病毒知識培訓銷售病毒知識培訓銷售病毒知識培訓銷售第一局部病毒知識〔一〕病毒根底知識一、病毒的概念和特點計算機病毒從廣義上講，凡能夠引起計算機故障，破壞計算機數據、影響計算機的正常運行的指令或代碼統稱為計算機病毒。在計算機開展過程中，專家和研究者對計算機病毒也做過不盡一樣的定義，但一直沒有公認的明確定義。在我國，1994年2月18日公布實施的中華人民共和國計算機信息系統平安保護條例對計算機病毒作出了明確的定義，條例第二十八條中規定：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。〞第一局部病毒知識〔一〕病毒根底知識一、病毒的概念和特點計算機病毒從廣義上講，凡能夠引起計算機故障，破壞計算機數據、影響計算機的正常運行的指令或代碼統稱為計算機病毒。在計算機開展過程中，專家和研究者對計算機病毒也做過不盡一樣的定義，但一直沒有公認的明確定義。在我國，1994年2月18日公布實施的中華人民共和國計算機信息系統平安保護條例對計算機病毒作出了明確的定義，條例第二十八條中規定：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。〞第一局部病毒知識破壞性隱藏性傳染性潛伏性第一局部病毒知識破壞性 破壞性是計算機病毒的首要特征，不具有破壞行為的指令或代碼不能稱為計算機病毒。任何病毒只要侵入系統，都會對系統及應用程序產生程度不同的影響,輕者占用系統資源，降低計算機工作效率，重者竊取數據、破壞數據和程序，甚至導致系統崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統資源，如無法關閉的玩笑程序等。惡性病毒則有明確的目的，或竊取重要信息如銀行帳號和密碼，或翻開后門承受遠程控制等。隱蔽性計算機病毒雖然是采用同正常程序一樣的技術編寫而成，但因為其破壞的目的，因此會千方百計地隱藏自己的蛛絲馬跡，以防止用戶發現、刪除它。病毒通常沒有任何可見的界面，并采用隱藏進程、文件等手段來隱藏自己。大局部的病毒的代碼之所以設計得非常短小，也是為了隱藏。第一局部病毒知識傳染性計算機病毒同自然界的生物病毒一樣也具有傳染性。病毒作者為了最大地到達其目的，總會盡力使病毒傳播到更多的計算機系統上。病毒通常會通過網絡、移動存儲介質等各種渠道從已被感染的計算機擴散到未被感染的計算機中，感染型病毒會通過直接將自己植入正常程序的方法來傳播。潛伏性 許多病毒感染系統之后一般不會馬上發作，它可長期隱藏在系統中，只有在滿足其特定條件時才啟動其表現〔破壞〕模塊，如有些病毒會在特定的時間發作。第一局部病毒知識 病毒名是由以下7字段組成的：主行為類型.子行為類型.平臺類型.宿主文件類型.主名稱.版本信息.主名稱變種號#內部信息 其中字段之間使用“.〞或“-〞分隔，#號以后屬于內部信息，為推舉構造。 主行為類型與病毒子行為類型 病毒可能包含多個主行為類型，這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的主行為類型。同樣的，病毒也可能包含多個子行為類型，這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的子行為類型。其中危害級別是指對病毒所在計算機的危害。 病毒主行為類型與病毒子行為類型存在對應關系，下表將描述這一對應關系：第一局部病毒知識主行為類型

子行為類型

Backdoor危害級別：1說明：中文名稱—“后門”，是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程控制，而且用戶無法通過正常的方法禁止其運行。“后門”其實是木馬的一種特例，它們之間的區別在于“后門”可以對被感染的系統進行遠程控制（如：文件管理、進程控制等）。

（空）說明：目前還沒有劃分這類病毒的子行為類型。

Worm危害級別：2說明：中文名稱—“蠕蟲”，是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動存儲介質（如：U盤、軟盤），這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用于表示病毒所使用的傳播方式。

Mail危害級別：1說明：通過郵件傳播

IM危害級別：2說明：通過某個不明確的即時通訊軟件傳播

MSN危害級別：3說明：通過MSN傳播

QQ危害級別：4說明：通過OICQ傳播

第一局部病毒知識ICQ危害級別：5說明：通過ICQ傳播

P2P危害級別：6說明：通過P2P軟件傳播IRC危害級別：7說明：通過ICR傳播

（空）說明：不依賴其他軟件進行傳播的傳播方式，如：利用系統漏洞、共享目錄、可移動存儲介質。

Trojan危害級別：3說明：中文名稱—“木馬”，是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行，而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。

Spy危害級別：1說明：竊取用戶信息（如：文件等）

PSW危害級別：2說明：具有竊取密碼的行為

DL危害級別：3說明：下載病毒并運行IMMSG危害級別：4說明：通過某個不明確的載體或多個明確的載體傳播即時消息（這一行為與蠕蟲的傳播行為不同，蠕蟲是傳播病毒自己，木馬僅僅是傳播消息）MSNMSG危害級別：5說明：通過MSN傳播即時消息第一局部病毒知識QQMSG危害級別：6說明：通過OICQ傳播即時消息

ICQMSG危害級別：7說明：通過ICQ傳播即時消息

UCMSG危害級別：8說明：通過UC傳播即時消息

Proxy危害級別：9說明：將被感染的計算機作為代理服務器

Clicker危害級別：10說明：點擊指定的網頁Dialer危害級別：12說明：通過撥號來騙取Money的程序

（空）說明：無法描述其利益目的但又符合木馬病毒的基本特征，則不用具體的子行為進行描述

Virus危害級別：4說明：中文名稱“感染型病毒”，是指將病毒代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件）中，使病毒代碼在被感染宿主文件運行時取得運行權的病毒。（空）說明：目前還沒有劃分這類病毒的子行為類型

第一局部病毒知識Harm危害級別：5說明：中文名稱—“破壞性程序”，是指那些不會傳播也不感染，運行后直接破壞本地計算機（如：格式化硬盤、大量刪除文件等）導致本地計算機無法正常使用的程序。

（空）說明：目前還沒有劃分這類病毒的子行為類型

Dropper危害級別：6說明：中文名稱—“釋放病毒的程序”，是指不屬于正常的安裝或自解壓程序，并且運行后釋放病毒并將它們運行。

（空）說明：目前還沒有劃分這類病毒的子行為類型

Hack危害級別：無說明：中文名稱—“黑客工具”，是指可以在本地計算機通過網絡攻擊其他計算機的工具。

Exploit說明：漏洞探測攻擊工具

DDoser說明：拒絕服務攻擊工具

Flooder說明：洪水攻擊工具

（空）說明：不能明確攻擊方式并與黑客相關的軟件，則不用具體的子行為進行描述

Binder危害級別：無說明：捆綁病毒的工具

（空）說明：目前還沒有劃分這類病毒的子行為類型

第一局部病毒知識Constructor危害級別：無說明：中文名稱—“病毒生成器”，是指可以生成不同功能的病毒的程序。

（空）說明：目前還沒有劃分這類病毒的子行為類型

Joke危害級別：無說明：中文名稱—“玩笑程序”，是指運行后不會對系統造成破壞，但是會對用戶造成心理恐慌的程序。

（空）說明：目前還沒有劃分這類病毒的子行為類型

Junk危害級別：無說明：中文名稱—“損壞的病毒文件”，是指包含病毒代碼但是病毒代碼已經無法運行的文件。

（空）說明：目前還沒有劃分這類病毒的子行為類型

Rootkit危害級別：無說明：一種“越權執行”的應用程序，它設法讓自己達到和內核一樣的運行級別，甚至進入內核空間，這樣它就擁有了和內核一樣的訪問權限，因而可以對內核指令進行修改（空）說明：目前還沒有劃分這類病毒的子行為類型

第一局部病毒知識宿主文件 宿主文件是指病毒所使用的文件類型，目前的宿主文件有以下幾種。JS 說明：JavaScript腳本文件VBS 說明：VBScript腳本文件HTML 說明：HTML文件Java 說明：Java的Class文件COM 說明：Dos下的Com文件EXE 說明：Dos下的Exe文件Boot 說明：硬盤或軟盤引導區Word 說明：MS公司的Word文件Excel 說明：MS公司的Excel文件PE 說明：PE文件WinREG 說明：注冊表文件Ruby 說明：一種腳本Python 說明：一種腳本.BAT 說明：BAT腳本文件IRC 說明：IRC腳本Lisp 說明：一種解釋語言第一局部病毒知識主名稱 病毒的主名稱是由分析員根據病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的，如果無法確定病毒的特征字符串、特定行為或者所使用的編譯平臺則可以用字符串〞Agent〞來代替主名稱，小于10k大小的文件可以命名為“Samll〞。內部信息 #號后為內部信息，通常不在殺毒軟件上顯示，用于殺毒軟件廠商標識內部信息。版本信息〔只允許為數字〕 對于版本信息不明確的不加版本信息。主名稱變種號 如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均一樣，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z，如果一位版本號不夠用則最多可以擴展3位，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。第一局部病毒知識病毒長度 病毒長度字段只用于主行為類型為感染型〔Virus〕的病毒，字段的值為數字。當字段值為0時，表示病毒長度是可變的。病毒命名舉例：第一局部病毒知識三、病毒技術的開展歷史和現狀 計算機病毒不是來源于突發或偶然的原因，一次突發的停電和偶然的錯誤，會在計算機的磁盤和內存中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，而計算機病毒則是一種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網絡環境相適應和配合。計算機病毒不會通過偶然形成，并且需要有一定的長度，這個根本的長度從概率上來講是不可能通過隨機代碼產生的。計算機病毒是人為的特制程序，是由人為成心編寫的，多數計算機病毒可以找到作者信息和產地信息，通過大量的資料分析統計來看，病毒作者主要的情況和目的是：表現和炫耀自己的能力 一些天才的程序員為了表現自己和證明自己的能力第一局部病毒知識為了經濟或其它利益

如盜取網絡銀行密碼竊取錢財等其它原因

因政治，軍事，宗教，民族等方面的原因而專門編寫的病毒第一局部病毒知識 電腦病毒的起源： 電腦病毒的概念其實源起相當早，在第一部商用電腦出現之前好幾年時，電腦的先驅者馮·諾伊曼〔JohnVonNeumann〕在他的一篇論文復雜自動裝置的理論及組識的進展里，已經勾勒出病毒程序的藍圖。不過在當時，絕大局部的電腦專家都無法想像會有這種能自我繁殖的程序。

1975年，美國科普作家約翰·布魯勒爾〔JohnBrunner〕寫了一本名為震蕩波騎士〔ShockWaveRider〕的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最正確暢銷書之一。第一局部病毒知識 1977年夏天，托馬斯·捷·瑞安〔Thomas.J.Ryan〕的科幻小說P-1的春天〔TheAdolescenceofP-1〕成為美國的暢銷書，作者在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最后控制了7,000臺計算機，造成了一場災難。虛擬科幻小說世界中的東西，在幾年后終于逐漸開場成為電腦使用者的噩夢。而差不多在同一時間，美國著名的AT&T貝爾實驗室中，三個年輕人在工作之余，很無聊的玩起一種游戲:彼此撰寫出能夠吃掉別人程序的程序來互相作戰。這個叫做“磁芯大戰〞〔corewar〕的游戲，進一步將電腦病毒“感染性〞的概念表達出來。 1983年11月3日，一位南加州大學的學生弗雷德·科恩〔FredCohen〕在UNIX系統下，寫了一個會引起系統死機的程序，但是這個程序并未引起一些教授的注意與認同。科恩為了證明其理論而將這些程序以論文發表，在當時引起了不小的震撼。科恩的程序，讓電腦病毒具備破壞性的概念具體成形。

不過，這種具備感染與破壞性的程序被真正稱之為"病毒"，則是在兩年后的一本科學美國人的月刊中。一位叫作杜特尼〔A.K.Dewdney〕的專欄作家在討論"磁芯大戰"與蘋果二型電腦〔別疑心，當時流行的正是蘋果二型電腦，在那個時侯，我們熟悉的PC根本還不見蹤影〕時，開場把這種程序稱之為病毒。從此以后我們對于這種具備感染或破壞性的程序，終于有一個"病毒"的名字可以稱呼了。

第一局部病毒知識 第一個計算機病毒: 到了1987年，第一個電腦病毒C-BRAIN終于誕生了〔這似乎不是一件值得慶賀的事〕。一般而言，業界都公認這是真正具備完整特征的電腦病毒始祖。這個病毒程序是由一對巴基斯坦兄弟：巴斯特〔Basit〕和阿姆捷特〔Amjad〕所寫的，他們在當地經營一家販賣個人電腦的商店，由于當地盜拷軟件的風氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會發作，將盜拷者的硬盤剩余空間給吃掉。 這個病毒在當時并沒有太大的殺傷力，但后來一些有心人士以C-BRAIN為藍圖，制作出一些變形的病毒。而其他新的病毒創作，也紛紛出籠，不僅有個人創作，甚至出現不少創作集團〔如NuKE,Phalcon/Skism,VDV〕。各類掃毒、防毒與殺毒軟件以及專業公司也紛紛出現。一時間，各種病毒創作與反病毒程序，不斷推陳出新，如同百家爭鳴。第一局部病毒知識 病毒開展開展階段 在病毒的開展史上，病毒的出現是有規律的，一般情況下一種新的病毒技術出現后，病毒迅速開展，接著反病毒技術的開展會抑制其流傳。同時，操作系統進展升級時，病毒也會調整為新的方式，產生新的病毒技術。總的說來，病毒可以分為以下幾個開展階段：DOS引導階段 1987年，電腦病毒主要是引導型病毒，具有代表性的是“小球〞和“石頭〞病毒。由于，那時的電腦硬件較少，功能簡單，一般需要通過軟盤啟動后使用。而引導型病毒正是利用了軟盤的啟動原理工作，修改系統啟動扇區，在電腦啟動時首先取得控制權，減少系統內存，修改磁盤讀寫中斷，影響系統工作效率，在系統存取磁盤時進展傳播。DOS可執行階段 1989年，可執行文件型病毒出現，它們利用DOS系統加載執行文件的機制工作，如“耶路撒冷〞，“星期天〞等病毒。可執行型病毒的病毒代碼在系統執行文件時取得控制權，修改DOS中斷，在系統調用時進展傳染，并將自己附加在可執行文件中，使文件長度增加。1990年，開展為復合型病毒，可感染COM和EXE文件。第一局部病毒知識伴隨體型階段 1992年，伴隨型病毒出現，它們利用DOS加載文件的優先順序進展工作。具有代表性的是“金蟬〞病毒，它感染EXE文件的同時會生成一個和EXE同名的擴展名為COM伴隨體；它感染COM文件時，改為原來的COM文件為同名的EXE文件，在產生一個原名的伴隨體，文件擴展名為COM。這樣，在DOS加載文件時，病毒會取得控制權，優先執行自己的代碼。該類病毒并不改變原來的文件內容，日期及屬性，解除病毒時只要將其伴隨體刪除即可，非常容易。其典型代表的是“海盜旗〞病毒，它在得到執行時，詢問用戶名稱和口令，然后返回一個出錯信息，將自身刪除。變形階段 1994年，匯編語言得到了長足的開展。要實現同一功能，通過匯編語言可以用不同的方式進展完成，這些方式的組合使一段看似隨機的代碼產生一樣的運算結果。而典型的多形病毒─幽靈病毒就是利用這個特點，每感染一次就產生不同的代碼。例如“一半〞病毒就是產生一段有上億種可能的解碼運算程序，病毒體被隱藏在解碼前的數據中，查解這類病毒就必須能對這段數據進展解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導區又能感染程序區，多數具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。變種階段 1995年，在匯編語言中，一些數據的運算放在不同的通用存放器中，可運算出同樣的結果，隨機的插入一些空操作和無關命令，也不影響運算的結果。這樣，某些解碼算法可以由生成器生成不同的變種。其代表作品─“病毒制造機〞VCL，它可以在瞬間制造出成千上萬種不同的病毒，查解時不能使用傳統的特征識別法，而需要在宏觀上分析命令，解碼后查解病毒，大大提高了復雜程度。第一局部病毒知識網絡、蠕蟲階段 隨著網絡的普及，病毒開場利用網絡進展傳播，它們只是以上幾代病毒的改進。在Windows操作系統中，“蠕蟲〞是典型的代表，它不占用除內存以外的任何資源，不修改磁盤文件，利用網絡功能搜索網絡地址，將自身向下一地址進展傳播，有時也在網絡效勞器和啟動文件中存在。Windows視窗階段 1996年，隨著Windows的日益普及，利用Windows進展工作的病毒開場開展，它們修改〔NE，PE〕文件，典型的代表是DS.3873，這類病毒的急智更為復雜，它們利用保護模式和API調用接口工作，解除方法也比較復雜。宏病毒階段 1996年，隨著MSOffice功能的增強及盛行，使用Word宏語言也可以編制病毒，這種病毒使用類Basic語言，編寫容易，感染Word文件文件。由于Word文件格式沒有公開，這類病毒查解比較困難。互聯網階段 1997年，隨著因特網的開展，各種病毒也開場利用因特網進展傳播和破壞，利用郵件、網絡即時聊天軟件等進展傳播的蠕蟲病毒開場大量出現。隨著網上購物、網上銀行等電子商務的開展以及網絡游戲的開展，盜取網銀帳號、網游帳號等用戶敏感信息的木馬程序逐漸開場流行泛濫。近兩幾年來利用網絡去下載其它病毒的“下載者〞病毒開場大量出現。第一局部病毒知識具有較強的目的性 目前流行的病毒作者編寫計算機病毒絕大多數都具有較強的目的性，如盜取敏感信息、遠程控制用戶等，只是為了炫耀能力或開玩笑的計算機病毒只占很小的一局部。在這些目的中，經濟利益成為病毒作者主要的驅動力，以竊取錢財或網絡虛擬財產〔如網游裝備〕為目的盜號病毒的在流行病毒中占有極大的比例。加殼和免殺等反殺毒技術的廣泛使用 面對殺毒軟件的開展和普及，對抗殺毒軟件已經成為計算機病毒生存的關鍵，因此病毒也開場利用各種技術來防止被殺毒軟件查殺，甚至主動破壞殺毒軟件。通過使用加殼軟件加殼、使用免殺技術(手動或自動地修改程序代碼)來逃避殺毒軟件的特征碼掃描的方法已經被廣泛使用，通過破壞殺毒軟件、使用Rootkit技術來防止被殺毒軟件殺毒的方法也開場越來越多地被應用。第一局部病毒知識病毒下載行為成為主流 互聯網的開展使信息的傳播更加方便迅速，計算機病毒也同樣緊跟技術的開展，用于下載病毒的病毒(下載者)廣泛流行并呈上升趨勢，而且這種病毒行為已經逐漸成為病毒必備的一種能力。病毒作者通過更新病毒網址的內容，使一個下載型病毒可以不斷下載不同的病毒或更新自己。多種病毒技術和病毒行為相結合 同時使用多種病毒技術、具有多種病毒行為成為當前計算機病毒的趨勢之一。下載、漏洞利用、反殺毒軟件等病毒技術常常被結合使用，病毒的復雜程度大大提高。Rootkit技術的應用 Rootkit一詞最早來自于Unix系統，是Root和kit合成出的一個詞。在Unix下，Root指根權限，即Unix系統最高的權限，Kit是工具包的意思，因此最早在Unix系統中出現的Rootkit概念是指獲取、擁有根權限的工具包。隨著開展，這個概念的意義也更廣泛了，指那些常駐于系統中、可以為其它程序提供隱藏行為或現象的效勞的一組程序或代碼。現在，病毒也越來越多的使用Rootkit來隱藏自己的進程、文件和注冊表項等，由于Rootkit多使用系統比較核心的技術、擁有更高的系統權限，因此對由Rootkit保護的病毒的查殺也變得更加困難。第一局部病毒知識出現有組織地制造、傳播、使用計算機病毒的產業鏈 從熊貓燒香〔Wrom.Nimaya〕病毒發作的事件中，我們可以看到現在的計算機病毒的制造、傳播和使用已經逐漸成為一個地下產業，病毒的制造者、傳播者和使用者進展分工合作來到達他們的目的。病毒制造者制造病毒并出賣進展獲利，病毒傳播者通過幫助病毒使用者盡量更廣泛的傳播病毒來獲利，而病毒使用者則為了盜取網絡財產、增加點擊量等目的購置并使用病毒。現在在互聯網上可以看到許多兜售病毒制造機、免殺工具的信息，同時還有許多病毒制造和使用者同黑客合作的案例。種種跡象說明，計算機病毒的制造、傳播和使用正在逐漸形成一個地下產業。第一局部病毒知識三、涉及病毒的一些計算機知識的介紹 1.進程與線程(Process/Thread)

2.動態鏈接庫(DynamicLinkLibrary)

第一局部病毒知識

PortableExecutable〔可移植的執行體〕

5.效勞與驅動〔Services/Drivers〕

第一局部病毒知識 6.WindowsAPI簡介

第一局部病毒知識〔二〕、病毒的根本構造和工作流程一、病毒的根本構造和工作流程 計算機病毒同正常的程序一樣，也是一種計算機程序，使用的是同樣的編程方法，只是它們使用同樣技術的目的與同正常程序不同。要了解病毒的機制和實現，我們要緊緊抓住病毒的特征和目的入手。病毒的特征是：破壞性、隱藏性、傳染性、潛伏性，要實現這些特性，就必然有相應的構造和功能代碼。除了為實現這些特性的功能代碼，病毒一般還都會實現自啟動和自我保護的功能。 作為計算機病毒，一般都會有如下的功能代碼和構造：隱藏性的實現 因為為病毒要實現不可告人的目的，因此除了如病毒生成器、玩笑程序等，絕大多數病毒會想方設法地隱藏自己，盡量不被用戶發現。為了沒有用戶可見的界面，病毒會采用不生成窗口或隱藏窗口的方法來到達目的。為了隱藏進程，病毒常常會使用注入等手段。除了隱藏界面和進程，病毒通常還會設法隱藏自己的文件和注冊表項。除了上面介紹的方法外，感染可執行程序，隱藏自己于正常程序文件中，也是病毒實現隱藏的一種方法。第一局部病毒知識傳染性的實現 病毒總是希望最大限度的復制自己到更多的計算機，以便實現最大限度的破壞。病毒要傳播到其它計算機離不開傳播介質，可移動存儲介質和網絡就成為病毒傳染的必備途徑。對于軟盤、U盤、可移動硬盤等，病毒通常采用寫入病毒和autorun.inf的方法進展傳染。隨著網絡的普及，利用網絡進展傳播已經成為病毒傳播的主要手段，所采用的方法也相對較多。采用網絡進展傳播常見的方法有：利用網絡共享進展傳播、利用郵件系統進展傳播、利用即時聊天軟件進展傳播等。破壞性的實現病毒的破壞性功能表達了病毒作者的最終目的，其種類也相對較多。 盜取信息 遠程控制 下載病毒 彈出廣告 刪除文件第一局部病毒知識自啟動的實現 計算機病毒也是程序，只有被執行起來才能實現其功能，因此病毒也會利用各種方法使自己在計算機每次啟動后就能運行起來。實現自啟動主要的方法是利用系統提供的機制，如Windows下注冊表中的啟動項、注冊為效勞程序等。另外，感染正常程序，尤其是系統程序，也可以到達病毒實現自啟動的目的。自我保護的實現 計算機病毒為了實現自己傳染、破壞等目的，也會利用各種方法保護自己，使自己不被發現，不被去除。為了隱藏自己的行蹤，病毒通常會設法隱藏自己的文件、進程和自啟動的注冊表項等。作為保護自己的另一種方法，病毒常常會主動破壞殺毒軟件，通過破壞殺毒軟件文件等手段使其喪失功能，以此來保護自己。第一局部病毒知識文件構造

功能構造

第一局部病毒知識二、病毒的通用工作流程第一局部病毒知識〔三〕、病毒的通用手段和技術一、病毒的自啟動技術 3.通過感染、修改其它文件啟動

第一局部病毒知識二、代碼注入的技術與作用

第一局部病毒知識三、鉤子技術的原理和作用

第一局部病毒知識四、文件感染

第一局部病毒知識五、病毒傳播的常見方法

第一局部病毒知識六、下載文件常見方法

第一局部病毒知識七、密碼的盜取常見技術手段

第一局部病毒知識八、rootkit技術 Rootkit一詞最早來自于Unix系統，是Root和kit合成出的一個詞。在Unix下，Root指根權限，即Unix系統最高的權限，Kit是工具包的意思，因此最早在Unix系統中出現的Rootkit概念是指獲取、擁有根權限的工具包。隨著開展，這個概念的意義也更廣泛了，指那些常駐于系統中、可以為其它程序提供隱藏行為或現象的效勞的一組程序或代碼。第一局部病毒知識(四)、病毒的自我保護一、加殼與免殺技術的原理和應用

1.殼、免殺的概念和原理

第一局部病毒知識二、病毒自我保護的常見手段

第一局部病毒知識三、病毒對抗反病毒軟件和監控軟件的常見方法

第一局部病毒知識(五)、病毒實例演示與分析

第二局部反病毒的技術〔一〕反病毒的技術一、反病毒技術的開展 在80年代中期，計算機病毒開場流行，種類不多，但危害很大，往往一個簡單的病毒就能在短時間內傳播到世界的各個國家和地區。隨著病毒的流行，對計算機病毒的研究、分析和查殺的也開場開展起來。最早期的反病毒程序都是針對某個病毒編寫的專殺工具，只能一對一的查殺單個病毒，隨著80年代末計算機病毒數量的急劇膨脹，這種一對一的殺毒程序顯然已無法適用。這個時候，開場形成了通用反病毒技術，針對大量的病毒的處理，反病毒軟件開場了模塊化分工，具備掃描模塊、去除模塊、特征庫等。同時，反病毒的各種外圍技術也開場如火如荼的開展起來，如主動監控、完整性檢查、免疫技術等等。到90年代中期，病毒數量、技術繼續提高，隨之出現了“查殺防合一〞的集成化反病毒產品，把各種反病毒技術有機地組合到一起共同對計算機病毒作戰。第二局部反病毒的技術 在80年代中期，計算機病毒開場流行，種類不多，但危害很大，往往一個簡單的病毒就能在短時間內傳播到世界的各個國家和地區。隨著病毒的流行，對計算機病毒的研究、分析和查殺的也開場開展起來。最早期的反病毒程序都是針對某個病毒編寫的專殺工具，只能一對一的查殺單個病毒，隨著80年代末計算機病毒數量的急劇膨脹，這種一對一的殺毒程序顯然已無法適用。這個時候，開場形成了通用反病毒技術，針對大量的病毒的處理，反病毒軟件開場了模塊化分工，具備掃描模塊、去除模塊、特征庫等。同時，反病毒的各種外圍技術也開場如火如荼的開展起來，如主動監控、完整性檢查、免疫技術等等。到90年代中期，病毒數量、技術繼續提高，隨之出現了“查殺防合一〞的集成化反病毒產品，把各種反病毒技術有機地組合到一起共同對計算機病毒作戰。第二局部反病毒的技術 反病毒技術經過多年的開展，已經取得了很大的進步，其開展過程大致可劃分如下：第一代反病毒技術采取單純的病毒特征診斷，但是對加