【正文】 strComputer= . Set objWMIService = GetObject(winmgmts: _ {impersonationLevel=impersonate， (Backup)}!＼＼ _strComputer ＼ root＼ cimv2) dim mylogs(3) mylogs(1)=application 第 13章 計(jì)算機(jī)病毒 mylogs(2)=system mylogs(3)=security for Each logs in mylogs Set colLogFiles=(Select * from Win32_NTEventLogFile where LogFileName=′logs′) For Each objLogfile in colLogFiles () Next Next 第 13章 計(jì)算機(jī)病毒 在上面的代碼中，首先獲得 object對(duì)象，然后利用其ClearEventLog ( )方法刪除日志。 第 13章 計(jì)算機(jī)病毒 目前，網(wǎng)絡(luò)中的惡意代碼開(kāi)始威脅到網(wǎng)絡(luò)系統(tǒng)的安全，一般分為如下幾種 : (1) 消耗系統(tǒng)資源。與宏相同，腳本也是嵌入到一個(gè)靜止的文件中的，它們的指令是由一個(gè)應(yīng)用程序而不是由計(jì)算機(jī)的處理器運(yùn)行的。 第 13章 計(jì)算機(jī)病毒 Word文件通過(guò)模板來(lái)創(chuàng)建，一般情況下， Word缺省的公用模板為 ，感染 最常用的傳染方式。 第 6行，如果公用模塊被修改，不彈出提示窗口而直接保存 。宏病毒的工作原理如圖 1333所示。完成了這些工作之后，病毒才會(huì)將系統(tǒng)控制權(quán)交還給用戶(hù)執(zhí)行的可執(zhí)行文件。 第 13章 計(jì)算機(jī)病毒 一旦運(yùn)行被感染了病毒的程序文件，病毒便被激發(fā)，從此，病毒便開(kāi)始時(shí)刻監(jiān)視著系統(tǒng)的運(yùn)行，等待時(shí)機(jī)。 引導(dǎo)型病毒的主要特點(diǎn)如下 : (1) 引導(dǎo)型病毒是在操作系統(tǒng)之前進(jìn)入內(nèi)存的，寄生的對(duì)象又相對(duì)固定，因此該類(lèi)型病毒基本上不得不采用減少操作系統(tǒng)所掌管的內(nèi)存容量的方法來(lái)駐留內(nèi)存高端。 第 13章 計(jì)算機(jī)病毒 有些病毒的該模塊并沒(méi)有明顯的惡意破壞行為，僅在被感染的系統(tǒng)設(shè)備上表現(xiàn)出特定的現(xiàn)象，該模塊有時(shí)又被稱(chēng)為表現(xiàn)模塊。不同病毒的感染標(biāo)志的位置、內(nèi)容都不同。病毒的感染動(dòng)作受到觸發(fā)機(jī)制的控制，同樣受病毒觸發(fā)機(jī)制控制的還有病毒的破壞動(dòng)作。計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在傳染的隱蔽性和病毒程序 第 13章 計(jì)算機(jī)病毒 一般在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序，而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，不會(huì)感到任何異常。 計(jì)算機(jī)病毒可通過(guò)各種可能的渠道，如軟盤(pán)、光盤(pán)、移動(dòng)存儲(chǔ)器、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。 第 13章 計(jì)算機(jī)病毒 由此可見(jiàn)，第三階段是病毒的成熟發(fā)展階段。這一階段的計(jì)算機(jī)病毒具有如下特點(diǎn) : (1) 病毒攻擊的目標(biāo)趨于混合型，即一種病毒既可傳染 (2) 病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，而采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒年”。 第 13章 計(jì)算機(jī)病毒 到了 1987年，第一個(gè)計(jì)算機(jī)病毒 CBRAIN 誕生了。在以后的很多年中，這種能自我繁殖的類(lèi)似于生命的程序，僅僅作為一種理論存在于科學(xué)家的頭腦中。在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為 : “計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。這種有趣 第 13章 計(jì)算機(jī)病毒 1983年 11月 3日，美國(guó)計(jì)算機(jī)安全專(zhuān)家弗雷德 這次病毒事件導(dǎo)致計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá) 9600萬(wàn)美元。由于當(dāng)時(shí)計(jì)算機(jī)的應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行環(huán)境，因此病毒沒(méi)有大量流行，流行病 第 13章 計(jì)算機(jī)病毒 這一階段的計(jì)算機(jī)病毒具有如下的一些特點(diǎn) : (1) 病毒攻擊的目標(biāo)比較單一，或者是傳染磁盤(pán)引導(dǎo)扇 (2) 病毒程序主要采取截獲系統(tǒng)中斷向量的方式監(jiān)視系 (3) 目標(biāo)被病毒傳染以后的特征比較明顯，如磁盤(pán)上出現(xiàn)壞扇區(qū)，可執(zhí)行文件的長(zhǎng)度增加，文件建立日期、時(shí)間發(fā)生變化等。 1992年上半年，在保加利亞發(fā)現(xiàn)了黑夜復(fù)仇者 (Dark Avenger)病毒的變種“ Mutation Dark Avenger”。 這一階段病毒的最大特點(diǎn)是利用 Inter作為其主要傳 第 13章 計(jì)算機(jī)病毒 現(xiàn)今的網(wǎng)絡(luò)時(shí)代，病毒的發(fā)展呈現(xiàn)出以下趨勢(shì) : (1) (2) (3) 制作病毒的方法更簡(jiǎn)單，傳播速度更快，傳播渠道 (4) 第 13章 計(jì)算機(jī)病毒 根據(jù)對(duì)計(jì)算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析，所有計(jì)算機(jī)病毒都具有 (或者部分具有 )下述的特性，這些特性是病毒賴(lài)以生存的手段和機(jī)制，是計(jì)算機(jī)病毒對(duì)抗技術(shù)中必 第 13章 計(jì)算機(jī)病毒 1. 傳染性是病毒最基本的特征。 第 13章 計(jì)算機(jī)病毒 3. 計(jì)算機(jī)病毒一般是具有很高的編程技巧、短小精悍的程序。有些人利用病毒的這種共性，制作了聲稱(chēng)可查所有病毒的程序。有的病毒有一個(gè)感染標(biāo)志 (又稱(chēng)病毒簽名 )，但不是所有的病毒都有感染標(biāo)志。這些破壞動(dòng)作可能是破壞文件和數(shù)據(jù)，也可能是降低計(jì)算機(jī)的空間效率和時(shí)間效率或使計(jì)算機(jī)系統(tǒng)崩潰。引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個(gè)固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)的，因而病毒占據(jù)該物理位置即可獲得控制權(quán)，而將真正的引導(dǎo)區(qū)的內(nèi)容轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容，使得這個(gè)帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作。 MBR病毒也稱(chēng)分區(qū)病毒，將病毒寄生在硬盤(pán)分區(qū)主引導(dǎo)程序所占據(jù)的硬盤(pán) 0頭 0柱面的第 1個(gè)扇區(qū)中，典型的病毒有大麻 (Stoned)病毒、 INT60病毒。由于COM文件與執(zhí)行時(shí)的內(nèi)存映像完全相同，因此被感染的COM文件在執(zhí)行時(shí)將首先運(yùn)行病毒代碼，病毒就在該文件之前搶先奪取了系統(tǒng)控制權(quán)。 這種病毒宏的集合影響到計(jì)算機(jī)的使用，并能夠鞏固DOC文檔及 DOT 第 13章 計(jì)算機(jī)病毒 Word宏病毒在發(fā)作時(shí)，會(huì)使 Word運(yùn)行出現(xiàn)怪現(xiàn)象，如自動(dòng)創(chuàng)建文件、打開(kāi)窗口、內(nèi)存不夠、存盤(pán)文件丟失等，有的使打印機(jī)無(wú)法正常打印。 第3~6行是自我隱藏措施，其中第 3 行是如果發(fā)生錯(cuò)誤，不彈出出錯(cuò)窗口，繼續(xù)執(zhí)行下面的語(yǔ)句 。 第 13行，向目標(biāo)文件寫(xiě)入病毒代碼 。一旦 Word系統(tǒng)遭受感染，以后每當(dāng) Word系統(tǒng)進(jìn)行初始化時(shí)，都會(huì)隨標(biāo)準(zhǔn)模板 文件 ()的裝入而成為帶毒的 Word 系統(tǒng)，進(jìn)而在打開(kāi)和創(chuàng)建任何文檔時(shí)感染該文檔。腳本病毒的代碼為文本編寫(xiě)，其他人很容易讀取并模仿，因此，很多腳本病毒都有變體。在記事本中輸入編輯病毒程序，然后保存為以 .vbs為后綴的文件， 第 13章 計(jì)算機(jī)病毒 例 131 黑客入侵系統(tǒng)成功后，第一件事便是清除日志，日志也是一種運(yùn)行服務(wù)，但不同于 、 ftp這樣的服務(wù)，它可以在命令行下先停下，再刪除。 其復(fù)制形式是自身拷貝，通過(guò)系統(tǒng)漏洞進(jìn)行傳染 。這樣，隨著蠕蟲(chóng)病毒的傳播，新感染的主機(jī)也開(kāi)始進(jìn)行這種掃描，這些掃描程序不知道那些地址已經(jīng)被掃描過(guò)，它只是簡(jiǎn)單地隨機(jī)掃描互聯(lián)網(wǎng)。 蠕蟲(chóng)病毒的工作方式如圖 1334 第 13章 計(jì)算機(jī)病毒 圖 1334 蠕蟲(chóng)病毒的工作方式 第 13章 計(jì)算機(jī)病毒 例 133 模仿蠕蟲(chóng)病毒，設(shè)計(jì)一個(gè)簡(jiǎn)單的病毒模塊， 使其具有創(chuàng)建病毒文件體、搜索程序中病毒標(biāo)記、感染滿(mǎn)足 生成一個(gè)文件副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，以 .vbs 第 13章 計(jì)算機(jī)病毒 以下是文件感染部分的關(guān)鍵代碼 : set fso=createobject(“ ” ) 。刪除 AA文件 第 13章 計(jì)算機(jī)病毒 上面描述了病毒文件是如何傳染正常文件的 : 首先將病毒自身代碼賦給字符串變量 vbscopy，然后將這個(gè)字符串寫(xiě)到AA文件中，并創(chuàng)建一個(gè)以 AA為文件名的 vbs副本，然后刪除AA 搜索部分 scan( ) 函數(shù)采用了一個(gè)遞歸的算法遍歷整個(gè)分 第 13章 計(jì)算機(jī)病毒 //該函數(shù)主要用來(lái)尋找滿(mǎn)足條件的文件，并生成對(duì)應(yīng)文 sub scan(folder_) 。反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn)，并隨病毒技術(shù)的發(fā)展而發(fā)展，也必 反 病 毒 技 術(shù) 第 13章 計(jì)算機(jī)病毒 1. 特征值掃描技術(shù)是反病毒軟件檢測(cè)病毒所采用的一種最簡(jiǎn)單、也是最流行的方法，主要源于模式匹配的思想。 第 13章 計(jì)算機(jī)病毒 反病毒軟件無(wú)法阻止大規(guī)模的破壞。當(dāng)啟發(fā)式的掃描器分析文件時(shí)，它通常會(huì)為遇到的類(lèi)似病毒的特征賦予一個(gè)權(quán)值。 這樣，病毒掃描器不能將啟發(fā)式分析技術(shù)作為檢測(cè)病毒借助的唯一技術(shù)，它們也需要配合傳統(tǒng)的特征碼掃描技術(shù)和 第 13章 計(jì)算機(jī)病毒 3. 除少部分病毒外，大部分現(xiàn)存病毒都要改寫(xiě)其宿主文件，針對(duì)這一特點(diǎn)，一種檢測(cè)病毒存在的方法就是找出被意外修 第 13章 計(jì)算機(jī)病毒 CRC掃描就是完整性驗(yàn)證技術(shù)所采用的一種方法。目前虛擬機(jī)的處理對(duì)象主要是文件型病毒。Windows XP 操作系統(tǒng)提供了一種軟件限制策略，隔離具有潛在危害的代碼。該文件將尼姆達(dá)蠕蟲(chóng)病毒作為一個(gè)附件包含，因此，不需要拆開(kāi)或運(yùn)行這個(gè)附件，病毒就被執(zhí)行。用戶(hù)殺毒后，可以從安裝盤(pán)里找到相應(yīng)的文件并重新 第 13章 計(jì)算機(jī)病毒 2. 沖擊波病毒是利用微軟公司公布的 RPC 漏洞進(jìn)行傳播的。該蠕蟲(chóng)病毒不能成功攻擊 Windows Server 2023，但是可以造成 Windows Server 2023 系統(tǒng)的 RPC 服務(wù)崩潰，默 第 13章 計(jì)算機(jī)病毒 (10) 病毒檢測(cè)到當(dāng)前系統(tǒng)月份是 8 月之后或者日期是 15 日之后，就會(huì)向微軟的更新站點(diǎn) windows 發(fā)動(dòng)拒 : (1) 病毒通過(guò)微軟的最新 RPC 漏洞進(jìn)行傳播，因此用戶(hù)應(yīng)先給系統(tǒng)打上 RPC (2) 病毒運(yùn)行時(shí)會(huì)建立一個(gè)名為 BILLY 的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個(gè)名為 第 13章 計(jì)算機(jī)病毒 (3) 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為 %systemdir%＼，用戶(hù)可以手動(dòng)刪除該病毒文件 (%systemdir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄 ) (4) 手工清除注冊(cè)表的 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼ Windows＼ CurrentVersion＼ Run 項(xiàng)中的 windows auto update= (5) 使用防火墻軟件將病毒會(huì)用到的 13 444 69 等端口禁止，或者使用“ TCP/IP 第 13章 計(jì)算機(jī)病毒 第 13章 計(jì)算機(jī)病毒 第 13章 計(jì)算機(jī)病毒 紅色代碼 Ⅱ 病毒是紅色代碼病毒的改良版，病毒作者對(duì)病毒體做了很多優(yōu)化，同樣可以對(duì)紅色代碼病毒可攻擊的聯(lián)網(wǎng)計(jì)算機(jī)發(fā)動(dòng)進(jìn)攻，它不同于以往的文件型病毒和引導(dǎo)型病毒，只存在于內(nèi)存，傳染時(shí)不通過(guò)文件這一常規(guī)載體，而是直接從一臺(tái)計(jì)算機(jī)內(nèi)存到另一臺(tái)計(jì)算機(jī)內(nèi)存。然后從病毒體內(nèi)釋放出一個(gè)木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為，此木馬運(yùn)行后會(huì)調(diào)用系統(tǒng)原 ，運(yùn)行效果和正常 Explorer 程序無(wú)異，但注冊(cè)表中的很多項(xiàng)已被修改。 DEL C: ＼ 。 第 13章 計(jì)算機(jī)病毒 “ AV終結(jié)者”病毒運(yùn)行后會(huì)在本地磁盤(pán)和移動(dòng)