畢業(yè)論文《計(jì)算機(jī)病毒防范》

《畢業(yè)論文《計(jì)算機(jī)病毒防范》》由會(huì)員分享，可在線閱讀，更多相關(guān)《畢業(yè)論文《計(jì)算機(jī)病毒防范》（53頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、畢業(yè)論文 課題名稱 計(jì)算機(jī)病毒防范 姓名 劉斌 學(xué)號 103050819 專業(yè) 計(jì)算機(jī)網(wǎng)絡(luò) 班級 W0508 指導(dǎo)教師 江麗 隨著計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，伴隨而來的計(jì)算機(jī)病毒傳播問題越來越引起人們的關(guān)注。隨因特網(wǎng)的流行，有些計(jì)算機(jī)病毒借助網(wǎng)絡(luò)爆發(fā)流行，如CIH計(jì)算機(jī)病毒、“愛蟲”病毒等，它們與以往的計(jì)算機(jī)病毒相比具有一些新的特點(diǎn)，給廣大計(jì)算機(jī)用戶帶來了極大的損失。 　　當(dāng)計(jì)算機(jī)系統(tǒng)或文件染有計(jì)算機(jī)病毒時(shí)，需要檢測和消除。但是，計(jì)算機(jī)病毒一旦破壞了沒有副本的文件，便無法醫(yī)治。隱性計(jì)算機(jī)病毒和多態(tài)性計(jì)算機(jī)病毒更使人難以檢測。在與計(jì)算機(jī)病毒的對抗中，如果能采取有效的

2、防范措施，就能使系統(tǒng)不染毒，或者染毒后能減少損失。 　　計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。 　　計(jì)算機(jī)病毒利用讀寫文件能進(jìn)行感染，利用駐留內(nèi)存、截取中斷向量等方式能進(jìn)行傳染和破壞。預(yù)防計(jì)算機(jī)病毒就是要監(jiān)視、跟蹤系統(tǒng)內(nèi)類似的操作，提供對系統(tǒng)的保護(hù)，最大限度地避免各種計(jì)算機(jī)病毒的傳染破壞。 　　老一代的防殺計(jì)算機(jī)病毒軟件只能對計(jì)算機(jī)系統(tǒng)提供有限的保護(hù)，只能識別出已知的計(jì)算機(jī)病毒。新一代的防殺計(jì)算機(jī)病毒軟件則不僅能識別出已知的計(jì)算機(jī)病毒，在計(jì)算機(jī)病毒運(yùn)行之前發(fā)出警報(bào)，還能

3、屏蔽掉計(jì)算機(jī)病毒程序的傳染功能和破壞功能，使受感染的程序可以繼續(xù)運(yùn)行（即所謂的帶毒運(yùn)行）。同時(shí)還能利用計(jì)算機(jī)病毒的行為特征，防范未知計(jì)算機(jī)病毒的侵?jǐn)_和破壞。另外，新一代的防殺計(jì)算機(jī)病毒軟件還能實(shí)現(xiàn)超前防御，將系統(tǒng)中可能被計(jì)算機(jī)病毒利用的資源都加以保護(hù)，不給計(jì)算機(jī)病毒可乘之機(jī)。防御是對付計(jì)算機(jī)病毒的積極而又有效的措施，比等待計(jì)算機(jī)病毒出現(xiàn)之后再去掃描和清除更有效地保護(hù)計(jì)算機(jī)系統(tǒng)。 　　計(jì)算機(jī)病毒的工作方式是可以分類的，防殺計(jì)算機(jī)病毒軟件就是針對已歸納總結(jié)出的這幾類計(jì)算機(jī)病毒工作方式來進(jìn)行防范的。當(dāng)被分析過的已知計(jì)算機(jī)病毒出現(xiàn)時(shí)，由于其工作方式早已被記錄在案，防殺計(jì)算機(jī)病毒軟件能識別出來；當(dāng)未曾

4、被分析過的計(jì)算機(jī)病毒出現(xiàn)時(shí)，如果其工作方式仍可被歸入已知的工作方式，則這種計(jì)算機(jī)病毒能被反病毒軟件所捕獲。這也就是采取積極防御措施的計(jì)算機(jī)病毒防范方法優(yōu)越于傳統(tǒng)方法的地方。 　　當(dāng)然，如果新出現(xiàn)的計(jì)算機(jī)病毒不按已知的方式工作，這種新的傳染方式又不能被反病毒軟件所識別，那么反病毒軟件也無能為力了。這時(shí)只能采取兩種措施進(jìn)行保護(hù)：第一是依靠管理上的措施，及早發(fā)現(xiàn)疫情，捕捉計(jì)算計(jì)算機(jī)病毒，修復(fù)系統(tǒng)。第二是選用功能更加完善的、具有更強(qiáng)超前防御能力的反病毒軟件，盡可能多地堵住能被計(jì)算機(jī)病毒利用的系統(tǒng)漏洞。 　　計(jì)算機(jī)病毒防范工作，首先是防范體系的建設(shè)和制度的建立。沒有一個(gè)完善的防范體系，一切防范措施都

5、將滯后于計(jì)算機(jī)病毒的危害。 　　計(jì)算機(jī)病毒防范體系的建設(shè)是一個(gè)社會(huì)性的工作，不是一兩個(gè)人、一兩家企業(yè)能夠?qū)崿F(xiàn)的，需要全社會(huì)的參與，充分利用所有能夠利用的資源，形成廣泛的、全社會(huì)的計(jì)算機(jī)病毒防范體系網(wǎng)絡(luò)。 　　計(jì)算機(jī)病毒防范制度是防范體系中每個(gè)主體都必須的行為規(guī)程，沒有制度，防范體系就不可能很好地運(yùn)作，就不可能達(dá)到預(yù)期的效果。必須依照防范體系對防范制度的要求，結(jié)合實(shí)際情況，建立符合自身特點(diǎn)防范制度。 計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象 　　計(jì)算機(jī)病毒是客觀存在的，客觀存在的事物總有它的特性，計(jì)算機(jī)病毒也不例外。從實(shí)質(zhì)上說，計(jì)算機(jī)病毒是一段程序代碼，雖然它可能隱藏得很好，但也會(huì)留下許多痕跡。通過對這些蛛

6、絲馬跡的判別，我們就能發(fā)現(xiàn)計(jì)算機(jī)病毒的存在了。 　　根據(jù)計(jì)算機(jī)病毒感染和發(fā)作的階段，可以將計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類，即：計(jì)算機(jī)病毒發(fā)作前、發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象。 　　2.2.1 計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象 　　計(jì)算機(jī)病毒發(fā)作前，是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足，計(jì)算機(jī)病毒發(fā)作之前的一個(gè)階段。在這個(gè)階段，計(jì)算機(jī)病毒的行為主要是以潛伏、傳播為主。計(jì)算機(jī)病毒會(huì)以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)同時(shí)，又自我復(fù)制，以各種手段進(jìn)行傳播。 　　以下是一些計(jì)算機(jī)病毒發(fā)作前常見的表現(xiàn)現(xiàn)象： 　　1、平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)。 　

7、　病毒感染了計(jì)算機(jī)系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機(jī)現(xiàn)象發(fā)生。 　　2、操作系統(tǒng)無法正常啟動(dòng)。 　　關(guān)機(jī)后再啟動(dòng)，操作系統(tǒng)報(bào)告缺少必要的啟動(dòng)文件，或啟動(dòng)文件被破壞，系統(tǒng)無法啟動(dòng)。這很可能是計(jì)算機(jī)病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導(dǎo)。 　　3、運(yùn)行速度明顯變慢。 　　在硬件設(shè)備沒有損壞或更換的情況下，本來運(yùn)行速度很快的計(jì)算機(jī)，運(yùn)行同樣應(yīng)用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源，并且自身的運(yùn)行占用了大量的處理器時(shí)間，造成系統(tǒng)資源不足，運(yùn)行變慢。 　　4、 以前能正常運(yùn)行的軟件

8、經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤。 　　某個(gè)以前能夠正常運(yùn)行的程序，程序啟動(dòng)的時(shí)候報(bào)系統(tǒng)內(nèi)存不足，或者使用應(yīng)用程序中的某個(gè)功能時(shí)報(bào)說內(nèi)存不足。這可能是計(jì)算機(jī)病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。需要注意的是在Windows 95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節(jié)，如果用“復(fù)制／粘貼”操作粘貼一段很大的文字到記事本程序時(shí)，也會(huì)報(bào)“內(nèi)存不足，不能完成操作”的錯(cuò)誤，但這不是計(jì)算機(jī)病毒在作怪。 　　5、 打印和通訊發(fā)生異常。 　　硬件沒有更改或損壞的情況下，以前工作正常的打印機(jī)，近期發(fā)現(xiàn)無法進(jìn)行打印操作，或打印出來的是亂碼。串口設(shè)備無法正常工作，比如調(diào)制解調(diào)

9、器不撥號。這很可能是計(jì)算機(jī)病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序，使之不能正常工作。 　　6、 無意中要求對軟盤進(jìn)行寫操作。 　　沒有進(jìn)行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤，或者要求在讀取、復(fù)制寫保護(hù)的軟盤上的文件時(shí)打開軟盤的寫保護(hù)。這很可能是計(jì)算機(jī)病毒自動(dòng)查找軟盤是否在軟驅(qū)中的時(shí)候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時(shí)候創(chuàng)建一個(gè)臨時(shí)文件，也有的安裝程序（如Office 97）對軟盤有寫的操作。 　　7、 以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤。 　　在硬件和操作系統(tǒng)沒有進(jìn)行改動(dòng)的情況下，以前能夠正常運(yùn)行的應(yīng)用程序產(chǎn)生非

10、法錯(cuò)誤和死機(jī)的情況明顯增加。這可能是由于計(jì)算機(jī)病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能，或者計(jì)算機(jī)病毒程序本身存在著兼容性方面的問題造成的。 　　8、 系統(tǒng)文件的時(shí)間、日 期、大小發(fā)生變化。 　　這是最明顯的計(jì)算機(jī)病毒感染跡象。計(jì)算機(jī)病毒感染應(yīng)用程序文件后，會(huì)將自身隱藏在原始文件的后面，文件大小大多會(huì)有所增加，文件的訪問和修改日期和時(shí)間也會(huì)被改成感染時(shí)的時(shí)間。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會(huì)修改它們的，除非是進(jìn)行系統(tǒng)升級或打補(bǔ)丁。對應(yīng)用程序使用到的數(shù)據(jù)文件，文件大小和修改日期、時(shí)間是可能會(huì)改變的，并不一定是計(jì)算機(jī)病毒在作怪。 　　9、 運(yùn)行Word，打開Word文檔后

11、，該文件另存時(shí)只能以模板方式保存。 　　無法另存為一個(gè)DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。 　　10、 磁盤空間迅速減少。 　　沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。這可能是計(jì)算機(jī)病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁、回收站中的文件過多、臨時(shí)文件夾下的文件數(shù)量過多過大、計(jì)算機(jī)系統(tǒng)有過意外斷電等情況也可能會(huì)造成可用的磁盤空間迅速減少。另一種情況是Windows 95/98下的內(nèi)存交換文件的增長，在Windows 95/98下內(nèi)存交換文件會(huì)隨著應(yīng)用程序運(yùn)行的時(shí)間和進(jìn)程的數(shù)量增加而增長，一般不會(huì)減少，而且同

12、時(shí)運(yùn)行的應(yīng)用程序數(shù)量越多，內(nèi)存交換文件就越大。 　　11、 網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無法調(diào)用。 　　對于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無法打開、瀏覽，或者對有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對網(wǎng)絡(luò)驅(qū)動(dòng)器卷和共享目錄的計(jì)算機(jī)病毒，但計(jì)算機(jī)病毒的某些行為可能會(huì)影響對網(wǎng)絡(luò)驅(qū)動(dòng)器卷和共享目錄的正常訪問。 　　12、 基本內(nèi)存發(fā)生變化。 　　在DOS下用mem /c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時(shí)候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb～2Kb。這通常是計(jì)算機(jī)系統(tǒng)感染了引導(dǎo)型計(jì)算機(jī)病毒所造成的。 　　13、 陌生人發(fā)來的電子

13、函件。 　　收到陌生人發(fā)來的電子函件，尤其是那些標(biāo)題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當(dāng)然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來說廣告電子函件有很明確的推銷目的，會(huì)有它推銷的產(chǎn)品介紹；垃圾電子函件的內(nèi)容要么自成章回，要么根本沒有價(jià)值。這兩種電子函件大多是不會(huì)攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計(jì)算機(jī)病毒的附件大多是腳本程序，通常不會(huì)超過100Kb字節(jié)。當(dāng)然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計(jì)算機(jī)病毒。 　　14、 自動(dòng)鏈接到一些陌生的網(wǎng)站。

14、 　　沒有在上網(wǎng)，計(jì)算機(jī)會(huì)自動(dòng)撥號并連接到因特網(wǎng)上一個(gè)陌生的站點(diǎn)，或者在上網(wǎng)的時(shí)候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠?jì)算機(jī)系統(tǒng)的信息“悄悄地”發(fā)回某個(gè)特定的網(wǎng)址，可以通過netstat命令查看當(dāng)前建立的網(wǎng)絡(luò)鏈接，再比照訪問的網(wǎng)站來發(fā)現(xiàn)。需要注意的是有些網(wǎng)頁中有一些腳本程序會(huì)自動(dòng)鏈接到一些網(wǎng)頁評比站點(diǎn)，或者是廣告站點(diǎn)，這時(shí)候也會(huì)有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。當(dāng)然，這種情況也可以認(rèn)為是非法的。 　　一般的系統(tǒng)故障是有別與計(jì)算機(jī)病毒感染的。系統(tǒng)故障大多只符合上面的一點(diǎn)或二點(diǎn)現(xiàn)象，而計(jì)算機(jī)病毒感染所出現(xiàn)的現(xiàn)象會(huì)多的多。根據(jù)上述幾點(diǎn)，就可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染上了計(jì)

15、算機(jī)病毒。 　　2.2.2 計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象 　　計(jì)算機(jī)病毒發(fā)作時(shí)是指滿足計(jì)算機(jī)病毒發(fā)作的條件，計(jì)算機(jī)病毒程序開始破壞行為的階段。計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)大都各不相同，可以說一百個(gè)計(jì)算機(jī)病毒發(fā)作有一百種花樣。這與編寫計(jì)算機(jī)病毒者的心態(tài)、所采用的技術(shù)手段等都有密切的關(guān)系。 　　以下列舉了一些計(jì)算機(jī)病毒發(fā)作時(shí)常見的表現(xiàn)現(xiàn)象： 　　1、提示一些不相干的話。 　　最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會(huì)彈出對話框顯示“這個(gè)世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。 　　2、發(fā)出一段的音樂。 　　惡作劇式的計(jì)

16、算機(jī)病毒，最著名的是外國的“楊基”計(jì)算機(jī)病毒（Yangkee）和中國的“瀏陽河”計(jì)算機(jī)病毒?！皸罨庇?jì)算機(jī)病毒發(fā)作是利用計(jì)算機(jī)內(nèi)置的揚(yáng)聲器演奏《楊基》音樂，而“瀏陽河”計(jì)算機(jī)病毒更絕，當(dāng)系統(tǒng)時(shí)鐘為9月9日時(shí)演奏歌曲《瀏陽河》，而當(dāng)系統(tǒng)時(shí)鐘為12月26日時(shí)則演奏《東方紅》的旋律。這類計(jì)算機(jī)病毒大多屬于“良性”計(jì)算機(jī)病毒，只是在發(fā)作時(shí)發(fā)出音樂和占用處理器資源。 　　3、產(chǎn)生特定的圖象。 　　另一類惡作劇式的計(jì)算機(jī)病毒，比如小球計(jì)算機(jī)病毒，發(fā)作時(shí)會(huì)從屏幕上方不斷掉落下來小球圖形。單純地產(chǎn)生圖象的計(jì)算機(jī)病毒大多也是“良性”計(jì)算機(jī)病毒，只是在發(fā)作時(shí)破壞用戶的顯示界面，干擾用戶的正常工作。 　　4、

17、 硬盤燈不斷閃爍。 　　硬盤燈閃爍說明有硬盤讀寫操作。當(dāng)對硬盤有持續(xù)大量的操作時(shí)，硬盤的燈就會(huì)不斷閃爍，比如格式化或者寫入很大很大的文件。有時(shí)候?qū)δ硞€(gè)硬盤扇區(qū)或文件反復(fù)讀取的情況下也會(huì)造成硬盤燈不斷閃爍。有的計(jì)算機(jī)病毒會(huì)在發(fā)作的時(shí)候?qū)τ脖P進(jìn)行格式化，或者寫入許多垃圾文件，或反復(fù)讀取某個(gè)文件，致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計(jì)算機(jī)病毒大多是“惡性”計(jì)算機(jī)病毒。 　　5、 進(jìn)行游戲算法。 　　有些惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時(shí)的“臺灣一號”宏病毒，在系統(tǒng)日期為13日時(shí)發(fā)作，彈出對話框，要求用戶做

18、算術(shù)題。這類計(jì)算機(jī)病毒一般是屬于“良性”計(jì)算機(jī)病毒，但也有那種用戶輸了后進(jìn)行破壞的“惡性”計(jì)算機(jī)病毒。 　　6、 Windows桌面圖標(biāo)發(fā)生變化。 　　這一般也是惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象。把Windows缺省的圖標(biāo)改成其他樣式的圖標(biāo)，或者將其他應(yīng)用程序、快捷方式的圖標(biāo)改成Windows缺省圖標(biāo)樣式，起到迷惑用戶的作用。 　　7、 計(jì)算機(jī)突然死機(jī)或重啟。 　　有些計(jì)算機(jī)病毒程序兼容性上存在問題，代碼沒有嚴(yán)格測試，在發(fā)作時(shí)會(huì)造成意想不到情況；或者是計(jì)算機(jī)病毒在Autoexec.bat文件中添加了一句：Format c：之類的語句，需要系統(tǒng)重啟后才能實(shí)施破壞的。 　　8、自動(dòng)發(fā)

19、送電子函件。 　　大多數(shù)電子函件計(jì)算機(jī)病毒都采用自動(dòng)發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計(jì)算機(jī)病毒在某一特定時(shí)刻向同一個(gè)郵件服務(wù)器發(fā)送大量無用的信件，以達(dá)到阻塞該郵件服務(wù)器的正常服務(wù)功能。 　　9、鼠標(biāo)自己在動(dòng)。 　　沒有對 計(jì)算機(jī)進(jìn)行任何操作，也沒有運(yùn)行任何演示程序、屏幕保護(hù)程序等，而屏幕上的鼠標(biāo)自己在動(dòng)，應(yīng)用程序自己在運(yùn)行，有受遙控的現(xiàn)象。大多數(shù)情況下是計(jì)算機(jī)系統(tǒng)受到了黑客程序的控制，從廣義上說這也是計(jì)算機(jī)病毒發(fā)作的一種現(xiàn)象。 　　需要指出的是，有些是計(jì)算機(jī)病毒發(fā)作的明顯現(xiàn)象，比如提示一些不相干的話、播放音樂或者顯示特定的圖象等。有些現(xiàn)象則很難直接判定是計(jì)算機(jī)病毒的

20、表現(xiàn)現(xiàn)象，比如硬盤燈不斷閃爍，當(dāng)同時(shí)運(yùn)行多個(gè)內(nèi)存占用大的應(yīng)用程序，比如3D MAX，Adobe Premiere等，而計(jì)算機(jī)本身性能又相對較弱的情況下，在啟動(dòng)和切換應(yīng)用程序的時(shí)候也會(huì)使硬盤不停地工作，硬盤燈不斷閃爍。 　　2.2.3 計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象 　　通常情況下，計(jì)算機(jī)病毒發(fā)作都會(huì)給計(jì)算機(jī)系統(tǒng)帶來破壞性的后果，那種只是惡作劇式的“良性”計(jì)算機(jī)病毒只是計(jì)算機(jī)病毒家族中的很小一部分。大多數(shù)計(jì)算機(jī)病毒都是屬于“惡性”計(jì)算機(jī)病毒?！皭盒浴庇?jì)算機(jī)病毒發(fā)作后往往會(huì)帶來很大的損失，以下列舉了一些惡性計(jì)算機(jī)病毒發(fā)作后所造成的后果： 　　1、硬盤無法啟動(dòng)，數(shù)據(jù)丟失 　　計(jì)算機(jī)病毒破壞了硬

21、盤的引導(dǎo)扇區(qū)后，就無法從硬盤啟動(dòng)計(jì)算機(jī)系統(tǒng)了。有些計(jì)算機(jī)病毒修改了硬盤的關(guān)鍵內(nèi)容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。 　　2、系統(tǒng)文件丟失或被破壞 　　通常系統(tǒng)文件是不會(huì)被刪除或修改的，除非對計(jì)算機(jī)操作系統(tǒng)進(jìn)行了升級。但是某些計(jì)算機(jī)病毒發(fā)作時(shí)刪除了系統(tǒng)文件，或者破壞了系統(tǒng)文件，使得以后無法法正常啟動(dòng)計(jì)算機(jī)系統(tǒng).通常容易受攻擊的系統(tǒng)文件C，Emm386.exe，W，Kernel.exe，User.exe等等。 　　3、文件目錄發(fā)生混亂 　　目錄發(fā)生混亂有兩種情況。一種就是確實(shí)將目錄結(jié)構(gòu)破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據(jù)，再也無法恢復(fù)。另一

22、種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在有該計(jì)算機(jī)病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應(yīng)用程序需要訪問該目錄的時(shí)候提供正確的目錄項(xiàng)，使得從表面上看來與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計(jì)算機(jī)病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。 　　4、部分文檔丟失或被破壞 　　類似系統(tǒng)文件的丟失或被破壞，有些計(jì)算機(jī)病毒在發(fā)作時(shí)會(huì)刪除或破壞硬盤上的文檔，造成數(shù)據(jù)丟失。 　　5、部分文檔自動(dòng)加密碼 　　還有些計(jì)算機(jī)病毒利用加密算法，將加密密鑰保存在計(jì)算機(jī)病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件被加密，如果內(nèi)存中駐留有這種計(jì)算機(jī)病毒，

23、那么在系統(tǒng)訪問被感染的文件時(shí)它自動(dòng)將文檔解密，使得用戶察覺不到。一旦這種計(jì)算機(jī)病毒被清除，那么被加密的文檔就很難被恢復(fù)了。 　　6、修改Autoexec.bat文件，增加Format C：一項(xiàng)，導(dǎo)致計(jì)算機(jī)重新啟動(dòng)時(shí)格式化硬盤。 　　在計(jì)算機(jī)系統(tǒng)穩(wěn)定工作后，一般很少會(huì)有用戶去注意Autoexec.bat文件的變化，但是這個(gè)文件在每次系統(tǒng)重新啟動(dòng)的時(shí)候都會(huì)被自動(dòng)運(yùn)行，計(jì)算機(jī)病毒修改這個(gè)文件從而達(dá)到破壞系統(tǒng)的目的。 　　7、使部分可軟件升級主板的BIOS程序混亂，主板被破壞。 　　類似CIH計(jì)算機(jī)病毒發(fā)作后的現(xiàn)象，系統(tǒng)主板上的BIOS被計(jì)算機(jī)病毒改寫、破壞，使得系統(tǒng)主板無法正常工作，從而使計(jì)

24、算機(jī)系統(tǒng)報(bào)廢。 　　8、網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。 　　由上所述，我們可以了解到防殺計(jì)算機(jī)病毒軟件必須要實(shí)時(shí)化，在計(jì)算機(jī)病毒進(jìn)入系統(tǒng)時(shí)要立即報(bào)警并清除，這樣才能確保系統(tǒng)安全，待計(jì)算機(jī)病毒發(fā)作后再去殺毒，實(shí)際上已經(jīng)為時(shí)已晚。 　　2.2.4 從表現(xiàn)形式和傳播途徑發(fā)現(xiàn)計(jì)算機(jī)病毒 　　上面介紹了計(jì)算機(jī)病毒在不同情況下的表現(xiàn)形式。在1.5節(jié)也介紹了計(jì)算機(jī)病毒的傳播途徑。計(jì)算機(jī)病毒要進(jìn)行傳染，必然會(huì)表現(xiàn)出來，留下痕跡。檢測計(jì)算機(jī)病毒，就是要到計(jì)算機(jī)病毒寄生場所去檢查，驗(yàn)明“正身”，確證計(jì)算機(jī)病毒的存在。計(jì)算機(jī)病毒存儲(chǔ)于磁盤中，激活時(shí)駐留在內(nèi)存中。因此對計(jì)算機(jī)病毒的檢測分為對內(nèi)存的檢測和對磁

25、盤的檢測。一般對磁盤進(jìn)行計(jì)算機(jī)病毒檢測時(shí)，要求內(nèi)存中不帶計(jì)算機(jī)病毒。這是由于某些計(jì)算機(jī)病毒會(huì)向檢測者報(bào)告假情況。例如4096計(jì)算機(jī)病毒，當(dāng)它在內(nèi)存中時(shí)，查看被感染的文件長度，不會(huì)發(fā)現(xiàn)該文件的長度已發(fā)生變化，而當(dāng)在內(nèi)存中沒有該計(jì)算機(jī)病毒時(shí)，才會(huì)發(fā)現(xiàn)文件長度已經(jīng)增長了4096字節(jié)。又如DIR II計(jì)算機(jī)病毒，在內(nèi)存中時(shí)，用DEBUG程序查看時(shí)，根本看不到DIR II計(jì)算機(jī)病毒的代碼，很多檢測程序因此而漏過了被其感染的文件。再如引導(dǎo)型的巴基斯坦智囊計(jì)算機(jī)病毒，當(dāng)它在內(nèi)存中時(shí)，檢查引導(dǎo)區(qū)時(shí)看不到該計(jì)算機(jī)病毒程序而只看到正常的引導(dǎo)扇區(qū)。因此，只有在要求確認(rèn)某種計(jì)算機(jī)病毒的類型和對其進(jìn)行分析、研究時(shí)，才在

26、內(nèi)存中帶毒的情況下做檢測工作。 　　從原始的、未受計(jì)算機(jī)病毒感染的DOS系統(tǒng)軟盤啟動(dòng)，可以保證內(nèi)存中不帶毒。啟動(dòng)必須是上電啟動(dòng)而不能是按鍵盤上的Alt+Ctrl+Del三個(gè)鍵。因?yàn)槟承┯?jì)算機(jī)病毒通過截取鍵盤中斷處理程序，仍然會(huì)將自己駐留在內(nèi)存中。可見保留一份未被計(jì)算機(jī)病毒感染的、寫保護(hù)的DOS系統(tǒng)軟盤是很重要的。 　　需要注意的是，若要檢測硬盤中的計(jì)算機(jī)病毒，則啟動(dòng)系統(tǒng)的DOS軟盤的版本應(yīng)該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號。若硬盤上使用了磁盤管理軟件、磁盤壓縮存儲(chǔ)管理軟件等，啟動(dòng)系統(tǒng)的軟盤上應(yīng)該把這些軟件的驅(qū)動(dòng)程序包括在內(nèi)，并把它們添加在CONFIG.SYS文件中。否則用系統(tǒng)軟盤引導(dǎo)啟動(dòng)

27、后，將不能訪問硬盤上的所有分區(qū)，使躲藏在其中的計(jì)算機(jī)病毒逃過檢查。 計(jì)算機(jī)病毒的技術(shù)防范 　　對于計(jì)算機(jī)病毒毫無警惕意識的人員，可能當(dāng)顯示屏上出現(xiàn)了計(jì)算機(jī)病毒信息，也不會(huì)去仔細(xì)觀察一下，麻痹大意，任其在磁盤中進(jìn)行破壞。其實(shí)，只要稍有警惕，根據(jù)計(jì)算機(jī)病毒在傳染時(shí)和傳染后留下的蛛絲馬跡，再運(yùn)用計(jì)算機(jī)病毒檢測軟件和DEBUG程序進(jìn)行人工檢測，是完全可以在計(jì)算機(jī)病毒進(jìn)行傳播的過程中就能發(fā)現(xiàn)它。從技術(shù)上采取實(shí)施，防范計(jì)算機(jī)病毒，執(zhí)行起來并不困難，困難的是持之以恒，堅(jiān)持不懈。 　　2.3.1計(jì)算機(jī)病毒的技術(shù)預(yù)防措施 　　下面總結(jié)出一系列行之有效的措施供參考。 　　1、新購置的計(jì)算機(jī)硬軟件系統(tǒng)

28、的測試 　　新購置的計(jì)算機(jī)是有可能攜帶計(jì)算機(jī)病毒的。因此，在條件許可的情況下，要用檢測計(jì)算機(jī)病毒軟件檢查已知計(jì)算機(jī)病毒，用人工檢測方法檢查未知計(jì)算機(jī)病毒，并經(jīng)過證實(shí)沒有計(jì)算機(jī)病毒感染和破壞跡象后再使用。 　　新購置計(jì)算機(jī)的硬盤可以進(jìn)行檢測或 進(jìn)行低級格式化來確保沒有計(jì)算機(jī)病毒存在。對硬盤只在DOS下做FORMAT格式化是不能去除主引導(dǎo)區(qū)（分區(qū)表）計(jì)算機(jī)病毒的。軟盤在DOS下做FORMAT格式化可以去除感染的計(jì)算機(jī)病毒。 　　新購置的計(jì)算機(jī)軟件也要進(jìn)行計(jì)算機(jī)病毒檢測。有些軟件廠商發(fā)售的軟件，可能無意中已被計(jì)算機(jī)病毒感染。就算是正版軟件也難保證沒有攜帶計(jì)算機(jī)病毒的可能性，更不要說盜版軟件

29、了。這在國內(nèi)、外都是有實(shí)例的。這時(shí)不僅要用殺毒軟件查找已知的計(jì)算機(jī)病毒，還要用人工檢測和實(shí)驗(yàn)的方法檢測。 　　2、計(jì)算機(jī)系統(tǒng)的啟動(dòng) 　　在保證硬盤無計(jì)算機(jī)病毒的情況下，盡量使用硬盤引導(dǎo)系統(tǒng)。啟動(dòng)前，一般應(yīng)將軟盤從軟盤驅(qū)動(dòng)器中取出。這是因?yàn)榧词乖诓煌ㄟ^軟盤啟動(dòng)的情況下，只要軟盤在啟動(dòng)時(shí)被讀過，計(jì)算機(jī)病毒仍然會(huì)進(jìn)入內(nèi)存進(jìn)行傳染。很多計(jì)算機(jī)中，可以通過設(shè)置CMOS參數(shù)，使啟動(dòng)時(shí)直接從硬盤引導(dǎo)啟動(dòng)，而根本不去讀軟盤。這樣即使軟盤驅(qū)動(dòng)器中插著軟盤，啟動(dòng)時(shí)也會(huì)跳過軟驅(qū)，嘗試由硬盤進(jìn)行引導(dǎo)。很多人認(rèn)為，軟盤上如果沒有COMMAND.COM等系統(tǒng)啟動(dòng)文件，就不會(huì)帶計(jì)算機(jī)病毒，其實(shí)引導(dǎo)型計(jì)算機(jī)病毒根本不需要

30、這些系統(tǒng)文件就能進(jìn)行傳染。 　　3、單臺計(jì)算機(jī)系統(tǒng)的安全使用 　　在自己的機(jī)器上用別人的軟盤前應(yīng)進(jìn)行檢查。在別人的計(jì)算機(jī)上使用過自己的已打開了寫保護(hù)的軟盤，再在自己的計(jì)算機(jī)上使用前，也應(yīng)進(jìn)行計(jì)算機(jī)病毒檢測。對重點(diǎn)保護(hù)的計(jì)算機(jī)系統(tǒng)應(yīng)做到專機(jī)、專盤、專人、專用，封閉的使用環(huán)境中是不會(huì)自然產(chǎn)生計(jì)算機(jī)病毒的。 　　4、重要數(shù)據(jù)文件要有備份 　　硬盤分區(qū)表、引導(dǎo)扇區(qū)等的關(guān)鍵數(shù)據(jù)應(yīng)作備份工作，并妥善保管。在進(jìn)行系統(tǒng)維護(hù)和修復(fù)工作時(shí)可作為參考。 　　重要數(shù)據(jù)文件定期進(jìn)行備份工作。不要等到由于計(jì)算機(jī)病毒破壞、計(jì)算機(jī)硬件或軟件出現(xiàn)故障，使用戶數(shù)據(jù)受到損傷時(shí)再去急救。 　　對于軟盤，要盡可能將數(shù)據(jù)和應(yīng)

31、用程序分別保存，裝應(yīng)用程序的軟盤要有寫保護(hù)。 　　在任何情況下，總應(yīng)保留一張寫保護(hù)的、無計(jì)算機(jī)病毒的、帶有常用DOS命令文件的系統(tǒng)啟動(dòng)軟盤，用以清除計(jì)算機(jī)病毒和維護(hù)系統(tǒng)。常用的DOS應(yīng)用程序也有副本，計(jì)算機(jī)修復(fù)工作就比較容易進(jìn)行了。 　　5、不要隨便直接運(yùn)行或直接打開電子函件中夾帶的附件文件，不要隨意下載軟件，尤其是一些可執(zhí)行文件和Office文檔。即使下載了，也要先用最新的防殺計(jì)算機(jī)病毒軟件來檢查。 　　6、計(jì)算機(jī)網(wǎng)絡(luò)的安全使用 　　以上這些措施不僅可以應(yīng)用在單機(jī)上，也可以應(yīng)用在作為網(wǎng)絡(luò)工作站的計(jì)算機(jī)上。而對于網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)，還應(yīng)采取下列針對網(wǎng)絡(luò)的防殺計(jì)算機(jī)病毒措施： 　　（1）安

32、裝網(wǎng)絡(luò)服務(wù)器時(shí)應(yīng)，應(yīng)保證沒有計(jì)算機(jī)病毒存在，即安裝環(huán)境和網(wǎng)絡(luò)操作系統(tǒng)本身沒有感染計(jì)算機(jī)病毒。 　?。?）在安裝網(wǎng)絡(luò)服務(wù)器時(shí)，應(yīng)將文件系統(tǒng)劃分成多個(gè)文件卷系統(tǒng)，至少劃分成操作系統(tǒng)卷、共享的應(yīng)用程序卷和各個(gè)網(wǎng)絡(luò)用戶可以獨(dú)占的用戶數(shù)據(jù)卷。這種劃分十分有利于維護(hù)網(wǎng)絡(luò)服務(wù)器的安全穩(wěn)定運(yùn)行和用戶數(shù)據(jù)的安全。 　　如果系統(tǒng)卷受到某種損傷，導(dǎo)致服務(wù)器癱瘓，那么通過重裝系統(tǒng)卷，恢復(fù)網(wǎng)絡(luò)操作系統(tǒng)，就可以使服務(wù)器又馬上投入運(yùn)行。而裝在共享的應(yīng)用程序卷和用戶卷內(nèi)的程序和數(shù)據(jù)文件不會(huì)受到任何損傷。如果用戶卷內(nèi)由于計(jì)算機(jī)病毒或由于使用上的原因?qū)е麓鎯?chǔ)空間擁塞時(shí)，系統(tǒng)卷是不受影響的，不會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)運(yùn)行失常。并且這種劃

33、分十分有利于系統(tǒng)管理員設(shè)置網(wǎng)絡(luò)安全存取權(quán)限，保證網(wǎng)絡(luò)系統(tǒng)不受計(jì)算機(jī)病毒感染和破壞。 　　（3）一定要用硬盤啟動(dòng)網(wǎng)絡(luò)服務(wù)器，否則在受到引導(dǎo)型計(jì)算機(jī)病毒感染和破壞后，遭受損失的將不是一個(gè)人的機(jī)器，而會(huì)影響到整個(gè)網(wǎng)絡(luò)的中樞。 　?。?）為各個(gè)卷分配不同的用戶權(quán)限。將操作系統(tǒng)卷設(shè)置成對一般用戶為只讀權(quán)限，屏蔽其它網(wǎng)絡(luò)用戶對系統(tǒng)卷除讀和執(zhí)行以外的所有其它操作，如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。應(yīng)用程序卷也應(yīng)設(shè)置成對一般用戶是只讀權(quán)限的，不經(jīng)授權(quán)、不經(jīng)計(jì)算機(jī)病毒檢測，就不允許在共享的應(yīng)用程序卷中安裝程序。保證除系統(tǒng)管理員外，其它網(wǎng)絡(luò)用戶不可能將計(jì)算機(jī)病毒感染到系統(tǒng)中，使網(wǎng)絡(luò)用戶總有一個(gè)安

34、全的聯(lián)網(wǎng)工作環(huán)境。 　　（5）在網(wǎng)絡(luò)服務(wù)器上必須安裝真正有效的防殺計(jì)算機(jī)病毒軟件，并經(jīng)常進(jìn)行升級。必要的時(shí)候還可以在網(wǎng)關(guān)、路由器上安裝計(jì)算機(jī)病毒防火墻產(chǎn)品，從網(wǎng)絡(luò)出入口保護(hù)整個(gè)網(wǎng)絡(luò)不受計(jì)算機(jī)病毒的侵害。在網(wǎng)絡(luò)工作站上采取必要的防殺計(jì)算機(jī)病毒措施，可使用戶不必?fù)?dān)心來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身的計(jì)算機(jī)病毒侵害。 　?。?）系統(tǒng)管理員的職責(zé)： 　　　1） 系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，不使泄漏，不定期地予以更換，保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法存取，不被感染上計(jì)算機(jī)病毒或遭受破壞。 　　　2） 在安裝應(yīng)用程序軟件時(shí)，應(yīng)由系統(tǒng)管理員進(jìn)行，或由系統(tǒng)管理員臨時(shí)授權(quán)進(jìn)行。以保護(hù)網(wǎng)絡(luò)用戶使用共享資源時(shí)總是安全無毒的。

35、 　　　3）系統(tǒng)管理員對網(wǎng)絡(luò)內(nèi)的共享電子函件系統(tǒng)、共享存儲(chǔ)區(qū)域和用戶卷應(yīng)定期進(jìn)行計(jì)算機(jī)病毒掃描，發(fā)現(xiàn)異常情況及時(shí)處理。如果可能，在應(yīng)用程序卷中安裝最新版本的防殺計(jì)算機(jī)病毒軟件供用戶使用。 　　　4）網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)做好日常管理事務(wù)的同時(shí)，還要準(zhǔn)備應(yīng)急措施，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒感染跡象。當(dāng)出現(xiàn)計(jì)算機(jī)病毒傳播跡象時(shí)，應(yīng)立即隔離被感染的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，并進(jìn)行處理。不應(yīng)當(dāng)帶毒繼續(xù)工作下去，要按照特別情況清查整個(gè)網(wǎng)絡(luò)，切斷計(jì)算機(jī)病毒傳播的途徑，保障正常工作的進(jìn)行。必要的時(shí)候應(yīng)立即得到專家的幫助。 　　由于技術(shù)上的計(jì)算機(jī)病毒防治方法尚無法達(dá)到完美的境地，難免會(huì)有新的計(jì)算機(jī)病毒突破防護(hù)系統(tǒng)的保護(hù)，傳染

36、到計(jì)算機(jī)系統(tǒng)中。因此對可能由計(jì)算機(jī)病毒引起的現(xiàn)象應(yīng)予以注意，發(fā)現(xiàn)異常情況時(shí)，不使計(jì)算機(jī)病毒傳播影響到整個(gè)網(wǎng)絡(luò)。 　　 　　2.3.2 引導(dǎo)型計(jì)算機(jī)病毒的識別和防范 　　引導(dǎo)型計(jì)算機(jī)病毒主要是感染磁盤的引導(dǎo)扇區(qū)，也就是常說的磁盤的BOOT區(qū)。我們在使用被感染的磁盤（無論是軟盤還是硬盤）啟動(dòng)計(jì)算機(jī)時(shí)它們就會(huì)首先取得系統(tǒng)控制權(quán)，駐留內(nèi)存之后再引導(dǎo)系統(tǒng)，并伺機(jī)傳染其它軟盤或硬盤的引導(dǎo)區(qū)。純粹的引導(dǎo)型計(jì)算機(jī)病毒一般不對磁盤文件進(jìn)行感染。感染了引導(dǎo)型計(jì)算機(jī)病毒后，引導(dǎo)記錄會(huì)發(fā)生變化。當(dāng)然，通過一些防殺計(jì)算機(jī)病毒軟件可以發(fā)現(xiàn)引導(dǎo)型計(jì)算機(jī)病毒，在沒有防殺計(jì)算機(jī)病毒軟件的情況下可以通過以下一些方法判斷引

37、導(dǎo)扇區(qū)是否被計(jì)算機(jī)病毒感染： 　　1. 先用可疑磁盤引導(dǎo)計(jì)算機(jī)，引導(dǎo)過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅(qū)動(dòng)程序和應(yīng)用程序的加載，這時(shí)用MEM或MI等工具查看計(jì)算機(jī)的空余內(nèi)存空間（Free Memory Space）的大??；再用與可疑磁盤上相同版本的、未感染計(jì)算機(jī)病毒的DOS系統(tǒng)軟盤啟動(dòng)計(jì)算機(jī)，啟 動(dòng)過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅(qū)動(dòng)程序和應(yīng)用程序的加載，然后用MEM或MI等工具查看并記錄下計(jì)算機(jī)空余內(nèi)存空間的大小，如果上述兩次的空余內(nèi)存空間大小不一致，則可疑磁盤的引導(dǎo)扇區(qū)肯定已被引導(dǎo)型計(jì)算機(jī)病毒感染。 　　2.

38、 用硬盤引導(dǎo)計(jì)算機(jī)，運(yùn)行DOS中的MEM，可以查看內(nèi)存分配情況，尤其要注意常規(guī)內(nèi)存（Conventional Memory）的總數(shù)，一般為640Kb字節(jié)，裝有硬件防殺計(jì)算機(jī)病毒芯片的計(jì)算機(jī)有的可能為639Kb字節(jié)。如果常規(guī)內(nèi)存總數(shù)小于639Kb字節(jié)，那么引導(dǎo)扇區(qū)肯定被感染上引導(dǎo)型計(jì)算機(jī)病毒。 　　3. 機(jī)器在運(yùn)行過程中剛設(shè)定好的時(shí)間、日期，運(yùn)行一會(huì)兒被修改為缺省的時(shí)間、日期，這種情況下，系統(tǒng)很可能帶有引導(dǎo)型計(jì)算機(jī)病毒。 　　4. 在開機(jī)過程中，CMOS中剛設(shè)定好的軟盤配置（即1.44Mb或1.2Mb），用“干凈的”軟盤啟動(dòng)時(shí)一切正常，但用硬盤引導(dǎo)后，再去讀軟盤則無法讀取，此時(shí)CMOS中軟盤

39、設(shè)定情況為None，這種情況肯定帶有引導(dǎo)型計(jì)算機(jī)病毒。 　　5. 硬盤自引導(dǎo)正常，但用“干凈的”DOS系統(tǒng)軟盤引導(dǎo)時(shí)，無法訪問硬盤如C：盤（某些需要特殊的驅(qū)動(dòng)程序的大硬盤和FAT32、NTFS等特殊分區(qū)除外），這肯定感染上引導(dǎo)型計(jì)算機(jī)病毒。 　　6. 系統(tǒng)文件都正常，但Windows 95/98經(jīng)常無法啟動(dòng)，這有可能是感染上了引導(dǎo)型計(jì)算機(jī)病毒。 　　上述介紹的僅是常見的幾種情況。計(jì)算機(jī)被感染了引導(dǎo)型計(jì)算機(jī)病毒，最好用防殺計(jì)算機(jī)病毒軟件加以清除，或者在“干凈的”系統(tǒng)啟動(dòng)軟盤引導(dǎo)下，用備份的引導(dǎo)扇區(qū)覆蓋。 　　預(yù)防引導(dǎo)型計(jì)算機(jī)病毒，通常采用以下一些方法： 　　（1) 堅(jiān)持從不帶計(jì)算機(jī)病毒

40、的硬盤引導(dǎo)系統(tǒng)。 　　（2) 安裝能夠?qū)崟r(shí)監(jiān)控引導(dǎo)扇區(qū)的防殺計(jì)算機(jī)病毒軟件，或經(jīng)常用能夠查殺引導(dǎo)型計(jì)算機(jī)病毒的防殺計(jì)算機(jī)病毒軟件進(jìn)行檢查。 　?。?) 經(jīng)常備份系統(tǒng)引導(dǎo)扇區(qū)。 　?。?) 某些底板上提供引導(dǎo)扇區(qū)計(jì)算機(jī)病毒保護(hù)功能（Virus Protect），啟用它對系統(tǒng)引導(dǎo)扇區(qū)也有一定的保護(hù)作用。不過要注意的是啟用這功能可能會(huì)造成一些需要改寫引導(dǎo)扇區(qū)的軟件（如Windows 95/98，Windows NT以及多系統(tǒng)啟動(dòng)軟件等）安裝失敗。 　　2.3.3 文件型計(jì)算機(jī)病毒的識別和防范 　　大多數(shù)的計(jì)算機(jī)病毒都屬于文件型計(jì)算機(jī)病毒。文件型計(jì)算機(jī)病毒一般只傳染磁盤上的可執(zhí)行文件（CO

41、M，EXE），在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，計(jì)算機(jī)病毒首先被運(yùn)行，然后計(jì)算機(jī)病毒駐留內(nèi)存伺機(jī)傳染其他文件，其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。文件型計(jì)算機(jī)病毒通過修改COM、EXE或OVL等文件的結(jié)構(gòu)，將計(jì)算機(jī)病毒代碼插入到宿主程序，文件被感染后，長度、日期和時(shí)間等大多發(fā)生變化，也有些文件型計(jì)算機(jī)病毒傳染前后文件長度、日期、時(shí)間不會(huì)發(fā)生任何變化，稱之為隱型計(jì)算機(jī)病毒。隱型計(jì)算機(jī)病毒是在傳染后對感染文件進(jìn)行數(shù)據(jù)壓縮，或利用可執(zhí)行文件中有一些空的數(shù)據(jù)區(qū)，將自身分解在這些空區(qū)中，從而達(dá)到不被發(fā)現(xiàn)的目的。通過以下方法可以判別文件型計(jì)算機(jī)病毒： 　　1. 在用未感染計(jì)算機(jī)病毒的D

42、OS啟動(dòng)軟盤引導(dǎo)后，對同一目錄列目錄（DIR）后文件的總長度與通過硬盤啟動(dòng)后所列目錄內(nèi)文件總長度不一樣，則該目錄下的某些文件已被計(jì)算機(jī)病毒感染，因?yàn)樵趲Ф经h(huán)境下，文件的長度往往是不真實(shí)的。 　　2. 有些文件型計(jì)算機(jī)病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同時(shí)也感染系統(tǒng)的引導(dǎo)扇區(qū)，如果磁盤的引導(dǎo)扇區(qū)被莫名奇妙地破壞了，則磁盤上也有可能有文件型計(jì)算機(jī)病毒。 　　3. 系統(tǒng)文件長度發(fā)生變化，則這些系統(tǒng)文件上很有可能含有計(jì)算機(jī)病毒代碼。應(yīng)記住一些常見的DOS系統(tǒng)的IO.SYS、MSDOS.SYS、COMMAND.COM、KRNL386.EXE等系統(tǒng)文件的長度。

43、　　4. 計(jì)算機(jī)在運(yùn)行過外來軟件后，經(jīng)常死機(jī)，或者Windows 95/98無法正常啟動(dòng)，運(yùn)行經(jīng)常出錯(cuò)，等等，都有可能是感染上了文件型計(jì)算機(jī)病毒。 　　5. 微機(jī)速度明顯變慢，曾經(jīng)正常運(yùn)行的軟件報(bào)內(nèi)存不足，或計(jì)算機(jī)無法正常打印，這些現(xiàn)象都有可能感染上文件型計(jì)算機(jī)病毒。 　　6. 有些帶毒環(huán)境下，文件的長度和正常的完全一樣，但是從帶有寫保護(hù)的軟盤拷貝文件時(shí)，會(huì)提示軟盤帶有寫保護(hù)，這肯定是感染了計(jì)算機(jī)病毒。 　　對普通的單機(jī)和網(wǎng)絡(luò)用戶來說感染文件型計(jì)算機(jī)病毒后，最好的辦法就是用防殺計(jì)算機(jī)病毒軟件清除，或者干脆刪除帶毒的應(yīng)用程序，然后重新安裝。需要注意的是用防殺計(jì)算機(jī)病毒軟件清除計(jì)算機(jī)病毒的時(shí)

44、候必須保證內(nèi)存中沒有駐留計(jì)算機(jī)病毒，否則老的計(jì)算機(jī)病毒是清除了，可又感染上新的了。 　　對于文件型計(jì)算機(jī)病毒的防范，一般采用以下一些方法： 　　（1) 安裝最新版本的、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防殺計(jì)算機(jī)病毒軟件。 　?。?) 及時(shí)更新查殺計(jì)算機(jī)病毒引擎，一般要保證每月至少更新一次，有條件的可以每周更新一次，并在有計(jì)算機(jī)病毒突發(fā)事件的時(shí)候及時(shí)更新。 　?。?) 經(jīng)常使用防殺計(jì)算機(jī)病毒軟件對系統(tǒng)進(jìn)行計(jì)算機(jī)病毒檢查。 　?。?) 對關(guān)鍵文件，如系統(tǒng)文件、保密的數(shù)據(jù)等等，在沒有計(jì)算機(jī)病毒的環(huán)境下經(jīng)常備份。 　　（5) 在不影響系統(tǒng)正常工作的情況下對系統(tǒng)文件設(shè)置最低的訪問權(quán)限，以防止計(jì)算機(jī)病

45、毒的侵害。 　?。?) 當(dāng)使用Windows 95/98/2000/NT操作系統(tǒng)時(shí)，修改文件夾窗口中的確省屬性。具體操作為：鼠標(biāo)左鍵雙擊打開“我的電腦”，選擇“查看”菜單中的“選項(xiàng)”命令。然后在“查看”中選擇“顯示所有文件”以及不選中”隱藏已知文件類型的文件擴(kuò)展名”，按“確定”按鈕。注意不同的操作系統(tǒng)平臺可能顯示的文字有所不同。 　　2.3.4 宏病毒的識別和防范 　　宏病毒（Macro Virus）傳播依賴于包括Word、Excel和PowerPoint等應(yīng)用程序在內(nèi)的Office套裝軟件，只要使用這些應(yīng)用程序的計(jì)算機(jī)就都有可能傳染上宏病毒，并且大多數(shù)宏病毒都有發(fā)作日期。輕則影響正常

46、工作，重則破壞硬盤信息，甚至格式化硬盤，危害極大。目前宏病毒在國內(nèi)流行甚廣，已成為計(jì)算機(jī)病毒的主流，因此用戶應(yīng)時(shí)刻加以防范。 　　通過以下方法可以判別宏病毒： 　?、?在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動(dòng)宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如A AAZAO、PayLoad等，就極可能是感染了宏病毒了，因?yàn)镹ormal模板中是不包含這些宏的。 　?、?在使用的Word“工具”菜單中看不到“宏”這個(gè)字，或看到“宏”但光標(biāo)移到“

47、宏”，鼠標(biāo)點(diǎn)擊無反應(yīng)，這種情況肯定有宏病毒。 　?、?打開一個(gè)文檔，不進(jìn)行任何操作，退出Word，如提示存盤，這極可能是Word中的Normal.dot模板中帶宏病毒。 　?、?打開以DOC為后綴的文檔文件在另存菜單中只能以模板方式存盤，也可能帶有Word宏病毒。 　?、?在運(yùn)行Word過程中經(jīng)常出現(xiàn)內(nèi)存不足，打印不正常，也可能有宏病毒。 　?、?在運(yùn)行Word 97時(shí)，打開DOC文檔出現(xiàn)是否啟動(dòng)“宏”的提示，該文檔極可能帶有宏病毒。 　　感染了宏病毒后，也可以采取對付文件型計(jì)算機(jī)病毒的方法，用防殺計(jì)算機(jī)病毒軟件查殺，如果手頭一時(shí)沒有防殺計(jì)算機(jī)病毒軟件的話，對付某些感染W(wǎng)ord文檔的

48、宏病毒也是可以通過手工操作的方法來查殺的。下面以Word 97為例簡單介紹一下如何進(jìn)行手工查殺： 　　首先，必須保證Word 97本身是沒有感染宏病毒的，也就是Word 97安裝目錄下Startup目錄下的文件和Normal.dot文件沒有被宏病毒感染。 　　然后只打開Word 97，而不是直接雙擊文檔，選擇“工具”菜單中的“選項(xiàng)”命令。再在“常規(guī)”中選中“宏病毒防護(hù)”，在“保存”中不選中“快速保存”，按確定按鈕。 　　打開文檔，此時(shí)系統(tǒng)應(yīng)該提示是否啟用“宏”，選“否”，不啟用宏而直接打開文檔。再選擇“工具”菜單的“宏”子菜單的“宏”命令，將可疑的宏全部刪除。然后將文檔保存。宏病毒被清除

49、。 　　有些宏可能會(huì)屏蔽掉“宏”菜單，使得上述方法無法實(shí)施，這個(gè)時(shí)候可以試試下面這種方法： 　　首先保證Word 97不受宏病毒的感染，只打開Word 97并新建一個(gè)空文檔，然后在“工具”菜單中選擇“選項(xiàng)”命令，在“常規(guī)”中選中“宏病毒防護(hù)”，在“保存”中選擇“提示保存Normal模板”，按確定按鈕。 　　接著再啟動(dòng)一個(gè)Word 97應(yīng)用程序，然后用新啟動(dòng)的這個(gè)Word 97打開感染宏病毒的文檔，應(yīng)當(dāng)也會(huì)出現(xiàn)是否啟用宏的提示，選“否”；然后選擇“編輯”菜單中的“全選”命令；然后再選擇“編輯”菜單中的“復(fù)制”命令；再切換到先前的Word 97中，選擇“編輯”菜單中的“粘貼”命令，可以發(fā)現(xiàn)原

50、來的文檔被粘貼到先前Word 97新建的文檔里。 　　切換回打開帶宏病毒文檔的Word 97中，選擇“文件”菜單中的“退出”命令，退出Word 97，如果提示說是否保存Normal.dot模板，則選“否”。 　　再切換回先打開的Word 97中，選擇“文件”菜單中的“保存”命令，將文件保存。由于宏病毒不會(huì)隨剪貼板功能而被復(fù)制，所以這種辦法也能起到殺滅宏病毒的效果。 　　對宏病毒的預(yù)防是完全可以做到的，只要在使用Office套裝軟件之前進(jìn)行一些正確的設(shè)置，就基本上能夠防止宏病毒的侵害。任何設(shè)置都必須在確保軟件未被宏病毒感染的情況下進(jìn)行： 　?。?) 在Word中打開“選項(xiàng)”中的“宏病毒防

51、護(hù)”（Word 97及以上版本才提供此功能）和“提示保存Normal模板”；清理“工具”菜單中“模板和加載項(xiàng)”中的“共用模板及加載項(xiàng)”中預(yù)先加載的文件，不必要的就不加載，必須加載的則要確保沒有宏病毒的存在，并且確認(rèn)沒有選中“自動(dòng)更新樣式”選項(xiàng)；退出Word，此時(shí)會(huì)提示保存Normal.dot模板，按“是”按鈕，保存并退出Word；找到Normal.dot文件，將文件屬性改成“只讀”。 　?。?) 在Excel中選擇“工具”菜單中的“選項(xiàng)”命令，在“常規(guī)”中選中“宏病毒防護(hù)功能”。 　　（3) 在PowerPoint中選擇“工具”菜單中的“選項(xiàng)”命令，在“常規(guī)”中選中“宏病毒防護(hù)”。 　　

52、（4) 其他防范文件型計(jì)算機(jī)病毒所做的工作。 做了防護(hù)工作后，對打開提示有是否啟用宏，除非能夠完全確信文檔中只包含明確沒有破壞意圖的宏，否則都不執(zhí)行宏；而對退出時(shí)提示保存除文檔以外的文件，如Normal.dot模板等，一律不予保存。 　　以上這些防范宏病毒的方法可以說是最簡單實(shí)用的，而且效果最明顯。 　　2.3.5 電子函件計(jì)算機(jī)病毒的識別和防范 　　風(fēng)靡全球的“美麗莎”（Melissa）、Papa和HAPPY99等計(jì)算機(jī)病毒正是通過電子函件的方式進(jìn)行傳播、擴(kuò)散，其結(jié)果導(dǎo)致郵件服務(wù)器癱瘓，用戶信息和重要文檔泄密，無法收發(fā)E-mail，給個(gè)人、企業(yè)和政府部門造成嚴(yán)重的損失。為此有必要介

53、紹一下電子函件計(jì)算機(jī)病毒。 　　電子函件計(jì)算機(jī)病毒實(shí)際上并不是一類單獨(dú)的計(jì)算機(jī)病毒，嚴(yán)格來說它應(yīng)該劃入到文件型計(jì)算機(jī)病毒及宏病毒中去，只不過由于這些計(jì)算機(jī)病毒采用了獨(dú)特的電子函件傳播方式（其中不少種類還專門針對電子函件的傳播方式進(jìn)行了優(yōu)化），因此我們習(xí)慣于稱將它們?yōu)殡娮雍?jì)算機(jī)病毒。 　　所謂電子函件計(jì)算機(jī)病毒就是以電子函件作為傳播途徑的計(jì)算機(jī)病毒，實(shí)際上該類計(jì)算機(jī)病毒和普通的計(jì)算機(jī)病毒一樣，只不過是傳播方式改變而已。該類計(jì)算機(jī)病毒的特點(diǎn)： 　　1. 電子函件本身是無毒的，但它的內(nèi)容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當(dāng)用Unix智能終端上網(wǎng)查看電子函件時(shí)，

54、有被侵入的可能。 　　2. 電子函件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計(jì)算機(jī)病毒。 　　3. 利用某些電子函件收發(fā)器特有的擴(kuò)充功能，比如Outlook/Outlook Express能夠執(zhí)行VBA指令編寫的宏，等等，在電子函件中夾帶有針對性的代碼，利用電子函件進(jìn)行傳染、擴(kuò)散。 　　4. 利用某些操作系統(tǒng)所特有的功能，比如利用Windows 98下的Windows Scripting Host，利用*.SHS文件來進(jìn)行破壞。 　　5. 超大的電子函件、電子函件炸彈也可以認(rèn)為是一種電子函件計(jì)算機(jī)病毒，它能夠影響郵件服務(wù)器的正常服務(wù)功能。 　　通常對付

55、電子函件計(jì)算機(jī)病毒，只要?jiǎng)h除攜帶電子函件計(jì)算機(jī)病毒的信件就能夠刪除它。但是大多數(shù)的電子函件計(jì)算機(jī)病毒在一被接收到客戶端時(shí)就開始發(fā)作了，基本上沒有潛伏期。所以預(yù)防電子函件計(jì)算機(jī)病毒是至關(guān)重要的。以下是一些常用的預(yù)防電子函件計(jì)算機(jī)病毒的方法： 　?。?) 不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序。這些附件極有可能帶有計(jì)算機(jī)病毒或是黑客程序，輕易運(yùn)行，很可能帶來不可預(yù)測的結(jié)果。對于認(rèn)識的朋友和陌生人發(fā)過來的電子函件中的可執(zhí)行程序附件都必須檢查，確定無異后才可使用。 　?。?) 不要輕易打開附件中的文檔文件。對方發(fā)送過來的電子函件及相關(guān)附件的文檔，首先要用“另存為…”命令（“Save A

56、s…”）保存到本地硬盤，待用查殺計(jì)算機(jī)病毒軟件檢查無毒后才可以打開使用。如果用鼠標(biāo)直接點(diǎn)擊兩下DOC、XLS等附件文檔，會(huì)自動(dòng)啟用Word或Excel，如有附件中有計(jì)算機(jī)病毒則會(huì)立刻傳染，如有“是否啟用宏”的提示，那絕對不要輕易打開，否則極有可能傳染上電子函件計(jì)算機(jī)病毒。 　?。?) 對于文件擴(kuò)展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含這些附件的電子函件，以保證計(jì)算機(jī)系統(tǒng)不受計(jì)算機(jī)病毒的侵害。 　?。?) 如果是使用Outlook作為收發(fā)電子函件軟件的話，應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。選擇“工具”菜單中的“選項(xiàng)”命令，在“安全”中設(shè)置“

57、附件的安全性”為“高”；在“其他”中按“高級選項(xiàng)”按鈕，按“加載項(xiàng)管理器”按鈕，不選中“服務(wù)器腳本運(yùn)行”。最后按“確定”按鈕保存設(shè)置。 　　（5) 如果是使用Outlook Express作為收發(fā)電子函件軟件的話，也應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。選擇“工具”菜單中的“選項(xiàng)”命令，在“閱讀”中不選中“在預(yù)覽窗格中自動(dòng)顯示新聞郵件”和“自動(dòng)顯示新聞郵件中的圖片附件”。這樣可以防止有些電子函件計(jì)算機(jī)病毒利用Outlook Express的缺省設(shè)置自動(dòng)運(yùn)行，破壞系統(tǒng)。 　?。?) 對于使用Windows 98操作系統(tǒng)的計(jì)算機(jī)，在“控制面板”中的“添加/刪除程序”中選擇檢查一下是否安裝了Windows S

58、cripting Host。如果已經(jīng)安裝的，請卸載，并且檢查Windows的安裝目錄下是否存在Wscript.exe文件，如果存在的話也要?jiǎng)h除。因?yàn)橛行╇娮雍?jì)算機(jī)病毒就是利用Windows Scripting Host進(jìn)行破壞的。 　　（7) 對于自己往外傳送的附件，也一定要仔細(xì)檢查，確定無毒后，才可發(fā)送，雖然電子函件計(jì)算機(jī)病毒相當(dāng)可怕，只要防護(hù)得當(dāng)，還是完全可以避免傳染上計(jì)算機(jī)病毒的，仍可放心使用。 　　對付電子函件計(jì)算機(jī)病毒，還可以在計(jì)算機(jī)上安裝有電子函件實(shí)時(shí)監(jiān)控功能的防殺計(jì)算機(jī)病毒軟件。有條件的還可以在電子函件服務(wù)器上安裝服務(wù)器版電子函件計(jì)算機(jī)病毒防護(hù)軟件，從外部切斷電子函件計(jì)算

59、機(jī)病毒的入侵途徑，確保整個(gè)網(wǎng)絡(luò)的安全。 計(jì)算機(jī)病毒檢測方法 　　　　　 　　檢測磁盤中的計(jì)算機(jī)病毒可分成檢測引導(dǎo)型計(jì)算機(jī)病毒和檢測文件型計(jì)算機(jī)病毒。這兩種檢測從原理上講是一樣的，但由于各自的存儲(chǔ)方式不同，檢測方法是有差別的。 　　 2.4.1 比較法 　　比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。而且用這種比較法還可

60、以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快，新的計(jì)算機(jī)病毒層出不窮，由于目前還沒有做出通用的能查出一切計(jì)算機(jī)病毒，或通過代碼分析，可以判定某個(gè)程序中是否含有計(jì)算機(jī)病毒的查毒程序，發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法，有時(shí)必須結(jié)合這兩者來一同工作。 　　使用比較法能發(fā)現(xiàn)異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內(nèi)的程序代碼發(fā)生了變化。對硬盤主引導(dǎo)扇區(qū)或?qū)OS的引導(dǎo)扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進(jìn)行比較，保留好原始備份是非常重要的，制作備份時(shí)必須在無計(jì)算機(jī)病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫好標(biāo)簽

61、，并加上寫保護(hù)。 　　比較法的好處是簡單、方便，不需專用軟件。缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是由于計(jì)算機(jī)病毒造成的，或是由于DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來確證是否存在計(jì)算機(jī)病毒。另外，當(dāng)找不到原始備份時(shí)，用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原始主引導(dǎo)扇區(qū)和其它數(shù)據(jù)備份的重要性。 　　 2.4.2 加總比對法 　　根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面，或是將所有

62、檢查碼放在同一個(gè)數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否感染了計(jì)算機(jī)病毒。一個(gè)很簡單的例子就是當(dāng)您把車停下來之后，將里程表的數(shù)字記下來。那么下次您再開車時(shí)，只要比對一下里程表的數(shù)字，那么您就可以斷定是否有人偷開了您的車子。這種技術(shù)可偵測到各式的計(jì)算機(jī)病毒，但最大的缺點(diǎn)就是誤判斷高，且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對于隱形計(jì)算機(jī)病毒也無法偵測到。 　　 2.4.3 搜索法. 　　搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。國外對這種按搜索法工

63、作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成：一部分是計(jì)算機(jī)病毒代碼庫，含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。目前常見的防殺計(jì)算機(jī)病毒軟件對已知計(jì)算機(jī)病毒的檢測大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫內(nèi)所含計(jì)算機(jī)病毒的種類多少。顯而易見，庫中計(jì)算機(jī)病毒代碼種類越多，掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié)，長的有上萬字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串，可能在不同的環(huán)境中

64、，該特征串并不真正具有代表性，不能用于將該串所對應(yīng)的計(jì)算機(jī)病毒檢查出來。選這種串做為計(jì)算機(jī)病毒代碼庫的特征串就是不合適的。 　　另一種情況是代碼串不應(yīng)含有計(jì)算機(jī)病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會(huì)經(jīng)常變化的。代碼串一定要在仔細(xì)分析了程序之后才選出最具代表特性的，足以將該計(jì)算機(jī)病毒區(qū)別于其它計(jì)算機(jī)病毒的字節(jié)串。選定好的特征代碼串是很不容易的，是計(jì)算機(jī)病毒掃描程序的精華所在。一般情況下，代碼串是連續(xù)的若干個(gè)字節(jié)組成的串，但是有些掃描軟件采用的是可變長串，即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí)，只要除“模糊”字節(jié)之外的字串都能完 好匹配，則也能判別出計(jì)算機(jī)病毒。 　　除了前面說的選特

65、征串的規(guī)則外，最重要的是一條是特征串必須能將計(jì)算機(jī)病毒與正常的非計(jì)算機(jī)病毒程序區(qū)分開。不然將非計(jì)算機(jī)病毒程序當(dāng)成計(jì)算機(jī)病毒報(bào)告給用戶，是假警報(bào)，這種“狼來了”的假警報(bào)太多了，就會(huì)使用戶放松警惕，等真的計(jì)算機(jī)病毒一來，破壞就嚴(yán)重了；再就是若將這假警報(bào)送給殺計(jì)算機(jī)病毒程序，會(huì)將好程序給“殺死”了。 　　使用特征串的掃描法被查計(jì)算機(jī)病毒軟件廣泛應(yīng)用。當(dāng)特征串選擇得很好時(shí)，計(jì)算機(jī)病毒檢測軟件讓計(jì)算機(jī)用戶使用起來很方便，對計(jì)算機(jī)病毒了解不多的人也能用它來發(fā)現(xiàn)計(jì)算機(jī)病毒。另外，不用專門軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計(jì)算機(jī)病毒。 　　這種掃描法的缺點(diǎn)也是明顯的。第一是當(dāng)被掃描

66、的文件很長時(shí)，掃描所花時(shí)間也越多；第二是不容易選出合適的特征串；第三是新的計(jì)算機(jī)病毒的特征串未加入計(jì)算機(jī)病毒代碼庫時(shí)，老版本的掃毒程序無法識別出新的計(jì)算機(jī)病毒；第四是懷有惡意的計(jì)算機(jī)病毒制造者得到代碼庫后，會(huì)很容易地改變計(jì)算機(jī)病毒體內(nèi)的代碼，生成一個(gè)新的變種，使掃描程序失去檢測它的能力；第五是容易產(chǎn)生誤報(bào)，只要在正常程序內(nèi)帶有某種計(jì)算機(jī)病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的計(jì)算機(jī)病毒體殘余，掃描程序仍會(huì)報(bào)警；第六是不易識別多維變形計(jì)算機(jī)病毒。不管怎樣，基于特征串的計(jì)算機(jī)病毒掃描法仍是今天用得最為普遍的查計(jì)算機(jī)病毒方法。 　　2.4.4 分析法 　　一般使用分析法的人不是普通用戶，而是防殺計(jì)算機(jī)病毒技術(shù)人員。使用分析法的目的在于： 　　1. 確認(rèn)被觀察的磁盤引導(dǎo)扇區(qū)和程序中是否含有計(jì)算機(jī)病毒； 　　2. 確認(rèn)計(jì)算機(jī)病毒的類型和種類，判定其是否是一種新的計(jì)算機(jī)病毒； 　　3. 搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu)，提取特征識別用的字節(jié)串或特征字，用于增添到計(jì)算機(jī)病毒代碼庫供計(jì)算機(jī)病毒掃描和識別程序用； 　　4. 詳