1、淺談病毒入侵微機的途徑與防治研究摘 要：隨著科技的進步計算機不斷普及，其利用率越來越高，應用領域也越來越廣。不管是日常的工作中，還是學習生活都帶來了巨大的改變。但是計算機的產生也是一把雙刃劍，在給人們帶來方便的同時卻也隨著計算機加入網絡系統而計算機安全受到了越來越多的威脅。目前計算機系統漏洞不斷被發現，病毒與黑客的技巧和破壞能力不斷提高，處于網絡中的計算機受到了越來越多的攻擊。阻塞甚至中斷網絡，破壞計算機系統或丟失個人重要信息等；這些威脅越來越給個人和企業都造成巨大的損失，而對于上述威脅，如何有效的動態保護計算機的應用，不被病毒等惡意信息攻擊，早已引起了社會的極大關注。為了加強目前計算機防護能

2、力，我們需要深入研究病毒入侵計算機系統的路徑，以及如何在這些路徑上進行相應的防治手段的執行。這種根據路徑而進行的攔截式防治的思路，無疑是最適宜的計算機系統安全防范思路。而這種思路的深入探討對于保障計算機的運行可靠性和完整性有著極為重要的意義。關鍵詞：計算機；病毒；防范措施；原理On the way computer viruses and ControlAbstract: Popularizes unceasingly along with the technical progressive computer, its use factor is getting higher and high

3、er, the application domain is also getting more and more broad. No matter is in the daily work, studied the life to bring the huge change. But computers production is also a double-edged sword, while brings the convenience to the people actually also to join the network system along with the compute

4、r, but the computer security arrived at more and more threats. At present the computer system crack was discovered unceasingly that viral and hackers skill and destructive capability enhanced unceasingly, are in the network the computer to arrive more and more attacks. Blocking even interrupts the n

5、etwork, destroys the computer system or loses individual important information and so on; These threats give individual more and more and the enterprise create the massive loss, but regarding the above threat, the effective dynamic protection computers application, by malicious information attacks a

6、nd so on virus, already to have been caused how societys enormous attention. In order to strengthen the present computer protection capability, we need the deep research virus invasion computer systems way, as well as how to carry on the corresponding prevention method in these ways the execution. T

7、his kind the interception type prevention mentality which carries on according to the way, without doubt is the computer system safe guard mentality which is suitable. But this kind of mentalitys thorough discussion regarding safeguards computers movement reliability and the integrity has the great

8、importance the significanceKey words: computer; viruses; precautions; principle目 錄1 計算機病毒概述.,. 41.1 計算機病毒的基本介紹. 41.1.1 計算機病毒的產生. 41.1.2 計算機病毒的特征. 41.1.3 病毒的表現形式. 51.2 計算機病毒的分類. 61.2.1 文件傳染源病毒. 61.2.2 引導扇區病毒. 61.2.3 主引導記錄病毒. 61.2.4 復合型病毒. 61.2.5 宏病毒. 71.3 計算機病毒的攻擊和防御. 71.3.1 常見的網絡動態攻擊. 71.3.2 常用的病毒攻擊

9、防御. 92 計算機病毒動態防御詳細分析. 102.1 感染可執行文件的病毒. 102.2 后臺進行控制的病毒. 112.3 蠕蟲病毒. 122.4 腳本病毒. 132.4.1 基本介紹. 132.4.2 侵入的技術原理. 133 計算機病毒防范措施. 143.1 個人防范措施. 143.2 即時通訊工具預防措施. 153.3 蠕蟲類預防措施. 153.4 網頁掛馬病毒的預防措施. 163.5 網上銀行、在線交易的預防措施. 163.6 利用U盤進行傳播的病毒的預防措施. 174 結束語. 185 參考文獻. 191 計算機病毒概述1.1計算機病毒的基本介紹1.1.1 計算機病毒的產生 計算機

10、病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。電腦病毒的產生要經過這幾個過程：程序設計傳播潛伏觸發運行實施攻擊。 究其產生的原因不外乎以下幾種： 病毒制造者對病毒程序的好奇與偏好。也有的是為了滿足自己的表現欲，故意編制出一些特殊的計算機程序，讓別人的電腦出現一些動畫，或播放聲音，或提出問題讓使用者回答。而此種程序流傳出去就演變成計算機病毒，此類病毒破壞性一般不大； 個別人的報復心理。如臺灣的學生陳盈豪，就是出于此種情況，他因為曾經購買的一些殺病毒軟件的性能并不如廠家所說的那么強大，于是處于報復目的，自己編寫了一個能避過當時的各種殺病毒軟件并且破壞力極強的CIH

11、病毒，曾一度使全球的電腦用戶造成了巨大災難和損失； 一些商業軟件公司為了不讓自己的軟件被非法復制和使用，在軟件上運用了加密和保護技術，并編寫了一些特殊程序附在正版軟件上，如遇到非法使用，則此類程序將自動激活并對盜用者的電腦系統進行干擾和破壞，這實際上也是一類新的病毒，如巴基斯坦病毒； 惡作劇的心理。有些編程人員在無聊時處于游戲的心理編制了一些有一定破壞性小程序，并用此類程序相互制造惡作劇，于是形成了一類新的病毒，如最早的“磁芯大戰”就是這樣產生的； 用于研究或實驗某種計算機產品而設計的“有專門用途的”程序，比如遠程監控程序代碼，就是由于某種原因失去控制而擴散出來，經過用心不良的人改編后會成為具

12、有很大危害的木馬病毒程序； 由于政治、經濟和軍事等特殊目的，一些組織或個人編制的一些病毒程序用于攻擊敵方電腦，給敵方造成災難或直接性的經濟損失。1.1.2 計算機病毒的特征非授權可執行性：用戶通常調用執行一個程序時,把系統控制交給這個程序,并分配給他相應系統資源,如內存,從而使之能夠運行完成用戶的需求。因此程序執行的過程對用戶是透明的。而計算機病毒是非法程序,正常用戶是不會明知是病毒程序,而故意調用執行。但由于計算機病毒具有正常程序的一切特性:可存儲性、可執行性。它隱藏在合法的程序或數據中,當用戶運行正常程序時,病毒伺機竊取到系統的控制權,得以搶先運行,然而此時用戶還認為在執行正常程序。 隱蔽

13、性：計算機病毒是一種具有很高編程技巧、短小精悍的可執行程序。它通常粘附在正常程序之中或磁盤引導扇區中,或者磁盤上標為壞簇的扇區中,以及一些空閑概率較大的扇區中,這是它的非法可存儲性。病毒想方設法隱藏自身,就是為了防止用戶察覺。 傳染性：傳染性是計算機病毒最重要的特征,是判斷一段程序代碼是否為計算機病毒的依據。病毒程序一旦侵入計算機系統就開始搜索可以傳染的程序或者磁介質,然后通過自我復制迅速傳播。由于目前計算機網絡日益發達,計算機病毒可以在極短的時間內,通過像 Internet這樣的網絡傳遍世界。 潛伏性：計算機病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄

14、生能力,病毒傳染合法的程序和系統后,不立即發作,而是悄悄隱藏起來,然后在用戶不察覺的情況下進行傳染。這樣,病毒的潛伏性越好,它在系統中存在的時間也就越長,病毒傳染的范圍也越廣,其危害性也越大。 表現性或破壞性：無論何種病毒程序一旦侵入系統都會對操作系統的運行造成不同程度的影響。即使不直接產生破壞作用的病毒程序也要占用系統資源(如占用內存空間,占用磁盤存儲空間以及系統運行時間等)。而絕大多數病毒程序要顯示一些文字或圖像,影響系統的正常運行,還有一些病毒程序刪除文件,加密磁盤中的數據,甚至摧毀整個系統和數據,使之無法恢復,造成無可挽回的損失。因此,病毒程序的副作用輕者降低系統工作效率,重者導致系統

15、崩潰、數據丟失。病毒程序的表現性或破壞性體現了病毒設計者的真正意圖。 可觸發性：計算機病毒一般都有一個或者幾個觸發條件。滿足其觸發條件或者激活病毒的傳染機制,使之進行傳染;或者激活病毒的表現部分或破壞部分。觸發的實質是一種條件的控制,病毒程序可以依據設計者的要求,在一定條件下實施攻擊。這個條件可以是敲入特定字符,使用特定文件,某個特定日期或特定時刻,或者是病毒內置的計數器達到一定次數等1。1.1.3 病毒的表現形式根據計算機病毒感染和發作的階段，可以將計算機病毒的表現現象分為三大類，即：計算機病毒發作前、發作時和發作后的表現現象。計算機病毒發作前的表現現象：平時運行正常的計算機突然經常性無緣無

16、故地死機；操作系統無法正常啟動；運行速度明顯變慢；以前能正常運行的軟件經常發生內存不足的錯誤；打印和通訊發生異常；無意中要求對軟盤進行寫操作；以前能正常運行的應用程序經常發生死機或者非法錯誤；系統文件的時間、日期、大小發生變化；運行Word，打開Word文檔后，該文件另存時只能以模板方式保存；磁盤空間迅速減少；網絡驅動器卷或共享目錄無法調用；基本內存發生變化；陌生人發來的電子函件。計算機病毒發作時的表現現象：提示一些不相干的話；無原無故發出一段的音樂；產生特定的圖像；硬盤燈不斷閃爍；進行游戲算法；Windows桌面圖標發生變化；計算機無原無故突然死機或重啟；自動發送電子函件；鼠標自己在動或動不

17、了。計算機病毒發作后的表現現象：硬盤無法啟動，數據丟失；系統文件丟失或被破壞；文件目錄發生混亂；部分文檔丟失或被破壞；部分文檔自動加密碼；修改Autoexec.bat文件，增加Format C：一項，導致計算機重新啟動時格式化硬盤；使部分可軟件升級主板的BIOS程序混亂，主板被破壞；網絡癱瘓，無法提供正常的服務。1.2 計算機病毒的分類1.2.1 文件傳染源病毒 文件傳染源病毒感染程序文件。這些病毒通常感染可執行代碼，例如：.com和 .exe文件等。當受感染的程序從軟盤、U盤或硬盤上運行時，可以感染其他文件。這些病中有許多是內存駐留型病毒。內存受到感染之后，運行的任何未感染的可執行文件都會受

18、到感染。已知文件傳染源病毒包括Jerusalem、Cascade等。1.2.2 引導扇區病毒病毒通過復制代碼引導區病毒感染計算機系統或者到軟盤上引導扇區或硬盤上分區表。在啟動期間,病毒是加載到內存。一旦在內存,病毒將感染由系統訪問得任何非感染磁盤。引導扇區病毒示例是 Michelangelo 和 Stoned。引導扇區病毒通過引導,或試圖從感染了軟盤引導,分布到計算機系統。即使如果磁盤不包含需要,成功啟動MS-DOC系統文件試圖從感染磁盤啟動將加載到內存病毒。在內當作設備驅動程序病毒掛鉤本身。病毒移動中斷 12 返回,允許本身在內存中保持即使熱啟動。病毒將然后感染硬盤上首系統中。1.2.3 主

19、引導記錄病毒 主引導記錄病毒是內存駐留型病毒，它感染磁盤的方式與引導扇區病毒相同。兩種病毒類型的區別在于病毒代碼的位置。主引導刻錄感染源通常將主引導記錄的合法副本保存在另一個位置，受到引導扇區病毒或主引導記錄病毒感染的Windows NT/2000/2003 計算機將不能啟動，這是由于 Windows NT/2000/2003 操作系統訪問其引導信息的方式與Windows 9x 不同。主引導記錄病毒主要有 NYB、AntiExe 和 Unashamed 等。1.2.4 復合型病毒 復合型病毒是指具有引導型病毒和文件型病毒寄生方式的計算機病毒。這種病毒擴大了病毒程序的傳染途徑,它既感染磁盤的引導

20、記錄,又感染可執行文件。當染有此種病毒的磁盤用于引導系統或調用執行染毒文件時,病毒都會被激活。因此在檢測、清除復合型病毒時,必須全面徹底地根治,如果只發現該病毒的一個特性,把它只當作引導型或文件型病毒進行清除。雖然好像是清除了,但還留有隱患,這種經過消毒后的“潔凈”系統更賦有攻擊性。這種病毒有Flip病毒、新世紀病毒、One-half病毒等。1.2.5 宏病毒宏病毒是目前最常見的病毒類型，它主要感染數據文件。隨著 Microsoft Office 97 中Visual Basic 的出現。編寫的宏病毒不僅可以感染數據文件，還可以感染其他文件。宏病毒可以感染 Microsoft Office W

21、ord、Excel、PowerPoint 和 Access 文件。這些病毒很容易創建，現在傳播著的就的幾千種，主要有的包括 W97M.Melissa、Macro.Melissa、WM.NiceDay 和 W97M.Groov 等2。1.3 計算機病毒的攻擊和防御1.3.1 常見的網絡動態攻擊 死亡之ping （ping of death）：由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺

22、寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。 淚滴（teardrop）：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。UDP洪水（UDP flood）：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這

23、樣就生成在兩臺主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。 SYN洪水（SYN flood）：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存緩沖區用于創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里，SYN洪水具有類似的影響。 Land攻擊：在Land攻擊中，一個特別打造的SYN包，它的原地址和目標地址都被設置成某一個服務器地址，此舉將導致接受服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連

24、接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鐘）。 Smurf攻擊：一個簡單的smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞，比ping of death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。Fraggle攻擊：Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP電子郵件炸彈：電子郵件炸彈是最

25、古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬。畸形消息攻擊：各類操作系統上的許多服務都存在此類問題，由于這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。 特洛伊木馬：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統。最有效的一種叫做后門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用于控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的后門程序透明運行。

26、緩沖區溢出：由于在很多的服務程序中大意的程序員使用像strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。 信息收集型攻擊：信息收集型攻擊并不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。假消息攻擊：用于攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。DNS高速緩存污染：由于DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得黑客可以將不正確的信息摻進來并把

27、用戶引向黑客自己的主機。偽造電子郵件：由于SMTP并不對郵件的發送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。腳本攻擊：是一件藝術而不是漏洞！首先我們先要知道什么是腳本，腳本就是運行在網頁服務器上的文本程序，是利用這些文件的設置和編寫時的錯誤或者疏忽不當，攻擊者就可以利用這些來達到自己攻擊目的腳本攻擊就是針對這些數據庫來配合腳本對一些變量的過濾不嚴的問題來達到得到用戶密碼等敏感信息，修改數據庫等目的3。1.3.2 常用的病毒攻擊防御 用戶密碼足夠復雜，推薦8-16位數字大小寫字符特殊符

28、號 ；win2k/xp可考慮把administrator用戶改名； 盡量使用網絡共享，采用ftp等更安全的方式代替（默認共享目錄，列舉用戶名，空密碼漏洞是著名的容易被利用）；如果必要情況下需要使用，請一定設置上8位以上的復雜密碼，并制定文件目錄的確實需要的最小權限（例如提供資料讓人下載的，就只需要設置成只讀權限就行了） 及時升級系統和工具補丁；（這點我在此文中一直在強調，但事實上是不少用戶寧可每天花10個小時的時間玩游戲，也不愿意花10分鐘去訪問一下windows的update站點，安裝殺毒軟件/防火墻是治標，打patch才是治本，隨時打好patch是每日必修功課）； 安裝帶有病毒即時監控/郵

29、件監控的殺毒程序，并及時升級病毒庫；（很多朋友強調自己用的是正版殺毒軟件，但一直忽略了購買正版殺毒軟件的最必要因素獲得良好的升級支持服務，不升級病毒庫的殺毒軟件是無法捕捉到新病毒的。因此天緣個人建議每天2次升級最新病毒庫是比較適合的，一次在早上開機時，一次在下午開機時）； 使用更優秀的軟件代替產品；（例如用myie2代替ie，用total command 代替資源瀏覽器。不是說微軟自身的產品不能用有時候就是因為微軟的產品功能太多，眾多的功能中有可能有存在漏洞的，就會危機到系統安全了，所以推薦使用代替產品。而事實上不少第三方軟件的確相當好用的） 使用個人版網絡防火墻，將icmp反饋禁止，再根據自

30、己需要把敏感端口全部禁止掉；（在金山、瑞星、kv、天網的防火墻設置中，很容易找到“禁止icmp回應”，“禁止ping響應”這樣的規則，勾選上就行了）win2k/xp自帶的ipsec也能實現，不過比較繁復一些，個人感覺適合系統管理員而不是普通用戶，另外winxp自帶的防火墻也能作到禁止ping回應，各位可以試著開啟它） 修改xp/win2000的默認設置，在服務中禁止掉自己不需要的一些服務。如messager和遠程操作注冊表都是常常被利用的服務程序；（在中文版本中，都有詳細的中文提示，yesky網站上的介紹文章也相當多，各位可以搜索一下） 養成安全意識。網絡前輩說過一句名言“安全，從來都不是技術

31、問題，而是一個意識”前面幾條都是在第8條的基礎上得到體現的，如果沒有了安全意識，即使用再昂貴的殺毒軟件也懶于升級、用再優秀的操作系統也懶于打patch，那么一切都是白費了。特別是對待目前逐漸成為主流的病毒/攻擊欺騙而言，如果用戶不在主觀上保持“存疑”的態度，那么隨意接受/打開外來的文件，中毒的可能性是相當大的。另外補充一句，網絡上只有“本地”和“遠程”2個概念，不管是不是朋友的計算機，是不是同一個工作組內的機器，它始終是臺遠程機器發送過來的數據保持必要的懷疑，不管該計算機是誰擁有。 在金山，瑞星和kv3000的主頁，對待流行病毒，都有專殺工具和注冊表修復工具免費下載，如果用戶能確認自己所中的是

32、何種病毒時，使用專殺工具能獲得更高的殺毒效率；而且在這些站點上，還有最新的病毒預報可以看到，方便用戶提前作好準備以及了解攻擊細節。2 計算機病毒動態防御詳細分析2.1 感染可執行文件的病毒病毒描述：這類病毒的編寫者的技術水平可說相當高超，此類病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數段藏身其中，在可執行文件運行的同時進駐到內存中并進行感染工作，dos下大多為此類病毒居多，在windows下由于win95時期病毒編寫者對pe32的格式沒吃透，那段時間比較少，之后在win98階段這類病毒才擴散開來，其中大家廣為熟悉的CIH病毒就是一例；在windows發展的中后期，互聯網絡開始

33、興盛，此類病毒開始結合網絡漏洞進行傳播，其中的杰出代表為funlove傳播由于windows的操作系統的局網共享協議存在默認共享漏洞，以及大部分用戶在設置共享的時候貪圖方便不設置復雜密碼甚至根本就沒有密碼，共享權限也開啟的是“完全訪問”。導致funlove病毒通過簡單嘗試密碼利用網絡瘋狂傳播。病毒淺析：由于此類病毒的編寫對作者要求很高，對運行環境的要求也相當嚴格，在編寫不完善的時候，會導致系統異常（例如CIH的早期版本會導致winzip出錯和無法關閉計算機等問題；funlove在nt4上會導致mssqlserver的前臺工具無法調出界面等問題）。這類病毒賴以生存的制約是系統的運行時間和隱蔽性。

34、運行時間系統運行的時間越長，對其感染其他文件越有利，因此此類病毒中一般不含有惡意關機等代碼，染毒后短期內（一般24小時內）也不會導致系統崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時間。破壞引導區的大腦病毒、擇日發作的星期五病毒、直接讀寫主板芯片，采用驅動技術的CIH病毒都是其中的代表。感染途徑：此類病毒本身依用戶執行而進行被動運行，常見感染途徑為：盜版光盤、軟盤、安全性不佳的共享網絡；病毒自查：此類病毒大多通過的是進駐內存后篇歷目錄樹的方式，搜索每個目錄下的可執行文件進行感染，因此對內存占用得比較厲害如果突然在某個時間后發現自己的機器內存占用很高，可能就是感染了此類病

35、毒。病毒查殺：這類病毒由于編寫難度較大，因此升級速度相對較慢，但由于開機后進駐的程序可能已經被病毒感染，因此殺毒條件是各種病毒中最為嚴格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：1.軟盤（光盤）啟機使用殺毒軟（光）盤進行殺毒；在進行這一步的時候，必須要保證軟盤或光盤的病毒庫內已經有殺除該病毒的特征碼。2.將硬盤拆下，作為其他機器的從盤；從其他機器的主盤啟動進行殺毒（該機需打開病毒即時監控，以防止來自從盤的可執行文件中的病毒進駐到內存中）。殺毒遺留：由于這類病毒是寄生到其他程序內部，即使非常優秀的殺毒軟件，能做到的也只是把該染毒程序內的病毒某關鍵執行部分刪除，使得染毒程序在運

36、行時病毒無法運行。因此并不是嚴格意義上的完全清除病毒程序的某部分依然殘留在程序內部，俗稱“病毒僵尸”。病毒防范：安裝包含即時監控的殺毒軟件并啟機執行，每天升級病毒庫獲取最新病毒特征代碼；盡量不使用來源不可的軟盤和光盤，使用前先掃描。2.2 后臺進行控制的病毒 描述：帳號被偷，密碼被盜，機器被人遠程控制著放歌/開關機/屏幕倒轉過來，硬盤不住地轉動將關鍵資料向外發出，就是這類病毒的杰作了。這類病毒和上一類病毒最本質的區別是這類病毒本身是獨立的程序，而不是寄生于另一個程序中。這類病毒的編寫主要在于對操作系統本身接口的熟悉，網絡傳輸的熟悉，以及對隱蔽性的要求，此類病毒的編寫可使用多種語言，對病毒寫作者

37、本身的實力也是一種考驗。這個病毒中，最出名的莫過于BO了，可以說，它指引了這種病毒在windows平臺的發展理念。這類病毒就是統稱的“木馬”病毒，通過系統漏洞/用戶操作疏忽進入系統并駐留，通過改寫啟動設置來達到每次啟機運行或關聯到某程序的目的。在windows系統中，表現為修改注冊表啟動項、關聯Explorer、關聯notepad等方式。 病毒淺析：此類病毒編寫者的功力就有高有低了。高手所編寫的遠程控制系統可以和最優秀的遠程管理工具相媲美，例如開山鼻主BO，國產的冰河，著名的黃金木馬sub7都屬于這一類，這類程序分為2個部分，控制端和被控制端；而在UNIX類平臺下的木馬經常是一個簡單外部命令的

38、重新實現例如將原本的ls命令替換掉，用自己寫的一個程序代替，在執行正常文件列表的同時隱含執行特殊命令，這類木馬的編寫水平也相當高，但在windows下極少出現類似程序替代的木馬，這類病毒的聯系一般是單向進行的；還有一類木馬就是網絡盜竊性質的，以im軟件，網絡游戲盜號居多，近來發展為對金融業有所染指，這類一般就是通過程序監視當前窗口，并獲得當前窗口特定控件的值（用戶名/密碼框里的值），然后通過email，遠程登陸web數據庫等方式把獲得的密碼發出去，這類程序具有一定編程基礎的各位朋友都能做到；第4類是惟恐天下不亂的純搗亂程序，原理跟上一種類似，不過是朝文本框寫信息，例如著名的qq尾巴病毒，這類病

39、毒由于病毒作者將源代碼放出，改寫起來相當容易，智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO、冰河、Sub 7等。感染途徑：系統漏洞/用戶錯誤權限/社會工程學。利用系統漏洞造成溢出獲取一定權限利用其他漏洞或用戶設置不當提升權限上傳惡意程序/修改系統設置啟動惡意程序。是這類病毒感染的慣用方式。在后期，出現了以誘騙用戶執行為主要感染方式的新木馬，充分利用了社會工程學，由于木馬的用途主要是將病毒編寫者感興趣的資料回發因此感染途徑99%來源于網絡，在完全無網絡單機狀態下的木馬等于是沒用的死馬。病毒自查：由于木馬發送者的企圖都是通過控制你的機器操作來獲得一定利益，因此都會設置啟動時加載該程

40、序。控制類的木馬需要占用相當一部分系統資源用戶直接能感覺到的就是啟動速度變慢，系統運行速度變慢；而帳號盜取類的木馬由于需要獲得特定窗口的窗口句柄，因此會在當前窗口切換的時候進行讀取判斷在機器配置不高的機器上，如果快速輪循窗口，則感覺到窗口出現速度明顯下降；惡作劇類的木馬就不用提了，大家都知道不對勁。病毒查殺：木馬病毒的繁衍也是相當快速的，特別是行為上難以判斷合法遠程控制軟件和木馬在本質上基本上無區別，在執行行為上也相當類似。而木馬的控制協議一般是走tcp/ip協議，理論上是可以在65535個端口中隨意選擇，因此也無法利用端口方式準確判斷出病毒種類；通過特征碼方式，如果木馬作者沒有留下版本信息或

41、說明文字，則也相當難以判斷；特別是木馬的源代碼公開后，想在其中加入一段獨特的功能代碼不是什么難事，因而衍生的版本特別快也特別多，這更加大了殺毒軟件查殺的的難度4。2.3 蠕蟲病毒蠕蟲病毒是一種常見的計算機病毒。它是利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下，病毒發作時會在屏幕上出現一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計算機系統中(通常是經過網絡連接)。2.4 腳本病毒2.4.1 基本介紹 腳本病毒通常是JavaScript代碼編寫的

42、惡意代碼， 一般帶有廣告性質，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼（Script.Redlof）腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。2.4.2 侵入的技術原理 VBS腳本病毒一般是直接通過自我復制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間，譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調用病毒代

43、碼的語句，而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，vbs作為后綴。下面我們通過愛蟲病毒的部分代碼具體分析一下這類病毒的感染和搜索原理：以下是文件感染的部分關鍵代碼：Set fso=createobject(scripting.filesystemobject) 創建一個文件系統對象set self=fso.opentextfile(wscript.scriptfullname,1) 讀打開當前文件（即病毒本身）vbscopy=self.readall 讀取病毒全部代碼到字符串變量vbscopy set ap=fso.opentextfile(

44、目標文件.path,2,true) 寫打開目標文件，準備寫入病毒代碼ap.write vbscopy 將病毒代碼覆蓋目標文件ap.closeset cop=fso.getfile(目標文件.path) 得到目標文件路徑cop.copy(目標文件.path & .vbs) 創建另外一個病毒文件（以.vbs為后綴）目標文件.delete(true)刪除目標文件上面描述了病毒文件是如何感染正常文件的：首先將病毒自身代碼賦給字符串變量vbscopy，然后將這個字符串覆蓋寫到目標文件，并創建一個以目標文件名為文件名前綴、vbs為后綴的文件副本，最后刪除目標文件。下面我們具體分析一下文件搜索代碼：該函數主

45、要用來尋找滿足條件的文件，并生成對應文件的一個病毒副本sub scan(folder_)scan函數定義，on error resume next 如果出現錯誤，直接跳過，防止彈出錯誤窗口set folder_=fso.getfolder(folder_) set files=folder_.files 當前目錄的所有文件集合 for each file in filesext=fso.GetExtensionName(file)獲取文件后綴 ext=lcase(ext) 后綴名轉換成小寫字母if ext=mp5 then如果后綴名是mp5，則進行感染。請自己建立相應后綴名的文件，最好是非正常

46、后綴名 ，以免破壞正常程序。 Wscript.echo (file)end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders搜索其他目錄；遞歸調用scan( ) scan(subfolder)next end sub 上面的代碼就是VBS腳本病毒進行文件搜索的代碼分析。搜索部分scan( )函數做得比較短小精悍，非常巧妙，采用了一個遞歸的算法遍歷整個分區的目錄和文件5。3 計算機病毒防范措施3.1 個人防范措施用戶應養成及時下載最新系統安全漏洞補丁的安全習慣，從根源上杜絕黑客利用系統漏洞攻擊用戶計算機

47、的病毒。同時，升級殺毒軟件、開啟病毒實時監控應成為每日防范病毒的必修課。請定期做好重要資料的備份，以免造成重大損失。選擇具備“網頁防馬墻”功能的殺毒軟件（如KV2008），每天升級殺毒軟件病毒庫，定時對計算機進行病毒查殺，上網時開啟殺毒軟件全部監控。請勿隨便打開來源不明的Excel或Word文檔，并且要及時升級病毒庫，開啟實時監控，以免受到病毒的侵害。上網瀏覽時一定要開啟殺毒軟件的實時監控功能，以免遭到病毒侵害。上網瀏覽時，不要隨便點擊不安全陌生網站，以免遭到病毒侵害。及時更新計算機的防病毒軟件、安裝防火墻，為操作系統及時安裝補丁程序。在上網過程中要注意加強自我保護，避免訪問非法網站，這些網站

48、往往潛入了惡意代碼，一旦用戶打開其頁面時，即會被植入木馬與病毒。利用Windows Update功能打全系統補丁，避免病毒從網頁木馬的方式入侵到系統中。將應用軟件升級到最新版本，其中包括各種IM即時通訊工具、下載工具、播放器軟件、搜索工具條等；更不要登錄來歷不明的網站，避免病毒利用其他應用軟件漏洞進行木馬病毒傳播。開啟江民殺毒軟件“系統漏洞檢查”功能，全面掃描操作系統漏洞，及時更新Windows操作系統，安裝相應補丁程序，以避免病毒利用微軟漏洞攻擊計算機，造成損失。3.2 即時通訊工具預防措施請廣大用戶一定要提高警惕，切勿隨意點擊MSN等一些即時通訊工具中給出的鏈接，確認消息來源，并克服一定的

49、好奇心理。通過即時通訊工具等途徑接收的文件前，請先進行病毒查殺。MSN用戶提高網絡安全意識，不要輕易接收來歷不明的文件，即便是MSN好友發來的文件也要謹慎，尤其是擴展名為*.zip,*.rar 等格式的文件，當遇到有人發來以上格式的文件時請直接拒絕即可。在使用即時通訊工具的時候，不要隨意接收好友發來的文件，避免病毒從即時聊天工具傳播進來。3.3 蠕蟲類預防措施建議用戶在打開郵件附件或鏈接前，首先確定郵件來源，并確認文件后綴名是否正確，以免被虛假后綴欺騙。設置網絡共享帳號及密碼時，盡量不要使用空密碼和常見字符串，如guest、user、administrator等。密碼最好超過八位，盡量復雜化。 在運行通過網絡共享下載的軟件程序之前，建議先進行病毒查殺，以免導致中毒。接收到不明來歷的郵件時，請不要隨意打開其中給出的鏈接以及附件，以免中毒。在打開通過局域網共享及共享軟件下載