【文章內容簡介】 果，隨機地插入一些空操作和無關指令，也不影響運算的結果，這樣，一段解碼算法就可以由生成器生成。當生成的是病毒時，這種復雜的病毒生成器和變體機就產生了。具有典型代表的是“病毒制造機”，它可以在瞬間制造出成千上萬種不同的病毒，查找時就不能使用傳統(tǒng)的特征識別法，需要在宏觀上分析指令、解碼后查找病毒。變體機就是增加解碼復雜程度的指令生成機制。6．網(wǎng)絡、蠕蟲階段1995年，隨著網(wǎng)絡的普及，病毒開始利用網(wǎng)絡進行傳播，它們只是以上幾代病毒的改進。在非DOS操作系統(tǒng)中，“蠕蟲”是典型的代表，它不占用除內存以外的任何資源，不修改磁盤文件，而是利用網(wǎng)絡功能搜索網(wǎng)絡地址，將自身向下一地址進行傳播，有時也在網(wǎng)絡服務器和啟動文件中存在。7．視窗階段1996年，隨著Windows和Windows95的日益普及，利用Windows進行工作的病毒開始發(fā)展，它們修改（NE，PE）文件。這類病毒的機制更為復雜，它們利用保護模式和API調用接口工作，清除方法也比較復雜。 8．宏病毒階段1996年，隨著Windows Word功能的增強，使用Word宏語言也可以編制病毒，這種病毒使用類Basic語言，編寫容易，主要感染W(wǎng)ord文檔文件。在Excel和AmiPro出現(xiàn)的相同工作機制的病毒也歸為此類。由于Word文檔格式當時并沒有公開，因此這類病毒的查找在當時也比較困難。 9．互連網(wǎng)階段1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開始利用因特網(wǎng)進行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來越多，如果不小心打開了這些郵件，機器就有可能中毒。10．Java、郵件炸彈階段1997年，隨著萬維網(wǎng)上Java的普及，利用Java語言進行傳播和資料獲取的病毒開始出現(xiàn)，典型的代表是JavaSnake病毒。還有一些利用郵件服務器進行傳播和破壞的病毒，例如MailBomb病毒，它就嚴重影響因特網(wǎng)的效率。 計算機病毒發(fā)展的主要技術計算機病毒自它出現(xiàn)時起即引起人們極大地關注，特別是隨著計算機網(wǎng)絡技術的高速發(fā)展和Internet的全球化進程，計算機病毒成為信息系統(tǒng)最大的安全隱患之一。據(jù)資料顯示，目前世界上存在著至少有幾十萬種病毒，并且每天都至少有上百種新的病毒產生，而且這種發(fā)展勢頭還在不斷惡化。為了逃避各種防病毒技術的跟蹤和檢測，計算機病毒技術也在不斷發(fā)展，病毒的隱蔽性和破壞性更強。主要表現(xiàn)在：1．抗分析病毒技術這類病毒主要綜合采用了以下兩種技術：（1）加密技術。這是一種防止靜態(tài)分析的技術，使得分析者無法在不執(zhí)行病毒的情況下閱讀加密過的病毒程序。（2）反跟蹤技術。使得分析者無法動態(tài)跟蹤病毒程序的運行。2．隱蔽性病毒技術隱蔽性病毒技術是一種與計算機病毒檢測技術相對應的，使病毒隱藏自己、不易被發(fā)現(xiàn)的技術。當計算機病毒采用特殊的“隱形”技術后，可以在病毒進入內存后，使計算機的用戶幾乎感覺不到它的存在。3．多態(tài)性病毒技術多態(tài)性病毒是指采用特殊加密技術編寫的病毒，這種病毒在感染一個對象時，采用隨機方法對病毒主體進行加密。這種病毒在每次感染時，放入宿主程序的代碼互不相同，不斷變化。同一種病毒的多個樣本中，病毒代碼不同，幾乎沒有穩(wěn)定代碼。所有采用特征代碼法的檢測工具都不能識別它們。4．插入性病毒技術一般病毒感染文件時，或者將病毒代碼放在文件頭部，或者放在尾部，雖然可能對宿主代碼作某些改變，但從總體上說，病毒與宿主程序有明確界限。插入性病毒在不了解宿主程序的功能及結構的前提下，能夠將宿主程序在適當處攔腰截斷，在宿主程序的中部插入病毒程序，并且能夠做到：病毒首先獲得運行權；病毒不能卡死；宿主程序不會因為插入病毒而卡死。5．超級病毒技術超級病毒技術是一種先進的病毒技術。它的主要目的是對抗計算機病毒的預防技術。超級病毒技術就是在計算機病毒進行感染、破壞時，使得病毒預防工具無法獲得運行機會的病毒技術。它一旦結合多態(tài)性病毒技術、插入性病毒技術等，就對抗病毒技術提出更高的要求。6．病毒自動生成技術批量、規(guī)?；a是病毒生成技術的未來發(fā)展趨勢。通過對病毒功能結構的模塊劃分，構造生成各個功能模塊的動態(tài)程序庫，通過程序控制和功能封裝技術產生大量同類型不同特征代碼的計算機病毒。病毒自動生成技術是針對病毒的人工分析技術的。當計算機病毒采用了這種技術時，就像生物病毒會產生自我變異一樣，也會變成一種具有自我變異功能的計算機病毒。這種病毒程序可以衍變出各種變種的計算機病毒，且這種變化不是由人工干預生成的，而是由于程序自身的機制。從廣義上說，病毒自動生成技術是針對病毒的分析技術的，它不是從“質”上而是從“量”上來壓垮病毒分析者的。7．跨平臺病毒技術由于不同的操作系統(tǒng)的文件格式不同，執(zhí)行機制不同，一般的病毒都是針對某一特定的操作系統(tǒng)進行感染和破壞?？缙脚_病毒技術的應用，使得病毒不再局限于單一操作系統(tǒng)，大大增加了其傳播范圍和破壞程度。現(xiàn)在已經(jīng)出現(xiàn)了既感染windows平臺中的PE可執(zhí)行文件，又感染Linux平臺的ELF可執(zhí)行文件的病毒。8．Internet病毒技術由于Internet的迅速發(fā)展，使得病毒的擴散速度也急驟提高，受感染的范圍也越來越廣。病毒可以附加在電子郵件中傳播，而且感染方式也由主要從軟盤介質感染轉到了網(wǎng)絡服務器或Internet感染。Internet病毒技術包括郵件附件病毒技術和以ActiveX技術和Java Applet為載體，將病毒潛伏在HTML網(wǎng)頁里的技術等。9．“流伙伴”概念病毒技術“流伙伴”概念病毒技術是利用Windows NT/2000操作系統(tǒng)中的NTFS僅有的多種數(shù)量的數(shù)據(jù)流特性對同一路徑下的文件進行病毒傳播的技術。由于Windows NT/2000操作系統(tǒng)自身未提供查看ADS的工具，因此使得利用該技術的病毒隱藏性很好。10．病毒嵌套技術病毒嵌套技術是指多種不同特征的病毒同時出現(xiàn)在同一病毒體中的病毒技術。例如，帶有特洛伊木馬特征的病毒，不僅可以實現(xiàn)病毒的傳染、破壞，而且還在系統(tǒng)中留下后門。病毒嵌套技術加強了病毒的破壞性、隱蔽性和靈活性。11．對抗計算機病毒防范系統(tǒng)技術計算機病毒采用的另一項技術是專門對抗計算機病毒防范系統(tǒng)的。當這類計算機病毒在傳染的過程中發(fā)現(xiàn)磁盤上有某些著名的計算機病毒防范軟件或在文件中查找到出版這些軟件的公司名時，就刪除這些文件或使PC機死鎖。21世紀是計算機病毒與反病毒技術激烈角逐的時代，而這一時期計算機病毒的發(fā)展也呈現(xiàn)出智能化、人性化、隱蔽化及多樣化的發(fā)展趨勢。第二章 計算機病毒的攻擊及危害 計算機病毒的攻擊攻擊，可分為四大類別，分別為：arp攻擊、內網(wǎng)ip欺騙、內網(wǎng)攻擊、及外網(wǎng)流量攻擊四種不同型式。 ARP攻擊arp攻擊自2006年起，就開始普及。一開始arp攻擊是偽裝成網(wǎng)關ip，轉發(fā)訊息盜取用戶名及密碼，不會造成掉線。早期的arp攻擊，只會造成封包的遺失，或是ping值提高，并不會造成嚴重的掉線或是大范圍掉線。在這個階段，防制的措施是以arp echo指令方式，可以解決只是為了盜寶為目的傳統(tǒng)arp攻擊。對于整體網(wǎng)絡不會有影響。但是在arp echo的解決方法提出后，arp攻擊出現(xiàn)變本加厲的演變。新的攻擊方式，使用更高頻率的arp echo，壓過用戶的arp echo廣播。由于發(fā)出廣播包的次數(shù)太多，因此會使整個局域網(wǎng)變慢，或占用網(wǎng)關運算能力，發(fā)生內網(wǎng)很慢或上網(wǎng)卡的現(xiàn)象。如果嚴重時，經(jīng)常發(fā)生瞬斷或全網(wǎng)掉線的情況。要解決這種較嚴重的arp攻擊，到現(xiàn)在為止最簡單有效的方法仍屬于qno俠諾于2006年10月提出的雙向綁定方式，可以有效地縮小影響層面。近來有不同解決方法提出，例如從路由器下載某個imf文件，更改網(wǎng)絡堆棧，但效果有限。有些解決方式則在用戶與網(wǎng)關間建立pppoe聯(lián)機，不但配置功夫大，還耗費運算能力。雖然方法不但，大致都可以防制arp的攻擊。 內網(wǎng)ip欺騙內網(wǎng)ip欺騙是在arp攻擊普及后，另一個緊隨出現(xiàn)的攻擊方式。攻擊計算機會偽裝成一樣的ip，讓受攻擊的計算機產生ip沖突，無法上網(wǎng)。這種攻擊現(xiàn)象，通常影響的計算機有限，不致出現(xiàn)大規(guī)模影響。內網(wǎng)ip欺騙采用雙向綁定方式，可以有效解決。先作好綁定配置的計算機，不會受到后來的偽裝計算機的影響。因此，等于一次防制arp及內網(wǎng)ip欺騙解決。若是采用其它的arp防制方法，則要采用另外的方法來應對。 內網(wǎng)攻擊內網(wǎng)攻擊是從內網(wǎng)計算機發(fā)出大量網(wǎng)絡包，占用內網(wǎng)帶寬。網(wǎng)管會發(fā)現(xiàn)內網(wǎng)很慢，ping路由掉包，不知是那一臺影響的。內網(wǎng)攻擊通常是用戶安裝了外掛，變成發(fā)出攻擊的計算機。有的內網(wǎng)攻擊會自行變換ip，讓網(wǎng)管更難找出是誰發(fā)出的網(wǎng)絡包。qno俠諾對于內網(wǎng)攻擊的解決方案，是從路由器判別，阻斷發(fā)出網(wǎng)絡包計算機的上網(wǎng)能力。因此用戶會發(fā)現(xiàn)如果用攻擊程序測試，立刻就發(fā)生掉線的情況，這就是因為被路由器認定為發(fā)出攻擊計算機，自動被切斷所致。正確的測試方法是用兩臺測試，一臺發(fā)出攻擊包給路由器，另一臺看是否能上網(wǎng)。對于內網(wǎng)攻擊，另外的防制措施是采用聯(lián)防的交換機，直接把不正常計算機的實體聯(lián)機切斷，不過具備聯(lián)防能力交換機的成本較高，甚至比路由器還貴。 外網(wǎng)流量攻擊外網(wǎng)攻擊是從外部來的攻擊，通常發(fā)生在使用固定ip的用戶。很多網(wǎng)吧因