計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)課件 第4章 惡意代碼及網(wǎng)絡(luò)防病毒技術(shù)

THEBASISOFCOMPUTERNETWORKSECURITY第4章惡意代碼及網(wǎng)絡(luò)防病毒技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1第4章惡意代碼及網(wǎng)絡(luò)防病毒技術(shù)惡意代碼是指能夠破壞計(jì)算機(jī)系統(tǒng)功能、未經(jīng)用戶許可非法使用計(jì)算機(jī)系統(tǒng)，影響計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)正常運(yùn)行，竊取用戶信息的計(jì)算機(jī)程序或代碼。計(jì)算機(jī)病毒指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)正常使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。按傳播方式，惡意代碼可以分成五類：病毒，木馬，蠕蟲，移動(dòng)代碼和復(fù)合型病毒。本章從計(jì)算機(jī)病毒、蠕蟲病毒、惡意代碼等方面來闡述防病毒技術(shù)。2第4章主要內(nèi)容●計(jì)算機(jī)病毒●宏病毒及網(wǎng)絡(luò)病毒●特洛伊木馬●蠕蟲病毒●其他惡意代碼●病毒的預(yù)防、檢測(cè)和清除3（第4章）4.1計(jì)算機(jī)病毒44.1計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播并感染其他計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)病毒隱藏在其他程序中，計(jì)算機(jī)病毒能復(fù)制自身并將其插入其他的程序中以執(zhí)行惡意的行動(dòng)。病毒是一種計(jì)算機(jī)程序，當(dāng)它運(yùn)行時(shí)就要消耗計(jì)算機(jī)的CPU資源。病毒并不一定都具有破壞力，有些病毒更像是惡作劇，例如，有些計(jì)算機(jī)感染病毒后，只是顯示一條有趣的消息，但大多數(shù)病毒的目標(biāo)任務(wù)就是破壞計(jì)算機(jī)信息系統(tǒng)程序，影響計(jì)算機(jī)的正常運(yùn)行。5計(jì)算機(jī)病毒的分類6（1）文件病毒。該病毒在操作系統(tǒng)執(zhí)行文件操作時(shí)取得控制權(quán)并把自己依附在可執(zhí)行文件上，然后，利用這些指令來調(diào)用附在文件中某處的病毒代碼。通常，這些過程發(fā)生得很快，以至于用戶難以察覺病毒代碼已被執(zhí)行。（2）引導(dǎo)扇區(qū)病毒。潛伏在硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)記錄。如果計(jì)算機(jī)從被感染的硬盤引導(dǎo)時(shí)，病毒就會(huì)把自己的代碼調(diào)入內(nèi)存。病毒駐留在內(nèi)存中并感染被訪問的U盤或移動(dòng)硬盤。（3）多裂變病毒。多裂變病毒是文件和引導(dǎo)扇區(qū)病毒的混合種，它能感染可執(zhí)行文件，從而在網(wǎng)上迅速傳播蔓延。計(jì)算機(jī)病毒的分類7（4）秘密病毒。這種病毒通過掛接中斷來隱藏自己的真面目，具有很大的欺騙性。當(dāng)某系統(tǒng)函數(shù)被調(diào)用時(shí)，這些病毒便“偽造”結(jié)果，使一切看起來非常正常。（5）異形病毒。這是一種能變異的病毒，隨著感染時(shí)間的不同而改變其不同的形式。不同的感染操作會(huì)使病毒在文件中以不同的方式出現(xiàn)，使傳統(tǒng)的模式匹配法對(duì)此顯得軟弱無力。（6）宏病毒。宏病毒是利用宏語言編寫的，不面向操作系統(tǒng)，所以，它不受操作平臺(tái)的約束，可以在各類操作系統(tǒng)中散播。按破壞程度分類8（1）良性病毒。良性病毒入侵的目的不是破壞系統(tǒng)，只是發(fā)出某種聲音，或出現(xiàn)一些提示，除了占用一定的硬盤空間和CPU處理時(shí)間外別無其他壞處。如一些木馬病毒程序也是這樣，只是想竊取用戶計(jì)算機(jī)中的一些通信信息，如密碼、IP地址等，以備有需要時(shí)用。（2）惡性病毒。惡性病毒的目的是對(duì)軟件系統(tǒng)造成干擾、竊取信息、修改系統(tǒng)信息，但不會(huì)造成硬件損壞、數(shù)據(jù)丟失等后果。這類病毒入侵后系統(tǒng)除了不能正常使用之外，不會(huì)導(dǎo)致其他損失，系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個(gè)部分文件后即可恢復(fù)，當(dāng)然還是要查殺這些病毒之后再重裝系統(tǒng)。按破壞程度分類9（3）極惡性病毒。極惡性病毒比上述病毒損壞的程度要大些，如果感染上這類病毒，用戶的系統(tǒng)就會(huì)徹底崩潰，根本無法正常啟動(dòng)，保留在硬盤中的有用數(shù)據(jù)也可能丟失和損壞。（4）災(zāi)難性病毒。災(zāi)難性病毒一般是破壞磁盤的引導(dǎo)扇區(qū)文件、修改文件分配表和硬盤分區(qū)表，使系統(tǒng)根本無法啟動(dòng)，有時(shí)甚至?xí)袷交脖P。一旦感染這類病毒，操作系統(tǒng)就很難恢復(fù)了，保留在硬盤中的數(shù)據(jù)也會(huì)丟失。這種病毒對(duì)用戶造成的損失是非常巨大的。按入侵方式分類10（1）源代碼嵌入攻擊型。這類病毒入侵的主要是高級(jí)語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件就是帶毒文件。（2）代碼取代攻擊型。這類病毒主要是用它自身的病毒代碼取代某個(gè)入侵程序的整個(gè)或部分模塊，這類病毒也很少見，它主要是攻擊特定的程序，針對(duì)性較強(qiáng)，但是不易被發(fā)現(xiàn)，清除起來也較困難。按入侵方式分類11（3）系統(tǒng)修改型。這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達(dá)到調(diào)用或替代操作系統(tǒng)中的部分功能的目的，由于是直接感染系統(tǒng)，危害較大，也是最為常見的一種病毒類型，多為文件型病毒。（4）外殼附加型。這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當(dāng)于給程序添加了一個(gè)外殼，在被感染的程序執(zhí)行時(shí)，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類。計(jì)算機(jī)病毒的傳播12計(jì)算機(jī)病毒是由計(jì)算機(jī)黑客們編寫的，這些人想證明它們能編寫出不但可以干擾和摧毀計(jì)算機(jī)，而且能將破壞傳播到其它系統(tǒng)的程序。最早被記錄在案的病毒之一是1983年由南加州大學(xué)學(xué)生FredCohen編寫的，當(dāng)該程序安裝在硬盤上后，就可以對(duì)程序自身進(jìn)行復(fù)制，使計(jì)算機(jī)遭到“自我破壞”。1985年病毒程序通過電子公告牌向公眾提供。計(jì)算機(jī)病毒的傳播13病毒一旦進(jìn)入系統(tǒng)以后，通常通過以下兩種方式傳播。①通過磁盤的關(guān)鍵區(qū)域傳播。②在可執(zhí)行的文件中傳播。前者主要感染單個(gè)工作站，而后者是基于服務(wù)器的病毒繁殖的主要原因。如果硬盤的引導(dǎo)扇區(qū)受到感染，病毒就把自己送到內(nèi)存中，從而就會(huì)感染該計(jì)算機(jī)所訪問的所有U盤及活動(dòng)硬盤，每當(dāng)用戶相互交換這些存儲(chǔ)設(shè)備時(shí)，便形成了一種大規(guī)模的傳播途徑，一臺(tái)又一臺(tái)的工作站會(huì)受到感染。計(jì)算機(jī)病毒的傳播14“多裂變”病毒是能夠以文件病毒的方式傳播的，然后去感染引導(dǎo)扇區(qū)。它也能夠通過U盤進(jìn)行傳播?？蓤?zhí)行文件是服務(wù)器上最常見的傳播源。對(duì)于網(wǎng)絡(luò)系統(tǒng)中的其他的工作站來說，服務(wù)器是一個(gè)受感染的、病毒的集散點(diǎn)。①新的被病毒感染的文件被復(fù)制到文件服務(wù)器的卷上。②與其相連的PC內(nèi)存中的病毒感染了服務(wù)器上已有的文件。服務(wù)器在網(wǎng)絡(luò)系統(tǒng)中一直處于核心地位，因此，一旦文件服務(wù)器上的病毒已感染了某個(gè)關(guān)鍵文件，那么，該病毒對(duì)系統(tǒng)所造成的危險(xiǎn)特別大。計(jì)算機(jī)病毒的工作方式15計(jì)算機(jī)病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。病毒能表現(xiàn)出的幾種特性或功能有：感染、變異、觸發(fā)、破壞以及高級(jí)功能（如隱身和多態(tài)）。1．感染任何計(jì)算機(jī)病毒的一個(gè)重要特性或功能是對(duì)計(jì)算機(jī)系統(tǒng)的感染。事實(shí)上，感染方法可用來區(qū)分兩種主要類型的病毒：引導(dǎo)扇區(qū)病毒和文件感染病毒。引導(dǎo)扇區(qū)病毒16引導(dǎo)扇區(qū)一般是硬盤或軟盤上的第一個(gè)扇區(qū)，對(duì)于裝載操作系統(tǒng)具有關(guān)鍵性的作用。硬盤的分區(qū)信息是從該扇區(qū)初始化的。一般來說，引導(dǎo)扇區(qū)先于其他程序的運(yùn)行從而獲得對(duì)CPU的控制。這就是引導(dǎo)扇區(qū)病毒為什么能立即控制整個(gè)系統(tǒng)的原因所在。文件型病毒17文件型病毒與引導(dǎo)扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。它將自己依附在可執(zhí)行的文件（通常是.com和.exe）中，并等待程序的運(yùn)行。這種病毒會(huì)感染其他的文件，而它自己卻駐留在內(nèi)存中。當(dāng)該病毒完成了它的工作后，其宿主程序才被運(yùn)行，使人看起來仿佛一切都很正常。文件型病毒的工作過程：它將自己依附或加載在.exe和.com之類后綴的可執(zhí)行文件上。它有3種主要的類型：覆蓋型、前后依附型以及伴隨型。3種文件型病毒的工作方式各不相同。文件型病毒工作方式18文件型病毒工作方式19●覆蓋型文件病毒的一個(gè)特點(diǎn)是不改變文件的長(zhǎng)度，使原始文件看起來非常正常。即使是這樣，一般的病毒掃描程序或病毒檢測(cè)程序通常都可以檢測(cè)到覆蓋了程序的病毒代碼的存在?！袂耙栏叫臀募《緦⒆约杭釉诳蓤?zhí)行文件的開始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。●伴隨型文件病毒為.exe文件建立一個(gè)相應(yīng)的含有病毒代碼的.com文件。當(dāng)運(yùn)行.exe文件時(shí)，控制權(quán)就轉(zhuǎn)到隱藏的.com文件，病毒程序就得以運(yùn)行。當(dāng)執(zhí)行完之后，控制權(quán)又返回到.exe文件。計(jì)算機(jī)病毒的工作方式202．變異變異又稱變種，這是為逃避病毒掃描和其他反病毒軟件的檢測(cè)，以達(dá)到逃避檢測(cè)的一種“功能”。變異是病毒可以創(chuàng)建類似于自己，但又不同于自身的一種技術(shù)，它使病毒掃描程序難以檢測(cè)。3．觸發(fā)有些計(jì)算機(jī)病毒發(fā)作前需要預(yù)先設(shè)置一些觸發(fā)的條件。眾所周知的是基于某個(gè)特定日期，如每個(gè)月的幾號(hào)或星期幾開始其“工作”。除了以時(shí)間作為觸發(fā)條件外，也有當(dāng)程序運(yùn)行了多少次后，或在文件病毒被復(fù)制到不同的系統(tǒng)上多少次之后，病毒便被啟動(dòng)而立刻“工作”。觸發(fā)在邏輯炸彈中很流行。計(jì)算機(jī)病毒的工作方式214．破壞（1）修改數(shù)據(jù)。計(jì)算機(jī)病毒能夠修改文件中的某些數(shù)據(jù)，從而造成對(duì)數(shù)據(jù)完整性的破壞。病毒也有可能改變賬目或電子表格文件中的數(shù)據(jù)。（2）破壞文件系統(tǒng)。常見的包括用感染的文件去覆蓋正常的、干凈的文件，使原來存儲(chǔ)的信息遭到破壞。破壞或刪除FAT可以導(dǎo)致無法對(duì)磁盤上的文件進(jìn)行訪問。（3）刪除系統(tǒng)上的文件。病毒有時(shí)會(huì)刪除一些文件，或者對(duì)有用的信息進(jìn)行一些破壞。也有可能會(huì)隨機(jī)地刪除磁盤扇區(qū)，或文件目錄的扇區(qū)。（4）視覺和聽覺效果。視覺和聽覺效果表現(xiàn)為在顯示屏上顯示一些信息，演奏音樂，或者顯示一些圖像等。計(jì)算機(jī)病毒的特點(diǎn)22（1）刻意編寫人為破壞。計(jì)算機(jī)病毒不是偶然自發(fā)產(chǎn)生的，而是人為編寫的有意破壞、嚴(yán)謹(jǐn)精巧的程序段，它是嚴(yán)格組織的程序代碼，與所在環(huán)境相互適應(yīng)并緊密配合。（2）自我復(fù)制能力。也稱“再生”或“傳染”。在一定條件下，病毒通過某種渠道從一個(gè)文件或一臺(tái)計(jì)算機(jī)傳染到另外沒有被感染的文件或計(jì)算機(jī)，輕則造成被感染的計(jì)算機(jī)數(shù)據(jù)被破壞或工作失常，重則使計(jì)算機(jī)癱瘓。（3）奪取系統(tǒng)控制權(quán)。即取得系統(tǒng)控制權(quán)，系統(tǒng)每執(zhí)行一次操作，病毒就有機(jī)會(huì)執(zhí)行它預(yù)先設(shè)計(jì)的操作，完成病毒代碼的傳播或進(jìn)行破壞活動(dòng)。計(jì)算機(jī)病毒的特點(diǎn)23（4）隱蔽性。受到傳染后，一般計(jì)算機(jī)系統(tǒng)仍然能夠運(yùn)行，被感染的程序也能執(zhí)行，用戶不會(huì)感到明顯的異常，這便是計(jì)算機(jī)病毒的隱蔽性。（5）潛伏性。大部分病毒在感染系統(tǒng)后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件后才啟動(dòng)其表現(xiàn)模塊，顯示發(fā)作信息或進(jìn)行系統(tǒng)破壞。觸發(fā)條件主要有：●利用系統(tǒng)時(shí)鐘提供的時(shí)間作為觸發(fā)器?！窭貌《倔w自帶的計(jì)數(shù)器作為觸發(fā)器?！窭糜?jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器。（6）不可預(yù)見性。不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，對(duì)未來病毒的預(yù)測(cè)更加困難，這就要求人們不斷提高對(duì)病毒的認(rèn)識(shí)，增強(qiáng)防范意識(shí)。計(jì)算機(jī)病毒的破壞行為24可以把病毒的破壞目標(biāo)和攻擊部位歸納為：①攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊部位包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表和文件目錄。②攻擊文件。刪除文件、改名、替換內(nèi)容、丟失簇和對(duì)文件加密等。③攻擊內(nèi)存。攻擊內(nèi)存的方式有大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。④干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降。如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲和擾亂串并接口等。計(jì)算機(jī)病毒的破壞行為25⑤干擾鍵盤、喇叭或屏幕。病毒干擾鍵盤操作，如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符和輸入紊亂等。許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。病毒擾亂顯示的方式很多，如字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖動(dòng)和亂寫等。⑥攻擊CMOS。在機(jī)器的CMOS中，保存著系統(tǒng)的重要數(shù)據(jù)，如系統(tǒng)時(shí)鐘、磁盤類型和內(nèi)存容量等，并具有校驗(yàn)和。有的病毒激活時(shí)，能夠?qū)MOS進(jìn)行寫入動(dòng)作，破壞CMOS中的數(shù)據(jù)。⑦干擾打印機(jī)。如假報(bào)警、間斷性打印或更換字符。⑧破壞網(wǎng)絡(luò)系統(tǒng)。非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息和占用網(wǎng)絡(luò)帶寬等。（第4章）4.2宏病毒及網(wǎng)絡(luò)病毒264.2宏病毒及網(wǎng)絡(luò)病毒27宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具。它利用簡(jiǎn)單的語法，把常用的動(dòng)作寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。宏病毒就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒的行為和特征281.宏病毒行為機(jī)制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中。這種宏是文檔資料，如果宏隨著文檔而被分派到不同的工作平臺(tái)，只要能被執(zhí)行，它也就類似于計(jì)算機(jī)病毒的傳染過程。2.宏病毒特征①宏病毒會(huì)感染.doc文檔和.dot模板文件。②宏病毒的傳染通常是Word在打開一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。病毒宏將自身復(fù)制到Word通用模板中，以后在打開或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。③多數(shù)宏病毒包含自動(dòng)宏，通過這些自動(dòng)宏病毒取得文檔操作權(quán)。④宏病毒中總是含有對(duì)文檔讀寫操作的宏命令。⑤宏病毒在word文檔中以.BFF格式存放，這是一種加密壓縮格式。宏病毒的防治和清除29●使用選項(xiàng)“提示保存Normal模板”●不要通過Shift鍵來禁止運(yùn)行自動(dòng)宏●查看宏代碼并刪除●使用DisableAutoMacros宏●設(shè)置Normal.dot的只讀屬性●Normal.dot的密碼保護(hù)網(wǎng)絡(luò)病毒30計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會(huì)把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。病毒的迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。對(duì)于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其它工作站。網(wǎng)絡(luò)中只要有一臺(tái)工作站未消毒干凈就可使整個(gè)網(wǎng)絡(luò)全部被病毒感染。病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)31大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。用戶在工作站上執(zhí)行一個(gè)帶毒操作文件，這種病毒就會(huì)感染網(wǎng)絡(luò)上其它可執(zhí)行文件。用戶在工作站上執(zhí)行帶毒內(nèi)存駐留文件，當(dāng)訪問服務(wù)器上的可執(zhí)行文件時(shí)進(jìn)行感染。文件病毒可以通過互聯(lián)網(wǎng)毫無困難地發(fā)送，而可執(zhí)行文件病毒不能通過因特網(wǎng)在遠(yuǎn)程站點(diǎn)感染文件。此時(shí)互聯(lián)網(wǎng)是文件病毒的載體。引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)是從一塊感染的U盤上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。（第4章）4.3特洛伊木馬324.3特洛伊木馬33“特洛伊木馬”（TrojanHorse）簡(jiǎn)稱“木馬”，木馬和病毒都是黑客編寫的程序，都屬于電腦病毒。木馬（Trojan）這個(gè)名字來源于古希臘傳說，荷馬史詩中木馬計(jì)的故事?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。木馬的啟動(dòng)方式34木馬是隨計(jì)算機(jī)或Windows的啟動(dòng)而啟動(dòng)并掌握一定的控制權(quán)的，其啟動(dòng)方式可謂多種多樣，通過注冊(cè)表啟動(dòng)、通過System.ini啟動(dòng)、通過某些特定程序啟動(dòng)等。1．通過“開始\程序\啟動(dòng)”這也是一種很常見的方式，很多正常的程序都用它，木馬程序有時(shí)候也用這種方式啟動(dòng)。只要我們使用“系統(tǒng)配置實(shí)用程序”（msconfig.exe）就能發(fā)現(xiàn)木馬的啟動(dòng)方式。2．通過注冊(cè)表啟動(dòng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices木馬的啟動(dòng)方式353．通過System.ini文件啟動(dòng)System.ini文件是Windows的外殼程序，換一個(gè)程序就可以徹底改變Windows的面貌?？梢栽凇癊xplorer.exe”后加上木馬程序的路徑，這樣Windows啟動(dòng)后木馬也就隨之啟動(dòng)，而且即使是安全模式啟動(dòng)也不會(huì)跳過這一項(xiàng)，這樣木馬也就可以保證永遠(yuǎn)隨Windows啟動(dòng)了。4．通過某特定程序或文件啟動(dòng)①木馬和正常程序捆綁。有點(diǎn)類似于病毒，程序在運(yùn)行時(shí)，木馬程序先獲得控制權(quán)或另開一個(gè)線程以監(jiān)視用戶操作，截取密碼等。②將特定的程序改名。用戶運(yùn)行改名后的程序，實(shí)際是運(yùn)行了木馬。③文件關(guān)聯(lián)。木馬程序會(huì)將自己和TXT文件或EXE文件關(guān)聯(lián)，這樣當(dāng)打開一個(gè)文本文件或運(yùn)行一個(gè)程序時(shí)，木馬也就啟動(dòng)了。木馬的工作原理36木馬有兩個(gè)可執(zhí)行程序，一個(gè)安裝在控制端，即客戶端；另一個(gè)安裝在被控制端，即服務(wù)器端。木馬程序的服務(wù)器端程序是需要植入到目標(biāo)主機(jī)的部分，植入目標(biāo)主機(jī)后作為響應(yīng)程序?？蛻舳顺绦蚴怯脕砜刂颇繕?biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)上，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。典型的木馬工作原理：當(dāng)服務(wù)器端程序在目標(biāo)主機(jī)上執(zhí)行后，木馬打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽，當(dāng)客戶端（控制端）向服務(wù)器端（被控主機(jī)）提出連接請(qǐng)求時(shí)，被控主機(jī)上的木馬程序就會(huì)自動(dòng)應(yīng)答客戶端的請(qǐng)求，服務(wù)器端程序與客戶端建立連接后，客戶端（控制端）就可以發(fā)送各類控制指令對(duì)服務(wù)器端（被控主機(jī)）進(jìn)行完全控制，其操作幾乎與在被控主機(jī)的本機(jī)操作的權(quán)限完全相同。木馬的檢測(cè)37木馬既然是程序，惡意程序，那它運(yùn)行也不免會(huì)露出蛛絲馬跡。我們知道程序運(yùn)行的兩個(gè)必要條件就是：進(jìn)程（模塊，線程）和加載（自啟動(dòng)和觸發(fā)）。那我們查找木馬也從這兩個(gè)大的方向入手，理論上可以找出所有木馬。（1）通過網(wǎng)絡(luò)連接進(jìn)行檢測(cè)。命令格式：netstat–an木馬的檢測(cè)38（2）通過系統(tǒng)進(jìn)程進(jìn)行檢測(cè)。木馬即使再狡猾，它也是一個(gè)活動(dòng)著的應(yīng)用程序，一經(jīng)運(yùn)行，它就時(shí)刻駐留在電腦系統(tǒng)的內(nèi)存中，通過查看系統(tǒng)進(jìn)程可發(fā)現(xiàn)可疑進(jìn)程，并以此來推斷木馬的存在。通過查看系統(tǒng)進(jìn)程這種方法來檢測(cè)木馬非常簡(jiǎn)便易行，但是對(duì)系統(tǒng)必須熟悉。（第4章）4.4蠕蟲病毒394.4蠕蟲病毒40蠕蟲是一種可以自我復(fù)制的代碼，并且通過網(wǎng)絡(luò)傳播，通常無需人為干預(yù)就能傳播。蠕蟲病毒入侵并完全控制一臺(tái)計(jì)算機(jī)之后，就會(huì)把這臺(tái)機(jī)器作為宿主，進(jìn)而掃描并感染其他計(jì)算機(jī)。當(dāng)這些新的被蠕蟲入侵的計(jì)算機(jī)被控制之后，蠕蟲會(huì)以這些計(jì)算機(jī)為宿主繼續(xù)掃描并感染其他計(jì)算機(jī)，這種行為會(huì)一直延續(xù)下去。蠕蟲使用這種遞歸的方法進(jìn)行傳播，按照指數(shù)增長(zhǎng)的規(guī)律分布自己，進(jìn)而及時(shí)控制越來越多的計(jì)算機(jī)。蠕蟲病毒的特點(diǎn)41（1）較強(qiáng)的獨(dú)立性。蠕蟲病毒不需要宿主程序，它是一段獨(dú)立的程序或代碼，可以不依賴于宿主程序而獨(dú)立運(yùn)行，從而主動(dòng)地實(shí)施攻擊。（2）利用漏洞主動(dòng)攻擊。由于不受宿主程序的限制，蠕蟲病毒可以利用操作系統(tǒng)的各種漏洞進(jìn)行主動(dòng)攻擊。（3）傳播更快更廣。蠕蟲病毒可以通過網(wǎng)絡(luò)中的共享文件夾、電子郵件、惡意網(wǎng)頁以及存在著大量漏洞的服務(wù)器等途徑肆意傳播。（4）更好的偽裝和隱藏方式。為了使蠕蟲病毒在更大范圍內(nèi)傳播，病毒的編制者非常注重病毒的隱藏方式。（5）技術(shù)更加先進(jìn)。利用VBScript、Java、ActiveX等技術(shù)隱藏在HTML頁面里。當(dāng)瀏覽含有病毒代碼的網(wǎng)頁時(shí)，病毒會(huì)自動(dòng)駐留內(nèi)存并伺機(jī)觸發(fā)。（6）使追蹤變得更困難。當(dāng)蠕蟲病毒感染了大部分系統(tǒng)之后，攻擊者便能發(fā)動(dòng)多種其他攻擊方式對(duì)付一個(gè)目標(biāo)站點(diǎn)，并通過蠕蟲網(wǎng)絡(luò)隱藏攻擊者的位置，這樣要抓住攻擊者會(huì)非常困難。蠕蟲病毒的原理42網(wǎng)絡(luò)蠕蟲具有與計(jì)算機(jī)病毒一樣的特征：隱匿階段、傳播階段、觸發(fā)階段和執(zhí)行階段。傳播階段主要執(zhí)行以下功能：①通過檢查已感染主機(jī)的地址簿或其他類似存放遠(yuǎn)程系統(tǒng)地址的相應(yīng)文件，得到下一步要感染的目標(biāo)。②建立和遠(yuǎn)程系統(tǒng)的連接。③將自身復(fù)制給遠(yuǎn)程系統(tǒng)并執(zhí)行此副本。蠕蟲病毒在將自身復(fù)制到某系統(tǒng)之前，網(wǎng)絡(luò)蠕蟲可以判斷該系統(tǒng)是否已經(jīng)被感染。在多進(jìn)程系統(tǒng)中，蠕蟲還可以將自身命名為系統(tǒng)進(jìn)程名或其他不容易被系統(tǒng)操作員注意到的名字，以防止被檢測(cè)出來。蠕蟲病毒的功能結(jié)構(gòu)43蠕蟲病毒分解為基本功能模塊和擴(kuò)展功能模塊。實(shí)現(xiàn)了基本功能模塊的蠕蟲病毒就能完成復(fù)制傳播流程，包含擴(kuò)展功能模塊的蠕蟲病毒則具有更強(qiáng)的生存能力和破壞能力。蠕蟲病毒的功能結(jié)構(gòu)44基本功能由5個(gè)功能模塊構(gòu)成。①搜索模塊。尋找下一臺(tái)要傳染的機(jī)器；為提高搜索效率，可以采用一系列的搜索算法。②攻擊模塊。在被感染的機(jī)器上建立傳輸通道（傳染途徑）；為減少第一次傳染數(shù)據(jù)傳輸量，可以采用引導(dǎo)式結(jié)構(gòu)。③傳輸模塊。計(jì)算機(jī)間的蠕蟲程序復(fù)制。④信息搜集模塊。搜集和建立被傳染機(jī)器上的信息。⑤繁殖模塊。建立自身的多個(gè)副本；在同一臺(tái)機(jī)器上提高傳染效率、判斷避免重復(fù)傳染。蠕蟲病毒的功能結(jié)構(gòu)45擴(kuò)展功能由4個(gè)功能模塊構(gòu)成。①隱藏模塊。隱藏蠕蟲程序，使簡(jiǎn)單的檢測(cè)不能發(fā)現(xiàn)。②破壞模塊。摧毀或破壞被感染的計(jì)算機(jī)；或在被感染的計(jì)算機(jī)上留下后門程序等。③通信模塊。蠕蟲間、蠕蟲同黑客之間進(jìn)行交流，可能是未來蠕蟲發(fā)展的側(cè)重點(diǎn)。④控制模塊。調(diào)整蠕蟲行為，更新其他功能模塊，控制被感染計(jì)算機(jī)，可能是未來蠕蟲發(fā)展的側(cè)重點(diǎn)。蠕蟲的工作流程46蠕蟲病毒的工作流程可以分為掃描、攻擊、現(xiàn)場(chǎng)處理、復(fù)制4個(gè)部分。當(dāng)掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，進(jìn)行攻擊，攻擊部分完成蠕蟲主體的遷移工作；進(jìn)入被感染的系統(tǒng)后，要做現(xiàn)場(chǎng)處理工作，現(xiàn)場(chǎng)處理部分工作包括隱藏、信息搜集等；生成多個(gè)副本后，重復(fù)上述流程。蠕蟲病毒的防治47蠕蟲病毒的一般防治方法是：使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件。防范郵件蠕蟲的最好辦法，就是提高自己的安全意識(shí)，不要輕易打開帶有附件的電子郵件。另外，可以啟用殺毒軟件的“郵件發(fā)送監(jiān)控”和“郵件接收監(jiān)控”功能，也可以提高自己對(duì)病毒郵件的防護(hù)能力。（第4章）4.5其他惡意代碼484.5其他惡意代碼49惡意代碼又稱惡意軟件。這些軟件也可稱為廣告軟件、間諜軟件、惡意共享軟件。是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件。有時(shí)也稱作流氓軟件。惡意代碼具有共同特征是：●惡意的目的●本身是計(jì)算機(jī)程序●通過執(zhí)行發(fā)生作用惡意移動(dòng)代碼50惡意移動(dòng)代碼是一段計(jì)算機(jī)程序，能夠在計(jì)算機(jī)或網(wǎng)絡(luò)之間傳播，未經(jīng)授權(quán)、故意修改計(jì)算機(jī)系統(tǒng)。一般來說，惡意移動(dòng)代碼的變異型可以分為3類：病毒類、蠕蟲類和木馬程序。很多惡意程序就是這3種類型的組合。惡意移動(dòng)終端惡意代碼以移動(dòng)終端為感染對(duì)象，以移動(dòng)終端網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)為平臺(tái)，通過無線或有線通信等方式，對(duì)移動(dòng)終端進(jìn)行攻擊，從而造成移動(dòng)終端異常的各種不良程序代碼。惡意移動(dòng)代碼可以利用系統(tǒng)的漏洞進(jìn)行入侵，例如非法的數(shù)據(jù)訪問和盜取root賬號(hào)。通常用于編寫移動(dòng)代碼的工具包括Javaapplets，ActiveX，JavaScript和VBScript。惡意移動(dòng)代碼攻擊方式51①短信息攻擊。主要是以“病毒短信”的方式發(fā)起攻擊。②直接攻擊手機(jī)。直接攻擊相鄰手機(jī)，Cabir病毒就是這種病毒。③攻擊網(wǎng)關(guān)。控制WAP或短信平臺(tái)，并通過網(wǎng)關(guān)向手機(jī)發(fā)送垃圾信息，干擾手機(jī)用戶，甚至導(dǎo)致網(wǎng)絡(luò)運(yùn)行癱瘓。④攻擊漏洞。攻擊字符格式漏洞，攻擊職能手機(jī)操作系統(tǒng)漏洞，攻擊應(yīng)用程序運(yùn)行環(huán)境漏洞，攻擊應(yīng)用程序漏洞。⑤木馬型惡意代碼。利用用戶的疏忽，以合法身份侵入移動(dòng)終端，并伺機(jī)竊取資料的病毒。惡意移動(dòng)代碼的防范52①注意來電信息。正常情況下，屏幕上顯示的應(yīng)該是來電電話號(hào)碼。如果發(fā)現(xiàn)顯示別的字樣或奇異的符號(hào)，應(yīng)立即把電話關(guān)閉。②謹(jǐn)慎網(wǎng)絡(luò)下載。當(dāng)用戶經(jīng)手機(jī)上網(wǎng)時(shí)，盡量不要下載信息和資料，如果需要下載手機(jī)鈴聲或圖片，應(yīng)該到正規(guī)網(wǎng)站下載。③不接收怪異短信。短信息（彩信）中可能存在病毒，短信息也是感染手機(jī)病毒的一個(gè)重要途徑。當(dāng)用戶接到怪異的短信時(shí)應(yīng)當(dāng)立即刪除。④關(guān)閉無線連接。對(duì)不了解的信息來源，應(yīng)該關(guān)掉藍(lán)牙或紅外線等無線設(shè)備。⑤關(guān)注安全信息。關(guān)注主流信息安全廠商提供的資訊信息，及時(shí)了解手持設(shè)備的發(fā)展現(xiàn)狀和發(fā)作現(xiàn)象，做到防患于未然。陷門53陷門是指進(jìn)入程序的秘密入口，它使得知道陷門的人可以不經(jīng)過通常的安全檢查訪問過程而獲得訪問。當(dāng)程序開發(fā)者在設(shè)計(jì)一個(gè)包含認(rèn)證機(jī)制或者要用戶輸入很多不同的值才可以運(yùn)行的程序的時(shí)候，為避開這些繁瑣的認(rèn)證機(jī)制以便于開發(fā)和調(diào)試的順利進(jìn)行，程序設(shè)計(jì)者通常會(huì)設(shè)置這樣的陷門。陷門通常是識(shí)別特定輸入序列的代碼段，可以由某一特定用戶ID或者特定的事件序列激活。如果一個(gè)登錄處理系統(tǒng)允許一個(gè)特定的用戶識(shí)別碼，通過該識(shí)別碼可以繞過通常的口令檢查，直觀的理解就是可以通過一個(gè)特殊的用戶名和密碼登錄進(jìn)行修改等操作。這種安全危險(xiǎn)稱為陷門，又稱為非授權(quán)訪問。當(dāng)陷門被惡意程序設(shè)計(jì)者利用，作為獲得未授權(quán)的訪問權(quán)限的工具時(shí)，陷門就變成一種安全威脅。邏輯炸彈54邏輯炸彈是指在特定邏輯條件滿足時(shí)，實(shí)施破壞的計(jì)算機(jī)程序，該程序觸發(fā)后造成計(jì)算機(jī)數(shù)據(jù)丟失、計(jì)算機(jī)不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€(gè)系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。邏輯炸彈是出現(xiàn)最早的程序威脅類型之一，在時(shí)間上早于病毒和蠕蟲。邏輯炸彈引發(fā)時(shí)的癥狀與某些病毒的作用結(jié)果相似，并會(huì)對(duì)社會(huì)引發(fā)連帶性的災(zāi)難。與病毒相比，它強(qiáng)調(diào)破壞作用本身，而實(shí)施破壞的程序不具有傳染性。最常見激活邏輯炸彈的條件是日期，當(dāng)滿足約定的日期時(shí)，邏輯炸彈被激活并執(zhí)行它的代碼。僵尸病毒55僵尸網(wǎng)絡(luò)病毒，通過連接IRC服務(wù)器進(jìn)行通信從而控制被攻陷的計(jì)算機(jī)。僵尸程序秘密接管對(duì)網(wǎng)絡(luò)上其他機(jī)器的控制權(quán)，之后以被劫持的機(jī)器為跳板實(shí)施攻擊行為，這使得發(fā)現(xiàn)真正的攻擊者變得較為困難。僵尸網(wǎng)絡(luò)。是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊DDoS、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息也都可被黑客隨意使用。因此，不論是對(duì)網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸病毒56僵尸手機(jī)病毒是一類專門針對(duì)移動(dòng)通信終端的惡意軟件的總稱。被這種惡意程序感染的手機(jī)，成為“僵尸手機(jī)”，自動(dòng)向其他手機(jī)用戶通過發(fā)送短信的方式傳播病毒，用戶一旦閱讀這種帶有惡意鏈接的短信，就會(huì)感染而成為“僵尸手機(jī)”，并再次對(duì)外傳播這種病毒。僵尸手機(jī)病毒具有隱秘性強(qiáng)、傳播迅速、主動(dòng)攻擊、危險(xiǎn)性大的特點(diǎn)。僵尸手機(jī)病毒一旦被激活，就會(huì)將手機(jī)的SIM卡信息傳回病毒服務(wù)器，然后病毒服務(wù)器會(huì)向手機(jī)通訊錄中的聯(lián)系人發(fā)送含有病毒的廣告短信，這樣病毒將會(huì)以傳銷的方式繼續(xù)傳播下去。復(fù)合型病毒57復(fù)合型病毒就是惡意代碼通過多種方式傳播。著名的Nimda蠕蟲實(shí)際上就是復(fù)合型病毒的一個(gè)例子，它通過4種方式傳播。①E-mail。如果用戶在一臺(tái)存在漏洞的電腦上打開一個(gè)被Nimda感染的郵件附件，病毒就會(huì)搜索這臺(tái)電腦上存儲(chǔ)的所有郵件地址，然后向它們發(fā)送病毒郵件。②網(wǎng)絡(luò)共享。Nimda會(huì)搜索與被感染電腦連接的其他電腦的共享文件，然后它以NetBIOS作為傳送工具，來感染遠(yuǎn)程電腦上的共享文件，一旦那臺(tái)電腦的用戶運(yùn)行這個(gè)被感染文件，那么那臺(tái)電腦的系統(tǒng)也會(huì)被感染。③Web服務(wù)器。Nimda會(huì)搜索Web服務(wù)器，找到存在漏洞的服務(wù)器，它就會(huì)復(fù)制自己的副本過去，并感染它和它的文件。④Web終端。如果一個(gè)Web終端訪問了一臺(tái)被Nimda感染的Web服務(wù)器，那么它也會(huì)被感染。（第4章）4.6病毒的預(yù)防、檢測(cè)和清除584.6病毒的預(yù)防、檢測(cè)和清除59計(jì)算機(jī)病毒的防范措施主要有以下幾點(diǎn)：（1）操作系統(tǒng)層面的安全防范。及時(shí)更新操作系統(tǒng)的補(bǔ)丁，修補(bǔ)操作系統(tǒng)本身存在的安全漏洞，禁用不需要的功能、賬號(hào)、端口等。（2）應(yīng)用系統(tǒng)層面的安全防范。通過安裝軟件補(bǔ)丁、優(yōu)化軟件設(shè)計(jì)，提高應(yīng)用軟件的安全性。（3）安裝安全防護(hù)軟件。通過安裝防火墻、殺毒軟件、入侵檢測(cè)等安全防護(hù)軟件，提高計(jì)算機(jī)的防護(hù)能力。（4）提防問題網(wǎng)站。目前黑客等不法分子會(huì)把病毒、木馬掛在網(wǎng)頁上，只要瀏覽網(wǎng)頁，就有可能會(huì)被植入木馬或感染病毒。因此在瀏覽網(wǎng)頁時(shí)需要加以提防，不要登錄不正規(guī)的網(wǎng)站。病毒的預(yù)防60（5）提防利用電子郵件傳播病毒。收到陌生可疑郵件時(shí)盡量不要打開，特別是對(duì)帶有附件的電子郵件要格外小心，打開前對(duì)郵件進(jìn)行殺毒。（6）及時(shí)查殺病毒。對(duì)于來路不明的光盤、軟盤、U盤等介質(zhì)，使用前進(jìn)行查殺；對(duì)于從網(wǎng)絡(luò)上下載的文件也要先查殺病毒；計(jì)算機(jī)需要安裝殺毒軟件要及時(shí)更新病毒庫。（7）預(yù)防病毒爆發(fā)。經(jīng)常關(guān)注一些網(wǎng)站發(fā)布的病毒報(bào)告，及時(shí)了解病毒爆發(fā)情況，提前做好預(yù)防。（8）定期備份。對(duì)于重要的文件、數(shù)據(jù)要定期備份，以免丟失。病毒的檢測(cè)61病毒的檢測(cè)采用的方法：比較被檢測(cè)對(duì)象與原始備份的比較法，利用病毒特征代碼串的掃描法，病毒體內(nèi)特定位置的特征字識(shí)別法，反匯編技術(shù)分析法。（1）比較法。比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。用這種方法可以發(fā)現(xiàn)新的計(jì)算機(jī)病毒。優(yōu)點(diǎn)是簡(jiǎn)單、方便和不需專用軟件，缺點(diǎn)是無法確認(rèn)病毒的種類名稱。（2）掃描法。掃描法是用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，則表明發(fā)現(xiàn)了該字符串所代表的病毒。病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目取決于病毒代碼庫內(nèi)所含病毒的種類有多少。庫中病毒代碼種類越多，掃描程序能辨認(rèn)出的病毒也就越多。病毒的檢測(cè)62（3）計(jì)算機(jī)病毒特征字的識(shí)別法。是基于特征串掃描法發(fā)展起來的一種新方法。它工作起來速度更快、誤報(bào)警更少。特征字識(shí)別法只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來組成特征字庫。由于需要處理的字節(jié)很少，而又不必進(jìn)行串匹配，則大大加快了識(shí)別速度。（4）分析法。使用分析法的目的有以下4個(gè)。①確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒。②確認(rèn)病毒的類型和種類，判定其是否是一種新病毒。③搞清楚病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識(shí)別程序用。④詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。病毒的檢測(cè)632.病毒掃描程序這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱為病毒特征。這些病毒特征能唯一地識(shí)別某種類型的病毒，掃描程序能在程序中尋找這種病毒特征。3.完整性檢查程序另一類反病毒程序，它是通過識(shí)別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。4.行為封鎖軟件該軟件的目的是防止病毒的破壞。通常，這種軟件試圖在病毒馬上就要開始工作時(shí)阻止它。每當(dāng)某一反常的事情將要發(fā)生時(shí)，行為封鎖軟件就會(huì)檢測(cè)到病毒并警告用戶。計(jì)算機(jī)病毒的免疫64計(jì)算機(jī)病毒的免疫，就是通過一定的方法，使計(jì)算機(jī)自身具有防御計(jì)算機(jī)病毒感染的能力。（1）建立程序的特征值檔案。對(duì)每一個(gè)指定的可執(zhí)行的二進(jìn)制文件，在確保它沒有被感染的情況下進(jìn)行登記，然后計(jì)算出它的特征值填入表中。以后，每當(dāng)系統(tǒng)的命令處理程序執(zhí)行它的時(shí)候，先將程序讀入內(nèi)存，檢查其特征是否有變化，由此決定是否運(yùn)行該程序。（2）嚴(yán)格內(nèi)存管理。做一個(gè)記錄內(nèi)存大小的備份，并時(shí)刻監(jiān)測(cè)系統(tǒng)的中斷調(diào)用。（3）中斷向量管理。病毒駐留內(nèi)存時(shí)常常會(huì)修改一些中斷向量，因此，中斷向量的檢查和恢復(fù)是必要的。為使這項(xiàng)工作簡(jiǎn)單一些，只要事先保存ROMBIOS和DOS引導(dǎo)后設(shè)立的中斷向量表備份就行了，因?yàn)橥慌_(tái)計(jì)算機(jī)，在同一種操作系統(tǒng)版本下，其ROM和操作系統(tǒng)設(shè)立的中斷向量一般都是不變的。計(jì)算機(jī)病毒的清除65（1）引導(dǎo)型病毒的清除（2）宏病毒清除方法（3）殺毒程序?qū)τ谖募筒《?，殺毒程序需要知道?/p>