【正文】 即使一臺客戶機被引導(dǎo)病毒感染，它也不能感染網(wǎng)絡(luò)服務(wù)器。而且，端到端網(wǎng)絡(luò)的安全性很可能比專門維護的文件服務(wù)器的安全性更差。 因為文件和目錄級保護只在文件服務(wù)器中出現(xiàn)，而不在工作站中出現(xiàn)，所以可執(zhí)行文件病毒無法破壞基于網(wǎng)絡(luò)的文件保護。網(wǎng)絡(luò)中只要有一臺工作站未消毒干凈就可使整個網(wǎng)絡(luò)全部被病毒感染，甚至剛剛完成消毒的一臺工作站也有可能被網(wǎng)上另一臺工作站的帶病毒程序所傳染。它不需要寄主程序，因為因特網(wǎng)就是帶著它們到處肆虐的寄主。 網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒的特點 計算機網(wǎng)絡(luò)的主要特點是資源共享?？梢越o那些有時需要改變 ， 有時又不需要改變的用戶提供了一種選擇。 宏病毒必須改變 ，這是其特點或弱點之一。 Sub MAIN DisableAutoMacros 1 End Sub 退出編輯狀態(tài)并存儲結(jié)果。 點擊 Open Files得到瀏覽框可以選擇查看的目標。 Shift鍵必須在整個 Word啟動過程一直按著，如果過早松手，自動宏便會被執(zhí)行。在使用 Word 的進程中，如果文檔被感染，用戶還是一無所知。 (3) 多數(shù)宏病毒包含 AutoOpen、 AutoClose、AutoNew和 AutoExit等自動宏，通過這些自動宏病毒取得文檔 (模板 )操作權(quán)。 模板的不兼容使英文 Word中的病毒模板在同一版本的中文 Word中打不開而自動失效，反之亦然。類似的電子表格軟件 Excel也支持宏，但它的范本文件是 。 1. 宏病毒行為機制 Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏合在一起放在后綴為 .DOC的文件之中，這種作法已經(jīng)不同于以往的軟件將資料和宏分開存儲的方法。 伴隨型病毒會創(chuàng)建一個新文件，并且讓 DOS執(zhí)行這個新程序而不是原來的程序，從而進行感染。在這些文件中，在大多數(shù)情況下 DOS程序的內(nèi)存映射大小小于 2KB。 (5) 文件病毒的潛在破壞 文件病毒引起的大多數(shù)損害源于有故障的病毒代碼。直接操作病毒還必須確定它所定位的當(dāng)前文件是否屬于要感染的類型。 因此 .SYS文件的感染過程類似于 .EXE文件。用于感染 .COM文件的另一種方法為覆蓋。裝入過程也最簡單， DOS直接把程序讀入內(nèi)存，然后跳到程序映射中的第一條指令。在用戶看來系統(tǒng)已正常引導(dǎo)，絲毫覺察不出病毒的入侵。不幸的是，許多不同的磁盤管理和訪問控制包都把它們自己的自舉程序和數(shù)據(jù)存放在這一區(qū)域。 病毒把第一個物理硬盤的主引導(dǎo)區(qū)裝入內(nèi)存，然后它檢查主引導(dǎo)記錄的自舉例程是否已經(jīng)感染，如果已被感染，病毒就會終止感染過程，開始引導(dǎo)；如果未被感染，它就會更改主引導(dǎo)扇區(qū)，覆蓋已有的主引導(dǎo)記錄。不幸的是在病毒覆蓋了軟盤上某個扇區(qū)后，使用傳統(tǒng)的磁盤工具無法恢復(fù)該扇區(qū)的內(nèi)容。 在病毒感染軟盤之前，它必須確定磁盤是否已經(jīng)被感染。如果病毒不駐留內(nèi)存，僅訪問一塊被感染的磁盤是不會引起廣泛感染的，除非用被感染的軟盤引導(dǎo)。以后當(dāng)操作系統(tǒng)發(fā)出一項系統(tǒng)服務(wù)請求時，先查找 INT， 接下來病毒檢查請求，如果是它所需要的，就感染被訪問的軟盤。 當(dāng) DOS裝入時，就會發(fā)現(xiàn)只有 638KB可供使用，并且不會讀取、修改或更新最后幾 KB內(nèi)存。 所有 PC都包含一塊保留的內(nèi)存區(qū)域，稱為 BIOS數(shù)據(jù)區(qū)域（ BDA）。 軟引導(dǎo)記錄病毒在系統(tǒng)重置期間獲取計算機的控制。如果一個磁盤有引導(dǎo)記錄病毒，當(dāng)計算機要從這個軟盤或硬盤引導(dǎo)時，病毒就被激活。許多病毒程序都是通過 INT 10H來達到顯示的目的。 該中斷處理來自系統(tǒng)時鐘 8253通道 0的中斷。 在中斷處理程序的入口處測試 DL。 中斷向量表是中斷類型號和相應(yīng)的中斷處理子程序入口地址之間的連接表。 中斷是指計算機的 CPU在執(zhí)行程序的過程中，由于某種原因，暫時停止正在執(zhí)行的程序，轉(zhuǎn)去執(zhí)行臨時發(fā)生的事件，即執(zhí)行中斷服務(wù)程序，中斷服務(wù)程序執(zhí)行結(jié)束，再轉(zhuǎn)回去執(zhí)行正常的程序。 ④ 該程序被加載的起始標號必須由 END語句說明為開始地址 。在 .EXE文件的程序終止退回到 DOS時，其所占的內(nèi)存空間將全部釋放，除非要求駐留內(nèi)存才釋放部分空間。如果三類文件都不是時，顯示提示信息 :Bad Command or filename。磁盤上的存儲空間是以扇區(qū)為單位，但是操作系統(tǒng)對磁盤的最小分配單位是簇，每簇是一個或多個扇區(qū)。存在則加載到內(nèi)存指定區(qū)，并把控制權(quán)交給 BIOS模塊，否則顯示相應(yīng)的出錯信息。至此 DOS啟動成功，完成了所有初始化任務(wù)。 ③ 建立缺省的磁盤扇區(qū)緩沖區(qū)（ 2個）和缺省的文件句柄控制塊（ 8個）。該代碼調(diào)用 SYSINIT程序完成系統(tǒng)的初始化工作。當(dāng)軟盤驅(qū)動器門未合上或讀盤不成功時，均自動提示。系統(tǒng)啟動有冷啟動和熱啟動之分，冷啟動有兩種情況：開機或按 RESET開關(guān)，都使 CPU進入復(fù)位狀態(tài)，并置 CS： IP為 FFFF： 0000。 系統(tǒng)功能調(diào)用程序主要由 INT 21h構(gòu)成，該程序向用戶提供由 063h子功能號組成的系統(tǒng)功能調(diào)用。 (2) 基本輸入輸出模塊 又稱基本輸入輸出管理模塊。一般病毒在對目標進行傳染前，要判斷傳染條件，如 CIH病毒只針對 Windows 95/98操作系統(tǒng)，判斷病毒是否已經(jīng)感染過該目標等。大部分的文件型病毒都屬于這一類。因為它要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。在計算機啟動時首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，在系統(tǒng)存取操作時進行傳播，影響系統(tǒng)工作效率。如“ SPY”病毒， KILL起名為 SPY， KV300則叫“ TPVO3783”。 在機器的 CMOS中，保存著系統(tǒng)的重要數(shù)據(jù)，如系統(tǒng)時鐘、磁盤類型、內(nèi)存容量等，并具有校驗和。 4. 干擾系統(tǒng)運行，使運行速度下降。攻擊部位包括：硬盤主引導(dǎo)扇區(qū)、 Boot扇區(qū)、 FAT表、文件目錄。大多數(shù)病毒的組合條件是基于時間的，再輔以讀寫盤操作，按鍵操作以及其它條件。 5. 潛伏性 大部分病毒在感染系統(tǒng)后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，除了傳染外，不表現(xiàn)出破壞性，這樣的狀態(tài)可能保持幾天，幾個月甚至幾年，只有在滿足其特定條件后才啟動其表現(xiàn)模塊，顯示發(fā)作信息或進行系統(tǒng)破壞。在這一系列的操作中，最重要的是病毒與系統(tǒng)掛起鉤來，即取得系統(tǒng)控制權(quán)，系統(tǒng)每執(zhí)行一次操作，病毒就有機會執(zhí)行它預(yù)先設(shè)計的操作，完成病毒代碼的傳播或進行破壞活動。攜帶病毒代碼的文件稱為計算機病毒載體或帶毒程序。它的破壞目的非常明確，如破壞數(shù)據(jù)、刪除文件、格式化磁盤、破壞主板等，因此惡性病毒非常危險。 計算機病毒的特點 要做好反病毒技術(shù)的研究，首先要認清計算機病毒的特點和行為機理，為防范和清除計算機病毒提供充實可靠的依據(jù)。 9. 宏病毒階段 1996年，隨著 Windows Word功能的增強，使用Word宏語言也可以編制病毒。當(dāng)生成的是病毒時，這種復(fù)雜的病毒生成器和變體機就產(chǎn)生了。這類病毒的特點是不改變原來的文件內(nèi)容、日期及屬性，解除病毒時只要將其伴隨體刪除即可。它們利用 DOS系統(tǒng)加載執(zhí)行文件的機制工作，如“耶路撒冷”、“星期天”病毒。直到 1987年，病毒并沒有真正在世界上傳播開來，也沒有引起人們的重視，更沒有被充分認識到將造成多大的危害。第 4章 計算機病毒防治 計算機病毒概述 DOS環(huán)境下的病毒 宏病毒 網(wǎng)絡(luò)病毒 現(xiàn)代計算機病毒流行特性 殺毒軟件技術(shù) 典型病毒介紹 常用反病毒軟件產(chǎn)品 習(xí) 題 計算機病毒概述 病毒的定義 “計算機病毒”一詞最早是由美國計算機病毒研究專家 。 1988年 11月的一次病毒發(fā)作，造成Inter網(wǎng)上的 6200多用戶系統(tǒng)癱瘓，經(jīng)濟損失達九千多萬美元，隨后一系列病毒事件的發(fā)生，才引起人們對計算機病毒高度重視，并在國際計算機領(lǐng)域掀起了一個探討病毒的高潮。病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán)，修改 DOS中斷，在系統(tǒng)調(diào)用時進行傳染，將自己附加在可執(zhí)行文件中，被感染的文件長度明顯變長，病毒代碼沒有加密。在非 DOS操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語言進行工作，較典型的代表是“海盜旗”病毒，它在得到執(zhí)行時，詢問用戶名稱和口令，然后返回一個出錯信息，將自身刪除。比較典型的代表是“病毒制造機” VCL， 它可以在瞬間制造出成千上萬種不同的病毒，查解時就不能使用傳統(tǒng)的特征識別法，需要在宏觀上分析指令，解碼后查解病毒。這種病毒使用類Basic語言，編寫容易，感染 Word文檔文件。根據(jù)對計算機病毒的產(chǎn)生、傳染和破壞行為的分析，總結(jié)出病毒的幾個主要特點： 1. 刻意編寫人為破壞 計算機病毒不是偶然自發(fā)產(chǎn)生的，而是人為編寫的有意破壞、嚴謹精巧的程序段，它是嚴格組織的程序代碼，與所在環(huán)境相互適應(yīng)并緊密配合。良性病毒是指不包含立即直接破壞的代碼，只是為了表現(xiàn)其存在或為說明某些事件而存在，如只顯示某些信息，或播放一段音樂，或沒有任何破壞動作但不停地傳播。每一臺被感染了病毒的計算機，本身既是一個受害者，又是計算機病毒的傳播者，通過各種可能的渠道，如軟盤、光盤、活動硬盤、網(wǎng)絡(luò)去傳染其它的計算機。反病毒技術(shù)也正是抓住計算機病毒的這一特點提前與病毒取得系統(tǒng)控制權(quán)，阻止病毒取得系統(tǒng)控制權(quán)，然后識別出計算機病毒的代碼和行為。使計算機病毒發(fā)作的觸發(fā)條件主要有以下幾種： (1) 利用系統(tǒng)時鐘提供的時間作為觸發(fā)器，這種觸發(fā)機制被大量病毒使用。 6. 不可預(yù)見性 不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠是超前的。一般來說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。此類行為也是花樣繁多，如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、換現(xiàn)行盤、時鐘倒轉(zhuǎn)、重啟動、死機、強制游戲、擾亂串并接口等等。有的病毒激活時，能夠?qū)?CMOS區(qū)進行寫入動作，破壞 CMOS中的數(shù)據(jù)。 給病毒起名的方法不外乎以下幾種： 按病毒出現(xiàn)的地點，如“ ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶；按病毒中出現(xiàn)的人名或特征字符，如“ ZHANGFANG1535”， “DISK KILLER”，“上海一號”；按病毒發(fā)作時的癥狀命名，如“火炬”，“蠕蟲”；按病毒發(fā)作的時間，如“ NOVEMBER 9”在 11月 9日發(fā)作；有些名稱包含病毒代碼的長度，如“ 系列， 等。 文件型病毒一般只傳染磁盤上的可執(zhí)行文件 COM，EXE等。這樣剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。 3. 按破壞性可分為良性病毒和惡性病毒。 3. 表現(xiàn)部分是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它由兩部分組成：系統(tǒng)初始化程序、標準字符和塊設(shè)備驅(qū)動程序。當(dāng)應(yīng)用程序調(diào)用這些功能時，首先要設(shè)置寄存器為指定的參數(shù)，然后由系統(tǒng)調(diào)用這些功能，如，文件和記錄的管理、內(nèi)存管理、字符設(shè)備的輸入/輸出、目錄管理、日期和時間管理、“假脫機”、網(wǎng)絡(luò)管理、程序結(jié)束等。 熱啟動是按復(fù)位組合鍵 CTRL+ALT+DEL后，鍵盤中斷程序復(fù)位標志為 1234H， 使系統(tǒng)直接跳轉(zhuǎn)到自檢程序。當(dāng)有硬盤并成功地連接系統(tǒng)后，硬盤自舉程序會取代本程序。 SYSINIT是系統(tǒng)的初始化程序，是 DOSBIOS模塊的一個重要組成部分。 (5) 建立系統(tǒng)運行環(huán)境 DOS 內(nèi)核初始化工作完成之后將返回 SYSINIT程序執(zhí)行第二階段的初始化工作，包括以下內(nèi)容： ① 打開文件 并依次解釋每條命令，根據(jù)指定配置命令建立 DOS運行系統(tǒng)環(huán)境，如磁盤扇區(qū)緩沖區(qū)數(shù) BUFFERS、 文件句柄控制塊數(shù) FILES、 設(shè)備驅(qū)動程序 DEVICE等。 3. DOS引導(dǎo)記錄 DOS 引導(dǎo)記錄位于軟盤的 0面 0道 1扇區(qū)；硬盤在DOS分區(qū)的邏輯 0扇區(qū)上。 4. DOS文件系統(tǒng) DOS文件管理主要通過文件目錄表 FDT、 文件分配表 FAT和磁盤參數(shù)表以及設(shè)備驅(qū)動程序來實施。 5. DOS的程序加載過程 DOS 加載程序是由系統(tǒng)功能中的執(zhí)行功能（ EXEC）來完成的。 ④ 若找到一個批處理文件，則轉(zhuǎn)入 COMMAND暫駐區(qū)的批處理程序，解釋執(zhí)行該批文件中每條命令。 由于 .EXE文件的這種特殊結(jié)構(gòu)，連接程序 LINK根據(jù)被連接的目標模塊的不同，連接參數(shù)要相應(yīng)地生成一個“重定位信息表”，并將其安裝在程序的前頭，所以稱“重定位信息表”為“文件頭”。 若 .COM文件是由幾個不同的目標模塊連接生成的，則要求所有目標模塊必須具有同一代碼段名和類別名 (CLASS)， 且賦予公共屬性，而主模塊應(yīng)具有 100H的入口指針并優(yōu)先連接 。 (1) 常見的中斷原因有：用戶希望的請求，如從某個設(shè)備上輸入或輸出；未預(yù)料的各種錯誤，如在計算過程中出現(xiàn)溢出等。中斷向量表占用內(nèi)存的 0000：0000H到 0000： 03FFH之間的 1KB地址空間。 若 DL值小于 80H， 則對軟盤操作，若大于或等于 80H， 則對硬盤操作，具體功能號放置在 AH中。每秒鐘發(fā)出，每次間隔時間約 55ms。如“雨點”病毒，大量調(diào)用 INT 10H， 使屏幕上的 ASCII字符