计算机病毒及其防治技术期末复习

**判断：**计算机不可能因为仅仅读了一封电子邮件而感染病毒；计算机病毒不可能损害硬件；计算机病毒不可能感染一张有写保护的软盘（磁盘）；计算机不可能因为浏览一个图形文件而感染病毒；都是错的！

病毒的定义：

计算机病毒的特性：

**寄生性：**计算机病毒都不是独立存在的，而是寄生于其他的程序中，当执行该程序时，病毒代码就会被执行。在正常程序未启动之前，用户不易察觉到病毒的存在。

**破坏性：**对计算机数据信息的直接破坏，如引导区、FAT表等,甚至格式化硬盘等，占用系统资源(内存、CPU时间等)，干扰系统的正常工作(如显示不正常)，删除、修改磁盘上的文件或毁坏整个系统，对计算机硬件的破坏(CIH)，盗版及泄露信息等，网络病毒破坏网络系统

**传染性：**是计算机病毒的重要特征，病毒可以从一个程序传染到另一个程序，从一个计算机或一个网络传染到另一个计算机或网络。

**隐蔽性：**病毒潜入系统后，不一定立即发作，可以长时间的潜伏，不易被用户发现，也不影响系统的正常运行。在一定条件下，传染机制被激活，则进入传染期，破坏机制被激活时，则进行破坏。一方面是指病毒进入系统并进行传播时，多数没有外部表现，不易被用户察觉；另一方面是指病毒程序隐蔽在正常程序或某种介质中。

**触发（潜伏）性：**1）触发其感染：即在一定的条件下激活一个病毒的感染机制使之进行感染；2）触发其发作：即在一定的条件下激活病毒的表现部分。

隐蔽性与触发性的区别：隐蔽性是传播或感染时不易被用户察觉，触发性是一直潜伏在电脑中，直到达到触发条件时才进行感染或传播。

病毒的发展趋势：

病毒更新换代向多元化发展，依赖网络进行传播，攻击方式多样（邮件，网页，局域网等），利用系统漏洞成为病毒有力的传播方式，病毒与黑客技术相融合等等……

计算机病毒的主要危害：

病毒的分类：

按存在的媒体：①网络病毒：通过计算机网络传播感染网络中的可执行文件；②文件病毒：感染计算机中的文件（如：COM，EXE，DOC等）；③引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）；④混合型病毒：是上述三种情况的混合。例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

【Q&A】病毒寄生的位置有哪些？文件病毒：感染计算机中的文件（如：COM，EXE，DOC等）；引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）；

按传染方式：①引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。②执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。③网络传染病毒：这类病毒是当前病毒的主流，特点是通过互联网络进行传播。例如，蠕虫病毒就是通过主机的漏洞在网上传播。

按病毒破坏能力：①无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。②无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。③危险型：这类病毒在计算机系统操作中造成严重的错误。④重度危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

按病毒算法：①伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。②蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源③寄生型病毒：依附在系统的引导扇区或文件中，通过系统的功能进行传播。④练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。⑤变形病毒：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。

按计算机病毒的链结方式：①源码型病毒：该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。②嵌入型病毒：这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。③外壳型病毒：外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。④操作系统型病毒：这种病毒用自身的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。

Which kind of virus?（判断） 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。（嵌入型病毒） 通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。（蠕虫型病毒） 该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。（源码型病毒） 这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。（无危险型）

寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。（执行文件传染病毒） 感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。（引导型病毒） 将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。（外壳型病毒）

移动通信系统：

染毒计算机的症状：

计算机病毒的命名规则：

病毒防治的公理：

企业网络中的病毒防治策略：（见11章）

蠕虫的定义：

病毒与蠕虫的区别： A：计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它。蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。

蠕虫定义的进一步说明：

**蠕虫分类：**根据蠕虫的传播、运作方式，可以将蠕虫分为两类

蠕虫的基本结构：

蠕虫的工作方式与扫描策略：

蠕虫的工作方式一般是“扫描→攻击→复制”（必须写！！！！）

为什么蠕虫的出现是病毒技术发展的里程碑事件？ A：蠕虫的自我移动、自我复制特性，改变了以往病毒点对点的传播方式，进入了网络传播、指数级扩散的新时代。

辨析：蠕虫不具有破坏性？ A：蠕虫本身并不具备破坏功能。但是蠕虫的蠕虫的自我移动、自我复制特性，会消耗系统资源、降低网络性能。

蠕虫传播模型：

蠕虫：具有主动攻击特征，不需要计算机使用者的参与，攻击对象是计算机系统。 病毒：一般是被动传播，要有计算机使用者的参与，攻击对象是文件系统。

SI (Susceptible-Infected)

适用于只有易感程序和已感染程序两类，且不会反复感染的病毒。 易感程序被计算机病毒传染后，变为已感染程序，无潜伏期、无杀毒恢复的情况、无免疫力。

SIS (Susceptible-Infected-Susceptible) 适用于只有易感程序和已感染程序两类，但会反复感染的病毒。 易感程序被计算机病毒传染后，变为已感染程序，可被杀毒再次变为易感程序，无潜伏期、无免疫力。

SIR (Susceptible-Infected-Removed) 易感，感染，康复

两个假设：已被病毒感染的文件具有免疫力；病毒的潜伏期很短，近似地认为等于零。

把系统中可执行程序分为三种：被传播对象，即尚未感染病毒的可执行程序；已感染病毒的可执行程序；被感染后具有免疫力的可执行程序，在这种状态下，节点既不会被感染，也不会感染其它节点。

Kermack-Mckendrick模型是SIR模型中的经典

在Kermack-Mckendrick模型中考虑了感染主机的恢复，它假定在蠕虫传播期间，一些受感染的主机可以恢复为正常状态或死亡，且对此蠕虫具有免疫功能，因此每个主机具有三种状态：易感、感染或恢复，其状态转移可表示为易感→感染→恢复，或永远保持易感状态

如何遏制蠕虫的传播？

蠕虫的行为特征：

蠕虫的检测与清除：

计算机病毒的工作机制：

病毒有哪些模块，分为哪些状态？

四大模块：

感染模块

病毒传染的条件： 被动传染（静态时）：用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。 主动传染（动态时）：以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。

传染过程：系统（程序）运行 -> 各种模块进入内存 -> 按多种传染方式传染

**传染方式：**立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序；驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。

**文件型病毒传染机理：**首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒；当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中；完成传染后，继续监视系统的运行，试图寻找新的攻击目标。

**文件型病毒传染途径：**加载执行文件；浏览目录过程；创建文件过程

触发模块

触发条件：计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。

触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡：大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露；而不破坏、不感染又会使病毒失去其特性；可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。

破坏模块（表现模块）

破坏是Vxer的追求，病毒魅力的体现 破坏模块的功能：破坏 破坏的程度：？ 破坏对象：系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。

【破坏功能越大越好吗？】不是，破坏功能越大越容易被发现，也更加容易被清除。

引导模块（主控模块）

引导前——寄生 寄生位置：引导区，可执行文件 寄生手段：替代法（寄生在引导区中的病毒常用该法）链接法（寄生在文件中的病毒常用该法）

引导过程：驻留内存，窃取系统控制权，恢复系统功能 （1）引导区病毒引导过程：搬迁系统引导程序 -> 替代为病毒引导程序；启动时 -> 病毒引导模块 -> 加载传染、破坏和触发模块到内存 -> 使用常驻技术；最后，转向系统引导程序 -> 引导系统

（2）文件型病毒引导过程：修改入口指令 -> 替代为跳转到病毒模块的指令；执行时 -> 跳转到病毒引导模块 -> 病毒引导模块 -> 加载传染、破坏和触发模块到内存 -> 使用常驻技术；最后，转向程序的正常执行指令 -> 执行程序

两个状态：静态，动态

COM文件病毒原理：

病毒如何感染其他文件：

病毒的重定位技术：

**为什么需要重定位？**正常程序的变量和函数的相对地址都是预先计算好的；病毒是附加在宿主程序中的程序段，其问题在于：病毒变量和病毒函数的相对地址很难计算；解决方法：动态找一个参照点，然后再根据参照点的地址确定病毒函数和病毒变量的地址。

重定位代码：

从ring3到ring0的概述：

ring0意味着更多的权力，可以直接执行诸如访问端口等操作，通常应用程序运行于ring3，这样可以保护系统安全。

驻留内存：

驻留内存的两类办法：作为设备驱动程序加载；申请分配内存。

DOS内存驻留程序(TSR，即退出并驻留内存)可使用两种方法：通过在CONFIG.SYS中作为设备驱动程序加载；调用DOS中断INT 21H(或INT 27H)。

**引导区病毒的内存驻留：**较小，大小在1K或者几K；为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存；引导区内存驻留程序不包括重入检测部分，因为引导区病毒只在系统启动时加载一次。

**Windows内存驻留：**由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数；另外一种方法是使用DPMI(DOS Protected Mode Interface)申请一块系统内存，然后将病毒代码放到这块内存中；第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NT／Win2000下的设备驱动程序(WDM)加载到内存中运行。

宏病毒的内存驻留方法：病毒随着宿主程序(word和excel)而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。宏病毒通过检测自己的特征防止重入。大部分驻留内存的病毒都会在加载前，检查内存状态，避免重载。这种机制导致了一种简易的反病毒技术——使用一个程序设置内存\CPU\文件的特征、状态，防治特定的病毒进入系统。

病毒变种：

通过修改病毒代码，使其躲过现有病毒检测程序，新出现的病毒称为变形。

变种—>新品种：变形了的病毒继承父本病毒的主要特征时，称为变种，如果变形病毒已具备足以区别于父本病毒的特征时，称为新品种，而非变种。

**两种方式：**手工变种；自动变种（Mutation Engine：变形机）保加利亚的Dark Avenger的变形机最著名。

变种分类：

①具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形病毒。 ②除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。这里称其为二维变形病毒。 ③具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。例如，在某台机器中，病毒的一部分可能藏在机器硬盘的主引导区中，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏等等。在另一台被感染的机器内，病毒可能又改变了其潜藏的位置。这里称其为三维变形病毒。 ④具备三维变形病毒的特性，并且，这些特性随时间动态变化。例如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。这里称其为四维变形病毒。

抗分析技术：

加密技术：这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。

反跟踪技术：使得分析者无法动态跟踪病毒程序的运行。

DOS下，1575病毒将堆栈指针指向INT 0~INT 3中断：以阻止利用DEBUG调试软件对其跟踪。因为在PC系统中，中断0-3是特殊中断，其功能被强制约定，若此4中断内容被破坏，则执行到相应功能时系统就无法正常运行。DEBUG程序用到这些中断，1575病毒破坏了堆栈寄存器的指向，将其引向这几个中断向量处，如果没有分析清楚这几条反跟踪措施指令的作用，只用DEBUG去跟踪执行1575病毒的代码，则进行不下去。

Windows下，多样化的反动态跟踪技术： **封锁键盘输入：**在执行过程中不需要键盘支持时，先封锁键盘输入，跟踪者无法输入指令。不影响程序运行，跟踪者却不能跟踪指令。**关闭屏幕显示：**无须屏幕显示时，关闭屏幕，使动态跟踪无法看到真实的信息。**修改堆栈指令：**使其指向跳转地址，程序更加隐蔽，使反汇编失败无法正常执行。**程序运行计时：**正常运行和被跟踪运行的时间差异很大。运行时间计时以判断是否被跟踪。**动态地生成指令代码：**程序进行变形，使其成为不可读的程序。程序自身在分段运行中，动态逐步还原，并在运行之后自动消除。增加阅读和分析难度。即使反汇编出来，也不能看到程序全部信息。

代码：

简化版：

文件型病毒的隐藏技术：

拦截（API, INT调用）访问 —>恢复 —>再感染：替换操作系统或者BIOS的文件系统相关调用，在打开文件的时候，将文件的内容恢复到未感染的状态，关闭文件时重新感染。方式多样，如下：

可以使用特殊工具查看磁盘，其不通过DOS中断获得文件大小，可以看到感染病毒后文件的实际大小，检测出病毒。

多态性病毒技术：

定义：多态病毒就是没有特殊特征码的病毒，这种病毒无法（或极难）用特征码扫描法检测到。

**方法：**使用不固定的密钥或者随机数加密病毒代码；运行的过程中改变病毒代码；通过一些奇怪的指令序列实现多态性。

使用加密技术的多态性：

这段代码的作用是将预先加密的病毒代码解密，然后跳转到病毒代码中。 这段解密代码和加密后的病毒都是在感染时动态生成的，使用的寄存器、密钥、加密代码的长度等，甚至解密使用的指令都是随机的。无法找到固定特征码。

多态的计算！！！！！！

对于以上的代码计算多态： 7 ∗ 6 ∗ 5 ∗ 2 ∗ 2 ∗ 2 ∗ 3 ∗ 2 = 10080 7*6*5*2*2*2*3*2=10080 7∗6∗5∗2∗2∗2∗3∗2=10080

多态病毒的级别：

**半多态：**病毒拥有一组解密算法，感染的时候从中间随机的选择一种算法进行加密和感染。 **具有不动点的多态：**病毒有一条或者几条语句是不变的（把这些不变的语句叫做不动点），其他病毒指令都是可变的。 **带有填充物的多态：**解密代码中包含一些没有实际用途的代码来干扰分析者的视线。 **算法固定的多态：**解密代码所使用的算法是固定的，但是实现这个算法的指令和指令的次序是可变的。 **算法可变的多态：**使用了上述所有的技术，同时解密算法也是可以部分或者全部改变的。 **完全多态：**算法多态，同时病毒体可以随机的分布在感染文件的各个位置，但是在运行的时候能够进行拼装，并且可以正常工作。

查杀技术：

对于前面3种多态病毒，可以使用病毒特征码或者改进后的病毒特征码；对于第4种多态病毒，可以增加多种情况的改进后的特征码；至于第5和第6种多态病毒，依靠传统的特征码技术是完全无能为力的；最好的办法是虚拟执行技术：让解密代码自己解密完成之后，再使用通常的特征码识别法进行病毒检测。

破坏性感染技术：

病毒自动生产技术：

木马的定义：

特洛伊木马是广义病毒的一个子类；是一种基于远程控制的黑客工具，是黑客的主要攻击手段之一；

相比这些合法的远程控制软件，木马有什么特殊性？木马与合法远程控制软件的主要区别在于是否具有隐蔽性、是否具有非授权性。

定义：特洛伊木马，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息。现代网络攻击者利用木马，采用伪装、欺骗等手段进入被攻击的计算机系统中，窃取信息，实施远程监控。

木马与病毒：一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的；特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的；木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中；木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类。

**特洛伊木马的结构：**木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成：

**木马程序：**也称作服务器程序，驻留在受害者的系统中，非法获取其操作权限，负责接收控制指令，并根据指令或配置发送数据给控制端。**木马配置程序：**设置木马程序的端口、触发条件等，使其在服务器端更隐蔽。控制程序：控制程序控制远程木马服务器，有些控制程序集成了木马的配置功能。有时配置程序和控制程序集成在一起，统称为控制端（客户端程序），负责配置服务器给服务器发指令，同时接受服务器传送来的数据，因此，一般的木马都是C/S结构。

与传统C/S结构不同：木马程序端（被控制端）为服务器端，木马控制端为客户端。

**木马的最终意图：**窃取信息、实施远程监控。

木马的基本原理：

木马的特性：

木马按传输方式分类：

为了逃避检测，高明的攻击者会研发不需要新建连接和端口的木马。如何隐藏木马的进程、连接和端口？此类木马又该如何防护？

反弹式木马技术、寄生型和潜伏型端口隐藏技术、不使用进程的木马技术、木马的秘密信道技术。

防范：使用定制的个人防火墙，其采用独特的“内墙”方式应用程序访问网络规则，可对付存在于计算机内部的各种不法程序对网络的应用。当计算机内部的应用程序访问网络时，必须经过防火墙内墙的审核。合法的应用程序被审核通过，而非法的应用程序将会被防火墙的“内墙”所拦截。

木马的远程监控技术：

检测和清除木马的一般方法：

广外女生案例：

简介：该木马把启动项设在HKLM\ SOFTWARE \Classes\exefile\shell\open\command\下，这个注册表项的作用是定义运行可执行文件的格式木马将HKLM\ SOFTWARE \Classes\exefile\shell\open\command\下的键值由原来的“"%1" %*”修改为“C:\WINDOWS\System32\DIAGCFG.EXE “%1” %*”，包含了木马程序DIAGCFG.EXE，此后每次再运行任何可执行文件时都要先运行DIAGCFG.EXE，即启动木马。

木马端口：Fport可用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行中运行fport.exe，可以看到：

清除木马 –由于“广外女生”木马自启动项的特殊性，如果先删除C:\WINDOWS\System32\目录下的DIAGCFG.EXE，将无法在系统中运行任何可执行文件。因此，清除该木马应按如下步骤，不能颠倒：

按“开始”菜单，选择“运行”，输入regedit，按确定，打开下面键值：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是不要修改，因为如果这时就修改注册表，DIAGCFG.EXE进程仍然会立刻把它改回来

打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时又会启动DIAGCFG.EXE

把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

的键值由原来的“C:\WINDOWS\System32\DIAGCFG.EXE “%1”%*”改为“"%1"%*”。这样，即使不删除DIAGCFG.EXE文件，只要用户不再双击运行之，木马就会因无激活机会而不能继续实施破坏

删除C:\WINDOWS\System32\目录下的DIAGCFG.EXE，如果要深入分析这个木马，可以在该步中不删除它，而是把它拷贝到其他的目录以便研究。

为什么宏病毒的传播如此快捷、感染面如此之大？

定义：

支持宏病毒的应用系统特点：

宏病毒都是内存驻留病毒？

宏病毒的特点：

宏病毒感染过程：

宏病毒的工作机理：

可以通过哪些现象发现宏病毒？

【辨析】

Linux是一片没有被病毒感染过的乐土，向来给人“安全操作系统”的印象。

由于类Linux系统具有内存保护机制，所以人们不太相信类Linux系统上病毒的危害性会超过Windows和DOS系统，

很多高性能的安全操作系统可以预防计算机病毒。

Linux系统尤其可以防止病毒的感染，因为Linux的程序都来自于源代码，不是二进制格式。

存在这样一个误区，就是认为Linux系统是绝对安全的，因为它具有很多不同的平台，而且每个版本的Linux系统有很大的不一样。

【知识】

Linux病毒分类：

Shell脚本病毒：病毒第一个问题就是传播，为了使各平台兼容，首先想到的是shell脚本语言。Shell脚本病毒简单，危害性不大，且容易被发现因为是以明文方式编写并执行的。通常一个用户会执行任何脚本，而不会过问脚本的由来，这就成为了病毒的目标。应加强对病毒的防范意识。

【判断】Linux的Shell脚本病毒是以明文方式编写并执行的容易被发现。Shell在不同的Linux系统上的差别很小。（都对）

蠕虫病毒：利用已知的攻击程序，针对某漏洞去获得目标机的管理员权限。但是蠕虫的时效性也是很短暂的，若该病毒所利用的漏洞被修补，则该蠕虫也就失去作用了。此外，蠕虫的跨平台能力差，因为是针对特定版本的程序。

欺骗库函数：把标准的库函数替换成你自己的程序。愚弄专业知识不强的用户。

内核级的传播：这类病毒可以传染内核映像，这样就可以控制系统的方方面面，但尚处于理论阶段，没有真正实现。

与平台兼容的病毒：跨各个不同版本的Linux。用标准C来书写病毒代码，利用ELF格式的二进制文件来做病毒。

【代码】

脚本病毒实现技术简单，但很实用，比如：下载后门程序到本机，自动开后门；主动攻击英特网中的其他计算机；获取用户的电子邮件来发送染毒程序等。

【知识】

ELF格式文件病毒感染原理

**无关ELF格式的感染方法：**即简单感染，它没有涉及任何可执行文件的内容，直接使用可独立执行的病毒代码。多种情况下这种病毒会破坏原宿主文件最终造成原宿主文件得不到执行，这种方法很容易被发现，与病毒的隐蔽性相悖。这种破坏式传染的病毒在感染一个文件后就很难继续传播，因为一方面它易于被发现移除，另一方面造成大量文件被破坏从而导致系统损害，得不偿失。

①覆盖式感染：有些病毒会覆盖宿主程序的某一部分，将自身嵌入其中，以达到不改变染毒文件长度的目的。此类病毒感染的宿主程序无法复原。（无法安全消除）病毒体直接拷贝到宿主文件中，从开始部分覆盖宿主文件，从而宿主文件被感染成单纯的病毒体，一般情况下宿主文件会遭到破坏，若要使得在病毒执行后仍然交换控制权给宿主文件，则需要给宿主文件备份，将原宿主文件复制到一个隐藏文件，然后在病毒体执行完之后执行宿主文件，使得进程映像中添加的是原宿主文件的内容。

②追加式感染 ：将病毒体直接追加到宿主文件中，或者将宿主追加到病毒体之后，并不存在覆盖宿主文件的行为，从而宿主文件被感染成单纯的病毒体和原宿主文件的合体，在病毒文件执行后交换控制权给宿主文件。

【覆盖式破坏宿主文件，追加式不破坏】

利用ELF格式的感染方法：与ELF格式相关的感染方法，需要根据ELF格式来改变ELF格式内容，从而使病毒代码和宿主代码共存并且病毒代码执行结束后能顺利交接控制权给宿主。向ELF文件中插入寄生病毒代码要求宿主文件和病毒体都是完整的，因此插入的病毒代码会造成段的使用大小增加。

①利用文本段之后填充②数据段之后插入感染③文本段之前插入感染④利用函数对齐填充区感染⑤利用NOTE段或者扩展.note节

【判断】尺寸越大的病毒能够感染的可执行文件越少。正确！

高级感染技术：前述两种感染技术最多只能感染一些应用程序，因此只是停留在感染用户层次上的可执行文件。另一种用户层次上的高级感染方式是通过截获PLT或者GOT表来实现。若要上升到内核层次的病毒感染就是高级感染，这就需要感染内核的模块。对Linux最致命的病毒攻击方式就是感染Linux内核，也就是使用Linux的LKM。

①LKM感染技术（唯一内核级！！！），在Linux操作系统中被广泛使用，主要的原因就是LKM具有相对灵活的使用方式和强大的功能，可以被动态地加载，而不需要重新编译内核。同样，在另一个方面，对于病毒而言，也有很多好处，比如隐藏文件和进程等，但是使用LKM是比较麻烦的，需要较高的技术要求。LKM内核模块也属于ELF目标文件，但是区别于一般的应用程序，属于系统级，用来扩展Linux内核功能。LKM可以很容易地动态加载到内核中去而不需要重新编译内核。通常LKM是用来加载一些设备驱动，可以捕获系统调用，功能强大。

②PLT/GOT劫持实现

为什么智能化功能在给用户带来便利的同时，也带来了潜在的安全问题：

移动终端：

手机病毒：

移动终端恶意代码：

移动终端操作系统：

移动终端操作系统弱点：

移动终端恶意代码传播途径：

移动终端恶意代码攻击方式：

恶意代码生存环境：

移动终端恶意代码产生契机：

移动终端恶意代码的防范：

邮件病毒分类：

代码：

黑客把攻击后成功地逃匿入侵检测系统看作是一门艺术，有哪些方式？

WebPage代码：

这病毒做了哪些操作？IE受到哪些影响？运行按钮（RUN键）有没有收到影响？

流氓软件定义：

流氓软件尚无标准定义。它们往往采用特殊手段频繁弹出广告窗口、危及用户隐私，严重干扰用户的日常工作、数据安全和个人隐私。第一种定义：流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带，会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害。第二种定义：流氓软件是介于病毒和正规软件之间的软件，同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)，给用户带来实质危害。它们往往采用特殊手段频繁弹出广告窗口，危及用户隐私，严重干扰用户的日常工作、数据安全和个人隐私。

总之，流氓软件是中国大陆对网络上散播的符合如下条件的软件的一种称呼：采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；强行弹出广告，或者其他干扰用户占用系统资源行为；有侵害用户信息和财产安全的潜在因素或者隐患；未经用户许可，或者利用用户疏忽，或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

流氓软件特征：

僵尸网络定义：

僵尸网络的构成：

僵尸网络的特点：

僵尸网络与木马结构的相同点和不同点？

僵尸网络工作过程（传播，加入，控制）：

僵尸网络危害：

什么是信息保障（PDRR）？

保护（Protect）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。

检测（Detect）：利用高技术提供的工具检查系统存在的可能提供给黑客攻击、白领犯罪、病毒泛滥脆弱性。

反应（React）：对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。

恢复（Restore）：一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。

计算机病毒防治技术可概括成五个方面：

**用什么来检测？**染毒后的特征

常用方法：①比较法②校验和③扫描法④行为监测法⑤行为感染试验法⑥虚拟执行法⑦陷阱技术⑧先知扫描⑨分析法

比较法：

校验和法：

特征码扫描法：

感染实验法：

这种方法的原理是利用了病毒的最重要的基本特征：感染特性。病毒都会进行感染。运行可疑系统中的程序后，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和，如何发现有变化，则判断染毒。

检测未知引导型病毒的感染实验法：

检测未知文件型病毒的感染实验法：

Windows中的病毒的感染实验法（e.g.广外女生）：

虚拟执行法：

分析法：

计算机病毒诊断原理总结：

分类：

自动诊断的源码分析：

自动诊断病毒（查毒）的最简单方法——特征码扫描法

自动诊断程序至少要包括两个部分：

**高速模式匹配：**查找的速度是评价一个查毒引擎的关键因素之一。

算法种类：单模式匹配算法：KMP\QS\BM等； 多模式匹配算法：DFSA\基于二叉树的算法

问题描述：设待处理（动态）文本为 T = t 1 t 2 . . . t n T=t_1t_2...t_n T=t1​t2​...tn​ – 单模式匹配是从文本中查找一个模式串 P i = x 1 x 2 . . . P_i=x_1x_2... Pi​=x1​x2​... – 多模式匹配就是通过一次查找从文本中发现多个 P 1 , P 2 , . . . , P q P_1,P_2,...,P_q P1​,P2​,...,Pq​

为什么清除计算机病毒比查找计算机病毒在原理上要难得多？

计算机病毒的清除：

引导型病毒的清除原理：

文件型病毒的消毒原理：

覆盖型文件病毒清除：该型病毒是一种破坏型病毒，由于该病毒硬性地覆盖掉了一部分宿主程序，使宿主程序被破坏，即使把病毒杀掉，程序也已经不能修复。对覆盖型病毒感染的文件只能将其彻底删除，没有挽回原文件的余地。

覆盖型以外的文件病毒：原则上都可以被清除干净，根据感染的逆过程来清除。

**如果染毒的文件有备份，如何清除病毒？**复制备份文件，即可恢复原文件，不需要专门清除。

杀毒软件来清除病毒不能保证完全恢复原有的程序功能，有可能造成在清除病毒后文件反而不能执行的局面。 因此平日备份文件方能万无一失。

某些病毒会破坏系统数据，比如目录结构和FAT表，因此在清除完病毒之后，还要进行系统维护工作。

清除交叉感染病毒：

这两个相同，

【代码】

宏病毒查杀：

杀毒和病毒入侵的原理完全相同 –查找感染标记 —〉用新宏代替旧宏 •以Maker病毒为例 •在Normal.dot的“ThisDocument”中加入以下代码：

简单的查毒程序

–根据病毒特征码发现特定病毒（CIH和Klez）。 –VirScan从程序入口点开始查找病毒特征码。 –对抗Klez病毒会卸载杀毒引擎的功能。 –CIH病毒不会动态地改变程序入口点处的标记，我们可以自接从入口点处开始。 –Klez病毒会动态的改变程序入口点处的前16个字节，所以，VirScan跳过了前16个字节。