信息安全技術(shù)-11病毒防范技術(shù)與殺病毒軟件

信息安全技術(shù)第7講

病毒防范技術(shù)7.1病毒防范技術(shù)與殺病毒軟件7.2解析計(jì)算機(jī)蠕蟲(chóng)病毒第7-1講

病毒防范技術(shù)與殺病毒軟件計(jì)算機(jī)病毒實(shí)際上是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)功能的程序。在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一種能力，為攻擊系統(tǒng)、網(wǎng)絡(luò)提供條件。例如向系統(tǒng)中侵入病毒、蛀蟲(chóng)、特洛伊木馬、陷門、邏輯炸彈；或通過(guò)竊聽(tīng)、冒充等方式來(lái)破壞系統(tǒng)正常工作。因特網(wǎng)是目前計(jì)算機(jī)病毒的主要傳播源。針對(duì)病毒的嚴(yán)重性，我們應(yīng)提高防范意識(shí)，做到所有軟件都經(jīng)過(guò)嚴(yán)格審查，經(jīng)過(guò)相應(yīng)的控制程序后才能使用；積極采用防病毒軟件，定時(shí)對(duì)系統(tǒng)中的所有工具軟件、應(yīng)用軟件進(jìn)行檢測(cè)，以防止各種病毒的入侵。第7-1講

病毒防范技術(shù)與殺病毒軟件1.計(jì)算機(jī)病毒的概念“病毒”一詞源于生物學(xué)，人們通過(guò)分析研究發(fā)現(xiàn)，計(jì)算機(jī)病毒在很多方面與生物病毒有相似之處，以此借用生物病毒的概念。在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的相關(guān)定義是：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！钡?-1講

病毒防范技術(shù)與殺病毒軟件(1)病毒的產(chǎn)生和發(fā)展隨著計(jì)算機(jī)應(yīng)用的普及，早期就有一些科普作家意識(shí)到可能會(huì)有人利用計(jì)算機(jī)進(jìn)行破壞，提出了“計(jì)算機(jī)病毒”這個(gè)概念。不久，計(jì)算機(jī)病毒便在理論、程序上都得到了證實(shí)。第7-1講

病毒防范技術(shù)與殺病毒軟件1949年，計(jì)算機(jī)的創(chuàng)始人馮·諾依曼發(fā)表《復(fù)雜自動(dòng)機(jī)器的理論和結(jié)構(gòu)》的論文，提出了計(jì)算機(jī)程序可以在內(nèi)存中進(jìn)行自我復(fù)制和變異的理論。

此后，許多計(jì)算機(jī)人員在自己的研究

工作中應(yīng)用和發(fā)展了程序自我復(fù)制的

理論。第7-1講

病毒防范技術(shù)與殺病毒軟件1959年，AT＆T貝爾實(shí)驗(yàn)室的3位成員設(shè)計(jì)出具有自我復(fù)制能力、并能探測(cè)到別的程序在運(yùn)行時(shí)能將其銷毀的程序。1983年，F(xiàn)redCohen博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序。并在全美計(jì)算機(jī)安全會(huì)議上提出和在VAXII/150機(jī)上演示，從而證實(shí)計(jì)算機(jī)病毒的存在，這也是公認(rèn)的第一個(gè)計(jì)算機(jī)病毒程序的出現(xiàn)。第7-1講

病毒防范技術(shù)與殺病毒軟件隨著計(jì)算機(jī)技術(shù)的發(fā)展，出現(xiàn)了一些具有惡意的程序。最初是一些計(jì)算機(jī)愛(ài)好者惡作劇性的游戲，后來(lái)有一些軟件公司為防止盜版在自己的軟件中加入了病毒程序。1988年，羅伯特·莫里斯(RoberMoms)制造的蠕蟲(chóng)病毒是首個(gè)通過(guò)網(wǎng)絡(luò)傳播而震撼世界的“計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)的案件”。后來(lái)，又出現(xiàn)了許多惡性計(jì)算機(jī)病毒。計(jì)算機(jī)病毒會(huì)搶占系統(tǒng)資源、刪除和破壞文件，甚至對(duì)硬件造成毀壞，而網(wǎng)絡(luò)的普及使得計(jì)算機(jī)病毒傳播更加廣泛和迅速。第7-1講

病毒防范技術(shù)與殺病毒軟件(2)惡意程序所謂惡意程序是指一類特殊的程序，它們通常在用戶不知曉也末授權(quán)的情況下潛入進(jìn)來(lái)，具有用戶不知道(一般也不許可)的特性，激活后將影響系統(tǒng)或應(yīng)用的正常功能，甚至危害或破壞系統(tǒng)。惡意程序的表現(xiàn)形式多種多樣，有的是改動(dòng)合法程序，讓它含有并執(zhí)行某種破壞功能；有的是利用合法程序的功能和權(quán)限，非法獲取或篡改系統(tǒng)資源和敏感數(shù)據(jù)，進(jìn)行系統(tǒng)入侵。第7-1講

病毒防范技術(shù)與殺病毒軟件根據(jù)惡意程序威脅的存在形式不同，將其分為需要宿主程序和不需要宿主程序可獨(dú)立存在的威脅兩大類，前者基本上是不能獨(dú)立運(yùn)行的程序片段，而后者是可以被操作系統(tǒng)調(diào)度和運(yùn)行的自包含程序。第7-1講

病毒防范技術(shù)與殺病毒軟件第7-1講

病毒防范技術(shù)與殺病毒軟件也可以根據(jù)是否進(jìn)行復(fù)制來(lái)區(qū)分這些惡意程序。前者是當(dāng)宿主程序被調(diào)用時(shí)被激活起來(lái)完成一個(gè)特定功能的程序片段；后者是由程序片段(病毒)或由獨(dú)立程序(蠕蟲(chóng)、細(xì)菌)組成，在執(zhí)行時(shí)可以在同一個(gè)系統(tǒng)或某個(gè)其他系統(tǒng)中產(chǎn)生自身的一個(gè)或多個(gè)以后將被激活的副本。事實(shí)上，隨著惡意程序彼此間的交叉和互相滲透(變異)，這些區(qū)分正變得模糊起來(lái)。惡意程序的出現(xiàn)、發(fā)展和變化給計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和各類信息系統(tǒng)帶來(lái)了巨大的危害。第7-1講

病毒防范技術(shù)與殺病毒軟件1)陷門。是進(jìn)入程序的秘密入口。知道陷門的人可以不經(jīng)過(guò)通常的安全訪問(wèn)過(guò)程而獲得訪問(wèn)權(quán)力。陷門技術(shù)本來(lái)是程序員為了進(jìn)行調(diào)試和測(cè)試程序時(shí)避免繁瑣的安裝和鑒別過(guò)程，或者想要保證存在另一種激活或控制的程序而采用的方法。如通過(guò)一個(gè)特定的用戶ID、秘密的口令字、隱蔽的事件序列或過(guò)程等，這些方法都避開(kāi)了建立在應(yīng)用程序內(nèi)部的鑒別過(guò)程。第7-1講

病毒防范技術(shù)與殺病毒軟件當(dāng)陷門被無(wú)所顧忌地用來(lái)獲得非授權(quán)訪問(wèn)時(shí)，就變成了威脅。如一些典型的可潛伏在用戶計(jì)算機(jī)中的陷門程序，可將用戶上網(wǎng)后的計(jì)算機(jī)打開(kāi)陷門，任意進(jìn)出；可以記錄各種口令信息，獲取系統(tǒng)信息，限制系統(tǒng)功能；還可以遠(yuǎn)程對(duì)文件操作、對(duì)注冊(cè)表操作等。第7-1講

病毒防范技術(shù)與殺病毒軟件在有些情況下，系統(tǒng)管理員會(huì)使用一些常用的技術(shù)來(lái)加以防范。例如，利用工具給系統(tǒng)打補(bǔ)丁，把已知的系統(tǒng)漏洞給補(bǔ)上；對(duì)某些存在安全隱患的資源進(jìn)行訪問(wèn)控制；對(duì)系統(tǒng)的使用人員進(jìn)行安全教育等。這些安全措施是必要的，但絕不是足夠的。只要是在運(yùn)行的系統(tǒng)，總是可能找出它的漏洞而進(jìn)入系統(tǒng)，問(wèn)題只是進(jìn)入系統(tǒng)的代價(jià)大小不同。另外，信息網(wǎng)絡(luò)的迅速發(fā)展是與網(wǎng)絡(luò)所能提供的大量服務(wù)密切相關(guān)的。由于種種原因，很多服務(wù)也存在這樣或那樣的漏洞，這些漏洞若被入侵者利用，就成了有效進(jìn)入系統(tǒng)的陷門。第7-1講

病毒防范技術(shù)與殺病毒軟件2)邏輯炸彈。在病毒和蠕蟲(chóng)之前，最古老的軟件威脅之一就是邏輯炸彈。邏輯炸彈是嵌入在某個(gè)合法程序里面的一段代碼，被設(shè)置成當(dāng)滿足特定條件時(shí)就會(huì)“爆炸”，執(zhí)行一個(gè)有害行為的程序，如改變、刪除數(shù)據(jù)或整個(gè)文件，引起機(jī)器關(guān)機(jī)，甚至破壞整個(gè)系統(tǒng)等破壞話動(dòng)。第7-1講

病毒防范技術(shù)與殺病毒軟件3)特洛伊木馬。是指一個(gè)有用的或者表面上有用的程序或命令過(guò)程，但其中包含了一段隱藏的、激活時(shí)將執(zhí)行某種有害功能的代碼，可以控制用戶計(jì)算機(jī)系統(tǒng)的程序，并可能造成用戶的系統(tǒng)被破壞甚至癱瘓。特洛伊木馬程序是一個(gè)獨(dú)立的應(yīng)用程序，不具備自我復(fù)制能力，但具有潛伏性，常常有更大的欺騙性和危害性，而且特洛伊木馬程序可能包含蠕蟲(chóng)病毒程序。第7-1講

病毒防范技術(shù)與殺病毒軟件特洛伊木馬的一個(gè)典型例子是被修改過(guò)的編譯器。該編譯器在對(duì)程序(例如系統(tǒng)注冊(cè)程序)進(jìn)行編譯時(shí)，將一段額外的代碼插入到該程序中。這段代碼在注冊(cè)程序中構(gòu)造陷門，使得可以使用專門口令來(lái)注冊(cè)系統(tǒng)。不閱讀注冊(cè)程序的源代碼，永遠(yuǎn)不可能發(fā)現(xiàn)這個(gè)特洛伊木馬。第7-1講

病毒防范技術(shù)與殺病毒軟件4)細(xì)菌。是一些并不明顯破壞文件的程序，它們的惟一目的就是繁殖自己。一個(gè)典型的細(xì)菌程序除了在多進(jìn)程系統(tǒng)中同時(shí)執(zhí)行自己的兩個(gè)副本，或者可能創(chuàng)建兩個(gè)新的文件(每一個(gè)都是細(xì)菌程序原始源文件的一個(gè)復(fù)制品)外，可能不做什么其他事情。那些新創(chuàng)建的程序又可能將自己兩次復(fù)制，依此類推，細(xì)菌以指數(shù)級(jí)地再?gòu)?fù)制，最終耗盡了所有的處理機(jī)能力、存儲(chǔ)器或磁盤空間，從而拒絕用戶訪問(wèn)這些資源。第7-1講

病毒防范技術(shù)與殺病毒軟件5)蠕蟲(chóng)。是一種可以通過(guò)網(wǎng)絡(luò)進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲(chóng)可以表現(xiàn)得像計(jì)算機(jī)病毒或細(xì)菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。普通計(jì)算機(jī)病毒需要在計(jì)算機(jī)的硬盤或文件系統(tǒng)中繁殖，而典型的蠕蟲(chóng)程序只會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本，甚至根本不向硬盤中寫(xiě)入任何信息。此外，蠕蟲(chóng)是一個(gè)獨(dú)立運(yùn)行的程序，自身不改變其他程序，但可攜帶一個(gè)具有改變其他程序功能的病毒。第7-1講

病毒防范技術(shù)與殺病毒軟件為了自身復(fù)制，網(wǎng)絡(luò)蠕蟲(chóng)使用了某種類型的網(wǎng)絡(luò)傳輸機(jī)制。例如電子郵件。網(wǎng)絡(luò)蠕蟲(chóng)表現(xiàn)出有潛伏期、繁殖期、觸發(fā)期和執(zhí)行期的特征。第7-1講

病毒防范技術(shù)與殺病毒軟件2.計(jì)算機(jī)病毒的原理(1)病毒的特征(2)病毒的分類(3)病毒的傳播(4)病毒的結(jié)構(gòu)第7-1講

病毒防范技術(shù)與殺病毒軟件(1)病毒的特征計(jì)算機(jī)病毒的特征主要是傳染性、隱蔽性、潛伏性和表現(xiàn)性。第7-1講

病毒防范技術(shù)與殺病毒軟件1)傳染性。計(jì)算機(jī)病毒會(huì)通過(guò)各種媒體從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。這些媒體可以是程序、文件、存儲(chǔ)介質(zhì)甚至網(wǎng)絡(luò)，并在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。這就是計(jì)算機(jī)病毒最重要的特征——傳染和破壞。一般地，若計(jì)算機(jī)在正常程序控制下工作，只要不運(yùn)行帶病毒的程序，則這臺(tái)計(jì)算機(jī)總是正常的，例如反病毒技術(shù)人員整天就是在這樣的環(huán)境下工作的。第7-1講

病毒防范技術(shù)與殺病毒軟件然而，一旦在計(jì)算機(jī)上運(yùn)行，絕大多數(shù)病毒首先要做初始化工作，在內(nèi)存中找一片安身之處，隨后將自身與系統(tǒng)軟件掛鉤，再執(zhí)行原來(lái)被感染的程序。這一系列的操作中，只要系統(tǒng)不癱瘓，系統(tǒng)每執(zhí)行一個(gè)操作，病毒就有機(jī)會(huì)得以運(yùn)行，危害未曾被感染的程序。病毒程序與正常系統(tǒng)程序在同一臺(tái)計(jì)算機(jī)內(nèi)爭(zhēng)奪系統(tǒng)控制權(quán)時(shí)，結(jié)果會(huì)造成系統(tǒng)崩潰、導(dǎo)致計(jì)算機(jī)癱瘓。因此，反病毒技術(shù)要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)。第7-1講

病毒防范技術(shù)與殺病毒軟件一個(gè)好的抗病毒系統(tǒng)甚至應(yīng)該能夠識(shí)別出未知計(jì)算機(jī)病毒在系統(tǒng)內(nèi)的行為，阻止其傳染和破壞系統(tǒng)的行動(dòng)。而低性能的抗病毒系統(tǒng)只能完成抵御已知病毒的任務(wù)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)隱蔽性。不經(jīng)過(guò)程序代碼分析或計(jì)算機(jī)病毒代碼掃描，計(jì)算機(jī)病毒程序與正常程序是不容易區(qū)別的。在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序一經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)后，可以迅速傳染其他程序，而在屏幕上沒(méi)有任何異常顯示。傳染操作完成后，計(jì)算機(jī)系統(tǒng)以及被感染的程序仍能執(zhí)行。這種現(xiàn)象就是計(jì)算機(jī)病毒傳染的隱蔽性。第7-1講

病毒防范技術(shù)與殺病毒軟件3)潛伏性。病毒具有依附其他媒體寄生的能力，它可以在磁盤、光盤或其他介質(zhì)上潛伏幾天，甚至幾年，不滿足其觸發(fā)條件時(shí)，除了傳染以外不做其他破壞。觸發(fā)條件一旦得到滿足，病毒就四處繁殖、擴(kuò)散、破壞。計(jì)算機(jī)病毒使用的觸發(fā)條件主要有：利用計(jì)算機(jī)系統(tǒng)時(shí)鐘、利用病毒體自帶計(jì)數(shù)器、利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作等。第7-1講

病毒防范技術(shù)與殺病毒軟件4)表現(xiàn)性。當(dāng)觸發(fā)條件滿足時(shí)，病毒在被感染的計(jì)算機(jī)上開(kāi)始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。根據(jù)計(jì)算機(jī)病毒的危害性不同，病毒發(fā)作時(shí)表現(xiàn)出來(lái)的癥狀可能有很大差別。從顯示一些令人討厭的信息，到降低系統(tǒng)性能，破壞數(shù)據(jù)(信息)，直到永久性摧毀計(jì)算機(jī)硬件和軟件，造成系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓等等。第7-1講

病毒防范技術(shù)與殺病毒軟件(2)病毒的分類分類方式不同，計(jì)算機(jī)病毒的類型也不同。通常，計(jì)算機(jī)病毒可做如下分類。按感染形式按寄生方式按攻擊方式根據(jù)病毒操作的方式或使用的編程技術(shù)第7-1講

病毒防范技術(shù)與殺病毒軟件按感染形式分類，主要有：1)文件型病毒。通過(guò)在執(zhí)行系列中插入指令把自己依附在可執(zhí)行文件上。此種病毒感染文件，并寄生在文件中，進(jìn)而造成文件損壞。2)引導(dǎo)型病毒：會(huì)在軟盤或者硬盤的引導(dǎo)區(qū)、主引導(dǎo)記錄(分區(qū)扇區(qū))中插入指令。此時(shí)，如果計(jì)算機(jī)從被感染的磁盤引導(dǎo)時(shí)，病毒就會(huì)感染，并把自己的代碼調(diào)入內(nèi)存。觸發(fā)引導(dǎo)區(qū)病毒的典型事件是系統(tǒng)日期和時(shí)間。第7-1講

病毒防范技術(shù)與殺病毒軟件3)混合型病毒：此種病毒具有兼顧引導(dǎo)型和文件型兩種病毒的特性，不但能夠感染和破壞硬盤的引導(dǎo)區(qū)，而且能感染和破壞文件。4)宏病毒：宏病毒不只是感染可執(zhí)行文件，它可以感染一般軟件文件。雖然宏病毒不會(huì)有嚴(yán)重的危害，但它仍是令人討厭的事，因?yàn)樗鼤?huì)影響系統(tǒng)的性能以及用戶的工作效率。此種病毒是利用Office軟件的宏指令產(chǎn)生的，所以稱為宏病毒。第7-1講

病毒防范技術(shù)與殺病毒軟件計(jì)算機(jī)病毒傳染的前提就是尋找病毒宿主，然后將自身寄生到宿主中。按寄生方式分類主要有：1)代替式病毒：計(jì)算機(jī)病毒用自身代碼的部分或全部替代常規(guī)程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。2)連接式病毒：這種方式一般以傳染文件為主，即病毒與宿主文件相連接時(shí)宿主文件的字節(jié)長(zhǎng)度增加，但不破壞原合法程序的代碼。第7-1講

病毒防范技術(shù)與殺病毒軟件3)轉(zhuǎn)儲(chǔ)式病毒：病毒將原合法的程序代碼轉(zhuǎn)儲(chǔ)到存儲(chǔ)介質(zhì)的其他部位，而用病毒代碼占據(jù)原合法程序的位置。4)填充式病毒：這種病毒有的傳染引導(dǎo)程序，有的傳染文件，病毒一般侵入宿主的空閑存儲(chǔ)空間，這樣就不會(huì)改變宿主程序的字節(jié)長(zhǎng)度。第7-1講

病毒防范技術(shù)與殺病毒軟件按攻擊方式分，可將病毒分為源碼病毒、機(jī)器碼病毒和混合碼病毒；根據(jù)病毒模塊存在的形式，如存在的形式為源碼則稱為源碼病毒，如是機(jī)器碼則稱為機(jī)器碼病毒，如兩種形式都有則稱為混合碼病毒。第7-1講

病毒防范技術(shù)與殺病毒軟件源碼病毒還可細(xì)分為Shell(命令解釋程序)型和語(yǔ)言型。Shell型一般指接收標(biāo)準(zhǔn)輸入并將命令轉(zhuǎn)交給系統(tǒng)的命令解釋器或程序。Shell型病毒包括各種操作系統(tǒng)的Shell程序。如UNIX的BShell、CShell，以及DOS的，Windows的cmd.exe等；語(yǔ)言型包括匯編語(yǔ)言、C語(yǔ)言、BASIC語(yǔ)言，F(xiàn)ORTRAN語(yǔ)言和VisualC++、VisualBasic、VisualJ++等。第7-1講

病毒防范技術(shù)與殺病毒軟件根據(jù)病毒操作的方式或使用的編程技術(shù)分，有：1)隱蔽病毒：使用某種技術(shù)來(lái)隱蔽程序被感染的事實(shí)。例如當(dāng)操作系統(tǒng)發(fā)出調(diào)用要得到的某些信息時(shí)，它記錄下必要的信息，以便于以后欺騙操作系統(tǒng)和病毒程序的掃描。第7-1講

病毒防范技術(shù)與殺病毒軟件2)變形病毒：能變化，使得它們更難被鑒別出來(lái)。病毒的變化過(guò)程稱為變異，變異中，病毒改變其大小和構(gòu)成。通常，病毒掃描程序通過(guò)搜索已知的模式(大小、校驗(yàn)碼、日期等)來(lái)檢測(cè)病毒，一個(gè)經(jīng)巧妙設(shè)計(jì)的變形病毒則可逃脫這些固定模式的檢測(cè)，使傳統(tǒng)的模式匹配法對(duì)此顯得軟弱無(wú)力。第7-1講

病毒防范技術(shù)與殺病毒軟件(3)病毒的傳播計(jì)算機(jī)病毒一般通過(guò)某個(gè)入侵點(diǎn)進(jìn)入系統(tǒng)來(lái)感染該系統(tǒng)。最明顯、也是最常見(jiàn)的入侵點(diǎn)是從工作站傳到工作站的軟盤；在網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點(diǎn)包括服務(wù)器、E-mail附加部分、因特網(wǎng)BBS上下載的文件、網(wǎng)站、FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版軟件、示范軟件、計(jì)算機(jī)實(shí)驗(yàn)室以及其他共享設(shè)備等。第7-1講

病毒防范技術(shù)與殺病毒軟件(4)病毒的結(jié)構(gòu)雖然不同類型計(jì)算機(jī)病毒的機(jī)制和表現(xiàn)手法不盡相同，但其結(jié)構(gòu)基本相似。一般說(shuō)來(lái)都由以下3個(gè)程序模塊組成。1)引導(dǎo)模塊。2)傳染模塊。3)破壞與表現(xiàn)模塊。第7-1講

病毒防范技術(shù)與殺病毒軟件1)引導(dǎo)模塊。當(dāng)被感染的應(yīng)用程序開(kāi)始工作時(shí)，病毒的引導(dǎo)模塊將病毒由外存引入內(nèi)存，并使病毒程序成為相對(duì)獨(dú)立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進(jìn)入待機(jī)狀態(tài)。在某些病毒中，尤其是傳染引導(dǎo)區(qū)的計(jì)算機(jī)病毒，其引導(dǎo)模塊還承擔(dān)將分開(kāi)存儲(chǔ)的病毒程序片斷鏈接的任務(wù)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)傳染模塊。由于計(jì)算機(jī)病毒具有復(fù)制自身(或變形后的自身)的能力，因此它能使其他程序同樣具備這種傳染能力。這一點(diǎn)是判斷一個(gè)程序是否為病毒程序的必要條件，所以，這部分程序?qū)σ粋€(gè)病毒程序來(lái)說(shuō)是不可缺少的，它主要負(fù)責(zé)捕捉傳染的條件和傳染的對(duì)象，在保證被傳染程序可正常運(yùn)行的情況下完成計(jì)算機(jī)病毒的復(fù)制傳播任務(wù)。第7-1講

病毒防范技術(shù)與殺病毒軟件3)破壞與表現(xiàn)模塊。破壞與表現(xiàn)模塊是病毒程序的核心部分，也是病毒設(shè)計(jì)者意圖的體現(xiàn)部分。這里的破壞不僅毀壞系統(tǒng)的軟、硬件和磁盤上的數(shù)據(jù)、文件，而且還表現(xiàn)在顯著降低整個(gè)系統(tǒng)的運(yùn)行效率。這部分程序負(fù)責(zé)捕捉進(jìn)入破壞程序的條件，在條件滿足時(shí)開(kāi)始進(jìn)行破壞系統(tǒng)或數(shù)據(jù)的工作，甚至可以毀掉包括病毒程序本身在內(nèi)的系統(tǒng)資源。一般計(jì)算機(jī)病毒并不是進(jìn)入計(jì)算機(jī)系統(tǒng)就進(jìn)行破壞，而是等待具備一定條件后才實(shí)施破壞。第7-1講

病毒防范技術(shù)與殺病毒軟件3.反病毒技術(shù)現(xiàn)在，成熟的反病毒技術(shù)已經(jīng)能夠可以做到對(duì)已知病毒的徹底預(yù)防和殺除，這主要涉及以下三大技術(shù)：1)實(shí)時(shí)監(jiān)視技術(shù)。2)自動(dòng)解壓縮技術(shù)。3)全平臺(tái)反病毒技術(shù)。第7-1講

病毒防范技術(shù)與殺病毒軟件1)實(shí)時(shí)監(jiān)視技術(shù)。這個(gè)技術(shù)為計(jì)算機(jī)構(gòu)筑起一道動(dòng)態(tài)、實(shí)時(shí)的反病毒防線，通過(guò)修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計(jì)算機(jī)系統(tǒng)之外。該技術(shù)能時(shí)刻監(jiān)視系統(tǒng)中的病毒活動(dòng)、系統(tǒng)狀況、軟盤、光盤、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。且優(yōu)秀的反病毒軟件由于采用了與操作系統(tǒng)底層的無(wú)縫連接技術(shù)，實(shí)時(shí)監(jiān)視器占用的系統(tǒng)資源極小，用戶完全感覺(jué)不到對(duì)機(jī)器性能的影響。一般來(lái)說(shuō)，只要反病毒軟件實(shí)時(shí)地在系統(tǒng)中工作，病毒就無(wú)法侵入計(jì)算機(jī)系統(tǒng)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)自動(dòng)解壓縮技術(shù)。目前在因特網(wǎng)、光盤以及Windows系統(tǒng)中接觸到的大多數(shù)文件都以壓縮狀態(tài)存放，以便節(jié)省傳輸時(shí)間或節(jié)約存放空間，這就使得各類壓縮文件成為計(jì)算機(jī)病毒傳播的溫床。如果用戶從網(wǎng)上下載了一個(gè)帶病毒的壓縮文件包，或從光盤里運(yùn)行一個(gè)壓縮過(guò)的帶毒文件，自己的系統(tǒng)就會(huì)被壓縮文件包中的病毒感染。優(yōu)秀的反病毒軟件應(yīng)結(jié)合壓縮軟件技術(shù)，使得無(wú)論何種壓縮標(biāo)準(zhǔn)的軟件都能做到邊解壓邊殺毒。第7-1講

病毒防范技術(shù)與殺病毒軟件3)全平臺(tái)反病毒技術(shù)。目前病毒活躍的平臺(tái)主要有：Windows9x、Windows2000、WindowsXP等。為了使反病毒軟件做到與系統(tǒng)的底層無(wú)縫連接，可靠地實(shí)時(shí)檢查和殺除病毒，必須在不同的平臺(tái)上使用相應(yīng)平臺(tái)的反病毒軟件。第7-1講

病毒防范技術(shù)與殺病毒軟件(1)病毒的防治策略系統(tǒng)對(duì)于計(jì)算機(jī)病毒的實(shí)際防治能力和效果要從防毒、查毒和解毒能力3方面來(lái)評(píng)判。1)防毒能力。指預(yù)防病毒侵入計(jì)算機(jī)系統(tǒng)的能力。根據(jù)系統(tǒng)特性，通過(guò)采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計(jì)算機(jī)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)查毒能力。指發(fā)現(xiàn)和追蹤病毒來(lái)源的能力。對(duì)于確定的環(huán)境(包括內(nèi)存、文件、引導(dǎo)區(qū)、網(wǎng)絡(luò)等)，應(yīng)該能夠準(zhǔn)確地發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)是否感染有病毒，并能給出統(tǒng)計(jì)報(bào)告，報(bào)告病毒的名稱，來(lái)源等。此能力由查毒率和誤報(bào)率來(lái)評(píng)判。3)解毒——指從感染對(duì)象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力。根據(jù)不同類型病毒對(duì)感染對(duì)象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)，其恢復(fù)過(guò)程不能破壞未被病毒修改的內(nèi)容。此能力用解毒率來(lái)評(píng)判。第7-1講

病毒防范技術(shù)與殺病毒軟件(2)檢測(cè)病毒原理計(jì)算機(jī)病毒要進(jìn)行傳染，必然會(huì)留下痕跡。因此，為檢測(cè)病毒，首先應(yīng)注意內(nèi)存情況，絕大部分的病毒是要駐留內(nèi)存的，應(yīng)注意被占用的內(nèi)存數(shù)是否無(wú)故減少其次應(yīng)注意常用的可執(zhí)行文件的字節(jié)數(shù)。絕大多數(shù)的病毒在對(duì)文件進(jìn)行傳染后會(huì)使文件的長(zhǎng)度增加。但在查看文件字節(jié)數(shù)時(shí)應(yīng)首先用干凈系統(tǒng)盤啟動(dòng)。第7-1講

病毒防范技術(shù)與殺病毒軟件檢測(cè)主要基于4種方法第7-1講

病毒防范技術(shù)與殺病毒軟件1)比較法。用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單或用程序來(lái)進(jìn)行比較。第7-1講

病毒防范技術(shù)與殺病毒軟件2)特征代碼掃描法。病毒的特征代碼是病毒程序編制者用來(lái)識(shí)別自己編寫(xiě)程序惟一的代碼串，因此也可利用病毒的特征代碼檢測(cè)病毒程序和防止病毒程序傳染。第7-1講

病毒防范技術(shù)與殺病毒軟件特征代碼掃描法所用的軟件稱病毒掃描軟件。病毒掃描軟件由兩部分組成：一部分是病毒代碼庫(kù)，含有經(jīng)過(guò)特別選定的各種計(jì)算機(jī)病毒的代碼串；另一部分是利用該代碼庫(kù)進(jìn)行掃描的程序。打開(kāi)被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可以斷定被查文件中患有何種病毒。面對(duì)不斷出現(xiàn)的新病毒，采用病毒特征代碼掃描法的檢測(cè)工具，必須不斷更新版本。第7-1講

病毒防范技術(shù)與殺病毒軟件3)校驗(yàn)和法。將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫(xiě)入文件中或?qū)懭雱e的文件中保存。在文件使用過(guò)程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法。這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但它不能識(shí)別病毒類別。由于病毒感染并非文件內(nèi)容改變的惟一原因，所以校驗(yàn)和法常常誤報(bào)警。而且此種方法也會(huì)影響文件的運(yùn)行速度。第7-1講

病毒防范技術(shù)與殺病毒軟件病毒檢測(cè)的分析法是反病毒工作中不可或缺的重要技術(shù)，任何一個(gè)性能優(yōu)良的反病毒系統(tǒng)的研制和開(kāi)發(fā)都離不開(kāi)專門人員對(duì)各種病毒的詳盡而認(rèn)真的分析。但使用分析法要求使用者具有比較全面的有關(guān)計(jì)算機(jī)操作系統(tǒng)結(jié)構(gòu)功能調(diào)用以及關(guān)于病毒方面的各種知識(shí)，這是與檢測(cè)病毒的前三種方法不一樣的地方。第7-1講

病毒防范技術(shù)與殺病毒軟件病毒檢測(cè)的分析法是反病毒工作中不可或缺的重要技術(shù)，任何一個(gè)性能優(yōu)良的反病毒系統(tǒng)的研制和開(kāi)發(fā)都離不開(kāi)專門人員對(duì)各種病毒的詳盡而認(rèn)真的分析。但使用分析法要求使用者具有比較全面的有關(guān)計(jì)算機(jī)操作系統(tǒng)結(jié)構(gòu)功能調(diào)用以及關(guān)于病毒方面的各種知識(shí)，這是與檢測(cè)病毒的前三種方法不一樣的地方。第7-1講

病毒防范技術(shù)與殺病毒軟件XP系統(tǒng)文件被諾頓當(dāng)病毒誤殺導(dǎo)致系統(tǒng)崩潰，數(shù)百萬(wàn)電腦面臨滅頂之災(zāi)[2007年5月18日消息](賽門鐵克)諾頓殺毒軟件出現(xiàn)重大問(wèn)題。升級(jí)病毒庫(kù)后，諾頓網(wǎng)絡(luò)版殺毒軟件誤把WindowsXP系統(tǒng)的關(guān)鍵系統(tǒng)文件netapi32.dll、lsasrv.dll當(dāng)作隔離病毒清除，重啟后系統(tǒng)將會(huì)癱瘓。有消息稱，國(guó)內(nèi)某大型網(wǎng)絡(luò)游戲公司的2000多臺(tái)機(jī)器已經(jīng)全部崩潰。截至中午12點(diǎn)已有超過(guò)7千名個(gè)人用戶和近百家企業(yè)用戶向瑞星客戶服務(wù)中心求助，更多用戶由于系統(tǒng)繁忙無(wú)法打入電話。第7-1講

病毒防范技術(shù)與殺病毒軟件諾頓是賽門鐵克公司旗下的著名殺毒軟件，在全球占據(jù)相當(dāng)份額，特別在金融、電信等行業(yè)擁有一定的優(yōu)勢(shì)，因此，此次誤殺會(huì)導(dǎo)致許多企業(yè)網(wǎng)絡(luò)完全癱瘓。由于國(guó)外品牌的筆記本和臺(tái)式機(jī)多數(shù)預(yù)裝了WindowsXP系統(tǒng)和諾頓殺毒軟件，這些用戶極其容易遭到此次“誤殺”攻擊，因此，中國(guó)大陸地區(qū)將有數(shù)百萬(wàn)臺(tái)電腦面臨崩潰的危險(xiǎn)。由于該次誤殺只發(fā)生在簡(jiǎn)體中文版的XP系統(tǒng)上，因此對(duì)國(guó)外用戶幾乎沒(méi)有影響。第7-1講

病毒防范技術(shù)與殺病毒軟件國(guó)內(nèi)反病毒安全專家表示，此次諾頓誤殺將是近年來(lái)最嚴(yán)重的一次安全事故，給國(guó)內(nèi)用戶造成的整體經(jīng)濟(jì)損失甚至可能超過(guò)“熊貓燒香”病毒。為此，國(guó)內(nèi)不少反病毒公司發(fā)布今年首個(gè)紅色病毒警報(bào)，但針對(duì)的不是電腦病毒，而是國(guó)際知名反病毒軟件諾頓將簡(jiǎn)體中文版XP系統(tǒng)中的文件當(dāng)成電腦病毒進(jìn)行查殺，導(dǎo)致電腦系統(tǒng)崩潰。第7-1講

病毒防范技術(shù)與殺病毒軟件賽門鐵克隨后對(duì)諾頓進(jìn)行了緊急升級(jí)。當(dāng)天下午15:00，賽門鐵克公司推出了最新的諾頓補(bǔ)丁程序，使用WindowsXP簡(jiǎn)體中文版的用戶在點(diǎn)擊諾頓更新后，可以實(shí)現(xiàn)正常關(guān)機(jī)與開(kāi)機(jī)操作。賽門鐵克就此給用戶帶來(lái)的不便表示歉意，并承認(rèn)，有兩個(gè)簡(jiǎn)體中文版本微軟Windows系統(tǒng)文件通過(guò)LiveUpdate或網(wǎng)站下載文件更新方式，被錯(cuò)誤地添加到賽門鐵克的防病毒軟件定義中。導(dǎo)致安裝了MS06-070補(bǔ)丁的XP系統(tǒng)，在將諾頓升級(jí)到最新病毒庫(kù)之時(shí)，諾頓殺毒軟件將把系統(tǒng)文件netapi32.dll和lsasrv.dll隔離清除，從而造成系統(tǒng)崩潰。第7-1講

病毒防范技術(shù)與殺病毒軟件新浪的網(wǎng)上調(diào)查顯示，有63.9%的被調(diào)查者正在使用諾頓殺毒軟件；38.59%的被調(diào)查者在此次諾頓“誤殺”事件中不幸“中招”。賽門鐵克此次“誤殺事件”將直接影響其在中國(guó)推廣。網(wǎng)上調(diào)查顯示，72.33%的被調(diào)查者認(rèn)為此次“誤殺”事件將影響其對(duì)諾頓產(chǎn)品的選擇。第7-1講

病毒防范技術(shù)與殺病毒軟件第7講

病毒防范技術(shù)7.1病毒防范技術(shù)與殺病毒軟件7.2解析計(jì)算機(jī)蠕蟲(chóng)病毒第7-2講

解析計(jì)算機(jī)蠕蟲(chóng)病毒凡是能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序我們都統(tǒng)稱為計(jì)算機(jī)病毒。所以，從這個(gè)意義上說(shuō)，蠕蟲(chóng)也是一種病毒。但與傳統(tǒng)的計(jì)算機(jī)病毒不同，網(wǎng)絡(luò)蠕蟲(chóng)病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象，其破壞力和傳染性不容忽視。第7講

病毒防范技術(shù)1.蠕蟲(chóng)病毒的定義蠕蟲(chóng)病毒和普通病毒有很大區(qū)別。一般認(rèn)為，蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。在產(chǎn)生的破壞性上，蠕蟲(chóng)病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲(chóng)可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。第7講

病毒防范技術(shù)根據(jù)其發(fā)作機(jī)制，蠕蟲(chóng)病毒一般可分為兩類一類是利用系統(tǒng)級(jí)別漏洞(主動(dòng)傳播)，主動(dòng)攻擊企業(yè)用戶和局域網(wǎng)的蠕蟲(chóng)病毒，這種病毒以“紅色代碼”、“尼姆達(dá)”以及“SQL蠕蟲(chóng)王”為代表，可以對(duì)整個(gè)因特網(wǎng)造成癱瘓性的后果；另一類是針對(duì)個(gè)人用戶，利用社會(huì)工程學(xué)(欺騙傳播)，通過(guò)網(wǎng)絡(luò)電子郵件和惡意網(wǎng)頁(yè)等形式迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)、求職信病毒為例。在這兩類中，第一類具有很大的主動(dòng)攻擊性，而且爆發(fā)也有一定的突然性，但相對(duì)來(lái)說(shuō)，查殺這種病毒并不是很難；第二種病毒的傳播方式比較復(fù)雜和多樣，少數(shù)利用了應(yīng)用程序的漏洞，更多的是利用社會(huì)工程學(xué)對(duì)用戶進(jìn)行欺騙和誘使，這樣的病毒造成的損失非常大，同時(shí)也很難根除。比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位。第7講

病毒防范技術(shù)(1)蠕蟲(chóng)病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫(xiě)到其他程序的體內(nèi)，而被感染的文件就稱為“宿主”。例如，當(dāng)病毒感染W(wǎng)indows可執(zhí)行文件時(shí)，就在宿主程序中建立一個(gè)新節(jié)，將病毒代碼寫(xiě)到新節(jié)中，并修改程序的入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候就可以先執(zhí)行病毒程序，然后再把控制權(quán)交給原來(lái)的宿主程序指令?？梢?jiàn)，普通病毒主要是感染文件，當(dāng)然也有像DIRII這樣的鏈接型病毒和引導(dǎo)區(qū)病毒等。蠕蟲(chóng)一般不采取插入文件的方法，而是在因特網(wǎng)環(huán)境下通過(guò)復(fù)制自身進(jìn)行傳播，普通病毒的傳染主要針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)，而蠕蟲(chóng)病毒的傳染目標(biāo)是因特網(wǎng)內(nèi)的所有計(jì)算機(jī)局域網(wǎng)條件下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)、存在著大量漏洞的服務(wù)器等，這些都成為蠕蟲(chóng)傳播的良好途徑。網(wǎng)絡(luò)的普及與發(fā)展也使得蠕蟲(chóng)病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球，而且其主動(dòng)攻擊性和突然爆發(fā)性將使人們手足無(wú)策。參見(jiàn)表7.5。表7.5蠕蟲(chóng)病毒與普通病毒的異同普通病毒蠕蟲(chóng)病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)(2)蠕蟲(chóng)的破壞和變化1988年，一個(gè)由美國(guó)CORNELL大學(xué)研究生莫里斯編寫(xiě)的蠕蟲(chóng)病毒蔓延造成了數(shù)千臺(tái)計(jì)算機(jī)停機(jī)，蠕蟲(chóng)病毒開(kāi)始現(xiàn)身網(wǎng)絡(luò)；而后來(lái)的紅色代碼和尼姆達(dá)病毒瘋狂的時(shí)候曾造成幾十億美元的損失；2003年1月26日，一種名為“2003蠕蟲(chóng)王”的電腦病毒迅速傳播并襲擊了全球，致使因特網(wǎng)嚴(yán)重堵塞，作為因特網(wǎng)主要基礎(chǔ)的域名服務(wù)器(DNS)的癱瘓?jiān)斐删W(wǎng)民瀏覽因特網(wǎng)網(wǎng)頁(yè)及收發(fā)電子郵件的速度大幅減緩，同時(shí)銀行自動(dòng)提款機(jī)的運(yùn)作中斷，機(jī)票等網(wǎng)絡(luò)預(yù)訂系統(tǒng)的運(yùn)作中斷，信用卡等收付款系統(tǒng)出現(xiàn)故障。專家估計(jì)，此病毒造成的直接經(jīng)濟(jì)損失至少在12億美元以上。第7講

病毒防范技術(shù)通過(guò)對(duì)蠕蟲(chóng)病毒的分析，可以知道蠕蟲(chóng)發(fā)作的一些特點(diǎn)和變化。1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊。例如，由于IE瀏覽器的漏洞，使得感染了“尼姆達(dá)”病毒的郵件在不打開(kāi)附件的情況下就能激活病毒；“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞(idq.dll遠(yuǎn)程緩存區(qū)溢出)來(lái)傳播的；SQL蠕蟲(chóng)王病毒則是利用了微軟數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)漏洞進(jìn)行大肆攻擊。2)傳播方式多樣。如“尼姆達(dá)”和“求職信”等病毒，其可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等。3)病毒制作技術(shù)與傳統(tǒng)的病毒不同。許多新病毒是利用當(dāng)前最新的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術(shù)，可以潛伏在HTML頁(yè)面里，在上網(wǎng)瀏覽時(shí)觸發(fā)。4)與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大。以紅色代碼為例，感染后，機(jī)器web目錄下的\scripts子目錄將生成一個(gè)root.exe文件，可以遠(yuǎn)程執(zhí)行任何命令，從而使黑客能夠再次進(jìn)入。第7講

病毒防范技術(shù)(1)蠕蟲(chóng)病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫(xiě)到其他程序的體內(nèi)，而被感染的文件就稱為“宿主”。例如，當(dāng)病毒感染W(wǎng)indows可執(zhí)行文件時(shí)，就在宿主程序中建立一個(gè)新節(jié)，將病毒代碼寫(xiě)到新節(jié)中，并修改程序的入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候就可以先執(zhí)行病毒程序，然后再把控制權(quán)交給原來(lái)的宿主程序指令?？梢?jiàn)，普通病毒主要是感染文件，當(dāng)然也有像DIRII這樣的鏈接型病毒和引導(dǎo)區(qū)病毒等。蠕蟲(chóng)一般不采取插入文件的方法，而是在因特網(wǎng)環(huán)境下通過(guò)復(fù)制自身進(jìn)行傳播，普通病毒的傳染主要針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)，而蠕蟲(chóng)病毒的傳染目標(biāo)是因特網(wǎng)內(nèi)的所有計(jì)算機(jī)局域網(wǎng)條件下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)、存在著大量漏洞的服務(wù)器等，這些都成為蠕蟲(chóng)傳播的良好途徑。網(wǎng)絡(luò)的普及與發(fā)展也使得蠕蟲(chóng)病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球，而且其主動(dòng)攻擊性和突然爆發(fā)性將使人們手足無(wú)策。參見(jiàn)表7.5。第7講

病毒防范技術(shù)(2)蠕蟲(chóng)的破壞和變化1988年，一個(gè)由美國(guó)CORNELL大學(xué)研究生莫里斯編寫(xiě)的蠕蟲(chóng)病毒蔓延造成了數(shù)千臺(tái)計(jì)算機(jī)停機(jī)，蠕蟲(chóng)病毒開(kāi)始現(xiàn)身網(wǎng)絡(luò)；而后來(lái)的紅色代碼和尼姆達(dá)病毒瘋狂的時(shí)候曾造成幾十億美元的損失；2003年1月26日，一種名為“2003蠕蟲(chóng)王”的電腦病毒迅速傳播并襲擊了全球，致使因特網(wǎng)嚴(yán)重堵塞，作為因特網(wǎng)主要基礎(chǔ)的域名服務(wù)器(DNS)的癱瘓?jiān)斐删W(wǎng)民瀏覽因特網(wǎng)網(wǎng)頁(yè)及收發(fā)電子郵件的速度大幅減緩，同時(shí)銀行自動(dòng)提款機(jī)的運(yùn)作中斷，