第八章第八章 計算機病毒防范技術計算機病毒防范技術 第第8章章 計算機病毒防范技術計算機病毒防范技術內容提要：內容提要：概述概述計算機病毒的工作原理和分類計算機病毒的工作原理和分類計算機病毒的檢測與防范計算機病毒的檢測與防范 計算機病毒的發(fā)展方向和趨勢計算機病毒的發(fā)展方向和趨勢 常見的常見的計算機病毒計算機病毒第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.1 概概 述述計算機病毒的定義計算機病毒的定義 計算機病毒，是指編制或者在計算機程序中插計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。用，并能自我復制的一組計算機指令或者程序代碼。美國計算機安全專家美國計算機安全專家Fred Cohen博士認為：計博士認為：計算機病毒是一種能傳染其它程序的程序，病毒是靠算機病毒是一種能傳染其它程序的程序，病毒是靠修改其它程序，并把自身的拷貝嵌入其它程序而實修改其它程序，并把自身的拷貝嵌入其它程序而實現(xiàn)的?，F(xiàn)的。返回本章首頁返回本章首頁第八章第八章 計算機病毒防范技術計算機病毒防范技術 計算機病毒的特性計算機病毒的特性 計算機病毒是一個程序；計算機病毒是一個程序；計算機病毒具有傳染性，可以傳染其它程序；計算機病毒具有傳染性，可以傳染其它程序；計算機病毒的傳染方式是修改其它程序，把自計算機病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實現(xiàn)的；身拷貝嵌入到其它程序中而實現(xiàn)的；計算機病毒的定義在很多方面借用了生物學計算機病毒的定義在很多方面借用了生物學病毒的概念，因為它們有著諸多相似的特征，比病毒的概念，因為它們有著諸多相似的特征，比如能夠自我復制，能夠快速如能夠自我復制，能夠快速“傳染傳染”，且都能夠，且都能夠危害危害“病原體病原體”，當然計算機病毒危害的，當然計算機病毒危害的“病原病原體體”是正常工作的計算機系統(tǒng)和網(wǎng)絡。是正常工作的計算機系統(tǒng)和網(wǎng)絡。第八章第八章 計算機病毒防范技術計算機病毒防范技術 計算機病毒的特征計算機病毒的特征 非授權可執(zhí)行性非授權可執(zhí)行性 隱蔽性隱蔽性 傳染性傳染性 潛伏性潛伏性 表現(xiàn)性或破壞性表現(xiàn)性或破壞性 可觸發(fā)性可觸發(fā)性第八章第八章 計算機病毒防范技術計算機病毒防范技術 計算機病毒的主要危害計算機病毒的主要危害 直接破壞計算機數(shù)據(jù)信息直接破壞計算機數(shù)據(jù)信息 占用磁盤空間和對信息的破壞占用磁盤空間和對信息的破壞 搶占系統(tǒng)資源搶占系統(tǒng)資源 影響計算機運行速度影響計算機運行速度 計算機病毒錯誤與不可預見的危害計算機病毒錯誤與不可預見的危害 計算機病毒的兼容性對系統(tǒng)運行的影響計算機病毒的兼容性對系統(tǒng)運行的影響 給用戶造成嚴重的心理壓力給用戶造成嚴重的心理壓力第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.2 計算機病毒的工作原理和計算機病毒的工作原理和分類分類第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.2.1計算機病毒的工作原理計算機病毒的工作原理1計算機病毒的結構計算機病毒的結構（1）病毒的邏輯結構病毒的邏輯結構（2）病毒的磁盤存儲結構）病毒的磁盤存儲結構（3）病毒的內存駐留結構）病毒的內存駐留結構第八章第八章 計算機病毒防范技術計算機病毒防范技術 （1）病毒的邏輯結構病毒的邏輯結構病毒的引導模塊；病毒的引導模塊；病毒的傳染模塊；病毒的傳染模塊；病毒的發(fā)作（表現(xiàn)和破壞）模塊。病毒的發(fā)作（表現(xiàn)和破壞）模塊。引導模塊傳染條件判斷模塊實施傳染模塊觸發(fā)條件判斷模塊實施表現(xiàn)或破壞模塊圖8-1 計算機病毒的模塊結構第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）病毒的磁盤存儲結構）病毒的磁盤存儲結構磁盤空間結構磁盤空間結構經(jīng)過格式化后的磁盤應包括：經(jīng)過格式化后的磁盤應包括：主引導記錄區(qū)（硬盤）主引導記錄區(qū)（硬盤）引導記錄區(qū)引導記錄區(qū)文件分配表（文件分配表（FAT）目錄區(qū)目錄區(qū)數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）病毒的磁盤存儲結構）病毒的磁盤存儲結構系統(tǒng)型病毒的磁盤存儲結構系統(tǒng)型病毒的磁盤存儲結構 病毒的一部分存放在磁盤的引導扇區(qū)中病毒的一部分存放在磁盤的引導扇區(qū)中 另一部分則存放在磁盤其它扇區(qū)中另一部分則存放在磁盤其它扇區(qū)中 引導型病毒沒有對應的文件名字引導型病毒沒有對應的文件名字第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）病毒的磁盤存儲結構）病毒的磁盤存儲結構文件型病毒的磁盤存儲結構文件型病毒的磁盤存儲結構 文件型病毒專門感染系統(tǒng)中可執(zhí)行文件；文件型病毒專門感染系統(tǒng)中可執(zhí)行文件；其程序依附在被感染文件的首部、尾部、其程序依附在被感染文件的首部、尾部、中部或空閑部位；中部或空閑部位；絕大多數(shù)文件型病毒都屬于外殼型病毒。絕大多數(shù)文件型病毒都屬于外殼型病毒。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （3）病毒的內存駐留結構）病毒的內存駐留結構系統(tǒng)型病毒的內存駐留結構系統(tǒng)型病毒的內存駐留結構 系統(tǒng)型病毒是在系統(tǒng)啟動時被裝入的系統(tǒng)型病毒是在系統(tǒng)啟動時被裝入的 病毒程序將自身移動到適當?shù)膬却娓叨瞬《境绦驅⒆陨硪苿拥竭m當?shù)膬却娓叨?采用修改內存向量描述字的方法隱藏自己采用修改內存向量描述字的方法隱藏自己 有些病毒也利用小塊沒有使用的低端內存有些病毒也利用小塊沒有使用的低端內存系統(tǒng)系統(tǒng)第八章第八章 計算機病毒防范技術計算機病毒防范技術 （3）病毒的內存駐留結構）病毒的內存駐留結構文件型病毒的內存駐留結構文件型病毒的內存駐留結構 病毒程序是在運行其宿主程序時被裝入內存病毒程序是在運行其宿主程序時被裝入內存的，文件型病毒按其駐留內存方式可分為：的，文件型病毒按其駐留內存方式可分為：高端駐留型，典型的病毒有高端駐留型，典型的病毒有Yankee。常規(guī)駐留型，典型的病毒有黑色星期五。常規(guī)駐留型，典型的病毒有黑色星期五。內存控制鏈駐留型：典型的病毒有內存控制鏈駐留型：典型的病毒有1701。設備程序補丁駐留型：典型的病毒有設備程序補丁駐留型：典型的病毒有DIR2。不駐留內存型：典型的病毒有不駐留內存型：典型的病毒有Vienna/648。第八章第八章 計算機病毒防范技術計算機病毒防范技術 2計算機病毒的作用機制計算機病毒的作用機制（1）引導機制）引導機制（2）傳染機制）傳染機制（3）破壞機制）破壞機制第八章第八章 計算機病毒防范技術計算機病毒防范技術 （1）中斷與計算機病毒）中斷與計算機病毒 中斷是中斷是CPU處理外部突發(fā)事件的一個重要技處理外部突發(fā)事件的一個重要技術。中斷類型可劃分為：術。中斷類型可劃分為：中斷中斷硬件中斷硬件中斷軟件中斷：并不是真正的中斷，系統(tǒng)功能調用軟件中斷：并不是真正的中斷，系統(tǒng)功能調用內部中斷：因硬件出錯或運算出錯所引起；內部中斷：因硬件出錯或運算出錯所引起；外部中斷：由外設發(fā)出的中斷；外部中斷：由外設發(fā)出的中斷；第八章第八章 計算機病毒防范技術計算機病毒防范技術 病毒有關的重要中斷病毒有關的重要中斷INT 08H和和INT 1CH的定時中斷，有些病毒用來判的定時中斷，有些病毒用來判斷激發(fā)條件；斷激發(fā)條件；INT 09H鍵盤輸入中斷，病毒用于監(jiān)視用戶擊鍵情鍵盤輸入中斷，病毒用于監(jiān)視用戶擊鍵情況；況；INT 10H屏幕輸入輸出，一些病毒用于在屏幕上顯屏幕輸入輸出，一些病毒用于在屏幕上顯示信息來表現(xiàn)自己；示信息來表現(xiàn)自己；INT 13H磁盤輸入輸出中斷，引導型病毒用于傳染磁盤輸入輸出中斷，引導型病毒用于傳染病毒和格式化磁盤；病毒和格式化磁盤；INT 21H DOS功能調用，絕大多數(shù)文件型病毒修改功能調用，絕大多數(shù)文件型病毒修改該中斷。該中斷。第八章第八章 計算機病毒防范技術計算機病毒防范技術 病毒利用中斷病毒利用中斷 圖 8-2 病毒盜用中斷示意圖 中斷向量中斷服務程序中斷向量病毒相關程序中斷服務程序盜用后盜用后：盜用前：盜用前：第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）計算機病毒的傳染機制）計算機病毒的傳染機制 傳染是指計算機病毒由一個載體傳播到另一傳染是指計算機病毒由一個載體傳播到另一載體，由一個系統(tǒng)進入另一個系統(tǒng)的過程。計算載體，由一個系統(tǒng)進入另一個系統(tǒng)的過程。計算機病毒的傳染方式主要有：機病毒的傳染方式主要有：病毒程序利用操作系統(tǒng)的引導機制或加載機制病毒程序利用操作系統(tǒng)的引導機制或加載機制進入內存；進入內存；從內存的病毒傳染新的存儲介質或程序文件是從內存的病毒傳染新的存儲介質或程序文件是利用操作系統(tǒng)的讀寫磁盤的中斷或加載機制來實利用操作系統(tǒng)的讀寫磁盤的中斷或加載機制來實現(xiàn)的?，F(xiàn)的。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （3）計算機病毒的破壞機制）計算機病毒的破壞機制 破壞機制在設計原則、工作原理上與傳染機破壞機制在設計原則、工作原理上與傳染機制基體相同。它也是通過修改某一中斷向量入口制基體相同。它也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。地址，使該中斷向量指向病毒程序的破壞模塊。第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.2.2 計算機病毒的分類計算機病毒的分類1按照病毒攻擊的系統(tǒng)分類按照病毒攻擊的系統(tǒng)分類（1）攻擊）攻擊DOS系統(tǒng)的病毒。系統(tǒng)的病毒。（2）攻擊）攻擊Windows系統(tǒng)的病毒。系統(tǒng)的病毒。（3）攻擊）攻擊UNIX系統(tǒng)的病毒。系統(tǒng)的病毒。（4）攻擊）攻擊OS/2系統(tǒng)的病毒。系統(tǒng)的病毒。第八章第八章 計算機病毒防范技術計算機病毒防范技術 2按照病毒的攻擊機型分類按照病毒的攻擊機型分類（1）攻擊微型計算機的病毒。）攻擊微型計算機的病毒。（2）攻擊小型機的計算機病毒。）攻擊小型機的計算機病毒。（3）攻擊工作站的計算機病毒。）攻擊工作站的計算機病毒。第八章第八章 計算機病毒防范技術計算機病毒防范技術 3按照病毒的鏈結方式分類按照病毒的鏈結方式分類（1）源碼型病毒）源碼型病毒（2）嵌入型病毒）嵌入型病毒（3）外殼型病毒）外殼型病毒（4）操作系統(tǒng)型病毒）操作系統(tǒng)型病毒第八章第八章 計算機病毒防范技術計算機病毒防范技術 4按照病毒的破壞情況分類按照病毒的破壞情況分類（1）良性計算機病毒）良性計算機病毒（2）惡性計算機病毒）惡性計算機病毒5按照病毒的寄生方式分類按照病毒的寄生方式分類（1）引導型病毒）引導型病毒（2）文件型病毒）文件型病毒（3）復合型病毒）復合型病毒第八章第八章 計算機病毒防范技術計算機病毒防范技術 6按照病毒的傳播媒介分類按照病毒的傳播媒介分類（1）單機病毒）單機病毒（2）網(wǎng)絡病毒）網(wǎng)絡病毒第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.2.3 病毒實例分析病毒實例分析1CIH病毒病毒 概況概況 CIH病毒是一種文件型病毒，感染病毒是一種文件型病毒，感染W(wǎng)indows95/98環(huán)境下環(huán)境下PE格式的格式的EXE文件。病毒的危害主要表現(xiàn)在病毒文件。病毒的危害主要表現(xiàn)在病毒發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的BIOS中的原中的原內容會被徹底破壞，主機無法啟動。內容會被徹底破壞，主機無法啟動。1999年年4月月26日，日，CIH病毒大爆發(fā)，全球超過病毒大爆發(fā)，全球超過6000萬臺電腦被破壞，萬臺電腦被破壞，2000年年CIH再度爆發(fā)，全球損失超過再度爆發(fā)，全球損失超過10億美元，億美元，2001年僅北京就有超過年僅北京就有超過6000臺電腦遭破壞；臺電腦遭破壞；2002年年CIH病毒使數(shù)千臺電腦遭破壞，瑞星公司修復硬病毒使數(shù)千臺電腦遭破壞，瑞星公司修復硬盤數(shù)量一天接近盤數(shù)量一天接近200塊。塊。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （1）CIH病毒的表現(xiàn)形式病毒的表現(xiàn)形式 受感染的受感染的.EXE文件的文件長度沒有改變；文件的文件長度沒有改變；DOS以及以及WIN 3.1 格式（格式（NE格式）的可執(zhí)行格式）的可執(zhí)行文件不受感染，并且在文件不受感染，并且在Win NT中無效。中無效。用資源管理器中用資源管理器中“工具工具查找查找文件或文件夾文件或文件夾”的的“高級高級包含文字包含文字”查找查找EXE特征字符串特征字符串“CIH v”，在查找過程中，顯示出一大堆符合，在查找過程中，顯示出一大堆符合查找特征的可執(zhí)行文件。查找特征的可執(zhí)行文件。若若4月月26日開機，顯示器突然黑屏，硬盤指示日開機，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機后，計算機無法啟動。燈閃爍不停，重新開機后，計算機無法啟動。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）CIH病毒的行為機制病毒的行為機制 CIH病毒直接進入病毒直接進入Windows內核。沒有改內核。沒有改變宿主文件的大小，而是采用了一種新的文件感變宿主文件的大小，而是采用了一種新的文件感染機制即碎洞攻擊（染機制即碎洞攻擊（fragmented cavity attack），將病毒化整為零，拆分成若干塊，插），將病毒化整為零，拆分成若干塊，插入宿主文件中去；最引人注目的是它利用目前許入宿主文件中去；最引人注目的是它利用目前許多多BIOS芯片開放了可重寫的特性，向計算機主芯片開放了可重寫的特性，向計算機主板的板的BIOS端口寫入亂碼，開創(chuàng)了病毒直接進攻端口寫入亂碼，開創(chuàng)了病毒直接進攻計算機主板芯片的先例?？梢哉f計算機主板芯片的先例?？梢哉fCIH病毒提供了病毒提供了一種全新的病毒程序方式和病毒發(fā)展方向。一種全新的病毒程序方式和病毒發(fā)展方向。第八章第八章 計算機病毒防范技術計算機病毒防范技術 2宏病毒宏病毒 宏的定義宏的定義 所謂宏，就是軟件設計者為了在使用軟件工作時避免一所謂宏，就是軟件設計者為了在使用軟件工作時避免一再地重復相同動作而設計出來的一種工具。它利用簡單的再地重復相同動作而設計出來的一種工具。它利用簡單的語法，把常用的動作編寫成宏，當再工作時，就可以直接語法，把常用的動作編寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，完成某項特定的任務，而不利用事先寫好的宏自動運行，完成某項特定的任務，而不必再重復相同的動作。必再重復相同的動作。所謂所謂“宏病毒宏病毒”，是利用軟件所支持的宏命令編寫成的，是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機具有復制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺的計算機病毒，可以在病毒，也是一種跨平臺的計算機病毒，可以在Windows 9X、Windows NT/2000、OS/2和和Macintosh System 7等操作系統(tǒng)上執(zhí)行。等操作系統(tǒng)上執(zhí)行。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （1）宏病毒的行為機制）宏病毒的行為機制 Word模式定義出一種文件格式，將文檔資料以及該模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為文檔所需要的宏混在一起放在后綴為doc的文件之中，這的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。正因為這種宏也是文檔資料，便產生了宏感染的可法。正因為這種宏也是文檔資料，便產生了宏感染的可能性。能性。Word宏病毒通過宏病毒通過doc文檔和文檔和dot模板進行自我復制及模板進行自我復制及傳播。計算機文檔是交流最廣的文件類型。這就為傳播。計算機文檔是交流最廣的文件類型。這就為Word宏病毒傳播帶來了很多便利，特別是宏病毒傳播帶來了很多便利，特別是Internet網(wǎng)絡的普網(wǎng)絡的普及和及和E-mail的大量應用更為的大量應用更為Word宏病毒的傳播宏病毒的傳播“拓展拓展”了道路。了道路。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）Word宏病毒特征宏病毒特征 Word宏病毒會感染宏病毒會感染doc文檔和文檔和dot模板文件。模板文件。Word宏病毒的傳染通常是宏病毒的傳染通常是Word在打開一個帶宏病毒在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復制到的文檔或模板時，激活宏病毒。病毒宏將自身復制到Word通用（通用（Normal）模板中，以后在打開或關閉文件）模板中，以后在打開或關閉文件時宏病毒就會把病毒復制到該文件中。時宏病毒就會把病毒復制到該文件中。多數(shù)多數(shù)Word宏病毒包含宏病毒包含AutoOpen、AutoClose、AutoNew和和AutoExit等自動宏，通過這些自動宏病毒取等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。得文檔（模板）操作權。Word宏病毒中總是含有對文檔讀寫操作的宏命令。宏病毒中總是含有對文檔讀寫操作的宏命令。Word宏病毒在宏病毒在doc文檔、文檔、dot模板中以模板中以BFF（Binary File Format）格式存放，這是一種加密壓縮格式，不同）格式存放，這是一種加密壓縮格式，不同Word版本格式可能不兼容。版本格式可能不兼容。第八章第八章 計算機病毒防范技術計算機病毒防范技術 3網(wǎng)絡病毒網(wǎng)絡病毒 網(wǎng)絡病毒專指在網(wǎng)絡傳播、并對網(wǎng)絡進行破網(wǎng)絡病毒專指在網(wǎng)絡傳播、并對網(wǎng)絡進行破壞的病毒；壞的病毒；網(wǎng)絡病毒也指網(wǎng)絡病毒也指HTML病毒、病毒、E-mail病毒、病毒、Java病毒等與因特網(wǎng)有關的病毒。病毒等與因特網(wǎng)有關的病毒。第八章第八章 計算機病毒防范技術計算機病毒防范技術 網(wǎng)絡病毒的特點網(wǎng)絡病毒的特點 傳染方式多傳染方式多 傳播速度比較快傳播速度比較快 清除難度大清除難度大 破壞性強破壞性強 潛在性潛在性深深 第八章第八章 計算機病毒防范技術計算機病毒防范技術 4電子郵件病毒電子郵件病毒 “電子郵件病毒電子郵件病毒”其實和普通的計算機病毒其實和普通的計算機病毒一樣，只不過它們的傳播途徑主要是通過電子郵一樣，只不過它們的傳播途徑主要是通過電子郵件，所以才被稱為件，所以才被稱為“電子郵件病毒電子郵件病毒”。第八章第八章 計算機病毒防范技術計算機病毒防范技術 電子郵件病毒的特點電子郵件病毒的特點 傳統(tǒng)的殺毒軟件對檢測此類格式的文傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力件無能為力 傳播速度快傳播速度快 傳播范圍廣傳播范圍廣 破壞力大破壞力大 第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.3 計算機病毒的檢測與防范計算機病毒的檢測與防范第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.3.1 計算機病毒的檢測計算機病毒的檢測1異常情況判斷異常情況判斷 計算機工作時，如出現(xiàn)下列異常現(xiàn)象，則有可能感染了計算機工作時，如出現(xiàn)下列異?，F(xiàn)象，則有可能感染了病毒：病毒：（1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)很難退出或恢復。很難退出或恢復。（2）揚聲器發(fā)出與正常操作無關的聲音，如演奏樂曲或）揚聲器發(fā)出與正常操作無關的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。是隨意組合的、雜亂的聲音。（3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。斷增多，直到無法繼續(xù)工作。（4）硬盤不能引導系統(tǒng)。）硬盤不能引導系統(tǒng)。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （5）磁盤上的文件或程序丟失。）磁盤上的文件或程序丟失。（6）磁盤讀）磁盤讀/寫文件明顯變慢，訪問的時間加長。寫文件明顯變慢，訪問的時間加長。（7）系統(tǒng)引導變慢或出現(xiàn)問題，有的出現(xiàn)）系統(tǒng)引導變慢或出現(xiàn)問題，有的出現(xiàn)“寫保護錯寫保護錯”提示。提示。（8）系統(tǒng)經(jīng)常死機或出現(xiàn)異常的重啟動現(xiàn)象。）系統(tǒng)經(jīng)常死機或出現(xiàn)異常的重啟動現(xiàn)象。（9）原來運行的程序突然不能運行，總是出現(xiàn)出錯提示。）原來運行的程序突然不能運行，總是出現(xiàn)出錯提示。（10）連接的打印機不能正常啟動。）連接的打印機不能正常啟動。觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資源受到了病毒侵襲，為進一步診斷和源受到了病毒侵襲，為進一步診斷和 清除做好準備。清除做好準備。第八章第八章 計算機病毒防范技術計算機病毒防范技術 2檢測的主要依據(jù)檢測的主要依據(jù)（1）檢查磁盤主引導扇區(qū)）檢查磁盤主引導扇區(qū)（2）檢查）檢查FAT表表（3）檢查中斷向量）檢查中斷向量（4）檢查可執(zhí)行文件）檢查可執(zhí)行文件（5）檢查內存空間）檢查內存空間（6）檢查特征串）檢查特征串第八章第八章 計算機病毒防范技術計算機病毒防范技術 3計算機病毒的檢測手段計算機病毒的檢測手段（1）特征代碼法）特征代碼法 特征代碼法是檢測已知病毒的最簡單、開銷最小的特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實現(xiàn)步驟如下：方法。特征代碼法的實現(xiàn)步驟如下：采集已知病毒樣本。采集已知病毒樣本。在病毒樣本中，抽取特征代碼。在病毒樣本中，抽取特征代碼。打開被檢測文件，在文件中搜索病毒特征代碼。打開被檢測文件，在文件中搜索病毒特征代碼。特征代碼法的特點：特征代碼法的特點：速度慢速度慢誤報警率低誤報警率低不能檢查多形性病毒不能檢查多形性病毒不能對付隱蔽性病毒不能對付隱蔽性病毒第八章第八章 計算機病毒防范技術計算機病毒防范技術 （2）校驗和法）校驗和法 將正常文件的內容，計算其校驗和，將該校驗和寫將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內容算出的校定期地或每次使用文件前，檢查文件現(xiàn)在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法。是否感染，這種方法叫校驗和法。優(yōu)點優(yōu)點：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細微變化也能發(fā)現(xiàn)。微變化也能發(fā)現(xiàn)。缺點缺點：會誤報警、不能識別病毒名稱、不能對付隱：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。蔽型病毒。第八章第八章 計算機病毒防范技術計算機病毒防范技術 校驗和法查病毒校驗和法查病毒運用校驗和法查病毒采用三種方式：運用校驗和法查病毒采用三種方式：在檢測病毒工具中納入校驗和法，對被查的對象文件在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態(tài)的校驗和，將校驗和值寫入被查文件中計算其正常狀態(tài)的校驗和，將校驗和值寫入被查文件中或檢測工具中，而后進行比較。或檢測工具中，而后進行比較。在應用程序中，放入校驗和法自我檢查功能，將文件在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動正常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時，比較現(xiàn)行校驗和與原校驗和值，實現(xiàn)應用程序的自時，比較現(xiàn)行校驗和與原校驗和值，實現(xiàn)應用程序的自檢測。檢測。將校驗和檢查程序常駐內存，每當應用程序開始運行將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。的校驗和。第八章第八章 計算機病毒防范技術計算機病毒防范技術 （3）行為監(jiān)測法）行為監(jiān)測法 利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。這些能夠作為監(jiān)測病毒的行為特征如下：行為監(jiān)測法。這些能夠作為監(jiān)測病毒的行為特征如下：A.占有占有INT 13H B.改改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內存總量系統(tǒng)為數(shù)據(jù)區(qū)的內存總量 C.對對COM、EXE文件做寫入動作文件做寫入動作 D.病毒程序與宿主程序的切換病毒程序與宿主程序的切換 優(yōu)點優(yōu)點：可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多：可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。數(shù)病毒。缺點缺點：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。定難度。第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.3.2 計算機病毒的防范計算機病毒的防范1嚴格的管理嚴格的管理 2有效的技術有效的技術目前在預防病毒工具中采用的技術主要有：目前在預防病毒工具中采用的技術主要有：（1）將大量的消毒）將大量的消毒/殺毒軟件匯集一體。殺毒軟件匯集一體。（2）檢測一些病毒經(jīng)常要改變的系統(tǒng)信息。）檢測一些病毒經(jīng)常要改變的系統(tǒng)信息。（3）監(jiān)測寫盤操作，對引導區(qū)或主引導區(qū)的寫操作報警。）監(jiān)測寫盤操作，對引導區(qū)或主引導區(qū)的寫操作報警。（4）對文件形成一個密碼檢驗碼，實現(xiàn)對程序完整性的驗）對文件形成一個密碼檢驗碼，實現(xiàn)對程序完整性的驗證。證。（5）智能判斷型。）智能判斷型。（6）智能監(jiān)察型。）智能監(jiān)察型。第八章第八章 計算機病毒防范技術計算機病毒防范技術 電子郵件病毒的防治電子郵件病毒的防治（1）思想上高度重視，不要輕易打開來信中）思想上高度重視，不要輕易打開來信中的附件文件；的附件文件；（2）不斷完善）不斷完善“網(wǎng)關網(wǎng)關”軟件及病毒防火墻軟件；軟件及病毒防火墻軟件；（3）使用優(yōu)秀的防毒軟件同時保護客戶機和）使用優(yōu)秀的防毒軟件同時保護客戶機和服務器；服務器；（4）使用特定的）使用特定的SMTP殺毒軟件。殺毒軟件。第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.4 計算機病毒的發(fā)展方向和趨勢計算機病毒的發(fā)展方向和趨勢第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.4.1 計算機病毒的新特性計算機病毒的新特性（1）利用微軟漏洞主動傳播）利用微軟漏洞主動傳播（2）局域網(wǎng)內快速傳播）局域網(wǎng)內快速傳播（3）以多種方式傳播）以多種方式傳播（4）大量消耗系統(tǒng)與網(wǎng)絡資源）大量消耗系統(tǒng)與網(wǎng)絡資源（5）雙程序結構）雙程序結構（6）用即時工具傳播病毒）用即時工具傳播病毒（7）病毒與黑客技術的融合）病毒與黑客技術的融合（8）遠程啟動）遠程啟動 第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.4.2 計算機病毒發(fā)展的趨勢及對策計算機病毒發(fā)展的趨勢及對策 今后病毒的一些特點：今后病毒的一些特點：（1）變形病毒成為下一代病毒首要的特點。）變形病毒成為下一代病毒首要的特點。（2）與）與Internet和和Intranet更加緊密地結合，利用一更加緊密地結合，利用一切可以利用的方式進行傳播；切可以利用的方式進行傳播；（3）所有的病毒都具有混合型特征，破壞性大大增強；）所有的病毒都具有混合型特征，破壞性大大增強；（4）因為其擴散極快，不再追求隱藏性，而更加注重欺）因為其擴散極快，不再追求隱藏性，而更加注重欺騙性；騙性；（5）利用系統(tǒng)漏洞將成為病毒有力的傳播方式。）利用系統(tǒng)漏洞將成為病毒有力的傳播方式。第八章第八章 計算機病毒防范技術計算機病毒防范技術 新一代的反病毒軟件應具備的能力新一代的反病毒軟件應具備的能力（1）全面地與互聯(lián)網(wǎng)結合，實時監(jiān)控，防止?。┤娴嘏c互聯(lián)網(wǎng)結合，實時監(jiān)控，防止病毒入侵；毒入侵；（2）快速反應的病毒檢測網(wǎng)，在病毒爆發(fā)的第）快速反應的病毒檢測網(wǎng)，在病毒爆發(fā)的第一時間即能提供解決方案；一時間即能提供解決方案；（3）完善的在線升級服務，使用戶隨時擁有最）完善的在線升級服務，使用戶隨時擁有最新的防病毒能力；新的防病毒能力；（4）對病毒經(jīng)常攻擊的應用程序提供重點保護；）對病毒經(jīng)常攻擊的應用程序提供重點保護；（5）提供完整、即時的反病毒咨詢，提高用戶）提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性。的反病毒意識與警覺性。第八章第八章 計算機病毒防范技術計算機病毒防范技術 8.5 小小 結結 計算機病毒，是指編制或者在計算機程序中插入的破計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒的我復制的一組計算機指令或者程序代碼。計算機病毒的特征主要有：非授權可執(zhí)行性、隱蔽性、傳染性、潛伏特征主要有：非授權可執(zhí)行性、隱蔽性、傳染性、潛伏性、破壞性以及可觸發(fā)性。性、破壞性以及可觸發(fā)性。計算機病毒的主要危害包括：病毒激發(fā)對計算機數(shù)據(jù)計算機病毒的主要危害包括：病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用、占用磁盤空間和對信息的破壞、信息的直接破壞作用、占用磁盤空間和對信息的破壞、搶占系統(tǒng)資源、影響計算機運行速度、計算機病毒錯誤搶占系統(tǒng)資源、影響計算機運行速度、計算機病毒錯誤與不可預見的危害、計算機病毒的兼容性對系統(tǒng)運行的與不可預見的危害、計算機病毒的兼容性對系統(tǒng)運行的影響、計算機病毒給用戶造成嚴重的心理壓力。影響、計算機病毒給用戶造成嚴重的心理壓力。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒1、系統(tǒng)病毒、系統(tǒng)病毒 系統(tǒng)病毒的前綴為：系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有等。這些病毒的一般公有的特性是可以感染的特性是可以感染windows操作系統(tǒng)的操作系統(tǒng)的*.exe 和和*.dll 文件，并通過這些文件進行傳播。如文件，并通過這些文件進行傳播。如CIH病毒。病毒。2、蠕蟲病毒、蠕蟲病毒 蠕蟲病毒的前綴是：蠕蟲病毒的前綴是：Worm。這種。這種病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。比如沖擊波（阻塞網(wǎng)絡），小阻塞網(wǎng)絡的特性。比如沖擊波（阻塞網(wǎng)絡），小郵差（發(fā)帶毒郵件）郵差（發(fā)帶毒郵件）等。等。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒3、木馬病毒、黑客病毒、木馬病毒、黑客病毒 木馬病毒其前綴是：木馬病毒其前綴是：Trojan，黑客病毒前，黑客病毒前綴名一般為綴名一般為 Hack。木馬病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞。木馬病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客則有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負責侵入用戶的電腦，而黑客病毒往往是成對出現(xiàn)的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制?，F(xiàn)在這兩種類型都越來越趨病毒則會通過該木馬病毒來進行控制。現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如向于整合了。一般的木馬如QQ消息尾巴木馬消息尾巴木馬 Trojan.QQ3344，還，還有大家可能遇見比較多的針對網(wǎng)絡游戲的木馬病毒如有大家可能遇見比較多的針對網(wǎng)絡游戲的木馬病毒如 Trojan.LMir.PSW.60。這里補充一點，病毒名中有。這里補充一點，病毒名中有PSW或者什么或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為都為“密碼密碼”的英文的英文“password”的縮寫）一些黑客程序如：網(wǎng)絡的縮寫）一些黑客程序如：網(wǎng)絡梟雄（梟雄（Hack.Nether.Client）等。）等。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒4、腳本病毒、腳本病毒 腳本病毒的前綴是：腳本病毒的前綴是：Script。腳本。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，如紅色代碼進行的傳播的病毒，如紅色代碼（Script.Redlof）可不是我們的老大代碼兄可不是我們的老大代碼兄哦哦 _。腳本病毒還會有如下前綴：。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日）、十四日（Js.Fortnight.c.s）等。）等。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒5、宏病毒、宏病毒 其實宏病毒是也是腳本病毒的一種，由于它的特殊性，其實宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。宏病毒的前綴是：因此在這里單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。（也許還有別的）其中之一。凡是只感染凡是只感染W(wǎng)ORD97及以前版本及以前版本W(wǎng)ORD文檔的病毒采用文檔的病毒采用Word97做做為第二前綴，格式是：為第二前綴，格式是：Macro.Word97；凡是只感染；凡是只感染W(wǎng)ORD97以以后版本后版本W(wǎng)ORD文檔的病毒采用文檔的病毒采用Word做為第二前綴，格式是：做為第二前綴，格式是：Macro.Word；凡是只感染；凡是只感染EXCEL97及以前版本及以前版本EXCEL文檔的病毒文檔的病毒采用采用Excel97做為第二前綴，格式是：做為第二前綴，格式是：Macro.Excel97；凡是只感；凡是只感染染EXCEL97以后版本以后版本EXCEL文檔的病毒采用文檔的病毒采用Excel做為第二前綴，做為第二前綴，格式是：格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然后通過系列文檔，然后通過OFFICE通用模板進行傳播，如：著名通用模板進行傳播，如：著名的美麗莎的美麗莎(Macro.Melissa)。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒6、后門病毒、后門病毒 后門病毒的前綴是：后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡傳播，給系統(tǒng)開該類病毒的公有特性是通過網(wǎng)絡傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如后門，給用戶電腦帶來安全隱患。如54很多朋友很多朋友遇到過的遇到過的IRC后門后門Backdoor.IRCBot。7、病毒種植程序病毒、病毒種植程序病毒 這類病毒的公有特性是運這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統(tǒng)行時會從體內釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產生破壞。如：冰目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者（河播種者（Dropper.BingHe2.2C）、）、MSN射射手手(Dropper.Worm.Smibag)等。等。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒8破壞性程序病毒破壞性程序病毒 破壞性程序病毒的前綴是：破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。如：格式病毒便會直接對用戶計算機產生破壞。如：格式化化C盤（盤（Harm.formatC.f）、殺手命令）、殺手命令（Harm.Command.Killer）等。）等。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒9玩笑病毒玩笑病毒 玩笑病毒的前綴是：玩笑病毒的前綴是：Joke。也稱惡。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶電腦進行任何破壞。如：女鬼并沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。）病毒。第八章第八章 計算機病毒防范技術計算機病毒防范技術 常見的計算機病毒常見的計算機病毒10捆綁機病毒捆綁機病毒 捆綁機病毒的前綴是：捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如綁程序將病毒與一些應用程序如QQ、IE捆綁起捆綁起來，表面上看是一個正常的文件，當用戶運行這來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手）、系統(tǒng)殺手（Binder.killsys）等）等 第八章第八章 計算機病毒防范技術計算機病毒防范技術 返回本章首頁返回本章首頁本章到此結束，謝謝！本章到此結束，謝謝！