第1章 惡意代碼概述

第1章惡意代碼概述劉功申上海交通大學網(wǎng)絡空間安全學院本章學習目標明確惡意代碼的基本概念了解惡意代碼的發(fā)展歷史熟悉惡意代碼的分類熟悉惡意代碼的命名規(guī)則了解惡意代碼的未來發(fā)展趨勢一、為什么提出惡意代碼的概念？計算機病毒的官方定義不能涵蓋新型惡意代碼《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機病毒防治管理辦法》傳統(tǒng)計算機病毒定義：是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。傳統(tǒng)計算機病毒定義的不足之處傳統(tǒng)定義強調(diào)：把破壞代碼插入正常程序中，而忽略把代碼直接復制到硬盤上的獨立惡意程序（例如，木馬），忽略惡意程序主動侵入設備（例如，蠕蟲）等。傳統(tǒng)定義沒有排除：具有惡意行為，但不是有意為之的行為，例如，不小心形成的惡意行為。這些不足帶來的法律問題使用這個定義可能逃脫應有的懲罰二、惡意代碼定義惡意代碼：在未被授權的情況下，以破壞軟硬件設備、竊取用戶信息、擾亂用戶心理、干擾用戶正常使用為目的而編制的軟件或代碼片段。這個定義涵蓋的范圍非常廣泛，它包含了所有敵意、插入、干擾、討厭的程序和源代碼。一個軟件被看作是惡意代碼主要是依據(jù)創(chuàng)作者的意圖，而不是惡意代碼本身的特征。惡意代碼的特征1.目的性目的性是惡意代碼的基本特征，是判別一個程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標準。2.傳播性傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3.破壞性破壞性是惡意代碼的表現(xiàn)手段。惡意代碼產(chǎn)生的動機(原因)：計算機系統(tǒng)的脆弱性(IBM病毒防護計劃)作為一種文化（hacker）病毒編制技術學習惡作劇\報復心理用于版權保護（xx公司）用于特殊目的（軍事、某些計算機防病毒公司）賺錢、賺錢、賺錢……三、惡意代碼簡史萌芽Unix病毒DOS時代的病毒網(wǎng)絡時代的惡意代碼惡意代碼新時代在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他的論文《復雜自動裝置的理論及組識的進行》里，就已經(jīng)勾勒出了病毒程序的藍圖。70年代美國作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中作者構(gòu)思出了計算機病毒的概念。美國電話電報公司(AT&T)的貝爾實驗室中，三個年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)(corewar)”。1、萌芽階段博士論文的主題是計算機病毒1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒（Unix）。2、第一個真病毒3、Dos時代的病毒1986年初，巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了

Pakistan病毒，即Brain，其目的是為了防范盜版軟件。Dos–PC–引導區(qū)1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。視窗病毒1988年3月2日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。肇事者-RobertT.Morris,美國康奈爾大學學生，其父是美國國家安全局安全專家。機理-利用sendmail,finger等服務的漏洞，消耗CPU資源，并導致拒絕服務。影響-Internet上大約6000臺計算機感染，占當時Internet聯(lián)網(wǎng)主機總數(shù)的10%，造成9600萬美元的損失。CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應付類似事件。莫里斯蠕蟲（MorrisWorm）1988年1989年，全世界計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶（包括中國）造成了極大損失。全球流行DOS病毒4、用于軍事的惡意代碼在沙漠風暴行動的前幾周，一塊被植入病毒（AF/91（1991））的計算機芯片被安裝進了伊拉克空軍防衛(wèi)系統(tǒng)中的一臺點陣打印機中。該打印機在法國組裝，取道約旦、阿曼運到了伊拉克。病毒癱瘓了伊拉克空軍防衛(wèi)系統(tǒng)中的一些Windows系統(tǒng)主機以及大型計算機，據(jù)說非常成功。5、傻瓜式惡意代碼——宏病毒1996年，出現(xiàn)針對微軟公司Office的“宏病毒”。1997年公認為計算機反病毒界的“宏病毒年”。特點：書寫簡單，甚至有很多自動制作工具6、燒毀硬件的惡意代碼

CIH（1998-1999）1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。7、網(wǎng)絡惡意代碼時代：蠕蟲1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的美麗莎病毒。2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個專門攻擊服務器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡災害。記憶猶新的3年（2003-2005）2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設備的類型，自動把U盤里所有的資料都復制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個網(wǎng)絡游戲的用戶信息，如果用戶通過登陸某個網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實際上是經(jīng)過偽裝的病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡游戲及網(wǎng)絡銀行的賬號和密碼。該病毒發(fā)作時，會顯示一張照片使用戶對其放松警惕。8、木馬時代2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另據(jù)江民病毒預警中心監(jiān)測的數(shù)據(jù)顯示，1至6月全國共有7322453臺計算機感染了病毒，其中感染木馬病毒電腦2384868臺，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺，占病毒感染電腦總數(shù)的17.12%，感染后門程序電腦

664589臺，占病毒感染電腦總數(shù)的9.03%，蠕蟲病毒216228臺，占病毒感染電腦總數(shù)的2.95%，監(jiān)測發(fā)現(xiàn)漏洞攻擊代碼感染181769臺，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺，占病毒感染電腦總數(shù)的2.06%。最前沿病毒2007年：流氓軟件——反流氓軟件技術對抗的階段。Cnnic3721–yahoo熊貓燒香2008年：木馬ARPPhishing（網(wǎng)絡釣魚）2009年惡意代碼產(chǎn)業(yè)化木馬是主流其他：瀏覽器劫持、下載捆綁、釣魚2010年新增惡意代碼750萬（瑞星）；流行惡意代碼：快捷方式真假難分、木馬依舊猖獗，但更注重經(jīng)濟利益和特殊應用。2011年隨著SNS等新型社交網(wǎng)絡的迅速崛起，惡意代碼制造者又有了新的病毒載體平臺。例如，新浪微波的移動互聯(lián)網(wǎng)平臺惡意代碼。例如，手機病毒。2012年中國計算機病毒統(tǒng)計根據(jù)金山毒霸安全中心統(tǒng)計2012年共捕獲病毒樣本總量超過4200萬個，比上一年增長41.4%，月捕獲病毒樣本數(shù)在300萬至450萬個之間，日均超過11萬個。鬼影病毒、AV終結(jié)者末日版、網(wǎng)購木馬、456游戲木馬、連環(huán)木馬(后門)、QQ粘蟲木馬、新淘寶客病毒、瀏覽器劫持病毒、傳奇私-Fu劫持者、QQ群蠕蟲病毒等病毒類型對用戶危害最大。來源：/analysis/kaspersky-security-bulletin/58335/mobile-malware-evolution-2013/9、手機惡意代碼登場

2015年移動惡意代碼行為（Kaspasky）2015年,卡巴斯基實驗室檢測到的內(nèi)容如下:?2,961,727個惡意安裝包?884,774個新的惡意移動項目——數(shù)量較前一年增長了三倍.?7,030個移動銀行木馬ThenumberofattacksblockedbyKasperskyLabsolutions,2015ThenumberofusersprotectedbyKasperskyLabsolutions,2015Thegeographyofmobilethreatsbynumberofattackedusers,2015Distributionofnewmobilemalwarebytypein2014and20151.ConfickerConficker是一種針對微軟的Windows操作系統(tǒng)的計算機蠕蟲病毒，最早的版本出現(xiàn)在2008年秋季。2.Sality通過僵尸網(wǎng)絡控制3.LockyLocky是勒索軟件家族新成員，出現(xiàn)于2016年年初，通過RSA-2048和AES-128算法對100多種文件類型進行加密。Locky通過漏洞工具包或包含JS、WSF、HTA或LNK文件的電子郵件傳播。4.Cutwail一款僵尸網(wǎng)絡，用于DDoS攻擊并發(fā)送垃圾郵件。10、惡意代碼新時代——勒索、APT、工控、物聯(lián)網(wǎng)5.ZeusZeus是幾年前出現(xiàn)的一款銀行木馬。6.Chanitor被稱為Hancitor或H1N1,使用垃圾郵件來傳播木馬。7.Tinba–木馬8.CryptowallCryptowall是CryptoLocker勒索軟件的變種。9.Blackhole-一種惡意程序工具包，10.Nivdort-模塊化木馬。2018十大惡意軟件APT武器：持續(xù)升級的APT28工具系列白俄羅斯工控系統(tǒng)：繼Stuxnet之后最大威脅的Industroyer能夠直接控制變電中的電路開關和繼電器物聯(lián)網(wǎng)：持續(xù)“擴張”的Mirai家族2017年與Mirai相關的知名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼為本體，經(jīng)過不斷的變異改進，已經(jīng)從傳統(tǒng)的Linux平臺演變到了Windows平臺，利用的端口也在不斷變化，從傳統(tǒng)的弱口令攻擊轉(zhuǎn)變到了弱口令和漏洞利用的綜合攻擊方式，同時感染設備范圍由網(wǎng)絡攝像機、家庭路由，正向有線電視機頂盒等領域“擴張”。銀行/金融：在線銷售的CutletMakerCutletMaker的軟件于2017年5月開始在AlphaBay暗網(wǎng)市場上銷售，因為美國有關機構(gòu)在7月中旬關閉了AlphaBay，軟件經(jīng)營方現(xiàn)新建了一個獨立網(wǎng)站專門銷售該軟件。犯罪勒索：占領半壁江山的WannaCry移動終端：安卓終端排名第一的Rootnik劫持與廣告：造成史上最大規(guī)模感染的FireBallFireBall可以控制互聯(lián)網(wǎng)瀏覽器,監(jiān)視受害者的web使用,并可能竊取個人文件。FireBall與擁有3億客戶聲稱提供數(shù)字營銷和游戲應用程序的中國公司Rafotech（卿燁科技/）相關。Windows&office：被濫用的NSA工具DoublePulsar惡意郵件：造成30億美元損失的尼日利亞釣魚無文件/腳本惡意軟件：被用于挖礦的NSA漏洞利用工具Zealot利用NSA漏洞大量入侵Linux和Windows服務器同時植入惡意軟件“Zealot”來挖掘Monero加密貨幣的攻擊2019年的新趨勢?勒索軟件的規(guī)模正在增長。?基于物聯(lián)網(wǎng)平臺的僵尸網(wǎng)絡-〉DDOS攻擊總體趨勢總結(jié)網(wǎng)絡化發(fā)展專業(yè)化發(fā)展簡單化發(fā)展多樣化發(fā)展自動化發(fā)展犯罪化發(fā)展四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每周一次的計算機安全討論會上正式提出。1988年冬天，正在康乃爾大學攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網(wǎng)絡——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡有不明入侵者。當晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀念一下1986的災難”或“使反病毒軟件公司難堪”。年僅18歲的高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。李俊，大學本科畢業(yè)大于1000萬用戶染毒損失數(shù)億元人民幣處罰：最高無期？五、惡意代碼的主要危害直接危害：1.病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用2.占用磁盤空間和對信息的破壞3.搶占系統(tǒng)資源4.影響計算機運行速度5.計算機病毒錯誤與不可預見的危害6.計算機病毒的兼容性對系統(tǒng)運行的影響病毒的危害情況

間接危害：1.計算機病毒給用戶造成嚴重的心理壓力2.造成業(yè)務上的損失3.法律上的問題近幾年來的重大損失

年份攻擊行為發(fā)起者受害PC數(shù)目損失金額(美元)2006木馬和惡意軟件————2005木馬————2004Worm_Sasser(震蕩波)————2003Worm_MSBLAST(沖擊波)超過140萬臺——2003SQLSlammer超過20萬臺9.5億至12億2002Klez超過6百萬臺90億2001RedCode超過1百萬臺26億2001NIMDA超過8百萬臺60億2000LoveLetter——88億1999CIH超過6千萬臺近100億六、惡意代碼的分類總體上分兩大類第一大類：傳統(tǒng)的計算機病毒感染操作系統(tǒng)引導程序感染可執(zhí)行文件（感染exe、com、elf文件）感染數(shù)據(jù)文件（宏病毒、Shell腳本惡意代碼）第二大類：傳統(tǒng)計算機病毒之外的惡意代碼木馬、蠕蟲、流氓軟件……后門、僵尸、移動端惡意代碼……七、計算機病毒的傳播途徑

1、軟盤軟盤作為最常用的交換媒介，在計算機應用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導機器時，引導區(qū)病毒會在軟盤與硬盤引導區(qū)內(nèi)互相感染。因此軟盤也成了計算機病毒的主要的寄生“溫床”。2、光盤光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“干凈”的計算機帶來了災難。

3、硬盤（含移動硬盤、USB）有時，帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會將干凈的軟盤傳染或者感染其他硬盤并擴散。網(wǎng)絡——〉病毒的加速器網(wǎng)絡病毒技術社區(qū)集體攻擊病毒

蠕蟲病毒特洛伊木馬黑客技術腳本病毒郵件病毒病毒源碼發(fā)布4、有線網(wǎng)絡觸目驚心的計算——卿斯?jié)h如果：20分鐘產(chǎn)生一種新病毒，通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，每天開機聯(lián)網(wǎng)2小時。結(jié)論：一年以內(nèi)一臺聯(lián)網(wǎng)的電腦可能會被最新病毒感染2190次。另一個數(shù)字：75％的電腦被感染。網(wǎng)絡服務——〉傳播媒介網(wǎng)絡的快速發(fā)展促進了以網(wǎng)絡為媒介的各種服務（FTP,WWW,BBS,EMAIL等）的快速普及。同時，這些服務也成為了新的病毒傳播方式。電子布告欄（BBS）：電子郵件（Email）：即時消息服務（QQ,ICQ,MSN等）：WEB服務：FTP服務：新聞組：5、無線通訊系統(tǒng)病毒對手機的攻擊有3個層次：攻擊WAP服務器，使手機無法訪問服務器；攻擊網(wǎng)關，向手機用戶發(fā)送大量垃圾信息；直接對手機本身進行攻擊，有針對性地對其操作系統(tǒng)和運行程序進行攻擊，使手機無法提供服務。八、染毒計算機的癥狀病毒表現(xiàn)現(xiàn)象：計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象病毒發(fā)作時的表現(xiàn)現(xiàn)象病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障1、發(fā)作前的現(xiàn)象平時運行正常的計算機突然經(jīng)常性無緣無故地死機操作系統(tǒng)無法正常啟動運行速度明顯變慢以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤打印和通訊發(fā)生異常以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件的時間、日期、大小發(fā)生變化運行Word，打開Word文檔后，該文件另存時只能以模板方式保存磁盤空間迅速減少網(wǎng)絡驅(qū)動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來的電子郵件2、發(fā)作時的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂產(chǎn)生特定的圖像硬盤燈不斷閃爍進行游戲算法Windows桌面圖標發(fā)生變化計算機突然死機或重啟自動發(fā)送電子郵件鼠標自己在動3、發(fā)作后的現(xiàn)象硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密修改系統(tǒng)文件使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡癱瘓，無法提供正常的服務4、與病毒現(xiàn)象類似的軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅(qū)動器號)軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)的兼容性引導過程故障用不同的編輯軟件程序5、與病毒現(xiàn)象類似的硬件故障系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅(qū)故障關于CMOS的問題九、計算機病毒的命名規(guī)則

CARO命名規(guī)則，每一種病毒的命名包括五個部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點命名不用公司或商標命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類

精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時能奏樂，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因為Cascade病毒的變種的大小不一（1701,1704,1621等），所以用大小來表示組名。A表示該病毒是某個組中的第一個變種。

業(yè)界補充：反病毒軟件商們通常在CARO命名的前面加一個前綴來標明病毒類型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個變種的命名就成了W97M.Melissa.AA，Happy99蠕蟲就被稱為Win32.Happy99.Worm。VGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱通過某種方法關聯(lián)起來，其目的是不管什么樣的掃描軟件都能按照可被識別的名稱鏈進行掃描。VGrep將病毒文件讀入并用不同的掃描器進行掃描，掃描的結(jié)果和被識別出的信息放入數(shù)據(jù)庫中。每一個掃描器的掃描結(jié)果與別的掃描結(jié)果相比較并將結(jié)果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個最通用的名字最為代表名字。擁有成千上萬掃描器的大型企業(yè)集團要求殺毒軟件供應商使用VGrep命名，這對于在世界范圍內(nèi)跟蹤多個病毒的一致性很有幫助。十、計算機病毒防治病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來產(chǎn)生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來的所有反病毒軟硬件都無法檢測。3、目前的反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進行更新、升級。4、病毒產(chǎn)生在前，反病毒手段滯后的現(xiàn)狀，將是一個長期的過程。人類為防治病毒所做出的努力

立體防護網(wǎng)絡版單機版防病毒卡對計算機病毒應持有的態(tài)度

1.客觀承認計算機病毒的存在，但不要懼怕病毒。

3.樹立計算機病毒意識，積極采取預防（備份等）措施。4.掌握必要的計算機病毒知識和病毒防治技術，對用戶至關重要。5.發(fā)現(xiàn)病毒，冷靜處理。目前廣泛應用的幾種防治技術：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術實現(xiàn)簡單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；虛擬執(zhí)行技術

該技術通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒，具有如下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的查殺

智能引擎技術

智能引擎技術發(fā)展了特征碼掃描法的優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項技術，使病毒掃描速度比2002版提高了一倍之多；計算機監(jiān)控技術文件實時監(jiān)控內(nèi)存實時監(jiān)控腳本實時監(jiān)控郵件實時監(jiān)控注冊表實時監(jiān)控參考：未知病毒查殺技術

未知病毒技術是繼虛擬執(zhí)行技術后的又一大技術突破，它結(jié)合了虛擬技術和人工智能技術，實現(xiàn)了對未知病毒的準確查殺。壓縮智能還原技術

世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統(tǒng)一的方法來解決這個問題，反病毒專家們發(fā)明了未知解壓技術，它可以對所有的這類文件在內(nèi)存中還原，從而使得病毒完全暴露出來。多層防御，集中管理技術反病毒要以網(wǎng)為本，從網(wǎng)絡系統(tǒng)的角度設計反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡上的計算機病毒。在網(wǎng)絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網(wǎng)絡維護和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個NT服務器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡管理員集中設置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡安全管理的一部分，并且自動提供最佳的網(wǎng)絡病毒防御措施。病毒免疫技術

病毒免疫技術一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫的基本構(gòu)想。實際上，最近出現(xiàn)的軟件安全認證技術也應屬于此技術的范疇，由于用戶應用軟件的多樣性和環(huán)境的復雜性，病毒免疫技術到廣泛使用還有一段距離。病毒防治技術的趨勢前瞻加強對未知病毒的查殺能力加強對未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國內(nèi)外多家公司都宣布自己的產(chǎn)品可以對未知病毒進行查殺，但據(jù)我們研究，國內(nèi)外的產(chǎn)品只有少數(shù)可以對同一家族的新病毒進行預警，不能清除。目前有些公司已經(jīng)在這一領域取得了突破性的進展，可以對未知DOS病毒、未知PE病毒、未知宏病毒進行防范。其中對未知DOS病毒能查到90%以上，并能準確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實現(xiàn)查殺90%.防殺針對掌上型移動通訊工具和PDA的病毒

隨著掌上型移動通訊工具和PDA的廣泛使用，針對這類系統(tǒng)的病毒已經(jīng)開始出現(xiàn)，并且威脅將會越來越大，反病毒公司將投入更多的力量來加強此類病毒的防范。兼容性病毒的防殺

目前已經(jīng)發(fā)現(xiàn)可以同時在微軟WINDOWS和日益普及的LINUX兩種不同操作系統(tǒng)內(nèi)運作的病毒，此類病毒將會給人們帶來更多的麻煩，促使反病毒公司加強防殺此類病毒。蠕蟲病毒和腳本病毒的防殺不容忽視

蠕蟲病毒是一種能自我復制的程序，駐留內(nèi)存并通過計算機網(wǎng)絡復制自己，它通過大量消耗系統(tǒng)資源，最后導致系統(tǒng)癱瘓。給人們帶來了巨大的危害，腳本病毒因為其編寫相對容易正成為另一種趨勢，這兩類病毒的危害性使人們絲毫不能忽視對其的防殺。十一、殺毒軟件及評價（一）殺毒軟件必備功能

病毒查殺能力對新病毒的反應能力對文件的備份和恢復能力實時監(jiān)控功能及時有效的升級功能智能安裝、遠程識別功能界面友好、易于操作對現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價格軟件商的實力（二）國內(nèi)外殺毒軟件及市場金山毒霸、瑞星殺毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。《電腦報》2008評測結(jié)果2014年2015年/十二、解決方案和策略防病毒策略1、建立病毒防治的規(guī)章制度，嚴格管理；

2、建立病毒防治和應急體系；

3、進行計算機安全教育，提高安全防范意識；

4、對系統(tǒng)進行風險評估；

5、選擇經(jīng)過公安部認證的病毒防治產(chǎn)品；

6、正確配置，使用病毒防治產(chǎn)品；

7、正確配置系統(tǒng)，減少病毒分侵害事件；

8、定期檢查敏感文件；

9、適時進行安全評估，調(diào)整各種病毒防治策略；

10、建立病毒事故分析制度；

11、確?；謴?，減少損失；十三、國內(nèi)外病毒產(chǎn)品的技術發(fā)展態(tài)勢國內(nèi)外反病毒公司在反病毒領域各有所