電腦病毒如何診斷和防護(hù)

　　計算機(jī)病毒(ComputerVirus)在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自熊貓燒香病毒。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的診斷和防護(hù)電腦病毒介紹!希望對你有幫助!

　　診斷和防護(hù)電腦病毒介紹：

　　我復(fù)制的一組計算機(jī)指令或者程序代碼”。而在一般教科書及通用資料中被定義為:利用計算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計算機(jī)數(shù)據(jù)并影響計算機(jī)正常工作的一組指令集或程序代碼。計算機(jī)病毒最早出現(xiàn)在70年代DavidGerrold科幻小說WhenH.A.R.L.I.E.wasOne.最早科學(xué)定義出現(xiàn)在1983:在FredCohen(南加大)的博士論文“計算機(jī)病毒實驗”“一種能把自己(或經(jīng)演變)注入其它程序的計算機(jī)程序”啟動區(qū)病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機(jī)制同生物病毒類似.生物病毒是把自己注入細(xì)胞之中。

　　電腦病毒預(yù)防：

　　病毒往往會利用計算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的一個重要方面，但完美的系統(tǒng)是不存在的，過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時間用于病毒檢查，系統(tǒng)失去了可用性、實用性和易用性，另一方面，信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術(shù)對抗長期存在，兩種技術(shù)都將隨計算機(jī)技術(shù)的發(fā)展而得到長期的發(fā)展。

　　電腦病毒產(chǎn)生：

　　病毒不是來源于突發(fā)或偶然的原因。一次突發(fā)的停電和偶然的錯誤，會在計算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機(jī)代碼產(chǎn)生的?，F(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對上司的不滿，為了好奇，為了報復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預(yù)留的陷阱等.當(dāng)然也有因政治，軍事，宗教，民族.專利等方面的需求而專門編寫的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測試病毒.

　　電腦病毒診斷：

　　計算機(jī)病毒具有以下幾個特點(diǎn)：

　　寄生性

　　計算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。

　　傳染性

　　計算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴(kuò)散到另一個生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機(jī)病毒也會通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，在某些情況下造成被感染的計算機(jī)工作失常甚至癱計算機(jī)網(wǎng)絡(luò)

　　瘓。與生物病毒不同的是，計算機(jī)病毒是一段人為編制的計算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計算機(jī)并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺計算機(jī)染毒，如不及時處理，那么病毒會在這臺機(jī)子上迅速擴(kuò)散，其中的大量文件(一般是可執(zhí)行文件)會被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會繼續(xù)進(jìn)行傳染。正常的計算機(jī)程序一般是不會將自身的代碼強(qiáng)行連接到其他程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機(jī)病毒可通過各種可能的渠道，如軟盤、計算機(jī)網(wǎng)絡(luò)去傳染其他的計算機(jī)。當(dāng)您在一臺機(jī)器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機(jī)上用過的軟盤已感染上了病毒，而與這臺機(jī)器相聯(lián)網(wǎng)的其他計算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機(jī)病毒的最重要條件。病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散。被嵌入的程序叫做宿主程序;

　　潛伏性

　　有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。比如黑色星期五病毒，不到預(yù)定時間一點(diǎn)都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進(jìn)行破壞。一個編制精巧的計算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機(jī)成熟，得到運(yùn)行機(jī)會，就又要四處繁殖、擴(kuò)散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時，計算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等;

　　隱蔽性

　　計算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。

　　破壞性

　　計算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。通常表現(xiàn)為：增、刪、改、移。

　　可觸發(fā)性

　　病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進(jìn)行感染或攻擊;如果不滿足，使病毒繼續(xù)潛伏。

　　電腦病毒分類：

　　根據(jù)多年對計算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計算機(jī)病毒可分類如下：按照計算機(jī)病毒屬性的方法進(jìn)行分類，計算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類：

　　按病毒存在的媒體

　　根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計算機(jī)中的文件(如：COM，EXE，DOC等)，引導(dǎo)型病毒感染啟動扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR)，還有這三種情況的混合型，例如：多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。

　　按病毒傳染的方法

　　根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動.非駐留型病毒在得到機(jī)會激活時并不感染計算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。

　　按病毒破壞的能力

　　無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險型：這類病毒在計算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯誤。非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當(dāng)它們傳染時會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。

　　按病毒的算法

　　伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名(COM)，例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。“蠕蟲”型病毒，通過計算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒(又稱幽靈病毒)這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。

　　電腦病毒發(fā)展：

　　在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會抑制其流傳。操作系統(tǒng)升級后，病毒也會調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。它可劃分為：

　　DOS引導(dǎo)階段

　　1987年，計算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。當(dāng)時的計算機(jī)硬件較少,功能簡單,一般需要通過軟盤啟動后使用.引導(dǎo)型病毒利用軟盤的啟動原理工作,它們修改系統(tǒng)啟動扇區(qū),在計算機(jī)啟動時首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時進(jìn)行傳播;1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有“石頭2”;

　　DOS可執(zhí)行階段

　　1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。

　　伴隨、批次型階段

　　1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作，具有代表性的是“金蟬”病毒,它感染EXE文件時生成一個和EXE同名但擴(kuò)展名為COM的伴隨體;它感染文件時,改原來的COM文件為同名的EXE文件,再產(chǎn)生一個原名的伴隨體,文件擴(kuò)展名為COM，這樣,在DOS加載文件時,病毒就取得控制權(quán).這類病毒的特點(diǎn)是不改變原來的文件內(nèi)容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS操作系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語言進(jìn)行工作,具有典型代表的是“海盜旗”病毒,它在得到執(zhí)行時,詢問用戶名稱和口令,然后返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。

　　幽靈、多形階段

　　1994年,隨著匯編語言的發(fā)展,實現(xiàn)同一功能可以用不同的方式進(jìn)行完成,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個特點(diǎn),每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類病毒就必須能對這段數(shù)據(jù)進(jìn)行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導(dǎo)區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。

　　生成器,變體機(jī)階段

　　1995年,在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成，當(dāng)生成器的生成結(jié)果為病毒時,就產(chǎn)生了這種復(fù)雜的“病毒生成器”，而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“病毒制造機(jī)”VCL,它可以在瞬間制造出成千上萬種不同的病毒,查解時就不能使用傳統(tǒng)的特征識別法,需要在宏觀上分析指令,解碼后查解病毒。

　　網(wǎng)絡(luò),蠕蟲階段

　　1995年,隨著網(wǎng)絡(luò)的普及,病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播,它們只是以上幾代病毒的改進(jìn).在非DOS操作系統(tǒng)中,“蠕蟲”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播，有時也在網(wǎng)絡(luò)服務(wù)器和啟動文件中存在。

　　視窗階段

　　1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,解除方法也比較復(fù)雜。宏病毒階段1996年,隨著WindowsWord功能的增強(qiáng),使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言、編寫容易、感染W(wǎng)ord文檔等文件，在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類，由于Word文檔格式?jīng)]有公開，這類病毒查解比較困難。

　　互連網(wǎng)階段

　　1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,機(jī)器就有可能中毒;

　　郵件炸彈階段

　　1997年,隨著萬維網(wǎng)(WoldWideWeb)上Java的普及,利用Java語言進(jìn)行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒，還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如Mail-Bomb病毒，它會嚴(yán)重影響因特網(wǎng)的效率。

　　編輯本段行為

　　計算機(jī)病毒的破壞行為體現(xiàn)了病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬計不斷發(fā)展擴(kuò)張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，而且難以做全面的描述，根據(jù)現(xiàn)有的病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下：攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括：硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等。一般來說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。攻擊文件，病毒對文件的攻擊方式很多，可列舉如下：刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇、丟失數(shù)據(jù)文件等。攻擊內(nèi)存，內(nèi)存是計算機(jī)的重要資源，也是病毒攻擊的主要目標(biāo)之一，病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源，可以導(dǎo)致一些較大的程序難以運(yùn)行。病毒攻擊內(nèi)存的方式如下：占用大量內(nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存等。干擾系統(tǒng)運(yùn)行，此類型病毒會干擾系統(tǒng)的正常運(yùn)行，以此作為自己的破壞行為，此類行為也是花樣繁多，可以列舉下述諸方式：不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報警、使文件打不開、使內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉(zhuǎn)、重啟動、死機(jī)、強(qiáng)制游戲、擾亂串行口、并行口等。速度下降，病毒激活時，其內(nèi)部的時間延遲程序啟動，在時鐘中納入了時間的循環(huán)計數(shù)，迫使計算機(jī)空轉(zhuǎn)，計算機(jī)速度明顯下降。攻擊磁盤，攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時丟字節(jié)等。擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可列舉如下：字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動、亂寫、吃字符等。鍵盤病毒，干擾鍵盤操作，已發(fā)現(xiàn)有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。喇叭病毒，許多病毒運(yùn)行時，會使計算機(jī)的喇叭發(fā)出響聲。有的病毒作者通過喇叭發(fā)出種種聲音，有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財富，已發(fā)現(xiàn)的喇叭發(fā)聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。攻擊CMOS，在機(jī)器的CMOS區(qū)中，保存著系統(tǒng)的重要數(shù)據(jù)，例如系統(tǒng)時鐘、磁盤類型、內(nèi)存容量等，并具有校驗和。有的病毒激活時，能夠?qū)MOS區(qū)進(jìn)行寫入動作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。干擾打印機(jī)，典型現(xiàn)象為：假報警、間斷性打印、更換字符等。

　　編輯本段危害

　　計算機(jī)資源的損失和破壞，不但會造成資源和財富的巨大浪費(fèi)，而且有可能造成社會性的災(zāi)難，隨著信息化社會的發(fā)展，計算機(jī)病毒的威脅日益嚴(yán)重，反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時1分59秒，美國康奈爾大學(xué)的計算機(jī)科學(xué)系研究生，23歲的莫里斯(Morris)將其編寫的蠕蟲程序輸入計算機(jī)網(wǎng)絡(luò)，致使這個擁有數(shù)萬臺計算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計算機(jī)界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對計算機(jī)病毒的恐慌，也使更多的計算機(jī)專家重視和致力于計算機(jī)病毒研究。1988年下半年，我國在統(tǒng)計局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對統(tǒng)計系統(tǒng)影響極大，此后由計算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷，前一段時間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會造成了很大損失。

　　編輯本段癥狀

　　1.計算機(jī)系統(tǒng)運(yùn)行速度減慢。2.計算機(jī)系統(tǒng)經(jīng)常無故發(fā)生死機(jī)。3.計算機(jī)系統(tǒng)中的文件長度發(fā)生變化。4.計算機(jī)存儲的容量異常減少。5.系統(tǒng)引導(dǎo)速度減慢。6.丟失文件或文件損壞。7.計算機(jī)屏幕上出現(xiàn)異常顯示。8.計算機(jī)系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。9.磁盤卷標(biāo)發(fā)生變化。10.系統(tǒng)不識別硬盤。11.對存儲系統(tǒng)異常訪問。12.鍵盤輸入異常。13.文件的日期、時間、屬性等發(fā)生變化。14.文件無法正確讀取、復(fù)制或打開。15.命令執(zhí)行出現(xiàn)錯誤。16.虛假報警。17.換當(dāng)前盤。有些病毒會將當(dāng)前盤切換到C盤。18.時鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時間倒轉(zhuǎn)，逆向計時。19.WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤。20.系統(tǒng)異常重新啟動。21.一些外部設(shè)備工作異常。22.異常要求用戶輸入密碼。23.WORD或EXCEL提示執(zhí)行“宏”。24.是不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存。

　　電腦病毒出現(xiàn)：

　　計算機(jī)病毒的產(chǎn)生是計算機(jī)技術(shù)和以計算機(jī)為核心的社會信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：(1)計算機(jī)病毒是計算機(jī)犯罪的一種新的衍化形式計算機(jī)病毒是高技術(shù)犯罪,具有瞬時性、動態(tài)性和隨機(jī)性。不易取證,風(fēng)險小破壞大,從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復(fù)心態(tài)在計算機(jī)應(yīng)用領(lǐng)域的表現(xiàn);(2)計算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因計算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié),易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計算機(jī)軟件設(shè)計的手工方式,效率低下且生產(chǎn)周期長;人們至今沒有辦法事先了解一個程序有沒有錯誤,只能在運(yùn)行中發(fā)現(xiàn)、修改錯誤,并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。

　　電腦病毒傳播方式：

　　命名

　　很多時候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等這些一串英文還帶數(shù)字的病毒名，這時有些人就蒙了，那么長一串的名字，我怎么知道是什么病毒啊?其實只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些共有的特性了：一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>木馬病毒

　　病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等還有其他的。病毒名是指一個病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，振蕩波蠕蟲病毒的家族名是“Sasser”。病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示，如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振CIH病毒

　　蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)識。主名稱病毒的主名稱是由分析員根據(jù)病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的，如果無法確定則可以用字符串”Agent”來代替主名稱，小于10k大小的文件可以命名為“Samll”。版本信息版本信息只允許為數(shù)字，對于版本信息不明確的不加版本信息。主名稱變種號如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認(rèn)為是同一家族的病毒，這時需要變種號來區(qū)分不同的病毒記錄。如果一位版本號不夠用則最多可以擴(kuò)展3位，并且都均為小寫字母a—z，如：aa、ab、aaa、aab以此類推。由系統(tǒng)自動計算，不需要人工輸入或選擇。附屬名稱病毒所使用的有輔助功能的可運(yùn)行的文件，通常也作為病毒添加到病毒庫中，這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進(jìn)行區(qū)分。附屬名稱目前有以下幾種：Client說明：后門程序的控制端KEY_HOOK說明：用于掛接鍵盤的模塊API_HOOK說明：用于掛接API的模塊Install說明：用于安裝病毒的模塊Dll說明：文件為動態(tài)庫，并且包含多種功能(空)說明：沒有附屬名稱，這條記錄是病毒主體記錄附屬名稱變種號如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同，則認(rèn)為是同一家族的病毒，這時需要變種號來區(qū)分不同的病毒記錄。變種號為不寫字母a—z，如果一位版本號不夠用則最多可以擴(kuò)展3位，如：aa、ab、aaa、aab以此類推。由系統(tǒng)自動計算，不需要人工輸入或選擇。病毒長度病毒長度字段只用于主行為類型為感染型(Virus)的病毒，字段的值為數(shù)字。字段值為0，表示病毒長度可變。

看了“電腦病毒如何診斷和防護(hù)”文章的還看了：

1.電腦常見的病毒與防護(hù)方法

2.電腦病毒的基本判斷介紹

3.電腦病毒該如何防護(hù)

4.電腦病毒如何防治

5.怎樣防護(hù)自己電腦不讓病毒侵蝕