计算机病毒与防治

信息数据面临的威胁

逻辑炸弹

蠕虫内部、外部泄密2

什么是计算机病毒?

《中华人民共和国计算机信息系统安全保护条例》

第二十八条中明确指出：

“计算机病毒，是指编制或者在计算机程

序中插入的破坏计算机功能或者毁坏数据，影

响计算机使用，并能自我复制的一组计算机里

令或者程序代码。”

此定义具有法律性、权威性。

和3b冷WnbySee/eO6rdtng

黑客/病毒产业链分析

窃取机变信息

入侵企业

服务器

盗取海戊道

表虚拟货币

中间批发商通过各

入侵网络游种槊迤进行销他

戏服务器

入侵者

金钱

编写病毒

主动攻击

盗取证券交易y勒索网站

帐号

拒绝;服若攻击

传播病I佣金

4

常见病毒介绍〜熊猫烧香

2006年12月27日，因特网上很多

计算机遭受不明病毒攻击，由于中毒电脑的

可执行文件会出现“熊猫烧香”图案，所以也

被称为“熊猫烧香”病毒。

用户电脑中毒后可能会出现蓝屏、频繁重

启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进

行传播，进而感染局域网内所有计算机系统，

最终导致整个局域网瘫痪，无法正常使用。

图三：“熊猫烧香”病毒用自动“挂马”的方式传播

用户

a

s

tck.oocwshom.ocxactmovie.exeappend.exeatmadm.exe

attnb.exeautocM；.exe^utoconv»exeautofmt.exeautolfn.exebootok.exebootvrfy.exe

cads.execdpJayer.execharmap.exechkdsk-exechkntfs.exedpher.exe

ckcnv.exediconfg.execluster.execmd.execmdl32.execmmgr32.execmmon32.exe

朝

cmstp.execomdList.execomp.execompact.execonlme.execontrol.execonvert,exe

□

cscnpt.exec$r$$.exedcomcnfg.exeddeshare.exeddmprxy.exedebug.exediants.exe

A熊猫烧香病毒它能感染系统中exe,com,pif,src,html,asp等文

件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,

（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的

用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

7

U-卜OO/<CQr->O4

Runtimeerror5at0040BDB4

at0040BDB4确定

error5a

Runtimeerror5at0040BDB4

确定br5at0040BDB4

at0040BDB4

确定确定untimeerror5at0040BDB4

rfor确定0BDB4

Runtimeerror5at0040BDB4

确定

确定Runtimeerror5at0040BDB4

确定

"31Runtime

Runtimeerror5at0040BDB4

确定

RiRuntimeei

neerror5at0040BDB4

』确定I

E.网2E.|*E.±|却"&4#

被感染的电脑发生异常

8

流行病毒介绍〜熊猫烧香

1、打开“我的电脑”，用鼠标右键点击“C盘”、“D盘”

等图标，在弹出的菜单中会出现名为“Auto"的项目。

Auto

萌玲…

打开⑼

本地磁盘（［

资源管理器（冷

共享和安全⑻…

有可移动存楮的设备图添加到压缩文件（且…

圉添加到"Archive,rar"（D

囹压缩并E-mall…

3.5软盘（A囹压缩到"Archive,rar"并E-mail

格式化⑧…

9

流行病毒介绍〜熊猫烧香

2、用一些辅助工具，可以看到根目录下有名为

“setup.exe”和"autorun.inf”的文件，其中

“setup.exe〃的图标为“熊猫烧香”。

仝

■;9本地磁盘（C：）

名称Q1大小类型

口WINDOWS文件夹2006-11-2815:42

^AUTOEXEC.BAT0MS-DOS批处理文件2005-6-1415:58

J^autorun.inf81安装信息2007-1-2310:19

boot,ini211配置设置2005-6-1414:50

bootFont.bin322,730BIN文件2002-10-720:00

§|CONFIG.SYS0系统文件2005-6-1415:58

|E^|hiberfil.sys267,964,416系统文件2006-11-2815:41

HIO.SYS0系统文件2005-6-1415:58

§MSDOS.SYS0系统文件2005-6-1415:58

HNTDETECT.COM47户64MS-DOS应用程序2004-8-322:38

画ntldr257,200系统文件2004-8-322:59

回pagefile.sys402,653,184系统文件2006-11-2815:41

MJsetup.exe39,424应用程序2007-1-2310:19

IQ—已经选择1个文件夹总计6文件夹和671,2110

“熊猫烧香”病毒分析与处理

病毒名称：Worm.Nimaya（"尼姆亚"蠕虫病毒）

依赖系统：WIN9X/NT/2000/XP

传播方式：通过恶意网页传播，可通过局域网、移动存储设备等传播

技术分析（以Spoclsv.exe为例）：

常见病毒进程名称：Spoclsv.exe等；

病毒运行后复制自身到系统目录下：

%System%\drivers\spodsv.exe;

创建启动项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\E

xplorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

11

“熊猫烧香”病毒分析与处理

在各分区根目录生成副本:结束一些进程：禁用一系列服务：

X:\setup.exeMcshield.exeRsCCenter

X:\autorun.infVsTskMgr.exeRsRavMon

内容:naPrdMgr.exe

autorun.infRsCCenter删除若干安全软件启动项信息:

UpdaterUI.exe

[AutoRun]RsRavMonvT夕qk

OPEN=setup.exeTBMon.exeKVWSC

KvMonXP

shellexecute=setup.exescan32.exeKVSrvXP

kav

shell\Auto\command=setup.eRavmond.exekavsvcj卡巴

KAVPersonal50

xeCCenter.exer>AVP-麦克菲

瑞星,McAfeeUpdaterUIz一

RavTask.exeMcAfeeFramework

1NetworkAssociates

尝试关闭下列窗口：Rav.exeMcShield

ErrorReportingService

QQKavRavmon.exeMcTaskManager

ShStatEXE

QQAVRavmonD.exenavapsvc

YLive.exe

VirusScanRavStub.exewscsvc

Yassistse

SymantecAntiVirusKVXP.kxpKPfwSvc

DubaKvMonXP.kxp江民'SNDSrvc使用netshare命令删除管理共

WindowsKVCenter.kxpccProxy享.

KVSrvXP.exe

esteemprocsccEvtMgrnetshareX$/del/y

KRegEx.exe

SystemSafetyMonitorccSetMgrnetshareadmin$/del/y

WrappedgiftKi1lerUIHost.exeSPBBCSvcnetshareIPC$/del/y

WinsockExpertTrojDie.kxpSymantecCoreLC

msctls_statusbar32FrogAgent.exeNPFMntor

pjf(ustc)Logoi-,exeMskService

“熊猫烧香”病毒分析与处理

遍历感染除以下系统目录夕卜的exe、com、scr、pif文件：尝试弱密码访问网内其它计算机:

password

X:\WINDOWSihavenopassasdf

X:\Winntharley

godblessyoupwd

X:\SystemVolumeInformationgolf

pussyenableqwer

X:\Recycled

mustangalphayxcv

%ProgramFiles%\WindowsNT

shadow1234qwerzxcv

%ProgramFiles%\Windowsllpdatefish

123abchome

%ProgramFiles%\WindowsMediaPlayerqwerty

aaaXXX

%ProgramFiles%\OutlookExpressbaseballowner

Patrick

%ProgramFiles%\lnternetExplorerletmeinlogin

%ProgramFiles%\NetMeetingcccpat

Loain

%ProgramFiles%\CommonFilesadmin

administratorlove

%ProgramFiles%\ComPlusApplicationsabc

rootmypc

%ProgramFiles%\Messengerpasssex

passwdmypcl23

%ProgramFiles%\lnstallShieldInstallationInformation

databasegodadmin123

%ProgramFiles%\MSN

obcdfoobarmypass

%ProgramFiles%\Microso什Frontpage

abc!23secretmypassl23

%ProgramFiles%\MovieMaker

SybaseTestAdministrator

%ProgramFiles%\MSNGaminZone

123qwetest123Guest

Server

tempadmin

将自身捆绑在被感染文件前端，并在尾部添加标记信息：Computer

temp123Root

.WhBoy｛原文件名｝.exe.｛原文件大小｝.super

123asdwin

另外还发现病毒会覆盖少量exe,删除.gh。文件;

13

“熊猫烧香”病毒分析与处

理

清除步骤______________________________________________________________________

1.首先断开网络；

2.一定要先结束病毒进程spodsv.exe等；

3.删除病毒文件：%System%\drivers\spoclsv.exe

4.右键点击分区盘符，在右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:\setup.exeX:\autorun.inf

5.删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

6.修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001

7.至ijh甘p:///Chclnnels/Service/inclex.shtml下载瑞星最新版本的''Worm.Nimaya

（熊猫烧香）专用清除工具“，使用该工具进行扫描查杀；

8.修复或重新安装杀毒软件，并进行全盘扫描，清除恢复被感染的exe文件；

9.注：如果上述操作在正常模式下有问题，请启动至安全模式下进行操作！

14

熊猫烧香—李俊

2009年12月24日，入狱3年的李

俊因表现良好，被提前一年释放。

社会需要宽容，但不需要纵容，

若把犯罪作为找工作的筹码，那

是一个很坏的榜样。

U盘病毒和

Autorun.inf分析

16

U盘病毒和Automn.inf分析

u盘病毒主要通过u盘、移动硬盘传播。目前几乎

所有这类的病毒的最大特征都是利用autoniiLinf这个

来侵入的，而事实上autorun.inf相当于一个传染途径,

经过这个途径入侵的病毒，理论上是“任何”病毒。

因此目前无法单纯说U盘病毒就是什么病毒，也因此

导致在查杀上会存在混乱，因为U盘病毒不止一种或

几十种，详细的数字没人去统计。

17

熊猫烧香的内容:

autorun.inf内容：

[AutoRun]〃自动运行

OPEN=setup.exe〃执行“setup.exe”这个程序的内

核结构，就是运行其程序主要功能

shellexecute=setup.exe//执行“setup.exe”这个程

序的外壳文件，就是加载该程序的可视化界面。不过病毒

制作者隐藏了该程序的外观图形界面；

shell\Auto\command=setup.exe//自动力口载运行

'setup.exe'这个程序.〃。

18

U盘病毒和Autorun.inf分析

♦Antonin.inf是个WindowsXP的“创口”

autonm.iiif这个文件是很早就存在的，在WinXP以前的其

他windows系统（如Win98,2000等），需要让光盘、U盘插入

到机器自动运行的话，就要靠autonm.inf。这个文件是保存在

驱动器的根目录下的（是一个隐藏的系统文件），它保存着一

些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启

动什么程序。

病毒作者可以利用自动启动这一点，让移动设备在用户系统

完全不知情的情况下，“自动”执行任何命令或应用程序。

19

U盘病毒和Automn.inf分析

♦误双击u盘后病毒做了什么

如果u盘带有一些病毒，就会有一个现象，当你点击

U盘时，会多了一些东西：在U盘、各个硬盘分区（C、

D、E、F盘……）的右键菜单多了“自动播放”、

“Autorun"、"Open"、“Browser”等项目；正常情况

下没有这些项目。

20

U盘病毒和Autorun.inf分析

>Autonm.inf本身是正常的文件，但可被利用作其他恶

意的操作；

»不同的人可通过Autonm.ii!瞰置不同的病毒，因此无

法简单说是什么病毒，可以是一切病毒、木马、黑客程

序等；

A一般情况下，U盘不应该有Autonm.inf文件；

»如果发现U盘有Autonm.iiif,且不是你自己创建生成的,

请删除它，并且尽快查毒

21

U盘病毒和Autonm.inf分析

♦让Autonin.inf更老实一些

A一般建议插入U盘时，不要双击U盘；

A插入后，用右键点击U盘，选择“资源管理器”来打开U盘；

A我们也可以对U盘采取一些预防措施，来阻断病毒的传播路径。在

U盘中新建一个文件夹，命名为“AutoRim.inP,根据同名文件与

同名文件夹不能共存的原理，以后即使在有毒的电脑上使用U盘，

病毒因不能创建AutoRim.iiif文件而无法在别的电脑上运行，这就

阻断了AutoRun病毒的传播路径。

注：部分U盘制造商可能也会利用Autonm.iiif进行自己的特色设计，目的是

为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，

因此建议购买U盘是先做识别，或咨询销售人员。

22

病毒工作原理

计算机系统的内存是一个非常重要的资源，我们可以认为所有

的工作都需要在内存中运行（相当于人的大脑），所以控制了

内存就相当于控制了人的大脑，病毒一般都是通过各种方式把

自己植入内存，获取系统最高控制权，然后感染在内存中运行

的程序。

23

切记

病毒传染的前彳就是，它必须把自己复制到内存中，硬盘

中的带毒文件如果没有被读入内存，是不会传染的，这在

杀毒中非常重要。

所以：病毒和杀毒软件斗争的焦点就在于争夺启动后的内

存控制权。

24

计算机病毒的分类(1)

1.以病毒攻击的操作系统分类

(1)攻击DOS系统的病毒

(2)攻击Windows系统的病毒

(3)攻击UNIX系统的病毒

(4)攻击OS/2系统的病毒

(5)攻击NetWare系统的病毒

2.以病毒的攻击机型分类

(1)攻击微型计算机的病毒

(2)攻击小型机的计算机病毒

(3)攻击服务器的计算机病毒

25

计算机病毒的分类(2)

3.按照计算机病毒的链接方式分类

(1)源码型病毒

(2)嵌入型病毒将计算机病毒的主体程序与其攻击对

象以插入方式进行链接，一旦进入程序中就难以清除。

(3)外壳型病毒圈自身包围在合法的主程序的周围，

对原来的程序并不作任何修改。常见、易于编写、易

发现。

(4)操作系统型病毒操作系统型病毒会用它自己的

程序加入操作系统或者取代部分操作系统进行工作，

具有很强的破坏力，会导致整个系统瘫痪。

26

计算机病毒的分类（3）

4.按照计算机病毒的破坏情况分类

1）良性计算机病毒2）恶性计算机病毒。

5.按照计算机病毒激活的时间分类

分为定时的和随机的。

6.按照传播媒介分类

1）单机病毒2）网络病毒

7.按照寄生方式和传染途径分类

寄生方式大致可分为两类：一是引导型病毒；二是文件

型病毒。

传染途径又可分为驻留内存型和不驻留内存型。

27

引导型病毒的传播

工作原理：引导型病毒感染的不是文件，而是磁盘引导区，

它把自己写入引导区，这样，只要磁盘被读写，病毒就

首先被读取入内存

传播：在计算机启动时，必须读取硬盘主引导区获得分区信

息，再读取C盘引导区获取操作系统信息，这时候任何杀

毒软件都无法控制，隐藏在引导区的病毒自然顺利入驻

内存

28

计算机病毒特征

根据对计算机病毒的产生、传播和破坏行为的分析，可以

修计算机病毒概括为以下6个主要特点。

1.传染性指病毒具有把自身复制的特性

2.取得系统控制权

3.隐蔽性通过隐蔽技术使宿主程序的大小没有改变，

以至于很难被发现。

4.破坏性计算机所有资源包括硬件资源和软件资源，

软件所能接触的地方均可能受到计算机病毒的破坏

5.潜伏性长期隐藏在系统中，只有在满足特定条件时,

才启动其破坏模块。

6.不可预见性

29

计算机病毒的传播途径

1.移动存储设备

包括硬盘、移动硬盘、光盘等。硬盘是数据

的主要存储介质，因此也是计算机病毒感染的主

要目标。

2.网络

目前大多数病毒都是通过网络进行传播的。

30

基于浏览器的病毒

网页病毒是利用网页来进行破坏的病毒，它使用一些

SCRIPT语言编写的一些恶意代码利用浏览器的漏洞来

实现病毒植入。当用户登录某些含有网页病毒的网站时

,网页病毒便被悄悄激活，这些病毒一旦激活，可以利

用系统的一些资源进行破坏。

用户浏览一个外部网页，该网页代码就将下载到本地的

IE浏览器的临时目录..\TemporaryInternetFiles,

然后由浏览器根据页面代码进行解释执行。

31

与病毒相关的几个名词

黑客Hacker

木马Trojan

蠕虫Worm

垃圾邮件Spamemail

流氓软件Hooligansoftware

32

木马(Trojan)

这个名字来源于古希腊传说，它是

指通过一段特定的程序（木马程序）

来控制另一台计算机。

木马通常有两个可执行程序：一个

是客户端，即控制端，另一个是服务

端，即被控制端。

木马的设计者为了防止木马被发

现，而采用多种手段隐藏木马。

33

蠕虫1Worm

它能传播请注意：

它自身功与病毒不同,

蠕虫不需要

能的拷贝将其自身附

或它的某着到宿主程

些部分到序。

其他的计|有两种类型

的蠕虫—

算机系统主机蠕虫

中。网络蠕虫

34

垃圾邮件/垃圾短信

一）收件人事先没有提出要求或者同意接收的广告、电子刊

物、各种形式的宣传品等宣传性的电子邮件；

二）收件人无法拒收的电子邮件；

三）隐藏发件人身份、地址、标题等信息的电子邮件；

四）含有虚假的信息源、发件人、路由等信息的电子邮件。

35

流氓软件hooligansoftware

流氓软件”是介于病毒

和正规软件之间的软件。

既有一定的实用价值（下载、

媒体播放等）,也会给用户

带来种种干扰（弹广告、开

后门、浏览器劫持）。

36

流氓软件的特点:

L未经用户许可强行潜伏到用户电脑中

2.此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动

生成。

3.广告程序会强迫用户接受阅读广告信息，间谍软件搜集用敏感信息

并向外发送，严重侵犯了用户的选择权和知情权。

4.杀毒软件无法查杀

37

流氓软件之父:

周鸿祎，湖北黄冈人。毕业于西安交大

管理学院系统工程系，获硕士学位。

曾就职方正集团。

1998年10月，为了实现“让中国人能用

自己的母语上网”的理想，周鸿祎创建3721公司，

并在同年推出了3721“网络实名”的前身——中文网士

3721网络实名以其简单、方便的“用中文上网”

的理念，得到千万中国网民的认可。但2004年前后，

3721软件在利益驱使下，使用了众多不良手段侵占

用户电脑、并使得其难以被卸载、删除，甚至致使用

户电脑无法正常工作，从而被公认为有“流氓行为”

的软件，并引发“流氓软件”一词，而周鸿祎亦被某

些媒体称之为“流氓软件创始人之一”。

现任奇虎360董事长。

38

病毒“免杀”技术

杀毒软件的工作方式一般是特征码匹配杀毒，即通过分

析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软

件的查杀，才能顺利实现其入侵系统、盗取用户私密信息的

目的，‘免杀'病毒则应运而生。

•“免杀”概念

“免杀”，顾名思义就是逃避杀毒软件的查杀，目前用

得比较多的方法主要有三种，分别是“加花指令”、“加壳”

和“修改特征码”，通常黑客们会针对不同的情况来运用不

同的免杀方法。

39

病毒特征代码

特征码，一般都是被反病毒软件公司确定为只有该病毒才

可能会有的串一串二进制字符串，而这字符串通常是文件里

对应代码或汇编指令的地址。

杀毒软件会将这一串二进制字符串用某种方法与目标文件

或进程作对比，从而判定该文件或进程是否感染病毒。

为了防止出现病毒的误查杀，可以提取出多段特征码。这

也就是我们所说的复合特征码.

这是一段来自开源杀毒软件ClamAntivirus的病毒特征

库的病毒特征码：

917cb8a3dld9eb24af6c5bcf3bf7e401:

病毒名称：Trojan.Downloader-1420

16进制编辑器：winhex

定位特征码：multiccll

40

病毒“免杀”技术

♦免杀技术之一■:加花指令

加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令

（一些垃圾指令，类型加1减1之类的无用语句），从而干扰杀毒软件正常

的检测。这是“免杀”技术中最初级的阶段。

♦免杀技术之二：加壳

常见的壳容易被识别，所以病毒加壳往往会使用到生僻壳、强壳、

新壳、伪装壳、或者加多重壳等，干扰杀毒软件正常的检测。

“免杀技术之三：修改特征码

病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过内存杀

毒，因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。要修改特征

码，就要先定位杀毒软件的病毒库所定位的特征码，这有一定难度，但是

现在有很多工具可以定位出特征码，只需简单修改就可完成“免杀病毒”

的制作了。

41

计算机病毒制作技术

1.脚本语言与ActiveX技术

新型计算机病毒却利用JavaScript<VBScripW

本语言直接将病毒写到网页上，完全不需要宿主程序。

脚本语言执行方式是把程序代码写在网页上，当连接

到这个网站时，浏览器就会利用本地的计算机系统资

源自动执行这些程序代码，使用者就会在毫无察觉的

情况下，执行了一些来路不明的程序，遭到病毒的攻

击。

42

2.采用自加密技术

计算机病毒采用自加密技术就是为了防止被计算机病毒检

测程序扫描出来，并被轻易地反汇编。计算机病毒使用了加

密技术后，对分析和破译计算机病毒的代码及清除计算机病

毒等工作都增加了很多困难。

利用XOR加解密，一个简单的例子：

addaa,76h〃使aa指向第一条被加密指令

xor[aa],42h〃加密第一个指令

addaa,01h〃指向下一个

xor[aa],42h〃加密第二个

43

3.采用变形技术

当某些计算机病毒编制者通过修改某种已知计算机病

毒的代码，使其能够躲过现有计算机病毒检测程序时,

称这种新出现的计算机病毒是原来被修改计算机病毒

的变形。当这种变形了的计算机病毒继承了原父本计

算机病毒的主要特征时，就被称为是其父本计算机病

毒的一个变种。

44

4.采用隐形技术

当计算机病毒采用隐形技术后，可以在计算机病毒进入内

存后，使计算机用户几乎感觉不到它的存在。

45

5.对抗计算机病毒防范系统

计算机病毒采用对抗计算机病毒防范系统技术时，当发现

磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找

到出版这些软件的公司名时，就会删除这些杀毒软件或文

件，造成杀毒软件失效，甚至引起计算机系统崩溃。

46

6.反跟踪技术

计算机病毒采用反跟踪措施的目的是要提高计算机病毒程

序的防破译能力和伪装能力。常规程序使用的反跟踪技术

在计算机病毒程序中都可以利用。

47

7.中断与计算机病毒

中断是CPU处理外部突发事件的一个重要技术。它能使

CPU在运行过程中对外部事件发出的中断请求及时地进行

处理，处理完成后又立即返回断点，继续进行CPU原来的

工作。但另一方面，病毒设计者则会篡改中断功能为达到

传染、激发和破坏等目的。如INT13H是磁盘输入输出中

断，引导型病毒就是用它来传染病毒和格式化磁盘的。

48

病毒防御技术

1.特征代码法

从病毒程序中抽取一段独一无二、足以代表该病毒

特征的二进制程序代码，并将这段代码作为判断该病毒

的依据，这就是所谓的病毒特征代码。

从各种病毒样本中抽取特征代码，就构成了病毒资

料库。

显然，病毒资料库中病毒特征代码种类越多，杀毒

软件能查出的病毒就越多。

49

1、特征代码法

选择病毒特征码要能够反映出该病毒典型

特征，如它的破坏、传播和隐藏性代码。由于病

毒数据区会经常变化，因此病毒特征代码不要含

有病毒的数据区。在保持病毒典型特征唯一性的

前提下，抽取的病毒特征代码要长度适当，应尽

量使特征代码长度短些，以减少空间与时间开

销，使误报警率最低。

50

1、特征代码法

采用病毒特征代码法的检测工具，必须不断

更新病毒资料库，否则检测工具便会过期老化，

逐渐失去实用价值。

特征代码法的优点是检测准确、快速、可识

别病毒的名称，是检测已知病毒的最简单、开销

最小的方法。缺点是不能检测未知病毒、变种病

毒和隐蔽性病毒（隐蔽性病毒进驻内存后，会自

动剥去染毒程序中的病毒代码），需定期更新病

毒资料库，具有滞后性。

51

特征代码法流程图:

52

2.校验和法

校验和法是根据文件的内容，计算其校验和，并

将所有文件的校验和放在资料库中。检测时将文

件现有内容的校验和与资料库中的校验和做比

较，若不同则判断为被感染病毒。

53

2.校验和法

校验和是一种保护信息资源完整性的控制技术，例如Hash值和循

环冗余码等。只要文件内部有一个比特发生了变化，校验和值就会改

变。未被恶意代码感染的系统首先会生成检测数据，然后周期性地使用

校验和法检测文件的改变情况。运用校验和法检查恶意代码有3种方法：

(1)在恶意代码检测软件中设置校验和法。对检测的对象文件计算其正

常状态的校验和并将其写入被查文件中或检测工具中，而后进行比较。

(2)在应用程序中嵌入校验和法。将文件正常状态的校验和写入文件本

身中，每当应用程序启动时，比较现行校验和与原始校验和，实现应

用程序的自我检测功能。

(3)将校验和程序常驻内存。每当应用程序开始运行时，自动比较检查

应用程序内部或别的文件中预留保存的校验和。

54

3.行为监测法

行为监测法是将病毒中比较特殊的共同行为归纳起来，若

发现类似病毒的行为，立即报警。

1.占用INT13H

INTI3H是磁盘输入输出中断。引导型病毒就是用它来传染病毒和格

式化磁盘的。

2.修改DOS系统数据区的内存总量

病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量。

3.以COM和EXE文件做写入动作

病毒要感染，必须写COM和EXE文件。

4.病毒程序与宿主程序的切换

染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，

有许多特征行为。

行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地

预报未知的多数病毒。但行为监测法也有其短处，即可能误报警和不能

识别病毒名称，而且实现起来有一定难度。

55

4.虚拟机技术

用程序代码虚拟一个CPU、各个寄存器、硬

件端口也虚拟出来，调入被调的“样本”，通过

内存和寄存器以及端口的变化来了解程序的执行

情况。将病毒放到虚拟机中执行，则病毒的传染

和破坏等动作一定会被反映出来。

56

5.主动内核技术

是主动给操作系统和网络系统打了“补丁”，这

些补丁将从安全的角度对系统或网络进行管理和

检查，对系统的漏洞进行修补，任何文件在进入

系统之前，反病毒模块都将首先使用各种手段对

文件进行检测处理。

57

6.启发扫描

是以特定方式实现对有关指令序列的反编

译，逐步理解和确定其蕴藏的真正动机。

58

7.实时反病毒技术

实时反病毒是对任何程序在调用之前都被先过滤

一遍,一'有病毒侵入，它就报警，并自动杀毒,

将病毒拒之门外，做到防患于未然。

59

WindowsXP的防范

技术

60

些基本的系统概念(上)

一、进程：

进程为应用