【文档说明】计算机网络病毒与防治规范(-154张)课件.ppt，共(154)页，904.000 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-76954.html

以下为本文档部分文字说明：

第7章网络病毒与防治7.1计算机病毒概述7.2计算机病毒的工作原理7.3病毒分类7.4计算机网络病毒的发展7.5计算机网络病毒的检测、清除与防范7.6网络病毒实例7.7本章小结练习题•计算机病毒从它诞生之日起到现在，已成为了当今信息社会

的一个癌症，它随着计算机网络的发展，已经传播到信息社会的每一个角落，并大肆破坏计算机数据、改变操作程序、摧毁计算机硬件，给人们造成了重大损失。为了更好地防范计算机及网络病毒，必须了解计算机病毒的机制，同时掌

握计算机病毒的预防和清除办法。•本章将学习以下主要内容：•计算机病毒的定义；•计算机病毒的工作原理；•计算机病毒的分类；•计算机网络病毒及发展；•病毒的清除办法和防护措施；•著名的网络病毒的介绍。7.1计算机病毒概述•随着现代通信技术的不断

发展，人与人之间的沟通变得越来越方便快捷，数据、文件、电子邮件可以迅速有效的在各个网络工作站之间进行传递，而通过电缆、光缆和电话线的相连使得工作站间的距离摆脱了物理限制，近至并排相靠，远达万里之遥，都可进行即时的信息传送和交流。但在沟通方便的同时，也为计算机病毒提供了良好

的发育环境，使其得以蔓延扩散已成为社会的一大公害。•现在，计算机病毒技术日臻完善成熟，网络病毒不再需要寄生在主程序中，但人们将文件附加在电子邮件中进行传送、从Internet、BBS下载文件或浏览JavaActiveX网页的时候,病毒可能就会神不知鬼不觉地进入

了网络和计算机系统。目前每天都有数十种新的病毒在网上发现。与此同时，各类已知病毒的变异品种也在网上四处横行。如何发现和防治病毒在此时就变得尤为重要了。7.1.1病毒的定义•美国计算机研究专家F.Cohen博士最早提出了“计

算机病毒”的概念。计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。其特性在很多方面与生物病毒有着极其相似的地方。•在《中华人民共和国计算机信息系统安

全保护条例》第二十八条中将计算机病毒定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”•人们从不同角度给出计算机病毒的定义。一种

定义是：通过磁盘、磁带和网络等存储媒介传播扩散，能“传染”其他程序的程序；另一种是：能够实现自身复制且借助一定的载体存在的，具有潜伏性、传染性和破坏性的程序；还有的定义是：一种人为制造的程序，它通过不同的途

径潜伏或寄生在存储媒体(如磁盘、内存)或程序里，当某种条件或时机成熟时，它会自我复制并传播，使计算机的资源受到不同程序的破坏等。•现在，计算机病毒的传播方式、感染途径、发作方式都有了极大的不同。以前，大多数类型的病毒主要通过软盘传播。但是，当Internet成为人们的主要通

信方式以后，为病毒的传播提供了新的传送机制。尤其是随着现在电子邮件被用作一个重要的企业通信工具，使病毒比以往任何时候都要扩展得快。附带在电子邮件信息中的病毒，在几分钟内就可以侵染整个企业，使企业每年在生产损失和清除病毒的开销上就要花费数百万美元。•随着网络

技术的发展，计算机病毒在快速增长。按美国国家计算机安全协会发布的统计资料，已有超过18000种病毒被辨认出来，而且每个月又在产生200种新型病毒。可以这样说，在计算机世界中没有一台计算机可以对病毒免疫。对于经常上网的用户来说必须经常性地对付病毒的突然爆发

。7.1.2计算机病毒的发展历史•计算机病毒并非是最近才出现的新产物。事实上，早在1949年，距离第—部商用计算机的出现仍有好几年时，计算机的先驱者约翰·范纽曼(JohnVonNeumann)在他的论文《复杂自动装置的理论及组织的进行》中就

已把病毒程序的蓝图勾勒出来。•当时，绝大部分的计算机专家都无法想象这种会自我繁殖的程序是可能的。可是，少数几个科学家默默的研究了范纽曼所提出的概念。十年之后，当时贝尔实验室中三个年轻程序员：道格拉斯·麦耀莱、维特·维索斯基以及罗伯在业余时间想出来一个游戏——“磁蕊大战”(

CoreWar)。这个游戏可以实现程序的自我复制，从而成为了病毒的先驱。•1983年，科恩·汤普逊(KenThompson)是当年一项杰出计算机奖的得主。在颁奖典礼上，他作了一个演讲，不但公开证实了计算机病毒的存在，而且还告诉所有听众怎样去写自己的病毒程序。至此计算机病毒正式出现在人们面前，并迅

速成为了大家谈虎色变的恐怖程序。•最早被开发出的计算机病毒是程序员用来保护自己程序的安全门。但随着时间的逐步推移，这道门渐渐开错了方向，成为了破坏程序安全的最大隐患。•世界上第一例被证实的病毒发现在1987年,但在其后的五年中病毒并没有真正在世界上传播开来，因此没有引起人们的高度重

视。直到1988年11月的一次病毒发作，造成Internet网上的6200用户系统瘫痪，经济损失达9000多美元，随后一系列病毒事件的发生，才使人们对计算机病毒高度重视起来。•计算机病毒的发展经历了以下几个主要阶段：DOS引导阶段；DOS可执行文件阶段；混合

型阶段；伴随、批次性阶段；多形性阶段；生成器、变体机阶段；网络、蠕虫阶段；视窗阶段；宏病毒阶段和互联网阶段。这些将在下面几节中为大家进行穿插介绍。7.2计算机病毒的工作原理•要做好反病毒技术的研究，首先要认清计算机病毒的结构特点和行为机理

，为防范计算机病毒提供充实可靠的依据。下面将通过对计算机病毒的主要特征、破坏行为以及基本结构的介绍来阐述计算机病毒的工作原理。7.2.1计算机病毒的主要特征1.可控性•首先，需要强调的就是计算病毒与各种应用程序一样也是人为编写出来的。它并不是偶然自发产生的。在某些方面，它

具有一定的主观能动性，即是可事先预防的。当程序员编写出这些有意破坏、严谨精巧的程序段时，它们就成了具有严格组织的程序代码，与其所在环境相互适应并紧密配合，伺机达到它们的破坏目的。因此，这里所指的可控性并不是针对其散播速度和范围的，而是对其产生根源的控制，也就是说是对人的控制。简单地说，只要程序员

和广大的计算机爱好者们不编写那些流毒甚广的病毒的话，那么也就无需为如何防治而绞尽脑汁了。当然此类说法纯属说笑，所以人们仍然需要深入了解计算机病毒的产生、传染和破坏行为，以达知己知彼，由此方能百战不殆。2.自我复制能力•自我复制也称“再生”或“传

染”。再生机制是判断是不是计算机病毒的最重要依据。在一定条件下，病毒通过某种渠道从一个文件和一台计算机传染到另外没有被感染的文件和计算机，轻则造成被感染的计算机数据破坏和工作失常，重则使计算机瘫痪。病毒代码就是靠这种机制大量传播和扩散的。携带病毒代码的文件成为计算机病毒载体和带毒程序。每一台被

感染了病毒的计算机，本身既是一个受害者，又是计算机病毒的传播者，通过各种可能的渠道，如软盘、光盘、活动硬盘、网络去传染其他的计算机。在染毒的计算机上曾经使用过的软盘，很有可能已被计算机病毒感染，如果把它拿到其他机器上使用，病毒就会通过带毒软盘传染这些机器。如果计算机已经联网，通过

数据和程序共享，病毒就可以迅速传染与之相连的计算机，若不加控制，就会在很短时间内传遍整个世界。3.夺取系统控制权•一般的正常程序由系统或用户调用，并由系统分配资源。其运行目的对用户是可见的和透明的。而就计算机病毒的程序性(可执行性)而言，计算机病毒与其他合法程序一样，是一段可执行程序

，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。当计算机在正常程序控制之下运行时，系统运行是稳定的。在这台计算机上可以查看病毒文件的名字，查看或打印计算机病毒代码，甚至拷贝

病毒文件，系统都不会激活并感染病毒。病毒为了完成感染、破坏系统的目的必然要取得系统的控制权。计算机病毒一经在系统中运行，病毒首先要做初始化工作，在内存中找到一片安身之地，随后将自身与系统软件挂起钩来执行感

染程序，即取得系统控制权。系统每执行一次操作，病毒就有机会执行它预先设计的操作，完成病毒代码的传播和进行破坏活动。4.隐蔽性•不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序不易区别开。•计算机病毒的隐蔽性表现在两个方面：一是传染的隐蔽性，大多数病毒在进

行传染时速度是极快的，一般不具有外部表现，不宜被人发现；二是病毒程序存在的隐蔽性，一般的病毒程序都夹在正常程序之中，很难被发现，而一旦病毒发作出来，往往已给计算机系统造成了不同程度的破坏。•随着病毒编写技巧的提高，病毒代码本身还进行加密和变形，使得对计算机病

毒的查找和分析更为困难，容易造成漏查或错杀。5.潜伏性•一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性愈好，其在系统中的存在时间就

会愈长，病毒的传染范围就会愈大。只有在满足其特定条件后才启动其表现模块，先是发作信息和进行系统破坏。其中一个例子就是臭名昭著的CIH病毒，它在平时会隐藏得很好，而只有在每月的26日发作时才会凶相毕露。

•使计算机病毒发作的触发条件主要有以下几种：(1)利用系统时钟提供的时间作为触发器，这种触发机制被大量病毒使用。(2)利用病毒体自带的计数器作为触发器。病毒利用计数器记录某种事件发生的次数，一旦计算器达到设定值，就执行破坏操

作。这些事件可以是计算机开机的次数；可以是病毒程序被运行的次数；还可以是从开机起被运行过的程序数量等。(3)利用计算机内执行的某些特定操作作为触发器。特定操作可以是用户按下某些特定键的组合，可以是执行的命令，也可以是对磁盘的

读写。被病毒使用的触发条件多种多样，而且往往是由多个条件的组合出发。大多数病毒的组合条件是基于时间的，再辅以读写盘操作，按键操作以及其他条件。6.不可预见性•不同种类病毒的代码千差万别，病毒的制作技术也在不断地提高，病毒比反病毒软件永远是超前的。新的操作

系统和应用系统的出现，软件技术不断地发展，也为计算机病毒提供了新的发展空间，对未来病毒的预测更加困难，这就要求人们不断提高对病毒的认识，增强防范意识。7.病毒的衍生性，持久性，欺骗性等7.2.2病毒与黑客软件的异同•计算机病毒与黑客软件相同

点是：都有隐蔽性、可立即执行性、潜伏性、可触发性、破坏性、非授权性、欺骗性、持久性。而不同点是病毒可以寄生在其他文件中，可以自我复制，可以感染其他文件，其目的是破坏文件或系统。对于黑客软件，它不能寄生，不可复制和感染文件，其目的是盗取密码和远程监控系统。7.2.3计算机病毒破坏行为•计算

机病毒的破坏性多种多样。若按破坏性粗略分类，可以分为良性病毒和恶性病毒。恶性病毒是指在代码中包含有损伤、破坏计算机系统的操作，在其传染和发作时会对系统直接造成严重损坏。它的损坏目的非常明确，如破坏计算机数据、删除文件、格式化磁盘、破坏主板等，因此恶性病毒非常危险。良性病

毒是指不包含立即直接破坏的代码，只是为了表示其存在或为了说明某些事件而存在，如只显示某些信息、播放一段音乐或没有任何破坏动作但不停地传播。但是这类病毒的潜在破坏还是有的，它使内存空间减少，占用磁盘空间，

降低系统运行效率，使某些程序不能运行，它还与操作系统和应用程序争抢CPU的控制权，严重时导致死机、网络瘫痪。•计算机病毒的破坏性表现为病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他的技术能力。数以万计、不断发展的病毒破坏行为千奇百怪，不可穷举。根据有关

病毒资料可以把病毒的破坏目标和攻击部位归纳如下：(1)病毒激发对计算机数据信息的直接破坏作用。大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件以及破坏COMS

设置等。(2)干扰系统运行，使运行速度下降。此类行为也是花样繁多，如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等。病毒激活时，系统时间延迟程序启动，在时钟

中纳入循环计数，迫使计算机空转，运行速度明显下降。(3)占有磁盘空间和对信息的破坏。(4)抢占系统资源。(5)干扰I/O设备，篡改预定设置以及扰乱运行。(6)网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。7

.2.4计算机病毒的结构•计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分及其他部分组成。(1)引导部分也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。(2)传染部

分作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要判断传染条件，如CIH病毒只针对Windows95/98操作系统，判断病毒是否已经感染过该目标等。(3)表现部分是病毒间差异最大的部分，前两部

分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。7.3病毒分类•据最新统计，目前已知的病毒数量已超过了50000种。并以每月800个新病毒的速度递增。按其攻击类型来分，其中

的大多数(74%)是寄生病毒(攻击可执行文件)，第二是宏病毒(19%)，7%是引导扇区病毒。•计算机病毒按照传染方式分为引导型、文件型和混合型等3种病毒。下面将详细介绍这3种病毒和Internet病毒。7.

3.1引导型病毒1.引导记录病毒•引导记录病毒攻击用于引导计算机的程序。在软盘上，一个引导记录病毒可以感染软盘引导记录程序。而在硬盘上，一个引导记录病毒可以感染活动分区引导记录或主引导记录的自举程序。•软盘中的第一个扇区，0磁道、0磁头、1扇

区，保留为引导记录使用，引导记录中包括自举例程，一种用于装入操作系统的机器语言程序。之所以成为自举程序是因为它让计算机通过自举读取并执行一个短程序——引导代码来装入它自己，接下来再装入操作系统的其余部分。•并不一定是可引导的磁盘才能传播引导记录病毒。所有软盘在格式化或硬

盘引导时病毒就会被激活。甚至计算机不能从感染的磁盘启动时(例如在软盘中不包含相应的DOS系统文件时)，它也要运行自举例程，这正是病毒激活所需要的机制。就像驻留程序一样，大多数引导记录病毒在内存中安装它自己，并且把它自己挂到计算机的BOIS和操作系统提供

的各种系统服务中。只要计算机是开着的，它在内存中就仍然是活动的，只要它们停留在内存中，就可以通过感染计算机访问的软盘来不断传播。•引导记录病毒在IBMPC病毒的总数中大约占5%，但是它们却在每年报告的实际最终用户感染中超过85%。2.软盘引导记录病毒•病毒程序经常把软盘引

导记录(FBR)作为攻击目标，一个重要的原因是用户经常错误地把软盘留在软驱中。这样一个看起来无关痛痒的错误实际上为软盘引导记录病毒提供了惟一的进入方式。如果在驱动器中有一片磁盘，计算机从这里被配置进行引

导，自举程序此时会执行。病毒通过用它自己的程序来代替原来的自举例程，同时病毒程序中也包括它自己的带病毒的自举例程，从而使得病毒能在其他程序运行前控制系统。然后病毒就可以感染硬盘了。•软盘引导记录在系统重置期间获取计算机的控制。在起动过

程中，大多数PC中的BIOS都要确定软驱中是否有软盘以及计算机是否可以从这个软盘中配置引导。如果BIOS在驱动器中找到软盘，它就认定用户想要从这个磁盘引导。在它定位磁盘之后，BIOS就会把软盘引导记录装入计算机内存中，并执行它的自举例程。•在一块感染的软盘中，BIOS

装入的引导记录是经过病毒感染的自举例程，而不是通常的操作系统自举例程。在引导期间，BIOS把对计算机的控制完全给与病毒程序而不是正常的自举程序。当控制程序传送给病毒之后，它就会得到对计算机上所有资源独有的访问权；如果在软盘中有操

作系统的话，就不会被装入，也不会防止病毒的行为。•大多数FBR病毒在引导过程中要在启动操作系统之前把自己作为内存驻留驱动器装入，通过这种方式，病毒就可以在计算机操作期间监视所有磁盘请求，并且任意感染其他软盘。•FBR病毒要完成其工作，就必须从软盘上得到原来的FBR，并且启动原来

的引导过程，好像没有病毒一样。这非常重要，因为病毒要想存活下去就不能进行破坏。如果FBR病毒把自己安装到内存中，感染了硬盘，并且导致软盘启动失败，它很快就会被检测清除。大多数病毒在软盘最后的某一个扇区维护原来FBR的一份拷贝。在病毒把它自己安装到内存之后，它就会把原来的FB

R装入内存，并执行原来的自举例程，然后自举例程正常的进行，完全意识不到病毒的存在。•大多数软盘包含数据，但是不带有DOS操作系统文件。在病毒把控制传送给原来的自举例程后，它会显示一个消息，如“Nonsystemdisk”。这时，一般用户就会认

为是其错误地使用了数据盘引导，然后从驱动器取出磁盘重新引导。这就是为什么大多数FBR病毒在引导期间感染硬盘的MBR或活动分区引导记录。这种感染确保即使软盘没有包含相应的操作系统文件，病毒仍然可以传播到硬盘并且感染其他磁盘。最后，一小部分FBR病毒能够维护他们的内存驻留状态，

即使在“热”重新启动(即按<Ctrl>+<Alt>+<Del>组合键)时也是如此。如果计算机是热启动的，而病毒仍然驻留在内存中，病毒仍然可以感染其他磁盘，即使它未感染硬盘。•当FBR病毒把它自己安装到内存中并把它自己指定为代理磁盘服务提供者之后，它

还有机会进行感染。此后在DOS或它的程序要访问软盘(或硬盘)时，操作系统就会调用病毒。•如果病毒不驻留在内存，仅访问一块被感染的软磁盘不会引起计算机被感染。除非用户从一块被感染的软盘引导，否则FBR病毒绝对不会执行。如果它不能执行，

它就不会感染硬盘和安装自己作为驻留的服务提供者。然而，如果计算机已经被感染而且病毒已经作为驻留的服务提供者安装，在病毒驻留时访问未感染的软盘肯定会使病毒传播到软盘上。•当用户或操作系统进行合法的磁盘请求时，几乎所有的FBR病毒都会感染磁盘。磁盘请求通常会引起驱动器旋转，并且会使驱动器的LED

等亮起来。只有当用户开始一些磁盘活动时，如文件和目录的复制，软盘才会旋转。如果病毒要在某个任意时间传播，用户可能会注意到某些活动(通过杂音和LED等)，并且怀疑某件事做错了。•只有当用户或操作系统请求磁盘活动时才感染新的软盘，这样做对病毒

是有利的，有几个原因是最重要的：如果用户或操作系统请求使用磁盘，可能驱动器中实际上就有一个软盘。其次，病毒可以在BIOS磁盘服务提供者为正常的磁盘请求提供服务前后立即暗中感染软盘引导记录。感染过程一般需要不到一秒钟。因为用户最可能请求磁盘活动，出现的驱动器旋转就有了合理的解释。通过这种方式，病

毒就会有效地传播到新的软盘而不会暴露它的存在。•在病毒要感染磁盘之前，它必须确定磁盘是否已经被感染。在大多数时候，病毒会把目标FBR装入内存并与它自己的内容进行比较。如果FBR病毒确定目标软盘没有被感染过，它就会进行感染过程。大多数FBR病毒要把原来的FBR保存到软盘中的另一个扇区，

这样如果用户要从这个磁盘引导，病毒就可以启动并驻留在内存中。•FBR病毒总是把原来的引导记录存储在软盘的一到两处位置上：可能在被感染软盘的最后或者在软盘存储根目录结构的扇区。如果不细心的话，可能会造成存储在这两个位置的原来的FBR数据丢失。一般的1.44MB3.5吋软盘在根目录中可以存放224

个文件。这个保留的目录空间需要14个存储扇区，其中大多数都没有使用，因为很少有软盘在根目录中存放224个文件。许多FBR病毒认为根目录的最后一个扇区没有使用，把原来的引导记录存放在这里。进而，如果用户把一些文件复制到该磁盘中，可能要使用覆盖的目录条目，从

而覆盖已保存的FBR。这样在以后用这个软盘引导就会失败。•大多数FBR病毒会把原来的引导记录存放在软盘的最后某一个扇区中，也假定这些扇区是未经使用的。如果一个病毒用原来的引导记录内容覆盖其中的一个扇区，它可能恢复该磁盘中现有的文件数据，从而引起数据损

坏。除此之外，许多病毒不会更新磁盘中的FAT以标识磁盘最后的扇区已被使用。如果一个用户要向这个软盘复制其他文件，原来的引导记录就会被这些文件覆盖，以后从这个软盘引导时就会失败。•当FBR病毒把一个被病毒感染的自举例程插入FBR，并且把原来的FBR的一份拷贝存储在磁盘

中的某个地方时，它能够覆盖一些数据。许多FBR病毒会覆盖根目录结构的最后一个扇区。如果这个扇区正在使用，存储在这个扇区的任何文件目录条目都会被损坏。幸而可以使用NortonDiskDoctor这类磁盘工具修复这种损坏。•其他引导病毒把原来FBR的一份拷贝存储在软盘的最后。如果软盘满了，病毒

就会覆盖某个文件使用的一个扇区，从而至少损坏512字节的数据。不幸的是，在病毒覆盖了软盘上某个文件使用的扇区后，使用传统的磁盘工具无法修复该扇区原来的内容。3.分区引导记录病毒(1)分区引导记录(PBR)•可以把一个物理硬盘划分成多个逻

辑硬盘，每一个逻辑硬盘中都包含它自己的操作系统。结果每一个逻辑硬盘都需要它自己的分区引导记录(PBR)，用以装入那个分区中特定的操作系统。PBR总是被存放在每个分区的第一个磁道、扇区和磁头。•PBR非常接近软盘上的FBR，像FBR一样，PBR有它自己的BIOS参数块，这个

参数块描述它的逻辑硬盘的重要属性。每个PBR还有它自己的自举例程，用于装入驻留在这个分区的操作系统。•在系统启动期间，主引导记录(MBR)的自举例程确定硬盘上哪一个分区是活动的。然后它通过读取这个分区的第一个扇区装入这个分区的PBR。如果这个PBR扇区包含一个有效的签字，MBR自举例程就会

把控制传送给PBR自举例程。PBR自举例程然后装入这个分区中操作系统的其余部分。•BIOS参数块是PBR中惟一必须保持不动的部分(不像PBR后边的签字)，这样DOS和其他程序就能够正确理解逻辑硬盘的布局。•PBR经常成为攻击的目标，因为在硬盘引导过程中，MBR自举例程总是装入并执行活

动分区的引导记录。如果一个病毒用它自己的PBR自举例程代替原来的PBR自举例程，可以肯定在硬盘引导期间它就会执行。(2)PBR病毒•几乎所有的软盘引导记录(FBR)病毒都会感染硬盘主引导记录(MBR)或硬盘的活动分区引导记录(PBR)。PBR病毒是

另一种形式的FBR病毒，它驻留在逻辑硬盘分区的引导记录中，而不是软盘的引导记录中。•像FBR病毒一样，PBR病毒也是一个程序，它驻留在PBR的自举区域。要想使这个病毒激活，PBR必须在引导过程中被装入并执行。很少有FBR病毒感染活动分区的PBR；大多数FBR病毒更愿意感染硬

盘的MBR。PBR病毒并不比MBR病毒更差，但是创建它更困难，这就是这种病毒存在很少的原因。另一方面FormPBR病毒是今天世界上最普遍的病毒之一。•PBR病毒不同于FBR病毒，当它执行时，它不会立即试图感染其他软盘。一般的FBR病毒在引导期间会感染硬盘，因为它要确保在将来从硬

盘引导时允许病毒执行，并且能够把它自己作为驻留驱动器安装。而PBR病毒没有这样的需求，因为它已经驻留在硬盘中；它使用硬盘引导过程只是为了把它自己作为驻留驱动器安装。•引导过程中当PBR病毒执行并把自己安装到内存后，它就会把原来PBR的一份拷贝装入内存，并且把控制传送给它的自举程序。这个自举程序然后

装入正常操作系统的其余部分，用户最后会接受一个C：提示符。•PBR病毒也像FBR病毒一样，一旦它把自己安装为内存驻留驱动器，所有磁盘系统服务请求都要发送到病毒的处理程序。然后病毒检查服务请求，如果它选择了这个服务请求，就会去感染被访问的磁盘。在病毒完成其破坏之后，它就会把请求重定向给原来的BIOS

服务器，这样就可以提供正常的服务了。•PBR病毒把它自己安装成为一个内存驻留的服务提供者。完成这个任务之后，任何时候当用户或操作系统要访问某个软盘时，病毒服务提供者就会被激活并控制计算机。在大多数情况下，病毒会等待对软驱的访问，因此在任何时候使用软盘时它都会感染软盘。•大多数PBR病毒

把原来的引导记录保存在被感染硬盘最后的某一个扇区中。因为几乎没有PBR病毒会去验证目标病毒扇区是否被使用，它们可能会无意地覆盖占据这个空间的某个文件的一部分。•PBR病毒还会引起其他问题。即是病毒碰巧用原来的PBR覆盖了硬盘最后的某

个未使用的扇区，用户以后仍然可以用它自己的数据覆盖已保存的引导记录。当用户用其他数据覆盖了保存的PBR后，原来的PBR就丢失了。以后从硬盘引导就会导致系统崩溃。这种崩溃是因为病毒装入了它错认为是原来PBR的数据，并且把控制传送给了他自认为的自举例程。如果PBR被覆盖，病毒

就会执行一堆垃圾机器代码，而不是原来的自举例程。•有些PBR病毒会防止出现前面提到的情况。例如，它们可能会减少最后一个分区的大小把最后一个扇区留给自己使用，并且把原来的PBR记录保存在这里。这样，用户就不会覆盖原来的PBR分区记录了。(3)分区引导记录病毒的例子•Fo

rm病毒是一种内存驻留的引导记录感染病毒。它既不感染文件，也不像许多其他引导记录病毒一样，它感染活动分区的分区引导记录，而不是硬盘上的主引导区记录。•当计算机从感染的软盘或硬盘引导时，Form就驻留到内存中。当病毒驻留后，它会去感染访问的所有非写保护磁盘。Form占据系统

内存顶端的2KB，并且在BDA的TotalmemoryinKbytes域增加2KB来扩大系统内存大小，从而为它自己保留空间。病毒截取BIOS磁盘系统服务提供者以感染其他媒体。•在病毒安装到内存后，它检查系统的日期，而且如果是这个月的18日，就会截取键盘系统服务提

供者。然后每次用户按下一个键时，病毒就使PC扬声器发出一个“单击”声。如果键盘驱动程序直接安装到计算机上，这种单击声可能不会出现，但是病毒仍然会适当传染。•病毒把原来的引导记录和它的部分可执行代码存放到硬盘的最后一个扇区或者软盘中标记为损坏的簇。•Form中包

括以下文本：TheFORMVirussendsgreetingtoeveryonewho’sreadingthistext.FORMdoesn’tdestroydata!Don’tpanic!F*****SgotoCorinne.•除了可能覆盖原来的引导扇区之外，Form一般

不会损坏文件和数据。4.主引导记录病毒(1)硬盘主引导区记录•可以把一个物理的硬盘划分成多个不同的逻辑盘，而且还可以为了组织数据的需要把一块盘分成多个分区。例如，可以用一个分区存储不同的操作系统或者在一个分区存储字处理文件，而在另一个分区存储程序，再用一个分区存储游戏。•主引导区记录(MBR)是

存储于硬盘的第一个磁道、扇区、磁头的一个结构，每个物理硬盘都包含正好一个MBR。MBR中包含一个分区表，它代表所有扇区及其各自分区的分配。程序需要用硬盘上的分区表(就像它们需要软盘上的BIOS参数一样)理解磁盘的特征。例如，硬盘上存在多少个分区(即逻辑盘)。•MBR还包含一个以硬盘启动

时所使用的自举程序。MBR的自举例程类似于软盘的自举例程，它负责装入默认的操作系统，并且把计算机引导到可用状态。•硬盘的MBR成为攻击目标有两个原因。首先，在所有PC硬盘的同一个物理位置上只包含一个硬盘主引导区记录。因此，病毒编写者可以方便地编写出几乎能够在市场任何PC上起作用的病毒。

其次，当计算机从硬盘引导时，MBR中的自举例程总是要装入执行的。如果病毒用它自己的MBR自举例程代替原来的MBR自举例程，在每次系统引导时它都会执行。在系统引导期间，在任何基于软件的反病毒程序有机会装入并保护系统之

前，病毒会完全控制计算机。(2)主引导记录区病毒•绝大多数软盘引导区记录(FBR)病毒感染硬盘的主引导区记录(MBR)。实质上MBR病毒是另一种形式的FBR病毒，它驻留在硬盘的主引导区记录中而不是软盘的引导区记录中。就像FBR和PBR病毒

一样，在MBR病毒被激活以前，它要在引导时被装入并执行。•主引导区记录病毒比分区引导记录病毒更普遍。在PBR病毒感染前，它必须查找分区表找到活动分区，然后确定活动分区的引导扇区，并且感染引导扇区。MBR病毒的感染过程没有这么复杂。•在硬盘引导期间，ROMBIOS引导程序从连接到计算机的基本硬盘中装

入MBR。它然后验证MBR在扇区的最后是否有正确的特征标记，如果是这样的话，它就把控制传送给MBR的自举程序。•在一个已感染的MBR中，病毒感染的自举例程会代替原来的自举例程。在ROMBIOS引导程序把控制传送给MBR自举程序的时候，病毒就得到了控制权。一般的MBR病毒把它自己

安装为内存驻留服务提供者，就像FBR和PBR病毒一样。•大多数MBR病毒在带毒的自举例程中维护原来分区表的一份准确拷贝，因为DOS和许多应用程序需要这一信息来确定计算机上可用的逻辑盘。然而有些病毒可能不会在MBR中维护一份有效的分区表。任何时候当DOS和其他程序请求硬盘的M

BR时，这种类型病毒安装的驻留内存的服务提供者就会隐藏感染，并且用原来有效的MBR和分区表的拷贝提供给请求的程序。•一般的MBR病毒就像FBR和PBR病毒感染一样，也需要把原来MBR的一份拷贝保存到硬

盘的某个地方。以后，在计算机从已感染的硬盘引导并且病毒把它自己安装为驻留的服务提供者之后，病毒就要装入原来的MBR并把控制传送给这个MBR的自举例程。原来MBR的自举例程然后能够装入活动分区的PBR，会进行正

常引导。•有些病毒不会在磁盘的某个地方保存原来的MBR；在这种情况下，病毒会包含与原来的MBR相同的自举功能。病毒完全凭自己把活动分区的PBR装入，并把控制传送给该PBR，完全越过了原来MBR的自举程序。•用于大多数硬盘的磁盘分区软件(FDISK)在硬盘MBR之后会留下一个磁道的

未用扇区。一般的MBR选择其中的一个扇区存放原来的MBR，因为这些扇区在大多数系统中是不使用的。•通常，一个种类的病毒会把原来的MBR存放在这一区域的同一位置。相应的病毒程序总是可以从这一区域的同一个扇区存放和取得MBR。•MBR病毒以与FBR和PB

R病毒同样的方式把自己安装成一个内存驻留的服务提供者。作为磁盘服务提供者，任何时候当用户或操作系统要访问某个磁盘时，病毒就能够控制计算机。在最普遍的情况下，病毒会等待对软盘的访问，并且在对软盘进行其他合法访问时它就要感染软盘。•MBR病毒把原来的

主引导记录存放在硬盘第一个磁道的某个地方，因为病毒没有检查就假设这部分空间可以用于它自己的目标。不幸的是，并不总是这种情况。许多不同的磁盘管理和访问控制包都把它们自己的自举程序和数据存放在这一区域。如果病毒盲目地把原来MBR的一份拷贝保存到这里，它就可能会覆盖磁盘驱动器，

在以后的引导中引起系统崩溃。•如果用户从一块未感染的软盘引导并且要访问硬盘，这样做就不可能成功。病毒无法隐藏对分区表的修改，因为它没有驻留在内存中。如果感染的MBR不包含相应的分区表，DOS就会拒绝它访问硬盘。(3)M

BR病毒的例子•NYB也称为B1病毒，是一种简单的内存驻留的采用Stealthing技术的引导区记录病毒。它不会感染文件。当用户从感染的软盘引导时它就会感染硬盘主引导区记录。当计算机从硬盘或感染的软盘引导时病毒就会驻留到内存

中。•当病毒驻留在内存中时，它就会感染计算机访问的任何非写保护磁盘。NYB通过减少在BDA的TotalmemoryinKbytes域制定的系统内存量在高端内存中保留1KB的空间。感染的硬盘把原来的MBR存放在0磁道、0磁头、17扇区。确定原来引导记录存放在软盘中的位置要使用一种复杂的算法。下面列出

这种算法的结果。病毒截取BIOS磁盘系统服务提供者以便感染其他媒体，并且通过重定向磁盘读取隐藏和隐蔽它自己。•这种病毒不会以任何方式激活，但是它有时完成一系列随机读取。这种病毒能够通过随机读、写以及用原来的引导扇区/分区表覆盖破坏数据。•NYB病毒不像For

m病毒，它不会在计算机屏幕上显示文本信息。•综上所述，引导型病毒具有隐蔽性强、兼容性强等优点，作为一个成熟的病毒程序是不容易被发现的，其通用于DOS、Windows95操作系统。但它的缺点也很多，如传染速度慢，一定要有带毒软盘启动才能

传到硬盘；杀毒容易，只需改写引导区即可，如使用命令：fdisk/mbr或kv3000/k。KV3000能查出所有引导型病毒，主板能对引导区写保护，所以现在单纯的引导型病毒已经很少了。7.3.2文件型病毒•文件型病毒使用可执行文件作为传播的媒介。它们使

用DOS中3种基本的可执行文件格式：COM文件、EXE文件和SYS文件中的一种或多种格式作为攻击目标。•这种基本文件病毒通过把它自己的一份拷贝附加到一种未感染的可执行程序中，从而进行复制。然后它修改这种新的宿主程序，以便当程序执行时病毒能够首先

执行。•大多数文件病毒都很容易为反病毒程序检测和清除。首先，除了一部分例外，大多数文件病毒都在或接近可执行文件的入口点处感染。入口点是文件中操作系统开始执行程序的地方。感染入口点能够保证当程序执行时病毒能够控制计算机

。•不感染可执行程序入口点的病毒不能保证获得对计算机的控制。病毒可能把它自己插入程序的数据部分，从而到程序结束也不会执行，这种病毒会破坏或改变宿主程序的行为。这些和其他感染程序中任意位置的问题不会吸引病毒编写者的

兴趣。•只有用户或操作系统执行被这种病毒感染的文件时它才能控制计算机。也就是说，只要被感染的文件不执行，它们是无害的。它们可以被复制、查看和删除而不会引起问题。•病毒可以根据可执行文件类型(COM、EXE或SYS)选择程序文件的感染方法。下面描述了几种一般程序文件感染技术。(

1)COM文件的感染•COM文件格式是DOS可执行文件格式中最简单的一种：COM文件的装入过程也是最简单的：DOS直接把程序读入内存，然后跳到程序映射中的第一条指令(第一个字节)。当进行这个动作时，这个程序就完全控

制了计算机，直到它最后终止时把控制返回给DOS。(2)前置型COM病毒•文件型病毒通过在可执行文件映射的前部指令来感染COM文件。病毒能够保证它至少能以4种不同的方式获得控制，因为COM文件的执行必须从可

执行文件映射的第一个字节开始。首先一种，病毒可以把它自己插入COM文件的前部，把原来的程序•移到病毒代码的后面。整个病毒就被放到可执行文件映射的前部，当程序装入时它就会首先执行。这种感染方法称为前置，因为病毒把它

自己放到宿主COM程序的开始处，如图7.1所示。图7.1•病毒可以在COM文件的可执行文件映射前不修改机器语言程序以便把控制传送给病毒，这样病毒就可以放到可执行文件的其他地方。病毒经常把它自己附加到被感

染程序的最后，而只修改可执行文件映射到前面的几条指令，这样就可以把控制传送给病毒代码。•在病毒改变程序的前几条指令前，它必须记录宿主程序的原来入口指令，这样它完成后就可以修复宿主程序。如果不保存这些指令的话，当病毒把控制传送给宿主程序时，

PC很可能会崩溃和工作不正常，从而破坏病毒隐藏的企图。这种感染方法称为后置，因为病毒把它的代码放到宿主程序的最后，如图7.2所示。图7.2(4)覆盖型COM病毒•用于感染COM文件的第3种技术称为覆盖。使用这种技术编写的病毒通常编写得非常野蛮。它们用病毒代码完全覆

盖宿主程序的开始部分来感染COM程序，如图7.3所示，它们不会保存宿主程序中被覆盖字节的拷贝。结果，病毒执行后原来的程序不能工作。如果一个计算机被这种类型病毒感染，修复被感染文件惟一的办法是使用感染前的备份来恢

复。•覆盖型病毒感染程序文件之后，程序可能会崩溃，也可能显示一则假的出错信息，如没有足够内存执行程序。显示这样的出错信息是为了让用户相信PC有内存管理问题而不是存在病毒。(5)改进的覆盖型COM病毒•用于感染COM程序

的最后一种方法称为改进的覆盖。假定病毒是V字节长，病毒会首先读取宿主程序的前V个字节，然后把这一信息附加到宿主程序的最后。接下来病毒使用自己的V字节代码覆盖COM程序的前部，如图7.4所示。在病毒完成其执行后会修复宿主程序并

使之正常执行，因为未感染的宿主程序的信息已被保存。•在这些方法中每一个都会在COM文件的入口点修改机器语言指令，以保证被感染的程序一经装入执行就使病毒获得对计算机的控制。它还意味着如果COM文件感染了病毒，病毒扫描程序只能扫描到它的有限部分(病毒扫描机制在“计

算机网络病毒的防范”部分详细介绍)。图7.3图7.4(6)EXE文件的感染•尽管病毒使用多种方法感染COM文件，感染EXE格式文件只有一种方法。EXE文件有一个入口点变量，它通过程序头标的代码段(CS)和指令指针(

IP)标识，如图7.5所示。在EXE感染最一般的形式中，病毒完成以下操作序列。①在宿主程序中记录宿主程序自己的原来入口点，这样它以后就可以正常执行宿主程序。②把它自己的一份拷贝附加到宿主程序的最后。③在EXE文件的头标改变入口点(使用CS和IP域)以指向病毒代码。④在头标中改变其他域，包括程序的装

入映射大小域以反映病毒的存在。•注意映射大小如何被增加了病毒的大小V。还要注意CS和IP域指针现在指向病毒而不是指向原来的程序。•这种感染方法保证一旦可执行文件映射装入内存并执行，病毒就能得到控制。就像COM文件一样，它也使得病毒的扫描更加方便。反病毒程序

也可以方便地确定EXE文件的入口点，这样就限制了扫描病毒的时间域范围。图7.5(7)SYS文件感染•SYS文件格式很独特，它有两个入口点：Interrupt和Strategy。当操作系统在引导期间装入文件时,这两个入口点都独立地执行。当用户装入感染的SYS文件时，病毒可

以感染每一个入口点来控制计算机，如图7.6所示。这两个入口点都在设备驱动器文件的头标中标识，因此SYS文件的感染过程类似于EXE文件的感染过程。图7.6•设备驱动器感染病毒要完成以下动作序列：①选择它要修改的程序入口点：Strategy、Interrupt或者两者都有。②在宿主程序中记录宿主

程序自己原来的入口点。这样，它以后就可以执行原来的Strategy或Interrupt例程。③把它自己的一份拷贝附加到宿主程序的最后。④在SYS头标中改变这两个入口点中的一个或两个，使之指向病毒代码。•简单一点说，当用户或操作系统执行被感染的程序时，SYS文件感染病

毒就得到了计算机的控制。在大多数情况下，病毒会修改宿主程序，以便当程序执行时它能立即得到控制。•当用户执行一个被感染的程序时，DOS会把整个程序装入内存，病毒也包括在内，并且从入口点开始执行程序。在被感染的文件中，病毒会修改入口点的位置或入口点的机器代码以便病毒首先执行。•在病毒的机器代码开始执

行后，它立即开始寻找并感染计算机中其他可执行程序或者它把自己建立为操作系统中的内存驻留的服务提供者。作为一个服务提供者，当操作系统或其程序由于某些原因执行、复制和访问它们时，病毒就会感染这些可执行文件。•文件感染病毒分为直接操作和内存驻

留文件感染病毒两种。被感染的文件已执行，直接操作文件感染病毒就会感染目录上或硬盘上某个地方的其他程序文件。•内存驻留文件感染病毒使用类似于引导感染病毒使用的方法把自己装入计算机内存中。首先，这个病毒要检查它是否已经作为系统服务提供者把它自己插入到内存中了。

用户可能有许多已感染的程序，每一个程序都为病毒提供了不同的机会，使得病毒在计算机会话期间把自己装入内存中(引导记录病毒不关心这个问题，因为它们只在系统引导期间安装一次。病毒不会故意地多次把自己插入内存中作为服务提供者)。•如果病毒确定了计算机内存中没有它自己的拷贝，它

就会把自己安装为驻留的服务提供者。•一旦一个已感染的程序和写入这个程序的病毒启动执行，直接操作文件感染病毒就会感染其他可执行程序。当病毒完成感染其他可执行程序后，它就会把控制传送给宿主程序，并允许宿主程序执行。除了覆盖型病毒以外的所有病毒都是这样，覆盖型病毒

在感染期间会破坏宿主程序。•用户可能会注意到启动被感染的程序时会增加的磁盘活动，因为被感染的程序一启动直接操作病毒就必须搜索磁盘找到其他要感染的程序。•用户也可能注意到程序装入和执行时比以前花费的时间更长了。随着更多

的文件被感染，病毒必须搜索越来越多的硬盘(或软盘)以找到要感染的新文件。这有时可能要花几分钟，明显表示出了问题。•DOS提供了系统服务，以便系统且有效地遍历硬盘上的许多项目和目录。直接操作病毒使用与文

件查找程序定位特定文本串相同的方式并利用这些服务定位要感染的新文件。•有些直接操作病毒只在当前目录下搜索要感染的新文件，其他直接操作病毒可能要感染硬盘或DOS路径下的每一个文件。•考虑一个简单的直接操作病毒，它感染硬盘中当前目录下的文件。如果当前目录是C：\DOS而用户执行C:\D

OS\FORMAT.COM程序(一分感染病毒的拷贝)来格式化软盘，直接操作病毒立即会得到控制。直接操作病毒系统将检查C:\DOS目录下的每一个文件，为了确定目标文件是否已被感染，它可以使用许多不同的技术进行确

定。例如，任何时候当直接操作病毒感染了一个新程序，它就会把这个程序的日期和时间戳改为一个特定的日期和时间。当病毒以后启动并找到有这种日期和时间特性的程序时，它就会越过这个程序，认为这个程序已经被感染。•使用这种技术，病毒可能会无意地跳过

一些未被感染的程序，这些程序碰巧有这个特殊的日期时间设置。然而，即使程序只感染了被找到程序的10%，它仍然可以对用户和存储在PC中的数据构成一种威胁。•其他文件病毒会检查它们遇到的每一个可执行程序的内容。病毒通过在程序中查找它自己设置的记号，来识别它是否已经感染过该目标程序了。同

样，病毒可能同样会无意跳过一些未感染的程序，而它错误地认为已经感染了这个程序。另一方面，病毒不需要百分之百地感染磁盘中的程序。•直接操作病毒还必须确定它所定位的当前文件是否属于要感染的类型。许多病毒只感染COM文件或EXE文件，但是不会两者都感染。如果一个直接操作COM感染病毒要感

染EXE程序，它很可能使这个程序崩溃。•在病毒确定它已经找到了一个类型正确的未被感染的程序之后，它就开始进行感染。大多数感染EXE程序的病毒使用“EXE文件感染”部分描述的“后置”技术。大多数感染COM文件的病毒要么使用前置方法，要么使用后置方法。•病毒

感染了目标文件之后，它就把控制传送给宿主程序；然而，一些直接操作病毒一次感染多个程序。有时这种病毒要感染当前目录下或硬盘中的每个程序。•直接操作病毒执行后，它会有效地把自己从内存中清除。因此，如果用户在执行完感染的程序后再执行任何未感染的程序

，这些程序不会被感染。•内存驻留文件病毒的工作方式类似于相应的引导记录病毒。当一个被感染的程序启动时，病毒会把它自己安装成操作系统中的内存驻留服务提供者。从这时开始，任何时候当DOS或其他程序要读、写、执行或访问一个程序时，病毒就会控制计算机。•然后，当

用户引用程序文件时病毒就会感染它们。例如，每次用户执行一个程序时，就会向DOS发出一个系统服务请求，要求把程序装入内存执行。如果病毒者实时内存驻留的，它就会在这个DOS请求时得到控制。在病毒了解了服务请求后，它就会感染这个程序，并把原来的请求传递给DOS。然后DOS就会正常运行这个(新感染

)程序。•驻留文件病毒使用与直接操作病毒同样的技术确定目标文件是否已经感染。如果任何一个程序向病毒发出一个DOS服务请求，那么用户以任何方式执行或引用的这个程序都会被感染。然而，大多数驻留文件病毒只有在程序执行时才会感

染它。•当文件打开时，感染它的内存驻留文件病毒称为快速感染病毒。任何时候当一个文件被复制或访问时，病毒都会去感染它。考虑一下如果一个用户使用标准的DOS反病毒扫描程序扫描硬盘中的文件时会发生什么？要扫描一种已知的病毒，反病毒扫描程序必须

在计算机上打开每一个可执行程序并检查其内容。每次当反病毒程序打开一个新的程序文件时，它就会发出一个DOS“Openfile(打开文件)”服务请求，这就会触发病毒，并感染就要被扫描的程序。扫描带有病毒驻留的驱动

器会无意感染计算机中的每一个可执行文件。由于这个原因，内存扫描技术是完全的反病毒解决方案中最为关键的部分。7.3.3混合型病毒•所谓混合型病毒，即既能感染引导区，也能感染文件的病毒。但并非将文件型病毒和引导型病毒简单的叠加在一起，其中有一个转换过程，这是最

关键的。一般采取以下方法：在文件中的病毒执行时将病毒插入引导区，这是很容易理解的。染毒硬盘启DOS并未加载，无法修改INT21中断，也就无法感染文件，可以用这样的办法，修改INT8中断，保存INT21中断目前的地址，用INT8中断服务程序监测INT21中断的地址是否改变，若改变则说

明DOS已加载，则可修改INT21中断指向病毒感染段。以上是混合型病毒关键之处。7.3.4Internet病毒•有关病毒和计算机网络的好消息是网络可以成为计算机病毒半渗透的障碍。一些最普遍的工作站病毒完全无法通过任何类型的网络！然而

，不同的网络类型会受到不同类型病毒的感染。•在Internet上的文件病毒可以毫无困难地发送。然而可执行文件病毒却不能通过Internet在远程站点感染文件。由于连接到Internet上的一台计算机不能在另一台连接到Inte

rnet的计算机上完成扇区级操作，所以引导型的病毒无法通过Internet传播。•另外，被宏病毒感染的文档可以很容易地通过Internet以几种不同的方式发送，如电子邮件、FTP或Web浏览器。宏病毒也像文件病毒一样，无法通过Internet感染远程站点

上的文件。Internet只能作为被感染的数据文件载体。7.4计算机网络病毒的发展•自80年代以来，微型计算机已在我国社会生活的各方面获得了广泛的普及与应用。微型计算机已成为教学和科研工作中不可缺少的重要工具。但是，从19

88年以来，计算机病毒也开始在我国出现并迅速泛滥，这对数据的安全造成了极大地威胁，也妨碍了机器的正常运行。到了90年代，随着我国各类计算机网络的逐步建立与普及应用，如何防止病毒侵入网络以及如何保证网络的安全运行已成为人们面临的一个重要而紧迫的问题

，计算机网络的防病毒与反病毒技术已成为计算机操作人员与网络工作人员必须了解与掌握的一项技术。•入侵计算机网络的病毒类形式多样的，既有单用户微型机上常见的某些计算机病毒，如感染磁盘系统区的引导型病毒和感染可执行文

件的文件型病毒，也有专门攻击计算机网络的网络型病毒，如特洛伊木马病毒及蠕虫病毒。•在现阶段，由于计算机网络系统的各个组成部分、接口以及各连接层次的相互转换环节都不同程度的存在着某些漏洞和薄弱环节，而网络软件方面的保护

机制，通过感染网络服务器，进而在网络上快速蔓延，并影响到各网络用户的数据安全以及机器的正常运行。所以计算机网络一旦染上病毒，其影响要远比单机染毒更大，破坏性也更大，计算机网络必须要具备防范网络病毒破坏的功能。•对于基于DOS的计算机病毒，网络可以分为以下3种类型：(

1)基于文件服务器的局域网，用户可以把数据存储到一个或多个中央文件服务器，也可以从中取得数据。(2)端到端网络，这里每一台工作站都可以既作为服务器又作为客户机。在Windows95中默认情况下可以使用这种网络模型。(3)对于信息高速公路网络(意即Internet)，数据从网络中流过，但

是不存放在网络中，网络的主要作用是作为数据导管。•传统型病毒的一个特点就是一定有一个“寄主”程序，病毒就隐藏在这些程序里。最常见的就是一些可执行文件，像扩展名为.exe及.com的文件。但是，由于微软的Word愈来愈流行，且Word

所提供的宏命令功能又很强，使用Word宏命令写出来的病毒也愈来愈多，于是就出现了以.doc文件为“寄主”的宏病毒。•另外，不需要寄主的病毒也出现了，它们就寄生在Internet上。•如果Internet上的网页只是单纯用HTML写成的话，那么要传播病毒的机会可以说是非常小的。但是，为了让

网页看起来更生动、更漂亮，许多语言也纷纷出笼，其中最有名的就数Java和ActiveX了。从而，它们就成为新一代病毒的温床。Java和ActiveX的执行方式，是把程序码写在网页上。当与这个网站连接时，浏览器就把这些程序码读下来，然后用使用者自己系统里的资源去执行它

。这样，使用者就会在神不知鬼不觉的状态下，执行了一些来路不明的程序。•对于传统病毒来讲，病毒是寄生在“可执行的”程序代码中的。新的病毒的机理告诉我们，病毒本身是能执行的一段代码，但它们可以寄生在非系统可执行文档里。只是这

些文档被一些应用软件所执行。•在德国汉堡一个名为ChaosComputer的俱乐部，其中某俱乐部成员完成了一种新型态的病毒——这种病毒可以找出Internet用户的私人银行资料，还可以进入银行系统将资金转出

，不需要个人身份证明，也不需要转账密码。当使用者在浏览全球网站时，这个病毒会自动经由ActiveX控制载入。ActiveX控制可搜寻使用者计算机的硬盘，来寻找IntuitQuicken这个已有全球超过九百万使用者的知名个人理财软件。一旦发现Quicken的档案，这个

病毒就会下转账指令。7.5计算机网络病毒的检测、清除与防范7.5.1计算机网络病毒的检测•当一台计算机染上病毒之后，会有许多明显或不明显的特征。例如，文件的长度和日期忽然改变，系统执行速度下降或出现一些奇怪的信息或无故死机或更为严重的是硬盘已经被格式化了。•常用的防毒软件

是如何去发现它们的呢？就是利用所谓的病毒码(viruspattern)。病毒码其实可以想象成是犯人的指纹，当防毒软件公司收集到一个新的病毒时，就会从这个病毒程序中，截取一小段独一无二足以表示这个病毒的二进制程序码(b

inarycode)，来当做扫毒程序辨认此病毒的依据,而这段独一无二的二进制程序码就是所谓的病毒码。•在电脑中所有可以执行的程序(如*.EXE,*.COM)几乎都是由二进制程序码所组成的,也就是电脑的最基本语言——机器码。就连宏病毒在内，虽然它只是包含在Word文件中的宏命令集中，可是，

它也是以二进制代码的方式存在于Word文件中。•反病毒软件常用以下6种技术来查找病毒。(1)病毒码扫描法•将新发现的病毒加以分析后，根据其特征，编成病毒码，加入资料库中。以后每当执行扫毒程序时，便能立刻扫描目标文件，并作

病毒码比对，即能侦测到是否有病毒。病毒码扫描法又快又有效率(例如趋势科技的PCcillin及ServerProtect，利用深层扫描技术，在即时扫描各个或大或小的文件时，平均只需1/20s的时间)，大多数防毒软件均采用

这种方式，但其缺点是无法侦测到未知的新病毒及以变种病毒。(2)加总比对法(check-sum)•根据每个程序的文件名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面或是将所有检查码放在同一个资料库中，再利用此Checks

um系统，追踪并记录每个程序的检查码是否遭到更改，以判断是否中毒。这种技术可侦测到各式的病毒，但最大的缺点就是误判较高，且无法确认是哪种病毒感染的。(3)人工智能陷阱•人工智能陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有任何不当的行为，系统就会有所

警觉，并告知使用。这种技术的优点是执行速度快、手续简便，且可以侦测到各式病毒；其缺点就是程序设计难，且不容易考虑周全。不过在这千变万化的病毒世界中，人工智能陷阱扫描技术是一个至少具有保全功能的新观点。(4)软件模拟扫描法•软件模拟扫描技术专门用来对付千面人病毒(polymo

rphic/mutationvirus)。千面人病毒在每次传染时，都以不同的随机乱数加密于每个中毒的文件中，传统病毒码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行，在其设计的DOS虚拟机器(virtualmachine)下假执行病毒的变体引擎解码程序，安全并确实地将多型体

病毒解开，使其显露原本的面目，再加以扫描。(5)VICE(virusinstructioncodeemulation)——先知扫描法•VICE先知扫描技术是继软件模拟后的一大技术上突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机器，模拟CPU动作并假执行程序以解开变体引擎病毒

，那么应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此,VICE将工程师用来判断程序是否有病毒码存在的方法，分析归纳成专家系统知识库，再利用软件工程模拟技术(softwareemulation)假执行新的病毒，则可分

析出新的病毒码以对付以后的病毒。•(6)实时I/O扫描(realtimeI/Oscan)•RealtimeI/OScan的目的在于即时地对数据的输入/输出动作做病毒码比对的动作，希望能够在病毒尚未被执

行之前，就能够防堵下来。理论上，这样的实时扫描技术会影响到数据的输入输出速度。但是使用实时扫描技术，文件传送进来之后，就等于扫过一次毒了。7.5.2计算机网络病毒的防范•防范网络病毒的过程实际上就是技术

对抗的过程，反病毒技术相应也得适应病毒繁衍和传播方式的发展而不断调整。网络防病毒应该利用网络的优势，使网络防病毒逐渐成为网络安全体系的一部分；重在防，从防病毒、防黑客和灾难恢复等几个方面综合考虑,形成一整套

安全机制,才可最有效地保障整个网络的安全。•今天的网络防病毒解决方案主要从下列几个方面着手进行病毒防治。(1)以网为本，防重于治。•防治病毒应该从网络整体考虑，从方便减少管理人员的工作着手，透过网络管理PC机。例如，利用网络唤醒功能，在夜间对全网的PC机进行扫描，检查病毒情况

；利用在线报警功能，当网络上每一台机器出现故障、病毒侵入时，网络管理人员都会知道，从而从管理中心处予以解决。(2)与网络管理集成。•网络防病毒最大的优势在于网络的管理功能，如果没有把网络管理加上，很难完成网络防毒的任务。管理与防范相结合，才能保证系统的良好运

行。管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的接驳等。(3)安全体系的一部分。•计算机网络的安全威胁主要来自计算机病毒、黑客攻击和拒绝服务攻击等3个方面，因而计算机的安全体系也应从这几个方

面综合考虑，形成一整套的安全机制。防病毒软件、防火墙产品、可调整参数、能够相互通信，形成一整套的解决方案。才是最有效的网络安全手段。(4)多层防御。•多层防御体系将病毒检测、多层数据保护和集中式管理功能集

成起来，提供了全面的病毒防护功能，从而保证了“治疗”病毒的效果。病毒检测一直是病毒防护的支柱，多层次防御软件使用了3层保护功能：实时扫描、完整性保护、完整性检验。•后台实时扫描驱动器能对未知的病毒包括异形病毒和秘密病毒进行连续的检测。它能对E-mail附加部分，下载的In

ternet文件(包括压缩文件)软盘及正在打开的文件进行实时的扫描检验。扫描驱动器能阻止已被感染过的文件拷贝到服务器或工作站上。•完整性保护可阻止病毒从一个受感染的工作站扩散到服务器。完整性保护不只是病毒检测，实际上它能制止病毒以可执行文件的方式感染和传播。完整性保护还可防止与未

知病毒感染有关的文件崩溃和根除。•完整性检验使系统无需冗余的扫描并且能提高实时检验的性能。•集中式管理是网络病毒防护最可靠、最经济的方法。多层次防御病毒软件把病毒检测、多层数据保护和集中式管理的功能集成在同一产品内，因而极大

地减轻了反病毒管理的负担，而且提供了全面的病毒防护功能。(5)在网关、服务器上防御。•大量的病毒针对网上资源的应用程序进行攻击，这样的病毒存在于信息共享的网络介质上，因而要在网关上设防，网络前端实时杀毒。防范手段应集中在网络整体上，在个人计算机的硬件和软件、LAN服务器、服务器

上的网关、Internet及Intranet的WebSite上，层层设防，对每种病毒都实行隔离、过滤。7.5.3病毒防治新产品•病毒的发展促进了反病毒技术的发展，反病毒产品也得到了相应的发展，涌现出了许多既适合单机，也适合于局域网、广域网的全方位防杀病毒的新产品。例如，防火墙技术与

病毒防治技术的结合，就是一个新型的有效的抗网络病毒方案。•下面介绍一些现有的防病毒新产品：(1)KILL98:冠群金辰公司产品•最大特色是采用CA独有的主动内核技术(ActiveK)的反病毒技术，直接在操作系统内核中加入反病毒功能。不仅可以在病毒入侵的瞬间做出反应，还

可将企图入侵系统的病毒拦截在系统之外并清除，给用户带来了很大的主动性。KILL98能够集中修改、更新、管理活动日志报告。这种支持NetWare目录服务(NDS)集成的功能，大大简化了保护网络免受病毒困扰的工作。此外，它还具备实时病毒检测、压缩文件自动扫描、关键磁盘保护、灾

难恢复等多项功能。•最新版本的KILL能够探测到所有流行病毒并有效保护计算机及网络免受潜在病毒的攻击，并避免引发巨大的经济损失。KILL的核心由完备而卓有成效的病毒扫描引擎构成，其独特之处包括：实时修复、统一管理、防火墙、病毒隔离、无人值守自动升级病毒特

征库、广泛的预警选项与群件防护等。KILL总是在独立实验室的对比测试中胜出对手，一系列的测试表明KILL能够提供有效的主动防护，可有效避免各种类型病毒的攻击。(2)McAfeeTVD：网络联盟公司(NAI)产品•NAI提供

了3套解决方案：VSS是一个高级桌面反病毒解决方案，可杀灭1500种病毒，其WebScanX功能可以防止用户在Internet下载时，一些恶意Java和ActiveX小程序对台式机造成的破坏；NSS可以提供对企业基于WindowsN

T、Netware、UNIX的文件服务器与应用程序服务器以及Exchange与LotusNotes群件服务器，HTTP/FTP代理服务器的病毒保护。(3)NortonAntiVirus：Symantec公司产品•它的最大特点是智能化，

其防毒体系由桌面、服务器、Internet网关以及病毒防火墙构成，能杀灭15600多种病毒。在WindowsNT环境下，如果不激活最新的防病毒软件，它不允许任何工作站访问网络，并能够自动把最新版本的病毒定义无缝的分布到网络中的每一台设备上。而当网络中任何

一台工作站或服务器发现病毒时，它都会自动通知网络管理员。此外它还可防范电子邮件及其附件病毒。(4)LANDeskVirusProtect:Intel公司产品•最大特色是运用多层次防病毒技术并能集中管理反病毒解决方案，能在Netware、

WindowsNT两种网络的客户机和服务器上监测和防止数据丢失。在操作系统变迁期间或是存在多个NOS的网络域上，客户不需要购买新的或额外的病毒防护产品。(5)瑞星杀毒毒软件9.0版：瑞星公司产品•最大特色是

单机版与网络版合二为一，极好地解决了杀毒软件既可在单机上使用，又能适应网络化需要的技术难题。(6)KasperskyAntiVirus(AVP)：Kasperskylab公司产品•这是Kasperskylab公司针对Linux操作系统而开发的KasperskyAntiVirus(AVP)

的新版本。其最新版本所具有的独特功能使程序简单易操作，而且它是全球首个将防病毒程序与E-mail网关Sendmail和Qmail整合为一体的防病毒解决方案。这个新版本分为工作站版和服务器版两款产品。这个新版本还提供了为E-mail网关程序Sendmail和Qmail建立集成式病毒防火墙的能力

。它可持续的对往来的E-mail进行过滤并能够迅速的击退那些企图通过E-mail进行恶意攻击的程序。•上述产品各有特色，几种综合起来使用可以优势互补，产生最强的防御效果。7.6网络病毒实例7.6.1C

IH病毒机制及防护•CIH病毒属文件型病毒，其别名有Win95.CIH，Spacefiller，Win32.CIH，PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，PortableExecutableFormat)，目前的版本不感染DOS以及Windows3.X(N

E格式，WindowsandOS/2，Windows3.1ExecuteFileFormat)下的可执行文件，并且在WindowsNT中无效。其发展过程经历了v1.0，v1.1，v1.2，v1.3，v1.4总共5个版本，目前最流行的是v1.2版本。1

.CIH病毒分析•CIH病毒是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统FlashBIOS芯片中的系统程序，导致主板损坏。CIH病毒是发现的首例直接破坏计算机系

统硬件的病毒。该病毒的特点是只感染32位的Windows95/98可执行文件，对于DOS下Windows3.x以及NT下的文件不影响。因为CIH病毒使用的是VXD技术，而且被CIH病毒感染了的文件长度不会改变，所以很难发现。当一个感染在内存中发现有新的可执行文件在

运行时，就去检查该文件中是否包含某一个特定的字符串，如果没有找到就开始感染。它感染时首先检测到文件的头部，当发现至少有184个字节的空间时，就将本身的引导信息写入此空间，病毒中所含的其余代码部分则分别写入文件内部的空闲区域，所以感染前后的文件不会增加长度。CIH病毒本

身的长度约为1KB左右。CIH1.2版的发作日期是每年的4月26日；CIH1.3版的发作日期是每年的6月26日；CIH1.4版的发作日期则是每月的26日(有些变种是在27或28日发作)。所以在每月的26日之前，请务必备份自己的重要数据。这里所说的发作日是指病毒损坏硬盘和主板的日期。如果在

某月的26日开机时，屏幕出现的提示是：DiskBootFailure,InsertSystemDiskAndPressEnter，然后您可能会插入系统软盘启动机器，但当需要转到硬盘提示符时，却得到InvalidDriveSpeci

fication的信息，就表明硬盘的主引导区已经被改写了，这极有可能表明CIH病毒已经成功地攻击了你的系统了。2.CIH病毒发作现象•CIH病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统BOOT区，改写硬盘数据，破坏FlashBIOS，用随机数填充Flash内存，导致机器无法运行。CIH病毒对

FlashBIOS的操作，仅在主板和芯片允许写Flash存储器时才有可能，所以该病毒发作时仅会破坏大多数可升级主板的FlashBIOS。•一旦系统不幸遇到了这样的情况，出了硬盘中的数据丢失外，很有可能主板也已经

报废，只能更换主板或请专业人员重新填写FlashBIOS信息。•CIH病毒有多个变种，只感染Windows95，Windows98的.EXE的.PE格式文件，病毒代码分解为一个或多个不同大小的碎块，潜伏

在文件内部的不同的地方，文件总长度无变化。•PE文件格式是32位的，文件头标存放了文件各模块参数。CIH病毒修改了这些32位参数，并使其文件映像执行参数首先指向病毒的程序体。杀CIH病毒除需要对Win

dows底层技术有所了解外，还需要对Windows的PE格式文件有所了解。如不了解，查杀这种病毒也可采取投机行为。有些杀毒软件仅仅修改一个病毒映像开始执行的参数和少量的去掉了病毒头的部分字节，但进行这样简单杀毒后的文件会留有病毒僵尸，

很容易引起问题。因此，应彻底清除病毒，否则弄不好，就会把文件破坏。3.CIH病毒后遗BUG•由于Windows系统运行设置条件和被感染的文件头标数据模块的大小不一样，被CIH病毒感染后，小部分文件会产生各种各样的不正常的特殊感染结果，例如在文件中的病毒体前部，执行文件在被

执行中又被自身文件动态的覆盖了一小部分代码。但文件映像执行参数还首先指向病毒程序体，病毒有可能还会被执行或残缺执行，有可能执行发作破坏指令，也有可能文件坏掉了不能再执行，造成某些查病毒软件对此漏查。在某些

文件中的病毒体，因为文件头标格式特殊，CIH病毒躲藏在文件的后部，使某些查病毒软件也会漏查漏杀。某些文件中的病毒，残缺了一部分感染在文件内。某些杀毒软件，没有认真彻底研究透32位的PE文件格式，只查杀出大多数PE文件头标前部潜藏的CIH病毒，而漏查了许多PE文件头

标深部感染的CIH病毒，这非常危险。有些杀毒软件，只简单地把文件中的CIH病毒第一碎块中的文件映像开始执行指针参数恢复，没有把病毒隐藏在文件体中的各个碎块清理掉。上述做法都使病毒体完整的或不完整的残留在文件中，这些代码由于有破坏的代码存在，所以仍然有危险。4.CIH的免疫•在网上有免费CIH病毒

疫苗发送，网址是：http://www.nease.net/~qiu/chi/ant-cih.zip。CIH病毒免疫程序是免疫的疫苗不是解毒程序，所以安装前，必须回到纯DOS状态，然后用查毒程序彻底把病毒

杀干净。再回到Windows95/98，将cih.zip解压缩后，释放出3个文件，执行其中的setup.exe即可进行安装。系统会自动重新启动。•免疫程序安装后，电脑就会对CIH系列的病毒产生免疫。以后不小心从网上下载含有CIH病毒的程序也大可放心的执行，其他所有没中毒的程序也不会被感染。即使

到了发作时，也不会发作，因为系统中根本没常驻CIH病毒。安装完毕后，可以将这3个疫苗文件删除，然后，无论是开机、关机或重新进入Windows几次，系统都有自动免疫功能，除非重装Windows95/98系统，免疫才会失效。CIH病毒疫苗不常驻内存，每

次开机，系统就会立刻自动执行C:\Windows\CIH.EXE一次，CIH病毒疫苗在系统的存储器DR0作记号，然后结束程序执行。此后，即使再执行带有CIH病毒的程序，病毒也不会常驻内存，因为，在内存常驻前，病毒会判断免疫程序已经做的记号，病毒会认为自己已经挂在

系统中。因此，CIH病毒不常驻内存，也不感染文件，更不会发作。•被CIH破坏的ROMBIOS可从主板厂商的网址上下载相应型号主板的BIOS文件，然后用编程器写入。•另外，大多数杀毒软件，如瑞星9.0以上版本及KV300等防毒软件都能检测和清除CIH病毒。7.6.2宏病毒机制及防护•宏

病毒把带有宏能力的数据文件作为攻击目标。当前，这种病毒只能感染MicrosoftWordforWindows和MicrosoftExcelforWindows产品。然而，它们对任何支持复杂宏能力的应用程序都是一种潜在的威胁。•这些病毒是独立于平台的，可以感染DOS、Mac

intosh、Windows3.x、Windows95和WindowNT操作系统中的文档和模板。它们在感染过程中使用同样的基本技术。下面将详细描述这种剧烈的WordforWindowsConcept病毒如何工作，并且解释它为什么这样广泛流行。(1)病毒如何、

何时得到控制•Concept病毒通过两种主要方式获得控制并执行。在第一种情况下，病毒并没有渗入WordforWindows环境中。用户打开被感染的文档，这个文档就像一个标准的WordforWindows.DOC文件一样；然而它实际上是一个模板文件(.DOT格式)

伪装成.DOC文件。对最终用户来说，DOC文件和DOT文件之间只有一些区别，而用户得不到任何标识自己正在操作一个模板而不是一个标准文档。•任何时候当用户打开一个模板文件时，WordforWindows会检查这个模板中是否包含局部宏。如果

它包含一个特别的局部宏名字为AutoOpen，在文件打开的时候WordforWindows就会执行局部宏中的指令。被Concept病毒感染的模板文件有一个特别编写的“带毒”的AutoOpen宏。任何时候当用户打开一个被感染的模板文件时，WordforWindows就像对待

正常的AutoOpen宏一样自动执行带有病毒的宏。当用户打开一个被感染的文件时，这个带有病毒的宏就会被执行，并且把所有由Concept病毒组成的宏从模板文件的局部宏池移到WordforWindows的全局宏池。这些活动会自动进行，而不需要用户的许可。•在用户完成

字处理会话并退出WordforWindows后，WordforWindows自动把对全局宏池做的所有修改放到一个名为NORMAL.DOT的特殊文件中。NORMAL.DOT文件包含默认样式信息，如默认启动字

体以及系统使用的所有默认全局宏。任何时候当这些信息在WordforWindows环境中被修改时(例如，通过添加新的全局宏)，以及当用户退出字处理器时，WordforWindows会自动把这些更新的信息保存到N

ORMAL.DOT中。•不幸的是，这些修改未经与用户交互就被保存起来，并且用户没有得到任何修改的通知。当用户退出应用程序的时候，WordforWindows在保存NORMAL.DOT时会在屏幕上显示正常的“Savingfile

(保存文件)”信息。然而，WordforWindows完成得如此之快以致大多数用户不会注意它。•在病毒更新全局池后，其中包括NORMAL.DOT文件，每次用户启动WordforWindows时，病毒就会自动装入全局池。产生这种情况的原因是无论何时启动WordforWindows，它都会自动从

NORMAL.DOT模板文件自动装入默认样式设置和全局宏。•在初始感染后，NORMAL.DOT文件中将包含所有Concept病毒宏，其中包括第一次感染计算机的AutoOpen宏的一份拷贝。当NORMAL.DOT在WordforWindows启动期间打开时，NORMAL.DOT中带有病毒

的AutoOpen宏就像在其他模板文件中一样被执行。每次用户启动WordforWindows时，病毒就会自动执行，并且把它自己拷贝到全局宏池中。这使病毒在WordforWindows环境中获得控制的第二种方式。图7.7表示了宏

病毒的感染过程。(2)病毒如何、何时感染新项目•在“Concept”病毒把它自己安装到全局宏池中之后，对于进一步传播到新的、未感染的文档就不存在问题。除了病毒的AutoOpen宏以外，病毒还包含一个名为FileSaveAs的宏。在感染过程中病毒还可以把这个宏(从一个已感染的模板文件的局部池中

)拷贝到全局宏池中。•如果FileSaveAs宏在局部或全局宏池中存在，任何时候当用户从File菜单中选择SaveAs选项时，WordforWindows都要执行这个宏。在环境被感•染后，如果用户编辑一个未被感染的文档，然后使用SaveAs选项保存一个拷贝，病毒的FileSaveA

s宏就会被执行。这个带病毒的宏要在文档被保存之前把每一个带病毒的宏(包括FileSaveAs和FileOpen)从全局宏池复制到文档的局部宏池中。•这个宏还把文件类型从一种标准文档格式改变为容易感染的.DOT格式；然而，它

不会更改文件名。最后，这个宏允许WordforWindows以通常的方式保存这个新感染的文件。•WordforWindows会自动在文件的局部池中保存所有带有病毒的宏，因为这个文件已经被内部转化成一种模板格式。注意WordforWindows根据文件的内容而不是文件

名确定文件类型(文档还是模板)。因此，即使新感染的模板文件也有一个不正确的扩展名(.DOC)，WordforWindows仍然可以正确地使用这个文件工作，如图7.7所示。图7.7(3)病毒可能做的潜在破坏•为了进行传播，宏病毒必须把标

准文档文件转换成包含病毒宏的模板文件。一旦一个WordforWindows模板文件包含宏，它就只能被保存成模板文件；否则，宏的内容就会丢失。WordforWindows不允许用户把已感染的文件保存为文档文件，因为文件感染后就包含宏了。•宏病毒像任何其他病毒一

样，能够恶毒地破坏计算机中的程序和数据；然而，宏病毒的感染不会带来不故意的副作用。(4)台湾No.1宏病毒•1995年，当发现世界上第一个宏病毒以后不久，便在我国台湾地区出现了第一个中文的“十三号台湾No.1宏病毒”。这种计算机病毒现在正

以“何谓宏病毒，如何预防？”一类的标题，以电子邮件为载体，在Internet与BBS网络中流传，对于不知情而取下观看的用户，其计算机将会因此而感染此病毒。这种计算机属于跨平台病毒，可以在Windows3.x/95/NT和MacintoshSystem7等系

统中感染，这种病毒在1996年12月13日首次在中国大陆发现。•在不是13号的日子里，这个宏病毒只会进行默默的感染工作。而一旦到了每月的13日这一天，只随便打开一份Word文件来看，病毒就会马上发作。出现对话框与用户进行心算攻防战，除非答对，否则将无法退出Word。•宏病毒所出的心算运算式数值庞大

，例如：7009×3261×1375×4262×91=？•这样的题是用心算无法正常解决的。若不幸病毒发作了，不能用一般的计算器程序如Windows自带的计算器来算这个20位的计算式，因为这些程序在算高位数时会有误差。正确的做法是，赶快利用另外一台计算机上的Wo

rd宏程序来算，才能精确算出数值。•例如：counter=int(7009×3261×1375×4262×91)•如此算出来的值“1.218889664968e+16”才是正确的。•当你输入正确的数值，病毒会“恭贺你答对了”，接着出现一份让你哭笑不得的文件。如果你答错

了，病毒就会展现它所谓的“震撼教育”，那就是开出20份新文件。你的计算机系统若具有音效功能的话，还可以听到哗哗声。在开出的20份新文件中，最后一份文件会显示出“宏病毒”的字样，而且又出现一道新的心算考试题。如果再答错了，就再开2

0份文件，再来一道新的心算考试题……如此循环下去，不但占用了内存，当天无法使用Word，还会造成硬盘文件链丢失。•要防治“十三号台湾No.1宏病毒”，也要从防和治两方面着手：防的重要而有效的方法是安装能防毒宏的防毒软件。如果计算

机未安装具有防毒宏的防毒软件，则可以用更改系统日期的方法，将计算机系统的日期跳过13日。•当打开感染计算机病毒的文件之后，可在Normal.dot里面看到它含有AutoOpen宏，单击“删除”钮将它清除掉即可。但此法无法预防其他宏病毒，而且若没有将所有

的宏病毒清除干净的话，就算将Word整个删除、重新安装，计算机病毒依然会存在。宏病毒大都在Internet与BBS网络上流传，目前只有靠网络上大家都来防宏病毒，才能真正根除网络上的宏病毒。•继“十三号台

湾No.1宏病毒”在台湾掀起一阵波涛之后，“台湾SuperNo.1宏病毒”也悄然出现。这种计算机病毒不但会感染Word文件，最可怕的是还会自动格式化用户的硬盘。这种计算机病毒主要感染MicrosoftWord6.0以上的版本，也是跨平台病毒，发作日期在每月13日、25日、10月10日

等；感染病毒的症状有：出现猜数字对话框、出现音响、无条件格式化C盘、显示信息等。顾名思义“台湾SuperNo.1”有超越取而代之的意思。事实上，它的破坏力确实超过了“十三号台湾No.1宏病毒”。(5)宏病毒的清除与防治•虽然Word的宏功能为那些心

怀叵测的人提供了一种简单高效地制造新病毒的手段，但是防治这类病毒绝非像某些广告或文章所说的那样难，尤其是与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！下面谈谈对该病毒的防治。•当怀疑系统带有宏病毒时，首先应查看是否存在“可疑”的宏。

所谓可疑的宏是指用户自己没有编制过，也不是Word默认提供而新出现的宏。尤其对以“Auto”开头的宏，更应高度警惕。如果有这类宏，很可能就是宏病毒，最好将其删去。查看宏的方法是在打开某种模板的Word文档后，用“工具”菜单中的“宏”选项，将当前模板使用的所有的宏调出

进行查看。平时在没有宏病毒的时候，不妨对系统已有的和自己编制的宏做一个文件清单，以便随时对照！•用户在新安装了Word后，可打开一个新文档，将Word的工作环境按自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完

后，保存新文档，使Normal.dot模板改变。新的Normal.dot现在含有你需要的使用设置并绝对没有宏病毒，可将这份干净的Normal.dot备份下来，这样你就有了一份绝对可靠的Normal.dot模板。在遇到有

宏病毒感染或怀疑感染了宏病毒的时候，可随时用备份的Normal模块来覆盖当前的Normal.dot模板。Normal.dot在用户没有另外指定存放模板的路径时，应该在Word(或Office)的Templates目录下。•如果

用户自己编制有Autoxxxx这类宏，建议将编制完成的结果记录下来，即将其中的代码内容打印或抄录下来，放在手边备查。这样，当Word感染了宏病毒或怀疑有宏病毒的时候，可以打开该宏，与记录的内容进行对照。如果其中有一处或多处被改变或者增加了一些

原来没有的语句，则不论是否能看懂这些代码，都应将这些语句统统删除，仅保留原来编制的内容。•如果你没有编制过任何以“Auto”开头的Word宏，现在系统运行不正常，而又完全能排除是由其他硬件故障或系统软件配置问题引起的。那么，在打开“工具”菜单的“

宏”选项后，如果看到有这类宏，最好执行删除自动宏的操作。因为即便错删了，也不会对Word文档内容产生任何影响，仅仅是少了相应的“宏功能”。如果需要，还可以重新编制。•如果要使用外来的Word文档且不能判断这些“外来客”是否带宏病毒，有两个做法是有效的：如果必须保留原来的文档编排格式，那么用

Word。打开文档后，就需要用上述的几种方法进行检查，只有在确信没有宏病毒后，才能执行保存该文档的操作。另一个方法是，如果没有保留原来文档的排版格式的必要，可先用Windows提供的书写器(对使用Windows3.

x而言)或写字板(对使用Windows95而言)打开外来的Word文档，将其先转换成书写器或写字板格式的文件并保存后，再用Word调用。因为书写器或写字板是不调用也不记录和保存任何Word宏的，文档经此

转换后，所有附带其上的宏都将丢失，当然，这样做将使该Word文档中所有的排版格式也一并丢失。•在调用外来的Word文档时，除了用书写器或写字板对Word宏进行“过滤”外，还有一个简单的方法，就是在调用Word文档时先禁止所有的以Auto开头的宏的执行。

这样能保证用户在安全启动Word文档后，再进行必要的病毒检查。为此，对于使用Word97以前版本的用户，需要自行编制一个名为AutoExec的宏。这个宏在执行时，将关闭其他所有自动执行的Word宏。将AutoExec宏保存到一个另

外命名的模板中。比如AV.dot，当要使用外来的Word文档时，将含有AutoExec的AV模板改名为Normal.dot模板(应先备份原来的Normal.dot模板)；如果不使用外来文档，可以将原来备份的Normal.

dot模板再改名拷贝回来。AutoExec宏的参考代码如下。SubMAINDisableAutoMacrosEndSub•对于使用Word97版本的用户，Word97已经提供此项功能，将其激活或打开即可。方法是，单击“工具”菜单→“选项”→“常规”，选择“宏病毒防护”选项

，这样，当前打开的文档所使用的模板就有了防止“自动宏”执行的功能，当以后使用这个模板的文档时，如打开的文件带有“自动宏”，Word97将首先告诉用户打开的文档带有自动宏，并询问用户是否执行这些宏。不用说，应该选择“否”，待进入并打开文档后，

再对文档进行“宏”检查。7.6.3其他著名的网络病毒：“红色代码”和“尼姆达”•2001年简直就可以称为“电脑病毒年”：4月CIH，5月“欢乐时光”，7月“先生”蠕虫，8月“红色代码”，9月“尼姆达”——据说“尼姆达”尚未过去，一种利用人们对美国恐怖事件关心的新病毒“战争公决”又不期而至。•网

络在成为方便生活的工具的同时，也正成为病毒与黑客肆虐的游乐场。随着社会网络化、信息化进程的深入，网络安全所引发的问题也越来越严重，网络双刃剑的负面作用越来越令人感到可怕。本节将介绍一下2001年在全球各地造成上百亿美元

经济损失的两种著名的病毒“红色代码”和“尼姆达”。1.“红色代码”蠕虫•“红色代码”病毒是一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为是划时代

的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限而为所欲为，可以盗走机密数据，严重威胁网络安全。•在2001年7月中该病毒在美国等地大规模蔓延，引起了恐慌，国外通讯社连续报道该病毒的破坏情况。8月初，该病毒做了一些修改，针对中文操作系统加强了攻击能力，导致

在国内大规模曼延，特别是在北京等信息化程度较高的地区，受灾情况相当严重，公安部发布紧急通告，要求对该病毒严加防范。•“红色代码”(codered)的蠕虫利用一些版本的IIS上发现的索引服务漏洞并传播，在被感染的页面上赫然出现HackedbyChinese。索引服务漏洞存在于I

IS4.0和IIS5.0中，IIS运行在WindowsNT/2000/XP中。该漏洞允许远程入侵者在染毒机器中运行任意的代码。“红色代码”(codered)有：Codered和CoderedⅡ版本。(1)CoderedCodered发现日期为：2001/7/18，别名：W32/Ba

dy.worm?。该蠕虫感染运行MicrosoftIndexServer2.0的系统或是在Windows2000IIS中启用IndexingService(索引服务)系统。该蠕虫利用一个缓冲区溢出漏洞进行传播(未加限制的IndexServerISA

PIExtension缓冲区使Web服务器变得不安全)。蠕虫只存在于内存中，并不向硬盘中拷文件。蠕虫的传播是通过TCP/IP协议和端口80，利用上述漏洞，蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区，蠕虫依次

扫描Web，以便能够感染其他的系统。一旦感染了当前的系统，蠕虫会检测硬盘中是否存在c:\notworm，如果该文件存在，蠕虫将停止感染其他主机。•蠕虫会改写WWW站点，在Web页中写入包含下面的代码：<html><head><metaht

tpequiv=″Content-Type″content=″text/html;charset=English″><title>HELLO!</title></head><body><hrsize=5><fontcolor=″red″><palign=″center″>Welcomet

ohttp://www.worm.com!<br><br>HackedByChinese!</font></hr></body></html>•该页面的显示结果为：Welcometohttp://www.worm.c

om!HackedByChinese!•攻击者除了控制被感染的服务器对WWW站点进行改写外，还会发动DoS(拒绝服务)攻击以及格式化硬盘等非法行为。•CodeRed的主要特征如下：①改写英语WWW站点，显

示“Welcometowww.worm.com!HackedbyChinese!”等信息。②每月20日—28日将对白宫的WWW站点的IP地址发动DoS攻击。③每月20日以前尽可能对更多的服务器发动随机攻击。(

2)CodeRedII•别名为红色代码，病毒详细资料为：①病毒依赖的系统：WindowsNT/2000(安装且运行了IIS服务程序)。②病毒的感染:通过IIS漏洞，使IIS服务程序处理请求数据包时溢出，导致把此“数

据包”当作代码运行，病毒驻留后再次通过此漏洞感染其他服务器。③病毒的发作:强行重新启动计算机。④CodeRedII(红色代码2)是CodeRed(红色代码)的改进版。它不同于以往的文件型病毒和引导型病毒，只存在于内存，传染时不通过文件这一

常规载体，直接从一台电脑内存到另一台电脑内存。和CodeRed不同的是CodeRedII病毒体内还包含一个木马程序，这使得CodeRedII拥有前身无法比拟的可扩充性，只要病毒作者愿意，随时可更换此程序来达到不同的目的。⑤程序流程为：•当本地IIS服务程序

收到某个来自CodeRedII发的请求数据包时，由于存在漏洞，导致处理函数的堆栈溢出(Overflow)。当函数返回时，原返回地址已被病毒数据包覆盖，程序运行线跑到了病毒数据包中，此时病毒被激活，并运行在IIS

服务程序的堆栈中。•病毒代码首先会判断内存中是否已注册了一个名为CodeRedII的Atom(系统用于对象识别)，如果已存在此对象，表示此机器已被感染，病毒进入无限休眠状态。未被感染则注册Atom并创建300个病毒线程。当判断到系统默认的

语言ID是中华人民共和国或中国台湾时，线程数猛增到600个，创建完毕后初始化病毒体内的一个随机数发生器，此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。完成上述工作后病毒将系统目录下的CM

D.EXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下，并取名为root.exe。然后从病毒体内释放出一个木马程序，复制到系统根目录下，并取名为explorer.exe，此木马运行后会调用系统原

来的explorer.exe，运行效果和正常explorer程序无异，但注册表中的很多项已被修改。由于释放木马的代码是个循环，如果在目的目录下explorer.exe发现被删，病毒又会释放出一个。•最后，病毒休眠2

4小时(中文版为48小时)强行重新启动计算机。当病毒线程在判断日期大于2002年10月时，会立刻强行重新启动计算机。(3)封杀CodeRed系列病毒•CodeRed利用IISWeb(Internet信息服务器)的漏洞传播，可以按以下措施防范：•①用瑞星2001版(12

.36以上版本)检测，若报内存中有CodeRed病毒，则说明系统已受到CodeRed的攻击。•②如果系统已被感染，请到微软处下载安装补丁：•Windows2000Professional，Server

andAdvancedServer需要先升级到SP1，请到以下网站下载：http://www.microsoft.com/windows2000/downloads/servicepacks/default.asp•然后到以下链接，下载补丁修补漏洞：ht

tp://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800?•WindowsNTversion4.0需要升级到SP6，请到以下网站下载：http://www.microsoft.com/ntserver/default.asp•然

后到以下链接，下载补丁修补漏洞：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833③升级补丁后，重起计算机.系统将不会再受到CodeRed的攻击，用瑞星2001版(2.3

6以上版本)检测硬盘，清除CodeRed附带的木马程序，彻底封杀CodeRed系列病毒。④CodeRed2会以读写方式映射C盘和D盘，并将Scripts,MSADC的属性改为可读写。并将系统目录下的CMD.EXE复制到\

Inetpub\scripts下，并以root.exe命名，以达到远程控制的目的。需手工恢复原有属性，操作如下：•打开“控制面板”，找到“管理工具”，运行“Internet信息服务”,在其“默认的Web站点”选项中将Scripts和MSADC的属性

改为原有属性。C,D项一般不存在，建议直接删除，并将Scripts目录中的root.exe删除。2.“尼姆达”病毒•2001年9月18日，网络界再次拉响防空警报：一种被命名为“尼姆达”(Nimda)的危险程度4级的电脑病毒开始肆虐网络——

这是迄今为止最高级别的病毒。只要想到CIH造成的危害，尼姆达的级别之高就令我们不寒而栗。•“尼姆达”病毒是一种网络新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时，它也是一个感染本地文件的新型病毒。(1)“尼姆达”病毒感染系统

的类型•Nimda蠕虫病毒按字母的顺序反过来读就是admin，是系统管理员的意思。该病毒于2001年9月18日上午开始传播，并迅速感染了互联网上的电脑和服务器。这种病毒还被称作readme.exe和W32.Nimda，首次使用4种不同的方式不仅感染运行Windows95/98/Me

/2000操作系统的计算机，而且还能感染运行Windows2000和WindowsNT操作系统的服务器。(2)“尼姆达”病毒传染途径•尼姆达病毒的传播可以通过4种方式：感染文件、乱发邮件、网络蠕虫和局域网

传播。①感染文件•尼姆达病毒定位本机系统中的EXE文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些文件的时候，病毒进行传播。②乱发邮件•尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然

后将病毒发送给这些地址，这些邮件包含一个名为readme.exe的附件，在某些系统(WindowsNT及Windows9x未安装相应补丁)中该readme.exe能够自动执行，从而感染整个系统。③网络蠕虫•尼姆达病毒还会扫描Internet，试图找到WWW主机，一旦找到这样的

服务器，蠕虫便会利用已知的系统漏洞来感染该服务器，如果成功，蠕虫将会随机修改该站点的Web页，当用户浏览该站点时，不知不觉中便被感染。④局域网传播•尼姆达病毒还会搜索本地网络的文件共享，无论是文件服务器还是终端

客户机，一旦找到，便安装一个隐藏文件，名为RICHED20.DLL到每一个包含DOC和EML文件的目录中，当用户通过Word、写字板、Outlook打开DOC或EML文档时，这些应用程序将执行RICHED20.DLL文件，从而使机器被感染。同时该病毒还可以感染远程的在服务器被启动的文件。(3)“

尼姆达”病毒的特征•Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱，从中找到E-mail地址，并向这些地址发送邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录中；利用CodeBlue(红色代码)病毒的方法攻击随机IP地址，如果是未

安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件，同时用已经配置好的DNS获得一个E-mail服务器地址。•Worms.Nimda运行时查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本：<html><scriptlan

guage=″JavaScript″>window.open(″readme.eml″,null,″resizable=no,top=6000,left=6000″)</script></html>•

这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。•Worms.Nimda用两种方法感染本地PE文件：•一种是查找所有的Windows应用程序(在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\Currentversion\AppPaths中)，并试图感染，但不感染Winzip32.exe。•第二种方法搜索所有文件，并试图感染，被感染的文件会增大约57KB。•如果用户浏览一个

已经被感染的Web页时，会被提示下载一个.eml(OutlookExpress)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头，它包含一个附件——即此蠕虫。这种邮件也可能是别人通过网络共享存入计算机，也可能是在别

人的共享目录中。无论如何，只要在Windows的资源管理器中选中该文件，Windows将自动预览该文件。由于OutlookExpress的一个漏洞将导致蠕虫自动运行，因此，即使不打开文件也可能中毒。当这个蠕虫执行的时候，它会在Windows目录下生

成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自身覆盖SYSTEM目录下的RICHED20.DLL，这个文件是Office套件运行的必备库，Windows的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时都会激活它；它会将自己复制到SYSTEM目录下，并改

名为load.exe，同时将SYSTEM.INI文件中的SHELL项改为explorer.exeload.exe-dontrunold。这样，在系统每次启动时将自动运行它。这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建

立一个guest的访问账号，以允许别人进入本地的系统。这个蠕虫可改变Explorer的设置，这样就让它无法显示隐藏文件和已知文件的扩展名。(4)“尼姆达”病毒的破坏性•专家指出迄今为止好像还没有发现这种新病毒具有删除计算机

内文件或数据的能力，只是当这种病毒在进行自我复制时会导致计算机的运行变得缓慢。由于Nimda病毒进行自我复制速度快和传播范围之大，病毒制造的大量垃圾数据会阻塞网络。如果服务器曾遭到红色代码II蠕虫病毒的侵害，Nimda病毒就能利用那个后门把自己复制到那台服务器上，文件名是admin.

dll。该病毒可在被感染的服务器上制造拥有管理权限guest账号，使系统C:盘可以公开访问并为HTM、HTML和ASP文件添加脚本，所以危害性相当大。(5)“尼姆达”病毒的清除与预防•针对Windows2000Professiona

l/server/Advancedserver/WindowsNT4Server用户，其基本步骤如下所示。①首先安装IIS补丁(此IIS补丁防止遭受攻击)及IE相应最新补丁(IE补丁防止浏览带毒网页时中毒。•下载IIS补丁程序的网址。•IIS4.0：http://www.micr

osoft.com/Downloads/Release.asp?ReleaseID=23667•IIS5.0：http://www.microsoft.com/Downloads/Release.asp?Release

ID=23665•IE补丁程序，由Microsoft安全公告(SecurityBulletin)MS01020提供的补丁程序。InternetExplorer5.01ServicePack2.InternetE

xplorer5.5ServicePack2.InternetExplorer6②进行隔离。将服务器隔离，断开所有网线。③解决病毒留下的后门程序。将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部删除，以解决病毒留下

的后门程序。④去掉共享。当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C，D等，应该将其共享属性去掉。⑤查看管理权限。另外，查看一下administrators组中是否加进了guest用户，如果是，请将guest用户从Administrators组中删除

。⑥查杀病毒。使用瑞星杀毒软件进行查杀，彻底清除Nimda病毒。⑦恢复网络。恢复网络连接。•针对Windows98用户，只需安装相应的IE补丁程序。另外，如果遇到Office运行异常，由于尼姆达病毒用自身覆盖了system目录下的riched20.dll文件，所以W

ord等字处理软件运行不正常。用户杀毒后，可以从安装盘里找到相应的文件重新拷贝回来。如果是Windows98系统，请在压缩包Win98_35.CAB中，解开找到riched20.dll拷贝到system目录。而Wi

ndows98SE，则在压缩包Win98_41.CAB中。Win2000系统，在System32\dllcache目录有备份，将它拷贝到System32目录等或者也可以从其他未感染过病毒的机器拷贝这些文件。•下载IIS补丁程序的网址：•IIS4.0：http://www.microsoft.com

/Downloads/Release.asp?ReleaseID=23667•IIS5.0：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665•IE补丁程序，由Microsoft安

全公告(SecurityBulletin)MS01020提供的补丁程序：InternetExplorer5.01ServicePack2.InternetExplorer5.5ServicePack2.InternetExplorer6•注意：如果按照以上步骤仍无法解决问题，说明IIS补丁安装

有问题。请重新安装IIS补丁。如果用户服务器不提供Web服务的话，请将Web服务停止，这样比较安全。7.7本章小结•电脑病毒正变得越来越刁钻古怪。目前，来自反病毒专家的消息称，一种随时会跟随电子邮件进入电

脑的网络病毒，现在居然学会了“隐形”，从而逃避反病毒者的“追捕”，使反病毒变得更加困难。可见病毒对网络信息安全的威胁是巨大的，而反病毒技术与计算机病毒这一“冤家对头”，也在进行艰苦的拉锯战。要将病毒彻底消灭或将它的危害降至最小，就应在各个能考虑到的方面采

取措施，层层设防以使网络安全地工作。•本章详细介绍了病毒开发者复制、执行病毒所运用的许多概念和方法，希望能对大家有所帮助。练习题1.什么是病毒？它是如何工作的？说出不同防范病毒方法的异同点。2.讲述计算机病毒的特征及危害性。3.讲述病毒的分类以及各自的特点。4.反病毒软

件常用何种技术来查找病毒？5.什么叫计算机网络病毒？它有何特点？其传播途径是什么？6.怎样预防和消除计算机网络病毒？7.简述计算机网络病毒的发展。8.试说明CIH病毒的工作原理。9.何谓计算机“宏”病毒？请说明“Word宏病毒”的机制和清除办法。10.“红色代码”和“尼姆达”病毒的特征

是什么？它们有何危害？是怎样传播的？怎样预防及清除它们？