在病毒的发展史上，病毒的出现是有规律的。一般情况下，一种新的病毒技术出现后，迅速发展，接着反病毒技术的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。计算机病毒的发展过程可划分为以下几个阶段。

（一）DOS引导阶段

1987年，计算机病毒主要是引导型病毒。当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作，修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。典型代表是“小球”和“石头”病毒。

（二）DOS可执行阶段

1989年，可执行文件型病毒出现。利用DOS系统加载执行文件的机制工作，病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。典型代表是“耶路撒冷”病毒。

（三）伴随阶段

1992年，伴随型病毒出现。利用DOS加载文件的优先顺序进行工作。感染EXE文件时生成一个和EXE同名的扩展名为“.com”的伴随体；感染COM文件时，将原来的COM文件改为同名的EXE文件，再产生一个原名的伴随体，文件扩展名为“.com”。这样，在DOS加载文件时，病毒就取得控制权。这类病毒的特点是不改变原来的文件内容、日期及属性，解除病毒时只要将其伴随体删除即可，典型代表是海盗旗病毒。

（四）多形阶段

1994年，随着汇编语言的发展，实现同一功能可以用不同的方式完成。这些方式的组合使得一段看似随机的代码产生相同的运算结果。多形病毒是一种综合性病毒，既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序才能解除。典型代表是“幽灵”病毒，每感染一次就产生不同的代码。

（五）生成器、变体机阶段

1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可以运算出同样的结果。随机插入一些空操作和无关指令，也不影响运算的结果。这样，一段解码算法就可以由生成器生成。当生成的是病毒时，病毒生成器和变体机就产生了。典型代表是病毒制造机（Virus Creation Laboratory，VCL），可以在瞬间制造出成千上万种不同的病毒。

（六）网络、蠕虫病毒阶段

1995年，随着网络的普及，病毒开始利用网络进行传播，是上几代病毒的改进。在Windows操作系统中，蠕虫病毒是典型的代表，不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一个地址进行传播，有时也在网络服务器和启动文件中存在。网络带宽的增加为蠕虫病毒的传播提供了条件。目前，网络中蠕虫病毒占非常大的比重，而且有越来越盛的趋势，典型代表是“尼姆达”和“冲击波”病毒。

（七）视窗阶段(www.daowen.com)

1996年，随着Windows 95的日益普及，利用Windows进行工作的病毒开始发展，修改NE、PE文件。这类病毒的机制更为复杂，利用保护模式和API（Application Programming Interface，应用程序编程接口）调用接口工作，解除方法也比较复杂。典型代表是DS.3873。

（八）宏病毒阶段

1996年，随着Windows Word功能的增强，使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言，编写容易，感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于当时Word文档格式没有公开，这类病毒查杀比较困难，典型代表是“台湾一号”宏病毒。

（九）邮件病毒阶段

1999年，随着E-mail的使用越来越多，一些病毒通过电子邮件来传播，如果不小心打开了这些邮件，机器就会中毒，还有一些利用邮件服务器进行传播和破坏的病毒，典型代表是Mellisa、happy99病毒。

（十）手持移动设备病毒阶段

2000年，随着手持终端处理能力的增强，病毒也随之攻击手机和iPad等手持移动设备。2000年6月，世界上第一个手机病毒“VBS.Timofonica”在西班牙出现。这个病毒通过运营商Telefonica的移动系统向该系统内的任意用户发送骂人的短消息。2015年上半年手机病毒出现爆发式增长，病毒软件新增数量达到127万个。

表3-1所示为近20年的典型计算机病毒事件。

表3-1　典型的计算机病毒事件

续表