第4 章计算机病毒与木马.

蠕虫病毒 – 特点
蠕虫病毒主要具备以下特点。 4．更好的伪装和隐藏方式。在通常情况下，我们在接收、 查看电子邮件时，都采取双击打开邮件主题的方式浏览邮件 内容，如果邮件中带有病毒，用户的计算机就会立刻被病毒 感染。因此，通常的经验是：不运行邮件的附件就不会感染 蠕虫病毒。但是，目前比较流行的蠕虫病毒将病毒文件通过 base64编码隐藏到邮件的正文中，并且通过mine的漏洞造成 用户在单击邮件时，病毒就会自动解码到硬盘上并运行。 5．技术更加先进。一些蠕虫病毒与网页的脚本相结合，利 用VB Script、Java、ActiveX等技术隐藏在HTML页面里。当 用户上网浏览含有病毒代码的网页时，病毒会自动驻留内存 并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结 合，比较典型的是"红色代码病毒"，它会在被感染计算机 Web目录下的\scripts下将生成一个root.exe后门程序，病毒 的传播者可以通过这个程序远程控制该计算机。
4.1.பைடு நூலகம் 计算机病毒的起源
1、计算机病毒的几种起源说 （1）科学幻想起源说。美国作家写了一本名为《冲击波骑 士》的书，计算机作为正义和邪恶双方斗争的工具。 （2）恶作剧起源说。对计算机知识和技术非常感兴趣的人， 热衷于哪些别人认为不可能做成的事情，向别人展示自己 的才能。如美国网络蠕虫病毒的编写者莫里斯。 （3）游戏程序起源说。计算机发展早期，美国贝尔实验室 的程序员曾自娱自乐，编制了吃掉对方程序的程序，看谁 先把对方的程序吃光。 1983年11月3日美国计算机专家弗莱德-科恩在美国国家计算 机安全会议上，演示了自己研究的一种在运行过程中可以 复制自身的破坏性程序，并在VAXII/750计算机系统上运 行，这是世界上第一例被证实的计算机病毒。
3. 按传染方式分类
（1）传染磁盘引导区的病毒 （2）传染可执行文件的病毒 ①传染操作系统文件的病毒 ②传染一般可执行文件的病毒 ③既传染文件又传染磁盘引导区的病毒
4.按病毒存在的媒体分类
可以分为网络病毒、文件病毒和引导型病毒。 网络病毒通过计算机网络传播感染网络中的可执行文 件； 文件病毒感染计算机中的文件（如：COM，EXE， DOC等）； 引导型病毒感染启动扇区（Boot）和硬盘的系统引导 扇区（MBR）。 还有这三种情况的混合型，例如：多型病毒（文件和 引导型）感染文件和引导扇区两种目标，这样的病毒 通常都具有复杂的算法，它们使用非常规的办法侵入 系统，同时使用了加密和变形算法。
6.按计算机病毒特有的算法分类
（1）伴随型病毒。不改变文件本身，根据算 法产生exe文件的伴随体，具有同样的名字 和不同的扩展名（com）。当DOS加载文 件时，伴随体优先被执行到，再由伴随体 加载执行原来的文件。 （2）“蠕虫”型病毒。独立存在，不依赖宿 主程序。 （3）寄生型病毒。依附在系统的引导扇区或 文件中，通过系统的功能进行传播。
计算机病毒的发展史
在病毒的发展史上，呈现一定的规律性，一般情况是新的病 毒技术出现后，病毒会迅速发展，接着反病毒技术的发展会 抑制其流传。操作系统升级后，病毒也会调整为新的方式， 产生新的病毒技术。它可划分为： （1）DOS引导阶段 。1987年，软盘传播，在计算机通过软 盘启动过程中取得控制权，减少系统内存，修改磁盘读写中 断，影响系统工作效率。 （2）DOS可执行阶段 。1989年，利用DOS系统加载执行文 件的机制，在系统执行文件时取得控制权，修改DOS中断， 在系统调用时进行传染，并自我复制。代表病毒：耶路撒冷， 星期天 （3）伴随、批次型阶段。1992年，利用DOS加载文件的优 先顺序工作，不改变原来的文件内容和属性，受此感染的 EXE文件会生成一个扩展名为COM的同名伴随文件。

蠕虫病毒 – 原理和传播
蠕虫的基本程序结构为： 传播模块：负责蠕虫的传播。 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。 目的功能模块：实现对计算机的控制、监视或破坏等功能。 传播模块又可以分为三个基本模块：扫描模块、攻击模块和 复制模块。蠕虫程序的一般传播过程为： 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。 当程序向某个主机发送探测漏洞的信息并收到成功的反馈 信息后，就得到一个可传播的对象。 攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的 对象，取得该主机的权限（一般为管理员权限），获得一 个shell。 复制：复制模块通过原主机和新主机的交互将蠕虫程序复 制到新主机并启动。
7.按其表现性质
良性病毒和恶意病毒。 恶意病毒“四大家族” ①宏病毒 ②CIH病毒 ③蠕虫病毒 ④木马病毒
4.2 计算机病毒的危害及其表现
4.2.1 计算机病毒的危害 1、病毒激发对计算机数据信息的直接破坏 作用 。大部分病毒在激发的时候直接破坏 计算机的重要信息数据，所利用的手段有 格式化磁盘、改写文件分配表和目录区、 删除重要文件或者用无意义的垃圾数据改 写文件、破坏CMO5设置等。

4.1.2 计算机病毒的定义及特征
1.计算机病毒的定义：编制或者在计算机程序中插入的破坏计算机功 能湖综合破坏数据，影响计算机使用并且能够自我复制的一组计算 机指令或者程序代码。 2.计算机病毒的产生。展示才华、报复、好奇、为软件拿不到报酬预 留的陷阱，政治军事宗教、获取利益 3.计算机病毒的特点 （1）计算机病毒的程序性(可执行性)。寄生或单独 （2）计算机病毒的传染性。病毒程序一旦进入计算机并得以执行，就 会自动搜索其他符合其传染条件的程序或存储介质，确定目标后再 将自身代码插入其中，达到自我繁殖的目的。可通过U盘，网络等 手段进行传播。 （3）计算机病毒的潜伏性。表现（一）不通过专门杀毒软件无法检测 和识别，（二）不满足触发条件时，病毒除了传染不做破坏工作， 不易察觉。 （4）计算机病毒的可触发性。时间，日期，文件类型或某些特定数据。 （5）计算机病毒的破坏性。消耗资源，降低系统性能，毁掉数据，破 坏硬件，盗取敏感信息。
3.计算机病毒的特点
（6）攻击的主动性。无法彻底排除攻击 （7）病毒的针对性。针对特定操作系统，软件，硬 件等存在的漏洞。 （8）病毒的非授权性。 （9）病毒的隐蔽性。传染的隐藏性，存在的隐藏性。 （10）病毒的衍生性。产生各种变种，难以完全抵御 （11）病毒的寄生性(依附性) 。依赖于宿主程序 （12）病毒的持久性。从存在到被发现的周期很长， 及时被发现后的清除工作也很复杂。
4.1.4 计算机病毒的分类
1.按攻击对像分类 若按病毒攻击的对象来分类，可分为攻击微 型计算机、小型机和工作站的病毒，甚至安 全措施很好的大型机及计算机网络也是病毒 攻击的目标。这些攻击对象之中，以攻击微 型计算机的病毒最多，其中90％是攻击IBM PC机及其兼容饥的。其他还有攻击 Macintosh及Amiga计算机的。

蠕虫病毒 – 特点

蠕虫病毒主要具备以下特点。 1．较强的独立性。从某种意义上来讲，蠕虫病毒开辟 了计算机病毒传播和破坏能力的"新纪元",不依赖宿主程 序,它是一段独立的程序或代码，因此也就避免了受宿 主程序的牵制，可以不依赖于宿主程序而独立运行，从 而主动地实施攻击。 2．利用漏洞主动攻击。蠕虫病毒可以利用操作系统的 各种漏洞进行主动攻击。"尼姆达"病毒利用了IE浏览器 的漏洞，使感染了病毒的邮件附件在不被打开的情况下 就能激活病毒；"红色代码"利用了微软IIS服务器软件的 漏洞（idq.dll远程缓存区溢出）来传播；而蠕虫王病毒 则是利用了微软数据库系统的一个漏洞进行攻击。
第 4 章 计算机病毒与木马
第 4 章 计算机病毒与木马
4.1 4.2 4.3 4.4 4.5 计算机病毒概述 计算机病毒的危害及其表现 计算机病毒的检测与防范 木马病毒 木马的攻击防护技术
4.1 计算机病毒概述
计算机病毒是一个程序，一段可执行代码，可以从 不同角度给出计算机病毒的定义。 （1）通过磁盘、磁带和网络等作为媒介传播扩散， 能“传染”其他程序的一种程序； （2）能够实现自身复制且借助一定的载体存在的具 有潜伏性、传染性和破坏性的程序； （3）是一种人为制造的程序，它通过不同的途径潜 伏或寄生在存储媒体（如磁盘、内存）或程序里， 当某种条件或时机成熟时， 它会自生复制并传播， 使计算机的资源受到不同程序的破坏。

蠕虫病毒 – 特点

蠕虫病毒主要具备以下特点。 3．传播更快更广。它不仅仅感染本地计算机，而且会以本 地计算机为基础，感染网络中所有的服务器和客户端。蠕虫 病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以 及存在着大量漏洞的服务器等途径肆意传播，几乎所有的传 播手段都被蠕虫病毒运用得淋漓尽致，因此，蠕虫病毒的传 播速度可以是传统病毒的几百倍，甚至可以在几个小时内蔓 延全球，造成难以估量的损失。 我们可以做一个简单的计算：如果某台被蠕虫感染的计算机 的地址簿中有100个人的邮件地址，那么病毒就会自动给这 100个人发送带有病毒的邮件，假设这100个人中每个人的地 址簿中又都有100个人的联系方式，那很快就会有100 100 = 10 000个人感染该病毒，如果病毒再次按照这种方式传播 就会再有100 100 100 1 000 000个人感染，而整个感染 过程很可能会在几个小时内完成。由此可见，蠕虫病毒的传 播速度非常惊人。
蠕虫病毒 – 简介
蠕虫病毒是一种常见的计算机病毒。最初的蠕 虫病毒定义是因为在DOS环境下，病毒发作时 会在屏幕上出现一条类似虫子的东西，胡乱吞 吃屏幕上的字母并将其改形。 它是利用网络进行复制和传播，传染途径是通 过网络和电子邮件。 蠕虫病毒是自包含的程序(或是一套程序)，它能 传播自身功能的拷贝或自身（蠕虫病毒）的某 些部分到其他的计算机系统中(通常是经过网络 连接)。

2. 按入侵途径分类
（1）操作系统病毒。用病毒本身的程序意图 加入或替代部分操作系统进行工作。 （2）外壳病毒。附在宿主程序的首尾，一般 对源程序不进行修改。 （3）源码病毒。大型程序源码被编译前插入 病毒代码，技术难度大，较为少见。 （4）入侵病毒。侵入的主程序中，并替代主 程序中部分不常用的功能模块或堆栈区。

5.按病毒破坏的能力分类
（1）无害型。除了传染时减少磁盘的可用空间外， 对系统没有其他影响。 （2）无危险型。这类病毒仅仅是减少内存、显示 图像、发出声音及同类音响。 （3）危险型。这类病毒在计算机系统操作中造成 严重的错误。 （4）非常危险型。这类病毒删除程序、破坏数据、 清除系统内存区和操作系统中重要的信息。

（4）幽灵、多形阶段 （汇编语言） （5）生成器、变体机阶段 （汇编语言） （6）网络，蠕虫阶段 （7）视窗阶段。1996年，随着Windows视窗操作系 统的日益普及，利用Windows进行工作的病毒开始 发展，如典型的word宏病毒，利用word提供的宏语 言编写病毒程序。 （8）爪哇(Java)、邮件炸弹阶段 。随着java技术在互 联网上的普及，典型代表java snake和Mail-Bomb。 （9）互连网阶段。泛指通过互联网传播的病毒。
4.1.3 计算机病毒的生命周期
（1）开发期。以前制作一个病毒需要有很好的编程基础，现 在有一点计算机编程知识的人都能制作病毒，通常是在一个 漏洞被公开后的一段时间内。 （2）传染期。复制和传播，通过感染热门论坛和站点使得病 毒迅速传播到互联网。 （3）潜伏期。触发条件不满足，发作前 （4）发作期。触发条件满足进行发作，有各种特征 （5）发现期。防病毒厂商和相关安全部门 （6）消化期。针对衍生病毒和由此引起新病毒的检测。 （7）消亡期。已感染的计算机成功清除，并打了补丁，安装 了防病毒软件。发现到消亡通常是一个长期的过程
2、占用磁盘空间和对信息的破坏

寄生在磁盘上的病毒总要非法占用一部分 磁盘空间。引导型病毒的一般侵占方式是 由病毒本身占据磁盘引导扇区，覆盖一个 磁盘扇区。被覆盖的扇区数据永久性丢失， 无法恢复，所以在传染过程中一般不破坏 磁盘上的原有数据，但非法侵占了磁盘空 间，造成磁盘空间的严重浪费。