计算机网络安全防范措施.doc

云南工商学院计算机网络安全防范措施计算机网络安全防范措施（反病毒）摘要21世纪，计算机网络和人类的关系越来越紧密，它使得人们能够获得更加丰富的信息，工作生活方便、快捷和高效，但是，计算机网络病毒的蔓延，却给计算机安全和应用带来巨大威胁，本文简要分析了计算机网络病毒的特点和来源，并提出了必要的防范措施。目前，病毒已成为困扰计算机系统安全和网络发展的重要问题。掌握了计算机病毒的基本知识，一旦遇到计算机病毒就不会束手无策。本文通过对计算机病毒的概念、传播途径、怎样有效地防范等方面做了一个基本的介绍，使读者对其有一个理性的认识，以便能最大限度地减少计算机病毒所带来的危害。计算机网络加快了人类迈进信息化社会的步伐，社会、文明、经济等各领域实现了跨越式发展，但计算机网络病毒活动的日益猖獗，为信息化技术和社会发展带来重大危害。因此，计算机的网络安全对于这个信息时代来说是很重要的，而且也是很有必要的。关键词：计算机，网络安全，网络病毒，防范措施，反病毒目录第一章 绪论31.1 引言31.2 计算机网络安全现状3第二章 计算机病毒的原理42.1 计算机病毒42.1.1 计算机病毒的定义42.1.2 计算机病毒的特征42.2计算机病毒的分类52.3计算机病毒的入侵方式52.4计算机病毒的传播62.5 计算机病毒对计算机应用的影响6第三章 计算机反病毒技术73.1反病毒技术73.1.1 反病毒技术的发展73.1.2常见的反病毒技术83.1.3防、治结合的反病毒技术93.1.4开放的反病毒方向93.2病毒的检查93.2.1 比较法103.2.2 搜索法103.2.3 特征字识别法103.2.4 分析法103.3 常见的病毒前缀的解释（针对用得最多的Windows操作系统）11第四章 病毒案例分析134.1熊猫烧香病毒134.1.1病毒特征134.1.2病毒详细行为144.2熊猫烧香病毒解决方案14第五章 总结15参考文献15致谢16II云南工商学院计算机网络安全防范措施第一章 绪论1.1 引言在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有治理方面的问题，两方面相互补充，缺一不可。国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和治理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的熟悉和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有治理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。1.2 计算机网络安全现状计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Rootkits、DOS和Sniffer是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。第二章 计算机病毒的原理2.1 计算机病毒2.1.1 计算机病毒的定义计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为：利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。2.1.2 计算机病毒的特征1、非授权可执行性 用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 2、隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。3、传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。4、潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。5、表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。6、可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。2.2计算机病毒的分类1、计算机病毒按破坏性分：可分为:良性病毒、恶性病毒、极恶性病毒、灾难性病毒。 2、按传染方式分：引导区型病毒,引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的主引导记录。文件型病毒,文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。混合型病毒,混合型病毒具有引导区型病毒和文件型病毒两者的特点。宏病毒,宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。 3、按连接方式分：源码型病毒,它攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。操作系统型病毒,操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳型病毒,外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。2.3计算机病毒的入侵方式1、宏病毒宏病毒发作方式: 在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。防范措施:平时最好不要几个人共用一个Office程序，要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。一般的杀毒软件都可以清除宏病毒。2、CIH病毒发作破坏方式:主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。防范措施:已经有很多CIH免疫程序诞生了，包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒，但尚未发作，记得先备份硬盘分区表和引导区数据再进行查杀，以免杀毒失败造成硬盘无法自举。3、木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。2.4计算机病毒的传播计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。可见有条件时病毒能传染, 无条件时病毒也可以进行传染。2.5 计算机病毒对计算机应用的影响1病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录 区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。 磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显 示“Warning! Dontturn off power or remove diskette while Disk Killer is Prosessing！” （警 告！D1SK KILLER ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒 软件修复，不要轻易放弃。2占用磁盘空间和对信息的破坏 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型 病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。 文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的 未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很 快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 3抢占系统资源 除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病 毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内 存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激 发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。 4影响计算机运行速度 病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在： 5计算机病毒错误与不可预见的危害 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、 物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机 病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。 6计算机病毒的兼容性对系统运行的影响 兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对 运行条件“挑肥拣瘦”，要求机型和操作系统版本等。7计算机病毒给用户造成严重的心理压力 据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。 经检测确实存在病毒的约占70，另有30情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理 由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又 不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒 采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅 怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别 病毒而停机。第三章 计算机反病毒技术3.1反病毒技术3.1.1 反病毒技术的发展第一代反病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒，可靠性很高。后来病毒技术发展了，特别是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。第二代反病毒技术是采用静态广谱特征扫描方法检测病毒，这种方式可以更多地检测出变形病毒，但另一方面误报率也提高，尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大，容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，能够全面实现防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡是检测到的病毒都能清除，不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展，静态扫描技术将会使反毒软件速度降低，驻留内存防毒模块容易产生误报。第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理，启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态。3.1.2常见的反病毒技术1、特征码技术。特征码技术是反病毒技术中最基本的技术，也是反病毒软件普遍采用的方法，是基于已知病毒的静态反病毒技术。反病毒研究人员通过对病毒样本的分析，提取病毒中具有代表性的数据串写入反病毒软件的病毒库。当反病毒软件查毒时发现目标文件中的代码与反病毒软件病毒库中的特征码相符合时，就认为该文件含毒并对其进行清除。2、基于虚拟机的反病毒技术。所谓基于虚拟机的反病毒技术就是对难以查找特征码的病毒用软件虚拟CPU实现其代码执行过程，得到病毒明文，再寻找病毒特征码。这是一种专门对付变形病毒的方法。3、行为监视法。病毒感染文件时，常常有一些不同于正常程序的行为。行为监视法就是引入一些人工智能技术，通过分析检查对象的逻辑结构，将其分为多个模块，分别引入虚拟机中执行并监测，从而查出使用特定触发条件的病毒。这种方法专门针对未知病毒和变形病毒而设计，并且将查找病毒和清除病毒合二为一，能查亦能杀，但由于采用人工智能技术，需要常驻内存，实现起来也有一定的技术难度。启发式分析模型，这种模型既可以实现对已知木马的查杀，又可以对未知木马进行启发式分析，并将分析数据提交专家系统，由专家系统对其判定，并实时对数据库进行更新，最终实现对未知木马的查杀。该模型主要有八大模块，分别为：静态检测、动态检测、动态监控、查杀引擎、隔离机、动态推理机、启发式分析机和专家系统。（1）已知木马查杀模型工作流程用户启动程序，调用查杀引擎，查杀引擎首先调用动态检测模块，如果发现木马，先记住木马文件存放位置，然后将木马进程杀掉，并清除注册表中的相关键值，然后调用静态检测模块，根据前面得到的木马存放位置，找到木马文件，并通过与查杀引擎交互，看是否需要隔离机的合作从而放入隔离库中。（2）未知木马检测模型工作流程用户启动程序，调用查杀引擎，查杀引擎首先调用动态检测模块，如果未发现与已知木马相符的信息，则调用动态推理机，通过一定的推理规则进行分析，并与专家系统联系，自动更新动态行为库和文件特征码库。有了新的库之后，系统将再次调用查杀引擎重复上面的步骤。如果这个时候，还不能够确定它是木马，则询问用户是否启用启发式分析机，如果用户同意则调用启发式分析机，对某些原始数据进行分析，通过一定的过程处理之后，如果发现确实可疑，则通过信使向专家系统发送文件信息、原始数据等信息。专家系统在对信使发送的数据实验分析之后，就可以做出一定的判断，如果确定为新木马，则需要对各个库里的数据进行更新。这样之后，用户就可以重复（1）中的步骤，对木马实施相应的处理4、CRC检查。循环冗余校验CRC(Cyclic RedundancyCheck)是对一个传送数据块进行高效的差错控制方法。CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和)，这些CRC值被杀毒软件保存到自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，这样就可以知道文件是否已经修改或被病毒感染。5、解压缩与去壳。病毒隐藏自身的方法有加壳和压缩两种方法。加壳是通过一系列的数学运算，将可执行程序或动态链接文件的编码进行改变，以达到缩小程序体积或加密程序编码的目的。病毒通过使用不同种类或者不同版本的加壳软件，对自身进行加壳，使得杀毒软件无法发现真正的病毒体，以逃避查杀。为了检测已加壳的病毒，就必须要针对不同种类和不同版本的壳编写脱壳程序，才可以发现壳内隐藏的真正病毒体。所以，杀毒软件对病毒的查杀能力在一定程度上取决于自身的脱壳能力。3.1.3防、治结合的反病毒技术计算机病毒流行以来，市场上立即出现大量的反病毒软件和硬件，它们采用的反病毒技术大致可以分为两种基本类型：一是治疗型的，一是预防型的。治疗型防病毒技术是根据已出现的各种具体计算机病毒的具体特征（如破坏引导区、破坏目录区或增长文件长度等）设计具体的检测病毒或杀病毒的软件，这是一种针锋相对的方法，出现一种病毒，研究一种防病毒软件，效果明显，但比较被动和消极；预防性防病毒技术则是根据病毒的一般特征与行为规则来设计病毒检测软件，它常作为操作系统的一部分常驻内存中，实时检测病毒入侵操作系统的可能异常状态而发现病毒，这种方法显然具有更积极和主动的反病毒作用，但难度较大。所以现在反病毒技术仍需从治疗和预防两者结合的方向发展。在计算机网络系统中，反病毒技术还应根据具体网络系统结构特点进行一体化的安排，如根据客户机-服务器所用操作系统选择或设计不同的反病毒软件、在网络通信卡中插入专门反病毒芯片、检查可能通过网络传输的带病毒文件等。另外，无论采用哪一种反病毒技术还应考虑不能过多影响网络系统本身的开销，并注意反病毒软件本身的抗病毒能力。3.1.4开放的反病毒方向病毒和反病毒如同加密与解密一样，是一个不断对抗和发展的过程，旧的病毒被发现和清除，仍会不断有新的病毒被制造出来。开放的反病毒技术就是使反病毒具有自适应病毒变化和更新的能力，例如设计病毒分析程序，在大量分析各种病毒特征及行为规则基础上建立病毒数据库，并在使用中向用户开放，不断把新的病毒特征信息输入以增强其抗病毒能力。3.2病毒的检查计算机病毒发作后，必然会留下痕迹。所谓检测计算机病毒，就是要到病毒寄生场所去检查、发现异常情况，并最终确认计算机病毒是否存在。病毒静态时存储于磁盘中，激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。对磁盘进行病毒检测时，要求内存中不带病毒。因为某些计算机病毒会向检测者报告假情况。从原始的、未受病毒感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是热启动，因为某些病毒通过截取键盘中断，会将自己仍然驻留在内存中。若要检测硬盘中的病毒，则启动系统软盘的DOS版本应该等于或高于硬盘内DOS系统的版本号。检测磁盘中的病毒可分为检测引导区型病毒和检测文件型病毒。这两种检测从原理上来说基本上是一样的，但由于各自的存储方式不同，检测方法是有差别的。主要的病毒检测方法有以下四种：3.2.1 比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单进行比较，或用程序来进行比较。这时不需要专用的查病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。此外，比较法还可以发现一些不能被现有的查病毒程序发现的计算机病毒。病毒传播速度很快，新病毒层出不穷。目前没有，今后也不可能有通用的能查出一切病毒的查毒程序，因此，比较法是一种发现新病毒的重要方法。当然，若比较法与其他方法结合使用效果会更好。使用比较法可以发现异常情况，比如，文件长度的变化，或文件内的程序代码的变化等。对硬盘主引导区或对DOS的引导扇区进行检测，通过比较法能发现其中的程序代码是否发生了变化。由于要进行比较，保留好原始备份是非常重要的。制作备份时必须在无病毒的环境里进行，制作好的备份必须妥善保管。比较法的优点是：简单、方便和不需专用软件。缺点是：无法确认病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是否真的有病毒。3.2.2 搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，则表明发现了该字符串所代表的病毒。搜索法所用的软件叫病毒扫描软件，它由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。国内常见的病毒扫描程序有我国公安部发行的SCANEXE和美国McAfeeAssociates的SCANEXE。病毒扫描程序能够识别多少计算机病毒，完全取决于病毒代码库内所含病毒的种类。库中病毒代码种类越多，扫描程序能辨认出的病毒也就越多。病毒代码串的选择非常重要。病毒代码长度可以从短的100多个字节到长的超过10KB。如果随意从病毒体内选一段代码作为代表该病毒的特征代码串，那么可能在不同的环境中，该特征串并不真正具有代表性。所以，病毒代码库的特征串是不能随意选择的。3.2.3 特征字识别法计算机病毒的特征字识别法是基于特征串扫描法发展起来的一种新方法。它的工作速度更快、误报警更少。特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。由于需要处理的字节很少，且又不必进行串匹配，因此，大大加快了识别速度。当被处理的程序很大时，特征字识别法的速度优势更突出。基于特征串扫描法的查病毒软件与基于特征字识别法的查病毒软件的使用方法是一样的。只要运行查毒程序，就能将已知的病毒检查出来。将这两种方法应用到实际中，还需要不断地对病毒库进行扩充，一旦捕捉到新病毒，经过提取特征并加入到病毒库，就能使查病毒程序多检查出一种新病毒来。使用查毒软件的人，不需要了解太多的病毒知识。但病毒代码库的维护更新人员，却需要具备相当多的关于病毒和操作系统等方面的知识。3.2.4 分析法这是一种主要由反病毒技术人员使用的方法，普通用户不必使用。分析法的目的在于：（l）确认被检测的磁盘引导区和程序中是否真的含有病毒；（2）如果有病毒，则需要确认病毒的类型、种类以及是否是新病毒；（3）如果是新病毒，则要搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒代码库供病毒扫描和识别程序用；（4）详细分析病毒代码，为制定相应的反病毒措施制定方案。使用分析法，要求使用者具有比较全面的有关PC机、DOS结构和功能调用以及关于病毒方面的各种知识。同时，使用分析法，还需要DEBUG，PROVIEW对等分析用工具程序和专用的试验用计算机。因为，即使是很熟练的反病毒技术人员，使用性能完善的分析软件，也不能保证在短时间内将病毒代码完全分析清楚。而病毒有可能在被分析阶段继续传染、发作，甚至把磁盘内的数据完全毁坏掉，这就要求分析工作必须在专用计算机上进行。病毒检测的分析法是反病毒工作中不可缺少的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒的详尽而认真的分析。常用的病毒检查软件可以分为以下几类：病毒扫描软件。这类软件找到病毒的主要办法之一就是寻找病毒特征。这些病毒特征能唯一地识别某种类型的病毒。扫描软件能在程序中寻找出病毒特征。判别病毒扫描软件好坏的一个重要指标就是“误诊”率。如果“误诊”率太高，就会带来不必要的虚惊。扫描软件必须随时更新，因为新的病毒在不断涌现，而且有些病毒还具有变异性和多态性。完整性检查软件。此类软件可以用来监视文件的改变。当病毒破坏了用户的文件，这种软件就可以帮助用户发现病毒。但这种软件的缺点是只有在病毒产生了破坏作用之后，才可能发现病毒。因此，用户的信息系统或网络可能在完整性检查软件开始检测之前就已经感染上了病毒。完整性检查软件的“误诊”率相对较高，比如，由于软件的正常升级或程序设置的改变等原因都可以导致“误诊”。由于完整性检查软件主要检查文件的改变，所以它们更适合于对付多态和变异病毒。行为封锁软件。此类软件有别于在文件中寻找或观察文件被改变的软件，它们试图在病毒开始工作时就阻止病毒。在异常事件发生前，行为封锁软件就可能会检测到异常情况，并警告用户。当然，有时的“可疑行为”实际上是完全正常的，所以“误诊”总是难免的。比如，一个文件调用另一个可执行文件就可能是存在伴随型病毒的征兆，但也可能是某个软件包要求的一种操作。3.3 常见的病毒前缀的解释（针对用得最多的Windows操作系统）1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。4、脚本病毒脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、 Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97 以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。6、后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。7、病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。8破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。9玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。10捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ （Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，有时候还会看到一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者服务器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。第四章 病毒案例分析4.1熊猫烧香病毒“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。4.1.1病毒特征1:拷贝文件病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe。2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe。3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword。并使用的键盘映射的方法关闭安全软件IceSword。添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe并中止系统中以下的进程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享。c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享。d:每隔6秒删除安全软件在注册表中的键值并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue - 0x00删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvce:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:删除文件病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。4.1.2病毒详细行为复制自身到系统目录下： %System%driversspoclsv.exe；创建启动项：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvcshare=%System%driversspoclsv.exe；在各分区根目录生成病毒副本：X:setup.exe、X:autorun.inf；使用net share命令关闭管理共享：cmd.exe /c net share X$ /del /ycmd.exe /c net share admin$ /del /y修改“显示所有文件和文件夹”设置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=dword:00000000病毒尝试关闭安