計(jì)算機(jī)病毒技術(shù)及其防御 課件 第3、4章-病毒分析平臺(tái)、計(jì)算機(jī)病毒誕生

惡

意

代

碼

原

理

與

防

范

MalwarePrinciples&Prevention計(jì)算機(jī)病毒技術(shù)及其防御

ComputerVirusTechnology&ItsDefense所用教材第三章ChapterThreeComputerVirusAnalysisPlatform計(jì)算機(jī)病毒分析平臺(tái)前言PREFACE作為一種特殊的計(jì)算機(jī)程序，計(jì)算機(jī)病毒同樣具備普通程序所具有的雙重屬性：靜態(tài)代碼屬性和動(dòng)態(tài)行為屬性。從靜態(tài)代碼的角度來(lái)看，計(jì)算機(jī)病毒是一種具有自我復(fù)制、感染影響其他文件的計(jì)算機(jī)程序；從動(dòng)態(tài)行為的角度來(lái)看，計(jì)算機(jī)病毒在開(kāi)啟執(zhí)行后會(huì)產(chǎn)生相應(yīng)的文件讀寫(xiě)、注冊(cè)表讀寫(xiě)、網(wǎng)絡(luò)連接、進(jìn)程加載等一系列與系統(tǒng)交互的相關(guān)動(dòng)態(tài)行為。為了全面、準(zhǔn)確地了解計(jì)算機(jī)病毒，預(yù)測(cè)評(píng)估其危害性，繼而研發(fā)相應(yīng)的反病毒技術(shù)，需要對(duì)其進(jìn)行全面、系統(tǒng)的分析。未經(jīng)審視分析的生活是無(wú)意義的?！畔ＥD·蘇格拉底1計(jì)算機(jī)病毒分析簡(jiǎn)介目錄2計(jì)算機(jī)病毒靜態(tài)分析3計(jì)算機(jī)病毒動(dòng)態(tài)分析4計(jì)算機(jī)病毒分析文檔1計(jì)算機(jī)病毒分析簡(jiǎn)介計(jì)算機(jī)病毒簡(jiǎn)介計(jì)算機(jī)病毒分析環(huán)境虛擬機(jī)環(huán)境創(chuàng)建計(jì)算機(jī)病毒的定義與屬性靜態(tài)代碼屬性動(dòng)態(tài)行為屬性計(jì)算機(jī)病毒是一種具有自我復(fù)制、感染影響其他文件的計(jì)算機(jī)程序；計(jì)算機(jī)病毒在開(kāi)啟執(zhí)行后會(huì)產(chǎn)生相應(yīng)的諸如文件讀寫(xiě)、注冊(cè)表讀寫(xiě)、網(wǎng)絡(luò)連接、進(jìn)程加載等一系列與系統(tǒng)交互的相關(guān)動(dòng)態(tài)行為。計(jì)算機(jī)病毒（ComputerVirus）指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)正常使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼?；A(chǔ)知識(shí)為什么需要全面分析計(jì)算機(jī)病毒?了解病毒獲得對(duì)計(jì)算機(jī)病毒更全面的認(rèn)知評(píng)估影響評(píng)估病毒入侵事件的危害性和影響研發(fā)反病毒技術(shù)助力長(zhǎng)期的反病毒技術(shù)研發(fā)如何全面分析計(jì)算機(jī)病毒?靜態(tài)代碼分析動(dòng)態(tài)行為監(jiān)視綜合分析結(jié)果提出方案在一個(gè)可控的虛擬環(huán)境中，使用相關(guān)靜態(tài)代碼分析軟件，對(duì)其進(jìn)行靜態(tài)代碼分析；在一個(gè)可控的虛擬環(huán)境中，使用相關(guān)的動(dòng)態(tài)行為監(jiān)視工具軟件對(duì)病毒樣本啟動(dòng)后執(zhí)行的動(dòng)態(tài)操作進(jìn)行記錄；對(duì)比分析動(dòng)態(tài)行為記錄和靜態(tài)代碼結(jié)果，洞悉其執(zhí)行邏輯、理解其運(yùn)行機(jī)理、評(píng)估其性質(zhì)及影響；最后，有針對(duì)性地提出殺滅清除方案。計(jì)算機(jī)病毒分析環(huán)境的要求由于計(jì)算機(jī)病毒的特殊性及可能因分析而導(dǎo)致的泄漏風(fēng)險(xiǎn)，對(duì)于計(jì)算機(jī)病毒的分析需要搭建一個(gè)可控的虛擬環(huán)境，再在其中安裝相關(guān)的分析工具，從靜態(tài)代碼、動(dòng)態(tài)行為兩方面去全面、系統(tǒng)分析計(jì)算機(jī)病毒。計(jì)算機(jī)病毒分析環(huán)境的組成系統(tǒng)環(huán)境分析工具虛擬機(jī)系統(tǒng)環(huán)境真實(shí)物理系統(tǒng)環(huán)境系統(tǒng)監(jiān)控軟件網(wǎng)絡(luò)監(jiān)控軟件系統(tǒng)分析軟件計(jì)算機(jī)病毒分析環(huán)境的組成--虛擬機(jī)系統(tǒng)環(huán)境虛擬機(jī)（VirtualMachine）是指通過(guò)軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在一個(gè)完全隔離環(huán)境中的完整計(jì)算機(jī)系統(tǒng)，即在當(dāng)前操作系統(tǒng)中虛擬出來(lái)的操作系統(tǒng)。通過(guò)虛擬機(jī)，我們可以在一臺(tái)物理計(jì)算機(jī)上模擬多臺(tái)虛擬的計(jì)算機(jī)，這些虛擬計(jì)算機(jī)所擁有的功能與我們的物理計(jì)算機(jī)幾乎沒(méi)有區(qū)別。基礎(chǔ)知識(shí)

虛擬機(jī)系統(tǒng)環(huán)境Docker容器虛擬技術(shù)VMWare虛擬機(jī)VirtulBox虛擬機(jī)PowerShadow系統(tǒng)產(chǎn)品虛擬化原理功能特點(diǎn)計(jì)算機(jī)病毒分析環(huán)境的組成--虛擬機(jī)系統(tǒng)環(huán)境產(chǎn)品功能特點(diǎn)產(chǎn)品功能特點(diǎn)VMware虛擬機(jī)系統(tǒng)簡(jiǎn)介VMWare是一家美國(guó)的虛擬軟件提供商，也是全球最為著名的虛擬機(jī)軟件公司，目前為EMC公司的全資子公司，成立于1998年。VMWare的產(chǎn)品包括：VMWareWorkstation、VMWarePlayer、VMWare服務(wù)器、VMWareESX服務(wù)器、VMWareESXi服務(wù)器、VMWare

vSphere、虛擬中心（VirtualCenter）等。VMware虛擬機(jī)系統(tǒng)簡(jiǎn)介VMWare虛擬機(jī)是一個(gè)虛擬PC軟件，它使一臺(tái)物理主機(jī)同時(shí)運(yùn)行二個(gè)或更多Windows、DOS、LINUX系統(tǒng)。VMWare虛擬機(jī)上的系統(tǒng)切換就像標(biāo)準(zhǔn)Windows應(yīng)用程序切換那樣簡(jiǎn)單。當(dāng)從GuestOS切換到HostOS屏幕之后，系統(tǒng)將自動(dòng)保存GuestOS上運(yùn)行的所有任務(wù)，以避免由于HostOS的崩潰，而損失GuestOS應(yīng)用程序中數(shù)據(jù)。而且每個(gè)操作系統(tǒng)都可以進(jìn)行虛擬的分區(qū)、配置而不影響真實(shí)硬盤(pán)的數(shù)據(jù)，甚至可以通過(guò)網(wǎng)卡將幾臺(tái)虛擬機(jī)用網(wǎng)卡連接為一個(gè)局域網(wǎng)，極其方便。VMware虛擬機(jī)原理VMware虛擬機(jī)系統(tǒng)簡(jiǎn)介（1）不需要分區(qū)或重啟就能在同一臺(tái)PC上使用兩種以上的操作系統(tǒng)；（2）完全隔離并且保護(hù)不同OS的操作環(huán)境以及所有安裝在OS上面的應(yīng)用軟件和資料；（3）不同的OS之間還能互動(dòng)操作，包括網(wǎng)絡(luò)、周邊、文件分享以及復(fù)制粘貼功能;（4）有還原（Undo）功能；（5）能夠設(shè)定并且隨時(shí)修改操作系統(tǒng)的操作環(huán)境，如：內(nèi)存、磁盤(pán)空間、周邊設(shè)備等。VMware虛擬機(jī)功能VirtulBox虛擬機(jī)系統(tǒng)簡(jiǎn)介2007年1月，InnoTek公司以GNU通用公共許可證（GPL）發(fā)布VirtualBox而成為自由軟件，并提供二進(jìn)制版本及開(kāi)放源代碼版本的代碼。2008年2月，InnoTek公司為Sun公司并購(gòu)。2010年1月，Oracle公司完成對(duì)Sun公司的收購(gòu)后，VirtualBox被更名為OracleVMVirtualBox，是Oracle公司xVM虛擬化平臺(tái)技術(shù)的一部份。VirtualBox可使用戶在32位或64位Windows、Solaris及Linux操作系統(tǒng)上虛擬其它x86操作系統(tǒng)。用戶可以在VirtualBox上安裝并且運(yùn)行Solaris、Windows、DOS、Linux、OS/2Warp、OpenBSD及FreeBSD等系統(tǒng)作為客戶端操作系統(tǒng)。VirtulBox虛擬機(jī)系統(tǒng)簡(jiǎn)介與同性質(zhì)的VMware及VirtualPC比較下，VirtualBox獨(dú)到之處包括遠(yuǎn)程桌面協(xié)議（RDP）、iSCSI及USB的支持，VirtualBox在客戶機(jī)操作系統(tǒng)上已可以支持USB2.0的硬件設(shè)備，不過(guò)要安裝VirtualboxExtensionPack。VirtulBox虛擬機(jī)系統(tǒng)簡(jiǎn)介VirtulBox虛擬機(jī)功能（1）支持64位客戶端操作系統(tǒng)，即使主機(jī)使用32位CPU。（2）支持SATA硬盤(pán)NCQ技術(shù)。（3）虛擬硬盤(pán)快照。（4）無(wú)縫視窗模式（須安裝客戶端驅(qū)動(dòng)）。（5）能夠在主機(jī)端與客戶端共享剪貼板（須安裝客戶端驅(qū)動(dòng)）。（6）在主機(jī)端與客戶端間創(chuàng)建共享文件夾（須安裝客戶端驅(qū)動(dòng)）。（7）內(nèi)置遠(yuǎn)程桌面服務(wù)器。（8）支持VMwareVMDK磁盤(pán)文件及VirtualPCVHD磁盤(pán)文件格式。（9）3D虛擬化技術(shù)支持OpenGL（2.1版后支持）、Direct3D（3.0版后支持）、WDDM。（10）最多虛擬32顆CPU（3.0版后支持）。（11）支持VT-x與AMD-V硬件虛擬化技術(shù)。（12）iSCSI支持、USB與USB2.0支持。PowerShadow影子系統(tǒng)PowerShadow影子系統(tǒng)，是北京堅(jiān)果比特科技有限公司（EnsurebitSoftwareInc.）推出的安全防護(hù)軟件。PowerShadow影子系統(tǒng)簡(jiǎn)介powershadow原理PowerShadow影子系統(tǒng)能實(shí)時(shí)生成在本機(jī)硬盤(pán)分區(qū)的一個(gè)影子，我們稱它為“影子模式”。影子模式和正常模式具有完全相同的結(jié)構(gòu)和功能，用戶可以在影子系統(tǒng)內(nèi)做任何在正常系統(tǒng)內(nèi)能做的一切事情。在正常模式和影子模式之間的實(shí)質(zhì)的差別是：一切在影子模式內(nèi)的操作，包括下載的那些文件，生成的文件資料或者更改的設(shè)定都會(huì)在退出影子模式時(shí)完全消失。影子模式可以絕對(duì)地保護(hù)電腦內(nèi)的所有數(shù)據(jù)并清除操作留下的任何痕跡。分析工具系統(tǒng)監(jiān)控工具網(wǎng)絡(luò)監(jiān)控工具系統(tǒng)分析工具XiaoMing計(jì)算機(jī)病毒分析環(huán)境的組成--分析工具程序行為監(jiān)控聯(lián)網(wǎng)行為監(jiān)控程序綜合分析計(jì)算機(jī)病毒分析環(huán)境的組成--分析工具名稱用途系統(tǒng)監(jiān)控軟件ProcessMonitor系統(tǒng)進(jìn)程監(jiān)視軟件，相當(dāng)于Filemon+Regmon，可監(jiān)控文件、注冊(cè)表、進(jìn)程等行為ProcessExplorer系統(tǒng)進(jìn)程監(jiān)視軟件，已經(jīng)并入ProcessMonitorRegshot注冊(cè)表快照比較工具網(wǎng)絡(luò)監(jiān)控工具TCPView端口和線程查看工具Wireshark網(wǎng)絡(luò)數(shù)據(jù)包捕獲與分析工具系統(tǒng)分析軟件Stud_PE查看和修改EXE、DLL等PE文件的可視化工具FinalRecovery數(shù)據(jù)恢復(fù)工具WinHex通用十六進(jìn)制編輯器，用于計(jì)算機(jī)取證、數(shù)據(jù)恢復(fù)、低級(jí)數(shù)據(jù)處理等IDAPro可編程、可擴(kuò)展的交互式多處理器反匯編程序WinDBGWindows系統(tǒng)中強(qiáng)大的內(nèi)核態(tài)調(diào)試工具計(jì)算機(jī)病毒靜態(tài)分析靜態(tài)分析簡(jiǎn)介反病毒引擎掃描查找字符串加殼與混淆PE文件格式檢測(cè)鏈接庫(kù)與函數(shù)2計(jì)算機(jī)病毒靜態(tài)分析簡(jiǎn)介定義目標(biāo)不執(zhí)行計(jì)算機(jī)病毒的情況下，對(duì)計(jì)算機(jī)病毒代碼和結(jié)構(gòu)進(jìn)行分析，以便理解其功能、發(fā)現(xiàn)其缺陷。靜態(tài)代碼分析側(cè)重于計(jì)算機(jī)病毒代碼指令與結(jié)構(gòu)功能的探究，是通過(guò)分析程序指令與結(jié)構(gòu)來(lái)確定功能的過(guò)程，旨在宏觀了解計(jì)算機(jī)病毒全貌與微觀理解計(jì)算機(jī)病毒指令結(jié)構(gòu)與功能?；A(chǔ)知識(shí)

計(jì)算機(jī)病毒靜態(tài)分析簡(jiǎn)介主要工作分析方法可借助反病毒引擎掃描識(shí)別計(jì)算機(jī)病毒家族和變種名，通過(guò)逆向工程分析計(jì)算機(jī)病毒代碼模塊構(gòu)成、內(nèi)部數(shù)據(jù)結(jié)構(gòu)、關(guān)鍵控制流程等以理解計(jì)算機(jī)病毒內(nèi)在機(jī)理，并可提取相關(guān)特征碼用于計(jì)算機(jī)病毒檢測(cè)防御。反病毒引擎掃描、病毒數(shù)字指紋識(shí)別、字符串查尋、加殼與混淆檢測(cè)、鏈接庫(kù)及函數(shù)發(fā)現(xiàn)、PE文件格式分析、反匯編逆向分析等計(jì)算機(jī)病毒靜態(tài)分析方法--(1)反病毒引擎掃描反病毒引擎是一種計(jì)算機(jī)程序或算法，旨在檢測(cè)、分析和清除計(jì)算機(jī)系統(tǒng)中的惡意軟件、病毒、間諜軟件和其他惡意代碼。它是計(jì)算機(jī)安全軟件中的重要組成部分，當(dāng)計(jì)算機(jī)上的文件或程序被掃描時(shí)，反病毒引擎會(huì)根據(jù)其內(nèi)部的病毒定義數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，以確認(rèn)是否存在已知的病毒或惡意代碼?；A(chǔ)知識(shí)

反病毒引擎掃描，是利用多種反病毒引擎來(lái)確認(rèn)計(jì)算機(jī)病毒樣本的惡意性。一般通過(guò)在線掃描站點(diǎn)上傳樣本文件，然后在線站點(diǎn)會(huì)調(diào)用多個(gè)反病毒引擎對(duì)上傳樣本進(jìn)行掃描，最終生成掃描評(píng)估報(bào)告，以幫助確定該樣本是否為計(jì)算機(jī)病毒樣本。計(jì)算機(jī)病毒靜態(tài)分析方法--(1)反病毒引擎掃描常用在線病毒掃描引擎1）VirusTotal2）VirSCAN3）微步在線云沙箱4）騰訊哈勃分析系統(tǒng)計(jì)算機(jī)病毒靜態(tài)分析方法--(1)反病毒引擎掃描一般在掃描完成后，會(huì)生成包括基本信息、關(guān)鍵行為、進(jìn)程行為、文件行為、網(wǎng)絡(luò)行為、注冊(cè)表行為及其他行為等在內(nèi)的病毒分析報(bào)告，有利于總體了解該病毒樣本文件的相關(guān)信息。VirusTotalVirusTotal不僅可掃描文件和URL，還可對(duì)網(wǎng)站、IP和域名進(jìn)行搜索分析。VirusTotal網(wǎng)址：/gui/home/uploadVirSCANVirSCAN支持任何文件，但文件大小限制在20MB以內(nèi)；支持RAR或ZIP格式的自動(dòng)解壓縮，但壓縮文件中不能包含超過(guò)20個(gè)文件。VirSCAN網(wǎng)址：https://www.virscan.org/微步在線云沙箱微步在線云沙箱不僅可分析文件，還可分析URL鏈接。如用郵箱注冊(cè)一個(gè)賬號(hào)，該賬號(hào)會(huì)保存所有的歷史分析記錄以便后續(xù)查詢。微步在線云沙箱網(wǎng)址：/騰訊哈勃分析系統(tǒng)騰訊哈勃分析系統(tǒng)支持多種文檔格式的分析，包括各種壓縮包、Office文檔、EXE可執(zhí)行文件等。該分析系統(tǒng)需要以QQ號(hào)登陸，最大支持30MB的文件上傳分析。騰訊哈勃分析系統(tǒng)網(wǎng)址：/字符串中包含很多與計(jì)算機(jī)病毒功能相關(guān)的重要提示信息，如輸出的消息、連接的URL、內(nèi)存地址、文件路徑、注冊(cè)表鍵值等。計(jì)算機(jī)病毒靜態(tài)分析方法--(2)查找字符串字符串定義：計(jì)算機(jī)病毒程序中的可打印字符序列。計(jì)算機(jī)病毒靜態(tài)分析方法--(2)查找字符串用于查尋字符串的工具很多，可使用微軟的SysinternalsSuite工具包中的Strings程序即可查尋計(jì)算機(jī)病毒樣本文件中的字符串。SysinternalsSuite工具包：/zh-cn/sysinternals/downloads/sysinternals-suite代碼混淆亦稱花指令，是將計(jì)算機(jī)程序的代碼，轉(zhuǎn)換成一種功能上等價(jià)，但是難于閱讀和理解的形式的行為，也是計(jì)算機(jī)病毒用以隱匿自身特征規(guī)避逆向分析的一種免殺技術(shù)。計(jì)算機(jī)病毒靜態(tài)分析方法--(3)加殼與混淆計(jì)算機(jī)病毒靜態(tài)分析方法--(3)加殼與混淆PEiD是一款用于檢測(cè)加殼或混淆的工具，在識(shí)別出加殼器后，再使用相應(yīng)的脫殼工具進(jìn)行脫殼處理，之后就可進(jìn)行正常的逆向分析。計(jì)算機(jī)病毒靜態(tài)分析方法--(4)PE文件格式檢測(cè)PE（PortableExecutable）文件格式，是Windows系統(tǒng)可執(zhí)行文件、對(duì)象代碼和DLL所使用的標(biāo)準(zhǔn)格式。PE文件格式其實(shí)是一種數(shù)據(jù)結(jié)構(gòu)，包含代碼信息、應(yīng)用程序類型、所需庫(kù)函數(shù)與空間要求等信息。計(jì)算機(jī)病毒靜態(tài)分析方法--(4)PE文件格式檢測(cè).text包含CPU的執(zhí)行指令，是唯一包含可執(zhí)行代碼的節(jié)。.data包含程序的全局?jǐn)?shù)據(jù)（本地?cái)?shù)據(jù)不存儲(chǔ)于此）。.reloc包含用于重定位文件庫(kù)的信息。.rdata通常包含導(dǎo)入導(dǎo)出的函數(shù)信息，還可存儲(chǔ)程序中的其他只讀數(shù)據(jù)。.rsrc包含可執(zhí)行文件使用的資源，其中的內(nèi)容并不能執(zhí)行，例如圖標(biāo)、菜單項(xiàng)、字符串等。其他：計(jì)算機(jī)病毒靜態(tài)分析方法--(4)PE文件格式檢測(cè)用于PE文件格式分析的工具很多，如Stud_PE工具能詳細(xì)列出可執(zhí)行文件的PE文件頭信息。計(jì)算機(jī)病毒靜態(tài)分析方法--(5)鏈接庫(kù)與函數(shù)什么是鏈接庫(kù)？鏈接庫(kù)就是指將庫(kù)文件編譯后打包為一個(gè)二進(jìn)制文件，這些二進(jìn)制文件會(huì)在程序調(diào)用的時(shí)候加載到內(nèi)存中。實(shí)際上，一個(gè)或多個(gè)源文件編譯為目標(biāo)文件后，這個(gè)文件中所引用的外部的符號(hào)需要通過(guò)鏈接來(lái)找到這部分缺失的地址。使用鏈接庫(kù)函數(shù)的方法有哪些？（1）靜態(tài)鏈接（2）運(yùn)行時(shí)鏈接（3）動(dòng)態(tài)鏈接基礎(chǔ)知識(shí)

靜態(tài)鏈接運(yùn)行時(shí)鏈接動(dòng)態(tài)鏈接計(jì)算機(jī)病毒靜態(tài)分析方法--(5)鏈接庫(kù)與函數(shù)--鏈接方式原理：將整個(gè)鏈接庫(kù)復(fù)制到可執(zhí)行文件中，以便程序在沒(méi)有提供該鏈接庫(kù)的機(jī)器上仍能正常運(yùn)行。特點(diǎn)：靜態(tài)鏈接方法會(huì)導(dǎo)致可執(zhí)行文件體積劇增，這對(duì)計(jì)算機(jī)病毒文件來(lái)說(shuō)是難以接受的。因此，計(jì)算機(jī)病毒很少會(huì)采用靜態(tài)鏈接方法調(diào)用函數(shù)。運(yùn)行時(shí)鏈接動(dòng)態(tài)鏈接計(jì)算機(jī)病毒靜態(tài)分析方法--(5)鏈接庫(kù)與函數(shù)--鏈接方式原理：在程序運(yùn)行后需要使用函數(shù)時(shí)才進(jìn)行鏈接，是一種按需鏈接的函數(shù)調(diào)用方法。特點(diǎn)：該方法通常使用兩個(gè)函數(shù)LoadLibrary()和GetProcAddress()訪問(wèn)所需鏈接庫(kù)中的函數(shù)，具有動(dòng)態(tài)靈活性，能使程序文件體積最小化，因而被計(jì)算機(jī)病毒廣泛采用。靜態(tài)鏈接動(dòng)態(tài)鏈接運(yùn)行時(shí)鏈接靜態(tài)鏈接計(jì)算機(jī)病毒靜態(tài)分析方法--(5)鏈接庫(kù)與函數(shù)--鏈接方式原理：指在程序加載運(yùn)行時(shí)由操作系統(tǒng)將所需的鏈接庫(kù)函數(shù)復(fù)制到用戶程序空間，以便程序使用相關(guān)函數(shù)調(diào)用。特點(diǎn)：該方法不會(huì)增加程序文件大小，但會(huì)增加程序運(yùn)行時(shí)內(nèi)存空間，部分計(jì)算機(jī)病毒也會(huì)采用這種方法調(diào)用函數(shù)。計(jì)算機(jī)病毒靜態(tài)分析方法--(5)鏈接庫(kù)與函數(shù)DependencyWalker工具（/）查詢計(jì)算機(jī)病毒樣本文件的鏈接庫(kù)函數(shù)列表及父子關(guān)系計(jì)算機(jī)病毒動(dòng)態(tài)分析注冊(cè)表快照對(duì)比進(jìn)程監(jiān)控程序調(diào)試監(jiān)控3計(jì)算機(jī)病毒動(dòng)態(tài)分析簡(jiǎn)介病毒動(dòng)態(tài)分析，是指在受控環(huán)境中真實(shí)運(yùn)行計(jì)算機(jī)病毒樣本，并通過(guò)相關(guān)工具監(jiān)控其進(jìn)程、文件、注冊(cè)表、網(wǎng)絡(luò)等多種行為，以更深入了解計(jì)算機(jī)病毒底層邏輯與內(nèi)在機(jī)理?；A(chǔ)知識(shí)

123注冊(cè)表快照進(jìn)程監(jiān)控程序調(diào)試監(jiān)控計(jì)算機(jī)病毒動(dòng)態(tài)分析方法動(dòng)態(tài)分析方法的三個(gè)關(guān)注點(diǎn)：注冊(cè)表是什么？注冊(cè)表是Windows系統(tǒng)中的一個(gè)核心數(shù)據(jù)庫(kù)，其中存放著各種參數(shù)，直接控制著Windows系統(tǒng)的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及Windows應(yīng)用程序的運(yùn)行，從而在整個(gè)系統(tǒng)中起著核心作用。計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(1)注冊(cè)表快照比對(duì)注冊(cè)表結(jié)構(gòu)基礎(chǔ)知識(shí)

計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(1)注冊(cè)表快照比對(duì)注冊(cè)表的五大根鍵Regshot工具可以保存計(jì)算機(jī)病毒運(yùn)行前后兩次注冊(cè)表快照，通過(guò)計(jì)算機(jī)病毒運(yùn)行前后的注冊(cè)表比對(duì)，能更快更準(zhǔn)確地確定具體的注冊(cè)表行為。對(duì)于計(jì)算機(jī)病毒而言，Windows系統(tǒng)注冊(cè)表是其絕佳的利用場(chǎng)所，可借此完成諸如隱匿自身、修改自啟動(dòng)項(xiàng)、關(guān)聯(lián)程序等多種功能。計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(1)注冊(cè)表快照比對(duì)進(jìn)程行為創(chuàng)建進(jìn)程；阻塞進(jìn)程；撤銷進(jìn)程；喚醒進(jìn)程等文件行為創(chuàng)建文件、復(fù)制文件、移動(dòng)文件、讀寫(xiě)文件、刪除文件等注冊(cè)表行為創(chuàng)建子鍵或主鍵，讀取子鍵或主鍵，修改子鍵或主鍵，刪除子鍵或主鍵等網(wǎng)絡(luò)行為信息探測(cè)行為(如端口和漏洞掃描)、信息欺騙行為(如ARP欺騙和IP劫持)、信息淹沒(méi)行為(如SYNFlood和DDOS攻擊)、信息偽傳遞行為(溢出攻擊、IMCP木馬、HTTP隧道木馬)計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(2)進(jìn)程行為監(jiān)控進(jìn)程行為監(jiān)控就是對(duì)運(yùn)行后的計(jì)算機(jī)病毒進(jìn)行動(dòng)態(tài)行為分析，包括進(jìn)程行為、文件行為、注冊(cè)表行為、網(wǎng)絡(luò)行為等。計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(2)進(jìn)程行為監(jiān)控微軟SysinternalsSuite工具包提供了很多系統(tǒng)監(jiān)控工具，利用ProcessMonitor能全面監(jiān)控進(jìn)程或線程創(chuàng)建行為、文件讀寫(xiě)行為、注冊(cè)表讀寫(xiě)行為、網(wǎng)絡(luò)連接行為等，較好地完成計(jì)算機(jī)病毒動(dòng)態(tài)行為分析。為什么要進(jìn)行程序調(diào)試監(jiān)控？前述的動(dòng)態(tài)行為監(jiān)控只能了解計(jì)算機(jī)病毒的具體行為，如要了解計(jì)算機(jī)病毒在運(yùn)行時(shí)的CPU內(nèi)部狀態(tài)以及為何會(huì)有這種行為，則需要對(duì)其進(jìn)行動(dòng)態(tài)程序調(diào)試。計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(3)程序調(diào)試監(jiān)控程序調(diào)試監(jiān)控可以獲得什么？借助程序動(dòng)態(tài)調(diào)試，可洞察計(jì)算機(jī)病毒在運(yùn)行過(guò)程中的行為以及產(chǎn)生該行為的原因，可查看并修改內(nèi)存地址的內(nèi)容、寄存器的內(nèi)容及函數(shù)參數(shù)信息。調(diào)試器的分類計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(3)程序調(diào)試監(jiān)控源代碼調(diào)試器匯編調(diào)試器程序調(diào)試的兩種模式計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(3)程序調(diào)試監(jiān)控（1）用戶模式在用戶模式下調(diào)試計(jì)算機(jī)病毒時(shí)，病毒程序與調(diào)試器處于相同的用戶模式。用戶態(tài)調(diào)試器通過(guò)操作系統(tǒng)提供的調(diào)試接口，在操作系統(tǒng)和用戶態(tài)程序之間針對(duì)用戶態(tài)程序進(jìn)行調(diào)試，常見(jiàn)的有各種開(kāi)發(fā)環(huán)境如VC/Delphi自帶的調(diào)試器，OllyDbg等等；（2）內(nèi)核模式需在兩個(gè)系統(tǒng)上進(jìn)行：一個(gè)系統(tǒng)運(yùn)行計(jì)算機(jī)病毒，另一個(gè)系統(tǒng)運(yùn)行內(nèi)核調(diào)試器，并通過(guò)開(kāi)啟操作系統(tǒng)的內(nèi)核調(diào)試功能將這兩個(gè)系統(tǒng)進(jìn)行連接。內(nèi)核態(tài)調(diào)試器直接工作在操作系統(tǒng)內(nèi)核一級(jí)，常見(jiàn)的有SoftICE、WinDbg、WDEB386和i386KD等等；用戶模式調(diào)試器--OllyDbgOllyDbg是一種具有可視化界面的32位匯編分析調(diào)試器，是一個(gè)新的動(dòng)態(tài)追蹤工具，將IDA與SoftICE結(jié)合起來(lái)的思想，非常容易上手，同時(shí)還支持插件擴(kuò)展功能，己成為當(dāng)今最為流行的調(diào)試工具。反匯編窗口數(shù)據(jù)窗口信息窗口寄存器窗口堆棧窗口WinDbg調(diào)試器WinDbg是一個(gè)功能非常強(qiáng)大的調(diào)試器。它支持多種調(diào)試任務(wù)，如用戶態(tài)調(diào)試、內(nèi)核態(tài)調(diào)試、轉(zhuǎn)儲(chǔ)文件調(diào)試和遠(yuǎn)程調(diào)試。與此同時(shí)WinDbg還具有很好的靈活性和可擴(kuò)展性。雖然是一個(gè)典型的GUI應(yīng)用程序，但是它的大多數(shù)調(diào)試功能還是以手工輸入命令的方式來(lái)工作的。加載被調(diào)試程序的兩種方式計(jì)算機(jī)病毒動(dòng)態(tài)分析方法--(3)程序調(diào)試監(jiān)控（1）利用調(diào)試器啟動(dòng)加載被調(diào)試程序。當(dāng)程序被加載后，會(huì)暫停于其入口點(diǎn)，等待接受調(diào)試器命令；（2）附加調(diào)試器到已運(yùn)行的程序上。當(dāng)調(diào)試器被附加到運(yùn)行的程序后，該程序的所有線程暫停運(yùn)行，等待調(diào)試器命令。4計(jì)算機(jī)病毒分析文檔計(jì)算機(jī)病毒樣本分析登記文檔計(jì)算機(jī)病毒樣本分析結(jié)果登記文檔計(jì)算機(jī)病毒分析報(bào)告計(jì)算機(jī)病毒分析文檔簡(jiǎn)介為詳盡、準(zhǔn)確地記錄計(jì)算機(jī)病毒分析實(shí)驗(yàn)結(jié)果，在完成計(jì)算機(jī)病毒分析平臺(tái)搭建和相關(guān)分析軟件安裝調(diào)試后，需要設(shè)計(jì)兩類格式的計(jì)算機(jī)病毒樣本記錄文檔：計(jì)算機(jī)病毒樣本分析記錄文檔計(jì)算機(jī)病毒樣本分析結(jié)果記錄文檔計(jì)算機(jī)病毒分析文檔--(1)計(jì)算機(jī)病毒樣本分析登記文檔設(shè)計(jì)目的主要內(nèi)容（1）記載計(jì)算機(jī)病毒樣本的詳細(xì)情況；（2）便于事后對(duì)計(jì)算機(jī)病毒樣本的分析。樣本名稱、樣本日期、樣本大小、樣本編號(hào)、樣本來(lái)源等信息計(jì)算機(jī)病毒分析文檔--(2)計(jì)算機(jī)病毒樣本分析結(jié)果登記文檔（1）記錄計(jì)算機(jī)病毒樣本分析結(jié)果；（2）為后續(xù)的修復(fù)方案提供參考信息。設(shè)計(jì)目的建議approach第一部分-計(jì)算機(jī)病毒概述簡(jiǎn)述該計(jì)算機(jī)病毒樣本的基本情況、感染情況和處理情況；計(jì)算機(jī)病毒分析文檔--(3)計(jì)算機(jī)病毒分析報(bào)告第二部分-計(jì)算機(jī)病毒行為預(yù)覽主要列舉出病毒名稱、病毒類型、病毒大小、傳播方式、相關(guān)文件、病毒具體行為、感染類型、開(kāi)發(fā)工具、加殼類型等有關(guān)病毒行為情況；第三部分-計(jì)算機(jī)病毒概述提出對(duì)于該病毒感染的逆向清除方法的建議概述overview行為behavior計(jì)算機(jī)病毒分析文檔--(3)計(jì)算機(jī)病毒分析報(bào)告本章回顧Reviewofthischapter123測(cè)試環(huán)境搭建分析工具安裝與配置靜態(tài)分析計(jì)算機(jī)病毒樣本動(dòng)態(tài)分析計(jì)算機(jī)病毒樣本結(jié)果處理與報(bào)告生成作業(yè)簡(jiǎn)述計(jì)算機(jī)病毒分析平臺(tái)的搭建（虛擬環(huán)境、分析工具）。2.利用反病毒引擎掃描、查找字符串、加殼與混淆、PE文件格式檢測(cè)、鏈接庫(kù)與函數(shù)等方法分析計(jì)算機(jī)病毒樣本。3.Sysinternals實(shí)用工具下載https:///zh-cn/sysinternals/downloads/Deadline：2023-10-23Email：344248003@ThankYou惡

意

代

碼

原

理

與

防

范

MalwarePrinciples&Prevention計(jì)算機(jī)病毒技術(shù)及其防御

ComputerVirusTechnology&ItsDefense第四章ChapterFourBirthofComputerViruses計(jì)算機(jī)病毒誕生前言PREFACE計(jì)算機(jī)病毒是網(wǎng)絡(luò)空間中一種可能的人工生命體，其本質(zhì)仍是程序員或程序設(shè)計(jì)團(tuán)隊(duì)在某種任務(wù)驅(qū)使下編寫(xiě)的一種程序代碼。因此，計(jì)算機(jī)病毒的誕生受制于程序設(shè)計(jì)過(guò)程中的個(gè)人和團(tuán)隊(duì)、經(jīng)濟(jì)、政治、軍事等多重因素。從某種意義上說(shuō)，計(jì)算機(jī)病毒的誕生是技術(shù)、人性、經(jīng)濟(jì)、政治、軍事等多重因素相互交織和不斷迭代的結(jié)果。本章將從程序設(shè)計(jì)生、軟件代碼復(fù)用、病毒生產(chǎn)機(jī)、ChatGPT生成病毒等方面探討計(jì)算機(jī)病毒的誕生。忽如一夜春風(fēng)來(lái)，千樹(shù)萬(wàn)樹(shù)梨花開(kāi)?！啤め瘏?計(jì)算機(jī)病毒簡(jiǎn)介目錄2程序設(shè)計(jì)生成3代碼復(fù)用4病毒生產(chǎn)機(jī)5ChatGPT生成病毒1CHAPTER計(jì)算機(jī)病毒簡(jiǎn)介計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒誕生途徑忽如一夜春風(fēng)來(lái),千樹(shù)萬(wàn)樹(shù)梨花開(kāi)。--唐?岑參計(jì)算機(jī)病毒定義與誕生途徑計(jì)算機(jī)病毒是網(wǎng)絡(luò)空間中的一種可能的人工生命體，但從本質(zhì)上說(shuō)則是程序員或程序設(shè)計(jì)團(tuán)隊(duì)在某種任務(wù)驅(qū)使下的一種程序代碼。因此，計(jì)算機(jī)病毒的誕生將受制于程序設(shè)計(jì)過(guò)程中的個(gè)人與團(tuán)隊(duì)、經(jīng)濟(jì)、政治、軍事等多重因素。從某種意義上說(shuō)，計(jì)算機(jī)病毒的誕生是技術(shù)、人性、經(jīng)濟(jì)、政治、軍事等多重因素的相互交織與不斷迭代的結(jié)果。本章將從程序設(shè)計(jì)、代碼復(fù)用、病毒生產(chǎn)機(jī)、ChatGPT生成病毒等方面探討計(jì)算機(jī)病毒誕生。代碼復(fù)用程序設(shè)計(jì)病毒生產(chǎn)機(jī)ChatGPT生成病毒程序設(shè)計(jì)生成編程心理學(xué)編程經(jīng)濟(jì)學(xué)2CHAPTER程序設(shè)計(jì)生成計(jì)算機(jī)病毒是一種程序代碼，而程序代碼的生成離不開(kāi)程序設(shè)計(jì)（或編程）。程序設(shè)計(jì)作為一項(xiàng)特殊的智力活動(dòng)，是程序員及其團(tuán)隊(duì)在某種任務(wù)驅(qū)使下的協(xié)作產(chǎn)物。作為程序設(shè)計(jì)（技術(shù)）的產(chǎn)物，計(jì)算機(jī)病毒的誕生自然受到人性、經(jīng)濟(jì)、政治、軍事等多重因素影響。本節(jié)將從編程心理學(xué)、編程經(jīng)濟(jì)學(xué)等維度探討計(jì)算機(jī)病毒誕生。1.程序設(shè)計(jì)程序設(shè)計(jì)編程心理學(xué)編程經(jīng)濟(jì)學(xué)程序設(shè)計(jì)生成計(jì)算機(jī)病毒是程序員個(gè)人或團(tuán)隊(duì)合作的智慧結(jié)晶，其誕生必然涉及人的認(rèn)知心理、編程語(yǔ)言、軟件開(kāi)發(fā)等多重因素。編程心理學(xué)就是從程序員視角探究計(jì)算機(jī)病毒誕生所涉及的軟件開(kāi)發(fā)活動(dòng)中人類認(rèn)知和協(xié)作的規(guī)律，以及心理學(xué)如何影響與協(xié)助軟件開(kāi)發(fā)。編程心理學(xué)的結(jié)構(gòu)如右圖所示。2.編程心理學(xué)編程心理學(xué)（摘自AlanBlackwell的《編程心理學(xué)50年》）程序設(shè)計(jì)生成2.1認(rèn)知心理作為軟件開(kāi)發(fā)中的程序員及其團(tuán)隊(duì)成員，多數(shù)人的編程行為或多或少會(huì)受其思維方式、生活習(xí)慣以及性格心理等因素影響。從個(gè)體的視角，多數(shù)程序員都有個(gè)人英雄主義傾向，自視甚高、傲視群倫乃至一意孤行、鋌而走險(xiǎn)。1989年誕生的首款勒索病毒“AIDS病毒”（如右圖所示），為美國(guó)動(dòng)物學(xué)家JosephPopp博士所設(shè)計(jì)編寫(xiě)。該勒索病毒被裝載在軟盤(pán)中分發(fā)給1989年國(guó)際艾滋病大會(huì)的與會(huì)者，約有7000家研究機(jī)構(gòu)的系統(tǒng)被感染。它通過(guò)修改AUTOEXEC.BAT文件以監(jiān)控DOS系統(tǒng)開(kāi)機(jī)次數(shù)，當(dāng)系統(tǒng)第90次開(kāi)機(jī)后，使用對(duì)稱密碼算法將C盤(pán)文件加密，并顯示具有威脅意味的“使用者授權(quán)合約（EULA）”來(lái)告知受害者，須給位于巴拿馬的郵政郵箱向PCCyborg公司寄送189美元贖金以恢復(fù)系統(tǒng)。盡管JosephPopp博士宣稱他計(jì)劃將收到的贖金捐贈(zèng)給專注于艾滋病治療的研究機(jī)構(gòu)，但后來(lái)還是被指控為非法集資而遭訴訟拘留。

誕生于1989年的首個(gè)勒索病毒“AIDS病毒”程序設(shè)計(jì)生成2.1認(rèn)知心理個(gè)人英雄主義在軟件開(kāi)發(fā)的早期階段或許是可行的，但隨著應(yīng)用的擴(kuò)展及程序規(guī)模的增長(zhǎng)，個(gè)人的局限性就逐漸顯現(xiàn)，任何個(gè)體已很難單獨(dú)完成某項(xiàng)軟件開(kāi)發(fā)任務(wù)。團(tuán)隊(duì)協(xié)作就是在此背景下產(chǎn)生。盡管軟件開(kāi)發(fā)團(tuán)隊(duì)是受某項(xiàng)任務(wù)驅(qū)使，但其本質(zhì)上仍是人的因素。如果以人為本組建軟件開(kāi)發(fā)團(tuán)隊(duì)，充分調(diào)動(dòng)人的積極性，盡量發(fā)揮人的主觀能動(dòng)性，那么這樣的團(tuán)隊(duì)將會(huì)所向披靡、戰(zhàn)無(wú)不勝，其所開(kāi)發(fā)的產(chǎn)品將出類拔萃。2010年偷襲伊朗布什爾核電站設(shè)施的“震網(wǎng)（Stuxnet）病毒”，導(dǎo)致伊朗核設(shè)施的鈾濃縮設(shè)備損壞，嚴(yán)重打擊并滯后了伊朗核計(jì)劃。據(jù)分析，震網(wǎng)（Stuxnet）病毒為美國(guó)和以色列聯(lián)合開(kāi)發(fā)，用于攻擊伊朗的工業(yè)基礎(chǔ)設(shè)施，阻止伊朗核計(jì)劃。在該病毒被發(fā)現(xiàn)之前，已潛伏于伊朗核設(shè)施系統(tǒng)中長(zhǎng)達(dá)5年之久。第一部分第二部分第三部分程序設(shè)計(jì)生成2.2編程語(yǔ)言計(jì)算機(jī)病毒是由程序員通過(guò)編程語(yǔ)言所編寫(xiě)的程序代碼。從這個(gè)意義上說(shuō)，任何編程語(yǔ)言都可用于編制計(jì)算機(jī)病毒。目前，編程語(yǔ)言種類繁多，用途各異，從計(jì)算機(jī)系統(tǒng)層次的角度可將編程語(yǔ)言劃分為3類：機(jī)器語(yǔ)言，匯編語(yǔ)言，高級(jí)語(yǔ)言。123機(jī)器語(yǔ)言匯編語(yǔ)言高級(jí)語(yǔ)言程序設(shè)計(jì)生成作為軟件開(kāi)發(fā)中的程序員及其團(tuán)隊(duì)成員，多數(shù)人的編程行為或多或少會(huì)受其思維方式、生活習(xí)慣以及性格心理等因素影響從個(gè)體的視角，多數(shù)程序員都有個(gè)人英雄主義傾向，自視高、傲視群倫乃至一意孤行、鋌而走險(xiǎn)。010203機(jī)器語(yǔ)言是計(jì)算機(jī)能直接識(shí)別的語(yǔ)言，無(wú)需翻譯，每一操作碼在計(jì)算機(jī)內(nèi)部都有相應(yīng)的電路來(lái)完成。機(jī)器語(yǔ)言使用的是絕對(duì)地址和絕對(duì)操作碼，是由“0”和“1”組成的二進(jìn)制數(shù)表示的一種指令序列。計(jì)算機(jī)發(fā)明之初，人們只能計(jì)算機(jī)的語(yǔ)言去命令計(jì)算機(jī)干這干那。向計(jì)算機(jī)每發(fā)出一條指令，就要寫(xiě)出一串串由“0”和“1”組成的指令序列。機(jī)器語(yǔ)言的優(yōu)點(diǎn)是直接執(zhí)行，速度快，資源占用少。機(jī)器語(yǔ)言的缺點(diǎn)是指令難讀、難編、難記、可移植性差且易出錯(cuò)。使用機(jī)器語(yǔ)言來(lái)編程無(wú)疑是繁瑣、繁重且痛苦的。為克服機(jī)器語(yǔ)言的上述局限性，人們引入一種替代方法：用助記符來(lái)代替操作碼，用符號(hào)代替地址。助記符是縮寫(xiě)的英文字符，與操作碼的功能相對(duì)應(yīng)；表示地址的符號(hào)即符號(hào)地址，由用戶根據(jù)需要來(lái)定。這種由助記符和符號(hào)組成的指令集合稱為匯編語(yǔ)言。匯編語(yǔ)言的源代碼必須經(jīng)過(guò)編譯、鏈接后才轉(zhuǎn)變?yōu)闄C(jī)器語(yǔ)言代碼，才能被計(jì)算機(jī)真正執(zhí)行。盡管匯編語(yǔ)言依賴于機(jī)器硬件，移植性欠佳，但其執(zhí)行效率頗高。針對(duì)計(jì)算機(jī)特定硬件而編制的匯編語(yǔ)言程序，能準(zhǔn)確發(fā)揮其硬件功能與特長(zhǎng)，匯編程序精煉而質(zhì)高，目前仍是一種常用而強(qiáng)有力的軟件開(kāi)發(fā)工具。不論是機(jī)器語(yǔ)言還是匯編語(yǔ)言，都是面向特定硬件的具體操作語(yǔ)言，因此機(jī)器依賴性大，且程序員須熟悉相關(guān)硬件結(jié)構(gòu)及其工作原理，這對(duì)非計(jì)算機(jī)專業(yè)人員是勉為其難，也不利于信息化推廣應(yīng)用。尋求一些與人類自然語(yǔ)言相接近且能為計(jì)算機(jī)所接受的語(yǔ)意確定、規(guī)則明確、自然直觀和通用易學(xué)的計(jì)算機(jī)語(yǔ)言，就勢(shì)在必行。這種與自然語(yǔ)言相近并為計(jì)算機(jī)所接受和執(zhí)行的計(jì)算機(jī)語(yǔ)言稱高級(jí)語(yǔ)言。高級(jí)語(yǔ)言是面向用戶的語(yǔ)言。無(wú)論何種類型的計(jì)算機(jī)，只要安裝相應(yīng)的高級(jí)語(yǔ)言的編譯或解釋程序，都可使用該高級(jí)語(yǔ)言編程。程序設(shè)計(jì)生成2.2編程語(yǔ)言目前，編程語(yǔ)言種類繁多，據(jù)說(shuō)有260多種，且仍有新的編程語(yǔ)言不斷出現(xiàn)。常用的編程語(yǔ)言主要有：C、C++、C#、Java、JavaScript、PHP、Python、Lisp、Haskell、Erlang、Ruby、Lua、MATLAB等等。PaulGraham認(rèn)為：編程語(yǔ)言是技術(shù)和宗教的混合物。言下之意就是程序員所用的編程語(yǔ)言與其宗教信仰存在一定程度的關(guān)聯(lián)性。有人試著整理過(guò)各大編程語(yǔ)言與宗教信仰的關(guān)系：C屬猶太教，Java屬天主教，C++屬伊斯蘭教，Lisp屬佛教禪宗，Haskell屬道教，Erlang屬印度教，Python屬自由派基督教，C#屬摩門(mén)教，Ruby屬新異教，Lua屬薩滿教等等。這提示，在進(jìn)行計(jì)算機(jī)病毒逆向分析時(shí)，通過(guò)找尋其源代碼所采用的編程語(yǔ)言，間接定位該病毒編程者的相關(guān)信息。程序設(shè)計(jì)生成2.3編程心理學(xué)研究機(jī)構(gòu)編程心理學(xué)興趣組PsychologyofProgrammingInterestGroup（PPIG）成立于1987年，旨在將來(lái)自不同社區(qū)的人們聚集在一起，探索編程心理學(xué)和心理學(xué)計(jì)算等方面的共同話題。該組織目前在全球約有300人，包括大學(xué)和行業(yè)的認(rèn)知科學(xué)家、心理學(xué)家、計(jì)算機(jī)科學(xué)家、軟件工程師、軟件開(kāi)發(fā)人員、HCI和UX研究人員。每年舉辦一次年度國(guó)際論壇，探討編程、心理學(xué)、音樂(lè)之間的糾纏和共振此類熱門(mén)話題，旨在為快速傳播成果、想法和語(yǔ)言或范式工具開(kāi)發(fā)，以避免會(huì)議和期刊的長(zhǎng)時(shí)間滯后。編程心理學(xué)興趣組PPIG的標(biāo)徽如圖所示。

PPIG組織的Logo程序設(shè)計(jì)生成2.3編程心理學(xué)研究機(jī)構(gòu)在編程系統(tǒng)用戶體驗(yàn)的分析與設(shè)計(jì)上，編程心理學(xué)提供了最重要的方法工具---「認(rèn)知維度框架」(CognitiveDimensionsFramework)。它提煉出了13個(gè)和復(fù)雜信息認(rèn)知處理相關(guān)的維度，并將程序員的編程活動(dòng)根據(jù)特點(diǎn)分成若干類型，然后分析不同活動(dòng)在不同維度上需要的支持，并與系統(tǒng)實(shí)際提供的支持進(jìn)行比較，便可評(píng)估在特定編程語(yǔ)言及系統(tǒng)中進(jìn)行不同活動(dòng)的順暢程度、愉悅程度等等體驗(yàn)指標(biāo)?！刚J(rèn)知維度框架」為我們探討編程活動(dòng)提供了一套科學(xué)的詞匯、語(yǔ)言、表達(dá)工具?！刚J(rèn)知維度框架」不光可以用來(lái)對(duì)已有系統(tǒng)的體驗(yàn)做深度分析，還能在其指導(dǎo)下為未來(lái)的系統(tǒng)設(shè)計(jì)出體驗(yàn)良好的方案——它既是一個(gè)分析工具，也是一個(gè)設(shè)計(jì)工具。程序設(shè)計(jì)生成3.編程經(jīng)濟(jì)學(xué)軟件開(kāi)發(fā)（編程）不僅是一項(xiàng)涉及心理因素的智力活動(dòng)，也是一項(xiàng)關(guān)乎經(jīng)濟(jì)利益的工程實(shí)踐。從計(jì)算機(jī)病毒誕生的視角來(lái)看，盡管軟件開(kāi)發(fā)（編程）實(shí)踐經(jīng)歷了如下階段：個(gè)人作坊式編程→團(tuán)隊(duì)協(xié)作編程→黑客產(chǎn)業(yè)鏈→軟件工程經(jīng)濟(jì)學(xué)，但每項(xiàng)軟件開(kāi)發(fā)（編程）活動(dòng)的背后，都有經(jīng)濟(jì)利益的影子在或明或暗地閃現(xiàn)。本節(jié)將探討經(jīng)濟(jì)利益因素在不同軟件開(kāi)發(fā)（編程）階段對(duì)計(jì)算機(jī)病毒誕生的影響。第一階段個(gè)人作坊式編程第二階段團(tuán)隊(duì)協(xié)作編程第三階段黑客產(chǎn)業(yè)鏈第四階段軟件工程經(jīng)濟(jì)學(xué)程序設(shè)計(jì)生成3.1個(gè)人作坊式編程此時(shí)，軟件開(kāi)發(fā)（編程）多出于個(gè)人愛(ài)好、對(duì)技術(shù)的熱忱與執(zhí)著，直接經(jīng)濟(jì)利益因素較少。如果說(shuō)確有經(jīng)濟(jì)利益因素的話，可以這樣理解：編程者憑借高超精湛的技術(shù)，開(kāi)發(fā)出一款公眾樂(lè)于使用的免費(fèi)軟件而獲得贊譽(yù)；后續(xù)不斷推陳出新、更新擴(kuò)展軟件捍衛(wèi)榮譽(yù)并通過(guò)積攢聲譽(yù)，編程者間接獲取相關(guān)經(jīng)濟(jì)利益。從時(shí)間軸視角來(lái)看，在計(jì)算機(jī)病毒發(fā)展初期，計(jì)算機(jī)病毒都是從個(gè)人作坊式編程中誕生的，純粹出于編程者對(duì)病毒技術(shù)及其應(yīng)用的好奇與炫耀。公眾驚訝與驚嘆的眼神與表情，是計(jì)算機(jī)病毒編制者能收獲的最好榮譽(yù)與心理成就感。計(jì)算機(jī)體系結(jié)構(gòu)一直沿襲了馮?諾依曼的“存儲(chǔ)程序”體系結(jié)構(gòu)，其核心思想是：將指導(dǎo)機(jī)器運(yùn)行的指令序列（程序）存儲(chǔ)在存儲(chǔ)器中，并使機(jī)器按照程序指令進(jìn)行有序運(yùn)行。在個(gè)人計(jì)算機(jī)（PersonalComputer，PC）誕生之前，計(jì)算機(jī)編程多由該領(lǐng)域?qū)＜也捎脵C(jī)器語(yǔ)言完成。隨著個(gè)人計(jì)算機(jī)的普及，越來(lái)越多的編程技術(shù)愛(ài)好者開(kāi)始涌入計(jì)算機(jī)編程領(lǐng)域，個(gè)人作坊式編程蔚然成風(fēng)。程序設(shè)計(jì)生成3.1個(gè)人作坊式編程1986年，首款計(jì)算機(jī)病毒---C-BRAIN病毒誕生于巴基斯坦巴斯特（Basit）和阿姆捷特（Amjad）兩兄弟共同經(jīng)營(yíng)的個(gè)人計(jì)算機(jī)雜貨店。由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，為了防止出售的軟件被任意盜拷，他們開(kāi)始學(xué)習(xí)編程并編寫(xiě)了C-BRAIN病毒（防盜拷程序），且在其出售的軟件中加入了C-BRAIN病毒代碼。只要有人盜拷他們出售的軟件，C-BRAIN病毒就會(huì)發(fā)作，將盜拷者的剩余硬盤(pán)空間全部用垃圾數(shù)據(jù)填滿。首款計(jì)算機(jī)病毒---C-BRAIN病毒誕生C-BRAIN病毒設(shè)置在拷貝程序時(shí)觸發(fā)，投入使用后就產(chǎn)生了效果，由于盜拷者的硬盤(pán)被直接填滿而無(wú)法繼續(xù)使用，一些人甚至親自登門(mén)道歉并請(qǐng)求修復(fù)他們的電腦。為了達(dá)到宣傳效果，兄弟倆還在C-BRAIN防盜拷程序中寫(xiě)入了一段說(shuō)明文字，包括其公司簡(jiǎn)介、電話、地址等信息。然而，意料不到是，他們接到的多是從世界各地打來(lái)的譴責(zé)電話，痛斥其防盜拷程序破壞了計(jì)算機(jī)數(shù)據(jù)。巴基斯坦兄弟倆憑借個(gè)人對(duì)編程技術(shù)的愛(ài)好及其對(duì)盜拷軟件的阻擊，編程實(shí)現(xiàn)C-BRAIN病毒代碼。C-BRAIN病毒不僅是真實(shí)計(jì)算機(jī)系統(tǒng)中的首個(gè)計(jì)算機(jī)病毒，還是將計(jì)算機(jī)病毒應(yīng)用于打擊盜版軟件的首次嘗試。程序設(shè)計(jì)生成3.2團(tuán)隊(duì)協(xié)作編程巴基斯坦兄弟倆憑借個(gè)人對(duì)編程技術(shù)的愛(ài)好及其對(duì)盜拷軟件的阻擊，編程實(shí)現(xiàn)C-BRAIN病毒代碼。C-BRAIN病毒不僅是真實(shí)計(jì)算機(jī)系統(tǒng)中的首個(gè)計(jì)算機(jī)病毒，還是將計(jì)算機(jī)病毒應(yīng)用于打擊盜版軟件的首次嘗試。由于DOS操作系統(tǒng)固有的“640kB”內(nèi)存局限性，包括計(jì)算機(jī)病毒在內(nèi)的所有計(jì)算機(jī)程序，在DOS系統(tǒng)中注定會(huì)體積不大，否則將導(dǎo)致內(nèi)存占用過(guò)大而無(wú)法運(yùn)行。因此，那時(shí)的計(jì)算機(jī)病毒體積小、功能單一，個(gè)人作坊式編程完全能夠應(yīng)付。隨著Windows95操作系統(tǒng)出現(xiàn)，原來(lái)DOS系統(tǒng)固有的局限已不復(fù)存在，每個(gè)進(jìn)程的可尋址的內(nèi)存空間多達(dá)4GB字節(jié)。進(jìn)程內(nèi)存空間的擴(kuò)展，給軟件功能的完善與擴(kuò)增提供了物質(zhì)條件，這從客觀上促進(jìn)了計(jì)算機(jī)病毒代碼行數(shù)的增長(zhǎng)，提高了計(jì)算機(jī)病毒編程開(kāi)發(fā)的難度與復(fù)雜度。單個(gè)程序員個(gè)人的力量畢竟有限，計(jì)算機(jī)病毒程序復(fù)雜度的提升促使有共同愛(ài)好的程序員抱團(tuán)組建開(kāi)發(fā)團(tuán)隊(duì)。在開(kāi)發(fā)團(tuán)隊(duì)中，每個(gè)程序員都各有分工，團(tuán)結(jié)協(xié)作共同完成某項(xiàng)特定計(jì)算機(jī)病毒程序。此后，各類以探討計(jì)算機(jī)病毒技術(shù)為組織相繼出現(xiàn)，并建立其相關(guān)的BBS、電子雜志以及技術(shù)網(wǎng)站，例如，29A、Phraze、VxHeaven、WildList、Vx-underground、VirusShare等。在這些國(guó)際知名的計(jì)算機(jī)病毒研究團(tuán)隊(duì)中，29A無(wú)疑最具代表性。程序設(shè)計(jì)生成3.2團(tuán)隊(duì)協(xié)作編程29A病毒組織的名稱來(lái)源于十進(jìn)制數(shù)666（對(duì)應(yīng)的十六進(jìn)制數(shù)為29A），該組織成立的確切日期目前未知。在1995年4月，VirusBuster開(kāi)始為其BBS公告板系統(tǒng)尋找專家，這也是最初的29A組織中的大多數(shù)成員開(kāi)始接觸的時(shí)間。1995年底，有三個(gè)永久參與者M(jìn)isterSandman、VirusBuster和GordonShumway，開(kāi)始分析病毒，尋找AV產(chǎn)品中的漏洞。1996年12月，該組織成員將其有關(guān)病毒新技術(shù)、病毒反匯編方法等研究發(fā)現(xiàn)編入第一期電子期刊29A-Ezine中。29A組織商定每年在圣地亞哥或馬德里開(kāi)會(huì)大約三次，并不定期發(fā)行有關(guān)病毒新技術(shù)的電子期刊。29A病毒組織的發(fā)展29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。程序設(shè)計(jì)生成3.2團(tuán)隊(duì)協(xié)作編程29A病毒組織的名稱來(lái)源于十進(jìn)制數(shù)666（對(duì)應(yīng)的十六進(jìn)制數(shù)為29A），該組織成立的確切日期目前未知。在1995年4月，VirusBuster開(kāi)始為其BBS公告板系統(tǒng)尋找專家，這也是最初的29A組織中的大多數(shù)成員開(kāi)始接觸的時(shí)間。1995年底，有三個(gè)永久參與者M(jìn)isterSandman、VirusBuster和GordonShumway，開(kāi)始分析病毒，尋找AV產(chǎn)品中的漏洞。1996年12月，該組織成員將其有關(guān)病毒新技術(shù)、病毒反匯編方法等研究發(fā)現(xiàn)編入第一期電子期刊29A-Ezine中。29A組織商定每年在圣地亞哥或馬德里開(kāi)會(huì)大約三次，并不定期發(fā)行有關(guān)病毒新技術(shù)的電子期刊。29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。簡(jiǎn)言之，團(tuán)隊(duì)協(xié)作編程模式至少?gòu)膬蓚€(gè)層面推動(dòng)了計(jì)算機(jī)病毒技術(shù)的極大發(fā)展：技術(shù)創(chuàng)新、團(tuán)隊(duì)管理。從技術(shù)創(chuàng)新層面來(lái)看，可謂“百花齊放，百家爭(zhēng)鳴”，是計(jì)算機(jī)病毒技術(shù)發(fā)展的黃金時(shí)代：各類病毒新技術(shù)層出不窮，實(shí)現(xiàn)方法多樣，構(gòu)思巧妙。從團(tuán)隊(duì)管理層面來(lái)看，已逐漸告別手工作坊式的粗放管理模式，開(kāi)始嘗試中小型規(guī)模的公司管理模式，以分工合作方式開(kāi)發(fā)功能繁多的復(fù)雜的計(jì)算機(jī)病毒程序。程序設(shè)計(jì)生成3.3黑客產(chǎn)業(yè)鏈29A病毒組織的名稱來(lái)源于十進(jìn)制數(shù)666（對(duì)應(yīng)的十六進(jìn)制數(shù)為29A），該組織成立的確切日期目前未知。在1995年4月，VirusBuster開(kāi)始為其BBS公告板系統(tǒng)尋找專家，這也是最初的29A組織中的大多數(shù)成員開(kāi)始接觸的時(shí)間。1995年底，有三個(gè)永久參與者M(jìn)isterSandman、VirusBuster和GordonShumway，開(kāi)始分析病毒，尋找AV產(chǎn)品中的漏洞。1996年12月，該組織成員將其有關(guān)病毒新技術(shù)、病毒反匯編方法等研究發(fā)現(xiàn)編入第一期電子期刊29A-Ezine中。29A組織商定每年在圣地亞哥或馬德里開(kāi)會(huì)大約三次，并不定期發(fā)行有關(guān)病毒新技術(shù)的電子期刊。29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。1986年，首款計(jì)算機(jī)病毒---C-BRAIN病毒誕生于巴基斯坦巴斯特（Basit）和阿姆捷特（Amjad）兩兄弟共同經(jīng)營(yíng)的個(gè)人計(jì)算機(jī)雜貨店。由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，為了防止出售的軟件被任意盜拷，他們開(kāi)始學(xué)習(xí)編程并編寫(xiě)了C-BRAIN病毒（防盜拷程序），且在其出售的軟件中加入了C-BRAIN病毒代碼。只要有人盜拷他們出售的軟件，C-BRAIN病毒就會(huì)發(fā)作，將盜拷者的“黑客”一詞來(lái)源于音譯“hacker”，最早出現(xiàn)于上世紀(jì)中葉的麻省理工學(xué)院（MIT），是指那些能夠用優(yōu)雅、機(jī)智或靈感的方式，使計(jì)算機(jī)高效工作的計(jì)算機(jī)專家。20世紀(jì)60年代，隨著一些計(jì)算機(jī)前沿成果從大學(xué)內(nèi)開(kāi)放研究環(huán)境轉(zhuǎn)移到軍方的保密研究環(huán)境下，程序員們意識(shí)到共享代碼自由、技術(shù)實(shí)施自由以及程序設(shè)計(jì)合作精神的重要意義，于是便開(kāi)始逐漸形成“分享、自由、免費(fèi)“的黑客精神和黑客倫理，分享自己的技術(shù)與研究成果，挑戰(zhàn)技術(shù)壁壘權(quán)威。剩余硬盤(pán)空間全部用垃圾數(shù)據(jù)填滿。首款計(jì)算機(jī)病毒---C-BRAIN病毒誕生C-BRAIN病毒設(shè)置在拷貝程序時(shí)觸發(fā)，投入使用后就產(chǎn)生了效果，由于盜拷者的硬盤(pán)被直接填滿而無(wú)法繼續(xù)使用，一些人甚至親自登門(mén)道歉并請(qǐng)求修復(fù)他們的電腦。為了達(dá)到宣傳效果，兄弟倆還在C-BRAIN防盜拷程序中寫(xiě)入了一段說(shuō)明文字，包括其公司簡(jiǎn)介、電話、地址等信息。然而，意料不到是，他們接到的多是從世界各地打來(lái)的譴責(zé)電話，痛斥其防盜拷程序破壞了計(jì)算機(jī)數(shù)據(jù)。黑客產(chǎn)業(yè)鏈發(fā)展010203“黑客”一詞來(lái)源于音譯“hacker”，最早出現(xiàn)于上世紀(jì)中葉的麻省理工學(xué)院（MIT），是指那些能夠用優(yōu)雅、機(jī)智或靈感的方式，使計(jì)算機(jī)高效工作的計(jì)算機(jī)專家。20世紀(jì)60年代，隨著一些計(jì)算機(jī)前沿成果從大學(xué)內(nèi)開(kāi)放研究環(huán)境轉(zhuǎn)移到軍方的保密研究環(huán)境下，程序員們意識(shí)到共享代碼自由、技術(shù)實(shí)施自由以及程序設(shè)計(jì)合作精神的重要意義，于是便開(kāi)始逐漸形成“分享、自由、免費(fèi)“的黑客精神和黑客倫理，分享自己的技術(shù)與研究成果，挑戰(zhàn)技術(shù)壁壘權(quán)威。隨著這種反叛精神逐步積累，加之20世紀(jì)70年代興起的鼓動(dòng)著犯罪黑客的亞文化出現(xiàn)，黑客們利用先進(jìn)技術(shù)潛入政府和企業(yè)等系統(tǒng)以達(dá)成獲利和破壞等目的，并創(chuàng)建技術(shù)援助計(jì)劃（TechnologyAssistancePlan，TAP）以及電子公告板系統(tǒng)（BulletinBoardSystem,bbs）用來(lái)傳播交流計(jì)算機(jī)技術(shù)乃至進(jìn)行盜版軟件的犯罪交易。而在隨著Internet技術(shù)、WIFI技術(shù)和筆記本電腦的迅速發(fā)展，在巨額利益驅(qū)動(dòng)下，研究黑客技術(shù)的團(tuán)體開(kāi)始?jí)汛?，黑客提供的產(chǎn)品和服務(wù)范圍不斷擴(kuò)大，黑客的攻擊分工也開(kāi)始細(xì)化。為了提高利潤(rùn)率和降低運(yùn)營(yíng)風(fēng)險(xiǎn)，黑客產(chǎn)業(yè)鏈開(kāi)始逐漸成形且進(jìn)一步分化，提出了“惡意軟件即服務(wù)（MaaS）“的模式，將實(shí)質(zhì)的入侵攻擊行為轉(zhuǎn)移到價(jià)值鏈另一端的“客戶“身上。與合法軟件行業(yè)一樣，如今黑客產(chǎn)業(yè)鏈不僅由技術(shù)人員組成，還包括具有各種專業(yè)技能的人員，他們提供各種差異化服務(wù)，如工程師，銷售人員，營(yíng)銷人員，技術(shù)支持等，乃至一些黑客產(chǎn)業(yè)鏈下游所需的犯罪技能。例如，非技術(shù)人員通常會(huì)使用竊取得來(lái)的身份、信用卡或銀行帳戶來(lái)購(gòu)買(mǎi)商品，從銀行帳戶中取款并洗錢(qián)。程序設(shè)計(jì)生成3.3黑客產(chǎn)業(yè)鏈29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。宏觀分析客觀分析從宏觀上，黑客儼然已經(jīng)形成了“黑客培訓(xùn)→編寫(xiě)病毒、漏洞發(fā)掘等工具開(kāi)發(fā)→實(shí)施入侵、控制、竊密等行為→利用獲得的信息資源進(jìn)一步犯罪（如攻擊、敲詐、買(mǎi)賣信息等）→銷贓變現(xiàn)→洗錢(qián)等環(huán)節(jié)“的大致產(chǎn)業(yè)鏈。黑客產(chǎn)業(yè)鏈大致分為上中下游：（1）產(chǎn)業(yè)鏈上游的主要是技術(shù)開(kāi)發(fā)產(chǎn)業(yè)部門(mén)，其中的“科研”人員進(jìn)行一些技術(shù)性研究工作，如研究開(kāi)發(fā)惡意軟件、編寫(xiě)病毒木馬、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞等，這部分人一般擁有較高的技術(shù)水平，接近于狹義上的黑客。（2）產(chǎn)業(yè)鏈的中游主要是執(zhí)行產(chǎn)業(yè)部門(mén)，其中的“生產(chǎn)”人員實(shí)施諸如病毒傳播、信息竊取、網(wǎng)絡(luò)攻擊等行為。（3）產(chǎn)業(yè)鏈的下游是銷贓產(chǎn)業(yè)部門(mén)，其中的“銷售”人員，進(jìn)行諸如販賣木馬、病毒，販賣肉雞、販賣個(gè)人信息資料、洗錢(qián)等行為。在現(xiàn)實(shí)利益的驅(qū)使下，黑客產(chǎn)業(yè)鏈不斷復(fù)用、改良、組合各種計(jì)算機(jī)病毒工具，黑客們不斷精進(jìn)各自的技術(shù)，并將大量的實(shí)踐結(jié)果反饋給此后的新型病毒開(kāi)發(fā)和使用，這從客觀上促使了新型計(jì)算機(jī)病毒的誕生與快速發(fā)展。程序設(shè)計(jì)生成3.4軟件工程經(jīng)濟(jì)學(xué)010203在程序設(shè)計(jì)階段，尚無(wú)軟件概念，程序設(shè)計(jì)無(wú)明確分工（開(kāi)發(fā)者和用戶）、追求節(jié)省空間和編程技巧，無(wú)文檔資料（除程序清單外），主要用于科學(xué)計(jì)算。在軟件設(shè)計(jì)階段，開(kāi)始廣泛使用產(chǎn)品軟件（可購(gòu)買(mǎi)），從而建立了軟件的概念。隨著計(jì)算機(jī)技術(shù)的發(fā)展和計(jì)算機(jī)應(yīng)用的日益普及，軟件系統(tǒng)的規(guī)模越來(lái)越龐大，高級(jí)編程語(yǔ)言層出不窮，應(yīng)用領(lǐng)域不斷拓寬，開(kāi)發(fā)者和用戶有了明確的分工，社會(huì)對(duì)軟件的需求量劇增。但由于軟件開(kāi)發(fā)技術(shù)沒(méi)有重大突破，軟件產(chǎn)品的質(zhì)量不高，生產(chǎn)效率低下，從而導(dǎo)致了“軟件危機(jī)”的產(chǎn)生。軟件設(shè)計(jì)階段軟件工程階段軟件是在程序設(shè)計(jì)發(fā)展到一定規(guī)模并且逐步商品化的過(guò)程中形成的，軟件開(kāi)發(fā)經(jīng)歷了程序設(shè)計(jì)、軟件設(shè)計(jì)和軟件工程等階段的演變過(guò)程。自1970年起，由于“軟件危機(jī)”的產(chǎn)生，迫使人們不得不研究、改變軟件開(kāi)發(fā)的技術(shù)手段和管理方法，軟件開(kāi)發(fā)才進(jìn)入了軟件工程階段。軟件工程的發(fā)展過(guò)程不僅有著管理、組織的問(wèn)題，也有經(jīng)濟(jì)問(wèn)題。如軟件開(kāi)發(fā)過(guò)程中成本和進(jìn)度估計(jì)往往不精確，軟件質(zhì)量與可靠性的概念十分可疑，如何來(lái)處理一些相互對(duì)立的軟件目標(biāo)，如成本、工期、可靠性等，軟件測(cè)試究竟需要多長(zhǎng)時(shí)間才能投放市場(chǎng)等等。程序設(shè)計(jì)階段程序設(shè)計(jì)生成3.4軟件工程經(jīng)濟(jì)學(xué)軟件工程經(jīng)濟(jì)學(xué)（SoftwareEngineeringEconomics,SEE）可理解為工程經(jīng)濟(jì)學(xué)與軟件工程的交叉學(xué)科。它是一門(mén)實(shí)現(xiàn)特定功能需求的軟件工程項(xiàng)目而提出的在技術(shù)方案、生產(chǎn)(開(kāi)發(fā))過(guò)程、產(chǎn)品或服務(wù)等方面所作的經(jīng)濟(jì)分析與論證、計(jì)算與比較的系統(tǒng)方法論學(xué)科。軟件工程經(jīng)濟(jì)學(xué)的研究?jī)?nèi)容大致包括：學(xué)科研究的對(duì)象、任務(wù)、特征、研究范圍和研究方法；軟件系統(tǒng)的內(nèi)部構(gòu)成要素和經(jīng)濟(jì)活動(dòng)及其關(guān)聯(lián)分析，如投資、成本、利潤(rùn)、效益、工期、效率、質(zhì)量及研制、開(kāi)發(fā)、維護(hù)、管理活動(dòng)及其關(guān)聯(lián)分析；軟件系統(tǒng)的組織結(jié)構(gòu)、管理決策及其與經(jīng)營(yíng)活動(dòng)的關(guān)系；軟件系統(tǒng)的物流、資金流、信息流的輸入與輸出及其對(duì)系統(tǒng)外部——國(guó)家、地區(qū)經(jīng)濟(jì)、社會(huì)、國(guó)防、人民生活的影響。從計(jì)算機(jī)病毒編程的角度來(lái)看，如以嚴(yán)格的軟件工程方法、遵循軟件工程經(jīng)濟(jì)學(xué)的各類管理規(guī)范，則團(tuán)隊(duì)開(kāi)發(fā)目的、方向、分工、階段計(jì)劃、成本估算、收益方案等都更清晰，整個(gè)過(guò)程近乎井然有序，團(tuán)隊(duì)的效率會(huì)變高，制作出來(lái)的計(jì)算機(jī)病毒也更有目的性、更具針對(duì)性、更難對(duì)付。軟件代碼復(fù)用代碼復(fù)用低代碼3CHAPTER軟件代碼復(fù)用軟件代碼復(fù)用是指從現(xiàn)有的軟件中創(chuàng)建軟件，而不是從頭開(kāi)始構(gòu)建軟件的過(guò)程?？杀粡?fù)用的工件類型并不局限于源代碼片段，還可包括設(shè)計(jì)結(jié)構(gòu)、模塊實(shí)現(xiàn)結(jié)構(gòu)、規(guī)范、文檔等等。軟件代碼復(fù)用這個(gè)概念于1968年北約軟件工程會(huì)議提出。這次會(huì)議集中討論了軟件危機(jī)：如何以一種具有成本效益的可控方式開(kāi)發(fā)可靠大型軟件的問(wèn)題。隨著計(jì)算機(jī)應(yīng)用領(lǐng)域的迅速擴(kuò)大，軟件規(guī)模及復(fù)雜性的不斷提高，軟件供求矛盾反而益加明顯地暴露出來(lái)，提高生產(chǎn)率成了軟件產(chǎn)業(yè)的當(dāng)務(wù)之急。代碼復(fù)用低代碼軟件代碼復(fù)用定義與分類相關(guān)研究報(bào)告指出：一個(gè)軟件系統(tǒng)中約有40%-60%的代碼都曾在其它相似軟件系統(tǒng)中重復(fù)過(guò)。經(jīng)濟(jì)學(xué)家的分析也表明，軟件開(kāi)發(fā)費(fèi)用是軟件規(guī)模的指數(shù)函數(shù)。顯然，若能使軟件規(guī)模減少一半，開(kāi)發(fā)軟件費(fèi)用將會(huì)大大小于一半。因此，軟件代碼重用被認(rèn)為是克服軟件危機(jī)的一種有效手段。目前，軟件代碼復(fù)用可分為代碼復(fù)用和低代碼兩種范式，它們均能從加快開(kāi)發(fā)速度、降低開(kāi)發(fā)成本、提高開(kāi)發(fā)效率等方面促進(jìn)包括計(jì)算機(jī)病毒在內(nèi)的軟件大力發(fā)展。軟件代碼復(fù)用1.1代碼復(fù)用程序代碼復(fù)用是軟件開(kāi)發(fā)中的關(guān)鍵技術(shù)，充分利用代碼復(fù)用技術(shù)不僅可以降低程序編寫(xiě)成本，更重要的是可以提高程序執(zhí)行效率。代碼復(fù)用一直是軟件開(kāi)發(fā)人員廣泛使用的一種高效的輔助開(kāi)發(fā)手段，復(fù)用的對(duì)象包括：相似功能模塊，代碼片段以及應(yīng)用編程接口（ApplicationProgrammingInterface，API）等不同粒度的代碼單元。在傳統(tǒng)的代碼復(fù)用方式中，開(kāi)發(fā)人員需要利用互聯(lián)網(wǎng)搜索引擎或企業(yè)代碼庫(kù)搜索等手段獲取特定領(lǐng)域的或與領(lǐng)域無(wú)關(guān)的可復(fù)用代碼單元，同時(shí)查找樣例代碼和文本解釋等幫助信息，在此基礎(chǔ)上選擇代碼單元，并完成修改和集成。軟件代碼復(fù)用1.1代碼復(fù)用代碼復(fù)用功能從復(fù)用的代碼功能來(lái)看，軟件開(kāi)發(fā)人員的代碼復(fù)用對(duì)象包括特定領(lǐng)域的共性代碼單元以及與領(lǐng)域無(wú)關(guān)的通用代碼單元。前者的復(fù)用范圍局限在特定領(lǐng)域內(nèi)，但與核心業(yè)務(wù)關(guān)系更密切，例如以代碼片段或功能模塊的形式出現(xiàn)的相似業(yè)務(wù)功能的代碼實(shí)現(xiàn)變體。后者的復(fù)用范圍更廣，但與核心業(yè)務(wù)關(guān)系較弱，如通用API及其使用模式，通用算法與功能實(shí)現(xiàn)等。從復(fù)用的代碼層級(jí)來(lái)看，軟件開(kāi)發(fā)人員的代碼復(fù)用對(duì)象包括代碼片段級(jí)別和功能模塊級(jí)別。軟件開(kāi)發(fā)人員經(jīng)常會(huì)實(shí)現(xiàn)相似或相同的功能，相應(yīng)的實(shí)現(xiàn)代碼也是相似的。這種代碼片段級(jí)別的復(fù)用行為在開(kāi)源和企業(yè)軟件開(kāi)發(fā)中十分普遍。在這種代碼復(fù)用中，開(kāi)發(fā)人員經(jīng)常需要對(duì)所復(fù)用的代碼進(jìn)行定制化修改。此外,在功能模塊級(jí)別上,開(kāi)發(fā)人員可能會(huì)通過(guò)代碼復(fù)制粘貼實(shí)現(xiàn)更大粒度的復(fù)用,其中隱含著對(duì)設(shè)計(jì)結(jié)構(gòu)的復(fù)用。代碼復(fù)用層級(jí)軟件代碼復(fù)用1.2計(jì)算機(jī)病毒代碼復(fù)用盡管計(jì)算機(jī)病毒的代碼重用可被基于簽名的檢測(cè)方法檢測(cè)出來(lái)，但卻可為攻擊者騰出時(shí)間執(zhí)行其它躲避檢測(cè)和提升攻擊效率的工作，從而開(kāi)發(fā)出更危險(xiǎn)的計(jì)算機(jī)病毒。攻擊者開(kāi)發(fā)惡意軟件時(shí)重用代碼有多種原因：首先，這樣做可以節(jié)約時(shí)間；其次，復(fù)制拷貝代碼可以為開(kāi)發(fā)人員騰出更多時(shí)間專注其它領(lǐng)域，例如逃避檢測(cè)，掩蓋歸因等；第三，在某些情況下，有時(shí)也許只有通過(guò)一種方法才能達(dá)到惡意目的，例如利用漏洞。計(jì)算機(jī)病毒作為一種軟件代碼實(shí)現(xiàn)，同樣存在代碼復(fù)用現(xiàn)象。原來(lái)的計(jì)算機(jī)病毒樣本只包含一個(gè)或幾個(gè)源代碼文件，通常用一種語(yǔ)言編程，最多有幾千個(gè)SLOC（sourcelinesofcode）計(jì)數(shù)。隨著計(jì)算機(jī)病毒數(shù)量和復(fù)雜性的激增，病毒樣本通常包含跨越各種語(yǔ)言的數(shù)百個(gè)源代碼文件，總的SLOC計(jì)數(shù)為數(shù)十甚至數(shù)十萬(wàn)。此外，F(xiàn)PC（function-pointcount）數(shù)也開(kāi)始激增，每年大約增長(zhǎng)13%。因此，可以認(rèn)為大多數(shù)計(jì)算機(jī)病毒不是從零開(kāi)始開(kāi)發(fā)的，而是使用之前編寫(xiě)的代碼并根據(jù)攻擊者的需要稍作修改而成。軟件代碼復(fù)用1.2計(jì)算機(jī)病毒代碼復(fù)用在計(jì)算機(jī)病毒樣本數(shù)據(jù)集中發(fā)現(xiàn)了相當(dāng)多的代碼重用實(shí)例，其長(zhǎng)度從幾行到幾千行的代碼都有。代碼復(fù)用的功能主要分為四種類型：代碼復(fù)用低代碼3.數(shù)據(jù)復(fù)用：有些復(fù)用不是代碼，而是出現(xiàn)在多個(gè)樣本中的數(shù)據(jù)，如密碼數(shù)組、進(jìn)程名稱和IP地址。一個(gè)例子是W32.Rbot和W32.LoexBot中都有的頻繁密碼陣列。另一個(gè)例子是在W32.Hunatchab和W32.Branko中發(fā)現(xiàn)的字符串列表，其中包含與不同的商業(yè)防病毒軟件相關(guān)的進(jìn)程名稱，表明它們同樣地試圖禁用這些軟件。此外，一些樣本還共享包含IP地址的字符串，例如，Sasser蠕蟲(chóng)和Dopebot僵尸網(wǎng)絡(luò)。2.核心組件：包括實(shí)現(xiàn)惡意功能的代碼，如用來(lái)初次感染的shellcodes、傳播例程、在受害者主機(jī)實(shí)現(xiàn)各種行為的代碼。例如，W32.Dopebot僵尸網(wǎng)絡(luò)包含利用CVE-2003-0533漏洞的shellcode，而同樣的shellcode在W32.Sasser蠕蟲(chóng)中也有發(fā)現(xiàn)。1.功能：如解包例程、多態(tài)引擎和終止防病毒進(jìn)程的代碼等。這方面最明顯的例子之一是W32.Cairuh蠕蟲(chóng)中包含的打包器，它與W32.Hexbot僵尸網(wǎng)絡(luò)共享。它的大小是22,709行，是在數(shù)據(jù)集中發(fā)現(xiàn)的最大代碼復(fù)用。另一個(gè)顯著的例子是Simile和Metaphor.1d病毒共享的變形引擎，由超過(guò)10,900行的匯編代碼組成。代碼復(fù)用功能4.數(shù)據(jù)結(jié)構(gòu)和相關(guān)函數(shù)：例如那些需要與PE或ELF文件、流行的通信協(xié)議或操作系統(tǒng)內(nèi)核進(jìn)行交互的API。相關(guān)代碼復(fù)用由數(shù)據(jù)結(jié)構(gòu)庫(kù)和相關(guān)函數(shù)組成，用于操作系統(tǒng)和網(wǎng)絡(luò)工件，如可執(zhí)行文件格式（PE和ELF）和通信協(xié)議（TCP、HTTP）和服務(wù)（SMTP、DNS）。還有一些代碼復(fù)用，包括與Windows內(nèi)核交互所需的幾個(gè)API函數(shù)的頭文件，如W32.Remhead和W32.Rovnix共享的3054行長(zhǎng)的代碼復(fù)用。軟件代碼復(fù)用1.2計(jì)算機(jī)病毒代碼復(fù)用2017年，土耳其安全研究人員出于教育的目的發(fā)布了兩款開(kāi)源勒索軟件變種：EDA2和Hidden-Tear。攻擊者很快使用源代碼創(chuàng)建自己的勒索軟件，有RANSOM_CRYPTEAR、MagicRansomware和KaoTear。這些變種大多使用相同的基本加密過(guò)程，只對(duì)勒索信、命令與控制連接稍作修改，以及在某些情況下會(huì)修改傳播程序。這些表明計(jì)算機(jī)病毒代碼復(fù)用已成其快速誕生的主要途徑之一。圖

勒索軟件變種軟件代碼復(fù)用2.低代碼巴基斯坦兄弟倆憑借個(gè)人對(duì)編程技術(shù)的愛(ài)好及其對(duì)盜拷軟件的阻擊，編程實(shí)現(xiàn)C-BRAIN病毒代碼。C-BRAIN病毒不僅是真實(shí)計(jì)算機(jī)系統(tǒng)中的首個(gè)計(jì)算機(jī)病毒，還是將計(jì)算機(jī)病毒應(yīng)用于打擊盜版軟件的首次嘗試。低代碼（LowCode）是一種可視化的應(yīng)用開(kāi)發(fā)方法，用較少的代碼、以較快的速度、較低的成本來(lái)交付應(yīng)用程序。低代碼是一套更高維和易用的可視化IDE開(kāi)發(fā)平臺(tái)，基于圖形化拖拽、參數(shù)化配置等更為高效的方式，實(shí)現(xiàn)快速構(gòu)建、數(shù)據(jù)編排、連接生態(tài)、中臺(tái)服務(wù)?；诳梢暬湍Ｐ万?qū)動(dòng)理念，結(jié)合最新的云原生與多端體驗(yàn)技術(shù)，低代碼能夠在合適的業(yè)務(wù)場(chǎng)景下實(shí)現(xiàn)大幅度的提效降本，為專業(yè)開(kāi)發(fā)者提供了一種全新的高生產(chǎn)力開(kāi)發(fā)范式（ParadigmShift）。另一方面，低代碼還能讓不懂代碼的業(yè)務(wù)人員成為所謂的平民開(kāi)發(fā)者（CitizenDeveloper），彌補(bǔ)日益擴(kuò)大的專業(yè)人才缺口，同時(shí)促成業(yè)務(wù)與技術(shù)深度協(xié)作的終極敏捷形態(tài)（BizDevOps）?？傊?，低代碼開(kāi)發(fā)平臺(tái)既能實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的快速交付，又能降低業(yè)務(wù)應(yīng)用的開(kāi)發(fā)成本，還能顯著降低開(kāi)發(fā)人員的使用門(mén)檻。非專業(yè)開(kāi)發(fā)者經(jīng)過(guò)簡(jiǎn)單的IT基礎(chǔ)培訓(xùn)就能快速上崗，既能充分調(diào)動(dòng)和利用企業(yè)現(xiàn)有的各方面人力資源，也能大幅降低對(duì)昂貴專業(yè)開(kāi)發(fā)者資源的依賴。軟件代碼復(fù)用2.低代碼29A病毒組織的名稱來(lái)源于十進(jìn)制數(shù)666（對(duì)應(yīng)的十六進(jìn)制數(shù)為29A），該組織成立的確切日期目前未知。在1995年4月，VirusBuster開(kāi)始為其BBS公告板系統(tǒng)尋找專家，這也是最初的29A組織中的大多數(shù)成員開(kāi)始接觸的時(shí)間。1995年底，有三個(gè)永久參與者M(jìn)isterSandman、VirusBuster和GordonShumway，開(kāi)始分析病毒，尋找AV產(chǎn)品中的漏洞。1996年12月，該組織成員將其有關(guān)病毒新技術(shù)、病毒反匯編方法等研究發(fā)現(xiàn)編入第一期電子期刊29A-Ezine中。29A組織商定每年在圣地亞哥或馬德里開(kāi)會(huì)大約三次，并不定期發(fā)行有關(guān)病毒新技術(shù)的電子期刊。29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。由此可知，低代碼開(kāi)發(fā)范式的出現(xiàn)，能有效降低計(jì)算機(jī)病毒開(kāi)發(fā)成本且可實(shí)現(xiàn)快速交付，這對(duì)于新變種計(jì)算機(jī)病毒的誕生意義非凡。其一，可實(shí)現(xiàn)計(jì)算機(jī)病毒的全棧式可視化編程，覆蓋計(jì)算機(jī)病毒開(kāi)發(fā)所涉及的各技術(shù)層面（界面/數(shù)據(jù)/邏輯）。其二，可實(shí)現(xiàn)計(jì)算機(jī)病毒的全生命周期管理，從設(shè)計(jì)階段開(kāi)始，歷經(jīng)開(kāi)發(fā)、構(gòu)建、測(cè)試和部署，以及各種運(yùn)維和運(yùn)營(yíng)。其三，可實(shí)現(xiàn)計(jì)算機(jī)病毒的低代碼擴(kuò)增能力，在原有病毒代碼基礎(chǔ)上通過(guò)少量的代碼擴(kuò)展，即可實(shí)現(xiàn)其他功能與應(yīng)用。病毒生產(chǎn)機(jī)4CHAPTER病毒生產(chǎn)機(jī)29A病毒組織的名稱來(lái)源于十進(jìn)制數(shù)666（對(duì)應(yīng)的十六進(jìn)制數(shù)為29A），該組織成立的確切日期目前未知。在1995年4月，VirusBuster開(kāi)始為其BBS公告板系統(tǒng)尋找專家，這也是最初的29A組織中的大多數(shù)成員開(kāi)始接觸的時(shí)間。1995年底，有三個(gè)永久參與者M(jìn)isterSandman、VirusBuster和GordonShumway，開(kāi)始分析病毒，尋找AV產(chǎn)品中的漏洞。1996年12月，該組織成員將其有關(guān)病毒新技術(shù)、病毒反匯編方法等研究發(fā)現(xiàn)編入第一期電子期刊29A-Ezine中。29A組織商定每年在圣地亞哥或馬德里開(kāi)會(huì)大約三次，并不定期發(fā)行有關(guān)病毒新技術(shù)的電子期刊。29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。計(jì)算機(jī)病毒作為一種程序代碼，需要開(kāi)發(fā)人員耗費(fèi)大量時(shí)間通過(guò)程序設(shè)計(jì)編寫(xiě)而成。在計(jì)算機(jī)病毒早期階段，通常借由這種方式產(chǎn)生新病毒或病毒變種。后來(lái)，由于軟件工程經(jīng)濟(jì)學(xué)的發(fā)展，黑客認(rèn)為這樣產(chǎn)生病毒的速度太慢且不經(jīng)濟(jì)，根本無(wú)法抵御反病毒技術(shù)的查殺，更談不上以此而獲利。此時(shí)，擺在黑客面前的殘酷事實(shí)是：能否實(shí)現(xiàn)計(jì)算機(jī)病毒的批量大規(guī)模生產(chǎn)？從根本上扭轉(zhuǎn)與反病毒技術(shù)作戰(zhàn)的戰(zhàn)略劣勢(shì)？病毒現(xiàn)狀

病毒生產(chǎn)機(jī)29A成立后，逐漸聚集了當(dāng)時(shí)世界知名的病毒研究者，例如，Dos/Win16病毒編寫(xiě)者Ginger和Rainbow，世界上第一個(gè)使用循環(huán)分區(qū)技巧的聯(lián)合病毒作者Orsam，世界上第一個(gè)XMS(擴(kuò)展內(nèi)存）交換病毒的發(fā)明者JohnGalt，世界上第一個(gè)使用線程局部存儲(chǔ)用作復(fù)制的病毒作者Shrug，世界上第一個(gè)使用VisualBisic5/6語(yǔ)言擴(kuò)展用作復(fù)制的病毒的作者OU812，世界上第一個(gè)本地可執(zhí)行的病毒的作者Chthon，世界上第一個(gè)使用進(jìn)程相互協(xié)作防止被中止的病毒的作者Gemini，世界上第一個(gè)使用多態(tài)SMTP報(bào)頭的病毒的作者JunkMail，世界上第一個(gè)能轉(zhuǎn)換任何數(shù)據(jù)文件到感染對(duì)象的病毒的作者Pretext，世界上第一個(gè)32/64位寄生EPO.NET病毒的作者Croissant，世界上第一個(gè)使用自身執(zhí)行的HTML病毒的作者JunktmaiL等等。病毒生產(chǎn)機(jī)（VirusGenerator）是為應(yīng)對(duì)上述局面而創(chuàng)新出來(lái)的一種計(jì)算機(jī)病毒誕生新方法新機(jī)制，能在短時(shí)間內(nèi)生成大量同族病毒，在數(shù)量和特征碼方面超越反病毒技術(shù)，使其應(yīng)接不暇難以勝券在握。所謂病