【正文】 目 錄 一、計(jì)算機(jī)病毒的概述 ........................................................ 1 （一）計(jì)算機(jī)病毒的定義 .................................................. 1 （二） 計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展 ........................................... 2 （三） 計(jì)算機(jī)病毒的特性 ................................................. 3 （四）計(jì)算機(jī)病毒的分類 .................................................. 4 （五）計(jì)算機(jī)病毒傳播途徑關(guān)鍵環(huán)節(jié) ........................................ 9 （六）計(jì)算機(jī)病毒入侵的途徑 .............................................. 9 （七）計(jì)算機(jī)病毒的入侵方式 ............................................. 11 二、計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù) ................................... 11 （一）計(jì)算機(jī)病毒防范的概念和原則 ....................................... 12 （二）計(jì)算機(jī)病毒防范基本技術(shù) ........................................... 12 （三）判斷病毒的方法 ................................................... 13 （四）清除計(jì)算機(jī)病毒的基本方法 ......................................... 22 三、典型計(jì)算機(jī)病毒的原理、防范和清除 ....................................... 22 （一）引導(dǎo)區(qū)計(jì)算機(jī)病毒 ................................................. 22 （二）文件型計(jì)算機(jī)病毒 ................................................. 24 （三）腳本型計(jì)算機(jī)病毒 ................................................. 26 （四）特洛伊木馬計(jì)算機(jī)病毒 ............................................. 27 （五）蠕蟲計(jì)算機(jī)病毒 ................................................... 27 四、計(jì)算機(jī)主要檢測技術(shù)和特點(diǎn)（簡介） ....................................... 28 參考文獻(xiàn) ................................................................... 30 1 病毒入侵微機(jī)的途徑與防治研究 一、計(jì)算機(jī)病毒的概述 提起計(jì)算機(jī)病毒，絕大多數(shù)計(jì)算機(jī)的使用者都會(huì)深惡痛絕，因?yàn)闆]有 “ 中過招 ”的人已經(jīng)是鳳毛麟角了。但在談虎色變之余，很多人對計(jì)算機(jī)病毒又充滿了好奇，對病毒的制造者既痛恨又敬畏。這種復(fù)雜的感情實(shí)際上很容易理解，就像古人面對大自然的感情一樣，因?yàn)闊o法解釋風(fēng)雨雷電，也就只能制造神話，崇拜圖騰了。 計(jì)算機(jī)病毒當(dāng)然不值得 崇拜，它給社會(huì)信息化的發(fā)展制造了太多的麻煩，每年因?yàn)橛?jì)算機(jī)病毒造成的直接、間接經(jīng)濟(jì)損失都超過百億美元。但同時(shí)，它也催化了一個(gè)新興的產(chǎn)業(yè) —— 信息安全產(chǎn)業(yè)。反病毒軟件、防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離、數(shù)據(jù)恢復(fù)技術(shù) ?? 這一根根救命稻草，使很多企業(yè)和個(gè)人用戶免遭侵害，在很大程度上緩解了計(jì)算機(jī)病毒造成的巨大破壞，同時(shí)，越來越多的企業(yè)加入到信息安全領(lǐng)域，同層出不窮的黑客和病毒制造者做著頑強(qiáng)的斗爭。 但稻草畢竟是稻草，救得一時(shí)不一定救得一世。目前市場上主流廠商的信息安全產(chǎn)品經(jīng)過多年的積累和精心的研發(fā)，無論從產(chǎn)品線還 是從技術(shù)角度來講，都已經(jīng)達(dá)到了相當(dāng)完善的程度。但是，再好的產(chǎn)品，如果不懂得如何去使用，發(fā)揮不了產(chǎn)品真正的優(yōu)勢，又與稻草有什么區(qū)別呢？很多用戶在被病毒感染以后才想起購買殺毒軟件，查殺以后就再也不管，沒有定期的升級和維護(hù)，更沒有根據(jù)自己的使用環(huán)境的特點(diǎn)，制定相應(yīng)的防范策略，可以說把產(chǎn)品的使用效率降到了最低，這樣的狀態(tài)，怎能應(yīng)付日新月異的病毒攻擊呢？ 那么，如何將手中的稻草變成強(qiáng)大的武器，當(dāng)危險(xiǎn)臨近時(shí)，能夠主動(dòng)出擊，防患于未然呢？筆者認(rèn)為，關(guān)鍵的問題在于對 “ 對手 ” 的了解。正如我們上面舉過的例子，我們現(xiàn)在之所 以對很多自然現(xiàn)象習(xí)以為常，是因?yàn)槲覀儗ζ涑梢蛴辛俗罨A(chǔ)的了解，這樣才可能未雨綢繆，配合手中的工具，防患于未然。 （一）計(jì)算機(jī)病毒的定義 一般來講，凡是能夠引起計(jì)算機(jī)故障，能夠破壞計(jì)算機(jī)中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。 在 1994 年我國頒布實(shí)施的《中華人民共和國計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》中，對計(jì)算機(jī)病毒有如下定義： “ 計(jì)算機(jī)病毒是編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程 2 序代碼 ” 。 （二） 計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展 自從 1987 年發(fā)現(xiàn) 了全世界首例計(jì)算機(jī)病毒以來，病毒的數(shù)量早已超過 1 萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計(jì)算機(jī)領(lǐng)域的各個(gè)行業(yè)。計(jì)算機(jī)病毒的危害及造成的損失是眾所周知的，發(fā)明計(jì)算機(jī)病毒的人同樣也受到社會(huì)和公眾輿論的譴責(zé)。也許有人會(huì)問： “ 計(jì)算機(jī)病毒是哪位先生發(fā)明的 ?” 這個(gè)問題至今無法說清楚，但是有一點(diǎn)可以肯定，即計(jì)算機(jī)病毒的發(fā)源地是科學(xué)最發(fā)達(dá)的美國。 雖然全世界的計(jì)算機(jī)專家們站在不同立場或不同角度分析了病毒的起因，但也沒有能夠?qū)Υ俗鞒鲎詈蟮亩ㄕ摚荒芡茰y電腦病毒緣于以下幾種原因：一、科幻小說的啟發(fā)；二、惡 作劇的產(chǎn)物；三、電腦游戲的產(chǎn)物；四、軟件產(chǎn)權(quán)保護(hù)的結(jié)果 . IT行業(yè)普遍認(rèn)為，從最原始的單機(jī)磁盤病毒到現(xiàn)在逐步進(jìn)入人們視野的手機(jī)病毒，計(jì)算機(jī)病毒主要經(jīng)歷了 如下 發(fā)展階段。 DOS 引導(dǎo)階段 ： 1987 年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是 “ 小球 ” 和 “ 石頭 ” 病毒。 當(dāng)時(shí)的計(jì)算機(jī)硬件較少 ,功能簡單 ,一般需要通過軟盤啟動(dòng)后使用。引導(dǎo)型病毒利用軟盤得啟動(dòng)原理工作 ,它們修改系統(tǒng)啟動(dòng)扇區(qū) ,在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán) ,減少系統(tǒng)內(nèi)存 ,修改磁盤讀寫中斷 ,影響系統(tǒng)工作效率 ,在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播。 1989 年 ,引導(dǎo) 型病毒發(fā)展為可以感染硬盤 ,典型的代表有 石頭 2。 DOS 可執(zhí)行階段 ： 1989年 ,可執(zhí)行文件型病毒出現(xiàn) ,它們利用 DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作 ,代表為 耶路撒冷 ,星期天 病毒 ,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán) ,修改 DOS 中斷 ,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染 ,并將自己附加在可執(zhí)行文件中 ,使文件長度增加。 1990 年 ,發(fā)展為復(fù)合型病毒 ,可感染 COM 和 EXE 文件。 批處理型階段 ： 1992 年 ,伴隨型病毒出現(xiàn) ,它們利用 DOS 加載文件的優(yōu)先順序進(jìn)行工作。它感染 EXE 文件時(shí)生成一個(gè)和 EXE 同名的擴(kuò)展名為 COM 伴隨 體 。它感染 COM 文件時(shí) ,改為原來的 COM 文件為同名的 EXE 文件 ,在產(chǎn)生一個(gè)原名的伴隨體 ,文件擴(kuò)展名為 COM。這樣 ,在 DOS 加載文件時(shí) ,病毒就取得控制權(quán)。 3 幽靈、多形階段 ： 1994 年 ,隨著匯編語言的發(fā)展 ,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成 ,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn) ,每感染一次就產(chǎn)生不同的代碼。 生成器階段 ： 1995 年 ,在匯編語言中 ,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中 ,可運(yùn)算出同樣的結(jié)果 ,隨機(jī)的插入一些空操作和無關(guān)指令 ,也不影響運(yùn)算的結(jié)果 ,這樣 ,一段解碼算法就可以由生成器生成。當(dāng)生成的是病毒時(shí) ,這種復(fù)雜的稱之為病毒生成器和變體機(jī)就產(chǎn)生了。具有典型代表的是 病毒制造機(jī) VCL 網(wǎng)絡(luò)、蠕蟲階段 ： 1995 年 ,隨著網(wǎng)絡(luò)的普及 ,病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播 ,它們只是以上幾代病毒的改進(jìn)。在非 DOS 操作系統(tǒng)中 ,蠕蟲 是典型的代表 ,它不占用除內(nèi)存以外的任何資源 ,不修改磁盤文件 ,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址 ,將自身向下一地址進(jìn)行傳播 ,有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。 Windows 病毒階段 ： 1996 年 ,隨著 Windows 和 Windows95 的日益普及 ,利 用 Windows 進(jìn)行工作的病毒開始發(fā)展 ,它們修改 (NE,PE)文件 ,典型的代表是 ,這類病毒的機(jī)制更為復(fù)雜 ,它們利用保護(hù)模式和 API 調(diào)用接口工作 ,清除方法也比較復(fù)雜。 宏病毒階段 ： 1996 年 ,隨著 Windows Word 功能的增強(qiáng) ,使用 Word 宏語言也可以編制病毒 ,這種病毒使用類 Basic 語言 ,編寫容易 ,感染 Word 文檔文件。在 Excel 和 AmiPro 出現(xiàn)的相同工作機(jī)制的病毒也歸為此類。 互連網(wǎng)階段 ： 1997 年 ,隨著因特網(wǎng)的發(fā)展 ,各種病毒也開始利用因特網(wǎng)進(jìn)行傳播 ,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多 ,如果不小心打開了這些郵件 ,機(jī)器就有可能中毒。 （三） 計(jì)算機(jī)病毒的特性 寄生 性： 計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺的。 4 傳染性： 傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至 癱瘓 . 潛伏性： 有些病毒 像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺察不出來，等到條件具備的時(shí)候一下子就爆炸開來，對系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長，病毒的傳染范圍就會(huì)愈大。 隱蔽性：計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序，如不經(jīng)過程序代碼 分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的 。 破壞性： 計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞 。通常表現(xiàn)為：增、刪、改、移。 可觸發(fā)性：病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動(dòng)作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病 毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。 除了上述五點(diǎn)外，計(jì)算機(jī)病毒還具有不可預(yù)見性、衍生性、針對性、欺騙性、持久性等特點(diǎn)。正是由于計(jì)算機(jī)病毒具有這些特點(diǎn)，給計(jì)算機(jī)病毒的預(yù)防、檢測與清除工作帶來了很大的難度。 隨著計(jì)算機(jī)應(yīng)用的不斷發(fā)展病毒又出現(xiàn)一些新的特性如： 利用微軟漏洞主動(dòng)傳播、局域網(wǎng)內(nèi)快速傳播、以多種方式傳播、大量消耗系統(tǒng)與網(wǎng)絡(luò)資源、雙程序結(jié)構(gòu)、用即時(shí)工具傳播病毒、病毒與黑客技術(shù)的融合、遠(yuǎn)程啟動(dòng)。 （四）計(jì)算機(jī)病毒的分 類 按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類，計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類： 5 1. 按病毒存在的媒體 根據(jù)病毒存在的媒體，病毒可以劃分為 網(wǎng)絡(luò)病毒 ，文件病毒， 引導(dǎo)型病毒 。網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計(jì)算機(jī)中的文件（如： COM，EXE， DOC 等），引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（ Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（ MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒常都具有復(fù)雜的算法，它們使用 非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。 根據(jù)病毒傳染的方法可分為 駐留型病毒 和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（ RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去 ,他處于激活狀態(tài) ,一直到關(guān)機(jī)或重新啟動(dòng) .非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存 ,一些病毒在內(nèi)存中留有小部分 ,但是并不通過這一部分進(jìn)行傳染 ,這類病毒也被劃分為非駐留型病毒。 無害型： 除了傳染時(shí)減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 無危險(xiǎn)型： 這類病毒僅僅是減少內(nèi)存、顯