计算机病毒知识详解！

幕小后

破坏性病毒

　　除了自我复制外，有些病毒还具有将病毒传染出去的能力破坏现象。病毒具有破坏性的定义是指该病毒会对您的系统所执行的破坏现象，例如破坏或删除文件、将硬碟格式化以及进行拒绝服务等攻击。
　　
　　加密型病毒

　　指病毒含有特殊的程序可将病毒码本身加密来避开防毒软体的侦测。Trend Microa 的防毒产品具有病毒码本身解密以及侦测这种病毒的能力。
　　
　　执行档型病毒

　　执行档型病毒会感染执行档（通常是指副档名为 .com 或 .exe 的文件）。这种病毒大部份都只是企图以感染其他主机程序的方式进行复制散播 -- 不过有些会因为覆盖原始程序码而导致原始程序被破坏。这种病毒有一小部份非常具有破坏性?A会在预设的时间企图将硬碟格式化或执行一些其他恶意动作。在许多情况下，执行档病毒可完全从中毒档案清除。如果病毒已经覆盖一部份程序码，则原始档案将无法复原。
　　
　　在外散播病毒清单

　　在外散播病毒清单含有目前已经发现之广泛感染使用者电脑的病毒的清单。这个清单是由防毒研究者 Joe Wells 维护并更新。Wells 除了定期更新这个清单外，并和世界各地的防毒研究团体密切合作，其中包括 Trend Micro。当 ICSA指导防毒产品的病毒测试时，会使用「在外散播」清单当作比较分析的基本。

幕小后

识别计算机病毒“作案”方式

  你知道吗？计算机病毒的“作案”方式五花八门，按照危害程度的不同，可分为以下几种类型：

　　暗藏型病毒：该病毒进入电子系统后能够潜伏下来，到预定时间或特定事件发生时，再出来为非作歹。
　　
　　杀手型病毒：也叫“暗杀型病毒”，这种病毒钻入机器后，专门用来篡改和毁伤某一个或某一组特定的文件、数据，“作案”后不留任何痕迹。

　　霸道型病毒：该病毒能够中断整个计算机的工作，迫使信息系统瘫痪。

　　超载型病毒：该病毒进入计算机后能大量复制和繁殖，抢占内存和硬盘空间，使机器因“超载”而无法工作。
　　
　　间谍型病毒：该病毒能从计算机中寻找特定信息和数据，并将其发送到指定的地点，借此窃取情报。
　　
　　强制隔离型病毒：该病毒主要用来破坏电脑网络系统的整体功能，使各个子系统与控制中心以及各子系统间相互隔离，进而造成整个系统肢解瘫痪。
　　
　　欺骗型病毒：该病毒能打入系统内部，对系统程序进行删改或给敌方系统注入假情报，造成其决策失误的病毒。
　　
　　干扰型病毒：该病毒通过对计算机系统或工作环境进行干扰和破坏，达到消耗系统资源、降低处理速度、干扰系统运行、破坏计算机的各种文件和数据的目的，从而使其不能正常工作。

幕小后

计算机病毒传染的一般过程

在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
　　
　　可执行文件感染病毒后又怎样感染新的可执行文件?
　　
　　可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。

　　一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作：
　　
　　（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒；
　　
　　（2）当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中；
　　
　　（3）完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
　　
　　操作系统型病毒是怎样进行传染的?

正常的PC DOS启动过程是： 　　 　　（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测； 　　 　　（2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处； 　　    （4）Boot判断是否为系统盘, 如果不是系统盘则提示； 　　non-system disk or disk error 　　Replace and strike any key when ready 　　否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件； 　　 　　（5）执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存； 　　 　　（6）系统正常运行, DOS启动成功。 如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为： 　　 　　（1）将Boot区中病毒代码首先读入内存的0000: 7C00处； 　　 　　（2）病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行； 　　 　　（3）修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作； 　　 　　（4）病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程； 　　 　　（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。 　　 　　如果发现有可攻击的对象, 病毒要进行下列的工作： 　　 　　（1）将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒； 　　 　　（2）当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置； 　　 　　（3）返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。

幕小后

计算机病毒的引导机制

  一、计算机病毒的寄生对象
　　计算机病毒实际上是一种特殊的程序，是一种程序必然要存储在磁盘上，但是病毒程序为了进行自身的主动传播，必须使自身寄生在可以获取执行权的寄生对象上。就目前出现的各种计算机病毒来看，其寄生对象有两种，一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件（.EXE或.COM）中。这是由于不论是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能，这样病毒程序寄生在它们的上面，就可以在一定条件下获得执行权，从而使病毒得以进入计算机系统，并处于激活状态，然后进行病毒的动态传播和破坏活动。
　　
　　二、计算机病毒的寄生方式

　　计算机病毒的寄生方式有两种，一种是采用替代法；另一种是采用链接法。所谓替代法是指病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。所谓链接法则是指病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间。寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。

三、计算机病毒的引导过程

　　计算机病毒的引导过程一般包括以下三方面。

　　1、驻留内存：病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。

　　2、窃取系统控制权：在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。

　　3、恢复系统功能：病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。
　　
　　有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系统一启动，病毒引导模块就会自动地装入内存并获得执行权，然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带毒状态下运行。
　　
　　对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件一执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。

幕小后

计算机病毒的触发机制

     感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播，破坏性体现了病毒的杀伤能力。广范围感染，众多病毒的破坏行为可能给用户以重创。但是，感染和破坏行为总是使系统或多或少地出现异常。频繁的感染和破坏会使病毒暴露，而不破坏、不感染又会使病毒失去杀伤力。可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。
　　
　　过于苛刻的触发条件，可能使病毒有好的潜伏性，但不易传播，只具低杀伤力。而过于宽松的触发条件将导致病毒频繁感染与破坏，容易暴露，导致用户做反病毒处理，也不能有大的杀伤力。 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作只传染不发作，这个条件就是计算机病毒的触发条件。 实际上病毒采用的触发条件花样繁多，从中可以看出病毒作者对系统的了解程度及其丰富的想象力和创造力。
　　
　　目前病毒采用的触发条件主要有以下几种：
　　
　　1、日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。
　　
　　2、时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。
　　
　　3、键盘触发：有些病毒监视用户的击键动作，当现病毒预定的键入时、病毒被激活， 进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。

   4.感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
　　
　　5、启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。
　　
　　6、访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。
　　
　　7、调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。
　　
　　8、CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件，这种病毒的触发方式奇特罕见。
被计算机病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组合起来的触发条件。
　　
　　大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其他条件。如“侵略者”病毒的激发时间是开机后机器运行时间和病毒传染个数成某个比例时，恰好按CTRL+ALT+DEL组合键试 图重新启动系统则病毒发作。

　　病毒中有关触发机制的编码是其敏感部分。剖析病毒时，如果搞清病毒的触发机制，可以修改此部分代码，使病毒失效，就可以产生没有潜伏性的极为外露的病毒样本，供反病毒研究使用。

幕小后

常见病毒的处理方法: 病毒的分类   充分了解敌人，就要对其进行分析和细化。 　　对病毒的分类有不同的标准。 　　按破坏性可分为： 　　良性病毒：仅仅显示信息、奏乐、发出声响，自我复制的。除了传染时减少磁盘的可用空间外，对系统没有其它影响。 　　恶性病毒：封锁、干扰、中断输入输出、使用户无法打印等正常工作，甚至电脑中止运行。这类病毒在计算机系统操作中造成严重的错误。 　　极恶性病毒：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统死机、崩溃、无法重启。 这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。 　　灾难性病毒：破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。 　　按传染方式分为： 　　文件型病毒：一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。 　　混合型病毒：兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径。

按连接方式分为：

　　源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。

　　入侵型病毒：可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。

　　操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。

　　外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。

　　根据病毒特有的算法可以划分为：

　　伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

　　"蠕虫"型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。 寄生型病毒：除了伴随和"蠕虫"型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，

　　练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。

　　诡秘型病毒：它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。

　　变型病毒（又称幽灵病毒）：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。

　　1、引导部分的作用是将病毒主体加载到内存，为传染部分做准备（如驻留内存，修改中断，修改高端内存，保存原中断向量等操作）。

　　2、传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。

　　3、表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部分

幕小后

病毒的防治策略

   计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

　　“防毒”——是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。

　　“查毒”——是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。

　　“解毒”——是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

　　防毒能力——是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下载等多种方式进行的传输；能够在病毒侵入系统是发出警报，记录携带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。

　　查毒能力——是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，并准确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查毒率和误报率来评判。

　　解毒能力——是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判。

桂林青鸟

学习,多谢楼主!