第6章 典型计算机病毒的原理、防范和清除计算机病毒原理与防范计算机病毒原理与防范 秦志光秦志光, , 张凤荔张凤荔计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除第6章 典型计算机病毒的原理、防范和清除uu计算机病毒防范和清除的基本原则和技术计算机病毒防范和清除的基本原则和技术uu引导区计算机病毒引导区计算机病毒uu文件型病毒文件型病毒uu文件与引导复合型病毒文件与引导复合型病毒uu脚本病毒脚本病毒uu宏病毒宏病毒uu特洛伊木马病毒特洛伊木马病毒uu蠕虫病毒蠕虫病毒uu黑客型病毒黑客型病毒uu后门病毒后门病毒uu3232位操作系统下的计算机病毒位操作系统下的计算机病毒uu压缩文件病毒压缩文件病毒uu安全建议安全建议计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.1 计算机病毒防范和清除的基本原则和技术uu计算机病毒防范的概念和原则计算机病毒防范的概念和原则uu计算机病毒预防基本技术计算机病毒预防基本技术uu清除计算机病毒的一般性原则清除计算机病毒的一般性原则uu清除计算机病毒的基本方法清除计算机病毒的基本方法uu治疗计算机病毒的一般过程治疗计算机病毒的一般过程uu计算机病毒预防技术计算机病毒预防技术uu计算机病毒免疫技术计算机病毒免疫技术uu漏洞扫描技术漏洞扫描技术uu实时反病毒技术实时反病毒技术uu防范计算机病毒的特殊方法防范计算机病毒的特殊方法计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒防范的概念和原则uu计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。响的计算机系统和数据。uu计算机病毒的侵入必将对系统资源构成威胁，即使是良性计算机病毒，至少也计算机病毒的侵入必将对系统资源构成威胁，即使是良性计算机病毒，至少也要占用少量的系统空间，影响系统的正常运行。防治计算机病毒应以预防为主。要占用少量的系统空间，影响系统的正常运行。防治计算机病毒应以预防为主。uu预防计算机病毒是主动的，主要表现在监测行为的动态性和防范方法的广谱性。预防计算机病毒是主动的，主要表现在监测行为的动态性和防范方法的广谱性。uu防毒的重点是控制计算机病毒的传染，防毒的关键是对计算机病毒行为的判断，防毒的重点是控制计算机病毒的传染，防毒的关键是对计算机病毒行为的判断，如何有效地辨别计算机病毒行为与正常程序行为是防毒成功与否的重要因素，如何有效地辨别计算机病毒行为与正常程序行为是防毒成功与否的重要因素，防毒对于不按现有计算机病毒机理设计的新计算机病毒也可能无能为力。防毒对于不按现有计算机病毒机理设计的新计算机病毒也可能无能为力。uu消毒是被动的，只有发现计算机病毒后，对其剖析、选取特征串，才能设计出消毒是被动的，只有发现计算机病毒后，对其剖析、选取特征串，才能设计出该该“ “已知已知” ”计算机病毒的杀毒软件。一方面，发现计算机病毒时，可能该计算计算机病毒的杀毒软件。一方面，发现计算机病毒时，可能该计算机病毒已经流行起来或者已经造成破坏；另一方面，就是管理上的问题，许多机病毒已经流行起来或者已经造成破坏；另一方面，就是管理上的问题，许多人并不是警钟长鸣，也不可能随时随地去执行杀毒软件。人并不是警钟长鸣，也不可能随时随地去执行杀毒软件。uu被动消除计算机病毒只能治标，只有主动预防计算机病毒才是防治计算机病毒被动消除计算机病毒只能治标，只有主动预防计算机病毒才是防治计算机病毒的根本。因此，的根本。因此，“ “预防胜于治疗预防胜于治疗” ”。uu计算机病毒防治应采取计算机病毒防治应采取“ “主动预防为主，被动处理结合主动预防为主，被动处理结合” ”的策略，偏废哪一方的策略，偏废哪一方面都是不应该的。面都是不应该的。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒预防基本技术uu（1 1）将大量的消毒）将大量的消毒/ /杀毒软件汇集一体，检查是否存在已知计算机病杀毒软件汇集一体，检查是否存在已知计算机病毒，如在开机时或在执行每一个可执行文件前执行扫描程序。毒，如在开机时或在执行每一个可执行文件前执行扫描程序。uu（2 2）检测一些计算机病毒经常要改变的系统信息，如引导区、中断）检测一些计算机病毒经常要改变的系统信息，如引导区、中断向量表、可用内存空间等，以确定是否存在计算机病毒行为。向量表、可用内存空间等，以确定是否存在计算机病毒行为。uu（3 3）监测写盘操作，对引导区（）监测写盘操作，对引导区（BRBR）或主引导区（）或主引导区（MBRMBR）的写操作）的写操作报警。若有一个程序对可执行文件进行写操作，就认为该程序可能是报警。若有一个程序对可执行文件进行写操作，就认为该程序可能是计算机病毒，阻击其写操作，并报警。计算机病毒，阻击其写操作，并报警。uu（4 4）对计算机系统中的文件形成一个密码检验码和实现对程序完整）对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现象即报警。象即报警。uu（5 5）智能判断型：设计计算机病毒行为过程判定知识库，应用人工）智能判断型：设计计算机病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与计算机病毒程序行为，是否误报警取智能技术，有效区分正常程序与计算机病毒程序行为，是否误报警取决于知识库选取的合理性。决于知识库选取的合理性。uu（6 6）智能监察型：设计计算机病毒特征库（静态）、计算机病毒行）智能监察型：设计计算机病毒特征库（静态）、计算机病毒行为知识库（动态）、受保护程序存取行为知识库（动态）等多个知识为知识库（动态）、受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机制。库及相应的可变推理机制。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除计算机病毒的一般性原则uu（1 1）计算机病毒的清除工作最好在无毒的环境中进行。）计算机病毒的清除工作最好在无毒的环境中进行。uu（2 2）在启动系统的系统盘和杀毒软件盘上加写保护标签。）在启动系统的系统盘和杀毒软件盘上加写保护标签。uu（3 3）在清除计算机病毒之前，一定要确认系统或文件确实存在计算机病毒，）在清除计算机病毒之前，一定要确认系统或文件确实存在计算机病毒，并且准确判断出计算机病毒的种类，以保证杀毒的有效性。并且准确判断出计算机病毒的种类，以保证杀毒的有效性。uu（4 4）杀毒工作要深入而全面，为保证其工作过程的正确性，要对检测到的计）杀毒工作要深入而全面，为保证其工作过程的正确性，要对检测到的计算机病毒进行认真的分析研究，找出计算机病毒的宿主程序，确定其计算机算机病毒进行认真的分析研究，找出计算机病毒的宿主程序，确定其计算机病毒标识符和感染对象，即搞清楚计算机病毒感染的是引导区还是文件，或病毒标识符和感染对象，即搞清楚计算机病毒感染的是引导区还是文件，或者是既感染引导区，又感染文件，同时要弄清计算机病毒感染宿主程序的方者是既感染引导区，又感染文件，同时要弄清计算机病毒感染宿主程序的方法，对自身加密的计算机病毒要引起重视，把修改过的文件转换过来，以便法，对自身加密的计算机病毒要引起重视，把修改过的文件转换过来，以便找出清除计算机病毒的最佳方法。如果随便清除计算机病毒，可能造成系统找出清除计算机病毒的最佳方法。如果随便清除计算机病毒，可能造成系统或文件不能运行。或文件不能运行。uu（5 5）尽量不要使用激活计算机病毒的方法检测计算机病毒，因为在激活计算）尽量不要使用激活计算机病毒的方法检测计算机病毒，因为在激活计算机病毒的同时，计算机系统有可能已经被破坏了。机病毒的同时，计算机系统有可能已经被破坏了。uu（6 6）一般不能用计算机病毒标识免疫方法清除计算机病毒。）一般不能用计算机病毒标识免疫方法清除计算机病毒。uu（7 7）一定要干净彻底地清除计算机及磁盘上所有的同一计算机病毒，对于混）一定要干净彻底地清除计算机及磁盘上所有的同一计算机病毒，对于混合型计算机病毒，既要清除文件中的计算机病毒代码，还要清除引导区中的合型计算机病毒，既要清除文件中的计算机病毒代码，还要清除引导区中的计算机病毒代码，以防止这些计算机病毒代码再次重新生成计算机病毒。计算机病毒代码，以防止这些计算机病毒代码再次重新生成计算机病毒。uu（8 8）对于同一宿主程序被几个计算机病毒交叉感染或重复感染的，要按感染）对于同一宿主程序被几个计算机病毒交叉感染或重复感染的，要按感染的逆顺序从后向前依次清除计算机病毒。的逆顺序从后向前依次清除计算机病毒。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除计算机病毒的基本方法uu简单工具治疗: 使用Debug等简单工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机病毒代码。uu专用工具治疗: 专用计算机病毒治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除治疗计算机病毒的一般过程uu剖析计算机病毒样本剖析计算机病毒样本 对计算机病毒所做的剖析比为检测计算机病毒而做的剖析更为细对计算机病毒所做的剖析比为检测计算机病毒而做的剖析更为细致和精确。因为，检测计算机病毒只要把握计算机病毒的特征，致和精确。因为，检测计算机病毒只要把握计算机病毒的特征，能够识别计算机病毒即可，对感染计算机病毒的软件不做任何改能够识别计算机病毒即可，对感染计算机病毒的软件不做任何改动动 uu研制计算机病毒实验样本研制计算机病毒实验样本 修改计算机病毒的感染条件，使之放宽或变成无条件。修改计算机病毒的感染条件，使之放宽或变成无条件。 修改计算机病毒表现动作的触发条件，使之放宽或者变成无条件修改计算机病毒表现动作的触发条件，使之放宽或者变成无条件恶作剧者大多是那些对计算机知识和技术均有兴趣的人，并且特恶作剧者大多是那些对计算机知识和技术均有兴趣的人，并且特别热衷那些别人认为是不可能做成的事情别热衷那些别人认为是不可能做成的事情 uu摘除计算机病毒代码摘除计算机病毒代码 引导型计算机病毒引导型计算机病毒 文件型计算机病毒文件型计算机病毒 治疗计算机病毒要求对操作系统、文件结构和计算机病毒的具体治疗计算机病毒要求对操作系统、文件结构和计算机病毒的具体特征等有足够了解，才能恰当地从染毒程序中摘除计算机病毒代特征等有足够了解，才能恰当地从染毒程序中摘除计算机病毒代码，使之恢复正常码，使之恢复正常 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒预防技术uu（1）用户养成良好的使用计算机的习惯。uu（2）软件备份。uu（3）软件试验和生产过程的控制。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒免疫技术uu针对某一种计算机病毒进行的计算机病毒免疫针对某一种计算机病毒进行的计算机病毒免疫 （1 1）对于不设有感染标识的计算机病毒不能达到免疫的目的。）对于不设有感染标识的计算机病毒不能达到免疫的目的。）对于不设有感染标识的计算机病毒不能达到免疫的目的。）对于不设有感染标识的计算机病毒不能达到免疫的目的。 （2 2）当出现这种计算机病毒的变种不再使用这个免疫标志时，或出现新）当出现这种计算机病毒的变种不再使用这个免疫标志时，或出现新）当出现这种计算机病毒的变种不再使用这个免疫标志时，或出现新）当出现这种计算机病毒的变种不再使用这个免疫标志时，或出现新计算机病毒时，免疫标志发挥不了作用。计算机病毒时，免疫标志发挥不了作用。计算机病毒时，免疫标志发挥不了作用。计算机病毒时，免疫标志发挥不了作用。 （3 3）某些计算机病毒的免疫标志不容易仿制，如非要加上这种标志不可）某些计算机病毒的免疫标志不容易仿制，如非要加上这种标志不可）某些计算机病毒的免疫标志不容易仿制，如非要加上这种标志不可）某些计算机病毒的免疫标志不容易仿制，如非要加上这种标志不可则需对原来的文件要做大的改动。则需对原来的文件要做大的改动。则需对原来的文件要做大的改动。则需对原来的文件要做大的改动。 （4 4）由于计算机病毒的种类较多，又由于技术上的原因，不可能对一个）由于计算机病毒的种类较多，又由于技术上的原因，不可能对一个）由于计算机病毒的种类较多，又由于技术上的原因，不可能对一个）由于计算机病毒的种类较多，又由于技术上的原因，不可能对一个对象加上各种计算机病毒的免疫标识，这就使得该对象不能对所有的计算对象加上各种计算机病毒的免疫标识，这就使得该对象不能对所有的计算对象加上各种计算机病毒的免疫标识，这就使得该对象不能对所有的计算对象加上各种计算机病毒的免疫标识，这就使得该对象不能对所有的计算机病毒具有免疫作用。机病毒具有免疫作用。机病毒具有免疫作用。机病毒具有免疫作用。 （5 5）这种方法能阻止传染，却不能阻止计算机病毒的破坏行为，仍然放）这种方法能阻止传染，却不能阻止计算机病毒的破坏行为，仍然放）这种方法能阻止传染，却不能阻止计算机病毒的破坏行为，仍然放）这种方法能阻止传染，却不能阻止计算机病毒的破坏行为，仍然放任计算机病毒驻留在内存中。任计算机病毒驻留在内存中。任计算机病毒驻留在内存中。任计算机病毒驻留在内存中。 uu基于自我完整性检查的计算机病毒的免疫方法基于自我完整性检查的计算机病毒的免疫方法 （1 1）每个受到保护的文件都要增加）每个受到保护的文件都要增加1KB1KB3KB3KB，需要额外的存储空间。，需要额外的存储空间。 （2 2）现在使用中的一些校验码算法不能满足防计算机病毒的需要，这样）现在使用中的一些校验码算法不能满足防计算机病毒的需要，这样被某些种类的计算机病毒感染的文件不能被检查出来。被某些种类的计算机病毒感染的文件不能被检查出来。 （3 3）无法对付覆盖方式的文件型计算机病毒。）无法对付覆盖方式的文件型计算机病毒。 （4 4）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。文件不能正常执行。 （5 5）当某些尚不能被计算机病毒检测软件检查出来的计算机病毒感染了）当某些尚不能被计算机病毒检测软件检查出来的计算机病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个计算机病毒就像穿了一个文件，而该文件又被免疫外壳包在里面时，这个计算机病毒就像穿了“ “保护盔甲保护盔甲” ”，使查毒软件查不到它，而它却能在得到运行机会时跑出来，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。继续传染扩散。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除漏洞扫描技术uu制定扫描周期表应体现下列原则制定扫描周期表应体现下列原则 与系统配置修改挂钩，当配置修改完毕即执行漏洞扫描与系统配置修改挂钩，当配置修改完毕即执行漏洞扫描 与漏洞库及漏洞扫描器软件升级挂钩，当升级完毕即执行漏洞扫描。与漏洞库及漏洞扫描器软件升级挂钩，当升级完毕即执行漏洞扫描。 与漏洞修补工作挂钩，当修补工作完毕即执行漏洞扫描。与漏洞修补工作挂钩，当修补工作完毕即执行漏洞扫描。 漏洞扫描工作是主机系统安全的初期工作，是发现漏洞的过程。如果发现漏洞却漏洞扫描工作是主机系统安全的初期工作，是发现漏洞的过程。如果发现漏洞却不去修补，漏洞扫描就毫无意义不去修补，漏洞扫描就毫无意义 uu漏洞修补措施的原则如下漏洞修补措施的原则如下 完成漏洞报告分析，主要分清漏洞产生的原因、系统管理员误配置、系统和软件完成漏洞报告分析，主要分清漏洞产生的原因、系统管理员误配置、系统和软件自身的缺陷、黑客行为（如木马程序）。自身的缺陷、黑客行为（如木马程序）。 对于系统管理员误配置，应及时参考有关手册，得出正确的配置方案并对误配置对于系统管理员误配置，应及时参考有关手册，得出正确的配置方案并对误配置进行更正。进行更正。 对于操作系统和应用软件自身的缺陷，应该向开发商寻求升级版本或有关补丁对于操作系统和应用软件自身的缺陷，应该向开发商寻求升级版本或有关补丁（patchpatch）。）。 对于黑客行为，关键要弄清楚其留下的木马或后门（对于黑客行为，关键要弄清楚其留下的木马或后门（Back DoorBack Door）的原理和位置，）的原理和位置，并及时清除并及时清除 。 uu漏洞库和系统配置标准规则的升级主要来自漏洞库和系统配置标准规则的升级主要来自3 3个方面个方面 对于商业软件，可从开发商手中获取升级信息。对于商业软件，可从开发商手中获取升级信息。 系统管理员直接从诸如系统管理员直接从诸如cert.orgcert.org等安全网站下载漏洞信息，自己进行升级。等安全网站下载漏洞信息，自己进行升级。 系统管理员根据自己的工作经验特别是与黑客较量中获得的经验教训，自己编制系统管理员根据自己的工作经验特别是与黑客较量中获得的经验教训，自己编制漏洞库以进行升级漏洞库以进行升级 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除实时反病毒技术uu为防治计算机病毒，可将重要的为防治计算机病毒，可将重要的DOSDOS引导文件和引导文件和重要系统文件类似于网络无盘工作站那样固化到重要系统文件类似于网络无盘工作站那样固化到计算机的计算机的BIOSBIOS中，以避免计算机病毒对这些文件中，以避免计算机病毒对这些文件的感染。这可算是实时化反计算机病毒概念的雏的感染。这可算是实时化反计算机病毒概念的雏形。形。 uu实时反计算机病毒技术一向为反计算机病毒界所实时反计算机病毒技术一向为反计算机病毒界所看好，被认为是比较彻底的反计算机病毒解决方看好，被认为是比较彻底的反计算机病毒解决方案。多年来其发展之所以受到制约，一方面是因案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资源而降低系统性能，为它需要占用一部分系统资源而降低系统性能，使用户感到不堪忍受；另一方面是因为它与其他使用户感到不堪忍受；另一方面是因为它与其他软件（特别是操作系统）的兼容性问题始终没有软件（特别是操作系统）的兼容性问题始终没有得到很好的解决。得到很好的解决。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除防范计算机病毒的特殊方法uu（1 1）经常对硬盘上的文件进行备份，这样不但在硬盘遭受破坏或无）经常对硬盘上的文件进行备份，这样不但在硬盘遭受破坏或无意格式化操作后能及时得到恢复，而且在计算机病毒侵害后也能得以意格式化操作后能及时得到恢复，而且在计算机病毒侵害后也能得以恢复。恢复。uu（2 2）对硬盘的引导扇区及分区表做一备份。破坏系统分区表或引导）对硬盘的引导扇区及分区表做一备份。破坏系统分区表或引导扇区的计算机病毒尤为恶劣，将造成硬盘不能使用，故应对分区表及扇区的计算机病毒尤为恶劣，将造成硬盘不能使用，故应对分区表及引导扇区做备份，以便在遭到破坏时能恢复。引导扇区做备份，以便在遭到破坏时能恢复。uu（3 3）要经常检查可执行程序（）要经常检查可执行程序（.EXE.EXE和和.COM.COM文件）的长度，对这些文文件）的长度，对这些文件采取一些简单的加密，防止程序被感染。件采取一些简单的加密，防止程序被感染。uu（4 4）凡不需要再写入数据的磁盘都应该具有防写保护。）凡不需要再写入数据的磁盘都应该具有防写保护。uu（5 5）不要使用来历不明或不是正当途径复制的程序盘。）不要使用来历不明或不是正当途径复制的程序盘。uu（6 6）对于执行重要工作的计算机要专机专用、专盘专用；对交换的）对于执行重要工作的计算机要专机专用、专盘专用；对交换的软件及数据文件要进行检查，确定无计算机病毒时方可使用。软件及数据文件要进行检查，确定无计算机病毒时方可使用。uu（7 7）已发现计算机遭受计算机病毒感染，应尽快隔离此计算机病毒。）已发现计算机遭受计算机病毒感染，应尽快隔离此计算机病毒。如不明是何种计算机病毒或没有有效的杀毒软件时，可对硬盘和该染如不明是何种计算机病毒或没有有效的杀毒软件时，可对硬盘和该染毒的软盘进行格式化。毒的软盘进行格式化。uu（8 8）要使用国家安全部门认可的消计算机病毒软件，定期对计算机）要使用国家安全部门认可的消计算机病毒软件，定期对计算机进行杀毒。进行杀毒。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.2 引导区计算机病毒uu引导区是在系统引导的时候，进入到系统中，获得对系统的控制权，在完成其自身的安装后才去引导系统的。uu引导区计算机病毒是因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区或I/O分区的引导扇区，对于软盘则侵占了软盘的引导扇区。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除原理uu1 1系统引导型计算机病毒的运行方式系统引导型计算机病毒的运行方式 这类计算机病毒在进行其自身的安装时，为了实现向外进行传播和破坏等作用，一般都要修改这类计算机病毒在进行其自身的安装时，为了实现向外进行传播和破坏等作用，一般都要修改系统的中断向量，使之指向计算机病毒程序相应服务都分。这样在系统运行时只要使用到这些系统的中断向量，使之指向计算机病毒程序相应服务都分。这样在系统运行时只要使用到这些中断向量，或者满足计算机病毒程序设定的某些特定条件，就将触发计算机病毒程序进行传播中断向量，或者满足计算机病毒程序设定的某些特定条件，就将触发计算机病毒程序进行传播和破坏。通过对系统中断向量的篡改，从而使原来只是驻留在软、硬盘导扇区中的计算机病毒和破坏。通过对系统中断向量的篡改，从而使原来只是驻留在软、硬盘导扇区中的计算机病毒程序由静态转变为动态，具有了随时向外进行传播和对系统进行破坏的能力。程序由静态转变为动态，具有了随时向外进行传播和对系统进行破坏的能力。uu2 2系统引导型计算机病毒的传播方式系统引导型计算机病毒的传播方式 系统引导型计算机病毒的传染对象主要是软盘的引导扇区和硬盘的主引导扇区（也叫分区扇区）系统引导型计算机病毒的传染对象主要是软盘的引导扇区和硬盘的主引导扇区（也叫分区扇区）及硬盘分区的引导扇区。根据这类计算机病毒的传染特点，其传染的一般方式为：由含有计算及硬盘分区的引导扇区。根据这类计算机病毒的传染特点，其传染的一般方式为：由含有计算机病毒的系统感染在该系统中进行读、写操作的所有软盘，然后再由这些软盘以复制的方式机病毒的系统感染在该系统中进行读、写操作的所有软盘，然后再由这些软盘以复制的方式（静态传染）和引导进入到其他计算机系统的方式（动态传染），感染其他计算机的硬盘和计（静态传染）和引导进入到其他计算机系统的方式（动态传染），感染其他计算机的硬盘和计算机系统。如此循环下去，就使该计算机病毒迅速地传播开来。算机系统。如此循环下去，就使该计算机病毒迅速地传播开来。uu3 3系统引导型计算机病毒的破坏或表现方式系统引导型计算机病毒的破坏或表现方式 这类计算机病毒的表现方式变化多样，它们反映了计算机病毒编制者的目的。其中破坏最严重这类计算机病毒的表现方式变化多样，它们反映了计算机病毒编制者的目的。其中破坏最严重的是格式化整张磁盘（如的是格式化整张磁盘（如“ “磁盘杀手磁盘杀手” ”病毒），另外还有破坏目录区（如病毒），另外还有破坏目录区（如“ “大麻大麻” ”病毒和病毒和“ “磁磁盘杀手盘杀手” ”病毒），还有一些计算机病毒破坏系统与外设的连接（如病毒），还有一些计算机病毒破坏系统与外设的连接（如“2708”“2708”计算机病毒，它封计算机病毒，它封锁打印机破坏正常操作）等。锁打印机破坏正常操作）等。uu对于计算机病毒的破坏方式，我们只要能充分认识到其危险性，了解其发作的特点和对于计算机病毒的破坏方式，我们只要能充分认识到其危险性，了解其发作的特点和时间，就能识别出所发现的计算机病毒与其他的计算机病毒的不同，这就已达到目的。时间，就能识别出所发现的计算机病毒与其他的计算机病毒的不同，这就已达到目的。因为当我们截断了计算机病毒程序的引导和传播，那么，它的破坏作用是发挥不出来因为当我们截断了计算机病毒程序的引导和传播，那么，它的破坏作用是发挥不出来的，但是每一种计算机病毒的表现部分又都有很大差别，这些都为分析带来了一定的的，但是每一种计算机病毒的表现部分又都有很大差别，这些都为分析带来了一定的麻烦，需要花费一定的时间才能得出结论。麻烦，需要花费一定的时间才能得出结论。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除预防uu引导型计算机病毒一般在启动计算机时，优先取得控制权，抢占内存。通常引导型计算机病毒一般在启动计算机时，优先取得控制权，抢占内存。通常情况下，只要尽量不用软盘或用干净的软盘启动系统，是不会染上引导型计情况下，只要尽量不用软盘或用干净的软盘启动系统，是不会染上引导型计算机病毒的。对软盘进行写保护，可以很好地保护软盘不被非法写入，从而算机病毒的。对软盘进行写保护，可以很好地保护软盘不被非法写入，从而不感染上引导型计算机病毒。不感染上引导型计算机病毒。uu软盘可以用写保护的方法来保证磁盘中数据的安全，而硬盘至今为止大都没软盘可以用写保护的方法来保证磁盘中数据的安全，而硬盘至今为止大都没有这样的装置，硬盘处于随时随地都可以改写的状态，这就是硬盘为什么易有这样的装置，硬盘处于随时随地都可以改写的状态，这就是硬盘为什么易感染计算机病毒、易被改写数据而导致系统时常瘫痪的原因。感染计算机病毒、易被改写数据而导致系统时常瘫痪的原因。uu要保证硬盘的安全，除了从操作方面注意外，就只有采取用软件来保护硬盘要保证硬盘的安全，除了从操作方面注意外，就只有采取用软件来保护硬盘的措施。我们知道，对于磁盘的写操作有两种中断方法，即的措施。我们知道，对于磁盘的写操作有两种中断方法，即BIOSBIOS中的中的INT INT 13H13H的的3 3号功能和号功能和INT 26HINT 26H中的绝对磁盘写中断，而中的绝对磁盘写中断，而INT 26HINT 26H的磁盘操作最的磁盘操作最终是由终是由INT 13HINT 13H实施的，并且实施的，并且INT 26HINT 26H的入口处参数是逻辑扇区号，它不能的入口处参数是逻辑扇区号，它不能对硬盘的主引导扇区进行操作，所以只要监视对硬盘的主引导扇区进行操作，所以只要监视INT 13HINT 13H的的3 3号功能，就可以号功能，就可以控制整个硬盘的写操作，使硬盘的敏感部位（如主引导扇区、控制整个硬盘的写操作，使硬盘的敏感部位（如主引导扇区、DOSDOS引导区、引导区、FATFAT等）不被改写，保证硬盘的安全；并随时监视等）不被改写，保证硬盘的安全；并随时监视INT 13HINT 13H的的3 3号功能，当有号功能，当有对硬盘的写操作时，将暂停程序执行，在屏幕上显示当前将要操作的硬盘物对硬盘的写操作时，将暂停程序执行，在屏幕上显示当前将要操作的硬盘物理位置，即磁头号、磁盘号和扇区号，等待用户进行选择。理位置，即磁头号、磁盘号和扇区号，等待用户进行选择。uu在对硬盘的写操作很少的情况下，最好把此程序放在主批处理的首部。在对硬盘的写操作很少的情况下，最好把此程序放在主批处理的首部。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除检测uu1 1查看系统内存的总量、与正常情况进行比较查看系统内存的总量、与正常情况进行比较uu查看系统内存的总量、与正常情况进行比较，一般对于有查看系统内存的总量、与正常情况进行比较，一般对于有640 KB640 KB基本内存的系统，用基本内存的系统，用DOSDOS的的CHKDSKCHKDSK命令检查时，显示此时总内存数为命令检查时，显示此时总内存数为655360655360字节。对于字节。对于COMPAQCOMPAQ机和机和 OlivettiOlivetti机，其系统内存总量为机，其系统内存总量为 639KB 639KB（系统占用（系统占用 IKB IKB）。此时屏幕上显示的数值为）。此时屏幕上显示的数值为654336654336。如果系统中有系统引导型计算机病毒，一般这个数值一定要减少。减少的数量。如果系统中有系统引导型计算机病毒，一般这个数值一定要减少。减少的数量根据该种计算机病毒所占内存的不同而不同。根据该种计算机病毒所占内存的不同而不同。uu2 2检查系统内存高端的内容检查系统内存高端的内容uu检查系统内存高端的内容，判断其代码是否可疑。一般在系统刚引导时，在内存的高端很检查系统内存高端的内容，判断其代码是否可疑。一般在系统刚引导时，在内存的高端很少有驻留的程序。当发现系统内存减少时，可以进一步用少有驻留的程序。当发现系统内存减少时，可以进一步用DebugDebug查看内存高端驻留代码的查看内存高端驻留代码的内存，与正常情况进行比较。这需要有一定的经验，并且需要用户对汇编语言和内存，与正常情况进行比较。这需要有一定的经验，并且需要用户对汇编语言和DebugDebug程程序有一定的了解。序有一定的了解。uu3 3检查系统的检查系统的INT 13HINT 13H中断向量中断向量uu检查系统的检查系统的INT 13HINT 13H中断向量与正常情况进行比较，因为计算机病毒程序要向外进行传播，中断向量与正常情况进行比较，因为计算机病毒程序要向外进行传播，所以该种类型的计算机病毒一般修改系统的所以该种类型的计算机病毒一般修改系统的INT 13HINT 13H中断向量，使之指向计算机病毒程序中断向量，使之指向计算机病毒程序的传播部分。此时，我们可以检查系统的传播部分。此时，我们可以检查系统0 0：004C004C0 0：004F004F处处INT 13INT 13中断向量的地址，中断向量的地址，与系统正常情况进行比较。与系统正常情况进行比较。uu4 4检查硬盘的主引导扇区、检查硬盘的主引导扇区、DOSDOS分区引导扇区及软盘的引导扇区分区引导扇区及软盘的引导扇区uu硬盘硬盘DOSDOS分区的引导扇区和软盘的引导扇区，除了首部的分区的引导扇区和软盘的引导扇区，除了首部的BPBBPB表参数不同外，其余的引导表参数不同外，其余的引导代码是一样的，其作用是引导系统的启动过程，用户此时也是取出这些扇区与正常的内容代码是一样的，其作用是引导系统的启动过程，用户此时也是取出这些扇区与正常的内容进行比较来确定是否被计算机病毒感染。进行比较来确定是否被计算机病毒感染。uu通过以上几项检查，可以初步判断用户的系统中或软、硬盘上是否含有计算机病毒。应该通过以上几项检查，可以初步判断用户的系统中或软、硬盘上是否含有计算机病毒。应该注意的是，比较的前提是用户需要预先将系统中断及将软、硬盘引导扇区的内容提取出来，注意的是，比较的前提是用户需要预先将系统中断及将软、硬盘引导扇区的内容提取出来，保存在一个软盘中，以作为进行计算机病毒检查时的比较资料。保存在一个软盘中，以作为进行计算机病毒检查时的比较资料。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uu消除这类计算机病毒的基本思想是：用原来正常的分区表消除这类计算机病毒的基本思想是：用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。信息或引导扇区信息，覆盖掉计算机病毒程序。uu对于那些对分区表和引导扇区内容进行搬移的计算机病毒，对于那些对分区表和引导扇区内容进行搬移的计算机病毒，则要分析这段计算机病毒程序，找到被搬移的正常引导扇则要分析这段计算机病毒程序，找到被搬移的正常引导扇区内容的存放地址，将它们读到内存中，写回到被计算机区内容的存放地址，将它们读到内存中，写回到被计算机病毒程序侵占的扇区；如果对于那些不对分区表进行搬移病毒程序侵占的扇区；如果对于那些不对分区表进行搬移的计算机病毒，则只有从一个与该计算机硬盘相近的机器的计算机病毒，则只有从一个与该计算机硬盘相近的机器中提取出正常的分区记录的信息，将其读入内存，再将被中提取出正常的分区记录的信息，将其读入内存，再将被计算机病毒覆盖的分区记录也读到内存中，取其尾部计算机病毒覆盖的分区记录也读到内存中，取其尾部6464字字节分区信息内容，放到读入的正常分区记录内容的相应部节分区信息内容，放到读入的正常分区记录内容的相应部分，最后再将其内容写回硬盘。分，最后再将其内容写回硬盘。uu应该指出的是，以上的解毒过程，应是在系统无毒的状态应该指出的是，以上的解毒过程，应是在系统无毒的状态下进行。下进行。uu当然，最简单、安全的清除方式还是使用专业的杀毒软件当然，最简单、安全的清除方式还是使用专业的杀毒软件来消除这类计算机病毒。来消除这类计算机病毒。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.3 文件型病毒uu文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上，当文件装入系统执行的时候，引导计算机病毒程序也进入到系统中。uu只有极少计算机病毒程序感染数据文件。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除原理uu1 1文件型计算机病毒的运行方式文件型计算机病毒的运行方式 对于文件型计算机病毒而言，由于它们多数是依附在系统对于文件型计算机病毒而言，由于它们多数是依附在系统可执行的文件上，所以它引导进入系统的方式，与系统可可执行的文件上，所以它引导进入系统的方式，与系统可执行文件的装入和执行过程紧密相联。执行文件的装入和执行过程紧密相联。 当计算机病毒程序感染一个可执行文件后，它为了能够使当计算机病毒程序感染一个可执行文件后，它为了能够使自已引导进入到系统中，就必须修改原文件的头部参数。自已引导进入到系统中，就必须修改原文件的头部参数。 uu2 2文件型计算机病毒的传染方式文件型计算机病毒的传染方式 文件型计算机病毒的传染对象大多被是系统可执行文件，文件型计算机病毒的传染对象大多被是系统可执行文件，也有一些还要对覆盖文件进行传染，而对数据进行传染的也有一些还要对覆盖文件进行传染，而对数据进行传染的则较少见。则较少见。 在传染过程中，这些计算机病毒程序或依附在文件的首部，在传染过程中，这些计算机病毒程序或依附在文件的首部，或者依附在文件的尾部，都要使原可执行文件的长度增加或者依附在文件的尾部，都要使原可执行文件的长度增加若干字节。若干字节。 计算机病毒程序此时之所以具有向外传染的能力计算机病毒程序此时之所以具有向外传染的能力计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除预防uu凡是文件型计算机病毒，都要寻找一个宿主，然后寄生在宿主凡是文件型计算机病毒，都要寻找一个宿主，然后寄生在宿主“ “体内体内” ”，随，随着宿主的活动到处传播。这些宿主基本都是可执行文件。可执行文件被感染，着宿主的活动到处传播。这些宿主基本都是可执行文件。可执行文件被感染，其表现症状为文件长度增加或文件头部信息被修改、文件目录表中信息被修其表现症状为文件长度增加或文件头部信息被修改、文件目录表中信息被修改、文件长度不变而内部信息被修改等。改、文件长度不变而内部信息被修改等。uu针对上述症状，可以设计一些预防文件型计算机病毒的方法：常驻内存监视针对上述症状，可以设计一些预防文件型计算机病毒的方法：常驻内存监视INT 21HINT 21H中断、给可执行文件加上中断、给可执行文件加上“ “自检外壳自检外壳” ”等。等。uu附加的附加的“ “自检外壳自检外壳” ”不能和可执行文件的代码很好地融合，常常和原文件发不能和可执行文件的代码很好地融合，常常和原文件发生冲突，使原文件不能正常执行。有时候，附加的生冲突，使原文件不能正常执行。有时候，附加的“ “自检外壳自检外壳” ”会被认为是会被认为是一种新计算机病毒，附加的一种新计算机病毒，附加的“ “自检外壳自检外壳” ”只能发现计算机病毒而无法清除。只能发现计算机病毒而无法清除。使用专有的程序给可执行文件增加使用专有的程序给可执行文件增加“ “自检外壳自检外壳” ”也会使计算机病毒制造者造也会使计算机病毒制造者造出具有针对性的计算机病毒。出具有针对性的计算机病毒。uu在源程序中增加自检及清除计算机病毒的功能。这种方法的优点是可执行文在源程序中增加自检及清除计算机病毒的功能。这种方法的优点是可执行文件从生成起，就有抗计算机病毒的能力，从而可以保证可执行文件的干净。件从生成起，就有抗计算机病毒的能力，从而可以保证可执行文件的干净。自检清除功能部分和可执行文件的其他部分融为一体，不会和程序的其他功自检清除功能部分和可执行文件的其他部分融为一体，不会和程序的其他功能冲突，也使计算机病毒制造者无法造出具有针对性的计算机病毒。能冲突，也使计算机病毒制造者无法造出具有针对性的计算机病毒。uu预防文件型计算机病毒方法的核心就是使可执行文件具有自检功能，在被加预防文件型计算机病毒方法的核心就是使可执行文件具有自检功能，在被加载时检测本身的几项指标：文件长度、文件头部信息、文件内部抽样信息、载时检测本身的几项指标：文件长度、文件头部信息、文件内部抽样信息、文件目录表中有关信息等。其实现的过程是在使用汇编语言或其他高级语言文件目录表中有关信息等。其实现的过程是在使用汇编语言或其他高级语言时，先把上述有关的信息定义为若干大小固定的几个变量，给每个变量先赋时，先把上述有关的信息定义为若干大小固定的几个变量，给每个变量先赋一个值，待汇编或编译之后，根据可执行文件中的有关信息，把源程序中的一个值，待汇编或编译之后，根据可执行文件中的有关信息，把源程序中的有关变量进行修改，再重新汇编或编译，就得到了所需的可执行文件。有关变量进行修改，再重新汇编或编译，就得到了所需的可执行文件。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除检测uu检查文件中是否已染有某种病毒所依据的基本思想是：在一个文件的特定位置上，寻找该种病毒的特检查文件中是否已染有某种病毒所依据的基本思想是：在一个文件的特定位置上，寻找该种病毒的特定标识。如果存在，则认为该文件已被这种病毒感染，这里称这种方法为定标识。如果存在，则认为该文件已被这种病毒感染，这里称这种方法为“ “检查标识法检查标识法” ”。uu1 1系统中含有计算机病毒的诊断系统中含有计算机病毒的诊断uu2 2对文件型计算机病毒进行检查对文件型计算机病毒进行检查uu3 3文件型计算机病毒内存驻留检测程序文件型计算机病毒内存驻留检测程序uu件型计算机病毒按其驻留内存方式可分为高端驻留型、内存控制链驻留型、常规驻留型、设备程序补件型计算机病毒按其驻留内存方式可分为高端驻留型、内存控制链驻留型、常规驻留型、设备程序补丁驻留型和不驻留内存型。丁驻留型和不驻留内存型。uu（1 1）高端驻留型计算机病毒是通过申请一个与计算机病毒体大小相同的内存块来获得内存控制块链）高端驻留型计算机病毒是通过申请一个与计算机病毒体大小相同的内存块来获得内存控制块链中最后一个区域头，并通过减少最后一个区域头的分配块节数来减少内存容量，而使计算机病毒驻留中最后一个区域头，并通过减少最后一个区域头的分配块节数来减少内存容量，而使计算机病毒驻留内存高端可用区。内存高端可用区。uu（2 2）内存控制链驻留型计算机病毒是将计算机病毒驻留在系统分配给宿主程序的位置，并为宿主程）内存控制链驻留型计算机病毒是将计算机病毒驻留在系统分配给宿主程序的位置，并为宿主程序重新创建一个内存块，通过修改内存控制块链，使得宿主程序结束后只回收宿主程序的内存空间，序重新创建一个内存块，通过修改内存控制块链，使得宿主程序结束后只回收宿主程序的内存空间，从而达到计算机病毒驻留内存的目的。从而达到计算机病毒驻留内存的目的。uu（3 3）常规驻留型计算机病毒是采用）常规驻留型计算机病毒是采用DOSDOS功能调用中的常驻退出的调用方式，将计算机病毒驻留在系功能调用中的常驻退出的调用方式，将计算机病毒驻留在系统分配给宿主程序的空间中。统分配给宿主程序的空间中。uu（4 4）驻留内存型计算机病毒在带毒宿主程序驻留内存的过程中一般是不进行传染的，它驻留在系统）驻留内存型计算机病毒在带毒宿主程序驻留内存的过程中一般是不进行传染的，它驻留在系统内，通常通过改造内，通常通过改造INT 21HINT 21H的的.EXEC.EXEC（4BH4BH）或查找文件（）或查找文件（11H11H，12H12H，4EH4EH，4FH4FH），监视待传染），监视待传染的程序，并在系统执行写文件、改属性、改文件名等操作时伺机传染。的程序，并在系统执行写文件、改属性、改文件名等操作时伺机传染。uu（5 5）文件型计算机病毒在传染文件时，需要打开待传染的程序文件，并进行写操作，因此，利用）文件型计算机病毒在传染文件时，需要打开待传染的程序文件，并进行写操作，因此，利用DOSDOS运行可执行文件时需要释放多余的内存块，控制运行可执行文件时需要释放多余的内存块，控制INT 21HINT 21H的的49H49H功能块，如果在该功能执行之功能块，如果在该功能执行之前检测到写盘操作，可认定内存有计算机病毒。前检测到写盘操作，可认定内存有计算机病毒。uu（6 6）由于文件型计算机病毒是寄生在可执行文件中，是在）由于文件型计算机病毒是寄生在可执行文件中，是在DOSDOS引导启动后才激活的，因此，用硬卡引导启动后才激活的，因此，用硬卡实现和用软件实现技术基本是一样的，它们都是在实现和用软件实现技术基本是一样的，它们都是在DOSDOS的外围建立一个安全外壳，主要对在系统引的外围建立一个安全外壳，主要对在系统引导以后执行的程序实施检测，以防范寄生于可执行文件中的计算机病毒。导以后执行的程序实施检测，以防范寄生于可执行文件中的计算机病毒。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uu解毒可以分为如下解毒可以分为如下4 4个步骤来进行。个步骤来进行。uu（1 1）确定计算机病毒程序的位置，是驻留在文件的尾部还是在文件）确定计算机病毒程序的位置，是驻留在文件的尾部还是在文件的首部。的首部。uu（2 2）找到计算机病毒程序的首部位置（对应于在文件尾部驻留方式）找到计算机病毒程序的首部位置（对应于在文件尾部驻留方式），或者尾部位置（对应于在文件首部驻留方式）。，或者尾部位置（对应于在文件首部驻留方式）。uu（3 3）恢复原文件头部的参数。）恢复原文件头部的参数。uu（4 4）修改文件的长度，将原文件写回。）修改文件的长度，将原文件写回。uu恢复染毒文件的头部参数是解毒操作过程中的重要步骤之一。恢复染毒文件的头部参数是解毒操作过程中的重要步骤之一。uu对于对于.COM.COM型文件，因为此时只有头部型文件，因为此时只有头部3 3字节的参数被搬移，所以仔细字节的参数被搬移，所以仔细跟踪分析计算机病毒程序，找到原文件头部的这跟踪分析计算机病毒程序，找到原文件头部的这3 3字节的内容，恢复字节的内容，恢复它们就可以。它们就可以。uu对于对于.EXE.EXE型文件，因其头部参数较复杂，且较多，恢复时一定要细心，型文件，因其头部参数较复杂，且较多，恢复时一定要细心，仔细查找原文件头参数的地址。另外，由于除去计算机病毒程序后，仔细查找原文件头参数的地址。另外，由于除去计算机病毒程序后，原文件长度将减少，这样标志文件长度的参数要做相应的修改。原文件长度将减少，这样标志文件长度的参数要做相应的修改。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除CIH病毒uuCIHCIH病毒属文件型计算机病毒，其别名有病毒属文件型计算机病毒，其别名有Win95.CIHWin95.CIH，SpacefillerSpacefiller，Win32.CIHWin32.CIH，PE_CIHPE_CIH等，它主要感染等，它主要感染Windows 95/98Windows 95/98操作系统下的可执行文件（操作系统下的可执行文件（PEPE格式，格式，Portable Executable Format)Portable Executable Format)。CIHCIH计算机病毒的各种不计算机病毒的各种不同版本同版本uuCIHCIH计算机病毒的各种不同版本随时间的发展而不断完善，下面是其基本发展历程。计算机病毒的各种不同版本随时间的发展而不断完善，下面是其基本发展历程。uu（1 1）CIHCIH计算机病毒计算机病毒v1.0v1.0版本版本uu最初的最初的V1.0V1.0版本仅仅只有版本仅仅只有656656字节，其雏形显得比较简单，与普通类型的计算机病毒相比在结构上并无多大的改善，字节，其雏形显得比较简单，与普通类型的计算机病毒相比在结构上并无多大的改善，其最大的其最大的“ “卖点卖点” ”是在于其是当时为数不多的、可感染是在于其是当时为数不多的、可感染Microsoft Windows PEMicrosoft Windows PE类可执行文件的计算机病毒之一，类可执行文件的计算机病毒之一，被其感染的程序文件长度增加，此版本的被其感染的程序文件长度增加，此版本的CIHCIH不具有破坏性。不具有破坏性。uu（2 2）CIHCIH计算机病毒计算机病毒v1.1v1.1版本版本uu当当CIHCIH发展到发展到v1.1v1.1版本时，计算机病毒长度为版本时，计算机病毒长度为796796字节，此版本的字节，此版本的CIHCIH计算机病毒具有可判断计算机病毒具有可判断Windows NTWindows NT软件的软件的功能，一旦判断用户运行的是功能，一旦判断用户运行的是Windows NTWindows NT操作系统，则不发生作用，进行自我隐藏，以避免产生错误提示信息，操作系统，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的同时使用了更加优化的代码，以缩减其长度。此版本的CIHCIH另外一个特点在于其可以利用另外一个特点在于其可以利用WIN PEWIN PE类可执行文件中类可执行文件中的的“ “空隙空隙” ”，将自身根据需要分裂成几个部分后，分别插入到，将自身根据需要分裂成几个部分后，分别插入到PEPE类可执行文件中，这样做可以在感染大部分类可执行文件中，这样做可以在感染大部分WIN WIN PEPE类文件时，不会导致文件长度增加。类文件时，不会导致文件长度增加。 uu（3 3）CIHCIH计算机病毒计算机病毒v1.2v1.2版本版本uu当当CIHCIH发展到发展到v1.2v1.2版本时，除了改正了一些版本时，除了改正了一些v1.1v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOSBIOS程程序的代码，这一改进，使其步入恶性计算机病毒的行列，此版本的序的代码，这一改进，使其步入恶性计算机病毒的行列，此版本的CIHCIH计算机病毒体长度为计算机病毒体长度为10031003字节。字节。uu（4 4）CIHCIH计算机病毒计算机病毒v1.3v1.3版版uu原先原先v1.2v1.2版本的版本的CIHCIH计算机病毒的最大缺陷在于当其感染计算机病毒的最大缺陷在于当其感染ZIPZIP自解压包文件（自解压包文件（ZIP Self-extractors FileZIP Self-extractors File）时，将导）时，将导致此致此ZIPZIP压缩包在自解压时出现以下错误信息：压缩包在自解压时出现以下错误信息： uuWinZip Self-Extractor header corrupt.WinZip Self-Extractor header corrupt.uuPossible causePossible cause： disk or error. disk or error. uuv1.3v1.3版本的版本的CIHCIH计算机病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件计算机病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是是WinZipWinZip类的自解压程序，则不进行感染，同时，此版本的类的自解压程序，则不进行感染，同时，此版本的CIHCIH计算机病毒修改了发作时间。计算机病毒修改了发作时间。v1.3v1.3版本的版本的CIHCIH计算计算机病毒长度为机病毒长度为10101010字节。字节。uu（5 5）CIHCIH计算机病毒计算机病毒v1.4v1.4版本版本uu此版本的此版本的CIHCIH计算机病毒改进了上几个版本中的缺陷，不感染计算机病毒改进了上几个版本中的缺陷，不感染ZIPZIP自解压包文件，同时修改了发作日期及计算机病毒自解压包文件，同时修改了发作日期及计算机病毒中的版权信息（版本信息被更改为：中的版权信息（版本信息被更改为：“CIH v1.4 TATUNG”“CIH v1.4 TATUNG”，而以前版本中的相关信息为，而以前版本中的相关信息为“CIH v1.x TTIT”“CIH v1.x TTIT”），此），此版本的病毒长度为版本的病毒长度为10191019字节。字节。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除CIH病毒uuCIHCIH计算机病毒发作时所产生的破坏性计算机病毒发作时所产生的破坏性 : CIH : CIH属恶性计算机病毒，当其发作条件成熟时，属恶性计算机病毒，当其发作条件成熟时，将破坏硬盘数据，同时有可能破坏将破坏硬盘数据，同时有可能破坏BIOSBIOS程序。程序。 uu感染感染CIHCIH计算机病毒的特征计算机病毒的特征 uu由于流行的由于流行的CIHCIH计算机病毒版本中，其标识版本号的信息使用的是明文，所以可以通过计算机病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了搜索可执行文件中的字符串来识别是否感染了CIHCIH计算机病毒，搜索的特征串为计算机病毒，搜索的特征串为“CIH “CIH v”v”或者是或者是“CIH v1”“CIH v1”，如果想搜索更完全的特征字符串，可尝试，如果想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”“CIH v1.2 TTIT”，“CIH v1.3 TTIT”“CIH v1.3 TTIT”以及以及“CIH v1.4 TATUNG”“CIH v1.4 TATUNG”，不要直接搜索，不要直接搜索“CIH”“CIH”特征串，因为此特征串，因为此特征串在很多的正常程序中也存在特征串在很多的正常程序中也存在uu具体的搜索方法为：首先开启具体的搜索方法为：首先开启“ “资源管理器资源管理器” ”，选择其中的菜单功能，选择其中的菜单功能“ “工具工具” ”“ “查查找找” ”“ “文件或文件夹文件或文件夹” ”，在弹出的，在弹出的“ “查找文件查找文件” ”设置窗口的设置窗口的“ “名称和位置名称和位置” ”输入查输入查找路径及文件名（例如：找路径及文件名（例如：*.exe*.exe），然后在），然后在“ “高级高级” ”“ “包含文字包含文字” ”栏中输入要查找的栏中输入要查找的特征字符串特征字符串“CIH v”“CIH v”，最后单击查找键即可开始查找工作。如果在查找过程中，显，最后单击查找键即可开始查找工作。如果在查找过程中，显示出一大堆符合查找特征的可执行文件，则表明该计算机上已经感染了示出一大堆符合查找特征的可执行文件，则表明该计算机上已经感染了CIHCIH计算机病毒。计算机病毒。uu另外一个判断方法是在另外一个判断方法是在Windows PEWindows PE文件中搜索文件中搜索IMAGE_NT_SIGNATUREIMAGE_NT_SIGNATURE字段。字段。 uu最后一个判断方法是先搜索最后一个判断方法是先搜索IMAGE_NT_SIGNATUREIMAGE_NT_SIGNATURE字段字段“PE00”“PE00”，接着搜索其偏移，接着搜索其偏移0x280x28位置处的值是否为位置处的值是否为55 8D 44 24 F8 33 DB 6455 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感，如果是，则表示此程序已被感染。染。 uu适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉。适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉。53 00 01 00 83 53 00 01 00 83 C4 20C4 20与与CD 20 67 00 40 00CD 20 67 00 40 00特征字串，将其全部修改为特征字串，将其全部修改为9090即可（以上数值全部为十即可（以上数值全部为十六进制）。六进制）。uu另外一种方法是将原先的另外一种方法是将原先的PEPE程序的正确入口点找回来，填入当前入口点即可。程序的正确入口点找回来，填入当前入口点即可。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除CIH病毒uuCIHCIH感染的方法感染的方法uu就技巧而言，其原理主要是使用就技巧而言，其原理主要是使用WindowsWindows的的VxDVxD（虚拟设备驱动程序）编程方法，使用这（虚拟设备驱动程序）编程方法，使用这一方法的目的是获取高的一方法的目的是获取高的CPUCPU权限。权限。CIHCIH计算机病毒使用的方法是首先使用计算机病毒使用的方法是首先使用SIDTSIDT取得取得IDT IDT base addressbase address（中断描述符表基地址），然后把（中断描述符表基地址），然后把IDTIDT的的INT 3 INT 3 的入口地址改为指向的入口地址改为指向CIHCIH自自己的己的INT3INT3程序入口部分，再利用自己产生一个程序入口部分，再利用自己产生一个INT 3INT 3指令运行至此指令运行至此CIHCIH自身的自身的INT 3INT 3入口程入口程序处，这样序处，这样CIHCIH计算机病毒就可以获得最高级别的权限（即权限计算机病毒就可以获得最高级别的权限（即权限0 0），接着计算机病毒将检），接着计算机病毒将检查查DR0DR0寄存器的值是否为寄存器的值是否为0 0，用以判断先前是否有，用以判断先前是否有CIHCIH计算机病毒已经驻留。计算机病毒已经驻留。uu如果内存申请成功，则接着将从被感染文件中将原先分成多段的计算机病毒代码收集起来，如果内存申请成功，则接着将从被感染文件中将原先分成多段的计算机病毒代码收集起来，并进行组合后放到申请到的内存空间中，完成组合、放置过程后，并进行组合后放到申请到的内存空间中，完成组合、放置过程后，CIHCIH计算机病毒将再次调计算机病毒将再次调用用INT 3INT 3中断进入中断进入CIHCIH计算机病毒体的计算机病毒体的INT 3INT 3入口程序，接着调用入口程序，接着调用INT 20INT 20来完成调用一个来完成调用一个IFSMgr_InstallIFSMgr_Install的子程序，用来在文件系统处理函数中挂接钩子，以截取文件调用的操作，的子程序，用来在文件系统处理函数中挂接钩子，以截取文件调用的操作，接着修改接着修改IFSMgr_InstallIFSMgr_Install的入口，这样就完成了挂接钩子的工作，同时的入口，这样就完成了挂接钩子的工作，同时WindowsWindows默认默认IFSMgr_Ring0_FileIOIFSMgr_Ring0_FileIO（InstallableInstallable，IFSMgrIFSMgr）。服务程序的入口地址将被保留，以便）。服务程序的入口地址将被保留，以便于于CIHCIH计算机病毒调用计算机病毒调用. .uuCIHCIH计算机病毒传播的主要途径是计算机病毒传播的主要途径是InternetInternet和电子邮件，当然随着时间的推移，它也会通过和电子邮件，当然随着时间的推移，它也会通过软盘或光盘的交流传播。据悉，权威计算机病毒搜集网目前报道的软盘或光盘的交流传播。据悉，权威计算机病毒搜集网目前报道的CIHCIH计算机病毒，计算机病毒，“ “原体原体” ”加加“ “变种变种” ”一共有一共有5 5种之多，相互之间主要区别在于种之多，相互之间主要区别在于“ “原体原体” ”会使受感染文件增长，但不会使受感染文件增长，但不具破坏力；而具破坏力；而“ “变种变种” ”不但使受感染的文件增长，同时还有很强的破坏性，特别是有一种不但使受感染的文件增长，同时还有很强的破坏性，特别是有一种“ “变种变种” ”，每月，每月2626日都会发作。日都会发作。uuCIHCIH计算机病毒计算机病毒“ “变种变种” ”在每年在每年4 4月月2626日都会发作。发作时硬盘一直转个不停，所有数据都日都会发作。发作时硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失。被破坏，硬盘分区信息也将丢失。CIHCIH计算机病毒发作后，就只有对硬盘进行重新分区了。计算机病毒发作后，就只有对硬盘进行重新分区了。再有就是再有就是CIHCIH计算机病毒发作时也可能会破坏某些类型主板的电压，改写只读存储器的计算机病毒发作时也可能会破坏某些类型主板的电压，改写只读存储器的BIOSBIOS，被破坏的主板只能送回原厂修理，重新烧入，被破坏的主板只能送回原厂修理，重新烧入BIOSBIOS。uu虽然虽然CIHCIH并不会破坏所有并不会破坏所有BIOSBIOS，但，但CIHCIH在在“ “黑色黑色” ”的的2626日摧毁硬盘上所有数据远比破坏日摧毁硬盘上所有数据远比破坏BIOSBIOS要严重得多要严重得多这是每个感染这是每个感染CIHCIH计算机病毒的用户不可避免的。计算机病毒的用户不可避免的。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.4 文件与引导复合型病毒uu复合型计算机病毒是指具有引导型计算机病毒和文件型计复合型计算机病毒是指具有引导型计算机病毒和文件型计算机病毒寄生方式的计算机病毒。算机病毒寄生方式的计算机病毒。uu这种计算机病毒扩大了计算机病毒程序的传染途径，它既这种计算机病毒扩大了计算机病毒程序的传染途径，它既感染磁盘的引导记录，又感染可执行文件。当染有此种计感染磁盘的引导记录，又感染可执行文件。当染有此种计算机病毒的磁盘用于引导系统或调用执行染毒文件时，计算机病毒的磁盘用于引导系统或调用执行染毒文件时，计算机病毒都会被激活。算机病毒都会被激活。uu在检测、清除复合型计算机病毒时，必须全面彻底地根治，在检测、清除复合型计算机病毒时，必须全面彻底地根治，如果只发现该计算机病毒的一个特性，把它只当作引导型如果只发现该计算机病毒的一个特性，把它只当作引导型或文件型计算机病毒进行清除。或文件型计算机病毒进行清除。uu虽然好像是清除了，但还留有隐患，这种经过消毒后的虽然好像是清除了，但还留有隐患，这种经过消毒后的“ “洁净洁净” ”系统更有攻击性。这种病毒有系统更有攻击性。这种病毒有“Flip”“Flip”、“ “新世纪新世纪” ”、“One-half”“One-half”病毒等。病毒等。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除原理uu复合型计算机病毒是指具有引导型计算机病毒和文件型计算机病毒寄生方式复合型计算机病毒是指具有引导型计算机病毒和文件型计算机病毒寄生方式的计算机病毒。这种计算机病毒的原始状态是依附在可执行文件上，靠该文的计算机病毒。这种计算机病毒的原始状态是依附在可执行文件上，靠该文件作为载体而进行传播。当文件被执行时，如果系统中有硬盘，则立即感染件作为载体而进行传播。当文件被执行时，如果系统中有硬盘，则立即感染硬盘的主引导扇区，以后在用硬盘启动系统时，系统中就有该计算机病毒，硬盘的主引导扇区，以后在用硬盘启动系统时，系统中就有该计算机病毒，从而实现从文件型计算机病毒向系统型计算机病毒的转变。从而实现从文件型计算机病毒向系统型计算机病毒的转变。uu这种计算机病毒具有两种引导方式，当它驻留在硬盘主引导扇区中和驻留在这种计算机病毒具有两种引导方式，当它驻留在硬盘主引导扇区中和驻留在文件中时，其各自的引导过程是不一样的。文件中时，其各自的引导过程是不一样的。uu驻留在硬盘主引导扇区中的计算机病毒具有系统引导型计算机病毒的一切特驻留在硬盘主引导扇区中的计算机病毒具有系统引导型计算机病毒的一切特征，其分析方法与系统引导型计算机病毒的分析方法完全相同，唯一的区别征，其分析方法与系统引导型计算机病毒的分析方法完全相同，唯一的区别在于它的传染对象与系统引导型计算机病毒的传染对象不同。在于它的传染对象与系统引导型计算机病毒的传染对象不同。uu这种计算机病毒不传染软盘的引导扇区，而只传染系统中的可执行文件。这种计算机病毒不传染软盘的引导扇区，而只传染系统中的可执行文件。uu驻留在文件中的计算机病毒，在该文件执行时进入到系统中，它具有文件型驻留在文件中的计算机病毒，在该文件执行时进入到系统中，它具有文件型计算机病毒的一切特点，但它在引导时，增加了一个程序段，用于感染硬盘计算机病毒的一切特点，但它在引导时，增加了一个程序段，用于感染硬盘的主引导扇区，当判断系统中装有硬盘时，读出硬盘的主引导扇区，如果该的主引导扇区，当判断系统中装有硬盘时，读出硬盘的主引导扇区，如果该扇区中特定位置上没有计算机病毒程序的感染标志，则认为该硬盘尚未被感扇区中特定位置上没有计算机病毒程序的感染标志，则认为该硬盘尚未被感染，于是立刻将计算机病毒程序传染到硬盘的主引导扇区中。染，于是立刻将计算机病毒程序传染到硬盘的主引导扇区中。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除 “新世纪”计算机病毒的表现形 uu计算机病毒既能感染硬盘主引导区，又会攻击计算机病毒既能感染硬盘主引导区，又会攻击.COM.COM和和.EXE.EXE型文件。感染上计算机病毒的型文件。感染上计算机病毒的.EXE.EXE型型文件很多都不能正常运行；计算机病毒发作时还文件很多都不能正常运行；计算机病毒发作时还将删除所有运行的程序。这种新计算机病毒的代将删除所有运行的程序。这种新计算机病毒的代码体内，有如下的特征字符串：码体内，有如下的特征字符串：uuWelcomeWelcomeuuAutocopy deluxe R3.00Autocopy deluxe R3.00uu（C C） Copyright 1991.Mr.YaQi.changsha Copyright 1991.Mr.YaQi.changsha ChinaChinauuNo one can beyond meNo one can beyond me。uuNew century of computer nowNew century of computer now。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除“新世纪”计算机病毒的检测uu用以下用以下4 4种方法可以很容易地断定有动态的或静态种方法可以很容易地断定有动态的或静态的的“ “新世纪新世纪” ”计算机病毒存在：计算机病毒存在：uu（1 1）用）用PCToolsPCTools，CHKDSKCHKDSK等检查等检查DOSDOS的内存的内存容量比正常内存量少容量比正常内存量少4K4K时；时；uu（2 2）使用）使用NUNU组合工具或组合工具或DebugDebug检查硬盘的检查硬盘的0 0头头0 0道道1 16 6扇区，第扇区，第2 2扇区为原先的主引导扇区，其扇区为原先的主引导扇区，其他他5 5个扇区也有内容时；个扇区也有内容时；uu（3 3）.COM.COM文件长度比原来的增大文件长度比原来的增大3K3K，.EXE.EXE文件文件长度比原来的增大长度比原来的增大3K3K左右时；左右时；uu（4 4）用）用PCToolsPCTools等工具可以在文件尾部查找到上等工具可以在文件尾部查找到上面的计算机病毒特征字符串。面的计算机病毒特征字符串。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除“新世纪”计算机病毒的清除uu1 1硬盘主引导扇区内计算机病毒清除硬盘主引导扇区内计算机病毒清除uu使用使用NUNU组合工具或组合工具或DebugDebug等把硬盘等把硬盘0 0头头0 0道道3 36 6扇区内容全部清零，并将扇区内容全部清零，并将2 2扇区的内容扇区的内容覆盖到主引导扇区覆盖到主引导扇区1 1扇区上。对于用扇区上。对于用 DOS3.0 DOS3.0以下版本分区的硬盘，由于计算机病毒体以下版本分区的硬盘，由于计算机病毒体破坏了破坏了FATFAT文件分配表，造成大量文件去失，此时可先将主引导扇区内容清零再使用文件分配表，造成大量文件去失，此时可先将主引导扇区内容清零再使用FDISKFDISK进行分区和进行分区和FORMATFORMAT硬盘，井重新安装系统。硬盘，井重新安装系统。uu2 2.COM.COM文件的清毒方法文件的清毒方法uu（以（以TT.COMTT.COM为例，要求为例，要求DebugDebug程序不带毒）程序不带毒）uuDebug.TT COMDebug.TT COM（CRCR）uu一一R RCRCR文件长度文件长度CXCXuuAXAX0000 BX0000 BX0000 CX=0C7C DX0000 CX=0C7C DX000O000OuuDS=3lD2 ES=31D2D SS=31D2D CS=31D2DDS=3lD2 ES=31D2D SS=31D2D CS=31D2DuuCSCS：0100 JMP 017C-0100 JMP 017C-该值为变量，随被消毒程序的不同而不同该值为变量，随被消毒程序的不同而不同uuH 017C 3H 017C 3计算机执行程序的起始地址，其中计算机执行程序的起始地址，其中3H3H为常量为常量017F 0179017F 0179uuH 017C 224H 017C 224计算机执行程序的终止地址，其中计算机执行程序的终止地址，其中224H224H为常量为常量03A0 FF5803A0 FF58uuGG017F017F，03A003A0开始执行程序开始执行程序uuFF017C017C，03A003A0清除内存中的计算机病毒代码清除内存中的计算机病毒代码uuH 017C 100H 017C 100计算机清毒的文件长度，其中计算机清毒的文件长度，其中100100常量常量027C 007C027C 007CuuRCX 7C RCX 7C 将文件长度改为清毒后的长度将文件长度改为清毒后的长度uuW W 文件存盘文件存盘uuQQCRCR退出，此时的退出，此时的TT.COMTT.COM文件已经清毒。文件已经清毒。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.5 脚本病毒uu主要采用脚本语言设计的病毒称为脚本病毒。实主要采用脚本语言设计的病毒称为脚本病毒。实际上在早期的系统中，计算机病毒就已经开始利际上在早期的系统中，计算机病毒就已经开始利用脚本进行传播和破坏，不过专门的脚本型计算用脚本进行传播和破坏，不过专门的脚本型计算机病毒并不常见。但是在脚本应用无所不在的今机病毒并不常见。但是在脚本应用无所不在的今天，脚本病毒却成为危害最大、最为广泛的病毒，天，脚本病毒却成为危害最大、最为广泛的病毒，特别是当它们和一些传统的进行恶性破坏的病毒特别是当它们和一些传统的进行恶性破坏的病毒（如（如“CIH”“CIH”病毒）相结合时，其危害就更为严重病毒）相结合时，其危害就更为严重了。了。uu结合脚本技术的病毒让人防不胜防，由于脚本语结合脚本技术的病毒让人防不胜防，由于脚本语言的易用性，并且脚本在现在的应用系统中，特言的易用性，并且脚本在现在的应用系统中，特别是别是InternetInternet应用中占据了重要地位，脚本病毒应用中占据了重要地位，脚本病毒也成为也成为InternetInternet病毒中最为流行的网络病毒。病毒中最为流行的网络病毒。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除原理uu脚本计算机病毒同样具有计算机病毒通常都具有的所有特征，如自我复制性、传播性、潜伏性、破坏性等。脚本计算机病毒的产生得益于操作系统和应用系统对脚本技术的无节制的滥用。uu在任何一个操作系统和应用系统中都存在一定的安全机制，但为了实现对系统的控制和易用性，这些安全机制对脚本程序的行为都缺乏控制。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除脚本语言uu脚本语言的前身实际上就是脚本语言的前身实际上就是DOSDOS系统下的批处理文件，只是批处理文件和现系统下的批处理文件，只是批处理文件和现在的脚本语言相比简单了一些。脚本的应用是对应用系统的一个强大的支撑，在的脚本语言相比简单了一些。脚本的应用是对应用系统的一个强大的支撑，需要一个运行环境。现在比较流行的脚本语言有：需要一个运行环境。现在比较流行的脚本语言有：UNIX/linux ShellUNIX/linux Shell，PertPert，VBScriptVBScript，JavascriptJavascript，JSPJSP，PHPPHP等。等。uu（1 1）JavaScriptJavaScriptuuJavaScriptJavaScript是一种解释型的、基于对象的脚本语言，是是一种解释型的、基于对象的脚本语言，是MicrosoftMicrosoft公司对公司对ECMA 262ECMA 262语言规范的一种实现。语言规范的一种实现。JavaScriptJavaScript完全实现了该语言规范，并且完全实现了该语言规范，并且提供了一些利用提供了一些利用Microsoft Internet ExplorerMicrosoft Internet Explorer功能的增强特性。，功能的增强特性。，JavaScriptJavaScript脚本只能在某个解释器上运行，该解释器可以是脚本只能在某个解释器上运行，该解释器可以是WebWeb服务器，也服务器，也可以是可以是WebWeb测览器。测览器。uu（2 2）VBScriptVBScriptuuVBScriptVBScript是是Visual BasicVisual Basic或或Visua Basic for ApplicationVisua Basic for Application（VBAVBA）的一个子）的一个子集，其程序设计与集，其程序设计与Visual BasicVisual Basic或或VBAVBA基本相同。基本相同。uuVBScriptVBScript和和 JavaScript JavaScript主要应用在微软的平台上，运行环境为主要应用在微软的平台上，运行环境为 Microsoft Microsoft Windows Script HostWindows Script Host（WSHWSH）。）。 uuMicrosoft Windows Script HostMicrosoft Windows Script Host（WSHWSH）是一个功能强大的脚本应用环境，）是一个功能强大的脚本应用环境，此外，微软还提供了一个脚本调试器此外，微软还提供了一个脚本调试器Microsoft DebuggerMicrosoft Debugger，该文件位于，该文件位于.program FilesMicrosoft Script Debuggermsscrdbg.exe.program FilesMicrosoft Script Debuggermsscrdbg.exe处。处。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除脚本病毒的分类uu对于脚本计算机病毒的分类，当前还没有一个统一标准，对于脚本计算机病毒的分类，当前还没有一个统一标准，本文根据脚本计算机病毒的程序是否完全采用脚本语言把本文根据脚本计算机病毒的程序是否完全采用脚本语言把脚本计算机病毒分为：纯脚本型和混合型。脚本计算机病毒分为：纯脚本型和混合型。uu（1 1）纯脚本型）纯脚本型uu纯脚本型计算机病毒的程序完全采用脚本语言设计，没有纯脚本型计算机病毒的程序完全采用脚本语言设计，没有编译后的可执行文件，但这不影响它的功能。编译后的可执行文件，但这不影响它的功能。uu（2 2）混合型）混合型uu所谓混合型脚本计算机病毒，是指脚本计算机病毒与传统所谓混合型脚本计算机病毒，是指脚本计算机病毒与传统计算机病毒技术相结合的产物，它一般掺杂于计算机病毒技术相结合的产物，它一般掺杂于HTMHTM，HTMLHTML，JspJsp等网页文件中。等网页文件中。uu邮件计算机病毒即通过邮件方式传播的计算机病毒，它利邮件计算机病毒即通过邮件方式传播的计算机病毒，它利用了邮件系统的强大功能，在互联网上迅速传播。用了邮件系统的强大功能，在互联网上迅速传播。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除VBS脚本计算机病毒的特点及发展现状uuVBSVBS计算机病毒是用计算机病毒是用VB ScriptVB Script编写而成，该脚本语言功能非常强大，编写而成，该脚本语言功能非常强大，它们利用它们利用WindowsWindows系统的开放性特点，通过调用一些现成的系统的开放性特点，通过调用一些现成的WindowsWindows对象、组件，可以直接对文件系统、注册表等进行控制。对象、组件，可以直接对文件系统、注册表等进行控制。VBSVBS脚本计算机病毒具有如下几个特点。脚本计算机病毒具有如下几个特点。uu（1 1）编写简单）编写简单uu（2 2）破坏力大）破坏力大uu（3 3）感染力强）感染力强uu（4 4）传播范围大）传播范围大uu（5 5）计算机病毒源码容易被获取，变种多）计算机病毒源码容易被获取，变种多uu（6 6）欺骗性强）欺骗性强uu（7 7）使得计算机病毒生产机实现起来非常容易）使得计算机病毒生产机实现起来非常容易uu正因为以上几个特点，脚本计算机病毒发展异常迅猛，特别是计算机正因为以上几个特点，脚本计算机病毒发展异常迅猛，特别是计算机病毒生产机的出现，使得生成新型脚本计算机病毒变得非常容易。病毒生产机的出现，使得生成新型脚本计算机病毒变得非常容易。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除VBS脚本病毒原理分析uu（1 1）VBSVBS脚本病毒如何感染、搜索文件脚本病毒如何感染、搜索文件 uuVBSVBS脚本计算机病毒一般是直接通过自我复制来感染文件脚本计算机病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。序的中间。uu（2 2）VBSVBS脚本计算机病毒通过网络传播的几种方式及代脚本计算机病毒通过网络传播的几种方式及代码分析码分析 uuVBSVBS脚本计算机病毒之所以传播范围广，主要依赖于它的脚本计算机病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，网络传播功能，一般来说，VBSVBS脚本计算机病毒采用如下脚本计算机病毒采用如下几种方式进行传播。几种方式进行传播。uu 通过通过E-mailE-mail附件传播附件传播 uu 通过局域网共享传播通过局域网共享传播uu 通过感染通过感染HTMHTM，AspAsp，JspJsp，PhpPhp等网页文件传播等网页文件传播 uu另外计算机病毒也可以通过现在广泛流行的另外计算机病毒也可以通过现在广泛流行的KaZaAKaZaA进行传进行传播。计算机病毒将计算机病毒文件复制到播。计算机病毒将计算机病毒文件复制到KaZaAKaZaA的默认共的默认共享目录中，这样，当其他用户访问这台机器时，就有可能享目录中，这样，当其他用户访问这台机器时，就有可能下载该计算机病毒文件并执行。下载该计算机病毒文件并执行。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除VBS脚本计算机病毒如何获得控制权uuVBSVBS脚本计算机病毒如何获得控制权脚本计算机病毒如何获得控制权 uu下面列出几种典型的方法。下面列出几种典型的方法。uu（1 1）修改注册表项）修改注册表项uuWindowsWindows在启动的时候，会自动加载在启动的时候，会自动加载HKEY_LOCAL_MACHINESOFTWAREMicrosoft HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunWindowsCurrentVersionRun项下的各键值所执向的程序。脚本计算机项下的各键值所执向的程序。脚本计算机病毒可以在此项下加入一个键值指向计算机病毒程序，这样就可以保证每次病毒可以在此项下加入一个键值指向计算机病毒程序，这样就可以保证每次机器启动的时候拿到控制权。机器启动的时候拿到控制权。uu（2 2）通过映射文件执行方式）通过映射文件执行方式 uu例如，例如，“ “新欢乐时光新欢乐时光” ”病毒将病毒将dlldll的执行方式修改为的执行方式修改为wscript.exewscript.exe，甚至可以，甚至可以将将.exe.exe文件的映射指向计算机病毒代码。文件的映射指向计算机病毒代码。uu（3 3）欺骗用户，让用户自己执行）欺骗用户，让用户自己执行 uu对于用户自己磁盘中的文件，计算机病毒在感染它们的时候，将原有文件的对于用户自己磁盘中的文件，计算机病毒在感染它们的时候，将原有文件的文件名作为前缀，文件名作为前缀，VBSVBS作为后缀产生一个计算机病毒文件，并删除原来文件，作为后缀产生一个计算机病毒文件，并删除原来文件，这样，用户就有可能将这个这样，用户就有可能将这个VBSVBS文件看做自己原来的文件运行。文件看做自己原来的文件运行。uu（4 4）desktop.inidesktop.ini和和folder.httfolder.htt互相配合互相配合uu这两个文件可以用来配置活动桌面，也可以用来自定义文件夹。这两个文件可以用来配置活动桌面，也可以用来自定义文件夹。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除检测uu对于没有加密的脚本计算机病毒，我们可以直接从计算机病毒样本中找出来。对于没有加密的脚本计算机病毒，我们可以直接从计算机病毒样本中找出来。uu用用EditEdit打开打开folder.httfolder.htt，就会发现这个文件总共才，就会发现这个文件总共才9393行，第行，第8787行到行到9191行，是如下语句：行，是如下语句：uu8787： uu8888：ExeString = Afi ExeString = Afi FkSeboaFkSeboa）EqiiQbtqEqiiQbtq）SpQbtqSpQbtq）AadobaPfdjAadobaPfdj）mlibLgbpmlibLgbp）CPK.CPK.；uu8989：ExecuteExecute（Dim KeyArrDim KeyArr（3 3），），ThisText&vbCrLf&KeyArrThisText&vbCrLf&KeyArr（0 0） = = 3&vbCrLf&KeyArr3&vbCrLf&KeyArr（1 1） = 3&vbCrLf&KeyArr = 3&vbCrLf&KeyArr（2 2） = = 3&vbCrLf&KeyArr3&vbCrLf&KeyArr（3 3） = 4&vbCrLf&For i=1 To = 4&vbCrLf&For i=1 To LenLen（ExeStringExeString）&vbCrLf& TempNum = Asc&vbCrLf& TempNum = Asc（MidMid（ExeStringExeString，i i，1 1）&vbCrLf&If TempNum = 18 Then&vbCrLf&TempNum = &vbCrLf&If TempNum = 18 Then&vbCrLf&TempNum = 34&vbCrLf&End If&vbCrLf&TempChar = Chr34&vbCrLf&End If&vbCrLf&TempChar = Chr（TempNum + KeyArrTempNum + KeyArr（i i Mod 4Mod 4）&vbCrLf&If TempChar = Chr&vbCrLf&If TempChar = Chr（2828） Then&vbCrLf&TempChar = Then&vbCrLf&TempChar = vbCr&vbCrLf&ElseIf TempChar = ChrvbCr&vbCrLf&ElseIf TempChar = Chr（2929） Then&vbCrLf& TempChar = Then&vbCrLf& TempChar = vbLf&vbCrLf&End If&vbCrLf&ThisText = ThisText & vbLf&vbCrLf&End If&vbCrLf&ThisText = ThisText & TempChar&vbCrLf&NextTempChar&vbCrLf&Next） uu9090：ExecuteExecute（ThisTextThisText） uu9191：/script/scriptuu第第8888行是一个字符串的赋值，很明显这是被加密过的计算机病毒代码。第行是一个字符串的赋值，很明显这是被加密过的计算机病毒代码。第8989行最后的行最后的一段代码一段代码ThisText = ThisText & TempCharThisText = ThisText & TempChar，再加上下面那一行，我们可以猜到，再加上下面那一行，我们可以猜到ThisTextThisText里面放的是计算机病毒解密代码。第里面放的是计算机病毒解密代码。第9090行是执行刚才行是执行刚才ThisTextThisText中的那段代码中的那段代码（经过解密处理后的代码）。（经过解密处理后的代码）。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uuVBSVBS脚本计算机病毒由于其编写语言为脚本，脚本计算机病毒由于其编写语言为脚本，VBSVBS脚本计脚本计算机病毒具有如下弱点。算机病毒具有如下弱点。uu（1 1）绝大部分）绝大部分VBSVBS脚本计算机病毒运行的时候需要用到脚本计算机病毒运行的时候需要用到一个对象：。一个对象：。uu（2 2）VBScriptVBScript代码是通过代码是通过Windows Script HostWindows Script Host来解释来解释执行的。执行的。uu（3 3）VBSVBS脚本计算机病毒的运行需要其关联程序脚本计算机病毒的运行需要其关联程序Wscript.exeWscript.exe的支持。的支持。uu（4 4）通过网页传播的计算机病毒需要）通过网页传播的计算机病毒需要ActiveXActiveX的支持。的支持。uu（5 5）通过）通过E-mailE-mail传播的计算机病毒需要传播的计算机病毒需要OEOE的自动发送邮的自动发送邮件功能支持，但是绝大部分计算机病毒都是以件功能支持，但是绝大部分计算机病毒都是以E-mailE-mail为主为主要传播方式的要传播方式的 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uu1 1禁用文件系统对象禁用文件系统对象uu2 2卸载卸载Windows Scripting HostWindows Scripting Hostuu3 3删除删除VBSVBS，VBEVBE，JSJS，JSEJSE文件后缀名与应用程序的文件后缀名与应用程序的映射映射uu4 4在在WindowsWindows目录中，找到目录中，找到WScript.exeWScript.exe，更改名称或，更改名称或者删除者删除uu5 5要彻底防治要彻底防治VBSVBS网络蠕虫病毒，还需设置一下浏览器网络蠕虫病毒，还需设置一下浏览器uu6 6禁止禁止OEOE的自动收发电子邮件功能的自动收发电子邮件功能uu7 7显示所有文件类型的扩展名称显示所有文件类型的扩展名称uu8 8将系统的网络连接的安全级别设置至少为将系统的网络连接的安全级别设置至少为“ “中等中等” ”计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.6 宏病毒uu所谓宏，就是一些命令组织在一起，作为一个单所谓宏，就是一些命令组织在一起，作为一个单独的命令完成一项特定任务，它通过将重复的操独的命令完成一项特定任务，它通过将重复的操作记录为一个宏来减少用户的工作量。生成和处作记录为一个宏来减少用户的工作量。生成和处理的理的OfficeOffice文件便成为宏病毒的主要载体，也是文件便成为宏病毒的主要载体，也是宏病毒的主要攻击对象。宏病毒的主要攻击对象。uu宏病毒的产生得益于微软脚本语言的强大、易用宏病毒的产生得益于微软脚本语言的强大、易用和不安全，宏病毒和传统计算机病毒结合产生了和不安全，宏病毒和传统计算机病毒结合产生了更具破坏力的邮件计算机病毒和新型的木马病毒、更具破坏力的邮件计算机病毒和新型的木马病毒、蠕虫病毒。蠕虫病毒。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除原理uuWordWord宏病毒至少会包含一个以上的自动宏（如宏病毒至少会包含一个以上的自动宏（如 AutoOpen AutoOpen，AutoCloseAutoClose，AutoExeCAutoExeC，AutoExitAutoExit和和 AutoNew AutoNew等），或者是包含一个以上的标准宏，等），或者是包含一个以上的标准宏，如如 ，等。，等。uu如果某个如果某个DOCDOC文件感染了这类文件感染了这类WordWord宏病毒，则当宏病毒，则当WordWord运行这类宏时，实际运行这类宏时，实际上就是运行了计算机病毒代码。由自动宏和标准宏构成的宏病毒，其内部都上就是运行了计算机病毒代码。由自动宏和标准宏构成的宏病毒，其内部都具有把带计算机病毒的宏移植（复制）到通用宏的代码段，也就是说宏病毒具有把带计算机病毒的宏移植（复制）到通用宏的代码段，也就是说宏病毒通过这种方式实现对其他文件的传染。当退出通过这种方式实现对其他文件的传染。当退出WordWord系统时，它会自动地把所系统时，它会自动地把所有通用宏（当然也包括传染进来的计算机病毒宏）保存到模板文件（即有通用宏（当然也包括传染进来的计算机病毒宏）保存到模板文件（即*.dot*.dot文件，通常为文件，通常为NORMAL.dotNORMAL.dot）中，当）中，当WordWord系统再次启动时，它又会自动地系统再次启动时，它又会自动地把所有通用宏（包括计算机病毒宏）从模板中装入。把所有通用宏（包括计算机病毒宏）从模板中装入。uu一旦一旦WordWord系统遭受感染，以后每当系统进行初始化时，系统都会随标准模板系统遭受感染，以后每当系统进行初始化时，系统都会随标准模板文件（文件（NORMAL.dotNORMAL.dot）的装入而成为带毒的）的装入而成为带毒的WordWord系统，进而在打开和创建系统，进而在打开和创建任何文档时感染该文档。计算机病毒宏侵入任何文档时感染该文档。计算机病毒宏侵入WordWord系统以后，会替代原有的正系统以后，会替代原有的正常宏。常宏。uu宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有计算宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有计算机病毒宏（包括自动宏）复制到该文档中。机病毒宏（包括自动宏）复制到该文档中。uu宏病毒主要寄生于宏病毒主要寄生于AutoOpenAutoOpen，AutoCloseAutoClose和和AutoNewAutoNew这这3 3个宏中，其引导、个宏中，其引导、传染、表现或破坏均通过宏指令来完成。传染、表现或破坏均通过宏指令来完成。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除宏病毒的主要特点uu1 1传播极快传播极快 - Word - Word宏病毒通过宏病毒通过.doc.doc文档及文档及.dot.dot模板进模板进行自我复制及传播，而计算机文档是交流最广的文件类型。行自我复制及传播，而计算机文档是交流最广的文件类型。uu2 2制作、变种方便制作、变种方便 - - 宏病毒则是以人们容易阅读的源宏病毒则是以人们容易阅读的源代码宏语言代码宏语言 Word Basic Word Basic形式出现，所以编写和修改宏病形式出现，所以编写和修改宏病毒更加容易。毒更加容易。uu3 3破坏性极大破坏性极大 - - 鉴于宏病毒用鉴于宏病毒用Word BasicWord Basic语言编写，语言编写，并且并且Word BasicWord Basic语言提供了许多系统级底层调用，如直语言提供了许多系统级底层调用，如直接使用接使用DOSDOS系统命令、调用系统命令、调用Windows APIWindows API、调用、调用DDEDDE或或DLLDLL等，这些操作均可能对系统直接构成威胁，而等，这些操作均可能对系统直接构成威胁，而WordWord在指令安全性和完整性的监控上能力很弱，破坏系统的指在指令安全性和完整性的监控上能力很弱，破坏系统的指令很容易被执行。令很容易被执行。uu4 4多平台交叉感染多平台交叉感染 - - 宏病毒冲破了以往计算机病毒在宏病毒冲破了以往计算机病毒在单一平台上传播的局限，当单一平台上传播的局限，当WordWord，ExcelExcel这类著名应用软这类著名应用软件在不同平台（如件在不同平台（如WindowsWindows，OS/2OS/2和和MACINTOSHMACINTOSH等）等）上运行时，会被宏病毒交叉感染。上运行时，会被宏病毒交叉感染。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除预防uu对宏病毒的预防是完全可以做到的。只要在使用对宏病毒的预防是完全可以做到的。只要在使用WordWord之前进行一些之前进行一些正确的设置，就基本上能够防止宏病毒的侵害。任何设置都必须在确正确的设置，就基本上能够防止宏病毒的侵害。任何设置都必须在确保软件未被宏病毒感染的情况下进行。保软件未被宏病毒感染的情况下进行。uu（1 1）当怀疑系统带有宏病毒时，应首先查看是否存在）当怀疑系统带有宏病毒时，应首先查看是否存在“ “可疑可疑” ”的宏。的宏。uu（2 2）如果用户自己编制有）如果用户自己编制有AutoxxxxAutoxxxx这类宏，建议将编制完成的结果这类宏，建议将编制完成的结果记录下来，即将其中的代码内容打印或抄录下来，放在手边备查。记录下来，即将其中的代码内容打印或抄录下来，放在手边备查。uu（3 3）如果用户没有编制过任何以）如果用户没有编制过任何以AutoAuto开头的开头的WordWord宏，而此时系统宏，而此时系统运行不正常尚不能完全排除是由于其他的硬件故障或系统软件的配置运行不正常尚不能完全排除是由于其他的硬件故障或系统软件的配置问题所引起，那么，在打开问题所引起，那么，在打开“ “工具工具” ”菜单的菜单的“ “宏宏” ”选项后，如果看到选项后，如果看到有这类宏，最好执行删除自动宏的操作。有这类宏，最好执行删除自动宏的操作。uu（4 4）如果要使用外来的）如果要使用外来的WordWord文档且不能判断是否带宏病毒，有两种文档且不能判断是否带宏病毒，有两种做法是有效的：如果必须保留原来的文档编排格式，那么用做法是有效的：如果必须保留原来的文档编排格式，那么用WordWord打打开文档后，就需要用上述的几种方法进行检查，只有在确信没有宏病开文档后，就需要用上述的几种方法进行检查，只有在确信没有宏病毒后，才能执行保存该文档的操作；另一个方法是，如果没有保留原毒后，才能执行保存该文档的操作；另一个方法是，如果没有保留原来文档排版格式的需要，可先用来文档排版格式的需要，可先用WindowsWindows提供的写字板来打开外来提供的写字板来打开外来的的WordWord文档，先将其转换成写字板格式的文件并保存后，再用文档，先将其转换成写字板格式的文件并保存后，再用WordWord调用。因为写字板是不调用也不记录和保存任何调用。因为写字板是不调用也不记录和保存任何WordWord宏的。宏的。uu（5 5）在调用外来的）在调用外来的WordWord文档时，除了用写字板对文档时，除了用写字板对WordWord宏进行宏进行“ “过过滤滤” ”外，还有一个简单的方法，就是在调用外，还有一个简单的方法，就是在调用WordWord文档时先禁止所有文档时先禁止所有的以的以AutoAuto开头的宏的执行。开头的宏的执行。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除检测uu在自己使用的在自己使用的WordWord中从中从“ “工具工具” ”栏处打开宏菜单，单中栏处打开宏菜单，单中NormalNormal模板，模板，若发现有若发现有AutoOpenAutoOpen、AutoNewAutoNew，AutoCloseAutoClose等自动宏以及，等等自动宏以及，等文件操作宏或一些怪名字的宏，如文件操作宏或一些怪名字的宏，如AAAZAOAAAZAO，PayLoadPayLoad等，而自己等，而自己又没有加载特殊模板，就极有可能是感染了又没有加载特殊模板，就极有可能是感染了WordWord宏病毒。宏病毒。uu打开一个文档不进行任何操作，退出打开一个文档不进行任何操作，退出WordWord，如提示存盘，这极可能，如提示存盘，这极可能是是WordWord中的中的Normal.dotNormal.dot模板中带宏病毒。模板中带宏病毒。uu打开以打开以.doc.doc为后缀的文件在另存菜单中只能以模板方式存盘，而此时为后缀的文件在另存菜单中只能以模板方式存盘，而此时通用模板中含有宏，也有可能是通用模板中含有宏，也有可能是WordWord有宏病毒。有宏病毒。uu在使用的在使用的Word“Word“工具工具” ”菜单中看不到菜单中看不到“ “宏宏” ”字，或虽看到字，或虽看到“ “宏宏” ”但光但光标移到标移到“ “宏宏” ”处点击却无反应，那么可以肯定有宏病毒。处点击却无反应，那么可以肯定有宏病毒。uu在运行在运行WordWord的过程中经常出现内存不足，打印不正常，也可能有宏的过程中经常出现内存不足，打印不正常，也可能有宏病毒。病毒。uu运行运行WordWord时，打开时，打开.doc.doc文档如果出现是否启动文档如果出现是否启动“ “宏宏” ”的提示，则该的提示，则该文档极可能带有宏病毒。文档极可能带有宏病毒。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uu保证保证WordWord（以（以Word 97Word 97为例）本身是没有感染宏病毒的，也就是为例）本身是没有感染宏病毒的，也就是WordWord安装目录安装目录StartupStartup目录下的文件和目录下的文件和Normal.dotNormal.dot文件没有被宏病文件没有被宏病毒感染。毒感染。uu打开打开WordWord，在，在“ “常规常规” ”选项卡中选择选项卡中选择“ “宏病毒防护宏病毒防护” ”，在，在“ “保存保存” ”中不选中不选“ “快速保存快速保存” ”，单击，单击“ “确定确定” ”按钮。打开文档，此时系统应该按钮。打开文档，此时系统应该提示是否启用提示是否启用“ “宏宏” ”，选择，选择“ “否否” ” 。再选择。再选择“ “工具工具” ”菜单菜单“ “宏宏” ”子子菜单的菜单的“ “宏宏” ”命令，将可疑的宏全部删除，然后保存文档。命令，将可疑的宏全部删除，然后保存文档。uu首先保证首先保证WordWord不受宏病毒的感染，只打开不受宏病毒的感染，只打开WordWord并新建一个空文档。并新建一个空文档。然后在然后在“ “工具工具” ”菜单中选择菜单中选择“ “选项选项” ”命令，在命令，在“ “常规常规” ”选项卡中选择选项卡中选择“ “宏病毒防护宏病毒防护” ”，在，在“ “保存保存” ”中选择中选择“ “提示保存提示保存NormalNormal模板模板” ”，单，单击击“ “确定确定” ”按钮。按钮。uu接着再启动一个接着再启动一个WordWord应用程序，然后用新启动的这个应用程序，然后用新启动的这个WordWord打开感染打开感染宏病毒的文档，应当也会出现是否启用宏的提示。选择宏病毒的文档，应当也会出现是否启用宏的提示。选择“ “否否” ”，然后，然后选择选择“ “编辑编辑” ”菜单中的菜单中的“ “全选全选” ”命令和命令和“ “复制复制” ”命令，切换到先前的命令，切换到先前的WordWord中，选择中，选择“ “编辑编辑” ”菜单中的菜单中的“ “粘贴粘贴” ”命令，可以发现原来的文命令，可以发现原来的文档被粘贴到先前档被粘贴到先前WordWord新建的文档里。新建的文档里。uu切换到打开带宏病毒文档的切换到打开带宏病毒文档的WordWord中，选择中，选择“ “文件文件” ”菜单中的菜单中的“ “退出退出” ”命令，退出命令，退出WordWord。如果提示是否保存。如果提示是否保存Normal.dotNormal.dot模板，应选择模板，应选择“ “否否” ”。由于宏病毒不会随剪贴板功能被复制，所以这种办法也能起到。由于宏病毒不会随剪贴板功能被复制，所以这种办法也能起到杀灭宏病毒的作用。杀灭宏病毒的作用。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.7 特洛伊木马病毒 uu“特洛伊木马”是指隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除木马的发展uu特洛伊木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力。特洛伊木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力。“ “特洛伊木特洛伊木马马” ”（TrojanTrojan）病毒不像传统的计算机病毒一样会感染其他文件，特洛伊木马程序通）病毒不像传统的计算机病毒一样会感染其他文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化磁盘、删除文件、窃取密码等。如格式化磁盘、删除文件、窃取密码等。uu第一代木马第一代木马 ：伪装型病毒：伪装型病毒uu这种计算机病毒通过伪装成一个合法性程序诱骗用户上当。这种计算机病毒通过伪装成一个合法性程序诱骗用户上当。uu世界上第一个计算机木马是出现在世界上第一个计算机木马是出现在19861986年的计算机年的计算机“PC-Write”“PC-Write”木马。它伪装成共享木马。它伪装成共享软件计算机软件计算机PC-WritePC-Write的的2.722.72版本（事实上，编写计算机版本（事实上，编写计算机PC-WritePC-Write的的QuicksoftQuicksoft公司从公司从未发行过未发行过2.722.72版本），一旦用户信以为真运行该木马程序，那么结果就是硬盘被格式版本），一旦用户信以为真运行该木马程序，那么结果就是硬盘被格式化。化。uu第二代木马第二代木马 ：AIDSAIDS型木马型木马uu继计算机继计算机“PC-Write”“PC-Write”之后，之后，19891989年出现了年出现了“AIDS“AIDS木马木马” ”。由于当时很少有人使用电。由于当时很少有人使用电子邮件，所以子邮件，所以AIDSAIDS的作者就利用现实生活中的邮件进行散播，给其他人寄去一封封含的作者就利用现实生活中的邮件进行散播，给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称就是因为软盘中包含有有木马程序软盘的邮件。之所以叫这个名称就是因为软盘中包含有AIDSAIDS和和HIVHIV疾病的疾病的药品、价格、预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，药品、价格、预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是它将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了但是它将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管是通过传统的邮递方式）。传播特征（尽管是通过传统的邮递方式）。uu第三代木马：网络传播性木马第三代木马：网络传播性木马uu随着随着InternetInternet的普及，这一代木马兼备伪装和传播两种特征并结合的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IPTCP/IP网络技术四网络技术四处泛滥。同时它还有如下新的特征。处泛滥。同时它还有如下新的特征。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除木马的发展uu第一，添加了第一，添加了“ “后门后门” ”功能。功能。uu所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。序就能够使攻击者绕过安全程序进入系统。uu第二，添加了击键记录功能。第二，添加了击键记录功能。uu该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。uu一旦木马被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就一旦木马被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息。一般的木马程序都包括客户端和服务端两个程序，其中客是收集系统中的重要信息。一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通户端是用于攻击远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击用户的系统，他所做的第一步是要把木马的服务器端程序植入到用户的计过木马攻击用户的系统，他所做的第一步是要把木马的服务器端程序植入到用户的计算机里面。算机里面。uu目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的计算目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的计算机系统里，利用的途径有：邮件附件、下载软件等。木马也可以通过机系统里，利用的途径有：邮件附件、下载软件等。木马也可以通过ScriptScript，ActiveXActiveX及及Asp.CGIAsp.CGI交互脚本的方式植入，由于微软的浏览器在执行交互脚本的方式植入，由于微软的浏览器在执行SeniptSenipt脚本存在一些漏洞。脚本存在一些漏洞。uu当服务端程序在被感染的计算机上成功运行以后，攻击者就可以使用客户端与服务端当服务端程序在被感染的计算机上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的计算机。在客户端和服务端通信协议的选择上，绝建立连接，并进一步控制被感染的计算机。在客户端和服务端通信协议的选择上，绝大多数木马使用的是大多数木马使用的是TCP/IPTCP/IP，但是也有一些木马由于特殊的原因，使用，但是也有一些木马由于特殊的原因，使用UDPUDP进行通信。进行通信。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现，同时监听某个特定的端口，等待客户端与其取得连接；另外为面，以防被用户发现，同时监听某个特定的端口，等待客户端与其取得连接；另外为了下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或者其他的方了下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。法让自己成为自启动程序。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除木马的隐藏方式 uu（1）在任务栏里隐藏uu（2）在任务管理器里隐藏uu（3）端口uu（4）隐藏通信uu（5）隐藏隐加载方式uu（6）最新隐身技术计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除木马的种类 uu（1 1）破坏型）破坏型uu（2 2）密码发送型）密码发送型uu（3 3）远程访问型）远程访问型uu（4 4）键盘记录木马）键盘记录木马uu（5 5）DOSDOS攻击木马攻击木马uu（6 6）代理木马）代理木马uu（7 7）FTPFTP木马木马uu（8 8）程序杀手木马）程序杀手木马uu（9 9）反弹端口型木马）反弹端口型木马计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除木马病毒实例uu当登录某些网站后弹出多个窗口且无法关闭，系统运行速当登录某些网站后弹出多个窗口且无法关闭，系统运行速度缓慢，随后会出现度缓慢，随后会出现IEIE的起始页面被修改等类似感染计算的起始页面被修改等类似感染计算机病毒的现象。经确认证实，网站包含恶意代码和计算机机病毒的现象。经确认证实，网站包含恶意代码和计算机病毒病毒“Troj_QQmess”“Troj_QQmess”，该计算机病毒为已知木马病毒，该计算机病毒为已知木马病毒，可以通过可以通过OICQOICQ进行传播。这一计算机病毒感染系统为进行传播。这一计算机病毒感染系统为Windows 95/98/Me/NT/2000/XPWindows 95/98/Me/NT/2000/XP，计算机病毒运行后，计算机病毒运行后，会释放多个文件在会释放多个文件在WindirWindir和系统目录下，修改注册表键值，和系统目录下，修改注册表键值，更改用户的更改用户的IEIE起始页面，并通过起始页面，并通过OICQOICQ进行传播。表面上，进行传播。表面上，用户在登录网站时会有多个窗口弹出，并感到系统运行速用户在登录网站时会有多个窗口弹出，并感到系统运行速度减慢。这一计算机病毒的特征如下。度减慢。这一计算机病毒的特征如下。uu（1 1）生成计算机病毒文件）生成计算机病毒文件uu（2 2）修改注册表项）修改注册表项uu（3 3）更改）更改IEIE起始页面起始页面uu（4 4）通过）通过OICQOICQ进行传播进行传播计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除预防uu预防木马其实很简单，就是不要执行任何来历不明的软件预防木马其实很简单，就是不要执行任何来历不明的软件或程序，不管是邮件中还是从或程序，不管是邮件中还是从InternetInternet上下载到的。在下上下载到的。在下载软件时，一定要从正规的网站下载。载软件时，一定要从正规的网站下载。uu针对计算机中的个人敏感数据（口令、信用卡账号等），针对计算机中的个人敏感数据（口令、信用卡账号等），一定要妥善保护。趋势科技的网络安全个人版防毒软件就一定要妥善保护。趋势科技的网络安全个人版防毒软件就针对用户的敏感数据，特别增加了个人私密数据保护功能。针对用户的敏感数据，特别增加了个人私密数据保护功能。利用该功能可将个人重要信息列入保护状态，避免不当外利用该功能可将个人重要信息列入保护状态，避免不当外泄。泄。uu另外，用户采取一些个性化的措施来防治病毒也是很可取另外，用户采取一些个性化的措施来防治病毒也是很可取的。即，用户有预防或查杀计算机病毒，以及对感染计算的。即，用户有预防或查杀计算机病毒，以及对感染计算机病毒的计算机系统进行灾难恢复过程中，针对不同的计机病毒的计算机系统进行灾难恢复过程中，针对不同的计算机病毒需进行个性化的处理，这样往往能达到事半功倍算机病毒需进行个性化的处理，这样往往能达到事半功倍的效果。的效果。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除检测uu对于一些常见的木马，如对于一些常见的木马，如“SUB7”“SUB7”、“BO2000”“BO2000”、“ “冰河冰河” ”等，它们等，它们都是采用打开都是采用打开TCPTCP端口监听和写入注册表启动等方式，使用木马克星端口监听和写入注册表启动等方式，使用木马克星之类的软件就可以检测到这些木马，这些检测木马的软件大多都是利之类的软件就可以检测到这些木马，这些检测木马的软件大多都是利用检测用检测TCPTCP连接、注册表等信息来判断是否有木马入侵，因此我们也连接、注册表等信息来判断是否有木马入侵，因此我们也可以通过手工来侦测木马。可以通过手工来侦测木马。uu（1 1）当浏览一个网站，弹出来一些广告窗口是很正常的事情，可是）当浏览一个网站，弹出来一些广告窗口是很正常的事情，可是如果根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网如果根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么就有可能是感染了木马。站，那么就有可能是感染了木马。uu（2 2）正在操作计算机时，突然一个警告框或者是询问框弹出来，问）正在操作计算机时，突然一个警告框或者是询问框弹出来，问一些从来没有在计算机上接触过的问题。一些从来没有在计算机上接触过的问题。uu（3 3）WindowsWindows系统配置老是自动莫名其妙地被更改，例如屏保显示系统配置老是自动莫名其妙地被更改，例如屏保显示的文字、时间和日期、声音大小、鼠标灵敏度，还有的文字、时间和日期、声音大小、鼠标灵敏度，还有CD-ROMCD-ROM的自动的自动运行配置等。运行配置等。uu（4 4）硬盘老是没缘由地读盘、软驱灯经常自己亮起、网络连接及鼠）硬盘老是没缘由地读盘、软驱灯经常自己亮起、网络连接及鼠标屏幕出现异常现象等。标屏幕出现异常现象等。uu这时，最简单的方法就是使用这时，最简单的方法就是使用Netstat -aNetstat -a命令查看。命令查看。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除检测uu1 1检查注册表检查注册表uu注册表一直都是很多木马和计算机病毒注册表一直都是很多木马和计算机病毒“ “青睐青睐” ”的寄生场所，注意在检查注册表之前要先给注册表的寄生场所，注意在检查注册表之前要先给注册表备份。备份。uu（1 1）检查注册表中）检查注册表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Current HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Current VersionRunVersionRun和和HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersion HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersion RunserveiceRunserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为.EXE.EXE，然后记住木马，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除。接着到计算机程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除。接着到计算机中找到木马文件的藏身地将其彻底删除。例如中找到木马文件的藏身地将其彻底删除。例如“ “爱虫爱虫” ”计算机病毒会修改上面所提的第一项，计算机病毒会修改上面所提的第一项，“BO2000”“BO2000”木马会修改上面所提的第二项。木马会修改上面所提的第二项。uu（2 2）检查注册表）检查注册表HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE和和HKEY_CURRENT_USERSOFTWARE HKEY_CURRENT_USERSOFTWARE MicrosoftInternet ExplorerMainMicrosoftInternet ExplorerMain中的几项（如中的几项（如Local PageLocal Page），如果发现键值被修改了，只要），如果发现键值被修改了，只要根据判断改回去就行了。恶意代码（如根据判断改回去就行了。恶意代码（如“ “万花谷万花谷” ”等）就经常修改这几项。等）就经常修改这几项。uu（3 3）检查）检查HKEY_CLASSES_ROOTinifile shellopencommandHKEY_CLASSES_ROOTinifile shellopencommand和和HKEY_CLASSES_ HKEY_CLASSES_ ROOT txtopencommandROOT txtopencommand等几个常用文件类型的默认打开程序是否被更改。如果已更改则一等几个常用文件类型的默认打开程序是否被更改。如果已更改则一定要改回来，很多计算机病毒就是通过修改定要改回来，很多计算机病毒就是通过修改.txt.txt，.ini.ini等的默认打开程序而清除不了的。例如等的默认打开程序而清除不了的。例如“ “罗罗密欧与朱丽叶密欧与朱丽叶” ”计算机病毒就修改了很多文件（包括计算机病毒就修改了很多文件（包括.jpg.jpg，.rar.rar，.mp3.mp3等）的默认打开程序。等）的默认打开程序。uu2 2检查你的系统配置文件检查你的系统配置文件uu其实检查系统配置文件最好的方法是打开其实检查系统配置文件最好的方法是打开Windows“Windows“系统配置实用程序系统配置实用程序” ”（从开始菜单运行（从开始菜单运行msconfig.exemsconfig.exe），在里面可以配置），在里面可以配置Config.sysConfig.sys，Autoexec.batAutoexec.bat，System.iniSystem.ini和和Win.iniWin.ini，并且可，并且可以选择启动系统的时间。以选择启动系统的时间。uu（1 1）检查）检查win.iniwin.ini文件（在文件（在C C：WindowsWindows下），打开后，在下），打开后，在WindowsWindows下面，下面，“run=”“run=”和和“load=”“load=”是可能加载是可能加载“ “木马木马” ”程序的途径，必须仔细留心它们。一般情况下，在它们的等号后面程序的途径，必须仔细留心它们。一般情况下，在它们的等号后面什么都没有，如果发现后面跟有的路径与文件名不是熟悉的启动文件，则计算机就可能被种入什么都没有，如果发现后面跟有的路径与文件名不是熟悉的启动文件，则计算机就可能被种入“ “木木马马” ”。例如攻击。例如攻击QQQQ的的“GOP“GOP木马木马” ”就会在这里留下痕迹。就会在这里留下痕迹。 uu（2 2）检查）检查system.inisystem.ini文件（在文件（在C C：WindowsWindows下），在下），在BOOTBOOT下面有个下面有个“shell=“shell=文件名文件名” ”。正。正确的文件名应该是确的文件名应该是“explorer.exe”“explorer.exe”，如果不是，如果不是“explorer.exe”“explorer.exe”，而是，而是“shell= explorer.exe “shell= explorer.exe 程序名程序名” ”，那么后面跟着的那个程序就是，那么后面跟着的那个程序就是“ “木马木马” ”程序，需要在硬盘找到这个程序并将其删除。这程序，需要在硬盘找到这个程序并将其删除。这类的计算机病毒很多，例如类的计算机病毒很多，例如“ “尼姆达尼姆达” ”计算机病毒就会把该项修改为计算机病毒就会把该项修改为“shell=explorer.exe “shell=explorer.exe load.exe dontrunold”load.exe dontrunold”。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uu对木马造成的危害进行修复，不论是手工修复还对木马造成的危害进行修复，不论是手工修复还是用专用工具修复，都是危险操作，有可能不仅是用专用工具修复，都是危险操作，有可能不仅修不好，反而彻底破坏有用程序。因此，为了修修不好，反而彻底破坏有用程序。因此，为了修复木马危害，用户应采取以下措施。复木马危害，用户应采取以下措施。uu1 1备份重要数据备份重要数据uu2 2立即关闭设备电源立即关闭设备电源uu3 3备份木马入侵现场备份木马入侵现场uu4 4修复木马危害修复木马危害uu木马查杀与系统恢复的常用工具包括以下几种。木马查杀与系统恢复的常用工具包括以下几种。uu（1 1）使用系统自带工具检查）使用系统自带工具检查uu（2 2）使用内存监测工具检查）使用内存监测工具检查计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.8 蠕虫病毒uu蠕虫是一种通过网络传播的恶性计算机病毒，它具有计算蠕虫是一种通过网络传播的恶性计算机病毒，它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等，同时机病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务以及和黑客技术相结合等。内存中），对网络造成拒绝服务以及和黑客技术相结合等。uu蠕虫就是使用危害的代码来攻击网上的受害主机，并在受蠕虫就是使用危害的代码来攻击网上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。害主机上自我复制，再攻击其他的受害主机的计算机病毒。uu大多数时间，蠕虫程序都是黑客、网络安全研究人员和计大多数时间，蠕虫程序都是黑客、网络安全研究人员和计算机病毒作者编写的。蠕虫主要有算机病毒作者编写的。蠕虫主要有3 3种主要特性：第一感种主要特性：第一感染，通过利用脆弱感染一个目标；第二潜伏，感染当地目染，通过利用脆弱感染一个目标；第二潜伏，感染当地目标远程主机；第三传播，影响目标，再感染其他的主机。标远程主机；第三传播，影响目标，再感染其他的主机。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除基本原理uuInternetInternet蠕虫是无需计算机使用者干预即可运行的独立程蠕虫是无需计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。或全部控制权来进行传播。uu蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染和现蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染和现场处理场处理4 4个阶段。蠕虫程序扫描到有漏洞的计算机系统后，个阶段。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作的系统，对目标主机进行现场处理。现场处理部分的工作包括隐藏、信息搜集等。蠕虫的行为特征包括：包括隐藏、信息搜集等。蠕虫的行为特征包括：uu 自我繁殖；自我繁殖；uu 利用软件漏洞；利用软件漏洞；uu 造成网络拥塞；造成网络拥塞；uu 消耗系统资源；消耗系统资源；uu 留下安全隐患。留下安全隐患。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除蠕虫病毒的定义uu计算机病毒自出现之日起，就成为计算机应用的一个巨大威胁，而当计算机病毒自出现之日起，就成为计算机应用的一个巨大威胁，而当网络迅速发展的时候，蠕虫病毒引起的危害开始显现。从广义上定义，网络迅速发展的时候，蠕虫病毒引起的危害开始显现。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种计算机病毒。但是蠕虫病毒和一所以从这个意义上说，蠕虫也是一种计算机病毒。但是蠕虫病毒和一般的计算机病毒有着很大的区别。对于蠕虫，现在还没有一个成套的般的计算机病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。理论体系。uu根据使用者情况可将蠕虫病毒分为两类：一类是面向企业用户和局域根据使用者情况可将蠕虫病毒分为两类：一类是面向企业用户和局域网而言，这种计算机病毒利用系统漏洞，主动进行攻击，可以对整个网而言，这种计算机病毒利用系统漏洞，主动进行攻击，可以对整个InternetInternet造成瘫痪性的后果，以造成瘫痪性的后果，以“ “红色代码红色代码” ”、“ “尼姆达尼姆达” ”以及以及“Sql“Sql蠕虫王蠕虫王” ”为代表；另外一类是针对个人用户的，通过网络（主为代表；另外一类是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以“ “爱虫病毒爱虫病毒” ”，“ “求职信病毒求职信病毒” ”为代表。在这两类中，第一类具有很大的主动攻为代表。在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不是很难，第二类计算机病毒的传播方式比较复杂和多样，少数毒并不是很难，第二类计算机病毒的传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺利用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难根除的，根除的，计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除蠕虫病毒的特点uu蠕虫也是一种计算机病毒，因此具有计算机病毒的共同特征。一般的计算机蠕虫也是一种计算机病毒，因此具有计算机病毒的共同特征。一般的计算机病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为其他程序的体内，而被感染的文件就被称为“ “宿主宿主” ”，例如，例如，WindowsWindows操作操作系统下可执行文件的格式为系统下可执行文件的格式为PEPE格式（格式（Portable ExecutablePortable Executable），当需要感染），当需要感染PEPE文件时，在宿主程序中，建立一个新节，将计算机病毒代码写到新节中，文件时，在宿主程序中，建立一个新节，将计算机病毒代码写到新节中，修改程序的入口点等，这样，宿主程序执行的时候，就可以先执行计算机病修改程序的入口点等，这样，宿主程序执行的时候，就可以先执行计算机病毒程序，计算机病毒程序运行完之后，再把控制权交给宿主原来的程序指令。毒程序，计算机病毒程序运行完之后，再把控制权交给宿主原来的程序指令。可见，计算机病毒主要是感染文件，当然也还有其他如可见，计算机病毒主要是感染文件，当然也还有其他如“DIRII”“DIRII”这种链接型这种链接型计算机病毒，还有引导区计算机病毒。引导区计算机病毒是感染磁盘的引导计算机病毒，还有引导区计算机病毒。引导区计算机病毒是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他计算机上后，同样也会感染其他区，如果是软盘被感染，这张软盘用在其他计算机上后，同样也会感染其他计算机，所以传播方式也是用软盘等方式。计算机，所以传播方式也是用软盘等方式。uu蠕虫一般不采取利用蠕虫一般不采取利用PEPE格式插入文件的方法，而是复制自身在格式插入文件的方法，而是复制自身在InternetInternet环境环境下进行传播，计算机病毒的传染能力主要是针对计算机内的文件系统而言，下进行传播，计算机病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是而蠕虫病毒的传染目标是InternetInternet内的所有计算机，局域网条件下的共享文内的所有计算机，局域网条件下的共享文件夹、电子邮件（件夹、电子邮件（E-mailE-mail）、网络中的恶意网页、大量存在着漏洞的服务器）、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策。内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除普通病毒与蠕虫病毒的比较如表6-1所示。表6-1普通病毒与蠕虫病毒比较普通普通计计算机病算机病毒毒蠕蠕 虫虫 病病 毒毒存在形式存在形式寄存文件寄存文件独立程序独立程序传传染机制染机制宿主程序运行宿主程序运行主主动动攻攻击击传传染目染目标标本地文件本地文件网网络计络计算机算机计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除蠕虫的破坏和发展趋势uu每一次蠕虫的爆发都会给社会带来巨大的损失。每一次蠕虫的爆发都会给社会带来巨大的损失。19881988年一个由美国年一个由美国CORNELLCORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络；机停机，蠕虫病毒开始现身网络；20012001年年9 9月月1818日，日，“Nimda”“Nimda”蠕虫蠕虫被发现，至今对其造成的损失评估数据从被发现，至今对其造成的损失评估数据从5 5亿美元攀升到亿美元攀升到2626亿美元后亿美元后还在继续攀升，到现在已无法估计；还在继续攀升，到现在已无法估计；uu北京时间北京时间20032003年年1 1月月2626日，一种名为日，一种名为“2003“2003蠕虫王蠕虫王” ”的计算机病毒的计算机病毒迅速传播并袭击了全球，致使迅速传播并袭击了全球，致使InternetInternet网路严重堵塞，作为网路严重堵塞，作为InternetInternet主要基础的域名服务器（主要基础的域名服务器（DNSDNS）的瘫痪造成网民浏览）的瘫痪造成网民浏览InternetInternet网页及网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此计算机病毒造成的直接经济损失至少在估计，此计算机病毒造成的直接经济损失至少在1212亿美元以上。亿美元以上。uu 日前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫日前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如（如“ “冲击波冲击波” ”、“ “振荡波振荡波” ”等）出现。对蠕虫进行深入研究，并提等）出现。对蠕虫进行深入研究，并提出一种行之有效的解决方案，为企业和政府提供一个安全的网络环境出一种行之有效的解决方案，为企业和政府提供一个安全的网络环境成为我们急待解决的问题。表成为我们急待解决的问题。表6-26-2给出了近来年肆虐于给出了近来年肆虐于InternetInternet的的“ “著名著名” ”蠕虫代表。蠕虫代表。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除表6-2近年来“著名”蠕虫病毒列表计计算机病毒算机病毒名名 称称持持 续续 时时 间间造造 成成 损损 失失莫里斯蠕虫莫里斯蠕虫19881988年年60006000多台多台计计算机停机，直接算机停机，直接经济损经济损失达失达96009600万美元万美元美美丽杀丽杀手手19991999年年政府部政府部门门和一些大公司和一些大公司紧紧急关急关闭闭了网了网络络服服务务器，器，经济损经济损失超失超过过1212亿亿美元美元爱爱虫虫计计算机算机病毒病毒20002000年年5 5月至月至今今众多用众多用户计户计算机被感染，算机被感染，损损失超失超过过100100亿亿美元以上美元以上红红色代色代码码20012001年年7 7月月网网络瘫痪络瘫痪，直接，直接经济损经济损失超失超过过2626亿亿美元美元求求职职信信20012001年年1212月月至今至今大量大量计计算机病毒算机病毒邮邮件堵塞服件堵塞服务务器，器，损损失达失达数百数百亿亿美元美元SqlSql蠕虫王蠕虫王20032003年年1 1月月网网络络大面大面积瘫痪积瘫痪，银银行自行自动动提款机运做中提款机运做中断，直接断，直接经济损经济损失超失超过过2626亿亿美元美元计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除蠕虫发作的一些特点和发展趋势 uu蠕虫经常利用操作系统和应用程序的漏洞主动进蠕虫经常利用操作系统和应用程序的漏洞主动进行攻击，此类计算机病毒主要是行攻击，此类计算机病毒主要是“ “红色代码红色代码” ”和和“ “尼姆达尼姆达” ”以及至今依然肆虐的以及至今依然肆虐的“ “求职信求职信” ”等。等。uu蠕虫传播方式也多样化。例如蠕虫传播方式也多样化。例如“ “尼姆达病毒尼姆达病毒” ”和和“ “求职信求职信” ”病毒，可利用的传播途径包括文件、病毒，可利用的传播途径包括文件、电子邮件、电子邮件、WebWeb服务器、网络共享等。服务器、网络共享等。uu计算机病毒制作技术与传统的计算机病毒不同的计算机病毒制作技术与传统的计算机病毒不同的是，许多新计算机病毒是利用当前最新的编程语是，许多新计算机病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，言与编程技术实现的，易于修改以产生新的变种，从而逃避反计算机病毒软件的搜索。从而逃避反计算机病毒软件的搜索。uu蠕虫还显现出与黑客技术相结合的趋势。蠕虫还显现出与黑客技术相结合的趋势。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除预防uu1 1企业防范蠕虫病毒措施企业防范蠕虫病毒措施uu（1 1）加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，）加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新。所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新。uu（2 2）建立计算机病毒检测系统，以便能够在第一时间内检测到网络异常和计算机病毒攻击现象。）建立计算机病毒检测系统，以便能够在第一时间内检测到网络异常和计算机病毒攻击现象。uu（3 3）建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发）建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，以便现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，以便在计算机病毒爆发的第一时间即能提供解决方案。在计算机病毒爆发的第一时间即能提供解决方案。uu（4 4）建立灾难备份系统。对于数据库和数据系统，必须采用定期备份、多机备份措施，防止意外）建立灾难备份系统。对于数据库和数据系统，必须采用定期备份、多机备份措施，防止意外灾难下的数据丢失。灾难下的数据丢失。uu（5 5）对于局域网而言，可以采用以下一些主要手段：第一，在）对于局域网而言，可以采用以下一些主要手段：第一，在InternetInternet接入口处安装防火墙式防接入口处安装防火墙式防杀计算机病毒产品，将计算机病毒隔离在局域网之外；第二，对邮件服务器进行监控，防止带毒邮杀计算机病毒产品，将计算机病毒隔离在局域网之外；第二，对邮件服务器进行监控，防止带毒邮件进行传播；第三，对局域网用户进行安全培训；第四，建立局域网内部的升级系统，包括各种操件进行传播；第三，对局域网用户进行安全培训；第四，建立局域网内部的升级系统，包括各种操作系统的补丁升级、各种常用的应用软件升级、各种杀毒软件计算机病毒库的升级等。作系统的补丁升级、各种常用的应用软件升级、各种杀毒软件计算机病毒库的升级等。uu2 2个人用户对蠕虫病毒的防范措施个人用户对蠕虫病毒的防范措施uu网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞，所以防范此类计网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞，所以防范此类计算机病毒需要注意以下几点。算机病毒需要注意以下几点。uu（1 1）选购合适的杀毒软件）选购合适的杀毒软件uu（2 2）经常升级计算机病毒库，杀毒软件对计算机病毒的查杀是以计算机病毒的特征码为依据的，）经常升级计算机病毒库，杀毒软件对计算机病毒的查杀是以计算机病毒的特征码为依据的，而计算机病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随而计算机病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新计算机病毒库，以便能够查杀最新的计算机病毒。时更新计算机病毒库，以便能够查杀最新的计算机病毒。uu（3 3）提高防杀毒意识。）提高防杀毒意识。uu（4 4）不随意查看陌生邮件，尤其是带有附件的邮件。）不随意查看陌生邮件，尤其是带有附件的邮件。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除清除uu当蠕虫被发现时，要在尽量短的时间内对其进行响应。首先报警，通知管理员，并通当蠕虫被发现时，要在尽量短的时间内对其进行响应。首先报警，通知管理员，并通过防火墙、路由器或者过防火墙、路由器或者HIDSHIDS的互动将感染了蠕虫的主机隔离；然后对蠕虫进行分析，的互动将感染了蠕虫的主机隔离；然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。对感染了蠕虫的主机，其防治策略染，并对感染了蠕虫的主机进行蠕虫的删除工作。对感染了蠕虫的主机，其防治策略如下。如下。uu1 1与防火墙互动与防火墙互动uu通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染。机进行感染。uu2 2交换机联动交换机联动uu通过通过SNMPSNMP进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网其他主进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网其他主机的通信，防止感染主机在内网的大肆传播。机的通信，防止感染主机在内网的大肆传播。uu3 3通知通知HIDSHIDS（基于主机的入侵监测）（基于主机的入侵监测）uu装有装有HIDSHIDS的服务器接收到监测系统传来的信息，可以对可疑主机的访问进行阻断，这的服务器接收到监测系统传来的信息，可以对可疑主机的访问进行阻断，这样可以阻止受感染的主机访问服务器，使服务器上的重要资源免受损坏。样可以阻止受感染的主机访问服务器，使服务器上的重要资源免受损坏。uu4 4报警报警uu及时产生报警并通知网络管理员，对蠕虫进行分析后，可以通过配置及时产生报警并通知网络管理员，对蠕虫进行分析后，可以通过配置ScanerScaner来对网络来对网络进行漏洞扫描，通知存在漏洞的主机到进行漏洞扫描，通知存在漏洞的主机到PatchPatch服务器下载补丁进行漏洞修复，防范蠕虫服务器下载补丁进行漏洞修复，防范蠕虫进一步传播。进一步传播。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.9 黑客型病毒 uu计算机病毒加恶意程序的组合攻击方式，已成为计算机病毒发展的新计算机病毒加恶意程序的组合攻击方式，已成为计算机病毒发展的新趋势，这种称为黑客型的计算机病毒除破坏计算机内存储的信息外，趋势，这种称为黑客型的计算机病毒除破坏计算机内存储的信息外，还会在计算机中植入木马和后门程序，即使计算机病毒已被清除，但还会在计算机中植入木马和后门程序，即使计算机病毒已被清除，但这些程序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。曾这些程序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。曾横行一时、至今余毒未清的横行一时、至今余毒未清的NimdaNimda，CodeRedCodeRed都属于这种黑客型计都属于这种黑客型计算机病毒。算机病毒。uu黑客型计算机病毒不同于传统计算机病毒，其感染机制是利用操作系黑客型计算机病毒不同于传统计算机病毒，其感染机制是利用操作系统软件或常用应用软件中的设计缺陷而设计的。所以反计算机病毒软统软件或常用应用软件中的设计缺陷而设计的。所以反计算机病毒软件正常的警报系统是反映不出任何问题的，而黑客型计算机病毒感染件正常的警报系统是反映不出任何问题的，而黑客型计算机病毒感染系统后却可以反客为主，破坏驻留在内存中的反计算机病毒程序的进系统后却可以反客为主，破坏驻留在内存中的反计算机病毒程序的进程。程。uu黑客型计算机病毒列出一个进程清单，隔一段时间对系统进程进行一黑客型计算机病毒列出一个进程清单，隔一段时间对系统进程进行一次快照，删除进程清单中的反计算机病毒程序。例如次快照，删除进程清单中的反计算机病毒程序。例如“ “怪物怪物B”B”可以杀可以杀掉掉106106个进程，几乎覆盖了全世界所有优秀的杀毒软件，可见黑客型个进程，几乎覆盖了全世界所有优秀的杀毒软件，可见黑客型计算机病毒比传统计算机病毒更具危害性，由被动变为主动攻击反计计算机病毒比传统计算机病毒更具危害性，由被动变为主动攻击反计算机病毒程序对系统的控制权。黑客型计算机病毒多是网络蠕虫类型，算机病毒程序对系统的控制权。黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏洞感染计算机，感染速度快且完全清除十分困难。利用网络和系统漏洞感染计算机，感染速度快且完全清除十分困难。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除黑客与计算机病毒比较黑客（黑客（HackerHacker）计计算机病毒（算机病毒（ Virus Virus ）入侵入侵对对象象锁锁定特定目定特定目标标没有特定目没有特定目标标隐喻隐喻被限制出入境者（非企被限制出入境者（非企业业网管网管相关人相关人员员），以几可乱真的），以几可乱真的PassportPassport欺欺骗骗海关海关检查员检查员（如（如同企同企业业网网络络的的GatewayGateway），），进进入国境（企入国境（企业业网网络络）后，）后，锁锁定定迫害迫害对对象（象（计计算机主机），算机主机），进进行各种破坏行各种破坏动动作作某人持有合法某人持有合法护护照，但在出入境照，但在出入境时时，携携带带的行李被放置的行李被放置枪枪炮炮弹药弹药等等违违禁品禁品（计计算机病毒程序），海关（如同企算机病毒程序），海关（如同企业业网网络络的的GatewayGateway）并没有察）并没有察觉觉，于，于是在突破第一道关卡后，是在突破第一道关卡后，这这些些违违禁品禁品进进入国境（个人入国境（个人计计算机或企算机或企业业网网络络），随，随时产时产生破坏生破坏动动作作举举例例说说明明没有合法身份没有合法身份认证认证的的计计算机黑算机黑客通常都会先想客通常都会先想办办法取得一个法取得一个合法的通行密合法的通行密码码，或者利用系，或者利用系统统安全疏失，在网安全疏失，在网络络上通行无上通行无阻阻一个合法的使用者在有意无意一个合法的使用者在有意无意间间所所“ “引引进进” ”的病毒，其管道可能是直接从的病毒，其管道可能是直接从网网络络下下载载文件，或是开启文件，或是开启E-mailE-mail中含中含有有计计算机病毒的附加文件算机病毒的附加文件（AttachmentAttachment）所感染）所感染计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.10 后门病毒后门病毒 uu后门（后门（BackdoorBackdoor）是程序或系统内的一种功能，）是程序或系统内的一种功能，它允许没有账号的用户或普通受限用户使用高权它允许没有账号的用户或普通受限用户使用高权限甚至完全控制系统。限甚至完全控制系统。uu后门计算机病毒是集黑客、蠕虫、后门功能于一后门计算机病毒是集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播的体，通过局域网共享目录和系统漏洞进行传播的一种计算机病毒形态。由于操作系统和软件设计一种计算机病毒形态。由于操作系统和软件设计的固有缺陷，使得后门计算机病毒非常难以防范，的固有缺陷，使得后门计算机病毒非常难以防范，即便是亡羊补牢的工作，也难以挽回后门计算机即便是亡羊补牢的工作，也难以挽回后门计算机病毒造成的损失。病毒造成的损失。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除原理uu1 1反客为主的入侵者反客为主的入侵者uu众所周知，通常说的入侵都是入侵者主动发起攻击，这是一种类似捕猎的方式，在警众所周知，通常说的入侵都是入侵者主动发起攻击，这是一种类似捕猎的方式，在警惕性高的猎物面前，他们就会显得力不从心；可是对于使用惕性高的猎物面前，他们就会显得力不从心；可是对于使用“ “反弹技术反弹技术” ”的入侵者来的入侵者来说，他们却轻松许多。一般的入侵是入侵者操作控制程序去查找连接受害计算机，而说，他们却轻松许多。一般的入侵是入侵者操作控制程序去查找连接受害计算机，而反弹入侵却逆其道而行之，它打开入侵者计算机的一个端口，却让受害者自己与入侵反弹入侵却逆其道而行之，它打开入侵者计算机的一个端口，却让受害者自己与入侵者联系并让入侵者控制，由于大多数防火墙只处理外部数据，却无视内部数据，正中者联系并让入侵者控制，由于大多数防火墙只处理外部数据，却无视内部数据，正中入侵者下怀。入侵者下怀。uu2 2不安分的正常连接不安分的正常连接uu现在有很多用户都安装了个人现在有很多用户都安装了个人HTTPHTTP服务器，这就注定了计算机会开放服务器，这就注定了计算机会开放8080端口，这个看端口，这个看似正常的端口，却有很大隐患。隐藏通道（似正常的端口，却有很大隐患。隐藏通道（TunnelTunnel）是一种给无数网络管理员带来痛）是一种给无数网络管理员带来痛苦的新技术，它让一个正常的服务变成了入侵者的工具。苦的新技术，它让一个正常的服务变成了入侵者的工具。uu当一台计算机被种植当一台计算机被种植“Tunnel”“Tunnel”后，它的后，它的HTTPHTTP端口就被端口就被TunnelTunnel重新绑定了传输给重新绑定了传输给InternetInternet服务程序的数据，也在同时传输给背后的服务程序的数据，也在同时传输给背后的“Tunnel”“Tunnel”，入侵者假装浏览网页，入侵者假装浏览网页（认为），却发送了一个特殊的请求数据（符合（认为），却发送了一个特殊的请求数据（符合HTTPHTTP），），TunnelTunnel和和InternetInternet服务都服务都接收到这个信息，由于请求的页面通常不存在，接收到这个信息，由于请求的页面通常不存在，InternetInternet服务会返回一个服务会返回一个HTTP404HTTP404应应答，而答，而TunnelTunnel却忙开了却忙开了uu3 3无用的数据传输无用的数据传输uuICMPICMP，即，即Internet Control Message ProtocolInternet Control Message Protocol是最常见的网络报文，近年来被大量是最常见的网络报文，近年来被大量用于泛洪攻击，但是很少有人注意到，用于泛洪攻击，但是很少有人注意到，ICMPICMP也偷偷参与了这场木马的战争。也偷偷参与了这场木马的战争。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除 IRC后门计算机病毒 uu2004年年初，“IRC”后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险；另一方面计算机病毒出现在局域网中使网络阻塞，影响正常工作，从而造成损失。uu由于计算机病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的计算机病毒，再加上不同的壳，造成IRC后门计算机病毒变种大量涌现。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除IRC后门计算机病毒原理 uu计算机病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受计算机病毒计算机病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受计算机病毒影响。计算机病毒运行后将自己复制到系统目录下（影响。计算机病毒运行后将自己复制到系统目录下（Windows 2000/NT/XPWindows 2000/NT/XP操作系统为系统盘的操作系统为系统盘的System32System32，Windows 9XWindows 9X操作系统为系统盘的操作系统为系统盘的SystemSystem），文件属性隐藏，名称不定，这里假设），文件属性隐藏，名称不定，这里假设为为xxx.exexxx.exe，一般都没有图标。计算机病毒同时写注册表启动项，项名不定，假设为，一般都没有图标。计算机病毒同时写注册表启动项，项名不定，假设为yyyyyy。计算机。计算机病毒不同，写的启动项也不太一样，但肯定都包含这一项：病毒不同，写的启动项也不太一样，但肯定都包含这一项：uuHKEY_LOCAL_MACHINESoftwareHKEY_LOCAL_MACHINESoftwareMicrosoftMicrosoftWindowsCurrentVersionWindowsCurrentVersionuuRunyyy Runyyy ： xxx.exe xxx.exeuu其他可能写的项有：其他可能写的项有：uuHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionuuRun yyy Run yyy ： xxx.exe xxx.exeuuHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionuuRunServices yyy RunServices yyy ： xxx.exe xxx.exeuu也有少数会写下面两项：也有少数会写下面两项：uuHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionuuRunOnceyyy RunOnceyyy ： xxx.exe xxx.exeuuHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionuuRunOnceyyy RunOnceyyy ： xxx.exe xxx.exeuu此外，一些此外，一些IRCIRC计算机病毒在计算机病毒在Windows 2000/NT/XPWindows 2000/NT/XP操作系统下还会将自己注册为服务启动。计操作系统下还会将自己注册为服务启动。计算机病毒每隔一定时间会自动尝试连接特定的算机病毒每隔一定时间会自动尝试连接特定的IRCIRC服务器频道，为黑客控制做好准备。服务器频道，为黑客控制做好准备。uu计算机病毒会扫描当前和相邻网段内的机器并猜测登录密码。这个过程会占用大量网络带宽资源，计算机病毒会扫描当前和相邻网段内的机器并猜测登录密码。这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。uu出于保护被出于保护被IRCIRC计算机病毒控制的计算机的目的，一些计算机病毒控制的计算机的目的，一些IRCIRC计算机病毒会取消匿名登录功能和计算机病毒会取消匿名登录功能和DCOMDCOM功能。功能。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除手工清除方法 uu所有的所有的IRCIRC后门计算机病毒都会在注册表后门计算机病毒都会在注册表HKEY_LOCAL_MACHINESoftware HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunMicrosoftWindowsCurrentVersionRun下添加自己的启动项，并且项下添加自己的启动项，并且项值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我值只有文件名，不带路径，这给了我们提供了追查的线索。通过下面几步我们可以安全地清除们可以安全地清除IRCIRC计算机病毒。计算机病毒。uu打开注册表编辑器，定位到打开注册表编辑器，定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindows HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunCurrentVersionRun项，找出可疑文件的项目。打开任务管理器（按项，找出可疑文件的项目。打开任务管理器（按Alt+Ctrl+DelAlt+Ctrl+Del组合键或在任务栏单击鼠标右键，从弹出的快捷菜单中选择选组合键或在任务栏单击鼠标右键，从弹出的快捷菜单中选择选择择“ “任务管理器任务管理器” ”命令），找到并结束与注册表文件项相对应的进程。若进命令），找到并结束与注册表文件项相对应的进程。若进程不能结束，则可以切换到安全模式进行操作。进入安全模式的方法是：启程不能结束，则可以切换到安全模式进行操作。进入安全模式的方法是：启动计算机，在系统进入动计算机，在系统进入WindowsWindows启动画面前，按下启动画面前，按下F8F8键（或者在启动计算机键（或者在启动计算机时按住时按住CtrlCtrl键不放），在出现的启动选项菜单中，选择键不放），在出现的启动选项菜单中，选择“Safe Mode”“Safe Mode”或或“ “安安全模式全模式” ”。uu接着打开接着打开“ “我的计算机我的计算机” ”，选择，选择“ “工具工具” ”“ “文件夹选项文件夹选项” ”“ “显示所有文显示所有文件件” ”命令，然后单击命令，然后单击“ “确定确定” ”按钮。再进入系统文件夹，找出可疑文件并将按钮。再进入系统文件夹，找出可疑文件并将它转移或删除，到这一步计算机病毒就算清除了。最后可手工把注册表里计它转移或删除，到这一步计算机病毒就算清除了。最后可手工把注册表里计算机病毒的启动项清除，也可使用瑞星注册表修复工具清除。算机病毒的启动项清除，也可使用瑞星注册表修复工具清除。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.11 32位操作系统下的计算机病毒uu计算机病毒已经给现代计算机应用带来了很大的计算机病毒已经给现代计算机应用带来了很大的威胁。当我们通过网络、磁盘来分享更多信息的威胁。当我们通过网络、磁盘来分享更多信息的同时，计算机病毒的蔓延速度也在不断增大。同时，计算机病毒的蔓延速度也在不断增大。uuDOSDOS环境下产生的大量的计算机病毒，现在已经环境下产生的大量的计算机病毒，现在已经超过了超过了50005000种。种。uu当当Windows 95Windows 95操作系统引入的新技术给用户带操作系统引入的新技术给用户带来新的动力的时候，它也给计算机病毒更多的机来新的动力的时候，它也给计算机病毒更多的机会。会。uuWindows 95Windows 95操作系统没有内置防计算机病毒能操作系统没有内置防计算机病毒能力，这样公司和个人用第三方反计算机病毒解决力，这样公司和个人用第三方反计算机病毒解决方案来加固系统是十分重要的方案来加固系统是十分重要的 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除uu在在Windows 95Windows 95环境下的计算机病毒环境下的计算机病毒 - - 在早期版本的在早期版本的WindowsWindows操作系统中，操作系统中，DOSDOS管管理文件系统。而在理文件系统。而在Windows 95Windows 95操作系统中就不同了，操作系统中就不同了，Windows 95Windows 95操作系统通过使操作系统通过使用设备驱动和用设备驱动和3232位程序来管理传统文件系统。位程序来管理传统文件系统。WindowsWindows操作系统没有文件等级保护。操作系统没有文件等级保护。利用文件进行传播的计算机病毒仍然可以在利用文件进行传播的计算机病毒仍然可以在Windows 95Windows 95操作系统下进行繁殖。这与操作系统下进行繁殖。这与其他的其他的3232位操作系统一样，例如位操作系统一样，例如OS/2OS/2，Windows NTWindows NT，它们也允许对文件进行写操，它们也允许对文件进行写操作。作。uu新技术促进计算机病毒的传播新技术促进计算机病毒的传播 - - 一些使一些使Windows 95Windows 95操作系统有吸引力的新技术，实操作系统有吸引力的新技术，实际上帮助计算机病毒在整个网络中繁殖。际上帮助计算机病毒在整个网络中繁殖。 uu潜在新计算机病毒潜在新计算机病毒 - - 关于新计算机病毒的讨论，这些计算机病毒有可能因关于新计算机病毒的讨论，这些计算机病毒有可能因Windows Windows 9595操作系统的特性而产生。一个可能的计算机病毒类型是操作系统的特性而产生。一个可能的计算机病毒类型是“OLE2”“OLE2”（Object Linking Object Linking and Embeddedand Embedded）计算机病毒。这种类型的计算机病毒通过将自己假扮成公共服务的）计算机病毒。这种类型的计算机病毒通过将自己假扮成公共服务的一个一个 OLE2 OLE2服务器来容易地进行传播。之后，当一个服务器来容易地进行传播。之后，当一个OLE2OLE2客户申请一个客户申请一个OLE2OLE2服务器服务器来提供公共服务时，实际上计算机病毒取得了控制权。来提供公共服务时，实际上计算机病毒取得了控制权。 uu另外一种可能的计算机病毒是扩展另外一种可能的计算机病毒是扩展ShellShell计算机病毒。微软公司使这种计算机病毒。微软公司使这种ShellShell在在Windows 95Windows 95操作系统中完全扩展来允许自定义。操作系统中完全扩展来允许自定义。uu另外一种计算机病毒可能会变得十分流行，它是虚拟设备驱动计算机病毒另外一种计算机病毒可能会变得十分流行，它是虚拟设备驱动计算机病毒“VxD”“VxD”计算计算机病毒（机病毒（Virtual Device DriverVirtual Device Driver）。）。 uu另外一种可能产生计算机病毒的原因是另外一种可能产生计算机病毒的原因是WindowsWindows操作系统的易操作编程工具的流行。操作系统的易操作编程工具的流行。过去，计算机病毒的编制者需要了解大量的关于汇编和操作系统的知识来创建过去，计算机病毒的编制者需要了解大量的关于汇编和操作系统的知识来创建TSRTSR程程序进行复制。序进行复制。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.12 压缩文件病毒 uu网络上大量压缩文件的交换，光盘介质的广泛使用，尤其网络上大量压缩文件的交换，光盘介质的广泛使用，尤其是盗版光盘携带大量计算机病毒（甚至有些正版光盘中也是盗版光盘携带大量计算机病毒（甚至有些正版光盘中也带有带有“CIH”“CIH”病毒），使人们处于各种计算机病毒的包围病毒），使人们处于各种计算机病毒的包围之中。由于计算机病毒在被压缩的情况下不会发作，就使之中。由于计算机病毒在被压缩的情况下不会发作，就使人们往往忽视了它的危害，造成计算机病毒更为广泛传播。人们往往忽视了它的危害，造成计算机病毒更为广泛传播。uu检查压缩文件中的计算机病毒，首先必须搞清压缩文件的检查压缩文件中的计算机病毒，首先必须搞清压缩文件的压缩算法，然后根据压缩算法将计算机病毒码压缩成计算压缩算法，然后根据压缩算法将计算机病毒码压缩成计算机病毒压缩码，最后根据计算机病毒压缩码在压缩文件中机病毒压缩码，最后根据计算机病毒压缩码在压缩文件中查找。查找。uu由于目前压缩文件的压缩算法有多种，而且有的压缩文件由于目前压缩文件的压缩算法有多种，而且有的压缩文件可能是多次压缩，这给反计算机病毒软件提出了很高的要可能是多次压缩，这给反计算机病毒软件提出了很高的要求。求。计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除6.13 安全建议 uu1建立良好的安全习惯uu2关闭或删除系统中不需要的服务uu3经常升级安全补丁uu4设置复杂的密码uu5迅速隔离受感染的计算机uu6经常了解一些反计算机病毒资讯uu7最好是安装专业的防毒软件进行全面监控计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除习 题 uu1 1简述反病毒技术的发展和用途。简述反病毒技术的发展和用途。uu2 2引导性计算机病毒的作用原理是什么？给出你引导性计算机病毒的作用原理是什么？给出你熟悉的该类计算机病毒的例子，并分析它们的原熟悉的该类计算机病毒的例子，并分析它们的原理。理。uu3 3文件型计算机病毒有哪些？该类计算机病毒的文件型计算机病毒有哪些？该类计算机病毒的进化方法和历史如何？进化方法和历史如何？uu4 4脚本计算机病毒的存在环境是什么？它们的危脚本计算机病毒的存在环境是什么？它们的危害有哪些？害有哪些？uu5 5分析宏病毒的表现形式。分析宏病毒的表现形式。uu6 6分析木马病毒的来源和操作方式。分析木马病毒的来源和操作方式。uu7 7简述后门计算机病毒的原理和实现。简述后门计算机病毒的原理和实现。 计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除计算机病毒原理与防范典型计算机病毒计算机病毒原理与防范典型计算机病毒的原理防范和清除的原理防范和清除