計(jì)算機(jī)病毒全面概述

計(jì)算機(jī)病毒概述引導(dǎo)扇區(qū)型病毒文件型病毒宏病毒其它類型病毒計(jì)算機(jī)病毒全面概述第1頁(yè)5.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒是一些人利用計(jì)算機(jī)軟、硬件所固有脆弱性，編制含有特殊功效程序。這種特殊功效主要表達(dá)在三個(gè)方面：復(fù)制性、隱蔽性和破壞性。

20世紀(jì)70年代，美國(guó)出版了兩本科幻小說：《震蕩波騎士》和《P1青春》。

第一個(gè)被稱作計(jì)算機(jī)病毒程序是在1983年11月，由弗雷德·科恩博士研制出來。

1988年由羅伯特·莫里斯編寫“蠕蟲病毒”，是一次非常經(jīng)典計(jì)算機(jī)病毒人侵計(jì)算機(jī)網(wǎng)絡(luò)事件，迫使美國(guó)政府馬上作出反應(yīng)，國(guó)防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組。計(jì)算機(jī)病毒全面概述第2頁(yè)5.1計(jì)算機(jī)病毒概述5.1.1病毒產(chǎn)生

計(jì)算機(jī)病毒是一個(gè)高技術(shù)犯罪毒果，另首先，計(jì)算機(jī)軟硬件產(chǎn)品脆弱性是引發(fā)病毒產(chǎn)生根本原因，為病毒侵人提供了客觀方便。

病毒制造者動(dòng)機(jī)主要有：①開個(gè)玩笑，一個(gè)惡作劇。②產(chǎn)生于個(gè)他人報(bào)復(fù)心理。③用于版權(quán)保護(hù)。④用于特殊目標(biāo)。計(jì)算機(jī)病毒全面概述第3頁(yè)5.1計(jì)算機(jī)病毒概述5.1.2病毒發(fā)展過程（1）DOS引導(dǎo)階段（2）DOS可執(zhí)行階段（3）伴隨、批次型階段（4）幽靈、多形階段（5）生成器、變體機(jī)階段（6）網(wǎng)絡(luò)、蠕蟲階段（7）Windows階段（8）宏病毒階段（9）互聯(lián)網(wǎng)階段（l0）爪哇、郵件炸彈階段5.1.3病毒破壞行為1.攻擊系統(tǒng)數(shù)據(jù)區(qū)2.攻擊文件3.攻擊內(nèi)存4.干擾系統(tǒng)運(yùn)行5.各種設(shè)備異常計(jì)算機(jī)病毒全面概述第4頁(yè)5.1計(jì)算機(jī)病毒概述5.1.4病毒傳輸方式病毒傳輸路徑有五種：(1)利用電磁波(2)利用有線線路傳輸(3)直接放毒(4)利用微波傳輸(5)利用軍用或民用設(shè)備傳輸計(jì)算機(jī)病毒全面概述第5頁(yè)5.1計(jì)算機(jī)病毒概述5.1.5病毒程序結(jié)構(gòu)它們主要結(jié)構(gòu)包含三個(gè)部分：引導(dǎo)部分、傳染部分、表現(xiàn)部分。引導(dǎo)部分作用是借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存，方便傳染部分和表現(xiàn)部分進(jìn)人活動(dòng)狀態(tài)。它所做工作有：駐留內(nèi)存，修改中止，修改高端內(nèi)存，保留原中止向量等操作。另外，引導(dǎo)部分還能夠依據(jù)特定計(jì)算機(jī)系統(tǒng)，將分別存放病毒程序鏈接在一起，重新進(jìn)行裝配，形成新病毒程序，破壞計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)病毒全面概述第6頁(yè)5.1計(jì)算機(jī)病毒概述傳染部分作用是將病毒代碼復(fù)制到傳染目標(biāo)上去，是病毒關(guān)鍵。普通復(fù)制傳染速度比較快，不會(huì)引發(fā)用戶注意，同時(shí)還要盡可能擴(kuò)大染毒范圍。病毒傳染模塊大致由兩部分組成：條件判斷部分，程序主體部分。表現(xiàn)部分是病毒間差異最大部分，前兩個(gè)部分也是為這部分服務(wù)。5.1.6病毒本質(zhì)計(jì)算機(jī)病毒本質(zhì)是一組計(jì)算機(jī)指令或者程序代碼，是一個(gè)可存放、可執(zhí)行特殊程序。計(jì)算機(jī)病毒全面概述第7頁(yè)5.1計(jì)算機(jī)病毒概述5.1.7病毒基本特征計(jì)算機(jī)病毒在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中定義為：“指編制或者在計(jì)算機(jī)程序中插人破壞計(jì)算機(jī)功效或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用而且能夠自我復(fù)制一組計(jì)算機(jī)指令或者程序代碼”。有復(fù)制傳染功效，有表現(xiàn)破壞功效，有隱藏伎倆。它還含有衍生性。1.傳染性2.隱蔽性3.破壞性計(jì)算機(jī)病毒全面概述第8頁(yè)5.1計(jì)算機(jī)病毒概述5.1.8病毒分類計(jì)算機(jī)病毒類型依據(jù)不一樣角度各有不一樣：按傳染方式：引導(dǎo)型病毒、文件型病毒和混合型病毒；按連接人侵方式：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒；按病毒存在媒體：網(wǎng)絡(luò)病毒、文件病毒、引導(dǎo)型病毒；按其駐留方法：駐留型病毒和非駐留型病毒；按其表現(xiàn)性質(zhì)：良性病毒和惡性病毒；按寄生方式：內(nèi)存宿主型病毒和磁盤宿主型病毒；依據(jù)病毒破壞能力：無(wú)害型、無(wú)危險(xiǎn)型、危險(xiǎn)型、非常危險(xiǎn)型等。計(jì)算機(jī)病毒全面概述第9頁(yè)5.1計(jì)算機(jī)病毒概述1．引導(dǎo)型病毒引導(dǎo)型病毒，感染對(duì)象是計(jì)算機(jī)存放介質(zhì)引導(dǎo)扇區(qū)。病毒將本身全部或部分程序取代正常引導(dǎo)統(tǒng)計(jì)，而將正常引導(dǎo)統(tǒng)計(jì)隱藏在介質(zhì)其它存放空間。2．文件病毒文件病毒是文件侵染者，也被稱為寄生病毒。它運(yùn)行在計(jì)算機(jī)內(nèi)存里，通常它感染帶有.COM，.EXE，.DRV，擴(kuò)展名可執(zhí)行文件。它們每一次激活時(shí)，感染文件把本身復(fù)制到其它可執(zhí)行文件中，并能在內(nèi)存中保留很長(zhǎng)時(shí)間，直到病毒又被激活。當(dāng)用戶調(diào)用染毒可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其它文件或直接傳染其它文件。其特點(diǎn)是附著于正常程序文件，成為程序文件一個(gè)外殼或部件。計(jì)算機(jī)病毒全面概述第10頁(yè)5.1計(jì)算機(jī)病毒概述3.宏病毒4.源碼病毒5.入侵型病6.操作系統(tǒng)病毒7.外殼病毒8.駐留型病毒9.感染計(jì)算機(jī)后10.無(wú)害型病毒依據(jù)病毒特有算法，病毒還能夠劃分為：伴隨型病毒；“蠕蟲”型病毒；練習(xí)型病毒，本身包含錯(cuò)誤，不能進(jìn)行很好傳輸，比如一些病毒在調(diào)試階段；詭秘型病毒，普通不直接修改DOS中止和扇區(qū)數(shù)據(jù)，而是經(jīng)過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)技術(shù)，利用DOS空閑數(shù)據(jù)區(qū)進(jìn)行工作；變型病毒（又稱幽靈病毒），使用一個(gè)復(fù)雜算法，使自己每傳輸一份都含有不一樣內(nèi)容和長(zhǎng)度。它們普通由一段混有沒有關(guān)指令解碼算法和被改變過病毒體組成。計(jì)算機(jī)病毒全面概述第11頁(yè)5.2引導(dǎo)扇區(qū)型病毒3.2.1硬盤主引導(dǎo)統(tǒng)計(jì)和引導(dǎo)扇區(qū)硬盤主引導(dǎo)分區(qū)是磁道號(hào)為0、磁頭號(hào)為0、扇區(qū)號(hào)為1（C－0，H－0，R＝l）扇區(qū)，它是硬盤第一個(gè)物理扇區(qū)。主引導(dǎo)分區(qū)中數(shù)據(jù)由硬盤主引導(dǎo)統(tǒng)計(jì)和硬盤分區(qū)表組成，最終2個(gè)字節(jié)是55H、AAH。主引導(dǎo)統(tǒng)計(jì)占用位置000～0EFH，硬盤分區(qū)表占用位置01BE～01FEH。分區(qū)表包含4個(gè)16字節(jié)表項(xiàng)，共64個(gè)字節(jié)，每一個(gè)表項(xiàng)描述一個(gè)分區(qū)，表項(xiàng)內(nèi)容參見P150表5-1所表示。計(jì)算機(jī)病毒全面概述第12頁(yè)5.2引導(dǎo)扇區(qū)型病毒5.2.22708病毒分析2708病毒是一個(gè)引導(dǎo)型病毒，它在傳染軟盤時(shí)，把正常引導(dǎo)扇區(qū)放到磁盤1面27道(以十六進(jìn)制表示)08扇區(qū)，所以取名為2708病毒。在病毒發(fā)作時(shí)，病毒程序?qū)IOS中打印端口地址數(shù)據(jù)置0，從而封鎖打印機(jī)。1．2708病毒引導(dǎo)過程2．2708病毒傳輸方式3．2708病毒發(fā)作2708病毒在傳染硬盤主引導(dǎo)扇區(qū)后，每次從硬盤開啟時(shí)，都會(huì)將開啟次數(shù)加1，并將這個(gè)計(jì)數(shù)器保留在主引導(dǎo)扇區(qū)中。當(dāng)開啟次數(shù)到達(dá)32次后，計(jì)數(shù)器不再增加，覆蓋BIOS區(qū)域中并口和串口地址，而不能進(jìn)行打印操作。計(jì)算機(jī)病毒全面概述第13頁(yè)5.2引導(dǎo)扇區(qū)型病毒5.2.3引導(dǎo)型病毒檢測(cè)和防治1．引導(dǎo)型病毒引導(dǎo)過程引導(dǎo)型病毒在系統(tǒng)起動(dòng)時(shí)，在正常系統(tǒng)引導(dǎo)之前將其本身裝入到系統(tǒng)中。在傳染硬盤時(shí)它覆蓋了硬盤主引導(dǎo)扇區(qū)或DOS引導(dǎo)扇區(qū)，在傳染軟盤時(shí)則覆蓋了引導(dǎo)扇區(qū)。在系統(tǒng)引導(dǎo)時(shí)，ROMBIOS把這些扇區(qū)內(nèi)容讀入內(nèi)存并執(zhí)行。這么，病毒程序就取得了控制權(quán)。它首先把自己復(fù)制到內(nèi)存高端，在完成安裝過程后再繼續(xù)DOS引導(dǎo)過程。為了保護(hù)內(nèi)存高端病毒程序不被系統(tǒng)使用，要將內(nèi)存容量降低若干KB。2．引導(dǎo)型病毒傳輸方式引導(dǎo)型病毒傳染對(duì)象是軟盤引導(dǎo)扇區(qū)和硬盤主引導(dǎo)扇區(qū)及硬盤DOS引導(dǎo)扇區(qū)。計(jì)算機(jī)病毒全面概述第14頁(yè)5.2引導(dǎo)扇區(qū)型病毒3．引導(dǎo)型病毒表現(xiàn)形式在滿足特定條件后，就會(huì)激活病毒表現(xiàn)模塊。而病毒表現(xiàn)方式，能夠說是各種各樣，它集中表達(dá)了病毒炮制者企圖。4．引導(dǎo)型病毒檢測(cè)對(duì)于這類病毒診療比文件型病毒要輕易得多，能夠從以下幾個(gè)方面進(jìn)行診療：（1）察看系統(tǒng)內(nèi)存容量是否降低。(0:0413一個(gè)字)（2）檢驗(yàn)系統(tǒng)高端內(nèi)存中是否有病毒代碼。（3）檢驗(yàn)軟盤引導(dǎo)扇區(qū)和硬盤主引導(dǎo)扇區(qū)及硬盤DOS引導(dǎo)扇區(qū)。計(jì)算機(jī)病毒全面概述第15頁(yè)5.2引導(dǎo)扇區(qū)型病毒用DEBUG讀入引導(dǎo)扇區(qū)方法：

A）DEBUG-A100XXXX：0100MOVAX，0201XXXX：0103MOVBX，7C00XXXX：0106MOVCX，0001XXXX：0109MOVDX，0080XXXX:010CINT13XXXX:010EINT3XXXX：010F-G-L100001-L300201-Q計(jì)算機(jī)病毒全面概述第16頁(yè)5.2引導(dǎo)扇區(qū)型病毒5．引導(dǎo)型病毒去除在檢測(cè)到磁盤被引導(dǎo)型病毒感染以后，消除病毒思緒是用正常系統(tǒng)引導(dǎo)程序覆蓋引導(dǎo)扇區(qū)中病毒程序。假如在被病毒感染以前，讀取并保留了硬盤主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)中內(nèi)容，就很輕易去除病毒。能夠用DEBUG把保留內(nèi)容讀入內(nèi)存，再寫入引導(dǎo)扇區(qū)。引導(dǎo)扇區(qū)中病毒即被正常引導(dǎo)程序所替換。假如MBP.DAT和BOOT.DAT分別保留是硬盤主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)內(nèi)容，長(zhǎng)度為512字節(jié)。按以下步驟執(zhí)行：

A＞DEBUG—NMBP.DAT—L7C00—NB00T.DAT—L7E00計(jì)算機(jī)病毒全面概述第17頁(yè)—A100XXXX:0100MOVAX,0301XXXX:0103MOVBX,7C00XXXX:0106MOVCX,0001XXXX:0109MOVDX,0080XXXX:010CINT13XXXX:010EINT3XXXX：010F—G—W7E00201—Q備份：-L100001-NBOOT.DAT-RCXCX:200-W-Q備份主引導(dǎo)統(tǒng)計(jì)：—A100MOVAX,0201MOVBX,7C00MOVCX,0001MOVDX,0080INT13INT3—G-NMBP.DAT-RCXCX:200-RBXBX:0000-W-Q計(jì)算機(jī)病毒全面概述第18頁(yè)5.2引導(dǎo)扇區(qū)型病毒假如沒有保留引導(dǎo)扇區(qū)信息，則去除其中病毒比較困難。對(duì)于那些把引導(dǎo)扇區(qū)內(nèi)容轉(zhuǎn)移到其它扇區(qū)中病毒，需要分析病毒程序引導(dǎo)代碼，找出正常引導(dǎo)扇區(qū)內(nèi)容存放地址，把它們讀入內(nèi)存，再按上面介紹方法寫到引導(dǎo)扇區(qū)中。而對(duì)于那些直接覆蓋引導(dǎo)扇區(qū)病毒，則必須從其它微機(jī)中讀取正常引導(dǎo)程序。對(duì)于硬盤DOS引導(dǎo)扇區(qū)中病毒，能夠用和硬盤上相同版本DOS（從軟盤）開啟，再執(zhí)行SYSC：命令傳送系統(tǒng)到C盤，即能夠去除硬盤DOS引導(dǎo)扇區(qū)中病毒。計(jì)算機(jī)病毒全面概述第19頁(yè)5.3文件型病毒5.3.1COM文件格式COM文件中只使用一個(gè)段，文件中程序和數(shù)據(jù)大小限制在64KB內(nèi)。在執(zhí)行一個(gè)COM文件時(shí)，DOS分配一個(gè)內(nèi)存塊，包含全部可用內(nèi)存空間。在內(nèi)存塊最前面為該程序建立程序段前綴PSP。PSP大小為100H字節(jié)。COM文件內(nèi)容直接讀人到PSP之后內(nèi)存。四個(gè)段存放器CS、DS、ES、SS都被初始化為PSP段地址，堆棧指針SP被設(shè)置為FFFEH，指令指針I(yè)P設(shè)置為0100H。然后開始執(zhí)行這個(gè)COM程序計(jì)算機(jī)病毒全面概述第20頁(yè)5.3文件型病毒5.3.2EXE文件格式EXE文件中可包含多個(gè)段，每個(gè)段大小在64KB內(nèi)，但文件中程序、數(shù)據(jù)總大小能夠超出64KB。EXE文件分為兩個(gè)部分，EXE文件頭和裝入模塊。文件頭描述關(guān)于整個(gè)EXE文件一些信息，在裝入過程中由DOS使用。EXE文件格式如P157圖5-3所表示.在執(zhí)行一個(gè)EXE文件時(shí)，分配內(nèi)存塊、生成環(huán)境段、建立PSP過程和執(zhí)行COM文件時(shí)完全相同。EXE文件中裝入模塊內(nèi)容直接讀人到PSP之后內(nèi)存，內(nèi)存段被稱為起始段值。DS、ES初始化為PSP段地址，CS、IP和SS、SP依據(jù)文件頭中對(duì)應(yīng)字段內(nèi)容進(jìn)行初始化，CS和SS內(nèi)容再加上起始段值。計(jì)算機(jī)病毒全面概述第21頁(yè)5.3文件型病毒5.3.3黑色星期五病毒分析1．黑色星期五病毒特點(diǎn)黑色星期五病毒是一個(gè)文件型病毒。它駐留在后綴為COM和EXE文件中。當(dāng)運(yùn)行帶病毒文件時(shí)，病毒程序首先取得控制。假如系統(tǒng)中還沒有駐留這種病毒，則將其本身駐留，修改系統(tǒng)INT21H和INT8H中止向量，指向病毒程序?qū)?yīng)位置，之后再執(zhí)行原文件中程序。2．黑色星期五病毒組成引導(dǎo)駐留部分、傳輸部分、破壞（表現(xiàn)）部分。計(jì)算機(jī)病毒全面概述第22頁(yè)5.3文件型病毒(1)引導(dǎo)駐留部分文件運(yùn)行時(shí)，依據(jù)INT21HE0H功效返回值，判斷當(dāng)前系統(tǒng)是否已被病毒感染。如未被感染，則截獲INT21H和INT8H向量，使它們指向病毒程序?qū)?yīng)部分。病毒程序?qū)⒈旧硪苿?dòng)到內(nèi)存某一位置，從XXXX:0000至XXXX:0710H。病毒程序?qū)⒈旧眈v留后，才轉(zhuǎn)去執(zhí)行原可執(zhí)行文件。（2）傳輸部分病毒駐留系統(tǒng)，運(yùn)行一個(gè)可執(zhí)行文件，則傳染該文件。病毒程序?qū)⒆x寫指針移到文件尾部，判斷文件尾部是否有標(biāo)識(shí)“4D73446F73”，假如有，則感染該文件再執(zhí)行該文件中原有程序；假如沒有病毒標(biāo)識(shí)，則認(rèn)為該文件未被感染。計(jì)算機(jī)病毒全面概述第23頁(yè)5.3文件型病毒感染步驟：病毒程序首先將文件建立日期時(shí)間、屬性保留下來，再修改文件屬性。然后病毒將本身鏈接于文件之中，并修改文件長(zhǎng)度。最終，恢復(fù)原文件屬性和建立日期時(shí)間。病毒在感染文件后，再轉(zhuǎn)去執(zhí)行原文件，使用戶難于發(fā)覺病毒感染。在病毒對(duì)文件感染過程中，修改了DOSINT24H中止。INT24H是DOS犯錯(cuò)處理中止，假如屏蔽了這個(gè)中止，就能夠使病毒傳染過程中可能發(fā)生一些錯(cuò)誤(如磁盤寫保護(hù)、文件讀寫犯錯(cuò)等)不被用戶發(fā)覺。計(jì)算機(jī)病毒全面概述第24頁(yè)5.3文件型病毒（3）破壞部分一個(gè)是降低系統(tǒng)運(yùn)行速度，另一個(gè)是刪除被執(zhí)行文件。它截獲了INT8H時(shí)鐘中止服務(wù)程序，滿足其激活條件（病毒駐留內(nèi)存約半小時(shí)后）時(shí)，在屏幕上顯示黑色方塊，而且在程序中執(zhí)行無(wú)用循環(huán)，耗用CPU處理周期，使用戶程序執(zhí)行速度大大降低。假如機(jī)器日期是十三日及星期五，而且不是1987年，則病毒在DOS加載COM或EXE可執(zhí)行文件時(shí)，刪除這些文件。3．黑色星期五病毒傳染機(jī)制黑色星期五病毒傳染是在執(zhí)行DOS加載執(zhí)行功效調(diào)用（即INT21H4BH）時(shí)完成。計(jì)算機(jī)病毒全面概述第25頁(yè)5.3文件型病毒在DOS系統(tǒng)下，DOS外部命令和全部可執(zhí)行文件，執(zhí)行時(shí)都要調(diào)用INT21H4BH功效。其入口參數(shù)是：DS:DX指向可執(zhí)行文件文件名ASCII串ES:BX指向執(zhí)行此命令參數(shù)塊；AX＝4B00H在帶有病毒系統(tǒng)中，INT21H中止指向病毒程序。病毒程序從加載執(zhí)行功效入口參數(shù)處取出文件名，依據(jù)文件名后綴判斷文件類型。假如是COM文件，檢驗(yàn)其是否被病毒感染，未感染情況下則將病毒程序放置在原COM文件前面，并在其尾部加上病毒標(biāo)志。假如被感染，則調(diào)用INT21H4BH功效執(zhí)行原COM文件。計(jì)算機(jī)病毒全面概述第26頁(yè)5.3文件型病毒假如是EXE文件，則將病毒程序?qū)懙紼XE文件最終，然后修改EXE文件文件頭參數(shù)，使其指向病毒程序，所以執(zhí)行受感染EXE文件時(shí)即讓病毒程序取得控制權(quán)。在感染完成后，執(zhí)行原EXE文件內(nèi)容。5.3.4文件型病毒檢測(cè)與防治1．文件型病毒引導(dǎo)過程可執(zhí)行文件裝人執(zhí)行，是由DOS系統(tǒng)INT21H4BH功效調(diào)用完成。DOS執(zhí)行這個(gè)調(diào)用時(shí)，從磁盤上裝入可執(zhí)行文件，進(jìn)行加載并將控制權(quán)交給被加載用戶程序。計(jì)算機(jī)病毒全面概述第27頁(yè)5.3文件型病毒對(duì)于COM文件，第一條指令位于CS:100地址處；對(duì)于EXE文件，由文件頭中CS、IP字段確定程序第一條指令。病毒感染可執(zhí)行文件，為了取得控制，修改了原文件頭部參數(shù)。對(duì)于COM文件，要修改文件頭三個(gè)字節(jié)內(nèi)容；對(duì)于EXE文件，則要修改文件首部(文件頭)偏移14－15H處IP指針和偏移16－17H處CS段值。為了不影響用戶程序堆棧段內(nèi)容，還要修改偏移0E－0FH處SS段值和偏移10～11H處SP指針。還要修改EXE文件頭部02－05H處文件長(zhǎng)度標(biāo)識(shí)。計(jì)算機(jī)病毒全面概述第28頁(yè)5.3文件型病毒2．文件型病毒傳染方式在傳染過程中，病毒程序或者位于文件首部，或者位于文件尾部，而且使原文件長(zhǎng)度增加若干字節(jié)。位于文件中間病毒則較為少見。病毒程序在引導(dǎo)過程中，修改INT21H系統(tǒng)中止，含有向外傳輸能力。INT21H是對(duì)文件進(jìn)行各種操作系統(tǒng)調(diào)用入口，病毒籍此控制可執(zhí)行文件裝入執(zhí)行和對(duì)文件讀、寫等操作。在裝入執(zhí)行或讀寫可執(zhí)行文件時(shí)，病毒就可能傳染這個(gè)文件。病毒程序首先判斷文件是否存在特殊標(biāo)志（即是否被感染），假如文件已被感染則跳過傳染過程；假如未被感染，則把病毒程序鏈接在文件之中。最終再執(zhí)行系統(tǒng)功效調(diào)用。計(jì)算機(jī)病毒全面概述第29頁(yè)5.3文件型病毒3．文件型病毒檢測(cè)慣用方法是借助于“查毒軟件”，其基本思想是：在一個(gè)文件特定位置，查找病毒特定標(biāo)識(shí)，假如存在，則認(rèn)為文件被病毒感染。這種檢測(cè)病毒方法稱為“特征標(biāo)識(shí)匹配法”，它一次能夠檢驗(yàn)磁盤上全部可執(zhí)行文件。(1）檢測(cè)系統(tǒng)內(nèi)存中是否含有病毒病毒傳染性是它主要特征。病毒普通都是修改INT21H中止來截獲系統(tǒng)調(diào)用，所以能夠依據(jù)INT21H中止向量入口地址來判斷是否有病毒駐留內(nèi)存。用DOS命令MEM，能夠列出系統(tǒng)中駐留全部程序，檢驗(yàn)其中是否有非法程序駐留。假如發(fā)覺非法駐留程序，則能夠判定系統(tǒng)內(nèi)存中含有病毒。計(jì)算機(jī)病毒全面概述第30頁(yè)5.3文件型病毒（2）檢驗(yàn)文件中病毒對(duì)可執(zhí)行文件中病毒判定，普通情況下只能采取比較法，即經(jīng)過觀察文件長(zhǎng)度或日期時(shí)間是否改變來判斷有沒有病毒。4．文件型病毒去除文件型病毒和被感染文件鏈接方式是各種多樣，有病毒駐留在文件首部，有則駐留在尾部，而且各個(gè)病毒保留被感染文件參數(shù)方法和位置也各不相同。所以要去除文件中病毒，就要分析病毒程序代碼，找出病毒和被感染文件之間鏈接關(guān)系，才有可能把病毒從被感染文件中分離出來。計(jì)算機(jī)病毒全面概述第31頁(yè)5.3文件型病毒去除文件中病毒普通應(yīng)按照以下步驟進(jìn)行：(1)分析病毒與被感染文件之間鏈接方式；(2)確定病毒程序駐留在文件位置，并找到病毒程序開始和結(jié)束位置。把被感染文件主要部分還原。(3)恢復(fù)被感染文件頭部參數(shù)。對(duì)于COM文件，它頭三個(gè)字節(jié)被替換為病毒程序，這三個(gè)字節(jié)被保留在病毒體中，找出這三個(gè)字節(jié)，放到文件頭部。對(duì)于EXE文件，文件頭中CS、IP、SS、SP等字段被病毒程序修改，這些字段原有值被存放在病毒體中。找出恢復(fù),還需要修改文件頭中長(zhǎng)度參數(shù)。（4）把恢復(fù)后內(nèi)容寫到文件中。文件長(zhǎng)度要變短一些，只把文件正常內(nèi)容寫到文件中，病毒體就從文件中“剝離”出來。計(jì)算機(jī)病毒全面概述第32頁(yè)5.3文件型病毒要正確去除文件中病毒，首先要了解病毒傳染方法。對(duì)于不一樣病毒，詳細(xì)去除方法也是不一樣。假如用DEBUG等工具去除病毒，其效率是很低，而且輕易出現(xiàn)失誤。普通方法是編制“殺毒程序”，把上面步驟用程序?qū)崿F(xiàn)，這么，對(duì)同一個(gè)病毒感染多個(gè)文件，能夠用程序逐一去除。計(jì)算機(jī)病毒全面概述第33頁(yè)5.4宏病毒宏病毒產(chǎn)生，是利用了一些數(shù)據(jù)處理系統(tǒng)，如字處理或表格處理系統(tǒng)，內(nèi)置宏命令編程語(yǔ)言特征而形成。這種特征能夠把特定宏命令代碼附加在指定文件上，在未經(jīng)使用者許可情況下獲取某種控制權(quán)，實(shí)現(xiàn)宏命令在不一樣文件之間共享和傳遞。因?yàn)椤昂辍笔鞘褂肰isualBasicForApplications這么高級(jí)語(yǔ)言編寫，其編寫過程相對(duì)比較簡(jiǎn)單，而功效又十分強(qiáng)大，所以宏病毒產(chǎn)生不再需要病毒制造者含有較多計(jì)算機(jī)專業(yè)知識(shí)和技巧，一個(gè)心懷不軌人只需掌握一些基本“宏”編寫伎倆，即可編出破壞力很大宏病毒。計(jì)算機(jī)病毒全面概述第34頁(yè)5.4宏病毒3.4.lVBA與宏病毒VBA是把DOS版本Basic一些實(shí)現(xiàn)方法轉(zhuǎn)變到Windows中。只要在Office環(huán)境中打開這些文件，為了特定任務(wù)，VBA代碼就會(huì)隨之而來地解釋執(zhí)行。而且VBA深入升級(jí)，使其具備訪問系統(tǒng)和控制系統(tǒng)能力，直接調(diào)用WindowsAPI，訪問系統(tǒng)資源，采取“Shell+命令行”方式直接調(diào)用DOS或windows命令等等。VBA出現(xiàn)是面向知識(shí)階層計(jì)算機(jī)用戶，他們不需要更深入編程知識(shí)和經(jīng)驗(yàn)，只要知道Basic就能夠?qū)⒁幌盗匈M(fèi)時(shí)而重復(fù)操作和命令，依據(jù)不一樣使用要求和基本命令組合在一起形成宏。目標(biāo)是為了讓用戶能夠用簡(jiǎn)單編程方法，來簡(jiǎn)化這些經(jīng)常性操作，就像DOS批處理程序?qū)⒍鄠€(gè)執(zhí)行命令依次放在一起執(zhí)行一樣。計(jì)算機(jī)病毒全面概述第35頁(yè)5.4宏病毒它編制技術(shù)與其它編程技術(shù)相比，要求是很低，Office系統(tǒng)甚至提供了不用編程，僅依靠錄制用戶實(shí)際操作方法就能夠生成宏功效。宏，簡(jiǎn)單了解能夠是Office應(yīng)用產(chǎn)品中，點(diǎn)擊菜單命令錄音機(jī)。系統(tǒng)能夠重復(fù)執(zhí)行用戶曾經(jīng)執(zhí)行或者設(shè)計(jì)一系列點(diǎn)擊命令。這就使那些對(duì)計(jì)算機(jī)編程語(yǔ)言沒有多少知識(shí)但卻對(duì)病毒“一往情深”者也能夠加入到病毒制造者行列中。5.4.2宏病毒表現(xiàn)有些宏病毒只進(jìn)行本身傳輸，并不具破壞性，如被一個(gè)Autoopen宏病毒感染了文檔，不能再被轉(zhuǎn)存為其它格式文件，也無(wú)法使用“另存為”（Saveas）修改路徑以保留到另外磁盤／子目錄中，它具備與模板文檔一致內(nèi)部格式。計(jì)算機(jī)病毒全面概述第36頁(yè)5.4宏病毒有些宏病毒或使打印中途中止，或打印出混亂信息，如Nuclear、Kompu等屬這類。有些宏病毒將文檔中部分字符、文本進(jìn)行替換，如Concept．F發(fā)作時(shí)，用“，’“e”，“not”替換全部“?！保癮”，“and”。還有一些現(xiàn)象是：Word運(yùn)行時(shí)出現(xiàn)如自動(dòng)打開文件，打開窗口等情況；使用過文件屬性發(fā)生改變；Word文件自動(dòng)對(duì)一張寫保護(hù)空盤強(qiáng)行存盤等。有些病毒極具破壞性，如MDMA.A（無(wú)政府者一號(hào)，最早發(fā)覺于1996年夏）另外有一個(gè)雙棲復(fù)合型病毒，如Nuclear是由AutoExec、Dropsuriv、Fileexit等9宏病毒復(fù)合成一個(gè)DOS和Windows雙棲型駐留宏病毒。計(jì)算機(jī)病毒全面概述第37頁(yè)5.4宏病毒3.4.3宏病毒特點(diǎn)1．宏病毒制造輕易。2．它是一個(gè)真正跨硬件平臺(tái)病毒。3．宏病毒傳輸速度極快。4．大多時(shí)宏病毒含有很好隱蔽性，不易被發(fā)覺。5．破壞性極強(qiáng)。5.4.3宏病毒傳染性在Office系統(tǒng)中集成了許多模板，如典雅型傳真、匯報(bào)、通訊錄、改擴(kuò)建項(xiàng)目表、經(jīng)濟(jì)社會(huì)發(fā)展計(jì)劃、海報(bào)。企業(yè)財(cái)政匯報(bào)等模板。這些模板不但包含了對(duì)應(yīng)類型文檔普通格式，而且還允許用戶在模板內(nèi)添加宏，使得用戶在制作自己特定格式時(shí)，降低重復(fù)勞動(dòng)。計(jì)算機(jī)病毒全面概述第38頁(yè)5.4宏病毒W(wǎng)ord最慣用是通用模板（Normal.dot），Excel最慣用是Excel.xlb等。任何一個(gè)Office文件背后都有對(duì)應(yīng)模板，我們打開或建立大多數(shù)Office文件時(shí)，系統(tǒng)都會(huì)自動(dòng)裝入通用或公用模板并執(zhí)行其中宏命令。其中操作能夠是打開文件、關(guān)閉文件、讀取數(shù)據(jù)以及保留和打印，并對(duì)應(yīng)著特定宏命令，如存文件與FileSave相對(duì)應(yīng)，另存文件對(duì)應(yīng)著FileSaveAs，打印則對(duì)應(yīng)著FilePrint等。如這些宏命令集合在一起組成了通用宏，通用宏保留在模板文件中，以使Office開啟后能夠有效地工作。計(jì)算機(jī)病毒全面概述第39頁(yè)5.4宏病毒以Word為例，當(dāng)Word打開文件時(shí)，它首先要檢驗(yàn)文件內(nèi)包含宏是否有自動(dòng)執(zhí)行宏（AutoOpen宏）存在，假如有這么宏，Word就開啟并運(yùn)行之。當(dāng)然，假如AutoClose宏存在，則系統(tǒng)在關(guān)閉一個(gè)文件時(shí)，會(huì)自動(dòng)執(zhí)行它。通常，Word宏病毒最少會(huì)包含一個(gè)以上自動(dòng)宏，Word中運(yùn)行這類自動(dòng)宏時(shí)，實(shí)際上就是在運(yùn)行病毒代碼。宏病毒內(nèi)部都含有把帶病毒宏復(fù)制到通用宏代碼段，也就是說當(dāng)病毒代碼被執(zhí)行過后，它就會(huì)將本身復(fù)制到通用宏集合內(nèi)。當(dāng)Word系統(tǒng)退出時(shí)，會(huì)自動(dòng)地把包含宏病毒在內(nèi)全部通用宏保留到模板文件中。以后每當(dāng)Word應(yīng)用程序開啟初始化時(shí)，系統(tǒng)都會(huì)伴隨通用模板裝入而成為帶毒W(wǎng)ord系統(tǒng)，繼而在打開和創(chuàng)建任何文檔時(shí)感染該文檔。計(jì)算機(jī)病毒全面概述第40頁(yè)5.4宏病毒實(shí)際上，宏病毒感染通用模板目標(biāo)，僅僅相當(dāng)于普通病毒要感染引導(dǎo)扇區(qū)和駐留內(nèi)存功效，附加在共用模板上才有“共用”作用，感染W(wǎng)ord或Excel系統(tǒng)是為了深入地取得對(duì)系統(tǒng)，尤其是對(duì)Office系統(tǒng)控制權(quán)。它要傳染其它Office文件才是病毒傳染最終止果，即傳染用戶自己文檔文件或個(gè)人模板。能夠說，在同一臺(tái)計(jì)算機(jī)上宏病毒傳染主要靠通用模板機(jī)制，在不一樣計(jì)算機(jī)之間宏病毒傳輸，就要靠詳細(xì)Office文件，經(jīng)過磁介質(zhì)或網(wǎng)絡(luò)來進(jìn)行了。其中也包含Office系統(tǒng)中“HTML模板”公布到網(wǎng)上傳染機(jī)制。計(jì)算機(jī)病毒全面概述第41頁(yè)5.4宏病毒一旦宏病毒侵入Word系統(tǒng)，它就會(huì)替換原有正常宏，如FileOPen、FileSave、FileSaveAs和FilePrint等，并經(jīng)過這些宏所關(guān)聯(lián)文件操作功效獲取對(duì)文件交換控制。當(dāng)某項(xiàng)功效被調(diào)用時(shí)，對(duì)應(yīng)宏病毒就會(huì)篡奪控制權(quán)，實(shí)施病毒所定義非法操作，包含傳染操作、表現(xiàn)操作以及破壞操作等等。宏病毒在感染一個(gè)文檔時(shí)，首先要把文檔轉(zhuǎn)換成模板格式，然后把全部宏病毒復(fù)制到該文檔中。被轉(zhuǎn)換成模板格式后染毒文件無(wú)法另存為任何其它格式。含有自動(dòng)宏宏病毒染毒文檔，當(dāng)被其它計(jì)算機(jī)Word系統(tǒng)打開時(shí)，便會(huì)自動(dòng)感染該計(jì)算機(jī)。比如，假如病毒捕捉并修改了FileOpen，那么它將感染每一個(gè)被打開Word文件。計(jì)算機(jī)病毒全面概述第42頁(yè)5.4宏病毒5.4.4宏病毒檢測(cè)與去除(1)用操作系統(tǒng)“查找”功效(2)用Office系統(tǒng)檢驗(yàn)(3)還能夠使用一個(gè)非常簡(jiǎn)單方法，去除對(duì)Word系統(tǒng)感染，即找到而且刪除Autoexec.dot和Normal.dot文件。(4)使用專業(yè)殺毒軟件.計(jì)算機(jī)病毒全面概述第43頁(yè)5.4宏病毒5.4.5宏病毒預(yù)防1.當(dāng)懷疑系統(tǒng)有宏病毒時(shí)，首先應(yīng)查看是否存在“可疑”宏。2.使用Word用戶，在打開一個(gè)新文檔時(shí)，系統(tǒng)將Word工作環(huán)境按照用戶使用習(xí)慣進(jìn)行設(shè)置，并使通用模板更新。3.當(dāng)無(wú)法判斷外來Word文檔是否帶宏病毒時(shí)，在不保留原來文檔排版格式必要前提下，可先用Windows提供書寫器或?qū)懽职鍋泶蜷_它們，將其先轉(zhuǎn)換成書寫器或?qū)懽职甯袷轿募⒈Ａ艉?，再用Word調(diào)用打開。4．除對(duì)Word宏進(jìn)行“過濾”外，還有一個(gè)簡(jiǎn)單方法，就是在調(diào)用Word文檔時(shí)先禁止全部以“Auto”開頭宏執(zhí)行。計(jì)算機(jī)病毒全面概述第44頁(yè)5.4宏病毒5．對(duì)于使用Office97版本用戶，系統(tǒng)已經(jīng)提供禁止宏功效，將其激活或打開即可。6．對(duì)于使用Excel用戶，在打開一個(gè)新文檔時(shí)，系統(tǒng)將Excel工作環(huán)境按照用戶使用習(xí)慣進(jìn)行設(shè)置，并使Excel8.xlb文件更新。7．假如用戶自己編制有Autoxxxx這類宏，提議將編制完成結(jié)果統(tǒng)計(jì)下來，即將其中代碼內(nèi)容打印或抄錄下來備查。8．假如用戶沒有編制過任何以“Auto”開頭宏，而系統(tǒng)運(yùn)行不正常而又完全能排除是由其它硬件故障或系統(tǒng)軟件配置問題引發(fā)，那么，在打開“工具”菜單“宏”選項(xiàng)后，最好刪除掉這些自動(dòng)宏，即便錯(cuò)刪了，也不會(huì)對(duì)文檔內(nèi)容產(chǎn)生任何影響，僅是缺乏了對(duì)應(yīng)“宏功效”。計(jì)算機(jī)病毒全面概述第45頁(yè)5.4宏病毒9．將慣用模板文件改為只讀屬性，可預(yù)防Office系統(tǒng)被感染。DOSautoexec.bat和config.sys文件最好也都設(shè)為只讀屬性文件。計(jì)算機(jī)病毒全面概述第46頁(yè)5.4宏病毒5.4.7Office產(chǎn)品中對(duì)宏病毒說明宏病毒主要是針對(duì)Office產(chǎn)品內(nèi)嵌較強(qiáng)功效VBA技術(shù)而設(shè)計(jì)。1．Word文檔宏病毒是一個(gè)存放在文檔或模板宏中計(jì)算機(jī)病毒。一旦打開這么文檔，宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，全部自動(dòng)保留文檔都會(huì)“感染”上這種宏病毒，而且假如其它用戶打開了感染病毒文檔，宏病毒又會(huì)轉(zhuǎn)移到他計(jì)算機(jī)上。Word無(wú)法掃描軟盤、硬盤或網(wǎng)絡(luò)驅(qū)動(dòng)器上宏病毒（要得到這種保護(hù)，需要購(gòu)置和安裝專門防病毒軟件）。但當(dāng)打開一個(gè)含有可能攜帶病毒宏文檔時(shí)，Word能夠顯示警告信息。計(jì)算機(jī)病毒全面概述第47頁(yè)5.4宏病毒2．Excel文檔MicrosoftExcel無(wú)法掃描軟盤、硬盤或網(wǎng)絡(luò)盤來查找和刪除宏病毒。假如需要這種保護(hù)，則需要購(gòu)置和安裝反病毒軟件。然而，每次打開含有宏工作簿時(shí)，MicrosoftExcel都會(huì)顯示警告信息，然后選擇是以允許運(yùn)行宏方式還是禁止運(yùn)行宏方式打開工作簿。假如以禁止運(yùn)行宏方式打開工作簿，則只能查看和編輯宏。宏病毒只有在允許運(yùn)行時(shí)才是有害，所以禁止宏運(yùn)行能夠使打開工作簿更安全。假如要使工作簿中包含有用宏（比如，企業(yè)中使用訂貨表），則可單擊“啟用宏”，使打開工作簿中宏有效；假如不想讓工作簿中包含宏，或者不太確定工作簿起源可靠性，則可單擊“禁止宏”，使得打開工作簿中宏失效。計(jì)算機(jī)病毒全面概述第48頁(yè)5.4宏病毒3．PowerPoint文槁宏病毒是某種保留在演示文稿或模板內(nèi)宏中計(jì)算機(jī)病毒。比如：PowerPoint能夠在每次打開演示文稿，而且里面宏可能包含病毒時(shí)，顯示警告信息。能夠自行決定打開演示文稿時(shí)是否激活宏或不激活宏。假如希望演示文稿能包含有用宏，能夠啟用宏打開演示文稿。假如不知道演示文稿起源，比如，從電子郵件附件、網(wǎng)絡(luò)或不安全I(xiàn)nternet節(jié)點(diǎn)中得到演示文稿，最好禁用宏打開演示文稿，不要冒險(xiǎn)。要停頓對(duì)宏病毒檢驗(yàn)，能夠在看到病毒警告信息時(shí)，去除“每次打開包含宏文檔前確認(rèn)”復(fù)選框。要徹底中止宏檢驗(yàn)，請(qǐng)單擊“工具”菜單中“選項(xiàng)”，單擊“常規(guī)”選項(xiàng)卡，去除“宏病毒防護(hù)”復(fù)選框。計(jì)算機(jī)病毒全面概述第49頁(yè)5.4宏病毒5.4.8宏病毒實(shí)例Melissa漢字為漂亮莎，是第一個(gè)經(jīng)過用戶郵件通信錄中地址“極其快速地”向外傳輸MS-Word宏病毒。它是