病毒防護(hù)技術(shù)

1、病毒防護(hù)技術(shù)1大綱概述病毒原理病毒技術(shù)反病毒技術(shù)病毒攻防發(fā)展2概述計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的歷史計(jì)算機(jī)病毒的分類3名稱由來(lái)由生物醫(yī)學(xué)上的“病毒”一詞借用而來(lái)與生物醫(yī)學(xué)上“病毒”的異同同：都具有傳染性、流行性、針對(duì)性等異：不是天生的，而是人為編制的具有特殊功能的程序“計(jì)算機(jī)病毒”一詞最早出現(xiàn)在美國(guó)作家Thomas J.Ryan于1977年出版的科幻小說(shuō)The Adolescence of P-1中4計(jì)算機(jī)病毒定義廣義的定義：凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒（Computer Virus）1994年2月18日，我國(guó)正式頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系

2、統(tǒng)安全保護(hù)條例，在條理第28條中對(duì)計(jì)算機(jī)病毒的定義為：“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。此定義具有法律性、權(quán)威性。5計(jì)算機(jī)病毒的特征寄生性計(jì)算機(jī)病毒是一種特殊的計(jì)算機(jī)程序，它不是以獨(dú)立的文件的形式存在的，它寄生在合法的程序中。病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。傳染性計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)是病毒的基本特征，是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件6計(jì)算機(jī)病毒的特征（cont.）隱蔽性計(jì)算機(jī)病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫仉[蔽

3、起來(lái)，不被用戶發(fā)覺(jué)，這樣才能實(shí)現(xiàn)進(jìn)入計(jì)算機(jī)系統(tǒng)、進(jìn)行廣泛傳播的目的。計(jì)算機(jī)病毒的隱蔽性表現(xiàn)為存在的隱蔽性與傳染的隱蔽性。潛伏性病毒程序?yàn)榱诉_(dá)到不斷傳播并破壞系統(tǒng)的目的，一般不會(huì)在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性越好，其在系統(tǒng)中的存在時(shí)間就會(huì)越長(zhǎng)，其傳染范圍就會(huì)越大。7計(jì)算機(jī)病毒的特征(cont.)可觸發(fā)性因某個(gè)特征或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。破壞性降低系統(tǒng)的工作效率，占用系統(tǒng)資源，刪除文件，導(dǎo)致網(wǎng)絡(luò)阻塞，竊取文件等病毒的破壞性主要取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的8計(jì)算機(jī)病毒的傳播途徑通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播：如軟盤、

4、U盤、光盤等通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道傳播9計(jì)算機(jī)病毒的歷史最早由馮諾伊曼提出一種可能性-現(xiàn)在稱為病毒，但沒(méi)引起注意。（1948年9月，馮諾伊曼提出了關(guān)于自我復(fù)制自動(dòng)機(jī)系統(tǒng)的構(gòu)想 ） 1975 年，美國(guó)科普作家約翰布魯勒爾 (John Brunner) 寫了一本名為震蕩波騎士(Shock Wave Rider) 的書，該書第一次描寫了在信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭(zhēng)的工具的故事，成為當(dāng)年最佳暢銷書之一。 1977 年夏天，托馬斯捷瑞安 (Thomas.J.Ryan) 的科幻小說(shuō)P-1的春天(The Adolescence of P-1) 成為美國(guó)的暢銷書，作者

5、在這本書中描寫了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了 7,000 臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。 1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，倫艾德勒曼 (Len Adleman) 將它命名為計(jì)算機(jī)病毒(computer viruses)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，8 小時(shí)后專家們?cè)?VAX11/750 計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行 5 個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。 1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和

6、阿姆杰德(Amjad) 兩兄弟經(jīng)營(yíng)著一家 IBM-PC 機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan 病毒，即Brain。在一年內(nèi)流傳到了世界各地。 10計(jì)算機(jī)病毒的歷史1991年在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)，在空襲巴格達(dá)的戰(zhàn)斗中，成功地破壞了對(duì)方的指揮系統(tǒng)，使之癱瘓，保證了戰(zhàn)斗的順利進(jìn)行，直至最后勝利。1996年首次出現(xiàn)針對(duì)微軟公司Office的“宏病毒”。1998年出現(xiàn)針對(duì)Windows95/98系統(tǒng)的病毒，如CIH。它主要感染W(wǎng)indows95/98的可執(zhí)行程序，發(fā)作時(shí)破壞計(jì)算機(jī)Flash BIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞，同時(shí)破壞硬盤中的數(shù)據(jù)。1999年H

7、appy99等完全通過(guò)Internet傳播的病毒出現(xiàn)。11計(jì)算機(jī)病毒的歷史1988 年 3 月 2 日，一種蘋果機(jī)的病毒發(fā)作，這天受感染的蘋果機(jī)停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機(jī)生日。 1988 年 11 月 2 日，美國(guó)六千多臺(tái)計(jì)算機(jī)被病毒感染，造成 Internet不能正常運(yùn)行。這是一次非常典型的計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，迫使美國(guó)政府立即作出反應(yīng)，國(guó)防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組。這次事件中遭受攻擊的包括 5 個(gè)計(jì)算機(jī)中心和 12 個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的 250,000 臺(tái)計(jì)算機(jī)。這次病毒事件，計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá)

8、9600 萬(wàn)美元。這個(gè)病毒程序設(shè)計(jì)者是羅伯特莫里斯 (Robert T.Morris)，當(dāng)年 23 歲，是在康乃爾 (Cornell) 大學(xué)攻讀學(xué)位的研究生。 羅伯特莫里斯設(shè)計(jì)的病毒程序利用了系統(tǒng)存在的弱點(diǎn)。由于羅伯特莫里斯成了入侵 ARPANET 網(wǎng)的最大的電子入侵者，而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計(jì)，并獲得哈佛大學(xué) Aiken 中心超級(jí)用戶的特權(quán)。他也因此被判 3 年緩刑，罰款 1 萬(wàn)美元，他還被命令進(jìn)行 400 小時(shí)的新區(qū)服務(wù)。1988 年底，在我國(guó)的國(guó)家統(tǒng)計(jì)部門發(fā)現(xiàn)小球病毒。12計(jì)算機(jī)病毒的分類按攻擊的操作系統(tǒng)分類按傳播媒介分類按鏈接方式分類按危害程度分類按寄生方式分類按攻擊機(jī)型分類從廣

9、義病毒定義13按攻擊的操作系統(tǒng)分類攻擊DOS系統(tǒng)的病毒攻擊Windows系統(tǒng)的病毒攻擊UNIX系統(tǒng)的病毒（相對(duì)來(lái)說(shuō)，為數(shù)不多，傳播效率低，不易流行）攻擊OS/2系統(tǒng)的病毒攻擊嵌入式操作系統(tǒng)的病毒。（特洛伊木馬“自由A”）（Palm）14按傳播媒介分類單機(jī)病毒載體：磁盤早期的病毒都是單機(jī)病毒網(wǎng)絡(luò)病毒傳播媒介：網(wǎng)絡(luò)GPI病毒是世界上第一個(gè)專門攻擊計(jì)算機(jī)網(wǎng)絡(luò)的病毒當(dāng)今的病毒大多都是網(wǎng)絡(luò)病毒（RedCode）15按鏈接方式分類源碼型病毒：該病毒攻擊高級(jí)語(yǔ)言編寫的程序，在高級(jí)語(yǔ)言所編寫的程序編譯前插入到源程序中，經(jīng)編譯成為合法程序的一部分。目前，該類病毒不多見(jiàn)。入侵型病毒/嵌入型病毒：在感染時(shí)往往對(duì)宿主

10、程序進(jìn)行一定的修改，將自身嵌入到攻擊目標(biāo)中，代替宿主程序中不常用到的堆棧區(qū)或功能模塊，而不是鏈接在它的首部或尾部。編寫該類病毒比較困難。外殼型病毒：寄生在宿主程序的前面或后面，并修改程序的第一個(gè)執(zhí)行指令，使病毒先于宿主程序執(zhí)行，并隨著宿主程序的使用而傳染擴(kuò)散。該類病毒易于編寫，數(shù)量最多。操作系統(tǒng)型病毒：這種病毒在運(yùn)行時(shí)，用自己的邏輯模塊取代操作系統(tǒng)的部分合法程序模塊。16按危害程度分類良性計(jì)算機(jī)病毒：不對(duì)計(jì)算機(jī)系統(tǒng)直接進(jìn)行破壞，只是具有一定表現(xiàn)癥狀的病毒。惡性計(jì)算機(jī)病毒：在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用，諸如竄改數(shù)據(jù)、格式化硬盤等。中性病毒

11、：對(duì)計(jì)算機(jī)系統(tǒng)不造成直接破壞，又沒(méi)有表現(xiàn)癥狀，只是瘋狂復(fù)制自身的病毒，也就是常說(shuō)的蠕蟲型病毒。17按寄生方式分類引導(dǎo)型病毒：通過(guò)磁盤引導(dǎo)區(qū)傳染的病毒，主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。文件型病毒：通過(guò)操作系統(tǒng)的文件系統(tǒng)傳染的病毒，主要以感染可執(zhí)行程序（.bat、.exe、.com、.sys、.dll、.ovl、.vxd等）為主，病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒也就被激活，并將自身駐留內(nèi)存，然后設(shè)置觸發(fā)條件，進(jìn)行感染。混合型病毒：既傳染磁盤引導(dǎo)扇區(qū)又傳染可執(zhí)行文件的病毒，綜合了系統(tǒng)型和文件型病毒的特征。18按攻擊機(jī)型分類攻擊微

12、型計(jì)算機(jī)的病毒攻擊小型機(jī)的計(jì)算機(jī)病毒攻擊工作站的計(jì)算機(jī)病毒攻擊便攜式電子設(shè)備的病毒19從廣義病毒定義邏輯炸彈特洛伊木馬計(jì)算機(jī)蠕蟲20邏輯炸彈邏輯炸彈：修改計(jì)算機(jī)程序，使它在某種特殊條件下按某種不同的方式運(yùn)行。邏輯炸彈也是由程序員插入其它程序代碼中間的，但并不進(jìn)行自我復(fù)制。21特洛伊木馬（Trojan horse）定義：泛指那些內(nèi)部包含有為完成特殊任務(wù)而編制的程序，一種潛伏執(zhí)行非授權(quán)功能的技術(shù)。它原本屬于一類基于遠(yuǎn)程控制的工具。原理：C/S模式，服務(wù)器提供服務(wù)，客戶機(jī)接受服務(wù)。作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)，如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)

13、運(yùn)行，來(lái)應(yīng)答客戶機(jī)的請(qǐng)求。這個(gè)程序被稱為守護(hù)進(jìn)程。例如：冰河木馬22特洛伊木馬（Trojan horse）攻擊步驟：設(shè)定好服務(wù)器程序；騙取對(duì)方執(zhí)行服務(wù)器程序；尋找對(duì)方的IP地址；用客戶端程序來(lái)控制對(duì)方的計(jì)算機(jī)。特征和行為：木馬本身不進(jìn)行自我復(fù)制。被感染的計(jì)算機(jī)系統(tǒng)會(huì)表現(xiàn)出不尋常的行為或運(yùn)行變慢。比如：有一個(gè)或多個(gè)不尋常的任務(wù)在運(yùn)行；注冊(cè)表和其他配置文件被修改；電子郵件會(huì)在用戶不知情的情況下被發(fā)送等。23特洛伊木馬（Trojan horse）傳播途徑：作為電子郵件附件傳播；隱藏在用戶與其他用戶進(jìn)行交流的文檔和其他文件中；被其他惡意代碼所攜帶，如蠕蟲；會(huì)隱藏在從互聯(lián)網(wǎng)上下載的捆綁的免費(fèi)軟件中。預(yù)防

14、：不要執(zhí)行任何來(lái)歷不明的軟件或程序（無(wú)論是郵件中還是Internet上下載的）。上網(wǎng)的計(jì)算機(jī)要必備防毒軟件（切記及時(shí)升級(jí)）24計(jì)算機(jī)蠕蟲（Worm）定義：通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散傳播特定信息或錯(cuò)誤，破壞網(wǎng)絡(luò)中的信息或造成網(wǎng)絡(luò)服務(wù)中斷的病毒。主要特點(diǎn)：利用網(wǎng)絡(luò)中軟件系統(tǒng)的缺陷，進(jìn)行自我復(fù)制和主動(dòng)傳播。但它與病毒在文件之間的傳播不同，它們是從一臺(tái)計(jì)算機(jī)傳播到另一臺(tái)計(jì)算機(jī)，從而感染整個(gè)系統(tǒng)。組成：主程序和引導(dǎo)程序主程序：一旦在機(jī)器上執(zhí)行，就會(huì)通過(guò)讀取公共配置文件以及收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，獲得與當(dāng)前機(jī)器聯(lián)網(wǎng)的其他機(jī)器的信息和軟件缺陷，并主動(dòng)嘗試在這些遠(yuǎn)程機(jī)器上建立其引導(dǎo)程序。25蠕蟲王病毒名稱：Worm.

15、SQLexp.3762003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)了“2003蠕蟲王”病毒，其危害遠(yuǎn)遠(yuǎn)超過(guò)曾經(jīng)肆虐一時(shí)的”紅色代碼”病毒。感染該蠕蟲病毒后網(wǎng)絡(luò)帶寬被大量占用，導(dǎo)致網(wǎng)絡(luò)癱瘓，該蠕蟲是利用SQLSERVER2000的解析端口1434的緩沖區(qū)溢出漏洞，對(duì)其網(wǎng)絡(luò)進(jìn)行攻擊。由于“2003蠕蟲王”具有極強(qiáng)的傳播能力，在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。我國(guó)互聯(lián)網(wǎng)運(yùn)營(yíng)單位的網(wǎng)絡(luò)也部分出現(xiàn)了訪問(wèn)變慢現(xiàn)象，情況嚴(yán)重的網(wǎng)絡(luò)甚至也曾一度癱瘓。病毒特征：該蠕蟲攻擊安裝有Microsoft SQL 的NT系列服務(wù)器，該病毒嘗試探測(cè)被攻擊機(jī)器的1434/udp端口，如果探測(cè)成功，則發(fā)送376個(gè)

16、字節(jié)的蠕蟲代碼.1434/udp端口為Microsoft SQL開(kāi)放端口。該端口在未打補(bǔ)丁的SQL Server平臺(tái)上存在緩沖區(qū)溢出漏洞，使蠕蟲的后續(xù)代碼能夠得以機(jī)會(huì)在被攻擊機(jī)器上運(yùn)行進(jìn)一步傳播,導(dǎo)致系統(tǒng)癱瘓，停止服務(wù).攻擊對(duì)象多為XP,NT,不攻擊9X.26病毒原理傳統(tǒng)病毒宏病毒網(wǎng)絡(luò)病毒27計(jì)算機(jī)病毒的邏輯結(jié)構(gòu)計(jì)算機(jī)病毒程序一般包括以下3個(gè)功能模塊：病毒的引導(dǎo)模塊：當(dāng)病毒的宿主程序開(kāi)始工作時(shí)將病毒程序從外存引入內(nèi)存，使其與宿主程序獨(dú)立，并且使病毒的傳染模塊和破壞模塊處于活動(dòng)狀態(tài)，以監(jiān)視系統(tǒng)運(yùn)行。病毒的傳染模塊：負(fù)責(zé)將病毒傳染給其他計(jì)算機(jī)程序，使病毒向外擴(kuò)散。它由兩部分組成：病毒傳染的條件判斷

17、部分和病毒傳染程序主體部分。病毒的破壞（表現(xiàn)）模塊：是病毒的核心部分，它體現(xiàn)了病毒制造者的意圖。由兩部分組成：病毒破壞的條件判斷部分和破壞程序主體部分。28傳統(tǒng)病毒傳統(tǒng)病毒一般指早期的DOS病毒，通常采用按照寄生方式的分類方法（引導(dǎo)型、文件型和混合型）。引導(dǎo)型病毒的工作流程文件型病毒的工作流程29引導(dǎo)型病毒的工作流程30文件型病毒的工作流程31宏病毒宏：是一系列組合在一起的命令和指令，它們形成一個(gè)命令，以實(shí)現(xiàn)任務(wù)執(zhí)行的自動(dòng)化。宏病毒：是一種存儲(chǔ)于文檔、模板或加載宏程序中的計(jì)算機(jī)病毒。特點(diǎn)：只感染微軟數(shù)據(jù)（文檔）文件機(jī)制：用VB高級(jí)語(yǔ)言編寫的病毒代碼，直接混雜在文件中，并加以傳播。當(dāng)打開(kāi)受感染的

18、文件或執(zhí)行觸發(fā)宏病毒的操作時(shí)，病毒就會(huì)被激活，并存儲(chǔ)到Normal.dot模板或Personal.xls文件中，以后保存的每個(gè)文檔都會(huì)自動(dòng)被病毒感染。32宏病毒的工作流程33U盤病毒U 盤病毒又稱 Autorun 病毒，是通過(guò) AutoRun.inf 文件使對(duì)方所有的硬盤完全共享或中木馬的病毒。隨著 U 盤，移動(dòng)硬盤，存儲(chǔ)卡等移動(dòng)存儲(chǔ)設(shè)備的普及，U盤病毒也隨之泛濫起來(lái)。國(guó)家計(jì)算機(jī)病毒處理中心早已發(fā)布公告稱 U 盤已成為病毒和惡意木馬程序傳播的流行途徑。 34U盤病毒防治防范查找數(shù)種免費(fèi)專用殺毒軟件備用。例如360安全衛(wèi)士。平時(shí)使用盤時(shí)，不要雙擊打開(kāi)，最好是在插入盤前，按住shift鍵（按鍵的時(shí)

19、間長(zhǎng)一點(diǎn)），然后插入盤，然后用右鍵點(diǎn)擊盤，選擇“資源管理器”來(lái)打開(kāi)盤。檢查抽空檢查一下自己的盤，可以把盤插入電腦后把文件夾選項(xiàng)中隱藏受保護(hù)的操作系統(tǒng)文件選項(xiàng)鉤掉，如果根目錄下見(jiàn)到多出了autorun.inf、*.exe、等不明的文件，那可能就是“中招”了，應(yīng)及時(shí)采取措施。清除直接對(duì)autorun.inf文件進(jìn)行刪除。如果無(wú)法直接刪除，就要先到進(jìn)程管理里先結(jié)束相關(guān)進(jìn)程再刪除，如果還不行就到安全模式里刪除。35網(wǎng)絡(luò)病毒特點(diǎn)：破壞性強(qiáng) 傳播性強(qiáng) （網(wǎng)絡(luò)病毒普遍具有較強(qiáng)的再生機(jī)制，一接觸就可通過(guò)網(wǎng)絡(luò)擴(kuò)散與傳染。根據(jù)有關(guān)資料介紹，在網(wǎng)絡(luò)上病毒傳播的速度是單機(jī)的幾十倍。）針對(duì)性強(qiáng) （網(wǎng)絡(luò)病毒并非一定對(duì)網(wǎng)絡(luò)

20、上所有的計(jì)算機(jī)都進(jìn)行感染與攻擊，而是具有某種針對(duì)性）擴(kuò)散面廣 （由于網(wǎng)絡(luò)病毒能通過(guò)網(wǎng)絡(luò)進(jìn)行傳播, 所以其擴(kuò)散面限大）36網(wǎng)絡(luò)病毒種類：根據(jù)攻擊手段可分為蠕蟲和木馬兩大類型傳播方式：電子郵件、網(wǎng)頁(yè)、文件傳輸。如： 早期很多流行的病毒“ Melissa” 、“ LoveLetter” 、“Happytime”等都是通過(guò)郵件傳播的37網(wǎng)頁(yè)病毒網(wǎng)頁(yè)病毒是利用網(wǎng)頁(yè)來(lái)進(jìn)行破壞的病毒，它使用一些SCRIPT語(yǔ)言編寫的一些惡意代碼利用IE的漏洞來(lái)實(shí)現(xiàn)病毒植入。當(dāng)用戶登錄某些含有網(wǎng)頁(yè)病毒的網(wǎng)站時(shí)，網(wǎng)頁(yè)病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進(jìn)行破壞。輕則修改用戶的注冊(cè)表，使用戶的首頁(yè)、瀏覽器標(biāo)

21、題改變，重則可以關(guān)閉系統(tǒng)的很多功能，裝上木馬，染上病毒，使用戶無(wú)法正常使用計(jì)算機(jī)系統(tǒng)，嚴(yán)重者則可以將用戶的系統(tǒng)進(jìn)行格式化。而這種網(wǎng)頁(yè)病毒容易編寫和修改，使用戶防不勝防。目前的網(wǎng)頁(yè)病毒都是利用JS.ActiveX、WSH共同合作來(lái)實(shí)現(xiàn)對(duì)客戶端計(jì)算機(jī)，進(jìn)行本地的寫操作，如改寫你的注冊(cè)表，在你的本地計(jì)算機(jī)硬盤上添加、刪除、更改文件夾或文件等操作。而這一功能卻恰恰使網(wǎng)頁(yè)病毒、網(wǎng)頁(yè)木馬有了可乘之機(jī)。 （WSH，是“Windows Scripting Host”的縮略形式，其通用的中文譯名為“Windows 腳本宿主”。對(duì)于這個(gè)較為抽象的名詞，我們可以先作這樣一個(gè)籠統(tǒng)的理解：它是內(nèi)嵌于 Windows 操

22、作系統(tǒng)中的腳本語(yǔ)言工作環(huán)境。 ）38網(wǎng)頁(yè)病毒的性質(zhì)及特點(diǎn) 這種非法惡意程序能夠得以被自動(dòng)執(zhí)行，在于它完全不受用戶的控制。一旦瀏覽含有該病毒的網(wǎng)頁(yè)，即可以在你不知不覺(jué)的情況下馬上中招，給用戶的系統(tǒng)帶來(lái)一般性的、輕度性的、嚴(yán)重惡性等不同程度的破壞。39網(wǎng)頁(yè)病毒的表現(xiàn)參見(jiàn)附件40網(wǎng)頁(yè)病毒的防治屏蔽指定網(wǎng)頁(yè) 提高安全級(jí)別 （Internet選項(xiàng)-“安全”選項(xiàng)卡，然后單擊“自定義級(jí)別”按鈕打開(kāi)“安全設(shè)置”窗口，將“ActiveX控件和插件”、“腳本”下的所有選項(xiàng)，都盡可能的設(shè)為“禁用”，同時(shí)將“重置自定義設(shè)置”設(shè)為“安全級(jí)-高”即可。）確保WSH安全 （Windows 2000/XP操作更加簡(jiǎn)單，只需要

23、打開(kāi)文件夾選項(xiàng)窗口，然后在“文件類型”選項(xiàng)卡，找到“VBS VBScript Script File”選項(xiàng)并將其刪除即可。）禁止遠(yuǎn)程注冊(cè)表服務(wù) （進(jìn)入控制面板，在“管理工具”文件夾中打開(kāi)“服務(wù)”項(xiàng)，然后雙擊右側(cè)的“Remote Registry”，將其啟動(dòng)類型設(shè)為“已禁用”，并單擊“停用”按鈕即可。）41病毒技術(shù)寄生技術(shù)駐留技術(shù)加密變形技術(shù)隱藏技術(shù)42寄生技術(shù)寄生技術(shù)：病毒在感染的時(shí)候，將病毒代碼加入正常程序之中，原正常程序功能的全部或者部分被保留。分類：頭寄生、尾寄生、插入寄生（病毒代碼插入宿主程序位置的不同）空洞利用（例：CIH）是文件型病毒使用最多的技術(shù)43駐留技術(shù)駐留技術(shù)：當(dāng)被感染的文

24、件執(zhí)行時(shí)，病毒的一部分功能模塊進(jìn)入內(nèi)存，即使程序執(zhí)行完畢，它們?nèi)砸恢瘪v留在內(nèi)存中。 病毒需要實(shí)時(shí)地監(jiān)控合適的感染對(duì)象和觸發(fā)條件，它總是希望關(guān)鍵的代碼能一直保留在內(nèi)存中，得到機(jī)會(huì)就能運(yùn)行。 殺毒軟件如果只清除文件中的病毒而沒(méi)有清除內(nèi)存中的病毒，則病毒在系統(tǒng)退出前仍有機(jī)會(huì)感染文件。44加密變形技術(shù)加密變形技術(shù)：是一個(gè)具有里程碑意義的病毒技術(shù)。在加密病毒的基礎(chǔ)上改進(jìn)，使病毒二進(jìn)制代碼對(duì)不同傳染實(shí)例呈現(xiàn)多樣性。傳統(tǒng)病毒在代碼中總是具有自身的特點(diǎn)（如：標(biāo)記已感染的字串、特殊的駐留代碼、特殊的感染代碼等），反病毒廠商就利用這些特點(diǎn)編制特征碼，用于病毒的檢測(cè)。45加密變形技術(shù)通過(guò)自我加密，病毒的外觀能夠從一

25、種形態(tài)變成另一種形態(tài)，并將感染過(guò)的文本和信息隱藏起來(lái)。 大部分使用加密技術(shù)的病毒每次感染時(shí)都會(huì)改變形態(tài)，這樣使殺毒軟件更難辨認(rèn)。由于這種病毒必須在解密后運(yùn)行，因此可以通過(guò)分析加密路線來(lái)發(fā)現(xiàn)它們。病毒加密的部分需要一把“密鑰”來(lái)譯解其隱藏的代碼，這把鑰匙就隱藏在病毒的固定 文本中，所以要發(fā)現(xiàn)和清除病毒只要找到這把密鑰即可。 多形病毒實(shí)際上是加密技術(shù)的深入，病毒在使用加密技術(shù)的同時(shí)，每個(gè)后代都使用不同的加密技術(shù)。也就是說(shuō)，同一個(gè)病毒的病毒的不同樣本之間會(huì)有天壤之別，甚至是負(fù)責(zé)加密其余部分的那些病毒代碼也可以做到形態(tài)各異。 幾種不同類型的病毒組合會(huì)演變?yōu)槌汕先f(wàn)的異形體，迫使殺毒軟件開(kāi)發(fā)商投入大量的

26、研究人員和開(kāi)發(fā)時(shí)間，生成特殊的解毒算法，正是這樣的斗爭(zhēng)造成了今天的相持不下的景象。 46隱藏技術(shù)隱藏技術(shù)：病毒在進(jìn)入用戶系統(tǒng)之后，會(huì)采取種種方法隱藏自己的行蹤，使病毒不易被用戶和反病毒軟件發(fā)現(xiàn)。甚至采用遠(yuǎn)程線程技術(shù)注入到系統(tǒng)進(jìn)程之內(nèi)。47反病毒技術(shù)計(jì)算機(jī)病毒檢測(cè)技術(shù)計(jì)算機(jī)病毒的清除計(jì)算機(jī)病毒的免疫計(jì)算機(jī)病毒的預(yù)防48反病毒技術(shù)病毒技術(shù)與反病毒技術(shù)存在著相互對(duì)立、相互依存的關(guān)系，二者都在彼此的較量中不斷發(fā)展。 從總體上講，反病毒技術(shù)要滯后于病毒技術(shù)。 計(jì)算機(jī)病毒的防治可以分為四個(gè)方面的內(nèi)容：檢測(cè)、清除、免疫和預(yù)防。49如何發(fā)現(xiàn)計(jì)算機(jī)病毒（1/2）計(jì)算機(jī)病毒發(fā)作的時(shí)候，通常會(huì)出現(xiàn)以下幾種情況：電腦

27、運(yùn)行比平常遲鈍；程序載入時(shí)間比平常久；對(duì)一個(gè)簡(jiǎn)單的工作，硬盤似乎花了比預(yù)期長(zhǎng)的時(shí)間；不尋常的錯(cuò)誤信息出現(xiàn)；由于病毒程序的異?；顒?dòng)，造成對(duì)磁盤的異常訪問(wèn)。比如沒(méi)沒(méi)有存取磁盤，但磁盤指示燈卻亮了；系統(tǒng)內(nèi)存容量忽然大量減少；磁盤可利用空間突然減少；50如何發(fā)現(xiàn)計(jì)算機(jī)病毒（2/2）可執(zhí)行程序的大小改變了；由于病毒可能通過(guò)將磁盤扇區(qū)標(biāo)記為壞簇的方式隱藏自己，磁盤壞簇會(huì)莫名其妙地增多；程序同時(shí)存取多部磁盤；內(nèi)存中增加來(lái)路不明的常駐程序；文件、數(shù)據(jù)奇怪地消失；文件的內(nèi)容被加上一些奇怪的資料；文件名稱、擴(kuò)展名、屬性被更改過(guò)；死機(jī)現(xiàn)象增多；出現(xiàn)一些異常的畫面或聲音。51計(jì)算機(jī)病毒檢測(cè)技術(shù)（1/5）比較法：進(jìn)行原

28、始的或正常的特征與被檢測(cè)對(duì)象的特征比較。由于病毒的感染會(huì)引起文件長(zhǎng)度和內(nèi)容、內(nèi)存以及中斷向量的變化，從這些特征的比較中可以發(fā)現(xiàn)異常，從而判斷病毒的有無(wú)。優(yōu)點(diǎn)：簡(jiǎn)單、方便，不需專用軟件缺點(diǎn)：無(wú)法確認(rèn)計(jì)算機(jī)病毒的種類和名稱52計(jì)算機(jī)病毒檢測(cè)技術(shù)（2/5）病毒校驗(yàn)和法：計(jì)算出正常文件的程序代碼的校驗(yàn)和，并保存起來(lái)，可供被檢測(cè)對(duì)象對(duì)照比較，以判斷是否感染了病毒。優(yōu)點(diǎn)：可偵測(cè)到各式的計(jì)算機(jī)病毒，包括未知病毒缺點(diǎn)：誤判率高，無(wú)法確認(rèn)病毒種類分析法：該方法的使用人員主要是反計(jì)算機(jī)病毒的技術(shù)專業(yè)人員。53計(jì)算機(jī)病毒檢測(cè)技術(shù)（3/5）搜索法：用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)對(duì)象進(jìn)行掃描。特征串選擇的

29、好壞，對(duì)于病毒的發(fā)現(xiàn)具有決定作用。如何提取特征串，則需要足夠的相關(guān)知識(shí)。缺點(diǎn)：被掃描的文件很長(zhǎng)時(shí)，掃描所花時(shí)間也越多；不容易選出合適的特征串；計(jì)算機(jī)病毒代碼庫(kù)未及時(shí)更新時(shí)，無(wú)法識(shí)別出新型計(jì)算機(jī)病毒；不易識(shí)別變形計(jì)算機(jī)病毒等。搜索法是目前使用最為普遍的計(jì)算機(jī)病毒檢測(cè)方法。54計(jì)算機(jī)病毒檢測(cè)技術(shù)（4/5）行為監(jiān)測(cè)法：由于病毒在感染及破壞時(shí)都表現(xiàn)出一些共同行為，而且比較特殊，這些行為在正常程序中比較罕見(jiàn)，因此可通過(guò)檢測(cè)這些行為來(lái)檢測(cè)病毒的存在與否。優(yōu)點(diǎn)：不僅可檢測(cè)已知病毒，而且可預(yù)報(bào)未知病毒。缺點(diǎn)：有可能誤報(bào)。（卡巴斯基）病毒行為軟件模擬法：專門用來(lái)對(duì)付多態(tài)病毒，多態(tài)病毒在每次傳染時(shí)都通過(guò)加密變化其

30、特征碼，使得搜索法失效。該方法監(jiān)視病毒運(yùn)行，待病毒自身密碼破譯后，再進(jìn)行代碼的分析。55計(jì)算機(jī)病毒檢測(cè)技術(shù)（5/5）感染實(shí)驗(yàn)法：利用病毒最重要的基本特性傳染性。檢測(cè)時(shí)，先運(yùn)行可疑系統(tǒng)中的程序，再運(yùn)行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長(zhǎng)度和校驗(yàn)和，如果發(fā)現(xiàn)有變化，可斷言系統(tǒng)中有病毒。56計(jì)算機(jī)病毒的清除病毒的清除：指將染毒文件的病毒代碼摘除，使之恢復(fù)為可正常運(yùn)行的健全文件。病毒的清除可用專用軟件殺毒或手工進(jìn)行。57計(jì)算機(jī)病毒的免疫病毒免疫原理：根據(jù)病毒簽名來(lái)實(shí)現(xiàn)。由于有些病毒在感染其他程序時(shí)要先判斷是否已被感染過(guò)，即欲攻擊的宿主程序是否已有相應(yīng)病毒簽名，如有則不再感染。因此，可人為地在“健康程序”中進(jìn)行病毒簽名，起到免疫效果。58計(jì)算機(jī)病毒的預(yù)防經(jīng)常進(jìn)行數(shù)據(jù)備份，特別是一些非常重要的數(shù)據(jù)及文件，以免被病毒侵入后無(wú)法恢復(fù)。對(duì)于新購(gòu)置的計(jì)算機(jī)、硬盤、軟件等，先用查毒軟件檢測(cè)后方可使用。盡量避免在無(wú)防毒軟件的機(jī)器上或公用機(jī)器上使用可移動(dòng)磁盤，以免感染病毒。對(duì)計(jì)算機(jī)的使用權(quán)限進(jìn)行嚴(yán)