【正文】 一、計(jì)算機(jī)病毒的特征傳染性病毒可以通過(guò)生物體之間的直接或間接接觸從一個(gè)生物體進(jìn)入另一個(gè)生物體，并且使得遭到傳染的生物體成為病毒的新傳染源。繁殖性在特定生物環(huán)境下不斷地進(jìn)行自我繁殖。針對(duì)性病毒的傳染一般都會(huì)針對(duì)特定的對(duì)象。所不同的是，計(jì)算機(jī)病毒不是微生物，而是一個(gè)可執(zhí)行的計(jì)算機(jī)程序。第二章 計(jì)算機(jī)病毒分析第一節(jié) 計(jì)算機(jī)病毒分析一、 病毒主要表現(xiàn)和破壞性為①機(jī)器的運(yùn)行速度明顯變慢。③對(duì)文件或數(shù)據(jù)進(jìn)行修改，如修改文件名稱、改寫文件內(nèi)容、甚至刪除文件。⑤機(jī)器或文件被自動(dòng)加密，本來(lái)無(wú)密碼的機(jī)器，開機(jī)時(shí)卻出現(xiàn)“請(qǐng)輸入密碼”。 ⑦引導(dǎo)區(qū)或DOS的命令外殼文件受攻擊。⑨機(jī)器的顯示屏幕被騷擾，莫名其妙地出現(xiàn)一些字符或者演奏音樂等二、病毒的存儲(chǔ)結(jié)構(gòu)分析對(duì)于計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)來(lái)說(shuō)，不同類型的病毒，在磁盤上的存儲(chǔ)結(jié)構(gòu)是不同的。主引導(dǎo)記錄區(qū)和引導(dǎo)記錄區(qū)中存有DOS系統(tǒng)啟動(dòng)時(shí)所用的信息。 軟盤空間的總體劃分 當(dāng)使用DOS的外部命令FORMAT格式化一張軟盤后，不僅把磁盤劃分為若干磁道，每一磁道劃分為若干扇區(qū)，而且同時(shí)把劃分的扇區(qū)分為五大區(qū)域，它們分別是引導(dǎo)記 錄區(qū)、文件分配表文件分配表根目錄區(qū)以及數(shù)據(jù)區(qū)。文件分配表（FAT表）是反映磁盤上所有文件各自占用的扇區(qū)的一個(gè)登記表，此表非 常重要。對(duì)于硬盤來(lái)說(shuō)，由于其存儲(chǔ)空間比較大，為了允許多個(gè)操作系統(tǒng)分享硬盤空間，并希望能從磁盤啟動(dòng) 系統(tǒng)，DOS在格式化硬盤時(shí)，把硬盤劃分為主引導(dǎo)記錄區(qū)和多個(gè)系統(tǒng)分區(qū)。當(dāng)然這類文件是極少數(shù)，因?yàn)檫@些病毒開發(fā)者不可能輕易得到那些軟件開發(fā)公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業(yè)的編程水平。 系統(tǒng)修改型 這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來(lái)達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。目前大多數(shù)文件型的病毒屬于這一類。從計(jì)算機(jī)病毒的傳播機(jī)理分析可知，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計(jì)算機(jī)病毒傳播途徑。不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備這些設(shè)備通常有計(jì)算機(jī)的專用ASIC芯片和硬盤等。 移動(dòng)存儲(chǔ)設(shè)備可移動(dòng)式磁盤包括軟盤、CDROM（光盤）、磁帶、優(yōu)盤等其中軟盤是使用廣泛、移動(dòng)頻繁的存儲(chǔ)介質(zhì)，因此也成了計(jì)算機(jī)病毒寄生的“溫床”。隨著大容量可移動(dòng)存儲(chǔ)設(shè)備如Zip盤、可擦寫光盤、磁光盤（MO）等的普遍使用，這些存儲(chǔ)介質(zhì)也將成為計(jì)算機(jī)病毒寄生的場(chǎng)所。硬盤傳播計(jì)算機(jī)病毒的途徑體現(xiàn)在：硬盤向軟盤上復(fù)制帶毒文件，帶毒情況下格式化軟盤，向光盤上刻錄帶毒文件，硬盤之間的數(shù)據(jù)復(fù)制，以及將帶毒文件發(fā)送至其他地方等。計(jì)算機(jī)網(wǎng)絡(luò) 現(xiàn)代信息技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn)，“相隔天涯，如在咫尺”，但也為計(jì)算機(jī)病毒的傳播提供了新的“高速公路”。在我們信息國(guó)際化的同時(shí)，我們的病毒也在國(guó)際化。決不打開來(lái)歷不明郵件的附件或你并未預(yù)期接到的附件。我們建議您至少每周更新一次病毒定義碼，因?yàn)榉啦《拒浖挥凶钚虏抛钣行?。領(lǐng)先的防病毒軟件供應(yīng)商現(xiàn)在都已將病毒掃描作為自動(dòng)程序，當(dāng)用戶在初裝其產(chǎn)品時(shí)自動(dòng)執(zhí)行。 ④確保你的計(jì)算機(jī)對(duì)插入的軟盤、光盤和其他的可插拔介質(zhì)。因?yàn)橥ǔＮ覀儫o(wú)法判斷什么是不可靠的渠道，所以比較保險(xiǎn)的辦法是對(duì)安全下載的軟件在安裝前先做病毒掃描。如果你收到一封來(lái)自朋友的郵件，聲稱有一個(gè)最具殺傷力的新病毒，并讓你將這封警告性質(zhì)的郵件轉(zhuǎn)發(fā)給你所有認(rèn)識(shí)的人，這十有八九是欺騙性的病毒。⑦使用其他形式的文檔，如RTF（Rich Text Format）和PDF（Portable ）。嘗試用Rich Text存儲(chǔ)文件，這并不表明僅在文件名稱中用RTF后綴，而是要在Microsoft Word中，用“另存為”指令，在對(duì)話框中選擇Rich Text形式存儲(chǔ)。而PDF文件不僅是跨平臺(tái)的，而且更為安全。這是導(dǎo)致病毒從一臺(tái)機(jī)器傳播到另一臺(tái)機(jī)器的方式。 ⑨禁用Windows Scripting Host。⑩使用基于客戶端的防火墻或過(guò)濾措施。第二節(jié) 病毒的治理一、計(jì)算機(jī)病毒的治理措施 建立有效的計(jì)算機(jī)病毒防護(hù)體系有效的計(jì)算機(jī)病毒防護(hù)體系應(yīng)包括多個(gè)防護(hù)層。上述六層計(jì)算機(jī)防護(hù)體系，須有有效的硬件和軟件技術(shù)的支持，如安全設(shè)計(jì)及規(guī)范操作。 防止電磁輻射和電磁泄露采取電磁屏蔽的方法，阻斷電磁波輻射，這樣，不僅可以達(dá)到防止計(jì)算機(jī)信息泄露的目的，而且可以防止“電磁輻射式”病毒的攻擊。早在1994年，美國(guó)軟件工程學(xué)院就成立了計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì)。實(shí)施跟蹤研究應(yīng)著重圍繞以下方面進(jìn)行：一是計(jì)算機(jī)病毒的數(shù)學(xué)模型。三是計(jì)算機(jī)病毒的攻擊方式，重點(diǎn)研究網(wǎng)絡(luò)間無(wú)線傳遞數(shù)據(jù)的標(biāo)準(zhǔn)化，以及它的安全脆弱性和高頻電磁脈沖病毒槍置人病毒的有效性。第四章 計(jì)算機(jī)病毒的檢測(cè)和清除第一節(jié) 計(jì)算機(jī)病毒的檢測(cè)一、病毒的檢測(cè)方法[5]特征代碼法 特征代碼法是檢測(cè)已知病毒的最簡(jiǎn)單、開銷最小的方法。病毒如果既感染COM文件，又感染EXE文件，對(duì)這種病毒要同時(shí)采集COM型病毒樣本和EXE型病毒樣本。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可以斷定，被查文件中患有何種病毒。在文件使用過(guò)程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。行為監(jiān)測(cè)法 利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。在正常程序中，這些行為比較罕見。軟件模擬法 多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。雖然行為檢測(cè)法可以檢測(cè)多態(tài)性病毒，但是在檢測(cè)出病毒后，因?yàn)椴恢《镜姆N類，難于做消毒處理。 ，使之能在系統(tǒng)啟動(dòng)時(shí)加載和運(yùn)行木馬程序。通過(guò)查看系統(tǒng)進(jìn)程可以發(fā)現(xiàn)運(yùn)行的木馬程序，在對(duì)木馬進(jìn)行清除時(shí)，當(dāng)然首先要停掉木馬程序的系統(tǒng)進(jìn)程。使用殺毒軟件和木馬查殺工具進(jìn)行木馬查殺 常用的殺毒軟件包括KV3000、瑞星、諾頓等，這些軟件對(duì)木馬的查殺是比較有效的，但是要注意時(shí)刻更新病毒庫(kù)，而且對(duì)于一些木馬查殺不徹底，在系統(tǒng)重新啟動(dòng)后還會(huì)自動(dòng)加載。如果受破壞的大多是系統(tǒng)文件和應(yīng)用程序文件，并且感染程度較深，那么可以采取重裝系統(tǒng)的辦法來(lái)達(dá)到清除計(jì)算機(jī)病毒的目的。②修復(fù)前，盡可能再次備份重要的數(shù)據(jù)文件。但是對(duì)那些重要的用戶數(shù)據(jù)文件等還是應(yīng)該在殺毒前手工單獨(dú)進(jìn)行備份，備份不能做在被感染破壞的系統(tǒng)內(nèi)，也不應(yīng)該與平時(shí)的常規(guī)備份混在一起。某些計(jì)算機(jī)病毒在Windows 95/98狀態(tài)下無(wú)法完全清除（如CIH計(jì)算機(jī)病毒），此時(shí)我們應(yīng)使用事先準(zhǔn)備的未感染計(jì)算機(jī)