20年重要計(jì)算機(jī)病毒

一、20年重要計(jì)算機(jī)病毒

1988年，當(dāng)中國(guó)計(jì)算機(jī)反病毒第一人王江民看到自己編寫(xiě)工控軟

件的計(jì)算機(jī)上有一個(gè)小球狀的圖標(biāo)在跳來(lái)跳去的時(shí)候,并沒(méi)有意識(shí)到

這個(gè)小小的東西會(huì)給計(jì)算機(jī)帶來(lái)多大的麻煩。憑著過(guò)硬的匯編功底，

王江民很輕松地就把這個(gè)現(xiàn)在看來(lái)是中國(guó)出現(xiàn)的第一個(gè)病毒“小球”

手工清除了，并把清除病毒的殺毒程序命名為KV1,這就是中國(guó)最早

的計(jì)算機(jī)殺毒軟件雛形。20年后的今天，計(jì)算機(jī)病毒已經(jīng)超過(guò)100

萬(wàn)種，電腦和操作系統(tǒng)也已經(jīng)更新升級(jí)了一代又一代，而每一個(gè)階段,

總會(huì)有一些令人印象十分深刻的病毒，病毒在給計(jì)算機(jī)用戶帶來(lái)了許

許多多麻煩，上演著一幕幕虛擬世界的《罪與罰》。

（一）惡作劇時(shí)代。

從1988年出現(xiàn)“小球”病毒起至1992年之前，大部分病毒都是

惡作劇式的DOS病毒。他們?cè)陔娔X用戶的屏幕上用各種各樣五花八門(mén)

的花樣展現(xiàn)著自己，“小球”病毒在電腦屏幕上跳來(lái)跳去，“貪吃蛇”

則會(huì)吃掉所經(jīng)過(guò)屏幕上的字符，有的會(huì)放出繽紛的禮花，干擾用戶的

電腦操作，但并不對(duì)系統(tǒng)造成破壞。其它的還有“米開(kāi)朗基羅”“黑

色星期五”“Stoned（石頭）”病毒等等，這些病毒都通過(guò)感染硬盤(pán)或

軟盤(pán)引導(dǎo)區(qū)，感染.COM和.EXE文件。這類病毒修改了部分中斷向量

表,被感染的文件明顯的增加了字節(jié)數(shù)，并且病毒代碼主體沒(méi)有加密,

也容易被查出和解除。略有對(duì)抗反病毒手段的只有YankeeDoole

病毒，當(dāng)它發(fā)現(xiàn)你用DEBUG工具跟蹤它的話，它會(huì)自動(dòng)從文件中逃

走。

接著，又一些能對(duì)自身進(jìn)行簡(jiǎn)單加密的病毒相繼出現(xiàn)。它們加

密的目的主要是防止跟蹤或掩蓋有關(guān)特征等。后來(lái)還有一些對(duì)抗反病

毒技術(shù)和隱藏自己的病毒出現(xiàn)，1992年以后，一些病毒開(kāi)始破壞系

統(tǒng)引導(dǎo)區(qū)，但由于那時(shí)候電腦主要是在高校和科研機(jī)關(guān)應(yīng)用，普通家

庭根本沒(méi)有機(jī)會(huì)接觸到電腦，只有少數(shù)一些電腦使用者在關(guān)注它們，

病毒與電腦使用者之間就象是玩一場(chǎng)游戲，在殺與被殺之間斗智斗

勇，這是一場(chǎng)只有少數(shù)人才有資格參與的游戲。

(二)“快樂(lè)時(shí)光”不快樂(lè)。

1995年開(kāi)始，WINDOWS視窗的推出和INTERNET的應(yīng)用帶來(lái)了病

毒的繁榮。WINDOWS和INTERNET給人們帶來(lái)了“歡樂(lè)時(shí)光”，與此

同時(shí)，一種“歡樂(lè)時(shí)光(happytime)”病毒也在悄然來(lái)襲。“快樂(lè)

時(shí)光”能夠通過(guò)電子郵件迅速傳播，發(fā)送大量的帶毒郵件，而且電腦

用戶只要將鼠標(biāo)光標(biāo)點(diǎn)到這封郵件上，病毒就會(huì)被觸發(fā)，向電腦中所

有的聯(lián)系人發(fā)送同樣的帶毒郵件。

快樂(lè)時(shí)光使用了微軟并利用OutlookExpress一個(gè)漏洞，該漏洞

可以在你沒(méi)有點(diǎn)擊運(yùn)行附件時(shí)就將附件運(yùn)行?？鞓?lè)時(shí)光能夠感染VBS、

html和腳本文件，成為互聯(lián)網(wǎng)上長(zhǎng)期的禍害，后來(lái)快樂(lè)時(shí)光又發(fā)展

成為新快樂(lè)時(shí)光并出現(xiàn)了很多變種，在系統(tǒng)日期月和日加起來(lái)等于

13的那天發(fā)作。一直到2005年才開(kāi)始退出流行病毒行列。

那時(shí)候，很多電腦用戶都不裝殺毒軟件，在電腦感到運(yùn)行緩慢的

時(shí)候，往往會(huì)找來(lái)江民KV3000等殺毒軟件臨時(shí)殺毒，結(jié)果一殺就能

殺出數(shù)千上萬(wàn)個(gè)病毒出來(lái)，因?yàn)榭鞓?lè)時(shí)光是感染型病毒，電腦中有多

少腳本和網(wǎng)頁(yè)文件，病毒就能感染多少，所以出現(xiàn)了殺出一萬(wàn)多個(gè)病

毒的奇觀。

（三）CIH中國(guó)信息大劫難。

1998年2月，陳盈豪編寫(xiě)出了破壞性極大的Windows惡性病毒

CIH-1.2版，并定于每年的4月26日發(fā)作破壞，然后，悄悄的潛伏

在網(wǎng)上的一些供人下載的軟件中。

一個(gè)月后，也就是到了1998年8月26日，CIH-1.4病毒首先跳

出來(lái)發(fā)作，我國(guó)部分地區(qū)遭到襲擊，但損害面積不大。事后，為了避

免更大災(zāi)害，我國(guó)政府職能部門(mén)公安部發(fā)出了通緝?nèi)NCIH病毒的通

告?？墒?，使用正版殺毒軟件的意識(shí)不被一些用戶重視，又不經(jīng)常保

持升級(jí)殺毒軟件，CIH-1.2病毒又經(jīng)過(guò)一年的傳播，已傳遍全世界，

世界性的巨大殺機(jī)潛伏下來(lái)了，一場(chǎng)人類史無(wú)前例的信息大劫難即將

暴發(fā)。

1999年4月26日，一個(gè)計(jì)算機(jī)行業(yè)難以忘卻的日子，也就是到

了CIH-1.2病毒第二年的發(fā)作日，人們起早一上班便輕松的打開(kāi)計(jì)算

機(jī)準(zhǔn)備工作，可是，打開(kāi)一臺(tái)計(jì)算機(jī)后，只看到屏幕一閃便就黑暗一

片。再打開(kāi)另外幾臺(tái)，也同樣一閃后就再也啟動(dòng)不起來(lái)了.?.，計(jì)算

機(jī)史上，病毒造成的又一次巨大的浩劫發(fā)生了。第二天早上，上門(mén)請(qǐng)

求恢復(fù)硬盤(pán)數(shù)據(jù)的用戶從江民公司的樓上一直排到了公司門(mén)前的馬

路上，江民公司全體員工連夜免費(fèi)為用戶修復(fù)電腦硬盤(pán)數(shù)據(jù)，整整忙

了一個(gè)星期這種情況才有所緩解。

談到造成那次計(jì)算機(jī)浩劫的主要原因，江民反病毒專家嚴(yán)紹文分

析說(shuō)，主要原因是人們沒(méi)有起碼的防范意識(shí)。早在98年KV300+就可

以清除CIH病毒，但那時(shí)許多人掉以輕心，沒(méi)有及時(shí)定期地對(duì)計(jì)算機(jī)

進(jìn)行病毒掃描，還有一部分用戶沒(méi)有升級(jí)，加上那時(shí)殺毒軟件盜版成

風(fēng)，種種原因聚集在一起，導(dǎo)致了99年CIH的大規(guī)模爆發(fā)。

對(duì)于CIH病毒，江民反病毒中心每年都會(huì)病毒發(fā)作情況監(jiān)控，

2006年以后，隨著使用以DOS為內(nèi)核的WIN98和WINME操作系統(tǒng)的

人越來(lái)越少，CIH已經(jīng)失去了發(fā)作的系統(tǒng)平臺(tái)，江民反病毒中心連續(xù)

幾年對(duì)CIH病毒發(fā)作情況進(jìn)行了監(jiān)測(cè)，數(shù)據(jù)表明CIH已經(jīng)開(kāi)始退出病

毒舞臺(tái)。

（四）“梅麗莎”美麗殺手。

1999年在西方國(guó)家大爆發(fā)的melissa又稱為“梅麗莎”或者美

麗殺手，是一種word97宏病毒，專門(mén)針對(duì)微軟的電子郵件服務(wù)器ms

exchange和電子郵件收發(fā)系統(tǒng)outlook0該病毒利用outlook全域地

址表來(lái)獲取信箱地址信息，并自動(dòng)給表中前50個(gè)信箱發(fā)送電子郵件,

并在其后附加一個(gè)被感染的文件list.doc,內(nèi)含大量的色情網(wǎng)址。該

病毒會(huì)在每臺(tái)被感染的電腦上重復(fù)這樣的動(dòng)作，在短時(shí)間內(nèi)形成連鎖

反應(yīng)，產(chǎn)生大量的電子郵件垃圾，造成郵件服務(wù)器嚴(yán)重阻塞以至最后

癱瘓。用戶可以手工在注冊(cè)表中添加類似病毒感染的表項(xiàng)，避免病毒

的傳染，或者在發(fā)送電子郵件時(shí)不要啟動(dòng)word文字處理系統(tǒng)?！懊?/p>

麗莎”當(dāng)年造成了超過(guò)8000萬(wàn)美元的經(jīng)濟(jì)損失。

（五）“求職信”不死毒王。

求職信病毒（wantjob）始現(xiàn)于2001年8月，因?yàn)椴《局袔в刑?/p>

征字句"Iwantagoodjob,Imustsupportmyparents.（我必須

找到一分工作來(lái)供養(yǎng)我的父母）"，因此被稱之為“求職信”病毒。

“家庭”中的幾位“重要”的成員，分別是：Worm.WantJob.61440.

Worm.WantJob.73744,Worm.WantJob.81936.Win32.Foroux.A

這是一個(gè)高危險(xiǎn)性的惡性郵件病毒，因?yàn)椴《局袔в刑卣髯志洹癐

wantagoodjob,Imustsupportmyparents.（我必須找至“一分工

作來(lái)供養(yǎng)我的父母）"，因此被稱之為“求職信”病毒。它與Nimda

病毒同樣利用了IframeExecCommand漏洞,使沒(méi)有打IE補(bǔ)丁的用戶

收到郵件后會(huì)自動(dòng)運(yùn)行，具有非常強(qiáng)的傳播性。

“求職信”不僅具有尼姆達(dá)病毒自動(dòng)發(fā)信、自動(dòng)執(zhí)行、感染局域

網(wǎng)等破壞功能，而且在感染計(jì)算機(jī)后還不停的查詢內(nèi)存中的進(jìn)程、檢

查是否有一些殺毒軟件存在。如果存在則將該殺毒軟件的進(jìn)程終止。

每隔0.1秒就循環(huán)檢查進(jìn)程一次，以至于這些殺毒軟件無(wú)法運(yùn)行。該

病毒每過(guò)8小時(shí)就搜尋一切可寫(xiě)的網(wǎng)絡(luò)資源（如局域網(wǎng)的完全共享目

錄），隨機(jī)產(chǎn)生一個(gè)文件名，加密后把復(fù)制過(guò)去。因此感染性極強(qiáng)。

主要特點(diǎn)是通過(guò)電子郵件系統(tǒng)進(jìn)行傳播，感染電腦之后能主動(dòng)關(guān)閉許

多殺毒軟件的運(yùn)行，正是這一個(gè)特點(diǎn)使得它的傳播速度明顯快于其他

病毒，其次它還能感染通過(guò)在局域網(wǎng)與電腦相連接的共享驅(qū)動(dòng)器。

求職信病毒如果感染的是WindowsNT/2000系統(tǒng)的計(jì)算機(jī)，即把

自己注冊(cè)為系統(tǒng)服務(wù)進(jìn)程，一般方法很難殺滅。它還不停地向外發(fā)送

郵件，把自己偽裝成"Htm、Doc、Jpg、Bmp、Xis、Cpp、HtmkMpg、

Mpeg“類型文件中的一種，文件名也是隨機(jī)產(chǎn)生的，很具隱蔽性。

該病毒將會(huì)自動(dòng)搜索硬盤(pán)，用內(nèi)存中的隨機(jī)數(shù)據(jù)覆蓋硬盤(pán)上的所有文

件，因此會(huì)給用戶數(shù)據(jù)帶來(lái)無(wú)法估量的損失。

求職信病毒后來(lái)也出現(xiàn)了大量的變種，歷經(jīng)數(shù)年而不衰，一段時(shí)

間被稱為是“不死毒王”，直到2005年以后，當(dāng)木馬盜號(hào)病毒成為主

流,求職信才很少再被提起過(guò)。

(六)SQL殺手：史上最短小、殺傷力最大的蠕蟲(chóng)。

2003年1月25日，江民快速反病毒應(yīng)急處理中心成功截獲造成

全球互聯(lián)網(wǎng)癱瘓的"SQL殺手"(worm.SQLhelkerm)蠕蟲(chóng)病毒。這是

一個(gè)病毒體極其短小，卻具有極強(qiáng)的傳播性病毒，病毒只用376個(gè)字

節(jié)的程序，就使全球互聯(lián)網(wǎng)遭遇到重創(chuàng)。病毒不破壞文件、數(shù)據(jù)，但

是能消耗大量網(wǎng)絡(luò)帶寬資源，使得網(wǎng)絡(luò)陷入癱瘓。

江民反病毒專家介紹，此病毒是利用MicrosoftSQLServer的

漏洞進(jìn)行傳播，由于MicrosoftSQLServer在世界范圍內(nèi)都很普及，

因此此次病毒攻擊導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓，在中國(guó)80%以上網(wǎng)

民受此次全球性病毒襲擊影響而不能上網(wǎng)，很多企業(yè)的服務(wù)器被此病

毒感染引起網(wǎng)絡(luò)癱瘓。而美國(guó)、泰國(guó)、日本、韓國(guó)、馬來(lái)西亞、菲律

賓和印度等國(guó)家的互聯(lián)網(wǎng)也受到嚴(yán)重影響。這是繼紅色代碼、尼姆達(dá),

求職信病毒后又一起極速病毒傳播案例。所以“SQL殺手”蠕蟲(chóng)的出

現(xiàn)，應(yīng)該成為一個(gè)傳奇...

“SQL殺手”病毒能夠大面積傳播的奧秘在于，病毒在入侵未受

保護(hù)的機(jī)器后，首先取得三個(gè)Win32API地址,GetTickCount、socket、

sendto,接著病毒使用GetTickCount獲得一個(gè)隨機(jī)數(shù)，進(jìn)入一個(gè)死

循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲(chóng)使用獲得的隕機(jī)數(shù)生成一個(gè)隨機(jī)的

ip地址，然后將自身代碼發(fā)送至1434端口（MicrosoftSQLServer

開(kāi)放端口），該蠕蟲(chóng)傳播速度極快，它使用廣播數(shù)據(jù)包方式發(fā)送自身

代碼，每次均攻擊子網(wǎng)中所有255臺(tái)可能存在機(jī)器，而受到感染的電

腦又開(kāi)始進(jìn)行下一輪攻擊，病毒以255的幾何級(jí)倍級(jí)傳播，因此能夠

在短短一小時(shí)左右迅速傳遍全球。

（七）沖擊波。

2003年8月12日，是繼1999年4月26后又一個(gè)讓電腦用戶難

以忘記的日子。這天，幾乎所有WIN2000以上操作系統(tǒng)的用戶一連上

網(wǎng)就被提示系統(tǒng)將要在一分鐘內(nèi)重啟，局域網(wǎng)用戶的電腦也出現(xiàn)同樣

癥狀。截止到今年4月份，據(jù)微軟統(tǒng)計(jì)，這個(gè)被命名為“沖擊波”的

病毒已經(jīng)感染了近千萬(wàn)臺(tái)電腦。沖擊波利用微軟操作系統(tǒng)RPC漏洞傳

播，掃描TCP端口，對(duì)所有存在漏洞的機(jī)器發(fā)送攻擊代碼，病毒無(wú)需

進(jìn)入硬盤(pán)，在內(nèi)存中即可導(dǎo)致被掃描到的機(jī)器頻繁重啟。

一時(shí)間，沖擊波病毒在全球范圍內(nèi)的泛濫不可遏止，全國(guó)上百萬(wàn)

臺(tái)計(jì)算機(jī)、上千個(gè)局域網(wǎng)被感染，并以極快的速度傳播。

“這次大規(guī)模蠕蟲(chóng)病毒的爆發(fā)可以說(shuō)是2-3年以來(lái)國(guó)內(nèi)反應(yīng)最為

強(qiáng)烈的一次”，江民科技董事長(zhǎng)王江民在接受新浪科技獨(dú)家采訪時(shí)表

示，“從江民目前的統(tǒng)計(jì)來(lái)看，本次遭受攻擊的電腦系統(tǒng)主要集中在

WindowsXP及Windows2000上，大概占到60-70%的比例，另外少量

WindowsMe及98系統(tǒng)也遭到了不同程度的攻擊”。

12日上午，江民公司率先在國(guó)內(nèi)提交了該病毒的解決方案并及

時(shí)升級(jí)了病毒庫(kù)，同時(shí)向國(guó)家公安部等相關(guān)部門(mén)提交了病毒樣本。

據(jù)江民公司的技術(shù)人員介紹，沖擊波病毒是一種蠕蟲(chóng)病毒，其樣

本大小為6176字節(jié)，感染的操作系統(tǒng)為Windows2000和XP及2003

操作系統(tǒng)，病毒會(huì)下載并運(yùn)行病毒文件Msblast.exe,最終將會(huì)導(dǎo)致

機(jī)器停止響應(yīng)。

王江民認(rèn)為，蠕蟲(chóng)病毒將是互聯(lián)網(wǎng)時(shí)期最為肆虐的電腦病毒，而

在今后的時(shí)間內(nèi)，可能還會(huì)不同程度的爆發(fā)。對(duì)于本次沖擊波病毒，

王江民表示，相比之前的CIH病毒，這個(gè)病毒的傳播能力頗強(qiáng)，就象

它自身的名字一樣，基本是按指數(shù)上升的。

隨著互聯(lián)網(wǎng)信息時(shí)代的到來(lái)，網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)和個(gè)人不得

不面臨的問(wèn)題，“準(zhǔn)確的說(shuō)，根本沒(méi)有所謂永久性的安全防護(hù)措施，

對(duì)用戶而言，提高防護(hù)意識(shí)可能更重要！”

（八）震蕩波：不平常的五一。

2004年5月1日，人們正沉浸在五一長(zhǎng)假的快樂(lè)當(dāng)中，震蕩波

病毒開(kāi)始發(fā)難，其攻擊手段與沖擊波如出一轍，仍然是利用微軟操作

系統(tǒng)漏洞以及開(kāi)放的端口從內(nèi)存到內(nèi)存對(duì)連在網(wǎng)上的電腦進(jìn)行攻擊

的，一時(shí)，反病毒公司的熱線電腦響聲四起，反映自己奔四電腦比

586還慢，上不了網(wǎng)、頻繁重啟的求助電話一個(gè)接著一個(gè)，“震蕩波”

病毒在短短12天時(shí)間內(nèi)，即接連出現(xiàn)6個(gè)變種，感染了全球約1800

萬(wàn)臺(tái)電腦，損失高達(dá)5億美元。

4月13日到4月29日，江民反病毒專家們剛剛截獲并消滅了專

偷網(wǎng)上銀行資金的病毒“網(wǎng)銀大盜”病毒，5月1日，國(guó)家計(jì)算機(jī)病

毒應(yīng)急中心發(fā)現(xiàn)，一種利用微軟操作系統(tǒng)漏洞的蠕蟲(chóng)病毒正在對(duì)互聯(lián)

網(wǎng)發(fā)起攻擊，并陸續(xù)接到江蘇、寧夏、北京、黑龍江、遼寧和廣東等

地區(qū)用戶報(bào)告。憑著與計(jì)算機(jī)病毒多年的實(shí)戰(zhàn)經(jīng)驗(yàn)，專家們認(rèn)為這個(gè)

病毒潛在的危害巨大，病毒利用的是WindowsLSASS的一個(gè)已知漏洞

(MS04-011),被攻擊的計(jì)算機(jī)會(huì)出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象，與去年大

面積爆發(fā)的沖擊波病毒危害十分相似。反病毒專家們擔(dān)心的是，雖然

去年4月份微軟就發(fā)布了這個(gè)漏洞補(bǔ)丁，但我國(guó)仍有相當(dāng)部分用戶沒(méi)

有打上這個(gè)漏洞補(bǔ)丁。

當(dāng)日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心緊急與以江民為首的我國(guó)反

病毒通道廠商聯(lián)系，要求反病毒廠商緊急升級(jí)殺毒軟件病毒庫(kù)。江民

國(guó)內(nèi)率先響應(yīng)了國(guó)家應(yīng)急中心的指示，以最快速度升級(jí)了KV系列殺

毒軟件病毒庫(kù)，并在江民反病毒資訊網(wǎng)發(fā)布了病毒技術(shù)分析報(bào)告以及

相關(guān)解決方案。

(九)網(wǎng)銀大盜：網(wǎng)上銀行大劫難。

2003年4月21日，一條平時(shí)不為人關(guān)注的計(jì)算機(jī)病毒新聞登上

了京城各大報(bào)刊的頭版，江民反病毒專家發(fā)布消息稱，他們截獲一種

專門(mén)盜取某網(wǎng)上銀行用戶名和密碼的木馬病毒，這種病毒會(huì)在用戶計(jì)

算機(jī)中創(chuàng)建可執(zhí)行文件與掛鉤和發(fā)信模塊文件，并修改注冊(cè)表，病毒

在系統(tǒng)啟動(dòng)時(shí)即可運(yùn)行。病毒主程序開(kāi)啟2個(gè)計(jì)時(shí)器，計(jì)時(shí)器1每隔

3秒鐘檢查是否有常用反病毒和防火墻軟件運(yùn)行，一旦發(fā)現(xiàn)則立即終

止這些進(jìn)程，同時(shí)還自動(dòng)回寫(xiě)病毒注冊(cè)表項(xiàng)和病毒文件。計(jì)時(shí)器2每

隔0.5秒搜索用戶的IE窗口，如果發(fā)現(xiàn)用戶正在"某網(wǎng)上銀行"的登

錄界面，則嘗試竊取注冊(cè)卡號(hào)和密碼。一旦成功，就把竊取到的信息

保存到共享內(nèi)存中，電腦與網(wǎng)絡(luò)再次連通后，木馬就會(huì)把共享內(nèi)存中

保存的用戶帳號(hào)和密碼通過(guò)電子郵件發(fā)送給病毒作者。

“網(wǎng)銀大盜”系一種間諜軟件，屬于木馬類病毒，該病毒利用某

網(wǎng)上銀行系統(tǒng)漏洞，偷取網(wǎng)上銀行用戶銀行卡號(hào)和密碼，并自動(dòng)發(fā)送

給病毒作者。截止犯罪嫌疑人被捕時(shí)，該犯罪團(tuán)伙已成功竊取資金

4.8萬(wàn)元。在江民及某網(wǎng)上銀行技術(shù)人員的努力下，該病毒于4月

中旬即被查殺，某網(wǎng)上銀行也已經(jīng)進(jìn)行了緊急技術(shù)升級(jí)，堵上了這個(gè)

漏洞，避免了一場(chǎng)即將發(fā)生的網(wǎng)上銀行浩劫，保護(hù)了某網(wǎng)上銀行用戶

上千億萬(wàn)資金安全。

(十)證券大盜。

2004年11月25日，江民反病毒中心截獲“證券大盜”木馬病

毒(Trojan/PSW.Soufan)。該木馬可以盜取多家證券交易系統(tǒng)的交

易賬號(hào)和密碼，被盜號(hào)的股民帳戶存在被人惡意操縱的可能。

據(jù)江民反病毒專家介紹，病毒運(yùn)行后，自動(dòng)監(jiān)控一些特定的金融

證券網(wǎng)站頁(yè)面，當(dāng)病毒監(jiān)測(cè)到包含多家券商名稱的網(wǎng)站標(biāo)題窗口時(shí)，

就開(kāi)始使用鍵盤(pán)鉤子程序自動(dòng)記錄用戶登陸信息，包括用戶名和密

碼，同時(shí)，病毒還通過(guò)屏幕快照將用戶登陸時(shí)窗口畫(huà)面保存為圖片，

在記錄達(dá)到一定次數(shù)后，將記錄的信息和圖片通過(guò)電子郵件發(fā)送給病

毒作者。

江民公司研發(fā)部總經(jīng)理何公道認(rèn)為，該病毒可能造成的危害在

于，黑客可以惡意操縱被盜的股票，將某高價(jià)股票高買低賣，然后使

用自己的賬戶將同一股票低買高賣，賺取中間的差價(jià)，給被盜股民帶

來(lái)巨大的損失。更為狡猾的是，“證券大盜”病毒每次運(yùn)行后即“自

殺”，并刪除自身在系統(tǒng)中留下的文件，達(dá)到消毀“罪證”的目的，

“作案”手段十分隱蔽。

令人吃驚的是，2006年5月14日，新華社報(bào)道，據(jù)公安部門(mén)偵

察，截止到犯罪嫌疑人被捕時(shí)，證券大盜病毒作者已利用“證券大盜”

病毒程序，在不到2個(gè)月時(shí)間里，截獲股民股票賬戶、密碼，盜買、

盜賣股票價(jià)值1141.17萬(wàn)元，非法獲利38.6萬(wàn)元。5月9日下午，

南昌市中級(jí)人民法院一審以盜竊罪判處主犯張勇無(wú)期徒刑，從犯王

浩、鄒亮分別被判13年和12年有期徒刑。證券大盜給人們留下深深

的思考！

(十一)敲詐者。

2006年6月11日，國(guó)內(nèi)首例旨在敲詐被感染用戶錢(qián)財(cái)?shù)哪抉R病

毒被江民公司反病毒中心率先截獲。該病毒名為“敲詐者”

(Trojan/Agent.bq),病毒可惡意隱藏用戶文檔，并借修復(fù)數(shù)據(jù)之名

向用戶索取錢(qián)財(cái)。“敲詐者”給中毒的電腦用戶帶來(lái)了巨大麻煩。

山東某公司財(cái)務(wù)部電腦感染了“敲詐者”，導(dǎo)致財(cái)務(wù)報(bào)表莫名失蹤,

用戶不得已緊急飛往北京尋求數(shù)據(jù)恢復(fù)。廣州某從事鞋業(yè)國(guó)際貿(mào)易的

網(wǎng)友因感染該病毒，導(dǎo)致一筆巨額外貿(mào)訂單丟失，白白損失數(shù)十萬(wàn)元。

而唐山某銀行的用戶也因?yàn)楦腥玖饲迷p者，導(dǎo)致單位工資報(bào)表被隱

藏，一時(shí)難以恢復(fù)?！扒迷p者”病毒可謂作惡多端，一時(shí)網(wǎng)上人人喊

打，被病毒侵害丟失巨額外貿(mào)訂單的網(wǎng)友“大叔”甚至極端地在網(wǎng)上

發(fā)帖，稱要懸賞十萬(wàn)嚴(yán)懲名為“歐陽(yáng)俊曦”的病毒作者。

據(jù)國(guó)內(nèi)率先截獲“敲詐者”病毒的江民科技反病毒工程師介紹，

僅江民反病毒中心已接到110余例用戶中毒求助報(bào)告，而全國(guó)估計(jì)至

少有數(shù)千人感染該病毒，目前該反病毒中心已截獲該病毒的7個(gè)變

種。新華社6月19日?qǐng)?bào)道，經(jīng)過(guò)病毒留下的線索和技術(shù)分析，江民

反病毒工程師鎖定了一網(wǎng)名為“俊曦”的人，懷疑此人即為“敲詐者”

病毒的作者。據(jù)“俊曦”在MSN上留言，他傳播病毒不過(guò)是為了“買

點(diǎn)面包充饑”。“俊曦”自稱是有著二十年編程經(jīng)驗(yàn)的程序員，以前

沉溺于技術(shù)賺錢(qián)不多得不到周圍人承認(rèn)，現(xiàn)在感覺(jué)“經(jīng)常用左腿走路

累，突然換右腳感覺(jué)快多了”，暗示編寫(xiě)程序不如編寫(xiě)病毒賺錢(qián)。他

還透露將掀起“更大的風(fēng)暴”。另?yè)?jù)介紹，病毒作者還透露“敲詐者”

病毒是2006年6月6日制作完成并傳播的，而這一天恰好是西方國(guó)

家的魔鬼日，病毒作者對(duì)此頗為自得，自稱事前并無(wú)預(yù)謀，如此巧合

“似有神助”。

“敲詐者”病毒案例引起了公安部及廣東省公安廳領(lǐng)導(dǎo)的高度重

視，廣州警方成立了專案組，迅速鎖定了病毒制造者歐陽(yáng)某，并于7

月3日晚9時(shí)許，在廣州白云區(qū)某小區(qū)內(nèi)將犯罪嫌疑人抓獲，當(dāng)場(chǎng)查

獲作案工具計(jì)算機(jī)2臺(tái)以及手機(jī)卡和銀行卡一批。從案發(fā)到偵破僅用

了19天時(shí)間。

（十二）熊貓燒香。

2006與2007年歲交替之際，一名為“熊貓燒香”的計(jì)算機(jī)病毒

在互聯(lián)網(wǎng)上掀起軒然大波。從去年12月首次出現(xiàn)至今，短短一個(gè)多

月，病毒已迅速在全國(guó)蔓延，受害用戶至少上百萬(wàn)，計(jì)算機(jī)反病毒公

司的熱線電話關(guān)于該病毒的咨詢和求助一直不斷，互聯(lián)網(wǎng)上到處是受

害者無(wú)奈的求助、怨恨、咒罵，電腦里到處是熊貓燒香的圖標(biāo)，重要

文件被破壞，局域網(wǎng)徹底癱瘓，病毒造成的損失無(wú)法估量。

1月18日，國(guó)內(nèi)最大的計(jì)算機(jī)反病毒廠商江民科技監(jiān)測(cè)到，“威

金”病毒新變種“熊貓燒香”仍在瘋狂傳播，上演著最后的瘋狂。江

民科技監(jiān)測(cè)發(fā)現(xiàn)，近階段該病毒的傳播手段更是無(wú)所不用其及，繼一

些IT專業(yè)門(mén)戶及資訊網(wǎng)站成為病毒幫兇后，一家普及率非常高的影

音播放軟件網(wǎng)站也感染了該病毒，用戶點(diǎn)擊網(wǎng)頁(yè)即可中毒?！靶茇垷?/p>

香”不但可以終止大量的殺毒軟件和防火墻程序，而且還禁止用戶使

用GHOST恢復(fù)系統(tǒng)，通過(guò)U盤(pán)、共享文件夾、系統(tǒng)默認(rèn)共享、IE漏

洞、QQ漏洞、系統(tǒng)弱口令等等多種途徑傳播，局域網(wǎng)中一臺(tái)機(jī)器感

染，可以瞬間傳遍整個(gè)網(wǎng)絡(luò)。

江民反病毒專家介紹，導(dǎo)致病毒快速傳播目前存在三大原因。一

個(gè)大量的企業(yè)用戶使用國(guó)外殺毒軟件，而國(guó)外殺毒軟件對(duì)于此類國(guó)產(chǎn)

病毒響應(yīng)速度特別慢。二是一部分網(wǎng)站編輯或網(wǎng)站管理人員本身機(jī)器

感染了病毒，由于病毒能夠修改HTML文件，當(dāng)他們把受感染文件上

傳到服務(wù)器后，訪問(wèn)者點(diǎn)擊此類受感染網(wǎng)頁(yè)即中毒。三是病毒綜合利

用了多種漏洞和傳播途徑，如利用微軟MS06-014漏洞感染HTML文件,

通過(guò)QQ最新漏洞傳播自身，通過(guò)網(wǎng)絡(luò)文件共享、默認(rèn)共享、系統(tǒng)弱

口令、U盤(pán)及移動(dòng)硬盤(pán)等多種途徑傳播。

（十三）磁碟機(jī)。

近日，越來(lái)越多的企業(yè)用戶向江民反病毒中心求助，稱他們的企

業(yè)網(wǎng)絡(luò)正在遭受病毒侵襲，電腦運(yùn)行緩慢，出現(xiàn)系統(tǒng)藍(lán)屏、死機(jī)等現(xiàn)

象，可執(zhí)行文件被病毒感染，整個(gè)網(wǎng)絡(luò)安全面臨嚴(yán)重的病毒威脅。

江民反病毒工程師經(jīng)提取病毒樣本分析后認(rèn)為，多數(shù)企業(yè)都遭受

了同一病毒“千足蟲(chóng)”（又名磁碟機(jī)）病毒侵害。千足蟲(chóng)（磁碟機(jī)）

早在去年就被江民反病毒中心截獲，近期頻繁變種，大有卷土重來(lái)之

勢(shì)。“磁碟機(jī)”病毒能夠利用多種手段終止殺毒軟件運(yùn)行，并可導(dǎo)致

被感染計(jì)算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏、死機(jī)等現(xiàn)象，嚴(yán)重危害被感染計(jì)算機(jī)的

系統(tǒng)和數(shù)據(jù)安全。與其它關(guān)閉殺毒軟件的病毒不同的是，該病毒利用

了多達(dá)六種強(qiáng)制關(guān)閉殺毒軟件和干擾用戶查殺的反攻手段，許多自身

保護(hù)能力不夠強(qiáng)壯的殺毒軟件在病毒面前紛紛被折。

江民反毒專家何公道認(rèn)為，磁碟機(jī)病毒是近幾年以來(lái)發(fā)現(xiàn)的病毒

技術(shù)含量最高、破壞性最強(qiáng)的病毒，其破壞能力、自我保護(hù)和反殺毒

軟件能力均十倍于“熊貓燒香”。磁碟機(jī)病毒的發(fā)作標(biāo)志著計(jì)算機(jī)病

毒進(jìn)入了驅(qū)動(dòng)病毒時(shí)代。

計(jì)算機(jī)病毒從2006年開(kāi)始，又有了重大的發(fā)展。病毒的目標(biāo)已

經(jīng)從以前的炫耀技術(shù)徹底轉(zhuǎn)向經(jīng)濟(jì)利益，網(wǎng)絡(luò)上流行的病毒大都是盜

號(hào)竊密的木馬病毒，而病毒技術(shù)也日新月異，病毒通過(guò)Rootkit技術(shù)

和映象劫持技術(shù)隱藏自身的進(jìn)程、注冊(cè)表鍵值，通過(guò)插入進(jìn)程、線程

避免被殺毒軟件查殺，通過(guò)實(shí)時(shí)監(jiān)測(cè)對(duì)自身進(jìn)程進(jìn)行回寫(xiě)，避免被殺

毒軟件查殺，通過(guò)還原系統(tǒng)SSDTHOOK和還原其它內(nèi)核HOOK技術(shù)破

壞反病毒軟件，其中僅映象劫持技術(shù)就包括“進(jìn)程映像劫持”、“磁

盤(pán)映像劫持”、“域名映像劫持”、“系統(tǒng)DLL動(dòng)態(tài)連接庫(kù)映像劫持”

等多種方式。目前幾乎所有的盜取網(wǎng)絡(luò)游戲帳號(hào)的木馬病毒都具備了

以上一種以上的技術(shù)特征，幾乎所有最新的程序應(yīng)用技術(shù)都被病毒一

一應(yīng)用，電腦一旦感染病毒，普通用戶根本無(wú)能力徹底清除，只能求

助專業(yè)技術(shù)人員。未來(lái)的計(jì)算機(jī)病毒將綜合利用以上新技術(shù)，使得殺

毒軟件查殺難度更大。

二、20年重要反病毒技術(shù)

從1988年我國(guó)發(fā)現(xiàn)第一個(gè)病毒“小球”算起，至今中國(guó)計(jì)算機(jī)

反病毒之路已經(jīng)走過(guò)了二十年。二十年彈指一揮間，計(jì)算機(jī)病毒和反

病毒技術(shù)發(fā)生了翻天覆地的變化，計(jì)算機(jī)病毒迄今為止已經(jīng)超過(guò)了一

百萬(wàn)種，而計(jì)算機(jī)反病毒技術(shù)也已經(jīng)更新了一代又一代。作為中國(guó)最

早從事計(jì)算機(jī)反病毒研究的安全軟件企業(yè)之一，江民科技以親身經(jīng)歷

見(jiàn)證和參與書(shū)寫(xiě)了中國(guó)計(jì)算機(jī)反病毒二十年輝煌歷史。

中國(guó)計(jì)算機(jī)反病毒發(fā)展史以1998年為界分為前十年和后十年兩

個(gè)重要階段。前十年歷史主要是查殺感染文件型和引導(dǎo)區(qū)病毒的歷

史，后十年主要是針對(duì)蠕蟲(chóng)和木馬的歷史。發(fā)展到今天，計(jì)算機(jī)病毒

更加復(fù)雜，多數(shù)新病毒是集后門(mén)、木馬、蠕蟲(chóng)等特征于一體的混合型

病毒，而病毒技術(shù)也從以前以感染文件和復(fù)制自身，給電腦用戶帶來(lái)

麻煩和惡作劇為目的，變成了以隱藏和對(duì)抗殺毒軟件并最終實(shí)施盜號(hào)

竊秘為目的。特別是進(jìn)入2008年以來(lái)，病毒逃避殺毒軟件追殺的能

力在不斷提升，內(nèi)核級(jí)驅(qū)動(dòng)、映像劫持、ROOTKIT,注冊(cè)表關(guān)聯(lián)、插

入進(jìn)程/線程、加殼加密等等，病毒從來(lái)沒(méi)有象今天這樣，將新技術(shù)

應(yīng)用的如此全面，如此完善。而魔高一尺，道高一丈，計(jì)算機(jī)反病毒

技術(shù)在與計(jì)算機(jī)病毒的較量中也得到了升華，與20年前相比已經(jīng)已

經(jīng)有了質(zhì)的飛躍。

（一）DOS殺毒時(shí)代。

無(wú)論是病毒還是反病毒，在一定時(shí)間階段內(nèi)必定是基于某一類主

流平臺(tái)的，從DOS時(shí)代至今，操作平臺(tái)發(fā)生了三次重大演變，從DOS

進(jìn)展到WINODWS時(shí)代，從WINDOWS單機(jī)操作到目前互聯(lián)時(shí)代，計(jì)算機(jī)

已經(jīng)單一的信息孤島發(fā)展成為全球互聯(lián)網(wǎng)中的一個(gè)信息節(jié)點(diǎn)，相應(yīng)地

計(jì)算機(jī)病毒的發(fā)展也與此息息相關(guān)。

（二）DEBUG手工殺毒。

1988年至1989年，我國(guó)先后出現(xiàn)了最早的計(jì)算機(jī)病毒“小球”

和“大麻”，而當(dāng)時(shí)國(guó)內(nèi)并沒(méi)有殺毒軟件，這時(shí)候，一些程序員使用

微軟的軟件缺陷調(diào)試程序DEBUG來(lái)跟蹤清除病毒，這也成為最早最原

始的手工殺毒技術(shù)。DEBUG通過(guò)跟蹤程序運(yùn)行過(guò)程，尋找病毒的突破

口，然后通過(guò)DEBUG強(qiáng)大的編譯功能將其清除。由于DEBUG強(qiáng)大的偵

錯(cuò)能力，在早期的反病毒工作中發(fā)揮了重大作用，但由于使用DEGUG

需要精通匯編語(yǔ)言和一些硬盤(pán)底層技術(shù)，所以，能夠熟練使用DEBUG

殺病毒的人并不多，而早期經(jīng)常使用DEBUG跟蹤破解病毒的程序員，

在長(zhǎng)期的殺毒工作過(guò)程中積累了經(jīng)驗(yàn)以及病毒樣本，多數(shù)成為后來(lái)計(jì)

算機(jī)反病毒行業(yè)的中堅(jiān)技術(shù)力量。

就在那個(gè)時(shí)候，江民科技創(chuàng)始人王江民每次利用DEBUG殺掉一個(gè)

病毒，就編寫(xiě)一個(gè)程序，命名為KV1,當(dāng)殺掉100個(gè)病毒，就把他們

集中起來(lái)，叫做KV100,一直到風(fēng)靡全國(guó)的KV300,這樣，普通的電

腦用戶不需要掌握DEBUG,只需用KV就可以殺毒了。當(dāng)然，計(jì)算機(jī)

病毒發(fā)展到現(xiàn)在，僅江民殺毒軟件KV2006就可以清除超過(guò)13萬(wàn)種病

毒，我們的殺毒軟件也早就不再用殺毒數(shù)來(lái)命名，而是采用了國(guó)際通

用的以年代命名的方法。隨著操作系統(tǒng)和病毒技術(shù)的發(fā)展，以及DOS

病毒的退出歷史舞臺(tái)，現(xiàn)在的反病毒工程師已經(jīng)很少用DEBUG去破解

病毒，而是普遍應(yīng)用了IDA、OllyDbg等反編譯程序，但用DEBUG手

工殺毒至今仍然是老一代反病毒人員津津樂(lè)道和難以忘懷的往事。

（三）廣譜智能殺毒技術(shù)。

當(dāng)病毒數(shù)量激劇上升，達(dá)到幾千幾萬(wàn)種的時(shí)候，人們發(fā)現(xiàn)，許多

新病毒其實(shí)就是老病毒變種，病毒作者在老病毒的基礎(chǔ)上修改一些字

節(jié)數(shù)，添加一些新特征，這樣就讓殺毒軟件無(wú)法識(shí)別了。這時(shí)候，如

果仍然采用一個(gè)一個(gè)病毒分析的方法，無(wú)疑工作量很大。能不能有一

種辦法，提取出一個(gè)此類病毒的共同特征，以后不管這種病毒出現(xiàn)多

少變種，都可以用一種特碼征去查殺。經(jīng)過(guò)技術(shù)上的攻關(guān)和一次次測(cè)

試，我們研發(fā)成功了廣譜智能殺毒技術(shù)，這種殺毒技術(shù)是在對(duì)此類變

種病毒的充分剖解的基礎(chǔ)上，精心提取的病毒共同特征，只要在殺毒

軟件中添加了廣譜特征碼，變種再多也可以做到以不變應(yīng)萬(wàn)變。

（四）宏病毒殺毒技術(shù)。

1997年下半年，微軟的Office逐漸普及，然而，不知從什么時(shí)

候開(kāi)始，許多用戶開(kāi)始發(fā)現(xiàn)，平時(shí)很正常的WORD文檔無(wú)法打印，一

篇稿件寫(xiě)完后去無(wú)法保存.....一場(chǎng)“宏”病毒大潮來(lái)襲！江民公司

反病毒中心接到的求助電話開(kāi)始越來(lái)越多，經(jīng)過(guò)反病毒工程師分析，

導(dǎo)致此類怪現(xiàn)象的原因，是因?yàn)殡娔X用戶的WORD文檔中多了一個(gè)未

知的“宏”?！昂辍笔荳ORD中的一種自動(dòng)執(zhí)行的一組操作命令，病

毒正是利用WORD此項(xiàng)功能，將一些有害的代碼添加為“宏”命令，

從而破壞WORD的正常使用，甚至可以刪除WORD文檔。由于這種“宏”

極具傳染性，所以被稱為“宏病毒”。

然而，由于微軟的WORD文檔格式和算法是保密的，而“宏病毒”

所在的文件位置卻并不確定，而且殺毒軟件清除宏病毒的還不能破壞

WORD文檔，這給殺除“宏”帶來(lái)很大的困難。在求助微軟中國(guó)公司

未果的情況下，經(jīng)過(guò)江民反病毒研究中心一個(gè)月的攻關(guān)，終于把WORD

格式研究的透透徹徹，于是馬上升級(jí)KV300殺毒引擎和病毒庫(kù)，徹底

解決了宏病毒的難題。那個(gè)時(shí)候，衡量一款殺毒軟件的殺毒能力，只

要看他處理“宏”病毒的情況就可以了，而KV300是國(guó)內(nèi)首家可以徹

底解除宏病毒的殺毒軟件，隨著其它殺毒軟件也開(kāi)始加入清除“宏病

毒”的功能，慢慢地“宏”病毒開(kāi)始逐漸被消滅。

（五）殺雙料病毒和變形病毒。

除了廣譜殺毒技術(shù)和宏病毒殺毒技術(shù)外，清除變形病毒和引導(dǎo)

區(qū)、文件型的“雙料”病毒也是DOS時(shí)代較為典型的殺毒技術(shù)。“雙

料”病毒既感染磁盤(pán)引導(dǎo)區(qū)、又感染可執(zhí)行文件，常見(jiàn)的有

Flip/Omicron.XqR（Newcentury）.Invader/侵入者、Plastique/

塑料炸彈、3584/鄭州（狼）、3072（秋天的水）、ALFA/3072-2,

Ghost/One_Half/3544（幽靈）、Natas（幽靈王）、TPVO/3783等，如果

只解除了文件上的病毒，而沒(méi)解除硬盤(pán)主引導(dǎo)區(qū)的病毒，系統(tǒng)引導(dǎo)時(shí)

又將病毒調(diào)入內(nèi)存，會(huì)重新感染文件。如果只解除了主引導(dǎo)區(qū)的病毒,

而可執(zhí)行文件上的病毒沒(méi)解除，一執(zhí)行帶毒的文件時(shí)，就又將硬盤(pán)主

引導(dǎo)區(qū)感染。狡詐的變形加密病毒，象亂線團(tuán)一個(gè)，幾乎讓人解不開(kāi)。

用具有特殊技術(shù)的查毒方法，使上述病毒在靜態(tài)環(huán)境中是很容易被發(fā)

現(xiàn)。所謂靜態(tài)環(huán)境就是指重新加電，用干凈軟盤(pán)引導(dǎo)系統(tǒng)。這樣，就

可在內(nèi)存無(wú)病毒的狀態(tài)下，用具有特殊掃描方法的軟件去主動(dòng)搜索病

毒。即我們可用廣譜過(guò)濾法、以毒攻毒法、跟蹤法、邏輯法、逆轉(zhuǎn)顯

影法、內(nèi)存反轉(zhuǎn)法、虛擬機(jī)法、啟發(fā)式分析法、指紋分析法、神經(jīng)網(wǎng)

絡(luò)敏感系統(tǒng)等等，這樣，變形病毒的問(wèn)題也得到了解決。

（六）WINDOWS視窗時(shí)代從“殺毒”至》“反病毒”的關(guān)鍵一躍。

隨著WINDOWS95和WINDOWS98操作系統(tǒng)的逐漸普及，電腦開(kāi)始進(jìn)

入可視化視窗時(shí)代，隨著電腦與外界數(shù)據(jù)交換越來(lái)越頻繁，電腦病毒

開(kāi)始從各種入口入侵。除了軟盤(pán)，光盤(pán)、硬盤(pán)、網(wǎng)上鄰居、電子郵件、

網(wǎng)絡(luò)下載、注冊(cè)表等等都可能成為病毒感染的通道。病毒越來(lái)越多，

一味地殺毒將使電腦用戶疲于應(yīng)付，這時(shí)，反病毒工程師開(kāi)始意識(shí)到

有效防御病毒比單純殺毒對(duì)于用戶來(lái)講價(jià)值更大。1999年，江民公

司首家研發(fā)成功病毒實(shí)時(shí)監(jiān)控技術(shù)，首次突破了殺毒軟件的單一殺毒

概念，開(kāi)創(chuàng)了從“殺毒”到“反病毒”新時(shí)代。從此，殺毒軟件也開(kāi)

始擺脫了一張殺毒盤(pán)的概念，首次安裝版本，以KVW3000等為代表。

安裝版的殺毒軟件與操作系統(tǒng)同步運(yùn)行，對(duì)通過(guò)文件、郵件、網(wǎng)

頁(yè)等途徑進(jìn)入電腦的數(shù)據(jù)進(jìn)行實(shí)時(shí)過(guò)濾，發(fā)現(xiàn)病毒在內(nèi)存階段立即清

除，抵御病毒于系統(tǒng)之外。

隨著這一技術(shù)的發(fā)展和完善，目前實(shí)時(shí)監(jiān)控技術(shù)已經(jīng)非常完善，

如江民殺毒軟件現(xiàn)在已具備了七套實(shí)時(shí)監(jiān)控系統(tǒng)，具有文件監(jiān)視、郵

件監(jiān)視、網(wǎng)頁(yè)監(jiān)視、即時(shí)通信監(jiān)視、木馬'注冊(cè)表監(jiān)視、腳本監(jiān)視、

隱私信息保護(hù)等七大實(shí)時(shí)監(jiān)控功能，從各大病毒入侵通道封殺病毒，

成為目前殺毒軟件最主流最具價(jià)值的核心技術(shù)。目前，衡量一款殺毒

軟件的防殺能力，也主要通過(guò)測(cè)式實(shí)時(shí)監(jiān)控性能，例如，發(fā)現(xiàn)網(wǎng)頁(yè)上

的病毒，是在下載過(guò)程中（內(nèi)存階段）報(bào)警并清除還是在下載完畢后

才能報(bào)警并處理？經(jīng)過(guò)層層壓縮和加密的病毒，殺毒軟件是根目錄時(shí)

便能偵測(cè)到并報(bào)警，還是選擇了這個(gè)病毒壓縮包才能報(bào)警？病毒實(shí)時(shí)

監(jiān)控技術(shù)又包含了比特動(dòng)態(tài)濾毒技術(shù)、深層殺毒技術(shù)、神經(jīng)敏感系統(tǒng)

技術(shù)等，這些技術(shù)使得殺毒軟件在實(shí)時(shí)監(jiān)控病毒時(shí)更靈敏，清除病毒

也更徹底。

（七）互聯(lián)網(wǎng)時(shí)代：主動(dòng)防御新時(shí)代。

近年來(lái)，伴隨著互聯(lián)網(wǎng)的高速發(fā)展，病毒也進(jìn)入了愈加猖狂和泛

濫的新階段，并呈現(xiàn)出了以下幾個(gè)特征:

1、病毒的種類和數(shù)量在迅速增長(zhǎng)。江民公司2008年1月2日發(fā)

布的《2007年度病毒疫情報(bào)告》中顯示表明：截止到2007年底，江

民反病毒中心共截獲新病毒總數(shù)為36萬(wàn)3000余種，較06年增長(zhǎng)

501%。截止到2007年12月份,病毒累計(jì)感染計(jì)算機(jī)3441萬(wàn)4793臺(tái)，

其中78%以上的病毒為木馬、后門(mén)。而僅2008年上半年，江民反病

毒中心共截獲新病毒206439種，1至6月全國(guó)共有9871681臺(tái)計(jì)算機(jī)

感染了病毒。目前江民反病毒中心日處理病毒數(shù)量達(dá)到最高達(dá)到上萬(wàn)

種。

2、傳播手段越來(lái)越廣泛。木馬、病毒通過(guò)移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)頁(yè)

掛馬、網(wǎng)址欺騙、視頻文件傳播、部分知名軟件的漏洞等進(jìn)行瘋狂傳

播。

3、病毒的技術(shù)水平越來(lái)越高。病毒制造者不斷更新著病毒的制

造技術(shù)，不斷推出病毒的新變種，利用新的技術(shù)手段隱藏自身進(jìn)程，

通過(guò)加殼和免殺技術(shù)終止殺毒軟件的運(yùn)行，逃避殺毒軟件對(duì)于病毒的

查殺，達(dá)到傳播有害程序、破壞數(shù)據(jù)文件、非法竊取利益的目的。更

值得關(guān)注的是，進(jìn)入2008年以來(lái)，大部分主流病毒技術(shù)都進(jìn)入了驅(qū)

動(dòng)級(jí)，開(kāi)始與殺毒軟件爭(zhēng)搶系統(tǒng)驅(qū)動(dòng)的控制權(quán)，從而控制殺毒軟件，

致使殺毒軟件功能失效。

4、病毒的危害越來(lái)越大。更多的木馬和病毒破壞電腦系統(tǒng)、造

成死機(jī)、藍(lán)屏、數(shù)據(jù)丟失、竊取用戶帳號(hào)密碼等，給用戶造成巨大的

損失和破壞?！靶茇垷恪?、“機(jī)器狗”、“ARP病毒”、“磁碟機(jī)”

這些病毒迅速在互聯(lián)網(wǎng)上瘋狂傳播，被感染的計(jì)算機(jī)數(shù)量急速增長(zhǎng),

嚴(yán)重影響著個(gè)人用戶和企業(yè)用戶的信息安全。

伴隨著計(jì)算機(jī)病毒的飛速發(fā)展，一些新的計(jì)算機(jī)反病毒技術(shù)也應(yīng)

運(yùn)而生。

（八）未知病毒主動(dòng)防御技術(shù)。

未知病毒主動(dòng)防御的核心原理是依據(jù)行為判斷，不同于常規(guī)的特

征掃描技術(shù)。主動(dòng)防御監(jiān)測(cè)系統(tǒng)主要是依靠本身的鑒別系統(tǒng)，分析某

種應(yīng)用程序運(yùn)行進(jìn)程的行為，從而判斷它的行為，達(dá)到主動(dòng)防御的目

的。

當(dāng)前的殺毒軟件都是通過(guò)從病毒樣本中提取病毒特征值來(lái)構(gòu)成

病毒特征庫(kù)，采用特征掃描技術(shù)，通過(guò)與計(jì)算機(jī)中的應(yīng)用程序或者文

件等的特征值逐一比對(duì)，來(lái)判斷計(jì)算機(jī)是否已經(jīng)被病毒感染，即由專

業(yè)反病毒人員在反病毒公司對(duì)可疑程序進(jìn)行人工分析研究。殺毒軟件

廠商只有通過(guò)用戶上報(bào)或者通過(guò)技術(shù)人員在網(wǎng)絡(luò)上搜索才能捕獲到

新病毒，然后從新病毒中提取病毒特征值添加到病毒庫(kù)中，用戶通過(guò)

升級(jí)獲取最新的病毒庫(kù)，才能判斷某個(gè)程序是病毒。

如果用戶不升級(jí)，用戶計(jì)算機(jī)上安裝的殺毒軟件就不能防范新出

現(xiàn)的病毒，這也是專業(yè)反病毒工程師一直強(qiáng)調(diào)用戶要及時(shí)升級(jí)殺毒軟

件病毒庫(kù)的原因。這種特征值掃描技術(shù)的原理決定了殺毒軟件的滯后

性，使用戶不能對(duì)網(wǎng)絡(luò)新病毒及時(shí)防御，網(wǎng)絡(luò)病毒的頻頻爆發(fā)，已經(jīng)

使國(guó)際國(guó)內(nèi)反病毒領(lǐng)域開(kāi)始意識(shí)到，殺毒軟件賴以生存的事后“補(bǔ)丁”

式技術(shù)越來(lái)越被動(dòng)，所以主動(dòng)防御監(jiān)測(cè)技術(shù)應(yīng)運(yùn)而生。

（九）BOOTSCAN系統(tǒng)啟動(dòng)前殺毒技術(shù)。

近年來(lái)，一系列計(jì)算機(jī)新技術(shù)被病毒利用，人們發(fā)現(xiàn)，病毒開(kāi)始

越來(lái)越難清除了，中了病毒無(wú)法查出，查出病毒無(wú)法清除，甚至殺毒

軟件被病毒干掉的事情經(jīng)常發(fā)生?！癛OOTKIT”、插入線程、進(jìn)程這

些計(jì)算機(jī)新技術(shù)已經(jīng)成為木馬病毒的常用辦法。針對(duì)此類疑難病毒，

BOOTSCAN系統(tǒng)啟動(dòng)前殺毒技術(shù)應(yīng)運(yùn)而生，江民反病毒研究中心在

2005年9月研發(fā)成功的此項(xiàng)技術(shù)能夠在系統(tǒng)啟動(dòng)之前就開(kāi)始調(diào)用殺

毒引擎掃描和清除病毒，而在這一階段病毒的這些自我保護(hù)和對(duì)抗反

病毒技術(shù)的功能還