計(jì)算機(jī)網(wǎng)絡(luò)安全教程 第4版 課件 ch8 計(jì)算機(jī)病毒防范技術(shù)

第8章計(jì)算機(jī)病毒防范技術(shù)內(nèi)容提要：概述計(jì)算機(jī)病毒的工作原理和分類計(jì)算機(jī)病毒的檢測(cè)與防范

惡意代碼

小結(jié)8.1

概述計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。美國計(jì)算機(jī)安全專家FredCohen博士認(rèn)為：計(jì)算機(jī)病毒是一種能傳染其它程序的程序，病毒是靠修改其它程序，并把自身的拷貝嵌入其它程序而實(shí)現(xiàn)的。返回本章首頁計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒是一個(gè)程序；計(jì)算機(jī)病毒具有傳染性，可以傳染其它程序；計(jì)算機(jī)病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實(shí)現(xiàn)的；計(jì)算機(jī)病毒的定義在很多方面借用了生物學(xué)病毒的概念，因?yàn)樗鼈冇兄T多相似的特征，比如能夠自我復(fù)制，能夠快速“傳染”，且都能夠危害“病原體”，當(dāng)然計(jì)算機(jī)病毒危害的“病原體”是正常工作的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)。計(jì)算機(jī)病毒的特性隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)病毒逐漸融合木馬、網(wǎng)絡(luò)蠕蟲和網(wǎng)絡(luò)攻擊等技術(shù)，形成了以普通病毒、木馬、網(wǎng)絡(luò)蠕蟲、移動(dòng)代碼和復(fù)合型病毒等形態(tài)存在的惡意代碼，造成更大的社會(huì)危害。計(jì)算機(jī)病毒簡史-1早在1949年，計(jì)算機(jī)的先驅(qū)者馮·諾依曼在他的一篇論文《復(fù)雜自動(dòng)機(jī)組織論》中，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，即已把病毒程序的藍(lán)圖勾勒出來。十年之后，在美國電話電報(bào)公司（AT&T）的貝爾實(shí)驗(yàn)室中，三個(gè)年輕程序員道格拉斯·麥耀萊、維特·維索斯基和羅伯·莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)”。1975年，美國科普作家約翰·布魯勒爾寫了一本名為《震蕩波騎士》的書，該書第一次描寫了在信息社會(huì)中，計(jì)算機(jī)成為正義和邪惡雙方斗爭(zhēng)的工具的故事，成為當(dāng)年最佳暢銷書之一。1977年夏天，科幻小說《P-1的青春》幻想了世界上第一個(gè)計(jì)算機(jī)病毒，可以從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)，最終控制了7000臺(tái)計(jì)算機(jī)，釀成了一場(chǎng)災(zāi)難，這實(shí)際上是計(jì)算機(jī)病毒的思想基礎(chǔ)。計(jì)算機(jī)病毒簡史-21983年11月3日，弗雷德·科恩博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼將它命名為計(jì)算機(jī)病毒（Viruses），并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，8小時(shí)后專家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。1986年初，在巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了Pakistan病毒，該病毒在一年內(nèi)流傳到了世界各地，使人們認(rèn)識(shí)到計(jì)算機(jī)病毒對(duì)PC機(jī)的影響。1987年10月，美國第一例計(jì)算機(jī)病毒（Brian）被發(fā)現(xiàn)。此后，病毒就迅速蔓延開來，世界各地的計(jì)算機(jī)用戶幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM圣誕樹、黑色星期五等等。1988年3月2日，一種蘋果機(jī)病毒發(fā)作。1988年11月3日，美國6千臺(tái)計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行。這是一次非常典型計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件。1989年，“米開朗基羅”病毒給許多計(jì)算機(jī)用戶造成極大損失。計(jì)算機(jī)病毒簡史-31991年，在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)。1992年，出現(xiàn)針對(duì)殺毒軟件的“幽靈”病毒，如One_Half。還出現(xiàn)了實(shí)現(xiàn)機(jī)理與以往的文件型病毒有明顯區(qū)別的DIR2病毒。1994年5月，南非第一次多種族全民大選的計(jì)票工作，因計(jì)算機(jī)病毒的破壞停止30余小時(shí)，被迫推遲公布選舉結(jié)果。1996年，出現(xiàn)針對(duì)微軟公司Office的“宏病毒”。1997年公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒年”。1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進(jìn)行傳播的“美麗殺手”病毒。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。2000年5月4日，愛蟲病毒開始在全球各地迅速傳播。該病毒通過MicrosoftOutlook電子郵件系統(tǒng)傳播令全球?yàn)榇藫p失100億美元。計(jì)算機(jī)病毒簡史-42001年完全可以被稱為“蠕蟲之年”。Nimda（尼姆達(dá)）、CodeRed（紅色代碼）、Badtrans（壞透了）……出現(xiàn)的蠕蟲病毒不僅數(shù)量眾多，而且危害極大，感染了數(shù)百萬臺(tái)電腦。在2002年新生的計(jì)算機(jī)病毒中，木馬、黑客病毒以61%的絕對(duì)數(shù)量占據(jù)頭名。網(wǎng)絡(luò)病毒越來越成為病毒的主流。2003年的1月25日，僅在“SQL殺手”病毒出現(xiàn)的當(dāng)天，我國就有80%的網(wǎng)絡(luò)服務(wù)供應(yīng)商先后遭受此蠕蟲病毒的攻擊，造成許多網(wǎng)絡(luò)的暫時(shí)癱瘓。2003年的8月12日，名為“沖擊波”的病毒在全球襲擊Windows操作系統(tǒng)，據(jù)估計(jì)可能感染了全球一、兩億臺(tái)計(jì)算機(jī)，在國內(nèi)導(dǎo)致上千個(gè)局域網(wǎng)癱瘓。計(jì)算機(jī)病毒簡史-52005年由國內(nèi)作者編寫的“灰鴿子”木馬成為當(dāng)年頭號(hào)病毒，它危害極大，變種極多（共有4257個(gè)變種），是國內(nèi)非常罕見的惡性木馬病毒。2006年11月至今，我國又連續(xù)出現(xiàn)“熊貓燒香”、“艾妮”等盜取網(wǎng)上用戶密碼帳號(hào)的病毒和木馬，病毒的趨利性進(jìn)一步增強(qiáng)。2010年6月，“震網(wǎng)”病毒成為第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)能源設(shè)施的“蠕蟲”病毒。2012年5月，俄羅斯安全專家發(fā)現(xiàn)了“火焰”病毒，全名為Worm.Win32.Flame，它是一種后門程序和木馬病毒，同時(shí)又具有蠕蟲病毒的特點(diǎn)。計(jì)算機(jī)病毒的特征非授權(quán)可執(zhí)行性隱蔽性傳染性潛伏性表現(xiàn)性或破壞性可觸發(fā)性計(jì)算機(jī)病毒的主要危害直接破壞計(jì)算機(jī)數(shù)據(jù)信息占用磁盤空間和對(duì)信息的破壞搶占系統(tǒng)資源影響計(jì)算機(jī)運(yùn)行速度計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響攻擊移動(dòng)智能終端系統(tǒng)摧毀工業(yè)控制系統(tǒng)和工業(yè)基礎(chǔ)設(shè)施給用戶造成嚴(yán)重的心理壓力8.2計(jì)算機(jī)病毒的工作原理和分類8.2.1計(jì)算機(jī)病毒的工作原理1．計(jì)算機(jī)病毒的結(jié)構(gòu)（1）病毒的邏輯結(jié)構(gòu)（2）病毒的磁盤存儲(chǔ)結(jié)構(gòu)（3）病毒的內(nèi)存駐留結(jié)構(gòu)（1）病毒的邏輯結(jié)構(gòu)病毒的引導(dǎo)模塊；病毒的傳染模塊；病毒的發(fā)作（表現(xiàn)和破壞）模塊。引導(dǎo)模塊傳染條件判斷模塊實(shí)施傳染模塊觸發(fā)條件判斷模塊實(shí)施表現(xiàn)或破壞模塊圖8-1計(jì)算機(jī)病毒的模塊結(jié)構(gòu)（2）病毒的磁盤存儲(chǔ)結(jié)構(gòu)①磁盤空間結(jié)構(gòu)經(jīng)過格式化后的磁盤應(yīng)包括：主引導(dǎo)記錄區(qū)（硬盤）引導(dǎo)記錄區(qū)文件分配表（FAT）目錄區(qū)數(shù)據(jù)區(qū)（2）病毒的磁盤存儲(chǔ)結(jié)構(gòu)②系統(tǒng)型病毒的磁盤存儲(chǔ)結(jié)構(gòu)病毒的一部分存放在磁盤的引導(dǎo)扇區(qū)中另一部分則存放在磁盤其它扇區(qū)中引導(dǎo)型病毒沒有對(duì)應(yīng)的文件名字（2）病毒的磁盤存儲(chǔ)結(jié)構(gòu)③文件型病毒的磁盤存儲(chǔ)結(jié)構(gòu)文件型病毒專門感染系統(tǒng)中可執(zhí)行文件；其程序依附在被感染文件的首部、尾部、中部或空閑部位；絕大多數(shù)文件型病毒都屬于外殼型病毒。（3）病毒的內(nèi)存駐留結(jié)構(gòu)①系統(tǒng)型病毒的內(nèi)存駐留結(jié)構(gòu)系統(tǒng)型病毒是在系統(tǒng)啟動(dòng)時(shí)被裝入的病毒程序?qū)⒆陨硪苿?dòng)到適當(dāng)?shù)膬?nèi)存高端采用修改內(nèi)存向量描述字的方法隱藏自己有些病毒也利用小塊沒有使用的低端內(nèi)存系統(tǒng)（3）病毒的內(nèi)存駐留結(jié)構(gòu)②文件型病毒的內(nèi)存駐留結(jié)構(gòu)病毒程序是在運(yùn)行其宿主程序時(shí)被裝入內(nèi)存的，文件型病毒按其駐留內(nèi)存方式可分為：高端駐留型，典型的病毒有Yankee。常規(guī)駐留型，典型的病毒有黑色星期五。內(nèi)存控制鏈駐留型：典型的病毒有1701。設(shè)備程序補(bǔ)丁駐留型：典型的病毒有DIR2。不駐留內(nèi)存型：典型的病毒有Vienna/648。2．計(jì)算機(jī)病毒的作用機(jī)制（1）引導(dǎo)機(jī)制（2）傳染機(jī)制（3）破壞機(jī)制（1）中斷與計(jì)算機(jī)病毒中斷是CPU處理外部突發(fā)事件的一個(gè)重要技術(shù)。中斷類型可劃分為：

中斷硬件中斷軟件中斷：并不是真正的中斷，系統(tǒng)功能調(diào)用內(nèi)部中斷：因硬件出錯(cuò)或運(yùn)算出錯(cuò)所引起；外部中斷：由外設(shè)發(fā)出的中斷；病毒有關(guān)的重要中斷INT08H和INT1CH的定時(shí)中斷，有些病毒用來判斷激發(fā)條件；INT09H鍵盤輸入中斷，病毒用于監(jiān)視用戶擊鍵情況；INT10H屏幕輸入輸出，一些病毒用于在屏幕上顯示信息來表現(xiàn)自己；INT13H磁盤輸入輸出中斷，引導(dǎo)型病毒用于傳染病毒和格式化磁盤；INT21HDOS功能調(diào)用，絕大多數(shù)文件型病毒修改該中斷。病毒利用中斷

圖8-2

病毒盜用中斷示意圖

中斷向量中斷服務(wù)程序中斷向量病毒相關(guān)程序中斷服務(wù)程序盜用后：盜用前：（2）計(jì)算機(jī)病毒的傳染機(jī)制傳染是指計(jì)算機(jī)病毒由一個(gè)載體傳播到另一載體，由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過程。計(jì)算機(jī)病毒的傳染方式主要有：病毒程序利用操作系統(tǒng)的引導(dǎo)機(jī)制或加載機(jī)制進(jìn)入內(nèi)存；從內(nèi)存的病毒傳染新的存儲(chǔ)介質(zhì)或程序文件是利用操作系統(tǒng)的讀寫磁盤的中斷或加載機(jī)制來實(shí)現(xiàn)的。（3）計(jì)算機(jī)病毒的破壞機(jī)制破壞機(jī)制在設(shè)計(jì)原則、工作原理上與傳染機(jī)制基體相同。它也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。8.2.2計(jì)算機(jī)病毒的分類1．按照病毒攻擊的系統(tǒng)分類（1）攻擊DOS系統(tǒng)的病毒。（2）攻擊Windows系統(tǒng)的病毒。（3）攻擊UNIX系統(tǒng)的病毒。（4）攻擊OS/2系統(tǒng)的病毒。2．按照病毒的攻擊機(jī)型分類（1）攻擊微型計(jì)算機(jī)的病毒。（2）攻擊小型機(jī)的計(jì)算機(jī)病毒。（3）攻擊工作站的計(jì)算機(jī)病毒。（4）攻擊移動(dòng)終端設(shè)備的病毒。（5）攻擊工業(yè)設(shè)備的病毒。3．按照病毒的鏈結(jié)方式分類（1）源碼型病毒（2）嵌入型病毒（3）外殼型病毒（4）操作系統(tǒng)型病毒4．按照病毒的破壞情況分類（1）良性計(jì)算機(jī)病毒（2）惡性計(jì)算機(jī)病毒5．按照病毒的寄生方式分類（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒6．按照病毒的傳播媒介分類（1）單機(jī)病毒（2）網(wǎng)絡(luò)病毒8.2.3病毒實(shí)例分析1．CIH病毒概況CIH病毒是一種文件型病毒，感染W(wǎng)indows95/98環(huán)境下PE格式的EXE文件。病毒的危害主要表現(xiàn)在病毒發(fā)作后，硬盤數(shù)據(jù)全部丟失，甚至主板上的BIOS中的原內(nèi)容會(huì)被徹底破壞，主機(jī)無法啟動(dòng)。1999年4月26日，CIH病毒大爆發(fā)，全球超過6000萬臺(tái)電腦被破壞，2000年CIH再度爆發(fā)，全球損失超過10億美元，2001年僅北京就有超過6000臺(tái)電腦遭破壞；2002年CIH病毒使數(shù)千臺(tái)電腦遭破壞，瑞星公司修復(fù)硬盤數(shù)量一天接近200塊。（1）CIH病毒的表現(xiàn)形式受感染的.EXE文件的文件長度沒有改變；DOS以及WIN3.1格式（NE格式）的可執(zhí)行文件不受感染，并且在WinNT中無效。用資源管理器中“工具>查找>文件或文件夾”的“高級(jí)>包含文字”查找EXE特征字符串——“CIHv”，在查找過程中，顯示出一大堆符合查找特征的可執(zhí)行文件。若4月26日開機(jī)，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機(jī)后，計(jì)算機(jī)無法啟動(dòng)。（2）CIH病毒的行為機(jī)制CIH病毒直接進(jìn)入Windows內(nèi)核。沒有改變宿主文件的大小，而是采用了一種新的文件感染機(jī)制即碎洞攻擊（fragmentedcavityattack），將病毒化整為零，拆分成若干塊，插入宿主文件中去；最引人注目的是它利用目前許多BIOS芯片開放了可重寫的特性，向計(jì)算機(jī)主板的BIOS端口寫入亂碼，開創(chuàng)了病毒直接進(jìn)攻計(jì)算機(jī)主板芯片的先例?？梢哉fCIH病毒提供了一種全新的病毒程序方式和病毒發(fā)展方向。2．宏病毒宏的定義所謂宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)避免一再地重復(fù)相同動(dòng)作而設(shè)計(jì)出來的一種工具。它利用簡單的語法，把常用的動(dòng)作編寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動(dòng)運(yùn)行，完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。所謂“宏病毒”，是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺(tái)的計(jì)算機(jī)病毒，可以在Windows9X、WindowsNT/2000、OS/2和MacintoshSystem7等操作系統(tǒng)上執(zhí)行。（1）宏病毒的行為機(jī)制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為doc的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲(chǔ)的方法。正因?yàn)檫@種宏也是文檔資料，便產(chǎn)生了宏感染的可能性。Word宏病毒通過doc文檔和dot模板進(jìn)行自我復(fù)制及傳播。計(jì)算機(jī)文檔是交流最廣的文件類型。這就為Word宏病毒傳播帶來了很多便利，特別是Internet網(wǎng)絡(luò)的普及和E-mail的大量應(yīng)用更為Word宏病毒的傳播“拓展”了道路。（2）Word宏病毒特征Word宏病毒會(huì)感染doc文檔和dot模板文件。Word宏病毒的傳染通常是Word在打開一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。病毒宏將自身復(fù)制到Word通用（Normal）模板中，以后在打開或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。多數(shù)Word宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動(dòng)宏，通過這些自動(dòng)宏病毒取得文檔（模板）操作權(quán)。Word宏病毒中總是含有對(duì)文檔讀寫操作的宏命令。Word宏病毒在doc文檔、dot模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，不同Word版本格式可能不兼容。3．網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒專指在網(wǎng)絡(luò)傳播、并對(duì)網(wǎng)絡(luò)進(jìn)行破壞的病毒；網(wǎng)絡(luò)病毒也指HTML病毒、E-mail病毒、Java病毒等與因特網(wǎng)有關(guān)的病毒。網(wǎng)絡(luò)病毒的特點(diǎn)傳染方式多傳播速度比較快清除難度大破壞性強(qiáng)潛在性深4．電子郵件病毒“電子郵件病毒”其實(shí)和普通的計(jì)算機(jī)病毒一樣，只不過它們的傳播途徑主要是通過電子郵件，所以才被稱為“電子郵件病毒”。電子郵件病毒的特點(diǎn)傳統(tǒng)的殺毒軟件對(duì)檢測(cè)此類格式的文件無能為力傳播速度快傳播范圍廣破壞力大8.3計(jì)算機(jī)病毒的檢測(cè)與防范

8.3.1

計(jì)算機(jī)病毒的檢測(cè)1．異常情況判斷計(jì)算機(jī)工作時(shí)，如出現(xiàn)下列異?，F(xiàn)象，則有可能感染了病毒：（1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點(diǎn)、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)。（2）揚(yáng)聲器發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。（3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇?cái)?shù)目不斷增多，直到無法繼續(xù)工作。（4）硬盤不能引導(dǎo)系統(tǒng)。（5）磁盤上的文件或程序丟失。（6）磁盤讀/寫文件明顯變慢，訪問的時(shí)間加長。（7）系統(tǒng)引導(dǎo)變慢或出現(xiàn)問題，有的出現(xiàn)“寫保護(hù)錯(cuò)”提示。（8）系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動(dòng)現(xiàn)象。（9）原來運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯(cuò)提示。（10）連接的打印機(jī)不能正常啟動(dòng)。觀察上述異常情況后，可初步判斷系統(tǒng)的哪部分資源受到了病毒侵襲，為進(jìn)一步診斷和清除做好準(zhǔn)備。2．檢測(cè)的主要依據(jù)（1）檢查磁盤主引導(dǎo)扇區(qū)（2）檢查FAT表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內(nèi)存空間（6）檢查特征串3．計(jì)算機(jī)病毒的檢測(cè)手段（1）特征代碼法特征代碼法是檢測(cè)已知病毒的最簡單、開銷最小的方法。特征代碼法的實(shí)現(xiàn)步驟如下：

采集已知病毒樣本。

在病毒樣本中，抽取特征代碼。

打開被檢測(cè)文件，在文件中搜索病毒特征代碼。特征代碼法的特點(diǎn)：

速度慢

誤報(bào)警率低

不能檢查多形性病毒

不能對(duì)付隱蔽性病毒（2）校驗(yàn)和法將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗(yàn)和法。優(yōu)點(diǎn)：方法簡單，能發(fā)現(xiàn)未知病毒、被查文件的細(xì)微變化也能發(fā)現(xiàn)。缺點(diǎn)：會(huì)誤報(bào)警、不能識(shí)別病毒名稱、不能對(duì)付隱蔽型病毒。校驗(yàn)和法查病毒運(yùn)用校驗(yàn)和法查病毒采用三種方式：①在檢測(cè)病毒工具中納入校驗(yàn)和法，對(duì)被查的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和，將校驗(yàn)和值寫入被查文件中或檢測(cè)工具中，而后進(jìn)行比較。②在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和值，實(shí)現(xiàn)應(yīng)用程序的自檢測(cè)。③將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開始運(yùn)行時(shí)，自動(dòng)比較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。（3）行為監(jiān)測(cè)法利用病毒的特有行為特征來監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法。這些能夠作為監(jiān)測(cè)病毒的行為特征如下：A.占有INT13HB.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量C.對(duì)COM、EXE文件做寫入動(dòng)作D.病毒程序與宿主程序的切換

優(yōu)點(diǎn)：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。

缺點(diǎn)：可能誤報(bào)警、不能識(shí)別病毒名稱、實(shí)現(xiàn)時(shí)有一定難度。（4）軟件模擬法多態(tài)性病毒每次感染都變化其病毒密碼，對(duì)付這種病毒，特征代碼法失效。為了檢測(cè)多態(tài)性病毒，可應(yīng)用新的檢測(cè)方法——軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行。新型檢測(cè)工具納入了軟件模擬法，該類工具開始運(yùn)行時(shí)，使用特征代碼法檢測(cè)病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼以后，再運(yùn)用特征代碼法來識(shí)別病毒的種類。8.3.2計(jì)算機(jī)病毒的防范1．嚴(yán)格的管理2．有效的技術(shù)目前在預(yù)防病毒工具中采用的技術(shù)主要有：（1）將大量的消毒/殺毒軟件匯集一體。（2）檢測(cè)一些病毒經(jīng)常要改變的系統(tǒng)信息。（3）監(jiān)測(cè)寫盤操作，對(duì)引導(dǎo)區(qū)或主引導(dǎo)區(qū)的寫操作報(bào)警。（4）對(duì)文件形成一個(gè)密碼檢驗(yàn)碼，實(shí)現(xiàn)對(duì)程序完整性的驗(yàn)證。（5）智能判斷型。（6）智能監(jiān)察型。宏病毒的防治通過Word來防止宏病毒的感染和傳播，但是對(duì)大多數(shù)人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。當(dāng)前，處理宏病毒的反病毒軟件主要分為兩類：常規(guī)反病毒掃描器和基于Word或者Excel宏的專門處理宏病毒的反病毒軟件。電子郵件病毒的防治（1）思想上高度重視，不要輕易打開來信中的附件文件；（2）不斷完善“網(wǎng)關(guān)”軟件及病毒防火墻軟件；（3）使用優(yōu)秀的防毒軟件同時(shí)保護(hù)客戶機(jī)和服務(wù)器；（4）使用特定的SMTP殺毒軟件。8.4惡意代碼8.4.1惡意代碼概述惡意代碼是一種程序，通常在人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達(dá)到破壞被感染計(jì)算機(jī)的數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。8.4.2惡意代碼的特征與分類1．惡意代碼的特征惡意代碼的特征主要體現(xiàn)在以下三個(gè)方面：（1）惡意的目的。（2）本身是程序。（3）通過執(zhí)行發(fā)生作用。8.4.2惡意代碼的特征與分類2．惡意代碼的分類按照惡意代碼的工作原理和傳輸方式區(qū)分，惡意代碼可以分為：普通病毒木馬網(wǎng)絡(luò)蠕蟲移動(dòng)代碼復(fù)合型病毒...木馬木馬（全稱特洛伊木馬）是根據(jù)古希臘神話中的木馬來命名的。黑客程序以此命名有“一經(jīng)潛入，后患無窮”之意。木馬程序表面上沒有任何異常，但實(shí)際上卻隱含著惡意企圖。一些木馬程序會(huì)通過覆蓋系統(tǒng)文件的方式潛伏于系統(tǒng)中，還有一些木馬以正常軟件的形式出現(xiàn)。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種可以自我復(fù)制的完全獨(dú)立的程序，其傳播過程不需要借助于被感染主機(jī)中的其他程序。網(wǎng)絡(luò)蠕蟲的自我復(fù)制不像其他病毒，它可以自動(dòng)創(chuàng)建與其功能完全相同的副本，并在不需要人工干涉的情況下自動(dòng)運(yùn)行。網(wǎng)絡(luò)蠕蟲通常是利用系統(tǒng)中的安全漏洞和設(shè)置缺陷進(jìn)行自動(dòng)傳播，因此可以以非?？斓乃俣葌鞑?。移動(dòng)代碼移動(dòng)代碼是能夠從主機(jī)傳輸?shù)娇蛻舳擞?jì)算機(jī)上并執(zhí)行的代碼，它通常是作為病毒、蠕蟲、木馬等的一部分被傳送到目標(biāo)計(jì)算機(jī)。此外，移動(dòng)代碼可以利用系統(tǒng)的安全漏洞進(jìn)行入侵，如竊取系統(tǒng)賬戶密碼或非法訪問系統(tǒng)資源等。移動(dòng)代碼通常利用JavaApplets、ActiveX、JavaScript和VBScript等技術(shù)來實(shí)現(xiàn)。復(fù)合型病毒惡意代碼通過多種方式傳播就形成了復(fù)合型病毒，著名的網(wǎng)絡(luò)蠕蟲Nimda實(shí)際上就是復(fù)合型病毒的一個(gè)例子，它可以同時(shí)通過E-mail、網(wǎng)絡(luò)共享、Web服務(wù)器、Web終端4種方式進(jìn)行傳播。除上述方式外，復(fù)合型病毒還可以通過點(diǎn)對(duì)點(diǎn)文件共享、直接信息傳送等方式進(jìn)行傳播。8.4.3惡意代碼的關(guān)鍵技術(shù)1．生存技術(shù)生存技術(shù)主要包括4個(gè)方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)自動(dòng)生產(chǎn)技術(shù)8.4.3惡意代碼的關(guān)鍵技術(shù)2．攻擊技術(shù)攻擊技術(shù)主要包括5個(gè)方面：進(jìn)程注入技術(shù)端口復(fù)用技術(shù)對(duì)抗檢測(cè)技術(shù)端口反向連接技術(shù)緩沖區(qū)溢出攻擊技術(shù)8.4.3惡意代碼的關(guān)鍵技術(shù)3．隱藏技術(shù)隱藏技術(shù)主要包括2個(gè)方面：本地隱藏文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏等。通信隱藏通信內(nèi)容隱藏和傳輸通道隱藏。8.4.4網(wǎng)絡(luò)蠕蟲1．網(wǎng)絡(luò)蠕蟲的定義網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。網(wǎng)絡(luò)蠕蟲具有主動(dòng)攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性等特征，網(wǎng)絡(luò)蠕蟲無需計(jì)算機(jī)用戶干預(yù)即可自主運(yùn)行，通過不斷地獲得網(wǎng)絡(luò)中存在特定漏洞的計(jì)算機(jī)上的控制權(quán)限來進(jìn)行傳播。8.4.4網(wǎng)絡(luò)蠕蟲2．網(wǎng)絡(luò)蠕蟲的功能模型網(wǎng)絡(luò)蠕蟲的功能模塊可以分為主