计算机病毒原理及防范技术(精简版)

《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著

43.8万字

第1章计算机病毒概述

1.1.1计算机病毒的起源----第一种为科学幻想起源说，第二种为恶作剧，第三种为戏程序（70年代，贝尔实验室，Core War）, 第四种为软件商保护软件起源说。

1.计算机病毒的发展历史-----第一代病毒，传统的病毒，

第二代病毒（1989-1991年），混合型病毒（或“超级病毒”），采取了自我保护措施（如加密技术，反跟踪技术）；第三代病毒(1992-1995年)多态性病毒（自我变形病毒）首创者Mark Washburn-----“1260病毒”；最早的多态性的实战病毒----“黑夜复仇者”（Dark Avenger）的变种MutationDark Avenger ；1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集（Virus Construction Sets）----“计算机病毒创建库”（Virus Create Library）, ”幽灵”病毒；第四代病毒（1996-至今），使用文件传输协议（FTP）进行传播的蠕虫病毒，破坏计算机硬件的CIH，远程控制工具“后门”（Bank Orifice）,”网络公共汽车”（NetBus）等。

2.计算机病毒的基本特征----1.程序性（利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序），2、传染性，3、隐蔽性（兼容性、程序不可见性）4、潜伏性（“黑色星期五”，“上海一号”，CIH）,5、破坏性，6、可触发性，7、不可预见性，8、针对性，9、非授权可执行性，10、衍生性。

1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介（QQ，MSN等即时通讯软件，可移动存储设备，网页，网络主动传播，网络，“钓鱼”），2.与黑客技术相融合（“Nimda”,CodeRed,”求职信”），3.采取了诸多的自我保护机制（逃避、甚至主动抑制杀毒软件），4.采用压缩技术（压缩变形----特征码改变，压缩算法，“程序捆绑器”），5.影响面广，后果严重，6.病毒编写越来越简单，7.摆脱平台依赖性的“恶意网页”。

1.2.3.计算机病毒的生命周期----1.孕育期（程序设计，传播），2.潜伏感染期，3.发病期，4.发现期，5.消化期，6.消亡期。

第2章计算机病毒的工作机制

2.1.1计算机病毒的典型组成三大模块-----1.引导模块（将病毒引入计算机内存，为传染模块和表现模块设置相应的启动条件），2.感染模块（两大功能-----1.依据引导模块设置的传染条件，做判断；2启动传染功能），

3.表现模块（两大功能----依据引导模块设置的触发条件，做判断；或者说表现条件判断子模块 2.1启动病毒，即表现功能实现子模块）

2.2.1计算机病毒的寄生方式-----1.替代法（寄生在磁盘引导扇区）；2.链接法（链接在正常程序的首部、尾部、或中间）。

2.2.2．计算病毒的引导过程-----1。驻留内存，2.获得系统控制权，

3.恢复系统功能。

2.4.1.计算机病毒的触发机制----1.日期，2.时间，

3.键盘

4.感染触发，

5.启动，

6.访问磁盘次数，

7.调用中断功能触发，

8.CPU型号/主板型号触发。

第三章计算机病毒的表现

3.1.计算机病毒发作前的表现----1.经常无故死机，操作系统无法正常启动，运行速度异常，

4.内存不足的错误，

5.打印、通信及主机接口发生异常，

6.无意中要求对软盘进行写操作，

7.以前能正常运行的应用程序经常死机或者出现非法错误，

8.系统文件的时、日期和大小发生变化，

9.宏病毒的表现现象，10、磁盘空间迅速减少，11.网络驱动器卷或者共享目录无法调用，陌生人发来的电子邮件，13.自动链接到一些陌生的网站。

3.2计算机病毒发作时的表现----1.显示器屏幕异常，2、声音异常，3.硬盘灯不断闪烁，

4.进行游戏算法，

5.Windows桌面图标发生变化，

6.突然死机或者重启，

7.自动发送电子邮件，

8.键盘、鼠标失控，

9.被感染系统的服务端口被打开，10.反计算机病毒软件无法正常工作。

3.3计算机病毒发作后的表现----1。硬盘无法启动，数据丢失，2.文件、文件目录丢失或者被破坏，3、数据密级异常，

4.使部分可软件升级的主板的BIOS程序混乱，网络瘫痪，6.其它异常现象。

第4章新型计算机病毒的发展趋势

4.1计算机病毒的发展趋势----1.网络化，2.个性化、3.隐蔽化，4、多样化，5、平民化，6、智能化。

4.2新型计算机病毒的主要特点：1、系统漏洞(后门)，2、局域网，3、多种方式（文件感染，网络传播----蠕虫、木马），4、欺骗性增强，5、大量消耗系统与网络资源（拒绝服务攻击DoS）,6、更广泛的混合特征，7、病毒与黑客技术融合，8、病毒生成工具多、变种多，9、难于控制和彻底根治，易引起多次疫情。

4.3新型计算机病毒的主要技术----ActiveX和Java，驻留内存技术，3、修改中断向量表技术，4、隐藏技术，5、对抗计算机病毒防范系统技术，6、技术的遗传与组合。

第5章计算机病毒检测技术

5.1计算机反病毒技术的发展历程----第一代：单纯的病毒特征代码法，第二代：静态广谱特征扫描方法（广谱特征码、防变种），第三代：静态扫描技术+动态仿真跟踪技术，第四代：基于病毒家族的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进的解毒技术，第五代：基于程序行为自主分析判断的实时防护技术（俗称“主动防御”）。

5.2 计算机病毒的主要检测技术----1、外观检测法，2、系统数据对比法，3、病毒签名法，4、特征代码法，5、检查常规内存数，6、校验和法，7、行为检测法（主动防御），8、软件模拟法，9、启发式代码扫描技术，10、病毒分析法，11、主动内核技术，12、感染实验法，13、算法扫描法，14.语义分析法，15、虚拟机分析法。

第六章典型病毒的防范技术

6.1 1.引导型计算机病毒，2、文件型病毒，3、CIH病毒（首例直接破坏计算机系统硬件的病毒，破坏FlashBIOS芯片中的系统程序，致使主板损坏），5、脚本病毒，6.宏病毒，7、特洛伊木马病毒，，8、蠕虫病毒，9、黑客型病毒，10、后门病毒（IRC后门计算机病毒）。

第七章网络安全

7.1网络安全应该具有以下五个方面的特征：1.保密性，2、完整性，3、可用性，（CIA）4、可控性，5、可审查性。

7.2计算机网络面临的威胁----1、自然灾害，2、黑客的攻击与威胁，3、计算机病毒，4、垃圾邮件和间谍软件，5、信息战的严重威胁，6、计算机犯罪。

7.3网络安全防范的内容----1、防火墙技术，2、数据加密与用户授权访问控制技术，3、入侵检测技术（入侵检测系统、Intrusion Detection System ,IDS）,4防病毒技术，5、安全管理队伍的建设（三分靠技术，七分靠管理）。

7．4恶意代码（Malicious Code），MC的种类：谍件、远程访问特洛伊、zombies 程序的攻击、非法获取资源访问权、键盘记录程序、P2P(Peer-to-Peer,点到点)、逻辑炸弹和时间炸弹。

7.5网络安全的防范技巧-----1、不要轻易运行不明真相的程序，2、屏蔽cookie 信息，3、不同的地方用不同的口令，4、屏蔽ActiveX控件，5、定期清除缓存、历史记录