誰能給我簡述一下計算機病毒的工作原理

1樓：冬_陽

一、病毒定義所謂病毒就是一段**，其本質和大家使用的qq、word什麼的程式沒有區別，只不過製作者令其具有了自我複製和定時發作進行破壞功能。一般病毒都在1k到數k大小。二、病毒種類我們所遇到的病毒可分引導型（感染磁碟引導區）程式型（感染可執行檔案）巨集病毒（感染word文件）等。

三、病毒工作原理計算機系統的記憶體是乙個非常重要的資源，我們可以認為所有的工作都需要在記憶體中執行（相當與人的大腦），所以控制了記憶體就相當於控制了人的大腦，病毒一般都是通過各種方式把自己植入記憶體，獲取系統最高控制權，然後感染在記憶體中執行的程式。（注意，所有的程式都在記憶體中執行，也就是說，在感染了病毒後，你所有執行過的程式都有可能被傳染上，感染那些檔案這由病毒的特性所決定） 1、程式型病毒的工作原理。這是目前最多的一類病毒，主要感染.

exe 和 .dll 等可執行檔案和動態連線庫檔案，比如很多的蠕蟲病毒都是這樣。注意蠕蟲病毒不是乙個病毒，而是乙個種類。

他的特點是針對目前internet高速發展，主要在網路上傳播，當他感染了一台計算機之後，可以自動的把自己通過網路傳送出去，比如傳送給同一居欲網的使用者或者自動讀取你的email列表，自動給你的朋友發email等等。感染了蠕蟲病毒的機器一秒種可能會傳送幾百個包來探測起周圍的機器。會造成網路資源的巨大浪費。

所以這次我們防毒主要是針對這種病毒。那麼病毒是怎麼傳染的那？切記：

病毒傳染的前提就是，他必須把自己複製到記憶體中，硬碟中的帶毒檔案如果沒有被讀入內寸，是不會傳染的，這在防毒中非常重要。而且，計算機斷電後記憶體內容會丟失這我想大家都知道。所以：

病毒和防毒軟體鬥爭的焦點就在於爭奪啟動後的記憶體控制權。 2、程式型病毒是怎麼傳播的。病毒傳播最主要的途徑是網路，還有軟盤和光碟。

比如，我正在工作時，朋友拿來乙個帶病毒的軟盤，比如，該病毒感染了磁碟裡的a檔案，我執行了一下這個a檔案，病毒就被讀如記憶體，如果你不執行染毒檔案，程式型病毒是不會感染你的機器的（不要罵，我這裡說的是程式型病毒，後面我會說引導型病毒，他只要開啟軟盤就會感染）當染毒檔案被執行，病毒就進入記憶體，並獲取了記憶體控制權，開始感染所有之後執行的檔案。比如我執行了word。exe ，則該檔案被感染，病毒把自己複製乙份，加在word.

exe檔案的後面，會使該檔案長度增加1到幾個k。（不是所有病毒都這樣，我舉這個離子只是想介紹病毒感染過程）好，接下來，比如說我關機了，則記憶體中的病毒被清除，我機子中所有的染毒檔案只有word.exe。

第二天，我又開機時，記憶體是乾淨的。比如我需要用word，於是，該染毒檔案中的病毒被讀如記憶體，繼續感染下面執行的程式，周而復始，時間越長，染毒檔案越多。到了一定時間，病毒開始發作（根據病毒作者定義的條件，有的是時間，比如cih，有的是感染規模等等）執行病毒作者定義的操作，比如無限複製，占用系統資源、刪除檔案、將自己向網路傳播甚至格式化磁碟等等。

但是，無論如何，病毒只不過是一段**，他不可能破壞硬體（歡迎和我討論），就算是cih也不是破壞硬體，他只是改寫了bios中的資料，實際上還是軟破壞。什麼叫破壞硬體？就是病毒發作時，你的硬碟啪的一下裂成兩半，可能嗎？

所以，完全不必懼怕病毒，他不會讓我門受到太大的經濟損失，如果我們養成良好的工作習慣的話（比如自己的文件不要儲存在c盤等，後面我會細說） 3、引導型病毒的工作原理看了前面的病毒傳染過程，大家很容易想到，只要我啟動計算機後不執行染毒程式，直接刪除不就可以了。實際上，現在的病毒沒有那麼弱智的，下面我門來看看其他的幾種傳染機制，首先看看引導型病毒剛才說了，病毒必須進入記憶體才可以繼續感染，只有被執行他才可以進入記憶體，那麼與等使用者來執行，如果使用者長期不用這個染度檔案，豈不是等的花而也謝了。引導型病毒感染的不是檔案，而是磁碟引導區，他把自己寫入引導區，這樣，只要磁碟被讀寫，病毒就首先被讀取入記憶體。

這就是為什麼防毒要用乾淨的啟動盤啟動，為的就是防止引導型病毒。下面我詳細的談一下磁碟引導區，看不懂的可以跳過去。 4、引導型病毒是如何傳播的在計算機啟動時，必須讀取硬碟主引導區獲得分割槽資訊，再讀取c：

盤引導區獲取作業系統資訊，這時候任何防毒軟體都無法控制，這樣我先介紹一下計算機的啟動順序，大家只要記住一點就是：任何程式都要被讀入記憶體才會起作用。計算機加電後，記憶體是空的，首先從bios中讀取一些啟動引數到記憶體中，這些命令控制計算機去做下一步工作就是自檢。

（bios就是固化在rom中的基本輸入輸出系統的意思，rom是唯讀儲存器，因為計算機是乙個機電裝置，他不會自己幹什麼事情，必須由軟體，也就是人事先寫好的程式來控制他工作，而這些程式必須被讀入記憶體才可以控制計算機，哈哈越扯越遠了，不說了，在將就變成計算機基礎講座了，哈哈）接下來，計算機自檢，發現硬碟，讀取硬碟主引導程式到記憶體中，再讀取c盤的引導程式到記憶體中，再讀取作業系統檔案到記憶體中，然後開始由作業系統檔案控制計算機開始啟動。啟動完畢後，讀入各種自動執行的檔案，比如天網放火牆、qq、病毒監測軟體、等等，前面說過，誰先進入記憶體，誰先佔據系統控制權，從上面的啟動順序可以發現，如果病毒在引導區，那麼，他被讀入記憶體的時候，防毒軟體還不知道在那裡呢。舉個離子：

比如我拿了一張染有引導型病毒的軟盤用，當我雙擊a盤圖示後，計算機開始讀軟盤，首先讀入軟盤引導區，病毒隨之進入記憶體，並立即把自己寫入硬碟引導區（如果開了病毒檢測，則時可以檢測到並殺之）。如果沒有裝防毒軟體，檢測布道，則下次開機時，計算機自檢之後，讀硬碟引導區時就會同時讀入病毒，接下來，病毒獲得系統控制權，改寫作業系統檔案，隱藏自己，然後計算機繼續啟動進入win200桌面，然後病毒檢測才開始執行，病毒完全可能已經把自己偽裝起來，讓防毒軟體找不到。所以這中病毒一定要用啟動盤啟動後，再殺，就是為了跳過讀硬碟引導區那一段。

在後面我會纖細介紹。 5、病毒如何自動把自身裝入記憶體。剛才介紹了現在的病毒不會等待使用者去執行染毒檔案才進駐記憶體，他們都有自己的辦法執行自己，進駐記憶體，但是有乙個共同的特徵就是，他必須把自己放在合適的位置，讓系統在啟動的某個階段自動去呼叫他。

因為計算機剛剛加電的時候，系統控制權是在bios手裡的（因為他最早裝入記憶體），而bios是儲存在唯讀的rom中的，所以這時，系統是無毒的，所以引導型病毒要做的就是在bios向作業系統交權之前也就是讀取啟動盤時擷取之。那麼程式型病毒怎麼把自身裝如記憶體呢？他沒有擷取控制權的這個能力，bios會順利的把控制權交給作業系統，這時，使用者看到的就是開始啟動win200，由於作業系統在啟動時會讀取大量的動態聯結庫檔案，病毒就可以把自己放在乙個合適的位置上，然後告訴win2000啟動時把自己讀如記憶體，這一步很好實現，比如大家都知道，qq啟動時會被自動執行，實際上，程式型病毒自動執行自己的辦法和qq從本質上是相同的。

就是讓系統在啟動的某個階段自動去呼叫而已。下面先介紹蠕蟲病毒，用他攜帶的木馬程式的自動執行方式來介紹一下這個過程。四、關於蠕蟲病毒我們學校網路中最多的就是蠕蟲病毒，所以我要單獨的說一下。

蠕蟲病毒是在internet高速發展後出現的病毒，他具有了一些新特性。大部分的蠕蟲病毒是程式型的，不會感染引導區，他們一般通過郵件傳播（注意，不是唯一的傳播方式，所有傳統的傳播方式都會傳播之,並且許多蠕蟲病毒會自己搜尋網路上沒有感染的機器並感染之，他實際上是乙個寫的很好的乙太網傳輸狀態的檢測工具^_^），並且大多攜帶木馬程式，具有根據微軟服務軟體的漏洞來入侵計算機的攻擊能力，大部分蠕蟲病毒並不破壞計算機裡的資訊，只是瘋狂的去感染其他的計算機。感染了蠕蟲病毒的計算機會不停的向外傳送資訊包，占用cpu可在80%以上，造成本機執行極其緩慢，網路擁塞，甚至可以導致網路癱瘓。

一般蠕蟲病毒會攜帶木馬程式，安裝在系統目錄中，那麼他是怎麼自動執行的那，等一會我通過乙個例子來介紹。五、什麼是木馬在我校很多機器中都有木馬軟體。木馬就是遠端控制軟體的一種，也稱為後門軟體，其作用就是利用作業系統的漏洞或者使用者的疏忽來進入系統並在遠端控制下從系統內部攻擊系統。

因特洛伊木馬病毒是一種比較早期的成功的此種軟體，且有古代戰爭典故，想必大家都知道。所以，後來多稱此種帶有攻擊性質的遠端控制軟體為木馬而其他的一些不帶攻擊性質的遠端控制軟體其實原理都是一樣的，比如，塞門鐵客（英文不會寫）的大名鼎鼎的pcanywhere就是乙個很成功的遠端控制軟體木馬可以被防毒軟體查殺，所以，這裡也把他作為病毒來處理。六、防毒軟體為什麼能防毒 1、為什麼防毒軟體必須不停的公升級病毒就是一段**，用一些語言寫出來，比如彙編等。

沒種病毒都會有一些特徵，叫做病毒特徵碼，實際上就是病毒**中的一段讀一無二的字元。舉個容易理解的例子（實際上不是這樣）：比如有個病毒發作後會格式化c：

盤，那麼病毒**中就會有這麼一句命令：format c：／u （實際上病毒不會去用dos命令的，那太高階了，他會直接呼叫13號中斷寫硬碟，所以這裡只是乙個例子），那麼就可以用format c：

／u這樣乙個字串作為這個病毒的特徵**，防毒時，把所有的檔案開啟，從頭到尾的搜尋，如果找到著段**，就報告發現病毒，然後清除之。從我描述的這個過程大家就可以明白，為什麼防毒軟體必須不停的公升級，因為，只有一種病毒被發現後，他的特徵**才能被找到，才能被防毒軟體識別。 2、乙個病毒從製作、傳播到被殺死過程的例子：

某個軟體天才某天心情好，寫了乙個病毒，然後開始通過網路傳播，然後大批的機器被感染，然後使用者向防毒軟體公司抱怨有病毒殺不了，（其實大部分是防毒軟體公司的工作人員更早發現該病毒），然後，軟體公司得到病毒樣本，開始分析樣本，找到病毒特徵碼，然後更新其病毒庫，令其在防毒時也查詢這種病毒碼，然後通知使用者，請他們公升級其購買的軟體。然後使用者公升級，再防毒，結果，該病毒被殺死，同時新的病毒被發現，周而復始。所以，防毒軟體永遠跟在病毒的後面這是毫無疑問的。

從我的敘述中大家可以發現，實際上，如果一種病毒被發現，幾乎所有的公司都會得到他的樣本並分析出他的特徵碼，然後另其自己的防毒軟體可以殺死該毒，那麼，各種防毒軟體的優劣從何而來呢？ 3、什麼防毒軟體好？其實，大家都有一樣的病毒庫，但是，在我剛才描述的查毒過程中，大家不知道有沒有注意到，實際上他是等於在磁碟的所有檔案中尋找某段特徵**，如果你的硬碟有20g的資料，他就要把這20g的資料過濾一遍，逐個字元來對比，其速度我不說你們也能想到。

更要命的是一般的病毒庫都裝了幾萬中病毒**，哈哈，這麼查上幾萬遍，查下來，估計你也從我們學校畢業了。所以實際上各個公司都有自己的防毒引擎，實際上這才是核心技術，他使用的獨特的演算法高速檢查，但就算這樣，查一遍下來至少也要幾個小時。所以，為了提高防毒效率，可以令防毒程式只檢查一些可能被感染的檔案，比如。

exe 。dll等，象。bmp 。

mpg就不會被檢查，這樣，時間就縮短了很多，然後，他們可以只檢查每個。exe檔案的檔案頭，從這裡可以發現病毒修改的蛛絲馬跡。然後，他們開始把一些不常見的病毒排除出病毒庫之外，只檢查一些常見的病毒，就是所謂的快速防毒。

這是為什麼不同軟體查出不同病毒的原因之一，再下來，也是最關鍵的一點，就是防毒軟體根據病毒**判斷病毒是完全有可能發生誤判，錯判的，提高判斷的準確性必須以犧牲查毒時間為代價。所以，不同公司的防毒引擎提供不同的判斷方法，導致了可能有的軟體查不出來的毒別的軟體可以查出。所以，所有的防毒軟體都包括兩個主要的部分，一是防毒引擎，另乙個是病毒資料庫。

病毒資料庫必須不停的更新，就我校的情況我個人推薦半個月更新一次。我認為，各種防毒軟體其實功能相差不多，主要是看哪個可以迅速更新，再好的防毒軟體不跟新等於沒有。

誰能給我簡述一下計算機病毒的工作原理

誰能給我介紹一下速達saas啊，誰能給我介紹一下速達Saas啊？？

誰能給我介紹一下蚌埠這個城市，誰能給我介紹一下？

誰能給我解釋一下算不准原理，誰能給我解釋一下克萊因瓶的原理？請詳細些。

誰能給我介紹一下印度的近代史，誰能給我法國近代史的簡介

誰能給我解釋一下相對論，誰能給我解釋一下相對論性都卜勒效應以及它的公式？

其他用戶還看了：