信息安全,原理,陈天洲第十五章计算机病毒课件

第十五章计算机病毒计算机病毒病毒概述计算机病毒概述计算机病毒的表现病毒的起源与发展病毒产生的背景病毒发展病毒分类病毒分析病毒特征病毒程序结构及机制计算机病毒网络蠕虫病毒技术蠕虫病毒与一般病毒的异同蠕虫的破坏和发展趋势网络蠕虫病毒分析企业防范蠕虫病毒措施对个人用户产生直接威胁的蠕虫病毒个人用户对蠕虫病毒的防范措施小结计算机病毒脚本病毒邮件型病毒病毒的检测和防治病毒检测病毒防治计算机系统的修复计算机病毒概述与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒的表现根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类：发作前、发作时和发作后的表现现象。计算机病毒发作前的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。计算机病毒发作前的表现现象无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。以前能正常运行的应用程序经常发生死机或者非法错误。可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加，文件的访问和修改日期和时间也会被改成感染时的时间。运行Word，打开Word文档后，该文件另存时只能以模板方式保存。无法另存为一个DOC文档，只能保存成模板文档（DOT）。这往往是打开的Word文档中感染了Word宏病毒的缘故。计算机病毒发作前的表现现象磁盘空间迅速减少。没有安装新的应用程序，而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。基本内存发生变化。在DOS下用mem/c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小，一般少1Kb～2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。陌生人发来的电子函件。收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话，或者一封情书等，又带有附件的电子函件。自动链接到一些陌生的网站。没有在上网，计算机会自动拨号并连接到因特网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址计算机病毒发作时的表现现象计算机病毒发作时是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。一些计算机病毒发作时常见的表现现象：提示一些不相干的话。最常见的是提示一些不相干的话，比如打开感染了宏病毒的Word文档，如果满足了发作条件的话，它就会弹出对话框显示“这个世界太黑暗了！”，并且要求你输入“太正确了”后按确定按钮。发出一段的音乐。恶作剧式的计算机病毒，最著名的是外国的“杨基”计算机病毒（Yangkee）和中国的“浏阳河”计算机病毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐，而“浏阳河”计算机病毒更绝，当系统时钟为9月9日时演奏歌曲《浏阳河》，而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算机病毒，只是在发作时发出音乐和占用处理器资源。计算机病毒发作时的表现现象计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题，代码没有严格测试，在发作时会造成意想不到情况；或者是计算机病毒在Autoexec.bat文件中添加了一句Formatc：之类的语句，需要系统重启后才能实施破坏的。自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段，也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能鼠标自己在动。没有对计算机进行任何操作，也没有运行任何演示程序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制，从广义上说这也是计算机病毒发作的一种现象计算机病毒发作后的表现现象通常情况下，计算机病毒发作都会给计算机系统带来破坏性的后果，那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于“恶性”计算机病毒。一些恶性计算机病毒发作后所造成的后果：硬盘无法启动，数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密码修改Autoexec.bat文件，增加FormatC：一项，导致计算机重新启动时格式化硬盘。使部分可软件升级主板的BIOS程序混乱，主板被破坏。网络瘫痪，无法提供正常的服务。计算机病毒病毒概述计算机病毒概述计算机病毒的表现病毒的起源与发展病毒产生的背景病毒发展病毒分类病毒分析病毒特征病毒程序结构及机制病毒产生的背景计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物计算机病毒是计算机犯罪的一种新的衍化形式计算机软硬件产品的危弱性是根本的技术原因微机的普及应用是计算机病毒产生的必要环境病毒发展第一代病毒第一代病毒的产生年限可以认为在1986—1989年之间，这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽和滋生时期具有如下的一些特点病毒攻击的目标比较单一，或者是传染磁盘引导扇区，或者是传染可执行文件病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加、文件建立日期、时间发生变化，等等病毒程序不具有自我保护的措施，容易被人们分析和解剖，从而使得人们容易编制相应的消毒软件病毒发展第二代病毒第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在1989－1991年之间，它是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段这一阶段的计算机病毒具有如下特点病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可能传染可执行文件。病毒程序不采用明显地截获中断向量的方法监视系统的运行，而采取更为隐蔽的方法驻留内存和传染目标病毒传染目标后没有明显的特征，如磁盘上不出现坏扇区，可执行文件的长度增加不明显，不改变被传染文件原来的建立日期和时间，等等病毒程序往往采取了自我保护措施，如加密技术、反跟踪技术，制造障碍，增加人们分析和解剖的难度，同时也增加了软件检测、解毒的难度出现许多病毒的变种，这些变种病毒较原病毒的传染性更隐蔽，破坏性更大病毒发展第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展，病毒开始向多维化方向发展，即传统病毒传染的过程与病毒自身运行的时间和空间无关，而新型的计算机病毒则将与病毒自身运行的时间、空间和宿主程序紧密相关，这无疑将导致计算机病毒检测和消除的困难。病毒发展第四代病毒90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。1996年下半年随着国内Internet的大量普及，Email的使用，夹杂于Email内的WORD宏病毒已成为当前病毒的主流。一时期的病毒的最大特点是利用Internet作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。此外，随着Windows95的应用，出现了Windows环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。病毒发展计算机病毒的发展必然会促进计算机反病毒技术的发展，也就是说，新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战，致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样，势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性，迫使人们在反病毒的技术和产品上进行新的更新和换代。病毒分类按照计算机病毒攻击的系统分类攻击DOS系统的病毒。攻击Windows系统的病毒。攻击UNIX系统的病毒。攻击OS/2系统的病毒。按照病毒的攻击机型分类攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒攻击小型机的计算机病毒。攻击工作站的计算机病毒。病毒分类按照计算机病毒的链结方式分类源码型病毒。该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。外壳型病毒。外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。病毒分类按照计算机病毒激活的时间分类按照计算机病毒激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。病毒分类按照传播媒介分类单机病毒。单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。网络病毒。网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。病毒分类按照寄生方式和传染途径分类按其寄生方式引导型病毒。引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒，BR（引导区）病毒。文件型病毒按传染途径驻留内存型不驻留内存型混合型病毒集引导型和文件型病毒特性于一体。计算机病毒病毒概述计算机病毒概述计算机病毒的表现病毒的起源与发展病毒产生的背景病毒发展病毒分类病毒分析病毒特征病毒程序结构及机制病毒特征传染性传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。病毒特征隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。病毒特征破坏性任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。不可预见性从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。病毒特征寄生性指病毒对其他文件或系统进行一系列非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。这是病毒的最基本特征。触发性指病毒的发作一般都有一个激发条件，即一个条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等等。病毒程序结构及机制计算机病毒程序是为了特殊目的而编制的，它通过修改其他程序而把自己复制进去，并且传染该程序。一般来说，计算机病毒程序包括三个功能模块：引导模块传染模块破坏模块这些模块功能独立，同时又相互关联，构成病毒程序的整体。引导模块和引导机制引导模块的功能是借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。引导模块还可以将分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。引导模块和引导机制计算机病毒的寄生对象一种寄生在磁盘引导扇区；另一种是寄生在可执行文件（.EXE或.COM）中。这是由于不论是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能引导模块和引导机制计算机病毒的寄生方式替代法：病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。链接法：病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间。寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。引导模块和引导机制计算机病毒的引导过程计算机病毒的引导过程一般包括以下三方面驻留内存。病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存窃取系统控制权。在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。恢复系统功能。病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。传染模块和传染机制传染模块的功能将病毒迅速传染，尽可能扩大染毒范围。病毒的传染模块由两部分组成：条件判断部分和程序主体部分，前者负责判断传染条件是否成立，后者负责将病毒程序与宿主程序链接，完成传染病毒的工作。传染模块和传染机制计算机病毒的传染方式所谓传染是指计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。这种载体一般为磁盘或磁带，它是计算机病毒赖以生存和进行传染的媒介。计算机病毒的传染过程对于病毒的被动传染而言，其传染过程是随着拷贝磁盘或文件工作的进行而进行的，对于计算机病毒的主动传染而言，其传染过程是这样的：在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。破坏模块和破坏机制病毒编制者的意图，就是攻击破坏计算机系统，所以破坏模块是病毒程序的核心部分。破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址（一般为时钟中断INT8H，或与时钟中断有关的其他中断，如INT1CH），使该中断向量指向病毒程序的破坏模块。病毒破坏目标和攻击部位主要是：系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、CMOS、主板等。计算机病毒网络蠕虫病毒技术蠕虫病毒与一般病毒的异同蠕虫的破坏和发展趋势网络蠕虫病毒分析企业防范蠕虫病毒措施对个人用户产生直接威胁的蠕虫病毒个人用户对蠕虫病毒的防范措施小结网络蠕虫病毒技术一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等。同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。网络蠕虫病毒技术根据使用者情况将蠕虫病毒分为两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。蠕虫病毒与一般病毒的异同蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”。例如，windows下可执行文件的格式为PE格式(PortableExecutable)，当需要感染PE文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。蠕虫病毒与一般病毒的异同蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球。蠕虫病毒与一般病毒的异同普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机蠕虫的破坏和发展趋势1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络;后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美元的损失。2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障！专家估计，此病毒造成的直接经济损失至少在12亿美元以上。蠕虫的破坏和发展趋势蠕虫发作的一些特点和发展趋势：利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆达”，以及至今依然肆虐的”求职信”等传播方式多样。如“尼姆达”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等.蠕虫的破坏和发展趋势病毒制作技术新与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。与黑客技术相结合潜在的威胁和损失更大!以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入!网络蠕虫病毒分析虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞。这里的漏洞或者说是缺陷，可以分为两种，软件上的缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，微软IE和outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(socialengineering)，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会报着好奇去点击的。网络蠕虫病毒分析利用软件上的缺陷的蠕虫：以红色代码，尼姆达和sql蠕虫为代表共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击企业防范蠕虫病毒措施需要考虑几个问题：病毒的查杀能力病毒的监控能力新病毒的反应能力企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下：加强网络管理员安全管理水平，提高安全意识建立病毒检测系统建立应急响应系统，将风险减少到最小建立灾难备份系统对于局域网而言，可以采用以下一些主要手段：在因特网接入口处安装防火墙或防杀计算机病毒产品，将病毒隔离在局域网之外。对邮件服务器进行监控，防止带毒邮件进行传播。对局域网用户进行安全培训。建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等。对个人用户产生直接威胁的蠕虫病毒对于个人用户而言，威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等。对于利用email传播得蠕虫病毒来说，通常利用的是社会工程学(SocialEngineering)，即以各种各样的欺骗手段那诱惑用户点击的方式进行传播。恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。个人用户对蠕虫病毒的防范措施网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞。所以防范此类病毒需要注意以下几点购买合适的杀毒软件经常升级病毒库提高防杀毒意识，不要轻易去点击陌生的站点，有可能里面就含有恶意代码。不随意查看陌生邮件，尤其是带有附件的邮件小结网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒，必将对网络产生巨大的危险。在防御上，已经不再是由单独的杀毒厂商所能够解决，而需要网络安全公司，系统厂商，防病毒厂商及用户共同参与，构筑全方位的防范体系蠕虫和黑客技术的结合，使得对蠕虫的分析，检测和防范具有一定的难度，同时对蠕虫的网络传播性，网络流量特性建立数学模型也是有待研究的工作计算机病毒CIH病毒的表现形式、危害及传染途径病毒的运行机制病毒的清除exe型病毒MyVirusWord宏病毒宏的概念宏病毒分析CtoL宏病毒代码及流程宏病毒的判断方法宏病毒的防治和清除病毒的表现形式、危害及传染途径CIH病毒是一种文件型病毒，其宿主是Windows95/98系统下的PE格式可执行文件即.EXE文件，就其表现形式及症状而言，具有以下特点：1、受感染的.EXE文件的文件长度没有改变；2、DOS以及WIN3.1格式（NE格式）的可执行文件不受感染，并且在WinNT中无效。3、用资源管理器中“工具>查找>文件或文件夹”的“高级>包含文字”查找.EXE特征字符串——“CIHv”，在查找过程中，显示出一大堆符合查找特征的可执行文件。4、若4月26日开机，显示器突然黑屏，硬盘指示灯闪烁不停，重新开机后，计算机无法启动。病毒的表现形式、危害及传染途径病毒的危害主要表现在于病毒发作后，硬盘数据全部丢失，甚至主板上的BIOS中的原内容被会彻底破坏，主机无法启动。只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序，才能解决问题。该病毒是通过文件进行传播。计算机开机以后，如果运行了带病毒的文件，其病毒就驻留在Windows的系统内存里了。此后，只要运行了PE格式的.EXE文件，这些文件就会感染上该病毒。病毒的运行机制CIH没有改变宿主文件的大小，而是采用了一种新的文件感染机制即碎洞攻击（fragmentedcavityattack），将病毒化整为零，拆分成若干块，插入宿主文件中去；最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性，向计算机主板的BIOS端口写入乱码，开创了病毒直接进攻计算机主板芯片的先例。病毒的运行机制CIH病毒的驻留（初始化）病毒的感染1、文件的截获2、EXE文件的判断3、PE格式.EXE判别4．病毒首块的寄生计算5．病毒其余块的寄生计算6．写入病毒病毒的运行机制病毒的发作1．病毒发作条件判断2．病毒的破坏①通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块（bootblock）内各写入一个字节的乱码，造成主机无法启动。②覆盖硬盘,通过调用VxdcallIOS_SendCommand直接对硬盘进行存取，将垃圾代码以2048个扇区为单位，从硬盘主引导区开始依次循环写入硬盘，直到所有硬盘（含逻辑盘）的数据均被破坏为止。病毒的清除1、病毒的检测①利用“资源管理器”进行搜寻②Debug检测PESignature2、病毒的清除计算机病毒CIH病毒的表现形式、危害及传染途径病毒的运行机制病毒的清除exe型病毒MyVirusWord宏病毒宏的概念宏病毒分析CtoL宏病毒代码及流程宏病毒的判断方法宏病毒的防治和清除exe型病毒MyVirus简介:这是一个Win32平台下的多态病毒，感染PE格式的可执行文件。被感染的文件在运行时会先弹出警告对话框，然后正常运行，并无大碍。病毒程序首次被运行时将选择3个文件感染，将自身代码插入被感染文件达到传染的目的，被感染文件每次运行时都会将病毒传染给其他三个文件。由于是测试版，将感染文件限制在D:\Test目录下，可在D:\Test目录下放一些.exe进行测试计算机病毒CIH病毒的表现形式、危害及传染途径病毒的运行机制病毒的清除exe型病毒MyVirusWord宏病毒宏的概念宏病毒分析CtoL宏病毒代码及流程宏病毒的判断方法宏病毒的防治和清除宏的概念

宏是微软公司为其OFFICE软件包设计的一个特殊功能，目的是让用户文档中的一些任务自动化。OFFICE中的WORD和EXECL都有宏。Word宏定义为：宏就是能组织到一起作为一独立命令使用的一系列word指令，它能使日常工作变得更容易。宏病毒分析

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。宏病毒分析

宏病毒的特点：以数据文件方式传播，隐蔽性好，传播速度快，难于杀除制作宏病毒以及在原型病毒上变种非常方便破坏可能性极大宏病毒会感染DOC文档文件和DOT模板文件。CtoL宏病毒代码及流程

该程序修改了宏，在打开文件后，将从头到尾搜索文档的文本，发现文本是字母，就将其删除。还修改了宏，如果是第一次打开带有病毒的文件，我们就将修改后的拷贝到了NORMAL.DOT模板。这样之后的所有被打开的Word文件都将被感染。宏病毒的判断方法

1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。宏病毒的防治和清除

1、首选方法：用最新版的反病毒软件清除宏病毒。2、应急处理方法：用写字板或WORD6.0文档作为清除宏病毒的桥梁。计算机病毒脚本病毒邮件型病毒病毒的检测和防治病毒检测病毒防治计算机系统的修复脚本病毒

2000年5月4日欧美爆发的“爱虫”网络蠕虫病毒。由于通过电子邮件系统传播，爱虫病毒在短短几天内狂袭全球数百万计的电脑。微软、Intel等在内的众多大型企业网络系统瘫痪，全球经济损失达几十