病毒防護技術(shù)

1、病毒防護技術(shù)1大綱概述病毒原理病毒技術(shù)反病毒技術(shù)病毒攻防發(fā)展2概述計算機病毒的定義計算機病毒的特征計算機病毒的歷史計算機病毒的分類3名稱由來由生物醫(yī)學(xué)上的“病毒”一詞借用而來與生物醫(yī)學(xué)上“病毒”的異同同：都具有傳染性、流行性、針對性等異：不是天生的，而是人為編制的具有特殊功能的程序“計算機病毒”一詞最早出現(xiàn)在美國作家Thomas J.Ryan于1977年出版的科幻小說The Adolescence of P-1中4計算機病毒定義廣義的定義：凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒（Computer Virus）1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系

2、統(tǒng)安全保護條例，在條理第28條中對計算機病毒的定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能夠自我復(fù)制的一組計算機指令或者程序代碼”。此定義具有法律性、權(quán)威性。5計算機病毒的特征寄生性計算機病毒是一種特殊的計算機程序，它不是以獨立的文件的形式存在的，它寄生在合法的程序中。病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。傳染性計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機是病毒的基本特征，是否具有傳染性是判別一個程序是否為計算機病毒的首要條件6計算機病毒的特征（cont.）隱蔽性計算機病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫仉[蔽

3、起來，不被用戶發(fā)覺，這樣才能實現(xiàn)進入計算機系統(tǒng)、進行廣泛傳播的目的。計算機病毒的隱蔽性表現(xiàn)為存在的隱蔽性與傳染的隱蔽性。潛伏性病毒程序為了達到不斷傳播并破壞系統(tǒng)的目的，一般不會在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性越好，其在系統(tǒng)中的存在時間就會越長，其傳染范圍就會越大。7計算機病毒的特征(cont.)可觸發(fā)性因某個特征或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。破壞性降低系統(tǒng)的工作效率，占用系統(tǒng)資源，刪除文件，導(dǎo)致網(wǎng)絡(luò)阻塞，竊取文件等病毒的破壞性主要取決于計算機病毒設(shè)計者的目的8計算機病毒的傳播途徑通過不可移動的計算機硬件設(shè)備進行傳播通過移動存儲設(shè)備來傳播：如軟盤、

4、U盤、光盤等通過計算機網(wǎng)絡(luò)進行傳播通過點對點通信系統(tǒng)和無線通道傳播9計算機病毒的歷史最早由馮諾伊曼提出一種可能性-現(xiàn)在稱為病毒，但沒引起注意。（1948年9月，馮諾伊曼提出了關(guān)于自我復(fù)制自動機系統(tǒng)的構(gòu)想 ） 1975 年，美國科普作家約翰布魯勒爾 (John Brunner) 寫了一本名為震蕩波騎士(Shock Wave Rider) 的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當(dāng)年最佳暢銷書之一。 1977 年夏天，托馬斯捷瑞安 (Thomas.J.Ryan) 的科幻小說P-1的春天(The Adolescence of P-1) 成為美國的暢銷書，作者

5、在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最后控制了 7,000 臺計算機，造成了一場災(zāi)難。 1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫艾德勒曼 (Len Adleman) 將它命名為計算機病毒(computer viruses)，并在每周一次的計算機安全討論會上正式提出，8 小時后專家們在 VAX11/750 計算機系統(tǒng)上運行，第一個病毒實驗成功，一周后又獲準(zhǔn)進行 5 個實驗的演示，從而在實驗上驗證了計算機病毒的存在。 1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和

6、阿姆杰德(Amjad) 兩兄弟經(jīng)營著一家 IBM-PC 機及其兼容機的小商店。他們編寫了Pakistan 病毒，即Brain。在一年內(nèi)流傳到了世界各地。 10計算機病毒的歷史1991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，在空襲巴格達的戰(zhàn)斗中，成功地破壞了對方的指揮系統(tǒng)，使之癱瘓，保證了戰(zhàn)斗的順利進行，直至最后勝利。1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。1998年出現(xiàn)針對Windows95/98系統(tǒng)的病毒，如CIH。它主要感染W(wǎng)indows95/98的可執(zhí)行程序，發(fā)作時破壞計算機Flash BIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞，同時破壞硬盤中的數(shù)據(jù)。1999年H

7、appy99等完全通過Internet傳播的病毒出現(xiàn)。11計算機病毒的歷史1988 年 3 月 2 日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。 1988 年 11 月 2 日，美國六千多臺計算機被病毒感染，造成 Internet不能正常運行。這是一次非常典型的計算機病毒入侵計算機網(wǎng)絡(luò)的事件，迫使美國政府立即作出反應(yīng)，國防部成立了計算機應(yīng)急行動小組。這次事件中遭受攻擊的包括 5 個計算機中心和 12 個地區(qū)結(jié)點，連接著政府、大學(xué)、研究所和擁有政府合同的 250,000 臺計算機。這次病毒事件，計算機系統(tǒng)直接經(jīng)濟損失達

8、9600 萬美元。這個病毒程序設(shè)計者是羅伯特莫里斯 (Robert T.Morris)，當(dāng)年 23 歲，是在康乃爾 (Cornell) 大學(xué)攻讀學(xué)位的研究生。 羅伯特莫里斯設(shè)計的病毒程序利用了系統(tǒng)存在的弱點。由于羅伯特莫里斯成了入侵 ARPANET 網(wǎng)的最大的電子入侵者，而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計，并獲得哈佛大學(xué) Aiken 中心超級用戶的特權(quán)。他也因此被判 3 年緩刑，罰款 1 萬美元，他還被命令進行 400 小時的新區(qū)服務(wù)。1988 年底，在我國的國家統(tǒng)計部門發(fā)現(xiàn)小球病毒。12計算機病毒的分類按攻擊的操作系統(tǒng)分類按傳播媒介分類按鏈接方式分類按危害程度分類按寄生方式分類按攻擊機型分類從廣

9、義病毒定義13按攻擊的操作系統(tǒng)分類攻擊DOS系統(tǒng)的病毒攻擊Windows系統(tǒng)的病毒攻擊UNIX系統(tǒng)的病毒（相對來說，為數(shù)不多，傳播效率低，不易流行）攻擊OS/2系統(tǒng)的病毒攻擊嵌入式操作系統(tǒng)的病毒。（特洛伊木馬“自由A”）（Palm）14按傳播媒介分類單機病毒載體：磁盤早期的病毒都是單機病毒網(wǎng)絡(luò)病毒傳播媒介：網(wǎng)絡(luò)GPI病毒是世界上第一個專門攻擊計算機網(wǎng)絡(luò)的病毒當(dāng)今的病毒大多都是網(wǎng)絡(luò)病毒（RedCode）15按鏈接方式分類源碼型病毒：該病毒攻擊高級語言編寫的程序，在高級語言所編寫的程序編譯前插入到源程序中，經(jīng)編譯成為合法程序的一部分。目前，該類病毒不多見。入侵型病毒/嵌入型病毒：在感染時往往對宿主

10、程序進行一定的修改，將自身嵌入到攻擊目標(biāo)中，代替宿主程序中不常用到的堆棧區(qū)或功能模塊，而不是鏈接在它的首部或尾部。編寫該類病毒比較困難。外殼型病毒：寄生在宿主程序的前面或后面，并修改程序的第一個執(zhí)行指令，使病毒先于宿主程序執(zhí)行，并隨著宿主程序的使用而傳染擴散。該類病毒易于編寫，數(shù)量最多。操作系統(tǒng)型病毒：這種病毒在運行時，用自己的邏輯模塊取代操作系統(tǒng)的部分合法程序模塊。16按危害程度分類良性計算機病毒：不對計算機系統(tǒng)直接進行破壞，只是具有一定表現(xiàn)癥狀的病毒。惡性計算機病毒：在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用，諸如竄改數(shù)據(jù)、格式化硬盤等。中性病毒

11、：對計算機系統(tǒng)不造成直接破壞，又沒有表現(xiàn)癥狀，只是瘋狂復(fù)制自身的病毒，也就是常說的蠕蟲型病毒。17按寄生方式分類引導(dǎo)型病毒：通過磁盤引導(dǎo)區(qū)傳染的病毒，主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。文件型病毒：通過操作系統(tǒng)的文件系統(tǒng)傳染的病毒，主要以感染可執(zhí)行程序（.bat、.exe、.com、.sys、.dll、.ovl、.vxd等）為主，病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒也就被激活，并將自身駐留內(nèi)存，然后設(shè)置觸發(fā)條件，進行感染?；旌闲筒《荆杭葌魅敬疟P引導(dǎo)扇區(qū)又傳染可執(zhí)行文件的病毒，綜合了系統(tǒng)型和文件型病毒的特征。18按攻擊機型分類攻擊微

12、型計算機的病毒攻擊小型機的計算機病毒攻擊工作站的計算機病毒攻擊便攜式電子設(shè)備的病毒19從廣義病毒定義邏輯炸彈特洛伊木馬計算機蠕蟲20邏輯炸彈邏輯炸彈：修改計算機程序，使它在某種特殊條件下按某種不同的方式運行。邏輯炸彈也是由程序員插入其它程序代碼中間的，但并不進行自我復(fù)制。21特洛伊木馬（Trojan horse）定義：泛指那些內(nèi)部包含有為完成特殊任務(wù)而編制的程序，一種潛伏執(zhí)行非授權(quán)功能的技術(shù)。它原本屬于一類基于遠程控制的工具。原理：C/S模式，服務(wù)器提供服務(wù)，客戶機接受服務(wù)。作為服務(wù)器的主機一般會打開一個默認(rèn)的端口進行監(jiān)聽，如果有客戶機向服務(wù)器的這一端口提出連接請求，服務(wù)器上的相應(yīng)程序就會自動

13、運行，來應(yīng)答客戶機的請求。這個程序被稱為守護進程。例如：冰河木馬22特洛伊木馬（Trojan horse）攻擊步驟：設(shè)定好服務(wù)器程序；騙取對方執(zhí)行服務(wù)器程序；尋找對方的IP地址；用客戶端程序來控制對方的計算機。特征和行為：木馬本身不進行自我復(fù)制。被感染的計算機系統(tǒng)會表現(xiàn)出不尋常的行為或運行變慢。比如：有一個或多個不尋常的任務(wù)在運行；注冊表和其他配置文件被修改；電子郵件會在用戶不知情的情況下被發(fā)送等。23特洛伊木馬（Trojan horse）傳播途徑：作為電子郵件附件傳播；隱藏在用戶與其他用戶進行交流的文檔和其他文件中；被其他惡意代碼所攜帶，如蠕蟲；會隱藏在從互聯(lián)網(wǎng)上下載的捆綁的免費軟件中。預(yù)防

14、：不要執(zhí)行任何來歷不明的軟件或程序（無論是郵件中還是Internet上下載的）。上網(wǎng)的計算機要必備防毒軟件（切記及時升級）24計算機蠕蟲（Worm）定義：通過分布式網(wǎng)絡(luò)來擴散傳播特定信息或錯誤，破壞網(wǎng)絡(luò)中的信息或造成網(wǎng)絡(luò)服務(wù)中斷的病毒。主要特點：利用網(wǎng)絡(luò)中軟件系統(tǒng)的缺陷，進行自我復(fù)制和主動傳播。但它與病毒在文件之間的傳播不同，它們是從一臺計算機傳播到另一臺計算機，從而感染整個系統(tǒng)。組成：主程序和引導(dǎo)程序主程序：一旦在機器上執(zhí)行，就會通過讀取公共配置文件以及收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，獲得與當(dāng)前機器聯(lián)網(wǎng)的其他機器的信息和軟件缺陷，并主動嘗試在這些遠程機器上建立其引導(dǎo)程序。25蠕蟲王病毒名稱：Worm.

15、SQLexp.3762003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)了“2003蠕蟲王”病毒，其危害遠遠超過曾經(jīng)肆虐一時的”紅色代碼”病毒。感染該蠕蟲病毒后網(wǎng)絡(luò)帶寬被大量占用，導(dǎo)致網(wǎng)絡(luò)癱瘓，該蠕蟲是利用SQLSERVER2000的解析端口1434的緩沖區(qū)溢出漏洞，對其網(wǎng)絡(luò)進行攻擊。由于“2003蠕蟲王”具有極強的傳播能力，在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。我國互聯(lián)網(wǎng)運營單位的網(wǎng)絡(luò)也部分出現(xiàn)了訪問變慢現(xiàn)象，情況嚴(yán)重的網(wǎng)絡(luò)甚至也曾一度癱瘓。病毒特征：該蠕蟲攻擊安裝有Microsoft SQL 的NT系列服務(wù)器，該病毒嘗試探測被攻擊機器的1434/udp端口，如果探測成功，則發(fā)送376個

16、字節(jié)的蠕蟲代碼.1434/udp端口為Microsoft SQL開放端口。該端口在未打補丁的SQL Server平臺上存在緩沖區(qū)溢出漏洞，使蠕蟲的后續(xù)代碼能夠得以機會在被攻擊機器上運行進一步傳播,導(dǎo)致系統(tǒng)癱瘓，停止服務(wù).攻擊對象多為XP,NT,不攻擊9X.26病毒原理傳統(tǒng)病毒宏病毒網(wǎng)絡(luò)病毒27計算機病毒的邏輯結(jié)構(gòu)計算機病毒程序一般包括以下3個功能模塊：病毒的引導(dǎo)模塊：當(dāng)病毒的宿主程序開始工作時將病毒程序從外存引入內(nèi)存，使其與宿主程序獨立，并且使病毒的傳染模塊和破壞模塊處于活動狀態(tài)，以監(jiān)視系統(tǒng)運行。病毒的傳染模塊：負責(zé)將病毒傳染給其他計算機程序，使病毒向外擴散。它由兩部分組成：病毒傳染的條件判斷

17、部分和病毒傳染程序主體部分。病毒的破壞（表現(xiàn)）模塊：是病毒的核心部分，它體現(xiàn)了病毒制造者的意圖。由兩部分組成：病毒破壞的條件判斷部分和破壞程序主體部分。28傳統(tǒng)病毒傳統(tǒng)病毒一般指早期的DOS病毒，通常采用按照寄生方式的分類方法（引導(dǎo)型、文件型和混合型）。引導(dǎo)型病毒的工作流程文件型病毒的工作流程29引導(dǎo)型病毒的工作流程30文件型病毒的工作流程31宏病毒宏：是一系列組合在一起的命令和指令，它們形成一個命令，以實現(xiàn)任務(wù)執(zhí)行的自動化。宏病毒：是一種存儲于文檔、模板或加載宏程序中的計算機病毒。特點：只感染微軟數(shù)據(jù)（文檔）文件機制：用VB高級語言編寫的病毒代碼，直接混雜在文件中，并加以傳播。當(dāng)打開受感染的

18、文件或執(zhí)行觸發(fā)宏病毒的操作時，病毒就會被激活，并存儲到Normal.dot模板或Personal.xls文件中，以后保存的每個文檔都會自動被病毒感染。32宏病毒的工作流程33U盤病毒U 盤病毒又稱 Autorun 病毒，是通過 AutoRun.inf 文件使對方所有的硬盤完全共享或中木馬的病毒。隨著 U 盤，移動硬盤，存儲卡等移動存儲設(shè)備的普及，U盤病毒也隨之泛濫起來。國家計算機病毒處理中心早已發(fā)布公告稱 U 盤已成為病毒和惡意木馬程序傳播的流行途徑。 34U盤病毒防治防范查找數(shù)種免費專用殺毒軟件備用。例如360安全衛(wèi)士。平時使用盤時，不要雙擊打開，最好是在插入盤前，按住shift鍵（按鍵的時

19、間長一點），然后插入盤，然后用右鍵點擊盤，選擇“資源管理器”來打開盤。檢查抽空檢查一下自己的盤，可以把盤插入電腦后把文件夾選項中隱藏受保護的操作系統(tǒng)文件選項鉤掉，如果根目錄下見到多出了autorun.inf、*.exe、等不明的文件，那可能就是“中招”了，應(yīng)及時采取措施。清除直接對autorun.inf文件進行刪除。如果無法直接刪除，就要先到進程管理里先結(jié)束相關(guān)進程再刪除，如果還不行就到安全模式里刪除。35網(wǎng)絡(luò)病毒特點：破壞性強 傳播性強 （網(wǎng)絡(luò)病毒普遍具有較強的再生機制，一接觸就可通過網(wǎng)絡(luò)擴散與傳染。根據(jù)有關(guān)資料介紹，在網(wǎng)絡(luò)上病毒傳播的速度是單機的幾十倍。）針對性強 （網(wǎng)絡(luò)病毒并非一定對網(wǎng)絡(luò)

20、上所有的計算機都進行感染與攻擊，而是具有某種針對性）擴散面廣 （由于網(wǎng)絡(luò)病毒能通過網(wǎng)絡(luò)進行傳播, 所以其擴散面限大）36網(wǎng)絡(luò)病毒種類：根據(jù)攻擊手段可分為蠕蟲和木馬兩大類型傳播方式：電子郵件、網(wǎng)頁、文件傳輸。如： 早期很多流行的病毒“ Melissa” 、“ LoveLetter” 、“Happytime”等都是通過郵件傳播的37網(wǎng)頁病毒網(wǎng)頁病毒是利用網(wǎng)頁來進行破壞的病毒，它使用一些SCRIPT語言編寫的一些惡意代碼利用IE的漏洞來實現(xiàn)病毒植入。當(dāng)用戶登錄某些含有網(wǎng)頁病毒的網(wǎng)站時，網(wǎng)頁病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進行破壞。輕則修改用戶的注冊表，使用戶的首頁、瀏覽器標(biāo)

21、題改變，重則可以關(guān)閉系統(tǒng)的很多功能，裝上木馬，染上病毒，使用戶無法正常使用計算機系統(tǒng)，嚴(yán)重者則可以將用戶的系統(tǒng)進行格式化。而這種網(wǎng)頁病毒容易編寫和修改，使用戶防不勝防。目前的網(wǎng)頁病毒都是利用JS.ActiveX、WSH共同合作來實現(xiàn)對客戶端計算機，進行本地的寫操作，如改寫你的注冊表，在你的本地計算機硬盤上添加、刪除、更改文件夾或文件等操作。而這一功能卻恰恰使網(wǎng)頁病毒、網(wǎng)頁木馬有了可乘之機。 （WSH，是“Windows Scripting Host”的縮略形式，其通用的中文譯名為“Windows 腳本宿主”。對于這個較為抽象的名詞，我們可以先作這樣一個籠統(tǒng)的理解：它是內(nèi)嵌于 Windows 操

22、作系統(tǒng)中的腳本語言工作環(huán)境。 ）38網(wǎng)頁病毒的性質(zhì)及特點 這種非法惡意程序能夠得以被自動執(zhí)行，在于它完全不受用戶的控制。一旦瀏覽含有該病毒的網(wǎng)頁，即可以在你不知不覺的情況下馬上中招，給用戶的系統(tǒng)帶來一般性的、輕度性的、嚴(yán)重惡性等不同程度的破壞。39網(wǎng)頁病毒的表現(xiàn)參見附件40網(wǎng)頁病毒的防治屏蔽指定網(wǎng)頁 提高安全級別 （Internet選項-“安全”選項卡，然后單擊“自定義級別”按鈕打開“安全設(shè)置”窗口，將“ActiveX控件和插件”、“腳本”下的所有選項，都盡可能的設(shè)為“禁用”，同時將“重置自定義設(shè)置”設(shè)為“安全級-高”即可。）確保WSH安全 （Windows 2000/XP操作更加簡單，只需要

23、打開文件夾選項窗口，然后在“文件類型”選項卡，找到“VBS VBScript Script File”選項并將其刪除即可。）禁止遠程注冊表服務(wù) （進入控制面板，在“管理工具”文件夾中打開“服務(wù)”項，然后雙擊右側(cè)的“Remote Registry”，將其啟動類型設(shè)為“已禁用”，并單擊“停用”按鈕即可。）41病毒技術(shù)寄生技術(shù)駐留技術(shù)加密變形技術(shù)隱藏技術(shù)42寄生技術(shù)寄生技術(shù)：病毒在感染的時候，將病毒代碼加入正常程序之中，原正常程序功能的全部或者部分被保留。分類：頭寄生、尾寄生、插入寄生（病毒代碼插入宿主程序位置的不同）空洞利用（例：CIH）是文件型病毒使用最多的技術(shù)43駐留技術(shù)駐留技術(shù)：當(dāng)被感染的文

24、件執(zhí)行時，病毒的一部分功能模塊進入內(nèi)存，即使程序執(zhí)行完畢，它們?nèi)砸恢瘪v留在內(nèi)存中。 病毒需要實時地監(jiān)控合適的感染對象和觸發(fā)條件，它總是希望關(guān)鍵的代碼能一直保留在內(nèi)存中，得到機會就能運行。 殺毒軟件如果只清除文件中的病毒而沒有清除內(nèi)存中的病毒，則病毒在系統(tǒng)退出前仍有機會感染文件。44加密變形技術(shù)加密變形技術(shù)：是一個具有里程碑意義的病毒技術(shù)。在加密病毒的基礎(chǔ)上改進，使病毒二進制代碼對不同傳染實例呈現(xiàn)多樣性。傳統(tǒng)病毒在代碼中總是具有自身的特點（如：標(biāo)記已感染的字串、特殊的駐留代碼、特殊的感染代碼等），反病毒廠商就利用這些特點編制特征碼，用于病毒的檢測。45加密變形技術(shù)通過自我加密，病毒的外觀能夠從一

25、種形態(tài)變成另一種形態(tài)，并將感染過的文本和信息隱藏起來。 大部分使用加密技術(shù)的病毒每次感染時都會改變形態(tài)，這樣使殺毒軟件更難辨認(rèn)。由于這種病毒必須在解密后運行，因此可以通過分析加密路線來發(fā)現(xiàn)它們。病毒加密的部分需要一把“密鑰”來譯解其隱藏的代碼，這把鑰匙就隱藏在病毒的固定 文本中，所以要發(fā)現(xiàn)和清除病毒只要找到這把密鑰即可。 多形病毒實際上是加密技術(shù)的深入，病毒在使用加密技術(shù)的同時，每個后代都使用不同的加密技術(shù)。也就是說，同一個病毒的病毒的不同樣本之間會有天壤之別，甚至是負責(zé)加密其余部分的那些病毒代碼也可以做到形態(tài)各異。 幾種不同類型的病毒組合會演變?yōu)槌汕先f的異形體，迫使殺毒軟件開發(fā)商投入大量的

26、研究人員和開發(fā)時間，生成特殊的解毒算法，正是這樣的斗爭造成了今天的相持不下的景象。 46隱藏技術(shù)隱藏技術(shù)：病毒在進入用戶系統(tǒng)之后，會采取種種方法隱藏自己的行蹤，使病毒不易被用戶和反病毒軟件發(fā)現(xiàn)。甚至采用遠程線程技術(shù)注入到系統(tǒng)進程之內(nèi)。47反病毒技術(shù)計算機病毒檢測技術(shù)計算機病毒的清除計算機病毒的免疫計算機病毒的預(yù)防48反病毒技術(shù)病毒技術(shù)與反病毒技術(shù)存在著相互對立、相互依存的關(guān)系，二者都在彼此的較量中不斷發(fā)展。 從總體上講，反病毒技術(shù)要滯后于病毒技術(shù)。 計算機病毒的防治可以分為四個方面的內(nèi)容：檢測、清除、免疫和預(yù)防。49如何發(fā)現(xiàn)計算機病毒（1/2）計算機病毒發(fā)作的時候，通常會出現(xiàn)以下幾種情況：電腦

27、運行比平常遲鈍；程序載入時間比平常久；對一個簡單的工作，硬盤似乎花了比預(yù)期長的時間；不尋常的錯誤信息出現(xiàn)；由于病毒程序的異?；顒樱斐蓪Υ疟P的異常訪問。比如沒沒有存取磁盤，但磁盤指示燈卻亮了；系統(tǒng)內(nèi)存容量忽然大量減少；磁盤可利用空間突然減少；50如何發(fā)現(xiàn)計算機病毒（2/2）可執(zhí)行程序的大小改變了；由于病毒可能通過將磁盤扇區(qū)標(biāo)記為壞簇的方式隱藏自己，磁盤壞簇會莫名其妙地增多；程序同時存取多部磁盤；內(nèi)存中增加來路不明的常駐程序；文件、數(shù)據(jù)奇怪地消失；文件的內(nèi)容被加上一些奇怪的資料；文件名稱、擴展名、屬性被更改過；死機現(xiàn)象增多；出現(xiàn)一些異常的畫面或聲音。51計算機病毒檢測技術(shù)（1/5）比較法：進行原

28、始的或正常的特征與被檢測對象的特征比較。由于病毒的感染會引起文件長度和內(nèi)容、內(nèi)存以及中斷向量的變化，從這些特征的比較中可以發(fā)現(xiàn)異常，從而判斷病毒的有無。優(yōu)點：簡單、方便，不需專用軟件缺點：無法確認(rèn)計算機病毒的種類和名稱52計算機病毒檢測技術(shù)（2/5）病毒校驗和法：計算出正常文件的程序代碼的校驗和，并保存起來，可供被檢測對象對照比較，以判斷是否感染了病毒。優(yōu)點：可偵測到各式的計算機病毒，包括未知病毒缺點：誤判率高，無法確認(rèn)病毒種類分析法：該方法的使用人員主要是反計算機病毒的技術(shù)專業(yè)人員。53計算機病毒檢測技術(shù)（3/5）搜索法：用每一種計算機病毒體含有的特定字符串對被檢測對象進行掃描。特征串選擇的

29、好壞，對于病毒的發(fā)現(xiàn)具有決定作用。如何提取特征串，則需要足夠的相關(guān)知識。缺點：被掃描的文件很長時，掃描所花時間也越多；不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別出新型計算機病毒；不易識別變形計算機病毒等。搜索法是目前使用最為普遍的計算機病毒檢測方法。54計算機病毒檢測技術(shù)（4/5）行為監(jiān)測法：由于病毒在感染及破壞時都表現(xiàn)出一些共同行為，而且比較特殊，這些行為在正常程序中比較罕見，因此可通過檢測這些行為來檢測病毒的存在與否。優(yōu)點：不僅可檢測已知病毒，而且可預(yù)報未知病毒。缺點：有可能誤報。（卡巴斯基）病毒行為軟件模擬法：專門用來對付多態(tài)病毒，多態(tài)病毒在每次傳染時都通過加密變化其

30、特征碼，使得搜索法失效。該方法監(jiān)視病毒運行，待病毒自身密碼破譯后，再進行代碼的分析。55計算機病毒檢測技術(shù)（5/5）感染實驗法：利用病毒最重要的基本特性傳染性。檢測時，先運行可疑系統(tǒng)中的程序，再運行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度和校驗和，如果發(fā)現(xiàn)有變化，可斷言系統(tǒng)中有病毒。56計算機病毒的清除病毒的清除：指將染毒文件的病毒代碼摘除，使之恢復(fù)為可正常運行的健全文件。病毒的清除可用專用軟件殺毒或手工進行。57計算機病毒的免疫病毒免疫原理：根據(jù)病毒簽名來實現(xiàn)。由于有些病毒在感染其他程序時要先判斷是否已被感染過，即欲攻擊的宿主程序是否已有相應(yīng)病毒簽名，如有則不再感染。因此，可人為地在“健康程序”中進行病毒簽名，起到免疫效果。58計算機病毒的預(yù)防經(jīng)常進行數(shù)據(jù)備份，特別是一些非常重要的數(shù)據(jù)及文件，以免被病毒侵入后無法恢復(fù)。對于新購置的計算機、硬盤、軟件等，先用查毒軟件檢測后方可使用。盡量避免在無防毒軟件的機器上或公用機器上使用可移動磁盤，以免感染病毒。對計算機的使用權(quán)限進行嚴(yán)