計算機病毒的一般構成

1.安裝模塊

病毒程序必須通過自身的程序實現自啟動并安裝到計算機系統中去。安裝模塊的功能主要包括：初始化，隱蔽和捕捉

2.傳染模塊

2.1傳染控制部分

病毒一般都有一個控制條件，滿足這個條件就可以開始感染。

2.2傳染判斷部分

每個病毒程序都有一個標記，在傳染時判斷標記，若已經感染，則不再感染

2.3傳染操作部分

在滿足傳染條件后進行的傳染操作

3.破壞模塊

一般包含兩個部分：激發控制和破壞操作

計算機病毒制作技術

1.采用自加密技術

主要就是防止計算機病毒程序被掃描出來
計算機病毒的加密技術增加了分析破譯計算機病毒代碼和清除病毒的難度

2.采用特殊的隱形技術

主要有以下幾種表現形式
（1）這種計算機病毒進入內存后不用專門的軟件或者手段去檢查，幾乎察覺不到病毒駐留內存引起的內存可用容量減小
（2)計算機病毒感染文件后，不會引起文件日期，時間和文件長度發生變化
（3）計算機病毒在內存中時，若查看計算機病毒感染的文件，根本看不到計算機病毒的程序代碼，只能看到原文件的正常程序代碼
（4）計算機病毒在內存中時，若查看被感染的引導扇區，只能看到正常的引導扇區
（5）計算機病毒在內存中時，計算機病毒防范程序和其他工具程序檢查不出中斷向量已經被計算機病毒所接管，但實際上計算機病毒代碼已鏈接到系統的中斷服務程序中了。

3.對抗計算機病毒防范系統

計算機病毒采用對抗計算機病毒防范系統技術時，當發現磁盤中某些著名的殺毒軟件或在文件中查到出版這些軟件的公司名，就會刪除這些殺毒軟件或文件，造成殺毒軟件失效，甚至引起系統崩潰。

4.反跟蹤技術

跟蹤技術是利用Debug、SoftICE等專用程序調試軟件對病毒代碼執行過程進行跟蹤，以達到分析病毒和殺毒的目的。計算機病毒采用反跟蹤技術的主要目的是要提高計算機病毒程序的防破譯和防偽能力。常規程序使用的反跟蹤技術在計算機病毒程序中都可以利用，如將堆棧指針指向中斷向量表中的INT0～INT3區域，以阻止用戶利用SoftICE等調試軟件對病毒代碼進行跟蹤。

病毒的檢測

在與病毒的對抗中，盡早發現病毒十分重要，早發現，早處置，可以減少損失。病毒檢測就是采用各種檢測方法將病毒識別出來。識別病毒包括對已知病毒的識別和對未知病毒的識別。目前，對病毒的檢測方法主要有特征代碼法、校驗和法、行為監測法和軟件模擬法等。

1.特征代碼法

特征代碼技術是根據病毒程序的特征，如感染標記、特征程序段內容、文件長度變化、文件校驗和變化等對病毒進行分類處理，而后在程序運行中凡有類似的特征點出現，則認定是病毒，是早期病毒檢測技術的主要方法，也是大多數反病毒軟件的靜態掃描方法。一般認為，特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。
特征代碼法的工作原理是對每種病毒樣本抽取特征代碼，根據該特征代碼進行病毒檢測。主要依據原則為：抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當的長度，一方面維持特征代碼的唯一性，也就是說一定要具有代表性，使用所選的特征代碼都能夠正確地檢查出它所代表的病毒。如果病毒特征代碼選擇得不準確，就會帶來誤報(發現的不是病毒)或漏報(真正病毒沒有發現)。另一方面不要有太大的時間和空間的開銷。一般是在保持唯一性的前提下，盡量使特征代碼長度短些，以減少時間和空間的開銷。用每一種病毒代碼中含有的特定字符或字符串對被檢測的對象進行掃描，如果在被檢測對象內部發現某種特定字符或字符串，則表明發現了該字符或字符串代表的病毒。前面介紹傳染機制時提到的感染標記就是一種識別病毒的特定字符。實現這種掃描的軟件稱為特征掃描器。根據特征代碼法的工作原理，特征掃描器由病毒特征代碼庫和掃描引擎兩部分組成。病毒特征代碼庫包含了經過特別選定的各種病毒的反映其特征的字符或字符串。掃描引擎利用病毒特征代碼庫對檢測對象進行匹配性掃描，一旦有匹配便發出報警。顯然，病毒特征代碼庫中的病毒特征代碼越多，掃描引擎能識別的病毒也就越多。
特征代碼法的優點是檢測速度快，誤報警率低，能夠準確地查出病毒并確定病毒的種類和名稱，為消除病毒提供確切的信息。缺點是不能檢測出未知病毒、變種病毒和隱蔽性病毒，需要定期更新病毒資料庫，具有滯后性，同時，搜集已知病毒的特征代碼費用開銷大。

2.校驗和法

校驗和法的工作原理是計算正常文件內容的校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件當前內容算出的校檢和與原來保存的校驗和是否一致，如果不一致便發出染毒報警。

3.行為監測法

行為監測法是常用的行為判定技術，其工作原理是利用病毒的特有行為特征進行檢測.一旦發現病毒行為則立即報警，經過對病毒多年的觀察和研究，人們發現病毒的一些行為是病毒共有的，而且比較特殊。在正常程序中，這些行為比較罕見，如一般引導型病毒都會占用1NT 13H；病毒常駐內存后，為防止操作系統將其覆蓋，必須修改系統內存總量；對COM、EXE文件必須執行寫入操作；染毒程度運行時，先運行病毒，后執行宿主程序，兩者切換等許多特征行為。行為監測法就是引入一些人工智能技術，通過分析檢查對象的邏輯結構，將其分為多個模塊，分別引入虛擬機中執行并監測，從而查出使用特定觸發條件的病毒。
行為監測法的優點在于不僅可以發現已知病毒，而且可以相當準確地預報未知的多數病毒。但也有其缺點，即可能虛假報警和不能識別病毒名稱，而且實現起來有一定難度。

4.軟件模擬法

變種病毒每次感染都變化其病毒代碼，對付這種病毒，特征代碼法失效，因為變種病毒代碼實施密碼化，而且每次所用的密鑰不同，把染毒的代碼相互比較也無法找出相同的可能作為特征的穩定代碼。雖然行為監測法可以檢測出變種病毒，但在檢測出病毒后，因為病毒的種類不知道，也無法做殺毒處理。
軟件模擬法是新的病毒檢測工具所使用的方法之一。該工具開始運行時，使用特征代碼法檢測病毒，如果發現有隱蔽性病毒或變種病毒的嫌疑時，啟動軟件模擬模塊。軟件模擬法模擬CPU的執行，在其設計的虛擬機下執行病毒的變體引擎解碼程序，安全地將變種病毒解開，監視病毒的運行，使其露出本來的面目，再加以掃描。待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。

￥總地來說，特征代碼法查殺已知病毒比較安全徹底，實施比較簡單，常用于靜態掃描模塊中；其他幾種方法適用于查殺未知病毒和變種病毒，但誤報率高，實施難度大，在常駐內存的動態監測模塊中發揮重要作用。

總結

以上是生活随笔為你收集整理的计算机病毒学习笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。