中国计算机反病毒30年重要反病毒技术

从1988年我国发现第一个病毒“小球”算起，至今中国计算机反病毒之路已经走过了三十年。三十年弹指一挥间，计算机病毒和反病毒技术发生了翻天覆地的变化，计算机病毒迄今为止已经超百万种，而计算机反病毒技术也已经更新了一代又一代。

中国计算机反病毒发展史以1998年为界分为前十年和后二十年两个重要阶段。前十年历史主要是查杀感染文件型和引导区病毒的历史，后二十年主要是针对蠕虫和木马的历史。发展到今天，计算机病毒更加复杂，多数新病毒是集后门、木马、蠕虫等特征于一体的混合型病毒，而病毒技术也从以前以感染文件和复制自身，给电脑用户带来麻烦和恶作剧为目的，变成了以隐藏和对抗杀毒软件并最终实施盗号窃秘为目的。

DOS杀毒时代

无论是病毒还是反病毒，在一定时间阶段内必定是基于某一类主流平台的，从DOS 时代至今，操作平台发生了几次重大演变，从DOS进展到WINODWS时代，从WINDOWS 单机操作到目前互联时代，计算机已经单一的信息孤岛发展成为全球互联网中的一个信息节点，相应地计算机病毒的发展也与此息息相关。

DEBUG手工杀毒

1988年至1989年，我国先后出现了最早的计算机病毒“小球”和“大麻”，而当时国内并没有杀毒软件，这时候，一些程序员使用微软的软件缺陷调试程序DEBUG来跟踪清除病毒，这也成为最早最原始的手工杀毒技术。DEBUG通过跟踪程序运行过程，寻找病毒的突破口，然后通过DEBUG强大的编译功能将其清除。由于DEBUG强大的侦错能力，在早期的反病毒工作中发挥了重大作用，但由于使用DEGUG需要精通汇编语言和一些硬盘底层技术，所以，能够熟练使用DEBUG杀病毒的人并不多，而早期经常使用DEBUG跟踪破解病毒的程序员，在长期的杀毒工作过程中积累了经验以及病毒样本，多数成为后来计算机反病毒行业的中坚技术力量。

随着操作系统和病毒技术的发展，以及DOS病毒的退出历史舞台，现在的反病毒工程师已经很少用DEBUG去破解病毒，而是普遍应用了IDA、OllyDbg等反编译程序，但用DEBUG手工杀毒至今仍然是老一代反病毒人员津津乐道和难以忘怀的往事。

宏病毒杀毒技术

1997年下半年，微软的Office逐渐普及，然而，不知从什么时候开始，许多用户开始发现，平时很正常的WORD文档无法打印，一篇稿件写完后去无法保存......一场“宏”病毒大潮来袭！经过反病毒工程师分析，导致此类怪现象的原因，是因为电脑用户的WORD文档中多了一个未知的“宏”。“宏”是WORD中的一种自动执行的一组操作命令，病毒正是利用WORD此项功能，将一些有害的代码添加为“宏”命令，从而破坏WORD的正常使用，甚至可以删除WORD文档。由于这种“宏”极具传染性，所以被称为“宏病毒”。

然而，由于微软的WORD文档格式和算法是保密的，而“宏病毒”所在的文件位置却并不确定，而且杀毒软件清除宏病毒的还不能破坏WORD文档，这给杀除“宏”带来很大的困难。因此，在那个时候，衡量一款杀毒软件的杀毒能力，只要看它处理“宏”病毒的情况就可以了。随着大多数杀毒软件开始加入清除“宏病毒”的功能，慢慢地“宏”病毒开始逐渐被消灭。

杀双料病毒和变形病毒

除了宏病毒杀毒技术外，清除变形病毒和引导区、文件型的“双料”病毒也是DOS时代较为典型的杀毒技术。“双料”病毒既感染磁盘引导区、又感染可执行文件，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染。狡诈的变形加密病毒，几乎让人解不开。用具有特殊技术的查毒方法，使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电，用干净软盘引导系统。这样，就可在内存无病毒的状态下，用具有特殊扫描方法的软件去主动搜索病毒。

WINDOWS视窗时代从“杀毒”到“反病毒”的关键一跃

随着WINDOWS95和WINDOWS98操作系统的逐渐普及，电脑开始进入可视化视窗时代，随着电脑与外界数据交换越来越频繁，电脑病毒开始从各种入口入侵。除了软盘，光盘、硬盘、网上邻居、电子邮件、网络下载、注册表等等都可能成为病毒感染的通道。病毒越来越多，一味地杀毒将使电脑用户疲于应付，这时，反病毒工程师开始意识到有效防御病毒比单纯杀毒对于用户来讲价值更大。

安装版的杀毒软件与操作系统同步运行，对通过文件、邮件、网页等途径进入电脑的数据进行实时过滤，发现病毒在内存阶段立即清除，抵御病毒于系统之外。

随着这一技术的发展和完善，目前实时监控技术已经非常完善，从各大病毒入侵通道封杀病毒，成为目前杀毒软件最主流最具价值的核心技术。目前，衡量一款杀毒软件的防杀能力，也主要通过测式实时监控性能，例如，发现网页上的病毒，是在下载过程中（内存阶段）报警并清除还是在下载完毕后才能报警并处理？经过层层压缩和加密的病毒，杀毒软件是根目录时便能侦测到并报警，还是选择了这个病毒压缩包才能报警？病毒实时监控技术又包含了许多分支技术等，这些技术使得杀毒软件在实时监控病毒时更灵敏，清除病毒也更彻底。

互联网时代主动防御新时代

近年来，伴随着互联网的高速发展，病毒也进入了愈加猖狂和泛滥的新阶段，并呈现出了以下几个特征：

1、病毒的种类和数量在迅速增长；

2、传播手段越来越广泛；

3、病毒的技术水平越来越高。

病毒制造者不断更新着病毒的制造技术，不断推出病毒的新变种，利用新的技术手段隐

藏自身进程，通过加壳和免杀技术终止杀毒软件的运行，逃避杀毒软件对于病毒的查杀，达到传播有害程序、破坏数据文件、非法窃取利益的目的。更值得关注的是，进入2008年以来，大部分主流病毒技术都进入了驱动级，开始与杀毒软件争抢系统驱动的控制权，从而控制杀毒软件，致使杀毒软件功能失效。

此外，病毒的危害也越来越大。更多的木马和病毒破坏电脑系统、造成死机、蓝屏、数据丢失、窃取用户帐号密码等，给用户造成巨大的损失和破坏。“熊猫烧香”、“机器狗”、“ARP 病毒”、“磁碟机”这些病毒迅速在互联网上疯狂传播，被感染的计算机数量急速增长，严重影响着个人用户和企业用户的信息安全。

伴随着计算机病毒的飞速发展，一些新的计算机反病毒技术也应运而生。

未知病毒主动防御技术

当前的杀毒软件都是通过从病毒样本中提取病毒特征值来构成病毒特征库，采用特征扫描技术，通过与计算机中的应用程序或者文件等的特征值逐一比对，来判断计算机是否已经被病毒感染，即由专业反病毒人员在反病毒公司对可疑程序进行人工分析研究。杀毒软件厂商只有通过用户上报或者通过技术人员在网络上搜索才能捕获到新病毒，然后从新病毒中提取病毒特征值添加到病毒库中，用户通过升级获取最新的病毒库，才能判断某个程序是病毒。

如果用户不升级，用户计算机上安装的杀毒软件就不能防范新出现的病毒，这也是专业反病毒工程师一直强调用户要及时升级杀毒软件病毒库的原因。这种特征值扫描技术的原理决定了杀毒软件的滞后性，使用户不能对网络新病毒及时防御，网络病毒的频频爆发，已经使国际国内反病毒领域开始意识到，杀毒软件赖以生存的事后“补丁”式技术越来越被动，所以主动防御监测技术应运而生。

反病毒Rootkit技术

越来越多的病毒开始利用Rootkit技术隐藏自身，利用HOOK技术破坏系统文件，防止被安全软件所查杀。反病毒Rootkit、反病毒Hook技术能够阻止病毒利用HOOK技术破坏系统文件，防御病毒于系统之外。

启发式扫描

启发式分为静态启发和动态启发。静态启发在杀毒软件中内置一个特别的启发特征库，然后将病毒的原码与这个库进行比较，如果符合或接近这个库里的病毒特征，就将其报为相应的病毒。动态启发与虚拟机结合的十分紧密，主要应用在对病毒的扫描和查杀。

虚拟机脱壳

虚拟机的原理是在系统上虚拟一个操作环境，然后在这个虚拟环境下运行病毒，在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面。许多未知病毒其实是换汤不换药，只是把原病毒加了一个壳，如果能成功地把病毒的这层壳脱掉，就很容易将病毒清除了。对于虚拟机的应用，许多反病毒专家各执一词，有人强调虚拟机杀毒技术，认为这项技术可以很

好地清除未知病毒。而有的专家则对此持保留态度，原因是虚拟机需要占用太多的系统资源，虚拟机功能的强大是建立在消耗大量的系统资源基础上的，过分强调和应用虚拟机杀毒技术，可能会导致整个操作系统都不能进行工作。

“沙盒”（Sandbox）技术

虽然同为防范未知病毒的杀毒技术，可是，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行；“沙盒”技术则是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。对于程序的可疑行为，电脑虚拟的“沙盒”会记下他的每一个动作；在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

内核级主动防御

进入2008年以来，大部分主流病毒技术都进入了驱动级，病毒已经不再一味逃避杀毒软件追杀，而是开始与杀毒软件争抢系统驱动的控制权，在争抢系统驱动控制权后，转而控制杀毒软件，使杀毒软件功能失效。

目前几乎所有的盗号木马病毒都具备了这一特征，病毒应用了包括ROOTKIT技术、进程注入、文件加密存放等主流编程技术，导致电脑一旦被病毒感染，清除十分困难。内核级主动防御系统能够防御驱动型病毒终止杀毒软件，在CPU阶段对病毒进行拦截和清除。

对于病毒的活动来说，由于反病毒软件必须保证其在内存阶段即被截获并作出处理，所以普通的用户级程序是无法监控的，只有工作于系统核心层的程序才能监控系统活动。内核级主动防御系统将查杀病毒模块直接移植到系统核心层直接监控病毒，让工作于系统核心态的驱动程序去拦截所有的文件访问。目前国内外杀毒软件普遍的技术研发现状只是部分监控模块运行于内核层，而内核级主动防御系统将查毒和杀毒模块都运行于系统内核层，可以有效防范未知病毒对计算机系统的入侵，并能够在系统内核阶段完成对计算机病毒的防御和清除，解决目前杀毒软件普遍面临的难以有效防御和清除驱动型病毒的技术难题。这也是目前计算机信息安全领域技术发展方向。

综合来说，内核级主动防御系统既能解决层出不穷的新病毒的问题，而且针对病毒采用的对抗杀毒软件技术提出了有针对性的解决方法，能够解决电脑和互联网用户面临的越来越广泛的疑难病毒问题。

植物病毒检测技术研究进展汇总

植物病毒检测技术研究进展刘茂炎摘要：随着现代技术的发展特别是分子技术的发展，鉴定和检测病毒的方法越来越多，也越来越精确快速。以PCR为基础的基因工程技术已经广泛应用于病毒核酸分子的鉴定，其高灵敏度和高特异性是与PCR扩增反应的特异性引物相关联的；于此同时传统的鉴定检测技术依然有其发展优势。不论怎样的方法技术，都是以病毒的理化性质以及侵染性为基础的。在此基础上，甚至出现了某些边缘技术在病毒鉴定检测方面的应用。本文主要综述的是对植物病毒鉴定检测技术的研究进展。关键词：植物病毒；检测技术；PCR 病毒在生物学上特征（如病毒的理化性质，包括病毒粒子的形态、大小、对理化因子的耐受性等）以及在寄主上的反应（如寄主范围、症状表现、传播方式等）是对病毒最直观的认识。常规的对植物病毒的鉴定检测方法有：生物学测定方法、血清学技术、电子显微镜技术、分子生物学技术等。生物学测定依据病毒的侵染性，观察寄主植株或其它生物的症状表现；血清学技术以病毒外壳蛋白(CP)为基础；电子显微镜技术依据病毒的形状大小的不同；分子生物学鉴定则以病毒核酸为基础。 1.生物学鉴定最直接的方法是目测法，直接观察病毒对植物的病害症状。如烟草花叶病毒（tobacco mosaic virus，TMV），病害症状为叶上出现花叶症状，生长陷于不良状态，叶常呈畸形；玉米鼠耳病的诊断主要依据田间症状表现[1]。目测法因观察的主观性和症状的不确定性的影响而不精准。1929年美国病毒学家霍姆斯（Holmes）用感病的植物叶片粗提液接种指示植物，2~3天后接种叶片出现圆形枯斑，枯斑数与侵染性病毒的浓度成正比，能测出病毒的相对侵染力，对病毒的定性有着重要的意义，这种人工接种鉴定的方法就是枯斑和指示植物检测法。国内报道的水稻黑条矮缩病毒(Rice black-streaked dwarf fijivirus，RBSDV)可侵染28属57种禾本科植物，该病毒的主要传毒介体是灰飞虱(Laodelphax striatella)，

关于计算机病毒检测技术分析

关于计算机病毒检测技术分析【摘要】计算机的出现改变了人们的生活方式和工作方式，同时也改变了全球经济的结构，逐渐的成为人类物质社会最为重要的组成部分，随着互联网的迅速发展，网络安全问题也日益严重起来。计算机病毒给计算机系统的安全带来了严重的危害，并且造成的损失也比较大，一般认为，计算机网络系统的安全运行来自计算机病毒的攻击，那么研究分析计算机病毒检测技术也就有着极大的现实意义。本文探究了计算机病毒，以及计算机病毒的种类，并且着重分析研究了计算机病毒检测技术，以期提高计算机安全。【关键词】计算机病毒;检测技术;分析 1.引言对于计算机的安全广大的安全专家以及用户都是比较担忧的，虽然目前计算机反病毒的技术正在不断的更新，但是反病毒技术仍然是被动的，用户需要应付每一个出现的计算机病毒，并且随着互联网技术的逐渐普及，计算机病毒越来越多的泛滥而出。计算机病毒攻击的方式、传播的方式也在随着社会经济的发展逐渐的变化着，它能够隐形的依附在下载的视频或者资料中，或者利用图片传播等，计算机病毒的传播速度较快，并且危害性也相对较大，那么为了保证计算机的安全使用，就必须要提高计算机病毒检测技术，在计算机没被病毒侵害之前进行检测，并进行杀毒。 2.计算机病毒综述计算机病毒是一种人为制造的，专门用来破坏或者攻击计算机软件系统，并复制本身传染其他应用程序的代码，随着计算机网络技术的逐渐发展和应用，计算机病毒已经成为信息系统安全的主要威胁之一[1]。计算机病毒能够像生物病毒一样进行繁殖，在程序正常运行的时候，能够进行运行自身复制，也就是说计算机病毒具有繁殖性，再有计算机病毒具有传染性，一旦病毒被复制或者是产生变种，那么它的传播速度是很难预防的，传染性是计算机病毒基本的特征。此外计算机病毒还具有潜伏性，这跟定时炸弹是差不多的，在之前设计好病毒爆发的时间，给人以措手不及，还具有隐蔽性、破坏性等特性。计算机病毒大致上被分为宏病毒、木马病毒、黑客工具、脚本病毒等种类，下面我们将对这些病毒进行系统的分析。第一，宏病毒，这是脚本病毒中的一种，但是由于其特性故将其分为一类，宏病毒的前缀是Macro，第二前缀是Word、Excel等，较为著名的宏病毒有著名的美丽莎。第二，脚本病毒，脚本病毒的前缀是Script[2]，脚本病毒的共有特性是使用脚本语言编写的，借助网页进行传播的病毒。

反病毒技术发展四部曲

击，开始把这些攻击称为APT。2010年，随着震网（Stuxnet）病毒重挫伊朗核进程，APT终于成为了以国家和政经集团为支撑，对特定目标长期持续作业的网络新威胁的统称。由于APT广泛使用0day漏洞、隐蔽通信、签名仿冒，加之攻击者承担成本能力之强大、攻击意志之坚决，前所未有，其对安全体系的冲击和造成的心理恐慌都到达了空前的程度。这种压力一方面驱动了传统反病毒厂商进行产品和技术的改进，另一方面也驱动了新兴厂商的出现。FireEye倡导了传统网络侧检测设备与沙箱结合的产品形态，其核心价值不仅是可以将可执行对象直接投放到设备附带的虚拟环境中运行，进行行为判定，更重要的是利用这个虚拟环境实现利用不同的解析器、也包括不同的解析器版本打开，以诱发文件格式溢出。这样就可以让0day漏洞在数据向代码转换的过程中被显现出来。而国内瀚海源的星云、安天的追影等都是同类方向的产品。图1 安天在分析Stuxnet过程中临时搭建的工控沙盘Bit9则引领了企业级终端防护产品基于白名单和安全基线进行重构的浪潮。由于反病毒是一种易于获得的资源，导致其易于进行对抗测试的传统软肋难以改变，因此利用企业网络环境相对单纯的特点，建立一套自定义的白名单则成为一个新的安全选择。当然，如果只有单纯的相关机制只是一种静态执行体的可信，其对溢出、脚本等依然不能有效应对，需要传统的主动防御机制进行补充，在这一点上，无疑传统反病毒厂商更有优势。而在白名单线路上传统企业反病毒的成熟架构、公有云安全知识的积累，也都有独特的优势。因此我们也看到，国内的金山安全、360企业级产品线也纷纷跟进形成解决方案，不仅发布了私有云产品，也将基于沙箱的鉴定器前置。总体来看，无论是网络侧与沙箱结合，还是私有安全云，都反映出在APT的高度定向化以及持续化攻击的压力下，安全解决方案呈现出了能力前置、知识私有的趋势。网络侧的沙箱与传统反病毒的后端自动化行为分析并无本质的差异，而私有安全云亦可看成是厂商安全云的微缩版本。其革命意义不在于技术点，而在于部署位置和安全资产所有者的变化。结束语反病毒技术和体系从20世纪80年代后期发展至今，如一道穿越时空的硝烟火线，是信息技术的保卫者和使用者联合与威胁对抗的不屈历史。每当恶意代码展现出新的趋势、威胁和压力时，反病毒工作者都在积极求变，作出应对。虽然魔道之高下，难有公论，但显然作为守方的我们，虽有短暂被动尴尬之时，但从无无计可施之日。在这种持续的对抗中，既形成了反病毒的体系能力和方法，也历练了反病毒团队和从业者的价值取向。此间的精彩过程显然不止我所描述的四段，只是这些对于我而言参与更多而已。作为一名反病毒老兵，从20世纪90年代分析学习国外反病毒引擎起步，2001年正式开始反病毒引擎的设计工作，完整经历了团队建立网络恶意代码检测能力和驱动后台分析机制成熟的全程，今天亦与同事们依托这些工作积累，投身APT的检测与对抗。虽心力微薄，才华拙劣，依然虔诚前行，值2013岁尾临近，作此总结，希望能带领读者分享我们一直以来的经验与坚持、以及我们对这份正直而有原则之事业的热爱。文章系根据作者在ISF2013

计算机病毒与防范基础知识考试题及答案【最新】

计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分，满分100分; 1.下面是关于计算机病毒的两种论断，经判断___; (1)计算机病毒也是一种程序，它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分，满分100分

1.下面是关于计算机病毒的两种论断，经判断______ (1)计算机病毒也是一种程序，它在某些条件上激活，起干扰破坏作用，并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘，最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化

4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行，破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果，不必采取措施 6.计算机病毒对于操作计算机的人，______ A)只会感染，不会致病 B)会感染致病 C)不会感染 D)会有厄运

病毒分子生物学鉴定常用技术

实验二十三病毒核酸检测常用技术（Techniques of Detecting Nucleic Acid of Viruses in Common Use ）近年来随着分子生物学的发展，基因检测技术在微生物学实验室诊断中也取得了长足的进展。由于部分病原微生物的基因组已成功地被克隆并进行了核苷酸序列测定，因此根据病原微生物的基因特点，应用分子生物学技术检测样品中有无相应病原微生物的核酸，从而可以特异、灵敏地判定标本中是否含有相应的病原微生物。在微生物学的研究及感染性疾病的诊断中，最常使用的微生物核酸检测技术有PCR、RT-PCR、核酸杂交等技术，现对病毒核酸（DNA、RNA）的分离、PCR、RT-PCR、核酸杂交等技术的基本原理、操作方法、应用及影响因素等进行概述。实验 1 PCR 检测传染性喉气管炎病毒核酸【目的要求】通过本实验使学生初步了解和熟悉病毒核酸（DNA）的分离与PCR技术的基本原理、操作方法、影响因素和应用。【基本原理】鸡传染性喉气管炎(Infectious laryngotracheitis, ILT)是由疱疹病毒科、α-疱疹病毒亚科的喉气管炎病毒(Infectious laryngotracheitis Virus, ILTV)引起的一种急性上呼吸道传染病, 常表现呼吸困难、产蛋鸡产蛋下降和死亡, 是危害养鸡业发展的重要疫病之一。但在临诊上极易与其它一些呼吸道疾病相混淆, 如禽流感、新城疫、传染性支气管炎、支原体感染等。常规检测IL TV 的方法有病原分离鉴定和血清学试验, 这些方法虽经典，但费时且敏感性差, 不能检测亚临床感染, 而传染性喉气管炎潜伏感染是疾病的一种重要表现形式。聚合酶链式反应（Polymerase Chain Reaction，PCR）是目前比较快速、敏感、特异的检测手段，已被广泛应用在病毒核酸检测方面。本实验以PCR方法检测鸡传染性喉气管炎病毒核酸为例，对PCR方法进行介绍。 PCR是体外酶促合成特异DNA片段的一种方法，典型的PCR由（1）高温变性模板；（2）引物与模板退火；（3）引物沿模板延伸三步反应组成一个循环，通过多次循环反应，使目的DNA得以迅速扩增。其主要步骤是：将待扩增的模板DNA置高温下（通常为93～94℃）使其变性解成单链；人工合成的两个寡核苷酸引物在其合适的复性温度下分别与目的基因两侧的两条单链互补结合，两个引物在模板上结合的位置决定了扩增片段的长短；耐热的DNA聚合酶（Taq酶）在72℃将单核苷酸从引物的3’端开始掺入，以目的基因为模板从5’→3’方向延伸，合成DNA的新互补链。如此反复进行，每一次循环所产生的DNA 均能成为下一次循环的模板，每一次循环都使两条人工合成的引物间的DNA特异区拷贝数扩增一倍，PCR产物得以2n的批数形式迅速扩增，经过25～30个循环后，理论上可使基因扩增109倍以上，实际上一般可达106～107倍（图23-1）。

计算机病毒行为特征的检测方法

2012.4 37 计算机病毒行为特征的检测分析方法谢辰国际关系学院北京 100091 摘要：在研究计算机病毒之前，如果我们能先对被研究病毒的行为特征有足够的了解，那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征，然后通过实验的方法，利用虚拟机和软件分析技术，从动态和静态两个角度，以new orz.exe 病毒为例，来阐述和总结检测分析计算机病毒行为特征的方法。关键词：计算机病毒；行为特征；虚拟机；软件分析技术 0 引言随着互联网技术的日渐普及和高速发展，全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时，也存在种种安全隐患和威胁，其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天，计算机病毒的传播速度和变种速度也随之加快，问题也越来越严重，引起了人们的广泛关注，并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计，2008 年截获的各类新病毒样本数已经超过1000万，日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加，反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下，分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性传染性是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性病毒隐藏在合法程序中，当用户调用合法程序时窃取到系统的控制权，先于合法程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。 (3) 隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序，它们一般附着在合法程序之中，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性大部分的病毒传染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧，它对文件、数据不具有破坏性，但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性从对病毒检测方面看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别。虽然反病毒技术在不断发展，但是病毒的制作技术也在不断的提高，病毒总是先于相应反病毒技术出现。 (7) 可触发性计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件，将激活病毒的传染机制进行传染，或者激活病毒的表现部分或破坏部分。病毒的触发条件越多，则传染性越强。

计算机病毒原理及防范技术(精简版)

《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说，第二种为恶作剧，第三种为戏程序（70年代，贝尔实验室，Core War）, 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒，传统的病毒，第二代病毒（1989-1991年），混合型病毒（或“超级病毒”），采取了自我保护措施（如加密技术，反跟踪技术）；第三代病毒(1992-1995年)多态性病毒（自我变形病毒）首创者Mark Washburn-----“1260病毒”；最早的多态性的实战病毒----“黑夜复仇者”（Dark Avenger）的变种MutationDark Avenger ；1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集（Virus Construction Sets）----“计算机病毒创建库”（Virus Create Library）, ”幽灵”病毒；第四代病毒（1996-至今），使用文件传输协议（FTP）进行传播的蠕虫病毒，破坏计算机硬件的CIH，远程控制工具“后门”（Bank Orifice）,”网络公共汽车”（NetBus）等。 2.计算机病毒的基本特征----1.程序性（利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序），2、传染性，3、隐蔽性（兼容性、程序不可见性）4、潜伏性（“黑色星期五”，“上海一号”，CIH）,5、破坏性，6、可触发性，7、不可预见性，8、针对性，9、非授权可执行性，10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介（QQ，MSN等即时通讯软件，可移动存储设备，网页，网络主动传播，网络，“钓鱼”），2.与黑客技术相融合（“Nimda”,CodeRed,”求职信”），3.采取了诸多的自我保护机制（逃避、甚至主动抑制杀毒软件），4.采用压缩技术（压缩变形----特征码改变，压缩算法，“程序捆绑器”），5.影响面广，后果严重，6.病毒编写越来越简单，7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期（程序设计，传播），2.潜伏感染期，3.发病期，4.发现期，5.消化期，6.消亡期。第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块（将病毒引入计算机内存，为传染模块和表现模块设置相应的启动条件），2.感染模块（两大功能-----1.依据引导模块设置的传染条件，做判断；2启动传染功能）， 3.表现模块（两大功能----依据引导模块设置的触发条件，做判断；或者说表现条件判断子模块 2.1启动病毒，即表现功能实现子模块） 2.2.1计算机病毒的寄生方式-----1.替代法（寄生在磁盘引导扇区）；2.链接法（链接在正常程序的首部、尾部、或中间）。 2.2.2．计算病毒的引导过程-----1。驻留内存，2.获得系统控制权， 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期，2.时间， 3.键盘 4.感染触发， 5.启动， 6.访问磁盘次数， 7.调用中断功能触发， 8.CPU型号/主板型号触发。第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机，操作系统无法正常启动，运行速度异常， 4.内存不足的错误， 5.打印、通信及主机接口发生异常， 6.无意中要求对软盘进行写操作， 7.以前能正常运行的应用程序经常死机或者出现非法错误， 8.系统文件的时、日期和大小发生变化， 9.宏病毒的表现现象，10、磁盘空间迅速减少，11.网络驱动器卷或者共享目录无法调用，陌生人发来的电子邮件，13.自动链接到一些陌生的网站。

浅谈计算机病毒的检测技术

浅谈计算机病毒的检测技术摘要：在互联网高速发展的今天，计算机病传染性越来越强，危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。关键词：计算机病毒检测技术一、引言 Internet改变了人们的生活方式和工作方式，改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时，计算机病毒的危害性也越来越大。在与计算机病毒的对抗中，早发现、早处置可以把损失降为最少。因此，本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同，检测范围不同，各有其优缺点。二、计算机病毒的检测方法 (1)长度检测法病毒最基本特征是感染性，感染后的最明显症状是引起宿主程序增长，一般增长几百字节。在现今的计算机中，文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法，就是记录文件的长度，运行中定期监视文件长度，从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后，由染毒文件长度增加大致可断定该程序已受感染，从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化，不能识别保持宿主程序长度不变的病毒。 (2)病毒签名检测法病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时，在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本，掌握了病毒签名的内容和位置之后，可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名，那么可以断定可疑程序中有病毒，是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置，要把握各种病毒的签名，必须解剖病毒。剖析一个病毒样本要花费很多时间，是一笔很大的开销。 (3)特征代码检测法

计算机病毒

摘要随着人们对计算机安全要求的不断提高，计算机病毒作为计算机安全的主要威胁，正在受到人们广泛的关注。只有透彻理解病毒的内在机理，知己知彼，才能更好的防范病毒。本论文深入剖析了Windows环境下各种病毒的相关技术，并提出了相应的检测方案。本论文研究总结了网页病毒、宏病毒、邮件病毒的感染、传播及如何获得系统控制权机理，总结了防治脚本病毒、宏病毒、邮件病毒的一般做法，并针对这些病毒的特点提出了基于命令式的预防病毒方案。蠕虫病毒成为当前网络环境下病毒的主要形式，本论文研究总结了蠕虫的行为特点及工作原理，并给出了一般的防范措施。计算机病毒手段越来越高明，论文给出了文件型、引导型、宏病毒及Windows病毒的隐藏技术。同时，论文还研究整理了病毒的常见反检测技术，包括隐藏、反跟踪、变形等。本文还介绍了木马的概念和危害、木马的工作原理、木马的预防和清除。当前，病毒的传播途径主要依赖于网络，网络是主机感染病毒的主要来源，论文最后给出了常见的病毒检测技术并简要介绍了防火墙的概念。关键词:脚本病毒，蠕虫病毒，木马，病毒检测，防火墙

Abstract Nowadays, computer system's security is becoming more and more significant in people's daily life. So, more and more attentions have been payed to computer viruses which will do great harm to the computer system. Understanding of the computer viruses well will help us greatly. The paper analysised all kinds of technologies in different viruses which existing in Windows system, and proposed the correlative scheme of detecting viruses. The paper summarized the mechanisms of infection, propagation and how to control the host computer which existing in script virus, macro virus and mail virus. The paper also included the common methods to prevent script virus, macro virus, mail virus, and proposed a new scheme to prevent virus based on command codes. Worm viruses have become the main form in current network environment. Characteristic of worm viruses have been summarized and gave the protective step in the paper. Computer viruses become wiser and wiser. The virus anti-detecting technology has been collected, such as hiding, anti-tracing, and polymorphism.The paper also presents concept, harm, principle, cleaning, prevention of trojan horse. Today, network was the main source catching computer viruses; the paper give common computer's viruses detection technic and concept of firewall. Keywords:S cript virus, Worm virus, Trojan horse, Virus detection, Firewall

反病毒技术现状及发展趋势

反病毒技术现状及发展趋势【背景】由于Internet的普及，互联网已经成为病毒制作技术扩散、病毒传播的重要途径，计算机病毒已成为当代信息社会的致命杀手，正所谓道高一尺，魔高一丈，病毒像幽灵一样，无处不在。病毒开发者之间已经出现了团队合作的趋势，尤其是病毒与黑客技术相结合，使其对抗反病毒技术的能力越来越强。面对这种严峻形势，人们急需要了解病毒的特征和反病毒技术，做到防杀结合，才能立于不败之地。一、计算机病毒的产生 1983 年11 月，世界上第一个计算机病毒在美国实验室诞生，1986 年，巴基斯坦两兄弟为追踪非法拷贝自己软件的人，又制造了世界上第一个传染个人电脑兼容机的“巴基斯坦”病毒。1988 年，计算机病毒开始传入我国，在短短几个月之内迅速感染了全国20 多个省、市的计算机。二、计算机病毒的特点 1．电子邮件已成为病毒快速传播的主要媒介前期，病毒只能通过软盘或光盘在计算机之间传播，而在网络中则可以通过网络通讯机制迅速扩散。1989 年，FORM 引导区病毒用了整整一年时间才流行起来，而通过电子邮件，Sircam 病毒一周之内就使全球数以万计的计算机用户受到波及，Nimda 更是用了不到30分种。电子邮件在为信息社会提供方便的同时，也使计算机病毒找到了一条新的传播途径和载体。 2．病毒与黑客技术相互融合病毒结合黑客技术利用系统漏洞进行双重攻击的方式，已经成为病毒编码的新趋势。这类病毒更具伪装性、主动性和破坏性，所造成的威胁不容忽视。2001 年引起轩然大波的“尼姆达”、“红色代码”和“求职信”病毒就是典型的黑客型病毒。 3．病毒采取了诸多自我保护机制计算机病毒为了能够躲避现有病毒检测技术，争取较长的存活期，进而实现广泛传播的目的，想尽各种办法隐蔽和保护自己，蠕虫病毒更是采取主动抑制杀毒软件的手段，加强对反病毒技术的对抗。 4．大量采用压缩技术目前的大部份病毒都是在原生病毒的基础上，经压缩变形而成。压缩后的病毒内容虽然同原生病毒一模一样，但病毒特征代码已经完全改变，相当于产生了一个新的变种病毒。 5．影响面广，后果严重病毒，尤其是蠕虫病毒轻则降低网络速度，影响工作，重则使之崩溃，破坏数据，使多年工作毁于一旦。据Computer Economics 的统计，仅红色代码病毒就吃掉了全球电脑用户26 亿美元，其中11 亿美元用于对100 万台以上的受感染服务器进行清理和对800 万台以上的其它服务器进行检查。 6．病毒编写越来越简单传统病毒的编程技术比较复杂，往往需要编程者对系统有深入的了解才行，但是病毒自动生产技术的产生，使得对计算机病毒一无所知的用户，也能随心所欲地组合出算法不同、功能各异的计算机病毒。 7．恶意网页给传统的病毒定义带来了新的挑战随着Internet 的逐步普及，又出现了能够摆脱平台依赖性的“恶意网页”，它们以ActiveX 技术和java Applet 为载体，潜伏在HTML 网页里面，用户只要浏览这类网页，恶意程序就会悄然自动下载到硬盘中。

浅析马铃薯病毒检测技术

马铃薯是我国重要的粮食作物和经济作物,马铃薯在定西市种植也有200多年的历史,在保障全市粮食有效供给和繁荣城乡经济中发挥了十分重要的作用,已由过去的“救命粮”变成了现在的“致富薯”,是定西最具生产潜力、市场优势和开发前景的特色农产品,也是农业增效、农民增收的第一大优势产业。近年来,定西市委、市政府对马铃薯产业高度重视,作为全市农业和农村经济发展的战略性主导产业来扶持,制定了“全市马铃薯产业发展规划”,省上也制定下发了“关于进一步加快发展马铃薯产业的意见”,提出了工作思路和具体目标,促进了本市马铃薯产业的快速发展。2013年全市种植面积达到319.84万亩,总产量506万t,是全国三大马铃薯集中产区之一。但是由于定西经济条件落后,全市的马铃薯种薯的病毒检测并未随着种植面积的扩大而提高和普及,以至于马铃薯各种病每年在生长期发生,严重影响了全市马铃薯的产量和质量。马铃薯病毒已成为马铃薯生产中的重要制约因素,急需大力提高马铃薯种薯的病毒检测,为马铃薯产业的持续快速发展把好第一增长关。马铃薯病毒检测包括：基础试管苗、马铃薯原原种、大田种薯的检测。严格的检测大大提高了种薯合格率,而种植合格的种薯,每亩可以提高产量500kg 以上。马铃薯的病毒有6种,分别是马铃薯X病毒（PVX）、马铃薯Y病毒（PVY）、马铃薯S病毒（PVS）、马铃薯A病毒（PVA）、马铃薯M病毒（PVM）、马铃薯卷叶病毒（PLRV）。目前最常用的马铃薯病毒检测是用双抗体夹心酶免疫吸附测定法（DAS-ELISA）检测,是用于快速、灵敏、准确的血清学技术,是国际通用的检测方法之一。下面就本市引进的“马铃薯病毒DAS-ELISA检测”全套生产技术进行浅述。 1马铃薯病毒的概况 1.1马铃薯X病毒（PVX）也称普通花叶病毒,是一种长520～550nm的线状病毒,有时在电镜下能看到病毒颗粒的中心孔。在病毒外壳由亚基形成时,可看到它的横纹,这一点是与马铃薯重花叶病毒在形态结构上的主要区别。一般减产5%～10%,症状是叶片从轻型花叶到叶片有较轻的皱缩。马铃薯X病毒靠汁液传播,也是传播最广泛的一种病毒。 1.2马铃薯Y病毒（PVY）也称重花叶病毒,是马铃薯第二个重要病毒性病害,是一种长680～900nm的线状病毒,在电镜下找不到它的中心孔和外壳蛋白亚基的横纹,它比PVX更细一些、更长一些。通过感染的块茎长期存在并由蚜虫非持续性地传播,产量损失可达80%。症状随着病毒株系、马铃薯品种及环境条件变化很大。1.3马铃薯A病毒（PVA）又称轻花叶病毒,在许多方面类似于马铃薯Y病毒。在某些品种中出现时,一般比马铃薯Y病毒轻,产量损失可达40%。马铃薯A病毒引起花叶(有时很严重),同时也发生脉缩和卷曲,叶片可能出现闪光。 1.4马铃薯S病毒（PVS）也称潜隐性花叶病毒,感病块茎变小,一般减产浅析马铃薯病毒检测技术景彩艳（甘肃省定西市农产品质量安全监督管理站定西743000）摘要：随着科学技术的不断发展,马铃薯病毒检测技术在日益的完善,DAS-ELISA法已经成为马铃薯病毒检测的常规方法。容易侵染马铃薯的病毒类型主要有6种,分别是马铃薯的PVX、PVY、PLRV、PVS、PVM、PVA病毒。马铃薯在生长的过程中,因受到各种不同病害的侵染,容易造成减产和退化。血清学技术是马铃薯病毒检测的主要手段。关键词：马铃薯病毒；血清学技术；双抗体夹心酶联免疫吸附法 215 --

计算机病毒的技术预防探讨

论文目录第一章计算机病毒历史…………………………………… 1.1电脑病毒的出现 1.2[病毒]一词的正式出现第二章计算机病毒原理……………………………………… 第一节计算机病毒定义 2.11计算机病毒原理 2.12病毒分类第二节计算机病毒的攻击技术分析 2.21无线电方式。 2.22固化”式方法 2.23 后门攻击方式 2.24 数据控制链侵入方式第三节电脑病毒的新趋势第四节计算机病毒防范简介：计算机病毒对大多数的计算机使用者而言应该是再耳熟能详不过的名词, 有些人也许从来不曾真正碰到过计算机病毒, 而吃过计算机病毒亏的人却又闻毒色变, 其实在个人计算机这么普遍的今天, 即使您不是一个计算机高手, 也应该对计算机病毒有些基本的认识, 就好比我们每天都会关心周围所发生的人事物一样, 毕竟计算机病毒已经不再像过是遥不可及的东西,在当今科技迅速发展的时代，计算机和网络技术不仅给人们带来了便利与惊喜，同时也在遭受着计算

病毒带来的烦恼和无奈，自从Internet潮流席卷全球以来,计算机信息以每秒千里的速度在传送, 我们每天可以透过Internet收到来自全球各地不同的消息,。因为计算机病毒不仅破坏文件，删除有用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。但在享受信息便利的同时, 计算机安全问题也就显得格外重要了。那么计算机病毒的预防也就更显得重要了。为此本文就是计算机病毒的预防技术进行探讨，让大家清楚地认识到计算机病毒的发展和危害，并按相应的具体问题实施相应的保护措施。 1.1 电脑病毒的出现一九八三年,科恩?汤普逊(Ken Thompson)是当年一项杰出电脑奖得主。在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程序。1983 年11 月3 日,弗雷德?科恩(Fred Cohen) 博士研制出一种在运行过程中可以

病毒鉴定的方法有哪些

病毒鉴定的方法有哪些？从培养的细胞中分离病毒，然后采用免疫荧光和分子生物学技术进行病毒核酸检测已被成功地用于病毒的鉴定。目前最常用的病毒定量检测方法有以下三大类：用于病毒感染力检测的技术，如病毒空斑形成试验，半数组织培养感染剂量TCID50测定和免疫荧光等；病毒核酸和病毒蛋白检测技术，如实时定量多聚酶链反应（qPCR），免疫印迹，免疫沉淀，酶联免疫吸附测定（ELISA）和血凝试验等；还有就是那些直接对病毒颗粒进行计数的方法，如流式细胞分析或透射电镜技术。病毒检测方法的局限性病毒鉴定方法 1.培养细胞的显微学观察材料和仪器细胞生长培养基：含10% FBS(胎牛血清), 4-6 mM Glutamine（谷氨酰胺）的高葡萄糖DMEM，若有需要可加入青霉素，链霉素，庆大霉素，两性霉素等维持培养基：上述新鲜的细胞培养基，但血清FBS浓度减少至为2% 宿主细胞：铺满单层细胞的8孔培养腔室玻片（chamber slides） PBS磷酸缓冲液 Bouin's固定液吉姆萨（Giemsa）缓冲液吉姆萨（Giemsa）染色液丙酮，丙酮：二甲苯（2:1），丙酮：二甲苯（1:2），二甲苯中性树胶移液枪头(10 到100 微升) 移液管生物安全柜（超净台）二氧化碳培养箱倒置显微镜

实验方案接种宿主细胞至Chamber Slides：选择合适的细胞接种密度（比如8-孔Chamber Slides，接种30,000细胞/孔），培养基为细胞生长培养基（10%FBS-DMEM）。轻轻地前后左右摇晃chamber slides使细胞分布均匀。将细胞置培养箱培养过夜，第二天，显微镜下观察细胞确认细胞是否分布均匀并达到80%以上的融合度。制备不同稀释度的病毒液：标记6支无菌离心管，第1管加入990 μl细胞生长培养基，剩下5管加入900μl细胞生长培养基。按以下方法进行梯度稀释：在第1管中加入10 μl 病毒原液（稀释度1:100）充分混匀，然后从第1管吸100 μl至第2管中混匀，依次类推，进行10倍梯度稀释。管1至管6的稀释度分别为10-3 到10-7。感染细胞：吸去培养孔中的培养液，每孔加入0.5 mL维持培养液（2%FBS-DMEM），再加入100 μl不同稀释度（10-2 至10-7稀释）的病毒液至其中一孔，留一孔不加作为空白对照。将细胞置二氧化碳培养箱37oC 或34oC 培养1-4周，追踪观察致细胞病变效应（CPE）发生情况。吉姆萨染色：一旦观察到细胞病变效应，轻轻地用PBS将细胞洗3次，每次5min，然后加入Bouin's固定液固定10 min。用吉姆萨缓冲液洗3次，然和加入Giemsa染液染色1 h，再用吉姆萨缓冲液清洗后依次用丙酮处理15s，2:1的丙酮-二甲苯处理30s，1:2的丙酮-二甲苯处理30s，最后用二甲苯处理10 min紧接着用中性树胶封片。显微镜下观察CPE，包涵体，细胞融合及病毒空泡形成情况。病毒感染细胞后形成的CPE图片范例可以在很多图谱，网站和博客上找到，例如ASM Microbe Library 2.免疫荧光(IF)检测方法材料和仪器细胞生长培养基：含10%FBS(胎牛血清), 4-6mM Glutamine（谷氨酰胺）的高葡萄糖DMEM，若有需要可加入青霉素，链霉素，庆大霉素，两性霉素等宿主细胞：铺满单层细胞的8孔培养腔室玻片（chamber slides） PBS磷酸缓冲液一抗 FITC标记的二抗细胞核染料DAPI 5-4 %多聚甲醛（PFA，pH7.4），或者甲醇移液枪头(10 到100 微升) 离心管生物安全柜（超净台）二氧化碳培养箱荧光显微镜实验方案接种宿主细胞至Chamber Slides：选择合适的细胞接种密度（比如8-孔Chamber Slides，接种30,000细胞/孔），培养基为细胞生长培养基（10%FBS-DMEM）。轻轻地前后左右摇晃chamber slides使细胞分布均匀。将细胞置培养箱培养过夜，第二天，显微镜下观察细胞确认细胞是否分布均匀并达到80%以上的融合度。病毒感染：每孔细胞加0.1 mL病毒储存液，留一孔不加作为阴性对照。将细胞放回CO2 培养箱，37°C 或34°C 培养48h。

计算机病毒的预防技术

计算机病毒的预防技术说到预防计算机病毒，正如不可能研究出一种像能包治人类百病的灵丹妙药一样，研制出万能的防计算机病毒程序也是不可能的。但可针对病毒的特点，利用现有的技术，开发出新的技术，使防御病毒软件在与计算机病毒的对抗中不断得到完善，更好地发挥保护计算机的作用。计算机病毒预防是指在病毒尚未入侵或刚刚入侵时，就拦截、阻击病毒的入侵或立即报警。目前在预防病毒工具中采用的技术主要有： 1.将大量的消毒/杀毒软件汇集一体，检查是否存在已知病毒，如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是：对变种或未知病毒无效；系统开销大，常驻内存，每次扫描都要花费一定时间，已知病毒越多，扫描时间越长。 2.检测一些病毒经常要改变的系统信息，如引导区、中断向量表、可用内存空间等，以确定是否存在病毒行为。其缺点是：无法准确识别正常程序与病毒程序的行为，常常报警，而频频误报警的结果是使用户失去对病毒的戒心。 3.监测写盘操作，对引导区BR或主引导区MBR的写操作报警。若有一个程序对可执行文件进行写操作，就认为该程序可能是病毒，阻击其写操作，并报警。其缺点是：一些正常程序与病毒程序同样有写操作，因而被误报警。 4.对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现象即报警。其缺点是：易于早发现病毒，对已知和未知病毒都有防止和抑制能力。 5.智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与病毒程序行为，是否误报警取决于知识库选取的合理性。其缺点是：单一的知识库无法覆盖所有的病毒行为，如对不驻留内存的新病毒，就会漏报。 6.智能监察型：设计病毒特征库（静态），病毒行为知识库（动态），受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机。通过调整推理机，能够对付新类型病毒，误报和漏报较少。这是未来预防病毒技术发展的方向。如何将病毒拒之门外一、选择防毒软件根据杀毒软件的查毒杀毒机制，一般情况下分为五种类型：扫描型、行为封锁型、访问控制型、完整性检查程序、启发式分析程序。其中以扫描型为主，这种类型具有检测速度快、误报少的优点，对被已知病毒感染的程序和数据，一般都能恢复。让人感觉不便的地方，是需要经常升级。这类程序只有使用了适当的扫描引擎才能对付变形病毒。在选择防病毒软件时，应以“扫描式”为主，其它方式为辅。二、工作站防毒