淺析計(jì)算機(jī)病毒及防范措施-論文.doc

畢 業(yè) 論 文（設(shè) 計(jì)）課題名稱： 淺析計(jì)算機(jī)病毒及防范措施 系 別： 計(jì)算機(jī)科學(xué)與技術(shù) 專 業(yè)： 計(jì)算機(jī)應(yīng)用與維護(hù) 屆 別： 2008級(jí) 指導(dǎo)教師： 學(xué)生姓名： 2008 年 4 月 10 日目 錄第1章概述211計(jì)算機(jī)病毒的歷史212計(jì)算機(jī)病毒213計(jì)算機(jī)病毒的產(chǎn)生3131計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式3132計(jì)算機(jī)軟硬件產(chǎn)品的微弱性是根本的技術(shù)原因3132計(jì)算機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境314計(jì)算機(jī)病毒的基本特征3141非授權(quán)可執(zhí)行性3142隱蔽性4143傳染性4144潛伏性4145表現(xiàn)性或破壞性4146可觸發(fā)性4第2章 計(jì)算機(jī)病毒傳播和防護(hù)知識(shí)521計(jì)算機(jī)病毒的傳播途徑522對(duì)計(jì)算機(jī)病毒攻擊的防范523計(jì)算機(jī)的幾種主要病毒6第3章 計(jì)算機(jī)病毒發(fā)展趨勢(shì)和管理方法831計(jì)算機(jī)病毒的發(fā)展趁勢(shì)8311我們將與病毒長(zhǎng)久共存8312網(wǎng)絡(luò)蠕蟲(chóng)病毒的發(fā)展8313變形病毒11314變形病毒的基本類型12315特洛伊木馬與有害代碼14 316病毒的種類數(shù)量15317尋找抗病毒的有效方法1732對(duì)計(jì)算機(jī)病毒攻擊的防范的對(duì)策和方法19321對(duì)計(jì)算機(jī)病毒攻擊的防范對(duì)策19322對(duì)計(jì)算機(jī)病毒的方法20致 謝21參考文獻(xiàn)22淺析計(jì)算機(jī)病毒及防范措施【摘 要】：隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用，計(jì)算機(jī)病毒攻擊與防范技術(shù)也在不斷發(fā)展。據(jù)報(bào)道，世界各國(guó)遭受計(jì)算機(jī)病毒感染和攻擊的事件數(shù)以億計(jì)，嚴(yán)重地干擾了正常人類社會(huì)生活，給計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來(lái)了巨大的潛在威脅和破壞。在開(kāi)放的網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒的危害比以往要大得多，特別是近幾年，通過(guò)互聯(lián)網(wǎng)進(jìn)行傳播的病毒數(shù)量急劇增長(zhǎng)，危害范圍也不斷擴(kuò)大，由于計(jì)算機(jī)病毒帶來(lái)的經(jīng)濟(jì)損失數(shù)量是巨大的?！娟P(guān)鍵字】：計(jì)算機(jī)病毒、防范措施第1章 概述1、1計(jì)算機(jī)病毒的歷史1977年，thomas j ryan在科幻小說(shuō)p-1的青春中幻想一種計(jì)算機(jī)病毒可以從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)，最終控制了7000臺(tái)計(jì)算機(jī)。1983年美國(guó)計(jì)算機(jī)安全專家fredcohen博士在vax-11上通過(guò)實(shí)驗(yàn)證明了計(jì)算機(jī)病毒的存在。1986年，巴基斯坦倆兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認(rèn)的第一個(gè)傳染pc兼容機(jī)的病毒，并且很快在全球流行。1988年，小球病毒傳入我國(guó)，在幾個(gè)月之內(nèi)迅速傳染了20多個(gè)省、市，成為我國(guó)第一個(gè)病毒案例。此后，如同打開(kāi)的潘多拉的盒子，各種計(jì)算機(jī)病毒層出不窮。1、2計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其它一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體 。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤(pán)驅(qū)動(dòng)或引發(fā)了其它類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序，它仍然能通過(guò)占據(jù)存貯空間給你帶來(lái)麻煩，并降低你的計(jì)算機(jī)的全部性能?？梢詮牟煌嵌冉o出計(jì)算機(jī)病毒的定義。一種定義是通過(guò)磁盤(pán)和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散，能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤(pán)、內(nèi)存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播,使計(jì)算機(jī)的資源受到不同程序的破壞等等。這些說(shuō)法在某種意義上借用了生物學(xué)病毒的概念,計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞，同時(shí)能夠自我復(fù)制，具有傳染性。所以，計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)儲(chǔ)存介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。1、3計(jì)算機(jī)病毒的產(chǎn)生1、3、1計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式計(jì)算機(jī)病毒是高技術(shù)犯罪，具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證，風(fēng)險(xiǎn)小破壞大，從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。1、3、2計(jì)算機(jī)軟硬件產(chǎn)品的微弱性是根本的技術(shù)原因計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、儲(chǔ)存、處理、輸出等環(huán)節(jié)，易誤入，篡改、丟失、作假和破壞；程序易被刪除、改寫(xiě)；計(jì)算機(jī)軟件設(shè)計(jì)的手工方式,效率低下且生產(chǎn)周期長(zhǎng)；人們至今沒(méi)有辦法事先了解一個(gè)程序有沒(méi)有錯(cuò)誤, 只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤,并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。1、3、3計(jì)算機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境1983年11月3日美國(guó)計(jì)算機(jī)專家首次提出了計(jì)算機(jī)病毒的概念并驚醒了驗(yàn)證。幾年前計(jì)算機(jī)病毒就迅速蔓延，到我國(guó)才是近年來(lái)的事。而這幾年正是我國(guó)微型計(jì)算機(jī)普及應(yīng)用熱潮。微機(jī)的廣泛普及, 操作系統(tǒng)簡(jiǎn)單明了, 軟、硬件透明度高, 基本上沒(méi)有什么安全措施,能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶日益增多, 對(duì)其存在的缺點(diǎn)和易攻擊處也了解的越來(lái)越清楚, 不同的目的可以做出截然不同的選擇。目前, 在ibmpc系統(tǒng)及其兼容機(jī)上廣泛流行著各種病毒就很說(shuō)明這個(gè)問(wèn)題。1、4計(jì)算機(jī)病毒的基本特征1、4、1非授權(quán)可執(zhí)行性用戶通常調(diào)用執(zhí)行一個(gè)程序時(shí)，把系統(tǒng)控制交給這個(gè)程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運(yùn)行完成用戶的需求。因此程序執(zhí)行的過(guò)程對(duì)用戶是透明的。而計(jì)算機(jī)病毒是非法程序,正常用戶是不會(huì)明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性:可存儲(chǔ)性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當(dāng)用戶運(yùn)行正常程序時(shí),病毒伺機(jī)竊取到系統(tǒng)的控制權(quán),得以搶先運(yùn)行,然而此時(shí)用戶還認(rèn)為在執(zhí)行正常程序。1、4、2隱蔽性計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤(pán)引導(dǎo)扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可儲(chǔ)存性。病毒想方設(shè)法隱藏自身，就是為了防止用戶察覺(jué)。1、4、3傳染性傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。病毒程序一旦侵入計(jì)算機(jī)系統(tǒng)就開(kāi)始搜索可以傳染的程序或者磁介質(zhì),然后通過(guò)自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá),計(jì)算機(jī)病毒可以在極短的時(shí)間內(nèi),通過(guò)像internet這樣的網(wǎng)絡(luò)傳遍世界。1、4、4潛伏性計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來(lái),然后在用戶不察覺(jué)的情況下進(jìn)行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長(zhǎng),病毒傳染的范圍也越廣,其危害性也越大。1、4、5表現(xiàn)性或破壞性無(wú)論何種病毒程序一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤(pán)存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運(yùn)行,還有一些病毒程序刪除文件,加密磁盤(pán)中的數(shù)據(jù),甚至摧毀整個(gè)系統(tǒng)和數(shù)據(jù),使之無(wú)法恢復(fù),造成無(wú)可挽回的損失。因此,病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。1、4、6可觸發(fā)性計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制,使之進(jìn)行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計(jì)者的要求,在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入特定字符,使用特定文件,某個(gè)特定日期或特定時(shí)刻,或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。第2章 計(jì)算機(jī)病毒傳播和防護(hù)知識(shí)2、1計(jì)算機(jī)病毒的傳播途徑一、通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，這些設(shè)備通常有計(jì)算機(jī)的專用asic芯片和硬盤(pán)等。這種病毒雖然極少，但破壞力卻極強(qiáng)，目前尚沒(méi)有交好的檢測(cè)手段對(duì)付。二、通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播這些設(shè)備包括軟盤(pán)、磁帶、u盤(pán)等。在移動(dòng)存儲(chǔ)設(shè)備中，軟盤(pán)、u盤(pán)是使用最廣泛移動(dòng)最頻繁的存儲(chǔ)介質(zhì)。目前，大多數(shù)計(jì)算機(jī)都是從這類途徑感染病毒的。三、通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播?，F(xiàn)代信息技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn)，“相隔天涯，如在咫尺”，但也為計(jì)算機(jī)病毒的傳播提供了新的“高速公路”。計(jì)算機(jī)病毒可以附著在正常文件中通過(guò)網(wǎng)絡(luò)進(jìn)入一個(gè)又一個(gè)系統(tǒng)， 國(guó)內(nèi)計(jì)算機(jī)感染一種“進(jìn)口”病毒已不再是什么大驚小怪的事了。在我們信息國(guó)際化的同時(shí)， 我們的病毒也在國(guó)際化。估計(jì)以后這種方式將成為第一傳播途徑。四、通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道傳播。目前，這種傳播途徑還不是十分廣泛，但預(yù)計(jì)在未來(lái)的信息時(shí)代，這種途徑很可能與網(wǎng)絡(luò)傳播途徑成為病毒擴(kuò)散的兩大“時(shí)尚渠道”。2、2對(duì)計(jì)算機(jī)病毒攻擊的防范簡(jiǎn)而言之，病毒防治的關(guān)鍵是：把好入口關(guān)。防治工具殺毒軟件（病毒卡及其防火墻），如金山毒霸、kv300、kill、pc-cillin、vrv、瑞星、諾頓等反病毒軟件。根據(jù)計(jì)算機(jī)病毒的工作原理，我們可以找到防治它們的方法。首先，因?yàn)樵S多病毒程序都需要修改中斷向量表，以便在出現(xiàn)某種中斷請(qǐng)求時(shí)激活病毒，所以，通過(guò)檢查中斷向量表是否異常就可以發(fā)現(xiàn)病毒程序的存在及其入口地址。然后就可以對(duì)它進(jìn)行剖析和進(jìn)行針對(duì)性的防治。其次，由于多數(shù)病毒潛伏在磁盤(pán)的引導(dǎo)扇區(qū)內(nèi)，利用計(jì)算機(jī)啟動(dòng)過(guò)程進(jìn)入內(nèi)存，因此，保持和恢復(fù)dos盤(pán)引導(dǎo)扇區(qū)的正確性十分重要。對(duì)于健康的磁盤(pán)必須加上“寫(xiě)保護(hù)”。對(duì)于有病毒的磁盤(pán)，利用dos命令中“sys”系統(tǒng)傳送命令可以簡(jiǎn)單地加以治愈。當(dāng)然；有病毒的dos盤(pán)也必須完成正常的引導(dǎo)過(guò)程，所以必定要把正常的引導(dǎo)扇區(qū)保存在磁盤(pán)的某個(gè)地方，找到這個(gè)地址，把引導(dǎo)扇區(qū)調(diào)回原處，磁盤(pán)的病毒也就解除了。另外，由于有病毒的磁盤(pán)都存在一定的標(biāo)記便于病毒程序識(shí)別，利用這個(gè)特點(diǎn)，我們可以給健康的磁盤(pán)也打上這樣的標(biāo)記，以欺騙病毒程序使它誤以為已經(jīng)進(jìn)行過(guò)傳染工作而不再進(jìn)行感染，相當(dāng)于使磁盤(pán)具有了“免疫功能”。總之，針對(duì)病毒的工作原理，可以編制出各種防治病毒程序。計(jì)算機(jī)病毒攻擊與防御手段是不斷發(fā)展的，要在計(jì)算機(jī)病毒對(duì)抗中保持領(lǐng)先地位，必須根據(jù)發(fā)展趨勢(shì)，在關(guān)鍵技術(shù)環(huán)節(jié)上實(shí)施跟蹤研究，這需要每一個(gè)反病毒工作者及愛(ài)好正義的人們?yōu)榇烁冻鲎巫尾痪氲呐Α?、3計(jì)算機(jī)的幾種主要病毒計(jì)算機(jī)病毒是一組通過(guò)復(fù)制自身來(lái)感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好的環(huán)境激發(fā)，即可感染和破壞。自80年代莫里斯編制的第一個(gè)“蠕蟲(chóng)”病毒程序至今，世界上已出現(xiàn)了多種不同類型的病毒。在最近幾年，又產(chǎn)生了以下幾種主要病毒：（1）“美麗殺手”（melissa）病毒。這種病毒是專門(mén)針對(duì)微軟電子郵件服務(wù)器ms exchange和電子郵件收發(fā)軟件0utlookexpress的word宏病毒，是一種拒絕服務(wù)的攻擊型病毒，能夠影響計(jì)算機(jī)運(yùn)行微軟word97、word2000和0utlook。這種病毒是一種word文檔附件，由e-mall攜帶傳播擴(kuò)散。由于這種病毒能夠自我復(fù)制，一旦用戶打開(kāi)這個(gè)附件，“美麗殺手”病毒就會(huì)使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動(dòng)復(fù)制發(fā)送，從而過(guò)載e-mai1服務(wù)器或使之損壞?！懊利悮⑹帧辈《镜臄U(kuò)散速度之快可達(dá)幾何級(jí)數(shù)，據(jù)計(jì)算，如果“美麗殺手”病毒能夠按照理論上的速度傳播，只需要繁殖 5次就可以讓全世界所有的網(wǎng)絡(luò)用戶都都收到一份?！懊利悮⑹帧辈《镜淖盍钊丝植乐庍€不僅是拒絕電子郵件服務(wù)器，而是使用戶的非常敏感和核心的機(jī)密信息在不經(jīng)意間通過(guò)電子郵件的反復(fù)傳播和擴(kuò)散而被泄漏出去，連擴(kuò)散到了什么地方可能都不得而知。據(jù)外電報(bào)道，在北約對(duì)南聯(lián)盟發(fā)動(dòng)的戰(zhàn)爭(zhēng)行動(dòng)中，證實(shí)“美麗殺手”病毒己使 5萬(wàn)部電腦主機(jī)和幾十萬(wàn)部電腦陷于癱瘓而無(wú)法工作，網(wǎng)絡(luò)被空數(shù)據(jù)包阻塞，迫使許多用戶關(guān)機(jī)避災(zāi)。（2）“怕怕”（papa）病毒?！芭屡隆辈《臼橇硪环Nexcel宏病毒，它能夠繞開(kāi)網(wǎng)絡(luò)管理人員設(shè)置的保護(hù)措施進(jìn)入計(jì)算機(jī)。這種病毒與“美麗殺手”病毒相類似，其區(qū)別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播，拒絕服務(wù)和阻塞網(wǎng)絡(luò)，而且更為嚴(yán)重的是它能使整個(gè)網(wǎng)絡(luò)癱瘓，使被它感染的文件所具有的宏病毒預(yù)警功能喪失作用。（3）“瘋?！保╩adcow）和“怕怕b”病毒。這倆種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當(dāng)美國(guó)緊急動(dòng)員起來(lái)對(duì)付3月26日發(fā)現(xiàn)的“美麗殺手”和“怕怕”病毒時(shí)，在歐洲又出現(xiàn)了它們的新變種“美麗殺手b”（又叫作“瘋?！保┖汀芭屡耣”，目前正橫掃歐洲大陸，造成大規(guī)模破壞，而且還正在向全世界擴(kuò)散蔓延。 雖然這兩種病毒變種的病毒代碼不同，可能不是一個(gè)人所編寫(xiě)，但是，它們同樣也是通過(guò)發(fā)送word和excel文件而傳播。每次被激活后， 這種病毒就會(huì)向用戶電子郵件簿的前60個(gè)地址發(fā)送垃圾郵件；它還可以向一個(gè)外部網(wǎng)站發(fā)送網(wǎng)絡(luò)請(qǐng)求，占用大量的帶寬而阻滯網(wǎng)絡(luò)的工作，其危害性比原型病毒有過(guò)之而無(wú)不及。（4）“幸福1999”宏病毒。這是一種比“美麗殺手”的破壞作用小得多病毒?！靶腋?999”病毒會(huì)改變計(jì)算機(jī)中的微軟公司windows程序與internet網(wǎng)工作。這種病毒還發(fā)送一個(gè)執(zhí)行文件，激活焰火顯示，使屏幕碎裂。（5）“咻咻”（ping）轟擊病毒?！斑葸荨鞭Z擊病毒的英文單詞是“分組internet 搜索者”的縮寫(xiě)，指的是將一個(gè)分組信息發(fā)送到服務(wù)器并等待其響應(yīng)的過(guò)程，這是用戶用以確定一個(gè)系統(tǒng)是否在internet網(wǎng)上運(yùn)行的一種方法。據(jù)外電報(bào)道，運(yùn)用“咻咻”（ping）轟擊病毒，發(fā)送大量的“咻咻”空數(shù)據(jù)包，使服務(wù)器過(guò)載，不能對(duì)其它用戶做出響應(yīng)。第3章 計(jì)算機(jī)病毒發(fā)展趨勢(shì)和管理方法3、1計(jì)算機(jī)病毒的發(fā)展趨勢(shì)3、1、1我們將與病毒長(zhǎng)久共存人類進(jìn)入了信息社會(huì)創(chuàng)造了智能機(jī)器(電子計(jì)算機(jī))， 同時(shí)也創(chuàng)造了機(jī)器(電子計(jì)算機(jī))病毒，福禍同降。 人類在信息社會(huì)更容易與機(jī)器(電子計(jì)算機(jī))融為一個(gè)整體，可是，破壞這個(gè)整體的一個(gè)方面將是機(jī)器病毒(計(jì)算機(jī)病毒)，人類同時(shí)在與生物病毒作斗爭(zhēng)時(shí)又要與機(jī)器病毒作斗爭(zhēng)，這是人類在方便自己時(shí)也在為難自己。從一九八三年計(jì)算機(jī)病毒首次被確認(rèn)以來(lái)，并沒(méi)有引起人們的重視。直到一九八七年計(jì)算機(jī)病毒才開(kāi)使受到世界范圍內(nèi)的普遍重視。我國(guó)于一九八九年在計(jì)算機(jī)界發(fā)現(xiàn)病毒。至今，全世界已發(fā)現(xiàn)近數(shù)萬(wàn)種病毒，并且還在高速度的增加。由于計(jì)算機(jī)軟件的脆弱性與互聯(lián)網(wǎng)的開(kāi)放性，我們將與病毒長(zhǎng)久共存。而且，病毒主要朝著能更好的隱蔽自己并對(duì)抗反病毒手段的方向發(fā)展。同時(shí)，病毒已被人們利用其特有的性質(zhì)與其他功能相結(jié)合進(jìn)行有目的的活動(dòng)。病毒的花樣不斷翻新，編程手段越來(lái)越高，防不勝防。特別是internet的廣泛應(yīng)用，促進(jìn)了病毒的空前活躍，網(wǎng)絡(luò)蠕蟲(chóng)病毒傳播更快更廣，windows病毒更加復(fù)雜，帶有黑客性質(zhì)的病毒和特絡(luò)依木馬等有害代碼大量涌現(xiàn)。下面按病毒先后出現(xiàn)的順序，簡(jiǎn)要例舉部分病毒的特性就可看出其發(fā)展。3、1、2網(wǎng)絡(luò)蠕蟲(chóng)病毒的發(fā)展最早的網(wǎng)絡(luò)蠕蟲(chóng)病毒作者是美國(guó)的小莫里思，他編寫(xiě)的蠕蟲(chóng)病毒是在美國(guó)軍方的局域網(wǎng)內(nèi)活動(dòng)，但是，必需事先獲取局域網(wǎng)的權(quán)限和口令。世界性的一個(gè)大規(guī)模在internet網(wǎng)上傳播的網(wǎng)絡(luò)蠕蟲(chóng)病毒是1998年底的happy99網(wǎng)絡(luò)蠕蟲(chóng)病毒，當(dāng)你在網(wǎng)上向外發(fā)出信件時(shí)，happy99網(wǎng)絡(luò)蠕蟲(chóng)病毒會(huì)頂替你的信件或隨你的信件從網(wǎng)上跑到你發(fā)信的目標(biāo)出，到了1月1日，收件人一執(zhí)行，便會(huì)在屏幕上不斷暴發(fā)出絢麗多彩的禮花，機(jī)器就不在干什么了。1999年3月歐美暴發(fā)了“美麗殺”網(wǎng)絡(luò)蠕蟲(chóng)宏病毒，歐美最大的一些網(wǎng)站頻頻遭受到堵塞，造成巨大經(jīng)濟(jì)損失。2000年至今，是網(wǎng)絡(luò)蠕蟲(chóng)開(kāi)始大鬧互聯(lián)網(wǎng)的發(fā)展期。2000年，在歐美還暴發(fā)了i-worm/love letter“愛(ài)蟲(chóng)”網(wǎng)絡(luò)蠕蟲(chóng)病毒，又使歐美最大的一些網(wǎng)站和企業(yè)及政府的服務(wù)器頻頻遭受到堵塞和破壞，造成了比“美麗殺”病毒破壞還大的經(jīng)濟(jì)損失。目前，該病毒以有十多種變種產(chǎn)生，不斷的到處破壞。2001年后，有更多的網(wǎng)絡(luò)蠕蟲(chóng)出現(xiàn)。i_worm.navidad網(wǎng)絡(luò)蠕蟲(chóng)。該病毒能引發(fā)大規(guī)模的郵件泛濫。其傳播機(jī)制不同于一般的網(wǎng)絡(luò)蠕蟲(chóng)程序（如愛(ài)蟲(chóng)、美麗公園等），該網(wǎng)絡(luò)蠕蟲(chóng)程序具有較大的迷惑性：用戶通過(guò)outlook express 收到的是一封來(lái)自你曾經(jīng)發(fā)送過(guò)的人的回復(fù)信件，內(nèi)容與您發(fā)送的完全一致，郵件的主題、郵件的正文都一樣，只是增加了一個(gè)電子郵件的附件，該附件的文件名稱是：navidad.exe文件，文件的大小是：32768字節(jié)。該附件就是該網(wǎng)絡(luò)蠕蟲(chóng)程序的主體文件。該郵件只是在微軟的outlook express郵件系統(tǒng)下自動(dòng)傳播，它會(huì)自動(dòng)地給您的收件箱(而不是地址簿)的所有人發(fā)送一份該網(wǎng)絡(luò)蠕蟲(chóng)程序。由于病毒修改該注冊(cè)表項(xiàng)目的文件名稱的錯(cuò)誤，windows系統(tǒng)在啟動(dòng)，讀取可執(zhí)行exe文件時(shí)，會(huì)因?yàn)檎也坏絯insvrc.exe文件而不能正常啟動(dòng)windows系統(tǒng)。i_worm.blebla.b網(wǎng)絡(luò)蠕蟲(chóng)。該病毒是通過(guò)電子郵件的附件來(lái)發(fā)送的，文件的名稱是：xromeo.exe 和xjuliet.chm，該蠕蟲(chóng)程序的名稱由此而來(lái)。當(dāng)用戶在使用oe閱讀信件時(shí)，這兩個(gè)附件自動(dòng)被保存、運(yùn)行。 當(dāng)運(yùn)行了該附件后， 該蠕蟲(chóng)程序?qū)⒆陨戆l(fā)送給outlook地址薄里的每一個(gè)人，并將信息發(fā)送給p.virus 新聞組。該蠕蟲(chóng)程序是以一個(gè)email附件的形式發(fā)送的，信件的主體是以html語(yǔ)言寫(xiě)成的，并且含有兩個(gè)附件：xromeo.exe及xjuliet.chm.收件人本身看不見(jiàn)什么郵件的內(nèi)容。該蠕蟲(chóng)程序的危害性還表現(xiàn)在它還能修改注冊(cè)表一些項(xiàng)目，使得一些文件的執(zhí)行，必須依賴該蠕蟲(chóng)程序生成的在windows目錄下的sysrnj.exe文件,由此可見(jiàn)對(duì)于該病毒程序的清除不能簡(jiǎn)單的將蠕蟲(chóng)程序刪除掉,而必需先將注冊(cè)表中的有關(guān)該蠕蟲(chóng)的設(shè)置刪除后,才能刪除這些蠕蟲(chóng)程序。i_worm/emanuel網(wǎng)絡(luò)蠕蟲(chóng)。該病毒通過(guò)microsoft的outlook express來(lái)自動(dòng)傳播給受感染計(jì)算機(jī)的地址薄里的所有人，給每人發(fā)送一封帶有該附件的郵件。該網(wǎng)絡(luò)蠕蟲(chóng)長(zhǎng)度16,896-22000字節(jié)，有多個(gè)變種。在用戶執(zhí)行該附件后，該網(wǎng)絡(luò)蠕蟲(chóng)程序在系統(tǒng)狀態(tài)區(qū)域的時(shí)鐘旁邊放置一個(gè)“花”一樣的圖標(biāo)，如果用戶點(diǎn)擊該花圖標(biāo)，會(huì)出現(xiàn)一個(gè)消息框,大意是不要按此按鈕.如果按了該按鈕的話,會(huì)出現(xiàn)一個(gè)以emmanuel為標(biāo)題的信息框, 當(dāng)您關(guān)閉該信息框時(shí)又會(huì)出現(xiàn)一些別的:諸如上帝保佑您的提示信息。還有一個(gè)網(wǎng)絡(luò)蠕蟲(chóng)i-worm/hybris的最明顯的特征是, 當(dāng)您打開(kāi)帶有該網(wǎng)絡(luò)蠕蟲(chóng)程序的附件時(shí), 您的計(jì)算機(jī)的屏幕就會(huì)被一個(gè)始終位于最上方的圖象所覆蓋,該圖象是活動(dòng)的、轉(zhuǎn)動(dòng)的、黑白相見(jiàn)的螺旋狀的圓形圖形。該網(wǎng)絡(luò)蠕蟲(chóng)程序與其他常見(jiàn)的網(wǎng)絡(luò)蠕蟲(chóng)程序一樣,是通過(guò)網(wǎng)絡(luò)上的電子郵件系統(tǒng)outlook來(lái)傳播的, 同樣是修改windows系統(tǒng)下的主管電子郵件收發(fā)的文件wsock32.dll文件。它與別的網(wǎng)絡(luò)蠕蟲(chóng)程序的不同之處在于它不斷可以通過(guò)網(wǎng)絡(luò)自動(dòng)發(fā)送網(wǎng)絡(luò)蠕蟲(chóng)程序本身，而且發(fā)送的文件的名稱是變化的。該病毒是世界上第一個(gè)可自我將病毒體分解成多個(gè)大小可變化的程序塊（插件），分別潛藏計(jì)算機(jī)內(nèi)的不同位置，以便躲避查毒軟件。該病毒具有將這些碎塊聚合成一個(gè)完整的病毒，再進(jìn)行傳播和破壞。早在1997年王江民先生在計(jì)算機(jī)病毒的發(fā)展趨勢(shì)與對(duì)抗手段一文中就有一段話預(yù)言會(huì)有這種病毒出現(xiàn)。i_worm/html.little davinia網(wǎng)絡(luò)蠕蟲(chóng)。這是一個(gè)破壞性極大的網(wǎng)絡(luò)蠕蟲(chóng)，可以清除硬盤(pán)上的所有數(shù)據(jù)，它利用word2000的漏洞、email等來(lái)傳播。該網(wǎng)絡(luò)蠕蟲(chóng)程序是復(fù)合型的, 是html（網(wǎng)頁(yè)語(yǔ)言）形式的、vbs文件結(jié)構(gòu)、帶有宏的網(wǎng)絡(luò)蠕蟲(chóng)程序。該病毒還能修改系統(tǒng)的注冊(cè)表，一旦修改注冊(cè)表成功，該病毒就會(huì)自動(dòng)搜索所有的本地硬盤(pán)、網(wǎng)絡(luò)盤(pán)、以及所有目錄下的文件，采用覆蓋的方式將發(fā)現(xiàn)的文件寫(xiě)上一些含有一些雜亂信息的文字，被損壞的文件很難修復(fù)！i_worm.mtx網(wǎng)絡(luò)蠕蟲(chóng)病毒已大面積傳播, 超過(guò)了cih的感染率,但破壞性沒(méi)cih大。它是一個(gè)變形病毒, 變化無(wú)窮。該網(wǎng)絡(luò)蠕蟲(chóng)的郵件比較特殊，它沒(méi)有主題、正文，只有一個(gè)附件文件，附件的文件名是變化的。i_worm.annakournikova網(wǎng)絡(luò)蠕蟲(chóng)程序是使用了一個(gè)病毒制造機(jī)程序vbswg制造并加密。該蠕蟲(chóng)程序發(fā)送的郵件的附件是：annakournikova.jpg.vbs（俄羅斯體育選手的名稱命名的文件名稱），它是一個(gè)vbs程序文件。當(dāng)郵件用戶不小心執(zhí)行了該附件，那么該網(wǎng)絡(luò)蠕蟲(chóng)程序會(huì)給outlook地址薄里的所有人發(fā)送一份該網(wǎng)絡(luò)蠕蟲(chóng)程序，郵件的附件文件名稱：annakournikova.jpg.vbs（俄羅斯網(wǎng)球女明星的圖片文件）該網(wǎng)絡(luò)蠕蟲(chóng)程序的長(zhǎng)度是2853字節(jié)左右。如果機(jī)器的日期是1月26日的話，該網(wǎng)絡(luò)蠕蟲(chóng)程序會(huì)自動(dòng)將您指向一個(gè)位于荷蘭的計(jì)算機(jī)商店的網(wǎng)絡(luò)地址。該網(wǎng)絡(luò)蠕蟲(chóng)程序會(huì)給所有地址薄里的所有用戶發(fā)送網(wǎng)絡(luò)蠕蟲(chóng)程序來(lái)看，它和轟動(dòng)一時(shí)的“愛(ài)蟲(chóng)程序”有相似之處。i_worm.magistr網(wǎng)絡(luò)蠕蟲(chóng)惡性病毒可通過(guò)互聯(lián)網(wǎng)上電子郵件或在局域網(wǎng)內(nèi)進(jìn)行傳播?？赏ㄟ^(guò)outlook、netscape messenger等其他電子郵件軟件和新聞組在內(nèi)的軟件讀取其中地址簿中的地址發(fā)送帶毒電子郵件進(jìn)行傳播。該病毒隨機(jī)在當(dāng)前機(jī)上找一個(gè).exe或.scr文件和一些.doc或.txt文件作為附件發(fā)出去，如果你的機(jī)中.doc或.txt文件是機(jī)密文件，肯定會(huì)被發(fā)在互聯(lián)網(wǎng)上到處都是。目前，該病毒已有許許多多的變種。病毒發(fā)作時(shí)間是在病毒感染系統(tǒng)一個(gè)月后。病毒會(huì)改寫(xiě)本地機(jī)和局域網(wǎng)中電腦上的文件，文件內(nèi)容全部被改寫(xiě)，這將導(dǎo)致文件不能恢復(fù)！如果在win9x環(huán)境下，該病毒會(huì)象cih病毒一樣，破壞bios和清除硬盤(pán)上的數(shù)據(jù)，是危害性一非常大的一種病毒。該病毒采用了多變形引擎和兩組加密模塊，病毒感染文件的中部和尾部，將中部的原文件部分代碼加密后潛藏在病毒體內(nèi)，病毒長(zhǎng)為24000-30000字節(jié)。 病毒使用了非常復(fù)雜的感染機(jī)制，感染.exe、.dll、.ocx、.scr、.cpl等文件，病毒每傳染一個(gè)目標(biāo)，就變化一次，具有無(wú)窮次變化，其目的是使反病毒軟件難以發(fā)現(xiàn)和清除。病毒在發(fā)展，網(wǎng)絡(luò)在發(fā)展，網(wǎng)絡(luò)又促進(jìn)了病毒的發(fā)展，復(fù)雜的病毒又超著變形病毒發(fā)展。313變形病毒早先，國(guó)內(nèi)外連續(xù)發(fā)現(xiàn)多種更高級(jí)的能變換自身代碼的“變形”病毒，其名字有:stea lth(詭秘)病毒、mutation engine(變形金鋼或稱變形病毒生產(chǎn)機(jī))、fear(恐怖)、satan(惡魔)、 tremor(地震)、 casper(卡死脖幽靈)、one_half/3544(幽靈)、natas/4744(拿他死幽靈王)、new dir2病毒等。 特別是mutation engine，它遇到普通病毒后并能將其改造成為變形病毒。這些變形病毒具有多態(tài)性、多變性，甚至沒(méi)有一個(gè)連續(xù)的字節(jié)是相同的，從而使以往的搜索病毒方法不知去搜索什么。1992年，我們首次發(fā)現(xiàn)了國(guó)內(nèi)第一例變形病毒，病毒名字為“doctor”（醫(yī)生）。目前，我國(guó)已發(fā)現(xiàn)了許許多多變形病毒， 其名字稱為“doctor” (醫(yī)生)、newflip(顛倒屏幕)、casper(卡死脖幽靈)、ghost/one_half/3544(幽靈)、vtech、natas/4744(拿他死幽靈王)、1982/(福州大學(xué)hxh)、1748/hxh、2560/hyy、v3、hyy/3532(福州1號(hào)變形王)、tremor、5volt4、clme、1748/hxh、new dir2、connie2臺(tái)灣2號(hào)變形王、made-sp、hefei（合肥1號(hào)，2號(hào)）、joke、nightall、win-marburg、win32/hps、win32/cxdz、win32/matrix、i-worm/magistr（馬吉思）等病毒。這些變形病毒能將自身的代碼變換成億萬(wàn)種樣貼附在被感染的文件中，其casper(卡死脖幽靈)、ghost/one_half/3544(幽靈)、1982/(福州大學(xué)hxh)病毒可變代碼為數(shù)千億種，natas/4744(拿他死幽靈王)、 hyy/3532(hyy/3532(福州1號(hào)變形王)、hefei變形鬼魂、connie2臺(tái)灣2號(hào)變形王、madesp、hefei、joke、nightall、marburg病毒代碼可變無(wú)窮次。這使的一些病毒掃描軟件產(chǎn)生漏查漏殺現(xiàn)象。其中，connie2臺(tái)灣2號(hào)變形王、made-sp、joke、nightall、windows marburg、i-worm/magistr變形病毒變形復(fù)雜，幾乎達(dá)到了不可解除的狀態(tài)。通過(guò)以上例子來(lái)看，計(jì)算機(jī)病毒在不斷發(fā)展，手段越來(lái)越高明，結(jié)構(gòu)越來(lái)越特別。目前，對(duì)出現(xiàn)的上萬(wàn)種引導(dǎo)區(qū)病毒和普通的文件型病毒以及宏病毒已有了較好的對(duì)策，但變形病毒將會(huì)是今后病毒發(fā)展主要方向之一，這應(yīng)當(dāng)引起我們的警惕。那么變形病毒是什么樣呢？3、1、4變形病毒的基本類型病毒都具有一定的基本特性，這些基本特性主要指的是病毒的傳染性、繁殖性、破壞性、惡作劇等其它表現(xiàn)，這是普通病毒所應(yīng)具備的基本特性。過(guò)去，一些教科書(shū)里對(duì)病毒的基本定義簡(jiǎn)單的說(shuō)是“具有傳染性質(zhì)的一組代碼，可稱為病毒”。即病毒從一個(gè)文件傳染到另一個(gè)文件上，許多文件會(huì)染毒。引導(dǎo)區(qū)病毒從一個(gè)磁盤(pán)傳染到另一個(gè)磁盤(pán)上。而在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)會(huì)在互聯(lián)網(wǎng)上通過(guò)一臺(tái)機(jī)器自動(dòng)傳播到另一臺(tái)機(jī)器上，一臺(tái)機(jī)器中只有一個(gè)蠕蟲(chóng)病毒，當(dāng)然，也有的蠕蟲(chóng)可以在當(dāng)前機(jī)器中感染大量文件?，F(xiàn)在應(yīng)發(fā)展一下對(duì)病毒的基本定義。即對(duì)病毒的基本定義簡(jiǎn)單的說(shuō)是“具有傳播性質(zhì)的一組代碼，可稱為病毒”。病毒這些基本特性不能用來(lái)決定病毒是屬于第幾代的。能用變化自身代碼和形狀來(lái)對(duì)抗反病毒手段的變形病毒才是下一代病毒首要的基本特征。我們通過(guò)多年的反病毒研究，對(duì)變形病毒做了以下定義：變形病毒特征主要是，病毒傳播到目標(biāo)后，病毒自身代碼和結(jié)構(gòu)在空間上、時(shí)間上具有不同的變化。我們以下簡(jiǎn)要?jiǎng)澐值淖冃尾《痉N類分為四類。第一類變形病毒的特性是：具備普通病毒所具有的基本特性，然而，病毒每傳播到一個(gè)目標(biāo)后，其自身代碼與前一目標(biāo)中的病毒代碼幾乎沒(méi)有三個(gè)連續(xù)的字節(jié)是相同的，但這些代碼其相對(duì)空間的排列位置是不變動(dòng)的, 這里稱為：一維變形病毒。在一維變形病毒中, 個(gè)別的病毒感染系統(tǒng)后，遇到檢測(cè)時(shí)能夠進(jìn)行自我加密或脫密，或自我消失。有的列目錄時(shí)能消失增加的字節(jié)數(shù)，或加載跟蹤時(shí)，病毒能破壞跟蹤或者逃之夭夭。第二類變形病毒的特性是：除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離(相對(duì)空間位置),也是變化的，這里稱為：二維變形病毒。在二維變形病毒中， 有如前面提到的made-sp病毒等，能用某種不動(dòng)聲色特殊的方式或混載于正常的系統(tǒng)命令中去修改系統(tǒng)關(guān)鍵內(nèi)核，并與之溶為一體，或干脆另創(chuàng)建一些新的中斷調(diào)用功能。有的感染文件的字節(jié)數(shù)不定，或與文件溶為一體。第三類變形病毒的特性是：具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，當(dāng)病毒引擎被激發(fā)后都能自我恢復(fù)成一個(gè)完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。比如：可能一部分藏在第一臺(tái)機(jī)器硬盤(pán)的主引導(dǎo)區(qū)，另外幾部分也可能潛藏在幾個(gè)文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統(tǒng)引導(dǎo)區(qū)、也可能另開(kāi)墾一塊區(qū)域潛藏.等等。而在下一臺(tái)被感染的機(jī)器內(nèi)，病毒又改變了其潛藏的位置。這里稱為：三維變形病毒。第四類變形病毒的特性是：具備三維變形病毒的特性，并且，這些特性隨時(shí)間動(dòng)態(tài)變化。比如，在染毒的機(jī)器中，剛開(kāi)機(jī)時(shí)病毒在內(nèi)存里變化為一個(gè)樣子，一段時(shí)間后又變成了另一個(gè)樣子，再次開(kāi)機(jī)后病毒在內(nèi)存里又是一個(gè)不同的樣子。還有的是這樣一類病毒，其本身就是具有傳播性質(zhì)的“病毒生產(chǎn)機(jī)”病毒，它們會(huì)在計(jì)算機(jī)內(nèi)或通過(guò)網(wǎng)絡(luò)傳播時(shí)，將自己重新組合代碼生成于前一個(gè)有些代碼不同的變種新病毒，這里稱為：四維變形病毒。四維變形病毒大部分具備網(wǎng)絡(luò)自動(dòng)傳播功能，在網(wǎng)絡(luò)的不同角落里到處隱藏。還有一些這類高級(jí)病毒不再持有以往絕大多數(shù)病毒那種“惡作劇”的目的，它可能主要是，人類在信息社會(huì)投入巨資研究出的、可擾亂破壞社會(huì)的信息、政治、經(jīng)濟(jì)制序等、或是主宰戰(zhàn)爭(zhēng)目的的一種“信息戰(zhàn)略武器”病毒。它們有可能接受機(jī)外遙控信息，也可以向外發(fā)出信息。比如在多媒體機(jī)上可通過(guò)視頻、音頻、無(wú)線電或互聯(lián)網(wǎng)收發(fā)信息。也可以通過(guò)計(jì)算機(jī)的輻射波，向外發(fā)出信息。也可以潛藏在聯(lián)接internet網(wǎng)的計(jì)算機(jī)中，收集密碼和重要信息，再悄悄的隨著主人通信時(shí)，將重要信息發(fā)出去（i-worm/magistr（馬吉思）病毒就有此功能），這些變形病毒的智能化程度相當(dāng)高。以上，我們把變形病毒劃分定義為一維變形病毒、二維變形病毒、三維變形病毒、四維變形病毒。這樣，可使我們站在一定的高度上對(duì)變形病毒有一個(gè)較清楚的認(rèn)識(shí)，以便今后針對(duì)其采取強(qiáng)而有效的措施進(jìn)行診治。以上的四類變形病毒可以說(shuō)是病毒發(fā)展的趨向，也就是說(shuō)：病毒主要朝著能對(duì)抗反病毒手段和有目的方向發(fā)展。目前，已發(fā)展到了一維、二維、三維變形病毒。315特洛伊木馬與有害代碼互聯(lián)網(wǎng)的發(fā)展，使病毒、黑客、后門(mén)、漏洞、有害代碼等相互結(jié)合起來(lái)，對(duì)信息社會(huì)造成極大的威脅。國(guó)際上最早最有名的backdoor.bo1.2、bo2k和國(guó)產(chǎn)的“冰河”的客戶端程序是一個(gè)可潛伏在用戶機(jī)中的后門(mén)程序，它可將用戶上網(wǎng)后的計(jì)算機(jī)大開(kāi)后門(mén)，任意進(jìn)出?？梢杂涗浉鞣N口令信息，獲取系統(tǒng)信息，限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制；還可遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、修改、刪除文件或目錄、文件壓縮、快速瀏覽文件、遠(yuǎn)程打開(kāi)文件等多項(xiàng)文件操作功能；還可對(duì)注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫(xiě)等所有注冊(cè)表操作功能。這在當(dāng)時(shí)，影響極大。國(guó)產(chǎn)類似上述的后門(mén)程序有“冰河”一系列版本，被散發(fā)的面積很大，有相當(dāng)多的用戶在不知不覺(jué)中使機(jī)器中“毒”。這是一個(gè)基于tcp/ip協(xié)議和windows操作系統(tǒng)的網(wǎng)絡(luò)工具，可用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器程序。但是，其被監(jiān)控端后臺(tái)監(jiān)控程序在被執(zhí)行時(shí)，沒(méi)有明顯的告誡警示不明用戶的安裝界面和安裝路徑及其屏幕右下角沒(méi)有最小化托盤(pán)圖標(biāo)，而是悄悄的就安裝在用戶機(jī)中了，為用戶帶來(lái)潛在的危害。所以，被所有反病毒公司的反病毒軟件做為“后門(mén)有害程序”而殺掉。類似這類的國(guó)內(nèi)外程序還有，yai、picture、netspy、netbus、daodan、bo.proc、cafcini.09、badboy、interna 、qaz、sping、thething、matrim、subx等等。主要的特絡(luò)依木馬有surfspy、exebind、scandriv、ncalrpc、way20、oicq.key、cainabel151、zerg、bo.1eanpb、cockhorse、zspyiis、nethisf等等。其中oicq.key、nethisf一種可將ip地址、系統(tǒng)密碼等發(fā)出去的特絡(luò)依木馬，被不軌人悄聲捆綁在某oicq在線聊天程序中，結(jié)果被人下載了幾十萬(wàn)多次，真不知有多少人受到傷害。還有那些直接就破壞的惡性程序，如shanghai.tcbomb（上海tc炸彈），放在網(wǎng)上供人下載。不知情的用戶一執(zhí)行后，瞬間硬盤(pán)就不能用了，數(shù)據(jù)就取不出來(lái)了，這會(huì)使受害者茹痛不生。還有harm/del-c，這個(gè)程序被人用了一個(gè)響亮的名字，一執(zhí)行后，c盤(pán)下的文件全被刪除了。這類惡意程序還有funjoke、siji、ha-ha、mailtospam、syscrash、clickme、quake、way20、tds.se、stretch、nuker等等。還有那些不破壞的惡作劇，出現(xiàn)一幅嚇人的畫(huà)面，或死機(jī)，或屏幕抖動(dòng)等等。這類程序有joke/ghos（女鬼）、tbluebomb、fluke、jokewow等等。攻擊類的黑客程序，它是行為人（黑客）使用的工具，一般的反病毒軟件不去查它，留給“網(wǎng)絡(luò)防火墻”來(lái)處理。網(wǎng)絡(luò)的廣泛使用和漫無(wú)邊際的交流，為破壞者提供了場(chǎng)所。一些惡性破壞程序和惡作劇等各種各樣的有害代碼被人在網(wǎng)上傳播和供人下栽，或以美麗獵奇的標(biāo)題誘人上當(dāng)。這些有害代碼也成了反病毒軟件的任務(wù)。目前，國(guó)內(nèi)外的后門(mén)、漏洞、有害代碼等成了反病毒軟件要對(duì)付的主攻方向，已有了2000多種，僅次于7500多種宏病毒。有害代碼程序會(huì)越來(lái)越多，而查毒軟件對(duì)其沒(méi)有任何先知的智能化的查找方法，最多也只能在其行為上（破壞時(shí)）“實(shí)時(shí)監(jiān)測(cè)”。3、1、6病毒的種類數(shù)量目前，病毒到底有多少 各反病毒公司說(shuō)法不一。如下：dos病毒： 40000 種win32病毒： 15 種win9x病毒： 600 種winnt/win2000病毒： 200 種word宏病毒： 7500 種excel宏病毒： 1500 種powerpoint病毒： 100 種script腳本病毒： 500 種macintos蘋(píng)果機(jī)病毒： 50 種linux病毒： 5 種手機(jī)病毒： 2 種合計(jì): 55000 種國(guó)際上有名的病毒編寫(xiě)組織有：29alinezerometaphase隨著計(jì)算機(jī)的不斷發(fā)展，和歷史原因，以及軟件、硬件上技術(shù)的壟斷與操作系統(tǒng)、辦公集成系統(tǒng)在習(xí)慣上根深蒂固的壟斷及延續(xù)，造成了計(jì)算機(jī)所固有的脆弱性。 比如，因芯片或硬盤(pán)(或光盤(pán))或軟件在技術(shù)上的被壟斷， 壟斷部門(mén)有可能把“病毒”設(shè)計(jì)進(jìn)芯片或硬盤(pán)(或光盤(pán))或軟件的非正常區(qū)域。或在硬件、軟件中留有“后門(mén)”，非常時(shí)期時(shí)再通過(guò)某種方式將“病毒”激活, 或?qū)ⅰ昂箝T(mén)”打開(kāi)，施行毀滅性的打擊，真是神不知鬼不覺(jué)。比如說(shuō)：cpu等芯片，它的功能和構(gòu)造比我們身上帶的bp機(jī)要強(qiáng)大和復(fù)雜的多，誰(shuí)能說(shuō)它里面沒(méi)有“后門(mén)”或“病毒”呢！它是否能象bp機(jī)一樣通過(guò)主板上的導(dǎo)線接收外來(lái)的無(wú)線信息這不是太容易了嗎 一但接收到了外來(lái)信息，它是否會(huì)放出“病毒”或開(kāi)啟“后門(mén)”或發(fā)出破壞指令呢，或令“死機(jī)”！哪后果可想而知我們已發(fā)現(xiàn)某一廣泛使用的操作系統(tǒng)中的一處“缺陷”！這是“缺陷” 還是“后門(mén)”? 我們還發(fā)現(xiàn)某操作系統(tǒng)中隱藏有一處非常危險(xiǎn)的邏輯錯(cuò)誤，是“錯(cuò)誤”還是隱藏的“炸彈” 為什么至今連續(xù)幾年的新版本都不改掉！為什么另一家相同功能的操作系統(tǒng)中就沒(méi)有這一“錯(cuò)誤”！這一“錯(cuò)誤”（后門(mén)）如果在信息戰(zhàn)中被利用，計(jì)算機(jī)將徹底癱瘓！這一現(xiàn)狀，必應(yīng)引起我們的高度重視，小規(guī)模的信息化戰(zhàn)爭(zhēng)和對(duì)抗已不斷出現(xiàn)。比如說(shuō)，94年4月，南非的黑人領(lǐng)袖在競(jìng)選總統(tǒng)時(shí)獲得較大優(yōu)勢(shì)，但是，最后在統(tǒng)計(jì)選票的關(guān)鍵時(shí)刻，出現(xiàn)了計(jì)算機(jī)病毒的嚴(yán)重事件，機(jī)器被病毒搞癱瘓了，迫使選票結(jié)果推遲了幾天，險(xiǎn)些使大選結(jié)果遭到毀滅性破壞。這一事件的產(chǎn)生過(guò)程，直到現(xiàn)在還是個(gè)謎。中美黑客對(duì)抗和攻擊引發(fā)我們深思大規(guī)模的信息戰(zhàn)爭(zhēng)也將一觸即發(fā)。所以，我們必須加強(qiáng)反病毒手段的研究和全方位信息安全的研究。國(guó)際互聯(lián)網(wǎng)internet的廣泛發(fā)展，雖然加速了病毒的傳播速度和廣度，但是，各國(guó)的老病毒由于其本身的局限性還不會(huì)在全球廣泛傳播。只有本地化和地域性的新型病毒隨著國(guó)與國(guó)信息的頻繁往來(lái)交流，將上升為全球性病毒。新病毒對(duì)各國(guó)來(lái)說(shuō)都是新的，這就要看誰(shuí)具備了快速的反病毒手段，誰(shuí)具備了快速為用戶能解除病毒的條件。另外，在網(wǎng)絡(luò)上抗病毒（防火墻）和對(duì)網(wǎng)絡(luò)性能要求成反比，所以，總會(huì)有漏網(wǎng)的病毒，目前，各國(guó)都在研究各種各樣的防火墻（防病毒是防火墻內(nèi)的功能之一），但在網(wǎng)絡(luò)上還沒(méi)有完美無(wú)缺的抗病毒方法和產(chǎn)品。據(jù)實(shí)驗(yàn)，最好的防病毒產(chǎn)品，對(duì)新病毒的漏網(wǎng)率為20，那么，10個(gè)新病毒就可能有2個(gè)漏網(wǎng)，100個(gè)新病毒就可能有20個(gè)病毒漏網(wǎng)，這多可怕！而往往有時(shí)用戶的機(jī)器中也就染上了那么一兩種病毒，而就這一兩種病毒就使機(jī)器不能正常工作了，而也就在這時(shí)，這一兩種病毒使那些能殺1千種、1萬(wàn)種、5萬(wàn)種的殺毒軟件的威風(fēng)不知道哪去了。也就為了殺除這一兩種病毒，用戶到處尋求有效的反病毒解決方案！317尋找抗病毒的有效方法在反病毒的長(zhǎng)期過(guò)程中，我們必須用科學(xué)的觀點(diǎn)正視如下現(xiàn)實(shí)：（1）目前的防病毒軟硬件不可能自動(dòng)防今后一切病毒?。?）目前的查解病毒軟硬件不可能自動(dòng)查解今后一切動(dòng)恢復(fù)被這些新病毒感染的文件! 有些惑人的廣告詞，如“自動(dòng)查解今后一切未知病毒”、“可解除所有病毒”、“百分之百查殺世界流行病毒”等等，太夸大其詞了。如果，這些廣告詞的創(chuàng)造者，真正親自研究解除過(guò)一百種以上病毒，那他就不會(huì)使用“一切”、“所有”的詞了，因?yàn)槟切┎《镜膭?chuàng)造者們頭腦十分發(fā)達(dá)靈巧，魔法無(wú)窮，怪招百出。誰(shuí)也不能預(yù)計(jì)今后一切病毒會(huì)發(fā)展到什么樣子，很難能開(kāi)發(fā)出具有先知先覺(jué)功能的“一切”、“所有”的自動(dòng)反病毒軟硬件和工具。（3）目前的防、查、解病毒軟件和硬件， 如果其對(duì)付的病毒種類越多，越會(huì)有誤查誤報(bào)現(xiàn)象，也不排除有誤解或解壞現(xiàn)象。殺毒編程太費(fèi)事、太累、還要冒風(fēng)險(xiǎn)，后來(lái)國(guó)外有的軟件干脆只殺除其已知病毒的70，復(fù)雜病毒只查不殺了。所以，殺病毒時(shí)，用戶應(yīng)遵循一查找、二備份、三解除的原則。（4）目前的防、查、解病毒軟件和硬件是易耗品， 必須經(jīng)常更新、升級(jí)或自我升級(jí)。病毒窮出不盡，有時(shí)明明知道機(jī)內(nèi)染有一種新病毒，那么在別的機(jī)器內(nèi)和磁盤(pán)中還有此病毒嗎? 這需要靠經(jīng)驗(yàn)和時(shí)間去費(fèi)力的判斷，用戶苦于手頭沒(méi)有主動(dòng)式快速診治新病毒的手段。目前，計(jì)算機(jī)病毒之所以到處不斷的泛濫，其一個(gè)方面的原因就是查解病毒的手段老是跟在一些新病毒的后面發(fā)展，所以病毒就到處傳染。并且，現(xiàn)代信息傳遞有多么快、多么廣，病毒就傳染有多么快、多么廣。病毒產(chǎn)生在先、診治手段在后，讓病毒牽著鼻子走的狀態(tài)，怕是長(zhǎng)久問(wèn)題。那么，有沒(méi)有能緊緊跟上病毒的傳播，而對(duì)其采取有效的查解手段呢? 最起碼在新病毒剛露頭時(shí)，就應(yīng)有能立即快速將其查找出來(lái)的手段，這樣可針對(duì)其采取相應(yīng)的措施，將新病毒消滅在初發(fā)階段。目前，要想有效診治病毒的手段之一，就是最起碼應(yīng)該使懂電腦基本操作的和略知病毒常識(shí)的用戶，有一種能不必編程序而可方便有效的主動(dòng)去快速查出新病毒的手段。查出新病毒后，可根據(jù)情況采取相應(yīng)對(duì)策，這樣做會(huì)及早的限制住新病毒的流行。這種方法之一就是，用戶應(yīng)有一種能根據(jù)病毒特征碼和開(kāi)放式加載查毒模塊來(lái)查出普通病毒和變形病毒的專門(mén)的程序，其新病毒的特征碼和解密模塊可通過(guò)專業(yè)報(bào)刊雜志和internet網(wǎng)及有關(guān)渠道獲得，需要有反病毒部門(mén)經(jīng)常提供新病毒特征碼和反毒程序模塊。那么，有這種可以隨時(shí)增加查病毒能力的程序嗎？那些變形病毒容易查出嗎變形病毒的出現(xiàn)，使抗病毒的難度加大了。在這里我們說(shuō)，病毒在發(fā)展，但反病毒理論和技術(shù)也在發(fā)展！一種殺病毒軟件性能優(yōu)劣的一個(gè)關(guān)鍵方面就是看，用什么樣的理論來(lái)指導(dǎo)技術(shù)上的快速跟進(jìn)。比如說(shuō)：目前，國(guó)際上已有數(shù)萬(wàn)種病毒，但是變種