计算机病毒——手机病毒、计算机反病毒技术

一、计算机病毒

该条例明确规定：所谓"计算机病毒"是指经过人工或自动手段编写的恶意软件程序代码库，在执行过程中能够破坏计算机系统功能、造成数据损毁并具有传播能力的一组独立运行指令序列。

• 产生原因

1.早期病毒大多为恶作剧，炫技，破坏性不强

2. 版权管理（巴基斯坦病毒，在正常软件中植入恶意代码以追踪非法复制行为的产品）Microsoft

为了特定目标，在不影响正常运作的前提下实施相关措施，在不影响正常运作的前提下实施相关措施

4.捕获并控制他人计算机或数据，谋取经济利益（勒索病毒，熊猫烧香）

• 命名和分类

反病毒公司为方便管理，按照病毒特征，将病毒进行分类命名。

1.一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>

T rojan是一种木马程序，在网络中传播时会利用各种途径侵入目标计算机并隐藏自身。这种恶意软件会通过多种途径窃取用户敏感信息并将其上传至远程服务器进行存储或分发。（T rojan.QQ3344）

通常指蠕虫类软件，这类程序能够通过网络或系统漏洞作为传播途径，在不主动干预用户的前提下完成感染过程（例如点击下载被感染的文件、插入带有恶意代码的U盘等）

Macro被称为宏病毒, 它导致感染Microsoft Office文档(Macro.Melissa); Win32类病毒导致感染Windows操作系统中的可执行文件(.exe和.dll)(Win32.CIH)

Script代表一种称为脚本的病毒，在网络环境中构建以脚本语言为编程基础的传播机制，并通过Redlof这一特定模式进行传播。

• 典型病毒分析

1.U盘病毒

autorun.inf,RavMonE.exe

[AutoRun]

Open=SysAnti.exe

Shell\Open=打开(&0)

Shell\Open\Command=SysAnti.exe

Shell\Open\Default=1

Shell\Explore=资源管理器(&X)

Shell\Explore\Command=SysAnti.exe

改善方法：拿到U盘新建文件重命名为autorun.inf 属性设置为 ：只读、隐藏

2.ARP病毒

通过 ARP 地址欺骗手段，在全球范围内发送伪造的 ARP 消息报文；以代理身份参与网络通信时非法获取并篡改 HTTP 流量，并插入广告信息。

病毒发作的表现：任意一台计算机无论访问任何网站都会在网页上加载相同的广告内容。此外，在充当网关角色时其性能明显弱于真实的网关导致网络浏览速度减慢

3.熊猫烧香病毒

构建“僵尸网络”，通过盗窃各种游戏和QQ账号等非法方式牟利

4.震网（西门子SIMATIC WinCC）

5.CIH第一个破坏硬件的病毒

6.Wanna cry勒索病毒，利用漏洞

微软ms17-010（永恒之蓝）——蠕虫，加密文件后用户需要支付比特币进行文件解密

二、手机病毒

• 发展

1.早期：蓝牙——现在：伪基站

• 破坏方式

1.嵌入式恶意代码

2.与合法程序捆绑，采用加壳等手段

3.篡改安卓程序安装包APK文件，通过劫持流量或非官方分发渠道传播

4.保持正常程序执行逻辑，同时执行恶意代码

三、反病毒技术

• 病毒检测技术

1.特征码扫描

工作机制：特征匹配

病毒库：恶意代码特征库

扫描：特征匹配过程

优势：准确，误报率低

不足:效率问题，特征库不断庞大、依赖厂商；滞后，先有病毒后又病毒库

2.行为检测

工作机制：基于统计数据

恶意代码行为有哪些；行为符合度

优势：能检测未知病毒

不足：误报率高

3.云查杀

大数据收集用户行为——云服务器研判——疫情推送

• 反病毒技术

1.杀毒与反杀

2.自我保护

3.单个进程退出前执行

4.处理关闭消息

5.多个进程互相检查

习题：

1.以下关于计算机病毒特点书法错误的是

A 计算机病毒能够自我复制

B 计算机病毒大部分具有一定的破坏性

C 计算机病毒感染可以自愈

D 计算机病毒的本质是计算机程序代码

2.以下那个选项不是计算机病毒产生的原因

A 恶作剧或炫技

B 控制他人计算机窃取数据

C 特殊目的，如军事目的

D 升级计算机系统

3.计算机病毒命名规范中，前缀Trojan代表此病毒数据哪一类型

A 蠕虫

B 木马

C 宏病毒

D 脚本病毒

4.以下关于Wanna Cry勒索病毒说法错误的是

A 具有跨平台特性，可以感染Linux操作系统主机

B 利用微软Window系统漏洞

C 利用网络传播

D 具有蠕虫病毒特征

5.以下哪项不是计算机病毒检测技术

A 基于特征码的检测

B 虚拟专用网技术

C 基于行为的检测

D 云查杀技术