【正文】 而可執(zhí)行文件病毒不能通過(guò) Inter在遠(yuǎn)程站點(diǎn)感染文件。病毒在網(wǎng)上被消除后，85%的網(wǎng)絡(luò)在 30天內(nèi)會(huì)再次被感染。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。另外這一方法對(duì)那些經(jīng)常使用宏，經(jīng)常改變 效的。但病毒還是可以通過(guò)刪除Files/Template來(lái)隱藏其存在。這樣可以防止宏病毒使用AutoOpen宏來(lái)傳播。被它感染的 .DOC文檔屬性必然會(huì)被改為模板而不是文檔，而用戶在另存文檔時(shí)，就無(wú)法將該文檔轉(zhuǎn)換為任何其它形式，而只能用模板方式存盤。 Word的工作模式是只要一載入文檔，就先執(zhí)行起始的宏，接著載入資料內(nèi)容，這個(gè)創(chuàng)意本來(lái)很好，因?yàn)殡S著資料不同需要有不同的宏工作。 有些文件病毒在感染重復(fù)的 .EXE文件時(shí)不考慮上面所說(shuō)的問(wèn)題。 內(nèi)存駐留文件病毒的工作方式類似于相應(yīng)的引導(dǎo)記錄病毒。 在最一般的 .EXE感染中，病毒完成以下操作序列：在宿主程序中記錄宿主程序自己的原來(lái)入口點(diǎn)，這樣它以后就可以正常執(zhí)行宿主程序；把它自己的一份拷貝附加到宿主程序的最后；在 .EXE文件的頭標(biāo)改變?nèi)肟邳c(diǎn)（使用 CS和 IP域）以直指病毒代碼；在頭標(biāo)中改變其他域以反映病毒的存在，包括程序的裝入映射大小域。 病毒的破壞方式是對(duì)硬盤的主引導(dǎo)扇區(qū)直接覆蓋，而對(duì)軟盤引導(dǎo)扇區(qū)的內(nèi)容只進(jìn)行遷移。然后，原來(lái)的主引導(dǎo)記錄的自舉程序裝入活動(dòng)分區(qū)的分區(qū)引導(dǎo)記錄，進(jìn)行正常引導(dǎo)。許多病毒會(huì)覆蓋根目錄結(jié)構(gòu)的最后一個(gè)扇區(qū)。軟引導(dǎo)記錄病毒要完成其工作，就必須從軟盤上得到原來(lái)的軟引導(dǎo)記錄，并且啟動(dòng)原來(lái)的引導(dǎo)過(guò)程，好像沒(méi)有病毒一樣。對(duì)于引導(dǎo)記錄病毒，DOS中最重要的域是“ Total Memory in kilobytes”域，它指定操作系統(tǒng)可以使用多少常規(guī)內(nèi)存，通常是 640KB。 (1) 軟引導(dǎo)記錄病毒 寄生在軟盤引導(dǎo)記錄的病毒稱為軟引導(dǎo)記錄病毒。計(jì)算機(jī)病毒程序經(jīng)常利用 INT 8H每隔 55ms中斷一次的特點(diǎn)將病毒程序的表現(xiàn)部分引入到 INT 8H服務(wù)程序之前，使之在滿足條件時(shí)連續(xù)執(zhí)行。 (3) 中斷響應(yīng)過(guò)程 CPU在取得中斷信息后，通常要做幾項(xiàng)工作：保護(hù)斷點(diǎn)現(xiàn)場(chǎng)以便處理完中斷程序后準(zhǔn)確地返回到被中斷處，繼續(xù)執(zhí)行原來(lái)的程序；根據(jù)中斷類型號(hào)由中斷向量表中取得中斷處理程序入口地址；運(yùn)行中斷處理程序；處理完中斷子程序后，恢復(fù)中斷時(shí)的現(xiàn)場(chǎng)環(huán)境，繼續(xù)執(zhí)行原來(lái)被中斷的程序。通常，一個(gè) .COM文件的內(nèi)存映象存于磁盤上，它不附加任何定位信息，因此，只需要在當(dāng)前可用內(nèi)存空間的最低端建立一個(gè)相應(yīng)的程序段前綴 PSP， 然后緊靠 PSP的上方將 .COM文件裝入，并把控制裝到 PSP+100H處，即可通過(guò) EXEC子功能加載 .COM文件。執(zhí)行完畢后調(diào)用 DOS結(jié)束功能，或釋放所有內(nèi)存，或程序駐留。 FDT為每個(gè)文件或子目錄分配一個(gè)目錄登記項(xiàng)，目錄登記項(xiàng)的記錄文件名（ 8B）、 擴(kuò)展名（ 3B）、文件屬性（ 1B）、 保留區(qū)（ 10B）、 最后修改時(shí)間（ 2B）、 最后修改日期（ 2B）、 文件起始簇（ 2B）、 文件長(zhǎng)度（ 4B）。 ③ 處理完 ，關(guān)閉所有打開(kāi)的文件句柄，并為常駐設(shè)備驅(qū)動(dòng)程序 CON、 AUX和 PRN分配 0~4頭 5個(gè)句柄，將這些句柄號(hào)提供給標(biāo)準(zhǔn)輸入、標(biāo)準(zhǔn)輸出、標(biāo)準(zhǔn)錯(cuò)誤、標(biāo)準(zhǔn)輔助和標(biāo)準(zhǔn)列表設(shè)備，以便 DOS或應(yīng)用程序隨時(shí)使用它們而不必現(xiàn)打開(kāi)。其作用是檢查驅(qū)動(dòng)器插入的磁盤是否為系統(tǒng)盤。該模塊由三部分組成：常駐部分 CCPR、 SHELL初始化程序、暫駐部分 CCPT。 DOS環(huán)境下的病毒 DOS基本知識(shí)介紹 1. DOS的基本結(jié)構(gòu) DOS由 4個(gè)相互獨(dú)立又相互聯(lián)系的程序模塊組成，這四個(gè)模塊構(gòu)成了 DOS的 4個(gè)層次。一般情況下也難以發(fā)現(xiàn)和清除。據(jù)國(guó)外統(tǒng)計(jì)，計(jì)算機(jī)病毒以 10種 /周的速度遞增。病毒干擾鍵盤操作，如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂。 計(jì)算機(jī)病毒的破壞行為 計(jì)算機(jī)病毒的破壞性表現(xiàn)為病毒的殺傷能力。而在受到傳染后，一般計(jì)算機(jī)系統(tǒng)仍然能夠運(yùn)行，被感染的程序也能執(zhí)行，用戶不會(huì)感到明顯的異常，這便是計(jì)算機(jī)病毒的隱蔽性。再生機(jī)制是判斷是不是計(jì)算機(jī)病毒的最重要依據(jù)。一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多，如果不小心打開(kāi)了這些郵件，機(jī)器就有可能中毒。幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作，它們修改系統(tǒng)引導(dǎo)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，在系統(tǒng)存取操作磁盤時(shí)傳播，影響系統(tǒng)工作效率。 計(jì)算機(jī)病毒的歷史 隨著計(jì)算機(jī)在各行各業(yè)的大量應(yīng)用，計(jì)算機(jī)病毒也隨之滲透到計(jì)算機(jī)世界的每個(gè)角落，常以人們意想不到的方式侵入計(jì)算機(jī)系統(tǒng)。如果只解除了感染文件上的病毒，而沒(méi)有清除引導(dǎo)區(qū)的病毒，那么在系統(tǒng)重新引導(dǎo)時(shí)病毒又將激活，會(huì)重新感染文件；如果只清除了引導(dǎo)區(qū)的病毒而沒(méi)有清除文件上的病毒，一旦執(zhí)行被感染文件，就又會(huì)感染硬盤引導(dǎo)區(qū)。 8. 視窗階段 1996年，隨著 Windows Windows95的日益普及，利用 Windows傳播的病毒迅速發(fā)展，它們修改 (NE， PE)文件，典型的代表是 ，這類病毒的機(jī)制更為復(fù)雜，它們利用保護(hù)模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。 計(jì)算機(jī)病毒的破壞性多種多樣。在這臺(tái)計(jì)算機(jī)上可以查看病毒文件的名字，查看或打印計(jì)算機(jī)病毒代碼，甚至拷貝病毒文件，系統(tǒng)都不會(huì)激活并感染病毒。 (3) 利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器。內(nèi)存是計(jì)算機(jī)的重要資源，也是病毒攻擊的重要目標(biāo)。 . 網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等等。 混合型病毒兼有以上兩種病毒的特點(diǎn)，既感染引導(dǎo)區(qū)又感染文件，因此這種病毒更易傳染。 計(jì)算機(jī)病毒的結(jié)構(gòu) 計(jì)算機(jī)病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分幾部分組成。它由內(nèi)核初始化程序、系統(tǒng)功能調(diào)用程序組成。其他故障均為一般性錯(cuò)誤，會(huì)在屏幕上顯示相應(yīng)的錯(cuò)誤信息供用戶檢測(cè)。 SYSINIT初始化工作完成后，將其自身上移到內(nèi)存的高端位置，原占據(jù)的空間由 DOS的內(nèi)核 。表長(zhǎng) 11字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 21H處開(kāi)始。如果是內(nèi)部命令，則轉(zhuǎn)去執(zhí)行 COMMAND暫駐區(qū)的相應(yīng)過(guò)程，執(zhí)行結(jié)束返回到 DOS提示符，否則判斷是否為當(dāng)前目錄； ② 如果當(dāng)前執(zhí)行的命令不在當(dāng)前目錄下，則執(zhí)行PATH命令搜索指定的目錄，找到后判斷要執(zhí)行的是 .COM類或 .EXE類命令。一個(gè) .COM文件具有如下結(jié)構(gòu)特點(diǎn)： ① 該程序只能設(shè)置一個(gè)段，且不準(zhǔn)建立堆棧段 。這樣，所有的中斷就組成了一張中斷向量表。該中斷由定時(shí)器在修正、日歷計(jì)數(shù)后，每 55ms調(diào)用一次。其中部分功能有：字符輸入輸出、日期和時(shí)間、內(nèi)存分配、網(wǎng)絡(luò)功能調(diào)用、讀取設(shè)置中斷向量、文件操作、磁盤控制等。在引導(dǎo)期間， BIOS把對(duì)計(jì)算機(jī)的控制完全給予病毒程序而不是正常的自舉程序。當(dāng)操作需要請(qǐng)求一個(gè)服務(wù)時(shí)，它就會(huì)在中斷向量表 INT中查找服務(wù)提供者的地址，然后確定把它的請(qǐng)求發(fā)送到哪里。 其次，病毒可以在 BIOS磁盤服務(wù)提供者為正常的磁盤請(qǐng)求提供服務(wù)后立即暗中感染軟盤的引導(dǎo)記錄，感染過(guò)程很快。然后驗(yàn)證主引導(dǎo)區(qū)在扇區(qū)的最后是否有正確的特征標(biāo)記，如果正確的話它就把控制轉(zhuǎn)給主引導(dǎo)記錄的自舉程序。病毒首先使內(nèi)存總量減少 1KB， 并計(jì)算出系統(tǒng)內(nèi)存高端的段地址，然后把 INT 13H中斷入口設(shè)在病毒程序段偏移 0013H處。 病毒也可以通過(guò)修改可執(zhí)行文件映射的前部指令來(lái)感染 .COM文件。如果病毒斷定計(jì)算機(jī)內(nèi)存中沒(méi)有它自己的拷貝，再把自己安裝為駐留的服務(wù)提供者。如果用戶以后要執(zhí)行這個(gè)感染的程序，DOS就會(huì)拒絕執(zhí)行?！?Word宏是使用 Word Basic語(yǔ)言來(lái)編寫的。如直接使用 DOS系統(tǒng)命令，調(diào)用 WindowsAPI， 調(diào)用 .DDE、 .DLL等。用戶可以在 Tools/Option 下的 Save 選項(xiàng)中進(jìn)行設(shè)置。 要查看文檔中的宏而不激活它們，必須先退出，然后在沒(méi)有打開(kāi)任何文件的情況下重新打開(kāi) Word。對(duì)一般用戶而言，這一選項(xiàng)的確很有用，它可以起到一定的預(yù)防作用。兩類軟件各有自己的優(yōu)勢(shì)，一般說(shuō)來(lái)，前者的適應(yīng)能力強(qiáng)于后者。但病毒傳染方式比較復(fù)雜，傳播速度比較快。文件服務(wù)器作為可執(zhí)行文件病毒的載體，病毒感染的程序可能駐留在網(wǎng)絡(luò)中，但是除非這些病毒經(jīng)過(guò)特別設(shè)計(jì)與網(wǎng)絡(luò)軟件集成在一起，否則他們只能從客戶的機(jī)器上被激活。 專攻網(wǎng)絡(luò)的 GPI病毒 GPI病毒意指 Get Password I， 是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)一類病毒，是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破 Novell網(wǎng)絡(luò)系。 如果一個(gè)標(biāo)準(zhǔn)的 病毒感染會(huì)發(fā)生什么呢 在一個(gè)用戶登錄到網(wǎng)絡(luò)上之后，他就會(huì)啟動(dòng)病毒，并且感染在其工作站上使用的每一個(gè)程序。網(wǎng)絡(luò)病毒一旦突破網(wǎng)絡(luò)安全系統(tǒng)，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染、再生，就會(huì)使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞。 盡管我們?cè)谇懊娼榻B了種種反宏病毒的方法，但是對(duì)大多數(shù)人來(lái)說(shuō)，反宏病毒主要的還是依賴于各種反宏病毒軟件。這一提示框告知用戶要打開(kāi)的文件中是否有宏的存在。正確地用 Word工具選項(xiàng)來(lái)查看宏代碼的方法是使用 Organizer來(lái)查看文檔中的宏。 (5) 宏病毒在 .DOC文檔、 .DOT模板中以 .BFF（ Binary File Format） 格式存放，這是一種加密壓縮格式，每個(gè) Word版本格式可能不兼容。 Word宏病毒通過(guò) .DOC文檔及 .DOT模板進(jìn)行自我復(fù)制及傳播，而計(jì)算機(jī)文檔是交流最廣的文件類型。它利用簡(jiǎn)單的語(yǔ)法，把常用的動(dòng)作寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。 例如， .COM格式的文件被 DOS限制不能超過(guò)65280字節(jié)長(zhǎng)。被感染的文件一執(zhí)行，直接操作文件感染病毒就感染目錄上或硬盤上某個(gè)地方的其他程序文件。此前它必須記錄宿主程序原來(lái)的入口指令，這樣它完成后就可以修復(fù)宿主程序。 當(dāng)病毒發(fā)作時(shí)，屏幕上出現(xiàn) 5個(gè)火炬，使主引導(dǎo)扇區(qū)信息丟失，引起硬盤癱瘓，系統(tǒng)完全處于病毒的控制之中，硬盤數(shù)據(jù)也被破壞。主引導(dǎo)記錄病毒也像軟引導(dǎo)記錄病毒一樣，在被激活前，它要在引導(dǎo)時(shí)被裝入并執(zhí)行。只有當(dāng)請(qǐng)求磁盤服務(wù)時(shí)才感染新的軟盤，這樣做對(duì)病毒是有利的。計(jì)算機(jī)的 ROMBIOS中包含磁盤服務(wù)例程，DOS通過(guò)調(diào)用這些例程從軟盤或硬盤讀取數(shù)據(jù)。在它定位磁盤后，BIOS就會(huì)把軟引導(dǎo)記錄裝入計(jì)算機(jī)內(nèi)存，并執(zhí)行自舉例程。病毒程序通過(guò)修改 INT 24H中斷向量設(shè)置新的錯(cuò)誤程序：如“黑色星期五”等病毒在向可執(zhí)行文件傳染病毒時(shí)，首先將系統(tǒng)的 INT 24H中斷屏蔽起來(lái)，不顯示此時(shí)的讀寫操作中的任何錯(cuò)誤信息，以使病毒的傳播過(guò)程隱蔽。 ② INT 25H、 INT 26H磁盤邏輯扇區(qū)讀 /寫中斷，是專門用來(lái)對(duì)磁盤扇區(qū)進(jìn)行絕對(duì)讀 /寫操作的兩個(gè)中斷。 DOS 的軟中斷包括幾大類，這些中斷可供系統(tǒng)和應(yīng)用程序調(diào)用。 文件頭內(nèi)的重定位表里放著所有需要重定位的地址，除此之外，文件頭內(nèi)還有許多信息供 DOS在裝入過(guò)程中使用，通過(guò)這些信息可以直接或間接得到以下內(nèi)容： EXE文件標(biāo)志位，文件總長(zhǎng)度，所需內(nèi)存大小，堆棧起始地址等重要信息。 (1) COMMAND處理命令的過(guò)程 當(dāng) DOS系統(tǒng)啟動(dòng)或系統(tǒng)復(fù)位后，屏幕上出現(xiàn) DOS提示符表明，等待用戶輸入命令。 表長(zhǎng) 19字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 0BH處開(kāi)始，分別記錄每扇區(qū)字節(jié)數(shù)（ 2B）， 每簇的扇區(qū)數(shù)（ 1B） 保留扇區(qū)數(shù)（ 2B）， FAT表個(gè)數(shù)（ 1B）， 根目錄項(xiàng)數(shù)（ 2B）， 總扇區(qū)數(shù)（ 2B）， 介質(zhì)標(biāo)志（ 1B），每個(gè) FAT所占扇區(qū)數(shù)（ 2B）， 每道扇區(qū)數(shù)（ 2B）， 磁頭數(shù)（ 2B）， 隱藏扇區(qū)數(shù)（ 2B）。建立磁盤基數(shù)表之后，設(shè)置中斷向量，其中中斷向量 1H、 3H和 4H 分別表示單步、斷點(diǎn)和溢出中斷， 1BH 是處理鍵盤中斷（ CTRL + BREAK鍵），這些向量指示的原中斷均無(wú)實(shí)質(zhì)性內(nèi)容，現(xiàn)已由初始化程序設(shè)置了新的向量入口，以便指向由 DOS提供的中斷例程。在測(cè)試中，熱啟動(dòng)則不對(duì)存儲(chǔ)器測(cè)試。加載時(shí)該模塊以文件名 裝入內(nèi)存，系統(tǒng)啟動(dòng)成功后該程序消失。 5. 網(wǎng)絡(luò)病毒指基于在網(wǎng)上運(yùn)行和傳播，影響和破壞網(wǎng)絡(luò)系統(tǒng)的病毒。 其特點(diǎn)是附著于正常程序文件中，成為程序文件的一個(gè)外殼或部件。 7. 干擾打印機(jī)。病毒對(duì)文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇、對(duì)文件加密等。病毒利用計(jì)數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計(jì)數(shù)器達(dá)到設(shè)定值，就執(zhí)行破壞操作。如果計(jì)算機(jī)已經(jīng)連網(wǎng)，通過(guò)數(shù)據(jù)或程序共享，病毒就可以迅速傳染與之相連的計(jì)算機(jī)，若不加控制，就會(huì)在很短時(shí)間內(nèi)傳遍整個(gè)世界。也有因?yàn)檎?、軍事、民族、宗教、專利等方面的需要而專門編寫的。 7. 網(wǎng)絡(luò)，蠕蟲(chóng)階段 1995年以后，隨著網(wǎng)絡(luò)的普及，病毒大量利用網(wǎng)絡(luò)進(jìn)行傳播，但只是以上幾代病毒的改進(jìn)。 3. 混合型階段 1990年以后出現(xiàn)雙料病毒，既感染文件同時(shí)又感染引導(dǎo)記錄，也稱混合型病毒。通過(guò)分析研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。 1989年引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石