【導(dǎo)讀】的人已經(jīng)是鳳毛麟角了。但在談虎色變之余，很多人對計(jì)算機(jī)病毒又充滿了好奇，對。病毒的制造者既痛恨又敬畏。然的感情一樣，因?yàn)闊o法解釋風(fēng)雨雷電，也就只能制造神話，崇拜圖騰了。年因?yàn)橛?jì)算機(jī)病毒造成的直接、間接經(jīng)濟(jì)損失都超過百億美元。但同時(shí)，它也催化了。反病毒軟件、防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離、這一根根救命稻草，使很多企業(yè)和個(gè)人用戶免遭侵害，在很大程度。上緩解了計(jì)算機(jī)病毒造成的巨大破壞，同時(shí)，越來越多的企業(yè)加入到信息安全領(lǐng)域，同層出不窮的黑客和病毒制造者做著頑強(qiáng)的斗爭。目前市場上主流廠商的信息。的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。自從1987年發(fā)現(xiàn)了全世界首例計(jì)算機(jī)病毒以來，病毒的數(shù)量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計(jì)算機(jī)領(lǐng)域的各個(gè)行業(yè)。1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。發(fā)展為可以感染硬盤,典型的代表有"石頭2"。

　　

【正文】 盤啟動計(jì)算機(jī)以后可以訪問硬盤，則說明你的機(jī)器感染了可以加密引導(dǎo)區(qū)信息的病毒，此時(shí)看到的是加密的信息，比如前面提到的 “Monkey （猴子） ” 病毒。遇到這種病毒時(shí)你應(yīng)該讓系統(tǒng)自己引導(dǎo)計(jì)算機(jī)，讓病毒自己解密，然后用殺毒軟件備份引導(dǎo)區(qū)的信息（目前國產(chǎn)的三大殺毒軟件都有此功能），然后再用干凈的啟動盤啟動計(jì)算機(jī)，把剛剛備份出來的引導(dǎo)區(qū)信息再寫回硬盤就可以了。 ② 如果你的機(jī)器被病毒感染無法啟動，且用軟盤引導(dǎo)也看不到硬盤（硬盤 不是 NTFS分區(qū) ）則最好不要對硬盤進(jìn)行寫操作，應(yīng)該找有經(jīng)驗(yàn)的人員來幫您解決，以免造成不必要的損失。 25 （二）文件型計(jì)算機(jī)病毒 1. 文件型病毒概述 文件型 病毒 與引導(dǎo)區(qū)型病毒工作的方式是完全不同的 , 在各種 PC機(jī)病毒中 , 文件型病毒占的數(shù)目最大 ,傳播 得廣 ,采用的技巧 也多。文件型病毒是對源文件進(jìn)行修改，使其成為新的文件。 文件型病毒分兩類：一種是將病毒加在 COM 前部 ,一種是加在文件尾部。 文件型病毒傳染的對象主要是 .COM 和 .EXE 文件。 我們把所有通過 操作系統(tǒng) 的 文件系統(tǒng)進(jìn)行感染的病毒都稱作文件 病毒，所以這是一類數(shù)目非常巨大的病毒。理論上可以制造這樣一個(gè)病毒，該病毒可以感染基本上所有操作系統(tǒng)的可執(zhí)行文件。目前已經(jīng)存在這樣的文件病毒，可以感染所有標(biāo)準(zhǔn)的 DOS 可執(zhí)行文件：包括批處理文件、 DOS 下的可加載驅(qū)動程序（ .SYS）文件以及普通的 COM／ EXE 可執(zhí)行文件。當(dāng)然還有感染所有視窗操作系統(tǒng)可執(zhí)行文件的病毒，可感染文件的種類包括：視窗 版本，視窗 9X 版本，視窗 NT 和視窗 20xx版本下的可執(zhí)行文件，后綴名是 EXE、 DLL 或者 VXD、 SYS。 除此之外，還有一些病毒可以感染 高級語言 程序的源代碼，開發(fā)庫和編譯過程所生成的中間文件。病毒也可能隱藏在普通的數(shù)據(jù)文件中，但是這些隱藏在數(shù)據(jù)文件中的病毒不是獨(dú)立存在的，必須需要隱藏在普通可執(zhí)行文件中的病毒部分來加載這些代碼。從某種意義上，宏病毒 — 隱藏在字處理文檔或者電子數(shù)據(jù)表中的病毒也是一種文件型病毒。 ① 清除原理 確定計(jì)算機(jī)病毒程序的位置，是駐留在文件尾部還是在文件首部。 找到計(jì)算機(jī)病毒程序的首部位置（對應(yīng)于在文件尾部駐留方式），或者 尾部位置（對應(yīng)于在文件首部駐留方式）。 恢復(fù)原文件頭部的參數(shù)。 修改文件長度，將源文件寫回。 ②一個(gè) exe 文件型病毒的清除： EXE 文件型病毒分析要點(diǎn)在于分析出殺毒所需的以下四個(gè)關(guān)鍵性參數(shù) 包括 病毒長度 、病毒的特征搜索字符串 、 病毒所隱藏的正常初始 CS： IP 值相對于染毒文件未尾的偏移值 、病毒所隱藏的正常初始 SS： IP 值相對于染毒文件未尾的偏移值。 EXE 文件型病毒殺毒關(guān)鍵性參數(shù)的分析方法如下：（假設(shè)誘餌程序?yàn)?C:\WINNT\） 第一步 復(fù)制一個(gè) 的副本 ，通過做病毒 感染實(shí)驗(yàn)，讓 感染上病毒。 26 第二步 在內(nèi)存無毒的情況下比較 和 文件的長度變化。如果長度一致說明 還是無毒文件，必須重新實(shí)驗(yàn)，直到長度改變。 第三步 用 的長度減去 的長度，所得的差即為病毒長度。 超出部分就是病毒代碼。如果 文件長度為 152 個(gè)字節(jié)，則病毒的代碼從染毒的文件的 152＋ 1 個(gè)字節(jié)開始 第四步 執(zhí)行 C:\winnt\debug U 此時(shí)看到的就是病毒開頭部分的代碼（ EXE 文件型病毒本 來就是鏈接在宿主 EXE 文件末尾的，但 DEBUG 在調(diào)入 EXE 文件時(shí)根據(jù) EXE 文件頭的信息對代碼進(jìn)行了重定位，由于文件頭已被病毒修改，因此在內(nèi)存中病毒代碼反會位于宿主原正常代碼之前），取 1020 字節(jié)作為病毒特征碼。 第五步 將 和 分別進(jìn)行增加后綴名為 DAT（這樣我們才能用 DEBUG 看到它們的文件頭部分，因?yàn)橛捎?EXE 文件的特殊結(jié)構(gòu)， DEBUG 如果直接調(diào)入 EXE 文件，將看不到 EXE 文件的頭信息）。比較它們的頭 20H 個(gè)字節(jié)，會發(fā)現(xiàn)偏移 02H05H 的文件長度，偏移 0EH11H 的初 始 SS:SP 值以及偏移 14H17H 的初始 CS:IP 值肯定不同。記下 的偏移 0EH11H 的正常初始 SS:SP 值，偏移 14H17H 的正常初始 CS:IP值。從 的病毒開始處搜索正常的初始 SS:SPHE CS:IP(假設(shè)正常 BAI 文件的為152 個(gè)字節(jié)，就從文件的 152＋ 1個(gè)字節(jié)開始 )。 第六步 在染毒 BAI 文件的病毒代碼中找到正常的初始 SS:SP / CS:IP 值后，算處它們相對染毒文件末尾的偏移值。 （三）腳本型計(jì)算機(jī)病毒 主要采用腳本語言設(shè)計(jì)的病毒稱其為腳本病 毒。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當(dāng)他和一些傳統(tǒng)的惡性病毒相結(jié)合時(shí)，其危害就更為嚴(yán)重了。 其主要有兩種類型，純腳本型，混合型。 它的特點(diǎn)： 編寫簡單 27 破壞力大 感染力強(qiáng) 傳播范圍大（多通過 Email，局域網(wǎng)共享，感染網(wǎng)頁文件的方式傳播） 計(jì)算機(jī)病毒源碼容易被獲取，變種多 欺騙性強(qiáng) 使得計(jì)算機(jī)病毒生產(chǎn)機(jī)事先起來非常容易 腳本型計(jì)算機(jī)病毒清除： FileSystemObject Windows Scripting Host vbs， vbe， js， jse 文件后綴與應(yīng)用程序映射 Windows 目錄中，找到 ，更改名稱或者刪除 vbs 網(wǎng)絡(luò)蠕蟲病毒，還需要設(shè)置一下瀏覽器 OE的自動收發(fā)電子郵件功能 “中等” （四）特洛伊木馬計(jì)算機(jī)病毒 特洛伊木馬也叫黑客程序或后門病毒，是指隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性及好，不易察覺，是一種極為危險(xiǎn)的網(wǎng)絡(luò)攻 擊手段。 其第一代：偽裝性病毒，第二代： AIDS 型木馬，第三代：網(wǎng)絡(luò)傳播性木馬 如何檢查？ 特洛伊木馬清除： ① 備份重要數(shù)據(jù) ② 立即關(guān)閉身背電源 ③ 備份木馬入侵現(xiàn)場 ④ 修復(fù)木馬危害 （五）蠕蟲計(jì)算機(jī)病毒 28 凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。所以從這個(gè)意義上說，蠕蟲也是一種病毒！網(wǎng)絡(luò)蠕蟲病毒，作為對互聯(lián)網(wǎng)危害嚴(yán)重的 一種計(jì)算機(jī)程序，其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同，蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對象！本文中將蠕蟲病毒分為針對企 業(yè)網(wǎng)絡(luò)和個(gè)人用戶 2類，并從企業(yè)用戶和個(gè)人用戶兩個(gè)方面探討蠕蟲病毒的特征和一些防范措施 ! 蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為 ” 宿主 ” ，例如， windows 下可執(zhí)行文件的格式為 pe 格式 (Portable Executable)，當(dāng)需要感染 pe 文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序 ，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來的程序指令?？梢姡《局饕歉腥疚募?，當(dāng)然也還有像 DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會感染其他機(jī)器，所以傳播方式也是用軟盤等方式。 蠕蟲一般不采取利用 pe 格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī) .局域網(wǎng)條件下的共享文件夾，電子郵件 ，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著 漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球 !而且蠕蟲的主動攻擊性和突然爆發(fā)性將使得人們手足無策 ! ： ① 與防火墻互動 ② 交換機(jī)聯(lián)動 ③ 通知 HIDS（基于主機(jī)的入侵檢測） ④ 報(bào)警 四、計(jì)算機(jī)主要檢測技術(shù)和特點(diǎn)（簡介） 29 結(jié)尾：魔高一尺，道高一丈。我們相信，只要知己知彼，我們一定會在與計(jì)算機(jī)病毒進(jìn)行的這場 持久戰(zhàn)中取得最終的勝利！ 30 參考文獻(xiàn) 來自網(wǎng)絡(luò)及書籍：《計(jì)算機(jī)病毒原理與防范》 計(jì)算機(jī)病毒分析與防范大全 (第 2版 ) 作 者：韓筱卿 王建鋒 鐘 瑋 等編著 出 版 社： 電子工業(yè)出版社出 計(jì)算機(jī)病毒防治實(shí)用技術(shù) 【作 者】： 袁忠良 主編 【出版項(xiàng)】： 清華大學(xué)出版社 / 199805 31 畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他 人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。對本研究提供過幫助和做出過貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說明并表示了謝意。 作 者 簽 名： 日 期： 指導(dǎo)教師簽名： 日 期： 使用授權(quán)說明 本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存 畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。 作者簽名： 日 期： 32 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。對本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式 標(biāo)明。本人完全意識到本聲明的法律后果由本人承擔(dān)。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 涉密論文按學(xué)校規(guī)定處理。 作者簽名： 日期： 年 月 日 33 導(dǎo)師簽名： 日期： 年 月 日 34 致 謝 時(shí)間飛逝， 大學(xué) 的學(xué)習(xí)生活很快就要過去，在這 四年 的學(xué)習(xí)生活中，收獲了很多，而這些成績的取得是和一直關(guān)心幫助我的人分不開的。 首先非常感謝學(xué)校開設(shè)這個(gè)課題，為本人日后從事計(jì)算機(jī)方面的工作提供了經(jīng)驗(yàn)，奠定了基礎(chǔ)。本次畢業(yè)設(shè)計(jì)大概持續(xù)了半年，現(xiàn)在終于到結(jié)尾了。本次畢業(yè)設(shè)計(jì)是對我大學(xué)四年學(xué)習(xí)下來最好的檢驗(yàn)。經(jīng)過這次畢業(yè)設(shè)計(jì)，我的能力有了很大的提高，比如操作能力、分析問題的能力、合作精神、嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)等方方面面都有很大的進(jìn)步。這期間凝聚了很多人的 心血，在此我表示由衷的感謝。沒有他們的幫助，我將無法順利完成這次設(shè)計(jì)。 首先，我要特別感謝我的知道郭謙功老師對我的悉心指導(dǎo)，在我的論文書寫及設(shè)計(jì)過程中給了我大量的幫助和指導(dǎo)，為我理清了設(shè)計(jì)思路和操作方法，并對我所做的課題提出了有效的改進(jìn)方案。郭謙功老師淵博的知識、嚴(yán)謹(jǐn)?shù)淖黠L(fēng)和誨人不倦的態(tài)度給我留下了深刻的印象。從他身上，我學(xué)到了許多能受益終生的東西。再次對周巍老師表示衷心的感謝。 其次，我要感謝大學(xué)四年中所有的任課老師和輔導(dǎo)員在學(xué)習(xí)期間對我的嚴(yán)格要求，感謝他們對我學(xué)習(xí)上和生活上的幫助，使我了解了許多專業(yè)知識 和為人的道理，能夠在今后的生活道路上有繼續(xù)奮斗的力量。 另外，我還要感謝大學(xué)四年和我一起走過的同學(xué)朋友對我的關(guān)心與支持，與他們一起學(xué)習(xí)、生活，讓我在大學(xué)期間生活的很充實(shí)，給我留下了很多難忘的回憶。 最后，我要感謝我的父母對我的關(guān)系和理解，如果沒有他們在我的學(xué)習(xí)生涯中的無私奉獻(xiàn)和默默支持，我將無法順利完成今天的學(xué)業(yè)。 致 謝 四年的大學(xué)生活就快走入尾聲，我們的校園生活就要劃上句號，心中是無盡的難舍與眷戀。從這里走出，對我的人生來說，將是踏上一個(gè)新的征程，要把所學(xué)的知識應(yīng)用到實(shí)際工作中去。 回首四年，取得 了些許成績，生活中有快樂也有艱辛。感謝老師四年來對我孜孜不倦的教誨，對我成長的關(guān)心和愛護(hù)。 學(xué)友情深，情同兄妹。四年的風(fēng)風(fēng)雨雨，我們一同走過，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。 35 在我的十幾年求學(xué)歷程里，離不開父母的鼓勵和支持，