第12章计算机病毒原理及防治12.1计算机病毒的概述12.1.3计算机病毒的产生原因（1）软件产品的脆弱性是产生计算机病毒根本的技术原因。（2）社会因素是产生计算机病毒的土壤。12.1.4计算机病毒的传播途径计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播的。通常有以下几种传播途径：1．移动存储设备。包括软盘、硬盘、移动硬盘、光盘、磁带等。2．网络。由于网络覆盖面广、速度快，为病毒的快速传播创造了条件。目前大多数新式病毒都是通过网络进行传播的，破坏性很大。12.1.5计算机病毒的分类引导型病毒：主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统，引导型病毒是一种开机即可启动的病毒，优先于操作系统而存在。该病毒几乎常驻内存，激活时即可发作，破坏性大，早期的计算机病毒大多数属于这类病毒。文件型病毒：它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体，当运行可执行文件时就可以激活病毒。宏病毒：宏病毒是一种寄存于文档或模板的宏中的计算机病毒，是利用宏语言编写的。蠕虫病毒：蠕虫病毒与一般的计算机病毒不同，蠕虫病毒不需要将其自身附着到宿主程序上。蠕虫病毒主要通过网络传播，具有极强的自我复制能力、传播性和破坏性。特洛伊木马型病毒：特洛伊木马型病毒实际上就是黑客程序。黑客程序一般不对计算机系统进行直接破坏，而是通过网络窃取国家、部门或个人宝贵的秘密信息，占用其它计算机系统资源等现象。网页病毒：网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。混合型病毒：兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。12.1.6计算机病毒的表现现象1．平时运行正常的计算机突然经常性无缘无故地死机。2．运行速度明显变慢。3．打印和通讯发生异常。4．系统文件的时间、日期、大小发生变化。5．磁盘空间迅速减少。6．收到陌生人发来的电子邮件。8．硬盘灯不断闪烁。9．计算机不识别硬盘。10．操作系统无法正常启动。11．部分文档丢失或被破坏。12．网络瘫痪。12.1.7计算机病毒程序一般构成1．安装模块病毒程序必须通过自身的程序实现自启动并安装到计算机系统中，不同类型的病毒程序会使用不同的安装方法。2．传染模块传染模块包括三部分内容：（1）传染控制部分。（2）传染判断部分。（3）传染操作部分。3．破坏模块破坏模块包括两部分：一是激发控制，当病毒满足一个条件,病毒就发作；另一个就是破坏操作，不同病毒有不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件等。12.2计算机病毒制作技术2．采用自加密技术计算机病毒采用自加密技术就是为了防止被计算机病毒检测程序扫描出来，并被轻易地反汇编。计算机病毒使用了加密技术后，对分析和破译计算机病毒的代码及清除计算机病毒等工作都增加了很多困难。3．采用变形技术当某些计算机病毒编制者通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，称这种新出现的计算机病毒是原来被修改计算机病毒的变形。当这种变形了的计算机病毒继承了原父本计算机病毒的主要特征时，就被称为是其父本计算机病毒的一个变种。4．采用特殊的隐形技术当计算机病毒采用特殊的隐形技术后，可以在计算机病毒进入内存后，使计算机用户几乎感觉不到它的存在。对付隐形计算机病毒最好的办法就是在未受计算机病毒感染的环境下去观察它。5．对抗计算机病毒防范系统计算机病毒采用对抗计算机病毒防范系统技术时，当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名时，就会删除这些杀毒软件或文件，造成杀毒软件失效，甚至引起计算机系统崩溃。6．反跟踪技术计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译能力和伪装能力。常规程序使用的反跟踪技术在计算机病毒程序中都可以利用。7．中断与计算机病毒中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理，处理完成后又立即返回断点，继续进行CPU原来的工作。但另一方面，病毒设计者则会篡改中断功能为达到传染、激发和破坏等目的。如INT13H是磁盘输入输出中断，引导型病毒就是用它来传染病毒和格式化磁盘的。12.3反计算机病毒技术3．VxD机制反病毒软件利用VxD程序具有比其它类型应用程序更高的优先级，而且更靠近系统底层资源这一优势使反病毒软件才有可能全面、彻底地控制系统资源，并在病毒入侵时及时杀毒。4．虚拟机技术虚拟机技术具体的