计算机病毒入侵检测与防治研究.docx

1、计算机病毒入侵检测与防治研究毕业论文论 文 题 目： 计算机病毒入侵检测与防治研究 专 业 班 级： 计应093 学 生 姓 名： 指 导 教 师： 设 计 时 间：2012年5月14日2012年6月8日 摘要随着计算机及计算机网络的发展，伴随而来的计算机病毒的传播越来越引起人们的注重了，尤其是近年来Internet的流行，有些计算机病毒借助网络爆发流行。目前计算机的应用深入到社会的各行各业，计算机与人们的生产生活密切相关已然成为人们生活的一部分或者说一种生活方式。每件事物都有它的好处和它的坏处，对于计算来说它丰富了我们的生活、方便了我们的工作、提高了生产率、创造了更高的财富价值这是它的好处，

2、但同时伴随计算机的深入应用计算机病毒产生或发展也给我们带来了巨大的破坏和潜在的威胁，这是坏处。对于大多数一般的计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机的普及与深入，对计算机病毒的防范也在越来越受到计算机用户的重视。作为计算机的使用者，应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作，计算机病毒的防范工作，已经迫在眉睫。本论文从计算机病毒概述及入侵途径、计算机病毒防范、计算机病毒治理清楚入手，浅谈计算机病毒的特点及其应对手法。关键词：计算机病毒、计算机安全、入侵途径、病毒防治。1、

3、计算机病毒的概述计算机病毒与生物界的病毒不一样，它不是天然存在的，而是经过某些人根据计算机软硬件的脆弱性编制出来的一种具有特殊功能的程序。它跟生物界的病毒一样具有破坏性和传染性，如：具有自我复制能力、很强的感染能力、还有一定的潜伏性和特定的触发性等，因此人们称之为计算机病毒。计算机的信息需要存取、复制和传送，而计算机病毒作为信息的一种形式可以随机繁殖、感染和破坏。当计算机病毒取得控制权后，它会主动的去寻找感染目标，广泛的传播。随着计算机技术的发展越来越快，计算机病毒和计算机反病毒技术的对抗也愈发激烈。1.1计算机病毒的定义能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。1994年2月

4、18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例的第二十八条中指出：“计算机病毒是指编制或者在计算机程序中插入破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码”。1.2计算机病毒的发展计算机病毒是所有软件中最先利用操作系统底层功能，以及最先采用复杂的加密和反跟踪技术的软件之一。操作系统的升级时，就会伴随着一种新的计算机病毒技术的产生。计算机病毒技术也经历了几个阶段：在20世纪6070年代早期的大型计算机时代，因为开发人员的失误或恶作剧，一种早期的病毒程序就诞生了，它就是被称之“兔子”的程序。它在系统中可以分裂出替身，占用系统资源，影响正常的

5、工作。随着“爬行者”这种计算机病毒可以通过网络传播出现在一种叫做Tenex的操作系统中时就奠定了计算机病毒的思想基础。DOS引导阶段： 20世纪八十年代程序员的职业趋势化，一些独立程序员就写了很多游戏或者其他小程序的，通过电子公告版流传，窃取相关的帐号和密码，这时就诞生了无数的特洛伊木马病毒。1982年在苹果机上诞生了最早的引导区计算机病毒埃尔科克隆者。DOS可执行阶段： 可执行文件型病毒的出现是在1989年,它们利用DOS系统加载执行文件的机制工作,代表为耶路撒冷,星期天病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加

6、。1990年,发展为复合型病毒,可感染COM和EXE文件。 伴随、批次型阶段：1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。这类计算机病毒的特点是不改变原来的文件内容、日期及属性。而在非DOS系统中，伴随型计算机病毒利用操作系统的描述语言进行工作，它在得到执行时，询问用户名称和口令，然后返回一个错误信息，将自身删除。而批次型计算机病毒是工作在DOS系统下的文件型、引导型以及文件/引导复合型计算机病毒。幽灵、多形阶段 ：1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感

7、染一次就产生不同的代码。多态型计算机病毒是一种综合性病毒，它既能感染引导扇区又能感染程序区，多数具有解码算法，一种计算机病毒往往需要两段以上的子程序才能解除。生成器、变体机阶段 ：1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。1992年早期第一个多台计算机病毒生成器“MtE”开发出来，计算机病毒爱好者就利用这一工具生成了很多新型的多态计算机病毒。与此同时，第一个计算机病毒构造工具集“计算机病毒创建库”开发成功，这是一个非常著名的计算机病毒制造工具。网络、蠕虫阶段： 1

8、995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 Windows病毒阶段 ：随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。1996年，第一个真正OS/2下计算机病毒“AEP”计算机病毒出现，这一计算机病毒首

9、次可以将自己附着在OS/2可执行文件的后面，实现了计算机病毒真正定义感染。 宏病毒阶段 ：随着微软新的操作系统windows95、windowsNT和office的流行，计算机病毒制造者又开始使用新的感染和隐藏方法，制造出了在新的环境下可以自我复制和传播的计算机病毒。随着windows Word的功能增强，使用Word宏语言也可以编制出计算机病毒，这种病毒可以感染Word的文件。互连网阶段 ：随着Internet的发展，各种计算机病毒也可是利用Internet进行传播，一些携带计算机病毒的数据包和邮件越来越多。如果不小心打开了这些邮件,机器就有可能中毒。而第一个使用文件传输协议进行传播的蠕虫病

10、毒就是Homer。1.3计算机病毒的生物特性生物病毒是一种独特的传染因子，它能够利用宿主的营养物资来进行自我复制；而计算机病毒要复杂的多，计算机病毒是指编制或者在计算机程序中插入破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码”。计算机病毒与生物病毒有着一些极为相似的性质：1、宿主生物病毒必须存活在宿主细胞中才能繁殖，计算机病毒则是将自身的代码插入一段异己的程序代码中去，利用宿主的程序代码被执行或复制时，复制自己或产生效应，令系统瘫痪或破坏计算机资源。2、感染性复制后的生物病毒裂解宿主细胞而被释放出去感染新的宿主细胞，而被复制计算机病毒代码也要寻找特定的宿主程序代码

11、并感染。3、危害性生物病毒可以给人类带来很大的危害，如HIV等可以给人带来生命危险。而一些恶性计算机病毒也是会给计算机系统带来毁灭性的破坏的，使计算机系统资源招致无法修复性的破坏。也可能对硬件参数做修改。4、简单性生物病毒颗粒过于微小，无法携带病毒复制全部信息，所以只能靠宿主细胞来合成自身的所需。计算机病毒也是一样的，计算机病毒一般都不具备可执行文件的完整结构，因此也不可以被单独激活、执行和复制，必须将其代码的不同部分嵌入到宿主程序代码中去，才能使其具有传染和破坏性。5、特异性不同的生物病毒具有不同的感染机制。计算机病毒也是如此，如：Macro计算机病毒只能攻占数据表格文件，Invol计算机病

12、毒只能感染*.SYS的文件。6、顽固性由于计算机病毒的变异，使得消灭计算机病毒的工作十分不易，从目前情况来看想要真正征服病毒还是具有相当大的困难的。除此之外，计算机病毒还具有传染性、潜伏性、隐蔽性、破坏性、不可预见性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来了很大的难度。 随着计算机应用的不断发展，病毒也不断的表现出它的新特性：利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。1.4计算机病毒的分类根据计算机病毒的特点和特性它的分类也

13、比较多，因此同一种病毒的分类也有多种不同的分法：1)按照计算机病毒的寄生部位或传染对象分类磁盘引导区传染的计算机病毒磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其 他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权， 其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护， 则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。操作系统传染的计算机病毒操作系统是一个计算机系统得以运行的支持

14、环境，它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。可执行程序传染的计算机病毒可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。2)按照传播媒介的分类单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传

15、人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。3)按照病毒破坏能力的分类无害型除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型这类病毒仅仅是减少内存、显示图像等。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。

16、一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上能引发大量的数据丢失。4)按照病毒的算法伴随型病毒这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台机

17、器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒本身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指

18、令的解码算法和被变化过的病毒体组成。1.5计算机病毒的传播途径随着社会的不断进步科学的不断发展计算机病毒的种类也越来越多，但终究万变不离其宗！那他们是靠什么途径传播的了？目前病毒入侵的途径主要有以下几种：1、木马的入侵木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的;也可能是我们不小心，运行了包含有木马的程序，最多的情况还是我们防范意识不强，随便运行了别人发来的“好玩”的程序。所以，我们自己要多加注意，不要随意打开来历不明的电子邮件及文件，不要随便运行别人发来的软件，要先查毒再打开。安装木马查杀软件并及时更新。2、共享入侵为了方便远程管理而开放的共享，这个功能对个人用户来说

19、用处不大，反而给黑客入侵提供了便利。个人用户应禁止自动打开默认共享，给自己的帐户设置复杂密码，最好是数字、字母以及特殊符号相结合，安装防火墙。3、网页恶意代码入侵在我们浏览网页的时候不可避免的会遇到一些不正规的网站，当打开一个网页后，就发现注册表和IE设置被修改了，这就是网页恶意代码造成的破坏，但是这种网页恶意代码有着更大的危害，很有可能在我们不知道的情况下下载木马，蠕虫等病毒，同时把我们的私人信息，如银行帐号，QQ帐号，游戏帐号泄露出去。要避免被网页恶意代码感染，首先关键是不要轻易去访问一些并不信任的站点，不去打开那些自动弹跳出来的网页广告，尽量避免从Internet下载不知名的软件、游戏程

20、序，即使从知名的网站下载的软件也要及时用最新的木马查杀程序对软件和系统进行扫描，这样才能减少误中病毒的机会。4、通过光盘入侵由于光盘的容量大，对于只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。为了使软件及相关的数字资源的传播而得到广泛应用。一些不法分子将病毒刻录到光盘中让用户在不知不觉中被隐藏与其上的病毒感染从而入侵你的电脑系统。5、通过U盘等可移动存储介质入侵U盘、可移动硬盘等作为当前人们最方便、最常用的存储介质和文件拷贝、携带工具，同时为病毒的传播中发挥了重要的作用。6、通过网络入侵计算机网络特别是Internet的普及，给病毒的传播提供了便捷的途径。计算机病毒可以附着在正常文件中

21、，当你从网上下载一个被感染的程序或文件，并在你的计算机上未加任何防护措施的情况下运行它，病毒就传染过来了。1.6计算机病毒的入侵方式计算机病毒的入侵方式主要有以下几种：源代码嵌入攻击型从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序

22、，针对性较强，但是不易被发现，清除起来也较困难。系统修改型这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。外壳附加型这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。2、计算机病毒的检测技术2.1计算机反病毒的发展历程随着计算机技术的发展，计算机病毒技术和计算机反病毒技术的对抗越来越尖锐。计算机反病毒技术是从防计算机病毒卡开始的。防计算机病毒卡的核心实际上

23、是一个固化在ROM中的软件，它通过动态驻留内存来监视计算机运行情况，根据总结出来的计算机病毒行为规则和经验来判断计算机是否有计算机病毒运行。通过截获中断控制权规则和经验来判定是否有计算机病毒在活动，并可以截获中断控制权来使内存中的计算机病毒瘫痪，使其失去传染和破坏其他信息的能力。防计算机病毒卡的主要不足是与正常的、特别是国产的软件有不兼容的现象，误报、漏报计算机病毒的现象时有发生，降低的计算机运行速度，升级困难等。随着技术的不断发展，计算机病毒层出不穷，技术手段也越来越高。若是以一种不变的技术对付计算机病毒是不可能的，但是从反计算机病毒卡的动态监视技术、计算机病毒行为规则的研究，一种新的反计算

24、机病毒的技术逐渐的发展起来了，它就是反计算机病毒软件。反计算机病毒软件最重要的功能就是检测并清除病毒。第一代反计算机病毒技术是采取单纯的计算机病毒特征判断，将计算机病毒从带毒文件中清除。这种方式可以准确的清除病毒，可靠性很高。但是随着计算机病毒技术的发展，特别是加密和变形技术的应用，这种简单的静态扫描方式逐渐失去了作用。第二代反计算机病毒技术是静态广谱特征扫描方法检测计算机病毒，这种方式可以更多的检测出变形计算机病毒，但是误报率也有提高。因此，使用这种不严格的特征判定方式去清除计算机病毒的风险大，容易造成文件和数据的破坏。第三代反计算机病毒技术将静态扫描技术和动态仿真跟踪技术结合起来，查找计算

25、机病毒和清除计算机病毒二合一，形成一个整体解决方案，能够全面实现预防、检测和清除等反计算机病毒所必备的各种手段，以驻留内存的方式防止计算机病毒的入侵。凡是检测到的计算机病毒都能清除，不会破坏文件和数据。但是随着计算机病毒的数量的增加 和新型病毒技术的发展，依靠静态扫描技术反计算机病毒技术查毒效率降低，驻留内存也容易产生误报。第四代反计算机病毒技术则是针对计算机病毒的发展而逐步建立起来的基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的问题。2.2计算机

26、病毒检测原理计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。计算机病毒检测技术主要有两种，一种是根据计算机病毒程序中的关键字、计算机病毒的特征及感染方式和文件长度的变化，在特征分类的基础上建立的检测技术。另一种则是不针对计算机病毒的自身检验技术，而是对某个文件或数据段进行检验和计算，并保存结果，以后定期或不定期的对保存的数据文件进行检测，若发现有差异，则文件或数据遭到破环，从而检测到病毒的存在。2.2.1计算机病毒检测技术的基本原理计算机病毒感染正常文件后会引起正常文件的特征性变化，从这些变化中寻找本质的变化，将其作为计算机病毒的判断依据。国内外的主流反病毒技术通常使用下述

27、一种或者几种原理：反病毒程序计算各个可执行程序的校验和这些反病毒程序有些脱线运行，可以在启动时运行，也可以依照用户的愿望定期运行。还有一些采用在线运行方式，在被调用的程序被允许投入运行之前，先产生其校验和，然后与原程序的校验和做比较，如果一致则运行，否则将不被允许运行。某些反病毒程序是常驻内存程序这些反病毒程序是常驻在内存当中，它搜索可能进入系统的病毒。这些工具的目的是阻止病毒去感染计算机系统。少数的工具可以从感染病毒的程序中清除病毒少数反病毒工具可以将染病毒的程序修复好，但是，有些修复程序的修复效果并不能保证。修复后的程序执行时可能出现问题。某些反病毒工具在执行某个将产生病毒感染的程序时，会

28、向用户报警。若处置不当，会产生虚假报警。2.2.2检测病毒的基本方法借助简单工具检测简单工具就是指Debug等常规软件工具。用简单工具检测病毒要求检测者具备以下方面知识：1.分析工具的性能2.磁盘内部结构（如boot区、主引导分区、FAT表和文件目录等有关知识）3.磁盘文件结构4.中断矢量表5.内存管理（内存控制块、环境参数和文件的PSP结构等）6.阅读汇编程序的能力7.有关病毒的信息由于工具简陋，用这种检测方法的用户需要有一定的专业知识，并不适合一般人群使用，而且检测效率低。借助专用工具检测专用工具指专门的计算机病毒检测工具。由于专用工具的开发商对多种病毒进行剖析研究，掌握有多种病毒的特征特

29、性，可用于计算机病毒的诊断。专用工具具备自动扫描磁盘的功能，可以诊断磁盘是否感染病毒。这类工具自身功能强大，所以检测者不一定需要专业的知识。2.3计算机病毒主要检测技术和特点计算机病毒主要检测技术有：外观检测法、特征代码法、系统数据对比法、实时监控法等。这些方法依据原理不同，检测范围也不同，各有所长。2.3.1外观检测法计算机病毒入侵系统后，会使计算机系统的某些部位发生变化，进而引发一些异常现象，如屏幕显示的异常现象、系统运行速度异常、通信串行口的异常等。根据这些异常现象来判断病毒的存在，尽早发现病毒，使得及时的进行处理。2.3.2系统数据对比法计算机系统的重要数据一般存放在硬盘的主引导扇区、

30、FAT表、DOS分区引导扇区等地方。硬盘的主引导扇区中通常会有一段主引导记录程序代码和硬盘分区表。主引导记录用于在系统引导时装载硬盘引导扇区中的数据，以引导系统、分区表确定硬盘的分区结构。硬盘DOS分区的引导扇区除了首部的基本输入输出系统参数块不同外，其余的引导代码是相同的。FAT表是磁盘空间分配的信息，其记录着已分配、待分配和坏簇的信息。一般系统数据对比法分为：1.长度比较法和内容比较法计算机病毒感染系统或文件，必然会引起系统或文件的变化，包括长度的变化和内容的变化。因此将雾都的文件或系统与被检测的系统或文件长度和内容进行比较，即可发现是否有计算机病毒。2.内存比较法内存比较法是一种对内存驻

31、留计算机病毒进行检测的方法。计算机病毒驻留内存，必须要在内存申请一定的空间，并对空间进行占用与保护，因此通过对内存的检测，观察其空间的变化，与正常系统内存的占用和空间进行比较，可以判定是否有计算机病毒。3.中断比较法计算机病毒为实现其隐蔽性和传染破坏目的，常采用“截留盗用”技术，更改、接管中断向量，让系统中断向量转向执行计算机病毒控制部分。因此将正常的系统中断向量与被检测系统的中断向量做比较，就可以发现是否有计算机病毒修改和盗用中断向量。2.3.3病毒签名检测法计算机病毒感染标记是宿主程序已被感染的标记，不同计算机病毒感染宿主程序时，在宿主程序不同位置放入特殊的感染标记，这些标记可以是一些数字

32、或字符串。不同计算机病毒的计算机病毒签名内容不同，放置签名的位置也不同。计算机病毒签名检测法的特点：必须预先知道计算机病毒签名的内容和位置要想知道计算机病毒签名的内容和位置就必须剖析计算机病毒，这种方法要花费很大开销。可能造成虚假警报如果一个正常程序在特定位置具有和计算机病毒签名完全相同的代码，计算机病毒检测法就不能判断，就可能造成错误警报。2.3.4特征代码检测法有些计算机病毒判断主程序是否收到感染，是以宿主程序中是否有某些可执行代码段落做判断，因此用类似的检测法在可疑程序中搜索某些特殊代码，即为特征代码检测法。计算机病毒通常具有明显的特征代码，特征代码可能是计算机病毒的感染标记，特征代码也可能是一小段计算机程序，由若干个计