计算机病毒与恶意代码的防治

第10章

计算机病毒与恶意代码的防治1*第10章

计算机病毒与恶意代码的防治

目前计算机病毒的数量已经达到250万种以上，而且还在以平均每天上百种的速度不断增长。计算机病毒不但可以盗窃用户存储在计算机中的各种信息，而且能够破坏操作系统及各类应用软件，甚至可以破坏主板和硬盘等硬件设备，因此防范计算机病毒已经成为保证计算机安全的重要工作，对于个人计算机用户来说，计算机病毒更是计算机安全的头等威胁。2本章内容提要:计算机病毒的概念

计算机病毒的工作原理

计算机病毒的分类及命名规则

计算机病毒的检测与防治

恶意代码

典型案例

计算机病毒及恶意代码发展趋势第10章

计算机病毒与恶意代码的防治2022/11/2310.1计算机病毒的概念计算机病毒到底是什么呢？计算机病毒是一种特殊的计算机程序，是一种恶意代码

从广义上讲，凡是能够引起计算机故障，破坏计算机数据的程序统称为“计算机病毒”。据此定义，诸如蠕虫、木马、恶意软件,此类程序等均可称为“计算机病毒”。在我国，《中华人民共和国计算机信息系统安全保护条例》中对计算机病毒给出的明确定义:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。1.计算机病毒的定义2022/11/24计算机病毒的定义这个定义主要阐述了以下几点。1）计算机病毒是一种计算机程序，是一段可以执行的代码。2）计算机病毒能够自我复制，可以像感冒病毒一样进行传染。3）计算机病毒一般都具有恶意的破坏作用。2022/11/25（1）传染性（2）寄生性（3）隐蔽性（4）破坏性（5）潜伏性（6）可触发性是主要的特性，对系统、数据、文件进行修改、删除、替换等操作。2.计算机病毒的特征2022/11/263.病毒传播途径一、通过因特网传播浏览网页和下载软件网络游戏即时通讯软件电子邮件7二、通过局域网传播文件共享系统漏洞攻击三、通过无线网络或设备传播智能手机、PDA

无线通道8四、通过移动存储设备传播

1.软盘

2.磁带

3.光盘

4.移动硬盘

5.U盘(含数码相机、MP3等)6.ZIP、JAZ磁盘

7.磁光盘(MO)94.计算机病毒的产生及危害计算机病毒产生的根源计算机系统的复杂性和脆弱性；各种矛盾激化、经济利益驱使；炫耀、玩笑、恶作剧或是报复；2022/11/210计算机病毒的发展简史199820062008200020022004CIH病毒1998年盗版光盘破坏硬盘数据爱虫病毒2000年电子邮件传播自身并破坏数据文件SQL蠕虫王2003年利用SQLserver2000远程堆栈缓冲区溢出漏洞通过网络传播公用互联网络瘫痪2004年利用windows的LSASS中存在一个缓冲区溢出漏洞进行传播传播自身，瘫痪网络，破坏计算机系统震荡波2006年利用所有成熟的网页挂马、U盘ARP欺骗、网络共享传播自身，破坏用户数据，组建僵尸网络熊猫烧香2008年利用flash漏洞等第三方应用程序漏洞挂马传播传播自身，攻击安全软件，组建僵尸网络，盗取账号牟利木马群11计算机病毒的发展简史1983年11月，国际计算机安全学术研讨会，美国专家在一台VAX/750上进行实验，世界上第一个计算机病毒诞生在实验室中。80年代末期，巴基斯坦的一对兄弟，为打击盗版软件，编写一个“巴基斯坦智囊”的病毒，只传染软盘引导区，成为最早在全球范围流行的病毒。12计算机病毒的发展简史计算机病毒的大肆传播：

1988年11月2日美国康奈尔大学一年级研究生罗伯特.莫里斯(R.morris)制作了一个蠕虫计算机病毒(TapWorm),并将其投入美国Internet计算机网络，许多联网机被迫停机，直接损失达9600万美元。莫里斯也因此受到法律制裁。判处3年缓刑、1万美元罚款、400小时的公益劳动13计算机病毒的发展简史1988年我国发现首例计算机病毒Pingpang(乒乓病毒)。1998年台湾大同工学院学生陈盈豪编制了CIH病毒，6月份首先在台湾流行，此后通过网络，相继在澳大利亚、瑞士、荷兰、俄罗斯等国流行，同年8月此病毒传入我国内地，很多计算机用户的机器受到破坏，影响了计算机信息系统的安全运行。14CIH病毒CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS芯片中的系统程序，导致主板损坏。目前该病毒已有三个版本，即1.2、1.3、1.4，发作日期是4月26日，6月26日和每月26日。15计算机病毒的发展简史爱虫病毒2000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutook电子邮件系统传播的，邮件的主题为“ILOVEYOU”，并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。16计算机病毒的发展简史SQL蠕虫病毒

一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQLServerTCP1433或者UDP1434端口。它会试图在SQLServer系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQLService帐号威胁远程系统。17计算机病毒的发展简史震荡波2004年5月1号莫名其妙地死机或重新启动计算机；任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程在运行；系统速度极慢，CPU占用100%

18计算机病毒的发展简史熊猫烧香2006~2007年经过多次变种的蠕虫病毒。.exe的文件无法执行，并且文件图标会变成熊猫烧香。大多数知名的网络安全公司的杀毒软件以及防火墙会被病毒强制结束进程，甚至会出现蓝屏、频繁重启的情况。在各盘释放autorun.inf以及病毒体自身，造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。19一般说来，计算机病毒具有以下几方面的危害。（1）盗窃数据信息（2）破坏数据信息（3）破坏硬件设备（4）耗费系统资源，影响运行速度（5）导致未知错误发生（6）给用户造成心理压力计算机病毒的危害2022/11/220计算机病毒的危害具体表现劫持IE浏览器，篡改首页及一些默认项目（如默认搜索）；添加驱动保护，使用户无法删除某些软件；修改系统启动项目，使某些恶意软件可以随着系统启动；在用户计算机上开置后门，黑客可以通过此后门远程控制中毒机器，组成僵尸网络，对外发动攻击、发送垃圾邮件、点击网络广告等牟利；采用映像劫持技术，使多种杀毒软件和安全工具无法使用；记录用户的键盘、鼠标操作，窃取银行卡、网游密码等信息；记录用户的摄像头操作，可以从远程窥探隐私；使用户的机器运行变慢，大量消耗系统资源；

……21各种病毒占总病毒数的比例22十大恶意网址序号恶意网址上报次数1***0.cn/a1/ss.htm7030802***/1.html5605653***0.cn/a1/MS06014.htm5148634***:91/out/009.htm4572055.***/newhtml/indes_0.htm4420936***.com/tlbb/readme.htm4164787***.com3884908***3792589***5.cn/a1/ss.htm37028810http://v***.cn/se/348608从这些地址利用的系统漏洞可以看出，MS06014等老漏洞，仍然被黑客青睐23十大带毒不良网站序号网站地址1***.bee.pl（色狼五月天）2***.bee.pl（成人有声小说）3***.net（我爱我色成人网）4***.（兴趣365成人用品网）5***.budu.cc（我色我爱色）6***cn（婷婷五月天在线电影）7***.nu.mu（色色网）8***.wn.mu（五月天）9***（色五月天）10***3.cn（成人电影网）有53.6％的的木马网站带有色情内容，这些网站即使被安全软件拦截并弹出警告，但有近63.8%的用户选择继续浏览。24十大木马网址排名第一的木马地址Trojan.DL.Win32.Unbf.bf(木马病毒下载器)被拦截次数达到179万余次，前三位的木马地址拦截次数平均超过159万次，第十名的木马地址拦截次数也达到112万次。25域名安全统计65.1%的木马网站使用CN域名。前五名中排名紧随其后的域名依次为：.org、.com、.、.net26易遭攻击的软件排名序号上报进程名称百分比TOPn百分比1IEXPLOREEXE58.906%58.91%2360SE.exe6.664%65.57%3Maxthon.exe5.817%71.39%4Ttraveler.exe4.412%74.80%5taskcore.exe3.826%79.63%6TheWorld.exe2.678%82.30%7setask.exe1.547%83.85%8XMP.exe1.090%84.94%9RealPlay.exe0.949%85.89%10wmplayer.exe0.866%86.76&瑞星“云安全”数据中心还记录了易受挂马网站攻击的10个流行软件，IE浏览器以58.9%的比例名列第一，360安全浏览器紧随其后。27木马网站的地区分布28互联网病毒产业链病毒销售人木马病毒的制造盗号人(病毒购买人)病毒持有人病毒制作人漏洞挖掘人流量商(病毒植入者)网站(病毒传播者)网民(病毒受害者)木马病毒的传播分工明确，制造、传播、贩卖、获利环环相扣，非常成熟29计算机病毒的过去与现在目的从炫技、恶作剧、仇视破坏到贪婪依托互联网，集团化运作，以经济利益作为唯一目标自我复制和传播，破坏电脑功能和数据，甚至破坏硬件，影响电脑正常使用病毒技术本身没有突破，和以前的病毒没有本质区别通过磁盘、光盘、电子邮件、网络共享等方式传播危害的表象：一个电脑病毒感染数千万台电脑，横行全球，破坏用户系统(CIH、梅丽莎、冲击波、尼姆达等等)生产、传播、破坏的流程完全互联网化，组成分工明确、日趋成熟的病毒产业链；各种基础互联网应用都成为病毒入侵通道，其中“网页挂马”最常见，占总量90%以上。技术传播途径30木马病毒的制造单纯的漏洞挖掘已经成为病毒产业链中的一环（黑客发现漏洞后无需编写病毒即能挣钱）安全漏洞挖掘网页木马制作盗号木马

制作各种基础互联网应用都成为病毒入侵通道，其中“网页挂马”最常见占总量90%以上病毒程序的模块化使得病毒制作门槛大大降低,带来网上木马制作工具泛滥,进而使病毒制作呈现出商业化运作模式按照“客户”需求批量定制盗号木马，去窃取客户指定的有价值的信息流水线式的工业化生产病毒下载器制作31软件漏洞挖掘软件漏洞被公开或地下出售（某黑客网站截图）挖掘漏洞挖掘漏洞报告软件厂商厂商修复漏洞提供安全更新公开或地下出售获利用户安装补丁0day攻击出现32*10.2计算机病毒的工作原理

计算机病毒的工作原理

计算机病毒的引导机制

计算机病毒的传播机制

计算机病毒的触发机制

计算机病毒的破坏机制3310.2计算机病毒的工作原理1.计算机病毒的工作原理作为程序，病毒需要获得被运行的机会。因此，病毒的运行过程一般是隐藏自身并偷偷地获取被运行的机会。被运行后不断复制自身并广泛传播，条件成熟后发作，进行破坏活动。2022/11/2341）计算机病毒的引导模块。2）计算机病毒的传染模块。3）计算机病毒的触发模块。4）计算机病毒的破坏模块。引导模块的任务就是设法获得被执行的机会，一旦被运行就马上获取系统的控制权以引导其他模块进行工作。传染模块的任务是完成计算机病毒的繁殖和传播。传染模块是计算机病毒区别于一般程序的本质特征，是判断一个程序是否为病毒的首要条件。触发模块是计算机病毒破坏行动是否执行的决定者。计算机病毒的破坏行动一般是在满足一定的条件时才会发作破坏模块具体负责破坏活动的执行，也是计算机病毒存在的主要目的。计算机病毒的工作原理病毒结构：2022/11/235

2.计算机病毒的引导机制计算机病毒的引导机制主要分为两种类型：主动型（也称为隐蔽型或技术型）被动型（也称为公开型或欺骗型）主动型引导机制是指计算机病毒利用某种技术在用户毫不知情的情况下主动地开展引导工作。被动型引导机制指计算机病毒采取伪装、欺骗等手段诱使用户直接或间接地主动运行病毒程序，362.计算机病毒的引导机制计算机病毒的引导过程一般包括以下三方面。1、驻留内存：病毒若要发挥其破坏作用，一般要驻留内存。必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。2、窃取系统控制权：病毒驻留内存后，必须取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。3、恢复系统功能：病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。

37计算机病毒为了能够引导，必须寄生在一定的对象上计算机病毒的寄生对象有两种：磁盘的引导扇区和特定文件（EXE、COM等可执行程序DLL、DOC、HTML等经常使用的文件中。38常用的寄生方式替代法病毒程序用自己的部分或全部代码指令直接替换掉磁盘引导扇区或者文件中的原有内容。链接法病毒程序将自身插入到原有内容的首部、尾部或者中间，和原有内容链接为一个整体。39病毒修改中断

中断是CPU处理外部突发事件的一种重要技术，也是计算机病毒经常利用的一种技术。当发生特定的外部事件时，计算机就会产生一个中断使CPU暂停正在进行的工作，优先处理中断事件，处理完成后又立即返回断点继续原来的工作。如下图所示。图10.1病毒修改中断示意图2022/11/240例子1：寄生在磁盘引导扇区的病毒病毒引导程序占有原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。系统一启动：病毒引导模块装入内存并获得执行权，然后将病毒程序的传染模块和发作模块装入内存的适当位置采取常驻内存技术以保证这两个模块不会被覆盖对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带毒状态下运行。41例子2：寄生在可执行文件中的病毒病毒程序修改原有可执行文件，使该文件一执行首先转入病毒程序引导模块该引导模块也完成把病毒程序的传染模块和发作模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。423.计算机病毒的传播机制1)被动传播2)主动传播主动传染是指处于动态（运行于内存并监视系统运行）的病毒在满足传染条件的情况下主动把病毒传染给其他载体，此种传播方式为病毒特有。被动传播是指随着用户对数据信息的复制传输而传播，被动传播的病毒一般都处于静态，此种传播方式属于一般数据传播的范畴，并非病毒特有。43计算机病毒传染的一般过程如下。1）判断传染目标（文件）是否符合感染条件（是否已经被感染）。2）若目标符合感染条件，则将病毒链接到传染目标的特点位置，并存入磁盘。3）继续监视系统的运行，寻找新的传染目标。2022/11/244计算机病毒的传播机制病毒的常见传染途径如下。1）写文件。2）浏览目录。3）创建新文件。4）网络通信。当用户对一个已经存在的文件进行读写操作时进行感染。有的病毒便在用户浏览目录时感染此目录下的所有符合感染条件的文件。病毒在系统创建一个新文件时，将病毒附加到新文件上。通过网络通信机制传染给相连的计算机。2022/11/2454.计算机病毒的触发机制目前病毒采用的触发条件主要有以下几种：1、日期触发：许多病毒采用日期做触发条件。包括：特定日期触发、月份触发、前半年后半年触发等。2、时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。3、键盘触发：监视用户的击键动作，出现病毒预定的键入时、病毒被激活，键盘触发包括击键次数触发、组合键触发、热启动触发等。4.感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。464.计算机病毒的触发机制5、启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。6、访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。7、调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。8、CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件，这种病毒的触发方式奇特罕见。

475.计算机病毒的破坏机制计算机病毒的破坏行为针对的目标主要有：系统数据区文件内存系统功能屏幕显示此外还可以破坏硬件。48计算机病毒的破坏机制常见的破坏行为有如下几种。1）破坏系统数据区。2）破坏文件。3）占用内存。4）修改内存数据。5）扰乱屏幕显示。6）干扰键盘操作。7）修改CMOS。8）阻塞网络。9）破坏硬件设备。2022/11/24910.3计算机病毒的分类及命名规则

计算机病毒的分类

计算机病毒的命名规则2022/11/2501、计算机病毒的分类1.按照病毒的危害程度分类2.按照病毒的链接方式分类3.按照病毒的感染对象分类

4.按照病毒主要活动的系统分类（1）良性计算机病毒（2）恶性计算机病毒

（1）源码型病毒

（2）嵌入型病毒

（3）外壳型病毒

（4）无链接型病毒

（1）感染磁盘引导区的病毒（2）感染文件的病毒（1）DOS系统下的病毒（2）Windows系统下的病毒（3）其他系统下的病毒2022/11/251良性病毒不破坏计算机的数据或程序,不会导致计算机系统瘫痪的病毒会大量占用CPU时间,增加系统开销,降低系统工作效率恶性病毒破坏系统数据,删除文件,甚至摧毁系统的危害性很大的病毒。这类病毒有黑色星期五病毒、火炬病毒、米开朗·基罗病毒1.按照病毒的危害程度分类52（1）源码型病毒

感染语言的编程软件，在正常程序编译前将病毒插入到程序中。（2）嵌入型病毒

病毒是将自身嵌入到现有程序首部、中部或者尾部。（3）外壳型病毒

外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。（4）无链接型病毒病毒以独立文件存在，不感染文件，不断自我复制。2.按照病毒的链接方式分类53（1）感染磁盘引导区的病毒用病毒的全部或部分取代正常的引导记录将正常的引导记录隐藏在磁盘的其他地方。

（2）感染文件的病毒寄生在可执行程序中，一旦程序被执行，病毒也就被激活病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。3.按照病毒的感染对象分类542、计算机病毒的命名规则病毒名是由以下8个字段组成的，以下为病毒名的各个字段，字段之间使用”

.”分隔：主行为类型.子行为类型.运行平台.宿主文件类型.主名称.

主名称变种号.附属名称.附属名称变种号.病毒长度。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>

如：Worm.SASSER.B

震荡波的B变种

Backdoor.huigezi.ik

灰鸽子的IK变种55病毒主行为Worm（蠕虫病毒）Trojan（木马病毒）Hack（黑客病毒）Script（脚本病毒）Backdoor（后门病毒）与后门程序Win32（系统病毒）Dropper（释放病毒的程序）Harm（破坏性程序病毒）

Binder（捆绑型病毒）Virus（感染型病毒）Joke（玩笑病毒）56病毒子行为Worm蠕虫病毒Mail通过邮件传播IM通过某个不明确的载体或多个明确的载体MSN通过MSN传播QQ通过OICQ传播ICQ通过ICQ传播P2P通过P2P软件传播IRC通过ICR传播57续上Trojan木马病毒Spy窃取用户信息（如：文件等）PSW具有窃取密码的行为DL下载病毒并运行IMMSG通过某个不明确的载体或多个明确的载体传播即时消息MSNMSG通过MSN传播即时消息QQMSG通过OICQ传播即时消息Proxy将被感染的计算机作为代理服务器Clicker点击指定的网页Proxy将被感染的计算机作为代理服务器UCMSG通过UC传播即时消息58运行平台运行平台是指病毒运行所依赖的平台，平台可以是操作可以是操作系统也可以是某些支持脚本软件。目前的运行平台有以下几种：WinX说明：仅可以在MS公司WindowsXP操作系统下运行Win3说明：可以在MS公司所有32位的Windows操作系统下运行WinCE说明：仅可以在MS公司WinCE操作系统下运行Unix 说明：仅可以在Unix操作系统下运行Linux说明：仅可以在Linux操作系统下运行Macro说明：仅可以在支持宏的软件平台下运行Script 说明：仅可以在支持脚本的软件平台下运行59宿主文件宿主文件是指病毒所使用的文件类型，目前的宿主文件有以下几种。JS 说明：JavaScript脚本文件VBS 说明：VBScript脚本文件IRC 说明：IRC脚本文件WinREG 说明：Windows平台下的Reg文件Ruby 说明：Ruby脚本文件HTML 说明：HTML文件Java 说明：Java的Class文件COM 说明：Dos下的Com文件EXE 说明：Dos下的Exe文件Boot 说明：硬盘或软盘引导区Word 说明：MS公司的Word文件Excel 说明：MS公司的Excel文件PE 说明：PE文件60主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的。如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。61主名称变种号如果病毒的主行为类型、行为类型、运行平台、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。6210.4计算机病毒的检测与防治

计算机病毒的危害性非常大，一旦计算机被感染了病毒必须要及时发现，但是计算机病毒的隐蔽性使得及时发现病毒是一件难以完成的任务。尽管如此，用户也应该提高警惕，即使不能够在病毒发作前发现它，也应该在它造成更大危害前发现并清除它。对于人身疾病，中医讲究“望、闻、问、切”，即对病人病情进行诊断，只有正确地掌握了病情，才能对症下药，药到病除。对于计算机病毒，清除病毒之前也必须进行检测以确定病毒的种类和症状，才能准确有效地清除病毒，否则不但无法清除病毒，反而可能造成更大的破坏。2022/11/26310.4计算机病毒的检测与防治

计算机病毒的检测

计算机病毒的清除

计算机病毒的防范2022/11/2641、计算机病毒的检测目前计算机病毒检测的常用方法特征代码法校验和法行为监测法虚拟执行法65提取病毒样本的特征代码，作为检查依据具有检测准确、误报率低的优点，病毒清除效果较好。缺点：1）无法检测新病毒。2）特征代码库必须及时更新。3）检测速度慢，所需时间长。4）不能检测没有特征代码的病毒。特征代码法：为了对付新病毒，特征代码库必须能够及时地得到更新。因为不掌握新出现病毒的特征代码，因此不能够检测新出现的病毒。对于待检测的每一个文件，需要将每一种已知病毒的特征代码查找一遍，随着已知病毒数量的增长，检测所需时间也越来越长如果有些病毒根本就没有特征代码或者特征代码总是不停地变化，则这种病毒就无法使用特征代码法检测出来66计算正常文件的校验和，以后使用此文件时重新计算校验和，并与之前的校验和进行比较，如果不一致则此文件被感染。优点：既可以检测出已知的病毒，也可以检测出未知病毒；检测一个文件只需检查一次，速度快，耗时少。缺点：1）误报率高。2）不能识别病毒名称。3）难以进行病毒清除。校验和法：不能把病毒感染的情况和用户或程序对文件的正常修改区分开来，会把对文件的正常修改误认为是病毒感染，就会发生误报警。因为不知道具体是哪一种病毒，因此难以采取有效的办法清除病毒。67

行为监测法反病毒研究者对计算机病毒多年的研究发现病毒也具有一些共性的、与正常程序不同的行为，这些异常行为可以作为是否是病毒的一种判断依据。这些异常行为包括以下几方面。（1）修改系统配置（2）修改COM、EXE文件（3）自动联网（4）占用INT13H（5）修改DOS系统数据区的内存总量很多病毒会修改系统的配置，比如写注册表。病毒很喜欢感染可执行程序，而正常情况下可执行程序是不会被修改的，因此对COM、EXE等可执行程序的修改多是计算机病毒所为。很多病毒会自动联网，特别是蠕虫和木马病毒。引导型病毒会攻击磁盘的BOOT扇区或主引导扇区，通过占用INT13H中断功能，使自身在系统的启动过程中获得执行权。病毒为了感染更多的文件经常会常驻内存，在进驻内存之后会修改内存总量以防止DOS系统在其所用内存区域写入数据而将其覆盖。2022/11/268计算机病毒的检测

虚拟执行法使用虚拟机技术，是目前较为前沿的一种反病毒技术。以程序在执行过程是否具有感染行为作为依据来判断该程序是否是病毒，查毒准确率几乎可达100％。2022/11/2692、计算机病毒的清除即将病毒模块从被感染的系统或文件中摘除的过程，也就是人们常说的杀毒。70反病毒产品发展史80年代中期，病毒开始流行，消病毒程序软件出现1234580s末－90s初，病毒数量激增，硬件防病毒卡出现90s中杀防集成化，90s末出现实时防毒的反病毒软件2000年前后，出现集中控制分布处理的网络杀毒软件2003年左右，出现具备防毒功能的硬件网关设备71计算机病毒的清除计算机病毒的感染对象主要是系统（磁盘引导区）和文件（包括系统文件在内的各种文件），要采用不同的方法。（1）引导型病毒的清除引导型病毒感染和破坏的主要是磁盘的引导扇区等特殊存储区域引导型病毒比感染文件的病毒更难以清除，一般需要先用干净无毒的系统引导盘启动系统后才可以进行病毒的清除工作。计算机病毒清除的原理2022/11/272计算机病毒的清除（2）文件型病毒的清除病毒对文件的感染如果是通过嵌入或外壳等重新链接的方式感染，则病毒是可以被清除的。通过恢复链接，删除病毒代码可以安全地清除这类病毒，被感染文件也可以安全地被恢复。如果病毒是采用覆盖的方式进行感染，则被感染文件难以恢复，只能将其删除。2022/11/2733、计算机病毒的防范1．备份重要数据（包括操作系统本身和主要应用数据）并妥善保管；2．安装正版的杀毒软件及防火墙程序，设定必要的安全策略，经常更新病毒库；3．及时修补操作系统及常用软件的漏洞；4．禁用Guest账户，为系统设置强密码；5．关闭不必要的系统服务；6．最好使用NTFS文件系统格式；7．不要随便共享文件，如果确实需要使用，最好设置权限限定访问，建议不可写入；8．不要轻易下载和安装盗版的、不可信任的软件；9．注意软盘、U盘、光盘等移动存储设备的安全使用；743、计算机病毒的防范10．不要随便打开不明来历的电子邮件，尤其是邮件附件；11．不要浏览一些缺乏可信度的网站，尤其注意浏览器插件的安装；12．不要随便点击打开QQ、MSN等IM工具上发来的链接信息或传送来的文件；13．警惕电脑使用中的异常状况；14．使用专用软件加固重要的应用服务器；15．在网关处架设病毒过滤设备；16．加强内网终端系统和用户的管理；17．注意定期地扫描计算机系统和网络、查看并分析病毒、攻击等事件日志；18．及时关注流行病毒以及下载专杀工具；7510.5恶意代码

恶意代码的概念

恶意代码的分类

恶意代码的防治2022/11/2761、恶意代码的概念对用户没有作用，而且会带来危险的代码被称为恶意代码。恶意代码的共同特征：1）是一种计算机程序代码。2）编制代码的目的是恶意的（至少不是善意的）。3）通过执行发生作用。772、恶意代码的分类

常见的恶意代码种类：病毒蠕虫木马后门程序广告软件/间谍软件移动代码Rootkit下载器逻辑炸弹口令嗅探器钓鱼程序其他类别下面举出一些例子781）病毒换硬盘也杀不掉的“BMW病毒”！2011年BMW病毒攻击过程包括四步：第一步，感染主板BIOS芯片；第二步，通过BIOS感染硬盘MBR；第三步，通过MBR感染Windows系统文件；第四步，联网下载大批盗号木马等恶意程序，并将浏览器主页篡改为“new93网址导航”。

与13年前全球闻名的CIH相比，BMW病毒同样会感染BIOS芯片，但它的危害更为严重。792）蠕虫Worm.Ropian.E”蠕虫程序它可以接管用户的DHCP和DNS服务器，向有更多恶意软件存在的站点发送请求。不管用户在浏览器地址栏中输入什么网址，该蠕虫程序都会将页面重定向到一个固定的地点。上面写着“已不支持该浏览器，请更新到最新版本”。用户会点击浏览器升级的按钮，点击后，这台计算机会感染病毒，并成为整个网络中其他计算机的DHCP服务器。803）木马虚构腾讯公司送奖、送QQ号等不实内容，利用电子邮件携带附件的方式向广大QQ用户和网友发送木马病毒814）广告软件/间谍软件在用户PC屏幕上安置弹出式广告在视频内容、音乐内容中隐藏广告软件和间谍软件，并吸引用户下载下载的文件一般是自解压文档，也可能安装不明的软件。在许多案例中，用户的屏幕上出现一个对话框，建议用户安装所示软件以接入想要的内容。但是，用户在不安装这种广告软件或是间谍软件的情况下，也能接入到娱乐内容。

825）Rootkit隐藏其他程序进程的软件即为Rootkit是一个内核级后门/木马.一个典型rootkit包括：1以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。2木马程序，例如：inetd或者login，为攻击者提供后门。3隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等。4可能还包括一些日志清理工具。833、恶意代码的防治应该遵循病毒防范所遵循的原则：严格的管理相应的技术措施。8410.6典型案例CIH病毒移动代码钓鱼程序2022/11/285典型案例

CIH病毒作者是我国台湾省大同工学院的学生陈盈豪，他是一个纯粹的计算机迷，因为其计算机经常被病毒侵扰，所以根据广告买了不少吹得天花乱坠的反病毒软件，结果都没有什么效果，感觉上当受骗很是生气，编写CIH病毒其实只是想出一个号称“杀毒百分百”的反病毒软件的洋相。

CIH病毒主要有五个版本，这五个版本随时间的发展不断完善，其基本发展历程如下所述。2022/11/286典型案例1）1.0版本2）1.1版本3）1.2版本4）1.3版本5）1.4版本长度为656字节，较为简单，与普通病毒结构基本相同，是当时为数不多的可感染WindowsPE可执行文件的病毒之一，文件被感染后长度会增加，此版本的CIH不具有破坏性。长度为796字节，通过利用将自身化整为零插入WindowsPE类可执行文件中的“空隙”，

WindwosPE类文件初感染后不会导致文件长度增加。长度为1003字节，改正了一些1.1版本的缺陷