【正文】 ? ② 病毒取得控制權(quán)的方法 ? 把被感染的 COM文件的最開始（ 100H偏移處）幾個(gè)字節(jié)，換成跳轉(zhuǎn)到病毒代碼的 Jump指令； ? 用 Jump指令將流程轉(zhuǎn)到病毒代碼，完成感染和破壞過程； ? 病毒代碼執(zhí)行結(jié)束，要先恢復(fù)被替換的幾個(gè)字節(jié)，再跳回到 100H偏移處，執(zhí)行宿主程序。 （ 3）已感染病毒的 COM型程序的執(zhí)行大致過程 ? ① 被感染的 COM文件被加載到內(nèi)存。 ? ② 系統(tǒng)將控制權(quán)交到 100H偏移處。 ? ③ 執(zhí)行 100H偏移處的跳轉(zhuǎn)指令，開始執(zhí)行病毒代碼。 ? ④ 內(nèi)存中的病毒代碼開始搜索磁盤，尋找合適的感染目標(biāo)。 ? ⑤ 找到合適的感染目標(biāo)，將病毒自身復(fù)制到目標(biāo)的尾部；將該目標(biāo)COM文件最開始幾個(gè)字節(jié)讀到內(nèi)存，保存到病毒碼所在的某數(shù)據(jù)區(qū)；寫一條轉(zhuǎn)向該文件尾部的病毒代碼的 Jump指令，以便該 COM文件被執(zhí)行時(shí)通過它會(huì)把控制權(quán)交給病毒代碼。 ? ⑥ 病毒把 COM文件的最初幾個(gè)字節(jié)寫回到原來的 100H偏移處； ? ⑦ 病毒代碼執(zhí)行一條跳轉(zhuǎn)到 100H偏移處的 Jump指令，開始執(zhí)行宿主程序。 計(jì)算機(jī)病毒防治 查 防 殺 復(fù) 1. 計(jì)算機(jī)病毒的預(yù)防 ? （ 1）對(duì)新購(gòu)置的計(jì)算機(jī)硬軟件系統(tǒng)進(jìn)行測(cè)試。 ? （ 2）單臺(tái)計(jì)算機(jī)系統(tǒng)的安全使用 ? （ 3）計(jì)算機(jī)網(wǎng)絡(luò)的安全使用 ? （ 4）重要數(shù)據(jù)文件要有備份 ? （ 5）強(qiáng)化安全管理 ? （ 6）防范體系與規(guī)范建設(shè) 2. 計(jì)算機(jī)病毒檢測(cè) ? （ 1）現(xiàn)象觀測(cè)法 ? （ 2）進(jìn)程監(jiān)視法 ? （ 3）比較法 ? （ 4）特征代碼法 ? （ 5）軟件模擬法 ? （ 6）分析法 3. 計(jì)算機(jī)病毒的清除 ? （ 1）引導(dǎo)型病毒的清除 ? （ 2）文件型病毒的清除 ? （ 3）宏病毒的清除 4. 病毒防治軟件 ? （ 1）病毒防治軟件的類型 ? 病毒掃描型軟件：。 ? 完整性檢查型軟件：完 ? 行為封鎖型軟件： ? （ 2）病毒防治軟件的選擇指標(biāo) ? ① 識(shí)別率 ? 誤報(bào)（ false positive）率 ? 漏報(bào)（ false negative）率 ? ② 檢測(cè)速度 ? ③ 動(dòng)態(tài)檢測(cè)（ onthefly scanning）能力 ? ④ 按需檢測(cè)（ ondemand scanning）能力 ? ⑤ 多平臺(tái)可用性⑥ 可靠性 ? （ 3）病毒防治軟件產(chǎn)品 ? ① 國(guó)外防病毒產(chǎn)品及查詢網(wǎng)站 ? ② 國(guó)外防病毒產(chǎn)品及查詢網(wǎng)站 5. 計(jì)算機(jī)病毒侵害系統(tǒng)的恢復(fù) ? （ 1）首先必須對(duì)系統(tǒng)破壞程度有詳細(xì)而全面的了解，并根據(jù)破壞的程度來決定采用對(duì)應(yīng)的有效清除方法和對(duì)策： ? （ 2）修復(fù)前，盡可能再次備份重要數(shù)據(jù)文件。 ? （ 3）啟動(dòng)防殺計(jì)算機(jī)病毒軟件并對(duì)整個(gè)硬盤進(jìn)行掃描。 ? （ 4）利用防殺計(jì)算機(jī)病毒軟件清除文件中的計(jì)算機(jī)病毒。如果可執(zhí)行文件中的計(jì)算機(jī)病毒不能被清除，應(yīng)將其刪除后重新安裝相應(yīng)的應(yīng)用程序。 ? （ 5）殺毒完成后，重啟計(jì)算機(jī)，再次用防殺計(jì)算機(jī)病毒軟件檢查系統(tǒng)中是否還存在計(jì)算機(jī)病毒，并確定被感染破壞的數(shù)據(jù)確實(shí)被完全恢復(fù)。 ? （ 6）對(duì)于殺毒軟件無法殺除的計(jì)算機(jī)病毒，應(yīng)將計(jì)算機(jī)病毒樣本送交防殺計(jì)算機(jī)病毒軟件廠商的研究中心，以供詳細(xì)分析。 2 蠕蟲 蠕蟲的特征及其傳播過程 1. 蠕蟲的特征 ? （ 1）存在的獨(dú)立性 ? （ 2）攻擊的對(duì)象是計(jì)算機(jī)（計(jì)算機(jī)病毒的攻擊對(duì)象是文件系統(tǒng)） ? （ 3）傳染的反復(fù)性（與病毒相同）。但是，病毒與蠕蟲的傳染機(jī)制有三點(diǎn)不同： ? 病毒傳染是一個(gè)將病毒代碼嵌入到宿主程序的過程，而蠕蟲的傳染是自身的拷貝； ? 病毒的傳染目標(biāo)針對(duì)本地程序（文件），而蠕蟲是針對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)； ? 病毒是在宿主程序運(yùn)行時(shí)被觸發(fā)進(jìn)行傳染，而蠕蟲是通過系統(tǒng)漏洞進(jìn)行傳染。 ? （ 4）攻擊的主動(dòng)性 ? （ 5）破壞的嚴(yán)重性 ? （ 6）行蹤的隱蔽性 2. 蠕蟲傳播的基本過程 蠕蟲的重要機(jī)制和功能結(jié)構(gòu) 1. 蠕蟲的掃描機(jī)制 ? 掃描策略改進(jìn)的原則是，盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量少，并保證掃描覆蓋盡量大的范圍。 ? 按照這一原則，可以有如下一些策略： ? （ 1）在網(wǎng)段的選擇上，可以主要對(duì)當(dāng)前主機(jī)所在網(wǎng)段進(jìn)行掃描，對(duì)外網(wǎng)段隨機(jī)選擇幾個(gè)小的 IP地址段進(jìn)行掃描。 ? （ 2）對(duì)掃描次數(shù)進(jìn)行限制。 ? （ 3）將掃描分布在不同的時(shí)間段進(jìn)行，不集中在某一時(shí)間內(nèi)。 ? （ 4）針對(duì)不同的漏洞設(shè)計(jì)不同的探測(cè)包，提高掃描效率。 2. 蠕蟲的隱藏手法 ? （ 1）修改蠕蟲在系統(tǒng)中的進(jìn)程號(hào)和進(jìn)程名稱，掩蓋蠕蟲啟動(dòng)的時(shí)間記錄。 ? （ 2）將蠕蟲拷貝到一個(gè)目錄下，并更換文件名為已經(jīng)運(yùn)行的服務(wù)名稱，使任務(wù)管理器不能終止蠕蟲運(yùn)行。這時(shí)要參考 ADV OpnSCManagerA和 。 ? （ 3）刪除自己： ? 在 Windows95系統(tǒng)中，可以采用 DeleteFile API函數(shù)。 ? 在 Windows 98/NT/2021中，只能在系統(tǒng)下次啟動(dòng)時(shí)刪除自己。 3. 蠕蟲程序的功能結(jié)構(gòu) ? （ 1）傳播模塊 ? 傳播模塊由掃描子模塊、攻擊子模塊和復(fù)制子模塊組成。 ? 掃描模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就會(huì)得到一個(gè)可傳播的對(duì)象。 ? 攻擊模塊按照漏洞攻擊步驟自動(dòng)攻擊已經(jīng)找到的攻擊對(duì)象，獲得一個(gè) shell。獲得一個(gè) shell，就擁有了對(duì)整個(gè)系統(tǒng)的控制權(quán)。對(duì) Win 2x來說，就是 。 ? 復(fù)制模塊通過原主機(jī)和新主機(jī)的交互，將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)，實(shí)際上是一個(gè)文件傳輸過程。 ? （ 2）隱藏模塊：侵入主機(jī)后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 ? （ 3）目的模塊：實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。 蠕蟲舉例 ? 1. ? 2. I_WORM/EMANUEL網(wǎng)絡(luò)蠕蟲 ? 3. ? 4. SQL蠕蟲王 ? 5. 震蕩波 3 特洛伊木馬 特洛伊木馬及其類型 ? 古希臘詩人荷馬（ Homer）在其史詩依利雅得（ The Iliad）中，描述了一個(gè)故事：希臘王的王妃海倫被特洛伊（ Troy）的王子掠走，希臘王在攻打 Troy城時(shí)，使用了木馬計(jì)（ the stratagem of Trojan horse），在巨大的木馬內(nèi)裝滿了士兵，然后假裝撤退，把木馬留下。特洛伊人把木馬當(dāng)作戰(zhàn)利品拉回特洛伊城內(nèi)。到了夜間，木馬內(nèi)的士兵，鉆出來作為內(nèi)應(yīng)，打開城門。希臘王得以攻下特洛伊城。此后，人們就把特洛伊木馬（ Trojan horse）作為偽裝的內(nèi)部顛覆者的代名詞。 基于動(dòng)作的木馬程序類型 ? （ 1）遠(yuǎn)程控制型 遠(yuǎn)程控制就是在計(jì)算機(jī)間通過某種協(xié)議（如 TCP/IP協(xié)議）建立起一個(gè)數(shù)據(jù)通道。通道的一端發(fā)送命令，另一端解釋并執(zhí)行該命令，并通過該通 道返回信息。 ? （ 2）信息竊取型 這種木馬一般不需要客戶端，運(yùn)行時(shí)不會(huì)監(jiān)聽端口，只悄悄地在后臺(tái)運(yùn)行，一邊收集敏感信息，一邊不斷檢測(cè)系統(tǒng)的狀態(tài)。一旦發(fā)現(xiàn)系統(tǒng)已經(jīng) 連接到 Inter上，就在受害者不知情的情形下將收集的信息通過一些常用的傳輸方式（如電子郵件、 ICQ、 FTP）把它們發(fā)送到指定的地方。 ? （ 3）鍵盤記錄型 鍵盤記錄型木馬只做一件事情，就是記錄受害者的鍵盤敲擊，并完整地記錄在 LOG文件中。 ? （ 4）毀壞型 毀壞型木馬以毀壞并刪除文件（如受害者計(jì)算機(jī)上的 .dll、 .ini或 .exe）為主要目的。 特洛伊木馬的特征 ? （ 1）非授權(quán)性與自動(dòng)運(yùn)行性。一旦控制端與服務(wù)端建立連接后，控制端將竊取用戶密碼，獲取大部分操作權(quán)限，如修改文件、修改注冊(cè)表、重啟或關(guān)閉服務(wù)端操作系統(tǒng)、斷開網(wǎng)絡(luò)連接、控制服務(wù)端鼠標(biāo)和鍵盤、監(jiān)視服務(wù)端桌面操作、查看服務(wù)端進(jìn) 程等。這些權(quán)限不是用戶授權(quán)的，而是木馬自己竊取的。 ? （ 2）隱藏性和欺騙性。隱藏是一切惡意代碼的存在之本。而木馬為了獲得非授權(quán)的服務(wù)，還要通過欺騙進(jìn)行隱藏。 ? （ 3）可預(yù)置性。木馬程序可以在系統(tǒng)軟件和應(yīng)用軟件的文件傳播中被人置入，也可以在系統(tǒng)或軟件設(shè)計(jì)是被故意放置進(jìn)來。例如微軟曾在其操作系統(tǒng)設(shè)計(jì)時(shí)故意放置了一個(gè)木馬程序，可以將客戶的相關(guān)信息發(fā)回到其總部。 ? （ 4）非自繁殖性與非自動(dòng)感染性。一般說來，