浅谈病毒入侵微机的途径与防治研究.doc

浅谈病毒入侵微机的途径与防治研究摘 要：随着科技的进步计算机不断普及，其利用率越来越高，应用领域也越来越广。不管是日常的工作中，还是学习生活都带来了巨大的改变。但是计算机的产生也是一把双刃剑，在给人们带来方便的同时却也随着计算机加入网络系统而计算机安全受到了越来越多的威胁。目前计算机系统漏洞不断被发现，病毒与黑客的技巧和破坏能力不断提高，处于网络中的计算机受到了越来越多的攻击。阻塞甚至中断网络，破坏计算机系统或丢失个人重要信息等；这些威胁越来越给个人和企业都造成巨大的损失，而对于上述威胁，如何有效的动态保护计算机的应用，不被病毒等恶意信息攻击，早已引起了社会的极大关注。为了加强目前计算机防护能力，我们需要深入研究病毒入侵计算机系统的路径，以及如何在这些路径上进行相应的防治手段的执行。这种根据路径而进行的拦截式防治的思路，无疑是最适宜的计算机系统安全防范思路。而这种思路的深入探讨对于保障计算机的运行可靠性和完整性有着极为重要的意义。关键词：计算机；病毒；防范措施；原理On the way computer viruses and ControlAbstract: Popularizes unceasingly along with the technical progressive computer, its use factor is getting higher and higher, the application domain is also getting more and more broad. No matter is in the daily work, studied the life to bring the huge change. But computers production is also a double-edged sword, while brings the convenience to the people actually also to join the network system along with the computer, but the computer security arrived at more and more threats. At present the computer system crack was discovered unceasingly that viral and hackers skill and destructive capability enhanced unceasingly, are in the network the computer to arrive more and more attacks. Blocking even interrupts the network, destroys the computer system or loses individual important information and so on; These threats give individual more and more and the enterprise create the massive loss, but regarding the above threat, the effective dynamic protection computers application, by malicious information attacks and so on virus, already to have been caused how societys enormous attention. In order to strengthen the present computer protection capability, we need the deep research virus invasion computer systems way, as well as how to carry on the corresponding prevention method in these ways the execution. This kind the interception type prevention mentality which carries on according to the way, without doubt is the computer system safe guard mentality which is suitable. But this kind of mentalitys thorough discussion regarding safeguards computers movement reliability and the integrity has the great importance the significanceKey words: computer; viruses; precautions; principle目 录1 计算机病毒概述.,. 41.1 计算机病毒的基本介绍. 41.1.1 计算机病毒的产生. 41.1.2 计算机病毒的特征. 41.1.3 病毒的表现形式. 51.2 计算机病毒的分类. 61.2.1 文件传染源病毒. 61.2.2 引导扇区病毒. 61.2.3 主引导记录病毒. 61.2.4 复合型病毒. 61.2.5 宏病毒. 71.3 计算机病毒的攻击和防御. 71.3.1 常见的网络动态攻击. 71.3.2 常用的病毒攻击防御. 92 计算机病毒动态防御详细分析. 102.1 感染可执行文件的病毒. 102.2 后台进行控制的病毒. 112.3 蠕虫病毒. 122.4 脚本病毒. 132.4.1 基本介绍. 132.4.2 侵入的技术原理. 133 计算机病毒防范措施. 143.1 个人防范措施. 143.2 即时通讯工具预防措施. 153.3 蠕虫类预防措施. 153.4 网页挂马病毒的预防措施. 163.5 网上银行、在线交易的预防措施. 163.6 利用U盘进行传播的病毒的预防措施. 174 结束语. 185 参考文献. 191 计算机病毒概述1.1计算机病毒的基本介绍1.1.1 计算机病毒的产生 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。电脑病毒的产生要经过这几个过程：程序设计传播潜伏触发运行实施攻击。 究其产生的原因不外乎以下几种： 病毒制造者对病毒程序的好奇与偏好。也有的是为了满足自己的表现欲，故意编制出一些特殊的计算机程序，让别人的电脑出现一些动画，或播放声音，或提出问题让使用者回答。而此种程序流传出去就演变成计算机病毒，此类病毒破坏性一般不大； 个别人的报复心理。如台湾的学生陈盈豪，就是出于此种情况，他因为曾经购买的一些杀病毒软件的性能并不如厂家所说的那么强大，于是处于报复目的，自己编写了一个能避过当时的各种杀病毒软件并且破坏力极强的CIH病毒，曾一度使全球的电脑用户造成了巨大灾难和损失； 一些商业软件公司为了不让自己的软件被非法复制和使用，在软件上运用了加密和保护技术，并编写了一些特殊程序附在正版软件上，如遇到非法使用，则此类程序将自动激活并对盗用者的电脑系统进行干扰和破坏，这实际上也是一类新的病毒，如巴基斯坦病毒； 恶作剧的心理。有些编程人员在无聊时处于游戏的心理编制了一些有一定破坏性小程序，并用此类程序相互制造恶作剧，于是形成了一类新的病毒，如最早的“磁芯大战”就是这样产生的； 用于研究或实验某种计算机产品而设计的“有专门用途的”程序，比如远程监控程序代码，就是由于某种原因失去控制而扩散出来，经过用心不良的人改编后会成为具有很大危害的木马病毒程序； 由于政治、经济和军事等特殊目的，一些组织或个人编制的一些病毒程序用于攻击敌方电脑，给敌方造成灾难或直接性的经济损失。1.1.2 计算机病毒的特征非授权可执行性：用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 隐蔽性：计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 传染性：传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。 潜伏性：计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 表现性或破坏性：无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。 可触发性：计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等1。1.1.3 病毒的表现形式根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类，即：计算机病毒发作前、发作时和发作后的表现现象。计算机病毒发作前的表现现象：平时运行正常的计算机突然经常性无缘无故地死机；操作系统无法正常启动；运行速度明显变慢；以前能正常运行的软件经常发生内存不足的错误；打印和通讯发生异常；无意中要求对软盘进行写操作；以前能正常运行的应用程序经常发生死机或者非法错误；系统文件的时间、日期、大小发生变化；运行Word，打开Word文档后，该文件另存时只能以模板方式保存；磁盘空间迅速减少；网络驱动器卷或共享目录无法调用；基本内存发生变化；陌生人发来的电子函件。计算机病毒发作时的表现现象：提示一些不相干的话；无原无故发出一段的音乐；产生特定的图像；硬盘灯不断闪烁；进行游戏算法；Windows桌面图标发生变化；计算机无原无故突然死机或重启；自动发送电子函件；鼠标自己在动或动不了。计算机病毒发作后的表现现象：硬盘无法启动，数据丢失；系统文件丢失或被破坏；文件目录发生混乱；部分文档丢失或被破坏；部分文档自动加密码；修改Autoexec.bat文件，增加Format C：一项，导致计算机重新启动时格式化硬盘；使部分可软件升级主板的BIOS程序混乱，主板被破坏；网络瘫痪，无法提供正常的服务。1.2 计算机病毒的分类1.2.1 文件传染源病毒 文件传染源病毒感染程序文件。这些病毒通常感染可执行代码，例如：.com和 .exe文件等。当受感染的程序从软盘、U盘或硬盘上运行时，可以感染其他文件。这些病中有许多是内存驻留型病毒。内存受到感染之后，运行的任何未感染的可执行文件都会受到感染。已知文件传染源病毒包括Jerusalem、Cascade等。1.2.2 引导扇区病毒病毒通过复制代码引导区病毒感染计算机系统或者到软盘上引导扇区或硬盘上分区表。在启动期间,病毒是加载到内存。一旦在内存,病毒将感染由系统访问得任何非感染磁盘。引导扇区病毒示例是 Michelangelo 和 Stoned。引导扇区病毒通过引导,或试图从感染了软盘引导,分布到计算机系统。即使如果磁盘不包含需要,成功启动MS-DOC系统文件试图从感染磁盘启动将加载到内存病毒。在内当作设备驱动程序病毒挂钩本身。病毒移动中断 12 返回,允许本身在内存中保持即使热启动。病毒将然后感染硬盘上首系统中。1.2.3 主引导记录病毒 主引导记录病毒是内存驻留型病毒，它感染磁盘的方式与引导扇区病毒相同。两种病毒类型的区别在于病毒代码的位置。主引导刻录感染源通常将主引导记录的合法副本保存在另一个位置，受到引导扇区病毒或主引导记录病毒感染的Windows NT/2000/2003 计算机将不能启动，这是由于 Windows NT/2000/2003 操作系统访问其引导信息的方式与Windows 9x 不同。主引导记录病毒主要有 NYB、AntiExe 和 Unashamed 等。1.2.4 复合型病毒 复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。这种病毒有Flip病毒、新世纪病毒、One-half病毒等。1.2.5 宏病毒宏病毒是目前最常见的病毒类型，它主要感染数据文件。随着 Microsoft Office 97 中Visual Basic 的出现。编写的宏病毒不仅可以感染数据文件，还可以感染其他文件。宏病毒可以感染 Microsoft Office Word、Excel、PowerPoint 和 Access 文件。这些病毒很容易创建，现在传播着的就的几千种，主要有的包括 W97M.Melissa、Macro.Melissa、WM.NiceDay 和 W97M.Groov 等2。1.3 计算机病毒的攻击和防御1.3.1 常见的网络动态攻击 死亡之ping （ping of death）：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。 泪滴（teardrop）：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。UDP洪水（UDP flood）：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 SYN洪水（SYN flood）：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。 Land攻击：在Land攻击中，一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。 Smurf攻击：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。Fraggle攻击：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP电子邮件炸弹：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。畸形消息攻击：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。 特洛伊木马：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。 缓冲区溢出：由于在很多的服务程序中大意的程序员使用像strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。 信息收集型攻击：信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。假消息攻击：用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。DNS高速缓存污染：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。伪造电子邮件：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。脚本攻击：是一件艺术而不是漏洞！首先我们先要知道什么是脚本，脚本就是运行在网页服务器上的文本程序，是利用这些文件的设置和编写时的错误或者疏忽不当，攻击者就可以利用这些来达到自己攻击目的脚本攻击就是针对这些数据库来配合脚本对一些变量的过滤不严的问题来达到得到用户密码等敏感信息，修改数据库等目的3。1.3.2 常用的病毒攻击防御 用户密码足够复杂，推荐8-16位数字大小写字符特殊符号 ；win2k/xp可考虑把administrator用户改名； 尽量使用网络共享，采用ftp等更安全的方式代替（默认共享目录，列举用户名，空密码漏洞是著名的容易被利用）；如果必要情况下需要使用，请一定设置上8位以上的复杂密码，并制定文件目录的确实需要的最小权限（例如提供资料让人下载的，就只需要设置成只读权限就行了） 及时升级系统和工具补丁；（这点我在此文中一直在强调，但事实上是不少用户宁可每天花10个小时的时间玩游戏，也不愿意花10分钟去访问一下windows的update站点，安装杀毒软件/防火墙是治标，打patch才是治本，随时打好patch是每日必修功课）； 安装带有病毒即时监控/邮件监控的杀毒程序，并及时升级病毒库；（很多朋友强调自己用的是正版杀毒软件，但一直忽略了购买正版杀毒软件的最必要因素获得良好的升级支持服务，不升级病毒库的杀毒软件是无法捕捉到新病毒的。因此天缘个人建议每天2次升级最新病毒库是比较适合的，一次在早上开机时，一次在下午开机时）； 使用更优秀的软件代替产品；（例如用myie2代替ie，用total command 代替资源浏览器。不是说微软自身的产品不能用有时候就是因为微软的产品功能太多，众多的功能中有可能有存在漏洞的，就会危机到系统安全了，所以推荐使用代替产品。而事实上不少第三方软件的确相当好用的） 使用个人版网络防火墙，将icmp反馈禁止，再根据自己需要把敏感端口全部禁止掉；（在金山、瑞星、kv、天网的防火墙设置中，很容易找到“禁止icmp回应”，“禁止ping响应”这样的规则，勾选上就行了）win2k/xp自带的ipsec也能实现，不过比较繁复一些，个人感觉适合系统管理员而不是普通用户，另外winxp自带的防火墙也能作到禁止ping回应，各位可以试着开启它） 修改xp/win2000的默认设置，在服务中禁止掉自己不需要的一些服务。如messager和远程操作注册表都是常常被利用的服务程序；（在中文版本中，都有详细的中文提示，yesky网站上的介绍文章也相当多，各位可以搜索一下） 养成安全意识。网络前辈说过一句名言“安全，从来都不是技术问题，而是一个意识”前面几条都是在第8条的基础上得到体现的，如果没有了安全意识，即使用再昂贵的杀毒软件也懒于升级、用再优秀的操作系统也懒于打patch，那么一切都是白费了。特别是对待目前逐渐成为主流的病毒/攻击欺骗而言，如果用户不在主观上保持“存疑”的态度，那么随意接受/打开外来的文件，中毒的可能性是相当大的。另外补充一句，网络上只有“本地”和“远程”2个概念，不管是不是朋友的计算机，是不是同一个工作组内的机器，它始终是台远程机器发送过来的数据保持必要的怀疑，不管该计算机是谁拥有。 在金山，瑞星和kv3000的主页，对待流行病毒，都有专杀工具和注册表修复工具免费下载，如果用户能确认自己所中的是何种病毒时，使用专杀工具能获得更高的杀毒效率；而且在这些站点上，还有最新的病毒预报可以看到，方便用户提前作好准备以及了解攻击细节。2 计算机病毒动态防御详细分析2.1 感染可执行文件的病毒病毒描述：这类病毒的编写者的技术水平可说相当高超，此类病毒大多用汇编/c编写，利用被感染程序中的空隙，将自身拆分为数段藏身其中，在可执行文件运行的同时进驻到内存中并进行感染工作，dos下大多为此类病毒居多，在windows下由于win95时期病毒编写者对pe32的格式没吃透，那段时间比较少，之后在win98阶段这类病毒才扩散开来，其中大家广为熟悉的CIH病毒就是一例；在windows发展的中后期，互联网络开始兴盛，此类病毒开始结合网络漏洞进行传播，其中的杰出代表为funlove传播由于windows的操作系统的局网共享协议存在默认共享漏洞，以及大部分用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码，共享权限也开启的是“完全访问”。导致funlove病毒通过简单尝试密码利用网络疯狂传播。病毒浅析：由于此类病毒的编写对作者要求很高，对运行环境的要求也相当严格，在编写不完善的时候，会导致系统异常（例如CIH的早期版本会导致winzip出错和无法关闭计算机等问题；funlove在nt4上会导致mssqlserver的前台工具无法调出界面等问题）。这类病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间系统运行的时间越长，对其感染其他文件越有利，因此此类病毒中一般不含有恶意关机等代码，染毒后短期内（一般24小时内）也不会导致系统崩溃（如果你是25日感染cih除外），和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片，采用驱动技术的CIH病毒都是其中的代表。感染途径：此类病毒本身依用户执行而进行被动运行，常见感染途径为：盗版光盘、软盘、安全性不佳的共享网络；病毒自查：此类病毒大多通过的是进驻内存后篇历目录树的方式，搜索每个目录下的可执行文件进行感染，因此对内存占用得比较厉害如果突然在某个时间后发现自己的机器内存占用很高，可能就是感染了此类病毒。病毒查杀：这类病毒由于编写难度较大，因此升级速度相对较慢，但由于开机后进驻的程序可能已经被病毒感染，因此杀毒条件是各种病毒中最为严格的，且这2种方式比较干净彻底的方法也适用用后面介绍的各种病毒：1.软盘（光盘）启机使用杀毒软（光）盘进行杀毒；在进行这一步的时候，必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。2.将硬盘拆下，作为其他机器的从盘；从其他机器的主盘启动进行杀毒（该机需打开病毒即时监控，以防止来自从盘的可执行文件中的病毒进驻到内存中）。杀毒遗留：由于这类病毒是寄生到其他程序内部，即使非常优秀的杀毒软件，能做到的也只是把该染毒程序内的病毒某关键执行部分删除，使得染毒程序在运行时病毒无法运行。因此并不是严格意义上的完全清除病毒程序的某部分依然残留在程序内部，俗称“病毒僵尸”。病毒防范：安装包含即时监控的杀毒软件并启机执行，每天升级病毒库获取最新病毒特征代码；尽量不使用来源不可的软盘和光盘，使用前先扫描。2.2 后台进行控制的病毒 描述：帐号被偷，密码被盗，机器被人远程控制着放歌/开关机/屏幕倒转过来，硬盘不住地转动将关键资料向外发出，就是这类病毒的杰作了。这类病毒和上一类病毒最本质的区别是这类病毒本身是独立的程序，而不是寄生于另一个程序中。这类病毒的编写主要在于对操作系统本身接口的熟悉，网络传输的熟悉，以及对隐蔽性的要求，此类病毒的编写可使用多种语言，对病毒写作者本身的实力也是一种考验。这个病毒中，最出名的莫过于BO了，可以说，它指引了这种病毒在windows平台的发展理念。这类病毒就是统称的“木马”病毒，通过系统漏洞/用户操作疏忽进入系统并驻留，通过改写启动设置来达到每次启机运行或关联到某程序的目的。在windows系统中，表现为修改注册表启动项、关联Explorer、关联notepad等方式。 病毒浅析：此类病毒编写者的功力就有高有低了。高手所编写的远程控制系统可以和最优秀的远程管理工具相媲美，例如开山鼻主BO，国产的冰河，著名的黄金木马sub7都属于这一类，这类程序分为2个部分，控制端和被控制端；而在UNIX类平台下的木马经常是一个简单外部命令的重新实现例如将原本的ls命令替换掉，用自己写的一个程序代替，在执行正常文件列表的同时隐含执行特殊命令，这类木马的编写水平也相当高，但在windows下极少出现类似程序替代的木马，这类病毒的联系一般是单向进行的；还有一类木马就是网络盗窃性质的，以im软件，网络游戏盗号居多，近来发展为对金融业有所染指，这类一般就是通过程序监视当前窗口，并获得当前窗口特定控件的值（用户名/密码框里的值），然后通过email，远程登陆web数据库等方式把获得的密码发出去，这类程序具有一定编程基础的各位朋友都能做到；第4类是惟恐天下不乱的纯捣乱程序，原理跟上一种类似，不过是朝文本框写信息，例如著名的qq尾巴病毒，这类病毒由于病毒作者将源代码放出，改写起来相当容易，智商85以上的人士都能胜任的。这类木马病毒中的杰出代表为BO、冰河、Sub 7等。感染途径：系统漏洞/用户错误权限/社会工程学。利用系统漏洞造成溢出获取一定权限利用其他漏洞或用户设置不当提升权限上传恶意程序/修改系统设置启动恶意程序。是这类病毒感染的惯用方式。在后期，出现了以诱骗用户执行为主要感染方式的新木马，充分利用了社会工程学，由于木马的用途主要是将病毒编写者感兴趣的资料回发因此感染途径99%来源于网络，在完全无网络单机状态下的木马等于是没用的死马。病毒自查：由于木马发送者的企图都是通过控制你的机器操作来获得一定利益，因此都会设置启动时加载该程序。控制类的木马需要占用相当一部分系统资源用户直接能感觉到的就是启动速度变慢，系统运行速度变慢；而帐号盗取类的木马由于需要获得特定窗口的窗口句柄，因此会在当前窗口切换的时候进行读取判断在机器配置不高的机器上，如果快速轮循窗口，则感觉到窗口出现速度明显下降；恶作剧类的木马就不用提了，大家都知道不对劲。病毒查杀：木马病毒的繁衍也是相当快速的，特别是行为上难以判断合法远程控制软件和木马在本质上基本上无区别，在执行行为上也相当类似。而木马的控制协议一般是走tcp/ip协议，理论上是可以在65535个端口中随意选择，因此也无法利用端口方式准确判断出病毒种类；通过特征码方式，如果木马作者没有留下版本信息或说明文字，则也相当难以判断；特别是木马的源代码公开后，想在其中加入一段独特的功能代码不是什么难事，因而衍生的版本特别快也特别多，这更加大了杀毒软件查杀的的难度4。2.3 蠕虫病毒蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。2.4 脚本病毒2.4.1 基本介绍 脚本病毒通常是JavaScript代码编写的恶意代码， 一般带有广告性质，会修改您的IE首页、修改注册表等信息，造成用户使用计算机不方便。脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。2.4.2 侵入的技术原理 VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理：以下是文件感染的部分关键代码：Set fso=createobject(scripting.filesystemobject) 创建一个文件系统对象set self=fso.opentextfile(wscript.scriptfullname,1) 读打开当前文件（即病毒本身）vbscopy=self.readall 读取病毒全部代码到字符串变量vbscopy set ap=fso.opentextfile(目标文件.path,2,true) 写打开目标文件，准备写入病毒代码ap.write vbscopy 将病毒代码覆盖目标文件ap.closeset cop=fso.getfile(目标文件.path) 得到目标文件路径cop.copy(目标文件.path & .vbs) 创建另外一个病毒文件（以.vbs为后缀）目标文件.delete(true)删除目标文件上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。下面我们具体分析一下文件搜索代码：该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本sub scan(folder_)scan函数定义，on error resume next 如果出现错误，直接跳过，防止弹出错误窗口set folder_=fso.getfolder(folder_) set files=folder_.files 当前目录的所有文件集合 for each file in filesext=fso.GetExtensionName(file)获取文件后缀 ext=lcase(ext) 后缀名转换成小写字母if ext=mp5 then如果后缀名是mp5，则进行感染。请自己建立相应后缀名的文件，最好是非正常后缀名 ，以免破坏正常程序。 Wscript.echo (file)end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders搜索其他目录；递归调用scan( ) scan(subfolder)next end sub 上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件5。3 计算机病毒防范措施3.1 个人防范措施用户应养成及时下载最新系统安全漏洞补丁的安全习惯，从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时，升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。请定期做好重要资料的备份，以免造成重大损失。选择具备“网页防马墙”功能的杀毒软件（如KV2008），每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。请勿随便打开来源不明的Excel或Word文档，并且要及时升级病毒库，开启实时监控，以免受到病毒的侵害。上网浏览时一定要开启杀毒软件的实时监控功能，以免遭到病毒侵害。上网浏览时，不要随便点击不安全陌生网站，以免遭到病毒侵害。及时更新计算机的防病毒软件、安装防火墙，为操作系统及时安装补丁程序。在上网过程中要注意加强自我保护，避免访问非法网站，这些网站往往潜入了恶意代码，一旦用户打开其页面时，即会被植入木马与病毒。利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。开启江民杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。3.2 即时通讯工具预防措施请广大用户一定要提高警惕，切勿随意点击MSN等一些即时通讯工具中给出的链接，确认消息来源，并克服一定的好奇心理。通过即时通讯工具等途径接收的文件前，请先进行病毒查杀。MSN用户提高网络安全意识，不要轻易接收来历不明的文件，即便是MSN好友发来的文件也要谨慎，尤其是扩展名为*.zip,*.rar 等格式的文件，当遇到有人发来以上格式的文件时请直接拒绝即可。在使用即时通讯工具的时候，不要随意接收好友发来的文件，避免病毒从即时聊天工具传播进来。3.3 蠕虫类预防措施建议用户在打开邮件附件或链接前，首先确定邮件来源，并确认文件后缀名是否正确，以免被虚假后缀欺骗。设置网络共享帐号及密码时，尽量不要使用空密码和常见字符串，如guest、user、administrator等。密码最好超过八位，尽量复杂化。 在运行通过网络共享下载的软件程序之前，建议先进行病毒查杀，以免导致中毒。接收到不明来历的邮件时，请不要随意打开其中给出的链接以及附件，以免中毒。在打开通过局域网共享及共享软件下载的文件或软件程序之前，建议先进行病毒查杀，以免导致中毒。利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自