【正文】 病毒不能清除。否則往往不經(jīng)易間就會誤入網(wǎng)頁代碼的圈套。長期以來攻擊IIS服務(wù)是黑客慣用的手段，遠(yuǎn)程攻擊者只要使用webdavx3這個(gè)漏洞攻擊程序和telnet命令就可以完成一次對iis的遠(yuǎn)程攻擊，這種情況多是由于企業(yè)管理者或網(wǎng)管對安全問題關(guān)注不夠造成的。 　　是為了方便遠(yuǎn)程管理而開放的共享，這個(gè)功能對個(gè)人用戶來說用處不大，反而給黑客入侵提供了便利。（六）計(jì)算機(jī)病毒入侵的途徑隨著社會的不斷進(jìn)步科學(xué)的不斷發(fā)展計(jì)算機(jī)病毒的種類也越來越多，但終究萬變不離其宗！那他們是靠什么途徑傳播的了？目前比較常見的病毒入侵的途徑有幾種： 　　木馬有可能是黑客在已經(jīng)獲取我們操作系統(tǒng)可寫權(quán)限的前提下，由黑客上傳的。(2)計(jì)算機(jī)操作者的觸發(fā)。PE病毒同時(shí)也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強(qiáng)的一類病毒。腳本是指從一個(gè)數(shù)據(jù)文檔中執(zhí)行一個(gè)任務(wù)的一組指令，它也是嵌入到一個(gè)文件中，常見的是嵌入到網(wǎng)頁文件中。黑客、病毒作者或其他惡意人士可能會用Java惡意程序代碼當(dāng)作武器攻擊使用者的系統(tǒng)⑥ 網(wǎng)絡(luò)病毒工作方式 隨著互聯(lián)網(wǎng)的高速發(fā)展，計(jì)算機(jī)病毒從原來的磁盤進(jìn)行傳播發(fā)展到現(xiàn)在的通過網(wǎng)絡(luò)的漏洞進(jìn)行傳播。 Java Applet是一種內(nèi)嵌在HTML網(wǎng)頁中的可攜式Java小程序。Office中的Word、Excel和PowerPoint都有宏。以后用硬盤啟動系統(tǒng)時(shí)，就會實(shí)現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑?dǎo)型病毒。其常見的傳染方式是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。 寄生型病毒 除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒本身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會引起無法預(yù)料的和災(zāi)難性的破壞。 無害型：除了傳染時(shí)減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 隨著計(jì)算機(jī)應(yīng)用的不斷發(fā)展病毒又出現(xiàn)一些新的特性如：利用微軟漏洞主動傳播、局域網(wǎng)內(nèi)快速傳播、以多種方式傳播、大量消耗系統(tǒng)與網(wǎng)絡(luò)資源、雙程序結(jié)構(gòu)、用即時(shí)工具傳播病毒、病毒與黑客技術(shù)的融合、遠(yuǎn)程啟動。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。為了隱蔽自己，病毒必須潛伏，少做動作。 隱蔽性：計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序，如不經(jīng)過程序代碼 分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。 互連網(wǎng)階段 ：1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,機(jī)器就有可能中毒。在非DOS操作系統(tǒng)中,蠕蟲是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播,有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動文件中存在。幽靈病毒就是利用這個(gè)特點(diǎn),每感染一次就產(chǎn)生不同的代碼。它感染EXE文件時(shí)生成一個(gè)和EXE同名的擴(kuò)展名為COM伴隨體。1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有石頭2。雖然全世界的計(jì)算機(jī)專家們站在不同立場或不同角度分析了病毒的起因，但也沒有能夠?qū)Υ俗鞒鲎詈蟮亩ㄕ?，只能推測電腦病毒緣于以下幾種原因：一、科幻小說的啟發(fā)；二、惡作劇的產(chǎn)物；三、電腦游戲的產(chǎn)物；四、軟件產(chǎn)權(quán)保護(hù)的結(jié)果. IT行業(yè)普遍認(rèn)為，從最原始的單機(jī)磁盤病毒到現(xiàn)在逐步進(jìn)入人們視野的手機(jī)病毒，計(jì)算機(jī)病毒主要經(jīng)歷了如下發(fā)展階段。在1994年我國頒布實(shí)施的《中華人民共和國計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》中，對計(jì)算機(jī)病毒有如下定義：“計(jì)算機(jī)病毒是編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。目前市場上主流廠商的信息安全產(chǎn)品經(jīng)過多年的積累和精心的研發(fā)，無論從產(chǎn)品線還是從技術(shù)角度來講，都已經(jīng)達(dá)到了相當(dāng)完善的程度。 　　計(jì)算機(jī)病毒當(dāng)然不值得崇拜，它給社會信息化的發(fā)展制造了太多的麻煩，每年因?yàn)橛?jì)算機(jī)病毒造成的直接、間接經(jīng)濟(jì)損失都超過百億美元。目 錄一、計(jì)算機(jī)病毒的概述 1（一）計(jì)算機(jī)病毒的定義 1（二） 計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展 2（三） 計(jì)算機(jī)病毒的特性 3（四）計(jì)算機(jī)病毒的分類 4（五）計(jì)算機(jī)病毒傳播途徑關(guān)鍵環(huán)節(jié) 9（六）計(jì)算機(jī)病毒入侵的途徑 9（七）計(jì)算機(jī)病毒的入侵方式 11二、計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù) 11（一）計(jì)算機(jī)病毒防范的概念和原則 12（二）計(jì)算機(jī)病毒防范基本技術(shù) 12（三）判斷病毒的方法 13（四）清除計(jì)算機(jī)病毒的基本方法 22三、典型計(jì)算機(jī)病毒的原理、防范和清除 22（一）引導(dǎo)區(qū)計(jì)算機(jī)病毒 22（二）文件型計(jì)算機(jī)病毒 24（三）腳本型計(jì)算機(jī)病毒 26（四）特洛伊木馬計(jì)算機(jī)病毒 27（五）蠕蟲計(jì)算機(jī)病毒 27四、計(jì)算機(jī)主要檢測技術(shù)和特點(diǎn)（簡介） 28參考文獻(xiàn) 30病毒入侵微機(jī)的途徑與防治研究一、計(jì)算機(jī)病毒的概述提起計(jì)算機(jī)病毒，絕大多數(shù)計(jì)算機(jī)的使用者都會深惡痛絕，因?yàn)闆]有“中過招”的人已經(jīng)是鳳毛麟角了。但同時(shí)，它也催化了一個(gè)新興的產(chǎn)業(yè)——信息安全產(chǎn)業(yè)。但是，再好的產(chǎn)品，如果不懂得如何去使用，發(fā)揮不了產(chǎn)品真正的優(yōu)勢，又與稻草有什么區(qū)別呢？很多用戶在被病毒感染以后才想起購買殺毒軟件，查殺以后就再也不管，沒有定期的升級和維護(hù)，更沒有根據(jù)自己的使用環(huán)境的特點(diǎn)，制定相應(yīng)的防范策略，可以說把產(chǎn)品的使用效率降到了最低，這樣的狀態(tài)，怎能應(yīng)付日新月異的病毒攻擊呢？ 　　那么，如何將手中的稻草變成強(qiáng)大的武器，當(dāng)危險(xiǎn)臨近時(shí)，能夠主動出擊，防患于未然呢？筆者認(rèn)為，關(guān)鍵的問題在于對“對手”的了解。 （二） 計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展自從1987年發(fā)現(xiàn)了全世界首例計(jì)算機(jī)病毒以來，病毒的數(shù)量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計(jì)算機(jī)領(lǐng)域的各個(gè)行業(yè)。 DOS引導(dǎo)階段： 1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。 DOS可執(zhí)行階段： 1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為耶路撒冷,星期天病毒,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。它感染COM文件時(shí),改為原來的COM文件為同名的EXE文件,在產(chǎn)生一個(gè)原名的伴隨體,文件擴(kuò)展名為COM。 生成器階段 ：1995年,在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成。 Windows病毒階段 ：1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開始發(fā)展,它們修改(NE,PE)文件,這類病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,清除方法也比較復(fù)雜。（三） 計(jì)算機(jī)病毒的特性寄生性：計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動這個(gè)程序之前，它是不易被人發(fā)覺的。同樣，計(jì)算機(jī)病毒也會通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓. 潛伏性：有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。 　破壞性：計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞 。如果完全不動，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進(jìn)行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。（四）計(jì)算機(jī)病毒的分類按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類，計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類：1. 按病毒存在的媒體根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。 無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 詭秘型病毒 它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。①引導(dǎo)型病毒的工作方式 ②文件型病毒的工作方式 在目前已知的病毒中，大多數(shù)屬于文件型病毒。 （a）引導(dǎo)型病毒 （b）文件型病毒③混和型病毒工作方式 混和型病毒在傳染方式上兼具引導(dǎo)型病毒和文件型病毒的特點(diǎn)。主要感染COM、EXE和MBR。 ⑤Java病毒工作方式 Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。具有Java功能的瀏覽器可以運(yùn)行這個(gè)小程序。到如今，網(wǎng)絡(luò)病毒已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全的最大威脅之一。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。如FunLove、“中國黑客”等病毒都屬于這個(gè)范疇。計(jì)算機(jī)病毒是寄生在受感染文件上的，只有計(jì)算機(jī)操作者執(zhí)行或者打開受感染的文件，計(jì)算機(jī)病毒才有執(zhí)行的機(jī)會，才能取得主機(jī)的控制權(quán)。也可能是我們不小心，運(yùn)行了包含有木馬的程序，最多的情況還是我們防范意識不強(qiáng)，隨便運(yùn)行了別人發(fā)來的“好玩”的程序。個(gè)人用戶應(yīng)禁止自動打開默認(rèn)共享，給自己的帳戶設(shè)置復(fù)雜密碼，最好是數(shù)字、字母以及特殊符號相結(jié)合，安裝防火墻。我們要時(shí)刻關(guān)注微軟官方站點(diǎn)，及時(shí)安裝iis的漏洞補(bǔ)丁。但是這個(gè)并不能真正防止網(wǎng)頁惡意代碼的攻擊，因?yàn)檫@些惡意代碼有可能在任何地方出現(xiàn)。為了使軟件及相關(guān)的數(shù)字資源的傳播而得到廣泛應(yīng)用。計(jì)算機(jī)病毒可以附著在正常文件中，當(dāng)你從網(wǎng)上下載一個(gè)被感染的程序或文件，并在你的計(jì)算機(jī)上未加任何防護(hù)措施的情況下運(yùn)行它，病毒就傳染過來了。當(dāng)然這類文件是極少數(shù)，因?yàn)檫@些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。目前大多數(shù)文件型的病毒屬于這一類。原則以防御計(jì)算機(jī)病毒為主動，主要表現(xiàn)在檢測行為的動態(tài)性和防范方法的廣泛性。特征代碼法的實(shí)現(xiàn)步驟如下:①采集已知病毒樣本。③將特征代碼納入病毒數(shù)據(jù)庫。通常，大多數(shù)的病毒都不是單獨(dú)存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。②在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動時(shí)，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無法找出可能的作為特征的穩(wěn)定代碼。但隨著計(jì)算機(jī)程序開發(fā)語言的技術(shù)性提高、計(jì)算機(jī)網(wǎng)絡(luò)越來越普及，病毒的開發(fā)和傳播是越來越容易了，因而反病毒軟件開發(fā)公司也是越來越多了。 b、注冊表觀察法 這類方法一般適用于近來出現(xiàn)的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達(dá)到自動啟動或加載的，一般是在如下幾個(gè)地方實(shí)現(xiàn)： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi