如何防治计算机病毒 信息安全作业Word格式.docx

1、在这个过程中，恶性程序的开发者也就利用同样的渠道，经由网络渗透到个人电脑之中了。这就是近来崛起的第二代病毒，也就是所谓的网络病毒。3.电脑病毒的起源20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。20世纪70年代，美国作家雷恩在其出版的一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。20世纪80年代后期，巴基斯

2、坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。1988年至1989年，我国也相继出现了也能感染硬盘和软盘引导区的Stoned（石头）病毒，该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA！”，也称为“大麻”病毒”等。该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表。该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。类似这种特性的还有“小球、Azusa/Hong-Kong/2708、 Michaelangel

3、o，这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒，实际上它们大多数是Stoned病毒的翻版。20世纪90年代初，感染文件的病毒有Jerusalem（黑色13号星期五）、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除。 这些病毒中， 略有对抗反病毒手段的只有Yankee Doole病毒， 当它发现你用DEBUG工具跟踪它的话，它会自动从文件中逃走。接

4、着， 又一些能对自身进行简单加密的病毒相继出现，有1366（DaLian）、1824（N64）、1741（Dong）、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时， 用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使看起来字节数很正常。而1345-64185病毒却每传染一个目标就增加一个字节， 增到64185个字节时，文件就被破坏。以后又出现了引导区、文件型“双料”病毒，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有Flip/Omicron、 XqR（New century）、Invader/侵入者、 Plastique/塑料炸弹、3584/

5、郑州（狼）、3072（秋天的水）、ALFA/3072-2、Ghost/One_Half/3544（幽灵）、Natas（幽灵王）、TPVO/3783等，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染。Flip/Omicron（颠倒）、XqR（New century新世纪）这两种病毒都设计有对抗反病毒技术的手段，Flip（颠倒）病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病

6、毒在主引导区只潜藏了少量的代码，病毒另将自身全部代码潜藏于硬盘最后个扇区中，并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了个扇区，所以再次起动系统后， 硬盘的实用空间就减少了6个扇区。这样，原主引导记录和病毒主程序就保存在硬盘实用扇区外，避免了其它程序的覆盖，而且用DEBUG的L命令也不能调出查看，就是用FORMAT进行格式化也不能消除病毒，可见，病毒编制者用意深切！与此相似的还有Denzuko病毒。XqR（New century新世纪）病毒也有它更狡猾的一面，它监视着INT13、INT21中断有关参数，当你要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让你

7、搜索，使你认为一切正常，病毒却蒙混过关。病毒的这种对抗方法，我们在此称为：病毒在内存时，具有“反串”（反转）功能。这类病毒还有Mask（假面具）、2709/ROSE（玫瑰）、One_Half/3544（幽灵）、 Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等，现在的新病毒越来越多的使用这种功能来对抗按装在硬盘上的抗病毒软件，但用无病毒系统软盘引导机器后，病毒就失去了“反串”（反转）功能。1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲（0代码）部位，

8、从外表上看，文件一个字节也没增加。INT60（0002）病毒隐藏的更加神秘，它不修改主引导记录， 只将硬盘分区表修改了两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节指向的区域。硬盘引导时，ROM-BIOS程序糊理糊涂的按这两个字节的引向，将病毒激活。病毒太狡猾了，只需两个字节，就可以牵着机器的鼻子走！Monkey（猴子）、PC_LOCK（加密锁）病毒将硬盘分区表加密后再隐藏起来， 如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换， 那么，就再进不了硬盘了，数据也取不出来了，所以，不要轻易使用FDISK/MBR格式。1992年以来，

9、DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现，具有感染力极强，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数， 将文件名字与文件代码主体分离。 在系统有此病毒的情况下，一切就象没发生一样。而在系统无病毒时，你用无病毒的文件去覆盖有病毒的文件，灾难就会发生，全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现，使病毒又多了一种新类型。20世纪内，决大多数病毒是基于DOS系统的，有80的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、（传染引导区、文件）“双重性”（D

10、OS、WINDOWS）病毒，这是病毒随着操作系统发展而发展。当然，Internet的广泛应用，Java恶意代码病毒也出现了。脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性（通过Windows Script Host进行），对当前计算机进行感染和破坏。即，一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时，不必打开信件，就能受到HAPPYTIME“快乐时光”病毒的感染，该病毒传染能力很强。近几年，出现了近万种WORD（MACRO宏）病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，

11、不分操作系统，再加上Internet网上用WORD格式文件进行大量的交流，宏病毒会潜伏在这些WORD文件里，被人们在Internet网上传来传去。早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剥析中，发现部分病毒好象出于一个家族，其“遗传基因”相同，简单的说，是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。“改形”病毒的定义此应简单的说，与“原种”病毒的代码长度相差不大，绝大多数病毒代码与“原种”的代码相同， 并且相同的代码其位置也相同， 否则就是一种新的病毒。大量具有相同“遗传基因”的“同族”病毒的涌现，使人不的不怀疑“病毒生产机”软件已出现。1996

12、年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”，不法之徒，可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。这种“病毒生产机”软件可不用绞尽脑汁的去编程序，便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是，这些病毒的主体构造和原理基本相同。“病毒生产机”软件，其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前，国内发现的、或有部分变形能力的病毒生产机有“G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-S

13、P/MTE病毒生产机等。它们生产的病毒都有“遗传基因”于相同的特点，没有广谱性能的查毒软件，只能是知道一种，查一种，难于应付“病毒生产机”生产出的大量新病毒。据港报载， 香港已有人也模仿欧美的Mutation Eneine（变形金刚病毒生产机）软件编写出了一种称为CLME（Crazy Lord Mutation Eneine）即“疯狂贵族变形金刚病毒生产机”， 已放出了几种变形病毒， 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是，编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在，随时

14、就有可能存在着“病毒暴增”的危机！危机一个接一个，网络蠕虫病毒I-WORM.AnnaKournikova，就是一种VBS/I-WORM病毒生产机生产的，它一出来，短时间内就传遍了全世界。这种病毒生产机也传到了我国。Windows9x、win2000操作系统的发展，也使病毒种类和样随其变化而变化。以下例举几个点型的WINDOWS病毒。WIN32.CAW.1XXX病毒是驻留内存的Win32病毒，它感染本地和网络中的PE格式文件。该病毒的产生是来源一种32位的Windows“CAW病毒生产机”， 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。4.电脑中毒的现象了解了电脑病毒的基本知识，

15、我们还必须了解电脑中毒后的一些表现，然后这样会有助于我们判断电脑是否中毒。在电脑出现以下中毒表现时，是在机器的硬件无故障，软件运行正常的情况下发生的。1）电脑无法启动电脑感染了引导型病毒后，通常会无法启动，因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。2）电脑经常死机病毒程序打开了较多的程序，或者是病毒自我复制，都会占用大量的CPU资源和内存资源，从而造成机器经常死机。对于网络病毒，由于病毒为了传播，通过邮件服务和QQ等聊天软件传播，也会造成系统因为资源耗尽而死机。3）文件无法打开系统中可以执行的文件，突然无法打开。由于病毒修改了感染了文件，可能会使文件损坏，或者是病毒破坏了可执行文件中操作系统中的关联，都会使文件出现打不开的现象。4）系统经常提示内存不足现在机器的内存通常是2G的标准配置，可是在打开很少程序的情况下，系统经