計算機病毒應該怎樣定義

　　(5)破壞數(shù)據(jù)文件。

　　(6)格式化或者刪除所有或部分磁盤內(nèi)容。

　　(7)直接或間接破壞文件連接。

　　(8)使被感染程序或覆蓋文件的長度增大。

　　計算機病毒傳染的一般過程是什么?

　　在系統(tǒng)運行時, 病毒通過病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)的內(nèi)存儲器, 常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行, 當它發(fā)現(xiàn)有攻擊的目標存在并滿足條件時, 便從內(nèi)存中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用系統(tǒng)INT 13H讀寫磁盤的中斷又將其寫入系統(tǒng)的外存儲器軟盤或硬盤中, 再感染其他系統(tǒng)。

　　可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件?

　　可執(zhí)行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時進入內(nèi)存的。一旦進入內(nèi)存, 便開始監(jiān)視系統(tǒng)的運行。當它發(fā)現(xiàn)被傳染的目標時, 進行如下操作：

　　(1)首先對運行的可執(zhí)行文件特定地址的標識位信息進行判斷是否已感染了病毒;

　　(2)當條件滿足, 利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間, 并存大磁盤中;

　　(3)完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運行, 試圖尋找新的攻擊目標。

　　操作系統(tǒng)型病毒是怎樣進行傳染的?

　　正常的PC DOS啟動過程是：

　　(1)加電開機后進入系統(tǒng)的檢測程序并執(zhí)行該程序對系統(tǒng)的基本設備進行檢測;

　　(2)檢測正常后從系統(tǒng)盤0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導程序到內(nèi)存的0000: 7C00處;

　　(3)轉入Boot執(zhí)行之;

　　(4)Boot判斷是否為系統(tǒng)盤, 如果不是系統(tǒng)盤則提示;

　　non-system disk or disk error

　　Replace and strike any key when ready

　　否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件;

　　(5)執(zhí)行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入內(nèi)存;

　　(6)系統(tǒng)正常運行, DOS啟動成功。

　　如果系統(tǒng)盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為：

　　(1)將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處;

　　(2)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運行;

　　(3)修改INT 13H中斷服務處理程序的入口地址, 使之指向病毒控制模塊并執(zhí)行之。因為任何一種病毒要感染軟盤或者硬盤, 都離不開對磁盤的讀寫操作, 修改INT 13H中斷服務程序的入口地址是一項少不了的操作;

　　(4)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處, 進行正常的啟動過程;

　　(5)病毒程序伺機等待隨時準備感染新的系統(tǒng)盤或非系統(tǒng)盤。

　　如果發(fā)現(xiàn)有可攻擊的對象, 病毒要進行下列的工作：

　　(1)將目標盤的引導扇區(qū)讀入內(nèi)存, 對該盤進行判別是否傳染了病毒;

　　(2)當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區(qū), 把正常的磁盤的引導區(qū)程序寫入磁盤特寫位置;

　　(3)返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染。

　　操作系統(tǒng)型病毒在什么情況下對軟、硬盤進行感染?

　　操作系統(tǒng)型病毒只有在系統(tǒng)引導時進入內(nèi)存。如果一個軟盤染有病毒, 但并不從它上面引導系統(tǒng)，則病毒不會進入內(nèi)存, 也就不能活動。例如圓點病毒感染軟盤、硬盤的引導區(qū), 只要用帶病毒的盤啟動系統(tǒng)后, 病毒便駐留內(nèi)存, 對哪個盤進行操作, 就對哪個盤進行感染。

　　操作系統(tǒng)型病毒對非系統(tǒng)盤感染病毒后最簡單的處理方法是什么?

　　因為操作系統(tǒng)型病毒只有在系統(tǒng)引導時才進入內(nèi)存, 開始活動, 對非系統(tǒng)盤感染病毒后, 不從它上面引導系統(tǒng), 則病毒不會進入內(nèi)存。這時對已感染的非系統(tǒng)盤消毒最簡單的方法是將盤上有用的文件拷貝出來, 然后將帶毒盤重新格式化即可。

　　目前發(fā)現(xiàn)的計算機病毒主要癥狀有哪些?

　　從目前發(fā)現(xiàn)的病毒來看, 主要癥狀有：

　　(1)由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來, 磁盤壞簇莫名其妙地增多。

　　(2)由于病毒程序附加在可執(zhí)行程序頭尾或插在中間, 使可執(zhí)行程序容量增大。

　　(3)由于病毒程序把自己的某個特殊標志作為標簽, 使接觸到的磁盤出現(xiàn)特別標簽。

　　(4)由于病毒本身或其復制品不斷侵占系統(tǒng)空間, 使可用系統(tǒng)空間變小。

　　(5)由于病毒程序的異?；顒? 造成異常的磁盤訪問。

　　(6)由于病毒程序附加或占用引導部分, 使系統(tǒng)導引變慢。

　　(7)丟失數(shù)據(jù)和程序。

　　(8)中斷向量發(fā)生變化。

　　(9)打印出現(xiàn)問題。

　　(10)死機現(xiàn)象增多。

　　(11)生成不可見的表格文件或特定文件。

　　(12)系統(tǒng)出現(xiàn)異常動作, 例如：突然死機, 又在無任何外界介入下, 自行起動。

　　(13)出現(xiàn)一些無意義的畫面問候語等顯示。

　　(14)程序運行出現(xiàn)異常現(xiàn)象或不合理的結果。

　　(15)磁盤的卷標名發(fā)生變化。

　　(16)系統(tǒng)不認識磁盤或硬盤不能引導系統(tǒng)等。

　　(17)在系統(tǒng)內(nèi)裝有漢字庫且漢字庫正常的情況下不能調(diào)用漢字庫或不能打印漢字。

　　(18)在使用寫保護的軟盤時屏幕上出現(xiàn)軟盤寫保護的提示。

　　(19)異常要求用戶輸入口令。

　　《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

　　計算機病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。

　　除復制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發(fā)了其它類型的災害。若是病毒并不寄生于一個污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計算機的全部性能。 例如，某些病毒會大量釋放垃圾文件，占用硬盤資源。還有的病毒會運行多個進程，使中毒電腦運行變得非常慢。

　　可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡等作為媒介傳播擴散 ,能“傳染” 其他程序的程序。另一種是能夠實現(xiàn)自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序 ,它通過不同的途徑潛伏或寄生在存儲媒體(如磁盤、內(nèi)存)或程序里。當某種條件或時機成熟時 ,它會自生復制并傳播 ,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念 ,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統(tǒng)和網(wǎng)絡 ,危害正常工作的“病原體”。它能夠對計算機系統(tǒng)進行各種破壞 ,同時能夠自我復制 , 具有傳染性。

　　所以 , 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)(或程序)里 , 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。