HUC病毒知識培訓(xùn)

1、2021/4/261病毒教程背景病毒教程背景 這么多年來，從來沒有在任何黑客論壇里發(fā)現(xiàn)有手工清除計算機病毒的教程。而計算機病毒也是網(wǎng)絡(luò)上最吸引眼球的主角之一，然而要想成為合格的黑客戰(zhàn)士，不僅要對攻擊防護(hù)技術(shù)了如指掌，同時要對病毒知識有所學(xué)習(xí)，甚至在需要你們的時刻，能利用病毒為我所用。 根據(jù)這么多年的工作經(jīng)驗，如果會手工清除計算機病毒，會讓你在工作中很快的成為眾人關(guān)注的焦點，同時也讓公司的人對你刮目相看。 所以，我將我所掌握的病毒方面的知識傳授給紅盟的戰(zhàn)友們，一是能掌握一種技術(shù)，為你們的就業(yè)有所幫助；二是希望我的教程能激發(fā)起一部分人對病毒的研究，將來能在這個領(lǐng)域內(nèi)有所成就。 本系列教程旨在引導(dǎo)青

2、年一代，學(xué)習(xí)和了解計算機病毒的初級知識，以及手工清除計算機病毒的基本套路，常用輔助軟件等。有些不足的地方請各位提出寶貴建議，涉及到的輔助軟件和病毒樣本均來自互聯(lián)網(wǎng)，請各位小心使用，本作者不承擔(dān)任何責(zé)任。 希望所有講師和技術(shù)高手們制作若干統(tǒng)一模板的培訓(xùn)教程，它將成為我們紅盟最寶貴的財富和紅盟文化的重要組成部分。2021/4/262前言前言 互聯(lián)網(wǎng)高度發(fā)展的時代，隨著網(wǎng)絡(luò)的普及與廣泛使用，計算機病毒也變得越來越讓人及其討厭和恐慌。不管買正版的還是下載免費的殺毒軟件，都不能真正的防范于未然。因為殺毒軟件總是針對已經(jīng)有了的計算機病毒進(jìn)行升級，更新的。殺毒軟件病毒庫的更新永遠(yuǎn)滯后于計算機病毒的產(chǎn)生。 每

3、分鐘都有新的計算機病毒產(chǎn)生，難道真的有那么多吃飽撐的沒事干的人去開發(fā)計算機病毒嗎？答案是：NO。 制作計算機病毒已經(jīng)形成了一條商業(yè)化的灰色產(chǎn)業(yè)鏈，不法分子通過計算機病毒來獲取利益，再加上一些不道德的殺毒軟件公司為了參與競爭將自己的殺毒軟件銷售出去，他們也成了計算機病毒的制造者。他們制造一些只有自己殺毒軟件才能清除 的計算機病毒，然后在網(wǎng)絡(luò)上宣傳只有自己的殺毒軟件才能最好的克制某種病毒，從而獲取較大數(shù)量的計算機用戶，取得商業(yè)利益。 只有真正的了解病毒的歷史，病毒的種類，傳播途徑，感染病毒的癥狀與危害，我們才能在日常工作學(xué)習(xí)中盡可能的避免病毒對我們造成更大的破壞。 同時，通過對計算機病毒知識的學(xué)習(xí)

4、，也能使我們更深刻的認(rèn)識計算機系統(tǒng)，掌握注冊表，更重要的，您將學(xué)會了一種技能，也許在你找工作的會給你加分，從而增加就業(yè)機會。2021/4/263培訓(xùn)內(nèi)容培訓(xùn)內(nèi)容病毒發(fā)展簡史病毒分類病毒傳播途徑感染病毒后的現(xiàn)象與危害病毒常用的技術(shù)計算機病毒的命名規(guī)則2021/4/264什么是計算機病毒什么是計算機病毒? ? 計算機病毒其實是指編制或者在計算機程序中插入破壞計算機功能或者毀壞數(shù)據(jù)，計算機病毒其實是指編制或者在計算機程序中插入破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。 計算機病毒通過非授權(quán)入侵而隱藏

5、在可執(zhí)行程序和數(shù)據(jù)文件中，然后通過磁盤和計算機病毒通過非授權(quán)入侵而隱藏在可執(zhí)行程序和數(shù)據(jù)文件中，然后通過磁盤和網(wǎng)絡(luò)等媒介進(jìn)行傳播，待適當(dāng)?shù)臅r機即被激活，采取反復(fù)的自我繁殖和擴散等方式從網(wǎng)絡(luò)等媒介進(jìn)行傳播，待適當(dāng)?shù)臅r機即被激活，采取反復(fù)的自我繁殖和擴散等方式從而影響和破壞正常程序的執(zhí)行和數(shù)據(jù)安全，危及計算機系統(tǒng)的正常工作，最終導(dǎo)致計而影響和破壞正常程序的執(zhí)行和數(shù)據(jù)安全，危及計算機系統(tǒng)的正常工作，最終導(dǎo)致計算機發(fā)生故障甚至癱瘓。算機發(fā)生故障甚至癱瘓。2021/4/265計算機病毒簡史計算機病毒簡史計算機病毒的出現(xiàn)是有規(guī)律的，一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會抑制其流傳。操

6、作系統(tǒng)升級后，病毒也會調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。 第一個病毒雛形的出現(xiàn)：1986年1月，巴基斯坦程序員巴西特艾爾維和阿姆賈德艾爾維兄弟，為防止他們新版的心臟監(jiān)測軟件被別人盜用，編寫了一小段代碼。他們把這段代碼稱之為“大腦”，它大致相當(dāng)于一個個人電腦的“輪夾”。安裝了他們的心臟監(jiān)測程序和這段代碼的電腦，將在一年后停止運行。到時候如果你能夠證明你是一個合法用戶，他們將會為你解除鎖定。但這項新技術(shù)遇到了意外， “輪夾”不久就被一類計算機愛好者復(fù)制，這些人把它隱藏在人們希望打開的各類數(shù)字文檔中向外發(fā)布。因為當(dāng)時互聯(lián)網(wǎng)遠(yuǎn)未普及，幾乎所有的帶毒文件都是通過軟盤向外擴散，所以這種病毒的傳播速度很慢。

7、不過它們還是造成了一定程度的破壞，世界各地都有計算機被鎖的報道。這些計算機愛好者之所以這樣做，要么是因為他們能夠，或者說他們想炫耀一下他們能夠這樣做，要么是想看一下這樣做到底會發(fā)生什么結(jié)果，要么就是他們純粹是為了好玩。 艾爾維兄弟保護(hù)自己的知識財產(chǎn)的一番良苦用心好似打開了一個魔瓶，從此，我們的計算機中便日甚一日地塞滿了病毒、蠕蟲和特洛伊木馬。2021/4/2661987年，計算機病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。當(dāng)時的計算機需要通過軟盤啟動后使用.引導(dǎo)型病毒利用軟盤的啟動原理工作。 1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有“石頭2”； 1989年,可執(zhí)行

8、文件型病毒出現(xiàn),利用DOS系統(tǒng)加載執(zhí)行文件的機制工作,代表為“耶路撒冷”,“星期天”病毒,1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。 1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作，具有代表性的是“金蟬”病毒,它感染EXE文件時生成一個和EXE同名但擴展名為COM的伴隨體。在非DOS操作系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語言進(jìn)行工作,具有典型代表的是“海盜旗”病毒。 1994年,隨匯編語言的發(fā)展,實現(xiàn)同一功能可用不同方式進(jìn)行完成,這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。幽靈病毒就是利用這個特點,每感染一次就產(chǎn)生不同的代碼。病毒進(jìn)入自己進(jìn)化

9、的時代1995年,蠕蟲”出現(xiàn),它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播，有時也在網(wǎng)絡(luò)服務(wù)器和啟動文件中存在。 1996年,Windows病毒大量出現(xiàn)和宏病毒成了主角 1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒； 爪哇(Java),郵件炸彈階段 1998年，僅為796字節(jié)的CIH病毒問世，并被發(fā)現(xiàn)。同年蠕蟲病毒也在美國大流行。2021/4/2671999年，4月26日CIH病毒正式發(fā)作，Happy99、美麗殺手（Melissa）等通過Inte

10、rnet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成為病毒新的增長點。其特點就是利用Internet的優(yōu)勢，快速進(jìn)行大規(guī)模的傳播，從而使病毒在極短的時間內(nèi)遍布全球。2000年，通過電子郵件傳播的愛蟲病毒迅速在世界各地蔓延，更大規(guī)模的發(fā)作，造成全世界空前的計算機系統(tǒng)破壞2001年9月18日出現(xiàn)的Nimda（尼姆達(dá)）病毒則是病毒演變過程中的另一個里程碑，它首次利用了系統(tǒng)中的漏洞對互聯(lián)網(wǎng)發(fā)起攻擊，具備了典型的黑客特征。它的出現(xiàn)意味著，混合著多種黑客手段的病毒從此誕生。同年，灰鴿子誕生2002年，求職信Klez病毒，郵件病毒，主要影響微軟的Outlook Express用戶。首次截獲了一個傳染能力極

11、強的惡性QQ病毒“愛情森林”（Trojan.sckiss） 2003年8月11日，沖擊波席卷全球，利用微軟網(wǎng)絡(luò)接口RPC漏洞進(jìn)行傳播，造成眾多電腦中毒，機器不穩(wěn)定，重啟，死機，部分網(wǎng)絡(luò)癱瘓，沒打過補丁的WINDOWS操作系統(tǒng)很難逃出它的魔爪。2004年，震蕩波：具有類似沖擊波的表現(xiàn)形式，感染的系統(tǒng)重新啟動計算機，原因是給蠕蟲病毒導(dǎo)致系統(tǒng)文件lsess.Exe的崩潰。悲慘命運（MyDoom）、網(wǎng)絡(luò)天空（NetSky）病毒也大行其道2005年8月12日，“狙擊波”病毒主要通過MS05039漏洞進(jìn)行傳播。 2006年以來熊貓燒香、灰鴿子游戲盜號病毒大量出現(xiàn)，網(wǎng)頁病毒，圖片病毒，釣魚病毒，流氓軟件，A

12、V終結(jié)者， U盤寄生蟲、網(wǎng)游大盜、ARP病毒等等就像風(fēng)一樣，刮的到處都是，例子舉不完了，具體出現(xiàn)時間記不住了，請網(wǎng)友們補充。2021/4/268史上破壞力最大的史上破壞力最大的10種病毒排名種病毒排名 1. CIH (1998年年) 感染W(wǎng)indows 95/98中以EXE為后綴的可行性文件?？梢灾貙態(tài)IOS使之無用使用戶的計算機無法啟動，唯一的解決方法是替換系統(tǒng)原有的芯片(chip)，還會破壞硬盤中的信息。CIH被公認(rèn)為是有史以來最危險、破壞力最強的計算機病毒之一，在全球范圍內(nèi)造成了2000萬-8000萬美元的損失。2.梅利莎梅利莎(Melissa,1999年年) 隱藏在一個Word97格式

13、的文件里，通過電子郵件傳播，侵襲裝有Word97或Word2000的計算機。在發(fā)現(xiàn)Melissa病毒后短短的數(shù)小時內(nèi)，通過因特網(wǎng)在全球傳染數(shù)百萬臺計算機和數(shù)萬臺服務(wù)器， 因特網(wǎng)在許多地方癱瘓。給全球帶來了3億-6億美元的損失。3.愛蟲愛蟲 I love you (2000年年) 通過E-Mail散布，給全球帶來100億-150億美元的損失。4. 紅色代碼紅色代碼 (Code Red，2001年年) 迅速傳播，并造成大范圍的訪問速度下降甚至阻斷。首先攻擊計算機網(wǎng)絡(luò)的服務(wù)器，導(dǎo)致網(wǎng)站癱瘓。其造成的破壞主要是涂改網(wǎng)頁，有修改文件的能力，給全球帶來26億美元損失。5. SQL Slammer (200

14、3年年)該病毒利用SQL SERVER 2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務(wù)進(jìn)行攻擊。全球共有50萬臺服務(wù)器被攻擊，但造成但經(jīng)濟損失較小。6. 沖擊波沖擊波(Blaster，2003年年) 病毒運行時利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計算機，利用DCOM RPC緩沖區(qū)漏洞攻擊系統(tǒng)，攻擊成功，病毒體在計算機中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。2003年夏爆發(fā)，數(shù)十萬臺計算機被感染，給全球造成20億-100億美元損失。7. 大無極大無極.F(Sobig.F，2003年年) Sobig.f利用互聯(lián)網(wǎng)進(jìn)行傳播，將自己以電子郵件的形式發(fā)給它從被感染電腦中

15、找到的所有郵件地址，給全球帶來50億-100億美元損失。8. 貝革熱貝革熱(Bagle，2004年年)通過電子郵件進(jìn)行傳播，運行后，在系統(tǒng)目錄下生成自身的拷貝，修改注冊表鍵值。病毒同時具有后門能力。2004年1月18日爆發(fā)，給全球帶來數(shù)千萬美元損失。9. MyDoom (2004年年) 通過電子郵件附件和P2P網(wǎng)絡(luò)Kazaa傳播, 運行病毒程序后，病毒就會以用戶信箱內(nèi)的電子郵件地址為目標(biāo)，偽造郵件的源地址，向外發(fā)送大量帶有病毒附件的電子郵件，同時在主機上留下可以上載并執(zhí)行任意代碼的后門。在高峰時期，導(dǎo)致網(wǎng)絡(luò)加載時間慢50%以上。10. Sasser (2004年)利用微軟操作系統(tǒng)的Lsass緩

16、沖區(qū)溢出漏洞( MS04-011漏洞信息)進(jìn)行傳播。由于該蠕蟲在傳播過程中會發(fā)起大量的掃描，因此網(wǎng)絡(luò)運行造成很大的沖擊。給全球帶來數(shù)千萬美元損失。2021/4/269計算機病毒來源計算機病毒來源 計算機病毒的來源多種多樣，有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的 有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報復(fù)性懲罰 有的是計算機愛好者的惡作劇與商業(yè)利益的互相勾結(jié)的產(chǎn)物 有的是計算機高手為了報復(fù)社會或顯示自己技術(shù)而創(chuàng)造出來的 某些殺毒軟件公司為了推銷自己的殺毒軟件所制造病毒2021/4/2610病毒的特征病毒的特征計算機病毒作為一種特殊的程序具有以下特征：特征： （一）

17、非授權(quán)可執(zhí)行性（一）非授權(quán)可執(zhí)行性，計算機病毒隱藏在合法的程序或數(shù)據(jù)中，當(dāng)用戶運行正常程序時，病毒伺機竊取到系統(tǒng)的控制權(quán)，得以搶先運行，然而此時用戶還認(rèn)為在執(zhí)行正常程序； （二）隱蔽性（二）隱蔽性，計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序，它通?？偸窍敕皆O(shè)法隱藏自身，防止用戶察覺； （三）傳染性（三）傳染性，傳染性是計算機病毒最重要的一個特征，病毒程序一旦侵入計算機系統(tǒng)就通過自我復(fù)制迅速傳播。 （四）潛伏性（四）潛伏性，計算機病毒具有依附于其它媒體而寄生的能力，這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力，病毒可以悄悄隱藏起來，然后在用戶不察覺的情況下進(jìn)行傳染。 （五）

18、表現(xiàn)性或破壞性（五）表現(xiàn)性或破壞性，無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源。而絕大多數(shù)病毒程序要顯示一些文字或圖象，影響系統(tǒng)的正常運行，還有一些病毒程序刪除文件，甚至摧毀整個系統(tǒng)和數(shù)據(jù)，使之無法恢復(fù)，造成無可挽回的損失。 （六）可觸發(fā)性（六）可觸發(fā)性，計算機病毒一般都有一個或者幾個觸發(fā)條件。一旦滿足觸發(fā)條件或者激活病毒的傳染機制，使之進(jìn)行傳染；或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實質(zhì)是一種條件的控制，病毒程序可以依據(jù)設(shè)計者的要求，在一定條件下實施攻擊。這個條件可以是敲入特定字符，某個特定日期或特定時刻，或者是病毒

19、內(nèi)置的計數(shù)器達(dá)到一定次數(shù)等。 （七）不可預(yù)見性（七）不可預(yù)見性，誰都無法判斷明天會有什么更生猛的病毒類型和擴散方式，而且病毒永遠(yuǎn)超前于反病毒產(chǎn)品出現(xiàn)。 （八）變異性與針對性，人為或非人為升級，總是針對某些文件類型或者針對某種行為或某類數(shù)據(jù)9、 人的價值，在招收誘惑的一瞬間被決定。2021-12-292021-12-29Wednesday, December 29, 202110、低頭要有勇氣，抬頭要有低氣。2021-12-292021-12-292021-12-2912/29/2021 10:35:58 PM11、人總是珍惜為得到。2021-12-292021-12-292021-12-29D

20、ec-2129-Dec-2112、人亂于心，不寬余請。2021-12-292021-12-292021-12-29Wednesday, December 29, 202113、生氣是拿別人做錯的事來懲罰自己。2021-12-292021-12-292021-12-292021-12-2912/29/202114、抱最大的希望，作最大的努力。2021年12月29日星期三2021-12-292021-12-292021-12-2915、一個人炫耀什么，說明他內(nèi)心缺少什么。2021年12月2021-12-292021-12-292021-12-2912/29/202116、業(yè)余生活要有意義，不要越軌

21、。2021-12-292021-12-29December 29, 202117、一個人即使已登上頂峰，也仍要自強不息。2021-12-292021-12-292021-12-292021-12-292021/4/2612病毒發(fā)展病毒發(fā)展引導(dǎo)區(qū)病毒引導(dǎo)區(qū)病毒臺式電腦臺式電腦第第1代代第第2代代第第3代代第第4代代臺式電腦臺式電腦臺式電腦臺式電腦臺式電腦臺式電腦臺式電腦臺式電腦LAN服務(wù)器服務(wù)器基于文件的病毒基于文件的病毒郵件群發(fā)病毒郵件群發(fā)病毒 互聯(lián)網(wǎng)互聯(lián)網(wǎng)防毒墻防毒墻電子郵件電子郵件服務(wù)器墻服務(wù)器墻臺式電腦臺式電腦筆記本電腦筆記本電腦網(wǎng)絡(luò)病毒與蠕蟲網(wǎng)絡(luò)病毒與蠕蟲 互聯(lián)網(wǎng)互聯(lián)網(wǎng)防毒墻防毒墻服務(wù)

22、器服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器服務(wù)器臺式電腦臺式電腦臺式電腦臺式電腦臺式電腦臺式電腦筆記本電腦筆記本電腦已打補丁的機器已打補丁的機器網(wǎng)絡(luò)擁堵網(wǎng)絡(luò)擁堵2021/4/2613病毒的發(fā)展特點病毒的發(fā)展特點 新病毒出現(xiàn)的頻率越來越快； 病毒與Internet關(guān)聯(lián)越來越緊密； 病毒爆發(fā)轉(zhuǎn)向小范圍爆發(fā)； 病毒傳播方式多樣化； 傳播病毒的目的轉(zhuǎn)向經(jīng)濟利益； 病毒的破壞力越來越大； 病毒的制造越來越有針對性。2021/4/2614病毒分類病毒分類11、按感染對象分為引導(dǎo)型、文件型、混合型、宏病毒, 2、 按照病毒程序入侵系統(tǒng)的途徑，可將計算機病毒分為以下四種類型： （1）操作系統(tǒng)型：這種病毒最常見，危

23、害性也最大。 （2）外殼型：這種病毒主要隱藏在合法的主程序周圍，且很容易編寫，同時也容易檢查和刪除。 （3）入侵型：這種病毒是將病毒程序的一部分插入到合法的主程序中，破壞原程序。這種病毒的編寫比較困難。 （4）源碼型：這種病毒是在源程序被編譯前，將病毒程序插入到高級語言編寫的源程序中，經(jīng)過編譯后，成為可執(zhí)行程序的合法部分。這種程序的編寫難度較大，一旦插入，其破壞性極大。3、按破壞性可分為：良性病毒，惡性病毒。（1）良性病毒：僅僅顯示信息、奏樂、發(fā)出聲響，自我復(fù)制的。 （2）惡性病毒：封鎖、干擾、中斷輸入輸出、使用戶無法打印等正常工作，甚至電腦中止運行。 （3）極惡性病毒：死機、系統(tǒng)崩潰、刪除普

24、通程序或系統(tǒng)文件，破壞系統(tǒng)配置導(dǎo)致系統(tǒng)死機、崩潰、無法重啟。 （4）災(zāi)難性病毒：破壞分區(qū)表信息、主引導(dǎo)信息、FAT，刪除數(shù)據(jù)文件，甚至格式化硬盤等。 2021/4/2615根據(jù)病毒特有的算法可以分為三類。 (1) 伴隨型病毒伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名(COM)，如XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 (2) “蠕蟲蠕蟲”型病毒型病毒：通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一

25、臺計算機的內(nèi)存?zhèn)鞑サ狡渌嬎銠C的內(nèi)存、計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其他資源。 (3) 寄生型病毒寄生型病毒：除了伴隨型和“蠕蟲”型，其他病毒均可稱為寄生型病毒。它們依附在系統(tǒng)的引導(dǎo)區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播。病毒分類病毒分類22021/4/2616現(xiàn)代計算機病毒分類現(xiàn)代計算機病毒分類v 特洛伊木馬程序特洛伊木馬程序v 蠕蟲蠕蟲v 玩笑程序玩笑程序v 后門程序后門程序v DDos DDos 攻擊程序攻擊程序v 間諜軟件間諜軟件SpywareSpywarev 流氓軟件與釣魚軟件流氓軟件與釣魚軟件特洛伊木馬程序往往表面上看起來無害，但是會執(zhí)行

26、一些未預(yù)特洛伊木馬程序往往表面上看起來無害，但是會執(zhí)行一些未預(yù)料或未經(jīng)授權(quán)，通常是惡意的操作。料或未經(jīng)授權(quán)，通常是惡意的操作。計算機蠕蟲是指一個程序（或一組程序），它會自我復(fù)制、計算機蠕蟲是指一個程序（或一組程序），它會自我復(fù)制、傳播到別的計算機系統(tǒng)中去。傳播到別的計算機系統(tǒng)中去。后門程序是一種會在系統(tǒng)中打開一個秘密訪問方式的程序，后門程序是一種會在系統(tǒng)中打開一個秘密訪問方式的程序，經(jīng)常被用來饒過系統(tǒng)安全策略經(jīng)常被用來饒過系統(tǒng)安全策略DDosDDos攻擊程序用于攻擊并禁用目標(biāo)服務(wù)器的攻擊程序用于攻擊并禁用目標(biāo)服務(wù)器的webweb服務(wù)，導(dǎo)致服務(wù)，導(dǎo)致合法用戶無法獲得正常服務(wù)合法用戶無法獲得正常服

27、務(wù)這些玩笑程序設(shè)計時不是致力于破壞用戶的數(shù)據(jù)，但是某些這些玩笑程序設(shè)計時不是致力于破壞用戶的數(shù)據(jù)，但是某些不知情的用戶可能會引發(fā)不正當(dāng)?shù)牟僮?，從而?dǎo)致文件的損不知情的用戶可能會引發(fā)不正當(dāng)?shù)牟僮?，從而?dǎo)致文件的損壞和數(shù)據(jù)的丟失。壞和數(shù)據(jù)的丟失。間諜軟件是指未在用戶授權(quán)的情況下，收集用戶的操作習(xí)慣間諜軟件是指未在用戶授權(quán)的情況下，收集用戶的操作習(xí)慣信息，甚至是用戶的鍵盤記錄并通過互聯(lián)網(wǎng)發(fā)送到軟件發(fā)布信息，甚至是用戶的鍵盤記錄并通過互聯(lián)網(wǎng)發(fā)送到軟件發(fā)布者的軟件。者的軟件。這類軟件與經(jīng)濟利益掛鉤，進(jìn)行違法活動這類軟件與經(jīng)濟利益掛鉤，進(jìn)行違法活動2021/4/2617病毒的傳播途徑病毒的傳播途徑 除引導(dǎo)

28、區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實現(xiàn)感染系統(tǒng)的目的。對于不同類型的病毒，它們傳播、感染系統(tǒng)的方法也有所不同。 傳播方式主要有： 電子郵件 網(wǎng)絡(luò)共享 P2P 共享 系統(tǒng)漏洞 移動磁盤傳播 網(wǎng)頁感染 與正常軟件捆綁 用戶直接運行病毒程序 由其他惡意程序釋放2021/4/2618感染病毒后的現(xiàn)象感染病毒后的現(xiàn)象電腦運行比平常遲鈍電腦運行比平常遲鈍程序載入時間比平常久程序載入時間比平常久對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間不尋常的錯誤信息出現(xiàn)不尋常的錯誤信息出現(xiàn)硬盤的指示燈無緣無故的亮了硬盤的指示燈無緣無故的亮了

29、系統(tǒng)內(nèi)存容量忽然大量減少系統(tǒng)內(nèi)存容量忽然大量減少可執(zhí)行程序的大小改變了可執(zhí)行程序的大小改變了內(nèi)存內(nèi)增加來路不明的常駐程序內(nèi)存內(nèi)增加來路不明的常駐程序文件奇怪的消失文件奇怪的消失文件的內(nèi)容被加上一些奇怪的資料文件的內(nèi)容被加上一些奇怪的資料文件名稱，擴展名，日期，屬性被更改過文件名稱，擴展名，日期，屬性被更改過WORD或或EXCEL提示執(zhí)行提示執(zhí)行“宏宏”系統(tǒng)時間忽然出錯系統(tǒng)時間忽然出錯 。等等，還有很多。等等，還有很多2021/4/2619病毒的危害病毒的危害下載特性 很多木馬、后門程序間諜軟件會自動連接到Internet某Web站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種。后門特性

30、 后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統(tǒng)中開啟并偵聽某個端口，允許遠(yuǎn)程惡意用戶來對該系統(tǒng)進(jìn)行遠(yuǎn)程操控。有時候病毒還會自動連接到某IRC站點某頻道中，使得該頻道中特定的惡意用戶遠(yuǎn)程訪問受感染的計算機。 信息收集 大多數(shù)間諜軟件和一些木馬都會收集系統(tǒng)中用戶的私人信息，特別各種帳號和密碼。收集到的信息通常都會被病毒通過自帶的SMTP引擎發(fā)送到指定的某個指定的郵箱。（QQ密碼和聊天記錄、網(wǎng)絡(luò)游戲帳號密碼、網(wǎng)上銀行帳號密碼、用戶網(wǎng)頁瀏覽記錄和上網(wǎng)習(xí)慣等）2021/4/2620病毒的危害特性病毒的危害特性自身隱藏特性 多數(shù)病毒會將自身文件設(shè)置為“隱藏”、“系統(tǒng)”和“只讀”屬性，更有一些病毒會通

31、過修改注冊表來實現(xiàn)對系統(tǒng)的文件夾訪問權(quán)限、顯示權(quán)限等進(jìn)行修改，以使其更加隱蔽不易被發(fā)現(xiàn)。文件感染 文件型病毒的一個特性是感染系統(tǒng)中部分/所有的可執(zhí)行文件。病毒會將惡意代碼插入到系統(tǒng)中正常的可執(zhí)行文件中，使得系統(tǒng)正常文件被破壞而無法運行，或使系統(tǒng)正常文件感染病毒而成為病毒體。網(wǎng)絡(luò)攻擊 一些蠕蟲病毒會針對微軟操作系統(tǒng)或其他程序存在的漏洞進(jìn)行攻擊，從而導(dǎo)致受攻擊的計算機出現(xiàn)各種異常現(xiàn)象，或是通過漏洞在受攻擊的計算機上遠(yuǎn)程執(zhí)行惡意代碼。 一些木馬和蠕蟲病毒會修改計算機的網(wǎng)絡(luò)設(shè)置，使該計算機無法訪問網(wǎng)絡(luò)。有的木馬和蠕蟲還會向網(wǎng)絡(luò)中其他計算機攻擊、發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)，甚至通過散步虛假網(wǎng)關(guān)地址的廣播包

32、來欺騙網(wǎng)絡(luò)中其他計算機，從而使得整個網(wǎng)絡(luò)癱瘓2021/4/2621病毒常用技術(shù)病毒常用技術(shù) 自啟動特性自啟動特性 除引導(dǎo)區(qū)病毒外，絕大多數(shù)病毒感染系統(tǒng)后，都具有自啟動特性。 病毒在系統(tǒng)中的行為是基于病毒在系統(tǒng)中運行的基礎(chǔ)上的，這就決定了病毒必然要通過對系統(tǒng)的修改，實現(xiàn)開機后自動加載的功能。 服務(wù)和進(jìn)程病毒程序直接運行服務(wù)和進(jìn)程病毒程序直接運行 嵌入系統(tǒng)正常進(jìn)程嵌入系統(tǒng)正常進(jìn)程DLL文件和文件和OCX文件等文件等 驅(qū)動驅(qū)動SYS文件文件 修改注冊表修改注冊表 將自身添加為服務(wù)將自身添加為服務(wù) 將自身添加到啟動文件夾將自身添加到啟動文件夾 修改系統(tǒng)配置文件修改系統(tǒng)配置文件2021/4/2622病毒

33、啟動方式病毒啟動方式注冊表啟動項注冊表啟動項文件關(guān)聯(lián)項文件關(guān)聯(lián)項系統(tǒng)服務(wù)項系統(tǒng)服務(wù)項映像劫持映像劫持修改自動播放配置文件修改自動播放配置文件其他其他2021/4/2623請各位思考請各位思考1、如何判斷你的計算機是否中了病毒？2、病毒隱藏在什么地方？3、根據(jù)上頁所提的病毒啟動方式，該在哪里禁止這些病毒程序啟動？ 既然下載了本教程，希望各位不是一看既然下載了本教程，希望各位不是一看而過，請仔細(xì)思考，希望引領(lǐng)你們進(jìn)入這而過，請仔細(xì)思考，希望引領(lǐng)你們進(jìn)入這個領(lǐng)域?qū)Ｑ?。師傅領(lǐng)進(jìn)門，修行在個人。個領(lǐng)域?qū)Ｑ?。師傅領(lǐng)進(jìn)門，修行在個人。2021/4/2624計算機病毒命名規(guī)則 計算機病毒的命名沒有統(tǒng)一的規(guī)范，

34、但有一些通用的習(xí)慣。 計算機病毒的命名一般都采用前、后綴法，可以多個前綴、后綴組合，中間以小數(shù)點分隔，格式為：前綴前綴底病毒名后綴 其中（前綴）有：Script（代表腳本病毒）、Trojan（代表木馬病毒）、Worm（代表蠕蟲病毒）、Harm（代表破壞性程序）、MacroWMWM97XMXM97（代表宏病毒）、Win32W32（代表系統(tǒng)病毒）組成（病毒名稱）的六個字段： 主行為類型主行為類型. .子行為類型子行為類型. .宿主文件類型宿主文件類型. .主名稱主名稱. .版本信息版本信息. .主名稱變種號主名稱變種號子行為類型Mail 通過郵件傳播IM 通過不明載體傳播MSN 通過MSN傳播QQ

35、 通過OICQ傳播ICQ 通過ICQ傳播P2P 通過P2P軟件傳播IRC 通過IRC傳播Spy 竊取用戶信息PSW 具有竊取密碼的行為DL 下載病毒并運行宿主文件類型主名稱是由分析員根據(jù)病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的。版本信息只允許為數(shù)字主名稱變種號主名稱變種號確為是同一家族病毒的條件: 病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同 .主行為類型:Backdoor 后門Worm 蠕蟲Trojan 木馬Virus 感染型病毒Harm 破壞性程序 Dropper 釋放病毒的程序Hack 黑客工具Binder 捆綁病毒工具2021/4/2625以后培訓(xùn)內(nèi)容提示以后培訓(xùn)內(nèi)容提示如何發(fā)現(xiàn)計算