【正文】 示圖像、發(fā)出聲音及同類音響。 危險(xiǎn)型： 這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。 非常危險(xiǎn)型： 這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的 DOS、 Windows 和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個(gè) “Denz uk”病毒在 360K 磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟 盤上能引發(fā)大量的數(shù)據(jù)丟失。 伴隨型病毒 ，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生 EXE 文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（ COM），例如： 的伴隨體是 XCOPYCOM。病毒把自身寫入 COM 文件并不改變 EXE 文件，當(dāng) DOS 加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的 EXE 文件。 6 “ 蠕蟲 ” 型病毒 ，通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的 內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。 寄生型病毒 除了伴隨和 “ 蠕蟲 ” 型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒 本 身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。 詭秘型病毒 它們一般不直接修改 DOS 中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等 DOS 內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用 DOS 空閑的數(shù)據(jù)區(qū)進(jìn)行工作。 變型病毒（又稱幽靈病毒） 這 一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。 ①引導(dǎo)型病毒的工作方式 ② 文件型病毒的工作方式 在目前已知的病毒中，大多數(shù)屬于文件型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（ COM、 EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其常見的傳染方式是附著于正常程 序 7 文件，成為程序文件的一個(gè)外殼或部件。 （ a）引導(dǎo)型病毒 （ b）文件型病毒 ③ 混和型病毒工作方式 混和型病毒在傳染方式上兼具引導(dǎo)型病毒和文件型病毒的特點(diǎn)。這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，以該文件為載體進(jìn)行傳播。當(dāng)被感染文件執(zhí)行時(shí)，會感染硬 8 盤的主引導(dǎo)記錄。以后用硬盤啟動系統(tǒng)時(shí)，就會實(shí)現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)?引導(dǎo)型病毒。例如 ，該病毒也稱為 ，主要感染 COM、 EXE 和 MBR。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入 MBR 中，然后清除硬盤中的文件 ④宏病毒的工作方式 宏病毒是利用宏語句編寫的。它們通常利用宏的自動化功能進(jìn)行感染，當(dāng)一個(gè)感染的宏被運(yùn)行時(shí)，它會將自己安裝在應(yīng)用的模板中，并感染應(yīng)用創(chuàng)建和打開的所有文檔。Office 中的 Word、 Excel 和 PowerPoint 都有宏。 ⑤ Java 病毒工作方式 Java 是由 Sun 公司創(chuàng)建的一 種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。 Java 應(yīng)用程序不會直接運(yùn)行在操作系統(tǒng)中，而是運(yùn)行在 Java 虛擬機(jī)（ JVM）上。因此用 Java 編寫的應(yīng)用程序的移植性非常強(qiáng)，包括現(xiàn)在的手機(jī)中的一些程序也是用 Java 編寫的。 Java Applet 是一種內(nèi)嵌在 HTML 網(wǎng)頁中的可攜式 Java 小程序。具有 Java 功能的瀏覽器可以運(yùn)行這個(gè)小程序。 Java Applet 可供 Web 開發(fā)人員建立含有功能更豐富的交互式動態(tài) Web 網(wǎng)頁。它們會在使用者訪問網(wǎng)頁時(shí)被執(zhí)行。黑客、病毒作者或其他惡意人士可能會用 Java 惡意程序代碼當(dāng)作武器 攻擊使用者的系統(tǒng) ⑥ 網(wǎng)絡(luò)病毒工作方式 隨著互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)病毒從原來的磁盤進(jìn)行傳播發(fā)展到現(xiàn)在的通過網(wǎng)絡(luò)的漏洞進(jìn)行傳播。到如今，網(wǎng)絡(luò)病毒已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全的最大威脅之一。網(wǎng)絡(luò)病毒中又以蠕蟲病毒出現(xiàn)最早，傳播最為廣泛，例如 “ 沖擊波 ” 、 “ 紅色代碼 ” 病毒等。 9 ⑦ 腳本病毒工作方式 腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。腳本是指從一個(gè)數(shù)據(jù)文檔中執(zhí)行一個(gè)任務(wù)的一組指令，它也是嵌入到一個(gè)文件中，常見的是嵌入到網(wǎng)頁文件中。腳本病毒依賴于一些特殊的腳本語言（例如 VBScript、 JavaScript、 Jscript、 PerlScript、 PHP、 Flash 等）。有些腳本語言，例如 VBScript（ Visual Basic Script）以及 JavaScript 病毒，必須通過Microsoft 的 Windows Scripting Host（ WSH）才能夠激活執(zhí)行以及感染其他文件 ⑧ PE 病毒工作方式 PE病毒，是指感染 Windows PE 格式文件的病毒。 PE病毒是目前影響力極大的一類病毒。 PE 病毒同時(shí)也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強(qiáng)的一類病毒。如FunLove、 “ 中國 黑客 ” 等病毒都屬于這個(gè)范疇。 （五） 計(jì)算機(jī)病毒傳播途徑關(guān)鍵環(huán)節(jié) 計(jì)算機(jī)病毒要實(shí)現(xiàn)傳播，有三個(gè)關(guān)鍵環(huán)節(jié) : (1)帶毒文件的遷移。即感染病毒的文件從一臺計(jì)算機(jī)復(fù)制、遷移到另一臺計(jì)算機(jī)。 (2)計(jì)算機(jī)操作者的觸發(fā)。計(jì)算機(jī)病毒是寄生在受感染文件上的，只有計(jì)算機(jī)操作者執(zhí)行或者打開受感染的文件，計(jì)算機(jī)病毒才有執(zhí)行的機(jī)會，才能取得主機(jī)的控制權(quán)。 (3)感染。病毒在取得主機(jī)的控制權(quán)后，就隨時(shí)可以尋找合適的目標(biāo)文件進(jìn)行感染，把病毒副本嵌入到目標(biāo)文件中。 （六）計(jì)算機(jī)病毒入侵的途徑 隨著社會的不斷進(jìn)步科學(xué)的不斷發(fā)展計(jì)算機(jī)病毒的 種類也越來越多，但終究萬變不離其宗！那他們是靠什么途徑傳播的了？ 目前比較常見的病毒入侵的途徑有幾種： 木馬有可能是黑客在已經(jīng)獲取我們操作系統(tǒng)可寫權(quán)限的前提下，由黑客上傳的 。也可能是我們不小心，運(yùn)行了包含有木馬的程序，最多的情況還是我們防范意識不強(qiáng)，隨便運(yùn)行了別人發(fā)來的“好玩”的程序。所以，我們自己要多加注意，不要隨意打開來歷不明的電子郵件及文件，不要隨便運(yùn)行別人發(fā)來的軟件，之前要查毒。安裝木馬查殺軟件并及時(shí)更新。 10 是為了方便遠(yuǎn)程管理而開放的共享，這個(gè)功能對個(gè)人用戶來 說用處不大，反而給黑客入侵提供了便利。個(gè)人用戶應(yīng)禁止自動打開默認(rèn)共享，給自己的帳戶設(shè)置復(fù)雜密碼，最好是數(shù)字、字母以及特殊符號相結(jié)合，安裝防火墻。 （ Inter Information Server）服務(wù)為 Web 服務(wù)器提供了強(qiáng)大的 Inter 和Intra 服務(wù)功能。主要通過端口 80 來完成操作，因?yàn)樽鳛?Web 服務(wù)器， 80 端口總要打開，具有很大的威脅性。長期以來攻擊 IIS 服務(wù)是黑客慣用的手段，遠(yuǎn)程攻擊者只要使用webdavx3 這個(gè)漏洞攻擊程序和 tel 命令就可以完成一次對 iis 的 遠(yuǎn)程攻擊，這種情況多是由于企業(yè)管理者或網(wǎng)管對安全問題關(guān)注不夠造成的。我們要時(shí)刻關(guān)注微軟官方站點(diǎn)，及時(shí)安裝 iis 的漏洞補(bǔ)丁。 在我們?yōu)g覽網(wǎng)頁的時(shí)候不可避免的會遇到一些不正規(guī)的網(wǎng)站，當(dāng)打開一個(gè)網(wǎng)頁后，就發(fā)現(xiàn)注冊表和 IE 設(shè)置被修改了，這就是網(wǎng)頁惡意代碼造成的破壞，但是這種網(wǎng)頁惡意代碼有著更大的危害，很有可能在我們不知道的情況下下載木馬，蠕蟲等病毒，同時(shí)把我們的私人信息，如銀行帳號， 帳號，游戲帳號泄露出去。要避免被網(wǎng)頁惡意代碼感染，首先關(guān)鍵是不要輕易去訪問一些并不信任的站點(diǎn)，尤其是一些 帶有美女圖片等的網(wǎng)址。否則往往不經(jīng)易間就會誤入網(wǎng)頁代碼的圈套。但是這個(gè)并不能真正防止網(wǎng)頁惡意代碼的攻擊，因?yàn)檫@些惡意代碼有可能在任何地方出現(xiàn)。我們應(yīng)盡量避免從 Inter 下載不知名的軟件、游戲程序，即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的木馬查殺程序?qū)浖拖到y(tǒng)進(jìn)行掃描，這樣才能減少誤中病毒的機(jī)會。安裝具有注冊表實(shí)時(shí)監(jiān)控功能的防護(hù)軟件，做好注冊表的備份工作，禁用 Remote Registry Service 服務(wù)。 光盤 由于光盤的容量大， 對 于 只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清 除。為了使軟件及相關(guān)的數(shù)字資源的傳播而得到廣泛應(yīng)用。一些不法分子將病毒刻錄到光盤中讓用戶在不知不覺中被隱藏與其上的病毒感染從而入侵你的電腦系統(tǒng)。 U盤 U盤作為當(dāng)前人們最方便、最常用的存儲介質(zhì)和文件拷貝、攜帶工具， 同時(shí) 病毒的傳播中發(fā)揮了重要的作用。 網(wǎng)絡(luò) 11 計(jì)算機(jī)網(wǎng)絡(luò)特別是 Inter 的普及，給病毒的傳播提供了便捷的途徑。計(jì)算機(jī)病毒可以附著在正常文件中，當(dāng)你從網(wǎng)上下載一個(gè)被感染的程序或文件，并在你的計(jì)算機(jī)上未加任何防護(hù)措施的情況下運(yùn)行它，病毒就傳染過來了。 通過 Inter 傳播病毒的方 式很多，包括 FTP 文件下載、訪問惡意 WWW 網(wǎng)站、 P2P 文件下載、即時(shí)通訊等等。人們使用 Inter 的頻率是如此之高，使得 Inter 已是計(jì)算機(jī)病毒的第一傳播途徑 。 （七）計(jì)算機(jī)病毒的入侵方式 知道了計(jì)算機(jī)病毒的傳播途徑，那他們都是通過什么樣的方式傳播的呢 ?如按其入侵的方式來分為以下幾種： a、源代碼嵌入攻擊型 從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件就是帶毒文件。當(dāng)然這類文件是極少數(shù)，因?yàn)檫@ 些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。 b、代碼取代攻擊型 這類病毒主要是用它自身的病毒代碼取代某個(gè)入侵程序的整個(gè)或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強(qiáng)，但是不易被發(fā)現(xiàn)，清除起來也較困難。 c、系統(tǒng)修改型 這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。 d、外殼附加型 這類病毒通常是將其 病毒附加在正常程序的頭部或尾部，相當(dāng)于給程序添加了一個(gè)外殼，在被感染的程序執(zhí)行時(shí)，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類。 知道了計(jì)算機(jī)病毒的特性、分類和傳播途徑，找到了病根，只要對癥下藥就 OK了！ 12 二、計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù) 計(jì)算機(jī)病毒的存在和傳播對用戶造成了很大的危害，為了減少信息資料的丟失和破壞，這就需要在日常使用計(jì)算機(jī)時(shí)，養(yǎng)成良好的習(xí)慣，預(yù)防計(jì)算機(jī)病毒。并且需要用戶掌握一些查殺病毒的知識，在發(fā)現(xiàn)病毒時(shí)，及時(shí)保護(hù)好資料，并清除病毒。 （一）計(jì)算機(jī) 病毒防范的概念和原則 計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒入侵，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。 原則以防御計(jì)算機(jī)病毒為主動，主要表現(xiàn)在檢測行為的動態(tài)性和防范方法的廣泛性。 （二）計(jì)算機(jī)病毒防范基本技術(shù) 計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計(jì)算機(jī)病毒的入侵或立即警報(bào)。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下： 特征代碼法被早期應(yīng)用于 SCAN,CPAV 等著名病毒檢測工具中，目前被認(rèn) 為是用來檢測己知病毒的最簡單、開銷最小的方法。防毒軟件在最初的掃毒方式是將所有病毒的病毒碼加以剖析，并且將這些病毒獨(dú)有的特征搜集在一個(gè)病毒碼資料庫中，每當(dāng)需要掃描該程序是否有毒的時(shí)候，啟動殺毒軟件程序，以掃描的方式與該病毒碼資料庫內(nèi)的現(xiàn)有資料一一比對，如果兩方資料皆有吻合之處的話，既判定該程序已遭病毒感染。特征代碼法的實(shí)現(xiàn)步驟如下 : ① 采集已知 病毒樣本。如果病毒既感染 文件，又感染 EXE 文件，那么要對這種病毒要同時(shí)采集 COM 型病毒樣本和 EXE 型病毒樣本。 ② 在病毒樣本中，抽取病毒特征代碼。在既感染 COM 文件又感染 EXE 文件的病毒樣本中，要抽取兩種樣本共有的代碼。 ③ 將特征代碼納入病毒數(shù)據(jù)庫。 4)檢測文件。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)，根據(jù)數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件所感染的是何種病毒。 13 通常，大多數(shù)的病毒都不是單獨(dú)存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。這樣防毒軟件在安裝的時(shí)候會自動將硬盤中的所有檔案資料做一次匯總并加以記錄 ，將正常文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)己知病毒又可發(fā)現(xiàn)未知病毒