全套課件·計(jì)算機(jī)病毒及其防范技術(shù)_完整

1、計(jì)算機(jī)病毒概述本章學(xué)習(xí)目標(biāo)明確計(jì)算機(jī)病毒的基本概念了解計(jì)算機(jī)病毒發(fā)展的歷史轉(zhuǎn)折點(diǎn)熟悉計(jì)算機(jī)病毒的分類(lèi)熟悉商業(yè)計(jì)算機(jī)病毒命名規(guī)則掌握計(jì)算機(jī)病毒的發(fā)展趨勢(shì)一、計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒產(chǎn)生的動(dòng)機(jī)(原因)：計(jì)算機(jī)系統(tǒng)的脆弱性(IBM病毒防護(hù)計(jì)劃)作為一種文化（hacker）病毒編制技術(shù)學(xué)習(xí)。惡作劇。產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。用于版權(quán)保護(hù)（江民公司）。用于特殊目的（軍事、計(jì)算機(jī)防病毒公司）。計(jì)算機(jī)病毒的前身只不過(guò)是程序員閑來(lái)無(wú)事而編寫(xiě)的趣味程序；后來(lái)，才發(fā)展出了諸如破壞文件、修改系統(tǒng)參數(shù)、干擾計(jì)算機(jī)的正常工作等的惡性病毒。“病毒”一詞的正式出現(xiàn)在1985年3月份的“科學(xué)美國(guó)人”里?！坝?jì)算機(jī)病毒”與醫(yī)學(xué)上

2、的“病毒”不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。“計(jì)算機(jī)病毒”為什么叫做病毒？原因是，它與生物醫(yī)學(xué)上的病毒同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來(lái)。Fred Cohen定義： 計(jì)算機(jī)病毒是一種程序，他用修改其它程序的方法將自身的精確拷貝或者可能演化的拷貝插入其它程序，從而感染其它程序。Fred Cohen認(rèn)為： 病毒不是利用操作系統(tǒng)運(yùn)行的錯(cuò)誤和缺陷的程序，病毒是正常的用戶(hù)程序。廣義定義：從廣義上講，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱(chēng)為計(jì)算機(jī)病毒。依據(jù)此定義，諸如惡意代碼，蠕蟲(chóng),木馬等均可稱(chēng)為計(jì)算機(jī)

3、病毒。在國(guó)內(nèi)，專(zhuān)家和研究者對(duì)計(jì)算機(jī)病毒也做過(guò)不盡相同的定義，但一直沒(méi)有公認(rèn)的明確定義。標(biāo)準(zhǔn)定義（中國(guó)）： 直至1994年2月18日，我國(guó)正式頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，在條例第二十八條中明確指出：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。此定義具有法律性、權(quán)威性。二、病毒特征和結(jié)構(gòu) 破壞性 傳染性 隱蔽性 寄生性 觸發(fā)（潛伏）性/*引導(dǎo)功能模塊*/將病毒程序寄生于宿主程序中；加載計(jì)算機(jī)程序；病毒程序隨其宿主程序的運(yùn)行進(jìn)入系統(tǒng)；傳染功能模塊；破壞功能模塊；main()調(diào)用引導(dǎo)功能模塊；

4、A：do 尋找傳染對(duì)象； if(傳染條件不滿足)goto A； while(滿足傳染條件)； 調(diào)用傳染功能模塊； while(滿足破壞條件)激活病毒程序；調(diào)用破壞功能模塊； 運(yùn)行宿主源程序； if 不關(guān)機(jī)goto A； 關(guān)機(jī)；在第一部商用電腦出現(xiàn)之前，馮諾伊曼在他的論文復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行里，就已經(jīng)勾勒出了病毒程序的藍(lán)圖。Bell實(shí)驗(yàn)室的磁心大戰(zhàn)（Core War）。70年代美國(guó)作家雷恩出版的P1的青春The Adolescence of P1一書(shū)中作者構(gòu)思出了計(jì)算機(jī)病毒的概念。 1983年11月3日，F(xiàn)red Cohen博士研制出第一個(gè)計(jì)算機(jī)病毒（Unix）。1986 年初，在巴基

5、斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和阿姆杰德(Amjad) 兩兄弟經(jīng)營(yíng)著一家 IBM-PC 機(jī)及其兼容機(jī)的小商店。他們編寫(xiě)了Pakistan 病毒，即Brain。在一年內(nèi)流傳到了世界各地。1987年世界各地的計(jì)算機(jī)用戶(hù)幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM圣誕樹(shù)、黑色星期五等等 。三、病毒成長(zhǎng)的痕跡1988 年 3 月 2 日，一種蘋(píng)果機(jī)的病毒發(fā)作，這天受感染的蘋(píng)果機(jī)停止工作，只顯示“向所有蘋(píng)果電腦的使用者宣布和平的信息”。以慶祝蘋(píng)果機(jī)生日。1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱(chēng)為“蠕蟲(chóng)”的電腦病毒送進(jìn)了美國(guó)最大的電腦網(wǎng)絡(luò)互聯(lián)網(wǎng)。1988年11

6、月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國(guó)東海岸到西海岸，互聯(lián)網(wǎng)用戶(hù)陷入一片恐慌。1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，我國(guó)也未幸免。1991年在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)。1992年出現(xiàn)針對(duì)殺毒軟件的“幽靈”病毒，如One-half。1996年首次出現(xiàn)針對(duì)微軟公司Office的“宏病毒”。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒”年。1999年4月26日，CIH病毒在全球范圍大規(guī)模爆發(fā)，造成近6000萬(wàn)臺(tái)電腦癱瘓。（該病毒產(chǎn)生于1998年） 1999年 Happy99等完全通過(guò)Internet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成

7、為病毒新的增長(zhǎng)點(diǎn)。 2001年7月中旬，一種名為“紅色代碼”的病毒在美國(guó)大面積蔓延，這個(gè)專(zhuān)門(mén)攻擊服務(wù)器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌 。2003年，“2003蠕蟲(chóng)王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。 2004年是蠕蟲(chóng)泛濫的一年，大流行病毒：網(wǎng)絡(luò)天空(Worm.Netsky)高波(Worm.Agobot)愛(ài)情后門(mén)(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無(wú)極(Worm.SoBi

8、g)2005年是木馬流行的一年，新木馬包括：8月9日， “閃盤(pán)竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會(huì)判定電腦上移動(dòng)設(shè)備的類(lèi)型，自動(dòng)把U盤(pán)里所有的資料都復(fù)制到電腦C盤(pán)的“test”文件夾下，這樣可能造成某些公用電腦用戶(hù)的資料丟失。11月25日， “證券大盜”（）。該木馬病毒可盜取包括南方證券、國(guó)泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶(hù)和密碼，被盜號(hào)的股民賬戶(hù)存在被人惡意操縱的可能。7月29日， “外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個(gè)網(wǎng)絡(luò)游戲的用戶(hù)信息，如果用戶(hù)通過(guò)登陸某個(gè)網(wǎng)站 ，下載安裝所需外掛后，便會(huì)發(fā)現(xiàn)外掛實(shí)際上是經(jīng)過(guò)偽裝的病毒，這個(gè)時(shí)候病毒

9、便會(huì)自動(dòng)安裝到用戶(hù)電腦中。9月28日， 我的照片 (Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取熱血江湖 、傳奇 、天堂 、工商銀行 、中國(guó)農(nóng)業(yè)銀行 等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行的賬號(hào)和密碼。該病毒發(fā)作時(shí)，會(huì)顯示一張照片使用戶(hù)對(duì)其放松警惕。 2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另?yè)?jù)江民病毒預(yù)警中心監(jiān)測(cè)的數(shù)據(jù)顯示，1至6月全國(guó)共有7322453臺(tái)計(jì)算機(jī)感染了病毒，其中感染木馬病毒電腦2384868臺(tái)，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺(tái)，占病毒感染電腦總數(shù)的17.12%，感染后門(mén)程序電腦 6

10、64589臺(tái)，占病毒感染電腦總數(shù)的9.03%，蠕蟲(chóng)病毒216228臺(tái)，占病毒感染電腦總數(shù)的2.95%，監(jiān)測(cè)發(fā)現(xiàn)漏洞攻擊代碼感染181769臺(tái)，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺(tái)，占病毒感染電腦總數(shù)的2.06%。2007年：流氓軟件反流氓軟件技術(shù)對(duì)抗的階段。Cnnic3721 yahoo病毒的發(fā)展趨勢(shì)病毒更新?lián)Q代向多元化發(fā)展依賴(lài)網(wǎng)絡(luò)進(jìn)行傳播攻擊方式多樣（郵件，網(wǎng)頁(yè)，局域網(wǎng)等）利用系統(tǒng)漏洞成為病毒有力的傳播方式病毒與黑客技術(shù)相融合四、病毒人生（法律）1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，倫艾德

11、勒曼 (Len Adleman) 將它命名為計(jì)算機(jī)病毒(computer viruses)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出。 1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱(chēng)為“蠕蟲(chóng)”的電腦病毒送進(jìn)了美國(guó)最大的電腦網(wǎng)絡(luò)互聯(lián)網(wǎng)。1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國(guó)東海岸到西海岸，互聯(lián)網(wǎng)用戶(hù)陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺(tái)灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時(shí)，完成以他的英文名字縮寫(xiě)“CIH”名的電腦病毒起初據(jù)稱(chēng)只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司

12、難堪”。年僅18歲的高中生杰弗里李帕森因?yàn)樯嫦邮恰皼_擊波”電腦病毒的制造者于2003年8月29日被捕。對(duì)此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里李帕森是一個(gè)電腦天才，而決不是什么黑客，更不會(huì)去犯罪。 李俊，大學(xué)本科畢業(yè)大于1000萬(wàn)用戶(hù)染毒損失數(shù)億元人民幣處罰：最高無(wú)期？五、計(jì)算機(jī)病毒的主要危害 直接危害：1.病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用 2.占用磁盤(pán)空間和對(duì)信息的破壞 3.搶占系統(tǒng)資源 4.影響計(jì)算機(jī)運(yùn)行速度 5.計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害 6.計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響病毒的危害情況 間接危害：1.計(jì)算機(jī)病毒給用戶(hù)造成嚴(yán)重的心理壓力2.造成業(yè)務(wù)上的損失3.法律

13、上的問(wèn)題近幾年來(lái)的重大損失 年 份攻擊行為發(fā)起者受害PC數(shù)目損失金額 (美元)2006木馬和惡意軟件2005木馬2004Worm_Sasser(震蕩波)2003Worm_MSBLAST(沖擊波)超過(guò)140萬(wàn)臺(tái)2003SQL Slammer超過(guò)20萬(wàn)臺(tái)9.5億至12億2002Klez超過(guò)6百萬(wàn)臺(tái)90億2001RedCode超過(guò)1百萬(wàn)臺(tái)26億2001NIMDA超過(guò)8百萬(wàn)臺(tái)60億2000Love Letter88億1999CIH超過(guò)6千萬(wàn)臺(tái)近100億五、計(jì)算機(jī)病毒的分類(lèi)1、按病毒存在的媒體分類(lèi)網(wǎng)絡(luò)病毒：通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件；文件病毒：感染計(jì)算機(jī)中的文件（如：，等）；引導(dǎo)型病毒：感

14、染啟動(dòng)扇區(qū)（Boot）和硬盤(pán)的系統(tǒng)引導(dǎo)扇區(qū)（）；混合型病毒：是上述三種情況的混合。例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。2、按病毒傳染的方法分類(lèi) 引導(dǎo)扇區(qū)傳染病毒：主要使用病毒的全部或部分代碼取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在其他地方。執(zhí)行文件傳染病毒：寄生在可執(zhí)行程序中，一旦程序執(zhí)行，病毒就被激活，進(jìn)行預(yù)定活動(dòng)。網(wǎng)絡(luò)傳染病毒：這類(lèi)病毒是當(dāng)前病毒的主流，特點(diǎn)是通過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行傳播。例如，蠕蟲(chóng)病毒就是通過(guò)主機(jī)的漏洞在網(wǎng)上傳播。 3、按病毒破壞的能力分類(lèi) 無(wú)害型：除了傳染時(shí)減少磁盤(pán)

15、的可用空間外，對(duì)系統(tǒng)沒(méi)有其它影響。無(wú)危險(xiǎn)型：這類(lèi)病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類(lèi)音響。危險(xiǎn)型：這類(lèi)病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型：這類(lèi)病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。 4、按病毒算法分類(lèi) 伴隨型病毒：這一類(lèi)病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫(xiě)入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的EXE文件。蠕蟲(chóng)型病毒：通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)

16、從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。寄生型病毒：依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過(guò)系統(tǒng)的功能進(jìn)行傳播。練習(xí)型病毒：病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。 變形病毒：這一類(lèi)病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和經(jīng)過(guò)變化的病毒體組成。5、按計(jì)算機(jī)病毒的鏈結(jié)方式分類(lèi) 源碼型病毒：該病毒攻擊高級(jí)語(yǔ)言編寫(xiě)的程序，該病毒在高級(jí)語(yǔ)言所編寫(xiě)的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。嵌入型病毒：這種病毒是將自身嵌入到

17、現(xiàn)有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。這種計(jì)算機(jī)病毒是難以編寫(xiě)的，一旦侵入程序體后也較難消除。如果同時(shí)采用多態(tài)性病毒技術(shù)，超級(jí)病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前的反病毒技術(shù)帶來(lái)嚴(yán)峻的挑戰(zhàn)。外殼型病毒：外殼型病毒將其自身包圍在主程序的四周，對(duì)原來(lái)的程序不作修改。這種病毒最為常見(jiàn)，易于編寫(xiě)，也易于發(fā)現(xiàn)，一般測(cè)試文件的大小即可知。操作系統(tǒng)型病毒：這種病毒用自身的程序加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。圓點(diǎn)病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。6、按病毒攻擊操作系統(tǒng)分類(lèi)Microsoft DOSMicrosoft Windows 95

18、/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）病毒的發(fā)展是伴隨著計(jì)算機(jī)軟硬件的發(fā)展而發(fā)展的，讓我們沿著操作系統(tǒng)發(fā)展的幾個(gè)階段來(lái)看看病毒技術(shù)與反病毒技術(shù)演化。DOS時(shí)代（1981）Window 9x時(shí)代（1995）Windows NT/2000時(shí)代（1996）（一）DOS操作系統(tǒng)時(shí)代的病毒DOS操作系統(tǒng)簡(jiǎn)介16位的操作系統(tǒng)（8086、8088）實(shí)模式、單用戶(hù)、單任務(wù)字符界面中斷機(jī)制DOS可執(zhí)行文件病毒原理COM病毒EXE病毒常見(jiàn)感染手法 通過(guò)查目錄進(jìn)行傳播 通過(guò)執(zhí)行進(jìn)行傳播

19、通過(guò)文件查找進(jìn)行傳播 通過(guò)文件關(guān)閉的時(shí)候進(jìn)行傳播DOS反病毒原理特征碼技術(shù)模糊匹配技術(shù)（廣譜殺毒）行為判定技術(shù)啟發(fā)式掃描技術(shù)對(duì)各種可疑功能進(jìn)行加權(quán)判斷；MOV AH ,5； INT,13h; format（二）Windows操作系統(tǒng)32位操作系統(tǒng)搶占式多任務(wù)操作系統(tǒng)保護(hù)模式下運(yùn)行友好的圖形界面Windows病毒可執(zhí)行文件病毒宏病毒腳本病毒蠕蟲(chóng)病毒木馬病毒數(shù)據(jù)包病毒可執(zhí)行文件病毒典型病毒（CIH）感染原理特點(diǎn)反病毒技術(shù)文件監(jiān)控內(nèi)存監(jiān)控蠕蟲(chóng)病毒典型病毒感染原理特點(diǎn)反病毒技術(shù)郵件監(jiān)控網(wǎng)絡(luò)監(jiān)控席卷全球的NIMDA病毒木馬病毒典型病毒感染原理特點(diǎn)反病毒技術(shù)文件監(jiān)控防火墻宏病毒典型病毒感染原理特點(diǎn)反病毒技

20、術(shù)OFFICE嵌入式查毒特征代碼腳本病毒典型病毒感染原理特點(diǎn)反病毒技術(shù)腳本監(jiān)控?cái)?shù)據(jù)包病毒典型病毒（CodeRed, SQL Slammer）感染原理特點(diǎn)反病毒技術(shù)安全檢測(cè)漏洞掃描防火墻六、計(jì)算機(jī)病毒的傳播途徑 1、軟盤(pán)軟盤(pán)作為最常用的交換媒介，在計(jì)算機(jī)應(yīng)用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用，因那時(shí)計(jì)算機(jī)應(yīng)用比較簡(jiǎn)單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過(guò)軟盤(pán)相互拷貝、安裝，這樣病毒就能通過(guò)軟盤(pán)傳播文件型病毒；另外，在軟盤(pán)列目錄或引導(dǎo)機(jī)器時(shí)，引導(dǎo)區(qū)病毒會(huì)在軟盤(pán)與硬盤(pán)引導(dǎo)區(qū)內(nèi)互相感染。因此軟盤(pán)也成了計(jì)算機(jī)病毒的主要的寄生“溫床”。 2、光盤(pán) 光盤(pán)因?yàn)槿萘看?，存?chǔ)了大量的可執(zhí)行文件，大量

21、的病毒就有可能藏身于光盤(pán)，對(duì)只讀式光盤(pán)，不能進(jìn)行寫(xiě)操作，因此光盤(pán)上的病毒不能清除。以謀利為目的非法盜版軟件的制作過(guò)程中，不可能為病毒防護(hù)擔(dān)負(fù)專(zhuān)門(mén)責(zé)任，也決不會(huì)有真正可靠的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤(pán)的泛濫給病毒的傳播帶來(lái)了極大的便利。甚至有些光盤(pán)上殺病毒軟件本身就帶有病毒，這就給本來(lái)“干凈”的計(jì)算機(jī)帶來(lái)了災(zāi)難。 3、硬盤(pán)（含移動(dòng)硬盤(pán)、USB） 有時(shí)，帶病毒的硬盤(pán)在本地或移到其他地方使用甚至維修等，就會(huì)將干凈的軟盤(pán)傳染或者感染其他硬盤(pán)并擴(kuò)散。 網(wǎng)絡(luò)病毒的加速器網(wǎng)絡(luò)病毒技術(shù)社區(qū)集體攻擊病毒 蠕蟲(chóng)病毒特洛伊木馬黑客技術(shù)腳本病毒郵件病毒病毒源碼發(fā)布4、有線網(wǎng)絡(luò)觸目驚心的計(jì)算

22、卿斯?jié)h如果：20分鐘產(chǎn)生一種新病毒，通過(guò)因特網(wǎng)傳播（30萬(wàn)公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，每天開(kāi)機(jī)聯(lián)網(wǎng)2小時(shí)。結(jié)論：一年以?xún)?nèi)一臺(tái)聯(lián)網(wǎng)的電腦可能會(huì)被最新 病毒感染2190次。另一個(gè)數(shù)字：75的電腦被感染。網(wǎng)絡(luò)服務(wù)傳播媒介網(wǎng)絡(luò)的快速發(fā)展促進(jìn)了以網(wǎng)絡(luò)為媒介的各種服務(wù)（FTP, WWW, BBS, EMAIL等）的快速普及。同時(shí)，這些服務(wù)也成為了新的病毒傳播方式。 電子布告欄（BBS）： 電子郵件（Email）： 即時(shí)消息服務(wù)（QQ, ICQ, MSN等）： WEB服務(wù)： FTP服務(wù)： 新聞組： 5、無(wú)線通訊系統(tǒng)病毒對(duì)手機(jī)的攻擊有3個(gè)層次：攻擊WAP服務(wù)器，使手機(jī)無(wú)法訪問(wèn)服務(wù)器；攻擊網(wǎng)關(guān)，向手

23、機(jī)用戶(hù)發(fā)送大量垃圾信息；直接對(duì)手機(jī)本身進(jìn)行攻擊，有針對(duì)性地對(duì)其操作系統(tǒng)和運(yùn)行程序進(jìn)行攻擊，使手機(jī)無(wú)法提供服務(wù)。七、染毒計(jì)算機(jī)的癥狀病毒表現(xiàn)現(xiàn)象： 計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象 病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象 病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障1、發(fā)作前的現(xiàn)象平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無(wú)緣無(wú)故地死機(jī) 操作系統(tǒng)無(wú)法正常啟動(dòng)運(yùn)行速度明顯變慢以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤打印和通訊發(fā)生異常無(wú)意中要求對(duì)軟盤(pán)進(jìn)行寫(xiě)操作以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化運(yùn)行Word，打開(kāi)Word文檔后，該文件另存時(shí)只能以模板方式保存 磁盤(pán)

24、空間迅速減少網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來(lái)的電子函件 2、發(fā)作時(shí)的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂(lè)產(chǎn)生特定的圖像硬盤(pán)燈不斷閃爍進(jìn)行游戲算法Windows桌面圖標(biāo)發(fā)生變化計(jì)算機(jī)突然死機(jī)或重啟自動(dòng)發(fā)送電子郵件鼠標(biāo)自己在動(dòng)3、發(fā)作后的現(xiàn)象硬盤(pán)無(wú)法啟動(dòng)，數(shù)據(jù)丟失 系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動(dòng)加密修改Autoexec.bat文件使部分可軟件升級(jí)主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無(wú)法提供正常的服務(wù)4、與病毒現(xiàn)象類(lèi)似的軟件故障 出現(xiàn)“Invalid drive specification”(非法驅(qū)動(dòng)器號(hào)) 軟件程序已被破壞(非病

25、毒) 軟件與操作系統(tǒng)的兼容性 引導(dǎo)過(guò)程故障 用不同的編輯軟件程序5、與病毒現(xiàn)象類(lèi)似的硬件故障 系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅(qū)故障關(guān)于CMOS的問(wèn)題八、計(jì)算機(jī)病毒的命名規(guī)則 CARO命名規(guī)則，每一種病毒的命名包括五個(gè)部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點(diǎn)命名不用公司或商標(biāo)命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類(lèi) 精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時(shí)能奏樂(lè)，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因?yàn)镃ascade病毒的變種的大小不一（1701,

26、1704, 1621等），所以用大小來(lái)表示組名。A 表示該病毒是某個(gè)組中的第一個(gè)變種。 業(yè)界補(bǔ)充： 反病毒軟件商們通常在CARO命名的前面加一個(gè)前綴來(lái)標(biāo)明病毒類(lèi)型。比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個(gè)變種的命名就成了W97M.Melissa.AA，Happy 99蠕蟲(chóng)就被稱(chēng)為Win32.Happy99.Worm。VGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱(chēng)通過(guò)某種方法關(guān)聯(lián)起來(lái)，其目的是不管什么樣的掃描軟件都能按照可被識(shí)別的名稱(chēng)鏈進(jìn)行掃描。VGrep將病毒文件讀入并用不同的掃描器進(jìn)行掃描，掃描的結(jié)果和

27、被識(shí)別出的信息放入數(shù)據(jù)庫(kù)中。每一個(gè)掃描器的掃描結(jié)果與別的掃描結(jié)果相比較并將結(jié)果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個(gè)最通用的名字最為代表名字。擁有成千上萬(wàn)掃描器的大型企業(yè)集團(tuán)要求殺毒軟件供應(yīng)商使用VGrep命名，這對(duì)于在世界范圍內(nèi)跟蹤多個(gè)病毒的一致性很有幫助。 九、發(fā)展趨勢(shì)和最新動(dòng)向DOS引導(dǎo)階段 DOS可執(zhí)行階段伴隨、批次型階段幽靈、多形階段生成器、變體機(jī)階段網(wǎng)絡(luò)、蠕蟲(chóng)階段視窗階段宏病毒階段互連網(wǎng)階段Java、腳本語(yǔ)言、郵件炸彈階段通訊設(shè)備、PDA設(shè)備階段最新動(dòng)向病毒與其他技術(shù)相融合某些病毒及普通病毒、蠕蟲(chóng)、木馬和黑客等技術(shù)于一身，具有混合型特征，破壞性極強(qiáng)；傳播途徑

28、多，擴(kuò)散速度快很多病毒與internet和intranet緊密結(jié)合，通過(guò)系統(tǒng)漏洞、局域網(wǎng)、網(wǎng)頁(yè)、郵件等方式進(jìn)行傳播，擴(kuò)散速度極快。目前此類(lèi)病毒已有2000種之多；欺騙性強(qiáng) 很多病毒利用人們的好奇心理，往往具有很強(qiáng)的誘惑性和欺騙性，使得它更容易傳染，如“庫(kù)爾尼科娃”病毒即是利用網(wǎng)壇美女庫(kù)爾尼科娃的魅力；大量消耗系統(tǒng)與網(wǎng)絡(luò)資源計(jì)算機(jī)感染了REDCODE等病毒后，病毒會(huì)不斷遍歷磁盤(pán)、分配內(nèi)存，導(dǎo)致系統(tǒng)資源很快被消耗殆盡，最終使得計(jì)算機(jī)速度越來(lái)越慢或網(wǎng)絡(luò)阻塞；病毒出現(xiàn)頻度高，病毒生成工具多 早期的計(jì)算機(jī)病毒都是編程高手制作的，編寫(xiě)病毒是為了顯示自己的技術(shù)，但庫(kù)爾尼科娃病毒的設(shè)計(jì)者只是修改了下載的VBS

29、蠕蟲(chóng)孵化器變生成了該病毒。這種工具在網(wǎng)絡(luò)上很容易就可以獲得，因此新病毒的出現(xiàn)頻度超出以往的任何時(shí)候。20世紀(jì)末每年的病毒數(shù)目 十、計(jì)算機(jī)病毒防治病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來(lái)產(chǎn)生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來(lái)的所有反病毒軟硬件都無(wú)法檢測(cè)。3、目前的反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進(jìn)行更新、升級(jí)。4、病毒產(chǎn)生在前，反病毒手段滯后的現(xiàn)狀，將是一個(gè)長(zhǎng)期的過(guò)程。人類(lèi)為防治病毒所做出的努力 立體防護(hù) 網(wǎng)絡(luò)版 單機(jī)版防病毒卡對(duì)計(jì)算機(jī)病毒應(yīng)持有的態(tài)度 1.客觀承認(rèn)計(jì)算機(jī)病毒的存在，但不要懼怕病毒。 3.樹(shù)立計(jì)算機(jī)病毒意識(shí)，積極采取預(yù)防（備份等）

30、措施。4.掌握必要的計(jì)算機(jī)病毒知識(shí)和病毒防治技術(shù)，對(duì)用戶(hù)至關(guān)重要。5.發(fā)現(xiàn)病毒，冷靜處理。 目前廣泛應(yīng)用的幾種防治技術(shù)：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫(kù)文件中，在掃描時(shí)將掃描對(duì)象與特征代碼庫(kù)比較，如有吻合則判斷為染上病毒。該技術(shù)實(shí)現(xiàn)簡(jiǎn)單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫(kù)會(huì)造成查毒速度下降；虛擬執(zhí)行技術(shù) 該技術(shù)通過(guò)虛擬執(zhí)行方法查殺病毒，可以對(duì)付加密、變形、異型及病毒生產(chǎn)機(jī)生產(chǎn)的病毒，具有如下特點(diǎn)：在查殺病毒時(shí)在機(jī)器虛擬內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬機(jī)器”在虛擬機(jī)環(huán)境中虛擬執(zhí)行（不會(huì)被實(shí)際執(zhí)行）可疑帶毒文件在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)

31、據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實(shí)現(xiàn)對(duì)各類(lèi)可執(zhí)行文件內(nèi)病毒的查殺 文件實(shí)時(shí)監(jiān)控技術(shù) 通過(guò)利用操作系統(tǒng)底層接口技術(shù)，對(duì)系統(tǒng)中的所有類(lèi)型文件或指定類(lèi)型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控，一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警。從而實(shí)現(xiàn)了對(duì)病毒的實(shí)時(shí)、永久、自動(dòng)監(jiān)控。這種技術(shù)能夠有效控制病毒的傳播途徑，但是這種技術(shù)的實(shí)現(xiàn)難度較大，系統(tǒng)資源的占用率也會(huì)有所降低。智能引擎技術(shù) 智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn)，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項(xiàng)技術(shù)，使病毒掃描速度比2002版提高了一倍之多；其他的反病毒技術(shù)計(jì)算機(jī)監(jiān)控技術(shù)文件實(shí)

32、時(shí)監(jiān)控內(nèi)存實(shí)時(shí)監(jiān)控腳本實(shí)時(shí)監(jiān)控郵件實(shí)時(shí)監(jiān)控注冊(cè)表實(shí)時(shí)監(jiān)控參考：嵌入式殺毒技術(shù) 嵌入式殺毒技術(shù)是對(duì)病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c(diǎn)保護(hù)的技術(shù)，它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)。它對(duì)使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動(dòng)式的防護(hù)。如對(duì)MS-Office、Outlook、IE、Winzip、NetAnt等應(yīng)用軟件進(jìn)行被動(dòng)式殺毒。 未知病毒查殺技術(shù) 未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。壓縮智能還原技術(shù) 世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來(lái)，對(duì)于防病毒軟件

33、來(lái)說(shuō)，就是一個(gè)噩夢(mèng)。為了使用統(tǒng)一的方法來(lái)解決這個(gè)問(wèn)題，反病毒專(zhuān)家們發(fā)明了未知解壓技術(shù)，它可以對(duì)所有的這類(lèi)文件在內(nèi)存中還原，從而使得病毒完全暴露出來(lái)。多層防御，集中管理技術(shù)反病毒要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)的角度設(shè)計(jì)反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計(jì)算機(jī)病毒。 在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個(gè)NT服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會(huì)與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動(dòng)提供最佳

34、的網(wǎng)絡(luò)病毒防御措施。病毒免疫技術(shù) 病毒免疫技術(shù)一直是反病毒專(zhuān)家研究的熱點(diǎn)，它通過(guò)加強(qiáng)自主訪問(wèn)控制和設(shè)置磁盤(pán)禁寫(xiě)保護(hù)區(qū)來(lái)實(shí)現(xiàn)病毒免疫的基本構(gòu)想。實(shí)際上，最近出現(xiàn)的軟件安全認(rèn)證技術(shù)也應(yīng)屬于此技術(shù)的范疇，由于用戶(hù)應(yīng)用軟件的多樣性和環(huán)境的復(fù)雜性，病毒免疫技術(shù)到廣泛使用還有一段距離。病毒防治技術(shù)的趨勢(shì)前瞻加強(qiáng)對(duì)未知病毒的查殺能力加強(qiáng)對(duì)未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國(guó)內(nèi)外多家公司都宣布自己的產(chǎn)品可以對(duì)未知病毒進(jìn)行查殺，但據(jù)我們研究，國(guó)內(nèi)外的產(chǎn)品只有少數(shù)可以對(duì)同一家族的新病毒進(jìn)行預(yù)警，不能清除。目前有些公司已經(jīng)在這一領(lǐng)域取得了突破性的進(jìn)展，可以對(duì)未知DOS病毒、未知PE 病毒、未知宏病毒進(jìn)行

35、防范。其中對(duì)未知DOS病毒能查到90%以上，并能準(zhǔn)確清除其中的80%，未知PE 病毒能查到70%以上、未知宏病毒能實(shí)現(xiàn)查殺90%.防殺針對(duì)掌上型移動(dòng)通訊工具和PDA的病毒 隨著掌上型移動(dòng)通訊工具和PDA的廣泛使用，針對(duì)這類(lèi)系統(tǒng)的病毒已經(jīng)開(kāi)始出現(xiàn)，并且威脅將會(huì)越來(lái)越大，反病毒公司將投入更多的力量來(lái)加強(qiáng)此類(lèi)病毒的防范。介紹六種面向手機(jī)電話等便攜式信息設(shè)備的“EPOC” 上運(yùn)行的病毒：EPOC-ALARM，持續(xù)發(fā)出警告聲音，雖無(wú)大害，但很煩人；EPOC-BANDINFO.A,發(fā)作時(shí)將用戶(hù)信息并為 “Somefoolownthis”;EPOC-FAKE.A,會(huì)在手機(jī)的屏幕上顯示格式化內(nèi)置硬盤(pán)的畫(huà)面，但

36、實(shí)際上并不會(huì)執(zhí)行格式化操作；EPOC-GHOST.A，會(huì)在畫(huà)面上顯示“Everyone hates you”;EPOC-ALIGHT.A，會(huì)使背景燈持續(xù)閃爍；EPOC-ALONE.A,可使鍵盤(pán)操作功能喪失，可及時(shí)輸入“Leave me alone”來(lái)解除病毒常駐；兼容性病毒的防殺 目前已經(jīng)發(fā)現(xiàn)可以同時(shí)在微軟 WINDOWS和日益普及的LINUX兩種不同操作系統(tǒng)內(nèi)運(yùn)作的病毒，此類(lèi)病毒將會(huì)給人們帶來(lái)更多的麻煩，促使反病毒公司加強(qiáng)防殺此類(lèi)病毒。蠕蟲(chóng)病毒和腳本病毒的防殺不容忽視 蠕蟲(chóng)病毒是一種能自我復(fù)制的程序，駐留內(nèi)存并通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)復(fù)制自己，它通過(guò)大量消耗系統(tǒng)資源，最后導(dǎo)致系統(tǒng)癱瘓。給人們帶來(lái)了巨大

37、的危害，腳本病毒因?yàn)槠渚帉?xiě)相對(duì)容易正成為另一種趨勢(shì)，這兩類(lèi)病毒的危害性使人們絲毫不能忽視對(duì)其的防殺。十一、殺毒軟件及評(píng)價(jià)病毒查殺能力對(duì)新病毒的反應(yīng)能力對(duì)文件的備份和恢復(fù)能力實(shí)時(shí)監(jiān)控功能 及時(shí)有效的升級(jí)功能智能安裝、遠(yuǎn)程識(shí)別功能界面友好、易于操作 對(duì)現(xiàn)有資源的占用情況 （一）殺毒軟件必備功能 系統(tǒng)兼容性軟件的價(jià)格軟件商的實(shí)力 （二）國(guó)內(nèi)外殺毒軟件及市場(chǎng)金山毒霸、瑞星殺毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus等。2004年第一季度，

38、中國(guó)防殺毒軟件市場(chǎng)各品牌的排名前五位依次為瑞星、賽門(mén)鐵克、江民、 趨勢(shì)科技和金山，它們合占的市場(chǎng)份額達(dá)到69.7%，品牌集中度較高；其余30.3%的市場(chǎng)份額 被其它廠商所瓜分，市場(chǎng)競(jìng)爭(zhēng)日趨激烈。 項(xiàng)目諾頓Macfee趨勢(shì)卡巴斯基瑞星金山程序界面掃描設(shè)置查殺病毒查毒速度占用資源郵件支持病毒報(bào)警升級(jí)頻率綜合評(píng)比（三）殺毒軟件評(píng)測(cè)結(jié)果及評(píng)價(jià)公安部在2002年底測(cè)試結(jié)果：瑞星95分；國(guó)內(nèi)其他產(chǎn)品（例如，江民、金山等）在85-90分區(qū)間；國(guó)外產(chǎn)品（例如，趨勢(shì)、諾頓、熊貓等）都處于75分左右的水平。 國(guó)內(nèi)沒(méi)有廠商通過(guò)ICSA的產(chǎn)品測(cè)試地緣性因素十二、解決方案和策略 企業(yè)網(wǎng)絡(luò)中的病毒漏洞File Serve

39、rMail ServerClientInternet GatewayFirewallInternet 企業(yè)網(wǎng)絡(luò)基本結(jié)構(gòu) 網(wǎng)關(guān)（Gateway) 服務(wù)器（Servers) 郵件服務(wù)器 文件/應(yīng)用服務(wù)器 客戶(hù)端（clients) 趨勢(shì)整體防病毒解決方案FirewallInternetFile ServerClientInternet GatewayInterScan VirusWallServerProtectfor NTfor NetWareCentral ControlTVCSMail ServerScanMailfor Exchangefor Lotus NotesOfficeScan Cl

40、ientsOfficeScan ServerOfficeScan Server 趨勢(shì)整體防病毒解決方案 1 網(wǎng)關(guān)級(jí)解決方案 InterScan Viruswall 2 服務(wù)器級(jí)解決方案 郵件服務(wù)器 ScanMail for Exchange / for Notes 文件服務(wù)器 ServerProtect for NT / Netware 3 客戶(hù)端解決方案 Office Scan 4 集中管理系統(tǒng)解決方案 TVCS (Trend Virus Control System)防病毒策略 1、建立病毒防治的規(guī)章制度，嚴(yán)格管理； 2、建立病毒防治和應(yīng)急體系；3、進(jìn)行計(jì)算機(jī)安全教育，提高安全防范意識(shí)；4

41、、對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；5、選擇經(jīng)過(guò)公安部認(rèn)證的病毒防治產(chǎn)品；6、正確配置，使用病毒防治產(chǎn)品； 7、正確配置系統(tǒng)，減少病毒分侵害事件；8、定期檢查敏感文件；9、適時(shí)進(jìn)行安全評(píng)估，調(diào)整各種病毒防治策略；10、建立病毒事故分析制度；11、確保恢復(fù)，減少損失； 十三、國(guó)內(nèi)外病毒產(chǎn)品的技術(shù)發(fā)展態(tài)勢(shì)國(guó)內(nèi)外反病毒公司在反病毒領(lǐng)域各有所長(zhǎng)國(guó)內(nèi)外產(chǎn)品競(jìng)爭(zhēng)激烈 隨著中國(guó)信息化進(jìn)程的深入開(kāi)展，多家國(guó)際反病毒公司均加大了對(duì)中國(guó)市場(chǎng)的力度； 國(guó)內(nèi)反病毒企業(yè)發(fā)展勢(shì)頭強(qiáng)勁 國(guó)內(nèi)的瑞星、江民等公司都引進(jìn)了一些國(guó)外技術(shù)；反病毒服務(wù)是競(jìng)爭(zhēng)關(guān)鍵 要推動(dòng)企業(yè)信息安全建設(shè)、并從根本上改變國(guó)內(nèi)信息安全現(xiàn)狀，建立健全的服務(wù)體系是關(guān)鍵。我們

42、相信人類(lèi)受到病毒侵害及由此帶來(lái)的損失將逐步減少，國(guó)內(nèi)反病毒行業(yè)在政府的規(guī)范和用戶(hù)的支持下將取得更好的成績(jī)！相關(guān)資源1. Wildlist國(guó)際組織該網(wǎng)站維護(hù)世界各地發(fā)現(xiàn)的病毒列表。網(wǎng)站負(fù)責(zé)維護(hù)這個(gè)列表，并且按月打包供用戶(hù)下載。此外，網(wǎng)站上還有一些計(jì)算機(jī)病毒方面的學(xué)術(shù)論文。2. 病毒公告牌對(duì)于任何關(guān)心惡意代碼和垃圾信息防護(hù)、檢測(cè)和清除的人來(lái)說(shuō)，病毒公告在線雜志是一個(gè)必不可少的參考。逐日逐月地，病毒公告牌提供如下信息：1)來(lái)自于反惡意代碼業(yè)界的發(fā)人深省的新聞和觀點(diǎn)2)最新惡意代碼威脅的詳細(xì)分析3)探索反惡意代碼技術(shù)開(kāi)發(fā)的長(zhǎng)篇文檔4)反惡意代碼專(zhuān)家的會(huì)見(jiàn)5)對(duì)當(dāng)前反病毒產(chǎn)品的獨(dú)立評(píng)測(cè)6)覆蓋垃圾郵件和

43、反垃圾郵件技術(shù)的月報(bào)3. 29A病毒技術(shù)組織/29a/這個(gè)網(wǎng)站包含病毒、木馬和其他一些能夠破壞計(jì)算機(jī)系統(tǒng)安全的軟件。29A的成員對(duì)病毒技術(shù)特別感興趣，用戶(hù)可以從這里學(xué)到病毒制作技術(shù)。該網(wǎng)站是黑客不可或卻的學(xué)習(xí)網(wǎng)站。4. 亞洲反病毒研究者協(xié)會(huì)(AVAR)AVAR(亞洲反病毒研究者協(xié)會(huì) )成立于1998年6月。協(xié)會(huì)的宗旨是預(yù)防計(jì)算機(jī)病毒的傳播和破壞，促進(jìn)亞洲的反病毒研究者間建立良好的合作關(guān)系。該協(xié)會(huì)是獨(dú)立的、非盈利性組織，主要面向的對(duì)象是亞太地區(qū)。本協(xié)會(huì)有來(lái)自以下國(guó)家和地區(qū)資深的反病毒專(zhuān)家：澳大利亞、中國(guó)、中國(guó)香港、印度、日本、韓國(guó)、菲律賓、新加坡、中國(guó)臺(tái)北、英國(guó)以及美國(guó)。 我們的獨(dú)立性保證了我們

44、能在對(duì)抗計(jì)算機(jī)病毒的過(guò)程中發(fā)揮重要的作用，同時(shí)會(huì)提醒人們對(duì)計(jì)算機(jī)安全的警惕性。AVAR的主要工作包括：1) 組織和承辦以反病毒為主題的AVAR年會(huì)和論壇2) 在AVAR網(wǎng)站上提供亞洲的計(jì)算機(jī)病毒事件的信息3) 通過(guò)郵件的形式在AVAR的成員中建立郵件列表，并在會(huì)員中交換意見(jiàn)與信息 5. 國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站主要內(nèi)容是病毒流行列表、病毒SOS求救、數(shù)據(jù)恢復(fù)等。6. 病毒觀察網(wǎng)站主要內(nèi)容包括病毒預(yù)報(bào)、新聞、評(píng)論、相關(guān)法規(guī)、反病毒資料、安全漏洞、密碼知識(shí)、病毒百科在線檢索等。 7. 中國(guó)綠盟; 網(wǎng)站內(nèi)容包括安全論壇、安全文獻(xiàn)、系統(tǒng)工具、工具介紹等。8. 安全焦點(diǎn)網(wǎng)站內(nèi)容包括安全文獻(xiàn)、安全工

45、具、安全漏洞、焦點(diǎn)論壇等。9. 病毒資訊網(wǎng)網(wǎng)站主要內(nèi)容包括黑客頻道、防毒技巧、網(wǎng)絡(luò)安全新聞、病毒新聞等。10. 國(guó)際計(jì)算機(jī)安全聯(lián)合會(huì)(ICSA-InterNational Computer Secwrity Association) /如要對(duì)Internet的安全問(wèn)題感興趣,你可以訪問(wèn)國(guó)家計(jì)算機(jī)安全聯(lián)合會(huì)(NCSA)的站點(diǎn)。這里會(huì)看到很多關(guān)于國(guó)家計(jì)算機(jī)安全聯(lián)合會(huì)各種活動(dòng)的信息,包括會(huì)議,培訓(xùn)、產(chǎn)品認(rèn)證和安全警告等。在這里你可以了解到國(guó)際知名的病毒防治軟件登記請(qǐng)況。 謝謝計(jì)算機(jī)病毒理論模型本章學(xué)習(xí)目標(biāo)掌握計(jì)算機(jī)病毒的抽象描述掌握基于圖靈機(jī)的計(jì)算機(jī)病毒模型掌握基于遞歸函數(shù)的計(jì)算機(jī)病毒模型掌握網(wǎng)絡(luò)蠕

46、蟲(chóng)傳播模型掌握計(jì)算機(jī)病毒預(yù)防理論模型 虛擬案例一個(gè)文本編輯程序被病毒感染了。每當(dāng)使用文本編輯程序時(shí)，它總是先進(jìn)行感染工作并執(zhí)行編輯任務(wù)，其間，它將搜索合適文件以進(jìn)行感染。每一個(gè)新被感染的程序都將執(zhí)行原有的任務(wù)，并且也搜索合適的程序進(jìn)行感染。這種過(guò)程反復(fù)進(jìn)行。當(dāng)這些被感染的程序跨系統(tǒng)傳播，被銷(xiāo)售，或者送給其他人時(shí)，將產(chǎn)生病毒擴(kuò)散的新機(jī)會(huì)。最終，在1990年1月1日以后，被感染的程序終止了先前的活動(dòng)?，F(xiàn)在，每當(dāng)這樣的一個(gè)程序執(zhí)行時(shí)，它將刪除所有文件。計(jì)算機(jī)病毒偽代碼 main:=Call injure;Call submain;Call infect;injure:=If condition th

47、en whatever damage is to be done and halt;infect:=If condition then infect files;案例病毒的偽代碼main:=Call injure;Call submain;Call infect;injure:=If date= Jan. 1,1990 thenWhile file != 0File = get-random-file;Delete file;Halt; infect:=If true thenFile = get-random-executable-file;Rename main routine subma

48、in;Prepend self to file;精簡(jiǎn)后的偽代碼main:=Call injure;Decompress compressed part of program;Call submain;Call infect;injure:=If false then halt;infect:=If executable != 0 thenFile = get-random-executable-file;Rename main routine submain;Compress file;Prepend self to file; 病毒的性質(zhì)1對(duì)于每個(gè)程序，都存在該程序相應(yīng)的感染形式。也就是，可

49、以把病毒看作是一個(gè)程序到一個(gè)被感染程序的映射。 2每一個(gè)被感染程序在每個(gè)輸入（這里的輸入是指可訪問(wèn)信息，例如，用戶(hù)輸入，系統(tǒng)時(shí)鐘，數(shù)據(jù)或程序文件等）上做形成如下3個(gè)選擇： 破壞(Injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序無(wú)關(guān)，而只與病毒本身有關(guān)。傳染(Infect)：執(zhí)行原先的功能，并且，如果程序能終止，則傳染程序。對(duì)于除程序以外的其它可訪問(wèn)信息（如時(shí)鐘、用戶(hù)/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時(shí)，其結(jié)果是一樣的。也就是說(shuō)，一個(gè)程序被感染的形式與感染它的程

50、序無(wú)關(guān)。模仿(Imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個(gè)特例，其中被傳染的程序的個(gè)數(shù)為零。基于圖靈機(jī)的計(jì)算機(jī)病毒的計(jì)算模型基本圖靈機(jī)(TM)隨機(jī)訪問(wèn)計(jì)算機(jī)（Random Access Machine RAM） 隨機(jī)訪問(wèn)存儲(chǔ)程序計(jì)算機(jī)（Ramdom Access Stored Program Machine,RASPM）包含后臺(tái)存儲(chǔ)帶的隨機(jī)訪問(wèn)存儲(chǔ)程序計(jì)算機(jī)(The Random Access Stored Program Machine with Attached Background Storage, RASPM_ABS) 基于RASPM_ABS的病

51、毒計(jì)算機(jī)病毒被定義成程序的一部分，該程序附著在某個(gè)程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時(shí)，計(jì)算機(jī)病毒的代碼也跟著被執(zhí)行。1.病毒的傳播模型 如果病毒利用了計(jì)算機(jī)的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱(chēng)作專(zhuān)用計(jì)算機(jī)的傳播方式。如果病毒在傳播時(shí)沒(méi)有利用計(jì)算機(jī)的服務(wù)，那么此傳播方式被稱(chēng)為獨(dú)立于計(jì)算機(jī)的傳播方式。PC中，引導(dǎo)型病毒就具有專(zhuān)用計(jì)算機(jī)的傳播方式感染C源文件的病毒就是具有獨(dú)立計(jì)算機(jī)的傳播方式2.少態(tài)型病毒和多態(tài)型病毒當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序不同時(shí)，這種傳播方式稱(chēng)為多形態(tài)的。 當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并

52、且病毒程序的代碼順相同但至少有一部分病毒代碼被使用不同的密鑰加密時(shí)，這種傳播方式稱(chēng)為少形態(tài)的。 多態(tài)型病毒的實(shí)現(xiàn)要比少態(tài)型病毒的實(shí)現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。例如，通過(guò)從準(zhǔn)備好的集合中任意選取譯碼程序。該方法也能通過(guò)在傳播期間隨即產(chǎn)生程序指令來(lái)完成。例如，可以通過(guò)如下的方法來(lái)實(shí)現(xiàn)：改變譯碼程序的順序；處理器能夠通過(guò)一個(gè)以上的指令（序列）來(lái)執(zhí)行同樣的操作； 向譯碼程序中隨機(jī)地放入啞命令（Dummy Command）。3.病毒檢測(cè)的一般問(wèn)題如果存在著某一能夠解決病毒檢測(cè)問(wèn)題的算法，那么就能通過(guò)建立圖靈機(jī)來(lái)執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡(jiǎn)單的情況下，我們也不可能制造出這樣的圖靈機(jī)。定理

53、：不可能制造出一個(gè)圖靈機(jī)，利用該計(jì)算機(jī)，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。 4.病毒檢測(cè)方法如果我們只涉及一些已知病毒的問(wèn)題，那么就可能簡(jiǎn)化病毒檢測(cè)問(wèn)題。在此情況下，可以將已知病毒用在檢測(cè)算法上。我們從每個(gè)已知病毒提取一系列代碼，當(dāng)病毒進(jìn)行傳播時(shí)，它們就會(huì)在每個(gè)被感染了的文件中顯示出來(lái)。我們將這一系列代碼成為序列。病毒檢測(cè)程序的任務(wù)就是在程序中搜尋這些序列。 基于遞歸函數(shù)的計(jì)算機(jī)病毒的數(shù)學(xué)模型Adlemen給出的計(jì)算機(jī)病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個(gè)從SS到N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)。（3）對(duì)所有的s,tS,用表示e（

54、s,t）。（4）對(duì)所有部分函數(shù)f：NN及所有s,tS,用f(s,t)表示f()。（5）e表示一個(gè)從NN到N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)，并且對(duì)所有i,jN，e(i,j)i。（6）對(duì)所有i,jN，表示e(i,j)。（7）對(duì)所有部分函數(shù)f：NN及所有i,jN,f(i,j)表示f()。（8）對(duì)所有部分函數(shù)f：NN及所有nN,f(n)表示f(n)是有定義的。（9）對(duì)所有部分函數(shù)f：NN及所有nN,f(n)表示f(n)是未定義的。Adlemen病毒模型有如下缺陷：計(jì)算機(jī)病毒的面太廣。 定義并沒(méi)有反映出病毒的傳染特性。定義不能體現(xiàn)出病毒傳染的傳遞特性?！捌茐摹钡亩x不合適。Internet蠕蟲(chóng)

55、傳播模型SI(Susceptible易受感染的-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed) SIS模型和SI模型某種群中不存在流行病時(shí)，其種群（N）的生長(zhǎng)服從微分系統(tǒng)。其中 表示t時(shí)刻該環(huán)境中總種群的個(gè)體數(shù)量， 表示種群中單位個(gè)體的生育率，d表示單位個(gè)體的自然死亡率。 有疾病傳播時(shí)的模型S，I分別表示易感者類(lèi)和染病者類(lèi)表示一個(gè)染病者所具有的最大傳染力表示自然死亡率和額外死亡率 流行病的傳播服從雙線形傳染率的SIS模型總種群的生長(zhǎng)為：在SIS模型中，當(dāng)r=0時(shí)，該模型變?yōu)镾I模型。

56、SIR模型兩個(gè)假設(shè)：已被病毒感染的文件（檔）具有免疫力。病毒的潛伏期很短，近似地認(rèn)為等于零。把系統(tǒng)中可執(zhí)行程序分為三種：是被傳播對(duì)象即尚未感染病毒的可執(zhí)行程序，用S(t)表示第類(lèi)的數(shù)目。是帶菌者即已感染病毒的可執(zhí)行程序，用p(t)表示第類(lèi)的數(shù)目。是被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時(shí)間內(nèi)不會(huì)運(yùn)行的可執(zhí)行程序（相當(dāng)患病者死去），用R(t)表示第類(lèi)的數(shù)目。表示傳播（感染）速度； 表示每個(gè)時(shí)間段接觸次數(shù)；表示第類(lèi)程序變成第類(lèi)程序的速度；公式的解釋?zhuān)?S(t)的變化率即經(jīng)第類(lèi)程序變成第類(lèi)程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關(guān)，并且正比于這兩類(lèi)文件的乘積。 R(t)的變化

57、率即第類(lèi)程序變成第類(lèi)程序的變化率，與當(dāng)時(shí)第類(lèi)的可執(zhí)行程序數(shù)目成正比。 在考慮的時(shí)間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設(shè)它恒等于常數(shù)（即沒(méi)有文件被撤消，也沒(méi)有外面的新文件進(jìn)來(lái)），從而可執(zhí)行程序總數(shù)的變化率為零。 謝 謝第三章 計(jì)算機(jī)病毒結(jié)構(gòu)分析本章學(xué)習(xí)目標(biāo)掌握計(jì)算機(jī)病毒的結(jié)構(gòu)掌握計(jì)算機(jī)病毒的工作機(jī)制了解引導(dǎo)型病毒原理了解COM、EXE、NE、PE可執(zhí)行文件格式掌握COM文件病毒原理及實(shí)驗(yàn)掌握PE文件型病毒及實(shí)驗(yàn)總體概念DOS是VXer的樂(lè)園(Aver) 9x病毒 ring3, ring02K病毒 主要是ring3Windows文件格式變遷：COMEXE:MZ-NE-PEVxd: LE

58、(16Bit, 32Bit)一、計(jì)算機(jī)病毒的結(jié)構(gòu)和工作機(jī)制 四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導(dǎo)模塊（主控模塊） 兩個(gè)狀態(tài)：靜態(tài)動(dòng)態(tài)工作機(jī)制引導(dǎo)模塊引導(dǎo)前寄生寄生位置：引導(dǎo)區(qū)可執(zhí)行文件寄生手段：替代法（寄生在引導(dǎo)區(qū)中的病毒常用該法）鏈接法（寄生在文件中的病毒常用該法）引導(dǎo)過(guò)程駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能引導(dǎo)區(qū)病毒引導(dǎo)過(guò)程搬遷系統(tǒng)引導(dǎo)程序-替代為病毒引導(dǎo)程序啟動(dòng)時(shí)-病毒引導(dǎo)模塊-加載傳染、破壞和觸發(fā)模塊到內(nèi)存-使用常駐技術(shù)最后，轉(zhuǎn)向系統(tǒng)引導(dǎo)程序-引導(dǎo)系統(tǒng)文件型病毒引導(dǎo)過(guò)程修改入口指令-替代為跳轉(zhuǎn)到病毒模塊的指令執(zhí)行時(shí)-跳轉(zhuǎn)到病毒引導(dǎo)模塊-病毒引導(dǎo)模塊-加載傳染、破壞和觸發(fā)模塊

59、到內(nèi)存-使用常駐技術(shù)最后，轉(zhuǎn)向程序的正常執(zhí)行指令-執(zhí)行程序感染模塊病毒傳染的條件被動(dòng)傳染（靜態(tài)時(shí)）用戶(hù)在進(jìn)行拷貝磁盤(pán)或文件時(shí)，把一個(gè)病毒由一個(gè)載體復(fù)制到另一個(gè)載體上?；蛘呤峭ㄟ^(guò)網(wǎng)絡(luò)上的信息傳遞，把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動(dòng)傳染。 主動(dòng)傳染（動(dòng)態(tài)時(shí)）以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。這種傳染方式叫做計(jì)算機(jī)病毒的主動(dòng)傳染。 傳染過(guò)程系統(tǒng)（程序）運(yùn)行-各種模塊進(jìn)入內(nèi)存-按多種傳染方式傳染傳染方式立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開(kāi)始執(zhí)行

60、前，立即感染磁盤(pán)上的其他程序，然后再執(zhí)行宿主程序。駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個(gè)程序、瀏覽一個(gè)網(wǎng)頁(yè)時(shí)傳染磁盤(pán)上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后，仍可活動(dòng)，直至關(guān)閉計(jì)算機(jī)。 文件型病毒傳染機(jī)理首先根據(jù)病毒自己的特定標(biāo)識(shí)來(lái)判斷該文件是否已感染了該病毒；當(dāng)條件滿足時(shí)，將病毒鏈接到文件的特定部位，并存入磁盤(pán)中；完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。文件型病毒傳染途徑加載執(zhí)行文件瀏覽目錄過(guò)程創(chuàng)建文件過(guò)程 破壞模塊破壞是Vxer的追求，病毒魅力的體現(xiàn)破壞模塊的功能破壞、破壞、還是破壞破壞對(duì)象系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運(yùn)行速度、磁盤(pán)、CM