【正文】 動植入與被動植入 兩類。 ? 在 Word文檔中加入木馬文件，在 Word文檔末尾加入木馬文件，只要別人點擊這個所謂的 Word文件就會中木馬。 木馬欺騙技術(shù)主要有 ： ? 偽裝成其它類型的文件 ，可執(zhí)行文件需要偽裝其它文件。 ? 自動恢復(fù)性 ? 很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。 47 木馬技術(shù)概述 ? 木馬特征 ? 隱蔽性 ? 隱蔽性是木馬的首要特征。另外也可以設(shè)置監(jiān)控自己主機有那些惡意的流量。 ? 刪除蠕蟲病毒的自啟動項 ? 感染蠕蟲主機用戶一般不可能啟動蠕蟲病毒，蠕蟲病毒需要就自己啟動。 ? 基于 DNS掃描 ? 從 DNS服務(wù)器獲取 IP地址來建立目標(biāo)地址庫，優(yōu)點在于獲得的 IP地址塊針對性強和可用性高。選擇性隨機掃描算法簡單，容易實現(xiàn)，若與本地優(yōu)先原則結(jié)合則能達(dá)到更好的傳播效果。這一方法的蠕蟲傳播速度較慢。 ? 現(xiàn)場處理 ? 當(dāng)攻擊成功后，開始對被攻擊的主機進(jìn)行一些處理工作，將攻擊代碼隱藏，為了能使被攻擊主機運行蠕蟲代碼，還要通過注冊表將蠕蟲程序設(shè)為自啟動狀態(tài)；可以完成它想完成的任何動作，如惡意占用 CPU資源；收集被攻擊主機的敏感信息，可以危害被感染的主機，刪除關(guān)鍵文件。 ? 破壞性 ? 越來越多的蠕蟲開始包含惡意代碼，破壞被攻擊的計算機系統(tǒng)，而且造成的經(jīng)濟損失數(shù)目越來越大。 ? 消耗系統(tǒng)資源 ? 蠕蟲入侵到計算機系統(tǒng)之后，一方面由于要搜索目標(biāo)主機、漏洞、感染其它主機需要消耗一定的資源；另一方面，許多蠕蟲會惡意耗費系統(tǒng)的資源。 35 網(wǎng)絡(luò)蠕蟲概述 ? 網(wǎng)絡(luò)蠕蟲具有以下特征 (21) ? 主動攻擊 ? 從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到攻擊成功后復(fù)制副本，整個流程全由蠕蟲自身主動完成。 ? 禁止郵件軟件的自動收發(fā)郵件功能 ? Windows默認(rèn)的是“隱藏已知文件類型的擴展名稱”，將其修改為顯示所有文件類型的擴展名稱。這樣這些文件就不會被執(zhí)行了。 ? 直接復(fù)制和調(diào)用可執(zhí)行文件 32 腳本病毒防御 ? 腳本病毒要求被感染系統(tǒng)具有如下支持能力： ? VBScript代碼是通過 Windows Script Host來解釋執(zhí)行的， 關(guān)支持程序。 ? 破壞力強 ? 腳本病毒可以寄生于 HTML或郵件通過網(wǎng)絡(luò)傳播，其傳播速度非?？臁? 27 傳統(tǒng)計算機病毒防御 ? 宏病毒的預(yù)防與清除 ? 找到一個無毒的 文件的備份，將位于“ MSOffice \Template ”文件夾下的通用模板 ； ? 對于已染病毒的文件，先打開一個無毒 Word文件，按照以下菜單打開對話框： ? 工具 宏 安全性，設(shè)置安全性為高 28 腳本病毒 腳本病毒概述 ? 腳本病毒依賴一種特殊的腳本語言（如： VBScript、JavaScript等）起作用，同時需要應(yīng)用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令，腳本病毒可以在多個產(chǎn)品環(huán)境中進(jìn)行。 ? 及時更新病毒引擎，最好每周更新一次，并在有病毒突發(fā)事件時立即更新。人們大多對外來的文檔文件基本是直接瀏覽使用，這給 Word宏病毒傳播帶來很多便利。 ? 破壞機制 ? 良性病毒表現(xiàn)為占用內(nèi)存或硬盤資源。 （ 12） 基本內(nèi)存發(fā)生變化。 4. 破壞性 ? 破壞性 計算機所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計算機病毒的破壞 5. 潛伏性 ? 潛伏性 長期隱藏在系統(tǒng)中，只有在滿足特定條件時，才啟動其破壞模塊。 （ 4） 操作系統(tǒng)型病毒 4．按照計算機病毒的破壞能力分類 ? 根據(jù)病毒破壞的能力可劃分為 4種： （ 1） 無害型 （ 2） 無危險型 （ 3） 危險型 （ 4） 非常危險型 9 計算機病毒的分類（ 3） 5．按照傳播媒介不同分類 （ 1）單機病毒 （ 2）網(wǎng)絡(luò)病毒 6．按傳播方式不同分類 （ 1）引導(dǎo)型病毒 （ 2）文件型病毒： . .exe （ 3）混合型病毒 7．根據(jù)病毒特有的算法不同分類 （ 1） 伴隨型病毒 （ 2） 蠕蟲 型病毒 （ 3） 寄生型病毒 （ 4） 練習(xí)型病毒 （ 5） 詭秘型病毒 （ 6） 變型病毒（又稱幽靈病毒） 10 計算機病毒的分類（ 4） 8. 按照病毒的寄生部位或傳染對象分類 （ 1）磁盤引導(dǎo)區(qū)傳染的計算機病毒 （ 2）操作系統(tǒng)傳染的計算機病毒 （ 3）可執(zhí)行程序傳染的計算機病毒 ? 以上三種病毒的分類，實際上可以歸納為兩大類： ? 一類是引導(dǎo)區(qū)型傳染的計算機病毒； ? 另一類是可執(zhí)行文件型傳染的計算機病毒。 ? 以振蕩波蠕蟲病毒的變種 c“Worm. Sasser. c”為例， Worm指病毒的種類為蠕蟲， Sasser是病毒名， c指該病毒的變種。 （ 4）網(wǎng)絡(luò)病毒階段（第四階段） ? 隨國際互聯(lián)網(wǎng)廣泛發(fā)展，依賴互聯(lián)網(wǎng)傳播的郵件病毒和宏病毒等泛濫，呈現(xiàn)出病毒傳播快、隱蔽性強、破壞性大特點。病毒程序不具有自我保護功能，較容易被人們分析、識別和清除。1 第五章 計算機病毒及惡意代碼 ? 本章學(xué)習(xí)重點掌握內(nèi)容： ? 傳統(tǒng)病毒原理 ? 腳本病毒原理 ? 網(wǎng)絡(luò)蠕蟲原理 ? 木馬技術(shù) ? 網(wǎng)絡(luò)釣魚技術(shù) ? 僵尸網(wǎng)絡(luò) ? 流氓軟件 2 第五章 計算機病毒及惡意代碼 計算機病毒概述 傳統(tǒng)的計算機病毒 腳本病毒 3 計算機病毒的定義 ? 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組 計算機指令 或者程序代碼 。 （ 1）原始病毒階段（第一階段） ? 攻擊目標(biāo)和破壞性比較單一。防病毒軟件難以查殺，如 94年“幽靈“病毒。 ? 一般格式為： [前綴 ].[病毒名 ].[后綴 ]。常見、易于編寫、易發(fā)現(xiàn)。通過隱蔽技術(shù)使宿主程序的大小沒有改變，以至于很難被發(fā)現(xiàn)。 16 計算機中毒的異常表現(xiàn) 1. 計算機病毒發(fā)作前的表現(xiàn) （ 1） 平時運行正常的計算機突然經(jīng)常性無緣無故地死機 （ 2） 操作系統(tǒng)無法正常啟動 （ 3） 運行速度明顯變慢 （ 4） 正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足問題 （ 5） 打印和通訊出現(xiàn)異常 （ 6） 無意中要求對 U盤進(jìn)行寫操作 （ 7） 以往正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤 （ 8） 系統(tǒng)文件的時間、日期、大小發(fā)生變化 （ 9） 無法另存為一個 Word文檔 （ 10） 磁盤空間迅速減少