病毒：指编制或在计算机程序中插入的破坏计算机功能或破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。

木马：是一种后门程序，被黑客用作控制远程计算机的工具。木马与病毒不同的是，木马不会自我繁殖，并不会刻意地感染其他文件，它的作用就是为黑客打开远程计算机的门户，从而可以让黑客来远程控制计算机，使黑客获取有用的信息。

病毒是自动破坏目标计算机，而木马需要人为的去操控破坏计算机。

非驻留型病毒：在得到机会时才会激活，从而去感染计算机。

无危险型病毒：减少磁盘的可用空间、减少内存、显示图像发出声音等，但不影响系统。

危险型：造成严重的错误，删除程序、破坏数据、清除系统中重要的信息等。

前缀为：Win32、PE、Win95、W32、W95等。此类病毒一般是感染Windows操作系统的.exe和.dll文件，并通过这些文件传播。

前缀为：Worm。此类病毒通过网络或系统漏铜传播，所属蠕虫病毒都具有向外发送带毒邮件、阻塞网络的特性，如冲击波(阻塞网络)、小邮差(发带毒邮件)等。

前缀为：Script。此类病毒使用脚本语言编写，通过网页传播。有的脚本病毒还会有如下前缀：VBS、JS(表明是哪种脚本编写的)。

前缀为：Macro。第二前缀是：Word、Excel其中之一，宏病毒是针对Office系列的。

前缀为：Backdoor。此类病毒通过网络传播，给系统开后门，给用户的计算机带来安全隐患。

前缀为：Dropper。此类病毒是运行时从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

前缀为：Harm。此类病毒本身具有好看的图标来诱惑用户点击，当用户点击时，病毒会对计算机产生破坏。

前缀为：Joke，称为恶作剧病毒。此类病毒也是本身具有好看的图标诱惑用户点击，当用户点击时，病毒会做出各种破坏操作来吓唬用户，但其实病毒并没有对计算机产生破坏。

前缀为：Binder。此类病毒会使用特定的捆绑程序将病毒与一些应用程序如QQ、浏览器等捆绑起来，表面上看是正常的文件。当用户运行这些被捆绑的应用程序时，会隐藏的运行捆绑在一起的病毒，从而给用户造成危害。

计算机病毒大全

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？

其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的***病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b　就是指振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。

3、***病毒、***病毒

***病毒其前缀是：Trojan，***病毒前缀名一般为 Hack 。***病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而***病毒则有一个可视的界面，能对用户的电脑进行远程控制。***、***病毒往往是成对出现的，即***病毒负责侵入用户的电脑，而***病毒则会通过该***病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的***如QQ消息尾巴*** Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的***病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些***程序如：网络枭雄(Hack.Nether.Client）等。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦

^_^。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

9．玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。
以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS***；
Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；
HackTool：***工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。

转载于:https://blog.51cto.com/zhangcheneli/168208

计算机病毒

计算机病毒是指编制或者在计算机程序中插入的, 破坏计算机功能或数据、影响计算机使用, 并能自我复制的一组计算机指令或者程序代码。

电脑病毒的隐蔽性使得人们不容易发现它，例如有的病毒要等到某个月13日且是星期五才发作，平时的日子不发作。一台电脑或者一张软盘被感染上病毒一般是无法事先知道的，病毒程序是一个没有文件名的程序。

从被感染上电脑病毒到电脑病毒开始运行，一般是需要经过一段时间的。当满足病毒发作的指定环境条件时，病毒程序才开始发作。

电脑病毒程序的一个主要特点是能够将自身的程序复制给其他程序（文件型病毒），或者放入指定的位置，如引导扇区（引导型病毒）。

每个电脑病毒都具有特洛伊木马的特点，用欺骗手段寄生在其他文件上，一旦该文件被加载，就会让病毒发作并破坏电脑的软、硬件资源，迫使电脑无法正常工作。

病毒的危害性是显然的，几乎没有一个无害的病毒。它的危害性不仅体现在破坏系统，删除或者修改数据方面，而且还要占用系统资源，干扰机器的正常运行等。

隐藏在磁盘内，在系统文件启动以前电脑病毒已驻留在内存内。这样一来，电脑病毒就可完全控制DOS中断功能，以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播。

又称寄生病毒，通常感染执行文件(.EXE)，但是也有些会感染其它可执行文件，如DLL,SCR等。每次执行受感染的文件时，电脑病毒便会发作（电脑病毒会将自己复制到其他可执行文件，并且继续执行原有的程序，以免被用户所察觉）。

典型例子：CIH会感染Windows95/98的.EXE文件，并在每月的26号发作日进行严重破坏。于每月的26号当日，此电脑病毒会试图把一些随机资料覆写在系统的硬盘，令该硬盘无法读取原有资料。此外，这病毒又会试图破坏Flash BIOS内的资料。

宏病毒专门针对特定的应用软件，可感染依附于某些应用软件内的宏指令，它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如Microsoft Word和Excel。

与其他电脑病毒类型的区别是宏病毒是攻击数据文件而不是程序文件。

是一个看似正当的程序，但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。

特洛伊木马与电脑病毒的重大区别是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。

一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。

根据使用者情况将蠕虫病毒分为两类：一种是面向企业用户和局域网而言；这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。

蠕虫病毒的传染目标是互联网内的所有计算机，局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等。

它跟电脑病毒有些不同，电脑病毒通常会专注感染其它程序，但蠕虫是专注于利用网络去扩散。

病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。

该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。

这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。

外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。

这种病毒用它自已的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。

这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

按照计算机病毒激活时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。

网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。混合型病毒集引导型和文件型病毒特性于一体。

引导型病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区（BOOT SECTOR）的内容，软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。

文件型病毒主要以感染文件扩展名为.com、.exe和.ovl等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引入内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。大多数的文件型病毒都会把它们自己的代码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长，但用户不一定能用DIR命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码，因此感染病毒后文件的长度仍然维持不变。

混合型病毒综合系统型和文件型病毒的特性，它的“性情”也就比系统型和文件型病毒更为“凶残”。这种病毒透过这两种方式来感染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机或执行程序而感染其他的磁盘或文件，此种病毒也是最难杀灭的。

Trojan–特洛伊木马，有这个前缀的就是木马了，在此类病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能。比如 Trojuan.qqpass.a。

Win32 PE Win95 W32 W95–系统病毒，特性是可以感染windows操作系统的 *.exe 和 *.dll 文件。

Worm–蠕虫病毒，通过网络或者系统漏洞进行传播。比较著名的有冲击波。

Script–脚本病毒一般来说，脚本病毒还会有如下前缀：VBS JS（表明是何种脚本编写的）比如欢乐时光。

Backdoor–后门病毒，特性是通过网络传播，给系统开后门，最著名的就是灰鸽子为代表。

Dropper–种植程序病毒，特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，代表就是落雪了。

Downloader–木马下载者，以体积小的下载者下载体积大的木马，方便隐藏。

AdWare–广告病毒，监视你在上网时的一举一动，然后把信息反馈到用它的公司。

ARP中毒：arp协议是TCP/IP协议组的一个协议，能够把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。

DNS中毒：DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

Rootkit：是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

病毒引导模块的主要作用是将静态病毒激活，使之成为动态病毒（加载）。

病毒程序的加载分为两个步骤：一是系统加载过程；二是病毒附加的加载过程。病毒程序选择的加载点、目标多是计算机的固有弱点或软件系统的输入节点。

病毒程序的加载受到操作系统的制约。DOS系统下，病毒程序的加载有3种方式：①参与系统启动过程②依附正常文件加载③直接运行病毒程序

一般Windows环境下的病毒有3种方法驻留内存：一是将病毒作为一个Windows环境下的应用程序，拥有自己的窗口（隐藏的）和消息处理函数；二是使用DPMI申请一块系统内存，将病毒代码放入其中；三是将病毒作为一个VXD（WIN 9X下的设备驱动程序）或VDD（WIN 2000/NT下的设备驱动程序）加载到内存中运行。

感染模块主要完成病毒的动态感染，是各种病毒必不可少的模块。病毒在取得对系统的控制权后，先执行它的感染操作中的条件判断模块，判断感染条件是否满足，如果满足感染条件，进行感染，将病毒代码放入宿主程序；然后再执行其他的操作（如执行病毒的表现（破坏）模块），最后再执行系统正确的处理，这是病毒感染经常采取的手段之一。

感染标记又称病毒签名，表明了某种病毒的存在特性，往往是病毒的一个重要的感染条件。感染标记是一些具有唯一不变性的数字或字符串，它们以ASCII码方式存放在程序里的特定位置。感染标记可以存在于病毒程序的任何一点，也有可能是组合在程序中的代码。感染标记是由病毒制造者有意设置的，但也可以不设置标记。不同病毒的感染标记位置不同、内容不同。病毒程序感染宿主程序时，要把感染标记写入宿主程序，作为该程序已被感染的标记。

病毒在感染健康程序以前，先要对感染对象进行搜索，查看它是否带有感染标记。如果有，说明它已被感染过，就不会再被感染；如果没有，病毒就会感染该程序。

一种是寄生在磁盘（主）引导扇区（利用转储或直接存取扇区的方法，此方法还可将病毒驻入磁盘的文件分配表、文件目录区和数据存储区等，常利用INT 13H中断）；

另一种是寄生在可执行文件（如.EXE，.COM, .BAT, .SYS, .OVL, .DLL, .VXD文件等）中。

而近来常被感染的一些数据文件（主要是微软的办公软件系统，Word文档、数据表格、数据库、演示文档等等）其实也是可以看作一种特殊的可执行文件（宏）。

文件型病毒常利用INT 21H中断来感染可执行文件，病毒的感染通常采用替代法、链接法和独立存在法

病毒在不同的载体上感染的机制不同。网络上或系统上的感染是利用网络间或系统间的通信或数据共享机制实现的。存储介质（软盘、硬盘或磁带等）或文件间的感染一般利用内存作为中间媒介，病毒先由带毒介质或文件进入内存，再由内存侵入无毒介质或文件。

病毒从内存侵入无毒介质，经常利用操作系统的读写磁盘中断向量入口地址或修改加载机制（例如INT l3H或INT 21H），使该中断向量指向病毒程序感染模块。内存中的病毒时刻监视着操作系统的每一个操作，这样，一旦系统执行磁盘读写操作或系统功能调用，病毒感染模块就会被激活，感染模块在判断感染条件满足的条件下，把病毒自身感染给被读写的磁盘或被加载的程序，实施病毒的感染，病毒被按照病毒的磁盘储存结构存放在磁盘上，然后再转移到原中断服务程序执行原有的操作。另外还有被动感染。

它的发作部分应具备两个特征：程序要有一定的隐蔽性及潜伏性，病毒发作的条件性和多样性。

计算机病毒的破坏和表现模块一般分为两个部分：一个是破坏模块的触发条件的判断部分；一个是破坏功能的实施部分。

和病毒的感染模块一样，破坏模块可能在病毒程序第一次加载时就运行，也可能在第一次加载时只将引导模块引入内存，以后再通过某些中断机制触发才运行。破坏机制在设计原则上也与感染机制基本相同。

（1）引导程序（BOOT）。它驻留在系统盘的0面0道1扇区，在启动计算机时，它首先被自动读入内存，然后由它负责把DOS的其他程序调入内存。

（2）BOM中的ROMBIOS。它提供对计算机输入／输出设备进行管理的程序，被固化在主机板上的ROM中，是计算机硬件与软件的最低层的接口。

（3）输入输出管理IO.SYS模块。其功能是初始化操作系统，并提供DOS系统与ROM BIOS之间的接口。

（４）核心MSDOS.SYS模块。它主要提供设备管理、内存管理、磁盘文件及目录管理的功能，这些功能可以通过所谓的系统功能调用INT 21H来使用，它是用户程序与计算机硬件之间的高层软件接口。

（５）命令处理COMMAND.COM模块。它是DOS调入内存的最后一个模块，它的任务是负责接收和解释用户输入的命令，可以执行DOS的所有内、外部命令和批命令。它主要由3部分组成：常驻部分、初始化部分和暂驻部分。

（1）在系统复位或加电时，计算机程序的指令指针自动从内存地址0FFFF：0000H外开始执行，该处含有一条无条件转移指令，使控制转移到系统的ROM板上，执行ROM BIOS中的系统自检和最初的初始化工作程序，以及建立INT 1FH以前的中断向量表。如果自检正常，则把系统盘上存于0面0道1扇区的系统引导记录读入内存地址0000:7000H，并把控制权交给引导程序中的第一条指令。

（2）引导记录用于检查系统所规定的两个文件IO.SYS和MSDOS.SYS是否按规定的位置存于启动盘中，如符合要求就把它们读入内存地址0060:0000H，否则启动盘被认为不合法，启动失败。

（3）IO.SYS与MSDOS.SYS被装入内存以后，引导记录的使命即完成，控制权交给IO.SYS，该程序完成初始化系统、定位MSDOS.SYS以及装入COMMAND.COM等工作。

①建立新的磁盘基数表并修改INT lEH向量地址指向该磁盘基数表。

⑤将系统初始化程序移到内存高端并将MSDOS.SYS程序下移占据其位置。

⑥控制权交给MSDOS.SYS。MSDOS.SYS是DOS的核心部分，它在接受控制以后，也进行一系列的初始化工作，这些工作包括：初始化DOS内部表和工作区、初始化DOS的中断向量20H～2EH、建立磁盘输入／输出参数表以及设置磁盘缓冲区和文件控制块等。完成这些工作以后，继续执行IO.SYS的系统初始化程序。

⑦初始化程序检查系统盘上的系统配置程序CONFIG.SYS，如果存在，则执行该程序，按配置命令建立DOS的运行环境：设置磁盘缓冲区大小、能同时打开的句柄文件个数、加载可安装的设备驱动程序等。

⑧将命令处理程序COMMAND.COM程序装入内存，并把控制权交给该程序。至此IO.SYS文件的使命即告完成。

（4）命令处理程序在接受控制以后，重新设置中断向量22H、23H、24H和27H入口地址，然后检查系统盘上是否存在AUTOEXEC.BAT文件。若系统盘上不存在该文件，则显示日期和时间等待用户输入，显示DOS提示符。若存在该文件，则程序转入暂驻区，由批处理程序对其进行解释和执行，执行完成后显示DOS提示符。至此，DOS的整个启动过程全部结束，系统处于命令接受状态。

DOS启动后，内存的组织即分配如图2.6所示，该图仅说明了DOS在基本内存（640KB）运行时的内存分配状态。在计算机通常的工作方式（实方式）下，总体上来说，DOS可以管理的内存空间为1 MB。此l MByte空间可分为两大部分，一部分是RAM区，另一部分则是ROM区。而RAM区又分为系统程序、数据区和用户程序区两部分。由于DOS的版本不同，DOS系统文件的长度就不同，从而驻留在内存中的系统程序占用的内存空间也就不同，这样用户程序区的段地址就是一个不确定的值。

从内存绝对地址0040:0000H～0040:00FFH开始存放一些重要的数据，这些数据是由ROM BIOS程序在引导过程中装入的，记录了有关系统的设备配置和存储单元的系统参数，它们是提供给ROM BIOS例行程序在进行设备操作时必备的重要数据。其中地址为40:13～40:14的两个字节存放了以lKB为单位的内存总容量（含存储扩展板容量），例如640 KB RAM为280H。有些病毒程序通过调入内皴高端并修改40:13～40:14内存而驻留内存；地址为40:6C～40:6F的4个字节为时钟数据区；前两个字节（40:6C～40:6D）为0～65535之间的一个数，由8253定时器每55 ms调1NT 8H使数值加1；后两个字节（40:6E～40:6F）为小时数，当计数值满65 535时（恰好1小时），小时数加1。病毒常通过调用这一时钟数据来检测激活的时机是否成熟。

原文链接：https://blog.csdn.net/weixin_37123068/java/article/details/88239202

计算机病毒结构及技术分析

计算机病毒是一种特殊的程序或代码段，它寄生在一个合法的程序或环境中，并以某种方式潜伏下来，伺机进行感染和破坏。

计算机系统的软硬件环境决定了计算机病毒的结构，而这种结构是能够充分利用系统资源进行活动的最合理体现。

根据是否被加载到内存，计算机病毒又分为静态和动态。处于静态的病毒存于存储介质中，一般不能执行感染和破环模块，其传播只能借助第三方活动（例如：复制、下载和邮件传输等）实现。当病毒经过引导功能开始进入内存后，便处于活动状态（动态），满足一定触发条件后就开始进行传染和破坏，从而构成对计算机系统和资源的威胁。

启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术

执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术

计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。

大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。

可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。

例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。

用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。

以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。

系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染

立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。

驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。

首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒；

当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中；

完成传染后，继续监视系统的运行，试图寻找新的攻击目标。

系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。

为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。

由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数；

另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中；

第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NT／Win2000下的设备驱动程序WDM加载到内存中运行。

病毒随着宿主程序而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。

全球十大计算机病毒排行榜

https://www.sohu.com/a/316155704_628716

定义：什么是计算机病毒？其实计算机病毒就是一个程序，一段可执行码，对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。它有独特的复制能力，可以很快地蔓延，又常常难以根除。小编现在用的运动耳机，是在神州省钱的公种号上领抵用券，然后去天猫六块钱包邮买的。原价四十多块钱的运动耳机，领券后竟然只要六元包邮了。还买到了一块钱数据线、一块钱钢化膜、六块钱电竞鼠标等。质量都不错，推荐经常逛淘宝天猫的朋友关注一下神州省钱。可以省下不少钱。

从第一例计算机病毒至今，这一串串的代码带给了人们无数次的崩溃，其破坏力也得到了逐年的认识和增长。

当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。

最初“计算机病毒”这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书，而世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒，编写该病毒的是一对巴基斯坦兄弟，两兄弟经营着一家电脑公司，以出售自己编制的电脑软件为生。

遥远的病毒早已经成为了计算机史上的历史，国人对于计算机病毒印象最深的，恐怕还是从1998年开始爆发的“CIH”病毒，它被认为是有史以来第一种在全球范围内造成巨大破坏的计算机病毒，导致无数台计算机的数据遭到破坏。在全球范围内造成了2000万至8000万美元的损失。

NO.1 “CIH病毒” 爆发年限:1998年6月

CIH病毒（1998年）是一位名叫陈盈豪的台湾大学生所编写的，从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本。

损失估计：全球约5亿美元

NO.2 “梅利莎(Melissa)” 爆发年限:1999年3月

梅利莎（1999年）是通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话：“这就是你请求的文档，不要给别人看”，此外夹带一个Word文档附件。而单击这个文件，就会使病毒感染主机并且重复自我复制。

1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。估计数字显示，这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft，下称微软)、以及其他许多使用Outlook软件的公司措手不及，防止损害，他们被迫关闭整个电子邮件系统。

损失估计：全球约3亿—6亿美元

NO.3 “爱虫(Iloveyou)” 爆发年限:2000年

爱虫（2000年）是通过Outlook电子邮件系统传播，邮件主题为“I Love You”，包含附件“Love-Letter-for-you.txt.vbs”。打开病毒附件后，该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本，阻塞邮件服务器，同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。

新“爱虫”（Vbs.Newlove）病毒同爱虫(Vbs.loveletter)病毒一样，通过outlook传播，打开病毒邮件附件您会观察到计算机的硬盘灯狂闪，系统速度显著变慢，计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下w.exe建立关联，进一步消耗系统资源，造成系统崩溃。

损失估计：全球超过100亿美元

NO.4 “红色代码(CodeRed)”　爆发年限:2001年7月

红色代码（2001年）是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。

被它感染后，遭受攻击的主机所控制的网络站点上会显示这样的信息：“你好！欢迎光临www.worm.com！”。随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天，之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。不到一周感染了近40万台服务器，100万台计算机受到感染。

损失估计：全球约26亿美元

NO.5 “冲击波(Blaster)” 爆发年限:2003年夏季

冲击波（2003年）于2003年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后利用DCOM RPC缓冲区漏洞攻击该系统，一旦成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。

另外该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

损失估计：数百亿美元

NO.6 “巨无霸（Sobig)” 爆发年限:2003年8月

巨无霸（2003年）是通过局域网传播，查找局域网上的所有计算机，并试图将自身写入网上各计算机的启动目录中以进行自启动。该病毒一旦运行，在计算机联网的状态下，就会自动每隔两小时到某一指定网址下载病毒，同时它会查找电脑硬盘上所有邮件地址，向这些地址发送标题如："Re: Movies"、"Re: Sample"等字样的病毒邮件进行邮件传播，该病毒还会每隔两小时到指定网址下载病毒，并将用户的隐私发到指定的邮箱。

由于邮件内容的一部分是来自于被感染电脑中的资料，因此有可能泄漏用户的机密文件，特别是对利用局域网办公的企事业单位，最好使用网络版杀毒软件以防止重要资料被窃取！

损失估计：50亿—100亿美元

NO.7 “MyDoom” 爆发年限:2004年1月

MyDoom（2004年）是一例比“巨无霸病毒”更厉害的病毒体，在2004年1月26日爆发，在高峰时期，导致网络加载时间减慢50%以上。它会自动生成病毒文件，修改注册表，通过电子邮件进行传播，并且它还会尝试从多个URL下载并执行一个后门程序，如下载成功会将其保存在Windows文件夹中，名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机。

病毒使用自身的SMTP引擎向外发送带毒电子邮件，进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址，病毒还会按照一些制定的规则自己声称邮件地址，并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。

损失估计：百亿美元

NO.8 “震荡波(Sasser)” 爆发年限:2004年4月

震荡波（2004年）于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失，也让所有人记住了04年的4月，该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播，我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句。

震荡波感染的系统包括Windows 2000、Windows Server 2003和Windows XP，病毒运行后会巧妙的将自身复制为%WinDir%napatch.exe，随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口9996。

损失估计：5亿—10亿美元

NO.9 “熊猫烧香(Nimaya)”　爆发年限:2006年

熊猫烧香（2006年）准确的说是在06年年底开始大规模爆发，以Worm.WhBoy.h为例，由Delphi工具编写，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，导致用户一打开这些网页文件，IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播，并且利用Windows系统的自动播放功能来运行。

“熊猫烧香”还可以修改注册表启动项，被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

损失估计：上亿美元

NO.10 “网游大盗” 爆发年限:2007年

网游大盗（2007年）是一例专门盗取网络游戏帐号和密码的病毒，其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的“网游大盗”变种jws是“网游大盗”木马家族最新变种之一，采用VisualC++编写，并经过加壳处理。“网游大盗”变种jws运行后，会将自我复制到Windows目录下，自我注册为“Windows_Down”系统服务，实现开机自启。

该病毒会盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失。在07年轰动一时，网游玩家提心吊胆。

损失估计：千万美元

总体来说，单种病毒带来的损失正在日渐减弱，但是病毒传播的规模和途径却在不断增加。

计算机病毒的分类

计算机病毒大全

计算机病毒

计算机病毒结构及技术分析

全球十大计算机病毒排行榜

NO.1 “CIH病毒” 爆发年限:1998年6月

NO.2 “梅利莎(Melissa)” 爆发年限:1999年3月

NO.3 “爱虫(Iloveyou)” 爆发年限:2000年

NO.4 “红色代码(CodeRed)”　爆发年限:2001年7月

NO.5 “冲击波(Blaster)” 爆发年限:2003年夏季

NO.6 “巨无霸（Sobig)” 爆发年限:2003年8月

NO.7 “MyDoom” 爆发年限:2004年1月

NO.8 “震荡波(Sasser)” 爆发年限:2004年4月

NO.9 “熊猫烧香(Nimaya)”　爆发年限:2006年

NO.10 “网游大盗” 爆发年限:2007年

图片预览

计算机病毒的分类

计算机病毒大全

计算机病毒

计算机病毒结构及技术分析

全球十大计算机病毒排行榜

NO.1 “CIH病毒” 爆发年限:1998年6月

NO.2 “梅利莎(Melissa)” 爆发年限:1999年3月

NO.3 “爱虫(Iloveyou)” 爆发年限:2000年

NO.4 “红色代码(CodeRed)” 爆发年限:2001年7月

NO.5 “冲击波(Blaster)” 爆发年限:2003年夏季

NO.6 “巨无霸（Sobig)” 爆发年限:2003年8月

NO.7 “MyDoom” 爆发年限:2004年1月

NO.8 “震荡波(Sasser)” 爆发年限:2004年4月

NO.9 “熊猫烧香(Nimaya)” 爆发年限:2006年

NO.10 “网游大盗” 爆发年限:2007年

图片预览

NO.4 “红色代码(CodeRed)”　爆发年限:2001年7月

NO.9 “熊猫烧香(Nimaya)”　爆发年限:2006年