【正文】 病毒不能清除。否則往往不經易間就會誤入網頁代碼的圈套。長期以來攻擊IIS服務是黑客慣用的手段，遠程攻擊者只要使用webdavx3這個漏洞攻擊程序和telnet命令就可以完成一次對iis的遠程攻擊，這種情況多是由于企業(yè)管理者或網管對安全問題關注不夠造成的。 　　是為了方便遠程管理而開放的共享，這個功能對個人用戶來說用處不大，反而給黑客入侵提供了便利。（六）計算機病毒入侵的途徑隨著社會的不斷進步科學的不斷發(fā)展計算機病毒的種類也越來越多，但終究萬變不離其宗！那他們是靠什么途徑傳播的了？目前比較常見的病毒入侵的途徑有幾種： 　　木馬有可能是黑客在已經獲取我們操作系統(tǒng)可寫權限的前提下，由黑客上傳的。(2)計算機操作者的觸發(fā)。PE病毒同時也是所有病毒中數量極多、破壞性極大、技巧性最強的一類病毒。腳本是指從一個數據文檔中執(zhí)行一個任務的一組指令，它也是嵌入到一個文件中，常見的是嵌入到網頁文件中。黑客、病毒作者或其他惡意人士可能會用Java惡意程序代碼當作武器攻擊使用者的系統(tǒng)⑥ 網絡病毒工作方式 隨著互聯網的高速發(fā)展，計算機病毒從原來的磁盤進行傳播發(fā)展到現在的通過網絡的漏洞進行傳播。 Java Applet是一種內嵌在HTML網頁中的可攜式Java小程序。Office中的Word、Excel和PowerPoint都有宏。以后用硬盤啟動系統(tǒng)時，就會實現從文件型病毒轉變?yōu)橐龑筒《尽Ｆ涑Ｒ姷膫魅痉绞绞歉街谡３绦蛭募?，成為程序文件的一個外殼或部件。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。 寄生型病毒 除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按其算法不同可分為：練習型病毒，病毒本身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。伴隨型病毒，這一類病毒并不改變文件本身，它們根據算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。 無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 隨著計算機應用的不斷發(fā)展病毒又出現一些新的特性如：利用微軟漏洞主動傳播、局域網內快速傳播、以多種方式傳播、大量消耗系統(tǒng)與網絡資源、雙程序結構、用即時工具傳播病毒、病毒與黑客技術的融合、遠程啟動。病毒具有預定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數據等。為了隱蔽自己，病毒必須潛伏，少做動作。 隱蔽性：計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序，如不經過程序代碼 分析或計算機病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。在適當的條件下，它可得到大量繁殖，并使被感染的生物體表現出病癥甚至死亡。 互連網階段 ：1997年,隨著因特網的發(fā)展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒。在非DOS操作系統(tǒng)中,蠕蟲是典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡功能搜索網絡地址,將自身向下一地址進行傳播,有時也在網絡服務器和啟動文件中存在。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。它感染EXE文件時生成一個和EXE同名的擴展名為COM伴隨體。1989年,引導型病毒發(fā)展為可以感染硬盤,典型的代表有石頭2。雖然全世界的計算機專家們站在不同立場或不同角度分析了病毒的起因，但也沒有能夠對此作出最后的定論，只能推測電腦病毒緣于以下幾種原因：一、科幻小說的啟發(fā)；二、惡作劇的產物；三、電腦游戲的產物；四、軟件產權保護的結果. IT行業(yè)普遍認為，從最原始的單機磁盤病毒到現在逐步進入人們視野的手機病毒，計算機病毒主要經歷了如下發(fā)展階段。在1994年我國頒布實施的《中華人民共和國計算機系統(tǒng)安全保護條例》中，對計算機病毒有如下定義：“計算機病毒是編制或在計算機程序中插入的破壞計算機功能或毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼”。目前市場上主流廠商的信息安全產品經過多年的積累和精心的研發(fā)，無論從產品線還是從技術角度來講，都已經達到了相當完善的程度。 　　計算機病毒當然不值得崇拜，它給社會信息化的發(fā)展制造了太多的麻煩，每年因為計算機病毒造成的直接、間接經濟損失都超過百億美元。目 錄一、計算機病毒的概述 1（一）計算機病毒的定義 1（二） 計算機病毒的產生與發(fā)展 2（三） 計算機病毒的特性 3（四）計算機病毒的分類 4（五）計算機病毒傳播途徑關鍵環(huán)節(jié) 9（六）計算機病毒入侵的途徑 9（七）計算機病毒的入侵方式 11二、計算機病毒防范和清除的基本原則和技術 11（一）計算機病毒防范的概念和原則 12（二）計算機病毒防范基本技術 12（三）判斷病毒的方法 13（四）清除計算機病毒的基本方法 22三、典型計算機病毒的原理、防范和清除 22（一）引導區(qū)計算機病毒 22（二）文件型計算機病毒 24（三）腳本型計算機病毒 26（四）特洛伊木馬計算機病毒 27（五）蠕蟲計算機病毒 27四、計算機主要檢測技術和特點（簡介） 28參考文獻 30病毒入侵微機的途徑與防治研究一、計算機病毒的概述提起計算機病毒，絕大多數計算機的使用者都會深惡痛絕，因為沒有“中過招”的人已經是鳳毛麟角了。但同時，它也催化了一個新興的產業(yè)——信息安全產業(yè)。但是，再好的產品，如果不懂得如何去使用，發(fā)揮不了產品真正的優(yōu)勢，又與稻草有什么區(qū)別呢？很多用戶在被病毒感染以后才想起購買殺毒軟件，查殺以后就再也不管，沒有定期的升級和維護，更沒有根據自己的使用環(huán)境的特點，制定相應的防范策略，可以說把產品的使用效率降到了最低，這樣的狀態(tài)，怎能應付日新月異的病毒攻擊呢？ 　　那么，如何將手中的稻草變成強大的武器，當危險臨近時，能夠主動出擊，防患于未然呢？筆者認為，關鍵的問題在于對“對手”的了解。 （二） 計算機病毒的產生與發(fā)展自從1987年發(fā)現了全世界首例計算機病毒以來，病毒的數量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計算機領域的各個行業(yè)。 DOS引導階段： 1987年，計算機病毒主要是引導型病毒，具有代表性的是“小球”和“石頭”病毒。 DOS可執(zhí)行階段： 1989年,可執(zhí)行文件型病毒出現,它們利用DOS系統(tǒng)加載執(zhí)行文件的機制工作,代表為耶路撒冷,星期天病毒,病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權,修改DOS中斷,在系統(tǒng)調用時進行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。它感染COM文件時,改為原來的COM文件為同名的EXE文件,在產生一個原名的伴隨體,文件擴展名為COM。 生成器階段 ：1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成。 Windows病毒階段 ：1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發(fā)展,它們修改(NE,PE)文件,這類病毒的機制更為復雜,它們利用保護模式和API調用接口工作,清除方法也比較復雜。（三） 計算機病毒的特性寄生性：計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓. 潛伏性：有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設計好的。 　破壞性：計算機中毒后，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞 。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒運行時，觸發(fā)機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。（四）計算機病毒的分類按照科學的、系統(tǒng)的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據下面的屬性進行分類：1. 按病毒存在的媒體根據病毒存在的媒體，病毒可以劃分為網絡病毒，文件病毒，引導型病毒。 無危險型：這類病毒僅僅是減少內存、顯示圖像、發(fā)出聲音及同類音響。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 詭秘型病毒 它們一般不直接修改DOS中斷和扇區(qū)數據，而是通過設備技術和文件緩沖區(qū)等DOS內部修改，不易看到資源，使用比較高級的技術。①引導型病毒的工作方式 ②文件型病毒的工作方式 在目前已知的病毒中，大多數屬于文件型病毒。 （a）引導型病毒 （b）文件型病毒③混和型病毒工作方式 混和型病毒在傳染方式上兼具引導型病毒和文件型病毒的特點。主要感染COM、EXE和MBR。 ⑤Java病毒工作方式 Java是由Sun公司創(chuàng)建的一種用于互聯網環(huán)境中的編程語言。具有Java功能的瀏覽器可以運行這個小程序。到如今，網絡病毒已經成為計算機網絡安全的最大威脅之一。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。如FunLove、“中國黑客”等病毒都屬于這個范疇。計算機病毒是寄生在受感染文件上的，只有計算機操作者執(zhí)行或者打開受感染的文件，計算機病毒才有執(zhí)行的機會，才能取得主機的控制權。也可能是我們不小心，運行了包含有木馬的程序，最多的情況還是我們防范意識不強，隨便運行了別人發(fā)來的“好玩”的程序。個人用戶應禁止自動打開默認共享，給自己的帳戶設置復雜密碼，最好是數字、字母以及特殊符號相結合，安裝防火墻。我們要時刻關注微軟官方站點，及時安裝iis的漏洞補丁。但是這個并不能真正防止網頁惡意代碼的攻擊，因為這些惡意代碼有可能在任何地方出現。為了使軟件及相關的數字資源的傳播而得到廣泛應用。計算機病毒可以附著在正常文件中，當你從網上下載一個被感染的程序或文件，并在你的計算機上未加任何防護措施的情況下運行它，病毒就傳染過來了。當然這類文件是極少數，因為這些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。目前大多數文件型的病毒屬于這一類。原則以防御計算機病毒為主動，主要表現在檢測行為的動態(tài)性和防范方法的廣泛性。特征代碼法的實現步驟如下:①采集已知病毒樣本。③將特征代碼納入病毒數據庫。通常，大多數的病毒都不是單獨存在的，它們大都依附或寄生于其它的文檔程序，所以被感染的程序會有檔案大小增加的情況產生或者是檔案日期被修改的情形。②在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。因為多態(tài)性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也各不相同，無法找出可能的作為特征的穩(wěn)定代碼。但隨著計算機程序開發(fā)語言的技術性提高、計算機網絡越來越普及，病毒的開發(fā)和傳播是越來越容易了，因而反病毒軟件開發(fā)公司也是越來越多了。 b、注冊表觀察法 這類方法一般適用于近來出現的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、加載配置來達到自動啟動或加載的，一般是在如下幾個地方實現： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi