《计算机病毒的研究与防治 毕业论文.doc》由会员分享,可在线阅读,更多相关《计算机病毒的研究与防治 毕业论文.doc(31页珍藏版)》请在三一文库上搜索。
1、漳州师范学院毕业论文(设计)计算机病毒的研究与防治RESEARCH AND PREVENTIONOF COMPUTER VIRUSES 姓 名: 学 号: 系 别: 计算机科学与工程系 专 业: 计算机科学与技术 年 级: 09级 指导教师: 2012年 11 月 20 日摘要自信息时代以来,计算机俨然已成了我们不可或缺的一部分,它慢慢渗入到我们的生活中,与我们形影不离。虽然计算机丰富了我们的生活、方便了我们的工作、提高了工作效率、创造了更高的财富价值,但伴随着计算机的广泛应用,不可避免的也带来了计算机病毒。计算机病毒给我们的日常工作带来了巨大的破坏和潜在的威胁。作为计算机的使用者,我们应了解
2、计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作,研究计算机病毒防范的方式方法,已经迫在眉睫。本论文从计算机病毒概述、计算机病毒防范和清除入手,浅谈计算机病毒的特点及相应的一些的解决办法。关键词:计算机病毒;计算机安全;入侵途径;病毒防治 Abstract Since the information age, the computer has become our indispensable part, which slowly infiltrates into our lives and never leaves us. Although th
3、e computer has enriched our lives, facilitated our work, improved our work efficiency and created greater wealth value, but along with wide application of the computer, it also inevitably brings computer viruses. Computer viruses bring tremendous damage and potential threat to our daily work. As com
4、puter users, we should be aware of the invasion and the prevention ways of computer viruses to maintain a normal and safe use and communication environment of computer. Therefore in order to ensure the computer security, studying how to prevent computer viruses is imminent. Starting with the overvie
5、w, prevention and removal of computer viruses, this paper discusses the characteristics of computer viruses and the corresponding solutions.Key words:computer viruses; computer security; invasion ways; virus preventionI目 录中英文摘要 (I)1计算机病毒的概述 (1)1.1计算机病毒的定义 (1)1.2 计算机病毒的产生与发展 (2)1.3计算机病毒的特性 (5)1.4 计算机
6、病毒的分类(6)1.5计算机病毒的传播途径 (10)2 计算机病毒的防范和清除 (11)2.1计算机病毒防范的概念和原则 (11)2.2计算机病毒防范基本技术 (11)2.3清除计算机病毒的基本方法 (21)3 典型计算机病毒 (22)3.1引导区计算机病毒 (22)3.2文件型的计算机病毒 (23)3.3脚本型计算机病毒 (23)3.4特洛伊木马病毒 (24)3.5 蠕虫病毒 (24)4 计算机病毒的发展趋势 (25)参考文献 (26)致谢(27)1计算机病毒的概述有计算机的地方就会伴随着计算机病毒。说起计算机病毒,想必计算机的使用者都不会陌生了,因为我们时刻都在与它斗争着。很多人对计算机病
7、毒憎恶但又充满了好奇,对病毒的制造者既痛恨又敬畏。 计算机病毒当然不值得崇拜,它给个人和国家带来了太多的损失了,每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元,而且还以逐年递增的趋势增长。但与此同时,它也促进了信息安全产业的发展,比如反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术等等这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程度上缓解了计算机病毒造成的巨大破坏力,同时,越来越多的个人和企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。 但稻草毕竟是稻草,救得了一时不一定救得了一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论
8、从产品线还是从技术角度来讲,都已经达到了相当完善的程度。但是,再好的产品,如果不懂得如何去使用,发挥不了产品真正的优势,又与稻草有什么区别呢?很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的病毒攻击呢? 那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢?笔者认为,关键的问题在于对“对手”的了解。我们要能未雨绸缪,配合手中的工具,防患于未然。1.1计算机病毒的定义计算机病毒与医学上的“病毒”不同,它不是天然存在的,
9、而是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。由于它与医学上的“病毒”同样具有传染和破坏的特性,例如,具有自我复制能力、很强的感染力、一定的潜伏性、特定的触发性和很大的破坏性等等,因此由生物医学上的“病毒”概念引申出“计算机病毒”这一名词。从广义上来说,凡是能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,诸如逻辑炸弹,蠕虫等都可称为计算机病毒。1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例第二十八条明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复
10、制的一组计算机指令或者程序代码。11.2计算机病毒的产生与发展人类创造了电子计算机之后,也制造了计算机病毒。自从1983年发现了全世界首例计算机病毒以来,病毒的数量已达三十多万种,并且这个数字还在高速增长。计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今还没有一个确切的说法,下面是其中有代表性的几种:(1)科学幻想起源说1977年,美国科普作家托马斯.丁.雷恩推出轰动一时的P-1的青春一书。作者构思了一种能自我复制,利用信息通道传播的计算机程序,并称之为计算机病毒。这是世界上第一个幻想出来的计
11、算机病毒。我们的很多科学技术都是先幻想之后才产生的,因此,这种科学幻想起源说也是有理有据的。(2)恶作剧起源说这种说法是认为计算机病毒是那些对计算机知识和技术均有兴趣的人,他们或是要显示自己在计算机方面的天赋,或是报复他人或单位从而编制一些程序来显示自己的才能且满足自己的虚荣心,他们的出发点多少有些恶意的成分在内,世界上流行的许多计算机病毒都是恶作剧者的产物。(3)游戏程序起源说据说20世纪70年代,美国贝尔实验室的计算机程序员为了娱乐,在自己的实验室的计算机上编制吃掉对方程序的程序,看谁先把对方的程序吃光,有人猜测这是世界上第一个计算机病毒。(4)软件商保护软件起源说计算机软件是一种知识密集
12、型的高科技产品,由于对软件资源的保护不尽合理,使得许多合法的软件被非法复制,从而使得软件制造商的利益受到了严重的侵害,因此,软件制造商为了处罚那些非法复制者并保护自己的商业利益,在软件产品之中加入计算机病毒程序并由一定条件触发并感染。IT行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了如下发展阶段2:(1)DOS引导阶段 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内
13、存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。 (2)DOS可执行阶段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,该类型的典型代表为“耶路撒冷”、“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染.COM和.EXE文件。(3)伴随、批次型阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的有“金蝉”计算机病毒,它感染.EXE
14、文件时生成一个和.EXE同名的扩展名为.COM伴随体,它感染.COM文件时,改原来的.COM文件为同名的.EXE文件,这样,在DOS加载文件时,病毒就取得控制权。这类计算机病毒的特点是不改变原来的文件内容、日期及属性,接触计算机病毒时只要将其伴随体删除即可。 (4)幽灵、多形阶段 1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一些看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。 例如,“一半”计算机病毒就是产生一段有上亿种可能的解码运算程序,计算机病毒体被隐藏在解码前的数据中,查解这类计算机病毒就必须要对这段数据进
15、行解码,这就加大了查毒的难度。(5)生成器、变体机阶段 1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是计算机病毒时,这种复杂的称之为病毒生成器和变体机的病毒就产生了。具有典型代表的是“计算机病毒制造机VCL”,它可以在瞬间制造出成千上万种不同的计算机病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解计算机病毒。(6)网络、蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,“蠕
16、虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。(7)Windows病毒阶段 1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是“DS.3873”,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。 (8)宏病毒阶段 1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在E
17、xcel和AmiPro出现的相同工作机制的病毒也归为此类。 (9)Internet阶段 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。1.3 计算机病毒的特性寄生性。计算机病毒和生物病毒一样,需要宿主。计算机病毒会寄生在其他程序之中,当执行这个程序时,病毒就会发挥作用,而在未启动这个程序之前,它是不易被人发觉的。隐蔽性。计算机病毒要想不容易被发现的话,就需要隐藏起来。它是一种隐藏性很高的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。 潜伏性。并不是所有
18、的病毒都能马上发作的,有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。3可触发性。病毒因满足特定的时间或日期,期待特定用户识别符出现,特定文件的出现或使用,一个文件使用的次数超过设定数等,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全
19、不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。传染性。病毒也会传染,一台计算机如果感染了病毒,那么曾在这台计算机上使用过的移动硬盘或U盘往往已经感染上了病毒,而与这台计算机联网的其他计算机也会被感染的。由于目前计算机网络飞速发展,所以它能在短时间内进行快速传染。流行性。计算机病毒传染表现大都与时间相关,就像生物领域的流行病一样,一定的时间内爆发、流行,等相应的杀毒软件开发出来后,就趋向减少,甚至消失为止。除了上述特点以外,计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点,所以给计
20、算机病毒的预防、检测与清除工作带来了很大的难度。 随着计算机应用的不断发展,计算机病毒又出现一些新的特性如:利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动等。1.4 计算机病毒的分类根据计算机病毒破坏的能力分类:无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音等。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非常危险型: 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。例如CIH病毒。根据计算机病毒的破坏情况
21、分类4:良性病毒:是指包含立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行传播,从一台计算机传染到另一台,并不破坏计算机系统和数据,但它会使系统资源急剧减少,可用空间越来越少,最终导致系统崩溃。如国内出现的小球病毒。恶性病毒:是指在代码中包含损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接破坏作用的计算机病毒。它们往往封锁、干扰、中断输入输出、破坏分区表信息、删除数据文件,甚至格式化硬盘等。如米开朗基罗病毒,当其发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据丢失。需要指出的是,良性和恶性是相对比较而言的。按计算机病毒特有的算法分类 5:伴随
22、型病毒:这一类病毒并不改变文件本身,它们根据算法产生. EXE文件的伴随体,具有同样的名字和不同的扩展名(. COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。计算机病毒把自身写入.COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒:这类病毒将计算机网络地址作为感染目标,利用网络从一台计算机的内存传播到其他计算机的内存,将自身通过网络发送。蠕虫通过计算机网络传播,不改变文件和资料信息,除了内存,一般不占用其他资源。寄生型病毒:除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通
23、过系统的功能进行传播。诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术,利用DOS空闲的数据区进行工作。 变型病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是由一段混有无关指令的解码算法和被变化过的病毒体组成。按计算机病毒的工作方式分类6:引导型病毒的工作方式如图1.1所示: 图1.1 引导型病毒的工作方式 文件型病毒的工作方式:在目前已知的病毒中,大多数属于文件型病毒。文件型病毒一般只传染磁盘上的可执行文件(.COM、.EXE)。在用户调用染毒的可执行文件时,病毒首先
24、被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件中,成为程序文件的一个外壳或部件。文件型病毒的工作方式如图1.2所示: 图1.2 文件型病毒的工作方式混和型病毒工作方式: 混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始状态是依附在可执行文件上,以该文件为载体进行传播。当被感染文件执行时,会感染硬盘的主引导记录。以后用硬盘启动系统时,就会实现从文件型病毒转变为引导型病毒。例如BloodBound.A,该病毒也称为Tchechen.3420,主要感染.COM、.EXE和.MBR文件。它将自己附着在可执行文件的尾部,将破坏性的代
25、码放入MBR中,然后清除硬盘中的文件。宏病毒的工作方式: 宏病毒是利用宏语句编写的。它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。Office中的Word、Excel和PowerPoint都有宏。 Java病毒工作方式: Java是由Sun公司创建的一种用于互联网环境中的编程语言。Java应用程序不会直接运行在操作系统中,而是运行在Java虚拟机(JVM)上。因此用Java编写的应用程序的移植性非常强,包括现在的手机中的一些程序也是用Java编写的。 Java Applet是一种内嵌在HTML网页中的可携式Java小程
26、序。具有Java功能的浏览器可以运行这个小程序。Java Applet可供Web开发人员建立含有功能更丰富的交互式动态Web网页。它们会在使用者访问网页时被执行。黑客、病毒作者或其他恶意人士可能会用Java恶意程序代码当作武器攻击使用者的系统。网络病毒工作方式: 随着互联网的高速发展,计算机病毒从原来的磁盘进行传播发展到现在的通过网络的漏洞进行传播。到如今,网络病毒已经成为计算机网络安全的最大威胁之一。网络病毒中又以蠕虫病毒出现最早,传播最为广泛,例如“冲击波”、“红色代码”病毒等。 脚本病毒工作方式: 脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组指令,它也是嵌入
27、到一个文件中,常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊的脚本语言(例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等)。有些脚本语言,例如VBScript(Visual Basic Script)以及JavaScript病毒,必须通过Microsoft的Windows Scripting Host(WSH)才能够激活执行以及感染其他文件。PE病毒工作方式: PE病毒,是指感染Windows PE格式文件的病毒。PE病毒是目前影响力极大的一类病毒。PE病毒同时也是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒。如FunLove、“
28、中国黑客”等病毒都属于这个范畴。1.5计算机病毒的主要传播途径计算机病毒要实现传播,有三个关键环节:(1)带病毒文件的迁移。即感染病毒的文件从一台计算机复制、迁移到另一台计算机,感染其他计算机。(2)计算机操作者的触发。计算机病毒是寄生在受感染文件上的,只有计算机操作者执行或者打开受感染的文件,计算机病毒才有执行的机会,才能取得主机的控制权。(3)感染。病毒在取得主机的控制权后,就随时可以寻找合适的目标文件进行感染,把病毒副本嵌入到目标文件中。2 计算机病毒的防范和清除计算机病毒日益严峻,引起人们越来越大的关注。它的存在和传播对用户造成了很大的危害,为了减少信息资料的丢失和破坏,这就需要在日常
29、使用计算机时,养成良好的习惯,预防计算机病毒。并且需要用户掌握一些查杀病毒的知识,在发现病毒时,及时保护好资料,并清除病毒。2.1计算机病毒防范的概念和原则计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。7计算机病毒的侵入必将对系统资源构成威胁,即使是良性病毒,也要占有少量的系统空间,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失,因此,防治计算机病毒应以预防为主。2.2计算机病毒防范基本技术计算机病毒预防是在计算机
30、病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下8 :1、特征代码技术特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中,目前被认为是用来检测己知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描该程序是否有毒的时候,启动杀毒软件程序,以扫描的方式与该病毒码资料库内的现有资料一一比对,如果两方资料皆有吻合之处的话,既判定该程序已遭病毒感染。特征代码法的实现步骤如下:1)采集已知病毒样本。如果病毒既感染.COM文件,又感染.EXE文
31、件,那么要对这种病毒要同时采集.COM型病毒样本和.EXE型病毒样本。2)在病毒样本中,抽取病毒特征代码。在既感染.COM文件又感染.EXE文件的病毒样本中,要抽取两种样本共有的代码。3)将特征代码纳入病毒数据库。4)检测文件。打开被检测文件,检查文件中是否含有病毒码,根据数据库中的病毒特征代码。如果发现病毒特征代码,由特征代码与病毒一一对应,便可以断定,被查文件所感染的是何种病毒。2、校验和技术通常,大多数的病毒都不是单独存在的,它们大都依附或寄生于其它的文档程序,所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次
32、汇总并加以记录,将正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。在每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现己知病毒又可发现未知病毒。运用校验和检查病毒采用三种方式:1)在检测病毒工具中纳入校验和,对被查的对象文件计算其正常状态的校验和,将校验和写入被查文件中或检测工具中,而后进行比较;2)在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和。实现应用程序的自检测;3)将校验和检查程序常驻内存,每当应用程序开始运行时
33、,自动比较检查应用程序内部或别的文件中预先保存的校验和。3、行为监测法技术利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。4、软件模拟技术多态性病毒每次感染都会变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也各不相同,无法找出可能的作为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做出杀毒处理,由此出现了
34、一种新的软件模拟法。有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断:1、反病毒软件的扫描法 这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。 2、观察法 这一方法只有在了解了一些病
35、毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡同走到底,软、硬件出现故障同样也可能出现那些症状。对于如此病毒引起的我们可以从以下几个方面来观察: a、内存观察 这一方法一般用在DOS下发现的病毒,我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是依附在其它程序之中),有的病毒占用内存也比较隐蔽,用“mem/c/p”发现不了它,但可以看到总的基本内存640K之中少了那
36、么区区1K或几K。 b、注册表观察法 这类方法一般适用于近来出现的所谓黑客程序,如木马程序,这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下几个地方实现: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunSevices HKEY_CURRENT_U
37、SERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce 等等,在其中对注册表中可能出现的地方会有一个比较详尽的分析。 c、系统配置文件观察法 这类方法一般也是适用于黑客类程序,这类病毒一般隐藏在system.ini 、wini.ini(Win9x/WinME)和启动组中,在system.ini文件中有一个shell=”项,而在wini.ini文件中有“load= ”、“run= ”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注
38、意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。 d、特征字符串观察法 这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe)运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要备份,毕竟是主要系统文件。 e、硬盘空间观察法 有些病毒不会破坏你的系统文件,而仅是生成一个隐藏的文件,这个文件一般内容很少,但所占硬盘空间很大,有时大得让你的硬盘无法运行一般的程序,但是你查又看不
39、到它,这时我们就要打开资源管理器,然后把所查看的内容属性设置成可查看所有属性的文件,相信这个庞然大物一定会到时显形的,因为病毒一般把它设置成隐藏属性,到时删除它即可。这方面的例子在平时也会碰到,明明只安装了几个常用程序,为什么在C盘之中几个G的硬盘空间显示就没有了,经过上述方法一般能很快地让病毒显形的。 连续长时间读取内存或者磁盘的空间突然减小、运行程序时死机等异常症状,这时我们就要考虑是否遭遇到病毒感染了,接着需要通过杀毒软件来对整个硬盘进行彻底的检查。经常对Windows进行更新可以有效地防止病毒的侵入,道高一尺,魔高一丈。即使我们做的够多够好,仍然无法应付最新的病毒爆发,这就需要我们在使
40、用计算机的时候时刻保持清醒的头脑,要密切注意计算机的异常症状。有了识别计算机病毒的方法,那计算机中毒都有哪些具体表现呢?根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象9 。1.计算机病毒发作前的表现现象计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时,又自我复制,以各种手段进行传播。 以下是一些计算机病毒发作前常见的表现现象:() 计算机经常性无缘无故
41、地死机 病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生 。() 操作系统无法正常启动关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。 () 运行速度明显变慢 在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。 ()内存不足的错误某个以前能够正常运行的程序,程序启
42、动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。需要注意的是在Windows 95/98下,记事本程序所能够编辑的文本文件不超过64Kb字节,如果用“复制粘贴”操作粘贴一段很大的文字到记事本程序时,也会报“内存不足,不能完成操作”的错误,但这不是计算机病毒在作怪。 () 打印和通讯发生异常硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作,或打印出来的是乱码。串口设备无法正常工作,比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序,使
43、之不能正常工作。 () 无意中要求对软盘进行写操作 没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件,也有的安装程序(如Office 97)对软盘有写的操作。 () 以前能正常运行的应用程序经常发生死机或者非法错误 在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本
44、身存在着兼容性方面的问题造成的。 () 系统文件的时间、日期、大小发生变化 这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问、修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行系统升级或打补丁。对应用程序使用到的数据文件,文件大小和修改日期、时间是可能会改变的,并不一定是计算机病毒在作怪。 ()word保存出现问题 运行Word,打开Word文档后,该文件另存时只能以模板方式保存无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染
45、了Word宏病毒的缘故。 (10) 磁盘空间迅速减少 没有安装新的应用程序,而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows 95/98下的内存交换文件的增长,在Windows 95/98下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长,一般不会减少,而且同时运行的应用程序数量越多,内存交换文件就越大。 (11) 网络驱动器卷或共享目录无法调用 对于有读权限的网络驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒,但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。(12)基本内存发生变化在DOS下用mem/c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小,一般少1Kb2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。 (13) 陌生人发来的电子函件收到陌生人发来的电子函件,尤其是那些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附件的电子