病毒总结

1.计算机病毒的组成

a)引导模块

b)感染模块

c)破坏模块

d)触发模块

2.计算机病毒的特征

a)驻留内存

b)病毒变种

c)EPO技术

d)抗分析技术

e)隐蔽性病毒技术

f)多态性病毒技术

g)插入型病毒技术

h)自动生产技术

i)网络病毒技术

3.各个操作系统下病毒的分类及原理

（1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99％。

a) 文件型病毒

DOS病毒的绝大部分是感染DOS可执行文件，如：。EXE，。COM，甚至是。BAT等文件。这类病毒被称为文件型病毒。像“黑色星期五”、“1575"、“卡死脖”病毒（CASPER）等就是文件型病毒。

DOS文件型病毒一般通过将病毒本体链接到可执行文件（。EXE、。COM）上进行保存自身，并在该可执行文件得到执行后，主动或被动的找到其他可执行文件进行感染，复制自身代码，并在适当的时机发作，破坏计算机内的文件。DOS文件型病毒常见的攻击对象有命令解释器command和DOS系统的可执行文件等。例如：在病毒进入内存并得到执行，普通的一个dir /a/s命令可以感染该目录及子目录下的所有可执行文件。

b) 引导性病毒

既感染主引导区或引导区，又感染感染文件的病毒被称为混合型病毒。如：“幽灵”

病毒（ONEHALF），Natas病毒等。

DOS引导型病毒分为单纯引导型病毒、文件/引导混合型病毒，该类病毒一般会感染主引导记录和DOS引导记录，将病毒体直接写入对应的扇区内，在BIOS执行完毕，将硬盘引导记录调入内存，并开始引导时，病毒就已经进入内存。一般情况下该类病毒修改INT13的中断服务程序，以达到获取控制权的目的。在发生磁盘IO时，INT13被调用，病毒就开始传染和发作。严重时此类病毒会将引导记录和分区表同时篡改，造成整个计算机内磁盘数据的丢失，危害极大。

如果主引导区感染了病毒，用格式化程序（FORMAT）是不能清除该病毒的，可以用FDISK/MBR清除该病毒。但如果是被MONKEY或ONEHALF这类的病毒感染，采用FDISK/MBR会丢失数据或使C盘无法找到。

引导区感染了病毒，用格式化程序（FORMAT）可清除病毒。

（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务操作系统深受用户的欢迎，Windows正逐渐取代DOS，从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。

（3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。

a)Shell 脚本病毒

使用shell脚本语言

b)蠕虫病毒

利用已知的攻击程序去获得目标机的管理员权限。需要利用exploit这个媒介来

进行自身复制，但是exploit只针对特定版本有效，所以蠕虫病毒的跨平台能力

很差，时效性也很差。

c)欺骗库函数

可以通过改变库函数，例如修改环境变量等方式，来捉弄被攻击者。通过更改

环境变量把标准的库函数替换成你自己的程序。

d)内核级的传播

可以传播内核映像，但是该种病毒技术尚处于理论阶段。

e)与平台兼容的病毒

使用跨平台的语言书写病毒，实现平台兼容

（4）移动终端恶意代码

按照攻击对象分类：

a)短信息攻击：主要是以“病毒短信”的方式发起攻击

b)直接攻击手机：直接攻击相邻手机，例如Cabir病毒

c)攻击网关：控制WAP或短信平台，并通过网关向手机发送垃圾信息，

干扰手机用户，甚至导致网络运行瘫痪。

d)攻击漏洞：攻击字符格式漏洞、智能手机操作系统漏洞、应用程序运

行环境漏洞和应用程序漏洞

e)木马型恶意代码：利用用户的疏忽，以合法身份侵入移动终端，并伺

机窃取资料的病毒。例如Skulls病毒。

4.蠕虫的传播过程

实例：冲击波、震荡波、红色代码、尼姆达

传播模块分为扫描、攻击和复制三个步骤。

扫描：主要负责探测远程主机的漏洞，这模拟了攻防的Scan过程。当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后，就得到了一个潜在的传播对象。

攻击病毒：按特定漏洞的攻击方法对潜在的传播对象进行自动攻击，以取得该主机的合适权限，为后续步骤做准备。

复制：在特定权限下，复制功能实现蠕虫隐刀程序的远程建立工作，即把引导程序复制到攻击对象上。

5.宏的种类（几个具体的宏的名字和触发条件）

宏就是一些命令组织在一起，作为一个单独单元完成一个特定任务。

6.计算机病毒的检测方法及原理

原理：计算机病毒在感染健康程序后，会引起各种变化。每种计算机病毒所引起的症状都具有一定的特点。计算机病毒的检测原理就是更具这些特征，来判断病毒的种类，进而确定清楚办法。

常用的检测方法分为手工检测和自动检测，具体检测方法如下：

1)比较法

a)注册表比较法

b)文件比较法

c)中断比较法

d)内存比较法

2)校验和法

优点：方法简单、能发现未知计算机病毒、备查文件的席位变化也能发现；

缺点：必须预先记录正常态的校验和、误报警率较高、不能识别计算机病毒名

称、程序执行速度变慢。

3)特征码扫描法

计算机病毒扫描软件称为Scanner

两部分组成：

a)计算机病毒特征码库：含有经过特别选定的各种计算机病毒的特征码。

b)利用该特征码库进行扫描的扫描程序。

优点：

a)当特征串选择合适时，检测软件使用起来方便，对计算机病毒了解不

多的人也能用它来发现计算机病毒。

b)可识别计算机病毒的名称

c)如果特征码选择恰当，误报警率低

d)不用专门软件，用编辑软件业能检测特定计算机病毒

e)依据检测结果，可做清楚处理

缺点：

a)不容易选出合适的特征码，有时会发出假警报

b)新计算机病毒的特征码未加入代码库之前，老版本的程序无法识别出

新计算机病毒

c)当被扫描的文件很长时，扫描时间较长

d)怀有恶意的计算机病毒制造者得到特征码库后，能够根据其内容改变

计算机病毒

e)测试不彻底，可能产生误报警

f)搜集已知计算机病毒的特征代码，费用开销大

g)很难识别变异类计算机病毒

4)行为检测法

计算机病毒的行为特征：

a)写注册表

b)自动联网请求

c)病毒程序与宿主程序的切换

d)修改DOS系统数据区的内存总量

e)对COM和EXE文件做写入动作

f)使用特殊中断

5)感染实验法