chap计算机病毒及防治资料讲解.pptVIP

* 3．查杀CIH病毒后的遗留问题 由于Windows系统运行设置条件和被传染的文件头数据模块的大小不一样，被CIH病毒感染后，小部分文件会产生各种各样的不正常的特殊的传染结果。有些杀毒软件，只简单地把文件中的CIH病毒第一碎块中的文件映像开始执行指针参数恢复，或去掉病毒头的少量字节，没把病毒隐藏在文件体中的各个碎块清理掉。但这样简单杀毒后，完整的或不完整的病毒体残留在文件中，即留有病毒僵尸。 返回本节 * 实验 详见第20-21课 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * * 7.5.2 病毒的查杀 计算机病毒技术知识及蠕虫病毒的查杀（补充） * 计算机病毒的分类 引导区病毒 文件型病毒 宏病毒 脚本病毒 蠕虫病毒 木马程序 * 一个引导病毒传染的实例 假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT 13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作： 1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。 * 一个文件病毒传染的实例 假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT 21H的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染模块将通过INT 21H的调用率先获得控制权，并进行以下操作： 1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。 4）转回原INT 21H入口，对该执行文件进行正常加载。 * 一个脚本病毒传染的实例 万花谷病毒 该病毒是嵌在 HTML 网页中的一段 Java 脚本程序，它最初出现在 个人网站上，随后其他一些个人主页也模仿或被感染了该病毒代码。 和普通脚本病毒有所不同的是，用“查看源文件”的方法来查看感染“万花谷”病毒的网页代码时，只能看到一大段的杂乱字符。为了具有隐蔽性，该病毒采用了 JavaScript 的 escape() 函数进行了字符处理，把某些符号、汉字等变成乱码以达到迷惑人的目的。程序运行时再调用 unescape() 解码到本地机器上运行。 登陆某个网站后，机器莫名其妙地死机；重新启动后你会看到一个奇怪的提示：“欢迎你来万花谷，你中了“万花谷病毒”请与QQ：4040465联系”。进入 Windows 后，你会发现 C: 盘不能使用了，“开始”菜单上的“运行”、“注销”和“关机”项都不见了。打开 IE 浏览器你会发现窗口的标题也变成了“欢迎来到万花谷!请与OICQ:4040465联系!”。这时，你已经感染了一个俗称“万花谷”的 JS.On888 脚本病毒！  * 万花谷脚本病毒原理 该病毒的感染主要是通过修改注册表来实现的。以下为其设置或修改的注册表项： 设置 “HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun 为 01 (取消开始菜单上的“运行”项) 设置 ”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose“ 为 01 (取消开始菜单上的“关闭”项) 设置 ”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff“ 为 01 (取消开始菜单上的“注销”项) 设置 ”HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives“ 为 (取消对 C: 盘的访问权限) 设置 ”HKCU