【正文】 而可執(zhí)行文件病毒不能通過 Inter在遠(yuǎn)程站點感染文件。病毒在網(wǎng)上被消除后，85%的網(wǎng)絡(luò)在 30天內(nèi)會再次被感染。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。另外這一方法對那些經(jīng)常使用宏，經(jīng)常改變 效的。但病毒還是可以通過刪除Files/Template來隱藏其存在。這樣可以防止宏病毒使用AutoOpen宏來傳播。被它感染的 .DOC文檔屬性必然會被改為模板而不是文檔，而用戶在另存文檔時，就無法將該文檔轉(zhuǎn)換為任何其它形式，而只能用模板方式存盤。 Word的工作模式是只要一載入文檔，就先執(zhí)行起始的宏，接著載入資料內(nèi)容，這個創(chuàng)意本來很好，因為隨著資料不同需要有不同的宏工作。 有些文件病毒在感染重復(fù)的 .EXE文件時不考慮上面所說的問題。 內(nèi)存駐留文件病毒的工作方式類似于相應(yīng)的引導(dǎo)記錄病毒。 在最一般的 .EXE感染中，病毒完成以下操作序列：在宿主程序中記錄宿主程序自己的原來入口點，這樣它以后就可以正常執(zhí)行宿主程序；把它自己的一份拷貝附加到宿主程序的最后；在 .EXE文件的頭標(biāo)改變?nèi)肟邳c（使用 CS和 IP域）以直指病毒代碼；在頭標(biāo)中改變其他域以反映病毒的存在，包括程序的裝入映射大小域。 病毒的破壞方式是對硬盤的主引導(dǎo)扇區(qū)直接覆蓋，而對軟盤引導(dǎo)扇區(qū)的內(nèi)容只進行遷移。然后，原來的主引導(dǎo)記錄的自舉程序裝入活動分區(qū)的分區(qū)引導(dǎo)記錄，進行正常引導(dǎo)。許多病毒會覆蓋根目錄結(jié)構(gòu)的最后一個扇區(qū)。軟引導(dǎo)記錄病毒要完成其工作，就必須從軟盤上得到原來的軟引導(dǎo)記錄，并且啟動原來的引導(dǎo)過程，好像沒有病毒一樣。對于引導(dǎo)記錄病毒，DOS中最重要的域是“ Total Memory in kilobytes”域，它指定操作系統(tǒng)可以使用多少常規(guī)內(nèi)存，通常是 640KB。 (1) 軟引導(dǎo)記錄病毒 寄生在軟盤引導(dǎo)記錄的病毒稱為軟引導(dǎo)記錄病毒。計算機病毒程序經(jīng)常利用 INT 8H每隔 55ms中斷一次的特點將病毒程序的表現(xiàn)部分引入到 INT 8H服務(wù)程序之前，使之在滿足條件時連續(xù)執(zhí)行。 (3) 中斷響應(yīng)過程 CPU在取得中斷信息后，通常要做幾項工作：保護斷點現(xiàn)場以便處理完中斷程序后準(zhǔn)確地返回到被中斷處，繼續(xù)執(zhí)行原來的程序；根據(jù)中斷類型號由中斷向量表中取得中斷處理程序入口地址；運行中斷處理程序；處理完中斷子程序后，恢復(fù)中斷時的現(xiàn)場環(huán)境，繼續(xù)執(zhí)行原來被中斷的程序。通常，一個 .COM文件的內(nèi)存映象存于磁盤上，它不附加任何定位信息，因此，只需要在當(dāng)前可用內(nèi)存空間的最低端建立一個相應(yīng)的程序段前綴 PSP， 然后緊靠 PSP的上方將 .COM文件裝入，并把控制裝到 PSP+100H處，即可通過 EXEC子功能加載 .COM文件。執(zhí)行完畢后調(diào)用 DOS結(jié)束功能，或釋放所有內(nèi)存，或程序駐留。 FDT為每個文件或子目錄分配一個目錄登記項，目錄登記項的記錄文件名（ 8B）、 擴展名（ 3B）、文件屬性（ 1B）、 保留區(qū)（ 10B）、 最后修改時間（ 2B）、 最后修改日期（ 2B）、 文件起始簇（ 2B）、 文件長度（ 4B）。 ③ 處理完 ，關(guān)閉所有打開的文件句柄，并為常駐設(shè)備驅(qū)動程序 CON、 AUX和 PRN分配 0~4頭 5個句柄，將這些句柄號提供給標(biāo)準(zhǔn)輸入、標(biāo)準(zhǔn)輸出、標(biāo)準(zhǔn)錯誤、標(biāo)準(zhǔn)輔助和標(biāo)準(zhǔn)列表設(shè)備，以便 DOS或應(yīng)用程序隨時使用它們而不必現(xiàn)打開。其作用是檢查驅(qū)動器插入的磁盤是否為系統(tǒng)盤。該模塊由三部分組成：常駐部分 CCPR、 SHELL初始化程序、暫駐部分 CCPT。 DOS環(huán)境下的病毒 DOS基本知識介紹 1. DOS的基本結(jié)構(gòu) DOS由 4個相互獨立又相互聯(lián)系的程序模塊組成，這四個模塊構(gòu)成了 DOS的 4個層次。一般情況下也難以發(fā)現(xiàn)和清除。據(jù)國外統(tǒng)計，計算機病毒以 10種 /周的速度遞增。病毒干擾鍵盤操作，如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂。 計算機病毒的破壞行為 計算機病毒的破壞性表現(xiàn)為病毒的殺傷能力。而在受到傳染后，一般計算機系統(tǒng)仍然能夠運行，被感染的程序也能執(zhí)行，用戶不會感到明顯的異常，這便是計算機病毒的隱蔽性。再生機制是判斷是不是計算機病毒的最重要依據(jù)。一些攜帶病毒的數(shù)據(jù)包和郵件越來越多，如果不小心打開了這些郵件，機器就有可能中毒。幽靈病毒就是利用這個特點，每感染一次就產(chǎn)生不同的代碼。引導(dǎo)型病毒利用軟盤的啟動原理工作，它們修改系統(tǒng)引導(dǎo)扇區(qū)，在計算機啟動時首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，在系統(tǒng)存取操作磁盤時傳播，影響系統(tǒng)工作效率。 計算機病毒的歷史 隨著計算機在各行各業(yè)的大量應(yīng)用，計算機病毒也隨之滲透到計算機世界的每個角落，常以人們意想不到的方式侵入計算機系統(tǒng)。如果只解除了感染文件上的病毒，而沒有清除引導(dǎo)區(qū)的病毒，那么在系統(tǒng)重新引導(dǎo)時病毒又將激活，會重新感染文件；如果只清除了引導(dǎo)區(qū)的病毒而沒有清除文件上的病毒，一旦執(zhí)行被感染文件，就又會感染硬盤引導(dǎo)區(qū)。 8. 視窗階段 1996年，隨著 Windows Windows95的日益普及，利用 Windows傳播的病毒迅速發(fā)展，它們修改 (NE， PE)文件，典型的代表是 ，這類病毒的機制更為復(fù)雜，它們利用保護模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。 計算機病毒的破壞性多種多樣。在這臺計算機上可以查看病毒文件的名字，查看或打印計算機病毒代碼，甚至拷貝病毒文件，系統(tǒng)都不會激活并感染病毒。 (3) 利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器。內(nèi)存是計算機的重要資源，也是病毒攻擊的重要目標(biāo)。 . 網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等等。 混合型病毒兼有以上兩種病毒的特點，既感染引導(dǎo)區(qū)又感染文件，因此這種病毒更易傳染。 計算機病毒的結(jié)構(gòu) 計算機病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分幾部分組成。它由內(nèi)核初始化程序、系統(tǒng)功能調(diào)用程序組成。其他故障均為一般性錯誤，會在屏幕上顯示相應(yīng)的錯誤信息供用戶檢測。 SYSINIT初始化工作完成后，將其自身上移到內(nèi)存的高端位置，原占據(jù)的空間由 DOS的內(nèi)核 。表長 11字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 21H處開始。如果是內(nèi)部命令，則轉(zhuǎn)去執(zhí)行 COMMAND暫駐區(qū)的相應(yīng)過程，執(zhí)行結(jié)束返回到 DOS提示符，否則判斷是否為當(dāng)前目錄； ② 如果當(dāng)前執(zhí)行的命令不在當(dāng)前目錄下，則執(zhí)行PATH命令搜索指定的目錄，找到后判斷要執(zhí)行的是 .COM類或 .EXE類命令。一個 .COM文件具有如下結(jié)構(gòu)特點： ① 該程序只能設(shè)置一個段，且不準(zhǔn)建立堆棧段 。這樣，所有的中斷就組成了一張中斷向量表。該中斷由定時器在修正、日歷計數(shù)后，每 55ms調(diào)用一次。其中部分功能有：字符輸入輸出、日期和時間、內(nèi)存分配、網(wǎng)絡(luò)功能調(diào)用、讀取設(shè)置中斷向量、文件操作、磁盤控制等。在引導(dǎo)期間， BIOS把對計算機的控制完全給予病毒程序而不是正常的自舉程序。當(dāng)操作需要請求一個服務(wù)時，它就會在中斷向量表 INT中查找服務(wù)提供者的地址，然后確定把它的請求發(fā)送到哪里。 其次，病毒可以在 BIOS磁盤服務(wù)提供者為正常的磁盤請求提供服務(wù)后立即暗中感染軟盤的引導(dǎo)記錄，感染過程很快。然后驗證主引導(dǎo)區(qū)在扇區(qū)的最后是否有正確的特征標(biāo)記，如果正確的話它就把控制轉(zhuǎn)給主引導(dǎo)記錄的自舉程序。病毒首先使內(nèi)存總量減少 1KB， 并計算出系統(tǒng)內(nèi)存高端的段地址，然后把 INT 13H中斷入口設(shè)在病毒程序段偏移 0013H處。 病毒也可以通過修改可執(zhí)行文件映射的前部指令來感染 .COM文件。如果病毒斷定計算機內(nèi)存中沒有它自己的拷貝，再把自己安裝為駐留的服務(wù)提供者。如果用戶以后要執(zhí)行這個感染的程序，DOS就會拒絕執(zhí)行。” Word宏是使用 Word Basic語言來編寫的。如直接使用 DOS系統(tǒng)命令，調(diào)用 WindowsAPI， 調(diào)用 .DDE、 .DLL等。用戶可以在 Tools/Option 下的 Save 選項中進行設(shè)置。 要查看文檔中的宏而不激活它們，必須先退出，然后在沒有打開任何文件的情況下重新打開 Word。對一般用戶而言，這一選項的確很有用，它可以起到一定的預(yù)防作用。兩類軟件各有自己的優(yōu)勢，一般說來，前者的適應(yīng)能力強于后者。但病毒傳染方式比較復(fù)雜，傳播速度比較快。文件服務(wù)器作為可執(zhí)行文件病毒的載體，病毒感染的程序可能駐留在網(wǎng)絡(luò)中，但是除非這些病毒經(jīng)過特別設(shè)計與網(wǎng)絡(luò)軟件集成在一起，否則他們只能從客戶的機器上被激活。 專攻網(wǎng)絡(luò)的 GPI病毒 GPI病毒意指 Get Password I， 是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)一類病毒，是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破 Novell網(wǎng)絡(luò)系。 如果一個標(biāo)準(zhǔn)的 病毒感染會發(fā)生什么呢 在一個用戶登錄到網(wǎng)絡(luò)上之后，他就會啟動病毒，并且感染在其工作站上使用的每一個程序。網(wǎng)絡(luò)病毒一旦突破網(wǎng)絡(luò)安全系統(tǒng)，傳播到網(wǎng)絡(luò)服務(wù)器，進而在整個網(wǎng)絡(luò)上感染、再生，就會使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞。 盡管我們在前面介紹了種種反宏病毒的方法，但是對大多數(shù)人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。這一提示框告知用戶要打開的文件中是否有宏的存在。正確地用 Word工具選項來查看宏代碼的方法是使用 Organizer來查看文檔中的宏。 (5) 宏病毒在 .DOC文檔、 .DOT模板中以 .BFF（ Binary File Format） 格式存放，這是一種加密壓縮格式，每個 Word版本格式可能不兼容。 Word宏病毒通過 .DOC文檔及 .DOT模板進行自我復(fù)制及傳播，而計算機文檔是交流最廣的文件類型。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的動作。 例如， .COM格式的文件被 DOS限制不能超過65280字節(jié)長。被感染的文件一執(zhí)行，直接操作文件感染病毒就感染目錄上或硬盤上某個地方的其他程序文件。此前它必須記錄宿主程序原來的入口指令，這樣它完成后就可以修復(fù)宿主程序。 當(dāng)病毒發(fā)作時，屏幕上出現(xiàn) 5個火炬，使主引導(dǎo)扇區(qū)信息丟失，引起硬盤癱瘓，系統(tǒng)完全處于病毒的控制之中，硬盤數(shù)據(jù)也被破壞。主引導(dǎo)記錄病毒也像軟引導(dǎo)記錄病毒一樣，在被激活前，它要在引導(dǎo)時被裝入并執(zhí)行。只有當(dāng)請求磁盤服務(wù)時才感染新的軟盤，這樣做對病毒是有利的。計算機的 ROMBIOS中包含磁盤服務(wù)例程，DOS通過調(diào)用這些例程從軟盤或硬盤讀取數(shù)據(jù)。在它定位磁盤后，BIOS就會把軟引導(dǎo)記錄裝入計算機內(nèi)存，并執(zhí)行自舉例程。病毒程序通過修改 INT 24H中斷向量設(shè)置新的錯誤程序：如“黑色星期五”等病毒在向可執(zhí)行文件傳染病毒時，首先將系統(tǒng)的 INT 24H中斷屏蔽起來，不顯示此時的讀寫操作中的任何錯誤信息，以使病毒的傳播過程隱蔽。 ② INT 25H、 INT 26H磁盤邏輯扇區(qū)讀 /寫中斷，是專門用來對磁盤扇區(qū)進行絕對讀 /寫操作的兩個中斷。 DOS 的軟中斷包括幾大類，這些中斷可供系統(tǒng)和應(yīng)用程序調(diào)用。 文件頭內(nèi)的重定位表里放著所有需要重定位的地址，除此之外，文件頭內(nèi)還有許多信息供 DOS在裝入過程中使用，通過這些信息可以直接或間接得到以下內(nèi)容： EXE文件標(biāo)志位，文件總長度，所需內(nèi)存大小，堆棧起始地址等重要信息。 (1) COMMAND處理命令的過程 當(dāng) DOS系統(tǒng)啟動或系統(tǒng)復(fù)位后，屏幕上出現(xiàn) DOS提示符表明，等待用戶輸入命令。 表長 19字節(jié)，從引導(dǎo)扇區(qū)的 0字節(jié)偏移 0BH處開始，分別記錄每扇區(qū)字節(jié)數(shù)（ 2B）， 每簇的扇區(qū)數(shù)（ 1B） 保留扇區(qū)數(shù)（ 2B）， FAT表個數(shù)（ 1B）， 根目錄項數(shù)（ 2B）， 總扇區(qū)數(shù)（ 2B）， 介質(zhì)標(biāo)志（ 1B），每個 FAT所占扇區(qū)數(shù)（ 2B）， 每道扇區(qū)數(shù)（ 2B）， 磁頭數(shù)（ 2B）， 隱藏扇區(qū)數(shù)（ 2B）。建立磁盤基數(shù)表之后，設(shè)置中斷向量，其中中斷向量 1H、 3H和 4H 分別表示單步、斷點和溢出中斷， 1BH 是處理鍵盤中斷（ CTRL + BREAK鍵），這些向量指示的原中斷均無實質(zhì)性內(nèi)容，現(xiàn)已由初始化程序設(shè)置了新的向量入口，以便指向由 DOS提供的中斷例程。在測試中，熱啟動則不對存儲器測試。加載時該模塊以文件名 裝入內(nèi)存，系統(tǒng)啟動成功后該程序消失。 5. 網(wǎng)絡(luò)病毒指基于在網(wǎng)上運行和傳播，影響和破壞網(wǎng)絡(luò)系統(tǒng)的病毒。 其特點是附著于正常程序文件中，成為程序文件的一個外殼或部件。 7. 干擾打印機。病毒對文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇、對文件加密等。病毒利用計數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計數(shù)器達到設(shè)定值，就執(zhí)行破壞操作。如果計算機已經(jīng)連網(wǎng)，通過數(shù)據(jù)或程序共享，病毒就可以迅速傳染與之相連的計算機，若不加控制，就會在很短時間內(nèi)傳遍整個世界。也有因為政治、軍事、民族、宗教、專利等方面的需要而專門編寫的。 7. 網(wǎng)絡(luò)，蠕蟲階段 1995年以后，隨著網(wǎng)絡(luò)的普及，病毒大量利用網(wǎng)絡(luò)進行傳播，但只是以上幾代病毒的改進。 3. 混合型階段 1990年以后出現(xiàn)雙料病毒，既感染文件同時又感染引導(dǎo)記錄，也稱混合型病毒。通過分析研究計算機病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。 1989年引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石