计算机病毒解析与防范.doc

摘 要 计算机在给我们带来很多方便和帮助的同时，互联网、局域网已经成为计算机病毒传播的主要途径；在与反病毒技术的斗争中，计算机病毒的变形速度和破坏力不断地提高;混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义，也使反病毒工作更困难了；病毒的隐蔽性更强了,不知不觉 “中毒”带来的后果更严重；人们使用最多的一些软件将成为计算机病毒的主要攻击对象。本文主要有关计算机病毒的一些知识。主要内容包括：计算机病毒的定义、计算机病毒的种类、计算机病毒的特征、计算机病毒的发展史及其发展方向、计算机病毒的传播途径、怎么样发现计算机里的病毒、怎样对计算机病毒进行防范。AbstractWhile the computer bringing many to many we going to the lavatory and helping, Internet , the local area network already become the main approach that the computer virus spreads; In fighting with with opposing the virus technology, computer virus deformation speed and destructive power improve unceasingly; That virus's appearing makes a previously lose significance step by step to computer virus classification and definition, has also made a mixed type more difficult opposing the virus job; Virus's conceal is stronger , the consequence that the imperceptible "toxicosis" brings about is graver; People uses a few the most softwares to will become the computer virus main part attacking a marriage partner. The main body of a book main a little knowledge about computer virus. Main content is included: How the computer virus definition , the computer virus kind , the computer virus characteristic , the computer virus phylogeny and their virus inside the computer spreading approach , how to finding that developing direction , the computer virus, is in progress to the computer virus keep watch.关键词：计算机病毒 病毒 查杀引 言在当今科技迅速发展的时代，计算机和网络技术不仅给人们带来了便利与惊喜，同时也在遭受着计算病毒带来的烦恼和无奈，因为计算机病毒不仅破坏文件，删除有 用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。为此本文就是计算机病毒的预防技术进行探讨，让大家清楚地认识到计算机病毒的发展和危害，并按相应的具体问题实施相应的保护措施。计算机病毒对大多数的计算机使用者而言应该是再耳熟能详不过的名词, 有些人也许从来不曾真正碰到过计算机病毒, 而吃过计算机病毒亏的人却又闻毒色变, 其实在个人计算机这么普遍的今天, 即使您不是一个计算机高手, 也应该对计算机病毒有些基本的认识, 就好比我们每天都会关心周围所发生的人事物一样, 毕竟计算机病毒已经不再像过去是遥不可及的东西, 自从Internet潮流席卷全球以来,计算机信息以每秒千里的速度在传送, 我们每天可以透过Internet收到来自全球各地不同的消息, 但在享受信息便利的同时, 计算机安全问题也就显得格外重要了。那么计算机病毒的预防也就更显得重要了。目 录第1章 计算机病毒的概述1第2章 计算机病毒的理论模型42.1基于图灵机的计算机病毒模型42.2基于递归函数的计算机病毒的数学模型42.3 计算机病毒的递归复制过程52.4Internet蠕虫传播模型6第3章 计算机病毒的结构分析63.1计算机病毒的结构和工作机制63.216位操作系统病毒编制技术63.332位操作系统病毒分析73.4计算机病毒的特点及完整工作过程:7第4章 特洛伊木马84.1“特洛伊木马”名字的来源84.2木马的隐藏方式：84.3特洛伊木马的特性及伪装方法84.4木马的种类：94.5中木马后的状况及紧急处理措施9第5章 宏病毒105.1宏病毒的特点及传播途径：105.2 WORD宏病毒危害：10第6章 Linux病毒技术11第7章 移动终端恶意代码12第8章 计算机病毒查杀方法13第9章计算机病毒防治技术15第10章 计算机病毒防治策略17第11章 常用杀毒软件及其功能19第1章 计算机病毒的概述1计算机病毒的概念计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。2. 计算机病毒的发展历史病毒的发展史上病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。它可划分为： 1. DOS引导阶段（1987年） 2.DOS可执行阶段（1989年）3.伴随批次型阶段（1992年） 4.幽灵,多形阶段（1994年）5.生成器,变体机阶段（1995年 ） 6.网络,蠕虫阶段（1995年）7.视窗阶段（1996年） 8.宏病毒阶段（1996年）9.互连网阶段（1997年） 10.爪哇,邮件炸弹阶段（1997年）3.计算机病毒的分类根据病毒破坏的能力可划分为以下几种：（1）无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。（2）无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。（3）非常危险型：这类病毒能够删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。（4）伴随型病毒：这一类病毒根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM）。（5）“蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。（6）寄生型病毒 ：依附在系统的引导扇区或文件中，通过系统的功能进行传播。（7）诡秘型病毒:通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。（8）变型病毒: 这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。（9）危险型，这类病毒在计算机系统操作中造成严重的错误。4.计算机病毒的传播途径计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：（1）通过软盘：通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 （2）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。 （3）通过光盘：因为光盘容量大，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。 （4）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着Internet的风靡，带来两种不同的安全威胁，一种威胁来自文件下载，另一种威胁来自电子邮件。5.染毒计算机的症状（1） 机器不能正常启动 （2） 运行速度降低 （3） 磁盘空间迅速变小 （5） 经常出现“死机”现象或突然死机或重启 （6） 外部设备工作异常 （7） 经常会出现蓝屏，尤其是在按键盘的时候，一按就死机。（8） 提示一些不相干的话。（9） 硬盘灯不断闪烁。（10）Windows桌面图标发生变化。（11）自动发送电子函件，鼠标自己在动等等（12）系统文件丢失或被破坏（13）文件目录发生混乱（14）部分文档自动加密码（15）使部分可软件升级主板的BIOS程序混乱，主板被破坏。（16）网络瘫痪，无法提供正常的服务。6.计算机病毒的命名规则我们掌握一些病毒的命名规则，就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了：一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的。 ”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：(1)系统病毒系统病毒的前缀为：Win32、Win95、等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。(2)脚本病毒脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒。(3)破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。 (4)玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏7.计算机病毒的发展趋势和最新的动向（1）计算机网络成为计算机病毒的主要传播途径，使用计算机网络逐渐成为计算机病毒发作条件的共同点。 （2）计算机病毒变种的速度极快并向混合型、多样化发展 （3）运行方式和传播方式的隐蔽性 （4）利用操作系统漏洞传播 （5）计算机病毒技术与黑客技术将日益融合 （6）物质利益将成为推动计算机病毒发展的最大动力 第2章 计算机病毒的理论模型2.1基于图灵机的计算机病毒模型1936年，阿兰图灵提出了一种抽象的计算模型-图灵机。图灵的基本思想是用机器来模拟人们用纸笔进行数学运算的过程，他把这样的过程看作下列两种简单的动作： · 在纸上写上或擦除某个符号；· 把注意力从纸的一个位置移动到另一个位置； 在每个阶段，人要决定下一步的动作，依赖于此人当前所关注的纸上某个位置的符号和此人当前思维的状态。为了模拟人的这种运算过程，图灵构造出一台假想的机器，该机器由以下几个部分组成： 1.一条无限长的纸带。 2.一个读写头。 3.一个状态寄存器。 4.一套控制规则这个机器的每一部分都是有限的，但它有一个潜在的无限长的纸带，因此这种机器只是一个理想的设备。图灵认为这样的一台机器就能模拟人类所能进行的任何计算过程。在本质上，图灵机是将计算过程抽象化、形式化、理想化后得到的自动机模型。控制器根据当前状态和读写头当前读到的符号，在计算的每步完成两个功能：1进入新的状态。若进入接受或拒绝状态，则停机。2通过读写头在当前带方格内写一个符号或者使读写头向左或向右移一个方格。图灵机若不能停机，则将循环往复的运行下去。2.2基于递归函数的计算机病毒的数学模型计算机病毒的自引用我们已经知道能够进行自我复制是计算机病毒最本质的特征。而要进行自我复制首先要能够进行自我引用，即病毒图灵机V 要能够输出自身的描述<V>。引理1：存在可计算函数q：*，对任意串w，q(w)是图灵机Pw 的描述，Pw 输出w 并停机。证明：采用构造式证明方法，即构造图灵机Q 实现可计算函数q(w)的计算：Q “对于输入串w： 构造下列图灵机Pw：Pw “对于任意输入： 在带上删除输入； 在带上写下w； 停机。” 输出< Pw >。”现在我们在引理1 的基础上描述病毒图灵机V 的自引用过程：首先，将病毒图灵机V 分为两个部分V和V，则<V> = < VV>。根据引理1，令< V> = q(< V>)，即V是输出< V>的图灵机。这里， V的描述依赖于V的描述。为此，构造V并描述如下：V “对于输入<M>，其中M 是一个图灵机T 的一部分： 计算q(<M>)； 将中计算出的结果与<M>合并，组成一个完整的图灵机描述<T>； 输出这个描述<T>。”至此，根据上面的论述，我们可以得到完整的病毒图灵机V的自引用运行过程：1首先V运行， V在带上输出< V>；2 V开始运行，它在带上找到其输入< V>；3 V计算q(< V>) = < V>； V将< V>与其输入< V>合并，从而得到< VV> = <V>；4 V输出<V>，停机。2.3 计算机病毒的递归复制过程首先我们给出递归定理：设T 是计算函数t：*的一个图灵机，则存在计算函数r：*的一个图灵机R，使得对每一个w，有：r(w) = t(<R>，w)该定理的证明同样可以采用构造式方法。递归定理指出任何图灵机T 具有这样的能力：得到自己的描述<T>，然后能用这个描述作为自己的输入继续进行计算。这样的能力显然比引理1 所描述的图灵机的自引用能力更进了一步。现在，我们结合病毒图灵机V 的运行，给出基于递归定理的病毒复制过程。在以下叙述中，设<M>为将被病毒感染的目标程序的图灵机编码。1 通用图灵机U 运行，模拟病毒图灵机V 的运行。2 V 读取图灵机编码<M>到带上。3 V 将一个特殊的符号插入到<M>的起始处。4 V 由递归定理得到自己的描述<V>，并写到带上。5 V 跳转到<M>的起始特殊符号处，将病毒编码<V>复制到<M>的起始处。6 V 将控制返回给<M>的起始状态，并将<M>的头部移到原始带内容的第一个单元。然后停机。7 V 停机后，通用图灵机U 也停机。经过以上过程，<M>已经被病毒<V>传染。通过以上描述，由此我们可以得出结论：计算机病毒的复制和传播在本质上是一个递归的过程。2.4Internet蠕虫传播模型Internet蠕虫的传播采用自动入侵技术，受程序大小的限制。目前蠕虫常利用的传播模式为扫描一攻击一复制。蠕虫在传播时的特征：网络上充斥着大量内容相同的数据包，甚至会严重影响网络的正常流量。网络亡被感染主机数量逐步增加，增加过程遵循一定规律。网络上会存在大量目标地址不可达或连接请求被复位的数据包。蠕虫首先生成可疑数据包的签名，然后根据签名对网络流量进行过滤。第3章 计算机病毒的结构分析3.1计算机病毒的结构和工作机制对于计算机病毒的存储结构来说，不同类型的病毒，在磁盘上的存储结构是不同的。磁盘空间的总体划分经过格式化后的磁盘包括：主引导记录区、引导记录区、文件分配表、目录区和数据区。（1）软盘空间的总体划分当使用DOS的外部命令FORMAT格式化一张软盘后，不仅把磁盘划分为若干磁道，每一磁道划分为若干扇区，而且同时把划分的扇区分为五大区域：引导记录区、文件分配表1、文件分配表2、根目录区以及数据区。 对于软盘只有一个引导区，它的作用是在系统启动时负责把系统两个隐含文件IO.SYS和MSDOS.SYS装入内存，并提供DOS进行磁盘读写所必需的磁盘I/O参数表。文件分配表是反映磁盘上所有文件各自占用的扇区的一个登记表，此表一旦被破坏，将无法查找文件的内容。（2）硬盘空间的总体划分对于不同类型、不同介质的磁盘，DOS划分磁盘的格式是不同的。对于硬盘来说，由于其存储空间比较大，为了允许多个操作系统分享硬盘空间，并希望能从磁盘启动系统，DOS在格式化硬盘时，把硬盘划分为主引导记录区和多个系统分区。对于硬盘空间的分配由两个部分组成：第一部分就是整个硬盘的第一扇区;第二部分是各个系统分区。硬盘主引导扇区很特殊，它不在DOS的管辖范围内。所以用DOS的非常驻命令 FORMAT、FDISK、DEBUG都不能触及它。当该扇区损坏时，硬盘不能启动。用FORMAT、FDISK都不能修复它。DEBUG的L命令和W命令都不能用于主引导扇区。只有 在DEBUG下借用INT 13H或低级格式化方能修复。3.216位操作系统病毒编制技术（1）16是指每个单位时间处理的位数是16位,16位操作系统是和16位CPU对应的，16位操作系统和16位程序对应的，只有对应的多少位操作系统才能运行多少位的程序，多少位的CPU才可以用多少位的操作系统。（2）16 位代码与32位代码的比较 两者的区别在于代码在一次操作时能处理的数据量。16位代码可一次处理多达16位的数据，一个16位数能储存多达65,535个值。但是，如果16位代码必须处理更多的数据，它必须执行附加操作以处理额外的数值。另一方面，32 位码可以一次处理32位的数据；即可管理达4 GB的数值。很明显，一个步骤能处理大量的数值使32位代码优越于16 位代码。但是,32位代码处理数据的速度与16位相同。 3.332位操作系统病毒分析1. 32位操作系统指的是操作系统在设计的时候充分利用了32位CPU提供的编码和寻址方式，以及代码隔离和保护的方式。并不是说用了32代码编写就是32位操作系统。就32位代码和16位代码而言，这只是一个CPU对机器指令的解释问题。一条机器代码被解释成为32位还是16位，取决于她所在的代码段，而一个代码段是否为32位是由其段属性决定的。如果在一个16位段里，需要运行32位代码，就需要在正常代码前面加前缀，反之，在32位段里运行16位，需要显式的加前缀。2. 32位代码与16位代码被CPU解释的主要不同在于寄存器使用不同。地址空间与代码是否为32位无关。至于内存的存取，在指令操作上，没有限制，但是对于逻辑电路来说，不是这样的。3. 编译器是针对cpu的，但是编译器所带的库一般都是针对操作系统的。cpu可不管是什么操作系统在运行，它只管一条语句一条语句的执行，但是你编程序一般都是要利用操作统定义好了的一组功能的。这就需要操作系统提供接口，在编译器里，这就是库的组成部分之一。4. 操作系统不能识别应用程序的合法性，但是操作系统利用了32位cpu提供的保护机制，比如说内存操作的段权限限制，分页共存机制，i/o操作映射保护，通过这些机制，一旦出现异常，cpu会陷入异常机制，进行操作系统定义的操作。相当于操作系统再监控了。3.4计算机病毒的特点及完整工作过程:病毒的特点:（1）寄生性 （2）传染性 （3潜伏性 （4）隐蔽性 （5）破坏性病毒的工作过程:（1）传染源：病毒总是依附于某些存储介质, 例如软盘、硬盘等构成传染源。（2）传染媒介：病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质.（3）病毒激活：是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用,自我复制到传染对象中, 进行各种破坏活动等。（4）病毒触发：计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符，也可能是系统一次通信等等.第4章 特洛伊木马4.1“特洛伊木马”名字的来源 “特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话木马屠城记。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于 巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，4.2木马的隐藏方式：1.在任务栏里隐藏。这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标.要实现在任务栏中隐藏在编程时是很容易实现的。2.在任务管理器里隐藏。查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。3.端口。一台机器有65536个端口，木马就很注意你不注意的那个端口.4.隐藏通讯。隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接.5.隐藏加载方式。木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。几乎WWW每一个新功能部会导致木马的快速进化。6.最新隐身技术。在Windows2000盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。4.3特洛伊木马的特性及伪装方法1.隐蔽性，它的隐蔽性主要体现在以下两个方面: (1)不产生图标 (2)木马程序自动在任务管理器中隐藏，并以"系统服务"的方式欺骗操作系统。 2.具有自动运行性。3.包含具有未公开并且可能产生危险后果的功能的程序。4.具备自动恢复功能。5.能自动打开特别的端口。6、功能的特殊性。木马采用的伪装方法:1.修改图标 2.捆绑文件3.出错显示4.自我销毁5.木马更名 4.4木马的种类：1、破坏型: 可以自动的删除电脑上的DLL、INI文件。2、密码发送型: 可以找到隐藏密码并把它们发送到指定的信箱。3、远程访问型: 最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。4.键盘记录木马: 它可以记录受害者的键盘敲击并且在LOG文件里查找密码。5.DoS攻击木马: 这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。6.代理木马: 通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。7.FTP木马:是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能.8.程序杀手木马: 程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。9.反弹端口型木马：木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。与一般的木马相反，反弹端口型木马的服务端使用主动端口，客户端使用被动端口。4.5中木马后的状况及紧急处理措施(1)当你浏览一个网站，弹出来一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而览浏器突然自己打开，并且进入某个网站，那么，你要小心。(2)你正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。(3)你的Windows系统配置老是自动莫名其妙地被更改。(4)硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。紧急措施:(1)所有的账号和密码都要马上更改，凡是需要密码的地方都要尽快改过来。(2)删掉所有你硬盘上原来没有的东西。(3)检查一次硬盘上是否有病毒存在 。第5章 宏病毒5.1宏病毒的特点及传播途径：1传播极快: Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播.2制作、变种方便:以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏语言Word Basic形式出现，所以编写和修改宏病毒比以往病毒更容易。3破坏可能性极大 如直接使用DOS系统命令，调用Windows API，调用DDE或DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。4多平台交叉感染宏病毒冲破了以往病毒在单一平台上传播的局限。宏病毒传播途径：1软盘交流染毒文档文件； 2硬盘染毒，处理的文档文件必将染毒； 3光盘携带宏病毒； 4Internet上下载染毒文档文件； 5BBS交流染毒文档文件； 6电子邮件的附件夹带病毒。 在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。5.2 WORD宏病毒危害：宏是Word 里一个非常有用的工具，但也是Word 的安全漏洞之一。有一些恶意的人利用宏制造宏病毒，给别人带来麻烦。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被 激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 WORD宏病毒的破坏在两方面： 1对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。2对系统的破坏是：Word Basic语言能够调用系统命令，造成破坏。5.3宏病毒的防治：1、为了防止病毒的侵入，用户在新安装了Word后，打开一个新模板，将Word的工作环境按你的使用习惯进行设置，并将你需要使用的宏一次编制好，做完后，保存为Normal.dot。将这份新的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候，用备份的Normal.dot覆盖当前的Normal.dot模块。另外，为了防止病毒蔓延，可将你新设置的Normal.dot文件的属性设置成“只读”，以后当退出Word环境时，如果出现自动修改“Normal.dot”的对话框，而你并没有录制新的宏，说明有宏病毒，此时选择“否”，以保持Word环境的干净。2、在调用Word文档时先禁止所有以Auto开头的宏的执行。这样能保证用户在安全启动Word文档后，再时行必要的病毒检查。3、进入 “工具|宏”，查看模板Normal.dot，若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS 怪名字的宏，说明系统确实感染了宏病毒，删除这些来历不明的宏。4、即使在“工具|宏”删除了所有的病毒宏，并不意味着你可以高枕无忧了。因为病毒原体还在文本中，只不过暂时不活动了，也许还会死灰复燃。进入Word，再打开原来的文本，并新建另一个空文档，这时新建文档是干净的；将原文件的全部内容拷贝到新文件中，关闭感染宏病毒的文本，然后再将新文本保存为原文件名存储。这样，宏病毒就感染彻底清除了，原文件也恢复了原样，可以放心大胆地编辑、修改、存储了.第6章 Linux病毒技术Linux系统特性利用缓冲区溢出改写相关内存的内容及函数的返回地址，从而改变代码的执行流程，仅能在一定权限范围内有效。因为进程的运行与当前用户的登录权限和身份有关，仅仅能够制造缓冲区溢出是无法突破系统对当前用户的权限设置的。因此尽管可以利用缓冲区溢出使某一程序去执行其它被指定的代码，但被执行的代码只具有特定的权限，还是无法完成超越权限的任务。但是，Linux（包括Unix）系统本身的一些特性却可以被利用来冲破这种权限的局限性，使得能够利用缓冲区溢出获得更高的、甚至是完全的权限。主要体现在如下两方面： 1Linux（包括Unix）系统通过设置某可执行文件的属性为SUID或SGID，允许其它用户以该可执行文件拥有者的用户ID或用户组ID来执行 它。如果该可执行文件的属性是root，同时文件属性被设置为SUID，则该可执行文件就存在可利用的缓冲区溢出漏洞，可以利用它以root的身份执行特定的、被另外安排的代码。既然能够使得一个具有root权限的代码得以执行，就能够产生一个具有超级用户root权限的Shell，那么掌握整个系统的控制权的危险就产生了。 2Linux（包括Unix）中的许多守护进程都是以root权限运行。如果这些程序存在可利用的缓冲区溢出，即可直接使它以root身份去执行另外安排的代码，而无须修改该程序的SUID或SGID属性。这样获得系统的控制权将更加容易。随着现代网络技 术的发展和网络应用的深入，计算机网络所提供的远程登录机制、远程调用及执行机制是必须的。这使得一个匿名的Internet用户有机会利用缓冲区溢出漏 洞来获得某个系统的部分或全部控制权。实际上，以缓冲区溢出漏洞为攻击手段的攻击占了远程网络攻击中的绝大多数，这给Linux系统带来了极其严重的安全威胁。途径分析： 通常情况下攻击者会先攻击root程序，然后利用缓冲区溢出时发生的内存错误来执行类似“exec（sh）”的代码，从而获得root的一个Shell。为了获得root权限的Shell，攻击者需要完成如下的工作：1在程序的地址空间内安排适当的特定代码。一般使用如下两种方法在被攻击的程序地址空间内安排攻击代码。2通过适当地初始化寄存器和存储器，使程序在发生缓冲区溢出时不能回到原来的执行处，而是跳转到被安排的地址空间执行。 当攻击者找到一种途径可以改变原程序的执行代码和流程时，攻击的危险就产生了。 防范措施：     Linux下的缓冲区溢出攻击威胁既来自于软件的编写机制，也来自于Linux（和Unix）系统本身的特性。实际上，缓冲区溢出攻击及各种计算机病毒猖獗的根本原因在于现代计算机系统都是采用冯·诺依曼“存储程序”的工作原理。这一基本原理使得程序和数据都可以在内存中被繁殖、拷贝和执行。因此，要想有效地防范缓冲区溢出攻击就应该从这两个方面双管其下。 确保代码正确安全。缓冲区溢出攻击的根源在于编写程序的机制。因此，防范缓冲区溢出漏洞首先应该确保在Linux系统上运行的程序（包括系统软件和应用软件）代码的正确性， 避免程序中有不检查变量、缓冲区大小及边界等情况存在。第7章 移动终端恶意代码伴随着移动终端用户规模的迅速扩大和诸多人员对移动终端技术的了解，移动终端正面临着越来越多的安全威胁。下面列举几种典型的安全威胁。（1）移动终端身份序列号的删除和篡改等。由于IMEI号可用来统计用户的终端类型、限制被盗终端在移动网内的重新使用等用途，所以IMEI号应该具有一定的保护措施。（2）终端操作系统非法修改和刷新等。由于非法操作系统可能会影响用户使用并干扰正常网络运行，因此操作系统应当阻止一切非法的修改和刷新等。（3）个人隐私数据（例如银行账号、密码口令等）的非法读取访问等。移动终端内部可能会存有用户的电话簿、短信、银行账号、口令等用户隐私信息，如果这些信息被他人非法获得，很可能给用户造成直接的经济损失。（4）病毒和恶意代码的破坏。病毒和恶意代码很可能会破坏移动终端的正常使用，还可能会将用户的隐私信息不知不觉地传给他人（5）移动终端被盗等。目前移动终端被盗现象极其严重，终端被盗给用户带来直接经济损失，更严重的是用户隐私数据的泄漏等。总之，移动终端存在的安全隐患可能会威胁到个人隐私、私有财产甚于国家安全。尽管移动终端面临着许多的安全威胁，但目前其安全问题仍是整个移动运营网络中的一个安全盲点。攻击者很容易通过JTAG口等调试端口获得DBB内部或者Flash中的存储信息，PDA、智能电话、移动电话、USB设备以及膝上型电脑等等都可以被视为移动设备。这些设备可在企业中增加生产效率，但它们也会增加风险。移动设备体积虽小但却容易放错地方，这是一种可被放大的危险，因为移动设备可以存储比以往更多的信息。在连接到一个网络之后，这些设备可以传播恶意代码，至于那些可在家中和公司网络使用的个人移动设备可成为一个严重的问题。除了安全性问题它们的操作系统和软件基本上不太经常打补丁或者更新。我们要用一个强口令来锁定你的设备，这是最高级别的设备保护措施。为了保护你的设备，你要尽量做到？ 1. 禁用蓝牙发现模式2. 禁用不用的服务 3. 不要授受那些未被请求的、通过蓝牙方式的、SMS等方法所传输的文件。 4. 你在线时，要使用相同的“最佳的方法”和预防措施.5. 找到一部电话，在你的移动设备丢失时，能够从远程禁用它。 6. 如果找回你的东西是唯一的选择，可采用GPS软件完成这个查找过程。 7. 在归还租来的设备之前，记得取出你的任何内存卡。 8. 在归还设备之间，一定要按照设备制造商或出租公司的推荐清理设备。 9. 为你的设备买份保险。在为你的设备投保之前，确认你的供应商是否为相应的损失或