計(jì)算機(jī)病毒與防治

信息數(shù)據(jù)面臨的威脅

邏輯炸彈

蠕蟲(chóng)內(nèi)部、外部泄密2

什么是計(jì)算機(jī)病毒?

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

第二十八條中明確指出：

“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程

序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影

響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)里

令或者程序代碼?！?/p>

此定義具有法律性、權(quán)威性。

和3b冷WnbySee/eO6rdtng

黑客/病毒產(chǎn)業(yè)鏈分析

竊取機(jī)變信息

入侵企業(yè)

服務(wù)器

盜取海戊道

表虛擬貨幣

中間批發(fā)商通過(guò)各

入侵網(wǎng)絡(luò)游種槊迤進(jìn)行銷他

戲服務(wù)器

入侵者

金錢

編寫病毒

主動(dòng)攻擊

盜取證券交易y勒索網(wǎng)站

帳號(hào)

拒絕;服若攻擊

傳播病I傭金

4

常見(jiàn)病毒介紹?熊貓燒香

2006年12月27日，因特網(wǎng)上很多

計(jì)算機(jī)遭受不明病毒攻擊，由于中毒電腦的

可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案，所以也

被稱為“熊貓燒香”病毒。

用戶電腦中毒后可能會(huì)出現(xiàn)藍(lán)屏、頻繁重

啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

同時(shí)，該病毒的某些變種可以通過(guò)局域網(wǎng)進(jìn)

行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，

最終導(dǎo)致整個(gè)局域網(wǎng)癱瘓，無(wú)法正常使用。

圖三：“熊貓燒香”病毒用自動(dòng)“掛馬”的方式傳播

用戶

a

s

tck.oocwshom.ocxactmovie.exeappend.exeatmadm.exe

attnb.exeautocM；.exe^utoconv?exeautofmt.exeautolfn.exebootok.exebootvrfy.exe

cads.execdpJayer.execharmap.exechkdsk-exechkntfs.exedpher.exe

ckcnv.exediconfg.execluster.execmd.execmdl32.execmmgr32.execmmon32.exe

朝

cmstp.execomdList.execomp.execompact.execonlme.execontrol.execonvert,exe

□

cscnpt.exec$r$$.exedcomcnfg.exeddeshare.exeddmprxy.exedebug.exediants.exe

A熊貓燒香病毒它能感染系統(tǒng)中exe,com,pif,src,html,asp等文

件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件,

（.gho為GHOST的備份文件），使用戶的系統(tǒng)備份文件丟失。被感染的

用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

7

U-卜OO/<CQr->O4

Runtimeerror5at0040BDB4

at0040BDB4確定

error5a

Runtimeerror5at0040BDB4

確定br5at0040BDB4

at0040BDB4

確定確定untimeerror5at0040BDB4

rfor確定0BDB4

Runtimeerror5at0040BDB4

確定

確定Runtimeerror5at0040BDB4

確定

"31Runtime

Runtimeerror5at0040BDB4

確定

RiRuntimeei

neerror5at0040BDB4

』確定I

E.網(wǎng)2E.|*E.±|卻"&4#

被感染的電腦發(fā)生異常

8

流行病毒介紹?熊貓燒香

1、打開(kāi)“我的電腦”，用鼠標(biāo)右鍵點(diǎn)擊“C盤”、“D盤”

等圖標(biāo)，在彈出的菜單中會(huì)出現(xiàn)名為“Auto"的項(xiàng)目。

Auto

萌玲…

打開(kāi)⑼

本地磁盤（［

資源管理器（冷

共享和安全⑻…

有可移動(dòng)存楮的設(shè)備圖添加到壓縮文件（且…

圉添加到"Archive,rar"（D

囹壓縮并E-mall…

3.5軟盤（A囹壓縮到"Archive,rar"并E-mail

格式化⑧…

9

流行病毒介紹?熊貓燒香

2、用一些輔助工具，可以看到根目錄下有名為

“setup.exe”和"autorun.inf”的文件，其中

“setup.exe〃的圖標(biāo)為“熊貓燒香”。

仝

■;9本地磁盤（C：）

名稱Q1大小類型

口WINDOWS文件夾2006-11-2815:42

^AUTOEXEC.BAT0MS-DOS批處理文件2005-6-1415:58

J^autorun.inf81安裝信息2007-1-2310:19

boot,ini211配置設(shè)置2005-6-1414:50

bootFont.bin322,730BIN文件2002-10-720:00

§|CONFIG.SYS0系統(tǒng)文件2005-6-1415:58

|E^|hiberfil.sys267,964,416系統(tǒng)文件2006-11-2815:41

HIO.SYS0系統(tǒng)文件2005-6-1415:58

§MSDOS.SYS0系統(tǒng)文件2005-6-1415:58

HNTDETECT.COM47戶64MS-DOS應(yīng)用程序2004-8-322:38

畫(huà)ntldr257,200系統(tǒng)文件2004-8-322:59

回pagefile.sys402,653,184系統(tǒng)文件2006-11-2815:41

MJsetup.exe39,424應(yīng)用程序2007-1-2310:19

IQ—已經(jīng)選擇1個(gè)文件夾總計(jì)6文件夾和671,2110

“熊貓燒香”病毒分析與處理

病毒名稱：Worm.Nimaya（"尼姆亞"蠕蟲(chóng)病毒）

依賴系統(tǒng)：WIN9X/NT/2000/XP

傳播方式：通過(guò)惡意網(wǎng)頁(yè)傳播，可通過(guò)局域網(wǎng)、移動(dòng)存儲(chǔ)設(shè)備等傳播

技術(shù)分析（以Spoclsv.exe為例）：

常見(jiàn)病毒進(jìn)程名稱：Spoclsv.exe等；

病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄下：

%System%\drivers\spodsv.exe;

創(chuàng)建啟動(dòng)項(xiàng)：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改注冊(cè)表信息干擾“顯示所有文件和文件夾”設(shè)置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E

xplorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

11

“熊貓燒香”病毒分析與處理

在各分區(qū)根目錄生成副本:結(jié)束一些進(jìn)程：禁用一系列服務(wù)：

X:\setup.exeMcshield.exeRsCCenter

X:\autorun.infVsTskMgr.exeRsRavMon

內(nèi)容:naPrdMgr.exe

autorun.infRsCCenter刪除若干安全軟件啟動(dòng)項(xiàng)信息:

UpdaterUI.exe

[AutoRun]RsRavMonvT夕qk

OPEN=setup.exeTBMon.exeKVWSC

KvMonXP

shellexecute=setup.exescan32.exeKVSrvXP

kav

shell\Auto\command=setup.eRavmond.exekavsvcj卡巴

KAVPersonal50

xeCCenter.exer>AVP-麥克菲

瑞星,McAfeeUpdaterUIz一

RavTask.exeMcAfeeFramework

1NetworkAssociates

嘗試關(guān)閉下列窗口：Rav.exeMcShield

ErrorReportingService

QQKavRavmon.exeMcTaskManager

ShStatEXE

QQAVRavmonD.exenavapsvc

YLive.exe

VirusScanRavStub.exewscsvc

Yassistse

SymantecAntiVirusKVXP.kxpKPfwSvc

DubaKvMonXP.kxp江民'SNDSrvc使用netshare命令刪除管理共

WindowsKVCenter.kxpccProxy享.

KVSrvXP.exe

esteemprocsccEvtMgrnetshareX$/del/y

KRegEx.exe

SystemSafetyMonitorccSetMgrnetshareadmin$/del/y

WrappedgiftKi1lerUIHost.exeSPBBCSvcnetshareIPC$/del/y

WinsockExpertTrojDie.kxpSymantecCoreLC

msctls_statusbar32FrogAgent.exeNPFMntor

pjf(ustc)Logoi-,exeMskService

“熊貓燒香”病毒分析與處理

遍歷感染除以下系統(tǒng)目錄夕卜的exe、com、scr、pif文件：嘗試弱密碼訪問(wèn)網(wǎng)內(nèi)其它計(jì)算機(jī):

password

X:\WINDOWSihavenopassasdf

X:\Winntharley

godblessyoupwd

X:\SystemVolumeInformationgolf

pussyenableqwer

X:\Recycled

mustangalphayxcv

%ProgramFiles%\WindowsNT

shadow1234qwerzxcv

%ProgramFiles%\Windowsllpdatefish

123abchome

%ProgramFiles%\WindowsMediaPlayerqwerty

aaaXXX

%ProgramFiles%\OutlookExpressbaseballowner

Patrick

%ProgramFiles%\lnternetExplorerletmeinlogin

%ProgramFiles%\NetMeetingcccpat

Loain

%ProgramFiles%\CommonFilesadmin

administratorlove

%ProgramFiles%\ComPlusApplicationsabc

rootmypc

%ProgramFiles%\Messengerpasssex

passwdmypcl23

%ProgramFiles%\lnstallShieldInstallationInformation

databasegodadmin123

%ProgramFiles%\MSN

obcdfoobarmypass

%ProgramFiles%\Microso什Frontpage

abc!23secretmypassl23

%ProgramFiles%\MovieMaker

SybaseTestAdministrator

%ProgramFiles%\MSNGaminZone

123qwetest123Guest

Server

tempadmin

將自身捆綁在被感染文件前端，并在尾部添加標(biāo)記信息：Computer

temp123Root

.WhBoy｛原文件名｝.exe.｛原文件大?。?super

123asdwin

另外還發(fā)現(xiàn)病毒會(huì)覆蓋少量exe,刪除.gh。文件;

13

“熊貓燒香”病毒分析與處

理

清除步驟______________________________________________________________________

1.首先斷開(kāi)網(wǎng)絡(luò)；

2.一定要先結(jié)束病毒進(jìn)程spodsv.exe等；

3.刪除病毒文件：%System%\drivers\spoclsv.exe

4.右鍵點(diǎn)擊分區(qū)盤符，在右鍵菜單中的“打開(kāi)”進(jìn)入分區(qū)根目錄，刪除根目錄下的文件：

X:\setup.exeX:\autorun.inf

5.刪除病毒創(chuàng)建的啟動(dòng)項(xiàng)：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

6.修改注冊(cè)表設(shè)置，恢復(fù)“顯示所有文件和文件夾”選項(xiàng)功能：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001

7.至ijh甘p:///Chclnnels/Service/inclex.shtml下載瑞星最新版本的''Worm.Nimaya

（熊貓燒香）專用清除工具“，使用該工具進(jìn)行掃描查殺；

8.修復(fù)或重新安裝殺毒軟件，并進(jìn)行全盤掃描，清除恢復(fù)被感染的exe文件；

9.注：如果上述操作在正常模式下有問(wèn)題，請(qǐng)啟動(dòng)至安全模式下進(jìn)行操作！

14

熊貓燒香—李俊

2009年12月24日，入獄3年的李

俊因表現(xiàn)良好，被提前一年釋放。

社會(huì)需要寬容，但不需要縱容，

若把犯罪作為找工作的籌碼，那

是一個(gè)很壞的榜樣。

U盤病毒和

Autorun.inf分析

16

U盤病毒和Automn.inf分析

u盤病毒主要通過(guò)u盤、移動(dòng)硬盤傳播。目前幾乎

所有這類的病毒的最大特征都是利用autoniiLinf這個(gè)

來(lái)侵入的，而事實(shí)上autorun.inf相當(dāng)于一個(gè)傳染途徑,

經(jīng)過(guò)這個(gè)途徑入侵的病毒，理論上是“任何”病毒。

因此目前無(wú)法單純說(shuō)U盤病毒就是什么病毒，也因此

導(dǎo)致在查殺上會(huì)存在混亂，因?yàn)閁盤病毒不止一種或

幾十種，詳細(xì)的數(shù)字沒(méi)人去統(tǒng)計(jì)。

17

熊貓燒香的內(nèi)容:

autorun.inf內(nèi)容：

[AutoRun]〃自動(dòng)運(yùn)行

OPEN=setup.exe〃執(zhí)行“setup.exe”這個(gè)程序的內(nèi)

核結(jié)構(gòu)，就是運(yùn)行其程序主要功能

shellexecute=setup.exe//執(zhí)行“setup.exe”這個(gè)程

序的外殼文件，就是加載該程序的可視化界面。不過(guò)病毒

制作者隱藏了該程序的外觀圖形界面；

shell\Auto\command=setup.exe//自動(dòng)力口載運(yùn)行

'setup.exe'這個(gè)程序.〃。

18

U盤病毒和Autorun.inf分析

?Antonin.inf是個(gè)WindowsXP的“創(chuàng)口”

autonm.iiif這個(gè)文件是很早就存在的，在WinXP以前的其

他windows系統(tǒng)（如Win98,2000等），需要讓光盤、U盤插入

到機(jī)器自動(dòng)運(yùn)行的話，就要靠autonm.inf。這個(gè)文件是保存在

驅(qū)動(dòng)器的根目錄下的（是一個(gè)隱藏的系統(tǒng)文件），它保存著一

些簡(jiǎn)單的命令，告訴系統(tǒng)這個(gè)新插入的光盤或硬件應(yīng)該自動(dòng)啟

動(dòng)什么程序。

病毒作者可以利用自動(dòng)啟動(dòng)這一點(diǎn)，讓移動(dòng)設(shè)備在用戶系統(tǒng)

完全不知情的情況下，“自動(dòng)”執(zhí)行任何命令或應(yīng)用程序。

19

U盤病毒和Automn.inf分析

?誤雙擊u盤后病毒做了什么

如果u盤帶有一些病毒，就會(huì)有一個(gè)現(xiàn)象，當(dāng)你點(diǎn)擊

U盤時(shí)，會(huì)多了一些東西：在U盤、各個(gè)硬盤分區(qū)（C、

D、E、F盤……）的右鍵菜單多了“自動(dòng)播放”、

“Autorun"、"Open"、“Browser”等項(xiàng)目；正常情況

下沒(méi)有這些項(xiàng)目。

20

U盤病毒和Autorun.inf分析

>Autonm.inf本身是正常的文件，但可被利用作其他惡

意的操作；

?不同的人可通過(guò)Autonm.ii!瞰置不同的病毒，因此無(wú)

法簡(jiǎn)單說(shuō)是什么病毒，可以是一切病毒、木馬、黑客程

序等；

A一般情況下，U盤不應(yīng)該有Autonm.inf文件；

?如果發(fā)現(xiàn)U盤有Autonm.iiif,且不是你自己創(chuàng)建生成的,

請(qǐng)刪除它，并且盡快查毒

21

U盤病毒和Autonm.inf分析

?讓Autonin.inf更老實(shí)一些

A一般建議插入U(xiǎn)盤時(shí)，不要雙擊U盤；

A插入后，用右鍵點(diǎn)擊U盤，選擇“資源管理器”來(lái)打開(kāi)U盤；

A我們也可以對(duì)U盤采取一些預(yù)防措施，來(lái)阻斷病毒的傳播路徑。在

U盤中新建一個(gè)文件夾，命名為“AutoRim.inP,根據(jù)同名文件與

同名文件夾不能共存的原理，以后即使在有毒的電腦上使用U盤，

病毒因不能創(chuàng)建AutoRim.iiif文件而無(wú)法在別的電腦上運(yùn)行，這就

阻斷了AutoRun病毒的傳播路徑。

注：部分U盤制造商可能也會(huì)利用Autonm.iiif進(jìn)行自己的特色設(shè)計(jì)，目的是

為了讓用戶執(zhí)行廠商的特色程序。已確認(rèn)部分廠商確實(shí)使用了這種方式，

因此建議購(gòu)買U盤是先做識(shí)別，或咨詢銷售人員。

22

病毒工作原理

計(jì)算機(jī)系統(tǒng)的內(nèi)存是一個(gè)非常重要的資源，我們可以認(rèn)為所有

的工作都需要在內(nèi)存中運(yùn)行（相當(dāng)于人的大腦），所以控制了

內(nèi)存就相當(dāng)于控制了人的大腦，病毒一般都是通過(guò)各種方式把

自己植入內(nèi)存，獲取系統(tǒng)最高控制權(quán)，然后感染在內(nèi)存中運(yùn)行

的程序。

23

切記

病毒傳染的前彳就是，它必須把自己復(fù)制到內(nèi)存中，硬盤

中的帶毒文件如果沒(méi)有被讀入內(nèi)存，是不會(huì)傳染的，這在

殺毒中非常重要。

所以：病毒和殺毒軟件斗爭(zhēng)的焦點(diǎn)就在于爭(zhēng)奪啟動(dòng)后的內(nèi)

存控制權(quán)。

24

計(jì)算機(jī)病毒的分類(1)

1.以病毒攻擊的操作系統(tǒng)分類

(1)攻擊DOS系統(tǒng)的病毒

(2)攻擊Windows系統(tǒng)的病毒

(3)攻擊UNIX系統(tǒng)的病毒

(4)攻擊OS/2系統(tǒng)的病毒

(5)攻擊NetWare系統(tǒng)的病毒

2.以病毒的攻擊機(jī)型分類

(1)攻擊微型計(jì)算機(jī)的病毒

(2)攻擊小型機(jī)的計(jì)算機(jī)病毒

(3)攻擊服務(wù)器的計(jì)算機(jī)病毒

25

計(jì)算機(jī)病毒的分類(2)

3.按照計(jì)算機(jī)病毒的鏈接方式分類

(1)源碼型病毒

(2)嵌入型病毒將計(jì)算機(jī)病毒的主體程序與其攻擊對(duì)

象以插入方式進(jìn)行鏈接，一旦進(jìn)入程序中就難以清除。

(3)外殼型病毒圈自身包圍在合法的主程序的周圍，

對(duì)原來(lái)的程序并不作任何修改。常見(jiàn)、易于編寫、易

發(fā)現(xiàn)。

(4)操作系統(tǒng)型病毒操作系統(tǒng)型病毒會(huì)用它自己的

程序加入操作系統(tǒng)或者取代部分操作系統(tǒng)進(jìn)行工作，

具有很強(qiáng)的破壞力，會(huì)導(dǎo)致整個(gè)系統(tǒng)癱瘓。

26

計(jì)算機(jī)病毒的分類（3）

4.按照計(jì)算機(jī)病毒的破壞情況分類

1）良性計(jì)算機(jī)病毒2）惡性計(jì)算機(jī)病毒。

5.按照計(jì)算機(jī)病毒激活的時(shí)間分類

分為定時(shí)的和隨機(jī)的。

6.按照傳播媒介分類

1）單機(jī)病毒2）網(wǎng)絡(luò)病毒

7.按照寄生方式和傳染途徑分類

寄生方式大致可分為兩類：一是引導(dǎo)型病毒；二是文件

型病毒。

傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存型。

27

引導(dǎo)型病毒的傳播

工作原理：引導(dǎo)型病毒感染的不是文件，而是磁盤引導(dǎo)區(qū)，

它把自己寫入引導(dǎo)區(qū)，這樣，只要磁盤被讀寫，病毒就

首先被讀取入內(nèi)存

傳播：在計(jì)算機(jī)啟動(dòng)時(shí)，必須讀取硬盤主引導(dǎo)區(qū)獲得分區(qū)信

息，再讀取C盤引導(dǎo)區(qū)獲取操作系統(tǒng)信息，這時(shí)候任何殺

毒軟件都無(wú)法控制，隱藏在引導(dǎo)區(qū)的病毒自然順利入駐

內(nèi)存

28

計(jì)算機(jī)病毒特征

根據(jù)對(duì)計(jì)算機(jī)病毒的產(chǎn)生、傳播和破壞行為的分析，可以

修計(jì)算機(jī)病毒概括為以下6個(gè)主要特點(diǎn)。

1.傳染性指病毒具有把自身復(fù)制的特性

2.取得系統(tǒng)控制權(quán)

3.隱蔽性通過(guò)隱蔽技術(shù)使宿主程序的大小沒(méi)有改變，

以至于很難被發(fā)現(xiàn)。

4.破壞性計(jì)算機(jī)所有資源包括硬件資源和軟件資源，

軟件所能接觸的地方均可能受到計(jì)算機(jī)病毒的破壞

5.潛伏性長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足特定條件時(shí),

才啟動(dòng)其破壞模塊。

6.不可預(yù)見(jiàn)性

29

計(jì)算機(jī)病毒的傳播途徑

1.移動(dòng)存儲(chǔ)設(shè)備

包括硬盤、移動(dòng)硬盤、光盤等。硬盤是數(shù)據(jù)

的主要存儲(chǔ)介質(zhì)，因此也是計(jì)算機(jī)病毒感染的主

要目標(biāo)。

2.網(wǎng)絡(luò)

目前大多數(shù)病毒都是通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的。

30

基于瀏覽器的病毒

網(wǎng)頁(yè)病毒是利用網(wǎng)頁(yè)來(lái)進(jìn)行破壞的病毒，它使用一些

SCRIPT語(yǔ)言編寫的一些惡意代碼利用瀏覽器的漏洞來(lái)

實(shí)現(xiàn)病毒植入。當(dāng)用戶登錄某些含有網(wǎng)頁(yè)病毒的網(wǎng)站時(shí)

,網(wǎng)頁(yè)病毒便被悄悄激活，這些病毒一旦激活，可以利

用系統(tǒng)的一些資源進(jìn)行破壞。

用戶瀏覽一個(gè)外部網(wǎng)頁(yè)，該網(wǎng)頁(yè)代碼就將下載到本地的

IE瀏覽器的臨時(shí)目錄..\TemporaryInternetFiles,

然后由瀏覽器根據(jù)頁(yè)面代碼進(jìn)行解釋執(zhí)行。

31

與病毒相關(guān)的幾個(gè)名詞

黑客Hacker

木馬Trojan

蠕蟲(chóng)Worm

垃圾郵件Spamemail

流氓軟件Hooligansoftware

32

木馬(Trojan)

這個(gè)名字來(lái)源于古希臘傳說(shuō)，它是

指通過(guò)一段特定的程序（木馬程序）

來(lái)控制另一臺(tái)計(jì)算機(jī)。

木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)

是客戶端，即控制端，另一個(gè)是服務(wù)

端，即被控制端。

木馬的設(shè)計(jì)者為了防止木馬被發(fā)

現(xiàn)，而采用多種手段隱藏木馬。

33

蠕蟲(chóng)1Worm

它能傳播請(qǐng)注意：

它自身功與病毒不同,

蠕蟲(chóng)不需要

能的拷貝將其自身附

或它的某著到宿主程

些部分到序。

其他的計(jì)|有兩種類型

的蠕蟲(chóng)—

算機(jī)系統(tǒng)主機(jī)蠕蟲(chóng)

中。網(wǎng)絡(luò)蠕蟲(chóng)

34

垃圾郵件/垃圾短信

一）收件人事先沒(méi)有提出要求或者同意接收的廣告、電子刊

物、各種形式的宣傳品等宣傳性的電子郵件；

二）收件人無(wú)法拒收的電子郵件；

三）隱藏發(fā)件人身份、地址、標(biāo)題等信息的電子郵件；

四）含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。

35

流氓軟件hooligansoftware

流氓軟件”是介于病毒

和正規(guī)軟件之間的軟件。

既有一定的實(shí)用價(jià)值（下載、

媒體播放等）,也會(huì)給用戶

帶來(lái)種種干擾（彈廣告、開(kāi)

后門、瀏覽器劫持）。

36

流氓軟件的特點(diǎn):

L未經(jīng)用戶許可強(qiáng)行潛伏到用戶電腦中

2.此類程序無(wú)卸載程序，無(wú)法正常卸載和刪除，強(qiáng)行刪除后還會(huì)自動(dòng)

生成。

3.廣告程序會(huì)強(qiáng)迫用戶接受閱讀廣告信息，間諜軟件搜集用敏感信息

并向外發(fā)送，嚴(yán)重侵犯了用戶的選擇權(quán)和知情權(quán)。

4.殺毒軟件無(wú)法查殺

37

流氓軟件之父:

周鴻祎，湖北黃岡人。畢業(yè)于西安交大

管理學(xué)院系統(tǒng)工程系，獲碩士學(xué)位。

曾就職方正集團(tuán)。

1998年10月，為了實(shí)現(xiàn)“讓中國(guó)人能用

自己的母語(yǔ)上網(wǎng)”的理想，周鴻祎創(chuàng)建3721公司，

并在同年推出了3721“網(wǎng)絡(luò)實(shí)名”的前身——中文網(wǎng)士

3721網(wǎng)絡(luò)實(shí)名以其簡(jiǎn)單、方便的“用中文上網(wǎng)”

的理念，得到千萬(wàn)中國(guó)網(wǎng)民的認(rèn)可。但2004年前后，

3721軟件在利益驅(qū)使下，使用了眾多不良手段侵占

用戶電腦、并使得其難以被卸載、刪除，甚至致使用

戶電腦無(wú)法正常工作，從而被公認(rèn)為有“流氓行為”

的軟件，并引發(fā)“流氓軟件”一詞，而周鴻祎亦被某

些媒體稱之為“流氓軟件創(chuàng)始人之一”。

現(xiàn)任奇虎360董事長(zhǎng)。

38

病毒“免殺”技術(shù)

殺毒軟件的工作方式一般是特征碼匹配殺毒，即通過(guò)分

析病毒的特征碼來(lái)判斷病毒。而病毒只有能夠逃避過(guò)殺毒軟

件的查殺，才能順利實(shí)現(xiàn)其入侵系統(tǒng)、盜取用戶私密信息的

目的，‘免殺'病毒則應(yīng)運(yùn)而生。

?“免殺”概念

“免殺”，顧名思義就是逃避殺毒軟件的查殺，目前用

得比較多的方法主要有三種，分別是“加花指令”、“加殼”

和“修改特征碼”，通常黑客們會(huì)針對(duì)不同的情況來(lái)運(yùn)用不

同的免殺方法。

39

病毒特征代碼

特征碼，一般都是被反病毒軟件公司確定為只有該病毒才

可能會(huì)有的串一串二進(jìn)制字符串，而這字符串通常是文件里

對(duì)應(yīng)代碼或匯編指令的地址。

殺毒軟件會(huì)將這一串二進(jìn)制字符串用某種方法與目標(biāo)文件

或進(jìn)程作對(duì)比，從而判定該文件或進(jìn)程是否感染病毒。

為了防止出現(xiàn)病毒的誤查殺，可以提取出多段特征碼。這

也就是我們所說(shuō)的復(fù)合特征碼.

這是一段來(lái)自開(kāi)源殺毒軟件ClamAntivirus的病毒特征

庫(kù)的病毒特征碼：

917cb8a3dld9eb24af6c5bcf3bf7e401:

病毒名稱：Trojan.Downloader-1420

16進(jìn)制編輯器：winhex

定位特征碼：multiccll

40

病毒“免殺”技術(shù)

?免殺技術(shù)之一■:加花指令

加花是病毒免殺常用的手段，加花的原理就是通過(guò)添加加花指令

（一些垃圾指令，類型加1減1之類的無(wú)用語(yǔ)句），從而干擾殺毒軟件正常

的檢測(cè)。這是“免殺”技術(shù)中最初級(jí)的階段。

?免殺技術(shù)之二：加殼

常見(jiàn)的殼容易被識(shí)別，所以病毒加殼往往會(huì)使用到生僻殼、強(qiáng)殼、

新殼、偽裝殼、或者加多重殼等，干擾殺毒軟件正常的檢測(cè)。

“免殺技術(shù)之三：修改特征碼

病毒加殼雖然可以逃過(guò)一些殺毒軟件的查殺，但是卻逃不過(guò)內(nèi)存殺

毒，因此修改特征碼成為逃避殺毒軟件內(nèi)存查殺的唯一辦法。要修改特征

碼，就要先定位殺毒軟件的病毒庫(kù)所定位的特征碼，這有一定難度，但是

現(xiàn)在有很多工具可以定位出特征碼，只需簡(jiǎn)單修改就可完成“免殺病毒”

的制作了。

41

計(jì)算機(jī)病毒制作技術(shù)

1.腳本語(yǔ)言與ActiveX技術(shù)

新型計(jì)算機(jī)病毒卻利用JavaScript<VBScripW

本語(yǔ)言直接將病毒寫到網(wǎng)頁(yè)上，完全不需要宿主程序。

腳本語(yǔ)言執(zhí)行方式是把程序代碼寫在網(wǎng)頁(yè)上，當(dāng)連接

到這個(gè)網(wǎng)站時(shí)，瀏覽器就會(huì)利用本地的計(jì)算機(jī)系統(tǒng)資

源自動(dòng)執(zhí)行這些程序代碼，使用者就會(huì)在毫無(wú)察覺(jué)的

情況下，執(zhí)行了一些來(lái)路不明的程序，遭到病毒的攻

擊。

42

2.采用自加密技術(shù)

計(jì)算機(jī)病毒采用自加密技術(shù)就是為了防止被計(jì)算機(jī)病毒檢

測(cè)程序掃描出來(lái)，并被輕易地反匯編。計(jì)算機(jī)病毒使用了加

密技術(shù)后，對(duì)分析和破譯計(jì)算機(jī)病毒的代碼及清除計(jì)算機(jī)病

毒等工作都增加了很多困難。

利用XOR加解密，一個(gè)簡(jiǎn)單的例子：

addaa,76h〃使aa指向第一條被加密指令

xor[aa],42h〃加密第一個(gè)指令

addaa,01h〃指向下一個(gè)

xor[aa],42h〃加密第二個(gè)

43

3.采用變形技術(shù)

當(dāng)某些計(jì)算機(jī)病毒編制者通過(guò)修改某種已知計(jì)算機(jī)病

毒的代碼，使其能夠躲過(guò)現(xiàn)有計(jì)算機(jī)病毒檢測(cè)程序時(shí),

稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來(lái)被修改計(jì)算機(jī)病毒

的變形。當(dāng)這種變形了的計(jì)算機(jī)病毒繼承了原父本計(jì)

算機(jī)病毒的主要特征時(shí)，就被稱為是其父本計(jì)算機(jī)病

毒的一個(gè)變種。

44

4.采用隱形技術(shù)

當(dāng)計(jì)算機(jī)病毒采用隱形技術(shù)后，可以在計(jì)算機(jī)病毒進(jìn)入內(nèi)

存后，使計(jì)算機(jī)用戶幾乎感覺(jué)不到它的存在。

45

5.對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)

計(jì)算機(jī)病毒采用對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù)時(shí)，當(dāng)發(fā)現(xiàn)

磁盤上有某些著名的計(jì)算機(jī)病毒殺毒軟件或在文件中查找

到出版這些軟件的公司名時(shí)，就會(huì)刪除這些殺毒軟件或文

件，造成殺毒軟件失效，甚至引起計(jì)算機(jī)系統(tǒng)崩潰。

46

6.反跟蹤技術(shù)

計(jì)算機(jī)病毒采用反跟蹤措施的目的是要提高計(jì)算機(jī)病毒程

序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術(shù)

在計(jì)算機(jī)病毒程序中都可以利用。

47

7.中斷與計(jì)算機(jī)病毒

中斷是CPU處理外部突發(fā)事件的一個(gè)重要技術(shù)。它能使

CPU在運(yùn)行過(guò)程中對(duì)外部事件發(fā)出的中斷請(qǐng)求及時(shí)地進(jìn)行

處理，處理完成后又立即返回?cái)帱c(diǎn)，繼續(xù)進(jìn)行CPU原來(lái)的

工作。但另一方面，病毒設(shè)計(jì)者則會(huì)篡改中斷功能為達(dá)到

傳染、激發(fā)和破壞等目的。如INT13H是磁盤輸入輸出中

斷，引導(dǎo)型病毒就是用它來(lái)傳染病毒和格式化磁盤的。

48

病毒防御技術(shù)

1.特征代碼法

從病毒程序中抽取一段獨(dú)一無(wú)二、足以代表該病毒

特征的二進(jìn)制程序代碼，并將這段代碼作為判斷該病毒

的依據(jù)，這就是所謂的病毒特征代碼。

從各種病毒樣本中抽取特征代碼，就構(gòu)成了病毒資

料庫(kù)。

顯然，病毒資料庫(kù)中病毒特征代碼種類越多，殺毒

軟件能查出的病毒就越多。

49

1、特征代碼法

選擇病毒特征碼要能夠反映出該病毒典型

特征，如它的破壞、傳播和隱藏性代碼。由于病

毒數(shù)據(jù)區(qū)會(huì)經(jīng)常變化，因此病毒特征代碼不要含

有病毒的數(shù)據(jù)區(qū)。在保持病毒典型特征唯一性的

前提下，抽取的病毒特征代碼要長(zhǎng)度適當(dāng)，應(yīng)盡

量使特征代碼長(zhǎng)度短些，以減少空間與時(shí)間開(kāi)

銷，使誤報(bào)警率最低。

50

1、特征代碼法

采用病毒特征代碼法的檢測(cè)工具，必須不斷

更新病毒資料庫(kù)，否則檢測(cè)工具便會(huì)過(guò)期老化，

逐漸失去實(shí)用價(jià)值。

特征代碼法的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確、快速、可識(shí)

別病毒的名稱，是檢測(cè)已知病毒的最簡(jiǎn)單、開(kāi)銷

最小的方法。缺點(diǎn)是不能檢測(cè)未知病毒、變種病

毒和隱蔽性病毒（隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自

動(dòng)剝?nèi)ト径境绦蛑械牟《敬a），需定期更新病

毒資料庫(kù)，具有滯后性。

51

特征代碼法流程圖:

52

2.校驗(yàn)和法

校驗(yàn)和法是根據(jù)文件的內(nèi)容，計(jì)算其校驗(yàn)和，并

將所有文件的校驗(yàn)和放在資料庫(kù)中。檢測(cè)時(shí)將文

件現(xiàn)有內(nèi)容的校驗(yàn)和與資料庫(kù)中的校驗(yàn)和做比

較，若不同則判斷為被感染病毒。

53

2.校驗(yàn)和法

校驗(yàn)和是一種保護(hù)信息資源完整性的控制技術(shù)，例如Hash值和循

環(huán)冗余碼等。只要文件內(nèi)部有一個(gè)比特發(fā)生了變化，校驗(yàn)和值就會(huì)改

變。未被惡意代碼感染的系統(tǒng)首先會(huì)生成檢測(cè)數(shù)據(jù)，然后周期性地使用

校驗(yàn)和法檢測(cè)文件的改變情況。運(yùn)用校驗(yàn)和法檢查惡意代碼有3種方法：

(1)在惡意代碼檢測(cè)軟件中設(shè)置校驗(yàn)和法。對(duì)檢測(cè)的對(duì)象文件計(jì)算其正

常狀態(tài)的校驗(yàn)和并將其寫入被查文件中或檢測(cè)工具中，而后進(jìn)行比較。

(2)在應(yīng)用程序中嵌入校驗(yàn)和法。將文件正常狀態(tài)的校驗(yàn)和寫入文件本

身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原始校驗(yàn)和，實(shí)現(xiàn)應(yīng)

用程序的自我檢測(cè)功能。

(3)將校驗(yàn)和程序常駐內(nèi)存。每當(dāng)應(yīng)用程序開(kāi)始運(yùn)行時(shí)，自動(dòng)比較檢查

應(yīng)用程序內(nèi)部或別的文件中預(yù)留保存的校驗(yàn)和。

54

3.行為監(jiān)測(cè)法

行為監(jiān)測(cè)法是將病毒中比較特殊的共同行為歸納起來(lái)，若

發(fā)現(xiàn)類似病毒的行為，立即報(bào)警。

1.占用INT13H

INTI3H是磁盤輸入輸出中斷。引導(dǎo)型病毒就是用它來(lái)傳染病毒和格

式化磁盤的。

2.修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量

病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，必須修改內(nèi)存總量。

3.以COM和EXE文件做寫入動(dòng)作

病毒要感染，必須寫COM和EXE文件。

4.病毒程序與宿主程序的切換

染毒程序運(yùn)行時(shí)，先運(yùn)行病毒，而后執(zhí)行宿主程序。在兩者切換時(shí)，

有許多特征行為。

行為監(jiān)測(cè)法的長(zhǎng)處在于不僅可以發(fā)現(xiàn)已知病毒，而且可以相當(dāng)準(zhǔn)確地

預(yù)報(bào)未知的多數(shù)病毒。但行為監(jiān)測(cè)法也有其短處，即可能誤報(bào)警和不能

識(shí)別病毒名稱，而且實(shí)現(xiàn)起來(lái)有一定難度。

55

4.虛擬機(jī)技術(shù)

用程序代碼虛擬一個(gè)CPU、各個(gè)寄存器、硬

件端口也虛擬出來(lái)，調(diào)入被調(diào)的“樣本”，通過(guò)

內(nèi)存和寄存器以及端口的變化來(lái)了解程序的執(zhí)行

情況。將病毒放到虛擬機(jī)中執(zhí)行，則病毒的傳染

和破壞等動(dòng)作一定會(huì)被反映出來(lái)。

56

5.主動(dòng)內(nèi)核技術(shù)

是主動(dòng)給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打了“補(bǔ)丁”，這

些補(bǔ)丁將從安全的角度對(duì)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行管理和

檢查，對(duì)系統(tǒng)的漏洞進(jìn)行修補(bǔ)，任何文件在進(jìn)入

系統(tǒng)之前，反病毒模塊都將首先使用各種手段對(duì)

文件進(jìn)行檢測(cè)處理。

57

6.啟發(fā)掃描

是以特定方式實(shí)現(xiàn)對(duì)有關(guān)指令序列的反編

譯，逐步理解和確定其蘊(yùn)藏的真正動(dòng)機(jī)。

58

7.實(shí)時(shí)反病毒技術(shù)

實(shí)時(shí)反病毒是對(duì)任何程序在調(diào)用之前都被先過(guò)濾

一遍,一'有病毒侵入，它就報(bào)警，并自動(dòng)殺毒,

將病毒拒之門外，做到防患于未然。

59

WindowsXP的防范

技術(shù)

60

些基本的系統(tǒng)概念(上)

一、進(jìn)程：

進(jìn)程為應(yīng)用