計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

云南工商學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施（反病毒）PAGEII計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施（反病毒）摘要21世紀(jì)，計(jì)算機(jī)網(wǎng)絡(luò)和人類的關(guān)系越來越緊密，它使得人們能夠獲得更加豐富的信息，工作生活方便、快捷和高效，但是，計(jì)算機(jī)網(wǎng)絡(luò)病毒的蔓延，卻給計(jì)算機(jī)安全和應(yīng)用帶來巨大威脅，本文簡要分析了計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)和來源，并提出了必要的防范措施。目前，病毒已成為困擾計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)發(fā)展的重要問題。掌握了計(jì)算機(jī)病毒的基本知識，一旦遇到計(jì)算機(jī)病毒就不會束手無策。本文通過對計(jì)算機(jī)病毒的概念、傳播途徑、怎樣有效地防范等方面做了一個(gè)基本的介紹，使讀者對其有一個(gè)理性的認(rèn)識，以便能最大限度地減少計(jì)算機(jī)病毒所帶來的危害。計(jì)算機(jī)網(wǎng)絡(luò)加快了人類邁進(jìn)信息化社會的步伐，社會、文明、經(jīng)濟(jì)等各領(lǐng)域?qū)崿F(xiàn)了跨越式發(fā)展，但計(jì)算機(jī)網(wǎng)絡(luò)病毒活動的日益猖獗，為信息化技術(shù)和社會發(fā)展帶來重大危害。因此，計(jì)算機(jī)的網(wǎng)絡(luò)安全對于這個(gè)信息時(shí)代來說是很重要的，而且也是很有必要的。關(guān)鍵詞：計(jì)算機(jī)，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)病毒，防范措施，反病毒

目錄第一章緒論 11.1引言 11.2計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀 1第二章計(jì)算機(jī)病毒的原理 22.1計(jì)算機(jī)病毒 22.1.1計(jì)算機(jī)病毒的定義 22.1.2計(jì)算機(jī)病毒的特征 22.2計(jì)算機(jī)病毒的分類 32.3計(jì)算機(jī)病毒的入侵方式 32.4計(jì)算機(jī)病毒的傳播 42.5計(jì)算機(jī)病毒對計(jì)算機(jī)應(yīng)用的影響 4第三章計(jì)算機(jī)反病毒技術(shù) 63.1反病毒技術(shù) 63.1.1反病毒技術(shù)的發(fā)展 63.1.2常見的反病毒技術(shù) 63.1.3防、治結(jié)合的反病毒技術(shù) 83.1.4開放的反病毒方向 83.2病毒的檢查 83.2.1比較法 83.2.2搜索法 93.2.3特征字識別法 93.2.4分析法 93.3常見的病毒前綴的解釋（針對用得最多的Windows操作系統(tǒng)） 10第四章病毒案例分析 124.1熊貓燒香病毒 124.1.1病毒特征 124.1.2病毒詳細(xì)行為 134.2熊貓燒香病毒解決方案 14第五章總結(jié) 15參考文獻(xiàn) 16致謝 17 計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施第14頁共19頁第一章緒論1.1引言在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人，使他們受益，同樣，信息也可以用來對他們構(gòu)成威脅，造成破壞。因此網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有治理方面的問題，兩方面相互補(bǔ)充，缺一不可。國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的熟悉和要求也就不同。從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有治理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。1.2計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時(shí)空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門、Rootkits、DOS和Sniffer是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時(shí)至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。第二章計(jì)算機(jī)病毒的原理2.1計(jì)算機(jī)病毒2.1.1計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。而在一般教科書及通用資料中被定義為：利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼。計(jì)算機(jī)病毒最早出現(xiàn)在70年代DavidGerrold科幻小說WhenH.A.R.L.I.E.wasOne.最早科學(xué)定義出現(xiàn)在1983:在FredCohen(南加大)的博士論文“計(jì)算機(jī)病毒實(shí)驗(yàn)”“一種能把自己(或經(jīng)演變)注入其它程序的計(jì)算機(jī)程序”啟動區(qū)病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機(jī)制同生物病毒類似.生物病毒是把自己注入細(xì)胞之中。計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。2.1.2計(jì)算機(jī)病毒的特征1、非授權(quán)可執(zhí)行性用戶通常調(diào)用執(zhí)行一個(gè)程序時(shí),把系統(tǒng)控制交給這個(gè)程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運(yùn)行完成用戶的需求。因此程序執(zhí)行的過程對用戶是透明的。而計(jì)算機(jī)病毒是非法程序,正常用戶是不會明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性:可存儲性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當(dāng)用戶運(yùn)行正常程序時(shí),病毒伺機(jī)竊取到系統(tǒng)的控制權(quán),得以搶先運(yùn)行,然而此時(shí)用戶還認(rèn)為在執(zhí)行正常程序。2、隱蔽性計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中,或者磁盤上標(biāo)為壞簇的扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲性。病毒想方設(shè)法隱藏自身,就是為了防止用戶察覺。3、傳染性傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。病毒程序一旦侵入計(jì)算機(jī)系統(tǒng)就開始搜索可以傳染的程序或者磁介質(zhì),然后通過自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá),計(jì)算機(jī)病毒可以在極短的時(shí)間內(nèi),通過像Internet這樣的網(wǎng)絡(luò)傳遍世界。4、潛伏性計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來,然后在用戶不察覺的情況下進(jìn)行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長,病毒傳染的范圍也越廣,其危害性也越大。5、表現(xiàn)性或破壞性無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤存儲空間以及系統(tǒng)運(yùn)行時(shí)間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運(yùn)行,還有一些病毒程序刪除文件,加密磁盤中的數(shù)據(jù),甚至摧毀整個(gè)系統(tǒng)和數(shù)據(jù),使之無法恢復(fù),造成無可挽回的損失。因此,病毒程序的副作用輕者降低系統(tǒng)工作效率,重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。6、可觸發(fā)性計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制,使之進(jìn)行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計(jì)者的要求,在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入特定字符,使用特定文件,某個(gè)特定日期或特定時(shí)刻,或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。2.2計(jì)算機(jī)病毒的分類1、計(jì)算機(jī)病毒按破壞性分：可分為:良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒。2、按傳染方式分：引導(dǎo)區(qū)型病毒,引導(dǎo)區(qū)型病毒主要通過軟盤在操作系統(tǒng)中傳播，感染引導(dǎo)區(qū)，蔓延到硬盤，并能感染到硬盤中的"主引導(dǎo)記錄"。文件型病毒,文件型病毒是文件感染者，也稱為寄生病毒。它運(yùn)行在計(jì)算機(jī)存儲器中，通常感染擴(kuò)展名為COM、EXE、SYS等類型的文件?；旌闲筒《?混合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特點(diǎn)。宏病毒,宏病毒是指用BASIC語言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。3、按連接方式分：源碼型病毒,它攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。源碼型病毒較為少見，亦難以編寫。入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。操作系統(tǒng)型病毒,操作系統(tǒng)型病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。外殼型病毒,外殼型病毒通常將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類。2.3計(jì)算機(jī)病毒的入侵方式1、宏病毒宏病毒發(fā)作方式:在Word打開病毒文檔時(shí)，宏會接管計(jì)算機(jī)，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲存它們的宏。這樣的結(jié)果是某些Word版本會強(qiáng)迫你將感染的文檔儲存在模板中。防范措施:平時(shí)最好不要幾個(gè)人共用一個(gè)Office程序，要加載實(shí)時(shí)的病毒防護(hù)功能。病毒的變種可以附帶在郵件的附件里，在用戶打開郵件或預(yù)覽郵件的時(shí)候執(zhí)行，應(yīng)該留意。一般的殺毒軟件都可以清除宏病毒。2、CIH病毒發(fā)作破壞方式:主要是通過篡改主板BIOS里的數(shù)據(jù)，造成電腦開機(jī)就黑屏，從而讓用戶無法進(jìn)行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡(luò)上通過捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤上的文件及破壞硬盤的分區(qū)表。所以CIH發(fā)作以后，即使換了主板或其他電腦引導(dǎo)系統(tǒng)，如果沒有正確的分區(qū)表備份，染毒的硬盤上特別是其C分區(qū)的數(shù)據(jù)挽回的機(jī)會很少。防范措施:已經(jīng)有很多CIH免疫程序誕生了，包括病毒制作者本人寫的免疫程序。一般運(yùn)行了免疫程序就可以不怕CIH了。如果已經(jīng)中毒，但尚未發(fā)作，記得先備份硬盤分區(qū)表和引導(dǎo)區(qū)數(shù)據(jù)再進(jìn)行查殺，以免殺毒失敗造成硬盤無法自舉。。3、木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來害人。防范措施:用戶提高警惕，不下載和運(yùn)行來歷不明的程序，對于不明來歷的郵件附件也不要隨意打開。2.4計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的傳染分兩種。一種是在一定條件下方可進(jìn)行傳染,即條件傳染。另一種是對一種傳染對象的反復(fù)傳染即無條件傳染。從目前蔓延傳播病毒來看所謂條件傳染,是指一些病毒在傳染過程中,在被傳染的系統(tǒng)中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統(tǒng)時(shí),發(fā)現(xiàn)有自己的標(biāo)志則不再進(jìn)行傳染,如果是一個(gè)新的系統(tǒng)或軟件,首先讀特定位置的值,并進(jìn)行判斷,如果發(fā)現(xiàn)讀出的值與自己標(biāo)識不一致,則對這一系統(tǒng)或應(yīng)用程序,或數(shù)據(jù)盤進(jìn)行傳染,這是一種情況；另一種情況,有的病毒通過對文件的類型來判斷是否進(jìn)行傳染,如黑色星期五病毒只感染.COM或.EXE文件等等；還有一種情況有的病毒是以計(jì)算機(jī)系統(tǒng)的某些設(shè)備為判斷條件來決定是否感染。例如大麻病毒可以感染硬盤,又可以感染軟盤,但對B驅(qū)動器的軟盤進(jìn)行讀寫操作時(shí)不傳染。但我們也發(fā)現(xiàn)有的病毒對傳染對象反復(fù)傳染。例如黑色星期五病毒只要發(fā)現(xiàn).EXE文件就進(jìn)行一次傳染,再運(yùn)行再進(jìn)行傳染反復(fù)進(jìn)行下去?？梢娪袟l件時(shí)病毒能傳染,無條件時(shí)病毒也可以進(jìn)行傳染。2.5計(jì)算機(jī)病毒對計(jì)算機(jī)應(yīng)用的影響1．病毒激發(fā)對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用大部分病毒在激發(fā)的時(shí)候直接破壞計(jì)算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMO5設(shè)置等。磁盤殺手病毒（D1SKKILLER），內(nèi)含計(jì)數(shù)器，在硬盤染毒后累計(jì)開機(jī)時(shí)間48小時(shí)內(nèi)激發(fā)，激發(fā)的時(shí)候屏幕上顯示“Warning!!Don'tturnoffpowerorremovediskettewhileDiskKillerisProsessing！”（警告！D1SKKILLERll1在工作，不要關(guān)閉電源或取出磁盤），改寫硬盤數(shù)據(jù)。被D1SKKILLER破壞的硬盤可以用殺毒軟件修復(fù)，不要輕易放棄。2．占用磁盤空間和對信息的破壞寄生在磁盤上的病毒總要非法占用一部分磁盤空間。引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是引導(dǎo)型病毒要覆蓋一個(gè)磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。文件型病毒利用一些DOS功能進(jìn)行傳染，這些DOS功能能夠檢測出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部位去。所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間。一些文件型病毒傳染速度很快，在短時(shí)間內(nèi)感染大量文件，每個(gè)文件都不同程度地加長了，就造成磁盤空間的嚴(yán)重浪費(fèi)。3．搶占系統(tǒng)資源除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當(dāng)。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運(yùn)行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運(yùn)行。計(jì)算機(jī)操作系統(tǒng)的很多功能是通過中斷調(diào)用技術(shù)來實(shí)現(xiàn)的。病毒為了傳染激發(fā)，總是修改一些有關(guān)的中斷地址，在正常中斷過程中加入病毒的“私貨”，從而干擾了系統(tǒng)的正常運(yùn)行。4．影響計(jì)算機(jī)運(yùn)行速度病毒進(jìn)駐內(nèi)存后不但干擾系統(tǒng)運(yùn)行，還影響計(jì)算機(jī)速度，主要表現(xiàn)在：5．計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害計(jì)算機(jī)病毒與其他計(jì)算機(jī)軟件的一大差別是病毒的無責(zé)任性。編制一個(gè)完善的計(jì)算機(jī)軟件需要耗費(fèi)大量的人力、物力，經(jīng)過長時(shí)間調(diào)試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計(jì)算機(jī)病毒都是個(gè)別人在一臺計(jì)算機(jī)上匆匆編制調(diào)試后就向外拋出。6．計(jì)算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響兼容性是計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之兼容性差的軟件則對運(yùn)行條件“挑肥揀瘦”，要求機(jī)型和操作系統(tǒng)版本等。7．計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力據(jù)有關(guān)計(jì)算機(jī)銷售部門統(tǒng)計(jì)，計(jì)算機(jī)售后用戶懷疑“計(jì)算機(jī)有病毒”而提出咨詢約占售后服務(wù)工作量的60％以上。經(jīng)檢測確實(shí)存在病毒的約占70％，另有30％情況只是用戶懷疑，而實(shí)際上計(jì)算機(jī)并沒有病毒。那么用戶懷疑病毒的理由是什么呢？多半是出現(xiàn)諸如計(jì)算機(jī)死機(jī)、軟件運(yùn)行異常等現(xiàn)象。這些現(xiàn)象確實(shí)很有可能是計(jì)算機(jī)病毒造成的。但又不全是，實(shí)際上在計(jì)算機(jī)工作“異?！钡臅r(shí)候很難要求一位普通用戶去準(zhǔn)確判斷是否是病毒所為。大多數(shù)用戶對病毒采取寧可信其有的態(tài)度，這對于保護(hù)計(jì)算機(jī)安全無疑是十分必要的，然而往往要付出時(shí)間、金錢等方面的代價(jià)。僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補(bǔ)。不僅是個(gè)人單機(jī)用戶，在一些大型網(wǎng)絡(luò)系統(tǒng)中也難免為甄別病毒而停機(jī)。

第三章計(jì)算機(jī)反病毒技術(shù)3.1反病毒技術(shù)3.1.1反病毒技術(shù)的發(fā)展第一代反病毒技術(shù)是采取單純的病毒特征代碼分析，將病毒從帶毒文件中清除掉。這種方式可以準(zhǔn)確地清除病毒，可靠性很高。后來病毒技術(shù)發(fā)展了，特別是加密和變形技術(shù)的運(yùn)用，使得這種簡單的靜態(tài)掃描方式失去了作用。隨之而來的反病毒技術(shù)也發(fā)展了一步。第二代反病毒技術(shù)是采用靜態(tài)廣譜特征掃描方法檢測病毒，這種方式可以更多地檢測出變形病毒，但另一方面誤報(bào)率也提高，尤其是用這種不嚴(yán)格的特征判定方式去清除病毒帶來的風(fēng)險(xiǎn)性很大，容易造成文件和數(shù)據(jù)的破壞。所以說靜態(tài)防病毒技術(shù)也有難以克服的缺陷。第三代反病毒技術(shù)的主要特點(diǎn)是將靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)結(jié)合起來，將查找病毒和清除病毒合二為一，形成一個(gè)整體解決方案，能夠全面實(shí)現(xiàn)防、查、殺等反病毒所必備的各種手段，以駐留內(nèi)存方式防止病毒的入侵，凡是檢測到的病毒都能清除，不會破壞文件和數(shù)據(jù)。隨著病毒數(shù)量的增加和新型病毒技術(shù)的發(fā)展，靜態(tài)掃描技術(shù)將會使反毒軟件速度降低，駐留內(nèi)存防毒模塊容易產(chǎn)生誤報(bào)。第四代反病毒技術(shù)則是針對計(jì)算機(jī)病毒的發(fā)展而基于病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理，啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)的解毒技術(shù)，較好的解決了以前防毒技術(shù)顧此失彼、此消彼長的狀態(tài)。3.1.2常見的反病毒技術(shù)1、特征碼技術(shù)。特征碼技術(shù)是反病毒技術(shù)中最基本的技術(shù)，也是反病毒軟件普遍采用的方法，是基于已知病毒的靜態(tài)反病毒技術(shù)。反病毒研究人員通過對病毒樣本的分析，提取病毒中具有代表性的數(shù)據(jù)串寫入反病毒軟件的病毒庫。當(dāng)反病毒軟件查毒時(shí)發(fā)現(xiàn)目標(biāo)文件中的代碼與反病毒軟件病毒庫中的特征碼相符合時(shí)，就認(rèn)為該文件含毒并對其進(jìn)行清除。2、基于虛擬機(jī)的反病毒技術(shù)。所謂基于虛擬機(jī)的反病毒技術(shù)就是對難以查找特征碼的病毒用軟件虛擬CPU實(shí)現(xiàn)其代碼執(zhí)行過程，得到病毒明文，再尋找病毒特征碼。這是一種專門對付變形病毒的方法。3、行為監(jiān)視法。病毒感染文件時(shí)，常常有一些不同于正常程序的行為。行為監(jiān)視法就是引入一些人工智能技術(shù)，通過分析檢查對象的邏輯結(jié)構(gòu)，將其分為多個(gè)模塊，分別引入虛擬機(jī)中執(zhí)行并監(jiān)測，從而查出使用特定觸發(fā)條件的病毒。這種方法專門針對未知病毒和變形病毒而設(shè)計(jì)，并且將查找病毒和清除病毒合二為一，能查亦能殺，但由于采用人工智能技術(shù)，需要常駐內(nèi)存，實(shí)現(xiàn)起來也有一定的技術(shù)難度。啟發(fā)式分析模型，這種模型既可以實(shí)現(xiàn)對已知木馬的查殺，又可以對未知木馬進(jìn)行啟發(fā)式分析，并將分析數(shù)據(jù)提交專家系統(tǒng)，由專家系統(tǒng)對其判定，并實(shí)時(shí)對數(shù)據(jù)庫進(jìn)行更新，最終實(shí)現(xiàn)對未知木馬的查殺。該模型主要有八大模塊，分別為：靜態(tài)檢測、動態(tài)檢測、動態(tài)監(jiān)控、查殺引擎、隔離機(jī)、動態(tài)推理機(jī)、啟發(fā)式分析機(jī)和專家系統(tǒng)。（1）已知木馬查殺模型工作流程用戶啟動程序，調(diào)用查殺引擎，查殺引擎首先調(diào)用動態(tài)檢測模塊，如果發(fā)現(xiàn)木馬，先記住木馬文件存放位置，然后將木馬進(jìn)程殺掉，并清除注冊表中的相關(guān)鍵值，然后調(diào)用靜態(tài)檢測模塊，根據(jù)前面得到的木馬存放位置，找到木馬文件，并通過與查殺引擎交互，看是否需要隔離機(jī)的合作從而放入隔離庫中。（2）未知木馬檢測模型工作流程用戶啟動程序，調(diào)用查殺引擎，查殺引擎首先調(diào)用動態(tài)檢測模塊，如果未發(fā)現(xiàn)與已知木馬相符的信息，則調(diào)用動態(tài)推理機(jī)，通過一定的推理規(guī)則進(jìn)行分析，并與專家系統(tǒng)聯(lián)系，自動更新動態(tài)行為庫和文件特征碼庫。有了新的庫之后，系統(tǒng)將再次調(diào)用查殺引擎重復(fù)上面的步驟。如果這個(gè)時(shí)候，還不能夠確定它是木馬，則詢問用戶是否啟用啟發(fā)式分析機(jī)，如果用戶同意則調(diào)用啟發(fā)式分析機(jī)，對某些原始數(shù)據(jù)進(jìn)行分析，通過一定的過程處理之后，如果發(fā)現(xiàn)確實(shí)可疑，則通過信使向?qū)＜蚁到y(tǒng)發(fā)送文件信息、原始數(shù)據(jù)等信息。專家系統(tǒng)在對信使發(fā)送的數(shù)據(jù)實(shí)驗(yàn)分析之后，就可以做出一定的判斷，如果確定為新木馬，則需要對各個(gè)庫里的數(shù)據(jù)進(jìn)行更新。這樣之后，用戶就可以重復(fù)（1）中的步驟，對木馬實(shí)施相應(yīng)的處理4、CRC檢查。循環(huán)冗余校驗(yàn)CRC(CyclicRedundancyCheck)是對一個(gè)傳送數(shù)據(jù)塊進(jìn)行高效的差錯(cuò)控制方法。CRC掃描的原理是計(jì)算磁盤中的實(shí)際文件或系統(tǒng)扇區(qū)的CRC值(檢驗(yàn)和)，這些CRC值被殺毒軟件保存到自己的數(shù)據(jù)庫中，在運(yùn)行殺毒軟件時(shí)，用備份的CRC值與當(dāng)前計(jì)算的值比較，這樣就可以知道文件是否已經(jīng)修改或被病毒感染。5、解壓縮與去殼。病毒隱藏自身的方法有加殼和壓縮兩種方法。加殼是通過一系列的數(shù)學(xué)運(yùn)算，將可執(zhí)行程序或動態(tài)鏈接文件的編碼進(jìn)行改變，以達(dá)到縮小程序體積或加密程序編碼的目的。病毒通過使用不同種類或者不同版本的加殼軟件，對自身進(jìn)行加殼，使得殺毒軟件無法發(fā)現(xiàn)真正的病毒體，以逃避查殺。為了檢測已加殼的病毒，就必須要針對不同種類和不同版本的殼編寫脫殼程序，才可以發(fā)現(xiàn)殼內(nèi)隱藏的真正病毒體。所以，殺毒軟件對病毒的查殺能力在一定程度上取決于自身的脫殼能力。3.1.3防、治結(jié)合的反病毒技術(shù)

計(jì)算機(jī)病毒流行以來，市場上立即出現(xiàn)大量的反病毒軟件和硬件，它們采用的反病毒技術(shù)大致可以分為兩種基本類型：一是治療型的，一是預(yù)防型的。治療型防病毒技術(shù)是根據(jù)已出現(xiàn)的各種具體計(jì)算機(jī)病毒的具體特征（如破壞引導(dǎo)區(qū)、破壞目錄區(qū)或增長文件長度等）設(shè)計(jì)具體的檢測病毒或殺病毒的軟件，這是一種針鋒相對的方法，出現(xiàn)一種病毒，研究一種防病毒軟件，效果明顯，但比較被動和消極；預(yù)防性防病毒技術(shù)則是根據(jù)病毒的一般特征與行為規(guī)則來設(shè)計(jì)病毒檢測軟件，它常作為操作系統(tǒng)的一部分常駐內(nèi)存中，實(shí)時(shí)檢測病毒入侵操作系統(tǒng)的可能異常狀態(tài)而發(fā)現(xiàn)病毒，這種方法顯然具有更積極和主動的反病毒作用，但難度較大。所以現(xiàn)在反病毒技術(shù)仍需從治療和預(yù)防兩者結(jié)合的方向發(fā)展。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，反病毒技術(shù)還應(yīng)根據(jù)具體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)特點(diǎn)進(jìn)行一體化的安排，如根據(jù)客戶機(jī)-服務(wù)器所用操作系統(tǒng)選擇或設(shè)計(jì)不同的反病毒軟件、在網(wǎng)絡(luò)通信卡中插入專門反病毒芯片、檢查可能通過網(wǎng)絡(luò)傳輸?shù)膸Р《疚募取Ａ硗?，無論采用哪一種反病毒技術(shù)還應(yīng)考慮不能過多影響網(wǎng)絡(luò)系統(tǒng)本身的開銷，并注意反病毒軟件本身的抗病毒能力。3.1.4開放的反病毒方向病毒和反病毒如同加密與解密一樣，是一個(gè)不斷對抗和發(fā)展的過程，舊的病毒被發(fā)現(xiàn)和清除，仍會不斷有新的病毒被制造出來。開放的反病毒技術(shù)就是使反病毒具有自適應(yīng)病毒變化和更新的能力，例如設(shè)計(jì)病毒分析程序，在大量分析各種病毒特征及行為規(guī)則基礎(chǔ)上建立病毒數(shù)據(jù)庫，并在使用中向用戶開放，不斷把新的病毒特征信息輸入以增強(qiáng)其抗病毒能力。3.2病毒的檢查計(jì)算機(jī)病毒發(fā)作后，必然會留下痕跡。所謂檢測計(jì)算機(jī)病毒，就是要到病毒寄生場所去檢查、發(fā)現(xiàn)異常情況，并最終確認(rèn)計(jì)算機(jī)病毒是否存在。病毒靜態(tài)時(shí)存儲于磁盤中，激活時(shí)駐留在內(nèi)存中。因此對計(jì)算機(jī)病毒的檢測分為對內(nèi)存的檢測和對磁盤的檢測。對磁盤進(jìn)行病毒檢測時(shí)，要求內(nèi)存中不帶病毒。因?yàn)槟承┯?jì)算機(jī)病毒會向檢測者報(bào)告假情況。從原始的、未受病毒感染的DOS系統(tǒng)軟盤啟動，可以保證內(nèi)存中不帶病毒。啟動必須是上電啟動而不是熱啟動，因?yàn)槟承┎《就ㄟ^截取鍵盤中斷，會將自己仍然駐留在內(nèi)存中。若要檢測硬盤中的病毒，則啟動系統(tǒng)軟盤的DOS版本應(yīng)該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號。檢測磁盤中的病毒可分為檢測引導(dǎo)區(qū)型病毒和檢測文件型病毒。這兩種檢測從原理上來說基本上是一樣的，但由于各自的存儲方式不同，檢測方法是有差別的。主要的病毒檢測方法有以下四種：3.2.1比較法比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單進(jìn)行比較，或用程序來進(jìn)行比較。這時(shí)不需要專用的查病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。此外，比較法還可以發(fā)現(xiàn)一些不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。病毒傳播速度很快，新病毒層出不窮。目前沒有，今后也不可能有通用的能查出一切病毒的查毒程序，因此，比較法是一種發(fā)現(xiàn)新病毒的重要方法。當(dāng)然，若比較法與其他方法結(jié)合使用效果會更好。使用比較法可以發(fā)現(xiàn)異常情況，比如，文件長度的變化，或文件內(nèi)的程序代碼的變化等。對硬盤主引導(dǎo)區(qū)或?qū)OS的引導(dǎo)扇區(qū)進(jìn)行檢測，通過比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進(jìn)行比較，保留好原始備份是非常重要的。制作備份時(shí)必須在無病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管。比較法的優(yōu)點(diǎn)是：簡單、方便和不需專用軟件。缺點(diǎn)是：無法確認(rèn)病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是否真的有病毒。3.2.2搜索法搜索法是用每一種病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，則表明發(fā)現(xiàn)了該字符串所代表的病毒。搜索法所用的軟件叫病毒掃描軟件，它由兩部分組成：一部分是病毒代碼庫，含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。國內(nèi)常見的病毒掃描程序有我國公安部發(fā)行的SCAN．EXE和美國McAfeeAssociates的SCAN．EXE。病毒掃描程序能夠識別多少計(jì)算機(jī)病毒，完全取決于病毒代碼庫內(nèi)所含病毒的種類。庫中病毒代碼種類越多，掃描程序能辨認(rèn)出的病毒也就越多。病毒代碼串的選擇非常重要。病毒代碼長度可以從短的100多個(gè)字節(jié)到長的超過10KB。如果隨意從病毒體內(nèi)選一段代碼作為代表該病毒的特征代碼串，那么可能在不同的環(huán)境中，該特征串并不真正具有代表性。所以，病毒代碼庫的特征串是不能隨意選擇的。3.2.3特征字識別法計(jì)算機(jī)病毒的特征字識別法是基于特征串掃描法發(fā)展起來的一種新方法。它的工作速度更快、誤報(bào)警更少。特征字識別法只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來組成特征字庫。由于需要處理的字節(jié)很少，且又不必進(jìn)行串匹配，因此，大大加快了識別速度。當(dāng)被處理的程序很大時(shí)，特征字識別法的速度優(yōu)勢更突出?；谔卣鞔畳呙璺ǖ牟椴《拒浖c基于特征字識別法的查病毒軟件的使用方法是一樣的。只要運(yùn)行查毒程序，就能將已知的病毒檢查出來。將這兩種方法應(yīng)用到實(shí)際中，還需要不斷地對病毒庫進(jìn)行擴(kuò)充，一旦捕捉到新病毒，經(jīng)過提取特征并加入到病毒庫，就能使查病毒程序多檢查出一種新病毒來。使用查毒軟件的人，不需要了解太多的病毒知識。但病毒代碼庫的維護(hù)更新人員，卻需要具備相當(dāng)多的關(guān)于病毒和操作系統(tǒng)等方面的知識。3.2.4分析法這是一種主要由反病毒技術(shù)人員使用的方法，普通用戶不必使用。分析法的目的在于：（l）確認(rèn)被檢測的磁盤引導(dǎo)區(qū)和程序中是否真的含有病毒；（2）如果有病毒，則需要確認(rèn)病毒的類型、種類以及是否是新病毒；（3）如果是新病毒，則要搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字符串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用；（4）詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。使用分析法，要求使用者具有比較全面的有關(guān)PC機(jī)、DOS結(jié)構(gòu)和功能調(diào)用以及關(guān)于病毒方面的各種知識。同時(shí)，使用分析法，還需要DEBUG，PROVIEW對等分析用工具程序和專用的試驗(yàn)用計(jì)算機(jī)。因?yàn)椋词故呛苁炀毜姆床《炯夹g(shù)人員，使用性能完善的分析軟件，也不能保證在短時(shí)間內(nèi)將病毒代碼完全分析清楚。而病毒有可能在被分析階段繼續(xù)傳染、發(fā)作，甚至把磁盤內(nèi)的數(shù)據(jù)完全毀壞掉，這就要求分析工作必須在專用計(jì)算機(jī)上進(jìn)行。病毒檢測的分析法是反病毒工作中不可缺少的重要技術(shù)，任何一個(gè)性能優(yōu)良的反病毒系統(tǒng)的研制和開發(fā)都離不開專門人員對各種病毒的詳盡而認(rèn)真的分析。常用的病毒檢查軟件可以分為以下幾類：病毒掃描軟件。這類軟件找到病毒的主要辦法之一就是尋找病毒特征。這些病毒特征能唯一地識別某種類型的病毒。掃描軟件能在程序中尋找出病毒特征。判別病毒掃描軟件好壞的一個(gè)重要指標(biāo)就是“誤診”率。如果“誤診”率太高，就會帶來不必要的虛驚。掃描軟件必須隨時(shí)更新，因?yàn)樾碌牟《驹诓粩嘤楷F(xiàn)，而且有些病毒還具有變異性和多態(tài)性。完整性檢查軟件。此類軟件可以用來監(jiān)視文件的改變。當(dāng)病毒破壞了用戶的文件，這種軟件就可以幫助用戶發(fā)現(xiàn)病毒。但這種軟件的缺點(diǎn)是只有在病毒產(chǎn)生了破壞作用之后，才可能發(fā)現(xiàn)病毒。因此，用戶的信息系統(tǒng)或網(wǎng)絡(luò)可能在完整性檢查軟件開始檢測之前就已經(jīng)感染上了病毒。完整性檢查軟件的“誤診”率相對較高，比如，由于軟件的正常升級或程序設(shè)置的改變等原因都可以導(dǎo)致“誤診”。由于完整性檢查軟件主要檢查文件的改變，所以它們更適合于對付多態(tài)和變異病毒。行為封鎖軟件。此類軟件有別于在文件中尋找或觀察文件被改變的軟件，它們試圖在病毒開始工作時(shí)就阻止病毒。在異常事件發(fā)生前，行為封鎖軟件就可能會檢測到異常情況，并警告用戶。當(dāng)然，有時(shí)的“可疑行為”實(shí)際上是完全正常的，所以“誤診”總是難免的。比如，一個(gè)文件調(diào)用另一個(gè)可執(zhí)行文件就可能是存在伴隨型病毒的征兆，但也可能是某個(gè)軟件包要求的一種操作。3.3常見的病毒前綴的解釋（針對用得最多的Windows操作系統(tǒng)）1、系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進(jìn)行傳播。如CIH病毒。2、蠕蟲病毒蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。3、木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個(gè)可視的界面，能對用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進(jìn)行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有大家可能遇見比較多的針對網(wǎng)絡(luò)游戲的木馬病毒如Trojan.LMir.PSW.60。這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么PWD之類的一般都表示這個(gè)病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。4、腳本病毒腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5、宏病毒其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進(jìn)行傳播，如：著名的美麗莎(Macro.Melissa)。6、后門病毒后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot。7、病毒種植程序病毒這類病毒的公有特性是運(yùn)行時(shí)會從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。8．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒便會直接對用戶計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。9．玩笑病毒玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒會做出各種破壞操作來嚇唬用戶，其實(shí)病毒并沒有對用戶電腦進(jìn)行任何破壞。如：女鬼（Joke.Girlghost）病毒。10．捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些捆綁病毒時(shí)，會表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。以上為比較常見的病毒前綴，有時(shí)候還會看到一些其他的，但比較少見，這里簡單提一下：DoS：會針對某臺主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；Exploit：會自動通過溢出對方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；HackTool：黑客工具，也許本身并不破壞你的機(jī)子，但是會被別人加以利用來用你做替身去破壞別人。

第四章病毒案例分析4.1熊貓燒香病毒“武漢男生”，俗稱“熊貓燒香”，這是一個(gè)感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。4.1.1病毒特征1:拷貝文件病毒運(yùn)行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe。2:添加注冊表自啟動病毒會添加自啟動項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe。3:病毒行為a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序：QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、esteemproces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword。并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword。添加注冊表使自己自啟動HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Runsvcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系統(tǒng)中以下的進(jìn)程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exeb:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行netshare命令關(guān)閉admin$共享。c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行netshare命令關(guān)閉admin$共享。d:每隔6秒刪除安全軟件在注冊表中的鍵值并修改以下值不顯示隱藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00刪除以下服務(wù):navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntorMskService、FireSvce:感染文件病毒會感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴(kuò)展名為htm,html,asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶一但打開了該文件，IE就會不斷的在后臺點(diǎn)擊寫入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的,但病毒不會感染以下文件夾名中的文件：WINDOW、Winnt、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、CommonFiles、ComPlusApplications、Messenger、InstallShieldInstallationInformation、MSN、MicrosoftFrontpage、MovieMaker、MSNGaminZoneg:刪除文件病毒會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。4.1.2病毒詳細(xì)行為復(fù)制自身到系統(tǒng)目錄下：%System%\drivers\spoclsv.exe；創(chuàng)建啟動項(xiàng)：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"；在各分區(qū)根目錄生成病毒副本：X:\setup.exe、X:\autorun.inf；使用netshare命令關(guān)閉管理共享：cmd.exe/cnetshareX$/del/ycmd.exe/cnetshareadmin$/del/y修改“顯示所有文件和文件夾”設(shè)置：[HKEY_LOCAL_MACHINE\SOFTWARE\Micro