《畢業(yè)論文《計算機病毒防范》》由會員分享，可在線閱讀，更多相關《畢業(yè)論文《計算機病毒防范》（53頁珍藏版）》請在裝配圖網上搜索。

1、畢業(yè)論文課題名稱 計算機病毒防范姓名 劉斌 學號 103050819 專業(yè) 計算機網絡 班級 W0508 指導教師 江麗隨著計算機及計算機網絡的發(fā)展，伴隨而來的計算機病毒傳播問題越來越引起人們的關注。隨因特網的流行，有些計算機病毒借助網絡爆發(fā)流行，如CIH計算機病毒、“愛蟲”病毒等，它們與以往的計算機病毒相比具有一些新的特點，給廣大計算機用戶帶來了極大的損失。當計算機系統(tǒng)或文件染有計算機病毒時，需要檢測和消除。但是，計算機病毒一旦破壞了沒有副本的文件，便無法醫(yī)治。隱性計算機病毒和多態(tài)性計算機病毒更使人難以檢測。在與計算機病毒的對抗中，如果能采取有效的防范措施，就能使系統(tǒng)不染毒，或者染毒后能減少

2、損失。計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發(fā)現(xiàn)計算機病毒侵入，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統(tǒng)和數(shù)據。計算機病毒利用讀寫文件能進行感染，利用駐留內存、截取中斷向量等方式能進行傳染和破壞。預防計算機病毒就是要監(jiān)視、跟蹤系統(tǒng)內類似的操作，提供對系統(tǒng)的保護，最大限度地避免各種計算機病毒的傳染破壞。老一代的防殺計算機病毒軟件只能對計算機系統(tǒng)提供有限的保護，只能識別出已知的計算機病毒。新一代的防殺計算機病毒軟件則不僅能識別出已知的計算機病毒，在計算機病毒運行之前發(fā)出警報，還能屏蔽掉計算機病毒程序的傳染功能和破壞功能，使受感染的程序可以繼續(xù)運行

3、（即所謂的帶毒運行）。同時還能利用計算機病毒的行為特征，防范未知計算機病毒的侵擾和破壞。另外，新一代的防殺計算機病毒軟件還能實現(xiàn)超前防御，將系統(tǒng)中可能被計算機病毒利用的資源都加以保護，不給計算機病毒可乘之機。防御是對付計算機病毒的積極而又有效的措施，比等待計算機病毒出現(xiàn)之后再去掃描和清除更有效地保護計算機系統(tǒng)。計算機病毒的工作方式是可以分類的，防殺計算機病毒軟件就是針對已歸納總結出的這幾類計算機病毒工作方式來進行防范的。當被分析過的已知計算機病毒出現(xiàn)時，由于其工作方式早已被記錄在案，防殺計算機病毒軟件能識別出來；當未曾被分析過的計算機病毒出現(xiàn)時，如果其工作方式仍可被歸入已知的工作方式，則這種計

4、算機病毒能被反病毒軟件所捕獲。這也就是采取積極防御措施的計算機病毒防范方法優(yōu)越于傳統(tǒng)方法的地方。當然，如果新出現(xiàn)的計算機病毒不按已知的方式工作，這種新的傳染方式又不能被反病毒軟件所識別，那么反病毒軟件也無能為力了。這時只能采取兩種措施進行保護：第一是依靠管理上的措施，及早發(fā)現(xiàn)疫情，捕捉計算計算機病毒，修復系統(tǒng)。第二是選用功能更加完善的、具有更強超前防御能力的反病毒軟件，盡可能多地堵住能被計算機病毒利用的系統(tǒng)漏洞。計算機病毒防范工作，首先是防范體系的建設和制度的建立。沒有一個完善的防范體系，一切防范措施都將滯后于計算機病毒的危害。計算機病毒防范體系的建設是一個社會性的工作，不是一兩個人、一兩家企

5、業(yè)能夠實現(xiàn)的，需要全社會的參與，充分利用所有能夠利用的資源，形成廣泛的、全社會的計算機病毒防范體系網絡。計算機病毒防范制度是防范體系中每個主體都必須的行為規(guī)程，沒有制度，防范體系就不可能很好地運作，就不可能達到預期的效果。必須依照防范體系對防范制度的要求，結合實際情況，建立符合自身特點防范制度。計算機病毒的表現(xiàn)現(xiàn)象計算機病毒是客觀存在的，客觀存在的事物總有它的特性，計算機病毒也不例外。從實質上說，計算機病毒是一段程序代碼，雖然它可能隱藏得很好，但也會留下許多痕跡。通過對這些蛛絲馬跡的判別，我們就能發(fā)現(xiàn)計算機病毒的存在了。根據計算機病毒感染和發(fā)作的階段，可以將計算機病毒的表現(xiàn)現(xiàn)象分為三大類，即：

6、計算機病毒發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象。 2.2.1 計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象計算機病毒發(fā)作前，是指從計算機病毒感染計算機系統(tǒng)，潛伏在系統(tǒng)內開始，一直到激發(fā)條件滿足，計算機病毒發(fā)作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)同時，又自我復制，以各種手段進行傳播。以下是一些計算機病毒發(fā)作前常見的表現(xiàn)現(xiàn)象：1、平時運行正常的計算機突然經常性無緣無故地死機。病毒感染了計算機系統(tǒng)后，將自身駐留在系統(tǒng)內并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生。2、操作系統(tǒng)無法正常啟動。關機后再啟動，操作系統(tǒng)報告缺少必要的

7、啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結構發(fā)生變化，無法被操作系統(tǒng)加載、引導。3、運行速度明顯變慢。在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。4、 以前能正常運行的軟件經常發(fā)生內存不足的錯誤。某個以前能夠正常運行的程序，程序啟動的時候報系統(tǒng)內存不足，或者使用應用程序中的某個功能時報說內存不足。這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內存空間，使得可用內存空間減小。需要注意

8、的是在Windows 95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節(jié)，如果用“復制粘貼”操作粘貼一段很大的文字到記事本程序時，也會報“內存不足，不能完成操作”的錯誤，但這不是計算機病毒在作怪。 5、 打印和通訊發(fā)生異常。硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發(fā)現(xiàn)無法進行打印操作，或打印出來的是亂碼。串口設備無法正常工作，比如調制解調器不撥號。這很可能是計算機病毒駐留內存后占用了打印端口、串行通訊端口的中斷服務程序，使之不能正常工作。6、 無意中要求對軟盤進行寫操作。沒有進行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅中沒有插入軟盤，或者要求在讀取、復制寫保護的軟盤上的

9、文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅中的時候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時候創(chuàng)建一個臨時文件，也有的安裝程序（如Office 97）對軟盤有寫的操作。7、 以前能正常運行的應用程序經常發(fā)生死機或者非法錯誤。在硬件和操作系統(tǒng)沒有進行改動的情況下，以前能夠正常運行的應用程序產生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的。8、 系統(tǒng)文件的時間、日 期、大小發(fā)生變化。這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在

10、原始文件的后面，文件大小大多會有所增加，文件的訪問和修改日期和時間也會被改成感染時的時間。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會修改它們的，除非是進行系統(tǒng)升級或打補丁。對應用程序使用到的數(shù)據文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。9、 運行Word，打開Word文檔后，該文件另存時只能以模板方式保存。無法另存為一個DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。10、 磁盤空間迅速減少。沒有安裝新的應用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經常瀏覽網頁、回收站

11、中的文件過多、臨時文件夾下的文件數(shù)量過多過大、計算機系統(tǒng)有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows 95/98下的內存交換文件的增長，在Windows 95/98下內存交換文件會隨著應用程序運行的時間和進程的數(shù)量增加而增長，一般不會減少，而且同時運行的應用程序數(shù)量越多，內存交換文件就越大。11、 網絡驅動器卷或共享目錄無法調用。對于有讀權限的網絡驅動器卷、共享目錄等無法打開、瀏覽，或者對有寫權限的網絡驅動器卷、共享目錄等無法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對網絡驅動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網絡驅動器卷和共享目錄

12、的正常訪問。12、 基本內存發(fā)生變化。在DOS下用mem /c/p命令查看系統(tǒng)中內存使用狀況的時候可以發(fā)現(xiàn)基本內存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb2Kb。這通常是計算機系統(tǒng)感染了引導型計算機病毒所造成的。13、 陌生人發(fā)來的電子函件。收到陌生人發(fā)來的電子函件，尤其是那些標題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產品介紹；垃圾電子函件的內容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很

13、大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節(jié)。當然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。14、 自動鏈接到一些陌生的網站。沒有在上網，計算機會自動撥號并連接到因特網上一個陌生的站點，或者在上網的時候發(fā)現(xiàn)網絡特別慢，存在陌生的網絡鏈接。這種聯(lián)接大多是黑客程序將收集到的計算機系統(tǒng)的信息“悄悄地”發(fā)回某個特定的網址，可以通過netstat命令查看當前建立的網絡鏈接，再比照訪問的網站來發(fā)現(xiàn)。需要注意的是有些網頁中有一些腳本程序會自動鏈接到一些網頁評比站點，或者是廣告站點，這時候也會有陌生的網絡鏈接出現(xiàn)

14、。當然，這種情況也可以認為是非法的。一般的系統(tǒng)故障是有別與計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象，而計算機病毒感染所出現(xiàn)的現(xiàn)象會多的多。根據上述幾點，就可以初步判斷計算機和網絡是否感染上了計算機病毒。 2.2.2 計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象計算機病毒發(fā)作時是指滿足計算機病毒發(fā)作的條件，計算機病毒程序開始破壞行為的階段。計算機病毒發(fā)作時的表現(xiàn)大都各不相同，可以說一百個計算機病毒發(fā)作有一百種花樣。這與編寫計算機病毒者的心態(tài)、所采用的技術手段等都有密切的關系。以下列舉了一些計算機病毒發(fā)作時常見的表現(xiàn)現(xiàn)象：1、提示一些不相干的話。最常見的是提示一些不相干的話，比如打開感染了宏病毒的W

15、ord文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。2、發(fā)出一段的音樂。惡作劇式的計算機病毒，最著名的是外國的“楊基”計算機病毒（Yangkee）和中國的“瀏陽河”計算機病毒?！皸罨庇嬎銠C病毒發(fā)作是利用計算機內置的揚聲器演奏楊基音樂，而“瀏陽河”計算機病毒更絕，當系統(tǒng)時鐘為9月9日時演奏歌曲瀏陽河，而當系統(tǒng)時鐘為12月26日時則演奏東方紅的旋律。這類計算機病毒大多屬于“良性”計算機病毒，只是在發(fā)作時發(fā)出音樂和占用處理器資源。3、產生特定的圖象。另一類惡作劇式的計算機病毒，比如小球計算機病毒，發(fā)作時會從屏幕上方不斷掉落下來小球

16、圖形。單純地產生圖象的計算機病毒大多也是“良性”計算機病毒，只是在發(fā)作時破壞用戶的顯示界面，干擾用戶的正常工作。4、 硬盤燈不斷閃爍。硬盤燈閃爍說明有硬盤讀寫操作。當對硬盤有持續(xù)大量的操作時，硬盤的燈就會不斷閃爍，比如格式化或者寫入很大很大的文件。有時候對某個硬盤扇區(qū)或文件反復讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發(fā)作的時候對硬盤進行格式化，或者寫入許多垃圾文件，或反復讀取某個文件，致使硬盤上的數(shù)據遭到損失。具有這類發(fā)作現(xiàn)象的計算機病毒大多是“惡性”計算機病毒。5、 進行游戲算法。有些惡作劇式的計算機病毒發(fā)作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續(xù)他的

17、工作。比如曾經流行一時的“臺灣一號”宏病毒，在系統(tǒng)日期為13日時發(fā)作，彈出對話框，要求用戶做算術題。這類計算機病毒一般是屬于“良性”計算機病毒，但也有那種用戶輸了后進行破壞的“惡性”計算機病毒。6、 Windows桌面圖標發(fā)生變化。這一般也是惡作劇式的計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象。把Windows缺省的圖標改成其他樣式的圖標，或者將其他應用程序、快捷方式的圖標改成Windows缺省圖標樣式，起到迷惑用戶的作用。7、 計算機突然死機或重啟。有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發(fā)作時會造成意想不到情況；或者是計算機病毒在Autoexec.bat文件中添加了一句：Format c：

18、之類的語句，需要系統(tǒng)重啟后才能實施破壞的。8、自動發(fā)送電子函件。大多數(shù)電子函件計算機病毒都采用自動發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計算機病毒在某一特定時刻向同一個郵件服務器發(fā)送大量無用的信件，以達到阻塞該郵件服務器的正常服務功能。9、鼠標自己在動。沒有對 計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，而屏幕上的鼠標自己在動，應用程序自己在運行，有受遙控的現(xiàn)象。大多數(shù)情況下是計算機系統(tǒng)受到了黑客程序的控制，從廣義上說這也是計算機病毒發(fā)作的一種現(xiàn)象。需要指出的是，有些是計算機病毒發(fā)作的明顯現(xiàn)象，比如提示一些不相干的話、播放音樂或者顯示特定的圖象等。有些現(xiàn)象則很難直接判

19、定是計算機病毒的表現(xiàn)現(xiàn)象，比如硬盤燈不斷閃爍，當同時運行多個內存占用大的應用程序，比如3D MAX，Adobe Premiere等，而計算機本身性能又相對較弱的情況下，在啟動和切換應用程序的時候也會使硬盤不停地工作，硬盤燈不斷閃爍。 2.2.3 計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象通常情況下，計算機病毒發(fā)作都會給計算機系統(tǒng)帶來破壞性的后果，那種只是惡作劇式的“良性”計算機病毒只是計算機病毒家族中的很小一部分。大多數(shù)計算機病毒都是屬于“惡性”計算機病毒。“惡性”計算機病毒發(fā)作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發(fā)作后所造成的后果：1、硬盤無法啟動，數(shù)據丟失計算機病毒破壞了硬盤的引導扇區(qū)后，

20、就無法從硬盤啟動計算機系統(tǒng)了。有些計算機病毒修改了硬盤的關鍵內容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤上的數(shù)據幾乎完全丟失。2、系統(tǒng)文件丟失或被破壞通常系統(tǒng)文件是不會被刪除或修改的，除非對計算機操作系統(tǒng)進行了升級。但是某些計算機病毒發(fā)作時刪除了系統(tǒng)文件，或者破壞了系統(tǒng)文件，使得以后無法法正常啟動計算機系統(tǒng).通常容易受攻擊的系統(tǒng)文件C，Emm386.exe，W，Kernel.exe，User.exe等等。3、文件目錄發(fā)生混亂目錄發(fā)生混亂有兩種情況。一種就是確實將目錄結構破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據，再也無法恢復。另一種情況將真正的目錄區(qū)轉移到硬盤的其他扇區(qū)中，只要

21、內存中存在有該計算機病毒，它能夠將正確的目錄扇區(qū)讀出，并在應用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。但是一旦內存中沒有該計算機病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復的。4、部分文檔丟失或被破壞類似系統(tǒng)文件的丟失或被破壞，有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔，造成數(shù)據丟失。5、部分文檔自動加密碼還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內或其他隱蔽的地方，而被感染的文件被加密，如果內存中駐留有這種計算機病毒，那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密，使得用戶察覺不到。一旦這種計算機病

22、毒被清除，那么被加密的文檔就很難被恢復了。6、修改Autoexec.bat文件，增加Format C：一項，導致計算機重新啟動時格式化硬盤。在計算機系統(tǒng)穩(wěn)定工作后，一般很少會有用戶去注意Autoexec.bat文件的變化，但是這個文件在每次系統(tǒng)重新啟動的時候都會被自動運行，計算機病毒修改這個文件從而達到破壞系統(tǒng)的目的。7、使部分可軟件升級主板的BIOS程序混亂，主板被破壞。類似CIH計算機病毒發(fā)作后的現(xiàn)象，系統(tǒng)主板上的BIOS被計算機病毒改寫、破壞，使得系統(tǒng)主板無法正常工作，從而使計算機系統(tǒng)報廢。8、網絡癱瘓，無法提供正常的服務。由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機

23、病毒進入系統(tǒng)時要立即報警并清除，這樣才能確保系統(tǒng)安全，待計算機病毒發(fā)作后再去殺毒，實際上已經為時已晚。 2.2.4 從表現(xiàn)形式和傳播途徑發(fā)現(xiàn)計算機病毒上面介紹了計算機病毒在不同情況下的表現(xiàn)形式。在1.5節(jié)也介紹了計算機病毒的傳播途徑。計算機病毒要進行傳染，必然會表現(xiàn)出來，留下痕跡。檢測計算機病毒，就是要到計算機病毒寄生場所去檢查，驗明“正身”，確證計算機病毒的存在。計算機病毒存儲于磁盤中，激活時駐留在內存中。因此對計算機病毒的檢測分為對內存的檢測和對磁盤的檢測。一般對磁盤進行計算機病毒檢測時，要求內存中不帶計算機病毒。這是由于某些計算機病毒會向檢測者報告假情況。例如4096計算機病毒，當它在內

24、存中時，查看被感染的文件長度，不會發(fā)現(xiàn)該文件的長度已發(fā)生變化，而當在內存中沒有該計算機病毒時，才會發(fā)現(xiàn)文件長度已經增長了4096字節(jié)。又如DIR II計算機病毒，在內存中時，用DEBUG程序查看時，根本看不到DIR II計算機病毒的代碼，很多檢測程序因此而漏過了被其感染的文件。再如引導型的巴基斯坦智囊計算機病毒，當它在內存中時，檢查引導區(qū)時看不到該計算機病毒程序而只看到正常的引導扇區(qū)。因此，只有在要求確認某種計算機病毒的類型和對其進行分析、研究時，才在內存中帶毒的情況下做檢測工作。從原始的、未受計算機病毒感染的DOS系統(tǒng)軟盤啟動，可以保證內存中不帶毒。啟動必須是上電啟動而不能是按鍵盤上的Alt

25、+Ctrl+Del三個鍵。因為某些計算機病毒通過截取鍵盤中斷處理程序，仍然會將自己駐留在內存中?？梢姳Ａ粢环菸幢挥嬎銠C病毒感染的、寫保護的DOS系統(tǒng)軟盤是很重要的。需要注意的是，若要檢測硬盤中的計算機病毒，則啟動系統(tǒng)的DOS軟盤的版本應該等于或高于硬盤內DOS系統(tǒng)的版本號。若硬盤上使用了磁盤管理軟件、磁盤壓縮存儲管理軟件等，啟動系統(tǒng)的軟盤上應該把這些軟件的驅動程序包括在內，并把它們添加在CONFIG.SYS文件中。否則用系統(tǒng)軟盤引導啟動后，將不能訪問硬盤上的所有分區(qū)，使躲藏在其中的計算機病毒逃過檢查。 計算機病毒的技術防范對于計算機病毒毫無警惕意識的人員，可能當顯示屏上出現(xiàn)了計算機病毒信息，也

26、不會去仔細觀察一下，麻痹大意，任其在磁盤中進行破壞。其實，只要稍有警惕，根據計算機病毒在傳染時和傳染后留下的蛛絲馬跡，再運用計算機病毒檢測軟件和DEBUG程序進行人工檢測，是完全可以在計算機病毒進行傳播的過程中就能發(fā)現(xiàn)它。從技術上采取實施，防范計算機病毒，執(zhí)行起來并不困難，困難的是持之以恒，堅持不懈。 2.3.1計算機病毒的技術預防措施下面總結出一系列行之有效的措施供參考。1、新購置的計算機硬軟件系統(tǒng)的測試新購置的計算機是有可能攜帶計算機病毒的。因此，在條件許可的情況下，要用檢測計算機病毒軟件檢查已知計算機病毒，用人工檢測方法檢查未知計算機病毒，并經過證實沒有計算機病毒感染和破壞跡象后再使用。

27、新購置計算機的硬盤可以進行檢測或 進行低級格式化來確保沒有計算機病毒存在。對硬盤只在DOS下做FORMAT格式化是不能去除主引導區(qū)（分區(qū)表）計算機病毒的。軟盤在DOS下做FORMAT格式化可以去除感染的計算機病毒。新購置的計算機軟件也要進行計算機病毒檢測。有些軟件廠商發(fā)售的軟件，可能無意中已被計算機病毒感染。就算是正版軟件也難保證沒有攜帶計算機病毒的可能性，更不要說盜版軟件了。這在國內、外都是有實例的。這時不僅要用殺毒軟件查找已知的計算機病毒，還要用人工檢測和實驗的方法檢測。2、計算機系統(tǒng)的啟動在保證硬盤無計算機病毒的情況下，盡量使用硬盤引導系統(tǒng)。啟動前，一般應將軟盤從軟盤驅動器中取出。這是因

28、為即使在不通過軟盤啟動的情況下，只要軟盤在啟動時被讀過，計算機病毒仍然會進入內存進行傳染。很多計算機中，可以通過設置CMOS參數(shù)，使啟動時直接從硬盤引導啟動，而根本不去讀軟盤。這樣即使軟盤驅動器中插著軟盤，啟動時也會跳過軟驅，嘗試由硬盤進行引導。很多人認為，軟盤上如果沒有COMMAND.COM等系統(tǒng)啟動文件，就不會帶計算機病毒，其實引導型計算機病毒根本不需要這些系統(tǒng)文件就能進行傳染。3、單臺計算機系統(tǒng)的安全使用在自己的機器上用別人的軟盤前應進行檢查。在別人的計算機上使用過自己的已打開了寫保護的軟盤，再在自己的計算機上使用前，也應進行計算機病毒檢測。對重點保護的計算機系統(tǒng)應做到專機、專盤、專人、

29、專用，封閉的使用環(huán)境中是不會自然產生計算機病毒的。4、重要數(shù)據文件要有備份硬盤分區(qū)表、引導扇區(qū)等的關鍵數(shù)據應作備份工作，并妥善保管。在進行系統(tǒng)維護和修復工作時可作為參考。重要數(shù)據文件定期進行備份工作。不要等到由于計算機病毒破壞、計算機硬件或軟件出現(xiàn)故障，使用戶數(shù)據受到損傷時再去急救。對于軟盤，要盡可能將數(shù)據和應用程序分別保存，裝應用程序的軟盤要有寫保護。在任何情況下，總應保留一張寫保護的、無計算機病毒的、帶有常用DOS命令文件的系統(tǒng)啟動軟盤，用以清除計算機病毒和維護系統(tǒng)。常用的DOS應用程序也有副本，計算機修復工作就比較容易進行了。5、不要隨便直接運行或直接打開電子函件中夾帶的附件文件，不要隨

30、意下載軟件，尤其是一些可執(zhí)行文件和Office文檔。即使下載了，也要先用最新的防殺計算機病毒軟件來檢查。6、計算機網絡的安全使用以上這些措施不僅可以應用在單機上，也可以應用在作為網絡工作站的計算機上。而對于網絡計算機系統(tǒng)，還應采取下列針對網絡的防殺計算機病毒措施：（1）安裝網絡服務器時應，應保證沒有計算機病毒存在，即安裝環(huán)境和網絡操作系統(tǒng)本身沒有感染計算機病毒。（2）在安裝網絡服務器時，應將文件系統(tǒng)劃分成多個文件卷系統(tǒng)，至少劃分成操作系統(tǒng)卷、共享的應用程序卷和各個網絡用戶可以獨占的用戶數(shù)據卷。這種劃分十分有利于維護網絡服務器的安全穩(wěn)定運行和用戶數(shù)據的安全。如果系統(tǒng)卷受到某種損傷，導致服務器癱瘓

31、，那么通過重裝系統(tǒng)卷，恢復網絡操作系統(tǒng)，就可以使服務器又馬上投入運行。而裝在共享的應用程序卷和用戶卷內的程序和數(shù)據文件不會受到任何損傷。如果用戶卷內由于計算機病毒或由于使用上的原因導致存儲空間擁塞時，系統(tǒng)卷是不受影響的，不會導致網絡系統(tǒng)運行失常。并且這種劃分十分有利于系統(tǒng)管理員設置網絡安全存取權限，保證網絡系統(tǒng)不受計算機病毒感染和破壞。（3）一定要用硬盤啟動網絡服務器，否則在受到引導型計算機病毒感染和破壞后，遭受損失的將不是一個人的機器，而會影響到整個網絡的中樞。（4）為各個卷分配不同的用戶權限。將操作系統(tǒng)卷設置成對一般用戶為只讀權限，屏蔽其它網絡用戶對系統(tǒng)卷除讀和執(zhí)行以外的所有其它操作，如修

32、改、改名、刪除、創(chuàng)建文件和寫文件等操作權限。應用程序卷也應設置成對一般用戶是只讀權限的，不經授權、不經計算機病毒檢測，就不允許在共享的應用程序卷中安裝程序。保證除系統(tǒng)管理員外，其它網絡用戶不可能將計算機病毒感染到系統(tǒng)中，使網絡用戶總有一個安全的聯(lián)網工作環(huán)境。（5）在網絡服務器上必須安裝真正有效的防殺計算機病毒軟件，并經常進行升級。必要的時候還可以在網關、路由器上安裝計算機病毒防火墻產品，從網絡出入口保護整個網絡不受計算機病毒的侵害。在網絡工作站上采取必要的防殺計算機病毒措施，可使用戶不必擔心來自網絡內和網絡工作站本身的計算機病毒侵害。（6）系統(tǒng)管理員的職責：1） 系統(tǒng)管理員的口令應嚴格管理，不

33、使泄漏，不定期地予以更換，保護網絡系統(tǒng)不被非法存取，不被感染上計算機病毒或遭受破壞。2） 在安裝應用程序軟件時，應由系統(tǒng)管理員進行，或由系統(tǒng)管理員臨時授權進行。以保護網絡用戶使用共享資源時總是安全無毒的。3）系統(tǒng)管理員對網絡內的共享電子函件系統(tǒng)、共享存儲區(qū)域和用戶卷應定期進行計算機病毒掃描，發(fā)現(xiàn)異常情況及時處理。如果可能，在應用程序卷中安裝最新版本的防殺計算機病毒軟件供用戶使用。4）網絡系統(tǒng)管理員應做好日常管理事務的同時，還要準備應急措施，及時發(fā)現(xiàn)計算機病毒感染跡象。當出現(xiàn)計算機病毒傳播跡象時，應立即隔離被感染的計算機系統(tǒng)和網絡，并進行處理。不應當帶毒繼續(xù)工作下去，要按照特別情況清查整個網絡，

34、切斷計算機病毒傳播的途徑，保障正常工作的進行。必要的時候應立即得到專家的幫助。由于技術上的計算機病毒防治方法尚無法達到完美的境地，難免會有新的計算機病毒突破防護系統(tǒng)的保護，傳染到計算機系統(tǒng)中。因此對可能由計算機病毒引起的現(xiàn)象應予以注意，發(fā)現(xiàn)異常情況時，不使計算機病毒傳播影響到整個網絡。 2.3.2 引導型計算機病毒的識別和防范引導型計算機病毒主要是感染磁盤的引導扇區(qū)，也就是常說的磁盤的BOOT區(qū)。我們在使用被感染的磁盤（無論是軟盤還是硬盤）啟動計算機時它們就會首先取得系統(tǒng)控制權，駐留內存之后再引導系統(tǒng)，并伺機傳染其它軟盤或硬盤的引導區(qū)。純粹的引導型計算機病毒一般不對磁盤文件進行感染。感染了引導

35、型計算機病毒后，引導記錄會發(fā)生變化。當然，通過一些防殺計算機病毒軟件可以發(fā)現(xiàn)引導型計算機病毒，在沒有防殺計算機病毒軟件的情況下可以通過以下一些方法判斷引導扇區(qū)是否被計算機病毒感染：1. 先用可疑磁盤引導計算機，引導過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅動程序和應用程序的加載，這時用MEM或MI等工具查看計算機的空余內存空間（Free Memory Space）的大??；再用與可疑磁盤上相同版本的、未感染計算機病毒的DOS系統(tǒng)軟盤啟動計算機，啟 動過程中，按F5鍵跳過CONFIG.SYS和AUTOEXEC.BAT中的驅動程序和應用程序的加載，然后用MEM或MI等工

36、具查看并記錄下計算機空余內存空間的大小，如果上述兩次的空余內存空間大小不一致，則可疑磁盤的引導扇區(qū)肯定已被引導型計算機病毒感染。2. 用硬盤引導計算機，運行DOS中的MEM，可以查看內存分配情況，尤其要注意常規(guī)內存（Conventional Memory）的總數(shù)，一般為640Kb字節(jié)，裝有硬件防殺計算機病毒芯片的計算機有的可能為639Kb字節(jié)。如果常規(guī)內存總數(shù)小于639Kb字節(jié)，那么引導扇區(qū)肯定被感染上引導型計算機病毒。3. 機器在運行過程中剛設定好的時間、日期，運行一會兒被修改為缺省的時間、日期，這種情況下，系統(tǒng)很可能帶有引導型計算機病毒。4. 在開機過程中，CMOS中剛設定好的軟盤配置（即

37、1.44Mb或1.2Mb），用“干凈的”軟盤啟動時一切正常，但用硬盤引導后，再去讀軟盤則無法讀取，此時CMOS中軟盤設定情況為None，這種情況肯定帶有引導型計算機病毒。5. 硬盤自引導正常，但用“干凈的”DOS系統(tǒng)軟盤引導時，無法訪問硬盤如C：盤（某些需要特殊的驅動程序的大硬盤和FAT32、NTFS等特殊分區(qū)除外），這肯定感染上引導型計算機病毒。6. 系統(tǒng)文件都正常，但Windows 95/98經常無法啟動，這有可能是感染上了引導型計算機病毒。上述介紹的僅是常見的幾種情況。計算機被感染了引導型計算機病毒，最好用防殺計算機病毒軟件加以清除，或者在“干凈的”系統(tǒng)啟動軟盤引導下，用備份的引導扇區(qū)覆

38、蓋。預防引導型計算機病毒，通常采用以下一些方法：（1) 堅持從不帶計算機病毒的硬盤引導系統(tǒng)。（2) 安裝能夠實時監(jiān)控引導扇區(qū)的防殺計算機病毒軟件，或經常用能夠查殺引導型計算機病毒的防殺計算機病毒軟件進行檢查。（3) 經常備份系統(tǒng)引導扇區(qū)。（4) 某些底板上提供引導扇區(qū)計算機病毒保護功能（Virus Protect），啟用它對系統(tǒng)引導扇區(qū)也有一定的保護作用。不過要注意的是啟用這功能可能會造成一些需要改寫引導扇區(qū)的軟件（如Windows 95/98，Windows NT以及多系統(tǒng)啟動軟件等）安裝失敗。 2.3.3 文件型計算機病毒的識別和防范大多數(shù)的計算機病毒都屬于文件型計算機病毒。文件型計算機病

39、毒一般只傳染磁盤上的可執(zhí)行文件（COM，EXE），在用戶調用染毒的可執(zhí)行文件時，計算機病毒首先被運行，然后計算機病毒駐留內存伺機傳染其他文件，其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。文件型計算機病毒通過修改COM、EXE或OVL等文件的結構，將計算機病毒代碼插入到宿主程序，文件被感染后，長度、日期和時間等大多發(fā)生變化，也有些文件型計算機病毒傳染前后文件長度、日期、時間不會發(fā)生任何變化，稱之為隱型計算機病毒。隱型計算機病毒是在傳染后對感染文件進行數(shù)據壓縮，或利用可執(zhí)行文件中有一些空的數(shù)據區(qū)，將自身分解在這些空區(qū)中，從而達到不被發(fā)現(xiàn)的目的。通過以下方法可以判別文件型計算機病毒：1

40、. 在用未感染計算機病毒的DOS啟動軟盤引導后，對同一目錄列目錄（DIR）后文件的總長度與通過硬盤啟動后所列目錄內文件總長度不一樣，則該目錄下的某些文件已被計算機病毒感染，因為在帶毒環(huán)境下，文件的長度往往是不真實的。2. 有些文件型計算機病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同時也感染系統(tǒng)的引導扇區(qū)，如果磁盤的引導扇區(qū)被莫名奇妙地破壞了，則磁盤上也有可能有文件型計算機病毒。3. 系統(tǒng)文件長度發(fā)生變化，則這些系統(tǒng)文件上很有可能含有計算機病毒代碼。應記住一些常見的DOS系統(tǒng)的IO.SYS、MSDOS.SYS、COMMAND.COM、KRNL386.EXE等系統(tǒng)文件

41、的長度。4. 計算機在運行過外來軟件后，經常死機，或者Windows 95/98無法正常啟動，運行經常出錯，等等，都有可能是感染上了文件型計算機病毒。5. 微機速度明顯變慢，曾經正常運行的軟件報內存不足，或計算機無法正常打印，這些現(xiàn)象都有可能感染上文件型計算機病毒。6. 有些帶毒環(huán)境下，文件的長度和正常的完全一樣，但是從帶有寫保護的軟盤拷貝文件時，會提示軟盤帶有寫保護，這肯定是感染了計算機病毒。對普通的單機和網絡用戶來說感染文件型計算機病毒后，最好的辦法就是用防殺計算機病毒軟件清除，或者干脆刪除帶毒的應用程序，然后重新安裝。需要注意的是用防殺計算機病毒軟件清除計算機病毒的時候必須保證內存中沒有

42、駐留計算機病毒，否則老的計算機病毒是清除了，可又感染上新的了。對于文件型計算機病毒的防范，一般采用以下一些方法：（1) 安裝最新版本的、有實時監(jiān)控文件系統(tǒng)功能的防殺計算機病毒軟件。（2) 及時更新查殺計算機病毒引擎，一般要保證每月至少更新一次，有條件的可以每周更新一次，并在有計算機病毒突發(fā)事件的時候及時更新。（3) 經常使用防殺計算機病毒軟件對系統(tǒng)進行計算機病毒檢查。（4) 對關鍵文件，如系統(tǒng)文件、保密的數(shù)據等等，在沒有計算機病毒的環(huán)境下經常備份。（5) 在不影響系統(tǒng)正常工作的情況下對系統(tǒng)文件設置最低的訪問權限，以防止計算機病毒的侵害。（6) 當使用Windows 95/98/2000/NT操

43、作系統(tǒng)時，修改文件夾窗口中的確省屬性。具體操作為：鼠標左鍵雙擊打開“我的電腦”，選擇“查看”菜單中的“選項”命令。然后在“查看”中選擇“顯示所有文件”以及不選中”隱藏已知文件類型的文件擴展名”，按“確定”按鈕。注意不同的操作系統(tǒng)平臺可能顯示的文字有所不同。 2.3.4 宏病毒的識別和防范宏病毒（Macro Virus）傳播依賴于包括Word、Excel和PowerPoint等應用程序在內的Office套裝軟件，只要使用這些應用程序的計算機就都有可能傳染上宏病毒，并且大多數(shù)宏病毒都有發(fā)作日期。輕則影響正常工作，重則破壞硬盤信息，甚至格式化硬盤，危害極大。目前宏病毒在國內流行甚廣，已成為計算機病毒

44、的主流，因此用戶應時刻加以防范。通過以下方法可以判別宏病毒： 在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如A AAZAO、PayLoad等，就極可能是感染了宏病毒了，因為Normal模板中是不包含這些宏的。 在使用的Word“工具”菜單中看不到“宏”這個字，或看到“宏”但光標移到“宏”，鼠標點擊無反應，這種情況肯定有宏病毒。 打開一個文檔，不進行任何操作，退出Word，如提示存盤，這極可能是Word中的

45、Normal.dot模板中帶宏病毒。 打開以DOC為后綴的文檔文件在另存菜單中只能以模板方式存盤，也可能帶有Word宏病毒。 在運行Word過程中經常出現(xiàn)內存不足，打印不正常，也可能有宏病毒。 在運行Word 97時，打開DOC文檔出現(xiàn)是否啟動“宏”的提示，該文檔極可能帶有宏病毒。感染了宏病毒后，也可以采取對付文件型計算機病毒的方法，用防殺計算機病毒軟件查殺，如果手頭一時沒有防殺計算機病毒軟件的話，對付某些感染Word文檔的宏病毒也是可以通過手工操作的方法來查殺的。下面以Word 97為例簡單介紹一下如何進行手工查殺：首先，必須保證Word 97本身是沒有感染宏病毒的，也就是Word 97安裝

46、目錄下Startup目錄下的文件和Normal.dot文件沒有被宏病毒感染。然后只打開Word 97，而不是直接雙擊文檔，選擇“工具”菜單中的“選項”命令。再在“常規(guī)”中選中“宏病毒防護”，在“保存”中不選中“快速保存”，按確定按鈕。打開文檔，此時系統(tǒng)應該提示是否啟用“宏”，選“否”，不啟用宏而直接打開文檔。再選擇“工具”菜單的“宏”子菜單的“宏”命令，將可疑的宏全部刪除。然后將文檔保存。宏病毒被清除。有些宏可能會屏蔽掉“宏”菜單，使得上述方法無法實施，這個時候可以試試下面這種方法：首先保證Word 97不受宏病毒的感染，只打開Word 97并新建一個空文檔，然后在“工具”菜單中選擇“選項”命

47、令，在“常規(guī)”中選中“宏病毒防護”，在“保存”中選擇“提示保存Normal模板”，按確定按鈕。接著再啟動一個Word 97應用程序，然后用新啟動的這個Word 97打開感染宏病毒的文檔，應當也會出現(xiàn)是否啟用宏的提示，選“否”；然后選擇“編輯”菜單中的“全選”命令；然后再選擇“編輯”菜單中的“復制”命令；再切換到先前的Word 97中，選擇“編輯”菜單中的“粘貼”命令，可以發(fā)現(xiàn)原來的文檔被粘貼到先前Word 97新建的文檔里。切換回打開帶宏病毒文檔的Word 97中，選擇“文件”菜單中的“退出”命令，退出Word 97，如果提示說是否保存Normal.dot模板，則選“否”。再切換回先打開的Wo

48、rd 97中，選擇“文件”菜單中的“保存”命令，將文件保存。由于宏病毒不會隨剪貼板功能而被復制，所以這種辦法也能起到殺滅宏病毒的效果。對宏病毒的預防是完全可以做到的，只要在使用Office套裝軟件之前進行一些正確的設置，就基本上能夠防止宏病毒的侵害。任何設置都必須在確保軟件未被宏病毒感染的情況下進行：（1) 在Word中打開“選項”中的“宏病毒防護”（Word 97及以上版本才提供此功能）和“提示保存Normal模板”；清理“工具”菜單中“模板和加載項”中的“共用模板及加載項”中預先加載的文件，不必要的就不加載，必須加載的則要確保沒有宏病毒的存在，并且確認沒有選中“自動更新樣式”選項；退出Wo

49、rd，此時會提示保存Normal.dot模板，按“是”按鈕，保存并退出Word；找到Normal.dot文件，將文件屬性改成“只讀”。（2) 在Excel中選擇“工具”菜單中的“選項”命令，在“常規(guī)”中選中“宏病毒防護功能”。（3) 在PowerPoint中選擇“工具”菜單中的“選項”命令，在“常規(guī)”中選中“宏病毒防護”。（4) 其他防范文件型計算機病毒所做的工作。做了防護工作后，對打開提示有是否啟用宏，除非能夠完全確信文檔中只包含明確沒有破壞意圖的宏，否則都不執(zhí)行宏；而對退出時提示保存除文檔以外的文件，如Normal.dot模板等，一律不予保存。以上這些防范宏病毒的方法可以說是最簡單實用的，

50、而且效果最明顯。 2.3.5 電子函件計算機病毒的識別和防范風靡全球的“美麗莎”（Melissa）、Papa和HAPPY99等計算機病毒正是通過電子函件的方式進行傳播、擴散，其結果導致郵件服務器癱瘓，用戶信息和重要文檔泄密，無法收發(fā)E-mail，給個人、企業(yè)和政府部門造成嚴重的損失。為此有必要介紹一下電子函件計算機病毒。電子函件計算機病毒實際上并不是一類單獨的計算機病毒，嚴格來說它應該劃入到文件型計算機病毒及宏病毒中去，只不過由于這些計算機病毒采用了獨特的電子函件傳播方式（其中不少種類還專門針對電子函件的傳播方式進行了優(yōu)化），因此我們習慣于稱將它們?yōu)殡娮雍嬎銠C病毒。所謂電子函件計算機病毒就

51、是以電子函件作為傳播途徑的計算機病毒，實際上該類計算機病毒和普通的計算機病毒一樣，只不過是傳播方式改變而已。該類計算機病毒的特點：1. 電子函件本身是無毒的，但它的內容中可以有Unix下的特殊的換碼序列，就是通常所說的ANSI字符，當用Unix智能終端上網查看電子函件時，有被侵入的可能。2. 電子函件可以夾帶任何類型的文件作為附件（Attachment），附件文件可能帶有計算機病毒。3. 利用某些電子函件收發(fā)器特有的擴充功能，比如Outlook/Outlook Express能夠執(zhí)行VBA指令編寫的宏，等等，在電子函件中夾帶有針對性的代碼，利用電子函件進行傳染、擴散。4. 利用某些操作系統(tǒng)所特

52、有的功能，比如利用Windows 98下的Windows Scripting Host，利用*.SHS文件來進行破壞。5. 超大的電子函件、電子函件炸彈也可以認為是一種電子函件計算機病毒，它能夠影響郵件服務器的正常服務功能。通常對付電子函件計算機病毒，只要刪除攜帶電子函件計算機病毒的信件就能夠刪除它。但是大多數(shù)的電子函件計算機病毒在一被接收到客戶端時就開始發(fā)作了，基本上沒有潛伏期。所以預防電子函件計算機病毒是至關重要的。以下是一些常用的預防電子函件計算機病毒的方法：（1) 不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序。這些附件極有可能帶有計算機病毒或是黑客程序，輕易運行，很可能帶來不可預測的

53、結果。對于認識的朋友和陌生人發(fā)過來的電子函件中的可執(zhí)行程序附件都必須檢查，確定無異后才可使用。（2) 不要輕易打開附件中的文檔文件。對方發(fā)送過來的電子函件及相關附件的文檔，首先要用“另存為”命令（“Save As”）保存到本地硬盤，待用查殺計算機病毒軟件檢查無毒后才可以打開使用。如果用鼠標直接點擊兩下DOC、XLS等附件文檔，會自動啟用Word或Excel，如有附件中有計算機病毒則會立刻傳染，如有“是否啟用宏”的提示，那絕對不要輕易打開，否則極有可能傳染上電子函件計算機病毒。（3) 對于文件擴展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含

54、這些附件的電子函件，以保證計算機系統(tǒng)不受計算機病毒的侵害。（4) 如果是使用Outlook作為收發(fā)電子函件軟件的話，應當進行一些必要的設置。選擇“工具”菜單中的“選項”命令，在“安全”中設置“附件的安全性”為“高”；在“其他”中按“高級選項”按鈕，按“加載項管理器”按鈕，不選中“服務器腳本運行”。最后按“確定”按鈕保存設置。（5) 如果是使用Outlook Express作為收發(fā)電子函件軟件的話，也應當進行一些必要的設置。選擇“工具”菜單中的“選項”命令，在“閱讀”中不選中“在預覽窗格中自動顯示新聞郵件”和“自動顯示新聞郵件中的圖片附件”。這樣可以防止有些電子函件計算機病毒利用Outlook

55、Express的缺省設置自動運行，破壞系統(tǒng)。（6) 對于使用Windows 98操作系統(tǒng)的計算機，在“控制面板”中的“添加/刪除程序”中選擇檢查一下是否安裝了Windows Scripting Host。如果已經安裝的，請卸載，并且檢查Windows的安裝目錄下是否存在Wscript.exe文件，如果存在的話也要刪除。因為有些電子函件計算機病毒就是利用Windows Scripting Host進行破壞的。（7) 對于自己往外傳送的附件，也一定要仔細檢查，確定無毒后，才可發(fā)送，雖然電子函件計算機病毒相當可怕，只要防護得當，還是完全可以避免傳染上計算機病毒的，仍可放心使用。對付電子函件計算機病毒

56、，還可以在計算機上安裝有電子函件實時監(jiān)控功能的防殺計算機病毒軟件。有條件的還可以在電子函件服務器上安裝服務器版電子函件計算機病毒防護軟件，從外部切斷電子函件計算機病毒的入侵途徑，確保整個網絡的安全。計算機病毒檢測方法 檢測磁盤中的計算機病毒可分成檢測引導型計算機病毒和檢測文件型計算機病毒。這兩種檢測從原理上講是一樣的，但由于各自的存儲方式不同，檢測方法是有差別的。 2.4.1 比較法比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進行比較，或用程序來進行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這

57、種比較法不需要專用的查計算機病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計算機病毒程序發(fā)現(xiàn)的計算機病毒。因為計算機病毒傳播得很快，新的計算機病毒層出不窮，由于目前還沒有做出通用的能查出一切計算機病毒，或通過代碼分析，可以判定某個程序中是否含有計算機病毒的查毒程序，發(fā)現(xiàn)新計算機病毒就只有靠比較法和分析法，有時必須結合這兩者來一同工作。使用比較法能發(fā)現(xiàn)異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內的程序代碼發(fā)生了變化。對硬盤主引導扇區(qū)或對DOS的引導扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進行比

58、較，保留好原始備份是非常重要的，制作備份時必須在無計算機病毒的環(huán)境里進行，制作好的備份必須妥善保管，寫好標簽，并加上寫保護。比較法的好處是簡單、方便，不需專用軟件。缺點是無法確認計算機病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進一步驗證，以查明是由于計算機病毒造成的，或是由于DOS數(shù)據被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質，以此來確證是否存在計算機病毒。另外，當找不到原始備份時，用比較法就不能馬上得到結論。從這里可以看到制作和保留原始主引導扇區(qū)和其它數(shù)據備份的重要性。 2.4.2 加總比對法根據每個程序的檔案名

59、稱、大小、時間、日期及內容，加總為一個檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個數(shù)據庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否感染了計算機病毒。一個很簡單的例子就是當您把車停下來之后，將里程表的數(shù)字記下來。那么下次您再開車時，只要比對一下里程表的數(shù)字，那么您就可以斷定是否有人偷開了您的車子。這種技術可偵測到各式的計算機病毒，但最大的缺點就是誤判斷高，且無法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無法偵測到。 2.4.3 搜索法.搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現(xiàn)了某一種特定字節(jié)

60、串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計算機病毒。國外對這種按搜索法工作的計算機病毒掃描軟件叫Virus Scanner。計算機病毒掃描軟件由兩部分組成：一部分是計算機病毒代碼庫，含有經過特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的掃描程序。目前常見的防殺計算機病毒軟件對已知計算機病毒的檢測大多采用這種方法。計算機病毒掃描程序能識別的計算機病毒的數(shù)目完全取決于計算機病毒代碼庫內所含計算機病毒的種類多少。顯而易見，庫中計算機病毒代碼種類越多，掃描程序能認出的計算機病毒就越多。計算機病毒代碼串的選擇是非常重要的。短小的計算機病毒只有一百多個字節(jié)，長的有上萬字節(jié)的。如果隨意從計算機病

61、毒體內選一段作為代表該計算機病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對應的計算機病毒檢查出來。選這種串做為計算機病毒代碼庫的特征串就是不合適的。另一種情況是代碼串不應含有計算機病毒的數(shù)據區(qū)，數(shù)據區(qū)是會經常變化的。代碼串一定要在仔細分析了程序之后才選出最具代表特性的，足以將該計算機病毒區(qū)別于其它計算機病毒的字節(jié)串。選定好的特征代碼串是很不容易的，是計算機病毒掃描程序的精華所在。一般情況下，代碼串是連續(xù)的若干個字節(jié)組成的串，但是有些掃描軟件采用的是可變長串，即在串中包含有一個到幾個“模糊”字節(jié)。掃描軟件遇到這種串時，只要除“模糊”字節(jié)之外的字串都能完 好匹

62、配，則也能判別出計算機病毒。除了前面說的選特征串的規(guī)則外，最重要的是一條是特征串必須能將計算機病毒與正常的非計算機病毒程序區(qū)分開。不然將非計算機病毒程序當成計算機病毒報告給用戶，是假警報，這種“狼來了”的假警報太多了，就會使用戶放松警惕，等真的計算機病毒一來，破壞就嚴重了；再就是若將這假警報送給殺計算機病毒程序，會將好程序給“殺死”了。使用特征串的掃描法被查計算機病毒軟件廣泛應用。當特征串選擇得很好時，計算機病毒檢測軟件讓計算機用戶使用起來很方便，對計算機病毒了解不多的人也能用它來發(fā)現(xiàn)計算機病毒。另外，不用專門軟件，用PCTOOLS等軟件也能用特征串掃描法去檢測特定的計算機病毒。這種掃描法的缺

63、點也是明顯的。第一是當被掃描的文件很長時，掃描所花時間也越多；第二是不容易選出合適的特征串；第三是新的計算機病毒的特征串未加入計算機病毒代碼庫時，老版本的掃毒程序無法識別出新的計算機病毒；第四是懷有惡意的計算機病毒制造者得到代碼庫后，會很容易地改變計算機病毒體內的代碼，生成一個新的變種，使掃描程序失去檢測它的能力；第五是容易產生誤報，只要在正常程序內帶有某種計算機病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的計算機病毒體殘余，掃描程序仍會報警；第六是不易識別多維變形計算機病毒。不管怎樣，基于特征串的計算機病毒掃描法仍是今天用得最為普遍的查計算機病毒方法。 2.4.4 分析法一般使用分析法的人不是普通用戶，而是防殺計算機病毒技術人員。使用分析法的目的在于：1. 確認被觀察的磁盤引導扇區(qū)和程序中是否含有計算機病毒；2. 確認計算機病毒的類型和種類，判定其是否是一種新的計算機病毒；3. 搞清楚計算機病毒體的大致結構，提取特征識別用的字節(jié)串或特征字，用于增添到計算機病毒代碼庫供計算機病毒掃描和識別程序用；4. 詳