計算機(jī)病毒原理與防范,第4章 新型計算機(jī)病毒的發(fā)展 趨勢及特點(diǎn)和技術(shù),2,4.1 新型計算機(jī)病毒的發(fā)展趨勢,網(wǎng)絡(luò)化 利用基于Internet的編程語言與編程技術(shù)實(shí)現(xiàn)，易于修改以產(chǎn)生新的變種，從而逃避反計算機(jī)病毒軟件的搜索。如利用Java、ActiveX和VBScript等技術(shù)，使病毒潛伏在HTML頁面中。 例如：“愛蟲”病毒、“Kakworm”病毒 人性化 充分利用了心理學(xué)知識，針對人類的心理制造計算機(jī)病毒，其主題、文件名更具人性化和極具誘惑性。 例如：“My-babypic”病毒 多樣化 新計算機(jī)病毒可以是可執(zhí)行文件、腳本語言和HTML網(wǎng)頁等多種形式，并向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ和OICQ等發(fā)展。,4.1 新型計算機(jī)病毒的發(fā)展趨勢,隱蔽化 新一代計算機(jī)病毒更善于隱蔽自己、偽裝自己，其主題會在傳播中改變，或具有誘惑性的主題、附件名。 如：主頁計算機(jī)病毒、“維羅納”病毒、“Matrix”病毒 平民化 由于腳本語言的廣泛使用，專用計算機(jī)病毒生成工具的流行，計算機(jī)病毒的制造不再是計算機(jī)專家表現(xiàn)自己的高超技術(shù)。 智能化 可對外設(shè)、硬件設(shè)施物理性破壞，也可對人體實(shí)施攻擊。,4.2 新型計算機(jī)病毒發(fā)展的主要特點(diǎn),4.2.1 新型計算機(jī)病毒的主要特點(diǎn),利用系統(tǒng)漏洞將成為計算機(jī)病毒有力的傳播方式 局域網(wǎng)內(nèi)快速傳播 以多種方式快速傳播 欺騙性增強(qiáng) 大量消耗系統(tǒng)與網(wǎng)絡(luò)資源 更廣泛的混合性特征 計算機(jī)病毒與黑客技術(shù)的融合 計算機(jī)病毒出現(xiàn)頻度高，計算機(jī)病毒生成工具多，計算機(jī)病毒的變種多 難于控制和徹底根治，容易引起多次疫情,4.2.2 基于Windows的計算機(jī)病毒,1什么是Windows計算機(jī)病毒？ Windows計算機(jī)病毒： 指能感染W(wǎng)indows可執(zhí)行程序并可在Windows系統(tǒng)下運(yùn)行的計算機(jī)病毒。 Windows計算機(jī)病毒分類： 感染NE格式(Windows3.X)可執(zhí)行程序的計算機(jī)病毒 感染PE格式(Windows95以上)可執(zhí)行程序的計算機(jī)病毒,4.2.2 基于Windows的計算機(jī)病毒,2為什么Windows計算機(jī)病毒這么多？ 一方面，隨著人們對Windows操作系統(tǒng)認(rèn)識的深入，系統(tǒng)功能的強(qiáng)大而使系統(tǒng)龐大，不可避免地出現(xiàn)錯誤和漏洞；另一方面，Windows系統(tǒng)源碼保密。 危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程的表現(xiàn)形式： 病毒程序 蠕蟲 木馬 后門 漏洞,4.2.2 基于Windows的計算機(jī)病毒,危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程的表現(xiàn)形式： 病毒程序 病毒程序一般比較小巧，表現(xiàn)為強(qiáng)傳染性，會傳染它所能訪問的文件系統(tǒng)中的文件。 蠕蟲 蠕蟲是利用網(wǎng)絡(luò)進(jìn)行傳播的程序。利用主機(jī)提供的服務(wù)缺陷攻擊目標(biāo)機(jī)。目標(biāo)機(jī)感染后，一般會隨機(jī)選擇一段IP地址進(jìn)行掃描，尋找下一個有缺陷的目標(biāo)進(jìn)行攻擊。 如：“Lion”針對DNS解析的服務(wù)程序BIND； “沖擊波”、“震蕩波”針對Windows系統(tǒng)。,4.2.2 基于Windows的計算機(jī)病毒,危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程的表現(xiàn)形式： 木馬 木馬是網(wǎng)絡(luò)攻擊成功后有意放置的程序，用于與外界的攻擊程序接口，以非法訪問被攻擊主機(jī)為目的。絕大多數(shù)針對Windows系統(tǒng)。 后門 后門是寫系統(tǒng)或網(wǎng)絡(luò)服務(wù)程序的公司或個人放置在系統(tǒng)上，以進(jìn)行非法訪問為目的的代碼。只存在于不開放源碼的操作系統(tǒng)中。 漏洞 漏洞是指由于程序編寫過程中的失誤，導(dǎo)致系統(tǒng)被非法訪問,4.2.2 基于Windows的計算機(jī)病毒,3Windows系統(tǒng)與計算機(jī)病毒的斗爭 Windows系統(tǒng)只有通過不斷升級、完善，才可以減少受計算機(jī)病毒騷擾的機(jī)會。,4.2.3 新型計算機(jī)病毒的傳播途徑,1傳播途徑 軟盤 光盤 硬盤 BBS 網(wǎng)絡(luò),4.2.3 新型計算機(jī)病毒的傳播途徑,2計算機(jī)病毒傳播呈現(xiàn)多樣性 (1)隱藏在即時通信軟件中的計算機(jī)病毒 即時通信IM軟件：ICQ、QQ、MSN Messenger 例如： “求職信”病毒：第一個通過ICQ進(jìn)行傳播的惡性蠕蟲 “愛情森林”系列病毒、“QQ尾巴”病毒：通過騰訊QQ進(jìn)行傳播 “MSN射手”病毒、“W32.HLLW.Henpeck”病毒：通過騰訊MSN Messenger進(jìn)行傳播 通過即時通信軟件傳播病毒的原因： 用戶數(shù)量龐大，有利于病毒的迅速傳播； 軟件內(nèi)建有聯(lián)系人清單，可方便地獲取傳播目標(biāo)。,4.2.3 新型計算機(jī)病毒的傳播途徑,2計算機(jī)病毒傳播呈現(xiàn)多樣性 隱藏在即時通信軟件中的計算機(jī)病毒 在IRC中的計算機(jī)病毒 點(diǎn)對點(diǎn)計算機(jī)病毒,4.2.4 新型計算機(jī)病毒的危害,1計算機(jī)病毒肆虐：以“震蕩波”病毒為例 2計算機(jī)病毒與IT共存 據(jù)海外有關(guān)數(shù)據(jù)顯示：全球每月產(chǎn)生新計算機(jī)病毒300種，一年就達(dá)40005000種。全球每年造成巨大的經(jīng)濟(jì)損失。 典型案例：“尼姆達(dá)”、“美麗莎”、“CIH”、“Sircam”病毒 網(wǎng)絡(luò)攻擊手段：密碼攻擊、分組竊聽和IP地址欺騙，以及拒絕服務(wù)（Ddos）、未授權(quán)訪問和特洛伊木馬（Trojan） 專家針對計算機(jī)病毒推薦的防范措施： 1及時關(guān)注微軟公司官方網(wǎng)站公布的系統(tǒng)漏洞，下載正式補(bǔ)?。?2購買專業(yè)殺毒軟件廠商的軟件及其后臺服務(wù)，及時升級； 3定期備份計算機(jī)上的重要文件。,4.2.5 電子郵件成為計算機(jī)病毒傳播的主要媒介,“BubbleBoy”病毒： 無需用戶打開附件就能感染用戶的計算機(jī)系統(tǒng)。 通過E-mail進(jìn)行傳播的計算機(jī)病毒的主要特點(diǎn)： （1）傳播速度快、傳播范圍廣； （2）破壞力大、破壞性強(qiáng)。 典型案例： 2000年5月4日“愛蟲”計算機(jī)病毒的爆發(fā),4.2.6 新型計算機(jī)病毒的最主要載體,目前，計算機(jī)網(wǎng)絡(luò)成為計算機(jī)病毒傳播的最主要載體。 1網(wǎng)絡(luò)蠕蟲成為最主要和破壞力量最大的計算機(jī)病毒類型 “蠕蟲”病毒主要利用系統(tǒng)漏洞進(jìn)行傳播，在控制系統(tǒng)的同時，為系統(tǒng)打開后門，成為一種黑客攻擊工具。 “蠕蟲”病毒編寫簡單，往往直接利用VBS來編寫。如“歡樂時光”病毒。 2惡意網(wǎng)頁、木馬和計算機(jī)病毒,4.2.6 新型計算機(jī)病毒的最主要載體,蠕蟲（Worm）： 雖然蠕蟲可以在計算機(jī)系統(tǒng)中繁殖，有的蠕蟲甚至還可以在內(nèi)存、磁盤、網(wǎng)絡(luò)中移動、爬行，但它們不依附于其他程序，即不需要宿主對象。 嚴(yán)格地說，蠕蟲與計算機(jī)病毒的一個最大區(qū)別在于：蠕蟲程序本身并不具備傳染性。 在其他方面，蠕蟲與計算機(jī)病毒又極為類似，它是計算機(jī)病毒的“近親”，而被視為是另一種類型的計算機(jī)病毒,4.2.6 新型計算機(jī)病毒的最主要載體,目前，計算機(jī)網(wǎng)絡(luò)成為計算機(jī)病毒傳播的最主要載體。 1網(wǎng)絡(luò)蠕蟲成為最主要和破壞力量最大的計算機(jī)病毒類型 2惡意網(wǎng)頁、木馬和計算機(jī)病毒 惡意網(wǎng)頁的特點(diǎn)： 在用戶不知道情況下，修改用戶瀏覽器選項； 修改用戶注冊表選項，鎖定注冊表，修改系統(tǒng)啟動選項，以及在用戶桌面生成網(wǎng)頁快捷訪問方式。 格式化用戶硬盤（很少出現(xiàn)）。 注意：在當(dāng)前計算機(jī)病毒定義下，不能稱惡意網(wǎng)頁為計算機(jī)病毒，因為它不能自我復(fù)制；也不能稱為木馬，因為它沒有遠(yuǎn)程控制。 木馬的最主要特點(diǎn)：遠(yuǎn)程控制,4.2.6 新型計算機(jī)病毒的最主要載體,特洛伊木馬（Trojan Horse）： 借古羅馬戰(zhàn)爭中的“木馬”戰(zhàn)術(shù)而得名 原理：木馬實(shí)際上是一種在遠(yuǎn)程計算機(jī)之間建立起連接，使遠(yuǎn)程計算機(jī)能通過網(wǎng)絡(luò)控制本地計算機(jī)上的程序。 傳播：木馬以合法而正常的程序（如計算機(jī)游戲、壓縮工具乃至防治計算機(jī)病毒軟件等）面目出現(xiàn)，來達(dá)到欺騙并在用戶計算機(jī)上運(yùn)行、產(chǎn)生用戶所料不及的破壞后果之目的。 組成：一般情況下，木馬程序由服務(wù)器端程序和客戶端程序組成。其中服務(wù)器端程序安裝在被控制對象的計算機(jī)上，客戶端程序是控制者所使用的。,4.2.6 新型計算機(jī)病毒的最主要載體,特洛伊木馬（Trojan Horse）： 危害：通過遠(yuǎn)程控制對目標(biāo)計算機(jī)進(jìn)行危險的文件管理，包括可從受害者的計算機(jī)查看、刪除、移動、上傳、下載、執(zhí)行任何文件；進(jìn)行警告信息發(fā)送、鍵盤記錄、記錄機(jī)內(nèi)保密信息、關(guān)閉窗口、鼠標(biāo)控制、計算機(jī)基本設(shè)置等非法操作 木馬和遠(yuǎn)程控制軟件的區(qū)別：木馬具有隱蔽性。例如國內(nèi)的血蜘蛛、國外的PCAnyWhere等遠(yuǎn)程控制軟件，其服務(wù)器端在目標(biāo)計算機(jī)上運(yùn)行時，目標(biāo)計算機(jī)上會出現(xiàn)很醒目的標(biāo)志；而木馬類軟件的服務(wù)器在運(yùn)行時則應(yīng)用多種手段來隱藏自己。 類型： 遠(yuǎn)程訪問木馬 密碼發(fā)送型木馬 FTP型木馬 鍵盤記錄型木馬 毀壞型木馬,4.3 新型計算機(jī)病毒發(fā)展的主要技術(shù),4.3.1 ActiveX與Java,傳統(tǒng)計算機(jī)病毒與新型計算機(jī)病毒： 1宿主程序： 傳統(tǒng)計算機(jī)病毒：一定有一個“宿主”程序，如.EXE文件、.COM文件以及.DOC文件 宏病毒：感染W(wǎng)ord，如：“Taiwan No.1”病毒 新型計算機(jī)病毒：完全不需要宿主程序 2寄生方式 傳統(tǒng)計算機(jī)病毒：寄生在可執(zhí)行程序代碼中，伺機(jī)對系統(tǒng)進(jìn)行破壞 新型計算機(jī)病毒：利用網(wǎng)頁編寫所用的Java或ActiveX語言編寫的可執(zhí)行程序，當(dāng)瀏覽網(wǎng)頁時就會下載并在系統(tǒng)中執(zhí)行。,4.3.1 ActiveX與Java,Java或ActiveX語言：用來編寫具有動感十足的網(wǎng)頁 Java或ActiveX語言的執(zhí)行方式： 將程序代碼寫在網(wǎng)頁上，當(dāng)訪問網(wǎng)站時，用戶瀏覽器將這些程序代碼下載，然后用用戶的系統(tǒng)資源去執(zhí)行。 例如： ActiveX控件病毒“Exploder”：能關(guān)閉Windows95系統(tǒng)，可見其控制能力之強(qiáng)。 利用Java編寫的包含惡意代碼的程序： Application macros、Navigator plug-ins、Macintosh等應(yīng)用程序 現(xiàn)在有些計算機(jī)病毒是在用戶未知情況下所執(zhí)行的一些操作而感染傳播的。,4.3.2 計算機(jī)病毒的駐留內(nèi)存技術(shù),1引導(dǎo)型病毒的駐留內(nèi)存技術(shù) 引導(dǎo)型病毒是在計算機(jī)啟動時從磁盤的引導(dǎo)扇區(qū)被ROM BIOS中的引導(dǎo)程序讀入內(nèi)存的。在將控制權(quán)轉(zhuǎn)交給正常引導(dǎo)程序去做進(jìn)一步的系統(tǒng)啟動工作之前，將自身搬移到內(nèi)存的高端，即RAM的最高端，同時修改可用內(nèi)存空間。 例如：“小球”、“大麻”、“米開朗琪羅”等病毒 引導(dǎo)型病毒總是以駐留內(nèi)存的形式進(jìn)行感染的。利用DOS的Chkdsk或Pctools程序可發(fā)現(xiàn)內(nèi)存總數(shù)的減少；利用Debug不僅可發(fā)現(xiàn)內(nèi)存的減少，而且可發(fā)現(xiàn)病毒在內(nèi)存的具體位置。,4.3.2 計算機(jī)病毒的駐留內(nèi)存技術(shù),2文件型病毒的不駐留內(nèi)存技術(shù) 感染方法是只要被運(yùn)行一次，就在磁盤中尋找一個未被該病毒感染的文件進(jìn)行感染。當(dāng)程序運(yùn)行結(jié)束，病毒連同其宿主程序一起離開內(nèi)存，不留任何痕跡。 其傳染和擴(kuò)散速度相對于內(nèi)存駐留型病毒稍差些。 如：“維也納DOS648”、“Taiwan”、“Syslock”、“W13”等病毒,4.3.2 計算機(jī)病毒的駐留內(nèi)存技術(shù),3文件型病毒的駐留內(nèi)存技術(shù) 文件型病毒可以駐留在內(nèi)存高端，也可駐留在內(nèi)存低端 如：“1575”、“DIR2”、“4096”、“新世紀(jì)”、“中國炸彈”、“旅行者1202”等病毒 采用DOS的中斷調(diào)用27H和系統(tǒng)功能調(diào)用31H。 文件型病毒可駐留在它被系統(tǒng)調(diào)入內(nèi)存時所在的位置（往往是內(nèi)存低端）?？杀籇OS的MEM和Pctools的MI查看到。 如：“1808”病毒 很多病毒采用了直接修改MCB的方法。 可以駐留在內(nèi)存的低端，也可搬移到內(nèi)存高端，可以躲避監(jiān)視。 如：“1575”、“4096”等病毒,4.3.2 計算機(jī)病毒的駐留內(nèi)存技術(shù),Windows環(huán)境下病毒的內(nèi)存駐留（補(bǔ)充） 方法一：病毒作為一個應(yīng)用程序 由于Windows操作系統(tǒng)本身就是多任務(wù)的，所以最簡單的內(nèi)存駐留方法是將病毒作為一個應(yīng)用程序，病毒擁有自己的窗口(可能是隱藏的)、擁有自己的消息處理函數(shù) 方法二：病毒獨(dú)立占用系統(tǒng)內(nèi)存塊 使用DPMI申請一塊系統(tǒng)內(nèi)存，將病毒代碼放置其中 方法三：病毒作為一個設(shè)備驅(qū)動程序 將病毒作為一個VXD（Win3.x或者Win9x環(huán)境下的設(shè)備驅(qū)動程序）或者在Win NTWin2000下的設(shè)備驅(qū)動程序WDM加載到內(nèi)存中運(yùn)行,4.3.3 修改中斷向量表技術(shù),引導(dǎo)型病毒和駐留內(nèi)存的文件型病毒大都要修改中斷向量表，以達(dá)到將計算機(jī)病毒代碼掛接入系統(tǒng)的目的。 對于引導(dǎo)型病毒，磁盤輸入輸出中斷13H是其傳染磁盤的唯一通道。通過將病毒的傳染模塊鏈入13H磁盤讀寫中斷服務(wù)程序，就可在用戶利用正常系統(tǒng)服務(wù)時感染軟硬盤。,4.3.4 計算機(jī)病毒隱藏技術(shù),采用“隱藏”技術(shù)的計算機(jī)病毒表現(xiàn)形式： 計算機(jī)病毒進(jìn)入內(nèi)存后，若計算機(jī)用戶不用專用軟件或?qū)ｉT手段去檢查，則幾乎感覺不到因計算機(jī)病毒駐留內(nèi)存而引起的內(nèi)存可用容量的減少。 計算機(jī)病毒感染了正常文件后，該文件的日期和時間不發(fā)生變化。因此用DIR命令查看目錄時，看不到某個文件因被計算機(jī)病毒改寫過造成的日期、時間有變化。 計算機(jī)病毒在內(nèi)存中時，用DIR命令看不見因計算機(jī)病毒的感染而引起的文件長度的增加。,4.3.4 計算機(jī)病毒隱藏技術(shù),采用“隱藏”技術(shù)的計算機(jī)病毒表現(xiàn)形式： 計算機(jī)病毒在內(nèi)存中時，若查看被該計算機(jī)病毒感染的文件，則看不到計算機(jī)病毒的程序代碼，只看到原正常文件的程序代碼。 計算機(jī)病毒在內(nèi)存中時，若查看被計算機(jī)病毒感染的引導(dǎo)扇區(qū)，則只會看到正常的引導(dǎo)扇區(qū)，而看不到實(shí)際上處于引導(dǎo)扇區(qū)位置的計算機(jī)病毒程序。 計算機(jī)病毒在內(nèi)存中時，計算機(jī)病毒防范程序和其他工具程序檢查不出中斷向量被計算機(jī)病毒接管，但實(shí)際上計算機(jī)病毒代碼已鏈接到系統(tǒng)的中斷服務(wù)程序中,4.3.4 計算機(jī)病毒隱藏技術(shù),1靜態(tài)隱藏技術(shù) 靜態(tài)隱藏技術(shù)：指計算機(jī)病毒代碼依附在宿主程序上時所擁有的固有的隱蔽性 一般由父病毒在感染目標(biāo)程序時，依照目標(biāo)程序的特性，產(chǎn)生特定的子病毒，使其能隱蔽在宿主程序中而不被發(fā)現(xiàn) 秘密行動法 秘密行動法：通過清除感染程序所留下的痕跡，恢復(fù)宿主文件的特征，向查詢者返回虛假信息，而達(dá)到隱藏病毒的目的 碎片技術(shù)：利用Windows環(huán)境PE可執(zhí)行文件分段存儲，而各段有一些未使用的剩余空間這一特征，將自身分割成小塊，隱藏在內(nèi)存空隙中，從而消除病毒改變文件長度的缺陷,4.3.4 計算機(jī)病毒隱藏技術(shù),秘密行動法：引導(dǎo)型病毒的隱藏方法一 感染時，修改中斷服務(wù)程序 使用時，截獲INT 13調(diào)用,4.3.4 計算機(jī)病毒隱藏技術(shù),秘密行動法：引導(dǎo)型病毒的隱藏方法二 針對殺毒軟件對磁盤直接讀寫的特點(diǎn)，截獲 INT 21H，然后恢復(fù)感染區(qū)，最后，再進(jìn)行感染。,4.3.4 計算機(jī)病毒隱藏技術(shù),秘密行動法：文件型病毒的隱藏方法 攔截（API, INT調(diào)用）訪問 恢復(fù) 再感染,4.3.4 計算機(jī)病毒隱藏技術(shù),自加密技術(shù) 計算機(jī)病毒可以對靜態(tài)計算機(jī)病毒加密，同時也可以對進(jìn)駐內(nèi)存的動態(tài)計算機(jī)病毒進(jìn)行加密 Mutation Engine多態(tài)技術(shù) 采用特殊的加密技術(shù)，每感染一個對象，放入宿主程序的代碼都不相同，幾乎沒有任何特征代碼串，從而能有效對抗采用特征串搜索法類殺毒軟件的查殺 插入性病毒技術(shù) 插入性病毒在不了解宿主程序的功能和結(jié)構(gòu)的前提下，能將宿主程序在適當(dāng)處截斷，在宿主程序的中部插入病毒程序，并做到使病毒能獲得運(yùn)行權(quán)，達(dá)到與宿主程序融為一體,4.3.4 計算機(jī)病毒隱藏技術(shù),2動態(tài)隱藏技術(shù) 動態(tài)隱藏技術(shù)：指計算機(jī)病毒代碼在駐留、運(yùn)行和發(fā)作期間所擁有的隱蔽性 計算機(jī)病毒利用操作系統(tǒng)的功能和漏洞，后臺執(zhí)行監(jiān)視和感染的功能，防止被一般的內(nèi)存或進(jìn)程管理程序發(fā)現(xiàn) 反Debug跟蹤技術(shù) Debug主要利用系統(tǒng)中斷INT 1和INT 3進(jìn)行動態(tài)跟蹤。計算機(jī)病毒抑制跟蹤的方法主要是修改INT 1和INT 3中斷服務(wù)程序入口地址的內(nèi)容來破壞跟蹤 此外，常見的其他反跟蹤技術(shù)有：封鎖鍵盤輸入、封鎖屏幕輸出等,4.3.4 計算機(jī)病毒隱藏技術(shù),檢測系統(tǒng)調(diào)試寄存器，防止計算機(jī)病毒被動態(tài)跟蹤調(diào)試 現(xiàn)在的操作系統(tǒng)中出現(xiàn)了很多功能強(qiáng)大的調(diào)試工具。計算機(jī)病毒可采取一定的方法來進(jìn)行檢測： 計算機(jī)病毒通過調(diào)用API函數(shù)IsDebuggerPresent來檢測是否有用戶級調(diào)試器存在 檢測調(diào)試寄存器 設(shè)置SHE進(jìn)行反跟蹤。SEH即結(jié)構(gòu)化異常處理，是操作系統(tǒng)提供給程序設(shè)計者的強(qiáng)有力的處理程序錯誤或異常的武器 計算機(jī)病毒通過軟件對調(diào)試器進(jìn)行檢測操作，很容易進(jìn)行攔截,4.3.4 計算機(jī)病毒隱藏技術(shù),進(jìn)程注入技術(shù) 進(jìn)程注入技術(shù)將病毒作為一個線程，注入系統(tǒng)應(yīng)用程序如Explore.exe的地址空間，對于系統(tǒng)此應(yīng)用程序是絕對安全的程序，這樣病毒在駐留內(nèi)存的同時就達(dá)到了隱藏的效果 超級計算機(jī)病毒技術(shù) 計算機(jī)病毒采用VxD技術(shù)，如CIH病毒 VxD虛擬設(shè)備驅(qū)動，是Microsoft公司專門為Windows系統(tǒng)制定的設(shè)備驅(qū)動程序接口規(guī)范。類似于DOS系統(tǒng)中的設(shè)備驅(qū)動程序，專門用于管理系統(tǒng)所加載的各種設(shè)備，不僅適用于硬件設(shè)備，也適用于按照VxD規(guī)范所編制的各種軟件設(shè)備,4.3.5 對抗計算機(jī)病毒防范系統(tǒng)技術(shù),計算機(jī)病毒在傳染過程中發(fā)現(xiàn)磁盤上有某些著名的計算機(jī)病毒防范軟件或在文件中查找到出版這些軟件的公司時，就刪除這些文件或使計算機(jī)死機(jī)。,4.3.6 技術(shù)的遺傳與結(jié)合,當(dāng)一項最新的技術(shù)或計算機(jī)系統(tǒng)出現(xiàn)時，計算機(jī)病毒總會找到其薄弱點(diǎn)進(jìn)行利用，同時計算機(jī)病毒制造者還不斷吸取已經(jīng)發(fā)現(xiàn)的計算機(jī)病毒技術(shù)，試圖將這些技術(shù)融合在一起，制造出更具破壞力的新計算機(jī)病毒 如“尼姆達(dá)”病毒在傳播方式上同時利用了多種有名計算機(jī)病毒的傳播方式： “FunLove”的共享傳播方式 利用郵件計算機(jī)病毒的特點(diǎn)進(jìn)行傳播 利用系統(tǒng)軟件漏洞進(jìn)行傳播,第4章 新型計算機(jī)病毒的發(fā)展 趨勢及特點(diǎn)和技術(shù),42,本章課后作業(yè),教材：P30 第 1、2、4、7、8 題,