【正文】 探測器會(huì)把它識(shí)別為屬于某個(gè)病毒的特征 第 13章 計(jì)算機(jī)病毒 圖 1341 病毒特征值 第 13章 計(jì)算機(jī)病毒 對(duì)于基于病毒特征值的檢測方法，最大的挑戰(zhàn)是只有特征值庫中包含了這個(gè)特征碼，才能利用這個(gè)特征值從受害系統(tǒng)中檢測出該病毒。 第 13章 計(jì)算機(jī)病毒 反病毒軟件無法阻止大規(guī)模的破壞。這些規(guī)則集反映了病毒的特征，如 Windows 下的 PE 病毒感染程序后，可能在程序后面增加新節(jié)或修改程序的入口點(diǎn)為最后一節(jié)等。當(dāng)啟發(fā)式的掃描器分析文件時(shí)，它通常會(huì)為遇到的類似病毒的特征賦予一個(gè)權(quán)值。再有，某些正常的程序也可能會(huì)因滿足一定的規(guī)則而被判斷為病毒，如有些正常加密或加殼的程序。 這樣，病毒掃描器不能將啟發(fā)式分析技術(shù)作為檢測病毒借助的唯一技術(shù)，它們也需要配合傳統(tǒng)的特征碼掃描技術(shù)和 第 13章 計(jì)算機(jī)病毒 3. 除少部分病毒外，大部分現(xiàn)存病毒都要改寫其宿主文件，針對(duì)這一特點(diǎn)，一種檢測病毒存在的方法就是找出被意外修 第 13章 計(jì)算機(jī)病毒 CRC掃描就是完整性驗(yàn)證技術(shù)所采用的一種方法。 CRC 掃描在病毒已經(jīng)滲透到計(jì)算機(jī)之后， 并不能很快地檢測到，只有過一段時(shí)間病毒開始傳播時(shí)才會(huì)發(fā)現(xiàn)，而且不能檢測新文件中的病毒 (例如郵件、軟件文件、備份恢復(fù)的文件或解壓文件 )，因?yàn)樵谒臄?shù)據(jù)庫中沒有這些文件的 CRC 值。目前虛擬機(jī)的處理對(duì)象主要是文件型病毒。每個(gè)應(yīng)用程序都運(yùn)行在自己的且受保護(hù)的“沙箱”之中，不能影響其他程序的運(yùn)行。Windows XP 操作系統(tǒng)提供了一種軟件限制策略，隔離具有潛在危害的代碼。 第 13章 計(jì)算機(jī)病毒 6. 其他的計(jì)算機(jī)病毒防御技術(shù)還包括計(jì)算機(jī)免疫技術(shù)、動(dòng)態(tài)陷阱技術(shù)、軟件模擬技術(shù)、數(shù)據(jù)挖掘技術(shù)、預(yù)先掃描技術(shù)和安全操作系統(tǒng)技術(shù)等。該文件將尼姆達(dá)蠕蟲病毒作為一個(gè)附件包含，因此，不需要拆開或運(yùn)行這個(gè)附件，病毒就被執(zhí)行。 第 13章 計(jì)算機(jī)病毒 (5) 查看管理權(quán)限，再查看 Administrator組中是否加進(jìn)了 Guest 用戶，如果是，應(yīng)將 Guest用戶從 Administrator組中刪 (6) 查殺病毒。用戶殺毒后，可以從安裝盤里找到相應(yīng)的文件并重新 第 13章 計(jì)算機(jī)病毒 2. 沖擊波病毒是利用微軟公司公布的 RPC 漏洞進(jìn)行傳播的。在 2023 年 8 月 16 日以后，該病毒還會(huì)使 第 13章 計(jì)算機(jī)病毒 病毒詳細(xì)說明如下 : (1) 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制到 Windows目錄下，并命名為 (2) 病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為 BILLY 的互斥 (3) 病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為 的 (4) 病毒會(huì)修改注冊(cè)表，在 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows CurrentVersion ＼ Run中添加鍵值 windows auto update=，以便每次啟動(dòng)系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。該蠕蟲病毒不能成功攻擊 Windows Server 2023，但是可以造成 Windows Server 2023 系統(tǒng)的 RPC 服務(wù)崩潰，默 第 13章 計(jì)算機(jī)病毒 (10) 病毒檢測到當(dāng)前系統(tǒng)月份是 8 月之后或者日期是 15 日之后，就會(huì)向微軟的更新站點(diǎn) windows 發(fā)動(dòng)拒 : (1) 病毒通過微軟的最新 RPC 漏洞進(jìn)行傳播，因此用戶應(yīng)先給系統(tǒng)打上 RPC (2) 病毒運(yùn)行時(shí)會(huì)建立一個(gè)名為 BILLY 的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個(gè)名為 第 13章 計(jì)算機(jī)病毒 (3) 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為 %systemdir%＼，用戶可以手動(dòng)刪除該病毒文件 (%systemdir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄 ) (4) 手工清除注冊(cè)表的 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows＼ CurrentVersion＼ Run 項(xiàng)中的 windows auto update= (5) 使用防火墻軟件將病毒會(huì)用到的 13 444 69 等端口禁止，或者使用“ TCP/IP 第 13章 計(jì)算機(jī)病毒 第 13章 計(jì)算機(jī)病毒 第 13章 計(jì)算機(jī)病毒 紅色代碼 Ⅱ 病毒是紅色代碼病毒的改良版，病毒作者對(duì)病毒體做了很多優(yōu)化，同樣可以對(duì)紅色代碼病毒可攻擊的聯(lián)網(wǎng)計(jì)算機(jī)發(fā)動(dòng)進(jìn)攻，它不同于以往的文件型病毒和引導(dǎo)型病毒，只存在于內(nèi)存，傳染時(shí)不通過文件這一常規(guī)載體，而是直接從一臺(tái)計(jì)算機(jī)內(nèi)存到另一臺(tái)計(jì)算機(jī)內(nèi)存。病毒代碼首先會(huì)判斷內(nèi)存中是否已注冊(cè)了一個(gè)名為 CodeRed Ⅱ [JP]的 Atom (系統(tǒng)用于對(duì)象識(shí)別 )，如果已存在此對(duì)象，則表示此機(jī)器已被感染，病毒進(jìn)入無限休眠狀態(tài)，未感染則注冊(cè)Atom 并創(chuàng)建 300個(gè)病毒線程。然后從病毒體內(nèi)釋放出一個(gè)木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為，此木馬運(yùn)行后會(huì)調(diào)用系統(tǒng)原 ，運(yùn)行效果和正常 Explorer 程序無異，但注冊(cè)表中的很多項(xiàng)已被修改。 第 13章 計(jì)算機(jī)病毒 紅色代碼病毒的清除方案如下 : (1) (2) 斷掉網(wǎng)絡(luò)并重新啟動(dòng)系統(tǒng)，防止病毒通過網(wǎng)絡(luò)再次 (3) 刪除以下病毒釋放的木馬程序 : C: ＼ ipub＼ Scripts＼ 。 DEL C: ＼ 。“ AV終結(jié)者”病毒運(yùn)行后會(huì)在系統(tǒng)中生成如下幾個(gè)文件 : C: ＼ program files＼ mon files＼ microsoft shared＼ msinfo＼隨機(jī)生成病毒名 .dat。 第 13章 計(jì)算機(jī)病毒 “ AV終結(jié)者”病毒運(yùn)行后會(huì)在本地磁盤和移動(dòng)磁盤中復(fù)制病毒文件和 ，當(dāng)用戶雙擊盤符時(shí)就會(huì)激活病毒，即使重裝系統(tǒng)也無法將病毒徹底清除。當(dāng)殺毒軟件暫時(shí)失去作用時(shí)，病毒就會(huì)乘勝追擊，通過一種“映像劫持”技 第 13章 計(jì)算機(jī)病毒 “映像劫持”會(huì)在注冊(cè)表的“ HKEY_LOCAL_MACHINE＼ SOFTWARE＼ Microsoft＼ Windows NT＼ CurrentVersion＼Image File Exeution Options”位置新建一個(gè)以殺毒軟件和安全工具程序名稱命名的項(xiàng)。病毒進(jìn)程的主要作用是監(jiān)視系統(tǒng)中的用戶操作，例如用戶想手動(dòng)清除病毒，修改注冊(cè)表，病毒每隔一段時(shí)間就會(huì)把注冊(cè)表改回去，讓用戶做無用功 。運(yùn)行 regedit, 找到 HEKEY_LOCAL_MACHINE＼ SOFTWARE＼ microsoft＼windows NT＼ currentversion＼ image file execution options， 右擊此選項(xiàng)，在彈出的菜單中選擇“權(quán)限”，然后把a(bǔ)dministrators用戶組和 users用戶組的權(quán)限全部取消即可。目前已知的還原產(chǎn)品都無法防止這種病毒的穿透感染和傳播。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成。網(wǎng)絡(luò)時(shí)代，病毒與黑客程序結(jié)合，傳播速 度非?？?， 破壞性更大，傳播渠道更多，實(shí)時(shí)檢測更困難。網(wǎng)頁腳本病毒和蠕蟲 病毒是隨著 網(wǎng)絡(luò)的發(fā)展而發(fā)展起來的，它們往往和木馬程序結(jié)合在一起 第 13章 計(jì)算機(jī)病毒 (5) 反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn)，并且必將伴隨著病毒的長期存在而長期存在下去。 第 13章 計(jì)算機(jī)病毒 1. 2. 3. 4. 紅色代碼 Ⅱ 5. AV 第 13章 計(jì)算機(jī)病毒 演講完畢，謝謝觀看！ 。 第 13章 計(jì)算機(jī)病毒 1. 計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組 或者 2. 3. 從制作結(jié)構(gòu)上分析，計(jì)算機(jī)病毒一般包括 、 、 和 4大功能模塊。宏病毒不感染 EXE和 COM文件，它是利用 Microsoft Word的開放性專門制作的具有 病毒特點(diǎn) 的宏的集合。染毒程 小 第 13章 計(jì)算機(jī)病毒 (3) 計(jì)算機(jī)病毒從其發(fā)展來看分為 4個(gè)階段。 第 13章 計(jì)算機(jī)病毒 (1) 計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。 第 13章 計(jì)算機(jī)病毒 5. 機(jī)器狗是一個(gè)木馬下載器，感染后會(huì)自動(dòng)從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶帳號(hào)的安全。最重要的是，病毒會(huì)從網(wǎng)絡(luò)上下載大量盜號(hào)木馬，盜取用戶的游戲帳戶信息，這也是它的真正目的。這樣當(dāng)我們雙擊運(yùn)行殺毒軟件的主程序時(shí)，運(yùn)行的其實(shí)是病毒程序。病毒會(huì)終止大部分的殺毒軟件和安全工具的進(jìn)程。 C: ＼ windows＼隨機(jī)生成病毒名 .chm 第 13章 計(jì)算機(jī)病毒 “ AV終結(jié)者”的病毒名是由大寫字母 +數(shù)字隨機(jī)組合而成的，其長度為 8位，可以說生成同名病毒的概率是很低的。 DEL D: ＼ 。 C: ＼ progra~1＼ Common~1＼ System＼ MSADC＼。最后病毒休眠 24 小時(shí) (中文版為 48小時(shí) )強(qiáng)行重啟計(jì)算機(jī)。 第 13章 計(jì)算機(jī)病毒 每個(gè)病毒線程每 100ms 就會(huì)向一隨機(jī)地址的 80 端口發(fā)送長度為 3818 B的病毒傳染數(shù)據(jù)包。 紅色代碼 Ⅱ 病毒擁有極強(qiáng)的可擴(kuò)充性，通過程序自行完成的木馬植入工作，使得病毒作者可以通過改進(jìn)此程序來達(dá) 第 13章 計(jì)算機(jī)病毒 紅色代碼 Ⅱ 病毒的程序流程如下 : 當(dāng)本地 IIS 服務(wù)程序收到某個(gè)來自紅色代碼 Ⅱ 病毒發(fā)的請(qǐng)求數(shù)據(jù)包時(shí)，因存在漏洞而導(dǎo)致處理函數(shù)的堆棧溢出 (overflow)。然后 蠕蟲病毒會(huì)連接到這個(gè)端口，發(fā)送 tftp 命令，回連到發(fā)起進(jìn)攻的主機(jī)，將 。沖擊波病毒運(yùn)行時(shí)會(huì)不停地利用 IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為 Windows 2023/ XP 的計(jì)算機(jī)，找到后就利用 DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染。 第 13章 計(jì)算機(jī)病毒 (4) 使用干凈無毒的 (約 100 KB)文件替換染毒的同名的 文件 (57 344 B) (5) 將系統(tǒng)目錄下的 (57 344 B)以及Windows根目錄下的 文件徹底刪除，要在各邏輯盤的根目錄下查找 文件，如果有，則刪除這些病毒文件，并要查找文件名為 的文件，也要將其刪除。將 IIS 服務(wù) Scripts 目錄中的 Tftp*.exe 和 (4) 去掉共享。本節(jié)將對(duì) 5種經(jīng)典的病毒進(jìn)行 第 13章 計(jì)算機(jī)病毒 1. 尼姆達(dá) (mm)病毒是 2023年 9月出現(xiàn)的一種破壞力較強(qiáng)的蠕蟲病毒，它通過多種方式進(jìn)行傳播 : (1) 通過 Email (2) (3) 將病毒文件復(fù)制到?jīng)]有打補(bǔ)丁的微軟 (NT/2023)IIS 服 (4) (5) 第 13章 計(jì)算機(jī)病毒 該蠕蟲病毒由 JavaScript 腳本語言編寫，病毒體長度為57 344 B，它修改本地驅(qū)動(dòng)器上的 .htm、 .html和 .asp文件。這些策略允許選擇系統(tǒng)管理應(yīng)用程序的方式 : 應(yīng)用程序既可以被“限制運(yùn)行”，也可以被“禁止運(yùn)行”。加州大學(xué) Berkeley 實(shí)驗(yàn)室開發(fā)了一個(gè)基于 Solaris 操作系統(tǒng)的沙箱系統(tǒng)，應(yīng)用程序經(jīng)過系統(tǒng)底層調(diào)用解釋執(zhí)行，系統(tǒng)自動(dòng)判斷應(yīng)用程序調(diào)用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。就像病毒編碼變形使得傳統(tǒng)特征值方法失效一樣，針對(duì)虛擬機(jī)的新病毒可以輕易地使虛擬機(jī)失效。目前，反病毒虛擬機(jī)不同于 VMWare 和 Virtual PC 這些完全仿真計(jì) 算機(jī)資源的虛擬