計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

云南工商學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施（反病毒）PAGEII計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施（反病毒）摘要21世紀(jì)，計(jì)算機(jī)網(wǎng)絡(luò)和人類(lèi)的關(guān)系越來(lái)越緊密，它使得人們能夠獲得更加豐富的信息，工作生活方便、快捷和高效，但是，計(jì)算機(jī)網(wǎng)絡(luò)病毒的蔓延，卻給計(jì)算機(jī)安全和應(yīng)用帶來(lái)巨大威脅，本文簡(jiǎn)要分析了計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)和來(lái)源，并提出了必要的防范措施。目前，病毒已成為困擾計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)發(fā)展的重要問(wèn)題。掌握了計(jì)算機(jī)病毒的基本知識(shí)，一旦遇到計(jì)算機(jī)病毒就不會(huì)束手無(wú)策。本文通過(guò)對(duì)計(jì)算機(jī)病毒的概念、傳播途徑、怎樣有效地防范等方面做了一個(gè)基本的介紹，使讀者對(duì)其有一個(gè)理性的認(rèn)識(shí)，以便能最大限度地減少計(jì)算機(jī)病毒所帶來(lái)的危害。計(jì)算機(jī)網(wǎng)絡(luò)加快了人類(lèi)邁進(jìn)信息化社會(huì)的步伐，社會(huì)、文明、經(jīng)濟(jì)等各領(lǐng)域?qū)崿F(xiàn)了跨越式發(fā)展，但計(jì)算機(jī)網(wǎng)絡(luò)病毒活動(dòng)的日益猖獗，為信息化技術(shù)和社會(huì)發(fā)展帶來(lái)重大危害。因此，計(jì)算機(jī)的網(wǎng)絡(luò)安全對(duì)于這個(gè)信息時(shí)代來(lái)說(shuō)是很重要的，而且也是很有必要的。關(guān)鍵詞：計(jì)算機(jī)，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)病毒，防范措施，反病毒

目錄第一章緒論 11.1引言 11.2計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀 1第二章計(jì)算機(jī)病毒的原理 22.1計(jì)算機(jī)病毒 22.1.1計(jì)算機(jī)病毒的定義 22.1.2計(jì)算機(jī)病毒的特征 22.2計(jì)算機(jī)病毒的分類(lèi) 32.3計(jì)算機(jī)病毒的入侵方式 32.4計(jì)算機(jī)病毒的傳播 42.5計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)應(yīng)用的影響 4第三章計(jì)算機(jī)反病毒技術(shù) 63.1反病毒技術(shù) 63.1.1反病毒技術(shù)的發(fā)展 63.1.2常見(jiàn)的反病毒技術(shù) 63.1.3防、治結(jié)合的反病毒技術(shù) 83.1.4開(kāi)放的反病毒方向 83.2病毒的檢查 83.2.1比較法 83.2.2搜索法 93.2.3特征字識(shí)別法 93.2.4分析法 93.3常見(jiàn)的病毒前綴的解釋?zhuān)ㄡ槍?duì)用得最多的Windows操作系統(tǒng)） 10第四章病毒案例分析 124.1熊貓燒香病毒 124.1.1病毒特征 124.1.2病毒詳細(xì)行為 134.2熊貓燒香病毒解決方案 14第五章總結(jié) 15參考文獻(xiàn) 16致謝 17 計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施第14頁(yè)共19頁(yè)第一章緒論1.1引言在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人，使他們受益，同樣，信息也可以用來(lái)對(duì)他們構(gòu)成威脅，造成破壞。因此網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有治理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。國(guó)際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的熟悉和要求也就不同。從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)難、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有治理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。1.2計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過(guò)了計(jì)算機(jī)病毒的種類(lèi)，而且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒(méi)有時(shí)空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲(chóng)、后門(mén)、Rootkits、DOS和Sniffer是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時(shí)至今日，有愈演愈烈之勢(shì)。這幾類(lèi)攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級(jí)Rootlets。黑客的攻擊手法不斷升級(jí)翻新，向用戶(hù)的信息安全防范能力不斷發(fā)起挑戰(zhàn)。第二章計(jì)算機(jī)病毒的原理2.1計(jì)算機(jī)病毒2.1.1計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。而在一般教科書(shū)及通用資料中被定義為：利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼。計(jì)算機(jī)病毒最早出現(xiàn)在70年代DavidGerrold科幻小說(shuō)WhenH.A.R.L.I.E.wasOne.最早科學(xué)定義出現(xiàn)在1983:在FredCohen(南加大)的博士論文“計(jì)算機(jī)病毒實(shí)驗(yàn)”“一種能把自己(或經(jīng)演變)注入其它程序的計(jì)算機(jī)程序”啟動(dòng)區(qū)病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機(jī)制同生物病毒類(lèi)似.生物病毒是把自己注入細(xì)胞之中。計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類(lèi)型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。2.1.2計(jì)算機(jī)病毒的特征1、非授權(quán)可執(zhí)行性用戶(hù)通常調(diào)用執(zhí)行一個(gè)程序時(shí),把系統(tǒng)控制交給這個(gè)程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運(yùn)行完成用戶(hù)的需求。因此程序執(zhí)行的過(guò)程對(duì)用戶(hù)是透明的。而計(jì)算機(jī)病毒是非法程序,正常用戶(hù)是不會(huì)明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性:可存儲(chǔ)性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當(dāng)用戶(hù)運(yùn)行正常程序時(shí),病毒伺機(jī)竊取到系統(tǒng)的控制權(quán),得以搶先運(yùn)行,然而此時(shí)用戶(hù)還認(rèn)為在執(zhí)行正常程序。2、隱蔽性計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤(pán)引導(dǎo)扇區(qū)中,或者磁盤(pán)上標(biāo)為壞簇的扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲(chǔ)性。病毒想方設(shè)法隱藏自身,就是為了防止用戶(hù)察覺(jué)。3、傳染性傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。病毒程序一旦侵入計(jì)算機(jī)系統(tǒng)就開(kāi)始搜索可以傳染的程序或者磁介質(zhì),然后通過(guò)自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá),計(jì)算機(jī)病毒可以在極短的時(shí)間內(nèi),通過(guò)像Internet這樣的網(wǎng)絡(luò)傳遍世界。4、潛伏性計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱(chēng)之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來(lái),然后在用戶(hù)不察覺(jué)的情況下進(jìn)行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長(zhǎng),病毒傳染的范圍也越廣,其危害性也越大。5、表現(xiàn)性或破壞性無(wú)論何種病毒程序一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤(pán)存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運(yùn)行,還有一些病毒程序刪除文件,加密磁盤(pán)中的數(shù)據(jù),甚至摧毀整個(gè)系統(tǒng)和數(shù)據(jù),使之無(wú)法恢復(fù),造成無(wú)可挽回的損失。因此,病毒程序的副作用輕者降低系統(tǒng)工作效率,重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。6、可觸發(fā)性計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿(mǎn)足其觸發(fā)條件或者激活病毒的傳染機(jī)制,使之進(jìn)行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計(jì)者的要求,在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入特定字符,使用特定文件,某個(gè)特定日期或特定時(shí)刻,或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。2.2計(jì)算機(jī)病毒的分類(lèi)1、計(jì)算機(jī)病毒按破壞性分：可分為:良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒。2、按傳染方式分：引導(dǎo)區(qū)型病毒,引導(dǎo)區(qū)型病毒主要通過(guò)軟盤(pán)在操作系統(tǒng)中傳播，感染引導(dǎo)區(qū)，蔓延到硬盤(pán)，并能感染到硬盤(pán)中的"主引導(dǎo)記錄"。文件型病毒,文件型病毒是文件感染者，也稱(chēng)為寄生病毒。它運(yùn)行在計(jì)算機(jī)存儲(chǔ)器中，通常感染擴(kuò)展名為COM、EXE、SYS等類(lèi)型的文件?；旌闲筒《?混合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特點(diǎn)。宏病毒,宏病毒是指用BASIC語(yǔ)言編寫(xiě)的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對(duì)文檔的各種操作。3、按連接方式分：源碼型病毒,它攻擊高級(jí)語(yǔ)言編寫(xiě)的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。源碼型病毒較為少見(jiàn)，亦難以編寫(xiě)。入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類(lèi)病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，清除起來(lái)也較困難。操作系統(tǒng)型病毒,操作系統(tǒng)型病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類(lèi)病毒的危害性也較大。外殼型病毒,外殼型病毒通常將自身附在正常程序的開(kāi)頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類(lèi)。2.3計(jì)算機(jī)病毒的入侵方式1、宏病毒宏病毒發(fā)作方式:在Word打開(kāi)病毒文檔時(shí)，宏會(huì)接管計(jì)算機(jī)，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲(chǔ)存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲(chǔ)存它們的宏。這樣的結(jié)果是某些Word版本會(huì)強(qiáng)迫你將感染的文檔儲(chǔ)存在模板中。防范措施:平時(shí)最好不要幾個(gè)人共用一個(gè)Office程序，要加載實(shí)時(shí)的病毒防護(hù)功能。病毒的變種可以附帶在郵件的附件里，在用戶(hù)打開(kāi)郵件或預(yù)覽郵件的時(shí)候執(zhí)行，應(yīng)該留意。一般的殺毒軟件都可以清除宏病毒。2、CIH病毒發(fā)作破壞方式:主要是通過(guò)篡改主板BIOS里的數(shù)據(jù)，造成電腦開(kāi)機(jī)就黑屏，從而讓用戶(hù)無(wú)法進(jìn)行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡(luò)上通過(guò)捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤(pán)上的文件及破壞硬盤(pán)的分區(qū)表。所以CIH發(fā)作以后，即使換了主板或其他電腦引導(dǎo)系統(tǒng)，如果沒(méi)有正確的分區(qū)表備份，染毒的硬盤(pán)上特別是其C分區(qū)的數(shù)據(jù)挽回的機(jī)會(huì)很少。防范措施:已經(jīng)有很多CIH免疫程序誕生了，包括病毒制作者本人寫(xiě)的免疫程序。一般運(yùn)行了免疫程序就可以不怕CIH了。如果已經(jīng)中毒，但尚未發(fā)作，記得先備份硬盤(pán)分區(qū)表和引導(dǎo)區(qū)數(shù)據(jù)再進(jìn)行查殺，以免殺毒失敗造成硬盤(pán)無(wú)法自舉。。3、木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭(zhēng)中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來(lái)害人。防范措施:用戶(hù)提高警惕，不下載和運(yùn)行來(lái)歷不明的程序，對(duì)于不明來(lái)歷的郵件附件也不要隨意打開(kāi)。2.4計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的傳染分兩種。一種是在一定條件下方可進(jìn)行傳染,即條件傳染。另一種是對(duì)一種傳染對(duì)象的反復(fù)傳染即無(wú)條件傳染。從目前蔓延傳播病毒來(lái)看所謂條件傳染,是指一些病毒在傳染過(guò)程中,在被傳染的系統(tǒng)中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統(tǒng)時(shí),發(fā)現(xiàn)有自己的標(biāo)志則不再進(jìn)行傳染,如果是一個(gè)新的系統(tǒng)或軟件,首先讀特定位置的值,并進(jìn)行判斷,如果發(fā)現(xiàn)讀出的值與自己標(biāo)識(shí)不一致,則對(duì)這一系統(tǒng)或應(yīng)用程序,或數(shù)據(jù)盤(pán)進(jìn)行傳染,這是一種情況；另一種情況,有的病毒通過(guò)對(duì)文件的類(lèi)型來(lái)判斷是否進(jìn)行傳染,如黑色星期五病毒只感染.COM或.EXE文件等等；還有一種情況有的病毒是以計(jì)算機(jī)系統(tǒng)的某些設(shè)備為判斷條件來(lái)決定是否感染。例如大麻病毒可以感染硬盤(pán),又可以感染軟盤(pán),但對(duì)B驅(qū)動(dòng)器的軟盤(pán)進(jìn)行讀寫(xiě)操作時(shí)不傳染。但我們也發(fā)現(xiàn)有的病毒對(duì)傳染對(duì)象反復(fù)傳染。例如黑色星期五病毒只要發(fā)現(xiàn).EXE文件就進(jìn)行一次傳染,再運(yùn)行再進(jìn)行傳染反復(fù)進(jìn)行下去?？梢?jiàn)有條件時(shí)病毒能傳染,無(wú)條件時(shí)病毒也可以進(jìn)行傳染。2.5計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)應(yīng)用的影響1．病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用大部分病毒在激發(fā)的時(shí)候直接破壞計(jì)算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤(pán)、改寫(xiě)文件分配表和目錄區(qū)、刪除重要文件或者用無(wú)意義的“垃圾”數(shù)據(jù)改寫(xiě)文件、破壞CMO5設(shè)置等。磁盤(pán)殺手病毒（D1SKKILLER），內(nèi)含計(jì)數(shù)器，在硬盤(pán)染毒后累計(jì)開(kāi)機(jī)時(shí)間48小時(shí)內(nèi)激發(fā)，激發(fā)的時(shí)候屏幕上顯示“Warning!!Don'tturnoffpowerorremovediskettewhileDiskKillerisProsessing！”（警告！D1SKKILLERll1在工作，不要關(guān)閉電源或取出磁盤(pán)），改寫(xiě)硬盤(pán)數(shù)據(jù)。被D1SKKILLER破壞的硬盤(pán)可以用殺毒軟件修復(fù)，不要輕易放棄。2．占用磁盤(pán)空間和對(duì)信息的破壞寄生在磁盤(pán)上的病毒總要非法占用一部分磁盤(pán)空間。引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤(pán)引導(dǎo)扇區(qū)，而把原來(lái)的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個(gè)磁盤(pán)扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無(wú)法恢復(fù)。文件型病毒利用一些DOS功能進(jìn)行傳染，這些DOS功能能夠檢測(cè)出磁盤(pán)的未用空間，把病毒的傳染部分寫(xiě)到磁盤(pán)的未用部位去。所以在傳染過(guò)程中一般不破壞磁盤(pán)上的原有數(shù)據(jù)，但非法侵占了磁盤(pán)空間。一些文件型病毒傳染速度很快，在短時(shí)間內(nèi)感染大量文件，每個(gè)文件都不同程度地加長(zhǎng)了，就造成磁盤(pán)空間的嚴(yán)重浪費(fèi)。3．搶占系統(tǒng)資源除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動(dòng)態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長(zhǎng)度大致與病毒本身長(zhǎng)度相當(dāng)。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運(yùn)行。計(jì)算機(jī)操作系統(tǒng)的很多功能是通過(guò)中斷調(diào)用技術(shù)來(lái)實(shí)現(xiàn)的。病毒為了傳染激發(fā)，總是修改一些有關(guān)的中斷地址，在正常中斷過(guò)程中加入病毒的“私貨”，從而干擾了系統(tǒng)的正常運(yùn)行。4．影響計(jì)算機(jī)運(yùn)行速度病毒進(jìn)駐內(nèi)存后不但干擾系統(tǒng)運(yùn)行，還影響計(jì)算機(jī)速度，主要表現(xiàn)在：5．計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害計(jì)算機(jī)病毒與其他計(jì)算機(jī)軟件的一大差別是病毒的無(wú)責(zé)任性。編制一個(gè)完善的計(jì)算機(jī)軟件需要耗費(fèi)大量的人力、物力，經(jīng)過(guò)長(zhǎng)時(shí)間調(diào)試完善，軟件才能推出。但在病毒編制者看來(lái)既沒(méi)有必要這樣做，也不可能這樣做。很多計(jì)算機(jī)病毒都是個(gè)別人在一臺(tái)計(jì)算機(jī)上匆匆編制調(diào)試后就向外拋出。6．計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響兼容性是計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對(duì)運(yùn)行條件“挑肥揀瘦”，要求機(jī)型和操作系統(tǒng)版本等。7．計(jì)算機(jī)病毒給用戶(hù)造成嚴(yán)重的心理壓力據(jù)有關(guān)計(jì)算機(jī)銷(xiāo)售部門(mén)統(tǒng)計(jì)，計(jì)算機(jī)售后用戶(hù)懷疑“計(jì)算機(jī)有病毒”而提出咨詢(xún)約占售后服務(wù)工作量的60％以上。經(jīng)檢測(cè)確實(shí)存在病毒的約占70％，另有30％情況只是用戶(hù)懷疑，而實(shí)際上計(jì)算機(jī)并沒(méi)有病毒。那么用戶(hù)懷疑病毒的理由是什么呢？多半是出現(xiàn)諸如計(jì)算機(jī)死機(jī)、軟件運(yùn)行異常等現(xiàn)象。這些現(xiàn)象確實(shí)很有可能是計(jì)算機(jī)病毒造成的。但又不全是，實(shí)際上在計(jì)算機(jī)工作“異?！钡臅r(shí)候很難要求一位普通用戶(hù)去準(zhǔn)確判斷是否是病毒所為。大多數(shù)用戶(hù)對(duì)病毒采取寧可信其有的態(tài)度，這對(duì)于保護(hù)計(jì)算機(jī)安全無(wú)疑是十分必要的，然而往往要付出時(shí)間、金錢(qián)等方面的代價(jià)。僅僅懷疑病毒而冒然格式化磁盤(pán)所帶來(lái)的損失更是難以彌補(bǔ)。不僅是個(gè)人單機(jī)用戶(hù)，在一些大型網(wǎng)絡(luò)系統(tǒng)中也難免為甄別病毒而停機(jī)。

第三章計(jì)算機(jī)反病毒技術(shù)3.1反病毒技術(shù)3.1.1反病毒技術(shù)的發(fā)展第一代反病毒技術(shù)是采取單純的病毒特征代碼分析，將病毒從帶毒文件中清除掉。這種方式可以準(zhǔn)確地清除病毒，可靠性很高。后來(lái)病毒技術(shù)發(fā)展了，特別是加密和變形技術(shù)的運(yùn)用，使得這種簡(jiǎn)單的靜態(tài)掃描方式失去了作用。隨之而來(lái)的反病毒技術(shù)也發(fā)展了一步。第二代反病毒技術(shù)是采用靜態(tài)廣譜特征掃描方法檢測(cè)病毒，這種方式可以更多地檢測(cè)出變形病毒，但另一方面誤報(bào)率也提高，尤其是用這種不嚴(yán)格的特征判定方式去清除病毒帶來(lái)的風(fēng)險(xiǎn)性很大，容易造成文件和數(shù)據(jù)的破壞。所以說(shuō)靜態(tài)防病毒技術(shù)也有難以克服的缺陷。第三代反病毒技術(shù)的主要特點(diǎn)是將靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)結(jié)合起來(lái)，將查找病毒和清除病毒合二為一，形成一個(gè)整體解決方案，能夠全面實(shí)現(xiàn)防、查、殺等反病毒所必備的各種手段，以駐留內(nèi)存方式防止病毒的入侵，凡是檢測(cè)到的病毒都能清除，不會(huì)破壞文件和數(shù)據(jù)。隨著病毒數(shù)量的增加和新型病毒技術(shù)的發(fā)展，靜態(tài)掃描技術(shù)將會(huì)使反毒軟件速度降低，駐留內(nèi)存防毒模塊容易產(chǎn)生誤報(bào)。第四代反病毒技術(shù)則是針對(duì)計(jì)算機(jī)病毒的發(fā)展而基于病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理，啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)的解毒技術(shù)，較好的解決了以前防毒技術(shù)顧此失彼、此消彼長(zhǎng)的狀態(tài)。3.1.2常見(jiàn)的反病毒技術(shù)1、特征碼技術(shù)。特征碼技術(shù)是反病毒技術(shù)中最基本的技術(shù)，也是反病毒軟件普遍采用的方法，是基于已知病毒的靜態(tài)反病毒技術(shù)。反病毒研究人員通過(guò)對(duì)病毒樣本的分析，提取病毒中具有代表性的數(shù)據(jù)串寫(xiě)入反病毒軟件的病毒庫(kù)。當(dāng)反病毒軟件查毒時(shí)發(fā)現(xiàn)目標(biāo)文件中的代碼與反病毒軟件病毒庫(kù)中的特征碼相符合時(shí)，就認(rèn)為該文件含毒并對(duì)其進(jìn)行清除。2、基于虛擬機(jī)的反病毒技術(shù)。所謂基于虛擬機(jī)的反病毒技術(shù)就是對(duì)難以查找特征碼的病毒用軟件虛擬CPU實(shí)現(xiàn)其代碼執(zhí)行過(guò)程，得到病毒明文，再尋找病毒特征碼。這是一種專(zhuān)門(mén)對(duì)付變形病毒的方法。3、行為監(jiān)視法。病毒感染文件時(shí)，常常有一些不同于正常程序的行為。行為監(jiān)視法就是引入一些人工智能技術(shù)，通過(guò)分析檢查對(duì)象的邏輯結(jié)構(gòu)，將其分為多個(gè)模塊，分別引入虛擬機(jī)中執(zhí)行并監(jiān)測(cè)，從而查出使用特定觸發(fā)條件的病毒。這種方法專(zhuān)門(mén)針對(duì)未知病毒和變形病毒而設(shè)計(jì)，并且將查找病毒和清除病毒合二為一，能查亦能殺，但由于采用人工智能技術(shù)，需要常駐內(nèi)存，實(shí)現(xiàn)起來(lái)也有一定的技術(shù)難度。啟發(fā)式分析模型，這種模型既可以實(shí)現(xiàn)對(duì)已知木馬的查殺，又可以對(duì)未知木馬進(jìn)行啟發(fā)式分析，并將分析數(shù)據(jù)提交專(zhuān)家系統(tǒng)，由專(zhuān)家系統(tǒng)對(duì)其判定，并實(shí)時(shí)對(duì)數(shù)據(jù)庫(kù)進(jìn)行更新，最終實(shí)現(xiàn)對(duì)未知木馬的查殺。該模型主要有八大模塊，分別為：靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)、動(dòng)態(tài)監(jiān)控、查殺引擎、隔離機(jī)、動(dòng)態(tài)推理機(jī)、啟發(fā)式分析機(jī)和專(zhuān)家系統(tǒng)。（1）已知木馬查殺模型工作流程用戶(hù)啟動(dòng)程序，調(diào)用查殺引擎，查殺引擎首先調(diào)用動(dòng)態(tài)檢測(cè)模塊，如果發(fā)現(xiàn)木馬，先記住木馬文件存放位置，然后將木馬進(jìn)程殺掉，并清除注冊(cè)表中的相關(guān)鍵值，然后調(diào)用靜態(tài)檢測(cè)模塊，根據(jù)前面得到的木馬存放位置，找到木馬文件，并通過(guò)與查殺引擎交互，看是否需要隔離機(jī)的合作從而放入隔離庫(kù)中。（2）未知木馬檢測(cè)模型工作流程用戶(hù)啟動(dòng)程序，調(diào)用查殺引擎，查殺引擎首先調(diào)用動(dòng)態(tài)檢測(cè)模塊，如果未發(fā)現(xiàn)與已知木馬相符的信息，則調(diào)用動(dòng)態(tài)推理機(jī)，通過(guò)一定的推理規(guī)則進(jìn)行分析，并與專(zhuān)家系統(tǒng)聯(lián)系，自動(dòng)更新動(dòng)態(tài)行為庫(kù)和文件特征碼庫(kù)。有了新的庫(kù)之后，系統(tǒng)將再次調(diào)用查殺引擎重復(fù)上面的步驟。如果這個(gè)時(shí)候，還不能夠確定它是木馬，則詢(xún)問(wèn)用戶(hù)是否啟用啟發(fā)式分析機(jī)，如果用戶(hù)同意則調(diào)用啟發(fā)式分析機(jī)，對(duì)某些原始數(shù)據(jù)進(jìn)行分析，通過(guò)一定的過(guò)程處理之后，如果發(fā)現(xiàn)確實(shí)可疑，則通過(guò)信使向?qū)＜蚁到y(tǒng)發(fā)送文件信息、原始數(shù)據(jù)等信息。專(zhuān)家系統(tǒng)在對(duì)信使發(fā)送的數(shù)據(jù)實(shí)驗(yàn)分析之后，就可以做出一定的判斷，如果確定為新木馬，則需要對(duì)各個(gè)庫(kù)里的數(shù)據(jù)進(jìn)行更新。這樣之后，用戶(hù)就可以重復(fù)（1）中的步驟，對(duì)木馬實(shí)施相應(yīng)的處理4、CRC檢查。循環(huán)冗余校驗(yàn)CRC(CyclicRedundancyCheck)是對(duì)一個(gè)傳送數(shù)據(jù)塊進(jìn)行高效的差錯(cuò)控制方法。CRC掃描的原理是計(jì)算磁盤(pán)中的實(shí)際文件或系統(tǒng)扇區(qū)的CRC值(檢驗(yàn)和)，這些CRC值被殺毒軟件保存到自己的數(shù)據(jù)庫(kù)中，在運(yùn)行殺毒軟件時(shí)，用備份的CRC值與當(dāng)前計(jì)算的值比較，這樣就可以知道文件是否已經(jīng)修改或被病毒感染。5、解壓縮與去殼。病毒隱藏自身的方法有加殼和壓縮兩種方法。加殼是通過(guò)一系列的數(shù)學(xué)運(yùn)算，將可執(zhí)行程序或動(dòng)態(tài)鏈接文件的編碼進(jìn)行改變，以達(dá)到縮小程序體積或加密程序編碼的目的。病毒通過(guò)使用不同種類(lèi)或者不同版本的加殼軟件，對(duì)自身進(jìn)行加殼，使得殺毒軟件無(wú)法發(fā)現(xiàn)真正的病毒體，以逃避查殺。為了檢測(cè)已加殼的病毒，就必須要針對(duì)不同種類(lèi)和不同版本的殼編寫(xiě)脫殼程序，才可以發(fā)現(xiàn)殼內(nèi)隱藏的真正病毒體。所以，殺毒軟件對(duì)病毒的查殺能力在一定程度上取決于自身的脫殼能力。3.1.3防、治結(jié)合的反病毒技術(shù)

計(jì)算機(jī)病毒流行以來(lái)，市場(chǎng)上立即出現(xiàn)大量的反病毒軟件和硬件，它們采用的反病毒技術(shù)大致可以分為兩種基本類(lèi)型：一是治療型的，一是預(yù)防型的。治療型防病毒技術(shù)是根據(jù)已出現(xiàn)的各種具體計(jì)算機(jī)病毒的具體特征（如破壞引導(dǎo)區(qū)、破壞目錄區(qū)或增長(zhǎng)文件長(zhǎng)度等）設(shè)計(jì)具體的檢測(cè)病毒或殺病毒的軟件，這是一種針?shù)h相對(duì)的方法，出現(xiàn)一種病毒，研究一種防病毒軟件，效果明顯，但比較被動(dòng)和消極；預(yù)防性防病毒技術(shù)則是根據(jù)病毒的一般特征與行為規(guī)則來(lái)設(shè)計(jì)病毒檢測(cè)軟件，它常作為操作系統(tǒng)的一部分常駐內(nèi)存中，實(shí)時(shí)檢測(cè)病毒入侵操作系統(tǒng)的可能異常狀態(tài)而發(fā)現(xiàn)病毒，這種方法顯然具有更積極和主動(dòng)的反病毒作用，但難度較大。所以現(xiàn)在反病毒技術(shù)仍需從治療和預(yù)防兩者結(jié)合的方向發(fā)展。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，反病毒技術(shù)還應(yīng)根據(jù)具體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)特點(diǎn)進(jìn)行一體化的安排，如根據(jù)客戶(hù)機(jī)-服務(wù)器所用操作系統(tǒng)選擇或設(shè)計(jì)不同的反病毒軟件、在網(wǎng)絡(luò)通信卡中插入專(zhuān)門(mén)反病毒芯片、檢查可能通過(guò)網(wǎng)絡(luò)傳輸?shù)膸Р《疚募?。另外，無(wú)論采用哪一種反病毒技術(shù)還應(yīng)考慮不能過(guò)多影響網(wǎng)絡(luò)系統(tǒng)本身的開(kāi)銷(xiāo)，并注意反病毒軟件本身的抗病毒能力。3.1.4開(kāi)放的反病毒方向病毒和反病毒如同加密與解密一樣，是一個(gè)不斷對(duì)抗和發(fā)展的過(guò)程，舊的病毒被發(fā)現(xiàn)和清除，仍會(huì)不斷有新的病毒被制造出來(lái)。開(kāi)放的反病毒技術(shù)就是使反病毒具有自適應(yīng)病毒變化和更新的能力，例如設(shè)計(jì)病毒分析程序，在大量分析各種病毒特征及行為規(guī)則基礎(chǔ)上建立病毒數(shù)據(jù)庫(kù)，并在使用中向用戶(hù)開(kāi)放，不斷把新的病毒特征信息輸入以增強(qiáng)其抗病毒能力。3.2病毒的檢查計(jì)算機(jī)病毒發(fā)作后，必然會(huì)留下痕跡。所謂檢測(cè)計(jì)算機(jī)病毒，就是要到病毒寄生場(chǎng)所去檢查、發(fā)現(xiàn)異常情況，并最終確認(rèn)計(jì)算機(jī)病毒是否存在。病毒靜態(tài)時(shí)存儲(chǔ)于磁盤(pán)中，激活時(shí)駐留在內(nèi)存中。因此對(duì)計(jì)算機(jī)病毒的檢測(cè)分為對(duì)內(nèi)存的檢測(cè)和對(duì)磁盤(pán)的檢測(cè)。對(duì)磁盤(pán)進(jìn)行病毒檢測(cè)時(shí)，要求內(nèi)存中不帶病毒。因?yàn)槟承┯?jì)算機(jī)病毒會(huì)向檢測(cè)者報(bào)告假情況。從原始的、未受病毒感染的DOS系統(tǒng)軟盤(pán)啟動(dòng)，可以保證內(nèi)存中不帶病毒。啟動(dòng)必須是上電啟動(dòng)而不是熱啟動(dòng)，因?yàn)槟承┎《就ㄟ^(guò)截取鍵盤(pán)中斷，會(huì)將自己仍然駐留在內(nèi)存中。若要檢測(cè)硬盤(pán)中的病毒，則啟動(dòng)系統(tǒng)軟盤(pán)的DOS版本應(yīng)該等于或高于硬盤(pán)內(nèi)DOS系統(tǒng)的版本號(hào)。檢測(cè)磁盤(pán)中的病毒可分為檢測(cè)引導(dǎo)區(qū)型病毒和檢測(cè)文件型病毒。這兩種檢測(cè)從原理上來(lái)說(shuō)基本上是一樣的，但由于各自的存儲(chǔ)方式不同，檢測(cè)方法是有差別的。主要的病毒檢測(cè)方法有以下四種：3.2.1比較法比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單進(jìn)行比較，或用程序來(lái)進(jìn)行比較。這時(shí)不需要專(zhuān)用的查病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。此外，比較法還可以發(fā)現(xiàn)一些不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。病毒傳播速度很快，新病毒層出不窮。目前沒(méi)有，今后也不可能有通用的能查出一切病毒的查毒程序，因此，比較法是一種發(fā)現(xiàn)新病毒的重要方法。當(dāng)然，若比較法與其他方法結(jié)合使用效果會(huì)更好。使用比較法可以發(fā)現(xiàn)異常情況，比如，文件長(zhǎng)度的變化，或文件內(nèi)的程序代碼的變化等。對(duì)硬盤(pán)主引導(dǎo)區(qū)或?qū)OS的引導(dǎo)扇區(qū)進(jìn)行檢測(cè)，通過(guò)比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進(jìn)行比較，保留好原始備份是非常重要的。制作備份時(shí)必須在無(wú)病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管。比較法的優(yōu)點(diǎn)是：簡(jiǎn)單、方便和不需專(zhuān)用軟件。缺點(diǎn)是：無(wú)法確認(rèn)病毒的種類(lèi)名稱(chēng)。另外，造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是否真的有病毒。3.2.2搜索法搜索法是用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，則表明發(fā)現(xiàn)了該字符串所代表的病毒。搜索法所用的軟件叫病毒掃描軟件，它由兩部分組成：一部分是病毒代碼庫(kù)，含有經(jīng)過(guò)特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫(kù)進(jìn)行掃描的掃描程序。國(guó)內(nèi)常見(jiàn)的病毒掃描程序有我國(guó)公安部發(fā)行的SCAN．EXE和美國(guó)McAfeeAssociates的SCAN．EXE。病毒掃描程序能夠識(shí)別多少計(jì)算機(jī)病毒，完全取決于病毒代碼庫(kù)內(nèi)所含病毒的種類(lèi)。庫(kù)中病毒代碼種類(lèi)越多，掃描程序能辨認(rèn)出的病毒也就越多。病毒代碼串的選擇非常重要。病毒代碼長(zhǎng)度可以從短的100多個(gè)字節(jié)到長(zhǎng)的超過(guò)10KB。如果隨意從病毒體內(nèi)選一段代碼作為代表該病毒的特征代碼串，那么可能在不同的環(huán)境中，該特征串并不真正具有代表性。所以，病毒代碼庫(kù)的特征串是不能隨意選擇的。3.2.3特征字識(shí)別法計(jì)算機(jī)病毒的特征字識(shí)別法是基于特征串掃描法發(fā)展起來(lái)的一種新方法。它的工作速度更快、誤報(bào)警更少。特征字識(shí)別法只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來(lái)組成特征字庫(kù)。由于需要處理的字節(jié)很少，且又不必進(jìn)行串匹配，因此，大大加快了識(shí)別速度。當(dāng)被處理的程序很大時(shí)，特征字識(shí)別法的速度優(yōu)勢(shì)更突出?；谔卣鞔畳呙璺ǖ牟椴《拒浖c基于特征字識(shí)別法的查病毒軟件的使用方法是一樣的。只要運(yùn)行查毒程序，就能將已知的病毒檢查出來(lái)。將這兩種方法應(yīng)用到實(shí)際中，還需要不斷地對(duì)病毒庫(kù)進(jìn)行擴(kuò)充，一旦捕捉到新病毒，經(jīng)過(guò)提取特征并加入到病毒庫(kù)，就能使查病毒程序多檢查出一種新病毒來(lái)。使用查毒軟件的人，不需要了解太多的病毒知識(shí)。但病毒代碼庫(kù)的維護(hù)更新人員，卻需要具備相當(dāng)多的關(guān)于病毒和操作系統(tǒng)等方面的知識(shí)。3.2.4分析法這是一種主要由反病毒技術(shù)人員使用的方法，普通用戶(hù)不必使用。分析法的目的在于：（l）確認(rèn)被檢測(cè)的磁盤(pán)引導(dǎo)區(qū)和程序中是否真的含有病毒；（2）如果有病毒，則需要確認(rèn)病毒的類(lèi)型、種類(lèi)以及是否是新病毒；（3）如果是新病毒，則要搞清楚病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字符串或特征字，用于增添到病毒代碼庫(kù)供病毒掃描和識(shí)別程序用；（4）詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。使用分析法，要求使用者具有比較全面的有關(guān)PC機(jī)、DOS結(jié)構(gòu)和功能調(diào)用以及關(guān)于病毒方面的各種知識(shí)。同時(shí)，使用分析法，還需要DEBUG，PROVIEW對(duì)等分析用工具程序和專(zhuān)用的試驗(yàn)用計(jì)算機(jī)。因?yàn)?，即使是很熟練的反病毒技術(shù)人員，使用性能完善的分析軟件，也不能保證在短時(shí)間內(nèi)將病毒代碼完全分析清楚。而病毒有可能在被分析階段繼續(xù)傳染、發(fā)作，甚至把磁盤(pán)內(nèi)的數(shù)據(jù)完全毀壞掉，這就要求分析工作必須在專(zhuān)用計(jì)算機(jī)上進(jìn)行。病毒檢測(cè)的分析法是反病毒工作中不可缺少的重要技術(shù)，任何一個(gè)性能優(yōu)良的反病毒系統(tǒng)的研制和開(kāi)發(fā)都離不開(kāi)專(zhuān)門(mén)人員對(duì)各種病毒的詳盡而認(rèn)真的分析。常用的病毒檢查軟件可以分為以下幾類(lèi)：病毒掃描軟件。這類(lèi)軟件找到病毒的主要辦法之一就是尋找病毒特征。這些病毒特征能唯一地識(shí)別某種類(lèi)型的病毒。掃描軟件能在程序中尋找出病毒特征。判別病毒掃描軟件好壞的一個(gè)重要指標(biāo)就是“誤診”率。如果“誤診”率太高，就會(huì)帶來(lái)不必要的虛驚。掃描軟件必須隨時(shí)更新，因?yàn)樾碌牟《驹诓粩嘤楷F(xiàn)，而且有些病毒還具有變異性和多態(tài)性。完整性檢查軟件。此類(lèi)軟件可以用來(lái)監(jiān)視文件的改變。當(dāng)病毒破壞了用戶(hù)的文件，這種軟件就可以幫助用戶(hù)發(fā)現(xiàn)病毒。但這種軟件的缺點(diǎn)是只有在病毒產(chǎn)生了破壞作用之后，才可能發(fā)現(xiàn)病毒。因此，用戶(hù)的信息系統(tǒng)或網(wǎng)絡(luò)可能在完整性檢查軟件開(kāi)始檢測(cè)之前就已經(jīng)感染上了病毒。完整性檢查軟件的“誤診”率相對(duì)較高，比如，由于軟件的正常升級(jí)或程序設(shè)置的改變等原因都可以導(dǎo)致“誤診”。由于完整性檢查軟件主要檢查文件的改變，所以它們更適合于對(duì)付多態(tài)和變異病毒。行為封鎖軟件。此類(lèi)軟件有別于在文件中尋找或觀察文件被改變的軟件，它們?cè)噲D在病毒開(kāi)始工作時(shí)就阻止病毒。在異常事件發(fā)生前，行為封鎖軟件就可能會(huì)檢測(cè)到異常情況，并警告用戶(hù)。當(dāng)然，有時(shí)的“可疑行為”實(shí)際上是完全正常的，所以“誤診”總是難免的。比如，一個(gè)文件調(diào)用另一個(gè)可執(zhí)行文件就可能是存在伴隨型病毒的征兆，但也可能是某個(gè)軟件包要求的一種操作。3.3常見(jiàn)的病毒前綴的解釋?zhuān)ㄡ槍?duì)用得最多的Windows操作系統(tǒng)）1、系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過(guò)這些文件進(jìn)行傳播。如CIH病毒。2、蠕蟲(chóng)病毒蠕蟲(chóng)病毒的前綴是：Worm。這種病毒的公有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲(chóng)病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。3、木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶(hù)的系統(tǒng)并隱藏，然后向外界泄露用戶(hù)的信息，而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶(hù)的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶(hù)的電腦，而黑客病毒則會(huì)通過(guò)該木馬病毒來(lái)進(jìn)行控制?，F(xiàn)在這兩種類(lèi)型都越來(lái)越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有大家可能遇見(jiàn)比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如Trojan.LMir.PSW.60。這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么PWD之類(lèi)的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫(xiě)）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。4、腳本病毒腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè)時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5、宏病毒其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類(lèi)。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類(lèi)推。該類(lèi)病毒的公有特性是能感染OFFICE系列文檔，然后通過(guò)OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎(Macro.Melissa)。6、后門(mén)病毒后門(mén)病毒的前綴是：Backdoor。該類(lèi)病毒的公有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門(mén)，給用戶(hù)電腦帶來(lái)安全隱患。如54很多朋友遇到過(guò)的IRC后門(mén)Backdoor.IRCBot。7、病毒種植程序病毒這類(lèi)病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。8．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類(lèi)病毒的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)病毒時(shí)，病毒便會(huì)直接對(duì)用戶(hù)計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤(pán)（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。9．玩笑病毒玩笑病毒的前綴是：Joke。也稱(chēng)惡作劇病毒。這類(lèi)病毒的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶(hù)點(diǎn)擊，當(dāng)用戶(hù)點(diǎn)擊這類(lèi)病毒時(shí)，病毒會(huì)做出各種破壞操作來(lái)嚇唬用戶(hù)，其實(shí)病毒并沒(méi)有對(duì)用戶(hù)電腦進(jìn)行任何破壞。如：女鬼（Joke.Girlghost）病毒。10．捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：Binder。這類(lèi)病毒的公有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶(hù)運(yùn)行這些捆綁病毒時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶(hù)造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。以上為比較常見(jiàn)的病毒前綴，有時(shí)候還會(huì)看到一些其他的，但比較少見(jiàn)，這里簡(jiǎn)單提一下：DoS：會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；Exploit：會(huì)自動(dòng)通過(guò)溢出對(duì)方或者自己的系統(tǒng)漏洞來(lái)傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；HackTool：黑客工具，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來(lái)用你做替身去破壞別人。

第四章病毒案例分析4.1熊貓燒香病毒“武漢男生”，俗稱(chēng)“熊貓燒香”，這是一個(gè)感染型的蠕蟲(chóng)病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶(hù)的系統(tǒng)備份文件丟失。被感染的用戶(hù)系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。4.1.1病毒特征1:拷貝文件病毒運(yùn)行后,會(huì)把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe。2:添加注冊(cè)表自啟動(dòng)病毒會(huì)添加自啟動(dòng)項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe。3:病毒行為a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序：QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級(jí)兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊(cè)表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、esteemproces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戲木馬檢測(cè)大師、msctls_statusbar32、pjf(ustc)、IceSword。并使用的鍵盤(pán)映射的方法關(guān)閉安全軟件IceSword。添加注冊(cè)表使自己自啟動(dòng)HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Runsvcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系統(tǒng)中以下的進(jìn)程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exeb:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁(yè),并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行netshare命令關(guān)閉admin$共享。c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行netshare命令關(guān)閉admin$共享。d:每隔6秒刪除安全軟件在注冊(cè)表中的鍵值并修改以下值不顯示隱藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00刪除以下服務(wù):navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntorMskService、FireSvce:感染文件病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴(kuò)展名為htm,html,asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶(hù)一但打開(kāi)了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫(xiě)入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件：WINDOW、Winnt、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、CommonFiles、ComPlusApplications、Messenger、InstallShieldInstallationInformation、MSN、MicrosoftFrontpage、MovieMaker、MSNGaminZoneg:刪除文件病毒會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶(hù)的系統(tǒng)備份文件丟失。4.1.2病毒詳細(xì)行為復(fù)制自身到系統(tǒng)目錄下：%System%\drivers\spoclsv.exe；創(chuàng)建啟動(dòng)項(xiàng)：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"；在各分區(qū)根目錄生成病毒副本：X:\setup.exe、X:\autorun.inf；使用netshare命令關(guān)閉管理共享：cmd.exe/cnetshareX$/del/ycmd.exe/cnetshareadmin$/del/y修改“顯示所有文件和文件夾”設(shè)置：[HKEY_LOCAL_MACHINE\SOFTWARE\Micro