1.电脑病毒介绍

怎么给电脑权限,怎样弄垮电脑系统设置权限

病毒的定义

20世纪60年代初,美国贝尔实验室的三位程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。

20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。

1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。

20世纪80年代后期,巴基斯坦有两个以编程为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,这就是世界上流行的第一个真正的病毒。

那么,究竟什么是计算机病毒呢?

1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》(参见附录一)。在该条例的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”

这个定义具有法律性、权威性。根据这个定义,计算机病毒是一种计算机程序,它不仅能破坏计算机系统,而且还能够传染到其他系统。计算机病毒通常隐藏在其他正常程序中,能生成自身的拷贝并将其插入其他的程序中,对计算机系统进行恶意的破坏。

计算机病毒不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有破坏功能的程序。计算机病毒能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。

病毒的特征

传统意义上的计算机病毒一般具有以下几个特点:

1、破坏性

任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响,凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。

根据病毒对计算机系统造成破坏的程度,我们可以把病毒分为良性病毒与恶性病毒。良性病毒可能只是干扰显示屏幕,显示一些乱码或无聊的语句,或者根本没有任何破坏动作,只是占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确的目的,它们破坏数据、删除文件、加密磁盘或者甚至格式化磁盘,有的恶性病毒对数据造成不可挽回的破坏。这类病毒有CIH、红色代码等。

2、隐蔽性

病毒程序大多夹在正常程序之中,很难被发现,它们通常附在正常程序中或磁盘较隐蔽的地方(也有个别的以隐含文件形式出现),这样做的目的是不让用户发现它的存在。如果不经过代码分析,我们很难区别病毒程序与正常程序。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到有任何异常。

大部分病毒程序具有很高的程序设计技巧、代码短小精悍,其目的就是为了隐蔽。病毒程序一般只有几百字节,而PC机对文件的存取速度可达每秒几百KB以上,所以病毒程序在转瞬之间便可将这短短的几百字节附着到正常程序之中,非常不易被察觉。

3、潜伏性

大部分计算机病毒感染系统之后不会马上发作,可长期隐藏在系统中,只有在满足特定条件时才启动其破坏模块。例如,PETER-2病毒在每年的2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”病毒在逢13号的星期五发作。当然,最令人难忘的是26日发作的CIH病毒。这些病毒在平时会隐藏得很好,只有在发作日才会显露出其破坏的本性。

4、传染性

计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台计算机上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进数据交换或通过网络接触,病毒会在整个网络中继续传染。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

随着计算机软件和网络技术的发展,在今天的网络时代,计算机病毒又有了很多新的特点:

1、主动通过网络和邮件系统传播

从当前流行的前十位计算机病毒来看,其中七个病毒都可以利用邮件系统和网络进行传播。例如,“求职信”病毒就是通过电子邮件传播的,这种病毒程序代码往往夹在邮件的附件中,当收邮件者点击附件时,病毒程序便得以执行并迅速传染。它们还能搜索计算机用户的邮件通讯地址,继续向网络进行传播。

2、传播速度极快

由于病毒主要通过网络传播,因此,一种新病毒出现后,可以迅速通过国际互联网传播到世界各地。例如,“爱虫”病毒在一、两天内迅速传播到世界的主要计算机网络,并造成欧、美国家的计算机网络瘫痪。

3、变种多

现在,很多新病毒都不再使用汇编语言编写,而是使用高级程序设计语言。例如,“爱虫”是脚本语言病毒,“美丽杀”是宏病毒。它们容易编写,并且很容易被修改,生成很多病毒变种。“爱虫”病毒在十几天中,就出现了三十多个变种。“美丽杀”病毒也生成了三、四个变种,并且此后很多宏病毒都是使用了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致,只是某些代码作了修改。

4、具有病毒、蠕虫和黑客程序的功能

随着网络技术的普及和发展,计算机病毒的编制技术也在不断地提高。过去,病毒最大的特点是能够复制自身给其他的程序。现在,计算机病毒具有了蠕虫的特点,可以利用网络进行传播。同时,有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。呈现出计算机病毒功能的多样化,因而,更具有危害性。

病毒的分类

通常,计算机病毒可分为下列几类:

1、文件型病毒

文件型病毒通过在执行过程中插入指令,把自己依附在可执行文件上。然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行指令序列。通常,这个执行过程发生得很快,以致于用户并不知道病毒代码已被执行。

2、引导扇区病毒

引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码,然后再继续PC机的启动进程。大多数情况,在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时,这块软盘也会被感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里,或者在硬盘的引导扇区或主引导记录中插入指令。此时,如果计算机从被感染的软盘引导时,病毒就会感染到引导硬盘,并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。

3、混合型病毒

混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。当执行一个被感染的文件时,它将感染硬盘的引导扇区或主引导记录,并且感染在机器上使用过的软盘。这种病毒能感染可执行文件,从而能在网上迅速传播蔓延。

4、变形病毒

变形病毒随着每次复制而发生变化,通过在可能被感染的文件中搜索简单的、专门的字节序列,是不能检测到这种病毒的。变形病毒是一种能变异的病毒,随着感染时间的不同而改变其不同的形式,不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。

5、宏病毒

宏病毒不只是感染可执行文件,它可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重的危害,但它仍令人讨厌。因为宏病毒会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的,不受操作平台的约束,可以在D0S、Windows、Unix甚至在OS/2系统中散播。这就是说,宏病毒能被传播到任何可运行编写宏病毒的应用程序的机器中。

计算机病毒的发展趋势

随着Internet的发展和计算机网络的日益普及,计算机病毒出现了一系列新的发展趋势。

1、无国界

新病毒层出不穷,电子邮件已成为病毒传播的主要途径。病毒家族的种类越来越多,且传播速度大大加快,传播空间大大延伸,呈现无国界的趋势。

据统计,以前通过磁盘等有形媒介传播的病毒,从国外发现到国内流行,传播周期平均需要6-12个月,而Internet的普及,使得病毒的传播已经没有国界。从“美丽杀”、“怕怕”、“辛迪加”、“欢乐99”、到“美丽公园”、“探索蠕虫”、“红色代码”、“求职信”等恶性病毒,通过Internet在短短几天就传遍整个世界。

2、多样化

随着计算机技术的发展和软件的多样性,病毒的种类也呈现多样化发展的态势,病毒不仅仅有引导型病毒、普通可执行文件型病毒、宏病毒、混合型病毒,还出现专门感染特定文件的高级病毒。特别是Java、VB和ActiveX的网页技术逐渐被广泛使用后,一些人就利用技术来撰写病毒。以Java病毒为例,虽然它并不能破坏硬盘上的资料,但如果使用浏览器来浏览含有Java病毒的网页,浏览器就把这些程序抓下来,然后用使用者自己系统里的资源去执行,因而,使用者就在神不知鬼不觉的状态下,被病毒进入自己的机器进行复制并通过网络窃取宝贵的个人秘密信息。

3、破坏性更强

新病毒的破坏力更强,手段比过去更加狠毒和阴险,它可以修改文件(包括注册表)、通讯端口,修改用户密码,挤占内存,还可以利用恶意程序实现远程控制等。例如,CIH病毒破坏主板上的BIOS和硬盘数据,使得用户需要更换主板,由于硬盘数据的不可恢复性丢失,给全世界用户带来巨大损失。又如,“白雪公主”病毒修改Wsock32.Dll,截取外发的信息,自动附加在受感染的邮件上,一旦收信人执行附件程序,该病毒就会感染个人主机。一旦计算机被病毒感染,其内部的所有数据、信息以及核心机密都将在病毒制造者面前暴露,他可以随心所欲地控制所有受感染的计算机来达到自己的任何目的。

4、智能化

过去,人们的观点是“只要不打开电子邮件的附件,就不会感染病毒”。但是,新一代计算机病毒却令人震惊,例如,大名鼎鼎的“维罗纳(Verona)”病毒是一个真正意义上的“超级病毒”,它不仅主题众多,而且集邮件病毒的几大特点为一身,令人无法设防。最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破,一旦用户收到了该病毒邮件,无论是无意间用Outlook打开了该邮件,还是仅仅使用了预览,病毒就会自动发作,并将一个新的病毒邮件发送给邮件通讯录中的地址,从而迅速传播。这就使得一旦“维罗纳”类的病毒来临,用户将根本无法逃避。 该病毒本身对用户计算机系统并不造成严重危害,但是这一病毒的出现已经是病毒技术的一次巨大“飞跃”,它无疑为今后更大规模、更大危害的病毒的出现做了一次技术上的试验及预演,一旦这一技术与以往危害甚大的病毒技术或恶意程序、特洛伊木马等相结合,它可能造成的危害将是无法想象的。

5、更加隐蔽化

和过去的病毒不一样,新一代病毒更加隐蔽,主题会随用户传播而改变,而且许多病毒还会将自己装成常用的程序,或者将病毒代码写入文件内部,而文件长度不发生任何改变,使用户不会产生怀疑。例如,猖狂一时的“欢乐99”病毒本身虽是附件,却呈现为卡通的样子迷惑用户。现在,新的病毒可以将自身写入Jpg等中,计算机用户一旦打开,它就会运行某些程序将用户电脑的硬盘格式化,以后无法恢复。还有象“矩阵(matrix)”等病毒会自动隐藏、变形,甚至阻止受害用户访问反病毒网站和向病毒记录的反病毒地址发送电子邮件,无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。

电脑病毒介绍

如果没有主数据库,您就无法成功地启动SQL Server。在本文里,我将向您介绍在发生崩溃的情况下如何修复主数据库,并告诉您如何重建主数据库,如果有必要的话。

制定预案

制定一个应对崩溃和/或主数据库故障的预案十分重要。这将有助于您在碰到灾难的情况下按照既定的方法进行处理,而不是迫于压力仓促作出反应。我碰到过很多很容易就陷入惊慌的状况,但是由于保持冷静并按照正确的方法来处理问题,我最后成功地度过了所有的困境。

怎么才能知道您的主数据库已经崩溃?

在正式开始讨论碰到系统故障如何修复和重建的主数据库之前,我们需要先了解如何辨别它已经崩溃了。要说明这一点,我会弄垮一个主数据库,告诉您主数据库崩溃会发生什么样的症状。

现在让我们假设您的公司碰到了电涌,造成SQL Server重启。在重新启动的时候,SQL Server却没有正常启动。如果查看错误日志,您会看到主数据库崩溃或者丢失。既然您知道需要查看什么信息,那就让我们看看如何修复主数据库。

修复您的主数据库

修复主数据库的第一步是使用“重建向导(Rebuild Wizard,Rebuildm.exe),它放在\Program Files\Microsoft SQL Server\80\Tools\BINN目录下。现在就让我们来看看重建向导是如何工作的。

双击Rebuildm.exe启动对话框。

在这个对话框里,您可以指定数据库服务器的修复设置,以及原始安装的数据文件的位置。要让这一过程更容易和更快,就要把x86目录从SQL的光盘上复制到硬盘上,并把指向改到本地的副本。一旦验证完了所有的信息,点击“重建(Rebuild)”。然后系统就会提示您确认操作

点击“确定(Yes)”。一旦重建过程完成,您会看到一条重建成功的消息。您现在就有了一个全新的主数据库,准备好修复主数据库了。

首先,打开命令行提示符,输入\Program Files\Microsoft SQL Server\MSSQL\BINN\目录下的sqlservr.exe –c –m命令,启动单用户模式下的SQL Server。

在单用户模式下启动SQL Server之后,您可以利用备份文件修复主数据库。您可以用“查询分析器(Query Analyzer)”或者“SQL企业管理器(SQL Enterprise Manager)”来修复它。

如果使用企业服务器,就要右击主数据库,选择“所有任务|修复数据库(All Tasks | Restore Database)”,浏览到您设备所在的位置,点击两次“OK”,您就可以成功地修复主数据库了。

如果由于某种原因您的修复操作无法成功完成,那么您可以试试别的方法。只用简单地重建主数据库并添加驻留在数据目录下的所有数据库就可以了。您可以用企业管理器或者查询分析器来添加数据库。在企业管理器里,右击“数据库(Databases)”,选择“添加数据库(Attach Database)”

 电脑病毒介绍:

 ?计算机病毒?一词最早是由美国计算机病毒研究专家F--Cohen博士提出的。

 ?病毒?一词是借用生物学中的病毒。通过分析、研究计算机病毒,人们发现它在很多方面与生物病毒有着相似之处。要做反计算机病毒技术的研究,首先应搞清楚计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。

 再生机制是生物病毒的一个重要特征。通过传染,病毒从一个生物体扩散到另一个生物体。在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症甚至死亡。同样地,计算机病毒也会通过各种 渠道 从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征?传染和破坏。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染(或连接、或覆盖) 其它 未被感染的程序。具有这种特殊功能的程序代码被称为计算机病毒。携带有这种程序代码的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。比如DOS的FORMAT程序决不会将其程序代码连接到别的程序中去。在系统生成过程中有些系统的安装程序会修改相关程序的参数配置,如MSWindows系统。有些程序通过自身的设置功能,按用户要求会修改自己的参数设置,如Borland公司的SideKick。还有些程序出于加密防拷贝或某些其它目的,在运行时动态改变自身的程序代码,如Xcom通信程序。在这几种情况下,那些被修改的程序内部的确发生了变化,但这些变化只局限于各自应用系统的内部,不会发生将自身代码连接到毫不相干的程序之上的情形。计算机病毒的再生机制,即它的传染机制却是使病毒代码强行传染到一切未受到传染的程序之上,迅速地在一台计算机内,甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机,本身既是一个受害者,又是一个新的计算机病毒的传染源。被感染的计算机往往在一定程度上丧失了正常工作的能力,运行速度降低,功能失常,文件和数据丢失,同时计算机病毒通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒;而与这台机器相邻的其它几台计算机也许早已被该病毒侵染上了。通过数据共享的途径,计算机病毒会非常迅速地蔓延开,若不加控制,就会在短时间内传播到世界各个角落里去。可见反计算机病毒的问题是一个全球范围的问题。在我国发现的首例计算机病毒就是国外称为意大利病毒的小球病毒。在我国首先发现的Traveller病毒随着国际间的交往,也扩散到国外,其大名出现在国外杀病毒软件的病毒黑名单中。与生物病毒不同,所有的计算机病毒都是人为编写的计算机程序代码,是人为制造出来的而不是天生的。这些着意编写的计算机程序代码,其原始形式可以是C语言,可以是BASIC程序,可以是汇编语言程序,也可以是批命令程序,还可以是机器指令程序。其共同特点就是具有传染性和破坏性。

 计算机病毒的另一个特点是只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但已置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,绝大多数病毒首先要做初始化工作,在内存中找一片安身之处,随后将自身与系统软件挂起钩来,然后再执行原来被感染程序。这一系列的操作中,最重要的是病毒与系统软件挂起钩来,只要系统不瘫痪,系统每执行一次操作,病毒就有机会得以运行,去危害那些未曾被感染的程序。病毒程序与正常系统程序,或某种病毒与其它病毒程序,在同一台计算机内争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术也就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成对抗已知病毒的任务,对未知病毒则束手无策,任其在系统内扩散与破坏。所谓未知病毒是指新出现的,以前未曾分析过的计算机病毒。在1992年初,DIRⅡ病毒对我国广大PC机用户来说就是一种未知病毒。与未曾相识的敌手对阵不是件容易的事。DIRⅡ病毒采用嵌入DOS系统的设备驱动程序链的 方法 攻击IBMPC及其兼容机,是一种与以往病毒工作机制不同的新型计算机病毒。由于其夺取PC机系统控制权的方法很特别,在它的攻势下,大批抗病毒系统败下阵来。从这个例子可以看到,对付计算机病毒,目前尚无完满通用的解决方案,反病毒技术需要不断发展,以对抗各种新病毒。

 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。在没有防护 措施 的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示。传染操作完成后,计算机系统仍能运行,被感染的程序仍能执行,好像不曾在计算机内发生过什么。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性,计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。让我们设想,如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息?我是病毒程序,我要干坏事了?,那么计算机病毒早就被控制住了。确实有些病毒非常?勇于暴露自己?,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。如磁盘杀手(DiskKiller)病毒,当它破坏磁盘数据时,屏幕上显示如下信息:?DiskKillerVersion1.00byOgreSoftware,April1,1989.Don'tturnoffthepowerorremovethediskettewhileprocessing.?这两句话中,第一句的含义是:?磁盘杀手1.00版OgreSoftware公司1989年4月1日出版。?第二句的含义是:?在处理过程中请不要关机或取出磁盘。?接着屏幕上显示出?PROCESSING?意思是?正在处理?这时DiskKiller病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度是很快的,当你在屏幕上见到上述显示信息时,已经有很多数据被病毒破坏掉了。计算机病毒的第二个隐蔽性在于,被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就 不能启动 了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了。如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的病毒都很短小,最小的病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上,所以病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间,非常不易被察觉。

 与隐蔽性相关联的是计算机病毒的潜伏性。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。计算机病毒使用的触发条件主要有以下三种。(1)利用计算机内的实时时钟提供的时间作为触发器这种触发条件被许多病毒所采用,触发的时间有的精确到百分之几秒,有的则只区分年份。表11列出了一些病毒触发的时间,可以供防范计算机病毒时参考。(2)利用病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。这些事件可以是计算机开机的次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的总的程序个数等。(3)利用计算机内执行的某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。表11计算机病毒触发时间一览表被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其它条件。如在我国广为流传的小球病毒,每当系统时钟为整点或半点时,系统又正在进行读盘操作,而该盘是未被感染的,等等,一旦这些条件得到满足时,小球病毒的屏幕显示部分便被激活,一个小球弹跳在屏幕上。若 显示器 是CGA类型的,又正在使用汉字系统,则整个屏幕显示会不停地上下翻滚,使操作根本无法进行。小球病毒的触发条件在各种触发条件中是很典型的,既有时间的条件,又有功能操作的条件,而且条件之间还存在着逻辑?与?和逻辑?或?的关系。利用这种触发条件,计算机病毒不是随时随地表现自己,而是在适当的时机?条件满足时才向你示威,轻则只是在屏幕上显示些信息,重则要销毁数据,弄垮整个系统。计算机病毒的破坏作用是多种多样的。有一种分类方法是将病毒分为恶性病毒和良性病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗琪罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与 操作系统 和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。?计算机病毒的实现方法是千差万别的,加上许多病毒采用加密处理技术,使得被感染的程序恢复原形的工作,即杀毒工作很困难。目前还没有通用的、能可靠自动清病毒的方法。很多研究人员在这方面作了很多努力,一些国外商品软件也具有免疫功能(Immunize),但都存在缺陷,不尽如人意。某些病毒对系统的感染所造成的损失是不可挽回的,要修复被感染的文件是不可能的。当被新病毒感染后,要清除这些病毒,不仅需要耗费大量时间和精力去仔细地分析病毒代码,而且还需要对病毒和计算机系统有全面的了解。因此抗计算机病毒工作最重要的就是防御病毒,不让病毒侵入系统。一旦遭到破坏,做修复工作就很麻烦了,甚至是不可能的。

 在对抗计算机病毒的斗争中,很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种方法:按病毒对计算机系统的破坏性划分,有良性病毒和恶性病毒,已如上述。按病毒攻击的机型划分,有苹果机病毒,IBMPC机病毒,小型机病毒等。按危害对象划分,有损害计算机的病毒和损害网络通信的病毒。对于侵害IBMPC机的PC机病毒,也就是本书要着重讨论、要重点对抗的病毒,可以有更科学的分类。进行这种分类的目的,就是要了解病毒的工作机理,针对其特点,采取更加有效的方法,防御和清除计算机病毒。对PC机病毒,比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒(即又侵染引导区又感染文件的病毒)。这种划分方法对于检测、清除和预防病毒工作是有指导意义的,它不仅指明了不同种类病毒各自在PC机内的寄生部位,而且也指明了病毒的攻击对象。因此,可以通过采取相应的措施保护易受病毒攻击的部位,如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等,并进而找到综合、有效的反计算机病毒措施。?与国际上的情况一样,国内常见的PC机病毒中,引导区型比文件型病毒种类少,而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等。常见的引导区型病毒有大麻、小球、米氏病毒、6.4病毒和香港病毒等。混合型病毒常见的有新世纪病毒、Flip等。一种计算机病毒往往有多个名字。人们在讨论病毒防范时经常要弄清他们正在讨论的是不是同一种病毒。如1701病毒的别名有落叶病毒、落泪病毒、1704病毒、雨点病毒、感冒病毒等。国外又称雨点病毒为Flu病毒和JOJO病毒。香港病毒又称为封锁病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此产生的统计数字有时也带有偏差。目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时,人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作日期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的1701、香港病毒就都属于这种情况。为某种新出现的计算机病毒命名,目的就是要使人们能快速、准确地辨识出该病毒,以便防范和诊治。因此该命名应能最好地体现出该病毒的特征,使之不容易与其它现存的计算机病毒混淆。