信息安全管理第3章3.4有害程序

3.4有害程序3.4有害程序3.4.1有害程序簡(jiǎn)介3.4.2計(jì)算機(jī)病毒3.4.3特洛伊木馬3.4.4僵尸程序3.4.5蠕蟲3.4.6惡意腳本3.4.7有害程序防范技術(shù)3.4.8有害程序相關(guān)法規(guī)與社會(huì)組織3.4.1有害程序簡(jiǎn)介程序：程序是指在一定的軟、硬件環(huán)境下可執(zhí)行的代碼，實(shí)現(xiàn)設(shè)計(jì)者期望的計(jì)算機(jī)行為、狀態(tài)。3.4.1有害程序簡(jiǎn)介有害程序是指侵入計(jì)算機(jī)系統(tǒng)，破壞系統(tǒng)、信息的機(jī)密性、完整性和可用性等的程序。3.4.1有害程序簡(jiǎn)介有害程序的具體表現(xiàn)形式是多種多樣的，常見危害表現(xiàn)形式有：

·格式化硬盤；

·下載運(yùn)行木馬程序；

·注冊(cè)表的鎖定；

·默認(rèn)主頁(yè)修改；

·篡改IE標(biāo)題欄；

·篡改默認(rèn)搜索引擎；

·IE右鍵修改；

·篡改地址欄文字；

·啟動(dòng)時(shí)彈出對(duì)話框；

·IE窗口定時(shí)彈出；

·禁止使用計(jì)算機(jī)。3.4.1有害程序簡(jiǎn)介有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲事件、木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件7個(gè)第二層分類。有害程序事件①計(jì)算機(jī)病毒事件是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致的信息安全事件。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制。有害程序事件②蠕蟲事件是指蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導(dǎo)致的信息安全事件。蠕蟲是指除計(jì)算機(jī)病毒以外，利用信息系統(tǒng)缺陷，通過(guò)網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序。有害程序事件③木馬事件是指蓄意制造、傳播木馬程序，或是因受到木馬程序影響而導(dǎo)致的信息安全事件。木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能。有害程序事件病毒、蠕蟲和木馬病毒會(huì)導(dǎo)致計(jì)算機(jī)徹底損壞，或者破壞你的Windows組件，或者破壞文件，導(dǎo)致系統(tǒng)無(wú)法正常使用等等，突出破壞性。蠕蟲是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，更側(cè)重與說(shuō)明他具有很強(qiáng)的自我復(fù)制性和傳播性，并不一定帶有嚴(yán)重活著明顯的破壞性。木馬就是指的“盜竊”性質(zhì)。它就是專門盜竊信息的，對(duì)系統(tǒng)沒(méi)有特別大的損害。但是，現(xiàn)在的這些病毒，蠕蟲，木馬都有技術(shù)融合性質(zhì)。有害程序事件比如說(shuō)有名的熊貓燒香，就是一個(gè)典型的例子：1）病毒性質(zhì)：它可以屏蔽殺毒字眼，破壞系統(tǒng)安全模式，破壞殺毒軟件，更改圖標(biāo)，這就是病毒性質(zhì)的行為。2）蠕蟲性質(zhì)：它可以在本機(jī)大量復(fù)制自身，并且通過(guò)局域網(wǎng)，U盤等肆意傳播，這是典型的蠕蟲行為。3）木馬行為：通過(guò)前兩個(gè)行為獲得系統(tǒng)控制權(quán)后，瘋狂下載木馬，盜竊用戶信息，這就是典型的木馬行為。有害程序事件④僵尸網(wǎng)絡(luò)事件是指利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲等其他有害程序。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字，是為了更形象的讓人們認(rèn)識(shí)到這類危害的特點(diǎn)：眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣驅(qū)趕和指揮者，成為被人利用的一種工具。有害程序事件⑤混合攻擊程序事件是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其他系統(tǒng)的有害程序，可能兼有計(jì)算機(jī)病毒、蠕蟲、木馬或僵尸網(wǎng)絡(luò)等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合作用的結(jié)果，例如一個(gè)計(jì)算機(jī)病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等。有害程序事件⑥網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件是指蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致的信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)允許由瀏覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)行的有害程序。有害程序事件⑦其他有害程序事件是指不能包含在以上6個(gè)第二層分類之中的有害程序事件。流氓軟件：是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上強(qiáng)行安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件，但已被我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外。3.4.1有害程序簡(jiǎn)介DOS時(shí)代Windows時(shí)代網(wǎng)絡(luò)時(shí)代隨著當(dāng)前移動(dòng)智能終端的發(fā)展，可以預(yù)見，有害程序轉(zhuǎn)戰(zhàn)智能設(shè)備將是未來(lái)的趨勢(shì)。3.4.2計(jì)算機(jī)病毒近年來(lái)，由于計(jì)算機(jī)病毒的泛濫，全世界平均不到20分鐘就會(huì)產(chǎn)生一個(gè)新的病毒。這些病毒通過(guò)Internet傳向世界各個(gè)角落，這意味著連入Internet的計(jì)算機(jī)平均20分鐘就有可能被感染一次。按每天開機(jī)聯(lián)網(wǎng)2小時(shí)，一年內(nèi)可能被全世界所有最新病毒感染2190次。繼傳統(tǒng)方式感染可執(zhí)行文件病毒以后，新病毒以其較強(qiáng)的隱蔽性和相當(dāng)強(qiáng)的傳染性在Internet上廣泛散播開來(lái)。3.4.2計(jì)算機(jī)病毒據(jù)統(tǒng)計(jì)，在我國(guó)企業(yè)、公司級(jí)的網(wǎng)絡(luò)系統(tǒng)中，有90%的計(jì)算機(jī)都曾受到過(guò)病毒的感染。60%以上的計(jì)算機(jī)都曾因病毒而丟失過(guò)文件、數(shù)據(jù)等。計(jì)算機(jī)病毒的侵犯已成為計(jì)算機(jī)安全的最大問(wèn)題，它帶來(lái)的人力和經(jīng)濟(jì)損失是巨大的。目前，病毒在設(shè)計(jì)上越來(lái)越復(fù)雜，在數(shù)量上呈指數(shù)增長(zhǎng)，并在功能和形態(tài)等方面都發(fā)生了很大的變化，病毒的概念己逐漸為人們所熟悉。計(jì)算機(jī)病毒歷史演示DOS環(huán)境下的病毒演示火炬病毒救護(hù)車病毒RescueSuicide火炬病毒該病毒發(fā)作時(shí)，在屏幕顯示五把燃燒的火炬。同時(shí)，該病毒用內(nèi)存的隨機(jī)數(shù)從硬盤的物理第一扇區(qū)開始覆蓋，造成硬盤中的數(shù)據(jù)丟失。救護(hù)車病毒該病毒發(fā)作時(shí)，從屏幕左下角有一輛救護(hù)車跑過(guò)。Rescue病毒病毒發(fā)作時(shí)，顯示一些圖形和文字。Suicide該病毒發(fā)作時(shí)，在屏幕上顯示一幅圖形，告訴你的機(jī)器已經(jīng)被該病毒感染。宏病毒演示DMV病毒Aliance病毒Laroux病毒Concept病毒所謂宏，就是一些命令組織在一起，作為一個(gè)單獨(dú)命令完成一個(gè)特定任務(wù)。MicrosoftWord中對(duì)宏定義為：“宏就是能組織到一起作為一獨(dú)立的命令使用的一系列word命令，它能使日常工作變得更容易”。宏就是把一系列常用的操作作為一個(gè)整體，保存起來(lái)，以后用的時(shí)候直接通過(guò)一定方式用就是了。DMV病毒該病毒據(jù)說(shuō)是第一個(gè)宏病毒，屬于實(shí)驗(yàn)性的，無(wú)破壞性。Aliance病毒該病毒發(fā)作時(shí)，顯示一個(gè)對(duì)話框。Laroux病毒該病毒感染W(wǎng)indowsExcel文檔，圖中顯示的是病毒的宏名。Concept病毒該病毒感染W(wǎng)indowsWord后，將在屏幕上彈出一個(gè)對(duì)話框。Windows環(huán)境下的病毒演示CIH女鬼白雪公主病毒等等……CIH病毒CIH作者陳盈豪駭人聽聞的女鬼病毒恐怖的圖片和音樂(lè)WindowsNT時(shí)代的白雪公主病毒巨大的黑白螺旋占據(jù)了屏幕位置，使計(jì)算機(jī)使用者無(wú)法進(jìn)行任何操作！千年老妖病毒

使計(jì)算機(jī)反復(fù)的關(guān)機(jī)，每60秒一次木馬病毒和黑客程序的遠(yuǎn)程監(jiān)控席卷全球的NIMDA病毒NIMDA病毒的4種傳播方式“震蕩波”(Worm.Sasser)U盤病毒病毒在U盤中放置一個(gè)程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實(shí)是病毒。3.4.2計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制。電腦藍(lán)屏文件損壞熊貓燒香非法彈窗殺毒軟件系統(tǒng)錯(cuò)誤計(jì)算機(jī)病毒之最最具有殺傷力的計(jì)算機(jī)病毒--CIH病毒最浪漫的病毒--ILOVEU最漂亮的病毒--圖片病毒最虔誠(chéng)的病毒--熊貓燒香最煩人的病毒--即時(shí)在線聊天病毒最佳創(chuàng)意的病毒--AV終結(jié)者最流氓的病毒--灰鴿子最堅(jiān)強(qiáng)的病毒--網(wǎng)頁(yè)病毒最牛的病毒--未來(lái)的病毒最具有殺傷力的計(jì)算機(jī)病毒--CIH病毒CIH病毒，它的出現(xiàn)直接顛覆了軟件病毒不能破壞硬件的神話，CIH是一種能夠破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒。這個(gè)病毒產(chǎn)自臺(tái)灣，最早隨國(guó)際兩大盜版集團(tuán)販賣的盜版光盤在歐美等地廣泛傳播，隨后進(jìn)一步通過(guò)Internet傳播到全世界各個(gè)角落。最浪漫的病毒--ILOVEYOUILOVEYOU病毒是用VBScript程序語(yǔ)言編寫的，主要通過(guò)一封信件標(biāo)題為“ILOVEYOU”(我愛(ài)你)的電子郵件散播，附件為“LOVE-LETTER-FOR-YOU.txt.vbs”(獻(xiàn)給你的情書)，一旦執(zhí)行，病毒會(huì)經(jīng)由被感染者Outlook通訊簿的名單發(fā)出自動(dòng)信件，藉以連鎖性的大規(guī)模散播，造成企業(yè)mailserver癱瘓。病毒發(fā)作時(shí)，會(huì)感染并覆寫附檔名為：*.mp3,*.vbs,*.jpg,*.jpeg,*.hta,*.vbe,*.js,*.jse....等文件格式。文件遭到覆寫后，附檔名會(huì)改為*.vbs。最漂亮的病毒--圖片病毒不可否認(rèn)互聯(lián)網(wǎng)發(fā)展到今天，人們對(duì)出現(xiàn)在互聯(lián)網(wǎng)上圖的吸引力遠(yuǎn)遠(yuǎn)大于對(duì)文字的吸引，就有好事者把病毒和圖片捆綁在一起，當(dāng)你打開圖片的同時(shí)病毒已經(jīng)悄無(wú)聲息的進(jìn)入了你的系統(tǒng)。這種病毒對(duì)防范意識(shí)差或者沒(méi)有保護(hù)措施的用戶很容易感染。當(dāng)精美的圖片圖片給你帶來(lái)視覺(jué)享受的時(shí)候，不要忽視病毒很能隨之而來(lái)。最虔誠(chéng)的病毒--熊貓燒香對(duì)于這個(gè)在06年給人們帶來(lái)黑色記憶的病毒，其借助U盤的傳播方式也引領(lǐng)新的反病毒課題，但這一切都沒(méi)有其LOGO的熊貓給人的印象深刻：熊貓拿著三根香虔誠(chéng)的祈禱。最煩人的病毒--即時(shí)在線聊天病毒即時(shí)通病毒困擾了許多人。當(dāng)有一天你發(fā)現(xiàn)你的QQ重要的聊天內(nèi)容被別人盜取了，或者程序自動(dòng)給好友發(fā)送廣告信息，你是否會(huì)很煩躁呢？最佳創(chuàng)意的病毒--AV終結(jié)者一個(gè)病毒可以徹底干掉殺毒軟件不算什么，但是可以屏蔽掉所有的有關(guān)殺毒字樣，表現(xiàn)出了很獨(dú)特的創(chuàng)意。最流氓的病毒--灰鴿子業(yè)內(nèi)關(guān)于木馬是否是病毒的爭(zhēng)論已經(jīng)很久，但當(dāng)你聽了著名的木馬開發(fā)者灰鴿子工作室的回答后，你再也不會(huì)懷疑木馬不是病毒了，“木馬不是病毒，只是遠(yuǎn)程控制程序”。想想你的電腦正在被別人控制，那你的什么信息還安全呢？最流氓的病毒也只有灰鴿子莫屬。最堅(jiān)強(qiáng)的病毒--網(wǎng)頁(yè)病毒什么是web安全？說(shuō)白了就是www(萬(wàn)維網(wǎng)），網(wǎng)馬和惡意軟件的出現(xiàn)后，web就沒(méi)有再安全過(guò)，泛濫的網(wǎng)馬，令人氣憤的惡意程序，這一切都使得頑強(qiáng)的網(wǎng)頁(yè)病毒成功摘得“最堅(jiān)強(qiáng)的病毒”的桂冠。最牛的病毒--未來(lái)的病毒計(jì)算機(jī)技術(shù)在發(fā)展，你就不必懷疑病毒技術(shù)也在發(fā)展，所以今天你可能認(rèn)識(shí)了所有的病毒，你可能用了最全面的反病毒措施，但你永遠(yuǎn)也預(yù)測(cè)不了明天將要發(fā)生什么。計(jì)算機(jī)病毒產(chǎn)生原因究其產(chǎn)生的原因不外乎以下幾種：(1)一些計(jì)算機(jī)愛(ài)好者出于好奇或興趣，也有的是為了滿足自己的表現(xiàn)欲，故意編制出一些特殊的計(jì)算機(jī)程序，讓別人的電腦出現(xiàn)一些動(dòng)畫，或播放聲音，或提出問(wèn)題讓使用者回答，以顯示自己的才干。而此種程序流傳出去就演變成計(jì)算機(jī)病毒，此類病毒破壞性一般不大。(2)產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。如祖國(guó)臺(tái)灣的學(xué)生陳盈豪，就是出于此種情況；他以前購(gòu)買了一些殺病毒軟件，可拿回家一用，并不如廠家所說(shuō)的那么厲害，殺不了什么病毒，于是他就想親自編寫一個(gè)能避過(guò)各種殺病毒軟件的病毒，這樣，CIH就誕生了。計(jì)算機(jī)病毒產(chǎn)生原因(3)來(lái)源于軟件加密。一些商業(yè)軟件公司為了不讓自己的軟件被非法復(fù)制和使用，運(yùn)用加密技術(shù)，編寫一些特殊程序附在正版軟件上，如遇到非法使用，則此類程序自動(dòng)激活，于是又會(huì)產(chǎn)生一些新病毒，如“巴基斯坦”病毒。(4)產(chǎn)生于游戲，編程人員在無(wú)聊時(shí)互相編制一些程序輸入計(jì)算機(jī)，讓程序去銷毀對(duì)方的程序，如最早的“磁芯大戰(zhàn)”，這樣，另一些病毒也產(chǎn)生了。計(jì)算機(jī)病毒產(chǎn)生原因(5)用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序，由于某種原因失去控制而擴(kuò)散出來(lái)。(6)由于政治、經(jīng)濟(jì)和軍事等特殊目的，一些組織或個(gè)人也會(huì)編制一些程序用于進(jìn)攻對(duì)方電腦，給對(duì)方造成災(zāi)難或直接性的經(jīng)濟(jì)損失。如伊拉克戰(zhàn)爭(zhēng)中，美軍對(duì)伊軍隊(duì)做的病毒，使其指揮系統(tǒng)癱瘓。病毒傳播途徑計(jì)算機(jī)病毒的傳播主要是通過(guò)拷貝文件、傳送文件、運(yùn)行程序等方式進(jìn)行,而主要的傳播途徑有以下幾種。(1)硬盤因?yàn)橛脖P存儲(chǔ)數(shù)據(jù)多，在其互相借用或維修時(shí)，將病毒傳播到其他的硬盤或軟盤上。(2)軟盤軟盤主要是攜帶方便，早期時(shí)候在網(wǎng)絡(luò)還不普及時(shí)，為了計(jì)算機(jī)之間互相傳遞文件，經(jīng)常使用軟盤，這樣，通過(guò)軟盤，也會(huì)將一臺(tái)機(jī)子的病毒傳播到另一臺(tái)機(jī)子。病毒傳播途徑(3)光盤光盤的存儲(chǔ)容量大，所以大多數(shù)軟件都刻錄在光盤上，以便互相傳遞；由于各普通用戶的經(jīng)濟(jì)收入不高，購(gòu)買正版軟件的人就少，一些商人就將軟件刻錄在光盤上，在制作過(guò)程中難免會(huì)將帶毒文件刻錄在上面，因其只讀，所以上面即使有病毒也不能清除，(4)網(wǎng)絡(luò)在計(jì)算機(jī)日益普及的今天，人們通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，互相傳遞文件、信件，這樣給病毒的傳播速度又加快了；因?yàn)橘Y源共享，人們經(jīng)常在網(wǎng)上下載免費(fèi)、共享軟件，病毒也難免會(huì)夾在其中。(5)U盤一個(gè)計(jì)算機(jī)病毒實(shí)例學(xué)習(xí)：計(jì)算機(jī)病毒產(chǎn)生的原因傳播途徑病毒的危害計(jì)算機(jī)病毒的特征一個(gè)小故事一幢紅磚砌的兩層樓，一座偏僻的小村子，掩映在德國(guó)北部平原無(wú)邊無(wú)際的森林和玉米田里。

時(shí)間：2004年4月29日地點(diǎn)：德國(guó)北部

羅滕堡鎮(zhèn)沃芬森小村(Waffensen),人口僅920。1.時(shí)間,地點(diǎn)2.人物

斯萬(wàn)-賈斯查因(SvenJaschan)，4月29日這一天是他18歲的生日。母親叫維洛妮卡，開了一個(gè)門面不算大的以電腦維護(hù)修理為主的電腦服務(wù)部。 幾天前，為了慶祝他的生日，他在網(wǎng)上下載了一些代碼。修改之后今天將它放到了Internet上面。3.傳播從5月1日這些代碼開始在互聯(lián)網(wǎng)上以一種“神不知鬼不覺(jué)”的特殊方式傳遍全球?！爸姓小焙螅娔X開始反復(fù)自動(dòng)關(guān)機(jī)、重啟，網(wǎng)絡(luò)資源基本上被程序消耗，運(yùn)行極其緩慢。4.危害這就是全球著名的“震蕩波”(Worm.Sasser)蠕蟲病毒。自“震蕩波”5月1日開始傳播以來(lái)，全球已有約1800萬(wàn)臺(tái)電腦報(bào)告感染了這一病毒。

5月3日，“震蕩波”病毒出現(xiàn)第一個(gè)發(fā)作高峰，當(dāng)天先后出現(xiàn)了B、C、D三個(gè)變種，全國(guó)已有數(shù)以十萬(wàn)計(jì)的電腦感染了這一病毒。微軟懸賞25萬(wàn)美元找原兇!“五一”長(zhǎng)假后的第一天，“震蕩波”病毒的第二個(gè)高峰果然洶涌而來(lái)。僅8日上午9時(shí)到10時(shí)的短短一個(gè)小時(shí)內(nèi)，瑞星公司就接到用戶的求助電話2815個(gè)，且30％為企業(yè)局域網(wǎng)用戶，其中不乏大型企業(yè)局域網(wǎng)、機(jī)場(chǎng)、政府部門、銀行等重要單位。9日，“震蕩波”病毒疫情依然沒(méi)有得到緩解。

五月份的第一個(gè)星期（也就是“震蕩波”迅速傳播的時(shí)候），微軟公司德國(guó)總部的熱線電話就從每周400個(gè)猛增到3．5萬(wàn)個(gè)

5.游戲結(jié)束開始時(shí)，報(bào)道有俄羅斯人編寫了這種病毒!5月7日，斯萬(wàn)-賈斯查因的同學(xué)為了25萬(wàn)元，將其告發(fā)。并被警察逮捕。為了清除和對(duì)付“我的末日”（MyDoom）和“貝果”（Bagle）等電腦病毒。誰(shuí)知，在編寫病毒程序的過(guò)程中，他設(shè)計(jì)出一種名為“網(wǎng)絡(luò)天空A”（Net-sky）病毒變體。在朋友的鼓動(dòng)下，他對(duì)“網(wǎng)絡(luò)天空A”進(jìn)行了改動(dòng)，最后形成了現(xiàn)在的“震蕩波”病毒程序。

反病毒專家!6.病毒產(chǎn)生原因---漏洞

病毒是通過(guò)微軟的最新高危漏洞-LSASS漏洞(微軟MS04-011公告)進(jìn)行傳播的，危害性極大，目前WINDOWS2000/XP/Server2003等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。如果用戶的電腦中出現(xiàn)下列現(xiàn)象之一，則表明已經(jīng)中毒。6.病毒表現(xiàn)的特征(1)(1).出現(xiàn)系統(tǒng)錯(cuò)誤對(duì)話框

被攻擊的用戶，電腦會(huì)出現(xiàn)LSAShell

服務(wù)異?？颍又霈F(xiàn)一分鐘后重啟計(jì)算機(jī)的“系統(tǒng)關(guān)機(jī)”框”。6.病毒表現(xiàn)的特征(2)(2).系統(tǒng)日志中出現(xiàn)相應(yīng)記錄

如果用戶無(wú)法確定自己的電腦是否出現(xiàn)過(guò)上述的異?？蚧蛳到y(tǒng)重啟提示，還可以通過(guò)查看系統(tǒng)日志的辦法確定是否中毒。方法是，運(yùn)行事件查看器程序，查看其中系統(tǒng)日志，如果出現(xiàn)如圖所示的日志記錄，則證明已經(jīng)中毒.6.病毒表現(xiàn)的特征(2)

(3).系統(tǒng)資源被大量占用

病毒如果攻擊成功，則會(huì)占用大量系統(tǒng)資源，使CPU占用率達(dá)到100%，出現(xiàn)電腦運(yùn)行異常緩慢的現(xiàn)象。6.病毒表現(xiàn)的特征(2)(4).內(nèi)存中出現(xiàn)名為avserve的進(jìn)程

病毒如果攻擊成功，會(huì)在內(nèi)存中產(chǎn)生名為avserve.exe的進(jìn)程，用戶可以用Ctrl+Shift+Esc的方式調(diào)用“任務(wù)管理器”，然后查看是內(nèi)存里是否存在上述病毒進(jìn)程。736.病毒表現(xiàn)的特征(2)(5).系統(tǒng)目錄中出現(xiàn)名為avserve.exe的病毒文件

病毒如果攻擊成功，會(huì)在系統(tǒng)安裝目錄（默認(rèn)為C:\WINNT）下產(chǎn)生一個(gè)名為avserve.exe的病毒文件。

其它文件名：Explorer.exeExp1orer.exeExpl0rer.exe7.病毒的運(yùn)行過(guò)程(1)該病毒利用了WindowsLSASS的一個(gè)已知漏洞(MS04-011)，這是一個(gè)緩沖溢出漏洞，后果是使遠(yuǎn)程攻擊者完全控制受感染系統(tǒng)。感染系統(tǒng)：WinNT/Win2000/WinXP/Win2003

病毒長(zhǎng)度：15872字節(jié)1、生成病毒文件病毒運(yùn)行后，在%Windows％目錄下生成自身的拷貝，名稱為avserve.exe，文件長(zhǎng)度為15872字節(jié)，和在%System%目錄下生成其它病毒文件。例如:c:\win.log

:IP地址列表c:\WINNT\avserve.exe

:蠕蟲病毒文件本身c:\WINNT\system32\11113_up.exe:可能生成的蠕蟲文件本身c:\WINNT\system32\16843_up.exe:可能生成的蠕蟲文件本身

758.病毒的運(yùn)行過(guò)程(2)

2、修改注冊(cè)表項(xiàng)

病毒創(chuàng)建注冊(cè)表項(xiàng)，使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run下創(chuàng)建

"avserve"=”c:\WINNT\avserve.exe”。3、通過(guò)系統(tǒng)漏洞主動(dòng)進(jìn)行傳播

病毒主動(dòng)進(jìn)行掃描，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在微軟SSL安全漏洞時(shí)，進(jìn)行攻擊，然后在受攻擊的系統(tǒng)中生成名為cmd.ftp的ftp腳本程序，通過(guò)TCP端口5554下載蠕蟲病毒。4、危害性受感染的系統(tǒng)可能死機(jī)或者造成重新啟動(dòng)，同時(shí)由于病毒掃描A類或B類子網(wǎng)地址，目標(biāo)端口是TCP445會(huì)對(duì)網(wǎng)絡(luò)性能有一定影響，尤其局域網(wǎng)可能造成癱瘓。并可以在TCP9996端口創(chuàng)建遠(yuǎn)程Shell。該病毒在傳播和破壞形式上與“沖擊波”病毒相類似。9.清除該病毒的相關(guān)建議(1)

有了上面的分析之后，我們就可以手動(dòng)來(lái)清除該病毒了。方法如下：1、安全模式啟動(dòng)

重新啟動(dòng)系統(tǒng)同時(shí)按下按F8鍵，進(jìn)入系統(tǒng)安全模式

2、注冊(cè)表的恢復(fù)

點(diǎn)擊"開始--〉運(yùn)行"，輸入regedit,運(yùn)行注冊(cè)表編輯器，依次雙

擊左側(cè)的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

CurrentVersion>Run，并刪除面板右側(cè)的"avserve"="c:\winnt\avserve.exe“3、刪除病毒釋放的文件

點(diǎn)擊"開始--〉查找--〉文件和文件夾"，查找文件"avserve.exe"和"*_up.exe"，并將找到的文件刪除。

8.清除該病毒的相關(guān)建議(2)

4、安裝系統(tǒng)補(bǔ)丁程序到以下微軟網(wǎng)站下載安裝補(bǔ)丁程序：/technet/security/bulletin/MS04-011.mspx或者在ＩＥ瀏覽器的工具－>WindowsUpdate升級(jí)系統(tǒng)。5、重新配置防火墻

重新配置邊界防火墻或個(gè)人防火墻關(guān)閉TCP端口5554和9996;8.清除該病毒的相關(guān)建議(3)

4、可用一些補(bǔ)丁和殺毒軟件，如360殺毒：8.清除該病毒的相關(guān)建議(4)

Microsoft早在4月初就已經(jīng)給出了MS04-011,012,013等嚴(yán)重漏洞，并且提醒用戶打補(bǔ)丁。小結(jié)(1).我們接觸信息安全都是從計(jì)算機(jī)病毒開始的。(2).想必大家都類似病毒的侵?jǐn)_；(如沖擊波，震蕩波等)。(3).其實(shí)網(wǎng)絡(luò)上到處都有安全隱患!計(jì)算機(jī)病毒的特性(1)可執(zhí)行性：與其他合法程序一樣，病毒是一段可執(zhí)行程序，但不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序上，病毒運(yùn)行時(shí)，與合法程序爭(zhēng)奪系統(tǒng)的控制權(quán)，往往會(huì)造成系統(tǒng)崩潰，導(dǎo)致計(jì)算機(jī)癱瘓。(2)傳染性：正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的，而病毒卻能夠使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計(jì)算機(jī)病毒可以通過(guò)各種可能的渠道，如軟盤、光盤和計(jì)算機(jī)網(wǎng)絡(luò)去傳染給其他的計(jì)算機(jī)，是否具有傳染性是判別一段程序是否為計(jì)算機(jī)病毒的最重要條件。計(jì)算機(jī)病毒的特性(3)隱蔽性：病毒一般是具有很高編程技巧、短小精悍的一段程序，通常潛入在正常程序或磁盤中。病毒程序與正常程序不容易被區(qū)別開來(lái)，在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間內(nèi)感染大量程序。而且受到感染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，用戶不會(huì)感到有任何異常。正是由于其隱蔽性，計(jì)算機(jī)病毒得以在用戶沒(méi)有察覺(jué)的情況下擴(kuò)散到其他計(jì)算機(jī)中。

計(jì)算機(jī)病毒的特性(4)潛伏性：大部分病毒在感染系統(tǒng)之后不會(huì)馬上發(fā)作，它可以長(zhǎng)時(shí)間隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)(破壞)模塊。如“PETER一2”病毒在每年2月27日會(huì)提3個(gè)問(wèn)題，答錯(cuò)后將會(huì)把硬盤加密；“黑色星期五”病毒在逢13號(hào)的星期五發(fā)作，還有4月26日發(fā)作的CIH病毒等。這些病毒在平時(shí)會(huì)隱藏得很好，只有在發(fā)作日才會(huì)被激活，產(chǎn)生破壞性。

(5)破壞性：任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。良性病毒可能只做一些惡作劇，或者根本沒(méi)有任何破壞動(dòng)作，只是會(huì)占用系統(tǒng)資源。惡性病毒則有明確的目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的甚至對(duì)數(shù)據(jù)造成不可挽回的破壞。計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒之所以具有寄生能力和破壞能力，與病毒程序的結(jié)構(gòu)有密切關(guān)系。目前已出現(xiàn)的病毒都具有共同的邏輯程序結(jié)構(gòu)，一般包含3大模塊，即引導(dǎo)模塊、感染模塊和表現(xiàn)(破壞)模塊。其中，后兩個(gè)模塊都包括一段觸發(fā)條件檢查程序段，它們分別檢查是否能滿足觸發(fā)條件和是否滿足表現(xiàn)(破壞)條件。一旦相同的條件得到滿足，病毒就會(huì)進(jìn)行感染和表現(xiàn)(破壞)。計(jì)算機(jī)病毒分類按計(jì)算機(jī)病毒攻擊的機(jī)型分類可分為：攻擊微型機(jī)的病毒；攻擊小型機(jī)的病毒；攻擊工作站的病毒；攻擊中、大型計(jì)算機(jī)的病毒。病毒的傳播媒介分類可分為：?jiǎn)螜C(jī)病毒，通常以磁盤、U盤、光盤等存儲(chǔ)設(shè)備為載體；網(wǎng)絡(luò)病毒，通過(guò)網(wǎng)絡(luò)協(xié)議或電子郵件進(jìn)行傳播。按病毒攻擊的操作系統(tǒng)分類可分為：DOS病毒；Windows病毒；UNIX或OS／2系統(tǒng)病毒；Macintosh系統(tǒng)病毒；其他操作系統(tǒng)病毒，如嵌入式操作系統(tǒng)病毒。計(jì)算機(jī)病毒分類按病毒的鏈接方式分類可分為：源碼型病毒，此類病毒攻擊用高級(jí)語(yǔ)言編寫的程序，在編譯之前將病毒代碼插入到源程序中；入侵型病毒，此類病毒將自身嵌入到已有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊對(duì)象以插入方式鏈接，并代替其中部分不常用的功能模塊或堆棧區(qū)；外殼性病毒，此類病毒通常附著在宿主程序的首部或尾部，相當(dāng)于給宿主程序加了一個(gè)“外殼”；譯碼型病毒，此類隱藏在如Office、HTML等文檔中，如常見的宏病毒、腳本病毒；操作系統(tǒng)型病毒，此類加入或取代部分操作系統(tǒng)功能進(jìn)行工作，具有很強(qiáng)的破壞性。計(jì)算機(jī)病毒分類按病毒的表現(xiàn)(破壞)情況分類可分為：良性病毒，不包含對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼，主要是表現(xiàn)其存在，只是不停地傳播并占用資源，包括無(wú)危害型病毒和無(wú)危險(xiǎn)型病毒；惡性病毒，代碼中包含損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，感染或發(fā)作時(shí)對(duì)系統(tǒng)產(chǎn)生直接破壞作用，包括危險(xiǎn)型病毒和非常危險(xiǎn)型病毒。按計(jì)算機(jī)病毒寄生方式分類可分為：引導(dǎo)型病毒，病毒程序占據(jù)操作系統(tǒng)引導(dǎo)區(qū)，如“小球”病毒；文件型病毒，主要感染一些可執(zhí)行文件，是主流的病毒，如目錄病毒、宏病毒；混合型病毒，集引導(dǎo)型和文件型病毒特性于一體。計(jì)算機(jī)病毒的傳播機(jī)制計(jì)算機(jī)病毒的傳播途徑有很多，包括：通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，如硬盤；通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播，如磁帶、軟盤、移動(dòng)硬盤、U盤、光盤等；通過(guò)有線網(wǎng)絡(luò)系統(tǒng)傳播，主要包括電子郵件、Web、BBS、FTP、即時(shí)通信等；通過(guò)無(wú)線通信系統(tǒng)傳播，如WAP服務(wù)器、網(wǎng)關(guān)、藍(lán)牙等。WAP：WirelessApplicationProtocol，無(wú)線應(yīng)用協(xié)議，是一項(xiàng)全球性的網(wǎng)絡(luò)通信協(xié)議。它使移動(dòng)Internet有了一個(gè)通行的標(biāo)準(zhǔn)，其目標(biāo)是將Internet的豐富信息及先進(jìn)的業(yè)務(wù)引入到移動(dòng)電話等無(wú)線終端之中。計(jì)算機(jī)病毒的傳播機(jī)制計(jì)算機(jī)病毒的傳播機(jī)制，也稱為計(jì)算機(jī)病毒的感染機(jī)制，其目的是實(shí)現(xiàn)病毒自身的修復(fù)和隱藏。病毒的感染對(duì)象主要有兩種：一種是寄生在磁盤引導(dǎo)扇區(qū)；另一種是寄生在可執(zhí)行文件中。另外，宏病毒、腳本病毒是比較特殊的病毒，在用戶使用Office或?yàn)g覽器的時(shí)候獲取執(zhí)行權(quán)；還有一些蠕蟲只寄生在內(nèi)存中，而不感染引導(dǎo)扇區(qū)和文件。計(jì)算機(jī)病毒的傳播機(jī)制不同種類的病毒，其傳染機(jī)理也不同。引導(dǎo)型病毒的傳染機(jī)理是利用在開機(jī)引導(dǎo)時(shí)竊取中斷控制權(quán)，并在計(jì)算機(jī)運(yùn)行過(guò)程中監(jiān)視軟盤讀寫時(shí)機(jī)，趁機(jī)完成對(duì)軟盤的引導(dǎo)區(qū)感染，被感染的軟盤又會(huì)傳染給其他計(jì)算機(jī)。文件型病毒的傳染機(jī)理是執(zhí)行被感染的可執(zhí)行文件后，病毒進(jìn)駐內(nèi)存，監(jiān)視系統(tǒng)運(yùn)行，并查找有可能被感染的文件進(jìn)行感染。混合型感染則既感染引導(dǎo)扇區(qū)，又感染文件。交叉感染是指一個(gè)宿主程序上感染多種病毒，這類感染的殺毒處理比較麻煩。計(jì)算機(jī)病毒工作原理第一階段：感染感染是指病毒自我復(fù)制并傳播給其他程序。病毒主要通過(guò)電子郵件、外部介質(zhì)、下載這3種途徑入侵個(gè)人電腦。計(jì)算機(jī)病毒工作原理第二階段：潛伏潛伏是指病毒等非法程序?yàn)榱颂颖苡脩艉头啦《拒浖谋O(jiān)視而隱藏自身行蹤的行為。在潛伏過(guò)程中，病毒為躲避用戶和防病毒軟件的偵察而進(jìn)行隱藏。通過(guò)與防病毒軟件之間不斷地“斗智斗勇”，有的病毒已經(jīng)逐漸具備了非常高級(jí)的隱身法。最具代表性的潛伏方法是隱蔽和自我變異。計(jì)算機(jī)病毒工作原理第三階段：繁殖繁殖是非法程序不斷地由一部計(jì)算機(jī)向其他計(jì)算機(jī)進(jìn)行傳播的狀態(tài)。就像在感染階段一樣，病毒主要通過(guò)電子郵件入侵個(gè)人電腦。將電子郵件用做傳播媒介的就是蠕蟲。第四階段：發(fā)作發(fā)作是非法程序所實(shí)施的各種惡意行為。如果把破壞程度分為3個(gè)等級(jí)，那么破壞程度最大的大概就算是“格式化硬盤”和“刪除文件”等直接破壞行為了。尤其是“破壞電腦BIOS”的發(fā)作癥狀，由于電腦將不能啟動(dòng)，用戶自行進(jìn)行修復(fù)根本無(wú)從談起，經(jīng)濟(jì)上的損失非常大。3.4.3特洛伊木馬特洛伊木馬是指通過(guò)欺騙手段植入到網(wǎng)絡(luò)與信息系統(tǒng)中，并具有控制該目標(biāo)系統(tǒng)或進(jìn)行信息竊取等功能的有害程序。

從前，希臘聯(lián)軍圍困特洛伊，久攻不下。便特制了一匹巨大的木馬，打算來(lái)個(gè)“木馬屠城計(jì)”。希臘人在木馬中安排了一批視死如歸的勇士，待兩軍激戰(zhàn)正酣時(shí)，借故戰(zhàn)敗撤退，誘敵上鉤。果然，被敵軍撤退喜訊弄得神志不清的特洛伊人哪知中計(jì)，當(dāng)晚使把木馬拉進(jìn)城中，打算來(lái)個(gè)歡天喜地的慶功宴。誰(shuí)知，就在大家興高采烈喝酒歡慶之際，木馬中的精銳悍將早己暗中打開城門，來(lái)個(gè)里應(yīng)外合的大搶攻開始了！頓時(shí)，一個(gè)美麗的城市變成了一堆瓦礫、焦土，毀滅于歷史中……。傳說(shuō)中的特洛伊木馬木馬屠城的故事……3.4.3特洛伊木馬總結(jié)：里應(yīng)外合3.4.3特洛伊木馬我們所要談的當(dāng)然不僅僅是這個(gè)希臘故事，但我們要談的木馬(也稱“特洛伊木馬”)，原理跟這個(gè)故事差不多。

所謂的木馬程序其實(shí)就是一種遠(yuǎn)程控制程序，只是后來(lái)其功能被修改得越來(lái)越強(qiáng)大而已。嚴(yán)格來(lái)說(shuō)它不能算是一種病毒，基本上只要不運(yùn)行到它就不會(huì)有事。一般的用法都是，它會(huì)有一個(gè)客戶端程序(己方計(jì)算機(jī))、一個(gè)服務(wù)器端程序(對(duì)方計(jì)算機(jī))給對(duì)方運(yùn)行，只要同時(shí)在線就能通過(guò)客戶端的程序來(lái)控制對(duì)方的計(jì)算機(jī)。木馬的功能遠(yuǎn)程監(jiān)控可以控制對(duì)方的鼠標(biāo)、鍵盤和監(jiān)視對(duì)方屏幕。記錄密碼竊取主機(jī)的信息資料更改主機(jī)名稱，設(shè)置系統(tǒng)路徑和得知系統(tǒng)版本等。設(shè)置系統(tǒng)功能可以遠(yuǎn)程關(guān)機(jī)或重新升機(jī)，設(shè)置鼠標(biāo)或是把鼠標(biāo)隱藏起來(lái)，終止系統(tǒng)程序，或是耗用大量主機(jī)資源致使系統(tǒng)死機(jī)。遠(yuǎn)程文件操作入侵者可以遠(yuǎn)程控制對(duì)方的文件。發(fā)送信息木馬的特點(diǎn)特點(diǎn)一般病毒蠕蟲木馬傳染性強(qiáng)強(qiáng)弱感染對(duì)象文件進(jìn)程進(jìn)程主要傳播方式文件、網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)破壞性強(qiáng)強(qiáng)弱隱蔽性強(qiáng)強(qiáng)強(qiáng)頑固性較強(qiáng)較強(qiáng)極強(qiáng)欺騙性一般一般強(qiáng)主要攻擊目的破壞數(shù)據(jù)、信息破壞數(shù)據(jù)、信息竊取數(shù)據(jù)、信息木馬的特性(1)程序性：程序性是指木馬是一段執(zhí)行特殊功能的非授權(quán)性程序，進(jìn)行一些用戶所不希望的操作，如竊取密碼、盜取文件和提供后門等。(2)隱藏性：隱藏性是指木馬服務(wù)端能夠躲避殺毒軟件的掃描，不會(huì)被輕易地發(fā)現(xiàn)。木馬的特性(3)有效性：有效性是指入侵的木馬與其控制端(入侵者)建立有效的通信聯(lián)系，能接收到控制端的命令信息，并能將搜集的信息返回給入侵者。木馬的特性(4)頑固性：頑固性是指有效清除木馬的難易程度，體現(xiàn)了木馬對(duì)反木馬操作的免疫性。當(dāng)木馬被用戶通過(guò)殺毒軟件或其他途徑檢測(cè)出來(lái)(失去隱蔽性)后，為了繼續(xù)確保其侵入的有效性，往往還具有另外一個(gè)重要特性——頑固性。如果一個(gè)木馬不能一次性有效清除，那么該木馬就具有較強(qiáng)的頑固性。一些常用的反清除技術(shù)有多實(shí)例法，將木馬程序(多份)分別存放在目標(biāo)計(jì)算機(jī)不同的目錄下，這些木馬實(shí)例互相監(jiān)督，以防止某個(gè)木馬實(shí)例被查殺，確保木馬工作還能繼續(xù)進(jìn)行。多實(shí)例可以通過(guò)采用同時(shí)運(yùn)行多個(gè)線程或進(jìn)程來(lái)實(shí)現(xiàn)。木馬的特性(5)易植入性：任何木馬要想發(fā)揮作用必須首先進(jìn)入目標(biāo)計(jì)算機(jī)(植入操作)，可見易植入性是木馬有效性的先決條件。木馬的分類按照功能分類可分為：(1)密碼發(fā)送型(2)鍵盤記錄型(3)屏幕截取型(4)文件控制型(5)后門型按照功能分類密碼發(fā)送型木馬

密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會(huì)在每次Windows重啟時(shí)都自動(dòng)加載它們大多數(shù)使用25號(hào)端口發(fā)送電子郵件。按照功能分類鍵盤記錄型木馬

鍵盤記錄型木馬是非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一個(gè)用戶事件，然后通過(guò)郵件或其他方式發(fā)送給控制者。按照功能分類屏幕截取型木馬

屏幕截取型木馬可以抓取用戶當(dāng)前計(jì)算機(jī)屏幕上的圖像。入侵者通過(guò)接收到的圖像可以看到用戶具體在干什么，就好像站在受害者計(jì)算機(jī)的旁邊看受害者的操作計(jì)算機(jī)一樣，只不過(guò)是依據(jù)抓屏的頻率間歇性地偷看一下。按照功能分類文件控制型木馬

文件控制型木馬用于對(duì)受害者主機(jī)的各種文件進(jìn)行各種非法操作，范圍涉及普通文件、注冊(cè)表文件和系統(tǒng)文件等。按照功能分類后門型木馬

后門型木馬通過(guò)打開目標(biāo)計(jì)算機(jī)的一個(gè)端口連入因特網(wǎng)，將目標(biāo)計(jì)算機(jī)暴露給入侵者。在木馬服務(wù)端的配合下，入侵者可獲取目標(biāo)計(jì)算機(jī)的部分或全部操作權(quán)限，通過(guò)控制端對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制。木馬的攻擊原理PRIORITY是一個(gè)VB編寫的“木馬”，該“木馬”包括服務(wù)器端的SERVER.EXE及客戶端的PRIORITY.EXE兩個(gè)程序。服務(wù)器端SERVER.EXE建立了一個(gè)SERVER窗體，設(shè)定為隱藏窗體，并在任務(wù)欄及任務(wù)管理器中隱藏，窗體中定義了一個(gè)名為TCP2的WINSOCK控件，使用該控件打開1001端口并監(jiān)聽：

PrivateSubFormLoad()TCP2.LocalPort=1001TCP2.1istenEndSub服務(wù)器端監(jiān)聽端口1001Priority木馬結(jié)構(gòu)分析木馬的攻擊原理當(dāng)黑客用客戶端PRIORITY.EXE發(fā)出遠(yuǎn)程連接請(qǐng)求時(shí)，隱藏在被害用戶電腦中的SERVER.EXE接受連接請(qǐng)求：PrivateSubTCP2_ConnectionRequest(ByValrequesteldAsLong)TCP2.AcceptrequestedEndSubPriority木馬結(jié)構(gòu)分析木馬的攻擊原理SERVER.EXE執(zhí)行客戶端發(fā)出的命令：PrivateSubTCP2_DataArrival(ByValbytesTotalAsLong)DimstrDataAsStringTCP2.GetDatastrDataIfstrData=“ExecuteReboot"Then重新啟動(dòng)

ExitWindowsEWX_LogOff,&HFFFFFFFFElselfstrOata="ExecuteDisableCtrlAltDel"ThenCallDisableCtrlAltDelete(True)使Ctrl-Alt-Del無(wú)效

Elself其它功能

…EndIfEndSubPriority木馬結(jié)構(gòu)分析木馬的攻擊原理客戶端PRORITY.EXE建立了一個(gè)frmMain窗體，在窗體中定義了一個(gè)名為TCPl的WINSOCK控件、一個(gè)cmdConnect按鈕、一個(gè)IP文本框及完成各種命令的菜單。當(dāng)黑客欲“窺視”被害者電腦時(shí)，與服務(wù)器建立連接：PrivateSubcmdConnectes_Click()Server=IP.TextTCP1.RemoteHost=ServerTCP1.RemotePort=1001TCP1.ConnectEndSub若黑客想遠(yuǎn)程控制被害者電腦重啟動(dòng)機(jī)器，則發(fā)送命令：PrivateSubmnureboot_ClickQTCP1.SendData"ExecuteReboot"EndSubPriority木馬結(jié)構(gòu)分析木馬的清除檢查進(jìn)程，關(guān)掉木馬進(jìn)程檢查注冊(cè)表，關(guān)掉多余的注冊(cè)表項(xiàng)木馬專殺工具殺毒軟件防火墻360安全衛(wèi)士與360殺毒的區(qū)別360衛(wèi)士：有查殺木馬功能、修補(bǔ)系統(tǒng)漏洞、管理電腦中的軟件（比如升級(jí)、更新、卸載）；360殺毒：查殺病毒、查殺木馬、實(shí)時(shí)防護(hù)各種病毒的入侵。簡(jiǎn)單的說(shuō)，360衛(wèi)士是管理電腦軟件的，同時(shí)具有查殺木馬的功能。360殺毒是防護(hù)電腦中毒，同時(shí)殺各類病毒。案例1：徐玉玉案案例1：徐玉玉案據(jù)央視新聞報(bào)道，警方在成功抓獲陳文輝、鄭賢聰?shù)仍p騙團(tuán)伙成員后，隨即對(duì)徐玉玉個(gè)人信息泄露的源頭展開了調(diào)查。隨后，警方趕到成都，將在網(wǎng)上向陳文輝出售考生信息的四川宜賓小伙杜天禹抓獲。警方發(fā)現(xiàn)，他們抓到的這個(gè)賣信息的人年僅18歲，是名網(wǎng)絡(luò)黑客。杜天禹給自己起了個(gè)網(wǎng)名叫“SEAY”（法師），意思是掌握了魔法的人。進(jìn)一步的審訊發(fā)現(xiàn)，杜天禹從小學(xué)五年級(jí)起經(jīng)常去網(wǎng)吧打游戲，就讀初中二年級(jí)時(shí)退學(xué)。他在打網(wǎng)絡(luò)游戲的過(guò)程中，對(duì)黑客技術(shù)產(chǎn)生了興趣，開始嘗試使用黑客技術(shù)在網(wǎng)上獲取他人的數(shù)據(jù)信息。今年4月，杜天禹憑經(jīng)驗(yàn)覺(jué)得“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”網(wǎng)站存在漏洞，僅用一個(gè)木馬程序就侵入該網(wǎng)站，從上面下載了64萬(wàn)多條山東省高考考生信息，并開始在網(wǎng)上非法出售。案例1：徐玉玉案公眾號(hào)：剝洋蔥people案例2：手機(jī)軟件藏有木馬病毒案例3：在棋牌游戲中植入木馬病毒案例4：用木馬病毒盜走6000多元日前，事主蘇某在家中登錄某購(gòu)物網(wǎng)站購(gòu)買網(wǎng)絡(luò)游戲外掛，在成功購(gòu)買“1元試用”的外掛后，卻發(fā)現(xiàn)無(wú)法操作使用，于是通過(guò)QQ聯(lián)系賣家。賣家隨后向事主發(fā)送一網(wǎng)址，聲稱其為“1元試用”鏈接，讓事主點(diǎn)擊下載，并在試用前關(guān)閉殺毒軟件。事主聽信賣家的操作步驟，但外掛仍無(wú)法使用，卻發(fā)現(xiàn)自己支付寶上的6368.04元被轉(zhuǎn)走，于是發(fā)現(xiàn)被騙。中山警方接案后及時(shí)介入調(diào)查，經(jīng)過(guò)連續(xù)多日潛心經(jīng)營(yíng)，全面掌握該犯罪團(tuán)伙的架構(gòu)、成員以及相關(guān)犯罪事實(shí)等。很快，中山警方組織統(tǒng)一收網(wǎng)行動(dòng)，先后在浙江、廣西等地抓獲犯罪嫌疑人蔣某等3人。經(jīng)審查，犯罪嫌疑人蔣某以非法獲利為目的，通過(guò)租來(lái)的購(gòu)物網(wǎng)店，誘騙事主點(diǎn)擊有病毒木馬程序的鏈接，隨后木馬程序自動(dòng)竊取事主支付寶賬戶信息，并將支付寶賬戶資金轉(zhuǎn)走。后經(jīng)涉案支付寶賬戶資金明細(xì)分析，發(fā)現(xiàn)受騙事主達(dá)百余人，涉及廣東、浙江、上海、江蘇、福建等13個(gè)省市，涉案金額巨大。案例5：黑客入侵非法獲取數(shù)據(jù)今年8月3日，事主陳某向中山警方報(bào)案稱，他發(fā)現(xiàn)其所管理維護(hù)的某人才市場(chǎng)網(wǎng)絡(luò)遭黑客入侵。民警在服務(wù)器提取到日志文件和入侵用的木馬程序，經(jīng)過(guò)進(jìn)一步的偵查，警方確定了黑客入侵者的藏匿區(qū)域。8月11日，中山警方在深圳市寶安區(qū)某科技大廈內(nèi)抓獲涉嫌非法控制計(jì)算機(jī)信息系統(tǒng)的犯罪嫌疑人龍某，繳獲作案手提電腦一臺(tái)及手機(jī)兩臺(tái)。經(jīng)審訊，犯罪嫌疑人龍某對(duì)其曾通過(guò)利用植入木馬程序的方式，控制了該網(wǎng)站的犯罪事實(shí)供認(rèn)不諱。案例6：掃二維碼搶紅包小心支付寶賬戶被盜1月5日，市民薛女士在網(wǎng)上看中了一條裙子，通過(guò)聊天軟件跟店主問(wèn)了幾句。很快，對(duì)方傳來(lái)了一張帶有二維碼的圖片，稱掃碼可以參與搶紅包。薛女士掃了一次，但沒(méi)找到搶紅包的地方，也沒(méi)發(fā)現(xiàn)桌面出現(xiàn)新軟件，覺(jué)得有些納悶。當(dāng)天稍晚時(shí)候，她把手機(jī)連到電腦上充電，無(wú)意中發(fā)現(xiàn)手機(jī)里掃出一個(gè)“apk”木馬程序，順手點(diǎn)了刪除。事后她才知道，那個(gè)程序是專門用來(lái)盜取支付寶賬戶的。對(duì)策：消費(fèi)者應(yīng)選擇正規(guī)企業(yè)、商家發(fā)布的二維碼來(lái)掃描。對(duì)于一些來(lái)路不明的二維碼，不要盲目掃描。消費(fèi)者最好在手機(jī)上安裝相應(yīng)的安全軟件，如騰訊手機(jī)管家、360手機(jī)衛(wèi)士等，以防止二維碼病毒侵入手機(jī)。

盡量使用有安全驗(yàn)證功能的軟件掃描二維碼。

如果通過(guò)二維碼來(lái)安裝軟件，安裝好以后，最好先用手機(jī)殺毒軟件掃描一遍再打開。案例7：微信搶紅包暗藏木馬病毒警惕短信鏈接中獎(jiǎng)信息下載來(lái)路不明軟件二維碼搶紅包3.4.4僵尸程序僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序(僵尸程序)，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來(lái)發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息，譬如銀行帳戶的密碼與社會(huì)安全號(hào)碼等也都可被黑客隨意“取用”。僵尸網(wǎng)絡(luò)發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楹诳屯ǔ＿h(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。對(duì)網(wǎng)友而言，感染上“僵尸病毒”卻十分容易。網(wǎng)絡(luò)上搔首弄姿的美女、各種各樣有趣的小游戲，都在吸引著網(wǎng)友輕輕一點(diǎn)鼠標(biāo)。但事實(shí)上，點(diǎn)擊之后毫無(wú)動(dòng)靜，原來(lái)一切只是騙局，意在誘惑網(wǎng)友下載有問(wèn)題的軟件。一旦這種有毒的軟件進(jìn)入到網(wǎng)友電腦，遠(yuǎn)端主機(jī)就可以發(fā)號(hào)施令，對(duì)電腦進(jìn)行操控。僵尸網(wǎng)絡(luò)Botnet的工作過(guò)程包括傳播加入控制一個(gè)Botnet首先需要的是具有一定規(guī)模的被控計(jì)算機(jī)，而這個(gè)規(guī)模是逐漸地隨著采用某種或某幾種傳播手段的bot程序的擴(kuò)散而形成的，在這個(gè)傳播過(guò)程中有如下幾種手段：僵尸網(wǎng)絡(luò)的傳播手段（1）主動(dòng)攻擊漏洞。其原理是通過(guò)攻擊系統(tǒng)所存在的漏洞獲得訪問(wèn)權(quán)，并在Shellcode執(zhí)行bot程序注入代碼，將被攻擊系統(tǒng)感染成為僵尸主機(jī)。屬于此類的最基本的感染途徑是攻擊者手動(dòng)地利用一系列黑客工具和腳本進(jìn)行攻擊，獲得權(quán)限后下載bot程序執(zhí)行。攻擊者還會(huì)將僵尸程序和蠕蟲技術(shù)進(jìn)行結(jié)合，從而使bot程序能夠進(jìn)行自動(dòng)傳播，著名的bot樣本AgoBot，就是實(shí)現(xiàn)了將bot程序的自動(dòng)傳播。（2）郵件病毒。bot程序還會(huì)通過(guò)發(fā)送大量的郵件病毒傳播自身，通常表現(xiàn)為在郵件附件中攜帶僵尸程序以及在郵件內(nèi)容中包含下載執(zhí)行bot程序的鏈接，并通過(guò)一系列社會(huì)工程學(xué)的技巧誘使接收者執(zhí)行附件或點(diǎn)擊鏈接，或是通過(guò)利用郵件客戶端的漏洞自動(dòng)執(zhí)行，從而使得接收者主機(jī)被感染成為僵尸主機(jī)。僵尸網(wǎng)絡(luò)的傳播手段（3）即時(shí)通信軟件。利用即時(shí)通信軟件向好友列表發(fā)送執(zhí)行僵尸程序的鏈接，并通過(guò)社會(huì)工程學(xué)技巧誘騙其點(diǎn)擊，從而進(jìn)行感染，如2005年年初爆發(fā)的MSN性感雞（Worm.MSNLoveme）采用的就是這種方式。（4）惡意網(wǎng)站腳本。攻擊者在提供Web服務(wù)的網(wǎng)站中在HTML頁(yè)面上綁定惡意的腳本，當(dāng)訪問(wèn)者訪問(wèn)這些網(wǎng)站時(shí)就會(huì)執(zhí)行惡意腳本，使得bot程序下載到主機(jī)上，并被自動(dòng)執(zhí)行。（5）特洛伊木馬。偽裝成有用的軟件，在網(wǎng)站、FTP服務(wù)器、P2P網(wǎng)絡(luò)中提供，誘騙用戶下載并執(zhí)行。通過(guò)以上幾種傳播手段可以看出，在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復(fù)雜的間諜軟件很相近。僵尸網(wǎng)絡(luò)的危害形式（1）拒絕服務(wù)攻擊使用Botnet發(fā)動(dòng)DDoS攻擊是當(dāng)前最主要的威脅之一，攻擊者可以向自己控制的所有bots發(fā)送指令，讓它們?cè)谔囟ǖ臅r(shí)間同時(shí)開始連續(xù)訪問(wèn)特定的網(wǎng)絡(luò)目標(biāo)，從而達(dá)到DDoS的目的。由于Botnet可以形成龐大規(guī)模，而且利用其進(jìn)行DDoS攻擊可以做到更好地同步，所以在發(fā)布控制指令時(shí)，能夠使得DDoS的危害更大，防范更難。僵尸網(wǎng)絡(luò)的危害形式（2）發(fā)送垃圾郵件一些bots會(huì)設(shè)立sockv4、v5代理，這樣就可以利用Botnet發(fā)送大量的垃圾郵件，而且發(fā)送者可以很好地隱藏自身的IP信息。（3）竊取秘密

Botnet的控制者可以從僵尸主機(jī)中竊取用戶的各種敏感信息和其他秘密，例如個(gè)人帳號(hào)、機(jī)密數(shù)據(jù)等。同時(shí)bot程序能夠使用sniffer觀測(cè)感興趣的網(wǎng)絡(luò)數(shù)據(jù)，從而獲得網(wǎng)絡(luò)流量中的秘密。僵尸網(wǎng)絡(luò)的危害形式（4）濫用資源攻擊者利用Botnet從事各種需要耗費(fèi)網(wǎng)絡(luò)資源的活動(dòng)，從而使用戶的網(wǎng)絡(luò)性能受到影響，甚至帶來(lái)經(jīng)濟(jì)損失。例如：種植廣告軟件，點(diǎn)擊指定的網(wǎng)站；利用僵尸主機(jī)的資源存儲(chǔ)大型數(shù)據(jù)和違法數(shù)據(jù)等，利用僵尸主機(jī)搭建假冒的銀行網(wǎng)站從事網(wǎng)絡(luò)釣魚的非法活動(dòng)。僵尸網(wǎng)絡(luò)的危害形式（5）網(wǎng)絡(luò)釣魚攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶、身份證號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。3.4.5蠕蟲蠕蟲是一種通過(guò)網(wǎng)絡(luò)自我復(fù)制的惡意程序。其一旦被激活，可以表現(xiàn)得像細(xì)菌和病毒一樣，向系統(tǒng)注入木馬，或進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等！在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！3.4.5蠕蟲蠕蟲具有的行為特征如下：(1)主動(dòng)攻擊：在本質(zhì)上，網(wǎng)絡(luò)蠕蟲是黑客人侵的自動(dòng)化工具，當(dāng)網(wǎng)絡(luò)蠕蟲被釋放后，先是搜索漏洞，利用搜索結(jié)果攻擊系統(tǒng)，再?gòu)?fù)制副本，整個(gè)過(guò)程都是由網(wǎng)絡(luò)蠕蟲自身主動(dòng)完成。這是網(wǎng)絡(luò)蠕蟲與計(jì)算機(jī)病毒最大的區(qū)別。(2)行蹤隱藏：在網(wǎng)絡(luò)蠕蟲傳播過(guò)程中，不像計(jì)算機(jī)病毒需要計(jì)算機(jī)使用者的輔助工作(例如執(zhí)行文件、打開文件、瀏覽網(wǎng)頁(yè)、閱讀郵件等)，網(wǎng)絡(luò)蠕蟲的傳播過(guò)程計(jì)算機(jī)使用者基本上察覺(jué)不到。值得注意的是，行蹤隱藏和快速傳播是一對(duì)矛盾，具有快速傳播能力的蠕蟲，會(huì)引起網(wǎng)絡(luò)數(shù)據(jù)流量劇增，甚至網(wǎng)絡(luò)癱瘓，也就是說(shuō)，要達(dá)到快速傳播同時(shí)也暴露了蠕蟲行蹤。3.4.5蠕蟲(3)利用漏洞：計(jì)算機(jī)系統(tǒng)存在漏洞是蠕蟲傳播的前提，利用這些漏洞，網(wǎng)絡(luò)蠕蟲獲得被攻擊的計(jì)算機(jī)系統(tǒng)的一定權(quán)限，繼而完成后續(xù)的復(fù)制和傳播過(guò)程。這些漏洞有的是操作系統(tǒng)本身的問(wèn)題，有的是應(yīng)用服務(wù)程序的問(wèn)題，有的是網(wǎng)絡(luò)管理人員的配置問(wèn)題。正是產(chǎn)生漏洞原因的復(fù)雜性，導(dǎo)致防御網(wǎng)絡(luò)蠕蟲攻擊的困難性。(4)降低系統(tǒng)性能：網(wǎng)絡(luò)蠕蟲入侵計(jì)算機(jī)系統(tǒng)后，會(huì)在此計(jì)算機(jī)上復(fù)制自身多個(gè)副本，每個(gè)副本又開始自動(dòng)啟動(dòng)搜索程序探測(cè)網(wǎng)絡(luò)中新的攻擊目標(biāo)。大量的進(jìn)程會(huì)消耗系統(tǒng)的資源，致使系統(tǒng)性能下降，尤其對(duì)網(wǎng)絡(luò)服務(wù)器的影響明顯。3.4.5蠕蟲(5)造成網(wǎng)絡(luò)擁塞：網(wǎng)絡(luò)蠕蟲傳播的第一步是大面積搜索網(wǎng)絡(luò)上的主機(jī)，找到網(wǎng)絡(luò)上其他存在漏洞的目標(biāo)主機(jī)。搜索探測(cè)動(dòng)作包括：判斷其他計(jì)算機(jī)是否存在；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等，這樣的動(dòng)作不可避免地增加網(wǎng)絡(luò)流量。感染網(wǎng)絡(luò)蠕蟲的主機(jī)，也開始在網(wǎng)絡(luò)上探測(cè)存在漏洞的目標(biāo)主機(jī)。之后，網(wǎng)絡(luò)蠕蟲副本在不同主機(jī)間傳遞或是向某一目標(biāo)發(fā)出攻擊時(shí)都不可避免地產(chǎn)生大量網(wǎng)絡(luò)數(shù)據(jù)流量，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，造成巨大的經(jīng)濟(jì)損失。(6)產(chǎn)生安全隱患：大部分網(wǎng)絡(luò)蠕蟲有搜索、擴(kuò)散、竊取系統(tǒng)敏感信息(如用戶密碼)功能，并在系統(tǒng)中留下后門，這些會(huì)給系統(tǒng)帶來(lái)安全隱患。蠕蟲功能結(jié)構(gòu)蠕蟲的實(shí)現(xiàn)包括三個(gè)模塊，分別是掃描模塊、感染模塊和執(zhí)行功能模塊。掃描：由蠕蟲的掃描模塊負(fù)責(zé)探測(cè)目標(biāo)主機(jī)。掃描模塊利用對(duì)方主機(jī)的漏洞、郵件或者即時(shí)通訊方式得到一個(gè)可傳播的對(duì)象。感染：感染模塊感染掃描得到的計(jì)算機(jī)。功能執(zhí)行：感染后執(zhí)行蠕蟲設(shè)計(jì)者預(yù)定義的功能，例如破壞系統(tǒng)、開啟后門、將此計(jì)算機(jī)作為代理進(jìn)一步攻擊等。熊貓燒香“熊貓燒香”是一個(gè)感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，（.gho為GHOST的備份文件），使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。熊貓燒香“熊貓燒香”病毒是繼CIH之后危害中國(guó)最嚴(yán)重的病毒，國(guó)內(nèi)數(shù)家權(quán)威病毒監(jiān)測(cè)機(jī)構(gòu)將其列為十大病毒之首。據(jù)有關(guān)專家介紹，它是一種用DELPHI工具編寫的蠕蟲病毒，這一病毒能中止大量的反病毒軟件和防火墻軟件進(jìn)程，并可以通過(guò)網(wǎng)頁(yè)瀏覽、局域網(wǎng)共享及Ｕ盤等多種途徑快速傳播，受感染的計(jì)算機(jī)會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞乃至被刪除等現(xiàn)象。熊貓燒香3.4.6惡意腳本腳本是嵌入到數(shù)據(jù)文檔中執(zhí)行一個(gè)任務(wù)的一組指令。最典型的腳本是嵌入到網(wǎng)頁(yè)中的腳本，它們可以實(shí)現(xiàn)網(wǎng)站的點(diǎn)擊計(jì)數(shù)器、格式處理器、實(shí)時(shí)時(shí)鐘、鼠標(biāo)效果、搜索引擎等功能。腳本由腳本語(yǔ)言描述。常用的腳本語(yǔ)言有：VBScript、Jscript、JavaScript、PerScript等。腳本病毒是一些嵌入在應(yīng)用程序、數(shù)據(jù)文檔和操作系統(tǒng)中的惡意腳本。主要通過(guò)電子郵件和網(wǎng)頁(yè)傳播。腳本之家網(wǎng)頁(yè)特效3.4.7有害程序防范技術(shù)有害程序防范技術(shù)包括：

惡意代碼特征掃描；

完整性檢查；

系統(tǒng)檢測(cè)；

啟發(fā)式掃描；

行為阻斷。3.4.8有害程序相關(guān)法規(guī)與社會(huì)組織與有害程序相關(guān)的法律法規(guī)有：《中華人民共和國(guó)刑法》第二百八十六條，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第十五條、第二十三條、第二十八條，《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》第十五條、第二十條，《計(jì)算機(jī)病毒防治管理