計(jì)算機(jī)病毒解析與防范

1、摘 要 計(jì)算機(jī)在給我們帶來很多方便和幫助的同時(shí)，互聯(lián)網(wǎng)、局域網(wǎng)已經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑；在與反病毒技術(shù)的斗爭(zhēng)中，計(jì)算機(jī)病毒的變形速度和破壞力不斷地提高;混合型病毒的出現(xiàn)令以前對(duì)計(jì)算機(jī)病毒的分類和定義逐步失去意義，也使反病毒工作更困難了；病毒的隱蔽性更強(qiáng)了,不知不覺 “中毒”帶來的后果更嚴(yán)重；人們使用最多的一些軟件將成為計(jì)算機(jī)病毒的主要攻擊對(duì)象。本文主要有關(guān)計(jì)算機(jī)病毒的一些知識(shí)。主要內(nèi)容包括：計(jì)算機(jī)病毒的定義、計(jì)算機(jī)病毒的種類、計(jì)算機(jī)病毒的特征、計(jì)算機(jī)病毒的發(fā)展史及其發(fā)展方向、計(jì)算機(jī)病毒的傳播途徑、怎么樣發(fā)現(xiàn)計(jì)算機(jī)里的病毒、怎樣對(duì)計(jì)算機(jī)病毒進(jìn)行防范。abstractwhile the c

2、omputer bringing many to many we going to the lavatory and helping, internet , the local area network already become the main approach that the computer virus spreads; in fighting with with opposing the virus technology, computer virus deformation speed and destructive power improve unceasingly; tha

3、t viruss appearing makes a previously lose significance step by step to computer virus classification and definition, has also made a mixed type more difficult opposing the virus job; viruss conceal is stronger , the consequence that the imperceptible toxicosis brings about is graver; people uses a

4、few the most softwares to will become the computer virus main part attacking a marriage partner. the main body of a book main a little knowledge about computer virus. main content is included: how the computer virus definition , the computer virus kind , the computer virus characteristic , the compu

5、ter virus phylogeny and their virus inside the computer spreading approach , how to finding that developing direction , the computer virus, is in progress to the computer virus keep watch.關(guān)鍵詞：計(jì)算機(jī)病毒 病毒 查殺引 言在當(dāng)今科技迅速發(fā)展的時(shí)代，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)不僅給人們帶來了便利與驚喜，同時(shí)也在遭受著計(jì)算病毒帶來的煩惱和無奈，因?yàn)橛?jì)算機(jī)病毒不僅破壞文件，刪除有 用的數(shù)據(jù)，還可導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，給計(jì)

6、算機(jī)用戶造成巨大的損失。為此本文就是計(jì)算機(jī)病毒的預(yù)防技術(shù)進(jìn)行探討，讓大家清楚地認(rèn)識(shí)到計(jì)算機(jī)病毒的發(fā)展和危害，并按相應(yīng)的具體問題實(shí)施相應(yīng)的保護(hù)措施。計(jì)算機(jī)病毒對(duì)大多數(shù)的計(jì)算機(jī)使用者而言應(yīng)該是再耳熟能詳不過的名詞, 有些人也許從來不曾真正碰到過計(jì)算機(jī)病毒, 而吃過計(jì)算機(jī)病毒虧的人卻又聞毒色變, 其實(shí)在個(gè)人計(jì)算機(jī)這么普遍的今天, 即使您不是一個(gè)計(jì)算機(jī)高手, 也應(yīng)該對(duì)計(jì)算機(jī)病毒有些基本的認(rèn)識(shí), 就好比我們每天都會(huì)關(guān)心周圍所發(fā)生的人事物一樣, 畢竟計(jì)算機(jī)病毒已經(jīng)不再像過去是遙不可及的東西, 自從internet潮流席卷全球以來,計(jì)算機(jī)信息以每秒千里的速度在傳送, 我們每天可以透過internet收到來自

7、全球各地不同的消息, 但在享受信息便利的同時(shí), 計(jì)算機(jī)安全問題也就顯得格外重要了。那么計(jì)算機(jī)病毒的預(yù)防也就更顯得重要了。目 錄第1章 計(jì)算機(jī)病毒的概述1第2章 計(jì)算機(jī)病毒的理論模型42.1基于圖靈機(jī)的計(jì)算機(jī)病毒模型42.2基于遞歸函數(shù)的計(jì)算機(jī)病毒的數(shù)學(xué)模型42.3 計(jì)算機(jī)病毒的遞歸復(fù)制過程52.4internet蠕蟲傳播模型6第3章 計(jì)算機(jī)病毒的結(jié)構(gòu)分析63.1計(jì)算機(jī)病毒的結(jié)構(gòu)和工作機(jī)制63.216位操作系統(tǒng)病毒編制技術(shù)63.332位操作系統(tǒng)病毒分析73.4計(jì)算機(jī)病毒的特點(diǎn)及完整工作過程:7第4章 特洛伊木馬84.1“特洛伊木馬”名字的來源84.2木馬的隱藏方式：84.3特洛伊木馬的特性及偽裝

8、方法84.4木馬的種類：94.5中木馬后的狀況及緊急處理措施9第5章 宏病毒105.1宏病毒的特點(diǎn)及傳播途徑：105.2 word宏病毒危害：10第6章 linux病毒技術(shù)11第7章 移動(dòng)終端惡意代碼12第8章 計(jì)算機(jī)病毒查殺方法13第9章計(jì)算機(jī)病毒防治技術(shù)15第10章 計(jì)算機(jī)病毒防治策略17第11章 常用殺毒軟件及其功能19第1章 計(jì)算機(jī)病毒的概述1計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來

9、。 可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散,能“傳染”其他的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲(chǔ)媒體或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播,使計(jì)算機(jī)的資源受到不同程序的破壞等等。2. 計(jì)算機(jī)病毒的發(fā)展歷史病毒的發(fā)展史上病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)進(jìn)行升級(jí)時(shí)，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。它可劃分為： 1. dos引導(dǎo)階段（198

10、7年） 2.dos可執(zhí)行階段（1989年）3.伴隨批次型階段（1992年） 4.幽靈,多形階段（1994年）5.生成器,變體機(jī)階段（1995年 ） 6.網(wǎng)絡(luò),蠕蟲階段（1995年）7.視窗階段（1996年） 8.宏病毒階段（1996年）9.互連網(wǎng)階段（1997年） 10.爪哇,郵件炸彈階段（1997年）3.計(jì)算機(jī)病毒的分類根據(jù)病毒破壞的能力可劃分為以下幾種：（1）無害型：除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其它影響。（2）無危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。（3）非常危險(xiǎn)型：這類病毒能夠刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。（4）伴隨型病毒

11、：這一類病毒根據(jù)算法產(chǎn)生exe文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（com）。（5）“蠕蟲”型病毒：通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。（6）寄生型病毒 ：依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播。（7）詭秘型病毒:通過設(shè)備技術(shù)和文件緩沖區(qū)等dos內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。（8）變型病毒: 這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。（9）危險(xiǎn)型，這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成

12、嚴(yán)重的錯(cuò)誤。4.計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒之所以稱之為病毒是因?yàn)槠渚哂袀魅拘缘谋举|(zhì)。傳統(tǒng)渠道通常有以下幾種：（1）通過軟盤：通過使用外界被感染的軟盤, 例如, 不同渠道來的系統(tǒng)盤、來歷不明的軟件、游戲盤等是最普遍的傳染途徑。大量的軟盤交換, 合法或非法的程序拷貝, 不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 （2）通過硬盤：通過硬盤傳染也是重要的渠道, 由于帶有病毒機(jī)器移到其它地方使用、維修等, 將干凈的軟盤傳染并再擴(kuò)散。 （3）通過光盤：因?yàn)楣獗P容量大，大量的病毒就有可能藏身于光盤，對(duì)只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除。當(dāng)前，盜版光盤的泛濫給病毒

13、的傳播帶來了極大的便利。 （4）通過網(wǎng)絡(luò)：這種傳染擴(kuò)散極快, 能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。隨著internet的風(fēng)靡，帶來兩種不同的安全威脅，一種威脅來自文件下載，另一種威脅來自電子郵件。5.染毒計(jì)算機(jī)的癥狀（1） 機(jī)器不能正常啟動(dòng) （2） 運(yùn)行速度降低 （3） 磁盤空間迅速變小 （5） 經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象或突然死機(jī)或重啟 （6） 外部設(shè)備工作異常 （7）經(jīng)常會(huì)出現(xiàn)藍(lán)屏，尤其是在按鍵盤的時(shí)候，一按就死機(jī)。（8） 提示一些不相干的話。（9） 硬盤燈不斷閃爍。（10）windows桌面圖標(biāo)發(fā)生變化。（11）自動(dòng)發(fā)送電子函件，鼠標(biāo)自己在動(dòng)等等（12）系統(tǒng)文件丟失或被破壞（13）文件目錄發(fā)生混亂

14、（14）部分文檔自動(dòng)加密碼（15）使部分可軟件升級(jí)主板的bios程序混亂，主板被破壞。（16）網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。6.計(jì)算機(jī)病毒的命名規(guī)則我們掌握一些病毒的命名規(guī)則，就能通過殺毒軟件的報(bào)告中出現(xiàn)的病毒名來判斷該病毒的一些共有的特性了：一般格式為：.病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的。 ”。病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。下面附帶一些常見的病毒前綴的解釋（針對(duì)我們用得最多的windows操作系統(tǒng)）：(1)系統(tǒng)病毒系統(tǒng)病毒的前綴為：w

15、in32、win95、等。這些病毒的一般共有的特性是可以感染windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通過這些文件進(jìn)行傳播。(2)腳本病毒腳本病毒的前綴是：script。腳本病毒的共有特性是使用腳本語(yǔ)言編寫，通過網(wǎng)頁(yè)進(jìn)行的傳播的病毒。(3)破壞性程序病毒破壞性程序病毒的前綴是：harm。這類病毒的共有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。 (4)玩笑病毒玩笑病毒的前綴是：joke。也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒會(huì)做出各種破壞操作來嚇唬用戶，其實(shí)病毒并沒

16、有對(duì)用戶電腦進(jìn)行任何破壞7.計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和最新的動(dòng)向（1）計(jì)算機(jī)網(wǎng)絡(luò)成為計(jì)算機(jī)病毒的主要傳播途徑，使用計(jì)算機(jī)網(wǎng)絡(luò)逐漸成為計(jì)算機(jī)病毒發(fā)作條件的共同點(diǎn)。 （2）計(jì)算機(jī)病毒變種的速度極快并向混合型、多樣化發(fā)展 （3）運(yùn)行方式和傳播方式的隱蔽性 （4）利用操作系統(tǒng)漏洞傳播 （5）計(jì)算機(jī)病毒技術(shù)與黑客技術(shù)將日益融合 （6）物質(zhì)利益將成為推動(dòng)計(jì)算機(jī)病毒發(fā)展的最大動(dòng)力 第2章 計(jì)算機(jī)病毒的理論模型2.1基于圖靈機(jī)的計(jì)算機(jī)病毒模型1936年，阿蘭圖靈提出了一種抽象的計(jì)算模型-圖靈機(jī)。圖靈的基本思想是用機(jī)器來模擬人們用紙筆進(jìn)行數(shù)學(xué)運(yùn)算的過程，他把這樣的過程看作下列兩種簡(jiǎn)單的動(dòng)作： 在紙上寫上或擦除某個(gè)符

17、號(hào)； 把注意力從紙的一個(gè)位置移動(dòng)到另一個(gè)位置； 在每個(gè)階段，人要決定下一步的動(dòng)作，依賴于此人當(dāng)前所關(guān)注的紙上某個(gè)位置的符號(hào)和此人當(dāng)前思維的狀態(tài)。為了模擬人的這種運(yùn)算過程，圖靈構(gòu)造出一臺(tái)假想的機(jī)器，該機(jī)器由以下幾個(gè)部分組成： 1.一條無限長(zhǎng)的紙帶。 2.一個(gè)讀寫頭。 3.一個(gè)狀態(tài)寄存器。 4.一套控制規(guī)則這個(gè)機(jī)器的每一部分都是有限的，但它有一個(gè)潛在的無限長(zhǎng)的紙帶，因此這種機(jī)器只是一個(gè)理想的設(shè)備。圖靈認(rèn)為這樣的一臺(tái)機(jī)器就能模擬人類所能進(jìn)行的任何計(jì)算過程。在本質(zhì)上，圖靈機(jī)是將計(jì)算過程抽象化、形式化、理想化后得到的自動(dòng)機(jī)模型?？刂破鞲鶕?jù)當(dāng)前狀態(tài)和讀寫頭當(dāng)前讀到的符號(hào)，在計(jì)算的每步完成兩個(gè)功能：1進(jìn)入新

18、的狀態(tài)。若進(jìn)入接受或拒絕狀態(tài)，則停機(jī)。2通過讀寫頭在當(dāng)前帶方格內(nèi)寫一個(gè)符號(hào)或者使讀寫頭向左或向右移一個(gè)方格。圖靈機(jī)若不能停機(jī)，則將循環(huán)往復(fù)的運(yùn)行下去。2.2基于遞歸函數(shù)的計(jì)算機(jī)病毒的數(shù)學(xué)模型計(jì)算機(jī)病毒的自引用我們已經(jīng)知道能夠進(jìn)行自我復(fù)制是計(jì)算機(jī)病毒最本質(zhì)的特征。而要進(jìn)行自我復(fù)制首先要能夠進(jìn)行自我引用，即病毒圖靈機(jī)v 要能夠輸出自身的描述。引理1：存在可計(jì)算函數(shù)q：*，對(duì)任意串w，q(w)是圖靈機(jī)pw 的描述，pw 輸出w 并停機(jī)。證明：采用構(gòu)造式證明方法，即構(gòu)造圖靈機(jī)q 實(shí)現(xiàn)可計(jì)算函數(shù)q(w)的計(jì)算：q “對(duì)于輸入串w： 構(gòu)造下列圖靈機(jī)pw：pw “對(duì)于任意輸入： 在帶上刪除輸入； 在帶上寫下

19、w； 停機(jī)?！?輸出?！爆F(xiàn)在我們?cè)谝? 的基礎(chǔ)上描述病毒圖靈機(jī)v 的自引用過程：首先，將病毒圖靈機(jī)v 分為兩個(gè)部分v和v，則 = 。根據(jù)引理1，令 = q()，即v是輸出的圖靈機(jī)。這里， v的描述依賴于v的描述。為此，構(gòu)造v并描述如下：v “對(duì)于輸入，其中m 是一個(gè)圖靈機(jī)t 的一部分： 計(jì)算q()； 將中計(jì)算出的結(jié)果與合并，組成一個(gè)完整的圖靈機(jī)描述； 輸出這個(gè)描述?！敝链?，根據(jù)上面的論述，我們可以得到完整的病毒圖靈機(jī)v的自引用運(yùn)行過程：1首先v運(yùn)行， v在帶上輸出；2 v開始運(yùn)行，它在帶上找到其輸入；3 v計(jì)算q() = ； v將與其輸入合并，從而得到 = ；4 v輸出，停機(jī)。2.3 計(jì)算機(jī)

20、病毒的遞歸復(fù)制過程首先我們給出遞歸定理：設(shè)t 是計(jì)算函數(shù)t：*的一個(gè)圖靈機(jī)，則存在計(jì)算函數(shù)r：*的一個(gè)圖靈機(jī)r，使得對(duì)每一個(gè)w，有：r(w) = t(，w)該定理的證明同樣可以采用構(gòu)造式方法。遞歸定理指出任何圖靈機(jī)t 具有這樣的能力：得到自己的描述，然后能用這個(gè)描述作為自己的輸入繼續(xù)進(jìn)行計(jì)算。這樣的能力顯然比引理1 所描述的圖靈機(jī)的自引用能力更進(jìn)了一步。現(xiàn)在，我們結(jié)合病毒圖靈機(jī)v 的運(yùn)行，給出基于遞歸定理的病毒復(fù)制過程。在以下敘述中，設(shè)為將被病毒感染的目標(biāo)程序的圖靈機(jī)編碼。1 通用圖靈機(jī)u 運(yùn)行，模擬病毒圖靈機(jī)v 的運(yùn)行。2 v 讀取圖靈機(jī)編碼到帶上。3 v 將一個(gè)特殊的符號(hào)插入到的起始處。4

21、 v 由遞歸定理得到自己的描述，并寫到帶上。5 v 跳轉(zhuǎn)到的起始特殊符號(hào)處，將病毒編碼復(fù)制到的起始處。6 v 將控制返回給的起始狀態(tài)，并將的頭部移到原始帶內(nèi)容的第一個(gè)單元。然后停機(jī)。7 v 停機(jī)后，通用圖靈機(jī)u 也停機(jī)。經(jīng)過以上過程，已經(jīng)被病毒傳染。通過以上描述，由此我們可以得出結(jié)論：計(jì)算機(jī)病毒的復(fù)制和傳播在本質(zhì)上是一個(gè)遞歸的過程。2.4internet蠕蟲傳播模型internet蠕蟲的傳播采用自動(dòng)入侵技術(shù)，受程序大小的限制。目前蠕蟲常利用的傳播模式為掃描一攻擊一復(fù)制。蠕蟲在傳播時(shí)的特征：網(wǎng)絡(luò)上充斥著大量?jī)?nèi)容相同的數(shù)據(jù)包，甚至?xí)?yán)重影響網(wǎng)絡(luò)的正常流量。網(wǎng)絡(luò)亡被感染主機(jī)數(shù)量逐步增加，增加過程遵循

22、一定規(guī)律。網(wǎng)絡(luò)上會(huì)存在大量目標(biāo)地址不可達(dá)或連接請(qǐng)求被復(fù)位的數(shù)據(jù)包。蠕蟲首先生成可疑數(shù)據(jù)包的簽名，然后根據(jù)簽名對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾。第3章 計(jì)算機(jī)病毒的結(jié)構(gòu)分析3.1計(jì)算機(jī)病毒的結(jié)構(gòu)和工作機(jī)制對(duì)于計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)來說，不同類型的病毒，在磁盤上的存儲(chǔ)結(jié)構(gòu)是不同的。磁盤空間的總體劃分經(jīng)過格式化后的磁盤包括：主引導(dǎo)記錄區(qū)、引導(dǎo)記錄區(qū)、文件分配表、目錄區(qū)和數(shù)據(jù)區(qū)。（1）軟盤空間的總體劃分當(dāng)使用dos的外部命令format格式化一張軟盤后，不僅把磁盤劃分為若干磁道，每一磁道劃分為若干扇區(qū)，而且同時(shí)把劃分的扇區(qū)分為五大區(qū)域：引導(dǎo)記錄區(qū)、文件分配表1、文件分配表2、根目錄區(qū)以及數(shù)據(jù)區(qū)。 對(duì)于軟盤只有一個(gè)引導(dǎo)

23、區(qū)，它的作用是在系統(tǒng)啟動(dòng)時(shí)負(fù)責(zé)把系統(tǒng)兩個(gè)隱含文件io.sys和msdos.sys裝入內(nèi)存，并提供dos進(jìn)行磁盤讀寫所必需的磁盤i/o參數(shù)表。文件分配表是反映磁盤上所有文件各自占用的扇區(qū)的一個(gè)登記表，此表一旦被破壞，將無法查找文件的內(nèi)容。（2）硬盤空間的總體劃分對(duì)于不同類型、不同介質(zhì)的磁盤，dos劃分磁盤的格式是不同的。對(duì)于硬盤來說，由于其存儲(chǔ)空間比較大，為了允許多個(gè)操作系統(tǒng)分享硬盤空間，并希望能從磁盤啟動(dòng)系統(tǒng)，dos在格式化硬盤時(shí)，把硬盤劃分為主引導(dǎo)記錄區(qū)和多個(gè)系統(tǒng)分區(qū)。對(duì)于硬盤空間的分配由兩個(gè)部分組成：第一部分就是整個(gè)硬盤的第一扇區(qū);第二部分是各個(gè)系統(tǒng)分區(qū)。硬盤主引導(dǎo)扇區(qū)很特殊，它不在dos

24、的管轄范圍內(nèi)。所以用dos的非常駐命令 format、fdisk、debug都不能觸及它。當(dāng)該扇區(qū)損壞時(shí)，硬盤不能啟動(dòng)。用format、fdisk都不能修復(fù)它。debug的l命令和w命令都不能用于主引導(dǎo)扇區(qū)。只有 在debug下借用int 13h或低級(jí)格式化方能修復(fù)。3.216位操作系統(tǒng)病毒編制技術(shù)（1）16是指每個(gè)單位時(shí)間處理的位數(shù)是16位,16位操作系統(tǒng)是和16位cpu對(duì)應(yīng)的，16位操作系統(tǒng)和16位程序?qū)?yīng)的，只有對(duì)應(yīng)的多少位操作系統(tǒng)才能運(yùn)行多少位的程序，多少位的cpu才可以用多少位的操作系統(tǒng)。（2）16 位代碼與32位代碼的比較 兩者的區(qū)別在于代碼在一次操作時(shí)能處理的數(shù)據(jù)量。16位代碼可

25、一次處理多達(dá)16位的數(shù)據(jù)，一個(gè)16位數(shù)能儲(chǔ)存多達(dá)65,535個(gè)值。但是，如果16位代碼必須處理更多的數(shù)據(jù)，它必須執(zhí)行附加操作以處理額外的數(shù)值。另一方面，32 位碼可以一次處理32位的數(shù)據(jù)；即可管理達(dá)4 gb的數(shù)值。很明顯，一個(gè)步驟能處理大量的數(shù)值使32位代碼優(yōu)越于16 位代碼。但是,32位代碼處理數(shù)據(jù)的速度與16位相同。 3.332位操作系統(tǒng)病毒分析1. 32位操作系統(tǒng)指的是操作系統(tǒng)在設(shè)計(jì)的時(shí)候充分利用了32位cpu提供的編碼和尋址方式，以及代碼隔離和保護(hù)的方式。并不是說用了32代碼編寫就是32位操作系統(tǒng)。就32位代碼和16位代碼而言，這只是一個(gè)cpu對(duì)機(jī)器指令的解釋問題。一條機(jī)器代碼被解釋成

26、為32位還是16位，取決于她所在的代碼段，而一個(gè)代碼段是否為32位是由其段屬性決定的。如果在一個(gè)16位段里，需要運(yùn)行32位代碼，就需要在正常代碼前面加前綴，反之，在32位段里運(yùn)行16位，需要顯式的加前綴。2. 32位代碼與16位代碼被cpu解釋的主要不同在于寄存器使用不同。地址空間與代碼是否為32位無關(guān)。至于內(nèi)存的存取，在指令操作上，沒有限制，但是對(duì)于邏輯電路來說，不是這樣的。3. 編譯器是針對(duì)cpu的，但是編譯器所帶的庫(kù)一般都是針對(duì)操作系統(tǒng)的。cpu可不管是什么操作系統(tǒng)在運(yùn)行，它只管一條語(yǔ)句一條語(yǔ)句的執(zhí)行，但是你編程序一般都是要利用操作統(tǒng)定義好了的一組功能的。這就需要操作系統(tǒng)提供接口，在編譯

27、器里，這就是庫(kù)的組成部分之一。4. 操作系統(tǒng)不能識(shí)別應(yīng)用程序的合法性，但是操作系統(tǒng)利用了32位cpu提供的保護(hù)機(jī)制，比如說內(nèi)存操作的段權(quán)限限制，分頁(yè)共存機(jī)制，i/o操作映射保護(hù)，通過這些機(jī)制，一旦出現(xiàn)異常，cpu會(huì)陷入異常機(jī)制，進(jìn)行操作系統(tǒng)定義的操作。相當(dāng)于操作系統(tǒng)再監(jiān)控了。3.4計(jì)算機(jī)病毒的特點(diǎn)及完整工作過程:病毒的特點(diǎn):（1）寄生性 （2）傳染性 （3潛伏性 （4）隱蔽性 （5）破壞性病毒的工作過程:（1）傳染源：病毒總是依附于某些存儲(chǔ)介質(zhì), 例如軟盤、硬盤等構(gòu)成傳染源。（2）傳染媒介：病毒傳染的媒介由工作的環(huán)境來定, 可能是計(jì)算機(jī)網(wǎng), 也可能是可移動(dòng)的存儲(chǔ)介質(zhì).（3）病毒激活：是指將病毒

28、裝入內(nèi)存, 并設(shè)置觸發(fā)條件, 一旦觸發(fā)條件成熟, 病毒就開始作用,自我復(fù)制到傳染對(duì)象中, 進(jìn)行各種破壞活動(dòng)等。（4）病毒觸發(fā)：計(jì)算機(jī)病毒一旦被激活, 立刻就發(fā)生作用, 觸發(fā)的條件是多樣化的, 可以是內(nèi)部時(shí)鐘, 系統(tǒng)的日期, 用戶標(biāo)識(shí)符，也可能是系統(tǒng)一次通信等等.第4章 特洛伊木馬4.1“特洛伊木馬”名字的來源 “特洛伊木馬”（trojan horse）簡(jiǎn)稱“木馬”，據(jù)說這個(gè)名稱來源于希臘神話木馬屠城記。古希臘有大軍圍攻特洛伊城，久久無法攻下。于是有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于 巨大的木馬中，大部隊(duì)假裝撤退而將木馬擯棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作

29、為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，匿于木馬中的將士開秘門游繩而下，開啟城門及四處縱火，城外伏兵涌入，部隊(duì)里應(yīng)外合，焚屠特洛伊城。后世稱這只大木馬為“特洛伊木馬”。如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。 完整的木馬程序一般由兩個(gè)部分組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)器程序，4.2木馬的隱藏方式：1.在任務(wù)欄里隱藏。這是最基本的隱藏方式。如果在windows的任務(wù)欄里出現(xiàn)一個(gè)莫名其妙的圖標(biāo).要實(shí)現(xiàn)在任務(wù)欄中隱藏在編程時(shí)是很容易實(shí)現(xiàn)的。2.在任務(wù)管理器里隱藏。查看正在運(yùn)行的進(jìn)程最簡(jiǎn)單的方法就是按下ctrl+al

30、t+del時(shí)出現(xiàn)的任務(wù)管理器。3.端口。一臺(tái)機(jī)器有65536個(gè)端口，木馬就很注意你不注意的那個(gè)端口.4.隱藏通訊。隱藏通訊也是木馬經(jīng)常采用的手段之一。任何木馬運(yùn)行后都要和攻擊者進(jìn)行通訊連接，或者通過即時(shí)連接.5.隱藏加載方式。木馬加載的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達(dá)到一個(gè)共同的目的，那就是使你運(yùn)行木馬的服務(wù)端程序。幾乎www每一個(gè)新功能部會(huì)導(dǎo)致木馬的快速進(jìn)化。6.最新隱身技術(shù)。在windows2000盛行的今天。這種方法遭到了慘敗。注冊(cè)為系統(tǒng)進(jìn)程不僅僅能在任務(wù)欄中看到，而且可以直接在services中直接控制停止。在研究了其他軟件的長(zhǎng)處之后，木馬發(fā)現(xiàn)，windows下的中文

31、漢化軟件采用的陷阱技術(shù)非常適合木馬的使用。4.3特洛伊木馬的特性及偽裝方法1.隱蔽性，它的隱蔽性主要體現(xiàn)在以下兩個(gè)方面: (1)不產(chǎn)生圖標(biāo) (2)木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以系統(tǒng)服務(wù)的方式欺騙操作系統(tǒng)。 2.具有自動(dòng)運(yùn)行性。3.包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序。4.具備自動(dòng)恢復(fù)功能。5.能自動(dòng)打開特別的端口。6、功能的特殊性。木馬采用的偽裝方法:1.修改圖標(biāo) 2.捆綁文件3.出錯(cuò)顯示4.自我銷毀5.木馬更名 4.4木馬的種類：1、破壞型: 可以自動(dòng)的刪除電腦上的dll、ini文件。2、密碼發(fā)送型: 可以找到隱藏密碼并把它們發(fā)送到指定的信箱。3、遠(yuǎn)程訪問型: 最廣泛的是特洛

32、伊馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的ip地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。4.鍵盤記錄木馬: 它可以記錄受害者的鍵盤敲擊并且在log文件里查找密碼。5.dos攻擊木馬: 這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來?yè)p失。還有一種類似dos的木馬叫做郵件炸彈木馬，一旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題的信件，對(duì)特定的郵箱不停地發(fā)送郵件，一直到對(duì)方癱瘓、不能接受郵件為止。6.代理木馬: 通過代理木馬，攻擊者可以在匿名的情況下使用telnet,icq,irc等程序，從而隱蔽自己的蹤跡。7.ftp木馬:是最簡(jiǎn)單和古

33、老的木馬了，它的惟一功能就是打開21端口，等待用戶連接?，F(xiàn)在新ftp木馬還加上了密碼功能.8.程序殺手木馬: 程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)行的這類程序，讓其他的木馬更好地發(fā)揮作用。9.反彈端口型木馬：木馬是木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn):防火墻對(duì)于連入的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過濾，但是對(duì)于連出的鏈接卻疏于防范。與一般的木馬相反，反彈端口型木馬的服務(wù)端使用主動(dòng)端口，客戶端使用被動(dòng)端口。4.5中木馬后的狀況及緊急處理措施(1)當(dāng)你瀏覽一個(gè)網(wǎng)站，彈出來一些廣告窗口是很正常的事情，可是如果你根本沒有打開瀏覽器，而覽瀏器突然自己打開，并且進(jìn)入某個(gè)網(wǎng)站，那么，你要小心。(2)你正在操作電

34、腦，突然一個(gè)警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。(3)你的windows系統(tǒng)配置老是自動(dòng)莫名其妙地被更改。(4)硬盤老沒緣由地讀盤，軟驅(qū)燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)異?，F(xiàn)象。緊急措施:(1)所有的賬號(hào)和密碼都要馬上更改，凡是需要密碼的地方都要盡快改過來。(2)刪掉所有你硬盤上原來沒有的東西。(3)檢查一次硬盤上是否有病毒存在 。第5章 宏病毒5.1宏病毒的特點(diǎn)及傳播途徑：1傳播極快: word宏病毒通過.doc文檔及.dot模板進(jìn)行自我復(fù)制及傳播.2制作、變種方便:以往病毒是以二進(jìn)制的計(jì)算機(jī)機(jī)器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的源代碼宏語(yǔ)言word

35、basic形式出現(xiàn)，所以編寫和修改宏病毒比以往病毒更容易。3破壞可能性極大 如直接使用dos系統(tǒng)命令，調(diào)用windows api，調(diào)用dde或dll等。這些操作均可能對(duì)系統(tǒng)直接構(gòu)成威脅，而word在指令安全性、完整性上檢測(cè)能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒nuclear就是破壞操作系統(tǒng)的典型一例。4多平臺(tái)交叉感染宏病毒沖破了以往病毒在單一平臺(tái)上傳播的局限。宏病毒傳播途徑：1軟盤交流染毒文檔文件； 2硬盤染毒，處理的文檔文件必將染毒； 3光盤攜帶宏病毒； 4internet上下載染毒文檔文件； 5bbs交流染毒文檔文件； 6電子郵件的附件夾帶病毒。 在打開“宏病毒防護(hù)功能”的情況下，當(dāng)

36、您打開一個(gè)您自己寫的文檔時(shí)，系統(tǒng)會(huì)彈出相應(yīng)的警告框。而您清楚您并沒有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文檔已經(jīng)感染了宏病毒。同樣是在打開“宏病毒防護(hù)功能”的情況下，您的office文檔中一系列的文件都在打開時(shí)給出宏警告。由于在一般情況下我們很少使用到宏，所以當(dāng)您看到成串的文檔有宏警告時(shí)，可以肯定這些文檔中有宏病毒。如果軟件中關(guān)于宏病毒防護(hù)選項(xiàng)啟用后，不能在下次開機(jī)時(shí)依然保存。5.2 word宏病毒危害：宏是word 里一個(gè)非常有用的工具，但也是word 的安全漏洞之一。有一些惡意的人利用宏制造宏病毒，給別人帶來麻煩。宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打

37、開這樣的文檔，宏病毒就會(huì)被 激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在 normal 模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。 word宏病毒的破壞在兩方面： 1對(duì)word運(yùn)行的破壞是：不能正常打印；封閉或改變文件存儲(chǔ)路徑；將文件改名；亂復(fù)制文件；封閉有關(guān)菜單；文件無法正常編輯。2對(duì)系統(tǒng)的破壞是：word basic語(yǔ)言能夠調(diào)用系統(tǒng)命令，造成破壞。5.3宏病毒的防治：1、為了防止病毒的侵入，用戶在新安裝了word后，打開一個(gè)新模板，將word的工作環(huán)境按你的使用習(xí)慣進(jìn)行設(shè)置，并將你需要使用的宏一次編制好，做完后，保存

38、為normal.dot。將這份新的normal.dot備份。在遇到有宏病毒或懷疑感染了宏病毒的時(shí)候，用備份的normal.dot覆蓋當(dāng)前的normal.dot模塊。另外，為了防止病毒蔓延，可將你新設(shè)置的normal.dot文件的屬性設(shè)置成“只讀”，以后當(dāng)退出word環(huán)境時(shí)，如果出現(xiàn)自動(dòng)修改“normal.dot”的對(duì)話框，而你并沒有錄制新的宏，說明有宏病毒，此時(shí)選擇“否”，以保持word環(huán)境的干凈。2、在調(diào)用word文檔時(shí)先禁止所有以auto開頭的宏的執(zhí)行。這樣能保證用戶在安全啟動(dòng)word文檔后，再時(shí)行必要的病毒檢查。3、進(jìn)入 “工具|宏”，查看模板normal.dot，若發(fā)現(xiàn)有filesav

39、e、filesaveas等文件操作宏或類似aaazao、aaazfs 怪名字的宏，說明系統(tǒng)確實(shí)感染了宏病毒，刪除這些來歷不明的宏。4、即使在“工具|宏”刪除了所有的病毒宏，并不意味著你可以高枕無憂了。因?yàn)椴《驹w還在文本中，只不過暫時(shí)不活動(dòng)了，也許還會(huì)死灰復(fù)燃。進(jìn)入word，再打開原來的文本，并新建另一個(gè)空文檔，這時(shí)新建文檔是干凈的；將原文件的全部?jī)?nèi)容拷貝到新文件中，關(guān)閉感染宏病毒的文本，然后再將新文本保存為原文件名存儲(chǔ)。這樣，宏病毒就感染徹底清除了，原文件也恢復(fù)了原樣，可以放心大膽地編輯、修改、存儲(chǔ)了.第6章 linux病毒技術(shù)linux系統(tǒng)特性利用緩沖區(qū)溢出改寫相關(guān)內(nèi)存的內(nèi)容及函數(shù)的返回地

40、址，從而改變代碼的執(zhí)行流程，僅能在一定權(quán)限范圍內(nèi)有效。因?yàn)檫M(jìn)程的運(yùn)行與當(dāng)前用戶的登錄權(quán)限和身份有關(guān)，僅僅能夠制造緩沖區(qū)溢出是無法突破系統(tǒng)對(duì)當(dāng)前用戶的權(quán)限設(shè)置的。因此盡管可以利用緩沖區(qū)溢出使某一程序去執(zhí)行其它被指定的代碼，但被執(zhí)行的代碼只具有特定的權(quán)限，還是無法完成超越權(quán)限的任務(wù)。但是，linux（包括unix）系統(tǒng)本身的一些特性卻可以被利用來沖破這種權(quán)限的局限性，使得能夠利用緩沖區(qū)溢出獲得更高的、甚至是完全的權(quán)限。主要體現(xiàn)在如下兩方面： 1linux（包括unix）系統(tǒng)通過設(shè)置某可執(zhí)行文件的屬性為suid或sgid，允許其它用戶以該可執(zhí)行文件擁有者的用戶id或用戶組id來執(zhí)行 它。如果該可執(zhí)行

41、文件的屬性是root，同時(shí)文件屬性被設(shè)置為suid，則該可執(zhí)行文件就存在可利用的緩沖區(qū)溢出漏洞，可以利用它以root的身份執(zhí)行特定的、被另外安排的代碼。既然能夠使得一個(gè)具有root權(quán)限的代碼得以執(zhí)行，就能夠產(chǎn)生一個(gè)具有超級(jí)用戶root權(quán)限的shell，那么掌握整個(gè)系統(tǒng)的控制權(quán)的危險(xiǎn)就產(chǎn)生了。 2linux（包括unix）中的許多守護(hù)進(jìn)程都是以root權(quán)限運(yùn)行。如果這些程序存在可利用的緩沖區(qū)溢出，即可直接使它以root身份去執(zhí)行另外安排的代碼，而無須修改該程序的suid或sgid屬性。這樣獲得系統(tǒng)的控制權(quán)將更加容易。隨著現(xiàn)代網(wǎng)絡(luò)技 術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入，計(jì)算機(jī)網(wǎng)絡(luò)所提供的遠(yuǎn)程登錄機(jī)制、遠(yuǎn)程調(diào)

42、用及執(zhí)行機(jī)制是必須的。這使得一個(gè)匿名的internet用戶有機(jī)會(huì)利用緩沖區(qū)溢出漏 洞來獲得某個(gè)系統(tǒng)的部分或全部控制權(quán)。實(shí)際上，以緩沖區(qū)溢出漏洞為攻擊手段的攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊中的絕大多數(shù)，這給linux系統(tǒng)帶來了極其嚴(yán)重的安全威脅。途徑分析： 通常情況下攻擊者會(huì)先攻擊root程序，然后利用緩沖區(qū)溢出時(shí)發(fā)生的內(nèi)存錯(cuò)誤來執(zhí)行類似“exec（sh）”的代碼，從而獲得root的一個(gè)shell。為了獲得root權(quán)限的shell，攻擊者需要完成如下的工作：1在程序的地址空間內(nèi)安排適當(dāng)?shù)奶囟ùa。一般使用如下兩種方法在被攻擊的程序地址空間內(nèi)安排攻擊代碼。2通過適當(dāng)?shù)爻跏蓟拇嫫骱痛鎯?chǔ)器，使程序在發(fā)生緩沖區(qū)溢

43、出時(shí)不能回到原來的執(zhí)行處，而是跳轉(zhuǎn)到被安排的地址空間執(zhí)行。 當(dāng)攻擊者找到一種途徑可以改變?cè)绦虻膱?zhí)行代碼和流程時(shí)，攻擊的危險(xiǎn)就產(chǎn)生了。 防范措施： linux下的緩沖區(qū)溢出攻擊威脅既來自于軟件的編寫機(jī)制，也來自于linux（和unix）系統(tǒng)本身的特性。實(shí)際上，緩沖區(qū)溢出攻擊及各種計(jì)算機(jī)病毒猖獗的根本原因在于現(xiàn)代計(jì)算機(jī)系統(tǒng)都是采用馮諾依曼“存儲(chǔ)程序”的工作原理。這一基本原理使得程序和數(shù)據(jù)都可以在內(nèi)存中被繁殖、拷貝和執(zhí)行。因此，要想有效地防范緩沖區(qū)溢出攻擊就應(yīng)該從這兩個(gè)方面雙管其下。 確保代碼正確安全。緩沖區(qū)溢出攻擊的根源在于編寫程序的機(jī)制。因此，防范緩沖區(qū)溢出漏洞首先應(yīng)該確保在linux系統(tǒng)上運(yùn)

44、行的程序（包括系統(tǒng)軟件和應(yīng)用軟件）代碼的正確性， 避免程序中有不檢查變量、緩沖區(qū)大小及邊界等情況存在。第7章 移動(dòng)終端惡意代碼伴隨著移動(dòng)終端用戶規(guī)模的迅速擴(kuò)大和諸多人員對(duì)移動(dòng)終端技術(shù)的了解，移動(dòng)終端正面臨著越來越多的安全威脅。下面列舉幾種典型的安全威脅。（1）移動(dòng)終端身份序列號(hào)的刪除和篡改等。由于imei號(hào)可用來統(tǒng)計(jì)用戶的終端類型、限制被盜終端在移動(dòng)網(wǎng)內(nèi)的重新使用等用途，所以imei號(hào)應(yīng)該具有一定的保護(hù)措施。（2）終端操作系統(tǒng)非法修改和刷新等。由于非法操作系統(tǒng)可能會(huì)影響用戶使用并干擾正常網(wǎng)絡(luò)運(yùn)行，因此操作系統(tǒng)應(yīng)當(dāng)阻止一切非法的修改和刷新等。（3）個(gè)人隱私數(shù)據(jù)（例如銀行賬號(hào)、密碼口令等）的非法讀

45、取訪問等。移動(dòng)終端內(nèi)部可能會(huì)存有用戶的電話簿、短信、銀行賬號(hào)、口令等用戶隱私信息，如果這些信息被他人非法獲得，很可能給用戶造成直接的經(jīng)濟(jì)損失。（4）病毒和惡意代碼的破壞。病毒和惡意代碼很可能會(huì)破壞移動(dòng)終端的正常使用，還可能會(huì)將用戶的隱私信息不知不覺地傳給他人（5）移動(dòng)終端被盜等。目前移動(dòng)終端被盜現(xiàn)象極其嚴(yán)重，終端被盜給用戶帶來直接經(jīng)濟(jì)損失，更嚴(yán)重的是用戶隱私數(shù)據(jù)的泄漏等?？傊?，移動(dòng)終端存在的安全隱患可能會(huì)威脅到個(gè)人隱私、私有財(cái)產(chǎn)甚于國(guó)家安全。盡管移動(dòng)終端面臨著許多的安全威脅，但目前其安全問題仍是整個(gè)移動(dòng)運(yùn)營(yíng)網(wǎng)絡(luò)中的一個(gè)安全盲點(diǎn)。攻擊者很容易通過jtag口等調(diào)試端口獲得dbb內(nèi)部或者flash中

46、的存儲(chǔ)信息，pda、智能電話、移動(dòng)電話、usb設(shè)備以及膝上型電腦等等都可以被視為移動(dòng)設(shè)備。這些設(shè)備可在企業(yè)中增加生產(chǎn)效率，但它們也會(huì)增加風(fēng)險(xiǎn)。移動(dòng)設(shè)備體積雖小但卻容易放錯(cuò)地方，這是一種可被放大的危險(xiǎn)，因?yàn)橐苿?dòng)設(shè)備可以存儲(chǔ)比以往更多的信息。在連接到一個(gè)網(wǎng)絡(luò)之后，這些設(shè)備可以傳播惡意代碼，至于那些可在家中和公司網(wǎng)絡(luò)使用的個(gè)人移動(dòng)設(shè)備可成為一個(gè)嚴(yán)重的問題。除了安全性問題它們的操作系統(tǒng)和軟件基本上不太經(jīng)常打補(bǔ)丁或者更新。我們要用一個(gè)強(qiáng)口令來鎖定你的設(shè)備，這是最高級(jí)別的設(shè)備保護(hù)措施。為了保護(hù)你的設(shè)備，你要盡量做到？ 1. 禁用藍(lán)牙發(fā)現(xiàn)模式2. 禁用不用的服務(wù) 3. 不要授受那些未被請(qǐng)求的、通過藍(lán)牙方式的

47、、sms等方法所傳輸?shù)奈募?4. 你在線時(shí)，要使用相同的“最佳的方法”和預(yù)防措施.5. 找到一部電話，在你的移動(dòng)設(shè)備丟失時(shí)，能夠從遠(yuǎn)程禁用它。 6. 如果找回你的東西是唯一的選擇，可采用gps軟件完成這個(gè)查找過程。 7. 在歸還租來的設(shè)備之前，記得取出你的任何內(nèi)存卡。 8. 在歸還設(shè)備之間，一定要按照設(shè)備制造商或出租公司的推薦清理設(shè)備。 9. 為你的設(shè)備買份保險(xiǎn)。在為你的設(shè)備投保之前，確認(rèn)你的供應(yīng)商是否為相應(yīng)的損失或丟失負(fù)責(zé)。第8章 計(jì)算機(jī)病毒查殺方法1.病毒的伎倆: （1）一般病毒感染后會(huì)了達(dá)到控制系統(tǒng)的目錄,都會(huì)把自己加入到啟動(dòng)項(xiàng)目中,以便在啟動(dòng)系統(tǒng)后進(jìn)駐內(nèi)存（2）有些病毒會(huì)把txt文件

48、的默認(rèn)關(guān)聯(lián)指向自己,你點(diǎn)擊文本文件時(shí)系統(tǒng)沒有任何反應(yīng),實(shí)際是病毒已經(jīng)啟動(dòng)了（3）一般病毒都會(huì)把自己的名字改得跟某個(gè)系統(tǒng)文件差不多,甚至直接刪除原來的系統(tǒng)文件而占用系統(tǒng)文件的名字 （4）一般病毒文件都會(huì)加上系統(tǒng)隱藏只讀三重屬性 2.查找病毒 進(jìn)程法：有的病毒在熱啟動(dòng)（ctrl+alt+del)就可以看出來，它們總是想隱藏自己成為系統(tǒng)里面的特殊文件，仔細(xì)看就可以看出貓膩了。比如把l(字母）寫成1（數(shù)字），其實(shí)只要認(rèn)真看問題就簡(jiǎn)單。如果你對(duì)進(jìn)程不是很了解的話，建議把它名字記下來去百度找找，應(yīng)該可以找到答案。特別要注意的是你在用熱啟動(dòng)的時(shí)候，最好不要開任何文件和軟件，這樣比較好辨認(rèn)。 啟動(dòng)法：現(xiàn)在的病

49、毒和木馬都會(huì)自己隨系統(tǒng)而啟動(dòng)，那么我們就可以根據(jù)這個(gè)把它找 到。開始運(yùn)行輸入msconfig在啟動(dòng)選項(xiàng)就可以看到啟動(dòng)的項(xiàng)目和命令還有位置，把你覺得十分可疑的前面的溝去掉就可以了。記下那些可疑的啟動(dòng)項(xiàng)命令的地址，將來殺的時(shí)候能夠用到。文件法：這個(gè)比較難麻煩，一步步來就好。我們先打開“我的電腦”工具欄里面的“工具選項(xiàng)”“查看”“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”的勾去掉，選擇顯示所有文件和文件夾，去以下的文件夾看看有沒有可疑的文件。 還有各個(gè)分區(qū)的這些文件夾里面都是病毒常常光顧的地方。有的文件很多，象system32就有幾百個(gè)，怎么找呢？建議使用右鍵排列圖標(biāo)修改時(shí)間，這樣就快很多了。 系統(tǒng)編輯器法

50、：運(yùn)行sysedit看有沒有可疑的文件，可是這個(gè)最好不要亂修改（比較危險(xiǎn)），不確定的話還是去搜索下比較好。 3.針對(duì)措施: 1.打開任務(wù)管理器,結(jié)束可疑進(jìn)程 2.如果不能結(jié)束,打開服務(wù)列表,查看有無可疑服務(wù),重點(diǎn)在那些沒有注釋的服務(wù)項(xiàng)目,停止服務(wù),再結(jié)束進(jìn)程 3.結(jié)束可疑服務(wù)和進(jìn)程后,接下來就是刪除自啟動(dòng)項(xiàng)目 4.顯示所有文件,按照注冊(cè)表中啟動(dòng)項(xiàng)目或系統(tǒng)信息的提示,找到病毒文件的藏身地址,刪除,如果提示不能刪除,那就記下地址和文件名,到安全模式命令行中刪除.注意名字的細(xì)微差別。 5.注意計(jì)算機(jī)和用戶的啟動(dòng)和關(guān)機(jī)腳本,也許你刪除了注冊(cè)表的啟動(dòng)項(xiàng),但關(guān)機(jī)時(shí)它又用關(guān)機(jī)腳本給你加上了 6.如果病毒是用

51、自身的文件代替了系統(tǒng)文件,那你刪除病毒文件后,記得從別的機(jī)子(干凈無毒的,別再?gòu)?fù)制一個(gè)病毒回來)復(fù)制或者從安裝盤中解壓一個(gè)出來放回原位 7.注意解決后遺癥問題:文件關(guān)聯(lián),有些病毒會(huì)把某些文件的默認(rèn)打開方式指向自己,當(dāng)病毒被清除后,往往會(huì)造成該類文件無法打開 8.對(duì)于病毒,防患于未然是最好的辦法.在這個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)時(shí)代,如果你擁有一臺(tái)上網(wǎng)的計(jì)算機(jī)而沒有使用任何殺毒軟件或防火墻,不被侵犯幾乎是不可能的。 9.我們自己該做的：（1）.及時(shí)升級(jí)病毒庫(kù) （2）.及時(shí)升級(jí)你的系統(tǒng)補(bǔ)?。?）.關(guān)閉所有你不使用的系統(tǒng)服務(wù),遠(yuǎn)程修改注冊(cè)表尤其要禁用 10我還是認(rèn)為先從安全模式下殺比較好，開機(jī)按f8進(jìn)入安全模式，

52、使用文件法的前幾步使隱藏文件顯示，進(jìn)去我的電腦按f3搜索界面，接著是搜索刪文件。記得，在更多搜索選項(xiàng)要全選。刪掉了之后還要記得在各個(gè)盤的回收站里面的東西全刪去，每個(gè)盤的回收站都是叫recycled的。 4.手工清除病毒的方法： a. 如果病毒正在運(yùn)行，按control-alt-delete，選擇任務(wù)管理器，用鼠標(biāo)點(diǎn)擊清除帶有avserve.exe和后帶_up.exe的4位或5位數(shù)字，然后退出任務(wù)管理器。 b. 如果你的系統(tǒng)是windows me或xp，暫停system restore功能，以防止系統(tǒng)重新安裝病毒 c. 關(guān)閉計(jì)算機(jī)，中斷網(wǎng)線或是無線連接卡。d. 重新啟動(dòng)計(jì)算機(jī)，進(jìn)入安全模式e.

53、進(jìn)入windows explorer，然后刪除windows目錄(c:windows)下的avserve.exe文件。 f. 現(xiàn)在，必須編輯計(jì)算機(jī)的注冊(cè)表，消除病毒。先點(diǎn)擊“開始”，選“運(yùn)行”，輸入regedit，確認(rèn)。然后點(diǎn)擊正確的小加號(hào)進(jìn)hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun，在右邊框內(nèi)刪除avserve.exe=%windir%avserve.exe值。然后退出編輯器。 g. 在默認(rèn)狀態(tài)重新啟動(dòng)計(jì)算機(jī)。 h. 重新接入互聯(lián)網(wǎng)，運(yùn)行上面提到過的微軟或反病毒公司提供的工具，確認(rèn)你已經(jīng)消除了病毒。 i. 最后重新恢

54、復(fù)system restore功能。 j. 防止再度感染。首先，進(jìn)入點(diǎn)擊掃描升級(jí)，然后安裝升級(jí)補(bǔ)丁，835732對(duì)windows的一個(gè)漏洞進(jìn)行了修復(fù)，可以防止病毒感染。第9章計(jì)算機(jī)病毒防治技術(shù)計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行；系統(tǒng)對(duì)于計(jì)算機(jī)病毒的實(shí)際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評(píng)判。防毒能力是指預(yù)防病毒侵入計(jì)算機(jī)系統(tǒng)的能力。查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力。通過查毒應(yīng)該能準(zhǔn)確地發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)是否感染有病毒，并準(zhǔn)確查找出病毒的來源，并能給出統(tǒng)計(jì)報(bào)告；查毒能力應(yīng)由查毒率和誤報(bào)率來評(píng)判。解毒能力是指從被感染對(duì)象中清除病毒，恢復(fù)被病毒感染前的原始信息的能

55、力；解毒能力應(yīng)用解毒率來評(píng)判。反病毒技術(shù):病毒行為語(yǔ)言 從程序語(yǔ)言角度來講，查找病毒的過程就是查找病毒所用的代碼。病毒行為語(yǔ)言使用一種數(shù)學(xué)的計(jì)算方法對(duì)病毒代碼算出一個(gè)公式，用這個(gè)公式可以準(zhǔn)確的描述病毒，這種描述計(jì)算機(jī)病毒的方法具有描述精確、查找迅速、誤報(bào)率低等特點(diǎn)。 數(shù)據(jù)描述解毒技術(shù)病毒寄生在系統(tǒng)中的過程是對(duì)文件和扇區(qū)的一種數(shù)學(xué)變換，從宏觀上來講可以看成是一段數(shù)據(jù)運(yùn)算，它的逆運(yùn)算就是數(shù)據(jù)解毒技術(shù)。這種技術(shù)解毒具有解毒準(zhǔn)確、解毒效率高、解毒效果好等特點(diǎn)。病毒家族分類法：“家族”是指幾種或數(shù)十種病毒均由同一種病毒發(fā)展而來，它們的性質(zhì)相近，表現(xiàn)方法相近，甚至連檢測(cè)、消除的方法都十分相象。數(shù)據(jù)代碼分離

56、技術(shù) 數(shù)據(jù)代碼分離技術(shù)把對(duì)一種病毒的查解分成了兩類，一種是病毒符合標(biāo)準(zhǔn)的查毒解毒算法，只要增加有關(guān)這種病毒的幾個(gè)數(shù)據(jù)，就可查解這種病毒；另一種是不符合標(biāo)準(zhǔn)解毒算法的病毒， 只要增加有關(guān)這種病毒的查解代碼，就可增加這類病毒的查解算法。病毒的檢測(cè)與解除(1) 文件型病毒解除在計(jì)算機(jī)病毒中絕大部分是文件型。所謂文件型病毒是指此類病毒寄生在可執(zhí)行文件上，并依靠可執(zhí)行文件來傳播。通過檢測(cè)工作已經(jīng)得到了病毒體的全部代碼，用于還原病毒的數(shù)據(jù)肯定在病毒體內(nèi)，只要找到這些數(shù)據(jù)，依照一定的程式或方法即可將文件恢復(fù)，也就是說可以將病毒解除。(2)引導(dǎo)型病毒的解除：可用地址法、相對(duì)法、邏輯法、覆蓋法、特殊法予以解除。(3)內(nèi)存解毒：新的內(nèi)存解毒技術(shù)是找到病毒在內(nèi)存中的位置，重構(gòu)其中部分代碼，使其傳播功能失效。(4)未知病毒的檢測(cè) 通過對(duì)大量病毒的分析，可以掌握病毒的共性，并按照其發(fā)展衍生規(guī)律進(jìn)行分類，總結(jié)病