新版计算机病毒概述

本章学习目标掌握计算机病毒基本概念了解计算机病毒发展历史转折点熟悉计算机病毒分类熟悉商业计算机病毒命名规则掌握计算机病毒发展趋势新版计算机病毒概述第1页一、计算机病毒定义计算机病毒产生动机(原因)：计算机系统脆弱性(IBM病毒防护计划)作为一个文化（hacker）病毒编制技术学习恶作剧\报复心理用于版权保护（江民企业）用于特殊目标（军事、计算机防病毒企业）新版计算机病毒概述第2页“计算机病毒”与医学上“病毒”不一样， 它不是天然存在，是一些人利用计算机软、硬件所固有脆弱性，编制含有特殊功效程序。“计算机病毒”为何叫做病毒？与生物医学上病毒一样有传染和破坏特征，所以这一名词是由生物医学上“病毒”概念引申而来。新版计算机病毒概述第3页FredCohen定义：

计算机病毒是一个程序，他用修改其它程序方法将本身准确拷贝或者可能演化拷贝插入其它程序，从而感染其它程序。FredCohen认为：

病毒不是利用操作系统运行错误和缺点程序，病毒是正常用户程序。新版计算机病毒概述第4页标准定义（中国）：直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出："计算机病毒，是指编制或者在计算机程序中插入破坏计算机功效或者毁坏数据，影响计算机使用，并能自我复制一组计算机指令或者程序代码。"此定义含有法律性、权威性。新版计算机病毒概述第5页二、计算机病毒特征

破坏性传染性隐蔽性

寄生性触发（潜伏）性新版计算机病毒概述第6页新版计算机病毒概述第7页/*引导功效模块*/{将病毒程序寄生于宿主程序中；加载计算机程序；病毒程序随其宿主程序运行进入系统；}{传染功效模块；}{破坏功效模块；}main(){调用引导功效模块；A：do{寻找传染对象；

if(传染条件不满足) gotoA；}while(满足传染条件)；调用传染功效模块；while(满足破坏条件) {激活病毒程序； 调用破坏功效模块；}

运行宿主源程序；

if不关机

gotoA；关机；}新版计算机病毒概述第8页计算机病毒感染率改变趋势数据起源：中国计算机病毒应急处理中心

新版计算机病毒概述第9页三、计算机病毒简史年份新版计算机病毒概述第10页计算机病毒简史在第一部商用电脑出现之前，冯·诺伊曼在他论文《复杂自动装置理论及组识进行》里，就已经勾勒出了病毒程序蓝图。70年代美国作家雷恩出版《P1青春－TheAdolescenceofP1》一书中作者构思出了计算机病毒概念。美国电话电报企业(AT&T)贝尔试验室中，三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一个电子游戏叫做“磁芯大战(corewar)”。新版计算机病毒概述第11页博士论文主题是计算机病毒1983年11月3日，FredCohen博士研制出第一个计算机病毒（Unix）。新版计算机病毒概述第12页1986年初，巴基斯坦拉合尔，巴锡特和阿姆杰德两弟兄编写了

Pakistan病毒，即Brain，其目标是为了防范盗版软件。Dos–PC–引导区1987年世界各地计算机用户几乎同时发觉了形形色色计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。新版计算机病毒概述第13页视窗病毒1988年3月2日，一个苹果机病毒发作，这天受感染苹果机停顿工作，只显示“向全部苹果电脑使用者宣告和平信息”。以庆贺苹果机生日。新版计算机病毒概述第14页肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全教授。机理-利用sendmail,finger等服务漏洞，消耗CPU资源，并造成拒绝服务。影响-Internet上大约6000台计算机感染，占当初Internet联网主机总数10%，造成9600万美元损失。CERT/CC诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似事件。莫里斯蠕虫（MorrisWorm）1988年新版计算机病毒概述第15页1989年，全世界计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户（包含中国）造成了极大损失。全球流行DOS病毒新版计算机病毒概述第16页伊拉克战争中病毒-AF/91（1991）在沙漠风暴行动前几周，一块被植入病毒计算机芯片被安装进了伊拉克空军防卫系统中一台点阵打印机中。该打印机在法国组装，取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中一些Windows系统主机以及大型计算机，听说非常成功。新版计算机病毒概述第17页宏病毒1996年，出现针对微软企业Office“宏病毒”。1997年公认为计算机反病毒界“宏病毒年”。特点：书写简单，甚至有很多自动制作工具新版计算机病毒概述第18页CIH（1998-1999）1998年，首例破坏计算机硬件CIH病毒出现，引发人们恐慌。1999年4月26日，CIH病毒在我国大规模暴发，造成巨大损失。新版计算机病毒概述第19页蠕虫——病毒新时代1999年3月26日，出现一个经过因特网进行传输漂亮莎病毒。年7月中旬，一个名为“红色代码”病毒在美国大面积蔓延，这个专门攻击服务器病毒攻击了白宫网站，造成了全世界恐慌。年，“蠕虫王”病毒在亚洲、美洲、澳大利亚等地快速传输，造成了全球性网络灾害。记忆犹新3年（-）新版计算机病毒概述第20页年是蠕虫泛滥一年，大流行病毒：网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig)新版计算机病毒概述第21页年是木马流行一年，新木马包含：8月9日，“闪盘窃密者（Trojan.UdiskThief）”病毒。该木马病毒会判定电脑上移动设备类型，自动把U盘里全部资料都复制到电脑C盘“test”文件夹下，这么可能造成一些公用电脑用户资料丢失。11月25日，“证券大盗”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。该木马病毒可盗取包含南方证券、国泰君安在内多家证券交易系统交易账户和密码，被盗号股民账户存在被人恶意操纵可能。7月29日，“外挂陷阱”（troj.Lineage.hp）。此病毒能够盗取多个网络游戏用户信息，假如用户经过登陆某个网站，下载安装所需外挂后，便会发觉外挂实际上是经过伪装病毒，这个时候病毒便会自动安装到用户电脑中。9月28日，"我照片"(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取《热血江湖》、《传奇》、《天堂Ⅱ》、《工商银行》、《中国农业银行》等数十种网络游戏及网络银行账号和密码。该病毒发作时，会显示一张照片使用户对其放松警觉。新版计算机病毒概述第22页年木马依然是病毒主流，变种层出不穷年上六个月，江民反病毒中心共截获新病毒33358种，另据江民病毒预警中心监测数据显示，1至6月全国共有7322453台计算机感染了病毒，其中感染木马病毒电脑2384868台，占病毒感染电脑总数32.56%，感染广告软件电脑1253918台，占病毒感染电脑总数17.12%，感染后门程序电脑

664589台，占病毒感染电脑总数9.03%，蠕虫病毒216228台，占病毒感染电脑总数2.95%，监测发觉漏洞攻击代码感染181769台，占病毒感染电脑总数2.48%，脚本病毒感染15152台，占病毒感染电脑总数2.06%。新版计算机病毒概述第23页最前沿病毒年：流氓软件——反流氓软件技术反抗阶段。Cnnic3721–yahoo熊猫烧香年：木马ARPPhishing（网络钓鱼）新版计算机病毒概述第24页年恶意代码产业化木马是主流其它：浏览器劫持、下载捆绑、钓鱼新版计算机病毒概述第25页年新增恶意代码750万（瑞星）；流行恶意代码：快捷方式真假难分、木马依旧猖獗，但更重视经济利益和特殊应用。新版计算机病毒概述第26页恶意代码发展趋势卡巴斯基试验室高级研究师DavidEmm研究得悉，到年底为止，全球大约存在各种恶意代码1,400,000个。新版计算机病毒概述第27页发展趋势网络化发展专业化发展简单化发展多样化发展自动化发展犯罪化发展新版计算机病毒概述第28页四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一个在运行过程中能够复制本身破坏性程序，伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses)，并在每七天一次计算机安全讨论会上正式提出。新版计算机病毒概述第29页1988年冬天，正在康乃尔大学攻读莫里斯，把一个被称为“蠕虫”电脑病毒送进了美国最大电脑网络——互联网。1988年11月2日下午5点，互联网管理人员首次发觉网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。新版计算机病毒概述第30页CIH病毒，又名“切尔诺贝利”，是一个可怕电脑病毒。它是由台湾大学生陈盈豪编制，九八年五月间，陈盈豪还在大同工学院就读时，完成以他英文名字缩写“CIH”名电脑病毒起初据称只是为了“想纪念一下1986灾难”或“使反病毒软件企业难堪”。新版计算机病毒概述第31页年仅18岁高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒制造者于年8月29日被捕。对此，他邻居们表示不敢相信。在他们眼里，杰弗里·李·帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。新版计算机病毒概述第32页李俊，大学本科毕业大于1000万用户染毒损失数亿元人民币处罚：最高无期？新版计算机病毒概述第33页五、计算机病毒主要危害直接危害：1.病毒激发对计算机数据信息直接破坏作用2.占用磁盘空间和对信息破坏3.抢占系统资源4.影响计算机运行速度5.计算机病毒错误与不可预见危害6.计算机病毒兼容性对系统运行影响新版计算机病毒概述第34页病毒危害情况

新版计算机病毒概述第35页间接危害：1.计算机病毒给用户造成严重心理压力2.造成业务上损失3.法律上问题新版计算机病毒概述第36页近几年来重大损失

年份攻击行为发起者受害PC数目损失金额(美元)木马和恶意软件————木马————Worm_Sasser(震荡波)————Worm_MSBLAST(冲击波)超出140万台——SQLSlammer超出20万台9.5亿至12亿Klez超出6百万台90亿RedCode超出1百万台26亿NIMDA超出8百万台60亿LoveLetter——88亿1999CIH超出6千万台近100亿新版计算机病毒概述第37页六、计算机病毒分类新版计算机病毒概述第38页1、按病毒存在媒体分类网络病毒：经过计算机网络传输感染网络中可执行文件；文件病毒：感染计算机中文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；引导型病毒：感染开启扇区（Boot）和硬盘系统引导扇区（ＭＢＲ）；混合型病毒：是上述三种情况混合。比如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这么病毒通常都含有复杂算法，它们使用非常规方法侵入系统，同时使用了加密和变形算法。新版计算机病毒概述第39页2、按病毒传染方法分类引导扇区传染病毒：主要使用病毒全部或部分代码取代正常引导统计，而将正常引导统计隐藏在其它地方。执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。网络传染病毒：这类病毒是当前病毒主流，特点是经过互联网络进行传输。比如，蠕虫病毒就是经过主机漏洞在网上传输。新版计算机病毒概述第40页3、按病毒破坏能力分类无害型：除了传染时降低磁盘可用空间外，对系统没有其它影响。

无危险型：这类病毒仅仅是降低内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严重错误。

非常危险型：这类病毒删除程序、破坏数据、去除系统内存区和操作系统中主要信息。新版计算机病毒概述第41页4、按病毒算法分类伴随型病毒：这一类病毒并不改变文件本身，它们依据算法产生EXE文件伴随体，含有一样名字和不一样扩展名（COM），比如：XCOPY.EXE伴随体是XCOPY.COM。病毒把本身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来EXE文件。蠕虫型病毒：经过计算机网络传输，不改变文件和资料信息，利用网络从一台机器内存传输到其它机器内存，计算网络地址，将本身病毒经过网络发送。有时它们在系统存在，普通除了内存不占用其它资源寄生型病毒：依附在系统引导扇区或文件中，经过系统功效进行传输。练习型病毒：病毒本身包含错误，不能进行很好传输，比如一些病毒在调试阶段。变形病毒：这一类病毒使用一个复杂算法，使自己每传输一份都含有不一样内容和长度。它们普通作法是一段混有没有关指令解码算法和经过改变病毒体组成。新版计算机病毒概述第42页5、按计算机病毒链结方式分类源码型病毒：该病毒攻击高级语言编写程序，该病毒在高级语言所编写程序编译前插入到原程序中，经编译成为正当程序一部分。嵌入型病毒：这种病毒是将本身嵌入到现有程序中，把计算机病毒主体程序与其攻击对象以插入方式链接。这种计算机病毒是难以编写，一旦侵入程序体后也较难消除。假如同时采取多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前反病毒技术带来严峻挑战。外壳型病毒：外壳型病毒将其本身包围在主程序四面，对原来程序不作修改。这种病毒最为常见，易于编写，也易于发觉，普通测试文件大小即可知。操作系统型病毒：这种病毒用本身程序加入或取代部分操作系统进行工作，含有很强破坏力，能够造成整个系统瘫痪。圆点病毒和大麻病毒就是经典操作系统型病毒。新版计算机病毒概述第43页6、按病毒攻击操作系统分类MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT//XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）新版计算机病毒概述第44页病毒发展是伴伴随计算机软硬件发展而发展。沿着操作系统发展几个阶段来看看病毒技术与反病毒技术演化。DOS时代（1981－）Window9x时代（1995－）WindowsNT/时代（1996－）嵌入式系统（—）操作系统及病毒改变新版计算机病毒概述第45页（一）DOS操作系统时代病毒DOS操作系统介绍16位操作系统（8086、8088）实模式、单用户、单任务字符界面中止机制新版计算机病毒概述第46页DOS可执行文件病毒原理COM病毒EXE病毒常见感染手法经过查目录进行传输经过执行进行传输经过文件查找进行传输经过文件关闭时候进行传输新版计算机病毒概述第47页DOS反病毒原理特征码技术含糊匹配技术（广谱杀毒）行为判定技术启发式扫描技术对各种可疑功效进行加权判断；MOVAH,5；INT,13h;format新版计算机病毒概述第48页（二）Windows操作系统32位操作系统抢占式多任务操作系统保护模式下运行友好图形界面新版计算机病毒概述第49页Windows病毒可执行文件病毒宏病毒脚本病毒蠕虫病毒木马病毒新版计算机病毒概述第50页可执行文件病毒经典病毒（CIH）感染原理特点反病毒技术文件监控内存监控新版计算机病毒概述第51页蠕虫病毒经典病毒感染原理特点反病毒技术邮件监控网络监控新版计算机病毒概述第52页席卷全球NIMDA病毒新版计算机病毒概述第53页木马病毒经典病毒感染原理特点反病毒技术文件监控防火墙新版计算机病毒概述第54页宏病毒经典病毒感染原理特点反病毒技术OFFICE嵌入式查毒特征代码新版计算机病毒概述第55页脚本病毒经典病毒感染原理特点反病毒技术脚本监控新版计算机病毒概述第56页

智能手机病毒-手机木马（WinCE.Brador.A）病毒名称：

WinCE.Brador.A

类型：Backdoor公布日期：未知影响平台：

WindowsMobile病毒别名：

Backdoor.WinCE.Brador.a大小：

5632发源地域：俄罗斯概述：

Brador.A是已知第一个针对PocketPC手持设备后门程序。运行时，后门程序将自己复制到开启文件夹，将PDA

IP地址邮件发送给后门程序作者，并开始监听一个TCP端口命令。然后黑客能够经过TCP端口连接回PDA，经过后门程序控制PDA。新版计算机病毒概述第57页运行时，后门程序将自己复制到开启文件夹，将PDA

IP地址邮件发送给后门程序作者，并开始监听一个TCP端口命令。然后黑客能够经过TCP端口连接回PDA，经过后门程序控制PDA。端口：2989D:浏览文件G:上传文件P:下载文件R:执行命令M:屏幕显示F:退出新版计算机病毒概述第58页运行时，Brador.A会将自己作为svchost.exe复制到PocketPC设备上Windows\StartUp文件夹，以致设备每次开启时它都会自动开启

安装程序对复制到Windows\StartUp文件夹文件作了轻微修改。所以文件每次开启时会有所不一样，即使这不会影响后门程序操作。仍不清楚这是安装程序有意还是附带结果。新版计算机病毒概述第59页危害当Brador.A安装到系统时，会读取当地主机IP地址并email发送给作者。邮件发送IP地址后后门程序打开一个TCP端口，开始监听来自它命令。后门程序能够从PDA上传、下载文件，执行任意命令并对PDA用户显示信息。新版计算机病毒概述第60页七、计算机病毒传输路径

新版计算机病毒概述第61页1、软盘软盘作为最惯用交换媒介，在计算机应用早期对病毒传输发挥了巨大作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均经过软盘相互拷贝、安装，这么病毒就能经过软盘传输文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内相互感染。所以软盘也成了计算机病毒主要寄生“温床”。新版计算机病毒概述第62页2、光盘光盘因为容量大，存放了大量可执行文件，大量病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，所以光盘上病毒不能去除。以谋利为目标非法盗版软件制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠技术保障防止病毒传入、传染、流行和扩散。当前，盗版光盘泛滥给病毒传输带来了极大便利。甚至有些光盘上杀病毒软件本身就带有病毒，这就给原来“洁净”计算机带来了灾难。

新版计算机病毒概述第63页3、硬盘（含移动硬盘、USB）有时，带病毒硬盘在当地或移到其它地方使用甚至维修等，就会将洁净软盘传染或者感染其它硬盘并扩散。新版计算机病毒概述第64页网络——〉病毒加速器网络病毒技术小区集体攻击病毒

蠕虫病毒特洛伊木马黑客技术脚本病毒邮件病毒病毒源码公布4、有线网络新版计算机病毒概述第65页触目惊心计算——卿斯汉假如：20分钟产生一种新病毒，通过因特网传播（30万公里/秒）。联网电脑每20分钟感染一次，天天开机联网2小时。结论：一年以內一台联网电脑可能会被最新病毒感染2190次。另一个数字：75％电脑被感染。新版计算机病毒概述第66页网络服务——〉传输媒介网络快速发展促进了以网络为媒介各种服务（FTP,WWW,BBS,EMAIL等）快速普及。同时，这些服务也成为了新病毒传输方式。电子布告栏（BBS）：电子邮件（Email）：即时消息服务（QQ,ICQ,MSN等）：WEB服务：FTP服务：新闻组：新版计算机病毒概述第67页5、无线通讯系统病毒对手机攻击有3个层次：攻击WAP服务器，使手机无法访问服务器；攻击网关，向手机用户发送大量垃圾信息；直接对手机本身进行攻击，有针对性地对其操作系统和运行程序进行攻击，使手机无法提供服务。新版计算机病毒概述第68页八、染毒计算机症状病毒表现现象：计算机病毒发作前表现现象病毒发作时表现现象病毒发作后表现现象与病毒现象相同硬件故障与病毒现象相同软件故障新版计算机病毒概述第69页1、发作前现象平时运行正常计算机突然经常性无缘无故地死机操作系统无法正常开启运行速度显著变慢以前能正常运行软件经常发生内存不足错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行应用程序经常发生死机或者非法错误系统文件时间、日期、大小发生改变运行Word，打开Word文档后，该文件另存时只能以模板方式保留磁盘空间快速降低网络驱动器卷或共享目录无法调用基本内存发生改变陌生人发来电子邮件新版计算机病毒概述第70页2、发作时现象提醒一些不相干话发出一段音乐产生特定图像硬盘灯不停闪烁进行游戏算法Windows桌面图标发生改变计算机突然死机或重启自动发送电子邮件鼠标自己在动新版计算机病毒概述第71页3、发作后现象硬盘无法开启，数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密修改Autoexec.bat文件使部分可软件升级主板BIOS程序混乱，主板被破坏网络瘫痪，无法提供正常服务新版计算机病毒概述第72页4、与病毒现象类似软件故障出现“Invaliddrivespecification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统兼容性引导过程故障用不一样编辑软件程序新版计算机病毒概述第73页5、与病毒现象类似硬件故障系统硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS问题新版计算机病毒概述第74页九、计算机病毒命名规则

CARO命名规则，每一个病毒命名包含五个部分：病毒家族名病毒组名大变种小变种修改者CARO规则一些附加规则包含：不用地点命名不用企业或商标命名假如已经有了名字就不再另起别名变种病毒是原病毒子类新版计算机病毒概述第75页

精灵（Cunning）病毒是瀑布（Cascade）病毒变种，它在发作时能奏乐，所以被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒变种大小不一（1701,1704,1621等），所以用大小来表示组名。A表示该病毒是某个组中第一个变种。

业界补充：反病毒软件商们通常在CARO命名前面加一个前缀来标明病毒类型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。这么，梅丽莎病毒一个变种命名就成了W97M.Melissa.AA，Happy99蠕虫就被称为Win32.Happy99.Worm。新版计算机病毒概述第76页VGrep是反病毒厂商一个尝试，这种方法将已知病毒名称经过某种方法关联起来，其目标是不论什么样扫描软件都能按照可被识别名称链进行扫描。VGrep将病毒文件读入并用不一样扫描器进行扫描，扫描结果和被识别出信息放入数据库中。每一个扫描器扫描结果与别扫描结果相比较并将结果用作病毒名交叉引用表。VGrep参加者赞同为每一个病毒起一个最通用名字最为代表名字。拥有成千上万扫描器大型企业集团要求杀毒软件供给商使用VGrep命名，这对于在世界范围内跟踪多个病毒一致性很有帮助。新版计算机病毒概述第77页十、计算机病毒防治新版计算机病毒概述第78页病毒防治公理1、不存在这么一个反病毒软硬件，能够防治未来产生全部病毒。2、不存在这么一个病毒程序，能够让未来全部反病毒软硬件都无法检测。3、当前反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。4、病毒产生在前，反病毒伎俩滞后现实状况，将是一个长久过程。新版计算机病毒概述第79页人类为防治病毒所做出努力

立体防护网络版单机版防病毒卡新版计算机病毒概述第80页对计算机病毒应持有态度

1.客观认可计算机病毒存在，但不要惧怕病毒。

3.树立计算机病毒意识，主动采取预防（备份等）办法。4.掌握必要计算机病毒知识和病毒防治技术，对用户至关主要。5.发觉病毒，冷静处理。新版计算机病毒概述第81页当前广泛应用几个防治技术：特征码扫描法特征码扫描法是分析出病毒特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，而且庞大特征码库会造成查毒速度下降；新版计算机病毒概述第82页虚拟执行技术

该技术经过虚拟执行方法查杀病毒，能够对付加密、变形、异型及病毒生产机生产病毒，含有以下特点：在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据，假如含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒查杀

新版计算机病毒概述第83页智能引擎技术

智能引擎技术发展了特征码扫描法优点，改进了其弊端，使得病毒扫描速度不随病毒库增大而减慢。刚才面世瑞星杀毒软件版即采取了此项技术，使病毒扫描速度比版提升了一倍之多；新版计算机病毒概述第84页计算机监控技术文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控参考：新版计算机病毒概述第85页未知病毒查杀技术

未知病毒技术是继虚拟执行技术后又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒准确查杀。新版计算机病毒概述第86页压缩智能还原技术

世界上压缩工具、打包工具、加“壳”工具多不胜数，病毒假如被这么工具处理后被层层包裹起来，对于防病毒软件来说，就是一个噩梦。为了使用统一方法来处理这个问题，反病毒教授们创造了未知解压技术，它能够对全部这类文件在内存中还原，从而使得病毒完全暴露出来。新版计算机病毒概述第87页多层防御，集中管理技术反病毒要以网为本，从网络系统角度设计反病毒处理方案，只有这么才能有效地查杀网络上计算机病毒。在网络上，软件安装和管理方式是十分关键，它不但关系到网络维护和管理效率和质量，而且包括到网络安全性。好杀毒软件需要能在几分钟之内便可轻松地安装到组织里每一个NT服务器上，并可下载和散布到全部目标机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全办法紧密地结合在一起，成为网络安全管理一部分，而且自动提供最正确网络病毒防御办法。新版计算机病毒概述第88页病毒免疫技术

病毒免疫技术一直是反病毒教授研究热点，它经过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫基本构想。实际上，最近出现软件安全认证技术也应属于此技术范围，因为用户应用软件多样性和环境复杂性，病毒免疫技术到广泛使用还有一段距离。新版计算机病毒概述第89页病毒防治技术趋势前瞻加强对未知病毒查杀能力加强对未知病毒查杀能力是反病毒行业持久课题，当前国内外多家企业都宣告自己产品能够对未知病毒进行查杀，但据我们研究，国内外产品只有少数能够对同一家族新病毒进行预警，不能去除。当前有些企业已经在这一领域取得了突破性进展，能够对未知DOS病毒、未知PE病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上，并能准确去除其中80%，未知PE病毒能查到70%以上、未知宏病毒能实现查杀90%.新版计算机病毒概述第90页防杀针对掌上型移动通讯工具和PDA病毒

伴随掌上型移动通讯工具和PDA广泛使用，针对这类系统病毒已经开始出现，而且威胁将会越来越大，反病毒企业将投入更多力量来加强这类病毒防范。新版计算机病毒概述第91页兼容性病毒防杀

当前已经发觉能够同时在微软WINDOWS和日益普及LINUX两种不一样操作系统内运作病毒，这类病毒将会给人们带来更多麻烦，促使反病毒企业加强防杀这类病毒。新版计算机病毒概述第92页蠕虫病毒和脚本病毒防杀不容忽略

蠕虫病毒是一个能自我复制程序，驻留内存并经过计算机网络复制自己，它经过大量消耗系统资源，最终造成系统瘫痪。给人们带来了巨大危害，脚本病毒因为其编写相对轻易正成为另一个趋势，这两类病毒危害性使人们丝毫不能忽略对其防杀。新版计算机病毒概述第93页十一、杀毒软件及评价新版计算机病毒概述第94页病毒查杀能力对新病毒反应能力对文件备份和恢复能力实时监控功效及时有效升级功效智能安装、远程识别功效界面友好、易于操作对现有资源占用情况（一）杀毒软件必备功效

新版计算机病毒概述第95页系统兼容性软件价格软件商实力新版计算机病毒概述第96页（二）国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。新版计算机病毒概述第97页《电脑报》评测结果新版计算机病毒概述第98页AV-Test年5月排名新版计算机病毒概述第99页十二、处理方案和策略新版计算机病毒概述第100页

企业网络中病毒漏洞FileServerMailServerClientInternetGatewayFirewallInternet

企业网络基本结构

网关（Gateway)

服务器（Servers)

邮件服务器文件/应用服务器客户端（clients)新版计算机病毒概述第101页

趋势整体防病毒处理方案FirewallInternetFileServerClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer

趋势整体防病毒处理方案

1网关级处理方案InterScanViruswall

2服务器级处理方案

邮件服务器ScanMail

forExchange/forNotes

文件服务器ServerProtect

forNT/Netware3客户端处理方案OfficeScan4集中管理系统处理方案TVCS

(TrendVirusControlSystem)新版计算机病毒概述第102页防病毒策略1、建立病毒防治规章制度，严格管理；

2、建立病毒防治和应急体系；

3、进行计算机安全教育，提升安全防范意识；

4、对系统进行风险评定；

5、选择经过公安部认证病毒防治产品；