最早发现的各类恶意代码，到现在为止，大多数的计算机毒病通常是主机存在用户操作系统的，目前最有效的传播也是针对 Windows 系统计算机病毒最为广范，如本节中主要研究的 Win32PE、脚本病毒及宏病毒都是针对 Windows 计算机病毒。

Windows 计算机病毒

一、Win32PE 病毒

Win32PE 计算机病毒是用 Win32 程序编写而成，采用 PE 格式因此被命名。中国流行的黑客主要采用 Funlove 等入侵都隶属到 Win32PE 病毒范围。通常Win32 PE计算机病毒有着下几个特性（通过找出Win32 PE计算机病毒的特性，解决以下几个特性就是我们研究的方向）：

1、重定位是 Win32 PE 计算机病毒的功能之一。计算机病毒的出现因为对变量变化引发不精准从而诱发计算机病毒不能够正常执行时，这时就要求病毒对自身的代码进行重新准确定位。

2、API 函数的地址获取。首先得到 Kernel132.dll 代码的基本位址， Windows 98的地址 BFF70000，Windows 2000 的地址 77E80000，Windows XP 的地址 77E60000。得到 Kernel132.dll 所在的位置后定位 API 函数的位址，之后方能获得任一想调用的 API函数位址。

3、搜索文件。搜索文件一般用的方法是递归算法，在搜索中找到有条件环境的感染文件，之后就会对其感染。

4、内存中映射的文件。映射文件可以提供一系列完全独立的函数，会在进程的虚拟位址空间上，任一地址映射到硬盘内的相关文件或者磁盘里的部分文件，如此，对映射到的文件中在执行数据操作时，便可以操作内存了，此时降低系统资源利用的从而提升了映射文件运行的速度。

二、宏病毒

宏的定义为由一系列的 WORD 指令或者命令组合在一起之后完成的指令（和 DOS中相似的是 DOS 批处理命令），简化来讲是一类普遍性的常规动作同时完成多任务能够自动运行。创建 Word 文档的形式普遍是由 Word 模板，模板组成部分有宏、格式和菜单等相关文档元素构成。计算机宏病毒入侵操作系统，保证 Word 办公软件在运行后能够获得相应的控制权，一般会在篡改 Word 模板中 Normal.dot 文件，以便嵌入宏病毒。

三、脚本病毒

1、利用映射文件运行的形式，完成文件相关映射入侵病毒代码。

2、篡改注册表中的项目。在 Windows 运行同时自动将注册表内的所有键值所指向的执行程序，脚本病毒会利用这此键值入侵指向执行病毒，最终完成修改和控制相关权限运行。

3、folder.htt 及 desktop.ini 两个文件的匹配指向最终达到获取权限。

4、运用个性的文件名对用户进行欺骗或诱导，促使系统用户自主的去运行。

木马的传播

a) 木马传播形式

木马本身缺乏在传播过程的主动性，所以木马在传播感染的过程中都要有人维的执行，通常会有下面的传播感染方式：

2) 通过电子邮件的传播形式。远程端通过发送带病毒的邮件来达到目的，此种邮件会利用各种诱惑手段引导用户打开邮件中的附件，那么一旦用户打开附件上马上木马程序启动，使其电脑感染木马程序。

木马程序

b) 木马的隐藏技术及手段

木马程序开发者设计了多样的伪装木马手段从而隐藏木马程序不被发现，同时利用多样性的手段对木马进行伪装以逃避安全软件的检测和查杀，用这些手段和技术方法来影响用户对木马的发现。以做到不被用户查觉。具体的形式有以下几种：

（二）图标的修改。就是一个正常的安装程序或文件的图标，被木马程序将所用其伪装成看似是一个常用的安装程序或文件，一旦打开木马程序就会运行。但现在此种方法已经不常用。

（三）通过对端口进行定制。因为前期的木马程序使用的端口都是固定的，在检测时要选中特定的端口就会发现木马程序，随着木马程序的发展已经可以通过对端口时行定制，这样提高了对木马程序的断定。

（四）文件出错对话窗显示。相应的木马程序在被系统用户执行时，会提示一个伪装的文件出错对话窗口，其实这时系统已经感染了木马程序。

（五）更名的木马程序。此类木马为了伪装可能会篡改一些常用的安装程序的名称来诱导用户去执行它，同样是想方设法的让用户去执行。

（六）木马程序本身销毁。木马程序在被执行启动后已经侵入系统中，会通过本身功能进行自我销毁。

蠕虫传播

蠕虫工作过程主要包括：漏洞扫描、攻击、现场处理和复制。以下简单的对蠕虫攻击的方法做一下介绍。

1) 缓冲区的溢出攻击

我们所说的缓冲区的溢出，其通常是因为用户录入的参数并没有被程序认真的检查所造成的。蠕虫之所以制造这种类型的缓冲区的溢出，是因为从而可以得到被攻击的主机的控制权限，进而达到其对系统可以随意操纵的目的。

保护电脑不受蠕虫病毒攻击

2) 拒绝服务攻击

3) 弱密码式攻击

相当多的用户没有安全意识，把密码设置的也非常简单，甚至使用空白密码，这样就给这种类型的蠕虫攻击创造了条件。

其它病毒的传播

一、网络式钓鱼（Phishing）

网络式钓鱼（Phishing）是通过发送垃圾邮件的方式，来引诱接邮件者列出比如：口令，用户名，等等敏感资料信息。它的主要用途和目的为：金融欺诈、传播病毒软件、非法获得用户 Email 地址及密码。网络式钓鱼能通过多种方式进行传播同时对用户进行攻击。

二、灰色软件

灰色软件

我们只有知道病毒是怎么传播的，才能更好的预防计算机病毒的入侵。