計(jì)算機(jī)安全技術(shù)分析與病毒防治

計(jì)算機(jī)病毒概述引導(dǎo)扇區(qū)型病毒文件型病毒宏病毒其他類型的病毒第一頁，共五十六頁。5.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。這種特殊功能主要體現(xiàn)在三個(gè)方面：復(fù)制性、隱蔽性和破壞性。

20世紀(jì)70年代，美國出版了兩本科幻小說：《震蕩波騎士》和《P1的青春》。

第一個(gè)被稱作計(jì)算機(jī)病毒程序是在1983年11月，由弗雷德·科恩博士研制出來的。

1988年由羅伯特·莫里斯編寫的“蠕蟲病毒”，是一次非常典型的計(jì)算機(jī)病毒人侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，迫使美國政府立即作出反應(yīng)，國防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組。第二頁，共五十六頁。5.1計(jì)算機(jī)病毒概述5.1.1病毒的產(chǎn)生

計(jì)算機(jī)病毒是一種高技術(shù)犯罪的毒果，另一方面，計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是引發(fā)病毒產(chǎn)生的根本原因，為病毒的侵人提供了客觀方便。

病毒制造者的動(dòng)機(jī)主要有：①開個(gè)玩笑，一個(gè)惡作劇。②產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。③用于版權(quán)保護(hù)。④用于特殊目的。第三頁，共五十六頁。5.1計(jì)算機(jī)病毒概述5.1.2病毒的發(fā)展過程（1）DOS引導(dǎo)階段（2）DOS可執(zhí)行階段（3）伴隨、批次型階段（4）幽靈、多形階段（5）生成器、變體機(jī)階段（6）網(wǎng)絡(luò)、蠕蟲階段（7）Windows階段（8）宏病毒階段（9）互聯(lián)網(wǎng)階段（l0）爪哇、郵件炸彈階段5.1.3病毒的破壞行為1.攻擊系統(tǒng)數(shù)據(jù)區(qū)2.攻擊文件3.攻擊內(nèi)存4.干擾系統(tǒng)運(yùn)行5.各種設(shè)備異常第四頁，共五十六頁。5.1計(jì)算機(jī)病毒概述5.1.4病毒的傳播方式病毒的傳播途徑有五種：(1)利用電磁波(2)利用有線線路傳播(3)直接放毒(4)利用微波傳輸(5)利用軍用或民用設(shè)備傳播第五頁，共五十六頁。5.1計(jì)算機(jī)病毒概述5.1.5病毒程序的結(jié)構(gòu)它們的主要結(jié)構(gòu)包含三個(gè)部分：引導(dǎo)部分、傳染部分、表現(xiàn)部分。引導(dǎo)部分的作用是借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存，以便傳染部分和表現(xiàn)部分進(jìn)人活動(dòng)狀態(tài)。它所做的工作有：駐留內(nèi)存，修改中斷，修改高端內(nèi)存，保存原中斷向量等操作。另外，引導(dǎo)部分還可以根據(jù)特定的計(jì)算機(jī)系統(tǒng)，將分別存放的病毒程序鏈接在一起，重新進(jìn)行裝配，形成新的病毒程序，破壞計(jì)算機(jī)系統(tǒng)。第六頁，共五十六頁。5.1計(jì)算機(jī)病毒概述傳染部分的作用是將病毒代碼復(fù)制到傳染目標(biāo)上去，是病毒的核心。一般復(fù)制傳染的速度比較快，不會引起用戶的注意，同時(shí)還要盡可能擴(kuò)大染毒范圍。病毒的傳染模塊大致由兩部分組成：條件判斷部分，程序主體部分。表現(xiàn)部分是病毒間差異最大的部分，前兩個(gè)部分也是為這部分服務(wù)的。5.1.6病毒的本質(zhì)計(jì)算機(jī)病毒的本質(zhì)是一組計(jì)算機(jī)指令或者程序代碼，是一種可存儲、可執(zhí)行的特殊程序。第七頁，共五十六頁。5.1計(jì)算機(jī)病毒概述5.1.7病毒的基本特征計(jì)算機(jī)病毒在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中定義為：“指編制或者在計(jì)算機(jī)程序中插人的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。有復(fù)制傳染的功能，有表現(xiàn)破壞的功能，有隱藏的手段。它還具有衍生性。1.傳染性2.隱蔽性3.破壞性第八頁，共五十六頁。5.1計(jì)算機(jī)病毒概述5.1.8病毒的分類計(jì)算機(jī)病毒的類型根據(jù)不同的角度各有不同：按傳染方式：引導(dǎo)型病毒、文件型病毒和混合型病毒；按連接人侵方式：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒；按病毒存在的媒體：網(wǎng)絡(luò)病毒、文件病毒、引導(dǎo)型病毒；按其駐留的方法：駐留型病毒和非駐留型病毒；按其表現(xiàn)性質(zhì)：良性病毒和惡性病毒；按寄生方式：內(nèi)存宿主型病毒和磁盤宿主型病毒；根據(jù)病毒破壞的能力：無害型、無危險(xiǎn)型、危險(xiǎn)型、非常危險(xiǎn)型等。第九頁，共五十六頁。5.1計(jì)算機(jī)病毒概述1．引導(dǎo)型病毒引導(dǎo)型病毒，感染對象是計(jì)算機(jī)存儲介質(zhì)的引導(dǎo)扇區(qū)。病毒將自身的全部或部分程序取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在介質(zhì)的其他存儲空間。2．文件病毒文件病毒是文件侵染者，也被稱為寄生病毒。它運(yùn)行在計(jì)算機(jī)內(nèi)存里，通常它感染帶有.COM，.EXE，.DRV，擴(kuò)展名的可執(zhí)行文件。它們每一次激活時(shí)，感染文件把自身復(fù)制到其他可執(zhí)行文件中，并能在內(nèi)存中保存很長時(shí)間，直到病毒又被激活。當(dāng)用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。第十頁，共五十六頁。5.1計(jì)算機(jī)病毒概述3.宏病毒4.源碼病毒5.入侵型病6.操作系統(tǒng)病毒7.外殼病毒8.駐留型病毒9.感染計(jì)算機(jī)后10.無害型病毒根據(jù)病毒特有的算法，病毒還可以劃分為：伴隨型病毒；“蠕蟲”型病毒；練習(xí)型病毒，自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段；詭秘型病毒，一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)，利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作；變型病毒（又稱幽靈病毒），使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般由一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。第十一頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒3.2.1硬盤主引導(dǎo)記錄和引導(dǎo)扇區(qū)硬盤的主引導(dǎo)分區(qū)是磁道號為0、磁頭號為0、扇區(qū)號為1（C－0，H－0，R＝l）的扇區(qū)，它是硬盤的第一個(gè)物理扇區(qū)。主引導(dǎo)分區(qū)中的數(shù)據(jù)由硬盤主引導(dǎo)記錄和硬盤分區(qū)表組成，最后2個(gè)字節(jié)是55H、AAH。主引導(dǎo)記錄占用位置000～0EFH，硬盤分區(qū)表占用位置01BE～01FEH。分區(qū)表包含4個(gè)16字節(jié)的表項(xiàng)，共64個(gè)字節(jié)，每一個(gè)表項(xiàng)描述一個(gè)分區(qū)，表項(xiàng)的內(nèi)容參見P150表5-1所示。第十二頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒5.2.22708病毒的分析2708病毒是一種引導(dǎo)型病毒，它在傳染軟盤時(shí)，把正常引導(dǎo)扇區(qū)放到磁盤的1面27道(以十六進(jìn)制表示)08扇區(qū)，因此取名為2708病毒。在病毒發(fā)作時(shí)，病毒程序?qū)IOS中的打印端口地址數(shù)據(jù)置0，從而封鎖打印機(jī)。1．2708病毒的引導(dǎo)過程2．2708病毒的傳播方式3．2708病毒的發(fā)作2708病毒在傳染硬盤主引導(dǎo)扇區(qū)后，每次從硬盤啟動(dòng)時(shí)，都會將啟動(dòng)次數(shù)加1，并將這個(gè)計(jì)數(shù)器保存在主引導(dǎo)扇區(qū)中。當(dāng)啟動(dòng)次數(shù)達(dá)到32次后，計(jì)數(shù)器不再增加，覆蓋BIOS區(qū)域中的并口和串口地址，而不能進(jìn)行打印操作。第十三頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒5.2.3引導(dǎo)型病毒的檢測和防治1．引導(dǎo)型病毒的引導(dǎo)過程引導(dǎo)型病毒在系統(tǒng)起動(dòng)時(shí)，在正常系統(tǒng)引導(dǎo)之前將其自身裝入到系統(tǒng)中。在傳染硬盤時(shí)它覆蓋了硬盤的主引導(dǎo)扇區(qū)或DOS引導(dǎo)扇區(qū)，在傳染軟盤時(shí)則覆蓋了引導(dǎo)扇區(qū)。在系統(tǒng)引導(dǎo)時(shí)，ROMBIOS把這些扇區(qū)的內(nèi)容讀入內(nèi)存并執(zhí)行。這樣，病毒程序就獲得了控制權(quán)。它首先把自己復(fù)制到內(nèi)存高端，在完成安裝過程后再繼續(xù)DOS引導(dǎo)過程。為了保護(hù)內(nèi)存高端的病毒程序不被系統(tǒng)使用，要將內(nèi)存容量減少若干KB。2．引導(dǎo)型病毒的傳播方式引導(dǎo)型病毒的傳染對象是軟盤的引導(dǎo)扇區(qū)和硬盤的主引導(dǎo)扇區(qū)及硬盤DOS引導(dǎo)扇區(qū)。第十四頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒3．引導(dǎo)型病毒的表現(xiàn)形式在滿足特定條件后，就會激活病毒的表現(xiàn)模塊。而病毒的表現(xiàn)方式，可以說是各種各樣，它集中體現(xiàn)了病毒炮制者的企圖。4．引導(dǎo)型病毒的檢測對于這類病毒的診斷比文件型病毒要容易得多，可以從以下幾個(gè)方面進(jìn)行診斷：（1）察看系統(tǒng)內(nèi)存容量是否減少。(0:0413一個(gè)字)（2）檢查系統(tǒng)高端內(nèi)存中是否有病毒代碼。（3）檢查軟盤的引導(dǎo)扇區(qū)和硬盤的主引導(dǎo)扇區(qū)及硬盤DOS引導(dǎo)扇區(qū)。第十五頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒用DEBUG讀入引導(dǎo)扇區(qū)的方法：

A）DEBUG-A100XXXX：0100MOVAX，0201XXXX：0103MOVBX，7C00XXXX：0106MOVCX，0001XXXX：0109MOVDX，0080XXXX:010CINT13XXXX:010EINT3XXXX：010F-G-L100001-L300201-Q第十六頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒5．引導(dǎo)型病毒的清除在檢測到磁盤被引導(dǎo)型病毒感染以后，消除病毒的思路是用正常的系統(tǒng)引導(dǎo)程序覆蓋引導(dǎo)扇區(qū)中的病毒程序。如果在被病毒感染以前，讀取并保存了硬盤主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)中的內(nèi)容，就很容易清除病毒?？梢杂肈EBUG把保存的內(nèi)容讀入內(nèi)存，再寫入引導(dǎo)扇區(qū)。引導(dǎo)扇區(qū)中的病毒即被正常引導(dǎo)程序所替代。假如MBP.DAT和BOOT.DAT分別保存的是硬盤的主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)的內(nèi)容，長度為512字節(jié)。按以下步驟執(zhí)行：

A＞DEBUG—NMBP.DAT—L7C00—NB00T.DAT—L7E00第十七頁，共五十六頁。—A100XXXX:0100MOVAX,0301XXXX:0103MOVBX,7C00XXXX:0106MOVCX,0001XXXX:0109MOVDX,0080XXXX:010CINT13XXXX:010EINT3XXXX：010F—G—W7E00201—Q備份：-L100001-NBOOT.DAT-RCXCX:200-W-Q備份主引導(dǎo)記錄：—A100MOVAX,0201MOVBX,7C00MOVCX,0001MOVDX,0080INT13INT3—G-NMBP.DAT-RCXCX:200-RBXBX:0000-W-Q第十八頁，共五十六頁。5.2引導(dǎo)扇區(qū)型病毒如果沒有保存引導(dǎo)扇區(qū)的信息，則清除其中的病毒比較困難。對于那些把引導(dǎo)扇區(qū)內(nèi)容轉(zhuǎn)移到其他扇區(qū)中的病毒，需要分析病毒程序的引導(dǎo)代碼，找出正常引導(dǎo)扇區(qū)內(nèi)容的存放地址，把它們讀入內(nèi)存，再按上面介紹的方法寫到引導(dǎo)扇區(qū)中。而對于那些直接覆蓋引導(dǎo)扇區(qū)的病毒，則必須從其他微機(jī)中讀取正常的引導(dǎo)程序。對于硬盤DOS引導(dǎo)扇區(qū)中的病毒，可以用和硬盤上相同版本的DOS（從軟盤）啟動(dòng)，再執(zhí)行SYSC：命令傳送系統(tǒng)到C盤，即可以清除硬盤DOS引導(dǎo)扇區(qū)中的病毒。第十九頁，共五十六頁。5.3文件型病毒5.3.1COM文件格式COM文件中只使用一個(gè)段，文件中的程序和數(shù)據(jù)的大小限制在64KB內(nèi)。在執(zhí)行一個(gè)COM文件時(shí)，DOS分配一個(gè)內(nèi)存塊，包括所有的可用內(nèi)存空間。在內(nèi)存塊的最前面為該程序建立程序段前綴PSP。PSP的大小為100H字節(jié)。COM文件的內(nèi)容直接讀人到PSP之后的內(nèi)存。四個(gè)段寄存器CS、DS、ES、SS都被初始化為PSP的段地址，堆棧指針SP被設(shè)置為FFFEH，指令指針I(yè)P設(shè)置為0100H。然后開始執(zhí)行這個(gè)COM程序第二十頁，共五十六頁。5.3文件型病毒5.3.2EXE文件格式EXE文件中可包含多個(gè)段，每個(gè)段的大小在64KB內(nèi)，但文件中的程序、數(shù)據(jù)總的大小可以超過64KB。EXE文件分為兩個(gè)部分，EXE文件頭和裝入模塊。文件頭描述關(guān)于整個(gè)EXE文件的一些信息，在裝入過程中由DOS使用。EXE文件的格式如P157圖5-3所示.在執(zhí)行一個(gè)EXE文件時(shí)，分配內(nèi)存塊、生成環(huán)境段、建立PSP的過程和執(zhí)行COM文件時(shí)完全相同。EXE文件中裝入模塊的內(nèi)容直接讀人到PSP之后的內(nèi)存，內(nèi)存的段被稱為起始段值。DS、ES初始化為PSP的段地址，CS、IP和SS、SP根據(jù)文件頭中相應(yīng)字段的內(nèi)容進(jìn)行初始化，CS和SS的內(nèi)容再加上起始段值。第二十一頁，共五十六頁。5.3文件型病毒5.3.3黑色星期五病毒分析1．黑色星期五病毒的特點(diǎn)黑色星期五病毒是一種文件型病毒。它駐留在后綴為COM和EXE文件中。當(dāng)運(yùn)行帶病毒的文件時(shí)，病毒程序首先獲得控制。如果系統(tǒng)中還沒有駐留這種病毒，則將其自身駐留，修改系統(tǒng)的INT21H和INT8H中斷向量，指向病毒程序的相應(yīng)位置，之后再執(zhí)行原文件中的程序。2．黑色星期五病毒的組成引導(dǎo)駐留部分、傳播部分、破壞（表現(xiàn)）部分。第二十二頁，共五十六頁。5.3文件型病毒(1)引導(dǎo)駐留部分文件運(yùn)行時(shí)，根據(jù)INT21H的E0H功能的返回值，判斷當(dāng)前系統(tǒng)是否已被病毒感染。如未被感染，則截獲INT21H和INT8H向量，使它們指向病毒程序的相應(yīng)部分。病毒程序?qū)⒆陨硪苿?dòng)到內(nèi)存的某一位置，從XXXX:0000至XXXX:0710H。病毒程序?qū)⒆陨眈v留后，才轉(zhuǎn)去執(zhí)行原可執(zhí)行文件。（2）傳播部分病毒駐留系統(tǒng)，運(yùn)行一個(gè)可執(zhí)行文件，則傳染該文件。病毒程序?qū)⒆x寫指針移到文件尾部，判斷文件尾部是否有標(biāo)識“4D73446F73”，如果有，則感染該文件再執(zhí)行該文件中的原有程序；如果沒有病毒標(biāo)識，則認(rèn)為該文件未被感染。第二十三頁，共五十六頁。5.3文件型病毒感染步驟：病毒程序首先將文件建立日期時(shí)間、屬性保存下來，再修改文件屬性。然后病毒將自身鏈接于文件之中，并修改文件長度。最后，恢復(fù)原文件的屬性和建立日期時(shí)間。病毒在感染文件后，再轉(zhuǎn)去執(zhí)行原文件，使用戶難于發(fā)現(xiàn)病毒的感染。在病毒對文件的感染過程中，修改了DOS的INT24H中斷。INT24H是DOS的出錯(cuò)處理中斷，如果屏蔽了這個(gè)中斷，就可以使病毒傳染過程中可能發(fā)生的一些錯(cuò)誤(如磁盤寫保護(hù)、文件讀寫出錯(cuò)等)不被用戶發(fā)現(xiàn)。第二十四頁，共五十六頁。5.3文件型病毒（3）破壞部分一種是降低系統(tǒng)的運(yùn)行速度，另一種是刪除被執(zhí)行的文件。它截獲了INT8H時(shí)鐘中斷服務(wù)程序，滿足其激活條件（病毒駐留內(nèi)存約半小時(shí)后）時(shí)，在屏幕上顯示黑色的方塊，并且在程序中執(zhí)行無用循環(huán)，耗用CPU的處理周期，使用戶程序的執(zhí)行速度大大降低。如果機(jī)器日期是十三日及星期五，而且不是1987年，則病毒在DOS加載COM或EXE可執(zhí)行文件時(shí)，刪除這些文件。3．黑色星期五病毒的傳染機(jī)制黑色星期五病毒的傳染是在執(zhí)行DOS的加載執(zhí)行功能調(diào)用（即INT21H的4BH）時(shí)完成的。第二十五頁，共五十六頁。5.3文件型病毒在DOS系統(tǒng)下，DOS外部命令和所有的可執(zhí)行文件，執(zhí)行時(shí)都要調(diào)用INT21H的4BH功能。其入口參數(shù)是：DS:DX指向可執(zhí)行文件的文件名ASCII串ES:BX指向執(zhí)行此命令的參數(shù)塊；AX＝4B00H在帶有病毒的系統(tǒng)中，INT21H中斷指向病毒程序。病毒程序從加載執(zhí)行功能的入口參數(shù)處取出文件名，根據(jù)文件名后綴判斷文件的類型。如果是COM文件，檢查其是否被病毒感染，未感染的情況下則將病毒程序放置在原COM文件的前面，并在其尾部加上病毒標(biāo)志。如果被感染，則調(diào)用INT21H的4BH功能執(zhí)行原COM文件。第二十六頁，共五十六頁。5.3文件型病毒如果是EXE文件，則將病毒程序?qū)懙紼XE文件的最后，然后修改EXE文件的文件頭參數(shù)，使其指向病毒程序，因此執(zhí)行受感染EXE文件時(shí)即讓病毒程序獲得控制權(quán)。在感染完成后，執(zhí)行原EXE文件的內(nèi)容。5.3.4文件型病毒的檢測與防治1．文件型病毒的引導(dǎo)過程可執(zhí)行文件的裝人執(zhí)行，是由DOS系統(tǒng)INT21H的4BH功能調(diào)用完成的。DOS執(zhí)行這個(gè)調(diào)用時(shí)，從磁盤上裝入可執(zhí)行文件，進(jìn)行加載并將控制權(quán)交給被加載的用戶程序。第二十七頁，共五十六頁。5.3文件型病毒對于COM文件，第一條指令位于CS:100地址處；對于EXE文件，由文件頭中的CS、IP字段確定程序的第一條指令。病毒感染可執(zhí)行文件，為了獲得控制，修改了原文件的頭部參數(shù)。對于COM文件，要修改文件頭三個(gè)字節(jié)的內(nèi)容；對于EXE文件，則要修改文件首部(文件頭)偏移14－15H處的IP指針和偏移16－17H處的CS段值。為了不影響用戶程序的堆棧段內(nèi)容，還要修改偏移0E－0FH處的SS段值和偏移10～11H處的SP指針。還要修改EXE文件頭部02－05H處的文件長度標(biāo)識。第二十八頁，共五十六頁。5.3文件型病毒2．文件型病毒的傳染方式在傳染過程中，病毒程序或者位于文件的首部，或者位于文件的尾部，并且使原文件的長度增加若干字節(jié)。位于文件中間的病毒則較為少見。病毒程序在引導(dǎo)過程中，修改INT21H系統(tǒng)中斷，具有向外傳播的能力。INT21H是對文件進(jìn)行各種操作的系統(tǒng)調(diào)用入口，病毒籍此控制可執(zhí)行文件的裝入執(zhí)行和對文件的讀、寫等操作。在裝入執(zhí)行或讀寫可執(zhí)行文件時(shí)，病毒就可能傳染這個(gè)文件。病毒程序首先判斷文件是否存在特殊標(biāo)志（即是否被感染），如果文件已被感染則跳過傳染過程；如果未被感染，則把病毒程序鏈接在文件之中。最后再執(zhí)行系統(tǒng)功能調(diào)用。第二十九頁，共五十六頁。5.3文件型病毒3．文件型病毒的檢測常用的辦法是借助于“查毒軟件”，其基本思想是：在一個(gè)文件的特定位置，查找病毒的特定標(biāo)識，如果存在，則認(rèn)為文件被病毒感染。這種檢測病毒的方法稱為“特征標(biāo)識匹配法”，它一次可以檢查磁盤上的所有可執(zhí)行文件。(1）檢測系統(tǒng)內(nèi)存中是否含有病毒病毒的傳染性是它的重要特性。病毒一般都是修改INT21H中斷來截獲系統(tǒng)調(diào)用，因此可以根據(jù)INT21H中斷向量的入口地址來判斷是否有病毒駐留內(nèi)存。用DOS命令MEM，可以列出系統(tǒng)中駐留的所有程序，檢查其中是否有非法程序駐留。如果發(fā)現(xiàn)非法駐留的程序，則可以判定系統(tǒng)內(nèi)存中含有病毒。第三十頁，共五十六頁。5.3文件型病毒（2）檢查文件中的病毒對可執(zhí)行文件中病毒的判定，一般情況下只能采用比較法，即通過觀察文件的長度或日期時(shí)間是否變化來判斷有無病毒。4．文件型病毒的清除文件型病毒和被感染文件的鏈接方式是多種多樣的，有的病毒駐留在文件的首部，有的則駐留在尾部，而且各個(gè)病毒保存被感染文件的參數(shù)的方法和位置也各不相同。因此要清除文件中的病毒，就要分析病毒程序代碼，找出病毒和被感染文件之間的鏈接關(guān)系，才有可能把病毒從被感染文件中分離出來。第三十一頁，共五十六頁。5.3文件型病毒清除文件中的病毒一般應(yīng)按照以下步驟進(jìn)行：(1)分析病毒與被感染文件之間的鏈接方式；(2)確定病毒程序駐留在文件的位置，并找到病毒程序的開始和結(jié)束位置。把被感染文件的主要部分還原。(3)恢復(fù)被感染文件的頭部參數(shù)。對于COM文件，它的頭三個(gè)字節(jié)被替換為病毒程序，這三個(gè)字節(jié)被保存在病毒體中，找出這三個(gè)字節(jié)，放到文件的頭部。對于EXE文件，文件頭中的CS、IP、SS、SP等字段被病毒程序修改，這些字段的原有值被存放在病毒體中。找出恢復(fù),還需要修改文件頭中的長度參數(shù)。（4）把恢復(fù)后的內(nèi)容寫到文件中。文件長度要變短一些，只把文件的正常內(nèi)容寫到文件中，病毒體就從文件中“剝離”出來。第三十二頁，共五十六頁。5.3文件型病毒要正確清除文件中的病毒，首先要了解病毒的傳染方法。對于不同病毒，具體的清除方法也是不同的。如果用DEBUG等工具清除病毒，其效率是很低的，而且容易出現(xiàn)失誤。一般的方法是編制“殺毒程序”，把上面的步驟用程序?qū)崿F(xiàn)，這樣，對同一種病毒感染的多個(gè)文件，可以用程序逐個(gè)清除。第三十三頁，共五十六頁。5.4宏病毒宏病毒的產(chǎn)生，是利用了一些數(shù)據(jù)處理系統(tǒng)，如字處理或表格處理系統(tǒng)，內(nèi)置宏命令編程語言的特性而形成的。這種特性可以把特定的宏命令代碼附加在指定文件上，在未經(jīng)使用者許可的情況下獲取某種控制權(quán)，實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞。由于“宏”是使用VisualBasicForApplications這樣的高級語言編寫的，其編寫過程相對比較簡單，而功能又十分強(qiáng)大，因此宏病毒的產(chǎn)生不再需要病毒制造者具有較多的計(jì)算機(jī)專業(yè)知識和技巧，一個(gè)心懷不軌的人只需掌握一些基本的“宏”編寫手段，即可編出破壞力很大的宏病毒。第三十四頁，共五十六頁。5.4宏病毒3.4.lVBA與宏病毒VBA是把DOS版本的Basic的一些實(shí)現(xiàn)方法轉(zhuǎn)變到Windows中。只要在Office環(huán)境中打開這些文件，為了特定的任務(wù)，VBA的代碼就會隨之而來地解釋執(zhí)行。而且VBA的進(jìn)一步升級，使其具備訪問系統(tǒng)和控制系統(tǒng)的能力，直接調(diào)用WindowsAPI，訪問系統(tǒng)資源，采取“Shell+命令行”方式直接調(diào)用DOS或windows命令等等。VBA的出現(xiàn)是面向知識階層的計(jì)算機(jī)用戶的，他們不需要更深入的編程知識和經(jīng)驗(yàn)，只要懂得Basic就可以將一系列費(fèi)時(shí)而重復(fù)的操作和命令，根據(jù)不同的使用要求和基本命令組合在一起形成宏。目的是為了讓用戶能夠用簡單的編程方法，來簡化這些經(jīng)常性的操作，就像DOS的批處理程序?qū)⒍鄠€(gè)執(zhí)行命令依次放在一起執(zhí)行一樣。第三十五頁，共五十六頁。5.4宏病毒它的編制技術(shù)與其他的編程技術(shù)相比，要求是很低的，Office系統(tǒng)甚至提供了不用編程，僅依靠錄制用戶實(shí)際操作的方法就可以生成宏的功能。宏，簡單的理解可以是Office應(yīng)用產(chǎn)品中，點(diǎn)擊菜單命令的錄音機(jī)。系統(tǒng)能夠重復(fù)執(zhí)行用戶曾經(jīng)執(zhí)行或者設(shè)計(jì)的一系列的點(diǎn)擊命令。這就使那些對計(jì)算機(jī)編程語言沒有多少知識但卻對病毒“一往情深”者也可以加入到病毒制造者的行列中。5.4.2宏病毒的表現(xiàn)有些宏病毒只進(jìn)行自身的傳播，并不具破壞性，如被一種Autoopen宏病毒感染了的文檔，不能再被轉(zhuǎn)存為其他格式的文件，也無法使用“另存為”（Saveas）修改路徑以保存到另外的磁盤／子目錄中，它具備與模板文檔一致的內(nèi)部格式。第三十六頁，共五十六頁。5.4宏病毒有些宏病毒或使打印中途中斷，或打印出混亂信息，如Nuclear、Kompu等屬此類。有些宏病毒將文檔中的部分字符、文本進(jìn)行替換，如Concept．F發(fā)作時(shí)，用“，’“e”，“not”替換所有“?！?，“a”，“and”。還有一些現(xiàn)象是：Word運(yùn)行時(shí)出現(xiàn)如自動(dòng)打開文件，打開窗口等情況；使用過的文件屬性發(fā)生改變；Word文件自動(dòng)對一張寫保護(hù)的空盤強(qiáng)行存盤等。有些病毒極具破壞性，如MDMA.A（無政府者一號，最早發(fā)現(xiàn)于1996年夏）另外有一種雙棲復(fù)合型病毒，如Nuclear是由AutoExec、Dropsuriv、等9宏病毒復(fù)合成的一種DOS和Windows雙棲型駐留宏病毒。第三十七頁，共五十六頁。5.4宏病毒3.4.3宏病毒的特點(diǎn)1．宏病毒制造容易。2．它是一種真正跨硬件平臺的病毒。3．宏病毒的傳播速度極快。4．大多時(shí)宏病毒具有很好的隱蔽性，不易被發(fā)覺。5．破壞性極強(qiáng)。5.4.3宏病毒的傳染性在Office系統(tǒng)中集成了許多模板，如典雅型傳真、報(bào)告、通訊錄、改擴(kuò)建項(xiàng)目表、經(jīng)濟(jì)社會發(fā)展計(jì)劃、海報(bào)。企業(yè)財(cái)政報(bào)告等模板。這些模板不僅包含了相應(yīng)類型文檔的一般格式，而且還允許用戶在模板內(nèi)添加宏，使得用戶在制作自己的特定格式時(shí)，減少重復(fù)勞動(dòng)。第三十八頁，共五十六頁。5.4宏病毒W(wǎng)ord最常用的是通用模板（Normal.dot），Excel最常用的是Excel.xlb等。任何一個(gè)Office文件背后都有相應(yīng)的模板，我們打開或建立大多數(shù)Office文件時(shí)，系統(tǒng)都會自動(dòng)裝入通用或公用模板并執(zhí)行其中的宏命令。其中的操作可以是打開文件、關(guān)閉文件、讀取數(shù)據(jù)以及保存和打印，并對應(yīng)著特定的宏命令，如存文件與相對應(yīng)，另存文件對應(yīng)著，打印則對應(yīng)著等。如這些宏命令集合在一起構(gòu)成了通用宏，通用宏保存在模板文件中，以使Office啟動(dòng)后可以有效地工作。第三十九頁，共五十六頁。5.4宏病毒以Word為例，當(dāng)Word打開文件時(shí)，它首先要檢查文件內(nèi)包含的宏是否有自動(dòng)執(zhí)行的宏（AutoOpen宏）存在，假如有這樣的宏，Word就啟動(dòng)并運(yùn)行之。當(dāng)然，如果AutoClose宏存在，則系統(tǒng)在關(guān)閉一個(gè)文件時(shí)，會自動(dòng)執(zhí)行它。通常，Word宏病毒至少會包含一個(gè)以上的自動(dòng)宏，Word中運(yùn)行這類自動(dòng)宏時(shí)，實(shí)際上就是在運(yùn)行病毒代碼。宏病毒的內(nèi)部都具有把帶病毒的宏復(fù)制到通用宏的代碼段，也就是說當(dāng)病毒代碼被執(zhí)行過后，它就會將自身復(fù)制到通用宏集合內(nèi)。當(dāng)Word系統(tǒng)退出時(shí)，會自動(dòng)地把包括宏病毒在內(nèi)的所有通用宏保存到模板文件中。以后每當(dāng)Word應(yīng)用程序啟動(dòng)初始化時(shí)，系統(tǒng)都會隨著通用模板的裝入而成為帶毒的Word系統(tǒng)，繼而在打開和創(chuàng)建任何文檔時(shí)感染該文檔。第四十頁，共五十六頁。5.4宏病毒實(shí)際上，宏病毒感染通用模板的目的，僅僅相當(dāng)于普通病毒要感染引導(dǎo)扇區(qū)和駐留內(nèi)存功能，附加在共用模板上才有“共用”的作用，感染W(wǎng)ord或Excel系統(tǒng)是為了進(jìn)一步地獲得對系統(tǒng)，特別是對Office系統(tǒng)的控制權(quán)。它要傳染的其他Office文件才是病毒傳染的最終結(jié)果，即傳染用戶自己的文檔文件或個(gè)人模板?？梢哉f，在同一臺計(jì)算機(jī)上宏病毒的傳染主要靠通用模板的機(jī)制，在不同的計(jì)算機(jī)之間宏病毒的傳播，就要靠具體的Office文件，通過磁介質(zhì)或網(wǎng)絡(luò)來進(jìn)行了。其中也包括Office系統(tǒng)中“HTML模板”發(fā)布到網(wǎng)上的傳染機(jī)制。第四十一頁，共五十六頁。5.4宏病毒一旦宏病毒侵入Word系統(tǒng)，它就會替代原有的正常宏，如、、和等，并通過這些宏所關(guān)聯(lián)的文件操作功能獲取對文件交換的控制。當(dāng)某項(xiàng)功能被調(diào)用時(shí)，相應(yīng)的宏病毒就會篡奪控制權(quán)，實(shí)施病毒所定義的非法操作，包括傳染操作、表現(xiàn)操作以及破壞操作等等。宏病毒在感染一個(gè)文檔時(shí)，首先要把文檔轉(zhuǎn)換成模板格式，然后把所有宏病毒復(fù)制到該文檔中。被轉(zhuǎn)換成模板格式后的染毒文件無法另存為任何其他格式。含有自動(dòng)宏的宏病毒染毒文檔，當(dāng)被其他計(jì)算機(jī)的Word系統(tǒng)打開時(shí)，便會自動(dòng)感染該計(jì)算機(jī)。例如，如果病毒捕獲并修改了，那么它將感染每一個(gè)被打開的Word文件。第四十二頁，共五十六頁。5.4宏病毒5.4.4宏病毒的檢測與清除(1)用操作系統(tǒng)的“查找”功能(2)用Office系統(tǒng)的檢查(3)還可以使用一種非常簡單的辦法，清除對Word系統(tǒng)的感染，即找到并且刪除Autoexec.dot和Normal.dot文件。(4)使用專業(yè)殺毒軟件.第四十三頁，共五十六頁。5.4宏病毒5.4.5宏病毒的預(yù)防1.當(dāng)懷疑系統(tǒng)有宏病毒時(shí)，首先應(yīng)查看是否存在“可疑”的宏。2.使用Word用戶，在打開一個(gè)新文檔時(shí)，系統(tǒng)將Word的工作環(huán)境按照用戶的使用習(xí)慣進(jìn)行設(shè)置，并使通用模板更新。3.當(dāng)無法判斷外來的Word文檔是否帶宏病毒時(shí)，在不保留原來文檔的排版格式的必要前提下，可先用Windows提供的書寫器或?qū)懽职鍋泶蜷_它們，將其先轉(zhuǎn)換成書寫器或?qū)懽职甯袷降奈募⒈４婧螅儆肳ord調(diào)用打開。4．除對Word宏進(jìn)行“過濾”外，還有一個(gè)簡單的方法，就是在調(diào)用Word文檔時(shí)先禁止所有的以“Auto”開頭的宏的執(zhí)行。第四十四頁，共五十六頁。5.4宏病毒5．對于使用Office97版本的用戶，系統(tǒng)已經(jīng)提供禁止宏功能，將其激活或打開即可。6．對于使用Excel的用戶，在打開一個(gè)新文檔時(shí)，系統(tǒng)將Excel的工作環(huán)境按照用戶的使用習(xí)慣進(jìn)行設(shè)置，并使Excel8.xlb文件更新。7．如果用戶自己編制有Autoxxxx這類宏，建議將編制完成的結(jié)果記錄下來，即將其中的代碼內(nèi)容打印或抄錄下來備查。8．如果用戶沒有編制過任何以“Auto”開頭的宏，而系統(tǒng)運(yùn)行不正常而又完全能排除是由其他的硬件故障或系統(tǒng)軟件配置問題引起的，那么，在打開“工具”菜單的“宏”選項(xiàng)后，最好刪除掉這些自動(dòng)宏，即便錯(cuò)刪了，也不會對文檔內(nèi)容產(chǎn)生任何影響，僅是缺少了相應(yīng)的“宏功能”。第四十五頁，共五十六頁。5.4宏病毒9．將常用的模板文件改為只讀屬性，可防止Office系統(tǒng)被感染。DOS的autoexec.bat和config.sys文件最好也都設(shè)為只讀屬性文件。第四十六頁，共五十六頁。5.4宏病毒5.4.7Office產(chǎn)品中對宏病毒的說明宏病毒主要是針對Office產(chǎn)品內(nèi)嵌的較強(qiáng)功能的VBA技術(shù)而設(shè)計(jì)的。1．Word文檔宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，宏病毒就會被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計(jì)算機(jī)上。Word無法掃描軟盤、硬盤或網(wǎng)絡(luò)驅(qū)動(dòng)器上的宏病毒（要得到這種保護(hù)，需要購買和安裝專門的防病毒軟件）。但當(dāng)打開一個(gè)含有可能攜帶病毒的宏的文檔時(shí)，Word能夠顯示警告信息。第四十七頁，共五十六頁。5.4宏病毒2．Excel文檔MicrosoftExcel無法掃描軟盤、硬盤或網(wǎng)絡(luò)盤來查找和刪除宏病毒。如果需要這種保護(hù)，則需要購買和安裝反病毒軟件。然而，每次打開含有宏的工作簿時(shí)，MicrosoftExcel都會顯示警告信息，然后選擇是以允許運(yùn)行宏的方式還是禁止運(yùn)行宏的方式打開工作簿。如果以禁止運(yùn)行宏的方式打開工作簿，則只能查看和編輯宏。宏病毒只有在允許運(yùn)行時(shí)才是有害的，所以禁止宏的運(yùn)行可以使打開工作簿更安全。如果要使工作簿中包含有用的宏（例如，公司中使用的訂貨表），則可單擊“啟用宏”，使打開工作簿中的宏有效；如果不想讓工作簿中包含宏，或者不太確定工作簿來源的可靠性，則可單擊“禁止宏”，使得打開工作簿中的宏失效。第四十八頁，共五十六頁。5.4宏病毒3．PowerPoint文槁宏病毒是某種保存在演示文稿或模板內(nèi)的宏中的計(jì)算機(jī)病毒。比如：PowerPoint可以在每次打開演示文稿，并且里面的宏可能包含病毒時(shí)，顯示警告信息?？梢宰孕袥Q定打開演示文稿時(shí)是否激活宏或不激活宏。如果希望演示文稿能包含有用的宏，可以啟用宏打開演示文稿。如果不知道演示文稿的來源，例如，從電子郵件的附件、網(wǎng)絡(luò)或不安全的Internet節(jié)點(diǎn)中得到的演示文稿，最好禁用宏打開演示文稿，不要冒險(xiǎn)。要停止對宏病毒的檢查，可以在看到病毒警告信息時(shí)，清除“每次打開包含宏的文檔前確認(rèn)”復(fù)選框。要徹底中止宏的檢查，請單擊“工具”菜單中的“選項(xiàng)”，單擊“常規(guī)”選項(xiàng)卡，清除“宏病毒防護(hù)”復(fù)選框。第四十九頁，共五十六頁。5.4宏病毒5.4.8宏病毒實(shí)例Melissa中文為美麗莎，是第一個(gè)通過用戶的郵件通信錄中的地址“極其迅速地”向外傳播的MS-Word宏病毒。它是徹底的“互聯(lián)網(wǎng)生存”病毒，感染對象是Word97和Word2000系統(tǒng)，它利用計(jì)算機(jī)中的通信錄，從Outlook的全域地址表中獲取成員地址信息，通過微軟的Word宏和Outlook電子郵件程序傳播。它會以當(dāng)前計(jì)算機(jī)主人的名義，煞有其事地告訴被入侵者“這是來自XX的重要信息”，如果他敢打開附件中名為list.doc的Word文件，不僅會看到80個(gè)色情文學(xué)網(wǎng)址的列表，而且病毒會利用他的計(jì)算機(jī)實(shí)施傳播。它傳播方式頗為隱秘，其主題中的XX就是發(fā)件人的名字。它暫時(shí)還不會給用戶的數(shù)據(jù)文件造成什么傷害，但會瘋狂占用網(wǎng)絡(luò)的郵件傳送資源，有可能造成互聯(lián)網(wǎng)的癱瘓！也稱“美麗殺手”。第五十頁，共五