黑客大曝光第十一周

1、2022-6-3计算机病毒及其防治技术12022-6-3计算机病毒及其防治技术2本周主要内容：本周主要内容：第第7章章 计算机病毒编制关键技术及典型计算计算机病毒编制关键技术及典型计算机机 病毒病毒第第8章章 计算机病毒的检测计算机病毒的检测第第9章章 计算机病毒的清除和预防技术计算机病毒的清除和预防技术2022-6-3计算机病毒及其防治技术37.1 DOS病毒分析病毒分析7.2 Windows病毒分析病毒分析7.3 网络病毒分析网络病毒分析7.4 宏病毒分析宏病毒分析7.5 木马病毒分析木马病毒分析7.6 手机（手机（GSM）病毒分析）病毒分析2022-6-3计算机病毒及其防治技术4l引导型

2、病毒引导型病毒引导型病毒是指病毒侵入系统引导区，从而引发破坏行为的一种病毒特性。引导型病毒是指病毒侵入系统引导区，从而引发破坏行为的一种病毒特性。DOS启动时，绝大多数引导型病毒感染硬盘主引导扇区和启动时，绝大多数引导型病毒感染硬盘主引导扇区和DOS引导扇区。引导扇区。引导型病毒是把原来的主引导记录保存后用自己的程序替代掉原来的主引引导型病毒是把原来的主引导记录保存后用自己的程序替代掉原来的主引导记录。启动时，当病毒体得到控制权，在做完了处理后，病毒将保存的原主引导记录。启动时，当病毒体得到控制权，在做完了处理后，病毒将保存的原主引导记录读入导记录读入0000：7C00H处，然后将控制权交给原

3、主引导记录进行启动。这类病处，然后将控制权交给原主引导记录进行启动。这类病毒的感染途径是通过磁盘操作引起的。例如，当用一个染毒的系统软盘启动计算毒的感染途径是通过磁盘操作引起的。例如，当用一个染毒的系统软盘启动计算机时，就有可能将病毒传染给硬盘，从而引起硬盘引导区染毒；同样，当某软盘机时，就有可能将病毒传染给硬盘，从而引起硬盘引导区染毒；同样，当某软盘在一台染毒的计算机上运行时，硬盘上的病毒就可能感染软盘。在一台染毒的计算机上运行时，硬盘上的病毒就可能感染软盘。 引导型病毒能否成功运行的关键技术涉及有以下几个方面：保存主引导记引导型病毒能否成功运行的关键技术涉及有以下几个方面：保存主引导记录、

4、调用录、调用BIOS磁盘服务功能、寻找病毒感染途径和病毒驻留位置。磁盘服务功能、寻找病毒感染途径和病毒驻留位置。2022-6-3计算机病毒及其防治技术5l文件型病毒文件型病毒文件型病毒是文件型病毒是DOS病毒中的大家族，文件病毒有广义和狭义之称。广义的病毒中的大家族，文件病毒有广义和狭义之称。广义的可执行文件病毒包括了通常所说的可执行文件病毒、源码病毒，甚至可执行文件病毒包括了通常所说的可执行文件病毒、源码病毒，甚至bat病毒和病毒和Word宏病毒，狭义的可执行文件病毒即宏病毒，狭义的可执行文件病毒即com型和型和exe型病毒。型病毒。文件型病毒的编制方法一般是将病毒程序植入正常程序中或是将病

5、毒程序文件型病毒的编制方法一般是将病毒程序植入正常程序中或是将病毒程序覆盖正常程序的部分代码，以源文件作为病毒程序的载体，将病毒程序隐藏其间。覆盖正常程序的部分代码，以源文件作为病毒程序的载体，将病毒程序隐藏其间。正常情况下，看不出程序有可变化，当一定的条件满足时，病毒发作，感染和破正常情况下，看不出程序有可变化，当一定的条件满足时，病毒发作，感染和破坏系统。一般作法是利用坏系统。一般作法是利用com或或exe文件的文件头，找到可执行文件的入口，将文件的文件头，找到可执行文件的入口，将病毒程序安插到程序中，重新设置或修改文件的起始代码，并使其能转到病毒程病毒程序安插到程序中，重新设置或修改文件

6、的起始代码，并使其能转到病毒程序运行。病毒程序代码一般分为序运行。病毒程序代码一般分为3个模块：初始设置模块、感染模块和破坏模块。个模块：初始设置模块、感染模块和破坏模块。2022-6-3计算机病毒及其防治技术6l混合型病毒混合型病毒所谓混合型病毒，即既能感染引导区，又能感染文件的病毒。但并所谓混合型病毒，即既能感染引导区，又能感染文件的病毒。但并非将文件型病毒和引导型病毒简单的叠加在一起，其中有一个转换过程，非将文件型病毒和引导型病毒简单的叠加在一起，其中有一个转换过程，这是最关键的。一般采取以下方法：在文件中的病毒执行时将病毒写入这是最关键的。一般采取以下方法：在文件中的病毒执行时将病毒写

7、入引导区，这是很容易理解的。染毒硬盘启动时，用引导型病毒的方法驻引导区，这是很容易理解的。染毒硬盘启动时，用引导型病毒的方法驻留内存，但此时留内存，但此时DOS并未加载，无法修改并未加载，无法修改INT 21中断，也就无法感染文中断，也就无法感染文件，可以用这样的办法，修改件，可以用这样的办法，修改INT 8中断，保存中断，保存INT 21中断目前的地址，中断目前的地址，用用INT 8中断服务程序监测中断服务程序监测INT 21中断的地址是否改变，若改变则说明中断的地址是否改变，若改变则说明DOS已加载，则可修改已加载，则可修改INT 21中断指向病毒传染段。以上是混合型病毒中断指向病毒传染段

8、。以上是混合型病毒关键之处。关键之处。2022-6-3计算机病毒及其防治技术7lWindows病毒的特点病毒的特点主要指针对主要指针对Windows 9x操作系统的病毒。操作系统的病毒。Windows病毒一般感病毒一般感染染Windows 9x系统，其中最典型的病毒有系统，其中最典型的病毒有CIH病毒。一些病毒。一些Windows病病毒不仅在毒不仅在Windows 9x上正常感染，还可以感染上正常感染，还可以感染Windows NT上的其他上的其他文件。主要感染的文件扩展名为文件。主要感染的文件扩展名为exe、scr、dll、ocx等。等。在在Windows 95/98/2000/NT中允许中

9、允许 DOS程序和病毒对软盘进行直程序和病毒对软盘进行直接读写。这对病毒十分有利，对用户来说是十分不幸的；病毒仍然可以接读写。这对病毒十分有利，对用户来说是十分不幸的；病毒仍然可以用相同的方式工作，如同在硬盘中工作一样。并且用相同的方式工作，如同在硬盘中工作一样。并且Windows 95/98/2000/NT很少能阻止它。在很少能阻止它。在Windows，许多新手可以用可视化开，许多新手可以用可视化开发工具的高级语言来编写病毒，因为它们更像用户运行的其他程序，因发工具的高级语言来编写病毒，因为它们更像用户运行的其他程序，因此很难检测出来。此很难检测出来。2022-6-3计算机病毒及其防治技术8

10、lWindows病毒的运行机制病毒的运行机制 感染感染在在Windows操作系统中，一般文件型操作系统中，一般文件型病毒是以病毒是以PE文件作为病毒代码的寄主程序，病毒的感染过程，文件作为病毒代码的寄主程序，病毒的感染过程，就是病毒侵入就是病毒侵入PE文件的过程。文件的过程。 分配驻留所需内存分配驻留所需内存在在Win 32下，每个应用程序都有自己下，每个应用程序都有自己的线性地址空间，必须使用特殊的函数分配的线性地址空间，必须使用特殊的函数分配2GB以上的系统地以上的系统地址。址。 截留截留FILE I/O操作操作驻留型的病毒通过截留驻留型的病毒通过截留FILE I/O来激活，来激活，可以通

11、过使用可以通过使用VxD服务服务IFSMgr_InstallFileSystemAPIHook（如（如CIH）或截留）或截留VxDCall中的中的DOS Services callback（如（如HPS）实现。）实现。 2022-6-3计算机病毒及其防治技术9lWindows病毒编制的关键技术病毒编制的关键技术利用利用Wininit.ini文件技术文件技术Wininit.ini文件属于文件属于Windows启动配置文件，主要用于对一些在启动配置文件，主要用于对一些在Windows运运行过程中无法进行删除、更名或更新等操作的文件在启动过程中进行上述操作，行过程中无法进行删除、更名或更新等操作的文

12、件在启动过程中进行上述操作，它存在的时间很短，操作完成后即被自动删除。它存在的时间很短，操作完成后即被自动删除。利用利用PE文件结构文件结构在在Windows 9x/NT/2000下，所有的可执行文件都是基于下，所有的可执行文件都是基于Microsoft设计的设计的一种新的文件一种新的文件PE格式。有些病毒程序采用同格式。有些病毒程序采用同DOS文件型病毒相似的方法攻击文件型病毒相似的方法攻击PE格式的文件，对格式的文件，对PE格式的文件进行修改，使病毒体侵入和隐藏在该类文件中。格式的文件进行修改，使病毒体侵入和隐藏在该类文件中。利用注册表技术利用注册表技术掌握了注册表，即掌握了对计算机配置的

13、控制权。因此，病毒程序可以通过掌握了注册表，即掌握了对计算机配置的控制权。因此，病毒程序可以通过修改、掌握注册表，来达到控制计算机的目的。这类方法常用的有修改注册表的修改、掌握注册表，来达到控制计算机的目的。这类方法常用的有修改注册表的键值、锁定注册表等。键值、锁定注册表等。2022-6-3计算机病毒及其防治技术10虚拟设备驱动程序（虚拟设备驱动程序（VxD）VxD是一个管理如硬件设备或者已安装软件等系统资源的是一个管理如硬件设备或者已安装软件等系统资源的32位可执行程序，位可执行程序，使得几个应用程序可以同时使用这些资源。使得几个应用程序可以同时使用这些资源。Windows通过使用通过使用V

14、xD允许基于允许基于Windows的应用程序实现多任务。的应用程序实现多任务。VxD在与在与Windows的连接工作中处理中断，的连接工作中处理中断，并为需要进行并为需要进行I/O操作的应用程序执行操作的应用程序执行I/O操作，而且不影响其他应用程序的执行。操作，而且不影响其他应用程序的执行。VxD病毒可以绕过所采用的任何保机制，所以此种病毒相当恶毒。病毒可以绕过所采用的任何保机制，所以此种病毒相当恶毒。其他编制技术其他编制技术在在Windows病毒编制技术中，除了上述几种典型技术外，还有另外一些方病毒编制技术中，除了上述几种典型技术外，还有另外一些方法也较常用，例如，有的病毒程序对程序错误进

15、行屏蔽，使得错误程序继续执行，法也较常用，例如，有的病毒程序对程序错误进行屏蔽，使得错误程序继续执行，从而引起系统损坏。还有的病毒程序是对系统进程进行控制，通过注册远程线程从而引起系统损坏。还有的病毒程序是对系统进程进行控制，通过注册远程线程的方法，使得系统进程无限循环，进程堆积，机器效率逐渐变低，最后使得系统的方法，使得系统进程无限循环，进程堆积，机器效率逐渐变低，最后使得系统瘫痪。对于邮件型病毒，可以通过提取瘫痪。对于邮件型病毒，可以通过提取Windows地址簿文件（地址簿文件（*.wab）的）的E-mail信息，不断发送邮件，造成系统灾难。信息，不断发送邮件，造成系统灾难。2022-6-

16、3计算机病毒及其防治技术11l网络病毒的特点网络病毒的特点网络病毒是指能在网络中传播、复制及破坏并以网络为平台，对计网络病毒是指能在网络中传播、复制及破坏并以网络为平台，对计算机产生安全威胁的所有程序的总和。一般来说，病毒传播通过网络平算机产生安全威胁的所有程序的总和。一般来说，病毒传播通过网络平台，从一台机器传染到另一台机器，然后传遍网上的全部机器。一般发台，从一台机器传染到另一台机器，然后传遍网上的全部机器。一般发现网络上有一个站点上有病毒，那么其他站点也会有类似病毒。一个网现网络上有一个站点上有病毒，那么其他站点也会有类似病毒。一个网络系统只要有入口站点，那么，就很有可能感染上网络病毒，

17、使病毒在络系统只要有入口站点，那么，就很有可能感染上网络病毒，使病毒在网上的传播扩散，甚至会破坏系统。病毒在网络环境下的传播，实际上网上的传播扩散，甚至会破坏系统。病毒在网络环境下的传播，实际上是按是按“客户机客户机服务器服务器客户机客户机”这种方式进行数据的循环传播。因此，这种方式进行数据的循环传播。因此，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。还具有一些新的特点。 即：感染速度快即：感染速度快 、扩散面广、传播的形式复杂、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大、可激发性

18、、潜在性等。多样、难于彻底清除、破坏性大、可激发性、潜在性等。 2022-6-3计算机病毒及其防治技术12l网络病毒常用攻击方法网络病毒常用攻击方法网络病毒程序攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性网络病毒程序攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人计算机系统、盗窃系统保密信息、破坏目标信息炸弹；破坏性攻击是以侵入他人计算机系统、盗窃系统保密信息、破坏目标系统的数据为目的。常见的有：系统的数据为目的

19、。常见的有：设置网络木马（设置网络木马（Trojan）网络监听网络监听 网络蠕虫（网络蠕虫（Worm）捆绑器病毒（捆绑器病毒（Binder）新帮凶新帮凶网页病毒网页病毒后门程序后门程序 黑客程序（黑客程序（Hack）信息炸弹信息炸弹 拒绝服务拒绝服务 2022-6-3计算机病毒及其防治技术13l宏病毒的特点宏病毒的特点宏病毒是一些制作病毒的专业人员利用宏病毒是一些制作病毒的专业人员利用MS Office的开放性即的开放性即Word和和Excel中提供的中提供的Word Basic/Excel Basic编程接口，专门制作的一个或多个具有编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种

20、病毒宏的集合影响到计算机使用，并能通过病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过doc文档文档及及dot模板进行自我复制及传播。模板进行自我复制及传播。宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同

21、文件之间的共享和传递，从而在未经使用者许可的情况下获取实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到传染的目的。某种控制权，达到传染的目的。宏病毒的主要特点有：传播极快；制作、变种方便；破坏可能性极大；多宏病毒的主要特点有：传播极快；制作、变种方便；破坏可能性极大；多平台交叉感染；专门感染数据文件；无法使用平台交叉感染；专门感染数据文件；无法使用“另存为另存为” 等等2022-6-3计算机病毒及其防治技术14l木马病毒的基本概念木马病毒的基本概念“木马木马”是是“特洛伊木马特洛伊木马”的简称，英文叫做的简称，英文叫做“Trojan house”。木马程。

22、木马程序是由两部分组成的，分别是服务（序是由两部分组成的，分别是服务（Server）端程序和客户（）端程序和客户（Client）端程序。）端程序。木马病毒具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为木马病毒具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望由于不能确定其具体位置，往往只能望“马马”兴叹。所谓非授权性是指一旦控制兴叹。所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操

23、作权限，包括修改文件、修端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。程序窃取的。木马病毒的主要危害是对系统安全性的损害，木马病毒的典型症状是偷窃木马病毒的主要危害是对系统安全性的损害，木马病毒的典型症状是偷窃口令，包括拨号上网的口令、信箱口令、主页口令、甚至网络信用卡口令等。其口令，包括拨号上网的口令、信箱口令、主页口令、甚至网络信用卡口令等。其次，可以通过木马程序传播病毒库。最后，它能使远程用户获得本地机器的最高次，

24、可以通过木马程序传播病毒库。最后，它能使远程用户获得本地机器的最高操作权限，通过网络对本地计算机进行任意的操作。操作权限，通过网络对本地计算机进行任意的操作。2022-6-3计算机病毒及其防治技术15l木马病毒的种类木马病毒的种类远程访问型特洛伊木马远程访问型特洛伊木马远程访问型特洛伊木马是现在最广泛的特洛伊木马。远程访问型特洛伊木马是现在最广泛的特洛伊木马。这这种木马可以访问远程硬盘、安装服务端程序。种木马可以访问远程硬盘、安装服务端程序。密码发送型木马密码发送型木马密码发送型木马的目的是找到所有的隐藏密码，并且在密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送

25、到指定的信箱。受害者不知道的情况下把它们发送到指定的信箱。键盘记录型木马键盘记录型木马键盘记录型木马是非常简单一种木马，它只做一种事键盘记录型木马是非常简单一种木马，它只做一种事情，情，就是记录受害者的键盘敲击，并且在就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。文件里做完整的记录。毁坏型木马毁坏型木马毁坏型木马的惟一功能是毁坏并且删除文件。毁坏型木马的惟一功能是毁坏并且删除文件。FTP型木马型木马FTP型木马能够打开计算机的型木马能够打开计算机的21端口（端口（FTP所使用的所使用的 默默认端口），使网络中的其他用户可以用一个认端口），使网络中的其他用户可以用一个FTP客户端程序

26、而不用密码客户端程序而不用密码连连接到计算机，并且可以进行最高权限的上传下载。接到计算机，并且可以进行最高权限的上传下载。2022-6-3计算机病毒及其防治技术16l木马病毒的运行机制木马病毒的运行机制木马病毒的伪装方式木马病毒的伪装方式修改图标、捆绑文件、出错显示、定制端口、自我修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名等。销毁、木马更名等。木马病毒的触发条件木马病毒的触发条件修改注册表，将启动木马的触发条件放入某一注册修改注册表，将启动木马的触发条件放入某一注册表项下。利用表项下。利用WIN.INI:C:WINDOWS目录下的配置文件目录下的配置文件win.ini。利用。利

27、用SYSTEM.ini:C:WINDOWS目录下的配置文件目录下的配置文件system.ini。利用在。利用在C盘根目录下盘根目录下的的Autoexec.bat和和Config.sys这两个文件也可以启动木马。利用应用程序的启动这两个文件也可以启动木马。利用应用程序的启动配置文件配置文件*.ini。利用启动菜单和捆绑文件等。利用启动菜单和捆绑文件等。木马病毒的运行机制木马病毒的运行机制木马程序为了能在每次开机的时候进入内存发挥作木马程序为了能在每次开机的时候进入内存发挥作用，主要手法是加载到注册表的启动组中，也有些会捆绑到其他程序中附带进入用，主要手法是加载到注册表的启动组中，也有些会捆绑到其

28、他程序中附带进入内存，这些被捆绑程序在计算机启动的时候内存，这些被捆绑程序在计算机启动的时候Windows自动运行的，也有用户自己自动运行的，也有用户自己需要而运行的。需要而运行的。2022-6-3计算机病毒及其防治技术17手机病毒是一类计算机程序，可利用发送普通短信、彩信、上网浏手机病毒是一类计算机程序，可利用发送普通短信、彩信、上网浏览、下载软件、铃声等方式，实现网络到手机、或者手机与手机之间传览、下载软件、铃声等方式，实现网络到手机、或者手机与手机之间传播，具有类似计算机病毒的危害后果，包括播，具有类似计算机病毒的危害后果，包括“软软”伤害伤害(如死机、关机、如死机、关机、删除存储的资料

29、、向外发送垃圾邮件、拨打电话等删除存储的资料、向外发送垃圾邮件、拨打电话等)和和“硬硬”伤害伤害(损毁损毁SIM卡、芯片等硬件损坏卡、芯片等硬件损坏)。手机病毒初次登场是在手机病毒初次登场是在2000年年6月，世界上第一个手机病毒月，世界上第一个手机病毒VBS.Timofonica在西班牙出现。目前，随着手机行业的快速发展和基在西班牙出现。目前，随着手机行业的快速发展和基于手机的应用不断增多，手机病毒不多见的局面已经开始发生变化，这于手机的应用不断增多，手机病毒不多见的局面已经开始发生变化，这主要在于在手机设计制造过程中引进了一些新技术，为手机病毒的产生、主要在于在手机设计制造过程中引进了一些

30、新技术，为手机病毒的产生、保存、传播都创造了条件，因此手机病毒的出现和发展也仅仅只是时间保存、传播都创造了条件，因此手机病毒的出现和发展也仅仅只是时间问题而已。问题而已。 2022-6-3计算机病毒及其防治技术18l手机病毒攻击方式手机病毒攻击方式手机病毒一般会从两个方面进行攻击：一是攻击移动网络，通过对网络服手机病毒一般会从两个方面进行攻击：一是攻击移动网络，通过对网络服务器和网关的破坏和控制，使用户无法正常收发短信息，享受正常的移动数据服务器和网关的破坏和控制，使用户无法正常收发短信息，享受正常的移动数据服务，并且还会向手机用户发送大量的垃圾信息；二是直接对对手机进行攻击，利务，并且还会向

31、手机用户发送大量的垃圾信息；二是直接对对手机进行攻击，利用手机的操作系统的漏洞，破坏手机操作系统，删除手机中存储的数据，使手机用手机的操作系统的漏洞，破坏手机操作系统，删除手机中存储的数据，使手机系统不能正常工作甚至崩溃，并且也有可能损坏手机芯片，使手机硬件也受损。系统不能正常工作甚至崩溃，并且也有可能损坏手机芯片，使手机硬件也受损。l手机病毒编制手机病毒编制手机病毒以其潜在的破坏性、隐蔽性和攻击性，正在对手机及其网络移动手机病毒以其潜在的破坏性、隐蔽性和攻击性，正在对手机及其网络移动设备造成极大的威胁，但其病毒编制技术一般是利用手机本身设计缺陷或软件程设备造成极大的威胁，但其病毒编制技术一般

32、是利用手机本身设计缺陷或软件程序缺陷，寻找可以利用的漏洞，编制程序进行攻击。这些攻击程序可能占领短信序缺陷，寻找可以利用的漏洞，编制程序进行攻击。这些攻击程序可能占领短信网关或者利用网关漏洞向手机发送大量短信，进行短信拒绝服务攻击。典型的就网关或者利用网关漏洞向手机发送大量短信，进行短信拒绝服务攻击。典型的就是利用各大门户网站的手机服务漏洞，写病毒程序，不停的用某个手机号码订阅是利用各大门户网站的手机服务漏洞，写病毒程序，不停的用某个手机号码订阅某项服务或者退定某个服务，某项服务或者退定某个服务，SMS.Flood手机病毒就是这样一个程序。手机病毒就是这样一个程序。2022-6-3计算机病毒及

33、其防治技术198.1 病毒的检测方法病毒的检测方法8.2 典型病毒的检测实验典型病毒的检测实验2022-6-3计算机病毒及其防治技术20计算机病毒进行传染，必然会留下痕迹。检测计算机病毒，就是要计算机病毒进行传染，必然会留下痕迹。检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明到病毒寄生场所去检查，发现异常情况，并进而验明“正身正身”，确认计，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中。因算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。此对计算机病毒的检测分为对内存的检测和对磁盘的检测。

34、病毒检测的原理病毒检测的原理主要是基于下列几种方法：主要是基于下列几种方法： 利用病毒特征代码串利用病毒特征代码串的特征代码法、利用文件内容校验的校验和法、利用病毒特有行为特征的特征代码法、利用文件内容校验的校验和法、利用病毒特有行为特征的行为监测法、用软件虚拟分析的软件模拟法、比较被检测对象与原始的行为监测法、用软件虚拟分析的软件模拟法、比较被检测对象与原始备份的比较法、利用病毒特性进行检测的感染实验法以及运用反汇编技备份的比较法、利用病毒特性进行检测的感染实验法以及运用反汇编技术分析被检测对象确认是否为病毒的分析法。术分析被检测对象确认是否为病毒的分析法。2022-6-3计算机病毒及其防治

35、技术21l特征代码法特征代码法特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。其原特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。其原理是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒理是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，简称码资料库中，简称“病毒库病毒库”，检测时，以扫描的方式将待检测程序与病毒库中，检测时，以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比，如果发现有相同的代码，则可判定该程序已遭病毒的病毒特征码进行一一对比，如果发现有相同的代码，则可判定该程序已遭病毒感染。特征代码法检测病毒的

36、实现步骤如下：感染。特征代码法检测病毒的实现步骤如下： 采集已知病毒样本。采集已知病毒样本。 从病毒样本中，抽取病毒特征代码。从病毒样本中，抽取病毒特征代码。 将特征代码纳入病毒数据库。将特征代码纳入病毒数据库。 打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。病毒特征代码。 如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。被查文件中患有何种病毒。2022-6-3计算机病毒及其防治技术22l校验和法校验和法

37、校验和法是将正常文件的内容，计算其校验和法是将正常文件的内容，计算其“校验和校验和”，将该校验和写入文件中，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，以此来发现文件是否感染。现在内容算出的校验和与原来保存的校验和是否一致，以此来发现文件是否感染。采用校验和法检测病毒，它既可发现已知病毒又可发现未知病毒。校验和法对隐蔽采用校验和法检测病毒，它既可发现已知病毒又可发现未知病毒。校验和法对隐蔽性病毒无效。运用校验和法查病毒可采用性病

38、毒无效。运用校验和法查病毒可采用3种方式：种方式： （1） 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。（2） 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实行应用程序的自检测。实行应用程序的

39、自检测。（3） 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。查应用程序内部或别的文件中预先保存的校验和。2022-6-3计算机病毒及其防治技术23l行为监测法行为监测法利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。通过对病利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，人们发现有一些行为是病毒的共同行为，而且比较特殊。毒多年的观察、研究，人们发现有一些行为是病毒的共同行为，而且比较特殊。当程序运行时，监视其行为，如果发现了病毒行为

40、，立即报警。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。l软件模拟法软件模拟法它是一种软件分析器，用软件方法来模拟和分析程序的运行，以后演绎为它是一种软件分析器，用软件方法来模拟和分析程序的运行，以后演绎为虚拟机上进行的查毒，启发式查毒技术等，是相对成熟的技术。新型检测工具纳虚拟机上进行的查毒，启发式查毒技术等，是相对成熟的技术。新型检测工具纳入了软件模拟法，该类工具开始运行时，使用特征代码法检测病毒，如果发现隐入了软件模拟法，该类工具开始运行时，使用特征代码法检测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身蔽病毒或多态性病毒嫌疑时，启动软

41、件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法来识别病毒的种类。的密码译码以后，再运用特征代码法来识别病毒的种类。2022-6-3计算机病毒及其防治技术24l比较法比较法比较法是用原始的或正常的文件与被检测的文件进行比较。比较法包括长比较法是用原始的或正常的文件与被检测的文件进行比较。比较法包括长度比较法、内容比较法、内存比较法、中断比较法等。比较时可以靠打印的代码度比较法、内容比较法、内存比较法、中断比较法等。比较时可以靠打印的代码清单（比如清单（比如DEBUG的口命令输出格式）进行比较，或用程序来进行比较（如的口命令输出格式）进行比较，或用程序来进行比较（如DOS的

42、的DISKCOMP、COMP或或PCTOOLS等其他软件）。这种比较法不需要专用等其他软件）。这种比较法不需要专用的查病毒程序，只要用常规的查病毒程序，只要用常规DOS软件和软件和 PCTOOLS等工具软件就可以进行。等工具软件就可以进行。l感染实验法感染实验法这种方法的原理是利用了病毒的最重要的基本特征：这种方法的原理是利用了病毒的最重要的基本特征： 感染特性。所有的病感染特性。所有的病毒都会进行感染，如果不会感染，就不称其为病毒。如果系统中有异常行为，最毒都会进行感染，如果不会感染，就不称其为病毒。如果系统中有异常行为，最新版的检测工具也查不出病毒时，就可以做感染实验，运行可疑系统中的程序

43、后，新版的检测工具也查不出病毒时，就可以做感染实验，运行可疑系统中的程序后，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和，如果发现有的程序增长，或者校验和变化，就可断言系统中有病毒。如果发现有的程序增长，或者校验和变化，就可断言系统中有病毒。2022-6-3计算机病毒及其防治技术25l分析法分析法要使用分析法检测病毒，其条件除了要具有相关的知识外，还需要要使用分析法检测病毒，其条件除了要具有相关的知识外，还需要DEBUG、PROVIEW等供分析用的工具程序和专用的试验用计算机。分析的步骤分为动态等

44、供分析用的工具程序和专用的试验用计算机。分析的步骤分为动态和静态两种。和静态两种。 静态分析是指利用静态分析是指利用DEBUG等反汇编程序将病毒代码打印成反汇编等反汇编程序将病毒代码打印成反汇编后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪后的程序清单进行分析，看病毒分成哪些模块，使用了哪些系统调用，采用了哪些技巧，如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代些技巧，如何将病毒感染文件的过程翻转为清除病毒、修复文件的过程，哪些代码可被用做特征码以及如何防御这种病毒。码可被用做特征码以及如何防御这种病毒。l病毒检测工具病毒检测工具最省工省时的检测方法是使

45、用杀毒工具，如瑞星杀毒软件、最省工省时的检测方法是使用杀毒工具，如瑞星杀毒软件、KV3000、金山、金山毒霸、毒霸、MSD.exe、CPAV.exe、SCAN.exe等软件。所以，用户只须根据自己的需等软件。所以，用户只须根据自己的需要选择一定的检测工具，详读使用说明，按照软件中提供的菜单和提示，一步一要选择一定的检测工具，详读使用说明，按照软件中提供的菜单和提示，一步一步地操作下去，便可实现检测目的。步地操作下去，便可实现检测目的。2022-6-3计算机病毒及其防治技术26l系统型病毒的检测系统型病毒的检测检测检测Boot扇区病毒一般使用扇区病毒一般使用DEBUG等能够直接对磁盘进行读写的工

46、具。等能够直接对磁盘进行读写的工具。检测检测Boot扇区病毒时，可以先用扇区病毒时，可以先用L命令将磁盘的命令将磁盘的Boot扇区读入内存。一般引导型扇区读入内存。一般引导型病毒（病毒（Boot扇区病毒）的检测方法为：扇区病毒）的检测方法为： 启动启动DEBUG。 把含有特定病毒的病毒样本盘插入软盘驱动器，读把含有特定病毒的病毒样本盘插入软盘驱动器，读Boot扇区进内存。扇区进内存。 用用S命令搜索特定病毒特征代码。命令搜索特定病毒特征代码。 如果找到特定病毒的特征代码，即可确诊该盘染有该病毒。如果找到特定病毒的特征代码，即可确诊该盘染有该病毒。2022-6-3计算机病毒及其防治技术27l文件

47、型病毒的检测文件型病毒的检测COM型文件病毒的检测型文件病毒的检测 将将com文件读入内存；文件读入内存； 计算文件搜索长度；计算文件搜索长度； 搜索病毒特征代码。搜索病毒特征代码。exe型文件病毒的检测型文件病毒的检测 将将exe文件读入内存；文件读入内存； 计算搜索长度。如果文件长度大于计算搜索长度。如果文件长度大于64KB时，以时，以64KB为单位，将整个文为单位，将整个文件分为几块，确定每块的段地址，分块测试；件分为几块，确定每块的段地址，分块测试； 如果如果exe文件长度小于文件长度小于64KB时，直接搜索病毒特征代码。时，直接搜索病毒特征代码。2022-6-3计算机病毒及其防治技术

48、28l电子邮件型病毒的检测电子邮件型病毒的检测当收到邮件时，先看邮件大小，如果发现邮件中无内容，无附件，邮件自当收到邮件时，先看邮件大小，如果发现邮件中无内容，无附件，邮件自身的大小又有几十身的大小又有几十KB或者更大，那么此邮件中极有可能包含有病毒，可直接从计或者更大，那么此邮件中极有可能包含有病毒，可直接从计算机中删除，然后再清空垃圾邮箱；下一步的操作非常重要，在清空垃圾邮箱后，算机中删除，然后再清空垃圾邮箱；下一步的操作非常重要，在清空垃圾邮箱后，一定要压缩一遍邮箱，不然杀毒软件在下次查毒时还会报有病毒；如果发现收到一定要压缩一遍邮箱，不然杀毒软件在下次查毒时还会报有病毒；如果发现收到的

49、邮件对方地址非常陌生，域名极不像正常的国内邮箱，那就很有可能是收到病的邮件对方地址非常陌生，域名极不像正常的国内邮箱，那就很有可能是收到病毒了，这个时候，也可以选择直接删除。看附件的后缀名，如果是双后缀那么极毒了，这个时候，也可以选择直接删除。看附件的后缀名，如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接删除即可。有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接删除即可。当收到带有附件的邮件时，如果附件为可执行文件（当收到带有附件的邮件时，如果附件为可执行文件（*.exe、*.com）或带）或带有宏功能的附件（有宏功能的附件（*.doc等）时，先不要选择打开，可以用两种

50、方法来检测是否带等）时，先不要选择打开，可以用两种方法来检测是否带有病毒。一种方法是利用杀毒软件的邮件病毒监视功能来过滤掉邮件中可能存在有病毒。一种方法是利用杀毒软件的邮件病毒监视功能来过滤掉邮件中可能存在的病毒；另一种方法是先把附件另存在硬盘上，然后用杀毒软件检测。的病毒；另一种方法是先把附件另存在硬盘上，然后用杀毒软件检测。2022-6-3计算机病毒及其防治技术29l特洛伊木马病毒的检测特洛伊木马病毒的检测有有3种检测特洛伊木马的方法；观察、校验和审计跟踪。种检测特洛伊木马的方法；观察、校验和审计跟踪。观察法是通常由管理员进行的一项非正式的检测技术，它不是一种严格的观察法是通常由管理员进行

51、的一项非正式的检测技术，它不是一种严格的科学的检测方法，还必须使用校验和审计跟踪方法。科学的检测方法，还必须使用校验和审计跟踪方法。校验是通过对文件进行比较以达到检测特洛伊木马的目的。当一个程序的校验是通过对文件进行比较以达到检测特洛伊木马的目的。当一个程序的校验和与它的可信状态下的校验和进行比较时，就能够确认程序是否改动，特洛校验和与它的可信状态下的校验和进行比较时，就能够确认程序是否改动，特洛伊木马自然就无法隐藏。如果两个校验和数值相同，程序就没有感染特洛伊木马，伊木马自然就无法隐藏。如果两个校验和数值相同，程序就没有感染特洛伊木马，否则，文件已经被改动过，应该及时更新。否则，文件已经被改

52、动过，应该及时更新。另一种检测特洛伊木马的技术是采用审计跟踪。在大多数情况下，一个特另一种检测特洛伊木马的技术是采用审计跟踪。在大多数情况下，一个特洛伊木马的活动能够被审计跟踪所记录下来，根据审计跟踪的记录能够发现它存洛伊木马的活动能够被审计跟踪所记录下来，根据审计跟踪的记录能够发现它存在的证据。这需要能够对审计记录进行仔细的分析。审计记录也许不能具体到足在的证据。这需要能够对审计记录进行仔细的分析。审计记录也许不能具体到足以帮助管理员识别和定位特洛伊木马，这时管理员需要综合采用以上以帮助管理员识别和定位特洛伊木马，这时管理员需要综合采用以上3种方法来种方法来跟踪和确定特洛伊木马的存在。跟踪和

53、确定特洛伊木马的存在。2022-6-3计算机病毒及其防治技术30l网络型病毒的检测网络型病毒的检测网络病毒检测通常是通过一些网络安全工具，对系统进行检查。其实最好的防网络病毒检测通常是通过一些网络安全工具，对系统进行检查。其实最好的防范方法就是管理员经常对系统进行管理，对登录范方法就是管理员经常对系统进行管理，对登录LOG进行分析，对网络的通信量进进行分析，对网络的通信量进行分析，以查找任何蛛丝马迹。行分析，以查找任何蛛丝马迹。快速有效地判断或检测出网络病毒对网络安全起着至关重要的作用，要做到这快速有效地判断或检测出网络病毒对网络安全起着至关重要的作用，要做到这一点，必须对网络病毒的攻击方法有

54、相当的了解。网络病毒的传播一般是通过发现一点，必须对网络病毒的攻击方法有相当的了解。网络病毒的传播一般是通过发现目标计算机的漏洞入侵系统或是利用口令猜测入侵系统。目标计算机的漏洞入侵系统或是利用口令猜测入侵系统。这种方法往往会耗费大量的时间，而且，每次登录不管是否成功都会在目标计这种方法往往会耗费大量的时间，而且，每次登录不管是否成功都会在目标计算机上留下记录，会引起注意。另一种方法就是发现和利用目标计算机的漏洞，直算机上留下记录，会引起注意。另一种方法就是发现和利用目标计算机的漏洞，直接顺利进入。其中，发现目标计算机漏洞的方法使用最多的是缓冲区溢出法。通过接顺利进入。其中，发现目标计算机漏洞

55、的方法使用最多的是缓冲区溢出法。通过这个方法，使得目标计算机以最高级别的权限来运行用来攻击的后门程序，从而入这个方法，使得目标计算机以最高级别的权限来运行用来攻击的后门程序，从而入侵系统。还有一些入侵的方法是采用像侵系统。还有一些入侵的方法是采用像IP地址欺骗等那样的手段。它的原理就是通地址欺骗等那样的手段。它的原理就是通过各种欺骗手段，取得目标计算机的信任，从而可以顺利地进入目标计算机。过各种欺骗手段，取得目标计算机的信任，从而可以顺利地进入目标计算机。2022-6-3计算机病毒及其防治技术319.1 计算机病毒的清除技术计算机病毒的清除技术9.2 计算机病毒的预防技术计算机病毒的预防技术9

56、.3 计算机病毒免疫计算机病毒免疫9.4 硬盘数据的恢复硬盘数据的恢复9.5 常用反病毒策略和技术常用反病毒策略和技术2022-6-3计算机病毒及其防治技术32计算机病毒的防治要从计算机病毒的防治要从防毒、查毒和解毒防毒、查毒和解毒3个方面来进行；同样，个方面来进行；同样，系统对于计算机病毒的实际防治能力和防治效果也要从系统对于计算机病毒的实际防治能力和防治效果也要从防毒能力、查毒防毒能力、查毒能力和解毒能力能力和解毒能力3方面来评判。方面来评判。防毒防毒指的是根据系统特性，采取相应的系统安全措施预防病毒侵入指的是根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。计算机。查毒查毒指的是对

57、于确定的环境（包括内存、文件、引导区、网络等），指的是对于确定的环境（包括内存、文件、引导区、网络等），能够准确地报出病毒名称。能够准确地报出病毒名称。解毒解毒指的是根据不同类型病毒对感染对象的修改，并按照病毒的感指的是根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区、可执行文件、文档文件、网络等。对象包括内存、引导区、可执行文件、文档文件、网络等。2022-6-3计算机病毒及其防治技术33防毒能力防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒

58、措施，应可是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确、实时地监测预警经由光盘、软盘、硬盘、局域网、因特网（包括以准确、实时地监测预警经由光盘、软盘、硬盘、局域网、因特网（包括FTP方方式、式、E-mail、HTTP等方式）或其他形式的文件下载等多种方式进行的传输；能等方式）或其他形式的文件下载等多种方式进行的传输；能够在病毒侵入系统时发出警报，记录携带病毒的文件，及时清除其中的病毒；对够在病毒侵入系统时发出警报，记录携带病毒的文件，及时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，网络而言，能够向网络管理员发送关于病毒入侵的信息，

59、记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。必要时还要能够注销工作站，隔离病毒源。查毒能力查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒，准确查找出病毒的来源，并能给出统计报告。查解病算机系统是否感染有病毒，准确查找出病毒的来源，并能给出统计报告。查解病毒的能力应由查毒率和误报率来评判。毒的能力应由查毒率和误报率来评判。解毒能力解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。解毒能力用解毒率来评判。力。解毒能

60、力用解毒率来评判。2022-6-3计算机病毒及其防治技术34清除计算机病毒要建立在正确检测病毒的基础之上。清除计算机病清除计算机病毒要建立在正确检测病毒的基础之上。清除计算机病毒主要应做好以下工作：毒主要应做好以下工作： （1） 清除内存中的病毒。清除内存中的病毒。（2） 清除磁盘中的病毒。清除磁盘中的病毒。（3） 病毒发作后的善后处理。病毒发作后的善后处理。大多数商品化的软件为保证对病毒的正确检测，都对内存进行检测。大多数商品化的软件为保证对病毒的正确检测，都对内存进行检测。但清除内存中病毒的软件并不多，一般都要求从干净的系统盘启动后再但清除内存中病毒的软件并不多，一般都要求从干净的系统盘启