【正文】 控制傳送給這個(gè)主引導(dǎo)記錄的自舉程序。主引導(dǎo)記錄病毒把原來的主引導(dǎo)記錄存放在硬盤的第一磁道的某個(gè)地方，因?yàn)椴《緵]有檢查就假設(shè)這部分空間可以用于它自己的目標(biāo)。 當(dāng)病毒發(fā)作時(shí)，屏幕上出現(xiàn) 5個(gè)火炬，使主引導(dǎo)扇區(qū)信息丟失，引起硬盤癱瘓，系統(tǒng)完全處于病毒的控制之中，硬盤數(shù)據(jù)也被破壞。最后，病毒程序再將原系統(tǒng)正常的引導(dǎo)扇區(qū)內(nèi)容調(diào)到內(nèi)存的 0：7C00H處，并轉(zhuǎn)去執(zhí)行正常的系統(tǒng)引導(dǎo)。若執(zhí)行的是讀操作，其軟盤引導(dǎo)扇區(qū)的 1BCH處無病毒標(biāo)記，則進(jìn)行傳染。 (1) .COM文件的感染： COM文件格式是 DOS可執(zhí)行文件格式中最簡(jiǎn)單的一種。此前它必須記錄宿主程序原來的入口指令，這樣它完成后就可以修復(fù)宿主程序。整個(gè)病毒就被放到可執(zhí)行文件映射的前部，當(dāng)程序裝入時(shí)它就會(huì)首先執(zhí)行，稱為前置。 (2) .EXE文件的感染： .EXE文件有一個(gè)入口點(diǎn)變量，它通過程序頭標(biāo)的代碼段（ CS） 和指令指針（ IP） 標(biāo)識(shí)。 當(dāng)操作系統(tǒng)在引導(dǎo)期間裝入文件時(shí)，這兩個(gè)入口點(diǎn)都獨(dú)立地執(zhí)行，都在設(shè)備驅(qū)動(dòng)器文件頭標(biāo)中標(biāo)識(shí)，當(dāng)用戶裝入感染的 .SYS文件時(shí)，病毒可以通過感染每一個(gè)入口來感染計(jì)算機(jī)。被感染的文件一執(zhí)行，直接操作文件感染病毒就感染目錄上或硬盤上某個(gè)地方的其他程序文件。有些直接操作病毒只在當(dāng)前目錄下搜索要感染的新文件，其他直接操作病毒可能要感染硬盤或 DOS路徑下每一個(gè)文件。因此，如果用戶在執(zhí)行完感染程序后再執(zhí)行任何未感染的程序，這些程序并不會(huì)被感染。然后當(dāng)用戶引用程序文件時(shí)病毒就會(huì)感染它們。 例如， .COM格式的文件被 DOS限制不能超過65280字節(jié)長(zhǎng)。每一個(gè) Windows的 .EXE文件都有一個(gè)所謂的“ DOS stub”程序，如果程序以 DOS執(zhí)行，這個(gè)“ DOS stub”程序就會(huì)顯示“ This program requires Microsoft Windows”消息。 然而，如果用戶從 Windows下運(yùn)行這個(gè)程序，Windows 就會(huì)正確地把這個(gè)文件標(biāo)識(shí)為特殊的Windows可執(zhí)行文件類型，并且正確地裝入和執(zhí)行它的 Windows部分，而不是“ DOS stub”。然而，它們是唯一不把自己附加到已存在的程序文件中的病毒。它利用簡(jiǎn)單的語法，把常用的動(dòng)作寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺(tái)式計(jì)算機(jī)病毒，可以在 Windows、 Windows9 9 NT、OS/ Macintosh System7等操作系統(tǒng)上執(zhí)行病毒行為。不過這種形式的傳染有原始碼被公開的特點(diǎn)，而且正因?yàn)樵即a是公開的，這種計(jì)算機(jī)病毒的一切行為便無所遁形了。只要一啟動(dòng) Word， 就會(huì)自動(dòng)運(yùn)行 。 Word宏病毒通過 .DOC文檔及 .DOT模板進(jìn)行自我復(fù)制及傳播，而計(jì)算機(jī)文檔是交流最廣的文件類型。宏病毒 Nuclearr就是破壞操作系統(tǒng)的典型一例。 2. 宏病毒特征 (1) 宏病毒會(huì)感染 .DOC文檔和 .DOT模板文件。病毒宏將自身復(fù)制到 Word通用 (Normal)模板中，以后在打開或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。 (5) 宏病毒在 .DOC文檔、 .DOT模板中以 .BFF（ Binary File Format） 格式存放，這是一種加密壓縮格式，每個(gè) Word版本格式可能不兼容。 但其局限性是僅在退出 Word 時(shí)才作出提示。 2. 別通過 shift 鍵來禁止運(yùn)行自動(dòng)宏 在打開文檔時(shí)按下 Shift鍵可使文檔在打開時(shí)沒有執(zhí)行任何自動(dòng)宏。你必須在打開 Word的時(shí)候一直按著 Shift鍵，必須確保一手按著 Shift鍵，另一手雙擊 Word圖標(biāo)。正確地用 Word工具選項(xiàng)來查看宏代碼的方法是使用 Organizer來查看文檔中的宏。 在啟動(dòng) Word后，進(jìn)入 Organizer并選擇 Macros按鈕，按一下按鈕 Close Files使其轉(zhuǎn)變?yōu)?Open Files。這才是比較安全的查看宏的方法。 選擇 Tools/Macros在 Macro中，輸入 Autoexec然后點(diǎn)擊 Create輸入 DisableAutoMacros指令。這一提示框告知用戶要打開的文件中是否有宏的存在。因此，在理論上來說，如果，病毒將不能改變它們。宏病毒完全可以繞過這一障礙，比如說在 便可以改變這一屬性。相對(duì)于設(shè)置只讀屬性來說，這一方法更加有效。 盡管我們?cè)谇懊娼榻B了種種反宏病毒的方法，但是對(duì)大多數(shù)人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。而且，在應(yīng)用系統(tǒng)頻頻升級(jí)的今天，升級(jí)后的版本對(duì)現(xiàn)有軟件是否兼容是難以預(yù)料的。對(duì)于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。 Inter衍生出一些新一代病毒，即 Java及 ActiveX病毒。網(wǎng)絡(luò)病毒一旦突破網(wǎng)絡(luò)安全系統(tǒng)，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染、再生，就會(huì)使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞。由于病毒在網(wǎng)絡(luò)中傳染速度非?？?，故其傳染范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有電纜，還能通過遠(yuǎn)程工作站將病毒在瞬間內(nèi)傳播到千里之外，且清除難度大。網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被消除，其潛在危險(xiǎn)仍然巨大。用戶在工作站上執(zhí)行內(nèi)存駐留文件帶毒，當(dāng)訪問服務(wù)器上的可執(zhí)行文件時(shí)進(jìn)行感染。 如果一個(gè)標(biāo)準(zhǔn)的 病毒感染會(huì)發(fā)生什么呢 在一個(gè)用戶登錄到網(wǎng)絡(luò)上之后，他就會(huì)啟動(dòng)病毒，并且感染在其工作站上使用的每一個(gè)程序。因此，每個(gè)工作站都可以有效地成為另一個(gè)工作站的客戶和服務(wù)器。 文件病毒可以通過 Inter毫無困難地發(fā)送。假如網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)被感染，引導(dǎo)記錄病毒就無法感染連接到服務(wù)器的客戶機(jī)。 專攻網(wǎng)絡(luò)的 GPI病毒 GPI病毒意指 Get Password I， 是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)一類病毒，是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破 Novell網(wǎng)絡(luò)系。 盡管當(dāng)前的文件服務(wù)器體系結(jié)構(gòu)容許客戶機(jī)從服務(wù)器存取文件，卻不容許客戶機(jī)在服務(wù)器上執(zhí)行直接的、扇區(qū)級(jí)操作。此時(shí) Inter是文件病毒的載體。 這些特點(diǎn)使得端到端網(wǎng)絡(luò)對(duì)基于文件的病毒的攻擊尤其敏感。文件服務(wù)器作為可執(zhí)行文件病毒的載體，病毒感染的程序可能駐留在網(wǎng)絡(luò)中，但是除非這些病毒經(jīng)過特別設(shè)計(jì)與網(wǎng)絡(luò)軟件集成在一起，否則他們只能從客戶的機(jī)器上被激活。然而，一般文件服務(wù)器中的許多文件并沒得到保護(hù)，而且，非常容易成為感染的有效目標(biāo)。 病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用的局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。因此，僅對(duì)工作站進(jìn)行殺毒處理并不能徹底解決問題。但病毒傳染方式比較復(fù)雜，傳播速度比較快。它不需要停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起，不被人們察覺。 Inter的飛速發(fā)展給反病毒工作帶來了新的挑戰(zhàn)。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會(huì)把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。兩類軟件各有自己的優(yōu)勢(shì)，一般說來，前者的適應(yīng)能力強(qiáng)于后者。而當(dāng)你需要改變 ，剛好又遇上宏病毒，它是不會(huì)報(bào)警的。 7. 在 Tools/Option下的 Save選項(xiàng)的 ReadOnly Remended的另一項(xiàng)是設(shè)置密碼保護(hù)： WriteReservation Password。很多業(yè)界專家和宏病毒的作者的看法完全相反。對(duì)一般用戶而言，這一選項(xiàng)的確很有用，它可以起到一定的預(yù)防作用。 這種方法禁止使用自動(dòng)宏的執(zhí)行，它比使用 Shift鍵更為有效，但還是只能用于限制使用自動(dòng)宏的宏病毒，而對(duì)那些不依賴于自動(dòng)宏來傳播的宏病毒是無效的。 4. 使用 DisableAutoMacros宏 這是一個(gè)“以宏治宏”的方法，通過DisableAutoMacros宏指令來禁止使用自動(dòng)宏。如果有宏存在的話，它們會(huì)被列在框內(nèi)。 要查看文檔中的宏而不激活它們，必須先退出，然后在沒有打開任何文件的情況下重新打開 Word。另外，這對(duì)使用其他宏來傳播的宏病毒是無效的。同樣，在退出時(shí)按下 Shift鍵， AutoClose宏也不會(huì)被執(zhí)行。 如果病毒的傳播沒有通過感染 或者病毒關(guān)閉了這一選項(xiàng)，用戶還是以為平安無事的話，后果不堪設(shè)想。用戶可以在 Tools/Option 下的 Save 選項(xiàng)中進(jìn)行設(shè)置。 有些宏病毒通過這些自動(dòng)宏控制文件操作。這一點(diǎn)在多種文本編輯器需要轉(zhuǎn)換文檔時(shí)便不能實(shí)現(xiàn)。同時(shí)高版本的 Word文檔在低版本的 Word下是打不開的，這就是為什么宏病毒在我國(guó)內(nèi)地發(fā)現(xiàn)較少的原因。如直接使用 DOS系統(tǒng)命令，調(diào)用 WindowsAPI， 調(diào)用 .DDE、 .DLL等。 這樣做，等于是為宏病毒大開方便之門，只要撰寫了有問題的宏，再去感染這個(gè)共用范本（ ），那么只要一執(zhí)行 Word， 這個(gè)受感染的共用范本即被載入，計(jì)算機(jī)病毒便隨之傳播到之后所編輯的文檔中去。可是事實(shí)上，很少人會(huì)對(duì)宏產(chǎn)生興趣，因?yàn)楹甑木帉懴喈?dāng)于學(xué)習(xí)一套程序語言，盡管它的語法被撰寫得很簡(jiǎn)單，可是大多數(shù)的人，一方面不知情不了解，一方面雖知如此，卻寧愿多花幾秒重復(fù)幾個(gè)動(dòng)作。正因?yàn)檫@種是宏亦是資料的文檔格式，便產(chǎn)生了宏感染的可能性?！?Word宏是使用 Word Basic語言來編寫的。伴隨型病毒使用許多策略，例如用同一個(gè)文件名，在同一個(gè)目錄下創(chuàng)建一個(gè) .COM文件代替已存在的 .EXE文件。這些病毒可能不故意地覆蓋跟在映射之后的重復(fù)數(shù)據(jù)或代碼，或者由于實(shí)際文件大小和程序內(nèi)存映射大小的差異不正確地計(jì)算出新的入口點(diǎn)，這就會(huì)導(dǎo)致程序完全崩潰或運(yùn)行錯(cuò)誤。 在 .EXE文件中，這個(gè)程序的更大的Windows組件跟在這個(gè)短小的 DOS內(nèi)存映射之后。如果用戶以后要執(zhí)行這個(gè)感染的程序，DOS就會(huì)拒絕執(zhí)行。文件感染病毒所做的這種無意的損害通常只會(huì)影響容易替換的程序文件，而不是寶貴的數(shù)據(jù)文件。當(dāng)一個(gè)被感染的程序啟動(dòng)時(shí)，病毒會(huì)把它自己安裝成操作系統(tǒng)中的內(nèi)存駐留服務(wù)提供者。許多病毒只感染 .COM文件或 .EXE文件，但是不會(huì)兩者都感染；如果一個(gè)直接操作， .COM感染病毒要感染 .EXE程序，則很可能使這個(gè)程序崩潰。如果病毒斷定計(jì)算機(jī)內(nèi)存中沒有它自己的拷貝，再把自己安裝為駐留的服務(wù)提供者。設(shè)備驅(qū)動(dòng)器感染病毒要完成以下動(dòng)作序列：選擇要修改的程序入口點(diǎn)；在宿主程序中記錄宿主程序原來的入口點(diǎn)，以后就可以執(zhí)行原來的 Strategy或Interrupt例程；把它自己的一份拷貝附加到宿主程序的最后；在 .SYS頭標(biāo)中改變這兩個(gè)入口點(diǎn)中的一個(gè)或兩個(gè)，使之指向病毒代碼。這種感染方法保證一旦可執(zhí)行文件映射裝入內(nèi)存并執(zhí)行，病毒就能得到控制。使用這種技術(shù)的病毒通常編寫得非常野蠻，它用病毒代碼直接覆蓋宿主程序的開始部分來感染 .COM程序。 病毒也可以通過修改可執(zhí)行文件映射的前部指令來感染 .COM文件。進(jìn)行這個(gè)動(dòng)作時(shí)，這個(gè)程序就完全控制了計(jì)算機(jī)，直到它最后終止時(shí)把控制返回給 DOS。運(yùn)行中，病毒首先取出系統(tǒng)的日期和時(shí)間進(jìn)行判斷，如果滿足條件則進(jìn)行破壞，病毒主要是破壞軟盤和硬盤的引導(dǎo)扇區(qū)。 火炬病毒的傳染過程是這樣的，用軟盤啟動(dòng)系統(tǒng)時(shí)，病毒把硬盤的主引導(dǎo)扇區(qū)讀入內(nèi)存，檢查主引導(dǎo)扇區(qū)的 1BCH處有無病毒標(biāo)記，如果有，則放棄傳染，若沒有，則將病毒標(biāo)記寫到 1BCH處，然后將分區(qū)信息寫到病毒尾部的 46B， 利用這保留的分區(qū)信息，病毒仍然能夠啟動(dòng)系統(tǒng)，但硬盤分區(qū)表的信息卻永久地丟失了。病毒首先使內(nèi)存總量減少 1KB， 并計(jì)算出系統(tǒng)內(nèi)存高端的段地址，然后把 INT 13H中斷入口設(shè)在病毒程序段偏移 0013H處。如果病毒盲目地把原來主引導(dǎo)記錄的一份拷貝保存到這里，它就可能會(huì)覆蓋磁盤驅(qū)動(dòng)器，在以后的引導(dǎo)中引起系統(tǒng)崩潰。對(duì)于大多數(shù)硬盤來說，磁盤分區(qū)軟件（ FDISK） 在硬盤主引導(dǎo)記錄之后會(huì)留下一個(gè)未用磁道的扇區(qū)。更改的主引導(dǎo)記錄通常包含帶毒的自舉例程以及原來的主引導(dǎo)記錄的分區(qū)表。然后驗(yàn)證主引導(dǎo)區(qū)在扇區(qū)的最后是否有正確的特征標(biāo)記，如果正確的話它就把控制轉(zhuǎn)給主引導(dǎo)記錄的自舉程序。 (2) 主引導(dǎo)記錄病毒 幾乎所有的軟引導(dǎo)記錄病毒都會(huì)感染硬盤的主引導(dǎo)記錄（ MBR） 或硬盤的活動(dòng)分區(qū)引導(dǎo)記錄。如果這個(gè)扇區(qū)正在使用，存儲(chǔ)在這個(gè)扇區(qū)的任何文件目錄條目都會(huì)被破壞。大多數(shù)時(shí)候病毒會(huì)把目標(biāo)軟引導(dǎo)記錄裝入內(nèi)存并與它自己比較，如果病毒確定目標(biāo)軟盤沒有被感染過，就會(huì)進(jìn)行感染，并把原來的軟引導(dǎo)記錄保存到軟盤中的另外一個(gè)扇區(qū)。 其次，病毒可以在 BIOS磁盤服務(wù)提供者為正常的磁盤請(qǐng)求提供服務(wù)后立即暗中感染軟盤的引導(dǎo)記錄，感染過程很快。如果病毒不能執(zhí)行，它就不會(huì)感染硬盤或安裝自己作為駐留的服務(wù)提供者。這非常重要，因?yàn)槿绻浺龑?dǎo)記錄病毒把自己安裝到內(nèi)存中，感染了硬盤，并且導(dǎo)致軟盤啟動(dòng)失敗，它很快就會(huì)被發(fā)現(xiàn)并清除。 當(dāng)病毒完成破壞之后，再把請(qǐng)求重定向給原來的ROM BIOS服務(wù)，以完成正確的服務(wù)。當(dāng)操作需要請(qǐng)求一個(gè)服務(wù)時(shí)，它就會(huì)在中斷向量表 INT中查找服務(wù)提供者的地址，然后確定把它的請(qǐng)求發(fā)送到哪里。然后病毒就可以使用這塊內(nèi)存，而不用擔(dān)心被破壞。 使用這個(gè)域確定有多少內(nèi)存可以安全地分配給自己和 DOS 應(yīng)用程序。 在控制傳送給自舉例程之前， BIOS引導(dǎo)程序會(huì)使有關(guān)配置的信息和計(jì)算機(jī)的初始狀態(tài)更新 BDA。在引導(dǎo)期間， BIOS把對(duì)計(jì)算機(jī)的控制完全給予病毒程序而不是正