計算機病毒原理與防範

主要內容包括計算機病毒工作機制和表現，新型計算機病毒的主要特點和技術，計算機病毒檢測技術，典型計算機病毒的原理、清除和防治，網路安全，常用反病毒軟體的使用技巧，計算機病毒法律和制度建設等內容。 本書可以作為高等學校信息安全本科專業基礎教程，也適合信息管理和其他計算機套用專業作為選修課教程，同時也適合廣大計算機愛好者自學使用。

目錄

第1章　計算機病毒概述

1.1　計算機病毒的產生與發展

病毒不是來源於突發的原因。電腦病毒的製造卻來自於一次偶然的事件，那時的研究人員為了計算出當時互

計算機病毒矢量圖(17張)聯網的線上人數，然而它卻自己“繁殖”了起來導致了整個伺服器的崩潰和堵塞，有時一次突發的停電和偶然的錯誤，會在計算機的磁碟和記憶體中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網路環境相適應和配合起來，病毒不會通過偶然形成，並且需要有一定的長度，這個基本的長度從機率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的，多數病毒可以找到作者和產地信息，從大量的統計分析來看，病毒作者主要情況和目的是：一些天才的程式設計師為了表現自己和證明自己的能力，出於對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟體拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒．

1.2　計算機病毒的基本概念

計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據，影響計算機使用並且能夠自

我複製的一組計算機指令或者程式代碼”。與醫學上的“病毒”不同，計算機病毒不是天然存在的，是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能通過某種途徑潛伏在計算機的存儲介質（或程式）里，當達到某種條件時即被激活，通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中，從而感染其他程式，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大！

1.3　計算機病毒的分類

根據多年對計算機病毒的研究，按照科學的、系統的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據下面的屬性進行分類：

根據病毒存在的媒體，病毒可以劃分為網路病毒，檔案病毒，引導型病毒。網路病毒通過計算機網路傳播感染網路中的執行檔，檔案病毒感染計算機中的檔案（如：COM，EXE，DOC等），引導型病毒感染啟動扇區（Boot）和硬碟的系統引導扇區（MBR），還有這三種情況的混合型，例如：多型病毒（檔案和引導型）感染檔案和引導扇區兩種目標，這樣的病毒通常都具有複雜的算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形算法。

根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機後，把自身的記憶體駐留部分放在記憶體（RAM）中，這一部分程式掛接系統調用併合併到作業系統中去，他處於激活狀態，一直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機記憶體，一些病毒在記憶體中留有小部分，但是並不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。

無害型：除了傳染時減少磁碟的可用空間外，對系統沒有其它影響。

無危險型：這類病毒僅僅是減少記憶體、顯示圖像、發出聲音及同類音響。

危險型：這類病毒在計算機系統操作中造成嚴重的錯誤。

非常危險型：這類病毒刪除程式、破壞數據、清除系統記憶體區和作業系統中重要的信息。這些病毒對系統造成的危害，並不是本身的算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程式產生的錯誤也會破壞檔案和扇區，這些病毒也按照他們引起的破壞能力劃分。

伴隨型病毒，這一類病毒並不改變檔案本身，它們根據算法產生EXE檔案的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM檔案並不改變EXE檔案，當DOS載入檔案時，伴隨體優先被執行到，再由伴隨體載入執行原來的EXE檔案。

“蠕蟲”型病毒，通過計算機網路傳播，不改變檔案和資料信息，利用網路從一台機器的記憶體傳播到其它機器的記憶體，計算網路地址，將自身的病毒通過網路傳送。有時它們在系統存在，一般除了記憶體不占用其它資源。

寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或檔案中，通過系統的功能進行傳播，按其算法不同可分為：練習型病毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。

詭秘型病毒它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和檔案緩衝區等DOS內部修改，不易看到資源，使用比較高級的技術。利用DOS空閒的數據區進行工作。

變型病毒（又稱幽靈病毒）這一類病毒使用一個複雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。

習題

第2章　計算機病毒的工作機制

2.1　病毒的工作步驟分析

2.2　計算機病毒的引導機制

2.3　計算機病毒的傳染機制

2.4　計算機病毒的觸發機制

2.5　計算機病毒的破壞機制

2.6　計算機病毒的傳播機制

習題

第3章　計算機病毒的表現

3.1　計算機病毒發作前的表現

3.2　計算機病毒發作時的表現

3.3　計算機病毒發作後的表現

習題

第4章　新型計算機病毒的發展趨勢及特點和技術

4.1　新型計算機病毒的發展趨勢

4.2　新型計算機病毒發展的主要特點

4.3　新型計算機病毒的主要技術

習題

第5章　計算機病毒檢測技術

5.1　計算機反病毒技術的發展歷程

5.2　計算機病毒檢測技術原理

5.3　計算機病毒主要檢測技術和特點

習題

第6章　典型計算機病毒的原理、防範和清除

6.1　計算機病毒防範和清除的基本原則和技術

6.2　引導區計算機病毒

6.3　檔案型病毒

檔案型病毒系計算機病毒的一種，主要通過感染計算機中的執行檔（.exe）和命令檔案(.com)。檔案型病毒是對計算機的源檔案進行修改，使其成為新的帶毒檔案。一旦計算機運行該檔案就會被感染，從而達到傳播的目的。

檔案型病毒分兩類：一種是將病毒加在COM前部,一種是加在檔案尾部。

檔案型病毒傳染的對象主要是.COM和.EXE檔案。

我們把所有通過作業系統的檔案系統進行感染的病毒都稱作檔案病毒，所以這是一類數目非常巨大的病毒。理論上可以製造這樣一個病毒，該病毒可以感染基本上所有作業系統的執行檔。目前已經存在這樣的檔案病毒，可以感染所有標準的DOS執行檔：包括批處理檔案、DOS下的可載入驅動程式（.SYS）檔案以及普通的COM/EXE執行檔。當然還有感染所有視窗作業系統執行檔的病毒，可感染檔案的種類包括：視窗3.X版本，視窗9X版本，視窗NT和視窗2000版本下的執行檔，後綴名是EXE、DLL或者VXD、SYS。

除此之外，還有一些病毒可以感染高級語言程式的原始碼，開發庫和編譯過程所生成的中間檔案。病毒也可能隱藏在普通的數據檔案中，但是這些隱藏在數據檔案中的病毒不是獨立存在的，必須需要隱藏在普通執行檔中的病毒部分來載入這些代碼。從某種意義上，宏病毒—隱藏在字處理文檔或者電子數據表中的病毒也是一種檔案型病毒。

6.4　檔案與引導複合型病毒

6.5　腳本病毒

腳本病毒通常是JavaScript代碼編寫的惡意代碼， 一般帶有廣告性質，會修改您的IE首頁、修改註冊表等信息，造成用戶使用計算機不方便。

6.6　宏病毒

宏病毒是一種暫存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，於是宏病毒就會被激活，轉移到計算機上，並駐留在Normal模板上。從此以後，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。

6.7　 特洛伊木馬病毒

6.8　蠕蟲病毒

蠕蟲病毒是一種常見的計算機病毒。它是利用網路進行複製和傳播，傳染途徑是通過網路和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下，病毒發作時會在螢幕上出現一條類似蟲子的東西，胡亂吞吃螢幕上的字母並將其改形。蠕蟲病毒是自包含的程式（或是一套程式），它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計算機系統中（通常是經過網路連線）。

6.9　黑客型病毒

6.10　後門病毒

6.11　32位 作業系統下的計算機病毒

6.12　壓縮檔案病毒

6.13　安全建議

習題

第7章　網路安全

第8章　常用反病毒軟體

第9章　中國計算機病毒法律與制度建設

附錄一　中華人民共和國刑法（相關摘錄）

附錄二　中華人民共和國計算機信息系統安全保護條例

附錄三　計算機病毒防治管理辦法

附錄四　計算機信息網路國際聯網安全保護管理辦法

附錄五　中華人民共和國計算機信息網路國際聯網管理暫行規定

參考文獻