病毒入侵微机的途径与防治研究.docx
《病毒入侵微机的途径与防治研究.docx》由会员分享,可在线阅读,更多相关《病毒入侵微机的途径与防治研究.docx(14页珍藏版)》请在冰豆网上搜索。
病毒入侵微机的途径与防治研究
江西工业工程职业技术学院
毕业论文
论文题目:
病毒入侵微机的途径与防治研究
姓名:
学号:
专业:
计算机网络
指导老师:
2012年12月
病毒入侵微机的防治与研究
摘要
目前计算机的应用深入到社会的各行各业,计算机与人们的生产生活密切相关已然成为人们生活的一部分或者说一种生活方式。
每件事物都有它的好处和它的坏处,对于计算来说它丰富了我们的生活、方便了我们的工作、提高了生产率、创造了更高的财富价值这是它的好处,但同时伴随计算机的深入应用计算机病毒产生或发展也给我们带来了巨大的破坏和潜在的威胁,这是坏处。
对于大多数一般的计算机用户来说,谈到“计算机病毒”似乎觉得它深不可测,无法琢磨。
其实计算机病毒是可以预防的,随着计算机的普及与深入,对计算机病毒的防范也在越来越受到计算机用户的重视。
作为计算机的使用者,应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。
因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。
本论文从计算机病毒概述及入侵途径、计算机病毒防范、计算机病毒治理清楚入手,浅谈计算机病毒的特点及其应对手法。
关键词:
计算机病毒概念,入侵途径,检测方式,防治研究
第一章计算机病毒的概况
1.1计算机病毒的含义与分类
1.1.1含义
计算机中过病毒的人们,对计算机病毒都有切身体会,对计算机病毒可谓是恨之入骨,那么,何谓计算机病毒呢?
国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,以及公安部出台的《计算机病毒防治管理办法》将计算机病毒均定义如下:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
这是目前官方最权威的关于计算机病毒的定义,此定义也被目前通行的《计算机病毒防治产品评级准则》的国家标准所采纳。
与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。
它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。
1.1.2分类
根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:
按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
按病毒存在的媒体分类
网络病毒:
通过计算机网络传播感染网络中的可执行文件;
文件病毒:
感染计算机中的文件(如:
COM,EXE,DOC等);
引导型病毒:
感染启动扇区(Boot)和硬盘的系统引导扇区(MBR);
还有这三种情况的混合型,例如:
多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
按病毒破坏的能力
无害型:
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:
这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:
这类病毒在计算机系统操作中造成严重的错误。
非常危险型:
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。
按病毒的算法
伴随型病毒:
这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:
XCOPY.EXE的伴随体是XCOPY-COM。
病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒:
通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。
有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒:
除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:
练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒:
它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。
利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒):
这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。
它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
1.2计算机病毒的产生与发展
1.2.1产生
病毒不是来源于突发的原因。
电脑病毒的制造却来自于一次偶然的事件,那时的研究人员为了计算出当时互联网的在线人数,然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞,有时一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。
现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:
一些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。
1.2.2发展
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。
操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。
它可划分为以下几个阶段:
DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播;1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”;
DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”、“星期天”病毒。
病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。
1990年,发展为复合型病毒,可感染COM和EXE文件。
伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。
在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。
批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。
幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。
幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。
例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。
多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
生成器、变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。
这一阶段的典型代表是“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。
网络、蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。
非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
宏病毒阶段
1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言、编写容易、感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难。
互联网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒;
邮件炸弹阶段
1997年,随着万维网(WorldWideWeb)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。
1.3计算机病毒的特点与危害
1.3.1特点
繁殖性
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行的时候,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
通常表现为:
增、删、改、移。
传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
传染性是病毒的基本特征。
在生物界,病毒通过传染从一个生物体扩散到另一个生物体。
在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。
同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
只要一台计算机染毒,如不及时处理,那么病毒会在这台电脑上迅速扩散,计算机病毒可通过各种可能的渠道,如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。
当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。
是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
潜伏性
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。
比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续危害。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。
触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。
为了隐蔽自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。
病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制感染和破坏动作的频率的。
病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
1.3.2危害
计算机病毒让很多计算机使用者“谈虎色变”,那么,计算机病毒到底有哪些危害呢?
大致总结为以下七点:
一、病毒激发对计算机数据信息的直接破坏作用
二、占用磁盘空间和对信息的破坏
三、抢占系统资源
四、影响计算机运行速度
五、计算机病毒错误与不可预见的危害
六、计算机病毒的兼容性对系统运行的影响
七、计算机病毒给用户造成严重的心理压力
大部份的病毒都是把电脑程序及数据破坏,导致系统崩溃。
还有所谓的“木马”,其实“木马”也是病毒的一种,不过是病毒的一个大的分支,木马病毒大都是以盗窃用户电脑内的银行账号、游戏账号、个人资料等信息为目的,并且还占用大量系统资源,导致系统运行缓慢、打卡程序迟钝、死机、蓝屏等等。
计算机病毒会感染、传播,但这并不可怕,可怕的是病毒的破坏性。
其主要危害有:
1、攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录,使磁盘上的信息丢失。
2、删除软盘、硬盘或网络上的可执行文件或数据文件,使文件丢失。
3、占用磁盘空间。
4、修改或破坏文件中的数据,使内容发生变化。
5、抢占系统资源,使内存减少。
6、占用CPU运行时间,使运行效率降低。
7、对整个磁盘或扇区进行格式化。
8、破坏计算机主板上BIOS内容,使计算机无法工作。
9、破坏屏幕正常显示,干扰用户的操作。
10、破坏键盘输入程序,使用户的正常输入出现错误。
11、攻击喇叭,会使计算机的喇叭发出响声。
有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。
有的病毒作者通过喇叭发出种种声音。
12.干扰打印机,假报警、间断性打印、更换字符等等。
第二章计算机病毒入侵微机的途径与防治
2.1计算机病毒的入侵途径
病毒入侵一般是指黑客利用互联网传播病毒,对网络或游戏服务器进行攻击,也指通过技术手段对个人电脑植入病毒,窃取用户个人资料,隐私信息,甚至银行账户信息等,以从中获取不正当利益。
2.1.1病毒入侵方式
源代码嵌入攻击型
从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。
当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。
代码取代攻击型
这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
系统修改型
这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。
外壳附加型
这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。
目前大多数文件型的病毒属于这一类。
2.1.2病毒入侵途径
计算机病毒的传染性是计算机病毒最基本的特性,病毒的传染性是病毒赖以生存繁殖的条件,如果计算机病毒没有传播渠道,则其破坏性小,扩散面窄,难以造成大面积流行。
计算机病毒必须要“搭载”到计算机上才能感染系统,通常它们是附加在某个文件上。
病理解剖处于潜伏期的病毒在激发之前,不会对计算机内的信息全部进行破坏,即绝大部分磁盘信息没有遭到破坏。
因此,只要消除没有发作的计算机病毒,就可保护计算机的信息。
病毒的复制与传染过程只能发生在病毒程序代码被执行过后。
也就是说,如果有一个带有病毒程序的文件储存在您的计算机硬盘上,但是您永远不去执行它,那这个计算机病毒也就是永远不会感染您的计算机。
从用户的角度来说,只要您能保证所执行的程序是“干净”的,您的计算机就绝不会染上病毒,但是由于计算机系统自身的复杂性,许多用户是在不清楚所执行程序的可靠性的情况下执行程序,这就使得病毒侵入的机会大大增加,得以传播扩散。
计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行,文件拷贝与文件传送需要传输媒介,文件执行则是病毒感染的必然途径(Word、Excel等宏病毒通过Word、Excel调用间接地执行),因此,病毒传播与文件传输媒体的变化有着直接关系。
据有关资料报道,计算机病毒的出现是在70年代,那时由于计算机还未普及,所以病毒造成的破坏和对社会公众造成的影响还不是十分大。
1986年巴基斯坦智囊病毒的广泛传播,则把病毒对PC机的威胁实实在在地摆在了人们的面前。
1987年黑色星期五大规模肆虐于全世界各国的IBMPC及其兼容机之中,造成了相当大的病毒恐慌。
这些计算机病毒如同其他计算机病毒一样,最基本的特性就是它的传染性。
通过认真研究各种计算机病毒的传染途径,有的放矢地采取有效措施,必定能在对抗计算机病毒的斗争中占据有利地位,更好地防止病毒对计算机系统的侵袭。
计算机病毒的主要传播途径有:
1.软盘
软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内互相感染。
因此软盘也成了计算机病毒的主要寄生的“温床”。
2.光盘
光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。
当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。
甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“清洁”的计算机平添了灾难。
3.硬盘
由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。
4.BBS电子布告栏(BBS)
因为上站容易、投资少,因此深受大众用户的喜爱。
BBS是由计算机爱好者自发组织的通讯站点,用户可以在BBS上进行文件交换(包括自由软件、游戏、自编程序)。
由于BBS站一般没有严格的安全管理,亦无任何限制,这样就给一些病毒程序编写者提供了传播病毒的场所。
各城市BBS站间通过中心站间进行传送,传播面较广。
随着BBS在国内的普及,给病毒的传播又增加了新的介质。
5.网络
现代通信技术的巨大进步已使空间距离不再遥远,数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送,工作站的距离可以短至并排摆放的计算机,也可以长达上万公里,正所谓“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。
计算机病毒可以附着在正常文件中,当您从网络另一端得到一个被感染的程序,并在您的计算机上未加任何防护措施的情况下运行它,病毒就传染开来了。
这种病毒的传染方式在计算机网络连接很普及的国家是很常见的,国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。
在我们信息国际化的同时,我们的病毒也在国际化。
大量的国外病毒随着互联网络传入国内。
随着Internet网上病毒的最新趋势是:
1.不法分子或好事之徒制作的匿名个人网页直接提供了下载大批病毒活样本的便利途径。
2.用于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。
3.由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网上学术交流活动,如病毒制造协会年会等等,都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。
4.散见于网站上大批病毒制作工具、向导、程序等等,使得无编程经验和基础的人制造新病毒成为可能。
5.新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。
上面讨论了计算机病毒的传染渠道,随着各种反病毒技术的发展和人们对病毒各种
特性的了解,通过对各条传播途径的严格控制,来自病毒的侵扰会越来越少。
2.2计算机病毒的防治措施
2.2.1计算机病毒的防治
1.安装杀毒软件和个人防火墙:
计算机病毒无孔不入,安装一套杀毒软件很有必要。
首次安装时,一定要对计算机做一次彻底的病毒扫描,确保系统尚未受过病毒感染。
上网的时候打开杀毒软件和防火墙实时监控,以免病毒通过网络入侵计算机。
另外经常更新病毒库和定时扫描计算机也是一个良好的习惯。
2.对公用软件和共享软件要谨慎使用,使用U盘时要先杀毒,以防U盘携带病毒传染计算机。
3.从网上下载任何文件后,一定要先扫描杀毒再运行。
4.收到电子邮件时要先进行病毒扫描,不要随便打开不明电子邮件里携带的附件。
5.对重要的文件要做备份,以免遭到病毒侵害时不能立即恢复,造成不必要的损失。
6.不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。
7.尽量减少计算机的交叉使用。
2.2.2中毒可疑迹象
及早发现计算机病毒,是有效控制病毒危害的关键。
检查计算机有无病毒主要有两种途径:
一种是利用反病毒软件进行检测,一种是观察计算机出现的异常现象。
下列现象可作为检查病毒的参考:
1.屏幕出现一些无意义的显示画面或异常的提示信息。
2.屏幕出现异常滚动而与行同步无关。
3.计算机系统出现异常死机和重启动现象。
4.系统不承认硬盘或硬盘不能引导系统。
5.机器喇叭自动产生鸣叫。
6.系统引导或程序装入时速度明显减慢,或异常要求用户输入口令。
7.文件或数据无故地丢失,或文件长度自动发生了变化。
8.磁盘出现坏簇或可用空间变小,或不识别磁盘设备。
9.编辑文本文件时,频繁地自动存盘。
2.2.3检测计算机病毒
一般的病毒静态存储在磁盘中,激活时驻留在内存中。
因此对计算机病毒的检测可分为对内存的检测和对磁盘的检测两种。
对计算机进行病毒检测时,应采用未受病毒感染的DOS系统软盘进行冷启动,以保证内存中不带病毒。
否则查看不到被它感染的文件长度已发生变化。
检测磁盘中的病毒可分成检测引导扇区型病毒和检测文件型病毒。
检测磁盘引导区的病毒可看内存的空间是否被病毒占用,用MEM/c/p
升级会员 