【正文】 正常程序不易區(qū)別開。 (2) 利用病毒體自帶的計數(shù)器作為觸發(fā)器。 新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)的不斷發(fā)展，也為計算機病毒提供了新的發(fā)展空間，對未來病毒的預(yù)測更加困難，這就要求人們不斷提高對病毒的認識，增強防范意識。 2. 攻擊文件。病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，運行速度明顯下降。新發(fā)現(xiàn)的 CIH病毒破壞計算機硬件，亂寫某些主板BIOS芯片，損壞硬盤。 從第一個病毒出世以來，究竟世界上有多少種病毒說法不一。在用戶調(diào)用染毒的執(zhí)行文件時，病毒首先運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。 入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。 4. 宏病毒是近幾年才出現(xiàn)的，按方式分類屬于文件型病毒。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。系統(tǒng)初始化程序完成確定內(nèi)存容量，定位 DOS核心模塊的初始化程序，解釋，加載可安裝的設(shè)備驅(qū)動程序以及命令處理程序等。核心模塊的文件名為 。 (1) 硬件自檢 自檢程序包含對系統(tǒng)硬件進行測試的13個項目：處理器內(nèi)部寄存器測試、 ROMBIOS芯片字節(jié)的檢查、 DMA控制器測試、 基本RAM存儲器測試、 CRT視頻接口測試、 中斷控制器測試、定時器測試、鍵盤測試、擴展 I/O測試、附加 RAM 存儲器測試、早期 ROMBASIC和其他程序測試、軟盤設(shè)備測試和設(shè)置打印機和串行口基本地址。 DOS 引導(dǎo)記錄是當(dāng)格式化磁盤時記錄在軟盤的 0面 0道 1扇區(qū)上的。它首先在內(nèi)存50： 70處建立磁盤基數(shù)表，表長 11個字節(jié)，該表反映磁盤驅(qū)動器的工作參數(shù)。 ② 當(dāng)可安裝的設(shè)備驅(qū)動程序依次加載時，調(diào)用相應(yīng)的初始化功能。 DOS引導(dǎo)記錄由以下 3部分組成： (1) 軟（硬）盤 I/O參數(shù)表。 (1) 文件目錄表 DOS在固定的扇區(qū)位置設(shè)置 FDT，該表具體描述文件名、子目錄名和卷標以及有關(guān)信息。利用 序解釋用戶輸入的命令并執(zhí)行之，三種用戶命令：內(nèi)部命令、外部命令和批處理文件。 ⑤ 當(dāng)搜索到一個 .COM或 .EXE文件時，COMMAND便調(diào)用 EXEC子功能加載該文件并予以執(zhí)行。文件頭的大小依程序加載的段的指令條數(shù)而變化，通常是 512字節(jié)的整倍數(shù)。 ⑤ 該程序中的子程序必須具有近過程屬性 (NEAR)。 DOS的中斷可分為 3種類型：來自外部硬件的外中斷、來自內(nèi)部硬件的內(nèi)中斷和來自中斷指令的軟中斷 。中斷向量共有 256個。病毒常利用的功能是與此相關(guān)的幾個參數(shù)： AH： 功能號， AH=02時讀磁盤； AH=03時寫磁盤； AH： 讀 /寫扇區(qū)數(shù)（軟盤 =8，硬盤 =128）； DH： 磁頭號（軟盤 0~1，硬盤 0~7）； DL： 驅(qū)動器號（軟盤 0~1，硬盤 80~81H）； CH： 扇區(qū)號；（軟盤 1~9，硬盤 1~17）； ES： BX： 讀 /寫緩沖區(qū)地址。 每中斷一次，日歷計數(shù)低位加 1。 ⑥ INT 20H程序正常結(jié)束中斷是 DOS軟中斷，其向量地址為 0000： 0080~0000： 0083。就像駐留程序一樣，大多數(shù)引導(dǎo)記錄病毒在內(nèi)存中要安裝自己，并且把自己掛到計算機的 BIOS和操作系統(tǒng)提供的各種系統(tǒng)服務(wù)中。如果 BIOS在驅(qū)動器中找到軟盤，它就認定用戶想要從這個盤引導(dǎo)。DOS 依賴于存儲在 BDA內(nèi)存中的信息正確地使用計算機的內(nèi)存和外設(shè)。在病毒通過更新 BDA為它自己保留了內(nèi)存之后，它把自己移到新保存的內(nèi)存中，并且試圖掛到直接磁盤系統(tǒng)服務(wù)中。 當(dāng)病毒更新 INT并把自己作為磁盤服務(wù)提供者之后，大多數(shù)軟引導(dǎo)記錄病毒要確定計算機上是否帶有硬盤，如果帶有硬盤，病毒就會試圖感染硬盤的主引導(dǎo)記錄或活動分區(qū)引導(dǎo)記錄。如果計算機已經(jīng)被感染而且病毒已經(jīng)作為駐留的服務(wù)提供者安裝，在病毒駐留時訪問的軟盤可能會被傳染。這樣如果用戶要從這個磁盤引導(dǎo)，病毒就可以正確地啟動駐留在這個磁盤上的操作系統(tǒng)。 分區(qū)引導(dǎo)記錄病毒是另一種形式的軟引導(dǎo)記錄病毒，它駐留在邏輯硬盤分區(qū)的引導(dǎo)記錄中。一般的主引導(dǎo)記錄病毒也需要把原來主引導(dǎo)扇區(qū)的一份拷貝保存到硬盤的某個地方。 (3) 火炬病毒 火炬病毒是一種典型的系統(tǒng)引導(dǎo)病毒，它對硬盤和軟盤的引導(dǎo)扇區(qū)進行傳染，進而占用整個扇區(qū)。病毒程序駐留內(nèi)存并成功地啟動 DOS后，將修改中斷向量 INT 13H， 此時所有的讀寫操作都首先到病毒的傳播部分。 病毒常用的一種方法是把它自己附加到被感染程序的最后，只修改可執(zhí)行文件映射前面的幾條指令。所有方法都在 .COM文件的入口點修改指令，以保證被感染的程序一經(jīng)裝入就會使病毒獲得對計算機的控制。 (4) 直接操作和內(nèi)存駐留文件感染病毒 文件感染病毒分為直接操作和內(nèi)存駐留文件感染病毒兩種。直接操作病毒執(zhí)行后會有效地把自己從內(nèi)存中清除。對程序文件損害最一般的形式可能是由于不正確的感染技術(shù)。因此，即使 Windows組件有 5KB大小，如果用戶從 DOS下運行這個程序，只有 2048字節(jié)的可執(zhí)行部分不會被讀入內(nèi)存并執(zhí)行。 宏病毒 所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。 因為，文檔資料的攜帶性極高，如果宏亦隨著文檔而被分派到不同的工作平臺，只要能被執(zhí)行，它也就類似于計算機病毒的傳染過程。當(dāng)然這只是宏病毒傳播的一個基本途徑，一些更厲害的宏病毒還有其他的途徑傳播。“臺灣 1號”是在我國臺灣中文 Word下做的，其模板與大陸中文 Word兼容，因此在我國傳播很快。 (4) 宏病毒中總是含有對文檔讀寫操作的宏命令。通過 Word 設(shè)置的選項是很容易被關(guān)閉的，很多病毒已經(jīng)具備了這樣的功能設(shè)置。 3. 查看宏代碼并刪除 宏和文本是相隔開的，正常情況下你是不可能看見宏代碼的。 如果宏使用了 Executeonly屬性，你只能看到宏的名稱而不能看到其他代碼。 5. 使用 Office 97的報警設(shè)置 在 Microsoft隨后推出的 Word Word 97版本中，在 Tools/Option... General中增加了十種新的宏病毒的檢測方法。他們認為宏病毒感染文件并不需要感染 ， 如果同時打開幾份文檔，而其中之一有宏病毒，那么宏病毒便可以感染其他的文檔，盡管這樣的傳播途徑?jīng)]有直接感染 。同時，如果宏病毒不通過感染 ，它是無法知道的。病毒的迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。更厲害的是它們可以跨操作平臺，一旦遭受感染，便毀壞所有操作系統(tǒng)。網(wǎng)絡(luò)上的病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年工作毀于一旦。除此之外，管理員可能會感染服務(wù)器上的一些或所有文件。如果一臺已感染病毒的計算機可以執(zhí)行另一臺計算機中的文件，那么這臺感染病毒計算機中的活動的、內(nèi)存駐留病毒能夠立即感染另一臺計算機硬盤上的可執(zhí)行文件。其結(jié)果是，引導(dǎo)病毒不能利用端到端網(wǎng)絡(luò)傳播，連接到 Inter上的一臺計算機不能對另一臺連接到 Inter的計算機進行扇區(qū)級操作，結(jié)果引導(dǎo)病毒就無法通過 Inter傳播。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計算機實際上是從一塊感染的軟盤上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。 使用網(wǎng)絡(luò)的另一種方式是對等網(wǎng)絡(luò)，在端到端網(wǎng)絡(luò)上，用戶可以讀出和寫入每個連接的工作站上本地硬盤中的文件。用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其他可執(zhí)行文件。 在網(wǎng)絡(luò)中病毒則可以通過網(wǎng)絡(luò)通信機制，借助高速電纜進行迅速擴散。Inter上有眾多的軟件供下載，有大量的數(shù)據(jù)交換，這給病毒的大范圍傳播提供了可能。因為基于 Word或者 Excel的反病毒軟件只能適應(yīng)于特定版本的 Office應(yīng)用系統(tǒng)，換了另一種語言的版本可能就無能為力了。 如果選擇了這一項，在每次打開 Word時，將會要求用戶輸入密碼，否則作為只讀來打開文檔。 6. 設(shè)置 一般的 DOS系統(tǒng)調(diào)用在文件設(shè)置了只讀屬性時拒絕寫入或更改操作。如果啟用了這一功能，在 Word使用過程中不會自動執(zhí)行任何自動宏。 如果你懷疑 Startup目錄下其他模板可能被感染，你需要重新命名在 Startup目錄中的所有文件，使它們不是 doc或者 dot格式，這樣 Word便可以在一種新的環(huán)境下啟動。 這樣做的確可以有效地防止使用自動宏來傳播的宏病毒加入系統(tǒng)。這也是在 Concept 出現(xiàn)后 Microsoft 所建議的方法之一。 (2) 宏病毒的傳染通常是 Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。這些操作均可能對系統(tǒng)造成直接威脅，而Word在指令安全性、完整性上檢測能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。 因此， Word便為大眾事先定義一個共用的范本文檔（ ）， 里面包含了基本的宏。 宏病毒的行為和特征 所謂“宏病毒”，就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。 3. 伴隨型病毒 伴隨型病毒也感染程序文件。 Windows可執(zhí)行文件也使用這一機制把 DOS 程序與 Windows 程序結(jié)合起來。從這時開始，任何時候當(dāng) DOS或其他程序要讀寫執(zhí)行或訪問一個程序時，病毒就會控制計算機。 直接操作病毒使用與包含特定文本串的文件查找程序定位相同的方式，利用這些服務(wù)定位感染新文件。 (3) .SYS文件的感染： .SYS文件格式很獨特，它有兩個入口點： Interrupt和 Strategy。病毒可以把自己插入 .COM文件的前部，把原來的程序移到病毒代碼的后面。 2. 文件病毒 文件病毒使用可執(zhí)行文件作為傳播的媒介，使用 DOS的 .COM、 .EXE和 .SYS文件中的一種或多種作為攻擊目標。接著將全部病毒程序移到內(nèi)存的高端，完成病毒的安裝。 病毒選擇其中的一個扇區(qū)存放原來的主引導(dǎo)記錄，因為這些扇區(qū)在大多數(shù)系統(tǒng)中是不使用的。在一個已感染的主引導(dǎo)記錄中，病毒感染的自舉例程會代替原來的自舉例程。其他引導(dǎo)病毒把原來軟引導(dǎo)記錄的一份拷貝存儲在軟盤的最后。因為用戶最可能請求磁盤活動，出現(xiàn)磁盤旋轉(zhuǎn)就有了合理解釋。 大多數(shù)軟引導(dǎo)記錄病毒一有機會就要感染磁盤。病毒通知操作系統(tǒng)它現(xiàn)在是 ROM BIOS磁盤服務(wù)提供者的代理。 軟引導(dǎo)記錄病毒通過減少這個域中的數(shù)值為它自己在內(nèi)存中的例程和數(shù)據(jù)保留空間。當(dāng)控制傳給病毒之后，它就會得到對計算機上所有資源獨有的訪問權(quán)；如果在軟盤上有操作系統(tǒng)的話，就不會被裝入，也不會防止病毒的行為。軟盤作為病毒的載體，使病毒能夠從一個硬盤傳播到另一個硬盤。 計算機病毒充分利用了中斷程序的強大功能調(diào)用，以達到其各種目的，所以對中斷知識的了解和熟練掌握是分析判斷病毒存在與否的重要途徑。 該中斷提供有關(guān)屏幕顯示方式選擇、光標控制、圖形滾動和設(shè)置字符屬性等 20個子程序。利用 INT 1CH這個特性，可以修改其中斷向量指向用戶進程而使用戶進程每 55ms被調(diào)用一次。 ① INT 13H是 ROMBIOS軟中斷。 在 PC機中，最多允許有 256級中斷，由于中斷調(diào)用通常都是段間的調(diào)用，因此一個中斷向量包括 4個字節(jié)(段地址：偏移量 )。 6. DOS的中斷系統(tǒng) 盡管病毒種類繁多、形式各異，但是它們大多數(shù)都是通過修改中斷向量來達到繁殖和傳染目的的。 ② 該程序的長度小于 64KB。 (2) EXE文件的加載 由 LINK連接程序生成的 .EXE型文件是以特殊結(jié)構(gòu)存貯在磁盤上。如果是在當(dāng)前目錄下則不要搜索目錄，直接判斷是 .COM還是 .EXE命令。文件分配表在文件的存取過程中起著關(guān)鍵作用。 (3) 引導(dǎo)記錄塊。 (6) COMMAND初始化程序 該程序完成以下工作： ① 對常駐的中斷 22H、 23H、 24H和 27H的例程重新設(shè)置向量入口供 DOS系統(tǒng)使用。 (4) DOS內(nèi)核初始化程序 DOS 初始化程序由SYSINIT程序調(diào)用，它包括以下初始化任務(wù)： ① 在初始化 DOS內(nèi)核模塊用的內(nèi)部表和工作區(qū)之后，對 DOS 中斷使用的 8個向量入口進行設(shè)置。 對于硬盤，引導(dǎo)記錄是放在 DOS分區(qū)的首部。 (2) 自舉程序 負責(zé)裝入 DOS引導(dǎo)記錄并執(zhí)行。 2. DOS啟動過程 PC X86系列計算機設(shè)計時，都使 0FFFF0H處于ROM區(qū)中并將該地址設(shè)計為一條跳轉(zhuǎn)指令，將控制權(quán)轉(zhuǎn)交自檢程序和 ROM引導(dǎo)裝入程序。內(nèi)核初始化程序完成 DOS內(nèi)部初始化工作，負責(zé)設(shè)置 DOS中斷向量入口，檢查常駐的設(shè)備驅(qū)動鏈。 (1) 引導(dǎo)記錄模塊 當(dāng) FORMAT格式化磁盤時，它作為一個記錄寫在軟盤的 0面 0道 1扇區(qū)，或硬盤上 DOS 分區(qū)的第一個扇區(qū)。 1. 引導(dǎo)部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內(nèi)存，為傳染部分做準備。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。 2. 按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒。病毒種類眾多，分類如下： 1. 按傳染方式分為引導(dǎo)型、文件型和混合型病毒。 計算機病毒的命名與分類 對計算機病毒命名，各個組織或公司不盡相同。病毒擾亂顯示的方式很多，如字符跌落、