第8章病毒防范技術(shù)

病毒防范技術(shù)2023/2/12病毒演示—彩帶病毒病毒演示—千年老妖病毒演示—圣誕節(jié)病毒病毒演示—白雪公主2023/2/13紅色代碼1()

章節(jié)目錄(一)計(jì)算機(jī)病毒概念1.計(jì)算機(jī)病毒定義2.計(jì)算機(jī)病毒產(chǎn)生和發(fā)展(二)計(jì)算機(jī)病毒原理(三)反病毒技術(shù)計(jì)算機(jī)病毒定義定義：計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。（國(guó)外）1994年2月18日，國(guó)家正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在第二十八條中明確指出：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。（國(guó)內(nèi)）病毒產(chǎn)生背景計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式計(jì)算機(jī)病毒是高技術(shù)犯罪,具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證,風(fēng)險(xiǎn)小破壞大,從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。計(jì)算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié),易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計(jì)算機(jī)軟件設(shè)計(jì)的手工方式,效率低下且生產(chǎn)周期長(zhǎng)；對(duì)使用程序的錯(cuò)誤和缺陷沒有預(yù)知性微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境病毒的來源搞計(jì)算機(jī)的人員和業(yè)余愛好者的惡作劇、尋開心制造出的病毒,例如象圓點(diǎn)一類的良性病毒。軟件公司及用戶為保護(hù)自己的軟件被非法復(fù)制而采取的報(bào)復(fù)性懲罰措施。旨在攻擊和摧毀計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)系統(tǒng)而制造的病毒----就是蓄意進(jìn)行破壞。用于研究或有益目的而設(shè)計(jì)的程序,由于某種原因失去控制或產(chǎn)生了意想不到的效果。病毒發(fā)展簡(jiǎn)歷電腦病毒的概念其實(shí)起源相當(dāng)早，在第一部商用電腦出現(xiàn)之前好幾年，電腦的先驅(qū)者馮·諾伊曼（JohnVonNeumann）在他的一篇論文《復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行》里，已經(jīng)勾勒出病毒程序的藍(lán)圖。1977年夏天，托馬斯·捷·瑞安（Thomas.J.Ryan）的科幻小說《P-1的春天》（TheAdolescenceofP-1）成為美國(guó)的暢銷書，作者在這本書中描寫了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了7,000臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。第一個(gè)病毒誕生：1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序(該程序能夠?qū)е耈NIX系統(tǒng)死機(jī)），倫·艾德勒曼(LenAdleman)將它命名為計(jì)算機(jī)病毒(computerviruses)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出?！鞍突固埂辈《荆?986年初，在巴基斯坦的拉合爾(Lahore)，巴錫特(Basit)和阿姆杰德(Amjad)兩兄弟經(jīng)營(yíng)著一家IBM-PC機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan病毒，即Brain。在一年內(nèi)流傳到了世界各地。

世界上公認(rèn)的第一個(gè)在個(gè)人電腦上廣泛流行的病毒通過軟盤傳播?！叭湎x－莫里斯”：1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱為“蠕蟲”的電腦病毒送進(jìn)了美國(guó)最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國(guó)東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺(tái)灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時(shí)，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。2001年7月19日針對(duì)IIS服務(wù)的.ida漏洞產(chǎn)生的CodeRed沖擊波：年僅18歲的高中生杰弗里·李·帕森因?yàn)樯嫦邮恰皼_擊波”電腦病毒的制造者于2003年8月29日被捕。對(duì)此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個(gè)電腦天才，而決不是什么黑客，更不會(huì)去犯罪。章節(jié)目錄(一)計(jì)算機(jī)病毒概念(二)計(jì)算機(jī)病毒原理1.計(jì)算機(jī)病毒特征2.計(jì)算機(jī)病毒的分類3.計(jì)算機(jī)病毒的傳播途徑4.病毒的表現(xiàn)形式5.計(jì)算機(jī)病毒的工作機(jī)制(三)反病毒技術(shù)計(jì)算機(jī)病毒特征1.破壞性：(體系設(shè)計(jì)者的意圖）無論何種病毒一旦進(jìn)入系統(tǒng)對(duì)OS的運(yùn)行就會(huì)造成不同程度的影響，小到占用資源大到刪除數(shù)據(jù)和使系統(tǒng)崩潰，使之無法恢復(fù)，造成補(bǔ)課挽回的損失。2.傳染性:(最重要的特征）計(jì)算機(jī)病毒也會(huì)通過各種媒體從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。病毒一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就會(huì)尋找符合感染條件的目標(biāo)，將其感染，達(dá)到自我繁殖的目的。所謂感染，就是病毒將自身潛入到合法程序的指令序列中，致使執(zhí)行合法程序的操作，會(huì)引發(fā)病毒程序的執(zhí)行，或以病毒程序的執(zhí)行取代正常程序的執(zhí)行。只要一臺(tái)計(jì)算機(jī)染上病毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散，其中的大量文件（一般是可執(zhí)行文件）就會(huì)被感染。而被感染的文件又成了新的傳染源，在與其他機(jī)子進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)傳染。3.隱蔽性:病毒是一種具有很高編程技巧，短小精悍的可執(zhí)行程序，他通常粘附在正常程序或磁盤引導(dǎo)扇區(qū)中，以及一些空閑概率比較大的扇區(qū)中，目的就是不讓用戶發(fā)現(xiàn)。計(jì)算機(jī)病毒不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。4.潛伏性：計(jì)算機(jī)病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。大部分病毒感染系統(tǒng)以后，一般不會(huì)馬上發(fā)作，他可長(zhǎng)期的隱藏，只有條件滿足才會(huì)啟動(dòng)。因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。

5.可觸發(fā)性：病毒的可觸發(fā)性是指當(dāng)病毒觸發(fā)條件滿足時(shí)，病毒才在感染了的計(jì)算機(jī)上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。有的是在屏幕上顯示信息圖形或特殊標(biāo)識(shí)有的則執(zhí)行破壞系統(tǒng)的操作,如格式化磁盤、刪除文件、加密數(shù)據(jù)、封鎖鍵盤、毀壞系統(tǒng)等。6.不可預(yù)見性：從對(duì)病毒的檢測(cè)來看，病毒具有不可預(yù)見性。病毒永遠(yuǎn)超前于反病毒軟件。網(wǎng)絡(luò)時(shí)期病毒的特點(diǎn):在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有上述共性外，還有一些新特點(diǎn)：破壞性強(qiáng)傳播速度快觸發(fā)條件多殺毒難度大擴(kuò)散面廣傳播形式復(fù)雜多樣，針對(duì)性強(qiáng)計(jì)算機(jī)病毒的分類1.按破壞性形式分類

分類

表現(xiàn)及影響良性病毒只是顯示信息、湊樂、發(fā)出聲響、自我復(fù)制。除了減少磁盤空間外，對(duì)系統(tǒng)沒有其他影響惡性病毒封鎖、干擾、中斷輸入輸出、使用戶無法打印，甚至終止計(jì)算機(jī)的運(yùn)行，使系統(tǒng)造成嚴(yán)重的錯(cuò)誤（Azsua、Typo—COM）極惡性病毒刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置，導(dǎo)致死機(jī)、崩潰等災(zāi)難性病毒破壞分區(qū)信息。主引導(dǎo)區(qū)信息、FAT，刪除數(shù)據(jù)文件，甚至格式硬盤2.按連接方式分類源碼型病毒：較少見，也難以編寫。因?yàn)樗舾呒?jí)語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯。連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)，一般難以發(fā)現(xiàn)，清除也較困難。操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。由于其直接感染操作系統(tǒng)，這類病毒的危害性也較大。（小球，大麻）外殼型病毒：將自身依附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部分文件型病毒屬于此類3．按病毒特有的算法分類伴隨型病毒：這類病毒不改變文件本身，他根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同擴(kuò)展名（COM）。蠕蟲型病毒：通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。他們?cè)谙到y(tǒng)中存在，一般除了占用內(nèi)存以外不會(huì)占用其他資源。寄生型病毒：除了伴隨和蠕蟲，其他的都可以成為寄生型病毒，他們依附在系統(tǒng)的引導(dǎo)區(qū)或文件，通過系統(tǒng)的功能進(jìn)行傳播練習(xí)型病毒：病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒處于調(diào)試階段變形病毒：這病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容與長(zhǎng)度。4、按寄生方式分類引導(dǎo)型病毒即磁盤引導(dǎo)型、引導(dǎo)扇區(qū)型、磁盤啟動(dòng)型、系統(tǒng)型病毒等定義：把自己的病毒程序放在軟磁盤的引導(dǎo)區(qū)以及硬盤的主引導(dǎo)記錄區(qū)或引導(dǎo)扇區(qū)，當(dāng)作正常的引導(dǎo)程序，而將真正的引導(dǎo)程序搬到其他位置。破壞：改寫主引導(dǎo)記錄區(qū)、引導(dǎo)區(qū)、文件分配表、文件目錄區(qū)、中斷向量表等文件型病毒定義：指對(duì)所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒感染文件：可執(zhí)行文件（.bat、.exe、.com、.dll.）、高級(jí)語言編寫的源代碼、編譯過程中生成的中間文件。混合型病毒（又稱綜合型、復(fù)合型病毒）即有引導(dǎo)型病毒的特點(diǎn)，也有文件型病毒的特點(diǎn)。（a）引導(dǎo)型病毒（b）文件型病毒圖：病毒的傳播、破壞過程一個(gè)引導(dǎo)病毒傳染的實(shí)例假定用硬盤啟動(dòng)，且該硬盤已染上了小球病毒，那么加電自檢以后，小球病毒的引導(dǎo)模塊就把全部病毒代碼1024字節(jié)保護(hù)到了內(nèi)存的最高段，即97C0：7C00處；然后修改INT13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過INT13H的作用，計(jì)算機(jī)病毒的傳染塊便率先取得控制權(quán)，它就進(jìn)行如下操作：讀入目標(biāo)磁盤的自舉扇區(qū)（BOOT扇區(qū)）。判斷是否滿足傳染條件。如果滿足傳染條件（即目標(biāo)盤BOOT區(qū)的01FCH偏移位置為5713H標(biāo)志），則將病毒代碼的前512字節(jié)寫入BOOT引導(dǎo)程序，將其后512字節(jié)寫入該簇，隨后將該簇標(biāo)以壞簇標(biāo)志，以保護(hù)該簇不被重寫。跳轉(zhuǎn)到原INT13H的入口執(zhí)行正常的磁盤系統(tǒng)操作。小球病毒：發(fā)作條件是當(dāng)系統(tǒng)時(shí)鐘處于半點(diǎn)或整點(diǎn)，而系統(tǒng)又在進(jìn)行讀盤操作。發(fā)作時(shí)屏幕出現(xiàn)一個(gè)活蹦亂跳的小圓點(diǎn)，作斜線運(yùn)動(dòng)，當(dāng)碰到屏幕邊沿或者文字就立刻反彈，碰到的文字，英文會(huì)被整個(gè)削去，中文會(huì)削去半個(gè)或整個(gè)削去，也可能留下制表符亂碼。其規(guī)律是，ASCII碼字符后3位為3(011)的，發(fā)生行反射；后3位為5(101)的，發(fā)生列反射，其它字符不改變小球運(yùn)動(dòng)方向。小球病毒后期經(jīng)過一些好事者的改造，后期的變種運(yùn)動(dòng)的規(guī)律開始逐漸復(fù)雜化。一個(gè)文件病毒傳染的實(shí)例假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運(yùn)行該文件后，耶路撒冷病毒的引導(dǎo)模塊會(huì)修改INT21H的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內(nèi)存，此后退回操作系統(tǒng)。以后再有任何加載執(zhí)行文件的操作，病毒的傳染模塊將通過INT21H的調(diào)用率先獲得控制權(quán)，并進(jìn)行以下操作：讀出該文件特定部分。判斷是否傳染。如果滿足條件，則用某種方式將病毒代碼與該可執(zhí)行文件鏈接，再將鏈接后的文件重新寫入磁盤。轉(zhuǎn)回原INT21H入口，對(duì)該執(zhí)行文件進(jìn)行正常加載。宏病毒宏病毒的傳播一般來說，一個(gè)宏病毒傳播發(fā)生在被感染的宏指令覆蓋、改寫及增加全局宏指令表中的宏,由此進(jìn)一步感染隨后打開和存貯的所有Doc文檔。當(dāng)Word打開一個(gè).doc文件時(shí)，先檢查里面有沒有模板/宏代碼,如果有的話就認(rèn)為這不是普通的doc文件，而是一個(gè)模版文件,并執(zhí)行里面的auto類的宏(如果有的話)。一般染毒后的.doc被打開后，通過Auto宏或菜單、快捷鍵來激活，隨后感染諸如Normal.dot或powerup.dot等全局模板文件得到系統(tǒng)"永久"控制權(quán)。奪權(quán)后，當(dāng)系統(tǒng)有文檔存儲(chǔ)動(dòng)作時(shí)，病毒就把自身復(fù)制入此文檔并儲(chǔ)存成一個(gè)后綴為.doc的模板文件；另外，當(dāng)一定條件滿足時(shí)，病毒就會(huì)干些小小的或者大大的破壞活動(dòng)。

宏病毒特點(diǎn)傳播極快可通過網(wǎng)絡(luò)、mail等傳播制作、變種方便宏病毒則是以人們?nèi)菀组喿x的源代碼宏語言WordBasic形式出現(xiàn)，所以編寫和修改宏病毒比以往病毒更容易。破壞可能性極大多平臺(tái)交叉感染現(xiàn)代計(jì)算機(jī)病毒木馬程序它不會(huì)自我繁殖，也不刻意的去感染其他文件。它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者打開電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。危害：偷竊個(gè)人賬戶、密碼信息；遠(yuǎn)程控制；組建僵尸網(wǎng)絡(luò)。目前流行的病毒絕大部分是木馬程序?，F(xiàn)代計(jì)算機(jī)病毒蠕蟲蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等。同時(shí)也有自己的一些特征，如不利用文件寄生，有的只存在與內(nèi)存中，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等?，F(xiàn)代計(jì)算機(jī)病毒僵尸網(wǎng)絡(luò)（Botnet)采用一種或多種傳播手段，將大量主機(jī)感染僵尸程序，從而在控制者和被感染主機(jī)之間形成一個(gè)可一對(duì)多的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序，感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。計(jì)算機(jī)病毒的傳播途徑1）通過不可移動(dòng)的設(shè)備進(jìn)行傳播較少見，但破壞力很強(qiáng)。2）通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播最廣泛的傳播途徑3）通過網(wǎng)絡(luò)進(jìn)行傳播反病毒所面臨的新課題4）通過點(diǎn)對(duì)點(diǎn)通訊系統(tǒng)和無線通道傳播預(yù)計(jì)將來會(huì)成為兩大傳播渠道2023/2/129病毒的表現(xiàn)形式病毒通過多種途徑感染計(jì)算機(jī)，那么我們?cè)趺纯闯鲆阎卸荆?）平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無故死機(jī)?？赡懿《拘薷牧酥袛嗵幚沓绦虻取?）操作系統(tǒng)無法正常啟動(dòng)。關(guān)機(jī)后重啟，操作系統(tǒng)報(bào)告缺少必要的啟動(dòng)文件或文件破壞，系統(tǒng)無法啟動(dòng)?？赡懿《靖腥鞠到y(tǒng)文件使文件結(jié)構(gòu)發(fā)生變化。3）運(yùn)行速度明顯變慢。4）以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤，或使用程序中的某個(gè)功能時(shí)報(bào)說內(nèi)存不足?？赡懿《菊加昧藘?nèi)存。5）打印和通信發(fā)生錯(cuò)誤。打印出來的是亂碼，調(diào)制解調(diào)器不能撥號(hào)?？赡苁遣《抉v留內(nèi)存占用打印端口、串行通信端口的中斷服務(wù)程序。6）無意中要求對(duì)軟盤進(jìn)行讀寫操作。如操作系統(tǒng)提示軟驅(qū)中沒有插軟盤等。7）系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化。這是最明顯計(jì)算機(jī)病毒跡象。8）運(yùn)行Word，打開Word文檔后，該文檔另存為時(shí)只能以模板方式保存。無法存為另一DOC文檔。中了宏病毒的緣故。9）磁盤空間迅速減少。10）陌生人發(fā)來的電子郵件。尤其是那些很具有誘惑力的，如笑話或情書等，又帶有附件的郵件。11）自動(dòng)鏈接到一些陌生的網(wǎng)站。計(jì)算機(jī)沒有上網(wǎng)，但他自己撥號(hào)并連接到一個(gè)陌生的站點(diǎn)，有可能被遠(yuǎn)程控制了。12）提示一些不相干的話。宏病毒，在滿足發(fā)作的條件就會(huì)彈出對(duì)話框顯示某句話，并要求用戶確定。13）發(fā)出一段美妙的音樂?！皸罨焙汀盀g陽河”。14）產(chǎn)生特定的圖像?！靶∏颉?5）進(jìn)行游戲算法?！皞髌娌《尽?6）Windows桌面圖標(biāo)發(fā)生變化。17）自動(dòng)發(fā)送電子郵件。在某一特定的時(shí)刻向同一個(gè)服務(wù)器發(fā)送無用的信件。18）鼠標(biāo)自己動(dòng)。受到黑客的控制。病毒的工作機(jī)制?從本質(zhì)上來看，病毒程序可以執(zhí)行其他程序所能執(zhí)行的一切功能。與普通程序又不同的是病毒一般將自身附著在其他程序上。病毒程序所依附的其他程序稱為宿主程序。當(dāng)用戶運(yùn)行宿主程序時(shí)，病毒程序被激活，并開始執(zhí)行。一旦病毒程序被執(zhí)行，它就能執(zhí)行一切意想不到的功能(如感染其他程序、刪除文件等)。分析病毒的工作機(jī)制，有助于掌握病毒的本質(zhì)，并積極做好病毒防治工作。計(jì)算機(jī)病毒的工作步驟分析從病毒程序的生命周期來看，它一般會(huì)經(jīng)歷4個(gè)階段:潛伏階段、傳染階段、觸發(fā)階段和發(fā)作階段。該過程如圖所示。

在潛伏階段，病毒程序處于休眠狀態(tài)，用戶根本感覺不到病毒的存在，但并非所有病毒均會(huì)經(jīng)歷潛伏階段。如果某些事件發(fā)生(如特定的日期、某個(gè)特定的程序被執(zhí)行等)，病毒就會(huì)被激活，并從而進(jìn)入傳染階段。處于傳染階段的病毒，將感染其他程序----將自身程序復(fù)制到其他程序或者磁盤的某個(gè)區(qū)域上。經(jīng)過傳染階段，病毒程序已經(jīng)具備運(yùn)行的條件，一旦病毒被激活，則進(jìn)入觸發(fā)階段。在觸發(fā)階段，病毒執(zhí)行某種特定功能從而達(dá)到既定的目標(biāo)。病毒在觸發(fā)條件成熟時(shí)即可發(fā)作。處于發(fā)作階段的病毒將為了既定目的而運(yùn)行(如破壞文件、感染其他程序等〉。病毒程序的功能模塊：為了實(shí)現(xiàn)病毒生命周期的轉(zhuǎn)換，病毒程序必須具有相應(yīng)的功能模塊。病毒程序的典型組成包括引導(dǎo)模塊、傳染模塊和表現(xiàn)模塊1.計(jì)算機(jī)病毒的引導(dǎo)模塊

主要實(shí)現(xiàn)將計(jì)算機(jī)病毒程序引入計(jì)算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動(dòng)狀態(tài)。為了避免計(jì)算機(jī)病毒程序被清除(如殺毒程序的處理等)，引導(dǎo)模塊需要提供自保護(hù)功能，從而避免在內(nèi)存中的自身代碼不被覆蓋或清除。一旦引導(dǎo)模塊將計(jì)算機(jī)病毒程序引入內(nèi)存后，它還將為傳染模塊和表現(xiàn)模塊設(shè)置相應(yīng)的啟動(dòng)條件，以便在適當(dāng)?shù)臅r(shí)候或者合適的條件下激活傳染模塊或者觸發(fā)表現(xiàn)模塊。

?2.計(jì)算機(jī)病毒的感染模塊

?計(jì)算機(jī)病毒的傳染模塊有兩個(gè)功能:依據(jù)引導(dǎo)模塊設(shè)置的傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件；如果傳染條件滿足，則啟動(dòng)傳染功能，將計(jì)算機(jī)病毒程序附加到其他宿主程序上。相應(yīng)地，感染模塊分為感染條件判斷子模塊和傳染功能實(shí)現(xiàn)子模塊兩個(gè)部分。?3.計(jì)算機(jī)病毒的表現(xiàn)模塊

?與計(jì)算機(jī)病毒傳染模塊相似，其表現(xiàn)模塊功能也包括兩個(gè)部分根據(jù)引導(dǎo)模塊設(shè)置的觸發(fā)條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足所需要的觸發(fā)條件;一旦觸發(fā)條件滿足，則啟動(dòng)計(jì)算機(jī)病毒程序，按照預(yù)定的計(jì)劃執(zhí)行(如刪除程序、盜取數(shù)據(jù)等)。因此，表現(xiàn)模塊包含兩個(gè)子模塊:表現(xiàn)條件判斷子模塊和表現(xiàn)功能實(shí)現(xiàn)子模塊。前者判斷激活條件是否滿足，則而后者則實(shí)現(xiàn)功能。需要說明的是，并非所有計(jì)算機(jī)病毒程序都需要上述3個(gè)模塊，如引導(dǎo)型計(jì)算機(jī)病毒沒有表現(xiàn)模塊，而某些文件型計(jì)算機(jī)病毒則沒有引導(dǎo)模塊。計(jì)算機(jī)病毒的觸發(fā)機(jī)制????????計(jì)算機(jī)病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個(gè)條件就是計(jì)算機(jī)病毒的觸發(fā)條件。過于苛刻的觸發(fā)條件，可能使計(jì)算機(jī)病毒有好的潛伏性，但不易傳播，只具低殺傷力；而過于寬松的觸發(fā)條件將導(dǎo)致計(jì)算機(jī)病毒頻繁感染與破壞，容易暴露，導(dǎo)致用戶做反計(jì)算機(jī)病毒處理，也不能有大的殺傷力。

實(shí)際上計(jì)算機(jī)病毒采用的觸發(fā)條件花樣繁多，而且還在不斷更新。1.日期觸發(fā)許多計(jì)算機(jī)病毒采用日期作為觸發(fā)條件。日期觸發(fā)大體包括特定日期觸發(fā)、月份觸發(fā)和前半年后半年觸發(fā)等。臭名昭著的“CIH”是4月26日發(fā)作。2.時(shí)間觸發(fā)：包括特定的時(shí)間觸發(fā)、染毒后累計(jì)工作時(shí)間觸發(fā)和文件最后寫入時(shí)間觸發(fā)等。

3.鍵盤觸發(fā)

有些計(jì)算機(jī)病毒監(jiān)視用戶的擊鍵動(dòng)作，當(dāng)發(fā)現(xiàn)計(jì)算機(jī)病毒預(yù)定的鍵入時(shí)，計(jì)算機(jī)病毒被激活，進(jìn)行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)和熱啟動(dòng)觸發(fā)等。

4.感染觸發(fā)

許多計(jì)算機(jī)病毒的感染需要某些條件觸發(fā)，而且相當(dāng)數(shù)量的計(jì)算機(jī)病毒又將與感染有關(guān)的信息反過來作為破壞行為的觸發(fā)條件，稱為感染觸發(fā)。它包括運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)和感染失敗觸發(fā)等。5.啟動(dòng)觸發(fā)

計(jì)算機(jī)病毒對(duì)機(jī)器的啟動(dòng)次數(shù)計(jì)數(shù)，并將此值作為觸發(fā)條件稱為啟動(dòng)觸發(fā)。

6.訪問磁盤次數(shù)觸發(fā)

計(jì)算機(jī)病毒對(duì)磁盤的訪問的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件稱為訪問磁盤次數(shù)觸發(fā)。?7.調(diào)用中斷功能觸發(fā)

計(jì)算機(jī)病毒對(duì)中斷調(diào)用次數(shù)計(jì)數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件稱為調(diào)用中斷功能觸發(fā)。

8.CPU型號(hào)/主板型號(hào)觸發(fā)

計(jì)算機(jī)病毒能識(shí)別運(yùn)行環(huán)境的CPU型號(hào)/主板型號(hào)，以預(yù)定CPU型號(hào)/主板型號(hào)作為觸發(fā)條件，不過這種計(jì)算機(jī)病毒的觸發(fā)方式比較少見。章節(jié)目錄(一)計(jì)算機(jī)病毒概念(二)計(jì)算機(jī)病毒原理(三)反病毒技術(shù)1.病毒檢測(cè)技術(shù)2.計(jì)算機(jī)病毒清除3.計(jì)算機(jī)病毒預(yù)防病毒技術(shù)與反病毒技術(shù)存在著相互對(duì)立相互依存的關(guān)系，二者在彼此的較量中不斷發(fā)展?？偟膩碇v病毒技術(shù)落后于反病毒技術(shù)。計(jì)算機(jī)病毒的防治可分為：計(jì)算機(jī)病毒的檢測(cè)計(jì)算機(jī)病毒的清除計(jì)算機(jī)病毒的預(yù)防病毒檢測(cè)技術(shù)?檢測(cè)計(jì)算機(jī)病毒方法有:外觀檢測(cè)法比較法特征代碼法行為監(jiān)測(cè)法(實(shí)時(shí)監(jiān)控法)校驗(yàn)和法感染實(shí)驗(yàn)法病毒分析法這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開銷不同，檢測(cè)范圍也不同，各有所長(zhǎng)。外觀檢測(cè)法計(jì)算機(jī)病毒侵入計(jì)算機(jī)系統(tǒng)后，通常會(huì)使計(jì)算機(jī)系統(tǒng)的某些部分發(fā)生變化，進(jìn)而引發(fā)一些異?，F(xiàn)象，如屏幕顯示異常、聲音異常、文件系統(tǒng)異常、系統(tǒng)運(yùn)行速度的異常、打印機(jī)并行端口的異常和通信串行口的異常等。這些異常雖然不能準(zhǔn)確地判斷系統(tǒng)感染了何種計(jì)算機(jī)病毒，但是可以根據(jù)這些異?，F(xiàn)象來判斷計(jì)算機(jī)病毒的存在，盡早地發(fā)現(xiàn)計(jì)算機(jī)病毒，便于及時(shí)有效地進(jìn)行處理。外觀檢測(cè)法是?計(jì)算機(jī)病毒防治過程中起著重要輔助作用的一個(gè)環(huán)節(jié)，可通過其初步判斷計(jì)算機(jī)是否感染了計(jì)算機(jī)病毒。

比較法進(jìn)行原始的或者正常的預(yù)備檢驗(yàn)對(duì)象的特征比較由于病毒的感染會(huì)引起文件長(zhǎng)度和內(nèi)容、內(nèi)存以及中斷向量的變化，從這些特征的比較中可以發(fā)現(xiàn)異常，從而判斷病毒的有無。優(yōu)點(diǎn)：簡(jiǎn)單，方便，不用專用的軟件。缺點(diǎn)：無法確認(rèn)計(jì)算機(jī)病毒的種類和名稱。特征代碼法計(jì)算機(jī)病毒程序通常具有明顯的特征代碼，特征代碼可能是計(jì)算機(jī)病毒的感染標(biāo)記(由字母或數(shù)字組成串)

“快樂的星期天”計(jì)算機(jī)病毒代碼中含有“TodayisSunday”，“1434”

計(jì)算機(jī)病毒代碼中含有“Itismybirthday”在被計(jì)算機(jī)病毒感染的文件或計(jì)算機(jī)中，總能找到這些特征代碼。將這些己知計(jì)算機(jī)病毒的特征代碼串收集起來就構(gòu)成了計(jì)算機(jī)病毒特征代碼數(shù)據(jù)庫，這樣，我們就可以通過搜索、比較計(jì)算機(jī)系統(tǒng)(可能是文件、磁盤、內(nèi)存等)中是否含有與特征代碼數(shù)據(jù)庫中特征代碼匹配的特征代碼，來確定被檢計(jì)算機(jī)系統(tǒng)是否感染了計(jì)算機(jī)病毒，并確定感染了何種計(jì)算機(jī)病毒。特征代碼法實(shí)現(xiàn)步驟特征代碼法被廣泛應(yīng)用于很多著名計(jì)算機(jī)病毒檢測(cè)工具中，是目前被公認(rèn)為是檢測(cè)己知計(jì)算機(jī)病毒的最簡(jiǎn)單、開銷最小的方法。特征代碼法的實(shí)現(xiàn)步驟如下:

(1)采集己知計(jì)算機(jī)病毒樣本。(2)在計(jì)算機(jī)病毒樣本中，抽取計(jì)算機(jī)病毒特征代碼。(3)將特征代碼納入計(jì)算機(jī)病毒數(shù)據(jù)庫。(4)檢測(cè)文件。打開被檢測(cè)文件，在文件中搜索，根據(jù)數(shù)據(jù)庫中的計(jì)算機(jī)病毒特征代碼，檢查文件中是否含有這些特征代碼，如果發(fā)現(xiàn)計(jì)算機(jī)病毒特征代碼，由特征代碼與計(jì)算機(jī)病毒一一對(duì)應(yīng)，便可以斷定，被查文件所感染的是何種計(jì)算機(jī)病毒。特征代碼法優(yōu)缺點(diǎn)特征代碼法的優(yōu)點(diǎn)如下:(1)檢測(cè)準(zhǔn)確，快速;(2)可識(shí)別計(jì)算機(jī)病毒的具體類型:(3)誤報(bào)率低:(4)依據(jù)檢測(cè)結(jié)果，針對(duì)具體計(jì)算機(jī)病毒類型，可做殺毒處理。特征代碼法優(yōu)缺點(diǎn)(1)由于相對(duì)于新計(jì)算機(jī)病毒的出現(xiàn)，發(fā)現(xiàn)特征代碼的時(shí)間滯后，使得新計(jì)算機(jī)病毒就有可乘之機(jī)。(2)搜集己知計(jì)算機(jī)病毒的特征代碼，研發(fā)開銷大。(3)在網(wǎng)絡(luò)上效率低，因?yàn)樵诰W(wǎng)絡(luò)服務(wù)器上，長(zhǎng)時(shí)間搜索會(huì)使整個(gè)網(wǎng)絡(luò)性能變壞。(4)不易識(shí)別變形計(jì)算機(jī)病毒。行為監(jiān)測(cè)法(實(shí)時(shí)監(jiān)控法)實(shí)時(shí)監(jiān)控反計(jì)算機(jī)病毒技術(shù)一向?yàn)榉从?jì)算機(jī)病毒界所看好，被認(rèn)為是比較徹底的反計(jì)算機(jī)病毒的解決方案。通過對(duì)計(jì)算機(jī)病毒多年的觀察研究，人們發(fā)現(xiàn)計(jì)算機(jī)病毒有一些行為是計(jì)算機(jī)病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當(dāng)程序運(yùn)行時(shí)，我們可以監(jiān)視其行為，一旦出現(xiàn)了這些計(jì)算機(jī)病毒行為，立即報(bào)警。監(jiān)測(cè)病毒的行為特征(1)占用INT13H。所有的引導(dǎo)型計(jì)算機(jī)病毒都攻擊BOOT扇區(qū)或主引導(dǎo)扇區(qū)。系統(tǒng)啟動(dòng)時(shí)，當(dāng)BOOT扇區(qū)或主引導(dǎo)扇區(qū)獲得執(zhí)行權(quán)時(shí)，系統(tǒng)就開始工作。一般引導(dǎo)型計(jì)算機(jī)病毒都會(huì)占用INT13H功能，在其中放置計(jì)算機(jī)病毒所需的代碼。(2)修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量。計(jì)算機(jī)病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，通常必須修改內(nèi)存總量。我們平時(shí)把硬盤分成C、D、E等分區(qū)使用，我們用分區(qū)表去定義他們的參數(shù)：分區(qū)類型、分區(qū)起始扇區(qū)、分區(qū)大小等，這樣分區(qū)表就完成了它的工作。要使硬盤能夠正常使用，我們除了建立分區(qū)表以外，還有一項(xiàng)重要的工作要做，那就是格式化硬盤。分了區(qū)，如果沒有格式化，該分區(qū)還是不能正常使用。硬盤格式化完成以后，有一些非常重要的參數(shù)生成并保存在該分區(qū)的起始扇區(qū)，這個(gè)扇區(qū)我們把它叫做該分區(qū)的BOOT扇區(qū)。每一個(gè)格式化成FAT或者NTFS格式的分區(qū)都在分區(qū)的起始位置保存一個(gè)BOOT扇區(qū)。(3)對(duì).COM和.EXE文件做寫入動(dòng)作。計(jì)算機(jī)病毒要感染，必須要篡改.COM和.EXE文件。(4)計(jì)算機(jī)病毒程序與宿主程序的綁定和切換。染毒程序運(yùn)行時(shí)，先運(yùn)行計(jì)算機(jī)病毒，而后執(zhí)行宿主程序。在兩者切換時(shí)，也有許多特征行為。(5)格式化磁盤或某些磁道等破壞行為。(6)掃描、試探特定網(wǎng)絡(luò)端口。(7)發(fā)送網(wǎng)絡(luò)廣播。(8)修改文件、文件夾屬性，添加共享等。病毒防火墻實(shí)時(shí)監(jiān)控法具有前導(dǎo)性，監(jiān)控訪問系統(tǒng)資源的一切操作，任何程序在調(diào)用之前都要被檢查一遍。一旦發(fā)現(xiàn)可疑行為就報(bào)警，并自動(dòng)清除計(jì)算機(jī)病毒代碼，將計(jì)算機(jī)病毒拒之門外，做到防患于未然。Internet己經(jīng)成為計(jì)算機(jī)病毒傳播的主要途徑，實(shí)時(shí)性是當(dāng)前反計(jì)算機(jī)病毒陣營(yíng)的迫切需要，計(jì)算機(jī)病毒防火墻的概念正是基于實(shí)時(shí)反計(jì)算機(jī)病毒技術(shù)之上提出來的，其宗旨就是對(duì)系統(tǒng)實(shí)施實(shí)時(shí)監(jiān)控，對(duì)流入、流出系統(tǒng)的數(shù)據(jù)中可能含有的計(jì)算機(jī)病毒代碼進(jìn)行過濾。病毒防火墻的優(yōu)越性①它對(duì)計(jì)算機(jī)病毒的過濾有著良好的實(shí)時(shí)性，也就是說計(jì)算機(jī)病毒一旦入侵系統(tǒng)或從系統(tǒng)向其他資源感染時(shí)，它就會(huì)自動(dòng)檢測(cè)到并加以清除，這就最大可能地避免了計(jì)算機(jī)病毒對(duì)資源的破壞。②計(jì)算機(jī)病毒防火墻能有效地阻止計(jì)算機(jī)病毒從網(wǎng)絡(luò)向本地計(jì)算機(jī)系統(tǒng)的入侵，而這一點(diǎn)恰恰是傳統(tǒng)殺毒工具難以實(shí)現(xiàn)的，因?yàn)樗鼈冺敹嗄莒o態(tài)清除網(wǎng)絡(luò)驅(qū)動(dòng)器上己被感染文件中的計(jì)算機(jī)病毒，對(duì)計(jì)算機(jī)病毒在網(wǎng)絡(luò)上的實(shí)時(shí)傳播卻無能為力，而"實(shí)時(shí)過濾性"技術(shù)就使殺除網(wǎng)絡(luò)計(jì)算機(jī)病毒成了計(jì)算機(jī)病毒防火墻的"拿手好戲"。③計(jì)算機(jī)病毒防火墻的“雙向過濾”功能保證了本地系統(tǒng)不會(huì)向遠(yuǎn)程(網(wǎng)絡(luò))資源傳播機(jī)算機(jī)病毒。這一優(yōu)點(diǎn)在使用電子郵件時(shí)體現(xiàn)得最為明顯，因?yàn)樗茉谟脩舭l(fā)出郵件前自動(dòng)將其中可能含有的計(jì)算機(jī)病毒全都過濾掉，確保不會(huì)對(duì)他人造成無意的損害。④計(jì)算機(jī)病毒防火墻還具有操作更簡(jiǎn)便、更透明的優(yōu)點(diǎn)。有了它自動(dòng)、實(shí)時(shí)的保護(hù)，就無需不時(shí)停下正常工作而去費(fèi)時(shí)費(fèi)力地查毒、殺毒了。校驗(yàn)和法計(jì)算出正常文件的程序代碼的校驗(yàn)和，并保存起來，可供被校驗(yàn)對(duì)象對(duì)照比較，以判斷是否感染了病毒。優(yōu)點(diǎn)：可偵測(cè)到各式計(jì)算機(jī)病毒，包括未知病毒。缺點(diǎn)：誤判率高，無法確認(rèn)計(jì)算機(jī)病毒的種類。感染實(shí)驗(yàn)法感染實(shí)驗(yàn)法是一種簡(jiǎn)單實(shí)用的檢測(cè)計(jì)算機(jī)病毒方法。由于計(jì)算機(jī)病毒檢測(cè)工具落后于計(jì)算機(jī)病毒的發(fā)展，當(dāng)計(jì)算機(jī)病毒檢測(cè)工具不能發(fā)現(xiàn)計(jì)算機(jī)病毒時(shí)，如果不會(huì)用感染實(shí)驗(yàn)法，便束手無策。如果會(huì)用感染實(shí)驗(yàn)法，就可以檢測(cè)出計(jì)算機(jī)病毒檢測(cè)工具不認(rèn)識(shí)的新計(jì)算機(jī)病毒，可以擺脫對(duì)計(jì)算機(jī)病毒檢測(cè)工具的依賴，自主地檢測(cè)可疑新計(jì)算機(jī)病毒。利用了計(jì)算機(jī)病毒最重要的基本特征--感染特性。所有的計(jì)算機(jī)病毒都會(huì)進(jìn)行感染，如果不會(huì)感染，就不稱其為計(jì)算機(jī)病毒。如果系統(tǒng)中有異常行為，最新版的檢測(cè)工具也查不出計(jì)算機(jī)病毒時(shí)，就可以做感染實(shí)驗(yàn)。運(yùn)行可疑系統(tǒng)中的程序后，再運(yùn)行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長(zhǎng)度及校驗(yàn)和，如果發(fā)現(xiàn)有的程序增長(zhǎng)，或者校驗(yàn)和發(fā)生變化，就可斷言系統(tǒng)中有計(jì)算機(jī)病毒。病毒分析法一般使用病毒分析法的人不是普通用戶，而是反計(jì)算機(jī)病毒技術(shù)人員。使用病毒分析法目的如下：(1)確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有計(jì)算機(jī)病毒。(2)確認(rèn)計(jì)算機(jī)病毒的類型和種類，判定其是否是一種新計(jì)算機(jī)病毒。(3)搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字符串或特征字，用于增添到計(jì)算機(jī)病毒代碼庫以供計(jì)算機(jī)病毒掃描和識(shí)別程序用。(4)詳細(xì)分析計(jì)算機(jī)病毒代碼，為制定相應(yīng)的反計(jì)算機(jī)病毒措施制定方案。計(jì)算機(jī)病毒清除病毒的清除：將病毒文件的病毒代碼摘除，使之恢復(fù)為可正常執(zhí)行的健全文件。病毒的清除可用專用的殺毒軟件，或者手動(dòng)清除。計(jì)算機(jī)病毒的手動(dòng)清除：1.在進(jìn)程表中手動(dòng)清除察看系統(tǒng)進(jìn)程表，將非正常進(jìn)程清除。進(jìn)程的概念：進(jìn)程是指在系統(tǒng)中正在運(yùn)行的一個(gè)應(yīng)用程序，即活動(dòng)的程序。進(jìn)程分為系統(tǒng)進(jìn)程和應(yīng)用程序進(jìn)程。系統(tǒng)進(jìn)程就是正在運(yùn)行的系統(tǒng)程序應(yīng)用程序進(jìn)程就是正在運(yùn)行的應(yīng)用程序2.在注冊(cè)表中清除如果發(fā)現(xiàn)計(jì)算機(jī)有不名的進(jìn)程和異常情況請(qǐng)?jiān)谧?cè)表內(nèi)下列地方進(jìn)行核實(shí)找住可疑的程序進(jìn)行刪除。一般情況下