第9章 计算机病毒原理及防治

第9章计算机病毒原理及防治

9.1.1计算机病毒的定义

“计算机病毒是指编制或者在计算机程序中

破坏计算机功能或者毁坏数据，影响计算机使

用，并能自我复制的一组计算机指令或者程序

代码”。计算机病毒与我们平时使用的各种软

件程序没有什么区别，只不过病毒程序是专门

用来搞破坏的，病毒程序是一种恶意程序。

1

我国计算机用户病毒感染情况

2009年被调查对象发生网络安全事件

的比例为43%,比2008年下降了20%；感

染计算机病毒的比例为70.5%,比2008年

降低了15%。

两项比例均为调查活动开展九年来最

低。

2

近几年新增病毒数量对比示意图

1400000

1200000

1000000

800000

600000

400000

200000

0

2005200420052007

3

2009年上半年各类病毒统计比例

病毒类型所占比例

后门漏嘤毒脚本病毒

8%

广告程序।r2%

1%3

寄生虫病毒

1%

Window砺毒/

1■1■（■江W民-科技

4

42009年4月间十大病毒排名

1.“U盘寄生虫”6.“苍蝇贼”变种g

2.“江湖”变种ei7.“比福洛斯”变种

3.“赛门斯”变种leb

4.“U盘寄生虫”变种8.“炸萨”变种b

bdh9.“苍蝇贼”变种f

5.“代理木马”变种bwp10.“魔兽”变种awe

5

2009年十大病毒排名

1.IE主页篡改器6.gameime盗号

2.KIDO7.伪文件夹病毒

3.cfg等盗号器8.猫癣下载器

4.第三方浏览器锁9.机器狗变种

5.宝马下载器10.Delphi梦魇

6

2009年病毒特点

2009年，金山毒霸共截获新增病毒和

木马20684223个，与5年前新增病毒数量

相比，增长了近400倍。在新增病毒中，

木马仍然排列首位，占所有病毒总量的

73.6%O黑客后门和风险程序紧随其后，

这三类病毒构成了黑色产业链的重要部分。

7

9.1.2计算机病毒的特征

①破坏性

病毒侵入后，轻者降低计算机性能和占

用系统资源，重者破坏数据，导致系统崩

溃。有些病毒为良性病毒；有些则为恶性

病毒，它有明确的破坏目的，如破坏数据,

删除文件、格式化磁盘等；

8

计算机病毒的特征

②隐蔽性

病毒程序一般都设计得非常小巧，当

它附带在文件中，隐藏在磁盘上或在传播

过程中时，不易被人觉察；

9

计算机病毒的特征

③传染性

病毒能通过自身复制来感染正常文件，

达到破坏计算机正常运行的目的。但传染

是有条件的，也就是病毒程序必须被执行

之后它才具有传染性，才能感染其它文件。

病毒一旦进入计算机系统中就会开始寻找

感染其它文件。

10

计算机病毒的特征

④潜伏性

一般病毒进入计算机系统后往往并不是

立即发作，而有一个“冬眠”期，并隐

藏在系统中进行传播、繁殖，当满足特

定条件时才会激活。

11

计算机病毒的特征

⑤可触发性

病毒如果没有被激活，会像其他没被执

行的程序一样，没有杀伤力，不会对系统产

生破坏。特定的触发条件一般是病毒制造者

事先设定的，它可能是某个具体的时间、日

期、文件类型或某些特定的数据等。

12

计算机病毒的特征

D不可预见性

病毒种类多种多样，病毒代码千差万别,

而且新的病毒制作技术也不断涌现，因此，

对于已知病毒可以检测、查杀，但对一些新

病毒却没有未卜先知的能力，尽管新病毒有

某些病毒的共性，但是它采用的手段和技术

将更加复杂，更不可预见。

13

9.1.3计算机病毒的产生原因

♦软件产品的脆弱性是产生计算机病毒根本

的技术原因。计算机软件由“编程语言”

编写而成，而“编程语言”最大优点就是

可创造性和可修改性。正是由于其可创造

性和可修改性使软件产品变得异常脆弱，

这是导致病毒泛滥的根本原因。

15

操作系统漏洞统计

-------------------------------------------------------------------■1997.1998199912000

NumberofOSVulnerabilitiesbyYearOSVulnerabilities

OS1997199819992000vulns

AIX2038106

BSD(aggr.)882526

BSD/OS6540

BeOS0005

Caldera2213116o

Connectiva00011

Debian223020

4o

FreeBSD421719I

HP-UX85812

IRIX28139122o

Linux(aggr.)11239282

MacOS0150o

MacOSXServer00102ssEBUo2S」*QaO胃xWsxO

-x6oo」x_x6O*-SJnnO

>EsnEScEn

Mandrake0022<-a3BH

16-g—±6U」」SSpnOsuO

EQmPqBdBEBPBAUN

NetBSD141014)s-t3iH)SSMB£OSA

aGuaaUNBduoziL

Netware0043QXXBNqN

Su3s工osj

OpenBSD12478oltCnS

u3olEM

RedHat5104140uSO

wMP

SCOUnix1392OS

PM

Slackware48105E

Solaris2431349M

SuSE002215

TurboLinux00216

16

操作系统漏洞增长趋势

NewVulnerabilitiesperMonth

100+

50-

0

一ZmqS9Z00(T>O—Z»-Zm469186。-7—701寸69186

OooOoOOOOOOOl——00。。0。。00———OOOOOOOOO

IlllllllllllllllilllllJIIJililll

000Q8800D08008800Q0666666666660VO。。。。。。。。

6666666666666666666666。。。OOOOOO

6OG166666666666666666660OOOOOOOO

—lzzrxizr\jzzzrxi

17

计算机病毒的产生原因

♦社会因素是产生计算机病毒的土壤。利用计算

机病毒进行破坏时具有瞬时性、动态性和随机

性，不易取证，风险小而破坏大，从而导致追

求个人利益的犯罪意识和犯罪活动，也是某些

人的好奇心、恶作剧、本能和报复心态在计算

机应用领域的表现。

18

计算机病毒的产生原因

♦另一方面计算机病毒也成为个人、甚至有

组织的机构出于政治、军事、经济等领域

上破坏对方计算机安全的首选工具，成为

信息战的一部分。

19

49.1.4计算机病毒的传播途径

(1)移动存储设备

包括软盘、硬盘、移动硬盘、磁带等。

硬盘是数据的主要存储介质，因此也是计算

机病毒感染的主要目标。

20

,计算机病毒的传播途径

(2)网络。覆盖面广、速度快。目前大多数新

式病毒都是通过网络传播的，破坏性很大。

-电子邮件：电子邮件已成为计算机病毒传播

的主要媒介，比例占所有计算机病毒传播媒

介的56%。几乎所有类型的计算机病毒都可

通过它来进行快速传播。

21

网络途径

■BBS：BBS上用户除了可以讨论问题外，还

能够进行各种文件的交换，加之BBS一般没

有严格的安全管理，使之成为计算机病毒传

播的场所。

22

网络途径

-FTP文件下载：FTP的含义是文件传输协议。

通过这一协议可以将文件放置到世界上任何

一台计算机上这一过程为上载，或者从这些

计算机中将文件复制到本地的计算机中，这

一过程就称为下载。

23

网络途径

-新闻组：通过这一服务，可以与任何人讨论

某个话题，或选择接收感兴趣的有关新闻邮

件。这些信息当中包含的附件就有可能使计

算机感染上计算机病毒。

24

9.1.5计算机病毒的分类

-按破坏程度强弱分类：良性病毒和恶性病

毒；

-按传染方式分类：文件型病毒、引导型病

毒和混合型病毒；

-按连接方式分类：源码型病毒、嵌入型病

毒、操作系统型病毒和外壳型病毒。

25

按破坏程度一良性病毒

只是为了表现自身，并不彻底破坏系统和

数据，但会占用大量CPU时间，增加系统开

销，降低系统工作效率的一类计算机病毒。

该类病毒多为恶作剧者的产物，他们的目的

不是为了破坏系统和数据，而是为了让使用

染有病毒的计算机用户通过显示器看到或体

会到病毒设计者的编程技术。

26

《按破坏程度一恶性病毒

一旦发作，会破坏系统或数据，造成计

算机系统瘫痪的一类病毒。该病毒危害极

大，有些病毒发作后可能给用户造成不可

挽回的损失。它们表现为封锁、干扰、中

断输入输出，删除数据、破坏系统，用户

无法正常使用，甚至使计算机系统瘫痪。

27

按传染方式分类

引导型病毒

主要通过感染软盘、硬盘上的引导扇区改

写磁盘分区表(FAT)来感染系统，在用户对

软盘、硬盘进行读写操作时进行感染活动。

引导型病毒是一种开机即可发作，破坏性大,

早期的计算机病毒大多数属于此类。

28

文件型病毒

主要是以感染COM、EXE、OVL等可执

行文件为主，被感染的可执行文件在执行的

同时，病毒被加载并向其他正常可执行文件

传染。病毒以这些可执行文件为载体，当运

行可执行文件时就可以激活病毒。文件型病

毒大多数也是常驻内存的。

29

宏病毒___________

寄生于文档或模板宏中，利用宏语言编写。

宏病毒充分利用宏命令的系统调用功能，实现

某些涉及系统底层操作的破坏。一旦打开带有

宏病毒文档，宏病毒就会被激活，转移到计算

机中，并驻留模板上。此后，所有自动保存的

文档都会“感染”上这种宏病毒。通常宏病毒

仅向WORD等文档传染。

30

蠕虫病毒

不采用自身拷贝附加到其他程序的方式复制

自己，即蠕虫病毒不需要将自身附着到宿主程

序上。蠕虫病毒主要通过网络传播，有极强的

自我复制能力、传播性和破坏性。同时蠕虫病

毒一般使用脚本语言编写，相对简单容易，也

使得更多的人参与病毒的制造，是目前威胁最

大的病毒。

31

特洛伊木马型病毒

木马型病毒实际上就是黑客程序。黑客程

序的破坏作用和前面几种类型的计算机病毒破

坏作用有着本质的不同。黑客程序一般不对计

算机系统进行直接破坏，而是通过网络任意控

制其他计算机，包括窃取国家、部门或个人宝

贵的秘密信息，占用其他计算机系统资源等现

象。

32

混合型病毒

兼有上述计算机病毒特点的病毒统称

为混合型病毒，它的破坏性更大，传染

的机会也更多，杀毒也更加困难。

33

网页病毒

一般使用脚本语言将有害代码直接写在

网页上，当浏览网页时会立即破坏本地计算

机系统，轻者修改或锁定主页，重者格式化

硬盘。

34

主要利用软件或系统操作平台等的安全

漏洞，通过执行嵌入在网页HTML超文本标

记语言内的JavaApplet小应用程序，

Javascript脚本语言程序,ActiveX软件部件

网络交互技术支持可自动执行的代码程序。

35

网页病毒危害

1.默认主页被修改；

2.默认首页被修改；

3.默认的微软主页被修改；

4.主页设置被屏蔽锁定，且设置选项无

效不可改回；

5.默认的IE搜索引擎被修改；

6.IE标题栏被添加非法信息

7.OE标题栏被添加非法信息；

36

网页病毒危害

8.鼠标右键菜单被添加非法网站广告链接；

9.鼠标右键弹出菜单功能被禁用失常；

10.IE收藏夹被强行添加非法网站的地址链接;

11.在IE工具栏非法添加按钮；

12.锁定地址下拉菜单及其添加文字信息；

13.IE菜单“查看”下的“源文件”被禁用；

14.

37

几个有影响的病毒

38

CIH病毒

1998年2月，台湾的一

个大学生陈盈豪，编写

了破坏性极大的恶性病

毒CIH-1.2版，并定于每

年的4月26日发作。1999

年4月26日，全球发作，

主要破坏主板BIOS。

39

cm的特点

-通过网络（软件下载）传播

■全球有超过6000万台的机器被感染

-第一个能够破坏计算机硬件的病毒

■全球直接经济损失超过10亿美元

40

“美丽莎”病毒

1999年2月，“美丽莎”病毒席卷了整个欧美大

陆。这是世界上最大的一次病毒浩劫，也是最大的

一次网络蠕虫大泛滥。

大卫・史密斯，美国新泽西

州工程师。病毒在16小时内

席卷全球互联网，至少造成

■一，10亿美元的损失！病毒通过

Email传播，传播规模50Ln

为传播的次数。

爱虫病毒

■菲律宾“AMA”电脑

大学计算机系的学生

-一个星期内传遍5大洲

■微软、Intel等在内的

大型企业网络系统瘫

痪

-全球经济损失达几十

亿美元

42

爱虫病毒的特点

■通过电子邮件传播，向地址网中所有用户发带

毒邮件；

■通过聊天通道IRC、VBS、网页传播；

■能删除计算机内的部分文件；

■制造大量新的电子邮件，使用户文件泄密、网

络负荷剧增；

■一年后出现的爱虫变种VBS/LoveLetter.CM会

在Windows目录下驻留一个染有CIH病毒的文

件，并将其激活。

43

尼姆达病毒

2001年9月18日出现的尼姆达病毒是最为凶

猛的恶意蠕虫病毒，给全球带来了不可估量的

经济损失。

病毒传播速度快、危害性强，而且自我繁殖能

力位居各大病毒之首；

有多种新变种相继粉墨登场，作恶不可谓不大。

利用unicode漏洞，与黑客技术相结合。

44

尼姆达病毒

■2001年9月18日，首先在美国出现，当天下午，有

超过130,000台服务器和个人电脑受到感染。

（北美洲）

■2001年9月18日晚，日本、香港、南韩、新加坡和

中国等都收到了受感染的报告。（亚洲D

■2001年9月19日，有超过150000个公司被感染，西

门子在其网络受到渗透后，被迫关掉了服务器。

（欧洲）

45

尼姆达的四种传播方式

——

A■文件感染

■

/

0胃

^

=I—■Email

>

杭M7U

//

X

斤^■WWW

Q

0

:

成?

■局域网

46

SirCam网络蠕虫

■首发于英国的恶性网络蠕虫病毒

■触发日期：10月16日

・当蠕虫执行8000次后，会停止执行。

■直接经济损失：11.5亿美元

47

SirCam病毒的行为

-蠕虫将染毒机器中产生的随机文档隐藏到自

身代码中；

■蠕虫将删除c盘上的所有文件及文件夹，仅

当系统日期格式为D/M/Y（日/月/年）；

■每次启动时蠕虫通过向c:\recycled\sircam.sys

文件添加文本使硬盘空间被充满。

48

求职信病毒

-“求职信”系列变种病毒利用微软系统的漏

洞，可以自动感染，无须打开附件，危害性

很大。

-其变种具有很强的隐蔽性，可以“随机应变”

地自动改换不同的邮件主题和内容，瓦解邮

件接收者的警惕性。

-邮件内部存放一部分发送信息，这些变种病

毒会伪造虚假信息，掩盖病毒的真实来源。

49

求职信病毒

・能够绕开一些流行杀毒软件的监控，甚至专

门针对一些杀毒软件进行攻击。

・利用局域网上的共享文件夹进行传染，其传

播特点类似“尼姆达”病毒。

-在网络上出现的一些“求职信”变种的专杀

工具，由于不能适用于所有变种，在杀除一

些变种时，会连病毒带文件一同删除，结果

造成杀病毒把电脑一起“杀死”。

50

“中国黑客”

2002年6月6日，“中国黑客”病毒出现，它发明

了全球首创的“三线程”技术。

主线程：往硬盘写入病毒文件或感染其它执行文

件。

分线程1：监视主线程并保证主线程的运行，一旦

主线程被清除，这个监视器就将主病毒体再次

调入。

分线程2：不断监视注册表的某个值，一旦被人工

或反病毒软件修改，立即重新写入这个值，保

证自己下次启动时获得控制权。

51

熊猫烧香病毒

簿

熊猫烧香的特点

感染型蠕虫病毒，能感染系统中exe,

com,pif,src,html,asp等文件，它还能

中止大量的反病毒软件进程并且会删除扩

展名为gho的文件，该文件是一系统备份

工具GHOST的备份文件，使用户的系统备

份文件丢失。

53

9.1.6计算机病毒的表现

1.平时运行正常的计算机突然经常性无缘无故

地死机。病毒感染计算机系统后，将自身驻留

在系统内，并修改中断处理程序等，引起系统

工作不稳定，造成死机现象的发生。

2.运行速度明显变慢。在硬件设备没有损坏或

更换的情况下，本来运行速度很快的计算机，

速度明显变慢。

54

2.运行速度明显变慢。在硬件设备没有损

坏或更换的情况下，本来运行速度很快

的计算机，速度明显变慢。

55

计算机病毒的表现

3.打印和通讯发生异常。在硬件没有更

改或损坏的情况下，以前工作正常的

打印机，发现无法进行打印操作，或

打印出来的是乱码。串口设备无法正

常工作。

56

计算机病毒的表现

4.系统文件的时间、日期、大小发生变化。

最明显的计算机病毒感染迹象。计算机

病毒感染应用程序文件后会将自身隐蔽

在原始文件的后面，文件大小大多会有

增加，文件的修改日期和时间也会被改

成感染的时间。

57

计算机病毒的表现

5.磁盘空间迅速减少。没有安装新的应用

程序，而系统可用的磁盘空间减少得很

快。这可能是计算机病毒不断复制文件

引起的。

58

计算机病毒的表现

6.收到陌生人发来的电子邮件。收到陌生人

发来的电子邮件，尤其是那些标题很具诱

惑力。

7.自动链接到一些陌生的网站。计算机会自

动拨号并连接到因特网上一个陌生的站点,

或者在上网时自动链接到某个陌生的网址,

这种链接大多是黑客程序引起的。

59

计算机病毒的表现

8.硬盘灯不断闪烁。当对硬盘有持续大

量的操作时，硬盘的灯就会不断闪烁。

如果你没用硬盘进行读写操作，而硬盘

灯突然闪烁不停，这多半是计算机发生

的“恶性”病毒。

60

计算机病毒的表现

9.计算机不识别硬盘。排除硬盘自身故

障外，多半是计算机病毒破坏了硬盘的

引导扇区后，病毒修改了硬盘文件分配

表、根目录区等。

61

计算机病毒的表现

10.操作系统无法正常启动。这可能是计算机

病毒破坏或删除了系统文件，引起操作系

统无法正常工作。通常情况下，系统文件

是不容易被删除或修改的。

62

计算机病毒的表现

11.部分文档丢失或被破坏。有些计算机病

毒在发作时会删除或破坏硬盘上的指定

文档，造成数据丢失。

63

9.1.7计算机病毒程序一般构成

病毒程序一般由三个基本模块组成：

1.安装模块；

2.传染模块；

3.破坏模块。

其中，安装模块、传染模块是必需，

破坏模块可以直接隐含在传染模块中，

也可单独构成一个模块。

64

计算机病毒程序一般构成

1.安装模块

由于用户不会主动运行一个病毒程序,

因此，病毒程序必须通过自身程序实现

自启动，并安装。不同类型的病毒程序

会使用不同的安装方法。

65

计算机病毒程序一般构成

2.传染模块，传染模块包括三部分。

■传染控制部分。病毒一般都有一个控制条件，一旦

满足这个条件就开始感染。例如，病毒先判断某个

文件是否是.EXE文件，如果是再进行传染，否则再

寻找下一个文件；

■传染判断部分。每个病毒程序都有一个标记，在传

染时将判断这个标记，如果磁盘或者文件已经被传

染就不再传染，否则就要传染；

■传染操作部分。在满足传染条件时进行传染操作。

66

计算机病毒程序一般构成

3.破坏模块

计算机病毒的最终目的是进行破坏，其破坏

的基本手段就是删除文件或数据。破坏模块包

括两部分：一是激发控制，当病毒满足某个条

件时发作；另一个是破坏操作，不同病毒有不

同的操作方法，不同病毒有不同的操作方法，

典型的恶性病毒是疯狂拷贝、删除文件等。

67

9.2网络病毒的预防

由于网络病毒通过网络传播，具有传播速度

快、传染范围大、破坏性强等特点，因此建立

网络系统病毒防护体系，采用有效的网络病毒

预防措施和技术显得尤为重要。

网络管理人员和操作人员要在思想上有防病

毒意识，以预防为主。防范病毒主要从管理措

施和技术措施两方面入手。

68

S9.3反计算机病毒技术

1.实时反病毒技术

实时反病毒是指对任何程序在调用之前先

被过滤一遍，一有病毒侵入，就报警，并自

动杀毒，将病毒拒之门外，做到防患于未然。

这和等病毒侵入后甚至破坏以后再去杀是不

一样的，其安全性更高。实时反病毒就是要

解决用户对病毒的“求知性”问题。

69

反计算机病毒技术

2.病毒防火墙

病毒防火墙是近几年颇为流行的信息安全

防火墙中延伸出的一种新概念，宗旨是对系

统实施实时监控，对流入、流出系统的数据

中可能含有的病毒代码进行过滤。

“病毒防火墙”有着明显的优越性，它对

病毒过滤有着良好的实时性。

70

反计算机病毒技术

3.VxD机制

VxD（虚拟设备驱动）是微软专门为Windows制

定的设备驱动程序接口规范，它类似于DOS的设

备驱动程序，用于管理系统所加载的各种设备。

反病毒软件利用VxD程序比其他类型应用程序有

更高的优先级，并更靠近系统底层资源，使其能

全面、彻底地控制系统资源，并在病毒入侵时及

时杀毒。但病毒然制造者也会利用这个机制制造

病毒，如CIH病毒。

71

反计算机病毒技术

4.虚拟机技术

虚拟机技术是国际反病毒领域的前沿技术。

这种技术更接近于人工分析，智能化极高，查毒

的准确性也极高，误报率可降到一个千分点以下,

至今仍有许多人在研究和完善它。

用程序代码虚拟CPU和CPU的各个寄存器，

甚至将硬件端口的变化来了解程序的执行情况,

这样的一个虚拟环境就是一个虚拟机。

72

反计算机病毒技术

5.主动内核技术

由于操作系统和网络协议等自身不完善性和

缺陷，使计算机病毒有机可乘。主动内核技术是

从操作系统内核这一深度，主动给操作系统和网

络系统打”补丁”，这些补丁将从安全的角度对

系统或网络系统进行管理和检查，对系统漏洞进

行修补，任何文件在进入系统之前，作为主动内

核的反病毒模块都将首先使用各种手段对文件进

行检测处理。

73

反计算机病毒技术

6.启发扫描的反病毒技术

这里的“启发”是指“自我发现能力”

或“运用某种方式或方法去判定事物的知

识和技能”。一个运用启发式扫描技术的

病毒检测软件，实际上就是用特定方式实

现对有关指令序列的反编译，逐步理解和

确定其蕴藏的真正真正动机。

74

反计算机病毒技术

7.邮件病毒防杀技术

采用智能邮件客户端代理监控Ismcp(Smart

MailClientProxy)技术，能对MIME/UUEncode

类型邮件的各个部分(如附件文件)进行病毒扫描,

清除病毒后能将无毒的邮件数据重新编码，传

送给邮件客户端，并且能够更改主题、添加查

毒报告附件；同时具有完善的网络监控功能，

它能在邮件到达邮件客户端之前就进行拦截，

让病毒无机可乘；具备垃圾邮件处理功能，自

动过滤垃圾邮件，有效避免网络堵塞。

75

9.4蠕虫病毒特征

蠕虫病毒是目前对计算机威胁最大的网络

病毒，由于蠕虫病毒制作相对简单，不必学

习汇编语言，使更多的人参与病毒制造，加

之通过网络传播，使得目前的蠕虫病毒泛滥

成灾。

76

电子邮件蠕虫病毒

W32.Cervivec.A@

mm是~个电子

邮件蠕虫病毒。

当病毒被激活后,

计算机屏幕上就

会显示很多像蠕

虫一样的彩条。

77

电子邮件病毒HappyNewYear

■•PF，■•・1099

78

941蠕虫病毒的特点

自我复制能力强、传播性强、潜伏性、特定

的触发性、破坏性大。与其它病毒不同，蠕虫

不需要将其自身附着到宿主程序上。这主要是

由于蠕虫病毒大都使用脚本语言编写，并利用

系统的开放性，特别是COM到COM+的组件编

程思路及ActiveX控件，使一个程序能调用功

能更大的组件来完成病毒功能。

79

9.4.2蠕虫病毒的防范

①网络蠕虫病毒不会像传统病毒一样调用汇

编程序来实现破坏功能，它只能通过调用

已经编译好的带有破坏性的程序来实现这

一功能。这样只要把本地的带有破坏性的

程序改名字，比如把改成

fom,病毒程序就无法调用format命

令实现格式化硬盘的功能了。

80

蠕虫病毒的防范

②蠕虫病毒大多是用VBScript脚本语言编写

的，而VBScript代码是通过WindowsScript

Host来解释执行的。对于普通用户，将

WindowsScriptHost删除，就不用担心用

VBS和JS编写的病毒了。

81

删除WindowsScriptHost的方法

a)卸载WindowsScriptHost,简称WSH,即脚本执行

程序。打开“控制面板”一选择“添加/删除程序”

一单击“Windows安装程序”一选中“附件”，取

消“WindowsScriptHost”项。

b)删除VBS、VBE、JS、JSE文件后缀名与应用程序的

映射。点击“我的电脑”一单击“查看”一单击

“文件夹选项”一选择“文件类型”，然后删除

VBS、VBE、JS、JES文件后缀名与与应用程序的映

射。

c)在Windows目录中，更改名称或者WScript.exe和

JScript.exe文件。

82

蠕虫病毒的防范

③蠕虫病毒自我复制的原理基本上是利用程序将本

身的脚本内容复制到一个临时文件中，然后再在

传播的环节将其作为附件发送出去。该功能的实

现离不开"FileSystemObject”对象，因此禁止了

“FileSystemObject"就能有效地控制VBS病毒的

传播。

实现方法：用regsvr32scrrun.dll/u命令就可以禁

止文件系统对象。其中regsvr32是

Windows\SystemT的可执行文件。

83

蠕虫病毒的防范

④将浏览器安全级设为“中”。打开浏览器：

“工具”一“Internet”一“自定义级别”一

禁用“ActiveX控件及插件”。

⑤安装实时病毒防火墙软件。要保证系统的

安全，最好在计算机中安装实时病毒防火

墙软件。

84

9.5黑客程序与特洛伊木马

20世纪90年代初期，黑客程序与病毒程序的概念

有区别，黑客程序的主要目的是非法获取对方计算机

的重要信息。而到90年代末出现的黑客程序与病毒程

序相互结合、同时并存的现象。黑客程序除了获取重

要信息外，还会严重影响计算机使用，甚至破坏计算

机系统。因此黑客程序也称为病毒程序。

特洛伊木马是一种典型的黑客程序，它是一种基

于远程控制的黑客工具。现在已成为黑客程序的代名

词。

85

黑客攻击的常用手段

1.包攻击

黑客利用一些工具产生畸形或碎片数据包，这些

数据不能被计算机正确合成，从而导致系统崩溃。

2.服务型攻击

黑客向计算机发送大量经过伪装的数据包，使计算

机疲于响应这些经过伪装的不可到达客户的请求，从

而使计算机不能响应正常的客户请求，或使计算机误

以为访问的主机不可到达，从而达到切断正常连接的

目的。

86

黑客攻击的常用手段

3.缓冲区溢出攻击

向操作系统或应用程序发送超长字符串，

由于程序本身设计的漏洞，未能对其进行有

效的检验，导致程序在缓冲区溢出时意外出

错甚至退出，使黑客获得到系统管理员的权

限。

87

黑客攻击的常用手段

4.口令攻击

一般依据一个包含常用单词的字典文件、

程序进行大量的猜测，直到猜对口令并获得

访问权为止。它通常使用蛮力攻击方式，利

用口令设置或操作系统验证方式的缺陷达到

破解口令的目的。

88

黑客攻击的常用手段

5.IP地址和端口扫描

确定攻击目标的IP地址是否可以到达，运

行那种操作系统，运行那些服务器程序，是

否有后门存在。所以，当发现有人在扫描你

的IP地址时，通常就意味着黑客攻击的开始。

89

黑客攻击的常用手段

6.对各种软件漏洞的攻击

每当新的操作系统、服务器程序等软件发

布后，各种漏洞就会被不断发现，这些漏洞

常常被黑客利用，从而有可能导致计算机泄

密、被非法使用，甚至崩溃。

90

《网络操作系统本身不可避免地存在安全漏洞，TCP/IP协

』也存在着诸多问题，黑客利用这叱漏洞发动攻击。

OSVulnerabilities

vulnsBl997H199811999B2000

8o

6o

4o

2o

o一

x2SSBuxx2s既aaao)xS3xa8O

-O-oq」ECn-6O

6Onw6s圈c9

<BI-u>BEBuB、O

6、B—」JsMHns-

Om.2d6E3aPOMSZ

3PqSP1OSl6A

S-aH3nUN3a3oX

83aXENduqc、L

OxosnXN

乏j

SnsnL

Bu*S

olM

u

ziSO

wMP

OU

P-

UM

91

黑客攻击的常用手段

7.特洛伊木马攻击

特洛伊木马黑客程序一般有两个部分：

■服务器程序；

■控制器程序。

如计算机安装了黑客服务器程序，那么,

黑客就可利用自身计算机控制器程序进入你

的计算机，实现控制和监视的目的。

92

特洛伊木马

1.特洛伊木马的启动方式

如黑客想在你的计算机上安装上木马时，

通常将木马程序捆绑在一些常用软件上，或

者发一份电子邮件给你，告诉你有一个很好

的软件，你运行了这些软件后并没有什么反

应，但是这时木马已经安装到你的计算机中

To

93

特洛伊木马

木马为了能在每次开机时进入内存发

挥作用，主要是通过加载到注册表启动组

中。有些会捆绑在其他程序上附带进入内

存，如随着操作系统启动而运行。捆绑的

木马可以由黑客自己确定捆绑方式、捆绑

位置、捆绑程序等，位置的多变使木马有

很强的隐蔽性。

94

特洛伊木马

2.特洛伊木马端口

若木马存在于计算机中，黑客可通过控制器程序

命令控制木马。这些命令在网络上传递，遵守

TCP/IP协议。TCP/IP协议规定计算机的端口有

256*256=65,536个，木马打开一个或几个端口，黑

客使用的控制器就可以进入木马打开的端口了。每

种木马打开的端口不同，根据端口号可以识别不同

的木马，但有些木马的端口号是可变的，黑客通过

控制器可以修改端口号。

95

大多数木马使用的端口号在1024以上，而

且呈现出越来越大的趋势。1024以下端口是

正常计算机系统的常用端口，如果木马占用

这些端口可能会造成系统不正常，如此，木

马就暴露了。

96

特洛伊木马

3.特洛伊木马的隐藏

为更好地隐藏，木马通常会将自己的位置放在

C:\WINDOWS和C:\WINDOWS\SYSTEM等系统目

录中。因为Windows的系统文件放在这两处。系统

目录下的文件最多，难发现。

木马服务程序命名狡猾，通常使用和系统文件

相似的文件名。如名为Window.exe,如不注意，

会被误认为是一系统文件，不敢轻易删除。

97

4特洛伊木马的隐藏

有些木马有很强的潜伏能力，表面上木马程

序被发现并删除后，后备的木马在一定的条件下

会恢复被删除的木马。如冰河木马有两个服务器

程序，一个是

C:\WINDOWS\SYSTEM\Kemel32.exe文件，挂在

注册表的启动组中，当计算机启动的时候，会装

入内存，这是表面上的木马。另一个是

C:\WINDOWS\SYSTEM\Sysexplr.exe文件,它会

检查Kemel32.exe文件是不是存在，如果存在的

话，什么事情