【正文】 一、計算機(jī)病毒的特征傳染性病毒可以通過生物體之間的直接或間接接觸從一個生物體進(jìn)入另一個生物體，并且使得遭到傳染的生物體成為病毒的新傳染源。繁殖性在特定生物環(huán)境下不斷地進(jìn)行自我繁殖。針對性病毒的傳染一般都會針對特定的對象。所不同的是，計算機(jī)病毒不是微生物，而是一個可執(zhí)行的計算機(jī)程序。第二章 計算機(jī)病毒分析第一節(jié) 計算機(jī)病毒分析一、 病毒主要表現(xiàn)和破壞性為①機(jī)器的運(yùn)行速度明顯變慢。③對文件或數(shù)據(jù)進(jìn)行修改，如修改文件名稱、改寫文件內(nèi)容、甚至刪除文件。⑤機(jī)器或文件被自動加密，本來無密碼的機(jī)器，開機(jī)時卻出現(xiàn)“請輸入密碼”。 ⑦引導(dǎo)區(qū)或DOS的命令外殼文件受攻擊。⑨機(jī)器的顯示屏幕被騷擾，莫名其妙地出現(xiàn)一些字符或者演奏音樂等二、病毒的存儲結(jié)構(gòu)分析對于計算機(jī)病毒的存儲結(jié)構(gòu)來說，不同類型的病毒，在磁盤上的存儲結(jié)構(gòu)是不同的。主引導(dǎo)記錄區(qū)和引導(dǎo)記錄區(qū)中存有DOS系統(tǒng)啟動時所用的信息。 軟盤空間的總體劃分 當(dāng)使用DOS的外部命令FORMAT格式化一張軟盤后，不僅把磁盤劃分為若干磁道，每一磁道劃分為若干扇區(qū)，而且同時把劃分的扇區(qū)分為五大區(qū)域，它們分別是引導(dǎo)記 錄區(qū)、文件分配表文件分配表根目錄區(qū)以及數(shù)據(jù)區(qū)。文件分配表（FAT表）是反映磁盤上所有文件各自占用的扇區(qū)的一個登記表，此表非 常重要。對于硬盤來說，由于其存儲空間比較大，為了允許多個操作系統(tǒng)分享硬盤空間，并希望能從磁盤啟動 系統(tǒng)，DOS在格式化硬盤時，把硬盤劃分為主引導(dǎo)記錄區(qū)和多個系統(tǒng)分區(qū)。當(dāng)然這類文件是極少數(shù)，因?yàn)檫@些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。 系統(tǒng)修改型 這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。目前大多數(shù)文件型的病毒屬于這一類。從計算機(jī)病毒的傳播機(jī)理分析可知，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計算機(jī)病毒傳播途徑。不可移動的計算機(jī)硬件設(shè)備這些設(shè)備通常有計算機(jī)的專用ASIC芯片和硬盤等。 移動存儲設(shè)備可移動式磁盤包括軟盤、CDROM（光盤）、磁帶、優(yōu)盤等其中軟盤是使用廣泛、移動頻繁的存儲介質(zhì)，因此也成了計算機(jī)病毒寄生的“溫床”。隨著大容量可移動存儲設(shè)備如Zip盤、可擦寫光盤、磁光盤（MO）等的普遍使用，這些存儲介質(zhì)也將成為計算機(jī)病毒寄生的場所。硬盤傳播計算機(jī)病毒的途徑體現(xiàn)在：硬盤向軟盤上復(fù)制帶毒文件，帶毒情況下格式化軟盤，向光盤上刻錄帶毒文件，硬盤之間的數(shù)據(jù)復(fù)制，以及將帶毒文件發(fā)送至其他地方等。計算機(jī)網(wǎng)絡(luò) 現(xiàn)代信息技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn)，“相隔天涯，如在咫尺”，但也為計算機(jī)病毒的傳播提供了新的“高速公路”。在我們信息國際化的同時，我們的病毒也在國際化。決不打開來歷不明郵件的附件或你并未預(yù)期接到的附件。我們建議您至少每周更新一次病毒定義碼，因?yàn)榉啦《拒浖挥凶钚虏抛钣行?。領(lǐng)先的防病毒軟件供應(yīng)商現(xiàn)在都已將病毒掃描作為自動程序，當(dāng)用戶在初裝其產(chǎn)品時自動執(zhí)行。 ④確保你的計算機(jī)對插入的軟盤、光盤和其他的可插拔介質(zhì)。因?yàn)橥ǔＮ覀儫o法判斷什么是不可靠的渠道，所以比較保險的辦法是對安全下載的軟件在安裝前先做病毒掃描。如果你收到一封來自朋友的郵件，聲稱有一個最具殺傷力的新病毒，并讓你將這封警告性質(zhì)的郵件轉(zhuǎn)發(fā)給你所有認(rèn)識的人，這十有八九是欺騙性的病毒。⑦使用其他形式的文檔，如RTF（Rich Text Format）和PDF（Portable ）。嘗試用Rich Text存儲文件，這并不表明僅在文件名稱中用RTF后綴，而是要在Microsoft Word中，用“另存為”指令，在對話框中選擇Rich Text形式存儲。而PDF文件不僅是跨平臺的，而且更為安全。這是導(dǎo)致病毒從一臺機(jī)器傳播到另一臺機(jī)器的方式。 ⑨禁用Windows Scripting Host。⑩使用基于客戶端的防火墻或過濾措施。第二節(jié) 病毒的治理一、計算機(jī)病毒的治理措施 建立有效的計算機(jī)病毒防護(hù)體系有效的計算機(jī)病毒防護(hù)體系應(yīng)包括多個防護(hù)層。上述六層計算機(jī)防護(hù)體系，須有有效的硬件和軟件技術(shù)的支持，如安全設(shè)計及規(guī)范操作。 防止電磁輻射和電磁泄露采取電磁屏蔽的方法，阻斷電磁波輻射，這樣，不僅可以達(dá)到防止計算機(jī)信息泄露的目的，而且可以防止“電磁輻射式”病毒的攻擊。早在1994年，美國軟件工程學(xué)院就成立了計算機(jī)應(yīng)急反應(yīng)分隊。實(shí)施跟蹤研究應(yīng)著重圍繞以下方面進(jìn)行：一是計算機(jī)病毒的數(shù)學(xué)模型。三是計算機(jī)病毒的攻擊方式，重點(diǎn)研究網(wǎng)絡(luò)間無線傳遞數(shù)據(jù)的標(biāo)準(zhǔn)化，以及它的安全脆弱性和高頻電磁脈沖病毒槍置人病毒的有效性。第四章 計算機(jī)病毒的檢測和清除第一節(jié) 計算機(jī)病毒的檢測一、病毒的檢測方法[5]特征代碼法 特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件中患有何種病毒。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。行為監(jiān)測法 利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。在正常程序中，這些行為比較罕見。軟件模擬法 多態(tài)性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因?yàn)椴恢《镜姆N類，難于做消毒處理。 ，使之能在系統(tǒng)啟動時加載和運(yùn)行木馬程序。通過查看系統(tǒng)進(jìn)程可以發(fā)現(xiàn)運(yùn)行的木馬程序，在對木馬進(jìn)行清除時，當(dāng)然首先要停掉木馬程序的系統(tǒng)進(jìn)程。使用殺毒軟件和木馬查殺工具進(jìn)行木馬查殺 常用的殺毒軟件包括KV3000、瑞星、諾頓等，這些軟件對木馬的查殺是比較有效的，但是要注意時刻更新病毒庫，而且對于一些木馬查殺不徹底，在系統(tǒng)重新啟動后還會自動加載。如果受破壞的大多是系統(tǒng)文件和應(yīng)用程序文件，并且感染程度較深，那么可以采取重裝系統(tǒng)的辦法來達(dá)到清除計算機(jī)病毒的目的。②修復(fù)前，盡可能再次備份重要的數(shù)據(jù)文件。但是對那些重要的用戶數(shù)據(jù)文件等還是應(yīng)該在殺毒前手工單獨(dú)進(jìn)行備份，備份不能做在被感染破壞的系統(tǒng)內(nèi)，也不應(yīng)該與平時的常規(guī)備份混在一起。某些計算機(jī)病毒在Windows 95/98狀態(tài)下無法完全清除（如CIH計算機(jī)病毒），此時我們應(yīng)使用事先準(zhǔn)備的未感染計算機(jī)