病毒入侵微機(jī)的途徑與防治研究計(jì)算機(jī)應(yīng)用目錄一、計(jì)算機(jī)病毒的概述1（一）計(jì)算機(jī)病毒的定義1（二）計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展2（三）計(jì)算機(jī)病毒的特性3（四）計(jì)算機(jī)病毒的分類4（五）計(jì)算機(jī)病毒傳播途徑關(guān)鍵環(huán)節(jié)9（六）計(jì)算機(jī)病毒入侵的途徑9（七）計(jì)算機(jī)病毒的入侵方式11二、計(jì)算機(jī)病毒防和清除的基本原則和技術(shù)11（一）計(jì)算機(jī)病毒防的概念和原則12（二）計(jì)算機(jī)病毒防基本技術(shù)12（三）判斷病毒的方法13（四）清除計(jì)算機(jī)病毒的基本方法22三、典型計(jì)算機(jī)病毒的原理、防和清除22（一）引導(dǎo)區(qū)計(jì)算機(jī)病毒22（二）文件型計(jì)算機(jī)病毒24（三）腳本型計(jì)算機(jī)病毒26（四）特洛伊木馬計(jì)算機(jī)病毒27（五）蠕蟲計(jì)算機(jī)病毒27四、計(jì)算機(jī)主要檢測技術(shù)和特點(diǎn)（簡介）28參考文獻(xiàn)30病毒入侵微機(jī)的途徑及防范研究一.計(jì)算機(jī)病毒概述提起電腦病毒，絕大多數(shù)電腦用戶都會深惡痛絕，因?yàn)闆]被騙過的人少之又少。但是，很多人對電腦病毒充滿了好奇，對病毒制造者又恨又怕。這種復(fù)雜的感覺其實(shí)很好理解，就像古人面對自然的感受一樣。因?yàn)轱L(fēng)雨雷電無法解釋，只能創(chuàng)造神話，崇拜圖騰。當(dāng)然，計(jì)算機(jī)病毒不值得崇拜。它們給社會信息化的發(fā)展帶來了太多的麻煩，每年計(jì)算機(jī)病毒造成的直接和間接經(jīng)濟(jì)損失都在100億美元以上。同時也催化了一個新的產(chǎn)業(yè)——信息安全產(chǎn)業(yè)。反病毒軟件、防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離、數(shù)據(jù)恢復(fù)技術(shù)...這一根救命稻草，讓很多企業(yè)和個人用戶免受侵害，也在很大程度上緩解了電腦病毒帶來的巨大損失。與此同時，越來越多的企業(yè)加入到信息安全領(lǐng)域，與層出不窮的黑客和病毒制造者進(jìn)行頑強(qiáng)的斗爭。但稻草畢竟是稻草，救一時不一定能救一輩子。目前市場主流廠商的信息安全產(chǎn)品經(jīng)過多年的積累和精心研發(fā)，無論是產(chǎn)品線還是技術(shù)都已經(jīng)達(dá)到了相當(dāng)完善的水平。但是，再好的產(chǎn)品，如果你不知道怎么用，不能發(fā)揮它真正的優(yōu)勢，那它和吸管有什么區(qū)別呢？很多用戶被病毒感染后才想起買殺毒軟件，查殺后就再也不管了。他們沒有定期的升級和維護(hù)，也沒有根據(jù)自身使用環(huán)境的特點(diǎn)制定相應(yīng)的防范策略。可以說產(chǎn)品的使用效率已經(jīng)降到了最低。在這種狀態(tài)下，他們?nèi)绾螒?yīng)對千變?nèi)f化的病毒攻擊？那么，如何把手中的稻草變成有力的武器，在危險(xiǎn)臨近的時候，主動出擊，防患于未然呢？筆者認(rèn)為，關(guān)鍵問題在于對“對手”的認(rèn)識。正如我們上面提到的，我們之所以現(xiàn)在對很多自然現(xiàn)象習(xí)以為常，是因?yàn)槲覀儗λ鼈兊某梢蛴辛俗罨镜牧私狻＿@樣才能未雨綢繆，配合手中的工具，防患于未然。(一)計(jì)算機(jī)病毒的定義一般來說，所有能引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)內(nèi)資源(包括硬件和軟件)的代碼統(tǒng)稱為計(jì)算機(jī)病毒。在1994年頒布實(shí)施的《中華人民共和國計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》中，對計(jì)算機(jī)病毒的定義是:“計(jì)算機(jī)病毒是編譯或插入計(jì)算機(jī)程序中，破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼”。(二)計(jì)算機(jī)病毒的出現(xiàn)和發(fā)展自1987年發(fā)現(xiàn)世界上第一個計(jì)算機(jī)病毒以來，病毒的數(shù)量早已過萬，并且還在以每年2000個新病毒的速度遞增，不斷困擾著所有涉及計(jì)算機(jī)領(lǐng)域的行業(yè)。計(jì)算機(jī)病毒造成的危害和損失眾所周知，發(fā)明計(jì)算機(jī)病毒的人也受到社會和輿論的譴責(zé)。有人可能會問，“誰發(fā)明了計(jì)算機(jī)病毒？”這個問題到現(xiàn)在也解釋不清楚，但有一點(diǎn)是肯定的，那就是計(jì)算機(jī)病毒的發(fā)源地是科學(xué)最發(fā)達(dá)的美國。盡管世界各地的計(jì)算機(jī)專家從不同的立場或角度分析了病毒產(chǎn)生的原因，但一直未能下定論。他們只能推測計(jì)算機(jī)病毒是由以下原因造成的:一是科幻小說的啟發(fā)；二、惡作劇的產(chǎn)物；第三，電腦游戲的產(chǎn)物；四。軟件產(chǎn)權(quán)保護(hù)的結(jié)果。IT界普遍認(rèn)為，從最初的單機(jī)盤病毒到逐漸進(jìn)入人們視野的手機(jī)病毒，計(jì)算機(jī)病毒主要經(jīng)歷了以下幾個發(fā)展階段。DOS引導(dǎo)階段:1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，代表有“小球”和“石頭”病毒。那時候電腦硬件少，功能簡單，一般需要軟盤啟動。I型引導(dǎo)病毒利用軟盤的引導(dǎo)原理工作。它們修改系統(tǒng)的引導(dǎo)扇區(qū)，在計(jì)算機(jī)啟動時先獲得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系統(tǒng)訪問磁盤時擴(kuò)散。1989年，引導(dǎo)病毒發(fā)展到感染硬盤，典型代表就是“石頭2”。DOS的可執(zhí)行階段:1989年，可執(zhí)行文件病毒出現(xiàn)。他們使用DOS系統(tǒng)的機(jī)制來加載和執(zhí)行文件，他們被表示為“耶路撒冷”和“星期日”病毒。病毒代碼在系統(tǒng)執(zhí)行文件時獲得控制權(quán)，修改DOS中斷，在系統(tǒng)被調(diào)用時感染它們，并將其自身附加到可執(zhí)行文件中，從而增加文件長度。1990年發(fā)展成復(fù)合病毒，可以感染COM和EXE文件。批處理階段:1992年，伴隨病毒出現(xiàn)，它們使用DOS的優(yōu)先級順序加載文件。當(dāng)它感染EXE文件時，會生成一個與EXE同名、擴(kuò)展名為COM的同伴；當(dāng)它感染了一個COM文件，就把原來的COM文件改成同名的EXE文件，產(chǎn)生一個與原來同名的同伴，文件擴(kuò)展名是COM。這樣，當(dāng)DOS加載文件時，病毒就獲得了控制權(quán)。幽靈，多態(tài)階段:1994年，隨著匯編語言的發(fā)展，同樣的功能可以用不同的方式實(shí)現(xiàn)。這些方法的結(jié)合使得一段看似隨機(jī)的代碼產(chǎn)生了相同的操作結(jié)果。幽靈利用了這個特性，每次被感染都會產(chǎn)生不同的代碼。發(fā)電機(jī)級:1995年，在匯編語言中，一些數(shù)據(jù)操作放在不同的通用寄存器中，也能得到同樣的結(jié)果。隨機(jī)插入一些空操作和不相關(guān)的指令，并且操作的結(jié)果不受影響，從而可以由生成器生成解碼算法。當(dāng)一個病毒產(chǎn)生后，這種復(fù)雜的病毒生成器和變種機(jī)就應(yīng)運(yùn)而生了。典型代表是“病毒制造者”VCL。網(wǎng)絡(luò)，蠕蟲階段:1995年，隨著互聯(lián)網(wǎng)的普及，病毒開始通過網(wǎng)絡(luò)傳播。它們只是以上幾代病毒的改進(jìn)。在非DOS操作系統(tǒng)中，“蠕蟲”是一個典型的代表。它不占用除內(nèi)存以外的任何資源，不修改磁盤文件，利用網(wǎng)絡(luò)函數(shù)搜索網(wǎng)絡(luò)地址，將自身擴(kuò)散到下一個地址。有時它存在于網(wǎng)絡(luò)服務(wù)器和啟動文件中。Windows病毒階段:1996年，隨著Windows和Windows95的日益普及，利用Windows的病毒開始發(fā)展。他們修改(NE，PE)文件，典型代表是DS.3873這些病毒的機(jī)制比較復(fù)雜，使用保護(hù)模式和API調(diào)用接口工作，清理方式也比較復(fù)雜。宏病毒階段:1996年，隨著WindowsWord功能的增強(qiáng)，利用Word的宏語言編寫病毒也成為可能。這類病毒使用類似Basic語言，易于編譯，感染W(wǎng)ord文檔。在Excel和AmiPro中出現(xiàn)的工作機(jī)制相同的病毒也屬于這一類。互聯(lián)階段:1997年，隨著互聯(lián)網(wǎng)的發(fā)展，各種病毒開始通過互聯(lián)網(wǎng)傳播，攜帶病毒的數(shù)據(jù)包越來越多。如果不小心打開這些，機(jī)器可能會中毒。(C)計(jì)算機(jī)病毒的特征寄生:計(jì)算機(jī)病毒寄生在其他程序中。這個程序執(zhí)行的時候，病毒會破壞它，但是在這個程序啟動之前，不容易被發(fā)現(xiàn)。傳染性:傳染性是病毒的基本特征。在生物界，病毒通過感染從一個有機(jī)體傳播到另一個有機(jī)體。在適當(dāng)?shù)臈l件下，可以大量繁殖，被感染的生物會出現(xiàn)癥狀，甚至死亡。同樣，計(jì)算機(jī)病毒會通過各種渠道從被感染的計(jì)算機(jī)傳播到未被感染的計(jì)算機(jī)，在某些情況下，被感染的計(jì)算機(jī)會出現(xiàn)故障，甚至癱瘓。潛伏:有些病毒就像定時炸彈，什么時候讓它們發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，在預(yù)定時間之前根本檢測不到，當(dāng)條件滿足時，突然爆發(fā)，破壞系統(tǒng)。一個設(shè)計(jì)良好的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)后一般不會立即攻擊，可以隱藏在合法文件中幾周、幾個月甚至幾年來感染其他系統(tǒng)而不被發(fā)現(xiàn)。潛伏期越好，它在系統(tǒng)中的存在時間越長，病毒的感染面積越大。隱蔽性:計(jì)算機(jī)病毒是一種短小精悍的可執(zhí)行程序，具有很高的編程技巧。如果不經(jīng)過程序代碼分析或者計(jì)算機(jī)病毒靜態(tài)代碼分析，不容易區(qū)分病毒程序和正常程序。破壞性:電腦中毒后，可能導(dǎo)致正常程序無法運(yùn)行，刪除電腦的文件或受到不同程度的損壞。通常表現(xiàn)為:增刪改移。可觸發(fā)性:病毒因事件或值的發(fā)生而誘發(fā)病毒感染或攻擊的特征稱為觸發(fā)。為了隱藏自己，病毒必須潛伏，少做動作。如果它完全不動，一直潛伏，病毒既不能感染，也不能破壞，因此失去了殺傷力。為了隱藏和保持其致命性，病毒必須是可觸發(fā)的。病毒的觸發(fā)機(jī)制用于控制感染和破壞的頻率。病毒有預(yù)定的觸發(fā)條件，可能是時間、日期、文件類型或某些特定數(shù)據(jù)。當(dāng)病毒運(yùn)行時，觸發(fā)機(jī)制檢查是否滿足預(yù)定條件，如果滿足，則啟動感染或破壞動作，使病毒感染或攻擊；如果沒有，讓病毒繼續(xù)潛伏。除了以上五點(diǎn)，計(jì)算機(jī)病毒還有不可預(yù)測性、衍生性、針對性、欺騙性和持久性。正是計(jì)算機(jī)病毒的這些特點(diǎn)，給計(jì)算機(jī)病毒的預(yù)防、檢測和清除帶來了極大的困難。隨著計(jì)算機(jī)應(yīng)用的不斷發(fā)展，病毒出現(xiàn)了一些新的特征，如:利用微軟漏洞主動傳播，在局域網(wǎng)內(nèi)快速傳播，傳播方式多樣，消耗大量系統(tǒng)和網(wǎng)絡(luò)資源，程序結(jié)構(gòu)翻倍，利用即時工具傳播病毒，整合病毒和黑客技術(shù)，遠(yuǎn)程啟動。(4)計(jì)算機(jī)病毒的分類按照科學(xué)、系統(tǒng)、嚴(yán)謹(jǐn)?shù)姆椒ǎ?jì)算機(jī)病毒可以分為以下幾種:按照計(jì)算機(jī)病毒屬性的方法，計(jì)算機(jī)病毒可以按照以下屬性進(jìn)行分類:通過病毒存在的媒體根據(jù)病毒存在的介質(zhì)，病毒可分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)病毒。網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，感染網(wǎng)絡(luò)中的可執(zhí)行文件。文件病毒感染電腦中的文件(如COM、EXE、DOC等。)，并且引導(dǎo)病毒會感染硬盤的引導(dǎo)扇區(qū)(MBR)。這三種情況也有混合型的，比如:多類型病毒(文件和引導(dǎo)類型)感染文件和引導(dǎo)扇區(qū)。這類病毒往往有復(fù)雜的算法，而且用的非常多。2.根據(jù)病毒傳播的方式根據(jù)病毒感染的方式，可分為常駐病毒和非常駐病毒。常駐病毒感染電腦后，把自己的常駐部分放在RAM中，與系統(tǒng)調(diào)用掛鉤，并入操作系統(tǒng)。它被激活，直到它被關(guān)閉或重新啟動。非常駐病毒在被激活時不會感染計(jì)算機(jī)內(nèi)存。有些病毒在內(nèi)存中有一小部分，但并不是通過這部分感染的。這樣的病毒也是分類的。3.根據(jù)病毒的破壞能力無害:除了在感染期間減少磁盤的可用空間之外，對系統(tǒng)沒有其他影響。非危險(xiǎn)型:這類病毒只是減少了圖像、聲音和類似聲音的存儲、顯示。危險(xiǎn):這種病毒會導(dǎo)致計(jì)算機(jī)系統(tǒng)的操作出現(xiàn)嚴(yán)重錯誤。非常型:這類病毒刪除程序，破壞數(shù)據(jù)，清除操作系統(tǒng)中的系統(tǒng)存儲區(qū)和重要信息。這些病毒之所以對系統(tǒng)造成危害，并不是因?yàn)樗鼈冏陨淼乃惴ㄖ写嬖谖ｋU(xiǎn)調(diào)用，而是因?yàn)樗鼈儽桓腥竞髸斐梢庀氩坏降臑?zāi)難性破壞。病毒引起的其他程序的錯誤也會破壞文件和扇區(qū)，這些病毒也是根據(jù)破壞能力來分類的。一些無害的病毒現(xiàn)在也可能破壞新版的DOS、Windows和其他操作系統(tǒng)。比如早期的病毒中，有一種“Denzuk”病毒，在360K磁盤上運(yùn)行良好，沒有造成任何損害，但在后來的高密度軟盤上卻可能造成大量數(shù)據(jù)丟失。4.根據(jù)病毒的算法伴生病毒，這種病毒不會改變文件本身。它們根據(jù)算法生成EXE文件的鄰接文件，這些文件具有相同的名稱和不同的擴(kuò)展名(COM)。例如，XCOPY.EXE的伴星是XCOPY-COM。將病毒本身寫入COM文件不會更改EXE文件。DOS加載文件時，先執(zhí)行伴侶，然后伴侶加載并執(zhí)行原EXE文件。“蠕蟲”病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和信息。它利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，通過網(wǎng)絡(luò)發(fā)送自己的病毒。有時它們存在于系統(tǒng)中，一般不占用除存儲以外的其他資源。寄生病毒除了伴性和“蠕蟲”病毒外，都可以稱為寄生病毒。它們被附加到系統(tǒng)的引導(dǎo)扇區(qū)或文件中，并通過系統(tǒng)的功能傳播。根據(jù)它們算法的不同，可以分為練習(xí)型病毒，包含錯誤，不能很好的傳播。比如有些病毒在調(diào)試階段。秘密病毒一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)、文件緩沖等DOS部門進(jìn)行修改。看到資源，使用更先進(jìn)的技術(shù)，并不容易。利用DOS空閑數(shù)據(jù)區(qū)工作。突變病毒(也稱為幽靈病毒)是一種使用復(fù)雜算法的病毒，因此它傳播的每個副本都有不同的體積和長度。他們一般的做法是一種解碼算法，混合了不相關(guān)的指令和改變后的病毒體。5.根據(jù)計(jì)算機(jī)病毒的工作方式(1)引導(dǎo)病毒的工作方式②文件病毒的工作方式大多數(shù)已知的病毒都是文件病毒。A型病毒一般只感染磁盤上的可執(zhí)行文件(COM、EXE)。當(dāng)用戶調(diào)用被感染的可執(zhí)行文件時，病毒首先運(yùn)行，然后病毒停留等待機(jī)會感染其他文件或直接感染其他文件。常見的感染方式是附著在正常的程序文件上，成為程序文件的外殼或組件。(a)領(lǐng)先病毒(b)文件病毒③混合病毒的工作模式混合病毒在感染方式上兼具引導(dǎo)病毒和文件病毒的特點(diǎn)。這種病毒的原始狀態(tài)是附著在可執(zhí)行文件上的，以此為載體進(jìn)行傳播。當(dāng)被感染的文件被執(zhí)行時，它會感染硬盤的主引導(dǎo)記錄。以后用硬盤啟動系統(tǒng)，會從文件病毒變成引導(dǎo)病毒。比如，血界。a，又名Tchechen.3420，主要感染COM、EXE、MBR。它將自己附加到可執(zhí)行文件的末尾，將破壞性代碼放入MBR，然后擦除硬盤中的文件。④宏病毒的工作模式宏病毒是由宏語句編寫的。他們通常使用宏的自動化功能進(jìn)行感染。當(dāng)被感染的宏運(yùn)行時，它會將自己安裝在應(yīng)用程序的模板中，并感染應(yīng)用程序創(chuàng)建和打開的所有文檔。Office中的Word、Excel、PowerPoint都有宏。⑤⑤Java病毒的工作模式Java是Sun公司開發(fā)的一種用于互聯(lián)網(wǎng)環(huán)境的編程語言。Java應(yīng)用程序不直接在操作系統(tǒng)中運(yùn)行，而是在Java虛擬機(jī)(JVM)上運(yùn)行。所以用Java寫的應(yīng)用程序，移植性很強(qiáng)，包括現(xiàn)在手機(jī)里的一些程序。Javaapplet是一個嵌入在HTML頁面中的可移植的JavaApplet。具有Java功能的瀏覽器可以運(yùn)行這個小程序。Web開發(fā)人員可以使用JavaApplet來構(gòu)建功能更加豐富的交互式動態(tài)網(wǎng)頁。它們將在用戶訪問網(wǎng)頁時執(zhí)行。黑客、病毒編寫者或其他惡意人員可能使用Java惡意程序代碼作為攻擊用戶系統(tǒng)的武器。⑥網(wǎng)絡(luò)病毒的工作方式隨著互聯(lián)網(wǎng)的快速發(fā)展，計(jì)算機(jī)病毒從最初的磁盤傳播到現(xiàn)在的網(wǎng)絡(luò)漏洞。如今，網(wǎng)絡(luò)病毒已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全的最大威脅之一。在網(wǎng)絡(luò)中，蠕蟲最先出現(xiàn)，傳播最廣，如“沖擊波”、“紅隊(duì)”病毒。⑦腳本病毒的工作模式腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。腳本是指從數(shù)據(jù)文檔執(zhí)行任務(wù)的一組指令。它也嵌入在一個文件中，通常是一個網(wǎng)頁文件。腳本依賴于一些特殊的腳本語言(如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等。).一些腳本語言，如VBScript(VisualBasicScript)和JavaScript病毒，必須由微軟的Windows腳本主機(jī)(WSH)激活并執(zhí)行，才能感染其他文件。⑧PE病毒工作模式PE病毒是指感染W(wǎng)indowsPE格式文件的病毒。PE病毒是目前影響較大的一種病毒。同時，PE病毒是所有病毒中數(shù)量多、破壞性大、技能最強(qiáng)的一種病毒。FunLove和“中國黑客”等病毒都屬于這個領(lǐng)域。(5)計(jì)算機(jī)病毒傳播途徑的關(guān)鍵環(huán)節(jié)電腦傳播有三個關(guān)鍵環(huán)節(jié):(1)被感染文件的遷移。也就是說，受感染的文件從一臺計(jì)算機(jī)復(fù)制并遷移到另一臺計(jì)算機(jī)。(2)電腦操作員的觸發(fā)。計(jì)算機(jī)病毒寄生在被感染的文件中。只有當(dāng)計(jì)算機(jī)操作員執(zhí)行或打開被感染的文件時，計(jì)算機(jī)病毒才有機(jī)會執(zhí)行并獲得對主機(jī)的控制。(3)感染。病毒控制了主機(jī)后，總能找到合適的目標(biāo)文件進(jìn)行感染，并將病毒副本嵌入目標(biāo)文件。(6)計(jì)算機(jī)病毒入侵的途徑隨著社會和科學(xué)的發(fā)展，計(jì)算機(jī)病毒的種類越來越多，但永遠(yuǎn)不會改變。那他們是怎么傳播的？目前，病毒入侵有幾種常見的方式:1.特洛伊入侵木馬可能是黑客在獲得我們操作系統(tǒng)可寫權(quán)限的前提下上傳的；也可能是我們不小心運(yùn)行了一個含有木馬的程序。很多時候我們防范意識不強(qiáng)，只是跑了一個別人發(fā)的“好玩”的程序。所以要多注意自己，不要隨意打開來歷不明的電子和文件，不要隨意運(yùn)行別人發(fā)來的軟件，檢查之前有沒有毒品。安裝木馬查殺軟件，并及時更新。2.共享入侵它是開放共享的，便于遠(yuǎn)程管理。這個功能對個人用戶用處不大，反而為黑客提供了方便。用戶應(yīng)該禁止自動打開默認(rèn)共享，為自己設(shè)置復(fù)雜的密碼，最好是數(shù)字和字母，結(jié)合特殊符號，并安裝防火墻。3.漏洞入侵(Internet信息服務(wù)器)服務(wù)為Web服務(wù)器提供強(qiáng)大的Internet和Intranet服務(wù)功能。主端口80用來完成操作，因?yàn)樽鳛閃eb服務(wù)器，端口80是一直開著的，這是一個很大的威脅。攻擊iis服務(wù)一直是黑客常用的方法。遠(yuǎn)程攻擊者可以利用webdavx3漏洞攻擊程序和telnet命令完成對IIS的遠(yuǎn)程攻擊。這種情況大多是企業(yè)管理者或網(wǎng)絡(luò)管理員對安全問題重視不夠造成的。要經(jīng)常關(guān)注微軟官網(wǎng)，及時安裝iis漏洞補(bǔ)丁。4.網(wǎng)頁惡意代碼入侵我們在瀏覽網(wǎng)頁的時候，難免會遇到一些不規(guī)范的地方。當(dāng)我們打開一個網(wǎng)頁，會發(fā)現(xiàn)注冊表和IE設(shè)置都被修改了，這是網(wǎng)頁惡意代碼造成的破壞。但是網(wǎng)頁的這種惡意代碼危害更大，很有可能在我們不知情的情況下下載木馬、蠕蟲等病毒，同時泄露我們的私人信息，比如銀行、游戲等。要避免被網(wǎng)頁上的惡意代碼感染，第一關(guān)鍵是不要輕易訪問一些不可信的網(wǎng)站，尤其是一些有美女圖片的網(wǎng)站。否則，你會經(jīng)常落入網(wǎng)頁代碼的陷阱。。但這并不能真正阻止網(wǎng)頁惡意代碼的攻擊，因?yàn)檫@些惡意代碼可能出現(xiàn)在任何地方。我們應(yīng)該盡量避免從網(wǎng)上下載未知的軟件和游戲程序。即使是知名下載的軟件，也要及時用最新的木馬查殺程序進(jìn)行掃描，減少誤抓病毒的幾率。安裝具有注冊表實(shí)時監(jiān)控功能的防護(hù)軟件，做好注冊表的備份，禁用遠(yuǎn)程注冊表服務(wù)服務(wù)。5.通過光盤因?yàn)槿萘看螅獗P無法寫入，所以光盤上的病毒無法清除。為了傳播軟件和相關(guān)的數(shù)字資源，它被廣泛使用。一些犯罪分子將病毒刻錄到光盤上，使用戶在不知不覺中被上面的病毒隱藏和感染，從而入侵你的計(jì)算機(jī)系統(tǒng)。6.通過USB閃存驅(qū)動器u盤作為最方便、最常用的存儲介質(zhì)、文件復(fù)制和攜帶工具，在病毒傳播中扮演著重要角色。7.通過互聯(lián)網(wǎng)計(jì)算機(jī)的普及，尤其是互聯(lián)網(wǎng)的普及，為病毒的傳播提供了便利的途徑。計(jì)算機(jī)可以附加到普通文件。當(dāng)你從網(wǎng)上下載一個被感染的程序或文件并在沒有任何保護(hù)措施的情況下在你的電腦上運(yùn)行時，病毒就被傳播了。病毒通過互聯(lián)網(wǎng)傳播的方式有很多種，包括下載FTP文件、訪問惡意WWW、下載P2P文件、即時通訊等。人們使用互聯(lián)網(wǎng)的頻率如此之高，以至于互聯(lián)網(wǎng)已經(jīng)成為計(jì)算機(jī)病毒的第一傳播途徑。(七)計(jì)算機(jī)病毒的入侵知道了電腦病毒是怎么傳播的，都是怎么傳播的？根據(jù)其入侵的方式，可分為以下幾種:一、源代碼嵌入攻擊類型從它的名字我們就知道這種病毒入侵的主要是高級語言源程序。病毒在源程序編譯前插入病毒代碼，最后和源程序一起編譯成可執(zhí)行文件，這樣新生成的文件就是被感染文件。當(dāng)然這種文件很少，因?yàn)檫@些病毒開發(fā)者不可能輕易拿到那些軟件開發(fā)公司編譯的源程序。況且這種入侵方式難度大，需要非常專業(yè)的編程水平。b、代碼代替攻擊類型這種病毒主要是用自己的病毒代碼來替換一個入侵程序的全部或部分模塊。這種病毒也很少見。主要攻擊特定程序，針對性強(qiáng)，但不易被發(fā)現(xiàn)，清理難度大。c、系統(tǒng)修改這類病毒主要是利用自己的程序來覆蓋或修改系統(tǒng)中的一些文件來調(diào)用或替換操作系統(tǒng)中的一些功能。因?yàn)樗苯痈腥鞠到y(tǒng)，危害很大，也是最常見的病毒類型。大部分是文件病毒。d、外殼附加類型這種病毒通常將其病毒附加在正常程序的頭部或尾部，相當(dāng)于給程序加了一個外殼。當(dāng)被感染的程序被執(zhí)行時，首先執(zhí)行病毒代碼，然后將正常程序轉(zhuǎn)移到存儲器中。目前大部分文件病毒都屬于這一類。了解了電腦病毒的特點(diǎn)、分類、傳播途徑，找到了病根，對癥下藥就OK了！二、計(jì)算機(jī)病毒預(yù)防和清除的基本原理和技術(shù)計(jì)算機(jī)病毒的存在和傳播給用戶帶來了巨大的傷害。為了減少信息的丟失和破壞，在日常生活中使用電腦時，必須養(yǎng)成良好的習(xí)慣，防止電腦病毒。并且用戶需要掌握一些查殺病毒的知識，發(fā)現(xiàn)病毒要保護(hù)好數(shù)據(jù)，清除病毒。(一)計(jì)算機(jī)病毒預(yù)防的概念和原理計(jì)算機(jī)病毒防范是指建立合理的計(jì)算機(jī)病毒防范體系和制度，及時發(fā)現(xiàn)計(jì)算機(jī)病毒入侵，并采取有效措施防止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。原理是以計(jì)算機(jī)病毒預(yù)防為主，主要表現(xiàn)在檢測行為的動態(tài)性和預(yù)防手段的廣泛性。(2)計(jì)算機(jī)病毒防治的基本技術(shù)計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)病毒入侵之前或之后，攔截和阻止計(jì)算機(jī)病毒的入侵或立即發(fā)出警報(bào)。目前，計(jì)算機(jī)病毒防范工具使用的主要技術(shù)如下:1.特征碼技術(shù)特征碼方法曾用于一些著名的病毒檢測工具，如早期的ScanSCAN、CPAV。目前，它被認(rèn)為是檢測已知病毒的最簡單和最便宜的方法。開始時，反病毒軟件掃描所有病毒的病毒模式，并將這些病毒的獨(dú)特特征收集在病毒模式數(shù)據(jù)庫中。每當(dāng)需要對程序進(jìn)行毒性掃描時，它就會啟動反病毒軟件程序，并通過掃描將其與病毒碼數(shù)據(jù)庫中的現(xiàn)有數(shù)據(jù)進(jìn)行比較。如果兩個數(shù)據(jù)一致，則確定該程序已經(jīng)被病毒感染。特征碼法的實(shí)現(xiàn)步驟如下:①獲取是已知的病毒樣本。如果某個病毒同時感染了com文件和EXE文件，則有必要同時收集COM病毒樣本和EXE病毒樣本。②從病毒樣本中提取病毒特征碼。在同時感染COM文件和EXE文件的病毒樣本中，應(yīng)該提取兩個樣本的共同代碼。③將特征碼納入病毒庫。4)測試文件。打開檢測到的文件，在文件中搜索，檢查文件中是否包含病毒的數(shù)量，根據(jù)數(shù)據(jù)庫中的病毒特征碼。如果找到了病毒特征碼，并且特征碼與病毒一一對應(yīng)，就可以斷定被查文件感染了哪種病毒。2.校驗(yàn)和技術(shù)通常，大多數(shù)病毒并不是單獨(dú)存在的。它們大多附著或寄生在其他文檔程序上，因此被感染程序的文件大小會增加或文件日期會被修改。這樣殺毒軟件安裝后，會自動匯總記錄硬盤中的所有文件，計(jì)算正常文件的校驗(yàn)和，并將校驗(yàn)和寫入文件或?qū)懭肓硪粋€文件保存。每次使用文件前，檢查文件現(xiàn)在計(jì)算的校驗(yàn)和是否與原來的校驗(yàn)和一致，這樣就可以發(fā)現(xiàn)文件是否被感染。這種方法叫校驗(yàn)和法，既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒。校驗(yàn)和方法用于以三種方式檢查病毒:①將校驗(yàn)和方法納入病毒檢測工具，計(jì)算被檢查對象文件在其正常狀態(tài)下的校驗(yàn)和，將校驗(yàn)和寫入被檢查文件或檢測工具，然后進(jìn)行比較；②在應(yīng)用程序中，放入校驗(yàn)和方法的自檢功能，將文件正常狀態(tài)的校驗(yàn)和寫入文件本身。每當(dāng)應(yīng)用程序啟動時，當(dāng)前校驗(yàn)和與原始校驗(yàn)和進(jìn)行比較。實(shí)現(xiàn)應(yīng)用程序的自檢；③永久保存校驗(yàn)和檢查程序，每當(dāng)應(yīng)用程序開始運(yùn)行時，自動比較和檢查預(yù)先保存在應(yīng)用部門或其他文件中的校驗(yàn)和。3.行為監(jiān)控技術(shù)利用病毒獨(dú)特的行為特征對其進(jìn)行監(jiān)控的方法稱為行為監(jiān)控法。通過多年對病毒的觀察和研究，有些行為是病毒的常見行為，而且比較特殊。在正常程序中，這些行為很少見。程序運(yùn)行時，監(jiān)控其行為，發(fā)現(xiàn)病毒行為立即報(bào)警。4.軟件模擬技術(shù)多態(tài)性病毒每次感染都會改變其病毒代碼，特征代碼法在對付這種病毒時會失效。由于多態(tài)病毒代碼是加密的，每次使用的密鑰不一樣，感染的病毒代碼也不一樣，所以無法找出可能的穩(wěn)定代碼作為特征。行為檢測方法雖然可以檢測多態(tài)病毒，但是檢測到病毒后，由于不知道病毒的類型，很難做殺毒處理，于是出現(xiàn)了一種新的軟件模擬方法。有了一些病毒的基本知識，現(xiàn)在我們可以檢查你的電腦是否含有病毒。要了解這一點(diǎn)，我可以通過以下方法來判斷。(3)判斷病毒的方法1.反病毒軟件掃描方法這恐怕是我們大多數(shù)朋友的首選，也是唯一的選擇。現(xiàn)在的病毒種類越來越多，隱藏手段越來越高明，給查殺病毒帶來了新的困難，也給殺毒軟件開發(fā)者帶來了挑戰(zhàn)。但是隨著計(jì)算機(jī)編程語言的技術(shù)進(jìn)步和計(jì)算機(jī)網(wǎng)絡(luò)的普及，病毒的開發(fā)和傳播越來越容易，所以反病毒軟件開發(fā)公司越來越多。不過目前還是有幾個比較知名的殺毒軟件系統(tǒng)，比如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星等至于這些殺毒軟件的使用方法，這里就不用說了。我相信每個人都有這個水平！2.觀察法這種方法只有在知道病毒發(fā)作的一些癥狀和我們經(jīng)常居住的地方的情況下，才能準(zhǔn)確的觀察到。比如硬盤開機(jī)經(jīng)常死機(jī)，系統(tǒng)開機(jī)時間長，運(yùn)行速度慢，硬盤無法訪問，出現(xiàn)特殊聲音或提示等。，我們首先要考慮的是病毒在起作用，但我們不能一路走到最后。我上面不是說了軟硬件故障也可能導(dǎo)致那些癥狀嗎？如果是病毒引起的，可以從以下幾個方面觀察:一、保存觀察這種方法通常用于在DOS下發(fā)現(xiàn)的病毒。我們可以使用DOS下的“mem/c/p”命令來檢查每個程序的內(nèi)存占用情況，找出病毒占用內(nèi)存的情況(一般不是單獨(dú)占用，而是附著在其他程序上)。有些病毒的內(nèi)存占用也是比較隱蔽的，用“mem/c/p”是找不到的，但是我們可以看到640K的總基本內(nèi)存只有1k或者幾個。b、注冊表觀察法這種方法一般適用于最近所謂的黑客程序，比如木馬程序。這些病毒一般通過修改注冊表中的啟動和加載配置來自動啟動或加載，一般在以下地方實(shí)現(xiàn):[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\currentversion\Run][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\currentversionrunservices][HKEY_當(dāng)前_用戶\軟件\微軟\Windows\當(dāng)前版本\運(yùn)行][HKEY_當(dāng)前_用戶\軟件\微軟\Windows\當(dāng)前版本\RunOnce]等等，其中將有對注冊表中可能位置的更詳細(xì)的分析。c、系統(tǒng)配置文件觀察方法這種方法也普遍適用于黑客程序。這些病毒一般隱藏在system.ini、wini.ini(Win9x/WinME)和啟動組中。system.ini文件中有一個"shell="項(xiàng)，而wini.ini文件中有"load="和"run="項(xiàng)。這些病毒通常會在這些項(xiàng)目中加載自己的病毒。我們可以在Win9x/WinME中運(yùn)行msconfig.exe程序來逐一檢查。詳情也可以參考我的文章《看透木馬》。d、特征字符串觀察法這種方法主要是針對一些特殊的病毒。這些病毒入侵時，會寫出相應(yīng)的特征碼。例如，CIH病毒會在被入侵的文件中寫入類似“CIH”的字符串。當(dāng)然，我們不能輕易找到它。我們可以使用十六進(jìn)制代碼編輯器來編輯主系統(tǒng)文件(如Explorer.exe)并找到它。當(dāng)然編輯前最好備份一下，畢竟是主系統(tǒng)文件。e、硬盤空間觀察方法有些病毒不會破壞你的系統(tǒng)文件，只是生成一個隱藏文件。該文件通常容量較小，但占用大量硬盤空間。有時候，它大到你的硬盤無法運(yùn)行一般的程序，但是查了也看不出來。這時，我們必須打開資源管理器，然后將選中的容量屬性設(shè)置為可以查看所有屬性的文件。(我該告訴你這個方法嗎？)，我相信這個龐然大物到時候一定會顯露出來，因?yàn)椴《疽话銜⑵湓O(shè)置為隱藏屬性。然后就可以刪除了。我在計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)和個人電腦維護(hù)的過程中看到了幾個例子。很明顯，只安裝了幾個常用的程序。為什么c盤幾個G的硬盤空間顯示消失了？經(jīng)過以上方法，病毒可以很快顯露出來。如果長時間讀取存儲，或者磁盤空間突然減少，或者程序運(yùn)行時崩潰，那么我們就要考慮是不是遇到了病毒感染，這時就需要通過殺毒軟件對整個硬盤進(jìn)行徹底的檢查。經(jīng)常更新Windows可以有效防止病毒入侵。即使我們做的足夠多，做的足夠好，仍然無法應(yīng)對最近的病毒爆發(fā)，這就需要我們保持清醒的頭腦，密切關(guān)注電腦的異常癥狀。比如電腦比平時慢，正常使用電腦時突然出現(xiàn)黑屏，運(yùn)行小程序時硬盤長時間讀取，存儲或磁盤空間突然減少，運(yùn)行程序時死機(jī)等異常癥狀。這時候我們就要考慮自己是不是被病毒感染了，然后需要通過殺毒軟件對整個硬盤進(jìn)行徹底的檢查。經(jīng)常更新Windows可以有效防止病毒的入侵。用識別電腦病毒的方法，電腦中毒的具體表現(xiàn)有哪些？根據(jù)計(jì)算機(jī)病毒感染和攻擊的階段，計(jì)算機(jī)病毒的表現(xiàn)可分為三類，即計(jì)算機(jī)病毒攻擊前、攻擊中、攻擊后的表現(xiàn):首先，計(jì)算機(jī)病毒爆發(fā)前的表現(xiàn)形式。計(jì)算機(jī)病毒發(fā)作前，是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)并潛伏在系統(tǒng)中開始，直到滿足激發(fā)條件，計(jì)算機(jī)病毒發(fā)作前的一個階段。在這個階段，計(jì)算機(jī)病毒的行為主要是潛伏和傳播。電腦會用各種方式隱藏自己，同時會用各種手段復(fù)制自己，傳播。以下是計(jì)算機(jī)病毒爆發(fā)前的一些常見表現(xiàn):1)平時運(yùn)行正常的電腦突然經(jīng)常無故死機(jī)。病毒感染計(jì)算機(jī)系統(tǒng)后，駐留在系統(tǒng)中，修改中斷處理程序，導(dǎo)致系統(tǒng)工作不穩(wěn)定，導(dǎo)致死機(jī)。2)操作系統(tǒng)啟動不穩(wěn)定。關(guān)機(jī)重啟后，操作系統(tǒng)報(bào)告必要的啟動文件丟失，或者啟動文件損壞，導(dǎo)致系統(tǒng)無法啟動。很可能是電腦病毒感染了系統(tǒng)文件，導(dǎo)致文件結(jié)構(gòu)發(fā)生變化，所以無法被操作系統(tǒng)加載引導(dǎo)。3)跑步速度明顯變慢。在硬件設(shè)備沒有損壞或更換的情況下，高速運(yùn)行的電腦，運(yùn)行同一個應(yīng)用程序，速度明顯變慢，重啟后依然變慢。很可能是電腦病毒占用了大量系統(tǒng)資源，自身運(yùn)行占用了大量處理器時間，導(dǎo)致系統(tǒng)資源不足，運(yùn)行緩慢。4)過去正常運(yùn)行的軟件經(jīng)常遭受存儲不足的困擾。以前能正常運(yùn)行的一個程序，程序啟動時報(bào)錯系統(tǒng)內(nèi)存不足，或者使用應(yīng)用中的一個功能時報(bào)錯系統(tǒng)內(nèi)存不足。可能是電腦病毒駐留后占用了系統(tǒng)的存儲空間，減少了可用的存儲空間。需要注意的是，在Windows95/98下，記事本可以編輯的文本文件不超過64Kb字節(jié)。如果用“復(fù)制/粘貼”操作將一大段文字粘貼到記事本中，也會報(bào)錯“存儲不足無法完成操作”，但這并不是電腦病毒的錯。5)打印和通訊異常。在硬件沒有更換或損壞的情況下，以前正常工作的打印機(jī)最近發(fā)現(xiàn)無法打印，或者打印出來的代碼亂碼。串行端口工作不穩(wěn)定，例如，調(diào)制解調(diào)器不能撥號。這很可能是電腦病毒占用了打印口和串口的中斷服務(wù)程序，導(dǎo)致無法正常工作。6)無意中請求寫入軟盤沒有讀寫軟盤的操作，操作系統(tǒng)提示軟盤未插入軟驅(qū)，或者在讀取或復(fù)制寫保護(hù)軟盤上的文件時要求打開軟盤寫保護(hù)。這可能是由于計(jì)算機(jī)病毒自動發(fā)現(xiàn)軟盤是否在軟驅(qū)中而導(dǎo)致的系統(tǒng)異常。需要注意的是，有些編輯軟件在打開文件時需要創(chuàng)建一個臨時文件，有些安裝程序(如Office97)可以寫入軟盤。7)過去正常運(yùn)行的應(yīng)用程序經(jīng)常崩潰或出現(xiàn)非法錯誤。在不改變硬件和操作系統(tǒng)的情況下，過去正常運(yùn)行的應(yīng)用程序的非法錯誤和崩潰的情況顯著增加。這可能是由于計(jì)算機(jī)病毒感染了應(yīng)用程序，破壞了應(yīng)用程序本身的正常功能，也可能是計(jì)算機(jī)病毒程序本身的兼容性問題。8)系統(tǒng)文件的時間、日期和大小發(fā)生變化。這是電腦病毒感染最明顯的跡象。計(jì)算機(jī)感染應(yīng)用程序文件后，會將自己隱藏在原文件后面，文件大小大多會增大，文件訪問和修改的日期和時間也會更改為感染時間。尤其是那些系統(tǒng)文件，大多數(shù)情況下，除非系統(tǒng)升級或者打補(bǔ)丁，否則不會修改。對于應(yīng)用程序使用的數(shù)據(jù)文件，文件大小、修改日期和時間可能會發(fā)生變化，不一定是計(jì)算機(jī)病毒。9)運(yùn)行Word。打開Word文檔后，文件只能保存為模板。不能保存為DOC文檔，只能保存為模板文檔(點(diǎn))。這通常是因?yàn)榇蜷_的Word文檔感染了Word宏病毒。10)磁盤空間迅速減少。沒有安裝新的應(yīng)用程序，系統(tǒng)可用的磁盤空間迅速減少。這可能是由計(jì)算機(jī)病毒感染引起的。需要注意的是，頻繁的網(wǎng)頁瀏覽、回收站中文件過多、臨時文件夾中文件過多、電腦系統(tǒng)意外斷電等也可能導(dǎo)致可用磁盤空間迅速減少。另一種情況是Windows95/98下存儲和交換文件的增長。在Windows95/98下，存儲和交換文件會隨著應(yīng)用程序運(yùn)行時間和進(jìn)程數(shù)的增加而增加，一般不會減少。此外，同時運(yùn)行的應(yīng)用程序越多，存儲和交換文件就越大。1)無法調(diào)用網(wǎng)絡(luò)驅(qū)動器卷或共享目錄。您不能以讀取權(quán)限打開或?yàn)g覽網(wǎng)絡(luò)驅(qū)動器宗卷和共享目錄，也不能以寫入權(quán)限創(chuàng)建或修改網(wǎng)絡(luò)驅(qū)動器宗卷和共享目錄的文件。雖然目前只針對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的計(jì)算機(jī)病毒很少，但是計(jì)算機(jī)病毒的一些行為可能會影響對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的正常訪問。12)基本存款變動。在DOS下使用mem/c/p命令檢查系統(tǒng)內(nèi)存使用情況時，可以發(fā)現(xiàn)基本內(nèi)存字節(jié)總數(shù)比正常的640Kb要小，一般少1KB到2KB。這通常是由于計(jì)算機(jī)系統(tǒng)感染了引導(dǎo)型計(jì)算機(jī)病毒。13)陌生人的電子郵件收到陌生人發(fā)來的電子郵件是很有誘惑力的，尤其是那些帶有標(biāo)題的郵件，比如一個笑話或一封情書，還有附件。當(dāng)然，這要和廣告郵件、垃圾郵件、郵件炸彈區(qū)分開來。一般來說，廣告郵件有明確的營銷目的，會有對其宣傳的產(chǎn)品的介紹；垃圾郵件的內(nèi)容要么獨(dú)一無二，要么毫無價值。這兩種郵件大多不帶附件。雖然郵件炸彈也有附件，但附件一般都很大，從幾兆到幾十甚至上百兆不等，而郵件電腦病毒的附件多為腳本程序，通常不超過100Kb字節(jié)。當(dāng)然，郵件炸彈在某種意義上也可以被視為黑客程序和計(jì)算機(jī)病毒。14)自動到一些奇怪的不上網(wǎng)的時候，電腦會自動撥號連接到網(wǎng)上的陌生站點(diǎn)，或者在上網(wǎng)的時候，發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，有陌生的網(wǎng)絡(luò)。這種連接多是黑客程序“悄悄”將收集到的電腦系統(tǒng)信息發(fā)送回特定網(wǎng)站。您可以通過netstat命令檢查當(dāng)前建立的網(wǎng)絡(luò)，然后通過比較訪問的網(wǎng)絡(luò)找到它。需要注意的是，一些網(wǎng)頁中的一些腳本會自動轉(zhuǎn)到一些網(wǎng)頁評級網(wǎng)站或廣告網(wǎng)站，此時也會出現(xiàn)陌生網(wǎng)絡(luò)。當(dāng)然，這種情況也可以認(rèn)為是違法的。一般的系統(tǒng)故障不同于電腦病毒感染。大部分系統(tǒng)故障只符合上述一兩種現(xiàn)象，而電腦病毒感染會引起更多的現(xiàn)象。根據(jù)以上幾點(diǎn)，可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染了計(jì)算機(jī)病毒。第二，計(jì)算機(jī)病毒出現(xiàn)時的表現(xiàn)。計(jì)算機(jī)病毒發(fā)作時，是指計(jì)算機(jī)病毒發(fā)作的條件滿足，計(jì)算機(jī)病毒程序開始破壞其行為的階段。大多數(shù)計(jì)算機(jī)病毒在攻擊時表現(xiàn)不同。可以說100個電腦病毒有100種模式。這與計(jì)算機(jī)病毒編寫者的心態(tài)和采用的技術(shù)手段密切相關(guān)。以下是計(jì)算機(jī)病毒的一些常見表現(xiàn):1)提示一些無關(guān)的詞語最常見的就是提示一些無關(guān)的文字，比如打開一個感染了宏病毒的Word文檔。如果滿足攻擊條件，會彈出一個對話框，顯示“世界太黑暗了！”并要求您輸入“太正確”并按下確定按鈕。2)發(fā)出一段音樂棘手的計(jì)算機(jī)病毒，其中最著名的是國外的“基地”計(jì)算機(jī)病毒(Yangkee)和中國的“瀏陽河”計(jì)算機(jī)病毒。“基地”的電腦病毒攻擊是利用安裝在電腦里的揚(yáng)聲器播放“基地”的音樂，“瀏陽河”的電腦病毒更是絕無僅有。當(dāng)系統(tǒng)時鐘為9月9日時，播放歌曲《瀏陽河》，當(dāng)系統(tǒng)時鐘為12月26日時，播放《紅色》的旋律。這些電腦病毒大多屬于“良性”電腦病毒，攻擊時只會發(fā)出音樂，占用處理器資源。3)生成特定的圖像。另一種惡作劇的計(jì)算機(jī)病毒，如小球計(jì)算機(jī)病毒，在攻擊時不斷從屏幕頂部落下小球圖形。單純產(chǎn)生圖像的計(jì)算機(jī)病毒大多是“良性”的計(jì)算機(jī)病毒，攻擊時只是破壞用戶的顯示界面，干擾用戶的正常工作。4)硬盤指示燈不斷閃爍。硬盤閃爍的燈表示有硬盤讀寫操作。當(dāng)硬盤上有大量連續(xù)操作時，硬盤的燈會一直閃爍，比如格式化或者寫非常大的文件。有時候重復(fù)讀取某個硬盤扇區(qū)或文件也會導(dǎo)致硬盤燈不斷閃爍。有些電腦病毒會在發(fā)病時格式化硬盤，或者寫很多垃圾文件，或者反復(fù)讀取一個文件，導(dǎo)致硬盤上的數(shù)據(jù)丟失。這類攻擊的計(jì)算機(jī)病毒大多是“惡性”計(jì)算機(jī)病毒。5)進(jìn)行游戲算法。當(dāng)一些惡作劇的計(jì)算機(jī)病毒爆發(fā)時，一些算法簡單的游戲被用來中斷用戶的工作，用戶必須獲勝才能繼續(xù)工作。比如曾經(jīng)流行的“1號”宏病毒，在系統(tǒng)日期13號的時候爆發(fā)，彈出一個對話框要求用戶做算術(shù)題。這類計(jì)算機(jī)病毒一般屬于“良性”計(jì)算機(jī)病毒，但也有“惡性”計(jì)算機(jī)病毒，在用戶敗訴后對其進(jìn)行破壞。6)Windows桌面圖標(biāo)變化一般這也是一種惡作劇的電腦病毒的表現(xiàn)。把Windows的默認(rèn)圖標(biāo)改成其他風(fēng)格的圖標(biāo)，或者把其他應(yīng)用程序和快捷方式的圖標(biāo)改成Windows的默認(rèn)圖標(biāo)，都會讓用戶感到困惑。7)電腦突然死機(jī)或重啟。有些電腦病毒程序存在兼容性問題，代碼沒有經(jīng)過嚴(yán)格測試，攻擊時會出現(xiàn)意外情況；或者是電腦病毒在Autoexec.bat文件中添加了如:Formatc:這樣的語句，需要系統(tǒng)重啟才能破壞。8)自動發(fā)送郵件。大多數(shù)電子郵件計(jì)算機(jī)病毒采用自動發(fā)送電子郵件的方法作為傳播手段，有些電子郵件計(jì)算機(jī)病毒會在某一時刻向同一臺服務(wù)器發(fā)送大量無用的信件，從而阻斷服務(wù)器的正常服務(wù)功能。9)鼠標(biāo)本身在動。電腦上沒有操作，也沒有演示程序，屏保等。但是屏幕上的鼠標(biāo)本身是在動的，應(yīng)用程序本身是在運(yùn)行的，是遙控的。大多數(shù)情況下，電腦系統(tǒng)被黑客程序控制，這也是廣義上的電腦病毒爆發(fā)現(xiàn)象。需要指出的是，有些是明顯的計(jì)算機(jī)病毒爆發(fā)現(xiàn)象，比如提示一些無關(guān)的文字，播放音樂或者顯示特定的圖像。有些現(xiàn)象很難直接判斷為計(jì)算機(jī)病毒的表現(xiàn)。比如硬盤燈一直在閃。當(dāng)多個占用內(nèi)存較大的應(yīng)用如3DMAX、AdobePremiere同時運(yùn)行，電腦本身性能相對較弱的情況下，應(yīng)用啟動和切換時硬盤會一直工作，硬盤燈會一直閃爍。第三，計(jì)算機(jī)病毒爆發(fā)后的表現(xiàn)。通常情況下，計(jì)算機(jī)病毒的爆發(fā)會給計(jì)算機(jī)系統(tǒng)帶來毀滅性的后果，而那種“良性”的計(jì)算機(jī)病毒，也就是惡作劇而已，只是計(jì)算機(jī)病毒家族中的一小部分。大多數(shù)計(jì)算機(jī)病毒是“惡性”計(jì)算機(jī)病毒。“惡意”計(jì)算機(jī)病毒在爆發(fā)后往往會造成巨大的損失。以下是惡性計(jì)算機(jī)病毒爆發(fā)造成的后果的一些例子:1)硬盤無法啟動，數(shù)據(jù)丟失。電腦病毒破壞硬盤引導(dǎo)扇區(qū)后，無法從硬盤啟動電腦系統(tǒng)。一些計(jì)算機(jī)病毒修改硬盤的關(guān)鍵內(nèi)容(如文件分配表、根目錄區(qū)等。)，以至于原本保存在硬盤上的數(shù)據(jù)幾乎全部丟失。2)系統(tǒng)文件丟失或被破壞。一般情況下，除非計(jì)算機(jī)操作系統(tǒng)升級，否則不會刪除或修改系統(tǒng)文件。但有些電腦病毒爆發(fā)時會刪除或破壞系統(tǒng)文件，導(dǎo)致以后無法頻繁啟動電腦系統(tǒng)。通常，易受攻擊的系統(tǒng)文件是命令。Emm386.exe贏了。、Kernel.exe、User.exe等等。3)文件目錄混亂。出現(xiàn)目錄混亂的情況有兩種。一種是破壞目錄結(jié)構(gòu)，把目錄扇區(qū)當(dāng)成普通扇區(qū)，填入一些無意義的數(shù)據(jù)，永遠(yuǎn)無法恢復(fù)。在另一種情況下，真正的目錄區(qū)被轉(zhuǎn)移到硬盤的其他扇區(qū)。只要內(nèi)存中存在計(jì)算機(jī)病毒，它就能在應(yīng)用程序需要訪問目錄時，讀出正確的目錄扇區(qū)，提供正確的目錄條目，使之看起來和正常情況一樣。但是，一旦計(jì)算機(jī)病毒沒有被存儲，則無法通過通常的目錄訪問方法訪問原來的目錄扇區(qū)。這種傷害還是可以恢復(fù)的。4)一些文件丟失或毀壞。類似于系統(tǒng)文件的丟失或破壞，一些計(jì)算機(jī)病毒發(fā)生時會刪除或破壞硬盤上的文件，造成數(shù)據(jù)丟失。5)部分文件自動加密。一些計(jì)算機(jī)病毒利用加密算法將加密密鑰存儲在計(jì)算機(jī)病毒程序或其他隱藏的地方，被感染的文件被加密。如果這種計(jì)算機(jī)病毒駐留在內(nèi)存中，當(dāng)系統(tǒng)訪問被感染的文件時，它會自動解密文件，這樣用戶就不會注意到它。一旦這種計(jì)算機(jī)病毒被清除，就很難恢復(fù)加密的文件。6)修改Autoexec.bat文件，添加格式C:，導(dǎo)致電腦重啟時硬盤被格式化。電腦系統(tǒng)工作穩(wěn)定后，一般很少有用戶會關(guān)注Autoexec.bat文件的改動，但是每次系統(tǒng)重啟時都會自動運(yùn)行這個文件，電腦病毒會修改這個文件來破壞系統(tǒng)。7)部分軟件可升級主板的BIOS程序混亂，主板被破壞。類似CIH電腦病毒爆發(fā)后的現(xiàn)象，系統(tǒng)主板上的BIOS被電腦病毒改寫破壞，使系統(tǒng)主板工作無常，從而使電腦系統(tǒng)報(bào)廢。8)網(wǎng)絡(luò)中斷，無法提供正常服務(wù)。從上面我們可以知道，殺毒軟件必須是實(shí)時的。當(dāng)計(jì)算機(jī)病毒進(jìn)入系統(tǒng)時，應(yīng)立即報(bào)警并清除，以保證系統(tǒng)的安全。事實(shí)上，電腦病毒爆發(fā)后，再去查殺病毒已經(jīng)晚了。最后從表現(xiàn)形式和傳播途徑上找到計(jì)算機(jī)病毒。以上介紹了計(jì)算機(jī)病毒在不同情況下的表現(xiàn)形式。如果電腦要感染，它會顯示自己，并留下痕跡。檢測計(jì)算機(jī)病毒，就是去計(jì)算機(jī)病毒寄生的地方檢查，核實(shí)“身份”，確認(rèn)計(jì)算機(jī)病毒的存在。計(jì)算機(jī)病毒存儲在磁盤中，當(dāng)它被激活時，就駐留在內(nèi)存中。因此，計(jì)算機(jī)病毒的檢測可以分為存儲檢測和磁盤檢測。一般在磁盤上進(jìn)行計(jì)算機(jī)病毒檢測時，要求磁盤中沒有計(jì)算機(jī)病毒。這是因?yàn)橐恍┯?jì)算機(jī)病毒會向檢測器報(bào)告錯誤的信息。比如4096電腦病毒，當(dāng)它在存儲時，查看被感染文件的長度，不會發(fā)現(xiàn)文件長度有變化，但當(dāng)存儲中沒有電腦病毒時，會發(fā)現(xiàn)文件長度增加了4096字節(jié)。另一個例子是DIRII計(jì)算機(jī)病毒。存儲的時候，用調(diào)試程序查的時候根本看不到DIRII電腦病毒的代碼，所以很多檢測程序都漏掉了被它感染的文件。比如重啟的巴基斯坦智庫電腦病毒，當(dāng)它在存儲時，在引導(dǎo)區(qū)看不到電腦病毒程序而只能看到正常的引導(dǎo)扇區(qū)。因此，只有當(dāng)需要確認(rèn)某一種計(jì)算機(jī)病毒的類型，并對其進(jìn)行分析和研究時，才能在病毒處于存儲狀態(tài)的情況下進(jìn)行檢測工作。從沒有感染電腦病毒的原DOS系統(tǒng)軟盤引導(dǎo)，可以保證里面沒有病毒。啟動時必須開機(jī)，而不是按鍵盤上的Alt+Ctrl+Del鍵。因?yàn)橐恍┯?jì)算機(jī)病毒攔截鍵盤中斷處理程序，它們?nèi)匀获v留在內(nèi)存中。可見，保留一張未被電腦病毒感染的寫保護(hù)DOS軟盤是很重要的。需要注意的是，為了檢測硬盤中的計(jì)算機(jī)病毒，啟動系統(tǒng)的DOS軟盤的版本應(yīng)等于或高于硬盤DOS系統(tǒng)的版本號。如磁盤管理軟件、磁盤壓縮存儲管理軟件等。在硬盤上使用，這些軟件的驅(qū)動程序應(yīng)該包含在啟動系統(tǒng)的軟盤上，并且應(yīng)該添加到配置文件中。SYS文件。否則，用系統(tǒng)軟盤引導(dǎo)后，將無法訪問硬盤上的所有分區(qū)，使隱藏在其中的電腦病毒逃避檢查。發(fā)現(xiàn)了電腦病毒，那么該怎么辦，以及如何清除電腦病毒？？(4)清除計(jì)算機(jī)病毒的基本方法簡單工具療法簡單工具療法是指在檢測器對某一種計(jì)算機(jī)病毒的特定知識的幫助下，使用Debug等簡單的工具從被感染的軟件中清除計(jì)算機(jī)代碼。但這種方法對檢查人員的專業(yè)素質(zhì)要求也很高，處理效率也較低。特殊工具療法使用特殊工具處理受感染程序時常用的處理方法。專用的計(jì)算機(jī)治療工具，根據(jù)計(jì)算機(jī)病毒特征的記錄，自動清除被感染程序中的計(jì)算機(jī)病毒代碼，使其得以恢復(fù)。使用專用工具處理計(jì)算機(jī)病毒時，處理操作簡單高效。從探索對抗計(jì)算機(jī)病毒的整個過程來看，專用工具的開發(fā)者也是從簡單工具的處理開始的。當(dāng)治療成功后，他們會開發(fā)相應(yīng)的軟件產(chǎn)品，讓計(jì)算機(jī)自動完成所有的治療操作。三。典型計(jì)算機(jī)病毒的原理、預(yù)防和清除(1)引導(dǎo)區(qū)中的計(jì)算機(jī)病毒1.引導(dǎo)區(qū)病毒概述引導(dǎo)病毒是在ROMBIOS后系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，它先于操作系統(tǒng)，依賴于BIOS環(huán)境。isr。A型引導(dǎo)病毒利用操作系統(tǒng)的引導(dǎo)模塊放在固定的位置，控制權(quán)的轉(zhuǎn)移是基于物理位置，而不是操作系統(tǒng)引導(dǎo)區(qū)的體積。所以病毒占據(jù)物理位置就可以獲得控制權(quán)，真正的引導(dǎo)區(qū)會被移動或替換。病毒程序執(zhí)行后，控制權(quán)會交給真正的引導(dǎo)區(qū)，讓帶病毒的系統(tǒng)看起來很正常，而病毒卻一直隱藏在系統(tǒng)中伺機(jī)感染和攻擊。它會感染這個系統(tǒng)中所有被讀寫的軟盤，然后這些軟盤會被復(fù)制引導(dǎo)到其他電腦系統(tǒng)中，感染其他電腦的操作系統(tǒng)。2.如何防止引導(dǎo)區(qū)病毒:如前所述，只有用感染了病毒的軟盤或光盤啟動電腦，引導(dǎo)區(qū)的病毒才會被感染。所以，預(yù)防這種病毒的關(guān)鍵是要養(yǎng)成一個好習(xí)慣:使用來歷不明的軟盤前要檢查病毒；電腦不用的時候，不要把軟盤和光盤留在驅(qū)動器里(很多機(jī)器都是因?yàn)橛脦Р《镜目梢龑?dǎo)光盤啟動電腦而感染這種病毒的)；另外，最好在主板的設(shè)置中開啟殺毒項(xiàng)。3.清潔原則:用原來的正常分區(qū)表信息或引導(dǎo)扇區(qū)信息覆蓋計(jì)算機(jī)病毒程序。此時，如果用戶事先提取并保存自己硬盤中的分區(qū)表信息和DOS分區(qū)引導(dǎo)扇區(qū)信息，那么恢復(fù)工作就變得非常簡單。可以直接用Debug把這兩個引導(dǎo)扇區(qū)的內(nèi)容轉(zhuǎn)移到內(nèi)存中，然后恢復(fù)到原來的位置，這樣就消滅了電腦病毒。4.wyx啟動病毒清除:做你的防病毒軟件當(dāng)你發(fā)現(xiàn)機(jī)器感染了WYX，請不要驚慌。您應(yīng)該首先看到文件被感染的位置。如果病毒在SUHDLOG里。DAT或SUHDLOG。BAK的文件，刪除它就行了。其實(shí)這是硬盤引導(dǎo)區(qū)最先感染引導(dǎo)區(qū)病毒的。后來在安裝WINDOWS系統(tǒng)的時候，沒有先殺毒就直接安裝了WINDOWS系統(tǒng)。所以WINDOWS先做了一個引導(dǎo)區(qū)的文件備份，文件SUHDLOG。DAT是它的備份。這個文件以隱式的形式存儲在WINDOWS系統(tǒng)的根目錄下，因?yàn)橐龑?dǎo)病毒存在于文件中，沒有任何影響，所以可以直接刪除。如果病毒只存在于移動存儲設(shè)備(如軟盤、u盤、移動硬盤)上，可以借助本地硬盤上的殺毒軟件直接查殺，或者干脆把移動存儲設(shè)備上的文件備份到硬盤上，然后重新格式化移動存儲設(shè)備，再把文件復(fù)制回來。如果病毒確實(shí)在硬盤的引導(dǎo)區(qū)，不要害怕。清除這類病毒的方法很簡單，針對不同的操作系統(tǒng)有不同的清理方式，一般不用依賴殺毒軟件。但是在清除之前一定要備份原來的引導(dǎo)區(qū)，尤其是安裝了其他操作系統(tǒng)的情況下，比如日文的Windows、Linux等。5.Windows95/98/ME系統(tǒng)上的清洗方法:①找到一張“干凈的”啟動盤(沒有該啟動病毒的啟動盤)并啟動計(jì)算機(jī)。一般情況下，安裝操作系統(tǒng)時會提示制作啟動盤。如果手頭沒有啟動盤或者不能保證啟動盤是否“干凈”，可以在另一臺電腦上制作一個干凈的啟動盤。這個啟動盤可以在Windows95/98/me系統(tǒng)上通過“添加/刪除程序”來制作，但是需要注意的是制作軟盤所用的操作系統(tǒng)必須和你自己的一樣，也就是說如果你的系統(tǒng)是Windowsme就不能使用Windows98。②使用該軟盤啟動受感染的計(jì)算機(jī)，然后運(yùn)行以下命令:答:\fdisk/MBR[Enter]A:\sysa:c:[Enter]然后重啟電腦。第一行用于清除。主引導(dǎo)記錄第二行用于清除c盤引導(dǎo)區(qū)的病毒..6.清潔方法在第6頁。Windows2000/XP系統(tǒng):①如果你通過了X:\i386\winnt32.exe/cmdcons命令安裝恢復(fù)控制臺，您可以選擇直接進(jìn)入它。如果以前沒有安裝故障恢復(fù)控制臺，請使用系統(tǒng)的安裝光盤啟動電腦。出現(xiàn)安裝界面時，按R選擇“用‘恢復(fù)控制臺’修復(fù)”。系統(tǒng)會提示您登錄到哪個系統(tǒng)，請輸入相應(yīng)的序列號并按回車鍵。②然后分別執(zhí)行fixmbr(恢復(fù)主引導(dǎo)記錄)和fixboot(恢復(fù)啟動盤上的引導(dǎo)區(qū))，然后回車退出[[Enter]重啟。7.清除引導(dǎo)區(qū)病毒的注意事項(xiàng):①如果用干凈的啟動盤啟動電腦后發(fā)現(xiàn)無法訪問硬盤，且硬盤不是NTFS格式，但用硬盤啟動電腦后可以訪問硬盤，說明你的機(jī)器感染了可以加密引導(dǎo)區(qū)信息的病毒。此時你看到的是加密信息，比如前面提到的“猴子”病毒。遇到這種病毒，應(yīng)該讓系統(tǒng)自己啟動電腦，讓病毒自己解密，然后用殺毒軟件備份引導(dǎo)區(qū)的信息(目前國內(nèi)三款殺毒軟件都有這個功能)，然后用干凈的啟動盤啟動電腦，把剛備份的引導(dǎo)區(qū)信息寫回硬盤就行了。②如果你的機(jī)器感染了病毒無法啟動，用軟盤啟動看不到硬盤(硬盤不是新技術(shù)文件系統(tǒng))最好不要寫到硬盤上。你應(yīng)該找一個有經(jīng)驗(yàn)的人幫你解決，以免造成不必要的損失。(2)文件型計(jì)算機(jī)病毒1.文件病毒概述文件類型病毒這與引導(dǎo)區(qū)病毒的工作方式完全不同。在各類PC病毒中，文件病毒數(shù)量最多，傳播范圍廣，使用技巧多。A型病毒會修改源文件，使其成為新文件。文件病毒有兩種:一種是在COM前面加病毒，一種是在文件末尾加病毒。A型病毒主要感染。EXE文件。讓我們通過一切操作系統(tǒng)出租車文件系統(tǒng)被感染的病毒被稱為文件病毒，所以這是一個非常大數(shù)量的病毒。理論上可以制造一個病毒，可以感染幾乎所有操作系統(tǒng)的可執(zhí)行文件。目前有這樣的文件病毒，可以感染所有標(biāo)準(zhǔn)的DOS可執(zhí)行文件，包括批處理文件，可下載的驅(qū)動程序(。SYS)文件，以及常見的COM/EXE可執(zhí)行文件。當(dāng)然還有感染W(wǎng)indows操作系統(tǒng)所有可執(zhí)行文件的病毒。可能被感染的文件類型包括:Windows3。x、Windows9X、WindowsNT和Windows2000，擴(kuò)展名為EXE、DLL或VXD、SYS。此外，還有一些病毒是可以被感染的。高級語言編譯時生成的程序源代碼、開發(fā)庫和中間文件。常見的數(shù)據(jù)文件中也可能隱藏著病毒，但這些隱藏在數(shù)據(jù)文件中的病毒并不是獨(dú)立存在的，加載這些代碼必然需要隱藏在常見可執(zhí)行文件中的病毒部分。從某種意義上說，宏病毒——隱藏在文字處理文檔或電子表格中的病毒，也是文件病毒。清算原則確定計(jì)算機(jī)病毒程序的位置，它是駐留在文件的末尾還是文件的開頭。找到計(jì)算機(jī)病毒程序的頭位置(對應(yīng)于它駐留在文件末尾的方式)或尾位置(對應(yīng)于它駐留在文件開頭的方式)。恢復(fù)原始文件頭的參數(shù)。修改文件長度并寫回源文件。②清除exe文件病毒:EXE文件病毒分析的要點(diǎn)在于分析病毒殺毒所需的以下四個關(guān)鍵參數(shù)，包括病毒長度、病毒特征搜索字符串、病毒隱藏的正常初始CS:IP值相對于被感染文件尾部的偏移值、病毒隱藏的正常初始SS:IP值相對于被感染文件尾部的偏移值。文件病毒殺毒關(guān)鍵參數(shù)的分析方法如下:(假設(shè)誘餌程序?yàn)镃:\WINNT\白。EXE)第一步是復(fù)制一份BAI.EXE，蝙蝠。EXE.BAK，并通過做病毒感染實(shí)驗(yàn)讓BAI.EXE感染了病毒。第二步是比較BAI.EXE和蝙蝠的長度變化。EXE.BAK文件沒有毒性。如果長度一致BAI.EXE仍然是一個無毒的文件，必須重新測試，直到長度改變。第三步，減去球棒長度。從BAI.EXE到BAK的長度，不同的是病毒長度。多余的就是病毒代碼。如果BAI.EXE文件的長度是152字節(jié)，病毒的代碼從被感染文件的152+1字節(jié)開始。第四步是執(zhí)行C:\winnt\DEBUGBAI。EXE-u此時看到的是病毒開頭的代碼(EXE文件型病毒原本在主機(jī)EXE文件的末尾，但是Debug在轉(zhuǎn)入EXE文件時根據(jù)EXE文件頭的信息重新定位了代碼。由于文件頭已經(jīng)被病毒修改，存儲中的病毒代碼會位于主機(jī)原來的正常代碼之前)，取10-20個字節(jié)作為病毒特征碼。第五步是給和白加上DAT后綴。EXE.BAK(這樣，我們就可以用DEBUG看到他們文件的頭文件，因?yàn)橛捎贓XE文件的特殊結(jié)構(gòu)，如果DEBUG直接調(diào)入EXE文件，就看不到EXE文件的頭文件信息了)。對比它們的前20H字節(jié)，會發(fā)現(xiàn)offset02H-05H的文件長度，offset0EH-11H的初始SS:SP值肯定和offset14H-17H的初始CS:IP值不一樣。記下BAI的正常初始SS:SP值。EXE.BAK.DAT偏移量0EH-11H和正常初始CS:IP值14H-17H。搜索正常初始SS:SPHECS:IP從病毒開始在白。EXE.DAT(假設(shè)正常的BAI文件有152字節(jié)，從文件的152+1字節(jié)開始)。第六步:在被感染BAI文件的病毒代碼中找到正常的初始SS:SP/CS:IP值后，計(jì)算它們相對于被感染文件末尾的偏移值。(C)腳本計(jì)算機(jī)病毒主要用腳本語言設(shè)計(jì)的病毒稱為腳本病毒。實(shí)際上，在早期的系統(tǒng)中，計(jì)算機(jī)病毒已經(jīng)開始通過腳本進(jìn)行傳播和破壞，但專門的腳本病毒并不常見。然而，在腳本應(yīng)用無處不在的今天，腳本病毒已經(jīng)成為危害最大、傳播最廣的病毒，尤其是當(dāng)它與一些傳統(tǒng)的惡性病毒相結(jié)合時，其危害更為嚴(yán)重。主要有兩種，純腳本型和混合型。其特點(diǎn)是:簡單的寫作巨大的破壞力傳染性強(qiáng)廣泛傳播(主要通過電子郵件、局域網(wǎng)共享和感染網(wǎng)頁文件)計(jì)算機(jī)源代碼很容易獲得，而且品種很多。強(qiáng)烈的欺騙性計(jì)算機(jī)病毒制造者很容易提前起床。編寫計(jì)算機(jī)病毒清除腳本:禁用FileSystemObject文件系統(tǒng)對象卸載Windows腳本宿主刪除vbs，vbe，js，jse文件后綴和應(yīng)用程序之間的映射在Windows目錄中，找到WScript.exe，更改其名稱或刪除它。要完全防止vbs網(wǎng)絡(luò)蠕蟲，您需要設(shè)置您的瀏覽器。禁止OE的自動發(fā)送和接收電子功能。顯示所有文件類型的擴(kuò)展名。將系統(tǒng)網(wǎng)絡(luò)連接的安全級別至少設(shè)置為中。(4)特洛伊木馬計(jì)算機(jī)病毒木馬又稱黑客程序或后門病毒，是指隱藏在正常程序中的具有特殊功能的程序。由于隱蔽性好，不易察覺，是一種非常危險(xiǎn)的網(wǎng)絡(luò)攻擊手段。第一代:偽裝病毒，第二代:艾滋病木馬，第三代:網(wǎng)絡(luò)傳播木馬。怎么查？審核注冊表請檢查您的系統(tǒng)配置文件。特洛伊木馬清除:備份重要數(shù)據(jù)立即關(guān)閉背面電源。備份木馬入侵網(wǎng)站修復(fù)特洛伊木馬損害(5)蠕蟲病毒1.worm概述所有能導(dǎo)致計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。所以從這個意義上說，蠕蟲也是一種病毒！網(wǎng)絡(luò)蠕蟲作為一種對互聯(lián)網(wǎng)造成嚴(yán)重危害的計(jì)算機(jī)程序，其破壞力和傳染性不容忽視。與傳統(tǒng)病毒不同，蠕蟲以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊目標(biāo)！本文將蠕蟲分為企業(yè)網(wǎng)絡(luò)和個人用戶兩大類，分別從企業(yè)用戶和個人用戶兩方面討論了蠕蟲的特點(diǎn)和一些防范措施！2.蠕蟲病毒與一般病毒的異同蠕蟲也是一種病毒，所以具有病毒的共同特征。一般的病毒需要寄生。它們可以通過執(zhí)行自己的指令，將自己的指令代碼寫入