第九章計算機病毒概論

1、第九章 計算機病毒概論(giln)共八十九頁主要(zhyo)內(nèi)容什么是計算機病毒病毒的生命周期病毒發(fā)展簡史病毒的不良特征及危害病毒的分類(fn li)病毒的命名原則計算機病毒研究準則共八十九頁9.1 什么(shn me)是計算機病毒1. 廣義定義泛指所有的惡意軟件，即Malware。Malware是由兩個英文單詞融合而成，分別是Malicious（懷惡意( y)的, 惡毒的）和Software（軟件）其他表述：惡意軟件是運行在計算機上的一段代碼，這些代碼可以使計算機系統(tǒng)做一些攻擊者想讓它做的行為。惡意軟件指所有設(shè)計用來對單臺計算機、服務(wù)器或計算機網(wǎng)絡(luò)造成危害的軟件。共八十九頁 目前，國外關(guān)于計

2、算機病毒（Computer viruses，簡稱病毒）最流行的定義：計算機病毒是一段附著在其它程序上的可以實現(xiàn)自我繁殖的程序代碼。 在中華人民共和國計算機信息系統(tǒng)安全保護條例中，關(guān)于計算機病毒的定義是：計算機病毒是指編制或者在計算機程序中插入(ch r)的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。 共八十九頁2. 狹義定義指惡意軟件中的一種文件感染型病毒。這類惡意軟件與其他(qt)的惡意軟件的不同之處在于會感染其他(qt)可執(zhí)行文件。共八十九頁9.2 病毒(bngd)的生命周期計算機病毒的產(chǎn)生過程可分為程序設(shè)計傳播潛伏觸發(fā)運行(ynxng)實行攻擊。

3、計算機病毒擁有一個完整的生命周期，從產(chǎn)生到徹底根除，病毒生命周期包括：（1） 開發(fā)期 （2） 傳播期（3） 潛伏期 （4） 發(fā)作期（5） 發(fā)現(xiàn)期 （6） 消化期（7） 消亡期 共八十九頁（1） 開發(fā)期制造病毒，通常計算機病毒是一些誤人歧途的、試圖傳播計算機病毒和破壞計算機的個人或組織制造的。 （2） 傳播期在一個病毒制造出來(ch li)后，病毒的編寫者將其拷貝并確認其已被傳播出去。（3） 潛伏期 病毒是自然地復(fù)制的。一個設(shè)計良好的病毒可以在它活化前長時期里被復(fù)制。這就給了它充裕的傳播時間。這時病毒的危害在于暗中占據(jù)存儲空間。 共八十九頁（4） 發(fā)作期 帶有破壞機制的病毒會在遇至某一特定條件時

4、發(fā)作，一旦遇上某種條件病毒就被活化(huhu)了。沒有感染程序的病毒屬于沒有活化(huhu)，這時病毒的危害在于暗中占據(jù)存儲空間。（5） 發(fā)現(xiàn)期 當(dāng)一個病毒被檢測到并被隔離出來后，它被送到計算機安全協(xié)會或反病毒廠家，在那里病毒被通報和描述給反病毒研究工作者。通常發(fā)現(xiàn)病毒是在病毒成為計算機社會的災(zāi)難之前完成的。共八十九頁（6） 消化期在這一階段，反病毒開發(fā)人員修改他們的軟件以使其可以檢測到新發(fā)現(xiàn)的病毒。這段時間的長短取決于開發(fā)人員的素質(zhì)和病毒的類型。（7） 消亡期若是所有用戶安裝了最新版的殺毒軟件，那么任何已知病毒都將被掃除。這樣沒有什么病毒可以廣泛地傳播，但有一些(yxi)病毒在消失之前有一個

5、很長的消亡期。共八十九頁計算機病毒的起源(qyun)科學(xué)幻想起源(qyun)說 惡作劇起源說 游戲程序起源說 軟件商保護軟件起源說 歸納起來，計算機系統(tǒng)、Internet的脆弱性是產(chǎn)生計算機病毒的根本技術(shù)原因之一，計算機科學(xué)技術(shù)的不斷進步，個人計算機的快速普及應(yīng)用是產(chǎn)生計算機病毒的加速器。 共八十九頁111961年，美國的三個程序員通過編寫小程序破壞對方、復(fù)制自身等來獲取游戲勝利；這是計算機病毒“雛形”1971年，世界上第一個病毒CREEPER（爬行者）出現(xiàn)；不久一個名為Reaper（收割機）的程序出現(xiàn)，這是病毒史上的第一個專殺工具“計算機病毒”這一概念是1977年由美國著名科普作家(zuji

6、)“雷恩”在一部科幻小說P1的青春中提出1983年 美國計算機安全專家“考因”首次通過實驗證明了病毒的可實現(xiàn)性1989年 全世界的計算機病毒攻擊十分猖獗，其中米開朗基羅病毒給許多計算機用戶造成極大損失。 9.3 病毒(bngd)發(fā)展簡史 共八十九頁12計算機病毒歷史(lsh)1989年 全世界的計算機病毒攻擊十分猖獗，其中米開朗基羅病毒給許多計算機用戶造成極大損失。 1991年 在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)1992年 出現(xiàn)針對(zhndu)殺毒軟件的幽靈病毒，如One-half。 1996年 首次出現(xiàn)針對微軟公司Office的宏病毒。 1997年 被公認為計算機反病毒界的“

7、宏病毒”年。 1998年 出現(xiàn)針對Windows95/98系統(tǒng)的病毒，如CIH（1998年被公認為計算機反病毒界的CIH病毒年）。 1999年 Happy99等完全通過Internet傳播的病毒的出現(xiàn)標志著Internet病毒將成為病毒新的增長點。 共八十九頁13重大(zhngd)計算機病毒事件1988年11月2日， Internet前身Arpanet網(wǎng)絡(luò)遭到蠕蟲的攻擊，導(dǎo)致癱瘓，其始作俑者為康奈爾大學(xué)計算機科學(xué)系研究生羅伯特莫里斯 1998年 出現(xiàn)的CIH病毒是一個全新的新型(xnxng)病毒。這種病毒與DOS下的傳統(tǒng)病毒有很大不同，它使用面向Windows的VXD技術(shù)編制。該病毒是第一個直

8、接攻擊，導(dǎo)致硬件不能正常工作的計算機病毒。它主要感染W(wǎng)indows95/98的可執(zhí)行程序，發(fā)作時破壞計算機Flash BIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞，同時破壞硬盤中的數(shù)據(jù)。 共八十九頁14重大(zhngd)計算機病毒事件1999年4月 出現(xiàn)的梅麗莎病毒，是第一個通過電子郵件傳播(chunb)的病毒，短短24小時之內(nèi)就使美國數(shù)萬臺服務(wù)器、數(shù)十萬臺工作站癱瘓，造成損失高達10億美元。 共八十九頁15重大(zhngd)計算機病毒事件2003年，沖擊波病毒利用(lyng)Windows操作系統(tǒng)的RPC漏洞大量傳播，導(dǎo)致上百萬臺計算機被迫重啟，損失不計其數(shù)。在其之后的震蕩波病毒，同樣應(yīng)用了類似的

9、漏洞，這使中國廣大的計算機使用者，第一次面對“漏洞”這個名詞的時候，不得不同時面對巨大的損失。共八十九頁16重大(zhngd)計算機病毒事件 2007年所有人幾乎“談熊貓色變”，熊貓燒香(sho xing)在短短幾個月時間里感染了幾百萬臺電腦，。該病毒不僅感染可執(zhí)行文件，還會感染網(wǎng)頁文件，并通過局域網(wǎng)、U盤等渠道傳播，而且該病毒還對主流殺毒軟件進行攻擊，并刪除gho后綴名的文件，使中毒的計算機無法恢復(fù)。 2007年2月12日抓獲病毒作者李?。?，25歲，武漢新洲區(qū)人），他編寫的“熊貓燒香”病毒并在網(wǎng)上廣泛傳播，并且還以自己出售和由他人代賣的方式，在網(wǎng)絡(luò)上將該病毒銷售給120余人，非法獲利10萬

10、余元共八十九頁 計算機病毒伴隨計算機、網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展而日趨復(fù)雜多變，其破壞性和傳播能力也不斷增強。計算機病毒發(fā)展主要經(jīng)歷了五個重要的階段。（1）原始病毒(bngd)階段（第一階段）（2）混合型病毒階段（第二階段）（3）多態(tài)性病毒階段（第三階段）（4）網(wǎng)絡(luò)病毒階段（第四階段）（5）主動攻擊型病毒階段（第五階段） 總結(jié)(zngji)：共八十九頁（1）原始病毒階段（第一階段）特點：攻擊目標和破壞性比較單一，主要通過截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運行狀態(tài)，并在一定的條件下對目標進行傳染，病毒程序不具有自我保護功能，較容易被人們(rn men)分析、識別和清除。共八十九頁（2）混合型病毒階段（

11、第二階段）特點：攻擊目標趨于混合，以更隱蔽的方法駐留在內(nèi)存(ni cn)和傳染目標中，系統(tǒng)感染病毒后沒有明顯的特征，病毒程序具有自我保護功能，出現(xiàn)眾多病毒的變種。共八十九頁（3）多態(tài)性病毒階段（第三階段）特點：每次傳染目標時，放入宿主程序中的病毒程序大部分都是可變的；防病毒軟件查殺困難(kn nn)；病毒技術(shù)開始向多維化方向發(fā)展。共八十九頁（4）網(wǎng)絡(luò)病毒(bngd)階段（第四階段）隨著互聯(lián)網(wǎng)的廣泛發(fā)展，依賴互聯(lián)網(wǎng)傳播的郵件病毒和宏病毒等大肆泛濫，呈現(xiàn)出病毒傳播快、隱蔽性強、破壞性大的特點。反病毒產(chǎn)業(yè)開始產(chǎn)生并逐步形成了規(guī)模較大的新興產(chǎn)業(yè)。共八十九頁（5）主動攻擊型病毒階段（第五階段）各種病毒具

12、有主動攻擊性，利用操作(cozu)系統(tǒng)的漏洞進行攻擊性的傳播擴散，并不需要任何物理媒介或操作(cozu)，用戶只要接入互聯(lián)網(wǎng)絡(luò)就可能被感染，病毒對網(wǎng)絡(luò)系統(tǒng)軟硬件和重要信息的危害性更大。共八十九頁9.4 病毒的不良特征(tzhng)及危害傳播性隱蔽性感染性潛伏性可激發(fā)性表現(xiàn)性破壞性一般至少有兩個或兩個以上的不良(bling)特征共八十九頁傳播性病毒一般會自動利用各種方式傳播常見傳播方式：郵件、即時通信軟件、局域網(wǎng)共享文件夾、軟件漏洞傳播、移動存儲器等傳播性是蠕蟲病毒的典型(dinxng)特征之一共八十九頁隱蔽性一般具有隱藏或系統(tǒng)屬性，并隱藏在某個用戶不常去的系統(tǒng)文件夾中部分病毒使用和系統(tǒng)進程相同

13、或相似的名稱部分病毒使用“無進程”技術(shù)(jsh)或插入到某個系統(tǒng)的關(guān)鍵進程，在任務(wù)管理器中找不到單獨的運行進程利用社會工程學(xué)的偽裝技術(shù)隱蔽性是木馬病毒的典型特征之一共八十九頁感染性通過感染達到自我復(fù)制，保護(boh)自己的目的感染性是感染性病毒的典型特征之一潛伏性具有一定的“潛伏期”，能在特定的日子爆發(fā)如黑色星期五、CIH病毒共八十九頁可激發(fā)性根據(jù)作者的“需求”，設(shè)置觸發(fā)病毒攻擊的“扳機”表現(xiàn)性運行后，會有一定的表現(xiàn)特征具有明顯表現(xiàn)特征的病毒日趨減少(jinsho)破壞性具有明顯破壞性的病毒比例也呈下降趨勢共八十九頁計算機病毒危害竊取敏感信息破壞文件或數(shù)據(jù)占用系統(tǒng)資源占用系統(tǒng)網(wǎng)絡(luò)資源破壞操作系

14、統(tǒng)等軟件或計算機主板等硬件(yn jin)其他錯誤及不可預(yù)知的危害共八十九頁計算機病毒發(fā)作前的表現(xiàn)（1） 平時運行正常的計算機突然經(jīng)常性無緣無故地死機（2） 操作系統(tǒng)無法正常啟動（3） 運行速度明顯變慢（4） 正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足問題(wnt)（5） 打印和通訊出現(xiàn)異常（6） 無意中要求對U盤進行寫操作共八十九頁（7） 以往正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤 （8） 系統(tǒng)文件的時間、日期、大小發(fā)生變化（9） 無法另存為一個Word文檔（10） 磁盤空間迅速(xn s)減少（11） 網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。（12） 基本內(nèi)存發(fā)生變化。（13） 陌生人發(fā)來的電子郵件（14

15、）自動鏈接到一些陌生的網(wǎng)站共八十九頁計算機病毒發(fā)作時的現(xiàn)象（1）提示不相關(guān)對話（2）發(fā)出音樂（3）產(chǎn)生特定的圖象（4）硬盤燈不斷閃爍（5）進行游戲算法(sun f)（6）Windows桌面圖標發(fā)生變化（7）突然死機或重啟（8）自動發(fā)送電子郵件（9）鼠標自己在動共八十九頁計算機病毒發(fā)作后的表現(xiàn)（1） 硬盤無法啟動，數(shù)據(jù)丟失（2） 系統(tǒng)文件丟失或被破壞（3） 文件目錄發(fā)生混亂（4） 部分文檔丟失或被破壞（5） 部分文檔自動加密碼（6） 修改Autoexec.bat文件(wnjin)，導(dǎo)致計算機重新啟動時格式化硬盤 （7） 使部分可軟件升級主板的BIOS程序混亂，主板被破壞（8） 網(wǎng)絡(luò)癱瘓，無法提供

16、正常的服務(wù) 共八十九頁計算機病毒的傳播(chunb)途徑計算機病毒的傳染性是計算機病毒最基本的特性，病毒的傳染性是病毒賴以生存繁殖的條件，如果計算機病毒沒有傳播渠道，則其破壞性小，擴散面窄，難以造成大面積流行。計算機病毒必須要“搭載”到計算機上才能感染(gnrn)系統(tǒng)，通常它們是附加在某個文件上。共八十九頁計算機病毒的傳播主要(zhyo)通過文件拷貝、文件傳送、文件執(zhí)行等方式進行，文件拷貝與文件傳送需要傳輸媒介，文件執(zhí)行則是病毒感染的必然途徑（Word、Excel等宏病毒通過Word、Excel調(diào)用間接地執(zhí)行），因此，病毒傳播與文件傳播媒體的變化有著直接關(guān)系。 共八十九頁計算機病毒的主要傳播途

17、徑有： 1、軟盤軟盤作為最常用的交換媒介，在計算機應(yīng)用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒； 另外，在軟盤列目錄或引導(dǎo)機器時，引導(dǎo)區(qū)病毒會在軟盤與硬盤引導(dǎo)區(qū)互相感染。因此軟盤也成了計算機病毒的主要寄生(jshng)的“溫床”。共八十九頁2、光盤光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔(dān)負專門責(zé)任，也決不會有真正可靠可行的技術(shù)保障

18、避免病毒的傳入、傳染(chunrn)、流行和擴散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。共八十九頁3、u盤、移動硬盤 ：攜帶方便，為了方便計算機相互之間傳遞文件，經(jīng)常使用u盤、移動硬盤 ，就將一臺計算機的病毒傳播到另一臺。4、網(wǎng)絡(luò)傳播：信息技術(shù)的進步為計算機病毒的傳播提供了新的“高速公路(o s n l)”。計算機病毒附著在正常文件中通過網(wǎng)絡(luò)進入一個又一個系統(tǒng)，成為病毒傳播的第一途徑。同時，還有新興的點對點通信系統(tǒng)和無線通道傳播，而且這種傳播途徑已經(jīng)呈現(xiàn)愈演愈烈的態(tài)勢。 共八十九頁5、下載傳播：在計算機日益普及(pj)的今天人們通過計算機網(wǎng)絡(luò)相互傳遞文件，信件，這樣使病毒傳播速度加

19、快，因為資源的共享，人們經(jīng)常網(wǎng)上下載免費共享軟件，很多下載的資源中都會夾帶木馬、后門、蠕蟲、病毒、插件，進而危害更多的計算機。 共八十九頁9.5 病毒(bngd)的分類根據(jù)感染平臺分類(fn li)感染DOS系統(tǒng)的病毒感染W(wǎng)indows系統(tǒng)的病毒感染Unix/Linux系統(tǒng)的病毒感染其他操作系統(tǒng)的病毒跨平臺病毒共八十九頁根據(jù)宿主或感染對象分類 引導(dǎo)區(qū)型病毒(bngd) 引導(dǎo)區(qū)型病毒(bngd)主要通過軟盤在操作系統(tǒng)中傳播，感染引導(dǎo)區(qū)，蔓延到硬盤，并能感染到硬盤中的“主引導(dǎo)記錄”。 文件型病毒 文件型病毒是文件感染者，也稱為寄生病毒。它運行在計算機存儲器中，通常感染擴展名為COM、EXE、SYS

20、等類型的文件。 共八十九頁 混合型病毒 混合型病毒具有引導(dǎo)區(qū)型病毒和文件(wnjin)型病毒兩者的特點。多型病毒（文件(wnjin)和引導(dǎo)型）感染文件(wnjin)和引導(dǎo)扇區(qū)兩種目標，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。 宏病毒 宏病毒是指用BASIC語言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。 共八十九頁根據(jù)(gnj)文件類型分類可執(zhí)行文件文本文件其他形式的文件共八十九頁根據(jù)惡意行為分類木馬特點是偽裝成正常的程序或文件蠕蟲一種會自我傳播的病毒后門程序一類繞過一般(ybn)的認證體系對計算機進行控制的程序文

21、件感染性病毒最大的特點是感染其他正常文件共八十九頁按照計算機病毒的破壞能力分類無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。無危險(wixin)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。共八十九頁非常危險型：這類病毒(bngd)刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒(bngd)對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當(dāng)它們傳染時會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒(bngd)引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒(bngd)也按照他們引起的破壞能力劃分。共

22、八十九頁以病毒的攻擊機型分類(fn li)攻擊微型計算機的病毒攻擊小型機的計算機病毒攻擊服務(wù)器的計算機病毒按照傳播媒介不同分類單機病毒網(wǎng)絡(luò)病毒共八十九頁按照病毒激活的時間分類定時病毒僅在某一特定的時間才發(fā)作隨機(su j)病毒一般不是由時鐘來激活共八十九頁惡意( y)病毒“四大家族” 一、宏病毒由于微軟的Office系列辦公軟件和Windows系統(tǒng)占了絕大多數(shù)的PC軟件市場，加上Windows和Office提供了宏病毒編制和運行所必需的庫（以 VB庫為主）支持和傳播機會，所以宏病毒是最容易(rngy)編制和流傳的病毒之一，很有代表性。 共八十九頁宏病毒發(fā)作方式: 在Word打開病毒文檔時，宏會

23、接管計算機，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲存它們的宏。這樣的結(jié)果(ji gu)是某些Word版本會強迫你將感染的文檔儲存在模板中。共八十九頁判斷是否被感染: 宏病毒一般在發(fā)作的時候沒有特別的跡象，通常是會偽裝成其他的對話框讓你確認。在感染了宏病毒的機器上，會出現(xiàn)不能打印文件、Office文檔無法保存或另存為等情況(qngkung)。宏病毒帶來的破壞:刪除硬盤上的文件;將私人文件復(fù)制到公開場合;從硬盤上發(fā)送文件到指定的E-mail、FTP地址。共八十九頁二、CIH病毒CIH是本世紀最著名和最有破壞力的病毒之一，它

24、是第一個能破壞硬件的病毒。發(fā)作破壞方式(fngsh):主要是通過篡改主板BIOS里的數(shù)據(jù)，造成電腦開機就黑屏，從而讓用戶無法進行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡(luò)上通過捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤上的文件及破壞硬盤的分區(qū)表。所以CIH 發(fā)作以后，即使換了主板或其他電腦引導(dǎo)系統(tǒng)，如果沒有正確的分區(qū)表備份，染毒的硬盤上特別是其C分區(qū)的數(shù)據(jù)挽回的機會很少。共八十九頁三、蠕蟲病毒蠕蟲病毒以盡量多復(fù)制自身（像蟲子(chng zi)一樣大量繁殖）而得名，多感染電腦和占用系統(tǒng)、網(wǎng)絡(luò)資源，造成PC和服務(wù)器負荷過重而死機，并以使系統(tǒng)內(nèi)數(shù)據(jù)混亂為主要的破壞方式。它不一定馬上刪除你的數(shù)

25、據(jù)讓你發(fā)現(xiàn)，比如著名的愛蟲病毒和尼姆達病毒。共八十九頁四、木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時機成熟就出來害人。傳染方式:通過電子郵件附件發(fā)出;捆綁在其他的程序中。病毒特性:會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝(nzhung)后門程序、開機加載附帶的木馬。共八十九頁木馬病毒的破壞性:木馬病毒的發(fā)作要在用戶的機器(j q)里運行服務(wù)端程序，一旦發(fā)作，就可設(shè)置后門，定時地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時內(nèi)置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。共八十九頁文件類型如Win3

26、2、W32、Win16、BAT、JS等病毒類型如WORM、TROJAN、BACKDOOR等病毒（家族）名如NETSKY、VIKING、CIH等病毒變種名一般以順序排列的字母(zm)后綴或數(shù)字組成55一般來說病毒(bngd)名稱至少包含以下內(nèi)容中的一至多項：9.6 病毒的命名原則共八十九頁趨勢科技對于病毒(bngd)的命名56病毒名稱前綴病毒類型TROJ木馬WORM蠕蟲PE文件感染型ADW廣告組件TSPY間諜木馬JS腳本VBSVB腳本PACKER加殼文件BKDR后門程序JOKE玩笑程序EXPL利用漏洞攻擊共八十九頁趨勢科技對于病毒(bngd)命名的規(guī)則形式：57病毒類型病毒（家族）名病毒變種名+

27、例：TSPY_ONLINEG.QIDBKDR_HUPIGON.WKZ共八十九頁TSPY_ONLINEG.QIDTSPY木馬間諜軟件的縮寫ONLINEG網(wǎng)絡(luò)游戲的縮寫QID變種(binzhng)名稱BKDR_HUIPIGON.WKZBKDR后門程序HUIPIGON灰鴿子的縮寫WKZWKZ變種共八十九頁9.7 計算機病毒研究(ynji)準則研究病毒必須的設(shè)備一臺個人計算機或工作平臺，有網(wǎng)絡(luò)地址并提供電子郵箱及網(wǎng)絡(luò)接入功能（網(wǎng)絡(luò)系統(tǒng)）一個獨立的不連接、并且不會因疏忽而能連接網(wǎng)絡(luò)系統(tǒng)的計算機系統(tǒng)（隔離(gl)的獨立系統(tǒng)）一個已經(jīng)建立的隔離的并且不會因疏忽而能連接外部網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)環(huán)境（病毒實驗室系統(tǒng)）

28、共八十九頁有關(guān)(yugun)安全條例與管理辦法中華人民共和國計算機信息系統(tǒng)安全保護條例計算機病毒防治管理辦法共八十九頁9.8 磁盤(c pn)引導(dǎo)區(qū)結(jié)構(gòu)磁盤一種磁介質(zhì)的外部存儲設(shè)備在其盤片的每一面上，以轉(zhuǎn)動軸為軸心、以一定的磁密度為間隔(jin g)的若干同心圓被劃分成磁道(Track)，每個磁道又被劃分為若干個扇區(qū)(Sector)，數(shù)據(jù)就按扇區(qū)存放在硬盤上。共八十九頁磁盤(c pn)引導(dǎo)區(qū)記錄著磁盤的一些最基本的信息，磁盤的第一個扇區(qū)被保留為主引導(dǎo)扇區(qū)，它位于整個硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR(Main Boot Record)和分區(qū)表DPT(Disk Partition

29、 Table)以及磁盤的有效標志。其中主引導(dǎo)記錄的作用就是檢查分區(qū)表是否正確以及確定哪個分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時把該分區(qū)的啟動程序(也就是操作系統(tǒng)引導(dǎo)扇區(qū))調(diào)入內(nèi)存加以執(zhí)行。共八十九頁主引導(dǎo)扇區(qū)512字節(jié)MBR占446個字節(jié)(偏移0偏移1BDH)DPT占64個字節(jié)(偏移1BEH 偏移 1FDH)最后兩個字節(jié)“55AA”(偏移1FEH偏移1FFH)是硬盤有效(yuxio)標志。共八十九頁以下表格注明了標準(biozhn)的主引導(dǎo)扇區(qū)的結(jié)構(gòu)： 共八十九頁分區(qū)表DPT(Disk Partition Table)，總共64個字節(jié)，每個分區(qū)占16個字節(jié)，可以表示(biosh)四個分區(qū)，所以說一個磁

30、盤的主分區(qū)和擴展分區(qū)之和總共只能有四個。共八十九頁以下表格(biog)表明了分區(qū)的具體含義：共八十九頁主引導(dǎo)區(qū)記錄被破壞(phui)后，往往會出現(xiàn)“Non-System disk or disk error,replace disk and press a key to reboot”(非系統(tǒng)盤或盤出錯)、“Error Loading Operating System”(裝入 DOS引導(dǎo)記錄錯誤)“No ROM Basic,System Halted”(不能進入ROM Basic，系統(tǒng)停止響應(yīng))等提示信息。在較為嚴重的情況下，則不會出現(xiàn)任何信息。共八十九頁主引導(dǎo)記錄或者引導(dǎo)扇區(qū)都有可能被感染。

31、當(dāng)感染后，正常的主引導(dǎo)記錄或引導(dǎo)扇區(qū)的代碼被病毒代碼替換，電腦啟動時首先運行的是病毒代碼，正常情況下，病毒代碼會一直駐留在內(nèi)存中等待(dngdi)感染時機。引導(dǎo)病毒感染硬盤后，一般會把原來的主引導(dǎo)記錄保存在硬盤上的其他扇區(qū)中，若代碼超過一個扇區(qū)大小，則會分布在幾個扇區(qū)中。比較完善的引導(dǎo)型病毒會將自己放置在比較安全的地方。共八十九頁9.9 病毒(bngd)特性根據(jù)對計算機病毒的產(chǎn)生、傳播和破壞行為的分析，可以將計算機病毒概括為以下6 個主要(zhyo)特點。 1. 取得系統(tǒng)控制權(quán) 2. 自我復(fù)制能力 3. 隱蔽性 4. 破壞性 5. 潛伏性 6. 不可預(yù)見性 共八十九頁9.10 傳播(chunb

32、)技術(shù)計算機病毒的傳播方式用戶在進行復(fù)制磁盤或文件時，把病毒由一個(y )載體復(fù)制到另一個(y )載體上，或者通過網(wǎng)絡(luò)把一個(y )病毒程序從一方傳遞到另一方，這種傳播方式叫做計算機病毒的被動傳播。 計算機病毒以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載體或另一個系統(tǒng)，這種傳播方式叫做計算機病毒的主動傳播。 共八十九頁計算機病毒的傳播(chunb)途徑：通過不可移動的計算機硬件設(shè)備進行傳播，即利用專用ASIC 芯片和硬盤進行傳播；通過移動存儲設(shè)備來傳播，其中U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)；

33、通過計算機網(wǎng)絡(luò)進行傳播；通過點對點通信系統(tǒng)和無線通道傳播。共八十九頁 計算機病毒的傳播(chunb)過程對于計算機病毒的被動傳播而言，其傳播過程是隨著復(fù)制磁盤或文件工作的進行而進行的；對于計算機病毒的主動傳播而言，其傳播過程是在系統(tǒng)運行時，病毒通過病毒載體，即系統(tǒng)的外存儲器進入系統(tǒng)的內(nèi)存儲器，然后常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行。共八十九頁 9.11 計算機病毒的觸發(fā)(chf)機制病毒(bngd)的基本特性感染、潛伏、可觸發(fā)、破壞。感染使病毒得以傳播，破壞性體現(xiàn)了病毒的殺傷能力。感染和破壞行為總是使系統(tǒng)或多或少地出現(xiàn)異常，頻繁的感染和破壞會使病毒暴露，而不破壞、不感染又會使病毒失去殺傷力

34、。 可觸發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。共八十九頁觸發(fā)條件計算機病毒在傳染和發(fā)作(fzu)之前，往往哦判斷某些特定條件是否滿足，滿足則傳染或發(fā)作(fzu)，否則不傳染或不發(fā)作(fzu)，這個條件即為病毒的觸發(fā)條件。共八十九頁目前病毒采用的觸發(fā)條件主要有以下幾種。 （1） 時間觸發(fā) （2） 鍵盤觸發(fā) （3） 感染觸發(fā) （4） 啟動觸發(fā) （5） 訪問(fngwn)磁盤次數(shù)觸發(fā) （6） 調(diào)用中斷功能觸發(fā) （7） CPU 型號/主板型號觸發(fā) 共八十九頁9.12 計算機病毒的檢測(jin c) 1特征代碼法 2校驗和法 3行為(xngwi)監(jiān)測

35、法 4分析法 共八十九頁1特征代碼法步驟如下：采集已知病毒樣本，在病毒樣本中，抽取特征代碼。在唯一性的前提下，盡量使特征代碼長度短些，以減少空間與時間開銷。 將特征代碼納入病毒數(shù)據(jù)庫。打開(d ki)被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件中患有何種病毒。采用病毒特征代碼法的檢測工具，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實用價值。共八十九頁2. 校驗和法 對正常文件的內(nèi)容計算其校驗和，將該校驗和寫入文件中保存。在使用文件的過程中，定期(dngq)地或每次使用文件前，檢查文件現(xiàn)在的內(nèi)容并

36、算出校驗和與原來保存的校驗和是否一致，可以發(fā)現(xiàn)文件是否被感染。共八十九頁3行為監(jiān)測法利用(lyng)病毒的特有行為的特征性檢測病毒的方法，稱為行為檢測法。通過對病毒多年的觀察、研究，有一些特殊行為是病毒的共同行為。共八十九頁4分析法 利用相關(guān)的專業(yè)知識，通過詳細分析病毒文件代碼，掌握確切的病毒特征和信息，并從中提取特征碼。靜態(tài)分析法指利用反匯編程序?qū)⒉《敬a反匯編后，對程序清單進行分析，從而查看病毒文件的構(gòu)成，各個模塊的作用，使用了哪些系統(tǒng)調(diào)用等。動態(tài)分析法使用程序調(diào)試工具在內(nèi)存(ni cn)帶毒的情況下對病毒進行動態(tài)跟蹤，觀察病毒的具體工作過程。共八十九頁反病毒技術(shù)(jsh)的相關(guān)概念活動檢測(jin c)不能直接檢查文件或代碼來發(fā)現(xiàn)病毒，而是關(guān)注計算機系統(tǒng)中所發(fā)生的事件。實時掃描掃描程序會檢查文件中已知的惡意代碼，該動作在背景中發(fā)生，不需要用戶的參與。只局限于檢查已知的惡意代碼簽名，無法檢測到未知的惡意代碼。共八十九頁完整性檢查也稱為修改檢查，一種可以查找文件是否被病毒(bngd)行為修改的掃描技術(shù)。內(nèi)容掃描通過檢查電子郵件信件和附件來查找某些特定的語句和詞語、文件擴展名和病毒簽名。內(nèi)容顧慮的效力是由掃描程序設(shè)定的規(guī)則決定的。必須在規(guī)則中進行明確