第M章計耳機癡滋及防治

3.1計算機病毒概述

3.2計算機病毒的工作機理

3.3計算機病毒實例

3.4計算機病毒的檢測和清除

3.1計算機病毒概述

定義:計算機病毒就是能夠通過某

種途徑潛伏在計算機存儲介質（或

程序）里，當達到某種條件時即被

激活的具有對計算機資源進行破

壞作用的一組程序或指令集合.

病毒歷史

d7”-一-

概念的提出—“計算機病毒”這一概念是1977年由

美國著名科普作家“雷恩”在一部科幻小說《P1的青

［春》中出

1983年美國計算機安全專家“考因”首次通過實驗

證明了病毒的可實現性.

1987年世界各地的計算機用戶幾乎同時發現了形形

色色的計算機病毒,如大麻,IBM圣誕樹，黑色星期五等

等.

1989年全世界的計算機病毒攻擊十分猖獗，我國也為

幸免.其中“米開朗基羅”病毒給許多計算機用戶造

成極大損失.

1991年在“海灣戰爭”中，美軍第一次將計算機病毒

用于實戰，在空襲巴格達的戰斗中，成功地破壞了對

方的指揮系統，使之癱瘓，保證了戰斗的順利進行，

直至最后勝利.

1992年—出現針對殺毒軟件的“幽靈”病毒，如One?half.

1996年—首次出現針對微軟公司Office的“宏病毒T

1997年」997年被公認為計算機反病毒界的“宏病毒”

年」宏病毒“主要感染WORD,EXCEL等文件.如

Word宏病毒，早期是用一種專門的Basic語言即

WordBasic所編寫的程序，后來使用VisualBasic.

1998年出現針對Windows95/98系統的病毒，如

-CIH（T998年被公認為計算機反病毒界的CIH病毒

年）.CIH病毒是繼DOS病毒,Windows病毒，宏病毒

后的第四類新型病毒.

1999年Happy99等完全通過Internet傳播的病毒的

出現標志著Internet病毒將成為病毒新的增長點.

其特點就是利用Internet的優勢，快速進行大規模

的傳播，從而使病毒在極短的時間內遍布全球.

1998年6月，CIH病毒出現，CIH病毒是有史

以來影響最大的病毒之一。該病毒是第一個直接

攻擊和破壞硬件的計算機病毒。它主要感染

Windows95/98的可執行程序，發作時可能會破

壞計算機FlashBIOS芯片中的系統程序，導致主

板損壞，同時破壞硬盤中的數據。CIH病毒是迄

今為止破壞最為嚴重的病毒。

2002年4月16日，一種新的惡意病毒——

“求職信”病毒在亞洲地區傾刻爆發，它利用電

子郵件方式，迅速向外傳播，擴散勢頭十分兇猛,

一股新的病毒風暴就此在全球展開。

病毒的起源

令與麗扁毒的來源多種多樣，主要有以下五種

工,計算機工作人員或業余愛好者為了純粹尋

開心而制造出來的，

2,軟件公司為保護自己的產品被非法拷貝而

制造的報復性懲罰，

3,個人行為多為雇員對雇主的報復行為

%政府行為則是有組織的戰略戰術手段

5,有的病毒還是用于研究或實驗而設計的”有

用”程序，由于某種原因失去控制擴散出實驗

室或研究所，從而成為危害四方的計算機病毒.

3.二n十算機病毒的特征

1.傳染性可以通過各種渠道傳播到其它主機。

2.非授權性病毒的安裝和運行是未知的。

3.隱蔽性病毒的安裝與運行難以發現。

4.潛伏性病毒安裝后不立即運行而是長期隱藏

5.破壞性降低主機的效率，破壞系統和數據

6.不可預見性

計算機病毒的表現形式

不能正常啟動

加電后機器根本不能啟動，或者可以啟動，但所

需要的時間比原來的啟動時間變長了。有時會突然

出現黑屏現象。

(2)運行速度降低

如果發現在運行某個程序時，讀取數據的時間比

原來長，存文件或調文件的時間都增加了，那就可

能是由于病毒造成的。

(3)磁盤空間迅速變小

由于病毒程序要進駐內存，而且又能繁殖，因此

使內存空間變小甚至變為“0”，用戶什么信息也進

不去。

(4)文件內容和長度有所改變

一個文件存入磁盤后，本來它的長度和其內容

都不會談變，苗是由于病毒的牛擾，文件長度可能

改變，文件內容也可能出現亂碼。有時文件內容無

法顯示或顯示后又消失了。

(5)經常出現“死機”現象

正常的操作是不會造成死機現象的，即使是初

學者，命令輸入不對也不會死機。如果機器經常死

機，那可能是由中系統嵌病毒感染了。

(6)外部設備工作異常

因為外部設備受系統的控制，如果機器中有病毒,

外部設備鹿工祚時可能會出現一些異常情況，出現

一些用理論或經驗說不清道不明的現象。

3.1.3計算機病毒的種類

1.按病毒的寄生方式分類

(1)文件型病毒

(2)引導型病毒

(3)混合型病毒

(1)文件型病毒

文件型病毒主要以感染文件擴展名為.COM,.EXE和.OVL

等可執行文件為主。它隱藏在宿主程序中，執行宿主程序時,

將會先執行病毒程序再執行宿主程序。

(2)引導型病毒

引導型病毒藏匿在磁盤片或硬盤的第一個扇區.每次啟動計算機

時，在操作系統還沒被加載之前就被加載到內存中，這個特性使

得病毒完全控制DOS的各類中斷，并且擁有更大的能力進行傳染

與破壞.

(3)混合型病毒

混合型病毒兼具引導型病毒和文件型病毒的特性，可以傳

染.COM,.EXE等可執行文件，也可以傳染磁盤的引導區。

2.按病毒的傳染方法分類

(1)駐留型病毒

病毒感染計算機后，駐留部分就保存在在內存(

RAM)中，一直處于激活狀態，直到主機關機。

(2)非駐留型病毒

病毒激活時，不感染內存。

3.按病毒的破壞能力分類

(1)無害性

(2)無危害性

(3)危險性影響系統

(4)非常危險性破壞數據和系統，損壞硬件

4.按病毒特有的算法分類

(1)伴隨型病毒

不改變.exe文件本身,而是產生伴隨文件.com.

例如xcopy.exe,伴隨文件就是.

當運行xcopy.exe時，xcopy.con被優先運行

(2)“蠕蟲”病毒

.是一種網絡病毒，從一臺主機傳播到其它主機

,不改變文件和數據，而是自動計算網絡地址，不

斷自我復制，通過網絡發送。

(3)寄生型病毒

依附在系統的引導扇區或文件中

3.2計算機病毒的工作機理

目前的計算機病毒幾乎都是由三部分組成的,

即引導模塊、傳染模塊與表現模塊。引導模塊借助

宿主程序將病毒主體從外存加載到內存，以便傳染

模塊和表現模塊進入活動狀態。傳染模塊負責將病

毒代碼復制到傳染目標上去。表現模塊是病毒間差

異最大的部分，它判斷病毒的觸發條件，實施病毒

的破壞功能。

3.2.1引導型病毒

3.2.1-1引導型病毒的基本原理概述

引導型病毒傳染的對象主要是軟盤的引導

扇區，硬盤的主引導扇區和引導扇區。所以，

在系統啟動時，這類病毒會優先于正常系統的

引導將其自身裝入到系統中，獲得對系統的控

制權。病毒程序在完成自身的安裝后，再將系

統的控制權交給真正的系統程序，完成系統的

引導，但此時系統已處在病毒程序的控制之下

3.2.L2磁盤的引導扇區

◎磁盤的扇區分配由兩個部分組成，第一

部分只有一個扇區，這就是。道（柱）、

0頭、1扇區，也就是整個磁盤的第一扇

區（物理上），這就是磁盤的主引導扇

區。第二部分是供各個操作系統使用的

扇區。

磁盤的結構圖)

Secto磁道0

Track

磁因

磁盤容量二磁面數X每面磁道數X每道扇區數X每扇

區字節數(512)

3.2.1.3硬磁盤的結構

磁道

柱面

扇區

柱面、磁頭、扇區

④磁盤空間的總體劃分經過格式化后的磁盤包括:

力主引導記錄區（只有硬盤有）、引導記錄區、

文件分配表（FAT）、目錄區和數據區。主引

導記錄區和引導記錄區中存有DOS系統啟動時

所用的信息。文件分配表（FAT）是反映當前

磁盤扇區使用狀況的表。每張DOS盤含有兩個

完全相同的FAT表，即FAT1和FAT2,FAT2是

一張備份表。FAT與目錄一起對磁盤數據區進

行管理。目錄區存放磁盤上現有的文件目錄

及其大孝存放時間等信息。數據區存儲和文件

名相對應的文件內容數據。

寺磁盤的扇區分配由兩個部分組成，第一

部分只有一個扇區，這就是0道（柱）、

0頭、1扇區，也就是整個磁盤的第一扇

區（物理上），這就是磁盤的主引導扇

區。第二部分是供各個操作系統使用的

扇區。

（一）軟盤的主引導扇區

主引導扇區內容由FORMAT創建，引導記錄可分

為四部分：

1、3字節轉移指令（供系統盤用）；

2、8字節含廠商標志、操作系統版本號；

3、BIOS參數塊（共工9字節，亦稱BPB參數

表）；

4、引導代碼，包含了自舉程序的實際代碼，引

導代碼僅對操作系統盤有效；

當該盤作系統盤時，執行轉移指令，轉到引導代

碼，執行自舉程序，將DOS裝入內存。

對軟盤來說，主引導扇區是物理第一扇區，也是

邏輯0（第1個）扇區

（二）硬盤的引導扇區

硬盤的主引導扇區在硬盤的第一個扇區。引導扇

區在每個分區里都存在，但是我們常說的主引導

扇區是硬盤的第一物理扇區。整個硬盤空間最多

劃分為4個分區，可提供4個操作系統共享。

包括：主引導程序和分區信息表。

硬盤的主引導程序（在硬盤的主引導/第一扇區

中），它是各操作系統的共同部分。它的作用就是

查看分區信息表中的4個分區引導標志，當某一分

區的引導標志為80H時，主引導程序就把這一分區

的第一個扇區（邏輯0扇區）讀到內存0000：

7C00H處，并從那兒開始執行。

3.2.1.4引導型病毒感染時的攻擊部位

4(1)硬盤主引導扇區。

(2)硬盤或軟盤的引導(BOOT)扇區。

(3)為保存原主引導扇區，引導(BOOT)

扇區，病毒可能隨意地將它們寫入其他

扇區，而毀壞這些扇區

3.2.1.5引導型病毒的感染過程

4引導型病毒通過執行啟動計算機的動作作為感

染的途徑。一般正常軟盤啟動動作為：開機、

執行BIOS、讀入BOOT程序執行和加載DOS。

注：

BIOS,BasicInput/OutputSystem的縮寫，

全稱ROM-BIOS,意思是只讀存儲器基本輸入系

統。

事實上，它是一組被固化到計算機中、為計算機提

供最低級最直接的硬件控制的一組程序。既然是

“程序”，當然屬于“軟件”。但BIOS卻又是不

是一般的軟件，形象地說，BIOS是連通軟件程序

和硬件設備之間的一座“橋梁”。一個“轉換器”，

負責解決硬件的即時要求，并按軟件對硬件的操作

要求具體執行。

1）如果某張啟動軟盤已經了感染病毒，那么該軟

盤上的BOOT扇區將存放著病毒程序，而不是

BOOT程序。所以，“讀入BOOT程序并執行”將

變成“讀入病毒程序并執行“，等到病毒入侵內

存后，等到病毒入侵內存后，再由病毒程序讀入

原始BOOT程序，既然病毒DOS先一步進入內存中,

自然在DOS下的所有讀寫動作將受到病毒控制。

所以，當使用者只要對另一張干凈的軟盤進行讀

寫，駐在內存中的病毒可以感染這張軟盤。

2）若啟動盤是硬盤。因硬盤多了一個分區表，分

區表位于硬盤的第0面第0道第1扇區。當在“讀入

BOOT程序并執行”之前是“讀入分區表并執行”，

比軟盤啟動多了一道手續。所以和感染軟盤不同的

地方，是病毒不但可以感染硬盤的BOOT扇區還可以

感染硬盤的分區表。

感染BOOT扇區是在“讀入分區表并執行”之后，

“讀入BOOT程序并執行”之前“讀入病毒程序并執

行”。感染分區表是在“讀入病毒程序并執行”之

后，“讀入分區表并執行”之前“讀入BOOT程序并

執行”。

不管是軟盤還是硬盤，引導型病毒一定比

DOS早一步進入內存中，并控制讀寫動作，伺機感

染其他未感染病毒的磁盤。

引導型病毒還可以根據其存儲方式分為覆蓋型

和轉移型兩種。覆蓋型引導病毒在傳染磁盤引導區

時，病毒代碼將直接覆蓋正常引導記錄。轉移型引

導病毒在傳染磁盤引導區之前保留了原引導記錄，

并轉移到磁盤的其他扇區，以備將來病毒初始化模

塊完成后仍然由原引導記錄完成系統正常引導。絕

大多數弓I導型病毒都是轉移型的引導病毒。

3.2.L6引導型病毒的消毒

④引導型病毒感染時的攻擊部位有：

(1)硬盤主引導扇區。

(2)硬盤或軟盤的BOOT扇區。

(3)為保存原主引導扇區、BOOT扇區,

病毒可能隨意地將它們寫入其他扇區，

而毀壞這些扇區。

硬盤主引導扇區染毒

4(1)用無毒軟盤啟動系統。

(2)尋找一臺同類型、硬盤分區相同的

無毒機器，將其硬盤主引導扇區寫入一

張軟盤中。

(3)%止i軟盤插入染毒機器，將其中采

集的主引導扇區數據寫入染毒硬盤，即

可修復。

硬盤、軟盤BOOT扇區染毒

⑥尋找與染毒盤相同版本的無毒系統軟盤，執行SYS命

令，即可修復。

+如果引導型病毒將原主引導扇區或BOOT扇區覆蓋式

寫入第一FAT表時，第二FAT表未破壞，則可以修復。

可將第二FAT表復制到第一FAT表中。文件分配表

(FAT)是反映當前磁盤扇區使用狀況的表，是磁盤

上所有文件各自占用的扇區的一個登記表，此表非常

重要，一旦被破壞，將無法查找文件的內容。每張盤

含有兩個完全相同的FAT表，即FAT1和FAT2,FAT2

是一張備份表。

④引導型病毒如果將原主引導扇區或BOOT

扇區覆蓋式寫入根目錄區，被覆蓋的根

目錄區完全損壞，不可能修復。

根目錄區是記載磁盤上所有文件的一張

目錄登記表。主要記載每個文件的文件

名、擴展名、文件屬性、文件長度、文

件建立日期、建立時間以及其他一些重

要信息。

322文件型病毒

[—而通過操作系統的文件系統進行感染的病毒

都稱作文件病毒，所以這是一類數目非常巨大的病

毒。理論上可以制造這樣一個病毒，該病毒可以感

染基本上所有操作系統的可執行文件。目前已經存

在這樣的文件病毒，可以感染所有標準的DOS可執

行文件：包括批處理文件、DOS下的可加載驅動程

序（.SYS）文件以及普通的COM/EXE可執行文

件。當然還有感染所有視窗操作系統可執行文件的

病毒，可感染文件的種類包括：視窗3.X版本，視窗

9X版本，視窗NT和視窗2000版本下的可執行文件

,后綴名是EXE、DLL或者VXD、SYS。

_還有感染所有視窗操作系統可執行文件的病毒

，前感染文件的種類包括：視窗3.X版本，視窗9X

版本，視窗NT和視窗2000版本下的可執行文件，后

綴名是EXE、DLL或者VXD、SYS。

除此之外，還有一些病毒可以感染高級語言程

序的源代碼，開發庫和編譯過程所生成的中間文件

O病毒也可能隱臧在普通的數據文件中，但是這些

隱藏在數據文件中的病毒不是獨立存在的，必須需

要隱藏在普通可執行文件中的病毒部分來加載這些

代碼。

可執行文件：

;在DOS環境下有四種基本的可執行文件

格式：

批處理文件，是以.BAT結尾的文件，在

BAT文件中可以包括一些DOS命令，以及在

批處理文件中調用其它的可執行文件；批文

件還有一些簡單的流程控制功能，可以實現

循環、條件判斷等簡單的編程工作。

設備驅動文件，是以.SYS結尾的文件，

比如說CONFIG.SYS和IO.SYS等，是DOS

操作系統使用的設備驅動程序。

COM文件，是以.COM結尾的純代碼文

有文件頭部分，缺省的總是從16進

制的100H處開始執行，沒有重定位項，這

也限制了它的所有代碼和數據必須控制在

64K以內。

EXE文件，是以.EXE結尾的文件，這

種文件以英文字母“MZ”開頭，通常我們稱

之為MZ文件。MZ文件有一個文件頭，用來

指出每個段的定義，以及重定位表。.EXE

文件擺脫了代碼大小最多不能超過64K的限

制，是DOS下最主要的文件格式。

在視窗32位平臺（版本9x和版本NT/2000系歹U），

微軟又推出了一種新的可執行文件格式，可移植的可

PortableExecutableFile）格式。它

MZ文件頭之后是一個以“PE”開始的文件頭。PE文

件格式是從COFF（一個在Unix世界中廣泛使用的通

M二進制文件格式）的對象格式發展而來的，在磁盤

中的格式同內存中的格式區別不大，裝載程序實現起

來相當簡單。

在視窗32位環境下，微軟還有一種應用比較少的

可執行文件格式：線性可執行文件（Linear

Executable）,主要用于設備驅動程序VXD,這種

格式是微軟和IBM共同開發的，也是IBM的OS/2操

作系統使用的可執行文件格式。

對于文件型的病毒來說，病毒程序附著在被

感染文件的首部、尾部、中部或“空閑”部位，

病毒程序沒有獨立占用磁盤上的空白簇。也就是

說，病毒程序所占用的磁盤空間依賴于其宿主程

序所占用的磁盤空間。

文件型病毒主要可分為三類：寄生病毒、覆

蓋病毒和伴隨病毒。

寄生病毒在感染的時候，將病毒代碼加入正

常程序中，原來程序的功能部分或者全部被保留。

寄生病毒把自己加入正常程序的方法有很多種。

根據病毒代碼加入的方式不同，可分為“頭寄

生”、“尾寄生”、“插入寄生”和“空洞利

用”4種。

覆蓋病毒直接用病毒程序替換被感染的程序。

伴隨病毒不改變被感染的文件，而是為被感

染的文件創建一個伴隨文件（病毒文件）。

3.2?2.工寄生病毒

④“頭寄生”：

實現麻病毒代碼放到程序的頭上有兩種方法，一

種是將原來程序的前面一部分拷貝到程序的最后，然

后將文件頭用病毒代碼覆蓋；另外一種是生成一個新

的文件，首先在頭的位置寫上病毒代碼，然后將原來

的可執行文件放在病毒代碼的后面，再用新的文件替

換原來的文件從而完成感染。使用“頭寄生”方式的

病毒基本上感染的是批處理病毒和COM格式的文件，

因為這些文件在運行的時候不需要重新定位，所以可

以任意調換代碼的位置而不發生錯誤。

病毒代碼

原程序代碼

原程序代碼頭

?當然，隨著病毒制作水平的提高，很多感

染DOS下的EXE文件和視窗系統的EXE文

件的病毒也是用了頭寄生的方式，為使得

被感染的文件仍然能夠正常運行，病毒在

執行原來程序之前會還原出原來沒有感染

過的文件用來正常執行，執行完畢之后再

進行一次感染，保證硬盤上的文件處于感

染狀態，而執行的文件又是一切正常的。

EXE文件頭感染后的EXE文件頭

EXE可執行文件的內病毒代碼

容

EXE可執行文件的內

容

執行的時候還原

卷“尾寄生”:

由于在頭部寄生不可避免的會遇到重新

定位的問題，所以最簡單也是最常用的寄生

方法就是直接將病毒代碼附加到可執行程序

的尾部。對于DOS環境下COM可執行文件來

說，由于COM文件就是簡單的二進制代碼，

沒有任何結構信息，所以可以直接將病毒代

碼附加到程序的尾部，然后改動COM文件開

始的3個字節為跳轉指令：

JMP［病毒代碼開始地址］

?對于DOS環境下的EXE文件，有兩種處理

的方法，一種是將EXE格式轉換成COM格

式再進行感染，另外一種需要修改EXE文

件的文件頭，一般會修改EXE文件頭的下

面幾個部分：

代碼的開始地址

可執行文件的長度

文件的CRC校驗值

堆棧寄存器的指針也可能被修改。

DOSEXE文件頭DOSEXE文件頭(修改后)

PE(NE)文件頭PE(NE)文件頭(修改后)

感染前的程序感染前的程序

病毒代碼

―對于視窗操作系統下的EXE文件，病毒

感染后同樣需要修改文件的頭，這次修改

的是PE或者NE的頭，相對于DOS下EXE文

件的頭來說，這項工作要復雜很多，需要

修改程序入口地址、段的開始地址、段的

屬性等等，由于這項工作的復雜性，所以

很多病毒在編寫感染代碼的時候會包括一

些小錯誤，造成這些病毒在感染一些文件

的時候會出錯無法繼續，從而幸運的造成

這些病毒無法大規模的流行。

感染DOS環境下設備驅動程序（.SYS

文件）的病毒會在DOS啟動之后立刻進

入系統，而且對于隨后加載的任何軟件

（包括殺毒軟件）來說，所有的文件操

作（包括可能的查病毒和殺病毒操作）

都在病毒的監控之下，在這種情況下干

凈的清除病毒基本上是不可能的。

“插入寄生”

■病毒將自己插入被感染的程序中，可以整段的

插入，也可以分成很多段，有的病毒通過壓縮

原來的代碼的方法，保持被感染文件的大小不

變。前面論述的更改文件頭等基本操作同樣需

要，對于中間插入來說，要求程序的編寫更加

嚴謹，所以采用這種方式的病毒相對比較少，

即使采用了這種方式，很多病毒也由于程序編

寫上的錯誤沒有真正流行起來。

DOSE：＜E文件頭DOSEXE文件頭（修改后）

PE（NE）文件頭PE（NE）文件頭（修改后）

感染前的程序病毒代碼

感染前的程序（經過壓縮）

病毒代碼

感染前的程序（沒有壓縮）

空洞利用”

④對于視窗環境下的可執行文件，還有一

種更加巧妙的方法，由于視窗程序的結

構非常復雜，一般里面都會有很多沒有

使用的部分，一般是空的段，或者每個

段的最后部分。病毒尋找這些沒有使用

的部分，然后將病毒代碼分散到其中，

這樣就實現了神不知鬼不覺的感染（著

名的“CIH”病毒就是用了這種方法）。

寄生病毒精確地實現了病毒的定義，

“寄生在宿主程序的之上，并且不破壞宿

主程序的正常功能”，所以寄生病毒設計

的初衷都希望能夠完整的保存原來程序的

所有內容，因此除了某些由于程序設計失

誤造成原來的程序不能恢復的病毒以外，

寄生型病毒基本上都是可以安全清除的。

覆蓋病毒

④病毒制造者直接用病毒程序替換被感染

的程序，這樣所有的文件頭也變成了病

毒程序的文件頭，不用作任何調整。顯

然，這種病毒不可能廣泛流行，因為被

感染的程序立刻就不能正常工作了，用

戶可以迅速的發現病毒的存在并采取相

應的措施。

3.Z2.3伴隨病毒

④這種病毒不改變被感染的文件，而是為

被感染的文件創建一個伴隨文件（病毒

文件），這樣當你執行被感染文件的時

候，實際上執行的是病毒文件。

其中一種伴隨病毒利用了DOS執行文件的一

個特性，當同一個目錄中同時存在同名的后綴名

為.COM的文件和后綴名為.EXE的文件時，會首

先執行后綴名為COM的文件，例如，DOS操作

系統帶了一個XCOPY.EXE程序，如果在DOS目

錄中一個叫做XCOPY.COM的文件是一個病毒，

那么當你敲入"XCOPY（回車換行）”的時候,

實際執行的是病毒文件。

還有一種伴隨方式是將原來的文件改名，比如

說才等XCOPY.EXE改成XCOPY.OLD,然后生

成一個新的XCOPY.EXE（實際上就是病毒文

件），這樣你敲入“XCOPY（回車換行）”

的時候，執行的同樣是病毒文件，然后病毒文

件再去加載原來的程序執行。

另外一種伴隨方式利用了DOS或者視窗操

作系統的搜索路徑，比如說視窗系統首先會搜

索操作系統安裝的系統目錄，這樣病毒可以在

最先搜索目錄存放和感染文件同名的可執行文

件，當執行的時候首先會去執行病毒文件。

NORMAL.EXE（原來的程序）

文件型病毒的基本原理如下：

當被感染程序執行之后，病毒事先獲得控制權，

”后執行以下操作。

m內存駐留的病毒首先檢查系統內存，查看內存

是否已有此病毒存在，如果沒有則將病毒代碼裝入內

存進行感染。

(2)對于內存駐留病毒來說，駐留時還會把一些

DOS或者基本輸入輸出系統(BIOS)的中斷指向病

毒代碼。

(3)執行病毒的一些其他功能，如破壞功能，顯示

信息或者病毒精心制作的動畫等。

(4)這些工作后，病毒將控制權返回被感染程序，

使正常程序執行。

文件型病毒的消毒原理

除了覆蓋型的文件型病毒之外，其他感染

COM型和EXE型的文件型病毒都可以被清除干

凈。因為病毒是在保持原文件功能的基礎上進

行傳染的，既然病毒能在內存中恢復被感染文

件的代碼并予以執行，則也可以依照病毒的方

法進行傳染的逆過程一將病毒清除出被感染

文件，并保持其原來的功能。對覆蓋型的文件

則只能將其徹底刪除，沒有挽救原來文件的余

地了。

如果已中毒的文件有備份的話，把備份的

文伴拷貝回去就可以了，如果沒有就只能靠解

毒軟件來解，不過用解毒軟件來解毒不保證能

夠完全復原，有可能會越解越遭，殺完毒之后

文件反而不能執行。因此，用戶必須靠自己平

日勤備份自己的資料。

由于某些病毒會破壞系統數據，如目錄和

文件分配表FAT,因此在清除完計算機病毒之

后，系統要進行維護工作。病毒的清除工作與

系統的維護工作往往是分不開的。

3.2.3混合型病毒

集引導型和文件型病毒特性為一體，可以感染

可執行文件，也可以感染引導區，具有相當強的

感染力

3.2.4宏病毒

宏是通過一次單擊就可以應用的命令集。只要符

合類似的特征，就可以被稱為宏，類似的特征包括：

*批處理

*預定義

宏是軟件設計者為了在使用軟件工作時，避免一

再的重復相同的動作而設計出一種工具。在word中對

宏的定義是“能組織到一起作為一獨立的命令使用一

系列word命令，它能使日常工作變的容易”。

宏病毒，利用數據處理系統內置宏命令

編程語言的特性而形成的。病毒可以把

特定的宏命令代碼附加在指定文件上，

通過文件的打開或關閉來獲取控制權，

實現宏命令在不同文件之間的共享和傳

遞，從而在未經使用者許可的情況下獲

取某種控制權，達到傳染的目的。目前

在可被宏病毒感染的系統中，以微軟的

Word、Excel居多。。

1.宏病毒的特征

1）宏病毒會感染.doc文檔和.dot模板文件。

刃毒的傳染通常是Word在打開一個帶宏病毒的

文檔或模板時，激活宏病毒。病毒宏將自身復制到Word

通用（Normal）模板中，以后在打開或關閉文件時宏病

毒就會把病毒復制到該文件中。

3）多數宏病毒包含AutoOpen>AutoClose>

AutoNew和AutoExit等自動宏,通過這些自動宏病毒取

得文檔（模板）操作權。

4）宏病毒中總是含有對文檔讀寫操作的宏命令。

5）宏病毒在?doc文檔、.dot模板中以?BFF（Binary

FileFormat）格式存放，這是一種加密壓縮格式，不同

Word版本格式可能不兼容。

6）宏病毒的感染必須通過宏語言的執行環境的功

能，不能直接在二進制的數據文件中加入宏病毒

代碼。

7）宏病毒是一種與平臺無關的病毒，任何可以正

確打開和理解Word文件宏代碼的平臺都可能感染

宏病毒。

8）此外宏病毒編寫容易，破壞性強。

9）宏病毒的傳播速度極快。

2宏病毒的感染機制

Word模式定義出一種文件格式，將文檔資料以及

該文檔所需要的宏混在一起放在后綴為?doc的文

件之中，這種作法已經不同于以往的軟件將資料

和宏分開存儲的方法。這種宏是文檔資料，而文

檔資料的攜帶性極高，如果宏隨著文檔而被分派

到不同的工作平臺，只要能被執行，它也就類似

于計算機病毒的傳染過程。

一個word文件中，通常有一些基本的宏，如Auto

Open,AutoClose,打開和關閉和建立新的文件時

會自動執行這些“宏”，如果打開宏病毒感染的

文檔，會首先執行AutoOpen中宏病毒的代碼。

宏病毒將自己拷貝到全局宏的區域，所有打開的

文件都使用這個宏。

3.宏病毒的表現

有些宏漏毒對用戶進行騷擾，但不破壞系統，比如

說有一種宏病毒在每月的13日發作時顯示出一5個

數字連乘的心算數學題。有些宏病毒或使打印中途

中斷或打印出混亂信息，如Nuclear、Kompu等屬

此類。有些宏病毒將文檔中的部分字符、文本進行

替換。但也有些宏病毒極具破壞性，如MDMA.A

,這種病毒既感染中文版Word,又感染英文版

Word,發作時間是每月的1日。此病毒在不同的

Windows平臺上有不同的破壞性表現，輕則刪除幫

助文件，重則刪除硬盤中的所有文件。另外還有一

種雙棲復合型宏病毒，發作可使計算機癱瘓。

宏病毒的清除

①手工：以Word為例，選取“工具”菜單中

“宏”一項，進入“管理器”，選取標題為“宏”

的一頁，在“宏有效范圍”下拉列表框中打開要

檢查的文檔。這時在上面的列表框中就會出現該

文檔模板中所含的宏，將不明來源的自動執行宏

刪除即可。

②使用專業殺毒軟件：目前殺毒軟件公司都具備

清除宏病毒的能力，當然也只能對已知的宏病毒

進行檢查和清除，對于新出現的病毒或病毒的變種

則可能不能正常地清除，或者將會破壞文件的完

整性，此時還是手工清理為妙。

3.2.5網絡病毒

隨著網絡的發展，網絡病毒已經成為計算機網

絡安全的最大威脅之一。而網絡病毒中又以蠕蟲病

毒出現最早，傳播最為廣泛。

“蠕蟲”程序常駐于一臺或多臺機器中，并有

自動重新定位(autorelocation)的能力。如果它檢

測到網絡中的某臺機器未被占用，它就把自身的一

個拷貝(一個程序段)發送給那臺機器。每個程序

段都能把自身的拷貝重新定位于另一臺機器中，并

且能識別它占用的哪臺機器。

“蠕蟲”由兩部分組成：一個主程序和一個引導程序

o主程序一旦在機器上建立就會去收集與當前機器聯

網的其它機器的信息。它能通過讀取公共配置文件并

運行顯示當前網上聯機狀態信息的系統實用程序而做

到這一點。隨后，它嘗試利用前面所描述的那些缺陷

去在這些遠程機器上建立其引導程序。正是這個一般

稱作引導程序或“釣魚”程序的小小程序，才巴“蠕蟲

”帶入了它感染的每一臺機器。

蠕蟲病毒與一般病毒的異同

普通病毒螭蟲病毒

存在龍式寄存文件獨立程序

傳染機制宿主程序運行主動攻擊

傳染目標本地文件網絡計篁機

蠕蟲的破壞

病毒名稱持裳時間造成損失

莫里斯出生1988年6口口0名臺計篁機停機」直接經濟損失達96。0萬美元?

政府部門和一些大公司緊急關閉了網絡服務器，經濟損

美麗殺手199g年

失超過12億美元?

愛蟲病毒2口口口年5月至今眾多用戶電腦被感染，損失超過1。0億美元以上

紅色代螞2。01年7月網絡舞湊」直接經濟損失超過26億美元

求職信2口01年12月至今大量羯毒郵件堵塞服務器，損失達數百億美元

網絡大面積癱瘓.銀行自動提款機運做中斷，直接經濟

Sql插蟲壬2口03年1月

損失超過26億美元

蠕蟲的基本結構

?蠕蟲的基本程序結構為：

卷1、傳播模塊：負責蠕蟲的傳播，這是本

文要討論的部分。

?2、隱藏模塊：侵入主機后，隱藏蠕蟲程

序，防止被用戶發現。

>3、目的功能模塊：實現對計算機的控制、

監視或破壞等功能。

4傳播模塊由可以分為三個基本模塊：掃描

模塊、攻擊模塊和復制模塊。

蠕蟲程序的一般傳播過程為：

L掃描：由蠕蟲的掃描功能模塊負責探測存在

漏而T的主機。當程序向某個主機發送探測漏洞的

信息并收到成功的反饋信息后，就得到一個可傳

播的對象。

2,攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步

驟1中找到的對象，取得該主機的權限（一般為管

理員權限），獲得一個shell。

3,復制：復制模塊通過原主機和新主機的交互

將蠕蟲程序復制到新主機并啟動。

我們可以看到，傳播模塊實現的實際上是自動

入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的

首要技術，沒有蠕蟲的傳播技術，也就談不上什

么蠕蟲技術了。

2.蠕蟲病毒的入侵過程

蠕蟲病毒采用的自動入侵技術，由于程

序大小的限制，自動入侵程序不可能有太強

的智能性，所以自動入侵一般都采用某種特

定的模式，這種模式是由普通入侵技術中提

取出來的。

(1)“掃描一攻擊一復制”模式

隨機選取某一段IP地址，然后對這一地址段上的主機

掃描。隨著蠕蟲的傳播，新感染的主機也開始進行這種掃

描，這些掃描程序不知道那些地址已經被掃描過，它只是

簡單的隨機掃描互聯網。于是蠕蟲傳播的越廣，網絡上的

掃描包就越多。即使掃描程序發出的探測包很小，積少成

多，大量蠕蟲程序的掃描引起的網絡擁塞就非常嚴重了。

掃描發送的探測包是根據不同的漏洞進行設計的。1

攻擊成功后，一般是獲得一個遠程主機的shell,對

Windows2000系統來說shell就是cmd.exe,得到這個shell

后就擁有了對整個系統的控制權。

(2)蠕蟲病毒傳播的其他模式

可以把利用郵件進行自動傳播也作為一

種模式。由郵件地址薄獲得郵件地址■群

發帶有蠕蟲程序的郵件■郵件被動打開，

蠕蟲程序啟動。

美國新型蠕蟲對病毒可以毒攻毒

科學家們把這種新型的“蠕蟲”病毒稱為

“修補蠕蟲”，它可以在網絡中迅速傳播，在計

算機受到其它一些“蠕蟲”病毒的攻擊前對這些

計算機的漏洞進行修補。

這種新的“蠕蟲”病毒是由位于美國佛羅里

達州邁阿密的一家計算機安全去免疫公司的程序

員大衛?艾特爾（音）發明的。這種新型的“蠕蟲”

病毒與那些惡意的“蠕蟲”病毒使用相同的計算

機漏洞，這種“蠕蟲”病毒一旦植入計算機，它

會自動封閉自己進入時所使用的系統漏洞，以免

計算機受到其它惡意的“蠕蟲”病毒的攻擊。艾

特爾在形容這一過程時稱，“我們是在用火滅

小I”

計算機“蠕蟲”病毒實質上是一種通過自我復

制以達到廣泛傳播目的的程序，這種病毒的泛濫到

最終將是不可控制的。如果網絡中的計算機沒有及

時的縫補漏洞，“蠕蟲”病毒將會給這些計算機帶

來毀滅性的破壞。

艾特爾表示，對于一些處于特別網絡中的計算

機來說，這種新型的“蠕蟲”病毒在進入這一網絡

之前會對這一網絡的漏洞進行檢測。如果安裝了適

當的軟件，這種新型的“蠕蟲”病毒還可以向特定

IP地址的計算機發送是否讓其它的“蠕蟲”病毒進

入的提示信息。

3.3計算機病毒實例

3.3.1CIH病毒

“CIH?名字的由來，是因為在CIH病毒中

間，出現了病毒作者陳盈豪名字的縮寫。是

世界上影響最大的病毒之一。DOS以及視窗

3.1格式（NE格式）的可執行文件不受感染,

并且在視窗NT/2000中病毒不起作用。

1998年的7月26日，名叫CIH的計算機病毒首次

露面，襲擊了美國，病毒發作時直接往計算機主板

BIOS芯片和硬盤寫亂碼，破壞力非常大，可造成

主機無法啟動，硬盤數據全部被清洗。一個月后，

該病毒在中國大陸出現，給多家計算機應用單位造

成嚴重損失。今年4月26日該病毒又一次在全球總

爆發，據有關報道，全球有六千萬臺電腦受到破壞,

大量重要資料無法復原，災情嚴重者，連計算機主

板硬件也不得不更換。僅一天，由于CIH病毒發作，

在中國大陸受損的電腦總數約有卅六萬臺，所造

成的直接、間接經濟損失超過十億元人民幣。

CIH病毒是一種文件型病毒，又稱Win95,CIH、

Win32.CIH、PE_CIH,是感染Windows95/98環境

下PE格式文件的病毒。目前CIH病毒有多個版

本，典型的有：CIH版本L2：四月二十六

日發作，長度為1003個字節，包含字符：

“CIHvl.2TTir,這也是目前流傳最廣泛

的病毒；CIHvl.3：六月二十六日發作，長

度為1010個字節，包含字符：

aCIHvl.3TTIT5；CIHvl.4：每月二十六日

發作，長度為1019個字節，包含字符：

“CIHV1.4TATUNG'。

病毒的表現形式

4如果被CIH病毒感染的機器在4月26日開

機，很可能會造成顯示器突然黑屏，硬

盤指示燈閃爍不停，重新開機后，計算

機無法啟動。

病毒的危害主要表現在于病毒發作

后，硬盤數據全部丟失，甚至主板上的

BIOS中的原內容被會徹底破壞，主機無

法啟動。

CIH病毒的運行機制

?CIH病毒使用匯編，禾I」用VxD（虛擬設備驅動程序）

接口編程，直接殺入視窗操作系統的內核。它沒有

改變宿主文件的大小，而是采用了一種新的文件感

染機制即前面所說的“空洞利用”，將病毒化整為

零，拆分成若干塊，插入宿主文件中去，受感染

的,EXE文件的文件長度沒有改變；

它利用目前許多BIOS芯片開放了可重寫的特性，向

計算機主板的BIOS端口寫入亂碼，開創了病毒直接

進攻計算機主板芯片的先例。

④該病毒是通過文件進行傳播。計算機開機以后，如

果運行了帶病毒的文件，其病毒就駐留在視窗操作

系統的系統內存里了。此后，只要運行了PE格式

的.EXE文件，這些文件就會感染上該病毒。

CIH病毒的駐留(初始化)

當運行帶有該病毒的.EXE時，由于該病毒

修詼了該文件程序的入口地址(Address

ofEntryPoint),首先調入內存執行的是

病毒的駐留程序，駐留程序長度為184字

-4-P

o

病毒的感染

CIH舄卷的傳染部分實際上是病毒在駐留

內存過程中調用Windows內核底層函數

IFSMgr」nstallFileSystemApiHook函數掛

接鉤子時指針指示的那段程序。

感染過程如下：

(1)文件的截獲

每當系統出現要求開啟文件的調用時，駐留內存的

CIH病毒就截獲該文件。病毒調用INT20的VxDcall

UniToBCSPath系統功能調用取回該文件的名和路徑。

(2)EXE文件的判斷

對該文件名進行分析，若文件擴展名不為".EXEL

不傳染，離開病毒程序，跳回到Windows內核的正常

文件處理程序上。

(3)PE格式.EXE判別

當病毒確認該文件是PE格式的.EXE文件后，打開該

文件，取出該文件的PE文件標識符(Signature),

進行分析，若Signature=?0045500(F(00PE00),貝U

表明該文件是PE格式的可執行文件，且尚未感染，

就進行感染。

,=上|丁「」心予

.text正文段的頭.text正交段的頭（被修改）

bss堆極段的頭.bss堆橫船的頭（械修改）

數據段的頭.data數據段的頭（被修改）

，血玳&資源數據段的頭.1由飽資源數據段的頭

…其他段的頭…其他段的頭

文件頭上的自由空間

;疣毒塊鏈表指針區

CIH病毒首塊

正文段正文益

自由空間CIH病毒塊2

1

士雌段塘棧段

自由空間CIH病毒塊3

數據段數據段

自由空間CIH病毒塊4

病毒的發作

卷發作條件判斷：

在CIHV1.4中，病毒的發作日期是4月26日,

病毒從COMS的70、71端口取出系統當前日期，

對其進行判斷：如果系統當前日期不是4月26

日，則離開病毒程序，回到文件的原正常操作

上去；若正好是4月26日，則瘋狂的CIH病毒破

壞開始了！

病毒的破壞

令對基本輸入輸出系統的破壞

打開計算機時，BIOS首先取得系統的控制權，它從

CMOS中讀取系統設置參數，初始化并協調有關系統設

備的數據流。CIH發作時，通過主板的BIOS端口地址

0CFEH和0CFDH向BIOS弓I導塊(bootblock)內各寫入

一個字節的亂碼，造成主機無法啟動。

4對硬盤的破壞

通過調用VxdcallIOS_SendCommand直接對硬盤

進行存取，將垃圾代碼以2048個扇區為單位，從硬盤

主引導區開始依次循環寫入硬盤，直到所有硬盤(含

邏輯盤)的數據均被破壞為止。

CIH病毒的消毒

④一個最簡單的查找CIH病毒的方法是用資

源管理器中“工具》查找〉文件或文件夾”

的“高級〉包含文字”查找所有,EXE特征

字符串--"CIHv”，在查找過程中，顯示

出一大堆符合查找特征的可執行文件，

很可能意味著你的機器已經被CIH病毒感

染了。

3.32CodeRed病毒

卷病古作者故意在新的病毒里面包括了類似"Code

Red”之類的字符，讓病毒的發現者命名它為“紅

色代碼”。

卷紅色代碼有一代和二代兩種，最早的“紅色代碼”

曾經成功的攻擊了白宮的主頁，導致其拒絕服務。

“紅色代碼二代”可以使黑客在遠程取得對服務器

的完全控制。如果你使用因特網信息服務器(HS

Server),建議下載微軟的關于”紅色代碼二代”

的最新補丁：

/technet/securit

y/bulletin/MS0：L?033.asp找至U這個補丁。

CodeRed的表現

邙驢蠕蟲造成的破壞主要是涂改網頁,

對網絡上的其它服務器進行攻擊，被攻擊的

服務器又可以繼續攻擊其它服務器。在每月

的20-27日，向特定IP地址

198?137?240?91()發動

攻擊。

多入侵IIS服務器，codered會將WWW英文站

點改寫為“Hello!Welcometo

www.W!HackedbyChinese!”；

◎CodeRed蠕蟲能夠迅速傳播，并造成大范圍

的訪問速度下降甚至阻斷。

”紅色代碼2"是“紅色代碼”的改良版，病毒作者

對病毒體作了很多優化，同樣可以對‘紅色代碼”病

毒可攻擊的聯網計算機發動進攻，但與“紅色代碼”

不同的是，這種新變型不僅僅只對英文系統發動攻

擊，而是攻擊任何語言的系統。而且這種病毒還可

以在遭到攻擊的機器上植入“特洛伊木馬”，使得被

攻擊的機器”后門大開“。“紅色代碼2”擁有極強的可

擴充性，通過程序自行完成的木馬植入工作，使得

病毒作者可以通過改進此程序來達到不同的破壞目

的。當機器日期大于2002年10月時，病毒將強行重

起計算機。

CodeRed的特點

卷與其它病毒不同的是，“紅色代碼”不同于以

往的文件型病毒和引導型病毒，并不將病毒信

息寫入被攻擊服務器的硬盤。它只存在于內存,

傳染時不通過文件這一常規載體，而是借助這

個服務器的網絡連接攻擊其它的服務器，直接

從一臺電腦內存傳到另一臺電腦內存。

卷并且它采用隨機產生IP地址的方式，搜索未

被感染的計算機，每個病毒每天能夠掃描40

萬個IP地址，因而其傳染性特別強。一旦病

毒感染了計算機后，會釋放出一個“特洛伊木

馬”程序，為入侵者大開方便之門，黑客可以

對被感染計算機進行全程遙控。而且“紅色代

碼病毒不僅能感染英文Windows

2000和NT,同時也可以感染中文操作系

統。

CodeRed的感染機制

④蠕蟲的傳播是通過TCP/IP協議和端口80,

發送一個構造過的HTTP協議的GET,通

過IIS漏洞，使HS服務程序處理請求數據

包時溢出，導致把此“數據包”當作代

碼運行。運行scripts/root.exe從而獲得

對服務器的完全控制.

④當一個web服務器被感染后，病毒的主

線程檢查兩個標記，一個叫“29A”,用來確

定是否安裝Trojan.VirtualRoot;另一個標

記是一個信號燈,這個信號燈的名字叫

“紅色代碼二代"(CodeRedII),如果這

個信號燈存在，病毒就進入休眠狀態。

■接下來，主線程檢查系統的的缺省語種，如果

是