計(jì)算機(jī)病毒原理與防范（第2版）

（秦志光張鳳荔）第1章

計(jì)算機(jī)病毒概述.ppt第2章

計(jì)算機(jī)病毒的工作機(jī)制.ppt第3章

新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)及特點(diǎn)和技術(shù).ppt第4章

計(jì)算機(jī)病毒檢測(cè)技術(shù).ppt第5章

典型計(jì)算機(jī)病毒的原理、防范和清除.ppt第6章

網(wǎng)絡(luò)安全.ppt第7章

系統(tǒng)漏洞攻擊和網(wǎng)絡(luò)釣魚.ppt第8章

即時(shí)通信病毒和移動(dòng)通信病毒分析.ppt第9章

常用反計(jì)算機(jī)病毒軟件.ppt全套可編輯PPT幻燈片課件（共9章）第1章計(jì)算機(jī)病毒概述

第1章計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展計(jì)算機(jī)病毒的基本概念計(jì)算機(jī)病毒的分類互聯(lián)網(wǎng)環(huán)境下病毒的多樣化引言計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。從廣義上定義，凡是能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。計(jì)算機(jī)的信息需要存取、復(fù)制和傳送，計(jì)算機(jī)病毒作為信息的一種形式可以隨之繁殖、感染和破壞。計(jì)算機(jī)病毒與反計(jì)算機(jī)病毒勢(shì)必成為一個(gè)長(zhǎng)期的技術(shù)對(duì)抗過(guò)程。計(jì)算機(jī)病毒主要由反計(jì)算機(jī)病毒軟件來(lái)對(duì)付，而且反計(jì)算機(jī)病毒技術(shù)將成為一種長(zhǎng)期的科研任務(wù)。1.1計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展計(jì)算機(jī)病毒的起源計(jì)算機(jī)病毒的發(fā)展背景計(jì)算機(jī)病毒的發(fā)展歷史計(jì)算機(jī)病毒的起源科學(xué)幻想起源說(shuō)1977年，美國(guó)科普作家托馬斯.丁.雷恩《P-1的青春》一書惡作劇起源說(shuō)惡作劇者大多是那些對(duì)計(jì)算機(jī)知識(shí)和技術(shù)均有興趣的人，并且特別熱衷那些別人認(rèn)為是不可能做成的事情游戲程序起源說(shuō)20世紀(jì)70年代，美國(guó)貝爾實(shí)驗(yàn)室的計(jì)算機(jī)程序員為了娛樂(lè)，在自己實(shí)驗(yàn)室的計(jì)算機(jī)上編制吃掉對(duì)方程序的程序，軟件商保護(hù)軟件起源說(shuō)軟件制造商為了處罰那些非法復(fù)制者，在軟件產(chǎn)品之中加入計(jì)算機(jī)病毒程序并由一定條件觸發(fā)并傳染。Permitnon-atomicdomains(atomicindivisible)歸納起來(lái)，計(jì)算機(jī)系統(tǒng)、Internet的脆弱性是產(chǎn)生計(jì)算機(jī)病毒的根本技術(shù)原因之一，計(jì)算機(jī)科學(xué)技術(shù)的不斷進(jìn)步，個(gè)人計(jì)算機(jī)的快速普及應(yīng)用是產(chǎn)生計(jì)算機(jī)病毒的加速器。計(jì)算機(jī)病毒的發(fā)展背景計(jì)算機(jī)病毒的祖先：“CoreWar”（磁芯大戰(zhàn)早在1949年，計(jì)算機(jī)的先驅(qū)者馮.諾依曼在他的一篇論文《復(fù)雜自動(dòng)機(jī)組織論》中，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，即已把計(jì)算機(jī)病毒程序的藍(lán)圖勾勒出來(lái)，10年之后，在美國(guó)電話電報(bào)公司（AT&T）的貝爾實(shí)驗(yàn)室中，3個(gè)年輕程序員在工作之余想出一種電子游戲叫做“CoreWar”（磁芯大戰(zhàn)）。計(jì)算機(jī)病毒的出現(xiàn)1983年,科恩.湯普遜（KenThompson）公開地證實(shí)了計(jì)算機(jī)病毒的存在，而且還告訴所有聽眾怎樣去寫自己的計(jì)算機(jī)病毒程序。計(jì)算機(jī)病毒”一詞的正式出現(xiàn)在1985年3月份的《科學(xué)美國(guó)人》里，杜特尼再次討論“CoreWar”和計(jì)算機(jī)病毒。在該文章中第一次提到“計(jì)算機(jī)病毒”這個(gè)名稱。計(jì)算機(jī)病毒就伴隨著計(jì)算機(jī)的發(fā)展而發(fā)展起來(lái)了。計(jì)算機(jī)病毒的發(fā)展歷史(1)萌芽時(shí)期，磁芯大戰(zhàn)--0世紀(jì)50年代末～60年代初大型計(jì)算機(jī)的時(shí)代--20世紀(jì)60年代晚期～70年代早期計(jì)算機(jī)病毒的思想基礎(chǔ)--美國(guó)科普作家約翰.布魯勒爾的《震蕩波騎士》和托馬斯.捷.瑞安的科幻小說(shuō)《P-1的青春》DOS引導(dǎo)階段--20世紀(jì)80年代，獨(dú)立程序員出現(xiàn)了職業(yè)化趨勢(shì)DOS可執(zhí)行階段--在1989年出現(xiàn)可執(zhí)行文件型計(jì)算機(jī)病毒伴隨、批次型階段--1992年出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。幽靈、多形階段--1994年，用匯編語(yǔ)言實(shí)現(xiàn)同一功能已經(jīng)可以用不同的方式完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈計(jì)算機(jī)病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。計(jì)算機(jī)病毒的發(fā)展歷史(2)生成器、變體機(jī)階段--1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)地插入一些空操作和無(wú)關(guān)指令，也不影響運(yùn)算的結(jié)果。網(wǎng)絡(luò)、蠕蟲階段--1995年，計(jì)算機(jī)病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播。Windows階段--利用Windows系統(tǒng)進(jìn)行工作的計(jì)算機(jī)病毒開始發(fā)展，它們修改（NE，PE）文件宏病毒階段--Word宏語(yǔ)言也可以編制計(jì)算機(jī)病毒Internet階段--計(jì)算機(jī)病毒利用Internet進(jìn)行傳播Java、郵件炸彈階段--利用Java語(yǔ)言進(jìn)行傳播和資料獲取的計(jì)算機(jī)病毒開始出現(xiàn)，典型的代表是JavaSnake計(jì)算機(jī)病毒1.2計(jì)算機(jī)病毒的基本概念計(jì)算機(jī)病毒的生物特征計(jì)算機(jī)病毒的生命周期計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒發(fā)作的一般癥狀計(jì)算機(jī)病毒的生物特征宿主感染性危害性微小性簡(jiǎn)單性變異性多樣性特異性相容性和互斥性頑固性計(jì)算機(jī)病毒的生命周期開發(fā)期--傳染期--將計(jì)算機(jī)病毒其復(fù)制并確認(rèn)其已被傳播出去。潛伏期--計(jì)算機(jī)病毒是自然地復(fù)制的。計(jì)算機(jī)病毒的危害在于暗中占據(jù)存儲(chǔ)空間。發(fā)作期--帶有破壞機(jī)制的計(jì)算機(jī)病毒會(huì)在達(dá)到某一特定條件時(shí)發(fā)作，一旦遇上某種條件，例如，某個(gè)日期或出現(xiàn)了用戶采取的某特定行為。發(fā)現(xiàn)期--當(dāng)計(jì)算機(jī)病毒被檢測(cè)到并被隔離出來(lái)后，計(jì)算機(jī)病毒被通報(bào)和描述給反計(jì)算機(jī)病毒研究工作者。消化期--反計(jì)算機(jī)病毒開發(fā)人員修改他們的軟件以使其可以檢測(cè)到新發(fā)現(xiàn)的計(jì)算機(jī)病毒。消亡期--處于消亡期的某些計(jì)算機(jī)病毒已經(jīng)在很長(zhǎng)時(shí)間里不再是一個(gè)重要的威脅了。計(jì)算機(jī)病毒的傳播途徑第一種途徑：通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播。第二種途徑：通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播。第三種途徑：通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。第四種途徑：通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道傳播。其他未知途徑：計(jì)算機(jī)工業(yè)的發(fā)展在為人類提供更多、更快捷的傳輸信息方式的同時(shí)，也為計(jì)算機(jī)病毒的傳播提供了新的傳播途徑。計(jì)算機(jī)病毒發(fā)作的一般癥狀（1）計(jì)算機(jī)運(yùn)行得比平常遲鈍，程序載入時(shí)間比平常久；（2）對(duì)一個(gè)簡(jiǎn)單的工作，磁盤機(jī)似乎花了比預(yù)期長(zhǎng)的時(shí)間；（3）不尋常、或與系統(tǒng)正在運(yùn)行的軟件無(wú)關(guān)的錯(cuò)誤訊息出現(xiàn)；（4）硬盤的指示燈無(wú)緣無(wú)故地亮了，或程序同時(shí)存取多部磁盤機(jī)；（5）系統(tǒng)記憶體容量忽然大量減少，磁盤可利用的空間突然減少；（6）可執(zhí)行文檔的大小改變了；（7）記憶體內(nèi)增加了來(lái)路不明的常駐程序；（8）檔案奇怪地消失或檔案的內(nèi)容被附加了一些奇怪的資料；（9）檔案名稱、文檔名、日期和屬性被更改過(guò)。1.3計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的基本分類按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類 按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類 按照計(jì)算機(jī)病毒的攻擊機(jī)型分類 按照計(jì)算機(jī)病毒的鏈接方式分類 按照計(jì)算機(jī)病毒的破壞情況分類 按照計(jì)算機(jī)病毒的寄生方式分類 按照計(jì)算機(jī)病毒激活的時(shí)間分類 按照計(jì)算機(jī)病毒的傳播媒介分類 按照計(jì)算機(jī)病毒特有的算法分類 按計(jì)算機(jī)病毒的傳染途徑分類 按照計(jì)算機(jī)病毒的破壞行為分類 按照計(jì)算機(jī)病毒的“作案”方式分類 計(jì)算機(jī)病毒的基本分類傳統(tǒng)開機(jī)型計(jì)算機(jī)病毒隱形開機(jī)型計(jì)算機(jī)病毒檔案感染型兼開機(jī)型計(jì)算機(jī)病毒目錄型計(jì)算機(jī)病毒傳統(tǒng)檔案型計(jì)算機(jī)病毒千面人計(jì)算機(jī)病毒突變引擎病毒隱形檔案型計(jì)算機(jī)病毒終結(jié)型計(jì)算機(jī)病毒W(wǎng)ord巨集計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的計(jì)算機(jī)病毒攻擊Windows系統(tǒng)的計(jì)算機(jī)病毒攻擊UNIX系統(tǒng)的計(jì)算機(jī)病毒攻擊OS/2系統(tǒng)的計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒操作系統(tǒng)傳染的計(jì)算機(jī)病毒可執(zhí)行程序傳染的計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的攻擊機(jī)型分類攻擊微型計(jì)算機(jī)的計(jì)算機(jī)病毒攻擊小型機(jī)的計(jì)算機(jī)病毒攻擊工作站的計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的鏈接方式分類源碼型計(jì)算機(jī)病毒嵌入型計(jì)算機(jī)病毒外殼型計(jì)算機(jī)病毒操作系統(tǒng)型計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的破壞情況分類良性計(jì)算機(jī)病毒:不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。惡性計(jì)算機(jī)病毒:在其包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作的代碼，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。按照計(jì)算機(jī)病毒的寄生方式分類引導(dǎo)型計(jì)算機(jī)病毒--指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。文件型計(jì)算機(jī)病毒--指能夠寄生在文件中的計(jì)算機(jī)病毒。這類計(jì)算機(jī)病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。復(fù)合型計(jì)算機(jī)病毒--兼具引導(dǎo)型病毒和文件型病毒寄生方式的計(jì)算機(jī)病毒。按照計(jì)算機(jī)病毒激活的時(shí)間分類計(jì)算機(jī)病毒可分為定時(shí)的和隨機(jī)的兩類。定時(shí)計(jì)算機(jī)病毒僅在某一特定時(shí)間才發(fā)作.隨機(jī)計(jì)算機(jī)病毒一般不是由時(shí)鐘來(lái)激活的。按照計(jì)算機(jī)病毒的傳播媒介分類單機(jī)計(jì)算機(jī)病毒--單機(jī)計(jì)算機(jī)病毒的載體是磁盤，常見(jiàn)的是計(jì)算機(jī)病毒從軟盤或U盤等移動(dòng)載體傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤或U盤，軟盤等移動(dòng)載體又傳染其他系統(tǒng)。網(wǎng)絡(luò)計(jì)算機(jī)病毒--網(wǎng)絡(luò)計(jì)算機(jī)病毒的傳播媒介不再是移動(dòng)式載體，而是網(wǎng)絡(luò)通道，這種計(jì)算機(jī)病毒的傳染能力更強(qiáng)，破壞力更大。按照計(jì)算機(jī)病毒特有的算法分類伴隨型計(jì)算機(jī)病毒--這一類計(jì)算機(jī)病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生.exe文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（.com），例如，Xcopy.exe的伴隨體是X，計(jì)算機(jī)病毒把自身寫入.com文件并不改變.exe文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的.exe文件。“蠕蟲”型計(jì)算機(jī)病毒--這類計(jì)算機(jī)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)計(jì)算機(jī)的內(nèi)存?zhèn)鞑サ狡渌?jì)算機(jī)的內(nèi)存，尋找計(jì)算網(wǎng)絡(luò)地址，將自身的計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其他資源。寄生型計(jì)算機(jī)病毒--通過(guò)系統(tǒng)的功能進(jìn)行傳播，按算法可分為如下幾種。練習(xí)型計(jì)算機(jī)病毒詭秘型計(jì)算機(jī)病毒變型計(jì)算機(jī)病毒（又稱幽靈計(jì)算機(jī)病毒）按計(jì)算機(jī)病毒的傳染途徑分類計(jì)算機(jī)病毒按其傳染途徑大致可分為兩類：一是感染磁盤上的引導(dǎo)扇區(qū)BootSector的內(nèi)容的計(jì)算機(jī)病毒；二是感染文件型計(jì)算機(jī)的病毒。它們?cè)侔雌鋫魅就緩接挚煞譃轳v留內(nèi)存型和不駐留內(nèi)存型，駐留內(nèi)存型按其駐留內(nèi)存方式又可細(xì)分。混合型計(jì)算機(jī)病毒集感染引導(dǎo)型和文件型計(jì)算機(jī)病毒特性于一體。引導(dǎo)型計(jì)算機(jī)病毒會(huì)去改寫（即一般所說(shuō)的“感染”）磁盤上的引導(dǎo)扇區(qū)BootSector的內(nèi)容，軟盤或硬盤都有可能感染計(jì)算機(jī)病毒；或是改寫硬盤上的分區(qū)表FAT。如果用已感染計(jì)算機(jī)病毒的軟盤來(lái)啟動(dòng)的話，則會(huì)感染硬盤。按照計(jì)算機(jī)病毒的破壞行為分類攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊文件攻擊內(nèi)存干擾系統(tǒng)運(yùn)行速度下降攻擊磁盤擾亂屏幕顯示鍵盤喇叭攻擊CMOS干擾打印機(jī)按照計(jì)算機(jī)病毒的“作案”方式分類暗藏型計(jì)算機(jī)病毒殺手型計(jì)算機(jī)病毒霸道型計(jì)算機(jī)病毒超載型計(jì)算機(jī)病毒間諜型計(jì)算機(jī)病毒強(qiáng)制隔離型計(jì)算機(jī)病毒欺騙型計(jì)算機(jī)病毒干擾型計(jì)算機(jī)病毒Linux平臺(tái)下的病毒分類1.可執(zhí)行文件型病毒2.蠕蟲（worm）病毒3.腳本病毒4.后門程序1.4互聯(lián)網(wǎng)環(huán)境下病毒的多樣化1.傳播網(wǎng)絡(luò)化2.利用操作系統(tǒng)和應(yīng)用程序的漏洞3.傳播方式多樣4.病毒制作技術(shù)新5.誘惑性6.病毒形式多樣化7.危害多樣化即時(shí)通訊病毒即時(shí)通訊(IM)類病毒是指主要指通過(guò)即時(shí)通訊軟件(如MSN、QQ等)向用戶的聯(lián)系人自動(dòng)發(fā)送惡意消息或自身文件來(lái)達(dá)到傳播目的的蠕蟲等病毒。IM類病毒通常有兩種工作模式：一種是自動(dòng)發(fā)送惡意文本消息，另一種是利用即時(shí)通訊軟件的傳送文件功能，將自身直接發(fā)送出去。手機(jī)病毒1．通過(guò)“無(wú)紅傳送”藍(lán)牙設(shè)備傳播的病毒“卡比爾”、“Lasco.A”。2．針對(duì)移動(dòng)通訊商的手機(jī)病毒“蚊子木馬”。3．針對(duì)手機(jī)BUG的病毒“移動(dòng)黑客”。4．利用短信或彩信進(jìn)行攻擊的“Mobile.SMSDOS”病毒流氓軟件廣告軟件間諜軟件瀏覽器劫持行為記錄軟件惡意共享軟件搜索劫持自動(dòng)撥號(hào)軟件網(wǎng)絡(luò)釣魚習(xí)題1．簡(jiǎn)述計(jì)算機(jī)病毒的發(fā)展。2．計(jì)算機(jī)病毒與生物病毒的本質(zhì)區(qū)別是什么？3．給出計(jì)算機(jī)病毒的基本特征。4．分析計(jì)算機(jī)病毒家族的演化過(guò)程，以及此過(guò)程和計(jì)算機(jī)技術(shù)發(fā)展的關(guān)系。5．給出你認(rèn)為合理的計(jì)算機(jī)病毒的分類方法和類型。6．分析各種不同的計(jì)算機(jī)病毒在計(jì)算機(jī)系統(tǒng)中的破壞行為7.在即時(shí)通訊中,病毒的工作模式是什么?和傳統(tǒng)的病毒傳播方式由什么區(qū)別和聯(lián)系?8.分析手機(jī)病毒的分類和危害？舉出你知道的幾個(gè)典型的手機(jī)病毒的實(shí)例？

9.了解一下殺毒軟件的產(chǎn)品,說(shuō)出你用的殺毒軟件的名字，給出你選擇該軟件的理由？10.安裝殺毒軟件，檢測(cè)自己的計(jì)算機(jī)或你所在的局域網(wǎng)中是否感染病毒。根據(jù)自己的實(shí)踐，寫出你對(duì)計(jì)算機(jī)病毒的整體認(rèn)識(shí)。第2章傳統(tǒng)計(jì)算機(jī)病毒的工作機(jī)制及發(fā)作表現(xiàn)第2章計(jì)算機(jī)病毒的工作機(jī)制病毒的工作步驟分析 計(jì)算機(jī)病毒的引導(dǎo)機(jī)制 計(jì)算機(jī)病毒的傳染機(jī)制 計(jì)算機(jī)病毒的觸發(fā)機(jī)制 計(jì)算機(jī)病毒的破壞機(jī)制 計(jì)算機(jī)病毒的傳播機(jī)制計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)計(jì)算機(jī)病毒發(fā)作時(shí)表現(xiàn)計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)

2.1病毒的工作步驟分析計(jì)算機(jī)病毒的引導(dǎo)模塊 計(jì)算機(jī)病毒的感染模塊 計(jì)算機(jī)病毒的表現(xiàn)模塊從本質(zhì)上來(lái)看，病毒程序可以執(zhí)行其他程序所能執(zhí)行的一切功能。但是，與普通程序又不同的是病毒必須將自身附著在其他程序上。病毒程序所依附的其他程序稱為宿主程序。當(dāng)用戶運(yùn)行宿主程序時(shí)，病毒程序被激活，并開始執(zhí)行。一旦病毒程序被執(zhí)行，它就能執(zhí)行一切意想不到的功能（如感染其他程序、刪除文件等）。從病毒程序的生命周期來(lái)看，它一般會(huì)經(jīng)歷4個(gè)階段：潛伏階段、傳染階段、觸發(fā)階段和發(fā)作階段。該過(guò)程如圖2-1所示。在潛伏階段，病毒程序處于休眠狀態(tài)，用戶根本感覺(jué)不到病毒的存在，但并非所有病毒均會(huì)經(jīng)歷潛伏階段。如果某些事件發(fā)生（如特定的日期、某個(gè)特定的程序被執(zhí)行等），病毒就會(huì)被激活，并從而進(jìn)入傳染階段。處于傳染階段的病毒，將感染其他程序——將自身程序復(fù)制到其他程序或者磁盤的某個(gè)區(qū)域上。經(jīng)過(guò)傳染階段，病毒程序已經(jīng)具備運(yùn)行的條件，一旦病毒被激活，則進(jìn)入觸發(fā)階段。圖2-1病毒程序的生命周期圖2-2病毒程序的典型組成示意圖計(jì)算機(jī)病毒的引導(dǎo)模塊計(jì)算機(jī)病毒引導(dǎo)模塊主要實(shí)現(xiàn)將計(jì)算機(jī)病毒程序引入計(jì)算機(jī)內(nèi)存，并使得傳染和表現(xiàn)模塊處于活動(dòng)狀態(tài)。引導(dǎo)模塊需要提供自保護(hù)功能，從而避免在內(nèi)存中的自身代碼不被覆蓋或清除。一旦引導(dǎo)模塊將計(jì)算機(jī)病毒程序引入內(nèi)存后，它還將為傳染模塊和表現(xiàn)模塊設(shè)置相應(yīng)的啟動(dòng)條件，以便在適當(dāng)?shù)臅r(shí)候或者合適的條件下激活傳染模塊或者觸發(fā)表現(xiàn)模塊。計(jì)算機(jī)病毒的感染模塊計(jì)算機(jī)病毒的傳染模塊有兩個(gè)功能：其一是依據(jù)引導(dǎo)模塊設(shè)置的傳染條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足傳染條件；其二是如果傳染條件滿足，則啟動(dòng)傳染功能，將計(jì)算機(jī)病毒程序附加到其他宿主程序上。計(jì)算機(jī)病毒的表現(xiàn)模塊表現(xiàn)模塊功能也包括兩個(gè)部分：其一是根據(jù)引導(dǎo)模塊設(shè)置的觸發(fā)條件，判斷當(dāng)前系統(tǒng)環(huán)境是否滿足所需要的觸發(fā)條件；其二是一旦觸發(fā)條件滿足，則啟動(dòng)計(jì)算機(jī)病毒程序，按照預(yù)定的計(jì)劃執(zhí)行（如刪除程序、盜取數(shù)據(jù)等）。BootingModel（）/*引導(dǎo)模塊*/{

將計(jì)算機(jī)病毒程序寄生于宿主程序中；啟動(dòng)自保護(hù)功能；設(shè)置傳染條件；設(shè)置激活條件；加載計(jì)算機(jī)程序；計(jì)算機(jī)病毒程序隨宿主程序地運(yùn)行進(jìn)入系統(tǒng)；}InfectingModel（）/*傳染模塊*/{

按照計(jì)算機(jī)病毒目標(biāo)實(shí)現(xiàn)傳染功能；}BehavingModel（）/*表現(xiàn)模塊*/{

按照計(jì)算機(jī)病毒目標(biāo)實(shí)現(xiàn)表現(xiàn)功能；}main（）/*計(jì)算機(jī)病毒主程序*/{BootingModel（）；

while（1）

{

尋找感染對(duì)象；

If（如果感染條件不滿足）

continue；

InfectingModel（）；

if（激活條件不滿足）

continue；

behavingModel（）；運(yùn)行宿主程序；

if（計(jì)算機(jī)病毒程序需要退出）

exit（）；

}}2.2計(jì)算機(jī)病毒的引導(dǎo)機(jī)制計(jì)算機(jī)病毒的寄生對(duì)象 計(jì)算機(jī)病毒的寄生方式 計(jì)算機(jī)病毒的引導(dǎo)過(guò)程計(jì)算機(jī)病毒的寄生對(duì)象寄生在計(jì)算機(jī)硬盤的主引導(dǎo)扇區(qū)中寄生在計(jì)算機(jī)磁盤邏輯分析引導(dǎo)扇區(qū)中寄生在可執(zhí)行程序中計(jì)算機(jī)病毒的寄生方式計(jì)算機(jī)病毒的寄生方式有兩種：一種是采用替代法；另一種是采用鏈接法。這兩種寄生方式分別如圖2-3和圖2-4所示圖2-3替代法圖2-4鏈接法計(jì)算機(jī)病毒的引導(dǎo)過(guò)程計(jì)算機(jī)病毒的引導(dǎo)過(guò)程一般包括以下3方面。駐留內(nèi)存獲取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能2.3計(jì)算機(jī)病毒的傳染機(jī)制計(jì)算機(jī)病毒的傳染方式 計(jì)算機(jī)病毒的傳染過(guò)程 系統(tǒng)型計(jì)算機(jī)病毒傳染機(jī)理 文件型計(jì)算機(jī)病毒傳染機(jī)理計(jì)算機(jī)病毒的傳染方式一種方式是計(jì)算機(jī)病毒的被動(dòng)傳染。用戶在復(fù)制磁盤或文件時(shí)，把一個(gè)計(jì)算機(jī)病毒由一個(gè)信息載體復(fù)制到另一個(gè)信息載體上。當(dāng)然，也可能通過(guò)網(wǎng)絡(luò)上的信息傳遞，把一個(gè)計(jì)算機(jī)病毒程序從一方傳遞到另一方。另外一種方式是計(jì)算機(jī)病毒的主動(dòng)傳染。計(jì)算機(jī)病毒以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及計(jì)算機(jī)病毒程序處于激活狀態(tài)為先決條件。此外，按照計(jì)算機(jī)病毒傳染的時(shí)間性，其傳染方式也可分為立即傳染和伺機(jī)傳染。計(jì)算機(jī)病毒的傳染過(guò)程對(duì)于計(jì)算機(jī)病毒的被動(dòng)傳染而言，其傳染過(guò)程是隨著復(fù)制磁盤或文件工作的進(jìn)行而進(jìn)行的。而對(duì)于計(jì)算機(jī)病毒的主動(dòng)傳染而言，其傳染過(guò)程是：在系統(tǒng)運(yùn)行時(shí)，計(jì)算機(jī)病毒通過(guò)計(jì)算機(jī)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行。發(fā)現(xiàn)被傳染的目標(biāo)（1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了計(jì)算機(jī)病毒。（2）當(dāng)條件滿足，利用INT13H將計(jì)算機(jī)病毒鏈接到可執(zhí)行文件的首部、尾部或中間，并存入空間大的磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。操作系統(tǒng)型計(jì)算機(jī)病毒的傳染過(guò)程正常的計(jì)算機(jī)DOS啟動(dòng)過(guò)程如下。已感染了計(jì)算機(jī)病毒系統(tǒng)的啟動(dòng)過(guò)程如下。（1）將Boot區(qū)中的計(jì)算機(jī)病毒代碼首先讀入內(nèi)存的0000：7C00處。（2）計(jì)算機(jī)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存，監(jiān)視系統(tǒng)的運(yùn)行。（3）修改INT13H中斷服務(wù)處理程序的入口地址，使之指向計(jì)算機(jī)病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N計(jì)算機(jī)病毒要感染軟盤或者硬盤，都離不開對(duì)磁盤的讀寫操作，修改INT13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作。（4）計(jì)算機(jī)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000：7C00處，進(jìn)行正常的啟動(dòng)過(guò)程。（5）計(jì)算機(jī)病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤或非系統(tǒng)盤。如果發(fā)現(xiàn)有可攻擊的對(duì)象，計(jì)算機(jī)病毒還要進(jìn)行下列的工作。（1）將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存，對(duì)該盤進(jìn)行判別是否傳染了計(jì)算機(jī)病毒。（2）當(dāng)滿足傳染條件時(shí)，則將計(jì)算機(jī)病毒的全部或者一部分寫入Boot區(qū)，把正常的磁盤的引導(dǎo)區(qū)程序?qū)懭氪疟P特寫位置。（3）返回正常的INT13H中斷服務(wù)處理程序，完成對(duì)目標(biāo)盤的傳染。系統(tǒng)型計(jì)算機(jī)病毒傳染機(jī)理系統(tǒng)型計(jì)算機(jī)病毒利用在開機(jī)引導(dǎo)時(shí)竊獲的INT13控制權(quán)，在整個(gè)計(jì)算機(jī)運(yùn)行過(guò)程中隨時(shí)監(jiān)視軟盤操作情況，趁讀寫軟盤的時(shí)機(jī)讀出軟盤引導(dǎo)區(qū)，判斷軟盤是否染毒，如未感染就按計(jì)算機(jī)病毒的寄生方式把原引導(dǎo)區(qū)寫到軟盤另一位置，把計(jì)算機(jī)病毒寫入軟盤第一個(gè)扇區(qū)，從而完成對(duì)軟盤的傳染。染毒的軟盤在軟件交流中又會(huì)傳染其他計(jì)算機(jī)。文件型計(jì)算機(jī)病毒傳染機(jī)理當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí)，進(jìn)行如下操作。（1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了計(jì)算機(jī)病毒。（2）當(dāng)條件滿足，利用INT13H將計(jì)算機(jī)病毒鏈接到可執(zhí)行文件的首部、尾部或中間，并存入磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。文件型計(jì)算機(jī)病毒通過(guò)與磁盤文件有關(guān)的操作進(jìn)行傳染，主要的傳染途徑如下。（1）加載執(zhí)行文件文件型計(jì)算機(jī)病毒駐內(nèi)存后，通過(guò)其所截獲的INT21中斷檢查每一個(gè)加載運(yùn)行可執(zhí)行文件進(jìn)行傳染。傳染不到那些用戶沒(méi)有使用的文件。（2）列目錄過(guò)程一些計(jì)算機(jī)病毒編制者可能感到加載傳染方式每次傳染一個(gè)文件速度較慢，于是后來(lái)制造出通過(guò)列目錄傳染的計(jì)算機(jī)病毒。（3）創(chuàng)建文件過(guò)程2.4計(jì)算機(jī)病毒的觸發(fā)機(jī)制日期觸發(fā)時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動(dòng)觸發(fā)訪問(wèn)磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā)2.5計(jì)算機(jī)病毒的破壞機(jī)制破壞機(jī)制在設(shè)計(jì)原則、工作原理上與傳染機(jī)制基本相同。通過(guò)修改某一中斷向量入口地址（一般為時(shí)鐘中斷INT8H，或與時(shí)鐘中斷有關(guān)的其他中斷，如INT1CH），使該中斷向量指向計(jì)算機(jī)病毒程序的破壞模塊。當(dāng)系統(tǒng)或被加載的程序訪問(wèn)該中斷向量時(shí)，計(jì)算機(jī)病毒破壞模塊被激活，在判斷設(shè)定條件滿足的情況下，對(duì)系統(tǒng)或磁盤上的文件進(jìn)行破壞活動(dòng)，這種破壞活動(dòng)不一定都是刪除磁盤文件，有的可能是顯示一串無(wú)用的提示信息2.6計(jì)算機(jī)病毒的傳播機(jī)制（1）計(jì)算機(jī)病毒直接從有盤站復(fù)制到服務(wù)器中。（2）計(jì)算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，等運(yùn)行網(wǎng)絡(luò)盤內(nèi)程序時(shí)再傳染給服務(wù)器。（3）計(jì)算機(jī)病毒先傳染工作站，在工作站內(nèi)存駐留，在計(jì)算機(jī)病毒運(yùn)行時(shí)直接通過(guò)映像路徑傳染到服務(wù)器中。（4）如果遠(yuǎn)程工作站被計(jì)算機(jī)病毒侵入，計(jì)算機(jī)病毒也可以通過(guò)通信中數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中。在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)計(jì)算機(jī)病毒除了具有可傳播性、可執(zhí)行性、破壞性和可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)。（1）感染速度快。（2）擴(kuò)散面廣2.7計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)1計(jì)算機(jī)經(jīng)常性無(wú)緣無(wú)故地死機(jī) 2．操作系統(tǒng)無(wú)法正常啟動(dòng) 3．運(yùn)行速度異常 4．內(nèi)存不足的錯(cuò)誤 5．打印、通信及主機(jī)接口發(fā)生異常 6．無(wú)意中要求對(duì)軟盤進(jìn)行寫操作 7．以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤 8．系統(tǒng)文件的時(shí)間、日期和大小發(fā)生變化 9．宏病毒的表現(xiàn)現(xiàn)象 10．磁盤空間迅速減少 11．網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用 12．陌生人發(fā)來(lái)的電子郵件 13．自動(dòng)鏈接到一些陌生的網(wǎng)站2.8計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)1．顯示器屏幕異常 2．聲音異常 3．硬盤燈不斷閃爍 4．進(jìn)行游戲算法 5．Windows桌面圖標(biāo)發(fā)生變化 6．計(jì)算機(jī)突然死機(jī)或重啟 7．自動(dòng)發(fā)送電子郵件 8．鼠標(biāo)、鍵盤失控 9．被感染系統(tǒng)被打開服務(wù)端口 10．反計(jì)算機(jī)病毒軟件無(wú)法正常工作2.9計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)1．硬盤無(wú)法啟動(dòng)，數(shù)據(jù)丟失 2．文件、文件目錄丟失或被破壞 3．?dāng)?shù)據(jù)密級(jí)異常 4．使部分可軟件升級(jí)主板的BIOS程序混亂 5．網(wǎng)絡(luò)癱瘓 6．其他異?，F(xiàn)象習(xí)題1．簡(jiǎn)述通常情況下計(jì)算機(jī)病毒的工作步驟。2．分析計(jì)算機(jī)病毒的寄生對(duì)象。3．計(jì)算機(jī)病毒的寄生方式有哪幾種？它們的特點(diǎn)如何分別？4．分析計(jì)算機(jī)病毒的引導(dǎo)過(guò)程。5．分析計(jì)算機(jī)病毒的傳染方式。6．簡(jiǎn)述計(jì)算機(jī)病毒的傳染過(guò)程。7．給出系統(tǒng)型和文件型計(jì)算機(jī)病毒的不同感染過(guò)程。8．分析計(jì)算機(jī)病毒的觸發(fā)機(jī)制。9．分析計(jì)算機(jī)病毒的破壞機(jī)制。10．分析計(jì)算機(jī)病毒的傳播機(jī)制。11．分析計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象，列舉出你所知道的計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象。12．分析計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象，并給出對(duì)不同的癥狀有哪些應(yīng)對(duì)策略。13．給出CIH計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象以及可能造成的破壞。14．舉例說(shuō)明計(jì)算機(jī)病毒發(fā)作后的不同的計(jì)算機(jī)病毒可能引起的計(jì)算機(jī)異常。15．討論最近計(jì)算機(jī)病毒不同階段的表現(xiàn)現(xiàn)象第3章新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)

及特點(diǎn)和技術(shù)

第3章新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)及特點(diǎn)和技術(shù)新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)新型計(jì)算機(jī)病毒發(fā)展的主要特點(diǎn)新型計(jì)算機(jī)病毒的主要技術(shù)網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的特點(diǎn)探討計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播方式計(jì)算機(jī)網(wǎng)絡(luò)病毒的發(fā)展趨勢(shì)云安全服務(wù)將成為新趨勢(shì)3.1新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)1．網(wǎng)絡(luò)化 2．人性化 3．隱蔽化 4．多樣化 5．平民化 6．智能化近年主要流行的計(jì)算機(jī)病毒以木馬為主兩大黑色產(chǎn)業(yè)鏈：盜號(hào)、隱私信息販賣3.2新型計(jì)算機(jī)病毒發(fā)展的主要特點(diǎn)流行計(jì)算機(jī)病毒開始體現(xiàn)出與以往計(jì)算機(jī)病毒截然不同的特征和發(fā)展方向，更加呈現(xiàn)綜合性的特點(diǎn)，功能越來(lái)越強(qiáng)大。它可以感染引導(dǎo)區(qū)、可執(zhí)行文件，更主要的是與網(wǎng)絡(luò)結(jié)合，通過(guò)電子郵件、局域網(wǎng)、聊天軟件，甚至瀏覽網(wǎng)頁(yè)等多種途徑進(jìn)行傳播，同時(shí)還兼有黑客后門功能，進(jìn)行密碼猜測(cè)，實(shí)施遠(yuǎn)程控制，并且終止反計(jì)算機(jī)病毒軟件和防火墻的運(yùn)行。計(jì)算機(jī)病毒常常利用操作系統(tǒng)的漏洞進(jìn)行感染和破壞。新型計(jì)算機(jī)病毒的主要特點(diǎn)1利用系統(tǒng)漏洞將成為計(jì)算機(jī)病毒有力的傳播方式 2．局域網(wǎng)內(nèi)快速傳播 3．以多種方式快速傳播 4．欺騙性增強(qiáng) 5．大量消耗系統(tǒng)與網(wǎng)絡(luò)資源 6．更廣泛的混合性特征 7．計(jì)算機(jī)病毒與黑客技術(shù)的融合 8．計(jì)算機(jī)病毒出現(xiàn)頻度高，計(jì)算機(jī)病毒生成工具多，計(jì)算機(jī)病毒的變種多 9．難于控制和徹底根治，容易引起多次疫情基于“Windows”的計(jì)算機(jī)病毒1．什么是Windows計(jì)算機(jī)病毒 2．為什么Windows計(jì)算機(jī)病毒這么多 :危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程表現(xiàn)形式為：計(jì)算機(jī)病毒，木馬，蠕蟲、后門和漏洞等。以下分析并簡(jiǎn)單比較主機(jī)不安全因素的影響及范圍。3．Windows系統(tǒng)與計(jì)算機(jī)病毒的斗爭(zhēng)新型計(jì)算機(jī)病毒的傳播途徑傳播途徑:軟盤;光盤;硬盤;BBS;網(wǎng)絡(luò)計(jì)算機(jī)病毒傳播呈現(xiàn)多樣性1)隱藏在即時(shí)通信軟件中的計(jì)算機(jī)病毒2)在IRC中的計(jì)算機(jī)病毒3）點(diǎn)對(duì)點(diǎn)計(jì)算機(jī)病毒

新型計(jì)算機(jī)病毒的危害“CIH”計(jì)算機(jī)病毒在全球造成的損失估計(jì)是10億美元，而受2000年5月“ILoveYou”（情書）計(jì)算機(jī)病毒的影響，全球的損失預(yù)計(jì)高達(dá)100億美元。據(jù)來(lái)自Compuware/ABC的報(bào)告，系統(tǒng)每停機(jī)一小時(shí)，包括證券公司、信用卡公司、電視機(jī)構(gòu)、國(guó)際航運(yùn)公司、郵購(gòu)公司在內(nèi)，其損失都在650萬(wàn)美元以上。1．計(jì)算機(jī)病毒肆虐2．計(jì)算機(jī)病毒與IT共存電子郵件成為計(jì)算機(jī)病毒傳播的主要媒介通過(guò)E-mail進(jìn)行傳播的計(jì)算機(jī)病毒主要有如下兩個(gè)重要特點(diǎn)。（1）傳播速度快、傳播范圍廣。（2）破壞力大、破壞性強(qiáng)。新型計(jì)算機(jī)病毒的最主要載體網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的計(jì)算機(jī)病毒類型 惡意網(wǎng)頁(yè)、木馬和計(jì)算機(jī)病毒3.3新型計(jì)算機(jī)病毒的主要技術(shù)ActiveX與Java 計(jì)算機(jī)病毒的駐留內(nèi)存技術(shù)修改中斷向量表技術(shù) 計(jì)算機(jī)病毒隱藏技術(shù)對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù) 技術(shù)的遺傳與結(jié)合ActiveX與JavaActiveX和Java語(yǔ)言可以讓人們欣賞動(dòng)感十足的網(wǎng)頁(yè)，可是新的危機(jī)卻悄然而至，因?yàn)镮nternet已成為新型計(jì)算機(jī)病毒的最佳傳媒。新型計(jì)算機(jī)病毒不需要像傳統(tǒng)計(jì)算機(jī)病毒那樣要找個(gè)宿主程序感染，等待特定條件成熟后才開始破壞工作，而是乘人防不甚防侵入硬盤，刪除或破壞文件，更有甚者會(huì)讓計(jì)算機(jī)完全癱瘓。Java和ActiveX語(yǔ)言的執(zhí)行方式是把程序代碼寫在網(wǎng)頁(yè)上，當(dāng)連上這個(gè)網(wǎng)站時(shí)，瀏覽器就把這些程序代碼抓下來(lái)，然后用使用者自己的系統(tǒng)資源去執(zhí)行它。計(jì)算機(jī)病毒的駐留內(nèi)存技術(shù)引導(dǎo)型病毒的駐留內(nèi)存技術(shù) 文件型計(jì)算機(jī)病毒的不駐留內(nèi)存特征 文件型計(jì)算機(jī)病毒駐留內(nèi)存特征

修改中斷向量表技術(shù)修改中斷向量可以有多種方法，DOS提倡使用可靠的系統(tǒng)調(diào)用的方法。很多種文件型計(jì)算機(jī)病毒也都是用這種方法進(jìn)行中斷向量的獲取和設(shè)置，以將計(jì)算機(jī)病毒的傳染模塊和表現(xiàn)模塊連入系統(tǒng)。引導(dǎo)型計(jì)算機(jī)病毒進(jìn)行其初始化時(shí)，DOS尚未加載，因此引導(dǎo)型計(jì)算機(jī)病毒只能用直接存取的方法修改中斷向量表

計(jì)算機(jī)病毒隱藏技術(shù)采用這種“隱藏”技術(shù)的計(jì)算機(jī)病毒可以有以下幾種表現(xiàn)形式:

計(jì)算機(jī)病毒進(jìn)入內(nèi)存后，若計(jì)算機(jī)用戶不用專用軟件或?qū)ｉT手段去檢查，則幾乎感覺(jué)不到因計(jì)算機(jī)病毒駐留內(nèi)存而引起的內(nèi)存可用容量的減少。

計(jì)算機(jī)病毒感染了正常文件后，該文件的日期和時(shí)間不發(fā)生變化。因此用DIR命令查看目錄時(shí)，看不到某個(gè)文件因被計(jì)算機(jī)病毒改寫過(guò)造成的日期、時(shí)間有變化。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，用DIR命令看不見(jiàn)因計(jì)算機(jī)病毒的感染而引起的文件長(zhǎng)度的增加。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，若查看被該計(jì)算機(jī)病毒感染的文件，則看不到計(jì)算機(jī)病毒的程序代碼，只看到原正常文件的程序代碼。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，若查看被計(jì)算機(jī)病毒感染的引導(dǎo)扇區(qū)，則只會(huì)看到正常的引導(dǎo)扇區(qū)，而看不到實(shí)際上處于引導(dǎo)扇區(qū)位置的計(jì)算機(jī)病毒程序。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，計(jì)算機(jī)病毒防范程序和其他工具程序檢查不出中斷向量被計(jì)算機(jī)病毒接管，但實(shí)際上計(jì)算機(jī)病毒代碼已鏈接到系統(tǒng)的中斷服務(wù)程序中。靜態(tài)隱藏技術(shù)（1）秘密行動(dòng)法（2）自加密技術(shù)（3）MutationEngine多態(tài)技術(shù)（4）插入性病毒技術(shù)動(dòng)態(tài)隱藏技術(shù)（1）反Debug跟蹤技術(shù)（2）檢測(cè)系統(tǒng)調(diào)試寄存器，防止計(jì)算機(jī)病毒被動(dòng)態(tài)跟蹤調(diào)試（3）進(jìn)程注入技術(shù)（4）超級(jí)計(jì)算機(jī)病毒技術(shù)

對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù)計(jì)算機(jī)病毒采用的另一項(xiàng)技術(shù)是專門對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)的。當(dāng)這類計(jì)算機(jī)病毒在傳染的過(guò)程中發(fā)現(xiàn)磁盤上有某些著名的計(jì)算機(jī)病毒防范軟件或在文件中查找到出版這些軟件的公司名時(shí)，就刪除這些文件或使計(jì)算機(jī)死鎖。技術(shù)的遺傳與結(jié)合計(jì)算機(jī)病毒技術(shù)的發(fā)展，也就是計(jì)算機(jī)最新技術(shù)的發(fā)展。當(dāng)一種最新的技術(shù)或者計(jì)算機(jī)系統(tǒng)出現(xiàn)的時(shí)候，計(jì)算機(jī)病毒總會(huì)找到這些技術(shù)的薄弱點(diǎn)進(jìn)行利用。計(jì)算機(jī)病毒制造者們還不斷吸取已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒技術(shù)，試圖將這些技術(shù)融合在一起，制造更加具有破壞力的新計(jì)算機(jī)病毒。計(jì)算機(jī)病毒隱藏技術(shù)采用這種“隱藏”技術(shù)的計(jì)算機(jī)病毒可以有以下幾種表現(xiàn)形式:

計(jì)算機(jī)病毒進(jìn)入內(nèi)存后，若計(jì)算機(jī)用戶不用專用軟件或?qū)ｉT手段去檢查，則幾乎感覺(jué)不到因計(jì)算機(jī)病毒駐留內(nèi)存而引起的內(nèi)存可用容量的減少。

計(jì)算機(jī)病毒感染了正常文件后，該文件的日期和時(shí)間不發(fā)生變化。因此用DIR命令查看目錄時(shí)，看不到某個(gè)文件因被計(jì)算機(jī)病毒改寫過(guò)造成的日期、時(shí)間有變化。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，用DIR命令看不見(jiàn)因計(jì)算機(jī)病毒的感染而引起的文件長(zhǎng)度的增加。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，若查看被該計(jì)算機(jī)病毒感染的文件，則看不到計(jì)算機(jī)病毒的程序代碼，只看到原正常文件的程序代碼。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，若查看被計(jì)算機(jī)病毒感染的引導(dǎo)扇區(qū)，則只會(huì)看到正常的引導(dǎo)扇區(qū)，而看不到實(shí)際上處于引導(dǎo)扇區(qū)位置的計(jì)算機(jī)病毒程序。

計(jì)算機(jī)病毒在內(nèi)存中時(shí)，計(jì)算機(jī)病毒防范程序和其他工具程序檢查不出中斷向量被計(jì)算機(jī)病毒接管，但實(shí)際上計(jì)算機(jī)病毒代碼已鏈接到系統(tǒng)的中斷服務(wù)程序中。靜態(tài)隱藏技術(shù)（1）秘密行動(dòng)法（2）自加密技術(shù)（3）MutationEngine多態(tài)技術(shù)（4）插入性病毒技術(shù)動(dòng)態(tài)隱藏技術(shù)（1）反Debug跟蹤技術(shù)（2）檢測(cè)系統(tǒng)調(diào)試寄存器，防止計(jì)算機(jī)病毒被動(dòng)態(tài)跟蹤調(diào)試（3）進(jìn)程注入技術(shù)（4）超級(jí)計(jì)算機(jī)病毒技術(shù)對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù)計(jì)算機(jī)病毒采用的另一項(xiàng)技術(shù)是專門對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)的。當(dāng)這類計(jì)算機(jī)病毒在傳染的過(guò)程中發(fā)現(xiàn)磁盤上有某些著名的計(jì)算機(jī)病毒防范軟件或在文件中查找到出版這些軟件的公司名時(shí)，就刪除這些文件或使計(jì)算機(jī)死鎖。技術(shù)的遺傳與結(jié)合計(jì)算機(jī)病毒技術(shù)的發(fā)展，也就是計(jì)算機(jī)最新技術(shù)的發(fā)展。當(dāng)一種最新的技術(shù)或者計(jì)算機(jī)系統(tǒng)出現(xiàn)的時(shí)候，計(jì)算機(jī)病毒總會(huì)找到這些技術(shù)的薄弱點(diǎn)進(jìn)行利用。計(jì)算機(jī)病毒制造者們還不斷吸取已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒技術(shù)，試圖將這些技術(shù)融合在一起，制造更加具有破壞力的新計(jì)算機(jī)病毒。3.4網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的特點(diǎn)探討網(wǎng)絡(luò)成為計(jì)算機(jī)病毒的主要傳播途徑計(jì)算機(jī)病毒變形的速度極快運(yùn)行方式和傳播方式的隱蔽性利用操作系統(tǒng)漏洞計(jì)算機(jī)病毒技術(shù)與黑客技術(shù)的結(jié)合物質(zhì)利益將成為計(jì)算機(jī)病毒發(fā)展的最大動(dòng)力3.5計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播方式通過(guò)共享資源網(wǎng)頁(yè)惡意腳本FTP方式WWW瀏覽即時(shí)通訊等3.6計(jì)算機(jī)網(wǎng)絡(luò)病毒的發(fā)展趨勢(shì)網(wǎng)絡(luò)病毒技術(shù)不斷突破網(wǎng)絡(luò)上惡意懲處傳播方式多樣網(wǎng)銀木馬數(shù)量迅猛增長(zhǎng)計(jì)算機(jī)病毒變種的數(shù)量成為危害的新標(biāo)準(zhǔn)混合病毒黑色產(chǎn)業(yè)鏈3.7云安全服務(wù)將成為新趨勢(shì)云安全P2P、網(wǎng)格技術(shù)、云計(jì)算等分布式計(jì)算技術(shù)的混合習(xí)題1．簡(jiǎn)述新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)。2.簡(jiǎn)述新型計(jì)算機(jī)病毒的主要特點(diǎn)3．簡(jiǎn)述Java&ActiveX的特征及應(yīng)用場(chǎng)合。舉例說(shuō)明使用Java&ActiveX的病毒的原理和特點(diǎn)。4．分析新型計(jì)算機(jī)病毒有哪些代表性的技術(shù)。5．分析計(jì)算機(jī)病毒隱藏技術(shù)有哪些。6.分析新型病毒的傳播途徑？7.網(wǎng)絡(luò)病毒的特點(diǎn)是什么？8.分析木馬病毒及其工作原理？9分析文件型病毒的特點(diǎn)？對(duì)PE文件的進(jìn)行結(jié)構(gòu)分析？基于PE文件的病毒的隱藏方法有哪些？習(xí)題9.對(duì)緩沖區(qū)溢出進(jìn)行分析，并討論緩沖區(qū)溢出攻擊的原理和方法。下面是一段簡(jiǎn)單的Cvoidfunc(char*str){charbuf[8];strcpy(buf,str);printf(“%sn”,buf);}intmain(intargc,char*argv[]){If(argc>1)Func(argv[1]);}//endofmain分析程序完成的功能，在什么情況下會(huì)出現(xiàn)緩沖區(qū)溢出問(wèn)題？如何避免該類問(wèn)題？習(xí)題10分析下面的程序，說(shuō)明它的功能和原理：<html><head><title>no</title><scriptlanguage=“JavaScript”>使用Java腳本functionopenwindow(){for(i=0;i<3;i++)這里可以控制窗口的個(gè)數(shù)window.open('0')}</script></head><bodyonload="openwindow()"></body></html>該程序保存在htm為后綴的文件中，放在郵件的附件中，當(dāng)雙擊它時(shí)，出現(xiàn)無(wú)窮網(wǎng)頁(yè)窗口，將系統(tǒng)資源耗盡（網(wǎng)絡(luò)炸彈攻擊原型）。實(shí)驗(yàn)一實(shí)驗(yàn):PE文件格式的分析和構(gòu)造,要求了解PE結(jié)構(gòu)；分析PE結(jié)構(gòu)中每個(gè)部分的作用和特征，能用特定的工具手工構(gòu)造一個(gè)基于PE結(jié)構(gòu)的可執(zhí)行文件.用WINHEX工具，按照PE文件個(gè)格式自己生成一個(gè)PE格式EXE文件。（實(shí)驗(yàn)的過(guò)程參見(jiàn)附錄1）第4章計(jì)算機(jī)病毒檢測(cè)技術(shù)第4章計(jì)算機(jī)病毒檢測(cè)技術(shù)計(jì)算機(jī)反病毒技術(shù)的發(fā)展歷程 計(jì)算機(jī)病毒檢測(cè)技術(shù)原理 計(jì)算機(jī)病毒主要檢測(cè)技術(shù)和特點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)病毒的檢測(cè)計(jì)算機(jī)病毒檢測(cè)的作用計(jì)算機(jī)病毒檢測(cè)技術(shù)的實(shí)現(xiàn)4.1計(jì)算機(jī)反病毒技術(shù)的發(fā)展歷程反計(jì)算機(jī)病毒軟件最重要的功能是檢測(cè)并清除計(jì)算機(jī)病毒。第一代反計(jì)算機(jī)病毒技術(shù)是采取單純的計(jì)算機(jī)病毒特征判斷，將計(jì)算機(jī)病毒從帶毒文件中清除掉。這種方式可以準(zhǔn)確地清除計(jì)算機(jī)病毒，可靠性很高。第二代反計(jì)算機(jī)病毒技術(shù)是采用靜態(tài)廣譜特征掃描方法檢測(cè)計(jì)算機(jī)病毒，這種方式可以更多地檢測(cè)出變形計(jì)算機(jī)病毒，但是誤報(bào)率也有所提高。第三代反計(jì)算機(jī)病毒技術(shù)將靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)結(jié)合起來(lái)，查找計(jì)算機(jī)病毒和清除計(jì)算機(jī)病毒合二為一，形成一個(gè)整體解決方案，能夠全面實(shí)現(xiàn)預(yù)防、檢測(cè)和清除等反計(jì)算機(jī)病毒所必備的各種手段，以駐留內(nèi)存方式防止計(jì)算機(jī)病毒的入侵，凡是檢測(cè)到的計(jì)算機(jī)病毒都能清除，不會(huì)破壞文件和數(shù)據(jù)。第四代反計(jì)算機(jī)病毒技術(shù)則是針對(duì)計(jì)算機(jī)病毒的發(fā)展，而逐步建立起來(lái)的基于計(jì)算機(jī)病毒家族體系的命名規(guī)則、基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的計(jì)算機(jī)病毒）、內(nèi)存解毒模塊和自身免疫模塊等先進(jìn)的解毒技術(shù)。4.2計(jì)算機(jī)病毒檢測(cè)技術(shù)原理計(jì)算機(jī)病毒檢測(cè)技術(shù)是指通過(guò)一定的技術(shù)手段判定出計(jì)算機(jī)病毒的一種技術(shù)。計(jì)算機(jī)病毒檢測(cè)技術(shù)主要有兩種一種是根據(jù)計(jì)算機(jī)病毒程序中的關(guān)鍵字、特征程序段內(nèi)容、計(jì)算機(jī)病毒特征及感染方式、文件長(zhǎng)度的變化，在特征分類的基礎(chǔ)上建立的計(jì)算機(jī)病毒檢測(cè)技術(shù)；另一種是不針對(duì)具體計(jì)算機(jī)病毒程序自身檢驗(yàn)技術(shù)，即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果，以后定期或不定期地根據(jù)保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段的完整性已遭到破壞，從而檢測(cè)到計(jì)算機(jī)病毒的存在。計(jì)算機(jī)檢測(cè)病毒技術(shù)的基本原理1．反病毒程序計(jì)算各個(gè)可執(zhí)行程序的校驗(yàn)和 2．某些反病毒程序是常駐內(nèi)存程序 3．少數(shù)工具可以從感染病毒的程序中清除病毒檢測(cè)病毒的基本方法借助簡(jiǎn)單工具檢測(cè) :（1）分析工具的性能。（2）磁盤內(nèi)部結(jié)構(gòu)（如BOOT區(qū)、主引導(dǎo)區(qū)、FAT表和文件目錄等有關(guān)知識(shí)）。（3）磁盤文件結(jié)構(gòu)（EXE文件頭部結(jié)構(gòu)，重定位方法、EXE和COM文件加載文件的不同等）。（4）中斷矢量表。（5）內(nèi)存管理（內(nèi)存控制塊、環(huán)境參數(shù)和文件的PSP結(jié)構(gòu)等）。（6）閱讀匯編程序的能力。（7）有關(guān)病毒的信息。借助專用工具檢測(cè)4.3計(jì)算機(jī)病毒主要檢測(cè)技術(shù)和特點(diǎn)外觀檢測(cè)法、特征代碼法、系統(tǒng)數(shù)據(jù)對(duì)比法、實(shí)時(shí)監(jiān)控法和軟件模擬法等外觀檢測(cè)法1．屏幕顯示異常 2．聲音異常 3．文件系統(tǒng)異常 4．程序異常 5．系統(tǒng)異常 6．打印機(jī)、軟驅(qū)等外部設(shè)備異常系統(tǒng)數(shù)據(jù)對(duì)比法1．長(zhǎng)度比較法及內(nèi)容比較法 2．內(nèi)存比較法 3．中斷比較法病毒簽名檢測(cè)法（1）必須預(yù)先知道計(jì)算機(jī)病毒簽名的內(nèi)容和位置。（2）也可能造成虛假警報(bào)。特征代碼法特點(diǎn) 選擇代碼串規(guī)則實(shí)現(xiàn)步驟 優(yōu)缺點(diǎn)高品質(zhì)計(jì)算機(jī)病毒檢測(cè)工具應(yīng)具有的屬性檢查常規(guī)內(nèi)存數(shù)查看系統(tǒng)內(nèi)存的總量，與正常情況進(jìn)行比較 檢查系統(tǒng)內(nèi)存高端的內(nèi)容，來(lái)判斷其中的代碼是否可疑校驗(yàn)和法特點(diǎn) 方法 優(yōu)缺點(diǎn)行為監(jiān)測(cè)法（實(shí)時(shí)監(jiān)控法）監(jiān)測(cè)病毒的行為特征 病毒防火墻 優(yōu)缺點(diǎn)軟件模擬法變形病毒類型第一類變形計(jì)算機(jī)病毒的特性：具備普通計(jì)算機(jī)病毒所具有的基本特性第二類變形計(jì)算機(jī)病毒的特性：除了具備一維變形計(jì)算機(jī)病毒的特性外，并且那些變化的代碼相互間的排列距離（相對(duì)空間位置）也是變化的，這種病毒稱為二維變形計(jì)算機(jī)病毒第三類變形計(jì)算機(jī)病毒的特性：具備二維變形計(jì)算機(jī)病毒的特性，并且能分裂后分別潛藏在幾處，當(dāng)計(jì)算機(jī)病毒引擎被激發(fā)后都能自我恢復(fù)成一個(gè)完整的計(jì)算機(jī)病毒第四類變形計(jì)算機(jī)病毒的特性：具備三維變形計(jì)算機(jī)病毒的特性，并且這些特性隨時(shí)間動(dòng)態(tài)變化。例如，在染毒的計(jì)算機(jī)中，剛開機(jī)時(shí)計(jì)算機(jī)病毒在內(nèi)存里變化為一個(gè)樣子，一段時(shí)間后變成另一個(gè)樣子，再次開機(jī)后計(jì)算機(jī)病毒在內(nèi)存里又是一個(gè)不同的樣子。檢測(cè) 特征代碼法將軟件模擬技術(shù)又稱為解密引擎、虛擬機(jī)技術(shù)、虛擬執(zhí)行技術(shù)或軟件仿真技術(shù)新型病毒檢測(cè)工具啟發(fā)式代碼掃描技術(shù)啟發(fā)式掃描通常應(yīng)設(shè)立的標(biāo)志 誤報(bào)/漏報(bào) 如何處理虛警謊報(bào) 傳統(tǒng)掃描技術(shù)與啟發(fā)式代碼分析掃描技術(shù)的結(jié)合運(yùn)用 其他掃描技術(shù) 啟發(fā)式反毒技術(shù)的未來(lái)展望主動(dòng)內(nèi)核技術(shù)能在操作系統(tǒng)和網(wǎng)絡(luò)的內(nèi)核中加入反計(jì)算機(jī)病毒功能，使反計(jì)算機(jī)病毒成為系統(tǒng)本身的底層模塊，而不是一個(gè)系統(tǒng)外部的應(yīng)用軟件。嵌入操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)底層，實(shí)現(xiàn)各種反毒模塊與操作系統(tǒng)和網(wǎng)絡(luò)無(wú)縫連接的反計(jì)算機(jī)病毒技術(shù)，實(shí)現(xiàn)起來(lái)難度極大。ActiveK（主動(dòng)內(nèi)核）技術(shù)的要點(diǎn)在于它采用了與“主動(dòng)反應(yīng)裝甲”同樣的概念，能夠在計(jì)算機(jī)病毒突破計(jì)算機(jī)系統(tǒng)軟、硬件的瞬間發(fā)生作用。病毒分析法（1）確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有計(jì)算機(jī)病毒。（2）確認(rèn)計(jì)算機(jī)病毒的類型和種類，判定其是否是一種新計(jì)算機(jī)病毒。（3）搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字符串或特征字，用于增添到計(jì)算機(jī)病毒代碼庫(kù)以供計(jì)算機(jī)病毒掃描和識(shí)別程序用。（4）詳細(xì)分析計(jì)算機(jī)病毒代碼，為制定相應(yīng)的反計(jì)算機(jī)病毒措施制定方案。感染實(shí)驗(yàn)法檢測(cè)未知引導(dǎo)型計(jì)算機(jī)病毒的感染實(shí)驗(yàn)法檢測(cè)未知文件型計(jì)算機(jī)病毒的感染實(shí)驗(yàn)法算法掃描法針對(duì)多形態(tài)的計(jì)算機(jī)病毒的算法部分進(jìn)行掃描語(yǔ)義分析法惡意代碼的語(yǔ)義分析語(yǔ)義反洗方法虛擬機(jī)分析法虛擬機(jī)的類型虛擬執(zhí)行反計(jì)算機(jī)病毒的虛擬機(jī)運(yùn)行流程反虛擬機(jī)技術(shù)分析4.4計(jì)算機(jī)網(wǎng)絡(luò)病毒的檢測(cè)計(jì)算機(jī)病毒入侵檢測(cè)智能引導(dǎo)技術(shù)嵌入式殺毒技術(shù)未知病毒查殺技術(shù)4.5計(jì)算機(jī)病毒檢測(cè)的作用堵塞病毒傳播保護(hù)數(shù)據(jù)和文件打擊病毒違法行為為新的病毒檢測(cè)積累技術(shù)4.6計(jì)算機(jī)病毒檢測(cè)技術(shù)的實(shí)現(xiàn)實(shí)時(shí)監(jiān)控識(shí)別、掃描清除和更新病毒庫(kù)系統(tǒng)恢復(fù)病毒檢測(cè)的原理：殺毒軟件的功能：習(xí)題1．簡(jiǎn)述計(jì)算機(jī)病毒防范的原則是什么？2．分析計(jì)算機(jī)病毒檢測(cè)的基本方法有哪幾種，各自具有什么特點(diǎn)，各自適應(yīng)的場(chǎng)合是什么？3．特征代碼段的選取方法是什么？該種方法能檢測(cè)出何種計(jì)算機(jī)病毒種類？4．啟發(fā)式代碼掃描的標(biāo)志位的含義是什么？5．簡(jiǎn)述系統(tǒng)數(shù)據(jù)對(duì)比法在病毒檢測(cè)技術(shù)中的重要性。6．簡(jiǎn)述變形病毒的類型，并分析哪種手段對(duì)檢測(cè)該類病毒有效，如何實(shí)現(xiàn)？7．校驗(yàn)和法檢測(cè)病毒的優(yōu)缺點(diǎn)是什么？8請(qǐng)針對(duì)幾種已知的病毒的特征，分析它們的特征碼，并寫出檢測(cè)這些特征的程序。例如：蠕蟲、木馬等。9.討論病毒的特征碼掃描機(jī)制，這里特征碼類別包括文件特征碼和內(nèi)存特征碼，其中文件特征碼包括單一文件特征碼、復(fù)合文件特征碼；內(nèi)存特征碼包括單一內(nèi)存特征碼、復(fù)合內(nèi)存特征碼。請(qǐng)給出典型的病毒的文件特征碼、內(nèi)存特征碼（要求具有單特征、多特征的各至少一種病毒）。10.基于PE文件的結(jié)構(gòu)，討論在PE文件的哪些部分可以嵌入病毒代碼？并寫程序?qū)崿F(xiàn)PE文件的加載、重定位和執(zhí)行過(guò)程（參見(jiàn)實(shí)驗(yàn)附錄—實(shí)驗(yàn)2）（提示插入代碼到PE文件，有三種方式可以插入代碼到PE文件：1．把代碼加入到一個(gè)存在的Section的未用空間里。2．?dāng)U大一個(gè)存在的Section，然后把代碼加入。3．新增一個(gè)Section。）11.編程的習(xí)題請(qǐng)見(jiàn)教材109-110第5章典型計(jì)算機(jī)病毒的原理、防范和清除第5章典型計(jì)算機(jī)病毒的原理、防范和清除計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù) 引導(dǎo)區(qū)計(jì)算機(jī)病毒 文件型病毒 文件與引導(dǎo)復(fù)合型病毒 腳本病毒 宏病毒 特洛伊木馬病毒 蠕蟲病毒 黑客型病毒 后門病毒 不同操作系統(tǒng)的計(jì)算機(jī)病毒壓縮文件病毒安全建議5.1計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù)計(jì)算機(jī)病毒防范的概念和原則 計(jì)算機(jī)病毒預(yù)防基本技術(shù) 清除計(jì)算機(jī)病毒的一般性原則 清除計(jì)算機(jī)病毒的基本方法 治療計(jì)算機(jī)病毒的一般過(guò)程 計(jì)算機(jī)病毒預(yù)防技術(shù) 計(jì)算機(jī)病毒免疫技術(shù) 漏洞掃描技術(shù) 實(shí)時(shí)反病毒技術(shù) 防范計(jì)算機(jī)病毒的特殊方法計(jì)算機(jī)病毒防范的概念和原則計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。計(jì)算機(jī)病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，即使是良性計(jì)算機(jī)病毒，至少也要占用少量的系統(tǒng)空間，影響系統(tǒng)的正常運(yùn)行。防治計(jì)算機(jī)病毒應(yīng)以預(yù)防為主。預(yù)防計(jì)算機(jī)病毒是主動(dòng)的，主要表現(xiàn)在監(jiān)測(cè)行為的動(dòng)態(tài)性和防范方法的廣譜性。防毒的重點(diǎn)是控制計(jì)算機(jī)病毒的傳染，防毒的關(guān)鍵是對(duì)計(jì)算機(jī)病毒行為的判斷，如何有效地辨別計(jì)算機(jī)病毒行為與正常程序行為是防毒成功與否的重要因素，防毒對(duì)于不按現(xiàn)有計(jì)算機(jī)病毒機(jī)理設(shè)計(jì)的新計(jì)算機(jī)病毒也可能無(wú)能為力。消毒是被動(dòng)的，只有發(fā)現(xiàn)計(jì)算機(jī)病毒后，對(duì)其剖析、選取特征串，才能設(shè)計(jì)出該“已知”計(jì)算機(jī)病毒的殺毒軟件。一方面，發(fā)現(xiàn)計(jì)算機(jī)病毒時(shí)，可能該計(jì)算機(jī)病毒已經(jīng)流行起來(lái)或者已經(jīng)造成破壞；另一方面，就是管理上的問(wèn)題，許多人并不是警鐘長(zhǎng)鳴，也不可能隨時(shí)隨地去執(zhí)行殺毒軟件。被動(dòng)消除計(jì)算機(jī)病毒只能治標(biāo)，只有主動(dòng)預(yù)防計(jì)算機(jī)病毒才是防治計(jì)算機(jī)病毒的根本。因此，“預(yù)防勝于治療”。計(jì)算機(jī)病毒防治應(yīng)采取“主動(dòng)預(yù)防為主，被動(dòng)處理結(jié)合”的策略，偏廢哪一方面都是不應(yīng)該的。計(jì)算機(jī)病毒預(yù)防基本技術(shù)（1）將大量的消毒/殺毒軟件匯集一體，檢查是否存在已知計(jì)算機(jī)病毒，如在開機(jī)時(shí)或在執(zhí)行每一個(gè)可執(zhí)行文件前執(zhí)行掃描程序。（2）檢測(cè)一些計(jì)算機(jī)病毒經(jīng)常要改變的系統(tǒng)信息，如引導(dǎo)區(qū)、中斷向量表、可用內(nèi)存空間等，以確定是否存在計(jì)算機(jī)病毒行為。（3）監(jiān)測(cè)寫盤操作，對(duì)引導(dǎo)區(qū)（BR）或主引導(dǎo)區(qū)（MBR）的寫操作報(bào)警。若有一個(gè)程序?qū)蓤?zhí)行文件進(jìn)行寫操作，就認(rèn)為該程序可能是計(jì)算機(jī)病毒，阻擊其寫操作，并報(bào)警。（4）對(duì)計(jì)算機(jī)系統(tǒng)中的文件形成一個(gè)密碼檢驗(yàn)碼和實(shí)現(xiàn)對(duì)程序完整性的驗(yàn)證，在程序執(zhí)行前或定期對(duì)程序進(jìn)行密碼校驗(yàn)，如有不匹配現(xiàn)象即報(bào)警。（5）智能判斷型：設(shè)計(jì)計(jì)算機(jī)病毒行為過(guò)程判定知識(shí)庫(kù)，應(yīng)用人工智能技術(shù)，有效區(qū)分正常程序與計(jì)算機(jī)病毒程序行為，是否誤報(bào)警取決于知識(shí)庫(kù)選取的合理性。（6）智能監(jiān)察型：設(shè)計(jì)計(jì)算機(jī)病毒特征庫(kù)（靜態(tài)）、計(jì)算機(jī)病毒行為知識(shí)庫(kù)（動(dòng)態(tài)）、受保護(hù)程序存取行為知識(shí)庫(kù)（動(dòng)態(tài)）等多個(gè)知識(shí)庫(kù)及相應(yīng)的可變推理機(jī)制。清除計(jì)算機(jī)病毒的一般性原則（1）計(jì)算機(jī)病毒的清除工作最好在無(wú)毒的環(huán)境中進(jìn)行。（2）在啟動(dòng)系統(tǒng)的系統(tǒng)盤和殺毒軟件盤上加寫保護(hù)標(biāo)簽。（3）在清除計(jì)算機(jī)病毒之前，一定要確認(rèn)系統(tǒng)或文件確實(shí)存在計(jì)算機(jī)病毒，并且準(zhǔn)確判斷出計(jì)算機(jī)病毒的種類，以保證殺毒的有效性。（4）殺毒工作要深入而全面，為保證其工作過(guò)程的正確性，要對(duì)檢測(cè)到的計(jì)算機(jī)病毒進(jìn)行認(rèn)真的分析研究，找出計(jì)算機(jī)病毒的宿主程序，確定其計(jì)算機(jī)病毒標(biāo)識(shí)符和感染對(duì)象，即搞清楚計(jì)算機(jī)病毒感染的是引導(dǎo)區(qū)還是文件，或者是既感染引導(dǎo)區(qū)，又感染文件，同時(shí)要弄清計(jì)算機(jī)病毒感染宿主程序的方法，對(duì)自身加密的計(jì)算機(jī)病毒要引起重視，把修改過(guò)的文件轉(zhuǎn)換過(guò)來(lái)，以便找出清除計(jì)算機(jī)病毒的最佳方法。如果隨便清除計(jì)算機(jī)病毒，可能造成系統(tǒng)或文件不能運(yùn)行。（5）盡量不要使用激活計(jì)算機(jī)病毒的方法檢測(cè)計(jì)算機(jī)病毒，因?yàn)樵诩せ钣?jì)算機(jī)病毒的同時(shí)，計(jì)算機(jī)系統(tǒng)有可能已經(jīng)被破壞了。（6）一般不能用計(jì)算機(jī)病毒標(biāo)識(shí)免疫方法清除計(jì)算機(jī)病毒。（7）一定要干凈徹底地清除計(jì)算機(jī)及磁盤上所有的同一計(jì)算機(jī)病毒，對(duì)于混合型計(jì)算機(jī)病毒，既要清除文件中的計(jì)算機(jī)病毒代碼，還要清除引導(dǎo)區(qū)中的計(jì)算機(jī)病毒代碼，以防止這些計(jì)算機(jī)病毒代碼再次重新生成計(jì)算機(jī)病毒。（8）對(duì)于同一宿主程序被幾個(gè)計(jì)算機(jī)病毒交叉感染或重復(fù)感染的，要按感染的逆順序從后向前依次清除計(jì)算機(jī)病毒。清除計(jì)算機(jī)病毒的基本方法簡(jiǎn)單工具治療:使用Debug等簡(jiǎn)單工具，借助檢測(cè)者對(duì)某種計(jì)算機(jī)病毒的具體知識(shí)，從感染計(jì)算機(jī)病毒的軟件中摘除計(jì)算機(jī)病毒代碼。專用工具治療:專用計(jì)算機(jī)病毒治療工具，根據(jù)對(duì)計(jì)算機(jī)病毒特征的記錄，自動(dòng)清除感染程序中的計(jì)算機(jī)病毒代碼，使之得以恢復(fù)。治療計(jì)算機(jī)病毒的一般過(guò)程剖析計(jì)算機(jī)病毒樣本對(duì)計(jì)算機(jī)病毒所做的剖析比為檢測(cè)計(jì)算機(jī)病毒而做的剖析更為細(xì)致和精確。因?yàn)椋瑱z測(cè)計(jì)算機(jī)病毒只要把握計(jì)算機(jī)病毒的特征，能夠識(shí)別計(jì)算機(jī)病毒即可，對(duì)感染計(jì)算機(jī)病毒的軟件不做任何改動(dòng)研制計(jì)算機(jī)病毒實(shí)驗(yàn)樣本修改計(jì)算機(jī)病毒的感染條件，使之放寬或變成無(wú)條件。修改計(jì)算機(jī)病毒表現(xiàn)動(dòng)作的觸發(fā)條件，使之放寬或者變成無(wú)條件惡作劇者大多是那些對(duì)計(jì)算機(jī)知識(shí)和技術(shù)均有興趣的人，并且特別熱衷那些別人認(rèn)為是不可能做成的事情摘除計(jì)算機(jī)病毒代碼引導(dǎo)型計(jì)算機(jī)病毒文件型計(jì)算機(jī)病毒治療計(jì)算機(jī)病毒要求對(duì)操作系統(tǒng)、文件結(jié)構(gòu)和計(jì)算機(jī)病毒的具體特征等有足夠了解，才能恰當(dāng)?shù)貜娜径境绦蛑姓?jì)算機(jī)病毒代碼，使之恢復(fù)正常計(jì)算機(jī)病毒預(yù)防技術(shù)（1）用戶養(yǎng)成良好的使用計(jì)算機(jī)的習(xí)慣。（2）軟件備份。（3）軟件試驗(yàn)和生產(chǎn)過(guò)程的控制。計(jì)算機(jī)病毒免疫技術(shù)針對(duì)某一種計(jì)算機(jī)病毒進(jìn)行的計(jì)算機(jī)病毒免疫 （1）對(duì)于不設(shè)有感染標(biāo)識(shí)的計(jì)算機(jī)病毒不能達(dá)到免疫的目的。（2）當(dāng)出現(xiàn)這種計(jì)算機(jī)病毒的變種不再使用這個(gè)免疫標(biāo)志時(shí)，或出現(xiàn)新計(jì)算機(jī)病毒時(shí)，免疫標(biāo)志發(fā)揮不了作用。（3）某些計(jì)算機(jī)病毒的免疫標(biāo)志不容易仿制，如非要加上這種標(biāo)志不可則需對(duì)原來(lái)的文件要做大的改動(dòng)。（4）由于計(jì)算機(jī)病毒的種類較多，又由于技術(shù)上的原因，不可能對(duì)一個(gè)對(duì)象加上各種計(jì)算機(jī)病毒的免疫標(biāo)識(shí)，這就使得該對(duì)象不能對(duì)所有的計(jì)算機(jī)病毒具有免疫作用。（5）這種方法能阻止傳染，卻不能阻止計(jì)算機(jī)病毒的破壞行為，仍然放任計(jì)算機(jī)病毒駐留在內(nèi)存中。

基于自我完整性檢查的計(jì)算機(jī)病毒的免疫方法（1）每個(gè)受到保護(hù)的文件都要增加1KB～3KB，需要額外的存儲(chǔ)空間。（2）現(xiàn)在使用中的一些校驗(yàn)碼算法不能滿足防計(jì)算機(jī)病毒的需要，這樣被某些種類的計(jì)算機(jī)病毒感染的文件不能被檢查出來(lái)。（3）無(wú)法對(duì)付覆蓋方式的文件型計(jì)算機(jī)病毒。（4）有些類型的文件不能使用外加免疫外殼的防護(hù)方法，這樣將使那些文件不能正常執(zhí)行。（5）當(dāng)某些尚不能被計(jì)算機(jī)病毒檢測(cè)軟件檢查出來(lái)的計(jì)算機(jī)病毒感染了一個(gè)文件，而該文件又被免疫外殼包在里面時(shí)，這個(gè)計(jì)算機(jī)病毒就像穿了“保護(hù)盔甲”，使查毒軟件查不到它，而它卻能在得到運(yùn)行機(jī)會(huì)時(shí)跑出來(lái)繼續(xù)傳染擴(kuò)散。漏洞掃描技術(shù)制定掃描周期表應(yīng)體現(xiàn)下列原則與系統(tǒng)配置修改掛鉤，當(dāng)配置修改完畢即執(zhí)行漏洞掃描與漏洞庫(kù)及漏洞掃描器軟件升級(jí)掛鉤，當(dāng)升級(jí)完畢即執(zhí)行漏洞掃描。與漏洞修補(bǔ)工作掛鉤，當(dāng)修補(bǔ)工作完畢即執(zhí)行漏洞掃描。漏洞掃描工作是主機(jī)系統(tǒng)安全的初期工作，是發(fā)現(xiàn)漏洞的過(guò)程。如果發(fā)現(xiàn)漏洞卻不去修補(bǔ)，漏洞掃描就毫無(wú)意義漏洞修補(bǔ)措施的原則如下完成漏洞報(bào)告分析，主要分清漏洞產(chǎn)生的原因、系統(tǒng)管理員誤配置、系統(tǒng)和軟件自身的缺陷、黑客行為（如木馬程序）。對(duì)于系統(tǒng)管理員誤配置，應(yīng)及時(shí)參考有關(guān)手冊(cè)，得出正確的配置方案并對(duì)誤配置進(jìn)行更正。對(duì)于操作系統(tǒng)和應(yīng)用軟件自身的缺陷，應(yīng)該向開發(fā)商尋求升級(jí)版本或有關(guān)補(bǔ)丁（patch）。對(duì)于黑客行為，關(guān)鍵要弄清楚其留下的木馬或后門（BackDoor）的原理和位置，并及時(shí)清除。漏洞庫(kù)和系統(tǒng)配置標(biāo)準(zhǔn)規(guī)則的升級(jí)主要來(lái)自3個(gè)方面對(duì)于商業(yè)軟件，可從開發(fā)商手中獲取升級(jí)信息。系統(tǒng)管理員直接從諸如等安全網(wǎng)站下載漏洞信息，自己進(jìn)行升級(jí)。系統(tǒng)管理員根據(jù)自己的工作經(jīng)驗(yàn)特別是與黑客較量中獲得的經(jīng)驗(yàn)教訓(xùn)，自己編制漏洞庫(kù)以進(jìn)行升級(jí)實(shí)時(shí)反病毒技術(shù)為防治計(jì)算機(jī)病毒，可將重要的DOS引導(dǎo)文件和重要系統(tǒng)文件類似于網(wǎng)絡(luò)無(wú)盤工作站那樣固化到計(jì)算機(jī)的BIOS中，以避免計(jì)算機(jī)病毒對(duì)這些文件的感染。這可算是實(shí)時(shí)化反計(jì)算機(jī)病毒概念的雛形。實(shí)時(shí)反計(jì)算機(jī)病毒技術(shù)一向?yàn)榉从?jì)算機(jī)病毒界所看好，被認(rèn)為是比較徹底的反計(jì)算機(jī)病毒解決方案。多年來(lái)其發(fā)展之所以受到制約，一方面是因?yàn)樗枰加靡徊糠窒到y(tǒng)資源而降低系統(tǒng)性能，使用戶感到不堪忍受；另一方面是因?yàn)樗c其他軟件（特別是操作系統(tǒng)）的兼容性問(wèn)題始終沒(méi)有得到很好的解決。防范計(jì)算機(jī)病毒的特殊方法（1）經(jīng)常對(duì)硬盤上的文件進(jìn)行備份，這樣不但在硬盤遭受破壞或無(wú)意格式化操作后能及時(shí)得到恢復(fù)，而且在計(jì)算機(jī)病毒侵害后也能得以恢復(fù)。（2）對(duì)硬盤的引導(dǎo)扇區(qū)及分區(qū)表做一備份。破壞系統(tǒng)分區(qū)表或引導(dǎo)扇區(qū)的計(jì)算機(jī)病毒尤為惡劣，將造成硬盤不能使用，故應(yīng)對(duì)分區(qū)表及引導(dǎo)扇區(qū)做備份，以便在遭到破壞時(shí)能恢復(fù)。。（3）要經(jīng)常檢查可執(zhí)行程序（.EXE和.COM文件）的長(zhǎng)度，對(duì)這些文件采取一些簡(jiǎn)單的加密，防止程序被感染。（4）凡不需要再寫入數(shù)據(jù)的磁盤都應(yīng)該具有防寫保護(hù)。（5）不要使用來(lái)歷不明或不是正當(dāng)途徑復(fù)制的程序盤。（6）對(duì)于執(zhí)行重要工作的計(jì)算機(jī)要專機(jī)專用、專盤專用；對(duì)交換的軟件及數(shù)據(jù)文件要進(jìn)行檢查，確定無(wú)計(jì)算機(jī)病毒時(shí)方可使用。（7）已發(fā)現(xiàn)計(jì)算機(jī)遭受計(jì)算機(jī)病毒感染，應(yīng)盡快隔離此計(jì)算機(jī)病毒。如不明是何種計(jì)算機(jī)病毒或沒(méi)有有效的殺毒軟件時(shí)，可對(duì)硬盤和該染毒的軟盤進(jìn)行格式化。（8）要使用國(guó)家安全部門認(rèn)可的消計(jì)算機(jī)病毒軟件，定期對(duì)計(jì)算機(jī)進(jìn)行殺毒。5.2引導(dǎo)區(qū)計(jì)算機(jī)病毒引導(dǎo)區(qū)是在系統(tǒng)引導(dǎo)的時(shí)候，進(jìn)入到系統(tǒng)中，獲得對(duì)系統(tǒng)的控制權(quán)，在完成其自身的安裝后才去引導(dǎo)系統(tǒng)的。引導(dǎo)區(qū)計(jì)算機(jī)病毒是因?yàn)檫@類計(jì)算機(jī)病毒一般是都侵占系統(tǒng)硬盤的主引導(dǎo)扇區(qū)或I/O分區(qū)的引導(dǎo)扇區(qū)，對(duì)于軟盤則侵占了軟盤的引導(dǎo)扇區(qū)。原理1．系統(tǒng)引導(dǎo)型計(jì)算機(jī)病毒的運(yùn)行方式在進(jìn)行其自身的安裝時(shí)，一般都要修改系統(tǒng)的中斷向量，使之指向計(jì)算機(jī)病毒程序相應(yīng)服務(wù)都分。這樣在系統(tǒng)運(yùn)行時(shí)只要使用到這些中斷向量，或者滿足計(jì)算機(jī)病毒程序設(shè)定的某些特定條件，就將觸發(fā)計(jì)算機(jī)病毒程序進(jìn)行傳播和破壞。通過(guò)對(duì)系統(tǒng)中斷向量的篡改，從而使原來(lái)只是駐留在軟、硬盤導(dǎo)扇區(qū)中的計(jì)算機(jī)病毒程序由靜態(tài)轉(zhuǎn)變?yōu)閯?dòng)態(tài)，具有了隨時(shí)向外進(jìn)行傳播和對(duì)系統(tǒng)進(jìn)行破壞的能力。2．系統(tǒng)引導(dǎo)型計(jì)算機(jī)病毒的傳播方式系統(tǒng)引導(dǎo)型計(jì)算機(jī)病毒的傳染對(duì)象主要是軟盤的引導(dǎo)扇區(qū)和硬盤的主引導(dǎo)扇區(qū)（也叫分區(qū)扇區(qū)）及硬盤分區(qū)的引導(dǎo)扇區(qū)。根據(jù)這類計(jì)算機(jī)病毒的傳染特點(diǎn)，其傳染的一般方式為：由含有計(jì)算機(jī)病毒的系統(tǒng)感染在該系統(tǒng)中進(jìn)行讀、寫操作的所有軟盤，然后再由這些軟盤以復(fù)制的方式（靜態(tài)傳染）和引導(dǎo)進(jìn)入到其他計(jì)算機(jī)系統(tǒng)的方式（動(dòng)態(tài)傳染），感染其他計(jì)算機(jī)的硬盤和計(jì)算機(jī)系統(tǒng)。3．系統(tǒng)引導(dǎo)型計(jì)算機(jī)病毒的破壞或表現(xiàn)方式這類計(jì)算機(jī)病毒的表現(xiàn)方式變化多樣，它們反映了計(jì)算機(jī)病毒編制者的目的。其中破壞最嚴(yán)重的是格式化整張磁盤（如“磁盤殺手”病毒），另外還有破壞目錄區(qū)（如“大麻”病毒和“磁盤殺手”病毒），還有一些計(jì)算機(jī)病毒破壞系統(tǒng)與外設(shè)的連接（如“2708”計(jì)算機(jī)病毒，它封鎖打印機(jī)破壞正常操作）等。對(duì)于計(jì)算機(jī)病毒的破壞方式，我們只要能充分認(rèn)識(shí)到其危險(xiǎn)性，了解其發(fā)作的特點(diǎn)和時(shí)間，就能識(shí)別出所發(fā)現(xiàn)的計(jì)算機(jī)病毒與其他的計(jì)算機(jī)病毒的不同，預(yù)防引導(dǎo)型計(jì)算機(jī)病毒一般在啟動(dòng)計(jì)算機(jī)時(shí)，優(yōu)先取得控制權(quán)，搶占內(nèi)存。通常情況下，只要盡量不用軟盤或用干凈的軟盤啟動(dòng)系統(tǒng)，是不會(huì)染上引導(dǎo)型計(jì)算機(jī)病毒的。對(duì)軟盤進(jìn)行寫保護(hù)，可以很好地保護(hù)軟盤不被非法寫入，從而不感染上引導(dǎo)型計(jì)算機(jī)病毒。軟盤可以用寫保護(hù)的方法來(lái)保證磁盤中數(shù)據(jù)的安全，而硬盤至今為止大都沒(méi)有這樣的裝置，硬盤處于隨時(shí)隨地都可以改寫的狀態(tài)，。采取用軟件來(lái)保護(hù)硬盤的措施。對(duì)于磁盤的寫操作有兩種中斷方法，即BIOS中的INT13H的3號(hào)功能和INT26H中的絕對(duì)磁盤寫中斷，而INT26H的磁盤操作最終是由INT13H實(shí)施的，并且INT26H的入口處參數(shù)是邏輯扇區(qū)號(hào)，它不能對(duì)硬盤的主引導(dǎo)扇區(qū)進(jìn)行操作，所以只要監(jiān)視INT13H的3號(hào)功能，就可以控制整個(gè)硬盤的寫操作，使硬盤的敏感部位（如主引導(dǎo)扇區(qū)、DOS引導(dǎo)區(qū)、FAT等）不被改寫，保證硬盤的安全；并隨時(shí)監(jiān)視INT13H的3號(hào)功能，當(dāng)有對(duì)硬盤的寫操作時(shí)，將暫停程序執(zhí)行，在屏幕上顯示當(dāng)前將要操作的硬盤物理位置，即磁頭號(hào)、磁盤號(hào)和扇區(qū)號(hào)，等待用戶進(jìn)行選擇。檢測(cè)1．查看系統(tǒng)內(nèi)存的總量、與正常情況進(jìn)行比較查看系統(tǒng)內(nèi)存的總量、與正常情況進(jìn)行比較，一般對(duì)于有640KB基本內(nèi)存的系統(tǒng)，用DOS的CHKDSK命令檢查時(shí)，顯示此時(shí)總內(nèi)存數(shù)為655360字節(jié)。對(duì)于COMPAQ機(jī)和Olivetti機(jī)，其系統(tǒng)內(nèi)存總量為639KB（系統(tǒng)占用IKB）。此時(shí)屏幕上顯示的數(shù)值為654336。如果系統(tǒng)中有系統(tǒng)引導(dǎo)型計(jì)算機(jī)病毒，一般這個(gè)數(shù)值一定要減少。減少的數(shù)量根據(jù)該種計(jì)算機(jī)病毒所占內(nèi)存的不同而不同。2．檢查系統(tǒng)內(nèi)存高端的內(nèi)容檢查系統(tǒng)內(nèi)存高端的內(nèi)容，判斷其代碼是否可疑。一般在系統(tǒng)剛引導(dǎo)時(shí)，在內(nèi)存的高端很少有駐留的程序。當(dāng)發(fā)現(xiàn)系統(tǒng)內(nèi)存減少時(shí)，可以進(jìn)一步用Debug查看內(nèi)存高端駐留代碼的內(nèi)存，與正常情況進(jìn)行比較。這需要有一定的經(jīng)驗(yàn)，并且需要用戶對(duì)匯編語(yǔ)言和Debug程序有一定的了解。3．檢查系統(tǒng)的INT13H中斷向量檢查系統(tǒng)的INT13H中斷向量與正常情況進(jìn)行比較，因?yàn)橛?jì)算機(jī)病毒程序要向外進(jìn)行傳播，所以該種類型的計(jì)算機(jī)病毒一般修改系統(tǒng)的INT13H中斷向量，使之指向計(jì)算機(jī)病毒程序的傳播部分。此時(shí)，我們可以檢查系統(tǒng)0：004C～0：004F處INT13中斷向量的地址，與系統(tǒng)正常情況進(jìn)行比較。4．檢查硬盤的主引導(dǎo)扇區(qū)、DOS分區(qū)引導(dǎo)扇區(qū)及軟盤的引導(dǎo)扇區(qū)硬盤DOS分區(qū)的引導(dǎo)扇區(qū)和軟盤的引導(dǎo)扇區(qū)，除了首部的BPB表參數(shù)不同外，其余的引導(dǎo)代碼是一樣的，其作用是引導(dǎo)系統(tǒng)的啟動(dòng)過(guò)程，用戶此時(shí)也是取出這些扇區(qū)與正常的內(nèi)容進(jìn)行比較來(lái)確定是否被計(jì)算機(jī)病毒感染。通過(guò)以上幾項(xiàng)檢查，可以初步判斷用戶的系統(tǒng)中或軟、硬盤上是否含有計(jì)算機(jī)病毒。應(yīng)該注意的是，比較的前提是用戶需要預(yù)先將系統(tǒng)中斷及將軟、硬盤引導(dǎo)扇區(qū)的內(nèi)容提取出來(lái)，保存在一個(gè)軟盤中，以作為進(jìn)行計(jì)算機(jī)病毒檢查時(shí)的比較資料。清除消除這類計(jì)算機(jī)病毒的基本思想是：用原來(lái)正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。對(duì)于那些對(duì)分區(qū)表和引導(dǎo)扇區(qū)內(nèi)容進(jìn)行搬移的計(jì)算機(jī)病毒，則要分析這段計(jì)算機(jī)病毒程序，找到被搬移的正常引導(dǎo)扇區(qū)內(nèi)容的存放地址，將它們讀到內(nèi)存中，寫回到被計(jì)算機(jī)病毒程序侵占的扇區(qū)；如果對(duì)于那些不對(duì)分區(qū)表進(jìn)行搬移的計(jì)算機(jī)病毒，則只有從一個(gè)與該計(jì)算機(jī)硬盤相近的機(jī)器中提取出正常的分區(qū)記錄的信息，將其讀入內(nèi)存，再將被計(jì)算機(jī)病毒覆蓋的分區(qū)記錄也讀到內(nèi)存中，取其尾部64字節(jié)分區(qū)信息內(nèi)容，放到讀入的正常分區(qū)記錄內(nèi)容的相應(yīng)部分，最后再將其內(nèi)容寫回硬盤。應(yīng)該指出的是，以上的解毒過(guò)程，應(yīng)是在系統(tǒng)無(wú)毒的狀態(tài)下進(jìn)行。當(dāng)然，最簡(jiǎn)單、安全的清除方式還是使用專業(yè)的殺毒軟件來(lái)消除這類計(jì)算機(jī)病毒。5.3文件型病毒文件型計(jì)算機(jī)病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時(shí)候，引導(dǎo)計(jì)算機(jī)病毒程序也進(jìn)入到系統(tǒng)中。只有極少計(jì)算機(jī)病毒程序感染數(shù)據(jù)文件。原理1．文件型計(jì)算機(jī)病毒的運(yùn)行方式對(duì)于文件型計(jì)算機(jī)病毒而言，由于它們多數(shù)是依附在系統(tǒng)可執(zhí)行的文件上，所以它引導(dǎo)進(jìn)入系統(tǒng)的方式，與系統(tǒng)可執(zhí)行文件的裝入和執(zhí)行過(guò)程緊密相聯(lián)。當(dāng)計(jì)算機(jī)病毒程序感染一個(gè)可執(zhí)行文件后，它為了能夠使自已引導(dǎo)進(jìn)入到系統(tǒng)中，就必須修改原文件的頭部參數(shù)。2．文件型計(jì)算機(jī)病毒的傳染方式文件型計(jì)算機(jī)病毒的傳染對(duì)象大多被是系統(tǒng)可執(zhí)行文件，也有一些還要對(duì)覆蓋文件進(jìn)行傳染，而對(duì)數(shù)據(jù)進(jìn)行傳染的則較少見(jiàn)。在傳染過(guò)程中，這些計(jì)算機(jī)病毒程序或依附在文件的首部，或者依附在文件的尾部，都要使原可執(zhí)行文件的長(zhǎng)度增加若干字節(jié)。計(jì)算機(jī)病毒程序此時(shí)之所以具有向外傳染的能力預(yù)防凡是文件型計(jì)算機(jī)病毒，都要尋找一個(gè)宿主，然后寄生在宿主“體內(nèi)”，隨著宿主的活動(dòng)到處傳播。這些宿主基本都是可執(zhí)行文件?？蓤?zhí)行文件被感染，其表現(xiàn)癥狀為文件長(zhǎng)度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長(zhǎng)度不變而內(nèi)部信息被修改等。針對(duì)上述癥狀，可以設(shè)計(jì)一些預(yù)防文件型計(jì)算機(jī)病毒的方法：常駐內(nèi)存監(jiān)視INT21H中斷、給可執(zhí)行文件加上“自檢外殼”等。附加的“自檢外殼”不能和可執(zhí)行文件的代碼很好地融合，常常和原文件發(fā)生沖突，使原文件不能正常執(zhí)行。有時(shí)候，附加的“自檢外殼”會(huì)被認(rèn)為是一種新計(jì)算機(jī)病毒，附加的“自檢外殼”只能發(fā)現(xiàn)計(jì)算機(jī)病毒而無(wú)法清除。使用專有的程序給可執(zhí)行文件增加“自檢外殼”也會(huì)使計(jì)算機(jī)病毒制造者造出具有針對(duì)性的計(jì)算機(jī)病毒。在源程序中增加自檢及清除計(jì)算機(jī)病毒的功能。這種方法的優(yōu)點(diǎn)是可執(zhí)行文件從生成起，就有抗計(jì)算機(jī)病毒的能力，從而可以保證可執(zhí)行文件的干凈。自檢清除功能部分和可執(zhí)行文件的其他部分融為一體，不會(huì)和程序的其他功能沖突，也使計(jì)算機(jī)病毒制造者無(wú)法造出具有針對(duì)性的計(jì)算機(jī)病毒。預(yù)防文件型計(jì)算機(jī)病毒方法的核心就是使可執(zhí)行文件具有自檢功能，在被加載時(shí)檢測(cè)本身的幾項(xiàng)指標(biāo)：文件長(zhǎng)度、文件頭部信息、文件內(nèi)部抽樣信息、文件目錄表中有關(guān)信息等。其實(shí)現(xiàn)的過(guò)程是在使用匯編語(yǔ)言或其他高級(jí)語(yǔ)言時(shí)，先把上述有關(guān)的信息定義為若干大小固定的幾個(gè)變量，給每個(gè)變量先賦一個(gè)值，待匯編或編譯之后，根據(jù)可執(zhí)行文件中的有關(guān)信息，把源程序中的有關(guān)變量進(jìn)行修改，再重新匯編或編譯，就得到了所需的可執(zhí)行文件。檢測(cè)檢查文件中是否已染有某種病毒所依據(jù)的基本思想是：在一個(gè)文件的特定位置上，尋找該種病毒的特定標(biāo)識(shí)。如果存在，則認(rèn)為該文件已被這種病毒感染，這里稱這種方法為“檢查標(biāo)識(shí)法”。1．系統(tǒng)中含有計(jì)算機(jī)病毒的診斷2．對(duì)文件型計(jì)算機(jī)病毒進(jìn)行檢查3．文件型計(jì)算機(jī)病毒內(nèi)存駐留檢測(cè)程序件型計(jì)算機(jī)病毒按其駐留內(nèi)存方式可分為高端駐留型、內(nèi)存控制鏈駐留型、常規(guī)駐留型、設(shè)備程序補(bǔ)丁駐留型和不駐留內(nèi)存型。（1）高端駐留型計(jì)算機(jī)病毒是通過(guò)申請(qǐng)一個(gè)與計(jì)算機(jī)病毒體大小相同的內(nèi)存塊來(lái)獲得內(nèi)存控制塊鏈中最后一個(gè)區(qū)域頭，并通過(guò)減少最后一個(gè)區(qū)域頭的分配塊節(jié)數(shù)來(lái)減少內(nèi)存容量，而使計(jì)算機(jī)病毒駐留內(nèi)存高端可用區(qū)。（2）內(nèi)存控制鏈駐留型計(jì)算機(jī)病毒是將計(jì)算機(jī)病毒駐留在系統(tǒng)分配給宿主程序的位置，并為宿主程序重新創(chuàng)建一個(gè)內(nèi)存塊，通過(guò)修改內(nèi)存控制塊鏈，使得宿主程序結(jié)束后只回收宿主程序的內(nèi)存空間，從而達(dá)到計(jì)算機(jī)病毒駐留內(nèi)存的目的。（3）常規(guī)駐留型計(jì)算機(jī)病毒是采用DOS功能調(diào)用中的常駐退出的調(diào)用方式，將計(jì)算機(jī)病毒駐留在系統(tǒng)分配給宿主程序的空間中。（4）駐留內(nèi)存型計(jì)算機(jī)病毒在帶毒宿主程序駐留內(nèi)存的過(guò)程中一般是不進(jìn)行傳染的，它駐留在系統(tǒng)內(nèi)，通常通過(guò)改造INT21H的.EXEC（4BH）或查找文件（11H，12H，4EH，4FH），監(jiān)視待傳染的程序，并在系統(tǒng)執(zhí)行寫文件、改屬性、改文件名等操作時(shí)伺機(jī)傳染。（5）文件型計(jì)算機(jī)病毒在傳染文件時(shí)，需要打開待傳染的程序文件，并進(jìn)行寫操作，因此，利用DOS運(yùn)行可執(zhí)行文件時(shí)需要釋放多余的內(nèi)存塊，控制INT21H的49H功能塊，如果在該功能執(zhí)行之前檢測(cè)到寫盤操作，可認(rèn)定內(nèi)存有計(jì)算機(jī)病毒。（6）由于文件型計(jì)算機(jī)病毒是寄生在可執(zhí)行文件中，是在DOS引導(dǎo)啟動(dòng)后才激活的，因此，用硬卡實(shí)現(xiàn)和用軟件實(shí)現(xiàn)技術(shù)基本是一樣的，它們都是在DOS的外圍建立一個(gè)安全外殼，主要對(duì)在系統(tǒng)引導(dǎo)以后執(zhí)行的程序?qū)嵤z測(cè)，以防范寄生于可執(zhí)行文件中的計(jì)算機(jī)病毒。清除解毒可以分為如下4個(gè)步驟來(lái)進(jìn)行。（1）確定計(jì)算機(jī)病毒程序的位置，是駐留在文件的尾部還是在