【正文】 定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法。特征代碼法檢測可識別病毒的名稱、準(zhǔn)確快速、誤報警率低、并可 根據(jù)檢測結(jié)果來自動解毒，但收集已知病毒的特征代碼時開銷很大，而且無法對付隱蔽型病毒。此法要求使用者不但要具有專業(yè)的病毒方面的知識，還要具有較全面的計算機操作系統(tǒng)的知識。若是，將特征代碼添加到病毒特征碼庫中。 （ 3）分析法 ：此法是針對未知的新病毒所采用的方法。能夠?qū)崿F(xiàn)這種掃描的軟件稱為特征掃描器，病毒特征碼庫掃描引擎和組成了特征掃描器，其中已知病毒的特征代碼由病毒特征碼庫提供，掃描引擎是利用病毒特征碼庫對檢測對象進行匹配性掃描，如果有匹配便發(fā)出警告。比較法簡單易行，但是無 法確定發(fā)現(xiàn)的異常是否是病毒，即使是病毒也無法識別其名稱和種類。這種比較法只需要具有比較功能的工具軟件就可以進行，不但可以發(fā)現(xiàn)已知病毒甚至可以發(fā)現(xiàn)未知病毒。特征代碼法用到了比較法、掃描法和分析法。 特征代碼法 此 法判斷文件是否感染了病毒是通過檢查文件中是否有病毒數(shù)據(jù)庫中的病毒特征碼。 四、安全模式 重啟，直接進入安全模式，如果無法進入，并且出現(xiàn) 藍(lán)屏 等現(xiàn)象，則應(yīng)該引起警惕，可能是病毒入侵的后遺癥，也可能病 毒還沒有清除！ 五、映像劫持 打 開 注 冊 表 編 輯 器 ， 定 位 ：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti，查看有沒有可疑的映像劫持項目，如果發(fā)現(xiàn)可疑項，很可能已經(jīng)中毒。 三、網(wǎng)絡(luò)連接 ADSL 用戶，在這個時候可以進行虛擬撥號，連接到 Inter 了。 第二步：用 msconfig 察看是否有可疑的自啟動項，切換到 “ 啟動 ” 選項卡，逐一排查就可以了。 二、自啟動項目 進程排查完畢，如果沒有發(fā)現(xiàn)異常，則開始排查啟動項。 第二步：打開冰刃等軟件，先查看有沒有隱藏進程（ 冰刃 中以紅色標(biāo)出），然后查看系統(tǒng)進程的路徑是否正確。 深入型病毒的傳染過程與引導(dǎo)型病毒和文件型病毒的傳染過程類似，只不它既感染磁盤的引導(dǎo)扇區(qū)又感染磁盤文件。如果 只將病毒從被感染的文件中清除掉，當(dāng)系統(tǒng)重新啟動時，病毒將從硬盤引導(dǎo)記錄進入內(nèi)存，這之后文件又會被感染；如果只將隱藏在引導(dǎo)記錄里的病毒消除掉，當(dāng)文件運行時，引導(dǎo)記錄又會被重新感染。也更難于被消除干凈（如 FILP 病毒就屬此類）。 （ 5）深入型病毒 深入型病毒也稱之為混合型病毒，具有引導(dǎo)區(qū)病毒和文件型病毒兩種特征，以兩促方式進行傳染。為了有更多的 “ 作案 ” 機會，這種病毒常傳染系統(tǒng)文件?？蓤?zhí)行程序分為應(yīng)用類和系統(tǒng)類。一旦病毒占領(lǐng)了 CPU，運行后隨時可又以發(fā)動攻擊。病毒會在磁盤中尋找尚未染上此病毒的可執(zhí)行文件，將自身植入其首部或尾部，修改文件的長度使病毒程序合法化 ，還修改該程序，使執(zhí)行該文件前首先掛靠病毒程序，在病毒程序的出口處再跳向原程序開始處。 這類病毒的載體是可執(zhí)行程序，只有用戶鍵入該程序名，或用其它方法運行該程序，病毒方能引入內(nèi)存，并占領(lǐng) CPU，運行病毒程序。將病毒的代碼加 載到運行程序的文件中，只要運行該程序，病毒就會被激活，同時又會傳染給其它文件。 （ 4）、文件型病毒 文件型病毒也常稱之為外殼型病毒。為了盡可能地擴散，一般在感染后一段時間內(nèi)，病毒只悄悄地傳播而不發(fā)作，不易察覺。傳播前一般要先判斷磁盤是否已感染過，若已感染，則不再感染，否則就搜索盤中連續(xù)幾個未用簇，把第二部分和原引導(dǎo)記錄寫到這些簇中，把這幾簇的位置和病毒標(biāo)志記載在第一部分，在 FAT 表中給這幾個簇置上壞簇標(biāo)記，再把在內(nèi)存高端的 病毒程序第一部分寫到磁盤的引導(dǎo)扇區(qū)，就完成了傳播。帶病毒系統(tǒng)盤啟動后， 病毒程序就安裝到內(nèi)存的高端，如僅此而已，只耗去部分內(nèi)存空間，對系統(tǒng)沒有什么影響，那么病毒是如何傳播的呢？ 病毒是一段程序，必須占領(lǐng) CPU，運行時才能傳播。 各類引導(dǎo)型病毒引入存儲過程大致相同。如果是染上病毒的盤，讀到內(nèi)存的是病毒程序的第一部分，它得到控制權(quán)后修改內(nèi)存可用空間的大小，在內(nèi)存高端辟出一塊區(qū)域 ,并把第一部分移至該區(qū) ,接著讀入放在磁盤 ” 壞簇 ” 中的第二部分，并和第一部分拼起來 ，使病毒程序全部駐留在內(nèi)存的高端，然后修改 INT13H 的中斷向量或其它中斷向量，使其向高端的病毒程序，這時即可把原引導(dǎo)程序讀到內(nèi)存中，并把控制權(quán)交給它以完成系統(tǒng)的啟動。 引導(dǎo)程序放在磁盤的引導(dǎo)扇區(qū)中。這些簇在文件分配表 FAT 中做上壞簇的標(biāo)記，使其不被覆蓋而永久地駐留在磁盤中（磁盤已使用的簇必須在文件分配表 FAT 中做上簇的標(biāo)記，否則會因其它文件的使用而 被覆蓋）。這類病毒通常將整個病毒或病毒的一部分裝入引導(dǎo)扇區(qū)，而把原引導(dǎo)記錄和病毒的其它部分轉(zhuǎn)移到磁盤的其它扇區(qū)保存起來，這類病毒在系統(tǒng)啟動時便可獲得控制權(quán)，進行傳播和破壞活動。而引導(dǎo)區(qū)病毒則用它自身來代替磁盤上原來的引導(dǎo)區(qū) 代碼，并將病毒裝入內(nèi)存。常見圓點病毒、大麻病毒、巴基斯坦智囊病毒及 BRAIN 病毒等均屬這類。 （ 3）、引導(dǎo)扇型病毒（ BOOT Sector Virus） 開機啟動時，在 DOS 的引導(dǎo)過程中被引入內(nèi)存的病毒稱之為引導(dǎo)病毒。 通常來說，良性病毒在發(fā)作時，僅占用 CPU 的時間，進行與當(dāng)前執(zhí)行程序無關(guān)的事件來干擾系統(tǒng)工作（如小球病毒、巴基斯坦病毒）。它多數(shù)是惡作劇者的產(chǎn)物，其目的不是為了對系統(tǒng)數(shù)據(jù)進行破壞，而是為了讓使用這種被傳染的計算機系統(tǒng)用戶通過屏幕顯示的表現(xiàn)形式，了解一下病毒程序編寫者在計算機編程技術(shù)與技巧方面的超群才華。按前者分類，主要有良性病毒和惡性兩大種，若按后者，即病毒在計算機中的傳播方式來分有引導(dǎo)型病毒、文件型病毒及深入型三種。病毒運行時，觸發(fā)機制檢 查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。 可觸發(fā)性 病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。 破壞性 計算機中毒后，可能會導(dǎo)致正常的程序無法運行，把計算機內(nèi)的文件刪除或受到不同程度的損壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識，有的則執(zhí)行 破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾 天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續(xù)危害。 潛伏 性 有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。當(dāng)您在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器 相聯(lián)網(wǎng)的其他計算機也許也被該病毒染上了。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達到自我繁殖 的目的。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表 現(xiàn)出病癥甚至死亡。傳染性是病毒的基本特征。它能通過某種途徑潛伏在計算機的存儲介質(zhì)（或程序）里，當(dāng)達到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大！ 計算機病毒 特點 繁殖性 計算機病毒可以像 生物病毒一樣進行繁殖，當(dāng)正常程序運行的時候，它也進行運行自身復(fù)制，是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。 計算機病毒（ Computer Virus）在《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》中被明確定義，病毒指 “ 編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自 熊貓燒香病毒（尼姆亞病毒變種） 我復(fù)制的一組計算機指令或者程序代碼 ” 。 3. 計算機病毒定義 第一節(jié) 計算機病毒定義 計算機病毒的定義 編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼被稱為計算機病毒（ Computer Virus）。那么計算機病毒的預(yù)防也就更顯得重要了。可以預(yù)見 ,隨著計算機、網(wǎng)絡(luò)運 用的不斷普及、深入 ,防范計算機病毒將越來越受到各國的高度重視。據(jù)報道 ,世界各國遭受計算機病毒感染和攻擊的事件數(shù)以億計 ,嚴(yán)重地干擾了正常的人類社會生活 ,給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。因為計算機 病毒不僅破壞文件，刪除有用的數(shù)據(jù)，還可導(dǎo)致整個計算機系統(tǒng)癱瘓，給計算機用戶造成巨大的損失?？梢灶A(yù)見，隨著計算機、網(wǎng)絡(luò)運用的不斷普及、深入，防范計算機病毒將越來越受到人們的高度重視。 計算機病毒現(xiàn)在已成為影響計算機安全的罪魁禍?zhǔn)?，對信息社會造成了?yán)重威脅。對于大多數(shù)計算機用戶 來說，談到“計算機病毒”似乎覺得他深不可測，無法琢磨。 Prevention 1. 引 言 目前計算機的應(yīng)用遍及到社會的各個領(lǐng)域，同時計算機病毒也給我們帶來了巨大的破壞和