必威电竞|足球世界杯竞猜平台

來(lái)源：互聯(lián)網(wǎng)

計(jì)算機(jī)病毒(計(jì)算機(jī) Virus)是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)的使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。與醫(yī)學(xué)上的“病毒”不同，計(jì)算機(jī)病毒不是天然存在的，是某些人利用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件即被激活，通過修改其他程序的方法將自己的精確復(fù)制或者可能演化的形式入其他程序中，從而感染其他程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞。

狹義上的計(jì)算機(jī)病毒是指能夠進(jìn)行自我傳播、需要用戶干預(yù)來(lái)觸發(fā)執(zhí)行的破壞性程序或代碼，例如用戶通過雙擊U盤盤符的方式觸發(fā)病毒。廣義上的計(jì)算機(jī)病毒，是指凡駐留于計(jì)算機(jī)系統(tǒng)內(nèi)部，能對(duì)系統(tǒng)原有功能進(jìn)行非正確修改的程序或過程，按廣義定義，那些能危及計(jì)算機(jī)工作的現(xiàn)象也稱為“計(jì)算機(jī)病毒”，包括木馬、后門、僵尸(bot）、流氓軟件、廣告軟件、黑客工具等。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒對(duì)信息安全的威脅日益嚴(yán)重，計(jì)算機(jī)安全的重要性也被越來(lái)越多的人認(rèn)識(shí)到，正因于此，人們開始了反計(jì)算機(jī)病毒的研究。一方面要掌握對(duì)計(jì)算機(jī)病毒的防范措施，另一方面要加強(qiáng)對(duì)病毒未來(lái)發(fā)展趨勢(shì)的研究，真正做到防患于未然。

發(fā)展歷程

對(duì)計(jì)算機(jī)病毒理論的構(gòu)思可追溯到科幻小說。20世紀(jì)70年代，美國(guó)作家雷恩在其出版的小說《P-1的青春》中構(gòu)思了一種能夠自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。1983年，美國(guó)計(jì)算機(jī)安全專家Fred Cohen首次通過實(shí)驗(yàn)證明了計(jì)算機(jī)病毒的可實(shí)現(xiàn)性，計(jì)算機(jī)病毒(計(jì)算機(jī) Viruses)正式命名。1986年初，第一個(gè)真正的病毒問世，它是由巴基斯坦一對(duì)名叫Basit和Amjad 的兄弟創(chuàng)造出來(lái)的，名叫C-Brain。1987年，世界各地的計(jì)算機(jī)用戶幾乎同時(shí)發(fā)現(xiàn)了形形色色計(jì)算機(jī)病毒，如大麻、圣誕樹、黑色星期五等，眾多的計(jì)算機(jī)用戶乃至專業(yè)人員都感到驚惶失措。但直到1987年，病毒并沒有真正在世界上傳播開來(lái)，也沒有引起人們的重視，更沒有被充分認(rèn)識(shí)到將造成多大的危害。1988年11月的一次病毒發(fā)作，造成Intenet網(wǎng)上的6200多用戶系統(tǒng)癱瘓，經(jīng)濟(jì)損失達(dá)九千多萬(wàn)美元，隨后一系列病毒事件的發(fā)生，才引起人們對(duì)計(jì)算機(jī)病毒高度重視，并在國(guó)際計(jì)算機(jī)領(lǐng)域掀起了一個(gè)探討病毒的高潮。計(jì)算機(jī)病毒的發(fā)展大致分為如下幾個(gè)階段。

原始病毒階段

一般認(rèn)為原始病毒階段這一時(shí)期在1986年至1989年之間，由于當(dāng)時(shí)計(jì)算機(jī)的應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行，因此病毒沒有大量流行，種類也很有限，病毒的清除工作相對(duì)來(lái)說較容易。這一時(shí)期還有一些良性病毒，它們沒有太多的破壞力，只是為了開個(gè)玩笑或進(jìn)行版權(quán)保護(hù)。具有代表性的是小球、石頭病毒，它們利用軟盤的啟動(dòng)原理工作，修改系統(tǒng)引導(dǎo)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，在系統(tǒng)存取操作磁盤時(shí)傳播，影響系統(tǒng)工作效率。這一時(shí)期計(jì)算機(jī)病毒的主要特點(diǎn)是：攻擊目標(biāo)較單一；主要通過截獲系統(tǒng)中斷向量的方式來(lái)監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對(duì)目標(biāo)進(jìn)行傳染；病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖。

混合型病毒階段

其產(chǎn)生的年限在1989年至1991年之間，是計(jì)算機(jī)病毒由簡(jiǎn)單發(fā)展到復(fù)雜的階段。局域網(wǎng)開始應(yīng)用與普及，給計(jì)算機(jī)病毒帶來(lái)了第一次流行高峰。這類病毒不僅感染HDD引導(dǎo)記錄，也感染磁盤文件。如果只解除了感染文件上的病毒而沒有清除引導(dǎo)區(qū)的病毒，那么在系統(tǒng)重新引導(dǎo)時(shí)病毒又將激活，重新感染文件；如果只清除了引導(dǎo)區(qū)的病毒而沒有清除文件上的病毒，一旦執(zhí)行被感染文件，就又會(huì)感染硬盤引導(dǎo)區(qū)。例如，3544幽靈、“侵略者”／Invader病毒等就屬于這類病毒。這一時(shí)期計(jì)算機(jī)病毒的主要特點(diǎn)為：攻擊目標(biāo)趨于混合；采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)；病毒傳染目標(biāo)后沒有明顯的特征；病毒程序往往采取自我保護(hù)措施；出現(xiàn)許多病毒的變種等。

伴隨、批次型階段

1992年，伴隨型病毒出現(xiàn)，它們利用dos 加載文件的優(yōu)先順序進(jìn)行工作。具有代表性的是“金蟬”病毒，它感染EXE 文件時(shí)生成一個(gè)和EXE 同名的擴(kuò)展名為COM 的伴隨體，它感染COM文件時(shí)，將原來(lái)的COM文件改為同名的EXE文件，再產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM，這樣在DOS加載文件時(shí)，病毒就取得控制權(quán)。這類病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容、日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可。在非DOS操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作，較典型的代表是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒，這一階段的病毒技術(shù)開始向多維化方向發(fā)展，有些病毒開始破壞計(jì)算機(jī)HDD的引導(dǎo)扇區(qū)，使得計(jì)算機(jī)無(wú)法啟動(dòng)。

網(wǎng)絡(luò)病毒階段

1995年以后，隨著網(wǎng)絡(luò)的普及，病毒大量利用網(wǎng)絡(luò)進(jìn)行傳播，但只是以上幾代病毒的改進(jìn)。在非DOS操作系統(tǒng)中，“Worm.Win32.AutoRun.qpv”是典型的代表。它不占用除內(nèi)存以外的任何資源，不修改磁盤文件、利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。1997 年，隨著因特網(wǎng)的發(fā)展，各種病毒也開始利用因特網(wǎng)進(jìn)行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多，如果不小心打開了這些郵件，機(jī)器就有可能中毒。這類病毒的主要特點(diǎn)是：它們一般不需要宿主程序，多數(shù)都能夠跨平臺(tái)，借助網(wǎng)絡(luò)迅速傳播，破壞系統(tǒng)數(shù)據(jù)；有一些能夠竊取使用者的重要數(shù)據(jù)資料，如個(gè)人的數(shù)據(jù)文件、網(wǎng)絡(luò)賬號(hào)密碼信用卡信息等。網(wǎng)絡(luò)病毒的查殺具有更大的難度，而且容易復(fù)發(fā)。這一時(shí)期病毒傳播快、隱蔽性強(qiáng)、破壞性大。也就是從這一階段開始，反病毒產(chǎn)業(yè)開始萌芽并逐步形成一個(gè)規(guī)模宏大的新興產(chǎn)業(yè)。典型代表為2003年出現(xiàn)的“沖擊波”病毒和2004年流行的“震蕩波”病毒。這些病毒利用操作系統(tǒng)和網(wǎng)絡(luò)的漏洞進(jìn)行進(jìn)攻型的擴(kuò)散，并且不需要任何媒介或操作，用戶只要接入互聯(lián)網(wǎng)絡(luò)就有可能被感染，而且破壞性非常大。正因?yàn)槿绱耍摬《镜奈：π愿蟆?/p>

手機(jī)病毒階段

2004年出現(xiàn)了手機(jī)蠕蟲病毒Cabir，該惡意代碼感染諾基亞Symbian S60系列手機(jī)，通過不斷掃描附近開啟藍(lán)牙協(xié)議的設(shè)備，將自身發(fā)送到目標(biāo)手機(jī)，誘騙用戶安裝。此后針對(duì)移動(dòng)智能手機(jī)的移動(dòng)僵尸病毒等流氓軟件呈現(xiàn)多發(fā)趨勢(shì)，對(duì)用戶的個(gè)人隱私、財(cái)產(chǎn)（話費(fèi)、手機(jī)支付業(yè)務(wù)等）、有價(jià)值信息（銀行卡、密碼等）等構(gòu)成直接威脅，計(jì)算機(jī)病毒開始從傳統(tǒng)的互聯(lián)網(wǎng)絡(luò)走進(jìn)移動(dòng)通信網(wǎng)絡(luò)世界。與互聯(lián)網(wǎng)用戶相比，手機(jī)用戶覆蓋面更廣、數(shù)量更多，因而高性能的手機(jī)病毒一旦爆發(fā)，其危害和影響比“沖擊波”“震蕩波”等互聯(lián)網(wǎng)病毒還要大。

勒索病毒階段

勒索病毒是一種新型計(jì)算機(jī)病毒，利用釣魚郵件、網(wǎng)頁(yè)掛馬、漏洞攻擊等方式感染用戶設(shè)備，劫持系統(tǒng)的使用權(quán)、破壞數(shù)據(jù)的可用性，通過彈窗、電話、郵件等方式告知勒索信息，要求用戶限期通過比特幣等方式支付贖金，以恢復(fù)設(shè)備使用權(quán)或解密文件數(shù)據(jù)。2016年，計(jì)算機(jī)端勒索病毒樣本新增16.7萬(wàn)個(gè)，近500萬(wàn)用戶計(jì)算機(jī)遭到了勒索病毒攻擊，其中11.9%的受害者會(huì)支付勒索贖金。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解，但是要拿到解密的私鑰就要給攻擊者比特幣等錢財(cái)。因此，此類計(jì)算機(jī)病毒的特點(diǎn)就是勒索錢財(cái)。

計(jì)算機(jī)病毒的分類和結(jié)構(gòu)

分類

對(duì)于計(jì)算機(jī)病毒的分類，沒有統(tǒng)一的標(biāo)準(zhǔn)，常見的分類方式有以下幾種：

根據(jù)破壞程度進(jìn)行分類

良性病毒

良性病毒一般對(duì)計(jì)算機(jī)中的程序和數(shù)據(jù)沒有破壞作用，只是占用CPU和內(nèi)存資源，降低系統(tǒng)運(yùn)行速度。這種病毒發(fā)作時(shí)，會(huì)干擾系統(tǒng)的正常運(yùn)行，一旦清除后，系統(tǒng)可恢復(fù)正常工作。

惡性病毒

惡性病毒對(duì)計(jì)算機(jī)系統(tǒng)具有較強(qiáng)的破壞性，病毒發(fā)作時(shí)，會(huì)破壞計(jì)算機(jī)中的程序或數(shù)據(jù)、刪改系統(tǒng)文件、重新格式化硬盤、使用戶無(wú)法打印，甚至中止系統(tǒng)運(yùn)行等。由于這種病毒破壞性較強(qiáng)，有時(shí)即使清除了病毒，系統(tǒng)也難以恢復(fù)。

基于計(jì)算機(jī)病毒依附的操作系統(tǒng)分類

基于DOS系統(tǒng)的病毒

基于DOS 系統(tǒng)的病毒是一種只能在DOS環(huán)境下運(yùn)行、傳染的計(jì)算機(jī)病毒，是最早出現(xiàn)的計(jì)算機(jī)病毒。例如，“米開朗琪羅病毒”“黑色星期五”病毒等均屬于此類病毒。

基于 Windows系統(tǒng)的病毒

指針對(duì)Windows操作系統(tǒng)的病毒。Windows 病毒一般感染 Windows系統(tǒng)，其中最典型的病毒有CIH病毒。Windows病毒主要感染的文件擴(kuò)展名為EXE、SCR、DLLOCX等。

基于unix或LInux系統(tǒng)的病毒

隨著病毒技術(shù)的發(fā)展，病毒的攻擊目標(biāo)也開始指向Unix和Linux。2001年4月，出現(xiàn)了首例能夠跨平臺(tái)的 Win32.Winux病毒，它可以同時(shí)感染W(wǎng)indows操作系統(tǒng)下的PE文件和Linux操作系統(tǒng)下的ELF文件。Unix操作系統(tǒng)的應(yīng)用非常廣泛，許多大型的操作系統(tǒng)均采用Unix作為其主要的操作系統(tǒng)，所以攻擊Unix的病毒對(duì)信息處理是一個(gè)嚴(yán)重的威脅。

基于嵌入式操作系統(tǒng)的病毒

嵌人式操作系統(tǒng)是一種用途廣泛的系統(tǒng)軟件，隨著 Internet技術(shù)的發(fā)展、信息家電的普及應(yīng)用，及嵌入式操作系統(tǒng)的微型化和專業(yè)化，嵌人式操作系統(tǒng)的應(yīng)用也越來(lái)越廣泛，如應(yīng)用到手機(jī)操作系統(tǒng)中。這種病毒將自身代碼嵌入到被感染文件中，當(dāng)文件被感染后，查殺和清除病毒都非常不易。

根據(jù)宿主類型進(jìn)行分類

有宿主的計(jì)算機(jī)病毒包括引導(dǎo)型病毒，是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。它是一種開機(jī)即可啟動(dòng)的病毒，先于操作系統(tǒng)而存在。病毒在利用系統(tǒng)引導(dǎo)時(shí)，不對(duì)主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點(diǎn)，直接侵入系統(tǒng)，駐留內(nèi)存，隨時(shí)進(jìn)行傳染和破壞；文件型病毒是一類可寄生在文件中的計(jì)算機(jī)病毒。該類病毒可感染可執(zhí)行文件（如擴(kuò)展名為.com、.exe的文件），也可感染.obj、.doc、.dot等類型文件。此外，文件型病毒還能寄生在腳本文件（如.bat、.VBScript文件）中，通常在用戶運(yùn)行被感染文件時(shí)激活。

而無(wú)宿主的計(jì)算機(jī)病毒則以網(wǎng)絡(luò)蠕蟲類病毒為典型代表。蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡意病毒，其本身不具有太多破壞特性，危害以消耗系統(tǒng)帶寬、內(nèi)存、CPU為主。這類病毒最大的破壞之處不是對(duì)終端用戶造成的麻煩，而是對(duì)網(wǎng)絡(luò)的中間設(shè)備的無(wú)謂耗用。

結(jié)構(gòu)

一般來(lái)說，計(jì)算機(jī)病毒結(jié)構(gòu)包括三大功能模塊，即引導(dǎo)模塊、傳染模塊、破壞或表現(xiàn)模塊。

引導(dǎo)模塊

病毒的引導(dǎo)模塊是病毒的總控模塊，它設(shè)置病毒傳染模塊和破壞或表現(xiàn)模塊的地址，通過病毒的引導(dǎo)模塊來(lái)調(diào)用傳染模塊和破壞或表現(xiàn)模塊。對(duì)于寄生在磁盤引導(dǎo)扇區(qū)的病毒，病毒引導(dǎo)程序占有了原系統(tǒng)引導(dǎo)程序的位置，系統(tǒng)一啟動(dòng)，病毒引導(dǎo)模塊就會(huì)自動(dòng)地裝入內(nèi)存并獲得執(zhí)行權(quán)，然后該引導(dǎo)程序負(fù)責(zé)將病毒程序的傳染模塊和發(fā)作模塊裝入內(nèi)存的適當(dāng)位置，并采取常駐內(nèi)存技術(shù)以保證這兩個(gè)模塊不會(huì)被覆蓋，接著對(duì)該兩個(gè)模塊設(shè)定某種激活方式，使之在適當(dāng)?shù)臅r(shí)候獲得執(zhí)行權(quán)。

對(duì)于寄生在可執(zhí)行文件中的病毒，病毒程序一般通過修改原有可執(zhí)行文件，使該文件一執(zhí)行首先轉(zhuǎn)入病毒程序引導(dǎo)模塊，該引導(dǎo)模塊也完成把病毒程序的其他兩個(gè)模塊駐留內(nèi)存及初始化的工作，然后把執(zhí)行權(quán)交給執(zhí)行文件，使系統(tǒng)及執(zhí)行文件在帶毒的狀態(tài)下運(yùn)行。

傳染模塊

計(jì)算機(jī)病毒的傳染模塊是計(jì)算機(jī)病毒由一個(gè)系統(tǒng)擴(kuò)散到另一個(gè)系統(tǒng)、由一個(gè)網(wǎng)絡(luò)傳入另一個(gè)網(wǎng)絡(luò)、由一張軟盤傳入另一張軟盤、由一個(gè)系統(tǒng)傳入一張軟盤的唯一途徑。計(jì)算機(jī)病毒的傳染模塊一般包括兩部分：一是計(jì)算機(jī)病毒的傳染條件判斷部分，計(jì)算機(jī)病毒傳染的先決條件是捕獲計(jì)算機(jī)操作系統(tǒng)磁盤讀寫時(shí)的中斷向量，并修改正常磁盤讀寫及其它外設(shè)讀寫時(shí)的中斷服務(wù)程序。二是計(jì)算機(jī)病毒的傳染部分，這一部分負(fù)責(zé)將計(jì)算機(jī)病毒的全部代碼鏈接到被傳染的攻擊目標(biāo)上。

破壞或表現(xiàn)模塊

破壞或表現(xiàn)模塊是病毒程序的核心部分，分為兩大模塊。一個(gè)模塊用于干擾，常見的方式主要用于干擾設(shè)備的正常使用，如顯示屏幕上無(wú)關(guān)圖形、字符串的出現(xiàn)，顯示內(nèi)容顛倒、顯示內(nèi)容移位等；驅(qū)動(dòng)器讀、寫不正常；對(duì)打印機(jī)進(jìn)行封鎖;使鍵盤亂碼；揚(yáng)聲器的聲音干擾等。另一模塊主要用于信息資源的破壞，嚴(yán)重的是攻擊HDD的主引導(dǎo)區(qū)；軟盤或硬盤的引導(dǎo)區(qū)；文件分配表區(qū)；根目錄區(qū)，造成整個(gè)盤上信息資源的全部損失。有一些病毒僅破壞部分文件。

計(jì)算機(jī)病毒的生命周期

計(jì)算機(jī)病毒的生命周期通常是由以下的四個(gè)步驟組成的一個(gè)循環(huán)：

休眠階段

在休眠階段，計(jì)算機(jī)病毒并不執(zhí)行操作，而是等待被某些事件激活，如到某個(gè)日期、啟動(dòng)某個(gè)進(jìn)程、打開某個(gè)文件等。

傳播階段

在傳播階段，計(jì)算機(jī)病毒通過病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行，當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件時(shí)，便從內(nèi)存中將自身存入被攻擊的目標(biāo)，從而將病毒進(jìn)行傳播。而病毒利用系統(tǒng)讀寫磁盤的中斷又將其寫入系統(tǒng)的外存儲(chǔ)器中，再感染其他系統(tǒng)。每個(gè)被感染的程序都包含病毒副本，而這些副本會(huì)自動(dòng)向其他程序傳播。

觸發(fā)階段

相對(duì)于休眠階段，在觸發(fā)階段，計(jì)算機(jī)病毒被某些事件激活，將會(huì)進(jìn)入執(zhí)行階段。這時(shí)，計(jì)算機(jī)病毒執(zhí)行預(yù)先設(shè)定的功能，這些功能可能是無(wú)害的行為，也可能具有很大的破壞性。常見的觸發(fā)條件可歸為三類：1、日期和時(shí)間，主要是用于干擾和破壞的觸發(fā)條件，多數(shù)都是一些有特定意義的日期（如節(jié)日、某些紀(jì)念日等）；2、功能觸發(fā)，以某些特定的系統(tǒng)功能調(diào)用作為觸發(fā)條件。如啟動(dòng)次數(shù)、DOS的某些內(nèi)部命令或內(nèi)部功能調(diào)用等。分別用于傳染，干擾和破壞；3、日期、時(shí)間和功能的組合，因條件較復(fù)雜，用得比較少，偶爾有病毒以此三種情況為干擾的觸發(fā)條件（如Filp病毒）。

執(zhí)行階段

病毒的功能已經(jīng)被執(zhí)行，其影響可能是無(wú)傷大雅的，如在屏幕上顯示一段信息；也可能傷害力十足，如中止其他程序以及文件運(yùn)行。破壞的方式包括 ：攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括磁盤扇區(qū)和文件目錄，一般來(lái)說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)；攻擊文件，如刪除、改名、替換內(nèi)容、丟失簇和對(duì)文件加密等；攻擊內(nèi)存，病毒額外地占用和消耗內(nèi)存資源，可導(dǎo)致一些大程序運(yùn)行受阻；干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降。

計(jì)算機(jī)病毒的傳播途徑

移動(dòng)式存儲(chǔ)介質(zhì)

計(jì)算機(jī)和手機(jī)等數(shù)碼產(chǎn)品常用的移動(dòng)存儲(chǔ)介質(zhì)，主要包括：軟盤、光盤、DVD、HDD、閃存、U盤、CF卡、SD卡和移動(dòng)硬盤等。移動(dòng)存儲(chǔ)介質(zhì)以其便攜性和大容量存儲(chǔ)性為病毒的傳播帶來(lái)了極大的便利，這也是其成為主流病毒傳播途徑的重要原因。例如，“U盤殺手”(Worm_Autorun)病毒，該病毒是一個(gè)利用U盤等移動(dòng)設(shè)備進(jìn)行傳播的蠕蟲病毒。autorun.inf文件一般存在于U 盤、MP3、移動(dòng)硬盤和硬盤各個(gè)分區(qū)的根目錄下，當(dāng)用戶雙擊U盤等設(shè)備時(shí)，該文件就會(huì)利用Windows的自動(dòng)播放功能優(yōu)先運(yùn)行autorun.inf文件，并立即執(zhí)行所要加載的病毒程序，導(dǎo)致用戶機(jī)器被破壞且用戶遭受損失。

網(wǎng)絡(luò)傳播

現(xiàn)代通信技術(shù)的巨大進(jìn)步使空間距離不再遙遠(yuǎn)，數(shù)據(jù)、文件和電子郵件可以方便地在各個(gè)網(wǎng)絡(luò)工作站間通過電纜、光纖或電話線路進(jìn)行傳送。網(wǎng)絡(luò)感染計(jì)算機(jī)病毒的途徑主要有以下幾種:

電子郵件

電子郵件是病毒通過互聯(lián)網(wǎng)進(jìn)行傳播的主要媒介。病毒主要依附在郵件的附件中，而電子郵件本身并不產(chǎn)生病毒。由于人們可以發(fā)送任意類型的文件，而大部分計(jì)算機(jī)病毒防護(hù)軟件在這方面的功能還不是很完善。當(dāng)用戶下載附件時(shí)，計(jì)算機(jī)就會(huì)感染病毒，病毒入侵至系統(tǒng)中，伺機(jī)發(fā)作。

下載文件

病毒被捆綁或隱藏在互聯(lián)網(wǎng)上共享的程序或文檔中，用戶一旦下載了該類程序或文件而不進(jìn)行查殺病毒，感染計(jì)算機(jī)病毒的幾率將大大增加。病毒可以偽裝成其他程序或隱藏在不同類型的文件中，通過下載操作感染計(jì)算機(jī)。

瀏覽網(wǎng)頁(yè)

Java Applets 和 Active Control等程序及腳本原本是用于增強(qiáng)網(wǎng)頁(yè)功能與頁(yè)面效果的，當(dāng)它們被他人利用編寫計(jì)算機(jī)病毒和惡意攻擊程序時(shí)，用戶瀏覽網(wǎng)頁(yè)時(shí)就有可能感染病毒。

聊天通信工具

QQ、MSN、微信和Skype等即時(shí)通信聊天工具，是人們進(jìn)行信息通信與數(shù)據(jù)交換的重要手段之一，成為網(wǎng)上生活必備軟件。但由于通信工具本身安全性的缺陷，加之聊天工具中的聯(lián)系列表信息量豐富，給病毒的大范圍傳播提供了極為便利的條件，僅通過 QQ這一種通信聊天工具進(jìn)行傳播的病毒就達(dá)上百種。

移動(dòng)通信終端

手機(jī)作為最典型的移動(dòng)通信終端已經(jīng)成為病毒的新的攻擊目標(biāo)。具有傳染性和破壞性的病毒，會(huì)利用發(fā)送的手機(jī)短信、彩信，無(wú)線網(wǎng)絡(luò)下載歌曲、圖片或文件等方式傳播，由于手機(jī)用戶往往在不經(jīng)意的情況下接收讀取短信、彩信或直接單擊網(wǎng)址鏈接等方式獲取信息，讓病毒毫不費(fèi)力地入侵手機(jī)進(jìn)行破壞，甚至使之無(wú)法正常使用。

計(jì)算機(jī)病毒的破壞機(jī)制

攻擊系統(tǒng)數(shù)據(jù)區(qū)

系統(tǒng)數(shù)據(jù)區(qū)主要包括：HDD主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表和文件目錄，一般來(lái)說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。2002年12月出現(xiàn)的“硬盤殺手”病毒，該病毒是一個(gè)破壞力直逼CIH的惡性病毒，“硬盤殺手”病毒運(yùn)行時(shí)，會(huì)首先將自己復(fù)制到系統(tǒng)目錄下，然后修改注冊(cè)表進(jìn)行自啟動(dòng)。病毒會(huì)通過Windows 9X系統(tǒng)的漏洞和共享文件夾進(jìn)行瘋狂的網(wǎng)絡(luò)傳播，即使網(wǎng)絡(luò)共享文件夾有共享密碼，病毒也能傳染。如果是NT系列系統(tǒng)，則病毒會(huì)通過共享文件夾感染網(wǎng)絡(luò)。病毒會(huì)獲取當(dāng)前時(shí)間，如果病毒已經(jīng)運(yùn)行兩天，則病毒會(huì)在C盤下寫入病毒文件，該病毒文件會(huì)改寫HDD分區(qū)表，當(dāng)系統(tǒng)重啟時(shí)，會(huì)出現(xiàn)病毒信息，并將硬盤上所有數(shù)據(jù)都破壞掉，并且不可恢復(fù)。

攻擊文件和硬盤

病毒對(duì)文件的攻擊方式很多，可造成文件長(zhǎng)度變化，文件時(shí)間日期變化，文件丟失，文件后綴變化等，攻擊磁盤病毒除攻擊文件外，病毒還會(huì)干擾磁盤的操作，如不寫盤、把寫操作變?yōu)樽x操作和寫盤時(shí)丟字節(jié)。例如Burger病毒，病毒的程序運(yùn)行時(shí)，該病毒便企圖在—[C]—根目錄下感染一個(gè)以前未被感染的.COM程序。為了確定一個(gè)．COM文件是否受到感染，該病毒首先檢查該．COM文件的頭三個(gè)NOP。如果這三個(gè)NOP對(duì)得上909090h，該病毒便繼續(xù)檢查其他文件，直到找到一個(gè)未受感染的．COM為止．如未找到?jīng)]有感染的．COM文件，該病毒便將根目錄下的所有．EXE改名成．COM，然后再檢查這些文件．一旦找到了一個(gè)未受感染的．COM文件，該病毒便將其頭560個(gè)字節(jié)覆蓋成病毒的內(nèi)碼。此時(shí)若用戶調(diào)用此程序，不是退出就是死機(jī)，感染的程序都不能正常運(yùn)行。

攻擊內(nèi)存

內(nèi)存是計(jì)算機(jī)的重要資源，也是病毒的攻擊目標(biāo)。病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源，可以導(dǎo)致一些大程序的運(yùn)行受阻。病毒攻擊內(nèi)存的方式列舉如下：占用大量?jī)?nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存。2003年出現(xiàn)的“清醒”病毒（Worm.Sober），該病毒發(fā)作后，電腦反應(yīng)遲鈍，剛開始的時(shí)候病毒進(jìn)程占用的CPU和內(nèi)存都不多，過一段時(shí)間就會(huì)慢慢地蠶食機(jī)器的CPU和內(nèi)存，才幾分鐘CPU資源就被它占盡了，內(nèi)存也被占盡。

干擾系統(tǒng)的運(yùn)行

病毒會(huì)干擾系統(tǒng)的正常運(yùn)行，以此作為自己的破壞行為。包括不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、換現(xiàn)行盤、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲、擾亂串并行口。同時(shí)，病毒使得系統(tǒng)速度下降。2003年出現(xiàn)的沖擊波(Blaster）病毒，該病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī)，找到后就利用DCOMRPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無(wú)法通過該網(wǎng)站升級(jí)系統(tǒng)。

盜取隱私數(shù)據(jù)

病毒制造者的出發(fā)點(diǎn)轉(zhuǎn)向經(jīng)濟(jì)利益，盜取用戶的隱私數(shù)據(jù)，例如網(wǎng)上銀行、網(wǎng)絡(luò)游戲以及QQ的賬號(hào)和密碼等。2007年出現(xiàn)的網(wǎng)銀大盜木馬病毒，是一種專門盜竊網(wǎng)上銀行賬號(hào)密碼的病毒，利用網(wǎng)上銀行系統(tǒng)漏洞——用戶登錄網(wǎng)上銀行正常登錄頁(yè)面時(shí)，會(huì)自動(dòng)跳轉(zhuǎn)到一個(gè)沒有安全控件的登錄頁(yè)面，從而避開微軟的安全認(rèn)證，該病毒利用這一漏洞，輕而易舉地竊取到用戶賬號(hào)及密碼，并利用自身發(fā)信模塊向病毒作者發(fā)送。

干擾瀏覽器或下載新的惡意軟件

有些病毒發(fā)作后，會(huì)涂改網(wǎng)頁(yè)，或強(qiáng)行篡改操作系統(tǒng)中IE瀏覽器主頁(yè)，將主頁(yè)設(shè)置成為指定的網(wǎng)站地址，同時(shí)感染后會(huì)從指定的網(wǎng)絡(luò)服務(wù)器上下載惡意代碼的木馬程序變種。例如2001年出現(xiàn)的紅色代碼，該病毒能夠迅速傳播，并造成大范圍的訪問速度下降甚至阻斷，這種病毒一般首先攻擊計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器，遭到攻擊的服務(wù)器會(huì)按照病毒的指令向政府網(wǎng)站發(fā)送大量數(shù)據(jù)，最終導(dǎo)致網(wǎng)站癱瘓，其造成的破壞主要是涂改網(wǎng)頁(yè)。

實(shí)施網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)敲詐

犯罪分子利用木馬等病毒控制計(jì)算機(jī)，實(shí)施從網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)敲詐到通過彈出惡意廣告等方式獲取利益。該類破壞行為主要表現(xiàn)在，連接互聯(lián)網(wǎng)的計(jì)算機(jī)在被病毒感染后受控于黑客，形成僵尸網(wǎng)絡(luò)，可以隨時(shí)按照黑客的指令展開DOS攻擊或發(fā)送垃圾信息，如分布式拒絕服務(wù)攻擊、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息也都可被黑客隨意“取用”。2007年10月出現(xiàn)的“BHO劫持者”變種cg，以及2008年10月出現(xiàn)的“歪速波”變種bdd，運(yùn)行時(shí)均會(huì)在被感染的計(jì)算機(jī)系統(tǒng)中定時(shí)彈出惡意廣告網(wǎng)站，從而提高這些惡意網(wǎng)站的訪問量，不僅給黑客帶來(lái)經(jīng)濟(jì)利益，而且還會(huì)嚴(yán)重影響和干擾用戶的正常操作。

計(jì)算機(jī)病毒的隱藏方式

不同病毒的隱藏技術(shù)

引導(dǎo)病毒進(jìn)行隱藏一般采用兩種基本方法。一種是改變基本輸入輸出系統(tǒng)（BIOS），中斷13H（十六進(jìn)制）的入口地址，使其指向痛毒代碼，當(dāng)發(fā)現(xiàn)有調(diào)用INT13H被感染扇區(qū)的請(qǐng)求的時(shí)候，用正常13H中斷代碼進(jìn)行操作過回給調(diào)用的程序，這樣，任何DOS程序都無(wú)法覺察到病毒的存在，如果反病毒軟件無(wú)法首先將內(nèi)存中的病毒清除（也就是說，首先恢復(fù)被替換的IN13H中斷服務(wù)程序），那么要徹廂清除這種病毒是非常困難的。

另外一種更高明的方法是直接針對(duì)殺毒軟件的。他們使用了在加載程序的時(shí)候制造假象的方法，當(dāng)啟動(dòng)任何程序的時(shí)候（包括反病毒程序），修改DOS執(zhí)行程序的中斷功能，首先把被病毒感染的扇區(qū)恢復(fù)原樣，這樣即使反病毒程序采用直接磁盤訪問也只能看到正常的磁盤扇區(qū)，當(dāng)程序執(zhí)行完成后再重新感染。對(duì)付這種病毒的唯一方法是在進(jìn)行病毒檢測(cè)之前首先清除內(nèi)存中的所有病毒。

Windows 病毒的隱藏技術(shù)：Windows 環(huán)境下的病毒采用的隱藏技術(shù)比較多，警如，修改文件時(shí)間、大小，在文件空隙中插入病毒片段，Windows 98下隱藏進(jìn)程，Windows 2000下創(chuàng)建服務(wù)進(jìn)程，創(chuàng)建遠(yuǎn)程線程，等等。

rootkit 隱藏技術(shù)：Rootkit是一種特殊的惡意軟件，其功能是在目標(biāo)系統(tǒng)中隱藏自身，同時(shí)獲取目標(biāo)系統(tǒng)中軟件的相關(guān)信息并發(fā)送給惡意軟件控制方，或者在目標(biāo)系統(tǒng)中進(jìn)行破壞行為。在Windows平臺(tái)上比較成熟的RootKit技術(shù)主要有SSDTHook，直接內(nèi)存對(duì)象修改等，利用這樣的技術(shù)，病毒可以達(dá)到從驅(qū)動(dòng)層隱藏指定進(jìn)程、文件、服務(wù)、網(wǎng)絡(luò)活動(dòng)等目的。Rootkit技術(shù)的發(fā)展非常迅速，其技術(shù)的應(yīng)用也越來(lái)越廣泛，檢測(cè)難度也越來(lái)越大。

花指令

花指令就是在程序之間加入一些似乎沒有什么意義的代碼，這些代碼不會(huì)妨礙程序正常地運(yùn)行，但是在靜態(tài)反匯編時(shí)，卻會(huì)讓原本正常的代碼解釋成有些怪異的匯編代碼。通過在程序中加入特定的花指令，可以防止程序被靜態(tài)反匯編，被人進(jìn)一步分析破解。這用在計(jì)算機(jī)病毒中同樣可以達(dá)到提高病毒的生存能力，隱藏自己的目的。花指令作為一種隱藏自身代碼的方法，在動(dòng)態(tài)跟蹤面前沒有任何效果，就是對(duì)于某些很多可以抗花指令的靜態(tài)反匯編工具來(lái)說，其也難有理想的效果。

計(jì)算機(jī)病毒的簡(jiǎn)單加密

為了加大靜態(tài)反匯編的難度，提高病毒生存能力，病毒制造者采用了病毒加密技術(shù)，病毒的簡(jiǎn)單加密是指對(duì)病毒的某些主體代碼采用固定的密鑰進(jìn)行加密，這樣靜態(tài)反匯編出來(lái)的代碼就是經(jīng)過加密處理過的，在某種程度上可以起到保護(hù)病毒程序的目的。一個(gè)被簡(jiǎn)單加密的病毒一般有如下幾個(gè)部分：（1）解密算法（解開被加密的代碼，以便病毒執(zhí)行）；（2）病毒主體代碼（被加密的病毒代碼）；（3）跳轉(zhuǎn)（病毒解密完畢后，跳到解密代碼部分執(zhí)行解密語(yǔ)句），加密時(shí)一般采用XOR，OR，SUB，ADD等一些簡(jiǎn)單的變換。在傳播的過程中，只需要將原有加密代碼和解密部分復(fù)制到被感染文件并作相應(yīng)代碼修改即可，而不需要重新加密。但是，由于所有病毒的代碼都是一模一樣的，如果該病毒的特征碼被提取出來(lái)，同樣也逃脫不了反病毒軟件的監(jiān)控，只要病毒樣本被分析出來(lái)，所有同類病毒都會(huì)被殺毒軟件查到。

病毒的多態(tài)

多態(tài)病毒是對(duì)簡(jiǎn)單加密技術(shù)的一種提升，病毒在每次感染其他文件時(shí)，病毒密鑰的生成可以隨機(jī)產(chǎn)生，可以采用被感染機(jī)器里面的某些特征，譬如被感染文件的文件名，機(jī)器名，IP地址，機(jī)器時(shí)間等。多態(tài)變形引擎最重要的功能在于兩部分：代碼的等價(jià)變換和代碼重排。前者將一條或一組指令，替換成與其執(zhí)行效果相同的另外一條或一組指令。后者在進(jìn)行完指令的等價(jià)變換后，指令的長(zhǎng)度勢(shì)必發(fā)生變化，代碼內(nèi)調(diào)用者和調(diào)用目標(biāo)的偏移也會(huì)發(fā)生改變，故需要進(jìn)行代碼的重新排列（可參考指令重組），將所有使用偏移尋址的指令的偏移進(jìn)行調(diào)整。

多態(tài)變形作為病毒一種非常有效的防御反病毒軟件的手法，執(zhí)行時(shí)無(wú)須做任何代碼和數(shù)據(jù)的還原工作（可對(duì)比加密技術(shù)），想要通過依賴于特征碼的檢測(cè)技術(shù)來(lái)檢測(cè)這些多態(tài)病毒，即使是有仿真技術(shù)支持的特征碼檢測(cè)技術(shù)，也不可能達(dá)到目的。

病毒的變形技術(shù)

病毒的變形是病毒加密的最高狀態(tài)。它與多態(tài)技術(shù)不同的是：每次加密的原始病毒代碼是變化的。因此變形引擎一般可以使用如下一些方式生成病毒：（1）隨機(jī)插入廢指令。（2）隨機(jī)為相同功能選擇不同代碼。（3）隨機(jī)選擇寄存器。（4）改變代碼塊順序。以NATAS/4744（幽靈王病毒的變形為例，該病毒為DOS準(zhǔn)變形病毒，編程語(yǔ)言為In tel8086匯編語(yǔ)言，所采用的主要變形方法是在病毒體中插入垃圾代碼。

變形病毒隨著每次復(fù)制而發(fā)生變化，因此，通過在可能被感染的文件中搜索簡(jiǎn)單的、專門的字節(jié)序列，是不能檢測(cè)到這種病毒的。作為一種能變異的病毒，隨著感染時(shí)間的不同而改變其形式，不同的感染操作會(huì)使病毒在文件中以不同的方式出現(xiàn)，使傳統(tǒng)的模式匹配法殺毒軟件對(duì)這種病毒顯得軟弱無(wú)力。

加殼技術(shù)

加殼是一種專用加密軟件技術(shù)。在一些計(jì)算機(jī)軟件里有一段專門負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序，它們附加在原始程序上通過Windows加載器載入內(nèi)存后，先于原始程序執(zhí)行，得到控制權(quán)，執(zhí)行過程中對(duì)原始程序進(jìn)行解密、還原，還原完成后再把控制權(quán)交還給原始程序，執(zhí)行原來(lái)的代碼部分。加上外殼之后，原始程序代碼就可以比較有效地防止破解者對(duì)程序文件的非法修改，同時(shí)也可以防止程序被靜態(tài)反編譯。加殼分可以為壓縮殼和加密殼，壓縮殼側(cè)重于壓縮，重在減小被加殼軟件的體積大小，而加密殼則側(cè)重于加密。加殼是保護(hù)文件的常用手段，它們一般都是先于程序運(yùn)行并拿到控制權(quán)，然后完成它們保護(hù)軟件的任務(wù)，同時(shí)“加殼”也是一種非常有效的病毒偽裝技術(shù)，對(duì)于加了殼的病毒程序，殺毒軟件很難判斷殼里的程序合法性，從而達(dá)到干擾殺毒軟件檢測(cè)及分析的目的。

腳本加密技術(shù)

計(jì)算機(jī)病毒為了逃避一些特征碼掃描技術(shù)的查殺，可以通過一些加密解密技術(shù)進(jìn)行一定程度的自我保護(hù)，對(duì)于殺毒軟件來(lái)講，識(shí)別是非常困難的。例如“熊貓燒香”病毒，就是利用網(wǎng)頁(yè)木馬進(jìn)行腳本加密來(lái)使自身傳播的。黑客在制作網(wǎng)頁(yè)木馬時(shí)，在“加密方式”區(qū)域中選擇“空字符加密”單選按鈕，對(duì)網(wǎng)頁(yè)文件進(jìn)行加密。加密后，打開muma—encode文件，可以看到網(wǎng)頁(yè)文件已經(jīng)被完全打亂了，這樣殺毒軟件一般就無(wú)法查殺出這是一個(gè)木馬網(wǎng)頁(yè)了。當(dāng)這個(gè)網(wǎng)頁(yè)木馬頁(yè)面上傳到Web服務(wù)器的WWWROOT（也就是Web服務(wù)器的根目錄）時(shí)，沒有打上06-014的Ms補(bǔ)丁的計(jì)算機(jī)用戶瀏覽了這個(gè)網(wǎng)頁(yè)，就會(huì)運(yùn)行黑客種植的木馬程序。同時(shí)，黑客還可以利用上述方式制作通過“轉(zhuǎn)義字符加密”、“ESCAPE加密”和“拆分特征碼”等方式加密的網(wǎng)頁(yè)。

計(jì)算機(jī)病毒的檢測(cè)方法

一臺(tái)計(jì)算機(jī)感染病毒之后，會(huì)有許多明顯或不明顯的特征，比如文件的長(zhǎng)度和日期忽然改變、系統(tǒng)執(zhí)行速度下降、出現(xiàn)一些奇怪的信息或無(wú)故死機(jī)，更為嚴(yán)重的如HDD已經(jīng)被格式化等。對(duì)系統(tǒng)進(jìn)行檢測(cè)，可以及時(shí)掌握系統(tǒng)是否感染病毒，便于及時(shí)處理。計(jì)算機(jī)病毒檢測(cè)的常見方法主要有特征代碼法、校驗(yàn)和法、行為檢測(cè)法、軟件模擬法和啟發(fā)式掃描法。

特征代碼法

特征代碼法的實(shí)現(xiàn)是通過采集已知病毒樣本。病毒如果既感染COM 文件，又感染EXE 文件，對(duì)這種病毒要同時(shí)采集COM 型病毒樣本和EXE型病毒樣本。打開被檢測(cè)文件，在文件中進(jìn)行搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。由于特征代碼與病毒一一對(duì)應(yīng)，如果發(fā)現(xiàn)病毒特征代碼，便可以斷定被查文件中感染何種病毒。采用病毒特征代碼法的檢測(cè)工具，面對(duì)不斷出現(xiàn)的新病毒，必須不斷更新版本，否則檢測(cè)工具便會(huì)老化，逐漸失去使用價(jià)值。病毒特征代碼法對(duì)從未見過的新病毒，無(wú)法知道其特征代碼，因而無(wú)法去檢測(cè)這些新病毒。

校驗(yàn)和法

計(jì)算正常文件內(nèi)容的校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭肫渌募斜４妗Ｔ谖募褂眠^程中定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，可以發(fā)現(xiàn)文件是否被感染，這種方法叫校驗(yàn)和法。在 SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外，還納入校驗(yàn)和法，以提高其檢測(cè)能力。這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識(shí)別病毒類，不能報(bào)出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一非他性原因，文件的容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警，而且此種方法也會(huì)影響文件的運(yùn)行速度。

行為監(jiān)測(cè)法

利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。通過對(duì)病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見，當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。

軟件模擬法

檢測(cè)病毒多態(tài)性的方法。借助軟件分析器，用軟件方法模擬和分析程序運(yùn)行，可在虛擬機(jī)上進(jìn)行查毒。新型檢測(cè)工具利用啟發(fā)式查毒軟件模擬法，使用特征代碼法檢測(cè)病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)視病毒運(yùn)行，在病毒自身的密碼譯碼后，再運(yùn)用特征代碼法識(shí)別病毒的種類。

啟發(fā)式掃描

病毒和正常程序的區(qū)別可以體現(xiàn)在許多方面，通常一個(gè)應(yīng)用程序最初的指令是檢查命令行輸入有無(wú)參數(shù)項(xiàng)，清屏和保存原來(lái)屏幕顯示等，而病毒程序從來(lái)不會(huì)這樣做，它通常最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列。這些顯著的不同之處，在調(diào)試狀態(tài)下可一目了然。啟發(fā)式掃描技術(shù)，實(shí)際上就是把這種經(jīng)驗(yàn)和知識(shí)移植到一個(gè)查病毒軟件中的具體程序體現(xiàn)。因此，啟發(fā)式指的是“自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能”。一個(gè)運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測(cè)軟件，實(shí)際上就是以特定方式實(shí)現(xiàn)的動(dòng)態(tài)高度器或反編譯器，通過對(duì)有關(guān)指令序列的反編譯，逐步理解和確定其蘊(yùn)藏的真正動(dòng)機(jī)。

計(jì)算機(jī)病毒的防范

對(duì)于計(jì)算機(jī)病毒，應(yīng)采取以預(yù)防為主的策略，若在病毒侵入計(jì)算機(jī)系統(tǒng)后再去檢測(cè)和清除就很被動(dòng)。用戶應(yīng)通過切斷病毒傳播途徑的方法，防止計(jì)算機(jī)感染上病毒。

計(jì)算機(jī)病毒專家弗萊德·科恩基于理論上提出了以下預(yù)防計(jì)算機(jī)病毒方式：

分割法

分割法主要是把用戶分割成為不能互相傳遞信息的封閉的子集。由于信息流的控制。這些子集可以被看作是由系統(tǒng)分割成的相互獨(dú)立的子系統(tǒng)。因此，計(jì)算機(jī)病毒就不會(huì)在子系統(tǒng)之間相互傳染，而只能傳染給其中的某個(gè)子系統(tǒng)，從而使得整個(gè)系統(tǒng)不至于被全部感染。

流模型法

流模型法是為共享信息流傳播的距離設(shè)立一個(gè)閾值，使一定的信息只能在一定的區(qū)域中流動(dòng)，以此建立一個(gè)防衛(wèi)機(jī)制。若使用超過某一距離閾值的信息，就可能存在危險(xiǎn)。

限制解釋法

限制解釋法也就是限制兼容，即采用固定的解釋模式，就可能不被計(jì)算機(jī)病毒傳染。例如，對(duì)應(yīng)用程序?qū)嵭屑用芫涂梢约皶r(shí)檢測(cè)出可執(zhí)行文件是否受到計(jì)算機(jī)病毒的感染，從而清除計(jì)算機(jī)病毒的潛在威脅。

參考資料 >

1988年:我國(guó)發(fā)現(xiàn)首例計(jì)算機(jī)病毒.新浪科技.2023-09-06

沖擊波病毒特點(diǎn)和中毒表現(xiàn)及清除方法.win7系統(tǒng)之家.2023-09-06

恐怖的蠕蟲病毒——震蕩波（Sasser）.微信公眾平臺(tái).2023-09-06