【正文】 探測器會把它識別為屬于某個病毒的特征 第 13章 計算機病毒 圖 1341 病毒特征值 第 13章 計算機病毒 對于基于病毒特征值的檢測方法，最大的挑戰(zhàn)是只有特征值庫中包含了這個特征碼，才能利用這個特征值從受害系統(tǒng)中檢測出該病毒。 第 13章 計算機病毒 反病毒軟件無法阻止大規(guī)模的破壞。這些規(guī)則集反映了病毒的特征，如 Windows 下的 PE 病毒感染程序后，可能在程序后面增加新節(jié)或修改程序的入口點為最后一節(jié)等。當啟發(fā)式的掃描器分析文件時，它通常會為遇到的類似病毒的特征賦予一個權值。再有，某些正常的程序也可能會因滿足一定的規(guī)則而被判斷為病毒，如有些正常加密或加殼的程序。 這樣，病毒掃描器不能將啟發(fā)式分析技術作為檢測病毒借助的唯一技術，它們也需要配合傳統(tǒng)的特征碼掃描技術和 第 13章 計算機病毒 3. 除少部分病毒外，大部分現(xiàn)存病毒都要改寫其宿主文件，針對這一特點，一種檢測病毒存在的方法就是找出被意外修 第 13章 計算機病毒 CRC掃描就是完整性驗證技術所采用的一種方法。 CRC 掃描在病毒已經(jīng)滲透到計算機之后， 并不能很快地檢測到，只有過一段時間病毒開始傳播時才會發(fā)現(xiàn)，而且不能檢測新文件中的病毒 (例如郵件、軟件文件、備份恢復的文件或解壓文件 )，因為在它的數(shù)據(jù)庫中沒有這些文件的 CRC 值。目前虛擬機的處理對象主要是文件型病毒。每個應用程序都運行在自己的且受保護的“沙箱”之中，不能影響其他程序的運行。Windows XP 操作系統(tǒng)提供了一種軟件限制策略，隔離具有潛在危害的代碼。 第 13章 計算機病毒 6. 其他的計算機病毒防御技術還包括計算機免疫技術、動態(tài)陷阱技術、軟件模擬技術、數(shù)據(jù)挖掘技術、預先掃描技術和安全操作系統(tǒng)技術等。該文件將尼姆達蠕蟲病毒作為一個附件包含，因此，不需要拆開或運行這個附件，病毒就被執(zhí)行。 第 13章 計算機病毒 (5) 查看管理權限，再查看 Administrator組中是否加進了 Guest 用戶，如果是，應將 Guest用戶從 Administrator組中刪 (6) 查殺病毒。用戶殺毒后，可以從安裝盤里找到相應的文件并重新 第 13章 計算機病毒 2. 沖擊波病毒是利用微軟公司公布的 RPC 漏洞進行傳播的。在 2023 年 8 月 16 日以后，該病毒還會使 第 13章 計算機病毒 病毒詳細說明如下 : (1) 病毒運行時會將自身復制到 Windows目錄下，并命名為 (2) 病毒運行時會在系統(tǒng)中建立一個名為 BILLY 的互斥 (3) 病毒運行時會在內存中建立一個名為 的 (4) 病毒會修改注冊表，在 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows CurrentVersion ＼ Run中添加鍵值 windows auto update=，以便每次啟動系統(tǒng)時，病毒都會運行。該蠕蟲病毒不能成功攻擊 Windows Server 2023，但是可以造成 Windows Server 2023 系統(tǒng)的 RPC 服務崩潰，默 第 13章 計算機病毒 (10) 病毒檢測到當前系統(tǒng)月份是 8 月之后或者日期是 15 日之后，就會向微軟的更新站點 windows 發(fā)動拒 : (1) 病毒通過微軟的最新 RPC 漏洞進行傳播，因此用戶應先給系統(tǒng)打上 RPC (2) 病毒運行時會建立一個名為 BILLY 的互斥量，使病毒自身不重復進入內存，并且病毒在內存中建立一個名為 第 13章 計算機病毒 (3) 病毒運行時會將自身復制為 %systemdir%＼，用戶可以手動刪除該病毒文件 (%systemdir%是一個變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄 ) (4) 手工清除注冊表的 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows＼ CurrentVersion＼ Run 項中的 windows auto update= (5) 使用防火墻軟件將病毒會用到的 13 444 69 等端口禁止，或者使用“ TCP/IP 第 13章 計算機病毒 第 13章 計算機病毒 第 13章 計算機病毒 紅色代碼 Ⅱ 病毒是紅色代碼病毒的改良版，病毒作者對病毒體做了很多優(yōu)化，同樣可以對紅色代碼病毒可攻擊的聯(lián)網(wǎng)計算機發(fā)動進攻，它不同于以往的文件型病毒和引導型病毒，只存在于內存，傳染時不通過文件這一常規(guī)載體，而是直接從一臺計算機內存到另一臺計算機內存。病毒代碼首先會判斷內存中是否已注冊了一個名為 CodeRed Ⅱ [JP]的 Atom (系統(tǒng)用于對象識別 )，如果已存在此對象，則表示此機器已被感染，病毒進入無限休眠狀態(tài)，未感染則注冊Atom 并創(chuàng)建 300個病毒線程。然后從病毒體內釋放出一個木馬程序，復制到系統(tǒng)根目錄下，并取名為，此木馬運行后會調用系統(tǒng)原 ，運行效果和正常 Explorer 程序無異，但注冊表中的很多項已被修改。 第 13章 計算機病毒 紅色代碼病毒的清除方案如下 : (1) (2) 斷掉網(wǎng)絡并重新啟動系統(tǒng)，防止病毒通過網(wǎng)絡再次 (3) 刪除以下病毒釋放的木馬程序 : C: ＼ ipub＼ Scripts＼ 。 DEL C: ＼ ?！?AV終結者”病毒運行后會在系統(tǒng)中生成如下幾個文件 : C: ＼ program files＼ mon files＼ microsoft shared＼ msinfo＼隨機生成病毒名 .dat。 第 13章 計算機病毒 “ AV終結者”病毒運行后會在本地磁盤和移動磁盤中復制病毒文件和 ，當用戶雙擊盤符時就會激活病毒，即使重裝系統(tǒng)也無法將病毒徹底清除。當殺毒軟件暫時失去作用時，病毒就會乘勝追擊，通過一種“映像劫持”技 第 13章 計算機病毒 “映像劫持”會在注冊表的“ HKEY_LOCAL_MACHINE＼ SOFTWARE＼ Microsoft＼ Windows NT＼ CurrentVersion＼Image File Exeution Options”位置新建一個以殺毒軟件和安全工具程序名稱命名的項。病毒進程的主要作用是監(jiān)視系統(tǒng)中的用戶操作，例如用戶想手動清除病毒，修改注冊表，病毒每隔一段時間就會把注冊表改回去，讓用戶做無用功 。運行 regedit, 找到 HEKEY_LOCAL_MACHINE＼ SOFTWARE＼ microsoft＼windows NT＼ currentversion＼ image file execution options， 右擊此選項，在彈出的菜單中選擇“權限”，然后把administrators用戶組和 users用戶組的權限全部取消即可。目前已知的還原產(chǎn)品都無法防止這種病毒的穿透感染和傳播。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成。網(wǎng)絡時代，病毒與黑客程序結合，傳播速 度非?？?， 破壞性更大，傳播渠道更多，實時檢測更困難。網(wǎng)頁腳本病毒和蠕蟲 病毒是隨著 網(wǎng)絡的發(fā)展而發(fā)展起來的，它們往往和木馬程序結合在一起 第 13章 計算機病毒 (5) 反病毒技術因病毒的出現(xiàn)而出現(xiàn)，并且必將伴隨著病毒的長期存在而長期存在下去。 第 13章 計算機病毒 1. 2. 3. 4. 紅色代碼 Ⅱ 5. AV 第 13章 計算機病毒 演講完畢，謝謝觀看！ 。 第 13章 計算機病毒 1. 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組 或者 2. 3. 從制作結構上分析，計算機病毒一般包括 、 、 和 4大功能模塊。宏病毒不感染 EXE和 COM文件，它是利用 Microsoft Word的開放性專門制作的具有 病毒特點 的宏的集合。染毒程 小 第 13章 計算機病毒 (3) 計算機病毒從其發(fā)展來看分為 4個階段。 第 13章 計算機病毒 (1) 計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。 第 13章 計算機病毒 5. 機器狗是一個木馬下載器，感染后會自動從網(wǎng)絡上下載木馬、病毒，危及用戶帳號的安全。最重要的是，病毒會從網(wǎng)絡上下載大量盜號木馬，盜取用戶的游戲帳戶信息，這也是它的真正目的。這樣當我們雙擊運行殺毒軟件的主程序時，運行的其實是病毒程序。病毒會終止大部分的殺毒軟件和安全工具的進程。 C: ＼ windows＼隨機生成病毒名 .chm 第 13章 計算機病毒 “ AV終結者”的病毒名是由大寫字母 +數(shù)字隨機組合而成的，其長度為 8位，可以說生成同名病毒的概率是很低的。 DEL D: ＼ 。 C: ＼ progra~1＼ Common~1＼ System＼ MSADC＼。最后病毒休眠 24 小時 (中文版為 48小時 )強行重啟計算機。 第 13章 計算機病毒 每個病毒線程每 100ms 就會向一隨機地址的 80 端口發(fā)送長度為 3818 B的病毒傳染數(shù)據(jù)包。 紅色代碼 Ⅱ 病毒擁有極強的可擴充性，通過程序自行完成的木馬植入工作，使得病毒作者可以通過改進此程序來達 第 13章 計算機病毒 紅色代碼 Ⅱ 病毒的程序流程如下 : 當本地 IIS 服務程序收到某個來自紅色代碼 Ⅱ 病毒發(fā)的請求數(shù)據(jù)包時，因存在漏洞而導致處理函數(shù)的堆棧溢出 (overflow)。然后 蠕蟲病毒會連接到這個端口，發(fā)送 tftp 命令，回連到發(fā)起進攻的主機，將 。沖擊波病毒運行時會不停地利用 IP掃描技術尋找網(wǎng)絡上系統(tǒng)為 Windows 2023/ XP 的計算機，找到后就利用 DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染。 第 13章 計算機病毒 (4) 使用干凈無毒的 (約 100 KB)文件替換染毒的同名的 文件 (57 344 B) (5) 將系統(tǒng)目錄下的 (57 344 B)以及Windows根目錄下的 文件徹底刪除，要在各邏輯盤的根目錄下查找 文件，如果有，則刪除這些病毒文件，并要查找文件名為 的文件，也要將其刪除。將 IIS 服務 Scripts 目錄中的 Tftp*.exe 和 (4) 去掉共享。本節(jié)將對 5種經(jīng)典的病毒進行 第 13章 計算機病毒 1. 尼姆達 (mm)病毒是 2023年 9月出現(xiàn)的一種破壞力較強的蠕蟲病毒，它通過多種方式進行傳播 : (1) 通過 Email (2) (3) 將病毒文件復制到?jīng)]有打補丁的微軟 (NT/2023)IIS 服 (4) (5) 第 13章 計算機病毒 該蠕蟲病毒由 JavaScript 腳本語言編寫，病毒體長度為57 344 B，它修改本地驅動器上的 .htm、 .html和 .asp文件。這些策略允許選擇系統(tǒng)管理應用程序的方式 : 應用程序既可以被“限制運行”，也可以被“禁止運行”。加州大學 Berkeley 實驗室開發(fā)了一個基于 Solaris 操作系統(tǒng)的沙箱系統(tǒng)，應用程序經(jīng)過系統(tǒng)底層調用解釋執(zhí)行，系統(tǒng)自動判斷應用程序調用的底層函數(shù)是否符合系統(tǒng)的安全要求，并決定是否執(zhí)行。就像病毒編碼變形使得傳統(tǒng)特征值方法失效一樣，針對虛擬機的新病毒可以輕易地使虛擬機失效。目前，反病毒虛擬機不同于 VMWare 和 Virtual PC 這些完全仿真計 算機資源的虛擬