可執(zhí)行文件病毒描述：

可執(zhí)行文件病毒是傳統(tǒng)病毒之一。這類病毒的編寫者的技術(shù)水平可說(shuō)相當(dāng)高超，可執(zhí)行文件病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數(shù)段藏身其中，在可執(zhí)行文件運(yùn)行的同時(shí)進(jìn)駐到內(nèi)存中并進(jìn)行感染工作，dos下大多為可執(zhí)行文件病毒居多，在windows下由于win95時(shí)期病毒編寫者對(duì)pe32的格式?jīng)]吃透，那段時(shí)間比較少，之后在win98階段可執(zhí)行文件病毒才擴(kuò)散開來(lái)，其中大家廣為熟悉的CIH病毒就是一例。

在windows發(fā)展的中后期，互聯(lián)網(wǎng)絡(luò)開始興盛，可執(zhí)行文件病毒開始結(jié)合網(wǎng)絡(luò)漏洞進(jìn)行傳播，其中的杰出代表為funlove傳播——由于windows操作系統(tǒng)的局網(wǎng)共享協(xié)議存在默認(rèn)共享漏洞，以及大部分用戶在設(shè)置共享的時(shí)候貪圖方便不設(shè)置復(fù)雜密碼甚至根本就沒有密碼，共享權(quán)限也開啟的是“完全訪問”。導(dǎo)致funlove病毒通過(guò)簡(jiǎn)單嘗試密碼利用網(wǎng)絡(luò)瘋狂傳播。

可執(zhí)行文件病毒淺析：

由于可執(zhí)行文件病毒的編寫對(duì)作者要求很高，對(duì)運(yùn)行環(huán)境的要求也相當(dāng)嚴(yán)格，在編寫不完善的時(shí)候，會(huì)導(dǎo)致系統(tǒng)異常（例如CIH的早期版本會(huì)導(dǎo)致winzip出錯(cuò)和無(wú)法關(guān)閉計(jì)算機(jī)等問題；funlove在nt4上會(huì)導(dǎo)致 mssqlserver的前臺(tái)工具無(wú)法調(diào)出界面等問題）。可執(zhí)行文件病毒賴以生存的制約是系統(tǒng)的運(yùn)行時(shí)間和隱蔽性。運(yùn)行時(shí)間——系統(tǒng)運(yùn)行的時(shí)間越長(zhǎng)，對(duì)其感染其他文件越有利，因此此類病毒中一般不含有惡意關(guān)機(jī)等代碼，染毒后短期內(nèi)（一般24小時(shí)內(nèi)）也不會(huì)導(dǎo)致系統(tǒng)崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時(shí)間。破壞引導(dǎo)區(qū)的大腦病毒、擇日發(fā)作的星期五病毒、直接讀寫主板芯片，采用驅(qū)動(dòng)技術(shù)的CIH病毒都是其中的代表。

可執(zhí)行文件病毒感染途徑：

可執(zhí)行文件病毒本身依靠用戶執(zhí)行而進(jìn)行被動(dòng)運(yùn)行，常見感染途徑為：盜板光盤、軟盤、安全性不佳的共享網(wǎng)絡(luò)；

可執(zhí)行文件病毒自查：

可執(zhí)行文件病毒大多通過(guò)的是進(jìn)駐內(nèi)存后篇?dú)v目錄樹的方式，搜索每個(gè)目錄下的可執(zhí)行文件進(jìn)行感染，因此對(duì)內(nèi)存占用得比較厲害——如果突然在某個(gè)時(shí)間后發(fā)現(xiàn)自己的機(jī)器內(nèi)存占用很高，可能就是感染了此類病毒。

可執(zhí)行文件病毒查殺：

可執(zhí)行文件病毒由于編寫難度較大，因此升級(jí)（病毒也玩升級(jí)？對(duì)，例如CIH是在1.4版本后才完善的）速度相對(duì)較慢，但由于開機(jī)后進(jìn)駐的程序可能已經(jīng)被病毒感染，因此殺毒條件是各種病毒中最為嚴(yán)格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：

1.軟盤（光盤）啟機(jī)使用殺毒軟（光）盤進(jìn)行殺毒；在進(jìn)行這步的時(shí)候，必須要保證軟盤或光盤的病毒庫(kù)內(nèi)已經(jīng)有殺除該病毒的特征碼。

2.將硬盤拆下，作為其他機(jī)器的從盤；從其他機(jī)器的主盤啟動(dòng)進(jìn)行殺毒（該機(jī)需打開病毒即時(shí)監(jiān)控，以防止來(lái)自從盤的可執(zhí)行文件中的病毒進(jìn)駐到內(nèi)存中）；以常見的國(guó)產(chǎn)幾種殺毒軟件為例，在購(gòu)買的正式版本中，除了供安裝使用的光盤外，一般還包含幾張軟盤（一張引導(dǎo)盤，一張殺毒程序盤，一張病毒庫(kù)盤）。在對(duì)待上面提到的可執(zhí)行文件病毒時(shí)，***的做法就是用引導(dǎo)盤啟動(dòng)計(jì)算機(jī)，然后根據(jù)提示將殺毒程序盤和病毒盤依次插入，進(jìn)行病毒查殺。

注意：

1.目前比較新版本的殺毒程序盤都能完善地支持ntfs分區(qū)的讀寫，如果您是在幾年以前購(gòu)買的殺毒盤，可以根據(jù)廠家的服務(wù)方式進(jìn)行升級(jí)；

2.由于采用軟盤殺毒的時(shí)候，使用的是軟盤上的病毒庫(kù)，為了能正確地查殺病毒，請(qǐng)定期升級(jí)軟盤的病毒庫(kù)，否則真到用的時(shí)候就哭也哭不出來(lái)了。

可執(zhí)行文件病毒防范：

安裝包含即時(shí)監(jiān)控的殺毒軟件并啟機(jī)執(zhí)行，每天升級(jí)病毒庫(kù)獲取***病毒特征代碼；盡量不使用來(lái)源不可靠的軟盤和光盤，使用前先掃描。

可執(zhí)行文件病毒殺毒遺留：

由于可執(zhí)行文件病毒是寄生到其他程序內(nèi)部，即使非常優(yōu)秀的殺毒軟件，能做到的也只是把該染毒程序內(nèi)的病毒某關(guān)鍵執(zhí)行部分刪除，使得染毒程序在運(yùn)行時(shí)病毒無(wú)法運(yùn)行。因此并不是嚴(yán)格意義上的完全清除——病毒程序的某部分依然殘留在程序內(nèi)部，俗稱“病毒僵尸”。

可執(zhí)行文件病毒在被查殺的時(shí)候，最主要的是分析捕捉特征代碼，因?yàn)樽ヌ卣鞔a的過(guò)程中不僅要準(zhǔn)確地破壞病毒的執(zhí)行部分，而且不可以觸動(dòng)正常的程序代碼。否則會(huì)常常出現(xiàn)殺毒之后該程序無(wú)法使用的情形——那還叫什么殺毒？還不如直接刪除文件比較好嘛！在查殺這類病毒上，根據(jù)筆者的使用經(jīng)驗(yàn)，norton和國(guó)內(nèi)的金山毒霸做的比較好一些。

【編輯推薦】

1. 25日病毒預(yù)報(bào)：謹(jǐn)防腳本病毒 后門木馬現(xiàn)身
2. “VBS”腳本病毒特點(diǎn) 原理分析以及如何防范
3. 文件夾病毒的防治措施
4. 手機(jī)病毒種類增多 智能手機(jī)用戶需謹(jǐn)慎
5. 手機(jī)病毒威脅個(gè)人信息安全
6. 病毒檔案之腳本病毒解析