计算机病毒与恶意代码防范技术

一，计算机病毒概述

• 计算机病毒是一段可执行的程序代码，它们附着在各种类型的文件上，随着文件从一个用户复制给另一个用户时，从而蔓延传播。

1，计算机病毒定义

• 我国法律对病毒的定义：
  • 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。
• 学术上对病毒的定义：
  • 计算机病毒是一种能传染其他程序的程序，病毒是靠修改其他程序，并把自身的复制嵌入到其他程序而实现的。即：
    • 计算机病毒是一个程序。
    • 计算机病毒具有传染性，可以传染其他程序。
    • 计算机病毒的传染方式是修改其他程序，把自身复制嵌入到其他程序中而实现的。
• 病毒是通过磁盘，磁带和网络等作为媒介传播扩散且能“传染”其他程序的程序。
• 病毒能够实现自身复制且借助一定的载体存在，具有潜伏性，传染性和破坏性。

2，计算机病毒特征

• 计算机病毒一般具有以下特征：
  • 非授权可执行性。
  • 隐蔽性。
  • 传染性。
  • 潜伏性。
  • 破坏性。
  • 可触发性。

3，计算机病毒的危害

• 计算机病毒一般具有如下危害：
  • 直接破坏计算机数据信息。
  • 占用磁盘空间和对信息的破坏。
  • 抢占系统资源。
  • 影响计算机运行速度。
  • 计算机病毒错误与不可预见的危害。
  • 计算机病毒的兼容性对系统运行的影响。
  • 给用户造成严重的心理压力。

二，计算机病毒工作原理和分类

1，计算机病毒的工作原理

1，计算机病毒的结构

• 计算机病毒与生物病毒一样，不能独立存活，而是通过寄生在其他合法程序上进行传播的。而感染有病毒的程序即称为病毒的寄生体（或宿主程序）。

1，病毒的逻辑结构

1. 引导模块
   • 一般病毒都是由引导模块从系统获取控制权，引导病毒的其他部分工作。
2. 传染模块
   • 传染模块负责计算机病毒的扩散传染任务，它是判断一个程序是否是病毒的首要条件，是各种病毒必不可少的模块。各种病毒传染模块大同小异，区别主要在于传染条件。
3. 发作模块
   • 发作模块主要完成病毒的表现和破坏，该模块也称为表现或破坏模块。

2，病毒的磁盘存储结构

• 不同类型的病毒，在磁盘上的存储结构是不同的。

1，磁盘空间结构

• 经过格式化后的磁盘应包括：主引导记录区（硬盘），引导记录区，文件分配表（FAT），目录区和数据区。
  • 主引导记录区和引导记录区存放DOS系统启动时所用的信息。
  • FAT是反映当前磁盘扇区使用状况的表。每张DOS盘含有两个完全相同的FAT表，即FAT1和FAT2，FAT2是一张备份表，FAT与目录一起对磁盘数据区进行管理。
  • 目录区存放磁盘上现有的文件目录及其大小，存放时间等信息。
  • 数据区存储和文件名对应的文件内容数据。

2，系统型病毒的磁盘存储结构

• 系统型病毒是值专门传染操作系统启动扇区的病毒，一般传染硬盘主引导扇区和磁盘DOS引导扇区。它的存储结构是：病毒的一部分存放在磁盘的引导扇区种，而另一部分则存放在磁盘其他扇区中。

3，文件型病毒的磁盘存储结构

• 文件型病毒是指专门感染系统中可执行文件，即扩展名为COM，EXE的文件。对于文件型的病毒，其程序依附在被感染文件的首部，尾部，中部或空闲部位，病毒程序并没有独立占用磁盘上的空白族。病毒程序所占用的磁盘空间依赖于其宿主程序所占用的磁盘空间，但是，病毒入侵后一定会使宿主程序占用的磁盘空间增加。绝大多数文件型病毒都属于外壳型病毒。

3，病毒的内存驻留结构

• 计算机病毒一般驻留在常规内存中，但随着病毒技术的发展，病毒同样也可以驻留在高端内存区，甚至是扩展或扩充内存区。

1，系统型病毒的内存驻留结构

• 系统型病毒是在系统启动时被装入的，此时，系统中断INT 21H还未设定，病毒程序要使自身驻留内存，不能采用系统功能调用的方法。为此，病毒程序将自身移动到适当的内存高度，采用修改内存向量描述字的方法，将0000：0413处的内存容量描述字减少适当的长度，使得存放在内存高端的病毒程序不会被其他程序所覆盖。

2，文件型病毒的内存驻留结