计算机病毒

计算机病毒：传播、感染和防范

计算机病毒几乎像普通感冒一样存在着无数变化。与引起普通感冒的生物病毒不同，人们制造病毒。为了制造病毒，无良的程序员必须编写代码并测试病毒代码以确保病毒可以自我复制，监控某些事件，然后再传播其有效载荷——制造病毒来传递破坏性事件或恶作剧。尽管病毒有多种变体，但大多数病毒的执行有两个阶段：感染和传播。

要启动感染阶段，必须激活病毒。今天，最常见的病毒传播方式是人们将感染程序伪装成电子邮件附件。感染阶段，病毒一般实行三个行动：1首先，病毒复制通过依附于项目的文件。宏病毒隐藏在程序的宏语言中，如Word。引导扇区病毒主要针对引导记录，并在计算机启动时执行。一个文件病毒附着在程序文件。这个文件病毒，win32.Hatred，例如，首先复制感染Windows可执行文件的计算器，记事本，帮助，和硬盘上的其他程序，然后扫描计算机找到 .exe文件在其他驱动器中和存储这些信息在系统注册表中。下一次感染的文件被运行时，病毒读取注册表并继续感染另一个驱动器。

2病毒也隐藏自己以免被发现。隐形病毒隐藏在假代码段中，伪装成文件中的工作代码。

多态病毒实际上会改变它的代码，因为它感染了计算机。win32.Hatred 病毒同时使用隐藏技术。病毒将自己写到最后一个文件部分，同时修改文件头以隐藏增加的文件大小。它也将和加密的病毒代码，它感染文件。

3.最后，病毒监视某个条件或事件，并在该条件或事件发生时激活。事件可能是启动计算机或在系统时钟上读取日期。逻辑炸弹在检测特定情

况时激活（例如，从雇员列表中删除的名称）。定时炸弹是在特定日期或时间触发的逻辑炸弹。Win32.Hatred，例如，就会破坏当电脑时钟点击某个月的第七天。如果触发条件不存在，病毒就会简单地复制。

在传递阶段，病毒会释放其有效载荷。它可能是一个显示一些毫无信息的无恶意的玩笑，或者可能是破坏性的，如损坏或删除数据的文件。当Win32.Hatred病毒触发时，它显示作者的信息，然后用黑色圆点覆盖屏幕。该病毒还删除了几个杀毒文件，因为它感染了系统。最危险的病毒没有明显的有效载荷，而是悄悄地修改文件。例如，病毒可以在库存程序中随机改变数字，或者引入延迟来减缓计算机的速度。杀毒软件检测计算机病毒的一种方法是通过监视文件的未知变化，特别是文件大小。因为许多计算机病毒会改变系统和数据文件——不应该改变大小的文件——文件大小的变化常常是感染的关键标志。除了病毒存在其他电子的烦恼。虽然通常被称为病毒、蠕虫、木马程序和恶意工具包实际上是一个更广泛的范畴称为恶意程序或恶意软件的一部分。

蠕虫病毒，如CodeRed 或Sircam worm，属于主动记忆和自我复制通过网络感染的机器，使用的系统资源，可能关闭系统。

特洛伊木马是一种破坏性的程序，伪装成一个真实的程序，如屏幕保护程序。当用户运行一个看似无害的程序时，一个隐藏在里面的特洛伊木马可以从你的系统中捕获信息，比如用户名和密码，或者打开一个后门，允许黑客远程控制你的计算机。与病毒不同，特洛伊木马不复制自己。恶意软件是一种程序，可以很容易隐藏，让人从远程位置经常恶毒的目的，采取控制你的计算机。例如，一个恶意软件可以隐藏在你电脑上的

文件夹，并将出现空文件夹。这是因为你的电脑不是恶意软件指示显示文件夹。恶意软件可能非常危险，并且通常需要特殊的软件来检测和删除。恶意软件是越来越常见。事实上，最近的一项研究表明，在美国超过20%的电脑感染了恶意软件。在从未知源安装软件时谨慎使用非常重要。

每一个计算机用户都容易受到计算机病毒的影响。研究表明，不受保护的电脑在连接到互联网后几分钟内就会被病毒感染。由于病毒攻击你的电脑的威胁越来越大，保护你的电脑远离病毒比以往任何时候都重要。图10 - 1列出了你可以遵循的步骤来保护你的电脑免受病毒感染。