计算机病毒防范毕业论文.doc可修改原格式下载

资源描述

1、目录第1章什么是计算机病11.1 计算机病毒的定义11.2 计算机病毒的特征11.3 计算机病毒的结构21.4 计算机病毒的分类2 1.5 计算机病毒的入侵方式31.6 计算机病毒的传播4第2章计算机病毒发展史42.1 计算机病毒的起源42.2 计算机病毒的发展阶段42.3 计算机病毒大事记62.4 计算机病毒的发展趋势7第3章计算机病毒的危害83.1 计算机病毒编制者的目的83.2 计算机病毒对计算机应用的影响83.3 计算机病毒造成的经济损失93.4 计算机病毒在军事上的影响103.5 计算机病毒的预防10第4章计算机病毒的分类104.1 早期的DOS病毒介绍104.2 Offic

2、e杀手宏病毒104.3 变化多端的文件型病毒11结论12参考文献1312第1章什么是计算机病1.1 计算机病毒的定义中文名称：病毒英文名称：virus 定义1：计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。计算机病毒最早出现在70年代 David Gerrold 科幻小说

3、When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中.定义2：计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。1.2 计算机病毒的特征(1)非授权

4、可执行性用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 (2)隐蔽性计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法

5、可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。(3)传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。(4)潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的

6、范围也越广,其危害性也越大。(5)表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。(6)可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制

7、,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等1.3 计算机病毒的结构(1)触发模块:该模块通过判断预定的触发条件是否满足来控制病毒的感染和破坏活动。 (2)感染模块:该模块通过判断预定的触发条件是否满足来控制病毒的感染和破坏活动,控制感染和破坏动作的频率,使病毒在隐藏状态下进行感染和破坏活动。 (3)破坏模块:该模块包括破坏(或表现)条件的判断部分,判断是否破坏,表现或何时破坏。 (4)主控模块:病毒运行时

8、,首先运行的是病毒的主控模块。主控模块控制病毒的运行。 (5)感染标志:当病毒感染宿主程序时,要把感染标志写入宿主程序,作为该程序已被感染的标志1.4 计算机病毒的分类一、计算机病毒按破坏性分，可分为:良性病毒恶性病毒极恶性病毒灾难性病毒二、按传染方式分引导区型病毒,引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的主引导记录。文件型病毒,文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。混合型病毒,混合型病毒具有引导区型病毒和文件型病毒两者的特点。宏病毒,宏病毒是指用BASIC语言编

9、写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。三、按连接方式分源码型病毒,它攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。操作系统型病毒,操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳型病毒,外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文

10、件型病毒都属于这一类。1.5 计算机病毒的入侵方式一、宏病毒宏病毒发作方式: 在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。防范措施:平时最好不要几个人共用一个Office程序，要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。一般的杀毒软件都可以清除宏病毒。二、CIH病毒发作破坏方式:主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进

11、行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。防范措施:已经有很多CIH免疫程序诞生了，包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒，但尚未发作，记得先备份硬盘分区表和引导区数据再进行查杀，以免杀毒失败造成硬盘无法自举。四、木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。防范措

12、施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。1.6 计算机病毒的传播计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的病毒通过对文件

13、的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。可见有条件时病毒能传染, 无条件时病毒也可以进行传染第2章计算机病毒发展史2.1 计算机病毒的起源计算机病毒的发展，在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传

14、。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：一、 DOS引导阶段 1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播； 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”；二、DOS可执行阶段 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病

15、毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM，这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利

16、用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。2.2 计算机病毒的发展阶段1第一代病毒第一代病毒的产生年限可以认为在1986-1989年之间，这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽.病毒的清除工作相对来说较容易。2第二代病毒第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在1989-1991年之间.3第三代病毒第三代病毒的产生年限可以认为从1992年开始至1995年，此类病毒称为“多态性”病毒或“自

17、我变形”病毒，是最近几年来出现的新型的计算机病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时，放人宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。正是由于这一特点，传统的利用特征码法检测病毒的产品不能检测出此类病毒。4第四代病毒 90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。1996年下半年随着国内Internet的大量普及，Email的使用，夹杂于 Email内的WORD宏病毒已成为

18、当前病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂，加上微软对DOC文档结构没有公开，给直接基于文档结构清除宏病毒带来了诸多不便。从某种意义上来讲，微软Word Basic的公开性以及 DOC文档结构的封闭性，宏病毒对文档的破坏已经不仅仅属于普通病毒的概念，如果放任宏病毒泛滥，不采取强有力的彻底解决方法，宏病毒对中国的信息产业将会产生不测的后果。这一时期的病毒的最大特点是利用Internet作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。此外，随着Windows95的应用，出现了Windows环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。诚然，计算机病

19、毒的发展必然会促进计算机反病毒技术的发展，也就是说，新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战，致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样，势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性，迫使人们在反病毒的技术和产品上进行新的更新和换代。到目前为止，反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。2.3 计算机病毒大事记1Elk Cloner（1982年）它被看作攻击个人计算机的第一款全球病毒，也是所有令人头痛的安全问题先驱者。它通过苹

20、果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上，可以被使用49次。在第50次使用的时候，它并不运行游戏，取而代之的是打开一个空白屏幕，并显示一首短诗。 2Brain（1986年） Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染360K软盘的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。 3Morris（1988年） Morris该病毒程序利用了系统存在的弱点进行入侵，Morris设计的最初的目的并不是搞破坏，而是用来测量网络的大小。但是，由于程序的循环没有处理好，计算机会不停地执行、复制Morris，最终导致死机。 4CIH（1998年） C

21、IH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。此病毒是由台湾大学生陈盈豪研制的，据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。 5Melissa（1999年） Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。 6Love bug（2000年） Love bug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范

22、围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。 7“红色代码”（2001年）被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。 8“Nimda”（2001年）尼姆达(Nimda)是历史上传播速度最快的病毒之一，在上线之后的22分钟之后就成为传播最广的病毒。 9“冲击波”（2003年）冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中

23、的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。 10“震荡波”（2004年）震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。 11“熊猫烧香”（2007年）熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用。 12“扫荡波”(2008年) 同冲击波和震荡波一样，也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件，大批用户关闭自动更新以后，这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。 13“Conficker”（2008年） Conficker.C病毒原来要在2009年3月进行大量传播，然后在4月1日实施全球性攻击，引起

24、全球性灾难。不过，这种病毒实际上没有造成什么破坏。 14“木马下载器”(2009年) 本年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首) 15.“鬼影病毒”（2010年）该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。 16 .“极虎病毒”（2010年）该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况：计算机进程中莫名其妙的有ping.exe 和rar.exe进程，并且cpu占用很高，风扇转

25、的很响很频繁（手提电脑），并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件，杀毒软件和安全类软件会被自动关闭，如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件，系统文件，感染系统文件，让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改，无法使用杀毒软件进行清理，一旦清理，系统将无法打开和正常运行，同时基于计算机和网络的帐户信息可能会被盗，如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等2.4 计算机病毒的发展趋势根据瑞星“云安全”系统统计，2010年1月1日至20日,云安全系统共截获了59万个新增病毒样本。通过对这些最

26、新病毒的研究发现，病毒制造者已经不再像以前那样追求与杀毒软件的对抗，试图结束或破坏杀毒软件后再进行盗号、破坏系统等目的，最新的病毒已经开始走向了一种更加“非主流”或更加“合法化”的技术，躲避杀毒软件的监控，一些病毒在杀毒软件的把守之下，堂而皇之的把病毒要干的那些事儿顺利完成。瑞星高级安全工程师唐威说，“这类病毒越来越多，从中我们也可以看出最新的病毒发展趋势。” 第3章计算机病毒的危害3.1 计算机病毒编制者的目的计算机病毒编制者的目的是:1病毒激发对计算机数据信息的直接破坏作用2占用磁盘空间和对信息的破坏3抢占系统资源4影响计算机运行速度5计算机病毒错误与不可预见的危害6计算机病毒的兼容性对

27、系统运行的影响7计算机病毒给用户造成严重的心理压力.3.2 计算机病毒对计算机应用的影响1病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning! Dontturn off power or remove diskette while Disk Killer is Prosessing！” （警告！D1SK

28、 KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。2占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短

29、时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 3抢占系统资源除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。 4影响计算机运行速度病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： 5计算

30、机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。 6计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。7计算机病毒给用户造成严重的心理压力据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量

31、的60以上。经检测确实存在病毒的约占70，另有30情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。3.3 计算机病毒造成的经济损失自从第一个计算机病毒爆

32、发以来，已经过去了20年左右的时间。InformationWeek最近评出了迄今为止破坏程度最为严重的十大病毒。上个世纪80年代上半期，计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去，但绝大多数都被研究人员严格地控制在了实验室中。随后，“大脑”(Brain)病毒出现了。1986年年初，人们发现了这种计算机病毒，它是第一个PC病毒，也是能够自我复制的软件，并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量，Brain的传播速度几乎是缓慢地爬行，但是无论如何，它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。1、CIH 估计

33、损失：全球约2,000万8,000万美元，计算机的数据损失没有统计在内。CIH病毒1998年6月爆发于中国台湾，是公认的有史以来危险程度最高、破坏强度最大的病毒之一。感染与Windows 95/98/ME等操作系统的可执行文件，能够驻留在计算机内存中，并据此继续感染其他可执行文件。2、梅利莎(Melissa)损失估计：全球约3亿6亿美元,1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。估计数字显示，这个Word宏脚本病毒感染了全球15%20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft，下称微软)、以及其他许多使用Outlook软

34、件的公司措手不及，为了防止损害，他们被迫关闭整个电子邮件系统。它是通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。3、我爱你(ILOVEYOU)损失估计：全球约100亿150亿美元,又称情书或爱虫。它是一个Visual Basic脚本，设计精妙，还有令人难以抗拒的诱饵爱的诺言。2000年5月3日，“我爱你”蠕虫病毒首次在香港被发现。“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。和梅利莎类似，病毒也向Microsoft Outlook通讯簿中的联系人

35、发送自身。4、红色代码(Code Red)损失估计：全球约26亿美元。“红色代码”是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。3.4 计算机病毒在军事上的影响军事是计算机应用最早的领域，无疑计算机对其影响最大。第一台计算机ENIAC用来计算炮弹弹道数据，打开了计算机应用的序幕，以后就是用来进行原子反应堆和核武器设计，再后来用于航天飞机和战略导弹弹道分析，到今天计算机广泛用于大型军事工程计算

36、、军事化的自动管理、用虚拟现实技术来模拟战争战场而进行军事训练。现代化的战争绝不是“小米加步枪”的时候，科学技术成份在战争中含量愈来愈大，特别是计算机的发展对军事领域的影响是其他技术无法比拟的。现在世界军事正在发生一系列变革，现代科技尤其是信息技术、网络技术迅猛冲击着传统的军事思想、战争模式和军队建设方向，并将从根本上改变世界的军事发展面貌。曾几何时，世界上爆发过一系列局部战争：如海湾战争、北约空袭南联盟，以及各国为了一定的政治目的而进行的一系列现代化的军事演习，充分体现了高科技在现代战争中举足轻重的地位。但是这些只发生在地球表面上的局部冲突，未来的战争会是怎么样的呢？首先战争范围一定会冲击

37、地球，越过太空：资源的争夺不仅仅限于地面，宇宙空间领域正在开发，一旦相互之间发生利益冲突，难免会发生战争；战争的方式也会发生根本性的变化，一部分枪林弹雨、炮火连天的场面会被没有硝烟的战争所取代，直接的正面接触会变为间接的破坏战争，在信息社会里各种因素立体交叉，破坏结构的任何一环都会给对方造成直接或间接破坏；战争模式除了原有的传统战争模式，更多增加了电子对抗、武器隐形、定向破坏、网络战、情报战等，而所有这些都与计算机有关，因而计算机自然成了必不可少的战争武器，破坏计算机就等于破坏战斗武器，而病毒就能做到这一点。3.5 计算机病毒的预防计算机病毒的预防：1、打所有的系统补丁。2、更改管理员用户名，

38、设置密码！不用自动登录功能。3、取消打印机共享，屏蔽Activex，停用一些可以被黑客利用做后门的系统服务。4、用漏洞扫描工具（瑞星漏洞扫描或金山的）扫描电脑不安全设置。5、安装安全软件。 6、有条件的话装WINDOWS2003，设置一下，也适合个人。第4章计算机病毒的分类4.1 早期的DOS病毒介绍dos病毒是指基于dos操作系统而设计的病毒。而蠕虫则多是利用系统漏洞进行主动传播的程序，其结合了计算机病毒和黑客技术，可以在网络主动传播而不需要用户干预。譬如，slammer,msblaster,sasser。另外，也有人将目前目前流行的一些通过Email传播的病毒成为蠕虫，因为他们不再感

39、染文件，而只是单纯地复制自己，有时候他们也会植入一些后门。不过个人认为，蠕虫依赖于漏洞，实际上具有传播功能的Exploit。病毒主要是利用系统的正常功能进行传播，并且其传播需要用户的干预，而蠕虫是利用系统的非正常功能（漏洞）进行传播，其传播过程是自动完成的，不需要用户的干预4.2 Office杀手宏病毒宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会 “感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。如果某个文档中

40、包含了宏病毒，我们称此文档感染了宏病毒；如果 WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：一、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。二、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏

41、警告时，可以肯定这些文档中有宏病毒。三、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。 4.3 变化多

42、端的文件型病毒文件型病毒是主要感染可执行文件的病毒，它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。文件型病毒的传播方式:当宿主程序运行时，病毒程序首先运行，然后驻留在内存中，再伺机感染其它的可执行程序，达到传播的目的。文件型病毒的感染对象:扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。文件型病毒的病毒典型代表CIHCIH病毒，别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，主要感染Windows95/98下的可执行文件，在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本

43、，危害最大的是v1.2版本，此版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）。CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。结论加强电脑技术和技能的学习，掌握各种基础软件的使用技巧，电脑病毒虽然发作起来破坏力大，但仍是可以避免和控制的，只要对其有充分的认识，就能筑起心理上和技术防范措施上的防线，区别出是病毒危害还是误操作所引起的后果，将其的影响降至最低消除。随着网络的应用的发展，计算机病毒形式以及传播途径日趋多样化，计算机安全问题日益复杂话，因此，合理有效的预防是防治计算机病毒最有效，最经济省力，也好似最应该值得重视的问题。我们必须正确认识、感知、防范计算机病毒的攻击，以保护计算机数据安全，使得计算机网络正真发挥其积极的作用，让计算机成为人类友好的朋友来促进人类工作、生活的健康发展。

展开阅读全文