計算機病毒概述與防治培訓(xùn)課件

計算機病毒概述與防治計算機病毒從它誕生之日起到現(xiàn)在，已成為了當(dāng)今信息社會的一個癌癥，它隨著計算機網(wǎng)絡(luò)的發(fā)展，已經(jīng)傳播到信息社會的每一個角落，并大肆破壞計算機數(shù)據(jù)、改變操作程序、摧毀計算機硬件，給人們造成了重大損失。為了更好地防范計算機及網(wǎng)絡(luò)病毒，必須了解計算機病毒的機制，同時掌握計算機病毒的預(yù)防和清除辦法。本章將學(xué)習(xí)以下主要內(nèi)容：計算機病毒的定義；計算機病毒的工作原理；計算機病毒的分類；計算機網(wǎng)絡(luò)病毒及發(fā)展；病毒的清除辦法和防護(hù)措施；著名的網(wǎng)絡(luò)病毒的介紹。2計算機病毒概述與防治7.1計算機病毒概述隨著現(xiàn)代通信技術(shù)的不斷發(fā)展，人與人之間的溝通變得越來越方便快捷，數(shù)據(jù)、文件、電子郵件可以迅速有效的在各個網(wǎng)絡(luò)工作站之間進(jìn)行傳遞，而通過電纜、光纜和電話線的相連使得工作站間的距離擺脫了物理限制，近至并排相靠，遠(yuǎn)達(dá)萬里之遙，都可進(jìn)行即時的信息傳送和交流。但在溝通方便的同時，也為計算機病毒提供了良好的發(fā)育環(huán)境，使其得以蔓延擴散已成為社會的一大公害。現(xiàn)在，計算機病毒技術(shù)日臻完善成熟，網(wǎng)絡(luò)病毒不再需要寄生在主程序中，但人們將文件附加在電子郵件中進(jìn)行傳送、從Internet、BBS下載文件或瀏覽JavaActiveX網(wǎng)頁的時候,病毒可能就會神不知3計算機病毒概述與防治鬼不覺地進(jìn)入了網(wǎng)絡(luò)和計算機系統(tǒng)。目前每天都有數(shù)十種新的病毒在網(wǎng)上發(fā)現(xiàn)。與此同時，各類已知病毒的變異品種也在網(wǎng)上四處橫行。如何發(fā)現(xiàn)和防治病毒在此時就變得尤為重要了。7.1.1病毒的定義美國計算機研究專家F.Cohen博士最早提出了“計算機病毒”的概念。計算機病毒是一段人為編制的計算機程序代碼。這段代碼一旦進(jìn)入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。其特性在很多方面與生物病毒有著極其相似的地方。4計算機病毒概述與防治在《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》第二十八條中將計算機病毒定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼?！比藗儚牟煌嵌冉o出計算機病毒的定義。一種定義是：通過磁盤、磁帶和網(wǎng)絡(luò)等存儲媒介傳播擴散，能“傳染”其他程序的程序；另一種是：能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的，具有潛伏性、傳染性和破壞性的程序；還有的定義是：一種人為制造的程序，它通過不同的途徑潛伏或寄生在存儲媒體(如磁盤、內(nèi)存)或程序里，當(dāng)某種條件或時機成熟時，它會自我復(fù)制并傳播，使計算機的資源受到不同程序的破壞等。5計算機病毒概述與防治現(xiàn)在，計算機病毒的傳播方式、感染途徑、發(fā)作方式都有了極大的不同。以前，大多數(shù)類型的病毒主要通過軟盤傳播。但是，當(dāng)Internet成為人們的主要通信方式以后，為病毒的傳播提供了新的傳送機制。尤其是隨著現(xiàn)在電子郵件被用作一個重要的企業(yè)通信工具，使病毒比以往任何時候都要擴展得快。附帶在電子郵件信息中的病毒，在幾分鐘內(nèi)就可以侵染整個企業(yè)，使企業(yè)每年在生產(chǎn)損失和清除病毒的開銷上就要花費數(shù)百萬美元。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機病毒在快速增長。按美國國家計算機安全協(xié)會發(fā)布的統(tǒng)計資料，已有超過18000種病毒被辨認(rèn)出來，而且每個月又在產(chǎn)生200種新型病毒?？梢赃@樣說，在計算機世界中沒有一臺計算機可以對病毒免疫。對于經(jīng)常上網(wǎng)的用戶來說必須經(jīng)常性地對付病毒的突然爆發(fā)。6計算機病毒概述與防治7.1.2計算機病毒的發(fā)展歷史計算機病毒并非是最近才出現(xiàn)的新產(chǎn)物。事實上，早在1949年，距離第—部商用計算機的出現(xiàn)仍有好幾年時，計算機的先驅(qū)者約翰·范紐曼(JohnVonNeumann)在他的論文《復(fù)雜自動裝置的理論及組織的進(jìn)行》中就已把病毒程序的藍(lán)圖勾勒出來。當(dāng)時，絕大部分的計算機專家都無法想象這種會自我繁殖的程序是可能的?？墒牵贁?shù)幾個科學(xué)家默默的研究了范紐曼所提出的概念。十年之后，當(dāng)時貝爾實驗室中三個年輕程序員：道格拉斯·麥耀萊、維特·維索斯基以及羅伯在業(yè)余時間想出來一個游戲——“磁蕊大戰(zhàn)”(CoreWar)。這個游戲可以實現(xiàn)程序的自我復(fù)制，從而成為了病毒的先驅(qū)。7計算機病毒概述與防治1983年，科恩·湯普遜(KenThompson)是當(dāng)年一項杰出計算機獎的得主。在頒獎典禮上，他作了一個演講，不但公開證實了計算機病毒的存在，而且還告訴所有聽眾怎樣去寫自己的病毒程序。至此計算機病毒正式出現(xiàn)在人們面前，并迅速成為了大家談虎色變的恐怖程序。最早被開發(fā)出的計算機病毒是程序員用來保護(hù)自己程序的安全門。但隨著時間的逐步推移，這道門漸漸開錯了方向，成為了破壞程序安全的最大隱患。世界上第一例被證實的病毒發(fā)現(xiàn)在1987年,但在其后的五年中病毒并沒有真正在世界上傳播開來，因此沒有引起人們的高度重視。直到1988年11月的一次病毒發(fā)作，造成Internet網(wǎng)上的6200用戶系統(tǒng)癱8計算機病毒概述與防治瘓，經(jīng)濟損失達(dá)9000多美元，隨后一系列病毒事件的發(fā)生，才使人們對計算機病毒高度重視起來。計算機病毒的發(fā)展經(jīng)歷了以下幾個主要階段：DOS引導(dǎo)階段；DOS可執(zhí)行文件階段；混合型階段；伴隨、批次性階段；多形性階段；生成器、變體機階段；網(wǎng)絡(luò)、蠕蟲階段；視窗階段；宏病毒階段和互聯(lián)網(wǎng)階段。這些將在下面幾節(jié)中為大家進(jìn)行穿插介紹。9計算機病毒概述與防治7.2計算機病毒的工作原理要做好反病毒技術(shù)的研究，首先要認(rèn)清計算機病毒的結(jié)構(gòu)特點和行為機理，為防范計算機病毒提供充實可靠的依據(jù)。下面將通過對計算機病毒的主要特征、破壞行為以及基本結(jié)構(gòu)的介紹來闡述計算機病毒的工作原理。7.2.1計算機病毒的主要特征1.可控性首先，需要強調(diào)的就是計算病毒與各種應(yīng)用程序一樣也是人為編寫出來的。它并不是偶然自發(fā)產(chǎn)生的。在某些方面，它具有一定的主觀能動性，即是可事先預(yù)防的。當(dāng)程序員編寫出這些有意破壞、嚴(yán)謹(jǐn)精巧的程序段時，它們就成了具有嚴(yán)格組織的程序代10計算機病毒概述與防治碼，與其所在環(huán)境相互適應(yīng)并緊密配合，伺機達(dá)到它們的破壞目的。因此，這里所指的可控性并不是針對其散播速度和范圍的，而是對其產(chǎn)生根源的控制，也就是說是對人的控制。簡單地說，只要程序員和廣大的計算機愛好者們不編寫那些流毒甚廣的病毒的話，那么也就無需為如何防治而絞盡腦汁了。當(dāng)然此類說法純屬說笑，所以人們?nèi)匀恍枰钊肓私庥嬎銠C病毒的產(chǎn)生、傳染和破壞行為，以達(dá)知己知彼，由此方能百戰(zhàn)不殆。2.自我復(fù)制能力自我復(fù)制也稱“再生”或“傳染”。再生機制是判斷是不是計算機病毒的最重要依據(jù)。在一定條件下，病毒通過某種渠道從一個文件和一臺計算機傳染到另11計算機病毒概述與防治外沒有被感染的文件和計算機，輕則造成被感染的計算機數(shù)據(jù)破壞和工作失常，重則使計算機癱瘓。病毒代碼就是靠這種機制大量傳播和擴散的。攜帶病毒代碼的文件成為計算機病毒載體和帶毒程序。每一臺被感染了病毒的計算機，本身既是一個受害者，又是計算機病毒的傳播者，通過各種可能的渠道，如軟盤、光盤、活動硬盤、網(wǎng)絡(luò)去傳染其他的計算機。在染毒的計算機上曾經(jīng)使用過的軟盤，很有可能已被計算機病毒感染，如果把它拿到其他機器上使用，病毒就會通過帶毒軟盤傳染這些機器。如果計算機已經(jīng)聯(lián)網(wǎng)，通過數(shù)據(jù)和程序共享，病毒就可以迅速傳染與之相連的計算機，若不加控制，就會在很短時間內(nèi)傳遍整個世界。12計算機病毒概述與防治3.奪取系統(tǒng)控制權(quán)一般的正常程序由系統(tǒng)或用戶調(diào)用，并由系統(tǒng)分配資源。其運行目的對用戶是可見的和透明的。而就計算機病毒的程序性(可執(zhí)行性)而言，計算機病毒與其他合法程序一樣，是一段可執(zhí)行程序，但它不是一個完整的程序，而是寄生在其他可執(zhí)行程序上，因此它享有一切程序所能得到的權(quán)力。當(dāng)計算機在正常程序控制之下運行時，系統(tǒng)運行是穩(wěn)定的。在這臺計算機上可以查看病毒文件的名字，查看或打印計算機病毒代碼，甚至拷貝病毒文件，系統(tǒng)都不會激活并感染病毒。病毒為了完成感染、破壞系統(tǒng)的目的必然要取得系統(tǒng)的控制權(quán)。計算機病毒一經(jīng)在系統(tǒng)中運行，病毒首先要做初始化工作，在內(nèi)存13計算機病毒概述與防治中找到一片安身之地，隨后將自身與系統(tǒng)軟件掛起鉤來執(zhí)行感染程序，即取得系統(tǒng)控制權(quán)。系統(tǒng)每執(zhí)行一次操作，病毒就有機會執(zhí)行它預(yù)先設(shè)計的操作，完成病毒代碼的傳播和進(jìn)行破壞活動。4.隱蔽性不經(jīng)過程序代碼分析或計算機病毒代碼掃描，病毒程序與正常程序不易區(qū)別開。計算機病毒的隱蔽性表現(xiàn)在兩個方面：一是傳染的隱蔽性，大多數(shù)病毒在進(jìn)行傳染時速度是極快的，一般不具有外部表現(xiàn)，不宜被人發(fā)現(xiàn)；二是病毒程序存在的隱蔽性，一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)，而一旦病毒發(fā)作出來，往往已給計算機系統(tǒng)造成了不同程度的破壞。14計算機病毒概述與防治隨著病毒編寫技巧的提高，病毒代碼本身還進(jìn)行加密和變形，使得對計算機病毒的查找和分析更為困難，容易造成漏查或錯殺。5.潛伏性一個編制精巧的計算機病毒程序，進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)。潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。只有在滿足其特定條件后才啟動其表現(xiàn)模塊，先是發(fā)作信息和進(jìn)行系統(tǒng)破壞。其中一個例子就是臭名昭著的CIH病毒，它在平時會隱藏得很好，而只有在每月的26日發(fā)作時才會兇相畢露。15計算機病毒概述與防治使計算機病毒發(fā)作的觸發(fā)條件主要有以下幾種：(1)利用系統(tǒng)時鐘提供的時間作為觸發(fā)器，這種觸發(fā)機制被大量病毒使用。(2)利用病毒體自帶的計數(shù)器作為觸發(fā)器。病毒利用計數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計算器達(dá)到設(shè)定值，就執(zhí)行破壞操作。這些事件可以是計算機開機的次數(shù)；可以是病毒程序被運行的次數(shù)；還可以是從開機起被運行過的程序數(shù)量等。(3)利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器。特定操作可以是用戶按下某些特定鍵的組合，可以是執(zhí)行的命令，也可以是對磁盤的讀寫。被病毒使用的觸發(fā)條件多種多樣，而且往往是由多個條件的組合出發(fā)。大多數(shù)病毒的組合條件是基于時間的，再輔以讀寫盤操作，按鍵操作以及其他條件。16計算機病毒概述與防治6.不可預(yù)見性不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)不斷地發(fā)展，也為計算機病毒提供了新的發(fā)展空間，對未來病毒的預(yù)測更加困難，這就要求人們不斷提高對病毒的認(rèn)識，增強防范意識。7.病毒的衍生性，持久性，欺騙性等7.2.2病毒與黑客軟件的異同計算機病毒與黑客軟件相同點是：都有隱蔽性、可立即執(zhí)行性、潛伏性、可觸發(fā)性、破壞性、非授權(quán)性、欺騙性、持久性。而不同點是病毒可以寄生在其他文件中，可以自我復(fù)制，可以感染其他文件，17計算機病毒概述與防治其目的是破壞文件或系統(tǒng)。對于黑客軟件，它不能寄生，不可復(fù)制和感染文件，其目的是盜取密碼和遠(yuǎn)程監(jiān)控系統(tǒng)。7.2.3計算機病毒破壞行為計算機病毒的破壞性多種多樣。若按破壞性粗略分類，可以分為良性病毒和惡性病毒。惡性病毒是指在代碼中包含有損傷、破壞計算機系統(tǒng)的操作，在其傳染和發(fā)作時會對系統(tǒng)直接造成嚴(yán)重?fù)p壞。它的損壞目的非常明確，如破壞計算機數(shù)據(jù)、刪除文件、格式化磁盤、破壞主板等，因此惡性病毒非常危險。良性病毒是指不包含立即直接破壞的代碼，只是為了表示其存在或為了說明某些事件而存在，如只顯示某些信息、播放一段音樂或沒有任何破壞動作18計算機病毒概述與防治

但不停地傳播。但是這類病毒的潛在破壞還是有的，它使內(nèi)存空間減少，占用磁盤空間，降低系統(tǒng)運行效率，使某些程序不能運行，它還與操作系統(tǒng)和應(yīng)用程序爭搶CPU的控制權(quán)，嚴(yán)重時導(dǎo)致死機、網(wǎng)絡(luò)癱瘓。計算機病毒的破壞性表現(xiàn)為病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他的技術(shù)能力。數(shù)以萬計、不斷發(fā)展的病毒破壞行為千奇百怪，不可窮舉。根據(jù)有關(guān)病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下：(1)病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用。大部分病毒在激發(fā)的時候直接破壞計算機的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件以及破壞COMS設(shè)置等。19計算機病毒概述與防治(2)干擾系統(tǒng)運行，使運行速度下降。此類行為也是花樣繁多，如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、換現(xiàn)行盤、時鐘倒轉(zhuǎn)、重啟動、死機、強制游戲、擾亂串并接口等。病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，運行速度明顯下降。(3)占有磁盤空間和對信息的破壞。(4)搶占系統(tǒng)資源。(5)干擾I/O設(shè)備，篡改預(yù)定設(shè)置以及擾亂運行。(6)網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等。20計算機病毒概述與防治7.2.4計算機病毒的結(jié)構(gòu)計算機病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分及其他部分組成。(1)引導(dǎo)部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備。(2)傳染部分作用是將病毒代碼復(fù)制到目標(biāo)上去。一般病毒在對目標(biāo)進(jìn)行傳染前，要判斷傳染條件，如CIH病毒只針對Windows95/98操作系統(tǒng)，判斷病毒是否已經(jīng)感染過該目標(biāo)等。(3)表現(xiàn)部分是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會觸發(fā)其表現(xiàn)部分的。21計算機病毒概述與防治7.3病毒分類據(jù)最新統(tǒng)計，目前已知的病毒數(shù)量已超過了50000種。并以每月800個新病毒的速度遞增。按其攻擊類型來分，其中的大多數(shù)(74%)是寄生病毒(攻擊可執(zhí)行文件)，第二是宏病毒(19%)，7%是引導(dǎo)扇區(qū)病毒。計算機病毒按照傳染方式分為引導(dǎo)型、文件型和混合型等3種病毒。下面將詳細(xì)介紹這3種病毒和Internet病毒。7.3.1引導(dǎo)型病毒1.引導(dǎo)記錄病毒引導(dǎo)記錄病毒攻擊用于引導(dǎo)計算機的程序。在軟盤上，一個引導(dǎo)記錄病毒可以感染軟盤引導(dǎo)記錄程序。22計算機病毒概述與防治而在硬盤上，一個引導(dǎo)記錄病毒可以感染活動分區(qū)引導(dǎo)記錄或主引導(dǎo)記錄的自舉程序。軟盤中的第一個扇區(qū)，0磁道、0磁頭、1扇區(qū)，保留為引導(dǎo)記錄使用，引導(dǎo)記錄中包括自舉例程，一種用于裝入操作系統(tǒng)的機器語言程序。之所以成為自舉程序是因為它讓計算機通過自舉讀取并執(zhí)行一個短程序——引導(dǎo)代碼來裝入它自己，接下來再裝入操作系統(tǒng)的其余部分。并不一定是可引導(dǎo)的磁盤才能傳播引導(dǎo)記錄病毒。所有軟盤在格式化或硬盤引導(dǎo)時病毒就會被激活。甚至計算機不能從感染的磁盤啟動時(例如在軟盤中不包含相應(yīng)的DOS系統(tǒng)文件時)，它也要運行自舉例程，這正是病毒激活所需要的機制。就像駐留23計算機病毒概述與防治程序一樣，大多數(shù)引導(dǎo)記錄病毒在內(nèi)存中安裝它自己，并且把它自己掛到計算機的BOIS和操作系統(tǒng)提供的各種系統(tǒng)服務(wù)中。只要計算機是開著的，它在內(nèi)存中就仍然是活動的，只要它們停留在內(nèi)存中，就可以通過感染計算機訪問的軟盤來不斷傳播。引導(dǎo)記錄病毒在IBMPC病毒的總數(shù)中大約占5%，但是它們卻在每年報告的實際最終用戶感染中超過85%。2.軟盤引導(dǎo)記錄病毒病毒程序經(jīng)常把軟盤引導(dǎo)記錄(FBR)作為攻擊目標(biāo)，一個重要的原因是用戶經(jīng)常錯誤地把軟盤留在軟驅(qū)中。這樣一個看起來無關(guān)痛癢的錯誤實際上為軟盤引導(dǎo)記錄病毒提供了惟一的進(jìn)入方式。如果在驅(qū)動24計算機病毒概述與防治器中有一片磁盤，計算機從這里被配置進(jìn)行引導(dǎo)，自舉程序此時會執(zhí)行。病毒通過用它自己的程序來代替原來的自舉例程，同時病毒程序中也包括它自己的帶病毒的自舉例程，從而使得病毒能在其他程序運行前控制系統(tǒng)。然后病毒就可以感染硬盤了。軟盤引導(dǎo)記錄在系統(tǒng)重置期間獲取計算機的控制。在起動過程中，大多數(shù)PC中的BIOS都要確定軟驅(qū)中是否有軟盤以及計算機是否可以從這個軟盤中配置引導(dǎo)。如果BIOS在驅(qū)動器中找到軟盤，它就認(rèn)定用戶想要從這個磁盤引導(dǎo)。在它定位磁盤之后，BIOS就會把軟盤引導(dǎo)記錄裝入計算機內(nèi)存中，并執(zhí)行它的自舉例程。在一塊感染的軟盤中，BIOS裝入的引導(dǎo)記錄是經(jīng)25計算機病毒概述與防治過病毒感染的自舉例程，而不是通常的操作系統(tǒng)自舉例程。在引導(dǎo)期間，BIOS把對計算機的控制完全給與病毒程序而不是正常的自舉程序。當(dāng)控制程序傳送給病毒之后，它就會得到對計算機上所有資源獨有的訪問權(quán)；如果在軟盤中有操作系統(tǒng)的話，就不會被裝入，也不會防止病毒的行為。大多數(shù)FBR病毒在引導(dǎo)過程中要在啟動操作系統(tǒng)之前把自己作為內(nèi)存駐留驅(qū)動器裝入，通過這種方式，病毒就可以在計算機操作期間監(jiān)視所有磁盤請求，并且任意感染其他軟盤。FBR病毒要完成其工作，就必須從軟盤上得到原來的FBR，并且啟動原來的引導(dǎo)過程，好像沒有病毒一樣。這非常重要，因為病毒要想存活下去就不能26計算機病毒概述與防治進(jìn)行破壞。如果FBR病毒把自己安裝到內(nèi)存中，感染了硬盤，并且導(dǎo)致軟盤啟動失敗，它很快就會被檢測清除。大多數(shù)病毒在軟盤最后的某一個扇區(qū)維護(hù)原來FBR的一份拷貝。在病毒把它自己安裝到內(nèi)存之后，它就會把原來的FBR裝入內(nèi)存，并執(zhí)行原來的自舉例程，然后自舉例程正常的進(jìn)行，完全意識不到病毒的存在。大多數(shù)軟盤包含數(shù)據(jù)，但是不帶有DOS操作系統(tǒng)文件。在病毒把控制傳送給原來的自舉例程后，它會顯示一個消息，如“Nonsystemdisk”。這時，一般用戶就會認(rèn)為是其錯誤地使用了數(shù)據(jù)盤引導(dǎo)，然后從驅(qū)動器取出磁盤重新引導(dǎo)。這就是為什么大多數(shù)FBR病毒在引導(dǎo)期間感染硬盤的MBR或活動分區(qū)27計算機病毒概述與防治引導(dǎo)記錄。這種感染確保即使軟盤沒有包含相應(yīng)的操作系統(tǒng)文件，病毒仍然可以傳播到硬盤并且感染其他磁盤。最后，一小部分FBR病毒能夠維護(hù)他們的內(nèi)存駐留狀態(tài)，即使在“熱”重新啟動(即按<Ctrl>+<Alt>+<Del>組合鍵)時也是如此。如果計算機是熱啟動的，而病毒仍然駐留在內(nèi)存中，病毒仍然可以感染其他磁盤，即使它未感染硬盤。當(dāng)FBR病毒把它自己安裝到內(nèi)存中并把它自己指定為代理磁盤服務(wù)提供者之后，它還有機會進(jìn)行感染。此后在DOS或它的程序要訪問軟盤(或硬盤)時，操作系統(tǒng)就會調(diào)用病毒。如果病毒不駐留在內(nèi)存，僅訪問一塊被感染的軟磁盤不會引起計算機被感染。除非用戶從一塊被感染28計算機病毒概述與防治的軟盤引導(dǎo)，否則FBR病毒絕對不會執(zhí)行。如果它不能執(zhí)行，它就不會感染硬盤和安裝自己作為駐留的服務(wù)提供者。然而，如果計算機已經(jīng)被感染而且病毒已經(jīng)作為駐留的服務(wù)提供者安裝，在病毒駐留時訪問未感染的軟盤肯定會使病毒傳播到軟盤上。當(dāng)用戶或操作系統(tǒng)進(jìn)行合法的磁盤請求時，幾乎所有的FBR病毒都會感染磁盤。磁盤請求通常會引起驅(qū)動器旋轉(zhuǎn)，并且會使驅(qū)動器的LED等亮起來。只有當(dāng)用戶開始一些磁盤活動時，如文件和目錄的復(fù)制，軟盤才會旋轉(zhuǎn)。如果病毒要在某個任意時間傳播，用戶可能會注意到某些活動(通過雜音和LED等)，并且懷疑某件事做錯了。只有當(dāng)用戶或操作系統(tǒng)請求磁盤活動時才感染新的29計算機病毒概述與防治軟盤，這樣做對病毒是有利的，有幾個原因是最重要的：如果用戶或操作系統(tǒng)請求使用磁盤，可能驅(qū)動器中實際上就有一個軟盤。其次，病毒可以在BIOS磁盤服務(wù)提供者為正常的磁盤請求提供服務(wù)前后立即暗中感染軟盤引導(dǎo)記錄。感染過程一般需要不到一秒鐘。因為用戶最可能請求磁盤活動，出現(xiàn)的驅(qū)動器旋轉(zhuǎn)就有了合理的解釋。通過這種方式，病毒就會有效地傳播到新的軟盤而不會暴露它的存在。在病毒要感染磁盤之前，它必須確定磁盤是否已經(jīng)被感染。在大多數(shù)時候，病毒會把目標(biāo)FBR裝入內(nèi)存并與它自己的內(nèi)容進(jìn)行比較。如果FBR病毒確定目標(biāo)軟盤沒有被感染過，它就會進(jìn)行感染過程。大30計算機病毒概述與防治

多數(shù)FBR病毒要把原來的FBR保存到軟盤中的另一個扇區(qū)，這樣如果用戶要從這個磁盤引導(dǎo)，病毒就可以啟動并駐留在內(nèi)存中。FBR病毒總是把原來的引導(dǎo)記錄存儲在軟盤的一到兩處位置上：可能在被感染軟盤的最后或者在軟盤存儲根目錄結(jié)構(gòu)的扇區(qū)。如果不細(xì)心的話，可能會造成存儲在這兩個位置的原來的FBR數(shù)據(jù)丟失。一般的1.44MB3.5吋軟盤在根目錄中可以存放224個文件。這個保留的目錄空間需要14個存儲扇區(qū)，其中大多數(shù)都沒有使用，因為很少有軟盤在根目錄中存放224個文件。許多FBR病毒認(rèn)為根目錄的最后一個扇區(qū)沒有使用，把原來的引導(dǎo)記錄存放在這里。進(jìn)而，如果用戶把一些文件復(fù)制到該磁盤中，可能要使用覆蓋的目錄條目，從而覆蓋已保存的FBR。這樣在以后用這個軟盤引導(dǎo)就會失敗。31計算機病毒概述與防治大多數(shù)FBR病毒會把原來的引導(dǎo)記錄存放在軟盤的最后某一個扇區(qū)中，也假定這些扇區(qū)是未經(jīng)使用的。如果一個病毒用原來的引導(dǎo)記錄內(nèi)容覆蓋其中的一個扇區(qū)，它可能恢復(fù)該磁盤中現(xiàn)有的文件數(shù)據(jù)，從而引起數(shù)據(jù)損壞。除此之外，許多病毒不會更新磁盤中的FAT以標(biāo)識磁盤最后的扇區(qū)已被使用。如果一個用戶要向這個軟盤復(fù)制其他文件，原來的引導(dǎo)記錄就會被這些文件覆蓋，以后從這個軟盤引導(dǎo)時就會失敗。當(dāng)FBR病毒把一個被病毒感染的自舉例程插入FBR，并且把原來的FBR的一份拷貝存儲在磁盤中的某個地方時，它能夠覆蓋一些數(shù)據(jù)。許多FBR病毒會覆蓋根目錄結(jié)構(gòu)的最后一個扇區(qū)。如果這個扇區(qū)正在32計算機病毒概述與防治使用，存儲在這個扇區(qū)的任何文件目錄條目都會被損壞。幸而可以使用NortonDiskDoctor這類磁盤工具修復(fù)這種損壞。其他引導(dǎo)病毒把原來FBR的一份拷貝存儲在軟盤的最后。如果軟盤滿了，病毒就會覆蓋某個文件使用的一個扇區(qū)，從而至少損壞512字節(jié)的數(shù)據(jù)。不幸的是，在病毒覆蓋了軟盤上某個文件使用的扇區(qū)后，使用傳統(tǒng)的磁盤工具無法修復(fù)該扇區(qū)原來的內(nèi)容。3.分區(qū)引導(dǎo)記錄病毒(1)分區(qū)引導(dǎo)記錄(PBR)可以把一個物理硬盤劃分成多個邏輯硬盤，每一個邏輯硬盤中都包含它自己的操作系統(tǒng)。結(jié)果每一個邏輯硬盤都需要它自己的分區(qū)引導(dǎo)記錄(PBR)，用33計算機病毒概述與防治以裝入那個分區(qū)中特定的操作系統(tǒng)。PBR總是被存放在每個分區(qū)的第一個磁道、扇區(qū)和磁頭。PBR非常接近軟盤上的FBR，像FBR一樣，PBR有它自己的BIOS參數(shù)塊，這個參數(shù)塊描述它的邏輯硬盤的重要屬性。每個PBR還有它自己的自舉例程，用于裝入駐留在這個分區(qū)的操作系統(tǒng)。在系統(tǒng)啟動期間，主引導(dǎo)記錄(MBR)的自舉例程確定硬盤上哪一個分區(qū)是活動的。然后它通過讀取這個分區(qū)的第一個扇區(qū)裝入這個分區(qū)的PBR。如果這個PBR扇區(qū)包含一個有效的簽字，MBR自舉例程就會把控制傳送給PBR自舉例程。PBR自舉例程然后裝入這個分區(qū)中操作系統(tǒng)的其余部分。BIOS參數(shù)塊是PBR中惟一必須保持不動的部分(不34計算機病毒概述與防治像PBR后邊的簽字)，這樣DOS和其他程序就能夠正確理解邏輯硬盤的布局。PBR經(jīng)常成為攻擊的目標(biāo)，因為在硬盤引導(dǎo)過程中，MBR自舉例程總是裝入并執(zhí)行活動分區(qū)的引導(dǎo)記錄。如果一個病毒用它自己的PBR自舉例程代替原來的PBR自舉例程，可以肯定在硬盤引導(dǎo)期間它就會執(zhí)行。(2)PBR病毒幾乎所有的軟盤引導(dǎo)記錄(FBR)病毒都會感染硬盤主引導(dǎo)記錄(MBR)或硬盤的活動分區(qū)引導(dǎo)記錄(PBR)。PBR病毒是另一種形式的FBR病毒，它駐留在邏輯硬盤分區(qū)的引導(dǎo)記錄中，而不是軟盤的引導(dǎo)記錄中。35計算機病毒概述與防治像FBR病毒一樣，PBR病毒也是一個程序，它駐留在PBR的自舉區(qū)域。要想使這個病毒激活，PBR必須在引導(dǎo)過程中被裝入并執(zhí)行。很少有FBR病毒感染活動分區(qū)的PBR；大多數(shù)FBR病毒更愿意感染硬盤的MBR。PBR病毒并不比MBR病毒更差，但是創(chuàng)建它更困難，這就是這種病毒存在很少的原因。另一方面FormPBR病毒是今天世界上最普遍的病毒之一。PBR病毒不同于FBR病毒，當(dāng)它執(zhí)行時，它不會立即試圖感染其他軟盤。一般的FBR病毒在引導(dǎo)期間會感染硬盤，因為它要確保在將來從硬盤引導(dǎo)時允許病毒執(zhí)行，并且能夠把它自己作為駐留驅(qū)動器安裝。而PBR病毒沒有這樣的需求，因為它已經(jīng)駐留在硬盤中；它使用硬盤引導(dǎo)過程只是為了把它自己作為駐留驅(qū)動器安裝。36計算機病毒概述與防治引導(dǎo)過程中當(dāng)PBR病毒執(zhí)行并把自己安裝到內(nèi)存后，它就會把原來PBR的一份拷貝裝入內(nèi)存，并且把控制傳送給它的自舉程序。這個自舉程序然后裝入正常操作系統(tǒng)的其余部分，用戶最后會接受一個C：提示符。PBR病毒也像FBR病毒一樣，一旦它把自己安裝為內(nèi)存駐留驅(qū)動器，所有磁盤系統(tǒng)服務(wù)請求都要發(fā)送到病毒的處理程序。然后病毒檢查服務(wù)請求，如果它選擇了這個服務(wù)請求，就會去感染被訪問的磁盤。在病毒完成其破壞之后，它就會把請求重定向給原來的BIOS服務(wù)器，這樣就可以提供正常的服務(wù)了。PBR病毒把它自己安裝成為一個內(nèi)存駐留的服務(wù)提供者。完成這個任務(wù)之后，任何時候當(dāng)用戶或操作37計算機病毒概述與防治系統(tǒng)要訪問某個軟盤時，病毒服務(wù)提供者就會被激活并控制計算機。在大多數(shù)情況下，病毒會等待對軟驅(qū)的訪問，因此在任何時候使用軟盤時它都會感染軟盤。大多數(shù)PBR病毒把原來的引導(dǎo)記錄保存在被感染硬盤最后的某一個扇區(qū)中。因為幾乎沒有PBR病毒會去驗證目標(biāo)病毒扇區(qū)是否被使用，它們可能會無意地覆蓋占據(jù)這個空間的某個文件的一部分。PBR病毒還會引起其他問題。即是病毒碰巧用原來的PBR覆蓋了硬盤最后的某個未使用的扇區(qū)，用戶以后仍然可以用它自己的數(shù)據(jù)覆蓋已保存的引導(dǎo)記錄。當(dāng)用戶用其他數(shù)據(jù)覆蓋了保存的PBR后，原來的PBR就丟失了。以后從硬盤引導(dǎo)就會導(dǎo)致系統(tǒng)崩38計算機病毒概述與防治潰。這種崩潰是因為病毒裝入了它錯認(rèn)為是原來PBR的數(shù)據(jù)，并且把控制傳送給了他自認(rèn)為的自舉例程。如果PBR被覆蓋，病毒就會執(zhí)行一堆垃圾機器代碼，而不是原來的自舉例程。有些PBR病毒會防止出現(xiàn)前面提到的情況。例如，它們可能會減少最后一個分區(qū)的大小把最后一個扇區(qū)留給自己使用，并且把原來的PBR記錄保存在這里。這樣，用戶就不會覆蓋原來的PBR分區(qū)記錄了。(3)分區(qū)引導(dǎo)記錄病毒的例子Form病毒是一種內(nèi)存駐留的引導(dǎo)記錄感染病毒。它既不感染文件，也不像許多其他引導(dǎo)記錄病毒一樣，它感染活動分區(qū)的分區(qū)引導(dǎo)記錄，而不是硬盤上的主引導(dǎo)區(qū)記錄。39計算機病毒概述與防治當(dāng)計算機從感染的軟盤或硬盤引導(dǎo)時，F(xiàn)orm就駐留到內(nèi)存中。當(dāng)病毒駐留后，它會去感染訪問的所有非寫保護(hù)磁盤。Form占據(jù)系統(tǒng)內(nèi)存頂端的2KB，并且在BDA的TotalmemoryinKbytes域增加2KB來擴大系統(tǒng)內(nèi)存大小，從而為它自己保留空間。病毒截取BIOS磁盤系統(tǒng)服務(wù)提供者以感染其他媒體。在病毒安裝到內(nèi)存后，它檢查系統(tǒng)的日期，而且如果是這個月的18日，就會截取鍵盤系統(tǒng)服務(wù)提供者。然后每次用戶按下一個鍵時，病毒就使PC揚聲器發(fā)出一個“單擊”聲。如果鍵盤驅(qū)動程序直接安裝到計算機上，這種單擊聲可能不會出現(xiàn)，但是病毒仍然會適當(dāng)傳染。40計算機病毒概述與防治病毒把原來的引導(dǎo)記錄和它的部分可執(zhí)行代碼存放到硬盤的最后一個扇區(qū)或者軟盤中標(biāo)記為損壞的簇。Form中包括以下文本：TheFORMVirussendsgreetingtoeveryonewho’sreadingthistext.FORMdoesn’tdestroydata!Don’tpanic!F*****SgotoCorinne.除了可能覆蓋原來的引導(dǎo)扇區(qū)之外，F(xiàn)orm一般不會損壞文件和數(shù)據(jù)。4.主引導(dǎo)記錄病毒(1)硬盤主引導(dǎo)區(qū)記錄可以把一個物理的硬盤劃分成多個不同的邏輯盤，41計算機病毒概述與防治而且還可以為了組織數(shù)據(jù)的需要把一塊盤分成多個分區(qū)。例如，可以用一個分區(qū)存儲不同的操作系統(tǒng)或者在一個分區(qū)存儲字處理文件，而在另一個分區(qū)存儲程序，再用一個分區(qū)存儲游戲。主引導(dǎo)區(qū)記錄(MBR)是存儲于硬盤的第一個磁道、扇區(qū)、磁頭的一個結(jié)構(gòu)，每個物理硬盤都包含正好一個MBR。MBR中包含一個分區(qū)表，它代表所有扇區(qū)及其各自分區(qū)的分配。程序需要用硬盤上的分區(qū)表(就像它們需要軟盤上的BIOS參數(shù)一樣)理解磁盤的特征。例如，硬盤上存在多少個分區(qū)(即邏輯盤)。MBR還包含一個以硬盤啟動時所使用的自舉程序。MBR的自舉例程類似于軟盤的自舉例程，它負(fù)責(zé)裝入默認(rèn)的操作系統(tǒng)，并且把計算機引導(dǎo)到可用狀態(tài)。42計算機病毒概述與防治硬盤的MBR成為攻擊目標(biāo)有兩個原因。首先，在所有PC硬盤的同一個物理位置上只包含一個硬盤主引導(dǎo)區(qū)記錄。因此，病毒編寫者可以方便地編寫出幾乎能夠在市場任何PC上起作用的病毒。其次，當(dāng)計算機從硬盤引導(dǎo)時，MBR中的自舉例程總是要裝入執(zhí)行的。如果病毒用它自己的MBR自舉例程代替原來的MBR自舉例程，在每次系統(tǒng)引導(dǎo)時它都會執(zhí)行。在系統(tǒng)引導(dǎo)期間，在任何基于軟件的反病毒程序有機會裝入并保護(hù)系統(tǒng)之前，病毒會完全控制計算機。(2)主引導(dǎo)記錄區(qū)病毒絕大多數(shù)軟盤引導(dǎo)區(qū)記錄(FBR)病毒感染硬盤的主引導(dǎo)區(qū)記錄(MBR)。實質(zhì)上MBR病毒是另一種形43計算機病毒概述與防治式的FBR病毒，它駐留在硬盤的主引導(dǎo)區(qū)記錄中而不是軟盤的引導(dǎo)區(qū)記錄中。就像FBR和PBR病毒一樣，在MBR病毒被激活以前，它要在引導(dǎo)時被裝入并執(zhí)行。主引導(dǎo)區(qū)記錄病毒比分區(qū)引導(dǎo)記錄病毒更普遍。在PBR病毒感染前，它必須查找分區(qū)表找到活動分區(qū)，然后確定活動分區(qū)的引導(dǎo)扇區(qū)，并且感染引導(dǎo)扇區(qū)。MBR病毒的感染過程沒有這么復(fù)雜。在硬盤引導(dǎo)期間，ROMBIOS引導(dǎo)程序從連接到計算機的基本硬盤中裝入MBR。它然后驗證MBR在扇區(qū)的最后是否有正確的特征標(biāo)記，如果是這樣的話，它就把控制傳送給MBR的自舉程序。44計算機病毒概述與防治在一個已感染的MBR中，病毒感染的自舉例程會代替原來的自舉例程。在ROMBIOS引導(dǎo)程序把控制傳送給MBR自舉程序的時候，病毒就得到了控制權(quán)。一般的MBR病毒把它自己安裝為內(nèi)存駐留服務(wù)提供者，就像FBR和PBR病毒一樣。大多數(shù)MBR病毒在帶毒的自舉例程中維護(hù)原來分區(qū)表的一份準(zhǔn)確拷貝，因為DOS和許多應(yīng)用程序需要這一信息來確定計算機上可用的邏輯盤。然而有些病毒可能不會在MBR中維護(hù)一份有效的分區(qū)表。任何時候當(dāng)DOS和其他程序請求硬盤的MBR時，這種類型病毒安裝的駐留內(nèi)存的服務(wù)提供者就會隱藏感染，并且用原來有效的MBR和分區(qū)表的拷貝提供給請求的程序。45計算機病毒概述與防治一般的MBR病毒就像FBR和PBR病毒感染一樣，也需要把原來MBR的一份拷貝保存到硬盤的某個地方。以后，在計算機從已感染的硬盤引導(dǎo)并且病毒把它自己安裝為駐留的服務(wù)提供者之后，病毒就要裝入原來的MBR并把控制傳送給這個MBR的自舉例程。原來MBR的自舉例程然后能夠裝入活動分區(qū)的PBR，會進(jìn)行正常引導(dǎo)。有些病毒不會在磁盤的某個地方保存原來的MBR；在這種情況下，病毒會包含與原來的MBR相同的自舉功能。病毒完全憑自己把活動分區(qū)的PBR裝入，并把控制傳送給該PBR，完全越過了原來MBR的自舉程序。用于大多數(shù)硬盤的磁盤分區(qū)軟件(FDISK)在硬盤46計算機病毒概述與防治MBR之后會留下一個磁道的未用扇區(qū)。一般的MBR選擇其中的一個扇區(qū)存放原來的MBR，因為這些扇區(qū)在大多數(shù)系統(tǒng)中是不使用的。通常，一個種類的病毒會把原來的MBR存放在這一區(qū)域的同一位置。相應(yīng)的病毒程序總是可以從這一區(qū)域的同一個扇區(qū)存放和取得MBR。MBR病毒以與FBR和PBR病毒同樣的方式把自己安裝成一個內(nèi)存駐留的服務(wù)提供者。作為磁盤服務(wù)提供者，任何時候當(dāng)用戶或操作系統(tǒng)要訪問某個磁盤時，病毒就能夠控制計算機。在最普遍的情況下，病毒會等待對軟盤的訪問，并且在對軟盤進(jìn)行其他合法訪問時它就要感染軟盤。MBR病毒把原來的主引導(dǎo)記錄存放在硬盤第一個47計算機病毒概述與防治磁道的某個地方，因為病毒沒有檢查就假設(shè)這部分空間可以用于它自己的目標(biāo)。不幸的是，并不總是這種情況。許多不同的磁盤管理和訪問控制包都把它們自己的自舉程序和數(shù)據(jù)存放在這一區(qū)域。如果病毒盲目地把原來MBR的一份拷貝保存到這里，它就可能會覆蓋磁盤驅(qū)動器，在以后的引導(dǎo)中引起系統(tǒng)崩潰。如果用戶從一塊未感染的軟盤引導(dǎo)并且要訪問硬盤，這樣做就不可能成功。病毒無法隱藏對分區(qū)表的修改，因為它沒有駐留在內(nèi)存中。如果感染的MBR不包含相應(yīng)的分區(qū)表，DOS就會拒絕它訪問硬盤。48計算機病毒概述與防治(3)MBR病毒的例子NYB也稱為B1病毒，是一種簡單的內(nèi)存駐留的采用Stealthing技術(shù)的引導(dǎo)區(qū)記錄病毒。它不會感染文件。當(dāng)用戶從感染的軟盤引導(dǎo)時它就會感染硬盤主引導(dǎo)區(qū)記錄。當(dāng)計算機從硬盤或感染的軟盤引導(dǎo)時病毒就會駐留到內(nèi)存中。當(dāng)病毒駐留在內(nèi)存中時，它就會感染計算機訪問的任何非寫保護(hù)磁盤。NYB通過減少在BDA的TotalmemoryinKbytes域制定的系統(tǒng)內(nèi)存量在高端內(nèi)存中保留1KB的空間。感染的硬盤把原來的MBR存放在0磁道、0磁頭、17扇區(qū)。確定原來引導(dǎo)記錄存放在軟盤中的位置要使用一種復(fù)雜的算法。下面列出這種算法的結(jié)果。病毒截取BIOS磁盤系統(tǒng)服務(wù)提供者以便感染其他媒體，并且通過重定向磁盤讀取隱藏和隱蔽它自己。49計算機病毒概述與防治這種病毒不會以任何方式激活，但是它有時完成一系列隨機讀取。這種病毒能夠通過隨機讀、寫以及用原來的引導(dǎo)扇區(qū)/分區(qū)表覆蓋破壞數(shù)據(jù)。NYB病毒不像Form病毒，它不會在計算機屏幕上顯示文本信息。綜上所述，引導(dǎo)型病毒具有隱蔽性強、兼容性強等優(yōu)點，作為一個成熟的病毒程序是不容易被發(fā)現(xiàn)的，其通用于DOS、Windows95操作系統(tǒng)。但它的缺點也很多，如傳染速度慢，一定要有帶毒軟盤啟動才能傳到硬盤；殺毒容易，只需改寫引導(dǎo)區(qū)即可，如使用命令：fdisk/mbr或kv3000/k。KV3000能查出所有引導(dǎo)型病毒，主板能對引導(dǎo)區(qū)寫保護(hù)，所以現(xiàn)在單純的引導(dǎo)型病毒已經(jīng)很少了。50計算機病毒概述與防治7.3.2文件型病毒文件型病毒使用可執(zhí)行文件作為傳播的媒介。它們使用DOS中3種基本的可執(zhí)行文件格式：COM文件、EXE文件和SYS文件中的一種或多種格式作為攻擊目標(biāo)。這種基本文件病毒通過把它自己的一份拷貝附加到一種未感染的可執(zhí)行程序中，從而進(jìn)行復(fù)制。然后它修改這種新的宿主程序，以便當(dāng)程序執(zhí)行時病毒能夠首先執(zhí)行。大多數(shù)文件病毒都很容易為反病毒程序檢測和清除。首先，除了一部分例外，大多數(shù)文件病毒都在或接近可執(zhí)行文件的入口點處感染。入口點是文件中操作系統(tǒng)開始執(zhí)行程序的地方。感染入口點能夠保證當(dāng)程序執(zhí)行時病毒能夠控制計算機。51計算機病毒概述與防治不感染可執(zhí)行程序入口點的病毒不能保證獲得對計算機的控制。病毒可能把它自己插入程序的數(shù)據(jù)部分，從而到程序結(jié)束也不會執(zhí)行，這種病毒會破壞或改變宿主程序的行為。這些和其他感染程序中任意位置的問題不會吸引病毒編寫者的興趣。只有用戶或操作系統(tǒng)執(zhí)行被這種病毒感染的文件時它才能控制計算機。也就是說，只要被感染的文件不執(zhí)行，它們是無害的。它們可以被復(fù)制、查看和刪除而不會引起問題。病毒可以根據(jù)可執(zhí)行文件類型(COM、EXE或SYS)選擇程序文件的感染方法。下面描述了幾種一般程序文件感染技術(shù)。52計算機病毒概述與防治(1)COM文件的感染COM文件格式是DOS可執(zhí)行文件格式中最簡單的一種：COM文件的裝入過程也是最簡單的：DOS直接把程序讀入內(nèi)存，然后跳到程序映射中的第一條指令(第一個字節(jié))。當(dāng)進(jìn)行這個動作時，這個程序就完全控制了計算機，直到它最后終止時把控制返回給DOS。(2)前置型COM病毒文件型病毒通過在可執(zhí)行文件映射的前部指令來感染COM文件。病毒能夠保證它至少能以4種不同的方式獲得控制，因為COM文件的執(zhí)行必須從可執(zhí)行文件映射的第一個字節(jié)開始。首先一種，病毒可以把它自己插入COM文件的前部，把原來的程序53計算機病毒概述與防治移到病毒代碼的后面。整個病毒就被放到可執(zhí)行文件映射的前部，當(dāng)程序裝入時它就會首先執(zhí)行。這種感染方法稱為前置，因為病毒把它自己放到宿主COM程序的開始處，如圖7.1所示。54計算機病毒概述與防治圖7.155計算機病毒概述與防治病毒可以在COM文件的可執(zhí)行文件映射前不修改機器語言程序以便把控制傳送給病毒，這樣病毒就可以放到可執(zhí)行文件的其他地方。病毒經(jīng)常把它自己附加到被感染程序的最后，而只修改可執(zhí)行文件映射到前面的幾條指令，這樣就可以把控制傳送給病毒代碼。在病毒改變程序的前幾條指令前，它必須記錄宿主程序的原來入口指令，這樣它完成后就可以修復(fù)宿主程序。如果不保存這些指令的話，當(dāng)病毒把控制傳送給宿主程序時，PC很可能會崩潰和工作不正常，從而破壞病毒隱藏的企圖。這種感染方法稱為后置，因為病毒把它的代碼放到宿主程序的最后，如圖7.2所示。56計算機病毒概述與防治圖7.257計算機病毒概述與防治(4)覆蓋型COM病毒用于感染COM文件的第3種技術(shù)稱為覆蓋。使用這種技術(shù)編寫的病毒通常編寫得非常野蠻。它們用病毒代碼完全覆蓋宿主程序的開始部分來感染COM程序，如圖7.3所示，它們不會保存宿主程序中被覆蓋字節(jié)的拷貝。結(jié)果，病毒執(zhí)行后原來的程序不能工作。如果一個計算機被這種類型病毒感染，修復(fù)被感染文件惟一的辦法是使用感染前的備份來恢復(fù)。覆蓋型病毒感染程序文件之后，程序可能會崩潰，也可能顯示一則假的出錯信息，如沒有足夠內(nèi)存執(zhí)行程序。顯示這樣的出錯信息是為了讓用戶相信PC有內(nèi)存管理問題而不是存在病毒。58計算機病毒概述與防治(5)改進(jìn)的覆蓋型COM病毒用于感染COM程序的最后一種方法稱為改進(jìn)的覆蓋。假定病毒是V字節(jié)長，病毒會首先讀取宿主程序的前V個字節(jié)，然后把這一信息附加到宿主程序的最后。接下來病毒使用自己的V字節(jié)代碼覆蓋COM程序的前部，如圖7.4所示。在病毒完成其執(zhí)行后會修復(fù)宿主程序并使之正常執(zhí)行，因為未感染的宿主程序的信息已被保存。在這些方法中每一個都會在COM文件的入口點修改機器語言指令，以保證被感染的程序一經(jīng)裝入執(zhí)行就使病毒獲得對計算機的控制。它還意味著如果COM文件感染了病毒，病毒掃描程序只能掃描到它的有限部分(病毒掃描機制在“計算機網(wǎng)絡(luò)病毒的防范”部分詳細(xì)介紹)。59計算機病毒概述與防治圖7.360計算機病毒概述與防治圖7.461計算機病毒概述與防治(6)EXE文件的感染盡管病毒使用多種方法感染COM文件，感染EXE格式文件只有一種方法。EXE文件有一個入口點變量，它通過程序頭標(biāo)的代碼段(CS)和指令指針(IP)標(biāo)識，如圖7.5所示。在EXE感染最一般的形式中，病毒完成以下操作序列。①在宿主程序中記錄宿主程序自己的原來入口點，這樣它以后就可以正常執(zhí)行宿主程序。②把它自己的一份拷貝附加到宿主程序的最后。③在EXE文件的頭標(biāo)改變?nèi)肟邳c(使用CS和IP域)以指向病毒代碼。④在頭標(biāo)中改變其他域，包括程序的裝入映射大小域以反映病毒的存在。62計算機病毒概述與防治注意映射大小如何被增加了病毒的大小V。還要注意CS和IP域指針現(xiàn)在指向病毒而不是指向原來的程序。這種感染方法保證一旦可執(zhí)行文件映射裝入內(nèi)存并執(zhí)行，病毒就能得到控制。就像COM文件一樣，它也使得病毒的掃描更加方便。反病毒程序也可以方便地確定EXE文件的入口點，這樣就限制了掃描病毒的時間域范圍。63計算機病毒概述與防治圖7.564計算機病毒概述與防治(7)SYS文件感染SYS文件格式很獨特，它有兩個入口點：Interrupt和Strategy。當(dāng)操作系統(tǒng)在引導(dǎo)期間裝入文件時,這兩個入口點都獨立地執(zhí)行。當(dāng)用戶裝入感染的SYS文件時，病毒可以感染每一個入口點來控制計算機，如圖7.6所示。這兩個入口點都在設(shè)備驅(qū)動器文件的頭標(biāo)中標(biāo)識，因此SYS文件的感染過程類似于EXE文件的感染過程。65計算機病毒概述與防治圖7.666計算機病毒概述與防治設(shè)備驅(qū)動器感染病毒要完成以下動作序列：①選擇它要修改的程序入口點：Strategy、Interrupt或者兩者都有。②在宿主程序中記錄宿主程序自己原來的入口點。這樣，它以后就可以執(zhí)行原來的Strategy或Interrupt例程。③把它自己的一份拷貝附加到宿主程序的最后。④在SYS頭標(biāo)中改變這兩個入口點中的一個或兩個，使之指向病毒代碼。簡單一點說，當(dāng)用戶或操作系統(tǒng)執(zhí)行被感染的程序時，SYS文件感染病毒就得到了計算機的控制。在大多數(shù)情況下，病毒會修改宿主程序，以便當(dāng)程序執(zhí)行時它能立即得到控制。67計算機病毒概述與防治當(dāng)用戶執(zhí)行一個被感染的程序時，DOS會把整個程序裝入內(nèi)存，病毒也包括在內(nèi)，并且從入口點開始執(zhí)行程序。在被感染的文件中，病毒會修改入口點的位置或入口點的機器代碼以便病毒首先執(zhí)行。在病毒的機器代碼開始執(zhí)行后，它立即開始尋找并感染計算機中其他可執(zhí)行程序或者它把自己建立為操作系統(tǒng)中的內(nèi)存駐留的服務(wù)提供者。作為一個服務(wù)提供者，當(dāng)操作系統(tǒng)或其程序由于某些原因執(zhí)行、復(fù)制和訪問它們時，病毒就會感染這些可執(zhí)行文件。文件感染病毒分為直接操作和內(nèi)存駐留文件感染病毒兩種。被感染的文件已執(zhí)行，直接操作文件感染病毒就會感染目錄上或硬盤上某個地方的其他程序文件。68計算機病毒概述與防治內(nèi)存駐留文件感染病毒使用類似于引導(dǎo)感染病毒使用的方法把自己裝入計算機內(nèi)存中。首先，這個病毒要檢查它是否已經(jīng)作為系統(tǒng)服務(wù)提供者把它自己插入到內(nèi)存中了。用戶可能有許多已感染的程序，每一個程序都為病毒提供了不同的機會，使得病毒在計算機會話期間把自己裝入內(nèi)存中(引導(dǎo)記錄病毒不關(guān)心這個問題，因為它們只在系統(tǒng)引導(dǎo)期間安裝一次。病毒不會故意地多次把自己插入內(nèi)存中作為服務(wù)提供者)。如果病毒確定了計算機內(nèi)存中沒有它自己的拷貝，它就會把自己安裝為駐留的服務(wù)提供者。一旦一個已感染的程序和寫入這個程序的病毒啟動執(zhí)行，直接操作文件感染病毒就會感染其他可執(zhí)行69計算機病毒概述與防治程序。當(dāng)病毒完成感染其他可執(zhí)行程序后，它就會把控制傳送給宿主程序，并允許宿主程序執(zhí)行。除了覆蓋型病毒以外的所有病毒都是這樣，覆蓋型病毒在感染期間會破壞宿主程序。用戶可能會注意到啟動被感染的程序時會增加的磁盤活動，因為被感染的程序一啟動直接操作病毒就必須搜索磁盤找到其他要感染的程序。用戶也可能注意到程序裝入和執(zhí)行時比以前花費的時間更長了。隨著更多的文件被感染，病毒必須搜索越來越多的硬盤(或軟盤)以找到要感染的新文件。這有時可能要花幾分鐘，明顯表示出了問題。DOS提供了系統(tǒng)服務(wù)，以便系統(tǒng)且有效地遍歷硬盤上的許多項目和目錄。直接操作病毒使用與文件查找程序定位特定文本串相同的方式并利用這些服務(wù)定位要感染的新文件。70計算機病毒概述與防治有些直接操作病毒只在當(dāng)前目錄下搜索要感染的新文件，其他直接操作病毒可能要感染硬盤或DOS路徑下的每一個文件?？紤]一個簡單的直接操作病毒，它感染硬盤中當(dāng)前目錄下的文件。如果當(dāng)前目錄是C：\DOS而用戶執(zhí)行C:\DOS\FORMAT.COM程序(一分感染病毒的拷貝)來格式化軟盤，直接操作病毒立即會得到控制。直接操作病毒系統(tǒng)將檢查C:\DOS目錄下的每一個文件，為了確定目標(biāo)文件是否已被感染，它可以使用許多不同的技術(shù)進(jìn)行確定。例如，任何時候當(dāng)直接操作病毒感染了一個新程序，它就會把這個程序的日期和時間戳改為一個特定的日期和時間。當(dāng)病毒以后啟動并找到有這種日期和時間特性的程序時，它就會越過這個程序，認(rèn)為這個程序已經(jīng)被感染。71計算機病毒概述與防治使用這種技術(shù)，病毒可能會無意地跳過一些未被感染的程序，這些程序碰巧有這個特殊的日期時間設(shè)置。然而，即使程序只感染了被找到程序的10%，它仍然可以對用戶和存儲在PC中的數(shù)據(jù)構(gòu)成一種威脅。其他文件病毒會檢查它們遇到的每一個可執(zhí)行程序的內(nèi)容。病毒通過在程序中查找它自己設(shè)置的記號，來識別它是否已經(jīng)感染過該目標(biāo)程序了。同樣，病毒可能同樣會無意跳過一些未感染的程序，而它錯誤地認(rèn)為已經(jīng)感染了這個程序。另一方面，病毒不需要百分之百地感染磁盤中的程序。直接操作病毒還必須確定它所定位的當(dāng)前文件是否屬于要感染的類型。許多病毒只感染COM文件或72計算機病毒概述與防治EXE文件，但是不會兩者都感染。如果一個直接操作COM感染病毒要感染EXE程序，它很可能使這個程序崩潰。在病毒確定它已經(jīng)找到了一個類型正確的未被感染的程序之后，它就開始進(jìn)行感染。大多數(shù)感染EXE程序的病毒使用“EXE文件感染”部分描述的“后置”技術(shù)。大多數(shù)感染COM文件的病毒要么使用前置方法，要么使用后置方法。病毒感染了目標(biāo)文件之后，它就把控制傳送給宿主程序；然而，一些直接操作病毒一次感染多個程序。有時這種病毒要感染當(dāng)前目錄下或硬盤中的每個程序。73計算機病毒概述與防治直接操作病毒執(zhí)行后，它會有效地把自己從內(nèi)存中清除。因此，如果用戶在執(zhí)行完感染的程序后再執(zhí)行任何未感染的程序，這些程序不會被感染。內(nèi)存駐留文件病毒的工作方式類似于相應(yīng)的引導(dǎo)記錄病毒。當(dāng)一個被感染的程序啟動時，病毒會把它自己安裝成操作系統(tǒng)中的內(nèi)存駐留服務(wù)提供者。從這時開始，任何時候當(dāng)DOS或其他程序要讀、寫、執(zhí)行或訪問一個程序時，病毒就會控制計算機。然后，當(dāng)用戶引用程序文件時病毒就會感染它們。例如，每次用戶執(zhí)行一個程序時，就會向DOS發(fā)出一個系統(tǒng)服務(wù)請求，要求把程序裝入內(nèi)存執(zhí)行。如果病毒者實時內(nèi)存駐留的，它就會在這個DOS請求時得到控制。在病毒了解了服務(wù)請求后，它就會感染這個程序，并把原來的請求傳遞給DOS。然后DOS就會正常運行這個(新感染)程序。74計算機病毒概述與防治駐留文件病毒使用與直接操作病毒同樣的技術(shù)確定目標(biāo)文件是否已經(jīng)感染。如果任何一個程序向病毒發(fā)出一個DOS服務(wù)請求，那么用戶以任何方式執(zhí)行或引用的這個程序都會被感染。然而，大多數(shù)駐留文件病毒只有在程序執(zhí)行時才會感染它。當(dāng)文件打開時，感染它的內(nèi)存駐留文件病毒稱為快速感染病毒。任何時候當(dāng)一個文件被復(fù)制或訪問時，病毒都會去感染它?？紤]一下如果一個用戶使用標(biāo)準(zhǔn)的DOS反病毒掃描程序掃描硬盤中的文件時會發(fā)生什么？要掃描一種已知的病毒，反病毒掃描程序必須在計算機上打開每一個可執(zhí)行程序并檢查其內(nèi)容。每次當(dāng)反病毒程序打開一個新的程序文件時，它就會發(fā)出一個DOS“Openfile(打開文件)”服務(wù)請75計算機病毒概述與防治求，這就會觸發(fā)病毒，并感染就要被掃描的程序。掃描帶有病毒駐留的驅(qū)動器會無意感染計算機中的每一個可執(zhí)行文件。由于這個原因，內(nèi)存掃描技術(shù)是完全的反病毒解決方案中最為關(guān)鍵的部分。7.3.3混合型病毒所謂混合型病毒，即既能感染引導(dǎo)區(qū)，也能感染文件的病毒。但并非將文件型病毒和引導(dǎo)型病毒簡單的疊加在一起，其中有一個轉(zhuǎn)換過程，這是最關(guān)鍵的。一般采取以下方法：在文件中的病毒執(zhí)行時將病毒插入引導(dǎo)區(qū)，這是很容易理解的。染毒硬盤啟動時，用引導(dǎo)型病毒的方法駐留內(nèi)存，聳DOS并未加載，無法修改INT21中斷，也就無法感染文件，76計算機病毒概述與防治可以用這樣的辦法，修改INT8中斷，保存INT21中斷目前的地址，用INT8中斷服務(wù)程序監(jiān)測INT21中斷的地址是否改變，若改變則說明DOS已加載，則可修改INT21中斷指向病毒感染段。以上是混合型病毒關(guān)鍵之處。7.3.4Internet病毒有關(guān)病毒和計算機網(wǎng)絡(luò)的好消息是網(wǎng)絡(luò)可以成為計算機病毒半滲透的障礙。一些最普遍的工作站病毒完全無法通過任何類型的網(wǎng)絡(luò)！然而，不同的網(wǎng)絡(luò)類型會受到不同類型病毒的感染。在Internet上的文件病毒可以毫無困難地發(fā)送。然而可執(zhí)行文件病毒卻不能通過Internet在遠(yuǎn)程站點感染文件。由于連接到Internet上的一臺計算機不77計算機病毒概述與防治能在另一臺連接到Internet的計算機上完成扇區(qū)級操作，所以引導(dǎo)型的病毒無法通過Internet傳播。另外，被宏病毒感染的文檔可以很容易地通過Internet以幾種不同的方式發(fā)送，如電子郵件、FTP或Web瀏覽器。宏病毒也像文件病毒一樣，無法通過Internet感染遠(yuǎn)程站點上的文件。Internet只能作為被感染的數(shù)據(jù)文件載體。78計算機病毒概述與防治7.4計算機網(wǎng)絡(luò)病毒的發(fā)展自80年代以來，微型計算機已在我國社會生活的各方面獲得了廣泛的普及與應(yīng)用。微型計算機已成為教學(xué)和科研工作中不可缺少的重要工具。但是，從1988年以來，計算機病毒也開始在我國出現(xiàn)并迅速泛濫，這對數(shù)據(jù)的安全造成了極大地威脅，也妨礙了機器的正常運行。到了90年代，隨著我國各類計算機網(wǎng)絡(luò)的逐步建立與普及應(yīng)用，如何防止病毒侵入網(wǎng)絡(luò)以及如何保證網(wǎng)絡(luò)的安全運行已成為人們面臨的一個重要而緊迫的問題，計算機網(wǎng)絡(luò)的防病毒與反病毒技術(shù)已成為計算機操作人員與網(wǎng)絡(luò)工作人員必須了解與掌握的一項技術(shù)。入侵計算機網(wǎng)絡(luò)的病毒類形式多樣的，既有單用戶79計算機病毒概述與防治微型機上常見的某些計算機病毒，如感染磁盤系統(tǒng)區(qū)的引導(dǎo)型病毒和感染可執(zhí)行文件的文件型病毒，也有專門攻擊計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒，如特洛伊木馬病毒及蠕蟲病毒。在現(xiàn)階段，由于計算機網(wǎng)絡(luò)系統(tǒng)的各個組成部分、接口以及各連接層次的相互轉(zhuǎn)換環(huán)節(jié)都不同程度的存在著某些漏洞和薄弱環(huán)節(jié)，而網(wǎng)絡(luò)軟件方面的保護(hù)機制，通過感染網(wǎng)絡(luò)服務(wù)器，進(jìn)而在網(wǎng)絡(luò)上快速蔓延，并影響到各網(wǎng)絡(luò)用戶的數(shù)據(jù)安全以及機器的正常運行。所以計算機網(wǎng)絡(luò)一旦染上病毒，其影響要遠(yuǎn)比單機染毒更大，破壞性也更大，計算機網(wǎng)絡(luò)必須要具備防范網(wǎng)絡(luò)病毒破壞的功能。對于基于DOS的計算機病毒，網(wǎng)絡(luò)可以分為以下3種類型：80計算機病毒概述與防治(1)基于文件服務(wù)器的局域網(wǎng)，用戶可以把數(shù)據(jù)存儲到一個或多個中央文件服務(wù)器，也可以從中取得數(shù)據(jù)。(2)端到端網(wǎng)絡(luò)，這里每一臺工作站都可以既作為服務(wù)器又作為客戶機。在Windows95中默認(rèn)情況下可以使用這種網(wǎng)絡(luò)模型。(3)對于信息高速公路網(wǎng)絡(luò)(意即Internet)，數(shù)據(jù)從網(wǎng)絡(luò)中流過，但是不存放在網(wǎng)絡(luò)中，網(wǎng)絡(luò)的主要作用是作為數(shù)據(jù)導(dǎo)管。傳統(tǒng)型病毒的一個特點就是一定有一個“寄主”程序，病毒就隱藏在這些程序里。最常見的就是一些可執(zhí)行文件，像擴展名為.exe及.com的文件。但是，由于微軟的Word愈來愈流行，且Word所提供的宏命81計算機病毒概述與防治

令功能又很強，使用Word宏命令寫出來的病毒也愈來愈多，于是就出現(xiàn)了以.doc文件為“寄主”的宏病毒。另外，不需要寄主的病毒也出現(xiàn)了，它們就寄生在Internet上。如果Internet上的網(wǎng)頁只是單純用HTML寫成的話，那么要傳播病毒的機會可以說是非常小的。但是，為了讓網(wǎng)頁看起來更生動、更漂亮，許多語言也紛紛出籠，其中最有名的就數(shù)Java和ActiveX了。從而，它們就成為新一代病毒的溫床。Java和ActiveX的執(zhí)行方式，是把程序碼寫在網(wǎng)頁上。當(dāng)與這個網(wǎng)站連接時，瀏覽器就把這些程序碼讀下來，然后用使用者自己系統(tǒng)里的資源去執(zhí)行它。這樣，使用者就會在神不知鬼不覺的狀態(tài)下，執(zhí)行了一些來路不明的程序。82計算機病毒概述與防治對于傳統(tǒng)病毒來講，病毒是寄生在“可執(zhí)行的”程序代碼中的。新的病毒的機理告訴我們，病毒本身是能執(zhí)行的一段代碼，但它們可以寄生在非系統(tǒng)可執(zhí)行文檔里。只是這些文檔被一些應(yīng)用軟件所執(zhí)行。在德國漢堡一個名為ChaosComputer的俱樂部，其中某俱樂部成員完成了一種新型態(tài)的病毒——這種病毒可以找出Internet用戶的私人銀行資料，還可以進(jìn)入銀行系統(tǒng)將資金轉(zhuǎn)出，不需要個人身份證明，也不需要轉(zhuǎn)賬密碼。當(dāng)使用者在瀏覽全球網(wǎng)站時，這個病毒會自動經(jīng)由ActiveX控制載入。ActiveX控制可搜尋使用者計算機的硬盤，來尋找IntuitQuicken這個已有全球超過九百萬使用者的知名個人理財軟件。一旦發(fā)現(xiàn)Quicken的檔案，這個病毒就會下轉(zhuǎn)賬指令。83計算機病毒概述與防治7.5計算機網(wǎng)絡(luò)病毒的檢測、清除與防范7.5.1計算機網(wǎng)絡(luò)病毒的檢測當(dāng)一臺計算機染上病毒之后，會有許多明顯或不明顯的特征。例如，文件的長度和日期忽然改變，系統(tǒng)執(zhí)行速度下降或出現(xiàn)一些奇怪的信息或無故死機或更為嚴(yán)重的是硬盤已經(jīng)被格式化了。常用的防毒軟件是如何去發(fā)現(xiàn)它們的呢？就是利用所謂的病毒碼(viruspattern)。病毒碼其實可以想象成是犯人的指紋，當(dāng)防毒軟件公司收集到一個新的病毒時，就會從這個病毒程序中，截取一小段獨一無二足以表示這個病毒的二進(jìn)制程序碼(binarycode)，來當(dāng)做掃毒程序辨認(rèn)此病毒的依據(jù),而這段獨一無二的二進(jìn)制程序碼就是所謂的病毒碼。84計算機病毒概述與防治在電腦中所有可以執(zhí)行的程序(如*.EXE,*.COM)幾乎都是由二進(jìn)制程序碼所組成的,也就是電腦的最基本語言——機器碼。就連宏病毒在內(nèi)，雖然它只是包含在Word文件中的宏命令集中，可是，它也是以二進(jìn)制代碼的方式存在于Word文件中。反病毒軟件常用以下6種技術(shù)來查找病毒。(1)病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析后，根據(jù)其特征，編成病毒碼，加入資料庫中。以后每當(dāng)執(zhí)行掃毒程序時，便能立刻掃描目標(biāo)文件，并作病毒碼比對，即能偵測到是否有病毒。病毒碼掃描法又快又有效率(例如趨勢科技的PCcillin及ServerProtect，利用深層掃描技術(shù)，在即時掃描各個或大或小的文件85計算機病毒概述與防治時，平均只需1/20s的時間)，大多數(shù)防毒軟件均采用這種方式，但其缺點是無法偵測到未知的新病毒及以變種病毒。(2)加總比對法(check-sum)根據(jù)每個程序的文件名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個資料庫中，再利用此Checksum系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術(shù)可偵測到各式的病毒，但最大的缺點就是誤判較高，且無法確認(rèn)是哪種病毒感染的。(3)人工智能陷阱人工智能陷阱是一種監(jiān)測電腦行為的常駐式掃描技86計算機病毒概述與防治術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用。這種技術(shù)的優(yōu)點是執(zhí)行速度快、手續(xù)簡便，且可以偵測到各式病毒；其缺點就是程序設(shè)計難，且不容易考慮周全。不過在這千變?nèi)f化的病毒世界中，人工智能陷阱掃描技術(shù)是一個至少具有保全功能的新觀點。(4)軟件模擬掃描法軟件模擬掃描技術(shù)專門用來對付千面人病毒(polymorphic/mutationvirus)。千面人病毒在每次傳染時，都以不同的隨機亂數(shù)加密于每個中毒的文件中，傳統(tǒng)病毒碼比對的方式根本就無法找到這種病毒。軟件模擬技術(shù)則是成功地模擬CPU執(zhí)行，在87計算機病毒概述與防治其設(shè)計的DOS虛擬機器(virtualmachine)下假執(zhí)行病毒的變體引擎解碼程序，安全并確實地將多型體病毒解開，使其顯露原本的面目，再加以掃描。(5)VICE(virusinstructioncodeemulation)——先知掃描法VICE先知掃描技術(shù)是繼軟件模擬后的一大技術(shù)上突破。既然軟件模擬可以建立一個保護(hù)模式下的DOS虛擬機器，模擬CPU動作并假執(zhí)行程序以解開變體引擎病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序檢查可疑的病毒碼。因此,VICE將工程師用來判斷程序是否有病毒碼存在的方法，分析歸納成專家系統(tǒng)知識庫，再利用軟件工程模擬技術(shù)(softwareemulation)假執(zhí)行新的病毒，則可分析出新的病毒碼以對付以后的病毒。88計算機病毒概述與防治(6)實時I/O掃描(realtimeI/Oscan)RealtimeI/OScan的目的在于即時地對數(shù)據(jù)的輸入/輸出動作做病毒碼比對的動作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來。理論上，這樣的實時掃描技術(shù)會影響到數(shù)據(jù)的輸入輸出速度。但是使用實時掃描技術(shù)，文件傳送進(jìn)來之后，就等于掃過一次毒了。7.5.2計算機網(wǎng)絡(luò)病毒的防范防范網(wǎng)絡(luò)病毒的過程實際上就是技術(shù)對抗的過程，反病毒技術(shù)相應(yīng)也得適應(yīng)病毒繁衍和傳播方式的發(fā)展而不斷調(diào)整。網(wǎng)絡(luò)防病毒應(yīng)該利用網(wǎng)絡(luò)的優(yōu)勢，使網(wǎng)絡(luò)防病毒逐漸成為網(wǎng)絡(luò)安全體系的一部分；重89計算機病毒概述與防治在防，從防病毒、防黑客和災(zāi)難恢復(fù)等幾個方面綜合考慮,形成一整套安全機制,才可最有效地保障整個網(wǎng)絡(luò)的安全。今天的網(wǎng)絡(luò)防病毒解決方案主要從下列幾個方面著手進(jìn)行病毒防治。(1)以網(wǎng)為本，防重于治。防治病毒應(yīng)該從網(wǎng)絡(luò)整體考慮，從方便減少管理人員的工作著手，透過網(wǎng)絡(luò)管理PC機。例如，利用網(wǎng)絡(luò)喚醒功能，在夜間對全網(wǎng)的PC機進(jìn)行掃描，檢查病毒情況；利用在線報警功能，當(dāng)網(wǎng)絡(luò)上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡(luò)管理人員都會知道，從而從管理中心處予以解決。90計算機病毒概述與防治(2)與網(wǎng)絡(luò)管理集成。網(wǎng)絡(luò)防病毒最大的優(yōu)勢在于網(wǎng)絡(luò)的管理功能，如果沒有把網(wǎng)絡(luò)管理加上，很難完成網(wǎng)絡(luò)防毒的任務(wù)。管理與防范相結(jié)合，才能保證系統(tǒng)的良好運行。管理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從Hub、交換機、服務(wù)器到PC，軟盤的存取、局域網(wǎng)上的信息互通及與Internet的接駁等。(3)安全體系的一部分。計算機網(wǎng)絡(luò)的安全威脅主要來自計算機病毒、黑客攻擊和拒絕服務(wù)攻擊等3個方面，因而計算機的安全體系也應(yīng)從這幾個方面綜合考慮，形成一整套的安全機制。防病毒軟件、防火墻產(chǎn)品、可調(diào)整參數(shù)、能夠相互通信，形成一整套的解決方案。才是最有效的網(wǎng)絡(luò)安全手段。91計算機病毒概述與防治(4)多層防御。多層防御體系將病毒檢測、多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來，提供了全面的病毒防護(hù)功能，從而保證了“治療”病毒的效果。病毒檢測一直是病毒防護(hù)的支柱，多層次防御軟件使用了3層保護(hù)功能：實時掃描、完整性保護(hù)、完整性檢驗。后臺實時掃描驅(qū)動器能對未知的病毒包括異形病毒和秘密病毒進(jìn)行連續(xù)的檢測。它能對E-mail附加部分，下載的Internet文件(包括壓縮文件)軟盤及正在打開的文件進(jìn)行實時的掃描檢驗。掃描驅(qū)動器能阻止已被感染過的文件拷貝到服務(wù)器或工作站上。完整性保護(hù)可阻止病毒從一個受感染的工作站擴散到服務(wù)器。完整性保護(hù)不只是病毒檢測，實際上它92計算機病毒概述與防治能制止病毒以可執(zhí)行文件的方式感染和傳播。完整性保護(hù)還可防止與未知病毒感染有關(guān)的文件崩潰和根除。完整性檢驗使系統(tǒng)無需冗余的掃描并且能提高實時檢驗的性能。集中式管理是網(wǎng)絡(luò)病毒防護(hù)最可靠、最經(jīng)濟的方法。多層次防御病毒軟件把病毒檢測、多層數(shù)據(jù)保護(hù)和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負(fù)擔(dān)，而且提供了全面的病毒防護(hù)功能。(5)在網(wǎng)關(guān)、服務(wù)器上防御。大量的病毒針對網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因而要在93計算機病毒概述與防治網(wǎng)關(guān)上設(shè)防，網(wǎng)絡(luò)前端實時殺毒。防范手段應(yīng)集中在網(wǎng)絡(luò)整體上，在個人計算機的硬件和軟件、LAN服務(wù)器、服務(wù)器上的網(wǎng)關(guān)、Internet及Intranet的WebSite上，層層設(shè)防，對每種病毒都實行隔離、過濾。7.5.3病毒防治新產(chǎn)品病毒的發(fā)展促進(jìn)了反病毒技術(shù)的發(fā)展，反病毒產(chǎn)品也得到了相應(yīng)的發(fā)展，涌現(xiàn)出了許多既適合單機，也適合于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒的新產(chǎn)品。例如，防火墻技術(shù)與病毒防治技術(shù)的結(jié)合，就是一個新型的有效的抗網(wǎng)絡(luò)病毒方案。下面介紹一些現(xiàn)有的防病毒新產(chǎn)品：94計算機病毒概述與防治(1)KILL98:冠群金辰公司產(chǎn)品最大特色是采用CA獨有的主動內(nèi)核技術(shù)(ActiveK)的反病毒技術(shù)，直接在操作系統(tǒng)內(nèi)核中加入反病毒功能。不僅可以在病毒入侵的瞬間做出反應(yīng)，還可將企圖入侵系統(tǒng)的病毒攔截在系統(tǒng)之外并清除，給用戶帶來了很大的主動性。KILL98能夠集中修改、更新、管理活動日志報告。這種支持NetWare目錄服務(wù)(NDS)集成的功能，大大簡化了保護(hù)網(wǎng)絡(luò)免受病毒困擾的工作。此外，它還具備實時病毒檢測、壓縮文件自動掃描、關(guān)鍵磁盤保護(hù)、災(zāi)難恢復(fù)等多項功能。最新版本的KILL能夠探測到所有流行病毒并有效保護(hù)計算機及網(wǎng)絡(luò)免受潛在病毒的攻擊，并避免引95計算機病毒概述與防治發(fā)巨大的經(jīng)濟損失。KILL的核心由完備而卓有成效的病毒掃描引擎構(gòu)成，其獨特之處包括：實時修復(fù)、統(tǒng)一管理、防火墻、病毒隔離、無人值守自動升級病毒特征庫、廣泛的預(yù)警選項與群件防護(hù)等。KILL總是在獨立實驗室的對比測試中勝出對手，一系列的測試表明KILL能夠提供有效的主動防護(hù)，可有效避免各種類型病毒的攻擊。(2)McAfeeTVD：網(wǎng)絡(luò)聯(lián)盟公司(NAI)產(chǎn)品NAI提供了3套解決方案：VSS是一個高級桌面反病毒解決方案，可殺滅1500種病毒，其WebScanX功能可以防止用戶在Internet下載時，一些惡意Java和ActiveX小程序?qū)ε_式機造成的破壞；NSS可以提供對企業(yè)基于WindowsNT、96計算機病毒概述與防治Netware、UNIX的文件服務(wù)器與應(yīng)用程序服務(wù)器以及Exchange與LotusNotes群件服務(wù)器，HTTP/FTP代理服務(wù)器的病毒保護(hù)。(3)NortonAntiVirus：Symantec公司產(chǎn)品它的最大特點是智能化，其防毒體系由桌面、服務(wù)器、Internet網(wǎng)關(guān)以及病毒防火墻構(gòu)成，能殺滅15600多種病毒。在WindowsNT環(huán)境下，如果不激活最新的防病毒軟件，它不允許任何工作站訪問網(wǎng)絡(luò)，并能夠自動把最新版本的病毒定義無縫的分布到網(wǎng)絡(luò)中的每一臺設(shè)備上。而當(dāng)網(wǎng)絡(luò)中任何一臺工作站或服務(wù)器發(fā)現(xiàn)病毒時，它都會自動通知網(wǎng)絡(luò)管理員。此外它還可防范電子郵件及其附件病毒。97計算機病毒概述與防治(4)LANDeskVirusProtect:Intel公司產(chǎn)品最大特色是運用多層次防病毒技術(shù)并能集中管理反病毒解決方案，能在Netware、WindowsNT兩種網(wǎng)絡(luò)的客戶機和服務(wù)器上監(jiān)測和防止數(shù)據(jù)丟失。在操作系統(tǒng)變遷期間或是存在多個NOS的網(wǎng)絡(luò)域上，客戶不需要購買新的或額外的病毒防護(hù)產(chǎn)品。(5)瑞星殺毒毒軟件9.0版：瑞星公司產(chǎn)品最大特色是單機版與網(wǎng)絡(luò)版合二為一，極好地解決了殺毒軟件既可在單機上使用，又能適應(yīng)網(wǎng)絡(luò)化需要的技術(shù)難題。(6)KasperskyAntiVirus(AVP)：Kasperskylab公司產(chǎn)品這是Kasperskylab公司針對Linux操作系統(tǒng)而開發(fā)98計算機病毒概述與防治的KasperskyAntiVirus(AVP)的新版本。其最新版本所具有的獨特功能使程序簡單易操作，而且它是全球首個將防病毒程序與E-mail網(wǎng)關(guān)Sendmail和Qmail整合為一體的防病毒解決方案。這個新版本分為工作站版和服務(wù)器版兩款產(chǎn)品。這個新版本還提供了為E-mail網(wǎng)關(guān)程序Sendmail和Qmail建立集成式病毒防火墻的能力。它可持續(xù)的對往來的E-mail進(jìn)行過濾并能夠迅速的擊退那些企圖通過E-mail進(jìn)行惡意攻擊的程序。上述產(chǎn)品各有特色，幾種綜合起來使用可以優(yōu)勢互補，產(chǎn)生最強的防御效果。99計算機病毒概述與防治7.6網(wǎng)絡(luò)病毒實例7.6.1CIH病毒機制及防護(hù)CIH病毒屬文件型病毒，其別名有Win95.CIH，Spacefiller，Win32.CIH，PE_CIH，它主要感染W(wǎng)indows95/98下的可執(zhí)行文件(PE格式，PortableExecutableFormat)，目前的版本不感染DOS以及Windows3.X(NE格式，WindowsandOS/2，Windows3.1ExecuteFileFormat)下的可執(zhí)行文件，并且在WindowsNT中無效。其發(fā)展過程經(jīng)歷了v1.0，v1.1，v1.2，v1.3，v1.4總共5個版本，目前最流行的是v1.2版本。1.CIH病毒分析CIH病毒是迄今為止發(fā)現(xiàn)的最陰險的病毒之一。它100計算機病毒概述與防治發(fā)作時不僅破壞硬盤的引導(dǎo)區(qū)和分區(qū)表，而且破壞計算機系統(tǒng)FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。CIH病毒是發(fā)現(xiàn)的首例直接破壞計算機系統(tǒng)硬件的病毒。該病毒的特點是只感染32位的Windows95/98可執(zhí)行文件，對于DOS下Windows3.x以及NT下的文件不影響。因為CIH病毒使用的是VXD技術(shù)，而且被CIH病毒感染了的文件長度不會改變，所以很難發(fā)現(xiàn)。當(dāng)一個感染在內(nèi)存中發(fā)現(xiàn)有新的可執(zhí)行文件在運