计算机病毒全面概述.pptx

计算机安全技术计算机病毒分析与防治 计算机病毒概述 引导扇区型病毒文件型病毒宏病毒其它类型病毒计算机病毒全面概述第1页计算机安全技术计算机病毒分析与防治 5.1 计算机病毒概述计算机病毒是一些人利用计算机软、硬件所固有脆弱性，编制含有特殊功效程序。这种特殊功效主要表达在三个方面：复制性、隐蔽性和破坏性。20世纪70年代，美国出版了两本科幻小说：震荡波骑士和P1青春。第一个被称作计算机病毒程序是在 1983年11月，由弗雷德科恩博士研制出来。1988年由罗伯特莫里斯编写“蠕虫病毒”，是一次非常经典计算机病毒人侵计算机网络事件，迫使美国政府马上作出反应，国防部成立了计算机应急行动小组。计算机病毒全面概述第2页计算机安全技术计算机病毒分析与防治 5.1 计算机病毒概述5.1.1 病毒产生 计算机病毒是一个高技术犯罪毒果，另首先，计算机软硬件产品脆弱性是引发病毒产生根本原因，为病毒侵人提供了客观方便。病毒制造者动机主要有：开个玩笑，一个恶作剧。产生于个他人报复心理。用于版权保护。用于特殊目标。计算机病毒全面概述第3页计算机安全技术计算机病毒分析与防治 5.1 计算机病毒概述5.1.2 病毒发展过程（1）DOS引导阶段 （2）DOS可执行阶段（3）伴随、批次型阶段 （4）幽灵、多形阶段（5）生成器、变体机阶段 （6）网络、蠕虫阶段（7）Windows阶段 （8）宏病毒阶段（9）互联网阶段 （l0）爪哇、邮件炸弹阶段 5.1.3 病毒破坏行为 1.攻击系统数据区 2.攻击文件 3.攻击内存 4.干扰系统运行 5.各种设备异常 计算机病毒全面概述第4页计算机安全技术计算机病毒分析与防治 5.1 计算机病毒概述5.1.4 病毒传输方式 病毒传输路径有五种：(1)利用电磁波(2)利用有线线路传输(3)直接放毒(4)利用微波传输(5)利用军用或民用设备传输计算机病毒全面概述第5页计算机安全技术计算机病毒分析与防治 5.1计算机病毒概述5.1.5 病毒程序结构 它们主要结构包含三个部分：引导部分、传染部分、表现部分。引导部分作用是借助宿主程序将病毒主体从外存加载到内存，方便传染部分和表现部分进人活动状态。它所做工作有：驻留内存，修改中止，修改高端内存，保留原中止向量等操作。另外，引导部分还能够依据特定计算机系统，将分别存放病毒程序链接在一起，重新进行装配，形成新病毒程序，破坏计算机系统。计算机病毒全面概述第6页计算机安全技术计算机病毒分析与防治 5.1计算机病毒概述传染部分作用是将病毒代码复制到传染目标上去，是病毒关键。普通复制传染速度比较快，不会引发用户注意，同时还要尽可能扩大染毒范围。病毒传染模块大致由两部分组成：条件判断部分，程序主体部分。表现部分是病毒间差异最大部分，前两个部分也是为这部分服务。5.1.6 病毒本质 计算机病毒本质是一组计算机指令或者程序代码，是一个可存放、可执行特殊程序。计算机病毒全面概述第7页计算机安全技术计算机病毒分析与防治 5.1计算机病毒概述5.1.7 病毒基本特征计算机病毒在中华人民共和国计算机信息系统安全保护条例中定义为：“指编制或者在计算机程序中插人破坏计算机功效或者破坏数据，影响计算机使用而且能够自我复制一组计算机指令或者程序代码”。有复制传染功效，有表现破坏功效，有隐藏伎俩。它还含有衍生性。1.传染性 2.隐蔽性 3.破坏性 计算机病毒全面概述第8页计算机安全技术计算机病毒分析与防治 5.1计算机病毒概述5.1.8 病毒分类计算机病毒类型依据不一样角度各有不一样：按传染方式：引导型病毒、文件型病毒和混合型病毒；按连接人侵方式：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒；按病毒存在媒体：网络病毒、文件病毒、引导型病毒；按其驻留方法：驻留型病毒和非驻留型病毒；按其表现性质：良性病毒和恶性病毒；按寄生方式：内存宿主型病毒和磁盘宿主型病毒；依据病毒破坏能力：无害型、无危险型、危险型、非常危险型等。计算机病毒全面概述第9页计算机安全技术计算机病毒分析与防治 5.1计算机病毒概述1引导型病毒引导型病毒，感染对象是计算机存放介质引导扇区。病毒将本身全部或部分程序取代正常引导统计，而将正常引导统计隐藏在介质其它存放空间。2文件病毒文件病毒是文件侵染者，也被称为寄生病毒。它运行在计算机内存里，通常它感染带有.COM，.EXE，.DRV，扩展名可执行文件。它们每一次激活时，感染文件把本身复制到其它可执行文件中，并能在内存中保留很长时间，直到病毒又被激活。当用户调用染毒可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其它文件或直接传染其它文件。其特点是附着于正常程序文件，成为程序文件一个外壳或部件。计算机病毒全面概述第10页计算机安全技术计算机病毒分析与防治 5.1计算机病毒概述3.宏病毒 4.源码病毒 5.入侵型病 6.操作系统病毒 7.外壳病毒 8.驻留型病毒 9.感染计算机后 10.无害型病毒 依据病毒特有算法，病毒还能够划分为：伴随型病毒；“蠕虫”型病毒；练习型病毒，本身包含错误，不能进行很好传输，比如一些病毒在调试阶段；诡秘型病毒，普通不直接修改DOS中止和扇区数据，而是经过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级技术，利用DOS空闲数据区进行工作；变型病毒（又称幽灵病毒），使用一个复杂算法，使自己每传输一份都含有不一样内容和长度。它们普通由一段混有没有关指令解码算法和被改变过病毒体组成。计算机病毒全面概述第11页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒 3.2.1 硬盘主引导统计和引导扇区硬盘主引导分区是磁道号为0、磁头号为0、扇区号为1（C0，H0，Rl）扇区，它是硬盘第一个物理扇区。主引导分区中数据由硬盘主引导统计和硬盘分区表组成，最终2个字节是55H、AAH。主引导统计占用位置0000EFH，硬盘分区表占用位置01BE01FEH。分区表包含4个16字节表项，共64个字节，每一个表项描述一个分区，表项内容参见P150表5-1所表示。计算机病毒全面概述第12页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒5.2.2 2708病毒分析2708病毒是一个引导型病毒，它在传染软盘时，把正常引导扇区放到磁盘1面27道(以十六进制表示)08扇区，所以取名为2708病毒。在病毒发作时，病毒程序将BIOS中打印端口地址数据置0，从而封锁打印机。12708病毒引导过程 22708病毒传输方式 32708病毒发作 2708病毒在传染硬盘主引导扇区后，每次从硬盘开启时，都会将开启次数加 1，并将这个计数器保留在主引导扇区中。当开启次数到达32次后，计数器不再增加，覆盖BIOS区域中并口和串口地址，而不能进行打印操作。计算机病毒全面概述第13页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒5.2.3 引导型病毒检测和防治 1引导型病毒引导过程引导型病毒在系统起动时，在正常系统引导之前将其本身装入到系统中。在传染硬盘时它覆盖了硬盘主引导扇区或DOS引导扇区，在传染软盘时则覆盖了引导扇区。在系统引导时，ROM BIOS把这些扇区内容读入内存并执行。这么，病毒程序就取得了控制权。它首先把自己复制到内存高端，在完成安装过程后再继续DOS引导过程。为了保护内存高端病毒程序不被系统使用，要将内存容量降低若干KB。2引导型病毒传输方式引导型病毒传染对象是软盘引导扇区和硬盘主引导扇区及硬盘DOS引导扇区。计算机病毒全面概述第14页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒3引导型病毒表现形式在满足特定条件后，就会激活病毒表现模块。而病毒表现方式，能够说是各种各样，它集中表达了病毒炮制者企图。4引导型病毒检测对于这类病毒诊疗比文件型病毒要轻易得多，能够从以下几个方面进行诊疗：（1）察看系统内存容量是否降低。(0:0413一个字)（2）检验系统高端内存中是否有病毒代码。（3）检验软盘引导扇区和硬盘主引导扇区及硬盘DOS引导扇区。计算机病毒全面概述第15页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒 用DEBUG读入引导扇区方法：A）DEBUG -A 100 XXXX：0100 MOV AX，0201 XXXX：0103 MOV BX，7C00 XXXX：0106 MOV CX，0001 XXXX：0109 MOV DX，0080 XXXX:010C INT 13 XXXX:010E INT 3 XXXX：010F -G -L 100 0 0 1 -L 300 2 0 1 -Q 计算机病毒全面概述第16页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒5引导型病毒去除在检测到磁盘被引导型病毒感染以后，消除病毒思绪是用正常系统引导程序覆盖引导扇区中病毒程序。假如在被病毒感染以前，读取并保留了硬盘主引导扇区和DOS引导扇区中内容，就很轻易去除病毒。能够用DEBUG把保留内容读入内存，再写入引导扇区。引导扇区中病毒即被正常引导程序所替换。假如 MBP.DAT和 BOOT.DAT分别保留是硬盘主引导扇区和 DOS引导扇区内容，长度为 512字节。按以下步骤执行：ADEBUG N MBP.DAT L 7C00 N B00T.DAT L 7E00计算机病毒全面概述第17页计算机安全技术计算机病毒分析与防治 A 100XXXX:0100 MOV AX,0301XXXX:0103 MOV BX,7C00XXXX:0106 MOV CX,0001XXXX:0109 MOV DX,0080XXXX:010C INT 13XXXX:010E INT 3 XXXX：010FGW 7E00 2 0 1Q备份：-L 100 0 0 1-N BOOT.DAT-R CXCX:200-W-Q备份主引导统计：A 100MOV AX,0201MOV BX,7C00MOV CX,0001MOV DX,0080INT 13INT 3G-N MBP.DAT-R CXCX:200-R BXBX:0000-W-Q计算机病毒全面概述第18页计算机安全技术计算机病毒分析与防治 5.2 引导扇区型病毒假如没有保留引导扇区信息，则去除其中病毒比较困难。对于那些把引导扇区内容转移到其它扇区中病毒，需要分析病毒程序引导代码，找出正常引导扇区内容存放地址，把它们读入内存，再按上面介绍方法写到引导扇区中。而对于那些直接覆盖引导扇区病毒，则必须从其它微机中读取正常引导程序。对于硬盘DOS引导扇区中病毒，能够用和硬盘上相同版本DOS（从软盘）开启，再执行SYS C：命令传送系统到 C盘，即能够去除硬盘 DOS引导扇区中病毒。计算机病毒全面概述第19页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒 5.3.1 COM文件格式文件格式COM文件中只使用一个段，文件中程序和数据大小限制在64KB内。在执行一个COM文件时，DOS分配一个内存块，包含全部可用内存空间。在内存块最前面为该程序建立程序段前缀PSP。PSP大小为100H字节。COM文件内容直接读人到PSP之后内存。四个段存放器CS、DS、ES、SS都被初始化为PSP段地址，堆栈指针SP被设置为FFFEH，指令指针IP设置为0100H。然后开始执行这个COM程序计算机病毒全面概述第20页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒5.3.2 EXE文件格式EXE文件中可包含多个段，每个段大小在64KB内，但文件中程序、数据总大小能够超出64KB。EXE文件分为两个部分，EXE文件头和装入模块。文件头描述关于整个EXE文件一些信息，在装入过程中由DOS使用。EXE文件格式如P157图5-3所表示.在执行一个EXE文件时，分配内存块、生成环境段、建立PSP过程和执行COM文件时完全相同。EXE文件中装入模块内容直接读人到PSP之后内存，内存段被称为起始段值。DS、ES初始化为PSP段地址，CS、IP和SS、SP依据文件头中对应字段内容进行初始化，CS和SS内容再加上起始段值。计算机病毒全面概述第21页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒5.3.3黑色星期五病毒分析1黑色星期五病毒特点 黑色星期五病毒是一个文件型病毒。它驻留在后缀为COM和EXE文件中。当运行带病毒文件时，病毒程序首先取得控制。假如系统中还没有驻留这种病毒，则将其本身驻留，修改系统INT 21H和INT 8H中止向量，指向病毒程序对应位置，之后再执行原文件中程序。2黑色星期五病毒组成引导驻留部分、传输部分、破坏（表现）部分。计算机病毒全面概述第22页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒(1)引导驻留部分文件运行时，依据INT 21HE0H功效返回值，判断当前系统是否已被病毒感染。如未被感染，则截获INT 21H和INT 8H向量，使它们指向病毒程序对应部分。病毒程序将本身移动到内存某一位置，从XXXX:0000至XXXX:0710H。病毒程序将本身驻留后，才转去执行原可执行文件。（2）传输部分病毒驻留系统，运行一个可执行文件，则传染该文件。病毒程序将读写指针移到文件尾部，判断文件尾部是否有标识“4D 73 44 6F 73”，假如有，则感染该文件再执行该文件中原有程序；假如没有病毒标识，则认为该文件未被感染。计算机病毒全面概述第23页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒感染步骤：病毒程序首先将文件建立日期时间、属性保留下来，再修改文件属性。然后病毒将本身链接于文件之中，并修改文件长度。最终，恢复原文件属性和建立日期时间。病毒在感染文件后，再转去执行原文件，使用户难于发觉病毒感染。在病毒对文件感染过程中，修改了 DOS INT 24H中止。INT 24H是 DOS犯错处理中止，假如屏蔽了这个中止，就能够使病毒传染过程中可能发生一些错误(如磁盘写保护、文件读写犯错等)不被用户发觉。计算机病毒全面概述第24页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒（3）破坏部分一个是降低系统运行速度，另一个是删除被执行文件。它截获了INT 8H时钟中止服务程序，满足其激活条件（病毒驻留内存约半小时后）时，在屏幕上显示黑色方块，而且在程序中执行无用循环，耗用CPU处理周期，使用户程序执行速度大大降低。假如机器日期是十三日及星期五，而且不是1987年，则病毒在DOS加载COM或EXE可执行文件时，删除这些文件。3黑色星期五病毒传染机制黑色星期五病毒传染是在执行 DOS加载执行功效调用（即 INT 21H 4BH）时完成。计算机病毒全面概述第25页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒在 DOS系统下，DOS外部命令和全部可执行文件，执行时都要调用 INT 21H 4BH功效。其入口参数是：DS:DX指向可执行文件文件名ASCII串ES:BX指向执行此命令参数块；AX4B00H在带有病毒系统中，INT 21H中止指向病毒程序。病毒程序从加载执行功效入口参数处取出文件名，依据文件名后缀判断文件类型。假如是COM文件，检验其是否被病毒感染，未感染情况下则将病毒程序放置在原COM文件前面，并在其尾部加上病毒标志。假如被感染，则调用 INT 21H 4BH功效执行原COM文件。计算机病毒全面概述第26页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒假如是EXE文件，则将病毒程序写到EXE文件最终，然后修改EXE文件文件头参数，使其指向病毒程序，所以执行受感染EXE文件时即让病毒程序取得控制权。在感染完成后，执行原EXE文件内容。5.3.4文件型病毒检测与防治 1文件型病毒引导过程 可 执 行 文 件 装 人 执 行，是 由 DOS系 统INT21H4BH功效调用完成。DOS执行这个调用时，从磁盘上装入可执行文件，进行加载并将控制权交给被加载用户程序。计算机病毒全面概述第27页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒对于COM文件，第一条指令位于CS:100地址处；对于EXE文件，由文件头中CS、IP字段确定程序第一条指令。病毒感染可执行文件，为了取得控制，修改了原文件头部参数。对于COM文件，要修改文件头三个字节内容；对于EXE文件，则要修改文件首部(文件头)偏移1415H处IP指针和偏移1617H处CS段值。为了不影响用户程序堆栈段内容，还要修改偏移0E0FH处SS段值和偏移1011H处SP指针。还要修改EXE文件头部0205H处文件长度标识。计算机病毒全面概述第28页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒 2文件型病毒传染方式 在传染过程中，病毒程序或者位于文件首部，或者位于文件尾部，而且使原文件长度增加若干字节。位于文件中间病毒则较为少见。病毒程序在引导过程中，修改 INT 21H系统中止，含有向外传输能力。INT21H是对文件进行各种操作系统调用入口，病毒籍此控制可执行文件装入执行和对文件读、写等操作。在装入执行或读写可执行文件时，病毒就可能传染这个文件。病毒程序首先判断文件是否存在特殊标志（即是否被感染），假如文件已被感染则跳过传染过程；假如未被感染，则把病毒程序链接在文件之中。最终再执行系统功效调用。计算机病毒全面概述第29页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒3文件型病毒检测 惯用方法是借助于“查毒软件”，其基本思想是：在一个文件特定位置，查找病毒特定标识，假如存在，则认为文件被病毒感染。这种检测病毒方法称为“特征标识匹配法”，它一次能够检验磁盘上全部可执行文件。(1）检测系统内存中是否含有病毒 病毒传染性是它主要特征。病毒普通都是修改 INT 21H中止来截获系统调用，所以能够依据INT 21H中止向量入口地址来判断是否有病毒驻留内存。用DOS命令MEM，能够列出系统中驻留全部程序，检验其中是否有非法程序驻留。假如发觉非法驻留程序，则能够判定系统内存中含有病毒。计算机病毒全面概述第30页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒（2）检验文件中病毒对可执行文件中病毒判定，普通情况下只能采取比较法，即经过观察文件长度或日期时间是否改变来判断有没有病毒。4文件型病毒去除文件型病毒和被感染文件链接方式是各种多样，有病毒驻留在文件首部，有则驻留在尾部，而且各个病毒保留被感染文件参数方法和位置也各不相同。所以要去除文件中病毒，就要分析病毒程序代码，找出病毒和被感染文件之间链接关系，才有可能把病毒从被感染文件中分离出来。计算机病毒全面概述第31页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒去除文件中病毒普通应按照以下步骤进行：(1)分析病毒与被感染文件之间链接方式；(2)确定病毒程序驻留在文件位置，并找到病毒程序开始和结束位置。把被感染文件主要部分还原。(3)恢复被感染文件头部参数。对于COM文件，它头三个字节被替换为病毒程序，这三个字节被保留在病毒体中，找出这三个字节，放到文件头部。对于EXE文件，文件头中CS、IP、SS、SP等字段被病毒程序修改，这些字段原有值被存放在病毒体中。找出恢复,还需要修改文件头中长度参数。（4）把恢复后内容写到文件中。文件长度要变短一些，只把文件正常内容写到文件中，病毒体就从文件中“剥离”出来。计算机病毒全面概述第32页计算机安全技术计算机病毒分析与防治 5.3 文件型病毒 要正确去除文件中病毒，首先要了解病毒传染方法。对于不一样病毒，详细去除方法也是不一样。假如用DEBUG等工具去除病毒，其效率是很低，而且轻易出现失误。普通方法是编制“杀毒程序”，把上面步骤用程序实现，这么，对同一个病毒感染多个文件，能够用程序逐一去除。计算机病毒全面概述第33页计算机安全技术计算机病毒分析与防治 5.4 宏病毒 宏病毒产生，是利用了一些数据处理系统，如字处理或表格处理系统，内置宏命令编程语言特征而形成。这种特征能够把特定宏命令代码附加在指定文件上，在未经使用者许可情况下获取某种控制权，实现宏命令在不一样文件之间共享和传递。因为“宏”是使用 Visual Basic For Applications这么高级语言编写，其编写过程相对比较简单，而功效又十分强大，所以宏病毒产生不再需要病毒制造者含有较多计算机专业知识和技巧，一个心怀不轨人只需掌握一些基本“宏”编写伎俩，即可编出破坏力很大宏病毒。计算机病毒全面概述第34页计算机安全技术计算机病毒分析与防治 5.4 宏病毒3.4.l VBA与宏病毒 VBA是把DOS版本Basic一些实现方法转变到Windows中。只要在Office环境中打开这些文件，为了特定任务，VBA代码就会随之而来地解释执行。而且VBA深入升级，使其具备访问系统和控制系统能力，直接调用 Windows API，访问系统资源，采取“Shell+命令行”方式直接调用DOS或windows命令等等。VBA出现是面向知识阶层计算机用户，他们不需要更深入编程知识和经验，只要知道Basic就能够将一系列费时而重复操作和命令，依据不一样使用要求和基本命令组合在一起形成宏。目标是为了让用户能够用简单编程方法，来简化这些经常性操作，就像DOS批处理程序将多个执行命令依次放在一起执行一样。计算机病毒全面概述第35页计算机安全技术计算机病毒分析与防治 5.4 宏病毒它编制技术与其它编程技术相比，要求是很低，Office系统甚至提供了不用编程，仅依靠录制用户实际操作方法就能够生成宏功效。宏，简单了解能够是Office应用产品中，点击菜单命令录音机。系统能够重复执行用户曾经执行或者设计一系列点击命令。这就使那些对计算机编程语言没有多少知识但却对病毒“一往情深”者也能够加入到病毒制造者行列中。5.4.2 宏病毒表现 有些宏病毒只进行本身传输，并不具破坏性，如被一个Autoopen宏病毒感染了文档，不能再被转存为其它格式文件，也无法使用“另存为”（Save as）修改路径以保留到另外磁盘子目录中，它具备与模板文档一致内部格式。计算机病毒全面概述第36页计算机安全技术计算机病毒分析与防治 5.4 宏病毒有些宏病毒或使打印中途中止，或打印出混乱信息，如 Nuclear、Kompu等属这类。有些宏病毒将文档中部分字符、文本进行替换，如 ConceptF发作时，用“，“e”，“not”替换全部“。”，“a”，“and”。还有一些现象是：Word运行时出现如自动打开文件，打开窗口等情况；使用过文件属性发生改变；Word文件自动对一张写保护空盘强行存盘等。有些病毒极具破坏性，如MDMA.A（无政府者一号，最早发觉于1996年夏）另 外 有 一 个 双 栖 复 合 型 病 毒，如 Nuclear是 由AutoExec、Dropsuriv、Fileexit等 9宏病毒复合成一个 DOS和 Windows双栖型驻留宏病毒。计算机病毒全面概述第37页计算机安全技术计算机病毒分析与防治 5.4 宏病毒3.4.3 宏病毒特点宏病毒特点1宏病毒制造轻易。2它是一个真正跨硬件平台病毒。3宏病毒传输速度极快。4大多时宏病毒含有很好隐蔽性，不易被发觉。5破坏性极强。5.4.3 宏病毒传染性宏病毒传染性在Office系统中集成了许多模板，如典雅型传真、汇报、通讯录、改扩建项目表、经济社会发展计划、海报。企业财政汇报等模板。这些模板不但包含了对应类型文档普通格式，而且还允许用户在模板内添加宏，使得用户在制作自己特定格式时，降低重复劳动。计算机病毒全面概述第38页计算机安全技术计算机病毒分析与防治 5.4 宏病毒Word最惯用是通用模板（Normal.dot），Excel最惯用是Excel.xlb等。任何一个Office文件背后都有对应模板，我们打开或建立大多数Office文件时，系统都会自动装入通用或公用模板并执行其中宏命令。其中操作能够是打开文件、关闭文件、读取数据以及保留和打印，并对应着特定宏命令，如存文件与FileSave相对应，另存文件对应着FileSaveAs，打印则对应着FilePrint等。如这些宏命令集合在一起组成了通用宏，通用宏保留在模板文件中，以使Office开启后能够有效地工作。计算机病毒全面概述第39页计算机安全技术计算机病毒分析与防治 5.4 宏病毒以Word为例，当Word打开文件时，它首先要检验文件内包含宏是否有自动执行宏（AutoOpen宏）存在，假如有这么宏，Word就开启并运行之。当然，假如AutoClose宏存在，则系统在关闭一个文件时，会自动执行它。通常，Word宏病毒最少会包含一个以上自动宏，Word中运行这类自动宏时，实际上就是在运行病毒代码。宏病毒内部都含有把带病毒宏复制到通用宏代码段，也就是说当病毒代码被执行过后，它就会将本身复制到通用宏集合内。当Word系统退出时，会自动地把包含宏病毒在内全部通用宏保留到模板文件中。以后每当Word应用程序开启初始化时，系统都会伴随通用模板装入而成为带毒Word系统，继而在打开和创建任何文档时感染该文档。计算机病毒全面概述第40页计算机安全技术计算机病毒分析与防治 5.4 宏病毒实际上，宏病毒感染通用模板目标，仅仅相当于普通病毒要感染引导扇区和驻留内存功效，附加在共用模板上才有“共用”作用，感染Word或Excel系统是为了深入地取得对系统，尤其是对Office系统控制权。它要传染其它Office文件才是病毒传染最终止果，即传染用户自己文档文件或个人模板。能够说，在同一台计算机上宏病毒传染主要靠通用模板机制，在不一样计算机之间宏病毒传输，就要靠详细Office文件，经过磁介质或网络来进行了。其中也包含Office系统中“HTML模板”公布到网上传染机制。计算机病毒全面概述第41页计算机安全技术计算机病毒分析与防治 5.4 宏病毒一旦宏病毒侵入 Word系统，它就会替换原有正常宏，如 FileOPen、FileSave、FileSaveAs和FilePrint等，并经过这些宏所关联文件操作功效获取对文件交换控制。当某项功效被调用时，对应宏病毒就会篡夺控制权，实施病毒所定义非法操作，包含传染操作、表现操作以及破坏操作等等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把全部宏病毒复制到该文档中。被转换成模板格式后染毒文件无法另存为任何其它格式。含有自动宏宏病毒染毒文档，当被其它计算机Word系统打开时，便会自动感染该计算机。比如，假如病毒捕捉并修改了FileOpen，那么它将感染每一个被打开Word文件。计算机病毒全面概述第42页计算机安全技术计算机病毒分析与防治 5.4 宏病毒5.4.4 宏病毒检测与去除宏病毒检测与去除(1)用操作系统“查找”功效(2)用 Office系统检验(3)还能够使用一个非常简单方法，去除对Word系 统 感 染，即 找 到 而 且 删 除 Autoexec.dot和Normal.dot文件。(4)使用专业杀毒软件.计算机病毒全面概述第43页计算机安全技术计算机病毒分析与防治 5.4 宏病毒5.4.5 宏病毒预防1.当怀疑系统有宏病毒时，首先应查看是否存在“可疑”宏。2.使用Word用户，在打开一个新文档时，系统将Word工作环境按照用户使用习惯进行设置，并使通用模板更新。3.当无法判断外来Word文档是否带宏病毒时，在不保留原来文档排版格式必要前提下，可先用Windows提供书写器或写字板来打开它们，将其先转换成书写器或写字板格式文件并保留后，再用Word调用打开。4除对Word宏进行“过滤”外，还有一个简单方法，就是在调用Word文档时先禁止全部以“Auto”开头宏执行。计算机病毒全面概述第44页计算机安全技术计算机病毒分析与防治 5.4 宏病毒5对于使用 Office 97版本用户，系统已经提供禁止宏功效，将其激活或打开即可。6对于使用Excel用户，在打开一个新文档时，系统将Excel工作环境按照用户使用习惯进行设置，并使Excel8.xlb文件更新。7假如用户自己编制有Autoxxxx这类宏，提议将编制完成结果统计下来，即将其中代码内容打印或抄录下来备查。8假如用户没有编制过任何以“Auto”开头宏，而系统运行不正常而又完全能排除是由其它硬件故障或系统软件配置问题引发，那么，在打开“工具”菜单“宏”选项后，最好删除掉这些自动宏，即便错删了，也不会对文档内容产生任何影响，仅是缺乏了对应“宏功效”。计算机病毒全面概述第45页计算机安全技术计算机病毒分析与防治 5.4 宏病毒9将惯用模板文件改为只读属性，可预防Office系统被感染。DOSautoexec.bat和config.sys文件最好也都设为只读属性文件。计算机病毒全面概述第46页计算机安全技术计算机病毒分析与防治 5.4 宏病毒5.4.7 Office产品中对宏病毒说明宏病毒主要是针对Office产品内嵌较强功效VBA技术而设计。1Word文档宏病毒是一个存放在文档或模板宏中计算机病毒。一旦打开这么文档，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，全部自动保留文档都会“感染”上这种宏病毒，而且假如其它用户打开了感染病毒文档，宏病毒又会转移到他计算机上。Word无法扫描软盘、硬盘或网络驱动器上宏病毒（要得到这种保护，需要购置和安装专门防病毒软件）。但当打开一个含有可能携带病毒宏文档时，Word能够显示警告信息。计算机病毒全面概述第47页计算机安全技术计算机病毒分析与防治 5.4 宏病毒2Excel文档Microsoft Excel无法扫描软盘、硬盘或网络盘来查找和删除宏病毒。假如需要这种保护，则需要购置和安装反病 毒 软 件。然 而，每 次 打 开 含 有 宏 工 作 簿 时，MicrosoftExcel都会显示警告信息，然后选择是以允许运行宏方式还是禁止运行宏方式打开工作簿。假如以禁止运行宏方式打开工作簿，则只能查看和编辑宏。宏病毒只有在允许运行时才是有害，所以禁止宏运行能够使打开工作簿更安全。假如要使工作簿中包含有用宏（比如，企业中使用订货表），则可单击“启用宏”，使打开工作簿中宏有效；假如不想让工作簿中包含宏，或者不太确定工作簿起源可靠性，则可单击“禁止宏”，使得打开工作簿中宏失效。计算机病毒全面概述第48页计算机安全技术计算机病毒分析与防治 5.4 宏病毒3PowerPoint文槁宏病毒是某种保留在演示文稿或模板内宏中计算机病毒。比如：PowerPoint能够在每次打开演示文稿，而且里面宏可能包含病毒时，显示警告信息。能够自行决定打开演示文稿时是否激活宏或不激活宏。假如希望演示文稿能包含有用宏，能够启用宏打开演示文稿。假如不知道演示文稿起源，比如，从电子邮件附件、网络或不安全Internet节点中得到演示文稿，最好禁用宏打开演示文稿，不要冒险。要停顿对宏病毒检验，能够在看到病毒警告信息时，去除“每次打开包含宏文档前确认”复选框。要彻底中止宏检验，请单击“工具”菜单中“选项”，单击“常规”选项卡，去除“宏病毒防护”复选框。计算机病毒全面概述第49页计算机安全技术计算机病毒分析与防治 5.4 宏病毒5.4.8 宏病毒实例Melissa汉字为漂亮莎，是第一个经过用户邮件通信录中地址“极其快速地”向外传输 MS-Word宏病毒。它是彻底“互联网生存”病毒，感染对象是 Word 97和Word 系统，它利用计算机中通信录，从 Outlook全域地址表中获取组员地址信息，经过微软Word宏和Outlook电子邮件程序传输。它会以当前计算机主人名义，煞有其事地告诉被入侵者“这是来自XX主要信息”，假如他敢打开附件中名为list.docWord文件，不但会看到80个色情文学网址列表，而且病毒会利用他计算机实施传输。它传输方式颇为隐秘，其主题中XX就是发件人名字。它暂时还不会给用户数据文件造成什么伤害，但会疯狂占用网络邮件传送资源，有可能造成互联网瘫痪！也称“漂亮杀手”。计算机病毒全面概述第50页计算机安全技术计算机病毒分析与防治 5.5 其它类型病毒 5.5.1 CIH病毒 1CIH病毒版本（1）CIH病毒1.0版本（2）CIH病毒v1.1版本（3）CIH病毒v1.2版本 （4）CIH病毒v1.3版本（5）CIH病毒v1.4版本2CIH病毒特征与检测因为流行CIH病毒版本中，其标识版本号信息使用是明文，所以能够经过搜索可执行文件中字符串来识别是否感染了 CIH病毒，搜索特征串为“CIH v”或者是“CIH v1”。计算机病毒全面概述第51页计算机安全技术计算机病毒分析与防治 5.5 其它类型病毒3CIH病毒去除手工方法就是直接搜索特征代码，并将其修改掉。首先是处理掉两个转跳点，搜索：5E CC 56 8B F0特征串以及5E CC FB 33 DB特征串，将这两个特征串中 CC改为 90（nop），接着搜索 CD 20 53 00 01 00 83 C4 20与 CD 20 67 00 40 00特征字串，将其全部修改为90即可（以上数值全部为16进制）。另外一个方法是将原先PE程序正确入口点找回来，填入当前人口点即可4.CIH传染机理 5CIH病毒对BIOS破坏 计算机病毒全面概述第52页计算机安全技术计算机病毒分析与防治 5.5 其它类型病毒5.5.2 爱虫病毒 爱虫病毒也称“I LOVE YOU”病毒，它在 5月 4日出现后，快速在世界范围内蔓延，因为它是经过 Microsoft Outlook电子邮件系统传输，传输速度极快。病毒代码以 VBS（Vsua Basic Script）形式存在于附件中。一旦在 Outlook里双击打开这个邮件，就会执行附件中VBS程序，它就会自动复制到系统中，然后向地址簿中全部邮件地址发送这个病毒。它还将以病毒体覆盖到当地及网络硬盘一些类型文件。计算机病毒全面概述第53页计算机安全技术计算机病毒分析与防治 5.5 其它类型病毒5.5.3 欢乐时光病毒欢乐时光病毒欢乐时光病毒也称作“Happy time”病毒，也是一个 VBS形式病毒，经过邮件附件形式传输。而它主要特点是，只要在Outlook中收到了这个带病毒邮件，即使你不打开和双击其附件，它也能在计算机上执行！含有一样特点病毒还有Bubbleboy（泡沫小子）、Kak(横蛮蠕虫病毒)、Verona(罗密欧与朱丽叶）等。计算机病毒全面概述第54页计算机安全技术计算机病毒分析与防治 5.5 其它类型病毒5.5.4 红色代码病毒红色代码病毒“红色代码”病毒是一个新型网络病毒，其传染过程充分表达了网络时代网络攻击技术与病毒机制巧妙结合，它将网络蠕虫、计算机病毒、木马程序、分布式拒绝服务攻击等功效合为一体，可称之为新一代病毒。对其中代码进行改造后，其破坏能力更强，经过网络攻击得到目标主机管理权限后，能够为所欲为，毁坏或盗走机密数据，严重威胁网络安全。计算机病毒全面概述第55页