计算机病毒介绍.

第二部分 计算机病毒的基本特点
3，触发模块
只有满足破坏条件后病毒才能发作，实现破坏，这就是触发模块。 病毒在成功感染后，一边很小心地隐藏自己，一边判断是否够条 件来发作。条件不成熟时，病毒所做的只是隐藏和进一步感染，而不 会表现出任何破坏，只有这样，病毒才可能有更强的生命力，避免短 时间内就被用户发现并消灭。
第五部分 宏病毒
小知识：Word工作原理
所有的Word文档都是通过模板建立的，当建立一个Word文档时， Word先会打开一个默认的模板，或者由用户选择模板，在此模板的基 础上对文件进行编辑，最后保存一个.doc的文件。 模板文件的位置 C：\Documents and settings\用户名\Application Date\Microsoft\Templates\*.dot
第五部分 宏病毒
感染宏病毒有哪些症状
内存占用严重，系统资源匮乏。 选择“另存为”时，只能保存为.dot模板格式，无法选择其它格 式。 自动建立，关闭Word文档。 关闭Word文档时不对已经修改的文档提示保存。 当出现上述的任何一种情况，就应该怀疑是中了宏病毒，特别是 第二种情况，可以确定是中了宏病毒，应及时清除。
第二部分 计算机病毒的基本特点
4，破坏模块
当病毒判断满足条件可以发作时，就表现出破坏，破坏的表现形 式很多，这一个模块是给计算机病毒定性的根本依据。 同一个病毒还可以在不同的触发条件下进行不同的破坏表现。病 毒作者在编写病毒时，已经告诉了病毒在什么条件下进行什么破坏， 并允许其他人对这些信息进行修改，这就是很多病毒出现变种的原因。
第三部分 引导型病毒
感染引导型病毒的现象
感染引导型病毒后，开机时可能出现以下错误信息： DISK BOOT FAILURE , INSERT SYSTEM DISK AND PRESS ENTER （磁盘引导失败） Invalid partition table （无效的分区表信息） Error loading operating system （不能加载操作系统，DOS引导记录出错） Missing operating system （缺少操作系统，DOS引导记录出错）
第五部分 宏病毒
如何清除宏病毒
手动清除 原则：手动清除宏病毒时，先要清除模板中的病毒，因为模板是其它 Word文档操作的基础。
方法： 1） 按住Shift键打开模板或者文档，避免宏被执行。 2）选择工具—宏—宏，把宏列表里的除了自己建的以外的宏逐个删 除，如果自己没有建立过，可以全部删除。
第五部分 宏病毒
查看模板或文档的宏列表
第六部分 脚本病毒
什么是脚本病毒
脚本病毒也叫做VBS病毒或JS病毒，这一类病毒是用Visual Basic Script或Java Script语言编写的，执行方式为解释执行。即一边把 高级语言的代码转化成可被计算机识别的语言一边执行，也就是说转 化和执行是同时进行的。 这类病毒的扩展名一般是.vbs或.js，它们可以通过自我复制来感 染文件，甚至jpg和mp3这种格式的文件都可能被感染，病毒中的大部 分代码都可以直接附加到同类程序的代码中。
第四部分 文件型病毒
如何防御文件型病毒
利用杀毒软件 目前杀毒软件的反病毒技术已经比较成熟，实时监控的功能可以 即时检测当前系统的状况，如果发现当前内存中有带有病毒特征码的 程序，立刻终止其进程的操作，并清除病毒。这样有可以有效地防止 文件型病毒驻留内存。
第四部分 文件型病毒
感染文件型病毒后如何处理
宿主程序：就是病毒寄生的对象。病毒依赖宿主程序的存在而存在， 消亡而消亡。
第四部分 文件型病毒
文件型病毒的特点
清除比较困难
1，最初的文件型病毒，感染文件一般是将病毒代码直接附加到宿主 程序代码前或最后，宿主程序本身代码不会改变，清除比较方便，只 需要把病毒代码从宿主程序中分离出去就成了。 2，后来的文件型病毒改变了这种感染模式，他们开始将病毒代码附 加到宿主程序的中间，而且是分段存放，甚至采用加密技术，对清除 工作造成了很大的困难。
利用杀毒软件清除被感染的文件 杀毒软件的杀毒引擎可以剥离宿主程序中的病毒代码，还原文件 的初始状态，但对于一些被破坏严重的文件，可能已经无法正常运行， 杀毒软件也不能保证恢复文件。 利用备份的文件覆盖被感染的文件。
第五部分 宏病毒
什么是宏病毒
宏病毒是一种比较特殊的数据型病毒，专门感染OFFICE办公自动化 软件的Word和Excel文档。 宏病毒主要是利用隐藏在Word文档和Excel文档中的宏命令来进行 破坏。 小知识：所谓“宏”，是指一组可以被执行的指令的集合，用来实 现复杂操作的自动化执行，从而大大简化了工作步骤，提高了效率。 （可以理解为bat批处理文件）
第三部分 引导型病毒
什么是引导型病毒
引导型病毒，就是感染磁盘引导区的病毒。 引导型病毒分为两类：主引导区病毒和DOS引导区病毒。 小知识： 硬盘被分区后，就由分区程序建立的主引导区，固定大小 为515 字节，里面包括硬盘引导程序和硬盘分区表。 硬盘被高级格式化后，格式化程序建立了DOS引导区，存放系统的 引导信息，负责对系统的引导。
第二部分 计算机病毒的基本特点
1，感染模块
这是病毒最关键的部分，为了自身的生存，病毒必须不断感染一 个又一个正常的程序或系统，借此来传播自己。 这一点和生物病毒有着相似之处，可以理解为病毒执行写操作， 把病毒代码“写”到正常程序中。
第二部分 计算机病毒的基本特点
2，传播模块
计算机病毒是不甘心仅仅感染一个正常程序或系统的，病毒感染 其它正常程序或系统的过程就是传播。 不同病毒的传播模块是不同的，文件型病毒每次新感染一个宿主 程序，就完成了自身的传播，而蠕虫病毒的传播可能只是一个复制命 令。
第五部分 宏病毒
什么是宏病毒
在Word和Excel中包含以下几种特殊的自动宏。

AutoOpen 打开文档时 AutoClose 关闭文档时 AutoNew 新建文档时 AutoExec 打开Word和Excel时 AutoExit 退出时
由于用户对Word和Excel文档执行操作时必须要执行“打开”、 “关闭”、“新建”、“退出”这四个操作中至少一个，那么也就至 少需要执行AutoOpen、AutoClose、AutoNew、AutoExit四个宏中的任 意一个，那么隐藏在里面的宏病毒就不知不觉地被激活了。
第三部分 引导型病毒
引导型病毒的感染原理
引导型病毒驻留内存，通过两种方式感染主引导区或DOS引导区。 利用一切办法把自身的代码全部或部分复制到原来的引导区，覆 盖或修改了正常的引导文件，导致系统不能正常引导。
把自身的代码连接到正常的引导程序中，使得任何情况下只要启 动计算机，在引导过程中病毒就被执行，这样病毒就早于操作系统而 获得控制权。
第五部分 宏病毒
设置宏的安全级别
运行宏前自动提示
第五部分 宏病毒
Word2007 默认设置为禁用所有宏，并发出通知
ቤተ መጻሕፍቲ ባይዱ
第五部分 宏病毒
如何清除宏病毒
使用杀毒软件清除 1）由于宏病毒在感染后会驻留内存，因此使用杀毒软件清除是最简 单的方法，注意杀毒的时候关闭Word文档，保证杀毒正常顺利进行。
2）宏病毒只感染Word文档，所以无需进行全盘杀毒，只需要搜索出 来所有的.doc和.dot的文件进行快捷杀毒即可，这样既有针对性，又 有较高的效率。
第五部分 宏病毒
如何预防宏病毒
安装杀毒软件预防 目前几乎所有的杀毒软件都完全可以检测和清除隐藏在Word文档 里的宏病毒，使系统恢复正常。对于新出现的宏病毒，需要对杀毒软 件的病毒库进行更新。
第五部分 宏病毒
如何预防宏病毒
使用Word本身的设置进行预防 1）设置宏安全级别 具体方法：打开Word，选择工具—选项—安全性—宏安全性，打 开宏的安全级别设置选项，将安全级别设置为“非常高”。经过这样 的设置后只可以运行Word默认的宏。 2）运行宏前自动提示 在宏安全性选项里切换到“可靠发行商”，取消“信任所有安装 的的加载项和模板”前面的勾选，这样设置后当打开含有宏的文档时， 会提示宏已经被禁止。
第三部分 引导型病毒
如何清除引导型病毒
杀毒软件清除。 目前的杀毒软件基本上都可以清除各种类型的引导型病毒，而且 操作十分简单。 手动清除。 无论是主引导区病毒，还是DOS引导区病毒，清除的基本思想都是 用正确的引导区信息去覆盖受到破坏的引导区信息。这样既可以清除 病毒，又可以恢复系统。 在进行操作前，必须保证内存中无毒，并用无毒的软件盘光盘进 行引导，然后再通过SYS命令将启动盘上的系统引导信息传递给系统 盘。
第四部分 文件型病毒
文件型病毒的特点
感染和破坏能力强
1，在内存中感染病毒后，对所有.exe或.com文件的任何操作（包括 查看文件大小）都可能使立即染毒。这两个格式又恰恰是最常用的两 种，这就是文件型病毒感染能力特别强的原因。 2，由于文件型病毒必须将自身的代码以各种形式融合到宿主程序中 去，这必然就破坏了宿主程序原来的结构，严重的话很可能导致宿主 程序不能正常执行或根本不能执行，而且也无法完全清除。
第四部分 文件型病毒
如何防御文件型病毒
及时备份 任何时候感染了病毒，只需要利用备份进行覆盖，就可以达到清除 病毒并恢复系统的目的。 小知识：使用系统自带的备份工具ntbackup.exe进行文件备份。 备份文件的扩展名为.bkf，不是可执行文件，所以不会被文件型病毒 感染而成为宿主程序。
第四部分 文件型病毒
第四部分 文件型病毒
文件型病毒是如何工作的
1） 如果病毒只存在于宿主程序中，而该宿主程序并未被执行，此时 的病毒处于静态下，不能表现感染和破坏作用。 2） 当宿主程序被执行时，病毒代码首先被执行，这时的病毒由静态 转变为动态。 3）动态病毒一般都驻留内存，监视所有可执行文件的任何动作，一 旦发现内存中有宿主程序存在，判断是否已经被感染，如果已经被感 染就继续寻找其它宿主程序，如果未被感染就立刻感染并做上“已感 染”的标记。 4）感染后的宿主程序同样成为一个新的病毒源，重复第一个步骤。
第五部分 宏病毒
宏病毒和文件型病毒的区别
相同点：都需要宿主程序，只要在宿主程序被打卡时才感染系统。 不同点： 1）宏病毒的宿主为Word和Excel文档，文件型病毒的宿主为可执行文 件。 2）宏病毒只存在于Word和Excel环境下，如果没有安装Word或者 Excel，就不会感染宏病毒。
第五部分 宏病毒
Word模板的选择（分为公共模板和文档模板）
第五部分 宏病毒
宏病毒有哪些特点
破坏性强： 宏病毒使用VB语言编写指令，由于VB语言的功能十分强大，甚至 可以直接利用DOS功能来执行如Format(格式化）一类的命令，导致隐 藏在其中的宏病毒可以执行一些很危险的破坏性操作。 另外由于VB语言是开放性语言，任何人都可以对已存在的宏病毒 进行简单修改，这样，一个新的宏病毒就随之产生了。
第四部分 文件型病毒
什么是文件型病毒
文件型病毒的感染对象是“.exe”、“.com”等类型的可执行文 件。 文件型病毒的一个共同的特征，就是被感染的对象首先要可以被 执行，否则它们就是失去了继续感染的机会。 文件型病毒在感染文件时，采取直接连接，覆盖，修改，插空等 方法，把自身代码和正常程序融合。
计算机病毒介绍
病毒的种类及防范
第一部分 什么是计算机病毒
计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据、影响计 算机使用、并能自我复制的一组计算机指令或 者程序代码。
如今从广义上讲，一切危害用户计算机数 据、偷盗用户隐私、损害他人利益及影响用户 正常操作的程序或代码都可被定义为计算机病 毒。
第五部分 宏病毒
宏病毒有哪些特点
感染和传播隐蔽： 宏病毒隐藏在模板或word文档中。 当打开一个word文档时，先加载的是被调用的模板，文档里的宏 病毒便直接感染了模板，然后所有调用此模板的文档都会感染宏病毒。 由于宏病毒的感染和传播过程，都发生在打开，关闭或保存word 文档的时候，所以用户根本无法察觉。