù)的發(fā)展，特別是加密和變形技術(shù)的應(yīng)用，這種簡(jiǎn)單的靜態(tài)掃描方式逐漸失去了作用。第二代反病毒技術(shù)：采用靜態(tài)廣譜特征掃描方法檢測(cè)病毒可更多地檢測(cè)出變形病毒，但是誤報(bào)率也有所提高容易造成文件和數(shù)據(jù)的破壞。第三代反病毒技術(shù)：靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真技術(shù)相結(jié)合查找病毒和清除病毒合二為一，形成一個(gè)整體解決方案能全面實(shí)現(xiàn)預(yù)防、檢測(cè)和清除等反病毒所必備的各種手段以駐留內(nèi)存方式防止病毒的入侵，凡是檢測(cè)到的計(jì)算機(jī)

49、病毒都能清除，不會(huì)破壞文件和數(shù)據(jù)第四代反計(jì)算機(jī)病毒技術(shù)：基于計(jì)算機(jī)病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊、內(nèi)存解毒模塊和自身免疫模塊等先進(jìn)的解毒技術(shù)。</p><p>　　2.2 計(jì)算機(jī)病毒技術(shù)的檢測(cè)原理</p><p>　　計(jì)算機(jī)病毒檢測(cè)技術(shù)：通過(guò)一定的技術(shù)手段判定出病毒的技術(shù)。計(jì)算機(jī)病毒檢測(cè)技術(shù)種類：根據(jù)病毒在特征分類基礎(chǔ)上的檢測(cè)

50、技術(shù)，根據(jù)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及感染方式、危機(jī)程度的變化對(duì)文件或數(shù)據(jù)段的檢驗(yàn)和進(jìn)行檢測(cè)，不針對(duì)具體病毒程序自身檢驗(yàn)技術(shù)，即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，從而檢測(cè)到病毒的存在。反病毒程序計(jì)算各個(gè)可執(zhí)行程序的校驗(yàn)和某些反病毒程序是常駐內(nèi)存程序反病毒程序常駐內(nèi)存中，搜索可能進(jìn)入系統(tǒng)的計(jì)算機(jī)病毒，

51、其目的是阻止任何病毒感染系統(tǒng)。少數(shù)工具可以從感染病毒的程序中清除病毒，少數(shù)工具反病毒工具雖可將染毒程序修復(fù)好，但有些修復(fù)效果不能保證。某些反病毒工具還可能產(chǎn)生虛假報(bào)警。反病毒技術(shù)的主要分類：病毒診斷技術(shù)、病毒治療技術(shù)、病毒預(yù)防技術(shù)。</p><p>　　2.2.1檢測(cè)病毒的基本方法</p><p>　　1．借助簡(jiǎn)單工具檢測(cè)——指DEBUG等常規(guī)軟件工具要求檢測(cè)者必須具備的知識(shí)：分析工具的性

52、能，磁盤(pán)內(nèi)部結(jié)構(gòu)（如BOOT區(qū)、主引導(dǎo)區(qū)、FAT表和文件目錄等有關(guān)知識(shí)），磁盤(pán)文件結(jié)構(gòu)（EXE文件頭部結(jié)構(gòu)，重定位方法、EXE和COM文件加載文件的不同等），中斷矢量表內(nèi)存管理（內(nèi)存控制塊、環(huán)境參數(shù)和文件的PSP結(jié)構(gòu)等），閱讀匯編程序的能力及其有關(guān)病毒的信息。 </p><p>　　2．借助專用工具檢測(cè)指專門(mén)的計(jì)算機(jī)病毒檢測(cè)工具，如Norto一般來(lái)說(shuō)，專用工具具備自動(dòng)掃描磁盤(pán)的功能，可檢測(cè)磁盤(pán)的染毒情況。病毒檢測(cè)

53、工具只能識(shí)別已知計(jì)算機(jī)病毒，其發(fā)展總是滯后于計(jì)算機(jī)病毒的發(fā)展，從而對(duì)相當(dāng)數(shù)量的未知計(jì)算機(jī)病毒無(wú)法識(shí)別。</p><p>　　2.3 病毒主要檢測(cè)技術(shù)與方法</p><p>　　2.3.1外觀檢測(cè)法</p><p>　　雖不能準(zhǔn)確判斷系統(tǒng)感染了何種病毒，但可通過(guò)異?，F(xiàn)象來(lái)判斷病毒的存在。</p><p>　　外觀檢測(cè)法是計(jì)算機(jī)病毒防治階段起重要

54、作用的一個(gè)環(huán)節(jié)</p><p><b>　　1．屏幕顯示異常</b></p><p><b>　　2．聲音異常</b></p><p><b>　　3．文件系統(tǒng)異常</b></p><p><b>　　4．程序異常</b></p><p

55、><b>　　5．系統(tǒng)異常</b></p><p>　　6．打印機(jī)、軟驅(qū)等外部設(shè)備異常</p><p>　　2.3.2系統(tǒng)數(shù)據(jù)對(duì)比法</p><p><b>　　內(nèi)存比較法：</b></p><p>　　依據(jù)：通常病毒要駐留內(nèi)存，造成可用內(nèi)存空間的減少</p><p>

56、　　內(nèi)存比較法是針對(duì)內(nèi)存駐留計(jì)算機(jī)病毒進(jìn)行檢測(cè)的方法</p><p><b>　　中斷比較法：</b></p><p>　　依據(jù)：計(jì)算機(jī)病毒為實(shí)現(xiàn)其隱藏和傳染破壞的目的，常采用“截留盜用”技術(shù)，更改、接管中斷向量，使系統(tǒng)中斷向量轉(zhuǎn)向執(zhí)行計(jì)算機(jī)病毒控制部分。</p><p>　　方法：將正常系統(tǒng)的中斷向量與染毒系統(tǒng)的中斷向量進(jìn)行比較，可發(fā)現(xiàn)是否有

57、計(jì)算機(jī)病毒修改或盜用中斷向量。</p><p>　　2.3.3病毒簽名檢測(cè)法</p><p>　　計(jì)算機(jī)病毒簽名：即計(jì)算機(jī)病毒感染標(biāo)記。不同計(jì)算機(jī)病毒的簽名內(nèi)容不同，位置也不同。并非所有計(jì)算機(jī)病毒都具備計(jì)算機(jī)病毒簽名。計(jì)算機(jī)病毒簽名檢測(cè)法的特點(diǎn)：必須預(yù)先知道計(jì)算機(jī)病毒簽名的內(nèi)容和位置每一種計(jì)算機(jī)病毒簽名都要耗費(fèi)大量勞力，因此用計(jì)算機(jī)病毒簽名的方法檢測(cè)計(jì)算機(jī)病毒，常常是低效不適用的方法可能造

58、成虛假報(bào)警。</p><p>　　2.3.4特征代碼法</p><p>　　原理：計(jì)算機(jī)病毒程序通常具有明顯的特征代碼特征代碼可能是病毒的感染標(biāo)記，由字母和數(shù)字組成串可能是一小段程序由若干指令組成，特征代碼不一定連續(xù)。方法：通過(guò)搜索、比較計(jì)算機(jī)系統(tǒng)中是否含有與特征代碼數(shù)據(jù)庫(kù)中特征代碼匹配的特征代碼，從而確定系統(tǒng)是否染毒，感染了何種病毒。特點(diǎn)：依賴于對(duì)病毒精確特征的了解，必須事先對(duì)病毒樣本做

59、大量剖析分析計(jì)算機(jī)病毒需要很多時(shí)間，有時(shí)間滯后若病毒特殊代碼段的位置或代碼改動(dòng)，則原檢測(cè)方法失敗。</p><p>　　2.3.5檢查常規(guī)內(nèi)存數(shù)</p><p>　　不能隨意選擇病毒體內(nèi)的一段作為特征代碼串代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)</p><p>　　保持唯一性的前提下，代碼串應(yīng)盡量短，特征代碼串應(yīng)最具代表性，足以區(qū)別于其他病毒程序，特征代碼串應(yīng)能區(qū)別于其他正常的

60、非病毒程序。實(shí)現(xiàn)步驟采集已知計(jì)算機(jī)病毒樣本、從計(jì)算機(jī)病毒樣本中，抽取計(jì)算機(jī)病毒特征代碼，將特征代碼納入計(jì)算機(jī)病毒數(shù)據(jù)庫(kù)檢測(cè)文件。</p><p><b>　　2.3.6校驗(yàn)和法</b></p><p>　　原理：針對(duì)正常程序內(nèi)容計(jì)算其校驗(yàn)和，將其寫(xiě)入該程序或其他程序中保存。在程序應(yīng)用中，定期或每次使用前，計(jì)算程序當(dāng)前內(nèi)容校驗(yàn)和與原校驗(yàn)和是否一致，從而發(fā)現(xiàn)病毒的存在&l

61、t;/p><p><b>　　特點(diǎn)：</b></p><p>　　可發(fā)現(xiàn)已知病毒，也可發(fā)現(xiàn)未知病毒</p><p>　　校驗(yàn)和法不能識(shí)別病毒的種類，不能報(bào)出病毒具體名稱</p><p><b>　　校驗(yàn)和法誤報(bào)率很高</b></p><p>　　方法：在計(jì)算機(jī)病毒工具中納入校驗(yàn)和

62、在應(yīng)用程序中放入校驗(yàn)和和自我檢查功能將校驗(yàn)和檢查程序常駐內(nèi)存。</p><p>　　2.3.7行為檢測(cè)法</p><p>　　原理：病毒有些行為是病毒的共同行為，且比較特殊，甚至罕見(jiàn)。程序運(yùn)行時(shí)，監(jiān)視其行為，若發(fā)現(xiàn)病毒行為，立即報(bào)警。檢測(cè)病毒的行為特征占用INT 13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量。對(duì).COM和.EXE文件做寫(xiě)入操作，計(jì)算機(jī)病毒與宿主程序的邦定和切換格式化磁盤(pán)或某些磁道等

63、破壞行為。掃描、試探特定網(wǎng)絡(luò)端口發(fā)送網(wǎng)絡(luò)廣播，修改文件、文件夾屬性，添加共享等。</p><p>　　2.3.8軟件模擬法</p><p>　　軟件模擬法：專門(mén)用來(lái)檢測(cè)變形病毒，即多態(tài)性病毒</p><p>　　變形病毒特征：病毒傳播到目標(biāo)后，病毒自身代碼和結(jié)構(gòu)在空間上、時(shí)間上具有不同的變化。</p><p><b>　　變形病毒類

64、型：</b></p><p>　　第一類：一維變形計(jì)算機(jī)病毒</p><p>　　當(dāng)病毒傳播到一個(gè)目標(biāo)后，其自身代碼與前一目標(biāo)中的病毒代碼幾乎沒(méi)有3個(gè)連續(xù)字節(jié)是相同的，但其相對(duì)空間的排列位置是不變的個(gè)別病毒遇到檢測(cè)時(shí)能進(jìn)行自我加密或解密，或自我消失。有的病毒能在列目錄時(shí)能消失增加的字節(jié)數(shù)，或在加載跟蹤時(shí)能破壞跟蹤或逃之夭夭。</p><p><b&

65、gt;　　變形病毒類型：</b></p><p>　　第二類：二維變形計(jì)算機(jī)病毒</p><p>　　除了具備一維變形病毒的特征外，而且變化的代碼相互間的排列距離（相對(duì)空間位置）也是變化的。</p><p>　　第三類：三維變形計(jì)算機(jī)病毒</p><p>　　除了具備二維變形病毒的特征外，而且能分裂后分別潛藏幾處，當(dāng)病毒引擎激活后

66、能自我恢復(fù)成一個(gè)完整的計(jì)算機(jī)病毒計(jì)算機(jī)病毒在附著體上的空間位置是變化的，即潛藏位置不定。</p><p>　　第四類：四維變形計(jì)算機(jī)病毒具備三維變形病毒的特征，而且這些特性隨時(shí)間動(dòng)態(tài)變化。 四維變形病毒大部分具備網(wǎng)絡(luò)自動(dòng)傳播功能，能在網(wǎng)絡(luò)的不同角落到處隱藏。</p><p>　　檢測(cè)：一般而言，多態(tài)計(jì)算機(jī)病毒的變換方式：</p><p>　　采用等價(jià)代碼對(duì)原有代碼進(jìn)

67、行替換；</p><p>　　改變與執(zhí)行次序無(wú)關(guān)的指令的次序；</p><p><b>　　增加許多垃圾指令；</b></p><p>　　對(duì)原有病毒代碼進(jìn)行壓縮或加密。</p><p>　　軟件模擬技術(shù)：又稱為解密引擎、虛擬機(jī)技術(shù)、虛擬執(zhí)行技術(shù)或軟件仿真技術(shù)。</p><p>　　軟件模擬技術(shù)是

68、一種軟件分析器，用軟件方法模擬一個(gè)程序運(yùn)行環(huán)境，將可疑程序載入其中運(yùn)行，在執(zhí)行過(guò)程中，待計(jì)算機(jī)病毒對(duì)自身進(jìn)行解碼后，再運(yùn)用特征代碼法來(lái)識(shí)別病毒的種類，并進(jìn)行清除，從而實(shí)現(xiàn)對(duì)各類多態(tài)病毒的查殺。</p><p>　　2.3.9啟動(dòng)式代碼掃描技術(shù)</p><p>　　1. 計(jì)算機(jī)病毒掃描技術(shù)：當(dāng)前最主要的查殺方式</p><p>　　主要通過(guò)檢查文件、扇區(qū)和系統(tǒng)內(nèi)存來(lái)搜

69、索計(jì)算機(jī)病毒，用“標(biāo)記”查找已知病毒，病毒標(biāo)記就是病毒常用代碼的特征。</p><p><b>　　按殺毒方式分類：</b></p><p>　　通用掃描：不依賴操作系統(tǒng)，可查找各種病毒</p><p>　　專用掃描：專查某種計(jì)算機(jī)病毒</p><p>　　按用戶操作方式分類：</p><p>　

70、　實(shí)時(shí)掃描：若出現(xiàn)計(jì)算機(jī)病毒，能夠立即發(fā)現(xiàn)</p><p>　　請(qǐng)求掃描：只在運(yùn)行時(shí)才能檢測(cè)計(jì)算機(jī)病毒</p><p>　　檢測(cè)病毒的主要依據(jù)：病毒和正常程序之間存在很多區(qū)別</p><p>　　2．啟發(fā)式代碼掃描：又稱啟發(fā)式職能代碼分析</p><p>　　將人工智能的知識(shí)和原理運(yùn)用到計(jì)算機(jī)病毒檢測(cè)中，運(yùn)用啟發(fā)式掃描技術(shù)的計(jì)算機(jī)病毒檢測(cè)軟件

71、，實(shí)際上就是以人工智能的方式實(shí)現(xiàn)的動(dòng)態(tài)反編譯代碼分析、比較器，通過(guò)對(duì)程序有關(guān)指令序列進(jìn)行反編譯，逐步分析、比較，根據(jù)其動(dòng)機(jī)判斷是否為計(jì)算機(jī)病毒。</p><p>　　3．啟發(fā)式掃描通常應(yīng)設(shè)立的標(biāo)志：</p><p>　　為了對(duì)程序可能的操作進(jìn)行加權(quán)統(tǒng)計(jì)和描述，計(jì)算機(jī)病毒檢測(cè)程序會(huì)對(duì)被檢測(cè)程序作疑似計(jì)算機(jī)病毒的標(biāo)記。如：TBScan定義的常用標(biāo)志。</p><p>&

72、lt;b>　　4．誤報(bào)/漏報(bào)</b></p><p>　　誤報(bào)：將一個(gè)本無(wú)計(jì)算機(jī)病毒的程序指證為染毒程序</p><p>　　漏報(bào)：將一個(gè)計(jì)算機(jī)病毒程序作為正常程序處理</p><p>　　產(chǎn)生原因：被檢測(cè)程序中含有病毒所使用或含有的可疑功能</p><p>　　減少或避免誤報(bào)/漏報(bào)：</p><p>

73、;　　準(zhǔn)確把握病毒的行為和可疑功能調(diào)用集合的精確定義；</p><p>　　對(duì)于常規(guī)程序代碼的識(shí)別能力；</p><p>　　對(duì)于特定程序代碼的識(shí)別能力；</p><p>　　類似“無(wú)罪假定”的功能。</p><p><b>　　5．其他掃描技術(shù)</b></p><p>　　CRC掃描：磁盤(pán)中的實(shí)

74、際文件或系統(tǒng)扇區(qū)的CRC值（檢驗(yàn)和），這些CRC值被殺毒軟件保存在自己的數(shù)據(jù)庫(kù)中，在運(yùn)行殺毒軟件時(shí)，用備份的CRC值與當(dāng)前計(jì)算的值比較，可知文件是否已被修改或被計(jì)算機(jī)病毒感染。</p><p>　　2.3.10主動(dòng)內(nèi)核技術(shù)</p><p>　　Active K（主動(dòng)內(nèi)核）技術(shù)的要點(diǎn)在于能夠在計(jì)算機(jī)病毒突破計(jì)算機(jī)系統(tǒng)軟、硬件的瞬間發(fā)生作用。一方面不會(huì)傷及計(jì)算機(jī)系統(tǒng)本身；另一方面對(duì)企圖入侵系統(tǒng)

75、的計(jì)算機(jī)病毒具有徹底攔截并殺除的作用。</p><p>　　主動(dòng)內(nèi)核技術(shù)：從操作系統(tǒng)內(nèi)核的深度，給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打一“主動(dòng)”的補(bǔ)丁，從安全角度對(duì)系統(tǒng)進(jìn)行管理和檢查，對(duì)系統(tǒng)的漏洞進(jìn)行修補(bǔ)，任何文件在進(jìn)入系統(tǒng)之前，作為主動(dòng)內(nèi)核的反病毒模塊都將首先使用各種手段對(duì)文件進(jìn)行檢測(cè)處理。</p><p>　　2.3.11病毒分析法</p><p>　　使用病毒分析法的人——反

76、計(jì)算機(jī)病毒技術(shù)人員</p><p>　　使用病毒分析法的目的：即使用病毒分析法的工作順序確認(rèn)被觀察的磁盤(pán)引導(dǎo)扇區(qū)和程序中是否有病毒，確認(rèn)病毒的類型和種類，判斷其是否是一種新病毒分析病毒的大致結(jié)構(gòu)，提取特征字符串或特征字，詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。</p><p>　　使用病毒分析法的要求：</p><p>　　具有比較全面的有關(guān)計(jì)算機(jī)、DOS

77、結(jié)構(gòu)和功能調(diào)用以及關(guān)于計(jì)算機(jī)病毒方面的各種知識(shí)。此外，還需要Debug、Provie等分析用工具軟件和專用的試驗(yàn)用計(jì)算機(jī)。</p><p>　　靜態(tài)分析：利用Debug等反匯編程序?qū)⒂?jì)算機(jī)病毒反匯編后進(jìn)行分析，分析病毒的組成模塊、病毒使用的系統(tǒng)調(diào)用，病毒采用的技巧、清除病毒的方法，特征碼的選取。</p><p>　　動(dòng)態(tài)分析：利用Debug等調(diào)試工具在內(nèi)存帶毒情況下，對(duì)病毒作動(dòng)態(tài)跟蹤，觀察

78、病毒的具體工作過(guò)程，在靜態(tài)分析基礎(chǔ)上理解病毒的工作原理。</p><p>　　2.3.12病毒感染法</p><p><b>　　感染實(shí)驗(yàn)法：</b></p><p>　　用于檢測(cè)病毒檢測(cè)工具不認(rèn)識(shí)的新計(jì)算機(jī)病毒，可擺脫對(duì)計(jì)算機(jī)病毒檢測(cè)工具的依賴，自主地檢測(cè)可疑的新計(jì)算機(jī)病毒。</p><p><b>　　原理

79、：</b></p><p>　?、?利用計(jì)算機(jī)病毒的最重要的基本特征——感染特性</p><p>　?、?檢測(cè)未知引導(dǎo)型計(jì)算機(jī)病毒的感染實(shí)驗(yàn)法</p><p>　?、?檢測(cè)未知文件型計(jì)算機(jī)病毒的感染實(shí)驗(yàn)法</p><p>　　總之  計(jì)算機(jī)病毒檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中起著至關(guān)重要的作用，主要有：①堵塞計(jì)算

80、機(jī)病毒的傳播途徑，嚴(yán)防計(jì)算機(jī)病毒的侵害；②計(jì)算機(jī)病毒的可以對(duì)計(jì)算機(jī)數(shù)據(jù)和文件安全構(gòu)成威脅，那么計(jì)算機(jī)病毒檢測(cè)技術(shù)可以保護(hù)計(jì)算機(jī)數(shù)據(jù)和文件安全；③可以在一定程度上打擊病毒制造者的猖獗違法行為；④最新病毒檢測(cè)方法技術(shù)的問(wèn)世為以后更好應(yīng)對(duì)多變的計(jì)算機(jī)病毒奠定了方法技術(shù)基礎(chǔ)。 雖然，計(jì)算機(jī)病毒檢測(cè)技術(shù)的作用很大，但并不能完全防止計(jì)算機(jī)病毒的攻擊，我們必須提高警惕，充分發(fā)揮主觀能動(dòng)性。因此，加強(qiáng)IT行業(yè)從業(yè)人員的職業(yè)道德教育、加快完善計(jì)

81、算機(jī)病毒防止方面的法律法規(guī)、加強(qiáng)國(guó)際交流與合作同樣顯得刻不容緩。也許只有這樣計(jì)算機(jī)計(jì)算機(jī)病毒檢測(cè)技術(shù)才能更好發(fā)揮作用，我們才能更好防止日益變化和復(fù)雜的計(jì)算機(jī)病毒的攻擊。 </p><p>　　第三章 計(jì)算機(jī)病毒的工作原理</p><p>　　3.1 程序病毒的工作原理</p><p>　　計(jì)算機(jī)系統(tǒng)的內(nèi)存是一個(gè)非常重要的資源，我們可以認(rèn)為所有的工作都需要

82、在內(nèi)存中運(yùn)行（相當(dāng)于人的大腦），所以控制了內(nèi)存就相當(dāng)于控制了人的大腦，病毒一般都是通過(guò)各種方式把自己植入內(nèi)存，獲取系統(tǒng)最高控制權(quán)，然后感染在內(nèi)存中運(yùn)行的程序。（注意，所有的程序都在內(nèi)存中運(yùn)行，也就是說(shuō)，在感染了病毒后，你所有運(yùn)行過(guò)的程序都有可能被傳染上，感染哪些文件這由病毒的特性所決定）。目前最多的一類病毒，主要感染.exe 和 .dll 等可執(zhí)行文件和動(dòng)態(tài)連接庫(kù)文件，比如很多的蠕蟲(chóng)病毒都是這樣。注意蠕蟲(chóng)病毒不是一個(gè)病毒，而是一個(gè)種類。

83、他的特點(diǎn)是針對(duì)目前INTERNET高速發(fā)展，主要在網(wǎng)絡(luò)上傳播，當(dāng)他感染了一臺(tái)計(jì)算機(jī)之后，可以自動(dòng)的把自己通過(guò)網(wǎng)絡(luò)發(fā)送出去，比如發(fā)送給同一居欲網(wǎng)的用戶或者自動(dòng)讀取你的EMAIL列表，自動(dòng)給你的朋友發(fā)EMAIL等等。感染了蠕蟲(chóng)病毒的機(jī)器一秒種可能會(huì)發(fā)送幾百個(gè)包來(lái)探測(cè)起周圍的機(jī)器。會(huì)造成網(wǎng)絡(luò)資源的巨大浪費(fèi)。所以這次我們殺毒主要是針對(duì)這種病毒。 切記：病毒傳染的前提就是，他必須把自己復(fù)制到內(nèi)存中，硬盤(pán)中的帶毒文件如果沒(méi)有被讀入內(nèi)寸，是不會(huì)傳染

84、的，這在殺毒中非常重要。而且，計(jì)算機(jī)斷電后內(nèi)存內(nèi)容會(huì)丟</p><p>　　3.1.1 程序性病毒是如何傳播的</p><p>　　病毒傳播最主要的途徑是網(wǎng)絡(luò)，還有軟盤(pán)和光盤(pán)。比如，我正在工作時(shí)，朋友拿來(lái)一個(gè)帶病毒的軟盤(pán)，比如，該病毒感染了磁盤(pán)里的A文件，我運(yùn)行了一下這個(gè)A文件，病毒就被讀如內(nèi)存，如果你不運(yùn)行染毒文件，程序型病毒是不會(huì)感染你的機(jī)器的（不要罵，我這里說(shuō)的是程序型病毒，后面我會(huì)

85、說(shuō)引導(dǎo)型病毒，他只要打開(kāi)軟盤(pán)就會(huì)感染）當(dāng)染毒文件被運(yùn)行，病毒就進(jìn)入內(nèi)存，并獲取了內(nèi)存控制權(quán)，開(kāi)始感染所有之后運(yùn)行的文件。比如我運(yùn)行了WORD。EXE ，則該文件被感染，病毒把自己復(fù)制一份，加在WORD.EXE文件的后面，會(huì)使該文件長(zhǎng)度增加1到幾個(gè)K。（不是所有病毒都這樣，我舉這個(gè)離子只是想介紹病毒感染過(guò)程） 好，接下來(lái)，比如說(shuō)我關(guān)機(jī)了，則內(nèi)存中的病毒被清除，我機(jī)子中所有的染毒文件只有WORD.exe。第二天，我又開(kāi)機(jī)時(shí)，內(nèi)存是干凈的。

86、比如我需要用WORD，于是，該染毒文件中的病毒被讀如內(nèi)存，繼續(xù)感染下面運(yùn)行的程序，周而復(fù)始，時(shí)間越長(zhǎng)，染毒文件越多。到了一定時(shí)間，病毒開(kāi)始發(fā)作（根據(jù)病毒作者定義的條件，有的是時(shí)間，比如CIH，有的是感染規(guī)模等等）執(zhí)行病毒作者定義的操作，比如無(wú)限復(fù)制，占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡(luò)傳播甚至格式化</p><p>　　3.2 引導(dǎo)型病毒的工作原理</p><p>　　看了前面的病毒傳染

87、過(guò)程，大家很容易想到，只要我啟動(dòng)計(jì)算機(jī)后不運(yùn)行染毒程序，直接刪除不就可以了。實(shí)際上，現(xiàn)在的病毒沒(méi)有那么弱智的，下面我門(mén)來(lái)看看其他的幾種傳染機(jī)制，首先看看引導(dǎo)型病毒 。剛才說(shuō)了，病毒必須進(jìn)入內(nèi)存才可以繼續(xù)感染，只有被運(yùn)行他才可以進(jìn)入內(nèi)存，那么與等用戶來(lái)運(yùn)行，如果用戶長(zhǎng)期不用這個(gè)染度文件，豈不是等的花而也謝了。引導(dǎo)型病毒感染的不是文件，而是磁盤(pán)引導(dǎo)區(qū)，他把自己寫(xiě)入引導(dǎo)區(qū)，這樣，只要磁盤(pán)被讀寫(xiě)，病毒就首先被讀取入內(nèi)存。這就是為什么殺毒要用干凈

88、的啟動(dòng)盤(pán)啟動(dòng)，為的就是防止引導(dǎo)型病毒。</p><p>　　3.2.1 引導(dǎo)型病毒是如何傳播的</p><p>　　在計(jì)算機(jī)啟動(dòng)時(shí)，必須讀取硬盤(pán)主引導(dǎo)區(qū)獲得分區(qū)信息，再讀取C：盤(pán)引導(dǎo)區(qū)獲取操作系統(tǒng)信息，這時(shí)候任何殺毒軟件都無(wú)法控制，這樣我先介紹一下計(jì)算機(jī)的啟動(dòng)順序，大家只要記住一點(diǎn)就是：任何程序都要被讀入內(nèi)存才會(huì)起作用。 計(jì)算機(jī)加電后，內(nèi)存是空的，首先從BIOS中讀取一些啟動(dòng)參數(shù)到內(nèi)存中

89、，這些命令控制計(jì)算機(jī)去做下一步工作就是自檢。（BIOS就是固化在ROM中的基本輸入輸出系統(tǒng)的意思，ROM是只讀存儲(chǔ)器，因?yàn)橛?jì)算機(jī)是一個(gè)機(jī)電設(shè)備，它不會(huì)自己干什么事情，必須由軟件，也就是人事先寫(xiě)好的程序來(lái)控制他工作，而這些程序必須被讀入內(nèi)存才可以控制計(jì)算機(jī)。接下來(lái)，計(jì)算機(jī)自檢，發(fā)現(xiàn)硬盤(pán)，讀取硬盤(pán)主引導(dǎo)程序到內(nèi)存中，再讀取C盤(pán)的引導(dǎo)程序到內(nèi)存中，再讀取操作系統(tǒng)文件到內(nèi)存中，然后開(kāi)始由操作系統(tǒng)文件控制計(jì)算機(jī)開(kāi)始啟動(dòng)。啟動(dòng)完畢后，讀入各種自動(dòng)運(yùn)

90、行的文件，比如天網(wǎng)放火墻、QQ、病毒監(jiān)測(cè)軟件、等等， 前面說(shuō)過(guò)，誰(shuí)先進(jìn)入內(nèi)存，誰(shuí)先占據(jù)系統(tǒng)控制權(quán)，從上面的啟動(dòng)順序可以發(fā)現(xiàn)，如果病毒在引導(dǎo)區(qū)，那么，他被讀入內(nèi)存的時(shí)候，殺毒軟件還不知道在那里呢。 舉個(gè)離子：比如我拿了一張染有引導(dǎo)型病毒的軟盤(pán)用，當(dāng)我雙擊A盤(pán)圖標(biāo)后，計(jì)算機(jī)開(kāi)始讀軟盤(pán)，首</p><p>　　3.3 計(jì)算機(jī)病毒的發(fā)展趨勢(shì)</p><p>　　從某種意義上說(shuō)，21世紀(jì)是計(jì)算機(jī)

91、病毒與反病毒激烈角逐的時(shí)代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀(jì)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)。</p><p>　?、?計(jì)算機(jī)病毒智能化</p><p>　　與傳統(tǒng)計(jì)算機(jī)病毒不同的是，許多新病毒（包括蠕蟲(chóng)、黑客工具和木馬等惡意程序）是利用當(dāng)前最新的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn)的，它們易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。例如，“愛(ài)蟲(chóng)”病毒是用VB Script語(yǔ)言編寫(xiě)的，只要通

92、過(guò)Windows下自帶的編輯軟件修改病毒代碼中的一部分，就能輕而易舉地制造出病毒變種，從而可以躲避反病毒軟件的追擊。 另外，新病毒利用Java、Active X、VB Script等技術(shù)，可以潛伏在HTML頁(yè)面里，在上網(wǎng)瀏覽時(shí)觸發(fā)?！癒akworm”病毒雖然早在2004年1月就被發(fā)現(xiàn)，但它的感染率一直居高不下，原因就是由于它利用ActiveX控件中存在的缺陷進(jìn)行傳播，因此裝有IE6或Office 2003的計(jì)算機(jī)都可能被感染。

93、這個(gè)病毒的出現(xiàn)使原來(lái)不打開(kāi)帶毒郵件附件而直接予以刪除的防郵件病毒的方法完全失效。更令人擔(dān)心的是，一旦這種病毒被賦予其他計(jì)算機(jī)病毒的特性，其危害很有可能超過(guò)任何現(xiàn)有的計(jì)算機(jī)病毒。 </p><p>　　㈡ 計(jì)算機(jī)病毒人性化</p><p>　　更確切地說(shuō)，也可以將人性化稱為誘惑性?，F(xiàn)在的計(jì)算機(jī)病毒越來(lái)越注重利用人們的心理因素，如好奇、貪婪等。前一陣肆虐一時(shí)的“裸妻”病毒郵件的主題就是英文的“

94、裸妻”，郵件正文為“我的妻子從未這樣”，郵件附件中攜帶一個(gè)名為“裸妻”的可執(zhí)行文件，用戶一旦執(zhí)行這個(gè)文件，病毒就被激活。最近出現(xiàn)的My-babypic病毒是通過(guò)可愛(ài)的寶寶照片傳播病毒的。而“庫(kù)爾尼科娃”病毒的大流行則是利用了“網(wǎng)壇美女”庫(kù)爾尼科娃難以抵擋的魅力。</p><p>　?、?計(jì)算機(jī)病毒隱蔽化 </p><p>　　相比較而言，新一代病毒更善于隱藏和偽裝自己。其郵件主題會(huì)在傳播中

95、改變，或者具有極具誘惑性的主題和附件名。許多病毒會(huì)偽裝成常用程序，或者在將病毒代碼寫(xiě)入文件內(nèi)部的同時(shí)不改變文件長(zhǎng)度，使用戶防不勝防。 主頁(yè)病毒的附件homepage html vbs并非一個(gè)HTML文檔，而是一個(gè)惡意的VB腳本程序，一旦被執(zhí)行，就會(huì)向用戶地址簿中的所有電子郵件地址發(fā)送帶毒的電子郵件副本。再比如“維羅納”病毒，該病毒將病毒寫(xiě)入郵件正文，而且主題和附件名極具誘惑性，其主題眾多，更替頻繁，使用戶很容易由于麻痹大意而

96、感染。此外，matrix等病毒會(huì)自動(dòng)隱藏和變形，甚至阻止受害用戶訪問(wèn)反病毒網(wǎng)站和向記錄病毒的反病毒地址發(fā)送電子郵件，無(wú)法下載經(jīng)過(guò)更新和升級(jí)后的相應(yīng)殺毒軟件或發(fā)布病毒警告消息。 </p><p>　?、?計(jì)算機(jī)病毒多樣化</p><p>　　在新病毒層出不窮的同時(shí)，老病毒依然充滿活力，并呈現(xiàn)多樣化的趨勢(shì)。1999年對(duì)普遍發(fā)作的計(jì)算機(jī)病毒分析顯示，雖然新病毒不斷產(chǎn)生，但較早的病毒發(fā)作仍很普遍。

97、1999年報(bào)道最多的病毒是1996年就首次發(fā)現(xiàn)并到處傳播的宏病毒Laroux。新病毒具有可執(zhí)行程序、腳本文件、HTML網(wǎng)頁(yè)等多種形式，并正向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ、OICQ等發(fā)展。 更為棘手的是，新病毒的手段更加陰狠，破壞性更強(qiáng)。據(jù)計(jì)算機(jī)經(jīng)濟(jì)研究中心的報(bào)告顯示，在2000年5月“愛(ài)蟲(chóng)”病毒大流行的前5天，病毒就已經(jīng)造成了67億美元的損失。而該中心1999年的統(tǒng)計(jì)數(shù)據(jù)顯示，到1999年末病毒損失只是120億美元。</p

98、><p>　　第四章 常見(jiàn)計(jì)算機(jī)病毒的預(yù)防</p><p>　　4.1 計(jì)算機(jī)病毒的預(yù)防</p><p>　　4.1.1 計(jì)算機(jī)病毒防護(hù)技術(shù)介紹</p><p>　　關(guān)于病毒，經(jīng)歷過(guò)計(jì)算機(jī)病毒多次侵害的人們，想必已經(jīng)非常熟悉了。人們也使用了許多種反病毒軟件，但仍經(jīng)常受到病毒的攻擊，大家都沒(méi)弄太清楚，到底怎么做，才能保證計(jì)算機(jī)每分每秒的安全

99、。經(jīng)歷過(guò)CIH，“美麗殺”病毒的洗禮，人們已知道了“查殺病毒不可能一勞永逸”的道理，已經(jīng)明白維護(hù)計(jì)算機(jī)的安全是一項(xiàng)漫長(zhǎng)的過(guò)程。 現(xiàn)在世界上成熟的反病毒技術(shù)已經(jīng)完全可以作到對(duì)所有的已知病毒徹底預(yù)防、徹底殺除，主要涉及以下三大技術(shù)：1、實(shí)時(shí)監(jiān)視技術(shù) </p><p>　　這個(gè)技術(shù)為計(jì)算機(jī)構(gòu)筑起一道動(dòng)態(tài)、實(shí)時(shí)的反病毒防線，通過(guò)修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計(jì)算機(jī)系統(tǒng)之門(mén)外。時(shí)刻監(jiān)視系統(tǒng)當(dāng)

100、中的病毒活動(dòng)，時(shí)刻監(jiān)視系統(tǒng)狀況，時(shí)刻監(jiān)視軟盤(pán)、光盤(pán)、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。優(yōu)秀的反病毒軟件由于采用了與操作系統(tǒng)的底層無(wú)縫連接技術(shù)，實(shí)時(shí)監(jiān)視器占用的系統(tǒng)資源極小，用戶一方面完全感覺(jué)不到對(duì)機(jī)器性能的影響，一方面根本不用考慮病毒的問(wèn)題。只要實(shí)時(shí)反病毒軟件實(shí)時(shí)地在系統(tǒng)中工作，病毒就無(wú)法侵入我們的計(jì)算機(jī)系統(tǒng)?？梢员ＷC反病毒軟件只需一次安裝，今后計(jì)算機(jī)運(yùn)行的每一秒鐘都會(huì)執(zhí)行嚴(yán)格的反病毒檢查，使因特網(wǎng)、光盤(pán)、軟盤(pán)等

101、途徑進(jìn)入計(jì)算機(jī)的每一個(gè)文件都安全無(wú)毒，如有毒則進(jìn)行自動(dòng)殺除。2、自動(dòng)解壓縮技術(shù) </p><p>　　目前我們?cè)谝蛱鼐W(wǎng)、光盤(pán)以及 WINDOWS中接觸到的大多數(shù)文件都是以壓縮狀態(tài)存放，以便節(jié)省傳輸時(shí)間或節(jié)約存放空間，這就使得各類壓縮文件已成為了計(jì)算機(jī)病毒傳播的溫床。如中國(guó)計(jì)算機(jī)報(bào)光盤(pán)InfoCD十月號(hào)染上CIH病毒事件，就是3個(gè)壓縮文件內(nèi)部中含有病毒。 如果用戶從網(wǎng)上下載了一個(gè)帶病毒的壓縮文件包，或從

102、光盤(pán)里運(yùn)行一個(gè)壓縮過(guò)的帶毒文件，用戶會(huì)放心地使用這個(gè)壓縮文件包，然后自己的系統(tǒng)就會(huì)不知不覺(jué)地被壓縮文件包中的病毒感染。而且現(xiàn)在流行的壓縮標(biāo)準(zhǔn)有很多種，相互之間有些還并不兼容，全面覆蓋各種各樣的壓縮格式，就要求了解各種壓縮格式的算法和數(shù)據(jù)模型，這就必須和壓縮軟件的生產(chǎn)廠商有很密切的技術(shù)合作關(guān)系，否則，解壓縮就會(huì)出問(wèn)題。3、全平臺(tái)反病毒技術(shù)</p><p>　　目前病毒活躍的平臺(tái)有：WINDOWS、NT、WIN

103、XP、WIN 2000、WIN 2003、NETWARE、NOTES、EXCHANGE等，為了反病毒軟件做到與系統(tǒng)的底層無(wú)縫連接，可靠地實(shí)時(shí)檢查和殺除病毒，必須在不同的平臺(tái)上使用相應(yīng)平臺(tái)的反病毒軟件，如你用的是WINDOWS的平臺(tái)，則你必須用WINDOWS版本的反毒軟件。如果是企業(yè)網(wǎng)絡(luò)，什么版本的平臺(tái)都有，那么就要在網(wǎng)絡(luò)的每一個(gè)SERVER、CLIENT端上安裝WINDOWS95/98/ME/XP/2000/2003等平臺(tái)的反病毒軟件，

104、每一個(gè)點(diǎn)上都安裝了相應(yīng)的反病毒模塊，每一個(gè)點(diǎn)上都能實(shí)時(shí)地抵御病毒攻擊。只有這樣，才能作到網(wǎng)絡(luò)的真正安全和可靠。</p><p>　　4.1.2 計(jì)算機(jī)病毒的技術(shù)防范措施</p><p>　　隨著計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,伴隨而來(lái)的計(jì)算機(jī)病毒傳播問(wèn)題越來(lái)越引起人們的關(guān)注。隨因特網(wǎng)的流行單位內(nèi)部局域網(wǎng)的建立,有些計(jì)算機(jī)病毒借助網(wǎng)絡(luò)爆發(fā)流行,它們與以往的計(jì)算機(jī)病毒相比具有一些新的特點(diǎn),給廣大計(jì)

105、算機(jī)用戶帶來(lái)了極大的損失。</p><p>　　對(duì)于電腦病毒，主要采取以“防”為主，以“治”為輔的方法。阻止病毒的侵入比病毒侵入后再去發(fā)現(xiàn)和排除它重要得多。預(yù)防堵塞病毒傳播途徑主要有以下措施：</p><p>　　首先應(yīng)該謹(jǐn)慎使用公共和共享的軟件，因?yàn)檫@種軟件使用的人多而雜，所以它們攜帶病毒的可能性較大。</p><p>　　其次應(yīng)盡量不使用辦公室外帶來(lái)的軟盤(pán)，特別

106、是在公用電腦上使用過(guò)的軟盤(pán)，盡管有些軟盤(pán)只是本辦公室的職員帶回家使用過(guò)，但誰(shuí)能保證這些職員家中的機(jī)器沒(méi)被感染呢?</p><p>　　密切關(guān)注有關(guān)媒體發(fā)布的反病毒信息，特別是某些定期發(fā)作的病毒，如CIH病毒會(huì)在4月26日發(fā)作等，在這個(gè)時(shí)間我們可以不開(kāi)電腦。</p><p>　　寫(xiě)保護(hù)所有系統(tǒng)盤(pán)和文件。</p><p>　　提高病毒防范意識(shí)，使用軟件時(shí)，盡量用正版軟件

107、，盡可能不使用盜版軟件和來(lái)歷不明的軟件。</p><p>　　除非是原始盤(pán)，絕不用軟盤(pán)去引導(dǎo)硬盤(pán)。</p><p>　　不要隨意復(fù)制、使用不明來(lái)源的軟盤(pán)、光盤(pán)。對(duì)外來(lái)盤(pán)要查、殺毒，確認(rèn)無(wú)毒后再使用。自己的軟盤(pán)也不要拿到別的電腦上使用。</p><p>　　對(duì)重要的數(shù)據(jù)、資料、CMOS以及分區(qū)表要進(jìn)行備份，創(chuàng)建一張無(wú)毒的啟動(dòng)軟盤(pán)，用于重新啟動(dòng)或安裝系統(tǒng)。</p&

108、gt;<p>　　在電腦系統(tǒng)中安裝正版殺毒軟件，定期用正版殺毒軟件對(duì)引導(dǎo)系統(tǒng)進(jìn)行查毒、殺毒，建議配備多套殺毒軟件，因?yàn)槊糠N殺毒軟件都有自己的特點(diǎn)，用殺毒軟件進(jìn)行交叉殺毒則可以確保殺毒的效果，對(duì)殺毒軟件要及時(shí)進(jìn)行升級(jí)。</p><p>　　使用病毒防火墻，病毒防火墻具有實(shí)時(shí)監(jiān)控的功能，能抵抗大部分的病毒入侵。很多殺毒軟件都帶有病毒防火墻功能。但是電腦的各種異?，F(xiàn)象，即使安裝了“防火墻”系統(tǒng)，也不要掉以

109、輕心，因?yàn)闅⒍拒浖?duì)未知的病毒也是無(wú)可奈何的。</p><p>　　限制網(wǎng)上可執(zhí)行代碼的交換。</p><p>　　對(duì)新搬到本辦公室的機(jī)器“消毒”后再使用。</p><p>　　絕不把用戶數(shù)據(jù)或程序?qū)懙较到y(tǒng)盤(pán)上。</p><p>　　絕不執(zhí)行不知來(lái)源的程序。</p><p>　　如果不能防止病毒侵入，那至少應(yīng)該盡早發(fā)現(xiàn)

110、它的侵入。顯然，發(fā)現(xiàn)病毒越早越好，如果能夠在病毒產(chǎn)生危害之前發(fā)現(xiàn)和排除它，則可以使系統(tǒng)免受危害；如果能在病毒廣泛傳播之前發(fā)現(xiàn)它，則可以使系統(tǒng)中修復(fù)的任務(wù)較輕和較容易。總之，病毒在系統(tǒng)內(nèi)存在的時(shí)間越長(zhǎng)，產(chǎn)生的危害就越大。</p><p>　　目前發(fā)現(xiàn)的計(jì)算機(jī)病毒的主要癥狀</p><p>　　由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái)，磁盤(pán)壞簇莫名其妙地增多。</p>&