17计算机病毒

Look@me王兴叶杨峰侯小琳向宇轩汪恒编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（ComputerVirus）。计算机病毒的种类很多，但是它们的主要结构是类似的，一般需要包含4部分：（1）引导部分：就是病毒程序的初始化部分。它的作用是将病毒的主体加载到内存，为传染部分做准备（如驻留内存、修改中断、修改高端内存、保存原中断向量等操作）。（2）传染部分：作用是将病毒代码复制到传染目标上去。传染需要一定的条件。不同类型的病毒在传染方式、传染条件上各不相同。进行传播之前，先要判断传染条件。（3）表现部分：作用是在被传染系统上表现出特定现象。大部分病毒都是在一定条件下才会触发表现部分的。（4）破坏部分：作用是产生破坏被传染系统的行为。1.传染性和衍生性病毒也是一种程序，它与其他程序的显著不同之处，就是它的传染性。与生物界中的病毒可以从一个生物体传播到另一个生物体一样，计算机病毒可以借助各种渠道从已经感染的计算机系统扩散到其他计算机系统。早在1949年，计算机的先驱者VonNeumann就在他的论文《复杂自动机组织论》中，提出了计算机程序在内存中自我复制的设想，勾画了病毒程序的蓝图。1977年夏天，美国作家托马斯·捷·瑞安在其幻想小说《P-1的青春》一书中构思了一种能够自我复制的计算机程序，第一次使用了“计算机病毒”的术语。所以自我复制应当是计算机病毒的主要特征。计算机病毒通常是由技术高超者编写的比较完美的、精巧严谨、短小精悍的程序。它们常常按照严格的秩序组织，与所在的系统网络环境相适应、相配合。病毒程序一旦取得系统控制权，可以在极短的时间内传染大量程序。但是，被感染的程序并不是立即表现出异常，而是潜伏下来，等待时机。除了不发作外，它的潜伏还依赖于其隐蔽性。为了隐蔽，病毒通常非常短小（一般只有几百或1K字节，此外还寄生于正常的程序或磁盘较隐蔽的地方，也有个别以隐含文件形式存在，使人不经过代码分析很难被发觉。20世纪90年代初，计算机病毒开始具有对抗机制。例如YankeeDoole病毒，当它发现有人用Debug工具跟踪它，就会自动从文件中逃走。此外还相继出现了一些能对自身进行简单加密的病毒，如1366(DaLian)、1824(N64)、1741(Dong)、1100等。加密的目的主要是防止跟踪或掩盖有关特征等。例如在内存有1741病毒时，用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使人看起来字节数很正常。（a）占用CPU资源，额外占用或消耗内存空间，或禁止分配内存、蚕食内存，导致一些大型程序执行受阻，使系统性能下降。（b）干扰系统运行，例如不执行命令、干扰内部命令的执行、虚发报警信息、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、文件无法存盘、文件存盘时丢失字节、内存减小、格式化硬盘等。（c）攻击CMOS。CMOS是保存系统参数（如系统时钟、磁盘类型、内存容量等）的重要场所。有的病毒（如CIH病毒）可以通过改写CMOS参数，破坏系统硬件的运行。（d）攻击系统数据区。硬盘的主引导扇区、boot（引导）扇区、FAT（文件分配）表、文件目录等，是系统重要的数据，这些数据一旦受损，将造成相关文件的破坏。·干扰键盘操作。如EDV病毒能封锁键盘，使按任何键都没有反应；还有病毒产生换字、抹掉缓存区字符、输入紊乱等。·干扰屏幕显示。如小球病毒产生跳动的小白点；瀑布病毒使显示的字符像雨点一样一个个落到屏幕底部等。·干扰声响。如感染Attention病毒后，每按一键，喇叭就响一声；YankeeDoodle病毒在每天下午5时整会播出歌曲“YankeeDoodle”；救护车病毒（AmbulanceCar）会在屏幕上出现一辆鸣着警笛来回跑的救护车。·干扰打印机。如Azsua病毒可以封锁打印机接口LPT1，当使用打印机时，会发出缺纸的假报警；1024SBC病毒会使打印机出现断断续续的打印失常；Typo-COM病毒会更换字符。(f）攻击文件。现在发现的病毒中，大多数是文件型病毒。这些病毒会使染毒文件的长度、文件存盘时间和日期发生变化。例如，百年病毒、4096病毒等。（g）劫取机密数据。例如，微软公司在它的MicrosoftNetwork中加入一种特洛伊木马程序，会把用户系统软件和硬件的完整清单送回到微软公司。（h）破坏网络系统的正常运行。例如发送垃圾邮件、占用带宽，使网络拒绝服务等。有些病毒的破坏作用往往是多样的。按病毒存在的媒体根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。按病毒破坏的能力无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分1.不使用盗版或来历不明的软件，特别不能使用盗版的杀毒软件。2.写保护所有系统软盘。3.安装真正有效的防毒软件，并经常进行升级。4.新购买的电脑在使用之前首先要进行病毒检查，以免机器带毒。5.准备一张干净的系统引导盘，并将常用的工具软件拷贝到该盘上，然后妥善保存。此后一旦系统受到病毒侵犯，我们就可以使用该盘引导系统，进行检查、杀毒等操作。6.对外来程序要使用查毒软件进行检查，未经检查的可执行文件不能拷入硬盘，更不能使用。7.尽量不要使用软盘启动计算机。8.将硬盘引导区和主引导扇区备份下来，并经常对重要数据进行备份。1.在清除病毒之前，要先备份重要的数据文件。2.启动最新的反病毒软件，对整个计算机系统进行病毒扫描和清除，使系统或文件恢复正常。3.发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。4.某些病毒在Windows98状态下无法完全清除，此时我们应用事先准备好的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。常见的杀毒软件有瑞星、金山毒霸、KV3000、KILL等。