计算机病毒的预防技术探讨.doc

1、计算机病毒预防技术的探讨作者： 论文摘要：现在，人们越来越重视计算机安全。伴随着电脑网络的普及，计算机病毒越来越猖獗，计算机反病毒技术也发展的很快。如今计算机反病毒技术，有实时反病毒技术、扫描技术、虚拟技术和主动核技术等。这些技术各有特点，都是十分优秀的反病毒技术，但是目前应用起来仍然不够成熟。现有计算机反病毒软件虽然在对抗病毒方面发挥了巨大的作用，但是仍有不尽人意之处，特别是应对位置病毒缺乏足够有效的方法。计算机病毒的防范技术还有待于我们去钻呀和发展，进一步完善。关键字：Internet; 计算机技术; 病毒; 预防Discussion on computer virus preventio

2、n techniquesAbstract: Now,peopele pay more and more attention to computer security. With the popularization of computer network,computer viruses are increasingly rampant and computer antivirus technology is also developing very fast. Now computer anti-virus technology are real-time anti-virus techno

3、logy,heuristic code scanning techniques, virtural machine technologu and active kernel technology, etc. These technologies have their own features and all of them are excellent anti-virus technologies. But people are still not proficient in the ues of these technogies. Although the existing computer

4、 antivirus software plays an important role in stopping viruses, there are still some problems. The point is that people lack effective methods in coping with unknown viruses. We still need study intensively and develop the computer virus prevention technology making it more perfect.Key WordInternet

5、; Computer Technology; virus; protection目 录课题研究意义及背景5第一章计算机病毒的特征、分类及传播方式.61.1 计算机病毒的定义和内涵.61.2 计算机病毒的特征71.3 计算机病毒的分类71.3.1 按病毒攻存在媒体分类.71.3.2 按病毒传染的方法分类.81.3.3 按病毒的破坏能力分类81.3.4 按病毒的算法分类.81.4 计算机病毒的表现现状.101.5计算机病毒的传播方式10第三章 计算机病的的危害、保护手段及攻击技术分析.192.1计算机病毒的危害.122.2 计算机病毒的自我保护手段.152.3 如何识别计算机病毒162.4计算机病

6、毒的攻击技术分析172.4.1无线电方式.172.4.2“固化”式方式 .172.4.3后门攻击方式.18 2.4.4数据控制连侵入方式.182.5 异常处理.18 2.5.1 异常处理的方式.18 2.5.2 异常处理的过程.19第三章 几种常见病的的识别和防范.193.1如何识别病毒感染 .193.2 计算机病毒的技术预防措施.203.3引导型计算机病毒的识别和防范.233.4文件病毒的识别和防范253.5宏病毒的识别和防范.293.6电子邮件病毒的识别和防范.31 第四章 结论.37参考文献.38课 题 背 景计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒技术不断更新和

7、发展，但是仍然不能改变被动滞后的局面，计算机用户必须不断应付计算机新病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。从上世纪90年代中后期开始，随着国际互联网的发展壮大，依赖互联网络传播的邮件病毒、宏病毒和蠕虫病毒等大量涌现，病毒传播速度加快、隐蔽性增强、破坏性变大。最近这几年新病毒层出不穷，出现了“红色代码”、“尼姆达”、“爱虫”、 “SQL蠕虫” 、“求职信”、“冲击波”、“恶邮差”等等许多影响广、破坏大的病毒，众多病毒中蠕虫病毒的发展的特别快。最新发现的震荡波病毒来势汹汹，该病毒通过微软的最新高危漏洞LSASS 漏洞(微软MS04-011 公告)进行传播，危害性极大，目前 WINDO

8、WS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。计算机病毒的产生和迅速蔓延，使计算机系统的安全受到了极大的威胁，人们意识到计算机安全的重要性，也因此产生了对计算机反病毒技术的需求。随着计算机病毒采用的新技术不断出现，计算机反病毒技术也不断更新和发展，产生了实时反病毒技术、启发式代码扫描技术等许多优秀的反病毒技术。日新月异的计算机技术给计算机病毒提供了存在和发展的空间，尤其是网络技术的发展大大加快了计算机病毒的传播速度，日益普及的计算机网络给人们带来了许多的方便的同时也给计算机病毒技术的传播和发展提供了便利。随着

9、计算机病毒的传播和攻击方式不断发展变化，我们必须不断调整防范计算机病毒的策略，提升和完善计算机反病毒技术，以对抗计算机病毒的危害。计算机病毒的防范是一项长期且艰巨的任务。第一章 计算机病毒的特征、分类及传播方式在当今科技迅速发展的时代，计算机和网络技术不仅给人们带来了便利与惊喜，同时也在遭受着计算病毒带来的烦恼和无奈，自从Internet潮流席卷全球以来,计算机信息以每秒千里的速度在传送, 我们每天可以透过Internet收到来自全球各地不同的消息,。因为计算机病毒不仅破坏文件，删除有用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。随着计算机在社会生活各个领域的广泛运用,计算

10、机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的重视。1.1计算机病毒的定义和内涵计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身

11、附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。计算机病毒：一种计算你程序，它可以附属在可执行文件或隐藏在系统数据区中，在开机或执行某些程序后悄悄的进驻内存，然后对其他的文件进行传染，使之传播出去，然后在特定的条件下破坏系统或骚扰用户。目前很多的清楚病

12、毒的软件，但是新病毒还是层出不穷，成为一大危害。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。 1.2计算机病毒的特征计算机病毒是一段特殊的程序。除了与其他程序一样，可以存储和运行外，计算机病毒还有感染性、潜伏性、可触发性、破坏性衍生性等特征。下面简单就计算机病毒的特性加以介绍： 感染性。计算机病毒的感染性也称为寄生性，是指计算机病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生成的特性。计算机病毒的感染性是计算机病毒的根本属性，是判断一个程序是否为病毒程序的主要依据。 隐蔽性。隐蔽性是计算机病毒的基本特征之一。从计算机病毒隐藏的位置来看，不同

13、的病毒隐藏在不同的位置，有的隐藏在扇区中，有的则以隐藏文件的形式出现，让人防不胜防。 潜伏性。计算机病毒的潜伏性是指其具有依附于其他媒体而寄生的能力，通过修改其他程序而把自身的复制体嵌入到其他程序或者磁盘的引导区甚至硬盘的主引导区中寄生。 可触发性。计算机病毒一般都具有一个触发条件：或者触发其感染，即在一定的条件下激活一个病毒的感染机制使之进行感染；或者触发其发作，即在一定的条件下激活病毒的表现攻击破坏部分。衍生性。计算机病毒的衍生性是指计算机病毒的制造者依据个人的主观愿望，对某一个已知病毒程序进行修改而衍生出另外一中或多种来源于同一种病毒，而又不同于源病毒程序的病毒程序，即源病毒程序的变种。

14、这也许就是病毒种类繁多、复杂的原因之一。 破坏性。计算机病毒的破坏性取决于计算机病毒制造者的目的和水平，它可以直接破坏计算机数据信息、抢占系统资源、影响计算机运行速度以及对计算机硬件构成破坏等。正是由于计算机病毒可怕的破坏性才使得计算机病毒令人如此恐怖。1.3计算机病毒的分类 根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：1.3.1按病毒存在的媒体根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件

15、（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。 1.3.2按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传

16、染，这类病毒也被划分为非驻留型病毒。 1.3.3按病毒破坏的能力 无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。 无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型：这类病毒在计算机系统操作中造成严重的错误。 非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏

17、。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。 1.3.4按病毒的算法伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发

18、送。有时它们在系统存在，一般除了内存不占用其它资源。 寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。 诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。1.4计

19、算机病毒的表现现状计算机受到病毒感染后，会表现出不同的症状。 机器不能正常启动 加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。 运行速度降低 如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。 磁盘空间迅速变小 由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。 文件内容和长度有所改变 一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。 经常

20、出现“死机”现象 。正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。 外部设备工作异常 因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。 以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。1.5计算机病毒的传播方式 .软盘 软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通

21、过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。 .光盘 光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。 .硬盘 由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘传染并再扩散。 .BBS 电子布告栏（BBS）因为上站容易、投资少，

22、因此深受大众用户的喜爱。BBS是由计算机爱好者自发组织的通讯站点，用户可以在BBS上进行文件交换（包括自由软件、游戏、自编程序）。由于BBS站一般没有严格的安全管理，亦无任何限制，这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS站间通过中心站间进行传送，传播面较广。随着BBS在国内的普及，给病毒的传播又增加了新的介质。 .网络 现代通信技术的巨大进步已使空间距离不再遥远，数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送，工作站的距离可以短至并排摆放的计算机，也可以长达上万公里，正所谓“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”

23、。计算机病毒可以附着在正常文件中，当您从网络另一端得到一个被感染的程序，并在您的计算机上未加任何防护措施的情况下运行它，病毒就传染开来了。这种病毒的传染方式在计算机网络连接很普及的国家是很常见的，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。第二章 计算机病毒的保护手段及技术分析长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑，软件方面也更

24、易存在隐患和潜在威胁。对计算机系统的测试，目前尚缺乏自动化检测工具和系统软件的完整检验手段，计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（忽略）使“地球一村化”， 为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。国外专家认为，分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。2.1计算机病毒的危害（1）病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表

25、和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。 磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning! Dontturn off power or remove diskette while Disk Killer is Prosessing！” （警告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。 （2）占用磁盘空间和对信息的破坏 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 引导型

26、病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。 文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 （3）抢占系统资源 除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大

27、致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。 （4）影响计算机运行速度 病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： 病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。 有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序

28、把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。 （5）计算机病毒错误与不可预见的危害 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不

29、同程度的错误。 错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。 计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。 （6）计算机病毒的兼容性对系统运行的影响 兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒

30、进行测试，因此病毒的兼容性较差，常常导致死机。 （7）计算机病毒给用户造成严重的心理压力 据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。经检测确实存在病毒的约占70，另有30情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀

31、疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。2.2计算机病毒的自我保护手段（1）掩盖技术：不断修改标志、传染方式、表现方式：不通过传统的方式，如以热键激活取代中断激活方式 Alabama病毒可拦截INT 9，若发现用户使用热启动时，则调用其内部的Bootstrap子程序启动计算机，是自己继续潜伏在内存。 避开中断请求而直接调用中断服务过程 。用中断请求INT 27H或INT31H来合

32、法获取内存 。不将非法占用的区域标为坏簇，而标为已分配的簇 。（2）造假技术 修改文件长度：如Zero Bug病毒 。（3）加密技术对病毒源码加密：17011206病毒利用自身修改技术，每次传然后都有变化。（4）自灭技术Yankee Doodle病毒驻留内存后，若发现被传染的文件有被分析的可能，则用Debug调被传染的文件用Q命令删除。（5）嵌入技术 拼接，成为合法程序的一部分，得到系统的认可 例：EDDIE病毒将自己隐藏在操作系统中，随操作系统启动按随机格式复制成其他的程序。 （6）反动态跟踪技术 Pakistani病毒驻留内存后，可通过INT 13H监视用户读取引导扇区的操作，当用户用de

33、bug读取0逻辑扇区时，病毒将存于它处的引导扇区显示出来。2.3如何识别计算机病毒很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：.

34、。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“Sasser”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生

35、命力顽强“_”），可以采用数字与字母混合表示变种标识。综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。2.4计算机病毒的攻击技术分析实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现

36、状来看，病毒注入方法主要有以下几种：2.4.1无线电方式主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有：（1）直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。 （2）冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使之能够混在合法传输信号中，进入接收器，进而进入信息网络。 （3）寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路，将病毒传染到被保护的链路或目标中。 2.4.2“固化”式方法即把病毒事先存放在硬件（如芯片）和软件中，然后把此

37、硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。这种攻击方法十分隐蔽，即使芯片或组件被彻底检查，也很难保证其没有其他特殊功能。目前，我国很多计算机组件依赖进口，因此，很容易受到芯片的攻击。 2.4.3后门攻击方式 后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击，如目前普遍使用的WINDOWS98，就存在这样的后门。2.4.4、数据控制链侵入方式随着因特网技术的广泛应用，使计算机病毒通过计算机系统

38、的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。2.5异常处理病毒在运行过程中，由于环境的变化、程序设计上的失误等原因，有时候轻则弹出提示窗口，重则会导致程序、甚至系统崩溃。为礼物被发现，异常处理也经常用在计算机病毒中。2.5.1异常处理的方式Windows下异常处理有两种方式：筛选器异常处理和SHE异常处理。筛选器异常处理的方式有程序指定一个异常处理回调函数，当发生异常的时候，Windows系统将调用这个回调函数并根据回调函数的返回值决定下一步如何操作。于一个进程来说，只有一个筛选器回调函数。很明显，这种异常处理方式不便于模块的封装：由于筛选器回调函数是基于

39、整个进程的，无法为一个线程或子程序单独设置一个异常处理回调函数，这样就无法将私有处理代码封装进某个模块中。SHE（“Structured Esception Handling”）,即结构化异常处理，是操作系统提供给程序设计者的强有力处理程序错误或异常的武器。筛选器异常处理和SHE异常处理都是以回调函数的方式提供的：另外，系统都会根据回调函数的返回值选择不同的操作。但它们之间也有如下区别 （1）SHE可以为每个线程设置不同的异常处理程序，而且可以为每个线程设置多个异常处理程序 （2）两者的回调函数的参数定义和返回值的定义不一样 （3）SHE使用了与硬件相关的数据指针，所以在不同的硬件平台中使用S

40、HE的方法会有所不同2.5.2异常处理的过程 当系统遇到一个它不知道如何处理的宜昌时，它就查找异常处理链表。当一个异常发生时，操作系统要向引起异常的线程的堆栈里压入3个结构，分别是EXCEPTION_RECORD、EXCEPTION_POINTERS、CONTEXT。EXCEPTION_RECORD结构包含有关已发生的独立与CPU的信息，CONTEXT结构包含已发生异常的依赖与CPU信息，EXCEPTION_POINTERS结构只有两个指正数据成员，分别指向被压入栈的EXCEPTION_RECORD和CONTEXT结构，CONTEXT结构包含了特定处理的寄存处器数据，系统使用该结构执行各种内部

41、操作。CONTEXT结构非常重要，程序通过修改结构中的成员，改变了线程的运行环境，从而达到反跟踪的目的，从原程序的任意Eip制定位置开始执行。第三章几种常见病毒的识别和防范31如何防止病毒感染使用经过更新的反病毒程序扫描您的计算机。从MicrosoftWeb站点安装最新的安全修补程序。重新安装反病毒程序（如果它已停止工作）。从反病毒供应商的Web站点获取最新的“件病毒签名文”。对于每种新病毒，反病毒供应商都会发布更新来对付新病毒。杀除病毒后，请再次扫描您的计算机以确保完全杀除病毒。安排反病毒程序在您睡觉期间检查系统。如果以下一个或多个条件为真，则您可能必须格式化计算机硬盘，并重新安装Windo

42、ws以及您的所有计算机程序：反病毒软件显示一条无法修复或杀除病毒的消息。病毒损坏或删除了计算机上的一些重要文件。如果Windows或某些程序无法启动，或在启动时出现表明文件损坏或丢失的错误信息，则可能属于这种情况即使在您清理工作站之后，本文描述的症状依然存在，并且您能肯定问题是由病毒引起的。确保在您的计算机上安装了防火墙。有关安全性和防火墙的详细信息，请访问MicrosoftWeb站点：对于基于WindowsXP的计算机，请打开Internet连接防火墙(ICF)。对于所有其他版本的Windows，请安装密集架第三方防火墙。确保安装了MicrosoftOutlook电子邮件安全更新：默认情况下

43、，Outlook2000SP2post-SP2和OutlookXPSP1包括此安全更新。Outlook2000pre-SR1和Outlook98不包括此功能，但可以通过安装Outlook电子邮件安全更新来获取。将OutlookExpress6配置为禁止访问病毒附件。OutlookExpress的较早版本(pre-OutlookExpress6)不包含附件阻塞功能。打开非您要求的带有附件的电子邮件附件时要格外小心。在Outlook和OutlookExpress中禁用活动脚本。32计算机病毒的技术预防措施下面总结出一系列行之有效的措施供参考。（1）新购置的计算机硬软件系统的测试新购置的计算机是有可

44、能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后下面总结出一系列行之有效的措施供参考。（2）新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方再使用新购置计算机的硬盘可以进行检测或 进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算