計算機病毒概述本章學習目標掌握計算機病毒的基本概念了解計算機病毒發(fā)展的歷史轉折點熟悉計算機病毒的分類熟悉商業(yè)計算機病毒命名規(guī)則掌握計算機病毒的發(fā)展趨勢一、計算機病毒的定義計算機病毒產(chǎn)生的動機(原因)：計算機系統(tǒng)的脆弱性(IBM病毒防護計劃)作為一種文化（hacker）病毒編制技術學習惡作劇\報復心理用于版權保護（江民公司）用于特殊目的（軍事、計算機防病毒公司）“計算機病毒”與醫(yī)學上的“病毒”不同， 它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序?！坝嬎銠C病毒”為什么叫做病毒？與生物醫(yī)學上的病毒同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學上的“病毒”概念引申而來。FredCohen定義：

計算機病毒是一種程序，他用修改其它程序的方法將自身的精確拷貝或者可能演化的拷貝插入其它程序，從而感染其它程序。FredCohen認為：

病毒不是利用操作系統(tǒng)運行的錯誤和缺陷的程序，病毒是正常的用戶程序。標準定義（中國）：直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出："計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。"此定義具有法律性、權威性。二、計算機病毒的特性

破壞性傳染性隱蔽性

寄生性觸發(fā)（潛伏）性/*引導功能模塊*/{將病毒程序寄生于宿主程序中；加載計算機程序；病毒程序隨其宿主程序的運行進入系統(tǒng)；}{傳染功能模塊；}{破壞功能模塊；}main(){調(diào)用引導功能模塊；A：do{尋找傳染對象；

if(傳染條件不滿足) gotoA；}while(滿足傳染條件)；調(diào)用傳染功能模塊；while(滿足破壞條件) {激活病毒程序； 調(diào)用破壞功能模塊；}

運行宿主源程序；

if不關機

gotoA；關機；}計算機病毒感染率變化趨勢數(shù)據(jù)來源：中國計算機病毒應急處理中心

三、計算機病毒簡史年份計算機病毒簡史在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他的論文《復雜自動裝置的理論及組識的進行》里，就已經(jīng)勾勒出了病毒程序的藍圖。70年代美國作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中作者構思出了計算機病毒的概念。美國電話電報公司(AT&T)的貝爾實驗室中，三個年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)(corewar)”。博士論文的主題是計算機病毒1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒（Unix）。1986年初，巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了

Pakistan病毒，即Brain，其目的是為了防范盜版軟件。Dos–PC–引導區(qū)1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。視窗病毒1988年3月2日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。肇事者-RobertT.Morris,美國康奈爾大學學生，其父是美國國家安全局安全專家。機理-利用sendmail,finger等服務的漏洞，消耗CPU資源，并導致拒絕服務。影響-Internet上大約6000臺計算機感染，占當時Internet聯(lián)網(wǎng)主機總數(shù)的10%，造成9600萬美元的損失。CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應付類似事件。莫里斯蠕蟲（MorrisWorm）1988年1989年，全世界計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶（包括中國）造成了極大損失。全球流行DOS病毒伊拉克戰(zhàn)爭中的病毒-AF/91（1991）在沙漠風暴行動的前幾周，一塊被植入病毒的計算機芯片被安裝進了伊拉克空軍防衛(wèi)系統(tǒng)中的一臺點陣打印機中。該打印機在法國組裝，取道約旦、阿曼運到了伊拉克。病毒癱瘓了伊拉克空軍防衛(wèi)系統(tǒng)中的一些Windows系統(tǒng)主機以及大型計算機，據(jù)說非常成功。宏病毒1996年，出現(xiàn)針對微軟公司Office的“宏病毒”。1997年公認為計算機反病毒界的“宏病毒年”。特點：書寫簡單，甚至有很多自動制作工具CIH（1998-1999）1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。蠕蟲——病毒新時代1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的美麗莎病毒。2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個專門攻擊服務器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡災害。記憶猶新的3年（2003-2005）2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設備的類型，自動把U盤里所有的資料都復制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個網(wǎng)絡游戲的用戶信息，如果用戶通過登陸某個網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實際上是經(jīng)過偽裝的病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡游戲及網(wǎng)絡銀行的賬號和密碼。該病毒發(fā)作時，會顯示一張照片使用戶對其放松警惕。2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另據(jù)江民病毒預警中心監(jiān)測的數(shù)據(jù)顯示，1至6月全國共有7322453臺計算機感染了病毒，其中感染木馬病毒電腦2384868臺，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺，占病毒感染電腦總數(shù)的17.12%，感染后門程序電腦

664589臺，占病毒感染電腦總數(shù)的9.03%，蠕蟲病毒216228臺，占病毒感染電腦總數(shù)的2.95%，監(jiān)測發(fā)現(xiàn)漏洞攻擊代碼感染181769臺，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺，占病毒感染電腦總數(shù)的2.06%。最前沿病毒2007年：流氓軟件——反流氓軟件技術對抗的階段。Cnnic3721–yahoo熊貓燒香2008年：木馬ARPPhishing（網(wǎng)絡釣魚）2009年惡意代碼產(chǎn)業(yè)化木馬是主流其他：瀏覽器劫持、下載捆綁、釣魚2010年新增惡意代碼750萬（瑞星）；流行惡意代碼：快捷方式真假難分、木馬依舊猖獗，但更注重經(jīng)濟利益和特殊應用。惡意代碼的發(fā)展趨勢卡巴斯基實驗室的高級研究師DavidEmm研究獲悉，到2008年底為止，全球大約存在各種惡意代碼1,400,000個。發(fā)展趨勢網(wǎng)絡化發(fā)展專業(yè)化發(fā)展簡單化發(fā)展多樣化發(fā)展自動化發(fā)展犯罪化發(fā)展四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每周一次的計算機安全討論會上正式提出。1988年冬天，正在康乃爾大學攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網(wǎng)絡——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡有不明入侵者。當晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀念一下1986的災難”或“使反病毒軟件公司難堪”。年僅18歲的高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。李俊，大學本科畢業(yè)大于1000萬用戶染毒損失數(shù)億元人民幣處罰：最高無期？五、計算機病毒的主要危害直接危害：1.病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用2.占用磁盤空間和對信息的破壞3.搶占系統(tǒng)資源4.影響計算機運行速度5.計算機病毒錯誤與不可預見的危害6.計算機病毒的兼容性對系統(tǒng)運行的影響病毒的危害情況

間接危害：1.計算機病毒給用戶造成嚴重的心理壓力2.造成業(yè)務上的損失3.法律上的問題近幾年來的重大損失

年份攻擊行為發(fā)起者受害PC數(shù)目損失金額(美元)2006木馬和惡意軟件————2005木馬————2004Worm_Sasser(震蕩波)————2003Worm_MSBLAST(沖擊波)超過140萬臺——2003SQLSlammer超過20萬臺9.5億至12億2002Klez超過6百萬臺90億2001RedCode超過1百萬臺26億2001NIMDA超過8百萬臺60億2000LoveLetter——88億1999CIH超過6千萬臺近100億六、計算機病毒的分類1、按病毒存在的媒體分類網(wǎng)絡病毒：通過計算機網(wǎng)絡傳播感染網(wǎng)絡中的可執(zhí)行文件；文件病毒：感染計算機中的文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；引導型病毒：感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導扇區(qū)（ＭＢＲ）；混合型病毒：是上述三種情況的混合。例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。2、按病毒傳染的方法分類引導扇區(qū)傳染病毒：主要使用病毒的全部或部分代碼取代正常的引導記錄，而將正常的引導記錄隱藏在其他地方。執(zhí)行文件傳染病毒：寄生在可執(zhí)行程序中，一旦程序執(zhí)行，病毒就被激活，進行預定活動。網(wǎng)絡傳染病毒：這類病毒是當前病毒的主流，特點是通過互聯(lián)網(wǎng)絡進行傳播。例如，蠕蟲病毒就是通過主機的漏洞在網(wǎng)上傳播。3、按病毒破壞的能力分類無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。

無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。

危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。

非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。4、按病毒算法分類伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。蠕蟲型病毒：通過計算機網(wǎng)絡傳播，不改變文件和資料信息，利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源寄生型病毒：依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播。練習型病毒：病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段。變形病毒：這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關指令的解碼算法和經(jīng)過變化的病毒體組成。5、按計算機病毒的鏈結方式分類源碼型病毒：該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。嵌入型病毒：這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術，超級病毒技術和隱蔽性病毒技術，將給當前的反病毒技術帶來嚴峻的挑戰(zhàn)。外殼型病毒：外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。操作系統(tǒng)型病毒：這種病毒用自身的程序加入或取代部分操作系統(tǒng)進行工作，具有很強的破壞力，可以導致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。6、按病毒攻擊操作系統(tǒng)分類MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）病毒的發(fā)展是伴隨著計算機軟硬件的發(fā)展而發(fā)展的。沿著操作系統(tǒng)發(fā)展的幾個階段來看看病毒技術與反病毒技術演化。DOS時代（1981－）Window9x時代（1995－）WindowsNT/2000時代（1996－）嵌入式系統(tǒng)（2000—）操作系統(tǒng)及病毒變化（一）DOS操作系統(tǒng)時代的病毒DOS操作系統(tǒng)簡介16位的操作系統(tǒng)（8086、8088）實模式、單用戶、單任務字符界面中斷機制DOS可執(zhí)行文件病毒原理COM病毒EXE病毒常見感染手法通過查目錄進行傳播通過執(zhí)行進行傳播通過文件查找進行傳播通過文件關閉的時候進行傳播DOS反病毒原理特征碼技術模糊匹配技術（廣譜殺毒）行為判定技術啟發(fā)式掃描技術對各種可疑功能進行加權判斷；MOVAH,5；INT,13h;format（二）Windows操作系統(tǒng)32位操作系統(tǒng)搶占式多任務操作系統(tǒng)保護模式下運行友好的圖形界面Windows病毒可執(zhí)行文件病毒宏病毒腳本病毒蠕蟲病毒木馬病毒可執(zhí)行文件病毒典型病毒（CIH）感染原理特點反病毒技術文件監(jiān)控內(nèi)存監(jiān)控蠕蟲病毒典型病毒感染原理特點反病毒技術郵件監(jiān)控網(wǎng)絡監(jiān)控席卷全球的NIMDA病毒木馬病毒典型病毒感染原理特點反病毒技術文件監(jiān)控防火墻宏病毒典型病毒感染原理特點反病毒技術OFFICE嵌入式查毒特征代碼腳本病毒典型病毒感染原理特點反病毒技術腳本監(jiān)控

智能手機病毒-手機木馬（WinCE.Brador.A）病毒名稱：

WinCE.Brador.A

類型：Backdoor公布日期：未知影響平臺：

WindowsMobile病毒別名：

Backdoor.WinCE.Brador.a大小：

5632發(fā)源地區(qū)：俄羅斯概述：

Brador.A是已知第一個針對PocketPC手持設備的后門程序。運行時，后門程序將自己復制到啟動文件夾，將PDA的IP地址郵件發(fā)送給后門程序的作者，并開始監(jiān)聽一個TCP端口的命令。然后黑客可以通過TCP端口連接回PDA，通過后門程序控制PDA。運行時，后門程序將自己復制到啟動文件夾，將PDA的IP地址郵件發(fā)送給后門程序的作者，并開始監(jiān)聽一個TCP端口的命令。然后黑客可以通過TCP端口連接回PDA，通過后門程序控制PDA。端口：2989D:瀏覽文件G:上傳文件P:下載文件R:執(zhí)行命令M:屏幕顯示F:退出運行時，Brador.A會將自己作為svchost.exe復制到PocketPC設備上的Windows\StartUp文件夾，以致設備每次啟動時它都會自動啟動

安裝程序對復制到Windows\StartUp文件夾的文件作了輕微修改。因此文件每次啟動時會有所不同，雖然這不會影響后門程序的操作。仍不清楚這是安裝程序有意的還是附帶的結果。危害當Brador.A安裝到系統(tǒng)時，會讀取本地主機IP地址并email發(fā)送給作者。郵件發(fā)送IP地址后后門程序打開一個TCP端口，開始監(jiān)聽來自它的命令。后門程序能夠從PDA上傳、下載文件，執(zhí)行任意命令并對PDA用戶顯示信息。七、計算機病毒的傳播途徑

1、軟盤軟盤作為最常用的交換媒介，在計算機應用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導機器時，引導區(qū)病毒會在軟盤與硬盤引導區(qū)內(nèi)互相感染。因此軟盤也成了計算機病毒的主要的寄生“溫床”。2、光盤光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“干凈”的計算機帶來了災難。

3、硬盤（含移動硬盤、USB）有時，帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會將干凈的軟盤傳染或者感染其他硬盤并擴散。網(wǎng)絡——〉病毒的加速器網(wǎng)絡病毒技術社區(qū)集體攻擊病毒

蠕蟲病毒特洛伊木馬黑客技術腳本病毒郵件病毒病毒源碼發(fā)布4、有線網(wǎng)絡觸目驚心的計算——卿斯?jié)h如果：20分鐘產(chǎn)生一種新病毒，通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，每天開機聯(lián)網(wǎng)2小時。結論：一年以內(nèi)一臺聯(lián)網(wǎng)的電腦可能會被最新病毒感染2190次。另一個數(shù)字：75％的電腦被感染。網(wǎng)絡服務——〉傳播媒介網(wǎng)絡的快速發(fā)展促進了以網(wǎng)絡為媒介的各種服務（FTP,WWW,BBS,EMAIL等）的快速普及。同時，這些服務也成為了新的病毒傳播方式。電子布告欄（BBS）：電子郵件（Email）：即時消息服務（QQ,ICQ,MSN等）：WEB服務：FTP服務：新聞組：5、無線通訊系統(tǒng)病毒對手機的攻擊有3個層次：攻擊WAP服務器，使手機無法訪問服務器；攻擊網(wǎng)關，向手機用戶發(fā)送大量垃圾信息；直接對手機本身進行攻擊，有針對性地對其操作系統(tǒng)和運行程序進行攻擊，使手機無法提供服務。八、染毒計算機的癥狀病毒表現(xiàn)現(xiàn)象：計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象病毒發(fā)作時的表現(xiàn)現(xiàn)象病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障1、發(fā)作前的現(xiàn)象平時運行正常的計算機突然經(jīng)常性無緣無故地死機操作系統(tǒng)無法正常啟動運行速度明顯變慢以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤打印和通訊發(fā)生異常無意中要求對軟盤進行寫操作以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件的時間、日期、大小發(fā)生變化運行Word，打開Word文檔后，該文件另存時只能以模板方式保存磁盤空間迅速減少網(wǎng)絡驅動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來的電子郵件2、發(fā)作時的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂產(chǎn)生特定的圖像硬盤燈不斷閃爍進行游戲算法Windows桌面圖標發(fā)生變化計算機突然死機或重啟自動發(fā)送電子郵件鼠標自己在動3、發(fā)作后的現(xiàn)象硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密修改Autoexec.bat文件使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡癱瘓，無法提供正常的服務4、與病毒現(xiàn)象類似的軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅動器號)軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)的兼容性引導過程故障用不同的編輯軟件程序5、與病毒現(xiàn)象類似的硬件故障系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅故障關于CMOS的問題九、計算機病毒的命名規(guī)則

CARO命名規(guī)則，每一種病毒的命名包括五個部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點命名不用公司或商標命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類

精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時能奏樂，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因為Cascade病毒的變種的大小不一（1701,1704,1621等），所以用大小來表示組名。A表示該病毒是某個組中的第一個變種。

業(yè)界補充：反病毒軟件商們通常在CARO命名的前面加一個前綴來標明病毒類型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個變種的命名就成了W97M.Melissa.AA，Happy99蠕蟲就被稱為Win32.Happy99.Worm。VGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱通過某種方法關聯(lián)起來，其目的是不管什么樣的掃描軟件都能按照可被識別的名稱鏈進行掃描。VGrep將病毒文件讀入并用不同的掃描器進行掃描，掃描的結果和被識別出的信息放入數(shù)據(jù)庫中。每一個掃描器的掃描結果與別的掃描結果相比較并將結果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個最通用的名字最為代表名字。擁有成千上萬掃描器的大型企業(yè)集團要求殺毒軟件供應商使用VGrep命名，這對于在世界范圍內(nèi)跟蹤多個病毒的一致性很有幫助。十、計算機病毒防治病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來產(chǎn)生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來的所有反病毒軟硬件都無法檢測。3、目前的反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進行更新、升級。4、病毒產(chǎn)生在前，反病毒手段滯后的現(xiàn)狀，將是一個長期的過程。人類為防治病毒所做出的努力

立體防護網(wǎng)絡版單機版防病毒卡對計算機病毒應持有的態(tài)度

1.客觀承認計算機病毒的存在，但不要懼怕病毒。

3.樹立計算機病毒意識，積極采取預防（備份等）措施。4.掌握必要的計算機病毒知識和病毒防治技術，對用戶至關重要。5.發(fā)現(xiàn)病毒，冷靜處理。目前廣泛應用的幾種防治技術：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術實現(xiàn)簡單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；虛擬執(zhí)行技術

該技術通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒，具有如下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的查殺

智能引擎技術

智能引擎技術發(fā)展了特征碼掃描法的優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項技術，使病毒掃描速度比2002版提高了一倍之多；計算機監(jiān)控技術文件實時監(jiān)控內(nèi)存實時監(jiān)控腳本實時監(jiān)控郵件實時監(jiān)控注冊表實時監(jiān)控參考：未知病毒查殺技術

未知病毒技術是繼虛擬執(zhí)行技術后的又一大技術突破，它結合了虛擬技術和人工智能技術，實現(xiàn)了對未知病毒的準確查殺。壓縮智能還原技術

世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統(tǒng)一的方法來解決這個問題，反病毒專家們發(fā)明了未知解壓技術，它可以對所有的這類文件在內(nèi)存中還原，從而使得病毒完全暴露出來。多層防御，集中管理技術反病毒要以網(wǎng)為本，從網(wǎng)絡系統(tǒng)的角度設計反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡上的計算機病毒。在網(wǎng)絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網(wǎng)絡維護和管理的效率和質量，而且涉及到網(wǎng)絡的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個NT服務器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡管理員集中設置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結合在一起，成為網(wǎng)絡安全管理的一部分，并且自動提供最佳的網(wǎng)絡病毒防御措施。病毒免疫技術

病毒免疫技術一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫的基本構想。實際上，最近出現(xiàn)的軟件安全認證技術也應屬于此技術的范疇，由于用戶應用軟件的多樣性和環(huán)境的復雜性，病毒免疫技術到廣泛使用還有一段距離。病毒防治技術的趨勢前瞻加強對未知病毒的查殺能力加強對未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國內(nèi)外多家公司都宣布自己的產(chǎn)品可以對未知病毒進行查殺，但據(jù)我們研究，國內(nèi)外的產(chǎn)品只有少數(shù)可以對同一家族的新病毒進行預警，不能清除。目前有些公司已經(jīng)在這一領域取得了突破性的進展，可以對未知DOS病毒、未知PE病毒、未知宏病毒進行防范。其中對未知DOS病毒能查到90%以上，并能準確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實現(xiàn)查殺90%.防殺針對掌上型移動通訊工具和PDA的病毒

隨著掌上型移動通訊工具和PDA的廣泛使用，針對這類系統(tǒng)的病毒已經(jīng)開始出現(xiàn)，并且威脅將會越來越大，反病毒公司將投入更多的力量來加強此類病毒的防范。兼容性病毒的防殺

目前已經(jīng)發(fā)現(xiàn)可以同時在微軟WINDOWS和日益普及的LINUX兩種不同操作系統(tǒng)內(nèi)運作的病毒，此類病毒將會給人們帶來更多的麻煩，促使反病毒公司加強防殺此類病毒。蠕蟲病毒和腳本病毒的防殺不容忽視

蠕蟲病毒是一種能自我復制的程序，駐留內(nèi)存并通過計算機網(wǎng)絡復制自己，它通過大量消耗系統(tǒng)資源，最后導致系統(tǒng)癱瘓。給人們帶來了巨大的危害，腳本病毒因為其編寫相對容易正成為另一種趨勢，這兩類病毒的危害性使人們絲毫不能忽視對其的防殺。十一、殺毒軟件及評價病毒查殺能力對新病毒的反應能力對文件的備份和恢復能力實時監(jiān)控功能及時有效的升級功能智能安裝、遠程識別功能界面友好、易于操作對現(xiàn)有資源的占用情況（一）殺毒軟件必備功能系統(tǒng)兼容性軟件的價格軟件商的實力（二）國內(nèi)外殺毒軟件及市場金山毒霸、瑞星殺毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等?！峨娔X報》2008評測結果AV-Test2007年5月排名十二、解決方案和策略

企業(yè)網(wǎng)絡中的病毒漏洞FileServerMailServerClientInternetGatewayFirewallInternet

企業(yè)網(wǎng)絡基本結構

網(wǎng)關（Gateway)

服務器（Servers)

郵件服務器文件/應用服務器客戶端（clients)

趨勢整體防病毒解決方案FirewallInternetFileServerClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer

趨勢整體防病毒解決方案

1網(wǎng)關級解決方案InterScanViruswall

2服務器級解決方案

郵件服務器ScanMail

forExchange/forNotes

文件服務器ServerProtect

forNT/Netware3客戶端解決方案OfficeScan4集中管理系統(tǒng)解決方案TVCS

(TrendVirusControlSystem)防病毒策略1、建立病毒防治的規(guī)章制度，嚴格管理；

2、建立病毒防治和應急體系；

3、進行計算機安全教育，提高安全防范意識；

4、對系統(tǒng)進行風險評估；

5、選擇經(jīng)過公安部認證的病毒防治產(chǎn)品；

6、正確配置，使用病毒防治產(chǎn)品；

7、正確配置系統(tǒng)，減少病毒分侵害事件；

8、定期檢查敏感文件；

9、適時進行安全評估，調(diào)整各種病毒防治策略；

10、建立病毒事故分析制度；

11、確?；謴?，減少損失；十三、國內(nèi)外病毒產(chǎn)品的技術發(fā)展態(tài)勢國內(nèi)外反病毒公司在反病毒領域各有所長國內(nèi)外產(chǎn)品競爭激烈

隨著中國信息化進程的深入開展，多家國際反病毒公司均加大了對中國市場的力度；國內(nèi)反病毒企業(yè)發(fā)展勢頭強勁

國內(nèi)的瑞星、江民等公司都引進了一些國外技術；反病毒服務是競爭關鍵

要推動企業(yè)信息安全建設、并從根本上改變國內(nèi)信息安全現(xiàn)狀，建立健全的服務體系是關鍵。我們相信人類受到病毒侵害及由此帶來的損失將逐步減少，國內(nèi)反病毒行業(yè)在政府的規(guī)范和用戶的支持下將取得更好的成績！相關資源1.Wildlist國際組織該網(wǎng)站維護世界各地發(fā)現(xiàn)的病毒列表。網(wǎng)站負責維護這個列表，并且按月打包供用戶下載。此外，網(wǎng)站上還有一些計算機病毒方面的學術論文。2.病毒公告牌對于任何關心惡意代碼和垃圾信息防護、檢測和清除的人來說，病毒公告在線雜志是一個必不可少的參考。逐日逐月地，病毒公告牌提供如下信息：1)來自于反惡意代碼業(yè)界的發(fā)人深省的新聞和觀點2)最新惡意代碼威脅的詳細分析3)探索反惡意代碼技術開發(fā)的長篇文檔4)反惡意代碼專家的會見5)對當前反病毒產(chǎn)品的獨立評測6)覆蓋垃圾郵件和反垃圾郵件技術的月報3.29A病毒技術組織/29a/這個網(wǎng)站包含病毒、木馬和其他一些能夠破壞計算機系統(tǒng)安全的軟件。29A的成員對病毒技術特別感興趣，用戶可以從這里學到病毒制作技術。該網(wǎng)站是黑客不可或卻的學習網(wǎng)站。4.亞洲反病毒研究者協(xié)會(AVAR)AVAR(亞洲反病毒研究者協(xié)會)成立于1998年6月。協(xié)會的宗旨是預防計算機病毒的傳播和破壞，促進亞洲的反病毒研究者間建立良好的合作關系。該協(xié)會是獨立的、非盈利性組織，主要面向的對象是亞太地區(qū)。本協(xié)會有來自以下國家和地區(qū)資深的反病毒專家：澳大利亞、中國、中國香港、印度、日本、韓國、菲律賓、新加坡、中國臺北、英國以及美國。我們的獨立性保證了我們能在對抗計算機病毒的過程中發(fā)揮重要的作用，同時會提醒人們對計算機安全的警惕性。AVAR的主要工作包括：1)組織和承辦以反病毒為主題的AVAR年會和論壇2)在AVAR網(wǎng)站上提供亞洲的計算機病毒事件的信息3)通過郵件的形式在AVAR的成員中建立郵件列表，并在會員中交換意見與信息

5.國家計算機病毒應急處理中心網(wǎng)站主要內(nèi)容是病毒流行列表、病毒SOS求救、數(shù)據(jù)恢復等。6.病毒觀察網(wǎng)站主要內(nèi)容包括病毒預報、新聞、評論、相關法規(guī)、反病毒資料、安全漏洞、密碼知識、病毒百科在線檢索等。7.中國綠盟;網(wǎng)站內(nèi)容包括安全論壇、安全文獻、系統(tǒng)工具、工具介紹等。8.安全焦點網(wǎng)站內(nèi)容包括安全文獻、安全工具、安全漏洞、焦點論壇等。9.病毒資訊網(wǎng)網(wǎng)站主要內(nèi)容包括黑客頻道、防毒技巧、網(wǎng)絡安全新聞、病毒新聞等。10.國際計算機安全聯(lián)合會(ICSA-InterNationalComputerSecwrityAssociation)/如要對Internet的安全問題感興趣,你可以訪問國家計算機安全聯(lián)合會(NCSA)的站點。這里會看到很多關于國家計算機安全聯(lián)合會各種活動的信息,包括會議,培訓、產(chǎn)品認證和安全警告等。在這里你可以了解到國際知名的病毒防治軟件登記請況。AnyQuestions?ThankYou!本章學習目標掌握計算機病毒的抽象描述掌握基于圖靈機的計算機病毒模型掌握基于遞歸函數(shù)的計算機病毒模型掌握網(wǎng)絡蠕蟲傳播模型掌握計算機病毒預防理論模型虛擬案例一個文本編輯程序被病毒感染了。每當使用文本編輯程序時，它總是先進行感染工作并執(zhí)行編輯任務，其間，它將搜索合適文件以進行感染。每一個新被感染的程序都將執(zhí)行原有的任務，并且也搜索合適的程序進行感染。這種過程反復進行。當這些被感染的程序跨系統(tǒng)傳播，被銷售，或者送給其他人時，將產(chǎn)生病毒擴散的新機會。最終，在1990年1月1日以后，被感染的程序終止了先前的活動?，F(xiàn)在，每當這樣的一個程序執(zhí)行時，它將刪除所有文件。計算機病毒偽代碼{main:= Callinjure; … Callsubmain; … Callinfect;}{injure:= Ifconditionthenwhateverdamageistobedoneandhalt;}{infect:= Ifconditiontheninfectfiles;}案例病毒的偽代碼{main:= Callinjure; Callsubmain; Callinfect;}{injure:= Ifdate>=Jan.1,1990then Whilefile!=0 File=get-random-file; Deletefile; Halt;}{infect:= Iftruethen File=get-random-executable-file; Renamemainroutinesubmain; Prependselftofile;}精簡后的偽代碼(壓縮或變型){main:= Callinjure; Decompresscompressedpartofprogram; Callsubmain; Callinfect;}{injure:= Iffalsethenhalt;}{infect:=Ifexecutable!=0thenFile=get-random-executable-file;Renamemainroutinesubmain;Compressfile;Prependselftofile;

}病毒偽代碼的共同性質1．對于每個程序，都存在該程序相應的感染形式。也就是，可以把病毒看作是一個程序到一個被感染程序的映射。2．每一個被感染程序在每個輸入（輸入是指可訪問信息，例如，用戶輸入，系統(tǒng)時鐘，數(shù)據(jù)或程序文件等）上形成如下3個選擇：破壞(Injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導致破壞以及破壞的形式都與被感染的程序無關，而只與病毒本身有關。傳染(Infect)：執(zhí)行原先的功能，并且，如果程序能終止，則傳染程序。對于除程序以外的其它可訪問信息（如時鐘、用戶/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時，其結果是一樣的。也就是說，一個程序被感染的形式與感染它的程序無關。模仿(Imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個特例，其中被傳染的程序的個數(shù)為零?；趫D靈機的計算機病毒的計算模型基本圖靈機(TM)圖靈機的經(jīng)典問題：圖靈機停機問題圖靈機存在不可計算數(shù)隨機訪問計算機（RandomAccessMachine——RAM）ENIAC隨機訪問存儲程序計算機（RamdomAccessStoredProgramMachine,RASPM）包含后臺存儲帶的隨機訪問存儲程序計算機(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)現(xiàn)在的計算機基于RASPM_ABS的病毒計算機病毒被定義成程序的一部分，該程序附著在某個程序上并能將自身鏈接到其他程序上。當病毒所附著的程序被執(zhí)行時，計算機病毒的代碼也跟著被執(zhí)行。1.病毒的傳播模型如果病毒利用了計算機的一些典型特征或服務，那么病毒的這種傳播方式被稱作專用計算機的傳播方式。如果病毒在傳播時沒有利用計算機的服務，那么此傳播方式被稱為獨立于計算機的傳播方式。PC中，引導型病毒就具有專用計算機的傳播方式感染C源文件的病毒就是具有獨立計算機的傳播方式2.少態(tài)型病毒和多態(tài)型病毒當有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序不同時，這種傳播方式稱為少形態(tài)的。當有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時，這種傳播方式稱為多形態(tài)的。多態(tài)型病毒的實現(xiàn)要比少態(tài)型病毒的實現(xiàn)復雜得多，它們能改變自身的譯碼部分。例如，通過從準備好的集合中任意選取譯碼程序。該方法也能通過在傳播期間隨即產(chǎn)生程序指令來完成。例如，可以通過如下的方法來實現(xiàn)：改變譯碼程序的順序；處理器能夠通過一個以上的指令（序列）來執(zhí)行同樣的操作；向譯碼程序中隨機地放入啞命令（DummyCommand）。3.病毒檢測的一般問題如果存在著某一能夠解決病毒檢測問題的算法，那么就能通過建立圖靈機來執(zhí)行相應的算法。不幸的是，即使在最簡單的情況下，我們也不可能制造出這樣的圖靈機。定理：不可能制造出一個圖靈機，利用該計算機，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。4.病毒檢測方法如果我們只涉及一些已知病毒的問題，那么就可能簡化病毒檢測問題。在此情況下，可以將已知病毒用在檢測算法上。我們從每個已知病毒提取一系列代碼，當病毒進行傳播時，它們就會在每個被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測程序的任務就是在程序中搜尋這些序列。檢測多態(tài)型病毒的難點不能確定多態(tài)型病毒是否含有某些序列，能夠通過這些序列可以檢測病毒的所有變異。當發(fā)現(xiàn)序列是隨機的時，不知道發(fā)生錯誤報警的概率。發(fā)現(xiàn)任意序列的概率：N表示一個序列的長度；M表示序列的總個數(shù)；用L(L>>N)表示被檢測文件的總長度；n是字符集大小（對應二進制為16）該采用什么樣的費用標準來衡量序列搜尋算法的實現(xiàn)?；谶f歸函數(shù)的計算機病毒的數(shù)學模型Adlemen給出的計算機病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個從S╳S到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)。（3）對所有的s,t∈S,用<s,t>表示e（s,t）。（4）對所有部分函數(shù)f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一個從N╳N到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)，并且對所有i,j∈N，e′(i,j)≥i。（6）對所有i,j∈N，<i,j>表示e′(i,j)。（7）對所有部分函數(shù)f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）對所有部分函數(shù)f：N→N及所有n∈N,f(n)↓表示f(n)是有定義的。（9）對所有部分函數(shù)f：N→N及所有n∈N,f(n)↑表示f(n)是未定義的。Adlemen病毒模型有如下缺陷：⑴計算機病毒的面太廣。不具傳染性的也當作病毒⑵定義并沒有反映出病毒的傳染特性。⑶定義不能體現(xiàn)出病毒傳染的傳遞特性。⑷“破壞”的定義不合適。原程序功能保留不明確Internet蠕蟲傳播模型SI(Susceptible[易受感染的]-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed)SIS模型和SI模型某種群中不存在流行病時，其種群（N）的生長服從微分系統(tǒng)。其中表示t時刻該環(huán)境中總種群的個體數(shù)量，表示種群中單位個體的生育率，d表示單位個體的自然死亡率。

有疾病傳播時的模型S，I分別表示易感者類和染病者類β表示一個染病者所具有的最大傳染力r表示疾病的恢復力d表示自然死亡率a表示額外死亡率流行病的傳播服從雙線形傳染率的SIS模型總種群的生長為：在SIS模型中，當a=0時，該模型變?yōu)镾I模型。SIR模型兩個假設：已被病毒感染的文件（檔）具有免疫力。病毒的潛伏期很短，近似地認為等于零。把系統(tǒng)中可執(zhí)行程序分為三種：被傳播對象，即尚未感染病毒的可執(zhí)行程序，用S(t)表示其數(shù)目。帶菌者，即已感染病毒的可執(zhí)行程序，用p(t)表示其數(shù)目。被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時間內(nèi)不會運行的可執(zhí)行程序（相當患病者死去），用R(t)表示其數(shù)目。λ表示傳播（感染）速度；表示每個時間段接觸次數(shù)；ｕ表示第Ⅱ類程序變成第Ⅲ類程序的速度；公式的解釋：⑴S(t)的變化率即經(jīng)第Ⅰ類程序變成第Ⅱ類程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關，并且正比于這兩類文件的乘積。 ⑵R(t)的變化率即第Ⅱ類程序變成第Ⅲ類程序的變化率，與當時第Ⅱ類的可執(zhí)行程序數(shù)目成正比。⑶在考慮的時間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設它恒等于常數(shù)（即沒有文件被撤消，也沒有外面的新文件進來），從而可執(zhí)行程序總數(shù)的變化率為零。預防理論模型Fred.Cohen”四模型”理論(1)基本隔離模型該模型的主要思想是取消信息共享，將系統(tǒng)隔離開來，使得計算機病毒既不能從外部入侵進來，也不可能把系統(tǒng)內(nèi)部的病毒擴散出去。(2)分隔模型將用戶群分割為不可能互相傳遞信息的若干封閉子集。由于信息處理流的控制，使得這些子集可被看作是系統(tǒng)被分割成的相互獨立的子系統(tǒng)，使得計算機病毒只能感染整個系統(tǒng)中的某個子系統(tǒng)，而不會在子系統(tǒng)之間進行相互傳播。(3)流模型對共享的信息流通過的距離設定一個閥值，使得一定量的信息處理只能在一定的區(qū)域內(nèi)流動，若該信息的使用超過設定的閥值，則可能存在某種危險。(4)限制解釋模型即限制兼容，采用固定的解釋模式，就有可能不被計算機病毒感染。類IPM模型把計算機程序或磁盤文件類比為不斷生長變化的植物。把計算機系統(tǒng)比作一個由許多植物組成的田園。把計算機病毒看成是侵害植物的害蟲。把計算機信息系統(tǒng)周圍的環(huán)境看作農(nóng)業(yè)事物處理機構。農(nóng)業(yè)上的IPM(IntegratedPestManagement)模型實質上是一種綜合管理方法。它的基本思想是：一個害蟲管理系統(tǒng)是與周圍壞境和害蟲種類的動態(tài)變化有關的。它以盡可能溫和的方式利用所有適用技術和措施治理害蟲，使它們的種類維持在不足以引起經(jīng)濟損失的水平之下。謝謝本章學習目標掌握計算機病毒的結構掌握計算機病毒的工作機制了解各種計算機病毒技術一、計算機病毒的結構和工作機制四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導模塊（主控模塊）兩個狀態(tài)：靜態(tài)動態(tài)工作機制引導模塊引導前——寄生寄生位置：引導區(qū)可執(zhí)行文件寄生手段：替代法（寄生在引導區(qū)中的病毒常用該法）鏈接法（寄生在文件中的病毒常用該法）引導過程駐留內(nèi)存竊取系統(tǒng)控制權恢復系統(tǒng)功能引導區(qū)病毒引導過程搬遷系統(tǒng)引導程序-〉替代為病毒引導程序啟動時-〉病毒引導模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術最后，轉向系統(tǒng)引導程序-〉引導系統(tǒng)文件型病毒引導過程修改入口指令-〉替代為跳轉到病毒模塊的指令執(zhí)行時-〉跳轉到病毒引導模塊-〉病毒引導模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術最后，轉向程序的正常執(zhí)行指令-〉執(zhí)行程序感染模塊病毒傳染的條件被動傳染（靜態(tài)時）用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載體上?；蛘呤峭ㄟ^網(wǎng)絡上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染。主動傳染（動態(tài)時）以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式叫做計算機病毒的主動傳染。傳染過程系統(tǒng)（程序）運行-〉各種模塊進入內(nèi)存-〉按多種傳染方式傳染傳染方式立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開始執(zhí)行前，立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序。駐留內(nèi)存并伺機傳染，內(nèi)存中的病毒檢查當前系統(tǒng)環(huán)境，在執(zhí)行一個程序、瀏覽一個網(wǎng)頁時傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運行結束后，仍可活動，直至關閉計算機。文件型病毒傳染機理首先根據(jù)病毒自己的特定標識來判斷該文件是否已感染了該病毒；當條件滿足時，將病毒鏈接到文件的特定部位，并存入磁盤中；完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標。文件型病毒傳染途徑加載執(zhí)行文件瀏覽目錄過程創(chuàng)建文件過程

破壞模塊破壞是Vxer的追求，病毒魅力的體現(xiàn)破壞模塊的功能破壞、破壞、還是破壞……破壞對象系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運行速度、磁盤、CMOS、主板和網(wǎng)絡等。破壞的程度觸發(fā)模塊觸發(fā)條件計算機病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個條件就是計算機病毒的觸發(fā)條件。觸發(fā)模塊的目的是調(diào)節(jié)病毒的攻擊性和潛伏性之間的平衡大范圍的感染行為、頻繁的破壞行為可能給用戶以重創(chuàng)，但是，它們總是使系統(tǒng)或多或少地出現(xiàn)異常，容易使病毒暴露。而不破壞、不感染又會使病毒失去其特性。可觸發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。病毒常用的觸發(fā)條件日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)例如，運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)、感染失敗觸發(fā)等。啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)CPU型號/主板型號觸發(fā)二、常見計算機病毒的技術特征駐留內(nèi)存病毒變種EPO（EntryPointObscuring）技術抗分析技術（加密、反跟蹤）隱蔽性病毒技術多態(tài)性病毒技術

插入型病毒技術超級病毒技術破壞性感染技術網(wǎng)絡病毒技術1駐留內(nèi)存:DOSTSRDOS系統(tǒng)區(qū)內(nèi)存控制塊（MCB）內(nèi)存塊1為病毒分配的內(nèi)存塊內(nèi)存塊2為病毒分配一塊內(nèi)存高端內(nèi)存區(qū)域視頻內(nèi)存塊中斷向量表空閑區(qū)域病毒代碼空閑區(qū)域空閑區(qū)域空閑區(qū)域DOS病毒駐留內(nèi)存位置示意圖1駐留內(nèi)存：引導區(qū)病毒的內(nèi)存駐留大小在1K或者幾K為了避免用戶可以很容易的覺察到系統(tǒng)可用內(nèi)存的減少，一些病毒會等待DOS完全啟動成功，然后使用DOS自己的功能分配內(nèi)存。不用考慮重載。1駐留內(nèi)存：Windows環(huán)境下病毒的內(nèi)存駐留三種駐留內(nèi)存的方法由于Windows操作系統(tǒng)本身就是多任務的，所以最簡單的內(nèi)存駐留方法是將病毒作為一個應用程序，病毒擁有自己的窗口（可能是隱藏的）、擁有自己的消息處理函數(shù)；另外一種方法是使用DPMI申請一塊系統(tǒng)內(nèi)存，然后將病毒代碼放到這塊內(nèi)存中；第三種方法是將病毒作為一個VXD（Win3.x或者Win9x環(huán)境下的設備驅動程序）或者在WinNT／Win2000下的設備驅動程序WDM加載到內(nèi)存中運行。

防止重載的方法傳統(tǒng)的防止重入方法禁止啟動兩個實例對于VXD病毒靜態(tài)加載時，病毒會在“SYSTEM.INI”文件中包含加載設備驅動程序的一行信息；動態(tài)加載時，可能使用某些英特爾CPU的一些特殊狀態(tài)位來表示病毒是否存在于內(nèi)存中（CIH病毒就采用了這種方法）。1駐留內(nèi)存：宏病毒的內(nèi)存駐留方法病毒隨著宿主程序而被加載并且一直存在于系統(tǒng)中，所以從某種意義上，宏病毒都是內(nèi)存駐留病毒。宏病毒通過檢測自己的特征防止重入。2病毒變種變形變種——〉新品種兩種方式：手工變種自動變種（MutationEngine：變形機）保加利亞DarkAvenger的變形機VCS（病毒構造工具箱，VirusConstructionSet）GenVirVCL（病毒制造實驗室，VirusCreationLaboratory）PS-MPC（Phalcon-SkismMass-ProducedCodeGenerator）NGVCK（下一代病毒機，NextGenerationVirusCreationKit）VBS蠕蟲孵化器變種分類第一類，具備普通病毒所具有的基本特性，然而，病毒每感染一個目標后，其自身代碼與前一被感染目標中的病毒代碼幾乎沒有三個連續(xù)的字節(jié)是相同的，但這些代碼及其相對空間的排列位置是不變動的。這里稱其為一維變形病毒。第二類，除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離（相對空間位置）也是變化的，有的感染文件的字節(jié)數(shù)不定。這里稱其為二維變形病毒。第三類，具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，隨便某一處的子病毒被激發(fā)后都能自我恢復成一個完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。例如，在某臺機器中，病毒的一部分可能藏在機器硬盤的主引導區(qū)中，另外幾部分也可能潛藏在可執(zhí)行文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統(tǒng)引導區(qū)，也可能另開墾一塊區(qū)域潛藏等等。在另一臺被感染的機器內(nèi)，病毒可能又改變了其潛藏的位置。這里稱其為三維變形病毒。第四類，具備三維變形病毒的特性，并且，這些特性隨時間動態(tài)變化。例如，在染毒的機器中，剛開機時病毒在內(nèi)存里變化為一個樣子，一段時間后又變成了另一個樣子，再次開機后病毒在內(nèi)存里又是一個不同的樣子。這里稱其為四維變形病毒。3EPO（EntryPointObscuring）技術為什么要采用EPO技術呢？殺毒技術提高〉防止被發(fā)現(xiàn)〉EPO實現(xiàn)方法：最早的EPO通過改變程序入口處的代碼實現(xiàn)的。簡單但無用把宿主程序的任意位置的指令替換為跳轉語句。難點在于定位一個完整的指令（類似于一個反編譯器）如果在一段代碼中有一條指令：228738fdff15eb0f107d

call

[7d100febh]

把它替換成新的指令Call[Addressofvirus]

在病毒體內(nèi)還要再次調(diào)用Call[7d100febh]來完成宿主程序的功能。代碼如下：dwff15h;ff15eb0f107d的前綴

backaddrdd0;存放ff15eb0f107d的后綴，這個后綴是變化的在病毒代碼中，把backaddr的值動態(tài)的改為Call[7d100febh]指令編譯后的后綴。4抗分析技術加密技術：這是一種防止靜態(tài)分析的技術，使得分析者無法在不執(zhí)行病毒的情況下，閱讀加密過的病毒程序。反跟蹤技術：使得分析者無法動態(tài)跟蹤病毒程序的運行。Win95.Flagger病毒4抗分析技術：自加密技術數(shù)據(jù)加密（信息加密）例如：6.4計算機病毒就是這樣處理的，計算機病毒發(fā)作時將在屏幕上顯示的字符串被用異或操作的方式加密存儲。1575病毒加密數(shù)據(jù)文件。加密文件名COMMAND.COM病毒代碼加密ChineseBomb把宿主程序前6個字節(jié)加密并轉移位置。1701/1704用宿主程序的長度作為密鑰加密代碼。4抗分析技術：反跟蹤技術DOS下，修改int0-3中斷Windows下：封鎖鍵盤輸入關閉屏幕顯示修改堆棧指令程序運行計時動態(tài)地生成指令代碼5隱蔽性病毒技術引導型隱藏方法一感染時，修改中斷服務程序使用時，截獲INT13調(diào)用DOS應用程序原來的INT13H服務程序DOS下的殺毒軟件病毒感染后的INT13H服務程序普通扇區(qū)普通扇區(qū)被病毒感染的扇區(qū)被病毒感染的扇區(qū)的原始扇區(qū)讀扇區(qū)調(diào)用讀請求讀請求返回數(shù)據(jù)返回數(shù)據(jù)返回數(shù)據(jù)引導型隱藏方法二針對殺毒軟件對磁盤直接讀寫的特點。截獲INT21H，然后恢復感染區(qū)最后，再進行感染DOS命令解釋程序（COMMAND..COM）感染后的INT21H功能40H（加載一個程序執(zhí)行）用戶敲入AV.EXE執(zhí)行反病毒程序恢復被病毒感染的扇區(qū)為原來的內(nèi)容原來的INT21H功能重新感染扇區(qū)返回DOS命令解釋程序（COMMAND..COM）文件型病毒的隱藏技術攔截（API,INT調(diào)用）訪問——〉恢復——〉再感染。例如，改變文件大小病毒，dir病毒等DOSINT21H調(diào)用INT13H（直接磁盤訪問）列目錄功能（FindFirst、FindNext）讀寫功能（Read、Write）執(zhí)行功能（EXEC）其他功能（rename等）視窗操作系統(tǒng)下，支持長文件名的擴展DOS調(diào)用隱藏病毒扇區(qū)列目錄時顯示感染前的文件大小讀寫文件看到正常的文件內(nèi)容執(zhí)行或者搜索時隱藏病毒在支持長文件名的系統(tǒng)隱藏自身宏病毒的隱藏技術刪除相關的菜單項：“文件－>模板”或者“工具－>宏”使用宏病毒自己的FileTemplates和ToolsMacro宏替代系統(tǒng)缺省的宏6多態(tài)性病毒技術多態(tài)病毒就是沒有特殊特征碼的病毒，這種病毒無法（或極難）用特征碼掃描法檢測到。方法：使用不固定的密鑰或者隨機數(shù)加密病毒代碼運行的過程中改變病毒代碼通過一些奇怪的指令序列實現(xiàn)多態(tài)性BASIC，Shell等解釋性語言可以在一行包括很多語句。使用加密技術的多態(tài)性MOVreg_1,countMOVreg_2,keyMOVreg_3,offsetLOOP：xxxbyteptr[reg_3]，reg_2DECreg_1JxxLOOP其中，reg_1、reg_2和reg_3是從AX、BX、CX、DX、SI、DI、BP中隨機挑選的寄存器，感染不同的文件，解密代碼使用隨機的寄存器count是加密數(shù)據(jù)的長度，key是加密的密鑰，offset是加密代碼的偏移量，感染的時候，這些數(shù)值都是隨機生成的，不同的感染都不一樣xxx是XOR、ADD、SUB等不同運算指令的通稱，使用什么運算指令是感染的時候隨機選擇的Jxx是ja、jnc等不同條件跳轉指令的通稱，使用什么跳轉指令也是感染的時候隨機選擇的加密后的病毒代碼改變可執(zhí)行代碼技術的多態(tài)病毒基本上都使用在宏病毒中，其他病毒少見。宏語言都是以BASIC為基礎的。引導型病毒在引導區(qū)或者分區(qū)表中，包含了一小段代碼來加載實際的病毒代碼，這段代碼在運行的過程中是可以改變的。文件型病毒“厚度”（Ply）病毒“TMC”病毒多態(tài)病毒的級別半多態(tài)：病毒擁有一組解密算法，感染的時候從中間隨機的選擇一種算法進行加密和感染。具有不動點的多態(tài)：病毒有一條或者幾條語句是不變的（我們把這些不變的語句叫做不動點），其他病毒指令都是可變的。帶有填充物的多態(tài)：解密代碼中包含一些沒有實際用途的代碼來干擾分析者的視線。算法固定的多態(tài)：解密代碼所使用的算法是固定的，但是實現(xiàn)這個算法的指令和指令的次序是可變的。算法可變的多態(tài)：使用了上述所有的技術，同時解密算法也是可以部分或者全部改變的。完全多態(tài)：算法多態(tài)，同時病毒體可以隨機的分布在感染文件的各個位置，但是在運行的時候能夠進行拼裝，并且可以正常工作。查殺技術對于前面3種多態(tài)病毒，可以使用病毒特征碼或者改進后的病毒特征碼對于第4種多態(tài)病毒，可以增加多種情況的改進后的特征碼至于第5和第6種多態(tài)病毒，依靠傳統(tǒng)的特征碼技術是完全無能為力的。最好的辦法是虛擬執(zhí)行技術。7插入型病毒技術DOS下較少PE病毒大多數(shù)都是插入型病毒例如，CIH8超級病毒技術超級病毒技術就是在計算機病毒進行感染、破壞時，使得病毒預防工具無法獲得運行機會的病毒技術。技術較難實現(xiàn)。和殺毒技術相比，具有時效性。9破壞性感染技術破壞性感染病毒是針對計算機病毒消除技術的一項病毒技術。實例：Burge病毒是這類病毒的典型代表，該病毒會使宿主文件頭部丟失560字節(jié)；Hahaha病毒會使宿主程序丟失13592字節(jié)。傳播性差--〉破壞面小在潛伏期長的情況下，其傳播性可以有所改觀。10網(wǎng)絡病毒技術網(wǎng)絡病毒是指以網(wǎng)絡為平臺，對計算機產(chǎn)生安全威脅的所有程序的總和.常見的幾種：木馬（Trojan）蠕蟲（Worm）

郵件病毒惡意網(wǎng)頁AnyQuestions?ThankYou!本章學習目標了解COM、EXE、NE、PE可執(zhí)行文件格式掌握引導型病毒原理及實驗掌握COM文件病毒原理及實驗掌握PE文件型病毒及實驗總體概念DOS病毒定格在5000多種DOS是VXer的樂園(Aver)9x病毒ring3,ring02K病毒主要是ring3Windows文件格式變遷：COMEXE:MZ->NE->PEVxd:LE(16Bit,32Bit)章節(jié)主要內(nèi)容一、引導型病毒編制原理及實驗二、16位COM可執(zhí)行文件病毒原理及實驗三、32位PE可執(zhí)行文件病毒原理及實驗一、引導型病毒編制原理及實驗PC引導流程加電CPU\BIOS初始化POST自檢引導區(qū)、分區(qū)表檢查發(fā)現(xiàn)操作系統(tǒng)執(zhí)行引導程序引導區(qū)病毒取得控制權的過程：MBR和分區(qū)表裝載DOS引導區(qū)運行DOS引導程序加載IO.sysMSDOS.sys加載ＤＯＳ1正常的引導過程引導型病毒從軟盤加載到內(nèi)存尋找DOS引導區(qū)的位置將ＤＯＳ引導區(qū)移動到別的位置病毒將自己寫入原ＤＯＳ引導區(qū)的位置２用被感染的軟盤啟動MBR和分區(qū)表將病毒的引導程序加載入內(nèi)存運行病毒引導程序病毒駐留內(nèi)存原ＤＯＳ引導程序執(zhí)行并加載ＤＯＳ系統(tǒng)３病毒在啟動時獲得控制權