-精选版第4章 计算机病毒与木马.pptVIP

2．计算机病毒的存储结构 （2）病毒的内存驻留结构 病毒一般都驻留在常规内存中，相对来讲，检测这些计算机病毒比较方便。文件病毒的内存驻留结构又可以分为高端驻留型、常规驻留型、内存控制链驻留型和设备程序补丁驻留型等。 系统型病毒是在系统启动时被装入的。此时，系统中断“INT 21H”还没有设定，病毒程序要使自身驻留内存，不能采用系统功能调用的方法。 * 2．计算机病毒的存储结构 文件型病毒是在其宿主程序的运行时被装入的，这时，系统的中断功能调用已经设定。因此，病毒一般将自身指令与宿主程序相分离，并将病毒程序移动到内存高端或者是当前用户内存区的最低端地址处，然后调用系统功能，使病毒程序常驻内存。 还有一些病毒是不用驻留内存的,每执行一次，就主动在当前路径中查找满足要求的可执行文件进行传染，它不修改中断向量，也不需要改动系统的任何状态，因而用户很难区分当前运行的程序是一个病毒还是一个正常运行的程序。 * 4.2 计算机病毒的危害 4.2.1 计算机病毒的表现 只有根据计算机病毒的发作现象，才可能及时发现并清除病毒。这些常见的发作现象包括以下几个方面。 计算机运行速度的变化——主要现象包括：计算机的反应速度比平时迟钝很多；应用程序的载入比平时要多花费很长的时间；开机时间过长。 计算机磁盘的变化——主要现象包括：对一个简单的磁盘存储操作比预期时间长很多；当没有存取数据时，硬盘指示灯无缘无故地亮了；磁盘的可用空间大量地减少；磁盘的扇区坏道增加；磁盘或者磁盘驱动器不能访问。 * 4.2 计算机病毒的危害 计算机内存的变化——主要现象包括：系统内存的容量突然间大量地减少；内存中出现了不明的常驻程序。 计算机文件系统的变化——主要现象包括：可执行程序的大小被改变了；重要的文件奇怪地消失；文件被加入了一些奇怪的内容；文件的名称、日期、扩展名等属性被更改；系统出现一些特殊的文件；驱动程序被修改导致很多外部设备无法正常工作。 异常的提示信息和现象——主要现象包括：出现不寻常的错误提示信息。 * 4.2 计算机病毒的危害 4.2.2 计算机故障与病毒特征区别 如果计算机出现了某些特别现象，可能计算机就是中了病毒，也可能是一些硬件或者软件的故障。 计算机硬件的配置——在选购一台兼容机时，需要考虑系统的兼容性。 硬件的正常使用——计算机作为一种电子设备，在使用时如果电源的电压不稳定，容易造成用户文件在读写时出现丢失或者损坏的现象，更严重时会造成系统的自启动。 * 4.2 计算机病毒的危害 CMOS的设置——CMOS中存储的信息对于计算机来说是十分重要的，因为在开机启动过程中，计算机是按照CMOS中的信息进行检测和初始化的。因此，CMOS的设置不正确将导致很多计算机工作不正常的现象。 * 4.2 计算机病毒的危害 除了硬件故障，计算机的软件故障也会导致计算机无法正常使用。这里给出几种常见的导致软件故障的原因。 丢失文件——每次启动计算机和运行程序的时候，都会牵扯到上百个文件，其中绝大多数文件是一些虚拟驱动程序（VxD）和动态链接（DLL）。 文件版本不匹配——绝大多数的Windows用户都会不时地向系统中安装各种不同的软件，其中的大多数操作都需要向系统中复制新文件或者更换现存的文件。每当这个时候，就可能出现新软件不能与现存软件版本兼容的问题。 * 4.2 计算机病毒的危害 资源耗尽——一些Windows程序需要消耗各种不同的资源组合，程序在运行时可能导致GDI和USER资源丧失。 非法操作——非法操作会让很多用户觉得不知所措。如果仔细研究，就会发现每当有非法操作信息出现，相关的程序、文件都会和错误类型显示在一起。用户可以通过错误信息列出的程序和文件来研究错误起因，因为有时候错误信息并不能直接指出实际原因。 * 4.2 计算机病毒的危害 4.2.3 常见的计算机病毒 由于计算机病毒种类多种多样，基本可分5部分： 1．早期的DOS病毒：DOS病毒是指针对DOS操作系统开发的病毒，它们是最早出现、数量最多、变种也最多的计算机病毒。 2．引导型病毒：引导型病毒是指改写磁盘上的引导扇区信息的病毒。 3．文件型病毒：文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。 * 4.2 计算机病毒的危害 4．蠕虫病毒：蠕虫（Worm）病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统病毒较晚，但是无论是传播速度、传播范围还是破坏程度上都要比以往传统的病毒严重得多。 蠕虫病毒一般由两部分组成：一个主程序和一个引导程序。主程序的功能是搜索和扫描。引导程序实际是蠕虫病毒主程序的一个副本，主程序和引导程序都具有自动重新定位的能力。 * 4.2 计算机病毒的危害 5．木马病毒