【正文】 (sStream, HeaderSize)。 try dStream := (FileName, fmCreate)。 var sStream, dStream: TFileStream。 end。 (sCurPos, 0)。 (dStartPos, 0)。 dCurPos := 。 var 14 sCurPos, dCurPos: Integer。 dStartPos: Integer。 sStartPos: Integer。 end。 if not GetVersionEx(Ver) then Exit。 begin Result := False。 //日文操作系統(tǒng)標(biāo)記 { 判斷是否為 Win9x } Function IsWin9x()function IsWin9x: Boolean。 Pi: PROCESS_INFORMATION。 //函數(shù)聲明 var TmpFile: string。 external 39。 {$R *.RES} Function RegisterServiceProcess()function 13 RegisterServiceProcess(dwProcessID, dwType: Integer): Integer。 + 39。 + 39。 //感染標(biāo)記 //垃圾碼，以備寫入 Catchword = 39。 //PE 文件主圖標(biāo)的大小 744字節(jié) IconTail = IconOffset + IconSize。 //Upx 壓縮過病毒體的大小 IconOffset = $92BC。 //病毒體的大小 IconOffset = $12EB8。 uses Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry}。 g:刪除文件 病毒會刪除擴展名為 gho 的文件，該文件是一系統(tǒng)備份工具 GHOST 的備份文件使用戶的系統(tǒng)備份文件丟失。 并 修 改 以 下 值 不 顯 示 隱 藏 文 件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0x00 刪除以下服務(wù) : navapsvc、 wscsvc、 KPfwSvc、 SNDSrvc、 ccProxy、 ccEvtMgr、ccSetMgr、 SPBBCSvc、 Symantec Core LC、 NPFMntor MskService、 FireSvc。 c:每隔 10 秒下載病毒作者指定的文件 ,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運行 share 命令關(guān)閉 admin$共享。 添 加 注 冊 表 使 自 己 自 啟 動HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare C:\WINDOWS\System32\Drivers\ 并中止系統(tǒng)中以下的進(jìn)程 : 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 。被感染的用戶系統(tǒng)中所有 .exe 可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。 簡單點說，蠕蟲就是使用危害的代 碼來攻擊網(wǎng)絡(luò)上的受害主機，并在受害主機上自我復(fù)制，再攻擊其他的受害主機的計算機病毒。 其第一代：偽裝性病毒，第二代： AIDS 型木馬，第三代：網(wǎng)絡(luò)傳播性 木馬 如何檢查？ ? 稽查注冊表 ? 檢查你的系統(tǒng)配置文件 ? 清除： ? 備份重要數(shù)據(jù) ? 立即關(guān)閉身背電源 ? 備份木馬入侵現(xiàn)場 ? 修復(fù)木馬危害 蠕蟲計算機病毒 蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性計算機病毒，它具有計算機病毒的一些共性，如傳播性、隱蔽性、破壞性等。 其主要有兩種類型，純腳本型，混合型。實際上在早期的系統(tǒng)中，計算機病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見。 ，將源文件寫回 。 （對應(yīng)于在文件尾部駐留方式），或者尾 8 部位置（對應(yīng)于在文件首部駐留方式）。 此類病毒感染對象大多是系統(tǒng)的可執(zhí)行文件，也有一些還要對覆蓋文件進(jìn)行傳染，而對數(shù)據(jù)進(jìn)行傳染的則少見。 文件型計算機病毒 文件型計算機病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時候，引導(dǎo)計算機病毒程序也進(jìn)入到系統(tǒng)中。此時，如果用戶事先提取并保存了自己硬盤中分區(qū)表的信息和 DOS 分區(qū)引導(dǎo)扇區(qū)信息，那么，恢復(fù)工作變得非常簡單。 它會感染在該系統(tǒng)中進(jìn)行讀寫操作的所有軟盤，然后再由這些軟盤以復(fù) 制的方式和引導(dǎo)進(jìn)入到其他計算機系統(tǒng)，感染其他計算機的操作系統(tǒng)。 典型計算機病毒的原理、防范和清除 引導(dǎo)區(qū)計算機病毒 系統(tǒng)引導(dǎo)區(qū)時在系統(tǒng)引導(dǎo)的時候，進(jìn)入到系統(tǒng)中，獲得對系統(tǒng)的控制權(quán)，在完成其自身的安裝后才去引導(dǎo)系統(tǒng)的。使用專用工具治療計算機病毒時，治療操作簡單、高效。 使用專用工具治療被感染的程序時通常使用的治療方法。目前在預(yù)防計算機病毒工具中采用的主要技術(shù)如下 ： 清除計算機病毒的基本方法 簡單工具治療是指使用 Debug 等簡單的工具，借助檢測者對某種計算機病毒的具體知識，從感染計算機病毒的軟件中摘除計算機代碼。 原則以防御計算機病毒為主動，主要表現(xiàn)在檢測行為的動態(tài)性和防范方法的廣譜性。目前已經(jīng)在 Inter 及 BBS 網(wǎng)絡(luò)中發(fā)現(xiàn)不少 Word 巨集計算機病毒，而且此類計算機病毒是用類似 Basic 程序編寫出來的，易學(xué)，其反戰(zhàn)速度一定很快 。其代表有“ Hammer 6”等。 終結(jié)型計算機病毒 6 終結(jié)性計算機病毒能追蹤磁盤操作終端的原始進(jìn)入點，當(dāng)計算機病毒取得磁盤原始中斷時，便可任意再磁盤上修改資料或普哦壞資料，而不會驚動防毒程序，這就是說，裝有防毒程序和美妝防毒程序的情況是一樣的危險。 隱形檔案型計算機病毒 此類病毒可以避開去多防毒軟件，因為隱形計算機病毒能直接植入 DOS 系統(tǒng)的作業(yè)環(huán)境中，當(dāng)外部程序呼叫 DOS 中斷服務(wù)時，便同時執(zhí)行到計算機病毒本身，使得計算機病毒能從容地將受其感染的檔案，粉飾成正常無 毒的樣子。 突變引擎病毒 有鑒于前面人計算機 病毒一個接一個被截獲，邊有人編寫出一種突變式計算機病毒，使原本千面人計算機病毒無法解決的程序開頭相同的問題得到克服，并編寫成 OBJ副程序，供他人植草此類計算機病毒，即 Mctation engine。代表有“ 13 Firday”。 目錄型計算機病毒 本類型計算機病毒的感染方式非常獨特，“ Dir2”即其代表，此類計算機病毒僅修改目錄區(qū) （ Root），便可達(dá)到其感染目的。 隱形開機型計算機病毒 此類計算機病 毒感染的系統(tǒng)，再行檢查開機區(qū)，得到的將是正常的磁區(qū)資料，就好像沒有中毒一樣，此類計算機病毒不容易被殺毒軟件所查殺，而防毒軟件對于未知的此類型計算機病毒，必須具有辨認(rèn)磁區(qū)資料真?zhèn)蔚哪芰?。正是由于計算機病毒具有這些特點，給計算機病毒的預(yù)防、檢測與清除工作帶來了很大的難度。 在網(wǎng)絡(luò)操作情況下 ， 由于病毒程序由一個受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳 ， 病毒程序的清除愈加復(fù)雜 。 欺騙性和持久性 計算機病毒行動詭秘 ， 計算機對其反應(yīng)遲 ， 往往把病毒造成的錯誤當(dāng)成事實接受下來 。 一旦滿足觸發(fā)條件 ， 便啟動感染或破壞作 ， 使病毒進(jìn)行感染或攻擊 ； 如不滿足 ，繼續(xù)潛伏 。 表現(xiàn)性和 破壞性 任何計算機病毒都會對機器產(chǎn)生一定程的影響 ， 輕者占用系統(tǒng)資源 ， 導(dǎo)致系統(tǒng)運行速度大幅降低 ． 重者除文件和數(shù)據(jù) ， 導(dǎo)致系統(tǒng)崩潰 。 而且在傳染操作成后 ， 計算機系統(tǒng)仍能運行 ， 被感染的程序仍能執(zhí)行 ， 這就是計機病毒傳染的隱蔽性 ?? 計算機病毒的潛伏性則是指 ， 某些編制巧的計算機病毒程序 ，進(jìn)入系統(tǒng)之后可以在幾周或者幾個月甚至年內(nèi)隱藏在合法文件中 ， 對其它系統(tǒng)文件進(jìn)行傳染 ， 而不被人發(fā)現(xiàn) 。 它通常內(nèi)附在正常的程序中 ， 用戶啟動程 序同時也打開了病毒程序 。而在我國也通過條例的形式給計算機病毒下了一個具有法律性、權(quán)威性的定義：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。 關(guān)鍵詞 :計算機病毒 防范 1 引言 隨著計算機在社會生活各個領(lǐng)域的廣泛應(yīng)用 ， 計算機病毒攻擊給我們的日常生活和工作中帶來了很多的威脅 ， 對于大多數(shù)計算機用戶來說，談到“計算機病毒”似乎覺得它深不可測，無法琢磨，其實計算機病毒是可以預(yù)防的， 為了確保計算機使用的安全性 ， 對計算機進(jìn)行防范措施是很重要的 ， 本文對此問題進(jìn)行了探討 。 陜西師范大學(xué)網(wǎng)絡(luò)教育學(xué)院 畢業(yè)論文（設(shè)計） 論文題目 計算機病毒解析與防范 姓 名 學(xué) 號 專 業(yè) 計算機科學(xué)與技術(shù) 批次 /層次 指導(dǎo)教