计算机病毒防护技术.ppt

《计算机病毒防护技术.ppt》由会员分享，可在线阅读，更多相关《计算机病毒防护技术.ppt（240页珍藏版）》请在三一办公上搜索。

1、第三章 计算机病毒防护技术,3.1 概述3.2 计算机病毒工作机制3.3 反病毒技术3.4 典型计算机病毒3.5 计算机病毒查杀软件,3.1 概述,计算机病毒定义计算机病毒特征计算机病毒传播途径计算机病毒分类计算机病毒的表现,一、计算机病毒定义 1.计算机病毒一词的由来：由生物医学上的“病毒”一词借用而来。与生物医学的“病毒”的异同：同：都具有传染性、流行性、针对性 异：不是天生的，而是认为编写的具有特殊破坏功能的程序。2.广义的定义：凡是能够引起计算机故障、破坏计算 机的数据的程序统称作病毒（computer virus）。,3.权威法律的定义：1994年2月18日我国正式颁布实施了中华人民

2、共和国计算机信息系统安全保护条例，在条例第二十八条中定义了计算机病毒的概念。计算机病毒是：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,二、计算机病毒特征 1寄生性 计算机病毒是一种特殊的程序，它一般不是以独立的文件形式存在的，它寄生在合法的程序中。病毒所寄生的程序叫做病毒的载体，或者叫做病毒的宿主程序。如病毒（木马病毒程序）,寄生在程序A0010833.exe里。,2.传染性 计算机病毒会通过各种渠道从已被感染的计算扩散到没有被感染的计算机。是病毒的基本特征，是否具有传染性是判断一个计算机程序是否为计算机病毒的首要

3、条件。3隐蔽性 计算机病毒在传染之前，必须将自身很好地隐藏起来，不被用户发现，这样才能实现进入进入计算机系统、进行广泛传播的目的。,4潜伏性 计算机病毒为了达到广泛传播并破坏系统的目的，一般不会在传染某一程序后立刻发作，否则就暴露了自身。潜伏性越好，其在系统中存在的时间就越长，其传染的范围就越广泛。5可触发性 因某个特征或数值的出现，诱使病毒实施感染或攻击的特性。6破坏性 共同的危害：降底系统的工作效率，占用系统的资源（具体情况取决于入侵系统的计算机病毒程序）病毒的破坏性主要取决于计算机病毒设计者的目的。,三、计算机病毒传播途径1.通过不可移动的计算机硬件设备进行传播。2.通过移动存储设备进行

4、传播。3.通过计算机网络进行传播。4.通过点对点通讯系统和无线通道传播。,四、计算机病毒分类1.按攻击的操作系统分类1）攻击dos系统的病毒2）攻击Windows系统的病毒3）攻击Unix系统的病毒(为数不多，传播率低，不易流行)4）攻击OS/2系统的病毒5）攻击嵌入式操作系统的病毒（特洛伊木马“自由A”）,2.按传播媒介分类1）单机病毒-载体：磁盘-早期的病毒都是单机病毒2）网络病毒-传播媒介：网络 如CIH、Redcord等-如今大多数病毒都是网络病毒,3.按链接方式分类（1）源码型病毒 该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。

5、不过，该类病毒不多见。（2）入侵型病毒（或嵌入型病毒）在感染时往往对宿主程序进行一定的修改，将自己嵌入到攻击目标中，代替宿主程序中不常用到的堆栈区或功能模块，而不是链接它的首部或尾部。编写该类病毒比较困难。,（3）操作系统型病毒 寄生在操作系统之中，这种病毒在运行时，用自己的逻辑模块取代操作系统的部分合法程序模块。（4）外壳型病毒 寄生在宿主程序的前面或后面，并修改程序的第一个执行命令，使病毒先于宿主程序执行，并随着宿主程序的使用而传播扩散，该类病毒易于编写数量最多。,4.按危害程度分类 1）良性计算机病毒 不对计算机系统进行直接破坏，只是具有一定表现症状的病毒。2）恶性计算机病毒 在其代码中

6、包含有损伤和破坏计算机系统的操作，在其传染和发作时，会对系统产生直接的破坏作用，诸如篡改数据、格式化磁盘等。3）中性计算机病毒 对计算机系统不造成直接的破坏，又没有表现症状，只是疯狂复制自身病毒，如人们常说的蠕虫病毒。,5.按寄生方式分类 1）引导型病毒：通过磁盘引导区传染的病毒。用病毒的全部或部分逻辑模块取代正常的引导记录，而将正常的引导记录隐藏在其他的地方。,2）文件型病毒 通过操作系统的文件系统传染的病毒，主要以感染可执行文件（如.bat、.exe、.com、sys、.dll等）为主，病毒寄生在可执行程序中，一旦程序被执行，病毒就会被激活，并将自身驻留在内存，然后设置触发条件，进行感染。

7、,3）混合型病毒 既传染磁盘引导区有传染可执行文件的病毒。综合了引导型和文件型病毒的特征。,6.按攻击机型分类1）攻击微型计算机的病毒2）攻击小型机的计算机病毒3）攻击工作站的计算机病毒4）攻击便携式电子设备的病毒,7.从广义病毒定义 1）逻辑炸弹 修改计算机程序，使它在某种特殊条件下，按某种特殊的方式运行。逻辑炸弹也是由程序员插入其他程序代码中间的，但并不进行自我复制。2）特洛伊木马（Trojan horse）-定义：泛指那些内部包含有为完成特殊任务而编写的程序，一种潜伏执行非授权功能的技术，它原本属于一类基于远程控制的工具。-原理：C/S模式：服务器提供服务，客户机接受服务。作为服务器的主

8、机一般会打开一个默认的端口进行监听，如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的要求，这个程序被称为守护进程。,-攻击步骤：设定好服务器程序；骗取对方执行服务器程序；寻找对方的IP地址；用客户端的程序来控制对方的计算机。-特征和行为：木马本身不进行自我复制 被感染的计算机会表现出不寻常的行为或运行速度变慢，比如，有一个或多个不寻常的任务在运行；注册表或其他配置文件被修改；电子邮件在用户不知情的情况下被发送等。,-传播途径：作为电子邮件附件传播；隐藏在用户与替他用户进行交流的文档或其他文件中；被其他恶意代码携带，如蠕虫；隐藏在一些互联网上下载的捆绑的

9、免费软件中。-预防 不执行任何来历不明的软件和程序(无论是邮件中还是互联网上下载的)；上网的计算机必须具备防毒软件（切记及时升级）。,3）计算机蠕虫-定义：通过分布式网络来扩散传播特定信息或错误，破坏网络中的信息或造成网络服务中断的病毒。-主要特点：利用网络中软件系统的缺陷，进行自我复制和主动传播。但它与病毒在文件之间的传播不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统。-组成：主程序和引导程序 主程序：一旦在机器上运行，就会通过读取公共配置文件以及收集当前网络状态信息，获取与当前机器联网的其他机器的信息和软件缺陷，并主动尝试在这些远程机器上建立起引导程序。,五、计算机病毒的表现

10、计算机病毒是客观存在的，客观存在的事物总有它的特性，计算机病毒也不例外。从实质上说，计算机病毒是一段程序代码，虽然它可能隐藏得很好，但也会留下许多痕迹。通过对这些蛛丝马迹的判别，我们就能发现计算机病毒的存在了。根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现分为三大类，即计算机病毒发作前、发作时和发作后的表现。,（一）计算机病毒发作前的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时又自我复制，以各种手段

11、进行传播。下面讨论一些计算机病毒发作前常见的表现。1.计算机经常性无缘无故地死机 计算机病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生。,2.操作系统无法正常启动 关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这些很可能是由计算机病毒感染系统文件所引起的，使得文件结构发生变化，无法被操作系统加载、引导。,3.运行速度异常 运行速度是计算机的重要技术指标。计算机速度是由内置资源的配置水准高低决定的。一台计算机的运行速度是从出厂之日起便决定了的。引起计算机系统运行速度异常的原因有很多，例如，同时启用了大量的应用

12、程序会使得计算机运行速度减慢。另外，程序混乱、磁盘损坏、文件卷标改动、数据存储区域改动和外接设备故障等都可能引起系统运行速度异常。,由计算机病毒引起的运行速度异常主要分为以下几类。1）由于计算机病毒占用了大量的系统资源，造成系统资源不足，运行变慢。2）存储空间显著缩小也会影响速度。对于细心的用户来说存储空间的多少、可用空间的容量都心中有数。如果系统突然因为磁盘爆满而引起系统速度缓慢，这时需要查明原因。如果没有连续地向磁盘写入文件，则很有可能是计算机病毒所为。计算机病毒发作时常常生产大量的文件，从而占据大量的磁盘空间。为了不被用户觉察，计算机病毒常常生成的文件常常是隐形文件。用许多莫名其妙的数据

13、或字符填满磁盘空间是计算机病毒危害的常有现象。,3）有些计算机病毒则不断把磁盘上的簇标记为坏，也会使磁盘的可用存储空间迅速减少，如“小珍”和“巴基斯坦智囊”计算机病毒同时传染系统后，会随着系统的运行反复自动不断地在系统上制造坏簇。从而使磁盘的可用空间迅速减少。4）引导型计算机病毒，由于在系统引导过程中需要完成计算机病毒的自我加载，会在系统的功能入口处引入计算机病毒传染模块与表现模块，必然会使得系统启动速度减慢，但这种现象很不容易察觉。,4.内存不足的错误 某个以前能够正常运行的程序，在程序启动的时候报系统内存不足，或者使用应用程序中的某个功能时报内存不足，这可能是计算机病毒驻留后占用了系统中大

14、量的内存空间，使得可用内存空间减小。需要注意的是，在Windows 95/98/XP环境下，有时也会报“内存不足，不能完成操作”的错误，但要区分是不是计算机病毒在作怪。,5.打印、通信及主机接口发生异常 打印机、调制调解器等外接设备是计算机系统的重要组成部分，它们使人机对话变得高效、富于灵性，使计算机的功能得以充分开发应用，使用起来很方便。不少用户对于计算机这些外接设备也会受到计算机病毒感染觉得不可理解，以至于计算机病毒来袭时毫无思想准备，一味往机械故障、运行故障方面怀疑，殊不知计算机病毒对外接设备的感染和破坏是常有的事情。计算机病毒作为一种应用程序，与其他应用程序如 Windows软件、文字

15、编辑软件和学习软件等一样，除具有计算机病毒危害外，都以现有计算机技术为支撑基础，都为计算机所接受，也包括外接设备，因此计算机病毒的传染性、潜伏性、破坏性对打印和通信方面的外接设备也同样适用。,在硬件没有更改或者是损坏的情况下，以前手作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码，或是串口设备无法正常工作，例如调制解调器不拨号，这些都很可能是计算机病毒驻留内存后占用了打印端口或串行通信端口的中断服务程序，使之不能正常工作的表现。Win32.Bugbear.B是一种用微软Visual C+写成的E-mail蠕虫病毒。该蠕虫通过电子部件进行传播。系统感染该计算机病毒后，该计算机病毒会遍

16、历所有的共享资源，并尝试像复制到磁盘一样将共享资源复制到打印机中，这可能会导致在本地局域网的打印机打印出垃圾信息。,HongKong计算机病毒，会驻留内存并使内存减少IKB。该计算机病毒发作时封 闭COMI及LPTl接口，使得位于该接口的外部设备无法与计算机通信。TYPO计算机病毒，会感染当前目录下的.COM文件，使文件增加867字节，同时修 改接口参数，使得打印频频出错。,6.无意中要求对软盘（移动存储设备）/U盘等移动存储设备进行写操作 在计算机使用者没有进行任何读、写软盘（移动存储设备）/U盘等移动存储设备的操作时，操作系统却提示软驱中没有插入软盘（移动存储设备）/U盘等移动存储设备，或

17、者要求在读取、复制写保护的软盘（移动存储设备）/U盘等移动存储设备上的文件时打开软盘（移动存储设备）的写保护，这些很可能是计算机病毒在偷偷地向软盘（移动存储设备）传染。,7.以前能正常运行的应用程序经常发生死机或者非法错误 在硬件和操作系统没有进行改动的情况下，以前能够正常运行的应用程序产生非法错误和死机的情况明显增加，这就可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者是由计算机病毒程序存在着兼容性方面的问题所造成的。,8.系统文件的时间、日期和大小发生变化 这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加

18、，文件的访问和修改日期及时间也会被改成感染时的时间。尤其是对那些系统文件，绝大多数情况下人们是不会修改它们的，除非是进行系统升级或打补丁。而对应用程序常常使用到的数据文件，文件大小和修改日期、时间是可能会改变的，这些倒并不一定都是计算机病毒在作怪。,文件型计算机病毒在计算机病毒总量中占有很大的比重，文件大小不同，包括可执行程序文件在内的应用程序文件通常都不受磁盘空间限制，这对计算机病毒程序的依附和隐藏提供了方便。目前市场上流行的计算机高级语言和其他编程语言很多，利用这些语言，编写出的适合不同用户需求的应用软件层出不穷，它们良莠不齐，计算机病毒就乘机攻入。需要说明的是，除文件型计算机病毒外，引导

19、型计算机病毒、混合型计算机病毒都能使文件发生异常变化。计算机病毒感染后，文件可能出现以下异常情况。(1)根目录下文件异常 由于计算机病毒对正常程序的干扰，使根目录下多出一个或多个莫名其妙的文件，它们有时是隐形文件。,Pentagon属于引导型计算机病毒，其驻留内存，传染软盘（移动存储设备）和硬盘的主引导扇区，篡改引导扇区内容，同时在根目录下会发现多出一个名为PENTAGON.TXT的文件。Machosoft属于文件型计算机病毒，其具有自身加密功能，不驻留内存，.com文件和.exe文件被计算机病毒感染后，根目录下多出一个名为IBMNETIO.SYS的隐含文件。(2)文件扩展名异常 文件被计算机

20、病毒感染后，文件的扩展名常常被改变，因而造成系统引导混乱。Burger计算机病毒，文件被该病毒感染后长度不变。其一次只传染一个.COM文件，若盘上.COM文件全都被感染后，开始对.EXE文件发难，并将.EXE文件改为.COM文件。,(3)可执行文件执行时出现错误 计算机病毒作者的目的在于破坏可执行文件，干扰系统的正常运行。“OW”计算机病毒，感染当前目录下扩展名第一个字符是C的任何文件。其一次只感染一个文件，不驻留内存。如果找不到符合条件的感染文件，就在屏幕上显示错误信息。文件受其感染后均遭破坏。,(4)文件大小异常 计算机病毒对感染的文件通过加密、隐藏和移位等方法改变文件的长度。大多数情况下

21、使文件字节增加，但也有文件宇节减少的情况，有的文件则看起来无任何变化。Telecom计算机病毒，传染.COM文件，使其长度增加3700字节，增加的字节被计算机病毒隐藏起来，用DIR命令检查时，文件大小无异常变化。“DIR2”计算机病毒，驻留内存，感染所有.EXE文件和.COM文件。计算机病毒采用加密技术，把文件的大小、日期和时间等原始资料进行复制，以应付DIR命令的检查，使其看起来一切完好如初。当用干净盘启动机器后，再用DIR命令检查，会发现文件大小仅剩1024字节。,(5)文件日期、时间异常 文件的日期和时间是指文件生成或者文件被修改时的具体日期和时间。在计算机日志和计算机审计中，文件的生成

22、、修改日期和时间是重要的资料，计算机病毒对日期和时间的篡改其实也是对计算机日志和审计的篡改。,“Dust”计算机病毒，被感染文件长度不变，计算机病毒将当前目录下.COM文件的开头部分用计算机病毒程序覆盖。调用执行程序时，计算机病毒首先跳出来发难，屏幕上出现乱七八糟的文字。被感染文件的日期和时间全部改变。“Macgyver”计算机病毒，驻留内存并使内存减少3KB，感染硬盘分区表及.EXE文件，但不感染Boot区。文件被感染后长度增加几KB，日期增加100年，同时，插入一支莫名其妙的乐曲。,9.打开Word文档后，另存文件时只能以模板方式保存当运行Word，打开Word文档后，该文件另存时只能以模

23、板方式保存而无法另存为一个.doc文档，这往往是打开的Word文档中感染了Word宏病毒的缘故。虽然宏病毒会感染.doc文档文件和dot模板文件，但被它感染的.doc文档属性必然会被改为模板而不是文档，而且，用户在另存文档时，也无法将该文档转换为任何其他方式，而只能用模板方式存盘。如果发现Word文档莫名其妙地以模板文件存盘，则很可能是感染了宏病毒.,10磁盘空间迅速减少使用者没有安装新的应用程序，而系统可用的磁盘空间却迅速减少，这可能是计算机病毒感染造成的。,11.网络驱动器卷或共享目录无法调用 使用者对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目

24、录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒，但已有的计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。,12.陌生人发来的电子邮件 当收到陌生人发来的电子邮件，尤其是那些标题很具诱惑力，如一则笑话，或者一封情书等，又带有附件的电子邮件，使用者要警觉是否染毒。广告电子邮件、垃圾电子邮件和电子邮件炸弹与电子邮件病毒。一般来说广告电子邮件有很明确的推销目的，会有它推销的产品介绍，垃圾电子邮件的内容要么自成章回，要么根本没有价值，这两种电子邮件大多是不会携带附件的。电子邮件炸弹带有附件，而且附件一般都很大，少则几兆字节，多的有几十兆甚至上百兆字

25、节，而电子邮件计算机病毒的附件大多是脚本程序，常不会超过100KB。当然，电子邮件炸弹在一定意义上也可以看成是一种黑客程序，也可看成是一种计算机病毒。,电子邮件附件计算机病毒通常利用双扩展名来隐藏自己，Windows系统默认隐藏已知文件类型的扩展名，所以当收件人收到诸如*.txt.exe，*.rtf.scr，*和*.HTM.pif等形式的邮件附件，常常误以为收到的文件后缀为“*.txt，*rtf，*.doc和*.HTM”，从而很可能毫无防备地打开这些文件，从而不知不觉地感染了计算机病毒。,有些电子邮件是以ZIP压缩包的形式来传播的。以前人们普遍的观念认为ZIP压缩中一般不会有计算机病毒，从而受

26、好奇心的驱使对压缩包进行解压而感染计算机病毒。I-Worn/Mimail(邮米计算机病毒就是一个压缩文件，计算机病毒的大小是16KB。它可以感染Windows 9x，Windows NT，Windows 2000，Windows XP以及Windows ME等流行的操作系统。预防邮件病毒：要预防通过电子邮件感染计算机病毒，必须注意不要轻易打开陌生人的邮件附件，并且在文件夹选项中，设置不隐藏己知类型文件的后缀名。另外，启动计算机病毒防火墙也是非常重要的手段。,13.自动链接到一些陌生的网站 使用者在没有在上网时，计算机会自动拨号并连接到Internet上一个陌生的站点，或者在上网的时候发现网络速

27、度特别慢，存在陌生的网络链接，这种链接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址，大家可以通过Netstat命令查看当前建立的网络链接，再比照访问的网站来发现。需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点，或者是广告站点，这时候也会有陌生的网络链接出现。当然，这种情况也可以认为是非法的。综上所述，一般的系统故障是有别于计算机病毒感染的，根据上述描述的现象，就可以初步判断计算机和网络是否感染上了计算机病毒。,（二）计算机病毒发作时的表现现象计算机病毒发作时是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现各不相同，

28、这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。,1.显示器屏幕异常 显示器是计算机反馈给用户信息最主要的工具。计算机感染计算机病毒后出现在显示器屏幕上的异常现象多种多样，大体分为如下几种情况。(1)屏幕显示突然消失，或者时而显示，时而消失，类似于电源接触不良，但却不是。主机电源显示完全正常，电压稳定。有时屏幕显示内容丢失后找不回来，症状又类似于突然断电文件丢失。PCBB计算机病毒感染计算机后，每按957键，屏幕显示会全部消失。Cascade计算机病毒发作时，屏幕上的字符犹如雨点一般纷纷跃落，堆积在屏幕底部。屏幕显示异常还有滚动、扭曲、错位、快速翻屏或慢速度翻屏等，这些都是计算机

29、病毒发作时的异常现象。,(2)个别字符空缺 Zero Bug计算机病毒进入系统后，每当调用copy命令时，感染所有的.COM文件。这时，屏幕上所有的0字符变成空缺，同时破坏运行程序、覆盖磁盘文件或改变系统的运行速度。VGA FLIP计算机病毒发作时屏幕字符、画面上下颠倒，无法阅读。(3)篡改字符或画面颜色，使其面目全非 Ambulance计算机病毒，具有自身加密功能，能欺骗杀毒工具的检测，感染.COM文件。这时，在屏幕上会出现一辆救护车，救护车驶过之处的字符变成黄色。,(4)屏幕上出现异常图案“AIDS”计算机病毒，传染.COM文件，不驻留内存，发作时屏幕上出现全屏彩色五环图案，之后屏幕及硬盘

30、数据全部丢失。“1575”计算机病毒发作时在屏幕上出现毛毛虫。“小球”计算机病毒，发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图像的计算机病毒大多也是良性计算机病毒，只是在发作时破坏用户的显示界面，干扰用户的正常工作。,(5)屏幕出现异常信息“Story”计算机病毒，发作时从根目录开始并搜索所有子目录，符合某些条件的.COM文件均可能被传染。该病毒一次只感染3个文件，不能重复感染，4分50秒后屏幕上以反白方式出现一段故事。“Fumanchu”计算机病毒进入计算机系统后，感染.COM和.EXE文件。随着键盘的敲击，屏幕上出现一些恶意的语言，与此同时屏幕上还显示:The world will

31、 hear from me again”.,(6)屏幕出现强迫接受的游戏 Cuisine计算机病毒进入计算机系统后，执行DIR命令时，所有.COM文件被感染，每年的1月15日、4月15日和8月15日发作。发作时在屏幕上出现一种老虎赌博机，强迫操作者与之对赌，井警告不要关机，此时文件分配表己遭破坏。若五局中用户获胜，文件分配表恢复正常，否则所有磁盘数据全部丢失。,2.声音异常 声音异常常见的有如下两种情况。一种情况是用户设置的声音异常。其根据需要和个人喜好在计算机启动、关闭切换程序后、菜单调出、程序完成产生结果和操作失误时出现。这是人和机器对话的一种方式。遭受计算机病毒感染后，上述声音可能出现异

32、常，变成了刺耳的噪音、凄厉的悲号或沉重的叹息等。另一种情况是在计算机运行中或每运行到某一时刻，忽然插进一些奇怪的声音、音符或是一句话、一声叹息，也可能是一支歌曲或一组歌曲。出于计算机病毒作者的好恶，或为渲泄某种情感，计算机病毒作者可能设置的声音几乎是任意的，叹息声、尖叫声、咒骂声，用电子发声器模 拟生成的各样奇怪声音都有可能发生。,恶作剧式的计算机病毒，最著名的是外国的“扬基”计算机病毒（Yangkee）、“Music bug”计算机病毒和中国的”浏阳河“计算机病毒。”扬基“计算机病毒每天下午5时整发作，利用计算机内置的扬声器播出美国名曲Yankee，”Music Bug“计算机病毒每隔一定时

33、间便播出一些靡靡之音，而”浏阳河“计算机病毒是当系统时钟为9月9日时演奏歌曲浏阳河，当系统时钟为12月26日时则演奏东方红的旋律。这类计算机病毒大多属于良性计算机病毒，只是在发作时发出音乐和占用处理器资源。,3.硬盘灯不断闪烁 硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时，硬盘的灯就会不断闪烁，例如格式化或者写入很大的文件。有时候对某个硬盘扇区或文件进行反复读取也会造成硬盘灯不断闪烁。有的计算机病毒会在发作时对硬盘进行格式化，或者写入许多垃圾文件，或反复读取某个文件，致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是“恶性”计算机病毒。,4.进行游戏算法 有些恶作剧式的计

34、算机病毒发作时，采取某些算法简单的游戏来中断用户的工作，一定要玩赢了才让用户继续工作。例如曾经流行一时的“台湾一号”宏病毒，在系统日期为13日时发作，弹出对话框，要求用户作算术题。这类计算机病毒一般是属于“良性”计算机病毒。,5.Windows桌面图标发生变化 这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标，或者将其他应用程序、快捷方式的图标改成windows缺省图标样式，起到迷惑用户的作用。“恶鹰”（Worm.Beagle）计算机病毒及其变种（如和等）就是使用了不同的图标。其中和使用微软Office Excel 电子表格的图标，使用的是文本文件的

35、图标，和 使用的甚至是文件夹的图标。,6.计算机突然死机或重启 1）有些计算机病毒程序由于兼容性上存在问题，其代码没有严格测试，在发作时会造成意想不到的情况；2）计算机病毒在Autoexec.bat文件中添加了一句“Format c”之类的语句，需要系统重启后才能实施拨坏的；3）计算机病毒破坏了重要的系统文件，造成系统的必须的服务进程无法正常进行，从而引起系统死机或重启。2004年，十大计算机病毒之一的“震荡波”（Sasser）计算机病毒被首次发现，短短一个星期时间之内就感染了全球1800万台计算机。他利用微软公司公布的Lsass漏洞进行传播，可感染 Windows NT/XT/2003等操作

36、系统。因为它会导致LSASS.EXE崩溃，所以系统不断探出一个提示框，然后倒计时重启。,7.自动发送电子邮件 大多数电子邮件计算机机病毒都会采取自动发送电子邮件的方法作为传播的手段，也有的电子邮件计算机病毒在某一特定时间向一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能。给全球造成巨大灾害的“Mydoom”计算机病毒及其变种短时间内层出不穷，无辜的网民成了受害者，据相关机构统计，“Mydomm”计算病毒在出现的36个小时内就在Internet上发出了约1亿封带毒的电子邮件。而“Worm.Netsky”(网络天空)则超过“Mydoom”的计算机病毒邮件数量，该计算机病毒会从

37、硬盘中的.dbx、.doc、.txt和.HTML等类型的文件中搜集电子邮件地址，然后使用自带的SMTP引擎将其计算机病毒体作为附件发送给这些E-mail地址。,这些计算机病毒邮件的邮件发送人地址都是伪装的地址，“Sobig”(好大计算机病毒)甚至将发送人地址设为雅虎的技术支持信箱。计算机病毒除了采用电子邮件作为传播的手段外，有些还通过电子邮件盗取感染的计算机上的秘密信息，例如：各种帐号及其密码、私人文件等。“网银大盗”计算机病毒的出现曾一度引起人们对网上银行交易的安全文的恐慌，安全公司甚至发布警告，要求用户在那一时期内中断网上支付和交易活动。“网银大盗”专门盗取工商银行个人网上银行帐户及密码，

38、然后通过自带的SMTP发信模块，以电子邮件形式把记录的用户信息发到木马作者指定信箱中，在利用转帐、网上支付等手段窃取用户网上银行中的存款。,电子邮件病毒最大的危害实施在于其自动发出的电子邮件数量通常非常大，以至于占据了Internet大量的宽带和存储空间，造成了网络的阻塞。2003年出现的“大无极”电子邮件计算机病毒是有史以来传播速度最快的计算机病毒之一，它可以把遭到计算机病毒感染的计算机变成一台发送垃圾邮件的机器，每分钟发送多达300封含有计算机病毒的电子邮件。这一计算机病毒瞬间繁殖的特性，会导致网络带宽被迅速占用，严重影响了企业及个人正常的网络应用，甚至造成部分Internet主干线的阻塞

39、。,8.鼠标、键盘失控 有的计算机病毒在运行时，会篡改键盘输入，使用户键盘上键入的字符和屏幕上显示的字符不一致或者是键盘上的功能键对应的功能发生错乱。有的计算机病毒甚至会“肆无忌惮”地封锁键盘、鼠标功能入口，造成系统根本无法进行用户的键盘或者鼠标操作。这些都是较为明显的系统染毒症状。例如，“Attention”(注意病毒)驻留内存后，每按一个键，喇叭就像一声。计算机系统受到了黑客程序的控制也会使得键盘、鼠标失控。当没有对计算机进行任何操作，也没有尽心任何演示程序、屏幕保护程序等，而这时屏幕上的鼠标自己在动，应用程序自己在进行，字符自动被输入，这就是受控的现象，大多数情况下，是因为黑客程序操控了

40、用户的计算机。从广义上说这也是计算机病毒发作的一种现象。,9.被感染系统被打开服务端口 通过Netstat观察系统打开的服务端口，若发现异常的端口被打开，就很有可能是计算机病毒打开了后门服务端口。“恶鹰”（Worm.Beage）计算机病毒感染系统后，就会在被感染的系统中开启后门，在TCP端口2745上进行监听，等待黑客连接。如果发现系统出现了一场服务端口被开启的现象，需要及时关闭服务端口，或利用防火墙阻止对这个端口的服务请求。,10.反病毒软件无法正常工作 很多计算机病毒在感染系统后为了阻止自身被反病毒软件查杀，往往会破坏反计算机病毒软件的程序文件，或者阻止反病毒软件的启动及其升级。例如，“灾

41、飞”（Worm.Zafi）计算机病毒利用电子邮件进行传播，传播是能够穿过防火墙和反计算机病毒软件的拦截，感染系统后会中止大量反病毒软件，并用计算机病毒体去替换反病毒软件的主程序。计算机病毒还会中止运行系统程序（如Regedit、msconfig和Task）,以防止用户手动中止计算机病毒进程，并对指定的网站发动DOS攻击。,（三）计算机病毒发作后的表现现象 通常情况下，计算机病毒发作都会给计算机系统带来破坏性的后果，那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小的一部分。以下是计算机病毒发作后所造成的后果。,1硬盘无法启动，数据丢失计算机病毒破坏硬盘的引导扇区后，就无法从硬盘上启

42、动计算机系统了。有些计算机病毒修改了硬盘的关键内容（如文件分配表、根目录区等），使得原先保存在硬盘上的数据几乎完全丢失。有些计算机病毒破坏硬盘是通过修改Autoexec.bat文件。这个文件每次系统重新启动的时候都会被自动运行。计算机病毒在这个文件中增加“Format c”一项，导致计算机重启时格式化硬盘。在系统稳定工作后，一般很少会有用户去注意Autoexec.bat文件的变化。计算机病毒通过修改这个文件从而达到破坏系统的目的。,“PolyBoot”(也叫WYX.B)是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型计算机病毒。它也能感染软盘（移动存储设备）的引导区。这

43、种计算机病毒会把最初的引导区存储在不同位置，它不会感染和破坏任何文件，但一旦发作，将破坏硬盘的主引导区使所有的硬盘分区及用户数据丢失。感染对象可以是任何的操作系统，包括Windows、UNIX、Linux和Macintosh等。,2文件、文件目录丢失或被破坏 在计算机病毒发作时会删除或破坏硬盘上的文档，造成数据丢失。被破坏、删除的文件包括各种类型：文本文件、可执行文件、目录文件，甚至是系统文件。文本文件被破坏会造成用户数据的丢失；可执行文件被破坏会使得程序无法正常运行。,目录文件被破坏有两种情况：1）确实将目录结构破坏，将目录扇区作为普通扇区，填写一些无意义的数据后，再也无法恢复；2）将真正的

44、目录区转移到硬盘的其他扇区中，只要内容中存在有该计算机病毒，就能够将正确的目录扇区读出，并在应用程序需要访问该目录的时候提供正确的目录项，使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒，那么通常的目录访问方式将无妨访问到原先的目录扇区。,系统文件是非常重要的，系统文件被破坏后，操作系统就不能正常工作。正常情况下，系统文件是不会被删除或修改的，除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件，或者破坏了系统文件，使得以后无法正常启动计算机系统。通常容易受攻击的系统文件有C,Emm386.exe,W,Eernel.exe和User.exe等。,3数据密级异

45、常 一些技术含量很高、很狡猾的计算机病毒进入系统后，不仅能将自身加密，还能将磁盘数据、文件加密或者将已经加密的数据文件解密。使得用户无法解读自己的磁盘数据和文件，或者是自己的保密数据文、文件被公开化。“AIDS Information Trojan”病毒，寄生于DOS区内，用被它感染的系统盘启动机器90次后，硬盘被密钥锁死，机器无法读写。,4.使部分可升级软件主板的BIOS程序混乱，主板被破坏 类似于“CIH”计算机病毒发作后的现象，系统主板上的BIOS被计算机病毒改写、破坏，使得系统主板无法正常工作，从而使计算机系统报废。,5网络瘫痪 很多计算机病毒为了能够实现自动地复制或传播，往往在其发作

46、后，会向其他主机发送大量的数据包以扫描网络中其他主机存在的漏洞，一旦发现可利用的漏洞主机，就将自身复制与传播出去，伺机发作表现并继续发出大量数据包进行漏洞扫描。还有一些通过电子邮件传播的计算机病毒发作后会发送大量的电子邮件。这些由计算机病毒产生网络流量往往占据大量的网络带宽，引起网络瘫痪，使得网络无法提供正常的服务。,6.其他异常现象 除了以上异常以外的其他异常现象，如机器速度变慢、磁盘空间减少等。,3.2 计算机病毒的工作机制计算机病毒的工作步骤分析计算机病毒的引导机制计算机病毒的传染机制计算机病毒的触发机制计算机病毒的破坏机制计算机病毒的网络传播机制,从本质上来看，病毒程序可以执行其他程序

47、所能执行的一切功能。但是，与普通程序又不同的是病毒一般将自身附着在其他程序上。病毒程序所依附的其他程序称为宿主程序。当用户运行宿主程序时，病毒程序被激活，并开始执行。一旦病毒程序被执行，它就能执行一切意想不到的功能(如感染其他程序、删除文件等)。因此，分析病毒的工作机制，有助于掌握病毒的本质，并积极做好病毒防治工作。,一、计算机病毒的工作步骤分析 从病毒程序的生命周期来看，它一般会经历4个阶段:潜伏阶段、传染阶段、触发阶段和发作阶段。该过程如图所示。,在潜伏阶段，病毒程序处于休眠状态，用户根本感觉不到病毒的存在，但并非所有病毒均会经历潜伏阶段。如果某些事件发生(如特定的日期、某个特定的程序被执

48、行等)，病毒就会被激活，并从而进入传染阶段。处于传染阶段的病毒，将感染其他程序-将自身程序复制到其他程序或者磁盘的某个区域上。经过传染阶段，病毒程序已经具备运行的条件，一旦病毒被激活，则进入触发阶段。在触发阶段，病毒执行某种特定功能从而达到既定的目标。病毒在触发条件成熟时即可发作。处于发作阶段的病毒将为了既定目的而运行(如破坏文件、感染其他程序等。,病毒程序的功能模块：为了实现病毒生命周期的转换，病毒程序必须具有相应的功能模块。病毒程序的典型组成包括引导模块、传染模块和表现模块，如下图所示。,1.计算机病毒的引导模块 计算机病毒引导模块主要实现将计算机病毒程序引入计算机内存，并使得传染和表现模

49、块处于活动状态。为了避免计算机病毒程序被清除(如杀毒程序的处理等)，引导模块需要提供自保护功能，从而避免在内存中的自身代码不被覆盖或清除。一旦引导模块将计算机病毒程序引入内存后，它还将为传染模块和表现模块设置相应的启动条件，以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块。,2.计算机病毒的感染模块 计算机病毒的传染模块有两个功能:其一是依据引导模块设置的传染条件，判断当前系统环境是否满足传染条件；其二是如果传染条件满足，则启动传染功能，将计算机病毒程序附加到其他宿主程序上。相应地，感染模块分为感染条件判断子模块和传染功能实现子模块两个部分。,3.计算机病毒的表现模块 与计算机病毒

50、传染模块相似，其表现模块功能也包括两个部分:其一是根据引导模块设置的触发条件，判断当前系统环境是否满足所需要的触发条件;其二是一旦触发条件满足，则启动计算机病毒程序，按照预定的计划执行(如删除程序、盗取数据等)。因此，表现模块包含两个子模块:表现条件判断子模块和表现功能实现子模块。前者判断激活条件是否满足，则而后者则实现功能。需要说明的是，并非所有计算机病毒程序都需要上述3个模块，如引导型计算机病毒没有表现模块，而某些文件型计算机病毒则没有引导模块。计算机病毒程序的典型组成用伪代码描述如下:,BootingModel()/*引导模块*/将计算机病毒程序寄生于宿主程序中；启动自保护功能；设置传染