【正文】 2022年 1月 網(wǎng)絡(luò)大面積癱瘓，銀行自動取款機(jī)運(yùn)行中斷， 直接損失超過 26億 沖擊波 2022年 7月 大量網(wǎng)絡(luò)癱瘓，造成數(shù)十億美元的損失 MyDoom 2022年 1月 大量的垃圾郵件阻塞 SCO和微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了 300多億美元的損失 第 49頁 自我復(fù)制過程 ? 創(chuàng)建一個文件操作對象 ? Set objFs=CreateObject() ? 通過文件操作對象的方法創(chuàng)建了一個 TXT文件 ? (C:\) ? 如果把這兩句話保存成為 vbs的腳本文件，點(diǎn)擊它，就會在 C盤中創(chuàng)建一個 TXT文件了。在程序運(yùn)行過程中，監(jiān)視其行為，與事先總結(jié)出的行為特征進(jìn)行匹配，如果發(fā)現(xiàn)了病毒行為，立即報警。 ? 校驗(yàn)和法對隱蔽性病毒無效。 ? 優(yōu)點(diǎn)：校驗(yàn)和法既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。 ? （ 5）出現(xiàn)新病毒后，重復(fù)第 1~3 步，將該病毒的特征代碼納入病毒數(shù)據(jù)庫，更新版本。一般認(rèn)為特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。 ? “ 殺毒 ” 即清除病毒的能力。管理員可以強(qiáng)制實(shí)施嚴(yán)格的策略，確定哪些用戶有權(quán)修改本地或遠(yuǎn)程運(yùn)行腳本。 ? 方法二：通過改變 VBS文件打開方式來阻止 VBS腳本程序的執(zhí)行。 第 41頁 ? 注冊表解鎖：注冊表被鎖是病毒攻擊常用的手段，在輸入命令 regedit時，注冊表不能夠使用，并發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運(yùn)行該程序。在啟動組中添加自啟動程序 MsgBox(Success!) 第 39頁 IE相關(guān)的注冊表項(xiàng) ? 設(shè)置 IE的默認(rèn)連接首頁 ? 鍵值： ? HKLM\SOFTWARE\Microsoft\Inter Explorer\Main\Start Page ? HKEY_CURRENT_USER\Software\Microsoft\Inter Explorer\Main ? 例如：將鍵值設(shè)置為 “ IE窗口時將顯示 “ 百度 ” 的首頁。腳本文件名為 39。禁用 “ 開始 ” 菜單中的 “ 運(yùn)行 ” 功能 Call Change(StartMenu_Find) 39。 ? HKCR\xxx\value,1,REG_DWORD ? RegDelete：刪除操作 RegDelete主要是用來刪除注冊表中已存在的主鍵或鍵值，同讀操作類似需要指定鍵路徑。x3。 html body Test script var color=new Array。最近有部分個人主頁或郵件含有可以格式化本地硬盤的惡意代碼； ? IE泄密。 ? 利用 WSH，用戶能夠操縱 WSH對象、 ActiveX對象、注冊表和文件系統(tǒng)，還可訪問活動目錄服務(wù)。 ? 在打開文件時，按住 Shift鍵可以阻止自動宏的運(yùn)行 。 ? 對于已被傳染病毒的文件首先將 (AutoOpen、 AutoClose、 AutoNew等 )，然后將 讀方式。這些操作均可能對系統(tǒng)直接構(gòu)成威脅。 ? 特點(diǎn)： ? 傳播極快。破壞性表現(xiàn)為在機(jī)器的批處理文件 Autoexec． bat中加入 “ deltree／ y c： ” 一句，機(jī)器在下一次啟動后就將自動刪除 C盤上的所有文件。 ? 只對用戶進(jìn)行騷擾，但不破壞系統(tǒng)的類型。 ? VBA包含一個由對象構(gòu)成的層次結(jié)構(gòu)，每個對象都包含一組方法和屬性，大部分的 WordBasic命令可以在 VBA下以 WordBasic對象的方法的方式運(yùn)行，也有一些命令沒有直接對應(yīng)的方法。 第 20頁 宏病毒實(shí)例 ? Word宏： office宏是微軟公司為其 OFFICE軟件包設(shè)計的一個特殊功能，軟件設(shè)計者為了讓人們在使用軟件進(jìn)行工作時，避免一再地重復(fù)相同的動作而設(shè)計出來的一種工具。 ? 源碼病毒 :主要是利用 Java、 VBS、 ActiveX等網(wǎng)絡(luò)編程語言編寫，放在電子郵件的附件或者 HTML主頁中，進(jìn)入被感染計算機(jī)中執(zhí)行。 第 18頁 ? 按鏈接方式分類 ? 操作系統(tǒng)病毒 :操作系統(tǒng)病毒在傳染時，用自己的運(yùn)行邏輯取代操作系統(tǒng)的正常邏輯模塊。 ? 我國： “ 計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。但彈出式廣告會非常令人討厭，并且在某些情況下會降低系統(tǒng)性能 。這些活動可以包括收集個人信息，以及更改 Inter 瀏覽器配置設(shè)置。 ? 垃圾郵件（ Spam） ? 垃圾郵件是未經(jīng)請求 ,不請自來的電子郵件，用于為某些服務(wù)或產(chǎn)品做廣告。因此，在 IT 行業(yè)可以看到大量的惡作劇。 ? 多態(tài) :這種類型的惡意軟件使用加密防護(hù)機(jī)制更改其自身，以免被檢測出來。 ? 網(wǎng)絡(luò)共享：一旦為計算機(jī)提供了通過網(wǎng)絡(luò)彼此直接連接的機(jī)制，就會為惡意軟件編寫者提供另一個傳輸機(jī)制，而此機(jī)制所具有的潛力可能會超出可移動媒體的能力，從而可以傳播惡意代碼。 ? 可執(zhí)行文件：這是通過將其自身附加到宿主程序進(jìn)行復(fù)制的 “ 典型 ” 病毒類型的目標(biāo)對象 ? 腳本：將腳本用作攜帶者目標(biāo)文件的攻擊 ? 宏：這些攜帶者是支持特定應(yīng)用程序（例如，字處理器、電子表格或數(shù)據(jù)庫應(yīng)用程序）的宏腳本語言的文件 ? 啟動扇區(qū)：計算機(jī)磁盤（硬盤和可啟動的可移動媒體）上的特定區(qū)域。宿主程序執(zhí)行時，病毒代碼也隨之運(yùn)行，并會感染新的宿主，條件滿足時執(zhí)行惡意破壞任務(wù)。 ? 病毒變得越來越復(fù)雜：病毒開始訪問電子郵件通訊簿，并將其自身發(fā)送到聯(lián)系人；宏病毒將其自身附加到各種辦公類型的文件；此外還出現(xiàn)了專門利用操作系統(tǒng)和應(yīng)用程序漏洞的病毒。第 1頁 第六章 惡意代碼 第 2頁 基本內(nèi)容 ? ? ? 第 3頁 ? 1986年，報道了攻擊 Microsoft MSDOS 個人計算機(jī)的第一批病毒。 ? 1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，還出版了第一本關(guān)于病毒編寫的書籍。 ? 病毒：病毒將其自身附加到宿主程序，在計算機(jī)之間進(jìn)行傳播。攜帶者的數(shù)量和類型隨惡意軟件的不同而不同 。 ? 可移動媒體：計算機(jī)病毒和其他惡意軟件最初的、并且可能也是最多產(chǎn)的傳送器（至少到當(dāng)前為止）是文件傳輸。 ? 裝甲：這種類型的防護(hù)機(jī)制使用某種試圖防止對惡意代碼進(jìn)行分析的技術(shù) ? 竊取：惡意軟件使用此類技術(shù)，通過截獲信息請求并返回錯誤數(shù)據(jù)來隱藏其自身 ? 加密：使用此防護(hù)機(jī)制的惡意軟件加密其自身或負(fù)載（有時甚至加密其他系統(tǒng)數(shù)據(jù)） ? 寡態(tài) :此特征的惡意軟件使用加密防護(hù)機(jī)制進(jìn)行自身防護(hù)，并且可以將加密例程更改為只能使用固定的次數(shù)（通常數(shù)目很小