可執(zhí)行文件病毒描述：

可執(zhí)行文件病毒是傳統(tǒng)病毒之一。這類病毒的編寫者的技術(shù)水平可說相當(dāng)高超，可執(zhí)行文件病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數(shù)段藏身其中，在可執(zhí)行文件運行的同時進(jìn)駐到內(nèi)存中并進(jìn)行感染工作，dos下大多為可執(zhí)行文件病毒居多，在windows下由于win95時期病毒編寫者對pe32的格式?jīng)]吃透，那段時間比較少，之后在win98階段可執(zhí)行文件病毒才擴(kuò)散開來，其中大家廣為熟悉的CIH病毒就是一例。

在windows發(fā)展的中后期，互聯(lián)網(wǎng)絡(luò)開始興盛，可執(zhí)行文件病毒開始結(jié)合網(wǎng)絡(luò)漏洞進(jìn)行傳播，其中的杰出代表為funlove傳播——由于windows操作系統(tǒng)的局網(wǎng)共享協(xié)議存在默認(rèn)共享漏洞，以及大部分用戶在設(shè)置共享的時候貪圖方便不設(shè)置復(fù)雜密碼甚至根本就沒有密碼，共享權(quán)限也開啟的是“完全訪問”。導(dǎo)致funlove病毒通過簡單嘗試密碼利用網(wǎng)絡(luò)瘋狂傳播。

可執(zhí)行文件病毒淺析：

由于可執(zhí)行文件病毒的編寫對作者要求很高，對運行環(huán)境的要求也相當(dāng)嚴(yán)格，在編寫不完善的時候，會導(dǎo)致系統(tǒng)異常（例如CIH的早期版本會導(dǎo)致winzip出錯和無法關(guān)閉計算機(jī)等問題；funlove在nt4上會導(dǎo)致 mssqlserver的前臺工具無法調(diào)出界面等問題）。可執(zhí)行文件病毒賴以生存的制約是系統(tǒng)的運行時間和隱蔽性。運行時間——系統(tǒng)運行的時間越長，對其感染其他文件越有利，因此此類病毒中一般不含有惡意關(guān)機(jī)等代碼，染毒后短期內(nèi)（一般24小時內(nèi)）也不會導(dǎo)致系統(tǒng)崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時間。破壞引導(dǎo)區(qū)的大腦病毒、擇日發(fā)作的星期五病毒、直接讀寫主板芯片，采用驅(qū)動技術(shù)的CIH病毒都是其中的代表。

可執(zhí)行文件病毒感染途徑：

可執(zhí)行文件病毒本身依靠用戶執(zhí)行而進(jìn)行被動運行，常見感染途徑為：盜板光盤、軟盤、安全性不佳的共享網(wǎng)絡(luò)；

可執(zhí)行文件病毒自查：

可執(zhí)行文件病毒大多通過的是進(jìn)駐內(nèi)存后篇歷目錄樹的方式，搜索每個目錄下的可執(zhí)行文件進(jìn)行感染，因此對內(nèi)存占用得比較厲害——如果突然在某個時間后發(fā)現(xiàn)自己的機(jī)器內(nèi)存占用很高，可能就是感染了此類病毒。

可執(zhí)行文件病毒查殺：

可執(zhí)行文件病毒由于編寫難度較大，因此升級（病毒也玩升級？對，例如CIH是在1.4版本后才完善的）速度相對較慢，但由于開機(jī)后進(jìn)駐的程序可能已經(jīng)被病毒感染，因此殺毒條件是各種病毒中最為嚴(yán)格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：

1.軟盤（光盤）啟機(jī)使用殺毒軟（光）盤進(jìn)行殺毒；在進(jìn)行這步的時候，必須要保證軟盤或光盤的病毒庫內(nèi)已經(jīng)有殺除該病毒的特征碼。

2.將硬盤拆下，作為其他機(jī)器的從盤；從其他機(jī)器的主盤啟動進(jìn)行殺毒（該機(jī)需打開病毒即時監(jiān)控，以防止來自從盤的可執(zhí)行文件中的病毒進(jìn)駐到內(nèi)存中）；以常見的國產(chǎn)幾種殺毒軟件為例，在購買的正式版本中，除了供安裝使用的光盤外，一般還包含幾張軟盤（一張引導(dǎo)盤，一張殺毒程序盤，一張病毒庫盤）。在對待上面提到的可執(zhí)行文件病毒時，***的做法就是用引導(dǎo)盤啟動計算機(jī)，然后根據(jù)提示將殺毒程序盤和病毒盤依次插入，進(jìn)行病毒查殺。

注意：

1.目前比較新版本的殺毒程序盤都能完善地支持ntfs分區(qū)的讀寫，如果您是在幾年以前購買的殺毒盤，可以根據(jù)廠家的服務(wù)方式進(jìn)行升級；

2.由于采用軟盤殺毒的時候，使用的是軟盤上的病毒庫，為了能正確地查殺病毒，請定期升級軟盤的病毒庫，否則真到用的時候就哭也哭不出來了。

可執(zhí)行文件病毒防范：

安裝包含即時監(jiān)控的殺毒軟件并啟機(jī)執(zhí)行，每天升級病毒庫獲取***病毒特征代碼；盡量不使用來源不可靠的軟盤和光盤，使用前先掃描。

可執(zhí)行文件病毒殺毒遺留：

由于可執(zhí)行文件病毒是寄生到其他程序內(nèi)部，即使非常優(yōu)秀的殺毒軟件，能做到的也只是把該染毒程序內(nèi)的病毒某關(guān)鍵執(zhí)行部分刪除，使得染毒程序在運行時病毒無法運行。因此并不是嚴(yán)格意義上的完全清除——病毒程序的某部分依然殘留在程序內(nèi)部，俗稱“病毒僵尸”。

可執(zhí)行文件病毒在被查殺的時候，最主要的是分析捕捉特征代碼，因為抓特征碼的過程中不僅要準(zhǔn)確地破壞病毒的執(zhí)行部分，而且不可以觸動正常的程序代碼。否則會常常出現(xiàn)殺毒之后該程序無法使用的情形——那還叫什么殺毒？還不如直接刪除文件比較好嘛！在查殺這類病毒上，根據(jù)筆者的使用經(jīng)驗，norton和國內(nèi)的金山毒霸做的比較好一些。

【編輯推薦】

1. 25日病毒預(yù)報：謹(jǐn)防腳本病毒 后門木馬現(xiàn)身
2. “VBS”腳本病毒特點 原理分析以及如何防范
3. 文件夾病毒的防治措施
4. 手機(jī)病毒種類增多 智能手機(jī)用戶需謹(jǐn)慎
5. 手機(jī)病毒威脅個人信息安全
6. 病毒檔案之腳本病毒解析