大家好1大家好11計算機病毒的定義2計算機病毒的特點3計算機病毒的分類4計算機病毒的介紹5計算機病毒的對抗技術(shù)主要內(nèi)容計算機病毒與對抗21計算機病毒的定義主要內(nèi)容計算機病毒與對抗21.計算機病毒的定義 1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用并能自我復(fù)制的一組計算機指令或者程序代碼。”此定義具有法律效力和權(quán)威性。計算機病毒的定義從其產(chǎn)生發(fā)展至今逐漸有了質(zhì)的變化，如今的病毒結(jié)合各類技術(shù)向多方面發(fā)展，基本上可以說只要對計算機系統(tǒng)、計算機網(wǎng)絡(luò)有不良影響的行為都能稱得上是計算機病毒，簡言之：惡意代碼就是計算機病毒。

廣義上的計算機病毒還包括：蠕蟲、木馬、后門、流氓軟件、間諜軟件、廣告軟件、黑客工具等。1.計算機病毒的定義 1994年2月18日，我國正式頒布計算機病毒的特點

2.1破壞性

2.2隱蔽性

2.3潛伏性

2.4傳染性

2.5不可預(yù)見性2.計算機病毒的特點計算機病毒的特點2.計算機病毒的特點2.1破壞性任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。輕則顯示一些畫面，發(fā)出音樂，彈出一些無聊的窗口。重則破壞數(shù)據(jù)，刪除文件，格式化磁盤，有的甚至對計算機硬件也有損壞。2.2隱蔽性

病毒一般是短小精悍的一段程序，通常潛入到正常程序或磁盤中，在沒有防護(hù)的情況下，有些病毒是在悄無聲息的進(jìn)行著計算機的破壞或者自我復(fù)制，有些病毒還嵌入到正常的程序中，因此很難被發(fā)現(xiàn)。2.3潛伏性大部分病毒在感染系統(tǒng)之后不會馬上發(fā)作，它可以長時間隱藏在系統(tǒng)之中，在滿足其特定條件下才啟動其破壞模塊。2.計算機病毒的特點2.1破壞性2.計算機病毒的特點2.4傳染性

對大多數(shù)計算機病毒，傳染是它的一個重要特點。它用過修改別的程序，并把自身的副本包括進(jìn)去，從而達(dá)到擴散的目的。病毒能將自身的代碼強行傳染到一切符合其傳染條件的未感染的文件，而且還可以通過各種可能的渠道感染其他計算機。2.5不可預(yù)見性

從病毒檢測技術(shù)來看，病毒還有不可預(yù)見性，不同種類病毒，其代碼千差萬別，有的正常的程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術(shù)，甄別起來更是困難，再加上病毒的制作技術(shù)也在不斷的提高，所以病毒對反病毒軟件永遠(yuǎn)是超前的。

2.計算機病毒的特點2.4傳染性2.計算機病毒的特點1．按其破壞性分類可分為：良性病毒和惡性病毒。2．按照病毒的功能進(jìn)行分類可分為：感染性病毒、蠕蟲、木馬、Backdoor、VirusTools工具等。3．按照病毒鏈接方式分類可分為：源碼型、嵌入型、操作系統(tǒng)型和外殼型病毒。4．按寄生方式可分為：引導(dǎo)型病毒、文件型病毒以及集兩種病毒特性于一體的復(fù)合型病毒和宏病毒、網(wǎng)絡(luò)病毒。5．其他一些分類方式按照計算機病毒攻擊的操作系統(tǒng)；按照計算機病毒激活的時間；按計算機病毒攻擊的機型。3計算機病毒的分類1．按其破壞性分類3計算機病毒的分類計算機病毒的工作機理

1．計算機病毒的結(jié)構(gòu)

計算機病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)模塊、傳染模塊、表現(xiàn)（破壞）模塊3部分組成。必須指出的是，不是任何病毒都必須包含這3個模塊。

2．計算機病毒的工作機理

因為計算機病毒的傳染和發(fā)作需要使用一些系統(tǒng)函數(shù)及硬件，而后者往往在不同的平臺上是各不相同的，因此大多數(shù)計算機病毒都是針對某種處理器和操作系統(tǒng)編寫的。我根據(jù)病毒的寄生方式分類介紹病毒。4計算機病毒的介紹計算機病毒的工作機理1．計算機病毒的結(jié)構(gòu)常見的惡意代碼（廣義的病毒定義）

4計算機病毒的介紹惡意代碼分類示意圖常見的惡意代碼（廣義的病毒定義）4計算機病毒的介紹惡意4.1引導(dǎo)型病毒概述

引導(dǎo)區(qū)病毒就是專門感染磁盤引導(dǎo)扇區(qū)和硬盤主引導(dǎo)扇區(qū)的計算機病毒程序，如果被感染的磁盤被作為系統(tǒng)啟動盤使用，則在啟動系統(tǒng)時，病毒程序即被自動裝入內(nèi)存，從而是現(xiàn)行系統(tǒng)感染病毒。引導(dǎo)區(qū)病毒是一種將硬盤重新分區(qū)和格式化都不能清除掉的一種頑固病毒。例如，“大麻”病毒、“小球”病毒、“磁盤殺手”病毒。目前，在windows環(huán)境中，主引導(dǎo)區(qū)也成為部分病毒（Bootkit）實施“永駐”的位置之一，只是實施起來比DOS系統(tǒng)更加復(fù)雜而已。4計算機病毒的介紹4.1引導(dǎo)型病毒4計算機病毒的介紹引導(dǎo)型病毒的工作機理

引導(dǎo)扇區(qū)是硬盤或軟盤的第一個扇區(qū)，是存放引導(dǎo)指令的地方，這些引導(dǎo)指令對于操作系統(tǒng)的裝載起著十分重要的作用。一般來說，引導(dǎo)扇區(qū)在CPU的運行過程中最先獲得對CPU的控制權(quán)，病毒一旦控制了引導(dǎo)扇區(qū)，也就意味著病毒控制了整個計算機系統(tǒng)。

引導(dǎo)型病毒程序會用自己的代碼替換原始的引導(dǎo)扇區(qū)信息，并把這些信息轉(zhuǎn)移到磁盤的其他扇區(qū)中。當(dāng)系統(tǒng)需要訪問這些引導(dǎo)數(shù)據(jù)信息時，病毒程序會將系統(tǒng)引導(dǎo)到存儲這些引導(dǎo)信息的新扇區(qū)，從而使系統(tǒng)無法發(fā)覺引導(dǎo)信息的轉(zhuǎn)移，增強了病毒自身的隱蔽性。4計算機病毒的介紹磁盤硬盤引導(dǎo)區(qū)病毒感染引導(dǎo)指令引導(dǎo)區(qū)引導(dǎo)指令引導(dǎo)型病毒的工作機理4計算機病毒的介紹引導(dǎo)區(qū)病毒感染引導(dǎo)指4.2文件型病毒概述文件型病毒攻擊的對象是可執(zhí)行程序，病毒程序?qū)⒆约焊街蜃芳釉诤缶Y名為.exe或.com等的可執(zhí)行文件上。當(dāng)感染了該類病毒的可執(zhí)行文件運行時，病毒程序?qū)⒃谙到y(tǒng)中進(jìn)行它的破壞行動。同時，它將駐留在內(nèi)存中，試圖感染其他文件。當(dāng)該類病毒完成了它的工作之后，其宿主程序才得到運行，使一切看起來很正常。4計算機病毒的介紹4.2文件型病毒4計算機病毒的介紹文件型病毒的工作機理

當(dāng)今，絕大多數(shù)的文件型病毒都屬于Win32PE病毒，我來介紹一下Win32PE病毒的原理。一般來說，病毒往往先于HOST程序獲得控制權(quán)。運行Win32病毒的一般流程示意如下：①用戶點擊或系統(tǒng)自動運行HOST程序；②裝載HOST程序到內(nèi)存；③通過PE文件中的AddressOfEntryPoint+ImageBase，定位第一條語句的位置(程序入口)；④從第一條語句開始執(zhí)行(這時執(zhí)行的其實是病毒代碼)；⑤病毒主體代碼執(zhí)行完畢，將控制權(quán)交給HOST程序原來的入口代碼；⑥HOST程序繼續(xù)執(zhí)行。4計算機病毒的介紹文件型病毒的工作機理4計算機病毒的介紹文件型病毒的種類覆蓋型文件病毒依附性文件病毒伴隨型文件病毒4計算機病毒的介紹病毒前依附后依附ABC.EXE偽ABC.EXE偽ABC.EXEVirus.exe捆綁型文件病毒ABC.exe

感染infected.exeVirus.COM文件型病毒的種類4計算機病毒的介紹病毒前依附后依附ABC.4.3混合病毒混合型病毒是指那些既可以對引導(dǎo)區(qū)進(jìn)行感染也可以對文件進(jìn)行感染的病毒。這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入電腦，用時使用了加密和變形技術(shù)，所以這類病毒清除的難度更大。具體的技術(shù)我在后面部門簡述。4計算機病毒的介紹4.3混合病毒4計算機病毒的介紹4.4網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒是指通過計算機網(wǎng)絡(luò)傳播或感染網(wǎng)絡(luò)中和網(wǎng)絡(luò)上計算機文件的病毒。它不再只是靠移動式存儲載體，而是網(wǎng)絡(luò)通道。這種病毒的傳染力更大，破壞力更強。例如蠕蟲病毒和木馬病毒等。

隨著互聯(lián)網(wǎng)和無線互聯(lián)網(wǎng)日趨完善，病毒的技術(shù)和攻擊目的也更加多樣，好多病毒的功能越來越多元化，集成化，智能化。4計算機病毒的介紹4.4網(wǎng)絡(luò)病毒4計算機病毒的介紹4.4.1特洛伊木馬

（1）木馬病毒概述

“特洛伊木馬”的英文名稱為TrojanHorse（其名稱取自希臘神話的《特洛伊木馬記》），是指表面看上去對人們有用或有趣，但實際上卻有害的東西，并且它的破壞性是隱蔽的。計算機中的木馬是一種基于遠(yuǎn)程控制的黑客工具，采用客戶機/服務(wù)器（c/s）工作模式。它通常包含控制端和被控制端兩部分。被控制端的木馬程序一旦植入受害者的計算機（簡稱宿主）中，操縱者就可以在控制端實時監(jiān)視該用戶的一切操作，有的放矢地竊取重要文件和信息，甚至還能遠(yuǎn)程操控受害計算機對其他計算機發(fā)動攻擊。木馬的控制端和被控制端通過網(wǎng)絡(luò)進(jìn)行交互。4計算機病毒的介紹4.4.1特洛伊木馬4計算機病毒的介紹（2）木馬的特點木馬具有隱蔽性和非授權(quán)性的特點。所謂隱蔽性，是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬。這樣，被控制端即使發(fā)現(xiàn)感染了木馬，也不能確定其準(zhǔn)確的位置。所謂非授權(quán)性，是指一旦控制端與被控制端連接后，控制端將享有被控制端的大部分操作權(quán)限，包括修改文件、修改注冊表、控制鼠標(biāo)、鍵盤等，這些權(quán)力并不是被控制端賦予的，而是通過木馬程序竊取的。4計算機病毒的介紹（2）木馬的特點4計算機病毒的介紹（3）木馬的工作過程

木馬對網(wǎng)絡(luò)主機的入侵過程，可大致分為6個步驟。配置木馬（制造者）傳播木馬（制造者上傳，用戶下載）運行木馬（用戶運行）信息泄露（病毒程序）連接建立（病毒程序）遠(yuǎn)程控制（病毒程序）

4計算機病毒的介紹（3）木馬的工作過程4計算機病毒的介紹（4）木馬的種類密碼發(fā)送型木馬鍵盤記錄型木馬破壞型木馬DOS型木馬（這個而是拒絕服務(wù)攻擊的DOS）FTP型木馬4計算機病毒的介紹（4）木馬的種類4計算機病毒的介紹4.4.2蠕蟲病毒（1）蠕蟲的定義蠕蟲病毒和普通病毒有著很大的區(qū)別。普通病毒主要是感染文件和引導(dǎo)區(qū)，而蠕蟲則是一種通過網(wǎng)絡(luò)進(jìn)行傳播的惡性代碼。它具有普通病毒的一些共性，例如傳播性、隱蔽性、破壞性等；同時也具有一些自己的特征，例如不利用文件寄生、可對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等。蠕蟲的傳染目標(biāo)是網(wǎng)絡(luò)內(nèi)的所有計算機。在破壞性上，蠕蟲病毒也不是普通病毒所能比的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延到整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。4計算機病毒的介紹4.4.2蠕蟲病毒4計算機病毒的介紹4計算機病毒的介紹蠕蟲病毒與一般病毒的區(qū)別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機4計算機病毒的介紹蠕蟲病毒與一般病毒的區(qū)別普通病毒蠕（2）蠕蟲的分類根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用戶的蠕蟲病毒和面向個人用戶的蠕蟲病毒。面向企業(yè)用戶的蠕蟲病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個網(wǎng)絡(luò)造成癱瘓性的后果，以“紅色代碼”、“尼姆達(dá)”、“SQL蠕蟲王”為代表；面向個人用戶的蠕蟲病毒通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式等）迅速傳播，以“愛蟲”、“求職信”蠕蟲為代表。按其傳播和攻擊特征，可將蠕蟲病毒分為3類，即漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲病毒。4計算機病毒的介紹（2）蠕蟲的分類4計算機病毒的介紹(3)蠕蟲的傳播

蠕蟲程序的一般傳播過程如下：（1）掃描。由蠕蟲的掃描功能模塊負(fù)責(zé)收集目標(biāo)主機的信息，尋找可利用的漏洞或弱點。當(dāng)程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。掃描采用的技術(shù)方法包括用掃描器掃描主機，探測主機的操作系統(tǒng)類型、主機名、用戶名、開放的端口、開放的服務(wù)、開放的服務(wù)器軟件版本等。（2）攻擊。攻擊模塊按步驟自動攻擊前面掃描中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限），獲得一個Shell。（3）復(fù)制。復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機中并啟動。

4計算機病毒的介紹(3)蠕蟲的傳播4計算機病毒的介紹4.5宏病毒

為了減少用戶的重復(fù)勞作，例如進(jìn)行相似的操作，Office提供了一種所謂宏的功能。利用這個功能，用戶可以把一系列的操作記錄下來，作為一個宏。之后只要運行這個宏，計算機就能自動地重復(fù)執(zhí)行那些定義在宏中的所有操作。這種宏操作一方面方便了普通的計算機用戶，另一方面卻也給病毒制造者提供了可乘之機。宏病毒是一種專門感染Office系列文檔的惡性病毒。1995年，世界上發(fā)現(xiàn)了第一個宏病毒Concept。由于宏的編程語言VBA簡單易學(xué)，因此大量的宏病毒層出不窮，短短兩年時間其數(shù)量就上升至20000多種!4計算機病毒的介紹4.5宏病毒4計算機病毒的介紹5.1病毒技巧（1）病毒文件的隱藏技術(shù)（同理病毒進(jìn)程、注冊表、服務(wù)端口等）（2）病毒的花指令（3）病毒的加密（4）加殼技術(shù)（5）特征碼定位（6）反調(diào)試技術(shù)5計算機病毒的對抗技術(shù)5.1病毒技巧5計算機病毒的對抗技術(shù)（1）病毒的隱藏技術(shù)5計算機病毒的對抗技術(shù)（1）病毒的隱藏技術(shù)5計算機病毒的對抗技術(shù)（1）病毒文件的隱藏技術(shù)用戶態(tài)文件隱藏用戶態(tài)HOOK（主要為IAT鉤子）掛鉤API兩個函數(shù)：FindFirstFile和FindNextFile內(nèi)核態(tài)文件隱藏核心態(tài)HOOK（主要為SSDT鉤子）掛鉤API一個函數(shù)：ZwQueryDirectoryFile5計算機病毒的對抗技術(shù)（1）病毒文件的隱藏技術(shù)5計算機病毒的對抗技術(shù)（2）病毒文件的花指令

一個沒有任何防護(hù)措施的程序，很容易被完整地靜態(tài)反匯編出來。為了達(dá)到迷惑破解者的目的，病毒作者往往在程序中加入花指令。這不僅僅用在計算機病毒中以防止被輕易分析出其病毒結(jié)構(gòu)和原理，它也常常用在很多正常的軟件中，以防止遭到非法破解。所謂花指令就是在我們的程序之間加入一些似乎沒有什么意義的代碼，這些代碼不會妨礙程序的正常低運行，但是在靜態(tài)反匯編時，去會讓原本正常的代碼解釋成難以讀懂甚至有些怪異的匯編代碼。5計算機病毒的對抗技術(shù)（2）病毒文件的花指令5計算機病毒的對抗技術(shù)（3）病毒文件的加密盡管有些病毒采用了花指令，但是還是比較容易地被正確地反匯編出來。為了加大靜態(tài)反匯編的難度，提高病毒的生存能力，病毒制造者采用了病毒的加密技術(shù)，該技術(shù)目前已經(jīng)得到很大的發(fā)展，進(jìn)而演變出病毒的多態(tài)技術(shù)和病毒的變形技術(shù)。5計算機病毒的對抗技術(shù)一個簡單的加密病毒一般有如下幾個部分：解密算法（解開被加密的代碼，一遍病毒執(zhí)行）病毒主體代碼（被加密的病毒代碼）跳轉(zhuǎn)（病毒解密完畢后，跳轉(zhuǎn)到解密代碼部分執(zhí)行病毒語句）病毒代碼密文解密代碼EIP病毒代碼明文解密代碼EIP解密（3）病毒文件的加密5計算機病毒的對抗技術(shù)一個簡單的加密病（4）加殼技術(shù)殼是一種專用的加密軟件，現(xiàn)在越來越多的軟件都是用加殼保護(hù)。在一些計算機軟件里有一段專門負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序，它們附加在原程序上通過Windows加載器載入內(nèi)存后，先于原始程序執(zhí)行，得到控制權(quán)，執(zhí)行過程中對原始程序進(jìn)行解密、還原，還原完成后再把控制權(quán)還給原始程序，執(zhí)行原來的代碼部分。這段程序就是“殼”。病毒同樣運用了這個技術(shù)來防止程序被靜態(tài)反編譯。

5計算機病毒的對抗技術(shù)（4）加殼技術(shù)5計算機病毒的對抗技術(shù)（5）特征碼定位特征碼識別是殺毒軟件查殺病毒的重要手段之一。病毒在特征碼就是從病毒體內(nèi)不同位置提取的一系列字節(jié)，殺毒軟件就是通過這些字節(jié)及位置信息來檢驗?zāi)硞€文件是否病毒。

特征碼定位的原理就是使用特定的字符，每次修改原文件部分內(nèi)容，然后將新生成的所有文件交給殺毒軟件掃描，如果原文件的特征碼部分被修改了，這個新生成的文件就無法被殺毒軟件掃描出來。因此就可以找到原文件的特征碼在哪個位置，然后病毒的編寫者針對相應(yīng)位置進(jìn)行修改。

5計算機病毒的對抗技術(shù)（5）特征碼定位5計算機病毒的對抗技術(shù)（6）反調(diào)試技術(shù)反虛擬分析環(huán)境反調(diào)試抗動態(tài)啟發(fā)式掃描

5計算機病毒的對抗技術(shù)（6）反調(diào)試技術(shù)5計算機病毒的對抗技術(shù)5.2計算機病毒對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）（2）病毒發(fā)現(xiàn)與清除（多用于手動查殺）5計算機病毒的對抗技術(shù)5.2計算機病毒對抗技術(shù)5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）特征值檢測技術(shù)校驗和檢測技術(shù)啟發(fā)式掃描技術(shù)虛擬機技術(shù)主動防御技術(shù)5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（1）病毒的檢測技術(shù)（多用于殺毒軟件）特征值檢測技術(shù)計算機病毒的特征值是指計算機病毒本身在特定的寄生環(huán)境中確認(rèn)自身是否存在的標(biāo)記符號，是指病毒在傳染宿主程序時，首先判斷該病毒欲傳染的宿主是否已染有該病毒，按照特定的偏移量從文件中提出的特征值。校驗和檢測技術(shù)

校驗和技術(shù)是冗余校驗的一種形式，一般在數(shù)據(jù)通信和數(shù)據(jù)處理時用來校驗一組數(shù)據(jù)的完整性。其原理就是當(dāng)?shù)刃ｒ灥臄?shù)據(jù)發(fā)生改變是，重新生成的校驗和就會發(fā)生變化。5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（1）病毒的檢測技術(shù)（多用于殺毒軟件）啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)是通過分析指令出現(xiàn)的順序，或特定組合情況等常見病毒的標(biāo)準(zhǔn)特征來決定文件是否感染病。病毒要達(dá)到感染和破壞的目的，通常的行為都會有一定的特征，例如：非常規(guī)讀寫文件，終結(jié)自身，非常規(guī)切入等。所以可以根據(jù)掃描特定的行為或多種行為的組合來判斷一個程序是否是病毒。虛擬機技術(shù)很多殺毒軟件廠商引入了虛擬機的概念，讓病毒程序虛擬執(zhí)行解密出的病毒體并暴露病毒的行為，反病毒虛擬機控制著病毒的每條指令的執(zhí)行，等到病毒執(zhí)行到特定的位置進(jìn)行查毒和清毒的操作。5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（1）病毒的檢測技術(shù)（多用于殺毒軟件）主動防御技術(shù)主動防御技術(shù)是近幾年反病毒廠商所采用的新技術(shù)之一，特指對計算機病毒的行為進(jìn)行分析來實現(xiàn)的檢測技術(shù)。主動防御技術(shù)是基于程序文件特征和程序行為自主分析判斷的實時防護(hù)技術(shù)。

應(yīng)用層的應(yīng)用程序執(zhí)行的功能最終都要通過SSDT表轉(zhuǎn)到內(nèi)核層實現(xiàn)。只要將SSDT表中的內(nèi)核API地址替換成我們自己的函數(shù)地址，這樣就可以攔截用戶層的API調(diào)用了，還可以根據(jù)條件拒絕API的調(diào)用，從而實現(xiàn)病毒行為的阻止。這就是我之前說的SSDTHOOK技術(shù)。5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（2）病毒的發(fā)現(xiàn)與清除（多用于手動查殺）手動查殺的時機與目的（對于非專業(yè)人士）：在沒有殺毒軟件或是殺毒軟件被干掉的情況下感染的病毒計算機需要手動查殺，目的是為了結(jié)束病毒的運行和控制，是殺毒軟件可以正常安裝或運行，最終查殺還是需要交給專業(yè)的殺毒軟件。病毒行為分析：虛擬機(vmware)+反病毒小工具。反病毒小工具：IDA（反匯編）、ProcessMonitor（監(jiān)控文件，注冊表，端口、進(jìn)程）、xuetr（手殺輔助工具）、Iceword（手殺輔助工具）。5計算機病毒的對抗技術(shù)（2）病毒的發(fā)現(xiàn)與清除（多用于手動查殺）5計算機病毒的對抗5.3病毒預(yù)防

1．使用正版軟件

2．從可靠渠道下載軟件

3．安裝防病毒軟件、防火墻等防病毒工具，準(zhǔn)備一套具有查毒、防毒、殺毒及修復(fù)系統(tǒng)的工具軟件，并定期對軟件進(jìn)行升級、對系統(tǒng)進(jìn)行查毒。

4．對電子郵件提高警惕

5．經(jīng)常對系統(tǒng)中的文件進(jìn)行備份

6．安裝系統(tǒng)還原軟件，定期做好備份5計算機病毒的對抗技術(shù)5.3病毒預(yù)防5計算機病毒的對抗技術(shù)

7．開機時使用本地硬盤

8．做好系統(tǒng)配置

9．盡量做到專機專用

10．新購置的計算機軟件或硬件也要先查毒再使用

11．使用復(fù)雜的密碼

12．注意自己的機器最近有無異常

13．了解一些病毒知識

5計算機病毒的對抗技術(shù)7．開機時使用本地硬盤5計5.4病毒防治軟件介紹常用病毒防治軟件簡介

（1）國際品牌級①卡巴斯基（俄羅斯）②賽門鐵克（美國）③NOD32（斯洛伐克）

（2）國產(chǎn)品牌級

奇虎360金山瑞星江民5計算機病毒的對抗技術(shù)5.4病毒防治軟件介紹5計算機病毒的對抗技術(shù)5.5計算機病毒的發(fā)展趨勢

1．病毒的網(wǎng)絡(luò)化

2．病毒功能的綜合化

3．傳播途徑的多樣化

4．病毒的多平臺化

5．攻擊對象趨于混合型

6．使用反跟蹤技術(shù)

5計算機病毒的對抗技術(shù)5.5計算機病毒的發(fā)展趨勢5計算機病毒的對抗技術(shù)7．增強隱蔽性病毒通過各種手段，盡量避免出現(xiàn)容易使用戶產(chǎn)生懷疑的病毒感染特征。

（1）避開修改中斷向量值。（2）請求在內(nèi)存中的合法身份。（3）維持宿主程序的外部特性。（4）不使用明顯的感染標(biāo)志。

8．進(jìn)行加密技術(shù)處理

（1）對程序段進(jìn)行動態(tài)加密。（2）對顯示信息進(jìn)行加密。（3）對宿主程序段進(jìn)行加密。

9．病毒不斷繁衍不同變種5計算機病毒的對抗技術(shù)7．增強隱蔽性5計算機病毒的對抗技小結(jié)

計算機病毒防治是信息系統(tǒng)安全的一個重要方面，了解病毒的發(fā)展歷史、病毒特點、分類等基本知識，理解病毒的作用機理，掌握基本的病毒檢查、清除方法和防治管理措施，對于構(gòu)建安全的信息系統(tǒng)、減小病毒所造成的損失具有積極的作用。

計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或程序代碼。它具有發(fā)生侵害的主動性、傳染性、隱蔽性、表現(xiàn)性、破壞性、難確定性等特點。它們在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)模塊、傳染模塊、表現(xiàn)模塊3部分組成。計算機病毒能夠感染的只有可執(zhí)行代碼，按照可執(zhí)行代碼的種類可以將計算機病毒分為引導(dǎo)型病毒、文件型病毒、宏病毒和網(wǎng)絡(luò)病毒四大類。各類病毒的工作機理不盡相同。了解計算機病毒工作機理對于防范計算機病毒、查殺計算機病毒和恢復(fù)染毒后的系統(tǒng)有著積極的意義。小結(jié)計算機病毒防治是信息系統(tǒng)安全的一個重要方面小結(jié)

惡意代碼可以分成需要宿主的程序和可以獨立運行的程序兩類，其中包含了后門、邏輯炸彈、特洛伊木馬、病毒和蠕蟲等。

木馬通常包含控制端和被控制端兩部分，具有隱蔽性和非授權(quán)性的特點。它是一種遠(yuǎn)程控制工具，以簡便、易行、有效而深受黑客青睞。木馬病毒主要以網(wǎng)絡(luò)為依托進(jìn)行傳播，竊取用戶隱私資料是其主要目的。而且這些木馬病毒多具有引誘性與欺騙性，是病毒新的危害趨勢?？梢酝ㄟ^查看系統(tǒng)端口開放的情況、系統(tǒng)服務(wù)情況、系統(tǒng)任務(wù)運行情況、網(wǎng)卡的工作情況、系統(tǒng)日志及運行速度有無異常等對木馬進(jìn)行檢測。檢測到計算機感染木馬后，就要根據(jù)木馬的特征來進(jìn)行清除。最好的情況是不出現(xiàn)木馬，這就要求我們平時要有對木馬的預(yù)防意識和措施，做到防患于未然。

小結(jié)惡意代碼可以分成需要宿主的程序和可以獨立運大家好47大家好11計算機病毒的定義2計算機病毒的特點3計算機病毒的分類4計算機病毒的介紹5計算機病毒的對抗技術(shù)主要內(nèi)容計算機病毒與對抗481計算機病毒的定義主要內(nèi)容計算機病毒與對抗21.計算機病毒的定義 1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用并能自我復(fù)制的一組計算機指令或者程序代碼?！贝硕x具有法律效力和權(quán)威性。計算機病毒的定義從其產(chǎn)生發(fā)展至今逐漸有了質(zhì)的變化，如今的病毒結(jié)合各類技術(shù)向多方面發(fā)展，基本上可以說只要對計算機系統(tǒng)、計算機網(wǎng)絡(luò)有不良影響的行為都能稱得上是計算機病毒，簡言之：惡意代碼就是計算機病毒。

廣義上的計算機病毒還包括：蠕蟲、木馬、后門、流氓軟件、間諜軟件、廣告軟件、黑客工具等。1.計算機病毒的定義 1994年2月18日，我國正式頒布計算機病毒的特點

2.1破壞性

2.2隱蔽性

2.3潛伏性

2.4傳染性

2.5不可預(yù)見性2.計算機病毒的特點計算機病毒的特點2.計算機病毒的特點2.1破壞性任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。輕則顯示一些畫面，發(fā)出音樂，彈出一些無聊的窗口。重則破壞數(shù)據(jù)，刪除文件，格式化磁盤，有的甚至對計算機硬件也有損壞。2.2隱蔽性

病毒一般是短小精悍的一段程序，通常潛入到正常程序或磁盤中，在沒有防護(hù)的情況下，有些病毒是在悄無聲息的進(jìn)行著計算機的破壞或者自我復(fù)制，有些病毒還嵌入到正常的程序中，因此很難被發(fā)現(xiàn)。2.3潛伏性大部分病毒在感染系統(tǒng)之后不會馬上發(fā)作，它可以長時間隱藏在系統(tǒng)之中，在滿足其特定條件下才啟動其破壞模塊。2.計算機病毒的特點2.1破壞性2.計算機病毒的特點2.4傳染性

對大多數(shù)計算機病毒，傳染是它的一個重要特點。它用過修改別的程序，并把自身的副本包括進(jìn)去，從而達(dá)到擴散的目的。病毒能將自身的代碼強行傳染到一切符合其傳染條件的未感染的文件，而且還可以通過各種可能的渠道感染其他計算機。2.5不可預(yù)見性

從病毒檢測技術(shù)來看，病毒還有不可預(yù)見性，不同種類病毒，其代碼千差萬別，有的正常的程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術(shù)，甄別起來更是困難，再加上病毒的制作技術(shù)也在不斷的提高，所以病毒對反病毒軟件永遠(yuǎn)是超前的。

2.計算機病毒的特點2.4傳染性2.計算機病毒的特點1．按其破壞性分類可分為：良性病毒和惡性病毒。2．按照病毒的功能進(jìn)行分類可分為：感染性病毒、蠕蟲、木馬、Backdoor、VirusTools工具等。3．按照病毒鏈接方式分類可分為：源碼型、嵌入型、操作系統(tǒng)型和外殼型病毒。4．按寄生方式可分為：引導(dǎo)型病毒、文件型病毒以及集兩種病毒特性于一體的復(fù)合型病毒和宏病毒、網(wǎng)絡(luò)病毒。5．其他一些分類方式按照計算機病毒攻擊的操作系統(tǒng)；按照計算機病毒激活的時間；按計算機病毒攻擊的機型。3計算機病毒的分類1．按其破壞性分類3計算機病毒的分類計算機病毒的工作機理

1．計算機病毒的結(jié)構(gòu)

計算機病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)模塊、傳染模塊、表現(xiàn)（破壞）模塊3部分組成。必須指出的是，不是任何病毒都必須包含這3個模塊。

2．計算機病毒的工作機理

因為計算機病毒的傳染和發(fā)作需要使用一些系統(tǒng)函數(shù)及硬件，而后者往往在不同的平臺上是各不相同的，因此大多數(shù)計算機病毒都是針對某種處理器和操作系統(tǒng)編寫的。我根據(jù)病毒的寄生方式分類介紹病毒。4計算機病毒的介紹計算機病毒的工作機理1．計算機病毒的結(jié)構(gòu)常見的惡意代碼（廣義的病毒定義）

4計算機病毒的介紹惡意代碼分類示意圖常見的惡意代碼（廣義的病毒定義）4計算機病毒的介紹惡意4.1引導(dǎo)型病毒概述

引導(dǎo)區(qū)病毒就是專門感染磁盤引導(dǎo)扇區(qū)和硬盤主引導(dǎo)扇區(qū)的計算機病毒程序，如果被感染的磁盤被作為系統(tǒng)啟動盤使用，則在啟動系統(tǒng)時，病毒程序即被自動裝入內(nèi)存，從而是現(xiàn)行系統(tǒng)感染病毒。引導(dǎo)區(qū)病毒是一種將硬盤重新分區(qū)和格式化都不能清除掉的一種頑固病毒。例如，“大麻”病毒、“小球”病毒、“磁盤殺手”病毒。目前，在windows環(huán)境中，主引導(dǎo)區(qū)也成為部分病毒（Bootkit）實施“永駐”的位置之一，只是實施起來比DOS系統(tǒng)更加復(fù)雜而已。4計算機病毒的介紹4.1引導(dǎo)型病毒4計算機病毒的介紹引導(dǎo)型病毒的工作機理

引導(dǎo)扇區(qū)是硬盤或軟盤的第一個扇區(qū)，是存放引導(dǎo)指令的地方，這些引導(dǎo)指令對于操作系統(tǒng)的裝載起著十分重要的作用。一般來說，引導(dǎo)扇區(qū)在CPU的運行過程中最先獲得對CPU的控制權(quán)，病毒一旦控制了引導(dǎo)扇區(qū)，也就意味著病毒控制了整個計算機系統(tǒng)。

引導(dǎo)型病毒程序會用自己的代碼替換原始的引導(dǎo)扇區(qū)信息，并把這些信息轉(zhuǎn)移到磁盤的其他扇區(qū)中。當(dāng)系統(tǒng)需要訪問這些引導(dǎo)數(shù)據(jù)信息時，病毒程序會將系統(tǒng)引導(dǎo)到存儲這些引導(dǎo)信息的新扇區(qū)，從而使系統(tǒng)無法發(fā)覺引導(dǎo)信息的轉(zhuǎn)移，增強了病毒自身的隱蔽性。4計算機病毒的介紹磁盤硬盤引導(dǎo)區(qū)病毒感染引導(dǎo)指令引導(dǎo)區(qū)引導(dǎo)指令引導(dǎo)型病毒的工作機理4計算機病毒的介紹引導(dǎo)區(qū)病毒感染引導(dǎo)指4.2文件型病毒概述文件型病毒攻擊的對象是可執(zhí)行程序，病毒程序?qū)⒆约焊街蜃芳釉诤缶Y名為.exe或.com等的可執(zhí)行文件上。當(dāng)感染了該類病毒的可執(zhí)行文件運行時，病毒程序?qū)⒃谙到y(tǒng)中進(jìn)行它的破壞行動。同時，它將駐留在內(nèi)存中，試圖感染其他文件。當(dāng)該類病毒完成了它的工作之后，其宿主程序才得到運行，使一切看起來很正常。4計算機病毒的介紹4.2文件型病毒4計算機病毒的介紹文件型病毒的工作機理

當(dāng)今，絕大多數(shù)的文件型病毒都屬于Win32PE病毒，我來介紹一下Win32PE病毒的原理。一般來說，病毒往往先于HOST程序獲得控制權(quán)。運行Win32病毒的一般流程示意如下：①用戶點擊或系統(tǒng)自動運行HOST程序；②裝載HOST程序到內(nèi)存；③通過PE文件中的AddressOfEntryPoint+ImageBase，定位第一條語句的位置(程序入口)；④從第一條語句開始執(zhí)行(這時執(zhí)行的其實是病毒代碼)；⑤病毒主體代碼執(zhí)行完畢，將控制權(quán)交給HOST程序原來的入口代碼；⑥HOST程序繼續(xù)執(zhí)行。4計算機病毒的介紹文件型病毒的工作機理4計算機病毒的介紹文件型病毒的種類覆蓋型文件病毒依附性文件病毒伴隨型文件病毒4計算機病毒的介紹病毒前依附后依附ABC.EXE偽ABC.EXE偽ABC.EXEVirus.exe捆綁型文件病毒ABC.exe

感染infected.exeVirus.COM文件型病毒的種類4計算機病毒的介紹病毒前依附后依附ABC.4.3混合病毒混合型病毒是指那些既可以對引導(dǎo)區(qū)進(jìn)行感染也可以對文件進(jìn)行感染的病毒。這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入電腦，用時使用了加密和變形技術(shù)，所以這類病毒清除的難度更大。具體的技術(shù)我在后面部門簡述。4計算機病毒的介紹4.3混合病毒4計算機病毒的介紹4.4網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒是指通過計算機網(wǎng)絡(luò)傳播或感染網(wǎng)絡(luò)中和網(wǎng)絡(luò)上計算機文件的病毒。它不再只是靠移動式存儲載體，而是網(wǎng)絡(luò)通道。這種病毒的傳染力更大，破壞力更強。例如蠕蟲病毒和木馬病毒等。

隨著互聯(lián)網(wǎng)和無線互聯(lián)網(wǎng)日趨完善，病毒的技術(shù)和攻擊目的也更加多樣，好多病毒的功能越來越多元化，集成化，智能化。4計算機病毒的介紹4.4網(wǎng)絡(luò)病毒4計算機病毒的介紹4.4.1特洛伊木馬

（1）木馬病毒概述

“特洛伊木馬”的英文名稱為TrojanHorse（其名稱取自希臘神話的《特洛伊木馬記》），是指表面看上去對人們有用或有趣，但實際上卻有害的東西，并且它的破壞性是隱蔽的。計算機中的木馬是一種基于遠(yuǎn)程控制的黑客工具，采用客戶機/服務(wù)器（c/s）工作模式。它通常包含控制端和被控制端兩部分。被控制端的木馬程序一旦植入受害者的計算機（簡稱宿主）中，操縱者就可以在控制端實時監(jiān)視該用戶的一切操作，有的放矢地竊取重要文件和信息，甚至還能遠(yuǎn)程操控受害計算機對其他計算機發(fā)動攻擊。木馬的控制端和被控制端通過網(wǎng)絡(luò)進(jìn)行交互。4計算機病毒的介紹4.4.1特洛伊木馬4計算機病毒的介紹（2）木馬的特點木馬具有隱蔽性和非授權(quán)性的特點。所謂隱蔽性，是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬。這樣，被控制端即使發(fā)現(xiàn)感染了木馬，也不能確定其準(zhǔn)確的位置。所謂非授權(quán)性，是指一旦控制端與被控制端連接后，控制端將享有被控制端的大部分操作權(quán)限，包括修改文件、修改注冊表、控制鼠標(biāo)、鍵盤等，這些權(quán)力并不是被控制端賦予的，而是通過木馬程序竊取的。4計算機病毒的介紹（2）木馬的特點4計算機病毒的介紹（3）木馬的工作過程

木馬對網(wǎng)絡(luò)主機的入侵過程，可大致分為6個步驟。配置木馬（制造者）傳播木馬（制造者上傳，用戶下載）運行木馬（用戶運行）信息泄露（病毒程序）連接建立（病毒程序）遠(yuǎn)程控制（病毒程序）

4計算機病毒的介紹（3）木馬的工作過程4計算機病毒的介紹（4）木馬的種類密碼發(fā)送型木馬鍵盤記錄型木馬破壞型木馬DOS型木馬（這個而是拒絕服務(wù)攻擊的DOS）FTP型木馬4計算機病毒的介紹（4）木馬的種類4計算機病毒的介紹4.4.2蠕蟲病毒（1）蠕蟲的定義蠕蟲病毒和普通病毒有著很大的區(qū)別。普通病毒主要是感染文件和引導(dǎo)區(qū)，而蠕蟲則是一種通過網(wǎng)絡(luò)進(jìn)行傳播的惡性代碼。它具有普通病毒的一些共性，例如傳播性、隱蔽性、破壞性等；同時也具有一些自己的特征，例如不利用文件寄生、可對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等。蠕蟲的傳染目標(biāo)是網(wǎng)絡(luò)內(nèi)的所有計算機。在破壞性上，蠕蟲病毒也不是普通病毒所能比的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延到整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。4計算機病毒的介紹4.4.2蠕蟲病毒4計算機病毒的介紹4計算機病毒的介紹蠕蟲病毒與一般病毒的區(qū)別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機4計算機病毒的介紹蠕蟲病毒與一般病毒的區(qū)別普通病毒蠕（2）蠕蟲的分類根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用戶的蠕蟲病毒和面向個人用戶的蠕蟲病毒。面向企業(yè)用戶的蠕蟲病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個網(wǎng)絡(luò)造成癱瘓性的后果，以“紅色代碼”、“尼姆達(dá)”、“SQL蠕蟲王”為代表；面向個人用戶的蠕蟲病毒通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式等）迅速傳播，以“愛蟲”、“求職信”蠕蟲為代表。按其傳播和攻擊特征，可將蠕蟲病毒分為3類，即漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲病毒。4計算機病毒的介紹（2）蠕蟲的分類4計算機病毒的介紹(3)蠕蟲的傳播

蠕蟲程序的一般傳播過程如下：（1）掃描。由蠕蟲的掃描功能模塊負(fù)責(zé)收集目標(biāo)主機的信息，尋找可利用的漏洞或弱點。當(dāng)程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。掃描采用的技術(shù)方法包括用掃描器掃描主機，探測主機的操作系統(tǒng)類型、主機名、用戶名、開放的端口、開放的服務(wù)、開放的服務(wù)器軟件版本等。（2）攻擊。攻擊模塊按步驟自動攻擊前面掃描中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限），獲得一個Shell。（3）復(fù)制。復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機中并啟動。

4計算機病毒的介紹(3)蠕蟲的傳播4計算機病毒的介紹4.5宏病毒

為了減少用戶的重復(fù)勞作，例如進(jìn)行相似的操作，Office提供了一種所謂宏的功能。利用這個功能，用戶可以把一系列的操作記錄下來，作為一個宏。之后只要運行這個宏，計算機就能自動地重復(fù)執(zhí)行那些定義在宏中的所有操作。這種宏操作一方面方便了普通的計算機用戶，另一方面卻也給病毒制造者提供了可乘之機。宏病毒是一種專門感染Office系列文檔的惡性病毒。1995年，世界上發(fā)現(xiàn)了第一個宏病毒Concept。由于宏的編程語言VBA簡單易學(xué)，因此大量的宏病毒層出不窮，短短兩年時間其數(shù)量就上升至20000多種!4計算機病毒的介紹4.5宏病毒4計算機病毒的介紹5.1病毒技巧（1）病毒文件的隱藏技術(shù)（同理病毒進(jìn)程、注冊表、服務(wù)端口等）（2）病毒的花指令（3）病毒的加密（4）加殼技術(shù)（5）特征碼定位（6）反調(diào)試技術(shù)5計算機病毒的對抗技術(shù)5.1病毒技巧5計算機病毒的對抗技術(shù)（1）病毒的隱藏技術(shù)5計算機病毒的對抗技術(shù)（1）病毒的隱藏技術(shù)5計算機病毒的對抗技術(shù)（1）病毒文件的隱藏技術(shù)用戶態(tài)文件隱藏用戶態(tài)HOOK（主要為IAT鉤子）掛鉤API兩個函數(shù)：FindFirstFile和FindNextFile內(nèi)核態(tài)文件隱藏核心態(tài)HOOK（主要為SSDT鉤子）掛鉤API一個函數(shù)：ZwQueryDirectoryFile5計算機病毒的對抗技術(shù)（1）病毒文件的隱藏技術(shù)5計算機病毒的對抗技術(shù)（2）病毒文件的花指令

一個沒有任何防護(hù)措施的程序，很容易被完整地靜態(tài)反匯編出來。為了達(dá)到迷惑破解者的目的，病毒作者往往在程序中加入花指令。這不僅僅用在計算機病毒中以防止被輕易分析出其病毒結(jié)構(gòu)和原理，它也常常用在很多正常的軟件中，以防止遭到非法破解。所謂花指令就是在我們的程序之間加入一些似乎沒有什么意義的代碼，這些代碼不會妨礙程序的正常低運行，但是在靜態(tài)反匯編時，去會讓原本正常的代碼解釋成難以讀懂甚至有些怪異的匯編代碼。5計算機病毒的對抗技術(shù)（2）病毒文件的花指令5計算機病毒的對抗技術(shù)（3）病毒文件的加密盡管有些病毒采用了花指令，但是還是比較容易地被正確地反匯編出來。為了加大靜態(tài)反匯編的難度，提高病毒的生存能力，病毒制造者采用了病毒的加密技術(shù)，該技術(shù)目前已經(jīng)得到很大的發(fā)展，進(jìn)而演變出病毒的多態(tài)技術(shù)和病毒的變形技術(shù)。5計算機病毒的對抗技術(shù)一個簡單的加密病毒一般有如下幾個部分：解密算法（解開被加密的代碼，一遍病毒執(zhí)行）病毒主體代碼（被加密的病毒代碼）跳轉(zhuǎn)（病毒解密完畢后，跳轉(zhuǎn)到解密代碼部分執(zhí)行病毒語句）病毒代碼密文解密代碼EIP病毒代碼明文解密代碼EIP解密（3）病毒文件的加密5計算機病毒的對抗技術(shù)一個簡單的加密?。?）加殼技術(shù)殼是一種專用的加密軟件，現(xiàn)在越來越多的軟件都是用加殼保護(hù)。在一些計算機軟件里有一段專門負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序，它們附加在原程序上通過Windows加載器載入內(nèi)存后，先于原始程序執(zhí)行，得到控制權(quán)，執(zhí)行過程中對原始程序進(jìn)行解密、還原，還原完成后再把控制權(quán)還給原始程序，執(zhí)行原來的代碼部分。這段程序就是“殼”。病毒同樣運用了這個技術(shù)來防止程序被靜態(tài)反編譯。

5計算機病毒的對抗技術(shù)（4）加殼技術(shù)5計算機病毒的對抗技術(shù)（5）特征碼定位特征碼識別是殺毒軟件查殺病毒的重要手段之一。病毒在特征碼就是從病毒體內(nèi)不同位置提取的一系列字節(jié)，殺毒軟件就是通過這些字節(jié)及位置信息來檢驗?zāi)硞€文件是否病毒。

特征碼定位的原理就是使用特定的字符，每次修改原文件部分內(nèi)容，然后將新生成的所有文件交給殺毒軟件掃描，如果原文件的特征碼部分被修改了，這個新生成的文件就無法被殺毒軟件掃描出來。因此就可以找到原文件的特征碼在哪個位置，然后病毒的編寫者針對相應(yīng)位置進(jìn)行修改。

5計算機病毒的對抗技術(shù)（5）特征碼定位5計算機病毒的對抗技術(shù)（6）反調(diào)試技術(shù)反虛擬分析環(huán)境反調(diào)試抗動態(tài)啟發(fā)式掃描

5計算機病毒的對抗技術(shù)（6）反調(diào)試技術(shù)5計算機病毒的對抗技術(shù)5.2計算機病毒對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）（2）病毒發(fā)現(xiàn)與清除（多用于手動查殺）5計算機病毒的對抗技術(shù)5.2計算機病毒對抗技術(shù)5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）特征值檢測技術(shù)校驗和檢測技術(shù)啟發(fā)式掃描技術(shù)虛擬機技術(shù)主動防御技術(shù)5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（1）病毒的檢測技術(shù)（多用于殺毒軟件）特征值檢測技術(shù)計算機病毒的特征值是指計算機病毒本身在特定的寄生環(huán)境中確認(rèn)自身是否存在的標(biāo)記符號，是指病毒在傳染宿主程序時，首先判斷該病毒欲傳染的宿主是否已染有該病毒，按照特定的偏移量從文件中提出的特征值。校驗和檢測技術(shù)

校驗和技術(shù)是冗余校驗的一種形式，一般在數(shù)據(jù)通信和數(shù)據(jù)處理時用來校驗一組數(shù)據(jù)的完整性。其原理就是當(dāng)?shù)刃ｒ灥臄?shù)據(jù)發(fā)生改變是，重新生成的校驗和就會發(fā)生變化。5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（1）病毒的檢測技術(shù)（多用于殺毒軟件）啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)是通過分析指令出現(xiàn)的順序，或特定組合情況等常見病毒的標(biāo)準(zhǔn)特征來決定文件是否感染病。病毒要達(dá)到感染和破壞的目的，通常的行為都會有一定的特征，例如：非常規(guī)讀寫文件，終結(jié)自身，非常規(guī)切入等。所以可以根據(jù)掃描特定的行為或多種行為的組合來判斷一個程序是否是病毒。虛擬機技術(shù)很多殺毒軟件廠商引入了虛擬機的概念，讓病毒程序虛擬執(zhí)行解密出的病毒體并暴露病毒的行為，反病毒虛擬機控制著病毒的每條指令的執(zhí)行，等到病毒執(zhí)行到特定的位置進(jìn)行查毒和清毒的操作。5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（1）病毒的檢測技術(shù)（多用于殺毒軟件）主動防御技術(shù)主動防御技術(shù)是近幾年反病毒廠商所采用的新技術(shù)之一，特指對計算機病毒的行為進(jìn)行分析來實現(xiàn)的檢測技術(shù)。主動防御技術(shù)是基于程序文件特征和程序行為自主分析判斷的實時防護(hù)技術(shù)。

應(yīng)用層的應(yīng)用程序執(zhí)行的功能最終都要通過SSDT表轉(zhuǎn)到內(nèi)核層實現(xiàn)。只要將SSDT表中的內(nèi)核API地址替換成我們自己的函數(shù)地址，這樣就可以攔截用戶層的API調(diào)用了，還可以根據(jù)條件拒絕API的調(diào)用，從而實現(xiàn)病毒行為的阻止。這就是我之前說的SSDTHOOK技術(shù)。5計算機病毒的對抗技術(shù)（1）病毒的檢測技術(shù)（多用于殺毒軟件）5計算機病毒的對抗技（2）病毒的發(fā)現(xiàn)與清除（多用于手動查殺）手動查殺的時機與目的（對于非專業(yè)人士）：在沒有殺毒軟件或是殺毒軟件被干掉的情況下感染的病毒計算機需要手動查殺，目的是為了結(jié)束病毒的運行和控制，是殺毒軟件可以正常安裝或運行，最終查殺還是需要交給專業(yè)的殺毒軟件。病毒行為分析：虛擬機(vmware)+反病毒小工具。反病毒小工具：IDA（反匯編）、ProcessMonitor（監(jiān)控文件，注冊表，端口、進(jìn)程）、xuetr（手殺輔助工具）、Iceword