網(wǎng)絡(luò)安全基礎(chǔ)第四章

計算機病毒第四章第四章計算機病毒本章學習目標理解計算機病毒定義了解計算機病毒的起源與發(fā)展掌握計算機病毒的命名方式了解計算機病毒的分類和特征掌握計算機病毒技術(shù)掌握計算機病毒的檢測與防范方法第四章計算機病毒計算機病毒計算機病毒的結(jié)構(gòu)與危害本章小節(jié)A計算機病毒概述計算機病毒的檢測與防范EDCB計算機病毒技術(shù)4.1計算機病毒概述——計算機病毒的定義及發(fā)展計算機病毒定義：病毒是通過磁盤或網(wǎng)絡(luò)等媒介傳播擴散且能“傳染”其他程序的程序。病毒能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在、具有潛伏性、傳染性和破壞性。算機病毒是一種人為制造的程序，它不會自然產(chǎn)生，是精通編程的人精心編制的，通過不同的途徑寄生在存儲介質(zhì)中，當某種條件成熟時，才會復(fù)制、傳播，甚至變異后傳播，使計算機的資源受到不同程度的破壞。4.1計算機病毒概述——計算機病毒的定義及發(fā)展計算機病毒的發(fā)展：計算機病毒發(fā)展主要經(jīng)歷了5個重要階段。原始病毒階段（第一階段）這一階段病毒的主要特點為：相對攻擊目標和破壞性比較單一，主要通過截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運行狀態(tài)，并在一定的條件下對目標進行傳染，病毒程序不具有自我保護功能，較容易被人們分析、識別和清除?；旌闲筒《倦A段（第二階段）這一階段病毒的主要特點為：攻擊目標趨于混合，以更為隱蔽的方法駐留在內(nèi)存和傳染目標中，系統(tǒng)感染病毒后沒有明顯的特征，病毒程序具有自我保護功能，出現(xiàn)眾多病毒的變種。多態(tài)型病毒階段（第三階段）此階段病毒的主要特點為：在每次傳染目標時，放入宿主程序中的病毒程序大部分都是可變的。網(wǎng)絡(luò)病毒階段（第四階段）這一階段病毒的主要特點為：病毒傳播快、隱蔽性強、破壞性大的特點。主動攻擊型病毒階段（第五階段）主要典型代表為“沖擊波”病毒、“震蕩波”病毒和木馬等。各種病毒具有主動攻擊性，利用操作系統(tǒng)的漏洞進行攻擊性的傳播擴散，并不需要任何物理媒介或操作，用戶只要接入互聯(lián)網(wǎng)就有可能被感染，病毒對網(wǎng)絡(luò)系統(tǒng)軟硬件和重要信息的危害性更大。4.1計算機病毒概述——計算機病毒的定義及發(fā)展計算機病毒的命名方式：通常根據(jù)病毒的特征和對用戶造成的影響等多方面情況來確定，由防病毒廠商給出一個合適名稱。命名由多個前綴與后綴組合，中間以點“.”分隔，一般格式為：[前綴].[病毒名].[后綴]。病毒前綴病毒前綴表示一個病毒的種類，如木馬病毒的前綴是“Trojan”。病毒名病毒名即病毒的名稱，如“病毒之母”CIH病毒及其變種的名稱一律為“CIH”。病毒后綴病毒后綴表示一個病毒的變種特征，一般是采用英文中的26個字母來表示。如“Worm.Sasser.c”是指震蕩波蠕蟲病毒的變種c。4.1計算機病毒概述——計算機病毒分類按寄生方式分類（1）引導(dǎo)型病毒。引導(dǎo)型病毒是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。此種病毒利用系統(tǒng)引導(dǎo)時，不對主引導(dǎo)區(qū)的內(nèi)容正確與否進行判別的缺點，在引導(dǎo)型系統(tǒng)的過程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運行，待機傳染和破壞。按照引導(dǎo)型病毒在硬盤上的寄生位置又可細分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。主引導(dǎo)記錄病毒感染硬盤的主引導(dǎo)區(qū)，如大麻病毒等；分區(qū)引導(dǎo)記錄病毒感染硬盤的活動分區(qū)引導(dǎo)記錄，如小球病毒、Girl病毒等。

（2）文件型病毒。文件型病毒是指能夠寄生在文件中的計算機病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。如848病毒感染.COM和.EXE等可執(zhí)行文件；Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。

（3）復(fù)合型病毒。復(fù)合型病毒是指具有引導(dǎo)型病毒和文件型病毒寄生方式的計算機病毒。它既感染磁盤的引導(dǎo)記錄，又感染可執(zhí)行文件。當染有此種病毒的磁盤用于引導(dǎo)系統(tǒng)或調(diào)用執(zhí)行染毒文件時，病毒都會被激活。在檢測、清除復(fù)合型病毒時，必須全面徹底地根治。如果只發(fā)現(xiàn)該病毒的一個特性，把它只當作引導(dǎo)型或文件型病毒進行清除，雖然好像是清除了，但還留有隱患，這種經(jīng)過消毒后的“潔凈”系統(tǒng)更賦有攻擊性。這種病毒有Flip病毒、新世際病毒、One-half病毒等。

4.1計算機病毒概述——計算機病毒分類按破壞性分類（1）良性病毒。良性病毒是指那些只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會大量占用CPU時間，增加系統(tǒng)開銷，降低系統(tǒng)工作效率的一類計算機病毒。這種病毒多數(shù)是惡作劇者的產(chǎn)物，他們的目的不是為了破壞系統(tǒng)和數(shù)據(jù)，而是為了讓使用染有病毒的計算機用戶通過顯示器或揚聲器看到或聽到病毒設(shè)計者的編程技術(shù)。這類病毒有小球病毒等。（2）惡性病毒。惡性病毒是指那些一旦發(fā)作后，就會破壞系統(tǒng)或數(shù)據(jù)，造成計算機系統(tǒng)癱瘓的一類計算機病毒。這類病毒有黑色星期五病毒等。這種病毒危害性極大，有些病毒發(fā)作后可以給用戶造成不可挽回的損失。4.1計算機病毒概述——計算機病毒分類按入侵方式分類（1）源代碼嵌入攻擊型。這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件就是帶毒文件。（2）代碼取代攻擊型。這類病毒主要用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發(fā)現(xiàn)，清除起來比較困難。（3）系統(tǒng)修改型。這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達到調(diào)用或替代操作系統(tǒng)中的部分功能，由于是直接感染系統(tǒng)，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。（4）外殼附加型。這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當于給程序添加了一個外殼，在被感染的程序執(zhí)行時，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。4.1計算機病毒概述——計算機病毒的主要特征非授權(quán)可執(zhí)行性用戶通常調(diào)用執(zhí)行一個程序時，把系統(tǒng)控制交給這個程序，并分配給他相應(yīng)系統(tǒng)資源，如內(nèi)存，從而使之能夠運行完成用戶的需求。因此程序執(zhí)行的過程對用戶是透明的。而計算機病毒是非法程序，正常用戶是不會明知是病毒程序，而故意調(diào)用執(zhí)行。但由于計算機病毒具有正常程序的一切特性，如可存儲性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中，當用戶運行正常程序時，病毒伺機竊取到系統(tǒng)的控制權(quán)，得以搶先運行，然而此時用戶還認為在執(zhí)行正常程序。隱蔽性它通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中，或者磁盤上標為壞簇的扇區(qū)中，以及一些空閑概率較大的扇區(qū)中，這是它的非法可存儲性。傳染性傳染性是病毒的基本特征。計算機病毒通過各種渠道從已被感染的計算機擴散到未被感染的計算機。這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺電腦上迅速擴散，計算機病毒可通過各種可能的渠道。病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達到病毒的傳染和擴散。4.1計算機病毒概述——計算機病毒的主要特征潛伏性計算機病毒具有依附于其他媒體而寄生的能力，這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力，病毒傳染合法的程序和系統(tǒng)后，不立即發(fā)作，而是悄悄隱藏起來，然后在用戶不察覺的情況下進行傳染。破壞性（表現(xiàn)性）無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源（如占用內(nèi)存空間，占用磁盤存儲空間以及系統(tǒng)運行時間等）。病毒程序的副作用輕者降低系統(tǒng)工作效率，重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失?？捎|發(fā)性計算機病毒一般都有一個或者幾個觸發(fā)條件。觸發(fā)的實質(zhì)是一種條件的控制，病毒程序可以依據(jù)設(shè)計者的要求，在一定條件下實施攻擊。這個條件可以是敲入特定字符，使用特定文件，某個特定日期或特定時刻，或者是病毒內(nèi)置的計數(shù)器達到一定次數(shù)等。4.2計算機病毒的結(jié)構(gòu)與危害計算機病毒的結(jié)構(gòu)(引導(dǎo)模塊、傳播模塊和表現(xiàn)模塊)（1）引導(dǎo)模塊引導(dǎo)模塊的功能是將病毒加載到內(nèi)存中，并對其存儲空間進行保護，以防被其他程序所覆蓋，同時修改一些中斷及高端內(nèi)存、保存原中斷向量等系統(tǒng)參數(shù)，為傳播做準備。它也稱為潛伏機制模塊，具有初始化、隱藏和捕捉功能。（2）傳播模塊傳播模塊是病毒程序的核心，主要功能是傳播病毒，一般由兩個部分構(gòu)成，一是傳播條件判斷部分；二是傳播部分。前者的功能是判斷計算機系統(tǒng)是否達到病毒傳播條件，不同病毒的傳播條件不同。后者的功能是在滿足傳播條件時，實施具體的病毒傳播，按照制定的傳播方式將病毒程序嵌入到傳播目標中。（3）表現(xiàn)模塊表現(xiàn)模塊由兩個部分構(gòu)成，一是病毒的觸發(fā)條件判斷部分，二是病毒的具體表現(xiàn)部分。當判斷觸發(fā)條件滿足時，就會調(diào)用病毒的具體表現(xiàn)部分，對計算機系統(tǒng)進行干擾和破壞。表現(xiàn)部分在不同病毒程序中的具體破壞和影響不同。4.2計算機病毒的結(jié)構(gòu)與危害——計算機病毒的危害破壞數(shù)據(jù)大部分病毒在激發(fā)的時候直接破壞計算機的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMOS設(shè)置等。占用磁盤空間寄生在磁盤上的病毒總要非法占用一部分磁盤空間。引導(dǎo)型病毒一般的侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，而把原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)。文件型病毒利用一些DOS功能進行傳染，這些DOS功能能夠檢測出磁盤的未用空間，把病毒的傳染部分寫到磁盤的未用部分去。搶占系統(tǒng)資源除Vienna、Casper等少數(shù)病毒外，其他大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當，病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運行。影響計算機運行速度病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影響計算機速度。有些病毒為了保護自己，不但對磁盤上的靜態(tài)病毒加密，而且進駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)，CPU每次尋址到病毒處時要運行一段解密程序把加密的病毒解密成合法的CPU指令再執(zhí)行；而病毒運行結(jié)束時再用一段程序?qū)Σ《局匦录用堋?.2計算機病毒的結(jié)構(gòu)與危害——計算機病毒的危害病毒錯誤導(dǎo)致危害計算機病毒與其他計算機軟件的一大差別是病毒的無責任性。計算機病毒都是個別人在一臺計算機上匆匆編制調(diào)試后就向外拋出。計算機病毒錯誤所產(chǎn)生的后果往往是不可預(yù)見的，反病毒工作者曾經(jīng)詳細指出黑色星期五病毒存在9處錯誤，乒乓病毒有5處錯誤等。計算機病毒的兼容性影響系統(tǒng)運行兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環(huán)境下運行，反之兼容性差的軟件則對運行條件有具體要求，要求機型和操作系統(tǒng)版本等。病毒的編制者一般不會在各種計算機環(huán)境下對病毒進行測試，因此病毒的兼容性較差，常常導(dǎo)致死機。計算機病毒給用戶造成嚴重的心理壓力計算機死機、軟件運行異常等異?，F(xiàn)象時常導(dǎo)致許多用戶懷疑病毒的緣故，這些現(xiàn)象確實很有可能是計算機病毒造成的，但又不全是，實際上計算機工作異常的時候很難要求一位普通用戶去準確判斷是否是病毒所為。大多數(shù)用戶對病毒采取寧可信其有的態(tài)度，這對于保護計算機安全無疑是十分必要的，然而往往要付出時間、金錢等方面的代價。僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補。不僅是個人單機用戶，在一些大型網(wǎng)絡(luò)系統(tǒng)中也難免為甄別病毒而停機?？傊嬎銠C病毒像“幽靈”一樣籠罩在廣大計算機用戶心頭，給人們造成巨大的心理壓力，極大地影響了現(xiàn)代計算機的使用效率，由此帶來的經(jīng)濟損失是難以估量的。4.3計算機病毒技術(shù)——寄生技術(shù)

病毒在感染的時候，將病毒代碼加入正常程序之中，原正常程序功能的全部或者部分被保留。根據(jù)病毒代碼加入方式的不同，病毒寄生技術(shù)可以分為“頭寄生”、“尾寄生”、“插入寄生”和“空洞利用”4種。“頭寄生”

實現(xiàn)將病毒代碼放到程序的頭上有兩種方法，一種是將原來程序的前面一部分拷貝到程序的最后，然后將文件頭用病毒代碼覆蓋；另外一種是生成一個新的文件，首先在頭的位置寫上病毒代碼，然后將原來的可執(zhí)行文件放在病毒代碼的后面，再用新的文件替換原來的文件從而完成感染。圖4-1“頭寄生”感染方式圖4-2EXE文件“頭寄生”方式4.3計算機病毒技術(shù)——寄生技術(shù)“尾寄生”由于在頭部寄生不可避免的會遇到重新定位的問題，所以最簡單也是最常用的寄生方法就是直接將病毒代碼附加到可執(zhí)行程序的尾部。圖4-3COM文件的尾寄生4.3計算機病毒技術(shù)——寄生技術(shù)“插入寄生”

病毒將自己插入被感染的程序中，可以整段的插入，也可以分成很多段，有的病毒通過壓縮原來的代碼的方法，保持被感染文件的大小不變?！安迦爰纳狈绞饺鐖D4-5所示。圖4-5“插入寄生”方式4.3計算機病毒技術(shù)——寄生技術(shù)“空洞利用”圖4-6CIH的空洞利用CIH的空洞利用Windows環(huán)境下的可執(zhí)行文件，如圖4-6所示。4.3計算機病毒技術(shù)——駐留技術(shù)DOS環(huán)境下的內(nèi)存駐留

對于標準的DOS的終止并且駐留程序有兩種方法可以使用，一種是通過CONFIG.SYS中作為設(shè)備驅(qū)動加載；另外一種是調(diào)用DOS中斷INT21H的退出但仍然駐留功能。但是病毒不是常規(guī)的駐留程序，通常會使用更加巧妙的方法駐留內(nèi)存，圖4-7所示為一些病毒經(jīng)常隱身的地方。圖4-7DOS系統(tǒng)示意圖4.3計算機病毒技術(shù)——駐留技術(shù)引導(dǎo)區(qū)內(nèi)存駐留程序使用類似的方法將病毒代碼放入系統(tǒng)內(nèi)存中，這樣會造成系統(tǒng)可用內(nèi)存減少。引導(dǎo)區(qū)的內(nèi)存駐留Windows環(huán)境下的內(nèi)存駐留Windows環(huán)境下的病毒駐留技術(shù)是在內(nèi)在中尋找合適的頁面并將病毒自身拷貝到其中，而且在系統(tǒng)運行期間能夠始終保持病毒代碼的存在。4.3計算機病毒技術(shù)——加密變形技術(shù)加密病毒這類病毒的特點是：其入口處具有解密子，而病毒主體代碼被加密。病毒運行時首先由得到控制權(quán)的解密代碼對病毒主機進行循環(huán)解密，完成后將控制交給病毒主機運行。病毒主體感染文件時，會將解密子用隨機密鑰加密過的病毒主體，以及保存在病毒體內(nèi)或嵌入解密子中的密鑰一同寫入被感染文件。圖4-8加密變形病毒代碼4.3計算機病毒技術(shù)——隱藏技術(shù)引導(dǎo)型病毒的隱藏技術(shù)引導(dǎo)型病毒的隱藏有兩種基本的方法：改變基本輸入輸出系統(tǒng)（BIOS）中斷13H的入口地址，使其指向病毒代碼之后，發(fā)現(xiàn)調(diào)用INT13H被感染扇區(qū)請求的時候，將原來的沒有被感染過的內(nèi)容返回給調(diào)用的程序。此種隱藏技術(shù)詳見圖4-9所示。圖4-9引導(dǎo)型病毒的隱藏技術(shù)示意圖4.3計算機病毒技術(shù)——隱藏技術(shù)引導(dǎo)型病毒的隱藏技術(shù)引導(dǎo)型病毒的隱藏有兩種基本的方法：（2）病毒的制造者在加載程序的時候制造假象，當啟動任何程序的時候，修改DOS執(zhí)行程序的中斷功能。首先把被病毒感染的扇區(qū)恢復(fù)原樣，這樣即使反病毒程序采用直接磁盤訪問也只能看到正常的磁盤扇區(qū)，當程序執(zhí)行完成后，再重新感染，詳見圖4-10所示。圖4-10引導(dǎo)型病毒感染4.3計算機病毒技術(shù)——隱藏技術(shù)文件型病毒的隱藏技術(shù)文件型病毒的隱藏技術(shù)和引導(dǎo)型病毒使用的技術(shù)非常類似，同樣是替換DOS或者基本輸入輸出系統(tǒng)的文件系統(tǒng)相關(guān)調(diào)用。在打開文件的時候?qū)⑽募膬?nèi)容恢復(fù)未感染的狀態(tài)，在關(guān)閉文件的時候重新進行感染。一個完整的隱藏技術(shù)應(yīng)該包括對下面幾個方面的處理，如圖4-11所示。圖4-11文件型病毒4.3計算機病毒技術(shù)——隱藏技術(shù)Windows環(huán)境下的病毒隱藏技術(shù)

在Windows系統(tǒng)中，有一定經(jīng)驗的用戶覺察系統(tǒng)異常后，常常使用管理器進程列表來觀察是否有異常進程的存在。若存在，則會采取一定的防范措施。因此，實現(xiàn)進程或模塊隱藏應(yīng)該是一個成功病毒所必須具備的特征。在Win9X下，Kernel32.dll有一個可以使進程從管理器進程列表中消失的導(dǎo)出函數(shù)RegisterServiceProcess，但它仍不能使病毒逃離一些進程瀏覽工具的監(jiān)視。但當病毒編寫者知道這些工具是如何來枚舉進程后，也能找到對付這些工具的相應(yīng)方法。4.4計算機病毒技術(shù)——檢測與防范計算機病毒的檢測檢測病毒的方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法。特征代碼法特征代碼法是檢測已知病毒的最簡單、開銷較小的方法。特征代碼法的實現(xiàn)步驟如下：（1）采集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本。（2）在病毒樣本中，抽取特征代碼。（3）打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼，如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件中感染何種病毒。特征代碼法的特點：速度慢，隨著病毒種類的增多，檢測時間長；誤報率低；不能檢查多形態(tài)型病毒；不能檢測隱藏型病毒。4.4計算機病毒技術(shù)——檢測與防范計算機病毒的檢測檢測病毒的方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法。校驗和法

校驗和法指在使用文件前或定期地檢查文件內(nèi)容前后的校驗和變化，發(fā)現(xiàn)文件是否被感染的一種方法。運用校驗和法檢測病毒采用三種方式：（1）在檢測病毒工具中納入校驗和法，對被檢測的對象文件計算其正常狀態(tài)的校驗和，將校驗和值寫入被查文件中檢測工具中，而后進行比較。（2）在應(yīng)用程序中，放入校驗和法自我檢查功能，將文件正常狀態(tài)的校驗和寫入文件本身中，每當應(yīng)用程序啟動時，比較現(xiàn)行校驗和與原校驗和值，實現(xiàn)應(yīng)用程序的自檢測。（3）將校驗和檢測程序常駐內(nèi)存，每當應(yīng)用程序開始運行時，自動比較檢測應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗和。校驗和法的特點：方法簡單能發(fā)現(xiàn)未知病毒、被檢測文件的細微變化也能發(fā)現(xiàn)；可以報警；不能識別病毒名稱；不能檢測隱藏型病毒。4.4計算機病毒技術(shù)——檢測與防范計算機病毒的檢測檢測病毒的方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法。行為監(jiān)測法

行為監(jiān)測法是利用病毒的特有行為特征來監(jiān)測病毒的方法。通過對病毒多年的觀察和研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見，當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。行為監(jiān)測法的特點：可發(fā)現(xiàn)未知病毒；可相當準確地預(yù)報未知的多數(shù)病毒；可能誤報警；不能識別病毒名稱；實現(xiàn)時有一定難度。4.4計算機病毒技術(shù)——檢測與防范計算機病毒的檢測檢測病毒的方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法。軟件模擬法

軟件模擬法是一種軟件分析器，用軟件方法來模擬和分析程序的運行。新型檢測工具納入了軟件模擬法，該類工具開始運行時，使用特征代碼法檢測病毒，如果發(fā)現(xiàn)隱藏型病毒或多態(tài)型病毒嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。4.4計算機病毒技術(shù)——病毒的防范計算機病毒的防范防范計算機病毒主要從管理和技術(shù)兩方面著手。嚴格的管理制定相應(yīng)的管理制度，避免蓄意制造、傳播病毒的事件發(fā)生。例如，對接觸重要計算機系統(tǒng)的人員進行選擇和審查；對系統(tǒng)的工作人員和資源進行訪問權(quán)限劃分；對外來人員上機或外來磁盤的使用嚴格限制，特別是不準用外來系統(tǒng)盤啟動系統(tǒng)；規(guī)定下載的文件要經(jīng)過嚴格檢查，有時還規(guī)定下載文件、接收E-mail等需要使用專門的終端和賬號；接收到的程序要嚴格限制執(zhí)行等。4.4計算機病毒技術(shù)——病毒的防范計算機病毒的防范防范計算機病毒主要從管理和技術(shù)兩方面著手。有效的技術(shù)將大量的殺毒軟件匯集一體，檢查是否存在已知病毒。檢測一些病毒經(jīng)常要改變的系統(tǒng)信息，如引導(dǎo)區(qū)、中斷向量表、可用內(nèi)存空間等，以確定是否存在病毒的行為。監(jiān)測寫盤操作，對引導(dǎo)區(qū)或主引導(dǎo)區(qū)的寫操作報警。對計算機系統(tǒng)中的文件形成一個密碼校驗碼和實現(xiàn)對程序完整性的驗證，在程序執(zhí)行前或定期對程序進行密碼校驗，如有不匹配現(xiàn)象即報警。智能判斷，設(shè)計病毒行為過程判定知識庫，應(yīng)用人工智能技術(shù)，有效區(qū)分正常程序與病毒程序行為，是否誤報警取決于知識庫選取的合理性。智能監(jiān)測，設(shè)計病毒特征庫，病毒行為知識庫，受保護程序存取行為知識庫等多個知識庫及相應(yīng)的可變推理機。通過調(diào)整推理機，能夠?qū)Ω缎骂愋筒《荆@也是未來預(yù)防病毒技術(shù)發(fā)展的方向。4.5本章小節(jié)習題填空題1、計算機病毒結(jié)構(gòu)一般由（）、傳播模塊和表現(xiàn)模塊3個部分構(gòu)成。2、（）技術(shù)是文件型病毒最常用的傳染方法。3、病毒寄生技術(shù)可以分為頭寄生、尾寄生、插入寄生和（）4種。4、（）是檢測已知病毒的最簡單、開銷較小的方法。5、計算機病毒采用前后綴法命名，病毒前綴表示（），病毒名表示病毒名稱，病毒后綴表示病毒的變種特征。習題選擇題1、在計算機病毒發(fā)展過程中，（）給計算機病毒帶來了第一次流行高峰，同時病毒具有了自我保護的功能。A.多態(tài)性病毒階段B.網(wǎng)絡(luò)病毒階段C.混合型病毒階段D.主動攻擊型病毒階段2、蠕蟲病毒是最常見的病毒有其特定的傳染機理，它的傳染機理是（）。A.利用網(wǎng)絡(luò)進行復(fù)制和傳播 B.利用網(wǎng)絡(luò)進行攻擊 C.利用網(wǎng)絡(luò)進行后門監(jiān)視 D.利用網(wǎng)絡(luò)進行信息竊取3、（）是一種更具破壞力的惡意代碼，能夠感染多種計算機系統(tǒng)，其傳播之快、影響范圍之廣、破壞力之強都是空前的。A.特洛伊木馬B.CIH病毒C.CoDeReDII雙型病毒D.蠕蟲病毒4、按照計算機病毒的鏈接方式不同分類，（）是將其自身包圍在合法的主程序的四周，對原來的程序不做修改。A.源碼型病毒B.外殼型病毒C.嵌入式病毒D.操作系統(tǒng)型病毒習題5、下面屬于蠕蟲病毒的是（）。A.Worm.Sasser病毒B.Trojan.QQPSW病毒C.Backdoor.IRCBot病毒D.Macro.Melissa病毒6、殺毒軟件報告發(fā)現(xiàn)病毒Macro.Melissa，由該病毒名稱可以推斷出病毒類型是（），這類病毒的主要感染目標是（）。6、A.文件型B.引導(dǎo)型C.目標型D.宏病毒7、A..exe或.com可執(zhí)行文件B.Word或Excel文件C.DLL系統(tǒng)文件D.磁盤引導(dǎo)區(qū)8、計算機病毒通常是指（）。A.一段程序B.一條命令C.一個文件D.一個標記9、文件型病毒傳染的對象主要是以下哪一種文件類型（）。A..DBFB..WPSC..COM和.EXED..EXE和.DOC10、計算機病毒具有（）。A.傳播性、潛伏性、破壞性B.傳播性、破壞性、易讀性C.潛伏性、破壞性、易讀性D.傳播性、潛伏性、安全性習題11、目前使用的防殺病毒軟件的作用是（）。A.檢查計算機是否感染病毒，并消除已感染的任何病毒B.杜絕病毒對計算機的侵害C.檢查計算機是否感染病毒，并清除部分已感染的病毒D.查出已感染的任何病毒，清除部分已感染的病毒12、在計算機病毒檢測手段中，下面關(guān)于特征代碼法的表述，錯誤的是（）。A.隨著病毒種類增多，檢測時間變長B.可以識別病毒名稱C.誤報率低D.可以檢測出多態(tài)型病毒13、下面關(guān)于計算機病毒的說法中，