【正文】 動盤。 ② 然后分別執(zhí)行 fixmbr（恢復(fù)主引導(dǎo)記錄）和 fixboot（恢復(fù)啟動盤上的引導(dǎo)區(qū)），再輸入 EXIT［回車］，重新啟動即可。 我們把所有通過 操作系統(tǒng) 的 文件系統(tǒng)進(jìn)行感染的病毒都稱作文件 病毒，所以這是一類數(shù)目非常巨大的病毒。 找到計(jì)算機(jī)病毒程序的首部位置（對應(yīng)于在文件尾部駐留方式），或者 尾部位置（對應(yīng)于在文件首部駐留方式）。 超出部分就是病毒代碼。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見?？梢?，病毒主要是感染文件，當(dāng)然也還有像 DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。 作者簽名： 日 期： 32 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。 首先非常感謝學(xué)校開設(shè)這個(gè)課題，為本人日后從事計(jì)算機(jī)方面的工作提供了經(jīng)驗(yàn)，奠定了基礎(chǔ)。從他身上，我學(xué)到了許多能受益終生的東西。感謝老師四年來對我孜孜不倦的教誨，對我成長的關(guān)心和愛護(hù)。從這里走出，對我的人生來說，將是踏上一個(gè)新的征程，要把所學(xué)的知識應(yīng)用到實(shí)際工作中去。 首先，我要特別感謝我的知道郭謙功老師對我的悉心指導(dǎo)，在我的論文書寫及設(shè)計(jì)過程中給了我大量的幫助和指導(dǎo)，為我理清了設(shè)計(jì)思路和操作方法，并對我所做的課題提出了有效的改進(jìn)方案。 涉密論文按學(xué)校規(guī)定處理。對本研究提供過幫助和做出過貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說明并表示了謝意。與傳統(tǒng)的病毒不同，蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對象！本文中將蠕蟲病毒分為針對企 業(yè)網(wǎng)絡(luò)和個(gè)人用戶 2類，并從企業(yè)用戶和個(gè)人用戶兩個(gè)方面探討蠕蟲病毒的特征和一些防范措施 ! 蠕蟲也是一種病毒，因此具有病毒的共同特征。 第六步 在染毒 BAI 文件的病毒代碼中找到正常的初始 SS:SP / CS:IP 值后，算處它們相對染毒文件末尾的偏移值。如果長度一致說明 還是無毒文件，必須重新實(shí)驗(yàn)，直到長度改變。從某種意義上，宏病毒 — 隱藏在字處理文檔或者電子數(shù)據(jù)表中的病毒也是一種文件型病毒。 文件型病毒分兩類：一種是將病毒加在 COM 前部 ,一種是加在文件尾部。當(dāng)出現(xiàn)安裝界面的時(shí)候按 R選擇 “ 要用 ‘ 恢復(fù)控制臺 ’ 修復(fù) ” 。 如果病毒確實(shí)是在硬盤的引導(dǎo)區(qū)上，也不用怕，這類病毒的清除方法很簡單，針對不同的 操作系統(tǒng) 有不同的清除方法，一般可以不依靠殺毒軟件。 ： 用原來正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。 使用專用工具治療被感染的程序時(shí)通常使用的治療方法。啟動必須是上電啟動而不能是按鍵盤上的 Alt+Ctrl+Del 三個(gè)鍵。因此對計(jì)算機(jī)病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。 7)使部分可軟件升級主板的 BIOS 程序混亂，主板被破壞。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在有該計(jì)算機(jī)病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應(yīng)用程序需要訪問該目錄的時(shí)候提供正確的目錄項(xiàng)，使得從表面上看來與正常情況沒有兩樣。 再次， 計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象 通常情況下，計(jì)算機(jī)病毒發(fā)作都會給計(jì)算機(jī)系統(tǒng)帶來破壞性的后果，那種只是惡作劇式的 “ 良性 ” 計(jì)算機(jī)病毒只是計(jì)算機(jī)病毒家族中的很小一部分。 6)Windows 桌面圖標(biāo)發(fā)生變化 這一般也是惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)的 表現(xiàn)現(xiàn)象。 4)硬盤燈不斷閃爍 硬盤燈閃爍說明有硬盤讀寫操作。計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)大都各不相同，可以說一百個(gè)計(jì)算機(jī)病毒發(fā)作有一百種花樣。 14)自動鏈接到一些陌生的網(wǎng)站 沒有在上網(wǎng)，計(jì)算機(jī)會自動撥號并連接到因特網(wǎng)上一個(gè)陌生的站點(diǎn)，或者在上網(wǎng)的時(shí)候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。 12)基本內(nèi)存發(fā)生變化 在 DOS 下用 mem /c/p 命令查看系統(tǒng)中內(nèi)存使用狀況的時(shí)候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的 640Kb 要小，一般少 1Kb～ 2Kb。 9)運(yùn)行 Word，打開 Word 文檔后，該文件另存時(shí)只能以模板方式保存無法另存為一個(gè)DOC 文檔，只能保 存成模板文檔（ DOT）。這很可能是計(jì)算機(jī)病毒自動查找軟盤是否在軟驅(qū)中的時(shí)候引起的系統(tǒng)異常。這很可能是計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源，并且自身的運(yùn)行占用了大量的處理器時(shí)間，造成系統(tǒng)資源不 足，運(yùn)行變慢。比如，電腦動作比平常遲鈍，正常使用計(jì)算機(jī)的時(shí)候突然出現(xiàn)黑屏、運(yùn)行一個(gè)小程序的時(shí)候出現(xiàn)硬盤連續(xù)長時(shí)間讀取、內(nèi)存或者磁盤的空間突然減小、運(yùn)行程序時(shí)候死機(jī)等異常癥狀，這時(shí)我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對整個(gè)硬盤進(jìn)行徹底的檢查。我們可以運(yùn)行 Win9x/WinME 中的 程序來一項(xiàng)一項(xiàng)查看。 有了病毒的一些基本知識后現(xiàn)在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我可以按以下幾個(gè)方法來判斷。 ③ 將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開始運(yùn)行時(shí)，自動比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)，根據(jù)數(shù)據(jù)庫中的病毒特征代碼。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下： 特征代碼法被早期應(yīng)用于 SCAN,CPAV 等著名病毒檢測工具中，目前被認(rèn) 為是用來檢測己知病毒的最簡單、開銷最小的方法。 c、系統(tǒng)修改型 這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。 U盤 U盤作為當(dāng)前人們最方便、最常用的存儲介質(zhì)和文件拷貝、攜帶工具， 同時(shí) 病毒的傳播中發(fā)揮了重要的作用。要避免被網(wǎng)頁惡意代碼感染，首先關(guān)鍵是不要輕易去訪問一些并不信任的站點(diǎn)，尤其是一些 帶有美女圖片等的網(wǎng)址。安裝木馬查殺軟件并及時(shí)更新。即感染病毒的文件從一臺計(jì)算機(jī)復(fù)制、遷移到另一臺計(jì)算機(jī)。 9 ⑦ 腳本病毒工作方式 腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。因此用 Java 編寫的應(yīng)用程序的移植性非常強(qiáng)，包括現(xiàn)在的手機(jī)中的一些程序也是用 Java 編寫的。當(dāng)被感染文件執(zhí)行時(shí)，會感染硬 8 盤的主引導(dǎo)記錄。 變型病毒（又稱幽靈病毒） 這 一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。例如：在早期的病毒中，有一個(gè) “Denz uk”病毒在 360K 磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟 盤上能引發(fā)大量的數(shù)據(jù)丟失。 根據(jù)病毒傳染的方法可分為 駐留型病毒 和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（ RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去 ,他處于激活狀態(tài) ,一直到關(guān)機(jī)或重新啟動 .非駐留型病毒在得到機(jī)會激活時(shí)并不感染計(jì)算機(jī)內(nèi)存 ,一些病毒在內(nèi)存中留有小部分 ,但是并不通過這一部分進(jìn)行傳染 ,這類病毒也被劃分為非駐留型病毒。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動作的頻率的。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會愈長，病毒的傳染范圍就會愈大。在 Excel 和 AmiPro 出現(xiàn)的相同工作機(jī)制的病毒也歸為此類。 3 幽靈、多形階段 ： 1994 年 ,隨著匯編語言的發(fā)展 ,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成 ,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。引導(dǎo)型病毒利用軟盤得啟動原理工作 ,它們修改系統(tǒng)啟動扇區(qū) ,在計(jì)算機(jī)啟動時(shí)首先取得控制權(quán) ,減少系統(tǒng)內(nèi)存 ,修改磁盤讀寫中斷 ,影響系統(tǒng)工作效率 ,在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播。 （一）計(jì)算機(jī)病毒的定義 一般來講，凡是能夠引起計(jì)算機(jī)故障，能夠破壞計(jì)算機(jī)中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。這種復(fù)雜的感情實(shí)際上很容易理解，就像古人面對大自然的感情一樣，因?yàn)闊o法解釋風(fēng)雨雷電，也就只能制造神話，崇拜圖騰了。反病毒軟件、防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離、數(shù)據(jù)恢復(fù)技術(shù) ?? 這一根根救命稻草，使很多企業(yè)和個(gè)人用戶免遭侵害，在很大程度上緩解了計(jì)算機(jī)病毒造成的巨大破壞，同時(shí)，越來越多的企業(yè)加入到信息安全領(lǐng)域，同層出不窮的黑客和病毒制造者做著頑強(qiáng)的斗爭。計(jì)算機(jī)病毒的危害及造成的損失是眾所周知的，發(fā)明計(jì)算機(jī)病毒的人同樣也受到社會和公眾輿論的譴責(zé)。 1990 年 ,發(fā)展為復(fù)合型病毒 ,可感染 COM 和 EXE 文件。當(dāng)生成的是病毒時(shí) ,這種復(fù)雜的稱之為病毒生成器和變體機(jī)就產(chǎn)生了。 4 傳染性： 傳染性是病毒的基本特征。通常表現(xiàn)為：增、刪、改、移。 除了上述五點(diǎn)外，計(jì)算機(jī)病毒還具有不可預(yù)見性、衍生性、針對性、欺騙性、持久性等特點(diǎn)。 危險(xiǎn)型： 這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯誤。 6 “ 蠕蟲 ” 型病毒 ，通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的 內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（ COM、 EXE）。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入 MBR 中，然后清除硬盤中的文件 ④宏病毒的工作方式 宏病毒是利用宏語句編寫的。 Java Applet 可供 Web 開發(fā)人員建立含有功能更豐富的交互式動態(tài) Web 網(wǎng)頁。有些腳本語言，例如 VBScript（ Visual Basic Script）以及 JavaScript 病毒，必須通過Microsoft 的 Windows Scripting Host（ WSH）才能夠激活執(zhí)行以及感染其他文件 ⑧ PE 病毒工作方式 PE病毒，是指感染 Windows PE 格式文件的病毒。 (3)感染。 （ Inter Information Server）服務(wù)為 Web 服務(wù)器提供了強(qiáng)大的 Inter 和Intra 服務(wù)功能。我們應(yīng)盡量避免從 Inter 下載不知名的軟件、游戲程序，即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的木馬查殺程序?qū)浖拖到y(tǒng)進(jìn)行掃描，這樣才能減少誤中病毒的機(jī)會。 通過 Inter 傳播病毒的方 式很多，包括 FTP 文件下載、訪問惡意 WWW 網(wǎng)站、 P2P 文件下載、即時(shí)通訊等等。 知道了計(jì)算機(jī)病毒的特性、分類和傳播途徑，找到了病根，只要對癥下藥就 OK了！ 12 二、計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù) 計(jì)算機(jī)病毒的存在和傳播對用戶造成了很大的危害，為了減少信息資料的丟失和破壞，這就需要在日常使用計(jì)算機(jī)時(shí)，養(yǎng)成良好的習(xí)慣，預(yù)防計(jì)算機(jī)病毒。如果病毒既感染 文件，又感染 EXE 文件，那么要對這種病毒要同時(shí)采集 COM 型病毒樣本和 EXE 型病毒樣本。這樣防毒軟件在安裝的時(shí)候會自動將硬盤中的所有檔案資料做一次匯總并加以記錄 ，將正常文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在正常程序中，這些行為比較罕見。但目前比較有名的還是那么幾個(gè)系統(tǒng)的反病毒軟件，如金山毒霸、 KV300、 KILL、 PCcillin、 VRV、瑞星、諾頓等。 e、硬盤空間觀察法 有些病毒不會破壞你的系統(tǒng)文件，而僅是生成一個(gè)隱藏的文件，這個(gè)文件一般內(nèi)容很少，但所占硬盤空間很大，有時(shí)大得讓你的硬盤無法運(yùn)行一般的程序，但是你查又看不到它，這時(shí)我們就要打開資源管理器，然后把所查看的內(nèi)容屬性設(shè)置成可查看所有屬性的文件（這方法應(yīng)不需要我來說吧？），相信這個(gè)龐然大 物一定會到時(shí)顯形的，因?yàn)椴《疽话惆阉O(shè)置成隱藏屬性的。在這個(gè)階段，計(jì)算機(jī)病毒的行為主要是以 16 潛伏、傳播為主。需要注意的是在 Windows 95/98 下，記事本程序所能夠編輯的文本文件不超過 64Kb 字節(jié)，如果用 “ 復(fù)制／粘貼 ” 操作粘貼一段很大的文字到記事本程序時(shí)，也會報(bào) “ 內(nèi)存不足，不能完成操作 ” 的錯誤，但這不是計(jì)算機(jī)病毒在作怪。這可能是由于計(jì)算機(jī)病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能，或者計(jì)算機(jī)病毒程序本身存在著兼容性方面的問題造成的。這可能是計(jì)算機(jī)病毒感染造成的。當(dāng)然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。當(dāng)然，這種情況也可以認(rèn)為是非法的。 2)發(fā)出一段的音樂 惡作劇式的計(jì)算機(jī)病毒，最著名的是外國的 “ 楊基 ” 計(jì)算機(jī)病毒（ Yangkee）和中國的 “ 瀏陽河 ” 計(jì)算機(jī)病毒。有的計(jì)算機(jī)病毒會在發(fā)作的時(shí)候?qū)τ脖P進(jìn)行格式化，或者寫入許多垃圾文件， 或反復(fù)讀取某個(gè)文件，致使硬盤上的數(shù)據(jù)遭到損失。 8)自動發(fā)送電子函件 大多數(shù)電子函件計(jì)算機(jī)病毒都采用自動發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計(jì)算機(jī)病毒在某 一特定時(shí)刻向同一個(gè)郵件服務(wù)器發(fā)送大量無用的信件，以達(dá)到阻塞該郵件服務(wù)器的正常服務(wù)功能。有些計(jì)算機(jī)病毒修改了硬盤的關(guān)鍵內(nèi)容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。 4)部分文檔丟失或被破壞 類似系統(tǒng)文件的 丟失或被破壞，有些計(jì)算機(jī)病毒在發(fā)作時(shí)會刪除或破壞硬盤上的文 21 檔，造成數(shù)據(jù)丟失。 由上所述，我們可以了解到防殺計(jì)算機(jī)病毒軟件必須要實(shí)時(shí)化，在計(jì)算機(jī)病毒進(jìn)入系統(tǒng)時(shí)要立即報(bào)警并清除，這樣才能確保系 統(tǒng)安全，待計(jì)算機(jī)病