常见电脑病毒的分析与防护摘要：随着信息技术的飞速发展,计算机网络已经进入了社会的各个角落,世界的经济、文化、军事和社会生活越来越多的依赖计算机网络。

然而,计算机给我们带来的方便的时候,也给大家带来了一个不可忽视的问题,那就是计算机病毒给网络系统的安全性越来越低。

本文主要对一些常见病毒的特点，以及电脑感染病毒的特征分析，列出了病毒防护的十大措施。

关键词：电脑病毒防护分析Abstract:with the rapid development of information technology, computer network has entered every corner of the society, the world's economic, cultural, military and social life more and more dependent on computer networks.However, computer brings us a convenient time, also bring a problem can not be ignored, that is a computer virus on the network system security is more and more low.This paper mainly on the characteristics of some common virus, and the analysis of the characteristics of computer virus, make a list of the top ten virus protection measures.Key words: computer virus protection analyzed一、常见的电脑病毒概述1. 引导区病毒：这类病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘中读取数据时，引导区病毒就开始发作。

一旦它们将自己拷贝到机器的内存中，马上就会感染其他磁盘的引导区，或通过网络传播到其他计算机上。

2. 文件型病毒：文件型病毒寄生在其他文件中，常常通过对它们的编码加密或使用其他技术来隐藏自己。

文件型病毒劫夺用来启动主程序的可执行命令，用作它自身的运行命令。

同时还经常将控制权还给主程序，伪装计算机系统正常运行。

一旦运行被感染了病毒的程序文件，病毒便被激发，执行大量的操作，并进行自我复制，同时附着在您系统其他可执行文件上伪装自身，并留下标记，以后不再重复感染。

3. 宏病毒：它是一种特殊的文件型病毒，一些软件开发商在产品研发中引入宏语言，并允许这些产品在生成载有宏的数据文件之后出现。

宏的功能十分强大，但是便给宏病毒留下可乘之机！4. 脚本病毒：脚本病毒依赖一种特殊的脚本语言(如：VBScript、JavaScript等)起作用，同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。

脚本病毒在某方面与宏病毒类似，但脚本病毒可以在多个产品环境中进行，还能在其他所有可以识别和翻译它的产品中运行。

脚本语言比宏语言更具有开放终端的趋势，这样使得病毒制造者对感染脚本病毒得机器可以有更多的控制力。

5. 网络蠕虫程序：网络蠕虫程序是一种通过间接方式复制自身非感染型病毒。

有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品；有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。

它的传播速度相当惊人，成千上万的病毒感染造成众多邮件服务器先后崩溃，给人们带来难以弥补的损失。

6. “特洛伊木马”程序：特洛伊木马程序通常是指伪装成合法软件的非感染型病毒，但它不进行自我复制。

有些木马可以模仿运行环境，收集所需的信息，最常见的木马便是试图窃取用户名和密码的登录窗口，或者试图从众多的Internet服务器提供商(ISP)盗窃用户的注册信息和账号信息。

二、计算机病毒的特征1、目标环境：恶意软件试图攻击宿主系统时，可能需要许多特定的组件，攻击才能成功。

下面是一个典型示例，说明恶意软件在攻击宿主系统时所需的组件：2、设备：某些恶意软件将一种设备类型作为专门的攻击目标，例如，个人计算机、Apple Macintosh 计算机甚至个人数字助理 (PDA)，但是请注意，PDA 恶意软件目前非常少见。

3、操作系统：恶意软件可能需要特殊的操作系统才会有效。

4、应用程序：恶意软件可能需要在目标计算机上安装特定的应用程序，才能传递负载或进行复制。

5、携带者对象：如果恶意软件是病毒，它会试图将携带者对象作为攻击对象（也称为宿主）并感染它。

目标携带者对象的数量和类型随恶意软件的不同而大不相同，以下列表提供了最常用的目标携带者的示例：6、可执行文件：这是通过将其自身附加到宿主程序进行复制的"典型"病毒类型的目标对象。

除了使用 .exe 扩展名的典型可执行文件之外，具有以下扩展名的文件也可用作此用途：.com、.sys、.dll、.ovl、.ocx 和 .prg。

7、脚本：将脚本用作携带者目标文件的攻击，这些文件使用诸如 Microsoft Visual Basic? Script、JavaScript、AppleScript 或 Perl Script 之类的脚本语言。

此类文件的扩展名包括：.vbs、.js、.wsh 和 .prl。

8、宏：这些携带者是支持特定应用程序（例如，字处理器、电子表格或数据库应用程序）的宏脚本语言的文件。

例如，病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏语言来生成许多效果，从恶作剧效果（在文档四处改变单词或更改颜色）到恶意效果（格式化计算机的硬盘驱动器）。

9、启动扇区：计算机磁盘（硬盘和可启动的可移动媒体）上的特定区域（例如，主启动记录 (MBR) 或 DOS 启动记录）也可被认为是携带者，因为它们可以执行恶意代码。

当某个磁盘被感染时，如果使用该磁盘来启动其他计算机系统，将会复制病毒。

10、可移动媒体：计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。

此机制开始于软盘，然后移动到网络，目前正在寻找新的媒体，例如，通用串行总线 (USB) 设备和火线。

感染速度并不像基于网络的恶意软件那样快，但安全威胁却始终存在，而且难以完全消除，因为系统之间需要交换数据。

11、网络扫描：恶意软件的编写者使用此机制来扫描网络，以查找容易入侵的计算机，或随意攻击 IP 地址。

例如，此机制可以使用特定的网络端口将利用数据包发送到许多 IP 地址，以查找容易入侵的计算机进行攻击。

12、对等 (P2P) 网络：实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。

应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。

这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。

13、电子邮件：电子邮件已成为许多恶意软件攻击所选择的传输机制。

电子邮件可以很容易地传送到几十万人，而恶意软件作恶者又无须留下自己的计算机，这使得电子邮件成为一种非常有效的传输方式。

使用此方式哄骗用户打开电子邮件附件要相对容易一些（使用社会工程技术）。

因而，许多最多产的恶意软件爆发已使用电子邮件作为它们的传输机制。

有两种使用电子邮件作为传输机制的基本类型的恶意软件。

14、邮件程序：这种类型的恶意软件通过使用宿主上安装的邮件软件（例如，Microsoft Outlook? Express），或使用其自身的内置简单邮件传输协议 (SMTP)引擎，将其自身作为邮件发送到限定数量的电子邮件地址。

15、远程利用：恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。

此行为通常可以在蠕虫中见到；例如， Slammer 蠕虫利用 Microsoft SQL Server? 2000 中的漏洞。

此蠕虫生成了一个缓冲区溢出，允许一部分系统内存被可在和 SQL Server 服务相同的安全上下文中运行的代码覆盖。

缓冲区溢出这种情况的出现，是因为向缓冲区添加的信息多于其可以存储的信息量。

攻击者可能会利用此漏洞来占用系统。

Microsoft 在 Slammer 发布的数月之前即识别并修复了此漏洞，但是由于有少数系统未被更新，使得此蠕虫得以传播。

三、病毒的感染特征感染前感染时感染后提示一些不相干的话硬盘无法启动，数据丢失平时运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动发出一段的音乐系统文件丢失或被破坏运行速度明显变慢产生特定的图像文件目录发生混乱打印和通讯发生异常硬盘灯不断闪烁部分文档丢失或被破坏无意中要求对软盘进行写硬盘灯不断闪烁部分文档自动加密操作系统文件的时间、日期、大小发生变化Windows桌面图标发生变化修改Autoexec.bat文件磁盘空间迅速减少计算机突然死机或重启网络瘫痪，无法提供正常的服务网络驱动器卷或共享目录无法调用自动发送电子邮件使部分可软件升级主板的BIOS程序混乱，主板被破坏基本内存发生变化鼠标自己在动以前能正常运行的应用程序经常发生死机或者非法错误运行Word，打开Word文档后，该文件另存时只能以模板方式保存五、防护措施1、用常识进行判断决不打开来历不明邮件的附件或你并未预期接到的附件，对看来可疑的邮件附件要自觉不予打开。

千万不可受骗，认为你知道附件的内容，即使附件看来好像是.jpg文件。

因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称我wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg查看器。

2、安装防病毒产品并保证更新最新的病毒定义码建议你至少每周更新一次病毒定义码，因为防毒软件只有最新才最有效。

需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。

这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。

不过现在收人们推崇的防病毒软件基本都是一些免费的防毒软件，如360、金山毒霸等。

3、首次安装防毒软件时，一定要对计算机做一次彻底的病毒扫描当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一些彻底的病毒扫描，以确保它尚未受过病毒感染。