《第八章 計算機(jī)病毒防范技術(shù)》由會員分享，可在線閱讀，更多相關(guān)《第八章 計算機(jī)病毒防范技術(shù)（58頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 第第8章章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù)內(nèi)容提要：內(nèi)容提要：概述概述計算機(jī)病毒的工作原理和分類計算機(jī)病毒的工作原理和分類計算機(jī)病毒的檢測與防范計算機(jī)病毒的檢測與防范 計算機(jī)病毒的發(fā)展方向和趨勢計算機(jī)病毒的發(fā)展方向和趨勢 常見的常見的計算機(jī)病毒計算機(jī)病毒第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.1 概概 述述計算機(jī)病毒的定義計算機(jī)病毒的定義 計算機(jī)病毒，是指編制或者在計算機(jī)程序中插計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制

2、的一組計算機(jī)指令或者程序代碼。用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。美國計算機(jī)安全專家美國計算機(jī)安全專家Fred Cohen博士認(rèn)為：計博士認(rèn)為：計算機(jī)病毒是一種能傳染其它程序的程序，病毒是靠算機(jī)病毒是一種能傳染其它程序的程序，病毒是靠修改其它程序，并把自身的拷貝嵌入其它程序而實(shí)修改其它程序，并把自身的拷貝嵌入其它程序而實(shí)現(xiàn)的。現(xiàn)的。返回本章首頁返回本章首頁第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 計算機(jī)病毒的特性計算機(jī)病毒的特性 計算機(jī)病毒是一個程序；計算機(jī)病毒是一個程序；計算機(jī)病毒具有傳染性，可以傳染其它程序；計算機(jī)病毒具有傳染性，可以傳染其它程序；計算機(jī)病毒的傳染方式是

3、修改其它程序，把自計算機(jī)病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實(shí)現(xiàn)的；身拷貝嵌入到其它程序中而實(shí)現(xiàn)的；計算機(jī)病毒的定義在很多方面借用了生物學(xué)計算機(jī)病毒的定義在很多方面借用了生物學(xué)病毒的概念，因?yàn)樗鼈冇兄T多相似的特征，比病毒的概念，因?yàn)樗鼈冇兄T多相似的特征，比如能夠自我復(fù)制，能夠快速如能夠自我復(fù)制，能夠快速“傳染傳染”，且都能夠，且都能夠危害危害“病原體病原體”，當(dāng)然計算機(jī)病毒危害的，當(dāng)然計算機(jī)病毒危害的“病原病原體體”是正常工作的計算機(jī)系統(tǒng)和網(wǎng)絡(luò)。是正常工作的計算機(jī)系統(tǒng)和網(wǎng)絡(luò)。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 計算機(jī)病毒的特征計算機(jī)病毒的特征 非授權(quán)可

4、執(zhí)行性非授權(quán)可執(zhí)行性 隱蔽性隱蔽性 傳染性傳染性 潛伏性潛伏性 表現(xiàn)性或破壞性表現(xiàn)性或破壞性 可觸發(fā)性可觸發(fā)性第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 計算機(jī)病毒的主要危害計算機(jī)病毒的主要危害 直接破壞計算機(jī)數(shù)據(jù)信息直接破壞計算機(jī)數(shù)據(jù)信息 占用磁盤空間和對信息的破壞占用磁盤空間和對信息的破壞 搶占系統(tǒng)資源搶占系統(tǒng)資源 影響計算機(jī)運(yùn)行速度影響計算機(jī)運(yùn)行速度 計算機(jī)病毒錯誤與不可預(yù)見的危害計算機(jī)病毒錯誤與不可預(yù)見的危害 計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響 給用戶造成嚴(yán)重的心理壓力給用戶造成嚴(yán)重的心理壓力第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù)

5、8.2 計算機(jī)病毒的工作原理和計算機(jī)病毒的工作原理和分類分類第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.2.1計算機(jī)病毒的工作原理計算機(jī)病毒的工作原理1計算機(jī)病毒的結(jié)構(gòu)計算機(jī)病毒的結(jié)構(gòu)（1）病毒的邏輯結(jié)構(gòu)病毒的邏輯結(jié)構(gòu)（2）病毒的磁盤存儲結(jié)構(gòu)）病毒的磁盤存儲結(jié)構(gòu)（3）病毒的內(nèi)存駐留結(jié)構(gòu)）病毒的內(nèi)存駐留結(jié)構(gòu)第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （1）病毒的邏輯結(jié)構(gòu)病毒的邏輯結(jié)構(gòu)病毒的引導(dǎo)模塊；病毒的引導(dǎo)模塊；病毒的傳染模塊；病毒的傳染模塊；病毒的發(fā)作（表現(xiàn)和破壞）模塊。病毒的發(fā)作（表現(xiàn)和破壞）模塊。引導(dǎo)模塊傳染條件判斷模塊實(shí)施傳染模塊觸發(fā)條件判斷模塊實(shí)施表現(xiàn)或破壞模塊圖

6、8-1 計算機(jī)病毒的模塊結(jié)構(gòu)第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （2）病毒的磁盤存儲結(jié)構(gòu)）病毒的磁盤存儲結(jié)構(gòu)磁盤空間結(jié)構(gòu)磁盤空間結(jié)構(gòu)經(jīng)過格式化后的磁盤應(yīng)包括：經(jīng)過格式化后的磁盤應(yīng)包括：主引導(dǎo)記錄區(qū)（硬盤）主引導(dǎo)記錄區(qū)（硬盤）引導(dǎo)記錄區(qū)引導(dǎo)記錄區(qū)文件分配表（文件分配表（FAT）目錄區(qū)目錄區(qū)數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （2）病毒的磁盤存儲結(jié)構(gòu)）病毒的磁盤存儲結(jié)構(gòu)系統(tǒng)型病毒的磁盤存儲結(jié)構(gòu)系統(tǒng)型病毒的磁盤存儲結(jié)構(gòu) 病毒的一部分存放在磁盤的引導(dǎo)扇區(qū)中病毒的一部分存放在磁盤的引導(dǎo)扇區(qū)中 另一部分則存放在磁盤其它扇區(qū)中另一部分則存放在磁盤其它扇區(qū)中 引導(dǎo)型

7、病毒沒有對應(yīng)的文件名字引導(dǎo)型病毒沒有對應(yīng)的文件名字第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （2）病毒的磁盤存儲結(jié)構(gòu)）病毒的磁盤存儲結(jié)構(gòu)文件型病毒的磁盤存儲結(jié)構(gòu)文件型病毒的磁盤存儲結(jié)構(gòu) 文件型病毒專門感染系統(tǒng)中可執(zhí)行文件；文件型病毒專門感染系統(tǒng)中可執(zhí)行文件；其程序依附在被感染文件的首部、尾部、其程序依附在被感染文件的首部、尾部、中部或空閑部位；中部或空閑部位；絕大多數(shù)文件型病毒都屬于外殼型病毒。絕大多數(shù)文件型病毒都屬于外殼型病毒。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （3）病毒的內(nèi)存駐留結(jié)構(gòu)）病毒的內(nèi)存駐留結(jié)構(gòu)系統(tǒng)型病毒的內(nèi)存駐留結(jié)構(gòu)系統(tǒng)型病毒的內(nèi)存駐留結(jié)構(gòu) 系統(tǒng)型病毒

8、是在系統(tǒng)啟動時被裝入的系統(tǒng)型病毒是在系統(tǒng)啟動時被裝入的 病毒程序?qū)⒆陨硪苿拥竭m當(dāng)?shù)膬?nèi)存高端病毒程序?qū)⒆陨硪苿拥竭m當(dāng)?shù)膬?nèi)存高端 采用修改內(nèi)存向量描述字的方法隱藏自己采用修改內(nèi)存向量描述字的方法隱藏自己 有些病毒也利用小塊沒有使用的低端內(nèi)存有些病毒也利用小塊沒有使用的低端內(nèi)存系統(tǒng)系統(tǒng)第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （3）病毒的內(nèi)存駐留結(jié)構(gòu)）病毒的內(nèi)存駐留結(jié)構(gòu)文件型病毒的內(nèi)存駐留結(jié)構(gòu)文件型病毒的內(nèi)存駐留結(jié)構(gòu) 病毒程序是在運(yùn)行其宿主程序時被裝入內(nèi)存病毒程序是在運(yùn)行其宿主程序時被裝入內(nèi)存的，文件型病毒按其駐留內(nèi)存方式可分為：的，文件型病毒按其駐留內(nèi)存方式可分為：高端駐留型，典型的病毒

9、有高端駐留型，典型的病毒有Yankee。常規(guī)駐留型，典型的病毒有黑色星期五。常規(guī)駐留型，典型的病毒有黑色星期五。內(nèi)存控制鏈駐留型：典型的病毒有內(nèi)存控制鏈駐留型：典型的病毒有1701。設(shè)備程序補(bǔ)丁駐留型：典型的病毒有設(shè)備程序補(bǔ)丁駐留型：典型的病毒有DIR2。不駐留內(nèi)存型：典型的病毒有不駐留內(nèi)存型：典型的病毒有Vienna/648。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 2計算機(jī)病毒的作用機(jī)制計算機(jī)病毒的作用機(jī)制（1）引導(dǎo)機(jī)制）引導(dǎo)機(jī)制（2）傳染機(jī)制）傳染機(jī)制（3）破壞機(jī)制）破壞機(jī)制第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （1）中斷與計算機(jī)病毒）中斷與計算機(jī)病毒 中斷是中斷

10、是CPU處理外部突發(fā)事件的一個重要技處理外部突發(fā)事件的一個重要技術(shù)。中斷類型可劃分為：術(shù)。中斷類型可劃分為：中斷中斷硬件中斷硬件中斷軟件中斷：并不是真正的中斷，系統(tǒng)功能調(diào)用軟件中斷：并不是真正的中斷，系統(tǒng)功能調(diào)用內(nèi)部中斷：因硬件出錯或運(yùn)算出錯所引起；內(nèi)部中斷：因硬件出錯或運(yùn)算出錯所引起；外部中斷：由外設(shè)發(fā)出的中斷；外部中斷：由外設(shè)發(fā)出的中斷；第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 病毒有關(guān)的重要中斷病毒有關(guān)的重要中斷INT 08H和和INT 1CH的定時中斷，有些病毒用來判的定時中斷，有些病毒用來判斷激發(fā)條件；斷激發(fā)條件；INT 09H鍵盤輸入中斷，病毒用于監(jiān)視用戶擊鍵情鍵盤輸入中

11、斷，病毒用于監(jiān)視用戶擊鍵情況；況；INT 10H屏幕輸入輸出，一些病毒用于在屏幕上顯屏幕輸入輸出，一些病毒用于在屏幕上顯示信息來表現(xiàn)自己；示信息來表現(xiàn)自己；INT 13H磁盤輸入輸出中斷，引導(dǎo)型病毒用于傳染磁盤輸入輸出中斷，引導(dǎo)型病毒用于傳染病毒和格式化磁盤；病毒和格式化磁盤；INT 21H DOS功能調(diào)用，絕大多數(shù)文件型病毒修改功能調(diào)用，絕大多數(shù)文件型病毒修改該中斷。該中斷。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 病毒利用中斷病毒利用中斷 圖 8-2 病毒盜用中斷示意圖 中斷向量中斷服務(wù)程序中斷向量病毒相關(guān)程序中斷服務(wù)程序盜用后盜用后：盜用前：盜用前：第八章第八章 計算機(jī)病毒防范

12、技術(shù)計算機(jī)病毒防范技術(shù) （2）計算機(jī)病毒的傳染機(jī)制）計算機(jī)病毒的傳染機(jī)制 傳染是指計算機(jī)病毒由一個載體傳播到另一傳染是指計算機(jī)病毒由一個載體傳播到另一載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。計算載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。計算機(jī)病毒的傳染方式主要有：機(jī)病毒的傳染方式主要有：病毒程序利用操作系統(tǒng)的引導(dǎo)機(jī)制或加載機(jī)制病毒程序利用操作系統(tǒng)的引導(dǎo)機(jī)制或加載機(jī)制進(jìn)入內(nèi)存；進(jìn)入內(nèi)存；從內(nèi)存的病毒傳染新的存儲介質(zhì)或程序文件是從內(nèi)存的病毒傳染新的存儲介質(zhì)或程序文件是利用操作系統(tǒng)的讀寫磁盤的中斷或加載機(jī)制來實(shí)利用操作系統(tǒng)的讀寫磁盤的中斷或加載機(jī)制來實(shí)現(xiàn)的。現(xiàn)的。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒

13、防范技術(shù) （3）計算機(jī)病毒的破壞機(jī)制）計算機(jī)病毒的破壞機(jī)制 破壞機(jī)制在設(shè)計原則、工作原理上與傳染機(jī)破壞機(jī)制在設(shè)計原則、工作原理上與傳染機(jī)制基體相同。它也是通過修改某一中斷向量入口制基體相同。它也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。地址，使該中斷向量指向病毒程序的破壞模塊。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.2.2 計算機(jī)病毒的分類計算機(jī)病毒的分類1按照病毒攻擊的系統(tǒng)分類按照病毒攻擊的系統(tǒng)分類（1）攻擊）攻擊DOS系統(tǒng)的病毒。系統(tǒng)的病毒。（2）攻擊）攻擊Windows系統(tǒng)的病毒。系統(tǒng)的病毒。（3）攻擊）攻擊UNIX系統(tǒng)的病毒。系統(tǒng)的病毒。（4）

14、攻擊）攻擊OS/2系統(tǒng)的病毒。系統(tǒng)的病毒。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 2按照病毒的攻擊機(jī)型分類按照病毒的攻擊機(jī)型分類（1）攻擊微型計算機(jī)的病毒。）攻擊微型計算機(jī)的病毒。（2）攻擊小型機(jī)的計算機(jī)病毒。）攻擊小型機(jī)的計算機(jī)病毒。（3）攻擊工作站的計算機(jī)病毒。）攻擊工作站的計算機(jī)病毒。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 3按照病毒的鏈結(jié)方式分類按照病毒的鏈結(jié)方式分類（1）源碼型病毒）源碼型病毒（2）嵌入型病毒）嵌入型病毒（3）外殼型病毒）外殼型病毒（4）操作系統(tǒng)型病毒）操作系統(tǒng)型病毒第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 4按照病毒的破壞情況分類按

15、照病毒的破壞情況分類（1）良性計算機(jī)病毒）良性計算機(jī)病毒（2）惡性計算機(jī)病毒）惡性計算機(jī)病毒5按照病毒的寄生方式分類按照病毒的寄生方式分類（1）引導(dǎo)型病毒）引導(dǎo)型病毒（2）文件型病毒）文件型病毒（3）復(fù)合型病毒）復(fù)合型病毒第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 6按照病毒的傳播媒介分類按照病毒的傳播媒介分類（1）單機(jī)病毒）單機(jī)病毒（2）網(wǎng)絡(luò)病毒）網(wǎng)絡(luò)病毒第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.2.3 病毒實(shí)例分析病毒實(shí)例分析1CIH病毒病毒 概況概況 CIH病毒是一種文件型病毒，感染病毒是一種文件型病毒，感染W(wǎng)indows95/98環(huán)境下環(huán)境下PE格式的格式的EXE

16、文件。病毒的危害主要表現(xiàn)在病毒文件。病毒的危害主要表現(xiàn)在病毒發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的BIOS中的原中的原內(nèi)容會被徹底破壞，主機(jī)無法啟動。內(nèi)容會被徹底破壞，主機(jī)無法啟動。1999年年4月月26日，日，CIH病毒大爆發(fā)，全球超過病毒大爆發(fā)，全球超過6000萬臺電腦被破壞，萬臺電腦被破壞，2000年年CIH再度爆發(fā)，全球損失超過再度爆發(fā)，全球損失超過10億美元，億美元，2001年僅北京就有超過年僅北京就有超過6000臺電腦遭破壞；臺電腦遭破壞；2002年年CIH病毒使數(shù)千臺電腦遭破壞，瑞星公司修復(fù)硬病毒使數(shù)千臺電腦遭破壞，瑞星公司修復(fù)硬盤數(shù)量一天接

17、近盤數(shù)量一天接近200塊。塊。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （1）CIH病毒的表現(xiàn)形式病毒的表現(xiàn)形式 受感染的受感染的.EXE文件的文件長度沒有改變；文件的文件長度沒有改變；DOS以及以及WIN 3.1 格式（格式（NE格式）的可執(zhí)行格式）的可執(zhí)行文件不受感染，并且在文件不受感染，并且在Win NT中無效。中無效。用資源管理器中用資源管理器中“工具工具查找查找文件或文件夾文件或文件夾”的的“高級高級包含文字包含文字”查找查找EXE特征字符串特征字符串“CIH v”，在查找過程中，顯示出一大堆符合，在查找過程中，顯示出一大堆符合查找特征的可執(zhí)行文件。查找特征的可執(zhí)行文件。若

18、若4月月26日開機(jī)，顯示器突然黑屏，硬盤指示日開機(jī)，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機(jī)后，計算機(jī)無法啟動。燈閃爍不停，重新開機(jī)后，計算機(jī)無法啟動。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （2）CIH病毒的行為機(jī)制病毒的行為機(jī)制 CIH病毒直接進(jìn)入病毒直接進(jìn)入Windows內(nèi)核。沒有改內(nèi)核。沒有改變宿主文件的大小，而是采用了一種新的文件感變宿主文件的大小，而是采用了一種新的文件感染機(jī)制即碎洞攻擊（染機(jī)制即碎洞攻擊（fragmented cavity attack），將病毒化整為零，拆分成若干塊，插），將病毒化整為零，拆分成若干塊，插入宿主文件中去；最引人注目的是它利用目前許

19、入宿主文件中去；最引人注目的是它利用目前許多多BIOS芯片開放了可重寫的特性，向計算機(jī)主芯片開放了可重寫的特性，向計算機(jī)主板的板的BIOS端口寫入亂碼，開創(chuàng)了病毒直接進(jìn)攻端口寫入亂碼，開創(chuàng)了病毒直接進(jìn)攻計算機(jī)主板芯片的先例。可以說計算機(jī)主板芯片的先例?？梢哉fCIH病毒提供了病毒提供了一種全新的病毒程序方式和病毒發(fā)展方向。一種全新的病毒程序方式和病毒發(fā)展方向。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 2宏病毒宏病毒 宏的定義宏的定義 所謂宏，就是軟件設(shè)計者為了在使用軟件工作時避免一所謂宏，就是軟件設(shè)計者為了在使用軟件工作時避免一再地重復(fù)相同動作而設(shè)計出來的一種工具。它利用簡單的再地重復(fù)

20、相同動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作編寫成宏，當(dāng)再工作時，就可以直接語法，把常用的動作編寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運(yùn)行，完成某項(xiàng)特定的任務(wù)，而不利用事先寫好的宏自動運(yùn)行，完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動作。必再重復(fù)相同的動作。所謂所謂“宏病毒宏病毒”，是利用軟件所支持的宏命令編寫成的，是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機(jī)具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機(jī)病毒，也是一種跨平臺的計算機(jī)病毒，可以在病毒，也是一種跨平臺的計算機(jī)病毒，可以在Windows 9X、Windows NT/2

21、000、OS/2和和Macintosh System 7等操作系統(tǒng)上執(zhí)行。等操作系統(tǒng)上執(zhí)行。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （1）宏病毒的行為機(jī)制）宏病毒的行為機(jī)制 Word模式定義出一種文件格式，將文檔資料以及該模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為文檔所需要的宏混在一起放在后綴為doc的文件之中，這的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。正因?yàn)檫@種宏也是文檔資料，便產(chǎn)生了宏感染的可法。正因?yàn)檫@種宏也是文檔資料，便產(chǎn)生了宏感染的可能性。能性。Word宏病毒通過宏病毒

22、通過doc文檔和文檔和dot模板進(jìn)行自我復(fù)制及模板進(jìn)行自我復(fù)制及傳播。計算機(jī)文檔是交流最廣的文件類型。這就為傳播。計算機(jī)文檔是交流最廣的文件類型。這就為Word宏病毒傳播帶來了很多便利，特別是宏病毒傳播帶來了很多便利，特別是Internet網(wǎng)絡(luò)的普網(wǎng)絡(luò)的普及和及和E-mail的大量應(yīng)用更為的大量應(yīng)用更為Word宏病毒的傳播宏病毒的傳播“拓展拓展”了道路。了道路。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （2）Word宏病毒特征宏病毒特征 Word宏病毒會感染宏病毒會感染doc文檔和文檔和dot模板文件。模板文件。Word宏病毒的傳染通常是宏病毒的傳染通常是Word在打開一個帶宏病毒在

23、打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復(fù)制到的文檔或模板時，激活宏病毒。病毒宏將自身復(fù)制到Word通用（通用（Normal）模板中，以后在打開或關(guān)閉文件）模板中，以后在打開或關(guān)閉文件時宏病毒就會把病毒復(fù)制到該文件中。時宏病毒就會把病毒復(fù)制到該文件中。多數(shù)多數(shù)Word宏病毒包含宏病毒包含AutoOpen、AutoClose、AutoNew和和AutoExit等自動宏，通過這些自動宏病毒取等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。得文檔（模板）操作權(quán)。Word宏病毒中總是含有對文檔讀寫操作的宏命令。宏病毒中總是含有對文檔讀寫操作的宏命令。Word宏病毒在宏病毒在doc文

24、檔、文檔、dot模板中以模板中以BFF（Binary File Format）格式存放，這是一種加密壓縮格式，不同）格式存放，這是一種加密壓縮格式，不同Word版本格式可能不兼容。版本格式可能不兼容。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 3網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒專指在網(wǎng)絡(luò)傳播、并對網(wǎng)絡(luò)進(jìn)行破網(wǎng)絡(luò)病毒專指在網(wǎng)絡(luò)傳播、并對網(wǎng)絡(luò)進(jìn)行破壞的病毒；壞的病毒；網(wǎng)絡(luò)病毒也指網(wǎng)絡(luò)病毒也指HTML病毒、病毒、E-mail病毒、病毒、Java病毒等與因特網(wǎng)有關(guān)的病毒。病毒等與因特網(wǎng)有關(guān)的病毒。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 網(wǎng)絡(luò)病毒的特點(diǎn)網(wǎng)絡(luò)病毒的特點(diǎn) 傳染方式多傳染方式多

25、傳播速度比較快傳播速度比較快 清除難度大清除難度大 破壞性強(qiáng)破壞性強(qiáng) 潛在性潛在性深深 第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 4電子郵件病毒電子郵件病毒 “電子郵件病毒電子郵件病毒”其實(shí)和普通的計算機(jī)病毒其實(shí)和普通的計算機(jī)病毒一樣，只不過它們的傳播途徑主要是通過電子郵一樣，只不過它們的傳播途徑主要是通過電子郵件，所以才被稱為件，所以才被稱為“電子郵件病毒電子郵件病毒”。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 電子郵件病毒的特點(diǎn)電子郵件病毒的特點(diǎn) 傳統(tǒng)的殺毒軟件對檢測此類格式的文傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力件無能為力 傳播速度快傳播速度快 傳播范圍廣傳播范

26、圍廣 破壞力大破壞力大 第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.3 計算機(jī)病毒的檢測與防范計算機(jī)病毒的檢測與防范第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.3.1 計算機(jī)病毒的檢測計算機(jī)病毒的檢測1異常情況判斷異常情況判斷 計算機(jī)工作時，如出現(xiàn)下列異?，F(xiàn)象，則有可能感染了計算機(jī)工作時，如出現(xiàn)下列異?，F(xiàn)象，則有可能感染了病毒：病毒：（1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點(diǎn)、字符、樹葉等，并且系統(tǒng)怪，也可能是一些下落的雨點(diǎn)、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)。很難退出或恢復(fù)。（2）揚(yáng)聲器

27、發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或）揚(yáng)聲器發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。是隨意組合的、雜亂的聲音。（3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。斷增多，直到無法繼續(xù)工作。（4）硬盤不能引導(dǎo)系統(tǒng)。）硬盤不能引導(dǎo)系統(tǒng)。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （5）磁盤上的文件或程序丟失。）磁盤上的文件或程序丟失。（6）磁盤讀）磁盤讀/寫文件明顯變慢，訪問的時間加長。寫文件明顯變慢，訪問的時間加長。（7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有的出現(xiàn)）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有的出現(xiàn)“寫保

28、護(hù)錯寫保護(hù)錯”提示。提示。（8）系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動現(xiàn)象。）系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動現(xiàn)象。（9）原來運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯提示。）原來運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯提示。（10）連接的打印機(jī)不能正常啟動。）連接的打印機(jī)不能正常啟動。觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資源受到了病毒侵襲，為進(jìn)一步診斷和源受到了病毒侵襲，為進(jìn)一步診斷和 清除做好準(zhǔn)備。清除做好準(zhǔn)備。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 2檢測的主要依據(jù)檢測的主要依據(jù)（1）檢查磁盤主引導(dǎo)扇區(qū)）檢查磁盤主引導(dǎo)扇區(qū)（2）檢查）檢查FAT表

29、表（3）檢查中斷向量）檢查中斷向量（4）檢查可執(zhí)行文件）檢查可執(zhí)行文件（5）檢查內(nèi)存空間）檢查內(nèi)存空間（6）檢查特征串）檢查特征串第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 3計算機(jī)病毒的檢測手段計算機(jī)病毒的檢測手段（1）特征代碼法）特征代碼法 特征代碼法是檢測已知病毒的最簡單、開銷最小的特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實(shí)現(xiàn)步驟如下：方法。特征代碼法的實(shí)現(xiàn)步驟如下：采集已知病毒樣本。采集已知病毒樣本。在病毒樣本中，抽取特征代碼。在病毒樣本中，抽取特征代碼。打開被檢測文件，在文件中搜索病毒特征代碼。打開被檢測文件，在文件中搜索病毒特征代碼。特征代碼法的特點(diǎn)：

30、特征代碼法的特點(diǎn)：速度慢速度慢誤報警率低誤報警率低不能檢查多形性病毒不能檢查多形性病毒不能對付隱蔽性病毒不能對付隱蔽性病毒第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) （2）校驗(yàn)和法）校驗(yàn)和法 將正常文件的內(nèi)容，計算其校驗(yàn)和，將該校驗(yàn)和寫將正常文件的內(nèi)容，計算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)

31、和法。是否感染，這種方法叫校驗(yàn)和法。優(yōu)點(diǎn)優(yōu)點(diǎn)：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細(xì)：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細(xì)微變化也能發(fā)現(xiàn)。微變化也能發(fā)現(xiàn)。缺點(diǎn)缺點(diǎn)：會誤報警、不能識別病毒名稱、不能對付隱：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。蔽型病毒。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 校驗(yàn)和法查病毒校驗(yàn)和法查病毒運(yùn)用校驗(yàn)和法查病毒采用三種方式：運(yùn)用校驗(yàn)和法查病毒采用三種方式：在檢測病毒工具中納入校驗(yàn)和法，對被查的對象文件在檢測病毒工具中納入校驗(yàn)和法，對被查的對象文件計算其正常狀態(tài)的校驗(yàn)和，將校驗(yàn)和值寫入被查文件中計算其正常狀態(tài)的校驗(yàn)和，將校驗(yàn)和值寫入被查文件中或檢

32、測工具中，而后進(jìn)行比較?；驒z測工具中，而后進(jìn)行比較。在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動時，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和值，實(shí)現(xiàn)應(yīng)用程序的自時，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和值，實(shí)現(xiàn)應(yīng)用程序的自檢測。檢測。將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開始運(yùn)行將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開始運(yùn)行時，自動比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存時，自動比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。的校驗(yàn)和。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防

33、范技術(shù) （3）行為監(jiān)測法）行為監(jiān)測法 利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。這些能夠作為監(jiān)測病毒的行為特征如下：行為監(jiān)測法。這些能夠作為監(jiān)測病毒的行為特征如下：A.占有占有INT 13H B.改改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量 C.對對COM、EXE文件做寫入動作文件做寫入動作 D.病毒程序與宿主程序的切換病毒程序與宿主程序的切換 優(yōu)點(diǎn)優(yōu)點(diǎn)：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報未知的多：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報未知的多數(shù)病毒。數(shù)病毒。缺點(diǎn)缺點(diǎn)：可能誤報警、不能識別病毒名稱、實(shí)現(xiàn)時有一：可能誤報警、不能識別病毒

34、名稱、實(shí)現(xiàn)時有一定難度。定難度。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.3.2 計算機(jī)病毒的防范計算機(jī)病毒的防范1嚴(yán)格的管理嚴(yán)格的管理 2有效的技術(shù)有效的技術(shù)目前在預(yù)防病毒工具中采用的技術(shù)主要有：目前在預(yù)防病毒工具中采用的技術(shù)主要有：（1）將大量的消毒）將大量的消毒/殺毒軟件匯集一體。殺毒軟件匯集一體。（2）檢測一些病毒經(jīng)常要改變的系統(tǒng)信息。）檢測一些病毒經(jīng)常要改變的系統(tǒng)信息。（3）監(jiān)測寫盤操作，對引導(dǎo)區(qū)或主引導(dǎo)區(qū)的寫操作報警。）監(jiān)測寫盤操作，對引導(dǎo)區(qū)或主引導(dǎo)區(qū)的寫操作報警。（4）對文件形成一個密碼檢驗(yàn)碼，實(shí)現(xiàn)對程序完整性的驗(yàn)）對文件形成一個密碼檢驗(yàn)碼，實(shí)現(xiàn)對程序完整性的驗(yàn)證。

35、證。（5）智能判斷型。）智能判斷型。（6）智能監(jiān)察型。）智能監(jiān)察型。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 電子郵件病毒的防治電子郵件病毒的防治（1）思想上高度重視，不要輕易打開來信中）思想上高度重視，不要輕易打開來信中的附件文件；的附件文件；（2）不斷完善）不斷完善“網(wǎng)關(guān)網(wǎng)關(guān)”軟件及病毒防火墻軟件；軟件及病毒防火墻軟件；（3）使用優(yōu)秀的防毒軟件同時保護(hù)客戶機(jī)和）使用優(yōu)秀的防毒軟件同時保護(hù)客戶機(jī)和服務(wù)器；服務(wù)器；（4）使用特定的）使用特定的SMTP殺毒軟件。殺毒軟件。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.4 計算機(jī)病毒的發(fā)展方向和趨勢計算機(jī)病毒的發(fā)展方向和趨勢第八

36、章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.4.1 計算機(jī)病毒的新特性計算機(jī)病毒的新特性（1）利用微軟漏洞主動傳播）利用微軟漏洞主動傳播（2）局域網(wǎng)內(nèi)快速傳播）局域網(wǎng)內(nèi)快速傳播（3）以多種方式傳播）以多種方式傳播（4）大量消耗系統(tǒng)與網(wǎng)絡(luò)資源）大量消耗系統(tǒng)與網(wǎng)絡(luò)資源（5）雙程序結(jié)構(gòu)）雙程序結(jié)構(gòu)（6）用即時工具傳播病毒）用即時工具傳播病毒（7）病毒與黑客技術(shù)的融合）病毒與黑客技術(shù)的融合（8）遠(yuǎn)程啟動）遠(yuǎn)程啟動 第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.4.2 計算機(jī)病毒發(fā)展的趨勢及對策計算機(jī)病毒發(fā)展的趨勢及對策 今后病毒的一些特點(diǎn)：今后病毒的一些特點(diǎn)：（1）變形病毒成為下一代

37、病毒首要的特點(diǎn)。）變形病毒成為下一代病毒首要的特點(diǎn)。（2）與）與Internet和和Intranet更加緊密地結(jié)合，利用一更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播；切可以利用的方式進(jìn)行傳播；（3）所有的病毒都具有混合型特征，破壞性大大增強(qiáng)；）所有的病毒都具有混合型特征，破壞性大大增強(qiáng)；（4）因?yàn)槠鋽U(kuò)散極快，不再追求隱藏性，而更加注重欺）因?yàn)槠鋽U(kuò)散極快，不再追求隱藏性，而更加注重欺騙性；騙性；（5）利用系統(tǒng)漏洞將成為病毒有力的傳播方式。）利用系統(tǒng)漏洞將成為病毒有力的傳播方式。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 新一代的反病毒軟件應(yīng)具備的能力新一代的反病毒軟件應(yīng)具備的能力（1

38、）全面地與互聯(lián)網(wǎng)結(jié)合，實(shí)時監(jiān)控，防止?。┤娴嘏c互聯(lián)網(wǎng)結(jié)合，實(shí)時監(jiān)控，防止病毒入侵；毒入侵；（2）快速反應(yīng)的病毒檢測網(wǎng)，在病毒爆發(fā)的第）快速反應(yīng)的病毒檢測網(wǎng)，在病毒爆發(fā)的第一時間即能提供解決方案；一時間即能提供解決方案；（3）完善的在線升級服務(wù)，使用戶隨時擁有最）完善的在線升級服務(wù)，使用戶隨時擁有最新的防病毒能力；新的防病毒能力；（4）對病毒經(jīng)常攻擊的應(yīng)用程序提供重點(diǎn)保護(hù)；）對病毒經(jīng)常攻擊的應(yīng)用程序提供重點(diǎn)保護(hù)；（5）提供完整、即時的反病毒咨詢，提高用戶）提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性。的反病毒意識與警覺性。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 8.5

39、小小 結(jié)結(jié) 計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒的我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒的特征主要有：非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏特征主要有：非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、破壞性以及可觸發(fā)性。性、破壞性以及可觸發(fā)性。計算機(jī)病毒的主要危害包括：病毒激發(fā)對計算機(jī)數(shù)據(jù)計算機(jī)病毒的主要危害包括：病毒激發(fā)對計算機(jī)數(shù)據(jù)信息的直接破壞作用、占用磁盤空間和對信息的破壞、信息的直接破壞作用、

40、占用磁盤空間和對信息的破壞、搶占系統(tǒng)資源、影響計算機(jī)運(yùn)行速度、計算機(jī)病毒錯誤搶占系統(tǒng)資源、影響計算機(jī)運(yùn)行速度、計算機(jī)病毒錯誤與不可預(yù)見的危害、計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的與不可預(yù)見的危害、計算機(jī)病毒的兼容性對系統(tǒng)運(yùn)行的影響、計算機(jī)病毒給用戶造成嚴(yán)重的心理壓力。影響、計算機(jī)病毒給用戶造成嚴(yán)重的心理壓力。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒1、系統(tǒng)病毒、系統(tǒng)病毒 系統(tǒng)病毒的前綴為：系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有等。這些病毒的一般公有的特性是可以感染的特性是可以感染windows操作系統(tǒng)的操作系統(tǒng)

41、的*.exe 和和*.dll 文件，并通過這些文件進(jìn)行傳播。如文件，并通過這些文件進(jìn)行傳播。如CIH病毒。病毒。2、蠕蟲病毒、蠕蟲病毒 蠕蟲病毒的前綴是：蠕蟲病毒的前綴是：Worm。這種。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）郵差（發(fā)帶毒郵件）等。等。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒3、木馬病毒、黑客病毒、

42、木馬病毒、黑客病毒 木馬病毒其前綴是：木馬病毒其前綴是：Trojan，黑客病毒前，黑客病毒前綴名一般為綴名一般為 Hack。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客則有一個可視的界面，能對用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒往往是成對出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進(jìn)行控制?，F(xiàn)在這兩種類

43、型都越來越趨病毒則會通過該木馬病毒來進(jìn)行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如向于整合了。一般的木馬如QQ消息尾巴木馬消息尾巴木馬 Trojan.QQ3344，還，還有大家可能遇見比較多的針對網(wǎng)絡(luò)游戲的木馬病毒如有大家可能遇見比較多的針對網(wǎng)絡(luò)游戲的木馬病毒如 Trojan.LMir.PSW.60。這里補(bǔ)充一點(diǎn)，病毒名中有。這里補(bǔ)充一點(diǎn)，病毒名中有PSW或者什么或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為都為“密碼密碼”的英文的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡(luò)的縮寫）一些黑客程序

44、如：網(wǎng)絡(luò)梟雄（梟雄（Hack.Nether.Client）等。）等。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒4、腳本病毒、腳本病毒 腳本病毒的前綴是：腳本病毒的前綴是：Script。腳本。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒，如紅色代碼進(jìn)行的傳播的病毒，如紅色代碼（Script.Redlof）可不是我們的老大代碼兄可不是我們的老大代碼兄哦哦 _。腳本病毒還會有如下前綴：。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（表明是何種腳本編寫的），如歡樂時光（VB

45、S.Happytime）、十四日）、十四日（Js.Fortnight.c.s）等。）等。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒5、宏病毒、宏病毒 其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。宏病毒的前綴是：因此在這里單獨(dú)算成一類。宏病毒的前綴是：Macro，第二前綴是：，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。（也許還有別的）其中之一。凡是只感染凡是只感染W(wǎng)ORD97及以前版本及以前版本W(wǎng)ORD文檔的病毒采用文檔的病毒采用Wo

46、rd97做做為第二前綴，格式是：為第二前綴，格式是：Macro.Word97；凡是只感染；凡是只感染W(wǎng)ORD97以以后版本后版本W(wǎng)ORD文檔的病毒采用文檔的病毒采用Word做為第二前綴，格式是：做為第二前綴，格式是：Macro.Word；凡是只感染；凡是只感染EXCEL97及以前版本及以前版本EXCEL文檔的病毒文檔的病毒采用采用Excel97做為第二前綴，格式是：做為第二前綴，格式是：Macro.Excel97；凡是只感；凡是只感染染EXCEL97以后版本以后版本EXCEL文檔的病毒采用文檔的病毒采用Excel做為第二前綴，做為第二前綴，格式是：格式是：Macro.Excel，依此類推。該類

47、病毒的公有特性是能感染，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然后通過系列文檔，然后通過OFFICE通用模板進(jìn)行傳播，如：著名通用模板進(jìn)行傳播，如：著名的美麗莎的美麗莎(Macro.Melissa)。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒6、后門病毒、后門病毒 后門病毒的前綴是：后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開該類病毒的公有特性是通過網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如后門，給用戶電腦帶來安全隱患。如54很多朋友很多朋友遇到過的遇到過的IRC后門后門Backdoor.I

48、RCBot。7、病毒種植程序病毒、病毒種植程序病毒 這類病毒的公有特性是運(yùn)這類病毒的公有特性是運(yùn)行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)行時會從體內(nèi)釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（河播種者（Dropper.BingHe2.2C）、）、MSN射射手手(Dropper.Worm.Smibag)等。等。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒8破壞性程序病毒破壞性程序病毒 破壞性程序病毒的前綴是：破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的

49、。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時，圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時，病毒便會直接對用戶計算機(jī)產(chǎn)生破壞。如：格式病毒便會直接對用戶計算機(jī)產(chǎn)生破壞。如：格式化化C盤（盤（Harm.formatC.f）、殺手命令）、殺手命令（Harm.Command.Killer）等。）等。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒9玩笑病毒玩笑病毒 玩笑病毒的前綴是：玩笑病毒的前綴是：Joke。也稱惡。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)

50、擊這類病毒時，的圖標(biāo)來誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實(shí)病毒病毒會做出各種破壞操作來嚇唬用戶，其實(shí)病毒并沒有對用戶電腦進(jìn)行任何破壞。如：女鬼并沒有對用戶電腦進(jìn)行任何破壞。如：女鬼（Joke.Girlghost）病毒。）病毒。第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 常見的計算機(jī)病毒常見的計算機(jī)病毒10捆綁機(jī)病毒捆綁機(jī)病毒 捆綁機(jī)病毒的前綴是：捆綁機(jī)病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆這類病毒的公有特性是病毒作者會使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起捆綁起來，表面上看是一個正常的文件，當(dāng)用戶運(yùn)行這來，表面上看是一個正常的文件，當(dāng)用戶運(yùn)行這些捆綁病毒時，會表面上運(yùn)行這些應(yīng)用程序，然些捆綁病毒時，會表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成后隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手）、系統(tǒng)殺手（Binder.killsys）等）等 第八章第八章 計算機(jī)病毒防范技術(shù)計算機(jī)病毒防范技術(shù) 返回本章首頁返回本章首頁本章到此結(jié)束，謝謝！本章到此結(jié)束，謝謝！