5.3.2 计算机病毒的检测
1.特征代码法 已知病毒样本库 在被检测文件中 匹配特征代码
分割法主要是把用户分割成为不能互相传递信息
的封闭的子集。
5.3.1 病毒的理论防范方法
3. 流模型法 流模型法是对共享信息流流过的距离设立一个阈
值， 使一定的信息只能在一定的区域中流动， 以此
建立一个防卫机制。 若使用超过某一距离阈值的信息， 就可能存在某种危险。
4. 限制解释法
限制解释法也就是限制兼容， 即采用固定的解释 模式， 就可能不被病毒传染。
见的，有时即使安装了实时计算机病毒防火墙，也会 由于各种原因而不能完全阻隔某些计算机病毒的侵入。
其次不同种类的代码千差万别，病毒的制作技术
也不断提高，对未来病毒的预测很困难。
5.1.5 计算机病毒的传播途径
1. 不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯极少， 但破坏力却
并且通过宿主程序的执行而传播的。 蠕虫和特洛伊木马程序则是例外， 它们并不是依
附于某个程序或文件中， 其本身就完全包含有恶意的
计算机代码， 这也是二者与一般计算机病毒的区别。
5.1.4 计算机病毒的特性
9. 计算机病毒的不可预见性 计算机病毒的不可预见性体现在以下两个方面：
首先是计算机病毒的侵入、传播和发作是不可预
特征。通过传染 ，生物病毒从一个生物体扩散到另一
个生物体。 计算机病毒一旦进入计算机病得以执行，它会搜
寻其他符合其传染 条件的程序或存储介质，确定目标
后再将自身插入其中，达到自我繁殖的目的。
是否具传染性:判别一个程序是否为病毒的最重要条件。
5.1.4 计算机病毒的特性
CV 再生 病毒 CV P1 CV P2 … CV Pn 源病 毒
针对Macintosh的， 还有针对Unix和Linux操作系统的。 只有一种计算机病毒几乎是与操作系统无关的，
那就是宏病毒， 所有能够运行Office文档的地方都有
宏病毒的存在。
5.1.4 计算机病毒的特性
7. 计算机病毒的衍生性 计算机病毒的衍生性是指计算机病毒编制者或者
其他人将某个计算机病毒进行一定的修改后， 使其衍
图5-1 直接传染方式
再生病毒 CV P1 CV … P2 Pn CV
源病毒 CV
图5-2 间接传染方式
CV 再生病毒 CV P1.1 CV P1.2
源病毒
CV P1.3
CV P1.4 …
CV P1.i
CV P2.1
CV P2.2
CV P2.3
CV P2.4
CV P2.5 …
CV P2j
CV P3.1
5.2 Virus Mechanisms
计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马
5.3.1 病毒的理论防范方法
1. 基本隔离法 计算机系统如果存在着共享信息，就有可能传染 病毒。信息系统的共享性和传递性以及解释的通用性， 是计算机最突出的优点。 2. 分割法
5.2.4 病毒的破坏机制
（1）修改某一中断向量人口地址
一般为时钟中断INT 8H,或与时钟中断有关的其他中断，如 INT 1CH
（2）使该中断向量指向病毒程序的破坏模块 （3）激活病毒破坏模块 （4）判断设定条件是否满足 （5）满足则对系统或磁盘上的文件进行破坏活动
Outline 5.1 Virus Overview 计算机病毒概述
破坏
计算机功能
数据
程序代码
自我复制
指在编制或者在计算机程序中插入的破坏计算机 功能或者破坏数据，影响计算机使用并且能够自我复
制的一组计算机指令或者程序代码（《中华人民共和
国计算机信息系统安全保护条例》1994年）
5.1.4 计算机病毒的特性
1. 计算机病毒的传染性 与生物病毒一致：传染性是生物病毒的一个重要
一是传染 的隐蔽性。
二是计算机病毒程序存在的隐蔽性。
5.1.4 计算机病毒的特性
3. 计算机病毒的潜伏性
大部分的计算机病毒感染 系统之后一般不会马
上发作， 它可长期隐藏在系统中， 只有在满足其特 定条件时才启动其表现（破坏）模块， 在此期间，
它就可以对系统和文件进行大肆传染 。 潜伏性愈好，
其在系统中的存在时间就会愈久， 计算机病毒的传染 范围就会愈大。
3. 计算机病毒的引导过程 一般：驻留内存 窃取系统控制权 恢复系统功能
寄生在磁盘引导扇区中：任何操作系统都有个自举过程, 例如DOS在启
动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒 程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容 及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。 这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存 的高端并占据该范围, 然后置触发条件如INT 13H中断（磁盘读写中断） 向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。
5.2.3 病毒的发生机制
（1）传染源：存储介质, 例如软盘、 硬盘等构成传染源。 （2）传染媒介：计算机网, 移动的存储介质或硬件。 （3）病毒激活：是指将病毒装入内存, 并设置触发条件。 （4）病毒触发：内部时钟, 系统的日期, 用户标识符，也可能是系统 一次通信等等。一旦触发条件成熟, 病毒就开始作用－－自我复制到 传染对象中, 进行各种破坏活动等。 （5）病毒表现：屏幕显示，破坏数据等 （6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。
（3） 影响系统运行速度，
（4） 破坏磁盘。 （5） 扰乱屏幕显示。
使系统的运行明显变慢。
（6） 键盘和鼠标工作不正常。 （7） 攻击CMOS。
（8） 干扰外设的工作， 尤其是打印机。
Outline 5.1 Virus Overview 计算机病毒概述
5.2 Virus Mechanisms
计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马
件、 重启动、 死机等； 导致系统性能下降； 攻击磁盘， 造成 不能访问磁盘、 无法写入等； 扰乱屏幕显示； 干扰键盘操作；
喇叭发声； 攻击CMOS； 干扰外设， 如无法访问打印机等。
5.1.4 计算机病毒的特性
6. 计算机病毒的针对性 计算机病毒都是针对某一种或几种计算机和特定
的操作系统的。 例如， 有针对PC及其兼容机的， 有
5.2.2 病毒的引导机制
CV CV1
CV
CV2
CV P P P
CVn P
图5-5 寄生方式
…
病毒解密程序
病毒解密程序
CV1(密文 )
CV1(密文 )
CV1(明文 )
…
…
CVn(密文 )
…
CVn(密文 )
CVn(明文 )
病毒密钥 潜伏状态
病毒密钥 运行状态
图5-6 采用加密技术的病毒程序
…
5.2.2 病毒的引导机制
(2) 利用计算机病毒体内自带的计数器作为触发器， 计 算机病毒利用计数器记录某种事件发生的次数， 一旦 计数器达到某一设定的值， 就执行破坏操作。 例：ElkCloner 第50次启动感染 病毒的软盘时
(3) 利用计算机内执行的某些特定操作作为触发器，
特定操作可以是用户按下某种特定的组合键， 可以是 执行格式化命令， 也可以是读写磁盘的某些扇区等。
5.1.2 计算机病毒的由来
中国：
1989年初： 大连市统计局的计算机上发现有小球计算机
病毒。 1989年3、 4月间： 重庆西南铝加工厂也有了关于计算机 病毒的报道。
从此以后， 计算机病毒以极其迅猛之势在中国大陆蔓延。
5.1.3 计算机病毒的定义
在计算机 编制 程序中插入
一组计算机指令 影响计算机使用
Outline 5.1 Virus Overview 计算机病毒概述
5.2 Virus Mechanisms
计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马
5.1.1 计算机病毒存在的原因
Von Neumann（冯·诺依曼） EDVAC (Electronic Discrete Variable Computer) （离散变量自动电子计算机）方案
以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如
果磁盘没有被感染（通过识别标志）则进行传染。
5.2.2 病毒的引导机制
3. 计算机病毒的引导过程 一般：驻留内存 窃取系统控制权 恢复系统功能
寄生在可执行程序中：这种病毒寄生在正常的可执行程序中, 一旦程序
执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后 置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条 件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修 改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并 在执行时首先执行它。这种病毒传染性比较强。
极强， 目前尚没有较好的检测手段对付它。 2. 移动存储设备：光盘、移动硬盘等。
3. 网 络 ： 电 子 邮 件 、 BBS 、 WWW 浏 览 、 FTP 文 件 下
载、新闻组。 4. 通过点对点通信系统和无线通信系统传播
5.1.6 计算机病毒的危害和由此产生的症状
（1） 攻击系统数据区。 （2） 对于文件的攻击。