09第九章 計(jì)算機(jī)病毒

第九章計(jì)算機(jī)病毒

§9.1計(jì)算機(jī)病毒概述★§9.2病毒的結(jié)構(gòu)與作用機(jī)理★§9.3計(jì)算機(jī)病毒的防范★§9.4幾種常見(jiàn)的計(jì)算機(jī)病毒§9.1計(jì)算機(jī)病毒概述9.1.1病毒的概念與特征9.1.2病毒的起源與分類(lèi)

Return9.1.1病毒的概念與特征1、什么是計(jì)算機(jī)病毒計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒〞不同：它不是天然存在的，是某些人根據(jù)計(jì)算機(jī)軟、硬件所固有的弱點(diǎn)，而編制出的具有特殊功能的程序。與生物醫(yī)學(xué)上的"病毒"在很多方面都很相似，由于這種程序具有傳染和破壞的特征，因此習(xí)慣上將這些“具有特殊功能的程序〞稱(chēng)為"計(jì)算機(jī)病毒"。從廣義上講，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱(chēng)為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲(chóng)等均可稱(chēng)為計(jì)算機(jī)病毒。在國(guó)內(nèi)，專(zhuān)家和研究者對(duì)計(jì)算機(jī)病毒也做過(guò)不盡相同的定義，但一直沒(méi)有公認(rèn)的明確定義。與正常計(jì)算機(jī)程序的差異：病毒能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。未經(jīng)授權(quán)而執(zhí)行。一般正常的程序是由用戶(hù)調(diào)用，再由系統(tǒng)分配資源，完成用戶(hù)交給的任務(wù)。其目的對(duì)用戶(hù)是可見(jiàn)的。病毒隱藏在正常程序中，當(dāng)用戶(hù)調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶(hù)是未知的，是未經(jīng)用戶(hù)允許的。1994年2月18日，我國(guó)正式公布實(shí)施了?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?，在?條例?第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。〞此定義具有法律性和權(quán)威性。2、計(jì)算機(jī)病毒的根本特征1)傳染性。這是病毒的根本特征，是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)(軟盤(pán)、光盤(pán)、計(jì)算機(jī)網(wǎng)絡(luò)等)。病毒程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，將自身代碼插入其中，到達(dá)自我繁殖的目的。2)隱蔽性。病毒為了保護(hù)自己，一般采用以下方法隱藏自己：短小精悍(病毒一般只有幾百或1k字節(jié))附在正常程序中或磁盤(pán)較隱蔽的地方(以隱含文件形式出現(xiàn))分散和多處隱藏(而當(dāng)有病毒程序潛伏的程序體被合法調(diào)用時(shí)，病毒程序也合法進(jìn)入，并可將分散的程序局部在所非法占用的存儲(chǔ)空間進(jìn)行重新裝配，構(gòu)成一個(gè)完整的病毒體投入運(yùn)行。)加密變體3)潛伏性。大局部的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，悄悄地繁殖和擴(kuò)散而不被覺(jué)察，使得許多數(shù)據(jù)資源成為病毒的攜帶者而迅速向外傳播。只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)(破壞)模塊。潛伏的目的是為了贏得足夠的時(shí)間，充分?jǐn)U散，最后造成盡可能大的破壞。4)破壞性(表現(xiàn)性)。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。由此特性可將病毒分為良性病毒與惡性病毒。良性病毒可能只顯示些畫(huà)面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。這類(lèi)病毒表現(xiàn)較為溫和。惡性病毒那么有明確的目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤(pán)、格式化磁盤(pán)，有的對(duì)數(shù)據(jù)造成不可挽回的破壞。表現(xiàn)和破壞是病毒的最終目的。5)不可預(yù)見(jiàn)性。從對(duì)病毒的檢測(cè)方面來(lái)看，病毒有不可預(yù)見(jiàn)性。病毒的代碼千差萬(wàn)別。傳染條件，傳染方式，傳染對(duì)象不同。破壞條件，破壞方式，破壞對(duì)象不同。以上情況處于變化之中。病毒的制作技術(shù)在不斷的提高，病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。某些正常程序使用了類(lèi)似病毒的操作甚至借鑒了某些病毒的技術(shù)。6)觸發(fā)性。滿足傳染觸發(fā)條件時(shí)，病毒的傳染模塊會(huì)被激活，實(shí)施傳染操作。滿足表現(xiàn)觸發(fā)條件時(shí)，病毒的表現(xiàn)模塊會(huì)被激活，實(shí)施表現(xiàn)或破壞操作。7)針對(duì)性。有一定的環(huán)境要求，并不一定對(duì)任何系統(tǒng)都能感染。8)依附性。病毒依附在合法的可執(zhí)行程序上。Return9.1.2病毒的起源與分類(lèi)1、計(jì)算機(jī)病毒的起源電腦病毒的歷史：磁蕊大戰(zhàn)早在1949年,電腦的先驅(qū)者JohnVonNeumann在他所提出的一篇論文[復(fù)雜自動(dòng)裝置的理論及組織的進(jìn)行]里,已把病毒程序的藍(lán)圖勾勒出來(lái)。直到十年之后,在美國(guó)電報(bào)公司(AT&T)的貝爾(Bell)實(shí)驗(yàn)室中,這些概念在一種很奇怪的電子游戲中成形了,這種電子游戲叫做“磁蕊大戰(zhàn)〞(corewar)。磁蕊大戰(zhàn)是當(dāng)時(shí)貝爾實(shí)驗(yàn)室中三個(gè)二十多歲的年輕程序員在工余想出來(lái)的,他們中的一個(gè)是莫里斯。磁蕊大戰(zhàn)的玩法:雙方各寫(xiě)一個(gè)程序,輸入到電腦中,這兩個(gè)程序在電腦的存儲(chǔ)系統(tǒng)內(nèi)互相追殺,有時(shí)它們會(huì)放下一些關(guān)卡,有時(shí)會(huì)停下來(lái)修復(fù)(重新寫(xiě))被對(duì)方破壞的幾行指令;當(dāng)它被困時(shí),也可以把自己復(fù)制一次,逃離險(xiǎn)境。游戲直到一方的程序被另一方的程序“吃掉〞為止。計(jì)算機(jī)病毒賴(lài)以生存的根底：1)現(xiàn)代計(jì)算機(jī)具有相同的工作原理。2)操作系統(tǒng)的公開(kāi)性與脆弱性。3)網(wǎng)絡(luò)協(xié)議中的平安漏洞。一些計(jì)算機(jī)專(zhuān)業(yè)人員出于開(kāi)玩笑、炫耀技術(shù)水平和懲罰拷貝等原因，研制了一些病毒程序，從而使病毒程序不斷蔓延，所造成的后果是這些人事先無(wú)法估計(jì)到的。隨著計(jì)算機(jī)病毒的危害性日益被人們所認(rèn)識(shí)以及病毒研制技術(shù)的不斷提高，計(jì)算機(jī)病毒已被越來(lái)越多地應(yīng)用于特殊目的——破壞。實(shí)際的計(jì)算機(jī)病毒出現(xiàn)在20世紀(jì)80年代的初期，隨著個(gè)人計(jì)算機(jī)的飛速開(kāi)展和普及，20世紀(jì)90年代計(jì)算機(jī)病毒開(kāi)始大范圍流行。隨著Internet的迅猛開(kāi)展，計(jì)算機(jī)病毒的危害才被人們真正認(rèn)識(shí)。2、計(jì)算機(jī)病毒的分類(lèi)1)

按破壞性可分為：良性病毒：僅是為了表現(xiàn)自己的存在，不直接破壞計(jì)算機(jī)的軟硬件，對(duì)系統(tǒng)危害較小，但會(huì)消耗系統(tǒng)的資源。惡性病毒：會(huì)對(duì)計(jì)算機(jī)的軟硬件進(jìn)行惡意攻擊，如破壞數(shù)據(jù)、刪除文件、破壞主板導(dǎo)致死機(jī)或網(wǎng)絡(luò)癱瘓等。2)按傳染方式分為：引導(dǎo)型病毒：攻擊用于引導(dǎo)計(jì)算機(jī)的程序。一個(gè)引導(dǎo)記錄病毒可以感染軟引導(dǎo)記錄程序，活動(dòng)分區(qū)引導(dǎo)記錄或主引導(dǎo)記錄的自舉程序。文件型病毒：一般只傳染磁盤(pán)上的可執(zhí)行文件(COM，EXE)?；旌闲筒《荆杭嬗幸陨蟽煞N病毒的特點(diǎn)，既染引導(dǎo)區(qū)又染文件。3)按連接方式分為：源碼型病毒：較為少見(jiàn)，亦難以編寫(xiě)。因?yàn)樗舾呒?jí)語(yǔ)言編寫(xiě)的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的局部模塊或堆棧區(qū)。因此這類(lèi)病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，去除起來(lái)也較困難。操作系統(tǒng)型病毒：可用其自身局部參加或替代操作系統(tǒng)的局部功能。因其直接感染操作系統(tǒng)，這類(lèi)病毒的危害性也較大。外殼型病毒：將自身附在正常程序的開(kāi)頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。Return§9.2病毒的結(jié)構(gòu)與作用機(jī)理

9.2.1計(jì)算機(jī)病毒的一般結(jié)構(gòu)9.2.2計(jì)算機(jī)病毒的作用機(jī)理

Return9.2.1計(jì)算機(jī)病毒的一般結(jié)構(gòu)計(jì)算機(jī)病毒有兩種狀態(tài)：靜態(tài)和動(dòng)態(tài)。靜態(tài)病毒是指存儲(chǔ)介質(zhì)(如磁盤(pán)。磁帶等)上的計(jì)算機(jī)病毒，它沒(méi)有處于加載狀態(tài)，不能執(zhí)行病毒的傳染和破壞功能。動(dòng)態(tài)病毒是指已進(jìn)入內(nèi)存，正處于運(yùn)行狀態(tài)，或通過(guò)某些中斷能立即獲得運(yùn)行權(quán)的病毒，它時(shí)刻監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，一旦條件滿足，即進(jìn)行傳染和破壞。計(jì)算機(jī)病毒的結(jié)構(gòu)：三大功能模塊，即引導(dǎo)模塊，傳染模塊和破壞(表現(xiàn))模塊。1、引導(dǎo)模塊病毒程序運(yùn)行時(shí)，首先運(yùn)行的是病毒引導(dǎo)模塊。引導(dǎo)模塊首先對(duì)運(yùn)行環(huán)境進(jìn)行調(diào)查，然后向系統(tǒng)申請(qǐng)病毒運(yùn)行所需的資源，接著將傳染模塊和破壞(表現(xiàn))模塊導(dǎo)入內(nèi)存運(yùn)行。(導(dǎo)入、保護(hù)、設(shè)置運(yùn)行條件)2、傳染模塊傳染模塊是病毒程序的核心，是判斷某個(gè)程序是否為病毒的首要條件。傳染模塊由兩局部組成：傳染條件判斷和傳染局部。傳染條件判斷：根據(jù)預(yù)定的傳染條件是否滿足，控制病毒的感染動(dòng)作。傳染條件有多種，如日期、時(shí)間、特定程序、動(dòng)作等，當(dāng)然也可以是其他邏輯條件。傳染局部：它是使病毒代碼鏈接于宿主程序之上的局部，即使病毒進(jìn)行傳染動(dòng)作的局部。傳染局部首先尋找要傳染的文件(如可執(zhí)行文件)，接著檢查該文件是否已被感染(一般病毒都會(huì)在已感染過(guò)的程序中留下一些標(biāo)志，防止重復(fù)感染)，假設(shè)設(shè)有被本病毒感染過(guò)．那么進(jìn)行感染，將病毒放入宿主程序。3、破壞(表現(xiàn))模塊破壞(表現(xiàn))模塊也由兩局部構(gòu)成：病毒觸發(fā)條件判斷和病毒具體表現(xiàn)局部。表現(xiàn)分為良性表現(xiàn)和惡性表現(xiàn)。病毒觸發(fā)條件判斷與傳染模塊的傳染條件判斷類(lèi)似，判斷是否破壞以及何時(shí)破壞。病毒的破壞或表現(xiàn)局部是病毒程序的主體，在一定程度上反映了病毒設(shè)計(jì)者的意圖。它負(fù)責(zé)實(shí)施病毒的破壞動(dòng)作，其內(nèi)部是實(shí)施病毒預(yù)定動(dòng)作的代碼。這些破壞活動(dòng)可能是破壞文件、數(shù)據(jù)，格式化磁盤(pán)，破壞或強(qiáng)占計(jì)算機(jī)存儲(chǔ)空間、時(shí)間，降低系統(tǒng)效率，或使系統(tǒng)崩潰之類(lèi)的動(dòng)作。有的病毒不執(zhí)行破壞動(dòng)作，只做特定的表現(xiàn)，如顯示特定的信息或畫(huà)面、發(fā)出特殊的聲音等，因此沒(méi)有破壞模塊，而只有表現(xiàn)模塊。Return9.2.2計(jì)算機(jī)病毒的作用機(jī)理1、計(jì)算機(jī)病毒的工作流程計(jì)算機(jī)病毒的工作流程如下圖。從圖中可以看出，病毒通過(guò)第一次非授權(quán)加載，引導(dǎo)模塊被執(zhí)行，病毒由靜態(tài)變?yōu)閯?dòng)態(tài)。2、病毒的引導(dǎo)計(jì)算機(jī)病毒只有處在動(dòng)態(tài)方式下，才具有傳染和破壞的能力。病毒的引導(dǎo)模塊具有三個(gè)功能：把病毒程序代碼引入內(nèi)存。病毒一旦被激活．首先想方設(shè)法竊取局部?jī)?nèi)存．使自身代碼藏匿于此。對(duì)內(nèi)存中的病毒代碼采取保護(hù)措施，使之不會(huì)被覆蓋。病毒將自身的程序代碼保存在內(nèi)存中的手段主要有兩種：通過(guò)程序駐留；將病毒代碼移到內(nèi)存高端，然后修改內(nèi)存大小指示單元。對(duì)內(nèi)存中的病毒代碼設(shè)定某種激活方式。修改中斷向量以便在特定的條件下取得執(zhí)行權(quán)。病毒的引導(dǎo)模塊既可與其它兩個(gè)模塊一起運(yùn)行，也可與兩個(gè)模塊中的一個(gè)一起運(yùn)行，甚至于獨(dú)立先運(yùn)行。3、計(jì)算機(jī)病毒的傳染過(guò)程計(jì)算機(jī)病毒的傳染途徑主要有兩種：一種是利用存儲(chǔ)介質(zhì)等傳染載體進(jìn)行傳染；另一種是以網(wǎng)絡(luò)作為傳染載體。網(wǎng)絡(luò)已漸漸成為病毒傳染的主要途徑。病毒通過(guò)引導(dǎo)模塊駐留到內(nèi)存中后，監(jiān)視系統(tǒng)的運(yùn)行，選擇時(shí)機(jī)進(jìn)行傳染。一旦傳染條件成立，傳染模塊被激活并會(huì)馬上對(duì)攻擊目標(biāo)進(jìn)行判斷，以確定是否傳染。當(dāng)確定對(duì)某個(gè)文件進(jìn)行傳染后，要通過(guò)適當(dāng)?shù)姆绞桨巡《緦?xiě)入磁盤(pán)，同時(shí)保證被感染對(duì)象仍可正常運(yùn)行，即進(jìn)行的是傳染而非破壞。4、計(jì)算機(jī)病毒的破壞機(jī)制病毒可在第一次加載時(shí)只把引導(dǎo)模塊引入內(nèi)存，以后受到某些中斷機(jī)制的觸發(fā)，如小球病毒的破壞模塊一般不會(huì)在啟動(dòng)系統(tǒng)時(shí)就發(fā)作，它必須等整點(diǎn)或半點(diǎn)時(shí)，再由INT13H激活發(fā)作。結(jié)構(gòu)上，破壞模塊類(lèi)似于傳染模塊，分為兩個(gè)局部，一局部判斷破壞的條件是否滿足，另一局部執(zhí)行破壞功能。執(zhí)行破壞所要求的條件一般會(huì)與時(shí)鐘和時(shí)間有關(guān)，因而病毒程序最常修改的中斷除了諸如病毒傳染利用的INT13H、INT21H外，還有諸如破壞模塊利用的INT71H(硬時(shí)鐘中斷)、INT1CH(軟時(shí)鐘中斷)及INT1AH(讀取/設(shè)立系統(tǒng)時(shí)間、日期中斷)，如黑色星期五(某月的13號(hào)正好是星期五)；當(dāng)前時(shí)間是整點(diǎn)或半點(diǎn)；病毒進(jìn)入內(nèi)存已半小時(shí)了等等。Return§9.3計(jì)算機(jī)病毒的防范9.3.1反病毒的一般方法9.3.2先進(jìn)的反病毒技術(shù)9.3.3防病毒系統(tǒng)介紹Return9.3.1反病毒的一般方法對(duì)于病毒威脅最理想的解決方法是不允許病毒進(jìn)入系統(tǒng)，如采用病毒防火墻。這個(gè)目標(biāo)不易實(shí)現(xiàn)，一旦病毒侵入系統(tǒng)就要進(jìn)行下面的工作：檢測(cè)：一旦發(fā)生了感染，確定它的發(fā)生并且定位病毒。識(shí)別：檢測(cè)完畢后，識(shí)別感染程序的特定病毒。去除：在標(biāo)識(shí)了特定病毒后，從被感染的程序中去除病毒的所有痕跡，將程序恢復(fù)到原來(lái)的狀態(tài)。從所有被感染的系統(tǒng)中去除病毒使得病毒不能進(jìn)一步傳播。如果檢測(cè)成功但標(biāo)識(shí)或去除都是不可能的，那么選擇就是丟棄被感染的程序，重新裝載一個(gè)干凈的備份版本。病毒和反病毒技術(shù)的進(jìn)步是攜手并進(jìn)的。總體上講，反病毒軟件經(jīng)歷了如下開(kāi)展階段：

第一代：簡(jiǎn)單的掃描程序。

第二代：?jiǎn)l(fā)式的掃描程序。

第三代：行為陷阱。

第四代：全方位的保護(hù)。第一代的掃描程序需要病毒特征來(lái)識(shí)別病毒。本質(zhì)上所有的副本具有相同的結(jié)構(gòu)和比特模式。這種與病毒標(biāo)記(特征)有關(guān)的掃描程序只能檢測(cè)的病毒。有的掃描程序維護(hù)有程序長(zhǎng)度的記錄，并根據(jù)程序長(zhǎng)度的改變來(lái)查找病毒。第二代的掃描程序不依賴(lài)專(zhuān)門(mén)的標(biāo)記。掃描程序使用啟發(fā)式的規(guī)那么來(lái)搜索可能的病毒感染。這種掃描程序的一個(gè)類(lèi)別是查找經(jīng)常和病毒聯(lián)系在一起的代碼段。例如，掃描程序可能查找多形病毒中使用的加密循環(huán)的開(kāi)始，并發(fā)現(xiàn)加密密鑰：一旦發(fā)現(xiàn)了密鑰，掃描程序可以解密病毒來(lái)識(shí)別它．然后刪除感染局部．恢復(fù)程序的原有功能。另一種方法是完整性檢查?？梢詾槊總€(gè)程序附加鑒別碼。如果病毒感染了程序，但沒(méi)有修改鑒別碼，那么一次完整性檢查將會(huì)抓住變化。為了對(duì)付可以在感染程序時(shí)修改鑒別碼的復(fù)雜病毒，可以使用加密的散列函數(shù)。加密密鑰和程序分開(kāi)存放，使得病毒不能生成新的散列代碼并對(duì)其加密。通過(guò)使用散列函數(shù)而不是更簡(jiǎn)單的檢驗(yàn)和．可以防止病毒象以前一樣調(diào)整程序來(lái)產(chǎn)生同樣的散列代碼。第三代程序是一些存儲(chǔ)器駐留程序，它們通過(guò)病毒的動(dòng)作而不是通過(guò)其在被感染程序中的結(jié)構(gòu)來(lái)識(shí)別病毒：這樣的程序的優(yōu)點(diǎn)在于它不必為數(shù)量巨大的病毒開(kāi)發(fā)簽名和啟發(fā)式規(guī)那么。相反，只需要識(shí)別有限的指示了感染的正在進(jìn)行的動(dòng)作集合，然后進(jìn)行干預(yù)。第四代產(chǎn)品是一些由不同的聯(lián)合使用的反病毒技術(shù)組成的軟件包。這些技術(shù)中包括了掃描和行為陷阱構(gòu)件。另外，這樣的軟件包還包括了訪問(wèn)控制能力，通過(guò)限制病毒對(duì)系統(tǒng)進(jìn)行滲透的能力，進(jìn)而限制病毒在感染時(shí)對(duì)文件進(jìn)行修改的能力。第四代軟件包使用了更加綜合的防衛(wèi)策略．將防衛(wèi)的范圍擴(kuò)大到更加通用的計(jì)算機(jī)平安領(lǐng)域。Return9.3.2先進(jìn)的反病毒技術(shù)兩種具有潛力的技術(shù)：1、GD技術(shù)GD(GenericDecryption)技術(shù)可使反病毒程序容易地檢測(cè)出甚至是最復(fù)雜的多形病毒。包含一個(gè)多形病毒的文件在執(zhí)行時(shí)，病毒必須解密自身來(lái)激活病毒模塊?？蓤?zhí)行文件通過(guò)GD掃描器來(lái)運(yùn)行，掃描器包括下面一些構(gòu)件：CPU模擬器病毒簽名掃描器模擬控制模塊模擬器解釋目標(biāo)代碼中的指令。代碼中的病毒解密例程會(huì)被解釋?？刂颇K定期中斷解釋工作來(lái)掃描目標(biāo)代碼中的病毒簽名。在解釋過(guò)程中，目標(biāo)代碼對(duì)實(shí)際的個(gè)人計(jì)算機(jī)環(huán)境不可能造成損害。2、數(shù)字免疫系統(tǒng)Internet技術(shù)的開(kāi)展趨勢(shì)在兩個(gè)主要方面將對(duì)病毒繁殖的速度產(chǎn)生重要影響：綜合郵件系統(tǒng)：諸如LotusNotes和微軟的Outlook等系統(tǒng)使人們發(fā)送任何內(nèi)容的郵件變得非常簡(jiǎn)單。移動(dòng)程序系統(tǒng)：諸如Java和ActiveX的能力使程序?qū)⒆陨韽囊粋€(gè)系統(tǒng)移到另一個(gè)系統(tǒng)變得十分容易。作為對(duì)這些基于Internet能力提出的威脅的響應(yīng)，IBM開(kāi)發(fā)了一個(gè)原型數(shù)字免疫系統(tǒng)。這個(gè)系統(tǒng)對(duì)前面提到的程序模擬器進(jìn)行了擴(kuò)展，提供了一個(gè)通用的模擬和病毒檢測(cè)系統(tǒng)。這個(gè)系統(tǒng)的目標(biāo)是使得病毒被引入時(shí)立刻被識(shí)別出來(lái)。當(dāng)一個(gè)新病毒進(jìn)入一個(gè)組織時(shí)，免疫系統(tǒng)會(huì)自動(dòng)地抓住它、分析它、為它增加新的檢測(cè)手段和隔離物、刪除它并且將有關(guān)這個(gè)病毒的信息傳遞給運(yùn)行著IBMAntiVirus的系統(tǒng)，使得病毒在其他地方運(yùn)行之前能被檢測(cè)出來(lái)。以下圖演示了數(shù)字免疫系統(tǒng)操作的典型步驟：每個(gè)PC上的監(jiān)視程序使用不同的方法來(lái)推斷病毒的出現(xiàn)，監(jiān)視程序把被認(rèn)為受到感染的程序轉(zhuǎn)發(fā)給管理機(jī)器；管理機(jī)器加密樣本，并發(fā)送給中心病毒分析機(jī)；分析機(jī)進(jìn)行模擬分析，然后生成標(biāo)識(shí)和刪除病毒的藥方；藥方被發(fā)送回管理機(jī)器；管理機(jī)器轉(zhuǎn)發(fā)藥方給受感染的客戶(hù)和該組織中的其他客戶(hù)；世界范圍內(nèi)的注冊(cè)者也將收到常規(guī)的幫助他們防治這個(gè)新病毒的反病毒更新。Return9.3.3防病毒系統(tǒng)介紹目前市場(chǎng)上銷(xiāo)售的防病毒系統(tǒng)種類(lèi)繁多，各有特點(diǎn)。在企業(yè)級(jí)的產(chǎn)品中，NAI公司的McAFee系統(tǒng)具有一定的代表性，在全球市場(chǎng)上的占有率也較高。NAI公司的McAfeeActiveVirusDefense(AVD)套件包含了企業(yè)防病毒所需的各種組件模塊，主要由以下幾局部組成：桌面防病毒產(chǎn)品VirusScan。效勞器防病毒產(chǎn)品Netshield和GroupShield。網(wǎng)關(guān)防病毒產(chǎn)品Webshield。企業(yè)防病毒系統(tǒng)網(wǎng)絡(luò)管理中心EPO(ePolicyOrchestrator)。Internet上升級(jí)數(shù)據(jù)推送產(chǎn)品SecureCast和BackWeb。1、VirusScan桌面防病毒產(chǎn)品VirusScan基于Wintel平臺(tái)，主要用于單機(jī)病毒的防治，同時(shí)也是網(wǎng)絡(luò)防病毒體系中的一個(gè)部件。其主要功能如下：掃描所有子系統(tǒng)區(qū)域(包括軟盤(pán)、引導(dǎo)區(qū)、文件分配表和分區(qū)表、文件夾、文件和壓縮文件)。精確去除文件、系統(tǒng)引導(dǎo)區(qū)、分區(qū)表和內(nèi)存中的病毒。實(shí)時(shí)掃描技術(shù)可捕獲病毒。按需掃描可由用戶(hù)自主選擇，掃描位于文件、驅(qū)動(dòng)器和軟盤(pán)內(nèi)的病毒。阻止黑客利用Java、ActiveX小程序攻擊、損壞和竊取用戶(hù)的系統(tǒng)或資源，防止多種Internet蠕蟲(chóng)病毒。檢測(cè)和防止通過(guò)電子郵件附件發(fā)送給用戶(hù)的病毒，包括檢測(cè)Word和Excel中的宏病毒。根據(jù)用戶(hù)需求，拒絕某些特定Web站點(diǎn)的訪問(wèn)。接受企業(yè)防病毒系統(tǒng)網(wǎng)絡(luò)管理中心EPO的管理。在單獨(dú)使用時(shí)，可自動(dòng)升級(jí)病毒庫(kù)與病毒檢測(cè)引擎。2、Netshield和GroupShield提供基于效勞器的病毒保護(hù)是十分必須的。在網(wǎng)絡(luò)環(huán)境中，效勞器作為各種應(yīng)用的主要承載者，與桌面系統(tǒng)保持著密切的聯(lián)系，假設(shè)效勞器感染了病毒，就會(huì)成為病毒感染的源頭，迅速?gòu)淖烂骈_(kāi)展到整個(gè)網(wǎng)絡(luò)的病毒爆發(fā)。Netshield支持NT、Netware、UNIX、LotusNotes、MicrosoftExchange等多種效勞器的保護(hù)，可以方便地從本地效勞器或工作站監(jiān)測(cè)、配置和執(zhí)行遠(yuǎn)程效勞。Netshield能高效、實(shí)時(shí)的檢測(cè)發(fā)送給或來(lái)自于效勞器的病毒感染文件，以防止它在整個(gè)網(wǎng)絡(luò)中擴(kuò)散。同時(shí)可以按需要選擇立刻或定時(shí)檢測(cè)，掃描貯留在文件效勞器中的病毒。GroupShield是基于MicrosoftExchange和LotusNotes群件效勞器的防病毒解決方案。3、WebshieldAVD可以實(shí)現(xiàn)在Internet網(wǎng)關(guān)上對(duì)病毒進(jìn)入的檢測(cè)。通常這局部功能是配合防火墻來(lái)實(shí)現(xiàn)的。即防火墻將進(jìn)入的郵件、文件或Web頁(yè)面送到病毒檢測(cè)點(diǎn)進(jìn)行檢測(cè)，以去除可能的病毒，然后才可以進(jìn)入內(nèi)部網(wǎng)。Webshield有兩種選擇：WebShieldSMTP：該產(chǎn)品掃描所有入站和出站的電子郵件?？梢詫?duì)所有Email進(jìn)行病毒過(guò)濾。除了強(qiáng)大的反病毒功能之外，WebShieldSMTP還提供了對(duì)內(nèi)容的過(guò)濾，可以制定一些規(guī)那么把包含一些不適合在企業(yè)內(nèi)流轉(zhuǎn)的Email過(guò)濾掉。WebShieldProxy：該產(chǎn)品為HTTP、FTP等多個(gè)Internet協(xié)議在內(nèi)的通信提供病毒保護(hù)，同時(shí)掃描有惡意的Java和ActiveX小程序。4、EPOEPO是企業(yè)級(jí)反病毒系統(tǒng)的管理控制中心。實(shí)現(xiàn)了單點(diǎn)管理；采用LDAP目錄結(jié)構(gòu)；支持多達(dá)十萬(wàn)個(gè)用戶(hù)；能在網(wǎng)絡(luò)上遠(yuǎn)程安裝、配置、管理、升級(jí)和刪除防病毒軟件；通過(guò)推拉(push/pull)技術(shù)集中升級(jí)網(wǎng)絡(luò)上的防病毒軟件；集中報(bào)警檢測(cè)到的病毒攻擊；能夠分組進(jìn)行反病毒數(shù)據(jù)更新策略管理；提供企業(yè)決策用的分析報(bào)告系統(tǒng)；基于TCP/IP協(xié)議，可用于大型異構(gòu)網(wǎng)絡(luò)中；減少安裝和管理防病毒軟件的時(shí)間；維持整個(gè)企業(yè)防病毒軟件策略和安裝的一致性。EPO管理防病毒軟件時(shí)，維護(hù)一個(gè)軟件庫(kù)。EPO由以下組件組成：管理控制臺(tái)(ePolicyOrchestratorConsole)管理效勞器(ePolicyOrchestratorServer)管理代理(ePolicyOrchestratorAgent)5、SecureCast和BackWebSecureCast是NAI公司獨(dú)特的Internet上數(shù)據(jù)推送技術(shù)，它將最新的病毒特征樣本文件、病毒相關(guān)的消息和更新后的AVD軟件主動(dòng)推送到企業(yè)的主機(jī)上，從而保證一旦有新的病毒發(fā)現(xiàn)或有新的病毒消息，企業(yè)的防病毒系統(tǒng)和NAI公司的最新病毒研究成果保持一致，使企業(yè)的防病毒系統(tǒng)保持最新的防病毒能力，保證病毒防護(hù)系統(tǒng)的動(dòng)態(tài)抵御能力。SecureCast安裝在WindowsNT平臺(tái)。BackWeb是NAI公司另一個(gè)Internet/Intranet推送工具，可以把最新的病毒庫(kù)更新信息和新病毒警告等推送給PC用戶(hù)。BackWeb可以被安裝在Windows95/98/NT/2000平臺(tái)。Return§9.4幾種常見(jiàn)的計(jì)算機(jī)病毒

9.4.1CIH病毒9.4.2宏病毒

9.4.3蠕蟲(chóng)病毒9.4.4多形病毒9.4.5Retro病毒9.4.6特洛伊木馬Return9.4.1CIH病毒CIH病毒是迄今為止發(fā)現(xiàn)的最陰險(xiǎn)、危害量大的病毒之一。它發(fā)作時(shí)不僅破壞硬盤(pán)的引導(dǎo)扇區(qū)和分區(qū)表，而且破壞計(jì)算機(jī)系統(tǒng)FLASHBIOS芯片中的系統(tǒng)程序。1、CIH病毒作用機(jī)理CIH病毒本身的長(zhǎng)度約為1KB左右，當(dāng)一個(gè)感染了該病毒的程序運(yùn)行時(shí)，病毒就可以進(jìn)入內(nèi)存并駐留。CIH病毒感染文件的方法是：當(dāng)它在內(nèi)存中發(fā)現(xiàn)有新的可執(zhí)行文件在運(yùn)行時(shí)，就去檢查該文件中是否包含某一特定的字符串(感染標(biāo)記)，如果沒(méi)有找到就開(kāi)始感染。它感染時(shí)首先檢測(cè)文件的首部，當(dāng)發(fā)現(xiàn)至少有184個(gè)字節(jié)的空間時(shí)，就將本身的引導(dǎo)信息寫(xiě)入此空間，病毒中所含的其余代碼局部那么分別寫(xiě)入文件內(nèi)部的空閑區(qū)域，CIH病毒修改文件首部的參數(shù)，并使其文件映象首先指向病毒的程序體。感染后的文件長(zhǎng)度不會(huì)增加，這也是CIH病毒很難被發(fā)現(xiàn)的一個(gè)原因。2、CIH病毒發(fā)作時(shí)的表現(xiàn)CIH病毒發(fā)作時(shí)，將用凌亂的信息覆蓋硬盤(pán)主引導(dǎo)區(qū)和系統(tǒng)BOOT區(qū)，改寫(xiě)硬盤(pán)數(shù)據(jù)，破壞FLASHBIOS，用隨機(jī)數(shù)填充FLASH內(nèi)存，導(dǎo)致機(jī)器無(wú)法運(yùn)行。CIH病毒對(duì)FLASHBIOS的操作，僅在主板和芯片允許寫(xiě)FLASH存儲(chǔ)器時(shí)才有可能。CIH病毒有多個(gè)變種，發(fā)作日期各不相同。CIH1.2版的發(fā)作日期是每年的4月26日；CIH1.3版的發(fā)作日期是每年的6月26日；CIH1.4版的發(fā)作日期那么是每月的26日！有些變種那么是在27日或28日發(fā)作。3、防治CIH病毒目前常用的殺毒軟件都可以發(fā)現(xiàn)和去除CIH病毒。但要注意：某些殺毒軟件有漏查現(xiàn)象，這非常危險(xiǎn)。而有些殺毒軟件，只簡(jiǎn)單地把文件中CIH病毒第一碎塊中的文件映像開(kāi)始執(zhí)行指針參數(shù)恢復(fù)，或去掉病毒首部的少量字節(jié)，沒(méi)有把病毒隱藏在文件體中的各個(gè)碎塊清理掉。這樣簡(jiǎn)單殺毒后，完整的或不完整的病毒體殘留在文件中，即留有病毒僵尸。由于有破壞的代碼存在，病毒有可能還會(huì)被執(zhí)行或殘缺執(zhí)行，危險(xiǎn)仍然存在。另外CIH病毒的作者已開(kāi)發(fā)出CIH病毒的疫苗。免疫程序安裝后，系統(tǒng)對(duì)CIH系列病毒自動(dòng)具有免疫能力，除非重裝系統(tǒng)。Return9.4.2宏病毒宏病毒是最有影響的計(jì)算機(jī)病毒之一。導(dǎo)致這一情況的原因：宏病毒是平臺(tái)無(wú)關(guān)的。幾乎所有的宏病毒都感染微軟的Word文檔，任何硬件平臺(tái)和操作系統(tǒng)支持的Word文檔都可能被感染。宏病毒感染文檔。宏病毒容易傳播。宏病毒利用了在Word和Excel中的宏。宏是嵌入到字處理文檔或其他類(lèi)型文件中的一段可執(zhí)行程序。用戶(hù)使用宏來(lái)自動(dòng)完成重復(fù)性的工作，因而節(jié)省了擊鍵次數(shù)。宏語(yǔ)言通常是某種形式的Basic程序設(shè)計(jì)語(yǔ)言，用戶(hù)可能在宏中定義擊鍵序列，并且建立它使得當(dāng)輸入功能鍵或特殊的短鍵組合時(shí)調(diào)用這些宏。使創(chuàng)立宏病毒成為可能的是自動(dòng)執(zhí)行的宏，這是一種不需要外界用戶(hù)輸入，自動(dòng)調(diào)用的宏。常見(jiàn)的自動(dòng)執(zhí)行事件是翻開(kāi)文件、關(guān)閉文件和啟動(dòng)應(yīng)用程序。一旦宏運(yùn)行起來(lái)，宏病毒可以將自身復(fù)制到其他文檔或刪除文件并引起用戶(hù)系統(tǒng)的破壞。在微軟的Word中，存在三種類(lèi)型的自動(dòng)執(zhí)行宏：自動(dòng)執(zhí)行：如果宏在“normal.dot〞模板或Word的啟動(dòng)目錄中存儲(chǔ)的全局模板中命名為AutoExec，那么每當(dāng)Word啟動(dòng)時(shí)，它就會(huì)執(zhí)行。自動(dòng)宏：當(dāng)定義的事件發(fā)生時(shí)，如翻開(kāi)或關(guān)閉文檔、創(chuàng)立新的文檔或退出Word，自動(dòng)宏就會(huì)執(zhí)行。命令宏：在全局宏文件中的或者附加到文檔中的宏，如果具有現(xiàn)存的Word命令的名字，那么每當(dāng)用戶(hù)調(diào)用該命令時(shí)就會(huì)執(zhí)行(例如FileSave)。宏病毒一般通過(guò)電子郵件或者磁盤(pán)傳遞。宏病毒DELTREE_CDELTREE_C是1999年初開(kāi)始流行一種計(jì)算機(jī)宏病毒，它雖然屬于一種Word宏病毒,但它的破壞性極強(qiáng)，可以攔截中文字處理軟件Word的AutoOpen、AutoClose、AutoExec、AutoNews等四個(gè)宏,而且會(huì)復(fù)制宏代碼到常用模板(Normal.dot)文件中,并在C盤(pán)根目錄下生成含此宏病毒的Word自動(dòng)加載文件AUTOEXEC.DOT。隨后翻開(kāi)的所有文件都被染上此病毒。病癥：假設(shè)使用計(jì)算機(jī)翻開(kāi)含此宏病毒的文件時(shí),Word的工具菜單項(xiàng)中的“模版及加載(I)〞、“自定義(C)〞和“選項(xiàng)(O)〞等子項(xiàng)就會(huì)失效,用戶(hù)執(zhí)行的各項(xiàng)操作反響明顯變慢。發(fā)作的病癥是在屏幕上顯示一個(gè)對(duì)話框,提問(wèn):“當(dāng)今的社會(huì)太黑暗,太不公正?〞,這時(shí)用戶(hù)必須選擇答復(fù)“非常正確〞,才可通過(guò),否那么病毒程序即刻刪除C盤(pán)上的所有數(shù)據(jù)。發(fā)作時(shí)間是在每年的7月。Return9.4.3蠕蟲(chóng)病毒蠕蟲(chóng)是一種可以在網(wǎng)上不同主機(jī)間傳播，而不必修改目標(biāo)主機(jī)上其他程序的一類(lèi)程序。蠕蟲(chóng)能夠透過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，在主機(jī)之間傳遞。但它不一定會(huì)破壞任何軟件和硬件，蠕蟲(chóng)不斷通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)將自己傳送到各處，最后由于不斷的擴(kuò)張使得系統(tǒng)不勝負(fù)荷。蠕蟲(chóng)通常是秘密地在網(wǎng)絡(luò)內(nèi)傳輸，并且不斷地收集包含密碼或文件在內(nèi)的信息。蠕蟲(chóng)嚴(yán)重地消耗系統(tǒng)資源和帶寬。最典型的蠕蟲(chóng)是1988年，由RobertT．Morris釋放的Intenet蠕蟲(chóng)了。在很短的時(shí)間內(nèi)，這個(gè)蠕蟲(chóng)傳染了網(wǎng)絡(luò)內(nèi)數(shù)千臺(tái)主機(jī)。Happy99蠕蟲(chóng)病毒Happy99.exe是一種蠕蟲(chóng)病毒。它以電子郵件附件的形式進(jìn)行傳播,還可以投遞到新聞組中,在Internet上擴(kuò)散。Happy99病毒發(fā)作時(shí)你會(huì)在顯示器上看到一幅節(jié)日煙火的彩色畫(huà)面。Happy99把自己復(fù)制到計(jì)算機(jī)系統(tǒng)的system目錄下,并將WSOCK32.DLL改寫(xiě)為WSOCK32.SKA,而后生成一個(gè)與原來(lái)WSOCK32.DLL文件大小一致的WSOCK32.DLL。當(dāng)系統(tǒng)初始化時(shí)自動(dòng)駐留到內(nèi)存中,其作用是管理網(wǎng)絡(luò)端口通信及數(shù)據(jù)傳輸,同時(shí)產(chǎn)生新的文件SKA.EXE和SKA.DLL,使自己與Internet聯(lián)系起來(lái)。當(dāng)你接入網(wǎng)絡(luò)進(jìn)行通信或發(fā)送郵件時(shí),Happy99就會(huì)將你的信件內(nèi)容清空,并取而代之。處理：刪除SKA.EXE、SKA.DLL。然后重新啟動(dòng)機(jī)器進(jìn)入DOS環(huán)境,將原來(lái)干凈的WSOCK32.SKA拷回system目錄下,覆蓋感染的WSOCK32.DLL。再刪除系統(tǒng)注冊(cè)表中\(zhòng)KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下的SKA.EXE。美麗殺(莎)蠕蟲(chóng)病毒1999年3月6日，一個(gè)名為“美麗殺〞的計(jì)算機(jī)病毒席卷歐、美各國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)。這種病毒利用郵件系統(tǒng)大量復(fù)制、傳播，造成網(wǎng)絡(luò)阻塞，甚至癱瘓。并且，這種病毒在傳播過(guò)程中，還會(huì)造成泄密。在美國(guó)，白宮、微軟和Intel等政府部門(mén)和一些大公司，為了防止更大的損失，緊急關(guān)閉了網(wǎng)絡(luò)效勞器，檢查、去除“美麗殺〞病毒。由于“美麗殺〞病毒危害美國(guó)政府和大型企業(yè)的利益，美國(guó)聯(lián)邦調(diào)查局(FBI)迅速行動(dòng)。經(jīng)過(guò)四、五天的技術(shù)偵查，將病毒制造者史密斯抓獲。但是“美麗殺〞病毒已致使300多家大型公司的效勞器癱瘓，這些公司的業(yè)務(wù)依賴(lài)于計(jì)算機(jī)網(wǎng)絡(luò)，效勞器癱瘓后造成公司正常業(yè)務(wù)停頓，損失巨大。隨后“美麗殺〞病毒的源代碼在互聯(lián)網(wǎng)上公布，功能類(lèi)似于“美麗殺〞的其他病毒或蠕蟲(chóng)接連出臺(tái)。如：PaPa，copycat等。當(dāng)翻開(kāi)染有該病毒的Word文檔時(shí)，它首先感染模版文件Normal.dot。此后，新創(chuàng)立的文檔和修改編輯的文檔都會(huì)感染此病毒。該病毒將把自身作為附件自動(dòng)發(fā)給郵件地址列表中前五十個(gè)地址?！懊利悮ⅷ暡《景炎约簜窝b成來(lái)自朋友或同事的標(biāo)題為“重要信息〞的電子郵件，然后通過(guò)被感染的電腦再向外發(fā)出50封染毒的電子郵件。它在網(wǎng)上傳播以后，迅速造成全球多個(gè)電腦網(wǎng)絡(luò)運(yùn)行出現(xiàn)異常。Nimda蠕蟲(chóng)病毒Nimda是一種蠕蟲(chóng)病毒，它無(wú)需人工干預(yù)即可進(jìn)行傳播。Nimda病毒利用的軟件漏洞和多樣的感染體進(jìn)行傳播，其繁殖和傳染的速度是驚人的。Nimda病毒也叫W32.Nimda.A@mm、I-Worm.Nimda和W32.Nimda.A等，發(fā)現(xiàn)于2001年9月18日。Nimda病毒有四種可能的傳播途徑：通過(guò)文件傳播通過(guò)電子郵件傳播(README.EXE附件)通過(guò)IIS漏洞傳播(使用CodeRedII病毒留下的后門(mén)來(lái)感染機(jī)器)通過(guò)局域網(wǎng)傳播(搜索本地網(wǎng)絡(luò)的文件共享)Nimda病毒的主要負(fù)面影響是限制帶寬。防治：殺毒軟件殺毒；對(duì)IIS進(jìn)行升級(jí)。Return9.4.4多形病毒多態(tài)病毒包含一個(gè)不變的病毒程序。通常，病毒體是被加密的，以防止被反病毒程序檢測(cè)出來(lái)。一個(gè)已加密的病毒要想正確執(zhí)行，它必須解密自己已加密的局部。這種解密通常由病毒解密例程來(lái)完成。當(dāng)一個(gè)被感染的程序啟動(dòng)時(shí)，病毒解密例程就會(huì)控制計(jì)算機(jī)，并且解密病毒體的其余局部，這樣它就能正常執(zhí)行了。然后病毒解密例程將控制傳送給已解密的病毒體，以便病毒的傳播。當(dāng)多態(tài)病毒感染一個(gè)新的可執(zhí)行文件時(shí)，他會(huì)產(chǎn)生一個(gè)不同于其他被感染文件的新的解密例程。這種病毒包含一種簡(jiǎn)單的機(jī)器代碼生成器，通常稱(chēng)為“變異引擎〞，它可以建立新的機(jī)器語(yǔ)言解密例程(功能相同，但代碼序列不同)。在感染過(guò)程中，在病毒把它的一份拷貝附加到新的目標(biāo)文件中之前，病毒使用一個(gè)互補(bǔ)的加密例程來(lái)加密這份拷貝。在加密了病毒體之后，病毒就會(huì)把新產(chǎn)生的解密例程與加密的病毒體以及變異引擎附加到目標(biāo)可執(zhí)行文件上。因此，不僅病毒體被加密，而且病毒的解密例程也會(huì)在每一個(gè)被感染的程序中使用不同的機(jī)器語(yǔ)言指令序列。多態(tài)解密例程采取多種不同的形式出現(xiàn)，因此，根據(jù)這種例程的出現(xiàn)識(shí)別病毒傳染是很困難的。經(jīng)過(guò)這種新的多態(tài)病毒感染的文件在不同的感染文件之間相似性極少，使得反病毒檢測(cè)成為一項(xiàng)艱難的任務(wù)。Return9.4.5Retro病毒就像生物學(xué)中的Retro病毒一樣，計(jì)算機(jī)Retro病毒的目標(biāo)是攻擊他的攻擊者。PCRetro病毒尋找反病毒程序并刪除一些關(guān)鍵的文件，沒(méi)有這些文件反病毒程序既無(wú)法檢查病毒也不能正常工作。例如，許多反病毒程序會(huì)包括一個(gè)數(shù)據(jù)文件，在這個(gè)文件中存放有病毒的特征標(biāo)記。Retro病毒就是要試圖刪除這個(gè)病毒定義文件，從而破壞掃描程序檢測(cè)病毒的能力。有些病毒使用更聰明的策略，他把不同的反病毒程序生成的數(shù)據(jù)庫(kù)作為攻擊目標(biāo)。有些反病毒產(chǎn)品使用一種稱(chēng)為完整性檢查的方法來(lái)保護(hù)文件。反病毒程序把完整性信息存放在數(shù)據(jù)庫(kù)中，標(biāo)識(shí)每個(gè)未感染文件的關(guān)鍵特征。聰明的Retro病毒就會(huì)尋找這個(gè)數(shù)據(jù)庫(kù)并刪除它。Return9.4.6特洛伊木馬特洛伊木馬(簡(jiǎn)稱(chēng)木馬)，其名稱(chēng)取自希臘神話的特洛伊木馬記，是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣效勞端即使發(fā)現(xiàn)感染了木馬，也不能確定其準(zhǔn)確的位置。非授權(quán)性是指一旦控制端與效勞端連接后，控制端將享有效勞端的大局部操作權(quán)限，這些權(quán)力并不是效勞端賦予的，而是通過(guò)木馬程序竊取的。木馬病毒由控制端程序和木馬程序構(gòu)成，控制端程序用來(lái)遠(yuǎn)程控制效勞端的木馬程序，木馬程序是用來(lái)潛入效勞端內(nèi)部，獲取其操作權(quán)限的程序，兩者通過(guò)網(wǎng)