第8章病毒防范技術(shù)

病毒防范技術(shù)2023/2/12病毒演示—彩帶病毒病毒演示—千年老妖病毒演示—圣誕節(jié)病毒病毒演示—白雪公主2023/2/13紅色代碼1()

章節(jié)目錄(一)計算機(jī)病毒概念1.計算機(jī)病毒定義2.計算機(jī)病毒產(chǎn)生和發(fā)展(二)計算機(jī)病毒原理(三)反病毒技術(shù)計算機(jī)病毒定義定義：計算機(jī)病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）1994年2月18日，國家正式頒布實施了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，在第二十八條中明確指出：計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)影響計算機(jī)使用并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。（國內(nèi)）病毒產(chǎn)生背景計算機(jī)病毒的產(chǎn)生是計算機(jī)技術(shù)和以計算機(jī)為核心的社會信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：計算機(jī)病毒是計算機(jī)犯罪的一種新的衍化形式計算機(jī)病毒是高技術(shù)犯罪,具有瞬時性、動態(tài)性和隨機(jī)性。不易取證,風(fēng)險小破壞大,從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復(fù)心態(tài)在計算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。計算機(jī)軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié),易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機(jī)軟件設(shè)計的手工方式,效率低下且生產(chǎn)周期長；對使用程序的錯誤和缺陷沒有預(yù)知性微機(jī)的普及應(yīng)用是計算機(jī)病毒產(chǎn)生的必要環(huán)境病毒的來源搞計算機(jī)的人員和業(yè)余愛好者的惡作劇、尋開心制造出的病毒,例如象圓點一類的良性病毒。軟件公司及用戶為保護(hù)自己的軟件被非法復(fù)制而采取的報復(fù)性懲罰措施。旨在攻擊和摧毀計算機(jī)信息系統(tǒng)和計算機(jī)系統(tǒng)而制造的病毒----就是蓄意進(jìn)行破壞。用于研究或有益目的而設(shè)計的程序,由于某種原因失去控制或產(chǎn)生了意想不到的效果。病毒發(fā)展簡歷電腦病毒的概念其實起源相當(dāng)早，在第一部商用電腦出現(xiàn)之前好幾年，電腦的先驅(qū)者馮·諾伊曼（JohnVonNeumann）在他的一篇論文《復(fù)雜自動裝置的理論及組識的進(jìn)行》里，已經(jīng)勾勒出病毒程序的藍(lán)圖。1977年夏天，托馬斯·捷·瑞安（Thomas.J.Ryan）的科幻小說《P-1的春天》（TheAdolescenceofP-1）成為美國的暢銷書，作者在這本書中描寫了一種可以在計算機(jī)中互相傳染的病毒，病毒最后控制了7,000臺計算機(jī)，造成了一場災(zāi)難。第一個病毒誕生：1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序(該程序能夠?qū)е耈NIX系統(tǒng)死機(jī)），倫·艾德勒曼(LenAdleman)將它命名為計算機(jī)病毒(computerviruses)，并在每周一次的計算機(jī)安全討論會上正式提出。“巴基斯坦”病毒：1986年初，在巴基斯坦的拉合爾(Lahore)，巴錫特(Basit)和阿姆杰德(Amjad)兩兄弟經(jīng)營著一家IBM-PC機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan病毒，即Brain。在一年內(nèi)流傳到了世界各地。

世界上公認(rèn)的第一個在個人電腦上廣泛流行的病毒通過軟盤傳播。“蠕蟲－莫里斯”：1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。2001年7月19日針對IIS服務(wù)的.ida漏洞產(chǎn)生的CodeRed沖擊波：年僅18歲的高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。章節(jié)目錄(一)計算機(jī)病毒概念(二)計算機(jī)病毒原理1.計算機(jī)病毒特征2.計算機(jī)病毒的分類3.計算機(jī)病毒的傳播途徑4.病毒的表現(xiàn)形式5.計算機(jī)病毒的工作機(jī)制(三)反病毒技術(shù)計算機(jī)病毒特征1.破壞性：(體系設(shè)計者的意圖）無論何種病毒一旦進(jìn)入系統(tǒng)對OS的運行就會造成不同程度的影響，小到占用資源大到刪除數(shù)據(jù)和使系統(tǒng)崩潰，使之無法恢復(fù)，造成補課挽回的損失。2.傳染性:(最重要的特征）計算機(jī)病毒也會通過各種媒體從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)。病毒一旦進(jìn)入計算機(jī)并得以執(zhí)行，就會尋找符合感染條件的目標(biāo)，將其感染，達(dá)到自我繁殖的目的。所謂感染，就是病毒將自身潛入到合法程序的指令序列中，致使執(zhí)行合法程序的操作，會引發(fā)病毒程序的執(zhí)行，或以病毒程序的執(zhí)行取代正常程序的執(zhí)行。只要一臺計算機(jī)染上病毒，如不及時處理，那么病毒會在這臺機(jī)子上迅速擴(kuò)散，其中的大量文件（一般是可執(zhí)行文件）就會被感染。而被感染的文件又成了新的傳染源，在與其他機(jī)子進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會繼續(xù)傳染。3.隱蔽性:病毒是一種具有很高編程技巧，短小精悍的可執(zhí)行程序，他通常粘附在正常程序或磁盤引導(dǎo)扇區(qū)中，以及一些空閑概率比較大的扇區(qū)中，目的就是不讓用戶發(fā)現(xiàn)。計算機(jī)病毒不經(jīng)過程序代碼分析或計算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。4.潛伏性：計算機(jī)病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。大部分病毒感染系統(tǒng)以后，一般不會馬上發(fā)作，他可長期的隱藏，只有條件滿足才會啟動。因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。

5.可觸發(fā)性：病毒的可觸發(fā)性是指當(dāng)病毒觸發(fā)條件滿足時，病毒才在感染了的計算機(jī)上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。有的是在屏幕上顯示信息圖形或特殊標(biāo)識有的則執(zhí)行破壞系統(tǒng)的操作,如格式化磁盤、刪除文件、加密數(shù)據(jù)、封鎖鍵盤、毀壞系統(tǒng)等。6.不可預(yù)見性：從對病毒的檢測來看，病毒具有不可預(yù)見性。病毒永遠(yuǎn)超前于反病毒軟件。網(wǎng)絡(luò)時期病毒的特點:在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有上述共性外，還有一些新特點：破壞性強(qiáng)傳播速度快觸發(fā)條件多殺毒難度大擴(kuò)散面廣傳播形式復(fù)雜多樣，針對性強(qiáng)計算機(jī)病毒的分類1.按破壞性形式分類

分類

表現(xiàn)及影響良性病毒只是顯示信息、湊樂、發(fā)出聲響、自我復(fù)制。除了減少磁盤空間外，對系統(tǒng)沒有其他影響惡性病毒封鎖、干擾、中斷輸入輸出、使用戶無法打印，甚至終止計算機(jī)的運行，使系統(tǒng)造成嚴(yán)重的錯誤（Azsua、Typo—COM）極惡性病毒刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置，導(dǎo)致死機(jī)、崩潰等災(zāi)難性病毒破壞分區(qū)信息。主引導(dǎo)區(qū)信息、FAT，刪除數(shù)據(jù)文件，甚至格式硬盤2.按連接方式分類源碼型病毒：較少見，也難以編寫。因為他要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯。連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強(qiáng)，一般難以發(fā)現(xiàn)，清除也較困難。操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。由于其直接感染操作系統(tǒng)，這類病毒的危害性也較大。（小球，大麻）外殼型病毒：將自身依附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個外殼。大部分文件型病毒屬于此類3．按病毒特有的算法分類伴隨型病毒：這類病毒不改變文件本身，他根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同擴(kuò)展名（COM）。蠕蟲型病毒：通過計算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。他們在系統(tǒng)中存在，一般除了占用內(nèi)存以外不會占用其他資源。寄生型病毒：除了伴隨和蠕蟲，其他的都可以成為寄生型病毒，他們依附在系統(tǒng)的引導(dǎo)區(qū)或文件，通過系統(tǒng)的功能進(jìn)行傳播練習(xí)型病毒：病毒自身包含錯誤，不能進(jìn)行很好的傳播，例如一些病毒處于調(diào)試階段變形病毒：這病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容與長度。4、按寄生方式分類引導(dǎo)型病毒即磁盤引導(dǎo)型、引導(dǎo)扇區(qū)型、磁盤啟動型、系統(tǒng)型病毒等定義：把自己的病毒程序放在軟磁盤的引導(dǎo)區(qū)以及硬盤的主引導(dǎo)記錄區(qū)或引導(dǎo)扇區(qū)，當(dāng)作正常的引導(dǎo)程序，而將真正的引導(dǎo)程序搬到其他位置。破壞：改寫主引導(dǎo)記錄區(qū)、引導(dǎo)區(qū)、文件分配表、文件目錄區(qū)、中斷向量表等文件型病毒定義：指對所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒感染文件：可執(zhí)行文件（.bat、.exe、.com、.dll.）、高級語言編寫的源代碼、編譯過程中生成的中間文件?；旌闲筒《荆ㄓ址Q綜合型、復(fù)合型病毒）即有引導(dǎo)型病毒的特點，也有文件型病毒的特點。（a）引導(dǎo)型病毒（b）文件型病毒圖：病毒的傳播、破壞過程一個引導(dǎo)病毒傳染的實例假定用硬盤啟動，且該硬盤已染上了小球病毒，那么加電自檢以后，小球病毒的引導(dǎo)模塊就把全部病毒代碼1024字節(jié)保護(hù)到了內(nèi)存的最高段，即97C0：7C00處；然后修改INT13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過INT13H的作用，計算機(jī)病毒的傳染塊便率先取得控制權(quán)，它就進(jìn)行如下操作：讀入目標(biāo)磁盤的自舉扇區(qū)（BOOT扇區(qū)）。判斷是否滿足傳染條件。如果滿足傳染條件（即目標(biāo)盤BOOT區(qū)的01FCH偏移位置為5713H標(biāo)志），則將病毒代碼的前512字節(jié)寫入BOOT引導(dǎo)程序，將其后512字節(jié)寫入該簇，隨后將該簇標(biāo)以壞簇標(biāo)志，以保護(hù)該簇不被重寫。跳轉(zhuǎn)到原INT13H的入口執(zhí)行正常的磁盤系統(tǒng)操作。小球病毒：發(fā)作條件是當(dāng)系統(tǒng)時鐘處于半點或整點，而系統(tǒng)又在進(jìn)行讀盤操作。發(fā)作時屏幕出現(xiàn)一個活蹦亂跳的小圓點，作斜線運動，當(dāng)碰到屏幕邊沿或者文字就立刻反彈，碰到的文字，英文會被整個削去，中文會削去半個或整個削去，也可能留下制表符亂碼。其規(guī)律是，ASCII碼字符后3位為3(011)的，發(fā)生行反射；后3位為5(101)的，發(fā)生列反射，其它字符不改變小球運動方向。小球病毒后期經(jīng)過一些好事者的改造，后期的變種運動的規(guī)律開始逐漸復(fù)雜化。一個文件病毒傳染的實例假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運行該文件后，耶路撒冷病毒的引導(dǎo)模塊會修改INT21H的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內(nèi)存，此后退回操作系統(tǒng)。以后再有任何加載執(zhí)行文件的操作，病毒的傳染模塊將通過INT21H的調(diào)用率先獲得控制權(quán)，并進(jìn)行以下操作：讀出該文件特定部分。判斷是否傳染。如果滿足條件，則用某種方式將病毒代碼與該可執(zhí)行文件鏈接，再將鏈接后的文件重新寫入磁盤。轉(zhuǎn)回原INT21H入口，對該執(zhí)行文件進(jìn)行正常加載。宏病毒宏病毒的傳播一般來說，一個宏病毒傳播發(fā)生在被感染的宏指令覆蓋、改寫及增加全局宏指令表中的宏,由此進(jìn)一步感染隨后打開和存貯的所有Doc文檔。當(dāng)Word打開一個.doc文件時，先檢查里面有沒有模板/宏代碼,如果有的話就認(rèn)為這不是普通的doc文件，而是一個模版文件,并執(zhí)行里面的auto類的宏(如果有的話)。一般染毒后的.doc被打開后，通過Auto宏或菜單、快捷鍵來激活，隨后感染諸如Normal.dot或powerup.dot等全局模板文件得到系統(tǒng)"永久"控制權(quán)。奪權(quán)后，當(dāng)系統(tǒng)有文檔存儲動作時，病毒就把自身復(fù)制入此文檔并儲存成一個后綴為.doc的模板文件；另外，當(dāng)一定條件滿足時，病毒就會干些小小的或者大大的破壞活動。

宏病毒特點傳播極快可通過網(wǎng)絡(luò)、mail等傳播制作、變種方便宏病毒則是以人們?nèi)菀组喿x的源代碼宏語言WordBasic形式出現(xiàn)，所以編寫和修改宏病毒比以往病毒更容易。破壞可能性極大多平臺交叉感染現(xiàn)代計算機(jī)病毒木馬程序它不會自我繁殖，也不刻意的去感染其他文件。它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者打開電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。危害：偷竊個人賬戶、密碼信息；遠(yuǎn)程控制；組建僵尸網(wǎng)絡(luò)。目前流行的病毒絕大部分是木馬程序?，F(xiàn)代計算機(jī)病毒蠕蟲蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等。同時也有自己的一些特征，如不利用文件寄生，有的只存在與內(nèi)存中，對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等?，F(xiàn)代計算機(jī)病毒僵尸網(wǎng)絡(luò)（Botnet)采用一種或多種傳播手段，將大量主機(jī)感染僵尸程序，從而在控制者和被感染主機(jī)之間形成一個可一對多的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序，感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。計算機(jī)病毒的傳播途徑1）通過不可移動的設(shè)備進(jìn)行傳播較少見，但破壞力很強(qiáng)。2）通過移動存儲設(shè)備進(jìn)行傳播最廣泛的傳播途徑3）通過網(wǎng)絡(luò)進(jìn)行傳播反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通道傳播預(yù)計將來會成為兩大傳播渠道2023/2/129病毒的表現(xiàn)形式病毒通過多種途徑感染計算機(jī)，那么我們怎么看出已中毒？1）平時運行正常的計算機(jī)突然經(jīng)常性無故死機(jī)?？赡懿《拘薷牧酥袛嗵幚沓绦虻取?）操作系統(tǒng)無法正常啟動。關(guān)機(jī)后重啟，操作系統(tǒng)報告缺少必要的啟動文件或文件破壞，系統(tǒng)無法啟動?？赡懿《靖腥鞠到y(tǒng)文件使文件結(jié)構(gòu)發(fā)生變化。3）運行速度明顯變慢。4）以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤，或使用程序中的某個功能時報說內(nèi)存不足。可能病毒占用了內(nèi)存。5）打印和通信發(fā)生錯誤。打印出來的是亂碼，調(diào)制解調(diào)器不能撥號?？赡苁遣《抉v留內(nèi)存占用打印端口、串行通信端口的中斷服務(wù)程序。6）無意中要求對軟盤進(jìn)行讀寫操作。如操作系統(tǒng)提示軟驅(qū)中沒有插軟盤等。7）系統(tǒng)文件的時間、日期、大小發(fā)生變化。這是最明顯計算機(jī)病毒跡象。8）運行Word，打開Word文檔后，該文檔另存為時只能以模板方式保存。無法存為另一DOC文檔。中了宏病毒的緣故。9）磁盤空間迅速減少。10）陌生人發(fā)來的電子郵件。尤其是那些很具有誘惑力的，如笑話或情書等，又帶有附件的郵件。11）自動鏈接到一些陌生的網(wǎng)站。計算機(jī)沒有上網(wǎng)，但他自己撥號并連接到一個陌生的站點，有可能被遠(yuǎn)程控制了。12）提示一些不相干的話。宏病毒，在滿足發(fā)作的條件就會彈出對話框顯示某句話，并要求用戶確定。13）發(fā)出一段美妙的音樂。“楊基”和“瀏陽河”。14）產(chǎn)生特定的圖像?！靶∏颉?5）進(jìn)行游戲算法?！皞髌娌《尽?6）Windows桌面圖標(biāo)發(fā)生變化。17）自動發(fā)送電子郵件。在某一特定的時刻向同一個服務(wù)器發(fā)送無用的信件。18）鼠標(biāo)自己動。受到黑客的控制。病毒的工作機(jī)制?從本質(zhì)上來看，病毒程序可以執(zhí)行其他程序所能執(zhí)行的一切功能。與普通程序又不同的是病毒一般將自身附著在其他程序上。病毒程序所依附的其他程序稱為宿主程序。當(dāng)用戶運行宿主程序時，病毒程序被激活，并開始執(zhí)行。一旦病毒程序被執(zhí)行，它就能執(zhí)行一切意想不到的功能(如感染其他程序、刪除文件等)。分析病毒的工作機(jī)制，有助于掌握病毒的本質(zhì)，并積極做好病毒防治工作。計算機(jī)病毒的工作步驟分析從病毒程序的生命周期來看，它一般會經(jīng)歷4個階段:潛伏階段、傳染階段、觸發(fā)階段和發(fā)作階段。該過程如圖所示。

在潛伏階段，病毒程序處于休眠狀態(tài)，用戶根本感覺不到病毒的存在，但并非所有病毒均會經(jīng)歷潛伏階段。如果某些事件發(fā)生(如特定的日期、某個特定的程序被執(zhí)行等)，病毒就會被激活，并從而進(jìn)入傳染階段。處于傳染階段的病毒，將感染其他程序----將自身程序復(fù)制到其他程序或者磁盤的某個區(qū)域上。經(jīng)過傳染階段，病毒程序已經(jīng)具備運行的條件，一旦病毒被激活，則進(jìn)入觸發(fā)階段。在觸發(fā)階段，病毒執(zhí)行某種特定功能從而達(dá)到既定的目標(biāo)。病毒在觸發(fā)條件成熟時即可發(fā)作。處于發(fā)作階段的病毒將為了既定目的而運行(如破壞文件、感染其他程序等〉。病毒程序的功能模塊：為了實現(xiàn)病毒生命周期的轉(zhuǎn)換，病毒程序必須具有相應(yīng)的功能模塊。病毒程序的典型組成包括引導(dǎo)模塊、傳染模塊和表現(xiàn)模塊1.計算機(jī)病毒的引導(dǎo)模塊

主要實現(xiàn)將計算機(jī)病毒程序引入計算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動狀態(tài)。為了避免計算機(jī)病毒程序被清除(如殺毒程序的處理等)，引導(dǎo)模塊需要提供自保護(hù)功能，從而避免在內(nèi)存中的自身代碼不被覆蓋或清除。一旦引導(dǎo)模塊將計算機(jī)病毒程序引入內(nèi)存后，它還將為傳染模塊和表現(xiàn)模塊設(shè)置相應(yīng)的啟動條件，以便在適當(dāng)?shù)臅r候或者合適的條件下激活傳染模塊或者觸發(fā)表現(xiàn)模塊。

?2.計算機(jī)病毒的感染模塊

?計算機(jī)病毒的傳染模塊有兩個功能:依據(jù)引導(dǎo)模塊設(shè)置的傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件；如果傳染條件滿足，則啟動傳染功能，將計算機(jī)病毒程序附加到其他宿主程序上。相應(yīng)地，感染模塊分為感染條件判斷子模塊和傳染功能實現(xiàn)子模塊兩個部分。?3.計算機(jī)病毒的表現(xiàn)模塊

?與計算機(jī)病毒傳染模塊相似，其表現(xiàn)模塊功能也包括兩個部分根據(jù)引導(dǎo)模塊設(shè)置的觸發(fā)條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足所需要的觸發(fā)條件;一旦觸發(fā)條件滿足，則啟動計算機(jī)病毒程序，按照預(yù)定的計劃執(zhí)行(如刪除程序、盜取數(shù)據(jù)等)。因此，表現(xiàn)模塊包含兩個子模塊:表現(xiàn)條件判斷子模塊和表現(xiàn)功能實現(xiàn)子模塊。前者判斷激活條件是否滿足，則而后者則實現(xiàn)功能。需要說明的是，并非所有計算機(jī)病毒程序都需要上述3個模塊，如引導(dǎo)型計算機(jī)病毒沒有表現(xiàn)模塊，而某些文件型計算機(jī)病毒則沒有引導(dǎo)模塊。計算機(jī)病毒的觸發(fā)機(jī)制????????計算機(jī)病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個條件就是計算機(jī)病毒的觸發(fā)條件。過于苛刻的觸發(fā)條件，可能使計算機(jī)病毒有好的潛伏性，但不易傳播，只具低殺傷力；而過于寬松的觸發(fā)條件將導(dǎo)致計算機(jī)病毒頻繁感染與破壞，容易暴露，導(dǎo)致用戶做反計算機(jī)病毒處理，也不能有大的殺傷力。

實際上計算機(jī)病毒采用的觸發(fā)條件花樣繁多，而且還在不斷更新。1.日期觸發(fā)許多計算機(jī)病毒采用日期作為觸發(fā)條件。日期觸發(fā)大體包括特定日期觸發(fā)、月份觸發(fā)和前半年后半年觸發(fā)等。臭名昭著的“CIH”是4月26日發(fā)作。2.時間觸發(fā)：包括特定的時間觸發(fā)、染毒后累計工作時間觸發(fā)和文件最后寫入時間觸發(fā)等。

3.鍵盤觸發(fā)

有些計算機(jī)病毒監(jiān)視用戶的擊鍵動作，當(dāng)發(fā)現(xiàn)計算機(jī)病毒預(yù)定的鍵入時，計算機(jī)病毒被激活，進(jìn)行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)和熱啟動觸發(fā)等。

4.感染觸發(fā)

許多計算機(jī)病毒的感染需要某些條件觸發(fā)，而且相當(dāng)數(shù)量的計算機(jī)病毒又將與感染有關(guān)的信息反過來作為破壞行為的觸發(fā)條件，稱為感染觸發(fā)。它包括運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)和感染失敗觸發(fā)等。5.啟動觸發(fā)

計算機(jī)病毒對機(jī)器的啟動次數(shù)計數(shù)，并將此值作為觸發(fā)條件稱為啟動觸發(fā)。

6.訪問磁盤次數(shù)觸發(fā)

計算機(jī)病毒對磁盤的訪問的次數(shù)進(jìn)行計數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件稱為訪問磁盤次數(shù)觸發(fā)。?7.調(diào)用中斷功能觸發(fā)

計算機(jī)病毒對中斷調(diào)用次數(shù)計數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件稱為調(diào)用中斷功能觸發(fā)。

8.CPU型號/主板型號觸發(fā)

計算機(jī)病毒能識別運行環(huán)境的CPU型號/主板型號，以預(yù)定CPU型號/主板型號作為觸發(fā)條件，不過這種計算機(jī)病毒的觸發(fā)方式比較少見。章節(jié)目錄(一)計算機(jī)病毒概念(二)計算機(jī)病毒原理(三)反病毒技術(shù)1.病毒檢測技術(shù)2.計算機(jī)病毒清除3.計算機(jī)病毒預(yù)防病毒技術(shù)與反病毒技術(shù)存在著相互對立相互依存的關(guān)系，二者在彼此的較量中不斷發(fā)展?？偟膩碇v病毒技術(shù)落后于反病毒技術(shù)。計算機(jī)病毒的防治可分為：計算機(jī)病毒的檢測計算機(jī)病毒的清除計算機(jī)病毒的預(yù)防病毒檢測技術(shù)?檢測計算機(jī)病毒方法有:外觀檢測法比較法特征代碼法行為監(jiān)測法(實時監(jiān)控法)校驗和法感染實驗法病毒分析法這些方法依據(jù)的原理不同，實現(xiàn)時所需開銷不同，檢測范圍也不同，各有所長。外觀檢測法計算機(jī)病毒侵入計算機(jī)系統(tǒng)后，通常會使計算機(jī)系統(tǒng)的某些部分發(fā)生變化，進(jìn)而引發(fā)一些異?，F(xiàn)象，如屏幕顯示異常、聲音異常、文件系統(tǒng)異常、系統(tǒng)運行速度的異常、打印機(jī)并行端口的異常和通信串行口的異常等。這些異常雖然不能準(zhǔn)確地判斷系統(tǒng)感染了何種計算機(jī)病毒，但是可以根據(jù)這些異?，F(xiàn)象來判斷計算機(jī)病毒的存在，盡早地發(fā)現(xiàn)計算機(jī)病毒，便于及時有效地進(jìn)行處理。外觀檢測法是?計算機(jī)病毒防治過程中起著重要輔助作用的一個環(huán)節(jié)，可通過其初步判斷計算機(jī)是否感染了計算機(jī)病毒。

比較法進(jìn)行原始的或者正常的預(yù)備檢驗對象的特征比較由于病毒的感染會引起文件長度和內(nèi)容、內(nèi)存以及中斷向量的變化，從這些特征的比較中可以發(fā)現(xiàn)異常，從而判斷病毒的有無。優(yōu)點：簡單，方便，不用專用的軟件。缺點：無法確認(rèn)計算機(jī)病毒的種類和名稱。特征代碼法計算機(jī)病毒程序通常具有明顯的特征代碼，特征代碼可能是計算機(jī)病毒的感染標(biāo)記(由字母或數(shù)字組成串)

“快樂的星期天”計算機(jī)病毒代碼中含有“TodayisSunday”，“1434”

計算機(jī)病毒代碼中含有“Itismybirthday”在被計算機(jī)病毒感染的文件或計算機(jī)中，總能找到這些特征代碼。將這些己知計算機(jī)病毒的特征代碼串收集起來就構(gòu)成了計算機(jī)病毒特征代碼數(shù)據(jù)庫，這樣，我們就可以通過搜索、比較計算機(jī)系統(tǒng)(可能是文件、磁盤、內(nèi)存等)中是否含有與特征代碼數(shù)據(jù)庫中特征代碼匹配的特征代碼，來確定被檢計算機(jī)系統(tǒng)是否感染了計算機(jī)病毒，并確定感染了何種計算機(jī)病毒。特征代碼法實現(xiàn)步驟特征代碼法被廣泛應(yīng)用于很多著名計算機(jī)病毒檢測工具中，是目前被公認(rèn)為是檢測己知計算機(jī)病毒的最簡單、開銷最小的方法。特征代碼法的實現(xiàn)步驟如下:

(1)采集己知計算機(jī)病毒樣本。(2)在計算機(jī)病毒樣本中，抽取計算機(jī)病毒特征代碼。(3)將特征代碼納入計算機(jī)病毒數(shù)據(jù)庫。(4)檢測文件。打開被檢測文件，在文件中搜索，根據(jù)數(shù)據(jù)庫中的計算機(jī)病毒特征代碼，檢查文件中是否含有這些特征代碼，如果發(fā)現(xiàn)計算機(jī)病毒特征代碼，由特征代碼與計算機(jī)病毒一一對應(yīng)，便可以斷定，被查文件所感染的是何種計算機(jī)病毒。特征代碼法優(yōu)缺點特征代碼法的優(yōu)點如下:(1)檢測準(zhǔn)確，快速;(2)可識別計算機(jī)病毒的具體類型:(3)誤報率低:(4)依據(jù)檢測結(jié)果，針對具體計算機(jī)病毒類型，可做殺毒處理。特征代碼法優(yōu)缺點(1)由于相對于新計算機(jī)病毒的出現(xiàn)，發(fā)現(xiàn)特征代碼的時間滯后，使得新計算機(jī)病毒就有可乘之機(jī)。(2)搜集己知計算機(jī)病毒的特征代碼，研發(fā)開銷大。(3)在網(wǎng)絡(luò)上效率低，因為在網(wǎng)絡(luò)服務(wù)器上，長時間搜索會使整個網(wǎng)絡(luò)性能變壞。(4)不易識別變形計算機(jī)病毒。行為監(jiān)測法(實時監(jiān)控法)實時監(jiān)控反計算機(jī)病毒技術(shù)一向為反計算機(jī)病毒界所看好，被認(rèn)為是比較徹底的反計算機(jī)病毒的解決方案。通過對計算機(jī)病毒多年的觀察研究，人們發(fā)現(xiàn)計算機(jī)病毒有一些行為是計算機(jī)病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當(dāng)程序運行時，我們可以監(jiān)視其行為，一旦出現(xiàn)了這些計算機(jī)病毒行為，立即報警。監(jiān)測病毒的行為特征(1)占用INT13H。所有的引導(dǎo)型計算機(jī)病毒都攻擊BOOT扇區(qū)或主引導(dǎo)扇區(qū)。系統(tǒng)啟動時，當(dāng)BOOT扇區(qū)或主引導(dǎo)扇區(qū)獲得執(zhí)行權(quán)時，系統(tǒng)就開始工作。一般引導(dǎo)型計算機(jī)病毒都會占用INT13H功能，在其中放置計算機(jī)病毒所需的代碼。(2)修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量。計算機(jī)病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，通常必須修改內(nèi)存總量。我們平時把硬盤分成C、D、E等分區(qū)使用，我們用分區(qū)表去定義他們的參數(shù)：分區(qū)類型、分區(qū)起始扇區(qū)、分區(qū)大小等，這樣分區(qū)表就完成了它的工作。要使硬盤能夠正常使用，我們除了建立分區(qū)表以外，還有一項重要的工作要做，那就是格式化硬盤。分了區(qū)，如果沒有格式化，該分區(qū)還是不能正常使用。硬盤格式化完成以后，有一些非常重要的參數(shù)生成并保存在該分區(qū)的起始扇區(qū)，這個扇區(qū)我們把它叫做該分區(qū)的BOOT扇區(qū)。每一個格式化成FAT或者NTFS格式的分區(qū)都在分區(qū)的起始位置保存一個BOOT扇區(qū)。(3)對.COM和.EXE文件做寫入動作。計算機(jī)病毒要感染，必須要篡改.COM和.EXE文件。(4)計算機(jī)病毒程序與宿主程序的綁定和切換。染毒程序運行時，先運行計算機(jī)病毒，而后執(zhí)行宿主程序。在兩者切換時，也有許多特征行為。(5)格式化磁盤或某些磁道等破壞行為。(6)掃描、試探特定網(wǎng)絡(luò)端口。(7)發(fā)送網(wǎng)絡(luò)廣播。(8)修改文件、文件夾屬性，添加共享等。病毒防火墻實時監(jiān)控法具有前導(dǎo)性，監(jiān)控訪問系統(tǒng)資源的一切操作，任何程序在調(diào)用之前都要被檢查一遍。一旦發(fā)現(xiàn)可疑行為就報警，并自動清除計算機(jī)病毒代碼，將計算機(jī)病毒拒之門外，做到防患于未然。Internet己經(jīng)成為計算機(jī)病毒傳播的主要途徑，實時性是當(dāng)前反計算機(jī)病毒陣營的迫切需要，計算機(jī)病毒防火墻的概念正是基于實時反計算機(jī)病毒技術(shù)之上提出來的，其宗旨就是對系統(tǒng)實施實時監(jiān)控，對流入、流出系統(tǒng)的數(shù)據(jù)中可能含有的計算機(jī)病毒代碼進(jìn)行過濾。病毒防火墻的優(yōu)越性①它對計算機(jī)病毒的過濾有著良好的實時性，也就是說計算機(jī)病毒一旦入侵系統(tǒng)或從系統(tǒng)向其他資源感染時，它就會自動檢測到并加以清除，這就最大可能地避免了計算機(jī)病毒對資源的破壞。②計算機(jī)病毒防火墻能有效地阻止計算機(jī)病毒從網(wǎng)絡(luò)向本地計算機(jī)系統(tǒng)的入侵，而這一點恰恰是傳統(tǒng)殺毒工具難以實現(xiàn)的，因為它們頂多能靜態(tài)清除網(wǎng)絡(luò)驅(qū)動器上己被感染文件中的計算機(jī)病毒，對計算機(jī)病毒在網(wǎng)絡(luò)上的實時傳播卻無能為力，而"實時過濾性"技術(shù)就使殺除網(wǎng)絡(luò)計算機(jī)病毒成了計算機(jī)病毒防火墻的"拿手好戲"。③計算機(jī)病毒防火墻的“雙向過濾”功能保證了本地系統(tǒng)不會向遠(yuǎn)程(網(wǎng)絡(luò))資源傳播機(jī)算機(jī)病毒。這一優(yōu)點在使用電子郵件時體現(xiàn)得最為明顯，因為它能在用戶發(fā)出郵件前自動將其中可能含有的計算機(jī)病毒全都過濾掉，確保不會對他人造成無意的損害。④計算機(jī)病毒防火墻還具有操作更簡便、更透明的優(yōu)點。有了它自動、實時的保護(hù)，就無需不時停下正常工作而去費時費力地查毒、殺毒了。校驗和法計算出正常文件的程序代碼的校驗和，并保存起來，可供被校驗對象對照比較，以判斷是否感染了病毒。優(yōu)點：可偵測到各式計算機(jī)病毒，包括未知病毒。缺點：誤判率高，無法確認(rèn)計算機(jī)病毒的種類。感染實驗法感染實驗法是一種簡單實用的檢測計算機(jī)病毒方法。由于計算機(jī)病毒檢測工具落后于計算機(jī)病毒的發(fā)展，當(dāng)計算機(jī)病毒檢測工具不能發(fā)現(xiàn)計算機(jī)病毒時，如果不會用感染實驗法，便束手無策。如果會用感染實驗法，就可以檢測出計算機(jī)病毒檢測工具不認(rèn)識的新計算機(jī)病毒，可以擺脫對計算機(jī)病毒檢測工具的依賴，自主地檢測可疑新計算機(jī)病毒。利用了計算機(jī)病毒最重要的基本特征--感染特性。所有的計算機(jī)病毒都會進(jìn)行感染，如果不會感染，就不稱其為計算機(jī)病毒。如果系統(tǒng)中有異常行為，最新版的檢測工具也查不出計算機(jī)病毒時，就可以做感染實驗。運行可疑系統(tǒng)中的程序后，再運行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度及校驗和，如果發(fā)現(xiàn)有的程序增長，或者校驗和發(fā)生變化，就可斷言系統(tǒng)中有計算機(jī)病毒。病毒分析法一般使用病毒分析法的人不是普通用戶，而是反計算機(jī)病毒技術(shù)人員。使用病毒分析法目的如下：(1)確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有計算機(jī)病毒。(2)確認(rèn)計算機(jī)病毒的類型和種類，判定其是否是一種新計算機(jī)病毒。(3)搞清楚計算機(jī)病毒體的大致結(jié)構(gòu)，提取特征識別用的字符串或特征字，用于增添到計算機(jī)病毒代碼庫以供計算機(jī)病毒掃描和識別程序用。(4)詳細(xì)分析計算機(jī)病毒代碼，為制定相應(yīng)的反計算機(jī)病毒措施制定方案。計算機(jī)病毒清除病毒的清除：將病毒文件的病毒代碼摘除，使之恢復(fù)為可正常執(zhí)行的健全文件。病毒的清除可用專用的殺毒軟件，或者手動清除。計算機(jī)病毒的手動清除：1.在進(jìn)程表中手動清除察看系統(tǒng)進(jìn)程表，將非正常進(jìn)程清除。進(jìn)程的概念：進(jìn)程是指在系統(tǒng)中正在運行的一個應(yīng)用程序，即活動的程序。進(jìn)程分為系統(tǒng)進(jìn)程和應(yīng)用程序進(jìn)程。系統(tǒng)進(jìn)程就是正在運行的系統(tǒng)程序應(yīng)用程序進(jìn)程就是正在運行的應(yīng)用程序2.在注冊表中清除如果發(fā)現(xiàn)計算機(jī)有不名的進(jìn)程和異常情況請在注冊表內(nèi)下列地方進(jìn)行核實找住可疑的程序進(jìn)行刪除。一般情況下