第4章 计算机病毒与黑客

•4.1.8 蠕虫病毒分析
• 蠕虫病毒是目前对计算机威胁最大的网络 病毒，蠕虫病毒的特征： • 1．蠕虫病毒的自我复制能力 • 我们用VB脚本语言编写实现自我复制程 序。
• SetobjFs=CreateObject （“Scripting.FileSystemObject”）
• ‘创建一个文件系统对象 • objFs.CreateTextFile （“C:\virus.txt”，1） • ‘通过文件系统对象的方法创建了一个TXT 文件。
时通软件、文件共享、FTP文件下载,破坏性很大。
•4.1.5 计算机病毒的分类 • 我们把计算机病毒大致归结为7种类型。 • 1．引导型病毒。主要通过感染软盘、硬盘 上的引导扇区或改写磁盘分区表（FAT）来感染 系统。早期的计算机病毒大多数属于这类病毒。 • 2．文件型病毒。它主要是以感染COM、 EXE等可执行文件为主，被感染的可执行文件在 执行的同时，病毒被加载并向其它正常的可执行 文件传染或执行破坏操作。文件型病毒大多数也 是常驻内存的。
•4.1.6 计算机病毒的表现现象 • 1．平时运行正常的计算机突然经常性无缘无 故地死机。 • 2．运行速度明显变慢。 • 3．打印和通讯发生异常。 • 4．系统文件的时间、日期、大小发生变 化。 • 5．磁盘空间迅速减少。 • 6．收到陌生人发来的电子邮件。 • 7．自动链接到一些陌生的网站。 • 8．计算机不识别硬盘。
改计算机病毒的变形或变种。
• 3．采用特殊的隐形技术 • 当计算机病毒采用特殊的隐形技术后，可以 在计算机病毒进入内存后，使计算机用户几乎感 觉不到它的存在。采用这种“隐形”技术的计算 机病毒表现形式见教材。 • 4．对抗计算机病毒防范系统 • 当有某些著名的计算机病毒杀毒软件或在 文件中查找到出版这些软件的公司名时，就会删 除这些杀毒软件或文件等。
•
• 5．反跟踪技术 • 计算机病毒采用反跟踪措施的目的是要提高 计算机病毒程序的防破译能力和伪装能力。常规 程序使用的反跟踪技术在计算机病毒程序中都可 以利用。 • 6．利用中断处理机制 • 病毒设计者篡改中断处理功能为达到传染、 激发和破坏等目的。如INT 13H是磁盘输入输出 中断，引导型病毒就是用它来传染病毒和格式化 磁盘的。
•
4.2 计算机病毒制作技术
• 1．采用加密、加壳技术
• 计算机病毒采用加密、加壳、花指令等技术就是为了防止被 计算机病毒检测程序扫描出来，并被轻易地反汇编。增加了设计 反病毒软件成本。
• 2．采用变形技术
• 计算机病毒编制者通过修改某种已知计算机
病毒的代码，使其能够躲过现有计算机病毒检测
程序时，称这种新出现的计算机病毒是原来被修
• （3）传染操作部Hale Waihona Puke Baidu。在满足传染条件时进行 传染操作。
• 3．破坏模块 • 计算机病毒的最终目的是进行破坏，其破
坏的基本手段就是删除文件或数据。破坏模块包
括两部分：一是激发控制，另一个就是破坏操 作。
• 对每一个病毒程序来说，安装模块、传染模
块是必不可少的，而破坏模块可以直接隐含在传 染模块中，也可以单独构成一个模块。
•4.1.4 计算机病毒的传播途径
•
计算机病毒主要是通过复制文件、发送文件、运行程序等
操作传播的。通常有以下几种传播途径：
• 1．移动存储设备
• 包括硬盘、移动硬盘、光盘等。硬盘是数据的主要存储介质，
因此也是计算机病毒感染的主要目标。
• 2．网络
• 目前大多数病毒都是通过网络进行传播的，如电子邮件、即
• 5．特洛伊木马型病毒。特洛伊木马型病毒实 际上就是黑客程序，一般不对计算机系统进行直接 破坏，而是通过网络控制其它计算机，包括窃取秘 密信息，占用计算机系统资源等现象。 • 6．网页病毒。网页病毒一般也是使用脚本语 言将有害代码直接写在网页上，当浏览网页时会立 即破坏本地计算机系统，轻者修改或锁定主页，重 者格式化硬盘，使你防不胜防。 • 7．混合型病毒。兼有上述计算机病毒特点的 病毒统称为混合型病毒，所以它的破坏性更大，传 染的机会也更多，杀毒也更加困难。
•4.1.2 计算机病毒的特征 • 1．破坏性。 • 2．隐蔽性。 • 3．传染性。
•
• 计算机病毒的破坏性、隐蔽性、传染性是 计算机病毒的基本特征。 • 4．潜伏性。 • 5．可触发性。 • 6．不可预见性。 •4.1.3 计算机病毒的产生原因 • 1．软件产品的脆弱性是产生计算机病毒根 本的技术原因 • 2．社会因素是产生计算机病毒的土壤
• 2．传染模块 • 传染模块包括三部分内容： • （1）传染控制部分。病毒一般都有一个控 制条件，一旦满足这个条件就开始感染。例如， 病毒先判断某个文件是否是.EXE文件，如果是再 进行传染，否则再寻找下一个文件； • （2）传染判断部分。每个病毒程序都有一 个标记，在传染时将判断这个标记，如果磁盘或 者文件已经被传染就不再传染，否则就要传染 了；
• 3．宏病毒。宏病毒是一种寄存于微软 Office的文档或模板的宏中的计算机病毒，是利 用宏语言编写的。由于Office软件在全球存在着 广泛的用户，所以宏病毒的传播十分迅速和广泛。 • 4．蠕虫病毒。蠕虫病毒与一般的计算机病 毒不同，它不采用将自身拷贝附加到其它程序中 的方式来复制自己，也就是说蠕虫病毒不需要将 其自身附着到宿主程序上。蠕虫病毒主要通过网 络传播，具有极强的自我复制能力、传播性和破 坏性。
• 9．操作系统无法正常启动。
• 10．部分文档丢失或被破坏。 • 11．网络瘫痪。 •4.1.7 计算机病毒程序一般构成 • 病毒程序一般由三个基本模块组成，即安装 模块、传染模块和破坏模块。 • 1．安装模块 • 病毒程序必须通过自身的程序实现自启动 并安装到计算机系统中，不同类型的病毒程序会 使用不同的安装方法。
第4章 计算机病毒与黑客
• 4.1 计算机病毒 • 4.2 计算机杀毒软件 • 4.3 特洛伊木马 • 4.4 计算机病毒与黑客的防范 • 4.5 计算机病毒与木马的查杀 • 4.6 手机病毒介绍
•4.1 计算机病毒 •4.1.1 计算机病毒的定义 • 《中华人民共和国计算机信息系统安全保护条例》对病毒定 义表明了计算机病毒就是具有破坏性的计算机程序。