人機(jī)交互智能安全第3講

第二章經(jīng)典信息安全2.1信息安全發(fā)展

古語(yǔ)曰：知人則哲，知史則智。整個(gè)信息安全的防御與對(duì)抗正是這句話的形象闡述。了解信息安全的歷史，了解黑客的行為對(duì)于現(xiàn)代社會(huì)的人們來(lái)說(shuō)成了一項(xiàng)不可或缺的基本功。由于信息技術(shù)互聯(lián)網(wǎng)技術(shù)深入到人們生活的方方面面，為了自身的安全，也為了整個(gè)網(wǎng)絡(luò)空間的健康發(fā)展，我們有必要深入學(xué)習(xí)信息安全技術(shù)。

縱觀歷史，信息安全的概念與內(nèi)涵隨著時(shí)間推移不斷更新。隨著電子獲取、攜帶與傳輸?shù)挠臃奖?，它所帶?lái)的安全保障問(wèn)題也更為多見(jiàn)，信息介質(zhì)從有形到無(wú)形的改變使得隱秘性增加。

中投顧問(wèn)在《2016-2020年中國(guó)信息安全產(chǎn)業(yè)投資分析及前景預(yù)測(cè)報(bào)告》中指出，信息安全是隨著信息技術(shù)的發(fā)展而發(fā)展，總體來(lái)說(shuō)大致經(jīng)歷了4個(gè)時(shí)期。

第一個(gè)時(shí)期是通信安全時(shí)期，其主要標(biāo)志是1949年香農(nóng)發(fā)表的《保密通信的信息理論》。這個(gè)時(shí)期通信技術(shù)還不發(fā)達(dá)，電腦只是零散地位于不同的地點(diǎn)，信息系統(tǒng)的安全僅限于保證電腦的物理安全以及通過(guò)密碼解決通信安全的保密問(wèn)題，密碼技術(shù)獲得發(fā)展，歐美國(guó)家有了信息安全產(chǎn)業(yè)的萌芽。

第二個(gè)時(shí)期為計(jì)算機(jī)安全時(shí)期，以二十世紀(jì)70-80年代《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》(TCSEC)為標(biāo)志。半導(dǎo)體和集成電路技術(shù)的飛速發(fā)展推動(dòng)了計(jì)算機(jī)軟、硬件的發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用進(jìn)人了實(shí)用化和規(guī)?；A段。人們對(duì)安全的關(guān)注已經(jīng)逐漸擴(kuò)展為以保密性、完整性和可用性為目標(biāo)，中國(guó)信息安全開(kāi)始起步，關(guān)注物理安全、計(jì)算機(jī)病毒防護(hù)等。

第三個(gè)時(shí)期是在二十世紀(jì)90年代興起的網(wǎng)絡(luò)時(shí)代。由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息無(wú)論是企業(yè)內(nèi)部還是外部都得到了極大的開(kāi)放，而信息安全的焦點(diǎn)已經(jīng)從傳統(tǒng)的保密性、完整性和可用性三個(gè)原則衍生為諸如可控性、抗抵賴性、真實(shí)性等其他的原則和目標(biāo)。中國(guó)安全企業(yè)研發(fā)的防火墻、入侵檢測(cè)、安全評(píng)估、安全審計(jì)、身份認(rèn)證與管理等產(chǎn)品與服務(wù)百花齊放，百家爭(zhēng)鳴。

第四個(gè)時(shí)期是進(jìn)入二十一世紀(jì)的信息安全保障時(shí)代，其主要標(biāo)志是《信息保障技術(shù)框架》(IATF)。面向業(yè)務(wù)的安全防護(hù)已經(jīng)從被動(dòng)走向主動(dòng)，安全保障理念從風(fēng)險(xiǎn)承受模式走向安全保障模式。不斷出現(xiàn)的安全體系與標(biāo)準(zhǔn)、安全產(chǎn)品與技術(shù)帶動(dòng)信息安全行業(yè)形成規(guī)模，入侵防御、下一代防火墻、APT攻擊檢測(cè)、MSS/SaaS服務(wù)等新技術(shù)、新產(chǎn)品、新模式走上舞臺(tái)。

總體來(lái)說(shuō)，中國(guó)信息安全市場(chǎng)與成熟的歐美市場(chǎng)相比，從安全體系與標(biāo)準(zhǔn)，到安全產(chǎn)品與技術(shù)，還有一定差距，當(dāng)前國(guó)家重視、資本追逐為中國(guó)安全企業(yè)提供一個(gè)很好的追趕國(guó)際領(lǐng)先企業(yè)的機(jī)會(huì)。

信息安全行業(yè)的上游主要為軟件及工控設(shè)備，其供給及價(jià)格變化直接影響行業(yè)的成本和利潤(rùn)；下游需求市場(chǎng)則包括各級(jí)渠道合作伙伴以及以政府、電信、金融、能源、軍隊(duì)、軍工等為代表的各行業(yè)用戶在信息化建設(shè)中的信息安全保障需求，包括國(guó)家基礎(chǔ)設(shè)施領(lǐng)域、電子政務(wù)領(lǐng)域、電子商務(wù)領(lǐng)域、產(chǎn)業(yè)信息化領(lǐng)域和城市信息化領(lǐng)域。中國(guó)計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的發(fā)展可以分為以下三個(gè)階段。(1)宣傳啟蒙階段(70-80年代)： 1986年中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)的正式成立，1987年國(guó)家信息中心信息安全處等專門安全機(jī)構(gòu)的成立，從一個(gè)側(cè)面反映中國(guó)的計(jì)算機(jī)安全事業(yè)的起步。

這個(gè)階段的典型特征是國(guó)家尚沒(méi)有相應(yīng)的的法律法規(guī)，和完整的計(jì)算機(jī)系統(tǒng)安全規(guī)章，安全標(biāo)準(zhǔn)也比較少，缺少國(guó)家統(tǒng)一管理，只是在物理安全及保密通信等個(gè)別環(huán)節(jié)上有些規(guī)定；同時(shí)因?yàn)榛ヂ?lián)網(wǎng)并沒(méi)有大量普及，所以整體網(wǎng)絡(luò)安全意識(shí)淡薄。(2)法規(guī)初設(shè)階段(80-90年代)

從八十年代末以后，隨著我國(guó)計(jì)算機(jī)應(yīng)用的迅速拓展，各個(gè)行業(yè)、企業(yè)的安全需求也開(kāi)始顯現(xiàn)。除了此前已經(jīng)出現(xiàn)的病毒問(wèn)題，內(nèi)部信息泄漏和系統(tǒng)宕機(jī)等成為企業(yè)不可忽視的問(wèn)題。此外，九十年代初，世界信息技術(shù)革命使許多國(guó)家把信息化作為國(guó)策，美國(guó)“信息高速公路”等政策也讓中國(guó)意識(shí)到了信息化的重要性，在此背景下我國(guó)信息化開(kāi)始進(jìn)入較快發(fā)展期，中國(guó)的計(jì)算機(jī)安全事業(yè)也開(kāi)始起步。這個(gè)時(shí)期一個(gè)典型的標(biāo)志是--關(guān)于計(jì)算機(jī)安全的法律法規(guī)開(kāi)始出現(xiàn)。1994年公安部頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，這是我國(guó)第一個(gè)計(jì)算機(jī)安全方面的法律，較全面地從法規(guī)角度闡述了關(guān)于計(jì)算機(jī)信息系統(tǒng)安全相關(guān)的概念、內(nèi)涵、管理、監(jiān)督、責(zé)任。同時(shí)金融與稅務(wù)等企事業(yè)單位開(kāi)始把信息安全作為系統(tǒng)建設(shè)中的重要內(nèi)容之一來(lái)對(duì)待，加大投入，專設(shè)安全部門來(lái)保障信息安全。(3)步入正軌階段(90年代至今) 1999年國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理協(xié)調(diào)小組和2001年國(guó)務(wù)院信息化工作辦公室成立專門的小組負(fù)責(zé)網(wǎng)絡(luò)與信息安全相關(guān)事宜的協(xié)調(diào)、管理與規(guī)劃，是國(guó)家信息安全走向正軌的重要標(biāo)志。與此同時(shí)，國(guó)家在信息安全的法律、規(guī)章、原則、方針上都有對(duì)應(yīng)措施。

同時(shí)，這個(gè)階段安全產(chǎn)業(yè)和市場(chǎng)開(kāi)始迅速發(fā)展，增長(zhǎng)速度明顯加快。1998年中國(guó)信息安全市場(chǎng)銷售額僅4.5億元人民幣左右，之后十年以驚人的速度發(fā)展，至2012年，市場(chǎng)預(yù)計(jì)接近300億元左右。

從安全發(fā)展史來(lái)看，防御工作其實(shí)一直都是在被動(dòng)局面下的轉(zhuǎn)變過(guò)程。面對(duì)安全威脅的層出不窮，想做到完全的主動(dòng)防御是相對(duì)困難的，這也正是業(yè)內(nèi)人士不斷努力的方向。

2.1.1物聯(lián)網(wǎng)存在的攻擊 2014年，全球發(fā)生了首例物聯(lián)網(wǎng)攻擊案例。黑客通過(guò)智能電視、冰箱以及無(wú)線揚(yáng)聲器發(fā)起攻擊，10余萬(wàn)臺(tái)互聯(lián)網(wǎng)“智能”家電在黑客的操控下構(gòu)成了一個(gè)惡意網(wǎng)絡(luò)，并在兩周時(shí)間內(nèi)向那些毫無(wú)防備的受害者發(fā)送了約75萬(wàn)封網(wǎng)絡(luò)釣魚(yú)郵件。2016年10月21日，網(wǎng)絡(luò)攻擊者用木馬病毒“Mirai”感染超過(guò)10萬(wàn)個(gè)物聯(lián)網(wǎng)終端設(shè)備，網(wǎng)絡(luò)攝像頭與硬盤錄像(DVR)設(shè)備，通過(guò)這些看似與網(wǎng)絡(luò)安全無(wú)關(guān)的硬件設(shè)備，向其提供動(dòng)態(tài)DNS服務(wù)的DynDNS公司發(fā)動(dòng)了DDoS(DistributedDenialofService分布式拒絕服務(wù)攻擊)攻擊造成美國(guó)超過(guò)半個(gè)互聯(lián)網(wǎng)癱瘓了6個(gè)小時(shí)。2019年萬(wàn)豪國(guó)際酒店表示，大數(shù)據(jù)泄露事件影響到的客戶數(shù)量3.83億，其中有超過(guò)500萬(wàn)個(gè)未加密的護(hù)照號(hào)碼和大約860萬(wàn)個(gè)加密信用卡號(hào)碼被盜。

下圖給出了攻擊者可能采用的具體攻擊方法，包括監(jiān)聽(tīng)，截獲數(shù)據(jù)，篡改，偽造數(shù)據(jù)等。攻擊者可能對(duì)網(wǎng)絡(luò)每一層協(xié)議漏洞或軟件缺陷等加以攻擊。

信息技術(shù)的高速發(fā)展給安全研究者帶來(lái)了新的挑戰(zhàn)。移動(dòng)互聯(lián)網(wǎng)和大數(shù)據(jù)的連接，使得信息科技工作者也更多地關(guān)注如何能夠有效地提高網(wǎng)絡(luò)安全性，包括傳統(tǒng)有線和智能無(wú)線網(wǎng)絡(luò)的物理層安全設(shè)計(jì)，網(wǎng)絡(luò)層安全規(guī)劃，深入分析攻擊者的行為模式和常用攻擊手段，及時(shí)填補(bǔ)系統(tǒng)漏洞，升級(jí)系統(tǒng)硬件和軟件設(shè)計(jì)，改善用戶體驗(yàn)，增強(qiáng)用戶信賴度，進(jìn)一步促進(jìn)整個(gè)行業(yè)的良性和規(guī)范化發(fā)展。下圖中進(jìn)一步展示了在物聯(lián)網(wǎng)中可能遭受到的網(wǎng)絡(luò)攻擊多樣化。2.1.2物聯(lián)網(wǎng)的防御體系

如圖

給出我國(guó)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全的防御體系架構(gòu)。物聯(lián)網(wǎng)的安全包括三大體系：基礎(chǔ)理論體系、技術(shù)理論體系與應(yīng)用理論體系。

作為一種多網(wǎng)絡(luò)融合的網(wǎng)絡(luò)，物聯(lián)網(wǎng)安全涉及到各個(gè)網(wǎng)絡(luò)的不同層次，在這些獨(dú)立的網(wǎng)絡(luò)中已實(shí)際應(yīng)用了多種安全技術(shù)。

物聯(lián)網(wǎng)應(yīng)用不僅面臨信息采集的安全性，也要考慮到信息傳送的私密性，要求信息不能被篡改和非授權(quán)用戶使用，同時(shí)，還要考慮到網(wǎng)絡(luò)的可靠、可信和安全。物聯(lián)網(wǎng)能否大規(guī)模推廣應(yīng)用，很大程度上取決于其是否能夠保障用戶數(shù)據(jù)和穩(wěn)私的安全。

數(shù)據(jù)處理過(guò)程中涉及到基于位置的服務(wù)與在信息處理過(guò)程中的隱私保護(hù)問(wèn)題?；谖恢梅?wù)中的隱私內(nèi)容涉及兩個(gè)方面，一是位置隱私，二是查詢隱私。2.1.3物聯(lián)網(wǎng)安全模型

物聯(lián)網(wǎng)的應(yīng)用中伴隨著安全問(wèn)題，輕則穩(wěn)私泄露，重則毀損基礎(chǔ)設(shè)施。信息復(fù)制的成本很低，而物理世界的克隆成本很高，特別是涉及到人身安全時(shí)更是無(wú)法彌補(bǔ)。物聯(lián)網(wǎng)的感知層、傳輸層、處理層都面臨著不同的安全隱患，面對(duì)各種常見(jiàn)的安全隱患，需要針對(duì)性地采用相應(yīng)的安全策略和解決思路，以便保障物聯(lián)網(wǎng)安全地運(yùn)行。

物聯(lián)網(wǎng)主要由傳感器、傳輸系統(tǒng)(泛在網(wǎng))，以及處理系統(tǒng)三個(gè)要素組成。物理安全：即傳感器的安全(包括對(duì)傳感器的干擾、屏蔽、信號(hào)截獲等)，是物聯(lián)網(wǎng)的特殊性的體現(xiàn)。運(yùn)行安全：存在于各個(gè)要素中，涉及到傳感器、傳輸系統(tǒng)及處理系統(tǒng)的正常運(yùn)行，與傳統(tǒng)信息系統(tǒng)安全基本相同。數(shù)據(jù)安全：存在于各個(gè)要素中，涉及到傳感器、傳輸系統(tǒng)、處理系統(tǒng)中的信息不會(huì)被竅取、被篡改、被抵賴等。2.2信息安全關(guān)鍵技術(shù)2.2.1病毒機(jī)理與防御

病毒是一類特殊的程序代碼，通常在用戶不知曉也未經(jīng)授權(quán)的情況下潛入到計(jì)算機(jī)系統(tǒng)中，對(duì)系統(tǒng)產(chǎn)生不良影響。

在信息系統(tǒng)安全的反復(fù)博弈中，惡意代碼花樣不斷翻新，種類不斷增加。其中，最多見(jiàn)的是病毒(virus)、蠕蟲(chóng)(worm)、特洛伊木馬(Trojanhorse)、細(xì)菌(bacteria)、陷門(trapdoors)、僵尸(bot)等。它們的區(qū)別主要是存在形式、自繁殖性、傳播機(jī)制、運(yùn)行機(jī)制和攻擊機(jī)制等方面。下表為幾種典型惡意代碼的主要區(qū)別。惡意代碼存在形式自繁殖性傳播機(jī)制運(yùn)行機(jī)制攻擊機(jī)制病毒寄生有文件感染傳播自主運(yùn)行，條件觸發(fā)文件感染蠕蟲(chóng)獨(dú)立有利用網(wǎng)絡(luò)，主動(dòng)傳播自主運(yùn)行消耗資源加惡意行為特洛伊木馬欺騙性，獨(dú)立無(wú)被植入受控運(yùn)行竊取網(wǎng)絡(luò)信息細(xì)菌獨(dú)立有自傳播自主運(yùn)行消耗計(jì)算機(jī)資源一、病毒及其特征1)病毒的概念

在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中，明確定義為：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?/p>

通常，人們也簡(jiǎn)單地把計(jì)算機(jī)病毒定義為：利用計(jì)算機(jī)軟件與硬件的缺陷，破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼。更廣義地說(shuō)，凡是能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序代碼都可稱為計(jì)算機(jī)病毒。2)病毒的特征(1)隱藏性,病毒程序代碼駐留在磁盤等媒體上，無(wú)法以操作系統(tǒng)提供的文件管理方法觀察到。(2)傳染性,當(dāng)用戶利用磁盤片、網(wǎng)絡(luò)等載體交換信息時(shí)，病毒程序趁機(jī)以用戶不能察覺(jué)的方式隨之傳播。(3)潛伏性，病毒程序感染正常的計(jì)算機(jī)之后，一般不會(huì)立即發(fā)作，而是潛伏下來(lái)，等到激發(fā)條件(如日期、時(shí)間、特定的字符串等)滿足時(shí)才產(chǎn)生破壞作用。(4)破壞性，當(dāng)病毒程序發(fā)作時(shí)，通常會(huì)在屏幕上輸出一些不正常的信息，同時(shí)破壞數(shù)據(jù)文件和程序。(5)非授權(quán)執(zhí)行性與寄生性,一個(gè)正常的程序是由用戶調(diào)用的。被調(diào)用時(shí)，要從系統(tǒng)獲得控制權(quán)，得到系統(tǒng)分配的相應(yīng)資源，來(lái)實(shí)現(xiàn)用戶要求的任務(wù)。二、

計(jì)算機(jī)病毒發(fā)展史1)病毒誕生

計(jì)算機(jī)病毒這個(gè)概念的原型首次提出于1949年，當(dāng)時(shí)第一部商用計(jì)算機(jī)尚未出現(xiàn)。馮·諾依曼在《復(fù)雜自動(dòng)機(jī)組織論》上提出了最初的計(jì)算機(jī)病毒的概念：一種能夠在內(nèi)存中自我復(fù)制的計(jì)算機(jī)程序。該理論成為計(jì)算機(jī)病毒發(fā)展的理論基礎(chǔ)。 1960年，美國(guó)的約翰·康維編寫了一個(gè)稱為“生命游戲”程序，他的游戲程序運(yùn)行時(shí)，會(huì)在屏幕上生成許多“生命元素”圖案。這些元素圖案會(huì)不斷地發(fā)展變化，如果屏幕上的元素圖案過(guò)多而填滿屏幕時(shí)，有些元素圖案會(huì)因缺少生存空間而死亡；如果元素圖案過(guò)于稀疏，則會(huì)由于相互隔絕失去生命支持系統(tǒng)，也會(huì)死亡。這個(gè)游戲首次實(shí)現(xiàn)了程序自我復(fù)制技術(shù)，能夠自我復(fù)制并進(jìn)行傳播。2)初始作俑 1977年夏天，托馬斯·捷·瑞安的科幻小說(shuō)《P-1的青春》成為美國(guó)的暢銷書，轟動(dòng)了科幻界。作者幻想世界上第一個(gè)計(jì)算機(jī)病毒，可以從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)，最終控制了7000臺(tái)計(jì)算機(jī)，釀成了一場(chǎng)災(zāi)難。而真正的計(jì)算機(jī)病毒是在1983年的一次安全討論會(huì)上提出來(lái)的。弗雷德·科恩博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼將它命名為計(jì)算機(jī)病毒。專家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行第一個(gè)病毒試驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)試驗(yàn)的演示，從而在實(shí)驗(yàn)室中驗(yàn)證了計(jì)算機(jī)病毒的存在。實(shí)驗(yàn)室里誕生的病毒并沒(méi)有廣泛流傳，它只不過(guò)證明了一種危害存在的可能性，而這種危害最終被病毒制造者大規(guī)模地實(shí)施起來(lái)。 1986年，巴基斯坦有一家銷售IBMPC機(jī)及其兼容機(jī)的小商店，其經(jīng)營(yíng)者為兩兄弟拉合爾·巴錫特和阿姆杰德。他們也常為客戶編寫一些應(yīng)用程序并為盜版而煩惱。為了打擊那些盜版軟件的使用者，他們?cè)O(shè)計(jì)了一個(gè)名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導(dǎo)扇區(qū)。這是最早在世界上流行的一個(gè)真正的病毒。 1988年3月2日，第一個(gè)蘋果機(jī)上的計(jì)算機(jī)病毒發(fā)作，這天受感染的蘋果機(jī)停止工作。病毒并沒(méi)有進(jìn)行破壞，只是顯示“向所有蘋果計(jì)算機(jī)的使用者宣布和平的信息”，這一天是蘋果機(jī)的生日。

早期的病毒一般通過(guò)軟盤傳播，盡管這些病毒在國(guó)外興風(fēng)作浪，不過(guò)當(dāng)時(shí)并沒(méi)有真正流傳到國(guó)內(nèi)。國(guó)內(nèi)第一個(gè)廣泛流傳的計(jì)算機(jī)病毒是小球病毒。由于當(dāng)時(shí)軟盤是計(jì)算機(jī)之間交換信息的主要手段，因此這個(gè)病毒很快在國(guó)內(nèi)流傳開(kāi)來(lái)。3)瘋狂猖獗

計(jì)算機(jī)病毒首次真正造成大規(guī)模破壞是1988年11月2號(hào)。美國(guó)康乃爾大學(xué)23歲研究生羅伯特·莫里斯編寫了一個(gè)蠕蟲(chóng)病毒，并將蠕蟲(chóng)釋放到互聯(lián)網(wǎng)中。莫里斯蠕蟲(chóng)感染了網(wǎng)絡(luò)中的6000多臺(tái)計(jì)算機(jī)，并使其中的5000臺(tái)計(jì)算機(jī)被迫停機(jī)數(shù)小時(shí)，導(dǎo)致的直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元。 1988至1989年，我國(guó)也相繼出現(xiàn)了能感染硬盤和軟盤引導(dǎo)區(qū)Stone(石頭)病毒，該病毒體代碼中有明顯的標(biāo)志“YourPCnewStoned!”、“LEGALISEMARIJUANA”,也稱為“大麻”病毒等。1990年1月發(fā)現(xiàn)首例隱藏型計(jì)算機(jī)病毒“4096”，它不僅攻擊程序還破壞數(shù)據(jù)文件。1991年發(fā)現(xiàn)首例網(wǎng)絡(luò)計(jì)算機(jī)病毒“GPI”，它突破了NOVELL公司的Netware網(wǎng)絡(luò)安全機(jī)制。

隨著國(guó)外病毒大量進(jìn)入中國(guó)，國(guó)內(nèi)計(jì)算機(jī)愛(ài)好者通過(guò)剖析病毒體，很快就清楚了病毒的自我復(fù)制、傳播等技術(shù)，計(jì)算機(jī)病毒對(duì)中國(guó)計(jì)算機(jī)用戶已不再神秘。大量的關(guān)于計(jì)算機(jī)病毒的文章以及這個(gè)時(shí)期出版的各種剖析計(jì)算機(jī)病毒的書刊讓國(guó)內(nèi)的計(jì)算機(jī)愛(ài)好者迅速掌握了病毒的編寫技術(shù)。這段時(shí)期誕生了很多的國(guó)產(chǎn)病毒，典型的如：廣東一號(hào)、中國(guó)炸彈和毛毛蟲(chóng)等。病毒的編寫者幾乎都是當(dāng)時(shí)在讀的大學(xué)生。 20世紀(jì)90年代初，感染文件的病毒有Jerusalem(黑色13號(hào)星期五)、YankeeDoole、Liberty、1575、Traveller、1465、2062、4096等，主要感染.COM和.EXE文件。這類病毒修改了部分中斷向量表，被感染的文件明顯地增加了字節(jié)數(shù)，并且病毒主體代碼沒(méi)有加密，也容易被查出和解除。這些病毒中略有對(duì)抗反病毒手段的只有YankeeDoole病毒，當(dāng)它發(fā)現(xiàn)您用DEBUG工具跟蹤時(shí)，它會(huì)自動(dòng)從文件中逃走。

以后又出現(xiàn)了引導(dǎo)區(qū)、文件型“雙料病毒”，這類病毒既感染磁盤引導(dǎo)區(qū)、又感染可執(zhí)行文件，常見(jiàn)的有flip/Omicron、Xqr(Newcentury)、Invader/入侵者、Plastique/塑料炸彈、3584/鄭州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/OneHalf/3544(幽靈)、NATAS(幽靈王)、TPVO/3783等。

其中，F(xiàn)lip/Omicron(顛倒)、Xqr(NewCentury新世紀(jì))這兩種病毒都設(shè)計(jì)有對(duì)抗反病毒技術(shù)的手段，F(xiàn)lip(顛倒)病毒對(duì)其自身代碼進(jìn)行了隨機(jī)加密，變化無(wú)窮，使絕大部分病毒代碼與前一被感染目標(biāo)中的病毒代碼幾乎沒(méi)有三個(gè)連續(xù)的字節(jié)是相同的，該病毒在主引導(dǎo)區(qū)只潛藏了少量代碼，病毒能將自身全部代碼潛藏于硬盤最后6個(gè)扇區(qū)中，并將硬盤分區(qū)表和DOS引導(dǎo)區(qū)中的磁盤實(shí)用扇區(qū)數(shù)減少6個(gè)扇區(qū)。

Xqr(Newcentury新世紀(jì))病毒又有它更狡猾的一面，它監(jiān)視著INT13、INT21中斷有關(guān)參數(shù)，當(dāng)您要查看或搜索被其感染了的主引導(dǎo)記錄時(shí)，病毒就調(diào)換出正常的主引導(dǎo)記錄給你查看或讓您搜索，使您認(rèn)為一切正常，病毒卻蒙混過(guò)關(guān)。這類病毒還有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽靈)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、RranmaGrave/Burglar/1150、3783病毒等。

之后出現(xiàn)的INT60(0002)病毒隱藏得更加神秘，它不修改主引導(dǎo)記錄，只將硬盤分區(qū)表修改兩個(gè)字節(jié)，使那些只檢查主引導(dǎo)記錄的程序認(rèn)為完全正常，病毒主體卻隱藏在這兩個(gè)字節(jié)所指向的區(qū)域。硬盤引導(dǎo)時(shí)，ROM-BIOS程序會(huì)稀里糊涂地按這兩個(gè)字節(jié)的指向?qū)⒉《炯せ睢?/p>

而Monkey(猴子)、PC_LOCK(加密鎖)病毒將硬盤分區(qū)表加密后再隱藏起來(lái)，如果輕易將硬盤主引導(dǎo)記錄更換，或用FDISK/MBR格式輕易將硬盤主引導(dǎo)記錄更換，那就再也進(jìn)不了硬盤了，數(shù)據(jù)也取不出來(lái)了。

硬件防病毒卡成為當(dāng)時(shí)反病毒市場(chǎng)的主流，國(guó)外的反病毒軟件SCAN和TBAV等開(kāi)始進(jìn)入中國(guó)市場(chǎng)，國(guó)內(nèi)的計(jì)算機(jī)專業(yè)人員也開(kāi)始開(kāi)發(fā)自己的殺毒軟件。病毒與反病毒雙方的斗爭(zhēng)開(kāi)始進(jìn)入白熱化階段。

4)邪不壓正 DIR2之后，病毒的發(fā)展進(jìn)入了一個(gè)相當(dāng)緩慢的時(shí)期，各種各樣的病毒在以KV系列、KILL為首的眾多殺毒軟件的圍剿下已沒(méi)有過(guò)去的生機(jī)。即使誕生了新的病毒，由于沒(méi)有什么新的技術(shù)，也只是曇花一現(xiàn)，掀不起什么大的波瀾。特別是隨著微軟Windows95操作系統(tǒng)的推出，大量的用戶升級(jí)使用新的操作系統(tǒng)，過(guò)去依賴DOS的很多病毒失去了生存的土壤，消失得無(wú)影無(wú)蹤，而病毒編寫者還沒(méi)有完全掌握在新的操作系統(tǒng)下的病毒編寫技術(shù)。一切的跡象似乎都顯示，病毒已經(jīng)發(fā)展到了盡頭，甚至有樂(lè)觀者發(fā)表文章，宣布病毒威脅時(shí)代已經(jīng)過(guò)了。5)余燼復(fù)燃

而事實(shí)證明，病毒沉默是為了更大規(guī)模的爆發(fā)。國(guó)外出現(xiàn)了各種專門討論計(jì)算機(jī)病毒技術(shù)的地下站點(diǎn)，他們編寫病毒雜志，相互交流編寫病毒的心得體會(huì)和經(jīng)驗(yàn)，并傳播各種專門的計(jì)算機(jī)病毒引擎。在1995年時(shí)，出現(xiàn)了一個(gè)更危險(xiǎn)的信號(hào)，在我們對(duì)眾多的病毒剝析中，發(fā)現(xiàn)部分病毒好象出于一個(gè)家族，其“遺傳基因”相同，簡(jiǎn)單地說(shuō)，是“同族”病毒。但絕不是其他好奇者簡(jiǎn)單修改部分代碼而產(chǎn)生的“改形”病毒。大量具有相同“遺傳基因”的“同族”病毒涌現(xiàn)，使人不得不懷疑“病毒生產(chǎn)機(jī)”軟件死灰復(fù)燃。1996年下半年在國(guó)內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產(chǎn)軟件”。這種“病毒生產(chǎn)機(jī)”軟件可不用絞盡腦汁去編程序，便會(huì)輕易地自動(dòng)生產(chǎn)出大量的“同族”新病毒。這些病毒代碼長(zhǎng)度各不相同，自我加密、解密的密匙也不相同，原文件頭重要參數(shù)的保存地址不同，病毒的發(fā)作條件和現(xiàn)象不同，但是這些病毒的主體構(gòu)造和原理基本相同。

“病毒生產(chǎn)機(jī)”軟件，有專門能生產(chǎn)變形病毒的、有專門能生產(chǎn)普通病毒的。目前，國(guó)內(nèi)發(fā)現(xiàn)的、或有部分變形能力的病毒生產(chǎn)機(jī)有“G2、IVP、VCL“病毒生產(chǎn)機(jī)等十幾種。具備變形能力的有CLME、DAME-SP/MTE病毒生產(chǎn)機(jī)等。

網(wǎng)絡(luò)蠕蟲(chóng)病毒I-WORM.AnnaKourmikova就是一種VBS/I-WORM病毒生產(chǎn)機(jī)生產(chǎn)的，短時(shí)間內(nèi)就傳遍了全世界。這種病毒生產(chǎn)機(jī)也傳到了我國(guó)。 Windows9x、Windows2000操作系統(tǒng)的發(fā)展，也使病毒種類和花樣隨其變化而變化。 Win32.CAW.1XXX病毒是駐留內(nèi)存的Win32病毒,他感染本地和網(wǎng)絡(luò)中的PE格式文件.該病毒的產(chǎn)生來(lái)源一種32位的Windows“CAW病毒生產(chǎn)機(jī)”,該病毒生產(chǎn)機(jī)是由國(guó)際上一家有名病毒編寫組織開(kāi)發(fā)的.到1996年，Windows95操作系統(tǒng)獲得廣泛使用，Windows95采用的技術(shù)也逐漸被病毒編寫者掌握。計(jì)算機(jī)病毒技術(shù)有了新的發(fā)展，新的變形病毒采用了二維變形甚至多維變形技術(shù)以對(duì)抗防病毒軟件的查殺。不過(guò)由于反病毒軟件技術(shù)的及時(shí)跟進(jìn)，這些病毒都沒(méi)有能掀起太大的風(fēng)浪。

真正引起波浪的是關(guān)于防病毒廠商制造病毒的爭(zhēng)論。病毒制造者是什么人一直是人們討論的話題，其中有一種說(shuō)法是防病毒軟件的廠商也在自己制造并傳播病毒，通過(guò)升級(jí)殺毒軟件來(lái)獲取利潤(rùn)。而在國(guó)內(nèi)最受關(guān)注的當(dāng)屬KV300的邏輯鎖事件。1997年，一個(gè)叫“毒島論壇”的專門討論反病毒技術(shù)的站點(diǎn)宣稱發(fā)現(xiàn)在KV300中含有病毒，并在網(wǎng)上公布了病毒的反匯編代碼。

迫于輿論的壓力，開(kāi)發(fā)KV300的江民公司承認(rèn)軟件中存在這樣的代碼，并稱這不是一個(gè)病毒，只是一個(gè)“邏輯鎖”，只有當(dāng)用戶使用盜版的KV300時(shí)，才會(huì)觸發(fā)“邏輯鎖”將硬盤鎖住。這一事件的結(jié)果是江民公司被公安部以違反《計(jì)算機(jī)安全管理?xiàng)l例》罰款3000元、將邏輯鎖從產(chǎn)品中去除并免費(fèi)給購(gòu)買了含邏輯鎖的KV300的用戶更換新的版本。6)大張旗鼓

到1997年，微軟的Office系列軟件成為Windows95平臺(tái)下的首選的辦公套件，幾乎每一臺(tái)計(jì)算機(jī)上都安裝了這個(gè)辦公套件。由于Office中的文字處理軟件Word和電子表格Excel都支持功能強(qiáng)大的宏，計(jì)算機(jī)病毒又找到了新的突破口，一種新型病毒隨之誕生，這就是宏病毒。

宏病毒主要感染W(wǎng)ord、Excel格式的文件并借助這兩種文件進(jìn)行傳播。宏是一系列組合在一起的Word命令和指令，如果需要在Word中反復(fù)進(jìn)行某項(xiàng)工作，那就可以利用宏來(lái)自動(dòng)完成這項(xiàng)工作。它們形成了一個(gè)類似批處理的作業(yè)流程，以實(shí)現(xiàn)任務(wù)執(zhí)行的自動(dòng)化。

7)巨大浩劫 1998年，病毒發(fā)展中出現(xiàn)了一個(gè)有史以來(lái)最危險(xiǎn)、最具破壞力的病毒，這就是CIH。CIH對(duì)計(jì)算機(jī)界影響之大以至于1998年被計(jì)算機(jī)病毒防范界公認(rèn)為“CIH計(jì)算機(jī)病毒年”。CIH計(jì)算機(jī)病毒是繼DoS計(jì)算機(jī)病毒、Windows計(jì)算機(jī)病毒、宏病毒后的第四類新型計(jì)算機(jī)病毒。它使用Windows95中的虛擬設(shè)備驅(qū)動(dòng)程序(VxD)技術(shù)編制。 CIH由臺(tái)灣大同工業(yè)學(xué)院資訊工程系學(xué)生陳盈豪編寫并放到了大同工學(xué)院的校園網(wǎng)上。很快，CIH病毒就從臺(tái)灣的校園網(wǎng)上傳播開(kāi)了，并以極快的速度蔓延到全世界。廣泛流傳的CIH共有三個(gè)版本：1.2版/1.3版/1.4版，發(fā)作時(shí)間分別是4月26號(hào)、6月26號(hào)和每月26號(hào)。CIH具有以下幾個(gè)特征： CIH病毒是第一個(gè)流行的攻擊PE格式32位保護(hù)模式程序的病毒。 CIH病毒是第一個(gè)能破壞FLASHROM中的BIOS指令的病毒。 CIH病毒利用VxD技術(shù)逃過(guò)了當(dāng)時(shí)所有的反病毒軟件的監(jiān)測(cè)。

CIH發(fā)作時(shí)破壞硬盤上的引導(dǎo)區(qū)，導(dǎo)致硬盤數(shù)據(jù)丟失。1999年4月26日，這是一個(gè)令計(jì)算機(jī)行業(yè)難以忘卻的日子，也就是到了CIH-1.2病毒第二年的發(fā)作日，人們起早一上班便輕松地打開(kāi)計(jì)算機(jī)準(zhǔn)備工作，可是打開(kāi)一臺(tái)計(jì)算機(jī)后，只看到屏幕一閃便就黑暗一片。再打開(kāi)另外的幾臺(tái)，也同樣一閃后就再也啟動(dòng)不起來(lái)了———計(jì)算機(jī)史上病毒造成的又一次巨大浩劫發(fā)生了。8)風(fēng)云再起

互聯(lián)網(wǎng)的快速發(fā)展和廣泛應(yīng)用給病毒的發(fā)展帶來(lái)了更廣闊的舞臺(tái)，互聯(lián)網(wǎng)使病毒的傳播變得更加容易、更加快速。不僅老的病毒通過(guò)互聯(lián)網(wǎng)獲得了新的生命，重新流傳，新的依賴于互聯(lián)網(wǎng)的病毒類型也誕生了?；ヂ?lián)網(wǎng)病毒是利用互聯(lián)網(wǎng)技術(shù)開(kāi)發(fā)、傳染和破壞的所有病毒的統(tǒng)稱，其中最典型的就是電子郵件病毒。Happy99、梅麗莎、Explore、IloveYou、Sircam、Nimda、求職信都是危害較大的電子郵件病毒。

而伴隨著互聯(lián)網(wǎng)所誕生的腳本病毒更成為病毒發(fā)展史上一個(gè)新的亮點(diǎn)。腳本病毒使用目前互聯(lián)網(wǎng)上較流行的腳本編程語(yǔ)言如VBS、WSH等編寫而成，本身并不是可執(zhí)行的程序，需要系統(tǒng)提供支持，進(jìn)行解釋才能執(zhí)行。HappyTime就是影響最廣泛的腳本病毒。

蠕蟲(chóng)病毒也是互聯(lián)網(wǎng)中最重要的一種病毒類型，它利用操作系統(tǒng)漏洞或者電子郵件在互聯(lián)網(wǎng)中傳播。采用多種技術(shù)、結(jié)合多種互聯(lián)網(wǎng)病毒特性的混合型病毒將成為未來(lái)病毒發(fā)展的主流，這也將給病毒查殺帶來(lái)新的難題。9)對(duì)壘永存

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和普及，越來(lái)越多的病毒通過(guò)網(wǎng)絡(luò)傳播，對(duì)整個(gè)網(wǎng)絡(luò)的生存和使用造成了極大的危害。其中具有代表性的如“尼姆達(dá)”、“勒索”、“沖擊波”等病毒，都給互聯(lián)網(wǎng)造成過(guò)巨大的惡劣影響。

計(jì)算機(jī)病毒的發(fā)展史就是計(jì)算機(jī)技術(shù)的發(fā)展史，只要計(jì)算機(jī)技術(shù)在不斷的發(fā)展，計(jì)算機(jī)病毒技術(shù)就也會(huì)隨之不斷的發(fā)展，這是無(wú)法改變的事實(shí)。任何新的計(jì)算機(jī)技術(shù)的出現(xiàn)，利用這種新技術(shù)編寫的病毒很快就會(huì)產(chǎn)生，而隨之的對(duì)抗技術(shù)也會(huì)產(chǎn)生。只要計(jì)算機(jī)還存在、還在不斷發(fā)展，計(jì)算機(jī)病毒技術(shù)和反病毒技術(shù)的斗爭(zhēng)就永遠(yuǎn)不會(huì)結(jié)束。三、典型的計(jì)算機(jī)病毒

本節(jié)將闡述一些典型計(jì)算機(jī)病毒的感染和傳播機(jī)理，并對(duì)相關(guān)病毒的源碼進(jìn)行分析，幫助大家了解病毒的本質(zhì)。1)宏病毒

宏病毒從某種意義上來(lái)講也是一種文件型病毒，它是使用宏語(yǔ)言編寫的程序，主要伴隨著微軟Office辦公軟件的出現(xiàn)而產(chǎn)生，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行(主要是微軟的Office辦公軟件系統(tǒng)、字處理、電子數(shù)據(jù)表和其它Office程序等支持宏的應(yīng)用軟件)，存在于字處理文檔(Word)、數(shù)據(jù)表格(Excel)、數(shù)據(jù)庫(kù)(Access)、演示文檔(PowerPoint)等數(shù)據(jù)文件中，利用宏語(yǔ)言的功能將自己復(fù)制并且繁殖到其它數(shù)據(jù)文檔里。

所謂宏，就是指一段類似于批處理命令的多行代碼的集合。宏可以記錄命令和過(guò)程，然后將這些命令和過(guò)程賦值到一個(gè)組合鍵或工具欄的按鈕上，當(dāng)按下組合鍵時(shí)，計(jì)算機(jī)就會(huì)重復(fù)所記錄的操作。

從微軟的字處理軟件Word版本6.0、電子數(shù)據(jù)表軟件Excel4.0開(kāi)始，數(shù)據(jù)文件中就包括了宏語(yǔ)言的功能。早期的宏語(yǔ)言是非常簡(jiǎn)單的，主要用于記錄用戶在字處理軟件中的一系列操作，然后進(jìn)行重放，其可以實(shí)現(xiàn)的功能非常有限。但隨著Word97和Excel97的出現(xiàn)，微軟逐漸將所有的宏語(yǔ)言統(tǒng)一到一種通用的語(yǔ)言：適用于應(yīng)用程序的可視化BASIC語(yǔ)言(VBA)上，其編寫越來(lái)越方便，語(yǔ)言的功能也越來(lái)越強(qiáng)大，可以采用完全程序化的方式對(duì)文本、數(shù)據(jù)表進(jìn)行完整的控制，甚至可以調(diào)用操作系統(tǒng)的任意功能。正是有了足夠強(qiáng)大的宏語(yǔ)言的支持，宏病毒才得以迅速發(fā)展。

自1995年8月第一個(gè)Word宏病毒W(wǎng)ordMacro/Concept出現(xiàn)并大面積流行之后。次年7月，第一個(gè)Excel宏病毒Laroux也被發(fā)現(xiàn)。1998年3月，Access也成為宏病毒的犧牲品，緊接著，PowerPoint也爆出宏病毒。此后，宏病毒的數(shù)量和影響繼續(xù)快速增長(zhǎng)。同時(shí)出現(xiàn)了能感染多種類型文件的多重宏病毒，Triplicate就是已知的第一個(gè)能同時(shí)影響Word、Excel、PowerPoint的宏病毒。

由于微軟Office軟件的流行和廣泛應(yīng)用，計(jì)算機(jī)之間的電子數(shù)據(jù)交換有很大一部分就是以Word文檔、Excel電子表格等為載體的，這為宏病毒制造了一個(gè)天然的生存空間。任何計(jì)算機(jī)如果能夠正確打開(kāi)和理解Word文件(包括其中的宏代碼)等都有可能感染宏病毒。

以微軟字處理軟件Word為例，Word提供了一些“內(nèi)建宏”，用于完成打開(kāi)文件、保存文件、打印文件、關(guān)閉文件等操作。比如關(guān)閉文件之前查找“FileSave”宏，如果存在的話，首先執(zhí)行這個(gè)宏，不過(guò)這些宏只對(duì)當(dāng)前文檔有效。以“File”開(kāi)始的預(yù)定義宏會(huì)在執(zhí)行特定操作的時(shí)候觸發(fā)，如使用菜單項(xiàng)打開(kāi)和保存文件等。另外有一些以“Auto”開(kāi)頭的自動(dòng)宏，如“AutoOpen”、“AutoClose”等，這些宏一般是全局宏，在適當(dāng)?shù)臅r(shí)候會(huì)自動(dòng)執(zhí)行。微軟為用戶提供了自定義宏功能，于是我們可以自己編寫一些完成特定功能的宏。

一般來(lái)說(shuō)，宏病毒通過(guò)Office文件或者模板來(lái)傳播自己，病毒在獲得控制權(quán)以后，會(huì)將自己寫入到Word模板Normal.dot中，這樣，以后每次進(jìn)行打開(kāi)、新建等操作時(shí)，就會(huì)調(diào)用病毒代碼，從而將病毒代碼寫到剛才打開(kāi)或新建的文件中，以達(dá)到感染傳播的目的。

為了遏制宏病毒的肆虐，微軟公司從Office97起給Office軟件增加了宏安全性的設(shè)置。用戶可以設(shè)置宏運(yùn)行的安全性，這樣在打開(kāi)包含宏的文檔時(shí)，系統(tǒng)會(huì)提示是否啟用文檔中的宏。如果能確認(rèn)宏是安全的，可以選擇啟用宏。不過(guò)從安全的角度上來(lái)說(shuō)，在打開(kāi)文檔提示存在宏的時(shí)候，最好要格外小心，確認(rèn)即將打開(kāi)的宏是你所知道并且確認(rèn)是安全的，因?yàn)橄到y(tǒng)不能分辨文件里所帶的宏是否是安全的。2)腳本病毒

任何語(yǔ)言都是可以編寫病毒的，而用簡(jiǎn)單易用的腳本語(yǔ)言編寫病毒則尤為簡(jiǎn)單，并且具有傳播快、破壞力大的特點(diǎn)，例如著名的愛(ài)蟲(chóng)病毒及新歡樂(lè)時(shí)光病毒等都是用VBS腳本編寫的，另外還有PHP、JS腳本病毒等。 VBS腳本病毒是用VBScript編寫而成，該腳本語(yǔ)言功能非常強(qiáng)大，它們利用Windows系統(tǒng)的開(kāi)放性，通過(guò)調(diào)用一些現(xiàn)成的Windows對(duì)象、組件，可以直接控制文件系統(tǒng)、注冊(cè)表。VBS腳本病毒具有如下幾個(gè)特點(diǎn)：

編寫簡(jiǎn)單。由于VBS腳本語(yǔ)言的簡(jiǎn)單易用性，一個(gè)不太了解病毒原理的計(jì)算機(jī)使用者也可以在很短的時(shí)間里編寫出一個(gè)新型腳本病毒。

破壞力大。腳本病毒不僅會(huì)破壞文件系統(tǒng)和計(jì)算機(jī)配置，而且還可能導(dǎo)致服務(wù)器崩潰，網(wǎng)絡(luò)嚴(yán)重阻塞。

感染力強(qiáng)，病毒變種多。由于腳本是直接解釋執(zhí)行的，沒(méi)有復(fù)雜的文件格式和字段處理，因此這類病毒可以直接通過(guò)自我復(fù)制的方式來(lái)感染其它同類文件，并且自我的異常處理變得非常容易。也正是因?yàn)橥瑯拥脑?，這類病毒的源代碼可讀性非常強(qiáng)，造成其變種種類非常多，稍微改變一下病毒結(jié)構(gòu)，或者修改一下特征值，很多殺毒軟件可能就無(wú)能為力。

病毒生產(chǎn)機(jī)實(shí)現(xiàn)容易。所謂病毒生產(chǎn)機(jī)，就是可以按照用戶的要求進(jìn)行配置，以生成特定病毒的“機(jī)器”。這聽(tīng)起來(lái)似乎有些不可思議。由于腳本采用的是解釋執(zhí)行的方式，不需要編譯，程序中也不需要校驗(yàn)和定位，每條語(yǔ)句分隔得比較清楚，因此可以先將病毒功能做成很多單獨(dú)的模塊，在用戶做出病毒功能選擇后，病毒生產(chǎn)機(jī)只需要將相應(yīng)的功能模塊拼接起來(lái)，再做相應(yīng)的代碼替換和優(yōu)化即可，實(shí)現(xiàn)起來(lái)非常簡(jiǎn)單。

正因?yàn)橐陨蠋讉€(gè)特點(diǎn)，腳本病毒發(fā)展非常迅猛，尤其是病毒生產(chǎn)機(jī)的出現(xiàn)，使得新型腳本病毒的生成變得非常容易。 VBS腳本病毒一般是直接通過(guò)自我復(fù)制來(lái)感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間，譬如新歡樂(lè)時(shí)光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句，而愛(ài)蟲(chóng)病毒則是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴,.vbs作為后綴。

下面我們通過(guò)愛(ài)蟲(chóng)病毒的部分關(guān)鍵代碼具體分析一下這類病毒的感染原理。setfso=createobject("scripting.filesystemobject")//創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象setself=fso.opentextfile(wscript.scriptfullname,1)//讀打開(kāi)當(dāng)前文件(即病毒本身)vbscopy=self.readall//讀取病毒全部代碼到字符串變量vbscopy...setap=fso.opentextfile(目標(biāo)文件.path,2,true)//打開(kāi)目標(biāo)文件，準(zhǔn)備寫入病毒代碼ap.writevbscopy//將病毒代碼覆蓋目標(biāo)文件ap.closesetcop=fso.getfile(目標(biāo)文件.path)//得到目標(biāo)文件路徑cop.copy(目標(biāo)文件.path&".vbs")//創(chuàng)建另外一個(gè)病毒文件,以.vbs為后綴cop.delete(true)//刪除目標(biāo)文件

病毒首先將自身代碼賦給字符串變量vbscopy，然后將這個(gè)字符串覆蓋寫到目標(biāo)文件，并創(chuàng)建一個(gè)以目標(biāo)文件名為文件名前綴、.vbs為后綴的文件副本，最后刪除目標(biāo)文件。VBS腳本病毒之所以傳播范圍廣，主要依賴于它的網(wǎng)絡(luò)傳播功能。通過(guò)E-mail附件進(jìn)行傳播是VBS腳本病毒采用得非常普遍的一種傳播方式。腳本病毒可以通過(guò)各種方法拿到合法的E-mail地址，最常見(jiàn)的就是直接取Outlook地址簿中的郵件地址，也可以通過(guò)程序在用戶文檔(如HTM文件)中搜索E-mail地址。下面我們通過(guò)一段E-mail附件傳播的具體代碼來(lái)分析VBS是如何做到這一點(diǎn)的。FunctionmailBroadcast()onerrorresumenextwscript.echo//創(chuàng)建一個(gè)OUTLOOK應(yīng)用的對(duì)象SetoutlookApp=CreateObject("Outlook.Application")IfoutlookApp="Outlook"Then//獲取MAPI的名字空間SetmapiObj=outlookApp.GetNameSpace("MAPI")//獲取地址表的個(gè)數(shù)SetaddrList=mapiObj.AddressListsForEachaddrInaddrListIfaddr.AddressEntries.Count<>0Then//獲取每個(gè)地址表的Email記錄數(shù)

addrEntCount=addr.AddressEntries.Count//遍歷地址表的Email地址ForaddrEntIndex=1ToaddrEntCount//獲取一個(gè)郵件對(duì)象實(shí)例Setitem=outlookApp.CreateItem(0)//獲取具體Email地址SetaddrEnt=addr.AddressEntries(addrEntIndex)//填入收信人地址item.To=addrEnt.Address//寫入郵件標(biāo)題item.Subject="VBS腳本病毒傳播實(shí)驗(yàn)"http://寫入文件內(nèi)容item.Body="這是VBS腳本病毒郵件傳播測(cè)試，收到此信請(qǐng)不要慌張！"http://定義郵件附件SetattachMents=item.AttachmentsattachMents.AddfileSysObj.GetSpecialFolder(0)&"\test.jpg.vbs"http://信件提交后自動(dòng)刪除item.DeleteAfterSubmit=TrueIfitem.To<>""Then//發(fā)送郵件item.Send//病毒標(biāo)記，以免重復(fù)感染shellObj.regwrite"HKCU\software\Mailtest\mailed","1"EndIfNextEndIfNextEndifEndFunction VBS還可以通過(guò)局域網(wǎng)共享來(lái)傳播，它提供了一個(gè)對(duì)象WshNetwork，可以實(shí)現(xiàn)網(wǎng)上鄰居共享文件夾的搜索與文件操作以及當(dāng)前打印機(jī)連接狀況，在知道了共享連接之后，就可以直接向目標(biāo)驅(qū)動(dòng)器讀寫文件，達(dá)到傳播的目的。腳本病毒還可以感染html、asp、jsp、php等網(wǎng)頁(yè)文件，通過(guò)WWW服務(wù)進(jìn)行傳播。3)蠕蟲(chóng)病毒

蠕蟲(chóng)是一種特殊的病毒類型。它最早于1982年由XeroxPARC的JohnF.Shoch等人最早引入計(jì)算機(jī)領(lǐng)域，他們編寫蠕蟲(chóng)的目的是為了做分布式計(jì)算的模型試驗(yàn)，在他們的文章中，蠕蟲(chóng)的破壞性和不易控制性已經(jīng)初露端倪。1988年莫里斯蠕蟲(chóng)爆發(fā)，開(kāi)創(chuàng)了蠕蟲(chóng)時(shí)代。

蠕蟲(chóng)與病毒最大的區(qū)別在于它自身的主動(dòng)性和獨(dú)立性。蠕蟲(chóng)主要是利用計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)行傳播，搜索到網(wǎng)絡(luò)中存在可利用漏洞的計(jì)算機(jī)后就主動(dòng)進(jìn)行攻擊，傳播過(guò)程不需要人工干預(yù)。局域網(wǎng)中的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)、大量存在漏洞的主機(jī)、服務(wù)器等都是蠕蟲(chóng)傳播的良好途徑和載體。4)“歡樂(lè)時(shí)光”病毒

“歡樂(lè)時(shí)光”(VBS.Haptime.A@mm)是一個(gè)VB源程序病毒，專門感染。htm、.html、.vbs、.asp和.htt文件。它作為電子郵件的附件，并利用OutlookExpress的性能缺陷把自己傳播出去，一個(gè)被人們所知的MicrosoftOutlookExpress的安全漏洞，可以在你沒(méi)有運(yùn)行任何附件時(shí)就運(yùn)行自己。還利用OutlookExpress的信紙功能，使自己復(fù)制在信紙的Html模板上，以便傳播。它結(jié)合了蠕蟲(chóng)特性和在用戶不直接打開(kāi)情況下直接運(yùn)行特性，同時(shí)能夠感染本地的網(wǎng)頁(yè)以及腳本文件。5)勒索病毒 2017年5月13日勒索病毒W(wǎng)annaCry在全球蔓延，據(jù)不完全統(tǒng)計(jì)，目前已經(jīng)入侵99個(gè)國(guó)家7.5萬(wàn)臺(tái)電腦，其中中國(guó)高校受到的傷害最嚴(yán)重。該勒索蠕蟲(chóng)一旦攻擊進(jìn)入能連接公網(wǎng)的用戶機(jī)器，則會(huì)掃描內(nèi)網(wǎng)和公網(wǎng)的ip，若被掃描到的ip打開(kāi)了445端口，則會(huì)使用“EternalBlue”(永恒之藍(lán))漏洞安裝后門。一旦執(zhí)行后門，則會(huì)釋放一個(gè)名為WanaCrypt0r敲詐者病毒，從而加密用戶機(jī)器上所有的文檔文件，進(jìn)行勒索。

勒索軟件采用的是RSA+AES加密算法加密文件，屬于幾乎無(wú)法在有限時(shí)間內(nèi)破解的加密算法。主流的勒索病毒通常有兩種操作文件的方式，一種是直接加密覆蓋原文件，這種情況下沒(méi)有勒索者的密鑰，幾乎是無(wú)法恢復(fù)的；另一種則是先加密生成副本文件，然后刪除原文件，這種情況下是有可能恢復(fù)的。四、防御

盡管反病毒技術(shù)一直在不斷的發(fā)展，計(jì)算機(jī)病毒仍然對(duì)用戶的計(jì)算機(jī)系統(tǒng)構(gòu)成了巨大的威脅。一些觀點(diǎn)認(rèn)為，這是病毒的發(fā)展一直領(lǐng)先于反病毒技術(shù)發(fā)展所造成的，反病毒技術(shù)是被動(dòng)的，只有當(dāng)新的病毒出現(xiàn)，相應(yīng)的反病毒技術(shù)才出現(xiàn)。這是其中一個(gè)原因，但絕不是最重要的原因。因?yàn)闊o(wú)論技術(shù)發(fā)展到何種程度，要保護(hù)計(jì)算機(jī)的安全，人的操作和行為仍然是關(guān)鍵，這才是對(duì)付病毒最強(qiáng)有力的措施。1)安裝反病毒軟件并定期更新

相對(duì)于新興病毒而言，網(wǎng)絡(luò)上流行的更多的是一些已被人們所掌控的病毒，安裝反病毒軟件將可以對(duì)這些已知病毒起到很好的防范作用，攔截大部分病毒的威脅。令人遺憾的是，仍然有相當(dāng)數(shù)量的用戶沒(méi)有在自己的計(jì)算機(jī)中安裝防病毒軟件，他們常常認(rèn)為計(jì)算機(jī)中并沒(méi)有重要數(shù)據(jù)、或者計(jì)算機(jī)只是自己使用，很少與外邊的計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換等，但實(shí)際上這些都不是充分的理由。

由于目前反病毒軟件仍然主要依靠特征值匹配查殺病毒，發(fā)現(xiàn)未知病毒的功能還不完善，因此需要定期升級(jí)反病毒軟件的數(shù)據(jù)庫(kù)。2)不要隨便打開(kāi)郵件附件

互聯(lián)網(wǎng)的發(fā)展使得電子郵件的使用量不斷增大，越來(lái)越多的病毒通過(guò)電子郵件附件這種較為隱蔽的方式傳播。陌生人發(fā)送的電子郵件尤其是引起注意，即使顯示是相識(shí)的人發(fā)送的電子郵件，也不可大意，因?yàn)榘l(fā)送者的郵件地址是可以偽造的，你所看到的電子郵件發(fā)件人未必是真的。最好要先確保電子郵件來(lái)自一個(gè)可靠的來(lái)源，并用反病毒軟件掃描附件進(jìn)行檢查。3)盡量減少被授權(quán)使用你計(jì)算機(jī)的人

最佳的做法是，你應(yīng)該是使用你的計(jì)算機(jī)的唯一的人。如果這一點(diǎn)無(wú)法做到的話，你應(yīng)該設(shè)置好訪問(wèn)你計(jì)算機(jī)的用戶的權(quán)限。明確你的計(jì)算機(jī)哪些人能使用，哪些人不能使用，能使用的人分別有什么權(quán)限，規(guī)定哪些操作他們能執(zhí)行。特別是當(dāng)需要在你的計(jì)算機(jī)上連接到互聯(lián)網(wǎng)或者使用移動(dòng)媒介如軟盤、U盤或VCD、DVD的時(shí)候。安全源于控制，你真正能控制你計(jì)算機(jī)安全的唯一做法是，知道計(jì)算機(jī)的每一個(gè)狀態(tài)，計(jì)算機(jī)曾經(jīng)被如何使用過(guò)，使用的目的是什么。4)及時(shí)為計(jì)算機(jī)安裝最新的安全補(bǔ)丁

定期訪問(wèn)操作系統(tǒng)及應(yīng)用軟件廠商的網(wǎng)站，及時(shí)安裝最新的安全補(bǔ)丁。系統(tǒng)中存在的安全漏洞越少，系統(tǒng)才越安全。5)從外部獲取數(shù)據(jù)前先進(jìn)行檢查

當(dāng)計(jì)算機(jī)與外部的其它系統(tǒng)如互聯(lián)網(wǎng)、局域網(wǎng)的其他系統(tǒng)、