【正文】 病毒為主動(dòng)，主要表現(xiàn)在檢測行為的動(dòng)態(tài)性和防范方法的廣譜性。 計(jì)算機(jī)病毒防范基本技術(shù) 計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計(jì)算機(jī)病毒的入侵或立即警報(bào)。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下 ： 清除計(jì)算機(jī)病毒的基本方法 簡單工具治療是指使用 Debug 等簡單的工具，借助檢測者對某種計(jì)算機(jī)病毒的具體知識(shí)，從感染計(jì)算機(jī)病毒的軟件中摘除計(jì)算機(jī)代碼。但是，這種方法同樣對檢測者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。 使用專用工具治療被感染的程序時(shí)通常使用的治療方法。專用計(jì)算機(jī)治療工具，根據(jù)對計(jì)算機(jī)病毒特征的記錄，自動(dòng)清除感染程序中的計(jì)算機(jī)病毒代碼，使之得以恢復(fù)。使用專用工具治療計(jì)算機(jī)病毒時(shí)，治療操作簡單、高效。從探索與計(jì)算機(jī)病毒 對剛的全過程來看，專用工具的開發(fā)商也是先從使用簡單工具 7 進(jìn)行治療開始，當(dāng)治療獲得成功后，再研制相應(yīng)的軟件產(chǎn)品，使計(jì)算機(jī)自動(dòng)地完成全部治療操作。 典型計(jì)算機(jī)病毒的原理、防范和清除 引導(dǎo)區(qū)計(jì)算機(jī)病毒 系統(tǒng)引導(dǎo)區(qū)時(shí)在系統(tǒng)引導(dǎo)的時(shí)候，進(jìn)入到系統(tǒng)中，獲得對系統(tǒng)的控制權(quán)，在完成其自身的安裝后才去引導(dǎo)系統(tǒng)的。稱其為引導(dǎo)區(qū)計(jì)算機(jī)病毒時(shí)因?yàn)檫@類計(jì)算機(jī)病毒一般是都侵占系統(tǒng)硬盤的主引導(dǎo)扇區(qū) I/O 分區(qū)的引導(dǎo)扇區(qū)，對于軟盤則侵占了軟盤的引導(dǎo)扇區(qū)。 它會(huì)感染在該系統(tǒng)中進(jìn)行讀寫操作的所有軟盤，然后再由這些軟盤以復(fù) 制的方式和引導(dǎo)進(jìn)入到其他計(jì)算機(jī)系統(tǒng)，感染其他計(jì)算機(jī)的操作系統(tǒng)。 如何檢測呢？ INT 13H 中斷向量 、 DOS 分區(qū)引導(dǎo)扇區(qū)以及軟盤的引導(dǎo)扇區(qū) 清除： 用原來正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。此時(shí)，如果用戶事先提取并保存了自己硬盤中分區(qū)表的信息和 DOS 分區(qū)引導(dǎo)扇區(qū)信息，那么，恢復(fù)工作變得非常簡單?？梢灾苯佑?Debug 將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別回它的原來位置，這樣就消除了計(jì)算機(jī)病毒。 文件型計(jì)算機(jī)病毒 文件型計(jì)算機(jī)病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時(shí)候，引導(dǎo)計(jì)算機(jī)病毒程序也進(jìn)入到系統(tǒng)中。只有極少計(jì)算機(jī)病毒程序感染數(shù)據(jù)文件。 此類病毒感染對象大多是系統(tǒng)的可執(zhí)行文件，也有一些還要對覆蓋文件進(jìn)行傳染，而對數(shù)據(jù)進(jìn)行傳染的則少見。 清除： ，是駐留在文件尾部還是在文件首部。 （對應(yīng)于在文件尾部駐留方式），或者尾 8 部位置（對應(yīng)于在文件首部駐留方式）。 。 ，將源文件寫回 。 腳本型計(jì)算機(jī)病毒 主要采用腳本語言設(shè)計(jì)的病毒稱其為腳本病毒。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當(dāng)他和一些傳統(tǒng)的惡性病毒相結(jié)合時(shí)，其危害就更為嚴(yán)重了。 其主要有兩種類型，純腳本型，混合型。 它的特點(diǎn)： ? 編寫簡單 ? 破壞力大 ? 感染力強(qiáng) ? 傳播范圍大（多通過 Email，局域網(wǎng)共享，感染網(wǎng)頁文件的方式傳播） ? 計(jì)算機(jī)病毒源碼容易被獲取，變種多 ? 欺騙性強(qiáng) ? 使得計(jì)算機(jī)病毒生產(chǎn) 機(jī)事先起來非常容易 清除： ? 禁用文件系統(tǒng)對象 FileSystemObject ? 卸載 Windows Scripting Host ? 刪除 vbs， vbe， js， jse 文件后綴與應(yīng)用程序映射 ? 在 Windows 目錄中，找到 ，更改名稱或者刪除 ? 要徹底防止 vbs 網(wǎng)絡(luò)蠕蟲病毒，還需要設(shè)置一下瀏覽器 ? 禁止 OE 的自動(dòng)收發(fā)電子郵件功能 ? 顯示所有文件類型的擴(kuò)展名稱 ? 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為“中等” 9 特洛伊木馬計(jì)算機(jī)病毒 特洛伊木馬也叫黑客程序或后門病毒，是指吟唱在正常程序中的一段具 有特殊功能的程序，其隱蔽性及好，不易察覺，是一種極為危險(xiǎn)的網(wǎng)絡(luò)攻擊手段。 其第一代：偽裝性病毒，第二代： AIDS 型木馬，第三代：網(wǎng)絡(luò)傳播性 木馬 如何檢查？ ? 稽查注冊表 ? 檢查你的系統(tǒng)配置文件 ? 清除： ? 備份重要數(shù)據(jù) ? 立即關(guān)閉身背電源 ? 備份木馬入侵現(xiàn)場 ? 修復(fù)木馬危害 蠕蟲計(jì)算機(jī)病毒 蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性計(jì)算機(jī)病毒，它具有計(jì)算機(jī)病毒的一些共性，如傳播性、隱蔽性、破壞性等。同時(shí)自己有自己一些特征，如利用文件寄生，對網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。 簡單點(diǎn)說，蠕蟲就是使用危害的代 碼來攻擊網(wǎng)絡(luò)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的計(jì)算機(jī)病毒。 其特征： ? 自我繁殖 ? 利用軟件漏洞 ? 造成網(wǎng)絡(luò)擁堵 ? 消耗系統(tǒng)資源 ? 留下安全隱患 清除： ? 與防火墻互動(dòng) ? 交換機(jī)聯(lián)動(dòng) 10 ? 通知 HIDS（基于主機(jī)的入侵檢測） ? 報(bào)警 “熊貓燒香”病毒剖析 “熊貓燒香”病毒感染機(jī)理 :“熊貓燒香”，是一個(gè)感染型的蠕蟲病毒，它能感染系統(tǒng)中 exe， ， pif， src， html， asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為 gho 的文件，該文件是一系統(tǒng)備份工具 GHOST的備 份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有 .exe 可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。 1: 拷貝文件病毒運(yùn)行后 , 會(huì)把自己拷貝到C:\WINDOWS\System32\Drivers\ 2: 添 加 注 冊 表 自 啟 動(dòng) 病 毒 會(huì) 添 加 自 啟 動(dòng) 項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare C:\WINDOWS\System32\Drivers\ 3:病毒行為 a:每隔 1秒尋找桌面窗口 ,并關(guān)閉窗口標(biāo)題中含有以下字符的程序： Kav、 AV、防火墻、進(jìn)程、 VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山 IE、超級兔子、優(yōu)化大師、木馬克星、木馬清道夫、 病毒、注冊表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、 Symantec AntiVirus、 Duba、esteem proces、綠鷹 PC、密碼防盜、噬菌體、木馬輔助查找器、 System Safety Monitor、 Wrapped gift Killer、 Winsock Expert、游戲木馬檢測大師、msctls_statusbar3 pjf(ustc)、 IceSword，并使用的鍵盤映射的方法關(guān)閉安全軟件 IceSword 。 添 加 注 冊 表 使 自 己 自 啟 動(dòng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare C:\WINDOWS\System32\Drivers\ 并中止系統(tǒng)中以下的進(jìn)程 : 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 。 b:每隔 18 秒點(diǎn)擊病毒作者指定的網(wǎng)頁 ,并用命令行檢查系統(tǒng)中是否存在共 11 享，共存在的話就運(yùn)行 share 命令關(guān)閉 admin$共享。 c:每隔 10 秒下載病毒作者指定的文件 ,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行 share 命令關(guān)閉 admin$共享。 d:每隔 6秒刪除安全軟件在注冊表中的鍵值。 并 修 改 以 下 值 不 顯 示 隱 藏 文 件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0x00 刪除以下服務(wù) : navapsvc、 wscsvc、 KPfwSvc、 SNDSrvc、 ccProxy、 ccEvtMgr、ccSetMgr、 SPBBCSvc、 Symantec Core LC、 NPFMntor MskService、 FireSvc。 e:感染文件 病毒會(huì)感染擴(kuò)展名為 exe,pif,src 的文件 ,把自己附加到文件的頭部，并在擴(kuò)展名為 htm,html, asp,php,jsp,aspx 的文件中添加一網(wǎng)址，用戶一但打開 了該文件， IE 就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的 ,但病毒不會(huì)感染以下文件夾名中的文件： WINDOW、 Winnt、 System Volume Information、 Recycled、 Windows NT、WindowsUpdate、 Windows Media Player、 Outlook Express、 Inter Explorer、NetMeeting、 Common Files、 ComPlus Applications、 Messenger、 InstallShield Installation Information、 MSN、 Microsoft Frontpage、 Movie Maker、 MSN Gamin Zone 。 g:刪除文件 病毒會(huì)刪除擴(kuò)展名為 gho 的文件，該文件是一系統(tǒng)備份工具 GHOST 的備份文件使用戶的系統(tǒng)備份文件丟失。 “熊貓燒香”病毒核心源碼 用 Delphi 寫 program Japussy。 uses Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry}。 const 12 HeaderSize = 82432。 //病毒體的大小 IconOffset = $12EB8。 //PE 文件主圖標(biāo)的偏移量 //在我的 Delphi5 SP1 上面編譯得到的大小，其它版本的Delphi 可能不同 //查找 2800000020 的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量