計(jì)算機(jī)病毒機(jī)理分析

第三講病毒機(jī)理分析2本章概要本章內(nèi)容主要是計(jì)算機(jī)病毒的基礎(chǔ)知識(shí)，包括：計(jì)算機(jī)病毒結(jié)構(gòu)分析計(jì)算機(jī)病毒傳播技術(shù)計(jì)算機(jī)病毒觸發(fā)機(jī)制計(jì)算機(jī)病毒隱藏機(jī)制計(jì)算機(jī)病毒破壞機(jī)制3本章目標(biāo)

通過本章學(xué)習(xí)，學(xué)員應(yīng)該了解各種病毒的結(jié)構(gòu)、傳播技術(shù)、病毒的觸發(fā)、隱藏、破壞機(jī)制等，為深入了解計(jì)算機(jī)病毒做好準(zhǔn)備。計(jì)算機(jī)病毒結(jié)構(gòu)分析Windows重要文件的結(jié)構(gòu)磁盤引導(dǎo)區(qū)結(jié)構(gòu)；COM文件結(jié)構(gòu)；EXE文件結(jié)構(gòu)；PE文件結(jié)構(gòu)；5磁盤的基本概念磁盤：

一種磁介質(zhì)的外部存儲(chǔ)設(shè)備，在其盤片的每一面上，以轉(zhuǎn)動(dòng)軸為軸心、以一定的磁密度為間隔的若干同心圓就被劃分成磁道(Track)，每個(gè)磁道又被劃分為若干個(gè)扇區(qū)(Sector)，數(shù)據(jù)就按扇區(qū)存放在硬盤上。6磁盤引導(dǎo)區(qū)磁盤引導(dǎo)區(qū)：

記錄著磁盤的一些最基本的信息，磁盤的第一個(gè)扇區(qū)被保留為主引導(dǎo)扇區(qū)，它位于整個(gè)硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR(MainBootRecord)和分區(qū)表DPT(DiskPartitionTable)以及磁盤的有效標(biāo)志。主引導(dǎo)記錄的作用

就是檢查分區(qū)表是否正確以及確定哪個(gè)分區(qū)為引導(dǎo)分區(qū)，并在程序結(jié)束時(shí)把該分區(qū)的啟動(dòng)程序(也就是操作系統(tǒng)引導(dǎo)扇區(qū))調(diào)入內(nèi)存加以執(zhí)行。在總共512字節(jié)的主引導(dǎo)扇區(qū)里MBR占446個(gè)字節(jié)（偏移0--偏移1BDH），DPT占64個(gè)字節(jié)（偏移1BEH--偏移1FDH），最后兩個(gè)字節(jié)“55AA”（偏移1FEH--偏移1FFH）是硬盤有效標(biāo)志7標(biāo)準(zhǔn)的主引導(dǎo)扇區(qū)的結(jié)構(gòu)地址長(zhǎng)度（字節(jié)）描述HEXDEC00000396-446代碼區(qū)39436四個(gè)

9byte的主分區(qū)表入口（選用

IBM的延伸

MBR分區(qū)表規(guī)劃）01B84404選用磁盤標(biāo)志01BC4442一般為空值:0x000001BE44664四個(gè)

16byte的主分區(qū)表入口（標(biāo)準(zhǔn)

MBR分區(qū)表規(guī)劃）01FE5102MBR有效標(biāo)志

(0x550xAA)8分區(qū)表DPT(DiskPartitionTable)偏移地址字節(jié)數(shù)含義分析01BE1分區(qū)類型：00表示非活動(dòng)分區(qū)：80表示活動(dòng)分區(qū)；其他為無效分區(qū)01BF~13分區(qū)的起始地址（面/扇區(qū)/磁道）21分區(qū)的操作系統(tǒng)的類型3~53該分區(qū)的結(jié)束地址（面/扇/道）6~94該分區(qū)起始邏輯扇區(qū)01CA~01CD4該分區(qū)占用的總扇區(qū)數(shù)9被破壞的主引導(dǎo)區(qū)記錄

“Non-Systemdiskordiskerror，replacediskandpressakeytoreboot”(非系統(tǒng)盤或盤出錯(cuò))

“ErrorLoadingOperatingSystem”(裝入DOS引導(dǎo)記錄錯(cuò)誤)

“NoROMBasic，SystemHalted”(不能進(jìn)入ROMBasic，

系統(tǒng)停止響應(yīng))

比較嚴(yán)重的情況下，無任何信息10引導(dǎo)病毒感染過程引導(dǎo)扇區(qū)11引導(dǎo)記錄病毒代碼內(nèi)存引導(dǎo)扇區(qū)引導(dǎo)扇區(qū)系統(tǒng)啟動(dòng)讀寫軟盤讀寫硬盤病毒代碼病毒提供的引導(dǎo)扇區(qū)主引導(dǎo)記錄病毒引導(dǎo)病毒在感染硬盤之后硬盤12Sector1Sector2Sector3Sector1Sector2Sector3病毒病毒代碼被病毒感染后的硬盤主引導(dǎo)扇區(qū)病毒代碼主引導(dǎo)扇區(qū)MBRMBR幾種引導(dǎo)型病毒：“石頭”病毒：

把自己放在主引導(dǎo)記錄和第一個(gè)引導(dǎo)扇區(qū)之間，這中間很多扇區(qū)是沒有被使用的13“大腦”和“乒乓”病毒：

可以分析文件分配表的結(jié)構(gòu)，發(fā)現(xiàn)沒有被使用的扇區(qū)之后，將扇區(qū)的標(biāo)志設(shè)置為“壞”，然后將病毒代碼放在這些所謂的壞扇區(qū)中其它病毒：

將自己放在硬盤的最后一個(gè)扇區(qū)上（由于現(xiàn)代的硬盤是非常大，最后一個(gè)扇區(qū)被使用的可能性是非常小的，但是如果在硬盤上同時(shí)安裝了OS/2操作系統(tǒng)，這些病毒會(huì)損壞OS/2操作系統(tǒng)的文件，因?yàn)镺S/2操作系統(tǒng)會(huì)使用這個(gè)扇區(qū)存放一些系統(tǒng)數(shù)據(jù)）?，F(xiàn)在這種病毒已經(jīng)比較少。*.COMCOM文件結(jié)構(gòu)COM文件結(jié)構(gòu)就是源代碼的機(jī)器碼的集合COM文件包含程序的一個(gè)絕對(duì)映象為了運(yùn)行程序準(zhǔn)確的處理器指令和內(nèi)存中的數(shù)據(jù)，MS-DOS通過直接把該映象從文件拷貝到內(nèi)存而加載.COM程序，它不作任何改變。為加載一個(gè).COM程序，MS-DOS首先試圖分配內(nèi)存,因?yàn)?COM程序必須位于一個(gè)64K的段中，所以.COM文件的大小不能超過65,024(64K減去用于PSP的256字節(jié)和用于一個(gè)起始堆棧的至少256字節(jié))14exe文件結(jié)構(gòu)*.EXEEXE文件結(jié)構(gòu)：屬于一種多段的結(jié)構(gòu)，是DOS最成功和復(fù)雜的設(shè)計(jì)之一。一個(gè)文件頭一個(gè)可重定位程序的映像15.exe文件文件頭程序映像文件頭結(jié)構(gòu)：包含MS-DOS用于加載程序的信息，例如程序的大小和寄存器的初始值。文件頭還指向一個(gè)重定位表，該表包含指向程序映像中可重定位段地址的指針鏈表。*.EXEexe文件頭結(jié)構(gòu)16偏移量含義00h～01hMZ，exe文件標(biāo)記02h～03h文件長(zhǎng)度除以512的余數(shù)04h～05h文件長(zhǎng)度除以512的商06h～07h重定位項(xiàng)的個(gè)數(shù)08h～09h文件頭除以16的商0ah～0bh程序運(yùn)行所需最小段數(shù)0ch～0dh程序運(yùn)行所需最大段數(shù)0eh～0fh堆棧段的段值（SS）10h～11h堆棧段的段值（SP）12h～13h文件校驗(yàn)和14h～15h裝入模塊入口時(shí)的IP值16h～17h裝入模塊代碼相對(duì)段值（CS）18h～19h重定位表，開始位置，以位移地址表示1ah～1bh覆蓋號(hào)（程序駐留為零）1ch重定位表，起點(diǎn)由偏移18h～19h給出，項(xiàng)數(shù)由06h～07h標(biāo)明程序映像包含處理代碼和程序的初始數(shù)據(jù)，緊接在文件頭之后。大小以字節(jié)為單位，等于exe文件的大小減去文件頭的大小也等于exHeaderSize的域的值乘以16MS-DOS通過把該映像直接從文件復(fù)制到內(nèi)存加載exe程序，然后調(diào)整定位表中說明的可重定位段地址17文件頭程序映像=exHeaderSize域值*16（字節(jié)）=exHeaderSize域值（字節(jié)）*.EXE定位表是一個(gè)重定位指針數(shù)組，每個(gè)指向程序映像中的可重定位段地址重定位指針由兩個(gè)16位值組成：偏移量和段值18*.EXEAL加載.exe程序19文件頭.exe文件程序映像MS-DOS確定exe標(biāo)志計(jì)算程序映像大小PSP大小exMinAlloc域說明的內(nèi)存大小++內(nèi)存大小MS-DOS分析申請(qǐng)內(nèi)存段地址確定MS-DOS加載重定位表、調(diào)整段地址讀取并調(diào)整可重定向位段地址起始段地址MS-DOS調(diào)整被加載程序的代碼和數(shù)據(jù)段256BPSPAHMS-DOS加載com程序時(shí)所設(shè)置的值SSSPSS起始地址csIPCS映像PE文件結(jié)構(gòu)PE文件

PortableExecutable是一種針對(duì)微軟WindowsNT、Windows95和Win32s系統(tǒng)，由微軟公司設(shè)計(jì)的可執(zhí)行的二進(jìn)制文件（DLLs和執(zhí)行程序）格式，目標(biāo)文件和庫文件通常也是這種格式20認(rèn)識(shí)PE文件結(jié)構(gòu)查找某個(gè)結(jié)構(gòu)信息的方法：通過鏈表數(shù)據(jù)在文件中存放的位置比較自由

采用緊湊或固定的位置存放 要求數(shù)據(jù)結(jié)構(gòu)大小固定，他在文件中的存放位置也相對(duì)固定。2122PE文件結(jié)構(gòu)層次圖PE文件簡(jiǎn)單感染方式1．

判斷目標(biāo)文件開始的兩個(gè)字節(jié)是否為“MZ”2．

判斷PE文件標(biāo)記“PE”3．

判斷感染標(biāo)記，如果已被感染過則跳出繼續(xù)執(zhí)行被感染程序，否則繼續(xù)4．

獲得Directory（數(shù)據(jù)目錄）的個(gè)數(shù)，每個(gè)數(shù)據(jù)目錄信息占8個(gè)字節(jié)5．

獲得節(jié)表起始位置6．

得到目前最后節(jié)表的末尾偏移（緊接其后用于寫入一個(gè)新的病毒節(jié)）節(jié)表起始位置＋節(jié)的個(gè)數(shù)×（每個(gè)節(jié)表占用的字節(jié)數(shù)28H）＝目前最后節(jié)表的末尾偏移7．

根據(jù)本身的修改修改節(jié)表的信息23系統(tǒng)的啟動(dòng)和加載WindowsXP的啟動(dòng)過程電源開啟自檢過程

初始化啟動(dòng)過程

引導(dǎo)程序載入過程

檢測(cè)和配置硬件過程

內(nèi)核加載過程用戶登錄過程

即插即用設(shè)備的檢測(cè)過程25Step1:電源開啟自檢過程進(jìn)行硬件的初始化檢查

例如：檢查內(nèi)存的容量等

驗(yàn)證用于啟動(dòng)操作系統(tǒng)的設(shè)備是否正常

例如：檢查硬盤是否存在等

從CMOS中讀取系統(tǒng)配置信息26在完成了電源啟動(dòng)的自檢之后，每個(gè)帶有固件的硬件設(shè)備，如顯卡和磁盤控制器，都會(huì)根據(jù)需要完成內(nèi)部的自檢操作。CMOS在計(jì)算機(jī)領(lǐng)域，CMOS常指保存計(jì)算機(jī)基本啟動(dòng)信息（如日期、時(shí)間、啟動(dòng)設(shè)置等）的芯片。有時(shí)人們會(huì)把CMOS和BIOS混稱，其實(shí)CMOS是主板上的一塊可讀寫的RAM芯片，是用來保存BIOS的硬件配置和用戶對(duì)某些參數(shù)的設(shè)定。CMOS可由主板的電池供電，即使系統(tǒng)掉電，信息也不會(huì)丟失。27Step2:初始化啟動(dòng)過程（硬盤引導(dǎo)）系統(tǒng)首先檢測(cè)打開電源的硬盤若該硬盤是啟動(dòng)盤，BIOS就將主引導(dǎo)記錄（MainBootRecord――MBR）中的引導(dǎo)代碼載入內(nèi)存接著，BIOS會(huì)將啟動(dòng)過程的運(yùn)行交給MBR來進(jìn)行計(jì)算機(jī)搜索MBR中的分區(qū)表，找出活動(dòng)分區(qū)（ActivePartition）計(jì)算機(jī)將活動(dòng)分區(qū)的第一個(gè)扇區(qū)中的引導(dǎo)代碼載入到內(nèi)存引導(dǎo)代碼檢測(cè)當(dāng)前使用的文件系統(tǒng)是否可用引導(dǎo)代碼查找ntldr文件，找到之后啟動(dòng)它BIOS將控制權(quán)轉(zhuǎn)交給ntldr，由ntldr完成操作系統(tǒng)的啟動(dòng)28Step3:引導(dǎo)程序載入過程在基于X86CPU的系統(tǒng)下，設(shè)置CPU的運(yùn)行使用32位的Flat內(nèi)存模式啟動(dòng)文件系統(tǒng)讀取boot.ini文件根據(jù)需要提供啟動(dòng)菜單檢測(cè)硬件和硬件配置29本過程主要由ntldr文件完成NTLDR全稱是是一個(gè)隱藏的，只讀的系統(tǒng)文件，位置在系統(tǒng)盤的根目錄，用來裝載操作系統(tǒng)。是winNT/win2000/WinXP的引導(dǎo)文件，當(dāng)此文件丟失時(shí)啟動(dòng)系統(tǒng)會(huì)提示“NTLDRismissing...”并要求按任意鍵重新啟動(dòng)，不能正確進(jìn)入系統(tǒng)，應(yīng)該在系統(tǒng)正常的時(shí)候給予備份。Step4:檢測(cè)和配置硬件過程ntldr會(huì)啟動(dòng)程序會(huì)通過調(diào)用系統(tǒng)固件程序收集安裝的硬件信息將這些信息傳遞送回ntldrntldr將這些信息組織成為內(nèi)部的斷氣結(jié)構(gòu)形式由ntldr啟動(dòng)并發(fā)送信息給ntoskrnl.exe30完成信息的檢測(cè)之后，WindowsXP會(huì)在屏幕上顯示那個(gè)著名的WindowsXP商標(biāo)，并顯示一個(gè)滾動(dòng)的，告訴用戶Windows的啟動(dòng)進(jìn)程Step4:檢測(cè)和配置硬件過程--NN會(huì)收集如下類型的硬件信息：

1.系統(tǒng)固件信息，例如時(shí)間和日期等

2.總線適配器的類型

3.顯卡適配器的類型

4.鍵盤

5.通信端口

6.磁盤

7.軟盤

8.輸入設(shè)備，例如鼠標(biāo)

9.并口

10.安裝在ISA槽中的ISA設(shè)備31ISAISA插槽是基于ISA總線（IndustrialStandardArchitecture，工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)總線）的擴(kuò)展插槽，其顏色一般為黑色，比PCI接口插槽要長(zhǎng)些，位于主板的最下端。其工作頻率為8MHz左右，為16位插槽，最大傳輸率16MB/sec，可插接顯卡，聲卡，網(wǎng)卡以及所謂的多功能接口卡等擴(kuò)展插卡。其缺點(diǎn)是CPU資源占用太高，數(shù)據(jù)傳輸帶寬太小，是已經(jīng)被淘汰的插槽接口。在1988年，康柏、惠普等9個(gè)廠商協(xié)同把ISA擴(kuò)展到32-bit，這就是著名的EISA（ExtendedISA，擴(kuò)展ISA）總線?？上У氖牵珽ISA仍舊由于速度有限，并且成本過高，在還沒成為標(biāo)準(zhǔn)總線之前，在20世紀(jì)90年代初的時(shí)候，就給PCI總線給取代了。32Step5：內(nèi)核加載過程將內(nèi)核（ntoskrnl.exe）和硬件抽象層（hal.dll）載入到內(nèi)存

加載控制集信息

ntldr從注冊(cè)表中的HKEY_LOCAL-_MACHINE\SYSTEM

位置加載相應(yīng)的控制集（ControlSet）信息，并確定在啟動(dòng)過程中要加載的設(shè)備驅(qū)動(dòng)

加載設(shè)備驅(qū)動(dòng)程序和服務(wù)

系統(tǒng)會(huì)在BIOS的幫助下開始加載設(shè)備驅(qū)動(dòng)程序、服務(wù)

啟動(dòng)會(huì)話管理器內(nèi)核會(huì)啟動(dòng)會(huì)話管理器（SessionManager）,即smss.exe（1）創(chuàng)建系統(tǒng)環(huán)境變量

（2）創(chuàng)建虛擬內(nèi)存頁面文件33Step6:用戶登錄過程Windows子系統(tǒng)會(huì)啟動(dòng)winlogon.exe（服務(wù)）

用于提供對(duì)Windows用戶的登錄和注銷的支持

一個(gè)圖形化的識(shí)別和認(rèn)證組件收集用戶的帳號(hào)和密碼，然后傳送給LSA以進(jìn)行認(rèn)證處理

通過認(rèn)證，允許用戶對(duì)系統(tǒng)進(jìn)行訪問34Step7:即插即用設(shè)備的檢測(cè)過程對(duì)新設(shè)備進(jìn)行檢測(cè)和枚舉為新設(shè)備分配系統(tǒng)資源為新設(shè)備安裝一個(gè)合適版本的驅(qū)動(dòng)程序35WindowsXP啟動(dòng)完成計(jì)算機(jī)病毒特性計(jì)算機(jī)病毒與反病毒技術(shù)計(jì)算機(jī)病毒只有當(dāng)它在計(jì)算機(jī)內(nèi)得以運(yùn)行時(shí)，才具有傳染性和破壞性等活性反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)37病毒特征－傳染性病毒的基本特征通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散。被嵌入的程序叫做宿主程序38病毒特性－潛伏性第一表現(xiàn)：病毒程序需用專用檢測(cè)程序才能檢查出來可以躲在磁盤呆上幾天，甚至幾年時(shí)機(jī)成熟，四處繁殖、擴(kuò)散第二表現(xiàn)病毒內(nèi)部有一觸發(fā)機(jī)制不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞滿足觸發(fā)條件,有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作

如格式化磁盤、刪除磁盤文件、對(duì)數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等觸發(fā)條件時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等39病毒特性－隱藏性病毒未經(jīng)授權(quán)而執(zhí)行隱藏在正常程序中竊取系統(tǒng)控制權(quán)，先于正常程序執(zhí)行病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的40病毒特性－破壞性降低計(jì)算機(jī)系統(tǒng)的工作效率占用系統(tǒng)資源毀掉系統(tǒng)的部分?jǐn)?shù)據(jù)破壞全部數(shù)據(jù)并使之無法恢復(fù)病毒交叉感染導(dǎo)致系統(tǒng)崩潰

。。。。。。41病毒傳播技術(shù)病毒傳播渠道電子郵件例如梅麗莎病毒，第一個(gè)通過電子郵件傳播的病毒網(wǎng)絡(luò)共享P2P共享軟件例如WORM_LIRVA.C病毒可以通過Kazaa點(diǎn)對(duì)點(diǎn)文件共享軟件傳即即時(shí)通信軟件例如MSN、QQ病毒系統(tǒng)中程序的漏洞缺陷例如震蕩波病毒 ……43電子郵件傳播方式html格式的信件正文可以嵌入病毒腳本郵件附件更是可以附帶各種不同類型的病毒文件特點(diǎn)：利用社會(huì)工程學(xué)發(fā)信人的地址也許是熟識(shí)的郵件的內(nèi)容帶有欺騙性、誘惑性利用IE漏洞，在沒有打開附件的情況下感染病毒此類病毒的代表有WORM_NETSKY、WORM_BAGLE、WORM_MYDOOM系列等44病毒舉例－WORM_MYDOOM.A發(fā)送的郵件所使用的地址為從被感染的系統(tǒng)中收集默認(rèn)的Windows地址簿（WAB）WAB，ADB，TBB，DBX，ASP，PHP，SHT，HTM，TXT等類型的文件使用自身的SMTP引擎發(fā)送郵件SMTP服務(wù)器名稱系從收集到電子郵件地址中提取 例如收集到的郵件地址為user@

WORM_MYDOOM.A從郵件地址中提取出域名的部分，然后加上一些前綴（如mx.，mail.，smtp.，mx1.，mxs.，mail1.，relay.，ns.，gate.等）嘗試作為郵件的發(fā)送服務(wù)器地址SMTP服務(wù)器還可以獲得的電子郵件地址進(jìn)行DNS查詢的方式45防范措施使用網(wǎng)絡(luò)郵件防毒網(wǎng)關(guān)如趨勢(shì)科技的IMSS對(duì)郵件附件進(jìn)行過濾在現(xiàn)有的Exchange或是Domino服務(wù)器上安裝郵件防毒產(chǎn)品如趨勢(shì)科技的Scanmail在客戶端（主要是Outlook）限制訪問附件中的特定擴(kuò)展名的文件46網(wǎng)絡(luò)共享傳播方式通過搜索局域網(wǎng)中所有具有寫權(quán)限的網(wǎng)絡(luò)共享將自身進(jìn)行復(fù)制進(jìn)行傳播可自帶口令猜測(cè)的字典來破解薄弱用戶口令47sharingVirus防范措施域安全策略上增加口令強(qiáng)度策略定期對(duì)網(wǎng)絡(luò)中的登錄口令進(jìn)行破解嘗試使用共享掃描工具定期掃描開放共享48系統(tǒng)漏洞傳播方式是操作系統(tǒng)的一些缺陷利用漏洞執(zhí)行任意的代碼病毒通過對(duì)某個(gè)存在漏洞的操作系統(tǒng)進(jìn)行漏洞的利用，達(dá)到傳播的目的49防范措施WindowsUpdate自動(dòng)升級(jí)定期通過漏洞掃描產(chǎn)品查找存在漏洞的主機(jī)及時(shí)向內(nèi)部人員發(fā)布安全通知、處置方法50P2P共享軟件傳播方式生成自身拷貝時(shí)使用一些吸引人或是容易被人搜索到的名稱，以獲得被他人下載的機(jī)會(huì)例如WORM_MYDOOM.A生成如下的文件名稱就很具有欺騙性：nuke2004，office_crack，rootkitXP，strip-girl-2.0bdcom_patchers，activation_crack，icq2004-final，winamp5。51防范措施建議企業(yè)使用技術(shù)手段，在防火墻上設(shè)置禁止P2P軟件的使用52即時(shí)通信軟件傳播方式將自身快速地在即時(shí)通信軟件之間快速傳送病毒也會(huì)同時(shí)發(fā)送一些欺騙性的文字，使得接收方確信是發(fā)送方發(fā)送的文件，從而接收并打開53防范措施建議企業(yè)使用技術(shù)手段，在防火墻的設(shè)置中，對(duì)企業(yè)內(nèi)部所使用的即時(shí)通信軟件的一些端口進(jìn)行阻擋，以禁止此類即時(shí)通信軟件的文件傳送功能54病毒觸發(fā)機(jī)制觸發(fā)條件日期觸發(fā)時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動(dòng)觸發(fā)訪問磁盤次數(shù)觸發(fā)調(diào)用中斷功能觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā)56保證自身啟動(dòng)方式修改系統(tǒng)注冊(cè)表；修改系統(tǒng)配置文件；添加自身為系統(tǒng)服務(wù)；系統(tǒng)啟動(dòng)文件夾；其他方式57通過修改系統(tǒng)注冊(cè)表自啟動(dòng)HKEY_CLASSES_ROOT管理文件系統(tǒng)HKEY_CURRENT_USER管理系統(tǒng)當(dāng)前的用戶信息HKEY_LOCAL_MACHINE管理當(dāng)前系統(tǒng)硬件配置HKEY_USERS管理系統(tǒng)的用戶信息HKEY_CURRENT_CONFIG管理當(dāng)前用戶的系統(tǒng)配置58系統(tǒng)注冊(cè)表應(yīng)用(1)保證自身在系統(tǒng)啟動(dòng)時(shí)執(zhí)行起來[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]59WORM_MYDOOM.A該病毒會(huì)生成以下的注冊(cè)表項(xiàng)目以保證自己的執(zhí)行：60HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunTaskMon=%System%\taskmon.exeHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunTaskMon=%System%\taskmon.exe生成以下注冊(cè)表鍵值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunConfigLoader="sysldr32.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesConfigLoader="sysldr32.exe"系統(tǒng)注冊(cè)表應(yīng)用(2)注冊(cè)表中還記錄了特定類型文件打開時(shí)的默認(rèn)關(guān)聯(lián)方式，某些病毒會(huì)通過修改這一關(guān)聯(lián)方式，使得用戶在打開某種類型的文件時(shí)，病毒程序反而被執(zhí)行起來[HKEY_CLASSES_ROOT\exefile\shell\open\command]@="%1\"%*[HKEY_CLASSES_ROOT\comfile\shell\open\command]@="%1"%*[HKEY_CLASSES_ROOT\batfile\shell\open\command]@="%1"%*[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]@="%1"%*[HKEY_CLASSES_ROOT\piffile\shell\open\command]@="%1"%*[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]@="%1"%*[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]@="%1"%*[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]@="%1"%*[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]@="%1"%*[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]@=“%1”%*這些"%1%*"需要被賦值,如果將其改為

"server.exe%1%*"，server.exe將在執(zhí)行