计算机病毒

自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。计算机病毒的危害及造成的损失是众所周知的，发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问：“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚，但是有一点可以肯定，即计算机病毒的发源地是科学最发达的美国。

虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因，但也没有能够对此作出最后的定论，只能推测电脑病毒缘于以下几种原因：一、科幻小说的启发；二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果.

第一节计算机病毒历史

早在1949年，电脑的先驱者冯·诺伊曼在他的一篇文章《复杂自动装置的理论及组织的行为》中，即提出一种会自我繁殖的程序的可能----现在称为病毒，但没引起注意。

十年之后，在贝尔实验室中，这个概念在一个电子游戏中形成了。这个电子游戏叫“Core War”。

Core War

这个游戏由三个年轻的工程师完成，道格拉斯·麦耀莱、维特·维索斯基和罗伯特·莫里斯（后来那个编写蠕虫病毒的莫里斯的父亲）。

Core

War的玩如下：双方各编写一套程序，输入同一部电脑中。这两套程序在计算机内存中运行，它们相互追杀。有时它们回放下一些关卡，有时会停下来修复被对方破坏的指令。当它们被困时，可以自己复制自己，逃离险境。因为它们都在电脑的内存（以前是用core做内存的）游走，因此叫Core

War。

这个游戏的特点，在於双方的程序进入电脑之后,玩游戏的人只能看着屏幕上显示的战况，而不能做任何更改，一直到某一方的程式被另一方的程式完全[吃掉] 为止。

这个游戏分成好几种，麦耀莱所写的叫[达尔文]，包含了[物竞天择,适者生存] 的意思。

它的游戏规则跟以上所描述的最接近。游戏双方用汇编语言(Assembly Language)各写一套程式,叫有机体(organism)

。这两个有机体在电脑里争斗不休，直到一方把另一方杀掉而取代之,便算分出胜负。

另外有个叫爬行者(Creeper)的程序，每一次把它读出时

,它便自己复制一个副本。此外,它也会从一部电脑[爬]到另一部和它相连的电脑。很快地电

脑中原有资料便被这些爬行者挤掉了。爬行者的唯一生存目的是繁殖。

为了对付[爬行者]，有人便写出了[收割者](Reaper)。它的唯一生存目的便是找到爬行者，把它们毁灭掉。当所有爬行者都被收割掉之后，收割者便执行程式中最后一项指令毁灭自己，从电脑中消失。

[侏儒](Dwarf)并没有达尔文等程式聪明。却可是个极端危险人物。它在内存中迈进，每到第五个[地址](address)便把那里所储存的东西变为零，这会使得原来的程序停止。

最奇特的就是一个叫[印普](Imp)的战争程式了，它只有一行指令：

MOV 01

这条指令把身处的地址中所载的[0]写(移)到下一个地址中，当印普展开行动之后，电脑中原有的每一行指令都被改为[MOV 01]。

[双子星](Germini)也相当有趣。它的作用只有一个：把自己复制，送到下一百个地址后，便抛弃掉[正本]。

从双子星衍生出一系列的程序。[牺牲者](Juggeraut)把自己复制后送到下十个地址之后，而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数。

电脑病毒的出现

一九八三年，科恩·汤普逊(Ken

Thompson)是当年一项杰出电脑奖得主。在颁奖典礼上,他作了一个演讲，不但公开地证实了电脑病毒的存在，而且还告诉所有听众怎样去写自己的病毒程序。

1983 年11 月3 日，弗雷德·科恩(Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(Len

Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在V AX11/750

计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实验的演示，从而在实验上验证了计算机病毒的存在。

一九八四年，[科学美国人]月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了第一篇讨论[Core

War]的文章,并且只要寄上两块美金，任何读者都可以收到有关程序的纲领，在自己家中的电脑中开辟战场。

[病毒]一词的正式出现

在一九八五年三月份的[科学美国人]里,杜特尼再次讨论[Core War]和病毒。在文章的开头他便说：“当去年五月有关[Core War]的文章印出来时

,我并没有想过我所谈论的是那麽严重的题目”文中还第一次提到[病毒]这个名称。他提到说：“意大利的罗勃吐·歇鲁帝(Roberto

Cerruti)和马高·莫鲁顾帝(Marco Morocutti)发明了一种破坏软件的方法。他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染。

歇鲁弟写了一封信给杜特尼，信内说：“马高想写一个像[病毒]一样的程式，可以从一部苹

果电脑传染到另一部苹果电脑，使其受到感染。可是我们没法这样做，直到我想到这个病毒要先使软盘受到感染，而电脑只是媒介。这样，病毒就可以从张软盘传染到另一软盘了。”

1986 年初，在巴基斯坦的拉合尔(Lahore)，巴锡特(Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家IBM-PC

机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。

1988 年3 月2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。

1988 年11 月2 日，美国六千多台计算机被病毒感染，造成Internet

不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。

这次事件中遭受攻击的包括 5 个计算机中心和12 个地区结点，连接着政府、大学、研究所和拥有政府合同的250,000

台计算机。这次病毒事件，计算机系统直接经济损失达9600 万美元。

这个病毒程序设计者是罗伯特·莫里斯(Robert T.Morris)，当年23 岁，是在康乃尔(Cornell) 大学攻读学位的研究生。

罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵ARPANET

网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学Aiken 中心超级用户的特权。他也因此被判3 年缓刑，罚款1 万美元，他还被命令进行

400 小时的新区服务。

1988 年底，在我国的国家统计部门发现小球病毒。

第二节计算机病毒原理

计算机病毒定义

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。（此节内容摘自《计算机安全管理与实用技术》一书）

计算机病毒原理

病毒的工作原理是什么呢？病毒是一个程序，一段人为编制的计算机程序代码。它通过想办法在正常程序运行之前运行，并处于特权级状态。这段程序代码一旦进入计算机并得以执行，对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。

病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。

大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。

大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如“PETER-2"在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。

任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。

病毒分类

按传染方式分为：引导型病毒、文件型病毒和混合型病毒。

文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。

混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径

随着计算机技术的发展，新的病毒也不断出现。我们在本章的最后一节将介绍宏病毒的机理和一个实例。

电脑病毒的新趋势

传统型病毒的一个特点, 就是一定有一个「寄主」程序,病毒就窝藏的这些程序里。最常见的就是一些可执行档,

像是副档名为.EXE及.COM的档案。但是由於微软的WORD愈来愈流行，且WORD所提供的宏命令功能又很强,

使用WORD宏命令写出来的病毒也愈来愈多于是就出现了以.DOC文件为“寄主”的也会宏病毒。

另外，不需要寄主的病毒也出现了，其实，它们寄生在「Internet」上。

如果Internet上的网页只是单纯用HTML写成的话, 那麽要传播病毒的机会可说是非常小了。但是呢, 为了让网页看起来更生动, 更漂亮,

许多语言也纷纷出笼, 其中最有名的就属JA V A和ActiveX了。从而，它们就成为新一代病毒的温床。JA V A和ActiveX的执行方式,是把程式码写在网页上,

当你连上这个网站时, 浏览器就把这些程式码读下来, 然后用使用者自己系统里的资源去执行它。这样，使用者就会在神不知鬼不觉的状态下，执行了一些来路不明的程序。

对于传统病毒来讲，病毒是寄生在「可执行的」程序代码中的。新的病毒的机理告诉我们，病毒本身是能执行的一段代码，但它们可以寄生在非系统可执行文档里。只是这些文档被一些应用软件所执行。

在德国汉堡一个名为Chaos Computer 的俱乐部,

有一个俱乐部成员完成一只新型态的病毒-----这只病毒可以找出Internet用户的私人银行资料, 还可以进入银行系统将资金转出, 不需要个人身份证明,

也不需要转帐密码。

当使用者在浏览全球网站时, 这个病毒会自动经由Active X 控制载入。Active X 控制可搜寻使用者计算机的硬盘, 来寻找Intuit

Quicken这个已有全球超过九百万使用者的知名个人理财软体。一旦发现Quicken的档案, 这个病毒就会下转帐指令。

计算机病毒防范

电脑病毒检测技术

一台计算机染上病毒之后，会有许多明显或不明显的特征。例如是文件的长度和日期忽然改变，系统执行速度下降或出现一些奇怪的信息或无故死机，或更为严重的硬盘已经被格式化。

我们常用的防毒软件是如何去发现它们的呢？他们就是利用所谓的病毒码(Virus Pattern)。病毒码其实可以想像成是犯人的指纹,

当防毒软件公司收集到一只新的病毒时, 他们就会从这个病毒程式中截取一小段独一无二而且足以表示这只病毒的二进制程序码(Binary Code) ,

来当做扫毒程序辨认此病毒的依据, 而这段独一无二的二进制程序码就是所谓的病毒码。在电脑中所有可以执行的程序(如*.EXE,*.COM)

几乎都是由二进制程序码所组成, 也就是电脑的最基本语言-- 机器码。就连宏病毒在内, 虽然它只是包含在Word文件中的宏命令集,

可是它也是以二进制代码的方式存在於Word文件中。

反病毒软件常用下列技术来查找病毒的：

1.病毒码扫描法

将新发现的病毒加以分析后, 根据其特徵, 编成病毒码, 加入资料库中。以后每当执行扫毒程序时, 便能立刻扫描目标文件, 并作病毒码比对,

即能侦测到是否有病毒。病毒码扫描法又快又有效率( 例如趋势科技的PC-cillin及Server Protect, 利用深层扫描技术,

在即时扫瞄各个或大或小的档案时,平均只需1/20秒的时间), 大多数防毒软件均采用这种方式, 但其缺点是无法侦测到未知的新病毒及以变种病毒。

2.加总比对法(Check-sum)

根据每个程序的文件名称、大小、时间、日期及内容, 加总为一个检查码, 再将检查码附於程序的后面, 或是将所有检查码放在同一个资料库中,

再利用此Check-sum系统, 追踪并记录每个程序的检查码是否遭更改, 以判断是否中毒。这种技术可侦测到各式的病毒, 但最大的缺点就是误判断高,

且无法确认是哪种病毒感染的。

3.人工智能陷阱

人工智能陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来, 一旦发现内存的程式有任何不当的行为, 系统就会有所警觉,

并告知使用。这种技术的优点是执行速度快、手续简便, 且可以侦测到各式病毒；其缺点就是程序设计难, 且不容易考虑周全。不过在这千变万化的病毒世界中,

人工智能陷阱扫描技术是一个至少具有保全功能的新观点。

4.软件模拟扫描法

软件模拟扫描技术专门用来对付千面人病毒(Polymorphic /MutationVirus)。千面人病毒在每次传染时,

都以不同的随机乱数加密於每个中毒的档案中, 传统病毒码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行,

在其设计的DOS虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序, 安全并确实地将多型体病毒解开,使其显露原本的面目, 再加以扫描。

5.VICE(Virus Instruction Code Emulation) - 先知扫描法

VICE先知扫描技术是继软件模拟后的一大技术上突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机器, 模拟CPU动作并假执行程序以解开变体引擎病毒,

那麽应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此VICE将工程师用来

判断程新是否有病毒码存在的方法, 分析归纳成专家系统知识库,

再利用软体工程的模拟技术(Software Emulation)假执行新的病毒, 则可分析出新病毒码对付以后的病毒。

6.即时I/O扫描(Realtime I/O Scan)

Realtime I/O Scan的目的在於即时地对数据的输入/输出动作做病毒码比对的动作, 希望能够在病毒尚未被执行之前, 就能够防堵下来。理论上,

这样的即时扫描技术会影响到数据的输入输出速度。但是使用实时扫描技术，文件传送进来之后，就等于扫过一次毒了。从整体上来讲，是没有什么差别的。

第三节计算机病毒实例

CIH病毒检测

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable

Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1

execution File Format)下的可执行文件，并且在Win

NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本。

CIH病毒v1.0版本：

最初的V1.0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft

Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本：

发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win

NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN

PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本：

发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP压缩包在自解压时出现：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本：

此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4

TA TUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

CIH属恶性病毒，当其发作条件成熟时，将破坏硬盘数据，同时有可能破坏BIOS程序。其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。

2、某些主板上的Flash Rom中的BIOS信息将被清除。

感染CIH病毒的特征：

由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH

v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4

TA TUNG”，不要直接搜索“CIH”特征串，因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行：

inc bx

dec cx

dec ax

则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。

另外一个判断方法是在Windows

PE文件中搜索IMAGE_NT_SIGNA TURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。

还有一个判断方法是先搜索IMAGE_NT_SIGNA TURE字段----“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8

33 DB 64，如果是，则表示此程序已被感染。

适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB

33 DB特征串，将这两个特征串中的CC改为90(nop)，接着搜索CD 20 53 00 01 00 83 C4 20 与CD 20 67 00 40

00 特征字串，将其全部修改为90，即可(以上数值全部为16进制)。

另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例)，具体方法为：先搜索IMAGE_NT_SIGNATURE字段----“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0

02 00 00”(0x000002A0)，再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB

64”，并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB)，将此值减去OX40000，将得数----“CB 21 00 00”

(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点，术语称为Program Entry

Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。

CIH机理分析

其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法。使用这一方法的目的是获取高的CPU权限，CIH病毒使用的方法是首先使用SIDT取得IDT

base address(中断描述符表基地址)，然后把IDT的INT 3 的入口地址改为指向CIH自己的INT3程序入口部分，再利用自己产生一个INT

3指令运行至此CIH自身的INT

3入口程序出，这样CIH病毒就可以获得最高级别的权限(即权限0)，接着病毒将检查DR0寄存器的值是否为0，用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0，则表示CIH病毒程式已驻留，则此CIH副本将恢复原先的INT

3入口，然后正常退出(这一特点也可以被我们利用来欺骗CIH程序，以防止它驻留在内存中，但是应当防止其可能的后继派生版本)。如果判断DR0值为0，则CIH病毒将尝试进行驻留，其首先将当前EBX寄存器的值赋给DR0寄存器，以生成驻留标记，然后调用INT

20中断，使用VxD call Page Allocate系统调用，要求分配Windows系统内存(system

memory)，Windows系统内存地址范围为C0000000h～FFFFFFFFh，它是用来存放所有的虚拟驱动程序的内存区域，如果程序想长期驻留在内存中，则必须申请到此区段内的内存，即申请到影射地址空间在C0000000h以上的

内存。

如果内存申请成功，则接着将从被感染文件中将原先分成多段的病毒代码收集起来，并进行组合后放到申请到的内存空间中，完成组合、放置过程后，CIH病毒将再次调用INT

3中断进入CIH病毒体的INT

3入口程序，接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序，用来在文件系统处理函数中挂接钩子，以截取文件调用的操作，接着修改IFSMgr_InstallFileSystemApiHook的入口，这样就完成了挂接钩子的工作，同时Windows

默认的IFSMgr_Ring0_FileIO(InstallableFileSystemManager，IFSMgr)。服务程序的入口地址将被保留，以便于CIH病毒调用，这样，一旦出现要求开启文件的调用，则CIH将在第一时间截获此文件，并判断此文件是否为PE格式的可执行文件，如果是，则感染，如果不是，则放过去，将调用转接给正常的Windows

IFSMgr_IO服务程序。CIH不会重复多次地感染PE格式文件，同时可执行文件的只读属性是否有效，不影响感染过程，感染文件后，文件的日期与时间信息将保持不变。对于绝大多数的PE程序，其被感染后，程序的长度也将保持不变，CIH将会把自身分成多段，插入到程序的空域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT

3入口恢复成原样。

Flash ROM的破坏原理

PC机上常用来保存PC BIOS程序的Flash ROM包含两个电压接口，其中+12V一般用Boot Block的改写，Boot

Block为一特殊的区块，它主要用于保存一个最小的BIOS，用以启动最基本的系统之用，当Flash ROM中的其它区块内的数据被破坏时，只要Boot

Block内的程序还处于可用状态，则可以利用这一基本的PC

BIOS程序来启动一个最小化的系统，一般情况下，起码应当支持软盘的读写以及键盘的输入，这样我们就有机会使用软盘来重新构建整个Flash

ROM中的数据。一般的主板上均包含有一个专门的跳线，用来确定是否给此Flash ROM芯片提供+12V电压，只有我们需要修改Flash ROM中的Boot

Block区域内的数据时，才需要短接此跳线，以提供+12V电压。

另外一路电压为+5V电压，它可以用于维持芯片工作，同时为更新Flasm ROM中非Boot Block区域提供写入电压。

主板上的+12V跳线是为了防止更新Flash ROM中的Boot Block区域而设置的，如果想升级BIOS，同时此升级程序只需要更新Boot

Block区域以外的BIOS程序，则主板上的跳线根本没必要去跳，因为更新Boot

Block区域以外的数据并不需要+12V电压，这样，即使升级失败，我们也还存在着一个Boot

Block中的最基本BIOS可以使用，这样就可以使用软盘来恢复原先的BIOS数据(一般在升级的时候后，都提示用户保存当前的BIOS数据)。

某些芯片在+5V的电压下就可以进行改写，这些单5V的芯片便是造成BIOS数据被彻底破

坏的原应。

Word宏病毒透视

Word宏病毒，是近年来被人们谈论得最多的一种电脑病毒。由于一些杀毒软件广告对此病毒的着力渲染，使得一些普通的用户对该病毒谈之色变。其实，在了解了Word宏病毒的编制、发作过程之后，即使是普通的电脑用户，不借助任何杀毒软件，也可以较好地对其进行防冶。

Word宏病毒，是用一种专门的Basic语言即Word Basic所编写的程序。与其它计算机病毒一样，它能对用户系统中的?/ca>

10计算机病毒(答案)

计算机病毒 1.下面哪个渠道不是计算机病毒传染的渠道? A: 硬盘 B: 计算机网络 C: 操作员身体感冒 D: 光盘 2.下面哪种恶意程序对网络威胁不大？ A: 计算机病毒 B: 蠕虫病毒 C: 特洛伊木马 D: 死循环脚本 3.计算机病毒的主要危害有 A: 干扰计算机的正常运行 B: 影响操作者的健康 C: 损坏计算机的外观 D: 破坏计算机的硬件 4.计算机病毒是一种______。 A: 微生物感染 B: 化学感染 C: 特制的具有破坏性的程序 D: 幻觉 5.计算机病毒的特点具有___。 A: 传播性，潜伏性，破坏性 B: 传播性，破坏性，易读性 C: 潜伏性，破坏性，易读性 D: 传播性，潜伏性，安全性 6.计算机病毒的主要特点是 A: 人为制造，手段隐蔽 B: 破坏性和传染性 C: 可以长期潜伏，不易发现 D: 危害严重，影响面广 7.计算机病毒是一种 A: 特殊的计算机部件 B: 游戏软件 C: 人为编制的特殊程序 D: 能传染的生物病毒 8.下面哪种属性不属于计算机病毒？ A: 破坏性 B: 顽固性 C: 感染性 D: 隐蔽性 9.下面哪种功能不是放火墙必须具有的功能?

A: 抵挡网络入侵和攻击 B: 提供灵活的访问控制 C: 防止信息泄露 D: 自动计算 10.计算机病毒是一种___。 A: 幻觉 B: 程序 C: 生物体 D: 化学物 11.下列叙述中正确的是 A: 计算机病毒只传染给可执行文件 B: 计算机软件是指存储在软盘中的程序 C: 计算机每次启动的过程之所以相同，是因为RAM 中的所有信息在关机后不会丢失 D: 硬盘虽然安装在主机箱内，但它属于外存 12.关于计算机病毒，下列说法正确的是 A: 计算机病毒是一种程序，它在一定条件下被激活，只对数据起破坏作用，没有传染性B: 计算机病毒是一种数据，它在一定条件下被激活，起破坏作用，并没有传染性 C: 计算机病毒是一种程序，它在一定条件下被激活，起破坏作用，并有极强的传染性，但无自我复制能力 D: 计算机病毒是一种程序，它在一定条件下被激活，破坏计算机正常工作，并有极强的传染性 13.目前最好的防病毒软件的作用是 A: 检查计算机是否染有病毒，消除已感染的任何病毒 B: 杜绝病毒对计算机的感染 C: 查出计算机已感染的任何病毒，消除其中的一部分 D: 检查计算机是否染有病毒，消除已感染的部分病毒 14.下列说法中错误的是___。 A: 计算机病毒是一种程序 B: 计算机病毒具有潜伏性 C: 计算机病毒是通过运行外来程序传染的 D: 用防病毒卡和查病毒软件能确保微机不受病毒危害 15.关于计算机病毒的传播途径，不正确的说法是___。 A: 通过软件的复制 B: 通过共用软盘 C: 通过共同存放软盘 D: 通过借用他人的软盘 16.防火墙技术主要用来 A: 减少自然灾害对计算机硬件的破坏 B: 监视或拒绝应用层的通信业务 C: 减少自然灾害对计算机资源的破坏 D: 减少外界环境对计算机系统的不良影响 17.宏病毒是随着Office 软件的广泛使用，有人利用宏语言编制的一种寄生于_____的宏中 的计算机病毒。 A: 应用程序

计算机病毒

计算机病毒 一、单选：（共55题） 1. 防病毒软件( )所有病毒。 A. 是有时间性的，不能消除 B. 是一种专门工具，可以消除 C. 有的功能很强，可以消除 D. 有的功能很弱，不能消除 参考答案：A 2. 下面关于计算机病毒描述正确的有( )。 A. 计算机病毒是程序，计算机感染病毒后，可以找出病毒程序，进而清除它 B. 只要计算机系统能够使用，就说明没有被病毒感染 C. 只要计算机系统的工作不正常，一定是被病毒感染了 D. 软磁盘写保护后，使用时一般不会被感染上病毒 参考答案：D 3. 下列说法中错误的是( )。 A. 计算机病毒是一种程序 B. 计算机病毒具有潜伏性 C. 计算机病毒是通过运行外来程序传染的 D. 用防病毒卡和查病毒软件能确保微机不受病毒危害 参考答案：D 4. 关于计算机病毒的传播途径，不正确的说法是( )。 A. 通过软件的复制 B. 通过共用软盘 C. 通过共同存放软盘 D. 通过借用他人的软盘 参考答案：C 5. 目前最好的防病毒软件的作用是( )。 A. 检查计算机是否染有病毒，消除已感染的任何病毒 B. 杜绝病毒对计算机的感染 C. 查出计算机已感染的任何病毒，消除其中的一部分 D. 检查计算机是否染有病毒，消除已感染的部分病毒 参考答案：D 6. 文件型病毒传染的对象主要是( )类文件。 A. DBF B. DOC C. COM和EXE D. EXE和DOC 参考答案：C 7. 宏病毒是随着Office软件的广泛使用，有人利用宏语言编制的一种寄生于( )的宏中的计算机病毒。 A. 应用程序 B. 文档或模板 C. 文件夹 D. 具有“隐藏”属性的文件 参考答案：B

2014年12月计算机必考真题计算机安全

1、计算机安全属性不包括______。 A：保密性 B：完整性 C：可用性服务和可审性 D：语义正确性 答案：D 2、信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的属性指的是______。A：保密性 B：完整性 C：可用性 D：可靠性 答案：B 3、下列情况中，破坏了数据的保密性的攻击是_______。 A：假冒他人地址发送数据 B：计算机病毒攻击 C：数据在传输中途被篡改 D：数据在传输中途被窃听 答案：D 4、下列防止电脑病毒感染的方法，错误的是______。 A：不随意打开来路不明的邮电 B：不用硬盘启动 C：不用来路不明的程序 D：使用杀毒软件 答案：B 5、计算机病毒是______。 A：一种侵犯计算机的细菌 B：一种坏的磁盘区域 C：一种特殊程序 D：一种特殊的计算机 答案：C 6、以下______软件不是杀毒软件。 A：瑞星 B：IE C：诺顿 D：卡巴斯基 答案：B 7、用某种方法把伪装消息还原成原有的内容的过程称为______。 A：消息

唯一QQ：58300771 2014年12月新版大纲题库已更新. 唯一QQ：58300771 2014年12月新版大纲题库已更新. 1、全国电大、远程网络教育统考、大学英语B、计算机应用基础统考辅导。 2、全套题库，精心整理并归类完毕，全中文翻译，视频教程讲解，一次性零基础通过。 B：密文 C：解密 D：加密 答案：C 8、以下关于防火墙的说法，正确的是______。 A：防火墙只能检查外部网络访问内网的合法性 B：只要安装了防火墙，则系统就不会受到黑客的攻击 C：防火墙的主要功能是查杀病毒 D：防火墙虽然能够提高网络的安全性，但不能保证网络绝对安全 答案：D 9、以下不属于网络行为规范的是________。 A：不应未经许可而使用别人的计算机资源 B：不应用计算机进行偷窃 C：不应干扰别人的计算机工作 D：可以使用或拷贝没有受权的软件 答案：D 10、影响网络安全的因素不包括________。 A：信息处理环节存在不安全的因素 B：计算机硬件有不安全的因素 C：操作系统有漏洞 D：黑客攻击 答案：B 11、认证技术不包括_______。 A：消息认证 B：身份认证 C：IP认证 D：数字签名 答案：C 12、消息认证的内容不包括_______。 A：证实消息发送者和接收者的真实性 B：消息内容是否曾受到偶然或有意的篡改 C：消息语义的正确性

世界十大病毒

NO.1 “CIH病毒”爆发年限:1998年6月CIH病毒（1998年）是一位名叫陈盈豪的台湾大学生所编写的，从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。 CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、 Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本。 损失估计：全球约5亿美元

NO.2 “梅利莎(Melissa)”爆发年限:1999年3月梅利莎（1999年）是通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话：“这就是你请求的文档，不要给别人看”，此外夹带一个Word文档附件。而单击这个文件，就会使病毒感染主机并且重复自我复制。 1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。估计数字显示，这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft，下称微软)、以及其他许多使用Outlook软件的公司措手不及，防止损害，他们被迫关闭整个电子邮件系统。 损失估计：全球约3亿——6亿美元

10计算机病毒(答案)-精选

计算机病毒 1. 下面哪个渠道不是计算机病毒传染的渠道? A: 硬盘 B: 计算机网络 C: 操作员身体感冒 D: 光盘 2. 下面哪种恶意程序对网络威胁不大？ A: 计算机病毒 B: 蠕虫病毒 C: 特洛伊木马 D: 死循环脚本 3. 计算机病毒的主要危害有 A: 干扰计算机的正常运行 B: 影响操作者的健康 C: 损坏计算机的外观 D: 破坏计算机的硬件 4. 计算机病毒是一种______。 A: 微生物感染 B: 化学感染 C: 特制的具有破坏性的程序 D: 幻觉 5. 计算机病毒的特点具有___。 A: 传播性，潜伏性，破坏性 B: 传播性，破坏性，易读性 C: 潜伏性，破坏性，易读性 D: 传播性，潜伏性，安全性 6. 计算机病毒的主要特点是 A: 人为制造，手段隐蔽 B: 破坏性和传染性 C: 可以长期潜伏，不易发现 D: 危害严重，影响面广 7. 计算机病毒是一种 A: 特殊的计算机部件 B: 游戏软件 C: 人为编制的特殊程序 D: 能传染的生物病毒 8. 下面哪种属性不属于计算机病毒？ A: 破坏性 B: 顽固性 C: 感染性 D: 隐蔽性 9. 下面哪种功能不是放火墙必须具有的功能?

A: 抵挡网络入侵和攻击 B: 提供灵活的访问控制 C: 防止信息泄露 D: 自动计算 10. 计算机病毒是一种___。 A: 幻觉 B: 程序 C: 生物体 D: 化学物 11. 下列叙述中正确的是 A: 计算机病毒只传染给可执行文件 B: 计算机软件是指存储在软盘中的程序 C: 计算机每次启动的过程之所以相同，是因为RAM中的所有信息在关机后不会丢失 D: 硬盘虽然安装在主机箱内，但它属于外存 12. 关于计算机病毒，下列说法正确的是 A: 计算机病毒是一种程序，它在一定条件下被激活，只对数据起破坏作用，没有传染性 B: 计算机病毒是一种数据，它在一定条件下被激活，起破坏作用，并没有传染性 C: 计算机病毒是一种程序，它在一定条件下被激活，起破坏作用，并有极强的传染性，但 无自我复制能力 D: 计算机病毒是一种程序，它在一定条件下被激活，破坏计算机正常工作，并有极强的传 染性 13. 目前最好的防病毒软件的作用是 A: 检查计算机是否染有病毒，消除已感染的任何病毒 B: 杜绝病毒对计算机的感染 C: 查出计算机已感染的任何病毒，消除其中的一部分 D: 检查计算机是否染有病毒，消除已感染的部分病毒 14. 下列说法中错误的是___。 A: 计算机病毒是一种程序 B: 计算机病毒具有潜伏性 C: 计算机病毒是通过运行外来程序传染的 D: 用防病毒卡和查病毒软件能确保微机不受病毒危害 15. 关于计算机病毒的传播途径，不正确的说法是___。 A: 通过软件的复制 B: 通过共用软盘 C: 通过共同存放软盘 D: 通过借用他人的软盘 16. 防火墙技术主要用来 A: 减少自然灾害对计算机硬件的破坏 B: 监视或拒绝应用层的通信业务 C: 减少自然灾害对计算机资源的破坏 D: 减少外界环境对计算机系统的不良影响 17. 宏病毒是随着Office 软件的广泛使用，有人利用宏语言编制的一种寄生于_____的宏中 的计算机病毒。 A: 应用程序

计算机病毒的概念

一、计算机病毒的概念 定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外） 定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 （国内） 病毒产生的原因： 计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧； 2）出于报复心理。 病毒的特征： 传染性；寄生性；衍生性； 隐蔽性；潜伏性； 可触发性；夺取控制权； 破坏性与危害性； 病毒的分类： 按破坏性分为：良性；恶性。按激活时间分为：定时；随机 按传染方式分为： 引导型：当系统引导时进入内存，控制系统； 文件型：病毒一般附着在可执行文件上； 混合型：既可感染引导区，又可感染文件。 按连接方式分为： OS型：替换OS的部分功能，危害较大； 源码型：要在源程序编译之前插入病毒代码；较少； 外壳型：附在正常程序的开头或末尾；最常见； 入侵型：病毒取代特定程序的某些模块；难发现。 按照病毒特有的算法分为： 伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。 寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。 变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 引导型病毒种类大麻病毒香港病毒米氏病毒Pakistani Brain（巴基斯坦大脑） Stoned（石头）ExeBug Monkey 病毒的组成： 安装模块：提供潜伏机制； 传播模块：提供传染机制； 触发模块：提供触发机制； 其中，传染机制是病毒的本质特征，防治、检测及 杀毒都是从分析病毒传染机制入手的。 计算机病毒的传播过程可简略示意如下： 病毒的症状 启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。 计算机病毒的传播途径

计算机期末复习题 计算机病毒

计算机病毒选择题题库 A) 微生物感染 B) 化学感染 C) 特制的具有破坏性的程序 D) 幻觉 A) 计算机病毒是程序，计算机感染病毒后，可以找出病毒程序，进而清除它 B) 只要计算机系统能够使用，就说明没有被病毒感染 C) 只要计算机系统的工作不正常，一定是被病毒感染了 D) U 盘写保护后，使用时一般不会被感染上病毒 A) 恶性 B) 良性 C) 引导型 D) 定时发作型 A) 管理 B) 技术 C) 硬件 D) 管理和技术 A) 是有时间性的，不能消除 B) 是一种专门工具，可以消除 C) 有的功能很强，可以消除 D) 有的功能很弱，不能消除 A) 保护软盘清洁 B) 不要把此软盘与 有病毒的软盘放在 一起 C) 进行写保护 D) 定期对软盘进行格式化 A) 从键盘输入统计数据 B) 运行外来程序 C) 软盘表面不清洁 D) 机房电源不稳定 A) 只会感染，不会致病 B) 会感染致病，但无严重危害 C) 不会感染 D) 产生的作用尚不清楚 A) 传播性，潜伏性，破坏性 B) 传播性，破坏性，易读性 C) 潜伏性，破坏性，易读性 D) 传播性，潜伏性，安全性 A) 应用程序 B) 文档或模板 C) 文件夹 D) 具有“隐藏”属性的文件 A) 生物病菌 B) 生物病毒 C) 计算机程序 D) 有害的言论文档 A) 游戏软件常常是计算机病毒的载体 B) 用消毒软件将一片软盘消毒之后，该软盘就没有病毒了 C) 尽量做到专机专用或安装正版软件，是预防计算机病毒 D) 计算机病毒在某些条件下被激活之后，才开始起干扰和

的有效措施破坏作用 A) 磁盘B) 计算机网络C) 操作员D) 磁盘和计算机网络 A) 隐蔽性B) 自由性C) 传染性D) 危险性 A) 使磁盘引导扇区被破坏以至于不能启动微机B) 使磁盘一块一块 地逐渐碎裂 C) 使磁盘的写保护 不能再实现写保护 D) D、使微机的电源 不能打开 A) 人为制造，手段隐蔽B) 破坏性和传染性 C) 可以长期潜伏， 不易发现 D) 危害严重，影响 面广 A) 对系统软件加上写保护B) 对计算机网络采 取严密的安全措施 C) 切断一切与外界 交换信息的渠道 D) 不使用来历不明 的、未经检测的软件 A) 特殊的计算机部件B) 游戏软件 C) 人为编制的特殊 程序 D) 能传染的生物病 毒 A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人 为制造的一种程序 C) 计算机病毒是一 种通过磁盘、网络等 媒介传播、扩散，并 能传染其它程序的 程序 D) 计算机病毒是能 够实现自身复制，并 借助一定的媒体存 在的具有潜伏性、传 染性和破坏性的程 序 A) 反病毒软件通常滞后于计算机新病毒的出现B) 反病毒软件总是 超前于病毒的出现， 它可以查、杀任何种 类的病毒 C) 感染过计算机病 毒的计算机具有对 该病毒的免疫性 D) 计算机病毒会危 害计算机用户的健 康 A) 磁盘空间变小B) 系统出现异常启 动或经常“死机” C) 程序或数据突然 丢失 D) 以上都是 A) 传播媒介是网络B) 可通过电子邮件 传播 C) 网络病毒不会对 网络传输造成影响 D) 与单机病毒比 较，加快了病毒传播 的速度

计算机病毒

《计算机病毒》 一、教材分析： 本节课的教学内容选自《计算机基础》教材中的第一章第五小节。本书共六章内容，除了第一章外，其余章节均为操作性学习。第一章为计算机基础知识，是所有操作的基础，理论性较强，是计算机知识中的重要内容。然而，当今社会，信息安全跟我们的生活息息相关。所以在计算机领域，计算机病毒知识是我们学习计算机需要重点掌握的内容，可谓计算机基础的重中之重。 二、学情分析： 1.心智水平 本课针对的是中师学生，他们已经具有了一定的理解能力与他人合作讨论的意识，具备总结和交流能力。能够在老师的引导下进行讨论，完成老师的任务，达到预期的教学效果。 2.知识储备情况 现在，大部分学生使用电脑、网络的次数越来越多，具备了一定的计算机操作能力，但对于信息安全方面没有足够的认识，甚至有一部分同学已经亲身体会过计算机病毒所带来的危害。对于病毒，他们好奇又有点恐惧。这时，老师讲解计算机病毒方面的内容，肯定能吸引同学们的兴趣，让他们愿意去学习这方面的知识。 三、教学目标： （一）知识与技能： 1．了解计算机病毒的定义和基本特点； 2．认识计算机病毒的破坏性及危害性；

3. 掌握计算机病毒防治的技能。 （二）情感态度与价值观： 1．体会到计算机病毒的破坏性和危害性，以正确态度面对计算机病毒； 2．树立对计算机病毒的防范意识，掌握有效的防治措施，具有应对及处理计算机病毒的能力。 3．培养学生使用计算机的良好习惯。 四、教学方法： 俗话说：教学有法，教无定法。根据教学目标和学生的实际情况，选择合适的教学方法。 1．教法： 通过任务驱动的方法，并与讲、演、练相结合，让学生在老师的引导下去探索、发现问题并解决问题。 2．学法： 通过小组合作讨论的方式，培养学生自我探究的能力。对于提出的问题，同学之间相互讨论相互启发，锻炼学生归纳、分析、总结的能力。目的是指导学生的学习方法，培养学生的学习能力，提高学生的信息素养。 3．教学手段：多媒体演示和教材辅助。 五、教学重难点： （一）教学重点： 1.了解计算机病毒的定义并熟知其特点； 2.了解计算机病毒造成的危害，树立对计算机病毒的防范意识；

计算机的病毒案例

《缉拿真凶──计算机病毒》教学案例 随着信息时代的到来，计算机已经走入千家万户，在我们使用的过程中，肯定出现过许多异常现象。到底是什么原因引起计算机工作异常呢？相信大部分学生都比较感兴趣。因此以此为切入点，引入新课。 但本课的容理论性较强，对于五年级的学生来说，如果用常规教学的模式来讲，就会显得枯燥无味。而且小学生一堂课上的注意力时间很短，所以本节课采取了角色扮演的形式，小组分工协作的方法，利用网络平台自主获取信息，处理信息的学习方式贯穿本节课。 【教学目标】 ·计算机病毒的定义。 ·了解计算机病毒的特点和危害。 ·当前计算机病毒传播的途径。 ·掌握预防计算机病毒的方法。 【教学重点】 ·了解计算机病毒的特点 ·知道计算机病毒的传播算途径 【教学难点】

掌握预防计算机病毒的方法 【课外延伸】 了解病毒、木马、黑客的关系。 【教学方法】 1．角色扮演 2．利用网络进行自主学习。 3．小组合作、互助。 【教学模式】 引课──小组分工──上网自主学习──小组获取信息、加工处理信息──各组汇报结果──师评、生评──归纳总结──德育渗透 【情感目标】 ·培养学生的信息安全意识。 ·培养学生正确的网络道德观。 ·培养学生团队合作精神。 【能力目标】 ·培养学生获取信息的能力、处理信息的能力。

·培养学生利用网络自主学习的能力。 【教学课时】 1课时 课前：在课间准备活动时，学生按顺序走进教室，播放杜娟唱歌的音乐，给学生制造轻松的气氛，并且预示大家准备上课了。 一、引课 师：同学们好 生：老师好 师：我有一个愿望，想与你们做朋友，因为你们的眼神告诉我你们很会学习，会捕获知识，而且你们是一个团结的集体，这让我非常喜欢们。 师：我呢，平时，喜欢在网上学习，下载软件，欣赏动漫。昨天我下载了一首我儿时最喜欢的歌曲，今天要与你们一起欣赏。 （播放课件，蓝精灵MV）----（播放到一半，突然计算机报错，提示需重新启动）（冲击波病毒症状） 师：嗯？怎么回事？谁的眼睛最亮，能不能告诉我们大家，刚才发生了什么奇怪的现象？ 生：回答刚才看到的奇怪现象。

计算机病毒分类

病毒分类： 按破坏性分⑴良性病毒⑵恶性病毒⑶极恶性病毒⑷灾难性病毒按传染方式分⑴引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的"主引导记录"。 ⑵文件型病毒是文件感染者，也称为寄生病毒。 它运行在计算机存储器中，通常感染扩展名为COM、EX E、SYS等类型的文件。 ⑶混合型病毒具有引导区型病毒和文件型病毒两者的特点。 ⑷宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。 宏病毒影响对文档的各种操作。 按连接方式分⑴源码型病毒它攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。 源码型病毒较为少见，亦难以编写。 ⑵入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。 因此这类病毒只攻击某些特定程序，针对性强。 一般情况下也难以被发现，清除起来也较困难。 ⑶操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。 因其直接感染操作系统，这类病毒的危害性也较大。 ⑷外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。 大部份的文件型病毒都属于这一类。

病毒命名很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb. 12、Trojan.Win 32.SendIP.15等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。 虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。 一般格式为： <病毒前缀>.<病毒名>.<病毒后缀>。 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。 不同的种类的病毒，其前缀也是不同的。 比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。 一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

电大计算机网考真题计算机安全

电大计算机网考真题计算机安全 1.计算机安全的属性不包括________。 A. 保密性 B. 完整性 C. 不可抵赖性和可用性 D. 数据的合理性 参考答案: D 2.计算机安全属性不包括______。 A. 保密性 B. 完整性 C. 可用性服务和可审性 D. 语义正确性 参考答案: D 3.得到授权的实体需要时就能得到资源和获得相应 的服务，这一属性指的是______。 A. 保密性 B. 完整性 C. 可用性 D. 可靠性 参考答案: C 4.系统在规定条件下和规定时间内完成规定的功 能，这一属性指的是______。 A. 保密性 B. 完整性 C. 可用性 D. 可靠性 参考答案: C 5.信息不被偶然或蓄意地删除、修改、伪造、乱序、 重放、插入等破坏的属性指的是______。 A. 保密性 B. 完整性 C. 可用性 D. 可靠性 参考答案: B 6.确保信息不暴露给未经授权的实体的属性指的是 ______。 A. 保密性 B. 完整性 C. 可用性 D. 可靠性 参考答案: A 7.通信双方对其收、发过的信息均不可抵赖的特性 指的是______。 A. 保密性 B. 不可抵赖性 C. 可用性 D. 可靠性 参考答案: B 8.计算机安全不包括_______。 A. 实体安全 B. 操作安全 C. 系统安全 D. 信息安全 参考答案: B 9.下列情况中，破坏了数据的完整性的攻击是 _______ A. 假冒他人地址发送数据 B. 不承认做过信息的递交行为 C. 数据在传输中途被篡改 D. 数据在传输中途被窃听 参考答案: C 10.下列情况中，破坏了数据的保密性的攻击是 _______ A. 假冒他人地址发送数据 B. 不承认做过信息的递交行为 C. 数据在传输中途被篡改 D. 数据在传输中途被窃听 参考答案: D 11.使用大量垃圾信息，占用带宽（拒绝服务）的攻 击破坏的是______。 A. 保密性 B. 完整性 C. 可用性 D. 可靠性 参考答案: C 12.对计算机病毒，叙述正确的是______。 A. 都具有破坏性 B. 有些病毒无破坏性 C. 都破坏EXE文件 D. 不破坏数据，只破坏文件 参考答案: A 13.计算机病毒是指能够侵入计算机系统并在计算机 系统中潜伏、传播、破坏系统正常工作的一种具有繁殖能力的______ A. 指令 B. 程序 C. 设备 D. 文件 参考答案: B 14.计算机病毒的传播途径不可能是______。 A. 计算机网络

计算机病毒的主要危害

计算机病毒的主要危害有： 1．病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing！” （警告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。 2．占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 3．抢占系统资源除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。 4．影响计算机运行速度病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： （1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。 （2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 （3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。 5．计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样

电脑病毒种类大全有哪些

电脑病毒种类大全有哪些 导读：我根据大家的需要整理了一份关于《电脑病毒种类大全有哪些》的内容，具体内容：电脑病毒种类有很多很多，你知道多少种呢?跟着我去看看!下面由我给你做出详细的介绍!希望对你有帮助!电脑病毒种类介绍一：电脑病毒种类1、系统病毒系统病毒的前缀为... 电脑病毒种类有很多很多，你知道多少种呢?跟着我去看看!下面由我给你做出详细的介绍!希望对你有帮助! 电脑病毒种类介绍一： 电脑病毒种类1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 电脑病毒种类2、蠕虫病毒 蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件) 等。 电脑病毒种类3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户

的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为"密码"的英文"password"的缩写)一些黑客程序如：网络枭雄(https://www.360docs.net/doc/3614722289.html,her.Client)等。 电脑病毒种类4、脚本病毒 脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 电脑病毒种类5、宏病毒 其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD 文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用 Excel97做为第二前缀，格式是：Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，

什么是计算机病毒

什么是计算机病毒? 计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 什么是木马? 木马是一种带有恶意性质的远程控制软件。木马一般分为客户端和服务器端。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会象病毒那样去感染文件。 什么是防火墙?它是如何确保网络安全的? 使用功能防火墙是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。 什么是后门?为什么会存在后门? 后门是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或者在发布软件之前没有删除，那么它就成了安全隐患。 什么叫入侵检测? 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 什么叫数据包监测?它有什么作用? 数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求一个网页，这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。 什么是NIDS? NIDS是网络入侵检测系统的缩写，主要用于检测HACKER和CRACKER通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如HUB、路由器。

电脑病毒的主要危害有

电脑病毒的主要危害有 计算机病毒的主要危害有： 1.病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录 区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。 磁盘杀手病毒D1SK KILLER，内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显 示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing!” 警 告!D1SK KILLER ll1在工作，不要关闭电源或取出磁盘，改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒 软件修复，不要轻易放弃。 2.占用磁盘空间和对信息的破坏 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移 到其他扇区，也就是引导型 病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。 文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间， 把病毒的传染部分写到磁盘的 未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很 快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严 重浪费。 3.抢占系统资源 除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就 必然抢占一部分系统资源。病

毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少， 一部分软件不能运行。除占用内 存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用 技术来实现的。病毒为了传染激 发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干 扰了系统的正常运行。 4.影响计算机运行速度 病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： 1病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余 又有害。 2有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病 毒也处在加密状态，CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行; 而病毒运行结束时再用一段程 序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 3病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度 明显变慢，而且软盘正 常的读写顺序被打乱，发出刺耳的噪声。 5.计算机病毒错误与不可预见的危害 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机 软件需要耗费大量的人力、 物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机 病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量 病毒后发现绝大部分病毒都存在 不同程度的错误。 错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的 能力，出于好奇或其他原因

计算机中病毒的处理办法

计算机病毒处理常用办法 1、预防病毒的好习惯 1）建立良好的安全习惯。 对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet 下载后未经杀毒处理的软件，不要共享有读写权限的文件夹或磁盘，机器间文件的拷贝要先进行病毒查杀； 2）经常升级安全补丁。 一部分病毒是通过系统安全漏洞进行传播的，像红色代码、尼姆达、SQL Slamer、冲击波、震荡波等病毒，我们应密切关注病毒、漏洞预警，即使修补系统漏洞补丁； 3）使用复杂的用户口令。 有许多病毒是通过猜测用户口令的方式攻击系统的。因此使用复杂的口令，会提高计算机的病毒防范能力；一般来讲，复杂的口令须具备：长度8位或8位以上，口令中必须含字母、数字而且字母分大小写； 4）迅速隔离受感染的计算机。 当计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源； 5）了解一些病毒知识。 这样可以及时发现新病毒并采取相应措施，使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。 6）安装专业的防毒软件进行全面监控。 在病毒日益增多的今天，应该使用防病毒软件进行病毒防范，在安装了防病毒软件之后，还要经常进行病毒库的升级，并打开实时监控（如文件双向监控）器进行监控。 2、怎样区别计算机病毒与故障 在清除计算机病毒的过程中，有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起，同时有些病毒发作现象又与硬件或软件的故障现象相类似，如引导型病毒等。这给用户造成了了困惑，许多用户往往在用各种病毒软件查不出病毒时就去格式化硬盘，不仅影响了工作、减少了硬盘的寿命，而且还不能从根本上解决问题。所以，有必要正确区分计算机的病毒与故障，下面的经验供用户参考： 1）计算机病毒的现象 在一般情况下，计算机病毒总是依附某一系统软件或用户程序中进行繁殖和扩散，病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，往往有一定规律性地出现一些异常现象，比如： A. 屏幕显示异常。屏幕显示出不是由正常程序产生的画面或字符串, 出现显示混乱现象； B. 程序装载时间明显增长, 文件运行速度显著下降； C. 用户没有访问的设备出现异常工作信号； D. 磁盘出现莫名其妙的文件和坏块, 卷标发生变化； E. 系统自行引导； F. 丢失数据或程序, 文件字节数发生变化； G. 内存空间、磁盘空间异常减小； H. 异常死机或自动重启； I. 磁盘访问时间比平时明显增长； J. 系统引导时间明显增长。 2）与病毒现象类似的硬件故障 硬件的故障范围不太广泛，比较容易确认，但在处理计算机异常现象时易被忽略。排除硬件故障是解决问题的第一步。

常见的计算机病毒

【安全】常见病毒类型说明及行为分析0点 1、目前杀毒厂商对恶意程序的分类 nbsp; 木马病毒：TROJ_XXXX.XX nbsp; 后门程序：BKDR_XXXX.XX nbsp; 蠕虫病毒：WORM_XXXX.XX nbsp; 间谍软件：TSPY_XXXX.XX nbsp; 广告软件：ADW_XXXX.XX nbsp; 文件型病毒：PE_XXXX.XX nbsp; 引导区病毒：目前世界上仅存的一种引导区病毒 POLYBOOT-B 2、病毒感染的一般方式 病毒感染系统时，感染的过程大致可以分为： 通过某种途径传播，进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如： 打开后门等待连接 发起DDOS攻击 进行键盘记录 发送带计算机使用记录电子邮件 2.1 常见病毒传播途径 除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对毒，它们传播、感染系统的方法也有所不同。 nbsp; 计算机病毒传播方式主要有： ü电子邮件 ü网络共享 ü P2P 共享 ü系统漏洞 ü浏览网页 ü移动磁盘传播 ü打开带毒影音文件 2.1.1电子邮件传播方式 nbsp; HTML正文可能被嵌入恶意脚本， nbsp; 邮件附件携带病毒压缩文件 nbsp; 利用社会工程学进行伪装，增大病毒传播机会 nbsp; 快捷传播特性

例：WORM_MYTOB，WORM_STRATION等病毒 2.1.2 网络共享传播方式 nbsp; 病毒会搜索本地网络中存在的共享，包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ nbsp; 通过空口令或弱口令猜测，获得完全访问权限 病毒自带口令猜测列表 nbsp; 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例：WORM_SDBOT 等病毒 2.1.3 P2P共享软件传播方式 nbsp; 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 nbsp; 通过P2P软件共享给网络用户 nbsp; 利用社会工程学进行伪装，诱使用户下载 例：WORM_PEERCOPY.A，灰鸽子等病毒 2.1.4 系统漏洞传播方式 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏nbsp; 病毒往往利用系统漏洞进入系统,达到传播的目的。 nbsp; 常被利用的漏洞 – RPC-DCOM 缓冲区溢出(MS03-026) – Web DAV (MS03-007) – LSASS (MS04-011) – Internet Explorer 中的漏洞（MS08-078） –服务器服务中允许远程执行代码的漏洞（MS08-067） (Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒 2.1.5 网页感染传播方式 主要是通过恶意脚本 网页感染传播方式是当前网络主要的传播方式，这种传播方式有以下几大优点： 1、代码灵活多变 利用直接的JAVA恶意脚本。 利用