※※自从有了计算机以后不久，计算机病毒也应运而生。当网络成为当今社会的信息大动脉后，病毒的传播更加方便，所以也时不时的干扰和破坏我们的正常工作。比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒，发作时还会提示系统将在60秒后自动启动。其实，早在DOS时代就有不少病毒能够自动重启你的计算机。

※※对于是否属于病毒破坏，我们可以使用最新版的杀毒软件进行杀毒，一般都会发现病毒存在。当然，还有一种可能是当你上网时被人恶意侵入了你的计算机，并放置了木马程序。这样对方能够从远程控制你计算机的一切活动，当然也包括让你的计算机重新启动。对于有些木马，不容易清除，最好重新安装操作系统。

◇2．系统文件损坏

※※当系统文件被破坏时，如Win2K下的KERNEL32.DLL，Win98FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验，把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时，我们的计算机就会不断的重复启动。

☆☆☆对于这种故障，因为无法进入正常的桌面，只能覆盖安装或重新安装。

◇3．定时软件或计划任务软件起作用

※※如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。

★二、硬件

◇1．市电电压不稳

※※一般家用计算机的开关电源工作电压范围为170V－240V，当市电电压低于170V时，计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到，所以就会误认为计算机莫名其妙的自动重启了。

☆☆☆解决方法：对于经常性供电不稳的地区，我们可以购置UPS电源或130－260V的宽幅开关电源来保证计算机稳定工作。

◇2．插排或电源插座的质量差，接触不良

※※市面上的电源插排多数质量不好，内部的接点都是采用手工焊接，并且常采用酸性助焊剂，这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接，同时因为采用的磷黄铜片弹性差，用不了多长时间就容易失去弹性，致使与主机或显示器的电源插头接触不良而产生较大的接触电阻，在长时间工作时就会大量发热而导致虚接，这时就会表现为主机重新启动或显示器黑屏闪烁。

※※还有一个可能是我们家里使用的墙壁插座，多数墙壁插座的安装都不是使用专业人员，所以插座内部的接线非常的不标准，特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电，引起计算机重启或显示器眨眼现象。

☆☆☆解决方法：

□① 不要图省钱而购买价廉不物美的电源排插，购买一些名牌的电源插排，因为其内部都是机器自动安装压接的，没有采用手工焊接。

□② 对于是否属于墙壁插座内部虚接的问题，我们可以把主机换一个墙壁插座试一试，看是否存在同样的自动重启问题。

◇3．计算机电源的功率不足或性能差

※※这种情况也比较常见，特别是当我们为自己主机增添了新的设备后，如更换了高档的显卡，增加了刻录机，添加了硬盘后，就很容易出现。当主机全速工作，比如运行大型的3D游戏，进行高速刻录或准备读取光盘，刚刚启动时，双硬盘对拷数据，就可能会因为瞬时电源功率不足而引起电源保护而停止输出，但由于当电源停止输出后，负载减轻，这时电源再次启动。因为保护后的恢复时间很短，所以给我们的表现就是主机自动重启。

※※还有一种情况，是主机开关电源性能差，虽然电压是稳定的也在正常允许范围之内，但因为其输出电源中谐波含量过大，也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的，最好更换一台优良的电源进行替换排除。

☆☆☆解决方法：现换高质量大功率计算机电源。

◇4．主机开关电源的市电插头松动，接触不良，没有插紧

※※这种情况，多数都会出现在DIY机器上，主机电源所配的电源线没有经过3C认证，与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启，一般还会伴有轻微的电打火的“啪啪”声。

☆☆☆解决方法：更换优质的3C认证电源线。

◇5．主板的电源ATX20插座有虚焊，接触不良

※※这种故障不常见，但的确存在，主要是在主机正常工作时，左右移动ATX20针插头，看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象，这也很容易导致接触电阻大，接触不良，引起主机死机或重启。有时还需要检查20针插头尾部的连接线，是否都牢靠。

☆☆☆解决方法：

□①如果是主板焊点虚焊，直接用电烙铁补焊就可以了。注意：在对主板、硬盘、显卡等计算机板卡焊接时，一定要将电烙铁良好接地，或者在焊接时拔下电源插头。

□② 如果是电源的问题，最好是更换一台好的电源。

◇6．CPU问题

※※CPU内部部分功能电路损坏，二级缓存损坏时，计算机也能启动，甚至还会进入正常的桌面进行正常操作，但当进行某一特殊功能时就会重启或死机，如画表，播放VCD，玩游戏等。

☆☆☆解决办法：试着在CMOS中屏蔽二级缓存（L2）或一级缓存（L1），看主机是否能够正常运行；再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行，还是可以凑合着使用，虽然速度慢些，但必竟省钱了。

◇7．内存问题

※※内存条上如果某个芯片不完全损坏时，很有可能会通过自检（必竟多数都设置了POST），但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警，但内存损坏后不报警，不加电的故障都还是有的。最好使用排除法，能够快速确定故障部位。

◇8．光驱问题

※※如果光驱内部损坏时，也会导致主机启动缓慢或不能通过自检，也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的，很有可能是光驱的耗电量不同而引起的。大家需要了解的是，虽然光驱的ATPI接口相同，但不同生产厂家其引脚定义是不相同的，如果我们的硬盘线有问题时，就可能产生对某一牌子光驱使用没有问题，但对其他牌子光驱就无法工作的情况，这需要大家注意。

◇9．RESET键质量有问题

※※如果RESET开关损坏，内部簧片始终处于短接的位置时，主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时，就会出现在使用过程中，因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以，当RESET开关不能按动自如时，我们一定要仔细检查，最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。

※※还有一种情况，是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多，再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞，导致主机自动重启。

◇10．接入网卡或并口、串口、USB接口接入外部设备时自动重启

※※这种情况一般是因为外设有故障，比如打印机的并口损坏，某一脚对地短路，USB设备损坏对地短路，网卡做工不标准等，当我们使用这些设备时，就会因为突然的电源短路而引起计算机重启。☆老妖整理☆

★三、其他原因

◇1．散热不良或测温失灵

※※CPU散热不良，经常出现的问题就是CPU的散热器固定卡子脱落，CPU散热器与CPU接触之间有异物，CPU风扇长时间使用后散热器积尘太多，这些情况都会导致CPU散热不良，积聚温度过高而自动重启。

※※还有就是CPU下面的测温探头损坏或P4CPU内部的测温电路损坏，主板上的BIOS有BUG在某一特殊条件下测温不准，这些都会引起主机在工作过程中自动保护性重启。

※※最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。

◇2．风扇测速失灵

※※当CPU风扇的测速电路损坏或测速线间歇性断路时，因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启，但我们检查时可能看到CPU风扇转动正常，并且测速也正常。

◇3．强磁干扰

※※不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象

电脑自动重启故障分析

一、软件

1．病毒破坏

比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒，发作时还会提示系统将在60秒后自动启动。其实，早在DOS时代就有不少病毒能够自动重启你的计算机。

对于是否属于病毒破坏，我们可以使用最新版的杀毒软件进行杀毒，一般都会发现病毒存在。当然，还有一种可能是当你上网时被人恶意侵入了你的计算机，并放置了木马程序。这样对方能够从远程控制你计算机的一切活动，当然也包括让你的计算机重新启动。对于有些木马，不容易清除，最好重新安装操作系统。

2．系统文件损坏

当系统文件被破坏时，如Win2K下的KERNEL32.DLL，Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏，系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验，把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时，我们的计算机就会不断的重复启动。

对于这种故障，因为无法进入正常的桌面，只能覆盖安装或重新安装。

3．定时软件或计划任务软件起作用

如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时，当定时时刻到来时，计算机也会再次启动。对于这种情况，我们可以打开“启动”项，检查里面有没有自己不熟悉的执行文件或其他定时工作程序，将其屏蔽后再开机检查。当然，我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。

二、硬件

1．市电电压不稳

一般家用计算机的开关电源工作电压范围为170V－240V，当市电电压低于170V时，计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到，所以就会误认为计算机莫名其妙的自动重启了。

解决方法：对于经常性供电不稳的地区，我们可以购置UPS电源或130－260V的宽幅开关电源来保证计算机稳定工作。

2．插排或电源插座的质量差，接触不良

市面上的电源插排多数质量不好，内部的接点都是采用手工焊接，并且常采用酸性助焊剂，这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接，同时因为采用的磷黄铜片弹性差，用不了多长时间就容易失去弹性，致使与主机或显示器的电源插头接触不良而产生较大的接触电阻，在长时间工作时就会大量发热而导致虚接，这时就会表现为主机重新启动或显示器黑屏闪烁。

还有一个可能是我们家里使用的墙壁插座，多数墙壁插座的安装都不是使用专业人员，所以插座内部的接线非常的不标准，特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电，引起计算机重启或显示器眨眼现象。

解决方法：

① 不要图省钱而购买价廉不物美的电源排插，购买一些名牌的电源插排，因为其内部都是机器自动安装压接的，没有采用手工焊接。

② 对于是否属于墙壁插座内部虚接的问题，我们可以把主机换一个墙壁插座试一试，看是否存在同样的自动重启问题。

3．计算机电源的功率不足或性能差

这种情况也比较常见，特别是当我们为自己主机增添了新的设备后，如更换了高档的显卡，增加了刻录机，添加了硬盘后，就很容易出现。当主机全速工作，比如运行大型的3D游戏，进行高速刻录或准备读取光盘，刚刚启动时，双硬盘对拷数据，就可能会因为瞬时电源功率不足而引起电源保护而停止输出，但由于当电源停止输出后，负载减轻，这时电源再次启动。因为保护后的恢复时间很短，所以给我们的表现就是主机自动重启。

还有一种情况，是主机开关电源性能差，虽然电压是稳定的也在正常允许范围之内，但因为其输出电源中谐波含量过大，也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的，最好更换一台优良的电源进行替换排除。

解决方法：现换高质量大功率计算机电源。

4．主机开关电源的市电插头松动，接触不良，没有插紧

这种情况，多数都会出现在DIY机器上，主机电源所配的电源线没有经过3C认证，与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启，一般还会伴有轻微的电打火的“啪啪”声。

解决方法：更换优质的3C认证电源线。

5．主板的电源ATX20插座有虚焊，接触不良

这种故障不常见，但的确存在，主要是在主机正常工作时，左右移动ATX20针插头，看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象，这也很容易导致接触电阻大，接触不良，引起主机死机或重启。有时还需要检查20针插头尾部的连接线，是否都牢靠。

解决方法：

① 如果是主板焊点虚焊，直接用电烙铁补焊就可以了。注意：在对主板、硬盘、显卡等计算机板卡焊接时，一定要将电烙铁良好接地，或者在焊接时拔下电源插头。

② 如果是电源的问题，最好是更换一台好的电源。

6．CPU问题

CPU内部部分功能电路损坏，二级缓存损坏时，计算机也能启动，甚至还会进入正常的桌面进行正常操作，但当进行某一特殊功能时就会重启或死机，如画表，播放VCD，玩游戏等。

解决办法：试着在CMOS中屏蔽二级缓存（L2）或一级缓存（L1），看主机是否能够正常运行；再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行，还是可以凑合着使用，虽然速度慢些，但必竟省钱了。

7．内存问题

内存条上如果某个芯片不完全损坏时，很有可能会通过自检（必竟多数都设置了POST），但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警，但内存损坏后不报警，不加电的故障都还是有的。最好使用排除法，能够快速确定故障部位。

8．光驱问题

如果光驱内部损坏时，也会导致主机启动缓慢或不能通过自检，也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的，很有可能是光驱的耗电量不同而引起的。大家需要了解的是，虽然光驱的ATPI接口相同，但不同生产厂家其引脚定义是不相同的，如果我们的硬盘线有问题时，就可能产生对某一牌子光驱使用没有问题，但对其他牌子光驱就无法工作的情况，这需要大家注意。

9．RESET键质量有问题

如果RESET开关损坏，内部簧片始终处于短接的位置时，主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时，就会出现在使用过程中，因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以，当RESET开关不能按动自如时，我们一定要仔细检查，最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。

还有一种情况，是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多，再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞，导致主机自动重启。

10．接入网卡或并口、串口、USB接口接入外部设备时自动重启

这种情况一般是因为外设有故障，比如打印机的并口损坏，某一脚对地短路，USB设备损坏对地短路，网卡做工不标准等，当我们使用这些设备时，就会因为突然的电源短路而引起计算机重启。

三、其他原因

1．散热不良或测温失灵

CPU散热不良，经常出现的问题就是CPU的散热器固定卡子脱落，CPU散热器与CPU接触之间有异物，CPU风扇长时间使用后散热器积尘太多，这些情况都会导致CPU散热不良，积聚温度过高而自动重启。

还有就是CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏，主板上的BIOS有BUG在某一特殊条件下测温不准，这些都会引起主机在工作过程中自动保护性重启。

最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。

2．风扇测速失灵

当CPU风扇的测速电路损坏或测速线间歇性断路时，因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启，但我们检查时可能看到CPU风扇转动正常，并且测速也正常。

3．强磁干扰

不要小看电磁干扰，许多时候我们的电脑死机和重启也是因为干扰造成的，这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰，也有来自外部的动力线，变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良，就会出现主机意外重启或频繁死机的现象。

计算机出现的问题千奇百怪，但如果我们能够了解计算机的基本工作原理，那我们在排除计算机的软硬件故障时就会得心应手，而不会天天头大了。希望本文能对大家有所帮助，请多多支持。

能在虚拟机上玩病毒和木马吗

可以虚拟机是专门用来搞实验的楼主在实验之前先为虚拟机 “照下” 一个快照相当于还原点之后病毒实验完了后恢复到快照那个状态那里即可

怎样在电脑上做病毒、木马的实验比较安全？

不能和你说绝对安全,为什么呢.因为像熊猫烧香,他会删掉你的GHOST备份文件.

VIKING,会感染你所有盘符的EXE文件.

所以,还是研究已知病毒时,最好先了解下其效果比较好.

历史上最厉害的木马病毒有哪些

一、网络公牛。网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽，危害很大。同时，服务端运行后会自动捆绑以下文件: win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe。 winnt/2000下：（在2000下会出现文件改动报警，但也不能阻止以下文件的捆绑）notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe；winmine.exe。服务端运行后还会捆绑开机时自动运行的第三方软件（如：realplay.exe、QQ、ICQ等）。在注册表中网络公牛也悄悄地扎下了根，如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。清除方法： 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。 3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－附件－系统工具－系统信息－工具－系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。二、网络神偷（Nethief）网络神偷又名Nethief，是第一个反弹端口型木马！什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址：1026 客户端的IP地址：80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧，嘿嘿。最新线报：目前国内木马高手正在大规模试验（使用）该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！清除方法： 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK，神偷完蛋了！三、WAY2.4（火凤凰、无赖小子） WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！清除方法：要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！注意：在删除前请做好备份。四、冰河冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载，sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。清除方法： 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。五、广外女生广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。清除方法： 1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。 2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。 3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 7、完成。六、聪明基因聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！ Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！清除方法： 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！ 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。好了，可以和聪明基因说“再见”了！七、黑洞2001 黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。黑洞2001服务端被执行后，会在C:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件在机器开机时立刻运行，并打开默认端口2001，S_Server.exe文件用来和TXT文件打开方式连起来（即关联）！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！清除方法： 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。至此就安全的清除黑洞2001了。八、Netspy（网络精灵） Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。清除方法： 1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！ 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\，删除Netspy的键值即可安全清除Netspy。九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2（默认连接端口27374），服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。清除方法： 1、打开注册表Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="C:\windows\system\***"。注：加载器和文件名是随意改变的。 2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。 3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。 4、重新启动Windows，删除相对应的木马程序，一般在C:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。

新上市的金山卫士查杀木马病毒的能力怎么样啊？有谁实践过了？

木马查杀效果不错速度很快支持自定义查杀是个好东西如果你没有安装杀毒辅助软件是个不错的选择还有就是要是以往现在金山卫士的功能更完善而且黑客们还不熟悉这款软件不容易被攻击仅供参考

电脑中了木马病毒怎么办？

首先打开C盘windows下的system32目录然后在此目录下备份drivers文件夹，将此文件夹重命名为drivers01

接着请在drivers01文件夹内删除BDguard.sys

（复制时可能会有杀毒软件提示遇到BDguard.sys不能继续复制，没关系，你直接打开DRIVERS文件夹复制立面的子文件，跳过BDGUARD不要复制就好，不过千万别漏掉其他的哦，最好复制完后察看文件夹属性对下文件的个数）

重启电脑，按住F8进入“带命令行的安全模式”

在dos环境下进行下列操作：

cd.. *此命令意思是退回上级目录

退到C盘目录下后

cd windows *意思是进入windows目录,2000操作系统请输入winnt.

cd system32

ren drivers drivers02 *意思是将drivers文件夹名修改成drivers02

ren drivers01 drivers *将之前我们备份的drivers01文件夹名字改为drivers

（DOS的东西我是一窍不通，据说如果要退出DOS的话在c:\windows后面输入WIN敲回车。不过我是用了CRTL+ALT+DEL任务管理器的关机按钮）

重启进入WINDOWS，删除drivers02文件夹、C:\WINDOWS\system32\Bdguard.dat、C:\WINDOWS\system32\Bdguard1.dat、C:\Program Files\Baidu，并清理注册表内信息。

（经实践证明要先删掉SYSTEM32底下的两个BDGUARD文件才能删掉DRIVER02 文件夹）

然后再运行“REGEDIT”打开注册表“编辑”-“查找”关键字输BDGUARD找到相关的就删除然后接着“查找下一个”一直到查不出为止

如果删除不掉则右击选择“权限”在“完全控制”后面划钩。确定后再去删除就可以了。

什么是木马病毒？

什么是木马- -

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等

从对基本的地方了解木马

端口

你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑。

黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，你可以利用软件--

如何发现自己电脑中的木马

再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中了netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法，但是需要你知道各种木马所开放的端口，已知下列端口是木马开放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口，也还是不能完全防范这些木马的，我们需要--

进一步查找木马

曾经做了一个试验：我知道netspy.exe开放的是7306端口，于是我用工具把它的端口修改了，经过修改的木马开放的是7777端口了，你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。

扫描这么多端口是不是很累，需要半个多小时傻等了，现在好了，我汉化了一个线程监视器，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得--

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表中的位置不会改变，你可以到注册表的这个位置去找。另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是傻瓜木马，笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。

你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。排除了木马以后，你就可以监视端口--

悄悄等待黑客的来临

介绍两个软件，首先是NukeNabber，它是端口监视器，你告诉NukeNabber需要监视7306端口，如果有人接触这个端口，就马上报警。在别人看来，你的电脑的7306端口是开放的，但是7306不是由netspy控制了，当NukeNabber发现有人接触7306端口或者试图进入你的7306端口，马上报警，你可以在NukeNabber上面看到黑客对你做了些什么，黑客的IP地址是哪里，然后，你就可以反过来攻击黑客了。当NukeNabber监视139的时候，你就可以知道谁在用IP炸弹炸你。另外提一下，如果NukeNabber告诉你不能监视7306端口，说这个端口已经被占用了，那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe，这个软件是线程监视器，你可以用它来查看有多少端口是开放的，谁在和你通讯，对方的IP地址和端口分别是什么。

什么是启发型木马病毒？

启发式究竟指什么―启发式‖（Heuristic）是指探索和发现的行为或过程。牛津英文词典将启发式定义为―让某人能够自主的探索和学习‖或者（在计算领域）―仅依靠宽泛的定义，或者依靠不断尝试和汲取失败经验教训的方法来解决问题[6]。‖韦氏词典将其定义为―依靠实验尤其是反复试验，通过尝试和汲取失败经验教训的方法，来帮助学习、探索或者解决问题‖或者（在计算领域）―一种利用自主学习的手段（通过反馈的评估）来提高表现，以探索解决问题的技术[7]。‖ 启发式程序通常被认为是一种具有人工智能的应用程序，而且也是一种解决问题的工具。启发式程序的编写，例如用于专门系统的程序，建立于一些从经验中提取的规则，它通过不断积累经验产生更好的解决方法，并且增加自己的知识库。

当启发式分析被用于处理恶意软件时（当然还包括垃圾邮件和流氓软件），尽管涉及反复试验和从经验中学习的原理，却又有更多限定的含义。启发式分析使用基于规则的方法来诊断一个有潜在威胁的文件(或信息，如果是分析垃圾邮件的话)。分析引擎的工作是基于自身规则库的，它依据规则检查恶意软件存在的可能性，当找到一个匹配的规则时就为其分配一个分值。如果这些分值达到或超过了一个阈值[8]，这个文件就会被标记为可疑文件（或者潜在的恶意软件、垃圾邮件）并进行处理。某种意义上来说，针对反恶意软件的启发式技术，尝试的是模拟人类的智能分析方法。与恶意软件分析人员设法判定某个软件的行为和动作相同，启发式分析执行相同的智能决策过程，有效地担当虚拟分析师的角色。恶意软件分析人员从出现的新生威胁中不断学习，并将他的知识通过编程应用于启发式分析器，以提高今后的检测率。

启发式编程在反病毒软件性能中有着双重的任务：速度和检测。事实上，―启发式‖这个术语在其他科学领域也有类似的含义[9]；即专注于通过达到―足够好‖的结果(尤其指数据吞吐速度)而非―完美的‖结果来提高性能。当已知病毒的数量与日俱增，就需要提高检测速度。否则，增长的恶意软件数量所带来额外扫描时间，会降低系统的使用效率。否定式启发

一种检测规则或标准，如果检测对象符合标准，则不是病毒或恶意软件的可能性减小。肯定式启发

一种检测规则或标准，如果检测对象符合标准，则是病毒或恶意软件的可能性加大。误杀漏杀原因争论的焦点在于，判断一个程序是不是木马程序（或恶意软件），是否应更多根据其目的来界定，而非功能来界定。例如，一个键盘记录程序如果是经过用户授权或用户自愿安装的，即使它的功能与木马程序是相同的，那么它也不算是木马程序。这会给检测带来问题，因为电脑在判断目的方面的能力弱于人类。

间谍软件和广告软件（可能由于媒体的过多关注，以及大量针对性产品的存在）已经被划分为了不同恶意软件的子类。尽管人们经常争论，广告软件不一定就是恶意软件，但这种区别是大多情况下没有意义的。而同样的争论也适用于该类别的几乎所有其他项目，因为一个程序的行为并不能作为判定恶意软件的标准，而是在于程序员的不良意图与用户期望值之间存在着的差别。病毒三大类文件病毒

期待反病毒软件检测病毒，当然是合情合理的。因为多年来反病毒软件在检测病毒方面如此成功，也正是由于这部分原因，以至于它检测其它类型恶意软件的能力被低估了。

虽然病毒有很多种定义，但一种被恶意软件研究者普遍接受的定义是―病毒是一种计算机程序，它能通过将复制自身（或者自身的变体）修改计算机中的其他程序，以达到感染目的‖ [1， 2]。这个定义涵盖了很多种类型的病毒，包括：

�8�4 引导型病毒，硬盘分区病毒

�8�4 文件型病毒（寄生病毒）

�8�4 混合型病毒

�8�4 宏病毒和脚本病毒尽管有些病毒类型现在已经很少见了（比如引导型病毒和硬盘分区病毒），但是反病毒程序一般都能检测在该平台上（有时包括其它平台）发现的这类已知病毒。通常，反病毒软件也善于通过启发式的方式检测新的或未知的病毒种类。蠕虫

业界从未在蠕虫的定义上真正地达成一致，如科恩所说―蠕虫是一种病毒的特例‖ [1]，但不论蠕虫是怎样的特例，反病毒软件通常都能检测它们。对于蠕虫的不同定义甚至比针对病毒的还要多，但是大部分反病毒研究者将蠕虫定义为一种以非寄生方式复制的程序，也就是说，它不把它自身附加到一个寄主文件上。邮件群发者可以描述为一种特殊类型的蠕虫. 多数反病毒厂商将这种通过电子邮件传播的恶意软件视为蠕虫，但是一些邮件群发者具有纯病毒的特点（比如，Melissa事实上是一种纯病毒，一种能够像蠕虫一样传播的宏病毒，而W32/Magistr则是一种文件型病毒）。对于新型蠕虫变种的检测，厂商同样有很好的手段。比如说，新型邮件群发器几乎在出现的同时，就被通信安全服务供应商及其系统列入了黑名单.

非复制型恶意软件

这个定义是根据上文的定义得出来的，即如果一个恶意软件不具有复制能力，那它就不是病毒或者蠕虫。但是这并不意味着反病毒软件不能检测到它，除非其不具有威胁。

要说明的是，即使当反病毒厂商过去常以非复制型的对象不是病毒为由拒绝对它们的检测时，一些非自我复制的对象（它们当中的一些甚至不是可执行程序，更不要说是有恶意的了）仍然能被检测到并且报毒。例如：�8�4 未遂病毒(复制自身失败的病毒)和损坏的病毒

�8�4 垃圾文件

�8�4 与病毒相关的非病毒程序，如病毒原体，释放器，病毒生成器

�8�4 合法的测试程序如EICAR测试文件[4]

许多已传播多年的非复制型病毒，由于管理不善，仍然被一些评测机构作为样本，用于针对杀毒软件的测试中。绝大部分厂商早已不再拒绝将这些病毒的特征码添加到其产品的病毒库中，避免因没有检测出这些病毒样本，而取得不理想的测试成绩。遗憾的是，日趋复杂的启发式扫描引擎，也只是刚好跟上了杀毒软件测试者不断更新的测试手段，有时新的测试手段也并非恰当。本文的后面部分会简略地分析测试产品启发式扫描能力时，技术上可接受的方式。人们了解最多的非复制型恶意软件是木马程序（或简称为木马）。木马程序声称能执行一些有用的操作或提供一些必要的功能，可能也确实如此。但同时它也会执行一些用户并不希望或不需要的操作。这包括一系列特定的恶意软件：

�8�4 病毒释放器；

�8�4 键盘记录器；

�8�4 破坏性木马程序；

�8�4 下载者；

�8�4 间谍程序；

�8�4 广告程序；

�8�4 内核后门与stealthkits

�8�4 玩笑程序；

�8�4 僵尸程序 (机器人程序，远程控制木马， DDoS 客户端等)

可自我复制的恶意软件（如病毒）有时也被认为是木马程序（或称为木马型病毒，这表示这种木马通过将一个以前合法的程序损坏，修改或替换而引起破坏），大部分人可能会发现这样的分类所带来的困惑多于帮助。检测出所有非复制型恶意软件要比检测出所有形式的病毒更加困难，因为不仅要测试程序的复制能力，还要测试程序的一系列作用。

标签: 木马病毒试验