計算機病毒與防治

信息數(shù)據(jù)面臨的威脅

邏輯炸彈

蠕蟲內(nèi)部、外部泄密2

什么是計算機病毒?

《中華人民共和國計算機信息系統(tǒng)安全保護條例》

第二十八條中明確指出：

“計算機病毒，是指編制或者在計算機程

序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影

響計算機使用，并能自我復制的一組計算機里

令或者程序代碼?！?/p>

此定義具有法律性、權威性。

和3b冷WnbySee/eO6rdtng

黑客/病毒產(chǎn)業(yè)鏈分析

竊取機變信息

入侵企業(yè)

服務器

盜取海戊道

表虛擬貨幣

中間批發(fā)商通過各

入侵網(wǎng)絡游種槊迤進行銷他

戲服務器

入侵者

金錢

編寫病毒

主動攻擊

盜取證券交易y勒索網(wǎng)站

帳號

拒絕;服若攻擊

傳播病I傭金

4

常見病毒介紹?熊貓燒香

2006年12月27日，因特網(wǎng)上很多

計算機遭受不明病毒攻擊，由于中毒電腦的

可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，所以也

被稱為“熊貓燒香”病毒。

用戶電腦中毒后可能會出現(xiàn)藍屏、頻繁重

啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

同時，該病毒的某些變種可以通過局域網(wǎng)進

行傳播，進而感染局域網(wǎng)內(nèi)所有計算機系統(tǒng)，

最終導致整個局域網(wǎng)癱瘓，無法正常使用。

圖三：“熊貓燒香”病毒用自動“掛馬”的方式傳播

用戶

a

s

tck.oocwshom.ocxactmovie.exeappend.exeatmadm.exe

attnb.exeautocM；.exe^utoconv?exeautofmt.exeautolfn.exebootok.exebootvrfy.exe

cads.execdpJayer.execharmap.exechkdsk-exechkntfs.exedpher.exe

ckcnv.exediconfg.execluster.execmd.execmdl32.execmmgr32.execmmon32.exe

朝

cmstp.execomdList.execomp.execompact.execonlme.execontrol.execonvert,exe

□

cscnpt.exec$r$$.exedcomcnfg.exeddeshare.exeddmprxy.exedebug.exediants.exe

A熊貓燒香病毒它能感染系統(tǒng)中exe,com,pif,src,html,asp等文

件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件,

（.gho為GHOST的備份文件），使用戶的系統(tǒng)備份文件丟失。被感染的

用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。

7

U-卜OO/<CQr->O4

Runtimeerror5at0040BDB4

at0040BDB4確定

error5a

Runtimeerror5at0040BDB4

確定br5at0040BDB4

at0040BDB4

確定確定untimeerror5at0040BDB4

rfor確定0BDB4

Runtimeerror5at0040BDB4

確定

確定Runtimeerror5at0040BDB4

確定

"31Runtime

Runtimeerror5at0040BDB4

確定

RiRuntimeei

neerror5at0040BDB4

』確定I

E.網(wǎng)2E.|*E.±|卻"&4#

被感染的電腦發(fā)生異常

8

流行病毒介紹?熊貓燒香

1、打開“我的電腦”，用鼠標右鍵點擊“C盤”、“D盤”

等圖標，在彈出的菜單中會出現(xiàn)名為“Auto"的項目。

Auto

萌玲…

打開⑼

本地磁盤（［

資源管理器（冷

共享和安全⑻…

有可移動存楮的設備圖添加到壓縮文件（且…

圉添加到"Archive,rar"（D

囹壓縮并E-mall…

3.5軟盤（A囹壓縮到"Archive,rar"并E-mail

格式化⑧…

9

流行病毒介紹?熊貓燒香

2、用一些輔助工具，可以看到根目錄下有名為

“setup.exe”和"autorun.inf”的文件，其中

“setup.exe〃的圖標為“熊貓燒香”。

仝

■;9本地磁盤（C：）

名稱Q1大小類型

口WINDOWS文件夾2006-11-2815:42

^AUTOEXEC.BAT0MS-DOS批處理文件2005-6-1415:58

J^autorun.inf81安裝信息2007-1-2310:19

boot,ini211配置設置2005-6-1414:50

bootFont.bin322,730BIN文件2002-10-720:00

§|CONFIG.SYS0系統(tǒng)文件2005-6-1415:58

|E^|hiberfil.sys267,964,416系統(tǒng)文件2006-11-2815:41

HIO.SYS0系統(tǒng)文件2005-6-1415:58

§MSDOS.SYS0系統(tǒng)文件2005-6-1415:58

HNTDETECT.COM47戶64MS-DOS應用程序2004-8-322:38

畫ntldr257,200系統(tǒng)文件2004-8-322:59

回pagefile.sys402,653,184系統(tǒng)文件2006-11-2815:41

MJsetup.exe39,424應用程序2007-1-2310:19

IQ—已經(jīng)選擇1個文件夾總計6文件夾和671,2110

“熊貓燒香”病毒分析與處理

病毒名稱：Worm.Nimaya（"尼姆亞"蠕蟲病毒）

依賴系統(tǒng)：WIN9X/NT/2000/XP

傳播方式：通過惡意網(wǎng)頁傳播，可通過局域網(wǎng)、移動存儲設備等傳播

技術分析（以Spoclsv.exe為例）：

常見病毒進程名稱：Spoclsv.exe等；

病毒運行后復制自身到系統(tǒng)目錄下：

%System%\drivers\spodsv.exe;

創(chuàng)建啟動項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改注冊表信息干擾“顯示所有文件和文件夾”設置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E

xplorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

11

“熊貓燒香”病毒分析與處理

在各分區(qū)根目錄生成副本:結束一些進程：禁用一系列服務：

X:\setup.exeMcshield.exeRsCCenter

X:\autorun.infVsTskMgr.exeRsRavMon

內(nèi)容:naPrdMgr.exe

autorun.infRsCCenter刪除若干安全軟件啟動項信息:

UpdaterUI.exe

[AutoRun]RsRavMonvT夕qk

OPEN=setup.exeTBMon.exeKVWSC

KvMonXP

shellexecute=setup.exescan32.exeKVSrvXP

kav

shell\Auto\command=setup.eRavmond.exekavsvcj卡巴

KAVPersonal50

xeCCenter.exer>AVP-麥克菲

瑞星,McAfeeUpdaterUIz一

RavTask.exeMcAfeeFramework

1NetworkAssociates

嘗試關閉下列窗口：Rav.exeMcShield

ErrorReportingService

QQKavRavmon.exeMcTaskManager

ShStatEXE

QQAVRavmonD.exenavapsvc

YLive.exe

VirusScanRavStub.exewscsvc

Yassistse

SymantecAntiVirusKVXP.kxpKPfwSvc

DubaKvMonXP.kxp江民'SNDSrvc使用netshare命令刪除管理共

WindowsKVCenter.kxpccProxy享.

KVSrvXP.exe

esteemprocsccEvtMgrnetshareX$/del/y

KRegEx.exe

SystemSafetyMonitorccSetMgrnetshareadmin$/del/y

WrappedgiftKi1lerUIHost.exeSPBBCSvcnetshareIPC$/del/y

WinsockExpertTrojDie.kxpSymantecCoreLC

msctls_statusbar32FrogAgent.exeNPFMntor

pjf(ustc)Logoi-,exeMskService

“熊貓燒香”病毒分析與處理

遍歷感染除以下系統(tǒng)目錄夕卜的exe、com、scr、pif文件：嘗試弱密碼訪問網(wǎng)內(nèi)其它計算機:

password

X:\WINDOWSihavenopassasdf

X:\Winntharley

godblessyoupwd

X:\SystemVolumeInformationgolf

pussyenableqwer

X:\Recycled

mustangalphayxcv

%ProgramFiles%\WindowsNT

shadow1234qwerzxcv

%ProgramFiles%\Windowsllpdatefish

123abchome

%ProgramFiles%\WindowsMediaPlayerqwerty

aaaXXX

%ProgramFiles%\OutlookExpressbaseballowner

Patrick

%ProgramFiles%\lnternetExplorerletmeinlogin

%ProgramFiles%\NetMeetingcccpat

Loain

%ProgramFiles%\CommonFilesadmin

administratorlove

%ProgramFiles%\ComPlusApplicationsabc

rootmypc

%ProgramFiles%\Messengerpasssex

passwdmypcl23

%ProgramFiles%\lnstallShieldInstallationInformation

databasegodadmin123

%ProgramFiles%\MSN

obcdfoobarmypass

%ProgramFiles%\Microso什Frontpage

abc!23secretmypassl23

%ProgramFiles%\MovieMaker

SybaseTestAdministrator

%ProgramFiles%\MSNGaminZone

123qwetest123Guest

Server

tempadmin

將自身捆綁在被感染文件前端，并在尾部添加標記信息：Computer

temp123Root

.WhBoy｛原文件名｝.exe.｛原文件大?。?super

123asdwin

另外還發(fā)現(xiàn)病毒會覆蓋少量exe,刪除.gh。文件;

13

“熊貓燒香”病毒分析與處

理

清除步驟______________________________________________________________________

1.首先斷開網(wǎng)絡；

2.一定要先結束病毒進程spodsv.exe等；

3.刪除病毒文件：%System%\drivers\spoclsv.exe

4.右鍵點擊分區(qū)盤符，在右鍵菜單中的“打開”進入分區(qū)根目錄，刪除根目錄下的文件：

X:\setup.exeX:\autorun.inf

5.刪除病毒創(chuàng)建的啟動項：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

6.修改注冊表設置，恢復“顯示所有文件和文件夾”選項功能：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001

7.至ijh甘p:///Chclnnels/Service/inclex.shtml下載瑞星最新版本的''Worm.Nimaya

（熊貓燒香）專用清除工具“，使用該工具進行掃描查殺；

8.修復或重新安裝殺毒軟件，并進行全盤掃描，清除恢復被感染的exe文件；

9.注：如果上述操作在正常模式下有問題，請啟動至安全模式下進行操作！

14

熊貓燒香—李俊

2009年12月24日，入獄3年的李

俊因表現(xiàn)良好，被提前一年釋放。

社會需要寬容，但不需要縱容，

若把犯罪作為找工作的籌碼，那

是一個很壞的榜樣。

U盤病毒和

Autorun.inf分析

16

U盤病毒和Automn.inf分析

u盤病毒主要通過u盤、移動硬盤傳播。目前幾乎

所有這類的病毒的最大特征都是利用autoniiLinf這個

來侵入的，而事實上autorun.inf相當于一個傳染途徑,

經(jīng)過這個途徑入侵的病毒，理論上是“任何”病毒。

因此目前無法單純說U盤病毒就是什么病毒，也因此

導致在查殺上會存在混亂，因為U盤病毒不止一種或

幾十種，詳細的數(shù)字沒人去統(tǒng)計。

17

熊貓燒香的內(nèi)容:

autorun.inf內(nèi)容：

[AutoRun]〃自動運行

OPEN=setup.exe〃執(zhí)行“setup.exe”這個程序的內(nèi)

核結構，就是運行其程序主要功能

shellexecute=setup.exe//執(zhí)行“setup.exe”這個程

序的外殼文件，就是加載該程序的可視化界面。不過病毒

制作者隱藏了該程序的外觀圖形界面；

shell\Auto\command=setup.exe//自動力口載運行

'setup.exe'這個程序.〃。

18

U盤病毒和Autorun.inf分析

?Antonin.inf是個WindowsXP的“創(chuàng)口”

autonm.iiif這個文件是很早就存在的，在WinXP以前的其

他windows系統(tǒng)（如Win98,2000等），需要讓光盤、U盤插入

到機器自動運行的話，就要靠autonm.inf。這個文件是保存在

驅(qū)動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一

些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應該自動啟

動什么程序。

病毒作者可以利用自動啟動這一點，讓移動設備在用戶系統(tǒng)

完全不知情的情況下，“自動”執(zhí)行任何命令或應用程序。

19

U盤病毒和Automn.inf分析

?誤雙擊u盤后病毒做了什么

如果u盤帶有一些病毒，就會有一個現(xiàn)象，當你點擊

U盤時，會多了一些東西：在U盤、各個硬盤分區(qū)（C、

D、E、F盤……）的右鍵菜單多了“自動播放”、

“Autorun"、"Open"、“Browser”等項目；正常情況

下沒有這些項目。

20

U盤病毒和Autorun.inf分析

>Autonm.inf本身是正常的文件，但可被利用作其他惡

意的操作；

?不同的人可通過Autonm.ii!瞰置不同的病毒，因此無

法簡單說是什么病毒，可以是一切病毒、木馬、黑客程

序等；

A一般情況下，U盤不應該有Autonm.inf文件；

?如果發(fā)現(xiàn)U盤有Autonm.iiif,且不是你自己創(chuàng)建生成的,

請刪除它，并且盡快查毒

21

U盤病毒和Autonm.inf分析

?讓Autonin.inf更老實一些

A一般建議插入U盤時，不要雙擊U盤；

A插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤；

A我們也可以對U盤采取一些預防措施，來阻斷病毒的傳播路徑。在

U盤中新建一個文件夾，命名為“AutoRim.inP,根據(jù)同名文件與

同名文件夾不能共存的原理，以后即使在有毒的電腦上使用U盤，

病毒因不能創(chuàng)建AutoRim.iiif文件而無法在別的電腦上運行，這就

阻斷了AutoRun病毒的傳播路徑。

注：部分U盤制造商可能也會利用Autonm.iiif進行自己的特色設計，目的是

為了讓用戶執(zhí)行廠商的特色程序。已確認部分廠商確實使用了這種方式，

因此建議購買U盤是先做識別，或咨詢銷售人員。

22

病毒工作原理

計算機系統(tǒng)的內(nèi)存是一個非常重要的資源，我們可以認為所有

的工作都需要在內(nèi)存中運行（相當于人的大腦），所以控制了

內(nèi)存就相當于控制了人的大腦，病毒一般都是通過各種方式把

自己植入內(nèi)存，獲取系統(tǒng)最高控制權，然后感染在內(nèi)存中運行

的程序。

23

切記

病毒傳染的前彳就是，它必須把自己復制到內(nèi)存中，硬盤

中的帶毒文件如果沒有被讀入內(nèi)存，是不會傳染的，這在

殺毒中非常重要。

所以：病毒和殺毒軟件斗爭的焦點就在于爭奪啟動后的內(nèi)

存控制權。

24

計算機病毒的分類(1)

1.以病毒攻擊的操作系統(tǒng)分類

(1)攻擊DOS系統(tǒng)的病毒

(2)攻擊Windows系統(tǒng)的病毒

(3)攻擊UNIX系統(tǒng)的病毒

(4)攻擊OS/2系統(tǒng)的病毒

(5)攻擊NetWare系統(tǒng)的病毒

2.以病毒的攻擊機型分類

(1)攻擊微型計算機的病毒

(2)攻擊小型機的計算機病毒

(3)攻擊服務器的計算機病毒

25

計算機病毒的分類(2)

3.按照計算機病毒的鏈接方式分類

(1)源碼型病毒

(2)嵌入型病毒將計算機病毒的主體程序與其攻擊對

象以插入方式進行鏈接，一旦進入程序中就難以清除。

(3)外殼型病毒圈自身包圍在合法的主程序的周圍，

對原來的程序并不作任何修改。常見、易于編寫、易

發(fā)現(xiàn)。

(4)操作系統(tǒng)型病毒操作系統(tǒng)型病毒會用它自己的

程序加入操作系統(tǒng)或者取代部分操作系統(tǒng)進行工作，

具有很強的破壞力，會導致整個系統(tǒng)癱瘓。

26

計算機病毒的分類（3）

4.按照計算機病毒的破壞情況分類

1）良性計算機病毒2）惡性計算機病毒。

5.按照計算機病毒激活的時間分類

分為定時的和隨機的。

6.按照傳播媒介分類

1）單機病毒2）網(wǎng)絡病毒

7.按照寄生方式和傳染途徑分類

寄生方式大致可分為兩類：一是引導型病毒；二是文件

型病毒。

傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存型。

27

引導型病毒的傳播

工作原理：引導型病毒感染的不是文件，而是磁盤引導區(qū)，

它把自己寫入引導區(qū)，這樣，只要磁盤被讀寫，病毒就

首先被讀取入內(nèi)存

傳播：在計算機啟動時，必須讀取硬盤主引導區(qū)獲得分區(qū)信

息，再讀取C盤引導區(qū)獲取操作系統(tǒng)信息，這時候任何殺

毒軟件都無法控制，隱藏在引導區(qū)的病毒自然順利入駐

內(nèi)存

28

計算機病毒特征

根據(jù)對計算機病毒的產(chǎn)生、傳播和破壞行為的分析，可以

修計算機病毒概括為以下6個主要特點。

1.傳染性指病毒具有把自身復制的特性

2.取得系統(tǒng)控制權

3.隱蔽性通過隱蔽技術使宿主程序的大小沒有改變，

以至于很難被發(fā)現(xiàn)。

4.破壞性計算機所有資源包括硬件資源和軟件資源，

軟件所能接觸的地方均可能受到計算機病毒的破壞

5.潛伏性長期隱藏在系統(tǒng)中，只有在滿足特定條件時,

才啟動其破壞模塊。

6.不可預見性

29

計算機病毒的傳播途徑

1.移動存儲設備

包括硬盤、移動硬盤、光盤等。硬盤是數(shù)據(jù)

的主要存儲介質(zhì)，因此也是計算機病毒感染的主

要目標。

2.網(wǎng)絡

目前大多數(shù)病毒都是通過網(wǎng)絡進行傳播的。

30

基于瀏覽器的病毒

網(wǎng)頁病毒是利用網(wǎng)頁來進行破壞的病毒，它使用一些

SCRIPT語言編寫的一些惡意代碼利用瀏覽器的漏洞來

實現(xiàn)病毒植入。當用戶登錄某些含有網(wǎng)頁病毒的網(wǎng)站時

,網(wǎng)頁病毒便被悄悄激活，這些病毒一旦激活，可以利

用系統(tǒng)的一些資源進行破壞。

用戶瀏覽一個外部網(wǎng)頁，該網(wǎng)頁代碼就將下載到本地的

IE瀏覽器的臨時目錄..\TemporaryInternetFiles,

然后由瀏覽器根據(jù)頁面代碼進行解釋執(zhí)行。

31

與病毒相關的幾個名詞

黑客Hacker

木馬Trojan

蠕蟲Worm

垃圾郵件Spamemail

流氓軟件Hooligansoftware

32

木馬(Trojan)

這個名字來源于古希臘傳說，它是

指通過一段特定的程序（木馬程序）

來控制另一臺計算機。

木馬通常有兩個可執(zhí)行程序：一個

是客戶端，即控制端，另一個是服務

端，即被控制端。

木馬的設計者為了防止木馬被發(fā)

現(xiàn)，而采用多種手段隱藏木馬。

33

蠕蟲1Worm

它能傳播請注意：

它自身功與病毒不同,

蠕蟲不需要

能的拷貝將其自身附

或它的某著到宿主程

些部分到序。

其他的計|有兩種類型

的蠕蟲—

算機系統(tǒng)主機蠕蟲

中。網(wǎng)絡蠕蟲

34

垃圾郵件/垃圾短信

一）收件人事先沒有提出要求或者同意接收的廣告、電子刊

物、各種形式的宣傳品等宣傳性的電子郵件；

二）收件人無法拒收的電子郵件；

三）隱藏發(fā)件人身份、地址、標題等信息的電子郵件；

四）含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。

35

流氓軟件hooligansoftware

流氓軟件”是介于病毒

和正規(guī)軟件之間的軟件。

既有一定的實用價值（下載、

媒體播放等）,也會給用戶

帶來種種干擾（彈廣告、開

后門、瀏覽器劫持）。

36

流氓軟件的特點:

L未經(jīng)用戶許可強行潛伏到用戶電腦中

2.此類程序無卸載程序，無法正常卸載和刪除，強行刪除后還會自動

生成。

3.廣告程序會強迫用戶接受閱讀廣告信息，間諜軟件搜集用敏感信息

并向外發(fā)送，嚴重侵犯了用戶的選擇權和知情權。

4.殺毒軟件無法查殺

37

流氓軟件之父:

周鴻祎，湖北黃岡人。畢業(yè)于西安交大

管理學院系統(tǒng)工程系，獲碩士學位。

曾就職方正集團。

1998年10月，為了實現(xiàn)“讓中國人能用

自己的母語上網(wǎng)”的理想，周鴻祎創(chuàng)建3721公司，

并在同年推出了3721“網(wǎng)絡實名”的前身——中文網(wǎng)士

3721網(wǎng)絡實名以其簡單、方便的“用中文上網(wǎng)”

的理念，得到千萬中國網(wǎng)民的認可。但2004年前后，

3721軟件在利益驅(qū)使下，使用了眾多不良手段侵占

用戶電腦、并使得其難以被卸載、刪除，甚至致使用

戶電腦無法正常工作，從而被公認為有“流氓行為”

的軟件，并引發(fā)“流氓軟件”一詞，而周鴻祎亦被某

些媒體稱之為“流氓軟件創(chuàng)始人之一”。

現(xiàn)任奇虎360董事長。

38

病毒“免殺”技術

殺毒軟件的工作方式一般是特征碼匹配殺毒，即通過分

析病毒的特征碼來判斷病毒。而病毒只有能夠逃避過殺毒軟

件的查殺，才能順利實現(xiàn)其入侵系統(tǒng)、盜取用戶私密信息的

目的，‘免殺'病毒則應運而生。

?“免殺”概念

“免殺”，顧名思義就是逃避殺毒軟件的查殺，目前用

得比較多的方法主要有三種，分別是“加花指令”、“加殼”

和“修改特征碼”，通常黑客們會針對不同的情況來運用不

同的免殺方法。

39

病毒特征代碼

特征碼，一般都是被反病毒軟件公司確定為只有該病毒才

可能會有的串一串二進制字符串，而這字符串通常是文件里

對應代碼或匯編指令的地址。

殺毒軟件會將這一串二進制字符串用某種方法與目標文件

或進程作對比，從而判定該文件或進程是否感染病毒。

為了防止出現(xiàn)病毒的誤查殺，可以提取出多段特征碼。這

也就是我們所說的復合特征碼.

這是一段來自開源殺毒軟件ClamAntivirus的病毒特征

庫的病毒特征碼：

917cb8a3dld9eb24af6c5bcf3bf7e401:

病毒名稱：Trojan.Downloader-1420

16進制編輯器：winhex

定位特征碼：multiccll

40

病毒“免殺”技術

?免殺技術之一■:加花指令

加花是病毒免殺常用的手段，加花的原理就是通過添加加花指令

（一些垃圾指令，類型加1減1之類的無用語句），從而干擾殺毒軟件正常

的檢測。這是“免殺”技術中最初級的階段。

?免殺技術之二：加殼

常見的殼容易被識別，所以病毒加殼往往會使用到生僻殼、強殼、

新殼、偽裝殼、或者加多重殼等，干擾殺毒軟件正常的檢測。

“免殺技術之三：修改特征碼

病毒加殼雖然可以逃過一些殺毒軟件的查殺，但是卻逃不過內(nèi)存殺

毒，因此修改特征碼成為逃避殺毒軟件內(nèi)存查殺的唯一辦法。要修改特征

碼，就要先定位殺毒軟件的病毒庫所定位的特征碼，這有一定難度，但是

現(xiàn)在有很多工具可以定位出特征碼，只需簡單修改就可完成“免殺病毒”

的制作了。

41

計算機病毒制作技術

1.腳本語言與ActiveX技術

新型計算機病毒卻利用JavaScript<VBScripW

本語言直接將病毒寫到網(wǎng)頁上，完全不需要宿主程序。

腳本語言執(zhí)行方式是把程序代碼寫在網(wǎng)頁上，當連接

到這個網(wǎng)站時，瀏覽器就會利用本地的計算機系統(tǒng)資

源自動執(zhí)行這些程序代碼，使用者就會在毫無察覺的

情況下，執(zhí)行了一些來路不明的程序，遭到病毒的攻

擊。

42

2.采用自加密技術

計算機病毒采用自加密技術就是為了防止被計算機病毒檢

測程序掃描出來，并被輕易地反匯編。計算機病毒使用了加

密技術后，對分析和破譯計算機病毒的代碼及清除計算機病

毒等工作都增加了很多困難。

利用XOR加解密，一個簡單的例子：

addaa,76h〃使aa指向第一條被加密指令

xor[aa],42h〃加密第一個指令

addaa,01h〃指向下一個

xor[aa],42h〃加密第二個

43

3.采用變形技術

當某些計算機病毒編制者通過修改某種已知計算機病

毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時,

稱這種新出現(xiàn)的計算機病毒是原來被修改計算機病毒

的變形。當這種變形了的計算機病毒繼承了原父本計

算機病毒的主要特征時，就被稱為是其父本計算機病

毒的一個變種。

44

4.采用隱形技術

當計算機病毒采用隱形技術后，可以在計算機病毒進入內(nèi)

存后，使計算機用戶幾乎感覺不到它的存在。

45

5.對抗計算機病毒防范系統(tǒng)

計算機病毒采用對抗計算機病毒防范系統(tǒng)技術時，當發(fā)現(xiàn)

磁盤上有某些著名的計算機病毒殺毒軟件或在文件中查找

到出版這些軟件的公司名時，就會刪除這些殺毒軟件或文

件，造成殺毒軟件失效，甚至引起計算機系統(tǒng)崩潰。

46

6.反跟蹤技術

計算機病毒采用反跟蹤措施的目的是要提高計算機病毒程

序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術

在計算機病毒程序中都可以利用。

47

7.中斷與計算機病毒

中斷是CPU處理外部突發(fā)事件的一個重要技術。它能使

CPU在運行過程中對外部事件發(fā)出的中斷請求及時地進行

處理，處理完成后又立即返回斷點，繼續(xù)進行CPU原來的

工作。但另一方面，病毒設計者則會篡改中斷功能為達到

傳染、激發(fā)和破壞等目的。如INT13H是磁盤輸入輸出中

斷，引導型病毒就是用它來傳染病毒和格式化磁盤的。

48

病毒防御技術

1.特征代碼法

從病毒程序中抽取一段獨一無二、足以代表該病毒

特征的二進制程序代碼，并將這段代碼作為判斷該病毒

的依據(jù)，這就是所謂的病毒特征代碼。

從各種病毒樣本中抽取特征代碼，就構成了病毒資

料庫。

顯然，病毒資料庫中病毒特征代碼種類越多，殺毒

軟件能查出的病毒就越多。

49

1、特征代碼法

選擇病毒特征碼要能夠反映出該病毒典型

特征，如它的破壞、傳播和隱藏性代碼。由于病

毒數(shù)據(jù)區(qū)會經(jīng)常變化，因此病毒特征代碼不要含

有病毒的數(shù)據(jù)區(qū)。在保持病毒典型特征唯一性的

前提下，抽取的病毒特征代碼要長度適當，應盡

量使特征代碼長度短些，以減少空間與時間開

銷，使誤報警率最低。

50

1、特征代碼法

采用病毒特征代碼法的檢測工具，必須不斷

更新病毒資料庫，否則檢測工具便會過期老化，

逐漸失去實用價值。

特征代碼法的優(yōu)點是檢測準確、快速、可識

別病毒的名稱，是檢測已知病毒的最簡單、開銷

最小的方法。缺點是不能檢測未知病毒、變種病

毒和隱蔽性病毒（隱蔽性病毒進駐內(nèi)存后，會自

動剝?nèi)ト径境绦蛑械牟《敬a），需定期更新病

毒資料庫，具有滯后性。

51

特征代碼法流程圖:

52

2.校驗和法

校驗和法是根據(jù)文件的內(nèi)容，計算其校驗和，并

將所有文件的校驗和放在資料庫中。檢測時將文

件現(xiàn)有內(nèi)容的校驗和與資料庫中的校驗和做比

較，若不同則判斷為被感染病毒。

53

2.校驗和法

校驗和是一種保護信息資源完整性的控制技術，例如Hash值和循

環(huán)冗余碼等。只要文件內(nèi)部有一個比特發(fā)生了變化，校驗和值就會改

變。未被惡意代碼感染的系統(tǒng)首先會生成檢測數(shù)據(jù)，然后周期性地使用

校驗和法檢測文件的改變情況。運用校驗和法檢查惡意代碼有3種方法：

(1)在惡意代碼檢測軟件中設置校驗和法。對檢測的對象文件計算其正

常狀態(tài)的校驗和并將其寫入被查文件中或檢測工具中，而后進行比較。

(2)在應用程序中嵌入校驗和法。將文件正常狀態(tài)的校驗和寫入文件本

身中，每當應用程序啟動時，比較現(xiàn)行校驗和與原始校驗和，實現(xiàn)應

用程序的自我檢測功能。

(3)將校驗和程序常駐內(nèi)存。每當應用程序開始運行時，自動比較檢查

應用程序內(nèi)部或別的文件中預留保存的校驗和。

54

3.行為監(jiān)測法

行為監(jiān)測法是將病毒中比較特殊的共同行為歸納起來，若

發(fā)現(xiàn)類似病毒的行為，立即報警。

1.占用INT13H

INTI3H是磁盤輸入輸出中斷。引導型病毒就是用它來傳染病毒和格

式化磁盤的。

2.修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量

病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，必須修改內(nèi)存總量。

3.以COM和EXE文件做寫入動作

病毒要感染，必須寫COM和EXE文件。

4.病毒程序與宿主程序的切換

染毒程序運行時，先運行病毒，而后執(zhí)行宿主程序。在兩者切換時，

有許多特征行為。

行為監(jiān)測法的長處在于不僅可以發(fā)現(xiàn)已知病毒，而且可以相當準確地

預報未知的多數(shù)病毒。但行為監(jiān)測法也有其短處，即可能誤報警和不能

識別病毒名稱，而且實現(xiàn)起來有一定難度。

55

4.虛擬機技術

用程序代碼虛擬一個CPU、各個寄存器、硬

件端口也虛擬出來，調(diào)入被調(diào)的“樣本”，通過

內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行

情況。將病毒放到虛擬機中執(zhí)行，則病毒的傳染

和破壞等動作一定會被反映出來。

56

5.主動內(nèi)核技術

是主動給操作系統(tǒng)和網(wǎng)絡系統(tǒng)打了“補丁”，這

些補丁將從安全的角度對系統(tǒng)或網(wǎng)絡進行管理和

檢查，對系統(tǒng)的漏洞進行修補，任何文件在進入

系統(tǒng)之前，反病毒模塊都將首先使用各種手段對

文件進行檢測處理。

57

6.啟發(fā)掃描

是以特定方式實現(xiàn)對有關指令序列的反編

譯，逐步理解和確定其蘊藏的真正動機。

58

7.實時反病毒技術

實時反病毒是對任何程序在調(diào)用之前都被先過濾

一遍,一'有病毒侵入，它就報警，并自動殺毒,

將病毒拒之門外，做到防患于未然。

59

WindowsXP的防范

技術

60

些基本的系統(tǒng)概念(上)

一、進程：

進程為應用