反病毒知識(shí)培訓(xùn)教程培訓(xùn)講師：付欲華反病毒知識(shí)培訓(xùn)教程培訓(xùn)講師：付欲華1第一部分病毒知識(shí)（一）病毒基礎(chǔ)知識(shí)一、病毒的概念和特點(diǎn) 1.病毒的定義

計(jì)算機(jī)病毒從廣義上講，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)、影響計(jì)算機(jī)的正常運(yùn)行的指令或代碼統(tǒng)稱為計(jì)算機(jī)病毒。在計(jì)算機(jī)發(fā)展過(guò)程中，專家和研究者對(duì)計(jì)算機(jī)病毒也做過(guò)不盡相同的定義，但一直沒(méi)有公認(rèn)的明確定義。在我國(guó)，1994年2月18日頒布實(shí)施的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)計(jì)算機(jī)病毒作出了明確的定義，《條例》第二十八條中規(guī)定：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”第一部分病毒知識(shí)（一）病毒基礎(chǔ)知識(shí)2第一部分病毒知識(shí) 2.病毒的特征破壞性隱藏性傳染性潛伏性第一部分病毒知識(shí)3第一部分病毒知識(shí)破壞性

破壞性是計(jì)算機(jī)病毒的首要特征，不具有破壞行為的指令或代碼不能稱為計(jì)算機(jī)病毒。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響,輕者占用系統(tǒng)資源，降低計(jì)算機(jī)工作效率，重者竊取數(shù)據(jù)、破壞數(shù)據(jù)和程序，甚至導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫(huà)面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源，如無(wú)法關(guān)閉的玩笑程序等。惡性病毒則有明確得目的，或竊取重要信息如銀行帳號(hào)和密碼，或打開(kāi)后門接受遠(yuǎn)程控制等。隱蔽性

計(jì)算機(jī)病毒雖然是采用同正常程序一樣的技術(shù)編寫(xiě)而成，但因?yàn)槠淦茐牡哪康?，因此?huì)千方百計(jì)地隱藏自己的蛛絲馬跡，以防止用戶發(fā)現(xiàn)、刪除它。病毒通常沒(méi)有任何可見(jiàn)的界面，并采用隱藏進(jìn)程、文件等手段來(lái)隱藏自己。大部分的病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了隱藏。第一部分病毒知識(shí)4第一部分病毒知識(shí)傳染性

計(jì)算機(jī)病毒同自然界的生物病毒一樣也具有傳染性。病毒作者為了最大地達(dá)到其目的，總會(huì)盡力使病毒傳播到更多的計(jì)算機(jī)系統(tǒng)上。病毒通常會(huì)通過(guò)網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)等各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)中，感染型病毒會(huì)通過(guò)直接將自己植入正常程序的方法來(lái)傳播。潛伏性

許多病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊，如有些病毒會(huì)在特定的時(shí)間發(fā)作。第一部分病毒知識(shí)5第一部分病毒知識(shí) 3.病毒的通用命名規(guī)則

病毒名是由以下6字段組成的：

主行為類型.子行為類型.宿主文件類型.主名稱.版本信息.主名稱變種號(hào)#內(nèi)部信息

其中字段之間使用“.”或“-”分隔，#號(hào)以后屬于內(nèi)部信息，為推舉結(jié)構(gòu)。

主行為類型與病毒子行為類型

病毒可能包含多個(gè)主行為類型，這種情況可以通過(guò)每種主行為類型的危害級(jí)別確定危害級(jí)別最高的作為病毒的主行為類型。同樣的，病毒也可能包含多個(gè)子行為類型，這種情況可以通過(guò)每種主行為類型的危害級(jí)別確定危害級(jí)別最高的作為病毒的子行為類型。其中危害級(jí)別是指對(duì)病毒所在計(jì)算機(jī)的危害。 病毒主行為類型與病毒子行為類型存在對(duì)應(yīng)關(guān)系，下表將描述這一對(duì)應(yīng)關(guān)系：第一部分病毒知識(shí) 3.病毒的通用命名規(guī)則6第一部分病毒知識(shí)主行為類型

子行為類型

Backdoor危害級(jí)別：1說(shuō)明：中文名稱—“后門”，是指在用戶不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制，而且用戶無(wú)法通過(guò)正常的方法禁止其運(yùn)行。“后門”其實(shí)是木馬的一種特例，它們之間的區(qū)別在于“后門”可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制（如：文件管理、進(jìn)程控制等）。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型。

Worm危害級(jí)別：2說(shuō)明：中文名稱—“蠕蟲(chóng)”，是指利用系統(tǒng)的漏洞、外發(fā)郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動(dòng)存儲(chǔ)介質(zhì)（如：U盤(pán)、軟盤(pán)），這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用于表示病毒所使用的傳播方式。

Mail危害級(jí)別：1說(shuō)明：通過(guò)郵件傳播

IM危害級(jí)別：2說(shuō)明：通過(guò)某個(gè)不明確的即時(shí)通訊軟件傳播

MSN危害級(jí)別：3說(shuō)明：通過(guò)MSN傳播

QQ危害級(jí)別：4說(shuō)明：通過(guò)OICQ傳播

第一部分病毒知識(shí)主行為類型子行為類型Backdoor（7第一部分病毒知識(shí)ICQ危害級(jí)別：5說(shuō)明：通過(guò)ICQ傳播

P2P危害級(jí)別：6說(shuō)明：通過(guò)P2P軟件傳播IRC危害級(jí)別：7說(shuō)明：通過(guò)ICR傳播

（空）說(shuō)明：不依賴其他軟件進(jìn)行傳播的傳播方式，如：利用系統(tǒng)漏洞、共享目錄、可移動(dòng)存儲(chǔ)介質(zhì)。

Trojan危害級(jí)別：3說(shuō)明：中文名稱—“木馬”，是指在用戶不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行，而且用戶無(wú)法通過(guò)正常的方法禁止其運(yùn)行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。

Spy危害級(jí)別：1說(shuō)明：竊取用戶信息（如：文件等）

PSW危害級(jí)別：2說(shuō)明：具有竊取密碼的行為

DL危害級(jí)別：3說(shuō)明：下載病毒并運(yùn)行IMMSG危害級(jí)別：4說(shuō)明：通過(guò)某個(gè)不明確的載體或多個(gè)明確的載體傳播即時(shí)消息（這一行為與蠕蟲(chóng)的傳播行為不同，蠕蟲(chóng)是傳播病毒自己，木馬僅僅是傳播消息）MSNMSG危害級(jí)別：5說(shuō)明：通過(guò)MSN傳播即時(shí)消息第一部分病毒知識(shí)ICQ危害級(jí)別：5P2P危害級(jí)8第一部分病毒知識(shí)QQMSG危害級(jí)別：6說(shuō)明：通過(guò)OICQ傳播即時(shí)消息

ICQMSG危害級(jí)別：7說(shuō)明：通過(guò)ICQ傳播即時(shí)消息

UCMSG危害級(jí)別：8說(shuō)明：通過(guò)UC傳播即時(shí)消息

Proxy危害級(jí)別：9說(shuō)明：將被感染的計(jì)算機(jī)作為代理服務(wù)器

Clicker危害級(jí)別：10說(shuō)明：點(diǎn)擊指定的網(wǎng)頁(yè)Dialer危害級(jí)別：12說(shuō)明：通過(guò)撥號(hào)來(lái)騙取Money的程序

（空）說(shuō)明：無(wú)法描述其利益目的但又符合木馬病毒的基本特征，則不用具體的子行為進(jìn)行描述

Virus危害級(jí)別：4說(shuō)明：中文名稱“感染型病毒”，是指將病毒代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運(yùn)行宏的文件）中，使病毒代碼在被感染宿主文件運(yùn)行時(shí)取得運(yùn)行權(quán)的病毒。（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

第一部分病毒知識(shí)QQMSG危害級(jí)別：6ICQMSG9第一部分病毒知識(shí)Harm危害級(jí)別：5說(shuō)明：中文名稱—“破壞性程序”，是指那些不會(huì)傳播也不感染，運(yùn)行后直接破壞本地計(jì)算機(jī)（如：格式化硬盤(pán)、大量刪除文件等）導(dǎo)致本地計(jì)算機(jī)無(wú)法正常使用的程序。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Dropper危害級(jí)別：6說(shuō)明：中文名稱—“釋放病毒的程序”，是指不屬于正常的安裝或自解壓程序，并且運(yùn)行后釋放病毒并將它們運(yùn)行。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Hack危害級(jí)別：無(wú)說(shuō)明：中文名稱—“黑客工具”，是指可以在本地計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)攻擊其他計(jì)算機(jī)的工具。

Exploit說(shuō)明：漏洞探測(cè)攻擊工具

DDoser說(shuō)明：拒絕服務(wù)攻擊工具

Flooder說(shuō)明：洪水攻擊工具

（空）說(shuō)明：不能明確攻擊方式并與黑客相關(guān)的軟件，則不用具體的子行為進(jìn)行描述

Binder危害級(jí)別：無(wú)說(shuō)明：捆綁病毒的工具

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

第一部分病毒知識(shí)Harm（空）Dropper（空）Hack10第一部分病毒知識(shí)Constructor危害級(jí)別：無(wú)說(shuō)明：中文名稱—“病毒生成器”，是指可以生成不同功能的病毒的程序。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Joke危害級(jí)別：無(wú)說(shuō)明：中文名稱—“玩笑程序”，是指運(yùn)行后不會(huì)對(duì)系統(tǒng)造成破壞，但是會(huì)對(duì)用戶造成心理恐慌的程序。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Junk危害級(jí)別：無(wú)說(shuō)明：中文名稱—“損壞的病毒文件”，是指包含病毒代碼但是病毒代碼已經(jīng)無(wú)法運(yùn)行的文件。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Rootkit危害級(jí)別：無(wú)說(shuō)明：一種“越權(quán)執(zhí)行”的應(yīng)用程序，它設(shè)法讓自己達(dá)到和內(nèi)核一樣的運(yùn)行級(jí)別，甚至進(jìn)入內(nèi)核空間，這樣它就擁有了和內(nèi)核一樣的訪問(wèn)權(quán)限，因而可以對(duì)內(nèi)核指令進(jìn)行修改（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

第一部分病毒知識(shí)Constructor（空）Joke（空）11第一部分病毒知識(shí)宿主文件 宿主文件是指病毒所使用的文件類型，目前的宿主文件有以下幾種。JS 說(shuō)明：JavaScript腳本文件VBS 說(shuō)明：VBScript腳本文件HTML 說(shuō)明：HTML文件Java 說(shuō)明：Java的Class文件COM 說(shuō)明：Dos下的Com文件EXE 說(shuō)明：Dos下的Exe文件Boot 說(shuō)明：硬盤(pán)或軟盤(pán)引導(dǎo)區(qū)Word 說(shuō)明：MS公司的Word文件Excel 說(shuō)明：MS公司的Excel文件PE 說(shuō)明：PE文件WinREG 說(shuō)明：注冊(cè)表文件Ruby 說(shuō)明：一種腳本Python 說(shuō)明：一種腳本.BAT 說(shuō)明：BAT腳本文件IRC 說(shuō)明：IRC腳本Lisp 說(shuō)明：一種解釋語(yǔ)言第一部分病毒知識(shí)宿主文件12第一部分病毒知識(shí)主名稱 病毒的主名稱是由分析員根據(jù)病毒體的特征字符串、特定行為或者所使用的編譯平臺(tái)來(lái)定的，如果無(wú)法確定病毒的特征字符串、特定行為或者所使用的編譯平臺(tái)則可以用字符串”Agent”來(lái)代替主名稱，小于10k大小的文件可以命名為“Samll”。內(nèi)部信息 #號(hào)后為內(nèi)部信息，通常不在殺毒軟件上顯示，用于殺毒軟件廠商標(biāo)識(shí)內(nèi)部信息。版本信息（只允許為數(shù)字） 對(duì)于版本信息不明確的不加版本信息。主名稱變種號(hào) 如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認(rèn)為是同一家族的病毒，這時(shí)需要變種號(hào)來(lái)區(qū)分不同的病毒記錄。變種號(hào)為不寫(xiě)字母a—z，如果一位版本號(hào)不夠用則最多可以擴(kuò)展3位，如：aa、ab、aaa、aab以此類推。由系統(tǒng)自動(dòng)計(jì)算，不需要人工輸入或選擇。第一部分病毒知識(shí)主名稱13第一部分病毒知識(shí)病毒長(zhǎng)度 病毒長(zhǎng)度字段只用于主行為類型為感染型（Virus）的病毒，字段的值為數(shù)字。當(dāng)字段值為0時(shí)，表示病毒長(zhǎng)度是可變的。病毒命名舉例：Trojan.PSW.Win32.QQPass.aBackdoor.Win32.Gpigeon.bWorm.Win32.Nimaya.bz第一部分病毒知識(shí)14第一部分病毒知識(shí)三、病毒技術(shù)的發(fā)展歷史和現(xiàn)狀 1.病毒的產(chǎn)生

計(jì)算機(jī)病毒不是來(lái)源于突發(fā)或偶然的原因，一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤(pán)和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無(wú)序和混亂的，而計(jì)算機(jī)病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合。計(jì)算機(jī)病毒不會(huì)通過(guò)偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的。計(jì)算機(jī)病毒是人為的特制程序，是由人為故意編寫(xiě)的，多數(shù)計(jì)算機(jī)病毒可以找到作者信息和產(chǎn)地信息，通過(guò)大量的資料分析統(tǒng)計(jì)來(lái)看，病毒作者主要的情況和目的是：表現(xiàn)和炫耀自己的能力

一些天才的程序員為了表現(xiàn)自己和證明自己的能力第一部分病毒知識(shí)三、病毒技術(shù)的發(fā)展歷史和現(xiàn)狀15第一部分病毒知識(shí)為了經(jīng)濟(jì)或其它利益

如盜取網(wǎng)絡(luò)銀行密碼竊取錢財(cái)?shù)绕渌?/p>

因政治，軍事，宗教，民族等方面的原因而專門編寫(xiě)的病毒第一部分病毒知識(shí)為了經(jīng)濟(jì)或其它利益16第一部分病毒知識(shí) 2.病毒的發(fā)展歷史 電腦病毒的起源：

電腦病毒的概念其實(shí)源起相當(dāng)早，在第一部商用電腦出現(xiàn)之前好幾年時(shí)，電腦的先驅(qū)者馮·諾伊曼（JohnVonNeumann）在他的一篇論文《復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行》里，已經(jīng)勾勒出病毒程序的藍(lán)圖。不過(guò)在當(dāng)時(shí)，絕大部分的電腦專家都無(wú)法想像會(huì)有這種能自我繁殖的程序。

1975年，美國(guó)科普作家約翰·布魯勒爾（JohnBrunner）寫(xiě)了一本名為《震蕩波騎士》（ShockWaveRider）的書(shū)，該書(shū)第一次描寫(xiě)了在信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭(zhēng)的工具的故事，成為當(dāng)年最佳暢銷書(shū)之一。第一部分病毒知識(shí)17第一部分病毒知識(shí)

1977年夏天，托馬斯·捷·瑞安（Thomas.J.Ryan）的科幻小說(shuō)《P-1的春天》（TheAdolescenceofP-1）成為美國(guó)的暢銷書(shū)，作者在這本書(shū)中描寫(xiě)了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了7,000臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。虛擬科幻小說(shuō)世界中的東西，在幾年后終于逐漸開(kāi)始成為電腦使用者的噩夢(mèng)。而差不多在同一時(shí)間，美國(guó)著名的AT&T貝爾實(shí)驗(yàn)室中，三個(gè)年輕人在工作之余，很無(wú)聊的玩起一種游戲:彼此撰寫(xiě)出能夠吃掉別人程序的程序來(lái)互相作戰(zhàn)。這個(gè)叫做“磁芯大戰(zhàn)”（corewar）的游戲，進(jìn)一步將電腦病毒“感染性”的概念體現(xiàn)出來(lái)。 1983年11月3日，一位南加州大學(xué)的學(xué)生弗雷德·科恩（FredCohen）在UNIX系統(tǒng)下，寫(xiě)了一個(gè)會(huì)引起系統(tǒng)死機(jī)的程序，但是這個(gè)程序并未引起一些教授的注意與認(rèn)同?？贫鳛榱俗C明其理論而將這些程序以論文發(fā)表，在當(dāng)時(shí)引起了不小的震撼。科恩的程序，讓電腦病毒具備破壞性的概念具體成形。

不過(guò)，這種具備感染與破壞性的程序被真正稱之為"病毒"，則是在兩年后的一本《科學(xué)美國(guó)人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的專欄作家在討論"磁芯大戰(zhàn)"與蘋(píng)果二型電腦（別懷疑，當(dāng)時(shí)流行的正是蘋(píng)果二型電腦，在那個(gè)時(shí)侯，我們熟悉的PC根本還不見(jiàn)蹤影）時(shí)，開(kāi)始把這種程序稱之為病毒。從此以后我們對(duì)于這種具備感染或破壞性的程序，終于有一個(gè)"病毒"的名字可以稱呼了。

第一部分病毒知識(shí) 1977年夏天，托馬斯·捷·瑞安（Tho18第一部分病毒知識(shí) 第一個(gè)計(jì)算機(jī)病毒:

到了1987年，第一個(gè)電腦病毒C-BRAIN終于誕生了（這似乎不是一件值得慶賀的事）。一般而言，業(yè)界都公認(rèn)這是真正具備完整特征的電腦病毒始祖。這個(gè)病毒程序是由一對(duì)巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所寫(xiě)的，他們?cè)诋?dāng)?shù)亟?jīng)營(yíng)一家販賣個(gè)人電腦的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會(huì)發(fā)作，將盜拷者的硬盤(pán)剩余空間給吃掉。 這個(gè)病毒在當(dāng)時(shí)并沒(méi)有太大的殺傷力，但后來(lái)一些有心人士以C-BRAIN為藍(lán)圖，制作出一些變形的病毒。而其他新的病毒創(chuàng)作，也紛紛出籠，不僅有個(gè)人創(chuàng)作，甚至出現(xiàn)不少創(chuàng)作集團(tuán)（如NuKE,Phalcon/Skism,VDV）。各類掃毒、防毒與殺毒軟件以及專業(yè)公司也紛紛出現(xiàn)。一時(shí)間，各種病毒創(chuàng)作與反病毒程序，不斷推陳出新，如同百家爭(zhēng)鳴。第一部分病毒知識(shí) 第一個(gè)計(jì)算機(jī)病毒:19第一部分病毒知識(shí)

病毒發(fā)展發(fā)展階段

在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。同時(shí)，操作系統(tǒng)進(jìn)行升級(jí)時(shí)，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)?？偟恼f(shuō)來(lái)，病毒可以分為以下幾個(gè)發(fā)展階段：DOS引導(dǎo)階段 1987年，電腦病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。由于，那時(shí)的電腦硬件較少，功能簡(jiǎn)單，一般需要通過(guò)軟盤(pán)啟動(dòng)后使用。而引導(dǎo)型病毒正是利用了軟盤(pán)的啟動(dòng)原理工作，修改系統(tǒng)啟動(dòng)扇區(qū)，在電腦啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤(pán)讀寫(xiě)中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤(pán)時(shí)進(jìn)行傳播。DOS可執(zhí)行階段 1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作，如“耶路撒冷”，“星期天”等病毒?？蓤?zhí)行型病毒的病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，使文件長(zhǎng)度增加。1990年，發(fā)展為復(fù)合型病毒，可感染COM和EXE文件。第一部分病毒知識(shí) 病毒發(fā)展發(fā)展階段20第一部分病毒知識(shí)伴隨體型階段

1992年，伴隨型病毒出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。具有代表性的是“金蟬”病毒，它感染EXE文件的同時(shí)會(huì)生成一個(gè)和EXE同名的擴(kuò)展名為COM伴隨體；它感染COM文件時(shí)，改為原來(lái)的COM文件為同名的EXE文件，在產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM。這樣，在DOS加載文件時(shí)，病毒會(huì)取得控制權(quán)，優(yōu)先執(zhí)行自己的代碼。該類病毒并不改變?cè)瓉?lái)的文件內(nèi)容，日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可，非常容易。其典型代表的是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問(wèn)用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。變形階段

1994年，匯編語(yǔ)言得到了長(zhǎng)足的發(fā)展。要實(shí)現(xiàn)同一功能，通過(guò)匯編語(yǔ)言可以用不同的方式進(jìn)行完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。而典型的多形病毒─幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。變種階段

1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)的插入一些空操作和無(wú)關(guān)命令，也不影響運(yùn)算的結(jié)果。這樣，某些解碼算法可以由生成器生成不同的變種。其代表作品─“病毒制造機(jī)”VCL，它可以在瞬間制造出成千上萬(wàn)種不同的病毒，查解時(shí)不能使用傳統(tǒng)的特征識(shí)別法，而需要在宏觀上分析命令，解碼后查解病毒，大大提高了復(fù)雜程度。第一部分病毒知識(shí)伴隨體型階段21第一部分病毒知識(shí)網(wǎng)絡(luò)、蠕蟲(chóng)階段

隨著網(wǎng)絡(luò)的普及，病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的改進(jìn)。在Windows操作系統(tǒng)中，“蠕蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤(pán)文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。Windows視窗階段 1996年，隨著Windows的日益普及，利用Windows進(jìn)行工作的病毒開(kāi)始發(fā)展，它們修改（NE，PE）文件，典型的代表是DS.3873，這類病毒的急智更為復(fù)雜，它們利用保護(hù)模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。宏病毒階段

1996年，隨著MSOffice功能的增強(qiáng)及盛行，使用Word宏語(yǔ)言也可以編制病毒，這種病毒使用類Basic語(yǔ)言，編寫(xiě)容易，感染W(wǎng)ord文件文件。由于Word文件格式?jīng)]有公開(kāi)，這類病毒查解比較困難。互聯(lián)網(wǎng)階段

1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播和破壞，利用郵件、網(wǎng)絡(luò)即時(shí)聊天軟件等進(jìn)行傳播的蠕蟲(chóng)病毒開(kāi)始大量出現(xiàn)。隨著網(wǎng)上購(gòu)物、網(wǎng)上銀行等電子商務(wù)的發(fā)展以及網(wǎng)絡(luò)游戲的發(fā)展，盜取網(wǎng)銀帳號(hào)、網(wǎng)游帳號(hào)等用戶敏感信息的木馬程序逐漸開(kāi)始流行泛濫。近兩幾年來(lái)利用網(wǎng)絡(luò)去下載其它病毒的“下載者”病毒開(kāi)始大量出現(xiàn)。第一部分病毒知識(shí)網(wǎng)絡(luò)、蠕蟲(chóng)階段22第一部分病毒知識(shí) 3.病毒的當(dāng)前發(fā)展趨勢(shì)具有較強(qiáng)的目的性

目前流行的病毒作者編寫(xiě)計(jì)算機(jī)病毒絕大多數(shù)都具有較強(qiáng)的目的性，如盜取敏感信息、遠(yuǎn)程控制用戶等，只是為了炫耀能力或開(kāi)玩笑的計(jì)算機(jī)病毒只占很小的一部分。在這些目的中，經(jīng)濟(jì)利益成為病毒作者主要的驅(qū)動(dòng)力，以竊取錢財(cái)或網(wǎng)絡(luò)虛擬財(cái)產(chǎn)（如網(wǎng)游裝備）為目的盜號(hào)病毒的在流行病毒中占有極大的比例。加殼和免殺等反殺毒技術(shù)的廣泛使用

面對(duì)殺毒軟件的發(fā)展和普及，對(duì)抗殺毒軟件已經(jīng)成為計(jì)算機(jī)病毒生存的關(guān)鍵，因此病毒也開(kāi)始利用各種技術(shù)來(lái)避免被殺毒軟件查殺，甚至主動(dòng)破壞殺毒軟件。通過(guò)使用加殼軟件加殼、使用免殺技術(shù)(手動(dòng)或自動(dòng)地修改程序代碼)來(lái)逃避殺毒軟件的特征碼掃描的方法已經(jīng)被廣泛使用，通過(guò)破壞殺毒軟件、使用Rootkit技術(shù)來(lái)防止被殺毒軟件殺毒的方法也開(kāi)始越來(lái)越多地被應(yīng)用。第一部分病毒知識(shí)23第一部分病毒知識(shí)病毒下載行為成為主流

互聯(lián)網(wǎng)的發(fā)展使信息的傳播更加方便迅速，計(jì)算機(jī)病毒也同樣緊跟技術(shù)的發(fā)展，用于下載病毒的病毒(下載者)廣泛流行并呈上升趨勢(shì)，而且這種病毒行為已經(jīng)逐漸成為病毒必備的一種能力。病毒作者通過(guò)更新病毒網(wǎng)址的內(nèi)容，使一個(gè)下載型病毒可以不斷下載不同的病毒或更新自己。多種病毒技術(shù)和病毒行為相結(jié)合

同時(shí)使用多種病毒技術(shù)、具有多種病毒行為成為當(dāng)前計(jì)算機(jī)病毒的趨勢(shì)之一。下載、漏洞利用、反殺毒軟件等病毒技術(shù)常常被結(jié)合使用，病毒的復(fù)雜程度大大提高。Rootkit技術(shù)的應(yīng)用

Rootkit一詞最早來(lái)自于Unix系統(tǒng)，是Root和kit合成出的一個(gè)詞。在Unix下，Root指根權(quán)限，即Unix系統(tǒng)最高的權(quán)限，Kit是工具包的意思，因此最早在Unix系統(tǒng)中出現(xiàn)的Rootkit概念是指獲取、擁有根權(quán)限的工具包。隨著發(fā)展，這個(gè)概念的意義也更廣泛了，指那些常駐于系統(tǒng)中、可以為其它程序提供隱藏行為或現(xiàn)象的服務(wù)的一組程序或代碼?，F(xiàn)在，病毒也越來(lái)越多的使用Rootkit來(lái)隱藏自己的進(jìn)程、文件和注冊(cè)表項(xiàng)等，由于Rootkit多使用系統(tǒng)比較核心的技術(shù)、擁有更高的系統(tǒng)權(quán)限，因此對(duì)由Rootkit保護(hù)的病毒的查殺也變得更加困難。第一部分病毒知識(shí)病毒下載行為成為主流24第一部分病毒知識(shí)出現(xiàn)有組織地制造、傳播、使用計(jì)算機(jī)病毒的產(chǎn)業(yè)鏈

從熊貓燒香（Wrom.Nimaya）病毒發(fā)作的事件中，我們可以看到現(xiàn)在的計(jì)算機(jī)病毒的制造、傳播和使用已經(jīng)逐漸成為一個(gè)地下產(chǎn)業(yè)，病毒的制造者、傳播者和使用者進(jìn)行分工合作來(lái)達(dá)到他們的目的。病毒制造者制造病毒并出賣進(jìn)行獲利，病毒傳播者通過(guò)幫助病毒使用者盡量更廣泛的傳播病毒來(lái)獲利，而病毒使用者則為了盜取網(wǎng)絡(luò)財(cái)產(chǎn)、增加點(diǎn)擊量等目的購(gòu)買并使用病毒?，F(xiàn)在在互聯(lián)網(wǎng)上可以看到許多兜售病毒制造機(jī)、免殺工具的信息，同時(shí)還有許多病毒制造和使用者同黑客合作的案例。種種跡象表明，計(jì)算機(jī)病毒的制造、傳播和使用正在逐漸形成一個(gè)地下產(chǎn)業(yè)。第一部分病毒知識(shí)出現(xiàn)有組織地制造、傳播、使用計(jì)算機(jī)病毒的產(chǎn)25第一部分病毒知識(shí)三、涉及病毒的一些計(jì)算機(jī)知識(shí)的介紹 1.進(jìn)程與線程(Process/Thread)

2.動(dòng)態(tài)鏈接庫(kù)(DynamicLinkLibrary)

第一部分病毒知識(shí)三、涉及病毒的一些計(jì)算機(jī)知識(shí)的介紹26第一部分病毒知識(shí)

3.窗口與消息

4.PE文件簡(jiǎn)介

PortableExecutable（可移植的執(zhí)行體）

5.服務(wù)與驅(qū)動(dòng)（Services/Drivers）

第一部分病毒知識(shí) 3.窗口與消息27第一部分病毒知識(shí) 6.WindowsAPI簡(jiǎn)介

第一部分病毒知識(shí) 6.WindowsAPI簡(jiǎn)介28第一部分病毒知識(shí)（二）、病毒的基本結(jié)構(gòu)和工作流程一、病毒的基本結(jié)構(gòu)和工作流程 1.病毒的基本功能模塊

計(jì)算機(jī)病毒同正常的程序一樣，也是一種計(jì)算機(jī)程序，使用的是同樣的編程方法，只是它們使用同樣技術(shù)的目的與同正常程序不同。要了解病毒的機(jī)制和實(shí)現(xiàn)，我們要緊緊抓住病毒的特征和目的入手。病毒的特征是：破壞性、隱藏性、傳染性、潛伏性，要實(shí)現(xiàn)這些特性，就必然有相應(yīng)的結(jié)構(gòu)和功能代碼。除了為實(shí)現(xiàn)這些特性的功能代碼，病毒一般還都會(huì)實(shí)現(xiàn)自啟動(dòng)和自我保護(hù)的功能。 作為計(jì)算機(jī)病毒，一般都會(huì)有如下的功能代碼和結(jié)構(gòu)：隱藏性的實(shí)現(xiàn) 因?yàn)闉椴《疽獙?shí)現(xiàn)不可告人的目的，因此除了如病毒生成器、玩笑程序等，絕大多數(shù)病毒會(huì)想方設(shè)法地隱藏自己，盡量不被用戶發(fā)現(xiàn)。為了沒(méi)有用戶可見(jiàn)的界面，病毒會(huì)采用不生成窗口或隱藏窗口的方法來(lái)達(dá)到目的。為了隱藏進(jìn)程，病毒常常會(huì)使用注入等手段。除了隱藏界面和進(jìn)程，病毒通常還會(huì)設(shè)法隱藏自己的文件和注冊(cè)表項(xiàng)。除了上面介紹的方法外，感染可執(zhí)行程序，隱藏自己于正常程序文件中，也是病毒實(shí)現(xiàn)隱藏的一種方法。第一部分病毒知識(shí)（二）、病毒的基本結(jié)構(gòu)和工作流程29第一部分病毒知識(shí)傳染性的實(shí)現(xiàn)

病毒總是希望最大限度的復(fù)制自己到更多的計(jì)算機(jī)，以便實(shí)現(xiàn)最大限度的破壞。病毒要傳播到其它計(jì)算機(jī)離不開(kāi)傳播介質(zhì)，可移動(dòng)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)就成為病毒傳染的必備途徑。對(duì)于軟盤(pán)、U盤(pán)、可移動(dòng)硬盤(pán)等，病毒通常采用寫(xiě)入病毒和autorun.inf的方法進(jìn)行傳染。隨著網(wǎng)絡(luò)的普及，利用網(wǎng)絡(luò)進(jìn)行傳播已經(jīng)成為病毒傳播的主要手段，所采用的方法也相對(duì)較多。采用網(wǎng)絡(luò)進(jìn)行傳播常見(jiàn)的方法有：利用網(wǎng)絡(luò)共享進(jìn)行傳播、利用郵件系統(tǒng)進(jìn)行傳播、利用即時(shí)聊天軟件進(jìn)行傳播等。破壞性的實(shí)現(xiàn)病毒的破壞性功能體現(xiàn)了病毒作者的最終目的，其種類也相對(duì)較多。 盜取信息 遠(yuǎn)程控制 下載病毒 彈出廣告 刪除文件第一部分病毒知識(shí)30第一部分病毒知識(shí)自啟動(dòng)的實(shí)現(xiàn)

計(jì)算機(jī)病毒也是程序，只有被執(zhí)行起來(lái)才能實(shí)現(xiàn)其功能，因此病毒也會(huì)利用各種方法使自己在計(jì)算機(jī)每次啟動(dòng)后就能運(yùn)行起來(lái)。實(shí)現(xiàn)自啟動(dòng)主要的方法是利用系統(tǒng)提供的機(jī)制，如Windows下注冊(cè)表中的啟動(dòng)項(xiàng)、注冊(cè)為服務(wù)程序等。另外，感染正常程序，尤其是系統(tǒng)程序，也可以達(dá)到病毒實(shí)現(xiàn)自啟動(dòng)的目的。自我保護(hù)的實(shí)現(xiàn)

計(jì)算機(jī)病毒為了實(shí)現(xiàn)自己傳染、破壞等目的，也會(huì)利用各種方法保護(hù)自己，使自己不被發(fā)現(xiàn)，不被清除。為了隱藏自己的行蹤，病毒通常會(huì)設(shè)法隱藏自己的文件、進(jìn)程和自啟動(dòng)的注冊(cè)表項(xiàng)等。作為保護(hù)自己的另一種方法，病毒常常會(huì)主動(dòng)破壞殺毒軟件，通過(guò)破壞殺毒軟件文件等手段使其喪失功能，以此來(lái)保護(hù)自己。第一部分病毒知識(shí)自啟動(dòng)的實(shí)現(xiàn)31第一部分病毒知識(shí)

2.病毒常見(jiàn)結(jié)構(gòu)文件結(jié)構(gòu)

功能結(jié)構(gòu)

第一部分病毒知識(shí) 2.病毒常見(jiàn)結(jié)構(gòu)32第一部分病毒知識(shí)二、病毒的通用工作流程 1.初始化 2.對(duì)抗殺毒軟件 3.自我保護(hù) 4.傳染 5.破壞工作第一部分病毒知識(shí)二、病毒的通用工作流程33第一部分病毒知識(shí)（三）、病毒的通用手段和技術(shù)一、病毒的自啟動(dòng)技術(shù)

1.系統(tǒng)啟動(dòng)的流程 2.利用系統(tǒng)的啟動(dòng)機(jī)制啟動(dòng) 3.通過(guò)感染、修改其它文件啟動(dòng)

第一部分病毒知識(shí)（三）、病毒的通用手段和技術(shù)34第一部分病毒知識(shí)二、代碼注入的技術(shù)與作用

1.代碼注入的概念和作用 2.代碼注入的常見(jiàn)方法 3.病毒進(jìn)行代碼注入的目的

第一部分病毒知識(shí)35第一部分病毒知識(shí)三、鉤子技術(shù)的原理和作用

1.鉤子技術(shù)的原理和作用 2.鉤子的常見(jiàn)類型 3.鉤子的常見(jiàn)方法

第一部分病毒知識(shí)36第一部分病毒知識(shí)四、文件感染

1.文件感染的原理 2.文件感染的常見(jiàn)類型 3.被感染文件的發(fā)現(xiàn)和清理

第一部分病毒知識(shí)37第一部分病毒知識(shí)五、病毒傳播的常見(jiàn)方法

1.可移動(dòng)媒體傳播 2.文件感染傳播 3.網(wǎng)頁(yè)掛馬傳播 4.下載器傳播 5.郵件傳播 6.即時(shí)通信軟件傳播

第一部分病毒知識(shí)38第一部分病毒知識(shí)六、下載文件常見(jiàn)方法

1.下載的常見(jiàn)方法 2.穿越防火墻的常見(jiàn)方法

第一部分病毒知識(shí)39第一部分病毒知識(shí)七、密碼的盜取常見(jiàn)技術(shù)手段

1.密碼盜取的常見(jiàn)方法 2.發(fā)送盜取的信息的常見(jiàn)方法

第一部分病毒知識(shí)40第一部分病毒知識(shí)八、rootkit技術(shù)

1.rootkit的概念和原理

Rootkit一詞最早來(lái)自于Unix系統(tǒng)，是Root和kit合成出的一個(gè)詞。在Unix下，Root指根權(quán)限，即Unix系統(tǒng)最高的權(quán)限，Kit是工具包的意思，因此最早在Unix系統(tǒng)中出現(xiàn)的Rootkit概念是指獲取、擁有根權(quán)限的工具包。隨著發(fā)展，這個(gè)概念的意義也更廣泛了，指那些常駐于系統(tǒng)中、可以為其它程序提供隱藏行為或現(xiàn)象的服務(wù)的一組程序或代碼。

2.rootkit的作用 3.內(nèi)核鉤子第一部分病毒知識(shí)41第一部分病毒知識(shí)(四)、病毒的自我保護(hù)一、加殼與免殺技術(shù)的原理和應(yīng)用

1.殼、免殺的概念和原理 2.脫殼查殺和虛擬機(jī)技術(shù)

第一部分病毒知識(shí)(四)、病毒的自我保護(hù)42第一部分病毒知識(shí)二、病毒自我保護(hù)的常見(jiàn)手段

1.病毒進(jìn)程的自我保護(hù) 2.病毒文件的自我保護(hù) 3.病毒的其它自我保護(hù)

第一部分病毒知識(shí)43第一部分病毒知識(shí)三、病毒對(duì)抗反病毒軟件和監(jiān)控軟件的常見(jiàn)方法

1.破壞反病毒軟件的運(yùn)行 2.對(duì)抗殺毒軟件的查毒 3.通過(guò)反病毒軟件的限制

第一部分病毒知識(shí)44第一部分病毒知識(shí)(五)、病毒實(shí)例演示與分析

第一部分病毒知識(shí)(五)、病毒實(shí)例演示與分析45第二部分反病毒的技術(shù)（一）反病毒的技術(shù)一、反病毒技術(shù)的發(fā)展

在80年代中期，計(jì)算機(jī)病毒開(kāi)始流行，種類不多，但危害很大，往往一個(gè)簡(jiǎn)單的病毒就能在短時(shí)間內(nèi)傳播到世界的各個(gè)國(guó)家和地區(qū)。隨著病毒的流行，對(duì)計(jì)算機(jī)病毒的研究、分析和查殺的也開(kāi)始發(fā)展起來(lái)。最早期的反病毒程序都是針對(duì)某個(gè)病毒編寫(xiě)的專殺工具，只能一對(duì)一的查殺單個(gè)病毒，隨著80年代末計(jì)算機(jī)病毒數(shù)量的急劇膨脹，這種一對(duì)一的殺毒程序顯然已無(wú)法適用。這個(gè)時(shí)候，開(kāi)始形成了通用反病毒技術(shù)，針對(duì)大量的病毒的處理，反病毒軟件開(kāi)始了模塊化分工，具備掃描模塊、清除模塊、特征庫(kù)等。同時(shí)，反病毒的各種外圍技術(shù)也開(kāi)始如火如荼的發(fā)展起來(lái)，如主動(dòng)監(jiān)控、完整性檢查、免疫技術(shù)等等。到90年代中期，病毒數(shù)量、技術(shù)繼續(xù)提高，隨之出現(xiàn)了“查殺防合一”的集成化反病毒產(chǎn)品，把各種反病毒技術(shù)有機(jī)地組合到一起共同對(duì)計(jì)算機(jī)病毒作戰(zhàn)。第二部分反病毒的技術(shù)（一）反病毒的技術(shù)46第二部分反病毒的技術(shù)

在80年代中期，計(jì)算機(jī)病毒開(kāi)始流行，種類不多，但危害很大，往往一個(gè)簡(jiǎn)單的病毒就能在短時(shí)間內(nèi)傳播到世界的各個(gè)國(guó)家和地區(qū)。隨著病毒的流行，對(duì)計(jì)算機(jī)病毒的研究、分析和查殺的也開(kāi)始發(fā)展起來(lái)。最早期的反病毒程序都是針對(duì)某個(gè)病毒編寫(xiě)的專殺工具，只能一對(duì)一的查殺單個(gè)病毒，隨著80年代末計(jì)算機(jī)病毒數(shù)量的急劇膨脹，這種一對(duì)一的殺毒程序顯然已無(wú)法適用。這個(gè)時(shí)候，開(kāi)始形成了通用反病毒技術(shù)，針對(duì)大量的病毒的處理，反病毒軟件開(kāi)始了模塊化分工，具備掃描模塊、清除模塊、特征庫(kù)等。同時(shí)，反病毒的各種外圍技術(shù)也開(kāi)始如火如荼的發(fā)展起來(lái)，如主動(dòng)監(jiān)控、完整性檢查、免疫技術(shù)等等。到90年代中期，病毒數(shù)量、技術(shù)繼續(xù)提高，隨之出現(xiàn)了“查殺防合一”的集成化反病毒產(chǎn)品，把各種反病毒技術(shù)有機(jī)地組合到一起共同對(duì)計(jì)算機(jī)病毒作戰(zhàn)。第二部分反病毒的技術(shù) 在80年代中期，計(jì)算機(jī)病毒開(kāi)始流行，47第二部分反病毒的技術(shù)

反病毒技術(shù)經(jīng)過(guò)多年的發(fā)展，已經(jīng)取得了很大的進(jìn)步，其發(fā)展過(guò)程大致可劃分如下：第一代反病毒技術(shù)采取單純的病毒特征診斷，但是對(duì)加密、變形的新一代病毒無(wú)能為力；第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測(cè)變形病毒，但是誤報(bào)率高，殺毒風(fēng)險(xiǎn)大；第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)相結(jié)合；第四代反病毒技術(shù)基于病毒家族體系的命名規(guī)則，基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)解毒技術(shù)，采用多種技術(shù)結(jié)合的方法進(jìn)行病毒查殺。第二部分反病毒的技術(shù) 反病毒技術(shù)經(jīng)過(guò)多年的發(fā)展，已經(jīng)取得了48第二部分反病毒的技術(shù)二、常見(jiàn)反病毒技術(shù)

特征碼掃描技術(shù) 特征碼掃描技術(shù)出現(xiàn)的很早，但至今依然是大多數(shù)反病毒軟件采用的主要病毒掃描方法。 特征碼查毒技術(shù)實(shí)際上是人工查毒經(jīng)驗(yàn)的簡(jiǎn)單表述，它再現(xiàn)了人工辨識(shí)病毒的一般方法，采用了“同一病毒或同類病毒的某一部分代碼相同”的原理，也就是說(shuō)，如果病毒及其變種、變形病毒具有同一性，則可以對(duì)這種同一性進(jìn)行描述，并通過(guò)對(duì)程序體與描述結(jié)果（亦即“特征碼”）進(jìn)行比較來(lái)查找病毒。采用特征碼查殺，首先由病毒分析人員對(duì)病毒樣本進(jìn)行反匯編分析，提取病毒的特征代碼到病毒特征數(shù)據(jù)庫(kù)，然后在查毒的時(shí)候通過(guò)在被查毒對(duì)象中搜索對(duì)比是否有對(duì)應(yīng)的病毒特征代碼來(lái)確定是否是病毒。 特征碼查殺技術(shù)由于其誤報(bào)率低,系統(tǒng)實(shí)現(xiàn)簡(jiǎn)潔的優(yōu)點(diǎn),依然是當(dāng)前反病軟件的主流技術(shù)。但這種技術(shù)也有很大的局限性，一是要提取特征碼必須要有病毒樣本，二是對(duì)未知病毒的查殺基本無(wú)效。第二部分反病毒的技術(shù)二、常見(jiàn)反病毒技術(shù)49第二部分反病毒的技術(shù)

啟發(fā)式掃描技術(shù)

啟發(fā)式是指“自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能”,從某種意義上講,啟發(fā)式掃描是基于專家系統(tǒng)的原理產(chǎn)生的,由于病毒程序和正常程序在執(zhí)行行為上的不同,作為匯編級(jí)的代碼分析人員可以很容易地分辨出這類非正常的程序，實(shí)現(xiàn)啟發(fā)式掃描是盡量將這種“分辨”自動(dòng)化。啟發(fā)式掃描通過(guò)API分析和虛擬執(zhí)行等技術(shù)，掃描被查毒對(duì)象是否具有病毒功能或行為（如刪除正常系統(tǒng)文件等）來(lái)判斷是否是病毒。 啟發(fā)式掃描技術(shù)的優(yōu)勢(shì)在于可以查殺未知病毒，缺點(diǎn)是誤報(bào)率高。第二部分反病毒的技術(shù) 啟發(fā)式掃描技術(shù)50第二部分反病毒的技術(shù)

虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)是近年來(lái)反病毒前沿的技術(shù),主要用來(lái)分析未知病毒（實(shí)現(xiàn)啟發(fā)式掃描）和查殺多態(tài)變形和加殼的病毒.具體的思路是用程序代碼虛擬CPU、各個(gè)寄存器甚至是硬件端口,將采集到的病毒樣本放到該虛擬環(huán)境中執(zhí)行,通過(guò)分析內(nèi)存和寄存器以及端口的變化來(lái)了解程序的執(zhí)行情況。隨著加殼和免殺技術(shù)在病毒上的廣泛使用，采用虛擬機(jī)虛擬運(yùn)行查毒也成為當(dāng)前反病毒軟件開(kāi)始普遍使用的反病毒技術(shù)。第二部分反病毒的技術(shù) 虛擬機(jī)技術(shù)51第三部分反病毒的技術(shù)（一）病毒的確定與清除一、病毒的發(fā)現(xiàn)與分析

1.可疑進(jìn)程的分析 2.可疑模塊的分析 3.可疑文件的分析 4.可疑啟動(dòng)項(xiàng)的分析第三部分反病毒的技術(shù)（一）病毒的確定與清除52第三部分反病毒的技術(shù)二、病毒的確定與清除

1.確定并終止病毒進(jìn)程 2.確定病毒注入代碼啟動(dòng)的線程 3.清除病毒啟動(dòng)項(xiàng) 4.刪除病毒文件 5.恢復(fù)被病毒修改的系統(tǒng)設(shè)置第三部分反病毒的技術(shù)二、病毒的確定與清除53第三部分反病毒的技術(shù)（二）病毒樣本的提取一、病毒樣本的提取

1.需要提取的文件 2.文件不可見(jiàn)的情況 3.文件可見(jiàn)但無(wú)法操作的情況二、相關(guān)信息的提取

1.提取監(jiān)控記錄 2.啟動(dòng)信息提取第三部分反病毒的技術(shù)（二）病毒樣本的提取54第三部分反病毒的技術(shù)（三）常用工具介紹一、通用工具

1.監(jiān)控工具 2.鉤子分析工具 3.自啟動(dòng)檢查工具 4.PE文件查看工具 5.文件提取工具第三部分反病毒的技術(shù)（三）常用工具介紹55第三部分反病毒的技術(shù)（四）病毒清除后的處理問(wèn)題一、瑞星殺毒軟件后處理的工作原理二、病毒清除不干凈的分析第三部分反病毒的技術(shù)（四）病毒清除后的處理問(wèn)題56第三部分反病毒的技術(shù)（五）病毒手工處理實(shí)例與分析第三部分反病毒的技術(shù)（五）病毒手工處理實(shí)例與分析57演講完畢，謝謝觀看！演講完畢，謝謝觀看！58反病毒知識(shí)培訓(xùn)教程培訓(xùn)講師：付欲華反病毒知識(shí)培訓(xùn)教程培訓(xùn)講師：付欲華59第一部分病毒知識(shí)（一）病毒基礎(chǔ)知識(shí)一、病毒的概念和特點(diǎn) 1.病毒的定義

計(jì)算機(jī)病毒從廣義上講，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)、影響計(jì)算機(jī)的正常運(yùn)行的指令或代碼統(tǒng)稱為計(jì)算機(jī)病毒。在計(jì)算機(jī)發(fā)展過(guò)程中，專家和研究者對(duì)計(jì)算機(jī)病毒也做過(guò)不盡相同的定義，但一直沒(méi)有公認(rèn)的明確定義。在我國(guó)，1994年2月18日頒布實(shí)施的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)計(jì)算機(jī)病毒作出了明確的定義，《條例》第二十八條中規(guī)定：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！钡谝徊糠植《局R(shí)（一）病毒基礎(chǔ)知識(shí)60第一部分病毒知識(shí) 2.病毒的特征破壞性隱藏性傳染性潛伏性第一部分病毒知識(shí)61第一部分病毒知識(shí)破壞性

破壞性是計(jì)算機(jī)病毒的首要特征，不具有破壞行為的指令或代碼不能稱為計(jì)算機(jī)病毒。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響,輕者占用系統(tǒng)資源，降低計(jì)算機(jī)工作效率，重者竊取數(shù)據(jù)、破壞數(shù)據(jù)和程序，甚至導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫(huà)面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源，如無(wú)法關(guān)閉的玩笑程序等。惡性病毒則有明確得目的，或竊取重要信息如銀行帳號(hào)和密碼，或打開(kāi)后門接受遠(yuǎn)程控制等。隱蔽性

計(jì)算機(jī)病毒雖然是采用同正常程序一樣的技術(shù)編寫(xiě)而成，但因?yàn)槠淦茐牡哪康?，因此?huì)千方百計(jì)地隱藏自己的蛛絲馬跡，以防止用戶發(fā)現(xiàn)、刪除它。病毒通常沒(méi)有任何可見(jiàn)的界面，并采用隱藏進(jìn)程、文件等手段來(lái)隱藏自己。大部分的病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了隱藏。第一部分病毒知識(shí)62第一部分病毒知識(shí)傳染性

計(jì)算機(jī)病毒同自然界的生物病毒一樣也具有傳染性。病毒作者為了最大地達(dá)到其目的，總會(huì)盡力使病毒傳播到更多的計(jì)算機(jī)系統(tǒng)上。病毒通常會(huì)通過(guò)網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)等各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)中，感染型病毒會(huì)通過(guò)直接將自己植入正常程序的方法來(lái)傳播。潛伏性

許多病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊，如有些病毒會(huì)在特定的時(shí)間發(fā)作。第一部分病毒知識(shí)63第一部分病毒知識(shí) 3.病毒的通用命名規(guī)則

病毒名是由以下6字段組成的：

主行為類型.子行為類型.宿主文件類型.主名稱.版本信息.主名稱變種號(hào)#內(nèi)部信息

其中字段之間使用“.”或“-”分隔，#號(hào)以后屬于內(nèi)部信息，為推舉結(jié)構(gòu)。

主行為類型與病毒子行為類型

病毒可能包含多個(gè)主行為類型，這種情況可以通過(guò)每種主行為類型的危害級(jí)別確定危害級(jí)別最高的作為病毒的主行為類型。同樣的，病毒也可能包含多個(gè)子行為類型，這種情況可以通過(guò)每種主行為類型的危害級(jí)別確定危害級(jí)別最高的作為病毒的子行為類型。其中危害級(jí)別是指對(duì)病毒所在計(jì)算機(jī)的危害。 病毒主行為類型與病毒子行為類型存在對(duì)應(yīng)關(guān)系，下表將描述這一對(duì)應(yīng)關(guān)系：第一部分病毒知識(shí) 3.病毒的通用命名規(guī)則64第一部分病毒知識(shí)主行為類型

子行為類型

Backdoor危害級(jí)別：1說(shuō)明：中文名稱—“后門”，是指在用戶不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制，而且用戶無(wú)法通過(guò)正常的方法禁止其運(yùn)行?！昂箝T”其實(shí)是木馬的一種特例，它們之間的區(qū)別在于“后門”可以對(duì)被感染的系統(tǒng)進(jìn)行遠(yuǎn)程控制（如：文件管理、進(jìn)程控制等）。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型。

Worm危害級(jí)別：2說(shuō)明：中文名稱—“蠕蟲(chóng)”，是指利用系統(tǒng)的漏洞、外發(fā)郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動(dòng)存儲(chǔ)介質(zhì)（如：U盤(pán)、軟盤(pán)），這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用于表示病毒所使用的傳播方式。

Mail危害級(jí)別：1說(shuō)明：通過(guò)郵件傳播

IM危害級(jí)別：2說(shuō)明：通過(guò)某個(gè)不明確的即時(shí)通訊軟件傳播

MSN危害級(jí)別：3說(shuō)明：通過(guò)MSN傳播

QQ危害級(jí)別：4說(shuō)明：通過(guò)OICQ傳播

第一部分病毒知識(shí)主行為類型子行為類型Backdoor（65第一部分病毒知識(shí)ICQ危害級(jí)別：5說(shuō)明：通過(guò)ICQ傳播

P2P危害級(jí)別：6說(shuō)明：通過(guò)P2P軟件傳播IRC危害級(jí)別：7說(shuō)明：通過(guò)ICR傳播

（空）說(shuō)明：不依賴其他軟件進(jìn)行傳播的傳播方式，如：利用系統(tǒng)漏洞、共享目錄、可移動(dòng)存儲(chǔ)介質(zhì)。

Trojan危害級(jí)別：3說(shuō)明：中文名稱—“木馬”，是指在用戶不知道也不允許的情況下，在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行，而且用戶無(wú)法通過(guò)正常的方法禁止其運(yùn)行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。

Spy危害級(jí)別：1說(shuō)明：竊取用戶信息（如：文件等）

PSW危害級(jí)別：2說(shuō)明：具有竊取密碼的行為

DL危害級(jí)別：3說(shuō)明：下載病毒并運(yùn)行IMMSG危害級(jí)別：4說(shuō)明：通過(guò)某個(gè)不明確的載體或多個(gè)明確的載體傳播即時(shí)消息（這一行為與蠕蟲(chóng)的傳播行為不同，蠕蟲(chóng)是傳播病毒自己，木馬僅僅是傳播消息）MSNMSG危害級(jí)別：5說(shuō)明：通過(guò)MSN傳播即時(shí)消息第一部分病毒知識(shí)ICQ危害級(jí)別：5P2P危害級(jí)66第一部分病毒知識(shí)QQMSG危害級(jí)別：6說(shuō)明：通過(guò)OICQ傳播即時(shí)消息

ICQMSG危害級(jí)別：7說(shuō)明：通過(guò)ICQ傳播即時(shí)消息

UCMSG危害級(jí)別：8說(shuō)明：通過(guò)UC傳播即時(shí)消息

Proxy危害級(jí)別：9說(shuō)明：將被感染的計(jì)算機(jī)作為代理服務(wù)器

Clicker危害級(jí)別：10說(shuō)明：點(diǎn)擊指定的網(wǎng)頁(yè)Dialer危害級(jí)別：12說(shuō)明：通過(guò)撥號(hào)來(lái)騙取Money的程序

（空）說(shuō)明：無(wú)法描述其利益目的但又符合木馬病毒的基本特征，則不用具體的子行為進(jìn)行描述

Virus危害級(jí)別：4說(shuō)明：中文名稱“感染型病毒”，是指將病毒代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運(yùn)行宏的文件）中，使病毒代碼在被感染宿主文件運(yùn)行時(shí)取得運(yùn)行權(quán)的病毒。（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

第一部分病毒知識(shí)QQMSG危害級(jí)別：6ICQMSG67第一部分病毒知識(shí)Harm危害級(jí)別：5說(shuō)明：中文名稱—“破壞性程序”，是指那些不會(huì)傳播也不感染，運(yùn)行后直接破壞本地計(jì)算機(jī)（如：格式化硬盤(pán)、大量刪除文件等）導(dǎo)致本地計(jì)算機(jī)無(wú)法正常使用的程序。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Dropper危害級(jí)別：6說(shuō)明：中文名稱—“釋放病毒的程序”，是指不屬于正常的安裝或自解壓程序，并且運(yùn)行后釋放病毒并將它們運(yùn)行。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Hack危害級(jí)別：無(wú)說(shuō)明：中文名稱—“黑客工具”，是指可以在本地計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)攻擊其他計(jì)算機(jī)的工具。

Exploit說(shuō)明：漏洞探測(cè)攻擊工具

DDoser說(shuō)明：拒絕服務(wù)攻擊工具

Flooder說(shuō)明：洪水攻擊工具

（空）說(shuō)明：不能明確攻擊方式并與黑客相關(guān)的軟件，則不用具體的子行為進(jìn)行描述

Binder危害級(jí)別：無(wú)說(shuō)明：捆綁病毒的工具

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

第一部分病毒知識(shí)Harm（空）Dropper（空）Hack68第一部分病毒知識(shí)Constructor危害級(jí)別：無(wú)說(shuō)明：中文名稱—“病毒生成器”，是指可以生成不同功能的病毒的程序。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Joke危害級(jí)別：無(wú)說(shuō)明：中文名稱—“玩笑程序”，是指運(yùn)行后不會(huì)對(duì)系統(tǒng)造成破壞，但是會(huì)對(duì)用戶造成心理恐慌的程序。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Junk危害級(jí)別：無(wú)說(shuō)明：中文名稱—“損壞的病毒文件”，是指包含病毒代碼但是病毒代碼已經(jīng)無(wú)法運(yùn)行的文件。

（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

Rootkit危害級(jí)別：無(wú)說(shuō)明：一種“越權(quán)執(zhí)行”的應(yīng)用程序，它設(shè)法讓自己達(dá)到和內(nèi)核一樣的運(yùn)行級(jí)別，甚至進(jìn)入內(nèi)核空間，這樣它就擁有了和內(nèi)核一樣的訪問(wèn)權(quán)限，因而可以對(duì)內(nèi)核指令進(jìn)行修改（空）說(shuō)明：目前還沒(méi)有劃分這類病毒的子行為類型

第一部分病毒知識(shí)Constructor（空）Joke（空）69第一部分病毒知識(shí)宿主文件 宿主文件是指病毒所使用的文件類型，目前的宿主文件有以下幾種。JS 說(shuō)明：JavaScript腳本文件VBS 說(shuō)明：VBScript腳本文件HTML 說(shuō)明：HTML文件Java 說(shuō)明：Java的Class文件COM 說(shuō)明：Dos下的Com文件EXE 說(shuō)明：Dos下的Exe文件Boot 說(shuō)明：硬盤(pán)或軟盤(pán)引導(dǎo)區(qū)Word 說(shuō)明：MS公司的Word文件Excel 說(shuō)明：MS公司的Excel文件PE 說(shuō)明：PE文件WinREG 說(shuō)明：注冊(cè)表文件Ruby 說(shuō)明：一種腳本Python 說(shuō)明：一種腳本.BAT 說(shuō)明：BAT腳本文件IRC 說(shuō)明：IRC腳本Lisp 說(shuō)明：一種解釋語(yǔ)言第一部分病毒知識(shí)宿主文件70第一部分病毒知識(shí)主名稱 病毒的主名稱是由分析員根據(jù)病毒體的特征字符串、特定行為或者所使用的編譯平臺(tái)來(lái)定的，如果無(wú)法確定病毒的特征字符串、特定行為或者所使用的編譯平臺(tái)則可以用字符串”Agent”來(lái)代替主名稱，小于10k大小的文件可以命名為“Samll”。內(nèi)部信息 #號(hào)后為內(nèi)部信息，通常不在殺毒軟件上顯示，用于殺毒軟件廠商標(biāo)識(shí)內(nèi)部信息。版本信息（只允許為數(shù)字） 對(duì)于版本信息不明確的不加版本信息。主名稱變種號(hào) 如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認(rèn)為是同一家族的病毒，這時(shí)需要變種號(hào)來(lái)區(qū)分不同的病毒記錄。變種號(hào)為不寫(xiě)字母a—z，如果一位版本號(hào)不夠用則最多可以擴(kuò)展3位，如：aa、ab、aaa、aab以此類推。由系統(tǒng)自動(dòng)計(jì)算，不需要人工輸入或選擇。第一部分病毒知識(shí)主名稱71第一部分病毒知識(shí)病毒長(zhǎng)度 病毒長(zhǎng)度字段只用于主行為類型為感染型（Virus）的病毒，字段的值為數(shù)字。當(dāng)字段值為0時(shí)，表示病毒長(zhǎng)度是可變的。病毒命名舉例：Trojan.PSW.Win32.QQPass.aBackdoor.Win32.Gpigeon.bWorm.Win32.Nimaya.bz第一部分病毒知識(shí)72第一部分病毒知識(shí)三、病毒技術(shù)的發(fā)展歷史和現(xiàn)狀 1.病毒的產(chǎn)生

計(jì)算機(jī)病毒不是來(lái)源于突發(fā)或偶然的原因，一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤(pán)和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無(wú)序和混亂的，而計(jì)算機(jī)病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合。計(jì)算機(jī)病毒不會(huì)通過(guò)偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的。計(jì)算機(jī)病毒是人為的特制程序，是由人為故意編寫(xiě)的，多數(shù)計(jì)算機(jī)病毒可以找到作者信息和產(chǎn)地信息，通過(guò)大量的資料分析統(tǒng)計(jì)來(lái)看，病毒作者主要的情況和目的是：表現(xiàn)和炫耀自己的能力

一些天才的程序員為了表現(xiàn)自己和證明自己的能力第一部分病毒知識(shí)三、病毒技術(shù)的發(fā)展歷史和現(xiàn)狀73第一部分病毒知識(shí)為了經(jīng)濟(jì)或其它利益

如盜取網(wǎng)絡(luò)銀行密碼竊取錢財(cái)?shù)绕渌?/p>

因政治，軍事，宗教，民族等方面的原因而專門編寫(xiě)的病毒第一部分病毒知識(shí)為了經(jīng)濟(jì)或其它利益74第一部分病毒知識(shí) 2.病毒的發(fā)展歷史 電腦病毒的起源：

電腦病毒的概念其實(shí)源起相當(dāng)早，在第一部商用電腦出現(xiàn)之前好幾年時(shí)，電腦的先驅(qū)者馮·諾伊曼（JohnVonNeumann）在他的一篇論文《復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行》里，已經(jīng)勾勒出病毒程序的藍(lán)圖。不過(guò)在當(dāng)時(shí)，絕大部分的電腦專家都無(wú)法想像會(huì)有這種能自我繁殖的程序。

1975年，美國(guó)科普作家約翰·布魯勒爾（JohnBrunner）寫(xiě)了一本名為《震蕩波騎士》（ShockWaveRider）的書(shū)，該書(shū)第一次描寫(xiě)了在信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭(zhēng)的工具的故事，成為當(dāng)年最佳暢銷書(shū)之一。第一部分病毒知識(shí)75第一部分病毒知識(shí)

1977年夏天，托馬斯·捷·瑞安（Thomas.J.Ryan）的科幻小說(shuō)《P-1的春天》（TheAdolescenceofP-1）成為美國(guó)的暢銷書(shū)，作者在這本書(shū)中描寫(xiě)了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了7,000臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。虛擬科幻小說(shuō)世界中的東西，在幾年后終于逐漸開(kāi)始成為電腦使用者的噩夢(mèng)。而差不多在同一時(shí)間，美國(guó)著名的AT&T貝爾實(shí)驗(yàn)室中，三個(gè)年輕人在工作之余，很無(wú)聊的玩起一種游戲:彼此撰寫(xiě)出能夠吃掉別人程序的程序來(lái)互相作戰(zhàn)。這個(gè)叫做“磁芯大戰(zhàn)”（corewar）的游戲，進(jìn)一步將電腦病毒“感染性”的概念體現(xiàn)出來(lái)。 1983年11月3日，一位南加州大學(xué)的學(xué)生弗雷德·科恩（FredCohen）在UNIX系統(tǒng)下，寫(xiě)了一個(gè)會(huì)引起系統(tǒng)死機(jī)的程序，但是這個(gè)程序并未引起一些教授的注意與認(rèn)同?？贫鳛榱俗C明其理論而將這些程序以論文發(fā)表，在當(dāng)時(shí)引起了不小的震撼?？贫鞯某绦颍岆娔X病毒具備破壞性的概念具體成形。

不過(guò)，這種具備感染與破壞性的程序被真正稱之為"病毒"，則是在兩年后的一本《科學(xué)美國(guó)人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的專欄作家在討論"磁芯大戰(zhàn)"與蘋(píng)果二型電腦（別懷疑，當(dāng)時(shí)流行的正是蘋(píng)果二型電腦，在那個(gè)時(shí)侯，我們熟悉的PC根本還不見(jiàn)蹤影）時(shí)，開(kāi)始把這種程序稱之為病毒。從此以后我們對(duì)于這種具備感染或破壞性的程序，終于有一個(gè)"病毒"的名字可以稱呼了。

第一部分病毒知識(shí) 1977年夏天，托馬斯·捷·瑞安（Tho76第一部分病毒知識(shí) 第一個(gè)計(jì)算機(jī)病毒:

到了1987年，第一個(gè)電腦病毒C-BRAIN終于誕生了（這似乎不是一件值得慶賀的事）。一般而言，業(yè)界都公認(rèn)這是真正具備完整特征的電腦病毒始祖。這個(gè)病毒程序是由一對(duì)巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所寫(xiě)的，他們?cè)诋?dāng)?shù)亟?jīng)營(yíng)一家販賣個(gè)人電腦的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會(huì)發(fā)作，將盜拷者的硬盤(pán)剩余空間給吃掉。 這個(gè)病毒在當(dāng)時(shí)并沒(méi)有太大的殺傷力，但后來(lái)一些有心人士以C-BRAIN為藍(lán)圖，制作出一些變形的病毒。而其他新的病毒創(chuàng)作，也紛紛出籠，不僅有個(gè)人創(chuàng)作，甚至出現(xiàn)不少創(chuàng)作集團(tuán)（如NuKE,Phalcon/Skism,VDV）。各類掃毒、防毒與殺毒軟件以及專業(yè)公司也紛紛出現(xiàn)。一時(shí)間，各種病毒創(chuàng)作與反病毒程序，不斷推陳出新，如同百家爭(zhēng)鳴。第一部分病毒知識(shí) 第一個(gè)計(jì)算機(jī)病毒:77第一部分病毒知識(shí)

病毒發(fā)展發(fā)展階段

在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。同時(shí)，操作系統(tǒng)進(jìn)行升級(jí)時(shí)，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)?？偟恼f(shuō)來(lái)，病毒可以分為以下幾個(gè)發(fā)展階段：DOS引導(dǎo)階段 1987年，電腦病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。由于，那時(shí)的電腦硬件較少，功能簡(jiǎn)單，一般需要通過(guò)軟盤(pán)啟動(dòng)后使用。而引導(dǎo)型病毒正是利用了軟盤(pán)的啟動(dòng)原理工作，修改系統(tǒng)啟動(dòng)扇區(qū)，在電腦啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤(pán)讀寫(xiě)中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤(pán)時(shí)進(jìn)行傳播。DOS可執(zhí)行階段 1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作，如“耶路撒冷”，“星期天”等病毒?？蓤?zhí)行型病毒的病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，使文件長(zhǎng)度增加。1990年，發(fā)展為復(fù)合型病毒，可感染COM和EXE文件。第一部分病毒知識(shí) 病毒發(fā)展發(fā)展階段78第一部分病毒知識(shí)伴隨體型階段

1992年，伴隨型病毒出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。具有代表性的是“金蟬”病毒，它感染EXE文件的同時(shí)會(huì)生成一個(gè)和EXE同名的擴(kuò)展名為COM伴隨體；它感染COM文件時(shí)，改為原來(lái)的COM文件為同名的EXE文件，在產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM。這樣，在DOS加載文件時(shí)，病毒會(huì)取得控制權(quán)，優(yōu)先執(zhí)行自己的代碼。該類病毒并不改變?cè)瓉?lái)的文件內(nèi)容，日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可，非常容易。其典型代表的是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問(wèn)用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。變形階段

1994年，匯編語(yǔ)言得到了長(zhǎng)足的發(fā)展。要實(shí)現(xiàn)同一功能，通過(guò)匯編語(yǔ)言可以用不同的方式進(jìn)行完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。而典型的多形病毒─幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。變種階段

1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)的插入一些空操作和無(wú)關(guān)命令，也不影響運(yùn)算的結(jié)果。這樣，某些解碼算法可以由生成器生成不同的變種。其代表作品─“病毒制造機(jī)”VCL，它可以在瞬間制造出成千上萬(wàn)種不同的病毒，查解時(shí)不能使用傳統(tǒng)的特征識(shí)別法，而需要在宏觀上分析命令，解碼后查解病毒，大大提高了復(fù)雜程度。第一部分病毒知識(shí)伴隨體型階段79第一部分病毒知識(shí)網(wǎng)絡(luò)、蠕蟲(chóng)階段

隨著網(wǎng)絡(luò)的普及，病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的改進(jìn)。在Windows操作系統(tǒng)中，“蠕蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤(pán)文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。Windows視窗階段 1996年，隨著Windows的日益普及，利用Windows進(jìn)行工作的病毒開(kāi)始發(fā)展，它們修改（NE，PE）文件，典型的代表是DS.3873，這類病毒的急智更為復(fù)雜，它們利用保護(hù)模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。宏病毒階段

1996年，隨著MSOffice功能的增強(qiáng)及盛行，使用Word宏語(yǔ)言也可以編制病毒，這種病毒使用類Basic語(yǔ)言，編寫(xiě)容易，感染W(wǎng)ord文件文件。由于Word文件格式?jīng)]有公開(kāi)，這類病毒查解比較困難?；ヂ?lián)網(wǎng)階段

1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播和破壞，利用郵件、網(wǎng)絡(luò)即時(shí)聊天軟件等進(jìn)行傳播的蠕蟲(chóng)病毒開(kāi)始大量出現(xiàn)。隨著網(wǎng)上購(gòu)物、網(wǎng)上銀行等電子商務(wù)的發(fā)展以及網(wǎng)絡(luò)游戲的發(fā)展，盜取網(wǎng)銀帳號(hào)、網(wǎng)游帳號(hào)等用戶敏感信息的木馬程序逐漸開(kāi)始流行泛濫。近兩幾年來(lái)利用網(wǎng)絡(luò)去下載其它病毒的“下載者”病毒開(kāi)始大量出現(xiàn)。第一部分病毒知識(shí)網(wǎng)絡(luò)、蠕蟲(chóng)階段80第一部分病毒知識(shí) 3.病毒的當(dāng)前發(fā)展趨勢(shì)具有較強(qiáng)的目的性

目前流行的病毒作者編寫(xiě)計(jì)算機(jī)病毒絕大多數(shù)都具有較強(qiáng)的目的性，如盜取敏感信息、遠(yuǎn)程控制用戶等，只是為了炫耀能力或開(kāi)玩笑的計(jì)算機(jī)病毒只占很小的一部分。在這些目的中，經(jīng)濟(jì)利益成為病毒作者主要的驅(qū)動(dòng)力，以竊取錢財(cái)或網(wǎng)絡(luò)虛擬財(cái)產(chǎn)（如網(wǎng)游裝備）為目的盜號(hào)病毒的在流行病毒中占有極大的比例。加殼和免殺等反殺毒技術(shù)的廣泛使用

面對(duì)殺毒軟件的發(fā)展和普及，對(duì)抗殺毒軟件已經(jīng)成為計(jì)算機(jī)病毒生存的關(guān)鍵，因此病毒也開(kāi)始利用各種技術(shù)來(lái)避免被殺毒軟件查殺，甚至主動(dòng)破壞殺毒軟件。通過(guò)使用加殼軟件加殼、使用免殺技術(shù)(手動(dòng)或自動(dòng)地修改程序代碼)來(lái)逃避殺毒軟件的特征碼掃描的方法已經(jīng)被廣泛使用，通過(guò)破壞殺毒軟件、使用Rootkit技術(shù)來(lái)防止被殺毒軟件殺毒的方法也開(kāi)始越來(lái)越多地被應(yīng)用。第一部分病毒知識(shí)81第一部分病毒知識(shí)病毒下載行為成為主流

互聯(lián)網(wǎng)的發(fā)展使信息的傳播更加方便迅速，計(jì)算機(jī)病毒也同樣緊跟技術(shù)的發(fā)展，用于下載病毒的病毒(下載者)廣泛流行并呈上升趨勢(shì)，而且這種病毒行為已經(jīng)逐漸成為病毒必備的一種能力。病毒作者通過(guò)更新病毒網(wǎng)址的內(nèi)容，使一個(gè)下載型病毒可以不斷下載不同的病毒或更新自己。多種病毒技術(shù)和病毒行為相結(jié)合

同時(shí)使用多種病毒技術(shù)、具有多種病毒行為成為當(dāng)前計(jì)算機(jī)病毒的趨勢(shì)之一。下載、漏洞利用、反殺毒軟件等病毒技術(shù)常常被結(jié)合使用，病毒的復(fù)雜程度大大提高。Rootkit技術(shù)的應(yīng)用

Rootkit一詞最早來(lái)自于Unix系統(tǒng)，是Root和kit合成出的一個(gè)詞。在Unix下，Root指根權(quán)限，即Unix系統(tǒng)最高的權(quán)限，Kit是工具包的意思，因此最早在Unix系統(tǒng)中出現(xiàn)的Rootkit概念是指獲取、擁有根權(quán)限的工具包。隨著發(fā)展，這個(gè)概念的意義也更廣泛了，指那些常駐于系統(tǒng)中、可以為其它程序提供隱藏行為或現(xiàn)象的服務(wù)的一組程序或代碼?，F(xiàn)在，病毒也越來(lái)越多的使用Rootkit來(lái)隱藏自己的進(jìn)程、文件和注冊(cè)表項(xiàng)等，由于Rootkit多使用系統(tǒng)比較核心的技術(shù)、擁有更高的系統(tǒng)權(quán)限，因此對(duì)由Rootkit保護(hù)的病毒的查殺也變得更加困難。第一部分病毒知識(shí)病毒下載行為成為主流82第一部分病毒知識(shí)出現(xiàn)有組織地制造、傳播、使用計(jì)算機(jī)病毒的產(chǎn)業(yè)鏈

從熊貓燒香（Wrom.Nimaya）病毒發(fā)作的事件中，我們可以看到現(xiàn)在的計(jì)算機(jī)病毒的制造、傳播和使用已經(jīng)逐漸成為一個(gè)地下產(chǎn)業(yè)，病毒的制造者、傳播者和使用者進(jìn)行分工合作來(lái)達(dá)到他們的目的。病毒制造者制造病毒并出賣進(jìn)行獲利，病毒傳播者通過(guò)幫助病毒使用者盡量更廣泛的傳播病毒來(lái)獲利，而病毒使用者則為了盜取網(wǎng)絡(luò)財(cái)產(chǎn)、增加點(diǎn)擊量等目的購(gòu)買并使用病毒?，F(xiàn)在在互聯(lián)網(wǎng)上可以看到許多兜售病毒制造機(jī)、免殺工具的信息，同時(shí)還有許多病毒制造和使用者同黑客合作的案例。種種跡象表明，計(jì)算機(jī)病毒的制造、傳播和使用正在逐漸形成一個(gè)地下產(chǎn)業(yè)。第一部分病毒知識(shí)出現(xiàn)有組織地制造、傳播、使用計(jì)算機(jī)病毒的產(chǎn)83第一部分病毒知識(shí)三、涉及病毒的一些計(jì)算機(jī)知識(shí)的介紹 1.進(jìn)程與線程(Process/Thread)

2.動(dòng)態(tài)鏈接庫(kù)(DynamicLinkLibrary)

第一部分病毒知識(shí)三、涉及病毒的一些計(jì)算機(jī)知識(shí)的介紹84第一部分病毒知識(shí)

3.窗口與消息

4.PE文件簡(jiǎn)介

PortableExecutable（可移植的執(zhí)行體）

5.服務(wù)與驅(qū)動(dòng)（Services/Drivers）

第一部分病毒知識(shí) 3.窗口與消息85第一部分病毒知識(shí) 6.WindowsAPI簡(jiǎn)介

第一部分病毒知識(shí) 6.WindowsAPI簡(jiǎn)介86第一部分病毒知識(shí)（二）、病毒的基本結(jié)構(gòu)和工作流程一、病毒的基本結(jié)構(gòu)和工作流程 1.病毒的基本功能模塊

計(jì)算機(jī)病毒同正常的程序一樣，也是一種計(jì)算機(jī)程序，使用的是同樣的編程方法，只是它們使用同樣技術(shù)的目的與同正常程序不同。要了解病毒的機(jī)制和實(shí)現(xiàn)，我們要緊緊抓住病毒的特征和目的入手。病毒的特征是：破壞性、隱藏性、傳染性、潛伏性，要實(shí)現(xiàn)這些特性，就必然有相應(yīng)的結(jié)構(gòu)和功能代碼。除了為實(shí)現(xiàn)這些特性的功能代碼，病毒一般還都會(huì)實(shí)現(xiàn)自啟動(dòng)和自我保護(hù)的功能。 作為計(jì)算機(jī)病毒，一般都會(huì)有如下的功能代碼和結(jié)構(gòu)：隱藏性的實(shí)現(xiàn) 因?yàn)闉椴《疽獙?shí)現(xiàn)不可告人的目的，因此除了如病毒生成器、玩笑程序等，絕大多數(shù)病毒會(huì)想方設(shè)法地隱藏自己，盡量不被用戶發(fā)現(xiàn)。為了沒(méi)有用戶可見(jiàn)的界面，病毒會(huì)采用不生成窗口或隱藏窗口的方法來(lái)達(dá)到目的。為了隱藏進(jìn)程，病毒常常會(huì)使用注入等手段。除了隱藏界面和進(jìn)程，病毒通常還會(huì)設(shè)法隱藏自己的文件和注冊(cè)表項(xiàng)。除了上面介紹的方法外，感染可執(zhí)行程序，隱藏自己于正常程序文件中，也是病毒實(shí)現(xiàn)隱藏的一種方法。第一部分病毒知識(shí)（二）、病毒的基本結(jié)構(gòu)和工作流程87第一部分病毒知識(shí)傳染性的實(shí)現(xiàn)

病毒總是希望最大限度的復(fù)制自己到更多的計(jì)算機(jī)，以便實(shí)現(xiàn)最大限度的破壞。病毒要傳播到其它計(jì)算機(jī)離不開(kāi)傳播介質(zhì)，可移動(dòng)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)就成為病毒傳染的必備途徑。對(duì)于軟盤(pán)、U盤(pán)、可移動(dòng)硬盤(pán)等，病毒通常采用寫(xiě)入病毒和autorun.inf的方法進(jìn)行傳染。隨著網(wǎng)絡(luò)的普及，利用網(wǎng)絡(luò)進(jìn)行傳播已經(jīng)成為病毒傳播的主要手段，所采用的方法也相對(duì)較多。采用網(wǎng)絡(luò)進(jìn)行傳播常見(jiàn)的方法有：利用網(wǎng)絡(luò)共享進(jìn)行傳播、利用郵件系統(tǒng)進(jìn)行傳播、利用即時(shí)聊天軟件進(jìn)行傳播等。破壞性的實(shí)現(xiàn)病毒的破壞性功能體現(xiàn)了病毒作者的最終目的，其種類也相對(duì)較多。 盜取信息 遠(yuǎn)程控制 下載病毒 彈出廣告 刪除文件第一部分病毒知識(shí)88第一部分病毒知識(shí)自啟動(dòng)的實(shí)現(xiàn)

計(jì)算機(jī)病毒也是程序，只有被執(zhí)行起來(lái)才能實(shí)現(xiàn)其功能，因此病毒也會(huì)利用各種方法使自己在計(jì)算機(jī)每次啟動(dòng)后就能運(yùn)行起來(lái)。實(shí)現(xiàn)自啟動(dòng)主要的方法是利用系統(tǒng)提供的機(jī)制，如Windows下注冊(cè)表中的啟動(dòng)項(xiàng)、注冊(cè)為服務(wù)程序等。另外，感染正常程序，尤其是系統(tǒng)程序，也可以達(dá)到病毒實(shí)現(xiàn)自啟動(dòng)的目的。自我保護(hù)的實(shí)現(xiàn)

計(jì)算機(jī)病毒為了實(shí)現(xiàn)自己傳染、破壞等目的，也會(huì)利用各種方法保護(hù)自己，使自己不被發(fā)現(xiàn)，不被清除。為了隱藏自己的行蹤，病毒通常會(huì)設(shè)法隱藏自己的文件、進(jìn)程和自啟動(dòng)的注冊(cè)表項(xiàng)等。作為保護(hù)自己的另一種方法，病毒常常會(huì)主動(dòng)破壞殺毒軟件，通過(guò)破壞殺毒軟件文件等手段使其喪失功能，以此來(lái)保護(hù)自己。第一部分病毒知識(shí)自啟動(dòng)的實(shí)現(xiàn)89第一部分病毒知識(shí)

2.病毒常見(jiàn)結(jié)構(gòu)文件結(jié)構(gòu)

功能結(jié)構(gòu)

第一部分病毒知識(shí) 2.病毒常見(jiàn)結(jié)構(gòu)90第一部分病毒知識(shí)二、病毒的通用工作流程 1.初始化 2.對(duì)抗殺毒軟件 3.自我保護(hù) 4.傳染 5.破壞工作第一部分病毒知識(shí)二、病毒的通用工作流程91第一部分病毒知識(shí)（三）、病毒的通用手段和技術(shù)一、病毒的自啟動(dòng)技術(shù)

1.系統(tǒng)啟動(dòng)的流程 2.利用系統(tǒng)的啟動(dòng)機(jī)制啟動(dòng) 3.通過(guò)感染、修改其它文件啟動(dòng)

第一部分病毒知識(shí)（三）、病毒的通用手段和技術(shù)92第一部分病毒知識(shí)二、代碼注入的技術(shù)與作用

1.代碼注入的概念和作用 2.代碼注入的常見(jiàn)方法 3.病毒進(jìn)行代碼注入的目的

第一部分病毒知識(shí)93第一部分病毒知識(shí)三、鉤子技術(shù)的原理和作用

1.鉤子技術(shù)的原理和作用 2.鉤子的常見(jiàn)類型 3.鉤子的常見(jiàn)方法

第一部分病毒知識(shí)94第一部分病毒知識(shí)四、文件感染

1.文件感染的原理 2.文件感染的常見(jiàn)類型 3.被感染文件的發(fā)現(xiàn)和清理

第一部分病毒知識(shí)95第一部分病毒知識(shí)五、病毒傳播的常見(jiàn)方法

1.可移動(dòng)媒體傳播 2.文件感染傳播 3.網(wǎng)頁(yè)掛馬傳播 4.下載器傳播 5.郵件傳播 6.即時(shí)通信軟件傳播

第一部分病毒知識(shí)96第一部分病毒知識(shí)六、下載文件常見(jiàn)方法

1.下載的常見(jiàn)方法 2.穿越防火墻的常見(jiàn)方法

第一部分病毒知識(shí)97第一部分病毒知識(shí)七、密碼的盜取常見(jiàn)技術(shù)手段

1.密碼盜取的常見(jiàn)方法 2.發(fā)送盜取的信息的常見(jiàn)方法

第一部分病毒知識(shí)98第一部分病毒知識(shí)八、rootkit技術(shù)

1.rootkit的概念和原理

Rootkit一詞最早來(lái)自于Unix系統(tǒng)，是Root和kit合成出的一個(gè)詞。在Unix下，Root指根權(quán)限，即Unix系統(tǒng)最高的權(quán)限，Kit是工具包的意思，因此最早在Unix系統(tǒng)中出現(xiàn)的Rootkit概念是指獲取、擁有根權(quán)限的工具包。隨著發(fā)展，這個(gè)概念的意義也更廣泛了，指那些常駐于系統(tǒng)中、可以為其它程序提供隱藏行為或現(xiàn)象的服務(wù)的一組程序或代碼。

2.rootkit的作用 3.內(nèi)核鉤子第一部分病毒知識(shí)99第一部分病毒知識(shí)(四)、病毒的自我保護(hù)一、加殼與免殺技術(shù)的原理和應(yīng)用

1.