【正文】 頁惡意代碼有著更大的危害，很有可能在我們不知道的情況下下載木馬，蠕蟲等病毒，同時把我們的私人信息，如銀行帳號， 帳號，游戲帳號泄露出去。 b、代碼取代攻擊型 這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發(fā)現(xiàn)，清除起來也較困難。 4)檢測文件。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因為不知病毒的種類，難于做殺毒處理，由此出現(xiàn)了一種新的軟件模擬法。即使我們做的夠多夠好，仍然無法應(yīng) 付最新的病毒爆發(fā)，這就需要我們在使用計算機的時候時刻保持清醒的頭腦，要密切注意計算機的異常癥狀。 6)無意中要求對軟盤進行寫操作 沒有進行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤，或者要求在讀取、復(fù)制寫保護的軟盤上的文件時打開軟盤的寫保護。雖然目前還很少有純粹地針對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的正常訪問。 其次， 計算機病毒發(fā)作時的表征現(xiàn)象 計算機病毒發(fā)作時是指滿足計算機病毒發(fā)作的條件，計算機病毒程序開始破壞行為的階段。這類計算機病毒一般是屬于 “ 良性 ”計算機病毒，但也有那種用戶輸了后，進行破壞的 “ 惡性 ” 計算機病毒。一種就是確實將目錄結(jié)構(gòu)破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據(jù)，再也無法恢復(fù)。計算機病毒存儲于磁盤中，激活時駐留在內(nèi)存中。但是，這種方法同樣對檢測者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。 如果病毒只是存在于移動存儲設(shè)備（如軟盤、閃存盤、移動硬盤）上，就可以借助本地硬盤 上的反病毒軟件直接進行查殺，或者干脆把移動存儲設(shè)備上的文件備份到硬盤上，然后重新格式化掉移動存儲設(shè)備，再把文件復(fù)制回去。文件型病毒是對源文件進行修改，使其成為新的文件。 26 第二步 在內(nèi)存無毒的情況下比較 和 文件的長度變化。所以從這個意義上說，蠕蟲也是一種病毒！網(wǎng)絡(luò)蠕蟲病毒，作為對互聯(lián)網(wǎng)危害嚴重的 一種計算機程序，其破壞力和傳染性不容忽視。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 致 謝 四年的大學(xué)生活就快走入尾聲，我們的校園生活就要劃上句號，心中是無盡的難舍與眷戀。再次對周巍老師表示衷心的感謝。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。但是在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當他和一些傳統(tǒng)的惡性病毒相結(jié)合時，其危害就更為嚴重了。 恢復(fù)原文件頭部的參數(shù)。 事項 : ① 如果用干凈的啟動盤啟動計算機以后發(fā)現(xiàn)不能訪問硬盤，而且硬盤不是 NTFS 格式，但是用硬盤啟動計算機以后可以訪問硬盤，則說明你的機器感染了可以加密引導(dǎo)區(qū)信息的病毒，此時看到的是加密的信息，比如前面提到的 “Monkey （猴子） ” 病毒。 引導(dǎo)型病毒清除 : 當你的 殺毒軟件 查出了機器感染了 WYX 的時候請不要驚慌，先要看 清楚該文件的感染位置。 需要注意的是，若要檢測硬盤中的計算機病毒，則啟動系統(tǒng)的 DOS 軟盤的版本應(yīng)該等于或高于硬盤內(nèi) DOS 系統(tǒng)的版本號。 由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統(tǒng)時要立即報警并清除，這樣才能確保系 統(tǒng)安全，待計算機病毒發(fā)作后再去殺毒，實際上已經(jīng)為時已晚。有些計算機病毒修改了硬盤的關(guān)鍵內(nèi)容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。有的計算機病毒會在發(fā)作的時候?qū)τ脖P進行格式化，或者寫入許多垃圾文件， 或反復(fù)讀取某個文件，致使硬盤上的數(shù)據(jù)遭到損失。當然，這種情況也可以認為是非法的。這可能是計算機病毒感染造成的。需要注意的是在 Windows 95/98 下，記事本程序所能夠編輯的文本文件不超過 64Kb 字節(jié)，如果用 “ 復(fù)制／粘貼 ” 操作粘貼一段很大的文字到記事本程序時，也會報 “ 內(nèi)存不足，不能完成操作 ” 的錯誤，但這不是計算機病毒在作怪。 e、硬盤空間觀察法 有些病毒不會破壞你的系統(tǒng)文件，而僅是生成一個隱藏的文件，這個文件一般內(nèi)容很少，但所占硬盤空間很大，有時大得讓你的硬盤無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然后把所查看的內(nèi)容屬性設(shè)置成可查看所有屬性的文件（這方法應(yīng)不需要我來說吧？），相信這個龐然大 物一定會到時顯形的，因為病毒一般把它設(shè)置成隱藏屬性的。在正常程序中，這些行為比較罕見。如果病毒既感染 文件，又感染 EXE 文件，那么要對這種病毒要同時采集 COM 型病毒樣本和 EXE 型病毒樣本。 通過 Inter 傳播病毒的方 式很多，包括 FTP 文件下載、訪問惡意 WWW 網(wǎng)站、 P2P 文件下載、即時通訊等等。 （ Inter Information Server）服務(wù)為 Web 服務(wù)器提供了強大的 Inter 和Intra 服務(wù)功能。有些腳本語言，例如 VBScript（ Visual Basic Script）以及 JavaScript 病毒，必須通過Microsoft 的 Windows Scripting Host（ WSH）才能夠激活執(zhí)行以及感染其他文件 ⑧ PE 病毒工作方式 PE病毒，是指感染 Windows PE 格式文件的病毒。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入 MBR 中，然后清除硬盤中的文件 ④宏病毒的工作方式 宏病毒是利用宏語句編寫的。 6 “ 蠕蟲 ” 型病毒 ，通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的 內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。 除了上述五點外，計算機病毒還具有不可預(yù)見性、衍生性、針對性、欺騙性、持久性等特點。 4 傳染性： 傳染性是病毒的基本特征。 1990 年 ,發(fā)展為復(fù)合型病毒 ,可感染 COM 和 EXE 文件。反病毒軟件、防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離、數(shù)據(jù)恢復(fù)技術(shù) ?? 這一根根救命稻草，使很多企業(yè)和個人用戶免遭侵害，在很大程度上緩解了計算機病毒造成的巨大破壞，同時，越來越多的企業(yè)加入到信息安全領(lǐng)域，同層出不窮的黑客和病毒制造者做著頑強的斗爭。 （一）計算機病毒的定義 一般來講，凡是能夠引起計算機故障，能夠破壞計算機中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計算機病毒。 3 幽靈、多形階段 ： 1994 年 ,隨著匯編語言的發(fā)展 ,實現(xiàn)同一功能可以用不同的方式進行完成 ,這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。 根據(jù)病毒傳染的方法可分為 駐留型病毒 和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（ RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去 ,他處于激活狀態(tài) ,一直到關(guān)機或重新啟動 .非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存 ,一些病毒在內(nèi)存中留有小部分 ,但是并不通過這一部分進行傳染 ,這類病毒也被劃分為非駐留型病毒。 變型病毒（又稱幽靈病毒） 這 一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。因此用 Java 編寫的應(yīng)用程序的移植性非常強，包括現(xiàn)在的手機中的一些程序也是用 Java 編寫的。即感染病毒的文件從一臺計算機復(fù)制、遷移到另一臺計算機。要避免被網(wǎng)頁惡意代碼感染，首先關(guān)鍵是不要輕易去訪問一些并不信任的站點，尤其是一些 帶有美女圖片等的網(wǎng)址。 c、系統(tǒng)修改型 這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)，根據(jù)數(shù)據(jù)庫中的病毒特征代碼。 有了病毒的一些基本知識后現(xiàn)在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我可以按以下幾個方法來判斷。比如，電腦動作比平常遲鈍，正常使用計算機的時候突然出現(xiàn)黑屏、運行一個小程序的時候出現(xiàn)硬盤連續(xù)長時間讀取、內(nèi)存或者磁盤的空間突然減小、運行程序時候死機等異常癥狀，這時我們就要考慮是否遭遇到病毒感染了，接著需要通過殺毒軟件來對整個硬盤進行徹底的檢查。這很可能是計算機病毒自動查找軟盤是否在軟驅(qū)中的時候引起的系統(tǒng)異常。 12)基本內(nèi)存發(fā)生變化 在 DOS 下用 mem /c/p 命令查看系統(tǒng)中內(nèi)存使用狀況的時候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的 640Kb 要小，一般少 1Kb～ 2Kb。計算機病毒發(fā)作時的表現(xiàn)大都各不相同，可以說一百個計算機病毒發(fā)作有一百種花樣。 6)Windows 桌面圖標發(fā)生變化 這一般也是惡作劇式的計算機病毒發(fā)作時的 表現(xiàn)現(xiàn)象。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在有該計算機病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應(yīng)用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。因此對計算機病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。 使用專用工具治療被感染的程序時通常使用的治療方法。 如果病毒確實是在硬盤的引導(dǎo)區(qū)上，也不用怕，這類病毒的清除方法很簡單，針對不同的 操作系統(tǒng) 有不同的清除方法，一般可以不依靠殺毒軟件。 文件型病毒分兩類：一種是將病毒加在 COM 前部 ,一種是加在文件尾部。如果長度一致說明 還是無毒文件，必須重新實驗，直到長度改變。與傳統(tǒng)的病毒不同，蠕蟲病毒以計算機為載體，以網(wǎng)絡(luò)為攻擊對象！本文中將蠕蟲病毒分為針對企 業(yè)網(wǎng)絡(luò)和個人用戶 2類，并從企業(yè)用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施 ! 蠕蟲也是一種病毒，因此具有病毒的共同特征。 涉密論文按學(xué)校規(guī)定處理。從這里走出，對我的人生來說，將是踏上一個新的征程，要把所學(xué)的知識應(yīng)用到實際工作中去。從他身上，我學(xué)到了許多能受益終生的東西。 作者簽名： 日 期： 32 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨立進行研究所取得的研究成果。實際上在早期的系統(tǒng)中，計算機病毒就已經(jīng)開始利用腳本進行傳播和破壞，不過專門的腳本病毒并不常見。 找到計算機病毒程序的首部位置（對應(yīng)于在文件尾部駐留方式），或者 尾部位置（對應(yīng)于在文件首部駐留方式）。 ② 然后分別執(zhí)行 fixmbr（恢復(fù)主引導(dǎo)記錄）和 fixboot（恢復(fù)啟動盤上的引導(dǎo)區(qū)），再輸入 EXIT［回車］，重新啟動即可。可以直接用 Debug 將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別恢復(fù)到它的原來位置，這樣就消除了計算機病毒?？梢姳Ａ粢环菸幢挥嬎銠C病毒感染的、寫保護的 DOS 系統(tǒng)軟盤是很重要的。 8)網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。 “ 惡性 ” 計算機病毒發(fā)作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發(fā)作后所造成的后果： 1)硬盤 無法啟動，數(shù)據(jù)丟失 計算機病毒破壞了硬盤的引導(dǎo)扇區(qū)后，就無法從硬盤啟動計算機系統(tǒng)了。有時候?qū)δ硞€硬盤扇區(qū)或文件反復(fù)讀取的情況下也會造成硬盤燈不斷閃爍。需要注意的是有些網(wǎng)頁中有一些腳本程序會自動鏈接到一些網(wǎng)頁評比站點，或者是廣告站點，這時候也會有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。 10)磁盤空間迅速減少 沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的可用的磁盤空間減 少地很快。這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減小。 d、特征字符串觀察法 這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應(yīng)的特征代碼，如 CIH病毒就會 在入侵的文件中寫入“ CIH”這樣的字符串，當然我們不可能輕易地發(fā)現(xiàn)，我們可以對主要的系統(tǒng)文件（如 )運用 16 進制代碼編輯器進行編輯就可發(fā)現(xiàn)，當然編輯之前最好還要要備份，畢竟是主要系統(tǒng)文件。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。特征代碼法的實現(xiàn)步驟如下 : ① 采集已知 病毒樣本。計算機病毒可以附著在正常文件中，當你從網(wǎng)上下載一個被感染的程序或文件，并在你的計算機上未加任何防護措施的情況下運行它，病毒就傳染過來了。個人用戶應(yīng)禁止自動打開默認共享，給自己的帳戶設(shè)置復(fù)雜密碼，最好是數(shù)字、字母以及特殊符號相結(jié)合，安裝防火墻。腳本病毒依賴于一些特殊的腳本語言（例如 VBScript、 JavaScript、 Jscript、 PerlScript、 PHP、 Flash 等）。例如 ，該病毒也稱為 ，主要感染 COM、 EXE 和 MBR。病毒把自身寫入 COM 文件并不改變 EXE 文件，當 DOS 加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的 EXE 文件。病 毒運行時，觸發(fā)機制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。 （三） 計算機病毒的特性 寄生 性： 計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動