计算机病毒论文

1、网络攻击与防御技术论文计算机病毒论文2网络攻击与防御技术论文摘 要随着计算机网络技术的高速发展,利用广泛开放的网络环境进行全球通信已成为时代发展的趋势。但是网络在给人们带来巨大便利的同时也带来了各种各样的安全威胁,其中计算机病毒就是其中之一,并且随着互联网的发展,计算机病毒传播的速度越来越快,给人们带来的危害也越来越大,因此如何对计算机病毒进行防治对于计算机安全来说就显得非常关键。目前计算机的应用遍及到社会的各个领域，同时计算机病毒也给笔者带来了巨大的破坏和潜在的威胁。对于大多数计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机的普及与深入，

2、对计算机病毒的防范也在越来越受到计算机用户的重视。作为计算机的使用者，应了解计算机病毒的防治技术和检测应用，以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作，计算机病毒的防治技术，已经迫在眉睫。本论文从计算机病毒的定义入手，浅谈计算机病毒的特点及其防治技术及其检测应用。计算机病毒更新速度快，层出不穷，给计算机个人用户和政府、企业等都带来了巨大的危害。作为是计算机的使用者，同时也是计算机的专业的学者，就该应了解计算机病毒的防治技术及其检测应用，以维护正常、安全的计算机使用和通信环境。全文就计算机病毒防治技术及其检测应用的途径与防治研究做了详细论述。关键字：计算机安全，病毒，

3、防治技术，检测应用47目 录摘 要1第一章 前言4第二章 计算机病毒的产生与分类52.1计算机病毒含义52.2病毒产生的特点62.3 计算机病毒分类72.3.1 按病毒存在的媒体分类72.3.2 按病毒传染的方法分类72.3.3 按病毒破坏的能力分类82.3.4 按病毒算法分类82.3.5 按计算机病毒的链结方式分类92.3.6 按病毒攻击操作系统分类9第三章 计算机病毒的传播途径分析113.1 计算机病毒传播途径关键环节113.2 计算机病毒传播途径113.3 计算机病毒传播特性143.3.1 计算机病毒的传染性143.3.2 计算机病毒的隐蔽性143.3.3 计算机病毒的潜伏性153.3.

4、4 计算机病毒的破坏性163.3.5 计算机病毒的针对性163.3.6 计算机病毒的不可预见性16第四章 计算机病毒的防治研究184.1 特征代码技术的特征值184.2 校验和法技术214.3 行为监测法技术224.4 软件模拟技术244.5 常见病毒的分析与防治254.5.1 宏病毒254.5.2 网页病毒274.5.3 邮件病毒294.5.4 脚本病毒304.5.5 蠕虫病毒334.5.6 特洛伊木马35结束语44参考文献46 第一章 前言计算机技术的迅猛发展给人们的工作和生活带来了前所未有的便利和效率，成为现代社会不可缺少的一部分。计算机系统并不是安全的,其不安全因素有计算机信息系统自身

5、的存在,也有人为因素的存在。计算机病毒就是最不安全的因素之一，它不但会造成资源和财富的巨大浪费，而且有可能造成社会性的大灾难。计算机病毒被人们称之为“21世纪最大的隐患”，病毒数量将呈现爆炸式的增长，病毒变种更是多不胜数，因此研究计算机病毒机理和反病毒技术具有重要意义。本文将简述了解计算机病毒产生的原理，根据计算机病毒的感染方式,对病毒进行了分类，同时还根据计算机感染方式作了详细探讨它的入侵方式，在对分析计算机病毒将可能产生的各种溢出漏洞和后门，并给出了具体的防范措施和几种对抗计算机病毒的一些有效的软件工具，并对未来病毒的形式以及抗病毒技术进行了进一步的预测。第二章 计算机病毒的产生与分类2.

6、1计算机病毒含义计算机病毒是指编制者在计算机程序中插入的内容,能破坏数据或破坏计算机功能，并能起到影响计算机的使用,具有自我复制的一段计算机指令或者程序代码, 在计算机运行中对计算机信息或系统起破坏作用的程序。计算机病毒的特点是人为的特制的程序，自我复制能力很强，具有很强的传染性，一定的潜伏性，在特定的触发条件下它具有很大的破坏性。在网络飞速发展的现代化信息时代的今天，病毒呈现出病毒的多样性、翻新速度快、传播途径多、扩散速度极快、目的性和针对性更强等新特点。简单地说，计算机病毒是一种特殊的计算机程序。因为这种特殊的程序，它像微生物学所称的病毒一样，在计算机系统中繁殖、生存和传播，并像微生物学中

7、的病毒对动植物体带来疾病那样，这种特殊的计算机程序 可以对计算机系统资源造成严重的破坏。所以人们就借用了这个微生物学名词，来形象地描述这种特殊的计算机程序。并称之为“计算机病毒”(Computer virus).2.2病毒产生的特点计算机病毒就是一些具有“病毒”功能的程序或程序段,把自己的一个副本附加到另一个程序上面进行复制,并广泛传播,干扰正常工作,占用系统资源,损坏数据等。其特点:（1）感染性是指计算机病毒具有把自身复制到其他程序中的特性。（2）隐蔽性是指具有很高的编程染技巧、短小精悍的程序，通过附在正常程序中或磁盘较隐蔽的地方。（3）潜伏性指病毒感染系统之后一般不会马上发作，它可长期隐藏

8、在系统中，只有在满足特定的条件下时才启动其表现（破坏）模块。（4）破坏性是指任何计算机病毒只要侵入系统,都会对系统及应用程序产生程度不同的破坏,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。 （5）衍生性是指改动已有的计算机病毒程序而衍生出的新计算机病毒,可能比原计算机病毒具有更大的危害性。（6）不可预见性是指从对计算机病毒的检测方面来看，计算机病毒还有不可预见性，不同种类的计算机病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。由它的特点笔者也可以看出计算机病毒的结构组成包括传播机制,也称为感染机制,目的在于实现自身的复制和自身的隐藏;触发机制,包括日期和时间、

9、键盘、感染、启动、磁盘访问和中断访问触发等;破坏机制主要攻击系统数据区、文件和硬盘、内存等等。2.3 计算机病毒分类2.3.1 按病毒存在的媒体分类 网络病毒：通过计算机的网络传播媒介不再是移动式载体，而是在网络通道中传播，这种病毒的传染能力更强，破坏力更大，主要感染的是可执行文件； 文件病毒：文件型病毒主要以感染文件扩展名为.COM，.EXT，和.OVL等执行程序为主，它的安装必须借助于病毒的载体程序，方能把文件型病毒引入内存； 引导型病毒：引导型病毒是一种在ROM BIOS之后，系统引导时的病毒，它先于操作系统，依托的环境是BOIS中断服务程序,它主要感染的是启动扇区（BOOT）和硬盘的系

10、统引导扇区（MBR）； 混合型病毒：是上述三种情况的混合，该病毒是利用文件感染时伺机感染引导区，因而具有双重传播能力；2.3.2 按病毒传染的方法分类 引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。 执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。 网络传染病毒：这类病毒是当前病毒的主流性病毒，特点是通过互联网络进行传播。如，蠕虫病毒就是通过主机的漏洞在网上迅速传播。 2.3.3 按病毒破坏的能力分类 无害型：除了传染时减少磁盘的可用空间外，对系统并没有什么其它影响。 危险型：这类病毒在计算机系统操作中造成严

11、重的错误。 无危险型：这类病毒仅仅是减少系统的内存、显示图像、并发出声音及其同类发的音响。 非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。2.3.4 按病毒算法分类 伴随型病毒：这类病毒并不改变文件本身,根据算法产生扩展名为.EXE文件的伴随体，具有同样的名字和不同的扩展名（.COM）,如：XCOPY.EXE的伴随体是XCOPY.COM。 蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用互联网从一台计算机的内存传播到其它机器上的内存，计算网络地址，将自身的病毒通过互联网发送。有时它会在系统内存在，一般除了内存不占用其它资源。 寄生型病毒：依附在系统的主

12、从引导扇区中或文件中，通过系统进行传播。 练习型病毒：病毒自身就包含的有错误，不能进行有效的传播，例如病毒在调试阶段。 变形病毒：这类病毒使用的是一个比较复杂的算法，使自己每 传播一份都具有不同的内容和不同的长度。它一般的作法是一段混合，有无关系指令的解码算法和经过变化的病毒体组成。2.3.5 按计算机病毒的链结方式分类 源码型病毒：该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译插入到源程序中，经编译成为合法的一部分。 嵌入型病毒：这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。另外这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。如果同

13、时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。 外壳型病毒：这种病毒最为常见,易于编写,也是易于被发现,一般测试的是文件的大小即可知道.壳型病毒将其自身包围在主程序的四周,并对原来的程序不作任何修改。 操作系统型病毒：这类病毒用的是程序意图加入或取代部分操作系统从而进行工作,具有很强的破坏能力,可以导致整个系统的瘫痪,甚至死机或关机,如圆点病毒和大麻病毒就是典型的操作系统型病毒。2.3.6 按病毒攻击操作系统分类 Microsoft DOS 攻击DOS系统的病毒:这类病毒的种类及其变种极多,尽管DOS病毒技术在1995在基本上处于停滞状态,但是Micr

14、osoft DOS系统类病毒的数量和传播仍然在发展中。 Unix(Linux) 攻击UNIX系统的病毒：起初人们认为Unix系统和各个Linux系统是免遭病毒侵袭的乐土.然而随着计算机病毒技术的发展,病毒的攻击目标也开始染指Unix和Linux。1997年2月,出现了首例攻击Linux系统的病毒Bliss(上天的赐福)。 Microsoft Windows 攻击Windows系统的病毒:自1996年1月出现了首例Widows 95病毒Win95.Boza病毒以来,攻击Windows系列的开始,的计算机病毒系统的日趋增多。第三章 计算机病毒的传播途径分析3.1 计算机病毒传播途径关键环节（1)带

15、病毒文件的复制或移动。即感染病毒的文件从一台计算机复制、移动到另一台计算机。（2) 计算机操作者的触发。一般计算机病毒是寄生在受感染的文件上,只有计算机操作者执行时或者打开受感染的文件时,计算机病毒才会有执行的机会,才能取得主机的控制权。（3)计算机病毒的感染。计算机病毒在取得主机的控制权后，就随时可以寻找合适自己的目标文件进行感染，把病毒副本嵌入到目标文件中,使之感染大量的文件。3.2 计算机病毒传播途径计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行的。而主要的传播途径有以下几种：（1)软盘软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算

16、机应用比较简单,可执行文件和数据文件系统都较小,（如图3-1）图3-1 软盘 许多执行文件均可通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内相互感染。因此软盘也成了计算机病毒的主要的寄生“温床”。 （2)光盘光盘因为容量大,能存储大量的可执行文件,大量的病毒就有可能藏身于光盘当中,对只读式光盘,不能进行写操作,新的病毒也无法进入光盘当中,然而光盘上也具有的病毒也不能清除,这种以谋利为目的非法盗版光盘的制作过程中,(如图3-2)图3-2 光盘 一般不可能为病毒防护担负专门责任,也没有真正可靠可行性的技术能保障避病毒的传

17、入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利,甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“干净”的计算机带来了灾难。（3)硬盘（含移动硬盘、USB）有时，带病毒的硬盘在本地或移到其他地方使用甚至维修等，就会将干净的光盘(软盘)传染或者感染其他硬盘(如图3-3)并扩散。 图3-3 硬盘 图3-4 U盘 而U盘（如图3-4）作为当前人们最方便、最常用的存储介质和文件拷贝、并且携带方便的工具,在病毒的传播中发挥了重要的作用。（4)网络有线网络的快速发展促进了以网络为媒介的各种服务（FTP, WWW, BBS, EMAIL等）的快速普及（如图3-5）。同时，这些服务也

18、成为了新的病毒传播方式。如WEB服务、电子邮件（Email）、即时消息服务（QQ, ICQ, MSN等）、FTP服务、新闻组、电子布告栏（BBS）。图3-5 计算机网络 另一种是无线通讯系统,病毒对手机的攻击有3个层次:攻击网关,向手机用户发送大量垃圾信息;攻击WAP服务器,使手机无法访问服务器;直接对手机本身进行攻击,有针对性地对其操作系统和运行程序进行攻击,使手机无法提供正常的服务。3.3 计算机病毒传播特性计算机病毒与生物病毒有许多相似之处，同样有以下一些特性:3.3.1 计算机病毒的传染性传染性是计算机病毒的一个重要特性,也是衡量一种程序是否为病毒的首要条件。计算机病毒的传染性是计算机

19、病毒的再生机制,病毒程序一旦进入系统中,与系统中的程序接在一起,它就会在运行这一被传染的程序时传染其它的程序。这样一来,病毒就会很快地传染到整个计算机系统,并可通过U盘、网络线路等进一步传播和蔓延,这就是计算机病毒最重要的特征传染性和传播性。目前病毒一般通过U盘进行传染,它的藏身处为系统引导区,也即DOS的BOOT区;或附在执行文件上。但不管哪一种情况,病毒要进入U盘就必须往U盘上写内容,故将U盘设为只读就可以防止病毒侵入。3.3.2 计算机病毒的隐蔽性由于病毒程序都是利用DOS（如图3-6）和BIOS（如图3-7）的系统功能完成其它功能,所以病毒程序一般都比较短小,容易附着在系统或可执行文件

20、上而不容易察觉。另外一些病毒程序采用反跟踪技术和密码技术,则更难于发现.一个编制巧妙的计算机病毒程序,可以在几周甚至几年内隐蔽在合法文件之中,对其它系统进行传染,这就是计算机病毒生存下来的主要原因.计算机病毒的隐蔽性越好,在系统中存在的时间就越长,病毒的传染范围就越在。 图3-6 DOS介面 图3-7 BIOS介面计算机病毒进入系统并破坏程序和数据的过程是不容易查觉的.就计算机病毒本身其存留不定,可能隐蔽在备份盘或其它介质上.一种病毒可能在表面上被清除,但若干年后,随机地或有目的地再次传染开来.病毒在一种载体上的寿命,如不是人为清除,则与载体寿命一致。备份系统文件,目的是为防止病毒对文件的破坏

21、而导致系统资源的损失,而实际上往往为病毒提供了安全场所,为病毒的再次触发激活创造了条件。大部分的病毒的代码之所以设计得非 常短小,也是为了便于隐藏。病毒一般只有几百或上千字节,而PC机对DOS文件的存取速度每秒可达每秒几百到千字节以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。3.3.3 计算机病毒的潜伏性计算机病毒的潜伏性,是指计算机病毒所具有的依附于其媒体而寄生的能力.一个编制巧妙的计算机美丽程序,可以在几周或者几个月甚至几年内隐蔽在合法文件中;此 间,对其它系统进行传染,而不被人们发现.计算机病毒潜伏性与传染性相辅相承,潜伏性越好,其在系统中存在的时间就

22、会越长,病毒的传染范围就会越在.3.3.4 计算机病毒的破坏性计算机病毒的破坏程序怎样,这要取决于计算机病毒的设计者.不同的病毒,可以毁掉系统内的部分数据,也可以破坏全部数据并使之无法恢复,同时以可以对系统的某些数据修改,使系统的输出结果面目全非.当然,也不是所有的病毒都对系统产生实质性的破坏作用.事实上,也存在对系统有有益的病毒, 弗雷 德.柯亨的压缩病毒C。任何计算机病毒只要侵入到系统,都会对系统产生有不同的影响,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃,但是,由于所有的病毒都是一种可以执行的程序,而这些病毒都存在着一个共同的危害,即降低计算机系统的工作效率。3.3.5

23、计算机病毒的针对性无论哪种计算机病毒,都不是对所有计算机系统进行传染破坏的。例如,有针对IBM PC及其兼容机的,有针对APPLE公司的Macintosh机的,以及针对Unix操作系统的等等。以前我国流行的小球病毒则是针对IBM PC XT机及其兼容的16位机的,针对某一种或几种计算机和特定的操作系统。3.3.6 计算机病毒的不可预见性计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,如小球病毒的变种就多达十余种之多;这给解毒抗毒工作带来了许多困难。而有些人利用病毒的这种共性,制作了声称可查了出所有病毒的程序,这种程序的确可查出一部分病毒,但由于目前的软件市场极其丰富,且某些正常程序

24、也使用了类似病毒的操作,甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。小结：在计算机病毒的上述特征中，传染性最为重要。其次，则是潜伏性和破坏性。计算机病毒的这些特性决定了计算机病毒的作用机制。第四章 计算机病毒的防治研究计算机病毒的存在和传播对用户造成了很大的危害，为了减少信息资料的丢失和破坏，这就需要在日常使用计算机时，养成良好的习惯，预防计算机病毒。并且需要用户掌握一些查杀病毒的知识，在发现病毒时，及时保护好资料，并清除病毒。这里要坚持依法治毒，增强网络安全意识，并且要制定严格

25、的病毒防治技术规范，防止计算机病毒的侵入。在现代社会中，随着互联网的快速发现，计算机的应用就范围愈来愈广泛，可以说整个社会对计算机信息系统的依赖程度是越来越大，甚至达到了离不开它。然而计算机并不是笔者想象中的哪么安全。其不安全因素有计算机信息系统自身的，有人为的因素。如何保护笔者的数据安全、防止病毒破坏、甚至达到打击计算机犯罪已成为当今社会面临的一个重大问题。计算机病毒危害计算机本身的安全和信息安全，自计算机的第一个病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒的经验,掌握了很多实用的反病毒技术,并开发出了一些优秀的抗病毒产品,病毒对抗主要研究病毒的检测、病毒的清除和病毒的预防,病毒的

26、检测技术主要有特征植检测技术、校验和检测技术、行为监测技术、启发式扫描技术、虚拟机技术。4.1 特征代码技术的特征值特征代码技术分为特征代码法病毒的特征值组成和计算机病毒的检测组成。 早期的计算机应用于SCAN,CPAV等著名的病毒检测工具中,目前被认为是用来检测计算机己知病毒的最简单、开销最小的方法之一。防毒软件在最初的扫毒方式是将所有病毒的病毒代码加以解剖分析，且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描时，判断该程序是否有病毒的时候,启动杀毒软件程序,以扫描病毒的方式与该病毒码资料库内的现有资料进行一一比对,如果双方资料皆有吻合之处,既判定该程序已遭受到计算机病毒的感染。

27、计算机病毒的特征值是指计算机病毒本身存在的特定寄生环境中确认自身是否存在的标记或符号,即指病毒在传染宿主程序时,首先判断该病毒准备传染的宿主是否已具有该病毒时,按特定的偏移量从文件中提出的特征值。一般而言,一种病毒的标识可以作为另一种病毒的特征值,但一种病毒的特征值并不一定表示该病毒的标识。如1575病毒的特征值可以是十六进制的0A0CH,也可以是从病毒代码中抽出的一组十六进制的代码:06 12 8C C0 02 1F 0E 07 A3等，前者是1575病毒的传染标识,而后者则不是的。传统的特征值搜索技术,被广泛应用于SCAN、CPAV、AVP等抗病毒软件中。特征值搜索技术被公认是检测已知病毒

28、最简单最常用最有效方法之一,传统的特征代码法的实现步骤如下:（1）采集已知病毒的样本。如果病毒既感染扩展名为.COM的文件(如图4-11)，又感扩展名为.EXE的可执行文件,那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。（2）在病毒样本中,抽取病毒特征代码。在既能感染扩展名为.COM的文件，又感扩展名为.EXE(如图4-1)的可执行文件的病毒样本中，要抽取两种病毒样本共有的代码。 图4-1 Com文件 图4-2 Exe文体 （3）将特征代码纳入病毒数据库中。（4）检测文件。打开被检测的文件，在文件中搜索,检查文件中是否含有已知的病毒,根据数据库中的病毒特征代码判定,如果发现病毒

29、特征代码,由此特征代码与病毒进行一一对应,便可以断定，被查文件所感染的是何种病毒。 病毒的检测是对主引导区、可执行文件、内存空间和病毒特征值进行比较分析,寻找病毒感染后留下的痕迹。对主引导区、可执行文件、内存空间和病毒特征值进行对比分析如下:（1）检查磁盘的主引导扇区硬盘的主引导扇区,分区表以及文件分配表,文件目录区是病毒攻击的主要目标之一,引导病毒主要攻击磁盘上的引导扇区，硬盘存放主引导记录的主引导扇区一般位于面道的扇区。病毒侵犯引导扇区的重点是前面的几十个字节。发现与引导扇区信息有关的异常现象,即可通过检查主引导扇区的内容来诊断故障。（2）检查可执行文件主要是检查后缀为.COM和.EXE等

30、可执行文件,然后根据它的长度、内容、属性等来判断是否感染了计算机病毒一般检查这些程序的头部,即前面的20个左右的字节，因为大多数病毒都会改变文件首部。（3）检查内存空间计算机病毒在传染或执行时,必然要占用一定内存空间进行,并驻留在内存中，等待时机成熟后进行攻击或传染。病毒占据的内存空间一般是用户所不能覆盖掉的,因此可通过检查内存的大小和内存中的数据来判断是否有病毒运行可采取一些常用的简单工具如DEBUG、PCTOOLSG来检查内存。4.2 校验和法技术将正常文件的内容，计算其校验和,写入文件中保存。定期检查文件的校验和与原来保存的校验和是否一致,可以发现文件是否感染了病毒，这种方法叫校验和法,

31、它既可发现已知的病毒又可发现未知的病毒。由于病毒感染并非文件内容改变的惟一性原因,文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警.而且此种方法也会影响文件的运行速度.因而用监视文件的校验和来检测病毒,不是最好的方法。通常,大多数的病毒都不是单独存在的,它们大都依附或寄生于其它的文档程序，所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录,将正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。计算正常文件的内容和正常的系统扇区校验和,将该校验和写入数据库中保存。在文件使用/

32、系统启动过程中,检查文件现在内容的校验和与原来保存的校验和是否一致,因而可以发现文件/引导区是否感染，这种方法叫校验和检测技术。在每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以判定文件是否感染，这种方法既能发现已知病毒,也能发现未知的病毒，但是,它不能识别病毒的种类,不能正确报出病毒名称。由于病毒感染并非是文件内容改变的惟一原因,文件内容的改变有可能是正常程序所引起的，所以校验和检测技术常常会误报警,而且此种方法也会影响文件的运行速度.此外校验和检测技术也对隐蔽性病毒无效。运用校验和检测技术查病毒采用以下三种方式：（1）在检测病毒工具中纳入校验和检测技术,对被

33、查找的对象文件计算其正常状态的校验和,将校验和写入被查文件中或检测工具当中，然后进行比较；（2）在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件中，每当应用程序启动时,比较现行校验和与原校验和.实现应用程序的自检测；（3）将校验和检查程序常驻内存中,每当应用程序开始运行时,自动比较检查应用程序的内部或别的文件中预先保存的校验和.有时把校验和检测方法称之为比较检测法,比较的对象可分为系统数据、文件的头部、文件的属性和文件的内容;校验和法的优点是:方法实现简单 能发现未知的计算机病毒、被查找的文件具有细微变化也能被发现出来。其缺点是:对文件内容的变化过于敏感化、会产生误报警、

34、不能识别出病毒名称、不能对付隐蔽型病毒。4.3 行为监测法技术利用病毒的特有行为特征性来监测计算机病毒的方法,称为行为监测法.通过人们对病毒多年的观察、研究发展,有一些行为是计算机病毒的共同拥有的行为动作，而且还比较特殊。在正常程序中,这些行为比较罕见.当程序运行时,监视其程序的行为时，如果发现了病毒行为,就立即报警。一般来说,反病毒技术包括病毒的防范、检测和清除.其中如何发现计算机染毒就成了反病毒的重中之重,这就要求有先进、有效的病毒检测技术.病毒的检测技术通常采用的策略不外乎以下两类:（1）针对某个或某个领域特定病毒的专用病毒检查技术,如特征值检测技术和校验和检测技术;（2）针对广义的所有

35、病毒的通用病毒检测技术;病毒无论伪装得如何之巧妙,它总是存在着一些和正常程序不同的行为.行为监测是指通过审查应用程序的操作来判断是否有恶意倾向并向用户发出警告.这种技术能够有效防止病毒的传播,但也很容易将正常的升级程序、补丁程序误报为病毒。病毒程序的伪装行为越多,它们露出的马脚就会越多,因而就越容易被监测到。人们通过对病毒多年的观察、研究,发现病毒有一些共有行为。在正常应用程序中，这些行为比较罕见,这就是病毒行为特性。常见的病毒行为特性有:（1）引导型病毒必然截留盗用INT 13H;（2）高端内存驻留型病毒修改DOS系统数据区的内存总量;（3）内存控制链驻留型病毒修改最后一个内存控制块的段 址

36、;（4）修改INT 21H，INT 25H，INT 23H;（5）修改严重错误中断DOS INT 24H;（6）对可执行文件进行写操作;（7）写磁盘引导区;（8）病毒程序与宿主程序的切换;（9）WINDOWS PE病毒部分特征;行为监测方法是以某种行为是否为病毒行为作为判断病毒的依据,可发现未知病毒,可相当准确地预报未知的多数病毒，但它可能误报警,不能识别病毒名称和实现时有一定难度。行为监测法的长处:可发现未知计算机病毒,同时还可以准确地预报未知的多数病毒。行为监测法的短处:可能出现误报警、不一定能识别病毒名称、实现时有一定难度。4.4 软件模拟技术软件模拟技术分为少 态病毒和多态型病毒: （

37、1）当有两个程序被同样的病毒以指定传播方式感染,并且病毒程序的代码顺序不同时,这种传播方式称为多形态的; （2）当有两个程序被同样的病毒以指定传播方式感染,并且病毒程序的代码顺相同但至少有一部分病毒代码被使用不同的密钥加密时,这种传播方式称为少形态的。 多态型病毒的实现要比少 态 型病毒的实现复杂得多,它们能改变自身的译码部分。例如,通过从准备好的集合中任意选取译码程序.该方法也能通过在传播期间随即产生程序指令来完成.例如，可以通过如下的方法来实现：（1）改变译码程序的顺序;（2）处理器能够通过一个以上的指令（序列）来执行同样的操作;（3）向译码程序中随机地放入哑 命令（Dummy Comma

38、nd）。软件模拟法,以后演绎为虚拟机查毒，启发式查毒,是相对成熟的。4.5 常见病毒的分析与防治现在的用户一般都安装Windows系列的操作系统，而Windows病毒种类繁多，下面主要研究宏病毒、网页病毒、邮件病毒、及蠕虫病毒等一些常见的病毒。4.5.1 宏病毒（1） 宏病毒分析n 宏病毒的定义:是一些制作病毒的专业人士利用Microsoft Office的开放性即Word和 Excel中提供的Word Basic/ Excel Basic接口编程,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用，这种病毒宏的集合影响到计算机的使用,并能通过文档及模板进行自我复制

39、及传播。n 宏病毒的特点:传播极快;多平台交叉感染;制作、变种方便；地域性问题;破坏可能性极大。（如图4-3）图4-3 宏病毒控制中心n 宏病毒的原理:宏病毒的产生,是编辑者利用了一些数据处理系统存在的内置宏命令编程语言特性所形成的。这些数据处理在系统内置的宏编程语言的宏病毒中有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开、关闭或删除来获取用户的控制权权限，实现宏命令在不同文件之间的共享和传递,从而在未经过用户许可的情况下获取控制权权限,达到传染的目的.目前宏病毒感染在文件中,以Word、Excel占多数。（2） 宏病毒的防治n 宏病毒的检测： 在Normal模板发现有A

40、utoOpen等自动宏,File Save等标准宏或一些怪名字的宏,而自己又没有加载特殊模板，这就有可能有病毒了,因为大多数用户的通用(Normal)模板中是没有宏的; 如当打开一个文档时,未经任何改动,立即就有存盘操作，也有可能是Word带有病毒; 打开以DOC为后缀的文件在另 存菜单中只能以模板方式存盘,此时通用模板中含有的宏，也有可能是Word有病毒； 无法使用“另存为（Save As）”修改路径； 不能再被转存为其它格式的文件； DOC文件具备与DOT文档相一致的内部格式(尽管文件扩展名未改变)。 n 手工清除宏病毒的方法 打开宏菜单,在通用模板中删除 你认为是病毒的宏; 打开带有病毒

41、宏的文档（模板），然后打开宏菜单,在通用模板和病毒文件名模板中删除你认为是病毒的宏; 保存清洁文档。n 宏病毒的防范 对于已染毒的模板文件（Normal.dot）,应先 其中的自动宏清除（AutoOpen、AutoClose、AutoNew）,然后将其置成只读方式; 对于其他已染病毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的; 平时使用时要加强预防,对来历不明的宏 最好删除; 先禁止所有自动执行的宏; 安装反病毒软件。4.5.2 网页病毒n 网页病毒的分析随着网络的发展与普及,互联网对笔者来说起到了越来越重要的作用，但是与此同时,恶意网页代码也相继出现，给广大网络用户带来了一些灾难.

42、这里所指的网页病毒是指在HTML文件中用于非法修改用户计算机配置的HTML文件,有不同于别的一般通过,从而通过网页传染的病毒。（如图4-4）图4-4 网页病毒 修改注册表是网页恶意代码采用的最常见的一种方法.恶意攻击性网页正是自动修改了网页浏览者在电脑的注册表中,从而达到修改IE首页地址、锁定部分功能等目的.现在本文来分析一下其修改注册表的代码.首先这里还得了解一下微软的ActiveX 技术。ActiveX是Microsoft提出的一组使用COM使得软件部件在网络环境中进行交互的技术集.它与具体的编程语言无关.作为针对Internet应用开发技术,ActiveX被广泛应用于Web服务器以及客户

43、端的各个方面。同样ActiveX可以应用于网页编制语言中,利用JavaScript语句轻易就可以把ActiveX嵌入到Web页面中。在Internet上,有超过1000个ActiveX控件供用户使用下载.在Windows的SYSTEM目录下,保存有很多Windows提供的ActiveX控件。n 网页病毒的防治1.禁用文件系统对象FileSystemObject:用regsvr32 scrrun.dll /u命令禁止文件系统对象，或者直接查找scrrun.dll文件将其删除或者改名；2.卸载Windows Scripting Host:打开-控制面板-添加/删除程序-Windows安装程序-附件

44、,取消“Windows Scripting Host”一项;3.在Windows目录中,找到WScript.exe或Cscript.exe，更改名称或者删除；4.删除VBS、VBE、JS、JSE文件扩展名与应用程序的映射:点击我的电脑-查看-文件夹选项-文件类型,然后删除VBS、VBE、JS、JSE文件扩展名与应用程序的映射;5.修改Windows“隐藏已知文件类型的扩展名称”的默认设置,使其显示所有文件类型的扩展名称;6.点击IE的“Internet选项”安全选项卡里的“自定义级别”按钮,把ActiveX控件及插件设置为禁用;7.将系统网络连接的安全级别至少设置为“中等”;8.禁止OE的自动

45、收发邮件功能;9.安装病毒防火墙，定期升级杀毒程序。4.5.3 邮件病毒n 邮件病毒的分析邮件病毒并不是单独一种类型的病毒,大部分Windows病毒都可以通过附件的形式来进行传播,实际上该病毒就是借助于电子邮件进行传播的病毒，这些病毒利用了邮件系统安全机制的脆弱性进行传播.邮件病毒产生的原因在于邮件系统的服务不能控制邮件的内容和传播的行为,使病毒寄身于信内得以传播.邮件病毒并不是邮件系统的错，问题仍然出在操作系统和应用系统上,这些系统才是病毒的温床。病毒攻击的目标主要仍是微软的系统平台,主要通过两种借助邮件的形式进行传播,一是附件，二是直接采用HTML格式的邮件方式。（如图4-5）图4-5 邮

46、件病毒 病毒寄生在附件内或干脆就是附件,而附件的文件名通常具有欺骗性,一种做法是把寄生有宏病毒的Word文档的名称起得很吸引人，看上去如同好友的信件或商业信函一样,引诱收件人去点击;另一种做法则是将病毒文件的文件名改头换面,有时甚至干脆直接将可执行文件伪装成微软的补丁包.如:主页病毒、美丽沙病毒等.由于一些E-mail软件如Outlook等可以发送HTML格式的邮件,而HTML文件可包含ActiveX控件,ActiveX在某些情况下又可以拥有对本地硬盘的读写权，因此带有病毒的HTML格式的邮件,可以在浏览邮件内容时被激活,但这种情况仅限于HTML格式的邮件。n 邮件病毒的防治邮件病毒是夹带在邮

47、件当中的,邮件是“死”的,其中的病毒也不会主动变“活”。一般邮件病毒的传播途径是通过附件进行的,如Happy99、Mellissa等等.用FoxMail收到的邮件中会看到带病毒的附件,如名为Happy99.exe的文件,不要运行它,直接删掉就可以。有些是潜伏在Word文件中的宏病毒,因此对Word文件形式的附件,也要小心。对于另一种邮件病毒是不带附件的HTML文件,它利用Active X在某些情况下拥有对硬盘的读/写 权来进行破坏.在FoxMail中,有一选择项“是否使用嵌入式IE浏览器查看HTML邮件”，如果选择了“使用”,FoxMail将调用IE的功能来显示HTML邮件,病毒有机会被激活.

48、但如果没有选择此开关，则FoxMail以文本方式显示邮件内容,因此潜伏在HTML中的病毒就不会发作。4.5.4 脚本病毒n 脚本病毒的分析任何语言都是可以编写病毒的,而用脚本编写病毒则还比较简单，并且编出的病毒具有传播快、破坏性大的特点.例如,爱虫病毒及新欢乐时光病毒、叛逃者病毒就是采用VBS脚本编写的,另外还有PHP，JS脚本病毒等等。（如图4-6）图4-6 脚本病毒 由于VBS脚本病毒比较普遍且破坏性都比较大,这里主要对这种病毒进行介绍.在介绍VBS病之前,本文有必要先了解一下有关WSH的知识。n 脚本病毒的防治1禁用文件系统对象FileSystemObject方法:用regsvr32 s

49、crrun.dll /u这条命令就可以禁止文件系统对象.其中regsvr32是WindowsSystem下的可执行文件.或者直接查找scrrun.dll文件删除或者改名.还有一种方法就是在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键0D43FE01-F093-11CF-8940-00A0C9054228的项,咔嚓即可; 2删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 点击我的电脑查看文件夹选项文件类型，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射; 3卸载Windows Scripting Host在Windows 98中（NT 4.0以上

50、同理）,打开控制面板添加/删除程序Windows安装程序附件,取消“Windows Scripting Host”一项。 和上面的方法一样,在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键F935DC22-1CF0-11D0-ADB9-00C04FD58A0B的项,咔嚓; 4要彻底防治VBS网络蠕虫病毒,还需设置一下你的浏览器。首先打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的自定义级别按钮。把“ActiveX控件及插件”的一切设为禁用,这样就不怕了。譬如新欢乐时光的那个ActiveX组件如果不能运行,网络传播这项功能就玩完了; 5在Windows目录中，

51、找到WScript.exe,更改名称或者删除，如果你觉得以后有机会用到的话,最好更改名称好了，当然以后也可以重新装上; 6由于蠕虫病毒大多利用文件扩展名来做文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称; 7将系统的网络连接的安全级别设置至少为“中等”,它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害; 8禁止OE的自动收发邮件功能; 9杀毒软件确实很必要，尽管有些杀毒软件挺让广大用户失望,不过，选择是双方的哦。在这个病毒横飞的网络,如果您的机器没有装上杀毒软

52、件笔者觉得确实挺不可思议的。4.5.5 蠕虫病毒n 蠕虫病毒的分析 蠕虫的定义:严格来说，蠕虫病毒并不属于病毒。Eugene H. Spafford为了区分蠕虫和病毒，根据了蠕虫的技术角度的定义：计算机蠕虫可以独立运行，并能把自身包含所有功能的版本传播到另外的计算机上,但蠕虫与传统病毒相比，都具有传染性和复制功能，而且蠕虫与病毒、木马相互交叉，病毒利用蠕虫技术来传播，蠕虫利用病毒技术来搞破坏，二者难以区分，以尼姆达病毒为例，就是病毒、蠕虫、黑客技术的完美结合，反病毒软件商们也己将蠕虫列在了病毒之列。（如图4-7）图4-7 蠕虫病毒分析 蠕虫病毒的特点:（1）主动攻击;（2）行踪隐蔽;（3）利用

53、系统、网络应用服务漏洞;（4）造成网络拥塞;（5）降低系统性能;（6）产生安全隐患;（7）反复性;（8）破坏性。n 蠕虫病毒的防治因为目前的蠕虫病毒越来越表现出三种传播趋势:邮件附件、无口令或者弱口令。共享、利用操作系统或者应用系统漏洞来传播病毒,所以防治蠕虫也应从这三方面下手:1.针对通过邮件附件传播的病毒:在邮件服务器上安装杀毒软件,对附件进行杀毒：在客户端(主要是Outlook)限制访问附件中的特定扩展名的文件,如.pif、.vbs、.js、.exe等;用户不运行可疑邮件携带的附件;2.针对通过系统漏洞传播的病毒,配置Windows Update自动升级功能,使主机能够及时安装系统补丁,

54、防患于未然；定期通过漏洞扫描产品查找主机存在的漏洞,发现漏洞，及时升级;3.针对弱口令共享传播的病毒:通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会在搜索网络上的开放共享并复制病毒文件,更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令.对于此类病毒,在安全策略上需要增加口令的强度策略，保证必要的长度和复杂度;通过网络上的其他主机定期扫描开放共享和对登录口令进行破解尝试，发现问题及时整改;4.重命名或删除命令的解释器:如Windows系统下的WScript. Exe,通过防火墙来禁止除服务端口外的其他端口,切断蠕虫的通信通道和传播通道。4.5.6 特洛伊木

55、马n 特洛伊木马分析 特洛伊木马的定义：在Internet上,木马指在从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序,这些程序可能造成用户的系统被破坏,甚至瘫痪。图4-8 木马病毒 通过木马（如图4-8）,黑客可以从远程“窥视”到用户电脑中所有文件、查看系统信息、盗取电脑中的各种口令、偷走所有他认为有价值的文件、删除所有文件,甚至将整个硬盘格式化,还可以将其他的电脑病毒传染到电脑上来，可以远程控制电脑鼠标、键盘、查看到用户的一举一动.黑客通过远程控制植入了“木马”的电脑，就像使用自己的电脑一样,这对于网络电脑用户来说是极其可怕的。只要人们在本地计算机上能操作的功能,目前的

56、木马基本上都能实现.换言之，木马的控制端可以像本地一样操作远程计算机.木马的功能可以概括为以下内容：（1）窃取数据以窃取数据为目的，本身不能破坏计算机的文件和数据，不妨碍系统的正常工作，它以系统使用者很难察觉的方式向外传送数据;（2）篡改文件和数据对系统文件和数据有选择地进行篡改，使计算机处理的数据产生错误的结果;（3）施放病毒将原先在系统中但处于休眠状态的病毒激活，或从外界将病毒导入计算机系统，使其感染并实施破坏工作;（4）删除文件和数据将系统中的文件和数据有选择地删除或全部删除;（5）接受非授权操作者的指令当网络中的木马被激活后，它可以获取网络服务器系统管理员的权限，随心所欲地窃取密码和各

57、类数据，逃避追踪，并不会留下任何痕迹。这时，网络安全的各种措施对它都毫无作用;（6）使系统自毁。可以有种种方法,如改变时钟频率、使芯片热崩溃而损坏、造成系统瘫痪等。一般情况下,系统软件和应用软件在文件传播中被放置木马.但是，也有一种情况是在系统或软件中被其设计者故意放置的特定目的木马.木马可能潜伏于系统软件中,包括操作系统和应用软件;也可能潜藏于硬件模块中,如将部分木马的软件固化,集成于电路芯片中。木马与外界的联系途径和激活方式与计算机的工作方式有关.有的计算机以单机方式工作,有的以联网方式工作。工作方式不同,木马的激活也有所不同。随着Internet 的飞速发展,计算机网络的应用已越来越普遍,愈来愈多的用户连在一起。任何一台终端机,都可以和连在