注：此文章内容大都来自网络，我仅仅是整理了下，做了个较为详细的病毒

机理的文章。

                                                             By:trojancyborg

    病毒常见启动方式

    一、通过“开始＼程序＼启动”

    二、通过Win.ini 启动

    示例：

通过修改 win.ini  中的字段[windows]中的键load 或 run，或者是为 system.ini  中的

字段[boot]中的键  shell     增加值，可以达到设置程序自动运行的目的。假设我们要

自动运行notepad.exe，修改后的win.ini 或system.ini 文件象这样就可以：

win.ini

[windows]

load=c:\winnt\notepad.exe

run=c:\winnt\notepad.exe

    三、通过注册表启动

    HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼

Run， 

    HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼

Run 

    HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼

RunServices 

    HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼

RunOnce， 

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼

RunOnce  

    HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼

RunServicesOnce 

    四、通过 Autoexec.bat 文件，或winstart.bat，config.sys 文件 

    Autoexec.bat其实就是一个自动运行的批处理，一般为空(xp下)，如果有加

载，要仔细检查是不是病毒所为。  

    Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，说它特

殊，原因有六：  

    1.是名称特殊，如果改为其它名称，则如同自动批处理被改名一样不能起到

自动执行的效果;  

    2.是位置特殊，它必须位于Windows的安装目录，如C:\windows等；  

    3.是作用特殊，它多数情况下为应用程序及Win98自动生成，因为安装某些

新的应用软件后  

     （如某些声卡的驱动程序等），由于程序共享冲突的原因一些系统设置不能

被立即更改，  

    再次启动系统时就可通过在Windows目录下生成一个该名称的批处理，以可

靠地自动完成余下的任务；  

    4.是执行顺序特殊，它是在执行了Win.com，并加载了多数驱动程序之后开始

执行  

     （这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）;  

    5.是存在形式特殊，一般情况下很难看到它的神秘身影，即使难得有应用程

序在安装时创建了它，  

    一旦完成任务之后系统又很快将其删除；但如果你自己创建了一个，则系统

又不会自动删除它；  

    6.是禁止其执行的方式特殊，用一步一步跟踪启动过程以回答“Y”或“N”

的方法对其它驱动程序  
CONFIG.SYS是DOS系统中的一个重要文件，它的配置直接影响到系统的使用

及其效率。如果配置不当的话，可能很多程序都无法正常运行。因此，正确合理

地配置CONFIG.SYS文件是十分必要和重要的。 

    其实这种方法并不适合木马使用，因为该文件会在Windows启动前运行，这时系统

处于DOS环境，只能运行16位应用程序，Windows下的32位程 序是不能运行的。因

此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想象，SoftIce 

for Win98（功能强大的程序调试工具，被黑客奉为至宝，常用于xx应用程序）也是

先要在Autoexec.bat文件中运行然后才能在Windows中呼 叫出窗口，进行调试的，既

然如此，谁能保证木马不会这样启动呢？到目前为止，我还没见过这样启动的木马，我

想能写这样木马的人一定是高手中的高手了。 

    五、通过 System.ini 文件 

    事实上，System.ini文件并没有给用户可用的启动项目，然而通过它启动却

是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是

 “Explorer.exe”，这是Windows的外壳程序，换一个 程序就可以彻底改变

Windows的面貌（如改为Progman.exe就可以让Win9x变成Windows3.2）。我们

可以在 “Explorer.exe”后加上木马程序的路径，这样Windows启动后木马也就

随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也就可以保证

永远随Windows启动了，名噪一时的尼姆达病毒就是用的这种方法。这时，如果

木马程序也具有自动检测添加Shell项的功能的话，那简直是天 衣无缝的绝配，

我想除了使用查看进程的工具中止木马，再修改Shell项和删除木马文件外是没

有xx之法了。但这种方式也有个先天的不足，因为只有 Shell这一项嘛，如果

有两个木马都使用这种方式实现自启动，那么后来的木马可能会使前一个无法启

动，呵呵以毒攻毒啊。 

    六、通过某特定程序或文件启动 

    1、寄生于特定程序之中 

    2、将特定的程序改名 

    3、文件关联 

Windows 病毒的九大藏身地点 

     1.点击 开始-- 程序-- 启动   

    2.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Wi

ndows\load，观察一下有没有可疑程序安家   

    3.HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\W

inlogon\Userinit，找找有没有病毒在这里申请运行     

    4.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli

cies\Explorer\Run 

    病毒常见传播方式

     当前的病毒特点分析，传播途径有两种，一种是通过网络传播，一种是通过

硬件设备传播。

      一、因特网传播:

     Internet 既方便又快捷，不仅提高人们的工作效率，而且降低运作成本，逐步

被人们所接受并得到广泛的使用。商务来往的电子邮件，还有浏览网页、下载软

件、即时通讯软件、网络游戏等等，都是通过互联网这一媒介进行。如此频繁的

使用率，注定备受病毒的“青睐”。

    通过电子邮件传播:

    在电脑和网络日益普及的今天，商务联通更多使用电子邮件传递，病毒也随之

找到了载体，最常见的是通过 Internet 交换 Word 格式的文档。由于  Internet 使用

的广泛，其传播速度相当神速。电子邮件携带病毒、木马及其他恶意程序，会导

致收件者的计算机被黑客入侵。email  协议的新闻组、文 件服务器、FTP                                 下载和

BBS 文件区也是病毒传播的主要形式。经常有病毒制造者上传带毒文件到FTP 和

BBS 上，通常是使用群发到不同组，很多病毒伪装成 一些软件的新版本，甚至是

杀毒软件。很多病毒流行都是依靠这种方式同时使上千台计算机染毒。

    BBS   是由计算机爱好者自发组织的通讯站点，因为上站容易、投资少，因此

深受大众用户的喜爱，用户可以在BBS 上进行文件交换(包括自由软件、游戏、自
 程序)。由于BBS  站一般没有严格的安全管理，亦无任何限制，这样就给一些

病毒程序编写者提供了传播病毒的场所。各城市BBS 站间通过中心站间进行传送，

传播面较广。随着BBS 在国内的普及，给病毒的传播又增加了新的介质。

    专家提示:培养良好的安全意识。对来历不明的陌生邮件及附件不要轻易打开，

即使是亲朋好友的邮件也要倍加小心。

    通过浏览网页和下载软件传播:

    很多网友都遇到过这样的情况，在浏览过某网页之后，IE                              标题便被修改了，

并且每次打开IE 都被迫登陆某一固定网站，有的还被禁止恢复还原，这便是恶意

代码 在作怪。当你的IE 被修改，注册表不能打开了，开机后IE 疯狂地打开窗口，

被强制安装了一些不想安装的软件，甚至可能当你访问了某个网页时，而自己的

硬盘 却被格式化……那么很不幸，你肯定是中了恶意网站或恶意软件的毒了。

    当您浏览一些不健康网站或误入一些黑客站点，访问这些站点的同时或单击

其中某些链接或下载软件时，便会自动在您的浏览器或系统中安装上某种间谍程

序。这些间谍程序便可让您的浏览器不定时地访问其站点，或者截获您的私人信

息并发送给他人。

    “屏蔽恶意网站”功能，使用内置默认和自由添加两个方式确定恶意网站列表，

识别恶意网站地址，有效封杀通过恶意网站进行感染的病毒和木马。同时，随着

光华反病毒软件的每日自动升级，恶意网站列表将不断更新，所以不必担心列表

中的网站数量有限。

   “绿色上网功能”，可以屏蔽上网过程中出现的各种恶意组件，免受间谍软件、

广告软件的打扰真正实现您自由自在的网络游弋。

    拒绝恶意软件:在光华反病毒软件中点击菜单“工具→插件→绿色上网”，打开

绿色上网插件窗口。同样，针对不同类型的恶意软件，光华为我们进行了详细的

分 类，有国内、国外、聊天、安全、游戏等等。我们在相应的分类上点选自己想

屏蔽的组件，即可屏蔽上网过程中出现的各种恶意组件，免受间谍软件、广告软

件的打 扰。

    “关闭IE 广告窗口”即可禁止某些网站的弹出广告，让你用IE 上网时更加省心。
 提示:不要随便登陆那些很诱惑人的小网站，因为这些网站很可能有网络陷阱。

不要轻易下载小网站的软件与程序，下载的软件需先进行安全检查，确认无安全

无病毒后再安装使用，确保您的计算机始终处于安全的环境下。

    通过即时通讯软件传播:

     即时通讯(Instant Messenger，简称IM)软件可以说是目前我国上网用户使用率

{zg}的软件，它已经从原来纯娱乐休闲工具变成生活工作的必备利器。由于用户

数量众多， 再加上即时通讯软件本身的安全缺陷，例如内建有联系人清单，使得

病毒可以方便地获取传播目标，这些特性都能被病毒利用来传播自身，导致其成

为病毒的攻击目 标。事实上，臭名昭著、造成上百亿美元损失的求职信(Worm.Klez)

病毒就是{dy}个可以通过ICQ 进行传播的恶性蠕虫，它可以遍历本地ICQ 中的联

络人清单来传播自身。而更多的对即时通讯软件形成安全隐患的病毒还正在陆续

发现中，并有愈演愈烈的态势。截至目前，通过 QQ                           来进行传播的病毒已达上百

种。

    P2P，即对等互联网络技术(点对点网络技术)，它让用户可以直接连接到其它

用户的计算机，进行文件共享与交换。每天全球有成千上万的网民在通过  P2P  软

件交换资源、共享文件。由于这是一种新兴的技术，还很不完善，因此，存在着

很大的安全隐患。由于不经过中继服务器，使用起来更加随意，所以许多病 毒制

造者开始编写依赖于P2P 技术的病毒。

    提示:  在聊天时收到好友发过来的可疑信息时，千万不要随意点击，应当首先

确定是否真的是好友所发。要防范通过 IRC  传播的病毒，还需注意不要随意从陌

生的站点下载可疑文件并执行，而且轻易不要在 IRC  频道内接收别的用户发送的

文件，以免计算机受到损害。

通过网络游戏传播:

     网络游戏已经成为目前网络活动的主体之一，更多的人选择进入游戏来缓解

生活的压力，实现自我价值，可以说，网络游戏已经成了一部分人生活中不可或

缺的东 西。对于游戏玩家来说，网络游戏中最重要的就是装备、道具这类虚拟物

品了，这类虚拟物品会随着时间的积累而成为一种有真实价值的东西，因此出现

了针对这些 虚拟物品的交易，从而出现了偷盗虚拟物品的现象。一些用户要想非

法得到用户的虚拟物品，就必须得到用户的游戏帐号信息，因此，目前网络游戏

的安全问题主要 就是游戏xx问题。由于网络游戏要通过电脑并连接到网络上才

能运行，偷盗玩家游戏账号、密码最行之有效的武器莫过于特洛伊木马(Trojan

horse)，专门偷窃网游账号和密码的木马也层出不穷，这种攻击性武器无论是菜鸟

级的黑客，还是研究网络安全的高手，都视为{za}。

    二、局域网传播

    局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。

组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到

其他计 算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感

染，因此，有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应

用为企业的 发展作出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。同

时，由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。

    三、 通过不可移动的计算机硬件设备传播

    此种传播方式，是通过不可移动的计算机硬件设备进行病毒传播，其中计算

机的专用集成电路芯片(ASIC)和硬盘为病毒的重要传播媒介。通过 ASIC                                 传播的

病毒极为少见，但是，其破坏力却极强，一旦遭受病毒侵害将会直接导致计算机

硬件的损坏，检测、查杀此类病毒的手段还需进一步的提高。

    硬盘是计算机数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬

盘传播计算机病毒的途径是:硬盘向软盘上复制带毒文件、带毒情况下格式化软盘、

向光盘上刻录带毒文件、硬盘之间的数据复制，以及将带毒文件发送至其它地方

等。

    专家提示:定期使用正版杀毒软件查杀病毒非常重要。

     四、 通过移动存储设备传播

    更多的计算机病毒逐步转为利用移动存储设备进行传播。移动存储设备包括

我们常见的软盘、磁带、光盘、移动硬盘、U 盘(含数码相机、MP3 等)、ZIP 和  JAZ

磁盘，后两者仅仅是存储容量比较大的特殊磁盘。软盘主要是携带方便，早期在
网络还不普及时，软盘是使用广泛、移动频繁的存储介质，因此也成了计算机 病

毒寄生“温床”。光盘的存储容量大，所以大多数软件都刻录在光盘上，以便互相传

递;同时，盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要 途

径。随着大容量可移动存储设备如 Zip  盘、可擦写光盘、磁光盘(MO)等的普遍使

用，这些存储介质也将成为计算机病毒寄生的场所。

    随着时代的发展，移动硬盘、U 盘等移动设备也成为了新攻击目标。而 U 盘

因其超大空间的存储量，逐步成为了使用最广泛、最频繁的存储介质，为计算机

病毒寄生的提供更宽裕的空间。目前，U 盘病毒逐步的增加，使得 U 盘成为第二

大病毒传播途径。

    专家提示:在学校里的公用机房、网吧等特定公共场所使用 U  盘(闪存)等移动

设备的用户要特别谨慎小心，以防感染木马，造成自己的信息失密并被窃取。

    常见U 盘病毒的启动方式：

    1、Autorun.inf

    autorun.inf文件是从Windows95开始的，最初用在其安装盘里，实现自动安

装，以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。  

    其结构有三个部分：[AutoRun] [AutoRun.Alpha] [DeviceInstall]  

     [AutoRun]适用于Windows95以上系统与32位以上CD-ROM，必选。  

     [AutoRun.alpha]适用于基于RISC的计算机光驱，适用系统为Windows NT 

4.0，可选。  

     [DeviceInstall]适用于Windows XP以上系统，可选。  

     (有关Autorun.inf的详细解释，请参考相关资料，这里不再一一介绍了) 

    例子： 

    [AutoRun]

    open=Notepad.exe

    shell\1=打开(&O)

    shell\1\Command=Notepad.exe
shell\2\=浏览(&B)

    shell\2\Command=Notepad.exe

    shellexecute=Notepad.exe 

    2、伪装文件夹

    和普通的autorun病毒一样相似，感染U盘的时候一般会生成autorun.inf，

而且还会生成一些与U盘根目录文件夹同名的EXE文件并隐藏相关的文件夹，这

些与文件夹同名的EXE文件的图标与文件夹一模一样 ，所以你双击相关文件的时

候，实际上运行的是病毒程序，这个病毒程序会打开同名的隐藏文件夹，所以用

户可能以为打开的是文件夹。 

     防范此类病毒的方法最简单的就是打开文件名的后缀显示功能并显示隐藏文

件（工具-文件夹选项-查看-高级设置）或者在打开文件夹前点右键-属性 如果是

该对象是文件夹，则 “类型：”后面将是“文件夹”（注：通过类型判断的方法

并非xx可靠，建议使用{dy}种方法） 

    虽然这也是一款U盘autorun病毒 只不过它原理已经不是原来的那样而已 

算是一个变异的autorun病毒 

    伪装成文件夹的PE文件大小为：1.44 MB (1,514,606 字节) （仅作参考，

可能有变化） 

    五、无线设备传播  

     目前，这种传播途径随着手机功能性的开放和增值服务的拓展，已经成为有

必要加以防范的一种病毒传播途径。随着智能手机的普及，通过彩信、上网浏览

与下载到 手机中的程序越来越多，不可避免的会对手机安全产生隐患，手机病毒

会成为新一轮电脑病毒危害的“源头”。手机、特别是智能手机和3G网络发展的

同时，手机 病毒的传播速度和危害程度也与日俱增。通过无线传播的趋势很有可

能将会发展成为第二大病毒传播媒介，并很有可能与网络传播造成同等的危害。  

    专家提示:使用手机上网功能时，应尽量以浏览信息为主，尽可能的减少从网

上下载信息和文件，即便是有这方面的需求，也{zh0}从一些正规网站上下载。收

到带有 病毒的短信或邮件立即删除，键盘被锁死应立即取下电池，然后重新开机
进行删除。可先用光华反病毒软件手机版查杀病毒，如仍旧不能恢复正常的，请

及时将手机 送厂维修，避免病毒二次传播 

    病毒常见隐藏技术

     隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽性”就是病毒的一个最

基本特征，任何病毒都希望在被感染的计算机中隐藏起来不被发现，因为病毒都

只有在不 被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒

使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通

用户xx的病 毒隐藏形式。由于木马后门的行为特征已具备病毒条件，因此这里

把木马后门也统一归纳为病毒来描述。  

    开山鼻祖：隐藏窗口、隐藏进程、隐藏文件 

    在计算机流行的早期，计算机病毒和木马后门等危害程序在普通用户范围的

普及并不是很广泛，这个时期的用户群对计算机和网络安全的防范意识可以说 是

几乎没有的，普通用户的系统也多为脆弱的Windows 95/98系列和电话线拨号的

慢速网络，而那一段时间正是外国木马“bo”和国产木马雏形“冰河”、

 “netspy”等在如今看来各方面技术都颇为简单的 远程控制软件大行其道的黄

金时期，很多用户根本就没有防火墙和杀毒软件(即使有，也是以杀cih的为主)，

即使远方的黑客把用户的计算机翻了个底朝天，用 户也不会有所察觉，这一时期

接触此类技术的人相对较少，因此并未造成如今这个病毒到处蔓延的局面。 

     因为这个阶段国内用户的机器环境仍然以Windows 9x为主流，所以病毒编写

者们并不需要消耗太多的脑筋就可以做到让病毒悄无声息运行的效果，并让它在

alt+del+ctrl呼出的任务管理器中不可见。 

    我们都知道，在Windows下运行的程序界面都被定义为“窗口”，程序通过

这个途径与用户产生交互，每个完整的程序都必须拥有至少一个窗口， 但是如果

编写者将这个窗口在运行期间设置为“不可见”呢?这样一来，用户就不会察觉到

这个程序在桌面上运行了，但是如果有一定经验的用户打开任务管理器， 他就会
因为发现系统里多出来的进程而产生怀疑，因此病毒编写者在这个时期采取了初

级形式的隐藏手段：隐藏进程。 

    其实所谓隐藏进程，是利用微软未公开的一个api(application programming 

interface，应用程序接口)函数“registerserviceprocess”将自身注册为“服

务进程”，而恰巧Windows 9x中的任务管理器是不会显示此类进程的，结果就被

病毒钻了空子，让“冰河”等木马在国内大部分普通用户的机器上安家落户。 

    而早期后门技术里，还有一个最基本的行为就是隐藏文件，与今天的各种隐

藏手段相比，它可谓是“不入流”级别了——这里提到的“隐藏”，就是简单 的

将文件属性设置为“隐藏”而已，除此之外，再无别的保护手段了，然而，由于

系统设计时为了避免初学者胡乱删除文件而默认“不显示系统和隐藏文件”的做

法 (到了Windows 2000/xp时代，这个做法更升级到“隐藏受保护的系统文件”

了)，却恰好给这些病毒提供了xx的隐身场所——大部分对电脑操作不熟悉的用

户根本不知道 “隐藏文件”的含义，更别提设置为“显示所有文件”了，在那个

安全软件厂商刚开始探索市场的时代，用户更是不会留意太多安全产品及其实际

含义，因而这个时 期成了各种初期木马技术发展的重要阶段，利用这种手段制作

的木马被统称为“{dy}代木马”。 

     以现在的技术和眼光看来，这些早期技术作品的发现和清理是相对较简单的

了，因为它们采用的“进程隐藏”技术在nt体系上的 Windows2000/xp/2003等操

作系统上已经无效了，直接使用系统自带的任务管理器便能发现和迅速终止进程

运行，而后在“控制面板”——“文 件夹选项”里面设置“显示所有文件”和取

消“隐藏受保护的系统文件”，就能发现那个被隐藏起来的木马程序了。对于

Windows 9x用户，使用任意一款第三方的进程管理工具如“Windows优化大师”

的进程管理组件即可轻松发现。 

    继续发展：使用线程注射技术的 dll 木马  

    虽然现在使用“线程注射”的木马病毒和流氓软件已经遍地开花了，但是从

那个混沌时代经历过来的人都不会忘记{sg}采用“线程注射”的dll木马“广外

幽灵”在当时所带来的恐惧，“线程注射”到底是种什么东西呢?下面就让我们来

详细讲解一下。 

    首先，用户可能不会了解“线程”(thread)的意思，而要讲解“线程”，就

不能不先提到“进程”(process)的概念。许多刚接触计算 机的用户无法理解

 “进程”是什么东西：常常听到高手说打开任务管理器关闭某某进程，但是一看

到任务管理器列表里的一堆东西，头就大了。许多用户知道使用任 务管理器关闭

一些失去响应的任务，但是如果某个任务没有在“应用程序”列表里出现，用户

就不知所措了。到底什么是“进程”呢?“进程”是指一个可执行文件 在运行期

间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块为运行中

的程序提供数据交换和决定程序生存期限，任何程序都必须拥有至少一个进 程，

否则它不被系统承认。 

    进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映

像，它通常和某个在磁盘上的文件保持着对应关系，一个完整的进程信息包括很 

多方面的数据，我们使用进程查看工具看到的“应用程序”选项卡包含的是进程

的标题，而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等，其

中 “进程文件名”和“进程标识符”是必须掌握的关键，“进程标识符”是系统

分配给进程内存空间时指定的{wy}数字，进程从载入内存到结束运行的期间里这

个数字 都是保持不变的，而“进程文件名”则是对应着的介质存储文件名称，根

据“进程文件名”我们就可以找到最初的可执行文件位置。 

    任务管理器的“应用程序”项里列出来的“任务”，是指进程在桌面上显示

出来的窗口对象，例如用户打开word 2003撰写文档，它的进程“winword.exe”

会创建一个在桌面上显示的前台窗口，这个窗口就是任务管理器里看得见的“任

务”了，而实际上真正在 运行的是进程“winword.exe”。并不是所有的进程都

会在任务管理器里留下“任务”的，像qq、msn和所有后台程序，它们并不会在

任务列表里出 现，但是你会在进程列表里找到它们，如果要它们在任务列表里出

现该怎么办呢?只要让它们产生一个在桌面上出现的窗体就可以了，随便打开一个

好友聊天，就会 发现任务列表里终于出现了qq的任务。因此，真正科学的终止

程序执行方案是针对“进程”来结束程序的运行，而不是在任务列表里关闭程序，

因为木马作者们是 不会让自己的木马在任务列表里出现的，但是进程列表里一般

人都是逃不过的。 

    而“线程”，则是在一个进程里产生的多个执行进度实例，举个简单例子，

一个网络文件传输程序如果只有一个线程(单线程)运作，那么它的执行效率 会非

常低下，因为它既需要从网络上读取文件数据，又需要把文件保存到磁盘，同时

还需要绘制当前传输进度条，由于在代码的角度里这些操作只能一条条的顺序执 

行，程序就不能很好的做到在保存数据的同时绘制传输进度条，即使程序员将其

勉强凑到一块执行，在用户方面看来，这个程序的响应会非常缓慢甚至直接崩溃，

而 “多线程”技术则是为了解决这种问题而产生的，采用“多线程”技术编写的

应用程序在运行时可以产生多个同时执行的操作实例，例如一个采用“多线程”

技术的 网络文件传输程序就能同时分出三个进度来同时执行网络数据传输、文件

保存操作和绘制传输进度条的操作，于是在用户看来，这个程序运行非常流畅，

这就是线程 的作用。在程序运行时，只能产生一个进程，但是在这个进程的内存

空间(系统为程序能正常执行而开辟的独立内存领域)里，可以产生多个线程，其

中至少有一个 默认的线程，被称为“主线程”，它是程序主要代码的运行部分。