計(jì)算機(jī)病毒簡介AbriefintroductionofComputerVirus012022/11/25計(jì)算機(jī)病毒簡介Abriefintroductionof1發(fā)展歷程2基本概念3分類簡介4防治技術(shù)主要內(nèi)容22022/11/251發(fā)展歷程2基本概念3分類簡介4防治技術(shù)主要內(nèi)容22022/01發(fā)展歷程developmenthistory32022/11/2501發(fā)展歷程developmenthistory32022上世紀(jì)40年代，克勞斯·拉克納爾是哥倫比亞大學(xué)地球工程中心的教授,他還在洛斯阿拉莫斯國家實(shí)驗(yàn)室工作時(shí)，和朋友正在喝啤酒聊天——如何解決全球變暖問題？起源：一個(gè)關(guān)于串啤、環(huán)保和學(xué)霸的故事42022/11/25上世紀(jì)40年代，克勞斯·拉克納爾是哥倫比亞大學(xué)地球工程中心

他們打算把空氣中的二氧化碳轉(zhuǎn)變成碳酸鈣——石灰石、漢白玉、白堊，都是這種東西。從空氣中提取二氧化碳然后變成固體的工作量和所需要的資源都是驚人的，不能指望有人投資或者國家撥款。一個(gè)全自動的轉(zhuǎn)化過程。假設(shè)一臺機(jī)器。它能夠復(fù)制自身。它可以把太陽能轉(zhuǎn)化為所需的電能。它可以很容易地獲得制造它的原料。這像是一個(gè)細(xì)胞一樣不停地分裂，而無窮無盡的太陽能將會讓它們不停地繁殖下去，直到被制止為止。太陽能不是問題，而一臺機(jī)器所需要的原料無非是鐵、銅、鋁、硅、碳這樣的常見元素罷了，這些東西遍地都是，只要提取出來就行。只有一個(gè)問題：怎樣讓機(jī)器自我復(fù)制？這是大數(shù)學(xué)家迪爾卡都沒有解決的問題！52022/11/25他們打算把空氣中的二氧化碳轉(zhuǎn)變成碳酸鈣——約翰·馮·諾依曼(1903~1957）原籍匈牙利，布達(dá)佩斯大學(xué)數(shù)學(xué)博士。20世紀(jì)最重要的數(shù)學(xué)家之一，在現(xiàn)代計(jì)算機(jī)、博弈論、核武器和生化武器等領(lǐng)域內(nèi)的科學(xué)全才之一，被后人稱為“計(jì)算機(jī)之父”和“博弈論之父”。第二次世界大戰(zhàn)期間為第一顆原子彈的研制作出了貢獻(xiàn)。為研制電子數(shù)字計(jì)算機(jī)提供了基礎(chǔ)性的方案。晚年，研究自動機(jī)理論，著有對人腦和計(jì)算機(jī)系統(tǒng)進(jìn)行精確分析的著作《計(jì)算機(jī)與人腦》。主要著作有《量子力學(xué)的數(shù)學(xué)基礎(chǔ)》（1926）、《計(jì)算機(jī)與人腦》（1958）、《經(jīng)典力學(xué)的算子方法》、《博弈論與經(jīng)濟(jì)行為》（1944）、《連續(xù)幾何》（1960）等。62022/11/25約翰·馮·諾依曼(1903~1957）62022/11/23馮·諾依曼認(rèn)為，任何能夠自我繁殖的系統(tǒng)，都應(yīng)該同時(shí)具有兩個(gè)基本功能。

1通用構(gòu)造器它必須能夠構(gòu)建某一個(gè)組成元素和結(jié)構(gòu)與自己一致的下一代。2描述器它需要能夠把對自身的描述傳遞給下一代。這樣，只要有合適的原料，通用構(gòu)造器就可以根據(jù)描述器的指示，生產(chǎn)出下一臺機(jī)器，并且把描述的信息也傳遞給這臺新機(jī)器。隨后，新機(jī)器啟動，再進(jìn)入下一個(gè)循環(huán)，這種自增殖系統(tǒng)，稱之為“馮·諾依曼機(jī)器人”72022/11/25馮·諾依曼認(rèn)為，任何能夠自我繁殖的系統(tǒng)，都應(yīng)該同時(shí)具有兩個(gè)基奧克松斯計(jì)劃

克勞斯·拉克納爾和克里斯托弗·文特打算按照馮·諾依曼的思路開展他們的工作，他們給這個(gè)項(xiàng)目起名叫奧克松斯（Auxons），這是從希臘語的“auxein”借過來的，意思是“成長”。他們給最初的原型機(jī)安裝了高溫熔爐用來獲取需要的金屬原料，并且打算把它扔到沙漠里面去。在那里，奧克松斯可以獲得大量的原料和能量，并且不會有人來打擾。雖然失敗了，也沒有原理圖遺留下來，但是在我的想法中，奧克松斯看起來應(yīng)該跟Wall·E差不多……82022/11/25奧克松斯計(jì)劃82022/11/23

奧克松斯計(jì)劃雖然失敗了，但是馮先生成功了，他1949年以"TheoryandOrganizationofComplicatedAutomata"為題的一場在伊利諾伊大學(xué)的演講，后改以"Theoryofself-reproducingautomata"為題出版。馮·諾伊曼在他的論文中描述一個(gè)計(jì)算機(jī)程序如何復(fù)制其自身。92022/11/25奧克松斯計(jì)劃雖然失敗了，但是馮先生成功了，他1上世紀(jì)60年代初，貝爾實(shí)驗(yàn)室的一群小伙子們，在無聊的工作之余開始他們的炫技游戲，一不小心開創(chuàng)了兩個(gè)先河。雛形：計(jì)算機(jī)游戲和病毒雙料的祖師爺102022/11/25上世紀(jì)60年代初，貝爾實(shí)驗(yàn)室的一群小伙子們，在無聊的工作之余

60年代，貝爾實(shí)驗(yàn)室三個(gè)才二十多歲、華橫溢的年輕人——道格拉斯·麥克利、維克特·維索斯基以及羅伯特·莫里斯，按照馮氏理論開始了他們的游戲歷程。游戲雙方各寫一套程序，輸入同一部電腦中，這兩套程序在電腦的內(nèi)存中互相追殺對方，有時(shí)它們會設(shè)下一些關(guān)卡，有時(shí)會停下來自行修理（重新寫）被對方破壞的幾行指令；當(dāng)它被困時(shí)，也可以把自己復(fù)制一次，逃離險(xiǎn)境。因?yàn)楫?dāng)時(shí)使用磁芯作為存儲設(shè)備，所以該游戲又稱為“磁芯大戰(zhàn)”。112022/11/2560年代，貝爾實(shí)驗(yàn)室三個(gè)才二十多歲、華橫溢直到上世紀(jì)70-80年代，計(jì)算機(jī)病毒這個(gè)名字，才被開發(fā)出來并廣為人知，在這里一大群文科生功不可沒。以毒之名：咱們文科生有力量122022/11/25直到上世紀(jì)70-80年代，計(jì)算機(jī)病毒這個(gè)名字，才被開發(fā)出來并

1970年代，雷恩在《P1的青春》一書中構(gòu)思了一種可以自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并第一次稱之為“計(jì)算機(jī)病毒”。大衛(wèi)·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一個(gè)叫“病毒”的程序和與之對戰(zhàn)的叫“抗體”的程序；

約翰·布魯勒爾（JohnBrunner）的小說《震蕩波騎士（ShakewaveRider）》，描述了一個(gè)叫做“磁帶蠕蟲”、在網(wǎng)絡(luò)上刪除數(shù)據(jù)的程序。132022/11/251970年代，雷恩在《P1的青春》一書中構(gòu)思弗雷德·科恩

1983年11月3日，弗雷德·科恩在UNIX系統(tǒng)下，編寫了一個(gè)會自動復(fù)制并在計(jì)算機(jī)間進(jìn)行傳染從而引起系統(tǒng)死機(jī)的小程序。該程序?qū)﹄娔X并無害處，潛伏于更大的合法程序當(dāng)中，通過軟盤(當(dāng)前出售的電腦多不再用)傳到電腦上。一些電腦專家也曾警告，電腦病毒是有可能存在的，但科恩是第一個(gè)真正通過實(shí)踐記錄電腦病毒的人。1984年，將這些程序以論文發(fā)表，在其博士論文給出了電腦病毒的第一個(gè)學(xué)術(shù)定義，這也是今天公認(rèn)的標(biāo)準(zhǔn)，從而引起了轟動。142022/11/25弗雷德·科恩142022/11/23計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它通過修改其它程序把自身或其演化體插入它們中，從而感染它們。同時(shí)可以通過數(shù)學(xué)方法嚴(yán)格證明，這樣的病毒能夠在任何允許信息共享的系統(tǒng)中傳播，不論是否有安全技術(shù)。算機(jī)病毒不是利用操作系統(tǒng)的錯(cuò)誤或缺陷的程序。它是正常的用戶程序，它僅使用那些每天都使用的正常操作。——弗雷德·科恩152022/11/25計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它通過修改其它程序把

1984年，《科學(xué)美國人》（又稱環(huán)球科學(xué)）月刊的專欄作家杜特尼在5月刊號寫了第一篇討論“磁芯大戰(zhàn)”的文章，并且只要寄上兩塊美金，任何讀者都可以收到有關(guān)寫程序的綱領(lǐng)，在自己家的電腦中開辟戰(zhàn)場。在1985年3月份的《科學(xué)美國人》里，杜特尼再次討論“磁芯大戰(zhàn)”和病毒。在文章的開頭他便說：“當(dāng)去年5月有關(guān)‘磁芯大戰(zhàn)’的文章印出來時(shí)，我并沒有想過我所談?wù)摰氖悄敲磭?yán)重的題目……”文中多次提到“病毒”這個(gè)名稱。162022/11/251984年，《科學(xué)美國人》（又稱環(huán)球科學(xué)）“意大利的電腦程序員利用感染磁碟的方式使其它電腦受到破壞性程序的感染。就這樣，潘多拉之盒被打開了，許多程序員都了解了病毒的原理，進(jìn)而開始嘗試編制這種具有隱蔽性、攻擊性和傳染性的特殊程序。病毒從隱秘走向公開，先是利用磁碟，然后是利用網(wǎng)絡(luò)，迅速在全世界范圍內(nèi)擴(kuò)散開來，成為電腦用戶的頭號敵人?！薄盘啬?72022/11/25“意大利的電腦程序員利用感染磁碟的方式使其它電上世紀(jì)70-80年代，出現(xiàn)了很多病毒或者疑似病毒的計(jì)算機(jī)程序，除了磁芯大戰(zhàn)之類鼻祖型雛形只為，誰是第一個(gè)病毒一直存在著很大的爭議?；疑I(lǐng)獎(jiǎng)臺：到底誰才是第一名182022/11/25上世紀(jì)70-80年代，出現(xiàn)了很多病毒或者疑似病毒的計(jì)算機(jī)程序Creeper時(shí)間：1971開發(fā)者：羅伯特·托馬斯簡介：通過阿帕網(wǎng)傳播，顯示“我是Creeper，有本事來抓我呀!”。Creeper在網(wǎng)絡(luò)中移動，從一個(gè)系統(tǒng)跳到另外一個(gè)系統(tǒng)并自我復(fù)制。ElkCloner時(shí)間：1982開發(fā)者：里奇.斯克倫塔簡介：通過軟盤傳播,并感染了成千上萬的機(jī)器，但它是無害的：它只是在用戶的屏幕上顯示一首詩，其中有兩句是這樣的：“它將進(jìn)入你所有的磁盤/它會進(jìn)入你的芯片?！盋-BRAIN時(shí)間：1986開發(fā)者：基斯坦兄弟巴斯特和阿姆捷特

簡介：他們在當(dāng)?shù)亟?jīng)營一家販賣個(gè)人計(jì)算機(jī)的商店，為了防止他們的軟件被任意盜拷而編寫。只要有人盜拷他們的軟件，C-BRAIN就會發(fā)作，并耗盡磁盤空間。192022/11/25Creeper時(shí)間：1971ElkCloner時(shí)間：198在財(cái)政部的計(jì)算機(jī)無法正常使用，經(jīng)技術(shù)論證確定為C-BRAIN系列變種病毒造成的，這是中國本土發(fā)現(xiàn)的最早的計(jì)算機(jī)病毒。1988：登陸中國202022/11/25在財(cái)政部的計(jì)算機(jī)無法正常使用，經(jīng)技術(shù)論證確定為C-BRAIN以“石頭-2”為代表的新型病毒開始大規(guī)模爆發(fā)，不同于以往以軟盤為感染對象的老戰(zhàn)友，新型的病毒編寫技術(shù)更成熟、代碼更復(fù)雜，由于硬盤是“長期駐留”在計(jì)算機(jī)上的大容量高速存儲設(shè)備，從此之后復(fù)制、傳播更加便利對“體積”的要求也放寬了。1989：開辟第二戰(zhàn)場——轉(zhuǎn)戰(zhàn)硬盤212022/11/25以“石頭-2”為代表的新型病毒開始大規(guī)模爆發(fā)，不同于以往以軟在此之前，計(jì)算機(jī)病毒均為引導(dǎo)型病毒，它們是通過磁盤到磁盤的形式進(jìn)行感染的，隨著“金蟬（1992）”等復(fù)合型病毒的出現(xiàn)，實(shí)現(xiàn)了從文件到文件的感染進(jìn)一步拓寬了計(jì)算機(jī)病毒的感染途徑，從表現(xiàn)上看也更像生物病毒入侵細(xì)胞的過程。1990：完全體形態(tài)——感染可執(zhí)行文件222022/11/25在此之前，計(jì)算機(jī)病毒均為引導(dǎo)型病毒，它們是通過磁盤到磁盤的形項(xiàng)目引導(dǎo)型文件型感染位置引導(dǎo)扇區(qū)任意可執(zhí)行文件共存性差好大小限制引導(dǎo)扇區(qū)大小存儲大小交叉感染難度高低實(shí)現(xiàn)功能少多查殺難度較小大傳染能力弱（僅能感染引導(dǎo)盤）強(qiáng)病毒危害大極大制作難度極高較低232022/11/25項(xiàng)目引導(dǎo)型文件型感染海灣戰(zhàn)爭期間，美國通過芯片植入式病毒入侵了伊拉克防控網(wǎng)絡(luò)，造成了伊防控系統(tǒng)全線癱瘓超過12小時(shí)——雖然該嵌入式后門是否能成為計(jì)算機(jī)病毒尚有爭議，但很多人仍然認(rèn)為，這是計(jì)算機(jī)病毒的第一次戰(zhàn)場處女秀。1990：新式武器——計(jì)算機(jī)病毒首次用于戰(zhàn)爭242022/11/25海灣戰(zhàn)爭期間，美國通過芯片植入式病毒入侵了伊拉克防控網(wǎng)絡(luò)，造

1990年，美國獲悉一個(gè)重要情報(bào)：伊拉克將從法國購買一種用于防空系統(tǒng)的新型電腦打印機(jī)，準(zhǔn)備通過約旦首都安曼偷運(yùn)回巴格達(dá)。于是，美國間諜買通了安曼機(jī)場的守衛(wèi)人員，運(yùn)送打印機(jī)的飛機(jī)一降落到安曼，他就偷偷溜進(jìn)機(jī)艙，用一套帶有計(jì)算機(jī)病毒的同類芯片換下了電腦打印機(jī)中的芯片。伊拉克人毫無察覺，將帶有病毒芯片的電腦打印機(jī)安裝到了防空系統(tǒng)上。

海灣戰(zhàn)爭爆發(fā)后，美國人通過無線網(wǎng)絡(luò)激活了電腦打印機(jī)芯片內(nèi)的計(jì)算機(jī)病毒，病毒侵入伊拉克防空系統(tǒng)的電腦網(wǎng)絡(luò)中，使整個(gè)系統(tǒng)陷入癱瘓。美國由此取得了海灣戰(zhàn)爭中的關(guān)鍵性勝利。

這是世界上首次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)并取得較好效果的戰(zhàn)例，從而也使網(wǎng)絡(luò)空間戰(zhàn)初現(xiàn)端倪。252022/11/251990年，美國獲悉一個(gè)重要情報(bào)：伊拉克將從法國購買一種隨著病毒的泛濫，殺毒軟件行業(yè)興起，早期的安全專家們使用“搜索匹配”的方法識別病毒，他們分析各類病毒源代碼，并生成“識別碼”以此來判斷某一文件是否為病毒。但1995年之后隨著“幽靈”、“VCL”等病毒的誕生，識別病毒已經(jīng)越來越難了。1995：變種時(shí)代到來——可自變異的病毒問世262022/11/25隨著病毒的泛濫，殺毒軟件行業(yè)興起，早期的安全專家們使用“搜索在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成，當(dāng)生成器的生成結(jié)果為病毒時(shí),就產(chǎn)生了這種復(fù)雜的“病毒生成器”，而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。直到現(xiàn)在指令“加花”依然是病毒免殺的最常見手段272022/11/25在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器1998年KV300+識別庫大小630K今天360識別庫大小607M282022/11/251998年KV300+識別庫大小今天360識別庫大小281999年4月26日，CIH病毒1.2版首次大規(guī)模爆發(fā)，全球超過六千萬臺電腦受到了不同程度的破壞。這是第一個(gè)破壞硬件系統(tǒng)的惡性病毒。由原集嘉通訊公司（技嘉子公司）手機(jī)研發(fā)中心主任工程師陳盈豪在其于臺灣大同工學(xué)院念書期間制作。1998：從虛幻到現(xiàn)實(shí)——CIH病毒大爆發(fā)292022/11/251999年4月26日，CIH病毒1.2版首次大規(guī)模爆發(fā)，全球2000年之后，種類繁多，數(shù)量繁多的病毒被開發(fā)出來。病毒的編寫不再是炫技和個(gè)人愛好，逐漸出現(xiàn)了產(chǎn)業(yè)化的傾向，以營利為目的的地下病毒工廠逐漸繁榮起來千禧年：蓬勃發(fā)展的新世紀(jì)302022/11/252000年之后，種類繁多，數(shù)量繁多的病毒被開發(fā)出來。病毒的編2000Kakworm，愛蟲，Apology-B，Marker，Pretty，Stages-A，Navidad，Ska-Happy99，WM97/Thus，XM97/Jin紅色結(jié)束符、愛情后門、FUNLOVE、QQ傳送者、沖擊波殺手、羅拉、求職信、尼姆達(dá)II、QQ木馬、CIH50179個(gè)，其中木馬、蠕蟲、黑客病毒占其中的91%，以盜取用戶有價(jià)賬號的木馬病毒（如網(wǎng)銀、QQ、網(wǎng)游）為主，病毒多達(dá)2000多種20032005中國大陸地區(qū)主要流行計(jì)算機(jī)病毒312022/11/252000Kakworm，愛蟲，Apology-B，Mar伊朗鈾濃縮的根基是上世紀(jì)60年代末，由歐洲設(shè)計(jì)IR-1離心機(jī)，這種老舊的設(shè)計(jì)，精度低、穩(wěn)定性差、壽命短，所以伊朗采用了離心機(jī)的冗余策略，陣列中每個(gè)離心機(jī)組都有在線備份，即一個(gè)壞掉，可以馬上切換到另外一個(gè)使其工作，并使用基于西門子的S7-417級聯(lián)保護(hù)器進(jìn)行控制。

2010年震網(wǎng)病毒入侵了這些保護(hù)器，并采用了來自好萊塢的策略——記錄21秒傳感器數(shù)據(jù)，然后循環(huán)播放——這樣在監(jiān)控中心就不會發(fā)現(xiàn)離心機(jī)狀態(tài)變化，當(dāng)離心機(jī)異常時(shí)也不會予以調(diào)整。最終導(dǎo)致整個(gè)離心機(jī)陣列壽命大幅度縮短。直至該病毒被發(fā)現(xiàn)，伊朗核工業(yè)被拖慢了最少兩年。322022/11/25伊朗鈾濃縮的根基是上世紀(jì)60年代末，由歐洲設(shè)計(jì)IR-1離BADUSB

在2014年美國黑帽大會上，柏林SRLabs的安全研究人員和獨(dú)立安全研究人員KarstenNohl展示了他們稱為“BadUSB的攻擊方法，這種攻擊方法讓USB安全和幾乎所有和USB相關(guān)的設(shè)備(包括具有USB端口的電腦)都陷入相當(dāng)危險(xiǎn)的狀態(tài)。從傳統(tǒng)意義講，當(dāng)你在電腦中插入一張CD/DVD光盤，或者插入一個(gè)USB設(shè)備時(shí)，可以通過自動播放來運(yùn)行一個(gè)包含惡意的文件，不過自動播放功能被關(guān)閉時(shí)，autorun.inf文件就無法自動執(zhí)行你的文件了。然而通過TEENSY，你可以模擬出一個(gè)鍵盤和鼠標(biāo)，當(dāng)你插入這個(gè)定制的USB設(shè)備時(shí)，電腦會識別為一個(gè)鍵盤，利用設(shè)備中的微處理器，與存儲空間，和編程進(jìn)去的攻擊代碼，就可以向主機(jī)發(fā)送控制命令，從而完全控制主機(jī)，無論自動播放是否開啟，都可以成功。332022/11/25BADUSB在2014年美國黑帽大會上，柏林SRLabs2017年5月，一種名為“想哭”的勒索病毒席卷全球，在短短一周時(shí)間里，上百個(gè)國家和地區(qū)受到影響。據(jù)美國有線新聞網(wǎng)報(bào)道，截至2017年5月15日，大約有150個(gè)國家受到影響，至少30萬臺電腦被病毒感染。

后續(xù)又陸續(xù)有該病毒的后續(xù)版本被發(fā)現(xiàn)，如安卓版、免疫失效升級版，NAS工具箱其他病毒也陸續(xù)被公布出來。342022/11/252017年5月，一種名為“想哭”的勒索病毒席卷總量：2.7億手機(jī)病毒：2670種平均感染率：730%帶毒率：82%累計(jì)損失：2100億男女比例-8:12017年6月瑞星統(tǒng)計(jì)數(shù)據(jù)352022/11/25總量：2.7億手機(jī)病毒：2670種平均感染率：730%帶毒率02基本概念basicconcepts362022/11/2502基本概念basicconcepts362022/11“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”?！吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》372022/11/25“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，感染單元破壞單元保護(hù)單元一個(gè)典型的計(jì)算機(jī)病毒主要由三部分構(gòu)成感染單元：通用構(gòu)造器+通用描述器保護(hù)單元：提供隱藏自身、軟件狗、反殺、反AV等功能破壞單元：觸發(fā)器和主要破壞活動執(zhí)行單元，提供盜取密碼、破壞文件、遠(yuǎn)程控制、加密分區(qū)等功能。382022/11/25感染單元破壞單元保護(hù)單元一個(gè)典型的計(jì)算機(jī)病毒主要由三部分構(gòu)成1大幅度降低系統(tǒng)執(zhí)行效率，甚至導(dǎo)致系統(tǒng)癱瘓2改變文檔及數(shù)據(jù)內(nèi)容。3刪除、轉(zhuǎn)移、永久性破壞系統(tǒng)及數(shù)據(jù)內(nèi)容4改變硬件輸入、輸出系統(tǒng)動作5關(guān)鍵系統(tǒng)、敏感文檔等重要信息泄露6降低系統(tǒng)安全系數(shù)，導(dǎo)致更容易被入侵計(jì)算機(jī)病毒主要危害392022/11/251大幅度降低系統(tǒng)執(zhí)行效率，甚至導(dǎo)致系統(tǒng)癱瘓2改變文檔及數(shù)據(jù)內(nèi)1繁殖性傳染性潛伏性隱蔽性破壞性觸發(fā)性23456計(jì)算機(jī)病毒主要特點(diǎn)402022/11/251繁殖性傳染性潛伏性隱蔽性破壞性觸發(fā)性23456計(jì)算機(jī)病毒主1計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行的時(shí)候，它也進(jìn)行運(yùn)行自身復(fù)制，是否具有繁殖、感染的特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的首要條件。繁殖性412022/11/251計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行的2一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。計(jì)算機(jī)病毒可通過各種可能的渠道，如：軟盤、硬盤、移動硬盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)，是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。傳染性422022/11/252一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。計(jì)算3計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時(shí)隱時(shí)現(xiàn)、變化無常，這類病毒處理起來通常很困難。流行病學(xué)有一個(gè)專門的指標(biāo)來衡量一種流行病的危害范圍，那就在在首例患者發(fā)病前該流行病的潛伏期，真正可怕的病毒往往不是“含笑半步癲”型的突然死亡，而是“潤物細(xì)無聲”型的廣泛流傳。潛伏性432022/11/253計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出4早期計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞，通常表現(xiàn)為：增、刪、改、移?，F(xiàn)代新型病毒有一類以“磁碟機(jī)”為代表的下載機(jī)型病毒，它本身不會破壞目標(biāo)系統(tǒng)而是去下載其他病毒文件或降低目標(biāo)系統(tǒng)安全防護(hù)等級。潛伏性442022/11/254早期計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算5計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。如數(shù)據(jù)損毀、丟失、引導(dǎo)扇損壞、BIOS損壞、硬件環(huán)境破壞等。破壞性也是現(xiàn)代計(jì)算機(jī)病毒和傳統(tǒng)“炫技游戲”的分界點(diǎn)。破壞性452022/11/255計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)6編制計(jì)算機(jī)病毒的人，一般都為病毒程序設(shè)定了一些觸發(fā)條件，例如，系統(tǒng)時(shí)鐘的某個(gè)時(shí)間或日期、系統(tǒng)運(yùn)行了某些程序等。一旦條件滿足，計(jì)算機(jī)病毒就會“發(fā)作”，使系統(tǒng)遭到破壞。有的病毒為了防止“誤傷友軍”也會設(shè)置逆觸發(fā)開關(guān)，當(dāng)計(jì)算機(jī)滿足某個(gè)條件時(shí)自行終止感染。觸發(fā)性462022/11/256編制計(jì)算機(jī)病毒的人，一般都為病毒程序設(shè)定了一些觸發(fā)條件常用術(shù)語472022/11/25常用術(shù)語472022/11/231是指能夠影響計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的完整性，可用性、可控性和保密性的計(jì)算機(jī)程序或代碼。主要包括計(jì)算機(jī)病毒、蠕蟲、木馬程序等。如：<%executerequest("value")%>

黑客在注冊信息的電子郵箱或者個(gè)人主頁等中插入類似代碼，其中value是值，前面的request就是獲取這個(gè)值，當(dāng)知道了數(shù)據(jù)庫的URL，就可以利用本地一張網(wǎng)頁進(jìn)行連接得到Webshell。（不知道數(shù)據(jù)庫也可以，只要知道<%evalrequest("value")%>這個(gè)文件被插入到哪一個(gè)ASP文件里面就可以了。）惡意代碼482022/11/251是指能夠影響計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的完整性，可2特洛伊木馬（簡稱木馬），是指通過特定的程序（木馬程序）來控制另一臺計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是控制端，另一個(gè)是被控制端。木馬這個(gè)名字來源于古希臘傳說（荷馬史詩中木馬計(jì)的故事，Trojan一詞的特洛伊木馬本意是特洛伊的，即代指特洛伊木馬，也就是木馬計(jì)的故事）?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機(jī)的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。木馬病毒的產(chǎn)生嚴(yán)重危害著現(xiàn)代網(wǎng)絡(luò)的安全運(yùn)行。木馬492022/11/252特洛伊木馬（簡稱木馬），是指通過特定的程序（木馬程序）1是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發(fā)送信息等，具備了木馬最基本的功能。2在技術(shù)上有了很大的進(jìn)步，冰河是中國木馬的典型代表之一3主要改進(jìn)在數(shù)據(jù)傳遞技術(shù)方面，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺識別的難度4在進(jìn)程隱藏方面有了很大改動，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程?；蛘邟旖覲SAPI，實(shí)現(xiàn)木馬程序的隱藏，甚至在WindowsNT/2000下，都達(dá)到了良好的隱藏效果?；银澴雍兔鄯浯蟊I是比較出名的DLL木馬。5驅(qū)動級木馬多數(shù)都使用了大量的Rootkit技術(shù)來達(dá)到在深度隱藏的效果，并深入到內(nèi)核空間的，感染后針對殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去效應(yīng)。有的驅(qū)動級木馬可駐留BIOS，并且很難查殺。6隨著身份認(rèn)證UsbKey和殺毒軟件主動防御的興起，黏蟲技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動態(tài)口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表502022/11/251是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發(fā)送3指可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼通過網(wǎng)絡(luò)復(fù)制、傳播給其它的網(wǎng)絡(luò)節(jié)點(diǎn)的程序。它不同于計(jì)算機(jī)病毒，不需要文件宿主。蠕蟲由于通過網(wǎng)絡(luò)大量復(fù)制傳播，可造成網(wǎng)絡(luò)阻塞，甚至癱瘓。最具有代表性的應(yīng)該是熊貓燒香。蠕蟲512022/11/253指可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼通過網(wǎng)絡(luò)4腳本病毒是主要采用腳本語言設(shè)計(jì)的計(jì)算機(jī)病毒?，F(xiàn)在流行的腳本病毒大都是利用JavaScript和VBScript腳本語言編寫。實(shí)際上在早期的系統(tǒng)中，病毒就己經(jīng)開始利用腳本進(jìn)行傳播和破壞但并不常見。在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大、最為廣泛的病毒，特別是當(dāng)它們和一些傳統(tǒng)的進(jìn)行惡性破壞的病毒相結(jié)合時(shí)其危害就更為嚴(yán)重了。由于腳本語言的易用性，并且腳本在現(xiàn)在的應(yīng)用系統(tǒng)中特別是Internet應(yīng)用中占據(jù)了重要地位，腳本病毒也成為互聯(lián)網(wǎng)病毒中最為流行的病毒之一。腳本病毒522022/11/254腳本病毒是主要采用腳本語言設(shè)計(jì)的計(jì)算機(jī)病毒?，F(xiàn)在流行的5高級持續(xù)性威脅（AdvancedPersistentThreat，APT），是指組織（特別是政府）或者小團(tuán)體，使用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，威脅著企業(yè)的數(shù)據(jù)安全。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性、專業(yè)性和目的性。APT532022/11/255高級持續(xù)性威脅（AdvancedPersistent6僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字，是為了更形象地讓人們認(rèn)識到這類危害的特點(diǎn)：眾多的計(jì)算機(jī)在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。僵尸網(wǎng)絡(luò)542022/11/256僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段，將03分類簡介Classifiedintroduction552022/11/2503分類簡介Classifiedintroduction計(jì)算機(jī)病毒分類方法很多，下面按照幾種主流分類方法進(jìn)行分類介紹。562022/11/25計(jì)算機(jī)病毒分類方法很多，下面按照幾種主流分類方法進(jìn)行分類介紹1破壞性1無害除了傳染時(shí)減少磁盤的可用空間外，對系統(tǒng)沒有其它影響一般為代碼編寫失敗，或邏輯錯(cuò)誤的產(chǎn)物。2無危險(xiǎn)僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類影響小球、石頭、雨點(diǎn)、C-BRAIN，等早期以惡作劇為目的的病毒3危險(xiǎn)在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤，但可以清除又稱良性病毒，期編寫方式為將自身嵌入目標(biāo)位置而不覆蓋目標(biāo)內(nèi)容。4極危險(xiǎn)刪除程序、破壞數(shù)據(jù)、盜取信息AVKILLER、密碼大盜、灰鴿子、廣外女生、WannCRY、大白熊等。5災(zāi)難對物理設(shè)備造成巨大影響、引發(fā)災(zāi)難性事件CIH、震網(wǎng)等。572022/11/251破壞性1無害除了傳染時(shí)減少磁盤的可用空間外，對系統(tǒng)沒有其它2宿主1引導(dǎo)型感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR）2文件型感染計(jì)算機(jī)中的文件（如：COM，EXE，DOC等）3蠕蟲型通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件。4混合型具有不止一個(gè)依存媒介的病毒582022/11/252宿主1引導(dǎo)型感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（引導(dǎo)型引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。此種病毒利用系統(tǒng)引導(dǎo)時(shí)，不對主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點(diǎn)，在引導(dǎo)型系統(tǒng)的過程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運(yùn)行，待機(jī)傳染和破壞。按照引導(dǎo)型病毒在硬盤上的寄生位置又可細(xì)分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。優(yōu)點(diǎn)：隱蔽性強(qiáng)，兼容性強(qiáng)，破壞性強(qiáng)一個(gè)好的病毒程序是不容易被發(fā)現(xiàn)的。缺點(diǎn)：編寫難度大傳染速度慢，一定要帶毒軟盤啟動才能傳到硬盤，殺毒容易，只需改寫引導(dǎo)區(qū)即可，底板能對引導(dǎo)區(qū)寫保護(hù)，所以現(xiàn)在純引導(dǎo)型病毒已很少了。主引導(dǎo)區(qū)：如大麻病毒、2708病毒、火炬病毒等；分區(qū)引導(dǎo)：如小球病毒、Girl病毒等。592022/11/25引導(dǎo)型引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒文件型所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒都稱作文件病毒，理論上可以制造這樣一個(gè)病毒，該病毒可以感染基本上所有操作系統(tǒng)的可執(zhí)行文件。傳統(tǒng)EXE病毒當(dāng)被感染程序執(zhí)行之后，病毒會立刻或者在隨后的某個(gè)時(shí)間獲得控制權(quán)，獲得控制權(quán)后，病毒通常會進(jìn)行下面的操作(某個(gè)具體的病毒不一定進(jìn)行了所有這些操作，操作的順序也很可能不一樣):·內(nèi)存駐留的病毒首先檢查系統(tǒng)可用內(nèi)存，查看內(nèi)存中是否已經(jīng)有病毒代碼存在，如果沒有將病毒代碼裝入內(nèi)存中。非內(nèi)存駐留病毒會在這個(gè)時(shí)候進(jìn)行感染，查找當(dāng)前目錄、根目錄或者環(huán)境變量PATH中包含的目錄，發(fā)現(xiàn)可以被感染的可執(zhí)行文件就進(jìn)行感染。目前已知可感染文件型：EXE、DOC、SYS、DLL、VxD、CHI、htm、Office文檔、VBS、RMVB、GIF、OCX等602022/11/25文件型所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒都稱作文件典型PE文件結(jié)構(gòu)，PE頭部主要結(jié)構(gòu)描述612022/11/25典型PE文件結(jié)構(gòu)，PE頭部主要結(jié)構(gòu)描述612022/11/2622022/11/25622022/11/23蠕蟲型在某種意義上來講，蠕蟲型病毒是編寫門檻比較低的病毒，它本身是一個(gè)單獨(dú)的可執(zhí)行文件，其傳播過程不需要去“感染”目標(biāo)文件，而僅僅是“拷貝”并執(zhí)行副本，他通過網(wǎng)絡(luò)主動或被動傳播，本身不去感染可執(zhí)行文件，為早期U盤、光盤自啟動類病毒的升級產(chǎn)品。

具有傳播速度快、危害大小不一、水平參差不齊的特點(diǎn)。

目前大多數(shù)盜號木馬、蠕蟲均屬此類病毒，編寫水平較高的：如沖擊波、紅色代碼、灰鴿子、廣外女生、想哭等。編寫水平較低的難以計(jì)數(shù)，個(gè)別病毒甚至無法成功運(yùn)行。632022/11/25蠕蟲型在某種意義上來講，蠕蟲型病毒是編寫門檻比較低的病毒3連接方式1源碼型攻擊高級語言編寫的源程序，在源程序編譯之前插入其中2016年蘋果AppStore發(fā)現(xiàn)若干應(yīng)用被嵌入病毒而下架，原因是開發(fā)者使用了“黑蘋果”系統(tǒng)進(jìn)行開發(fā)。宏病毒也可歸為此類。2入侵型自身代替正常程序中的部分模塊或堆棧區(qū)，攻擊特定程序AVKiller等，難以發(fā)現(xiàn)，清除困難3系統(tǒng)型自身部分加入或替代操作系統(tǒng)的部分功能替換驅(qū)動、核心DLL、核心應(yīng)用的，常見于WinXP及以前版本W(wǎng)idows系統(tǒng)。4外殼型將自身可執(zhí)行二進(jìn)制代碼附在正常程序的開頭或結(jié)尾大部分感染型病毒都是這一類。642022/11/253連接方式1源碼型攻擊高級語言編寫的源程序，在源程序編譯之前4算法1伴隨型根據(jù)算法產(chǎn)生可執(zhí)行文件的伴隨體，把原體隱藏U盤感染類病毒居多，常見模式為將U盤上的Word、exe等文件移動到一個(gè)隱藏文件夾中，在原位置留下一個(gè)伴隨體可執(zhí)行文件誘導(dǎo)用戶點(diǎn)擊。2蠕蟲型通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算機(jī)將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源3寄生型依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，現(xiàn)在已經(jīng)較少了。4母巢型本身具備蠕蟲特征，但他會自動下載并執(zhí)行其他病毒如：磁碟機(jī)、機(jī)器狗、XX游戲引導(dǎo)程序等。652022/11/254算法1伴隨型根據(jù)算法產(chǎn)生可執(zhí)行文件的伴隨體，把原體隱藏U盤5傳播途徑1數(shù)據(jù)機(jī)直連（很少）2系統(tǒng)啟動3移動存儲介質(zhì)4互聯(lián)網(wǎng)、郵件、即時(shí)通訊等5局域網(wǎng)6其他形式的設(shè)備直連662022/11/255傳播途徑1數(shù)據(jù)機(jī)直連（很少）2系統(tǒng)啟動3移動存儲介質(zhì)4互聯(lián)WMWord6.0、Word95宏病毒W(wǎng)3232位病毒，感染所有32位Windows系統(tǒng)WM97Word97宏病毒W(wǎng)INT32位Windows病毒，只感染W(wǎng)indowsNTXMExcel5.0、Excel95宏病毒Trojan/Troj特洛伊木馬X97MExcel5.0和Excel97版本下發(fā)作VBSVBScript程序語言編寫的病毒XFExcel程序病毒VSMVisioVBA宏或script的宏或script病毒AMAccess95宏病毒JSJScript編程語言編寫的病毒AM97MAccess97宏病毒PE32位尋址的Windows病毒W(wǎng)95Windows95、98病毒OSXOSX的病毒W(wǎng)inWindows3.x病毒OSXLOSXLion或者更新版本的病毒常見病毒命名前綴672022/11/25WMWord6.0、Word95宏病毒W(wǎng)3232位病毒，感染04防治技術(shù)anti-virustechnology682022/11/2504防治技術(shù)anti-virustechnology68計(jì)算機(jī)感染病毒后的表現(xiàn)Theperformanceofthecomputerafterinfection692022/11/25計(jì)算機(jī)感染病毒后的表現(xiàn)Theperformanceof潛伏感染觸發(fā)發(fā)作常見病毒四個(gè)階段702022/11/25潛伏感染觸發(fā)發(fā)作常見病毒四個(gè)階段702022/11/231內(nèi)存使用率增加硬盤空間減少計(jì)算機(jī)運(yùn)行、啟動速度降低AV、FW等軟件失效個(gè)別粗制濫造的病毒會引發(fā)其他操作系統(tǒng)問題，如：控件加載失敗，藍(lán)屏，動態(tài)鏈接庫加載失效，復(fù)制粘貼失效等潛伏期712022/11/251內(nèi)存使用率增加潛伏期712022/11/232流量異常頻繁存儲讀寫IO速度降低敏感部位出現(xiàn)大量隱藏文件感染期722022/11/252流量異常感染期722022/11/233觸發(fā)-爆發(fā)誰中招誰知道732022/11/253觸發(fā)-爆發(fā)誰中招732022/11/23病毒防治技術(shù)Computerviruscontroltechnology742022/11/25病毒防治技術(shù)Computerviruscontrolt1特征碼就是從病毒體內(nèi)不同位置提取的一系列字節(jié)，殺毒軟件就是通過這些字節(jié)及位置信息來檢驗(yàn)?zāi)硞€(gè)文件是否病毒。每個(gè)殺毒軟件公司都有自己的特征碼提取方法和提取工具，這也是特別需要技術(shù)的地方，弄不好就造成誤判，將好文件當(dāng)成病毒給殺了。

目前殺毒軟件的核心競爭力一般有兩個(gè)，一是特征碼提取技術(shù)。二是特征碼（正則表達(dá)式）匹配技術(shù)。rene:\重點(diǎn)稅源\*.null*.mp4特征碼752022/11/251特征碼就是從病毒體內(nèi)不同位置提取的一系列字節(jié)2病毒和正常程序的區(qū)別可以體現(xiàn)在許多方面，比較常見的如：通常一個(gè)應(yīng)用程序在最初的指令，是檢查命令行輸入有無參數(shù)項(xiàng)、清屏和保存原來屏幕顯示等，而病毒程序則沒有會這樣做的，通常它最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列。這些顯著的不同之處，一個(gè)熟練的程序員在調(diào)試狀態(tài)下只需一瞥便可一目了然。啟發(fā)式代碼掃描技術(shù)實(shí)際上就是把這種經(jīng)驗(yàn)和知識移植到一個(gè)查病毒軟件中的具體程序體現(xiàn)啟發(fā)式762022/11/252病毒和正常程序的區(qū)別可以體現(xiàn)在許多方面，比較3于為一些來源不可信、具備破壞力或無法判定程序意圖的程序提供試驗(yàn)環(huán)境。然而，沙盒中的所有改動對操作系統(tǒng)不會造成任何損失。通常這種技術(shù)被計(jì)算機(jī)技術(shù)人員廣泛使用，尤其是計(jì)算機(jī)反病毒行業(yè)，沙盒是一個(gè)觀察計(jì)算機(jī)病毒的重要環(huán)境。影子系統(tǒng)即是利用了這種技術(shù)的軟件之一。沙盒運(yùn)行772022/11/253于為一些來源不可信、具備破壞力或無法判定程序意圖的程序提供4對于采用虛擬技術(shù)的用戶來說，傳統(tǒng)殺毒軟件的定時(shí)殺毒會帶來很大的IO、cpu、內(nèi)存使用峰值，造成系統(tǒng)效用問題。虛擬化殺毒技術(shù)一般采取“有代理”和“無代理”兩種模式，其中無代理模式需調(diào)用虛擬化底層系統(tǒng)API開發(fā)難度較大，效果較好。有代理模式原理和傳統(tǒng)殺毒軟件相似，只是統(tǒng)一協(xié)調(diào)協(xié)調(diào)查殺過程。虛擬化殺毒782022/11/254對于采用虛擬技術(shù)的用戶來說，傳統(tǒng)殺毒軟件的定時(shí)5云殺毒其實(shí)是基于特征碼殺毒，只是殺軟的病毒庫已經(jīng)不全部在本地了，而是在一大堆的服務(wù)器里，掃描的時(shí)候和服務(wù)器交互，這樣來做出判斷是否有病毒。云殺毒能降低升級的頻率，降低查殺的占用，減小本地庫的容量。云殺毒792022/11/255云殺毒其實(shí)是基于特征碼殺毒，只是殺軟的病毒6大數(shù)據(jù)殺毒技術(shù)在兩個(gè)方面有優(yōu)勢緩解我國特征碼提取等方面技術(shù)落后的問題對傳統(tǒng)殺毒領(lǐng)域“先爆發(fā)、后提取”的滯后殺毒模式有較大的提升大數(shù)據(jù)殺毒802022/11/256大數(shù)據(jù)殺毒技術(shù)在兩個(gè)方面有優(yōu)勢大數(shù)據(jù)殺毒802022/117對所有合法的可執(zhí)行文件進(jìn)行MD5散列，并把散列值加入白名單，只要可執(zhí)行文件被改變了，就會被發(fā)現(xiàn)并組織運(yùn)行。白名單812022/11/257對所有合法的可執(zhí)行文件進(jìn)行MD5散列，并把8防止網(wǎng)絡(luò)病毒的一種手段，通過吧病毒特征碼識別放到防火墻等網(wǎng)絡(luò)設(shè)備，做到傳輸即查殺，避免其感染和被執(zhí)行。防毒墻822022/11/258防止網(wǎng)絡(luò)病毒的一種手段，通過吧病毒特征碼識9使用安全成熟的編碼方式，開發(fā)方法，謹(jǐn)慎使用第三方控件并時(shí)刻關(guān)注控件供應(yīng)商的安全公告。

選擇開啟可靠地?cái)?shù)據(jù)庫、中間件、操作系統(tǒng)產(chǎn)品。蘋果設(shè)備開發(fā)時(shí)要使用正版系統(tǒng)。

手機(jī)APP開發(fā)后要進(jìn)行加花、加密等技術(shù)處理防止被二次打包插入病毒。安全編碼832022/11/259使用安全成熟的編碼方式，開發(fā)方法，謹(jǐn)慎使用第個(gè)人計(jì)算機(jī)用戶防治措施Computervirusmeasuresforpersonalcomputerusers842022/11/25個(gè)人計(jì)算機(jī)用戶防治措施Computervirusmeas852022/11/25852022/11/23862022/11/25862022/11/23872022/11/25872022/11/23882022/11/25882022/11/23892022/11/25892022/11/23902022/11/25902022/11/23912022/11/25912022/11/23922022/11/25922022/11/23932022/11/25932022/11/23942022/11/25942022/11/23952022/11/25952022/11/23962022/11/25962022/11/23972022/11/25972022/11/23982022/11/25982022/11/23謝謝Thanks992022/11/25謝謝Thanks992022/11/23計(jì)算機(jī)病毒簡介AbriefintroductionofComputerVirus01002022/11/25計(jì)算機(jī)病毒簡介Abriefintroductionof1發(fā)展歷程2基本概念3分類簡介4防治技術(shù)主要內(nèi)容1012022/11/251發(fā)展歷程2基本概念3分類簡介4防治技術(shù)主要內(nèi)容22022/01發(fā)展歷程developmenthistory1022022/11/2501發(fā)展歷程developmenthistory32022上世紀(jì)40年代，克勞斯·拉克納爾是哥倫比亞大學(xué)地球工程中心的教授,他還在洛斯阿拉莫斯國家實(shí)驗(yàn)室工作時(shí)，和朋友正在喝啤酒聊天——如何解決全球變暖問題？起源：一個(gè)關(guān)于串啤、環(huán)保和學(xué)霸的故事1032022/11/25上世紀(jì)40年代，克勞斯·拉克納爾是哥倫比亞大學(xué)地球工程中心

他們打算把空氣中的二氧化碳轉(zhuǎn)變成碳酸鈣——石灰石、漢白玉、白堊，都是這種東西。從空氣中提取二氧化碳然后變成固體的工作量和所需要的資源都是驚人的，不能指望有人投資或者國家撥款。一個(gè)全自動的轉(zhuǎn)化過程。假設(shè)一臺機(jī)器。它能夠復(fù)制自身。它可以把太陽能轉(zhuǎn)化為所需的電能。它可以很容易地獲得制造它的原料。這像是一個(gè)細(xì)胞一樣不停地分裂，而無窮無盡的太陽能將會讓它們不停地繁殖下去，直到被制止為止。太陽能不是問題，而一臺機(jī)器所需要的原料無非是鐵、銅、鋁、硅、碳這樣的常見元素罷了，這些東西遍地都是，只要提取出來就行。只有一個(gè)問題：怎樣讓機(jī)器自我復(fù)制？這是大數(shù)學(xué)家迪爾卡都沒有解決的問題！1042022/11/25他們打算把空氣中的二氧化碳轉(zhuǎn)變成碳酸鈣——約翰·馮·諾依曼(1903~1957）原籍匈牙利，布達(dá)佩斯大學(xué)數(shù)學(xué)博士。20世紀(jì)最重要的數(shù)學(xué)家之一，在現(xiàn)代計(jì)算機(jī)、博弈論、核武器和生化武器等領(lǐng)域內(nèi)的科學(xué)全才之一，被后人稱為“計(jì)算機(jī)之父”和“博弈論之父”。第二次世界大戰(zhàn)期間為第一顆原子彈的研制作出了貢獻(xiàn)。為研制電子數(shù)字計(jì)算機(jī)提供了基礎(chǔ)性的方案。晚年，研究自動機(jī)理論，著有對人腦和計(jì)算機(jī)系統(tǒng)進(jìn)行精確分析的著作《計(jì)算機(jī)與人腦》。主要著作有《量子力學(xué)的數(shù)學(xué)基礎(chǔ)》（1926）、《計(jì)算機(jī)與人腦》（1958）、《經(jīng)典力學(xué)的算子方法》、《博弈論與經(jīng)濟(jì)行為》（1944）、《連續(xù)幾何》（1960）等。1052022/11/25約翰·馮·諾依曼(1903~1957）62022/11/23馮·諾依曼認(rèn)為，任何能夠自我繁殖的系統(tǒng)，都應(yīng)該同時(shí)具有兩個(gè)基本功能。

1通用構(gòu)造器它必須能夠構(gòu)建某一個(gè)組成元素和結(jié)構(gòu)與自己一致的下一代。2描述器它需要能夠把對自身的描述傳遞給下一代。這樣，只要有合適的原料，通用構(gòu)造器就可以根據(jù)描述器的指示，生產(chǎn)出下一臺機(jī)器，并且把描述的信息也傳遞給這臺新機(jī)器。隨后，新機(jī)器啟動，再進(jìn)入下一個(gè)循環(huán)，這種自增殖系統(tǒng)，稱之為“馮·諾依曼機(jī)器人”1062022/11/25馮·諾依曼認(rèn)為，任何能夠自我繁殖的系統(tǒng)，都應(yīng)該同時(shí)具有兩個(gè)基奧克松斯計(jì)劃

克勞斯·拉克納爾和克里斯托弗·文特打算按照馮·諾依曼的思路開展他們的工作，他們給這個(gè)項(xiàng)目起名叫奧克松斯（Auxons），這是從希臘語的“auxein”借過來的，意思是“成長”。他們給最初的原型機(jī)安裝了高溫熔爐用來獲取需要的金屬原料，并且打算把它扔到沙漠里面去。在那里，奧克松斯可以獲得大量的原料和能量，并且不會有人來打擾。雖然失敗了，也沒有原理圖遺留下來，但是在我的想法中，奧克松斯看起來應(yīng)該跟Wall·E差不多……1072022/11/25奧克松斯計(jì)劃82022/11/23

奧克松斯計(jì)劃雖然失敗了，但是馮先生成功了，他1949年以"TheoryandOrganizationofComplicatedAutomata"為題的一場在伊利諾伊大學(xué)的演講，后改以"Theoryofself-reproducingautomata"為題出版。馮·諾伊曼在他的論文中描述一個(gè)計(jì)算機(jī)程序如何復(fù)制其自身。1082022/11/25奧克松斯計(jì)劃雖然失敗了，但是馮先生成功了，他1上世紀(jì)60年代初，貝爾實(shí)驗(yàn)室的一群小伙子們，在無聊的工作之余開始他們的炫技游戲，一不小心開創(chuàng)了兩個(gè)先河。雛形：計(jì)算機(jī)游戲和病毒雙料的祖師爺1092022/11/25上世紀(jì)60年代初，貝爾實(shí)驗(yàn)室的一群小伙子們，在無聊的工作之余

60年代，貝爾實(shí)驗(yàn)室三個(gè)才二十多歲、華橫溢的年輕人——道格拉斯·麥克利、維克特·維索斯基以及羅伯特·莫里斯，按照馮氏理論開始了他們的游戲歷程。游戲雙方各寫一套程序，輸入同一部電腦中，這兩套程序在電腦的內(nèi)存中互相追殺對方，有時(shí)它們會設(shè)下一些關(guān)卡，有時(shí)會停下來自行修理（重新寫）被對方破壞的幾行指令；當(dāng)它被困時(shí)，也可以把自己復(fù)制一次，逃離險(xiǎn)境。因?yàn)楫?dāng)時(shí)使用磁芯作為存儲設(shè)備，所以該游戲又稱為“磁芯大戰(zhàn)”。1102022/11/2560年代，貝爾實(shí)驗(yàn)室三個(gè)才二十多歲、華橫溢直到上世紀(jì)70-80年代，計(jì)算機(jī)病毒這個(gè)名字，才被開發(fā)出來并廣為人知，在這里一大群文科生功不可沒。以毒之名：咱們文科生有力量1112022/11/25直到上世紀(jì)70-80年代，計(jì)算機(jī)病毒這個(gè)名字，才被開發(fā)出來并

1970年代，雷恩在《P1的青春》一書中構(gòu)思了一種可以自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并第一次稱之為“計(jì)算機(jī)病毒”。大衛(wèi)·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一個(gè)叫“病毒”的程序和與之對戰(zhàn)的叫“抗體”的程序；

約翰·布魯勒爾（JohnBrunner）的小說《震蕩波騎士（ShakewaveRider）》，描述了一個(gè)叫做“磁帶蠕蟲”、在網(wǎng)絡(luò)上刪除數(shù)據(jù)的程序。1122022/11/251970年代，雷恩在《P1的青春》一書中構(gòu)思弗雷德·科恩

1983年11月3日，弗雷德·科恩在UNIX系統(tǒng)下，編寫了一個(gè)會自動復(fù)制并在計(jì)算機(jī)間進(jìn)行傳染從而引起系統(tǒng)死機(jī)的小程序。該程序?qū)﹄娔X并無害處，潛伏于更大的合法程序當(dāng)中，通過軟盤(當(dāng)前出售的電腦多不再用)傳到電腦上。一些電腦專家也曾警告，電腦病毒是有可能存在的，但科恩是第一個(gè)真正通過實(shí)踐記錄電腦病毒的人。1984年，將這些程序以論文發(fā)表，在其博士論文給出了電腦病毒的第一個(gè)學(xué)術(shù)定義，這也是今天公認(rèn)的標(biāo)準(zhǔn)，從而引起了轟動。1132022/11/25弗雷德·科恩142022/11/23計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它通過修改其它程序把自身或其演化體插入它們中，從而感染它們。同時(shí)可以通過數(shù)學(xué)方法嚴(yán)格證明，這樣的病毒能夠在任何允許信息共享的系統(tǒng)中傳播，不論是否有安全技術(shù)。算機(jī)病毒不是利用操作系統(tǒng)的錯(cuò)誤或缺陷的程序。它是正常的用戶程序，它僅使用那些每天都使用的正常操作?！ダ椎隆た贫?142022/11/25計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它通過修改其它程序把

1984年，《科學(xué)美國人》（又稱環(huán)球科學(xué)）月刊的專欄作家杜特尼在5月刊號寫了第一篇討論“磁芯大戰(zhàn)”的文章，并且只要寄上兩塊美金，任何讀者都可以收到有關(guān)寫程序的綱領(lǐng)，在自己家的電腦中開辟戰(zhàn)場。在1985年3月份的《科學(xué)美國人》里，杜特尼再次討論“磁芯大戰(zhàn)”和病毒。在文章的開頭他便說：“當(dāng)去年5月有關(guān)‘磁芯大戰(zhàn)’的文章印出來時(shí)，我并沒有想過我所談?wù)摰氖悄敲磭?yán)重的題目……”文中多次提到“病毒”這個(gè)名稱。1152022/11/251984年，《科學(xué)美國人》（又稱環(huán)球科學(xué)）“意大利的電腦程序員利用感染磁碟的方式使其它電腦受到破壞性程序的感染。就這樣，潘多拉之盒被打開了，許多程序員都了解了病毒的原理，進(jìn)而開始嘗試編制這種具有隱蔽性、攻擊性和傳染性的特殊程序。病毒從隱秘走向公開，先是利用磁碟，然后是利用網(wǎng)絡(luò)，迅速在全世界范圍內(nèi)擴(kuò)散開來，成為電腦用戶的頭號敵人。”——杜特尼1162022/11/25“意大利的電腦程序員利用感染磁碟的方式使其它電上世紀(jì)70-80年代，出現(xiàn)了很多病毒或者疑似病毒的計(jì)算機(jī)程序，除了磁芯大戰(zhàn)之類鼻祖型雛形只為，誰是第一個(gè)病毒一直存在著很大的爭議?；疑I(lǐng)獎(jiǎng)臺：到底誰才是第一名1172022/11/25上世紀(jì)70-80年代，出現(xiàn)了很多病毒或者疑似病毒的計(jì)算機(jī)程序Creeper時(shí)間：1971開發(fā)者：羅伯特·托馬斯簡介：通過阿帕網(wǎng)傳播，顯示“我是Creeper，有本事來抓我呀!”。Creeper在網(wǎng)絡(luò)中移動，從一個(gè)系統(tǒng)跳到另外一個(gè)系統(tǒng)并自我復(fù)制。ElkCloner時(shí)間：1982開發(fā)者：里奇.斯克倫塔簡介：通過軟盤傳播,并感染了成千上萬的機(jī)器，但它是無害的：它只是在用戶的屏幕上顯示一首詩，其中有兩句是這樣的：“它將進(jìn)入你所有的磁盤/它會進(jìn)入你的芯片。”C-BRAIN時(shí)間：1986開發(fā)者：基斯坦兄弟巴斯特和阿姆捷特

簡介：他們在當(dāng)?shù)亟?jīng)營一家販賣個(gè)人計(jì)算機(jī)的商店，為了防止他們的軟件被任意盜拷而編寫。只要有人盜拷他們的軟件，C-BRAIN就會發(fā)作，并耗盡磁盤空間。1182022/11/25Creeper時(shí)間：1971ElkCloner時(shí)間：198在財(cái)政部的計(jì)算機(jī)無法正常使用，經(jīng)技術(shù)論證確定為C-BRAIN系列變種病毒造成的，這是中國本土發(fā)現(xiàn)的最早的計(jì)算機(jī)病毒。1988：登陸中國1192022/11/25在財(cái)政部的計(jì)算機(jī)無法正常使用，經(jīng)技術(shù)論證確定為C-BRAIN以“石頭-2”為代表的新型病毒開始大規(guī)模爆發(fā)，不同于以往以軟盤為感染對象的老戰(zhàn)友，新型的病毒編寫技術(shù)更成熟、代碼更復(fù)雜，由于硬盤是“長期駐留”在計(jì)算機(jī)上的大容量高速存儲設(shè)備，從此之后復(fù)制、傳播更加便利對“體積”的要求也放寬了。1989：開辟第二戰(zhàn)場——轉(zhuǎn)戰(zhàn)硬盤1202022/11/25以“石頭-2”為代表的新型病毒開始大規(guī)模爆發(fā)，不同于以往以軟在此之前，計(jì)算機(jī)病毒均為引導(dǎo)型病毒，它們是通過磁盤到磁盤的形式進(jìn)行感染的，隨著“金蟬（1992）”等復(fù)合型病毒的出現(xiàn)，實(shí)現(xiàn)了從文件到文件的感染進(jìn)一步拓寬了計(jì)算機(jī)病毒的感染途徑，從表現(xiàn)上看也更像生物病毒入侵細(xì)胞的過程。1990：完全體形態(tài)——感染可執(zhí)行文件1212022/11/25在此之前，計(jì)算機(jī)病毒均為引導(dǎo)型病毒，它們是通過磁盤到磁盤的形項(xiàng)目引導(dǎo)型文件型感染位置引導(dǎo)扇區(qū)任意可執(zhí)行文件共存性差好大小限制引導(dǎo)扇區(qū)大小存儲大小交叉感染難度高低實(shí)現(xiàn)功能少多查殺難度較小大傳染能力弱（僅能感染引導(dǎo)盤）強(qiáng)病毒危害大極大制作難度極高較低1222022/11/25項(xiàng)目引導(dǎo)型文件型感染海灣戰(zhàn)爭期間，美國通過芯片植入式病毒入侵了伊拉克防控網(wǎng)絡(luò)，造成了伊防控系統(tǒng)全線癱瘓超過12小時(shí)——雖然該嵌入式后門是否能成為計(jì)算機(jī)病毒尚有爭議，但很多人仍然認(rèn)為，這是計(jì)算機(jī)病毒的第一次戰(zhàn)場處女秀。1990：新式武器——計(jì)算機(jī)病毒首次用于戰(zhàn)爭1232022/11/25海灣戰(zhàn)爭期間，美國通過芯片植入式病毒入侵了伊拉克防控網(wǎng)絡(luò)，造

1990年，美國獲悉一個(gè)重要情報(bào)：伊拉克將從法國購買一種用于防空系統(tǒng)的新型電腦打印機(jī)，準(zhǔn)備通過約旦首都安曼偷運(yùn)回巴格達(dá)。于是，美國間諜買通了安曼機(jī)場的守衛(wèi)人員，運(yùn)送打印機(jī)的飛機(jī)一降落到安曼，他就偷偷溜進(jìn)機(jī)艙，用一套帶有計(jì)算機(jī)病毒的同類芯片換下了電腦打印機(jī)中的芯片。伊拉克人毫無察覺，將帶有病毒芯片的電腦打印機(jī)安裝到了防空系統(tǒng)上。

海灣戰(zhàn)爭爆發(fā)后，美國人通過無線網(wǎng)絡(luò)激活了電腦打印機(jī)芯片內(nèi)的計(jì)算機(jī)病毒，病毒侵入伊拉克防空系統(tǒng)的電腦網(wǎng)絡(luò)中，使整個(gè)系統(tǒng)陷入癱瘓。美國由此取得了海灣戰(zhàn)爭中的關(guān)鍵性勝利。

這是世界上首次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)并取得較好效果的戰(zhàn)例，從而也使網(wǎng)絡(luò)空間戰(zhàn)初現(xiàn)端倪。1242022/11/251990年，美國獲悉一個(gè)重要情報(bào)：伊拉克將從法國購買一種隨著病毒的泛濫，殺毒軟件行業(yè)興起，早期的安全專家們使用“搜索匹配”的方法識別病毒，他們分析各類病毒源代碼，并生成“識別碼”以此來判斷某一文件是否為病毒。但1995年之后隨著“幽靈”、“VCL”等病毒的誕生，識別病毒已經(jīng)越來越難了。1995：變種時(shí)代到來——可自變異的病毒問世1252022/11/25隨著病毒的泛濫，殺毒軟件行業(yè)興起，早期的安全專家們使用“搜索在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成，當(dāng)生成器的生成結(jié)果為病毒時(shí),就產(chǎn)生了這種復(fù)雜的“病毒生成器”，而變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。直到現(xiàn)在指令“加花”依然是病毒免殺的最常見手段1262022/11/25在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器1998年KV300+識別庫大小630K今天360識別庫大小607M1272022/11/251998年KV300+識別庫大小今天360識別庫大小281999年4月26日，CIH病毒1.2版首次大規(guī)模爆發(fā)，全球超過六千萬臺電腦受到了不同程度的破壞。這是第一個(gè)破壞硬件系統(tǒng)的惡性病毒。由原集嘉通訊公司（技嘉子公司）手機(jī)研發(fā)中心主任工程師陳盈豪在其于臺灣大同工學(xué)院念書期間制作。1998：從虛幻到現(xiàn)實(shí)——CIH病毒大爆發(fā)1282022/11/251999年4月26日，CIH病毒1.2版首次大規(guī)模爆發(fā)，全球2000年之后，種類繁多，數(shù)量繁多的病毒被開發(fā)出來。病毒的編寫不再是炫技和個(gè)人愛好，逐漸出現(xiàn)了產(chǎn)業(yè)化的傾向，以營利為目的的地下病毒工廠逐漸繁榮起來千禧年：蓬勃發(fā)展的新世紀(jì)1292022/11/252000年之后，種類繁多，數(shù)量繁多的病毒被開發(fā)出來。病毒的編2000Kakworm，愛蟲，Apology-B，Marker，Pretty，Stages-A，Navidad，Ska-Happy99，WM97/Thus，XM97/Jin紅色結(jié)束符、愛情后門、FUNLOVE、QQ傳送者、沖擊波殺手、羅拉、求職信、尼姆達(dá)II、QQ木馬、CIH50179個(gè)，其中木馬、蠕蟲、黑客病毒占其中的91%，以盜取用戶有價(jià)賬號的木馬病毒（如網(wǎng)銀、QQ、網(wǎng)游）為主，病毒多達(dá)2000多種20032005中國大陸地區(qū)主要流行計(jì)算機(jī)病毒1302022/11/252000Kakworm，愛蟲，Apology-B，Mar伊朗鈾濃縮的根基是上世紀(jì)60年代末，由歐洲設(shè)計(jì)IR-1離心機(jī)，這種老舊的設(shè)計(jì)，精度低、穩(wěn)定性差、壽命短，所以伊朗采用了離心機(jī)的冗余策略，陣列中每個(gè)離心機(jī)組都有在線備份，即一個(gè)壞掉，可以馬上切換到另外一個(gè)使其工作，并使用基于西門子的S7-417級聯(lián)保護(hù)器進(jìn)行控制。

2010年震網(wǎng)病毒入侵了這些保護(hù)器，并采用了來自好萊塢的策略——記錄21秒傳感器數(shù)據(jù)，然后循環(huán)播放——這樣在監(jiān)控中心就不會發(fā)現(xiàn)離心機(jī)狀態(tài)變化，當(dāng)離心機(jī)異常時(shí)也不會予以調(diào)整。最終導(dǎo)致整個(gè)離心機(jī)陣列壽命大幅度縮短。直至該病毒被發(fā)現(xiàn)，伊朗核工業(yè)被拖慢了最少兩年。1312022/11/25伊朗鈾濃縮的根基是上世紀(jì)60年代末，由歐洲設(shè)計(jì)IR-1離BADUSB

在2014年美國黑帽大會上，柏林SRLabs的安全研究人員和獨(dú)立安全研究人員KarstenNohl展示了他們稱為“BadUSB的攻擊方法，這種攻擊方法讓USB安全和幾乎所有和USB相關(guān)的設(shè)備(包括具有USB端口的電腦)都陷入相當(dāng)危險(xiǎn)的狀態(tài)。從傳統(tǒng)意義講，當(dāng)你在電腦中插入一張CD/DVD光盤，或者插入一個(gè)USB設(shè)備時(shí)，可以通過自動播放來運(yùn)行一個(gè)包含惡意的文件，不過自動播放功能被關(guān)閉時(shí)，autorun.inf文件就無法自動執(zhí)行你的文件了。然而通過TEENSY，你可以模擬出一個(gè)鍵盤和鼠標(biāo)，當(dāng)你插入這個(gè)定制的USB設(shè)備時(shí)，電腦會識別為一個(gè)鍵盤，利用設(shè)備中的微處理器，與存儲空間，和編程進(jìn)去的攻擊代碼，就可以向主機(jī)發(fā)送控制命令，從而完全控制主機(jī)，無論自動播放是否開啟，都可以成功。1322022/11/25BADUSB在2014年美國黑帽大會上，柏林SRLabs2017年5月，一種名為“想哭”的勒索病毒席卷全球，在短短一周時(shí)間里，上百個(gè)國家和地區(qū)受到影響。據(jù)美國有線新聞網(wǎng)報(bào)道，截至2017年5月15日，大約有150個(gè)國家受到影響，至少30萬臺電腦被病毒感染。

后續(xù)又陸續(xù)有該病毒的后續(xù)版本被發(fā)現(xiàn)，如安卓版、免疫失效升級版，NAS工具箱其他病毒也陸續(xù)被公布出來。1332022/11/252017年5月，一種名為“想哭”的勒索病毒席卷總量：2.7億手機(jī)病毒：2670種平均感染率：730%帶毒率：82%累計(jì)損失：2100億男女比例-8:12017年6月瑞星統(tǒng)計(jì)數(shù)據(jù)1342022/11/25總量：2.7億手機(jī)病毒：2670種平均感染率：730%帶毒率02基本概念basicconcepts1352022/11/2502基本概念basicconcepts362022/11“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”?！吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》1362022/11/25“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，感染單元破壞單元保護(hù)單元一個(gè)典型的計(jì)算機(jī)病毒主要由三部分構(gòu)成感染單元：通用構(gòu)造器+通用描述器保護(hù)單元：提供隱藏自身、軟件狗、反殺、反AV等功能破壞單元：觸發(fā)器和主要破壞活動執(zhí)行單元，提供盜取密碼、破壞文件、遠(yuǎn)程控制、加密分區(qū)等功能。1372022/11/25感染單元破壞單元保護(hù)單元一個(gè)典型的計(jì)算機(jī)病毒主要由三部分構(gòu)成1大幅度降低系統(tǒng)執(zhí)行效率，甚至導(dǎo)致系統(tǒng)癱瘓2改變文檔及數(shù)據(jù)內(nèi)容。3刪除、轉(zhuǎn)移、永久性破壞系統(tǒng)及數(shù)據(jù)內(nèi)容4改變硬件輸入、輸出系統(tǒng)動作5關(guān)鍵系統(tǒng)、敏感文檔等重要信息泄露6降低系統(tǒng)安全系數(shù)，導(dǎo)致更容易被入侵計(jì)算機(jī)病毒主要危害1382022/11/251大幅度降低系統(tǒng)執(zhí)行效率，甚至導(dǎo)致系統(tǒng)癱瘓2改變文檔及數(shù)據(jù)內(nèi)1繁殖性傳染性潛伏性隱蔽性破壞性觸發(fā)性23456計(jì)算機(jī)病毒主要特點(diǎn)1392022/11/251繁殖性傳染性潛伏性隱蔽性破壞性觸發(fā)性23456計(jì)算機(jī)病毒主1計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行的時(shí)候，它也進(jìn)行運(yùn)行自身復(fù)制，是否具有繁殖、感染的特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的首要條件。繁殖性1402022/11/251計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行的2一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。計(jì)算機(jī)病毒可通過各種可能的渠道，如：軟盤、硬盤、移動硬盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)，是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。傳染性1412022/11/252一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。計(jì)算3計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時(shí)隱時(shí)現(xiàn)、變化無常，這類病毒處理起來通常很困難。流行病學(xué)有一個(gè)專門的指標(biāo)來衡量一種流行病的危害范圍，那就在在首例患者發(fā)病前該流行病的潛伏期，真正可怕的病毒往往不是“含笑半步癲”型的突然死亡，而是“潤物細(xì)無聲”型的廣泛流傳。潛伏性1422022/11/253計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出4早期計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞，通常表現(xiàn)為：增、刪、改、移。現(xiàn)代新型病毒有一類以“磁碟機(jī)”為代表的下載機(jī)型病毒，它本身不會破壞目標(biāo)系統(tǒng)而是去下載其他病毒文件或降低目標(biāo)系統(tǒng)安全防護(hù)等級。潛伏性1432022/11/254早期計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算5計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。如數(shù)據(jù)損毀、丟失、引導(dǎo)扇損壞、BIOS損壞、硬件環(huán)境破壞等。破壞性也是現(xiàn)代計(jì)算機(jī)病毒和傳統(tǒng)“炫技游戲”的分界點(diǎn)。破壞性1442022/11/255計(jì)算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)6編制計(jì)算機(jī)病毒的人，一般都為病毒程序設(shè)定了一些觸發(fā)條件，例如，系統(tǒng)時(shí)鐘的某個(gè)時(shí)間或日期、系統(tǒng)運(yùn)行了某些程序等。一旦條件滿足，計(jì)算機(jī)病毒就會“發(fā)作”，使系統(tǒng)遭到破壞。有的病毒為了防止“誤傷友軍”也會設(shè)置逆觸發(fā)開關(guān)，當(dāng)計(jì)算機(jī)滿足某個(gè)條件時(shí)自行終止感染。觸發(fā)性1452022/11/256編制計(jì)算機(jī)病毒的人，一般都為病毒程序設(shè)定了一些觸發(fā)條件常用術(shù)語1462022/11/25常用術(shù)語472022/11/231是指能夠影響計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的完整性，可用性、可控性和保密性的計(jì)算機(jī)程序或代碼。主要包括計(jì)算機(jī)病毒、蠕蟲、木馬程序等。如：<%executerequest("value")%>

黑客在注冊信息的電子郵箱或者個(gè)人主頁等中插入類似代碼，其中value是值，前面的request就是獲取這個(gè)值，當(dāng)知道了數(shù)據(jù)庫的URL，就可以利用本地一張網(wǎng)頁進(jìn)行連接得到Webshell。（不知道數(shù)據(jù)庫也可以，只要知道<%evalrequest("value")%>這個(gè)文件被插入到哪一個(gè)ASP文件里面就可以了。）惡意代碼1472022/11/251是指能夠影響計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的完整性，可2特洛伊木馬（簡稱木馬），是指通過特定的程序（木馬程序）來控制另一臺計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是控制端，另一個(gè)是被控制端。木馬這個(gè)名字來源于古希臘傳說（荷馬史詩中木馬計(jì)的故事，Tro