术语表

A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - Q - R - S - T - U - V - W - X - Y - Z

A

B

伴随型病毒、同伴病毒

（Virus——companion）——形式上属于文件病毒。未植入到可执行程序。此类病毒利用DOS系统特点，使具有相同名称但不同扩展名的程序文件以不同的优先级运行。计算系统根据优先级确定任务、程序或操作的执行顺序。大多数伴随型病毒创建的.COM文件比相同名称的.EXE文件具有更高的优先级。按名称启动文件（未指定扩展名）时，将启动扩展名为.COM的文件。

此类病毒可以驻留并伪装成备份文件。

备份

（Backup copy） ——磁盘、程序、文件、文档备份，以备原始文件一旦受损能够使用。

BIOS病毒

（BIOS-kit）——一种能够感染计算机BIOS的恶意程序。

病毒变体、变形、变种

（Variant）——同一病毒经修改产生的不同版本。病毒编写者或第三方都有可能对病毒代码进行修改。

BEC （Business E-mail Compromises，另有名称为CEO fraud、Whaling）

——一种网络诈骗形式。不法分子假冒潜在客户与公司上层进行邮件往来，目的是骗取信任，诱使转账或透露公司业务及员工的保密信息。

病毒

（Virus）——能够感染文件对象的软件，可自我复制。

病毒代码、特征码

（Signature）——字符及其明确的解释规则系统，以数据形式记录的信息。是一组固有字符或字节排序，仅存在于特定的病毒及其所有副本中，因此可用于将其侦测。反病毒扫描仪可利用特征码侦测病毒。多态病毒没有特征码。

病毒通知恶作剧

（Hoax）——用中性语气编写的非恶意邮件。例如，邮件声称新病毒正在传播。大多数病毒恶作剧都有下列一个或多个特征：

1. 邮件编写者提到的病毒命名不符合大多数反病毒公司使用的规则。
2. 重点在于“病毒”尚未被反病毒程序发现。建议用户找到某一文件并将其从磁盘中删除。
3. 邮件中请收件人在找到指定文件后告知亲朋好友以及通讯录中的所有联系人。

尽管此类事件不具备危险性，但危害也显而易见，大量群发这种无用信息会耗费邮件流量及用户时间。

病毒的恶意行为

（Damage）— 病毒可以在用户的计算机上执行下列恶意操作：

1. 导致某系统运行功能出现问题，引发错误和故障，导致系统重启后立即死机。
2. 执行程序未规定的操作。
3. 损坏文件、磁盘（格式化光盘，删除文件）。
4. 在屏幕上显示烦人的虚假消息。
5. 生成声音效果或视觉效果（掉落的字母、播放旋律等）。
6. 阻止访问系统资源（由于多次重复感染而导致被感染文件增加，计算机运行速度变慢等）。
7. 假装硬件故障（将部分集群转换为“伪故障”）。

应该注意的是，最危险之处不是硬盘驱动器或软盘的灾难性损坏，而是数据文件会发生用户不易察觉的变化。

病毒破坏行为

（Destructiveness）——指病毒运行策略。有时在用户不知情的情况下暗中运行，恶意操作的目的是破坏操作系统正常运行，甚至使其完全崩溃。还包括病毒开始运行的条件及其运行算法。

病毒的类型

根据被感染对象的类型，计算机病毒分为下列几类：

• 文件病毒

  （File viruses） ——感染二进制文件（主要是可执行文件和动态库）的病毒。大多数情况下，此类文件的扩展名为.EXE、.COM、.DLL、.SYS。也可以感染扩展名为.DRV、.BIN、.OVL和.OVY的文件。

  此类病毒植入到操作系统文件，在受损程序启动后激活并进行传播。

• 引导（Boot）病毒（Boot viruses） ——感染软盘、硬盘分区以及硬盘MBR（Master Boot Record）的病毒。

• 宏病毒

  （Macroviruses） ——感染Microsoft Office应用程序和允许存在宏（最常见是使用Visual Basic语言）的其他程序所使用文档文件的恶意程序。这类病毒被广为传播的一个原因在于Microsoft Office所有主要组件都可能包含使用全功能编程语言的嵌入程序（宏），而在Microsoft Word中这些宏会在打开、关闭、保存任意文档时自行启动。

  此外，还有一个所谓的通用模板NORMAL.DOT，放置在通用模板中的宏会在您打开任意文档时自行启动。由于只需一个指令即可将宏在文档中相互复制（特别是使用通用模板的文档），因此Microsoft Word环境非常容易滋生宏病毒。

Boot病毒首尾长度

（Boot virus size）——Boot病毒首部长度即软盘或MBR引导扇区中的病毒长度。病毒尾部长度即在硬盘（此类扇区标记为错误扇区）或软盘可用空间的病毒长度。

Bootkit

（Boot viruses）——感染软盘、硬盘分区引导记录（Boot record）的恶意程序，还能够修改主引导扇区MBR（Master Boot Record）。

拨号器

（(Dialers）——不法分子用来骗取受害者话费或通过调制解调器为用户暗中订阅高价电话服务的程序。

补丁

（Patch）——由厂家添加到已完成程序代码中的指令序列，用于修正现有错误。这样的指令序列作为单独的区块或文件，在指令的必要位置放置跳转字符串。有时在新版本发布之前作为现有程序版本附加功能的一种手段，以常用方式引入。

C

操作系统，系统

（Operating System，OS）——组织计算机系统计算进程的程序。

OS主要功能是在任务之间分配计算系统资源，使其运行更有效率。用户利用操作系统指令可以管理操作系统。

使用各种版本和配置的MS-DOS、Windows、OS/2或Unix管理个人计算机运行。

计算机病毒是高度专业程序，也依赖于自身的运行环境。使用的是什么操作系统是的病毒传播环境最为重要的特征。

插件

（Plug-in）——在主程序中执行附加功能的辅助程序。

程序缺陷、错误

（bug）——任意意外出现的程序语法错误或语义错误。

D

点滴木马

（Dropper）——将病毒安装到系统的文件载体。病毒编写者有时会使用这种技术来隐藏病毒，防止反病毒程序将其发现。

定时炸弹

（Time bomb）——一种特殊的逻辑炸弹，其中隐藏模块为定时启动。

DNS感染

（DNS poisoning）——对DNS服务器缓存的攻击。导致在缓存中出现受害者信任主机的DNS名称与攻击者指定的IP地址对应关系的错误记录。这是一种欺骗攻击。攻击可能会影响客户端主机和服务器主机，可能导致大量用户被重定向到欺骗性地址。

DoS攻击

（DoS-attacks）——不法分子从事网络恐怖主义活动的常用攻击形式，从计算机向被攻击服务器发送请求，目的是导致服务器出现故障。请求达到一定数量时，服务器因硬件受限会不堪重负，停止服务。不法分子在进行这种攻击前往往还会采用欺骗攻击。DoS攻击已成为恐吓和勒索竞争对手的一种常用手段。

实验室病毒

（Zoo virus）——只存在于反病毒实验室、病毒研究人员的“收藏”中，不会出现在“外界”。

Dr.Web反病毒程序数据库

Dr.Web反病毒产品数据库由基础病毒库（drwebase.vdb文件）及每周的更新组成，基础病毒库包含在该版本程序发布时已知的病毒记录，每周更新则包含上一次每周更新发布后一周内发现的病毒特征码文件。此外，随着病毒侦测还会发布最热更新（通常每天数次），包括在最新一次每周更新后发现的所有病毒特征码。

用于通过产品组件侦测广告程序或拨号器的记录包含在drwnasty.vdb病毒库。恶作剧程序、风险程序和未经授权进行访问的程序的相关记录包含在drwrisky.vdb病毒库。同基础病毒库的每周更新及最热更新一样，恶意程序库也会发布每周更新和最热更新（drwnasty.vdb、dwrXXXYY的dwnXXXYY.vbb和dwntoday.vdb 以及dwrtoday.vdb的 drwrisky.vdb ）。这些病毒库的最热更新比基础病毒库的最热更新少很多。

多态

（Polymorphism）——病毒用来改变自身代码，使同一病毒的不同版本有所区别的一种技术，最理想的多态是没有任何一个字节相符。

多态病毒

（Polymorphic viruses）——或者带有可变解密器的病毒（按照N.N. Bezrukov的理论），除了加密代码之外还使用特殊解密程序的病毒，在每个新的病毒版本中都会自行更改，导致无特征码字节可寻。解密器不会保持不变，对于每个版本的病毒，其解密器都是唯一的。

端口

（Port） ——用于将计算机中央处理器或主存储器与其他设备连接以进行数据传输的设备。

E

F

FAT表

（File Allocation Table） ——用于放置文件的表，用于动态分配硬盘空间的表，内存可分配存储单元是簇。

反杀毒病毒

（Anti-antivirus Virus, Retrovirus）——一种攻击反病毒软件的计算机病毒。

攻毒病毒

（Anti-virus Virus）——一种攻击其他计算机病毒的计算机病毒。

反病毒软件

（Anti-virus program）——用于查找、诊断、预防并清除感染计算机的病毒文件的程序。查找和诊断过程中确定被感染文件和病毒类型。预防功能可防止感染。清除即删除病毒并恢复受损文件。

反病毒扫描仪

（Anti-virus scanner）——一种可利用反病毒程序已知病毒数据库或病毒代码侦测被感染文件中病毒程序代码（特征码）的程序。扫描仪可定期（例如根据用户的要求）检查指定对象（磁盘、目录或文件以及内存和引导扇区）是否存在恶意代码。

反病毒程序数据库，病毒库

（Anti-virus program virus database）——包括反病毒程序已知的病毒代码片段（特征码）信息以及恢复（修复）感染计算机病毒文件的所需信息。现代计算机病毒传播速度极快，在几天，甚至几个小时内重新出现的病毒可以在世界范围内感染数百万计算机。反病毒产品厂商不断向病毒库添加新的病毒记录（特征码）。反病毒产品安装这些补充之后，能够侦测新病毒，阻止病毒传播，有时还可以修复被感染文件。

G

干净软盘

（Clean diskette）——受写入保护的启动软盘，用户可以确信上面没有病毒。

“共享软件”

（Shareware soft）——是一种免费传播的软件，无需向编写者付款。如果试用后，用户不想使用该软件，则必须将其删除。使用“共享软件”而不向编写者付款被视为盗用。

归档文件

（(Archive file）——经由归档工具压缩后的文件。

H

宏病毒

（Macroviruses）——感染由Microsoft Office应用程序和允许存在宏的其他程序创建的文件的恶意程序。

后门

（Back-door）——确保访问系统或绕过现有权限系统（运行模式）获取特权的程序。通常用于绕过现有的安全系统。后门不会感染文件，但会修改注册表项，在注册表中进行自我注册。

后门木马

（Backdoors）——可远程控制被感染系统的程序。常用于绕过已有安全系统。

后台模式

（Background）——暗中执行的系统任务。此类任务通常优先级较低。某些恶意程序以后台模式运行，完成用户不可见的操作。

HTML语言

（Hyper Text Markup Languages）——WWW万维网上用于创建和发布Web文档的标准超文本标记语言，支持用于建立超媒体文档所需的基本功能：打开图形、编排文本格式、连接视频和音频、创建超链接、在WWW上查找信息。

I

J

JavaScript语言

——Netscape公司创建的脚本编程语言。与Java编程语言兼容。用于编写内置于Web页面中的脚本。

加密病毒

（Encrypted viruses）——此类病毒对自身代码进行加密，使其难以在文件、内存或扇区中被反汇编或发现。病毒的每个副本都仅包含一个简短的通用片段，即一种可作为特征码的解密过程。该病毒在每次感染后都会自动自我加密，并且每次都以不同的方式加密，试图通过这种方式避免被反病毒程序发现。

僵尸网络

（Botnet）——感染僵尸木马的计算机网络。使用僵尸网络可群发垃圾邮件或进行网络攻击，比如选配密码或进行DDoS攻击。

脚本

（Script）——通常使用解释型语言（非已编译型语言）编写的程序，一种程序代码特殊类型，包含命令指示。

脚本病毒

（Script virus）——使用Visual Basic、Java Script、Jscript及其他语言编写的病毒。 Visual Basic和Java Script语言编写的程序既可以位于单独的文件中，也可以嵌入到HTML文档中，并以这种形式由浏览器从远程服务器或本地磁盘进行解释。

计算机病毒

（Computer viruses） ——程序或程序代码片段，入侵计算机后违背用户的意愿在计算机上执行各种操作：创建或删除对象、修改数据文件或程序文件、通过局域网或互联网进行传播。程序文件、数据文件或磁盘引导扇区文件经修改会变成病毒代码的载体，并反过来执行上述操作，这被称为感染，是计算机病毒最重要的特征。根据被感染对象的类型，病毒分为不同种类。

K

可执行文件（Executable file）——操作系统准备执行的文件。例如，在MS——DOS操作系统中可执行文件具有扩展名.exe、.com及.bat。

带有.exe、 .com扩展名的文件是程序；

带有.bat扩展名的文件是批处理文件。

L

零日威胁（零日漏洞）

——尚未开发补丁的软件或硬件漏洞，安装补丁可使威胁无法发挥作用。使用反病毒保护可抵御零日威胁，拦截不法分子试图利用漏洞植入的恶意代码。

漏洞

——程序或硬件中的错误，使不法分子可以将恶意代码植入到易受攻击的程序或系统，拦截经处理的数据或执行恶意操作。漏洞可能源于软件的错误设置（例如，使用弱密码）或者程序开发人员未预见到可被攻击的错误。

逻辑炸弹

（Logic bomb）——嵌入到早期开发并被广泛应用的程序中的隐藏模块。该模块在某个事件发生（例如，用户按下某些按键，或到某个日期或时间）之前是无害的，事件发生后就起作用。

M

蜜罐

（Honey pots）：用于吸引不法分子的特殊系统，用来确定黑客所用的方法、工具、材料等信息。

MtE病毒

（MtE viruses）——由MtE（Mutant Engine）多态生成器创建的多态病毒。这一生成器是一种特殊的算法，用于加密/解密或生成解密器，附加到病毒的任意目标代码。 该解密器没有固定单字节，往往长度不同。

木马

（Trojans）——未经用户授权在计算机上进行操作的恶意程序。此类操作未必具有破坏性，但往往对用户有害。

此类攻击的名称取自关于特洛伊木马的著名神话故事，故事中希腊人利用这一木马攻入特洛伊。

示例

：Trojan.Botnetlog、Trojan.DownLoad、Trojan.Stuxnet。

N

（内存）常驻病毒

（Memory resident virus）——一种固定存在内存中的病毒，通常由汇编语言或C语言编写。

这种病毒能够更有效地感染程序并抵御反病毒工具。内存占用小。在启动、重新启动或关闭计算机之前始终准备继续执行任务，例如，在计算机达到某个状态时（如计时器起作用等），激活并执行病毒编写者指定的操作。 所有的Boot病毒都是常驻病毒。

O

P

批处理文件（即指令文件）

（Batch file） ——包含操作系统指令的可执行文件。 通常具有.bat扩展名，是每一行都是操作系统指令的文本文件，由指令处理器执行。

POP协议

（(Post Office Protocol)）——一种邮件协议，邮件协议是一种互联网协议，保证用户能从工作站动态访问服务器邮箱。

Q

启发式分析仪（启发仪）

（Heuristic）——反病毒程序组件，可侦测之前未知的新病毒。启发式分析仪分析文件和磁盘引导扇区。启发式分析时可扫描研究对象中的可执行代码，并侦测其是否具有特定病毒功能。

如果启发式分析仪发现可疑代码，则向用户发送消息，通知可能感染未知病毒，并指出该代码所属类别。Dr.Web程序将启发式分析仪发现的可疑对象分成下列类别：COM、EXE、WIN.EXE、TSR、MACRO、BOOT、CRYPT、SCRIPT、BATCH、IRC、WORM。如果在Dr.Web扫描仪和SpIDer Guard常驻监视器运行过程中用户收到通知可能感染上述类别的一个病毒，我们建议用户通过专门页面将可疑文件发送到Doctor Web公司客户支持部门进行研究。

其他病毒名称

（Other virus names）——反病毒公司通常根据自己的病毒命名规则，对相同的病毒进行不同命名。在大多数情况下，不管反病毒公司如何，病毒的主要名称（例如，Klez、Badtrans、Nimda）都是相同的，并且包含于此病毒的名称中。主要是病毒名称的前缀和后缀不同，每个公司都使用自己的规则来命名。例如，如果Doctor Web公司采用的病毒分类中，同一病毒的版本编号都是以1开头的数字，Symantec公司出于相同目的会使用大写英文字母。

欺骗攻击

（Spoofing）——一种可通过伪造连接的欺骗方式获取网络访问权限的网络攻击。用于绕过基于IP地址的访问控制系统，以及掩盖伪装成相应合法网站或合法业务活动的虚假网站。防火墙能够拦截欺骗攻击。

R

蠕虫病毒

蠕虫病毒

Rootkit

（Rootkit）——一种用于拦截操作系统系统功能（API）以便在系统隐藏自身的恶意程序。

Rootkit还能够隐藏其他程序进程、各种注册表项、文件夹和文件。Rootkit即可作为独立程序传播，也可作为其他恶意程序的补充程序传播。

容易被病毒攻击的文件格式

（Target file formats）

• .bat：批处理文件
• .com：可执行命令文件，大小不超过64 KB。
• .dll ：动态链接库文件
• .elf：Linux / UNIX操作系统的可执行文件
• .exe：可执行文件
• .ini：配置文件
• .sys：系统文件

Program.RemoteBot——侦测用于远程控制安卓设备的应用。此类应用属于风险程序，如果安装并未得到设备持有人的许可，可能被用于网络间谍活动和监视设备用户。

此类应用能够执行以下操作：

• 拦截和发送短信；
• 监控或进行通话；
• 获取操作系统和其他软件的通知内容；
• 录像；
• 拍照；
• 利用设备麦克风监听环境；
• 监控设备位置；
• 执行各种指令。

S

守护进程

（Daemon）——用来在用户未申请，甚至用户未知的情况下执行服务功能的程序。

SMTP 协议

（Simple Mail Transfer Protocol）——一种互联网协议，将邮件从工作站发送到服务器。

社会工程技术

（Social engineering techniques）——通过误导获取用户的机密信息。通常诱骗用户自愿提供信息。社会工程不使用专门的计算机程序，而是利用用户的信任和天真进行欺骗。

T

添加到病毒的日期和时间

：当前Dr.Web®病毒库确定相关病毒及其对抗方法（删除、清除等）并发布更新的日期和时间。病毒定义添加到病毒库后，反病毒程序可正确侦测病毒并将其清除。

但这并不意味着反病毒软件无法检测未添加到病毒库的病毒。Dr.Web®启发式分析仪经常识别最新出现且尚未经Doctor Web公司反病毒实验室处理的病毒。

U

V

Visual Basic语言

——Microsoft公司开发的高级编程语言。

VBScript

——Microsoft公司开发的一种脚本编程语言，是Visual Basic语言的一个子集，用于编写内嵌在Web页面的脚本，MS Internet Explorer浏览器支持此语言。

W

“外界”

（Wild）——计算机环境。“外界病毒”指此类病毒感染的是反病毒实验室以外的计算机或网页。病毒研究人员Joe Wells编写的“外界病毒”列表包含世界范围内最常见的计算机病毒。

网络钓鱼

（Phishing）：互联网欺诈技术，包括盗窃个人机密信息（访问密码、银行卡和身份证信息等）。用户被引导至犯罪分子伪造的官方机构网站，输入不法分子用来从受害者账户窃取资金的密码、PIN码及其他个人信息。社会工程的一个变种。

卫士

（Guard）——一种常驻程序，用于监控操作系统容易被病毒入侵的部分并在病毒入侵后起作用。监视器侦测并阻止病毒感染文件的企图。同时还会侦测试图执行可疑操作、可能已感染病毒的程序。

Doctor Web公司常驻反病毒卫士（监视器）SpIDer Guard®实时监视所有文件访问，识别并阻止程序的可疑操作。利用通用病毒库和一般扫描算法在线扫描可疑文件，立即修复确定已被感染的文件。

文件病毒长度

（File virus size）——每个被感染文件中都存在的病毒代码字节的长度。

文件病毒

（File viruses）：感染二进制文件（主要是可执行文件和动态库）的病毒。此类病毒被植入到操作系统文件中，在受损程序启动后激活并进行传播。

无体木马（无文件木马）

——不在文件体中隐藏自身以避免被用户在系统中发现的恶意程序。无体木马通常隐藏在注册表中。尽管此类恶意程序没有文件体，也会被Dr.Web反病毒产品成功侦测，Dr.Web反病毒产品能够扫描所有可能隐藏恶意软件的区域。

X

系统文件

（System file）——包含一个操作系统模块或其使用的一组数据的文件。

小应用程序

（Applet）——属于Java语言类，以可执行模块形式嵌入到HTML格式文档中。小应用程序作为附件从服务器下载到用户计算机。比如通过网页与用户进行交互式对话时会使用小应用程序。

协议

（Protocol） ——一组规则，用于确定设备、程序、数据处理系统和进程的交互算法。

修正器

（Revisor）——一个将系统部分与标准相比，定期检查文件是否被修改的程序。修正器首先保存所管理文件和扇区的校验和，随后检查当前校验和和标准值是否一致。如果不一致（由于病毒入侵），就会发生作用。修正器会发现感染后的病毒活动并在某些情况下将文件恢复到感染前的状态。但修正器无法确定程序发生变化的原因，是被病毒破坏还是仅被重组。

Y

隐藏文件

（Hidden file） ——根据安全策略，其名称未在目录中的文件列表显示的文件。因此隐藏文件会有特殊标记。

隐形病毒

（Stealth virus） ——采取特殊措施来掩盖自身活动，在受感染对象中隐藏自己的病毒程序。

所谓的隐形技术包含下列内容：

• 令病毒在操作内存中难以被发现
• 令病毒难以被追踪或反汇编
• 隐藏感染进程
• 令病毒在被感染的程序或引导扇区中难以被发现。

邮件炸弹

（Mail bomb） ——向用户计算机发送一封巨大的邮件或多封（几千条）邮件，这可能导致系统彻底崩溃。

远程管理工具

（RAT, remote administration tool）——保证对计算机的远程访问。

域欺骗

（Farming）：域欺骗技术用于更改HOSTS文件记录或记录DNS（Domain Name System）。当用户访问自认为合法的网页时，网页被重定向到为收集机密信息而创建的虚假页面。

Z

“中间人” 攻击

，又称中介攻击、Man in the middle（MITM）攻击、Man in the Middle Attack（MIMA）攻击 ——利用各种手段（黑客或木马）在数据已发出但还未收到的传输过程中偷换或窃取数据。中间人攻击的手段很多，但大多数情况下是利用恶意软件，或者在无线网络中拦截流量。

注册表

（Registry）：操作系统集中保存所有系统信息的层次式数据库，包含计算系统配置、不同参数值、已安装程序信息等等。用户可在注册表编辑窗口对注册表进行修改。

Doctor Web 公司

强烈建议用户在对注册表进行修改前进行备份。对注册表的不正确修改可能导致数据完全丢失或文件损坏！

注册表项

（Registry key）——注册表中的记录，保存在注册表中某部分信息的独有标识符。