病毒知识培训ppt

《病毒知识培训ppt》由会员分享，可在线阅读，更多相关《病毒知识培训ppt（57页珍藏版）》请在装配图网上搜索。

1、反病毒知识培训教程反病毒知识培训教程1第一部分第一部分 病毒知识病毒知识（一）病毒基础知识一、病毒的概念和特点1.病毒的定义 计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机发展过程中，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。在我国，1994年2月18日颁布实施的中华人民共和国计算机信息系统安全保护条例对计算机病毒作出了明确的定义，条例第二十八条中规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”2第一部

2、分第一部分 病毒知识病毒知识2.病毒的特征l破坏性l隐藏性l传染性l潜伏性3第一部分第一部分 病毒知识病毒知识l破坏性破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确得目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。l隐蔽性 计算机病毒

3、虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。4第一部分第一部分 病毒知识病毒知识l传染性 计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。l潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在

4、系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。5第一部分第一部分 病毒知识病毒知识3.病毒的通用命名规则病毒名是由以下6字段组成的：主行为类型主行为类型.子行为类型子行为类型.宿主文件类型宿主文件类型.主名称主名称.版本信息版本信息.主名称变种号主名称变种号#内部信息其中字段之间使用“.”或“-”分隔，#号以后属于内部信息，为推举结构。主行为类型与病毒子行为类型主行为类型与病毒子行为类型 病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主

5、行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。病毒主行为类型与病毒子行为类型存在对应关系，下表将描述这一对应关系：6第一部分第一部分 病毒知识病毒知识主行为类型主行为类型 子行为类型子行为类型 BackdoorBackdoor危害级别：危害级别：1 1说明：说明：中文名称中文名称“后门后门”，是指在用户不知道也不允是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。无法通过正常

6、的方法禁止其运行。“后门后门”其实其实是木马的一种特例，它们之间的区别在于是木马的一种特例，它们之间的区别在于“后门后门”可以对被感染的系统进行远程控制（如：文件可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。管理、进程控制等）。（空）（空）说明：目前还没有划分这类病毒的子行为类型。说明：目前还没有划分这类病毒的子行为类型。WormWorm危害级别：危害级别：2 2说明：说明：中文名称中文名称“蠕虫蠕虫”，是指利用系统的漏洞、外，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：发邮件、共享目录、可传输文件的软件（如：MSNMSN、OICQOICQ、IRCIRC等）、可

7、移动存储介质（如：等）、可移动存储介质（如：U U盘、盘、软盘），这些方式传播自己的病毒。这种类型的软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播病毒其子型行为类型用于表示病毒所使用的传播方式。方式。Mail Mail 危害级别：危害级别：1 1说明：通过邮件传播说明：通过邮件传播 IM IM 危害级别：危害级别：2 2说明：通过某个不明确的即时通讯软件传播说明：通过某个不明确的即时通讯软件传播 MSN MSN 危害级别：危害级别：3 3说明：通过说明：通过MSNMSN传播传播 QQ QQ 危害级别：危害级别：4 4说明：通过说明：通过OICQOICQ传播

8、传播 7第一部分第一部分 病毒知识病毒知识8第一部分第一部分 病毒知识病毒知识9第一部分第一部分 病毒知识病毒知识HarmHarm危害级别：危害级别：5 5说明：中文名称说明：中文名称“破坏性程序破坏性程序”，是指那些不，是指那些不会传播也不感染，运行后直接破坏本地计算机会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。计算机无法正常使用的程序。（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 DropperDropper危害级别：危害级别：6 6说明

9、：中文名称说明：中文名称“释放病毒的程序释放病毒的程序”，是指不，是指不属于正常的安装或自解压程序，并且运行后释放属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。病毒并将它们运行。（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 HackHack危害级别：无危害级别：无说明：中文名称说明：中文名称“黑客工具黑客工具”，是指可以在本，是指可以在本地计算机通过网络攻击其他计算机的工具。地计算机通过网络攻击其他计算机的工具。ExploitExploit说明：漏洞探测攻击工具说明：漏洞探测攻击工具 DDoserDDoser说明：拒绝服务攻击工具说

10、明：拒绝服务攻击工具 FlooderFlooder说明：洪水攻击工具说明：洪水攻击工具（空）（空）说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述 BinderBinder危害级别：无危害级别：无说明：捆绑病毒的工具说明：捆绑病毒的工具（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 10第一部分第一部分 病毒知识病毒知识ConstructorConstructor危害级别：无危害级别：无说明：中文名称说明：中文名称“病毒生成器病毒生成器”，是指可以生，是指可以生

11、成不同功能的病毒的程序。成不同功能的病毒的程序。（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 JokeJoke危害级别：无危害级别：无说明：中文名称说明：中文名称“玩笑程序玩笑程序”，是指运行后不，是指运行后不会对系统造成破坏，但是会对用户造成心理恐慌会对系统造成破坏，但是会对用户造成心理恐慌的程序。的程序。（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 JunkJunk危害级别：无危害级别：无说明：中文名称说明：中文名称“损坏的病毒文件损坏的病毒文件”，是指包，是指包含病毒代码但是病毒代码已经无法运

12、行的文件。含病毒代码但是病毒代码已经无法运行的文件。（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 RootkitRootkit危害级别：无危害级别：无说明：说明：一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改（空）（空）说明：目前还没有划分这类病毒的子行为类型说明：目前还没有划分这类病毒的子行为类型 11第一部分第一部分 病毒知识病毒知识宿主文件宿主文件宿主文件是指病毒所使用的文件类型，目前的宿主文件有以下几种。lJSJS说明：说明：JavaScr

13、iptJavaScript脚本文件脚本文件lVBSVBS说明：说明：VBScriptVBScript脚本文件脚本文件lHTMLHTML说明：说明：HTMLHTML文件文件lJavaJava说明：说明：JavaJava的的ClassClass文件文件lCOMCOM说明：说明：DosDos下的下的ComCom文件文件lEXEEXE说明：说明：DosDos下的下的ExeExe文件文件lBootBoot说明：硬盘或软盘引导区说明：硬盘或软盘引导区lWordWord说明：说明：MSMS公司的公司的WordWord文件文件lExcelExcel说明：说明：MSMS公司的公司的ExcelExcel文件文件l

14、PEPE说明：说明：PEPE文件文件lWinREGWinREG说明：注册表文件说明：注册表文件lRubyRuby说明：一种脚本说明：一种脚本lPythonPython说明：一种脚本说明：一种脚本.lBATBAT说明：说明：BATBAT脚本文件脚本文件lIRCIRC说明：说明：IRCIRC脚本脚本lLispLisp说明：一种解释语言说明：一种解释语言12第一部分第一部分 病毒知识病毒知识主名称主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台则可以用字符串”Agent”来代替主名称，小于10k大小的文

15、件可以命名为“Samll”。内部信息内部信息#号后为内部信息，通常不在杀毒软件上显示，用于杀毒软件厂商标识内部信息。版本信息（只允许为数字）版本信息（只允许为数字）对于版本信息不明确的不加版本信息。主名称变种号主名称变种号如果病毒的主行为类型主行为类型、行为类型行为类型、宿主文件类型宿主文件类型、主名称主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母az，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。13第一部分第一部分 病毒知识病毒知识病毒长度病毒长度病毒长度字段只用于主行为类型

16、为感染型（Virus）的病毒，字段的值为数字。当字段值为0时，表示病毒长度是可变的。病毒命名举例：Trojan.PSW.Win32.QQPass.aBackdoor.Win32.Gpigeon.bWorm.Win32.Nimaya.bz14第一部分第一部分 病毒知识病毒知识三、病毒技术的发展历史和现状1.病毒的产生计算机病毒不是来源于突发或偶然的原因，一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，而计算机病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合。计算机病毒不会通过偶然形成，并且需要有

17、一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。计算机病毒是人为的特制程序，是由人为故意编写的，多数计算机病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要的情况和目的是：l表现和炫耀自己的能力 一些天才的程序员为了表现自己和证明自己的能力15第一部分第一部分 病毒知识病毒知识l为了经济或其它利益如盗取网络银行密码窃取钱财等l其它原因因政治，军事，宗教，民族等方面的原因而专门编写的病毒16第一部分第一部分 病毒知识病毒知识2.病毒的发展历史电脑病毒的起源：电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯诺伊曼（John Vo

18、n Neumann）在他的一篇论文复杂自动装置的理论及组识的进行里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。1975年，美国科普作家约翰布鲁勒尔（John Brunner）写了一本名为震荡波骑士（Shock Wave Rider）的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。17第一部分第一部分 病毒知识病毒知识1977年夏天，托马斯捷瑞安（Thomas.J.Ryan）的科幻小说P-1的春天（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计

19、算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”（core war）的游戏，进一步将电脑病毒“感染性”的概念体现出来。1983年11月3日，一位南加州大学的学生弗雷德科恩（Fred Cohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的

20、震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。不过，这种具备感染与破坏性的程序被真正称之为病毒，则是在两年后的一本科学美国人的月刊中。一位叫作杜特尼（A.K.Dewdney）的专栏作家在讨论磁芯大战与苹果二型电脑（别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影）时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个病毒的名字可以称呼了。18第一部分第一部分 病毒知识病毒知识第一个计算机病毒:到了1987年，第一个电脑病毒C-BRAIN终于诞生了（这似乎不是一件值得庆贺的事）。一般而言，业界都公认这是真正具备完整特征的电脑病毒始

21、祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团（如NuKE,Phalcon/Skism,VDV）。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新

22、，如同百家争鸣。19第一部分第一部分 病毒知识病毒知识病毒发展发展阶段在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：lDOS引导阶段1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统

23、存取磁盘时进行传播。lDOS可执行阶段1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。20第一部分第一部分 病毒知识病毒知识l伴随体型阶段1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名

24、的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。l变形阶段1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被

25、隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。l变种阶段1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作品“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。21第一部分第一部分 病毒知识病毒知识l网络、

26、蠕虫阶段随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。lWindows视窗阶段1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。l宏病毒阶段1996年，随着MS Office功能的增强及盛行，使用Word宏语言也可以编制

27、病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。l互联网阶段1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播和破坏，利用邮件、网络即时聊天软件等进行传播的蠕虫病毒开始大量出现。随着网上购物、网上银行等电子商务的发展以及网络游戏的发展，盗取网银帐号、网游帐号等用户敏感信息的木马程序逐渐开始流行泛滥。近两几年来利用网络去下载其它病毒的“下载者”病毒开始大量出现。22第一部分第一部分 病毒知识病毒知识3.病毒的当前发展趋势l具有较强的目的性目前流行的病毒作者编写计算机病毒绝大多数都具有较强的目的性，如盗取敏感信息、

28、远程控制用户等，只是为了炫耀能力或开玩笑的计算机病毒只占很小的一部分。在这些目的中，经济利益成为病毒作者主要的驱动力，以窃取钱财或网络虚拟财产（如网游装备）为目的盗号病毒的在流行病毒中占有极大的比例。l加壳和免杀等反杀毒技术的广泛使用面对杀毒软件的发展和普及，对抗杀毒软件已经成为计算机病毒生存的关键，因此病毒也开始利用各种技术来避免被杀毒软件查杀，甚至主动破坏杀毒软件。通过使用加壳软件加壳、使用免杀技术(手动或自动地修改程序代码)来逃避杀毒软件的特征码扫描的方法已经被广泛使用，通过破坏杀毒软件、使用Rootkit技术来防止被杀毒软件杀毒的方法也开始越来越多地被应用。23第一部分第一部分 病毒知

29、识病毒知识l病毒下载行为成为主流互联网的发展使信息的传播更加方便迅速，计算机病毒也同样紧跟技术的发展，用于下载病毒的病毒(下载者)广泛流行并呈上升趋势，而且这种病毒行为已经逐渐成为病毒必备的一种能力。病毒作者通过更新病毒网址的内容，使一个下载型病毒可以不断下载不同的病毒或更新自己。l多种病毒技术和病毒行为相结合同时使用多种病毒技术、具有多种病毒行为成为当前计算机病毒的趋势之一。下载、漏洞利用、反杀毒软件等病毒技术常常被结合使用，病毒的复杂程度大大提高。lRootkit技术的应用Rootkit一词最早来自于Unix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix

30、系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着发展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的服务的一组程序或代码。现在，病毒也越来越多的使用Rootkit来隐藏自己的进程、文件和注册表项等，由于Rootkit多使用系统比较核心的技术、拥有更高的系统权限，因此对由Rootkit保护的病毒的查杀也变得更加困难。24第一部分第一部分 病毒知识病毒知识l出现有组织地制造、传播、使用计算机病毒的产业链从熊猫烧香（Wrom.Nimaya）病毒发作的事件中，我们可以看到现在的计算机病毒的制造、传

31、播和使用已经逐渐成为一个地下产业，病毒的制造者、传播者和使用者进行分工合作来达到他们的目的。病毒制造者制造病毒并出卖进行获利，病毒传播者通过帮助病毒使用者尽量更广泛的传播病毒来获利，而病毒使用者则为了盗取网络财产、增加点击量等目的购买并使用病毒。现在在互联网上可以看到许多兜售病毒制造机、免杀工具的信息，同时还有许多病毒制造和使用者同黑客合作的案例。种种迹象表明，计算机病毒的制造、传播和使用正在逐渐形成一个地下产业。25第一部分第一部分 病毒知识病毒知识三、涉及病毒的一些计算机知识的介绍1.进程与线程(Process/Thread)2.动态链接库(Dynamic Link Library)26第

32、一部分第一部分 病毒知识病毒知识3.窗口与消息 4.PE文件简介Portable Executable（可移植的执行体）5.服务与驱动（Services/Drivers）27第一部分第一部分 病毒知识病毒知识6.Windows API 简介 28第一部分第一部分 病毒知识病毒知识（二）、病毒的基本结构和工作流程一、病毒的基本结构和工作流程1.病毒的基本功能模块计算机病毒同正常的程序一样，也是一种计算机程序，使用的是同样的编程方法，只是它们使用同样技术的目的与同正常程序不同。要了解病毒的机制和实现，我们要紧紧抓住病毒的特征和目的入手。病毒的特征是：破坏性、隐藏性、传染性、潜伏性，要实现这些特性，

33、就必然有相应的结构和功能代码。除了为实现这些特性的功能代码，病毒一般还都会实现自启动和自我保护的功能。作为计算机病毒，一般都会有如下的功能代码和结构：l隐藏性的实现因为为病毒要实现不可告人的目的，因此除了如病毒生成器、玩笑程序等，绝大多数病毒会想方设法地隐藏自己，尽量不被用户发现。为了没有用户可见的界面，病毒会采用不生成窗口或隐藏窗口的方法来达到目的。为了隐藏进程，病毒常常会使用注入等手段。除了隐藏界面和进程，病毒通常还会设法隐藏自己的文件和注册表项。除了上面介绍的方法外，感染可执行程序，隐藏自己于正常程序文件中，也是病毒实现隐藏的一种方法。29第一部分第一部分 病毒知识病毒知识l传染性的实现

34、病毒总是希望最大限度的复制自己到更多的计算机，以便实现最大限度的破坏。病毒要传播到其它计算机离不开传播介质，可移动存储介质和网络就成为病毒传染的必备途径。对于软盘、U盘、可移动硬盘等，病毒通常采用写入病毒和autorun.inf的方法进行传染。随着网络的普及，利用网络进行传播已经成为病毒传播的主要手段，所采用的方法也相对较多。采用网络进行传播常见的方法有：利用网络共享进行传播、利用邮件系统进行传播、利用即时聊天软件进行传播等。l破坏性的实现病毒的破坏性功能体现了病毒作者的最终目的，其种类也相对较多。盗取信息远程控制下载病毒弹出广告删除文件30第一部分第一部分 病毒知识病毒知识l自启动的实现计算

35、机病毒也是程序，只有被执行起来才能实现其功能，因此病毒也会利用各种方法使自己在计算机每次启动后就能运行起来。实现自启动主要的方法是利用系统提供的机制，如Windows下注册表中的启动项、注册为服务程序等。另外，感染正常程序，尤其是系统程序，也可以达到病毒实现自启动的目的。l自我保护的实现计算机病毒为了实现自己传染、破坏等目的，也会利用各种方法保护自己，使自己不被发现，不被清除。为了隐藏自己的行踪，病毒通常会设法隐藏自己的文件、进程和自启动的注册表项等。作为保护自己的另一种方法，病毒常常会主动破坏杀毒软件，通过破坏杀毒软件文件等手段使其丧失功能，以此来保护自己。31第一部分第一部分 病毒知识病毒

36、知识2.病毒常见结构l文件结构 l功能结构 32第一部分第一部分 病毒知识病毒知识二、病毒的通用工作流程1.初始化2.对抗杀毒软件3.自我保护4.传染5.破坏工作33第一部分第一部分 病毒知识病毒知识（三）、病毒的通用手段和技术一、病毒的自启动技术1.系统启动的流程2.利用系统的启动机制启动3.通过感染、修改其它文件启动 34第一部分第一部分 病毒知识病毒知识二、代码注入的技术与作用1.代码注入的概念和作用2.代码注入的常见方法3.病毒进行代码注入的目的 35第一部分第一部分 病毒知识病毒知识三、钩子技术的原理和作用1.钩子技术的原理和作用2.钩子的常见类型3.钩子的常见方法 36第一部分第一

37、部分 病毒知识病毒知识四、文件感染1.文件感染的原理2.文件感染的常见类型3.被感染文件的发现和清理 37第一部分第一部分 病毒知识病毒知识五、病毒传播的常见方法1.可移动媒体传播2.文件感染传播3.网页挂马传播4.下载器传播5.邮件传播6.即时通信软件传播 38第一部分第一部分 病毒知识病毒知识六、下载文件常见方法1.下载的常见方法2.穿越防火墙的常见方法 39第一部分第一部分 病毒知识病毒知识七、密码的盗取常见技术手段1.密码盗取的常见方法2.发送盗取的信息的常见方法 40第一部分第一部分 病毒知识病毒知识八、rootkit技术1.rootkit的概念和原理Rootkit一词最早来自于Un

38、ix系统，是Root和kit合成出的一个词。在Unix下，Root指根权限，即Unix系统最高的权限，Kit是工具包的意思，因此最早在Unix系统中出现的Rootkit概念是指获取、拥有根权限的工具包。随着发展，这个概念的意义也更广泛了，指那些常驻于系统中、可以为其它程序提供隐藏行为或现象的服务的一组程序或代码。2.rootkit的作用3.内核钩子41第一部分第一部分 病毒知识病毒知识(四)、病毒的自我保护一、加壳与免杀技术的原理和应用1.壳、免杀的概念和原理2.脱壳查杀和虚拟机技术 42第一部分第一部分 病毒知识病毒知识二、病毒自我保护的常见手段1.病毒进程的自我保护2.病毒文件的自我保护3

39、.病毒的其它自我保护 43第一部分第一部分 病毒知识病毒知识三、病毒对抗反病毒软件和监控软件的常见方法1.破坏反病毒软件的运行2.对抗杀毒软件的查毒3.通过反病毒软件的限制 44第一部分第一部分 病毒知识病毒知识(五)、病毒实例演示与分析 45第二部分第二部分 反病毒的技术反病毒的技术（一）反病毒的技术一、反病毒技术的发展在80年代中期，计算机病毒开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。随着病毒的流行，对计算机病毒的研究、分析和查杀的也开始发展起来。最早期的反病毒程序都是针对某个病毒编写的专杀工具，只能一对一的查杀单个病毒，随着80年代末计算

40、机病毒数量的急剧膨胀，这种一对一的杀毒程序显然已无法适用。这个时候，开始形成了通用反病毒技术，针对大量的病毒的处理，反病毒软件开始了模块化分工，具备扫描模块、清除模块、特征库等。同时，反病毒的各种外围技术也开始如火如荼的发展起来，如主动监控、完整性检查、免疫技术等等。到90年代中期，病毒数量、技术继续提高，随之出现了“查杀防合一”的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战。46第二部分第二部分 反病毒的技术反病毒的技术在80年代中期，计算机病毒开始流行，种类不多，但危害很大，往往一个简单的病毒就能在短时间内传播到世界的各个国家和地区。随着病毒的流行，对计算机病毒的

41、研究、分析和查杀的也开始发展起来。最早期的反病毒程序都是针对某个病毒编写的专杀工具，只能一对一的查杀单个病毒，随着80年代末计算机病毒数量的急剧膨胀，这种一对一的杀毒程序显然已无法适用。这个时候，开始形成了通用反病毒技术，针对大量的病毒的处理，反病毒软件开始了模块化分工，具备扫描模块、清除模块、特征库等。同时，反病毒的各种外围技术也开始如火如荼的发展起来，如主动监控、完整性检查、免疫技术等等。到90年代中期，病毒数量、技术继续提高，随之出现了“查杀防合一”的集成化反病毒产品，把各种反病毒技术有机地组合到一起共同对计算机病毒作战。47第二部分第二部分 反病毒的技术反病毒的技术反病毒技术经过多年的

42、发展，已经取得了很大的进步，其发展过程大致可划分如下：l第一代反病毒技术采取单纯的病毒特征诊断，但是对加密、变形的新一代病毒无能为力；l第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；l第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；l第四代反病毒技术基于病毒家族体系的命名规则，基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进解毒技术，采用多种技术结合的方法进行病毒查杀。48第二部分第二部分 反病毒的技术反病毒的技术二、常见反病毒技术特征码扫描技术特征

43、码扫描技术出现的很早，但至今依然是大多数反病毒软件采用的主要病毒扫描方法。特征码查毒技术实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。采用特征码查杀，首先由病毒分析人员对病毒样本进行反汇编分析，提取病毒的特征代码到病毒特征数据库，然后在查毒的时候通过在被查毒对象中搜索对比是否有对应的病毒特征代码来确定是否是病毒。特征码查杀技术由于其误报率低,系统实现简洁的优点,依然是当前反病软件的主流技

44、术。但这种技术也有很大的局限性，一是要提取特征码必须要有病毒样本，二是对未知病毒的查杀基本无效。49第二部分第二部分 反病毒的技术反病毒的技术启发式扫描技术启发式是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”,从某种意义上讲,启发式扫描是基于专家系统的原理产生的,由于病毒程序和正常程序在执行行为上的不同,作为汇编级的代码分析人员可以很容易地分辨出这类非正常的程序，实现启发式扫描是尽量将这种“分辨”自动化。启发式扫描通过API分析和虚拟执行等技术，扫描被查毒对象是否具有病毒功能或行为（如删除正常系统文件等）来判断是否是病毒。启发式扫描技术的优势在于可以查杀未知病毒，缺点是误

45、报率高。50第二部分第二部分 反病毒的技术反病毒的技术虚拟机技术虚拟机技术是近年来反病毒前沿的技术,主要用来分析未知病毒（实现启发式扫描）和查杀多态变形和加壳的病毒.具体的思路是用程序代码虚拟CPU、各个寄存器甚至是硬件端口,将采集到的病毒样本放到该虚拟环境中执行,通过分析内存和寄存器以及端口的变化来了解程序的执行情况。随着加壳和免杀技术在病毒上的广泛使用，采用虚拟机虚拟运行查毒也成为当前反病毒软件开始普遍使用的反病毒技术。51第三部分第三部分 反病毒的技术反病毒的技术（一）病毒的确定与清除一、病毒的发现与分析1.可疑进程的分析2.可疑模块的分析3.可疑文件的分析4.可疑启动项的分析52第三部

46、分第三部分 反病毒的技术反病毒的技术二、病毒的确定与清除1.确定并终止病毒进程2.确定病毒注入代码启动的线程3.清除病毒启动项4.删除病毒文件5.恢复被病毒修改的系统设置53第三部分第三部分 反病毒的技术反病毒的技术（二）病毒样本的提取一、病毒样本的提取1.需要提取的文件2.文件不可见的情况3.文件可见但无法操作的情况二、相关信息的提取1.提取监控记录2.启动信息提取54第三部分第三部分 反病毒的技术反病毒的技术（三）常用工具介绍一、通用工具1.监控工具2.钩子分析工具3.自启动检查工具4.PE文件查看工具5.文件提取工具55第三部分第三部分 反病毒的技术反病毒的技术（四）病毒清除后的处理问题一、瑞星杀毒软件后处理的工作原理二、病毒清除不干净的分析56第三部分第三部分 反病毒的技术反病毒的技术（五）病毒手工处理实例与分析57