信息安全,原理,陳天洲第十五章計算機(jī)病毒課件

第十五章計算機(jī)病毒計算機(jī)病毒病毒概述計算機(jī)病毒概述計算機(jī)病毒的表現(xiàn)病毒的起源與發(fā)展病毒產(chǎn)生的背景病毒發(fā)展病毒分類病毒分析病毒特征病毒程序結(jié)構(gòu)及機(jī)制計算機(jī)病毒網(wǎng)絡(luò)蠕蟲病毒技術(shù)蠕蟲病毒與一般病毒的異同蠕蟲的破壞和發(fā)展趨勢網(wǎng)絡(luò)蠕蟲病毒分析企業(yè)防范蠕蟲病毒措施對個人用戶產(chǎn)生直接威脅的蠕蟲病毒個人用戶對蠕蟲病毒的防范措施小結(jié)計算機(jī)病毒腳本病毒郵件型病毒病毒的檢測和防治病毒檢測病毒防治計算機(jī)系統(tǒng)的修復(fù)計算機(jī)病毒概述與醫(yī)學(xué)上的“病毒”不同，計算機(jī)病毒不是天然存在的，是某些人利用計算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。能通過某種途徑潛伏在計算機(jī)存儲介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對計算機(jī)資源進(jìn)行破壞的這樣一組程序或指令集合。1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！庇嬎銠C(jī)病毒的表現(xiàn)根據(jù)計算機(jī)病毒感染和發(fā)作的階段，可以將計算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類：發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象。計算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象計算機(jī)病毒發(fā)作前，是指從計算機(jī)病毒感染計算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足，計算機(jī)病毒發(fā)作之前的一個階段。在這個階段，計算機(jī)病毒的行為主要是以潛伏、傳播為主。計算機(jī)病毒會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)的同時，又自我復(fù)制，以各種手段進(jìn)行傳播。計算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象無意中要求對軟盤進(jìn)行寫操作。沒有進(jìn)行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤，或者要求在讀取、復(fù)制寫保護(hù)的軟盤上的文件時打開軟盤的寫保護(hù)。這很可能是計算機(jī)病毒自動查找軟盤是否在軟驅(qū)中的時候引起的系統(tǒng)異常。以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤。可能是由于計算機(jī)病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能，或者計算機(jī)病毒程序本身存在著兼容性方面的問題造成的。系統(tǒng)文件的時間、日期、大小發(fā)生變化。這是最明顯的計算機(jī)病毒感染跡象。計算機(jī)病毒感染應(yīng)用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問和修改日期和時間也會被改成感染時的時間。運(yùn)行Word，打開Word文檔后，該文件另存時只能以模板方式保存。無法另存為一個DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。計算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象磁盤空間迅速減少。沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的磁盤空間減少地很快。這可能是計算機(jī)病毒感染造成的。網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。對于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法打開、瀏覽，或者對有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法創(chuàng)建、修改文件。基本內(nèi)存發(fā)生變化。在DOS下用mem/c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機(jī)系統(tǒng)感染了引導(dǎo)型計算機(jī)病毒所造成的。陌生人發(fā)來的電子函件。收到陌生人發(fā)來的電子函件，尤其是那些標(biāo)題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。自動鏈接到一些陌生的網(wǎng)站。沒有在上網(wǎng)，計算機(jī)會自動撥號并連接到因特網(wǎng)上一個陌生的站點(diǎn)，或者在上網(wǎng)的時候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠嬎銠C(jī)系統(tǒng)的信息“悄悄地”發(fā)回某個特定的網(wǎng)址計算機(jī)病毒發(fā)作時的表現(xiàn)現(xiàn)象計算機(jī)病毒發(fā)作時是指滿足計算機(jī)病毒發(fā)作的條件，計算機(jī)病毒程序開始破壞行為的階段。一些計算機(jī)病毒發(fā)作時常見的表現(xiàn)現(xiàn)象：提示一些不相干的話。最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示“這個世界太黑暗了！”，并且要求你輸入“太正確了”后按確定按鈕。發(fā)出一段的音樂。惡作劇式的計算機(jī)病毒，最著名的是外國的“楊基”計算機(jī)病毒（Yangkee）和中國的“瀏陽河”計算機(jī)病毒?！皸罨庇嬎銠C(jī)病毒發(fā)作是利用計算機(jī)內(nèi)置的揚(yáng)聲器演奏《楊基》音樂，而“瀏陽河”計算機(jī)病毒更絕，當(dāng)系統(tǒng)時鐘為9月9日時演奏歌曲《瀏陽河》，而當(dāng)系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機(jī)病毒大多屬于“良性”計算機(jī)病毒，只是在發(fā)作時發(fā)出音樂和占用處理器資源。計算機(jī)病毒發(fā)作時的表現(xiàn)現(xiàn)象計算機(jī)突然死機(jī)或重啟。有些計算機(jī)病毒程序兼容性上存在問題，代碼沒有嚴(yán)格測試，在發(fā)作時會造成意想不到情況；或者是計算機(jī)病毒在Autoexec.bat文件中添加了一句Formatc：之類的語句，需要系統(tǒng)重啟后才能實(shí)施破壞的。自動發(fā)送電子函件。大多數(shù)電子函件計算機(jī)病毒都采用自動發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計算機(jī)病毒在某一特定時刻向同一個郵件服務(wù)器發(fā)送大量無用的信件，以達(dá)到阻塞該郵件服務(wù)器的正常服務(wù)功能鼠標(biāo)自己在動。沒有對計算機(jī)進(jìn)行任何操作，也沒有運(yùn)行任何演示程序、屏幕保護(hù)程序等，而屏幕上的鼠標(biāo)自己在動，應(yīng)用程序自己在運(yùn)行，有受遙控的現(xiàn)象。大多數(shù)情況下是計算機(jī)系統(tǒng)受到了黑客程序的控制，從廣義上說這也是計算機(jī)病毒發(fā)作的一種現(xiàn)象計算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象通常情況下，計算機(jī)病毒發(fā)作都會給計算機(jī)系統(tǒng)帶來破壞性的后果，那種只是惡作劇式的“良性”計算機(jī)病毒只是計算機(jī)病毒家族中的很小一部分。大多數(shù)計算機(jī)病毒都是屬于“惡性”計算機(jī)病毒。一些惡性計算機(jī)病毒發(fā)作后所造成的后果：硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密碼修改Autoexec.bat文件，增加FormatC：一項(xiàng)，導(dǎo)致計算機(jī)重新啟動時格式化硬盤。使部分可軟件升級主板的BIOS程序混亂，主板被破壞。網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。計算機(jī)病毒病毒概述計算機(jī)病毒概述計算機(jī)病毒的表現(xiàn)病毒的起源與發(fā)展病毒產(chǎn)生的背景病毒發(fā)展病毒分類病毒分析病毒特征病毒程序結(jié)構(gòu)及機(jī)制病毒產(chǎn)生的背景計算機(jī)病毒的產(chǎn)生是計算機(jī)技術(shù)和以計算機(jī)為核心的社會信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物計算機(jī)病毒是計算機(jī)犯罪的一種新的衍化形式計算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因微機(jī)的普及應(yīng)用是計算機(jī)病毒產(chǎn)生的必要環(huán)境病毒發(fā)展第一代病毒第一代病毒的產(chǎn)生年限可以認(rèn)為在1986—1989年之間，這一期間出現(xiàn)的病毒可以稱之為傳統(tǒng)的病毒，是計算機(jī)病毒的萌芽和滋生時期具有如下的一些特點(diǎn)病毒攻擊的目標(biāo)比較單一，或者是傳染磁盤引導(dǎo)扇區(qū)，或者是傳染可執(zhí)行文件病毒程序主要采取截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對目標(biāo)進(jìn)行傳染病毒傳染目標(biāo)以后的特征比較明顯，如磁盤上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加、文件建立日期、時間發(fā)生變化，等等病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的消毒軟件病毒發(fā)展第二代病毒第二代病毒又稱為混合型病毒（又有人稱之為“超級病毒”），其產(chǎn)生的年限可以認(rèn)為在1989－1991年之間，它是計算機(jī)病毒由簡單發(fā)展到復(fù)雜，由單純走向成熟的階段這一階段的計算機(jī)病毒具有如下特點(diǎn)病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染磁盤引導(dǎo)扇區(qū)，又可能傳染可執(zhí)行文件。病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，而采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)病毒傳染目標(biāo)后沒有明顯的特征，如磁盤上不出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加不明顯，不改變被傳染文件原來的建立日期和時間，等等病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反跟蹤技術(shù)，制造障礙，增加人們分析和解剖的難度，同時也增加了軟件檢測、解毒的難度出現(xiàn)許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大病毒發(fā)展第三階段是病毒的成熟發(fā)展階段。在這一階段中病毒的發(fā)展主要是病毒技術(shù)的發(fā)展，病毒開始向多維化方向發(fā)展，即傳統(tǒng)病毒傳染的過程與病毒自身運(yùn)行的時間和空間無關(guān)，而新型的計算機(jī)病毒則將與病毒自身運(yùn)行的時間、空間和宿主程序緊密相關(guān)，這無疑將導(dǎo)致計算機(jī)病毒檢測和消除的困難。病毒發(fā)展第四代病毒90年代中后期，隨著遠(yuǎn)程網(wǎng)、遠(yuǎn)程訪問服務(wù)的開通，病毒流行面更加廣泛，病毒的流行迅速突破地域的限制，首先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。1996年下半年隨著國內(nèi)Internet的大量普及，Email的使用，夾雜于Email內(nèi)的WORD宏病毒已成為當(dāng)前病毒的主流。一時期的病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑，因而，病毒傳播快、隱蔽性強(qiáng)、破壞性大。此外，隨著Windows95的應(yīng)用，出現(xiàn)了Windows環(huán)境下的病毒。這些都給病毒防治和傳統(tǒng)DOS版殺毒軟件帶來新的挑戰(zhàn)。病毒發(fā)展計算機(jī)病毒的發(fā)展必然會促進(jìn)計算機(jī)反病毒技術(shù)的發(fā)展，也就是說，新型病毒的出現(xiàn)向以行為規(guī)則判定病毒的預(yù)防產(chǎn)品、以病毒特征為基礎(chǔ)的檢測產(chǎn)品以及根據(jù)計算機(jī)病毒傳染宿主程序的方法而消除病毒的產(chǎn)品提出了挑戰(zhàn)，致使原有的反病毒技術(shù)和產(chǎn)品在新型的計算機(jī)病毒面前無能為力。這樣，勢必使人們認(rèn)識到現(xiàn)有反病毒產(chǎn)品在對抗新型的計算機(jī)病毒方面的局限性，迫使人們在反病毒的技術(shù)和產(chǎn)品上進(jìn)行新的更新和換代。病毒分類按照計算機(jī)病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒。攻擊Windows系統(tǒng)的病毒。攻擊UNIX系統(tǒng)的病毒。攻擊OS/2系統(tǒng)的病毒。按照病毒的攻擊機(jī)型分類攻擊微型計算機(jī)的病毒。這是世界上傳染最為廣泛的一種病毒攻擊小型機(jī)的計算機(jī)病毒。攻擊工作站的計算機(jī)病毒。病毒分類按照計算機(jī)病毒的鏈結(jié)方式分類源碼型病毒。該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。嵌入型病毒。這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機(jī)病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機(jī)病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術(shù)、超級病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前的反病毒技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。外殼型病毒。外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。操作系統(tǒng)型病毒。這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點(diǎn)病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。病毒分類按照計算機(jī)病毒激活的時間分類按照計算機(jī)病毒激活的時間可分為定時的和隨機(jī)的。定時病毒僅在某一特定時間才發(fā)作，而隨機(jī)病毒一般不是由時鐘來激活的。病毒分類按照傳播媒介分類單機(jī)病毒。單機(jī)病毒的載體是磁盤，常見的是病毒從軟盤傳人硬盤，感染系統(tǒng)，然后再傳染其他軟盤，軟盤又傳染其他系統(tǒng)。網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒的傳播媒介不再是移動式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強(qiáng)，破壞力更大。病毒分類按照寄生方式和傳染途徑分類按其寄生方式引導(dǎo)型病毒。引導(dǎo)型病毒按其寄生對象的不同又可分為兩類，即MBR（主引導(dǎo)區(qū)）病毒，BR（引導(dǎo)區(qū)）病毒。文件型病毒按傳染途徑駐留內(nèi)存型不駐留內(nèi)存型混合型病毒集引導(dǎo)型和文件型病毒特性于一體。計算機(jī)病毒病毒概述計算機(jī)病毒概述計算機(jī)病毒的表現(xiàn)病毒的起源與發(fā)展病毒產(chǎn)生的背景病毒發(fā)展病毒分類病毒分析病毒特征病毒程序結(jié)構(gòu)及機(jī)制病毒特征傳染性傳染性是病毒的基本特征。在生物界，通過傳染病毒從一個生物體擴(kuò)散到另一個生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機(jī)病毒也會通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，在某些情況下造成被感染的計算機(jī)工作失常甚至癱瘓。正常的計算機(jī)程序一般是不會將自身的代碼強(qiáng)行連接到其它程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機(jī)病毒可通過各種可能的渠道，如軟盤、計算機(jī)網(wǎng)絡(luò)去傳染其它的計算機(jī)。病毒特征隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。潛伏性大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊。只有這樣它才可進(jìn)行廣泛地傳播。病毒特征破壞性任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。不可預(yù)見性從對病毒的檢測方面來看，病毒還有不可預(yù)見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的（如駐內(nèi)存，改中斷）。病毒特征寄生性指病毒對其他文件或系統(tǒng)進(jìn)行一系列非法操作，使其帶有這種病毒，并成為該病毒的一個新的傳染源的過程。這是病毒的最基本特征。觸發(fā)性指病毒的發(fā)作一般都有一個激發(fā)條件，即一個條件控制。這個條件根據(jù)病毒編制者的要求可以是日期、時間、特定程序的運(yùn)行或程序的運(yùn)行次數(shù)等等。病毒程序結(jié)構(gòu)及機(jī)制計算機(jī)病毒程序是為了特殊目的而編制的，它通過修改其他程序而把自己復(fù)制進(jìn)去，并且傳染該程序。一般來說，計算機(jī)病毒程序包括三個功能模塊：引導(dǎo)模塊傳染模塊破壞模塊這些模塊功能獨(dú)立，同時又相互關(guān)聯(lián)，構(gòu)成病毒程序的整體。引導(dǎo)模塊和引導(dǎo)機(jī)制引導(dǎo)模塊的功能是借助宿主程序，將病毒程序從外存引進(jìn)內(nèi)存，以便使傳染模塊和破壞模塊進(jìn)入活動狀態(tài)。引導(dǎo)模塊還可以將分別存放的病毒程序鏈接在一起，重新進(jìn)行裝配，形成新的病毒程序，破壞計算機(jī)系統(tǒng)。引導(dǎo)模塊和引導(dǎo)機(jī)制計算機(jī)病毒的寄生對象一種寄生在磁盤引導(dǎo)扇區(qū)；另一種是寄生在可執(zhí)行文件（.EXE或.COM）中。這是由于不論是磁盤引導(dǎo)扇區(qū)還是可執(zhí)行文件，它們都有獲取執(zhí)行權(quán)的可能引導(dǎo)模塊和引導(dǎo)機(jī)制計算機(jī)病毒的寄生方式替代法：病毒程序用自己的部分或全部指令代碼，替代磁盤引導(dǎo)扇區(qū)或文件中的全部或部分內(nèi)容。鏈接法：病毒程序?qū)⒆陨泶a作為正常程序的一部分與原有正常程序鏈接在一起，病毒鏈接的位置可能在正常程序的首部、尾部或中間。寄生在磁盤引導(dǎo)扇區(qū)的病毒一般采取替代法，而寄生在可執(zhí)行文件中的病毒一般采用鏈接法。引導(dǎo)模塊和引導(dǎo)機(jī)制計算機(jī)病毒的引導(dǎo)過程計算機(jī)病毒的引導(dǎo)過程一般包括以下三方面駐留內(nèi)存。病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。為此就必須開辟所用內(nèi)存空間或覆蓋系統(tǒng)占用的部分內(nèi)存空間。有的病毒不駐留內(nèi)存竊取系統(tǒng)控制權(quán)。在病毒程序駐留內(nèi)存后，必須使有關(guān)部分取代或擴(kuò)充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)。此后病毒程序依據(jù)其設(shè)計思想，隱蔽自己，等待時機(jī)，在條件成熟時，再進(jìn)行傳染和破壞。恢復(fù)系統(tǒng)功能。病毒為隱蔽自己，駐留內(nèi)存后還要恢復(fù)系統(tǒng)，使系統(tǒng)不會死機(jī)，只有這樣才能等待時機(jī)成熟后，進(jìn)行感染和破壞的目的。傳染模塊和傳染機(jī)制傳染模塊的功能將病毒迅速傳染，盡可能擴(kuò)大染毒范圍。病毒的傳染模塊由兩部分組成：條件判斷部分和程序主體部分，前者負(fù)責(zé)判斷傳染條件是否成立，后者負(fù)責(zé)將病毒程序與宿主程序鏈接，完成傳染病毒的工作。傳染模塊和傳染機(jī)制計算機(jī)病毒的傳染方式所謂傳染是指計算機(jī)病毒由一個載體傳播到另一個載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。這種載體一般為磁盤或磁帶，它是計算機(jī)病毒賴以生存和進(jìn)行傳染的媒介。計算機(jī)病毒的傳染過程對于病毒的被動傳染而言，其傳染過程是隨著拷貝磁盤或文件工作的進(jìn)行而進(jìn)行的，對于計算機(jī)病毒的主動傳染而言，其傳染過程是這樣的：在系統(tǒng)運(yùn)行時，病毒通過病毒載體即系統(tǒng)的外存儲器進(jìn)入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。破壞模塊和破壞機(jī)制病毒編制者的意圖，就是攻擊破壞計算機(jī)系統(tǒng)，所以破壞模塊是病毒程序的核心部分。破壞機(jī)制在設(shè)計原則、工作原理上與傳染機(jī)制基本相同。它也是通過修改某一中斷向量人口地址（一般為時鐘中斷INT8H，或與時鐘中斷有關(guān)的其他中斷，如INT1CH），使該中斷向量指向病毒程序的破壞模塊。病毒破壞目標(biāo)和攻擊部位主要是：系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運(yùn)行、運(yùn)行速度、磁盤、屏幕顯示、鍵盤、喇叭、CMOS、主板等。計算機(jī)病毒網(wǎng)絡(luò)蠕蟲病毒技術(shù)蠕蟲病毒與一般病毒的異同蠕蟲的破壞和發(fā)展趨勢網(wǎng)絡(luò)蠕蟲病毒分析企業(yè)防范蠕蟲病毒措施對個人用戶產(chǎn)生直接威脅的蠕蟲病毒個人用戶對蠕蟲病毒的防范措施小結(jié)網(wǎng)絡(luò)蠕蟲病毒技術(shù)一般認(rèn)為，蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等。同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等。在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)蠕蟲病毒技術(shù)根據(jù)使用者情況將蠕蟲病毒分為兩類：一種是面向企業(yè)用戶和局域網(wǎng)而言，這種病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個互聯(lián)網(wǎng)可造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。蠕蟲病毒與一般病毒的異同蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”。例如，windows下可執(zhí)行文件的格式為PE格式(PortableExecutable)，當(dāng)需要感染PE文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來的程序指令。蠕蟲病毒與一般病毒的異同蠕蟲一般不采取利用pe格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對計算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計算機(jī)。局域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球。蠕蟲病毒與一般病毒的異同普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機(jī)蠕蟲的破壞和發(fā)展趨勢1988年一個由美國CORNELL大學(xué)研究生莫里斯編寫的蠕蟲病毒蔓延造成了數(shù)千臺計算機(jī)停機(jī)，蠕蟲病毒開始現(xiàn)身網(wǎng)絡(luò);后來的紅色代碼，尼姆達(dá)病毒瘋狂的時候，造成幾十億美元的損失。2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使互聯(lián)網(wǎng)網(wǎng)路嚴(yán)重堵塞，作為互聯(lián)網(wǎng)主要基礎(chǔ)的域名服務(wù)器（DNS）的癱瘓造成網(wǎng)民瀏覽互聯(lián)網(wǎng)網(wǎng)頁及收發(fā)電子郵件的速度大幅減緩，同時銀行自動提款機(jī)的運(yùn)作中斷，機(jī)票等網(wǎng)絡(luò)預(yù)訂系統(tǒng)的運(yùn)作中斷，信用卡等收付款系統(tǒng)出現(xiàn)故障！專家估計，此病毒造成的直接經(jīng)濟(jì)損失至少在12億美元以上。蠕蟲的破壞和發(fā)展趨勢蠕蟲發(fā)作的一些特點(diǎn)和發(fā)展趨勢：利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進(jìn)行攻擊。此類病毒主要是“紅色代碼”和“尼姆達(dá)”，以及至今依然肆虐的”求職信”等傳播方式多樣。如“尼姆達(dá)”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等.蠕蟲的破壞和發(fā)展趨勢病毒制作技術(shù)新與傳統(tǒng)的病毒不同的是，許多新病毒是利用當(dāng)前最新的編程語言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。與黑客技術(shù)相結(jié)合潛在的威脅和損失更大!以紅色代碼為例，感染后的機(jī)器的web目錄的\scripts下將生成一個root.exe，可以遠(yuǎn)程執(zhí)行任何命令，從而使黑客能夠再次進(jìn)入!網(wǎng)絡(luò)蠕蟲病毒分析蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞。這里的漏洞或者說是缺陷，可以分為兩種，軟件上的缺陷和人為上的缺陷。軟件上的缺陷，如遠(yuǎn)程溢出，微軟IE和outlook的自動執(zhí)行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級軟件。而人為的缺陷，主要是指的是計算機(jī)用戶的疏忽。這就是所謂的社會工程學(xué)(socialengineering)，當(dāng)收到一封郵件帶著病毒的求職信郵件時候，大多數(shù)人都會報著好奇去點(diǎn)擊的。網(wǎng)絡(luò)蠕蟲病毒分析利用軟件上的缺陷的蠕蟲：以紅色代碼，尼姆達(dá)和sql蠕蟲為代表共同的特征是利用微軟服務(wù)器和應(yīng)用程序組件的某個漏洞進(jìn)行攻擊企業(yè)防范蠕蟲病毒措施需要考慮幾個問題：病毒的查殺能力病毒的監(jiān)控能力新病毒的反應(yīng)能力企業(yè)防毒的一個重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下：加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識建立病毒檢測系統(tǒng)建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險減少到最小建立災(zāi)難備份系統(tǒng)對于局域網(wǎng)而言，可以采用以下一些主要手段：在因特網(wǎng)接入口處安裝防火墻或防殺計算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。對郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播。對局域網(wǎng)用戶進(jìn)行安全培訓(xùn)。建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級，各種常用的應(yīng)用軟件升級，各種殺毒軟件病毒庫的升級等等。對個人用戶產(chǎn)生直接威脅的蠕蟲病毒對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網(wǎng)頁等等。對于利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(xué)(SocialEngineering)，即以各種各樣的欺騙手段那誘惑用戶點(diǎn)擊的方式進(jìn)行傳播。惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁中，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時，病毒就會發(fā)作。個人用戶對蠕蟲病毒的防范措施網(wǎng)絡(luò)蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學(xué)，而不是利用系統(tǒng)漏洞。所以防范此類病毒需要注意以下幾點(diǎn)購買合適的殺毒軟件經(jīng)常升級病毒庫提高防殺毒意識，不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼。不隨意查看陌生郵件，尤其是帶有附件的郵件小結(jié)網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒，必將對網(wǎng)絡(luò)產(chǎn)生巨大的危險。在防御上，已經(jīng)不再是由單獨(dú)的殺毒廠商所能夠解決，而需要網(wǎng)絡(luò)安全公司，系統(tǒng)廠商，防病毒廠商及用戶共同參與，構(gòu)筑全方位的防范體系蠕蟲和黑客技術(shù)的結(jié)合，使得對蠕蟲的分析，檢測和防范具有一定的難度，同時對蠕蟲的網(wǎng)絡(luò)傳播性，網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模型也是有待研究的工作計算機(jī)病毒CIH病毒的表現(xiàn)形式、危害及傳染途徑病毒的運(yùn)行機(jī)制病毒的清除exe型病毒MyVirusWord宏病毒宏的概念宏病毒分析CtoL宏病毒代碼及流程宏病毒的判斷方法宏病毒的防治和清除病毒的表現(xiàn)形式、危害及傳染途徑CIH病毒是一種文件型病毒，其宿主是Windows95/98系統(tǒng)下的PE格式可執(zhí)行文件即.EXE文件，就其表現(xiàn)形式及癥狀而言，具有以下特點(diǎn)：1、受感染的.EXE文件的文件長度沒有改變；2、DOS以及WIN3.1格式（NE格式）的可執(zhí)行文件不受感染，并且在WinNT中無效。3、用資源管理器中“工具>查找>文件或文件夾”的“高級>包含文字”查找.EXE特征字符串——“CIHv”，在查找過程中，顯示出一大堆符合查找特征的可執(zhí)行文件。4、若4月26日開機(jī)，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機(jī)后，計算機(jī)無法啟動。病毒的表現(xiàn)形式、危害及傳染途徑病毒的危害主要表現(xiàn)在于病毒發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的BIOS中的原內(nèi)容被會徹底破壞，主機(jī)無法啟動。只有更換BIOS，或是向固定在主板上的BIOS中重新寫入原來版本的程序，才能解決問題。該病毒是通過文件進(jìn)行傳播。計算機(jī)開機(jī)以后，如果運(yùn)行了帶病毒的文件，其病毒就駐留在Windows的系統(tǒng)內(nèi)存里了。此后，只要運(yùn)行了PE格式的.EXE文件，這些文件就會感染上該病毒。病毒的運(yùn)行機(jī)制CIH沒有改變宿主文件的大小，而是采用了一種新的文件感染機(jī)制即碎洞攻擊（fragmentedcavityattack），將病毒化整為零，拆分成若干塊，插入宿主文件中去；最引人注目的是它利用目前許多BIOS芯片開放了可重寫的特性，向計算機(jī)主板的BIOS端口寫入亂碼，開創(chuàng)了病毒直接進(jìn)攻計算機(jī)主板芯片的先例。病毒的運(yùn)行機(jī)制CIH病毒的駐留（初始化）病毒的感染1、文件的截獲2、EXE文件的判斷3、PE格式.EXE判別4．病毒首塊的寄生計算5．病毒其余塊的寄生計算6．寫入病毒病毒的運(yùn)行機(jī)制病毒的發(fā)作1．病毒發(fā)作條件判斷2．病毒的破壞①通過主板的BIOS端口地址0CFEH和0CFDH向BIOS引導(dǎo)塊（bootblock）內(nèi)各寫入一個字節(jié)的亂碼，造成主機(jī)無法啟動。②覆蓋硬盤,通過調(diào)用VxdcallIOS_SendCommand直接對硬盤進(jìn)行存取，將垃圾代碼以2048個扇區(qū)為單位，從硬盤主引導(dǎo)區(qū)開始依次循環(huán)寫入硬盤，直到所有硬盤（含邏輯盤）的數(shù)據(jù)均被破壞為止。病毒的清除1、病毒的檢測①利用“資源管理器”進(jìn)行搜尋②Debug檢測PESignature2、病毒的清除計算機(jī)病毒CIH病毒的表現(xiàn)形式、危害及傳染途徑病毒的運(yùn)行機(jī)制病毒的清除exe型病毒MyVirusWord宏病毒宏的概念宏病毒分析CtoL宏病毒代碼及流程宏病毒的判斷方法宏病毒的防治和清除exe型病毒MyVirus簡介:這是一個Win32平臺下的多態(tài)病毒，感染PE格式的可執(zhí)行文件。被感染的文件在運(yùn)行時會先彈出警告對話框，然后正常運(yùn)行，并無大礙。病毒程序首次被運(yùn)行時將選擇3個文件感染，將自身代碼插入被感染文件達(dá)到傳染的目的，被感染文件每次運(yùn)行時都會將病毒傳染給其他三個文件。由于是測試版，將感染文件限制在D:\Test目錄下，可在D:\Test目錄下放一些.exe進(jìn)行測試計算機(jī)病毒CIH病毒的表現(xiàn)形式、危害及傳染途徑病毒的運(yùn)行機(jī)制病毒的清除exe型病毒MyVirusWord宏病毒宏的概念宏病毒分析CtoL宏病毒代碼及流程宏病毒的判斷方法宏病毒的防治和清除宏的概念

宏是微軟公司為其OFFICE軟件包設(shè)計的一個特殊功能，目的是讓用戶文檔中的一些任務(wù)自動化。OFFICE中的WORD和EXECL都有宏。Word宏定義為：宏就是能組織到一起作為一獨(dú)立命令使用的一系列word指令，它能使日常工作變得更容易。宏病毒分析

宏病毒是一種寄存在文檔或模板的宏中的計算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機(jī)上。宏病毒分析

宏病毒的特點(diǎn)：以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速度快，難于殺除制作宏病毒以及在原型病毒上變種非常方便破壞可能性極大宏病毒會感染DOC文檔文件和DOT模板文件。CtoL宏病毒代碼及流程

該程序修改了宏，在打開文件后，將從頭到尾搜索文檔的文本，發(fā)現(xiàn)文本是字母，就將其刪除。還修改了宏，如果是第一次打開帶有病毒的文件，我們就將修改后的拷貝到了NORMAL.DOT模板。這樣之后的所有被打開的Word文件都將被感染。宏病毒的判斷方法

1、在打開“宏病毒防護(hù)功能”的情況下，當(dāng)您打開一個您自己寫的文檔時，系統(tǒng)會會彈出相應(yīng)的警告框。而您清楚您并沒有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文檔已經(jīng)感染了宏病毒。2、同樣是在打開“宏病毒防護(hù)功能”的情況下，您的OFFICE文檔中一系列的文件都在打開時給出宏警告。由于在一般情況下我們很少使用到宏，所以當(dāng)您看到成串的文檔有宏警告時，可以肯定這些文檔中有宏病毒。3、如果軟件中關(guān)于宏病毒防護(hù)選項(xiàng)啟用后，不能在下次開機(jī)時依然保存。宏病毒的防治和清除

1、首選方法：用最新版的反病毒軟件清除宏病毒。2、應(yīng)急處理方法：用寫字板或WORD6.0文檔作為清除宏病毒的橋梁。計算機(jī)病毒腳本病毒郵件型病毒病毒的檢測和防治病毒檢測病毒防治計算機(jī)系統(tǒng)的修復(fù)腳本病毒

2000年5月4日歐美爆發(fā)的“愛蟲”網(wǎng)絡(luò)蠕蟲病毒。由于通過電子郵件系統(tǒng)傳播，愛蟲病毒在短短幾天內(nèi)狂襲全球數(shù)百萬計的電腦。微軟、Intel等在內(nèi)的眾多大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，全球經(jīng)濟(jì)損失達(dá)幾十