【正文】 句修改的 HKEYCURRENTUSER\Software\ Microsoft\InterExplorer\ Main\Start Page 鍵值，即修改了 IE 的首地址。 請看下面程序： script // 初始化 activeX 控件 (“ applet height=0 width=0 code= /applet” ) //初始化 acitveX 控件結束 //定義結束 function f(){ try { // 設定 applet 為 0 a1=[0] // 初始化 Windows Script Host Shell Object (“ {f935dc221cf011d0adb900c04fd58a0b}” ) () sh1=() try { //開始定注冊表 //設定 IE的標題為 Inter Explorer (“ HKEYCURRENTUSER\\Software\\Microsoft\\inter Explorer\\Main\\Window Title”，“ Inter Explorer” ) //設定 IE 的默認首頁為我們自己 的主頁 (“ HKEYCURRENTUSER\\Software\\Microsoft\\InterExplorer\\Main\\StartPage” , ) //設定首頁那項變灰 (“ HKEYUSERS\\DEFAULT\\SoftWare\\Policies\\Microsoft\\ 15 InterExplorer\\ControlPanel\\HomePage” ,0x1.“ REGDWORD” ) {catch(){} }catch(){} } function init() { //1000 毫秒后開始調用函數(shù) f() setTimeout(“ f()” ,1000) } init() /script 說明： try{語句體 1} catch(e){語句體 2} 其中語句體 2是異常處理程序：如果語句體 1 運行中發(fā)生異常，則行語句體 2 這樣當語句體 1運行過程中發(fā)生錯誤時，就不會直接彈出錯誤提示窗口，而由語句 2 處理。在 Inter上，有超過 1000 個 ActiveX 控件供用戶下載使用。同樣 ActiveX 可以應用于網(wǎng)頁編制語言中，利用 JavaScript 語句輕易就可以把 ActiveX嵌入到 Web 頁面中。它與具體的編程 語言無關。首先我們還得了解一下微軟的 ActiveX 技術。惡意攻擊性網(wǎng)頁正是自動修改了網(wǎng)頁瀏覽者電腦的注冊表，從而達到修改 IE 首頁地址、鎖定部分功能等目的。這里所指的網(wǎng)頁病毒是指在 HTML 文件中用于非法修改用戶計算機配置的 HTML 文件，有別于一般通過網(wǎng)頁傳染的病毒。通過試驗，在 Word2021 版本下，宏病毒的防御能力得到了很大的提高， NormaTemplate,VBProject 等對象都被設為禁用，使 Word97 版本下的病毒在 Word2021下編譯出錯，只能禁止或運行菜單選項，但已失去傳染性。因此，要干凈、徹底地清除宏病毒，就必須對 BFF格式有透徹地理解，否則就可能在殺除宏病毒時出現(xiàn)以下現(xiàn)象：文檔被殺“死”，用戶再也無法用Word 打開這份文件：殺毒不干凈，在文檔中殘留有宏病毒的結構，因而在重新打開文檔時可能出現(xiàn)非法錯誤或“內存不足”等現(xiàn)象；清除了宏病毒本身，但殘留了病毒的“空殼”，使得 殺毒后的文檔仍然不能另存，并且在用 Office97 打開該文檔時， Word 總會提示用戶文檔中包含“可疑宏”。在未加密 的情況下，如果將文件頭和控制符去掉，就可以得到一份干干凈凈的純文本。 (2) 智能宏代碼掃描清除宏病毒 微軟的 Word 文檔采用了“二進制文件格式”，它是微軟公司為 Word等文檔定義的特殊文件存儲格式。這個方法在理論上能防住所有宏病毒的侵襲，但它有很大的缺陷：一是它拒絕了所有宏的執(zhí)行，包括正常宏和病毒，這會造成某些文檔在打開時出現(xiàn)錯誤：二是很多病毒都屏蔽了工具中對應宏的子菜單。由于宏病毒的肆虐，微軟公司在 Word97 版本中提供了“宏病毒防護”的功能選項。 (3)打開以 DOC 為后綴的文件在另存菜單中只能以模板方式存盤而此時通用模板中含有宏，也有可能是 Word 有病毒。因為大多數(shù)用戶的通用 (Normal)模板中是沒有宏的。以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了人們的“數(shù)據(jù)文件不會傳播病毒”的錯誤認識。宏病毒Nuclear 就是破壞操作系統(tǒng)的典型一例。 (3) 破壞可能極大 鑒于宏病毒用 Word Basic 語言編寫， Word Basic 語言提供了許多系統(tǒng)級低層調用，如直接使用 DOS 系統(tǒng)命令、調用 Windows API、調用DDE 或 DLL 等。特別是因特網(wǎng)的普及， Email的大量應用更為 Word 宏病毒傳播鋪平道路。 宏病毒的主要特點 (1) 傳播極快 宏病毒通過 doc文檔及 dot 模板進行自我復制及傳播，而計算機文檔是交流最廣的文件類型。宏病毒的破壞主要表現(xiàn)在兩方面： (1)對 Word 和 Excel 運行的破壞：不能正常打??；封閉或改變文件存儲路徑；將文件發(fā)展改名；亂復制文件；封閉有關菜單；文件無法正常編輯。但也有些宏病毒極具破壞性，如 ，這種病毒既感染中文版 Word 又感染英文版 Word，發(fā)作時間是每月的 1 日。目前，幾乎 11 所有已知的宏病毒都沿有了相同的作用機理，即如果 Word 系統(tǒng)在讀取一個染毒文件時遭受感染，則其后所有新創(chuàng)建的 DOC 文件都會被感染。含有自動宏的宏病毒染毒文檔，當被其他計算機的Word 系統(tǒng)打開時，便會自動感染該計算機。宏病毒在感染一個文檔時，首先要把文檔轉換成模板格式，然后把所有病毒宏(包括自動宏 )復制到該文檔中。 一旦病毒宏侵入 Word，它就會替代原有的正常的宏，如 FileOpen、FileSave、等，并通過這些宏所關聯(lián)的文件操作功能獲取對文件交換的控制。目前在可被宏病毒感染的文件中，以 Word、 Excel 居多。 宏病毒的原理 宏病毒的產生，是利用了一些數(shù)據(jù)處理系統(tǒng)內置宏命令編程語言的特性而形成的。 10 第三章 Windows 病毒分析 現(xiàn)在的用戶一般都安裝 Windows 操作系統(tǒng)，而 Windows 病毒種類繁多，下面主要研究宏病毒、網(wǎng)頁病毒、郵件病毒、及蠕蟲病毒等一些常見的病毒。 (4) 主控模塊 主控模塊在總體上控制病毒程序的運行，染毒程序運行時，首先運行的是病毒的主控模塊。有些病毒的該模塊 9 并沒有明顯的惡意破壞行為，僅在被感染的系統(tǒng)設備上表現(xiàn)出特定的現(xiàn)象，該模塊有時又被稱為表現(xiàn) 模塊。其內部是實現(xiàn)病毒編寫者預定破壞動作的代碼。病毒觸發(fā)模塊的主要功能為： ①檢查預定觸發(fā)條件是否滿足； ②如果滿足，返回真值； ③如果不滿足，返回假值。 (2) 觸發(fā)模塊 觸發(fā)模塊根據(jù)預定條件滿足與否，控制病毒的感染或破壞動 作。一般病毒在對目標程序傳染之前判斷感染條件，如是否有感染標記或文件類型是否符合傳染標準等。但并不是所有的病毒都具備這三種機制，巴基斯坦病毒就沒有破壞模塊。病毒的感染動作受到觸發(fā)機制的控制，病毒觸發(fā)機制還控制了病毒的破壞動作。 以上四點是病毒存活的基本共同點，也是共同弱點，反病毒工具一般都要利用這些弱點對付病毒。 (3) 病毒的任何感染行為是總是要改變宿主，或完全替代宿主的一部分代碼，或修改一部分代碼，或改變操作系統(tǒng)定位該宿主的指針。 計算機病毒 有如下基本弱點： (1) 計算機病毒是一段程序。 計算機病毒數(shù)量劇增，花樣更新，傳播迅速。 (3)填充式寄生病毒：該類病毒將自身的程序代碼侵占其宿主的空閑存儲空間而不改變宿主程序的存儲空間。 按計算機病毒寄生方式分類 (1)覆蓋式寄生病毒：該病毒將自身的程序代碼部分或全部覆蓋在其宿主 程序上，破壞宿主程序的部分或全部功能。 (2)惡性病毒：指在代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在口傳染或發(fā)作時會對系統(tǒng)產生直接破壞作用的計算機病毒。雖然它不直接破壞計算機內部數(shù)據(jù)，但它會使系統(tǒng)資源急劇減少最終導致系統(tǒng)崩潰。在傳統(tǒng)的分類上沒有該類型，只是筆者考慮到傳統(tǒng)的病毒分類是在 DOS 系統(tǒng)單機時代，而現(xiàn)在隨著網(wǎng)絡的發(fā)展，又出現(xiàn)了新的病毒，表現(xiàn)出了新的特性，所以筆者按其 特點，列為網(wǎng)絡型病毒。 (3)混合型即引導型兼文件型病毒：該病毒是利用文件感染時伺機感染引導區(qū)，因而具有雙重傳播能力。隨著 DOS 系統(tǒng)逐漸推出歷史舞臺，這種類型的病毒目前來說已較少見。 按計算機病毒的傳染方式分類 (1)引導型病毒：引導型病毒是利用操作系統(tǒng)的引導模塊放在某個固定區(qū)域，并且控制權的轉接方式是以物理地址為依據(jù)，而不是以操作系統(tǒng)引導區(qū)的內容為依據(jù)，因而病毒占據(jù)該物理位置即可以獲得控制權，這種類型的病毒以 DOS 系統(tǒng)下病毒為主。然而隨著病毒技術的發(fā)展，病毒的攻擊目標也開始染指 UNIX 和 Linux。 (2)攻擊 Windows 系統(tǒng)的病毒：自 1996年 1 月出現(xiàn)了首例 Widows95病毒 — ，攻擊 Windows系統(tǒng)的計算機病毒日趨增多。 例如 2021 年 7 月出現(xiàn)的 Code Red(紅色代碼 )病毒和同年 8 月出現(xiàn)的 Code RedⅡ病毒，它們針對因特網(wǎng)上的服務器突施攻擊，且能迅速傳播，造成網(wǎng)絡訪問速度的下降乃至斷； 2021 年 8 月出現(xiàn)的沖擊波蠕蟲 病毒造成大批計算機癱瘓和網(wǎng)絡連接速度減慢，該病毒認為是當年出現(xiàn)的破壞力最強的病毒之一等。 (4)攻擊計算機網(wǎng)絡的病毒：在計算機網(wǎng)絡得到了空前廣泛應用的今天，攻擊計算機網(wǎng)絡的病毒的頻頻出現(xiàn)。 (3)攻擊大、中型計算 機的病毒：相對于攻擊微型計算機和小型機的病毒而言，攻擊中、大型計算機的病毒微乎其微，有關的資料、新聞媒體尚少有披露。 (2)攻擊小型計算機的病毒：病毒攻擊的對象與計算機應用范圍的廣泛與否，似乎存在著一定的因果關系：只要是應用范圍廣泛的計算機，都有遭受病毒攻擊的可能。 按病毒攻擊對象的機型分類 針對病毒攻擊的機型而異，目前出現(xiàn)的病毒被分為如下 4 種： (1)攻擊微型計算機的病毒：由于微型計算機及其操作系統(tǒng)、軟硬資源的開放性和應用的廣泛性，時至今日大多數(shù)病毒以微型計算機作為攻擊對象。 自第一例計 算機病毒于 20 世紀 80 年代初面世以來，伴隨著計算機技術、信息技術及其應用突飛猛進，獲得令人矚目的空前的同時，也促進了計算機病毒技術亦步亦趨的發(fā)展。如果滿足其觸發(fā)條件，激活病毒的傳染機制進行傳染，或者激活病毒的表現(xiàn)部分或破壞部分。雖然反病毒技術在不斷發(fā)展，但是病毒的制作技術也在不斷的提高，病毒對反病毒軟件一直是超前的。 (6) 不可預見性 從對病毒檢測方面看，病毒還有不可預見性。如：GENP、 WBOOT 等。可將病毒分為良性病毒與惡性病毒。如果不經過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。 (3) 非授權性 病毒隱藏在正常程序中，當用戶調 用正常程序時竊取到系統(tǒng)的控制權，先于正常程序執(zhí)行，病毒的動作、目的對用戶是未知的，是未經用戶允許的。只有當其特定的觸發(fā)條件滿足時，才會激活病毒的表現(xiàn)模塊而出現(xiàn)中毒癥狀。是否具有傳染性是判斷一個程序是否為計算機病毒的重要條件。 基本特征 計算機病毒各種各樣，其特征各異，但只要是計算機病毒，就必然具備如下 7 個基本特征： (1) 傳染性 又稱為自我復制、自我繁殖、感染或再生。 大多數(shù)病毒是基于某種特定的方式進行工作的，如某個特定的操作系統(tǒng)或某個特定的硬件平臺。 (4) 發(fā)作階段 病毒在觸發(fā)條件成熟時，即可 在系統(tǒng)在發(fā)作。 (3) 觸發(fā)階段 病毒在被激活后，會執(zhí)行某一特定功能從而達到某種目的。并不是所有的病毒都會經歷此階段。復制后生成的新病毒同樣具有感染其它程序的功能。 基本定義 計算機病毒 (puter virus)最早由美國計算機病毒研究專家 博士提出。但隨著微軟 windows 系統(tǒng)的推出 ，絕大多數(shù)電腦用戶選擇了界面友好的windows 操作系統(tǒng)，宣告了 DOS 時代的終結，同時 DOS 系統(tǒng)下的病毒也就沒有了用武之地。包括特征值檢測技術、校驗和檢測技術、行為檢測技術、啟發(fā)式掃描技術、虛擬機技術及防火墻技術。分析了木馬的基本原理和基本特性并給了相應的預防和清除方法。介紹了病毒常用的抗分析技術，包括隱藏、花指令、變形、異常處理。分析了網(wǎng)頁病毒、宏病毒、郵件病毒、腳本病毒及網(wǎng)絡蠕蟲 的特征、機理并給出了相應的防范措施。介紹了 Windows 病毒的基本特征及分類。介紹了論文的研究意義和計算機病毒的發(fā)展背景。不僅殺毒軟件滯后于病毒，而且由于多態(tài)性計算機病毒的出現(xiàn)，更增加了這種分析的難度，這也是當前反病毒領域的瓶頸所在。特別是在互聯(lián)網(wǎng)時代，病毒的傳播范圍會越來越廣。而到了 2021年國家應急中心的報告，病毒感染率增加到 85%，明顯呈上升態(tài)勢。 近幾年來，中國計算機病毒的發(fā)病率以每年翻一番的速度增長。“ CIH”病毒產自臺灣，最先通過盜版光盤在美國和歐洲等地廣泛流