第九章-計(jì)算機(jī)病毒概論

第九章

計(jì)算機(jī)病毒概論主要內(nèi)容什么是計(jì)算機(jī)病毒病毒的生命周期病毒發(fā)展簡史病毒的不良特征及危害病毒的分類病毒的命名原則計(jì)算機(jī)病毒研究準(zhǔn)則9.1什么是計(jì)算機(jī)病毒1.廣義定義泛指所有的惡意軟件，即Malware。Malware是由兩個英文單詞融合而成，分別是Malicious（懷惡意的,惡毒的）和Software（軟件）其他表述：惡意軟件是運(yùn)行在計(jì)算機(jī)上的一段代碼，這些代碼可以使計(jì)算機(jī)系統(tǒng)做一些攻擊者想讓它做的行為。惡意軟件指所有設(shè)計(jì)用來對單臺計(jì)算機(jī)、服務(wù)器或計(jì)算機(jī)網(wǎng)絡(luò)造成危害的軟件。目前，國外關(guān)于計(jì)算機(jī)病毒（Computerviruses，簡稱病毒）最流行的定義：計(jì)算機(jī)病毒是一段附著在其它程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中，關(guān)于計(jì)算機(jī)病毒的定義是：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2.狹義定義指惡意軟件中的一種——文件感染型病毒。這類惡意軟件與其他的惡意軟件的不同之處在于會感染其他可執(zhí)行文件。9.2病毒的生命周期計(jì)算機(jī)病毒的產(chǎn)生過程可分為程序設(shè)計(jì)—傳播—潛伏—觸發(fā)—運(yùn)行—實(shí)行攻擊。計(jì)算機(jī)病毒擁有一個完整的生命周期，從產(chǎn)生到徹底根除，病毒生命周期包括： （1）開發(fā)期（2）傳播期 （3）潛伏期（4）發(fā)作期 （5）發(fā)現(xiàn)期（6）消化期 （7）消亡期

（1）開發(fā)期制造病毒，通常計(jì)算機(jī)病毒是一些誤人歧途的、試圖傳播計(jì)算機(jī)病毒和破壞計(jì)算機(jī)的個人或組織制造的。（2）傳播期在一個病毒制造出來后，病毒的編寫者將其拷貝并確認(rèn)其已被傳播出去。（3）潛伏期病毒是自然地復(fù)制的。一個設(shè)計(jì)良好的病毒可以在它活化前長時期里被復(fù)制。這就給了它充裕的傳播時間。這時病毒的危害在于暗中占據(jù)存儲空間。（4）發(fā)作期帶有破壞機(jī)制的病毒會在遇至某一特定條件時發(fā)作，一旦遇上某種條件病毒就被活化了。沒有感染程序的病毒屬于沒有活化，這時病毒的危害在于暗中占據(jù)存儲空間。（5）發(fā)現(xiàn)期當(dāng)一個病毒被檢測到并被隔離出來后，它被送到計(jì)算機(jī)安全協(xié)會或反病毒廠家，在那里病毒被通報和描述給反病毒研究工作者。通常發(fā)現(xiàn)病毒是在病毒成為計(jì)算機(jī)社會的災(zāi)難之前完成的。（6）消化期在這一階段，反病毒開發(fā)人員修改他們的軟件以使其可以檢測到新發(fā)現(xiàn)的病毒。這段時間的長短取決于開發(fā)人員的素質(zhì)和病毒的類型。（7）消亡期若是所有用戶安裝了最新版的殺毒軟件，那么任何已知病毒都將被掃除。這樣沒有什么病毒可以廣泛地傳播，但有一些病毒在消失之前有一個很長的消亡期。計(jì)算機(jī)病毒的起源科學(xué)幻想起源說惡作劇起源說游戲程序起源說軟件商保護(hù)軟件起源說歸納起來，計(jì)算機(jī)系統(tǒng)、Internet的脆弱性是產(chǎn)生計(jì)算機(jī)病毒的根本技術(shù)原因之一，計(jì)算機(jī)科學(xué)技術(shù)的不斷進(jìn)步，個人計(jì)算機(jī)的快速普及應(yīng)用是產(chǎn)生計(jì)算機(jī)病毒的加速器。111961年，美國的三個程序員通過編寫小程序破壞對方、復(fù)制自身等來獲取游戲勝利；這是計(jì)算機(jī)病毒“雛形”1971年，世界上第一個病毒CREEPER（爬行者）出現(xiàn)；不久一個名為Reaper（收割機(jī)）的程序出現(xiàn)，這是病毒史上的第一個專殺工具“計(jì)算機(jī)病毒”這一概念是1977年由美國著名科普作家“雷恩”在一部科幻小說《P1的青春》中提出1983年美國計(jì)算機(jī)安全專家“考因”首次通過實(shí)驗(yàn)證明了病毒的可實(shí)現(xiàn)性1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，其中"米開朗基羅"病毒給許多計(jì)算機(jī)用戶造成極大損失。9.3病毒發(fā)展簡史12計(jì)算機(jī)病毒歷史1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，其中"米開朗基羅"病毒給許多計(jì)算機(jī)用戶造成極大損失。1991年在“海灣戰(zhàn)爭”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)1992年出現(xiàn)針對殺毒軟件的"幽靈"病毒，如One-half。1996年首次出現(xiàn)針對微軟公司Office的"宏病毒"。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒”年。1998年出現(xiàn)針對Windows95/98系統(tǒng)的病毒，如CIH（1998年被公認(rèn)為計(jì)算機(jī)反病毒界的CIH病毒年）。1999年Happy99等完全通過Internet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成為病毒新的增長點(diǎn)。

13重大計(jì)算機(jī)病毒事件1988年11月2日，Internet前身Arpanet網(wǎng)絡(luò)遭到蠕蟲的攻擊，導(dǎo)致癱瘓，其始作俑者為康奈爾大學(xué)計(jì)算機(jī)科學(xué)系研究生羅伯特·莫里斯

1998年出現(xiàn)的CIH病毒是一個全新的新型病毒。這種病毒與DOS下的傳統(tǒng)病毒有很大不同，它使用面向Windows的VXD技術(shù)編制。該病毒是第一個直接攻擊，導(dǎo)致硬件不能正常工作的計(jì)算機(jī)病毒。它主要感染W(wǎng)indows95/98的可執(zhí)行程序，發(fā)作時破壞計(jì)算機(jī)FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞，同時破壞硬盤中的數(shù)據(jù)。

14重大計(jì)算機(jī)病毒事件1999年4月出現(xiàn)的梅麗莎病毒，是第一個通過電子郵件傳播的病毒，短短24小時之內(nèi)就使美國數(shù)萬臺服務(wù)器、數(shù)十萬臺工作站癱瘓，造成損失高達(dá)10億美元。15重大計(jì)算機(jī)病毒事件2003年，沖擊波病毒利用Windows操作系統(tǒng)的RPC漏洞大量傳播，導(dǎo)致上百萬臺計(jì)算機(jī)被迫重啟，損失不計(jì)其數(shù)。在其之后的震蕩波病毒，同樣應(yīng)用了類似的漏洞，這使中國廣大的計(jì)算機(jī)使用者，第一次面對“漏洞”這個名詞的時候，不得不同時面對巨大的損失。16重大計(jì)算機(jī)病毒事件

2007年所有人幾乎“談熊貓色變”，熊貓燒香在短短幾個月時間里感染了幾百萬臺電腦，。該病毒不僅感染可執(zhí)行文件，還會感染網(wǎng)頁文件，并通過局域網(wǎng)、U盤等渠道傳播，而且該病毒還對主流殺毒軟件進(jìn)行攻擊，并刪除gho后綴名的文件，使中毒的計(jì)算機(jī)無法恢復(fù)。

2007年2月12日抓獲病毒作者李?。校?5歲，武漢新洲區(qū)人），他編寫的“熊貓燒香”病毒并在網(wǎng)上廣泛傳播，并且還以自己出售和由他人代賣的方式，在網(wǎng)絡(luò)上將該病毒銷售給120余人，非法獲利10萬余元計(jì)算機(jī)病毒伴隨計(jì)算機(jī)、網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展而日趨復(fù)雜多變，其破壞性和傳播能力也不斷增強(qiáng)。計(jì)算機(jī)病毒發(fā)展主要經(jīng)歷了五個重要的階段。（1）原始病毒階段（第一階段）（2）混合型病毒階段（第二階段）（3）多態(tài)性病毒階段（第三階段）（4）網(wǎng)絡(luò)病毒階段（第四階段）（5）主動攻擊型病毒階段（第五階段）

總結(jié)：（1）原始病毒階段（第一階段） 特點(diǎn)：攻擊目標(biāo)和破壞性比較單一，主要通過截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對目標(biāo)進(jìn)行傳染，病毒程序不具有自我保護(hù)功能，較容易被人們分析、識別和清除。（2）混合型病毒階段（第二階段） 特點(diǎn)：攻擊目標(biāo)趨于混合，以更隱蔽的方法駐留在內(nèi)存和傳染目標(biāo)中，系統(tǒng)感染病毒后沒有明顯的特征，病毒程序具有自我保護(hù)功能，出現(xiàn)眾多病毒的變種。（3）多態(tài)性病毒階段（第三階段） 特點(diǎn)：每次傳染目標(biāo)時，放入宿主程序中的病毒程序大部分都是可變的； 防病毒軟件查殺困難； 病毒技術(shù)開始向多維化方向發(fā)展。（4）網(wǎng)絡(luò)病毒階段（第四階段）隨著互聯(lián)網(wǎng)的廣泛發(fā)展，依賴互聯(lián)網(wǎng)傳播的郵件病毒和宏病毒等大肆泛濫，呈現(xiàn)出病毒傳播快、隱蔽性強(qiáng)、破壞性大的特點(diǎn)。反病毒產(chǎn)業(yè)開始產(chǎn)生并逐步形成了規(guī)模較大的新興產(chǎn)業(yè)。（5）主動攻擊型病毒階段（第五階段）各種病毒具有主動攻擊性，利用操作系統(tǒng)的漏洞進(jìn)行攻擊性的傳播擴(kuò)散，并不需要任何物理媒介或操作，用戶只要接入互聯(lián)網(wǎng)絡(luò)就可能被感染，病毒對網(wǎng)絡(luò)系統(tǒng)軟硬件和重要信息的危害性更大。9.4病毒的不良特征及危害傳播性隱蔽性感染性潛伏性可激發(fā)性表現(xiàn)性破壞性一般至少有兩個或兩個以上的不良特征傳播性病毒一般會自動利用各種方式傳播常見傳播方式：郵件、即時通信軟件、局域網(wǎng)共享文件夾、軟件漏洞傳播、移動存儲器等傳播性是蠕蟲病毒的典型特征之一隱蔽性一般具有隱藏或系統(tǒng)屬性，并隱藏在某個用戶不常去的系統(tǒng)文件夾中部分病毒使用和系統(tǒng)進(jìn)程相同或相似的名稱部分病毒使用“無進(jìn)程”技術(shù)或插入到某個系統(tǒng)的關(guān)鍵進(jìn)程，在任務(wù)管理器中找不到單獨(dú)的運(yùn)行進(jìn)程利用社會工程學(xué)的偽裝技術(shù)隱蔽性是木馬病毒的典型特征之一感染性通過感染達(dá)到自我復(fù)制，保護(hù)自己的目的感染性是感染性病毒的典型特征之一潛伏性具有一定的“潛伏期”，能在特定的日子爆發(fā)如黑色星期五、CIH病毒可激發(fā)性根據(jù)作者的“需求”，設(shè)置觸發(fā)病毒攻擊的“扳機(jī)”表現(xiàn)性運(yùn)行后，會有一定的表現(xiàn)特征具有明顯表現(xiàn)特征的病毒日趨減少破壞性具有明顯破壞性的病毒比例也呈下降趨勢計(jì)算機(jī)病毒危害竊取敏感信息破壞文件或數(shù)據(jù)占用系統(tǒng)資源占用系統(tǒng)網(wǎng)絡(luò)資源破壞操作系統(tǒng)等軟件或計(jì)算機(jī)主板等硬件其他錯誤及不可預(yù)知的危害計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)（1）平時運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)（2）操作系統(tǒng)無法正常啟動（3）運(yùn)行速度明顯變慢（4）正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足問題（5）打印和通訊出現(xiàn)異常（6）無意中要求對U盤進(jìn)行寫操作（7）以往正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤（8）系統(tǒng)文件的時間、日期、大小發(fā)生變化（9）無法另存為一個Word文檔（10）磁盤空間迅速減少（11）網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。（12）基本內(nèi)存發(fā)生變化。（13）陌生人發(fā)來的電子郵件（14）自動鏈接到一些陌生的網(wǎng)站計(jì)算機(jī)病毒發(fā)作時的現(xiàn)象（1）提示不相關(guān)對話（2）發(fā)出音樂（3）產(chǎn)生特定的圖象（4）硬盤燈不斷閃爍（5）進(jìn)行游戲算法（6）Windows桌面圖標(biāo)發(fā)生變化（7）突然死機(jī)或重啟（8）自動發(fā)送電子郵件（9）鼠標(biāo)自己在動計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)（1）硬盤無法啟動，數(shù)據(jù)丟失（2）系統(tǒng)文件丟失或被破壞（3）文件目錄發(fā)生混亂（4）部分文檔丟失或被破壞（5）部分文檔自動加密碼（6）修改Autoexec.bat文件，導(dǎo)致計(jì)算機(jī)重新啟動時格式化硬盤（7）使部分可軟件升級主板的BIOS程序混亂，主板被破壞（8）網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒的傳染性是計(jì)算機(jī)病毒最基本的特性，病毒的傳染性是病毒賴以生存繁殖的條件，如果計(jì)算機(jī)病毒沒有傳播渠道，則其破壞性小，擴(kuò)散面窄，難以造成大面積流行。計(jì)算機(jī)病毒必須要“搭載”到計(jì)算機(jī)上才能感染系統(tǒng)，通常它們是附加在某個文件上。計(jì)算機(jī)病毒的傳播主要通過文件拷貝、文件傳送、文件執(zhí)行等方式進(jìn)行，文件拷貝與文件傳送需要傳輸媒介，文件執(zhí)行則是病毒感染的必然途徑（Word、Excel等宏病毒通過Word、Excel調(diào)用間接地執(zhí)行），因此，病毒傳播與文件傳播媒體的變化有著直接關(guān)系。計(jì)算機(jī)病毒的主要傳播途徑有：

1、軟盤

軟盤作為最常用的交換媒介，在計(jì)算機(jī)應(yīng)用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計(jì)算機(jī)應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導(dǎo)機(jī)器時，引導(dǎo)區(qū)病毒會在軟盤與硬盤引導(dǎo)區(qū)互相感染。因此軟盤也成了計(jì)算機(jī)病毒的主要寄生的“溫床”。

2、光盤

光盤因?yàn)槿萘看?，存儲了大量的可?zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任，也決不會有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。3、u盤、移動硬盤：攜帶方便，為了方便計(jì)算機(jī)相互之間傳遞文件，經(jīng)常使用u盤、移動硬盤，就將一臺計(jì)算機(jī)的病毒傳播到另一臺。4、網(wǎng)絡(luò)傳播：信息技術(shù)的進(jìn)步為計(jì)算機(jī)病毒的傳播提供了新的“高速公路”。計(jì)算機(jī)病毒附著在正常文件中通過網(wǎng)絡(luò)進(jìn)入一個又一個系統(tǒng)，成為病毒傳播的第一途徑。同時，還有新興的點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播，而且這種傳播途徑已經(jīng)呈現(xiàn)愈演愈烈的態(tài)勢。5、下載傳播：在計(jì)算機(jī)日益普及的今天人們通過計(jì)算機(jī)網(wǎng)絡(luò)相互傳遞文件，信件，這樣使病毒傳播速度加快，因?yàn)橘Y源的共享，人們經(jīng)常網(wǎng)上下載免費(fèi)共享軟件，很多下載的資源中都會夾帶木馬、后門、蠕蟲、病毒、插件，進(jìn)而危害更多的計(jì)算機(jī)。

9.5病毒的分類根據(jù)感染平臺分類感染DOS系統(tǒng)的病毒感染W(wǎng)indows系統(tǒng)的病毒感染Unix/Linux系統(tǒng)的病毒感染其他操作系統(tǒng)的病毒跨平臺病毒根據(jù)宿主或感染對象分類⑴引導(dǎo)區(qū)型病毒

引導(dǎo)區(qū)型病毒主要通過軟盤在操作系統(tǒng)中傳播，感染引導(dǎo)區(qū)，蔓延到硬盤，并能感染到硬盤中的“主引導(dǎo)記錄”。⑵文件型病毒

文件型病毒是文件感染者，也稱為寄生病毒。它運(yùn)行在計(jì)算機(jī)存儲器中，通常感染擴(kuò)展名為COM、EXE、SYS等類型的文件。⑶混合型病毒

混合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特點(diǎn)。多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。⑷宏病毒

宏病毒是指用BASIC語言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。

根據(jù)文件類型分類可執(zhí)行文件文本文件其他形式的文件根據(jù)惡意行為分類木馬——特點(diǎn)是偽裝成正常的程序或文件蠕蟲——一種會自我傳播的病毒后門程序——一類繞過一般的認(rèn)證體系對計(jì)算機(jī)進(jìn)行控制的程序文件感染性病毒——最大的特點(diǎn)是感染其他正常文件按照計(jì)算機(jī)病毒的破壞能力分類無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險型：這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯誤。非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。

這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當(dāng)它們傳染時會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。以病毒的攻擊機(jī)型分類攻擊微型計(jì)算機(jī)的病毒攻擊小型機(jī)的計(jì)算機(jī)病毒攻擊服務(wù)器的計(jì)算機(jī)病毒按照傳播媒介不同分類單機(jī)病毒網(wǎng)絡(luò)病毒按照病毒激活的時間分類定時病毒——僅在某一特定的時間才發(fā)作隨機(jī)病毒——一般不是由時鐘來激活惡意病毒“四大家族”一、宏病毒

由于微軟的Office系列辦公軟件和Windows系統(tǒng)占了絕大多數(shù)的PC軟件市場，加上Windows和Office提供了宏病毒編制和運(yùn)行所必需的庫（以VB庫為主）支持和傳播機(jī)會，所以宏病毒是最容易編制和流傳的病毒之一，很有代表性。

宏病毒發(fā)作方式:在Word打開病毒文檔時，宏會接管計(jì)算機(jī)，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲存它們的宏。這樣的結(jié)果是某些Word版本會強(qiáng)迫你將感染的文檔儲存在模板中。判斷是否被感染:宏病毒一般在發(fā)作的時候沒有特別的跡象，通常是會偽裝成其他的對話框讓你確認(rèn)。在感染了宏病毒的機(jī)器上，會出現(xiàn)不能打印文件、Office文檔無法保存或另存為等情況。宏病毒帶來的破壞:刪除硬盤上的文件;將私人文件復(fù)制到公開場合;從硬盤上發(fā)送文件到指定的E-mail、FTP地址。二、CIH病毒

CIH是本世紀(jì)最著名和最有破壞力的病毒之一，它是第一個能破壞硬件的病毒。

發(fā)作破壞方式:主要是通過篡改主板BIOS里的數(shù)據(jù)，造成電腦開機(jī)就黑屏，從而讓用戶無法進(jìn)行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡(luò)上通過捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤上的文件及破壞硬盤的分區(qū)表。所以CIH發(fā)作以后，即使換了主板或其他電腦引導(dǎo)系統(tǒng)，如果沒有正確的分區(qū)表備份，染毒的硬盤上特別是其C分區(qū)的數(shù)據(jù)挽回的機(jī)會很少。三、蠕蟲病毒

蠕蟲病毒以盡量多復(fù)制自身（像蟲子一樣大量繁殖）而得名，多感染電腦和占用系統(tǒng)、網(wǎng)絡(luò)資源，造成PC和服務(wù)器負(fù)荷過重而死機(jī)，并以使系統(tǒng)內(nèi)數(shù)據(jù)混亂為主要的破壞方式。它不一定馬上刪除你的數(shù)據(jù)讓你發(fā)現(xiàn)，比如著名的愛蟲病毒和尼姆達(dá)病毒。四、木馬病毒

木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時機(jī)成熟就出來害人。

傳染方式:通過電子郵件附件發(fā)出;捆綁在其他的程序中。

病毒特性:會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。木馬病毒的破壞性:木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行服務(wù)端程序，一旦發(fā)作，就可設(shè)置后門，定時地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時內(nèi)置可進(jìn)入該用戶電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。文件類型

如Win32、W32、Win16、BAT、JS等

病毒類型

如WORM、TROJAN、BACKDOOR等

病毒（家族）名

如NETSKY、VIKING、CIH等

病毒變種名

一般以順序排列的字母后綴或數(shù)字組成55一般來說病毒名稱至少包含以下內(nèi)容中的一至多項(xiàng)：9.6病毒的命名原則趨勢科技對于病毒的命名56病毒名稱前綴病毒類型TROJ木馬WORM蠕蟲PE文件感染型ADW廣告組件TSPY間諜木馬JS腳本VBSVB腳本PACKER加殼文件BKDR后門程序JOKE玩笑程序EXPL利用漏洞攻擊趨勢科技對于病毒命名的規(guī)則形式：

<病毒類型_><病毒名稱><.變種>57病毒類型病毒（家族）名病毒變種名++例：

TSPY_ONLINEG.QID BKDR_HUPIGON.WKZTSPY_ONLINEG.QIDTSPY——木馬間諜軟件的縮寫ONLINEG——網(wǎng)絡(luò)游戲的縮寫QID——變種名稱BKDR_HUIPIGON.WKZBKDR——后門程序HUIPIGON——灰鴿子的縮寫WKZ——WKZ變種9.7計(jì)算機(jī)病毒研究準(zhǔn)則研究病毒必須的設(shè)備一臺個人計(jì)算機(jī)或工作平臺，有網(wǎng)絡(luò)地址并提供電子郵箱及網(wǎng)絡(luò)接入功能（網(wǎng)絡(luò)系統(tǒng)）一個獨(dú)立的不連接、并且不會因疏忽而能連接網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)系統(tǒng)（隔離的獨(dú)立系統(tǒng)）一個已經(jīng)建立的隔離的并且不會因疏忽而能連接外部網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)環(huán)境（病毒實(shí)驗(yàn)室系統(tǒng)）有關(guān)安全條例與管理辦法《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)病毒防治管理辦法》9.8磁盤引導(dǎo)區(qū)結(jié)構(gòu)磁盤一種磁介質(zhì)的外部存儲設(shè)備在其盤片的每一面上，以轉(zhuǎn)動軸為軸心、以一定的磁密度為間隔的若干同心圓被劃分成磁道(Track)，每個磁道又被劃分為若干個扇區(qū)(Sector)，數(shù)據(jù)就按扇區(qū)存放在硬盤上。磁盤引導(dǎo)區(qū)記錄著磁盤的一些最基本的信息，磁盤的第一個扇區(qū)被保留為主引導(dǎo)扇區(qū)，它位于整個硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR(MainBootRecord)和分區(qū)表DPT(DiskPartitionTable)以及磁盤的有效標(biāo)志。其中主引導(dǎo)記錄的作用就是檢查分區(qū)表是否正確以及確定哪個分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時把該分區(qū)的啟動程序(也就是操作系統(tǒng)引導(dǎo)扇區(qū))調(diào)入內(nèi)存加以執(zhí)行。主引導(dǎo)扇區(qū)——512字節(jié)MBR——占446個字節(jié)(偏移0—偏移1BDH)DPT——占64個字節(jié)(偏移1BEH—偏移1FDH)最后兩個字節(jié)“55AA”——(偏移1FEH—偏移1FFH)是硬盤有效標(biāo)志。以下表格注明了標(biāo)準(zhǔn)的主引導(dǎo)扇區(qū)的結(jié)構(gòu)：分區(qū)表DPT(DiskPartitionTable)，總共64個字節(jié)，每個分區(qū)占16個字節(jié)，可以表示四個分區(qū)，所以說一個磁盤的主分區(qū)和擴(kuò)展分區(qū)之和總共只能有四個。以下表格表明了分區(qū)的具體含義：主引導(dǎo)區(qū)記錄被破壞后，往往會出現(xiàn)“Non-Systemdiskordiskerror,replacediskandpressakeytoreboot”(非系統(tǒng)盤或盤出錯)、“ErrorLoadingOperatingSystem”(裝入DOS引導(dǎo)記錄錯誤)“NoROMBasic,SystemHalted”(不能進(jìn)入ROMBasic，系統(tǒng)停止響應(yīng))等提示信息。在較為嚴(yán)重的情況下，則不會出現(xiàn)任何信息。主引導(dǎo)記錄或者引導(dǎo)扇區(qū)都有可能被感染。當(dāng)感染后，正常的主引導(dǎo)記錄或引導(dǎo)扇區(qū)的代碼被病毒代碼替換，電腦啟動時首先運(yùn)行的是病毒代碼，正常情況下，病毒代碼會一直駐留在內(nèi)存中等待感染時機(jī)。引導(dǎo)病毒感染硬盤后，一般會把原來的主引導(dǎo)記錄保存在硬盤上的其他扇區(qū)中，若代碼超過一個扇區(qū)大小，則會分布在幾個扇區(qū)中。比較完善的引導(dǎo)型病毒會將自己放置在比較安全的地方。9.9病毒特性根據(jù)對計(jì)算機(jī)病毒的產(chǎn)生、傳播和破壞行為的分析，可以將計(jì)算機(jī)病毒概括為以下6個主要特點(diǎn)。1.取得系統(tǒng)控制權(quán)

2.自我復(fù)制能力3.隱蔽性4.破壞性5.潛伏性6.不可預(yù)見性

9.10傳播技術(shù)計(jì)算機(jī)病毒的傳播方式用戶在進(jìn)行復(fù)制磁盤或文件時，把病毒由一個載體復(fù)制到另一個載體上，或者通過網(wǎng)絡(luò)把一個病毒程序從一方傳遞到另一方，這種傳播方式叫做計(jì)算機(jī)病毒的被動傳播。計(jì)算機(jī)病毒以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載體或另一個系統(tǒng)，這種傳播方式叫做計(jì)算機(jī)病毒的主動傳播。計(jì)算機(jī)病毒的傳播途徑：通過不可移動的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，即利用專用ASIC芯片和硬盤進(jìn)行傳播；通過移動存儲設(shè)備來傳播，其中U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)；通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播；通過點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播。

計(jì)算機(jī)病毒的傳播過程對于計(jì)算機(jī)病毒的被動傳播而言，其傳播過程是隨著復(fù)制磁盤或文件工作的進(jìn)行而進(jìn)行的；對于計(jì)算機(jī)病毒的主動傳播而言，其傳播過程是在系統(tǒng)運(yùn)行時，病毒通過病毒載體，即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器，然后常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。

9.11計(jì)算機(jī)病毒的觸發(fā)機(jī)制病毒的基本特性——感染、潛伏、可觸發(fā)、破壞。感染使病毒得以傳播，破壞性體現(xiàn)了病毒的殺傷能力。感染和破壞行為總是使系統(tǒng)或多或少地出現(xiàn)異常，頻繁的感染和破壞會使病毒暴露，而不破壞、不感染又會使病毒失去殺傷力?？捎|發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。觸發(fā)條件——計(jì)算機(jī)病毒在傳染和發(fā)作之前，往往哦判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作，這個條件即為病毒的觸發(fā)條件。目前病毒采用的觸發(fā)條件主要有以下幾種。（1）時間觸發(fā)（2）鍵盤觸發(fā)（3）感染觸發(fā)（4）啟動觸發(fā)（5）訪問磁盤次數(shù)觸發(fā)（6）調(diào)用中斷功能觸發(fā)（7）CPU型號/主板型號觸發(fā)9.12計(jì)算機(jī)病毒的檢測

1．特征代碼法2．校驗(yàn)和法3．行為監(jiān)測法4．分析法

1．特征代碼法步驟如下：采集已知病毒樣本，在病毒樣本中，抽取特征代碼。在唯一性的前提下，盡量使特征代碼長度短些，以減少空間與時間開銷。

將特征代碼納入病毒數(shù)據(jù)庫。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件中患有何種病毒。采用病毒特征代碼法的檢測工具，必須不斷更新版本，否則檢測工具便會老化，逐漸失去實(shí)用價值。2.校驗(yàn)和法對正常文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中保存。在使用文件的過程中，定期地或每次使用文件前，檢查文件現(xiàn)在的內(nèi)容并算出校驗(yàn)和與原來保存的校驗(yàn)和是否一致，可以發(fā)現(xiàn)文件是否被感染。3．行為監(jiān)測法利用病毒的特有行為的特征性檢測病毒的方法，稱為行為檢測法。通過對病毒多年的觀察、研究，有一些特殊行為是病毒的共同行為。4．分析法

利用相關(guān)的專業(yè)知識，通過詳細(xì)分析病毒文件代碼，掌握確切的病毒特征和信息，并從中提取特征碼。靜態(tài)分析法——指利用反匯編程序?qū)⒉《敬a反匯編后，對程序清單進(jìn)行分析，從而查看病毒文件的構(gòu)成，各個模