工學計算機病毒

2023/12/61第14講計算機病毒及其防范王志偉Email:zhwwang@2023/12/62課程內(nèi)容病毒概述及其發(fā)展史病毒的原理與檢測技術

病毒防范技術措施4123病毒類型介紹什么是病毒?醫(yī)學上的病毒定義： 是一類比較原始的、有生命特征的、能夠自我復制和在細胞內(nèi)寄生的非細胞生物。

什么是計算機病毒?計算機病毒通常是指可以自我復制，以及向其他文件傳播的程序。2023/12/65計算機病毒的起源1949年，電腦的先驅(qū)者馮·諾伊曼在他的一篇文章《復雜自動裝置的理論及組織的行為》中，即提出一種會自我繁殖的程序的可能。十年之后，在貝爾實驗室中，這個概念在一個電子游戲中形成了。這個電子游戲叫“CoreWar”2023/12/66CorewarCoreWar的玩法如下：雙方各編寫一套程序，輸入同一部電腦中。這兩套程序在計算機內(nèi)存中運行，它們相互追殺。有時它們回放下一些關卡，有時會停下來修復被對方破壞的指令。當它們被困時，可以自己復制自己，逃離險境。因為它們都在電腦的內(nèi)存（以前是用core做內(nèi)存的）游走，因此叫CoreWar。這個游戲的特點，在於雙方的程序進入電腦之后,玩游戲的人只能看著屏幕上顯示的戰(zhàn)況，而不能做任何更改，一直到某一方的程式被另一方的程式完全[吃掉]為止。計算機病毒發(fā)展

1、DOS引導階段 1987年，計算機病毒主要是引導型病毒，具有代表性的是“小球”和“石頭”病毒。

當時的計算機硬件較少,功能簡單,一般需要通過軟盤啟動后使用。引導型病毒利用軟盤得啟動原理工作,它們修改系統(tǒng)啟動扇區(qū),在計算機啟動時首先取得控制權,減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時進行傳播。1989年,引導型病毒發(fā)展為可以感染硬盤,典型的代表有"石頭2"。

計算機病毒發(fā)展

2、DOS可執(zhí)行階段

1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機制工作,代表為"耶路撒冷","星期天"病毒,病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權,修改DOS中斷,在系統(tǒng)調(diào)用時進行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。1990年,發(fā)展為復合型病毒,可感染COM和EXE文件。

3、伴隨型病毒階段

1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進行工作。它感染EXE文件時生成一個和EXE同名的擴展名為COM伴隨體，這樣,在DOS加載文件時,病毒就取得控制權。計算機病毒發(fā)展 4、幽靈、多形階段 1994年,隨著匯編語言的發(fā)展,實現(xiàn)同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。幽靈病毒就是利用這個特點,每感染一次就產(chǎn)生不同的代碼。計算機病毒發(fā)展

5、生成器階段 1995年,在匯編語言中,一些數(shù)據(jù)的運算放在不同的通用寄存器中,可運算出同樣的結(jié)果,隨機的插入一些空操作和無關指令,也不影響運算的結(jié)果,這樣,一段解碼算法就可以由生成器生成。當生成的是病毒時,這種復雜的稱之為病毒生成器和變體機就產(chǎn)生了。具有典型代表的是“病毒制造機“。計算機病毒發(fā)展 6、網(wǎng)絡蠕蟲階段 1995年,隨著網(wǎng)絡的普及,病毒開始利用網(wǎng)絡進行傳播,它們只是以上幾代病毒的改進。在非DOS操作系統(tǒng)中,"蠕蟲"是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡功能搜索網(wǎng)絡地址,將自身向下一地址進行傳播,有時也在網(wǎng)絡服務器和啟動文件中存在。計算機病毒發(fā)展 7、Windows病毒階段

1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發(fā)展,它們修改文件,典型的代表是DS.3873,這類病毒的機制更為復雜,它們利用保護模式和API調(diào)用接口工作,清除方法也比較復雜。計算機病毒發(fā)展 8、宏病毒階段

1996年,隨著WindowsWord功能的增強,使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言,編寫容易,感染W(wǎng)ord文檔文件。在Excel出現(xiàn)的相同工作機制的病毒也歸為此類。計算機病毒發(fā)展 9、互連網(wǎng)階段 1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒。計算機病毒發(fā)展2023/12/616瑞星安全報告:2007年電腦病毒暴增7成“網(wǎng)游盜號木馬”成為2007年十大病毒之首。安全廠商瑞星發(fā)布《2007年電腦病毒疫情和互聯(lián)網(wǎng)安全報告》顯示，全年截獲病毒樣本約91.8萬個，比上一年增加70%，其中木馬和后門病毒占總體病毒的84.5%。報告指出，以前病毒制造者與安全廠商之間的對抗，主要是逃避查殺，而今則演變?yōu)橹鲃訉埂＜床《緦Π踩浖M行專門的攻防試驗，試圖制造可以越過或關閉殺毒軟件的病毒。值得注意的是，“惡意網(wǎng)站”成為新的安全熱點，包括網(wǎng)頁掛馬、釣魚網(wǎng)站、流氓網(wǎng)站等在內(nèi)的惡意網(wǎng)站成為新的威脅來源2023/12/618瑞星安全報告2009年上半年摘錄2009年上半年，瑞星“云服務”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達2.9億個，共有11.2億人次網(wǎng)民遭木馬攻擊，平均每天有622萬余人次網(wǎng)民被掛馬網(wǎng)站攻擊，廣東、北京、湖南是受木馬網(wǎng)站攻擊次數(shù)最多三個省?！霸品铡睉谩鹦前踩阉?。瑞星用戶在通過百度、Google進行網(wǎng)頁搜索時，瀏覽的網(wǎng)頁都會經(jīng)過瑞星診斷，安全和存在風險的網(wǎng)頁可以清晰地進行區(qū)分，從而解決用戶在搜索網(wǎng)頁過程中訪問掛馬網(wǎng)站、感染木馬病毒等問題。隨著殺毒軟件對掛馬網(wǎng)站的有效攔截，目前木馬病毒的增長勢頭被成功遏制，而傳統(tǒng)的“感染型病毒”逐漸抬頭，這表明病毒制造團伙在掛馬網(wǎng)站被封堵的情況下，只好回歸以往高成本的“感染性病毒”（編寫較為復雜、感染效率低）攻擊方式。2023/12/619課程內(nèi)容病毒概述及其發(fā)展史病毒的原理與檢測技術

病毒防范技術措施4123病毒類型介紹傳統(tǒng)病毒的分類

DOS病毒

Windows病毒

宏病毒

腳本病毒

引導型病毒病毒的不同類型引導型病毒計算機啟動時使用了被病毒感染的磁盤啟動病毒感染硬盤在此以后所有使用的磁盤都會感染DOS病毒*.COM*.EXE*.SYS*.OVL*.DRV*.BINDOS病毒是一種只能在DOS環(huán)境下運行，傳染的計算機病毒，是最早出現(xiàn)的計算機病毒。Windows病毒W(wǎng)indows病毒是指能感染W(wǎng)indows可執(zhí)行程序并可在Windows下運行的一類病毒。Windows病毒按其感染的對象又可分為感染NE格式（Windows3.X）可執(zhí)行程序的Windows3.X病毒；感染PE格式（Windows95/98）可執(zhí)行程序的WIN95/98病毒。Windows病毒

程序/可執(zhí)行文件

[NE,PE](*.EXE)

其它帶有可執(zhí)行代碼的文件(*.SCR,*.HLP,*.OCX)

設備驅(qū)動程序[LE,PE](*.DLL,*.DRV,*.VXD)通常感染的文件類型：Windows病毒可執(zhí)行文件信息的改變（例如文件大小，時間標記，行為等）任何異常的任務/進程注冊表或者配置文件的異?；蚩梢傻母膭虞d體程序病毒代碼病毒防護檢查內(nèi)容：Windows病毒許多Windows病毒都是將自己的代碼插入到載體文件中去，從而文件長度會有所增加。VirusHeaderVirusVirusVirusHeader其它一些復雜的Windows病毒會自動查找可執(zhí)行程序的空閑空間，將自身程序分成小段插入進去，因此文件長度不會改變。VirusVirusVirusHeaderVirusVirusVirusVirusAppendPrependInsert宏病毒W(wǎng)ordBasicVisualbasicforApplications(VBA)宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上。當被感染的文件用Word應用程序打開的時候，通常其中包含的宏代碼就會復制到通用模板中去當病毒長駐在通用模板中時，它會自動生成一些額外的拷貝到別的被Word打開的文檔中去通用模板用于文檔設置和宏的基本設定Word文檔中的宏病毒當啟動文件夾中有宏病毒時，它會在所有用Excel打開的電子表格中添夾自身的副本。當Excel啟動的時候，在啟動文件夾中的Excel文件中的宏會被自動執(zhí)行。Excel文檔中的宏病毒一個被感染病毒的電子表格文件被Excel打開時，它會自動在啟動文件夾中添加一份自身的副本。宏病毒某些癥狀被感染的文件的大小會增加當你關閉文件時程序會問你是否要保存所做的更改，而實際上你并沒有對文件做任何改動。普通的文件被當作模板保存起來（針對Word宏病毒）腳本病毒如果一封郵件或某個網(wǎng)頁有惡意腳本惡意腳本會利用網(wǎng)頁瀏覽器或者郵件程序腳本解釋執(zhí)行程序?qū)е滤鼈兛梢詡鞑ズ蛷椭频狡渌泥]件接收者和網(wǎng)頁的使用者腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，一般帶有廣告性質(zhì)，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。點擊Yes會執(zhí)行該腳本，有可能含有惡意代碼；而點擊No則會顯示下面的信息當接收到一封帶有腳本的郵件時，會有以下的信息顯示腳本病毒腳本病毒查看腳本圖標來看電子郵件中是否包含了腳本在其中

腳本圖標的樣子你可以在打開電子郵件之前，先將其保存為HTML格式來檢查腳本病毒一旦保存為HTML格式以后，您就可以查看電子郵件中的腳本代碼了現(xiàn)代計算機病毒類型現(xiàn)代計算機病毒類型

特洛伊木馬程序

蠕蟲

玩笑程序

惡意程序dropper

后門程序

DDos攻擊程序特洛伊木馬程序特洛伊木馬程序是指潛伏在電腦中，受外部用戶控制以竊取本機信息或者控制權的程序。木馬程序危害在于多數(shù)有惡意企圖，例如占用系統(tǒng)資源，降低電腦效能，危害本機信息安全（盜取QQ帳號、游戲帳號甚至銀行帳號），將本機作為工具來攻擊其他設備等。蠕蟲計算機蠕蟲是指一個程序（或一組程序），它會自我復制、傳播到別的計算機系統(tǒng)中去。玩笑程序玩笑程序是普通的可執(zhí)行程序，這些程序建立的目的是用于和計算機用戶開玩笑。這些玩笑程序設計時不是致力于破壞用戶的數(shù)據(jù)，但是某些不知情的用戶可能會引發(fā)不正當?shù)牟僮?，從而導致文件的損壞和數(shù)據(jù)的丟失。玩笑程序常見表現(xiàn)特征：類似常見的普通可執(zhí)行程序

不會感染其它程序不會造成直接破壞可能給用戶帶來煩惱和困惑可能不容易中斷和停止某些設備（例如鼠標或鍵盤）可能會暫時工作反常病毒或惡意程序Droppers病毒或惡意程序Droppers被執(zhí)行后，會在被感染系統(tǒng)中植入病毒或是惡意程序在病毒或惡意程序植入后，可以感染文件和對系統(tǒng)造成破壞用于生成病毒或惡意程序的計算機程序后門程序后門程序是一種會在系統(tǒng)中打開一個秘密訪問方式的程序，經(jīng)常被用來饒過系統(tǒng)安全策略.DDos攻擊程序DDos攻擊程序通常用于攻擊并禁用目標服務器的web服務，導致合法用戶無法獲得正常服務。網(wǎng)絡病毒的概念利用網(wǎng)絡協(xié)議及網(wǎng)絡的體系結(jié)構(gòu)作為傳播的途徑或傳播機制，并對網(wǎng)絡或聯(lián)網(wǎng)計算機造成破壞的計算機病毒稱為網(wǎng)絡病毒。網(wǎng)絡病毒的特點及危害破壞性強傳播性強針對性強擴散面廣傳染方式多消除難度大病毒——網(wǎng)絡攻擊的有效載體網(wǎng)絡攻擊的程序可以通過病毒經(jīng)由多種渠道廣泛傳播攻擊程序可以利用病毒的隱蔽性來逃避檢測程序的搜查病毒的潛伏性和可觸發(fā)性使網(wǎng)絡攻擊防不勝防許多病毒程序可以直接發(fā)起網(wǎng)絡攻擊植入攻擊對象內(nèi)部的病毒與外部攻擊里應外合，破壞目標系統(tǒng)網(wǎng)絡病毒同黑客攻擊技術的融合為網(wǎng)絡帶來了新的威脅。攻擊者可以用病毒作為網(wǎng)絡攻擊的有效載體，呈幾何級地擴大破壞能力。病毒——網(wǎng)絡攻擊的有效載體網(wǎng)絡的新威脅——病毒+網(wǎng)絡攻擊2023/12/647課程內(nèi)容病毒概述及其發(fā)展史病毒的特征與檢測

病毒防范技術措施4123病毒類型介紹2023/12/648當前流行的病毒特征1.抗分析性--具有這類新特性的病毒采用了加密技術和反跟蹤技術來對抗反病毒技術的分析、掃描，極大地增加了計算機病毒防范人員對病毒工作機理的分析難度。--這里的加密技術是一種防靜態(tài)分析技術，使得病毒分析者無法在不執(zhí)行病毒的情況下閱讀加密的計算機病毒源程序；而反跟蹤技術則是使病毒分析者無法動態(tài)跟蹤計算機病毒程序的運行，從而增加了計算機病毒程序的抗破譯能力和偽裝能力。2023/12/6492.隱蔽性--計算機病毒具備隱蔽性和抗分析性的目的相同，即都是為了躲避現(xiàn)有計算機病毒檢測技術，使之不被用戶或病毒防范人員發(fā)現(xiàn)。這類病毒附著于正常程序之中、磁盤較隱蔽的地方或以隱含文件的形式出現(xiàn)。--這類病毒可駐留在內(nèi)存高端。分析內(nèi)存的占用情況（如Bios檢測內(nèi)存容量）不能發(fā)現(xiàn)計算機病毒占用了內(nèi)存。在帶毒環(huán)境下，用DIR命令和DEBUG查看已被感染文件時，看到的是該文件原先未被感染前的正確長度，日期和完全正確的文件頭；例如4096病毒就是具備這種特征的計算機病毒。2023/12/6503.誘惑欺騙性--計算機病毒已由當初有針對性的單一傳播，單種表現(xiàn)破壞行為演變成當前的依賴互聯(lián)網(wǎng)傳播，其擴散速度極快，并且部分病毒還具備跨平臺攻擊的能力。某些計算機病毒不再追求隱蔽性，這類具有與隱蔽性特征完全相反的計算機病毒特征是以某種特殊的表現(xiàn)方式，盡可能地顯示病毒的存在，達到引誘、欺騙用戶不自覺地觸發(fā)、激活病毒的目的。--這類病毒為了觸發(fā)其破壞模塊，會通過許多意想不到的表現(xiàn)手法，利用人性固有的弱點，誘惑用戶去激活病毒的發(fā)作，以實施其破壞功能。2023/12/6514.傳播方式的多樣性與廣泛性--當前已出現(xiàn)可以通過多種方式進行傳播的計算機病毒。這類病毒具有不少于兩種的傳播方式：既可通過文件傳染，又可通過電子郵件傳播；既可通過局域網(wǎng)快速傳播，也可利用ISS4.0/5.0（InternetSecurityScanner）的Unicode后門進行主動傳播。2023/12/6525.破壞性--破壞性是每一個計算機病毒最基本的特征之一，只是破壞性的程度有別，自出現(xiàn)CIH病毒以來，計算機病毒的主要破壞目標和攻擊部件由系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、CMOS向攻擊硬件數(shù)據(jù)的方向發(fā)展。2023/12/6536.變形性

--所謂“變形”，即若通過修改病毒代碼而形成一種新的病毒，使其可以逃匿反病毒手段的檢測，則稱該新出現(xiàn)的病毒是原來未被修改病毒的變形。--這類“變形性”病毒可以是基于病毒變形技術的名謂“病毒制造工廠（VirusProductionFactory，VPF）”的一類開發(fā)病毒工具軟件產(chǎn)生出來的。這種病毒自生成程序能夠制造出稱得上是“海量”的新病毒，企圖從病毒的數(shù)量上對抗反病毒技術。--另一方面，病毒變形還可以通過手工，利用當今新的編程語言與技術來生成。2023/12/6547.遠程啟動性--WindowsNT支持的遠程啟動是網(wǎng)絡管理的有效手段之一。如果病毒成功地利用了遠程啟動功能，則該病毒只需感染局域網(wǎng)中的一臺計算機，就可以使該病毒的破壞行為擴散到整個局域網(wǎng)。例如WantJob病毒在部分條件下可以調(diào)用遠程Service啟動函數(shù)，遠程啟動病毒程序（對于WindowsNT/2000服務器很具殺傷性）。2023/12/6558.攻擊對象的混合性--傳統(tǒng)的病毒攻擊對象單一、代碼精練、表現(xiàn)形式明顯。因此早期的病毒要么就是引導型病毒，要么就是文件型病毒。隨著病毒技術的成熟與進步，編寫病毒程序技巧的日益完善，使新的病毒對象由單個趨向多個、由單一趨向混合。共生性亦稱復合感染性，具有這種特性的病毒稱為“共生病毒”。共生病毒可以表現(xiàn)為不同的形態(tài)，既可以同時感染引導區(qū)和文件，又可同時感染Office文檔和普通的可執(zhí)行文件。2023/12/6569.攻擊技術的混合性--當前流行的病毒所采用的攻擊技術的另一個動向是集文件傳染、蠕蟲、黑客等多種技術于一身。--值得關注的一個重要趨勢是，黑客技術和病毒技術的混合，即黑客借助病毒的廣泛而迅速的傳播特性，把黑客攻擊手段從以往一對一的攻擊變成了一對多的攻擊模式；同時，病毒技術亦借助黑客技術使得病毒的激活變得似乎不復存在，攻擊強度驟增。2023/12/65710.多態(tài)性--具有多態(tài)性的病毒是由于采取了特殊的加密技術編寫的、能夠躲避一般的反病毒軟件的檢測的一類病毒；這類病毒的出現(xiàn)使得所有基于簡單特征碼的病毒檢測技術失效；極大的增加了查毒軟件的編寫難度。病毒的常見癥狀電腦運行比平常遲鈍程序載入時間比平常久對一個簡單的工作，磁盤似乎花了比預期長的時間不尋常的錯誤信息出現(xiàn)硬盤的指示燈無緣無故的亮了系統(tǒng)內(nèi)存容量忽然大量減少可執(zhí)行程序的大小改變了內(nèi)存內(nèi)增加來路不明的常駐程序文件奇怪的消失文件的內(nèi)容被加上一些奇怪的資料文件名稱，擴展名，日期，屬性被更改過 病毒的常見傳播途徑文件傳輸介質(zhì)

例如CIH病毒，通過復制感染程序傳播電子郵件 例如梅麗莎病毒，第一個通過電子郵件傳播的病毒網(wǎng)絡共享

例如WORM_OPASERV.F病毒可以通過網(wǎng)絡中的可寫共享傳播文件共享軟件 例如WORM_LIRVA.C病毒可以通過點對點文件共享軟件傳播 2023/12/660計算機病毒的檢測方法11比較法--用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較--好處是簡單、方便，不需要專用軟件--缺點是無法確認計算機病毒的種類名稱2023/12/661計算機病毒的檢測方法2加總比對法（Checksum）--根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面。--或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用加總對比系統(tǒng)，追蹤并記錄是否更改。2023/12/662計算機病毒的檢測方法3特征字串搜索法用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描，如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計算機病毒分為兩部分1.計算機病毒代碼庫2.掃描程序2023/12/663計算機病毒的檢測方法3特征字串搜索法的不足1.當被掃描的文件很長、很多時，掃描的時間就越多2.不容易選出特征串3.無法識別出新病毒4.病毒制造者可以分析代碼庫，生成新病毒變種5.易產(chǎn)生誤報6.不易識別多維變形計算機病毒2023/12/664計算機病毒的檢測方法4其它方法虛擬機查毒法人工智能陷阱技術分析法先知掃描法虛擬執(zhí)行技術該技術通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒，具有如下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的查殺

文件實時監(jiān)控技術通過利用操作系統(tǒng)底層接口技術，對系統(tǒng)中的所有類型文件或指定類型的文件進行實時的行為監(jiān)控，一旦有病毒傳染或發(fā)作時就及時報警。從而實現(xiàn)了對病毒的實時、永久、自動監(jiān)控。這種技術能夠有效控制病毒的傳播途徑，但是這種技術的實現(xiàn)難度較大，系統(tǒng)資源的占用率也會有所降低。2023/12/667病毒防范的常見方法服務器的防病毒措施（1）安裝正版的殺毒軟件（2）攔截受感染的附件

（3）合理設置權限（4）取消不必要的共享

（5）重要數(shù)據(jù)定期存檔終端用戶防病毒措施（1）安裝殺毒軟件和個人防火墻（2）禁用預覽窗口功能（3）刪除可疑的電子郵件（4）不要隨便下載文件（5）定期更改密碼欺騙性強

很多病毒利用人們的好奇心理，往往具有很強的誘惑性和欺騙性，使得它更容易傳染，如“庫爾尼科娃”病毒即是利用網(wǎng)壇美女庫爾尼科娃的魅力；大量消耗系統(tǒng)與網(wǎng)絡資源計算機感染了REDCODE等病毒后，病毒會不斷遍歷磁盤、分配內(nèi)存，導致系統(tǒng)資源很快被消耗殆盡，最終使得計算機速度越來越慢或網(wǎng)絡阻塞；病毒出現(xiàn)頻度高，病毒生成工具多

早期的計算機病毒都是編程高手制作的，編寫病毒是為了顯示自己的技術，但庫爾尼科娃病毒的設計者只是修改了下載的VBS蠕蟲孵化器變生成了該病毒。這種工具在網(wǎng)絡上很容易就可以獲得，因此新病毒的出現(xiàn)頻度超出以往的任何時候。智能引擎技術

智能引擎技術發(fā)展了特征碼掃描法的優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項技術，使病毒掃描速度比2002版提高了一倍之多；（3）魔高一尺，道高一丈，反病毒技術也隨著病毒的發(fā)展而發(fā)展，新技術包括：計算機監(jiān)控技術文件實時監(jiān)控內(nèi)存實時監(jiān)控腳本實時監(jiān)控郵件實時監(jiān)控注冊表實時監(jiān)控嵌入式殺毒技術

嵌入式殺毒技術是對病毒經(jīng)常攻擊的應用程序或?qū)ο筇峁┲攸c保護的技術，它利用操作系統(tǒng)或應用程序提供的內(nèi)部接口來實現(xiàn)。它對使用頻度高、使用范圍廣的主要的應用軟件提供被動式的防護。如對MS-Office、Outlook、IE、Winzip、NetAnt等應用軟件進行被動式殺毒。未知病毒查殺技術

未知病毒技術是繼虛擬執(zhí)行技術后的又一大技術突破，它結(jié)合了虛擬技術和人工智能技術，實現(xiàn)了對未知病毒的準確查殺。壓縮智能還原技術世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統(tǒng)一的方法來解決這個問題，反病毒專家們發(fā)明了未知解壓技術，它可以對所有的這類文件在內(nèi)存中還原，從而使得病毒完全暴露出來。多層防御，集中管理技術反病毒要以網(wǎng)為本，從網(wǎng)絡系統(tǒng)的角度設計反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡上的計算機病毒。在網(wǎng)絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網(wǎng)絡維護和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個NT服務器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡管理員集中設置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡安全管理的一部分，并且自動提供最佳的網(wǎng)絡病毒防御措施。病毒免疫技術病毒免疫技術一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫的基本構(gòu)想。實際上，最近出現(xiàn)的軟件安全認證技術也應屬于此技術的范疇，由于用戶應用軟件的多樣性和環(huán)境的復雜性，病毒免疫技術到廣泛使用還有一段距離。3.病毒防治技術的趨勢前瞻加強對未知病毒的查殺能力加強對未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國內(nèi)外多家公司都宣布自己的產(chǎn)品可以對未知病毒進行查殺，但據(jù)我們研究，國內(nèi)外的產(chǎn)品只有少數(shù)可以對同一家族的病毒進行預警，不能清除。目前瑞星公司已經(jīng)在這一領域取得了突破性的進展，可以對未知DOS病毒、未知PE病毒、未知宏病毒進行防范，其中對未知DOS病毒能查到90%以上，并能準確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實現(xiàn)查殺90%