第九章计算机病毒概论

1、第九章 计算机病毒概论(giln)共八十九页主要(zhyo)内容什么是计算机病毒病毒的生命周期病毒发展简史病毒的不良特征及危害病毒的分类(fn li)病毒的命名原则计算机病毒研究准则共八十九页9.1 什么(shn me)是计算机病毒1. 广义定义泛指所有的恶意软件，即Malware。Malware是由两个英文单词融合而成，分别是Malicious（怀恶意( y)的, 恶毒的）和Software（软件）其他表述：恶意软件是运行在计算机上的一段代码，这些代码可以使计算机系统做一些攻击者想让它做的行为。恶意软件指所有设计用来对单台计算机、服务器或计算机网络造成危害的软件。共八十九页 目前，国外关于计

2、算机病毒（Computer viruses，简称病毒）最流行的定义：计算机病毒是一段附着在其它程序上的可以实现自我繁殖的程序代码。 在中华人民共和国计算机信息系统安全保护条例中，关于计算机病毒的定义是：计算机病毒是指编制或者在计算机程序中插入(ch r)的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 共八十九页2. 狭义定义指恶意软件中的一种文件感染型病毒。这类恶意软件与其他(qt)的恶意软件的不同之处在于会感染其他(qt)可执行文件。共八十九页9.2 病毒(bngd)的生命周期计算机病毒的产生过程可分为程序设计传播潜伏触发运行(ynxng)实行攻击。

3、计算机病毒拥有一个完整的生命周期，从产生到彻底根除，病毒生命周期包括：（1） 开发期 （2） 传播期（3） 潜伏期 （4） 发作期（5） 发现期 （6） 消化期（7） 消亡期 共八十九页（1） 开发期制造病毒，通常计算机病毒是一些误人歧途的、试图传播计算机病毒和破坏计算机的个人或组织制造的。 （2） 传播期在一个病毒制造出来(ch li)后，病毒的编写者将其拷贝并确认其已被传播出去。（3） 潜伏期 病毒是自然地复制的。一个设计良好的病毒可以在它活化前长时期里被复制。这就给了它充裕的传播时间。这时病毒的危害在于暗中占据存储空间。 共八十九页（4） 发作期 带有破坏机制的病毒会在遇至某一特定条件时

4、发作，一旦遇上某种条件病毒就被活化(huhu)了。没有感染程序的病毒属于没有活化(huhu)，这时病毒的危害在于暗中占据存储空间。（5） 发现期 当一个病毒被检测到并被隔离出来后，它被送到计算机安全协会或反病毒厂家，在那里病毒被通报和描述给反病毒研究工作者。通常发现病毒是在病毒成为计算机社会的灾难之前完成的。共八十九页（6） 消化期在这一阶段，反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。这段时间的长短取决于开发人员的素质和病毒的类型。（7） 消亡期若是所有用户安装了最新版的杀毒软件，那么任何已知病毒都将被扫除。这样没有什么病毒可以广泛地传播，但有一些(yxi)病毒在消失之前有一个

5、很长的消亡期。共八十九页计算机病毒的起源(qyun)科学幻想起源(qyun)说 恶作剧起源说 游戏程序起源说 软件商保护软件起源说 归纳起来，计算机系统、Internet的脆弱性是产生计算机病毒的根本技术原因之一，计算机科学技术的不断进步，个人计算机的快速普及应用是产生计算机病毒的加速器。 共八十九页111961年，美国的三个程序员通过编写小程序破坏对方、复制自身等来获取游戏胜利；这是计算机病毒“雏形”1971年，世界上第一个病毒CREEPER（爬行者）出现；不久一个名为Reaper（收割机）的程序出现，这是病毒史上的第一个专杀工具“计算机病毒”这一概念是1977年由美国著名科普作家(zuji

6、)“雷恩”在一部科幻小说P1的青春中提出1983年 美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性1989年 全世界的计算机病毒攻击十分猖獗，其中米开朗基罗病毒给许多计算机用户造成极大损失。 9.3 病毒(bngd)发展简史 共八十九页12计算机病毒历史(lsh)1989年 全世界的计算机病毒攻击十分猖獗，其中米开朗基罗病毒给许多计算机用户造成极大损失。 1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战1992年 出现针对(zhndu)杀毒软件的幽灵病毒，如One-half。 1996年 首次出现针对微软公司Office的宏病毒。 1997年 被公认为计算机反病毒界的“

7、宏病毒”年。 1998年 出现针对Windows95/98系统的病毒，如CIH（1998年被公认为计算机反病毒界的CIH病毒年）。 1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 共八十九页13重大(zhngd)计算机病毒事件1988年11月2日， Internet前身Arpanet网络遭到蠕虫的攻击，导致瘫痪，其始作俑者为康奈尔大学计算机科学系研究生罗伯特莫里斯 1998年 出现的CIH病毒是一个全新的新型(xnxng)病毒。这种病毒与DOS下的传统病毒有很大不同，它使用面向Windows的VXD技术编制。该病毒是第一个直

8、接攻击，导致硬件不能正常工作的计算机病毒。它主要感染Windows95/98的可执行程序，发作时破坏计算机Flash BIOS芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。 共八十九页14重大(zhngd)计算机病毒事件1999年4月 出现的梅丽莎病毒，是第一个通过电子邮件传播(chunb)的病毒，短短24小时之内就使美国数万台服务器、数十万台工作站瘫痪，造成损失高达10亿美元。 共八十九页15重大(zhngd)计算机病毒事件2003年，冲击波病毒利用(lyng)Windows操作系统的RPC漏洞大量传播，导致上百万台计算机被迫重启，损失不计其数。在其之后的震荡波病毒，同样应用了类似的

9、漏洞，这使中国广大的计算机使用者，第一次面对“漏洞”这个名词的时候，不得不同时面对巨大的损失。共八十九页16重大(zhngd)计算机病毒事件 2007年所有人几乎“谈熊猫色变”，熊猫烧香(sho xing)在短短几个月时间里感染了几百万台电脑，。该病毒不仅感染可执行文件，还会感染网页文件，并通过局域网、U盘等渠道传播，而且该病毒还对主流杀毒软件进行攻击，并删除gho后缀名的文件，使中毒的计算机无法恢复。 2007年2月12日抓获病毒作者李俊（男，25岁，武汉新洲区人），他编写的“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万

10、余元共八十九页 计算机病毒伴随计算机、网络信息技术的快速发展而日趋复杂多变，其破坏性和传播能力也不断增强。计算机病毒发展主要经历了五个重要的阶段。（1）原始病毒(bngd)阶段（第一阶段）（2）混合型病毒阶段（第二阶段）（3）多态性病毒阶段（第三阶段）（4）网络病毒阶段（第四阶段）（5）主动攻击型病毒阶段（第五阶段） 总结(zngji)：共八十九页（1）原始病毒阶段（第一阶段）特点：攻击目标和破坏性比较单一，主要通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染，病毒程序不具有自我保护功能，较容易被人们(rn men)分析、识别和清除。共八十九页（2）混合型病毒阶段（

11、第二阶段）特点：攻击目标趋于混合，以更隐蔽的方法驻留在内存(ni cn)和传染目标中，系统感染病毒后没有明显的特征，病毒程序具有自我保护功能，出现众多病毒的变种。共八十九页（3）多态性病毒阶段（第三阶段）特点：每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的；防病毒软件查杀困难(kn nn)；病毒技术开始向多维化方向发展。共八十九页（4）网络病毒(bngd)阶段（第四阶段）随着互联网的广泛发展，依赖互联网传播的邮件病毒和宏病毒等大肆泛滥，呈现出病毒传播快、隐蔽性强、破坏性大的特点。反病毒产业开始产生并逐步形成了规模较大的新兴产业。共八十九页（5）主动攻击型病毒阶段（第五阶段）各种病毒具

12、有主动攻击性，利用操作(cozu)系统的漏洞进行攻击性的传播扩散，并不需要任何物理媒介或操作(cozu)，用户只要接入互联网络就可能被感染，病毒对网络系统软硬件和重要信息的危害性更大。共八十九页9.4 病毒的不良特征(tzhng)及危害传播性隐蔽性感染性潜伏性可激发性表现性破坏性一般至少有两个或两个以上的不良(bling)特征共八十九页传播性病毒一般会自动利用各种方式传播常见传播方式：邮件、即时通信软件、局域网共享文件夹、软件漏洞传播、移动存储器等传播性是蠕虫病毒的典型(dinxng)特征之一共八十九页隐蔽性一般具有隐藏或系统属性，并隐藏在某个用户不常去的系统文件夹中部分病毒使用和系统进程相同

13、或相似的名称部分病毒使用“无进程”技术(jsh)或插入到某个系统的关键进程，在任务管理器中找不到单独的运行进程利用社会工程学的伪装技术隐蔽性是木马病毒的典型特征之一共八十九页感染性通过感染达到自我复制，保护(boh)自己的目的感染性是感染性病毒的典型特征之一潜伏性具有一定的“潜伏期”，能在特定的日子爆发如黑色星期五、CIH病毒共八十九页可激发性根据作者的“需求”，设置触发病毒攻击的“扳机”表现性运行后，会有一定的表现特征具有明显表现特征的病毒日趋减少(jinsho)破坏性具有明显破坏性的病毒比例也呈下降趋势共八十九页计算机病毒危害窃取敏感信息破坏文件或数据占用系统资源占用系统网络资源破坏操作系

14、统等软件或计算机主板等硬件(yn jin)其他错误及不可预知的危害共八十九页计算机病毒发作前的表现（1） 平时运行正常的计算机突然经常性无缘无故地死机（2） 操作系统无法正常启动（3） 运行速度明显变慢（4） 正常运行的软件经常发生内存不足问题(wnt)（5） 打印和通讯出现异常（6） 无意中要求对U盘进行写操作共八十九页（7） 以往正常运行的应用程序经常发生死机或者非法错误 （8） 系统文件的时间、日期、大小发生变化（9） 无法另存为一个Word文档（10） 磁盘空间迅速(xn s)减少（11） 网络驱动器卷或共享目录无法调用。（12） 基本内存发生变化。（13） 陌生人发来的电子邮件（14

15、）自动链接到一些陌生的网站共八十九页计算机病毒发作时的现象（1）提示不相关对话（2）发出音乐（3）产生特定的图象（4）硬盘灯不断闪烁（5）进行游戏算法(sun f)（6）Windows桌面图标发生变化（7）突然死机或重启（8）自动发送电子邮件（9）鼠标自己在动共八十九页计算机病毒发作后的表现（1） 硬盘无法启动，数据丢失（2） 系统文件丢失或被破坏（3） 文件目录发生混乱（4） 部分文档丢失或被破坏（5） 部分文档自动加密码（6） 修改Autoexec.bat文件(wnjin)，导致计算机重新启动时格式化硬盘 （7） 使部分可软件升级主板的BIOS程序混乱，主板被破坏（8） 网络瘫痪，无法提供

16、正常的服务 共八十九页计算机病毒的传播(chunb)途径计算机病毒的传染性是计算机病毒最基本的特性，病毒的传染性是病毒赖以生存繁殖的条件，如果计算机病毒没有传播渠道，则其破坏性小，扩散面窄，难以造成大面积流行。计算机病毒必须要“搭载”到计算机上才能感染(gnrn)系统，通常它们是附加在某个文件上。共八十九页计算机病毒的传播主要(zhyo)通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传输媒介，文件执行则是病毒感染的必然途径（Word、Excel等宏病毒通过Word、Excel调用间接地执行），因此，病毒传播与文件传播媒体的变化有着直接关系。 共八十九页计算机病毒的主要传播途

17、径有： 1、软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒； 另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生(jshng)的“温床”。共八十九页2、光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障

18、避免病毒的传入、传染(chunrn)、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。共八十九页3、u盘、移动硬盘 ：携带方便，为了方便计算机相互之间传递文件，经常使用u盘、移动硬盘 ，就将一台计算机的病毒传播到另一台。4、网络传播：信息技术的进步为计算机病毒的传播提供了新的“高速公路(o s n l)”。计算机病毒附着在正常文件中通过网络进入一个又一个系统，成为病毒传播的第一途径。同时，还有新兴的点对点通信系统和无线通道传播，而且这种传播途径已经呈现愈演愈烈的态势。 共八十九页5、下载传播：在计算机日益普及(pj)的今天人们通过计算机网络相互传递文件，信件，这样使病毒传播速度加

19、快，因为资源的共享，人们经常网上下载免费共享软件，很多下载的资源中都会夹带木马、后门、蠕虫、病毒、插件，进而危害更多的计算机。 共八十九页9.5 病毒(bngd)的分类根据感染平台分类(fn li)感染DOS系统的病毒感染Windows系统的病毒感染Unix/Linux系统的病毒感染其他操作系统的病毒跨平台病毒共八十九页根据宿主或感染对象分类 引导区型病毒(bngd) 引导区型病毒(bngd)主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的“主引导记录”。 文件型病毒 文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS

20、等类型的文件。 共八十九页 混合型病毒 混合型病毒具有引导区型病毒和文件(wnjin)型病毒两者的特点。多型病毒（文件(wnjin)和引导型）感染文件(wnjin)和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。 宏病毒 宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。 共八十九页根据(gnj)文件类型分类可执行文件文本文件其他形式的文件共八十九页根据恶意行为分类木马特点是伪装成正常的程序或文件蠕虫一种会自我传播的病毒后门程序一类绕过一般(ybn)的认证体系对计算机进行控制的程序文

21、件感染性病毒最大的特点是感染其他正常文件共八十九页按照计算机病毒的破坏能力分类无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险(wixin)型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。共八十九页非常危险型：这类病毒(bngd)删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒(bngd)对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒(bngd)引起其它的程序产生的错误也会破坏文件和扇区，这些病毒(bngd)也按照他们引起的破坏能力划分。共

22、八十九页以病毒的攻击机型分类(fn li)攻击微型计算机的病毒攻击小型机的计算机病毒攻击服务器的计算机病毒按照传播媒介不同分类单机病毒网络病毒共八十九页按照病毒激活的时间分类定时病毒仅在某一特定的时间才发作随机(su j)病毒一般不是由时钟来激活共八十九页恶意( y)病毒“四大家族” 一、宏病毒由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场，加上Windows和Office提供了宏病毒编制和运行所必需的库（以 VB库为主）支持和传播机会，所以宏病毒是最容易(rngy)编制和流传的病毒之一，很有代表性。 共八十九页宏病毒发作方式: 在Word打开病毒文档时，宏会

23、接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果(ji gu)是某些Word版本会强迫你将感染的文档储存在模板中。共八十九页判断是否被感染: 宏病毒一般在发作的时候没有特别的迹象，通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上，会出现不能打印文件、Office文档无法保存或另存为等情况(qngkung)。宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。共八十九页二、CIH病毒CIH是本世纪最著名和最有破坏力的病毒之一，它

24、是第一个能破坏硬件的病毒。发作破坏方式(fngsh):主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。共八十九页三、蠕虫病毒蠕虫病毒以尽量多复制自身（像虫子(chng zi)一样大量繁殖）而得名，多感染电脑和占用系统、网络资源，造成PC和服务器负荷过重而死机，并以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数

25、据让你发现，比如著名的爱虫病毒和尼姆达病毒。共八十九页四、木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。传染方式:通过电子邮件附件发出;捆绑在其他的程序中。病毒特性:会修改注册表、驻留内存、在系统中安装(nzhung)后门程序、开机加载附带的木马。共八十九页木马病毒的破坏性:木马病毒的发作要在用户的机器(j q)里运行服务端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。共八十九页文件类型如Win3

26、2、W32、Win16、BAT、JS等病毒类型如WORM、TROJAN、BACKDOOR等病毒（家族）名如NETSKY、VIKING、CIH等病毒变种名一般以顺序排列的字母(zm)后缀或数字组成55一般来说病毒(bngd)名称至少包含以下内容中的一至多项：9.6 病毒的命名原则共八十九页趋势科技对于病毒(bngd)的命名56病毒名称前缀病毒类型TROJ木马WORM蠕虫PE文件感染型ADW广告组件TSPY间谍木马JS脚本VBSVB脚本PACKER加壳文件BKDR后门程序JOKE玩笑程序EXPL利用漏洞攻击共八十九页趋势科技对于病毒(bngd)命名的规则形式：57病毒类型病毒（家族）名病毒变种名+

27、例：TSPY_ONLINEG.QIDBKDR_HUPIGON.WKZ共八十九页TSPY_ONLINEG.QIDTSPY木马间谍软件的缩写ONLINEG网络游戏的缩写QID变种(binzhng)名称BKDR_HUIPIGON.WKZBKDR后门程序HUIPIGON灰鸽子的缩写WKZWKZ变种共八十九页9.7 计算机病毒研究(ynji)准则研究病毒必须的设备一台个人计算机或工作平台，有网络地址并提供电子邮箱及网络接入功能（网络系统）一个独立的不连接、并且不会因疏忽而能连接网络系统的计算机系统（隔离(gl)的独立系统）一个已经建立的隔离的并且不会因疏忽而能连接外部网络系统的网络环境（病毒实验室系统）

28、共八十九页有关(yugun)安全条例与管理办法中华人民共和国计算机信息系统安全保护条例计算机病毒防治管理办法共八十九页9.8 磁盘(c pn)引导区结构磁盘一种磁介质的外部存储设备在其盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔(jin g)的若干同心圆被划分成磁道(Track)，每个磁道又被划分为若干个扇区(Sector)，数据就按扇区存放在硬盘上。共八十九页磁盘(c pn)引导区记录着磁盘的一些最基本的信息，磁盘的第一个扇区被保留为主引导扇区，它位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition

29、 Table)以及磁盘的有效标志。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。共八十九页主引导扇区512字节MBR占446个字节(偏移0偏移1BDH)DPT占64个字节(偏移1BEH 偏移 1FDH)最后两个字节“55AA”(偏移1FEH偏移1FFH)是硬盘有效(yuxio)标志。共八十九页以下表格注明了标准(biozhn)的主引导扇区的结构： 共八十九页分区表DPT(Disk Partition Table)，总共64个字节，每个分区占16个字节，可以表示(biosh)四个分区，所以说一个磁

30、盘的主分区和扩展分区之和总共只能有四个。共八十九页以下表格(biog)表明了分区的具体含义：共八十九页主引导区记录被破坏(phui)后，往往会出现“Non-System disk or disk error,replace disk and press a key to reboot”(非系统盘或盘出错)、“Error Loading Operating System”(装入 DOS引导记录错误)“No ROM Basic,System Halted”(不能进入ROM Basic，系统停止响应)等提示信息。在较为严重的情况下，则不会出现任何信息。共八十九页主引导记录或者引导扇区都有可能被感染。

31、当感染后，正常的主引导记录或引导扇区的代码被病毒代码替换，电脑启动时首先运行的是病毒代码，正常情况下，病毒代码会一直驻留在内存中等待(dngdi)感染时机。引导病毒感染硬盘后，一般会把原来的主引导记录保存在硬盘上的其他扇区中，若代码超过一个扇区大小，则会分布在几个扇区中。比较完善的引导型病毒会将自己放置在比较安全的地方。共八十九页9.9 病毒(bngd)特性根据对计算机病毒的产生、传播和破坏行为的分析，可以将计算机病毒概括为以下6 个主要(zhyo)特点。 1. 取得系统控制权 2. 自我复制能力 3. 隐蔽性 4. 破坏性 5. 潜伏性 6. 不可预见性 共八十九页9.10 传播(chunb

32、)技术计算机病毒的传播方式用户在进行复制磁盘或文件时，把病毒由一个(y )载体复制到另一个(y )载体上，或者通过网络把一个(y )病毒程序从一方传递到另一方，这种传播方式叫做计算机病毒的被动传播。 计算机病毒以计算机系统的运行以及病毒程序处于激活状态为先决条件，在病毒处于激活状态下，只要传播条件满足，病毒程序能主动把病毒自身传播给另一个载体或另一个系统，这种传播方式叫做计算机病毒的主动传播。 共八十九页计算机病毒的传播(chunb)途径：通过不可移动的计算机硬件设备进行传播，即利用专用ASIC 芯片和硬盘进行传播；通过移动存储设备来传播，其中U盘和移动硬盘是使用最广泛、移动最频繁的存储介质；

33、通过计算机网络进行传播；通过点对点通信系统和无线通道传播。共八十九页 计算机病毒的传播(chunb)过程对于计算机病毒的被动传播而言，其传播过程是随着复制磁盘或文件工作的进行而进行的；对于计算机病毒的主动传播而言，其传播过程是在系统运行时，病毒通过病毒载体，即系统的外存储器进入系统的内存储器，然后常驻内存，并在系统内存中监视系统的运行。共八十九页 9.11 计算机病毒的触发(chf)机制病毒(bngd)的基本特性感染、潜伏、可触发、破坏。感染使病毒得以传播，破坏性体现了病毒的杀伤能力。感染和破坏行为总是使系统或多或少地出现异常，频繁的感染和破坏会使病毒暴露，而不破坏、不感染又会使病毒失去杀伤力

34、。 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。共八十九页触发条件计算机病毒在传染和发作(fzu)之前，往往哦判断某些特定条件是否满足，满足则传染或发作(fzu)，否则不传染或不发作(fzu)，这个条件即为病毒的触发条件。共八十九页目前病毒采用的触发条件主要有以下几种。 （1） 时间触发 （2） 键盘触发 （3） 感染触发 （4） 启动触发 （5） 访问(fngwn)磁盘次数触发 （6） 调用中断功能触发 （7） CPU 型号/主板型号触发 共八十九页9.12 计算机病毒的检测(jin c) 1特征代码法 2校验和法 3行为(xngwi)监测

35、法 4分析法 共八十九页1特征代码法步骤如下：采集已知病毒样本，在病毒样本中，抽取特征代码。在唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。 将特征代码纳入病毒数据库。打开(d ki)被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。采用病毒特征代码法的检测工具，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。共八十九页2. 校验和法 对正常文件的内容计算其校验和，将该校验和写入文件中保存。在使用文件的过程中，定期(dngq)地或每次使用文件前，检查文件现在的内容并

36、算出校验和与原来保存的校验和是否一致，可以发现文件是否被感染。共八十九页3行为监测法利用(lyng)病毒的特有行为的特征性检测病毒的方法，称为行为检测法。通过对病毒多年的观察、研究，有一些特殊行为是病毒的共同行为。共八十九页4分析法 利用相关的专业知识，通过详细分析病毒文件代码，掌握确切的病毒特征和信息，并从中提取特征码。静态分析法指利用反汇编程序将病毒代码反汇编后，对程序清单进行分析，从而查看病毒文件的构成，各个模块的作用，使用了哪些系统调用等。动态分析法使用程序调试工具在内存(ni cn)带毒的情况下对病毒进行动态跟踪，观察病毒的具体工作过程。共八十九页反病毒技术(jsh)的相关概念活动检测(jin c)不能直接检查文件或代码来发现病毒，而是关注计算机系统中所发生的事件。实时扫描扫描程序会检查文件中已知的恶意代码，该动作在背景中发生，不需要用户的参与。只局限于检查已知的恶意代码签名，无法检测到未知的恶意代码。共八十九页完整性检查也称为修改检查，一种可以查找文件是否被病毒(bngd)行为修改的扫描技术。内容扫描通过检查电子邮件信件和附件来查找某些特定的语句和词语、文件扩展名和病毒签名。内容顾虑的效力是由扫描程序设定的规则决定的。必须在规则中进行明确