第三章 计算机病毒防护



            反病毒软件先要分析病毒的代码结构、提取病毒特征，若在病毒库中成功比对，
            则立即将其查杀掉；否则，要投入更多的资源处理病毒。由此可见，反病毒软件
            不是万能的，不可能查杀所有病毒，当一种新型的、结构复杂的病毒出现时，也
            许要耗费很长的时间才能将其消灭掉。因此，仅仅依靠反病毒软件是远远不够的，
            还应对病毒的传播行为进行分析与研究，为宏观策略的制定提供理论依据。


                 四、计算机病毒的类型与机理

                 引导区病毒。磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代

            正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。当计算机从感染
            了引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘、硬盘里读取数据
            时，先运行引导区的程序（病毒程序），再运行正确的引导程序，其病毒程序随
            之装入内存，并在特定条件下引导区病毒就开始发作，一般情况下这些事情是悄
            悄完成的，用户很难发觉，只是计算机启动时启动速度变慢，因为首先要运行引

            导程序中夹杂的病毒程序，但计算机速度本事很快，这种“慢”用户觉察不到。
            例如，“大麻”和“小球”病毒就是这类病毒。
                 外壳型病毒。外壳型病毒寄生在可执行文件中，常常通过对病毒的编码加

            密或是使用其他技术来隐藏自己，每使用一次已感染的程序，病毒程序就在磁盘
            上寻找一个尚未感染的程序，将自身复制到该程序中使其染毒，并使该程序在执
            行时首先执行这段病毒程序，然后再执行该程序，用户很难发觉，达到不断繁殖
            的目的。由于它不断地繁殖，消耗了 cpu、外存大量资源，使感染的计算机效率
            大降，直至死机。这种病毒最为常见，易于编写，也易于发现，一般测试文件的

            大小即可知，文件莫名其妙长度增大，一般都是此类病毒。
                 源码型病毒。源码型病毒直接置入的到源程序代码中，源程序代码可以是
            高级语言代码，也可以是脚本语言代码。源代码就是用户书写的未经过编译的源

            程序。过去的病毒只感染可执行性文件，现在的病毒也感染非执行性文件，如源
            程序、wORD、EXCEL 等文档。
                 嵌入型病毒。这种病毒编程难度大，危害极大，消除程难度极大。它以
            DDL 文件形式存在，DDL 文件是 windows 中包含函数和数据的模块集合，当应用
            程序调用它的功能函数时，得到系统加载，将自身嵌入到现有程序中，把计算机

            病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒难以编写，


                                                                                    85
                                                                                    85