1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国康奈尔大学研究生莫里斯编写。虽然并无恶意，但当时，“蠕虫”在Internet 上大肆传染，使得数千台联网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。

在国内，起初引起人们注意的病毒是20世纪80年代末出现的“黑色星期五”“米氏病毒”及“小球病毒”等。后来出现了Word宏病毒及Windows 95下的CIH病毒。

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性和权威性。计算机病毒也是一种程序，但它们与正常的程序不同，具有隐蔽性、传染性、破坏性以及潜伏性等，这一切都与微生物学中所称的病毒相似，故称它们为计算机病毒。在《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被明确定义为：编制者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。在20世纪80年代，计算机病毒是狭义的，与蠕虫、木马、宏病毒等有着明显的技术界限，随着技术的发展，以及更大的利益驱动，现在蠕虫、木马、宏病毒等恶意攻击程序大多采用了综合技术，具有复杂的攻击能力，其中也包含复制能力。

计算机病毒是以现代计算机网络系统为环境而存在并发展的，即计算机系统的软件、硬件环境决定了计算机病毒的结构，而这种结构是能够充分利用系统资源进行活动的非常合理的体现。计算机病毒一般由感染标志（病毒的签名）、引导模块、感染模块和破坏模块（表现模块）四个部分构成。

计算机病毒的模块之间，既有合作又有分工，它们相互协调、彼此依靠。引导模块是传染模块、表现模块的基础；表现模块依赖传染模块扩大攻击的范围；而传染模块又是计算机病毒的核心。但并不是所有的病毒都包含了这些基本模块的。有一部分病毒是没有引导模块的，如Vienna 病毒，这一类病毒利用操作系统的加载机制瞬间动态执行感染和破坏表现模块；而Brain 病毒只有感染标志、引导模块、感染模块，没有表现模块，这正是一部分病毒不具备表现性的原因之所在。这也大大增强了这类病毒的隐蔽性。各模块的基本机制如下。

（1）感染标志。感染标志通常是一些数字或者字符串，它们会以ASCII码方式存放在程序里，通常被称为病毒签名，但并非所有的计算机病毒都有自己的感染标志。计算机病毒在感染某个程序之前，一般要对感染对象进行搜索，查看其是否带有感染标志，如果感染标志已经存在，说明其已经被感染，就不再进行感染；如果没有，病毒就会感染该程序。也存在一些病毒会反复感染同一个感染对象。杀毒软件可以感染标志作为病毒的特征码之一，但若仅仅以此来作为判断文件是否被感染某种病毒的唯一特征码，则容易误报、误杀。例如，CIH 病毒的特征码之一就是“CIH”，但不能断定一个内容为“CIH”的文本文件已经被CIH病毒感染。还可以利用病毒根据感染标志是否进行感染这一特性，人为地、主动在文件中增加感染标志，从而在某种程度上达到病毒免疫的目的。

（2）引导模块。引导模块的作用是当病毒的宿主程序开始工作时将病毒程序从外存引入内存，使其与宿主程序独立，并且使病毒的传染模块和破坏模块处于活动状态，以监视系统运行，其基本执行动作如下。

·检查运行的环境，如确定操作系统的类型、内存容量、现行区段、磁盘设置、显示器类型等参数；

·将病毒引入内存，使病毒处于动态，并保护内存中的病毒代码不会被覆盖掉；

·设置病毒的激活条件和触发条件，使病毒可激活，以便病毒被激活后根据满足的条件调用感染模块或者破坏表现模块。

（3）感染模块。感染模块负责将病毒传染给其他计算机程序，使病毒向外扩散，是病毒实施感染动作的主要部分。它由两部分组成：病毒传染的条件判断部分和病毒传染程序主体部分，其主要功能如下。

·寻找感染目标。

·检查目标中是否已经存在感染标志或者设定的感染条件是否满足。

·如果没有感染标志或者感染条件满足，则将病毒代码植入宿主程序中。无论是文件型的计算机病毒还是引导型的计算机病毒，其感染过程总的来说是十分相似的，通常分为三个步骤：进驻内存、判断感染条件、实施感染。感染条件控制病毒的感染动作和感染的频率：频繁的感染，容易让用户发觉；严格的感染条件，会让病毒失去许多传播机会，但同时也可能因此很好地保护自己不被发现。

（4）表现模块。

病毒表现模块是病毒的核心部分，它体现了病毒制造者的意图，主要负责实施计算机病毒的破坏动作，其内部是实现病毒编写者预定破坏动作的代码。病毒的破坏力取决于破坏模块，其破坏行为体现了其杀伤力，其破坏程度取决于病毒编写者的主观愿望及其技术水平。总的来讲，其破坏行为主要集中在：攻击系统数据区、攻击文件、攻击内存、干扰系统运行、扰乱输出设备、扰乱键盘等。

表现模块的基本动作主要包括以下两个部分：判断破坏表现条件是否成立；所有的条件都满足时，实施病毒的破坏表现功能。

病毒的触发条件多种多样，病毒常常采用的触发条件如下。

·日期触发：如Taiwan、903、Got-You等。

·时间触发：如Yankee Doodle、dBASE、Ah等。

·键盘触发：如Devil＇s Dance、Invader等。

·感染触发：如Yankee Doodle、Black Monday等。

·启动触发：如Anti-tel等。

·访问磁盘次数／调用中断功能触发：如Print Screen、Print Screen-2 等。

· CPU型号／主板型号触发：如Violator等。

·Email 附件触发：如新型尼姆达等。

·随机触发：如Girl Ghost、Invader等。

计算机病毒存在两种状态：静态和动态。处于静态时，计算机病毒存在于辅助存储介质中，病毒未被加载，未进入内存，不能获得系统执行权限，一般不执行破坏能力和表现功能，其传播只能通过复制实现。病毒处于静态，有两种可能：没有用户启动该病毒或者运行感染了该病毒的文件，该病毒存在于不可执行其功能的操作系统中（如 Windows 的病毒通常不能在 Linux 系统中运行）。

当病毒完成引导，进入内存，便处于动态。计算机病毒处于运行状态时，通过截获盗用系统中断等方式监视系统运行状态或者窃取系统控制权。病毒的主动传染和破坏作用，都是动态病毒的运行结果。我们把病毒由静态转化为动态的过程叫作病毒的启动。内存中的动态病毒又存在两种形式：可激活态和激活态。当内存中的病毒代码能够被系统的正常机制所执行的时候，动态病毒便处于可激活状态。系统正在执行病毒代码时，病毒处于激活状态。可激活状态的病毒通过截获系统中断等正常运行机制来获得系统控制权，转化为激活状态。处于可激活状态的病毒只能获得部分系统控制权。而处于激活状态的病毒获得了全部的系统控制权。