計(jì)算機(jī)病毒論文

1、網(wǎng)絡(luò)攻擊與防御技術(shù)論文計(jì)算機(jī)病毒論文2網(wǎng)絡(luò)攻擊與防御技術(shù)論文摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展,利用廣泛開(kāi)放的網(wǎng)絡(luò)環(huán)境進(jìn)行全球通信已成為時(shí)代發(fā)展的趨勢(shì)。但是網(wǎng)絡(luò)在給人們帶來(lái)巨大便利的同時(shí)也帶來(lái)了各種各樣的安全威脅,其中計(jì)算機(jī)病毒就是其中之一,并且隨著互聯(lián)網(wǎng)的發(fā)展,計(jì)算機(jī)病毒傳播的速度越來(lái)越快,給人們帶來(lái)的危害也越來(lái)越大,因此如何對(duì)計(jì)算機(jī)病毒進(jìn)行防治對(duì)于計(jì)算機(jī)安全來(lái)說(shuō)就顯得非常關(guān)鍵。目前計(jì)算機(jī)的應(yīng)用遍及到社會(huì)的各個(gè)領(lǐng)域，同時(shí)計(jì)算機(jī)病毒也給筆者帶來(lái)了巨大的破壞和潛在的威脅。對(duì)于大多數(shù)計(jì)算機(jī)用戶來(lái)說(shuō)，談到“計(jì)算機(jī)病毒”似乎覺(jué)得它深不可測(cè)，無(wú)法琢磨。其實(shí)計(jì)算機(jī)病毒是可以預(yù)防的，隨著計(jì)算機(jī)的普及與深入，

2、對(duì)計(jì)算機(jī)病毒的防范也在越來(lái)越受到計(jì)算機(jī)用戶的重視。作為計(jì)算機(jī)的使用者，應(yīng)了解計(jì)算機(jī)病毒的防治技術(shù)和檢測(cè)應(yīng)用，以維護(hù)正常、安全的計(jì)算機(jī)使用和通信環(huán)境。因此為了確保計(jì)算機(jī)能夠安全工作，計(jì)算機(jī)病毒的防治技術(shù)，已經(jīng)迫在眉睫。本論文從計(jì)算機(jī)病毒的定義入手，淺談?dòng)?jì)算機(jī)病毒的特點(diǎn)及其防治技術(shù)及其檢測(cè)應(yīng)用。計(jì)算機(jī)病毒更新速度快，層出不窮，給計(jì)算機(jī)個(gè)人用戶和政府、企業(yè)等都帶來(lái)了巨大的危害。作為是計(jì)算機(jī)的使用者，同時(shí)也是計(jì)算機(jī)的專業(yè)的學(xué)者，就該應(yīng)了解計(jì)算機(jī)病毒的防治技術(shù)及其檢測(cè)應(yīng)用，以維護(hù)正常、安全的計(jì)算機(jī)使用和通信環(huán)境。全文就計(jì)算機(jī)病毒防治技術(shù)及其檢測(cè)應(yīng)用的途徑與防治研究做了詳細(xì)論述。關(guān)鍵字：計(jì)算機(jī)安全，病毒，

3、防治技術(shù)，檢測(cè)應(yīng)用47目 錄摘 要1第一章 前言4第二章 計(jì)算機(jī)病毒的產(chǎn)生與分類52.1計(jì)算機(jī)病毒含義52.2病毒產(chǎn)生的特點(diǎn)62.3 計(jì)算機(jī)病毒分類72.3.1 按病毒存在的媒體分類72.3.2 按病毒傳染的方法分類72.3.3 按病毒破壞的能力分類82.3.4 按病毒算法分類82.3.5 按計(jì)算機(jī)病毒的鏈結(jié)方式分類92.3.6 按病毒攻擊操作系統(tǒng)分類9第三章 計(jì)算機(jī)病毒的傳播途徑分析113.1 計(jì)算機(jī)病毒傳播途徑關(guān)鍵環(huán)節(jié)113.2 計(jì)算機(jī)病毒傳播途徑113.3 計(jì)算機(jī)病毒傳播特性143.3.1 計(jì)算機(jī)病毒的傳染性143.3.2 計(jì)算機(jī)病毒的隱蔽性143.3.3 計(jì)算機(jī)病毒的潛伏性153.3.

4、4 計(jì)算機(jī)病毒的破壞性163.3.5 計(jì)算機(jī)病毒的針對(duì)性163.3.6 計(jì)算機(jī)病毒的不可預(yù)見(jiàn)性16第四章 計(jì)算機(jī)病毒的防治研究184.1 特征代碼技術(shù)的特征值184.2 校驗(yàn)和法技術(shù)214.3 行為監(jiān)測(cè)法技術(shù)224.4 軟件模擬技術(shù)244.5 常見(jiàn)病毒的分析與防治254.5.1 宏病毒254.5.2 網(wǎng)頁(yè)病毒274.5.3 郵件病毒294.5.4 腳本病毒304.5.5 蠕蟲病毒334.5.6 特洛伊木馬35結(jié)束語(yǔ)44參考文獻(xiàn)46 第一章 前言計(jì)算機(jī)技術(shù)的迅猛發(fā)展給人們的工作和生活帶來(lái)了前所未有的便利和效率，成為現(xiàn)代社會(huì)不可缺少的一部分。計(jì)算機(jī)系統(tǒng)并不是安全的,其不安全因素有計(jì)算機(jī)信息系統(tǒng)自身

5、的存在,也有人為因素的存在。計(jì)算機(jī)病毒就是最不安全的因素之一，它不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的大災(zāi)難。計(jì)算機(jī)病毒被人們稱之為“21世紀(jì)最大的隱患”，病毒數(shù)量將呈現(xiàn)爆炸式的增長(zhǎng)，病毒變種更是多不勝數(shù)，因此研究計(jì)算機(jī)病毒機(jī)理和反病毒技術(shù)具有重要意義。本文將簡(jiǎn)述了解計(jì)算機(jī)病毒產(chǎn)生的原理，根據(jù)計(jì)算機(jī)病毒的感染方式,對(duì)病毒進(jìn)行了分類，同時(shí)還根據(jù)計(jì)算機(jī)感染方式作了詳細(xì)探討它的入侵方式，在對(duì)分析計(jì)算機(jī)病毒將可能產(chǎn)生的各種溢出漏洞和后門，并給出了具體的防范措施和幾種對(duì)抗計(jì)算機(jī)病毒的一些有效的軟件工具，并對(duì)未來(lái)病毒的形式以及抗病毒技術(shù)進(jìn)行了進(jìn)一步的預(yù)測(cè)。第二章 計(jì)算機(jī)病毒的產(chǎn)生與分類2.

6、1計(jì)算機(jī)病毒含義計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的內(nèi)容,能破壞數(shù)據(jù)或破壞計(jì)算機(jī)功能，并能起到影響計(jì)算機(jī)的使用,具有自我復(fù)制的一段計(jì)算機(jī)指令或者程序代碼, 在計(jì)算機(jī)運(yùn)行中對(duì)計(jì)算機(jī)信息或系統(tǒng)起破壞作用的程序。計(jì)算機(jī)病毒的特點(diǎn)是人為的特制的程序，自我復(fù)制能力很強(qiáng)，具有很強(qiáng)的傳染性，一定的潛伏性，在特定的觸發(fā)條件下它具有很大的破壞性。在網(wǎng)絡(luò)飛速發(fā)展的現(xiàn)代化信息時(shí)代的今天，病毒呈現(xiàn)出病毒的多樣性、翻新速度快、傳播途徑多、擴(kuò)散速度極快、目的性和針對(duì)性更強(qiáng)等新特點(diǎn)。簡(jiǎn)單地說(shuō)，計(jì)算機(jī)病毒是一種特殊的計(jì)算機(jī)程序。因?yàn)檫@種特殊的程序，它像微生物學(xué)所稱的病毒一樣，在計(jì)算機(jī)系統(tǒng)中繁殖、生存和傳播，并像微生物學(xué)中

7、的病毒對(duì)動(dòng)植物體帶來(lái)疾病那樣，這種特殊的計(jì)算機(jī)程序 可以對(duì)計(jì)算機(jī)系統(tǒng)資源造成嚴(yán)重的破壞。所以人們就借用了這個(gè)微生物學(xué)名詞，來(lái)形象地描述這種特殊的計(jì)算機(jī)程序。并稱之為“計(jì)算機(jī)病毒”(Computer virus).2.2病毒產(chǎn)生的特點(diǎn)計(jì)算機(jī)病毒就是一些具有“病毒”功能的程序或程序段,把自己的一個(gè)副本附加到另一個(gè)程序上面進(jìn)行復(fù)制,并廣泛傳播,干擾正常工作,占用系統(tǒng)資源,損壞數(shù)據(jù)等。其特點(diǎn):（1）感染性是指計(jì)算機(jī)病毒具有把自身復(fù)制到其他程序中的特性。（2）隱蔽性是指具有很高的編程染技巧、短小精悍的程序，通過(guò)附在正常程序中或磁盤較隱蔽的地方。（3）潛伏性指病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏

8、在系統(tǒng)中，只有在滿足特定的條件下時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。（4）破壞性是指任何計(jì)算機(jī)病毒只要侵入系統(tǒng),都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的破壞,輕者會(huì)降低計(jì)算機(jī)工作效率,占用系統(tǒng)資源,重者可導(dǎo)致系統(tǒng)崩潰。 （5）衍生性是指改動(dòng)已有的計(jì)算機(jī)病毒程序而衍生出的新計(jì)算機(jī)病毒,可能比原計(jì)算機(jī)病毒具有更大的危害性。（6）不可預(yù)見(jiàn)性是指從對(duì)計(jì)算機(jī)病毒的檢測(cè)方面來(lái)看，計(jì)算機(jī)病毒還有不可預(yù)見(jiàn)性，不同種類的計(jì)算機(jī)病毒，它們的代碼千差萬(wàn)別，但有些操作是共有的（如駐內(nèi)存，改中斷）。由它的特點(diǎn)筆者也可以看出計(jì)算機(jī)病毒的結(jié)構(gòu)組成包括傳播機(jī)制,也稱為感染機(jī)制,目的在于實(shí)現(xiàn)自身的復(fù)制和自身的隱藏;觸發(fā)機(jī)制,包括日期和時(shí)間、

9、鍵盤、感染、啟動(dòng)、磁盤訪問(wèn)和中斷訪問(wèn)觸發(fā)等;破壞機(jī)制主要攻擊系統(tǒng)數(shù)據(jù)區(qū)、文件和硬盤、內(nèi)存等等。2.3 計(jì)算機(jī)病毒分類2.3.1 按病毒存在的媒體分類 網(wǎng)絡(luò)病毒：通過(guò)計(jì)算機(jī)的網(wǎng)絡(luò)傳播媒介不再是移動(dòng)式載體，而是在網(wǎng)絡(luò)通道中傳播，這種病毒的傳染能力更強(qiáng)，破壞力更大，主要感染的是可執(zhí)行文件； 文件病毒：文件型病毒主要以感染文件擴(kuò)展名為.COM，.EXT，和.OVL等執(zhí)行程序?yàn)橹鳎陌惭b必須借助于病毒的載體程序，方能把文件型病毒引入內(nèi)存； 引導(dǎo)型病毒：引導(dǎo)型病毒是一種在ROM BIOS之后，系統(tǒng)引導(dǎo)時(shí)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BOIS中斷服務(wù)程序,它主要感染的是啟動(dòng)扇區(qū)（BOOT）和硬盤的系

10、統(tǒng)引導(dǎo)扇區(qū)（MBR）； 混合型病毒：是上述三種情況的混合，該病毒是利用文件感染時(shí)伺機(jī)感染引導(dǎo)區(qū)，因而具有雙重傳播能力；2.3.2 按病毒傳染的方法分類 引導(dǎo)扇區(qū)傳染病毒：主要使用病毒的全部或部分代碼取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在其他地方。 執(zhí)行文件傳染病毒：寄生在可執(zhí)行程序中，一旦程序執(zhí)行，病毒就被激活，進(jìn)行預(yù)定活動(dòng)。 網(wǎng)絡(luò)傳染病毒：這類病毒是當(dāng)前病毒的主流性病毒，特點(diǎn)是通過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行傳播。如，蠕蟲病毒就是通過(guò)主機(jī)的漏洞在網(wǎng)上迅速傳播。 2.3.3 按病毒破壞的能力分類 無(wú)害型：除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)并沒(méi)有什么其它影響。 危險(xiǎn)型：這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)

11、重的錯(cuò)誤。 無(wú)危險(xiǎn)型：這類病毒僅僅是減少系統(tǒng)的內(nèi)存、顯示圖像、并發(fā)出聲音及其同類發(fā)的音響。 非常危險(xiǎn)型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。2.3.4 按病毒算法分類 伴隨型病毒：這類病毒并不改變文件本身,根據(jù)算法產(chǎn)生擴(kuò)展名為.EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（.COM）,如：XCOPY.EXE的伴隨體是XCOPY.COM。 蠕蟲型病毒：通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用互聯(lián)網(wǎng)從一臺(tái)計(jì)算機(jī)的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器上的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過(guò)互聯(lián)網(wǎng)發(fā)送。有時(shí)它會(huì)在系統(tǒng)內(nèi)存在，一般除了內(nèi)存不占用其它資源。 寄生型病毒：依附在系統(tǒng)的主

12、從引導(dǎo)扇區(qū)中或文件中，通過(guò)系統(tǒng)進(jìn)行傳播。 練習(xí)型病毒：病毒自身就包含的有錯(cuò)誤，不能進(jìn)行有效的傳播，例如病毒在調(diào)試階段。 變形病毒：這類病毒使用的是一個(gè)比較復(fù)雜的算法，使自己每 傳播一份都具有不同的內(nèi)容和不同的長(zhǎng)度。它一般的作法是一段混合，有無(wú)關(guān)系指令的解碼算法和經(jīng)過(guò)變化的病毒體組成。2.3.5 按計(jì)算機(jī)病毒的鏈結(jié)方式分類 源碼型病毒：該病毒攻擊高級(jí)語(yǔ)言編寫的程序，在高級(jí)語(yǔ)言所編寫的程序編譯插入到源程序中，經(jīng)編譯成為合法的一部分。 嵌入型病毒：這種計(jì)算機(jī)病毒是難以編寫的,一旦侵入程序體后也較難消除。另外這種病毒是將自身嵌入到現(xiàn)有程序中,把計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。如果同

13、時(shí)采用多態(tài)性病毒技術(shù),超級(jí)病毒技術(shù)和隱蔽性病毒技術(shù),將給當(dāng)前的反病毒技術(shù)帶來(lái)嚴(yán)峻的挑戰(zhàn)。 外殼型病毒：這種病毒最為常見(jiàn),易于編寫,也是易于被發(fā)現(xiàn),一般測(cè)試的是文件的大小即可知道.殼型病毒將其自身包圍在主程序的四周,并對(duì)原來(lái)的程序不作任何修改。 操作系統(tǒng)型病毒：這類病毒用的是程序意圖加入或取代部分操作系統(tǒng)從而進(jìn)行工作,具有很強(qiáng)的破壞能力,可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓,甚至死機(jī)或關(guān)機(jī),如圓點(diǎn)病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。2.3.6 按病毒攻擊操作系統(tǒng)分類 Microsoft DOS 攻擊DOS系統(tǒng)的病毒:這類病毒的種類及其變種極多,盡管DOS病毒技術(shù)在1995在基本上處于停滯狀態(tài),但是Micr

14、osoft DOS系統(tǒng)類病毒的數(shù)量和傳播仍然在發(fā)展中。 Unix(Linux) 攻擊UNIX系統(tǒng)的病毒：起初人們認(rèn)為Unix系統(tǒng)和各個(gè)Linux系統(tǒng)是免遭病毒侵襲的樂(lè)土.然而隨著計(jì)算機(jī)病毒技術(shù)的發(fā)展,病毒的攻擊目標(biāo)也開(kāi)始染指Unix和Linux。1997年2月,出現(xiàn)了首例攻擊Linux系統(tǒng)的病毒Bliss(上天的賜福)。 Microsoft Windows 攻擊Windows系統(tǒng)的病毒:自1996年1月出現(xiàn)了首例Widows 95病毒W(wǎng)in95.Boza病毒以來(lái),攻擊Windows系列的開(kāi)始,的計(jì)算機(jī)病毒系統(tǒng)的日趨增多。第三章 計(jì)算機(jī)病毒的傳播途徑分析3.1 計(jì)算機(jī)病毒傳播途徑關(guān)鍵環(huán)節(jié)（1)帶

15、病毒文件的復(fù)制或移動(dòng)。即感染病毒的文件從一臺(tái)計(jì)算機(jī)復(fù)制、移動(dòng)到另一臺(tái)計(jì)算機(jī)。（2) 計(jì)算機(jī)操作者的觸發(fā)。一般計(jì)算機(jī)病毒是寄生在受感染的文件上,只有計(jì)算機(jī)操作者執(zhí)行時(shí)或者打開(kāi)受感染的文件時(shí),計(jì)算機(jī)病毒才會(huì)有執(zhí)行的機(jī)會(huì),才能取得主機(jī)的控制權(quán)。（3)計(jì)算機(jī)病毒的感染。計(jì)算機(jī)病毒在取得主機(jī)的控制權(quán)后，就隨時(shí)可以尋找合適自己的目標(biāo)文件進(jìn)行感染，把病毒副本嵌入到目標(biāo)文件中,使之感染大量的文件。3.2 計(jì)算機(jī)病毒傳播途徑計(jì)算機(jī)病毒的傳播主要是通過(guò)拷貝文件、傳送文件、運(yùn)行程序等方式進(jìn)行的。而主要的傳播途徑有以下幾種：（1)軟盤軟盤作為最常用的交換媒介,在計(jì)算機(jī)應(yīng)用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用,因那時(shí)計(jì)算

16、機(jī)應(yīng)用比較簡(jiǎn)單,可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小,（如圖3-1）圖3-1 軟盤 許多執(zhí)行文件均可通過(guò)軟盤相互拷貝、安裝,這樣病毒就能通過(guò)軟盤傳播文件型病毒;另外,在軟盤列目錄或引導(dǎo)機(jī)器時(shí),引導(dǎo)區(qū)病毒會(huì)在軟盤與硬盤引導(dǎo)區(qū)內(nèi)相互感染。因此軟盤也成了計(jì)算機(jī)病毒的主要的寄生“溫床”。 （2)光盤光盤因?yàn)槿萘看?能存儲(chǔ)大量的可執(zhí)行文件,大量的病毒就有可能藏身于光盤當(dāng)中,對(duì)只讀式光盤,不能進(jìn)行寫操作,新的病毒也無(wú)法進(jìn)入光盤當(dāng)中,然而光盤上也具有的病毒也不能清除,這種以謀利為目的非法盜版光盤的制作過(guò)程中,(如圖3-2)圖3-2 光盤 一般不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任,也沒(méi)有真正可靠可行性的技術(shù)能保障避病毒的傳

17、入、傳染、流行和擴(kuò)散。當(dāng)前,盜版光盤的泛濫給病毒的傳播帶來(lái)了極大的便利,甚至有些光盤上殺病毒軟件本身就帶有病毒,這就給本來(lái)“干凈”的計(jì)算機(jī)帶來(lái)了災(zāi)難。（3)硬盤（含移動(dòng)硬盤、USB）有時(shí)，帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會(huì)將干凈的光盤(軟盤)傳染或者感染其他硬盤(如圖3-3)并擴(kuò)散。 圖3-3 硬盤 圖3-4 U盤 而U盤（如圖3-4）作為當(dāng)前人們最方便、最常用的存儲(chǔ)介質(zhì)和文件拷貝、并且攜帶方便的工具,在病毒的傳播中發(fā)揮了重要的作用。（4)網(wǎng)絡(luò)有線網(wǎng)絡(luò)的快速發(fā)展促進(jìn)了以網(wǎng)絡(luò)為媒介的各種服務(wù)（FTP, WWW, BBS, EMAIL等）的快速普及（如圖3-5）。同時(shí)，這些服務(wù)也

18、成為了新的病毒傳播方式。如WEB服務(wù)、電子郵件（Email）、即時(shí)消息服務(wù)（QQ, ICQ, MSN等）、FTP服務(wù)、新聞組、電子布告欄（BBS）。圖3-5 計(jì)算機(jī)網(wǎng)絡(luò) 另一種是無(wú)線通訊系統(tǒng),病毒對(duì)手機(jī)的攻擊有3個(gè)層次:攻擊網(wǎng)關(guān),向手機(jī)用戶發(fā)送大量垃圾信息;攻擊WAP服務(wù)器,使手機(jī)無(wú)法訪問(wèn)服務(wù)器;直接對(duì)手機(jī)本身進(jìn)行攻擊,有針對(duì)性地對(duì)其操作系統(tǒng)和運(yùn)行程序進(jìn)行攻擊,使手機(jī)無(wú)法提供正常的服務(wù)。3.3 計(jì)算機(jī)病毒傳播特性計(jì)算機(jī)病毒與生物病毒有許多相似之處，同樣有以下一些特性:3.3.1 計(jì)算機(jī)病毒的傳染性傳染性是計(jì)算機(jī)病毒的一個(gè)重要特性,也是衡量一種程序是否為病毒的首要條件。計(jì)算機(jī)病毒的傳染性是計(jì)算機(jī)

19、病毒的再生機(jī)制,病毒程序一旦進(jìn)入系統(tǒng)中,與系統(tǒng)中的程序接在一起,它就會(huì)在運(yùn)行這一被傳染的程序時(shí)傳染其它的程序。這樣一來(lái),病毒就會(huì)很快地傳染到整個(gè)計(jì)算機(jī)系統(tǒng),并可通過(guò)U盤、網(wǎng)絡(luò)線路等進(jìn)一步傳播和蔓延,這就是計(jì)算機(jī)病毒最重要的特征傳染性和傳播性。目前病毒一般通過(guò)U盤進(jìn)行傳染,它的藏身處為系統(tǒng)引導(dǎo)區(qū),也即DOS的BOOT區(qū);或附在執(zhí)行文件上。但不管哪一種情況,病毒要進(jìn)入U(xiǎn)盤就必須往U盤上寫內(nèi)容,故將U盤設(shè)為只讀就可以防止病毒侵入。3.3.2 計(jì)算機(jī)病毒的隱蔽性由于病毒程序都是利用DOS（如圖3-6）和BIOS（如圖3-7）的系統(tǒng)功能完成其它功能,所以病毒程序一般都比較短小,容易附著在系統(tǒng)或可執(zhí)行文件

20、上而不容易察覺(jué)。另外一些病毒程序采用反跟蹤技術(shù)和密碼技術(shù),則更難于發(fā)現(xiàn).一個(gè)編制巧妙的計(jì)算機(jī)病毒程序,可以在幾周甚至幾年內(nèi)隱蔽在合法文件之中,對(duì)其它系統(tǒng)進(jìn)行傳染,這就是計(jì)算機(jī)病毒生存下來(lái)的主要原因.計(jì)算機(jī)病毒的隱蔽性越好,在系統(tǒng)中存在的時(shí)間就越長(zhǎng),病毒的傳染范圍就越在。 圖3-6 DOS介面 圖3-7 BIOS介面計(jì)算機(jī)病毒進(jìn)入系統(tǒng)并破壞程序和數(shù)據(jù)的過(guò)程是不容易查覺(jué)的.就計(jì)算機(jī)病毒本身其存留不定,可能隱蔽在備份盤或其它介質(zhì)上.一種病毒可能在表面上被清除,但若干年后,隨機(jī)地或有目的地再次傳染開(kāi)來(lái).病毒在一種載體上的壽命,如不是人為清除,則與載體壽命一致。備份系統(tǒng)文件,目的是為防止病毒對(duì)文件的破壞

21、而導(dǎo)致系統(tǒng)資源的損失,而實(shí)際上往往為病毒提供了安全場(chǎng)所,為病毒的再次觸發(fā)激活創(chuàng)造了條件。大部分的病毒的代碼之所以設(shè)計(jì)得非 常短小,也是為了便于隱藏。病毒一般只有幾百或上千字節(jié),而PC機(jī)對(duì)DOS文件的存取速度每秒可達(dá)每秒幾百到千字節(jié)以上,所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中,使人非常不易察覺(jué)。3.3.3 計(jì)算機(jī)病毒的潛伏性計(jì)算機(jī)病毒的潛伏性,是指計(jì)算機(jī)病毒所具有的依附于其媒體而寄生的能力.一個(gè)編制巧妙的計(jì)算機(jī)美麗程序,可以在幾周或者幾個(gè)月甚至幾年內(nèi)隱蔽在合法文件中;此 間,對(duì)其它系統(tǒng)進(jìn)行傳染,而不被人們發(fā)現(xiàn).計(jì)算機(jī)病毒潛伏性與傳染性相輔相承,潛伏性越好,其在系統(tǒng)中存在的時(shí)間就

22、會(huì)越長(zhǎng),病毒的傳染范圍就會(huì)越在.3.3.4 計(jì)算機(jī)病毒的破壞性計(jì)算機(jī)病毒的破壞程序怎樣,這要取決于計(jì)算機(jī)病毒的設(shè)計(jì)者.不同的病毒,可以毀掉系統(tǒng)內(nèi)的部分?jǐn)?shù)據(jù),也可以破壞全部數(shù)據(jù)并使之無(wú)法恢復(fù),同時(shí)以可以對(duì)系統(tǒng)的某些數(shù)據(jù)修改,使系統(tǒng)的輸出結(jié)果面目全非.當(dāng)然,也不是所有的病毒都對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性的破壞作用.事實(shí)上,也存在對(duì)系統(tǒng)有有益的病毒, 弗雷 德.柯亨的壓縮病毒C。任何計(jì)算機(jī)病毒只要侵入到系統(tǒng),都會(huì)對(duì)系統(tǒng)產(chǎn)生有不同的影響,輕者會(huì)降低計(jì)算機(jī)工作效率,占用系統(tǒng)資源,重者可導(dǎo)致系統(tǒng)崩潰,但是,由于所有的病毒都是一種可以執(zhí)行的程序,而這些病毒都存在著一個(gè)共同的危害,即降低計(jì)算機(jī)系統(tǒng)的工作效率。3.3.5

23、計(jì)算機(jī)病毒的針對(duì)性無(wú)論哪種計(jì)算機(jī)病毒,都不是對(duì)所有計(jì)算機(jī)系統(tǒng)進(jìn)行傳染破壞的。例如,有針對(duì)IBM PC及其兼容機(jī)的,有針對(duì)APPLE公司的Macintosh機(jī)的,以及針對(duì)Unix操作系統(tǒng)的等等。以前我國(guó)流行的小球病毒則是針對(duì)IBM PC XT機(jī)及其兼容的16位機(jī)的,針對(duì)某一種或幾種計(jì)算機(jī)和特定的操作系統(tǒng)。3.3.6 計(jì)算機(jī)病毒的不可預(yù)見(jiàn)性計(jì)算機(jī)病毒常常被人們修改,致使許多病毒都生出不少變種、變體,如小球病毒的變種就多達(dá)十余種之多;這給解毒抗毒工作帶來(lái)了許多困難。而有些人利用病毒的這種共性,制作了聲稱可查了出所有病毒的程序,這種程序的確可查出一部分病毒,但由于目前的軟件市場(chǎng)極其豐富,且某些正常程序

24、也使用了類似病毒的操作,甚至借鑒了某些病毒的技術(shù)。使用這種方法對(duì)病毒進(jìn)行檢測(cè)勢(shì)必會(huì)造成較多的誤報(bào)情況。而且病毒的制作技術(shù)也在不斷地深入性提高,病毒對(duì)反病毒軟件常常都是超前的,無(wú)法預(yù)測(cè)。小結(jié)：在計(jì)算機(jī)病毒的上述特征中，傳染性最為重要。其次，則是潛伏性和破壞性。計(jì)算機(jī)病毒的這些特性決定了計(jì)算機(jī)病毒的作用機(jī)制。第四章 計(jì)算機(jī)病毒的防治研究計(jì)算機(jī)病毒的存在和傳播對(duì)用戶造成了很大的危害，為了減少信息資料的丟失和破壞，這就需要在日常使用計(jì)算機(jī)時(shí)，養(yǎng)成良好的習(xí)慣，預(yù)防計(jì)算機(jī)病毒。并且需要用戶掌握一些查殺病毒的知識(shí)，在發(fā)現(xiàn)病毒時(shí)，及時(shí)保護(hù)好資料，并清除病毒。這里要堅(jiān)持依法治毒，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，并且要制定嚴(yán)格

25、的病毒防治技術(shù)規(guī)范，防止計(jì)算機(jī)病毒的侵入。在現(xiàn)代社會(huì)中，隨著互聯(lián)網(wǎng)的快速發(fā)現(xiàn)，計(jì)算機(jī)的應(yīng)用就范圍愈來(lái)愈廣泛，可以說(shuō)整個(gè)社會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)的依賴程度是越來(lái)越大，甚至達(dá)到了離不開(kāi)它。然而計(jì)算機(jī)并不是筆者想象中的哪么安全。其不安全因素有計(jì)算機(jī)信息系統(tǒng)自身的，有人為的因素。如何保護(hù)筆者的數(shù)據(jù)安全、防止病毒破壞、甚至達(dá)到打擊計(jì)算機(jī)犯罪已成為當(dāng)今社會(huì)面臨的一個(gè)重大問(wèn)題。計(jì)算機(jī)病毒危害計(jì)算機(jī)本身的安全和信息安全，自計(jì)算機(jī)的第一個(gè)病毒出現(xiàn)后,人們通過(guò)與病毒長(zhǎng)期的斗爭(zhēng),積累了大量反病毒的經(jīng)驗(yàn),掌握了很多實(shí)用的反病毒技術(shù),并開(kāi)發(fā)出了一些優(yōu)秀的抗病毒產(chǎn)品,病毒對(duì)抗主要研究病毒的檢測(cè)、病毒的清除和病毒的預(yù)防,病毒的

26、檢測(cè)技術(shù)主要有特征植檢測(cè)技術(shù)、校驗(yàn)和檢測(cè)技術(shù)、行為監(jiān)測(cè)技術(shù)、啟發(fā)式掃描技術(shù)、虛擬機(jī)技術(shù)。4.1 特征代碼技術(shù)的特征值特征代碼技術(shù)分為特征代碼法病毒的特征值組成和計(jì)算機(jī)病毒的檢測(cè)組成。 早期的計(jì)算機(jī)應(yīng)用于SCAN,CPAV等著名的病毒檢測(cè)工具中,目前被認(rèn)為是用來(lái)檢測(cè)計(jì)算機(jī)己知病毒的最簡(jiǎn)單、開(kāi)銷最小的方法之一。防毒軟件在最初的掃毒方式是將所有病毒的病毒代碼加以解剖分析，且將這些病毒獨(dú)有的特征搜集在一個(gè)病毒碼資料庫(kù)中,每當(dāng)需要掃描時(shí)，判斷該程序是否有病毒的時(shí)候,啟動(dòng)殺毒軟件程序,以掃描病毒的方式與該病毒碼資料庫(kù)內(nèi)的現(xiàn)有資料進(jìn)行一一比對(duì),如果雙方資料皆有吻合之處,既判定該程序已遭受到計(jì)算機(jī)病毒的感染。

27、計(jì)算機(jī)病毒的特征值是指計(jì)算機(jī)病毒本身存在的特定寄生環(huán)境中確認(rèn)自身是否存在的標(biāo)記或符號(hào),即指病毒在傳染宿主程序時(shí),首先判斷該病毒準(zhǔn)備傳染的宿主是否已具有該病毒時(shí),按特定的偏移量從文件中提出的特征值。一般而言,一種病毒的標(biāo)識(shí)可以作為另一種病毒的特征值,但一種病毒的特征值并不一定表示該病毒的標(biāo)識(shí)。如1575病毒的特征值可以是十六進(jìn)制的0A0CH,也可以是從病毒代碼中抽出的一組十六進(jìn)制的代碼:06 12 8C C0 02 1F 0E 07 A3等，前者是1575病毒的傳染標(biāo)識(shí),而后者則不是的。傳統(tǒng)的特征值搜索技術(shù),被廣泛應(yīng)用于SCAN、CPAV、AVP等抗病毒軟件中。特征值搜索技術(shù)被公認(rèn)是檢測(cè)已知病毒

28、最簡(jiǎn)單最常用最有效方法之一,傳統(tǒng)的特征代碼法的實(shí)現(xiàn)步驟如下:（1）采集已知病毒的樣本。如果病毒既感染擴(kuò)展名為.COM的文件(如圖4-11)，又感擴(kuò)展名為.EXE的可執(zhí)行文件,那么要對(duì)這種病毒要同時(shí)采集COM型病毒樣本和EXE型病毒樣本。（2）在病毒樣本中,抽取病毒特征代碼。在既能感染擴(kuò)展名為.COM的文件，又感擴(kuò)展名為.EXE(如圖4-1)的可執(zhí)行文件的病毒樣本中，要抽取兩種病毒樣本共有的代碼。 圖4-1 Com文件 圖4-2 Exe文體 （3）將特征代碼納入病毒數(shù)據(jù)庫(kù)中。（4）檢測(cè)文件。打開(kāi)被檢測(cè)的文件，在文件中搜索,檢查文件中是否含有已知的病毒,根據(jù)數(shù)據(jù)庫(kù)中的病毒特征代碼判定,如果發(fā)現(xiàn)病毒

29、特征代碼,由此特征代碼與病毒進(jìn)行一一對(duì)應(yīng),便可以斷定，被查文件所感染的是何種病毒。 病毒的檢測(cè)是對(duì)主引導(dǎo)區(qū)、可執(zhí)行文件、內(nèi)存空間和病毒特征值進(jìn)行比較分析,尋找病毒感染后留下的痕跡。對(duì)主引導(dǎo)區(qū)、可執(zhí)行文件、內(nèi)存空間和病毒特征值進(jìn)行對(duì)比分析如下:（1）檢查磁盤的主引導(dǎo)扇區(qū)硬盤的主引導(dǎo)扇區(qū),分區(qū)表以及文件分配表,文件目錄區(qū)是病毒攻擊的主要目標(biāo)之一,引導(dǎo)病毒主要攻擊磁盤上的引導(dǎo)扇區(qū)，硬盤存放主引導(dǎo)記錄的主引導(dǎo)扇區(qū)一般位于面道的扇區(qū)。病毒侵犯引導(dǎo)扇區(qū)的重點(diǎn)是前面的幾十個(gè)字節(jié)。發(fā)現(xiàn)與引導(dǎo)扇區(qū)信息有關(guān)的異常現(xiàn)象,即可通過(guò)檢查主引導(dǎo)扇區(qū)的內(nèi)容來(lái)診斷故障。（2）檢查可執(zhí)行文件主要是檢查后綴為.COM和.EXE等

30、可執(zhí)行文件,然后根據(jù)它的長(zhǎng)度、內(nèi)容、屬性等來(lái)判斷是否感染了計(jì)算機(jī)病毒一般檢查這些程序的頭部,即前面的20個(gè)左右的字節(jié)，因?yàn)榇蠖鄶?shù)病毒都會(huì)改變文件首部。（3）檢查內(nèi)存空間計(jì)算機(jī)病毒在傳染或執(zhí)行時(shí),必然要占用一定內(nèi)存空間進(jìn)行,并駐留在內(nèi)存中，等待時(shí)機(jī)成熟后進(jìn)行攻擊或傳染。病毒占據(jù)的內(nèi)存空間一般是用戶所不能覆蓋掉的,因此可通過(guò)檢查內(nèi)存的大小和內(nèi)存中的數(shù)據(jù)來(lái)判斷是否有病毒運(yùn)行可采取一些常用的簡(jiǎn)單工具如DEBUG、PCTOOLSG來(lái)檢查內(nèi)存。4.2 校驗(yàn)和法技術(shù)將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和,寫入文件中保存。定期檢查文件的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致,可以發(fā)現(xiàn)文件是否感染了病毒，這種方法叫校驗(yàn)和法,

31、它既可發(fā)現(xiàn)已知的病毒又可發(fā)現(xiàn)未知的病毒。由于病毒感染并非文件內(nèi)容改變的惟一性原因,文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警.而且此種方法也會(huì)影響文件的運(yùn)行速度.因而用監(jiān)視文件的校驗(yàn)和來(lái)檢測(cè)病毒,不是最好的方法。通常,大多數(shù)的病毒都不是單獨(dú)存在的,它們大都依附或寄生于其它的文檔程序，所以被感染的程序會(huì)有檔案大小增加的情況產(chǎn)生或者是檔案日期被修改的情形。這樣防毒軟件在安裝的時(shí)候會(huì)自動(dòng)將硬盤中的所有檔案資料做一次匯總并加以記錄,將正常文件的內(nèi)容計(jì)算其校驗(yàn)和,將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。計(jì)算正常文件的內(nèi)容和正常的系統(tǒng)扇區(qū)校驗(yàn)和,將該校驗(yàn)和寫入數(shù)據(jù)庫(kù)中保存。在文件使用/

32、系統(tǒng)啟動(dòng)過(guò)程中,檢查文件現(xiàn)在內(nèi)容的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致,因而可以發(fā)現(xiàn)文件/引導(dǎo)區(qū)是否感染，這種方法叫校驗(yàn)和檢測(cè)技術(shù)。在每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致,因而可以判定文件是否感染，這種方法既能發(fā)現(xiàn)已知病毒,也能發(fā)現(xiàn)未知的病毒，但是,它不能識(shí)別病毒的種類,不能正確報(bào)出病毒名稱。由于病毒感染并非是文件內(nèi)容改變的惟一原因,文件內(nèi)容的改變有可能是正常程序所引起的，所以校驗(yàn)和檢測(cè)技術(shù)常常會(huì)誤報(bào)警,而且此種方法也會(huì)影響文件的運(yùn)行速度.此外校驗(yàn)和檢測(cè)技術(shù)也對(duì)隱蔽性病毒無(wú)效。運(yùn)用校驗(yàn)和檢測(cè)技術(shù)查病毒采用以下三種方式：（1）在檢測(cè)病毒工具中納入校驗(yàn)和檢測(cè)技術(shù),對(duì)被

33、查找的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和,將校驗(yàn)和寫入被查文件中或檢測(cè)工具當(dāng)中，然后進(jìn)行比較；（2）在應(yīng)用程序中,放入校驗(yàn)和法自我檢查功能,將文件正常狀態(tài)的校驗(yàn)和寫入文件中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí),比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和.實(shí)現(xiàn)應(yīng)用程序的自檢測(cè)；（3）將校驗(yàn)和檢查程序常駐內(nèi)存中,每當(dāng)應(yīng)用程序開(kāi)始運(yùn)行時(shí),自動(dòng)比較檢查應(yīng)用程序的內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和.有時(shí)把校驗(yàn)和檢測(cè)方法稱之為比較檢測(cè)法,比較的對(duì)象可分為系統(tǒng)數(shù)據(jù)、文件的頭部、文件的屬性和文件的內(nèi)容;校驗(yàn)和法的優(yōu)點(diǎn)是:方法實(shí)現(xiàn)簡(jiǎn)單 能發(fā)現(xiàn)未知的計(jì)算機(jī)病毒、被查找的文件具有細(xì)微變化也能被發(fā)現(xiàn)出來(lái)。其缺點(diǎn)是:對(duì)文件內(nèi)容的變化過(guò)于敏感化、會(huì)產(chǎn)生誤報(bào)警、

34、不能識(shí)別出病毒名稱、不能對(duì)付隱蔽型病毒。4.3 行為監(jiān)測(cè)法技術(shù)利用病毒的特有行為特征性來(lái)監(jiān)測(cè)計(jì)算機(jī)病毒的方法,稱為行為監(jiān)測(cè)法.通過(guò)人們對(duì)病毒多年的觀察、研究發(fā)展,有一些行為是計(jì)算機(jī)病毒的共同擁有的行為動(dòng)作，而且還比較特殊。在正常程序中,這些行為比較罕見(jiàn).當(dāng)程序運(yùn)行時(shí),監(jiān)視其程序的行為時(shí)，如果發(fā)現(xiàn)了病毒行為,就立即報(bào)警。一般來(lái)說(shuō),反病毒技術(shù)包括病毒的防范、檢測(cè)和清除.其中如何發(fā)現(xiàn)計(jì)算機(jī)染毒就成了反病毒的重中之重,這就要求有先進(jìn)、有效的病毒檢測(cè)技術(shù).病毒的檢測(cè)技術(shù)通常采用的策略不外乎以下兩類:（1）針對(duì)某個(gè)或某個(gè)領(lǐng)域特定病毒的專用病毒檢查技術(shù),如特征值檢測(cè)技術(shù)和校驗(yàn)和檢測(cè)技術(shù);（2）針對(duì)廣義的所有

35、病毒的通用病毒檢測(cè)技術(shù);病毒無(wú)論偽裝得如何之巧妙,它總是存在著一些和正常程序不同的行為.行為監(jiān)測(cè)是指通過(guò)審查應(yīng)用程序的操作來(lái)判斷是否有惡意傾向并向用戶發(fā)出警告.這種技術(shù)能夠有效防止病毒的傳播,但也很容易將正常的升級(jí)程序、補(bǔ)丁程序誤報(bào)為病毒。病毒程序的偽裝行為越多,它們露出的馬腳就會(huì)越多,因而就越容易被監(jiān)測(cè)到。人們通過(guò)對(duì)病毒多年的觀察、研究,發(fā)現(xiàn)病毒有一些共有行為。在正常應(yīng)用程序中，這些行為比較罕見(jiàn),這就是病毒行為特性。常見(jiàn)的病毒行為特性有:（1）引導(dǎo)型病毒必然截留盜用INT 13H;（2）高端內(nèi)存駐留型病毒修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量;（3）內(nèi)存控制鏈駐留型病毒修改最后一個(gè)內(nèi)存控制塊的段 址

36、;（4）修改INT 21H，INT 25H，INT 23H;（5）修改嚴(yán)重錯(cuò)誤中斷DOS INT 24H;（6）對(duì)可執(zhí)行文件進(jìn)行寫操作;（7）寫磁盤引導(dǎo)區(qū);（8）病毒程序與宿主程序的切換;（9）WINDOWS PE病毒部分特征;行為監(jiān)測(cè)方法是以某種行為是否為病毒行為作為判斷病毒的依據(jù),可發(fā)現(xiàn)未知病毒,可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒，但它可能誤報(bào)警,不能識(shí)別病毒名稱和實(shí)現(xiàn)時(shí)有一定難度。行為監(jiān)測(cè)法的長(zhǎng)處:可發(fā)現(xiàn)未知計(jì)算機(jī)病毒,同時(shí)還可以準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。行為監(jiān)測(cè)法的短處:可能出現(xiàn)誤報(bào)警、不一定能識(shí)別病毒名稱、實(shí)現(xiàn)時(shí)有一定難度。4.4 軟件模擬技術(shù)軟件模擬技術(shù)分為少 態(tài)病毒和多態(tài)型病毒: （

37、1）當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染,并且病毒程序的代碼順序不同時(shí),這種傳播方式稱為多形態(tài)的; （2）當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染,并且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時(shí),這種傳播方式稱為少形態(tài)的。 多態(tài)型病毒的實(shí)現(xiàn)要比少 態(tài) 型病毒的實(shí)現(xiàn)復(fù)雜得多,它們能改變自身的譯碼部分。例如,通過(guò)從準(zhǔn)備好的集合中任意選取譯碼程序.該方法也能通過(guò)在傳播期間隨即產(chǎn)生程序指令來(lái)完成.例如，可以通過(guò)如下的方法來(lái)實(shí)現(xiàn)：（1）改變譯碼程序的順序;（2）處理器能夠通過(guò)一個(gè)以上的指令（序列）來(lái)執(zhí)行同樣的操作;（3）向譯碼程序中隨機(jī)地放入啞 命令（Dummy Comma

38、nd）。軟件模擬法,以后演繹為虛擬機(jī)查毒，啟發(fā)式查毒,是相對(duì)成熟的。4.5 常見(jiàn)病毒的分析與防治現(xiàn)在的用戶一般都安裝Windows系列的操作系統(tǒng)，而Windows病毒種類繁多，下面主要研究宏病毒、網(wǎng)頁(yè)病毒、郵件病毒、及蠕蟲病毒等一些常見(jiàn)的病毒。4.5.1 宏病毒（1） 宏病毒分析n 宏病毒的定義:是一些制作病毒的專業(yè)人士利用Microsoft Office的開(kāi)放性即Word和 Excel中提供的Word Basic/ Excel Basic接口編程,專門制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合,這種病毒宏的集合影響到計(jì)算機(jī)的使用，這種病毒宏的集合影響到計(jì)算機(jī)的使用,并能通過(guò)文檔及模板進(jìn)行自我復(fù)制

39、及傳播。n 宏病毒的特點(diǎn):傳播極快;多平臺(tái)交叉感染;制作、變種方便；地域性問(wèn)題;破壞可能性極大。（如圖4-3）圖4-3 宏病毒控制中心n 宏病毒的原理:宏病毒的產(chǎn)生,是編輯者利用了一些數(shù)據(jù)處理系統(tǒng)存在的內(nèi)置宏命令編程語(yǔ)言特性所形成的。這些數(shù)據(jù)處理在系統(tǒng)內(nèi)置的宏編程語(yǔ)言的宏病毒中有機(jī)可乘,病毒可以把特定的宏命令代碼附加在指定文件上,通過(guò)文件的打開(kāi)、關(guān)閉或刪除來(lái)獲取用戶的控制權(quán)權(quán)限，實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞,從而在未經(jīng)過(guò)用戶許可的情況下獲取控制權(quán)權(quán)限,達(dá)到傳染的目的.目前宏病毒感染在文件中,以Word、Excel占多數(shù)。（2） 宏病毒的防治n 宏病毒的檢測(cè)： 在Normal模板發(fā)現(xiàn)有A

40、utoOpen等自動(dòng)宏,File Save等標(biāo)準(zhǔn)宏或一些怪名字的宏,而自己又沒(méi)有加載特殊模板，這就有可能有病毒了,因?yàn)榇蠖鄶?shù)用戶的通用(Normal)模板中是沒(méi)有宏的; 如當(dāng)打開(kāi)一個(gè)文檔時(shí),未經(jīng)任何改動(dòng),立即就有存盤操作，也有可能是Word帶有病毒; 打開(kāi)以DOC為后綴的文件在另 存菜單中只能以模板方式存盤,此時(shí)通用模板中含有的宏，也有可能是Word有病毒； 無(wú)法使用“另存為（Save As）”修改路徑； 不能再被轉(zhuǎn)存為其它格式的文件； DOC文件具備與DOT文檔相一致的內(nèi)部格式(盡管文件擴(kuò)展名未改變)。 n 手工清除宏病毒的方法 打開(kāi)宏菜單,在通用模板中刪除 你認(rèn)為是病毒的宏; 打開(kāi)帶有病毒

41、宏的文檔（模板），然后打開(kāi)宏菜單,在通用模板和病毒文件名模板中刪除你認(rèn)為是病毒的宏; 保存清潔文檔。n 宏病毒的防范 對(duì)于已染毒的模板文件（Normal.dot）,應(yīng)先 其中的自動(dòng)宏清除（AutoOpen、AutoClose、AutoNew）,然后將其置成只讀方式; 對(duì)于其他已染病毒的文件均應(yīng)將自動(dòng)宏清除,這樣就可以達(dá)到清除病毒的目的; 平時(shí)使用時(shí)要加強(qiáng)預(yù)防,對(duì)來(lái)歷不明的宏 最好刪除; 先禁止所有自動(dòng)執(zhí)行的宏; 安裝反病毒軟件。4.5.2 網(wǎng)頁(yè)病毒n 網(wǎng)頁(yè)病毒的分析隨著網(wǎng)絡(luò)的發(fā)展與普及,互聯(lián)網(wǎng)對(duì)筆者來(lái)說(shuō)起到了越來(lái)越重要的作用，但是與此同時(shí),惡意網(wǎng)頁(yè)代碼也相繼出現(xiàn)，給廣大網(wǎng)絡(luò)用戶帶來(lái)了一些災(zāi)難.

42、這里所指的網(wǎng)頁(yè)病毒是指在HTML文件中用于非法修改用戶計(jì)算機(jī)配置的HTML文件,有不同于別的一般通過(guò),從而通過(guò)網(wǎng)頁(yè)傳染的病毒。（如圖4-4）圖4-4 網(wǎng)頁(yè)病毒 修改注冊(cè)表是網(wǎng)頁(yè)惡意代碼采用的最常見(jiàn)的一種方法.惡意攻擊性網(wǎng)頁(yè)正是自動(dòng)修改了網(wǎng)頁(yè)瀏覽者在電腦的注冊(cè)表中,從而達(dá)到修改IE首頁(yè)地址、鎖定部分功能等目的.現(xiàn)在本文來(lái)分析一下其修改注冊(cè)表的代碼.首先這里還得了解一下微軟的ActiveX 技術(shù)。ActiveX是Microsoft提出的一組使用COM使得軟件部件在網(wǎng)絡(luò)環(huán)境中進(jìn)行交互的技術(shù)集.它與具體的編程語(yǔ)言無(wú)關(guān).作為針對(duì)Internet應(yīng)用開(kāi)發(fā)技術(shù),ActiveX被廣泛應(yīng)用于Web服務(wù)器以及客戶

43、端的各個(gè)方面。同樣ActiveX可以應(yīng)用于網(wǎng)頁(yè)編制語(yǔ)言中,利用JavaScript語(yǔ)句輕易就可以把ActiveX嵌入到Web頁(yè)面中。在Internet上,有超過(guò)1000個(gè)ActiveX控件供用戶使用下載.在Windows的SYSTEM目錄下,保存有很多Windows提供的ActiveX控件。n 網(wǎng)頁(yè)病毒的防治1.禁用文件系統(tǒng)對(duì)象FileSystemObject:用regsvr32 scrrun.dll /u命令禁止文件系統(tǒng)對(duì)象，或者直接查找scrrun.dll文件將其刪除或者改名；2.卸載Windows Scripting Host:打開(kāi)-控制面板-添加/刪除程序-Windows安裝程序-附件

44、,取消“Windows Scripting Host”一項(xiàng);3.在Windows目錄中,找到WScript.exe或Cscript.exe，更改名稱或者刪除；4.刪除VBS、VBE、JS、JSE文件擴(kuò)展名與應(yīng)用程序的映射:點(diǎn)擊我的電腦-查看-文件夾選項(xiàng)-文件類型,然后刪除VBS、VBE、JS、JSE文件擴(kuò)展名與應(yīng)用程序的映射;5.修改Windows“隱藏已知文件類型的擴(kuò)展名稱”的默認(rèn)設(shè)置,使其顯示所有文件類型的擴(kuò)展名稱;6.點(diǎn)擊IE的“Internet選項(xiàng)”安全選項(xiàng)卡里的“自定義級(jí)別”按鈕,把ActiveX控件及插件設(shè)置為禁用;7.將系統(tǒng)網(wǎng)絡(luò)連接的安全級(jí)別至少設(shè)置為“中等”;8.禁止OE的自動(dòng)

45、收發(fā)郵件功能;9.安裝病毒防火墻，定期升級(jí)殺毒程序。4.5.3 郵件病毒n 郵件病毒的分析郵件病毒并不是單獨(dú)一種類型的病毒,大部分Windows病毒都可以通過(guò)附件的形式來(lái)進(jìn)行傳播,實(shí)際上該病毒就是借助于電子郵件進(jìn)行傳播的病毒，這些病毒利用了郵件系統(tǒng)安全機(jī)制的脆弱性進(jìn)行傳播.郵件病毒產(chǎn)生的原因在于郵件系統(tǒng)的服務(wù)不能控制郵件的內(nèi)容和傳播的行為,使病毒寄身于信內(nèi)得以傳播.郵件病毒并不是郵件系統(tǒng)的錯(cuò)，問(wèn)題仍然出在操作系統(tǒng)和應(yīng)用系統(tǒng)上,這些系統(tǒng)才是病毒的溫床。病毒攻擊的目標(biāo)主要仍是微軟的系統(tǒng)平臺(tái),主要通過(guò)兩種借助郵件的形式進(jìn)行傳播,一是附件，二是直接采用HTML格式的郵件方式。（如圖4-5）圖4-5 郵

46、件病毒 病毒寄生在附件內(nèi)或干脆就是附件,而附件的文件名通常具有欺騙性,一種做法是把寄生有宏病毒的Word文檔的名稱起得很吸引人，看上去如同好友的信件或商業(yè)信函一樣,引誘收件人去點(diǎn)擊;另一種做法則是將病毒文件的文件名改頭換面,有時(shí)甚至干脆直接將可執(zhí)行文件偽裝成微軟的補(bǔ)丁包.如:主頁(yè)病毒、美麗沙病毒等.由于一些E-mail軟件如Outlook等可以發(fā)送HTML格式的郵件,而HTML文件可包含ActiveX控件,ActiveX在某些情況下又可以擁有對(duì)本地硬盤的讀寫權(quán)，因此帶有病毒的HTML格式的郵件,可以在瀏覽郵件內(nèi)容時(shí)被激活,但這種情況僅限于HTML格式的郵件。n 郵件病毒的防治郵件病毒是夾帶在郵

47、件當(dāng)中的,郵件是“死”的,其中的病毒也不會(huì)主動(dòng)變“活”。一般郵件病毒的傳播途徑是通過(guò)附件進(jìn)行的,如Happy99、Mellissa等等.用FoxMail收到的郵件中會(huì)看到帶病毒的附件,如名為Happy99.exe的文件,不要運(yùn)行它,直接刪掉就可以。有些是潛伏在Word文件中的宏病毒,因此對(duì)Word文件形式的附件,也要小心。對(duì)于另一種郵件病毒是不帶附件的HTML文件,它利用Active X在某些情況下?lián)碛袑?duì)硬盤的讀/寫 權(quán)來(lái)進(jìn)行破壞.在FoxMail中,有一選擇項(xiàng)“是否使用嵌入式IE瀏覽器查看HTML郵件”，如果選擇了“使用”,FoxMail將調(diào)用IE的功能來(lái)顯示HTML郵件,病毒有機(jī)會(huì)被激活.

48、但如果沒(méi)有選擇此開(kāi)關(guān)，則FoxMail以文本方式顯示郵件內(nèi)容,因此潛伏在HTML中的病毒就不會(huì)發(fā)作。4.5.4 腳本病毒n 腳本病毒的分析任何語(yǔ)言都是可以編寫病毒的,而用腳本編寫病毒則還比較簡(jiǎn)單，并且編出的病毒具有傳播快、破壞性大的特點(diǎn).例如,愛(ài)蟲病毒及新歡樂(lè)時(shí)光病毒、叛逃者病毒就是采用VBS腳本編寫的,另外還有PHP，JS腳本病毒等等。（如圖4-6）圖4-6 腳本病毒 由于VBS腳本病毒比較普遍且破壞性都比較大,這里主要對(duì)這種病毒進(jìn)行介紹.在介紹VBS病之前,本文有必要先了解一下有關(guān)WSH的知識(shí)。n 腳本病毒的防治1禁用文件系統(tǒng)對(duì)象FileSystemObject方法:用regsvr32 s

49、crrun.dll /u這條命令就可以禁止文件系統(tǒng)對(duì)象.其中regsvr32是WindowsSystem下的可執(zhí)行文件.或者直接查找scrrun.dll文件刪除或者改名.還有一種方法就是在注冊(cè)表中HKEY_CLASSES_ROOTCLSID下找到一個(gè)主鍵0D43FE01-F093-11CF-8940-00A0C9054228的項(xiàng),咔嚓即可; 2刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射 點(diǎn)擊我的電腦查看文件夾選項(xiàng)文件類型，然后刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射; 3卸載Windows Scripting Host在Windows 98中（NT 4.0以上

50、同理）,打開(kāi)控制面板添加/刪除程序Windows安裝程序附件,取消“Windows Scripting Host”一項(xiàng)。 和上面的方法一樣,在注冊(cè)表中HKEY_CLASSES_ROOTCLSID下找到一個(gè)主鍵F935DC22-1CF0-11D0-ADB9-00C04FD58A0B的項(xiàng),咔嚓; 4要徹底防治VBS網(wǎng)絡(luò)蠕蟲病毒,還需設(shè)置一下你的瀏覽器。首先打開(kāi)瀏覽器,單擊菜單欄里“Internet 選項(xiàng)”安全選項(xiàng)卡里的自定義級(jí)別按鈕。把“ActiveX控件及插件”的一切設(shè)為禁用,這樣就不怕了。譬如新歡樂(lè)時(shí)光的那個(gè)ActiveX組件如果不能運(yùn)行,網(wǎng)絡(luò)傳播這項(xiàng)功能就玩完了; 5在Windows目錄中，

51、找到WScript.exe,更改名稱或者刪除，如果你覺(jué)得以后有機(jī)會(huì)用到的話,最好更改名稱好了，當(dāng)然以后也可以重新裝上; 6由于蠕蟲病毒大多利用文件擴(kuò)展名來(lái)做文章,所以要防范它就不要隱藏系統(tǒng)中已知文件類型的擴(kuò)展名。Windows默認(rèn)的是“隱藏已知文件類型的擴(kuò)展名稱”,將其修改為顯示所有文件類型的擴(kuò)展名稱; 7將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為“中等”,它可以在一定程度上預(yù)防某些有害的Java程序或者某些ActiveX組件對(duì)計(jì)算機(jī)的侵害; 8禁止OE的自動(dòng)收發(fā)郵件功能; 9殺毒軟件確實(shí)很必要，盡管有些殺毒軟件挺讓廣大用戶失望,不過(guò)，選擇是雙方的哦。在這個(gè)病毒橫飛的網(wǎng)絡(luò),如果您的機(jī)器沒(méi)有裝上殺毒軟

52、件筆者覺(jué)得確實(shí)挺不可思議的。4.5.5 蠕蟲病毒n 蠕蟲病毒的分析 蠕蟲的定義:嚴(yán)格來(lái)說(shuō)，蠕蟲病毒并不屬于病毒。Eugene H. Spafford為了區(qū)分蠕蟲和病毒，根據(jù)了蠕蟲的技術(shù)角度的定義：計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身包含所有功能的版本傳播到另外的計(jì)算機(jī)上,但蠕蟲與傳統(tǒng)病毒相比，都具有傳染性和復(fù)制功能，而且蠕蟲與病毒、木馬相互交叉，病毒利用蠕蟲技術(shù)來(lái)傳播，蠕蟲利用病毒技術(shù)來(lái)搞破壞，二者難以區(qū)分，以尼姆達(dá)病毒為例，就是病毒、蠕蟲、黑客技術(shù)的完美結(jié)合，反病毒軟件商們也己將蠕蟲列在了病毒之列。（如圖4-7）圖4-7 蠕蟲病毒分析 蠕蟲病毒的特點(diǎn):（1）主動(dòng)攻擊;（2）行蹤隱蔽;（3）利用

53、系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞;（4）造成網(wǎng)絡(luò)擁塞;（5）降低系統(tǒng)性能;（6）產(chǎn)生安全隱患;（7）反復(fù)性;（8）破壞性。n 蠕蟲病毒的防治因?yàn)槟壳暗娜湎x病毒越來(lái)越表現(xiàn)出三種傳播趨勢(shì):郵件附件、無(wú)口令或者弱口令。共享、利用操作系統(tǒng)或者應(yīng)用系統(tǒng)漏洞來(lái)傳播病毒,所以防治蠕蟲也應(yīng)從這三方面下手:1.針對(duì)通過(guò)郵件附件傳播的病毒:在郵件服務(wù)器上安裝殺毒軟件,對(duì)附件進(jìn)行殺毒：在客戶端(主要是Outlook)限制訪問(wèn)附件中的特定擴(kuò)展名的文件,如.pif、.vbs、.js、.exe等;用戶不運(yùn)行可疑郵件攜帶的附件;2.針對(duì)通過(guò)系統(tǒng)漏洞傳播的病毒,配置Windows Update自動(dòng)升級(jí)功能,使主機(jī)能夠及時(shí)安裝系統(tǒng)補(bǔ)丁,

54、防患于未然；定期通過(guò)漏洞掃描產(chǎn)品查找主機(jī)存在的漏洞,發(fā)現(xiàn)漏洞，及時(shí)升級(jí);3.針對(duì)弱口令共享傳播的病毒:通過(guò)共享和弱口令傳播的蠕蟲大多也利用了系統(tǒng)漏洞。這類病毒會(huì)在搜索網(wǎng)絡(luò)上的開(kāi)放共享并復(fù)制病毒文件,更進(jìn)一步的蠕蟲還自帶了口令猜測(cè)的字典來(lái)破解薄弱用戶口令,尤其是薄弱管理員口令.對(duì)于此類病毒,在安全策略上需要增加口令的強(qiáng)度策略，保證必要的長(zhǎng)度和復(fù)雜度;通過(guò)網(wǎng)絡(luò)上的其他主機(jī)定期掃描開(kāi)放共享和對(duì)登錄口令進(jìn)行破解嘗試，發(fā)現(xiàn)問(wèn)題及時(shí)整改;4.重命名或刪除命令的解釋器:如Windows系統(tǒng)下的WScript. Exe,通過(guò)防火墻來(lái)禁止除服務(wù)端口外的其他端口,切斷蠕蟲的通信通道和傳播通道。4.5.6 特洛伊木

55、馬n 特洛伊木馬分析 特洛伊木馬的定義：在Internet上,木馬指在從網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中，包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序,這些程序可能造成用戶的系統(tǒng)被破壞,甚至癱瘓。圖4-8 木馬病毒 通過(guò)木馬（如圖4-8）,黑客可以從遠(yuǎn)程“窺視”到用戶電腦中所有文件、查看系統(tǒng)信息、盜取電腦中的各種口令、偷走所有他認(rèn)為有價(jià)值的文件、刪除所有文件,甚至將整個(gè)硬盤格式化,還可以將其他的電腦病毒傳染到電腦上來(lái)，可以遠(yuǎn)程控制電腦鼠標(biāo)、鍵盤、查看到用戶的一舉一動(dòng).黑客通過(guò)遠(yuǎn)程控制植入了“木馬”的電腦，就像使用自己的電腦一樣,這對(duì)于網(wǎng)絡(luò)電腦用戶來(lái)說(shuō)是極其可怕的。只要人們?cè)诒镜赜?jì)算機(jī)上能操作的功能,目前的

56、木馬基本上都能實(shí)現(xiàn).換言之，木馬的控制端可以像本地一樣操作遠(yuǎn)程計(jì)算機(jī).木馬的功能可以概括為以下內(nèi)容：（1）竊取數(shù)據(jù)以竊取數(shù)據(jù)為目的，本身不能破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作，它以系統(tǒng)使用者很難察覺(jué)的方式向外傳送數(shù)據(jù);（2）篡改文件和數(shù)據(jù)對(duì)系統(tǒng)文件和數(shù)據(jù)有選擇地進(jìn)行篡改，使計(jì)算機(jī)處理的數(shù)據(jù)產(chǎn)生錯(cuò)誤的結(jié)果;（3）施放病毒將原先在系統(tǒng)中但處于休眠狀態(tài)的病毒激活，或從外界將病毒導(dǎo)入計(jì)算機(jī)系統(tǒng)，使其感染并實(shí)施破壞工作;（4）刪除文件和數(shù)據(jù)將系統(tǒng)中的文件和數(shù)據(jù)有選擇地刪除或全部刪除;（5）接受非授權(quán)操作者的指令當(dāng)網(wǎng)絡(luò)中的木馬被激活后，它可以獲取網(wǎng)絡(luò)服務(wù)器系統(tǒng)管理員的權(quán)限，隨心所欲地竊取密碼和各

57、類數(shù)據(jù)，逃避追蹤，并不會(huì)留下任何痕跡。這時(shí)，網(wǎng)絡(luò)安全的各種措施對(duì)它都毫無(wú)作用;（6）使系統(tǒng)自毀?？梢杂蟹N種方法,如改變時(shí)鐘頻率、使芯片熱崩潰而損壞、造成系統(tǒng)癱瘓等。一般情況下,系統(tǒng)軟件和應(yīng)用軟件在文件傳播中被放置木馬.但是，也有一種情況是在系統(tǒng)或軟件中被其設(shè)計(jì)者故意放置的特定目的木馬.木馬可能潛伏于系統(tǒng)軟件中,包括操作系統(tǒng)和應(yīng)用軟件;也可能潛藏于硬件模塊中,如將部分木馬的軟件固化,集成于電路芯片中。木馬與外界的聯(lián)系途徑和激活方式與計(jì)算機(jī)的工作方式有關(guān).有的計(jì)算機(jī)以單機(jī)方式工作,有的以聯(lián)網(wǎng)方式工作。工作方式不同,木馬的激活也有所不同。隨著Internet 的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已越來(lái)越普遍,愈來(lái)愈多的用戶連在一起。任何一臺(tái)終端機(jī),都可以和連在