第十一章 惡意代碼檢測與防范技術(shù)2學(xué)時第十一章 惡意代碼檢測與防范技術(shù)2學(xué)時1課間播放

QQ密碼攻擊過程演示課間播放

QQ密碼攻擊過程演示2本章內(nèi)容常見惡意代碼惡意代碼的機(jī)理惡意代碼分析與檢測惡意代碼清除與防范本章內(nèi)容常見惡意代碼311.1 常見惡意代碼惡意代碼是指以危害信息的安全等不良意圖為目的的程序。 惡意代碼的危害攻擊系統(tǒng)危害數(shù)據(jù)文件的安全存儲和使用泄露文件、配置和隱私信息肆意占用資源攻擊應(yīng)用程序11.1 常見惡意代碼惡意代碼是指以危害信息的安全等不良意圖4 常見的惡意代碼計算機(jī)病毒蠕蟲特洛伊木馬后門程序惡作劇程序瀏覽器劫持軟件、間諜軟件等 常見的惡意代碼5計算機(jī)病毒計算機(jī)病毒是一種特殊的計算機(jī)程序，能夠?qū)ふ宜拗鲗ο?，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。計算機(jī)病毒計算機(jī)病毒是一種特殊的計算機(jī)程序，能夠?qū)ふ宜拗鲗ο?1994年2月18日，我國正式頒布實施《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》的第二十八條中明確指出：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。1994年2月18日，我國正式頒布實施《中華人民共和國計算機(jī)7計算機(jī)病毒的特點(diǎn)傳染性:計算機(jī)病毒也會通過各種媒體從已被 感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)。隱蔽性:計算機(jī)病毒隱蔽性是指計算機(jī)病毒不 經(jīng)過程序代碼分析或計算機(jī)病毒代碼掃描，病 毒程序與正常程序是不容易區(qū)別開來的。

計算機(jī)病毒的特點(diǎn)8潛伏性（依附性）:計算機(jī)病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。潛伏性的一種表現(xiàn)指的是病毒程序如果不用專門的檢測程序是檢測，是檢查不來的，因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。

表現(xiàn)性:病毒的表現(xiàn)性是指當(dāng)病毒觸發(fā)條件滿足時，病毒在被計算機(jī)病毒感染的計算機(jī)上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。

傳染性和依附性是計算機(jī)病毒區(qū)別且他惡意代碼的本質(zhì)特征信息安全技術(shù)概論之惡意代碼檢測與防范技術(shù)9病毒未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞被動搭線竊聽主動搭線竊聽筆記本電腦盜竊內(nèi)部人員對網(wǎng)絡(luò)的濫用73％68％57％39％10％20％30％40％50％60％70％80％021％73％16％14％13％13％9％1％

據(jù)1998年CSI/FBI計算機(jī)犯罪和安全調(diào)查報告中對攻擊的分類調(diào)查顯示，計算機(jī)病毒占所有攻擊類型的首位.病毒未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞10計算機(jī)病毒的分類攻擊對象計算機(jī)系統(tǒng)病毒計算機(jī)網(wǎng)絡(luò)病毒操作系統(tǒng)WindowsLinuxunix感染對象引導(dǎo)型文件型

計算機(jī)病毒的分類11CIH病毒CIH病毒，又名"切爾諾貝利"，是一種可怕的電腦病毒。它屬于MicrosoftOffice的macro病毒類。它會感染你的電腦里面的*.exe(執(zhí)行檔)，由Win95/98至所有的應(yīng)用軟件。感染速度十分之快，所以也十分可怕。它是臺灣大學(xué)生陳英豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時，完成以他的英文名字縮寫"CIH"名的電腦病毒（即切核病毒）。CIH病毒是繼DOS病毒、Windows病毒、宏病毒后的第四類新型病毒。

CIH病毒12蠕蟲蠕蟲是一種可以通過網(wǎng)絡(luò)（永久性網(wǎng)絡(luò)連接或撥號網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。蠕蟲是一個獨(dú)立運(yùn)行的程序，自身不改變其他程序，但可攜帶一個具有改變其他程序功能的病毒。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得像計算機(jī)病毒?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動。普通計算機(jī)病毒需要在計算機(jī)的硬盤或文件系統(tǒng)中繁殖，而典型的蠕蟲程序則不同，只會在內(nèi)存中維持一個活動副本，甚至根本不向硬盤中寫入任何信息。 蠕蟲13蠕蟲的復(fù)制步驟搜索系統(tǒng)或網(wǎng)絡(luò)，確認(rèn)下一步要感染的目標(biāo)建立與其他系統(tǒng)或遠(yuǎn)程主機(jī)的連接將自身復(fù)制到其他系統(tǒng)或遠(yuǎn)程主機(jī)，并盡可能激活它們信息安全技術(shù)概論之惡意代碼檢測與防范技術(shù)14劃時代的“紅色代碼”2001.7紅色代碼“紅色代碼”病毒是一種新型網(wǎng)絡(luò)病毒，其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合，將網(wǎng)絡(luò)蠕蟲、計算機(jī)病毒、木馬程序合為一體，開創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路，可稱之為劃時代的病毒?！凹t色代碼”病毒是通過微軟公司IIS系統(tǒng)漏洞進(jìn)行感染，它使IIS服務(wù)程序處理請求數(shù)據(jù)包時溢出，導(dǎo)致把此“數(shù)據(jù)包”當(dāng)作代碼運(yùn)行，病毒駐留后再次通過此漏洞感染其它服務(wù)器。信息安全技術(shù)概論之惡意代碼檢測與防范技術(shù)15“紅色代碼”病毒采用了一種叫做“緩存區(qū)溢出”的黑客技術(shù)，利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來進(jìn)行病毒傳播。這個蠕蟲病毒使用服務(wù)器的端口80進(jìn)行傳播，而這個端口正是Web服務(wù)器與瀏覽器進(jìn)行信息交流的渠道?！凹t色代碼II”病毒體內(nèi)還包含一個木馬程序，這意味著計算機(jī)黑客可以對受到入侵的計算機(jī)實施全程遙控，并使得“紅色代碼II”擁有前身無法比擬的可擴(kuò)充性，只要病毒作者愿意，隨時可更換此程序來達(dá)到不同的目的?！凹t色代碼”病毒采用了一種叫做“緩存區(qū)溢出”的黑客技術(shù)，利用16特洛伊木馬特洛伊木馬是指一個有用的，或者表面上有用的程序或命令過程，但其中包含了一段隱藏的、激活時將執(zhí)行某種有害功能的代碼，可以控制用戶計算機(jī)系統(tǒng)的程序，并可能造成用戶的系統(tǒng)被破壞甚至癱瘓。特洛伊木馬程序可以用來非直接地完成一些非授權(quán)用戶不能直接完成的功能。木馬不是病毒，不復(fù)制。

特洛伊木馬特洛伊木馬是指一個有用的，或者表面上有用的程序或命17原理 鴿子遠(yuǎn)程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過各種渠道傳播這個服務(wù)端（俗稱種木馬）。上機(jī)實驗

灰鴿子木馬原理灰鴿子木馬1811.2 惡意代碼的機(jī)理

傳播機(jī)制文件流動網(wǎng)頁腳本和插件電子郵件數(shù)字內(nèi)容播放網(wǎng)絡(luò)攻擊自我傳播

11.2 惡意代碼的機(jī)理 傳播機(jī)制19

感染機(jī)制感染引導(dǎo)系統(tǒng)

內(nèi)存病毒感染其它磁盤原始引導(dǎo)扇區(qū)信息引導(dǎo)扇區(qū)病毒感染過程 感染機(jī)制內(nèi)存病毒感染原始引導(dǎo)扇區(qū)信息引導(dǎo)扇區(qū)病毒20

感染文件

覆蓋型文件病毒依附型文件病毒伴隨型病毒.EXE病毒.EXE文件型病毒工作方式.EXE.COM 感染文件覆蓋型文件病毒依附型文件病毒21

感染結(jié)構(gòu)化文檔所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運(yùn)行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的工作。所謂宏病毒，就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。

感染結(jié)構(gòu)化文檔22

宏病毒的分類

宏病毒根據(jù)傳染的宿主的不同可以分為：傳染W(wǎng)ord的宏病毒、傳染Excel的宏病毒和傳染AmiPro的宏病毒。由于目前國內(nèi)Word系統(tǒng)應(yīng)用較多，所以大家談?wù)摰暮瓴《疽话闶侵竁ord宏病毒。

宏病毒的分類23

Word宏病毒的特點(diǎn)

（1）以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速 度快，難于殺除 （2）制作宏病毒以及在原型病毒上變種非常方便 （3）破壞可能性極大

Word宏病毒的特點(diǎn)24

Word宏病毒的表現(xiàn)

Word宏病毒在發(fā)作時，會使Word運(yùn)行出現(xiàn)怪現(xiàn)象，如自動建文件、開窗口、內(nèi)存總是不夠、關(guān)閉WORD不對已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機(jī)無法正常打印。Word宏病毒在傳染時，會使原有文件屬性和類型發(fā)生改變，或Word自動對磁盤進(jìn)行操作等。當(dāng)內(nèi)存中有Word宏病毒時，原Word文檔無法另存為其他格式的文件，只能以模板形式進(jìn)行存儲。

Word宏病毒的表現(xiàn)25

感染網(wǎng)絡(luò)服務(wù)或客戶端假冒文件

感染網(wǎng)絡(luò)服務(wù)或客戶端2611.3 惡意代碼分析與檢測1.比較法比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件）。這種比較法不需要專用的查病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計算機(jī)病毒。因為病毒傳播得很快，新病毒層出不窮，還沒有做出通用的能查出一切病毒，發(fā)現(xiàn)新病毒就只有靠比較法和分析法，有時必須結(jié)合這兩者來一同工作。11.3 惡意代碼分析與檢測1.比較法272.特征代碼掃描法

病毒的特征代碼是病毒程序編制者用來識別自己編寫程序唯一的代碼串?？衫貌《镜奶卣鞔a檢測病毒程序和防止病毒程序傳染。 特征代碼掃描法所用的軟件由兩部分組成：一部分是病毒代碼庫，含有經(jīng)過特別選定的各種計算機(jī)病毒的代碼串；另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。打開被檢測文件，搜索檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定被查文件中患有何種病毒。

2.特征代碼掃描法283.校驗和法 將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN工具的后期版本中除了病毒特征代碼法之外，還納入校驗和法，以提高其檢測能力。3.校驗和法294.分析法一般使用分析法的人不是普通用戶，而是反病毒技術(shù)人員。使用分析法的目的在于：確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒；如果有病毒，確認(rèn)病毒的類型和種類，判定其是否是一種新病毒；如果是新病毒，搞清楚病毒體的大致結(jié)構(gòu)，提取特征代碼或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用；詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。4.分析法3011.4 惡意代碼清除與防范

清除計算機(jī)病毒完全是建立在正確檢測出病毒的基礎(chǔ)之上的。沒有正確的判斷，就沒有正確的行動。

清除計算機(jī)病毒主要包括的工作：清除計算機(jī)病毒主要包括的工作

清除內(nèi)存中的病毒清除磁盤中的病毒病毒發(fā)作后的善后處理工作清除病毒引導(dǎo)區(qū)病毒文件病毒11.4 惡意代碼清除與防范 清除計算機(jī)病毒完全是建立在正確31惡意代碼預(yù)防措施惡意代碼檢測、定時、在線檢測在線監(jiān)控程序行為保護(hù)重要文件隔離可疑文件備份和恢復(fù)重要數(shù)據(jù)制定安全防范措施在線更新惡意代碼特征惡意代碼預(yù)防措施3211.5 小結(jié)

11.5 小結(jié) 33第十一章 惡意代碼檢測與防范技術(shù)2學(xué)時第十一章 惡意代碼檢測與防范技術(shù)2學(xué)時34課間播放

QQ密碼攻擊過程演示課間播放

QQ密碼攻擊過程演示35本章內(nèi)容常見惡意代碼惡意代碼的機(jī)理惡意代碼分析與檢測惡意代碼清除與防范本章內(nèi)容常見惡意代碼3611.1 常見惡意代碼惡意代碼是指以危害信息的安全等不良意圖為目的的程序。 惡意代碼的危害攻擊系統(tǒng)危害數(shù)據(jù)文件的安全存儲和使用泄露文件、配置和隱私信息肆意占用資源攻擊應(yīng)用程序11.1 常見惡意代碼惡意代碼是指以危害信息的安全等不良意圖37 常見的惡意代碼計算機(jī)病毒蠕蟲特洛伊木馬后門程序惡作劇程序瀏覽器劫持軟件、間諜軟件等 常見的惡意代碼38計算機(jī)病毒計算機(jī)病毒是一種特殊的計算機(jī)程序，能夠?qū)ふ宜拗鲗ο?，并且依附于宿主，是一類具有傳染、隱蔽、破壞等能力的惡意代碼。計算機(jī)病毒計算機(jī)病毒是一種特殊的計算機(jī)程序，能夠?qū)ふ宜拗鲗ο?91994年2月18日，我國正式頒布實施《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》的第二十八條中明確指出：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。”此定義具有法律性、權(quán)威性。1994年2月18日，我國正式頒布實施《中華人民共和國計算機(jī)40計算機(jī)病毒的特點(diǎn)傳染性:計算機(jī)病毒也會通過各種媒體從已被 感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)。隱蔽性:計算機(jī)病毒隱蔽性是指計算機(jī)病毒不 經(jīng)過程序代碼分析或計算機(jī)病毒代碼掃描，病 毒程序與正常程序是不容易區(qū)別開來的。

計算機(jī)病毒的特點(diǎn)41潛伏性（依附性）:計算機(jī)病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。潛伏性的一種表現(xiàn)指的是病毒程序如果不用專門的檢測程序是檢測，是檢查不來的，因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。

表現(xiàn)性:病毒的表現(xiàn)性是指當(dāng)病毒觸發(fā)條件滿足時，病毒在被計算機(jī)病毒感染的計算機(jī)上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。

傳染性和依附性是計算機(jī)病毒區(qū)別且他惡意代碼的本質(zhì)特征信息安全技術(shù)概論之惡意代碼檢測與防范技術(shù)42病毒未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞被動搭線竊聽主動搭線竊聽筆記本電腦盜竊內(nèi)部人員對網(wǎng)絡(luò)的濫用73％68％57％39％10％20％30％40％50％60％70％80％021％73％16％14％13％13％9％1％

據(jù)1998年CSI/FBI計算機(jī)犯罪和安全調(diào)查報告中對攻擊的分類調(diào)查顯示，計算機(jī)病毒占所有攻擊類型的首位.病毒未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞43計算機(jī)病毒的分類攻擊對象計算機(jī)系統(tǒng)病毒計算機(jī)網(wǎng)絡(luò)病毒操作系統(tǒng)WindowsLinuxunix感染對象引導(dǎo)型文件型

計算機(jī)病毒的分類44CIH病毒CIH病毒，又名"切爾諾貝利"，是一種可怕的電腦病毒。它屬于MicrosoftOffice的macro病毒類。它會感染你的電腦里面的*.exe(執(zhí)行檔)，由Win95/98至所有的應(yīng)用軟件。感染速度十分之快，所以也十分可怕。它是臺灣大學(xué)生陳英豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時，完成以他的英文名字縮寫"CIH"名的電腦病毒（即切核病毒）。CIH病毒是繼DOS病毒、Windows病毒、宏病毒后的第四類新型病毒。

CIH病毒45蠕蟲蠕蟲是一種可以通過網(wǎng)絡(luò)（永久性網(wǎng)絡(luò)連接或撥號網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。蠕蟲是一個獨(dú)立運(yùn)行的程序，自身不改變其他程序，但可攜帶一個具有改變其他程序功能的病毒。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得像計算機(jī)病毒?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動。普通計算機(jī)病毒需要在計算機(jī)的硬盤或文件系統(tǒng)中繁殖，而典型的蠕蟲程序則不同，只會在內(nèi)存中維持一個活動副本，甚至根本不向硬盤中寫入任何信息。 蠕蟲46蠕蟲的復(fù)制步驟搜索系統(tǒng)或網(wǎng)絡(luò)，確認(rèn)下一步要感染的目標(biāo)建立與其他系統(tǒng)或遠(yuǎn)程主機(jī)的連接將自身復(fù)制到其他系統(tǒng)或遠(yuǎn)程主機(jī)，并盡可能激活它們信息安全技術(shù)概論之惡意代碼檢測與防范技術(shù)47劃時代的“紅色代碼”2001.7紅色代碼“紅色代碼”病毒是一種新型網(wǎng)絡(luò)病毒，其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合，將網(wǎng)絡(luò)蠕蟲、計算機(jī)病毒、木馬程序合為一體，開創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路，可稱之為劃時代的病毒?！凹t色代碼”病毒是通過微軟公司IIS系統(tǒng)漏洞進(jìn)行感染，它使IIS服務(wù)程序處理請求數(shù)據(jù)包時溢出，導(dǎo)致把此“數(shù)據(jù)包”當(dāng)作代碼運(yùn)行，病毒駐留后再次通過此漏洞感染其它服務(wù)器。信息安全技術(shù)概論之惡意代碼檢測與防范技術(shù)48“紅色代碼”病毒采用了一種叫做“緩存區(qū)溢出”的黑客技術(shù)，利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來進(jìn)行病毒傳播。這個蠕蟲病毒使用服務(wù)器的端口80進(jìn)行傳播，而這個端口正是Web服務(wù)器與瀏覽器進(jìn)行信息交流的渠道?！凹t色代碼II”病毒體內(nèi)還包含一個木馬程序，這意味著計算機(jī)黑客可以對受到入侵的計算機(jī)實施全程遙控，并使得“紅色代碼II”擁有前身無法比擬的可擴(kuò)充性，只要病毒作者愿意，隨時可更換此程序來達(dá)到不同的目的?！凹t色代碼”病毒采用了一種叫做“緩存區(qū)溢出”的黑客技術(shù)，利用49特洛伊木馬特洛伊木馬是指一個有用的，或者表面上有用的程序或命令過程，但其中包含了一段隱藏的、激活時將執(zhí)行某種有害功能的代碼，可以控制用戶計算機(jī)系統(tǒng)的程序，并可能造成用戶的系統(tǒng)被破壞甚至癱瘓。特洛伊木馬程序可以用來非直接地完成一些非授權(quán)用戶不能直接完成的功能。木馬不是病毒，不復(fù)制。

特洛伊木馬特洛伊木馬是指一個有用的，或者表面上有用的程序或命50原理 鴿子遠(yuǎn)程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過各種渠道傳播這個服務(wù)端（俗稱種木馬）。上機(jī)實驗

灰鴿子木馬原理灰鴿子木馬5111.2 惡意代碼的機(jī)理

傳播機(jī)制文件流動網(wǎng)頁腳本和插件電子郵件數(shù)字內(nèi)容播放網(wǎng)絡(luò)攻擊自我傳播

11.2 惡意代碼的機(jī)理 傳播機(jī)制52

感染機(jī)制感染引導(dǎo)系統(tǒng)

內(nèi)存病毒感染其它磁盤原始引導(dǎo)扇區(qū)信息引導(dǎo)扇區(qū)病毒感染過程 感染機(jī)制內(nèi)存病毒感染原始引導(dǎo)扇區(qū)信息引導(dǎo)扇區(qū)病毒53

感染文件

覆蓋型文件病毒依附型文件病毒伴隨型病毒.EXE病毒.EXE文件型病毒工作方式.EXE.COM 感染文件覆蓋型文件病毒依附型文件病毒54

感染結(jié)構(gòu)化文檔所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運(yùn)行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的工作。所謂宏病毒，就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。

感染結(jié)構(gòu)化文檔55

宏病毒的分類

宏病毒根據(jù)傳染的宿主的不同可以分為：傳染W(wǎng)ord的宏病毒、傳染Excel的宏病毒和傳染AmiPro的宏病毒。由于目前國內(nèi)Word系統(tǒng)應(yīng)用較多，所以大家談?wù)摰暮瓴《疽话闶侵竁ord宏病毒。

宏病毒的分類56

Word宏病毒的特點(diǎn)

（1）以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速 度快，難于殺除 （2）制作宏病毒以及在原型病毒上變種非常方便 （3）破壞可能性極大

Word宏病毒的特點(diǎn)57

Word宏病毒的表現(xiàn)

Word宏病毒在發(fā)作時，會使Word運(yùn)行出現(xiàn)怪現(xiàn)象，如自動建文件、開窗口、內(nèi)存總是不夠、關(guān)閉WORD不對已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機(jī)無法正常打印。Word宏病毒在傳染時，會使原有文件屬性和類型發(fā)生改變，或Word自動對磁盤進(jìn)行操作等。當(dāng)內(nèi)存中有Word宏病毒時，原Word文檔無法另存為其他格式的文件，只能以模板形式進(jìn)行存儲。

Word宏病毒的表現(xiàn)58

感染網(wǎng)絡(luò)服務(wù)或客戶端假冒文件

感染網(wǎng)絡(luò)服務(wù)或客戶端5911.3 惡意代碼分析與檢測1.比較法比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進(jìn)行比較，或用程序來進(jìn)行比較（如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件）。這種比較法不需要專用的查病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計算機(jī)病毒。因為病毒傳播得很快，新病毒層出不窮，還沒有做出通用的能查出一切病毒，發(fā)現(xiàn)新病毒就只有靠比較法和分析法，有時必須結(jié)