1、關于計算機病毒的知識介紹計算機病毒的知識計算機病毒(puter Virus)是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指令或者程序代碼。計算機病毒具有傳播性、隱蔽性、感染性、埋伏性、可激發性、表現性或破壞性。計算機病毒的生命周期：開發期傳染期埋伏期發作期發現期消化期消亡期。計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，具有自我繁殖、互相傳染以及激活再生等生物病毒特征。計算機病毒有獨特的復制才能，它們可以快速蔓延，又常常難以鏟除。它們能把自身附著在各種類型的文件上，當文件被復制或從一個用戶傳送到另一個用戶時，它們就伴隨文件一起蔓延開

2、來。定義計算機病毒(puter Virus)在中華人民共和國計算機信息系統平安保護條例中被明確定義，病毒指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且可以自我復制的一組計算機指令或者程序代碼。計算機病毒與醫學上的病毒不同，計算機病毒不是天然存在的，是人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能埋伏在計算機的存儲介質(或程序)里，條件滿足時即被激活，通過修改其他程序的方法將自己的準確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序，對計算機資進展破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大特征繁殖性計算機病毒可以像生物病毒一樣進

3、展繁殖，當正常程序運行時，它也進展運行自身復制，是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。破壞性計算機中毒后，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞。破壞引導扇區及BIOS，硬件環境破壞。傳染性計算機病毒傳染性是指計算機病毒通過修改別的程序將自身的復制品或其變體傳染到其它無毒的對象上，這些對象可以是一個程序也可以是系統中的某一個部件。埋伏性計算機病毒埋伏性是指計算機病毒可以依附于其它媒體寄生的才能，侵入后的病毒埋伏到條件成熟才發作， 會使電腦變慢。隱蔽性計算機病毒具有很強的隱蔽性，可以通過病毒軟件檢查出來少數，隱蔽性計算機病毒時隱時現、變化無

4、常，這類病毒處理起來非常困難。可觸發性編制計算機病毒的人，一般都為病毒程序設定了一些觸發條件，例如，系統時鐘的某個時間或日期、系統運行了某些程序等。一旦條件滿足，計算機病毒就會發作，使系統遭到破壞。原理病毒依附存儲介質軟盤、 硬盤等構成傳染。病毒傳染的媒介由工作的環境來定。病毒激活是將病毒放在內存， 并設置觸發條件，觸發的條件是多樣化的， 可以是時鐘，系統的日期，用戶標識符，也可以是系統一次通信等。條件成熟病毒就開場自我復制到傳染對象中，進展各種破壞活動等。病毒的傳染是病毒性能的一個重要標志。在傳染環節中，病毒復制一個自身副本到傳染對象中去。感染策略為了可以復制其自身，病毒必須可以運行代碼并可

5、以對內存運行寫操作。基于這個原因，許多病毒都是將自己附著在合法的可執行文件上。假如用戶企圖運行該可執行文件，那么病毒就有時機運行。病毒可以根據運行時所表現出來的行為分成兩類。非常駐型病毒會立即查找其它宿主并伺機加以感染，之后再將控制權交給被感染的應用程序。常駐型病毒被運行時并不會查找其它宿主。相反的，一個常駐型病毒會將自己加載內存并將控制權交給宿主。該病毒于背景中運行并伺機感染其它目的。非常駐型病毒非常駐型病毒可以被想成具有搜索模塊和復制模塊的程序。搜索模塊負責查找可被感染的文件，一旦搜索到該文件，搜索模塊就會啟動復制模塊進展感染。常駐型病毒常駐型病毒包含復制模塊，其角色類似于非常駐型病毒中的

6、復制模塊。復制模塊在常駐型病毒中不會被搜索模塊調用。病毒在被運行時會將復制模塊加載內存，并確保當操作系統運行特定動作時，該復制模塊會被調用。例如，復制模塊會在操作系統運行其它文件時被調用。在這個例子中，所有可以被運行的文件均會被感染。常駐型病毒有時會被區分成快速感染者和慢速感染者。快速感染者會試圖感染盡可能多的文件。例如，一個快速感染者可以感染所有被訪問到的文件。這會對殺毒軟件造成特別的問題。當運行全系統防護時，殺毒軟件需要掃描所有可能會被感染的文件。假如殺毒軟件沒有發覺到內存中有快速感染者，快速感染者可以借此搭便車，利用殺毒軟件掃描文件的同時進展感染。快速感染者依賴其快速感染的才能。但這同時

7、會使得快速感染者容易被偵測到，這是因為其行為會使得系統性能降低，進而增加被殺毒軟件偵測到的風險。相反的，慢速感染者被設計成偶而才對目的進展感染，如此一來就可防止被偵測到的時機。例如，有些慢速感染者只有在其它文件被拷貝時才會進展感染。但是慢速感染者此種試圖防止被偵測到的作法似乎并不成功。分類破壞性良性病毒、惡性病毒、極惡性病毒、災難性病毒。傳染方式引導區型病毒主要通過軟盤在操作系統中傳播，感染引導區，蔓延到硬盤，并能感染到硬盤中的主引導記錄。文件型病毒是文件感染者，也稱為寄生病毒。它運行在計算機存儲器中，通常感染擴展名為、EE、SYS等類型的文件。混合型病毒具有引導區型病毒和文件型病毒兩者的特點

8、。宏病毒是指用BAS語言編寫的病毒程序存放在Offe文檔上的宏代碼。宏病毒影響對文檔的各種操作。連接方式碼型病毒攻擊高級語言編寫的程序，在程序編譯之前插入其中，并隨程序一起編譯、連接成可執行文件。碼型病毒較為少見，亦難以編寫。入侵型病毒可用自身代替正常程序中的局部模塊或堆棧區。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下也難以被發現，去除起來也較困難。操作系統型病毒可用其自身局部參加或替代操作系統的局部功能。因其直接感染操作系統，這類病毒的危害性也較大。外殼型病毒通常將自身附在正常程序的開頭或結尾，相當于給正常程序加了個外殼。大部份的文件型病毒都屬于這一類。計算機病毒種類繁多而且復雜，

9、按照不同的方式以及計算機病毒的特點及特性，可以有多種不同的分類方法。同時，根據不同的分類方法，同一種計算機病毒也可以屬于不同的計算機病毒種類。按照計算機病毒屬性的方法進展分類，計算機病毒可以根據下面的屬性進展分類。根據病毒存在的媒體劃分：網絡病毒通過計算機網絡傳播感染網絡中的可執行文件。文件病毒感染計算機中的文件(如：，EE，DOC等)。引導型病毒感染啟動扇區(Boot)和硬盤的系統引導扇區(MBR)。還有這三種情況的混合型，例如：多型病毒(文件和引導型)感染文件和引導扇區兩種目的，這樣的病毒通常都具有復雜的算法，它們使用非常規的方法侵入系統，同時使用了加密和變形算法。根據病毒傳染渠道劃分：駐

10、留型病毒這種病毒感染計算機后，把自身的內存駐留局部放在內存(RAM)中，這一局部程序掛接系統調用并合并到操作系統中去，它處于激活狀態，一直到關機或重新啟動非駐留型病毒這種病毒在得到時機激活時并不感染計算機內存，一些病毒在內存中留有小局部，但是并不通過這一局部進展傳染，這類病毒也被劃分為非駐留型病毒。根據破壞才能劃分：無害型除了傳染時減少磁盤的可用空間外，對系統沒有其它影響。無危險型這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類影響。危險型這類病毒在計算機系統操作中造成嚴重的錯誤。非常危險型這類病毒刪除程序、破壞數據、去除系統內存區和操作系統中重要的信息。根據算法劃分：伴隨型病毒這類病毒并不改

11、變文件本身，它們根據算法產生EE文件的伴隨體，具有同樣的名字和不同的擴展名，例如：COPY.EE的伴隨體是COPY-。病毒把自身寫入文件并不改變EE文件，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EE文件。蠕蟲型病毒通過計算機網絡傳播，不改變文件和資料信息，利用網絡從一臺機器的內存傳播到其它機器的內存，計算機將自身的病毒通過網絡發送。有時它們在系統存在，一般除了內存不占用其它資。寄生型病毒除了伴隨和蠕蟲型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或文件中，通過系統的功能進展傳播，按其算法不同還可細分為以下幾類。練習型病毒，病毒自身包含錯誤，不能進展很好的傳播，

12、例如一些病毒在調試階段。詭秘型病毒，它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和文件緩沖區等對DOS內部進展修改，不易看到資，使用比擬高級的技術。利用DOS空閑的數據區進展工作。變型病毒(又稱幽靈病毒)，這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。征兆預防病毒征兆屏幕上出現不應有的特殊字符或圖像、字符無規那么變或脫落、靜止、滾動、雪花、跳動、小球亮點、莫名其妙的信息提等。發出尖叫、蜂鳴音或非正常奏樂等。經常無故死機，隨機地發生重新啟動或無法正常啟動、運行速度明顯下降、內存空間變小、磁盤驅動

13、器以及其他設備無緣無故地變成無效設備等現象。磁盤標號被自動改寫、出現異常文件、出現固定的壞扇區、可用磁盤空間變小、文件無故變大、失蹤或被改亂、可執行文件(ee)變得無法運行等。打印異常、打印速度明顯降低、不能打印、不能打印漢字與圖形等或打印時出現亂碼。收到來歷不明的電子郵件、自動鏈接到生疏的網站、自動發送電子郵件等。保護預防程序或數據神秘地消失了，文件名不能識別等;注意對系統文件、可執行文件和數據寫保護;不使用來歷不明的程序或數據;盡量不用軟盤進展系統引導。不輕易翻開來歷不明的電子郵件;使用新的計算機系統或軟件時，先殺毒后使用;備份系統和參數，建立系統的應急方案等。安裝殺毒軟件。分類管理數據。

14、免殺技術以及新特征免殺是指：對病毒的處理，使之躲過殺毒軟件查殺的一種技術。通常病毒剛從病毒作者手中傳播出去前，本身就是免殺的，甚至可以說病毒比殺毒軟件還新，所以殺毒軟件根本無法識別它是病毒，但由于傳播后局部用戶中毒向殺毒軟件公司舉報的原因，就會引起平安公司的注意并將之特征碼收錄到自己的病毒庫當中，病毒就會被殺毒軟件所識別。病毒作者可以通過對病毒進展再次保護如使用匯編加花指令或者給文檔加殼就可以輕易躲過殺毒軟件的病毒特征碼庫而免于被殺毒軟件查殺。美國的Norton Antivirus、McAfee、PC-cillin，俄羅斯的Kaspersky Anti-Virus，斯洛伐克的NOD32等產品在

15、國際上口碑較好，但殺毒、查殼才能都有限，目前病毒庫總數量也都僅在數十萬個左右。自我更新性是近年來病毒的又一新特征。病毒可以借助于網絡進展變種更新，得到最新的免殺版本的病毒并繼續在用戶感染的計算機上運行，比方熊貓燒香病毒的作者就創立了病毒晉級效勞器，在最勤時一天要對病毒晉級8次，比有些殺毒軟件病毒庫的更新速度還快，所以就造成了殺毒軟件無法識別病毒。除了自身免殺自我更新之外，很多病毒還具有了對抗它的天敵殺毒軟件和防火墻產品反病毒軟件的全新特征，只要病毒運行后，病毒會自動破壞中毒者計算機上安裝的殺毒軟件和防火墻產品，如病毒自身驅動級Rootkit保護強迫檢測并退出殺毒軟件進程，可以過主流殺毒軟件主動防御和穿透軟、硬件復原的機器狗，自動修改系