如何查看服务器上次是谁进行了重启操作

执行 last reboot 命令结果如下

只能看到重启的时间，怎样看上次是哪个IP和用户执行的重启操作

查看 /var/log/message结果如下，没有显示有执行重启命令，服务器执行了init操作，是否是由于人为外部强制重启了服务器？

Apr 4 21:46:15 FtpServer syslog-ng[2353]: Log statistics; dropped='pipe(/dev/xconsole)=3379', dropped='pipe(/dev/tty10)=0', processed='center(queued)=25745', processed='center(received)=10450', processed='destination(messages)=10432', processed='destination(mailinfo)=2', processed='destination(mailwarn)=0', processed='destination(localmessages)=287', processed='destination(newserr)=0', processed='destination(mailerr)=0', processed='destination(netmgm)=0', processed='destination(warn)=5196', processed='destination(console)=4905', processed='destination(null)=4', processed='destination(mail)=2', processed='destination(xconsole)=4905', processed='destination(firewall)=8', processed='destination(acpid)=4', processed='destination(newscrit)=0', processed='destination(newsnotice)=0', processed='source(src)=10450'

Apr 4 22:06:15 localhost -- MARK --

Apr 4 22:10:19 localhost syslog-ng[5546]: syslog-ng starting up; version='209'

Apr 4 22:10:19 localhost firmwaresh[5592]: Cannot find firmware file 'intel-ucode/06-2c-02'

Apr 4 22:10:19 localhost firmwaresh[5597]: Cannot find firmware file 'intel-ucode/06-2c-02'

Apr 4 22:10:19 localhost firmwaresh[5604]: Cannot find firmware file 'intel-ucode/06-2c-02'

Apr 4 22:10:19 localhost firmwaresh[5611]: Cannot find firmware file 'intel-ucode/06-2c-02'

Apr 4 22:10:19 localhost rchal: CPU frequency scaling is not supported by your processor

Apr 4 22:10:19 localhost rchal: boot with 'CPUFREQ=no' in to avoid this warning

资料来源：http://bbs51ctocom/thread-1103251-1-1html

拉斯维加斯概况 世界著名的赌城，地处美国。 拉斯维加斯原本只是到加利福尼亚州路上的一个绿洲，周围则是一望无尽的沙漠。30年代，内达华州决定使赌博成为合法的事业，此令一出，几乎在一夜之间，市区的赌场纷纷成立。拉斯维加斯的“赌城”之名也就此传开。二战以后，大型的度假饭店也继之而起，并且经营赌场和娱乐事业，吸引了各方观光客。除了小赌一番，来到拉斯维加斯的另一个重点便是观看各式的表演。大型的饭店均有夜总会、晚餐秀等的表演，有些赌场也经营表演秀，或以知名艺人为号召，杂以小牌艺人的表演、或为百老汇的音乐剧或戏剧。大部分的表演历时九十分钟，而且必须预约。 美国的拉斯维加斯为了吸引更多的游客前去玩赌，在洛杉矶市设有络绎不绝来往赌城的巴士。游客只需在各代理公司花15美元买张搭乘“发财巴士”的车票，到了赌场就可以凭票，得到回赠32美元，包括一顿丰盛的自助餐券12元，赌场筹码20元。 地理 拉斯维加斯地处内华达州被荒凉的沙漠和半沙漠地带包围的山谷地区，雨量很少，夏季炎热，冬季寒冷多风沙，偶然的暴雨会导致洪水。市内有高架铁路。总面积2936平方公里，平均人口密度为每平方公里1630人，其中白人占70%左右，有23%是拉美裔白人，黑人占10%，亚裔占5%，除了在唐人街经商的黄种人外，在赌场中的发牌员有很多亚裔人。 拉斯维加斯气候 拉斯维加斯地处美国内华达沙漠边陲，周围环绕着1000米至3000米的高山。拉斯维加斯的气候四季分明。夏季是典型的沙漠性气候，正午的温度常常高达38゜左右，而晚间的温度相对凉爽。常常会有雷阵雨天气，温度要超出平均水准。冬季整体上是气候温和适宜，白天的平均温度在15゜左右。尽管偶尔会出现非常高温天气，但是春季和夏季仍然是最宜人的季节。拉斯维加斯很少受到恶劣气候的袭击，并且是全国所有的大城市中相对湿度最低的区域之一。 周围都是沙漠，和死亡谷一样干燥。因为少雨的缘故，空气会较为干燥，最好准备一点保湿用品。 拉斯维加斯的时间比北京慢16小时。 拉斯维加斯酒店及娱乐 拉斯维加斯市是内华达州最大的城市，也是世界上最有名的赌场及娱乐中心。在赌场地带 The Strip上有高级的旅馆赌场和秀场。赌场地带是指靠近拉斯维加斯大道南端，在这里有很壮观及较新的赌场及旅馆饭店如Mirage、Excalibur、Paris、纽约、火鹤、凯萨皇宫、米高梅 及马戏团 等。一些小一点的旅馆和赌场可以在拉斯维加斯的旧市中心区 Downtown Casino Center找到。在这里旧市区提供一种特殊的 Fremont Street Experience，那就是在四条街块上提供遮盖的道路，内有室内运动中心、高级餐厅、酒吧、夜总会及夜晚灯光秀。拉斯维加斯大概是世界上结婚最简单的地方，一天大约发出230张结婚证书，一年大约发出十万张结婚证书。 内华达州的南方一直是一个充满极端的地方，在广大的沙漠里存在着一个人工造成的传奇。大型的度假旅馆和巨大的水坝、巨大壮观的岩石结构和昏暗充满烟味的赌场、充满刺激的云霄飞车和安详庄严的结婚礼堂、有人讨厌这个城市，但也有很多人对这个城市流连忘返。拉斯维加斯是美国人最喜欢的旅游地点之一，这也是一个不折不扣的不夜赌城。一夜致富的梦想也时有所闻，在这个多元化的城市里，除了赌之外，这个城市也提供非常豪华的度假旅馆、世界有名的娱乐节目、廉价但高级的晚餐、世界级的高尔夫球场、离赌城不远的水上活动场所、和最近新增加的儿童游乐场。 世界上十家最大型的度假旅馆在拉斯维加斯就有九间，最大间的就是有5005间房的米高梅大旅馆及主题公园MGM Grand Adventure Hotel and Casino。 在一九九零年代前的五十年间，拉斯维加斯一直被世人认定是成人的奇幻世界。这个地方存在的目地就是为了赌，除了赌之外还是赌，当时控制这个贪婪之城一切的是黑道势力，曾几何时，拉斯唯加斯从一个限制级的城市转型成为一个普级的老少贤宜的城市。 控制这个城市的势力也转成像征白道的警察，它吸引着成人、儿童、朋友、褓母、祖父母、赌客和不吸烟的每个世人。最近的几年间，这个城市起造了不少主题度假旅馆如：Stratosphere, Luxor, New York-New York 和娱乐主题乐园如 Wet 'N' Wild, Grand Slam Canyon和MGM Grand Adventure。这些游乐场和主题度假旅馆提供了迷你又刺激的度假经验让人不需要踏入吃角子老虎机场或赌桌旁也可以在拉斯维加斯流连忘返。

MGM-1导弹

MGM-1导弹，昵称斗牛士（Matador），是美国第一种自行研制的地对地巡航导弹。它的设计类似纳粹德国的V-1飞弹，但增设了用于修正航线的无线电控制系统，斗牛士导弹上使用了体积更小的涡轮喷气发动机，取代了V-1飞弹上笨重低效率的脉冲式喷气发动机。 在最初服役时，美国空军将其定义为轰炸机，赋予了B-61的编号，后改为TM-61（TM为Tactical Missile，战术导弹之意），1963年在美国国防部的统一命名规则实行后，再度改为MGM-1，共生产约1200枚。

中文名称：MGM-1导弹

外文名称：MGM-1 Matador

类    型：地对地巡航导弹

生    产：格伦·L·马丁公司

简介：MGM-1导弹，昵称斗牛士（Matador），是美国第一种自行研制的地对地巡航导弹。它的设计类似纳粹德国的V-1飞弹，但增设了用于修正航线的无线电控制系统，斗牛士导弹上使用了体积更小的涡轮喷气发动机，取代了V-1飞弹上笨重低效率的脉冲式喷气发动机。

在最初服役时，美国空军将其定义为轰炸机，赋予了B-61的编号，后改为TM-61（TM为Tactical Missile，战术导弹之意），1963年在美国国防部的统一命名规则实行后，再度改为MGM-1。

研制和装备：斗牛士导弹由马丁公司于二次世界大战结束后开始发展，编号XSSM-A-1的样弹，于1949年1月12日在白沙导弹靶场进行了第一次试射。由于发展过程中的延误与困难，斗牛士导弹计划在该年年尾几乎取消，不过，此年爆发的韩战让美国军方决定继续发展。

1953年9月最初的两枚B-61导弹交付给佛罗里达州艾格林空军基地的6555导弹中队进行适用性测试，但由于仪器和一些检查使得寒冷天气测试被推迟到了11月。在 1953年末第一个中队的斗牛士导弹已经部署完毕，但直到1954年，装备了W5核弹头的B-61A才正式于柏林比特堡空军基地驻扎的第1无人轰炸机中队中服役。斗牛士导弹可使用2000磅的常规弹头，但是没有资料表明这种弹头有被使用过。在50年代末，所有的斗牛士导弹都已经搭载了核弹头。

最后的斗牛士导弹于1962年退役，总共生产了1200枚。在服役期间，斗牛士导弹有被部署在西德的比特堡空军基地，台湾台南、清泉岗空军基地以及韩国境内多处，以应付来自东德、中国和北朝鲜的威胁。导弹的维护培训则在科罗拉多州丹佛的格伦·L·马丁公司工厂和劳里空军基地进行，发射训练则在佛罗里达州的奥兰多空军基地（后由海军管理，改名为奥兰多海军训练中心）和卡纳维拉尔角空军基地进行。

制导系统：斗牛士导弹通过弹上的无线电系统与岸基的AN/MSQ-1雷达站通信进行制导。这种制导系统因其直线通信受制于地球曲率，有效距离最大只有400km（250英里，并且这种无线电通信还很容易被敌方干扰。在理论上，导弹可以在飞行过程中交由中继站制导，但在实际操作中甚少成功，而服役的导弹没有采用类似的手段。

1954年，美国空军开始在TM-61C型上装备新式的Shanicle(Short Range Navigation Vehicle)制导系统,1957年投入使用。它使用了一个陆基微波发射器，为弹上控制系统提供导航所需的距离和方位角信息。利用此系统全程制导成为了可能，制导最大距离大约为1000公里（620英里）。 据传Shanicle系统非常之精确，有早期在北美洲的一次训练中，一枚导弹飞进了之前一颗导弹爆炸产生的坑中的传说。无论事实如何，Shanicle很快就在正式装备的导弹中停止了使用。50年代后期，所有导弹都使用的是AN/MSQ-1陆基导航系统。

TM-61C型外观一个独特的特点是在后部弹体，引擎喷口上方的一个突起，被使用该型号导弹的士兵们称为“狗屋“。这个突起是为了容纳Shanicle导航系统而增加的，在Shanicle被移除后仍保留了下来。“狗屋“没有任何的可活动部件，在TM-61C和TM-76A上作为一个空气动力学组件，避免导弹在最终段俯冲时可能出现的轨迹抖动。正式服役的斗牛士导弹是铬绿色，而“狗屋”组件常和弹翼和尾翼组件一样，保持为未被涂装的铝外壳。

型号：

MX-771: 美国空军最初的项目编号。

SSM-A-1: 早期对实际导弹的预编号，在第一枚导弹完成前就被废弃。

XSSM-A-1: 气动框架开发用原型弹的编号。

YSSM-A-1: 导航系统开发用原型弹的编号。

B-61: 正式服役型号的编号，用于接替SSM-A-1。这个编号将斗牛士导弹定义为一种无人轰炸机。

XB-61: 重新编号后的XSSM-A-1。

YB-61: 重新编号后的YSSM-A-1。

B-61A: 斗牛士导弹的首个生产型。XB-61的YB-61之间的主要差别就是翼型的变化，从中单翼变成了上单翼。

TM-61A: 美国空军定义斗牛士导弹为战术导弹而不是一种无人轰炸机后，而得到重新编号的B-61A。

TM-61B: TM-61A的重大改进型，最终发展为TM-76钉头锤导弹。

TM-61C: TM-61A改进型的编号，当时TM-61B已经进入开发阶段。

MGM-1C: 1963年，为满足美国空军使用的新飞行器和导弹命名标准，重命名后的TM-61C。只有TM-61C得到了MGM-1的编号，因此时TM-61A 已全面除役，而TM-61B被重命名为了TM-76“钉头锤”，并最终的到了MGM-13的编号。

运营：第38战术导弹中队、第1无人轰炸机中队 - 德国比特堡、第2D无人轰炸机中队 -德国哈恩、第69战术导弹中队、第58战术导弹集团、第11战术导弹中队、第71战术导弹中队、第310战术导弹中队 - 韩国乌山、第868战术导弹中队 - 台湾台南。

规格：基本参数：总重5,440千克(12,000磅)、全长121米(39英尺7英寸)、直径137米(4英尺6英寸)、翼展87米(28英尺7英寸)。

装药类型：W5核弹头(5万吨当量)

性能：发动机艾利逊J33-A-37涡轮喷气发动机，推力20kN、两具固体火箭助推器，推力240kN、最大射程1130公里、最大巡航高度10,600米(35000英尺)、最大速度09马赫(1040km/h, 650mph)、制导系统A型：无线电指令指导；C型：无线电指令指导+SHANICLE (Short Range Navigation Vehicle)、发射平台移动发射车。

发射：一个斗牛士导弹的发射组包括十一名成员。一名发射军官，通常由中尉(O-2)或者上尉(O-3)担任；一名上士(E-6)担任主任技师，两名弹头技师，两名飞控系统技师，两名导航系统技师，两名空气动力和引擎技师——其中一人兼任起重机操作员另一人操作发射车，还有一名助推火箭技师。 由于斗牛士导弹至少在理论上是“可机动的”，所有的发射设备都被装置在了卡车和拖车上。于是大多数发射组的成员都被训练驾驶，用以在机动时驾驶车辆。除了主任技师外的组员往往是第一个服役期的一等兵(E-3)或二等兵(E-2)，但有时也有多个服役期的中士(E-5)甚至是上士(E-6)担任这些职务。

此外，还有数量相当的制导控制人员和导弹，导航设备和车辆的维护人员。由于后勤人员的数目过多，一个拥有五个发射组的机动斗牛士导弹中队成员会变得过于庞大。于是，发射中队很快就在固定的发射地点值勤，而放弃了机动发射的想法 。

一枚斗牛士导弹需要相当多的车辆进行机动和后勤支持。导弹移除弹翼后，通过一个半挂车进行运输、一辆40英尺（12米）长，重达30,000磅（14,000千克）的 发射车，还有目标选择车、弹头储存车、一台60千瓦的柴油发电机、一辆拖车、一个液压单元、一个移动式Blockhouse以及一台装置于卡车上的液压起重机。发射组配备了数辆25吨和5吨卡车用于牵引这些发射架，运输车和发电机组等。在某些中队，每个发射组还有一辆大型拖车，用来储存武器弹药和补给。

一个典型的导弹发射阵位有一个活动的，或“热”位，这里的导弹是被保持在随时准备发射的状态的。这里通常有当值的发射人员值守。根据发射手册，“热”位导弹 的发射需要15分钟，但是熟练的发射组可以在6分钟多就完成发射前的最后准备工作。通常还会有一个后备位，有一枚准备状态相对较低的导弹，这里由待命的组员值守，一般可以在20到30分钟之内完成最后发射准备。如果有第三个发射位的话，那里可能并没有待命中的导弹，如果未值勤的发射组能及时赶到的话，他们可能能够将导弹组装好并完成发射准备工作。

但由于所有的发射阵位离潜在敌人都只有数分钟的飞行距离，第三枚导弹能发射出去的可能性并不大，尽管如此，无论是值班还是后备的发射组，都会进行种种操练，以期减少发射前的准备时间。

斗牛士导弹的飞行剖面是非常简单和容易预测的。当发射军官按下发射按钮后，火箭助推器点火，在25秒内将导弹加速到每小时250英里。之后，助推器脱落，导弹继续以预设的航向和爬升率前行，直到被制导组的设备截获。斗牛士导弹无法进行高度和速度控制，只能以最大速度飞行，直到燃料耗尽，达到最大高度。到距离目标约10公里时，制导组发出一个“dump”的信号，使导弹弹鼻下沉，进入“终端俯冲”过程。俯冲过程近似垂直，直到导弹达到了无线电高度计预设的引爆高度然后引爆弹头，若无线电高度计失效，则使用后备的气压高度计；若气压高度计亦失效的话，则使用弹上的撞击引信。

斗牛士导弹并不是一种精确的武器，导弹落入目标1千米范围之内都被判定为“命中”。尽管这种导弹被分类为一种“战术”武器，但它实际上并没有攻击点目标的能力，所以其目标只可能为一些都市附近的大型军事设施，如飞机场。导弹的真实目标是高度保密的，只有发射组中的制导军官掌握着目标信息。

木马不是病毒

木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴

区别：

计算机病毒具有如下几个特征：感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性

病毒是最早出现的计算机恶意程序

所以我们以病毒为标杆，拿其他类型的恶意程序来对比一下就知道有什么区别了

首先是您关心的木马：

木马并不具有感染性，木马并不会使那些正常的文件变成木马，但病毒可以感染正常文件使其成为病毒或者病毒传播的介质

木马不具有隐藏性和潜伏性，木马程序都是我们看得到的，并没有把自己隐藏起来，也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作，木马只是伪装成一个你想要使用的正常程序，甚至具有正常程序的一切功能，当你使用这些正常的功能的同时，木马的行为也就同时发作了。

木马没有破坏性，纯粹的木马旨在**用户资料，取得用户的信息，并不会破坏用户的系统。

从上面几点就能很清楚的看出木马和病毒的区别了

蠕虫不感染、不隐藏、不破坏计算机，它是通过阻塞网络或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃

后门程序则本身是正常程序，或出于某种恶意的设计或出于疏忽大意，这些正常程序中留有可能被利用来破坏计算机的漏洞，就成为了后门程序……前些时间被炒的沸沸扬扬的暴风影音后门事件就是暴风影音处于商业利益诱导留的一个后门，最终被黑客利用制造了极大的破坏。

虽说有区别，不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机，他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了，这种木马其实是木马和病毒的混合体，同样的，也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可，他们之间的界限正在慢慢模糊～

至于代表事件

传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：

• 开机型

米开朗基罗病毒，潜伏一年，"硬"是要得（这个没看懂）

• 文件型

(1)非常驻型

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

(2)常驻型

Friday 13th黑色（13号）星期五-"亮"出底细

• 复合型

Flip 翻转-下午4：00 屏幕倒立表演准时开始

• 隐形飞机型

FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表

• 千面人

PE_MARBURG -掀起全球"战争游戏"

• 文件宏

Taiwan NO1 文件宏病毒-数学能力大考验

• 特洛伊木马病毒 VS计算机蠕虫

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

• 黑客型病毒

Nimda 走后门、发黑色信件、瘫痪网络

认识计算机病毒与黑客

21开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 ＠实例

Michelangelo米开朗基罗病毒-潜伏一年，"硬"是要得

发病日： 3月6日

发现日：19913

产地：瑞典（也有一说为台湾）

病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区（Partition Table）和开机区（Boot Sector），以及软盘的开机区（Boot Sector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机，如果该磁盘正好感染了米开朗基罗，于是，不管是不是成功的开机，可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到3月6日使用者一开机若出现黑画面，那表示硬盘资料已经跟你说 Bye Bye 了。

历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座

Top

22文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 COM, EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 COM, EXE或是 SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

@实例：

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

发病日：10月12日起至12月31日

发现日：19893

产地：荷兰

病征：每年10月12日到12月31号之间，除了星期一之外DATA CRIME II 会在屏幕上显示：DATA CRIME II VIRUS

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后，会听到BEEP一声当机，从此一蹶不振。

历史意义：虽然声称为杀手，但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

@实例：

Friday 13th黑色（13号）星期五-"亮"出底细

发病日： 每逢13号星期五

发现日：1987

产地：南非

病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快，其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒，如：Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等。其感染的本质几乎大同小异，其中Friday 13th-C病毒，当它进行感染文件时，屏幕上会显示一行客套语："We hope we haven''t inconvenienced you"

历史意义：为13号星期五的传说添加更多黑色成分

Top

23复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 COM, EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观！

＠实例:

Flip 翻转-下午4：00 屏幕倒立表演准时开始

发病日：每月2日

发现日：19907

产地：瑞士(也有一说为西德)

病征：每个月 2 号，如果使用被寄生的磁盘或硬盘开机时，则在16 时至16时59分之间，屏幕会呈水平翻动。

历史意义：第一只使具有特异功能的病毒

Top

24隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量，把所有受其感染的文件"假还原"，再把"看似跟原来一模一样"的文件丢回给 DOS。

@实例

FRODO 福禄多 -"毒"钟文件配置表

别 名：4096

发现日：19901

发病日：9月22日-12月31日

产地：以色列

病征：4096病毒最喜欢感染COM, EXE和OVL文件，顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括：COM、EXE)和OVL等覆盖文件。当执行被感染的文件时，会发现速度慢很多，因为FAT (文件配置表) 已经被破坏了。此外，9月22日-12月31日会导致系统当机。

历史意义：即使你用DIR 指令检查感染文件，其长度、日期都没有改变，果真是伪装秀的始祖。

Top

25千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒，几乎无法找到相同的病毒码。

＠实例

PE_MARBURG -掀起全球"战争游戏"

发病日：不一定（中毒后的3个月）

发现日：19988

产地：英国

病征：Marburg 病毒在被感染三个月后才会发作，若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点，若该应用程序在12月15日上午11点再次被执行)，则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。

历史意义：专挑盛行的计算机光盘游戏下毒，1998年最受欢迎的 MGM/EA「战争游戏」，因其中有一个文件意外地感染 Marburg 病毒，而在8 月迅速扩散。

感染 PE_ Marburg 病毒后的 3 个月，即会在桌面上出现一堆任意排序的 "X" 符号

26宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

＠实例：

Taiwan NO1 文件宏病毒- 数学能力大考验

发病日：每月13日

发现日：19962

产地：台湾

病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

历史意义：1台湾本土地一只文件宏病毒。2 1996年年度杀手，1997年三月踢下米开朗基罗，登上毒王宝座。3 被列入ICSA（国际计算机安全协会）「In The Wild」病毒数据库。（凡难以驯服、恶性重大者皆会列入此黑名单）

27特洛伊木马病毒 VS计算机蠕虫

特洛依木马（ Trojan ）和计算机蠕虫（ Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

特洛伊木马程序的伪装术

特洛依木马（ Trojan ）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段「木马屠城记」的小故事：

话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国，此举竟引发了为期十年的特洛依大战。然而，这场历经九年的大战，为何在最后一年会竟终结在一只木马上呢？原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马，打算来个"木马屠城计"！希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退，以便诱敌上勾。果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中，打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之际，木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻。顿时之间，一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化碟、删除文件、窃取密码等。

计算机蠕虫在网络中匍匐前进

计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机，方法有很多种例如透过局域网络或是 E-mail最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如：" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normaldot（此为计算机病毒特性），而且会通过 Outlook E-mail 大量散播（此为计算机蠕虫特性）。

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"（ExploreZip）。探险虫会覆盖掉在局域网络上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域网络将自己安装到远程计算机上（此为计算机蠕虫特性）。

＠实例：

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

发病日： 不一定

发现日：1999614

产地：以色列

病征：通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒"zipped_filesexe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下：Hi <Recipient Name>!I received your email and I shall send you a reply ASAPTill then, take a look at the attached zipped docs问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时，这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again Please press F1 for help"一旦使用者执行了这个病毒，它会存取使用者的C:到Z:磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。造成使用者资料的损失。c (c source code files)cpp (c++ source code files)h (program header files)asm (assembly source code)doc (Microsoft Word)xls (Microsoft Excel)ppt (Microsoft PowerPoint)

历史意义：

• 开机后再生，即刻连锁破坏

--传统病毒：立刻关机，重新开机，停止它正进行的破坏行动--探险虫：不似传统病毒，一旦重新开机，即寻找网络上的下个受害者

28 黑客型病毒

-走后门、发黑色信件、瘫痪网络

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一样，具有难以抹灭的历史意义。

如同网络安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为。果不其然，在造成全球 262 亿美金的损失后， 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在网络上大量散播，包含： 电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的 Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

每一台中了Nimda 的计算机，都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据，形成无限循环的 DoS阻断式攻击。另外，若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁网络安全的新型态病毒，将会是 MIS 人员最大的挑战。"

实例：Nimda

发现日：20019

发病日：随时随地

产地：不详

病征：通过eMail、网络芳邻、程序安全漏洞，以每 15 秒一次的攻击频率，袭击数以万计的计算机，在 24 小时内窜升为全球感染率第一的病毒

历史意义：

计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让网络上的计算机几乎零时差地被病毒攻击

认识计算机病毒与黑客

防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙 」(Firewall)，这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让恐怖份子进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞，大肆为所欲为。

--宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件，其中之一的关键因素是宽带网络（Broadband）的"always-on" (固接，即二十四小时联机)特性特性所打开的方便之门。

宽带上网，主要是指 Cable modem 与 xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的电话拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，"雀屏中选"的机率便大幅提升了。

当我们期望Broadband（宽带网络）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界。

计算机及网络家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上网络，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题