谁有关于 病毒和木马有什么危害的资料 要说的深入点的

电脑病毒是带有一段恶意指令的程序,一旦用户运行了被病毒感染的程序,它就会隐藏在系统中不断感染内存或硬盘上的程序,只要满足病毒设计者预定的条件,病毒就会发作,其后果轻则只是和用户开个玩笑,在屏幕上显示几行文字或;重则既破坏硬盘数据,又擦除主板BIOS芯片内容(例如CIH病毒,修复办法是重写BIOS),使机器不能继续使用

木马程序实际上也是众编写的程序,它能够控制和操纵远程电脑,一般由本地和远程两部分程序组成黑客通过E-mail或冒充可供下载的文件把程序暗中发送到远程机器上,如果该程序被远程机器主人不经意间运行,该用户机器中的启动文件或注册表就会被自动修改以后只要这台机器上了因特网,黑客就可以通过网络找到它,并在自己的电脑上对它进行远程控制,随意拷贝,修改,删除远程机器上的文件,甚至能自动关闭或重新启动这台机器

病毒的危害

计算机病毒会感染、传播，但这并不可怕，可怕的是病毒的破坏性。其主要危害有：

1、攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录，使磁盘上的信息丢失。

2、删除软盘、硬盘或网络上的可执行文件或数据文件，使文件丢失。

3、占用磁盘空间。

4、修改或破坏文件中的数据，使内容发生变化。

5、抢占系统资源，使内存减少。

6、占用CPU运行时间，使运行效率降低。

7、对整个磁盘或扇区进行格式化。

8、破坏计算机主板上BIOS内容，使计算机无法工作。

9、破坏屏幕正常显示，干扰用户的操作。

10、破坏键盘输入程序，使用户的正常输入出现错误。

11、攻击喇叭，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。

12干扰打印机，假报警、间断性打印、更换字符。

在计算机病毒出现的初期，说到计算机病毒的危害，往往注重于病毒对信息系统的直）接破坏作用，比如格式化硬盘、删除文件数据等，并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分，随着计算机应用的发展，人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。

计算机病毒的主要危害

计算机病毒的主要危害有：

1．病毒激发对计算机数据信息的直接破坏作用

大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。

磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning!! Don'tturn off power or remove diskette while Disk Killer is Prosessing！” （警告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。

2．占用磁盘空间和对信息的破坏

寄生在磁盘上的病毒总要非法占用一部分磁盘空间。

引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。

文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。

3．抢占系统资源

除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。

4．影响计算机运行速度

病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：

（1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视， 这相对于计算机的正常运行状态既多余又有害。

（2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行； 而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。

（3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且软盘正常的读写顺序被打乱，发出刺耳的噪声。

5．计算机病毒错误与不可预见的危害

计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。

错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。

计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误， 乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。 大量含有未知错误的病毒扩散传播，其后果是难以预料的。

6．计算机病毒的兼容性对系统运行的影响

兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。

7．计算机病毒给用户造成严重的心理压力

据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60％以上。经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅

怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。

木马往往是在你不注意的时候就进入到你的系统中兴风作浪，本文就介绍了一些他们经常藏身的地方。看完本文，那怕你不是高手你也能轻松的清除系统中的木马程序。

1、集成到程序中

其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexecbat和Configsys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Winini中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Winini中是木马感觉比较惬意的地方。大家不妨打开Winini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:windows ileexe load=c:windows ileexe

这时你就要小心了，这个fileexe很可能是木马哦。

4、伪装在普通文件中

这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成或文本----在程序中把图标改成Windows的默认图标, 再把文件名改为jpgexe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张就更完美了)。

5、内置到注册表中

上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY-USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

6、在Systemini中藏身

木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的Systemini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorerexe fileexe，如果确实有这样的内容，那你就不幸了，因为这里的fileexe就是木马服务端程序！另外，在Systemini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在Systemini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

7、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:windowsstart menuprogramsstartup，在注册表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。要注意经常检查启动组哦！

8、隐蔽在Winstartbat中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstartbat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Wincom并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexecbat的功能可以由Winstartbat代替完成，因此木马完全可以像在Autoexecbat中那样被加载运行，危险由此而来。

9、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

10、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。

上网新手千万不要下载安装下列软件！流氓软件是指具有一定的实用价值但具备电脑病毒和黑客软件的部分特征的软件；它处在合法软件和电脑病毒之间的灰色地带，同样极大地侵害着电脑用户的权益。广大网友一直深受其害，对之深恶痛绝。 不久前，北京网络行业协会发起了一次关于流氓软件网络调查，大量网友踊跃参加。7月11日，了10款流氓软件名单公布，具体名单如下:

对于以上流氓软件，它们的最大共同特征是强制安装，相信网友们的电脑现在或者曾经都有被强行至少安装过其中一种。除了共有的特，这几种流氓软件还各有特点，下面我们一起来看看它们到底怎样耍流氓的，提醒您平时多注意。

病毒历史

电脑病毒的起源(节录自牛顿杂志)

电脑病毒的历史:磁蕊大战

电脑病毒并非是最近才出现的新产物, 事实上, 早在一九四九年, 距离第一部商用电脑的出现仍有好几年时, 电脑的先驱者约翰范纽曼(John Von Neumann)在他所提出的一篇论文 [复杂自动装置的理论及组织的进行] , 即已把病毒程式的蓝图勾勒出来, 当时, 绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的, 可是少数几个科学家默默的研究范纽曼的所提出的概念, 直到十年之后, 在美国电话电报公司(AT&T) 的贝尔(Bell)实验室中, 这些概念在一种很奇怪的电子游戏中成形了, 这种电子游戏叫做 [磁蕊大战] (core war)。

磁蕊大战是当时贝尔实验室中三个年轻程式人员在工馀想出来的, 他们是道格拉斯麦耀莱(HDouglas McIlroy), 维特维索斯基(Victor Vysottsky)以及罗伯莫里斯(Robert T Morris), 当时三人年纪都只有二十多岁

附注: Robert T Morris 就是后来写了一个 Worm, 把 Internet 搞的天翻地覆的那个 Robert T Morris Jr 的爸爸, 当时大 Morris 刚好是负责 Arpanet网路安全

电脑病毒的老祖宗:

磁蕊大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都在电脑的记忆磁蕊中游走,因此得到了磁蕊大战之名

这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止

磁蕊大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫 [达尔文]这包含了 [物竞天择,适者生存] 的意思 它的游戏规则跟以上所描述的最接近,双方以组合语言(Assembly Language)各写一套程式,叫有机体(organism),这两个有机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负 在比赛时 Morris 经常匠心独具,击败对手

另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本此外,它也会从一部电脑[爬]到另一部有连线的电脑很快地电脑中原有资料便被这些爬行者挤掉了爬行者的微一生存目地是繁殖为了对付[爬行者],有人便写出了[收割者](Reaper)它的唯一生存目的便是找到爬行者,把它们毁灭掉当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失[侏儒](Dwarf)并没有达尔文等程式聪明却可是个极端危险人物它在记忆系统中迈进,每到第五个[地址](address)便把那里所储存的东西变为零,这会使的原本的程式停摆

最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是

MOV 01

MOV是[MOVE]的代表,即移动的意思 它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01]换句话说,萤光幕上留下一大堆[MOV 01][双子星](Germini)也是个有趣的家伙它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本]从双子星衍生出一系列的程式[牺牲者](Juggeraut)把自己复制后送到下十个地址之后;而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数想抓到大雪人可是非常困难的此外,还有全录(Xerox)柏路阿图研究中心的约翰索殊(John FShoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑

电脑病毒的出现

在那些日子里,电脑都没有连线,而是互相独立的,因此并不会出现小莫礼士所引起的病毒瘟疫如果有某部电脑受到[感染],失去控制,工作人员只需把它关掉便可但是当电脑连线逐渐成为社会结构的一部份之后,一个或自我复制的病毒程式便很可能带来穷的祸害了因此长久一来,懂的玩[磁蕊大战]游戏的电脑工作者都严守一项不成文的规定: 不对普罗大众公开这些战争程式的内容

一九八三年,这项规定被打破了科恩汤普逊(Ken Thompson)是当年一项杰出电脑讲得奖人在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程式他的同行全都吓坏了,然而这个秘密已经流传出去了一九八四年,情况愈复杂了这一年,[科学美国人]月刊(Scientific American)的专栏作家杜特尼(A K Dewdney)在五月号写了第一篇讨论[磁蕊大战]的文章,并且只要寄上两块美金,任何读者都可以收到它所写得有关写程式的纲领,在自己家中的电脑中开辟战场

[病毒]一词的正式出现

在一九八五年三月份的[科学美国人]里,杜特尼再次讨论[磁蕊大战]-----和病毒在文章的开头他便说:[当去年五月有关[磁蕊大战]的文章印出来时,我并没有想过我所谈论的是那么严重的题目]文中并第一次提到[病毒]这个名称他提到说,义大利的罗勃吐些鲁帝(Roberto Cerruti)和马高么鲁顾帝(Marco Morocutti)发明了一种破坏软体的方法他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染

些鲁弟写了一封信给杜特尼,信内说:[马高想写一个像[病毒]一样的程式,可以从一部苹果电脑传染到另一部苹果电脑,使其受到感染可是我们没法这样做,直到我想到,这病毒要先使磁碟受到感染,而电脑只是媒介这样,病毒就可以从一片磁碟传染到另一片磁碟了]

病毒历史事例：

1975 年，美国科普作家约翰·布鲁勒尔 (John Brunner) 写了一本名为《震荡波骑士》(Shock Wave Rider) 的书，该书第一次描写了在信息社会中，计 算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。

1977 年夏天，托马斯·捷·瑞安 (ThomasJRyan) 的科幻小说《P-1的春 天》(The Adolescence of P-1) 成为美国的畅销书，作者在这本书中描写了一 种可以在计算机中互相传染的病毒，病毒最后控制了 7，000 台计算机，造成了 一场灾难。

1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒 (computer viruses)，并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在 VAX11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5个实验的演示，从而在实验上验证了计算机病毒的存在。

1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即 Brain。在一年内流传到了世界各地。

1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。

1988 年 11 月 2 日，美国六千多台计算机被病毒感染，造成 Internet 不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点，连接着政府、大学、研究所和拥有政府合同的50，000 台计算机。这次病毒事件，计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特·莫里斯 (Robert TMorris)，当年 23 岁，是在康乃尔 (Cornell) 大学攻读学位的研究生。

罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判3 年缓刑，罚款1 万美元，他还被命令进行 400 小时的新区服务。

注：在此文中，把蠕虫、我们常提的病毒定为病毒不同种类。

1988 年底，在我国的国家统计部门发现小球病毒。

--------------------------------------------------------------------------------

在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：

DOS引导阶段

1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

当时得计算机硬件较少，功能简单，一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。1989年，引导型病毒发展为可以感染硬盘，典型的代表有”石头2”。

DOS可执行阶段

1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为”耶路撒冷”，”星期天”病毒，病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。

伴随，批次型阶段

1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是”金蝉”病毒，它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒就取得控制权。这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是”海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在DOS下的和”海盗旗”病毒类似的一类病毒。

幽灵，多形阶段

1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如”一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

生成器，变体机阶段

1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样，一段解码算法就可以由生成器生成。当生成的是病毒时，这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是”病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。

网络，蠕虫阶段 第一篇 第二篇

1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在非DOS操作系统中，”蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

视窗阶段

1996年，随着Windows和Windows95的日益普及，利用Windows进行工作的病毒开始发展，它们修改(NE，PE)文件，典型的代表是DS。3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。

宏病毒阶段

1996年，随着Windows Word功能的增强，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开，这类病毒查解比较困难。

互连网阶段

1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒。

爪哇，邮件炸弹阶段

1997年，随着万维网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

我知道,因为你的邮件没有通过验证(邮件服务器的),所以在本地看是发送出去了,可是在邮件服务器那边就被当作垃圾邮件给删除了``` 收件人就收不到邮件了```

你可以用网络抓包看看``` 网络抓包 很好用的 找找吧

linux DNS服务器配置

基本理论：

DNS系统的作用是把域名和IP对应起来。

正向解析：根据域名（主机名）查找对应的IP地址。

反向解析：根据IP地址查询对应的域名（主机名）。

查询

递归查询：大多数客户机向DNS服务器解析域名的方式。

迭代查询：大多数DNS服务器向其它DNS服务器解析域名的方式。

DNS服务器的类型

缓存域名服务器：也称唯高速缓存服务器。通过向其它域名服务器查询获得域名与IP地址的对应记录，将域名查询结果缓存到本地，提高重复查询时的速度。

主域名服务器：特定DNS区域的官方服务器，具有唯一性。负责维护该区域内的所有域名与IP的映射记录。

从域名服务器：也称辅助域名服务器。其维护的域名与IP地址的映射记录来源于主域名服务器。

环境准备：

临时关闭selinux和iptables

#setenforce 0

#service iptables stop

查询相关软件包：

[root@localhost ~]# yum search bind

Loaded plugins: product-id, refresh-packagekit, subscription-manager

Updating Red Hat repositories

====================================================================================== N/S Matched: bind ======================================================================================

PackageKit-device-rebindi686 : Device rebind functionality for PackageKit

bindi686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server

bind-chrooti686 : A chroot runtime environment for the ISC BIND DNS server, named(8)

bind-utilsi686 : Utilities for querying DNS name servers

其中各软件包的作用如下：

bind: 提供域名服务的主要程序及相关文件。

bind-chroot：为bind提供一个伪装的根目录以增强安全性。

bind-utils：提供对DNS服务器测试的工具程序（如nslookup、dig等）。

安装BIND软件包#yum install bind

配置DNS服务器：

bind服务器端程序

主要执行程序：/usr/sbin/named

服务脚本：、etc/initd/named

默认监听端口：53

主配置文件： /etc/namedconf

保存DNS解析记录的数据文件: /var/named/chroot/var/named

查询bind程序的配置文件列表

[root@localhost ~]# rpm -qc bind

/etc/logrotated/named

/etc/namedconf

/etc/namediscdlvkey

/etc/namedrfc1912zones

/etc/namedrootkey

/etc/rndcconf

/etc/rndckey

/etc/sysconfig/named

/var/named/namedca

/var/named/namedempty

/var/named/namedlocalhost

/var/named/namedloopback

查看主配置文件namedconf

#vim /etc/namedconf

主配置文件解析：

全局配置部分：

默认的全局配置项如下：

10 options {

11 listen-on port 53 { 127001; }; //监听的端口和接口IP地址

12 listen-on-v6 port 53 { ::1; };

13 directory "/var/named"; //dns区域的数据文件默认存放位置

14 dump-file "/var/named/data/cache_dumpdb";

15 statistics-file "/var/named/data/named_statstxt";

16 memstatistics-file "/var/named/data/named_mem_statstxt";

17 allow-query { localhost; }; //允许dns查询的客户机列表，any表示所有

18 recursion yes; //是否允许客户机进行递归查询

19

20 dnssec-enable yes;

21 dnssec-validation yes;

22 dnssec-lookaside auto;

23

24 / Path to ISC DLV key /

25 bindkeys-file "/etc/namediscdlvkey";

26 };

全局配置中还有如下选项：

forwarders {2021022468;12333;}; //将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址

默认的区域配置项如下：

35 zone "" IN {

36 type hint; //区域类型。hint为根区域；master为主区域; slave为辅助区域

37 file "namedca"; //该区域对应的区域数据配置文件名

38 };

区域配置中还有如下选项：

allow-transfer {189989023;}; //允许下载区域数据库的从域名服务器IP地址

allow-update {none;}; //允许动态更新的客户端IP地址（none表示全部禁止）

添加如下区域配置：

zone “mycom” IN {

type master; //主区域

file “mycom”; //该区域对应的区域数据配置文件名

allow-transfer {1921681531;}; //允许下载区域数据库的从域名服务器IP地址

allow-update {none;};

};

zone “153168192in-addrarpa” IN { //表示针对IP192168153130反向解析

type master; //主区域

file “192168153myarpa”; //该区域对应的区域数据配置文件名

};

配置完了，可以执行如下命令对namedconf文件进行语法检查。

#named-checkconf

注意：倒序网络地址in-addrarpa 表示反向区域

主配置文件最后还有一行是：

include “/etc/namedrfc1912zones” //该文件包含/etc/namedrfc1912zones文件

区域数据配置文件：

先看一下namedlocalhost的内容：

$TTL 1D //time to live 生存时间

@ IN SOA @ rnameinvalid ( //”rnameinvalid”DNS区域地址

0 ; serial //更新序列号

1D ; refresh //更新时间

1H ; retry //重试延时

1W ; expire //失效时间

3H ) ; minimum //无效地址解析记录的默认缓存时间

NS @ //name server 域名服务记录

A 127001 //address 只用在正向解析的区域数据文件中

AAAA ::1

新建2个对应的区域数据配置文件：

#touch mycom

#touch 192168153myarpa

#vim mycom

$TTL 86400

@ IN SOA mycom adminmycom ( //adminmyNaN为该区域管理员的邮箱地址

200900201

3H

15M

1W

1D

)

@ IN NS ns1mycom //当前域的DNS服务器地址

IN MX 10 mailmycom //用于设置当前域的邮件服务器域名地址，数字10表示优先级别，数字越大优先级越低

ns1 IN A 192168153130

mail IN A 192168153130

www IN A 192168153130

ftp IN CNAME www //CNAME别名（canonical name）记录，表示ftpmycom和wwwmycom对应同一个IP

[root@localhost named]# vim 192168153myarpa

$TTL 86400

@ IN SOA mycom adminmycom (

200900201

3H

15M

1W

1D

)

@ IN NS ns1mycom

130 IN PTR ftpmycom

启动DNS服务

[root@localhost ~]# service named start

测试：

配置一台ftp服务器用于测试：

#service vsftpd start //启动vsftpd服务

当前网卡的配置：

eth0: 19216801/24

eth1: 192168153130/24

[root@localhost named]# nslookup 192168153130

Server: 127001

Address: 127001#53

130153168192in-addrarpa name = wwwmycom

[root@localhost ~]# nslookup ftpmycom

Server: 127001

Address: 127001#53

ftpmycom canonical name = wwwmycom

Name: wwwmycom

Address: 192168153130

测试成功