簡述病毒文件的編譯過程

A. 電腦病毒是怎麼編寫的

電腦病毒是我們大家都不陌生的，你們也肯定很好奇電腦病毒是什麼編寫的，下面是我為大家整理的相關的內容，希望對大家有幫助!

如何製作電腦病毒方法一：

計算機病毒是編寫或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我復制的一組計算機指令或者程序代碼。

方法/步驟

1.計算機病毒的特徵是傳播性，非授權性，隱藏性，潛伏性，破壞性，不可預見性，可觸發性。計算機病毒根據感染方式可以分為感染可執行文件的病毒，感染引導區的病毒，感染文檔文件的病毒。

2.計算機病毒根據感染方式可以分為感染可執行文件的病毒，感染引導區的病毒，感染文檔文件的病毒。

3.現階段的反病毒技術有特徵碼掃描，啟發式掃描，虛亂洞段擬機技術，主動防禦技術，自免疫技術，雲殺毒等等。

4.一個簡單病毒的模塊包含，觸發模塊，傳播模塊，表現模塊。

5.學習計算機病毒，要了解硬碟結構，計算機扇區結構，計算機系統啟動過程，文件系統，計算機引導過程。

6.匯編語言和C語言用的會比較多。

注意事項

一個是要理解計算機系統，文件格式。

一個是要精通編程，匯編和C。

計算機病毒的編寫方法二：

1.打開電腦左下角開始----所有程序----啟動，右鍵點擊啟動選擇屬性單擊左鍵。

2.查找下文件位置，找到啟動所在文件夾。就可以進行下一步了。

3.打開啟動這個文件，復制下文件路徑。win7的啟動文件家保存的是這個路徑，XP的不是這個可以自己實驗下。保存下備用

4新建一個記事本，寫上如下代碼保存。其中shutdown -s -t 0表示0秒後關機，代碼的意思是把這個代碼寫到啟動這個文件夾下面。

5.圖中標記的代碼就是剛才復制的路徑，原理跟以前寫過的自動關機代碼差不多，只是自動關機時間調為0了。

電腦病毒的特點：

計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。

傳染性是病毒的基本特徵。

在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下，它可得到大量繁殖，並使被感染的生物體表現出病症甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機並得以執行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標後再將自身代碼插入其中，達到自我繁殖的目的。

只要一台計算機染毒，如不及時處理，那麼病毒會在這台電腦上迅速擴散，計算機病毒可通過各種可能的渠道，如軟盤、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時，往往曾在這台計算機上用過的軟盤已感染上了病毒，而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。

潛伏性

有些病毒像定時炸彈一樣，讓它什麼時間發作是預先設計好顫鋒的。比如黑色星期五病毒，嘩譽不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。一個編制精巧的計算機病毒程序，進入系統之後一般不會馬上發作，因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續為害。潛伏性的第二種表現是指，計算機病毒的內部往往有一種觸發機制，不滿足觸發條件時，計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執行破壞系統的操作，如格式化磁碟、刪除磁碟文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。

隱蔽性

計算機病毒具有很強的隱蔽性，有的可以通過病毒軟體檢查出來，有的根本就查不出來，有的時隱時現、變化無常，這類病毒處理起來通常很困難。

破壞性

計算機中毒後，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞 。通常表現為：增、刪、改、移。

可觸發性

病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件，這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時，觸發機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊;如果不滿足，使病毒繼續潛伏。

B. 電腦病毒編寫步驟

計算機病毒是編寫或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，並能自我復制的一組計算機指令或者程序代碼。下面由我給你做出詳細的電腦病銀纖毒編寫介紹！希望對你有幫助！

7現階段也有一些簡單病毒製造機，此類軟體可以在網上找到。

注意事項：

一個是要理解計算機系統，文件格式。

C. 病毒如何編譯的

前陣子的熊貓病毒,是引用國外早些時候最牛的一個蠕蟲病毒的原代碼,相當於換湯不換葯,直接給他在換一種代碼就可以利用了,也就是人們說的變種病毒,病毒變種的速度很快,每個會編程的都會製作出很多的變種.好比,一個小偷每天在換衣服做案逃避警察一樣
編寫程序的編寫員一般都經過了C語言,C++等一些高級語言程序的學習編寫
熊貓燒香的製造者是,一個計算機職業技術學校的一名學生
自己編寫程序時,一般不會中毒~即使不小心中了,也沒事,因為他就是這個病毒的程序編寫員,好比醫生知道怎麼樣可以治好自己的病

D. 怎麼編寫病毒程序

問題一：如何編寫程序病毒？ 那首先要對系統底層的東西比較熟悉，如果編網路病毒，還要對網路協議很了解。並且要精通至少一門編程語言，一般寫病毒用a *** （匯編語言）的比較多，用其他也可以，比如vbs（vb腳本語言）或者.bat的海處理，都可以。如果寫unix 類系統的病毒用c語言的多一些。但匯編知識是寫高級病毒必須的知識。

問題二：如何寫一個簡單的病毒程序? 前些天學病毒這門技術著實吃了很多苦頭，走了很多彎路，盡管按我的知識水平，病毒已經是水到渠成的學習內容了。但是我現在學了入門才發現這門技術實際上隱藏著很多玄機，包含著許多技術，不專門學習研究根本無法達到「牛」的境界上去。如今寫了這篇文章，介紹的都是相當實用的東西，可以讓你少走許多彎路（有時侯一個錯誤夠你找幾個小時的）。不過需要些基礎知識才能看懂。假如你有天知識儲備夠了，不學學病毒將是你的遺憾。另，由於是寫給協會會員參考的，也沒寫的多「專業」，多了些贅述。
在你看之前，你應該知道這只是篇可以帶你入門的文章，如果你已經會了就不用看了。看的時候最好准備個PE表在旁邊。寫病毒程序可以使用很多種語言來寫比如C,匯編，甚至有人用Dephi這樣可視化編程工具都能寫出來。但是最適合寫病毒程序的還是匯編語言。匯編語言底層，靈活，速度快，體積小的優勢能將一個病毒程序發揮到極至，通常一個程序寫出來才幾千位元組就包含了所有的功能。一般一個病毒都有如下幾個功能：
一 代碼重定位
二 自己找到所需API地址
三 搜索文件、目錄
四 感染文件
五 破壞系統或文件（隨便你了）
其中一，二項功能是必要的，五項功能是可選的。而一個病毒程序感染文件的功能是它的核心，是衡量它質量的重要標准。
（一）代碼的重定位
一個變數或函數其實是一個內存地址，在編譯好後，程序中的指令通過變數或函數的內存地址再去存取他們，這個地址是個絕對地址。如果你將代碼插入到其他任何地方，再通埋悔過原來編譯時產生的地址去找他們就找不到了，因為他們已經搬家了。但是，你在寫程序時考慮到這個問題，你就可以在代碼最開始，放上幾行代碼取物族得程序基地址，以後變數和函數作為偏移地址，顯式的加上這個基地址就能順利找到了，這就是重定位。就象這段代碼。
Call getbaseaddress
Getbaseaddress:pop ebx
Sub ebx,offset getbaseaddress
Mov eax,dword ptr [ebx+Var1]
如果你使用宏匯編語言寫病毒，請盡量使用ebx做基地址指針，不要使用ebp，因為ebp在調用帶參數的函數時會改變。
(二)自己取得所需的API地址
一個win32程序文件，所調用的API函數地址，是由系統填入到程序文件中描述各類數據位置的數據結構中的。而病毒作為一個殘廢是享受不到這個待遇的。因為你在把病毒的代碼插入目標程序時沒有把這些描述數據存放位置的數據結構信息也弄進去。它 *** 入到其他目標程序後就成了只有代碼的殘廢兒童：（所以作為一個殘廢兒童，應當自力更生。自己搜尋自己需要的API地址。目標程序文件就包含了我們需要的東西，我們需要自己去找。目標程序文件只要還是win32程序，它的地址空間中就包含的有Kernel32.dll。如果找到了它，我們就能找到其他任何的東東。第一步，搜尋kernel32.dll的基地址。當然了，整個地址空間有4GB,可供搜索的用戶進程空間也有2GB。在2GB中搜索，太嚇人了。總不能在執行被感染的目標程序時，先讓用戶喝杯茶吧？或者斗鬥地主？這里有兩個技巧向大家介紹。
在程序被載入後，載入程序會調用程序的主線程的第一條指令的位置。它使用的指令是CALL，就是說，你程序還沒執行，堆棧彎螞正區里就有了一個返回地址了，這個返回地址指向的是載入程序，而載入程序是包含在KERNEL32.dll中的，我們順著它向上找，就能找到kernel32.dll的基地址了。當然也不是一個位元組一個位元組的挨者找，而是一個頁面一個頁面地找。因為win3......>>

問題三：怎麼用C語言寫個簡單病毒，給個代碼過程 首先聲明：
本程序是我舉的一個例子
為了叫大家理解就可以了
如果大家拿去捉弄人，我不負任何責任！
希望大家要以學習為重！
對於病毒我們應該是深惡痛絕的，但是作為純研究許多人還是很有興趣的
我曾經用匯編做過一些具有毀滅性的病毒，本想獻出來與大家分享
不過考慮到一些小人看了會做出來一些危害別人的行為，所以我決定
用這個簡單的並毫無傷害性的c語言偽病毒來說明一下問題，
再次聲明這一切全是為了編程研究！！！
病毒的特點：
病毒的最大特點就是自我復制，從病毒的分類來說有很多種，這里我們將介紹最流行的附加式
病毒，它通過對正常的文件進行改寫，增加來實現其自我復制的目的。
從程序的角度來說，我們要做的事情有兩件：
1，讓程序能夠將自己在不影響其它程序本身工作的情況下復制給其它程序，
使它具備繼續復制的能力。
2，在一定條件下使其產生某種發作效果。
其實第一件事情實際上可以看成對文件進行復制，把病毒源文件的功能函數全部放到被感染
文件的最後，同時在被感染文件中調用這個函數
下面給出c語言的實現過程：
1，主程序調用病毒功能函數
2，病毒功能函數讀取查找同目錄下所有c文件；
3，找到一個（被感染c文件)，打開它，並且將此文件全部讀取到數組變數；
4，重新創建一個同名文件（被感染c文件）
5，數組變數寫回這個被感染c文件，同時將病毒源文件所需要的頭文件，病毒功能函數
調用語句寫入；
6，打開病毒源文件，將病毒功能函數全部寫到被感染c文件的最後；
這樣一個簡單的c語言偽病毒virus.c就完成了
運行程序後其內容變化另保存為after_virus.c
此時，如果我們將1.c文件用A盤復制到其他機器或者Email給別人，結果
他們一運行又感染了他們保存1.c文件目錄下所有c文件
對於第二件事情-------「發作效果」，這里只用printf語句警告了一下，當然你
完全可以寫一個TSR駐留函數
其實，這個程序勉強可以叫做病毒
根本不算是真正的病毒，好了就說這么多，
代碼如下：
#include
#include
void main(void)
{
virus();
}
int virus()
{
struct ffblk ffblk;
FILE *in,*out,*read;
char *virus=virus.c;
char buf[50][80];
char *p;
char *end=return;
char *bracket=};
char *main=main;
char *include[2]={stdio.h,dir.h};
char *int_virus=int virus();
char *buffer;
int done,i,j=0,flag=0;
printf(\nI have a virus. Writen by PuBin\n);
done = findfirst(*.c,&ffblk,0);
while (!done)
{
i=0;
if ((in = fope......>>

問題四：病毒一般用什麼語言編寫的？ 由於現在大多數的所謂的黑客都沒有真正的技術，他們的木馬都是利用別人編寫的木馬生成程序生成的，只要一點就好了！~~現在流行的木馬有VB、E語言、pascal（注意Delphy不是一門語言，而是pascal語言的編輯器，就像C++跟VC++之間的關系）等，大量用他們編寫的原因並不是他們有多好，只不過是他們簡單易學！所以只要你有技術，用什麼程序寫不重要，條條大路通羅馬！

問題五：怎樣編寫簡單，對系統無害的病毒文件? 雙擊這個文件後就會關機，無毒無害。
這是代碼：
@echo off
cd/
shutdown -s -t 0 -c Loading Installation,Please Wait...
那個0是打開這個文件後多少秒關機（0就是立即關機，10就是打開文件10秒後關機）， 引號中的字（Loading Installation,Please Wait...）可以隨意更改（只是引號裡面的，別把引號給刪了）。

問題六：怎樣編寫病毒 3.1.1病毒程序VIRUS.C
這是一個用C語言寫的病毒程序，當激發病毒程序時顯示時間，然後返回。病毒程序VIRUS.C可將病毒傳染給一個C語言程序。當被病毒感染的程序經編譯、連接和執行後，又可以將病毒部分傳染給其他的C語言源程序。每執行一次帶有病毒的C語言程序，就向C語言源程序傳播一次病毒。此程序的設計思路如下：
當含有病毒部分的程序被執行時，首先進入病毒程序。它在磁碟上找擴展名為C的匹配文件，如果找到，查找是否有被傳染過的標志「INFECTED」。如果有此標志，繼續找其它的C文件，直至全部檢查一遍。若沒有這個標志，則
（1）在未被感染的C程序頭部加入「INFECTED」已被傳染標志。
（2）讀取病毒文件的頭文件，將其插入到即將被感染的文件頭部。如果發現有重復則不插入。
（3）在主程序中插入「VIRUSES（）；」調用VIRUSES函數。尋找printf、for、while、break語句，如果找到就在之前插入。
（4）在文件尾部插入VIRUSES_SUB子程序。
（5）在插入到將感染文件裡面的VIRUSES_SUB子程序裡面，必須把文件名改為當前自身的文件名，否則被傳染後的文件經過編譯、連接和運行後不能再繼續傳染。
（6）最後插入VIRUSES子程序。這個子程序裡面調用了VIRUSES_SUB，執行到這里返回執行結果信息。
其中用到4個出錯的返回值，分別是：
1：用戶文件太大，不傳染；
2：帶病毒文件打不開，不傳染；
3：帶病毒文件讀取不成功，不傳染；
4：查找第一個匹配文件不成功。
如果返回值是0代表文件傳染成功。
具體實現過程如下：
其中用到的函數和結構體用法參考3.3節。
首先導入病毒子程序要用到的三個庫文件，分別是dir.h, stido.h, dos.h.在主函數裡面只調用VIRUSES函數。緊跟定義VIRUSES函數裡面要調用的VIURS_SUB函數。裡面定義了若干個變數。ffblk用來保存查找到的匹配文件的信息，用到裡面的ff_name變數來保存匹配文件名。
然後定義保存未感染的文件和病毒文件的文件型指針變數，分別用是*virus_r和*virus_v.讀取文件的緩沖區，放到二維數組a[500][80]裡面臨時存放。因為此程序對大於500行的C文件不進行傳染，所以完全可以放到裡面。首先用getdate函數獲取系統當前日期並輸出。接著用findfirst函數查找擴展名為C的文件，將其信息保存到ffblk裡面。用fgets函數讀文件的第一行，長度是80-1個字元。然後用strstr函數檢測病毒的標志，看文件是否有INFECT這個標志。
如果有，表示文件已經被傳染，關閉文件，不進行傳染。當含有病毒部分的程序被執行時，首先進入病毒程序。它在磁碟上查找*.C的匹配文件，一旦找到，查找「已被傳染過」的標志INFECTED。若有此標志，繼續找其它*.C文件，直至全部檢查一遍。
如果沒有這個標志，將文件全部讀入a[500][80]，如果發現文件超過500行，不傳染，返回。將文件指針指向文件頭，打開帶病毒的文件。如果打不開，返回。
然後讀取帶病毒文件的前4行，也就是病毒子程序要用到的頭文件，寫入將被傳染的文件。若不能讀取帶病毒文件，返回。用n_line變數控制行數，把將被傳染文件的源程序寫回原文件。其中要進行處理不寫入病毒文件已有的包含語句，也就是說使＃Include語句不重復。
這點是這樣實現的：定義一個字元數組char include_h[]=; strstr函數查看將被傳染文件的頭文件是否和*include_h[]相同，如果相同，......>>

問題七：怎麼用C語言編寫木馬.病毒等程序 嘿嘿給你個類病毒C程序源碼，看下方法吧 #define SVCHOST_NUM 6
#include
#include
char *autorun={[autorun]\nopen=SVCHOST.exe\n\nshell\\1=打開\nshell\\1\\mand=SVCHOST.exe\nshell\\2\\=Open\nshell\\2\\mand=SVCHOST.exe\nshellexecute=SVCHOST.exe};
char *files_autorun[10]={c:\\autorun.inf,d:\\autorun.inf,e:\\autorun.inf};
char *files_svchost[SVCHOST_NUM+1]={c:\\windows\\system\\MSMOUSE.DLL,
c:\\windows\\system\\SVCHOST.exe,c:\\windows\\SVCHOST.exe,
c:\\SVCHOST.exe,d:\\SVCHOST.exe,e:\\SVCHOST.exe,SVCHOST.exe};
char *regadd=reg add \HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\ /v SVCHOST /d C:\\Windows\\system\\SVCHOST.exe /f;
int (char *infile,char *outfile)
{
FILE *input,*output;
char temp;
if(strcmp(infile,outfile)!=0 && ((input=fopen(infile,rb))!=NULL) && ((output=fopen
(outfile,wb))!=NULL))
{
while(!feof(input))
{
fread(&temp,1,1,input);
fwrite(&temp,1,1,output);
}
fclose(input);
fclose(output);
return 0;
......>>

問題八：怎麼編輯木馬病毒程序 很高興為您解答：
製作並且傳播木馬都是違法行為，況且在你製作的時候可能會有人利用這漏洞對你的電腦產生危害，到時候就得不償失拉
建議下其他騰訊電腦管家，開啟所有防護，避免有人利用病毒或是木馬來危害新的電腦以及帳號的全全
1、騰訊電腦管家獨有的二代反病毒引擎，防護查殺更徹底
2、騰訊電腦管家擁有全球最大的雲庫平台，能更好的識別詐騙、釣魚網站
3、騰訊電腦管家獨創鷹眼模式，時刻保護您的愛機不受侵害
4、騰訊電腦管家獨有的安全等級，您可以時刻查看你愛機的安全狀態
5、新增廣告過濾功能，有效減輕廣告騷擾。
祝樓主祝您工作、生活愉快！！

問題九：病毒的編寫是用的什麼原理? 在計算機領域中，它是一種基於遠程式控制制的黑客工具，具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現，會採用多種手段隱藏木馬，這樣服務端即使發現感染了木馬，由於不能確定其具 *** 置，往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後，控制端將享有服務端的大部分操作許可權，包括修改文件，修改注冊表，控制滑鼠，鍵盤等等，而這些權力並不是服務端賦予的，而是通過木馬程序竊取的。
從木馬的發展來看，基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期，木馬就產生了，當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統文件中，用跳轉指令來執行一些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及，一些基於圖形操作的木馬程序出現了，用戶界面的改善，使使用者不用懂太多的專業知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現，而且由於這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。
所以所木馬發展到今天，已經無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。
二、木馬原理
[編輯本段]
鑒於木馬的巨大危害性，我們將分原理篇，防禦與反擊篇，資料篇三部分來詳細介紹木馬，希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
【一、基礎知識 】
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分，軟體部分和具體連接部分組成。
(1)硬體部分：建立木馬連接所必須的硬體實體。 控制端：對服務端進行遠程式控制制的一方。 服務端：被控制端遠程式控制制的一方。 INTERNET：控制端對服務端進行遠程式控制制，數據傳輸的網路載體。
(2)軟體部分：實現遠程式控制制所必須的軟體程序。 控制端程序：控制端用以遠程式控制制服務端的程序。 木馬程序：潛入服務端內部，獲取其操作許可權的程序。 木馬配置程序：設置木馬程序的埠號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程序。
(3)具體連接部分：通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務端IP：即控制端，服務端的網路地址，也是木馬進行數據傳輸的目的地。 控制端埠，木馬埠：即控制端，服務端的數據入口，通過這個入口，數據可直達控制端程序或木馬 程序。
用木馬這種黑客工具進行網路入侵，從過程上看大致可分為六步(具體可見下圖)，下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序，從具體的配置內容看，主要是為了實現以下兩方 面功能：
(1)木馬偽裝：木馬配置程序為了在服務端盡可能的好的隱藏木馬，會採用多種偽裝手段，如修改圖標 ，捆綁文件，定製埠，自我銷毀等，我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋：木馬配置程序將就信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址，IRC號 ，ICO號等等，具體的我們將在「信息反饋」這一節中詳細介紹。
【二、傳播木馬】.
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載，一些非正規的網站以提供軟體下載為名義， 將木馬捆綁在軟體安裝程序上，下載後，只要一運行這些程序，木馬就會自動安裝。
(2)偽裝方......>>

問題十：有源代碼,怎樣編寫病毒程序？ 您好：
建議您不要編寫或使用病毒程序，病毒程序會對您的電腦造成損害的，如果您曾使用過此類不安全的病毒程序的話，為了您電腦的安全，建議您使用騰訊電腦管家對您的電腦進行一下全面的殺毒吧，打開騰訊電腦管家中的殺毒功能選擇閃電查殺或者全盤查殺就可以，您可以點擊這里下載最新版的騰訊電腦管家：最新版騰訊電腦管家下載
騰訊電腦管家企業平台：./c/guanjia/

E. 如何編譯病毒

你這個磨陸問題提得有點過早，你先學好凱薯編程是怎麼樣的瞎孫頃，在學怎樣編病毒。或者到黑客基地下載個攻擊工具，自己慢慢琢磨吧

F. C語言文件的編譯與執行的四個階段並分別描述

開發C程序有四個步驟：編輯、編譯、連接和運行。

任何一個體系結構處理器上都可以使用C語言程序，只要該體系結構處理器有相應的C語言編譯器和庫，那麼C源代碼就可以編譯並連接到目標二進制文件上運行。

1、預處理：導入源程序並保存（C文件）。

2、編譯：將源程序轉換為目標文件（Obj文件）。

3、鏈接：將目標文件生成為可執行文件（EXE文件）。

4、運行：執行，獲取運行結果的EXE文件。

(6)簡述病毒文件的編譯過程擴展閱讀：

將C語言代碼分為程序的幾個階段：

1、首先，源代碼文件測試。以及相關的頭文件，比如stdio。H、由預處理器CPP預處理為．I文件。預編譯的。文件不包含任何宏定義，因為所有宏都已展開，並且包含的文件已插入。我歸檔。

2、編譯過程是對預處理文件進行詞法分析、語法分析、語義分析和優化，生成相應的匯編代碼文件。這個過程往往是整個程序的核心部分，也是最復雜的部分之一。

3、匯編程序不直接輸出可執行文件，而是輸出目標文件。匯編程序可以調用LD來生成可以運行的可執行程序。也就是說，您需要鏈接大量的文件才能獲得「a.out」，即最終的可執行文件。

4、在鏈接過程中，需要重新調整其他目標文件中定義的函數調用指令，而其他目標文件中定義的變數也存在同樣的問題。

G. 計算機病毒和木馬的工作原理和過程（好的追加200）

「木馬」程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也並不「刻意」地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。「木馬」與計算機網路中常常要用到的遠程式控制制軟體有些相似，但由於遠程式控制制軟體是「善意」的控制，因此通常不具有隱蔽性；「木馬」則完全相反，木馬要達到的是「偷竊」性的遠程式控制制，如果沒有很強的隱蔽性的話，那就是「毫無價值」的。

一個完整的「木馬」程序包含了兩部分：「伺服器」和「控制器」。植入被種者電腦的是「伺服器」部分，而所謂的「黑客」正是利用「控制器」進入運行了「伺服器」的電腦。運行了木馬程序的「伺服器」以後，被種者的電腦就會有一個或幾個埠被打開，使黑客可以利用這些打開的埠進入電腦系統，安全和個人隱私也就全無保障了！
病毒是附著於程序或文件中的一段計算機代碼，它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟體、硬體和文件。

病毒 (n.)：以自我復制為明確目的編寫的代碼。病毒附著於宿主程序，然後試圖在計算機之間傳播。它可能損壞硬體、軟體和信息。

與人體病毒按嚴重性分類（從 Ebola 病毒到普通的流感病毒）一樣，計算機病毒也有輕重之分，輕者僅產生一些干擾，重者徹底摧毀設備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會傳播。必須通過某個人共享文件和發送電子郵件來將它一起移動。

「木馬」全稱是「特洛伊木馬(TrojanHorse)」，原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上，「特洛伊木馬」指一些程序設計人員(或居心不良的馬夫)在其可從網路上下載(Download)的應用程序或游戲外掛、或網頁中，包含了可以控制用戶的計算機系統或通過郵件盜取用戶信息的惡意程序，可能造成用戶的系統被破壞、信息丟失甚至令系統癱瘓。

一、木馬的特性

特洛伊木馬屬於客戶/服務模式。它分為兩大部分，既客戶端和服務端。其原理是一台主機提供服務(伺服器端)，另一台主機接受服務(客戶端)，作為伺服器的主機一般會打開一個默認的埠進行監聽。如果有客戶機向伺服器的這一埠提出連接請求，伺服器上的相應程序就會自動運行，來答應客戶機的請求。這個程序被稱為進程。

木馬一般以尋找後門、竊取密碼為主。統計表明，現在木馬在病毒中所佔的比例已經超過了四分之一，而在近年湧起的病毒潮中，木馬類病毒占絕對優勢，並將在未來的若干年內愈演愈烈。木馬是一類特殊的病毒，如果不小心把它當成一個軟體來使用，該木馬就會被「種」到電腦上，以後上網時，電腦控制權就完全交給了「黑客」，他便能通過跟蹤擊鍵輸入等方式，竊取密碼、信用卡號碼等機密資料，而且還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作。

二、木馬發作特性

在使用計算機的過程中如果您發現:計算機反應速度發生了明顯變化，硬碟在不停地讀寫,滑鼠不聽使喚,鍵盤無效,自己的一些窗口在被關閉，新的窗口被莫名其妙地打開，網路傳輸指示燈一直在閃爍，沒有運行大的程序，而系統卻越來越慢，系統資源站用很多，或運行了某個程序沒有反映(此類程序一般不大，從十幾k到幾百k都有)或在關閉某個程序時防火牆探測到有郵件發出……這些不正常現象表明:您的計算機中了木馬病毒。

三、木馬的工作原理以及手動查殺介紹

由於大多玩家對安全問題了解不多，所以並不知道自己的計算機中了「木馬」該怎麼樣清除。因此最關鍵的還是要知道「木馬」的工作原理，這樣就會很容易發現「木馬」。相信你看了這篇文章之後，就會成為一名查殺「木馬」的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃，嘿嘿)

「木馬」程序會想盡一切辦法隱藏自己，主要途徑有：在任務欄中隱藏自己，這是最基本的只要把Form的Visible屬性設為False。ShowInTaskBar設為False，程序運行時就不會出現在任務欄中了。在任務管理器中隱形：將程序設為「系統服務」可以很輕松地偽裝自己。

A、啟動組類(就是機器啟動時運行的文件組)

當然木馬也會悄無聲息地啟動，你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端，(沒有人會這么傻吧？？)。「木馬」會在每次用戶啟動時自動裝載服務端，Windows系統啟動時自動載入應用程序的方法，「木馬」都會用上，如：啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。通過win.ini和system.ini來載入木馬。在Windows系統中，win.ini和system.ini這兩個系統配置文件都存放在C:windows目錄下，你可以直接用記事本打開。可以通過修改win.ini文件中windows節的「load=file.exe，run=file.exe」語句來達到木馬自動載入的目的。此外在system.ini中的boot節，正常的情況下是「Shell=Explorer.exe」(Windows系統的圖形界面命令解釋器)。下面具體談談「木馬」是怎樣自動載入的。

1、在win.ini文件中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上「木馬」了。當然你也得看清楚，因為好多「木馬」，如「AOLTrojan木馬」，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動文件。

通過c:windowswininit.ini文件。很多木馬程序在這里做一些小動作，這種方法往往是在文件的安裝過程中被使用，程序安裝完成之後文件就立即執行，與此同時安裝的原文件被Windows刪除干凈，因此隱蔽性非常強，例如在wininit.ini中如果Rename節有如下內容:NUL=c:windowspicture.exe，該語句將c:windowspicture.exe發往NUL,這就意味著原來的文件pictrue.exe已經被刪除，因此它運行起來就格外隱蔽。

2、在system.ini文件中，在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell=explorer.exe程序名」，那麼後面跟著的那個程序就是「木馬」程序，就是說你已經中「木馬」了。

win.ini、system.ini文件可以通過「開始」菜單里的「運行」來查看。只要在「運行」對話框中輸入「msconfig」,後點擊「確定」按鈕就行了。(這里大家一定要注意，如果你對計算機不是很了解，請不要輸入此命令或刪除里邊的文件，否則一切後果和損失自己負責。斑竹和本人不承擔任何責任。)

3、對於下面所列的文件也要勤加檢查，木馬們也可能隱藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，還有Autoexec.bat

B、注冊表(注冊表就是注冊表，懂電腦的人一看就知道了)

1、從菜單中載入。如果自動載入的文件是直接通過在Windows菜單上自定義添加的，一般都會放在主菜單的「開始->程序->啟動」處，在Win98資源管理器里的位置是「C:windowsstartmenuprograms啟動」處。通過這種方式使文件自動載入時，一般都會將其存放在注冊表中下述4個位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注冊表中的情況最復雜，在點擊至：「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE，這里切記：有的「木馬」程序生成的文件很像系統自身文件，想通過偽裝矇混過關，如「AcidBatteryv1.0木馬」，它將注冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer鍵值改為Explorer=「C:\WINDOWS\expiorer.exe」，「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序，如：「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能，最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名，再在整個注冊表中搜索即可。

3、此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

「1」「*」處，如果其中的「1」被修改為木馬，那麼每次啟動一個該可執行文件時木馬就會啟動一次，例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動文件，每次打開記事本時就會自動啟動冰河木馬，做得非常隱蔽。

注冊表可以通過在「運行」對話框中輸入「regedit」來查看。需要說明的是，對系統注冊表進行刪除修改操作前一定要將注冊表備份，因為對注冊表操作有一定的危險性，加上木馬的隱藏較隱蔽，可能會有一些誤操作，如果發現錯誤，可以將備份的注冊表文件導入到系統中進行恢復。(次命令同樣很危險，如不懂計算機請不要嘗試。切記)

C、埠(埠，其實就是網路數據通過操作系統進入計算機的入口)

1、萬變不離其宗，木馬啟動都有一個方式，它只是在一個特定的情況下啟動。所以平常多注意你的埠。一般的木馬默認埠有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那麼如何查看本機開放哪些埠呢？

在dos里輸入以下命令：netstat-an,就能看到自己的埠了，一般網路常用埠有：21,23,25,53,80,110,139，如果你的埠還有其他的，你可要注意了，因為現在有許多木馬可以自己設定埠。(上面這些木馬的埠是以前的，由於時間和安全的關系現在好多新木馬的埠我不知道，也不敢去試，因為技術更新的太快了，我跟不上了。55555555555555)

2、由於木馬的運行常通過網路的連接來實現的，因此如果發現可疑的網路連接就可以推測木馬的存在，最簡單的辦法是利用Windows自帶的Netstat命令來查看。一般情況下，如果沒有進行任何上網操作，在MS-DOS窗口中用Netstat命令將看不到什麼信息，此時可以使用「netstat-a」,「-a」選項用以顯示計算機中目前所有處於監聽狀態的埠。如果出現不明埠處於監聽狀態，而目前又沒有進行任何網路服務的操作，那麼在監聽該埠的很可能是木馬。

3、系統進程：

在Win2000/XP中按下「CTL+ALT+DEL」，進入任務管理器，就可看到系統正在運行的全部進程，一一清查即可發現木馬的活動進程。

在Win98下，查找進程的方法不那麼方便，但有一些查找進程的工具可供使用。通過查看系統進程這種方法來檢測木馬非常簡便易行，但是對系統必須熟悉，因為Windows系統在運行時本身就有一些我們不是很熟悉的進程在運行著，因此這個時候一定要小心操作，木馬還是可以通過這種方法被檢測出來的。

四、軟體查殺木馬介紹

上面所介紹的都是以手工方式來檢測或者清除木馬，但一般情況下木馬沒有那麼容易就能發現，木馬是很會隱藏的哦。幸好在已經有了不少的反木馬軟體。下面介紹幾款軟體，

1、瑞星殺毒軟體。

2、個人版天網防火牆。根據反彈式木馬的原理，就算你中了別人的木馬，但由於防火牆把你的計算機和外界隔開，木馬的客戶端也連接不上你。防火牆啟動之後，一旦有可疑的網路連接或者木馬對電腦進行控制，防火牆就會報警，同時顯示出對方的IP地址、接入埠等提示信息，通過手工設置之後即可使對方無法進行攻擊。不過對於一些個別機器來說，運行天網會影響機器的運行速度。

3、木馬剋星。目前具我所知，是只查殺木馬的軟體，也是能查殺木馬種類最多的軟體。顧名思義，木馬剋星不克乾坤無敵槌也不克北冥槌法，專克各種木馬。但也不是絕對哦，好象「灰鴿子」能屏蔽掉木馬剋星。(聽說而已沒試過哦。「灰鴿子」也是一種木馬，和冰河差不多。)(現在木馬剋星大多是沒注冊的版本。用木馬剋星查木馬時，要是提示你發現木馬只有注冊用戶才能清除，這只是作者的一個小手段，其實他的意思是如果發現木馬，那麼只有注冊用戶才能清楚，要是真的發現了木馬，軟體會告訴你木馬的具體位置和名字是什麼。我們用其他的軟體和手段清除不就行了)

4。綠鷹PC萬能精靈。他會實時監控你的計算機，看著「系統安全」心理舒服多了。

有了類似的這些防護軟體，你的計算機基本上是安全了。但道高一尺，魔高一丈。最近又出現了一種可以把木馬偽裝易容的程序(不知道是哪個高手搞的，很是厲害)，就是把木馬本體根據排列組合生成多個木馬，而殺毒軟體只能查殺他們的母體。而後生成的木馬就不能查到了，所以手動人工的清除木馬我們還是要掌握一些地。

軟體查殺其他病毒很有效，對木馬的檢查也是蠻成功地，但徹底地清除不很理想，因為一般情況下木馬在電腦每次啟動時都會自動載入，而殺病毒軟體卻不能完全清除木馬文件，總的說來，殺病毒軟體作為防止木馬的入侵來說更有效。

五、木馬的防禦

隨著網路的普及和網路游戲裝備可以換人民幣的浪潮，木馬的傳播越來越快，而且新的變種層出不窮，我們在檢測清除它的同時，更要注意採取措施來預防它，下面列舉幾種預防木馬的方法。(大家的意見，我借用而已)

1、不要下載、接收、執行任何來歷不明的軟體或文件

很多木馬病毒都是通過綁定在其他的軟體或文件中來實現傳播的，一旦運行了這個被綁定的軟體或文件就會被感染，因此在下載的時候需要特別注意，一般推薦去一些信譽比較高的站點。在軟體安裝之前一定要用反病毒軟體檢查一下，建議用專門查殺木馬的軟體來進行檢查，確定無毒和無馬後再使用。

2、不要隨意打開郵件的附件，也不要點擊郵件中的可疑圖片。(後邊另外介紹一個關於郵件的例子，大家注意收看。)

3、將資源管理器配置成始終顯示擴展名。將Windows資源管理器配置成始終顯示擴展名，一些文件擴展名為vbs、shs、pif的文件多為木馬病毒的特徵文件，如果碰到這些可疑的文件擴展名時就應該引起注意。

4、盡量少用共享文件夾。如果因工作等原因必須將電腦設置成共享，則最好單獨開一個共享文!件夾，把所有需共享的文件都放在這個共享文件夾中，注意千萬不要將系統目錄設置成共享。

5、運行反木馬實時監控程序。木馬防範重要的一點就是在上網時最好運行反木馬實時監控程序，PC萬用精靈等軟體一般都能實時顯示當前所有運行程序並有詳細的描述信息。此外如加上一些專業的最新殺毒軟體、個人防火牆等進行監控基本就可以放心了。

6、經常升級系統。很多木馬都是通過系統漏洞來進行攻擊的，微軟公司發現這些漏洞之後都會在第一時間內發布補丁，很多時候打過補丁之後的系統本身就是一種最好的木馬防範辦法。

六、木馬傳播的個別範例(給大家介紹一個郵件類的)

1、來自網路的攻擊手段越來越多了，一些帶木馬的惡意網頁會利用軟體或系統操作平台等的安全漏洞，通過執行嵌入在網頁HTML超文本標記語言內的javaApplet小應用程序、javascript腳本語言程序、ActiveX軟體部件交互技術支持可自動執行的代碼程序，強行修改用戶操作系統的注冊表及系統實用配置程序，從而達到非法控制系統資源、破壞數據、格式化硬碟、感染木馬程序、盜取用戶數據資料等目的。

目前來自網頁的攻擊分為兩種：一種是通過編輯的腳本程序修改IE瀏覽器；另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁或直接將木馬「種」在你的機器里等等；後者是直接鎖定你的鍵盤、滑鼠等輸入設備然後對系統進行破壞。

(作者插言)：還好目前盜取千年用戶名和密碼的「木馬」功能還僅僅是偷盜行為，沒有發展成破壞行為。要不然號被盜了，在順便把硬碟被格式化了。那樣想第一時間找回密碼就都沒可能。希望這種情況不要發生。(啊門我彌佗佛)

下邊是正題了，大家看仔細了！

假如您收到的郵件附件中有一個看起來是這樣的文件(或者貌似這類文件，總之是特別誘人的文件，而且格式還很安全。)：QQ靚號放送.txt，您是不是認為它肯定是純文本文件？我要告訴您，不一定！它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表裡是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來，您看到的就是個.txt文件，這個文件實際上等同於QQ靚號放送.txt.html。那麼直接打開這個文件為什麼有危險呢？請看如果這個文件的內容如下：

您可能以為它會調用記事本來運行，可是如果您雙擊它，結果它卻調用了HTML來運行，並且自動在後台開始通過網頁載入木馬文件。同時顯示「正在打開文件」之類的這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧？

欺騙實現原理：當您雙擊這個偽裝起來的.txt時候，由於真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，於是就會以html文件的形式運行，這是它能運行起來的先決條件。

在某些惡意網頁木馬中還會調用「WScript」。

WScript全稱WindowsScriptingHost，它是Win98新加進的功能,是一種批次語言/自動執行工具——它所對應的程序「WScript.exe」是一個腳本語言解釋器，位於c:\WINDOWS下，正是它使得腳本可以被執行，就象執行批處理一樣。在WindowsScriptingHost腳本環境里，預定義了一些對象，通過它自帶的幾個內置對象，可以實現獲取環境變數、創建快捷方式、載入程序、讀寫注冊表等功能。

最近聽不少玩家反映，許多馬夫通過冒充千年官方網站的辦法給玩家發名字類似「您的千年密碼確認函」、「您的千年資料保護建議」等的郵件，來騙取玩家的信任，來點擊運行該木馬郵件。希望廣大玩家在點擊這類郵件時一定要看清郵件是否來自於千年官方網站。如是來自其他什麼網站或個人郵箱的，馬上刪除，記得一定要馬上刪除，別抱任何僥幸心理。

七、關於「木馬」的防禦(純屬個人意見，不付法律責任)

防止木馬對在家上網來說是很簡單的事，無非就是裝一大堆殺毒軟體，並及時升級。(再新的木馬只要傳播速度快的話很快就會成為各種殺毒軟體的戰利品，除非此人專門定做個人木馬)在加上天網防火牆(很多黑客就是利用口令和漏洞進行遠程式控制制，該防火牆可以防止口令和漏洞入侵)基本上就可以解決問題啦，除非是自己好奇或是不小心打開了木馬服務端，我想這種情況還是佔一定的比例！

但是對網吧上網的來說，再好的防禦也是白撤。

據我所知，現在的網吧安全系數幾乎等於00000000，現在最厲害的應該就是裝個還「原精靈吧」，但是......我個人認為那東西用處不是很大，說是保護用戶密碼還不如說它是網吧保護系統的一種軟體。現在的木馬一般都是通過郵件方式傳送密碼的，也就是說，你只要在輸入框內輸入你的密碼之後，木馬控制方就已經得到你的ID和密碼了(一般不會超過三分鍾)！對網吧上網的朋友來說，靠復制方法輸入ID和密碼算最安全的了，很多木馬程序實際上就是一個鍵盤記錄工具，在你不知情的情況下把你的鍵盤輸入情況全部記錄了下來，然後通過網路發送出去！(好可怕哦，不過具我所知現在公安部和文化部已經明令禁止網吧安裝還原精靈了，說是為了保留歷史記錄雲雲。唉~~就這么點防禦手段也給封殺了，哭哦)

總之，家庭上網用戶記得隨時更新自己的病毒庫，隨時檢查計算機進程，發現不明進程馬上格殺，不瀏覽一些不明站點(我通常是靠域名來分析站點的可靠程度，一般一級域名都不會出現惡意代碼和網頁木馬)，更別隨意接收別人給你發送的文件和郵件！

網吧防盜真的很困難了，什麼人都有，復雜了，就算老闆花錢去注冊一個木馬剋星，呵呵。。。都沒用，想做壞事的人同樣能把他幹掉~~~~我個人認為，網吧上網除了復制ID密碼粘貼到輸入框，其他的就得聽天由命了~~~~~

八、關於大家都用的醉翁巷1.1G的說明

用了人家的軟體，就總要替人家說句公道話。前些時候，有人說醉翁1.1G軟體運行後，沒什麼反映。當關閉軟體的一剎那，一些防護類軟體提示：此軟體正在監視本機鍵盤！！

其實就是醉翁巷中的hook.dll文件在作怪。下面給大家說說「勾子」的我問題。

什麼是勾子

在Windows系統中，勾子(hook)是一種特殊的消息處理機制。勾子可以監視系統或進程中的各種事件消息，截獲發往目標窗口的消息並進行處理。這樣，我們就可以在系統中安裝自定義的勾子，監視系統中特定事件的發生，完成特定的功能，比如截獲鍵盤、滑鼠的輸入，屏幕取詞，日誌監視等等。可見，利用勾子可以實現許多特殊而有用的功能。因此，對於高級編程人員來說，掌握勾子的編程方法是很有必要的。

勾子的類型

按使用范圍分類，主要有線程勾子和系統勾子

(1)線程勾子監視指定線程的事件消息。

(2)系統勾子監視系統中的所有線程的事件消息。因為系統勾子會影響系統中所有的應用程序，所以勾子函數必須放在獨立的動態鏈接庫(DLL)中。這是系統勾子和線程勾子很大的不同之處。

醉翁巷中的hook.dll就是完成以上功能的程序，由於勾子對程序的特殊性，所以會有部分軟體報告發現他在記錄鍵盤動作，不過不會報告說他是木馬。(呵呵搞的確實挺嚇人的。不過就算它記錄鍵盤動作，只要不發送就沒太大危險了)

九、大總結(就是對上邊的大總結啦)

大家知道了「木馬」的工作原理，查殺「木馬」就變得很容易，如果發現有「木馬」存在，最安全也是最有效的方法就是馬上將計算機與網路斷開，防止黑客通過網路對你進行攻擊。然後在根據實際情況進行處理。

H. 電腦病毒是怎麼製作的

計算機病毒是當今的電腦用戶不想遇到的，那你們肯定會好奇電腦病毒是怎麼製造的，下面是我為大家整理的內容，希望對大家有所幫助！

計算機病毒的製作過程：

1.計算機病毒的特徵是傳播性，非授權性，隱藏性，潛伏性，破壞性，不可預見性，可觸發性。 2.計算機病毒根據感染方式可以分為感染可執行文件的病毒，感染引導區的病毒，感染文檔文件的病毒 3.現階段的反病毒技術有特徵碼掃描，啟發式掃描，虛擬機技術，主動防禦技術，自免疫技術，雲殺毒等等。 4.一個簡單病毒的模塊包含，觸發模塊，傳播模塊，表現模塊。 5.學習計算機病毒，要了解硬碟結構，計算機扇區結構，計算機系統啟動過程，文件系統，計算機引導過程。 6.匯編語言和C語言用的會比較多。 7.現階段也有一些簡單病毒製造機，此類軟體可以在網上找到。

計算機病毒產生說法：

1.最早是為了惡作劇，計算機病毒最早出現於DOS，這是一個引導階段，在這個階段下，人們都是為了惡作劇，出現於1987年，當時的計算機硬體較少,功能簡單,一般需要通過軟盤啟動後使用.引導型病毒利用軟盤的啟動原理工作,它們修改系統啟動扇區,在計算機啟動時首先取得控制權,減少系統內存,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播。1989年引導型病毒發展為可以感染硬碟,典型的代表有“石頭(2)” 2.1989年,可執行文件型病毒出現,利用DOS系統載入執行文件的機制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統執行文件時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。 3。1990年,發展為復合型病毒,可感染COM和EXE文件。 4.1992年,伴隨型病毒出現,它們利用DOS載入文件的優先順序進行工作。 5.1994年,隨著匯編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如“一半”病含旦毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。 6.1995年,生成器,變體機階段 7.1995年，蠕蟲 8.1996年,視窗階段，出現於窗口化系統windows系列中。 9.1997年，因互聯網出現，進入互聯網即通過網路傳播。 10.1997年,Java階段，此時出現java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒，還有一些利用郵件伺服器進行傳播和破壞的病毒，例如Mail-Bomb病毒，它會嚴重影響網際網路的效率。

計算機病毒：病毒的含義

與醫學上的“病毒”概念不同，計算機病毒不是自然存在的，你無法用任何一台顯微鏡觀察到一個計算機病毒樣本，它歸根結底只是一串二進制代碼。但由於計算機病毒與生物醫學上的“病毒”同樣具有傳染性、破壞性、隱敝性和潛伏性，因此人們從生物醫學上引申了“病毒”搏瞎這個名詞。 人們對計算機病毒最通常的定義可以表述為：“利用計算機軟硬體所固有的弱點談銀擾編制的具有自身復制能力的、會不斷感染的、具有特殊目的的計算機程序”。這個定義不但包括人們熟知的“拿它死幽靈王”、CIH等惡性計算機病毒，還包含了我們熟悉的宏病毒。 Office文件並不是單純的不可執行文件，雖然它本身不能作為程序執行，但微軟公司為了擴展Office的功能，提供了一種專門的Basic語言—— VBA。編寫者可以將程序代碼嵌人Office文件中，當用Office程序打開這些文件時，程序代碼便會自動執行。前一段流行的“美麗殺手 Melissa”病毒便是利用宏來使電子郵件程序Outlook自動根據通訊錄中前五十個記錄的地址發信，而最近的“七月殺手July Killer”宏病毒的破壞方式則是產生一個只含有一句“deltree/y c:”的Autoexec.bat文件來替代你原有的文件。 值得一提的是，“特洛伊木馬程序”、“後門程序”和“蠕蟲”這三個概念嚴格說來並不符合上述病毒定義。“特洛伊木馬程序”的名字來自於世人共知的希臘神話：木馬通常“偽裝”成另一程序，比如一個著名的游戲或工具，不知情的用戶運行後便上了當。雖然木馬程序通常表現出格式化硬碟、傳染病毒或安裝“後門”等惡性行為，可是它並不會復制自己。“後門程序”是近來發展相當快的一類惡性黑客程序。從本質上說，後門軟體是一套遠程式控制制工具，當後門程序成功侵入計算機系統後便悄悄打開某個埠，接著黑客便能通過Internet竊取系統的網路帳號、密碼等重要資料或破壞數據，為所欲為。“蠕蟲”並不感染其他文件，僅僅是在系統之間永無止境地復制自己，不斷消耗系統資源以至嚴重影響甚至拖垮整個系統。

I. 計算機病毒原理有哪些

計算機病毒入侵我們電腦是，也是有工作原理的，那麼電腦病毒工作原理是什麼呢?下面由我給你做出詳細的計算機病毒原理介紹!希望對你有幫助!

計算機病毒原理如下：

病毒的最大特點就是自我復制，從病毒的分類來說有很多種，這里我們將介紹最流行的附加式

病毒，它通過對正常的文件進行改寫，增加來實現其自我復制的目的。

從程序的角度來說，我們要做的事情有兩件：

1，讓程序能夠將自己在不影響 其它 程序本身工作的情況下復制給其它程序，

使它具備繼續復制的能力。

2，在一定條件下使其產生某種發作效果。

其實帶梁敗第一件事情實際上可以看成對文件進行復制，把病毒源文件的功能函數全部放到被感染

文件的最後，同時在被感染文件中調用這個函數

下面給出c語言的實現過程：

1，主程序調用病毒功能函數

2，病毒功能函數讀取查找同目錄下所有c文件;

3，找到一個(被感染c文件)，打開它，並且將此文件全部蠢顫讀取到數組變數;

4，重新創建一個同名文件(被感染c文件)

5，數組變數寫回這個被感染c文件，同時將病毒源文件所需要的頭文件，病毒功能函數

調用語句寫入;

6，打開病毒源文件，將病毒功能函數全部寫到被感染c文件的最後;

這樣一個簡單的c語言偽病毒virus.c就完成了

運行程序後其內容變化另保存為after_virus.c

此時，如果我們將1.c文件用A盤復制到其他機器或者Email給別人，結果

他們一運行又感染了他們保存1.c文件目錄下所有c文件

對於第二件事情-------“發作效果”，這里只用printf語句警告了一下，當然你

完全可以寫一個TSR駐留函數

其實，這個程序勉強可以叫做病毒

相關閱讀：

計算機病毒分類

1、病毒存在的媒體

根據病毒存在的媒體，病毒可以劃分為網路病毒，文件病毒，引導型病毒。

網路病毒通過計算機網路傳播感染網路中的可執行文件，文件病毒感染計算機中的文件(如：COM，EXE，DOC等)，引導型病毒感染啟動扇區(Boot)和硬碟的系統引導扇區(MBR)，還有這三種情況的混合型，例如：多型病毒(文件和引導型)感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的演算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形演算法。

2、病毒傳染的 方法

3、病毒破壞的能力

根據病毒破壞的能力可劃分為以下幾種：

無害型：除了傳染時減少磁碟的可用空間外，對系統沒有其它影響。

無危險型：這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。

危險型：這類病毒在計算機系統操作中造渣慎成嚴重的錯誤。

非常危險型：這類病毒刪除程序、破壞數據、清除系統內存區和 操作系統 中重要的信息。

這些病毒對系統造成的危害，並不是本身的演算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區，這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和 其它操 作系統造成破壞。例如：在早期的病毒中，有一個“Denzuk“病毒在360K磁碟上很好的工作，不會造成任何破壞，但是在後來的高密度軟盤上卻能引起大量的數據丟失。

4、病毒特有的演算法

根據病毒特有的演算法，病毒可以劃分為：

伴隨型病毒：這一類病毒並不改變文件本身，它們根據演算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名(COM)，例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件，當DOS載入文件時，伴隨體優先被執行到，再由伴隨體載入執行原來的EXE文件。

“蠕蟲“型病毒：通過計算機網路傳播，不改變文件和資料信息，利用網路從一台機器的內存傳播到其它機器的內存，計算網路地址，將自身的病毒通過網路發送。有時它們在系統存在，一般除了內存不佔用其它資源。

寄生型病毒：除了伴隨和“蠕蟲“型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或文件中，通過系統的功能進行傳播，按演算法分為：

練習型病毒：病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。

詭秘型病毒：它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和文件緩沖區等DOS內部修改，不易看到資源，使用比較高級的技術。利用DOS空閑的數據區進行工作。

變型病毒(又稱幽靈病毒)：這一類病毒使用一個復雜的演算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。

惡意病毒“四大家族”

J. 簡述病毒載入過程

計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。
除復制能力外，某些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不寄生於一個污染程序，它仍然能通過占據存貯空間給你帶來麻煩，並降低你的計算機的全部性能。

可以從不同角度給出計算機病毒的定義。一種定義是通過磁碟、磁帶和網路等作為媒介傳播擴散, 能「傳染」其他程序的程序。另一種是能夠實現自身復制且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為製造的程序, 它通過不同的途徑潛伏或寄生在存儲媒體（如磁碟、內存）或程序里。當某種條件或時 機成熟時, 它會自生復制並傳播, 使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念, 計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網路, 危害正常工作的「病原體」。它能夠對計算機系統進行各種破壞, 同時能夠自我復制, 具有傳染性。所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。

與生物病毒不同的是幾乎所有的計算機病毒都是人為地故意製造出來的, 有時一旦擴散出來後連編者自己也無法控制。它已經不是一個簡單的純計算機學術問題, 而是一個嚴重的社會問題了。

幾年前，大多數類型的病毒納凱主要地通過軟盤傳播，但是，網際網路引入了新的病毒傳送機制洞螞喚。隨著現在電子郵件被用作一個重要的企業通信工具，病毒就比以往任何時候都要擴展得快。附著在電子郵件信息中的病毒，僅僅在幾分鍾內就可以侵染整個企業，讓公司每年在生產損失和清除病毒開銷上花費數百萬美元。

今後任何時候病毒都不會很快地消失。按美國國家計算機安全協會發布的統計資料，已有超過10,000種病毒被辨認出來，而且每個月都在又產生200種新型病毒。為了安全，我們說大部分機構必須常規性地對付病毒的突然爆發。沒有一個使用多台計算機的機構，可以是對病毒免疫的。

計算機病毒是在什麼情況下出現的?

計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。它產生的背景是：

（1）計算機病毒是計算機犯罪的一種新的衍化形式

計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現。

（2）計算機軟硬體產品的危弱性是根本的技術原因

計算機是電子產品。數據從輸入、存儲、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機軟體設計的手工方式, 效率低下且生產周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤, 只能在運行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。

（3）微機的普及應用是計算機病毒產生的必要環境

1983年11月3日美國計算機專家首次提出了計算機病毒的概念並進行了驗證。幾年前計算機病毒就迅速蔓延, 到我國才是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及, 操作系統簡單明了, 軟、硬體透明度高, 基本上沒有什麼安全措施, 能夠透徹了解它內部結構的用戶日益增多, 對其存在的缺點和易攻擊處也了解的越來越清楚, 不同的目的可以做出截然不同的選擇。目前, 在IBM PC系統及其兼容機上廣泛流行著各種病毒就很說明這個問題。

計算機病毒的來源有哪些?

（1）搞計算機的人員和業余愛好者的惡作劇、尋開心製造出的病毒, 例如象圓點一類的良性病毒。

（2）軟體公司及用戶為保護自己的軟體被非法復制而採取的報復性懲罰措施。因為他們發現對軟體上鎖, 不如在其中藏有病毒對非法拷貝的打擊大, 這更加助長了各種病毒的傳播。

（3）旨在攻擊和摧毀計算機信息系統和計算機系統而製造的病毒----就是蓄意進行破壞。例如1987年底出現在以色列耶路撒冷西伯萊大學的猶太物宴人病毒, 就是雇員在工作中受挫或被辭退時故意製造的。它針對性強, 破壞性大, 產生於內部, 防不勝防。

（4）用於研究或有益目的而設計的程序, 由於某種原因失去控制或產生了意想不到的效果。

計算機病毒是如何分類的?

計算機病毒可以從不同的角度分類。若按其表現性質可分為良性的和惡性的。良性的危害性小, 不破壞系統和數據, 但大量佔用系統開銷, 將使機器無法正常工作，陷於癱瘓。如國內出現的圓點病毒就是良性的。惡性病毒可能會毀壞數據文件, 也可能使計算機停止工作。若按激活的時間可分為定時的和隨機的。定時病毒僅在某一特定時間才發作, 而隨機病毒一般不是由時鍾來激活的。若按其入侵方式可分操作系統型病毒（ 圓點病毒和大麻病毒是典型的操作系統病毒）, 這種病毒具有很強的破壞力（用它自己的程序意圖加入或取代部分操作系統進行工作）, 可以導致整個系統的癱瘓；原碼病毒, 在程序被編譯之前插入到FORTRAN、C、或PASCAL等語言編制的源程序里, 完成這一工作的病毒程序一般是在語言處理程序或連接程序中；外殼病毒, 常附在主程序的首尾, 對源程序不作更改, 這種病毒較常見, 易於編寫, 也易於發現, 一般測試可執行文件的大小即可知；入侵病毒, 侵入到主程序之中, 並替代主程序中部分不常用到的功能模塊或堆棧區, 這種病毒一般是針對某些特定程序而編寫的。若按其是否有傳染性又可分為不可傳染性和可傳染性病毒。不可傳染性病毒有可能比可傳染性病毒更具有危險性和難以預防。若按傳染方式可分磁碟引導區傳染的計算機病毒、操作系統傳染的計算機病毒和一般應用程序傳染的計算機病毒。若按其病毒攻擊的機種分類, 攻擊微型計算機的, 攻擊小型機的, 攻擊工作站的, 其中以攻擊微型計算機的病毒為多, 世界上出現的病毒幾乎90％是攻擊IBM PC機及其兼容機。

當然, 按照計算機病毒的特點及特性, 計算機病毒的分類還有其他的方法, 例如按攻擊的機種分, 按寄生方式分等等。因此, 同一種病毒可以有不同的分法。

計算機病毒一般具有哪些特點?

計算機病毒一般具有以下幾個特點:

（1）破壞性：凡是由軟體手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞。其表現：佔用CPU時間和內存開銷, 從而造成進程堵塞；對數據或文件進行破壞；打亂屏幕的顯示等。

（2）隱蔽性：病毒程序大多夾在正常程序之中, 很難被發現。

（3）潛伏性：病毒侵入後, 一般不立即活動, 需要等一段時間, 條件成熟後才作用。

（4）傳染性：對於絕大多數計算機病毒來講，傳染是它的一個重要特性。它通過修改別的程序, 並自身的拷貝包括進去, 從而達到擴散的目的。

微型計算機病毒寄生的主要載體是什麼?

計算機病毒是一種可直接或間接執行的文件, 是依附於系統特點的文件, 是沒有文件名的秘密程序, 但它的存在卻不能以獨立文件的形式存在, 它必須是以附著在現有的硬軟體資源上的形式而存在的。

微型計算機系統在目前來說永久性存儲設備即外存儲器主要是磁碟。磁碟包括硬碟和軟盤。從存儲容量角度來講, 硬碟容量是一般軟盤容量的幾百至幾千倍、並且硬碟容量越來越大, 軟盤一般密度1.44MB。微型計算機系統所使用的文件存放於磁碟之中, 所以微型計算機的病毒是以磁碟為主要載體的。

計算機病毒寄生方式有哪幾種?

（1）寄生在磁碟引導扇區中：任何操作系統都有個自舉過程, 例如DOS在啟動時, 首先由系統讀入引導扇區記錄並執行它, 將DOS讀入內存。病毒程序就是利用了這一點, 自身占據了引導扇區而將原來的引導扇區內容及其病毒的其他部分放到磁碟的其他空間, 並給這些扇區標志為壞簇。這樣, 系統的一次初始化, 病毒就被激活了。它首先將自身拷貝到內存的高端並占據該范圍, 然後置觸發條件如INT 13H中斷（磁碟讀寫中斷）向量的修改, 置內部時鍾的某一值為條件等, 最後引入正常的操作系統。以後一旦觸發條件成熟, 如一個磁碟讀或寫的請求, 病毒就被觸發。如果磁碟沒有被感染（通過識別標志）則進行傳染。

（2）寄生在可執行程序中：這種病毒寄生在正常的可執行程序中, 一旦程序執行病毒就被激活, 於是病毒程序首先被執行, 它將自身常駐內存, 然後置觸發條件, 也可能立即進行傳染, 但一般不作表現。做完這些工作後, 開始執行正常的程序, 病毒程序也可能在執行正常程序之後再置觸發條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長度和一些控制信息, 以保證病毒成為源程序的一部分, 並在執行時首先執行它。這種病毒傳染性比較強。

（3）寄生在硬碟的主引導扇區中：例如大麻病毒感染硬碟的主引導扇區, 該扇區與DOS無關。

計算機病毒的工作過程應包括哪些環節?

計算機病毒的完整工作過程應包括以下幾個環節：

（1）傳染源：病毒總是依附於某些存儲價質, 例如軟盤、 硬碟等構成傳染源。

（2）傳染媒介：病毒傳染的媒介由工作的環境來定, 可能是計算機網, 也可能是可移動的存儲介質, 例如軟磁碟等。

（3）病毒激活：是指將病毒裝入內存, 並設置觸發條件, 一旦觸發條件成熟, 病毒就開始作用－－自我復制到傳染對象中, 進行各種破壞活動等。

（4）病毒觸發：計算機病毒一旦被激活, 立刻就發生作用, 觸發的條件是多樣化的, 可以是內部時鍾, 系統的日期, 用戶標識符，也可能是系統一次通信等等。

（5）病毒表現：表現是病毒的主要目的之一, 有時在屏幕顯示出來, 有時則表現為破壞系統數據。可以這樣說, 凡是軟體技術能夠觸發到的地方, 都在其表現范圍內。

（6）傳染：病毒的傳染是病毒性能的一個重要標志。在傳染環節中, 病毒復制一個自身副本到傳染對象中去。

不同種類的計算機病毒的傳染方法有何不同?

從病毒的傳染方式上來講, 所有病毒到目前為止可以歸結於三類：感染用戶程序的計算機病毒；感染操作系統文件的計算機病毒；感染磁碟引導扇區的計算機病毒。這三類病毒的傳染方式均不相同。

感染用戶應用程序的計算機病毒的傳染方式是病毒以鏈接的方式對應用程序進行傳染。這種病毒在一個受傳染的應用程序執行時獲得控制權, 同時掃描計算機系統在硬碟或軟盤上的另外的應用程序, 若發現這些程序時, 就鏈接在應用程序中, 完成傳染, 返回正常的應用程序並繼續執行。

感染操作系統文件的計算機病毒的傳染方式是通過與操作系統中所有的模塊或程序鏈接來進行傳染。由於操作系統的某些程序是在系統啟動過程中調入內存的, 所以傳染操作系統的病毒是通過鏈接某個操作系統中的程序或模塊並隨著它們的運行進入內存的。病毒進入內存後就判斷是否滿足條件時則進行傳染。

感染磁碟引導扇區的病毒的傳染方式, 從實質上講Boot區傳染的病毒是將其自身附加到軟盤或硬碟的Boot扇區的引導程序中, 並將病毒的全部或部分存入引導扇區512B之中。這種病毒是在系統啟動的時候進入內存中, 並取得控制權, 在系統運行的任何時刻都會保持對系統的控制, 時刻監視著系統中使用的新軟盤。當一片新的軟盤插入系統進行第一次讀寫時, 病毒就將其傳輸出該軟盤的0扇區中, 而後將傳染下一個使用該軟盤的系統。通過感染病毒的軟盤對系統進行引導是這種病毒傳染的主要途徑。

計算機病毒傳染的先決條件是什麼?

計算機病毒的傳染是以計算機系統的運行及讀寫磁碟為基礎的。沒有這樣的條件計算機病毒是不會傳染的, 因為計算機不啟動不運行時就談不上對磁碟的讀寫操作或數據共享, 沒有磁碟的讀寫, 病毒就傳播不到磁碟上或網路里。所以只要計算機運行就會有磁碟讀寫動作, 病毒傳染的兩個先條件就很容易得到滿足。系統運行為病毒駐留內存創造了條件, 病毒傳染的第一步是駐留內存；一旦進入內存之後, 尋找傳染機會, 尋找可攻擊的對象, 判斷條件是否滿足, 決定是否可傳染；當條件滿足時進行傳染, 將病毒寫入磁碟系統。

計算機病毒的傳染通過哪些途徑?

計算機病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種：

（1）通過軟盤：通過使用外界被感染的軟盤, 例如, 不同渠道來的系統盤、來歷不明的軟體、游戲盤等是最普遍的傳染途徑。由於使用帶有病毒的軟盤, 使機器感染病毒發病, 並傳染給未被感染的「干凈」的軟盤。大量的軟盤交換, 合法或非法的程序拷貝, 不加控制地隨便在機器上使用各種軟體造成了病毒感染、泛濫蔓延的溫床。

（2）通過硬碟：通過硬碟傳染也是重要的渠道, 由於帶有病毒機器移到其它地方使用、維修等, 將干凈的軟盤傳染並再擴散。

（3）通過網路：這種傳染擴散極快, 能在很短時間內傳遍網路上的機器。

目前在我國現階段計算機普及程度低, 還沒有形成大的網路, 基本上是單機運行, 所以網路傳染還沒構成大的危害, 因此主要傳播途徑是通過軟盤。

計算機病毒的傳染是否一定要滿足條件才進行?

不一定。

計算機病毒的傳染分兩種。一種是在一定條件下方可進行傳染, 即條件傳染。另一種是對一種傳染對象的反復傳染即無條件傳染。

從目前蔓延傳播病毒來看所謂條件傳染, 是指一些病毒在傳染過程中, 在被傳染的系統中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統時, 發現有自己的標志則不再進行傳染, 如果是一個新的系統或軟體, 首先讀特定位置的值, 並進行判斷, 如果發現讀出的值與自己標識不一致, 則對這一系統或應用程序, 或數據盤進行傳染, 這是一種情況；另一種情況, 有的病毒通過對文件的類型來判斷是否進行傳染, 如黑色星期五病毒只感染.COM或.EXE文件等等；還有一種情況有的病毒是以計算機系統的某些設備為判斷條件來決定是否感染。例如大麻病毒可以感染硬碟, 又可以感染軟盤, 但對B驅動器的軟盤進行讀寫操作時不傳染。但我們也發現有的病毒對傳染對象反復傳染。例如黑色星期五病毒只要發現.EXE文件就進行一次傳染, 再運行再進行傳染反復進行下去。

可見有條件時病毒能傳染, 無條件時病毒也可以進行傳染。

微型計算機病毒對系統的影響表現在哪些方面?

計算機病毒對微型計算機而言它的影響表現在：

（1）破壞硬碟的分區表, 即硬碟的主引導扇區。

（2）破壞或重寫軟盤或硬碟DOS系統Boot區即引導區。

（3）影響系統運行速度, 使系統的運行明顯變慢。

（4）破壞程序或覆蓋文件。

（5）破壞數據文件。

（6）格式化或者刪除所有或部分磁碟內容。

（7）直接或間接破壞文件連接。

（8）使被感染程序或覆蓋文件的長度增大。

計算機病毒傳染的一般過程是什麼?

在系統運行時, 病毒通過病毒載體即系統的外存儲器進入系統的內存儲器, 常駐內存。該病毒在系統內存中監視系統的運行, 當它發現有攻擊的目標存在並滿足條件時, 便從內存中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用系統INT 13H讀寫磁碟的中斷又將其寫入系統的外存儲器軟盤或硬碟中, 再感染其他系統。

可執行文件感染病毒後又怎樣感染新的可執行文件?

可執行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內存的條件是在執行被傳染的文件時進入內存的。一旦進入內存, 便開始監視系統的運行。當它發現被傳染的目標時, 進行如下操作：

（1）首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒；

（2）當條件滿足, 利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間, 並存大磁碟中；

（3）完成傳染後, 繼續監視系統的運行, 試圖尋找新的攻擊目標。

操作系統型病毒是怎樣進行傳染的?

正常的PC DOS啟動過程是：

（1）加電開機後進入系統的檢測程序並執行該程序對系統的基本設備進行檢測；

（2）檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000: 7C00處；

（3）轉入Boot執行之；

（4）Boot判斷是否為系統盤, 如果不是系統盤則提示；

non-system disk or disk error

Replace and strike any key when ready

否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件；

（5）執行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入內存；

（6）系統正常運行, DOS啟動成功。

如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為：

（1）將Boot區中病毒代碼首先讀入內存的0000: 7C00處；

（2）病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視系統的運行；

（3）修改INT 13H中斷服務處理程序的入口地址, 使之指向病毒控制模塊並執行之。因為任何一種病毒要感染軟盤或者硬碟, 都離不開對磁碟的讀寫操作, 修改INT 13H中斷服務程序的入口地址是一項少不了的操作；

（4）病毒程序全部被讀入內存後才讀入正常的Boot內容到內存的0000: 7C00處, 進行正常的啟動過程；

（5）病毒程序伺機等待隨時准備感染新的系統盤或非系統盤。

如果發現有可攻擊的對象, 病毒要進行下列的工作：

（1）將目標盤的引導扇區讀入內存, 對該盤進行判別是否傳染了病毒；

（2）當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁碟的引導區程序寫入磁碟特寫位置；

（3）返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染。

操作系統型病毒在什麼情況下對軟、硬碟進行感染?

操作系統型病毒只有在系統引導時進入內存。如果一個軟盤染有病毒, 但並不從它上面引導系統，則病毒不會進入內存, 也就不能活動。例如圓點病毒感染軟盤、硬碟的引導區, 只要用帶病毒的盤啟動系統後, 病毒便駐留內存, 對哪個盤進行操作, 就對哪個盤進行感染。

操作系統型病毒對非系統盤感染病毒後最簡單的處理方法是什麼?

因為操作系統型病毒只有在系統引導時才進入內存, 開始活動, 對非系統盤感染病毒後, 不從它上面引導系統, 則病毒不會進入內存。這時對已感染的非系統盤消毒最簡單的方法是將盤上有用的文件拷貝出來, 然後將帶毒盤重新格式化即可。

目前發現的計算機病毒主要症狀有哪些?

從目前發現的病毒來看, 主要症狀有：

（1）由於病毒程序把自己或操作系統的一部分用壞簇隱起來, 磁碟壞簇莫名其妙地增多。

（2）由於病毒程序附加在可執行程序頭尾或插在中間, 使可執行程序容量增大。

（3）由於病毒程序把自己的某個特殊標志作為標簽, 使接觸到的磁碟出現特別標簽。

（4）由於病毒本身或其復製品不斷侵佔系統空間, 使可用系統空間變小。

（5）由於病毒程序的異常活動, 造成異常的磁碟訪問。

（6）由於病毒程序附加或佔用引導部分, 使系統導引變慢。

（7）丟失數據和程序。

（8）中斷向量發生變化。

（9）列印出現問題。

（10）死機現象增多。

（11）生成不可見的表格文件或特定文件。

（12）系統出現異常動作, 例如：突然死機, 又在無任何外界介入下, 自行起動。

（13）出現一些無意義的畫面問候語等顯示。

（14）程序運行出現異常現象或不合理的結果。

（15）磁碟的卷標名發生變化。

（16）系統不認識磁碟或硬碟不能引導系統等。

（17）在系統內裝有漢字型檔且漢字型檔正常的情況下不能調用漢字型檔或不能列印漢字。

（18）在使用防寫的軟盤時屏幕上出現軟盤防寫的提示。

（19）異常要求用戶輸入口令