第六章惡意代碼分析與防范培訓(xùn)課件

第六章惡意代碼分析與防范第六章惡意代碼分析與防范1優(yōu)選第六章惡意代碼分析與防范優(yōu)選第六章惡意代碼分析與防范2

一個(gè)每天都要遇到的操作1可移動(dòng)存儲(chǔ)設(shè)備的使用演示U盤的使用過程一個(gè)每天都要遇到的操作1可移動(dòng)存儲(chǔ)設(shè)備的使用3

一個(gè)每天都要遇到的操作2

一個(gè)通過QQ的病毒用來擴(kuò)散惡意代碼，以創(chuàng)建一個(gè)IRC僵尸網(wǎng)絡(luò)（感染了60,000臺(tái)主機(jī)）。請(qǐng)?jiān)L問：一個(gè)每天都要遇到的操作2一個(gè)通過QQ的病毒用來擴(kuò)散惡意代4

一個(gè)每天都要遇到的操作3如果您的電腦配有攝像頭，在您使用完攝像頭之后，您會(huì)（）拔掉攝像頭，或者將攝像頭扭轉(zhuǎn)方向 （546人，44.1%）無所謂 （693人，55.9%）一個(gè)每天都要遇到的操作3如果您的電腦配有攝像頭，在您使用完5

一個(gè)每天都要遇到的操作4還有什么？下載軟件的來源Office文檔、圖片、視頻設(shè)置密碼一個(gè)每天都要遇到的操作4還有什么？6

惡意代碼的基本概念惡意代碼，又稱MaliciousCode，或MalCode,MalWare。其是設(shè)計(jì)目的是用來實(shí)現(xiàn)某些惡意功能的代碼或程序。發(fā)展及特征長期存在的根源惡意代碼的基本概念惡意代碼，又稱MaliciousCod7

計(jì)算機(jī)病毒概念≠臭蟲（bug)≠生物學(xué)中的病毒真的完全不等于嗎?它是計(jì)算機(jī)上的野生動(dòng)物計(jì)算機(jī)病毒概念≠臭蟲（bug)8

什么是計(jì)算機(jī)病毒Virus,拉丁文:毒藥就是一段特殊的小程序,由于具有與生物學(xué)病毒相類似的特征(潛伏性、傳染性、發(fā)作期等)，所以人們就用生物學(xué)上的病毒來稱呼它。美國計(jì)算機(jī)安全專家是這樣定義計(jì)算機(jī)病毒的”病毒程序通過修改其他程序的方法將自己的精確拷貝或可能演化的形式放入其他程序中，從而感染它們”。什么是計(jì)算機(jī)病毒Virus,拉丁文:毒藥9

病毒的廣義和狹義定義狹義:我國出臺(tái)的《中華人民共和國計(jì)算機(jī)安全保護(hù)條例》對(duì)病毒的定義如下“計(jì)算機(jī)病毒是指編制、或者在計(jì)算機(jī)程序中插入的，破壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序片段代碼。”廣義:能夠引起計(jì)算機(jī)故障,破壞計(jì)算機(jī)數(shù)據(jù)的程序都統(tǒng)稱為計(jì)算機(jī)病毒。病毒的廣義和狹義定義狹義:101949年，馮·諾伊曼文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》中提出一種會(huì)自我繁殖的程序的可能，但沒引起注意這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。關(guān)注異常進(jìn)程、端口、服務(wù)、網(wǎng)絡(luò)流量…安裝殺毒軟件，更新病毒庫各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）dll文件，并通過這些文件進(jìn)行傳播。一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。后門VS特洛伊木馬破壞性程序病毒的前綴是HarmRedlof，歡樂時(shí)光（VBS.按病毒發(fā)作的時(shí)間命名黑色星期五；網(wǎng)絡(luò)木馬（遠(yuǎn)程控制灰鴿子）不可以自我復(fù)制，需要植入木馬全稱是“特洛伊木馬(TrojanHorse)”，原指古希臘人把士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。后門病毒的前綴是Backdoor是完整的程序，獨(dú)立的存在于磁盤上

惡意代碼

1949年，馮·諾伊曼文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》11

網(wǎng)絡(luò)惡意代碼的分類計(jì)算機(jī)病毒一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、新歡樂時(shí)光、求職信、惡鷹、rose…網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。其通過不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播。利用系統(tǒng)漏洞（病毒不需要漏洞）如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波…特洛伊木馬是指一類看起來具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控制端兩端組成。如冰河、網(wǎng)絡(luò)神偷、灰鴿子……網(wǎng)絡(luò)惡意代碼的分類計(jì)算機(jī)病毒一組能夠進(jìn)行自我傳播、需要用戶12

網(wǎng)絡(luò)惡意代碼的分類（續(xù)）后門使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)訪問的一類程序。如Bits、WinEggDrop、Tini…RootKit通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。如RootKit、Hkdef、ByShell…拒絕服務(wù)程序，黑客工具，廣告軟件，間諜軟件……流氓軟件……網(wǎng)絡(luò)惡意代碼的分類（續(xù)）后門使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)13

幾個(gè)容易混淆的分類計(jì)算機(jī)病毒VS網(wǎng)絡(luò)蠕蟲木馬VS后門幾個(gè)容易混淆的分類計(jì)算機(jī)病毒VS網(wǎng)絡(luò)蠕蟲14

后門VS特洛伊木馬如果一個(gè)程序僅僅提供遠(yuǎn)程訪問，那么它只是一個(gè)后門。如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。木馬是披著羊皮的狼！！它對(duì)用戶個(gè)人隱私造成極大威脅。后門VS特洛伊木馬如果一個(gè)程序僅僅提供遠(yuǎn)程訪問，那么它15

病毒程序與正常程序的比較

病毒程序其它正常可執(zhí)行程序一般比較小一般比較大并非完整的程序，必須依附在其它程序上是完整的程序，獨(dú)立的存在于磁盤上沒有文件名有自己的文件名和擴(kuò)展名，如COM、EXE有感染性，能將自身復(fù)制到其它程序上不能自我復(fù)制在用戶完全不知道的情況下執(zhí)行根據(jù)用戶的命令執(zhí)行在一定條件下有破壞作用無破壞作用病毒程序與正常程序的比較病毒程序其它正常可執(zhí)16其通過不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播。清除異常系統(tǒng)啟動(dòng)項(xiàng)與系統(tǒng)目錄異常文件一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）不可以自我復(fù)制，需要植入RootKit通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。關(guān)注異常進(jìn)程、端口、服務(wù)、網(wǎng)絡(luò)流量…一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫木馬全稱是“特洛伊木馬(TrojanHorse)”，原指古希臘人把士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。一個(gè)每天都要遇到的操作2如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng)），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。不可以自我復(fù)制，需要植入Virus,拉丁文:毒藥一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。雙擊執(zhí)行，或命令行運(yùn)行通常由控制端和被控制端兩端組成。不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）

病毒起源探究1949年，馮·諾伊曼文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》中提出一種會(huì)自我繁殖的程序的可能，但沒引起注意

1960年，美國的約翰·康維在編寫"生命游戲"程序時(shí)，首先實(shí)現(xiàn)了程序自我復(fù)制技術(shù)。1977，科幻小說《p1的青春》貝爾實(shí)驗(yàn)室，磁芯大戰(zhàn),達(dá)爾文游戲提示:一般認(rèn)為，計(jì)算機(jī)病毒的發(fā)源地在美國。其通過不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播。病毒起源探究17

計(jì)算機(jī)病毒的發(fā)展DOS階段視窗階段宏病毒階段(演示)互連網(wǎng)階段網(wǎng)絡(luò)、蠕蟲階段Java、郵件炸彈、木馬階段計(jì)算機(jī)病毒的發(fā)展DOS階段18

計(jì)算機(jī)病毒的特性傳染性隱藏性潛伏性可觸發(fā)性破壞性不可預(yù)見性非授權(quán)性計(jì)算機(jī)病毒的特性傳染性19

計(jì)算機(jī)病毒的分類按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型按傳染方式駐留型、非駐留型按破壞能力良性（徐明莫言英）、惡性、極惡性按算法伴隨型、蠕蟲型、寄生型、詭秘型、變型按入侵方式源代碼嵌入攻擊、代碼取代攻擊、系統(tǒng)修改型、外殼附加型按傳播媒介單機(jī)、網(wǎng)絡(luò)計(jì)算機(jī)病毒的分類按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型20

病毒的命名實(shí)測(cè)比較各種防毒軟件的查毒能力瑞星發(fā)現(xiàn)有拒絕服務(wù)的黑客工具瑞星查出有木馬類黑客工具江民防火墻能對(duì)UDP協(xié)議的訪問把關(guān)，就有能力發(fā)現(xiàn)黑客攻擊的開始‘踩點(diǎn)’瑞星對(duì)黑客開后門能有所覺察病毒的命名實(shí)測(cè)比較各種防毒軟件的查毒能力瑞星發(fā)現(xiàn)有拒絕服務(wù)21

計(jì)算機(jī)病毒的命名DOS病毒命名(一日喪命散、含笑半步顛)1.按病毒發(fā)作癥狀命名小球熊貓燒香花屏病毒步行者病毒武漢男孩2.按病毒發(fā)作的時(shí)間命名黑色星期五；3.按病毒自身包含的標(biāo)志命名CIH（不是HIV)按病毒發(fā)現(xiàn)地命名如“黑色星期五”又稱Jurusalem(耶路撒冷)病毒計(jì)算機(jī)病毒的命名DOS病毒命名(一日喪命散、含笑半步顛)22

計(jì)算機(jī)病毒的命名4.按病毒發(fā)現(xiàn)地命名Jurusalem(耶路撒冷)病毒，Vienna(維也納)病毒5.按病毒的字節(jié)長度命名以病毒傳染文件時(shí)文件的增加長度或病毒自身代碼的長度來命名，如1575、2153、1701、1704、1514、4096計(jì)算機(jī)病毒的命名4.按病毒發(fā)現(xiàn)地命名Jurusalem(23

計(jì)算機(jī)病毒的命名反病毒公司為了方便管理，會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。一般格式為<病毒前綴>.<病毒名>.<病毒后綴>計(jì)算機(jī)病毒的命名反病毒公司為了方便管理，會(huì)按照病毒的特性，24比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。按入侵方式源代碼嵌入攻擊、代碼取代攻擊、系統(tǒng)修改型、外殼附加型按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型DOS病毒命名(一日喪命散、含笑半步顛)有自己的文件名和擴(kuò)展名，如COM、EXE按病毒發(fā)作癥狀命名小球熊貓燒香花屏病毒步行者病毒武漢男孩安裝反病毒軟件和防火墻特洛伊木馬是指一類看起來具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。DoS會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。RootKit通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。Redlof，歡樂時(shí)光（VBS.按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型瑞星查出有木馬類黑客工具如果您的電腦配有攝像頭，在您使用完攝像頭之后，您會(huì)（）不可以自我復(fù)制，需要植入病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。網(wǎng)絡(luò)惡意代碼的運(yùn)行周期后門病毒的前綴是Backdoor不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）

計(jì)算機(jī)病毒的命名病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴

Trojan，蠕蟲病毒的前綴是

Worm等等還有其他的。病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，振蕩波蠕蟲病毒的家族名是“Sasser”。

比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。計(jì)算機(jī)病25

計(jì)算機(jī)病毒的命名病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如

就是指

振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng)），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。

計(jì)算機(jī)病毒的命名病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別26

計(jì)算機(jī)病毒的命名1、系統(tǒng)病毒

系統(tǒng)病毒的前綴為Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進(jìn)行傳播。如CIH病毒。

2、蠕蟲病毒

蠕蟲病毒的前綴是Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。計(jì)算機(jī)病毒的命名1、系統(tǒng)病毒

27

計(jì)算機(jī)病毒的命名3、木馬病毒、黑客病毒

木馬病毒其前綴是Trojan，黑客病毒前綴名一般為Hack。Trojan.QQ3344，4、腳本病毒紅色代碼（Script.Redlof，歡樂時(shí)光（VBS.Happytime）、十四日（）計(jì)算機(jī)病毒的命名3、木馬病毒、黑客病毒28

計(jì)算機(jī)病毒的命名5、宏病毒宏病毒的前綴是Macro，第二前綴是Word、Word97、Excel、Excel97，Macro.Melissa6、后門病毒后門病毒的前綴是Backdoor7、病毒種植程序病毒這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。計(jì)算機(jī)病毒的命名5、宏病毒宏病毒的前綴是Macro，第二前29

計(jì)算機(jī)病毒的命名8．破壞性程序病毒

破壞性程序病毒的前綴是Harm9．玩笑病毒

玩笑病毒的前綴是Joke。10．捆綁機(jī)病毒

捆綁機(jī)病毒的前綴是Binder計(jì)算機(jī)病毒的命名8．破壞性程序病毒30

計(jì)算機(jī)病毒的命名DoS會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；Exploit會(huì)自動(dòng)通過溢出對(duì)方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；HackTool黑客工具，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來用你做替身去破壞別人計(jì)算機(jī)病毒的命名DoS會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻31

計(jì)算機(jī)病毒的生命周期

4、發(fā)作階段1、潛伏階段2、傳染階段3、觸發(fā)階段計(jì)算機(jī)病毒的生命周期4、發(fā)作階段1、潛伏階段2、傳32

網(wǎng)絡(luò)惡意代碼的運(yùn)行周期尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身保存線觸發(fā)線網(wǎng)絡(luò)惡意代碼的運(yùn)行周期尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系33

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身尋找目標(biāo)本地文件（.exe,.scr,.doc,vbs…）可移動(dòng)存儲(chǔ)設(shè)備電子郵件地址遠(yuǎn)程計(jì)算機(jī)系統(tǒng)……尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中尋找目標(biāo)在目標(biāo)之34

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身主動(dòng)型—程序自身實(shí)現(xiàn)病毒，蠕蟲被動(dòng)型-人為實(shí)現(xiàn)物理接觸植入入侵之后手工植入用戶自己下載（姜太公釣魚）訪問惡意網(wǎng)站……多用于木馬，后門，Rootkit…尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中在目標(biāo)之中惡意代35

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身主動(dòng)觸發(fā)蠕蟲各種漏洞（如緩沖區(qū)溢出）惡意網(wǎng)站網(wǎng)頁木馬被動(dòng)觸發(fā)初次人為觸發(fā)雙擊執(zhí)行，或命令行運(yùn)行打開可移動(dòng)存儲(chǔ)設(shè)備…打開本地磁盤……系統(tǒng)重啟后的觸發(fā)各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中惡意代碼執(zhí)行目標(biāo)36

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身目標(biāo)系統(tǒng)之中長期存活于讓自身靜態(tài)存在形式文件（Exe,Dll…）啟動(dòng)項(xiàng)（修改注冊(cè)表、各種啟動(dòng)文件…）……動(dòng)態(tài)存在形式進(jìn)程（自創(chuàng)進(jìn)程或插入到其他進(jìn)程之中）服務(wù)端口（對(duì)外通信）……以上也是惡意代碼檢測(cè)的基礎(chǔ)和依據(jù)所在；而惡意代碼本身也會(huì)對(duì)文件、啟動(dòng)項(xiàng)、進(jìn)程、端口、服務(wù)等進(jìn)行隱藏--〉即RootKit。尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中目標(biāo)系統(tǒng)之中靜態(tài)37

上網(wǎng)安全意識(shí)—惡意代碼篇尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身安裝反病毒軟件和防火墻及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫不訪問惡意網(wǎng)站為系統(tǒng)設(shè)置系統(tǒng)密碼離開計(jì)算機(jī)時(shí)鎖定計(jì)算機(jī)不從不知名網(wǎng)站下載軟件拒絕各種誘惑（如色情）移動(dòng)存儲(chǔ)設(shè)備的可寫開關(guān)……及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫對(duì)系統(tǒng)關(guān)鍵程序（如cmd.exe）作權(quán)限保護(hù)不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）養(yǎng)成安全的移動(dòng)存儲(chǔ)設(shè)備使用習(xí)慣定期備份與還原系統(tǒng)關(guān)注系統(tǒng)啟動(dòng)項(xiàng)和系統(tǒng)目錄中的可執(zhí)行文件……安裝殺毒軟件，更新病毒庫定期備份與還原系統(tǒng)清除異常系統(tǒng)啟動(dòng)項(xiàng)與系統(tǒng)目錄異常文件關(guān)注異常進(jìn)程、端口、服務(wù)、網(wǎng)絡(luò)流量………保存線觸發(fā)線存活線上網(wǎng)安全意識(shí)—惡意代碼篇尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)38

計(jì)算機(jī)病毒的運(yùn)行機(jī)制三組件復(fù)制傳染、隱藏、破壞運(yùn)行階段復(fù)制傳播+激活計(jì)算機(jī)病毒的運(yùn)行機(jī)制三組件復(fù)制傳染、隱藏、破壞39

特洛伊木馬木馬全稱是“特洛伊木馬(TrojanHorse)”，原指古希臘人把士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上，木馬指在可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲中，包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序，這些程序可能造成用戶的系統(tǒng)被破壞，甚至癱瘓。不可以自我復(fù)制，需要植入特洛伊木馬木馬全稱是“特洛伊木馬(TrojanHorse40

特洛伊木馬的分類及運(yùn)行機(jī)制本地木馬（QQ盜號(hào)木馬）網(wǎng)絡(luò)木馬（遠(yuǎn)程控制灰鴿子）運(yùn)行機(jī)制書本+前述代碼運(yùn)行周期特洛伊木馬的分類及運(yùn)行機(jī)制本地木馬（QQ盜號(hào)木馬）41無所謂 （693人，55.雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。不可以自我復(fù)制，需要植入如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng)），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。各種漏洞（如緩沖區(qū)溢出）啟動(dòng)項(xiàng)（修改注冊(cè)表、各種啟動(dòng)文件…）3、木馬病毒、黑客病毒后門VS特洛伊木馬如果您的電腦配有攝像頭，在您使用完攝像頭之后，您會(huì)（）如CIH、愛蟲、新歡樂時(shí)光、求職信、惡鷹、rose…如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。各種漏洞（如緩沖區(qū)溢出）特洛伊木馬的分類及運(yùn)行機(jī)制是完整的程序，獨(dú)立的存在于磁盤上dll文件，并通過這些文件進(jìn)行傳播。如Bits、WinEggDrop、Tini…破壞性程序病毒的前綴是Harm有自己的文件名和擴(kuò)展名，如COM、EXE不可以自我復(fù)制，需要植入關(guān)注系統(tǒng)啟動(dòng)項(xiàng)和系統(tǒng)目錄中的可執(zhí)行文件不可以自我復(fù)制，需要植入Office文檔、圖片、視頻有自己的文件名和擴(kuò)展名，如COM、EXE按病毒發(fā)作的時(shí)間命名黑色星期五；不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）雙擊執(zhí)行，或命令行運(yùn)行按病毒發(fā)作癥狀命名小球熊貓燒香花屏病毒步行者病毒武漢男孩雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型如冰河、網(wǎng)絡(luò)神偷、灰鴿子……其是設(shè)計(jì)目的是用來實(shí)現(xiàn)某些惡意功能的代碼或程序。各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）瑞星發(fā)現(xiàn)有拒絕服務(wù)的黑客工具不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）計(jì)算機(jī)病毒一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫1960年，美國的約翰·康維在編寫"生命游戲"程序時(shí)，首先實(shí)現(xiàn)了程序自我復(fù)制技術(shù)。后門VS特洛伊木馬三組件復(fù)制傳染、隱藏、破壞按病毒發(fā)現(xiàn)地命名Jurusalem(耶路撒冷)病毒，Vienna(維也納)病毒按病毒的字節(jié)長度命名以病毒傳染文件時(shí)文件的增加長度或病毒自身代碼的長度來命名，如1575、2153、1701、1704、1514、4096各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）如冰河、網(wǎng)絡(luò)神偷、灰鴿子……病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等還有其他的。按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型本地木馬（QQ盜號(hào)木馬）安裝反病毒軟件和防火墻一個(gè)每天都要遇到的操作4這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。關(guān)注系統(tǒng)啟動(dòng)項(xiàng)和系統(tǒng)目錄中的可執(zhí)行文件及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫一個(gè)通過QQ的病毒用來擴(kuò)散惡意代碼，以創(chuàng)建一個(gè)IRC僵尸網(wǎng)絡(luò)（感染了60,000臺(tái)主機(jī)）。后門VS特洛伊木馬運(yùn)行機(jī)制書本+前述代碼運(yùn)行周期特洛伊木馬的分類及運(yùn)行機(jī)制拔掉攝像頭，或者將攝像頭扭轉(zhuǎn)方向 （546人，44.

網(wǎng)頁掛馬網(wǎng)頁掛馬的種類大家一起來試一下吧。。。（木馬生成器、卡飯）網(wǎng)頁掛馬的傳播方式網(wǎng)頁掛馬的運(yùn)行方式網(wǎng)頁掛馬的檢測(cè)與防范網(wǎng)頁掛馬加密?。?！無所謂 （693人，55.關(guān)注系統(tǒng)啟動(dòng)項(xiàng)和系統(tǒng)目錄中的可42第六章惡意代碼分析與防范第六章惡意代碼分析與防范43優(yōu)選第六章惡意代碼分析與防范優(yōu)選第六章惡意代碼分析與防范44

一個(gè)每天都要遇到的操作1可移動(dòng)存儲(chǔ)設(shè)備的使用演示U盤的使用過程一個(gè)每天都要遇到的操作1可移動(dòng)存儲(chǔ)設(shè)備的使用45

一個(gè)每天都要遇到的操作2

一個(gè)通過QQ的病毒用來擴(kuò)散惡意代碼，以創(chuàng)建一個(gè)IRC僵尸網(wǎng)絡(luò)（感染了60,000臺(tái)主機(jī)）。請(qǐng)?jiān)L問：一個(gè)每天都要遇到的操作2一個(gè)通過QQ的病毒用來擴(kuò)散惡意代46

一個(gè)每天都要遇到的操作3如果您的電腦配有攝像頭，在您使用完攝像頭之后，您會(huì)（）拔掉攝像頭，或者將攝像頭扭轉(zhuǎn)方向 （546人，44.1%）無所謂 （693人，55.9%）一個(gè)每天都要遇到的操作3如果您的電腦配有攝像頭，在您使用完47

一個(gè)每天都要遇到的操作4還有什么？下載軟件的來源Office文檔、圖片、視頻設(shè)置密碼一個(gè)每天都要遇到的操作4還有什么？48

惡意代碼的基本概念惡意代碼，又稱MaliciousCode，或MalCode,MalWare。其是設(shè)計(jì)目的是用來實(shí)現(xiàn)某些惡意功能的代碼或程序。發(fā)展及特征長期存在的根源惡意代碼的基本概念惡意代碼，又稱MaliciousCod49

計(jì)算機(jī)病毒概念≠臭蟲（bug)≠生物學(xué)中的病毒真的完全不等于嗎?它是計(jì)算機(jī)上的野生動(dòng)物計(jì)算機(jī)病毒概念≠臭蟲（bug)50

什么是計(jì)算機(jī)病毒Virus,拉丁文:毒藥就是一段特殊的小程序,由于具有與生物學(xué)病毒相類似的特征(潛伏性、傳染性、發(fā)作期等)，所以人們就用生物學(xué)上的病毒來稱呼它。美國計(jì)算機(jī)安全專家是這樣定義計(jì)算機(jī)病毒的”病毒程序通過修改其他程序的方法將自己的精確拷貝或可能演化的形式放入其他程序中，從而感染它們”。什么是計(jì)算機(jī)病毒Virus,拉丁文:毒藥51

病毒的廣義和狹義定義狹義:我國出臺(tái)的《中華人民共和國計(jì)算機(jī)安全保護(hù)條例》對(duì)病毒的定義如下“計(jì)算機(jī)病毒是指編制、或者在計(jì)算機(jī)程序中插入的，破壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序片段代碼。”廣義:能夠引起計(jì)算機(jī)故障,破壞計(jì)算機(jī)數(shù)據(jù)的程序都統(tǒng)稱為計(jì)算機(jī)病毒。病毒的廣義和狹義定義狹義:521949年，馮·諾伊曼文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》中提出一種會(huì)自我繁殖的程序的可能，但沒引起注意這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。關(guān)注異常進(jìn)程、端口、服務(wù)、網(wǎng)絡(luò)流量…安裝殺毒軟件，更新病毒庫各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）dll文件，并通過這些文件進(jìn)行傳播。一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。后門VS特洛伊木馬破壞性程序病毒的前綴是HarmRedlof，歡樂時(shí)光（VBS.按病毒發(fā)作的時(shí)間命名黑色星期五；網(wǎng)絡(luò)木馬（遠(yuǎn)程控制灰鴿子）不可以自我復(fù)制，需要植入木馬全稱是“特洛伊木馬(TrojanHorse)”，原指古希臘人把士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。后門病毒的前綴是Backdoor是完整的程序，獨(dú)立的存在于磁盤上

惡意代碼

1949年，馮·諾伊曼文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》53

網(wǎng)絡(luò)惡意代碼的分類計(jì)算機(jī)病毒一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、新歡樂時(shí)光、求職信、惡鷹、rose…網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。其通過不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播。利用系統(tǒng)漏洞（病毒不需要漏洞）如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波…特洛伊木馬是指一類看起來具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控制端兩端組成。如冰河、網(wǎng)絡(luò)神偷、灰鴿子……網(wǎng)絡(luò)惡意代碼的分類計(jì)算機(jī)病毒一組能夠進(jìn)行自我傳播、需要用戶54

網(wǎng)絡(luò)惡意代碼的分類（續(xù)）后門使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)訪問的一類程序。如Bits、WinEggDrop、Tini…RootKit通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。如RootKit、Hkdef、ByShell…拒絕服務(wù)程序，黑客工具，廣告軟件，間諜軟件……流氓軟件……網(wǎng)絡(luò)惡意代碼的分類（續(xù)）后門使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)55

幾個(gè)容易混淆的分類計(jì)算機(jī)病毒VS網(wǎng)絡(luò)蠕蟲木馬VS后門幾個(gè)容易混淆的分類計(jì)算機(jī)病毒VS網(wǎng)絡(luò)蠕蟲56

后門VS特洛伊木馬如果一個(gè)程序僅僅提供遠(yuǎn)程訪問，那么它只是一個(gè)后門。如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。木馬是披著羊皮的狼?。∷鼘?duì)用戶個(gè)人隱私造成極大威脅。后門VS特洛伊木馬如果一個(gè)程序僅僅提供遠(yuǎn)程訪問，那么它57

病毒程序與正常程序的比較

病毒程序其它正?？蓤?zhí)行程序一般比較小一般比較大并非完整的程序，必須依附在其它程序上是完整的程序，獨(dú)立的存在于磁盤上沒有文件名有自己的文件名和擴(kuò)展名，如COM、EXE有感染性，能將自身復(fù)制到其它程序上不能自我復(fù)制在用戶完全不知道的情況下執(zhí)行根據(jù)用戶的命令執(zhí)行在一定條件下有破壞作用無破壞作用病毒程序與正常程序的比較病毒程序其它正?？蓤?zhí)58其通過不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播。清除異常系統(tǒng)啟動(dòng)項(xiàng)與系統(tǒng)目錄異常文件一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）不可以自我復(fù)制，需要植入RootKit通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。關(guān)注異常進(jìn)程、端口、服務(wù)、網(wǎng)絡(luò)流量…一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫木馬全稱是“特洛伊木馬(TrojanHorse)”，原指古希臘人把士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。一個(gè)每天都要遇到的操作2如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng)），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。不可以自我復(fù)制，需要植入Virus,拉丁文:毒藥一般都采用英文中的26個(gè)字母來表示，如就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。雙擊執(zhí)行，或命令行運(yùn)行通常由控制端和被控制端兩端組成。不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）

病毒起源探究1949年，馮·諾伊曼文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》中提出一種會(huì)自我繁殖的程序的可能，但沒引起注意

1960年，美國的約翰·康維在編寫"生命游戲"程序時(shí)，首先實(shí)現(xiàn)了程序自我復(fù)制技術(shù)。1977，科幻小說《p1的青春》貝爾實(shí)驗(yàn)室，磁芯大戰(zhàn),達(dá)爾文游戲提示:一般認(rèn)為，計(jì)算機(jī)病毒的發(fā)源地在美國。其通過不斷搜索和侵入具有漏洞的主機(jī)來自動(dòng)傳播。病毒起源探究59

計(jì)算機(jī)病毒的發(fā)展DOS階段視窗階段宏病毒階段(演示)互連網(wǎng)階段網(wǎng)絡(luò)、蠕蟲階段Java、郵件炸彈、木馬階段計(jì)算機(jī)病毒的發(fā)展DOS階段60

計(jì)算機(jī)病毒的特性傳染性隱藏性潛伏性可觸發(fā)性破壞性不可預(yù)見性非授權(quán)性計(jì)算機(jī)病毒的特性傳染性61

計(jì)算機(jī)病毒的分類按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型按傳染方式駐留型、非駐留型按破壞能力良性（徐明莫言英）、惡性、極惡性按算法伴隨型、蠕蟲型、寄生型、詭秘型、變型按入侵方式源代碼嵌入攻擊、代碼取代攻擊、系統(tǒng)修改型、外殼附加型按傳播媒介單機(jī)、網(wǎng)絡(luò)計(jì)算機(jī)病毒的分類按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型62

病毒的命名實(shí)測(cè)比較各種防毒軟件的查毒能力瑞星發(fā)現(xiàn)有拒絕服務(wù)的黑客工具瑞星查出有木馬類黑客工具江民防火墻能對(duì)UDP協(xié)議的訪問把關(guān)，就有能力發(fā)現(xiàn)黑客攻擊的開始‘踩點(diǎn)’瑞星對(duì)黑客開后門能有所覺察病毒的命名實(shí)測(cè)比較各種防毒軟件的查毒能力瑞星發(fā)現(xiàn)有拒絕服務(wù)63

計(jì)算機(jī)病毒的命名DOS病毒命名(一日喪命散、含笑半步顛)1.按病毒發(fā)作癥狀命名小球熊貓燒香花屏病毒步行者病毒武漢男孩2.按病毒發(fā)作的時(shí)間命名黑色星期五；3.按病毒自身包含的標(biāo)志命名CIH（不是HIV)按病毒發(fā)現(xiàn)地命名如“黑色星期五”又稱Jurusalem(耶路撒冷)病毒計(jì)算機(jī)病毒的命名DOS病毒命名(一日喪命散、含笑半步顛)64

計(jì)算機(jī)病毒的命名4.按病毒發(fā)現(xiàn)地命名Jurusalem(耶路撒冷)病毒，Vienna(維也納)病毒5.按病毒的字節(jié)長度命名以病毒傳染文件時(shí)文件的增加長度或病毒自身代碼的長度來命名，如1575、2153、1701、1704、1514、4096計(jì)算機(jī)病毒的命名4.按病毒發(fā)現(xiàn)地命名Jurusalem(65

計(jì)算機(jī)病毒的命名反病毒公司為了方便管理，會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。一般格式為<病毒前綴>.<病毒名>.<病毒后綴>計(jì)算機(jī)病毒的命名反病毒公司為了方便管理，會(huì)按照病毒的特性，66比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。按入侵方式源代碼嵌入攻擊、代碼取代攻擊、系統(tǒng)修改型、外殼附加型按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型DOS病毒命名(一日喪命散、含笑半步顛)有自己的文件名和擴(kuò)展名，如COM、EXE按病毒發(fā)作癥狀命名小球熊貓燒香花屏病毒步行者病毒武漢男孩安裝反病毒軟件和防火墻特洛伊木馬是指一類看起來具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。DoS會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；如果攻擊者將這些后門偽裝成某些其他良性程序，那么那就變成真正的特洛伊木馬。RootKit通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中的程序。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。Redlof，歡樂時(shí)光（VBS.按存在的媒體網(wǎng)絡(luò)型、文件型、引導(dǎo)型瑞星查出有木馬類黑客工具如果您的電腦配有攝像頭，在您使用完攝像頭之后，您會(huì)（）不可以自我復(fù)制，需要植入病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。網(wǎng)絡(luò)惡意代碼的運(yùn)行周期后門病毒的前綴是Backdoor不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）

計(jì)算機(jī)病毒的命名病毒前綴是指一個(gè)病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴

Trojan，蠕蟲病毒的前綴是

Worm等等還有其他的。病毒名是指一個(gè)病毒的家族特征，是用來區(qū)別和標(biāo)識(shí)病毒家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，振蕩波蠕蟲病毒的家族名是“Sasser”。

比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。計(jì)算機(jī)病67

計(jì)算機(jī)病毒的命名病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如

就是指

振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多（也表明該病毒生命力頑強(qiáng)），可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。

計(jì)算機(jī)病毒的命名病毒后綴是指一個(gè)病毒的變種特征，是用來區(qū)別68

計(jì)算機(jī)病毒的命名1、系統(tǒng)病毒

系統(tǒng)病毒的前綴為Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進(jìn)行傳播。如CIH病毒。

2、蠕蟲病毒

蠕蟲病毒的前綴是Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。計(jì)算機(jī)病毒的命名1、系統(tǒng)病毒

69

計(jì)算機(jī)病毒的命名3、木馬病毒、黑客病毒

木馬病毒其前綴是Trojan，黑客病毒前綴名一般為Hack。Trojan.QQ3344，4、腳本病毒紅色代碼（Script.Redlof，歡樂時(shí)光（VBS.Happytime）、十四日（）計(jì)算機(jī)病毒的命名3、木馬病毒、黑客病毒70

計(jì)算機(jī)病毒的命名5、宏病毒宏病毒的前綴是Macro，第二前綴是Word、Word97、Excel、Excel97，Macro.Melissa6、后門病毒后門病毒的前綴是Backdoor7、病毒種植程序病毒這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。計(jì)算機(jī)病毒的命名5、宏病毒宏病毒的前綴是Macro，第二前71

計(jì)算機(jī)病毒的命名8．破壞性程序病毒

破壞性程序病毒的前綴是Harm9．玩笑病毒

玩笑病毒的前綴是Joke。10．捆綁機(jī)病毒

捆綁機(jī)病毒的前綴是Binder計(jì)算機(jī)病毒的命名8．破壞性程序病毒72

計(jì)算機(jī)病毒的命名DoS會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊；Exploit會(huì)自動(dòng)通過溢出對(duì)方或者自己的系統(tǒng)漏洞來傳播自身，或者他本身就是一個(gè)用于Hacking的溢出工具；HackTool黑客工具，也許本身并不破壞你的機(jī)子，但是會(huì)被別人加以利用來用你做替身去破壞別人計(jì)算機(jī)病毒的命名DoS會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻73

計(jì)算機(jī)病毒的生命周期

4、發(fā)作階段1、潛伏階段2、傳染階段3、觸發(fā)階段計(jì)算機(jī)病毒的生命周期4、發(fā)作階段1、潛伏階段2、傳74

網(wǎng)絡(luò)惡意代碼的運(yùn)行周期尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身保存線觸發(fā)線網(wǎng)絡(luò)惡意代碼的運(yùn)行周期尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系75

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身尋找目標(biāo)本地文件（.exe,.scr,.doc,vbs…）可移動(dòng)存儲(chǔ)設(shè)備電子郵件地址遠(yuǎn)程計(jì)算機(jī)系統(tǒng)……尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中尋找目標(biāo)在目標(biāo)之76

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身主動(dòng)型—程序自身實(shí)現(xiàn)病毒，蠕蟲被動(dòng)型-人為實(shí)現(xiàn)物理接觸植入入侵之后手工植入用戶自己下載（姜太公釣魚）訪問惡意網(wǎng)站……多用于木馬，后門，Rootkit…尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中在目標(biāo)之中惡意代77

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身主動(dòng)觸發(fā)蠕蟲各種漏洞（如緩沖區(qū)溢出）惡意網(wǎng)站網(wǎng)頁木馬被動(dòng)觸發(fā)初次人為觸發(fā)雙擊執(zhí)行，或命令行運(yùn)行打開可移動(dòng)存儲(chǔ)設(shè)備…打開本地磁盤……系統(tǒng)重啟后的觸發(fā)各種啟動(dòng)項(xiàng)（如注冊(cè)表，啟動(dòng)文件…）尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中惡意代碼執(zhí)行目標(biāo)78

尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身目標(biāo)系統(tǒng)之中長期存活于讓自身靜態(tài)存在形式文件（Exe,Dll…）啟動(dòng)項(xiàng)（修改注冊(cè)表、各種啟動(dòng)文件…）……動(dòng)態(tài)存在形式進(jìn)程（自創(chuàng)進(jìn)程或插入到其他進(jìn)程之中）服務(wù)端口（對(duì)外通信）……以上也是惡意代碼檢測(cè)的基礎(chǔ)和依據(jù)所在；而惡意代碼本身也會(huì)對(duì)文件、啟動(dòng)項(xiàng)、進(jìn)程、端口、服務(wù)等進(jìn)行隱藏--〉即RootKit。尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)系統(tǒng)之中目標(biāo)系統(tǒng)之中靜態(tài)79

上網(wǎng)安全意識(shí)—惡意代碼篇尋找目標(biāo)在目標(biāo)之中將自身保存惡意代碼執(zhí)行目標(biāo)系統(tǒng)中的觸發(fā)目標(biāo)系統(tǒng)之中長期存活于讓自身安裝反病毒軟件和防火墻及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫不訪問惡意網(wǎng)站為系統(tǒng)設(shè)置系統(tǒng)密碼離開計(jì)算機(jī)時(shí)鎖定計(jì)算機(jī)不從不知名網(wǎng)站下載軟件拒絕各種誘惑（如色情）移動(dòng)存儲(chǔ)設(shè)備的可寫開關(guān)……及時(shí)更新系統(tǒng)補(bǔ)丁、病毒庫對(duì)系統(tǒng)關(guān)鍵程序（如cmd.exe）作權(quán)限保護(hù)不運(yùn)行來歷不明文件（包括數(shù)據(jù)文件）養(yǎng)成安全的移動(dòng)存儲(chǔ)設(shè)備使用習(xí)慣定期備份與還原系統(tǒng)關(guān)注系統(tǒng)啟動(dòng)項(xiàng)和系統(tǒng)目錄中的可執(zhí)行文件……安裝殺毒軟件，更新病毒庫定期備份與還原系統(tǒng)清除異常系統(tǒng)啟動(dòng)項(xiàng)與系統(tǒng)目錄異常文件關(guān)注異常進(jìn)程、端口、服務(wù)、網(wǎng)絡(luò)流量………保存線觸發(fā)線存活線上網(wǎng)安全意識(shí)—惡意代碼篇尋找目標(biāo)在目標(biāo)之中惡意代碼執(zhí)行目標(biāo)80

計(jì)算機(jī)病毒的運(yùn)行機(jī)制三組件復(fù)制傳染、隱藏、破壞運(yùn)行階段復(fù)制傳播+激活計(jì)算機(jī)病毒的運(yùn)行機(jī)制三組件復(fù)制傳染、隱藏、破壞81

特洛伊木馬