计算机病毒基础概念-反病毒技术

反病毒技术

背景：早期病毒比较流行（当时蠕虫和木马比较少），反病毒技术应用而生。现今蠕虫和木马攻击也层出不穷，病毒、蠕虫、木马这些执行恶意任务的程序被统称为恶意软件。现在的反病毒技术含义是被广义化的，事实上更准确来说是反恶意软件，各类恶意软件层见叠出，反病毒技术的术语则被保留了下来。目前的AV就等同于反恶意软件。

一、计算机病毒基础概述

1.病毒基本概念

病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取用户数据，有些病毒甚至会对主机硬件造成破坏。

反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。

病毒威胁场景：内网用户可以从外网下载文件，外网用户也可以上传文件到内网服务器

病毒威胁场景

2.常见病毒传播途径

（1）.电子邮件

HTML正文可能被嵌入恶意脚本；邮件附件携带病毒压缩文件；利用社会工程学进行伪装，增大病毒传播机会；快捷传播特性。

（2）.网络共享

病毒会搜索本地网络中存在的共享，包括默认共享，如ADMIN$、IPC$、E$、D$、C$；通过空口令或弱口令猜测，获得完全访问权限；病毒自带口令猜测列表；将自身复制到网络共享文件夹中

通常以游戏、CDKEY等相关名字命名。

网络共享方式

（3）.P2P共享软件

将自身复制到P2P共享文件夹；通常以游戏，CDKEY等相关名字命名；通过P2P软件共享给网络用户；利用社会工程学进行伪装，添使用户下载。

（4）.系统漏洞

由于操作系统固有的一些设计缺陷，导致被恶意用户通过畸形的方式利用后，可执行任意代码。

病毒往往利用系统漏洞进入系统，达到传播的目的。

举例一些大家熟知的漏洞：

a:微软IS漏洞

b:快捷方式文件解析漏洞

c:RPC远程执行漏洞

d:打印机后台程序服务漏洞

（5）.广告软件/灰色软件

灰色软件是指不被认为是病毒木马，但对用户的计算机会造成负面影响的软件。比如说广告软件，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定而被安装。

多项可选的软件

（6）.其他

网页感染；与正常软件捆绑；用户直接运行病毒程序；由其他恶意程序释放。

3.计算机病毒分类

按照恶意代码功能分类：病毒、蠕虫、木马；

按照传播机制分类：可移动媒体、网络共享、网络扫描、电子邮件、P2P网络；

按照感染对象分类：操作系统、应用程序、设备；

按照携带者对象分类：可执行文件、脚本、宏、引导区。

（1）.病毒的程序组成

感染标记、感染程序模块、破坏程序模块、触发程序模块

（2）.病毒的工作原理

计算机病毒感染的一般过程为：

a:当计算机运行染毒的宿主程序时，病毒夺取控制权；

b:寻找感染的突破口；

c:将病毒程序嵌入感染目标中。

病毒工作原理

4.蠕虫

蠕虫是一个能传染自身拷贝到另一台计算机上的程序。

（1）蠕虫工作原理

蠕虫的工作方式一般是“扫描→攻击→复制”。

蠕虫工作原理

5.特洛伊木马

木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

特洛伊木马

（1）特洛伊木马工作原理

运用木马实施网络入侵的基本过程。

特洛伊木马工作原理

6.三类病毒对比

病毒、蠕虫、木马对比图

7.常见病毒行为特征

a:下载与后门特性；

b:信息收集特性；

口QQ密码和聊天记录；

口网络游戏帐号密码；

口网上银行帐号密码；

口用户网页浏览记录和上网习惯；

c:自身隐藏特性；

口多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。

d:文件感染特性；

口文件型病毒的一个特性是感染系统中的可执行文件。

e:网络攻击特性；

口蠕虫病毒会针对操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意代码。

病毒特性

规范上网行为，不去点击恶意钓鱼网站，储备常见安全知识，营造绿色的上网环境！