【正文】 大部分病毒在感染系統(tǒng)后一般不會馬上發(fā)作，而是長期隱藏在系統(tǒng)中，除了傳染外，不表現(xiàn)出破壞性，只有在滿足其特定條件后才啟動其表現(xiàn)模塊，顯示發(fā)作信息或進行系統(tǒng)破壞。 是否具有傳染性是判別一個程序是否為計算機病毒的首 第 13章 計算機病毒 2. 任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。在這一階段中病毒的發(fā)展主要是病毒技術(shù)的發(fā)展，病毒開始向多維化方向發(fā)展。 第 13章 計算機病毒 (3) 病毒傳染目標(biāo)后沒有明顯的特征，如磁盤上不出現(xiàn)壞扇區(qū)、可執(zhí)行文件的長度增加不明顯、不改變被傳染文件 (4) 病毒程序往往采取了自我保護措施，如加密技術(shù)、反跟蹤技術(shù)等來制造障礙，增加人們分析和解剖的難度，同 第 13章 計算機病毒 (5) 出現(xiàn)了許多病毒的變種，這些變種病毒較原病毒 總之，這一時期出現(xiàn)的病毒不僅在數(shù)量上急劇地增加，更重要的是病毒從編制的方式、方法，駐留內(nèi)存以及對宿主 第 13章 計算機病毒 3. 第三代計算機病毒的產(chǎn)生年限可以認(rèn)為在 1992~1995年之間，此類病毒稱為“多態(tài)性”或“自我變形”病毒。 1998年，首例破壞計算機硬件的 CIH病毒出現(xiàn)，引起人們的恐慌。一般而言，業(yè)界公認(rèn)這是真正具備完整特征的計算機病毒始祖。直到十年之后，貝爾實 驗室的年輕程序員受到馮 計算機病毒有很多種定義，國外最流行的定義為 : 計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。在預(yù)定的時間內(nèi)，誰的程序繁殖得多，誰就獲勝。這次事件中遭受攻擊的包括 5個計算機中心和 12個地區(qū)結(jié)點，連接著政府、大學(xué)、研究所和擁有政府合同的 250000臺計算機。據(jù)統(tǒng)計 : 蠕蟲病毒占了 2023年所有病毒感染的35%，木馬病毒占據(jù) 49%以上的比例，黑客病毒占據(jù) 14%的比例，其余 2% 第 13章 計算機病毒 總體上說，計算機病毒隨計算機技術(shù)的發(fā)展而發(fā)展，伴隨著操作系統(tǒng)的更新?lián)Q代，病毒也會采用新的技術(shù)實現(xiàn)其功 第 13章 計算機病毒 1. 第一代計算機病毒的產(chǎn)生年限可以認(rèn)為在 1986~1989年之間，這一期間出現(xiàn)的病毒可稱為傳統(tǒng)病毒，這一時期是計算機病毒的萌芽和滋生時期。他編寫此類病毒的目的是為了研究，即證明特征代碼檢測法不是在任何場合下都是有效的。由于宏 病毒編寫簡單、破壞性強、清除繁雜，加上微軟對 DOC文檔結(jié)構(gòu)沒有公開，給直接基于文檔結(jié)構(gòu)清除宏病毒帶來了諸多不便。惡性病毒在代碼中包含有損傷、破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)直接造成嚴(yán)重?fù)p壞。 第 13章 計算機病毒 5. 不同種類的病毒，它們的代碼千差萬別，但有些操作技術(shù)是共同的 (如駐內(nèi)存、改中斷 )。 (1) (2) (3) (4) 第 13章 計算機病毒 一般來說，主控模塊除完成上述動作外，還要執(zhí)行下述動作 : (1) 調(diào)查運行的環(huán)境，如確定系統(tǒng)內(nèi)存容量、磁盤設(shè)置 (2) 常駐內(nèi)存的病毒還要請求內(nèi)存區(qū)、傳送病毒代碼、 (3) 處理病毒運行時的意外情況，防止病毒自身信息的 第 13章 計算機病毒 2. 感染模塊的作用是將病毒代碼傳染到其他對象上去，負(fù)責(zé)實現(xiàn)感染機制。 病毒觸發(fā)模塊的主要功能如下 : (1) (2) (3) 第 13章 計算機病毒 4. 破壞模塊負(fù)責(zé)實施病毒的破壞工作，其內(nèi)部是實現(xiàn)病毒編寫者預(yù)定破壞動作的代碼。 由于篇幅的限制，本節(jié)對 Windows 下的 PE病毒沒有進行專門的闡述，而是介紹了 DOS時代、 Windows時代、互聯(lián)網(wǎng) 計算機病毒的基本原理 第 13章 計算機病毒 引導(dǎo)型病毒 引導(dǎo)型病毒是一種在 ROM BIOS之后，系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是 BIOS中斷服務(wù)程序。 第 13章 計算機病毒 引導(dǎo)型病毒按其寄生對象的不同分為 MBR(主引導(dǎo)區(qū) )病毒和 BR(引導(dǎo)區(qū) )病毒兩類。在感染的過程中，病毒將COM文件的開始 3字節(jié)改寫為跳轉(zhuǎn)到病毒代碼的指令。 Word宏病毒是利用 Microsoft Word的開放性專門制作的具有病毒特點的宏的集合。第 1行的 ′APMP是病毒的感染標(biāo)志 。 第 12行，刪除目標(biāo)文件中的所有代碼 。 第 13章 計算機病毒 當(dāng) Word系統(tǒng)退出時，它會自動地把所有通用宏 (當(dāng)然也包括傳染進來的病毒宏 )保存到模板文件 (即 *.DOT文件，通常為 )中，當(dāng) Word系統(tǒng)再次啟動時，它又會自動地把所有通用宏 (包括病毒宏 )從模板中裝入。腳本病毒可以使用 Windows中預(yù)先定義的對象來更容易地訪問被感染系統(tǒng)的其他部分。這類主要是在網(wǎng)頁或 (3) IE 下面用 VB Script實例來說明腳本病毒的編寫方法。蠕蟲病毒自身副本具有完整性和獨立性，不利用文件寄生 。 第 13章 計算機病毒 現(xiàn)在流行的蠕蟲病毒采用的傳播技術(shù)的目標(biāo)一般是盡快地傳播到盡量多的計算機中，于是掃描模塊采用的掃描策略是這樣的 : 隨機選取某一段 IP地址，然后對這一地址段上的主機進行掃描。復(fù)制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網(wǎng)絡(luò)文 件傳輸很簡單。創(chuàng)建另一個病毒文件 (以 .vbs為后綴 ) (ture) 。搜索其他目錄 : 遞歸調(diào)用 scan( ) scan(subfolder) next end sub 第 13章 計算機病毒 病毒的出現(xiàn)是必然的，病毒也必將長期存在。另外，病毒制造者可能會創(chuàng)造一個定制的病毒，使其一直保持偽裝直至感染上特定的目標(biāo)，由于沒有廣泛傳播，反病毒軟件開發(fā)人員就有可能漏掉這種病毒的特征碼。只要某種未知病毒具有滿足規(guī)則 第 13章 計算機病毒 啟發(fā)式分析技術(shù)存在的缺陷是會產(chǎn)生誤報。評定基于宏的病毒的影響尤其是一個挑戰(zhàn)，因為它們的結(jié)構(gòu)和可能的執(zhí)行流程比已經(jīng)編譯過的可執(zhí)行文件更難預(yù)測。 第 13章 計算機病毒 反病毒虛擬機最初用于對抗變形病毒，這類病毒能產(chǎn)生無數(shù)種變形，但其運行前會執(zhí)行解密程序，并且同一種病毒的無數(shù)種變形解密后的病毒體明文是相同的，因此只要模擬病毒的解密過程，就能還原出病毒體明文，然后采用傳統(tǒng)的特征值掃描技術(shù)進行掃描，反病毒虛擬機在這方面發(fā)揮了強大的功能。 第 13章 計算機病毒 對于每個應(yīng)用程序，沙箱都為其準(zhǔn)備了一個配置文件，用于限制該文件能夠訪問的資源與系統(tǒng)賦予的權(quán)限。通過這個病毒， IE和 Outlook Express加載產(chǎn)生 。 (6) 如果用戶使用的是 Windows NT 或 Windows 2023 操作系統(tǒng)，那么要打開“控制面板”，之后打開“用戶和密碼”，將 Administrator組中的 Guest 第 13章 計算機病毒 由于尼姆達(dá)病毒用自身覆蓋了 SYSTEM 目錄下的 文件，因此 MicrosoftWord 等字處理軟件運行不正常。 第 13章 計算機病毒 (9) 當(dāng)病毒攻擊失敗時，可能會造成沒有打補丁的Windows 系統(tǒng) RPC 服務(wù)崩潰， Windows XP 系統(tǒng)可能會自動重啟計算機。完成上述工作后，病毒將系統(tǒng)目錄下的 文件分別復(fù)制到系統(tǒng)根目錄＼ ipub＼ scripts 和＼ progra~1 mon~1 system＼[JP2]MSADC 下，并取名為 。 D: ＼ Progra~1＼ Common~1＼ System＼ MSADC＼ 第 13章 計算機病毒 使用以下命令刪除文件 : ATTRIB C: ＼ H A –R。因此即使我們知道了這是病毒生成的文件，也無法通過病毒名在網(wǎng)絡(luò)上找到病毒的清除方法。 第 13章 計算機病毒 為了避免在“任務(wù)管理器”中露出破綻，病毒會將自己的進程注入到系統(tǒng)的資源管理器進程 ，這樣我們就無法通過“任務(wù)管理器”發(fā)現(xiàn)病毒的進程了。 該病毒采用 hook系統(tǒng)的磁盤設(shè)備棧來達(dá)到穿透的目的，其危害極大，可穿透目前技術(shù)條件下的任何軟件、硬件還原。早期病毒攻擊的目標(biāo)較單一，病毒傳染目 標(biāo)以后的 特征比較明顯，病毒程序容易被人們分析和解剖。 習(xí) 第 13章 計算機病毒 4. 機器狗運行后會釋放一個名為 的驅(qū)動文件，與原系統(tǒng)中還原軟件驅(qū)動進行硬盤控制權(quán)的爭奪，并通過替換 5. 網(wǎng)絡(luò)時代，病毒的發(fā)展呈現(xiàn)出的趨勢是 : 、 、 、 、 。宏病毒在 1997年非常流行，并且該年成為“宏病毒年”。傳染性是病毒的最基本的特征，此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發(fā)性、誘惑欺騙性 (2) 計算機病毒的感染動作受到觸發(fā)機制的控制，病毒觸發(fā)機制還控制了病毒的破壞動作。其預(yù)防措施如下 : (1) 要禁止自動播放功能，并能及時更新系統(tǒng)補丁，尤其是 MS06 014和 MS07 017 第 13章 計算機病毒 (2) 要限制 IFEO的讀寫權(quán)，達(dá)到限制病毒通過 IFEO劫持殺毒軟件的目的。國內(nèi)絕大多數(shù)的殺毒軟件和安全工具都被列入了黑名單。 (4) 將鍵值 HKLM＼ SOFTWARE＼ Microsoft＼WindowsNT＼ Current Version＼ WinL改為 0 第 13章 計算機病毒 4. AV AV終結(jié)者病毒是由隨機 8位數(shù)字和字母組合而成的病毒，是閃存寄生病毒，它是通過閃存等存儲介質(zhì)或者注入服務(wù)器來實現(xiàn)的。當(dāng)病毒線程判斷日期大于 2023 年 10 月時，會立刻強行重啟計算機。當(dāng)函數(shù)返回時，原返回地址已被病毒數(shù)據(jù)包覆蓋，程序運行線跑到病毒數(shù)據(jù)包中，此時病毒被激活，并運行在 IIS服務(wù)程序的堆棧中。 第 13章 計算機病毒 該病毒感染系統(tǒng)后，會使計算機產(chǎn)生下列現(xiàn)象 : 系統(tǒng)資源被大量占用，有時會彈出 RPC 服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟，不能收 /發(fā)郵件，不能正常復(fù)制文件，無法正常瀏覽網(wǎng)頁，復(fù)制、粘貼等操作受到嚴(yán)重影響， DNS 和 IIS 服務(wù)遭到非法拒絕等。當(dāng)受到尼姆達(dá)病毒的入侵后，系統(tǒng)中會彈出一些新的共享，如 C 盤、 D盤等的共享，應(yīng)該將其共享屬性去掉。通過在“沙箱”中執(zhí)行不受信任的代碼與腳本，系統(tǒng)可以限制甚至防止計算機病毒對系統(tǒng)完整性的破壞。 第 13章 計算機病毒 雖然虛擬機也會在實踐中不斷得到發(fā)展，但是 PC的計算能力有限，反病毒軟件的制造成本也有限，而病毒的發(fā)展可以說是無限的，讓虛擬技術(shù)獲得更加實際的功效甚至要以此 第 13章 計算機病毒 5. 沙箱技術(shù)是根據(jù)系統(tǒng)中每一個可執(zhí)行程序的訪問資源以及系統(tǒng)賦予的權(quán)限建立應(yīng)用程序的“沙箱”，限制計算機病毒的運行。但這種殺毒方式天生就有一個缺點 ——效率很低。 如果臨界值設(shè)得太高，或者類似病毒的特征沒有被恰當(dāng)?shù)囟x，檢測器就會遺漏掉許多病毒。為了提高對未知病毒的判定能力，反病 第 13章 計算機病毒 啟發(fā)式分析技術(shù)是通過一組規(guī)則集來判斷一個程序是否是病毒的技術(shù)。病毒特征值庫被分發(fā)到受保護的計算機系統(tǒng)中，當(dāng)反病毒軟件掃描文件時，將當(dāng)前的文件與病毒特征碼進行對比，并檢測是否有文件片斷與已知的病毒樣本吻合。 for each file in filesext=(file) 。讀取病毒全部代碼到字符串變量 vbscopy 第 13章 計算機病毒 set ap=(， 2， ture) 。比如，針對遠(yuǎn)程緩沖區(qū)的溢出漏洞可以發(fā)送溢出代碼來探測，針對Web的 CGI漏洞就需要發(fā)送一個特殊的 請求來探測。傳播模塊負(fù)責(zé)蠕蟲病毒的傳播 。 第 13章 計算機病毒 源代碼如下 :