病毒知识培训ppt

1、反病毒知识培训教程反病毒知识培训教程培训讲师：付欲华第一局部第一局部 病毒知识病毒知识一病毒根底知识一、病毒的概念和特点 计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机开展过程中，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。 在我国，1994年2月18日公布实施的?中华人民共和国计算机信息系统平安保护条例?对计算机病毒作出了明确的定义，?条例?第二十八条中规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 第

2、一局部第一局部 病毒知识病毒知识l破坏性l隐藏性l传染性l潜伏性第一局部第一局部 病毒知识病毒知识破坏性破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒那么有明确得目的，或窃取重要信息如银行帐号和密码，或翻开后门接受远程控制等。隐蔽性 计算机病毒虽然是采用同正

3、常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大局部的病毒的代码之所以设计得非常短小，也是为了隐藏。第一局部第一局部 病毒知识病毒知识传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地到达其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其

4、特定条件时才启动其表现破坏模块，如有些病毒会在特定的时间发作。第一局部第一局部 病毒知识病毒知识3.病毒的通用命名规那么病毒名是由以下6字段组成的： 主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#内部信息其中字段之间使用“.或“-分隔，#号以后属于内部信息，为推举结构。主行为类型与病毒子行为类型 病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。 病毒主行为

5、类型与病毒子行为类型存在对应关系，下表将描述这一对应关系：第一局部第一局部 病毒知识病毒知识主行为类型主行为类型 子行为类型子行为类型 BackdoorBackdoor危害级别：危害级别：1 1说明：说明：中文名称中文名称“后门后门”， 是指在用户不知道也不允是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。无法通过正常的方法禁止其运行。“后门后门”其实其实是木马的一种特例，它们之间的区别在于是木马的一种特例，它们之间的区别在

6、于“后门后门”可以对被感染的系统进行远程控制（如：文件管可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。理、进程控制等）。 （空）（空）说明：目前还没有划分这类病毒的子行为类型。说明：目前还没有划分这类病毒的子行为类型。 WormWorm危害级别：危害级别：2 2说明：说明：中文名称中文名称“蠕虫蠕虫”，是指利用系统的漏洞、外，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：发邮件、共享目录、可传输文件的软件（如：MSNMSN、OICQOICQ、IRCIRC等）、可移动存储介质（如：等）、可移动存储介质（如：U U盘、软盘、软盘），这些方式传播自己的病毒。这种类型的病

7、盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方毒其子型行为类型用于表示病毒所使用的传播方式。式。 Mail Mail 危害级别：危害级别：1 1说明：通过邮件传播说明：通过邮件传播 IM IM 危害级别：危害级别：2 2说明：通过某个不明确的即时通讯软件传播说明：通过某个不明确的即时通讯软件传播 MSN MSN 危害级别：危害级别：3 3说明：通过说明：通过MSNMSN传播传播 QQ QQ 危害级别：危害级别：4 4说明：通过说明：通过OICQOICQ传播传播 第一局部第一局部 病毒知识病毒知识ICQ ICQ 危害级别：危害级别：5 5说明：通过说明：通过

8、ICQICQ传播传播 P2P P2P 危害级别：危害级别：6 6说明：通过说明：通过P2PP2P软件传播软件传播 IRC IRC 危害级别：危害级别：7 7说明：通过说明：通过ICRICR传播传播 （空）（空）说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。移动存储介质。 TrojanTrojan危害级别：危害级别：3 3说明：说明：中文名称中文名称“木马木马”，是指在用户不知道也不允，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运许的情况下，在被感染的系统上以隐蔽的方式

9、运行，而且用户无法通过正常的方法禁止其运行。行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。是这种病毒的子行为。 Spy Spy 危害级别：危害级别：1 1说明：窃取用户信息（如：文件等）说明：窃取用户信息（如：文件等） PSW PSW 危害级别：危害级别：2 2说明：具有窃取密码的行为说明：具有窃取密码的行为 DL DL 危害级别：危害级别：3 3说明：下载病毒并运行说明：下载病毒并运行IMMSG IMMSG 危害级别：危害级别：4 4说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一

10、行为与蠕虫说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）MSNMSG MSNMSG 危害级别：危害级别：5 5说明：通过说明：通过MSNMSN传播即时消息传播即时消息第一局部第一局部 病毒知识病毒知识QQMSG QQMSG 危害级别：危害级别：6 6说明：说明： 通过通过OICQOICQ传播即时消息传播即时消息 ICQMSG ICQMSG 危害级别：危害级别：7 7说明：说明： 通过通过ICQICQ传播即时消息传播即时消息 UCMSG UCMSG 危害级别：危

11、害级别：8 8说明：通过说明：通过UCUC传播即时消息传播即时消息 Proxy Proxy 危害级别：危害级别：9 9说明：将被感染的计算机作为代理服务器说明：将被感染的计算机作为代理服务器 Clicker Clicker 危害级别：危害级别：1010说明：点击指定的网页说明：点击指定的网页Dialer Dialer 危害级别：危害级别：1212说明：通过拨号来骗取说明：通过拨号来骗取MoneyMoney的程序的程序 （空）（空）说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述进行描述 Viru

12、sVirus危害级别：危害级别：4 4说明：中文名称说明：中文名称“感染型病毒感染型病毒”，是指将病毒代，是指将病毒代码附加到被感染的宿主文件（如：码附加到被感染的宿主文件（如：PEPE文件、文件、DOSDOS下下的的COMCOM文件、文件、VBSVBS文件、具有可运行宏的文件）中，文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权使病毒代码在被感染宿主文件运行时取得运行权的病毒。的病毒。 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 第一局部第一局部 病毒知识病毒知识HarmHarm危害级别：危害级别：5 5说明：中文名称

13、说明：中文名称“破坏性程序破坏性程序”，是指那些不，是指那些不会传播也不感染，运行后直接破坏本地计算机会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。计算机无法正常使用的程序。 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 DropperDropper危害级别：危害级别：6 6说明：中文名称说明：中文名称“释放病毒的程序释放病毒的程序”，是指不，是指不属于正常的安装或自解压程序，并且运行后释放属于正常的安装或自解压程序，并且运行后释放病毒并将它们

14、运行。病毒并将它们运行。 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 HackHack危害级别：无危害级别：无说明：中文名称说明：中文名称“黑客工具黑客工具”，是指可以在本，是指可以在本地计算机通过网络攻击其他计算机的工具。地计算机通过网络攻击其他计算机的工具。 ExploitExploit说明：漏洞探测攻击工具说明：漏洞探测攻击工具 DDoserDDoser说明：拒绝服务攻击工具说明：拒绝服务攻击工具 FlooderFlooder说明：洪水攻击工具说明：洪水攻击工具 （空）（空）说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行

15、描述说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述 BinderBinder危害级别：无危害级别：无说明：捆绑病毒的工具说明：捆绑病毒的工具 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 第一局部第一局部 病毒知识病毒知识ConstructorConstructor危害级别：无危害级别：无说明：中文名称说明：中文名称“病毒生成器病毒生成器”，是指可以生，是指可以生成不同功能的病毒的程序。成不同功能的病毒的程序。 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 JokeJoke危害

16、级别：无危害级别：无说明：中文名称说明：中文名称“玩笑程序玩笑程序”，是指运行后不，是指运行后不会对系统造成破坏，但是会对用户造成心理恐慌会对系统造成破坏，但是会对用户造成心理恐慌的程序。的程序。 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 JunkJunk危害级别：无危害级别：无说明：中文名称说明：中文名称“损坏的病毒文件损坏的病毒文件”，是指包，是指包含病毒代码但是病毒代码已经无法运行的文件。含病毒代码但是病毒代码已经无法运行的文件。 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 Rootki

17、tRootkit危害级别：无危害级别：无说明：说明：一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改 （空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 第一局部第一局部 病毒知识病毒知识宿主文件宿主文件宿主文件是指病毒所使用的文件类型，目前的宿主文件有以下几种。lJSJS说明：说明：JavaScriptJavaScript脚本文件脚本文件lVBSVBS说明：说明：VBScriptVBScript脚本文件脚本文件lHTMLHTML说明：说明：HTMLHTM

18、L文件文件lJavaJava说明：说明：JavaJava的的ClassClass文件文件lCOMCOM说明：说明：DosDos下的下的ComCom文件文件lEXEEXE说明：说明：DosDos下的下的ExeExe文件文件lBootBoot说明：硬盘或软盘引导区说明：硬盘或软盘引导区lWordWord说明：说明：MSMS公司的公司的WordWord文件文件lExcelExcel说明：说明：MSMS公司的公司的ExcelExcel文件文件lPEPE说明：说明：PEPE文件文件lWinREGWinREG说明：注册表文件说明：注册表文件lRubyRuby说明：一种脚本说明：一种脚本lPythonPyt

19、hon说明：一种脚本说明：一种脚本. .lBATBAT说明：说明：BATBAT脚本文件脚本文件lIRCIRC说明：说明：IRCIRC脚本脚本lLispLisp说明：一种解释语言说明：一种解释语言第一局部第一局部 病毒知识病毒知识主名称主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台平台来定的，如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台那么可以用字符串那么可以用字符串Agent来代替主名称，小于来代替主名称，小于1

20、0k大小的文件可以命名为大小的文件可以命名为“Samll。内部信息内部信息#号后为内部信息，通常不在杀毒软件上显示，用于杀毒软件厂商标识内部信息。号后为内部信息，通常不在杀毒软件上显示，用于杀毒软件厂商标识内部信息。版本信息只允许为数字版本信息只允许为数字对于版本信息不明确的不加版本信息。对于版本信息不明确的不加版本信息。主名称变种号主名称变种号如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，那么认为是如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，那么认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母同一家族的病毒，这时需要变种号来区分不同的病

21、毒记录。变种号为不写字母az，如果一位版本号不够用那么最多可以扩展，如果一位版本号不够用那么最多可以扩展3位，如：位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。以此类推。由系统自动计算，不需要人工输入或选择。第一局部第一局部 病毒知识病毒知识病毒长度病毒长度病毒长度字段只用于主行为类型为感染型病毒长度字段只用于主行为类型为感染型Virus的病毒，字段的值为数字。的病毒，字段的值为数字。当字段值为当字段值为0时，表示病毒长度是可变的。时，表示病毒长度是可变的。病毒命名举例：病毒命名举例：第一局部第一局部 病毒知识病毒知识三、病毒技术的开展历史和现状计算机病毒不

22、是来源于突发或偶然的原因，一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，而计算机病毒那么是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合。计算机病毒不会通过偶然形成，并且需要有一定的长度，这个根本的长度从概率上来讲是不可能通过随机代码产生的。计算机病毒是人为的特制程序，是由人为成心编写的，多数计算机病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要的情况和目的是：表现和炫耀自己的能力 一些天才的程序员为了表现自己和证明自己的能力第一局部第一局部 病毒知识病毒知识l为了经济或其

23、它利益如盗取网络银行密码窃取钱财等l其它原因因政治，军事，宗教，民族等方面的原因而专门编写的病毒第一局部第一局部 病毒知识病毒知识电脑病毒的起源：电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯诺伊曼John Von Neumann在他的一篇论文?复杂自动装置的理论及组识的进行?里，已经勾勒出病毒程序的蓝图。不过在当时，绝大局部的电脑专家都无法想像会有这种能自我繁殖的程序。 1975年，美国科普作家约翰布鲁勒尔John Brunner写了一本名为?震荡波骑士?Shock Wave Rider的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故

24、事，成为当年最正确畅销书之一。第一局部第一局部 病毒知识病毒知识1977年夏天，托马斯捷瑞安Thomas.J.Ryan的科幻小说?P-1的春天?The Adolescence of P-1成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战core war的游戏，进一步将电脑病毒“感染性的

25、概念表达出来。 1983年11月3日，一位南加州大学的学生弗雷德科恩Fred Cohen在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。 不过，这种具备感染与破坏性的程序被真正称之为病毒，那么是在两年后的一本?科学美国人?的月刊中。一位叫作杜特尼A.K.Dewdney的专栏作家在讨论磁芯大战与苹果二型电脑别疑心，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破

26、坏性的程序，终于有一个病毒的名字可以称呼了。第一局部第一局部 病毒知识病毒知识第一个计算机病毒:到了1987年，第一个电脑病毒C-BRAIN终于诞生了这似乎不是一件值得庆贺的事。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特Basit和阿姆捷特Amjad所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。 这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变

27、形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团如NuKE,Phalcon/Skism,VDV。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。 第一局部第一局部 病毒知识病毒知识病毒开展开展阶段在病毒的开展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速开展，接着反病毒技术的开展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个开展阶段：DOS引导阶段1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球和“石头病

28、毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。DOS可执行阶段1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷，“星期天等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，开展为复合型病毒，可感染COM和EXE文件。第一局部第一局部 病毒知识病毒知识l伴随体型阶段l1992

29、年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。l变形阶段l1994年，汇编语言得到了长足的开展。要实现同一功能，通过汇编语言可以用不同的

30、方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。l变种阶段l1995年，在汇编语言中，一些数据的运算放在不同的通用存放器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作

31、品“病毒制造机VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。第一局部第一局部 病毒知识病毒知识l网络、蠕虫阶段l随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络效劳器和启动文件中存在。lWindows视窗阶段l1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始开展，它们修改NE，PE文件，典型的代

32、表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。l宏病毒阶段l1996年，随着MS Office功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。l互联网阶段l1997年，随着因特网的开展，各种病毒也开始利用因特网进行传播和破坏，利用邮件、网络即时聊天软件等进行传播的蠕虫病毒开始大量出现。随着网上购物、网上银行等电子商务的开展以及网络游戏的开展，盗取网银帐号、网游帐号等用户敏感信息的木马程序逐渐开始流行泛滥。近两几年来利用网络

33、去下载其它病毒的“下载者病毒开始大量出现。第一局部第一局部 病毒知识病毒知识具有较强的目的性目前流行的病毒作者编写计算机病毒绝大多数都具有较强的目的性，如盗取敏感信息、远程控制用户等，只是为了炫耀能力或开玩笑的计算机病毒只占很小的一局部。在这些目的中，经济利益成为病毒作者主要的驱动力，以窃取钱财或网络虚拟财产如网游装备为目的盗号病毒的在流行病毒中占有极大的比例。加壳和免杀等反杀毒技术的广泛使用面对杀毒软件的开展和普及，对抗杀毒软件已经成为计算机病毒生存的关键，因此病毒也开始利用各种技术来防止被杀毒软件查杀，甚至主动破坏杀毒软件。通过使用加壳软件加壳、使用免杀技术(手动或自动地修改程序代码)来逃

34、避杀毒软件的特征码扫描的方法已经被广泛使用，通过破坏杀毒软件、使用Rootkit技术来防止被杀毒软件杀毒的方法也开始越来越多地被应用。第一局部第一局部 病毒知识病毒知识l病毒下载行为成为主流l互联网的开展使信息的传播更加方便迅速，计算机病毒也同样紧跟技术的开展，用于下载病毒的病毒(下载者)广泛流行并呈上升趋势，而且这种病毒行为已经逐渐成为病毒必备的一种能力。病毒作者通过更新病毒网址的内容，使一个下载型病毒可以不断下载不同的病毒或更新自己。l多种病毒技术和病毒行为相结合l同时使用多种病毒技术、具有多种病毒行为成为当前计算机病毒的趋势之一。下载、漏洞利用、反杀毒软件等病毒技术常常被结合使用，病毒的

35、复杂程度大大提高。lRootkit技术的应用lRootkit一词最早来自于Unix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着开展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的效劳的一组程序或代码。现在，病毒也越来越多的使用Rootkit来隐藏自己的进程、文件和注册表项等，由于Rootkit多使用系统比较核心的技术、拥有更高的系统权限，因此对由Rootkit保护的病毒的查杀也变得更加困难。第一局部第一局

36、部 病毒知识病毒知识l出现有组织地制造、传播、使用计算机病毒的产业链l从熊猫烧香Wrom.Nimaya病毒发作的事件中，我们可以看到现在的计算机病毒的制造、传播和使用已经逐渐成为一个地下产业，病毒的制造者、传播者和使用者进行分工合作来到达他们的目的。病毒制造者制造病毒并出卖进行获利，病毒传播者通过帮助病毒使用者尽量更广泛的传播病毒来获利，而病毒使用者那么为了盗取网络财产、增加点击量等目的购置并使用病毒。现在在互联网上可以看到许多兜售病毒制造机、免杀工具的信息，同时还有许多病毒制造和使用者同黑客合作的案例。种种迹象说明，计算机病毒的制造、传播和使用正在逐渐形成一个地下产业。第一局部第一局部 病毒

37、知识病毒知识三、涉及病毒的一些计算机知识的介绍1.进程与线程(Process/Thread)2.动态链接库(Dynamic Link Library)第一局部第一局部 病毒知识病毒知识Portable Executable 可移植的执行体5.效劳与驱动 Services /Drivers第一局部第一局部 病毒知识病毒知识6.Windows API 简介第一局部第一局部 病毒知识病毒知识二、病毒的根本结构和工作流程一、病毒的根本结构和工作流程计算机病毒同正常的程序一样，也是一种计算机程序，使用的是同样的编程方法，只是它们使用同样技术的目的与同正常程序不同。要了解病毒的机制和实现，我们要紧紧抓住病

38、毒的特征和目的入手。病毒的特征是：破坏性、隐藏性、传染性、潜伏性，要实现这些特性，就必然有相应的结构和功能代码。除了为实现这些特性的功能代码，病毒一般还都会实现自启动和自我保护的功能。作为计算机病毒，一般都会有如下的功能代码和结构：隐藏性的实现因为为病毒要实现不可告人的目的，因此除了如病毒生成器、玩笑程序等，绝大多数病毒会想方设法地隐藏自己，尽量不被用户发现。为了没有用户可见的界面，病毒会采用不生成窗口或隐藏窗口的方法来到达目的。为了隐藏进程，病毒常常会使用注入等手段。除了隐藏界面和进程，病毒通常还会设法隐藏自己的文件和注册表项。除了上面介绍的方法外，感染可执行程序，隐藏自己于正常程序文件中，

39、也是病毒实现隐藏的一种方法。第一局部第一局部 病毒知识病毒知识传染性的实现病毒总是希望最大限度的复制自己到更多的计算机，以便实现最大限度的破坏。病毒要传播到其它计算机离不开传播介质，可移动存储介质和网络就成为病毒传染的必备途径。对于软盘、U盘、可移动硬盘等，病毒通常采用写入病毒和autorun.inf的方法进行传染。随着网络的普及，利用网络进行传播已经成为病毒传播的主要手段，所采用的方法也相对较多。采用网络进行传播常见的方法有：利用网络共享进行传播、利用邮件系统进行传播、利用即时聊天软件进行传播等。破坏性的实现病毒的破坏性功能表达了病毒作者的最终目的，其种类也相对较多。盗取信息远程控制下载病毒

40、弹出广告删除文件第一局部第一局部 病毒知识病毒知识l自启动的实现l计算机病毒也是程序，只有被执行起来才能实现其功能，因此病毒也会利用各种方法使自己在计算机每次启动后就能运行起来。实现自启动主要的方法是利用系统提供的机制，如Windows下注册表中的启动项、注册为效劳程序等。另外，感染正常程序，尤其是系统程序，也可以到达病毒实现自启动的目的。l自我保护的实现l计算机病毒为了实现自己传染、破坏等目的，也会利用各种方法保护自己，使自己不被发现，不被去除。为了隐藏自己的行踪，病毒通常会设法隐藏自己的文件、进程和自启动的注册表项等。作为保护自己的另一种方法，病毒常常会主动破坏杀毒软件，通过破坏杀毒软件文

41、件等手段使其丧失功能，以此来保护自己。第一局部第一局部 病毒知识病毒知识文件结构功能结构第一局部第一局部 病毒知识病毒知识二、病毒的通用工作流程第一局部第一局部 病毒知识病毒知识三、病毒的通用手段和技术一、病毒的自启动技术3.通过感染、修改其它文件启动第一局部第一局部 病毒知识病毒知识二、代码注入的技术与作用第一局部第一局部 病毒知识病毒知识三、钩子技术的原理和作用第一局部第一局部 病毒知识病毒知识四、文件感染第一局部第一局部 病毒知识病毒知识五、病毒传播的常见方法第一局部第一局部 病毒知识病毒知识六、下载文件常见方法第一局部第一局部 病毒知识病毒知识七、密码的盗取常见技术手段第一局部第一局部

42、 病毒知识病毒知识八、rootkit技术Rootkit一词最早来自于Unix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着开展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的效劳的一组程序或代码。 第一局部第一局部 病毒知识病毒知识(四)、病毒的自我保护一、加壳与免杀技术的原理和应用1.壳、免杀的概念和原理第一局部第一局部 病毒知识病毒知识二、病毒自我保护的常见手段第一局部第一局部 病毒知识病毒知识三、病毒

43、对抗反病毒软件和监控软件的常见方法第一局部第一局部 病毒知识病毒知识(五)、病毒实例演示与分析第二局部第二局部 反病毒的技术反病毒的技术一反病毒的技术一、反病毒技术的开展在80年代中期，计算机病毒开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。随着病毒的流行，对计算机病毒的研究、分析和查杀的也开始开展起来。最早期的反病毒程序都是针对某个病毒编写的专杀工具，只能一对一的查杀单个病毒，随着80年代末计算机病毒数量的急剧膨胀，这种一对一的杀毒程序显然已无法适用。这个时候，开始形成了通用反病毒技术，针对大量的病毒的处理，反病毒软件开始了模块化分工，具备扫描模

44、块、去除模块、特征库等。同时，反病毒的各种外围技术也开始如火如荼的开展起来，如主动监控、完整性检查、免疫技术等等。到90年代中期，病毒数量、技术继续提高，随之出现了“查杀防合一的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战。第二局部第二局部 反病毒的技术反病毒的技术在80年代中期，计算机病毒开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。随着病毒的流行，对计算机病毒的研究、分析和查杀的也开始开展起来。最早期的反病毒程序都是针对某个病毒编写的专杀工具，只能一对一的查杀单个病毒，随着80年代末计算机病毒数量的急剧膨胀，这种一对一的杀毒程序显然已无法适用。这个时候，开始形成了通用反病毒技术，针对大量的病毒的处理，反病毒软件开始了模块化分工，具备扫描模块、去除模块、特征库等。同时，反病毒的各种外围技术也开始如