【正文】 ndwos\CurrentVersionRunOnce] 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices] 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion 　　\RunOnce] 等等，在其中對注冊表中可能出現(xiàn)的地方會有一個比較詳盡的分析。 d、特征字符串觀察法 這種方法主要是針對一些較特別的病毒，這些病毒入侵時(shí)會寫相應(yīng)的特征代碼，如CIH病毒就會在入侵的文件中寫入“CIH”這樣的字符串，當(dāng)然我們不可能輕易地發(fā)現(xiàn)，我們可以對主要的系統(tǒng)文件（)運(yùn)用16進(jìn)制代碼編輯器進(jìn)行編輯就可發(fā)現(xiàn)，當(dāng)然編輯之前最好還要要備份，畢竟是主要系統(tǒng)文件。經(jīng)常對Windows進(jìn)行更新可以有效地防止病毒的侵入　　道高一尺，魔高一丈。有了識別計(jì)算機(jī)病毒的方法，那計(jì)算機(jī)具體中毒都有哪些表現(xiàn)了？根據(jù)計(jì)算機(jī)病毒感染和發(fā)作的階段，可以將計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類，即：計(jì)算機(jī)病毒發(fā)作前、發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象： 　 首先，計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象 　　計(jì)算機(jī)病毒發(fā)作前，是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，直到激發(fā)條件滿足，計(jì)算機(jī)病毒發(fā)作之前的一個階段。這很可能是計(jì)算機(jī)病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導(dǎo)。這可能是計(jì)算機(jī)病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。這很可能是計(jì)算機(jī)病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序，使之不能正常工作。 　　7)以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤 　　在硬件和操作系統(tǒng)沒有進(jìn)行改動的情況下，以前能夠正常運(yùn)行的應(yīng)用程序產(chǎn)生非法錯誤和死機(jī)的情況明顯增加。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會修改它們的，除非是進(jìn)行系統(tǒng)升級或打補(bǔ)丁。 　　10)磁盤空間迅速減少 　　沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。 　　11)網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用 　　對于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法打開、瀏覽，或者對有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法創(chuàng)建、修改文件。 　13)陌生人發(fā)來的電子函件 　　收到陌生人發(fā)來的電子函件，尤其是那些標(biāo)題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計(jì)算機(jī)病毒的附件大多是腳本程序，通常不會超過100Kb字節(jié)。需要注意的是有些網(wǎng)頁中有一些腳本程序會自動鏈接到一些網(wǎng)頁評比站點(diǎn)，或者是廣告站點(diǎn)，這時(shí)候也會有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。根據(jù)上述幾點(diǎn)，就可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染上了計(jì)算機(jī)病毒。 以下列舉了一些計(jì)算機(jī)病毒發(fā)作時(shí)常見的表現(xiàn)現(xiàn)象： 　　1)提示一些不相干的話 　　最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。 　3)產(chǎn)生特定的圖象 　　另一類惡作劇式的計(jì)算機(jī)病毒，比如小球計(jì)算機(jī)病毒，發(fā)作時(shí)會從屏幕上方不斷掉落下來小球圖形。有時(shí)候?qū)δ硞€硬盤扇區(qū)或文件反復(fù)讀取的情況下也會造成硬盤燈不斷閃爍。比如曾經(jīng)流行一時(shí)的“臺灣一號”宏病毒，在系統(tǒng)日期為13日時(shí)發(fā)作，彈出對話框，要求用戶做算術(shù)題。 7)計(jì)算機(jī)突然死機(jī)或重啟 　　有些計(jì)算機(jī)病毒程序兼容性上存在問題，代碼沒有嚴(yán)格測試，在發(fā)作時(shí)會造成意想不到情況；：Format c：之類的語句，需要系統(tǒng)重啟后才能實(shí)施破壞的。 　　需要指出的是，有些是計(jì)算機(jī)病毒發(fā)作的明顯現(xiàn)象，比如提示一些不相干的話、播放音樂或者顯示特定的圖象等?！皭盒浴庇?jì)算機(jī)病毒發(fā)作后往往會帶來很大的損失，以下列舉了一些惡性計(jì)算機(jī)病毒發(fā)作后所造成的后果： 　　1)硬盤無法啟動，數(shù)據(jù)丟失 　　計(jì)算機(jī)病毒破壞了硬盤的引導(dǎo)扇區(qū)后，就無法從硬盤啟動計(jì)算機(jī)系統(tǒng)了。 　　3)文件目錄發(fā)生混亂 　　目錄發(fā)生混亂有兩種情況。這種破壞還是能夠被恢復(fù)的。 　　6)，增加Format C：一項(xiàng)，導(dǎo)致計(jì)算機(jī)重新啟動時(shí)格式化硬盤。 　　8)網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。檢測計(jì)算機(jī)病毒，就是要到計(jì)算機(jī)病毒寄生場所去檢查，驗(yàn)明“正身”，確證計(jì)算機(jī)病毒的存在。這是由于某些計(jì)算機(jī)病毒會向檢測者報(bào)告假情況。因此，只有在要求確認(rèn)某種計(jì)算機(jī)病毒的類型和對其進(jìn)行分析、研究時(shí)，才在內(nèi)存中帶毒的情況下做檢測工作?？梢姳Ａ粢环菸幢挥?jì)算機(jī)病毒感染的、寫保護(hù)的DOS系統(tǒng)軟盤是很重要的。 發(fā)現(xiàn)了計(jì)算機(jī)病毒，那怎么辦了，又有怎么的方法清除計(jì)算機(jī)病毒了？？（四）清除計(jì)算機(jī)病毒的基本方法1. 簡單的工具治療簡單工具治療是指使用Debug等簡單的工具，借助檢測者對某種計(jì)算機(jī)病毒的具體知識，從感染計(jì)算機(jī)病毒的軟件中摘除計(jì)算機(jī)代碼。使用專用工具治療計(jì)算機(jī)病毒時(shí)，治療操作簡單、高效。它會感染在該系統(tǒng)中進(jìn)行讀寫操作的所有軟盤，然后再由這些軟盤以復(fù)制的方式和引導(dǎo)進(jìn)入到其他計(jì)算機(jī)系統(tǒng)，感染其他計(jì)算機(jī)的操作系統(tǒng)?？梢灾苯佑肈ebug將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別恢復(fù)到它的原來位置，這樣就消除了計(jì)算機(jī)病毒。所以，WINDOWS先將引導(dǎo)區(qū)做了一個文件形式的備份，該文件以隱含的形式存放在WINDOWS系統(tǒng)根目錄下，由于該引導(dǎo)型病毒存在文件中，沒有作用，所以可以直接刪除。 95/98/me系統(tǒng)上的清除方法：?、僬乙粡垺案蓛簟钡膯颖P（沒有這個引導(dǎo)區(qū)病毒的盤），啟動你的計(jì)算機(jī)，一般安裝操作系統(tǒng)的時(shí)候都會提示您制作啟動盤。 2000/XP系統(tǒng)上的清除方法：　?、偃绻阒巴ㄟ^X:\i386\ /cmdcons命令安裝了恢復(fù)控制臺可以直接選擇進(jìn)入。 　?、谌缓蠓謩e執(zhí)行fixmbr（恢復(fù)主引導(dǎo)記錄）和fixboot（恢復(fù)啟動盤上的引導(dǎo)區(qū)），再輸入EXIT［回車］，重新啟動即可。 （二）文件型計(jì)算機(jī)病毒1. 文件型病毒概述　文件型病毒與引導(dǎo)區(qū)型病毒工作的方式是完全不同的, 在各種PC機(jī)病毒中, 文件型病毒占的數(shù)目最大,傳播得廣,采用的技巧 也多。　我們把所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒都稱作文件病毒，所以這是一類數(shù)目非常巨大的病毒。 除此之外，還有一些病毒可以感染高級語言程序的源代碼，開發(fā)庫和編譯過程所生成的中間文件。找到計(jì)算機(jī)病毒程序的首部位置（對應(yīng)于在文件尾部駐留方式），或者尾部位置（對應(yīng)于在文件首部駐留方式）。EXE文件型病毒殺毒關(guān)鍵性參數(shù)的分析方法如下：（假設(shè)誘餌程序?yàn)镃:\WINNT\），通過做病毒感染實(shí)驗(yàn)。超出部分就是病毒代碼。:SP值，偏移14H17H的正常初始CS:IP值。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見。其第一代：偽裝性病毒，第二代：AIDS型木馬，第三代：網(wǎng)絡(luò)傳播性木馬如何檢查？1. 稽查注冊表2. 檢查你的系統(tǒng)配置文件特洛伊木馬清除：① 備份重要數(shù)據(jù)② 立即關(guān)閉身背電源③ 備份木馬入侵現(xiàn)場④ 修復(fù)木馬危害（五）蠕蟲計(jì)算機(jī)病毒凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒?？梢?，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。我們相信，只要知己知彼，我們一定會在與計(jì)算機(jī)病毒進(jìn)行的這場持久戰(zhàn)中取得最終的勝利！參考文獻(xiàn)來自網(wǎng)絡(luò)及書籍：《計(jì)算機(jī)病毒原理與防范》計(jì)算機(jī)病毒分析與防范大全(第2版)作　者：韓筱卿 王建鋒 鐘 瑋 等編著出 版 社： 電子工業(yè)出版社出 計(jì)算機(jī)病毒防治實(shí)用技術(shù)【作　者】：袁忠良主編【出版項(xiàng)】：清華大學(xué)出版社 / 199805畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。首先非常感謝學(xué)校開設(shè)這個課題，為本人日后從事計(jì)算機(jī)方面的工作提供了經(jīng)驗(yàn)，奠定了基礎(chǔ)。這期間凝聚了很多人的心血，在此我表示由衷的感謝。從他身上，我學(xué)到了許多能受益終生的東西。最后，我要感謝我的父母對我的關(guān)系和理解，如果沒有他們在我的學(xué)習(xí)生涯中的無私奉獻(xiàn)和默默支持，我將無法順利完成今天的學(xué)業(yè)。感謝老師四年來對我孜孜不倦的教誨，對我成長的關(guān)心和愛護(hù)。最后，我要特別感謝我的導(dǎo)師劉望蜀老師、和研究生助教吳子儀老師。在論文的撰寫過程中老師們給予我很大的幫助，幫助解決了不少的難點(diǎn)，使得論文能夠及時(shí)完成，這里一并表示真誠的感謝。老師們認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。四年的風(fēng)風(fēng)雨雨，我們一同走過，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。從這里走出，對我的人生來說，將是踏上一個新的征程，要把所學(xué)的知識應(yīng)用到實(shí)際工作中去。其次，我要感謝大學(xué)四年中所有的任課老師和輔導(dǎo)員在學(xué)習(xí)期間對我的嚴(yán)格要求，感謝他們對我學(xué)習(xí)上和生活上的幫助，使我了解了許多專業(yè)知識和為人的道理，能夠在今后的生活道路上有繼續(xù)奮斗的力量。首先，我要特別感謝我的知道郭謙功老師對我的悉心指導(dǎo)，在我的論文書寫及設(shè)計(jì)過程中給了我大量的幫助和指導(dǎo)，為我理清了設(shè)計(jì)思路和操作方法，并對我所做的課題提出了有效的改進(jìn)方案。本次畢業(yè)設(shè)計(jì)是對我大學(xué)四年學(xué)習(xí)下來最好的檢驗(yàn)。涉密論文按學(xué)校規(guī)定處理。對本文的研究做出重要貢獻(xiàn)的個人和集體，均已在文中以明確方式標(biāo)明。對本研究提供過幫助和做出過貢獻(xiàn)的個人或集體，均已在文中作了明確的說明并表示了謝意。 蠕蟲一般不采取利用pe格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，電子郵件，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。與傳統(tǒng)的病毒不同，蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對象！本文中將蠕蟲病毒分為針對企業(yè)網(wǎng)絡(luò)和個人用戶2類，并從企業(yè)用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施! 蠕蟲也是一種病毒，因此具有病毒的共同特征。其主要有兩種類型，純腳本型，混合型。第六步在染毒BAI文件的病毒代碼中找到正常的初始SS:SP / CS:IP值后，算處它們相對染毒文件末尾的偏移值。（這樣我們才能用DEBUG看到它們的文件頭部分，因?yàn)橛捎贓XE文件的特殊結(jié)構(gòu)，DEBUG如果直接調(diào)入EXE文件，將看不到EXE文件的頭信息）。如果長度一致說明，必須重新實(shí)驗(yàn)，直到長度改變。修改文件長度，將源文件寫回。從某種意義上，宏病毒—隱藏在字處理文檔或者電子數(shù)據(jù)表中的病毒也是一種文件型病毒。目前已經(jīng)存在這樣的文件病毒，可以感染所有標(biāo)準(zhǔn)的DOS可執(zhí)行文件：包括批處理文件、DOS下的可加載驅(qū)動程序（.SYS）文件以及普通的COM／EXE可執(zhí)行文件。 文件型病毒分兩類：一種是將病毒加在COM前部,一種是加在文件尾部。遇到這種病毒時(shí)你應(yīng)該讓系統(tǒng)自己引導(dǎo)計(jì)算機(jī)，讓病毒自己解密，然后用殺毒軟件備份引導(dǎo)區(qū)的信息（目前國產(chǎn)的三大殺毒軟件都有此功能），然后再用干凈的啟動盤啟動計(jì)算機(jī)，把剛剛備份出來的引導(dǎo)區(qū)信息再寫回硬盤就可以了。當(dāng)出現(xiàn)安裝界面的時(shí)候按R選擇“要用‘恢復(fù)控制臺’修復(fù)”。 ②用這張軟盤引導(dǎo)啟動帶毒的計(jì)算機(jī)，然后運(yùn)行以下命令： 　　A:\fdisk /mbr ［回車］ 　　A:\sys a: c: ［回車］ 　　然后重新啟動計(jì)算機(jī)就可以了。 如果病毒確實(shí)是在硬盤的引導(dǎo)區(qū)上，也不用怕，這類