網(wǎng)絡(luò)病毒防治技術(shù)

關(guān)于網(wǎng)絡(luò)病毒防治技術(shù)12第7章網(wǎng)絡(luò)病毒防治技術(shù)第2頁,共72頁，2024年2月25日，星期天3本章主要內(nèi)容：計(jì)算機(jī)病毒的概念、特點(diǎn)和分類計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害，幾種典型病毒的原理、特征及預(yù)防措施，計(jì)算機(jī)病毒的癥狀，反病毒技術(shù)計(jì)算機(jī)病毒發(fā)展的新技術(shù)，防殺網(wǎng)絡(luò)病毒的軟件第3頁,共72頁，2024年2月25日，星期天4本章要求：掌握：計(jì)算機(jī)病毒的概念、特點(diǎn)和分類，計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害，幾種典型病毒的原理、特征及預(yù)防措施，計(jì)算機(jī)病毒（發(fā)作前、發(fā)作時和發(fā)作后）的癥狀，反病毒技術(shù)（預(yù)防病毒技術(shù)、檢測病毒技術(shù)、殺毒技術(shù)）。了解：計(jì)算機(jī)病毒發(fā)展的新技術(shù)，防殺網(wǎng)絡(luò)病毒的軟件。第4頁,共72頁，2024年2月25日，星期天57.1計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)及危害

7.1.1計(jì)算機(jī)病毒的概念“計(jì)算機(jī)病毒”與醫(yī)學(xué)上的“病毒”不同，它是根據(jù)計(jì)算機(jī)軟、硬件所固有的弱點(diǎn)，編制出的具有特殊功能的程序。由于這種程序具有傳染性和破壞性，與醫(yī)學(xué)上的“病毒”有相似之處，因此習(xí)慣上將這些“具有特殊功能的程序”稱為“計(jì)算機(jī)病毒”。第5頁,共72頁，2024年2月25日，星期天6從廣義上講，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈、蠕蟲等均可稱為計(jì)算機(jī)病毒。1994年2月18日，我國正式頒布實(shí)施《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出，計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。此定義具有法律性、權(quán)威性。第6頁,共72頁，2024年2月25日，星期天77.1.2計(jì)算機(jī)病毒的特點(diǎn)1.傳染性2.隱蔽性3.潛伏性4.破壞性（表現(xiàn)性）5.不可預(yù)見性6.觸發(fā)性7.針對性8.寄生性（依附性）第7頁,共72頁，2024年2月25日，星期天87.1.3計(jì)算機(jī)病毒的分類按照計(jì)算機(jī)病毒的特點(diǎn)，對計(jì)算機(jī)病毒可從不同角度進(jìn)行分類。計(jì)算機(jī)病毒的分類方法有許多種，因此，同一種病毒可能有多種不同的分法。第8頁,共72頁，2024年2月25日，星期天91.基于破壞程度分類基于破壞程度分類是最流行、最科學(xué)的分類方法之一，按照此種分類方法，病毒可以分為良性病毒和惡性病毒。第9頁,共72頁，2024年2月25日，星期天102.基于傳染方式分類按照傳染方式不同，病毒可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。第10頁,共72頁，2024年2月25日，星期天113.基于算法分類按照病毒特有的算法，可以劃分為伴隨型病毒、蠕蟲型病毒和寄生型病毒。第11頁,共72頁，2024年2月25日，星期天12(1)伴隨型病毒并不改變文件本身，而是根據(jù)算法產(chǎn)生.EXE文件的伴隨體，與文件具有同樣的名字和不同的擴(kuò)展名，例如CCR.EXE的伴隨體是CCR.COM。當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行，再由伴隨體加載執(zhí)行原來的.EXE文件。(2)蠕蟲型病毒通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播，它不改變文件和資料信息，而是根據(jù)計(jì)算機(jī)的網(wǎng)絡(luò)地址，將病毒通過網(wǎng)絡(luò)發(fā)送，蠕蟲病毒除了占用內(nèi)存外一般不占用其他資源。(3)寄生型病毒：除伴隨型病毒和蠕蟲型病毒之外的其他病毒均可稱為寄生型病毒。它們依附在系統(tǒng)的引導(dǎo)區(qū)或文件中，通過

第12頁,共72頁，2024年2月25日，星期天134.基于鏈接方式分類按照病毒的鏈接方式，可以分為源碼型病毒、入侵型病毒、外殼型病毒和操作系統(tǒng)型病毒。第13頁,共72頁，2024年2月25日，星期天145.基于傳播的媒介分類按照病毒傳播的媒介，可以分為網(wǎng)絡(luò)病毒和單機(jī)型病毒。(1)網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件。這種病毒的傳染能力強(qiáng)，破壞力大。(2)單機(jī)型病毒的載體是磁盤，常見的是病毒從軟盤傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤，再由軟盤傳染其他系統(tǒng)。第14頁,共72頁，2024年2月25日，星期天156.基于攻擊的系統(tǒng)分類按照計(jì)算機(jī)病毒攻擊的系統(tǒng)，可以分為攻擊DOS系統(tǒng)的病毒、攻擊Windows系統(tǒng)的病毒、攻擊UNIX系統(tǒng)的病毒和攻擊OS/2系統(tǒng)的病毒。第15頁,共72頁，2024年2月25日，星期天167.基于激活的時間分類按照病毒激活的時間，可分為定時病毒和隨機(jī)病毒。定時病毒僅在某一特定時間才發(fā)作；而隨機(jī)病毒一般不是由時鐘來激活的。第16頁,共72頁，2024年2月25日，星期天177.1.4計(jì)算機(jī)網(wǎng)絡(luò)病毒的概念1.計(jì)算機(jī)網(wǎng)絡(luò)病毒的定義嚴(yán)格地說，網(wǎng)絡(luò)病毒是以網(wǎng)絡(luò)為平臺，能在網(wǎng)絡(luò)中傳播、復(fù)制及破壞的計(jì)算機(jī)病毒，像網(wǎng)絡(luò)蠕蟲病毒等一些威脅到計(jì)算機(jī)，及計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行和安全的病毒才可以算作計(jì)算機(jī)網(wǎng)絡(luò)病毒。“網(wǎng)絡(luò)病毒”與單機(jī)病毒有較大區(qū)別。計(jì)算機(jī)網(wǎng)絡(luò)病毒專門使用網(wǎng)絡(luò)協(xié)議（如TCP/IP、FTP、UDP、HTTP、SMTP和POP3等）來進(jìn)行傳播，它們通常不修改系統(tǒng)文件或硬盤的引導(dǎo)區(qū)，而是感染客戶計(jì)算機(jī)的內(nèi)存，強(qiáng)制這些計(jì)算機(jī)向網(wǎng)絡(luò)發(fā)送大量信息，因而導(dǎo)致網(wǎng)絡(luò)速度下降甚至完全癱瘓。由于網(wǎng)絡(luò)病毒保留在內(nèi)存中，因此傳統(tǒng)的基于磁盤的文件I/O掃描方法通常無法檢測到它們。第17頁,共72頁，2024年2月25日，星期天182.計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播方式Internet技術(shù)的進(jìn)步同樣給許多惡毒的網(wǎng)絡(luò)攻擊者提供了一條便捷的攻擊路徑，他們利用網(wǎng)絡(luò)來傳播病毒，其破壞性和隱蔽性更強(qiáng)。一般來說，計(jì)算機(jī)網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)節(jié)點(diǎn)（包括有盤工作站、無盤工作站和遠(yuǎn)程工作站）。病毒在網(wǎng)絡(luò)環(huán)境下的傳播，實(shí)際上是按“工作站——服務(wù)器——工作站”的方式進(jìn)行循環(huán)傳播。計(jì)算機(jī)病毒一般先通過有盤工作站的軟盤或硬盤進(jìn)人網(wǎng)絡(luò)，然后開始在網(wǎng)絡(luò)中傳播。第18頁,共72頁，2024年2月25日，星期天197.1.5計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)1.傳染方式多2.傳播速度快3.清除難度大4.擴(kuò)散面廣5.破壞性大第19頁,共72頁，2024年2月25日，星期天207.1.6計(jì)算機(jī)網(wǎng)絡(luò)病毒的分類1.網(wǎng)絡(luò)木馬病毒（Trojan）：傳統(tǒng)的木馬病毒是指一些有正常程序外表的病毒程序，例如一些密碼竊取病毒，它會偽裝成系統(tǒng)登錄框，當(dāng)在登錄框中輸入用戶名與密碼時，這個偽裝登錄框的木馬便會將用戶口令通過網(wǎng)絡(luò)泄漏出去。第20頁,共72頁，2024年2月25日，星期天212.蠕蟲病毒（Worm）：蠕蟲病毒是指利用網(wǎng)絡(luò)缺陷進(jìn)行繁殖的病毒程序，如“莫里斯”病毒就是典型的蠕蟲病毒。它利用網(wǎng)絡(luò)的缺陷在網(wǎng)絡(luò)中大量繁殖，導(dǎo)致幾千臺服務(wù)器無法正常提供服務(wù)。

第21頁,共72頁，2024年2月25日，星期天223.捆綁器病毒（Binder）：捆綁器病毒是一個很新的概念，人們編寫這種程序的最初目的是希望通過一次點(diǎn)擊可以同時運(yùn)行多個程序，然而這一工具卻成了病毒傳播的新幫兇。4.網(wǎng)頁病毒：網(wǎng)頁病毒是利用網(wǎng)頁中的惡意代碼來進(jìn)行破壞的病毒。它存在于網(wǎng)頁之中，其實(shí)就是利用一些Script語言(腳本語言)編寫的一些惡意代碼。第22頁,共72頁，2024年2月25日，星期天235.手機(jī)病毒：簡單地說，手機(jī)病毒就是以手機(jī)為感染對象，以手機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)為平臺，通過病毒短信等形式對手機(jī)進(jìn)行攻擊，造成手機(jī)異常的一種新型病毒。第23頁,共72頁，2024年2月25日，星期天247.1.7計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害病毒發(fā)作對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞。占用磁盤空間和對信息的破壞。搶占系統(tǒng)資源。影響計(jì)算機(jī)運(yùn)行速度。計(jì)算機(jī)病毒錯誤與不可預(yù)見的危害。第24頁,共72頁，2024年2月25日，星期天257.2幾種典型病毒的分析7.2.1CIH病毒1.CIH病毒簡介CIH病毒是我國臺灣省一位名叫陳盈豪（CIH是其名字的縮寫）的大學(xué)生編寫的。目前傳播的主要途徑是Internet和電子郵件。CIH病毒屬于文件型病毒，主要感染W(wǎng)indows9X下的可執(zhí)行文件。CIH病毒使用了面向Windows的VxD技術(shù)，使得這種病毒傳播的實(shí)時性和隱蔽性都特別強(qiáng)。第25頁,共72頁，2024年2月25日，星期天262.CIH病毒的破壞性CIH病毒感染W(wǎng)indows可執(zhí)行文件，卻不感染W(wǎng)ord和Excel文檔；感染W(wǎng)indows9X系統(tǒng)，卻不感染W(wǎng)indowsNT系統(tǒng)。第26頁,共72頁，2024年2月25日，星期天273.如何判斷是否感染了CIH病毒(1)一般來講，CIH病毒只感染.EXE可執(zhí)行文件，可以用UltraEdit打開一個常用的.EXE文件（如記事本NotePad.exe或?qū)懽职錡ordPad.exe），然后按下“切換16進(jìn)制模式按鈕（H）”，再查找“CIHvl.”，如果發(fā)現(xiàn)“CIHvl.2”、“C1Hvl.3”或“CIHvl.4”等字符串，則說明計(jì)算機(jī)已經(jīng)感染CIH病毒了。(2)感染了CIHv1.2版，則所有WinZip自解壓文件均無法自動解開，同時會出現(xiàn)信息“WinZip自解壓首部中斷?？赡茉颍捍疟P或文件傳輸錯誤?！备腥玖薈IHvl.3版，則部分WinZip自解壓文件無法自動解開。如果遇到以上情況，有可能就是感染上CIH病毒了。第27頁,共72頁，2024年2月25日，星期天284.如何防范CIH病毒首先應(yīng)了解CIH病毒的發(fā)作時間，如每年的4月26日、6月26日及每月26日。在病毒爆發(fā)前夕，提前進(jìn)行查毒、殺毒，同時將系統(tǒng)時間改為其后的時間，如27日。其次，杜絕使用盜版軟件，盡量使用正版殺毒軟件，并在更新系統(tǒng)或安裝新的軟件前，對系統(tǒng)或新軟件進(jìn)行一次全面的病毒檢查，做到防患于未然。最后，一定要對重要文件經(jīng)常進(jìn)行備份，萬一計(jì)算機(jī)被病毒破壞還可以及時恢復(fù)。第28頁,共72頁，2024年2月25日，星期天295.感染了CIH病毒如何處理首先，注意保護(hù)主板的BIOS。由于CIH病毒主要感染可執(zhí)行文件，不感染其他文件，因此用戶在徹底清除硬盤所有的CIH病毒后，應(yīng)該重新安裝系統(tǒng)軟件和應(yīng)用軟件。最后，如果硬盤數(shù)據(jù)遭到破壞，可以直接使用瑞星等殺毒軟件來恢復(fù)。第29頁,共72頁，2024年2月25日，星期天307.2.2宏病毒1.宏病毒簡介2.宏病毒的特點(diǎn)3.宏病毒的預(yù)防4.宏病毒的清除第30頁,共72頁，2024年2月25日，星期天317.2.3蠕蟲病毒1.蠕蟲病毒的定義蠕蟲（Worm）是一種通過網(wǎng)絡(luò)傳播的惡性病毒，通過分布式網(wǎng)絡(luò)來擴(kuò)散傳播特定的信息或錯誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。第31頁,共72頁，2024年2月25日，星期天322.蠕蟲病毒的基本結(jié)構(gòu)和傳播過程3.蠕蟲病毒實(shí)例——愛情后門愛情后門（Worm.Lovgate）是一種危害性很強(qiáng)的蠕蟲病毒，其發(fā)作時間是隨機(jī)的，主要通過網(wǎng)絡(luò)和郵件來傳播，感染對象為硬盤文件夾。第32頁,共72頁，2024年2月25日，星期天337.2.4木馬病毒1.木馬病毒定義木馬全稱為特洛伊木馬（TrojanHorse，英文則簡稱為Trojan），在計(jì)算機(jī)安全學(xué)中，特洛伊木馬是指一種計(jì)算機(jī)程序，表面上或?qū)嶋H上有某種有用的功能，而含有隱藏的可以控制用戶計(jì)算機(jī)系統(tǒng)、危害系統(tǒng)安全的功能，可能造成用戶資料的泄漏、破壞或整個系統(tǒng)的崩潰。在一定程度上，木馬也可以稱為是計(jì)算機(jī)病毒。

第33頁,共72頁，2024年2月25日，星期天342.木馬病毒工作原理在Windows系統(tǒng)中，木馬一般作為一個網(wǎng)絡(luò)服務(wù)程序在感染了木馬的計(jì)算機(jī)后臺運(yùn)行，監(jiān)聽本機(jī)一些特定端口，這個端口號多數(shù)比較大（5000以上，但也有部分是5000以下的）。當(dāng)該木馬相應(yīng)的客戶端程序在此端口上請求連接時，它會與客戶程序建立一TCP連接，從而被客戶端遠(yuǎn)程控制。木馬一般不會讓人看出破綻，對于木馬程序設(shè)計(jì)人員來說，要隱藏自己所設(shè)計(jì)的窗口程序，主要途徑有：在任務(wù)欄中將窗口隱藏，這個只要把Form的Visible屬性調(diào)整為False，ShowInTaskBar也設(shè)為False。那么程序運(yùn)行時就不會出現(xiàn)在任務(wù)欄中了。如果要在任務(wù)管理器中隱身，只要將程序調(diào)整為系統(tǒng)服務(wù)程序就可以了。

第34頁,共72頁，2024年2月25日，星期天353.木馬病毒的檢測首先，查看system.ini、win.ini、啟動組中的啟動項(xiàng)目。由“開始->運(yùn)行”，輸入msconfig，運(yùn)行Windows自帶的“系統(tǒng)配置實(shí)用程序”。第35頁,共72頁，2024年2月25日，星期天364.木馬病毒的刪除首先要將網(wǎng)絡(luò)斷開，以排除來自網(wǎng)絡(luò)的影響，再選擇相應(yīng)的方法來刪除它。（1）通過木馬的客戶端程序刪除（2）手工刪除5.木馬病毒實(shí)例Internet上每天都有新的木馬出，所采取的隱蔽措施也是五花八門。第36頁,共72頁，2024年2月25日，星期天377.3計(jì)算機(jī)病毒的癥狀計(jì)算機(jī)病毒是一段程序代碼，雖然可能隱藏得很好，但也會留下許多痕跡。通過對這些痕跡的觀察和判別，就能夠發(fā)現(xiàn)病毒。根據(jù)病毒感染和發(fā)作的階段，計(jì)算機(jī)病毒的癥狀可以分為3個階段，計(jì)算機(jī)病毒發(fā)作前、病毒發(fā)作時和病毒發(fā)作后癥狀。。第37頁,共72頁，2024年2月25日，星期天387.3.1病毒發(fā)作前的癥狀病毒發(fā)作前是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng)、潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足、計(jì)算機(jī)病毒發(fā)作之前的一個階段。在這個階段，計(jì)算機(jī)病毒的行為主要是以潛伏和傳播為主。計(jì)算機(jī)病毒會以各種手法來隱藏自己，在不被發(fā)現(xiàn)的同時，又自我復(fù)制，以各種手段進(jìn)行傳播。第38頁,共72頁，2024年2月25日，星期天397.3.2病毒發(fā)作時的癥狀計(jì)算機(jī)病毒發(fā)作是指滿足計(jì)算機(jī)病毒發(fā)作的條件，病毒被激活，并開始破壞行為的階段。計(jì)算機(jī)病毒發(fā)作時的表現(xiàn)各不相同，這與計(jì)算機(jī)病毒編寫者的心態(tài)、所采用的技術(shù)手段等密切相關(guān)。第39頁,共72頁，2024年2月25日，星期天407.3.3病毒發(fā)作后的癥狀硬盤無法激活，數(shù)據(jù)丟失。以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤。系統(tǒng)文件丟失或被破壞。文件目錄發(fā)生混亂。病毒破壞宿主程序。部分文檔丟失或被破壞。文件內(nèi)容顛倒。部分文件自動加密碼。內(nèi)部堆棧溢出。計(jì)算機(jī)重新激活時格式化硬盤。禁止分配內(nèi)存。破壞主板。破壞光驅(qū)。破壞顯卡?；ㄆ痢＠速M(fèi)噴墨打印機(jī)的墨水。系統(tǒng)文件的時間、日期、大小發(fā)生變化。Word文檔打開后，該文件另存時只能以模板方式保存。磁盤空間迅速減少。網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用?；緝?nèi)存發(fā)生變化。陌生人發(fā)來的電子郵件。自動鏈接到一些陌生的網(wǎng)站。第40頁,共72頁，2024年2月25日，星期天417.4反病毒技術(shù)網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒等3種技術(shù)。預(yù)防病毒技術(shù)，它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。檢測病毒技術(shù)，它是通過病毒的特征來判斷病毒行為、類型等的技術(shù)。殺毒技術(shù)，它通過對計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。第41頁,共72頁，2024年2月25日，星期天427.4.1預(yù)防病毒技術(shù)防治感染病毒主要有兩種手段，一是用戶遵守和加強(qiáng)安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢，把防病毒納入到網(wǎng)絡(luò)安全體系之中，形成一套完整的安全機(jī)制，使病毒無法逾越計(jì)算機(jī)安全保護(hù)的屏障，病毒便無法廣泛傳播。實(shí)踐證明，通過這些防護(hù)措施和手段，可以有效地降低計(jì)算機(jī)系統(tǒng)被病毒感染的幾率，保障系統(tǒng)的安全穩(wěn)定運(yùn)行。第42頁,共72頁，2024年2月25日，星期天432.網(wǎng)絡(luò)病毒的防治(1)基于工作站的防治方法工作站是網(wǎng)絡(luò)的門，只要將這扇門關(guān)好，就能有效地防止病毒的入侵。單機(jī)反病毒手段，如單機(jī)反病毒軟件、防病毒卡等同樣可保護(hù)工作站的內(nèi)存和硬盤，因而這些手段在網(wǎng)絡(luò)反病毒大戰(zhàn)仍然大有用武之地，在一定程度上可以有效阻止病毒在網(wǎng)絡(luò)中的傳播。第43頁,共72頁，2024年2月25日，星期天44(2)基于服務(wù)器的防治方法服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會使整個網(wǎng)絡(luò)陷于癱瘓。目前，基于服務(wù)器的防治病毒方法大都采用了以NLM（NetwareLoadableModule）可裝載模塊技術(shù)進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時掃描病毒能力。第44頁,共72頁，2024年2月25日，星期天457.4.2檢測病毒技術(shù)檢測計(jì)算機(jī)上是否被病毒感染，通?？梢苑謨煞N方法，手工檢測和自動檢測。第45頁,共72頁，2024年2月25日，星期天46手工檢測是指通過一些工具軟件，如D，Pctools.exe，N和Sysinfo.exe等進(jìn)行病毒的檢測。其基本過程是利用這些工具軟件，對易遭病毒攻擊和修改的內(nèi)存及磁盤的相關(guān)部分進(jìn)行檢測，通過與正常情況下的狀態(tài)進(jìn)行對比來判斷是否被病毒感染。這種方法要求檢測者熟悉計(jì)算機(jī)指令和操作系統(tǒng)，操作比較復(fù)雜，容易出錯且效率較低，適合計(jì)算機(jī)專業(yè)人員使用，因而無法普及。但是，使用該方法可以檢測和識別未知的病毒，以及檢測一些自動檢測工具不能識別的新病毒。第46頁,共72頁，2024年2月25日，星期天47自動檢測是指通過一些診斷軟件和殺毒軟件，來判斷一個系統(tǒng)或磁盤是否有毒，如使用瑞星、金山毒霸、江民殺毒軟件等。該方法可以方便地檢測大量病毒，且操作簡單，一般用戶都可以進(jìn)行。但是，自動檢測工具只能識別已知的病毒，而且它的發(fā)展總是滯后于病毒的發(fā)展，所以自動檢測工具總是對相對數(shù)量的病毒不能識別。第47頁,共72頁，2024年2月25日，星期天481.比較法比較法是將原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時可以利用打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、FC或PCTOOLS等其他軟件）。第48頁,共72頁，2024年2月25日，星期天492.特征代碼法特征代碼法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字符串所代表的計(jì)算機(jī)病毒，這種計(jì)算機(jī)病毒掃描軟件稱之為VirusScanner。第49頁,共72頁，2024年2月25日，星期天503.分析法分析法是防殺計(jì)算機(jī)病毒不可缺少的重要技術(shù)，任何一個性能優(yōu)良的防殺計(jì)算機(jī)病毒系統(tǒng)的研制和開發(fā)都離不開專門人員對各種計(jì)算機(jī)病毒的詳盡而準(zhǔn)確的分析。第50頁,共72頁，2024年2月25日，星期天514.校驗(yàn)和法計(jì)算正常文件的校驗(yàn)和，并將結(jié)果寫入此文件或其他文件中保存。在文件使用過程中或使用之前，定期檢查文件的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否被感染，這種方法稱為校驗(yàn)和法。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外，還納入校驗(yàn)和法，以提高其檢測能力。第51頁,共72頁，2024年2月25日，星期天525.行為監(jiān)測法利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。病毒具有某些共同行為，而且這些行為比較特殊。在正常程序中，這些行為比較罕見。當(dāng)程序運(yùn)行時，監(jiān)視其行為，如果發(fā)現(xiàn)病毒行為，立即報(bào)警。第52頁,共72頁，2024年2月25日，星期天536.軟件仿真掃描法該技術(shù)專門用于對付多態(tài)性計(jì)算機(jī)病毒。多態(tài)性計(jì)算機(jī)病毒在每次傳染時，都將自身以不同的隨機(jī)數(shù)加密于每個感染的文件中，傳統(tǒng)的特征代碼法根本無法找到這種計(jì)算機(jī)病毒。因?yàn)槎鄳B(tài)性病毒代碼實(shí)施密碼化，而且每次所用密鑰不同，即使把染毒的病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為監(jiān)測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因?yàn)椴荒芘袛嗖《镜姆N類，所以難以做進(jìn)一步處理。軟件仿真技術(shù)則能成功地仿真CPU執(zhí)行，在DOS虛擬機(jī)下偽執(zhí)行計(jì)算機(jī)病毒程序，安全地將其解密，然后再進(jìn)行掃描。第53頁,共72頁，2024年2月25日，星期天547.先知掃描法先知掃描技術(shù)是繼軟件仿真后的又一大技術(shù)突破。既然軟件仿真可以建立一個保護(hù)模式下的DOS虛擬機(jī)，仿真CPU動作并偽執(zhí)行程序以解開多態(tài)變形計(jì)算機(jī)病毒，那么應(yīng)用類似的技術(shù)也可以用于分析一般程序，檢查可疑的計(jì)算機(jī)病毒代碼。先知掃描技術(shù)就是將專業(yè)人員用來判斷程序是否存在計(jì)算機(jī)病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，再利用軟件仿真技術(shù)偽執(zhí)行新的計(jì)算機(jī)病毒，超前分析出新計(jì)算機(jī)病毒代碼，用于對付以后的計(jì)算機(jī)病毒。第54頁,共72頁，2024年2月25日，星期天558.人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)人工智能陷阱是一種監(jiān)測計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有計(jì)算機(jī)病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用者。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡便，且可以檢測到各種計(jì)算機(jī)病毒；其缺點(diǎn)是程序設(shè)計(jì)難度大，且不容易考慮周全。在這千變?nèi)f化的計(jì)算機(jī)病毒世界中，人工智能陷阱掃描技術(shù)是具有主動保護(hù)功能的新技術(shù)。

第55頁,共72頁，2024年2月25日，星期天569.實(shí)時I/O掃描實(shí)時I/O掃描的目的在于即時對計(jì)算機(jī)上的輸入/輸出數(shù)據(jù)作病毒碼比對，希望能夠在病毒尚未被執(zhí)行之前，將病毒防御于門外。理論上，這樣的實(shí)時掃描技術(shù)會影響到數(shù)據(jù)的輸入/輸出速度。其實(shí)不然，在文件輸入之后，就等于掃過一次毒了。如果掃描速度能夠提高很多的話，這種方法確實(shí)能對數(shù)據(jù)起到一個很好的保護(hù)作用。第56頁,共72頁，2024年2月25日，星期天5710.網(wǎng)絡(luò)病毒檢測技術(shù)網(wǎng)絡(luò)監(jiān)測法是一種檢查、發(fā)現(xiàn)網(wǎng)絡(luò)病毒的方法。根據(jù)網(wǎng)絡(luò)病毒主要通過網(wǎng)絡(luò)傳播的特點(diǎn)，感染網(wǎng)絡(luò)病毒的計(jì)算機(jī)一般會發(fā)送大量的數(shù)據(jù)包，產(chǎn)生突發(fā)的網(wǎng)絡(luò)流量，有的還開放固定的TCP/IP端口。用戶可以通過流量監(jiān)視，端口掃描和網(wǎng)絡(luò)監(jiān)聽來發(fā)現(xiàn)病毒，這種方法對查找局域網(wǎng)內(nèi)感染網(wǎng)絡(luò)病毒的計(jì)算機(jī)比較有效。第57頁,共72頁，2024年2月25日，星期天587.4.3殺毒技術(shù)1.引導(dǎo)型病毒的清除2.宏病毒的清除3.文件型病毒的清除4.病毒的去激活5.使用殺病毒軟件清除病毒6.網(wǎng)絡(luò)病毒的清除第58頁,共72頁，2024年2月25日，星期天597.5計(jì)算機(jī)病毒發(fā)展的新技術(shù)計(jì)算機(jī)病毒的廣泛傳播，推動了反病毒技術(shù)的發(fā)展。新的反病毒技術(shù)的出現(xiàn)，又迫使計(jì)算機(jī)病毒技術(shù)再次更新。兩者相互激勵，呈螺旋式上升，不斷地提高各自的水平，在此過程中出現(xiàn)了許多計(jì)算機(jī)病毒新技術(shù)，其主要目的是為了使計(jì)算機(jī)病毒能夠廣泛地進(jìn)行傳播。第59頁,共72頁，2024年2月25日，星期天607.5.1抗分析病毒技術(shù)抗分析病毒技術(shù)是針對病毒分析技術(shù)的，為了使病毒分析者難以清楚地分析出病毒原理，這種病毒綜合采用了以下兩種技術(shù)：加密技術(shù)，這是一種防止靜態(tài)分析的技術(shù)，它使分析者無法在不執(zhí)行病毒的情況下，閱讀加密過的病毒程序。反跟蹤技術(shù)，此技術(shù)使分析者無法動態(tài)跟蹤病毒程序的運(yùn)行。在無法靜態(tài)分析和動態(tài)跟蹤的情況下，病毒分析者是無法知道病毒的工作原理的。第60頁,共72頁，2024年2月25日，星期天617.5.2隱蔽性病毒技術(shù)計(jì)算機(jī)病毒剛開始出現(xiàn)時，人們對這種新生事物認(rèn)識不足，計(jì)算機(jī)病毒不需要采取隱蔽技術(shù)就能達(dá)到廣泛傳播的目的。然而，當(dāng)人們越來越了解計(jì)算機(jī)病毒，并有了一套成熟的檢測病毒的方法時，病毒若廣泛地傳播，就必須能夠躲避現(xiàn)有的病毒檢測技術(shù)。第61頁,共72頁，2024年2月25日，星期天627.5.3多態(tài)性病毒技術(shù)多態(tài)性病毒是指采用特殊加密技術(shù)編寫的病毒，這種病毒每感染一個對象，就采用隨機(jī)方法對病毒主體進(jìn)行加密，不斷改變其自身代碼，這樣放入宿主程序中的代碼互不相同，不斷變化，同一種病毒就具有了多種形態(tài)。多態(tài)性病毒是針對查毒軟件而設(shè)計(jì)的，所以隨著這類病毒的增多，查毒軟件的編寫也變得更困難，并且還會帶來誤報(bào)。國際上造成全球范圍內(nèi)的傳播和破壞的第一例多態(tài)性病毒是TEQUTLA人病毒，從該病毒的出現(xiàn)到編制出能夠完全查出該病毒的軟件，研究人員花費(fèi)了9個月的時間。

第62頁,共72頁，2024年2月25日，星期天637.5.4超級病毒技術(shù)超級病毒技術(shù)是一種很先進(jìn)的病毒技術(shù)。其主要目的是對抗計(jì)算機(jī)病毒的預(yù)防技術(shù)。第63頁,共72頁，2024年2月25日，星期天647.5.5插入性病毒技術(shù)病毒感染文件時，一般將病毒代碼放在文件頭部，或者放在尾部，雖然可能對宿主代碼做某些改變，但總的來說，病毒與宿主程序有明確界限。插入性病毒在不了解宿主程序的功能及結(jié)構(gòu)的情況下，能夠?qū)⑺拗鞒绦驍r腰截?cái)唷Ｔ谒拗鞒绦蛑胁迦氩《境绦?，此類病毒的編寫也是相?dāng)困難的。對宿主程序的切斷處理不當(dāng)，很容易死機(jī)。第64頁,共72頁，2024年2月25日，星期天657.5.6破壞性感染病毒技術(shù)破壞性感染病毒技術(shù)是針對計(jì)算機(jī)病毒消除技術(shù)而設(shè)計(jì)的。計(jì)算機(jī)病毒消除技術(shù)是將被感染程序中的病毒代碼摘除，使之變?yōu)闊o毒的程序。一般病毒感染文件時，不傷害宿主程序代碼。有的病毒雖然會移動或變動部分宿主代碼，但在內(nèi)存運(yùn)行時，還是要恢復(fù)其原樣，以保證宿主程序正常運(yùn)行。破壞性感染病毒則將病毒代碼覆蓋式寫入宿主文件，染毒后的宿主文件丟失了與病毒代碼等長的源代碼。如果宿主文件長度小于病毒代碼長度，則宿主文件全部丟失，文件中的代碼全部是病毒代碼。破壞性感染病毒是病毒中的絕癥，被感染的文件，其宿主文件少則丟失幾十字節(jié)，多則丟失幾十KB，嚴(yán)重的甚至?xí)縼G失。如果宿主程序沒有副本，感染后任何人、任何工具都無法補(bǔ)救，所以此種病毒無法做常規(guī)的消毒處理。第65頁,共72頁，2