防毒知识百科大全：常见电脑病毒分类

引导区病毒:这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。文件型病毒:文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令。同时还经常将控制权还给主程序,伪装计算机系统正常运行。一旦运行被感染了病毒的程序文件,病毒便被激发,执行大量的操作…     

病毒防疫站

病毒介绍:该病毒别名为Kriz.3862,是多态型病毒,主要感染PE EXE文件并能驻留内存。当病毒驻留内存时打开任何应用程序文件都将被其感染,且只要扫描文件就将感染。此病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序,在12月25日将被激活。发作时将试图擦除CMOS信息,试图直接擦除硬盘扇区,并用垃圾信息填充Flash BIOS(针对某些类型的BIOS),最终不仅导致机器无法启动,甚至     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

动态监视抗病毒程序—VSAFE.COM

Vsafe．corn是杀病毒软件CPAV中一个很有用的程序，它是以驻留内存的形式来动态监视病毒活动的。CPAVVZ．0中的Vsafe驻留内存后约占47K内存空间。键人ALT－V键后控制窗口便会被激活，窗口显示8个选择项。为了充分利用这些选择项，可在AU－TOEXEC．BAT文件中设置如下选择项，以达到最佳的防毒效果。C：＼CPAV＼Vsafe／l＋／2－／3－／4＋／5＋／6＋／7－／8＋。这样一旦出现硬盘将被低级格式化、执行文件带毒、引导扇区染毒、硬盘引导区将被改变、执行文件将被改变时，就会发出警告信息，用户可根据具体情况采取相应措施。第一…     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

病毒晴雨表

病毒名称:W97M/Salim.A病毒类型:宏病毒,蠕虫病毒特征:W97M/Salim.A 通过在线聊天系统传播。它依靠文档事件处理程序来运行,当一个已感染的文档被打开时,宏病毒被激活,当染毒文档被关闭时,病毒的宏将运行.病毒将在 C 盘根目录生成文件 Salim_se.doc 和 Win32Drv.doc。解决方案:Kill 19.05版可检测并消除该病毒.病毒名称:FROJ_QZAP.1026病毒类型:特洛伊木马病毒特征:此病毒用 PKLITE 压缩。一旦执行,会删除硬盘分区,使得重启动后无法找到硬盘.解决方案:要使硬盘可用,请完成下列操作:用启动盘启动;使用 FDISK.EXE 创建硬盘分区;使用 FORMAT.EXE 格式化硬盘;重装系统。病毒名称:VBS_TTFLOADER.A病毒类型:VBScript病毒特征:此病毒通过聊天室传播,感染用户     

浅谈病毒程序对两种计算机资源的依赖性

计算机病毒一般可分为两种类型:引导型病毒和文件型病毒,少数病毒介于两者之间,称为综合性病毒。引导型病毒程序的编制原理基本相同,都是通过修改硬盘0柱0头1扇区中的主引导程序或DOS分区中的分区引导程序来实现的。目前比较有效的防治方法是事先保存主引导扇区和分区引导区的内容,当发现引导型病毒时杀除后再予恢复,消毒过程简单可靠。而真正有威胁的文件型病毒则具有隐蔽性好、传播速度快、破坏性强、不易察觉等特点,因此对文件型病毒程序的检查、对抗和清除很难实现。有感于此,笔者将自己分析病毒特性的体验介绍给广大同行,以求共同商榷。     

“格式化”病毒的检测和消除

最近,在本校的机房中出现了一种以前未见过的病毒,这种病毒的传染性和破坏性都较强,如果达到一定的条件,它会对硬盘实施格式化,所以笔者称之为″格式化″病毒。这种病毒的出现已经给我校微机房带来了不小的破坏。笔者通过对此病毒的深入分析,采取了一些有效的措施,控制了它的传播和破坏。 一、病毒的特征,传播和引导 1.特征:该病毒用KV200检查时,提示在硬盘主引导区中有病毒但并未给出明确的名称,可见是一种不常见的病毒。这种病毒占据硬盘的主引导扇区0头0柱面1扇区,或软盘的DOS引导扇区,而把原软盘的DOS引导扇区放在1面79道18扇区中。它的主要标志是距病毒程序首部03AH中的字节DC,而病毒     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

用批命令文件修复硬盘主引导扇区

微机硬盘的主引导扇区,存有硬盘主引导记录和分区表等重要数据,历来是引导型病毒攻击的目标.人们常用DEBUG编—汇编语言程序,利用INT13H的02H功能将硬盘主引导扇区的内容读出,在硬盘以文件形式或存放在软盘上作为备份.若硬盘主引导扇区被病毒感染,再用DEBUG编—汇编语言程序,利用INT 13H的03H功能将备份写入硬盘主引导扇区.在读、写盘过程中,两个汇编语言程序内容变化很小,均用DEBUG编写颇为麻烦,不如用批命令文件编写这两个汇编语言程序更为方便.     

当心Word宏病毒

哎,这终于发生了。在13年没有病毒的个人计算之后,我第一次带着计算机病毒运行。按传统观点,PC的病毒不外两种类别:一类是.EXE病毒,它在一个被感染的.EXE文件执行的时候传播;另一类是引导扇区/分区表病毒,当计算机用被感染的盘启动驱动器时传播。我一直在运行.EXE文件时注意检查,并避免遗留软盘在启动驱动器里——尤其是我自己没有格式化的软盘。但是病毒终于找上门了,从一个意外的来源:一个Word for Windows的.DOC文件。     

巧解硬盘逻辑锁

一个完整的硬盘逻辑锁程序,就是人为地改写硬盘0 柱面0磁头1扇区的引导程序,将分区表破坏,并故意制造一个循环分区表,同时将真正的硬盘分区表参数和引导程序放在其它隐藏扇区并保护起来。当电脑启动时会校验口令是否正确,如果口令不正确则无法启动电脑;如果口令正确,则把硬盘分区的内容改为正常值读入内存,这时系统就可以顺利启动。对于加锁的硬盘,即使我们把它放到别的机子也是不能启动的,没有密码就无法读取硬盘中的信息和数据。下面介绍三种比较简单和安全的解除硬盘逻辑锁的方法。     

也谈硬盘引导扇区的写保护

笔者看了本刊1995年第2期的文章《硬盘引导扇区的写保护》以后,感到此法对引导型病毒确有很好的预防作用,但该法要求每次开机或热启动时,不要用软盘启动,否则写保护程序就无法进人内存,自然失去写保护作用.这一点不太理想,因为在一些公用机房,软盘启动很难杜绝,而且在这种情况下很容易发生软盘启动给硬盘传染引导病毒现象.为此笔者对引导扇区的写保护进行了改进,使得只能由硬盘启动微机,如由软盘启     

系统维护程序SMP V1.0

用汇编语言开发,功能如下:①写入硬盘主引导程序;②当硬盘分区表丢失而事先未做备份时可自动修复分区表;③备分与回写分区表,可在硬盘闲置扇区写入现存分区表的备份,以后若分区表丢失可用回写功能写回;④重写软盘引导区;⑤安装系统文件,当硬盘系统文件被误删且存储位置被其他文件占用时可自动检索与移动有关文件,装入硬盘系统文件。软件采用内置汉字库,中文显示,用户界面良好,有详细的操作提示,在西文系统下运行,适     

PC─cillin──电脑病毒免疫系统

PC－cillin是一套结合软件防毒程序与硬件免疫锁的病毒免疫系统。其功能强大的智慧型病毒陷阱能侦察到所有已知及未知的病毒，以保护PC机不受病毒的威胁。PC－。illin在安装前扫描系统（硬盘）并清除被感染的文件，其监测程序以内存驻留方式时刻保护PC机免受病毒侵扰；其硬件免疫锁在PC－cillin安装时能安全地备份硬盘引导园区（B00t）及硬盘分区表（FAT）信息，用以硬盘引导扇区遭感染时的自动修复。计算机病毒增长速度之快是大家所有目共睹的，因此需要一种比较完善的防毒产品（除了有预防已知和未知病毒的功能外，还具有查毒、清毒…     

一种新病毒的原理和消除

近来,在我校出现了一种新病毒。这种病毒用SCANl04和CPAV1.04均查不出,当病毒驻留内存时,DOS管理的内存并不减少,但用MEM查内存时,COMMAND所用的内存比无毒时占用印内存多了1200字节。且光标消失。根据这一特征可以判断内存是否有毒。这种病毒虽属良性病毒,无其它破坏作用,但在编辑文本时因见不到光标而给我们带来极大的不方便。因其感染后的文件长度增加934字,故笔者给它取名为934病毒。 这种病毒驻留内存时所用的方法与其它病毒截然不同。它使用的是修改MCB(内存控制块)的方法。当运行带毒程序时,病毒的“启动模块”首先获得控制权,它先把4D送入MCB偏     

一种CPAV查不到的病毒分析

(1)表现特征及传染特性 当微机被这种病毒感染之后,只要在带毒的环境中操作过的所有目录下的.COM文件都加长848个字节。据此,我们称它为848病毒,当系统被848病毒感染之后,则在进行改变路径和有计算磁盘剩余空间的操作时,病毒就感染所有当前目录的.COM文件。而我们常用的DIR命令里是有计算磁盘剩余空间这一操作的,也就是说至少在用CD命令和DIR命令时就不可能逃过848病毒的感染。因此,该病毒的传染性是很强的。 (2)848病毒的发作条件及破坏性 发作条件为当系统日期大于12月20日时发作。当848病毒发作时,它破坏C盘和A盘的0面0道1到9扇区的全部数据。也就是说硬盘的分区表被毁,A盘的引导记录和一部分FAT表被毁。这样,硬盘和A盘上的所有数据就无法使用了。因此,这种病毒的破坏性是很大的。     

MASK假面具病毒的诊治

该病毒感染硬盘0面0柱1扇区,将原主引导记录和硬盘分区表移到硬盘0面0柱8扇区。病毒感染软盘0面0道1扇区,将原DOS引导记录移到软盘1面0道3扇区。用无病毒DOS系统软盘引导机器后,再用查解病毒软件CPAV1375和国产KILL62均查不出有病毒,用国产广谱查病毒程序KV20检查,告知是一种“普通的引导区新病毒!”。但是,患毒机器起动后,查看内存的中断向量表,没有被病毒修改。用著名NORTON软件和8.0版PCTOOLS的DE软件以及查病毒软件去查看硬盘主引导记录和软盘DOS引导记录,都十分正确,这就奇怪了,病毒藏到哪儿去了呢?经跟踪病毒程序分析,原来是病毒控制了INT13H,当我们要查看硬盘0面0柱1扇区的主引导记     

对硬盘加锁的一种方法

本文介绍一种对硬盘加锁的方法。该方法主要是通过改写和恢复硬盘的主引导扇区来达到对硬盘加锁和解锁。把硬盘主引导写到硬盘的一个隐含扇区上,然后把硬盘某一扇区内容覆盖主引导扇区。当用户使用硬盘时,必须先用软盘启动,执行有通行字的解锁程序,把原来主引导扇区内容复回主引导扇区。使用户可以进入硬盘,当系统再次启动时,由改写过的COMMAND.COM文件再次对硬盘进行加锁。