内容发布更新时间 : 2024/5/10 10:20:10星期一 下面是文章的全部内容请认真阅读。

第四章 计算机恶意代码防治

恶意是一种程序，它通过把代码在不被察觉的代码情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 恶意代码按传播方式，可以分成以下几类：

1. 计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose?

2. 蠕虫: 一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不像其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性来进行入侵的，它的自身特性可以使它以及快的速度传输。如红色代码、SQL蠕虫王、冲击波、震荡波、熊猫烧香。

3. 特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序，通常由控制端和被控制端两端组成。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带

恶意代码，还有一些木马会以一个软件的身份出现，但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现。如冰河、网络神偷、灰鸽子??

4. 后门：使得攻击者可以对系统进行非授权访问的一类程序。

5. 恶意软件：是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。

6. 移动代码：是指能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java applets，ActiveX，JavaScript，和VBScript。

二、计算机病毒 1. 计算机病毒概述

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2. 病毒的分类

按破坏性分

⑴ 良性病毒

⑵ 恶性病毒 ⑶ 极恶性病毒 ⑷ 灾难性病毒 按传染方式分

⑴ 引导区病毒：主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的“主引导记录”。

⑵ 文件病毒：文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。

⑶ 混合型病毒：具有引导区病毒和文件病毒两者的特点。

⑷ 宏病毒：是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。

3. 计算机病毒的组成结构

计算机病毒的种类很多，但通过分析现有的计算机病毒，发现几乎所有的计算机病毒都是由三个部分组成即:引导模块、传播模块、表现模块。 4. 病毒的网络传播途径

（1）感染本地文件、局域网共享目录中的文件或者复制副本到对方目录。

（2）寻找Email地址，大量发送垃圾邮件（附件携带病毒体）。

（3）通过网络共享软件进行传播。

（4）建立后门程序，通过后门进行传播。

（5）通过IRC进行传播，通过QQ、MSN等即时软件进行传播。

（6）通过U盘、磁盘、光盘等其他磁介质进行传播。 （7）利用系统软件的漏洞进行传播。 5. 计算机病毒特征

(1)传染性：是指计算机病毒的再生机制，即病毒具有自己复制到其他程序中的特性。带有病毒的程序或存储介质，锁定目标或将自身代码插入其中，与系统中的程序连接在一起，达到自我繁殖的目的。 感染的程序有可能被运行，再次感染其他程序。感染的磁盘、移动硬盘等存储介质被移到其他计算机中，或者通过网络，只要有一台计算机感染，若不及时处理，病毒就会迅速扩散。

(2)潜伏性：计算机的潜伏性是指计算机感染病毒后并非是马上发作，而是要潜伏一段时间。从病毒感染某个计算机到该病毒发作为止的这段时期，称为病毒的潜伏期。病毒之间潜伏性的差异很大。

有的病毒非常外露，每次病毒程序运行的时候都企图进行感染，但这种病毒编制技巧比较简单，很容易被人发现，因此往往以高效率的感染率来换取较短的生命周期；有的病毒却不容易被发现，它通过降低感染发作的频率来隐蔽自己，

该病毒侵入系统后不动声色，看上去近似偶然的机会进行感染，来获得较大的感染范围，与外属性病毒相比，这些隐蔽性的病毒更可怕。著名的“黑色星期五”病毒是每逢13日是星期五时发作．CIH是每月26日发作。这些病毒在平时隐蔽的很好，只有发作日才会露出本来面目。

(3)破坏性：破坏是计算机病毒最终的表现，只要病毒入侵计算机系统，就会对系统及应用程序产生不同程度的影响。可能修改系统配置信息、删除数据、破坏硬盘分区表、引导记录等，甚至格式化磁盘、导致系统崩溃，对数据造成不可挽回的破坏。

(4)隐蔽性：病毒为了隐藏，病毒代码设计的非常短小精悍，一般只有几百个字节或lKB大小，病毒瞬间就可以将短短的代码附加到正常的程序中或磁盘较隐蔽的地方，使入侵不易察觉。

其设计微小的目的也是尽量使病毒代码与受传染的文件或程序融合在一起，具有正常程序的一些特性，