计算机病毒基础-张仁杰111.pptVIP

北京八维研修学院 计算机病毒基础 张仁杰 计算机病毒基本概念 病毒的定义 病毒的特性 病毒的生命周期 病毒的命名 病毒的表现(例子) 病毒常见免杀技术 计算机病毒的定义 人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可以自我复制的计算机程序或者指令集合都是计算机病毒。 计算机病毒的特性 计算机病毒的生命周期 计算机病毒的命名 反病毒公司为了方便管理，会按照病毒的特性，将病毒进行分类命名。虽然各个反病毒公司的命名规则都不完全相同，但一般格式都基本相同. 病毒前缀.病毒名.病毒后缀 病毒前缀 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。 例如: Worm(蠕虫) Trojan(木马) Macro(宏) Hack(黑客) Backdoor(后门) Script(脚本)等. 病毒前缀对于快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。 病毒名 病毒名是指一个病毒的家族特征，是用来.区别和标识病毒家族的. 例如:Sasser(振荡波) Blaster(冲击波) 等. 病毒名可以利用查找资料等方式进一步了解该病毒的详细特征. 病毒后缀 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的. 例如:Worm.Sasser.b就是指振荡波蠕虫病毒的变种B. 病毒后缀能知道病毒是哪个变种。 举例说明1 西游木马变种AKY (Trojan.PSW.Win32.XYOnline. aky) 蠕虫下载器变种RVT（Worm.Win32.Auto.rvt） IRC波特变种XAG（Backdoor.Win32.IRCbot. xag） 举例说明2 熊猫烧香 文件名称：FuckJacks.exe 病毒名称：Trojan-PSW.Win32.QQRob.ec （卡巴斯基） Win32/PSW.QQRob.EC（NOD32） Worm.Nimaya.a(尼姆亚)（瑞星） Worm/Viking.jd（江民） 计算机病毒：“中国黑客”病毒 计算机病毒：“女鬼”病毒 计算机病毒：“白雪公主”病毒 计算机中毒的表现 1、电脑无法启动 电脑感染了引导型病毒后，通常会无法启动，因为病毒破坏了操作系统的引导文件。最典型的病毒是CIH病毒。 2、电脑经常死机 病毒程序打开了较多的程序，或者是病毒自我复制，都会占用大量的CPU资源和内存资源，从而造成机器经常死机。对于网络病毒，由于病毒为了传播，通过邮件服务和QQ等聊天软件传播，也会造成系统因为资源耗尽而死机。 3、文件无法打开 系统中可以执行的文件，突然无法打开。由于病毒修改了感染了文件，可能会使文件损坏，或者是病毒破坏了可执行文件中操作系统中的关联，都会使文件出现打不开的现象。  4、系统经常提示内存不足 现在机器的内存通常是256MB的标准配置，可是在打开很少程序的情况下，系统经常提示内存不足。部分病毒的开发者，通常是为了让病毒占用大量的系统资源，达到让机器死机的目的。 5、机器空间不足 自我复制型的病毒，通常会在病毒激活后，进行自我复制，占用硬盘的大量空间。 6、数据突然丢失 硬盘突然有大量数据丢失，这有可能是病毒具有删除文件的破坏性，导致硬盘的数据突然消失。  7、电脑运行速度特别慢 在运行某个程序时，系统响应的时候特别长，响应的时间，超出了正常响应时间的5位以上。 8、键盘、鼠标被锁死 键盘、鼠标在进行BIOS设置时正常，进入系统后无法使用。部分病毒，可以锁定键盘、鼠标在系统中的使用。 9、系统每天增加大量来历不明的文件 病毒进行变种，或者入侵系统时遗留下的垃圾文件。 10、系统自动加载某些程序 系统启动时，病毒可能会修改注册表的键值，自动在后台运行某个程序。部分病毒，如QQ病毒，还会自动发送消息。 病毒常见免杀技术 免杀技术之一：加花指令 加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。 免杀技术之二：加壳(壳就是保护病毒不被修改或反编译的一段程序 ) 比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。 多重壳，让杀毒软件看不懂。 伪装壳，把一种壳伪装成其他壳。 免杀技术之三：修改特征码 病毒加壳逃不过杀毒软件的内存杀毒，不过可以定位内存特征码，再修改即可过内存查杀。因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。 谢谢大家！ THE END 北京八维研修学院