【正文】 正常程序不易區(qū)別開(kāi)。 (2) 利用病毒體自帶的計(jì)數(shù)器作為觸發(fā)器。 新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)的不斷發(fā)展，也為計(jì)算機(jī)病毒提供了新的發(fā)展空間，對(duì)未來(lái)病毒的預(yù)測(cè)更加困難，這就要求人們不斷提高對(duì)病毒的認(rèn)識(shí)，增強(qiáng)防范意識(shí)。 2. 攻擊文件。病毒激活時(shí)，系統(tǒng)時(shí)間延遲程序啟動(dòng)，在時(shí)鐘中納入循環(huán)計(jì)數(shù)，迫使計(jì)算機(jī)空轉(zhuǎn)，運(yùn)行速度明顯下降。新發(fā)現(xiàn)的 CIH病毒破壞計(jì)算機(jī)硬件，亂寫(xiě)某些主板BIOS芯片，損壞硬盤(pán)。 從第一個(gè)病毒出世以來(lái)，究竟世界上有多少種病毒說(shuō)法不一。在用戶調(diào)用染毒的執(zhí)行文件時(shí)，病毒首先運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。 入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。 4. 宏病毒是近幾年才出現(xiàn)的，按方式分類屬于文件型病毒。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。系統(tǒng)初始化程序完成確定內(nèi)存容量，定位 DOS核心模塊的初始化程序，解釋，加載可安裝的設(shè)備驅(qū)動(dòng)程序以及命令處理程序等。核心模塊的文件名為 。 (1) 硬件自檢 自檢程序包含對(duì)系統(tǒng)硬件進(jìn)行測(cè)試的13個(gè)項(xiàng)目：處理器內(nèi)部寄存器測(cè)試、 ROMBIOS芯片字節(jié)的檢查、 DMA控制器測(cè)試、 基本RAM存儲(chǔ)器測(cè)試、 CRT視頻接口測(cè)試、 中斷控制器測(cè)試、定時(shí)器測(cè)試、鍵盤(pán)測(cè)試、擴(kuò)展 I/O測(cè)試、附加 RAM 存儲(chǔ)器測(cè)試、早期 ROMBASIC和其他程序測(cè)試、軟盤(pán)設(shè)備測(cè)試和設(shè)置打印機(jī)和串行口基本地址。 DOS 引導(dǎo)記錄是當(dāng)格式化磁盤(pán)時(shí)記錄在軟盤(pán)的 0面 0道 1扇區(qū)上的。它首先在內(nèi)存50： 70處建立磁盤(pán)基數(shù)表，表長(zhǎng) 11個(gè)字節(jié)，該表反映磁盤(pán)驅(qū)動(dòng)器的工作參數(shù)。 ② 當(dāng)可安裝的設(shè)備驅(qū)動(dòng)程序依次加載時(shí)，調(diào)用相應(yīng)的初始化功能。 DOS引導(dǎo)記錄由以下 3部分組成： (1) 軟（硬）盤(pán) I/O參數(shù)表。 (1) 文件目錄表 DOS在固定的扇區(qū)位置設(shè)置 FDT，該表具體描述文件名、子目錄名和卷標(biāo)以及有關(guān)信息。利用 序解釋用戶輸入的命令并執(zhí)行之，三種用戶命令：內(nèi)部命令、外部命令和批處理文件。 ⑤ 當(dāng)搜索到一個(gè) .COM或 .EXE文件時(shí)，COMMAND便調(diào)用 EXEC子功能加載該文件并予以執(zhí)行。文件頭的大小依程序加載的段的指令條數(shù)而變化，通常是 512字節(jié)的整倍數(shù)。 ⑤ 該程序中的子程序必須具有近過(guò)程屬性 (NEAR)。 DOS的中斷可分為 3種類型：來(lái)自外部硬件的外中斷、來(lái)自內(nèi)部硬件的內(nèi)中斷和來(lái)自中斷指令的軟中斷 。中斷向量共有 256個(gè)。病毒常利用的功能是與此相關(guān)的幾個(gè)參數(shù)： AH： 功能號(hào)， AH=02時(shí)讀磁盤(pán)； AH=03時(shí)寫(xiě)磁盤(pán)； AH： 讀 /寫(xiě)扇區(qū)數(shù)（軟盤(pán) =8，硬盤(pán) =128）； DH： 磁頭號(hào)（軟盤(pán) 0~1，硬盤(pán) 0~7）； DL： 驅(qū)動(dòng)器號(hào)（軟盤(pán) 0~1，硬盤(pán) 80~81H）； CH： 扇區(qū)號(hào)；（軟盤(pán) 1~9，硬盤(pán) 1~17）； ES： BX： 讀 /寫(xiě)緩沖區(qū)地址。 每中斷一次，日歷計(jì)數(shù)低位加 1。 ⑥ INT 20H程序正常結(jié)束中斷是 DOS軟中斷，其向量地址為 0000： 0080~0000： 0083。就像駐留程序一樣，大多數(shù)引導(dǎo)記錄病毒在內(nèi)存中要安裝自己，并且把自己掛到計(jì)算機(jī)的 BIOS和操作系統(tǒng)提供的各種系統(tǒng)服務(wù)中。如果 BIOS在驅(qū)動(dòng)器中找到軟盤(pán)，它就認(rèn)定用戶想要從這個(gè)盤(pán)引導(dǎo)。DOS 依賴于存儲(chǔ)在 BDA內(nèi)存中的信息正確地使用計(jì)算機(jī)的內(nèi)存和外設(shè)。在病毒通過(guò)更新 BDA為它自己保留了內(nèi)存之后，它把自己移到新保存的內(nèi)存中，并且試圖掛到直接磁盤(pán)系統(tǒng)服務(wù)中。 當(dāng)病毒更新 INT并把自己作為磁盤(pán)服務(wù)提供者之后，大多數(shù)軟引導(dǎo)記錄病毒要確定計(jì)算機(jī)上是否帶有硬盤(pán)，如果帶有硬盤(pán)，病毒就會(huì)試圖感染硬盤(pán)的主引導(dǎo)記錄或活動(dòng)分區(qū)引導(dǎo)記錄。如果計(jì)算機(jī)已經(jīng)被感染而且病毒已經(jīng)作為駐留的服務(wù)提供者安裝，在病毒駐留時(shí)訪問(wèn)的軟盤(pán)可能會(huì)被傳染。這樣如果用戶要從這個(gè)磁盤(pán)引導(dǎo)，病毒就可以正確地啟動(dòng)駐留在這個(gè)磁盤(pán)上的操作系統(tǒng)。 分區(qū)引導(dǎo)記錄病毒是另一種形式的軟引導(dǎo)記錄病毒，它駐留在邏輯硬盤(pán)分區(qū)的引導(dǎo)記錄中。一般的主引導(dǎo)記錄病毒也需要把原來(lái)主引導(dǎo)扇區(qū)的一份拷貝保存到硬盤(pán)的某個(gè)地方。 (3) 火炬病毒 火炬病毒是一種典型的系統(tǒng)引導(dǎo)病毒，它對(duì)硬盤(pán)和軟盤(pán)的引導(dǎo)扇區(qū)進(jìn)行傳染，進(jìn)而占用整個(gè)扇區(qū)。病毒程序駐留內(nèi)存并成功地啟動(dòng) DOS后，將修改中斷向量 INT 13H， 此時(shí)所有的讀寫(xiě)操作都首先到病毒的傳播部分。 病毒常用的一種方法是把它自己附加到被感染程序的最后，只修改可執(zhí)行文件映射前面的幾條指令。所有方法都在 .COM文件的入口點(diǎn)修改指令，以保證被感染的程序一經(jīng)裝入就會(huì)使病毒獲得對(duì)計(jì)算機(jī)的控制。 (4) 直接操作和內(nèi)存駐留文件感染病毒 文件感染病毒分為直接操作和內(nèi)存駐留文件感染病毒兩種。直接操作病毒執(zhí)行后會(huì)有效地把自己從內(nèi)存中清除。對(duì)程序文件損害最一般的形式可能是由于不正確的感染技術(shù)。因此，即使 Windows組件有 5KB大小，如果用戶從 DOS下運(yùn)行這個(gè)程序，只有 2048字節(jié)的可執(zhí)行部分不會(huì)被讀入內(nèi)存并執(zhí)行。 宏病毒 所謂宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來(lái)的一種工具。 因?yàn)?，文檔資料的攜帶性極高，如果宏亦隨著文檔而被分派到不同的工作平臺(tái)，只要能被執(zhí)行，它也就類似于計(jì)算機(jī)病毒的傳染過(guò)程。當(dāng)然這只是宏病毒傳播的一個(gè)基本途徑，一些更厲害的宏病毒還有其他的途徑傳播?！芭_(tái)灣 1號(hào)”是在我國(guó)臺(tái)灣中文 Word下做的，其模板與大陸中文 Word兼容，因此在我國(guó)傳播很快。 (4) 宏病毒中總是含有對(duì)文檔讀寫(xiě)操作的宏命令。通過(guò) Word 設(shè)置的選項(xiàng)是很容易被關(guān)閉的，很多病毒已經(jīng)具備了這樣的功能設(shè)置。 3. 查看宏代碼并刪除 宏和文本是相隔開(kāi)的，正常情況下你是不可能看見(jiàn)宏代碼的。 如果宏使用了 Executeonly屬性，你只能看到宏的名稱而不能看到其他代碼。 5. 使用 Office 97的報(bào)警設(shè)置 在 Microsoft隨后推出的 Word Word 97版本中，在 Tools/Option... General中增加了十種新的宏病毒的檢測(cè)方法。他們認(rèn)為宏病毒感染文件并不需要感染 ， 如果同時(shí)打開(kāi)幾份文檔，而其中之一有宏病毒，那么宏病毒便可以感染其他的文檔，盡管這樣的傳播途徑?jīng)]有直接感染 。同時(shí)，如果宏病毒不通過(guò)感染 ，它是無(wú)法知道的。病毒的迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。更厲害的是它們可以跨操作平臺(tái)，一旦遭受感染，便毀壞所有操作系統(tǒng)。網(wǎng)絡(luò)上的病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年工作毀于一旦。除此之外，管理員可能會(huì)感染服務(wù)器上的一些或所有文件。如果一臺(tái)已感染病毒的計(jì)算機(jī)可以執(zhí)行另一臺(tái)計(jì)算機(jī)中的文件，那么這臺(tái)感染病毒計(jì)算機(jī)中的活動(dòng)的、內(nèi)存駐留病毒能夠立即感染另一臺(tái)計(jì)算機(jī)硬盤(pán)上的可執(zhí)行文件。其結(jié)果是，引導(dǎo)病毒不能利用端到端網(wǎng)絡(luò)傳播，連接到 Inter上的一臺(tái)計(jì)算機(jī)不能對(duì)另一臺(tái)連接到 Inter的計(jì)算機(jī)進(jìn)行扇區(qū)級(jí)操作，結(jié)果引導(dǎo)病毒就無(wú)法通過(guò) Inter傳播。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)實(shí)際上是從一塊感染的軟盤(pán)上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。 使用網(wǎng)絡(luò)的另一種方式是對(duì)等網(wǎng)絡(luò)，在端到端網(wǎng)絡(luò)上，用戶可以讀出和寫(xiě)入每個(gè)連接的工作站上本地硬盤(pán)中的文件。用戶在工作站上執(zhí)行一個(gè)帶毒操作文件，這種病毒就會(huì)感染網(wǎng)絡(luò)上其他可執(zhí)行文件。 在網(wǎng)絡(luò)中病毒則可以通過(guò)網(wǎng)絡(luò)通信機(jī)制，借助高速電纜進(jìn)行迅速擴(kuò)散。Inter上有眾多的軟件供下載，有大量的數(shù)據(jù)交換，這給病毒的大范圍傳播提供了可能。因?yàn)榛?Word或者 Excel的反病毒軟件只能適應(yīng)于特定版本的 Office應(yīng)用系統(tǒng)，換了另一種語(yǔ)言的版本可能就無(wú)能為力了。 如果選擇了這一項(xiàng)，在每次打開(kāi) Word時(shí)，將會(huì)要求用戶輸入密碼，否則作為只讀來(lái)打開(kāi)文檔。 6. 設(shè)置 一般的 DOS系統(tǒng)調(diào)用在文件設(shè)置了只讀屬性時(shí)拒絕寫(xiě)入或更改操作。如果啟用了這一功能，在 Word使用過(guò)程中不會(huì)自動(dòng)執(zhí)行任何自動(dòng)宏。 如果你懷疑 Startup目錄下其他模板可能被感染，你需要重新命名在 Startup目錄中的所有文件，使它們不是 doc或者 dot格式，這樣 Word便可以在一種新的環(huán)境下啟動(dòng)。 這樣做的確可以有效地防止使用自動(dòng)宏來(lái)傳播的宏病毒加入系統(tǒng)。這也是在 Concept 出現(xiàn)后 Microsoft 所建議的方法之一。 (2) 宏病毒的傳染通常是 Word在打開(kāi)一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。這些操作均可能對(duì)系統(tǒng)造成直接威脅，而Word在指令安全性、完整性上檢測(cè)能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。 因此， Word便為大眾事先定義一個(gè)共用的范本文檔（ ）， 里面包含了基本的宏。 宏病毒的行為和特征 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫(xiě)成的具有復(fù)制、傳染能力的宏。 3. 伴隨型病毒 伴隨型病毒也感染程序文件。 Windows可執(zhí)行文件也使用這一機(jī)制把 DOS 程序與 Windows 程序結(jié)合起來(lái)。從這時(shí)開(kāi)始，任何時(shí)候當(dāng) DOS或其他程序要讀寫(xiě)執(zhí)行或訪問(wèn)一個(gè)程序時(shí)，病毒就會(huì)控制計(jì)算機(jī)。 直接操作病毒使用與包含特定文本串的文件查找程序定位相同的方式，利用這些服務(wù)定位感染新文件。 (3) .SYS文件的感染： .SYS文件格式很獨(dú)特，它有兩個(gè)入口點(diǎn)： Interrupt和 Strategy。病毒可以把自己插入 .COM文件的前部，把原來(lái)的程序移到病毒代碼的后面。 2. 文件病毒 文件病毒使用可執(zhí)行文件作為傳播的媒介，使用 DOS的 .COM、 .EXE和 .SYS文件中的一種或多種作為攻擊目標(biāo)。接著將全部病毒程序移到內(nèi)存的高端，完成病毒的安裝。 病毒選擇其中的一個(gè)扇區(qū)存放原來(lái)的主引導(dǎo)記錄，因?yàn)檫@些扇區(qū)在大多數(shù)系統(tǒng)中是不使用的。在一個(gè)已感染的主引導(dǎo)記錄中，病毒感染的自舉例程會(huì)代替原來(lái)的自舉例程。其他引導(dǎo)病毒把原來(lái)軟引導(dǎo)記錄的一份拷貝存儲(chǔ)在軟盤(pán)的最后。因?yàn)橛脩糇羁赡苷?qǐng)求磁盤(pán)活動(dòng)，出現(xiàn)磁盤(pán)旋轉(zhuǎn)就有了合理解釋。 大多數(shù)軟引導(dǎo)記錄病毒一有機(jī)會(huì)就要感染磁盤(pán)。病毒通知操作系統(tǒng)它現(xiàn)在是 ROM BIOS磁盤(pán)服務(wù)提供者的代理。 軟引導(dǎo)記錄病毒通過(guò)減少這個(gè)域中的數(shù)值為它自己在內(nèi)存中的例程和數(shù)據(jù)保留空間。當(dāng)控制傳給病毒之后，它就會(huì)得到對(duì)計(jì)算機(jī)上所有資源獨(dú)有的訪問(wèn)權(quán)；如果在軟盤(pán)上有操作系統(tǒng)的話，就不會(huì)被裝入，也不會(huì)防止病毒的行為。軟盤(pán)作為病毒的載體，使病毒能夠從一個(gè)硬盤(pán)傳播到另一個(gè)硬盤(pán)。 計(jì)算機(jī)病毒充分利用了中斷程序的強(qiáng)大功能調(diào)用，以達(dá)到其各種目的，所以對(duì)中斷知識(shí)的了解和熟練掌握是分析判斷病毒存在與否的重要途徑。 該中斷提供有關(guān)屏幕顯示方式選擇、光標(biāo)控制、圖形滾動(dòng)和設(shè)置字符屬性等 20個(gè)子程序。利用 INT 1CH這個(gè)特性，可以修改其中斷向量指向用戶進(jìn)程而使用戶進(jìn)程每 55ms被調(diào)用一次。 ① INT 13H是 ROMBIOS軟中斷。 在 PC機(jī)中，最多允許有 256級(jí)中斷，由于中斷調(diào)用通常都是段間的調(diào)用，因此一個(gè)中斷向量包括 4個(gè)字節(jié)(段地址：偏移量 )。 6. DOS的中斷系統(tǒng) 盡管病毒種類繁多、形式各異，但是它們大多數(shù)都是通過(guò)修改中斷向量來(lái)達(dá)到繁殖和傳染目的的。 ② 該程序的長(zhǎng)度小于 64KB。 (2) EXE文件的加載 由 LINK連接程序生成的 .EXE型文件是以特殊結(jié)構(gòu)存貯在磁盤(pán)上。如果是在當(dāng)前目錄下則不要搜索目錄，直接判斷是 .COM還是 .EXE命令。文件分配表在文件的存取過(guò)程中起著關(guān)鍵作用。 (3) 引導(dǎo)記錄塊。 (6) COMMAND初始化程序 該程序完成以下工作： ① 對(duì)常駐的中斷 22H、 23H、 24H和 27H的例程重新設(shè)置向量入口供 DOS系統(tǒng)使用。 (4) DOS內(nèi)核初始化程序 DOS 初始化程序由SYSINIT程序調(diào)用，它包括以下初始化任務(wù)： ① 在初始化 DOS內(nèi)核模塊用的內(nèi)部表和工作區(qū)之后，對(duì) DOS 中斷使用的 8個(gè)向量入口進(jìn)行設(shè)置。 對(duì)于硬盤(pán)，引導(dǎo)記錄是放在 DOS分區(qū)的首部。 (2) 自舉程序 負(fù)責(zé)裝入 DOS引導(dǎo)記錄并執(zhí)行。 2. DOS啟動(dòng)過(guò)程 PC X86系列計(jì)算機(jī)設(shè)計(jì)時(shí)，都使 0FFFF0H處于ROM區(qū)中并將該地址設(shè)計(jì)為一條跳轉(zhuǎn)指令，將控制權(quán)轉(zhuǎn)交自檢程序和 ROM引導(dǎo)裝入程序。內(nèi)核初始化程序完成 DOS內(nèi)部初始化工作，負(fù)責(zé)設(shè)置 DOS中斷向量入口，檢查常駐的設(shè)備驅(qū)動(dòng)鏈。 (1) 引導(dǎo)記錄模塊 當(dāng) FORMAT格式化磁盤(pán)時(shí)，它作為一個(gè)記錄寫(xiě)在軟盤(pán)的 0面 0道 1扇區(qū)，或硬盤(pán)上 DOS 分區(qū)的第一個(gè)扇區(qū)。 1. 引導(dǎo)部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。 2. 按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒。病毒種類眾多，分類如下： 1. 按傳染方式分為引導(dǎo)型、文件型和混合型病毒。 計(jì)算機(jī)病毒的命名與分類 對(duì)計(jì)算機(jī)病毒命名，各個(gè)組織或公司不盡相同。病毒擾亂顯示的方式很多，如字符跌落、