《恶意代码基础与防范（微课版）》 教案全套 张新江 第1-3章 恶意代码概述-传统计算机病毒

PAGEPAGE2课程教案(参考模板)教学层次：☑本科□高职□技工□其他课程代码：课程名称：恶意代码开课部门：智能制造学院授课教师：职称/学位：开课时间：二○至二○学年第1学期教务处制年月课程基本信息课程代码课程名称恶意代码开课部门智能制造学院授课班级/人数课程学分3考核方式及比例考试课堂表现×10%﹢课后作业×20%+自主学习×10%﹢期末成绩×60%开设情况☑新开课程□已有课程课程类型□理论课程□实训课程☑理实一体化课程课程类别本科专业基础课高职/技工□职业基础课程□职业能力课程□职业拓展课程□职业技能实训课程□其他课程课程总学时48理论学时32实践教学场地F2-102B实验学时16授课教师张新江职称副教授学历/学位本科/硕士是否新教师□是☑否来源☑本校□外聘所在部门智能制造学院教辅人员职称学历/学位是否新教师□是□否来源□本校□外聘所在部门学生年龄特征和学习特点授课学生为大三学生，具有一定的独立分析能力，知识结构稳定。教材类型□统编教材□非统编教材□自编教材或讲义□其他：使用教材名称作者出版社出版时间计算机病毒与恶意代码原理、技术及防范》刘功申清华大学出版社2021.1教学参考用书恶意代码调查技术于晓聪清华大学出版社2020.12

第1次课程教学方案备课时间年8月20日——年8月25日备课教师张新江教学时间年9月1日教学地点F2-102B周次1课时数4教学内容（章、节）模块/单元第1章恶意代码概述教学目标和要求明确恶意代码的基本概念了解恶意代码的发展历史熟悉恶意代码的分类熟悉恶意代码的命名规则了解恶意代码的未来发展趋势教学重点1.恶意代码的基本概念2.恶意代码的发展历史3.恶意代码的分类教学难点1.恶意代码的命名规则2.恶意代码的未来发展趋势教学方法讨论、自主学习、教师讲授使用媒体资源☑纸质材料☑多媒体课件☑网络资源□其他资源：使用教具、设备、设施等虚拟机作业练习课后习题课后记（空白不够可添加附页）

教学内容（板书）教学步骤、方法及学生活动时间一、为什么提出恶意代码的概念？计算机病毒的官方定义不能涵盖新型恶意代码《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》传统计算机病毒定义：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。传统计算机病毒定义的不足之处传统定义强调：把破坏代码插入正常程序中，而忽略把代码直接复制到硬盘上的独立恶意程序（例如，木马），忽略恶意程序主动侵入设备（例如，蠕虫）等。传统定义没有排除：具有恶意行为，但不是有意为之的行为，例如，不小心形成的恶意行为。这些不足带来的法律问题使用这个定义可能逃脱应有的惩罚二、恶意代码定义恶意代码：在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。这个定义涵盖的范围非常广泛，它包含了所有敌意、插入、干扰、讨厌的程序和源代码。一个软件被看作是恶意代码主要是依据创作者的意图，而不是恶意代码本身的特征。恶意代码的特征1.目的性目的性是恶意代码的基本特征，是判别一个程序或代码片段是否为恶意代码的最重要的特征，也是法律上判断恶意代码的标准。2.传播性传播性是恶意代码体现其生命力的重要手段。3.破坏性破坏性是恶意代码的表现手段。恶意代码产生的动机(原因)：计算机系统的脆弱性(IBM病毒防护计划)作为一种文化（hacker）病毒编制技术学习恶作剧\报复心理用于版权保护（xx公司）用于特殊目的（军事、某些计算机防病毒公司）赚钱、赚钱、赚钱……三、恶意代码简史在第一部商用电脑出现之前，冯·诺伊曼在他的论文《复杂自动装置的理论及组识的进行》里，就已经勾勒出了病毒程序的蓝图。70年代美国作家雷恩出版的《P1的青春－TheAdolescenceofP1》一书中作者构思出了计算机病毒的概念。美国电话电报公司(AT&T)的贝尔实验室中，三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯大战(corewar)”。1、萌芽阶段博士论文的主题是计算机病毒1983年11月3日，FredCohen博士研制出第一个计算机病毒（Unix）。2、第一个真病毒3、Dos时代的病毒1986年初，巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了Pakistan病毒，即Brain，其目的是为了防范盗版软件。Dos–PC–引导区1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。视窗病毒1988年3月2日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家。机理-利用sendmail,finger等服务的漏洞，消耗CPU资源，并导致拒绝服务。影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失。CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似事件。莫里斯蠕虫（MorrisWorm）1988年1989年，全世界计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户（包括中国）造成了极大损失。全球流行DOS病毒4、用于军事的恶意代码在沙漠风暴行动的前几周，一块被植入病毒（AF/91（1991））的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。该打印机在法国组装，取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机，据说非常成功。5、傻瓜式恶意代码——宏病毒1996年，出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。特点：书写简单，甚至有很多自动制作工具6、烧毁硬件的恶意代码CIH（1998-1999）1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。7、网络恶意代码时代：蠕虫1999年3月26日，出现一种通过因特网进行传播的美丽莎病毒。2001年7月中旬，一种名为“红色代码”的病毒在美国大面积蔓延，这个专门攻击服务器的病毒攻击了白宫网站，造成了全世界恐慌。2003年，“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。记忆犹新的3年（2003-2005）2004年是蠕虫泛滥的一年，大流行病毒：网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig)2005年是木马流行的一年，新木马包括：8月9日，“闪盘窃密者（Trojan.UdiskThief）”病毒。该木马病毒会判定电脑上移动设备的类型，自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下，这样可能造成某些公用电脑用户的资料丢失。11月25日，“证券大盗”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能。7月29日，“外挂陷阱”（troj.Lineage.hp）。此病毒可以盗取多个网络游戏的用户信息，如果用户通过登陆某个网站，下载安装所需外挂后，便会发现外挂实际上是经过伪装的病毒，这个时候病毒便会自动安装到用户电脑中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取《热血江湖》、《传奇》、《天堂Ⅱ》、《工商银行》、《中国农业银行》等数十种网络游戏及网络银行的账号和密码。该病毒发作时，会显示一张照片使用户对其放松警惕。8、木马时代2006年木马仍然是病毒主流，变种层出不穷2006年上半年，江民反病毒中心共截获新病毒33358种，另据江民病毒预警中心监测的数据显示，1至6月全国共有7322453台计算机感染了病毒，其中感染木马病毒电脑2384868台，占病毒感染电脑总数的32.56%，感染广告软件电脑1253918台，占病毒感染电脑总数的17.12%，感染后门程序电脑

664589台，占病毒感染电脑总数的9.03%，蠕虫病毒216228台，占病毒感染电脑总数的2.95%，监测发现漏洞攻击代码感染181769台，占病毒感染电脑总数的2.48%，脚本病毒感染15152台，占病毒感染电脑总数的2.06%。最前沿病毒2007年：流氓软件——反流氓软件技术对抗的阶段。Cnnic3721–yahoo熊猫烧香2008年：木马ARPPhishing（网络钓鱼）2009年恶意代码产业化木马是主流其他：浏览器劫持、下载捆绑、钓鱼2010年新增恶意代码750万（瑞星）；流行恶意代码：快捷方式真假难分、木马依旧猖獗，但更注重经济利益和特殊应用。2011年随着SNS等新型社交网络的迅速崛起，恶意代码制造者又有了新的病毒载体平台。例如，新浪微波的移动互联网平台恶意代码。例如，手机病毒。2012年中国计算机病毒统计根据金山毒霸安全中心统计2012年共捕获病毒样本总量超过4200万个，比上一年增长41.4%，月捕获病毒样本数在300万至450万个之间，日均超过11万个。鬼影病毒、AV终结者末日版、网购木马、456游戏木马、连环木马(后门)、QQ粘虫木马、新淘宝客病毒、浏览器劫持病毒、传奇私-Fu劫持者、QQ群蠕虫病毒等病毒类型对用户危害最大。来源：/analysis/kaspersky-security-bulletin/58335/mobile-malware-evolution-2013/9、手机恶意代码登场2015年移动恶意代码行为（Kaspasky）2015年,卡巴斯基实验室检测到的内容如下:•2,961,727个恶意安装包•884,774个新的恶意移动项目——数量较前一年增长了三倍.•7,030个移动银行木马ThenumberofattacksblockedbyKasperskyLabsolutions,2015ThenumberofusersprotectedbyKasperskyLabsolutions,2015Thegeographyofmobilethreatsbynumberofattackedusers,2015Distributionofnewmobilemalwarebytypein2014and20151.ConfickerConficker是一种针对微软的Windows操作系统的计算机蠕虫病毒，最早的版本出现在2008年秋季。2.Sality通过僵尸网络控制3.LockyLocky是勒索软件家族新成员，出现于2016年年初，通过RSA-2048和AES-128算法对100多种文件类型进行加密。Locky通过漏洞工具包或包含JS、WSF、HTA或LNK文件的电子邮件传播。4.Cutwail一款僵尸网络，用于DDoS攻击并发送垃圾邮件。5.ZeusZeus是几年前出现的一款银行木马。6.Chanitor被称为Hancitor或H1N1,使用垃圾邮件来传播木马。7.Tinba–木马8.CryptowallCryptowall是CryptoLocker勒索软件的变种。9.Blackhole-一种恶意程序工具包，10.Nivdort-模块化木马。2018十大恶意软件APT武器：持续升级的APT28工具系列白俄罗斯工控系统：继Stuxnet之后最大威胁的Industroyer能够直接控制变电中的电路开关和继电器物联网：持续“扩张”的Mirai家族2017年与Mirai相关的知名恶意软件包括：Rowdy、IoTroops、Satori等。这些恶意软件以mirai的源代码为本体，经过不断的变异改进，已经从传统的Linux平台演变到了Windows平台，利用的端口也在不断变化，从传统的弱口令攻击转变到了弱口令和漏洞利用的综合攻击方式，同时感染设备范围由网络摄像机、家庭路由，正向有线电视机顶盒等领域“扩张”。银行/金融：在线销售的CutletMakerCutletMaker的软件于2017年5月开始在AlphaBay暗网市场上销售，因为美国有关机构在7月中旬关闭了AlphaBay，软件经营方现新建了一个独立网站专门销售该软件。犯罪勒索：占领半壁江山的WannaCry移动终端：安卓终端排名第一的Rootnik劫持与广告：造成史上最大规模感染的FireBallFireBall可以控制互联网浏览器,监视受害者的web使用,并可能窃取个人文件。FireBall与拥有3亿客户声称提供数字营销和游戏应用程序的中国公司Rafotech（卿烨科技/）相关。Windows&office：被滥用的NSA工具DoublePulsar恶意邮件：造成30亿美元损失的尼日利亚钓鱼无文件/脚本恶意软件：被用于挖矿的NSA漏洞利用工具Zealot利用NSA漏洞大量入侵Linux和Windows服务器同时植入恶意软件“Zealot”来挖掘Monero加密货币的攻击2019年的新趋势•勒索软件的规模正在增长。•基于物联网平台的僵尸网络-〉DDOS攻击总体趋势总结网络化发展专业化发展简单化发展多样化发展自动化发展犯罪化发展四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出。1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里·李·帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。李俊，大学本科毕业大于1000万用户染毒损失数亿元人民币处罚：最高无期？五、恶意代码的主要危害直接危害：1.病毒激发对计算机数据信息的直接破坏作用2.占用磁盘空间和对信息的破坏3.抢占系统资源4.影响计算机运行速度5.计算机病毒错误与不可预见的危害6.计算机病毒的兼容性对系统运行的影响间接危害：1.计算机病毒给用户造成严重的心理压力2.造成业务上的损失3.法律上的问题近几年来的重大损失年份 攻击行为发起者 受害PC数目 损失金额(美元) 2006 木马和恶意软件 —— —— 2005 木马 —— —— 2004 Worm_Sasser(震荡波) —— —— 2003 Worm_MSBLAST(冲击波) 超过140万台 —— 2003 SQLSlammer 超过20万台 9.5亿至12亿 2002 Klez 超过6百万台 90亿 2001 RedCode 超过1百万台 26亿 2001 NIMDA 超过8百万台 60亿 2000 LoveLetter —— 88亿 1999 CIH 超过6千万台 近100亿 六、恶意代码的分类总体上分两大类第一大类：传统的计算机病毒感染操作系统引导程序感染可执行文件（感染exe、com、elf文件）感染数据文件（宏病毒、Shell脚本恶意代码）第二大类：传统计算机病毒之外的恶意代码木马、蠕虫、流氓软件……后门、僵尸、移动端恶意代码……七、计算机病毒的传播途径1、软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。2、光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒，这就给本来“干净”的计算机带来了灾难。

3、硬盘（含移动硬盘、USB）有时，带病毒的硬盘在本地或移到其他地方使用甚至维修等，就会将干净的软盘传染或者感染其他硬盘并扩散。网络——〉病毒的加速器网络病毒技术社区集体攻击病毒蠕虫病毒特洛伊木马黑客技术脚本病毒邮件病毒病毒源码发布4、有线网络触目惊心的计算——卿斯汉如果：20分钟产生一种新病毒，通过因特网传播（30万公里/秒）。联网电脑每20分钟感染一次，每天开机联网2小时。结论：一年以內一台联网的电脑可能会被最新病毒感染2190次。另一个数字：75％的电脑被感染。网络服务——〉传播媒介网络的快速发展促进了以网络为媒介的各种服务（FTP,WWW,BBS,EMAIL等）的快速普及。同时，这些服务也成为了新的病毒传播方式。电子布告栏（BBS）：电子邮件（Email）：即时消息服务（QQ,ICQ,MSN等）：WEB服务：FTP服务：新闻组：5、无线通讯系统病毒对手机的攻击有3个层次：攻击WAP服务器，使手机无法访问服务器；攻击网关，向手机用户发送大量垃圾信息；直接对手机本身进行攻击，有针对性地对其操作系统和运行程序进行攻击，使手机无法提供服务。八、染毒计算机的症状病毒表现现象：计算机病毒发作前的表现现象病毒发作时的表现现象病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障板书62:1、发作前的现象平时运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word，打开Word文档后，该文件另存时只能以模板方式保存磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子邮件板书63:2、发作时的现象提示一些不相干的话发出一段的音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启自动发送电子邮件鼠标自己在动板书64:3、发作后的现象硬盘无法启动，数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密修改系统文件使部分可软件升级主板的BIOS程序混乱，主板被破坏网络瘫痪，无法提供正常的服务板书65:4、与病毒现象类似的软件故障出现“Invaliddrivespecification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统的兼容性引导过程故障用不同的编辑软件程序板书66:5、与病毒现象类似的硬件故障系统的硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS的问题板书67:九、计算机病毒的命名规则CARO命名规则，每一种病毒的命名包括五个部分：病毒家族名病毒组名大变种小变种修改者CARO规则的一些附加规则包括：不用地点命名不用公司或商标命名如果已经有了名字就不再另起别名变种病毒是原病毒的子类板书68:精灵（Cunning）病毒是瀑布（Cascade）病毒的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701,1704,1621等），所以用大小来表示组名。A表示该病毒是某个组中的第一个变种。业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。这样，梅丽莎病毒的一个变种的命名就成了W97M.Melissa.AA，Happy99蠕虫就被称为Win32.Happy99.Worm。板书69:VGrep是反病毒厂商的一种尝试，这种方法将已知的病毒名称通过某种方法关联起来，其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。VGrep将病毒文件读入并用不同的扫描器进行扫描，扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命名，这对于在世界范围内跟踪多个病毒的一致性很有帮助。板书70:十、计算机病毒防治板书71:病毒防治的公理1、不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。2、不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。3、目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。4、病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。板书72:人类为防治病毒所做出的努力立体防护网络版单机版防病毒卡板书73:对计算机病毒应持有的态度1.客观承认计算机病毒的存在，但不要惧怕病毒。3.树立计算机病毒意识，积极采取预防（备份等）措施。4.掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。5.发现病毒，冷静处理。板书74:目前广泛应用的几种防治技术：特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；板书75:虚拟执行技术该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀板书76:智能引擎技术智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术，使病毒扫描速度比2002版提高了一倍之多；板书77:计算机监控技术文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控参考：板书78:未知病毒查杀技术未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。板书79:压缩智能还原技术世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后被层层包裹起来，对于防病毒软件来说，就是一个噩梦。为了使用统一的方法来解决这个问题，反病毒专家们发明了未知解压技术，它可以对所有的这类文件在内存中还原，从而使得病毒完全暴露出来。板书80:多层防御，集中管理技术反病毒要以网为本，从网络系统的角度设计反病毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护和管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。板书81:病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上，最近出现的软件安全认证技术也应属于此技术的范畴，由于用户应用软件的多样性和环境的复杂性，病毒免疫技术到广泛使用还有一段距离。板书82:病毒防治技术的趋势前瞻加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题，目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀，但据我们研究，国内外的产品只有少数可以对同一家族的新病毒进行预警，不能清除。目前有些公司已经在这一领域取得了突破性的进展，可以对未知DOS病毒、未知PE病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上，并能准确清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能实现查杀90%.板书83:防杀针对掌上型移动通讯工具和PDA的病毒随着掌上型移动通讯工具和PDA的广泛使用，针对这类系统的病毒已经开始出现，并且威胁将会越来越大，反病毒公司将投入更多的力量来加强此类病毒的防范。板书84:兼容性病毒的防杀目前已经发现可以同时在微软WINDOWS和日益普及的LINUX两种不同操作系统内运作的病毒，此类病毒将会给人们带来更多的麻烦，促使反病毒公司加强防杀此类病毒。板书85:蠕虫病毒和脚本病毒的防杀不容忽视蠕虫病毒是一种能自我复制的程序，驻留内存并通过计算机网络复制自己，它通过大量消耗系统资源，最后导致系统瘫痪。给人们带来了巨大的危害，脚本病毒因为其编写相对容易正成为另一种趋势，这两类病毒的危害性使人们丝毫不能忽视对其的防杀。板书86:十一、杀毒软件及评价板书87:（一）杀毒软件必备功能病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能及时有效的升级功能智能安装、远程识别功能界面友好、易于操作对现有资源的占用情况板书88:系统兼容性软件的价格软件商的实力板书89:（二）国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。板书90:《电脑报》2008评测结果十二、解决方案和策略板书97:防病毒策略1、建立病毒防治的规章制度，严格管理；2、建立病毒防治和应急体系；3、进行计算机安全教育，提高安全防范意识；4、对系统进行风险评估；5、选择经过公安部认证的病毒防治产品；6、正确配置，使用病毒防治产品；板书98:7、正确配置系统，减少病毒分侵害事件；8、定期检查敏感文件；9、适时进行安全评估，调整各种病毒防治策略；10、建立病毒事故分析制度；11、确保恢复，减少损失；板书99:十三、国内外病毒产品的技术发展态势板书100:国内外反病毒公司在反病毒领域各有所长国内外产品竞争激烈国内反病毒企业发展势头强劲随着中国信息化进程的深入开展，多家国际反病毒公司基本撤出了在中国的杀毒业务；国内以360为代表，进入了免费时代板书101:反病毒服务是竞争关键要推动企业信息安全建设、并从根本上改变国内信息安全现状，建立健全的服务体系是关键。相信人类受到恶意代码侵害及由此带来的损失将逐步减少，国内反病毒行业在政府的规范和用户的支持下将取得更好的成绩！板书102:相关资源1.Wildlist国际组织该网站维护世界各地发现的病毒列表。网站负责维护这个列表，并且按月打包供用户下载。此外，网站上还有一些计算机病毒方面的学术论文。2.病毒公告牌对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说，病毒公告在线杂志是一个必不可少的参考。逐日逐月地，病毒公告牌提供如下信息：1)来自于反恶意代码业界的发人深省的新闻和观点2)最新恶意代码威胁的详细分析3)探索反恶意代码技术开发的长篇文档4)反恶意代码专家的会见5)对当前反病毒产品的独立评测6)覆盖垃圾邮件和反垃圾邮件技术的月报板书103:3.卡饭论坛卡饭的意思是卡巴斯基的FANS（爱好者），取其谐音，即为卡饭。卡饭论坛最初是一个以卡巴斯基爱好者为主体，以计算机安全软件为主要内容的论坛。随着国产计算机安全软件的兴起，卡饭论坛对主流的计算机安全软件均有不同程度的涉猎，迄今为止已发展成为最大的计算机安全论坛之一。论坛的开放时间是2006年6月1日。4.亚洲反病毒研究者协会(AVAR)AVAR(亚洲反病毒研究者协会)成立于1998年6月。协会的宗旨是预防计算机病毒的传播和破坏，促进亚洲的反病毒研究者间建立良好的合作关系。板书104:5.国家计算机病毒应急处理中心网站主要内容是病毒流行列表、病毒SOS求救、数据恢复等。6.病毒观察网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。板书105:7.HACK80HACK80是集黑客技术交流、黑客工具分享的黑客论坛。与传统黑客联盟不同，该论坛在守法的前提下提倡自由的技术交流，力求成为一个气氛优秀的技术圈子。8.安全焦点安全焦点是中国目前顶级的网络安全站点，那里集聚的一大批知名的黑客。网站内容包括安全论文、安全工具、安全漏洞以及逆向技术等。板书106:9.看雪论坛/看雪论坛是致力于PC、移动、物联网安全研究及逆向工程相关的开发者舍却。网站主要内容包括黑客频道、防毒技巧、网络安全新闻和病毒新闻等。10.国际计算机安全联合会(ICSA-InterNationalComputerSecwrityAssociation)/如要对Internet的安全问题感兴趣,你可以访问国家计算机安全联合会(NCSA)的站点。这里会看到很多关于国家计算机安全联合会各种活动的信息,包括会议,培训、产品认证和安全警告等。在这里你可以了解到国际知名的病毒防治软件登记请况。讲授思政融入：网络道德教育和法制教育融入到教学中，倡导网络文明，采取多种方式培养学生判断是非、美丑、善恶的能力，预防网络陷阱，消除网络造成的负面影响。加强大学生网络道德素养和法律意识的培养，帮助他们树立正确的网络道德观和法制观念，规范自身的网络行为，养成良好的网络文明习惯，增强网络安全法规意识和网络道德意识，做到知法、懂法、守法，避免走上利用计算机进行违法犯罪的道路。讨论互动案例讲授：思政融入,人文精神讨论：你如何理解十大病毒？互动案例讲授讨论互动案例讲授：思政2018十大恶意软件对我们的危害？讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例151515151515151515151515151515

第2次课程教学方案备课时间年8月20日——年8月25日备课教师张新江教学时间年9月8日教学地点F2-102B周次2课时数4教学内容（章、节）模块/单元第2章计算机病毒理论模型教学目标和要求掌握计算机病毒的抽象描述掌握基于图灵机的计算机病毒模型掌握基于递归函数的计算机病毒模型掌握网络蠕虫传播模型掌握计算机病毒预防理论模型教学重点1.计算机病毒的抽象描述2.基于图灵机的计算机病毒模型3.基于递归函数的计算机病毒模型教学难点1.网络蠕虫传播模型2.计算机病毒预防理论模型教学方法引导式、讨论式、互动使用媒体资源☑纸质材料☑多媒体课件☑网络资源□其他资源：使用教具、设备、设施等虚拟机作业练习课后习题课后记（空白不够可添加附页）

教学内容（板书）教学步骤、方法及学生活动时间板书1:第2章计算机病毒理论模型刘功申上海交通大学网络空间安全学院板书2:本章学习目标掌握计算机病毒的抽象描述掌握基于图灵机的计算机病毒模型掌握基于递归函数的计算机病毒模型掌握网络蠕虫传播模型掌握计算机病毒预防理论模型板书3:虚拟案例一个文本编辑程序被病毒感染了。每当使用文本编辑程序时，它总是先进行感染工作并执行编辑任务，其间，它将搜索合适文件以进行感染。每一个新被感染的程序都将执行原有的任务，并且也搜索合适的程序进行感染。这种过程反复进行。当这些被感染的程序跨系统传播，被销售，或者送给其他人时，将产生病毒扩散的新机会。最终，在1990年1月1日以后，被感染的程序终止了先前的活动。现在，每当这样的一个程序执行时，它将删除所有文件。板书4:计算机病毒伪代码{main:= Callinjure; … Callsubmain; … Callinfect;}{injure:= Ifconditionthenwhateverdamageistobedoneandhalt;}{infect:= Ifconditiontheninfectfiles;}板书5:案例病毒的伪代码{main:= Callinjure; Callsubmain; Callinfect;}{injure:= Ifdate>=Jan.1,1990then Whilefile!=0 File=get-random-file; Deletefile; Halt;}板书6:{infect:= Iftruethen File=get-random-executable-file; Renamemainroutinesubmain; Prependselftofile;}板书7:精简后的伪代码(压缩或变型){main:= Callinjure; Decompresscompressedpartofprogram; Callsubmain; Callinfect;}{injure:= Iffalsethenhalt;}板书8:{infect:=Ifexecutable!=0thenFile=get-random-executable-file;Renamemainroutinesubmain;Compressfile;Prependselftofile;}板书9:病毒伪代码的共同性质1．对于每个程序，都存在该程序相应的感染形式。也就是，可以把病毒看作是一个程序到一个被感染程序的映射。2．每一个被感染程序在每个输入（输入是指可访问信息，例如，用户输入，系统时钟，数据或程序文件等）上形成如下3个选择：板书10:破坏(Injure)：不执行原先的功能，而去完成其它功能。何种输入导致破坏以及破坏的形式都与被感染的程序无关，而只与病毒本身有关。传染(Infect)：执行原先的功能，并且，如果程序能终止，则传染程序。对于除程序以外的其它可访问信息（如时钟、用户/程序间的通信）的处理，同感染前的原程序一样。另外，不管被感染的程序其原先功能如何（文本编辑或编译器等），它传染其它程序时，其结果是一样的。也就是说，一个程序被感染的形式与感染它的程序无关。模仿(Imitate)：既不破坏也不传染，不加修改地执行原先的功能。这也可看作是传染的一个特例，其中被传染的程序的个数为零。板书11:基于图灵机的计算机病毒的计算模型基本图灵机(TM)图灵机的经典问题：图灵机停机问题图灵机存在不可计算数板书12:随机访问计算机（RandomAccessMachine——RAM）ENIAC板书13:随机访问存储程序计算机（RamdomAccessStoredProgramMachine,RASPM）板书14:附带后台存储带的随机访问存储程序计算机(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)现在的计算机板书15:基于RASPM_ABS的病毒计算机病毒被定义成程序的一部分，该程序附着在某个程序上并能将自身链接到其他程序上。当病毒所附着的程序被执行时，计算机病毒的代码也跟着被执行。板书16:1.病毒的传播模型如果病毒利用了计算机的一些典型特征或服务，那么病毒的这种传播方式被称作专用计算机的传播方式。如果病毒在传播时没有利用计算机的服务，那么此传播方式被称为独立于计算机的传播方式。PC中，引导型病毒就具有专用计算机的传播方式感染C源文件的病毒就是具有独立计算机的传播方式板书17:2.少态型病毒和多态型病毒当有两个程序被同样的病毒以指定传播方式感染，并且病毒程序的代码顺序相同时，这种传播方式称为少形态的。当有两个程序被同样的病毒以指定传播方式感染，并且病毒程序的代码顺不同时，这种传播方式称为多形态的。病毒代码的全部或部分被使用不同的密钥加密是多态的一种特殊形式。板书18:多态型病毒的实现要比少态型病毒的实现复杂得多，它们能改变自身的译码部分。两种实现方式：1）通过从准备好的集合中任意选取译码程序。2）通过在传播期间随机产生程序指令来完成。例如，可以通过如下的方法来实现：改变译码程序的顺序；处理器能够通过一个以上的指令（序列）来执行同样的操作；向译码程序中随机地放入哑命令（DummyCommand）。板书19:3.病毒检测的一般问题如果存在着某一能够解决病毒检测问题的算法，那么就能通过建立图灵机来执行相应的算法。不幸的是，即使在最简单的情况下，我们也不可能制造出这样的图灵机。定理：不可能制造出一个图灵机，利用该计算机，我们能够判断RASPM_ABS中的可执行文件是否含有病毒。板书20:4.病毒检测方法如果我们只涉及一些已知病毒的问题，那么就可能简化病毒检测问题。在此情况下，可以将已知病毒用在检测算法上。我们从每个已知病毒提取一系列代码，当病毒进行传播时，它们就会在每个被感染了的文件中显示出来。我们将这一系列代码成为序列。病毒检测程序的任务就是在程序中搜寻这些序列。板书21:检测多态型病毒的难点不能确定多态型病毒是否含有某些序列，能够通过这些序列可以检测病毒的所有变异。当发现序列是随机的时，不知道发生错误报警的概率。发现任意序列的概率：N表示一个序列的长度；M表示序列的总个数；用L(L>>N)表示被检测文件的总长度；n是字符集大小（对应二进制代码为16）该采用什么样的费用标准来衡量序列搜寻算法的实现。论文查重复？？？板书22:基于递归函数的计算机病毒的数学模型Adlemen给出的计算机病毒形式定义：（1）S表示所有自然数有穷序列的集合。（2）e表示一个从S╳S到N的可计算的入射函数，它具有可计算的逆函数。（3）对所有的s,t∈S,用<s,t>表示e（s,t）。（4）对所有部分函数f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一个从N╳N到N的可计算的入射函数，它具有可计算的逆函数，并且对所有i,j∈N，e′(i,j)≥i。板书23:（6）对所有i,j∈N，<i,j>表示e′(i,j)。（7）对所有部分函数f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）对所有部分函数f：N→N及所有n∈N,f(n)↓表示f(n)是有定义的。（9）对所有部分函数f：N→N及所有n∈N,f(n)↑表示f(n)是未定义的。板书24:Adlemen病毒模型有如下缺陷：⑴计算机病毒的面太广。不具传染性的也当作病毒⑵定义并没有反映出病毒的传染特性。⑶定义不能体现出病毒传染的传递特性。⑷“破坏”的定义不合适。原程序功能保留不明确板书25:Internet蠕虫传播模型SI(Susceptible[易受感染的]-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed)板书26:SIS模型和SI模型某种群中不存在流行病时，其种群（N）的生长服从微分系统。其中表示t时刻该环境中总种群的个体数量，表示种群中单位个体的生育率，d表示单位个体的自然死亡率。 板书27:有疾病传播时的模型S，I分别表示易感者类和染病者类β表示一个染病者所具有的最大传染力r表示疾病的恢复力d表示自然死亡率a表示额外死亡率板书28:流行病的传播服从双线形传染率的SIS模型总种群的生长为：在SIS模型中，当a=0时，该模型变为SI模型。板书29:SIR模型两个假设：已被病毒感染的文件（档）具有免疫力。病毒的潜伏期很短，近似地认为等于零。把系统中可执行程序分为三种：被传播对象，即尚未感染病毒的可执行程序，用S(t)表示其数目。带菌者，即已感染病毒的可执行程序，用p(t)表示其数目。被感染后具有免疫力的可执行程序，也包括被传播后在一定时间内不会运行的可执行程序（相当患病者死去），用R(t)表示其数目。板书30:λ表示传播（感染）速度；表示每个时间段接触次数；ｕ表示第Ⅱ类程序变成第Ⅲ类程序的速度；公式的解释：⑴S(t)的变化率即经第Ⅰ类程序变成第Ⅱ类程序的变化率，它与传染者和被传染者之间的接触次数有关，并且正比于这两类文件的乘积。 ⑵R(t)的变化率即第Ⅱ类程序变成第Ⅲ类程序的变化率，与当时第Ⅱ类的可执行程序数目成正比。⑶在考虑的时间间隔内，系统内可执行程序的总数变化不大，并且假设它恒等于常数（即没有文件被撤消，也没有外面的新文件进来），从而可执行程序总数的变化率为零。板书31:板书32:预防理论模型Fred.Cohen”四模型”理论(1)基本隔离模型该模型的主要思想是取消信息共享，将系统隔离开来，使得计算机病毒既不能从外部入侵进来，也不可能把系统内部的病毒扩散出去。(2)分隔模型将用户群分割为不可能互相传递信息的若干封闭子集。由于信息处理流的控制，使得这些子集可被看作是系统被分割成的相互独立的子系统，使得计算机病毒只能感染整个系统中的某个子系统，而不会在子系统之间进行相互传播。板书33:(3)流模型对共享的信息流通过的距离设定一个阀值，使得一定量的信息处理只能在一定的区域内流动，若该信息的使用超过设定的阀值，则可能存在某种危险。(4)限制解释模型即限制兼容，采用固定的解释模式，就有可能不被计算机病毒感染。板书34:类IPM模型把计算机程序或磁盘文件类比为不断生长变化的植物。把计算机系统比作一个由许多植物组成的田园。把计算机病毒看成是侵害植物的害虫。把计算机信息系统周围的环境看作农业事物处理机构。板书35:农业上的IPM(IntegratedPestManagement)模型实质上是一种综合管理方法。它的基本思想是：一个害虫管理系统是与周围坏境和害虫种类的动态变化有关的。它以尽可能温和的方式利用所有适用技术和措施治理害虫，使它们的种类维持在不足以引起经济损失的水平之下。板书36:计算机病毒的结构和工作机制四大模块：感染模块触发模块破坏模块（表现模块）引导模块（主控模块）两个状态：静态动态板书37:工作机制板书38:引导模块引导前——寄生寄生位置：引导区可执行文件寄生手段：替代法（寄生在引导区中的病毒常用该法）链接法（寄生在文件中的病毒常用该法）板书39:引导过程驻留内存窃取系统控制权恢复系统功能引导区病毒引导过程搬迁系统引导程序-〉替代为病毒引导程序启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术最后，转向系统引导程序-〉引导系统板书40:文件型病毒引导过程修改入口指令-〉替代为跳转到病毒模块的指令执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术最后，转向程序的正常执行指令-〉执行程序板书41:感染模块病毒传染的条件被动传染（静态时）用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。主动传染（动态时）以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。板书42:传染过程系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染传染方式立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。板书43:文件型病毒传染机理首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒；当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中；完成传染后，继续监视系统的运行，试图寻找新的攻击目标。文件型病毒传染途径加载执行文件浏览目录过程创建文件过程板书44:破坏模块破坏是Vxer的追求，病毒魅力的体现破坏模块的功能破坏、破坏、还是破坏……破坏对象系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。破坏的程度板书45:触发模块触发条件计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。而不破坏、不感染又会使病毒失去其特性。可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。板书46:病毒常用的触发条件日期触发时间触发键盘触发感染触发例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。启动触发访问磁盘次数触发CPU型号/主板型号触发板书47:常见计算机病毒的技术特征驻留内存病毒变种EPO（EntryPointObscuring）技术抗分析技术（加密、反跟踪）隐蔽性病毒技术多态性病毒技术插入型病毒技术超级病毒技术破坏性感染技术网络病毒技术如果离开这些技术，就只能是实验教学病毒，不具有实战能力讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例讲授讨论互动案例151515151515151515151515151515

第3次课程教学方案备课时间年9月10日——年9月12日备课教师张新江教学时间年9月22日教学地点F2-102B周次3课时数4教学内容（章、节）模块/单元第3章传统计算机病毒教学目标和要求了解COM、EXE、NE、PE可执行文件格式掌握引导型病毒原理及实验了解BIOS和UEFI固件引导病毒掌握COM文件病毒原理及实验掌握PE文件型病毒及实验掌握面向doc的宏病毒原理及实验教学重点1.COM、EXE、NE、PE可执行文件格式2.引导型病毒原理及实验3.BIOS和UEFI固件引导病毒教学难点1.COM文件病毒原理及实验2.PE文件型病毒及实验3.面向doc的宏病毒原理及实验教学方法引导式、讨论式、互动使用媒体资源☑纸质材料☑多媒体课件☑网络资源□其他资源：使用教具、设备、设施等虚拟机作业练习课后习题课后记（空白不够可添加附页）学生掌握基本知识，动手能力提升，思想意识上对于恶意代码的本章内容有了人文精神与爱国情怀的融入。

教学内容（板书）教学步骤、方法及学生活动时间一、引导型病毒编制原理及实验PC引导流程加电CPU\BIOS初始化POST自检引导区、分区表检查发现操作系统执行引导程序引导区病毒取得控制权的过程：MBR和分区表装载——DOS引导区——运行DOS——引导程序——加载IO.sys——MSDOS.sys——加载ＤＯＳ1正常的引导过程引导型病毒从软盘加载到内存寻找DOS引导区的位置将ＤＯＳ引导区移动到别的位置病毒将自己写入原ＤＯＳ引导区的位置。２用被感染的软盘启动MBR和分区表将病毒的引导程序加载入内存运行病毒引导程序病毒驻留内存原ＤＯＳ引导程序执行并加载ＤＯＳ系统３病毒在启动时获得控制权引导区病毒实验【实验目的】通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。【实验内容】本实验需要完成的内容如下：引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。【实验环境】VMWareWorkstation5.5.3MS-DOS7.10【实验素材】附书资源experiment目录下的bootvirus目录。实验过程第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS7.10环境。安装步骤参考附书资源。第二步：软盘感染硬盘1、运行虚拟机，检查目前虚拟硬盘是否含有病毒。如图表示没有病毒正常启动硬盘的状态。2、在附书资源中拷贝含有病毒的虚拟软盘virus.img。3、将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，如左图4。按任意键进入右图画面。第三步：验证硬盘已经被感染1、取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。2、按任意键后正常引导了dos系统。可见，硬盘已经被感染。第四步：硬盘感染软盘1、下载empty.img，并且将它插入虚拟机，启动电脑，由于该盘为空，如图显示。2、取出虚拟软盘，从硬盘启动，通过命令formatA:/q快速格式化软盘。可能提示出错，这时只要按R即可。如图所示。3、成功格式化后的结果如图所示。4、不要取出虚拟软盘，重新启动虚拟机，这时是从empty.img引导，可以看到病毒的画面，如左图所示。按任意键进入如右图画面。可见，病毒已经成功由硬盘传染给了软盘。二、BIOS和UEFI固件引导病毒简介著名的情报组织“方程式”就具有其在硬盘控制芯片中植入恶意代码的能力，并在我国多个重要部门陆续发现相关样本。其它还可被植入恶意代码的硬件还包括BIOS、网卡、显卡、声卡，甚至包括CPU、WIFI模块都存在被植入恶意代码的可能性。BIOS/UEFI加载最早固件病毒的特点：BIOS是开机后执行的第一段程序，比MBR更加底层，BIOS一旦被感染，即便是重装系统，格式化硬盘也无济于事，因此BIOS感染后的驻留能力是最强的，具有不易清除等特性，适用于长期潜伏。斯诺登泄漏的材料显示，美国国家安全局（NSA）核心部门TAO小组所使用的ANTPRODUCTS的清单中包括两款对于BIOS进行植入的工具：SWAP和DEITYBOUNCE。更新时间为2008年6月20日。DEITYBOUNCEDEITYBOUNCE利用主板的BIOS和利用系统管理模块（SystemManagementMode）的漏洞驻留在Dell的PowerEdge服务器上。采用interdiction注入方式。MEBROMI［2011年］2011年安全公司360截获到名叫MEBROMI的BIOS恶意代码。MEBROMI是一个非常简陋的面向Award主板的BOOTKIT，MEBROMI通过BIOS感染硬盘的引导扇区MBR，再通过MBR感染Windows系统文件。MEBROMI运行流程UEFIBOOTKIT[2015]2015年著名的黑客公司HackingTeam源代码泄漏，其中也包括针对UEFI进行攻击的UEFIBOOTKIT的源代码。植入有很多前提条件：需要物理控制目标机器，植入过程需要插入移动存储设备机会，以及需要能重启目标机器进入UEFIShell模式。代码分析请参考：/articles/system/72713.htmlInfectionofBiosRootkit在攻击时，插入U盘，进行UEFI

Shell，Startup.nsh引导启动chipsec.efi，然后chipsec.efi把三个.mod模块写到Bios

ROM上去，重启电脑时，Bios

Rootkit就开始工作了。三、16位COM可执行文件病毒原理及实验COM格式最简单的可执行文件就是DOS下的以COM(CopyOfMemory)文件。COM格式文件最大64KB，内含16位程序的二进制代码映像，没有重定位信息。COM文件包含程序二进制代码的一个绝对映像，也就是说，为了运行程序准确的处理器指令和内存中的数据，DOS通过直接把该映像从文件拷贝到内存来加载COM程序，系统不需要作重定位工作。加载COM程序DOS尝试分配内存。因为COM程序必须位于一个64K的段中，所以COM文件的大小不能超过65,024（64K减去用于PSP的256字节和用于一个起始堆栈的至少256字节）。如果DOS不能为程序、一个PSP、一个起始堆栈分配足够内存，则分配尝试失败。否则，DOS分配尽可能多的内存（直至所有保留内存），即使COM程序本身不能大于64K。在试图运行另一个程序或分配另外的内存之前，大部分COM程序释放任何不需要的内存。分配内存后，DOS在该内存的头256字节建立一个PSP（ProgramSegmentPrefix：程序段前缀）。创建PSP后，DOS在PSP后立即开始（偏移100H）加载COM文件，它置SS、DS和ES为PSP的段地址，接着创建一个堆栈。DOS通过把控制传递偏移100H处的指令而启动程序。程序设计者必须保证COM文件的第一条指令是程序的入口点。因为程序是在偏移100H处加载，因此所有代码和数据偏移也必须相对于100H。汇编语言程序设计者可通过置程序的初值为100H而保证这一点（例如，通过在源代码的开始使用语句org100H）。PSP结构偏移大小

长度（Byte）

说明0000h

02

中断20H0002h

02

以节计算的内存大小（利用它可看出是否感染引导型病毒）0004h

01

保留0005h

05

至DOS的长调用000Ah

02

INT22H入口IP000Ch

02

INT22H入口CS000Eh

02

INT23H入口IP0010h

02

INT23H入口CS0012h

02

INT24H入口IP0014h

02

INT24H入口CS0016h

02

父进程的PSP段值（可测知是否被跟踪）0018h

14

存放20个SOFT号002Ch

02

环境块段地址（从中可获知执行的程序名）002Eh

04

存放用户栈地址指针0032h

1E

保留0050h

03

DOS调用（INT21H/RETF）0053h

02

保留0055h

07

扩展的FCB头005Ch

10

格式化的FCB1006Ch

10

格式化的FCB2007Ch

04

保留0080h

80

命令行参数长度0081h

127

命令行参数MZ格式MZ格式：COM发展下去就是MZ格式的可执行文件，这是DOS中具有重定位功能的可执行文件格式。MZ可执行文件内含16位代码，在这些代码之前加了一个文件头，文件头中包括各种说明数据，例如，第一句可执行代码执行指令时所需要的文件入口点、堆栈的位置、重定位表等。装载过程：操作系统根据文件头的信息将代码部分装入内存，然后根据重定位表修正代码，最后在设置好堆栈后从文件头中指定的入口开始执行。DOS可以把MZ格式的程序放在任何它想要的地方。MZ标志 MZ文件头 其它信息 重定位表的字节偏移量 重定位表 重定位表 可重定位程序映像 二进制代码 //MZ格式可执行程序文件头structHeadEXE{WORDwType;//00HMZ标志WORDwLastSecSize;//02H最后扇区被使用的大小WORDwFileSize;//04H文件大小WORDwRelocNum;//06H重定位项数WORDwHeadSize;//08H文件头大小WORDwReqMin;//0AH最小所需内存WORDwReqMax;//0CH最大所需内存WORDwInitSS;//0EHSS初值WORDwInitSP;//10HSP初值WORDwChkSum;//12H校验和WORDwInitIP;//14HIP初值WORDwInitCS;//16HCS初值WORDwFirstReloc;//18H第一个重定位项位置WORDwOverlap;//1AH覆盖WORDwReserved[0x20];//1CH保留WORDwNEOffset;//3CHNE头位置};NE格式为了保持对DOS的兼容性并满足Windows的需要，Win3.x中出现的NE格式的可执行文件中保留了MZ格式的头，同时NE文件又加了一个自己的头，之后才是可执行文件的可执行代码。NE类型包括了EXE、DLL、DRV和FON四种类型的文件。NE格式的关键特性是：它把程序代码、数据、资源隔离在不同的可加载区中；藉由符号输入和输出，实现所谓的运行时动态链接。NE装载16位的NE格式文件装载程序（NELoader）读取部分磁盘文件，并生成一个完全不同的数据结构，在内存中建立模块。当代码或数据需要装入时，装载程序必须从全局内存中分配出一块，查找原始数据在文件的位置，找到位置后再读取原始的数据，最后再进行一些修正。每一个16位的模块（Module）要负责记住现在使用的所有段选择符，该选择符表示该段是否已经被抛弃等信息。MS-DOS头 DOS文件头 保留区域 Windows头偏移 DOSStub程序 信息块 NE文件头 段表 资源表 驻留名表 模块引用表 引入名字表 入口表 非驻留名表 代码段和数据段 程序区 重定位表 3COM文件病毒原理感染过程：将开始的3个字节保存在orgcode中．将这3个字节更改为0E9H和COM文件的实际大小的二进制编码。将病毒写入原COM文件的后边。在病毒的返回部分，将3个字节改为0E9H和表达式（当前地址－COM文件的实际大小－病毒代码大小）的二进制编码，以便在执行完病毒后转向执行原程序。****************************39:E9ｘｘｘｘＲｅｓｕｍｅ：Ｅ９ＸＸＸＸE9ＡＡＡＡＡＡＡＡＸＸＸＸ源代码：jump源代码示例讲解演示COM病毒COM文件病毒实验（实验二）【实验目的】掌握COM病毒的传播原理。【实验平台】VMWareWorkstation5.5.3MS-DOS7.10MASM611****************************41:实验步骤(1)安装虚拟机VMWare，安装步骤参考网上下载的实验配套资料“解压缩目录\Application\MSDOS71\虚拟机上安装MSDOS.doc”文档。(2)在虚拟机环境内安装MS-DOS7.10环境。(3)在MS-DOSC:\MASM目录下安装MASM611，然后将binr目录下的link.exe复制到bin目录下。(4)从附书资源“experiment\com”下复制病毒程序Virus.asm及测试程序源代码BeInfected.asm。(5)编译链接BeInfected.asm，形成BeI测试程序。(6)编译链接virus.asm，生成病毒程序virus.exe。(7)在C:\MASM\Bin目录下建立del.txt文件，并且将BeI和病毒复制到此目录下。(8)执行BeI，观察未感染前的运行结果。(9)执行virus.exe文件以感染BeI文件并且自动删除del.txt。(10)执行BeI观察感染后的结果。【程序源码】本实验以尾部感染COM文件的病毒为例子，其中待感染COM文件源代码BeInfected.asm、病毒源文件源代码virus.asm参见附书源代码。四、32位操作系统病毒示例分析１PE文件结构及其运行原理２Win32文件型病毒编制技术３从ring3到ring0概述１PE文件结构及其运行原理(1)PE文件格式总体结构PE（PortableExecutable：可移植的执行体）是Win32环境自身所带的可执行文件格式。它的一些特性继承自Unix的Coff(CommonObjectFileFormat)文件格式。可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。当然，移植到不同的CPU上PE执行体必然得有一些改变。除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。因此，研究PE文件格式是我们洞悉Windows结构的良机。PE文件结构总体层次分布DOSMZheader ‘MZ’格式头 DOSstub Dos桩程序 PEheader PE文件头 Sectiontable 节表 Section1 第1个节 Section2 第2个节 … … Sectionn 第n个节 ２Win32文件型病毒编制技术Ring-3病毒的兼容性较好Ring-3病毒需要API的支持公开的未公开的技术包括：2.1病毒的重定技术为什么需要重定位？正常程序的变量和函数的相对地址都是预先计算好的。病毒是附加在宿主程序中的程序段，其问题在于：病毒变量和病毒函数的相对地址很难计算。解决方法：动态找一个参照点，然后再根据参照点的地址确定病毒函数和病毒变量的地址。calldeltadelta: popebp…leaeax,[ebp+(offsetvar1-offsetdelta)]参照量delta在内存中的地址+变量var1与参考量之间的距离=变量var1在内存中的真正地址举例介绍dwVardd?call@F@@:popebxsubebx,offset@Bmoveax,[ebx+offs