计算机病毒知识与防治.doc

计算机病毒知识与防治学习资料

一、什么是计算机病毒

“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。

二、病毒起源

最早由冯·诺伊曼提出一种可能性----现在称为病毒，但没引起注意. 1975 年，美国科普作家约翰·布鲁勒尔(JOHN BRUNNER) 写了本名为《震荡波骑士》(SHOCK WAVE RIDER) 的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一

1977年夏天，托马斯·捷·瑞安(THOMAS.J.RYAN) 的科幻小说《P-1的春天》(THE ADOLESCENCE OF P-1) 成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7，000 台计算机，造成了一场灾难。

1983年11月3日，弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES)，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。

1986 年初，在巴基斯坦的拉合尔(LAHORE)，巴锡特(BASIT) 和阿姆杰德(AMJAD) 两兄弟经营着一家IBM-PC 机及其兼容机的小商店。他们编写了PAKISTAN 病毒，即

BRAIN。在一年内流传到了世界各地。1988 年3 月2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。

1988 年11 月2 日，美国六千多台计算机被病毒感染，造成INTERNET不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即做出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括5个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的250，000 台计算机。这次病毒事件，计算机系统直接经济损失达9600 万美元。这个病毒程序设计者是罗伯特·莫里斯(ROBERT T.MORRIS)，当年23 岁，是在康乃尔(CORNELL) 大学攻读学位的研究生。

罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵ARPANET 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学AIKEN 中心超级用户的特权。他也因此被判3年缓刑，罚款1万美元，他还被命令进行400 小时的社区服务。

1988 年底，在我国的国家统计部门发现小球病毒。

三、病毒的产生

计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程可分为：程序设计--传播--潜伏--触发、运行--实行攻击。究其产生的原因不外乎以下几种：

1.一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲，故意编制出一些

特殊的计算机程序，让别人的电脑出现一些动画，或播放声音，或提出问题让使用者回答，以显示自己的才干。而此种程序流传出去就演变成计算机病毒，此类病毒破坏性一般不大。

2.产生于个别人的报复心理。如祖国台湾的学生陈盈豪，就是出于此种情况；他以前购买

了一些杀病毒软件，可拿回家一用，并不如厂家所说的那么厉害，杀不了什么病毒，于是他就想亲自编写一个能避过各种杀病毒软件的病毒，这样，CIH就诞生了。此种病毒对电脑用户曾造成一度的灾难。

3.来源于软件加密，一些商业软件公司为了不让自己的软件被非法复制和使用，运用加密

技术，编写一些特殊程序附在正版软件上，如遇到非法使用，则此类程序自动激活，于

是又会产生一些新病毒；如巴基斯坦病毒。

4.产生于游戏，编程人员在无聊时互相编制一些程序输入计算机，让程序去销毁对方的程

序，如最早的“磁芯大战”，这样，另一些病毒也产生了。

5.用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。

6.由于政治、经济和军事等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电

脑，给对方造成灾难或直接性的经济损失。

四、病毒的传播途径

计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行。而主要的传播途径有以下几种：

1.硬盘

因为硬盘存储数据多，在其互相借用或维修时，将病毒传播到其他的硬盘或软盘上。

2.软盘

软盘主要是携带方便，早期时候在网络还不普及时，为了计算机之间互相传递文件，经常使用软盘，这样，通过软盘，也会将一台机子的病毒传播到另一台机子。

3.光盘

光盘的存储容量大，所以大多数软件都刻录在光盘上，以便互相传递；由于各普通用户的经济收入不高，购买正版软件的人就少，一些非法商人就将软件放在光盘上，因其只读，所以上面即使有病毒也不能清除，商人在制作过程中难免会将带毒文件刻录在上面。

4.网络

在电脑日益普及的今天，人们通过计算机网络，互相传递文件、信件，这样给病毒的传播速度又加快了；因为资源共享，人们经常在网上下载免费、共享软件，病毒也难免会夹在其中。

五、病毒的特征

1.传染性

计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒感染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

2.非授权性

一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。

3.隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，

机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。

大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k 字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。

4.潜伏性

大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。

5.破坏性

任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。

6.不可预见性

从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。

六、病毒的分类

病毒主要有以下几种类型：

1.开机型病毒(Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计，使得病毒可以在每次开机时，在操作系统还没被加载之前就被加载到内存中，这个特性使得病毒可以针对DOS的各类中断(Interrupt) 得到完全的控制，并且拥有更大的能力进行传染与破坏。

2.文件型病毒(File Infector Virus):

文件型病毒通常寄生在可执行文件(如*.COM，*.EXE等)中。当这些文件被执行时，病毒的程序就跟着被执行。文件型的病毒依传染方式的不同，又分成非常驻型以及常驻型两种:

1)非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在*.COM，*.EXE或是*.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，其行为就是寄生在各类的低阶功能(如Interrupts)，由于这个原因，常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中，只要执行文件被执行，它就对其进行感染的动作，其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

3.复合型病毒(Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染*.COM，*.EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性，使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观！

4.隐型飞机式病毒(Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义，它通过控制DOS 的中断向量，把所有受其感染的文件"假还原"，再把"看似和原来一模一样"的文件丢回给

DOS。

5.千面人病毒(Polymorphic/Mutation Virus):

千面人病毒可怕的地方，在于每当它们繁殖一次，就会以不同的病毒码传染到别的地方去。每一个中毒的文件中，所含的病毒码都不一样，对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒，几乎无法找到相同的病毒码。感染PE_ Marburg 病毒后的3个月，即会在桌面上出现一堆任意排序的"X" 符号

6.宏病毒(Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒，所以凡是具有写宏能力的软件都有宏病毒存在的可能，如Word、Excel 、AmiPro 等等。

7.特洛伊木马病毒VS.计算机蠕虫

特洛伊木马（Trojan ）和计算机蠕虫（Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机，方法有很多种例如透过局域网络或是E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫"。例如：" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染Word 的Normal.dot（此为计算机病毒特性），而且会通过Outlook E-mail 大量散播（此为计算机蠕虫特性）。

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更是结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"（ExploreZip）。探险虫会覆盖掉在局域网络上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域网络将自己安装到远程计算机上（此为计算机蠕虫特性）。

8.黑客型病毒

-走后门、发黑色信件、瘫痪网络

自从2001年7月CodeRed红色警戒利用IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同第一只病毒Brain 一样，具有难以抹灭的

历史意义。

如同网络安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为。果不其然，在造成全球26.2 亿美金的损失后，不到2个月同样攻击IIS 漏洞的Nimda 病毒，其破坏指数却远高于CodeRed。Nimda 反传统的攻击模式，不仅考验着MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在网络上大量散播，包含：电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

每一台中了Nimda 的计算机，都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据，形成无限循环的DoS阻断式攻击。另外，若该台计算机先前曾遭受CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。类似Nimda威胁网络安全的新型态病毒，将会是MIS 人员最大的挑战。"

-认识计算机病毒与黑客

防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙」(Firewall)，这是一套专门放在Internet 大门口(Gateway) 的身份认证系统，其目的是用来隔离Internet 外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让恐怖份子进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会采用另一种迂回战术，直接窃取使用者的账号及密码，如此一来便可以名正言顺的进入企业内部。而CodeRed、Nimda即是利用微软公司的IIS网页服务器操作系统漏洞，大肆为所欲为。

-宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地36 万计算机主机受害的事件，其中之一的关键因素是宽带网络（Broadband）的"always-on" (固接，即二十四小时联机)特性所打开的方便之门。

宽带上网，主要是指Cable modem 与xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的电话拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

当CodeRed 在Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽带用户，"雀屏中选"的机率便大幅提升了。

当我们期望Broadband（宽带网络）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界。

计算机及网络家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上网络，那么再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然而CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题。

表一：黑客与计算机病毒比较

七、病毒的命名

对病毒命名，各个反毒软件亦不尽相同，有时对一种病毒不同的软件会报出不同的名称。如“SPY”病毒，KILL起名为SPY，KV300则叫“TPVO-3783”。给病毒起名的方法不外乎以下几种：

按病毒出现的地点，如“ZHENJIANG_JES”其样本最先来自镇江某用户。按病毒中出现的人名或特征字符，如“ZHANGFANG—1535”，“DISK KILLER”，“上海一号”。按病毒发作时的症状命名，如“火炬”，“蠕虫”。按病毒发作的时间，如“NOVEMBER 9TH”在11月9日发作。有些名称包含病毒代码的长度，如“PIXEL.xxx”系列，“KO.xxx”等体。

八、病毒的危害

计算机病毒会感染、传播，但这并不可怕，可怕的是病毒的破坏性。其主要危害有：

1.攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录，使磁盘上的信息丢失。

2.删除软盘、硬盘或网络上的可执行文件或数据文件，使文件丢失。

3.占用磁盘空间。

4.修改或破坏文件中的数据，使内容发生变化。

5.抢占系统资源，使内存减少。

6.占用CPU运行时间，使运行效率降低。

7.对整个磁盘或扇区进行格式化。

8.破坏计算机主板上BIOS内容，使计算机无法工作。

9.破坏屏幕正常显示，干扰用户的操作。

10.破坏键盘输入程序，使用户的正常输入出现错误。

11.攻击喇叭，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲，

在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。12..干扰打印机，假报警、间断性打印、更换字符。

九、病毒的发展

当前计算机病毒的最新发展：

1.病毒的演化，任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病

毒，使其功能更完善，使杀毒软件更难检测。

2.在时下操作系统抢占市场的时候，各种操作系统应运而生，其它操作系统上的病毒也千

奇百怪。

3.一些新病毒变得越来越隐蔽。

4.多变型病毒也称变形发动机，是新型计算机病毒。这类病毒采用复杂的密码技术，在感

染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。

5.既然杀病毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避

过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。

十、怎样发现病毒

计算机病毒发作时，通常会出现以下几种情况，这样我们就能尽早地发现和清除它们。

1.电脑运行比平常迟钝

2.程序载入时间比平常久

有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，这些病毒将执行他们的动作，因此会花更多时间来载入程序。

3.对一个简单的工作，磁盘似乎花了比预期长的时间

例如：储存一页的文字若需一秒，但病毒可能会花更长时间来寻找未感染文件。

4.不寻常的错误信息出现

例如你可能得到以下的信息：

write protect error on driver A

表示病毒已经试图去存取软盘并感染之，特别是当这种信息出现频繁时，表示你的系统已经中毒了！

5.硬盘的指示灯无缘无故的亮了

当你没有存取磁盘，但磁盘指示灯却亮了，电脑这时已经受到病毒感染了。

6.系统内存容量忽然大量减少

有些病毒会消耗可观的内存容量，曾经执行过的程序，再次执行时，突然告诉你没有足够的内存可以利用，表示病毒已经存在你的电脑中了！

7.磁盘可利用的空间突然减少

这个信息警告你病毒已经开始复制了！

8.可执行程序的大小改变了！

正常情况下，这些程序应该维持固定的大小，但有些较不聪明的病毒，会增加程序的大小。

9.坏轨增加

有些病毒会将某些磁区标注为坏轨，而将自己隐藏其中，往往扫毒软件也无法检查病毒的存在，例如Disk Killer会寻找3或5个连续未用的磁区，并将其标示为坏轨

10.程序同时存取多部磁盘

11.内存内增加来路不明的常驻程序

12.文件奇怪的消失

13.文件的内容被加上一些奇怪的资料

14.文件名称，扩展名，日期，属性被更改过

十一、病毒的预防

1.平常准备可正常开机之软盘，并贴上写保护。

检查电脑的任何问题，或者是解毒，最好在没有病毒干扰的环境下进行，才能完整测出真正的原因，或是彻底解决病毒的侵入。

2.重要资料，必须备份。

资料是最重要的，程序损坏了可重新COPY，甚至再买一份，但是自己键入的资料，可能是三年的会计资料，可能是画了三个月的图片，结果某一天，硬盘坏了或者病毒的因素，会让人欲哭无泪，所以一般性的备份是绝对必要的。

3.记住https://www.360docs.net/doc/1714740737.html,之长度，若有异常，即有中毒的可能。

中毒的程序，绝大部份会改变长度，所以记住一个常见程序的长度，有助于判定是否有中病毒，尤其是https://www.360docs.net/doc/1714740737.html,文件，这部份如果被病毒感染，则你的电脑将体无完肤。

4.经常利用DOS指令MEM或CHKDSK，检验内存之使用情形，若BASE RAM异常，

少于640KB，则有中毒的可能。

利用CHKDSK检查MEMORY之大小一般为655360 total bytes memory，若中病毒，此数字将减少。

5.尽量避免在无防毒软件的机器上，使用电脑可移动磁盘。

一般人都以为不要使用别人的磁盘，即可防毒，但是不要随便用别人的电脑也是非常重要的，否则有可能带一大堆病毒回家。

6.使用新进软件时，先用扫毒程序检查，可减少中毒机会。

主动检查，可以过滤大部份的病毒。

7.准备一份具有查毒、防毒、解毒及重要功能之软件，将有助杜绝病毒。

8.遇到电脑有不明音乐传出或当机时，而硬盘的灯持续亮著，应即刻关机。

发现电脑HDISK的灯持续闪烁，可能是病毒正在FORMAT硬盘。

9.若硬盘资料已遭到破坏，不必急著FORMAT，因病毒不可能在短时间内，将全部硬盘

资料破坏，故可利用灾后重建的解毒程序，加以分析，重建受损状态。

十二.怎样杀除病毒

唉，即然中了病毒，也就不要怪谁，常言道“兵来将挡”，以下给各位提供一些杀除病毒的建议供大家参考：

1.如果发现病毒，首先是停止使用机子，用干净启动软盘启动机子，将所有资料备份；

2.用正版杀毒软件进行杀毒，最好能将杀毒软件升级到最新版；

3.如果一个杀毒软件不能杀除，可到网上找一些专业性的杀病毒网站下载最新版的其它杀

病毒软件，进行查杀；

4.如果多个杀毒软件均不能杀除，可将此病毒发作情况发布到网上，或到专门的BBS论

坛留下贴子；

5.可用此染毒文件上报杀病毒网站，让专业性的网站或杀毒软件公司帮你解决。

计算机病毒知识与防治

计算机病毒知识与防治 电脑感染了病毒后常出现的异常表现有以下几种： 感染病毒的异常表现： 1、开机运行几秒后突然黑屏 2、外部设备无法找到 3、硬盘无法找到 4、电脑发出异样声音 硬盘引导区感染病毒的异常表现 1、无法正常启动硬盘 2、引导时出现死机现象 3、执行C盘时显示“Not ready error drive A Abort，Retry，Fail?” 操作系统病感染病毒的异常表现： 1、引导系统时间变长 2、计算机处理速度比以前明显减慢 3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象 4、系统生成一些特殊的文件 5、驱动程序被修改使得某些外设不能正常工作 6、软驱、光驱丢失 7、计算机经常死机或重新启动 应用程序感染病毒的异常表现 1、启动应用程序出现“非法操作”对话框 2、应用程序文件变大 3、应用程序不能被复制、移动、删除 4、硬盘上出现大量无效文件 5、某些程序运行时载入时间变长 预防电脑病毒要做好以下几点： 1、尽量少从别人的电脑中复制资料到自己的电脑中使

用，如果必须复制资料到自己的电脑中使用，那么，在使用资料前，请先用杀毒软件查杀病毒，确保无病毒后，再进行使用。如果您还没有安装杀毒软件，请尽快安装。 2、提倡使用正版电脑光盘。尽量少使用盗版电脑光盘，在使用盗版电脑光盘前也请先用杀毒软件查病毒，确保无病毒后，再进行使用。 3、在进入互联网前，一定要启动杀毒软件的病毒防火墙，现在的病毒防火墙技术已经相当成熟了，病毒防火墙不但可预防感染病毒，而且还可查杀部份黑客程序。 4、经常更新杀毒软件病毒库，并使用杀毒软件进行查杀病毒。 5、不要轻易下载小网站的软件与程序。 6、不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。 有效地预防病毒要做到以下几点: 1、安装新的计算机系统时，要注意打系统补丁，防止震荡波类的恶性蠕虫病毒传播感染； 2、上网的时候要打开杀毒软件实时监控； 3、安装个人防火墙，隔绝病毒跟外界的联系，防止木马病毒盗窃资料。 4、防邮件病毒，收到邮件时首先要进行病毒扫描，不要随意打开陌生人的附件； 5、防木马病毒，从网上下载任何文件后，一定要先进行病毒扫描再运行； 6、防恶意“好友”，当收到好友通过QQ、Msn发过来的网址连接或文件，不要随意打开。

计算机病毒与防范基础知识考试题及答案【最新】

计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分，满分100分; 1.下面是关于计算机病毒的两种论断，经判断___; (1)计算机病毒也是一种程序，它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分，满分100分

1.下面是关于计算机病毒的两种论断，经判断______ (1)计算机病毒也是一种程序，它在某些条件上激活，起干扰破坏作用，并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘，最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化

4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行，破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果，不必采取措施 6.计算机病毒对于操作计算机的人，______ A)只会感染，不会致病 B)会感染致病 C)不会感染 D)会有厄运

计算机病毒及其防范措施

计算机病毒及其防范措施 随着计算机对人们生活的影响程度日益加深,计算机病毒也在科技的推动之下日益发展,给人们的生活带来许多困扰甚至对用户造成各种损失。因此,采取适当手段防御计算机病毒,减少乃至避免病毒感染对计算机用户造成损失已经成为一项势在必行的任务。 1计算机病毒的定义 计算机病毒是一种人为制造的程序,意在在计算机运行过程中对计算机的信息或系统进行破坏。这种程序通常隐匿于一些可执行程序之中,而非独立存在,具备破坏性、传染性和潜伏性。这种病毒程序对计算机的影响轻则降低运行速度,使之无法正常运行,重则会造成机器瘫痪,这将给用户造成不可预计的损失。就是这种具备破坏作用的程序,人们称之为计算机病毒。 2计算机病毒的特点 一是攻击隐蔽性强。这些计算机病毒往往能够以不易被察觉的形式悄无声息破坏计算机系统,等到被发现时,已经造成了严重的破坏。二是繁殖能力强。电脑一旦被病毒感染,就会感染其他计算机。三是传染途径广。软盘、有线及无线网络、硬件设备等都是病毒传播的有效媒介,病毒就是通过这些媒介自动入侵计算机并四处蔓延。四是潜伏期长。此种病毒在发作前可以长期潜伏于计算机之中,待条件成熟则进行破坏。五是破坏力强、计算机病毒一旦发生作用,轻则导致系统无法正常运行,重则通过损坏数据和删除文件等方式致使整个计算机

陷入瘫痪状态。六是针对性强。计算机病毒的效能能加以准确设计以适应各种环境和时机的需求。 3计算机病毒的类型 在不同范畴对计算机病毒类型有着不同的定义,以下就对计算机病毒的分类进行简要介绍:①引导区病毒。引导区病毒即隐藏于硬盘或软盘引导区的病毒,当计算机从被病毒感染的硬盘或软盘启动时,隐藏于引导区的病毒就会发作;②文件型病毒。文件型病毒主要寄存于一些文件之中,往往利用对病毒进行编码加密或者其他技术来伪装自己;③脚本病毒。脚本病毒通过特殊语言脚本发挥作用,与此同时,它需要主软件或者其应用的环境可以对其进行准确的识别并翻译这种脚本语言中的指令;④ 特洛伊木马程序。特洛伊木马程序较之其他蓄意破坏的软件更为了解计算机用户的心理状态此程序的发明者用于其中的时间和经历应当不亚于他们创作木马的时间。 4计算机病毒的防范方法和措施 4.1防范单机计算机病毒以及未联网的计算机 个体病毒的防范应当从下列方面着手: (1)选择一个合适的计算机病毒查杀软件。这种软件需要具备检测、扫描和消灭病毒并能对计算机进行监控以防病毒入侵的功能,此外,还应当具备及时更新新的病毒信息、识别新产生的病毒并且及时反馈的功能。以防数据丢失,具备数据备份功能是一个功能完备的计算机病毒查杀软件必不可少的。 (2)对计算机进行经常性的病毒清理。这就要求计算机用户及时对计

计算机病毒知识与防治.doc

计算机病毒知识与防治学习资料 一、什么是计算机病毒 “计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。 二、病毒起源 最早由冯·诺伊曼提出一种可能性----现在称为病毒，但没引起注意. 1975 年，美国科普作家约翰·布鲁勒尔(JOHN BRUNNER) 写了本名为《震荡波骑士》(SHOCK WAVE RIDER) 的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一 1977年夏天，托马斯·捷·瑞安(THOMAS.J.RYAN) 的科幻小说《P-1的春天》(THE ADOLESCENCE OF P-1) 成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7，000 台计算机，造成了一场灾难。 1983年11月3日，弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES)，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。 1986 年初，在巴基斯坦的拉合尔(LAHORE)，巴锡特(BASIT) 和阿姆杰德(AMJAD) 两兄弟经营着一家IBM-PC 机及其兼容机的小商店。他们编写了PAKISTAN 病毒，即

病毒查找及清除实验

病毒查找及清除实验 应用场景 计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。 一般正常的程序都是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的、透明的。而病毒则隐藏在正常的程序中，当用户在调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户来说是未知的，是未经允许的。一般病毒都具有以下一些特征： 1.传染性。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要的判断依据。 2. 隐蔽性。计算机病毒一般是具有很高的编程技巧并且短小精悍的程序，很大部分的病毒代码往往只有几百K 甚至更小。为了达到隐藏自己的目的，病毒程序通常附在正常的应用程序中或磁盘较隐蔽的地方，一些则以隐藏文件的形式出现。通过各种手段的伪装，使得在没有经过特别分析的情况下很难将病毒程序与正常程序区别开来。正是由于隐蔽性，计算机病毒才得以在用户没有察觉的情况下扩散到上百万台计算机中。 3. 潜伏性。大部分的计算机病毒感染系统之后一般不会马上发作，它可以长期隐藏在系统中，只有在满足特定条件时才启动其破坏模块。如著名的“黑色星期五”病毒在每逢13 号的星期五发作。 4. 破坏性。病毒一般按其破坏性可分为良性病毒和恶性病毒。良性病毒只是计算机病毒家族中很小的一部分，它的危害较小，一般不会造成严重后果。该类病毒通常表现为占用一定的内存和磁盘空间，降低计算机系统的运行速度，干扰显示器屏幕的显示等。恶性病毒

计算机病毒知识与防范

（1）课堂知识点： 项目七计算机病毒知识与防范 主要知识点 一、计算机病毒概述 计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 一般地，计算机病毒都具有以下特性： 1．寄生性2．传染性3．潜伏性 4．可触发性5．针对性6．隐蔽性 二、计算机病毒的防范、检测 用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。 三、计算机木马及其防护 全称“特洛伊木马（Trojan Horse）”，古希腊士兵藏在木马内进入敌城，占领敌城的故事 计算机木马指：黑客在可供网络上传下载的应用程序或游戏中，添加可以控制用户计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 四、与计算机病毒相关的一些知识 漏洞：系统上的软件再编写的时候总有疏漏的地方这些疏漏会引起软件的不兼容（死机）还有就是容易被黑客利用破环电脑。 （2）上机任务（可以先做习题再阅读材料） 一、阅读资料里的材料：（100分钟） 1、CHI病毒； 2、病毒演示； 3、灰鸽子； 4、计算机病毒； 5、熊猫烧香； 6、梅丽莎病毒； 7、手机病毒；8、九大流氓软件 二、完成以下习题：（50分钟） 1、病毒的传染性是指它可以通过自我复制进行传播并感染其它文件。（A）

A：对B：错 2、通常所说的“计算机病毒”是指（D） A：细菌感染B：生物病毒感染C：被损坏的程序D：特制的具有破坏性的程序 3、下列四个选项中不属于计算机病毒特征的有：（ D ） A：文件大B：可触发性C：破坏性D：欺骗性 4、对于已感染了病毒的U盘，最彻底的清除病毒的方法是（D ） A.用酒精将U盘消毒 B.放在高压锅里煮 C.将感染病毒的程序删除 D.对U盘进行格式化 5、以下措施不能防止计算机病毒的是（A） A.保持计算机清洁 B.先用杀病毒软件将从别人机器上拷来的文件清查病毒 C.不用来历不明的U盘 D.经常关注防病毒软件的版本升级情况，并尽量取得最高版本的防毒软件 6、下列4项中，不属于计算机病毒特征的是_（D） A.潜伏性 B.传染性 C.激发性 D.免疫性 多选 1、在日常使用电脑时我们应该怎样预防计算机病毒（ABCD ）。 A：在交换使用软盘或光盘时一定要用反病毒软件进行扫描查毒工作。 B：管理好自己的电脑，最好不要让别人随便乱动。 C：要时常关心病毒的活动动向，定期定时升级你的反病毒软件。 D：不访问不合法和反动的网站。 2、常用的杀毒软件有（ABCD）。 A：瑞星2008 B：江民2007 C：360安全卫士 D：卡巴斯基 3、计算机病毒是指具有自我复制能力的程序或脚本语言，常见的计算机病毒有（ABCD ）。 A：引导型病毒。 B：文件型病毒。 C：混合型病毒。 D：电子邮件病毒。 4、计算机病毒的特点有：（ABCD ） A：程序短小 B：寄生 C：感染 D：传播 简答题： 1、谈谈你对网络道德的认识，你认为社会责任应该包括哪些？ 所谓网络道德，是指以善恶为标准，通过社会舆论、内心信念和传统习惯来评价人们的上网行为，调节网络时空中人与人之间以及个人与社会之间关系的行为规范。 社会责任包括企业环境保护、社会道德以及公共利益等方面，由经济责任、持续发展责任、

计算机病毒与防范练习题

计算机病毒 1．下面是关于计算机病毒的两种论断，经判断______ (1)计算机病毒也是一种程序，它在某些条件上激活，起干扰破坏作用，并能传染到其他程序中去；(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘，最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行，破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果，不必采取措施 6.计算机病毒对于操作计算机的人，______ A)只会感染，不会致病 B)会感染致病 C)不会感染 D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况，并尽量取得最高版本的防毒软件 8.下列4项中，不属于计算机病毒特征的是______ A)潜伏性 B)传染性 C)激发性 D)免疫性 9.下列关于计算机病毒的叙述中，正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒

计算机病毒与防范基础知识测试题

计算机病毒知识测试题（单选） 姓名得分： 注：每题5分，满分100分 1．下面是关于计算机病毒的两种论断，经判断______ (1)计算机病毒也是一种程序，它在某些条件上激活，起干扰破坏作用，并能传染到其他程序中去；(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘，最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机内存芯片损坏D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行，破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果，不必采取措施 6.计算机病毒对于操作计算机的人，______ A)只会感染，不会致病B)会感染致病 C)不会感染D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况，并尽量取得最高版本的防毒软件 8.下列4项中，不属于计算机病毒特征的是______ A)潜伏性B)传染性C)激发性D)免疫性 9.下列关于计算机病毒的叙述中，正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒

计算机病毒的防范的实验报告

计算机病毒的防范 随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，如CIH计算机病毒、“爱虫”病毒等，它们与以往的计算机病毒相比具有一些新的特点，给广大计算机用户带来了极大的损失。 当计算机系统或文件染有计算机病毒时，需要检测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中，如果能采取有效的防范措施，就能使系统不染毒，或者染毒后能减少损失。 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。 计算机病毒的工作方式是可以分类的，防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时，由于其工作方式早已被记录在案，防杀计算机病毒软件能识别出来；当未曾被分析过的计算机病毒出现时，如果其工作方式仍可被归入已知的工作方式，则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。 计算机病毒防范工作，首先是防范体系的建设和制度的建立。没有一个完善的防范体系，一切防范措施都将滞后于计算机病毒的危害。 计算机病毒防范体系的建设是一个社会性的工作，不是一两个人、一两家企业能够实现的，需要全社会的参与，充分利用所有能够利用的资源，形成广泛的、全社会的计算机病毒防范体系网络。 一.计算机病毒的技术预防措施 下面总结出一系列行之有效的措施供参考。 1、新购置的计算机硬软件系统的测试 新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。

计算机病毒分析与防范

计算机病毒的分析与防范 1.计算机病毒的引入 1983 年11 月3 日，弗雷德·科恩(Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机）伦·艾德勒曼(Len Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出。 2.计算机病毒发展史 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。 1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 1991年在“海湾战争”中，美军第一次将计算机病毒用于实战。 1992年出现针对杀毒软件的“幽灵”病毒，如One-half。 1997年1997年被公认为计算机反病毒界的“宏病毒”年。 1998年出现针对Windows95/98系统的病毒，如CIH（1998年被公认为计算机反病毒界的CIH病毒年）。 1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2000年出现了拒绝服务（Denial of Service）和恋爱邮件（Love Letter） 这次拒绝服务袭击规模巨大，致使雅虎，亚马逊书店等主要网站服务瘫痪。 2002年多变的混合式病毒求职信（Klez）及FunLove病毒席卷全球。 2003年，冲击波（Blaster）病毒于8月开始爆发。 2004年，MyDoom、网络天空（NetSky）及震荡波（Sasser）病毒出现。3.基础知识——计算机病毒的本质 计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界，病毒（Virus）是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看

COM病毒实验

COM病毒实验 应用场景 计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。 无论是.com 文件还是.exe 文件，或是操作系统的可执行文件，当启动已感染文件型病毒的程序时，暂时中断该程序，病毒完成陷阱的布置、感染工作后，再继续执行host 程序，使计算机使用者初期觉得可正常执行，而实际上，在执行期间，病毒已暗做传染工作，时机成熟时，病毒发作。 .com 文件结构比较简单，是一种单段执行结构，起源于cpm-86 操作系统。.com 文件包含程序的一个绝对映像，其文件代码和运行时内存映像完全相同，起始执行偏移地址为100H，对应于文件的偏移0。为了能准确地处理指令和内存中的数据，ms-dos 通过直接把该映像从文件拷贝到内存而加载.com 程序，不作任何改变。为加载一个.com 程序，ms-dos 首先试图分配内存。因为.com 程序必须位于一个64KB 的段中，所以.com 文件的大小不能超过65024B(64KB 减去用于psp 的256B 和用于一个起始堆栈的至少256B)。 VM 实验目标：

《计算机病毒与防范》复习提纲

单项选择题（本大题共10小题，每小题2分，共20分） 在每小题列出的四个备选项中只有一个最符合题目要求， 请将其代码填写在题后的括号内。错选、多选或未选均无分。 1．（C/D ）的说法最准确地说明了对用户权限的限制有助于防范木马病毒。 A．如果用户没有删除程序的权限，那么也就无法更改系统的安全设置 B. 如果用户没有删除程序的权限，那么也能删除杀毒软件和反木马病毒软件 C. 如果用户没有安装程序的权限，那么安装木马程序的可能性也将减少 D. 如果用户没有安装程序的权限，那么也就无法安装木马病毒程序 2．和普通病毒相比，蠕虫最重要的特点是（ A ）。 A. 蠕虫可以传播得更为广泛 B. 和没有生命的病毒相比，蠕虫是一种有繁殖能力的小虫子 C. 蠕虫比病毒更经常删除注册表健值和更改系统文件 D. 蠕虫更有可能损害被感染的系统 4．主要危害系统文件的病毒是（ B ） A．文件型 B. 引导型 C. 网络病毒 D. 复合型 5．一般意义上，木马是（ D ）。 A. 具有破坏力的软件 B. 以伪装善意的面目出现，但具有恶意功能的软件 C. 不断自我复制的软件 D. 窃取用户隐私的软件 6．计算机病毒根据与被感染对象的关系分类，可分为（A ）。 A．引导区型、文件型、混合型 B．原码型、外壳型、复合型和网络病毒 C．寄生型、伴随型、独立型 D．良性型、恶性型、原码型和外壳型 7．下面哪种情况可能会成为远程执行代码的高危漏洞（）。 A. 原内存块的数据不可以被改写 B. 存在根据原内存块中的数据直接或间接地改变程序执行流程的代码 C. 假冒知名网站 D. 浏览器劫持 8．若出现下列现象（ C ）时，应首先考虑计算机感染了病毒。 A．不能读取光盘 B. 系统报告磁盘已满 C. 程序运行速度明显变慢 D. 开机启动Windows时，先扫描硬盘 9．按照目前比较普遍的分类方法，下面哪类软件不属于流氓软件（ D ）。 A．广告软件 B. 间谍软件及行为记录软件 C. 强制安装的恶意共享软件 D. 感染了宏病毒的Word文件 10．以下方法中，不适用于检测计算机病毒的是（ C ）。 A．特征代码法 B. 校验和法C．加壳 D. 软件模拟法 多项选择题（本大题共10小题，每小题2分，共20分）在每小题的备选项中有多个选项符合题目要求，请将其代码填写在题后的括号内。错选、漏选、多选或不选均无分。 1．木马的网络入侵，从过程上看，包括以下入侵步骤（BD ）。 A. 扫描特定漏洞、绑带合法软件 B. 信息反馈、建立连接

2020年东华大学计算机病毒课实验六宏病毒实验报告.pdf

计算机病毒实验报告 姓名： 学号: 老师： 日期：

一. 实验目的 Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 二. 实验内容 1. macro virus中的内容 2. 信安实验平台--->计算机病毒篇 ---->计算机宏病毒 3. 结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象 三. 实验环境 1. macro virus 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问. 实验环境配置如下图所示：

受感染终端受感染 Word 文档 被感染终端 2.计算机宏病毒 硬件设备：部署 WIN2003 系统的PC 机一台 软件工具：Office word2007

四．实验步骤及截图 1.自我复制，感染word公用模板和当前文档 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏Visual Basic宏编辑器）,在左侧的project—>Microsoft Word 对象ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒 只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

计算机病毒实验

计算机病毒实验报告

一、实验目的 （1）掌握常见几种病毒的基本原理 （2）掌握清除病毒的方法 （3）学会使用几种常见病毒进行基本编程的技术 二、实验内容 分别用PE病毒，欢乐时光脚本病毒，梅丽莎宏病毒，台湾宏病毒，万花谷脚本病毒，网络炸弹脚本病毒进行感染和病毒清除实验。 三、实验环境 信息安全综合实验系统 操作系统：WINDOWS2000 JDK版本：Java Standard Edition 1.4.0以上 数据库：Mysql 开发语言：JSP Web服务器:Tomacat Office版本:MS office2000/2003 四、实验结果 1、网络炸弹 （1）实验原理 网页恶意代码确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，使非常多的用户遭受损失。 “网络炸弹”是一种网页恶意代码，可以无限次得弹出固定窗口来达到侵占客户机系统资源，最终导致客户端死机的结果。 （2）结果演示 1、修改IE的安全级别

2、修改注册表的安全设置 图2 修改IE安全设置

3、网络炸弹感染 图3 网络炸弹感染4、网络炸弹源码 图4 网络炸弹源码

2、万花谷脚本病毒 （1）实验原理 JS.On888 脚本病毒(俗称“万花谷”病毒)实际上是一个含有恶意脚本代码的网页文件，其脚本代码具有恶意破坏能力，但并不含有传播性。实验病毒为模仿它所写成的类“万花谷”病毒,减轻了病毒危害。 （2）结果演示 1、修改IE的安全级别 2、万花谷病毒感染 图5 万花谷病毒感染-1

计算机病毒解析与防范

题目：计算机病毒解析与防范

摘要 计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。事实上人们产生上述不安的原因,在与对计算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知识有一个比较明确的认识和全面的科学态度。 关键词: 计算机病毒病毒的困扰病毒的误解病毒的认识

目录 1 绪论 (1) 2 计算机病毒的概述 (2) 2.1 计算机病毒的定义 (2) 2.2 计算机病毒的特性 (2) 3 计算机病毒的分类 (4) 3.1 计算机病毒的基本分类 (4) 4 计算机病毒防范和清除的基本原则和技术 (6) 4.1 计算机病毒防范的概念和原则 (6) 4.2 计算机病毒防范基本技术 (6) 4.3 清除计算机病毒的基本方法 (6) 4.4 典型计算机病毒的原理、防范和清除 (6) 5 “熊猫烧香”病毒剖析 (10) 总结 (11) 致谢 (12) 参考文献 (12)

1 绪论 入了信息社会，创造了计算机，计算机虽然给人们的工作和生活带来了便利和效率，然而计算机系统并不安全，计算机病毒就是最不安全的因素之一，它会造成资源和财富的巨大浪费，人们称计算机病毒为“21世纪最大的隐患”，目前由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长期共存。因此，研究计算机病毒及防范措施技术具有重要的意义。

2 计算机病毒的概述 随着社会的不断进步，科学的不断发展，计算机病毒的种类也越来越多， 但终究万变不离其宗！ 2.1 计算机病毒的定义 一般来讲，只要能够引起计算机故障，或者能够破坏计算机中的资源的 代码，统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一 个具有法律性、权威性的定义：“计算机病毒，是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的 一组计算机指令或者程序代码。”这就是计算机病毒。 2.2 计算机病毒的特性 2.2.1 隐藏性与潜伏性 计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常内 附在正常的程序中，用户启动程序同时也打开了病毒程序。计算机病毒程序 经运行取得系统控制权，可以在不到1秒钟的时间里传染几百个程序。而 且在传染操作成后，计算机系统仍能运行，被感染的程序仍能执行，这就是 计机病毒传染的隐蔽性……计算机病毒的潜伏性则是指，某些编制巧的计算 机病毒程序，进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中，对其它系统文件进行传染，而不被人发现。 2.2.2 传染性 计算机病毒可通过各种渠道(磁盘、共享目录、邮件)从已被感染的计算机扩散到其他机器上，感染其它用户．在某情况下导致计算机工作失常。 2.2.3 表现性和破坏性 任何计算机病毒都会对机器产生一定程的影响，轻者占用系统资源，导致系统运行速度大幅降低．重者除文件和数据，导致系统崩溃。 2.2.4 可触发性病毒 具有预定的触发条件，可能是时间、日期、文类型或某些特定数据等。一旦满足触发条件，便启动感染或破坏作，使病毒进行感染或攻击；如不满足，继续潜伏。有些病毒针对特定的操作系统或特定的计算机。

《计算机病毒与防范》复习提纲.doc

一、单项选择题（本大题共10小题，每小题2分，共20分） 在每小题列出的四个备选项中只有一个最符合题目要求， 请将其代码填写在题后的括号内。错选、多选或未选均无分。 B. 和没有生命的病毒相比，蠕虫是一种有繁殖能力的小虫子 C. 蠕虫比病毒更经常删除注册表健值和更改系统文件 D. 嚅虫更有可能损害被感染的系统 4. 主要危害系统文件的病毒是（ B ） A. 文件型 B.引导型 C.网络病毒 D.复合型 5. 一般意义上，木马是（ D ） o A. 具有破坏力的软件 B. 以伪装善意的面口出现，但具有恶意功能的软件 C. 不断自我复制的软件 D. 窃取用户隐私的软件 6. 计算机病毒根据与被感染对象的关系分类，可分为（A ） o A. 引导区型、文件型、混合型 B. 原码型、外壳型、复合型和网络病毒 C. 寄生型、伴随型、独立型 D. 良性型、恶性型、原码型和外壳型 7. 下面哪种情况可能会成为远程执行代码的高危漏洞（ ）。 A. 原内存块的数据不可以被改写 B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码 C. 假冒知名网站 D. 浏览器劫持 8. 若岀现下列现象（ C ）时，应首先考虑计算机感染了病毒。 A. 不能读取光盘 B.系统报告磁盘已满 1. A. B. C. C/D ）的说法最准确地说明了对用户权限的限制有助于防范木马病毒。 如 果用户没冇删除程序的权限， 如果用户没冇删除程序的权限， 如果用户没有安装程序的权限， 如果用户没冇安装程序的权限， D. 2.和普通病毒相比，蠕虫最重要的特点是（ A.蠕虫可以传播得更为广泛 那么也就无法更改系统的安金设置 那么也能删除杀毒软件和反木马病毒软件 那么安装木马程序的可能性也将减少 那么也就无法安装木马病毒程序

计算机病毒实验报告

计算机病毒实验报告 ——windows病毒实验 姓名：张艳秋 学号：081300607 班级：信安0802 指导老师：韦俊银 实验日期：2011.5.27

实验内容 1．PE文件感染实验（选） 2．暴风一号病毒 3．VBS病毒产生 4．宏病毒实验（选）

PE文件感染实验 实验目的 了解pe病毒的感染过程 实验环境 硬件设备 PC机一台（建议虚拟机） 软件工具 Office Word 2007 实验步骤 一：参照病毒感染PE文件的7个步骤，记录病毒是如何感染文件（文字和截屏形式） 病毒感染文件过程(以感染文件ebookcode.exe为例)： 重定位，获得所有API地址： …… 通过软件Stud_PE可查看可执行文件ebookcode.exe的结构可查看文件内容： 1．判断目标文件开始的两个字节是否为“MZ”：

2．判断PE文件标记“PE”： 3．判断感染标记，如果已被感染过则跳出继续执行宿主程序，否则继续： 4．读取IMAGE_FILE_HEADER的NumberOfSections域，获得Data Directory （数据目录）的个数，（每个数据目录信息占8个字节）： 5．得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置)：

6．得到节表的末尾偏移（紧接其后用于写入一个新的病毒节信息）节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移 7．开始写入节表,感染文件： 二：在掌握Stud_PE工具的基础上，比较文件感染前后有哪些变化。 感染前：

感染后： 由上两图可以看出，感染前后有4处发生了变化： 1：PE文件头中入口点： 感染病毒后ebookedit.exe程序的入口点变成了病毒文件的入口点 2：PointerToRawData域值，即该文件的偏移量发生了变化； 3：imag的大小发生了变化； 4：sections的数量发生了变化。 由.exe文件感染前后变化可知，PE病毒感染过程即在文件中添加一个新节，

计算机病毒及防范措施(一)

计算机病毒及防范措施(一) 摘要：目前，病毒已成为困扰计算机系统安全和网络发展的重要问题。掌握了计算机病毒的基本知识，一旦遇到计算机病毒就不会束手无策。本文通过对计算机病毒的概念、传播途径、感染后的症状等的介绍，使读者对其有一个理性的认识，并在此基础上提出了一些有效的防范措施，以期能最大限度地减少计算机病毒所带来的危害。 关键词：计算机计算机病毒传播途径防范措施 1计算机病毒的概念 对于“计算机病毒”这个概念，很多专家和学者也做过许多不尽相同的定义。我国颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确指出：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 计算机病毒作为一种计算机程序，之所以被人们称为“病毒”，最主要的原因就是它对计算机的破坏作用与医学上的“病毒”对生物体的破坏作用极其相似，它与生物医学上的“病毒”同样具有传染性和破坏性，因此我们就将生物医学上的“病毒”概念进行引申，从而产生了“计算机病毒”这个名词。但计算机病毒和生物学上的病毒不同的是，计算机病毒不是天然存在的，而是某些别有用心的人利用自己所掌握的计算机知识，针对计算机软、硬件所固有的脆弱性而编制的具有特殊功能（通常是攻击计算机软、硬件）的程序，也就是说它是一段程序。因此，从广义上讲，凡是能够引起计算机故障，影响计算机正常运行的、破坏计算机数据的所有程序，统称为“计算机病毒”。 2计算机病毒产生的根源 计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。探究计算机病毒产生的根源，主要有以下几种： 2.1用于版权保护这是最初计算机病毒产生的根本原因。在计算机发展初期，由于在法律上对于软件版权保护还没有像今天这样完善，因此，很多商业软件被非法复制，软件开发商为了保护自己的利益，就在自己发布的产品中加入了一些特别设计的程序，其目的就是为了防止用户进行非法复制或传播。但是随着信息产业的法制化，用于这种目的的病毒目前已不多见。 2.2显示自己的计算机水平某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。他们的本意并不是想让这些计算机病毒来对社会产生危害，但不幸的是，这些程序通过某些渠道传播出去后，对社会造成了很大的危害。 2.3产生于个别人的报复心理在所有的计算机病毒中，危害最大的就是那些别有用心的人出于报复等心理故意制造的计算机病毒。例如，美国一家计算机公司的一名程序员被辞退时，决定对公司进行报复，离开前向公司计算机系统中输入了一个病毒程序，“埋伏”在公司计算机系统里。结果这个病毒潜伏了5年多才发作，造成整个计算机系统的紊乱，给公司造成了巨大损失。 2.4用于特殊目的此类计算机病毒通常都是某些组织（如用于军事、政府、秘密研究项目等）或个人为达到特殊目的，对政府机构、单位的特殊系统进行暗中破坏、窃取机密文件或数据。例如倍受网络界关注的中美之间的黑客大战，很有一丝网络战的味道 2.5为了获取利益如今已是木马大行其道的时代，据统计木马在病毒中已占七成左右，其中大部分都是以窃取用户信息、获取经济利益为目的，如窃取用户资料、网银账号密码、网游账号密码、QQ账号密码等。一旦这些信息失窃，将给用户带来非常严重的经济损失。如“熊猫烧香”、“网游大盗”、“网银窃贼”等。 3计算机病毒的主要传播途径

20112529徐文锋-计算机病毒实验报告

计算机与信息学院 《计算机病毒与反病毒》 课程作业 学生姓名：徐文锋 学号：20112529 专业班级：计算机11-3班 2014 年06 月24 日

说明 1．本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。 2．报告内容严禁出现雷同，每位同学须独立完成。若发现抄袭，抄袭者和被抄 ．．．．．．．．．．．． 袭者本课程的成绩均以零分 ．．．．．．．．．．．．计．。 3．要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。4．说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。 5．只提交报告电子版。在规定的日期内，通过电子邮件发送到hfutZRB@https://www.360docs.net/doc/1714740737.html,，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。 6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“201112345张三-计算机病毒课程报告.doc”。 注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动 一、实验目的 （1）验证利用注册表特殊键值自动启动程序的方法； （2）检查和熟悉杀毒软件各组成部分的自动启动方法。 二、实验内容与要求 （1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。 （2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。 三、实验环境与工具 操作系统：Windows XP/Windows Vista/Windows 7 工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果 一）按启动文件夹的方法 1、“启动”文件夹是最常见的自启动文件夹。可以打开“开始”菜单—>“所有程序”，在所有程序里面可以找到“启动”文件夹 找到“启动”文件夹的位置，在其中加入WPS的word的快捷方式，就可以在电脑开机时自启动word了