2024年计算机病毒基础知识大全科普.docx

2024年计算机病毒基础知识大全科普 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机运用，能自我复制的一组计算机指令或者程序代码下面就让我带你去看看计算机病毒基础学问大全，希望能帮助到大家! 计算机病毒 计算机病毒是指编制或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机运用, 并能自我复制的一组计算机指令或者程序代码 1.计算机病毒的特点 电脑病毒的主要特点如下 (1)隐藏性 电脑病毒的隐藏性使得人们不简单发觉它，例如有的病毒要等到某个月13日且是星期五才发作，平常的日子不发作一台电脑或者一张软盘被感染上病毒一般是无法事先知道的，病毒程序是一个没有文件名的程序 (2)潜藏性 从被感染上电脑病毒到电脑病毒起先运行，一般是须要经过一段时间的当满意病毒发作的指定环境条件时，病毒程序才起先发作 (3)传染性 电脑病毒程序的一个主要特点是能够将自身的程序复制给其他程序(文件型病毒)，或者放入指定的位置，如引导扇区(引导型病毒) (4)欺瞒性 每个电脑病毒都具有特洛伊木马的特点，用欺瞒手段寄生在其他文件上，一旦该文件被加载，就会让病毒发作并破坏电脑的软、硬件资源，迫使电脑无法正常工作。

(5)危害性 病毒的危害性是明显的，几乎没有一个无害的病毒它的危害性不仅体现在破坏系统，删除或者修改数据方面，而且还要占用系统资源，干扰机器的正常运行等 2.计算机病毒的分类 2.1按传染方式分类 病毒按传染方式可分为: 1).引导区电脑病毒 2).文件型电脑病毒 3).复合型电脑病毒 4).宏病毒 5).木马 6).蠕虫 1).引导区电脑病毒： 隐藏在磁盘内，在系统文件启动以前电脑病毒已驻留在内存内这样一来，电脑病毒就可完全限制DOS中断功能，以便进行病毒传播和破坏活动那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播 2).文件型电脑病毒 又称寄生病毒，通常感染执行文件(.E__E)，但是也有些会感染其它可执行文件，如DLL,SCR等每次执行受感染的文件时，电脑病毒便会发作(电脑病毒会将自己复制到其他可执行文件，并且接着执行原有的程序，以免被用户所察觉) 典型例子：CIH会感染Windows95/98的.E__E文件，并在每月的26号发作日进行严峻破坏。

于每月的26号当日，此电脑病毒会试图把一些随机资料覆写在系统的硬盘，令该硬盘无法读取原有资料此外，这病毒又会试图破坏Flash BIOS内的资料 3).复合型电脑病毒： 具有引导区病毒和文件型病毒的双重特点 4).宏病毒： 宏病毒特地针对特定的应用软件，可感染依附于某些应用软件内的宏指令，它可以很简单透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如Microsoft Word和E__cel 与其他电脑病毒类型的区分是宏病毒是攻击数据文件而不是程序文件 5).特洛伊或特洛伊木马 是一个看似正值的程序，但事实上当执行时会进行一些恶性及不正值的活动特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据 特洛伊木马与电脑病毒的重大区分是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不刻意地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行 6).蠕虫： 一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐藏性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。

依据运用者状况将蠕虫病毒分为两类：一种是面对企业用户和局域网而言;这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果另外一种是针对个人用户的，通过网络(主要是电子邮件、恶意网页形式)快速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表 蠕虫病毒的传染目标是互联网内的全部计算机，局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等 它跟电脑病毒有些不同，电脑病毒通常会专注感染其它程序，但蠕虫是专注于利用网络去扩散 2.2按连接方式分类 病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种 (1) 源码型病毒 该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分 (2)嵌入型病毒 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接这种计算机病毒是难以编写的，一旦侵入程序体后也较难消退假如同时采纳多态性病毒技术，超级病毒技术和隐藏性病毒技术，将给当前的反病毒技术带来严峻的挑战。

(3)外壳型病毒 外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改这种病毒最为常见，易于编写，也易于发觉，一般测试文件的大小即可知 (4)操作系统型病毒 这种病毒用它自已的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪圆点病毒和大麻病毒就是典型的操作系统型病毒 这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，依据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏 2.3根据计算机病毒激活的时间分类 根据计算机病毒激活时间可分为定时的和随机的定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的 2.4根据传播媒介分类 根据计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒 (1)单机病毒 单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统 (2)网络病毒 网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染实力更强，破坏力更大。

2.5根据寄生方式和传染途径分类 计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分混合型病毒集引导型和文件型病毒特性于一体 2.6按病毒的特性分类 Trojan--特洛伊木马，有这个前缀的就是木马了，在此类病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能比如 Trojuan.pass.a Win32 PE Win95 W32 W95--系统病毒，特性是可以感染windows操作系统的 __.e__e 和 __.dll 文件 Worm--蠕虫病毒，通过网络或者系统漏洞进行传播比较闻名的有冲击波 Script--脚本病毒 一般来说，脚本病毒还会有如下前缀：VBSJS(表明是何种脚本编写的)比如快乐时间 Backdoor--后门病毒，特性是通过网络传播，给系统开后门，最闻名的就是灰鸽子为代表 Dropper--种植程序病毒，特性是运行时会从体内释放出一个或几个新的病毒到系统书目下，代表就是落雪了。

Joke--玩笑病毒 ，只是吓吓人而已，没什么危害 HackTool--黑客工具 Downloader--木马下载者，以体积小的下载者下载体积大的木马，便利隐藏 AdWare--广告病毒，监视你在上网时的一举一动，然后把信息反馈到用它的公司 3.计算机病毒程序结构 病毒引导模块的主要作用是将静态病毒激活，使之成为动态病毒(加载) 病毒程序的加载分为两个步骤：一是系统加载过程;二是病毒附加的加载过程病毒程序选择的加载点、目标多是计算机的固有弱点或软件系统的输入节点 病毒程序的加载受到操作系统的制约DOS系统下，病毒程序的加载有3种方式：①参加系统启动过程②依附正常文件加载③干脆运行病毒程序 DOS系统下，病毒的加载过程，主要由3个步骤组成： (1)开拓内存空间; (2)病毒体定位和驻留; 其中驻留内存的方法有以下几种： ① 削减DOS系统可安排空间 ② 利用系统模块间的空隙和DOS间隙 ③利用功能调用驻留内存 ④占用系统程序运用空间(又称程序覆盖方法) 一般Windows环境下的病毒有3种方法驻留内存：一是将病毒作为一个Windows环境下的应用程序，拥有自己的窗口(隐藏的)和消息处理函数;二是运用DPMI申请一块系统内存，将病毒代码放入其中;三是将病毒作为一个V__D(WIN 9__下的设备驱动程序)或VDD(WIN2000/NT下的设备驱动程序)加载到内存中运行。

(3)复原系统功能 3.2感染模块 感染模块主要完成病毒的动态感染，是各种病毒必不行少的模块病毒在取得对系统的限制权后，先执行它的感染操作中的条件推断模块，推断感染条件是否满意，假如满意感染条件，进行感染，将病毒代码放入宿主程序;然后再执行其他的操作(如执行病毒的表现(破坏)模块)，最终再执行系统正确的处理，这是病毒感染常常实行的手段之一 感染标记又称病毒签名，表明白某种病毒的存在特性，往往是病毒的一个重要的感染条件感染标记是一些具有唯一不变性的数字或字符串，它们以ASCII码方式存放在程序里的特定位置感染标记可以存在于病毒程序的任何一点，也有可能是组合在程序中的代码感染标记是由病毒制造者有意设置的，但也可以不设置标记不同病毒的感染标记位置不同、内容不同病毒程序感染宿主程序时，要把感染标记写入宿主程序，作为该程序已被感染的标记 病毒在感染健康程序以前，先要对感染对象进行搜寻，查看它是否带有感染标记假如有，说明它已被感染过，就不会再被感染;假如没有，病毒就会感染该程序 病毒的感染目标和感染方式 就目前出现的各种计算机病毒来看，其寄生目标有两种： 一种是寄生在磁盘(主)引导扇区(利用转储或干脆存取扇区的方法，此方法还可将病毒驻入磁盘的文件安排表、文件书目区和数据存储区等，常利用INT 13H中断); 另一种是寄生在可执行文件(如.E__E，.COM, .BAT, .SYS, .OVL, .DLL,.V__D文件等)中 。

而近来常被感染的一些数据文件(主要是微软的办公软件系统，Word文档、数据表格、数据库、演示文档等等)其实也是可以看作一种特别的可执行文件(宏) 文件型病毒常利用INT 21H中断来感染可执行文件，病毒的感染通常采纳替代法、链接法和独立存在法 病毒的感染机制 病毒在不同的载体上感染的机制不同网络上或系统上的感染是利用网络间或系统间的通信或数据共享机制实现的存储介质(软盘、硬盘或磁带等)或文件间的感染一般利用内存作为中间媒。