1.DOS病毒 （DOS Virus） 指针对DOS 操作系统开发的病毒。由于Windows 2000/XP/2003 病毒的 出现，DOS病毒几乎绝迹。但DOS病毒在Windows 2000/XP/2003环境中仍可 以进行感染，因此若执行了染毒程序，Windows 2000/XP/2003用户也会被 感染。使用现代的杀毒软件能够查杀的病毒中一半以上都是 DOS病毒，可 见DOS时代DOS病毒的泛滥程度。但这些众多的病毒中除了少数几个让用户 胆战心惊的病毒之外，大部分病毒都只是制作者出于好奇或对公开代码进 行一定变形而制作的病毒。 2.Windows病毒（Windows Virus）
(5)先知扫描法
软件模拟技术可以建立一个保护模式下的 DOS虚拟机器，模拟CPU动作并通 过执行程序以解开变体引擎病毒，应用类似的技术也可以用来分析一般程序检 查可疑的病毒码。因此，VICE可用来判断程序有无病毒码存在的方法，分析专 家系统知识库，再利用软件工程模拟技术（software emulation）加上病毒运 行机制，则可分析出新的病毒码以对付以后的病毒。这就是先知扫描法 VICE （Virus Instruction Code Emulation）。 (6)实时I/O扫描 实时I/O扫描（real_time I/O scan）的目的是在于及时地对数据的输入输 出动作做病毒码对比的动作，希望能够能在病毒尚未被执行之前，就能够截留 下来。实时扫描技术会影响到数据的输入输出速度，但使用实时扫描技术后， 文件一旦传入就已经被扫描和清除过病毒了。
会通过网络或者系统漏洞进入用户的电脑并隐藏在系统目录 下，被开后门的计算机可以被黑客远程控制。黑客可以用大量被 植入后门程序的计算机组成僵尸网络（ Botnet ）用以发动网络攻 击等。
12.恶意脚本（Harm Script）、恶意网页
使用脚本语言编写，嵌入在网页当中，调用系统程序、修改 注册表对用户计算机进行破坏，或调用特殊指令下载并运行病毒、 木马文件。 13.恶意程序（Harm Program） 会对用户的计算机、文件进行破坏的程序，本身不会复制和 传播。 14.恶作剧程序（Joke） 这一类程序不会对用户的计算机、文件造成破坏，但会降低计算 机和网络的运行效率，并会给用户带来恐慌和不必要的麻烦。
3.入侵型病毒（Intrusion Virus）
可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒 只攻击某些特定程 序，针对性强。一般情况下难以发现，清除起 来较困难。 4.嵌入式病毒(Embedded Virus) 这种病毒将自身代码嵌入到被感染文件中，当文件被感染后， 查杀和清除病毒都很困难。由于编写嵌入式病毒比较困难，所以这 种病毒数量不多。 5.外壳类病毒(Shell Virus)
12.1.4
计算机病毒的破坏能力
l 病毒激发对计算机数据信息的直接破坏作用； l 干扰系统运行，使运行速度下降； l 占有磁盘空间和对信息的破坏； l 强占系统资源；
l 干扰I/O设备，篡改预定设置以及扰乱运行；
l 破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃 圾信息，占用网络带宽等。
12.2 计算机病毒的诊断与防治技术
本节内容 12.2.1 计算机病毒的检测 12.2.2 计算机病毒的防范措施
12.2.1
计算机病毒的检测
1.计算机病毒的表现
当计算机染上病毒之后，会有许多明显的特征。例如，文件的长度和日期忽然改变、 系统执行速度下降、出现一些奇怪的信息、无故死机，更为严重的是硬盘已经被格式化了。 如果你的计算机上出现下述现象，则有可能是感染了计算机病毒： l 系统启动速度比平时慢； l 系统运行速度异常； l 某些文件的长度及文件的建立日期发生变化； l 没有发出“写”操作命令而出现“磁盘写保护”的提示； l 在内存中发现不明程序的驻留或不明进程的运行； l 打印机、显示器有异常现象； l 系统自动生成一些不明的特殊文件； l 文件莫明奇妙地丢失； l 系统自动关机；
l 病毒的传染部份的作用是将病毒代码程序自动传染到目标上 去。不同的病毒在传染方式和传染条件上各有不同。 l 病毒的表现部份是病毒主体部份，病毒对计算机系统的破坏 就是表现部份的作为，病毒的引导部份及传染部份都是为表现部份 服务的。大部份病毒都是在一定的条件下才会触发其表现部份的。
12.1.3
计算机病毒的分类
12.2.2
计算机病毒的防范措施
防范网络病毒的过程实际上就是技术对抗的过程，反病毒技 术也得适应病毒繁衍和传播方式的发展而不断调整。
第12章 病毒诊断与防治技术
12.1 计算机病毒的定义
12.2 计算机病毒的诊断与防治技术
12.3 网络病毒的诊断与防治 12.4 常用病毒软件的使用技术 12.5 应用实例
12.1 计算机病毒概述
本节内容
12.1.1
12.1.2 12.1.3 12.1.4
计算机病毒的定义
计算机病毒的基本原理 计算机病毒的分类 计算机病毒的破坏能力
l 可控性：计算机病毒与各种应用程序一样也是人为编写出来的，是可控制 的。
l 传染性：病毒的传染性又称“自我复制”或“再生”。再生是判断是不是 计算机病毒的最重要依据。在一定条件下，病毒通过某种渠道从一个文件和一台 计算机传染到另外没有被病毒传染的文件和计算机。 l 夺取系统控制权：计算机病毒的首要目标就是争夺系统的控制权，一般采 用修改中断入口或在正常程序中插入一段病毒程序，在系统启动或程序调用时， 先运行病毒程序，而后才转向正常的系统或程序运行。 l 隐蔽性：计算机病毒的隐蔽性表现在两个方面：其一，传染的隐蔽性，大 多数病毒在进行传染时不具有外部表现，不易被人发现。其二，一般的病毒程序 都夹在正常程序之中，很难被发现。
从1987年发现第1例计算机病毒以来，计算机病毒的发展经历了以下几个主 要阶ቤተ መጻሕፍቲ ባይዱ：
DOS引导阶段； DOS可执行文件阶段； 混合型阶段； 伴随及批次性阶段； 多形性阶段； 生成器及变体机阶段； 网络及蠕虫阶段； 视窗阶段； 宏病毒阶段； 互联网病毒阶段。
12.1.2 计算机病毒的基本原理
1. 计算机病毒的工作原理 (1)计算机病毒的主要特征
使用宏语言编写，可以在一些数据处理系统中运行（主要是微 软的办公软件系统，字处理、电子数据表和其他 Office 程序中）， 利用宏语言的功能将自己复制并且繁殖到其他数据文档里的程序。
9.蠕虫病毒（Worm Virus）
通过网络或者程序漏洞进行自主传播，向外发送带毒邮件或 通过即时通讯工具（QQ、MSN等）发送带毒文件，阻塞网络的正常 通信。 10.特洛伊木马（Trojan） 通常假扮成有用的程序诱骗用户主动激活，或利用系统漏洞 侵入用户电脑。木马进入用户电脑后隐藏在的系统目录下，然后 修改注册表，完成黑客定制的操作。 11.后门程序（Backdoor）
l 计算机病毒行动诡秘，而计算机对其反应却较“迟钝”， 往往把病毒造成的错误当成事实接受下来，这就是计算机病毒 的欺骗性。
2.计算机病毒的作用机理
任何一种计算机病毒都是由三个部份组成：引导部份、传染部 份和表现部份。
l 病毒的引导部份的作用是将病毒的主体加载到计算机内存， 为感染部份作准备，在这期间发生驻留内存、修改中断地址、修改 存放在高端内存中的信息、保存原中断向量等操作。引导部分也就 是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染 部分做准备。
12.1.1
计算机病毒的定义
1．病毒的定义 美国计算机研究专家F· Cohen博士最早提出了“计算机病毒”的 概念：计算机病毒是一段人为编制的计算机程序代码。这段代码一 旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序 或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的 目的。其特性在很多方面与生物病毒有着极其相似的地方。 《中华人民共和国计算机信息系统安全保护条例》第二十八条 中对计算机病毒做的定义是：计算机病毒，是指编制或者在计算机 程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并 能自我复制的一组计算机指令或者程序代码。 广义上说，凡能够破坏计算机正常运行和破坏计算机中数据的 程序代码都可以称为计算机病毒。
l 系统经常异常死机。
2.计算机病毒的诊断 常见的防毒软件是如何去发现它们的呢？就是利用所谓 的病毒码（Virus Pattern）。 病毒码其实可以想象成是犯人的指纹，当防毒软件公司 收集到一个新的病毒时，就会从这个病毒程序中，截取小段 独一无 二 足以表 示 这个病 毒 的二进 制 程序代 码 （ binary code），来当作扫毒程序辨认病毒的依据，而这段独一无二 的二进制程序码就是所谓的病毒码。
反病毒软件常用以下6种技术来查找病毒：
(1)病毒码扫描法
将新发现的病毒加以分析，根据其特征，编成病毒码，加入资料库中。 以后每当执行扫描病毒程序时，能立刻扫描目标文件，并与病毒代码对比， 即能侦察到是否有病毒。大多数防毒软件均采用这种方式，其缺点是无法 扫描新病毒及以变种病毒。 (2)加总比对法 根据每个程序的文件名称、大小、时间及内容，加总（按位加）为一 个检查码，再将检查码附于程序的后面或是将所有检查码放在同一个资料 库中，再利用加总法追踪并记录每个程序的检查码是否遭到更改，以判断 是否中毒。这种技术可侦察到各种病毒，但最大的缺点是误判较高，且无 法确认是哪种病毒感染的。
这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒 的种类繁多，大多感染文件的病毒都是这种类型。
6.引导区病毒（Boot Virus） 通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进 行传播的病毒。 7.文件型病毒（File Virus） 指将自身代码插入到可执行文件内来进行传播并伺机进行破坏 的病毒。 8.宏病毒（Macro Virus）
(3)不可预见性
不同种类病毒的代码千差万别，病毒的制作技术 也在不断地提高，病毒比反病毒软件永远是超前的。 新的操作系统和应用系统的出现，软件技术不断地发 展，这在为计算机提供了新的发展空间的同时，也对 未来病毒的预测更加困难，这就要求人们不断提高对 病毒的认识，增强防范意识。