第9章計(jì)算機(jī)病毒與反病毒復(fù)習(xí)

1、第9章計(jì)算機(jī)病毒與反病毒復(fù)習(xí) 代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。 起著破壞作用的計(jì)算機(jī)程序，這就是惡意代碼。9.1 惡意代碼9.1.1 惡意代碼的概念惡意代碼可以按照兩種分類標(biāo)準(zhǔn)是否需要宿主需要宿主具有依附性，不能獨(dú)立運(yùn)行；具有獨(dú)立性，可獨(dú)立運(yùn)行。是否能夠自我復(fù)制不能自我復(fù)制的惡意代碼是不感染的；能夠自我復(fù)制的惡意代碼是可感染的。9.1.2 惡意代碼的分類4大類惡意代碼分類標(biāo)準(zhǔn)需要宿主無(wú)需宿主不能自我復(fù)制不感染的依附性惡意代碼不感染的獨(dú)立性惡意代碼能夠自我復(fù)制可感染的依附性惡意代碼可感染的獨(dú)立性惡意代碼惡意代碼的分類實(shí)例類別實(shí)例不感染的依附性惡意代碼特洛伊木馬（Trojan ho

2、rse）邏輯炸彈（Logic bomb）后門（Backdoor）或陷門（Trapdoor）不感染的獨(dú)立性惡意代碼點(diǎn)滴器（Dropper）繁殖器（Generator）惡作?。℉oax）可感染的依附性惡意代碼病毒（Virus）可感染的獨(dú)立性惡意代碼蠕蟲(chóng)（Worm）細(xì)菌（Germ）1.不感染的依附性惡意代碼(1)特洛伊木馬:是一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能，這些額外的功能往往是有害的。”有3點(diǎn)解釋：第一，“有用的或必需的功能的程序”只是誘餌第二，“為人不知的功能”定義了其欺騙性，是危機(jī)所在之處，為幾乎所有的特洛伊木馬所必備的特點(diǎn)。第三，“往往是有害的”定義了其惡

3、意性包括： （1）試圖訪問(wèn)未授權(quán)資源（如盜取口令、個(gè)人隱私或企業(yè)機(jī)密）； （2）試圖阻止正常訪問(wèn)（如拒絕服務(wù)攻擊）； （3）試圖更改或破壞數(shù)據(jù)和系統(tǒng)（如刪除文件、創(chuàng)建后門等）。特洛伊木馬一般沒(méi)有自我復(fù)制的機(jī)制，所以不會(huì)自動(dòng)復(fù)制自身。 特洛伊木馬的欺騙性是其得以傳播的根本原因。特洛伊木馬經(jīng)常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到電子新聞組或通過(guò)電子郵件直接傳播，很容易被不知情的用戶接收和繼續(xù)傳播。1997年4月，開(kāi)發(fā)出名叫的特洛伊木馬，聲稱可以免費(fèi)訪問(wèn)AOL，這個(gè)木馬程序一旦執(zhí)行就刪除硬盤上的所有文件 。(2) 邏輯炸彈邏輯炸彈（Logic bomb）是一段具有破壞性的代碼

4、，事先預(yù)置于較大的程序中，等待某扳機(jī)事件發(fā)生觸發(fā)其破壞行為。一旦邏輯炸彈被觸發(fā)，就會(huì)造成數(shù)據(jù)或文件的改變或刪除、計(jì)算機(jī)死機(jī)等破壞性事件。扳機(jī)事件可以是特殊日期，也可以是指定事件。 美國(guó)馬里蘭州某縣的圖書(shū)館系統(tǒng)，開(kāi)發(fā)該系統(tǒng)的承包商在系統(tǒng)中插入了一個(gè)邏輯炸彈，如果承包商在規(guī)定日期得不到全部酬金，它將在該日期使整個(gè)系統(tǒng)癱瘓。當(dāng)圖書(shū)館因系統(tǒng)響應(yīng)時(shí)間過(guò)長(zhǎng)準(zhǔn)備扣留最后酬金時(shí)，承包商指出了邏輯炸彈的存在，并威脅如果酬金不到位的話就會(huì)讓它爆炸。一個(gè)著名的例子(3) 后門（backdoor）或陷門（trapdoor）進(jìn)入系統(tǒng)或程序的一個(gè)秘密入口，它能夠通過(guò)識(shí)別某種特定的輸入序列或特定賬戶，使訪問(wèn)者繞過(guò)訪問(wèn)的安全

5、檢查，直接獲得訪問(wèn)權(quán)利，并且通常高于普通用戶的特權(quán)。程序員為了調(diào)試和測(cè)試程序一直合法地使用后門，但當(dāng)程序員或他所在的公司另有企圖時(shí)，后門就變成了一種威脅。2.不感染的獨(dú)立性惡意代碼(1) 點(diǎn)滴器點(diǎn)滴器（dropper）是為傳送和安裝其他惡意代碼而設(shè)計(jì)的程序，它本身不具有直接的感染性和破壞性。 點(diǎn)滴器專門對(duì)抗反病毒檢測(cè)，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。當(dāng)特定事件出現(xiàn)時(shí)，它便啟動(dòng)，將自身包含的惡意代碼釋放出來(lái)。(2) 繁殖器繁殖器（generator）是為制造惡意代碼而設(shè)計(jì)的程序，通過(guò)這個(gè)程序，把某些已經(jīng)設(shè)計(jì)好的惡意代碼模塊按照使用者的選擇組合起來(lái)，沒(méi)有創(chuàng)造新惡意代碼的能力。檢測(cè)由繁殖器

6、產(chǎn)生的病毒比較容易，繁殖器的典型例子是VCL（Virus Creation Laboratory）。(3) 惡作劇惡作?。╤oax）是為欺騙使用者而設(shè)計(jì)的程序，它侮辱使用者或讓其做出不明智的舉動(dòng)。惡作劇通過(guò)“心理破壞”達(dá)到“現(xiàn)實(shí)破壞”。如：有些惡作劇會(huì)讓受騙者相信他的數(shù)據(jù)正在丟失或系統(tǒng)已經(jīng)損壞需要重新安裝，受騙者可能會(huì)做出不明智的操作。3.可感染的依附性惡意代碼計(jì)算機(jī)病毒（virus）是一段附著在其他程序上的可以進(jìn)行自我繁殖的代碼。由此可見(jiàn)，計(jì)算機(jī)病毒是既有依附性，又有感染性。絕大多數(shù)惡意代碼都或多或少地具有計(jì)算機(jī)病毒的特征。4.可感染的獨(dú)立性惡意代碼(1) 蠕蟲(chóng)（worm）一種通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)

7、能夠自我復(fù)制和擴(kuò)散的程序。蠕蟲(chóng)與病毒的主要區(qū)別：依附性。蠕蟲(chóng)不需要宿主，不會(huì)與其他特定程序混合。因此，與病毒感染特定目標(biāo)程序不同，蠕蟲(chóng)感染的是系統(tǒng)環(huán)境（如操作系統(tǒng)或郵件系統(tǒng)）。根據(jù)傳播方式可分為：電子郵件蠕蟲(chóng)（Email Worm）通過(guò)電子郵件傳播；任意協(xié)議蠕蟲(chóng)（Arbitrary Protocol Worm）通過(guò)電子郵件以外的其他網(wǎng)絡(luò)協(xié)議傳播。蠕蟲(chóng)的分類:根據(jù)啟動(dòng)方式可分為：自動(dòng)啟動(dòng)蠕蟲(chóng)（Self-Launching Worm）不需要與受害者交互而自動(dòng)執(zhí)行，如Morris Worm；用戶啟動(dòng)蠕蟲(chóng)（User-Launched Worm）必須由使用者來(lái)執(zhí)行，因此需要一定的偽裝，如CHRISTMA

8、 EXEC；混合啟動(dòng)蠕蟲(chóng)（Hybrid-Launch Worm）包含上述兩種啟動(dòng)方式。(2) 細(xì)菌計(jì)算機(jī)細(xì)菌（germ）是一種在計(jì)算機(jī)系統(tǒng)中不斷復(fù)制自己的程序。一個(gè)典型的細(xì)菌是在多任務(wù)系統(tǒng)中生成它的兩個(gè)副本，然后同時(shí)執(zhí)行這兩個(gè)副本，迅速以指數(shù)形式膨脹，最終會(huì)占用全部的處理器時(shí)間和內(nèi)存或磁盤空間，從而導(dǎo)致計(jì)算資源耗盡無(wú)法為用戶提供服務(wù)。細(xì)菌通常發(fā)生在多用戶系統(tǒng)和網(wǎng)絡(luò)環(huán)境中，目的就是占用所有的資源。 隨著惡意代碼的不斷進(jìn)化，實(shí)際中的許多惡意代碼同時(shí)具有多種特征，這樣可以具有更大的威脅性。最典型的是蠕蟲(chóng)病毒，它是蠕蟲(chóng)和病毒的混合體，同時(shí)具有蠕蟲(chóng)和病毒的特征。惡意代碼總結(jié)9.2 計(jì)算機(jī)病毒 計(jì)算機(jī)病毒

9、的歷史1983年11月3日，弗雷德科恩（Fred Cohen）博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序.1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫(xiě)了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。 1988年11月2日，美國(guó)6000多臺(tái)計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行 1988年底，在我國(guó)的國(guó)家統(tǒng)計(jì)部門發(fā)現(xiàn)小球病毒。1989年，全世界計(jì)算機(jī)病毒攻擊十分猖獗，我國(guó)也未幸免，其中米開(kāi)朗基羅病毒給許多計(jì)算機(jī)用戶造成極大損失。1991年，在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)，在空襲巴格達(dá)的戰(zhàn)斗中，利用

10、病毒成功地破壞了對(duì)方的指揮系統(tǒng)，保證了戰(zhàn)斗的勝利。1992年，出現(xiàn)針對(duì)殺毒軟件的幽靈病毒，如One_Half。還出現(xiàn)了實(shí)現(xiàn)機(jī)理與以往的文件型病毒有明顯區(qū)別的DIR2病毒。1994年5月，南非第一次多種族全民大選的計(jì)票工作，因計(jì)算機(jī)病毒的破壞停止30多個(gè)小時(shí)，被迫推遲公布選舉結(jié)果。1996年，出現(xiàn)針對(duì)微軟公司Office的宏病毒。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒年”，其后幾年宏病毒大量泛濫。1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年3月26日，出現(xiàn)一種通過(guò)因特網(wǎng)進(jìn)行傳播的美麗殺手病毒（Melissa）。1999年4月26日，CIH病毒在我國(guó)大規(guī)模爆發(fā)，造

11、成巨大損失。 2003年1月，全球爆發(fā)“蠕蟲(chóng)風(fēng)暴”病毒（SQL1434），3月又爆發(fā)了“口令蠕蟲(chóng)”病毒（Dvldr32），5月份出現(xiàn)了“大無(wú)極”病毒變種， 8月份全球計(jì)算機(jī)網(wǎng)絡(luò)遭受了“沖擊波”病毒的襲擊。2004年5月，“震蕩波”病毒。2006年5至6月份相繼出現(xiàn)針對(duì)銀行的木馬、病毒事件和進(jìn)行網(wǎng)絡(luò)敲詐活動(dòng)的“敲詐者”病毒。2006年11月，我國(guó)又連續(xù)出現(xiàn) “熊貓燒香”、“仇英”、“艾妮”等盜取網(wǎng)上用戶密碼帳號(hào)的病毒和木馬。 病毒的本質(zhì)1病毒的定義 在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中對(duì)計(jì)算機(jī)病毒進(jìn)行了明確定義：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響

12、計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。病毒的產(chǎn)生原因（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護(hù)的目的而編制 （3）出于某種報(bào)復(fù)目的或惡作劇而編寫(xiě)病毒 （4）出于政治、戰(zhàn)爭(zhēng)的需要計(jì)算機(jī)病毒的發(fā)展歷程1. DOS引導(dǎo)階段2. DOS可執(zhí)行階段3. 伴隨階段4. 多形階段5. 生成器、變體機(jī)階段6. 網(wǎng)絡(luò)、蠕蟲(chóng)階段7. 視窗階段8. 宏病毒階段9. 郵件病毒階段10. 手持移動(dòng)設(shè)備病毒階段 2病毒的生命周期（1）隱藏階段:病毒程序處于休眠狀態(tài)，用戶根本感覺(jué)不到病毒的存在，但并非所有病毒均會(huì)經(jīng)歷潛伏階段。（2）傳播階段:病毒把自身的副本傳播到未感染

13、的程序或磁盤。（3）觸發(fā)階段：這個(gè)階段病毒將被激活去執(zhí)行病毒設(shè)計(jì)者預(yù)先設(shè)計(jì)好的功能。 病毒進(jìn)入這一階段也需要一些系統(tǒng)事件的觸發(fā)，比如：病毒本身進(jìn)行復(fù)制的副本數(shù)達(dá)到了某個(gè)數(shù)量。（4）執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計(jì)的功能直至執(zhí)行完畢。計(jì)算機(jī)病毒主要由潛伏機(jī)制、傳染機(jī)制和表現(xiàn)機(jī)制構(gòu)成。在程序結(jié)構(gòu)上由實(shí)現(xiàn)這3種機(jī)制的模塊組成。3.計(jì)算機(jī)病毒的結(jié)構(gòu)病毒的傳染機(jī)制是強(qiáng)制性的（1）潛伏機(jī)制潛伏機(jī)制的功能包括初始化、隱藏和捕捉。潛伏機(jī)制模塊隨著感染的宿主程序的執(zhí)行進(jìn)入內(nèi)存：首先，初始化其運(yùn)行環(huán)境，使病毒相對(duì)獨(dú)立于宿主程序，為傳染機(jī)制做好準(zhǔn)備。然后，利用各種可能的隱藏方式，躲避各種檢測(cè)，欺騙系統(tǒng)，將自己隱

14、蔽起來(lái)。最后，不停地捕捉感染目標(biāo)交給傳染機(jī)制，不停地捕捉觸發(fā)條件交給表現(xiàn)機(jī)制。（2）傳染機(jī)制傳染機(jī)制的功能包括判斷和感染。先判斷候選感染目標(biāo)是否已被感染，感染與否通過(guò)感染標(biāo)記來(lái)判斷，感染標(biāo)記是計(jì)算機(jī)系統(tǒng)可以識(shí)別的特定字符或字符串。發(fā)現(xiàn)作為候選感染目標(biāo)的宿主程序中沒(méi)有感染標(biāo)記，就對(duì)其進(jìn)行感染，也就是將病毒代碼和感染標(biāo)記放入宿主程序之中。（3）表現(xiàn)機(jī)制表現(xiàn)機(jī)制的功能包括判斷和表現(xiàn)。首先對(duì)觸發(fā)條件進(jìn)行判斷，然后根據(jù)不同的條件決定什么時(shí)候表現(xiàn)、如何表現(xiàn)。表現(xiàn)內(nèi)容多種多樣。表現(xiàn)機(jī)制反映了病毒設(shè)計(jì)者的意圖，是病毒間差異最大的部分。潛伏機(jī)制和傳染機(jī)制是為表現(xiàn)機(jī)制服務(wù)的。病毒的一般結(jié)構(gòu) Program v:=

15、goto main; 1234567; subroutine infect-executable:= loop： file:=get-radom-executable-file; if （first-line-of-file = 1234567） then goto loop; else prepend V to file; subroutine do-damage:= whatever damage is to be done subroutine trigger-pulled:= return true if some condition holdsmain: main-program:=

16、 infect-executable; if trigger-pulled then do-damage; goto next;next: 向病毒的主程序跳轉(zhuǎn)感染標(biāo)記掛接性病毒，注入到其他程序中，只要這些程序一運(yùn)行，病毒就被激活。 例如：病毒將拷貝添加到可執(zhí)行文件的第一條指令前，所有病毒指令將被最先執(zhí)行，執(zhí)行完后，控制權(quán)才交回程序第一條指令。包裹性病毒,在初始程序之前和之后都由病毒來(lái)控制運(yùn)行. 整合并替換性病毒,病毒用自身替換整合入目標(biāo)代碼.必須清楚知道初始程序的結(jié)構(gòu).4、計(jì)算機(jī)病毒的寄生方式掛接性病毒包裹性病毒整合并替換性病毒文件型病毒（file infector）：通過(guò)文件系統(tǒng)進(jìn)行感染的病

17、毒。可感染EXE、COM、DLL和SYS等。如：CIH病毒，破壞硬盤或改寫(xiě)某些主板上的BIOS。引導(dǎo)型病毒（boot sector）：感染軟盤、硬盤主引導(dǎo)區(qū)。即用病毒的部分或全部代碼取代正常的引導(dǎo)記錄，將正常的引導(dǎo)記錄隱藏在磁盤其他地方，系統(tǒng)一啟動(dòng)病毒就獲得控制權(quán)，病毒執(zhí)行后，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容。小球病毒：發(fā)作后屏幕出現(xiàn)上下滾動(dòng)的小球。5、病毒的分類病毒分類按感染對(duì)象混合型病毒兼顧引導(dǎo)型和文件型兩種,不但感染破壞硬盤的引導(dǎo)區(qū),而且感染和破壞文件 CIH病毒文檔類病毒(document virus； macro virus):文字文件數(shù)據(jù)庫(kù)幻燈片電子數(shù)據(jù)表等文檔包含數(shù)據(jù)部分(字符和數(shù)字

18、)和命令部分(公式標(biāo)準(zhǔn)操作鏈接等,是高級(jí)語(yǔ)言的一部分,包括宏變量過(guò)程文件訪問(wèn)系統(tǒng)調(diào)用5、病毒的分類病毒分類按感染對(duì)象按病毒的隱藏方式加密型病毒（encrypted virus）用不同密鑰加密,病毒存儲(chǔ)形態(tài)各不相同.包含:解密密鑰,被加密的病毒代碼,未被加密的用以說(shuō)明解密規(guī)則的代碼. 由于解密規(guī)則本身或?qū)饷芤?guī)則庫(kù)的調(diào)用必須是公開(kāi)的,就成了這類病毒的特征. 隱蔽型病毒（stealth virus）不僅隱藏部分病毒代碼，而是病毒整體隱藏 例如壓縮多態(tài)病毒（polymorphic virus）能夠改變自己外觀的病毒如擁有兩個(gè)彼此等價(jià)的開(kāi)始代碼（病毒被安裝后，會(huì)選擇其中一個(gè)來(lái)初始化。不斷隨機(jī)重定位自身

19、的所有部分并隨即改變所有的固定數(shù)據(jù)。將一些無(wú)害的指令隨機(jī)分散在自身代碼中）變型病毒（metamorphic virus）每次感染病毒都發(fā)生變異，重寫(xiě)病毒體，不僅改變病毒代碼的組織形式，且病毒行為也改變了。傳統(tǒng)單機(jī)病毒歐洲防病毒協(xié)會(huì)提供了一段測(cè)試代碼，可以快速而有效的檢測(cè)你的殺毒軟件的防護(hù)能力，測(cè)試方法:1.鼠標(biāo)右鍵點(diǎn)擊桌面空白處，創(chuàng)建一個(gè)txt。2.將下面這段測(cè)試代碼復(fù)制到txt里，保存，然后可以直接右鍵點(diǎn)擊這個(gè)文本，用殺毒軟件掃描，會(huì)自動(dòng)報(bào)毒并將該文本刪除。測(cè)試代碼如下:X5O!P%AP4PZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+

20、H*病毒的分類測(cè)試原理：該段代碼是歐洲計(jì)算機(jī)防病毒協(xié)會(huì)開(kāi)發(fā)的一種病毒代碼，其中的特征碼已經(jīng)包含在各種殺毒軟件的病毒代碼庫(kù)里，所以可以用做測(cè)試病毒掃描引擎。測(cè)試等級(jí)：特等：復(fù)制完代碼后便提示內(nèi)存有病毒。優(yōu)等：剛保存完就提示病毒。中等：保存后幾秒提示病毒。下等：需自己?jiǎn)?dòng)病毒掃描查殺才提示病毒。劣等：無(wú)論怎么掃描都無(wú)法提示病毒。6、病毒的傳播途徑 （1）通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播（2）網(wǎng)絡(luò)傳播（3）無(wú)線傳播病毒的具體危害主要表現(xiàn)在以下幾個(gè)方面（1）病毒發(fā)作對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞（2）占用磁盤空間和對(duì)信息的破壞（3）搶占系統(tǒng)資源（4）影響計(jì)算機(jī)運(yùn)行速度（5）計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害（6）計(jì)算機(jī)

21、病毒給用戶造成嚴(yán)重的心理壓力 7、病毒的危害8、病毒的命名 病毒前綴.病毒名.病毒后綴。病毒前綴是指一個(gè)病毒的種類。如：常見(jiàn)的木馬的前綴是Trojan，蠕蟲(chóng)的前綴是Worm。病毒名是指一個(gè)病毒的家族特征如著名的CIH病毒的家族名都是統(tǒng)一的CIH，振蕩波蠕蟲(chóng)病毒的家族名是Sasser。病毒后綴是區(qū)別病毒的變種的特征，可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。如：就是指振蕩波蠕蟲(chóng)病毒的變種b。常見(jiàn)病毒前綴（1）系統(tǒng)病毒 系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的公有特性是可以感染W(wǎng)indows操作系統(tǒng)的*.exe和*.dll文件，并通過(guò)這些文件進(jìn)行傳播，如CIH病毒（，

22、）（2）蠕蟲(chóng)病毒 蠕蟲(chóng)病毒的前綴是：Worm。如網(wǎng)絡(luò)天空（）、貝革熱（）、高波（）、震蕩波（）等。 （3）木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般：Hack。（4）腳本病毒腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語(yǔ)言編寫(xiě)的病毒，如紅色代碼（）。有的腳本病毒用VBS、JS作前綴，用來(lái)表明是用VBScript還是用JavaScript編寫(xiě)的，如歡樂(lè)時(shí)光（）、十四日（）等。常見(jiàn)病毒前綴（5）宏病毒該類病毒的公有特性是能感染Office系列文檔，然后通過(guò)Office通用模板進(jìn)行傳播，宏病毒的前綴是：Macro。如美麗殺手（）。（6）后門病毒該類病毒的公有

23、特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門，給用戶電腦帶來(lái)安全隱患，后門病毒的前綴是：Backdoor。如瑞波（）、IRC后門（）。 常見(jiàn)病毒前綴病毒演示9.3 幾種典型病毒的分析9.3.1 CIH病毒 CIH病毒，屬于文件型病毒，主要感染W(wǎng)indows 9x下的可執(zhí)行文件。CIH病毒使用了面向Windows的VxD技術(shù)，使得這種病毒傳播的實(shí)時(shí)性和隱蔽性都特別強(qiáng). 發(fā)作日是每年4月26日。版本發(fā)作日是每年6月26日。版本發(fā)作日為每月26日。 VxD(virul x device)可以虛擬根本不存在的硬件，工作在操作系統(tǒng)的最底層，具備擴(kuò)展操作系統(tǒng)的能力。 CIH病毒的破壞性CIH病毒占據(jù)一般的可執(zhí)行文件空

24、余的位置,所以感染后的文件大小沒(méi)有變化，病毒代碼的大小在1K左右。當(dāng)一個(gè)染毒的EXE文件被執(zhí)行，CIH病毒駐留內(nèi)存，在其他程序被訪問(wèn)時(shí)對(duì)它們進(jìn)行感染。CIH對(duì)計(jì)算機(jī)硬盤以及BIOS具有很強(qiáng)的破壞能力。在病毒發(fā)作時(shí)，病毒將從硬盤主引導(dǎo)區(qū)開(kāi)始依次往硬盤中寫(xiě)入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)全被破壞為止；還試圖覆蓋BIOS中的數(shù)據(jù)。一旦BIOS被覆蓋掉，機(jī)器將不能啟動(dòng)，只有對(duì)BIOS進(jìn)行重寫(xiě)。CIH病毒的破壞性3如何判斷是否感染CIH病毒有兩種簡(jiǎn)單的方法可以判斷是否已經(jīng)感染上了CIH病毒：（1）CIH病毒感染EXE可執(zhí)行文件，可以用工具軟件Ultra Edit打開(kāi)一個(gè)常用的EXE文件，然后按下“切換16進(jìn)制模

25、式按鈕（ctrl+H）”，再查找“CIHv1.”，如果發(fā)現(xiàn)“CIH v1.2”，“CIH v1.3”或“CIH v1.4”等字符串，則說(shuō)明已經(jīng)被感染。-適用于其他感染可執(zhí)行文件的病毒檢測(cè)（2）感染了版，則所有WinZip自解壓文件均無(wú)法自動(dòng)解開(kāi)，同時(shí)會(huì)出現(xiàn)信息“WinZip自解壓首部中斷?？赡茉颍捍疟P或文件傳輸錯(cuò)誤。”感染了版，則部分WinZip自解壓文件無(wú)法自動(dòng)解開(kāi)。如果遇到以上情況，有可能就是感染上CIH病毒了。宏：就是由一些命令組合而成的單一程序語(yǔ)句,用于完成某一項(xiàng)特定的任務(wù)。宏的集合就構(gòu)成了特定的“宏語(yǔ)言”。微軟公司當(dāng)初為方便用戶使用其產(chǎn)品,將WORD和EXECL 中的很多基本功能均

26、以宏語(yǔ)言的形式提供給用戶。隨著產(chǎn)品不斷升級(jí),微軟宏語(yǔ)言的功能也在不斷發(fā)展、壯大, 通過(guò)使用宏語(yǔ)言,用戶能夠以簡(jiǎn)捷的方法編制出格式復(fù)雜、功能強(qiáng)大的電子文檔或電子表格,并以宏語(yǔ)言編程的方式自動(dòng)完成一系列復(fù)雜或重復(fù)的操作。9.3.2 宏病毒 宏的錄制例：把一個(gè)詞第一個(gè)字設(shè)置成紅色，第二個(gè)字設(shè)置成藍(lán)色。錄制宏前先把光標(biāo)定到第一個(gè)字母前，開(kāi)始錄制，Shift+右鍵(選中第一個(gè)字母)，用鼠標(biāo)點(diǎn)工具欄“字符顏色”后的下箭頭，選顏色，(第一個(gè)字母顏色就設(shè)好了)；右鍵(移到第二個(gè)字母前)，Shift+右鍵(選中第二個(gè)字母)，再選工具欄“字符顏色”后的下箭頭，選顏色，(第二個(gè)字母顏色就設(shè)好了)。停止錄制。錄制好宏

27、如下。 9.3.2 宏病毒 宏病毒是一種使用宏語(yǔ)言編寫(xiě)的病毒，主要寄生于office文檔或模板的宏中。一旦打開(kāi)這樣的文檔，宏病毒就會(huì)被激活，進(jìn)入計(jì)算機(jī)內(nèi)存，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)感染上這種宏病毒，如果網(wǎng)上其他用戶打開(kāi)了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。宏病毒通常使用VB腳本，影響微軟的Office組件或類似的應(yīng)用軟件，大多通過(guò)郵件傳播。最有名的例子是1999年的美麗殺手病毒（Melissa），通過(guò)Outlook來(lái)把自己放在電子郵件的附件中自動(dòng)寄給其他收件人。該病毒采用名為“MP”的單宏模塊，并且當(dāng)打開(kāi)一個(gè)被病毒感染的文檔時(shí)，病毒將感染W(wǎng)ord的

28、通用模板，并影響到以后使用的Word文檔。當(dāng)完成感染程序后，它將嘗試將映射驅(qū)動(dòng)器中的根目錄及文件刪除。病毒的特征：當(dāng)打開(kāi)打開(kāi)感染了該病毒的文檔時(shí)，會(huì)出現(xiàn)帶有 “Please Check Outlook Inbox E-Mail！”消息的消息框。按下“確認(rèn)”按鈕后，打開(kāi)的文檔中將看到被插入了以下的內(nèi)容：“Hint: Get Norton 2000 not McAfee 4.02 ”。Melissa V病毒特征1、宏病毒的特點(diǎn)（1）專門感染數(shù)據(jù)文件以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了人們的“數(shù)據(jù)文件不會(huì)傳播病毒”的認(rèn)識(shí)。（2）多平臺(tái)交叉感染宏病毒沖破了以往病毒在

29、單一平臺(tái)上傳播的局限。當(dāng)Word、Excel這類著名應(yīng)用軟件在不同平臺(tái)如Windows、OS/2和MacinTosh上運(yùn)行時(shí)，會(huì)被宏病毒交叉感染。（3）容易編寫(xiě)以往病毒是以二進(jìn)制的機(jī)器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的源代碼形式出現(xiàn)，所以編寫(xiě)和修改宏病毒比以往更容易。這也是前幾年宏病毒的數(shù)量居高不下的原因。（4）容易傳播用戶只要一打開(kāi)帶有宏病毒的電子郵件，計(jì)算機(jī)就會(huì)被宏病毒感染。此后，打開(kāi)或新建文件都可能染上宏病毒，這導(dǎo)致了宏病毒的感染率非常高。2宏病毒的預(yù)防 （1）禁止所有自動(dòng)宏的執(zhí)行：打開(kāi)word時(shí)，按住shift鍵。（2）檢查是否存在可疑的宏：打開(kāi)word-工具-宏-刪除 （3）按

30、照自己的習(xí)慣設(shè)置：將自己設(shè)置的宏保存生成,遇到宏病毒時(shí)，用其覆蓋當(dāng)前模板。 （4）提示保存Normal模板：工具-選項(xiàng)-選中“提示保存Normal模板”，感染宏病毒，提示更改模板時(shí)選擇“否” （5）使用.rtf和.csv格式代替.doc和.xls：rtf和csv格式不支持宏應(yīng)用，所以交換文件時(shí)，保存為這兩種格式較安全。 方法一：Word中新建一個(gè)空文檔；工具-選項(xiàng)-安全性單擊宏安全性，將安全級(jí)設(shè)置為“非常高”工具-選項(xiàng)-保存對(duì)話框選擇“提示保存Normal”模板打開(kāi)感染的word文檔，出現(xiàn)啟用宏提示時(shí)，選擇否，然后將文檔內(nèi)容全部復(fù)制。切換到新建的空word文檔，文檔內(nèi)容粘貼保存，則宏病毒被清除

31、。關(guān)閉原來(lái)打開(kāi)的感染的word文檔，如出現(xiàn)是否保存提示時(shí)，選擇否。3、宏病毒的清除方法二：工具-宏-管理器-宏方案-宏有效范圍中打開(kāi)要檢查的文檔。列表中出現(xiàn)該文檔包含的宏，講不明來(lái)源的宏刪除。退出word，C：根目錄下有文件刪除。C:documents and SettingsUserApplication DataMicrosoftTemplates 目錄下找到刪除9.3.3 蠕蟲(chóng)病毒 蠕蟲(chóng)（Worm）病毒是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。 蠕蟲(chóng)與傳統(tǒng)的病毒區(qū)別：如不利用文件寄生、對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合

32、等。 普通病毒蠕蟲(chóng)病毒存在形式寄生于文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)病毒名稱 爆發(fā)時(shí)間造成損失 莫里斯蠕蟲(chóng)1988年6000多臺(tái)電腦停機(jī)，經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元愛(ài)蟲(chóng)病毒2000年5月通過(guò)Outlook電子郵件系統(tǒng)傳播，郵件的主題為“I LOVE YOU”，可以改寫(xiě)本地及網(wǎng)絡(luò)硬盤上面的某些文件。眾多用戶電腦被感染.紅色代碼2001年7月通過(guò)微軟公司 IIS系統(tǒng)漏洞進(jìn)行感染，將網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬程序合為一體，可稱之為劃時(shí)代的病毒。直接經(jīng)濟(jì)損失超過(guò)26億美元求職信2001年12月大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元蠕蟲(chóng)王2003年1月攻擊安裝有Micr

33、osoft SQL 的NT系列服務(wù)器，該病毒嘗試探測(cè)被攻擊機(jī)器的1434/udp端口，如果探測(cè)成功，則發(fā)送376個(gè)字節(jié)的蠕蟲(chóng)代碼.造成網(wǎng)絡(luò)大面積癱瘓，銀行自動(dòng)提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過(guò)26億美元沖擊波2003年7月大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失MyDoom2004年1月一種通過(guò)電子郵件附件和P2P網(wǎng)絡(luò)傳播的病毒,當(dāng)用戶打開(kāi)并運(yùn)行附件即向外發(fā)送大量的垃圾郵件，并在系統(tǒng)留下后門。攻擊SCO和微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了300多億美元的損失2蠕蟲(chóng)病毒的基本結(jié)構(gòu)和傳播過(guò)程（1）蠕蟲(chóng)的基本程序結(jié)構(gòu)包括以下3個(gè)模塊：傳播模塊：負(fù)責(zé)蠕蟲(chóng)的傳播，傳播模塊又可以分為三個(gè)基本模塊：掃描模塊、攻擊模塊和復(fù)

34、制模塊。隱藏模塊：侵入主機(jī)后，隱藏蠕蟲(chóng)程序，防止被用戶發(fā)現(xiàn)。目的功能模塊：實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。掃描：由蠕蟲(chóng)的掃描模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。攻擊：攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊上一步驟中找到的對(duì)象，取得該主機(jī)的權(quán)限（一般為管理員權(quán)限）。 復(fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)。（2）蠕蟲(chóng)程序的一般傳播過(guò)程為：3蠕蟲(chóng)病毒實(shí)例愛(ài)情后門 愛(ài)情后門（）發(fā)作時(shí)間是隨機(jī)的，主要通過(guò)網(wǎng)絡(luò)和郵件來(lái)傳播，感染對(duì)象為硬盤文件夾。中毒特征：d、e、f等盤不能打開(kāi)。根目錄下存在、及很多.zip .rar的壓縮文件。、等進(jìn)程占用

35、CPU。Netstat an查看網(wǎng)絡(luò)連接，會(huì)發(fā)現(xiàn)很多端口處于連接或監(jiān)聽(tīng)狀態(tài)。網(wǎng)速極慢。任務(wù)管理器中看到多個(gè)進(jìn)程。等病毒的清除為系統(tǒng)賬戶設(shè)置足夠復(fù)雜的登錄密碼關(guān)閉共享文件夾給系統(tǒng)打補(bǔ)丁升級(jí)殺毒軟件病毒庫(kù)，斷開(kāi)網(wǎng)絡(luò)物理連接，關(guān)閉系統(tǒng)還原功能，進(jìn)入安全模式殺毒。9.3.4 木馬一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。(1)硬件部分：建立木馬連接所必須的硬件實(shí)體。 (2)軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。(3)具體連接部分：通過(guò)INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 (1)硬件部分：控制端：對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端：被控制的一方。(2)軟

36、件部分：控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。 木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。 木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。 (3)具體連接部分：建立一條木馬通道所必須的元素。 控制端IP，服務(wù)端IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過(guò)這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬程序。 木馬的原理配置木馬 (1)木馬偽裝：木馬配置程序?yàn)榱嗽诜?wù)端盡可能的隱藏木馬，會(huì)采用多種偽裝手段。 偽裝方式 修改圖標(biāo) 將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP

37、等各種文件的圖標(biāo) 捆綁文件 將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無(wú)察覺(jué)的情況下，偷偷的進(jìn)入了系統(tǒng)。被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。 出錯(cuò)顯示 有的木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開(kāi)木馬程序時(shí)，會(huì)彈出一個(gè)錯(cuò)誤提示框,錯(cuò)誤內(nèi)容可自由定義,大多會(huì)定制成一些諸如“文件已破壞，無(wú)法打開(kāi)的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí),木馬卻悄悄侵入了系統(tǒng)。 定制端口 很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來(lái)了方便,只要查一下特定的端口就 知道感染了什么木馬, 現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024-65

38、535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口)，這樣就給判斷所感染木馬類型帶來(lái)了麻煩。 自我銷毀 當(dāng)服務(wù)端用戶打開(kāi)含有木馬的文件后，木馬會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(如C:WINDOWS）。木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來(lái)源，在沒(méi)有查殺木馬的工具幫助下，就很難刪除木馬了。 木馬更名 現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型。 （2）建立連接 必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端,服務(wù)端都要在線 。 在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端建

39、立連接。 建立連接過(guò)程假設(shè)A機(jī)為控制端，B機(jī)為服務(wù)端，A與B建立連接必須知道B的木馬端口和IP地 址，木馬端口是A機(jī)事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得B的IP地址。獲得B的IP 地址的方法主要有兩種：信息反饋和IP掃描。信息反饋：木馬配置程序?qū)⑿畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，ICQ號(hào)等。通過(guò)設(shè)置方式將IP地址反饋給控制端。IP掃描：因?yàn)锽機(jī)裝有木馬程序，假設(shè)它的木馬端口是7626，處于開(kāi)放狀態(tài)的，A機(jī)只要掃描IP地址段中7626端口開(kāi)放的主機(jī)就行了。建立連接：A機(jī)通過(guò)木馬的控制端程序向B機(jī)發(fā)出連接信號(hào)，B機(jī)中的木馬程序收到信號(hào)后立即作出響應(yīng)，當(dāng)A機(jī)收到響應(yīng)的信

40、號(hào)后， 開(kāi)啟一個(gè)隨即端口1031與B機(jī)的木馬端口7626建立連接，到這時(shí)一個(gè)木馬連接才算真正建立。（3）遠(yuǎn)程控制 木馬連接建立后，控制端程序可與服務(wù)端上的木馬程序取得聯(lián)系,并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。實(shí)現(xiàn)：(1)竊取密碼：一切以明文的形式，*形式或緩存在CACHE中的密碼都能被木馬偵測(cè)到，此外很多木馬還提供有擊鍵記錄功能，它將會(huì)記錄服務(wù)端每次敲擊鍵盤的動(dòng)作，所以一旦有木馬入侵， 密碼將很容易被竊取。 (2)文件操作：控制端可由遠(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除,新建,修改,上傳,下載,運(yùn)行,更改屬性等一系列操作,基本涵蓋了WINDOWS平臺(tái)上所有的文件操作功能。 (3)修改注冊(cè)表：控制端

41、可任意修改服務(wù)端注冊(cè)表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊(cè)表，將服務(wù)端上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級(jí)操作。 (4)系統(tǒng)操作：這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開(kāi)服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標(biāo)， 鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進(jìn)程等，控制端甚至可以隨時(shí)給服務(wù)端發(fā)送信息，想象一下，當(dāng)服務(wù)端的桌面上突然跳出一段話，不嚇人一跳才怪。 木馬查找 1、檢查網(wǎng)絡(luò)連接情況 由于不少木馬會(huì)主動(dòng)偵聽(tīng)端口，或者會(huì)連接特定的IP和端口，所以可以在沒(méi)有正常程序連接網(wǎng)絡(luò)的情況下，通過(guò)檢查網(wǎng)絡(luò)連情情況來(lái)發(fā)現(xiàn)木馬的存在。具體的步驟

42、是點(diǎn)擊“開(kāi)始”-“運(yùn)行”-“cmd”，然后輸入netstat -an這個(gè)命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽(tīng)的端口。2、查看目前運(yùn)行的服務(wù) 通過(guò)點(diǎn)擊“開(kāi)始”-“運(yùn)行”-“cmd”，然后輸入“net start”來(lái)查看系統(tǒng)中開(kāi)啟的服務(wù)。如果發(fā)現(xiàn)了不是自己開(kāi)放的服務(wù)，我們可以進(jìn)入任務(wù)管理器中的“服務(wù)”管理工具，找到相應(yīng)的服務(wù)，停止并禁用它。 3、檢查系統(tǒng)啟動(dòng)項(xiàng) 檢查注冊(cè)表啟動(dòng)項(xiàng)的方法如下：點(diǎn)擊“開(kāi)始”-“運(yùn)行”-“regedit”，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值；

43、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEY-USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值。 4、檢查系統(tǒng)帳戶 點(diǎn)擊“開(kāi)始”-“運(yùn)行”-“cmd”，然后在命令行下輸入net user，查看計(jì)算機(jī)上的用戶。使用“net user 用戶名”查看這個(gè)用戶是屬于什么權(quán)限的。一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶

44、是屬于administrators組的，那幾乎可以肯定被入侵了。使用“net user用戶名/del”來(lái)刪掉這個(gè)用戶。查殺木馬的工具LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，木馬分析專家是免費(fèi)軟件。9.3.5 病毒的發(fā)展趨勢(shì) （1）傳播網(wǎng)絡(luò)化（2）利用操作系統(tǒng)和應(yīng)用程序的漏洞 （3）混合型威脅 （4）病毒制作技術(shù)新 （5）病毒家族化特征顯著 9.4 反病毒技術(shù) 9.4.1 反病毒技術(shù)的發(fā)展階段一個(gè)合理的反病毒方法，應(yīng)包括以下幾個(gè)措施：檢測(cè)：就是能夠確定一個(gè)系統(tǒng)是否已發(fā)生病毒感染，并能正確確定病毒的位置。識(shí)別：檢測(cè)到病毒后，能夠辯別出病毒的種類。

45、清除：識(shí)別病毒之后，對(duì)感染病毒的程序進(jìn)行檢查，清除病毒并使程序還原到感染之前的狀態(tài)，從系統(tǒng)中清除病毒以保證病毒不會(huì)繼續(xù)傳播。如果檢測(cè)到病毒感染，但無(wú)法識(shí)別或清除病毒，解決方法是刪除被病毒感染的文件，重載未被感染的版本。 反病毒軟件可以劃分為四代：l 第一代：簡(jiǎn)單的掃描器l 第二代：?jiǎn)l(fā)式掃描器l 第三代：行為陷阱l 第四代：全部特征保護(hù)第一代：簡(jiǎn)單的掃描器需要病毒特征來(lái)識(shí)別病毒，也稱特征代碼法。方法：病毒掃描軟件由病毒代碼庫(kù)（從病毒樣本中抽取的特征代碼）和利用代碼庫(kù)進(jìn)行掃描的掃描程序兩部分構(gòu)成。特點(diǎn)：檢測(cè)準(zhǔn)確、可識(shí)別病毒的名稱、清除徹底。但不能檢測(cè)未知病毒和變種病毒，需定期更新病毒資料庫(kù)，具有

46、滯后性。第二代：?jiǎn)l(fā)式掃描器一種方法：通過(guò)查找經(jīng)常與病毒相關(guān)聯(lián)的代碼段確定病毒。另一種方法是校驗(yàn)和法：通過(guò)病毒感染文件的特征來(lái)識(shí)別病毒。根據(jù)文件的內(nèi)容計(jì)算其校驗(yàn)和，并將所有文件的校驗(yàn)和放在資料庫(kù)中。檢測(cè)時(shí)將文件現(xiàn)有內(nèi)容的校驗(yàn)和與資料庫(kù)中的校驗(yàn)和做比較，若不同則判斷其被染毒。特點(diǎn)：可檢測(cè)未知病毒和變種病毒，最大的缺點(diǎn)就是誤判斷高且無(wú)法確認(rèn)是哪種病毒感染的。第三代：行為陷阱通過(guò)病毒的行為識(shí)別病毒。又稱人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐內(nèi)存掃描技術(shù)。它將病毒所產(chǎn)生的行為歸納起來(lái)，定制可能有感染操作的動(dòng)作集合。特點(diǎn)：不需定制病毒特征庫(kù)或啟發(fā)式規(guī)則，執(zhí)行速度快，手續(xù)簡(jiǎn)便且可以檢查到各式病毒；但程序設(shè)

47、計(jì)難，且不容易考慮周全?？梢傻墓δ埽焊袷交疟P類操作搜索和定位各種可執(zhí)行程序的操作實(shí)現(xiàn)駐留內(nèi)存的操作發(fā)現(xiàn)非常的或未公開(kāi)的系統(tǒng)功能調(diào)用的操作例如，一段程序以如下序列開(kāi)始：MOV AH, 5INT 13h實(shí)現(xiàn)調(diào)用格式化盤操作的BIOS指令功能，那么這段程序就高度可疑值得引起警覺(jué)，尤其是假如這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項(xiàng)，又沒(méi)有要求用戶交互地輸入繼續(xù)進(jìn)行的操作指令時(shí)，可以有把握地認(rèn)為這是一個(gè)病毒或惡意破壞的程序。調(diào)用磁盤操作的中斷格式化磁盤操作第四代：全部特征保護(hù)綜合運(yùn)用多種不同的反病毒技術(shù)的軟件包，如掃描、訪問(wèn)控制、活動(dòng)陷阱等。這種軟件包還包含的訪問(wèn)控制功能，限制病毒滲透系統(tǒng)的能力

48、，也由此限制病毒為不斷感染而改寫(xiě)文件的能力。更高的反病毒方法和產(chǎn)品不斷涌現(xiàn)。我們將對(duì)其中最重要的兩種進(jìn)行重點(diǎn)說(shuō)明: 通用解密和數(shù)字免疫系統(tǒng)。9.4.2 高級(jí)反病毒技術(shù)通用解密（Generic Decryption）通用解密 (GD) 技術(shù)使得反病毒軟件能夠在保證足夠快的掃描速度的同時(shí)，也能夠輕松地檢測(cè)到最為復(fù)雜的病毒變種 。 當(dāng)含有多態(tài)病毒的文件執(zhí)行時(shí), 病毒必須首先將自身解密以得到激活。 為了檢測(cè)到這樣的病毒結(jié)構(gòu)可執(zhí)行文件應(yīng)該通過(guò)GD掃描器運(yùn)行。GD掃描器包含以下幾個(gè)部件CPU仿真器（CPU emulator）：CPU仿真器是一種基于軟件的虛擬計(jì)算機(jī)。 它可以從底層處理器中接管對(duì)可執(zhí)行文件中指令的解釋權(quán)。仿真器包括所有的寄存器和其他處理硬件的軟件版本, 所以 在仿真器上解釋運(yùn)行的程序?qū)Φ讓犹幚砥鞑粫?huì)產(chǎn)生實(shí)際的危害。GD掃描器包含以下幾個(gè)部件病毒特征碼掃描器（Virus signature scanner）：對(duì)目標(biāo)代碼進(jìn)行掃描來(lái)尋找抑制病毒特征碼的模塊。仿真控制模塊（Emulation control module）：該模塊控制目標(biāo)代碼的執(zhí)行。虛擬機(jī)技術(shù)用程序代碼虛擬出一個(gè)CPU及其各個(gè)寄存器，甚至將硬件端口也虛擬出來(lái)，用調(diào)試程序調(diào)入“病毒樣本”并將每一個(gè)語(yǔ)句放到虛擬環(huán)境中執(zhí)行，這樣我們