第9章計算機病毒與反病毒復(fù)習(xí)

1、第9章計算機病毒與反病毒復(fù)習(xí) 代碼是指計算機程序代碼，可以被執(zhí)行完成特定功能。 起著破壞作用的計算機程序，這就是惡意代碼。9.1 惡意代碼9.1.1 惡意代碼的概念惡意代碼可以按照兩種分類標準是否需要宿主需要宿主具有依附性，不能獨立運行；具有獨立性，可獨立運行。是否能夠自我復(fù)制不能自我復(fù)制的惡意代碼是不感染的；能夠自我復(fù)制的惡意代碼是可感染的。9.1.2 惡意代碼的分類4大類惡意代碼分類標準需要宿主無需宿主不能自我復(fù)制不感染的依附性惡意代碼不感染的獨立性惡意代碼能夠自我復(fù)制可感染的依附性惡意代碼可感染的獨立性惡意代碼惡意代碼的分類實例類別實例不感染的依附性惡意代碼特洛伊木馬（Trojan ho

2、rse）邏輯炸彈（Logic bomb）后門（Backdoor）或陷門（Trapdoor）不感染的獨立性惡意代碼點滴器（Dropper）繁殖器（Generator）惡作?。℉oax）可感染的依附性惡意代碼病毒（Virus）可感染的獨立性惡意代碼蠕蟲（Worm）細菌（Germ）1.不感染的依附性惡意代碼(1)特洛伊木馬:是一段能實現(xiàn)有用的或必需的功能的程序，但是同時還完成一些不為人知的功能，這些額外的功能往往是有害的?！庇?點解釋：第一，“有用的或必需的功能的程序”只是誘餌第二，“為人不知的功能”定義了其欺騙性，是危機所在之處，為幾乎所有的特洛伊木馬所必備的特點。第三，“往往是有害的”定義了其惡

3、意性包括： （1）試圖訪問未授權(quán)資源（如盜取口令、個人隱私或企業(yè)機密）； （2）試圖阻止正常訪問（如拒絕服務(wù)攻擊）； （3）試圖更改或破壞數(shù)據(jù)和系統(tǒng)（如刪除文件、創(chuàng)建后門等）。特洛伊木馬一般沒有自我復(fù)制的機制，所以不會自動復(fù)制自身。 特洛伊木馬的欺騙性是其得以傳播的根本原因。特洛伊木馬經(jīng)常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到電子新聞組或通過電子郵件直接傳播，很容易被不知情的用戶接收和繼續(xù)傳播。1997年4月，開發(fā)出名叫的特洛伊木馬，聲稱可以免費訪問AOL，這個木馬程序一旦執(zhí)行就刪除硬盤上的所有文件 。(2) 邏輯炸彈邏輯炸彈（Logic bomb）是一段具有破壞性的代碼

4、，事先預(yù)置于較大的程序中，等待某扳機事件發(fā)生觸發(fā)其破壞行為。一旦邏輯炸彈被觸發(fā)，就會造成數(shù)據(jù)或文件的改變或刪除、計算機死機等破壞性事件。扳機事件可以是特殊日期，也可以是指定事件。 美國馬里蘭州某縣的圖書館系統(tǒng)，開發(fā)該系統(tǒng)的承包商在系統(tǒng)中插入了一個邏輯炸彈，如果承包商在規(guī)定日期得不到全部酬金，它將在該日期使整個系統(tǒng)癱瘓。當(dāng)圖書館因系統(tǒng)響應(yīng)時間過長準備扣留最后酬金時，承包商指出了邏輯炸彈的存在，并威脅如果酬金不到位的話就會讓它爆炸。一個著名的例子(3) 后門（backdoor）或陷門（trapdoor）進入系統(tǒng)或程序的一個秘密入口，它能夠通過識別某種特定的輸入序列或特定賬戶，使訪問者繞過訪問的安全

5、檢查，直接獲得訪問權(quán)利，并且通常高于普通用戶的特權(quán)。程序員為了調(diào)試和測試程序一直合法地使用后門，但當(dāng)程序員或他所在的公司另有企圖時，后門就變成了一種威脅。2.不感染的獨立性惡意代碼(1) 點滴器點滴器（dropper）是為傳送和安裝其他惡意代碼而設(shè)計的程序，它本身不具有直接的感染性和破壞性。 點滴器專門對抗反病毒檢測，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。當(dāng)特定事件出現(xiàn)時，它便啟動，將自身包含的惡意代碼釋放出來。(2) 繁殖器繁殖器（generator）是為制造惡意代碼而設(shè)計的程序，通過這個程序，把某些已經(jīng)設(shè)計好的惡意代碼模塊按照使用者的選擇組合起來，沒有創(chuàng)造新惡意代碼的能力。檢測由繁殖器

6、產(chǎn)生的病毒比較容易，繁殖器的典型例子是VCL（Virus Creation Laboratory）。(3) 惡作劇惡作?。╤oax）是為欺騙使用者而設(shè)計的程序，它侮辱使用者或讓其做出不明智的舉動。惡作劇通過“心理破壞”達到“現(xiàn)實破壞”。如：有些惡作劇會讓受騙者相信他的數(shù)據(jù)正在丟失或系統(tǒng)已經(jīng)損壞需要重新安裝，受騙者可能會做出不明智的操作。3.可感染的依附性惡意代碼計算機病毒（virus）是一段附著在其他程序上的可以進行自我繁殖的代碼。由此可見，計算機病毒是既有依附性，又有感染性。絕大多數(shù)惡意代碼都或多或少地具有計算機病毒的特征。4.可感染的獨立性惡意代碼(1) 蠕蟲（worm）一種通過計算機網(wǎng)絡(luò)

7、能夠自我復(fù)制和擴散的程序。蠕蟲與病毒的主要區(qū)別：依附性。蠕蟲不需要宿主，不會與其他特定程序混合。因此，與病毒感染特定目標程序不同，蠕蟲感染的是系統(tǒng)環(huán)境（如操作系統(tǒng)或郵件系統(tǒng)）。根據(jù)傳播方式可分為：電子郵件蠕蟲（Email Worm）通過電子郵件傳播；任意協(xié)議蠕蟲（Arbitrary Protocol Worm）通過電子郵件以外的其他網(wǎng)絡(luò)協(xié)議傳播。蠕蟲的分類:根據(jù)啟動方式可分為：自動啟動蠕蟲（Self-Launching Worm）不需要與受害者交互而自動執(zhí)行，如Morris Worm；用戶啟動蠕蟲（User-Launched Worm）必須由使用者來執(zhí)行，因此需要一定的偽裝，如CHRISTMA

8、 EXEC；混合啟動蠕蟲（Hybrid-Launch Worm）包含上述兩種啟動方式。(2) 細菌計算機細菌（germ）是一種在計算機系統(tǒng)中不斷復(fù)制自己的程序。一個典型的細菌是在多任務(wù)系統(tǒng)中生成它的兩個副本，然后同時執(zhí)行這兩個副本，迅速以指數(shù)形式膨脹，最終會占用全部的處理器時間和內(nèi)存或磁盤空間，從而導(dǎo)致計算資源耗盡無法為用戶提供服務(wù)。細菌通常發(fā)生在多用戶系統(tǒng)和網(wǎng)絡(luò)環(huán)境中，目的就是占用所有的資源。 隨著惡意代碼的不斷進化，實際中的許多惡意代碼同時具有多種特征，這樣可以具有更大的威脅性。最典型的是蠕蟲病毒，它是蠕蟲和病毒的混合體，同時具有蠕蟲和病毒的特征。惡意代碼總結(jié)9.2 計算機病毒 計算機病毒

9、的歷史1983年11月3日，弗雷德科恩（Fred Cohen）博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序.1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。 1988年11月2日，美國6000多臺計算機被病毒感染，造成Internet不能正常運行 1988年底，在我國的國家統(tǒng)計部門發(fā)現(xiàn)小球病毒。1989年，全世界計算機病毒攻擊十分猖獗，我國也未幸免，其中米開朗基羅病毒給許多計算機用戶造成極大損失。1991年，在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，在空襲巴格達的戰(zhàn)斗中，利用

10、病毒成功地破壞了對方的指揮系統(tǒng)，保證了戰(zhàn)斗的勝利。1992年，出現(xiàn)針對殺毒軟件的幽靈病毒，如One_Half。還出現(xiàn)了實現(xiàn)機理與以往的文件型病毒有明顯區(qū)別的DIR2病毒。1994年5月，南非第一次多種族全民大選的計票工作，因計算機病毒的破壞停止30多個小時，被迫推遲公布選舉結(jié)果。1996年，出現(xiàn)針對微軟公司Office的宏病毒。1997年被公認為計算機反病毒界的“宏病毒年”，其后幾年宏病毒大量泛濫。1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的美麗殺手病毒（Melissa）。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造

11、成巨大損失。 2003年1月，全球爆發(fā)“蠕蟲風(fēng)暴”病毒（SQL1434），3月又爆發(fā)了“口令蠕蟲”病毒（Dvldr32），5月份出現(xiàn)了“大無極”病毒變種， 8月份全球計算機網(wǎng)絡(luò)遭受了“沖擊波”病毒的襲擊。2004年5月，“震蕩波”病毒。2006年5至6月份相繼出現(xiàn)針對銀行的木馬、病毒事件和進行網(wǎng)絡(luò)敲詐活動的“敲詐者”病毒。2006年11月，我國又連續(xù)出現(xiàn) “熊貓燒香”、“仇英”、“艾妮”等盜取網(wǎng)上用戶密碼帳號的病毒和木馬。 病毒的本質(zhì)1病毒的定義 在中華人民共和國計算機信息系統(tǒng)安全保護條例中對計算機病毒進行了明確定義：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響

12、計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。病毒的產(chǎn)生原因（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護的目的而編制 （3）出于某種報復(fù)目的或惡作劇而編寫病毒 （4）出于政治、戰(zhàn)爭的需要計算機病毒的發(fā)展歷程1. DOS引導(dǎo)階段2. DOS可執(zhí)行階段3. 伴隨階段4. 多形階段5. 生成器、變體機階段6. 網(wǎng)絡(luò)、蠕蟲階段7. 視窗階段8. 宏病毒階段9. 郵件病毒階段10. 手持移動設(shè)備病毒階段 2病毒的生命周期（1）隱藏階段:病毒程序處于休眠狀態(tài)，用戶根本感覺不到病毒的存在，但并非所有病毒均會經(jīng)歷潛伏階段。（2）傳播階段:病毒把自身的副本傳播到未感染

13、的程序或磁盤。（3）觸發(fā)階段：這個階段病毒將被激活去執(zhí)行病毒設(shè)計者預(yù)先設(shè)計好的功能。 病毒進入這一階段也需要一些系統(tǒng)事件的觸發(fā)，比如：病毒本身進行復(fù)制的副本數(shù)達到了某個數(shù)量。（4）執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計的功能直至執(zhí)行完畢。計算機病毒主要由潛伏機制、傳染機制和表現(xiàn)機制構(gòu)成。在程序結(jié)構(gòu)上由實現(xiàn)這3種機制的模塊組成。3.計算機病毒的結(jié)構(gòu)病毒的傳染機制是強制性的（1）潛伏機制潛伏機制的功能包括初始化、隱藏和捕捉。潛伏機制模塊隨著感染的宿主程序的執(zhí)行進入內(nèi)存：首先，初始化其運行環(huán)境，使病毒相對獨立于宿主程序，為傳染機制做好準備。然后，利用各種可能的隱藏方式，躲避各種檢測，欺騙系統(tǒng)，將自己隱

14、蔽起來。最后，不停地捕捉感染目標交給傳染機制，不停地捕捉觸發(fā)條件交給表現(xiàn)機制。（2）傳染機制傳染機制的功能包括判斷和感染。先判斷候選感染目標是否已被感染，感染與否通過感染標記來判斷，感染標記是計算機系統(tǒng)可以識別的特定字符或字符串。發(fā)現(xiàn)作為候選感染目標的宿主程序中沒有感染標記，就對其進行感染，也就是將病毒代碼和感染標記放入宿主程序之中。（3）表現(xiàn)機制表現(xiàn)機制的功能包括判斷和表現(xiàn)。首先對觸發(fā)條件進行判斷，然后根據(jù)不同的條件決定什么時候表現(xiàn)、如何表現(xiàn)。表現(xiàn)內(nèi)容多種多樣。表現(xiàn)機制反映了病毒設(shè)計者的意圖，是病毒間差異最大的部分。潛伏機制和傳染機制是為表現(xiàn)機制服務(wù)的。病毒的一般結(jié)構(gòu) Program v:=

15、goto main; 1234567; subroutine infect-executable:= loop： file:=get-radom-executable-file; if （first-line-of-file = 1234567） then goto loop; else prepend V to file; subroutine do-damage:= whatever damage is to be done subroutine trigger-pulled:= return true if some condition holdsmain: main-program:=

16、 infect-executable; if trigger-pulled then do-damage; goto next;next: 向病毒的主程序跳轉(zhuǎn)感染標記掛接性病毒，注入到其他程序中，只要這些程序一運行，病毒就被激活。 例如：病毒將拷貝添加到可執(zhí)行文件的第一條指令前，所有病毒指令將被最先執(zhí)行，執(zhí)行完后，控制權(quán)才交回程序第一條指令。包裹性病毒,在初始程序之前和之后都由病毒來控制運行. 整合并替換性病毒,病毒用自身替換整合入目標代碼.必須清楚知道初始程序的結(jié)構(gòu).4、計算機病毒的寄生方式掛接性病毒包裹性病毒整合并替換性病毒文件型病毒（file infector）：通過文件系統(tǒng)進行感染的病

17、毒?？筛腥綞XE、COM、DLL和SYS等。如：CIH病毒，破壞硬盤或改寫某些主板上的BIOS。引導(dǎo)型病毒（boot sector）：感染軟盤、硬盤主引導(dǎo)區(qū)。即用病毒的部分或全部代碼取代正常的引導(dǎo)記錄，將正常的引導(dǎo)記錄隱藏在磁盤其他地方，系統(tǒng)一啟動病毒就獲得控制權(quán)，病毒執(zhí)行后，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容。小球病毒：發(fā)作后屏幕出現(xiàn)上下滾動的小球。5、病毒的分類病毒分類按感染對象混合型病毒兼顧引導(dǎo)型和文件型兩種,不但感染破壞硬盤的引導(dǎo)區(qū),而且感染和破壞文件 CIH病毒文檔類病毒(document virus； macro virus):文字文件數(shù)據(jù)庫幻燈片電子數(shù)據(jù)表等文檔包含數(shù)據(jù)部分(字符和數(shù)字

18、)和命令部分(公式標準操作鏈接等,是高級語言的一部分,包括宏變量過程文件訪問系統(tǒng)調(diào)用5、病毒的分類病毒分類按感染對象按病毒的隱藏方式加密型病毒（encrypted virus）用不同密鑰加密,病毒存儲形態(tài)各不相同.包含:解密密鑰,被加密的病毒代碼,未被加密的用以說明解密規(guī)則的代碼. 由于解密規(guī)則本身或?qū)饷芤?guī)則庫的調(diào)用必須是公開的,就成了這類病毒的特征. 隱蔽型病毒（stealth virus）不僅隱藏部分病毒代碼，而是病毒整體隱藏 例如壓縮多態(tài)病毒（polymorphic virus）能夠改變自己外觀的病毒如擁有兩個彼此等價的開始代碼（病毒被安裝后，會選擇其中一個來初始化。不斷隨機重定位自身

19、的所有部分并隨即改變所有的固定數(shù)據(jù)。將一些無害的指令隨機分散在自身代碼中）變型病毒（metamorphic virus）每次感染病毒都發(fā)生變異，重寫病毒體，不僅改變病毒代碼的組織形式，且病毒行為也改變了。傳統(tǒng)單機病毒歐洲防病毒協(xié)會提供了一段測試代碼，可以快速而有效的檢測你的殺毒軟件的防護能力，測試方法:1.鼠標右鍵點擊桌面空白處，創(chuàng)建一個txt。2.將下面這段測試代碼復(fù)制到txt里，保存，然后可以直接右鍵點擊這個文本，用殺毒軟件掃描，會自動報毒并將該文本刪除。測試代碼如下:X5O!P%AP4PZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+

20、H*病毒的分類測試原理：該段代碼是歐洲計算機防病毒協(xié)會開發(fā)的一種病毒代碼，其中的特征碼已經(jīng)包含在各種殺毒軟件的病毒代碼庫里，所以可以用做測試病毒掃描引擎。測試等級：特等：復(fù)制完代碼后便提示內(nèi)存有病毒。優(yōu)等：剛保存完就提示病毒。中等：保存后幾秒提示病毒。下等：需自己啟動病毒掃描查殺才提示病毒。劣等：無論怎么掃描都無法提示病毒。6、病毒的傳播途徑 （1）通過移動存儲設(shè)備來傳播（2）網(wǎng)絡(luò)傳播（3）無線傳播病毒的具體危害主要表現(xiàn)在以下幾個方面（1）病毒發(fā)作對計算機數(shù)據(jù)信息的直接破壞（2）占用磁盤空間和對信息的破壞（3）搶占系統(tǒng)資源（4）影響計算機運行速度（5）計算機病毒錯誤與不可預(yù)見的危害（6）計算機

21、病毒給用戶造成嚴重的心理壓力 7、病毒的危害8、病毒的命名 病毒前綴.病毒名.病毒后綴。病毒前綴是指一個病毒的種類。如：常見的木馬的前綴是Trojan，蠕蟲的前綴是Worm。病毒名是指一個病毒的家族特征如著名的CIH病毒的家族名都是統(tǒng)一的CIH，振蕩波蠕蟲病毒的家族名是Sasser。病毒后綴是區(qū)別病毒的變種的特征，可以采用數(shù)字與字母混合表示變種標識。如：就是指振蕩波蠕蟲病毒的變種b。常見病毒前綴（1）系統(tǒng)病毒 系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的公有特性是可以感染W(wǎng)indows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進行傳播，如CIH病毒（，

22、）（2）蠕蟲病毒 蠕蟲病毒的前綴是：Worm。如網(wǎng)絡(luò)天空（）、貝革熱（）、高波（）、震蕩波（）等。 （3）木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般：Hack。（4）腳本病毒腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫的病毒，如紅色代碼（）。有的腳本病毒用VBS、JS作前綴，用來表明是用VBScript還是用JavaScript編寫的，如歡樂時光（）、十四日（）等。常見病毒前綴（5）宏病毒該類病毒的公有特性是能感染Office系列文檔，然后通過Office通用模板進行傳播，宏病毒的前綴是：Macro。如美麗殺手（）。（6）后門病毒該類病毒的公有

23、特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患，后門病毒的前綴是：Backdoor。如瑞波（）、IRC后門（）。 常見病毒前綴病毒演示9.3 幾種典型病毒的分析9.3.1 CIH病毒 CIH病毒，屬于文件型病毒，主要感染W(wǎng)indows 9x下的可執(zhí)行文件。CIH病毒使用了面向Windows的VxD技術(shù)，使得這種病毒傳播的實時性和隱蔽性都特別強. 發(fā)作日是每年4月26日。版本發(fā)作日是每年6月26日。版本發(fā)作日為每月26日。 VxD(virul x device)可以虛擬根本不存在的硬件，工作在操作系統(tǒng)的最底層，具備擴展操作系統(tǒng)的能力。 CIH病毒的破壞性CIH病毒占據(jù)一般的可執(zhí)行文件空

24、余的位置,所以感染后的文件大小沒有變化，病毒代碼的大小在1K左右。當(dāng)一個染毒的EXE文件被執(zhí)行，CIH病毒駐留內(nèi)存，在其他程序被訪問時對它們進行感染。CIH對計算機硬盤以及BIOS具有很強的破壞能力。在病毒發(fā)作時，病毒將從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)全被破壞為止；還試圖覆蓋BIOS中的數(shù)據(jù)。一旦BIOS被覆蓋掉，機器將不能啟動，只有對BIOS進行重寫。CIH病毒的破壞性3如何判斷是否感染CIH病毒有兩種簡單的方法可以判斷是否已經(jīng)感染上了CIH病毒：（1）CIH病毒感染EXE可執(zhí)行文件，可以用工具軟件Ultra Edit打開一個常用的EXE文件，然后按下“切換16進制模

25、式按鈕（ctrl+H）”，再查找“CIHv1.”，如果發(fā)現(xiàn)“CIH v1.2”，“CIH v1.3”或“CIH v1.4”等字符串，則說明已經(jīng)被感染。-適用于其他感染可執(zhí)行文件的病毒檢測（2）感染了版，則所有WinZip自解壓文件均無法自動解開，同時會出現(xiàn)信息“WinZip自解壓首部中斷?？赡茉颍捍疟P或文件傳輸錯誤?！备腥玖税?，則部分WinZip自解壓文件無法自動解開。如果遇到以上情況，有可能就是感染上CIH病毒了。宏：就是由一些命令組合而成的單一程序語句,用于完成某一項特定的任務(wù)。宏的集合就構(gòu)成了特定的“宏語言”。微軟公司當(dāng)初為方便用戶使用其產(chǎn)品,將WORD和EXECL 中的很多基本功能均

26、以宏語言的形式提供給用戶。隨著產(chǎn)品不斷升級,微軟宏語言的功能也在不斷發(fā)展、壯大, 通過使用宏語言,用戶能夠以簡捷的方法編制出格式復(fù)雜、功能強大的電子文檔或電子表格,并以宏語言編程的方式自動完成一系列復(fù)雜或重復(fù)的操作。9.3.2 宏病毒 宏的錄制例：把一個詞第一個字設(shè)置成紅色，第二個字設(shè)置成藍色。錄制宏前先把光標定到第一個字母前，開始錄制，Shift+右鍵(選中第一個字母)，用鼠標點工具欄“字符顏色”后的下箭頭，選顏色，(第一個字母顏色就設(shè)好了)；右鍵(移到第二個字母前)，Shift+右鍵(選中第二個字母)，再選工具欄“字符顏色”后的下箭頭，選顏色，(第二個字母顏色就設(shè)好了)。停止錄制。錄制好宏

27、如下。 9.3.2 宏病毒 宏病毒是一種使用宏語言編寫的病毒，主要寄生于office文檔或模板的宏中。一旦打開這樣的文檔，宏病毒就會被激活，進入計算機內(nèi)存，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會感染上這種宏病毒，如果網(wǎng)上其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上。宏病毒通常使用VB腳本，影響微軟的Office組件或類似的應(yīng)用軟件，大多通過郵件傳播。最有名的例子是1999年的美麗殺手病毒（Melissa），通過Outlook來把自己放在電子郵件的附件中自動寄給其他收件人。該病毒采用名為“MP”的單宏模塊，并且當(dāng)打開一個被病毒感染的文檔時，病毒將感染W(wǎng)ord的

28、通用模板，并影響到以后使用的Word文檔。當(dāng)完成感染程序后，它將嘗試將映射驅(qū)動器中的根目錄及文件刪除。病毒的特征：當(dāng)打開打開感染了該病毒的文檔時，會出現(xiàn)帶有 “Please Check Outlook Inbox E-Mail！”消息的消息框。按下“確認”按鈕后，打開的文檔中將看到被插入了以下的內(nèi)容：“Hint: Get Norton 2000 not McAfee 4.02 ”。Melissa V病毒特征1、宏病毒的特點（1）專門感染數(shù)據(jù)文件以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了人們的“數(shù)據(jù)文件不會傳播病毒”的認識。（2）多平臺交叉感染宏病毒沖破了以往病毒在

29、單一平臺上傳播的局限。當(dāng)Word、Excel這類著名應(yīng)用軟件在不同平臺如Windows、OS/2和MacinTosh上運行時，會被宏病毒交叉感染。（3）容易編寫以往病毒是以二進制的機器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的源代碼形式出現(xiàn)，所以編寫和修改宏病毒比以往更容易。這也是前幾年宏病毒的數(shù)量居高不下的原因。（4）容易傳播用戶只要一打開帶有宏病毒的電子郵件，計算機就會被宏病毒感染。此后，打開或新建文件都可能染上宏病毒，這導(dǎo)致了宏病毒的感染率非常高。2宏病毒的預(yù)防 （1）禁止所有自動宏的執(zhí)行：打開word時，按住shift鍵。（2）檢查是否存在可疑的宏：打開word-工具-宏-刪除 （3）按

30、照自己的習(xí)慣設(shè)置：將自己設(shè)置的宏保存生成,遇到宏病毒時，用其覆蓋當(dāng)前模板。 （4）提示保存Normal模板：工具-選項-選中“提示保存Normal模板”，感染宏病毒，提示更改模板時選擇“否” （5）使用.rtf和.csv格式代替.doc和.xls：rtf和csv格式不支持宏應(yīng)用，所以交換文件時，保存為這兩種格式較安全。 方法一：Word中新建一個空文檔；工具-選項-安全性單擊宏安全性，將安全級設(shè)置為“非常高”工具-選項-保存對話框選擇“提示保存Normal”模板打開感染的word文檔，出現(xiàn)啟用宏提示時，選擇否，然后將文檔內(nèi)容全部復(fù)制。切換到新建的空word文檔，文檔內(nèi)容粘貼保存，則宏病毒被清除

31、。關(guān)閉原來打開的感染的word文檔，如出現(xiàn)是否保存提示時，選擇否。3、宏病毒的清除方法二：工具-宏-管理器-宏方案-宏有效范圍中打開要檢查的文檔。列表中出現(xiàn)該文檔包含的宏，講不明來源的宏刪除。退出word，C：根目錄下有文件刪除。C:documents and SettingsUserApplication DataMicrosoftTemplates 目錄下找到刪除9.3.3 蠕蟲病毒 蠕蟲（Worm）病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它通過分布式網(wǎng)絡(luò)來擴散傳播特定的信息或錯誤，進而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。 蠕蟲與傳統(tǒng)的病毒區(qū)別：如不利用文件寄生、對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合

32、等。 普通病毒蠕蟲病毒存在形式寄生于文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機病毒名稱 爆發(fā)時間造成損失 莫里斯蠕蟲1988年6000多臺電腦停機，經(jīng)濟損失達9600萬美元愛蟲病毒2000年5月通過Outlook電子郵件系統(tǒng)傳播，郵件的主題為“I LOVE YOU”，可以改寫本地及網(wǎng)絡(luò)硬盤上面的某些文件。眾多用戶電腦被感染.紅色代碼2001年7月通過微軟公司 IIS系統(tǒng)漏洞進行感染，將網(wǎng)絡(luò)蠕蟲、計算機病毒、木馬程序合為一體，可稱之為劃時代的病毒。直接經(jīng)濟損失超過26億美元求職信2001年12月大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元蠕蟲王2003年1月攻擊安裝有Micr

33、osoft SQL 的NT系列服務(wù)器，該病毒嘗試探測被攻擊機器的1434/udp端口，如果探測成功，則發(fā)送376個字節(jié)的蠕蟲代碼.造成網(wǎng)絡(luò)大面積癱瘓，銀行自動提款機運做中斷，直接經(jīng)濟損失超過26億美元沖擊波2003年7月大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失MyDoom2004年1月一種通過電子郵件附件和P2P網(wǎng)絡(luò)傳播的病毒,當(dāng)用戶打開并運行附件即向外發(fā)送大量的垃圾郵件，并在系統(tǒng)留下后門。攻擊SCO和微軟網(wǎng)站，給全球經(jīng)濟造成了300多億美元的損失2蠕蟲病毒的基本結(jié)構(gòu)和傳播過程（1）蠕蟲的基本程序結(jié)構(gòu)包括以下3個模塊：傳播模塊：負責(zé)蠕蟲的傳播，傳播模塊又可以分為三個基本模塊：掃描模塊、攻擊模塊和復(fù)

34、制模塊。隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。目的功能模塊：實現(xiàn)對計算機的控制、監(jiān)視或破壞等功能。掃描：由蠕蟲的掃描模塊負責(zé)探測存在漏洞的主機。收到成功的反饋信息后，就得到一個可傳播的對象。攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊上一步驟中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限）。 復(fù)制：復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機并啟動。（2）蠕蟲程序的一般傳播過程為：3蠕蟲病毒實例愛情后門 愛情后門（）發(fā)作時間是隨機的，主要通過網(wǎng)絡(luò)和郵件來傳播，感染對象為硬盤文件夾。中毒特征：d、e、f等盤不能打開。根目錄下存在、及很多.zip .rar的壓縮文件。、等進程占用

35、CPU。Netstat an查看網(wǎng)絡(luò)連接，會發(fā)現(xiàn)很多端口處于連接或監(jiān)聽狀態(tài)。網(wǎng)速極慢。任務(wù)管理器中看到多個進程。等病毒的清除為系統(tǒng)賬戶設(shè)置足夠復(fù)雜的登錄密碼關(guān)閉共享文件夾給系統(tǒng)打補丁升級殺毒軟件病毒庫，斷開網(wǎng)絡(luò)物理連接，關(guān)閉系統(tǒng)還原功能，進入安全模式殺毒。9.3.4 木馬一個完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。(1)硬件部分：建立木馬連接所必須的硬件實體。 (2)軟件部分：實現(xiàn)遠程控制所必須的軟件程序。(3)具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 (1)硬件部分：控制端：對服務(wù)端進行遠程控制的一方。 服務(wù)端：被控制的一方。(2)軟

36、件部分：控制端程序：控制端用以遠程控制服務(wù)端的程序。 木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。 木馬配置程序：設(shè)置木馬程序的端口號，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。 (3)具體連接部分：建立一條木馬通道所必須的元素。 控制端IP，服務(wù)端IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個入口，數(shù)據(jù)可直達控制端程序或木馬程序。 木馬的原理配置木馬 (1)木馬偽裝：木馬配置程序為了在服務(wù)端盡可能的隱藏木馬，會采用多種偽裝手段。 偽裝方式 修改圖標 將木馬服務(wù)端程序的圖標改成HTML,TXT, ZIP

37、等各種文件的圖標 捆綁文件 將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷的進入了系統(tǒng)。被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。 出錯顯示 有的木馬提供了一個叫做出錯顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時，會彈出一個錯誤提示框,錯誤內(nèi)容可自由定義,大多會定制成一些諸如“文件已破壞，無法打開的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時,木馬卻悄悄侵入了系統(tǒng)。 定制端口 很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就 知道感染了什么木馬, 現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024-65

38、535之間任選一個端口作為木馬端口(一般不選1024以下的端口)，這樣就給判斷所感染木馬類型帶來了麻煩。 自我銷毀 當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會將自己拷貝到WINDOWS的系統(tǒng)文件夾中(如C:WINDOWS）。木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。 木馬更名 現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型。 （2）建立連接 必須滿足兩個條件：一是服務(wù)端已安裝了木馬程序；二是控制端,服務(wù)端都要在線 。 在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建

39、立連接。 建立連接過程假設(shè)A機為控制端，B機為服務(wù)端，A與B建立連接必須知道B的木馬端口和IP地 址，木馬端口是A機事先設(shè)定的，為已知項，所以最重要的是如何獲得B的IP地址。獲得B的IP 地址的方法主要有兩種：信息反饋和IP掃描。信息反饋：木馬配置程序?qū)⑿畔⒎答伒姆绞交虻刂愤M行設(shè)置，如設(shè)置信息反饋的郵件地址，ICQ號等。通過設(shè)置方式將IP地址反饋給控制端。IP掃描：因為B機裝有木馬程序，假設(shè)它的木馬端口是7626，處于開放狀態(tài)的，A機只要掃描IP地址段中7626端口開放的主機就行了。建立連接：A機通過木馬的控制端程序向B機發(fā)出連接信號，B機中的木馬程序收到信號后立即作出響應(yīng)，當(dāng)A機收到響應(yīng)的信

40、號后， 開啟一個隨即端口1031與B機的木馬端口7626建立連接，到這時一個木馬連接才算真正建立。（3）遠程控制 木馬連接建立后，控制端程序可與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進行遠程控制。實現(xiàn)：(1)竊取密碼：一切以明文的形式，*形式或緩存在CACHE中的密碼都能被木馬偵測到，此外很多木馬還提供有擊鍵記錄功能，它將會記錄服務(wù)端每次敲擊鍵盤的動作，所以一旦有木馬入侵， 密碼將很容易被竊取。 (2)文件操作：控制端可由遠程控制對服務(wù)端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬性等一系列操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。 (3)修改注冊表：控制端

41、可任意修改服務(wù)端注冊表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這項功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊表，將服務(wù)端上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級操作。 (4)系統(tǒng)操作：這項內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標， 鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進程等，控制端甚至可以隨時給服務(wù)端發(fā)送信息，想象一下，當(dāng)服務(wù)端的桌面上突然跳出一段話，不嚇人一跳才怪。 木馬查找 1、檢查網(wǎng)絡(luò)連接情況 由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連情情況來發(fā)現(xiàn)木馬的存在。具體的步驟

42、是點擊“開始”-“運行”-“cmd”，然后輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口。2、查看目前運行的服務(wù) 通過點擊“開始”-“運行”-“cmd”，然后輸入“net start”來查看系統(tǒng)中開啟的服務(wù)。如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入任務(wù)管理器中的“服務(wù)”管理工具，找到相應(yīng)的服務(wù)，停止并禁用它。 3、檢查系統(tǒng)啟動項 檢查注冊表啟動項的方法如下：點擊“開始”-“運行”-“regedit”，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；

43、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值；HKEY-USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。 4、檢查系統(tǒng)帳戶 點擊“開始”-“運行”-“cmd”，然后在命令行下輸入net user，查看計算機上的用戶。使用“net user 用戶名”查看這個用戶是屬于什么權(quán)限的。一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶

44、是屬于administrators組的，那幾乎可以肯定被入侵了。使用“net user用戶名/del”來刪掉這個用戶。查殺木馬的工具LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，木馬分析專家是免費軟件。9.3.5 病毒的發(fā)展趨勢 （1）傳播網(wǎng)絡(luò)化（2）利用操作系統(tǒng)和應(yīng)用程序的漏洞 （3）混合型威脅 （4）病毒制作技術(shù)新 （5）病毒家族化特征顯著 9.4 反病毒技術(shù) 9.4.1 反病毒技術(shù)的發(fā)展階段一個合理的反病毒方法，應(yīng)包括以下幾個措施：檢測：就是能夠確定一個系統(tǒng)是否已發(fā)生病毒感染，并能正確確定病毒的位置。識別：檢測到病毒后，能夠辯別出病毒的種類。

45、清除：識別病毒之后，對感染病毒的程序進行檢查，清除病毒并使程序還原到感染之前的狀態(tài)，從系統(tǒng)中清除病毒以保證病毒不會繼續(xù)傳播。如果檢測到病毒感染，但無法識別或清除病毒，解決方法是刪除被病毒感染的文件，重載未被感染的版本。 反病毒軟件可以劃分為四代：l 第一代：簡單的掃描器l 第二代：啟發(fā)式掃描器l 第三代：行為陷阱l 第四代：全部特征保護第一代：簡單的掃描器需要病毒特征來識別病毒，也稱特征代碼法。方法：病毒掃描軟件由病毒代碼庫（從病毒樣本中抽取的特征代碼）和利用代碼庫進行掃描的掃描程序兩部分構(gòu)成。特點：檢測準確、可識別病毒的名稱、清除徹底。但不能檢測未知病毒和變種病毒，需定期更新病毒資料庫，具有

46、滯后性。第二代：啟發(fā)式掃描器一種方法：通過查找經(jīng)常與病毒相關(guān)聯(lián)的代碼段確定病毒。另一種方法是校驗和法：通過病毒感染文件的特征來識別病毒。根據(jù)文件的內(nèi)容計算其校驗和，并將所有文件的校驗和放在資料庫中。檢測時將文件現(xiàn)有內(nèi)容的校驗和與資料庫中的校驗和做比較，若不同則判斷其被染毒。特點：可檢測未知病毒和變種病毒，最大的缺點就是誤判斷高且無法確認是哪種病毒感染的。第三代：行為陷阱通過病毒的行為識別病毒。又稱人工智能陷阱是一種監(jiān)測計算機行為的常駐內(nèi)存掃描技術(shù)。它將病毒所產(chǎn)生的行為歸納起來，定制可能有感染操作的動作集合。特點：不需定制病毒特征庫或啟發(fā)式規(guī)則，執(zhí)行速度快，手續(xù)簡便且可以檢查到各式病毒；但程序設(shè)

47、計難，且不容易考慮周全?？梢傻墓δ埽焊袷交疟P類操作搜索和定位各種可執(zhí)行程序的操作實現(xiàn)駐留內(nèi)存的操作發(fā)現(xiàn)非常的或未公開的系統(tǒng)功能調(diào)用的操作例如，一段程序以如下序列開始：MOV AH, 5INT 13h實現(xiàn)調(diào)用格式化盤操作的BIOS指令功能，那么這段程序就高度可疑值得引起警覺，尤其是假如這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項，又沒有要求用戶交互地輸入繼續(xù)進行的操作指令時，可以有把握地認為這是一個病毒或惡意破壞的程序。調(diào)用磁盤操作的中斷格式化磁盤操作第四代：全部特征保護綜合運用多種不同的反病毒技術(shù)的軟件包，如掃描、訪問控制、活動陷阱等。這種軟件包還包含的訪問控制功能，限制病毒滲透系統(tǒng)的能力

48、，也由此限制病毒為不斷感染而改寫文件的能力。更高的反病毒方法和產(chǎn)品不斷涌現(xiàn)。我們將對其中最重要的兩種進行重點說明: 通用解密和數(shù)字免疫系統(tǒng)。9.4.2 高級反病毒技術(shù)通用解密（Generic Decryption）通用解密 (GD) 技術(shù)使得反病毒軟件能夠在保證足夠快的掃描速度的同時，也能夠輕松地檢測到最為復(fù)雜的病毒變種 。 當(dāng)含有多態(tài)病毒的文件執(zhí)行時, 病毒必須首先將自身解密以得到激活。 為了檢測到這樣的病毒結(jié)構(gòu)可執(zhí)行文件應(yīng)該通過GD掃描器運行。GD掃描器包含以下幾個部件CPU仿真器（CPU emulator）：CPU仿真器是一種基于軟件的虛擬計算機。 它可以從底層處理器中接管對可執(zhí)行文件中指令的解釋權(quán)。仿真器包括所有的寄存器和其他處理硬件的軟件版本, 所以 在仿真器上解釋運行的程序?qū)Φ讓犹幚砥鞑粫a(chǎn)生實際的危害。GD掃描器包含以下幾個部件病毒特征碼掃描器（Virus signature scanner）：對目標代碼進行掃描來尋找抑制病毒特征碼的模塊。仿真控制模塊（Emulation control module）：該模塊控制目標代碼的執(zhí)行。虛擬機技術(shù)用程序代碼虛擬出一個CPU及其各個寄存器，甚至將硬件端口也虛擬出來，用調(diào)試程序調(diào)入“病毒樣本”并將每一個語句放到虛擬環(huán)境中執(zhí)行，這樣我們