《惡意代碼基礎(chǔ)與防范（微課版）》 教案全套 張新江 第1-3章 惡意代碼概述-傳統(tǒng)計算機病毒

PAGEPAGE2課程教案(參考模板)教學(xué)層次：?本科□高職□技工□其他課程代碼：課程名稱：惡意代碼開課部門：智能制造學(xué)院授課教師：職稱/學(xué)位：開課時間：二○至二○學(xué)年第1學(xué)期教務(wù)處制年月課程基本信息課程代碼課程名稱惡意代碼開課部門智能制造學(xué)院授課班級/人數(shù)課程學(xué)分3考核方式及比例考試課堂表現(xiàn)×10%﹢課后作業(yè)×20%+自主學(xué)習(xí)×10%﹢期末成績×60%開設(shè)情況?新開課程□已有課程課程類型□理論課程□實訓(xùn)課程?理實一體化課程課程類別本科專業(yè)基礎(chǔ)課高職/技工□職業(yè)基礎(chǔ)課程□職業(yè)能力課程□職業(yè)拓展課程□職業(yè)技能實訓(xùn)課程□其他課程課程總學(xué)時48理論學(xué)時32實踐教學(xué)場地F2-102B實驗學(xué)時16授課教師張新江職稱副教授學(xué)歷/學(xué)位本科/碩士是否新教師□是?否來源?本?！跬馄杆诓块T智能制造學(xué)院教輔人員職稱學(xué)歷/學(xué)位是否新教師□是□否來源□本?！跬馄杆诓块T學(xué)生年齡特征和學(xué)習(xí)特點授課學(xué)生為大三學(xué)生，具有一定的獨立分析能力，知識結(jié)構(gòu)穩(wěn)定。教材類型□統(tǒng)編教材□非統(tǒng)編教材□自編教材或講義□其他：使用教材名稱作者出版社出版時間計算機病毒與惡意代碼原理、技術(shù)及防范》劉功申清華大學(xué)出版社2021.1教學(xué)參考用書惡意代碼調(diào)查技術(shù)于曉聰清華大學(xué)出版社2020.12

第1次課程教學(xué)方案備課時間年8月20日——年8月25日備課教師張新江教學(xué)時間年9月1日教學(xué)地點F2-102B周次1課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第1章惡意代碼概述教學(xué)目標(biāo)和要求明確惡意代碼的基本概念了解惡意代碼的發(fā)展歷史熟悉惡意代碼的分類熟悉惡意代碼的命名規(guī)則了解惡意代碼的未來發(fā)展趨勢教學(xué)重點1.惡意代碼的基本概念2.惡意代碼的發(fā)展歷史3.惡意代碼的分類教學(xué)難點1.惡意代碼的命名規(guī)則2.惡意代碼的未來發(fā)展趨勢教學(xué)方法討論、自主學(xué)習(xí)、教師講授使用媒體資源?紙質(zhì)材料?多媒體課件?網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等虛擬機作業(yè)練習(xí)課后習(xí)題課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動時間一、為什么提出惡意代碼的概念？計算機病毒的官方定義不能涵蓋新型惡意代碼《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機病毒防治管理辦法》傳統(tǒng)計算機病毒定義：是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。傳統(tǒng)計算機病毒定義的不足之處傳統(tǒng)定義強調(diào)：把破壞代碼插入正常程序中，而忽略把代碼直接復(fù)制到硬盤上的獨立惡意程序（例如，木馬），忽略惡意程序主動侵入設(shè)備（例如，蠕蟲）等。傳統(tǒng)定義沒有排除：具有惡意行為，但不是有意為之的行為，例如，不小心形成的惡意行為。這些不足帶來的法律問題使用這個定義可能逃脫應(yīng)有的懲罰二、惡意代碼定義惡意代碼：在未被授權(quán)的情況下，以破壞軟硬件設(shè)備、竊取用戶信息、擾亂用戶心理、干擾用戶正常使用為目的而編制的軟件或代碼片段。這個定義涵蓋的范圍非常廣泛，它包含了所有敵意、插入、干擾、討厭的程序和源代碼。一個軟件被看作是惡意代碼主要是依據(jù)創(chuàng)作者的意圖，而不是惡意代碼本身的特征。惡意代碼的特征1.目的性目的性是惡意代碼的基本特征，是判別一個程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標(biāo)準(zhǔn)。2.傳播性傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3.破壞性破壞性是惡意代碼的表現(xiàn)手段。惡意代碼產(chǎn)生的動機(原因)：計算機系統(tǒng)的脆弱性(IBM病毒防護計劃)作為一種文化（hacker）病毒編制技術(shù)學(xué)習(xí)惡作劇\報復(fù)心理用于版權(quán)保護（xx公司）用于特殊目的（軍事、某些計算機防病毒公司）賺錢、賺錢、賺錢……三、惡意代碼簡史在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他的論文《復(fù)雜自動裝置的理論及組識的進行》里，就已經(jīng)勾勒出了病毒程序的藍圖。70年代美國作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中作者構(gòu)思出了計算機病毒的概念。美國電話電報公司(AT&T)的貝爾實驗室中，三個年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)(corewar)”。1、萌芽階段博士論文的主題是計算機病毒1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒（Unix）。2、第一個真病毒3、Dos時代的病毒1986年初，巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了Pakistan病毒，即Brain，其目的是為了防范盜版軟件。Dos–PC–引導(dǎo)區(qū)1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。視窗病毒1988年3月2日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。肇事者-RobertT.Morris,美國康奈爾大學(xué)學(xué)生，其父是美國國家安全局安全專家。機理-利用sendmail,finger等服務(wù)的漏洞，消耗CPU資源，并導(dǎo)致拒絕服務(wù)。影響-Internet上大約6000臺計算機感染，占當(dāng)時Internet聯(lián)網(wǎng)主機總數(shù)的10%，造成9600萬美元的損失。CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應(yīng)付類似事件。莫里斯蠕蟲（MorrisWorm）1988年1989年，全世界計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶（包括中國）造成了極大損失。全球流行DOS病毒4、用于軍事的惡意代碼在沙漠風(fēng)暴行動的前幾周，一塊被植入病毒（AF/91（1991））的計算機芯片被安裝進了伊拉克空軍防衛(wèi)系統(tǒng)中的一臺點陣打印機中。該打印機在法國組裝，取道約旦、阿曼運到了伊拉克。病毒癱瘓了伊拉克空軍防衛(wèi)系統(tǒng)中的一些Windows系統(tǒng)主機以及大型計算機，據(jù)說非常成功。5、傻瓜式惡意代碼——宏病毒1996年，出現(xiàn)針對微軟公司Office的“宏病毒”。1997年公認(rèn)為計算機反病毒界的“宏病毒年”。特點：書寫簡單，甚至有很多自動制作工具6、燒毀硬件的惡意代碼CIH（1998-1999）1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。7、網(wǎng)絡(luò)惡意代碼時代：蠕蟲1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的美麗莎病毒。2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個專門攻擊服務(wù)器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。記憶猶新的3年（2003-2005）2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡(luò)天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設(shè)備的類型，自動把U盤里所有的資料都復(fù)制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個網(wǎng)絡(luò)游戲的用戶信息，如果用戶通過登陸某個網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實際上是經(jīng)過偽裝的病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行的賬號和密碼。該病毒發(fā)作時，會顯示一張照片使用戶對其放松警惕。8、木馬時代2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另據(jù)江民病毒預(yù)警中心監(jiān)測的數(shù)據(jù)顯示，1至6月全國共有7322453臺計算機感染了病毒，其中感染木馬病毒電腦2384868臺，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺，占病毒感染電腦總數(shù)的17.12%，感染后門程序電腦

664589臺，占病毒感染電腦總數(shù)的9.03%，蠕蟲病毒216228臺，占病毒感染電腦總數(shù)的2.95%，監(jiān)測發(fā)現(xiàn)漏洞攻擊代碼感染181769臺，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺，占病毒感染電腦總數(shù)的2.06%。最前沿病毒2007年：流氓軟件——反流氓軟件技術(shù)對抗的階段。Cnnic3721–yahoo熊貓燒香2008年：木馬ARPPhishing（網(wǎng)絡(luò)釣魚）2009年惡意代碼產(chǎn)業(yè)化木馬是主流其他：瀏覽器劫持、下載捆綁、釣魚2010年新增惡意代碼750萬（瑞星）；流行惡意代碼：快捷方式真假難分、木馬依舊猖獗，但更注重經(jīng)濟利益和特殊應(yīng)用。2011年隨著SNS等新型社交網(wǎng)絡(luò)的迅速崛起，惡意代碼制造者又有了新的病毒載體平臺。例如，新浪微波的移動互聯(lián)網(wǎng)平臺惡意代碼。例如，手機病毒。2012年中國計算機病毒統(tǒng)計根據(jù)金山毒霸安全中心統(tǒng)計2012年共捕獲病毒樣本總量超過4200萬個，比上一年增長41.4%，月捕獲病毒樣本數(shù)在300萬至450萬個之間，日均超過11萬個。鬼影病毒、AV終結(jié)者末日版、網(wǎng)購木馬、456游戲木馬、連環(huán)木馬(后門)、QQ粘蟲木馬、新淘寶客病毒、瀏覽器劫持病毒、傳奇私-Fu劫持者、QQ群蠕蟲病毒等病毒類型對用戶危害最大。來源：/analysis/kaspersky-security-bulletin/58335/mobile-malware-evolution-2013/9、手機惡意代碼登場2015年移動惡意代碼行為（Kaspasky）2015年,卡巴斯基實驗室檢測到的內(nèi)容如下:?2,961,727個惡意安裝包?884,774個新的惡意移動項目——數(shù)量較前一年增長了三倍.?7,030個移動銀行木馬ThenumberofattacksblockedbyKasperskyLabsolutions,2015ThenumberofusersprotectedbyKasperskyLabsolutions,2015Thegeographyofmobilethreatsbynumberofattackedusers,2015Distributionofnewmobilemalwarebytypein2014and20151.ConfickerConficker是一種針對微軟的Windows操作系統(tǒng)的計算機蠕蟲病毒，最早的版本出現(xiàn)在2008年秋季。2.Sality通過僵尸網(wǎng)絡(luò)控制3.LockyLocky是勒索軟件家族新成員，出現(xiàn)于2016年年初，通過RSA-2048和AES-128算法對100多種文件類型進行加密。Locky通過漏洞工具包或包含JS、WSF、HTA或LNK文件的電子郵件傳播。4.Cutwail一款僵尸網(wǎng)絡(luò)，用于DDoS攻擊并發(fā)送垃圾郵件。5.ZeusZeus是幾年前出現(xiàn)的一款銀行木馬。6.Chanitor被稱為Hancitor或H1N1,使用垃圾郵件來傳播木馬。7.Tinba–木馬8.CryptowallCryptowall是CryptoLocker勒索軟件的變種。9.Blackhole-一種惡意程序工具包，10.Nivdort-模塊化木馬。2018十大惡意軟件APT武器：持續(xù)升級的APT28工具系列白俄羅斯工控系統(tǒng)：繼Stuxnet之后最大威脅的Industroyer能夠直接控制變電中的電路開關(guān)和繼電器物聯(lián)網(wǎng)：持續(xù)“擴張”的Mirai家族2017年與Mirai相關(guān)的知名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼為本體，經(jīng)過不斷的變異改進，已經(jīng)從傳統(tǒng)的Linux平臺演變到了Windows平臺，利用的端口也在不斷變化，從傳統(tǒng)的弱口令攻擊轉(zhuǎn)變到了弱口令和漏洞利用的綜合攻擊方式，同時感染設(shè)備范圍由網(wǎng)絡(luò)攝像機、家庭路由，正向有線電視機頂盒等領(lǐng)域“擴張”。銀行/金融：在線銷售的CutletMakerCutletMaker的軟件于2017年5月開始在AlphaBay暗網(wǎng)市場上銷售，因為美國有關(guān)機構(gòu)在7月中旬關(guān)閉了AlphaBay，軟件經(jīng)營方現(xiàn)新建了一個獨立網(wǎng)站專門銷售該軟件。犯罪勒索：占領(lǐng)半壁江山的WannaCry移動終端：安卓終端排名第一的Rootnik劫持與廣告：造成史上最大規(guī)模感染的FireBallFireBall可以控制互聯(lián)網(wǎng)瀏覽器,監(jiān)視受害者的web使用,并可能竊取個人文件。FireBall與擁有3億客戶聲稱提供數(shù)字營銷和游戲應(yīng)用程序的中國公司Rafotech（卿燁科技/）相關(guān)。Windows&office：被濫用的NSA工具DoublePulsar惡意郵件：造成30億美元損失的尼日利亞釣魚無文件/腳本惡意軟件：被用于挖礦的NSA漏洞利用工具Zealot利用NSA漏洞大量入侵Linux和Windows服務(wù)器同時植入惡意軟件“Zealot”來挖掘Monero加密貨幣的攻擊2019年的新趨勢?勒索軟件的規(guī)模正在增長。?基于物聯(lián)網(wǎng)平臺的僵尸網(wǎng)絡(luò)-〉DDOS攻擊總體趨勢總結(jié)網(wǎng)絡(luò)化發(fā)展專業(yè)化發(fā)展簡單化發(fā)展多樣化發(fā)展自動化發(fā)展犯罪化發(fā)展四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每周一次的計算機安全討論會上正式提出。1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。年僅18歲的高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。李俊，大學(xué)本科畢業(yè)大于1000萬用戶染毒損失數(shù)億元人民幣處罰：最高無期？五、惡意代碼的主要危害直接危害：1.病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用2.占用磁盤空間和對信息的破壞3.搶占系統(tǒng)資源4.影響計算機運行速度5.計算機病毒錯誤與不可預(yù)見的危害6.計算機病毒的兼容性對系統(tǒng)運行的影響間接危害：1.計算機病毒給用戶造成嚴(yán)重的心理壓力2.造成業(yè)務(wù)上的損失3.法律上的問題近幾年來的重大損失年份 攻擊行為發(fā)起者 受害PC數(shù)目 損失金額(美元) 2006 木馬和惡意軟件 —— —— 2005 木馬 —— —— 2004 Worm_Sasser(震蕩波) —— —— 2003 Worm_MSBLAST(沖擊波) 超過140萬臺 —— 2003 SQLSlammer 超過20萬臺 9.5億至12億 2002 Klez 超過6百萬臺 90億 2001 RedCode 超過1百萬臺 26億 2001 NIMDA 超過8百萬臺 60億 2000 LoveLetter —— 88億 1999 CIH 超過6千萬臺 近100億 六、惡意代碼的分類總體上分兩大類第一大類：傳統(tǒng)的計算機病毒感染操作系統(tǒng)引導(dǎo)程序感染可執(zhí)行文件（感染exe、com、elf文件）感染數(shù)據(jù)文件（宏病毒、Shell腳本惡意代碼）第二大類：傳統(tǒng)計算機病毒之外的惡意代碼木馬、蠕蟲、流氓軟件……后門、僵尸、移動端惡意代碼……七、計算機病毒的傳播途徑1、軟盤軟盤作為最常用的交換媒介，在計算機應(yīng)用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導(dǎo)機器時，引導(dǎo)區(qū)病毒會在軟盤與硬盤引導(dǎo)區(qū)內(nèi)互相感染。因此軟盤也成了計算機病毒的主要的寄生“溫床”。2、光盤光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔(dān)負(fù)專門責(zé)任，也決不會有真正可靠的技術(shù)保障避免病毒的傳入、傳染、流行和擴散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“干凈”的計算機帶來了災(zāi)難。

3、硬盤（含移動硬盤、USB）有時，帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會將干凈的軟盤傳染或者感染其他硬盤并擴散。網(wǎng)絡(luò)——〉病毒的加速器網(wǎng)絡(luò)病毒技術(shù)社區(qū)集體攻擊病毒蠕蟲病毒特洛伊木馬黑客技術(shù)腳本病毒郵件病毒病毒源碼發(fā)布4、有線網(wǎng)絡(luò)觸目驚心的計算——卿斯?jié)h如果：20分鐘產(chǎn)生一種新病毒，通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，每天開機聯(lián)網(wǎng)2小時。結(jié)論：一年以內(nèi)一臺聯(lián)網(wǎng)的電腦可能會被最新病毒感染2190次。另一個數(shù)字：75％的電腦被感染。網(wǎng)絡(luò)服務(wù)——〉傳播媒介網(wǎng)絡(luò)的快速發(fā)展促進了以網(wǎng)絡(luò)為媒介的各種服務(wù)（FTP,WWW,BBS,EMAIL等）的快速普及。同時，這些服務(wù)也成為了新的病毒傳播方式。電子布告欄（BBS）：電子郵件（Email）：即時消息服務(wù)（QQ,ICQ,MSN等）：WEB服務(wù)：FTP服務(wù)：新聞組：5、無線通訊系統(tǒng)病毒對手機的攻擊有3個層次：攻擊WAP服務(wù)器，使手機無法訪問服務(wù)器；攻擊網(wǎng)關(guān)，向手機用戶發(fā)送大量垃圾信息；直接對手機本身進行攻擊，有針對性地對其操作系統(tǒng)和運行程序進行攻擊，使手機無法提供服務(wù)。八、染毒計算機的癥狀病毒表現(xiàn)現(xiàn)象：計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象病毒發(fā)作時的表現(xiàn)現(xiàn)象病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障板書62:1、發(fā)作前的現(xiàn)象平時運行正常的計算機突然經(jīng)常性無緣無故地死機操作系統(tǒng)無法正常啟動運行速度明顯變慢以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤打印和通訊發(fā)生異常以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件的時間、日期、大小發(fā)生變化運行Word，打開Word文檔后，該文件另存時只能以模板方式保存磁盤空間迅速減少網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來的電子郵件板書63:2、發(fā)作時的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂產(chǎn)生特定的圖像硬盤燈不斷閃爍進行游戲算法Windows桌面圖標(biāo)發(fā)生變化計算機突然死機或重啟自動發(fā)送電子郵件鼠標(biāo)自己在動板書64:3、發(fā)作后的現(xiàn)象硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密修改系統(tǒng)文件使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)板書65:4、與病毒現(xiàn)象類似的軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅(qū)動器號)軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)的兼容性引導(dǎo)過程故障用不同的編輯軟件程序板書66:5、與病毒現(xiàn)象類似的硬件故障系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅(qū)故障關(guān)于CMOS的問題板書67:九、計算機病毒的命名規(guī)則CARO命名規(guī)則，每一種病毒的命名包括五個部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點命名不用公司或商標(biāo)命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類板書68:精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時能奏樂，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因為Cascade病毒的變種的大小不一（1701,1704,1621等），所以用大小來表示組名。A表示該病毒是某個組中的第一個變種。業(yè)界補充：反病毒軟件商們通常在CARO命名的前面加一個前綴來標(biāo)明病毒類型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個變種的命名就成了W97M.Melissa.AA，Happy99蠕蟲就被稱為Win32.Happy99.Worm。板書69:VGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱通過某種方法關(guān)聯(lián)起來，其目的是不管什么樣的掃描軟件都能按照可被識別的名稱鏈進行掃描。VGrep將病毒文件讀入并用不同的掃描器進行掃描，掃描的結(jié)果和被識別出的信息放入數(shù)據(jù)庫中。每一個掃描器的掃描結(jié)果與別的掃描結(jié)果相比較并將結(jié)果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個最通用的名字最為代表名字。擁有成千上萬掃描器的大型企業(yè)集團要求殺毒軟件供應(yīng)商使用VGrep命名，這對于在世界范圍內(nèi)跟蹤多個病毒的一致性很有幫助。板書70:十、計算機病毒防治板書71:病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來產(chǎn)生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來的所有反病毒軟硬件都無法檢測。3、目前的反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進行更新、升級。4、病毒產(chǎn)生在前，反病毒手段滯后的現(xiàn)狀，將是一個長期的過程。板書72:人類為防治病毒所做出的努力立體防護網(wǎng)絡(luò)版單機版防病毒卡板書73:對計算機病毒應(yīng)持有的態(tài)度1.客觀承認(rèn)計算機病毒的存在，但不要懼怕病毒。3.樹立計算機病毒意識，積極采取預(yù)防（備份等）措施。4.掌握必要的計算機病毒知識和病毒防治技術(shù)，對用戶至關(guān)重要。5.發(fā)現(xiàn)病毒，冷靜處理。板書74:目前廣泛應(yīng)用的幾種防治技術(shù)：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術(shù)實現(xiàn)簡單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；板書75:虛擬執(zhí)行技術(shù)該技術(shù)通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒，具有如下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的查殺板書76:智能引擎技術(shù)智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項技術(shù)，使病毒掃描速度比2002版提高了一倍之多；板書77:計算機監(jiān)控技術(shù)文件實時監(jiān)控內(nèi)存實時監(jiān)控腳本實時監(jiān)控郵件實時監(jiān)控注冊表實時監(jiān)控參考：板書78:未知病毒查殺技術(shù)未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實現(xiàn)了對未知病毒的準(zhǔn)確查殺。板書79:壓縮智能還原技術(shù)世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統(tǒng)一的方法來解決這個問題，反病毒專家們發(fā)明了未知解壓技術(shù)，它可以對所有的這類文件在內(nèi)存中還原，從而使得病毒完全暴露出來。板書80:多層防御，集中管理技術(shù)反病毒要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)的角度設(shè)計反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計算機病毒。在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個NT服務(wù)器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。板書81:病毒免疫技術(shù)病毒免疫技術(shù)一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設(shè)置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫的基本構(gòu)想。實際上，最近出現(xiàn)的軟件安全認(rèn)證技術(shù)也應(yīng)屬于此技術(shù)的范疇，由于用戶應(yīng)用軟件的多樣性和環(huán)境的復(fù)雜性，病毒免疫技術(shù)到廣泛使用還有一段距離。板書82:病毒防治技術(shù)的趨勢前瞻加強對未知病毒的查殺能力加強對未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國內(nèi)外多家公司都宣布自己的產(chǎn)品可以對未知病毒進行查殺，但據(jù)我們研究，國內(nèi)外的產(chǎn)品只有少數(shù)可以對同一家族的新病毒進行預(yù)警，不能清除。目前有些公司已經(jīng)在這一領(lǐng)域取得了突破性的進展，可以對未知DOS病毒、未知PE病毒、未知宏病毒進行防范。其中對未知DOS病毒能查到90%以上，并能準(zhǔn)確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實現(xiàn)查殺90%.板書83:防殺針對掌上型移動通訊工具和PDA的病毒隨著掌上型移動通訊工具和PDA的廣泛使用，針對這類系統(tǒng)的病毒已經(jīng)開始出現(xiàn)，并且威脅將會越來越大，反病毒公司將投入更多的力量來加強此類病毒的防范。板書84:兼容性病毒的防殺目前已經(jīng)發(fā)現(xiàn)可以同時在微軟WINDOWS和日益普及的LINUX兩種不同操作系統(tǒng)內(nèi)運作的病毒，此類病毒將會給人們帶來更多的麻煩，促使反病毒公司加強防殺此類病毒。板書85:蠕蟲病毒和腳本病毒的防殺不容忽視蠕蟲病毒是一種能自我復(fù)制的程序，駐留內(nèi)存并通過計算機網(wǎng)絡(luò)復(fù)制自己，它通過大量消耗系統(tǒng)資源，最后導(dǎo)致系統(tǒng)癱瘓。給人們帶來了巨大的危害，腳本病毒因為其編寫相對容易正成為另一種趨勢，這兩類病毒的危害性使人們絲毫不能忽視對其的防殺。板書86:十一、殺毒軟件及評價板書87:（一）殺毒軟件必備功能病毒查殺能力對新病毒的反應(yīng)能力對文件的備份和恢復(fù)能力實時監(jiān)控功能及時有效的升級功能智能安裝、遠(yuǎn)程識別功能界面友好、易于操作對現(xiàn)有資源的占用情況板書88:系統(tǒng)兼容性軟件的價格軟件商的實力板書89:（二）國內(nèi)外殺毒軟件及市場金山毒霸、瑞星殺毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。板書90:《電腦報》2008評測結(jié)果十二、解決方案和策略板書97:防病毒策略1、建立病毒防治的規(guī)章制度，嚴(yán)格管理；2、建立病毒防治和應(yīng)急體系；3、進行計算機安全教育，提高安全防范意識；4、對系統(tǒng)進行風(fēng)險評估；5、選擇經(jīng)過公安部認(rèn)證的病毒防治產(chǎn)品；6、正確配置，使用病毒防治產(chǎn)品；板書98:7、正確配置系統(tǒng)，減少病毒分侵害事件；8、定期檢查敏感文件；9、適時進行安全評估，調(diào)整各種病毒防治策略；10、建立病毒事故分析制度；11、確保恢復(fù)，減少損失；板書99:十三、國內(nèi)外病毒產(chǎn)品的技術(shù)發(fā)展態(tài)勢板書100:國內(nèi)外反病毒公司在反病毒領(lǐng)域各有所長國內(nèi)外產(chǎn)品競爭激烈國內(nèi)反病毒企業(yè)發(fā)展勢頭強勁隨著中國信息化進程的深入開展，多家國際反病毒公司基本撤出了在中國的殺毒業(yè)務(wù)；國內(nèi)以360為代表，進入了免費時代板書101:反病毒服務(wù)是競爭關(guān)鍵要推動企業(yè)信息安全建設(shè)、并從根本上改變國內(nèi)信息安全現(xiàn)狀，建立健全的服務(wù)體系是關(guān)鍵。相信人類受到惡意代碼侵害及由此帶來的損失將逐步減少，國內(nèi)反病毒行業(yè)在政府的規(guī)范和用戶的支持下將取得更好的成績！板書102:相關(guān)資源1.Wildlist國際組織該網(wǎng)站維護世界各地發(fā)現(xiàn)的病毒列表。網(wǎng)站負(fù)責(zé)維護這個列表，并且按月打包供用戶下載。此外，網(wǎng)站上還有一些計算機病毒方面的學(xué)術(shù)論文。2.病毒公告牌對于任何關(guān)心惡意代碼和垃圾信息防護、檢測和清除的人來說，病毒公告在線雜志是一個必不可少的參考。逐日逐月地，病毒公告牌提供如下信息：1)來自于反惡意代碼業(yè)界的發(fā)人深省的新聞和觀點2)最新惡意代碼威脅的詳細(xì)分析3)探索反惡意代碼技術(shù)開發(fā)的長篇文檔4)反惡意代碼專家的會見5)對當(dāng)前反病毒產(chǎn)品的獨立評測6)覆蓋垃圾郵件和反垃圾郵件技術(shù)的月報板書103:3.卡飯論壇卡飯的意思是卡巴斯基的FANS（愛好者），取其諧音，即為卡飯?？堈搲畛跏且粋€以卡巴斯基愛好者為主體，以計算機安全軟件為主要內(nèi)容的論壇。隨著國產(chǎn)計算機安全軟件的興起，卡飯論壇對主流的計算機安全軟件均有不同程度的涉獵，迄今為止已發(fā)展成為最大的計算機安全論壇之一。論壇的開放時間是2006年6月1日。4.亞洲反病毒研究者協(xié)會(AVAR)AVAR(亞洲反病毒研究者協(xié)會)成立于1998年6月。協(xié)會的宗旨是預(yù)防計算機病毒的傳播和破壞，促進亞洲的反病毒研究者間建立良好的合作關(guān)系。板書104:5.國家計算機病毒應(yīng)急處理中心網(wǎng)站主要內(nèi)容是病毒流行列表、病毒SOS求救、數(shù)據(jù)恢復(fù)等。6.病毒觀察網(wǎng)站主要內(nèi)容包括病毒預(yù)報、新聞、評論、相關(guān)法規(guī)、反病毒資料、安全漏洞、密碼知識、病毒百科在線檢索等。板書105:7.HACK80HACK80是集黑客技術(shù)交流、黑客工具分享的黑客論壇。與傳統(tǒng)黑客聯(lián)盟不同，該論壇在守法的前提下提倡自由的技術(shù)交流，力求成為一個氣氛優(yōu)秀的技術(shù)圈子。8.安全焦點安全焦點是中國目前頂級的網(wǎng)絡(luò)安全站點，那里集聚的一大批知名的黑客。網(wǎng)站內(nèi)容包括安全論文、安全工具、安全漏洞以及逆向技術(shù)等。板書106:9.看雪論壇/看雪論壇是致力于PC、移動、物聯(lián)網(wǎng)安全研究及逆向工程相關(guān)的開發(fā)者舍卻。網(wǎng)站主要內(nèi)容包括黑客頻道、防毒技巧、網(wǎng)絡(luò)安全新聞和病毒新聞等。10.國際計算機安全聯(lián)合會(ICSA-InterNationalComputerSecwrityAssociation)/如要對Internet的安全問題感興趣,你可以訪問國家計算機安全聯(lián)合會(NCSA)的站點。這里會看到很多關(guān)于國家計算機安全聯(lián)合會各種活動的信息,包括會議,培訓(xùn)、產(chǎn)品認(rèn)證和安全警告等。在這里你可以了解到國際知名的病毒防治軟件登記請況。講授思政融入：網(wǎng)絡(luò)道德教育和法制教育融入到教學(xué)中，倡導(dǎo)網(wǎng)絡(luò)文明，采取多種方式培養(yǎng)學(xué)生判斷是非、美丑、善惡的能力，預(yù)防網(wǎng)絡(luò)陷阱，消除網(wǎng)絡(luò)造成的負(fù)面影響。加強大學(xué)生網(wǎng)絡(luò)道德素養(yǎng)和法律意識的培養(yǎng)，幫助他們樹立正確的網(wǎng)絡(luò)道德觀和法制觀念，規(guī)范自身的網(wǎng)絡(luò)行為，養(yǎng)成良好的網(wǎng)絡(luò)文明習(xí)慣，增強網(wǎng)絡(luò)安全法規(guī)意識和網(wǎng)絡(luò)道德意識，做到知法、懂法、守法，避免走上利用計算機進行違法犯罪的道路。討論互動案例講授：思政融入,人文精神討論：你如何理解十大病毒？互動案例講授討論互動案例講授：思政2018十大惡意軟件對我們的危害？討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例151515151515151515151515151515

第2次課程教學(xué)方案備課時間年8月20日——年8月25日備課教師張新江教學(xué)時間年9月8日教學(xué)地點F2-102B周次2課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第2章計算機病毒理論模型教學(xué)目標(biāo)和要求掌握計算機病毒的抽象描述掌握基于圖靈機的計算機病毒模型掌握基于遞歸函數(shù)的計算機病毒模型掌握網(wǎng)絡(luò)蠕蟲傳播模型掌握計算機病毒預(yù)防理論模型教學(xué)重點1.計算機病毒的抽象描述2.基于圖靈機的計算機病毒模型3.基于遞歸函數(shù)的計算機病毒模型教學(xué)難點1.網(wǎng)絡(luò)蠕蟲傳播模型2.計算機病毒預(yù)防理論模型教學(xué)方法引導(dǎo)式、討論式、互動使用媒體資源?紙質(zhì)材料?多媒體課件?網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等虛擬機作業(yè)練習(xí)課后習(xí)題課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動時間板書1:第2章計算機病毒理論模型劉功申上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院板書2:本章學(xué)習(xí)目標(biāo)掌握計算機病毒的抽象描述掌握基于圖靈機的計算機病毒模型掌握基于遞歸函數(shù)的計算機病毒模型掌握網(wǎng)絡(luò)蠕蟲傳播模型掌握計算機病毒預(yù)防理論模型板書3:虛擬案例一個文本編輯程序被病毒感染了。每當(dāng)使用文本編輯程序時，它總是先進行感染工作并執(zhí)行編輯任務(wù)，其間，它將搜索合適文件以進行感染。每一個新被感染的程序都將執(zhí)行原有的任務(wù)，并且也搜索合適的程序進行感染。這種過程反復(fù)進行。當(dāng)這些被感染的程序跨系統(tǒng)傳播，被銷售，或者送給其他人時，將產(chǎn)生病毒擴散的新機會。最終，在1990年1月1日以后，被感染的程序終止了先前的活動?，F(xiàn)在，每當(dāng)這樣的一個程序執(zhí)行時，它將刪除所有文件。板書4:計算機病毒偽代碼{main:= Callinjure; … Callsubmain; … Callinfect;}{injure:= Ifconditionthenwhateverdamageistobedoneandhalt;}{infect:= Ifconditiontheninfectfiles;}板書5:案例病毒的偽代碼{main:= Callinjure; Callsubmain; Callinfect;}{injure:= Ifdate>=Jan.1,1990then Whilefile!=0 File=get-random-file; Deletefile; Halt;}板書6:{infect:= Iftruethen File=get-random-executable-file; Renamemainroutinesubmain; Prependselftofile;}板書7:精簡后的偽代碼(壓縮或變型){main:= Callinjure; Decompresscompressedpartofprogram; Callsubmain; Callinfect;}{injure:= Iffalsethenhalt;}板書8:{infect:=Ifexecutable!=0thenFile=get-random-executable-file;Renamemainroutinesubmain;Compressfile;Prependselftofile;}板書9:病毒偽代碼的共同性質(zhì)1．對于每個程序，都存在該程序相應(yīng)的感染形式。也就是，可以把病毒看作是一個程序到一個被感染程序的映射。2．每一個被感染程序在每個輸入（輸入是指可訪問信息，例如，用戶輸入，系統(tǒng)時鐘，數(shù)據(jù)或程序文件等）上形成如下3個選擇：板書10:破壞(Injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序無關(guān)，而只與病毒本身有關(guān)。傳染(Infect)：執(zhí)行原先的功能，并且，如果程序能終止，則傳染程序。對于除程序以外的其它可訪問信息（如時鐘、用戶/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時，其結(jié)果是一樣的。也就是說，一個程序被感染的形式與感染它的程序無關(guān)。模仿(Imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個特例，其中被傳染的程序的個數(shù)為零。板書11:基于圖靈機的計算機病毒的計算模型基本圖靈機(TM)圖靈機的經(jīng)典問題：圖靈機停機問題圖靈機存在不可計算數(shù)板書12:隨機訪問計算機（RandomAccessMachine——RAM）ENIAC板書13:隨機訪問存儲程序計算機（RamdomAccessStoredProgramMachine,RASPM）板書14:附帶后臺存儲帶的隨機訪問存儲程序計算機(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)現(xiàn)在的計算機板書15:基于RASPM_ABS的病毒計算機病毒被定義成程序的一部分，該程序附著在某個程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時，計算機病毒的代碼也跟著被執(zhí)行。板書16:1.病毒的傳播模型如果病毒利用了計算機的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱作專用計算機的傳播方式。如果病毒在傳播時沒有利用計算機的服務(wù)，那么此傳播方式被稱為獨立于計算機的傳播方式。PC中，引導(dǎo)型病毒就具有專用計算機的傳播方式感染C源文件的病毒就是具有獨立計算機的傳播方式板書17:2.少態(tài)型病毒和多態(tài)型病毒當(dāng)有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序相同時，這種傳播方式稱為少形態(tài)的。當(dāng)有兩個程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順不同時，這種傳播方式稱為多形態(tài)的。病毒代碼的全部或部分被使用不同的密鑰加密是多態(tài)的一種特殊形式。板書18:多態(tài)型病毒的實現(xiàn)要比少態(tài)型病毒的實現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。兩種實現(xiàn)方式：1）通過從準(zhǔn)備好的集合中任意選取譯碼程序。2）通過在傳播期間隨機產(chǎn)生程序指令來完成。例如，可以通過如下的方法來實現(xiàn)：改變譯碼程序的順序；處理器能夠通過一個以上的指令（序列）來執(zhí)行同樣的操作；向譯碼程序中隨機地放入啞命令（DummyCommand）。板書19:3.病毒檢測的一般問題如果存在著某一能夠解決病毒檢測問題的算法，那么就能通過建立圖靈機來執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡單的情況下，我們也不可能制造出這樣的圖靈機。定理：不可能制造出一個圖靈機，利用該計算機，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。板書20:4.病毒檢測方法如果我們只涉及一些已知病毒的問題，那么就可能簡化病毒檢測問題。在此情況下，可以將已知病毒用在檢測算法上。我們從每個已知病毒提取一系列代碼，當(dāng)病毒進行傳播時，它們就會在每個被感染了的文件中顯示出來。我們將這一系列代碼成為序列。病毒檢測程序的任務(wù)就是在程序中搜尋這些序列。板書21:檢測多態(tài)型病毒的難點不能確定多態(tài)型病毒是否含有某些序列，能夠通過這些序列可以檢測病毒的所有變異。當(dāng)發(fā)現(xiàn)序列是隨機的時，不知道發(fā)生錯誤報警的概率。發(fā)現(xiàn)任意序列的概率：N表示一個序列的長度；M表示序列的總個數(shù)；用L(L>>N)表示被檢測文件的總長度；n是字符集大小（對應(yīng)二進制代碼為16）該采用什么樣的費用標(biāo)準(zhǔn)來衡量序列搜尋算法的實現(xiàn)。論文查重復(fù)？？？板書22:基于遞歸函數(shù)的計算機病毒的數(shù)學(xué)模型Adlemen給出的計算機病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個從S╳S到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)。（3）對所有的s,t∈S,用<s,t>表示e（s,t）。（4）對所有部分函數(shù)f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一個從N╳N到N的可計算的入射函數(shù)，它具有可計算的逆函數(shù)，并且對所有i,j∈N，e′(i,j)≥i。板書23:（6）對所有i,j∈N，<i,j>表示e′(i,j)。（7）對所有部分函數(shù)f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）對所有部分函數(shù)f：N→N及所有n∈N,f(n)↓表示f(n)是有定義的。（9）對所有部分函數(shù)f：N→N及所有n∈N,f(n)↑表示f(n)是未定義的。板書24:Adlemen病毒模型有如下缺陷：⑴計算機病毒的面太廣。不具傳染性的也當(dāng)作病毒⑵定義并沒有反映出病毒的傳染特性。⑶定義不能體現(xiàn)出病毒傳染的傳遞特性。⑷“破壞”的定義不合適。原程序功能保留不明確板書25:Internet蠕蟲傳播模型SI(Susceptible[易受感染的]-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed)板書26:SIS模型和SI模型某種群中不存在流行病時，其種群（N）的生長服從微分系統(tǒng)。其中表示t時刻該環(huán)境中總種群的個體數(shù)量，表示種群中單位個體的生育率，d表示單位個體的自然死亡率。 板書27:有疾病傳播時的模型S，I分別表示易感者類和染病者類β表示一個染病者所具有的最大傳染力r表示疾病的恢復(fù)力d表示自然死亡率a表示額外死亡率板書28:流行病的傳播服從雙線形傳染率的SIS模型總種群的生長為：在SIS模型中，當(dāng)a=0時，該模型變?yōu)镾I模型。板書29:SIR模型兩個假設(shè)：已被病毒感染的文件（檔）具有免疫力。病毒的潛伏期很短，近似地認(rèn)為等于零。把系統(tǒng)中可執(zhí)行程序分為三種：被傳播對象，即尚未感染病毒的可執(zhí)行程序，用S(t)表示其數(shù)目。帶菌者，即已感染病毒的可執(zhí)行程序，用p(t)表示其數(shù)目。被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時間內(nèi)不會運行的可執(zhí)行程序（相當(dāng)患病者死去），用R(t)表示其數(shù)目。板書30:λ表示傳播（感染）速度；表示每個時間段接觸次數(shù)；ｕ表示第Ⅱ類程序變成第Ⅲ類程序的速度；公式的解釋：⑴S(t)的變化率即經(jīng)第Ⅰ類程序變成第Ⅱ類程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關(guān)，并且正比于這兩類文件的乘積。 ⑵R(t)的變化率即第Ⅱ類程序變成第Ⅲ類程序的變化率，與當(dāng)時第Ⅱ類的可執(zhí)行程序數(shù)目成正比。⑶在考慮的時間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設(shè)它恒等于常數(shù)（即沒有文件被撤消，也沒有外面的新文件進來），從而可執(zhí)行程序總數(shù)的變化率為零。板書31:板書32:預(yù)防理論模型Fred.Cohen”四模型”理論(1)基本隔離模型該模型的主要思想是取消信息共享，將系統(tǒng)隔離開來，使得計算機病毒既不能從外部入侵進來，也不可能把系統(tǒng)內(nèi)部的病毒擴散出去。(2)分隔模型將用戶群分割為不可能互相傳遞信息的若干封閉子集。由于信息處理流的控制，使得這些子集可被看作是系統(tǒng)被分割成的相互獨立的子系統(tǒng)，使得計算機病毒只能感染整個系統(tǒng)中的某個子系統(tǒng)，而不會在子系統(tǒng)之間進行相互傳播。板書33:(3)流模型對共享的信息流通過的距離設(shè)定一個閥值，使得一定量的信息處理只能在一定的區(qū)域內(nèi)流動，若該信息的使用超過設(shè)定的閥值，則可能存在某種危險。(4)限制解釋模型即限制兼容，采用固定的解釋模式，就有可能不被計算機病毒感染。板書34:類IPM模型把計算機程序或磁盤文件類比為不斷生長變化的植物。把計算機系統(tǒng)比作一個由許多植物組成的田園。把計算機病毒看成是侵害植物的害蟲。把計算機信息系統(tǒng)周圍的環(huán)境看作農(nóng)業(yè)事物處理機構(gòu)。板書35:農(nóng)業(yè)上的IPM(IntegratedPestManagement)模型實質(zhì)上是一種綜合管理方法。它的基本思想是：一個害蟲管理系統(tǒng)是與周圍壞境和害蟲種類的動態(tài)變化有關(guān)的。它以盡可能溫和的方式利用所有適用技術(shù)和措施治理害蟲，使它們的種類維持在不足以引起經(jīng)濟損失的水平之下。板書36:計算機病毒的結(jié)構(gòu)和工作機制四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導(dǎo)模塊（主控模塊）兩個狀態(tài)：靜態(tài)動態(tài)板書37:工作機制板書38:引導(dǎo)模塊引導(dǎo)前——寄生寄生位置：引導(dǎo)區(qū)可執(zhí)行文件寄生手段：替代法（寄生在引導(dǎo)區(qū)中的病毒常用該法）鏈接法（寄生在文件中的病毒常用該法）板書39:引導(dǎo)過程駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能引導(dǎo)區(qū)病毒引導(dǎo)過程搬遷系統(tǒng)引導(dǎo)程序-〉替代為病毒引導(dǎo)程序啟動時-〉病毒引導(dǎo)模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術(shù)最后，轉(zhuǎn)向系統(tǒng)引導(dǎo)程序-〉引導(dǎo)系統(tǒng)板書40:文件型病毒引導(dǎo)過程修改入口指令-〉替代為跳轉(zhuǎn)到病毒模塊的指令執(zhí)行時-〉跳轉(zhuǎn)到病毒引導(dǎo)模塊-〉病毒引導(dǎo)模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術(shù)最后，轉(zhuǎn)向程序的正常執(zhí)行指令-〉執(zhí)行程序板書41:感染模塊病毒傳染的條件被動傳染（靜態(tài)時）用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復(fù)制到另一個載體上?；蛘呤峭ㄟ^網(wǎng)絡(luò)上的信息傳遞，把一個病毒程序從一方傳遞到另一方。這種傳染方式叫做計算機病毒的被動傳染。主動傳染（動態(tài)時）以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一個系統(tǒng)。這種傳染方式叫做計算機病毒的主動傳染。板書42:傳染過程系統(tǒng)（程序）運行-〉各種模塊進入內(nèi)存-〉按多種傳染方式傳染傳染方式立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開始執(zhí)行前，立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序。駐留內(nèi)存并伺機傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個程序、瀏覽一個網(wǎng)頁時傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運行結(jié)束后，仍可活動，直至關(guān)閉計算機。板書43:文件型病毒傳染機理首先根據(jù)病毒自己的特定標(biāo)識來判斷該文件是否已感染了該病毒；當(dāng)條件滿足時，將病毒鏈接到文件的特定部位，并存入磁盤中；完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標(biāo)。文件型病毒傳染途徑加載執(zhí)行文件瀏覽目錄過程創(chuàng)建文件過程板書44:破壞模塊破壞是Vxer的追求，病毒魅力的體現(xiàn)破壞模塊的功能破壞、破壞、還是破壞……破壞對象系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運行速度、磁盤、CMOS、主板和網(wǎng)絡(luò)等。破壞的程度板書45:觸發(fā)模塊觸發(fā)條件計算機病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個條件就是計算機病毒的觸發(fā)條件。觸發(fā)模塊的目的是調(diào)節(jié)病毒的攻擊性和潛伏性之間的平衡大范圍的感染行為、頻繁的破壞行為可能給用戶以重創(chuàng)，但是，它們總是使系統(tǒng)或多或少地出現(xiàn)異常，容易使病毒暴露。而不破壞、不感染又會使病毒失去其特性。可觸發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。板書46:病毒常用的觸發(fā)條件日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)例如，運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)、感染失敗觸發(fā)等。啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)CPU型號/主板型號觸發(fā)板書47:常見計算機病毒的技術(shù)特征駐留內(nèi)存病毒變種EPO（EntryPointObscuring）技術(shù)抗分析技術(shù)（加密、反跟蹤）隱蔽性病毒技術(shù)多態(tài)性病毒技術(shù)插入型病毒技術(shù)超級病毒技術(shù)破壞性感染技術(shù)網(wǎng)絡(luò)病毒技術(shù)如果離開這些技術(shù)，就只能是實驗教學(xué)病毒，不具有實戰(zhàn)能力講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例講授討論互動案例151515151515151515151515151515

第3次課程教學(xué)方案備課時間年9月10日——年9月12日備課教師張新江教學(xué)時間年9月22日教學(xué)地點F2-102B周次3課時數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第3章傳統(tǒng)計算機病毒教學(xué)目標(biāo)和要求了解COM、EXE、NE、PE可執(zhí)行文件格式掌握引導(dǎo)型病毒原理及實驗了解BIOS和UEFI固件引導(dǎo)病毒掌握COM文件病毒原理及實驗掌握PE文件型病毒及實驗掌握面向doc的宏病毒原理及實驗教學(xué)重點1.COM、EXE、NE、PE可執(zhí)行文件格式2.引導(dǎo)型病毒原理及實驗3.BIOS和UEFI固件引導(dǎo)病毒教學(xué)難點1.COM文件病毒原理及實驗2.PE文件型病毒及實驗3.面向doc的宏病毒原理及實驗教學(xué)方法引導(dǎo)式、討論式、互動使用媒體資源?紙質(zhì)材料?多媒體課件?網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等虛擬機作業(yè)練習(xí)課后習(xí)題課后記（空白不夠可添加附頁）學(xué)生掌握基本知識，動手能力提升，思想意識上對于惡意代碼的本章內(nèi)容有了人文精神與愛國情懷的融入。

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動時間一、引導(dǎo)型病毒編制原理及實驗PC引導(dǎo)流程加電CPU\BIOS初始化POST自檢引導(dǎo)區(qū)、分區(qū)表檢查發(fā)現(xiàn)操作系統(tǒng)執(zhí)行引導(dǎo)程序引導(dǎo)區(qū)病毒取得控制權(quán)的過程：MBR和分區(qū)表裝載——DOS引導(dǎo)區(qū)——運行DOS——引導(dǎo)程序——加載IO.sys——MSDOS.sys——加載ＤＯＳ1正常的引導(dǎo)過程引導(dǎo)型病毒從軟盤加載到內(nèi)存尋找DOS引導(dǎo)區(qū)的位置將ＤＯＳ引導(dǎo)區(qū)移動到別的位置病毒將自己寫入原ＤＯＳ引導(dǎo)區(qū)的位置。２用被感染的軟盤啟動MBR和分區(qū)表將病毒的引導(dǎo)程序加載入內(nèi)存運行病毒引導(dǎo)程序病毒駐留內(nèi)存原ＤＯＳ引導(dǎo)程序執(zhí)行并加載ＤＯＳ系統(tǒng)３病毒在啟動時獲得控制權(quán)引導(dǎo)區(qū)病毒實驗【實驗?zāi)康摹客ㄟ^實驗，了解引導(dǎo)區(qū)病毒的感染對象和感染特征，重點學(xué)習(xí)引導(dǎo)病毒的感染機制和恢復(fù)感染染毒文件的方法，提高匯編語言的使用能力?！緦嶒瀮?nèi)容】本實驗需要完成的內(nèi)容如下：引導(dǎo)階段病毒由軟盤感染硬盤實驗。通過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學(xué)習(xí)病毒的感染機制；閱讀和分析病毒的代碼。DOS運行時病毒由硬盤感染軟盤的實現(xiàn)。通過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學(xué)習(xí)病毒的感染機制；閱讀和分析病毒的代碼?！緦嶒灜h(huán)境】VMWareWorkstation5.5.3MS-DOS7.10【實驗素材】附書資源experiment目錄下的bootvirus目錄。實驗過程第一步：環(huán)境安裝安裝虛擬機VMWare，在虛擬機環(huán)境內(nèi)安裝MS-DOS7.10環(huán)境。安裝步驟參考附書資源。第二步：軟盤感染硬盤1、運行虛擬機，檢查目前虛擬硬盤是否含有病毒。如圖表示沒有病毒正常啟動硬盤的狀態(tài)。2、在附書資源中拷貝含有病毒的虛擬軟盤virus.img。3、將含有病毒的軟盤插入虛擬機引導(dǎo)，可以看到閃動的字符*^_^*，如左圖4。按任意鍵進入右圖畫面。第三步：驗證硬盤已經(jīng)被感染1、取出虛擬軟盤，通過硬盤引導(dǎo)，再次出現(xiàn)了病毒的畫面。2、按任意鍵后正常引導(dǎo)了dos系統(tǒng)?？梢?，硬盤已經(jīng)被感染。第四步：硬盤感染軟盤1、下載empty.img，并且將它插入虛擬機，啟動電腦，由于該盤為空，如圖顯示。2、取出虛擬軟盤，從硬盤啟動，通過命令formatA:/q快速格式化軟盤。可能提示出錯，這時只要按R即可。如圖所示。3、成功格式化后的結(jié)果如圖所示。4、不要取出虛擬軟盤，重新啟動虛擬機，這時是從empty.img引導(dǎo)，可以看到病毒的畫面，如左圖所示。按任意鍵進入如右圖畫面?？梢?，病毒已經(jīng)成功由硬盤傳染給了軟盤。二、BIOS和UEFI固件引導(dǎo)病毒簡介著名的情報組織“方程式”就具有其在硬盤控制芯片中植入惡意代碼的能力，并在我國多個重要部門陸續(xù)發(fā)現(xiàn)相關(guān)樣本。其它還可被植入惡意代碼的硬件還包括BIOS、網(wǎng)卡、顯卡、聲卡，甚至包括CPU、WIFI模塊都存在被植入惡意代碼的可能性。BIOS/UEFI加載最早固件病毒的特點：BIOS是開機后執(zhí)行的第一段程序，比MBR更加底層，BIOS一旦被感染，即便是重裝系統(tǒng)，格式化硬盤也無濟于事，因此BIOS感染后的駐留能力是最強的，具有不易清除等特性，適用于長期潛伏。斯諾登泄漏的材料顯示，美國國家安全局（NSA）核心部門TAO小組所使用的ANTPRODUCTS的清單中包括兩款對于BIOS進行植入的工具：SWAP和DEITYBOUNCE。更新時間為2008年6月20日。DEITYBOUNCEDEITYBOUNCE利用主板的BIOS和利用系統(tǒng)管理模塊（SystemManagementMode）的漏洞駐留在Dell的PowerEdge服務(wù)器上。采用interdiction注入方式。MEBROMI［2011年］2011年安全公司360截獲到名叫MEBROMI的BIOS惡意代碼。MEBROMI是一個非常簡陋的面向Award主板的BOOTKIT，MEBROMI通過BIOS感染硬盤的引導(dǎo)扇區(qū)MBR，再通過MBR感染W(wǎng)indows系統(tǒng)文件。MEBROMI運行流程UEFIBOOTKIT[2015]2015年著名的黑客公司HackingTeam源代碼泄漏，其中也包括針對UEFI進行攻擊的UEFIBOOTKIT的源代碼。植入有很多前提條件：需要物理控制目標(biāo)機器，植入過程需要插入移動存儲設(shè)備機會，以及需要能重啟目標(biāo)機器進入UEFIShell模式。代碼分析請參考：/articles/system/72713.htmlInfectionofBiosRootkit在攻擊時，插入U盤，進行UEFI

Shell，Startup.nsh引導(dǎo)啟動chipsec.efi，然后chipsec.efi把三個.mod模塊寫到Bios

ROM上去，重啟電腦時，Bios

Rootkit就開始工作了。三、16位COM可執(zhí)行文件病毒原理及實驗COM格式最簡單的可執(zhí)行文件就是DOS下的以COM(CopyOfMemory)文件。COM格式文件最大64KB，內(nèi)含16位程序的二進制代碼映像，沒有重定位信息。COM文件包含程序二進制代碼的一個絕對映像，也就是說，為了運行程序準(zhǔn)確的處理器指令和內(nèi)存中的數(shù)據(jù)，DOS通過直接把該映像從文件拷貝到內(nèi)存來加載COM程序，系統(tǒng)不需要作重定位工作。加載COM程序DOS嘗試分配內(nèi)存。因為COM程序必須位于一個64K的段中，所以COM文件的大小不能超過65,024（64K減去用于PSP的256字節(jié)和用于一個起始堆棧的至少256字節(jié)）。如果DOS不能為程序、一個PSP、一個起始堆棧分配足夠內(nèi)存，則分配嘗試失敗。否則，DOS分配盡可能多的內(nèi)存（直至所有保留內(nèi)存），即使COM程序本身不能大于64K。在試圖運行另一個程序或分配另外的內(nèi)存之前，大部分COM程序釋放任何不需要的內(nèi)存。分配內(nèi)存后，DOS在該內(nèi)存的頭256字節(jié)建立一個PSP（ProgramSegmentPrefix：程序段前綴）。創(chuàng)建PSP后，DOS在PSP后立即開始（偏移100H）加載COM文件，它置SS、DS和ES為PSP的段地址，接著創(chuàng)建一個堆棧。DOS通過把控制傳遞偏移100H處的指令而啟動程序。程序設(shè)計者必須保證COM文件的第一條指令是程序的入口點。因為程序是在偏移100H處加載，因此所有代碼和數(shù)據(jù)偏移也必須相對于100H。匯編語言程序設(shè)計者可通過置程序的初值為100H而保證這一點（例如，通過在源代碼的開始使用語句org100H）。PSP結(jié)構(gòu)偏移大小

長度（Byte）

說明0000h

02

中斷20H0002h

02

以節(jié)計算的內(nèi)存大?。ɡ盟煽闯鍪欠窀腥疽龑?dǎo)型病毒）0004h

01

保留0005h

05

至DOS的長調(diào)用000Ah

02

INT22H入口IP000Ch

02

INT22H入口CS000Eh

02

INT23H入口IP0010h

02

INT23H入口CS0012h

02

INT24H入口IP0014h

02

INT24H入口CS0016h

02

父進程的PSP段值（可測知是否被跟蹤）0018h

14

存放20個SOFT號002Ch

02

環(huán)境塊段地址（從中可獲知執(zhí)行的程序名）002Eh

04

存放用戶棧地址指針0032h

1E

保留0050h

03

DOS調(diào)用（INT21H/RETF）0053h

02

保留0055h

07

擴展的FCB頭005Ch

10

格式化的FCB1006Ch

10

格式化的FCB2007Ch

04

保留0080h

80

命令行參數(shù)長度0081h

127

命令行參數(shù)MZ格式MZ格式：COM發(fā)展下去就是MZ格式的可執(zhí)行文件，這是DOS中具有重定位功能的可執(zhí)行文件格式。MZ可執(zhí)行文件內(nèi)含16位代碼，在這些代碼之前加了一個文件頭，文件頭中包括各種說明數(shù)據(jù)，例如，第一句可執(zhí)行代碼執(zhí)行指令時所需要的文件入口點、堆棧的位置、重定位表等。裝載過程：操作系統(tǒng)根據(jù)文件頭的信息將代碼部分裝入內(nèi)存，然后根據(jù)重定位表修正代碼，最后在設(shè)置好堆棧后從文件頭中指定的入口開始執(zhí)行。DOS可以把MZ格式的程序放在任何它想要的地方。MZ標(biāo)志 MZ文件頭 其它信息 重定位表的字節(jié)偏移量 重定位表 重定位表 可重定位程序映像 二進制代碼 //MZ格式可執(zhí)行程序文件頭structHeadEXE{WORDwType;//00HMZ標(biāo)志W(wǎng)ORDwLastSecSize;//02H最后扇區(qū)被使用的大小WORDwFileSize;//04H文件大小WORDwRelocNum;//06H重定位項數(shù)WORDwHeadSize;//08H文件頭大小WORDwReqMin;//0AH最小所需內(nèi)存WORDwReqMax;//0CH最大所需內(nèi)存WORDwInitSS;//0EHSS初值WORDwInitSP;//10HSP初值WORDwChkSum;//12H校驗和WORDwInitIP;//14HIP初值WORDwInitCS;//16HCS初值WORDwFirstReloc;//18H第一個重定位項位置WORDwOverlap;//1AH覆蓋WORDwReserved[0x20];//1CH保留WORDwNEOffset;//3CHNE頭位置};NE格式為了保持對DOS的兼容性并滿足Windows的需要，Win3.x中出現(xiàn)的NE格式的可執(zhí)行文件中保留了MZ格式的頭，同時NE文件又加了一個自己的頭，之后才是可執(zhí)行文件的可執(zhí)行代碼。NE類型包括了EXE、DLL、DRV和FON四種類型的文件。NE格式的關(guān)鍵特性是：它把程序代碼、數(shù)據(jù)、資源隔離在不同的可加載區(qū)中；藉由符號輸入和輸出，實現(xiàn)所謂的運行時動態(tài)鏈接。NE裝載16位的NE格式文件裝載程序（NELoader）讀取部分磁盤文件，并生成一個完全不同的數(shù)據(jù)結(jié)構(gòu)，在內(nèi)存中建立模塊。當(dāng)代碼或數(shù)據(jù)需要裝入時，裝載程序必須從全局內(nèi)存中分配出一塊，查找原始數(shù)據(jù)在文件的位置，找到位置后再讀取原始的數(shù)據(jù)，最后再進行一些修正。每一個16位的模塊（Module）要負(fù)責(zé)記住現(xiàn)在使用的所有段選擇符，該選擇符表示該段是否已經(jīng)被拋棄等信息。MS-DOS頭 DOS文件頭 保留區(qū)域 Windows頭偏移 DOSStub程序 信息塊 NE文件頭 段表 資源表 駐留名表 模塊引用表 引入名字表 入口表 非駐留名表 代碼段和數(shù)據(jù)段 程序區(qū) 重定位表 3COM文件病毒原理感染過程：將開始的3個字節(jié)保存在orgcode中．將這3個字節(jié)更改為0E9H和COM文件的實際大小的二進制編碼。將病毒寫入原COM文件的后邊。在病毒的返回部分，將3個字節(jié)改為0E9H和表達式（當(dāng)前地址－COM文件的實際大小－病毒代碼大?。┑亩M制編碼，以便在執(zhí)行完病毒后轉(zhuǎn)向執(zhí)行原程序。****************************39:E9ｘｘｘｘＲｅｓｕｍｅ：Ｅ９ＸＸＸＸE9ＡＡＡＡＡＡＡＡＸＸＸＸ源代碼：jump源代碼示例講解演示COM病毒COM文件病毒實驗（實驗二）【實驗?zāi)康摹空莆誄OM病毒的傳播原理?！緦嶒炂脚_】VMWareWorkstation5.5.3MS-DOS7.10MASM611****************************41:實驗步驟(1)安裝虛擬機VMWare，安裝步驟參考網(wǎng)上下載的實驗配套資料“解壓縮目錄\Application\MSDOS71\虛擬機上安裝MSDOS.doc”文檔。(2)在虛擬機環(huán)境內(nèi)安裝MS-DOS7.10環(huán)境。(3)在MS-DOSC:\MASM目錄下安裝MASM611，然后將binr目錄下的link.exe復(fù)制到bin目錄下。(4)從附書資源“experiment\com”下復(fù)制病毒程序Virus.asm及測試程序源代碼BeInfected.asm。(5)編譯鏈接BeInfected.asm，形成BeI測試程序。(6)編譯鏈接virus.asm，生成病毒程序virus.exe。(7)在C:\MASM\Bin目錄下建立del.txt文件，并且將BeI和病毒復(fù)制到此目錄下。(8)執(zhí)行BeI，觀察未感染前的運行結(jié)果。(9)執(zhí)行virus.exe文件以感染BeI文件并且自動刪除del.txt。(10)執(zhí)行BeI觀察感染后的結(jié)果。【程序源碼】本實驗以尾部感染COM文件的病毒為例子，其中待感染COM文件源代碼BeInfected.asm、病毒源文件源代碼virus.asm參見附書源代碼。四、32位操作系統(tǒng)病毒示例分析１PE文件結(jié)構(gòu)及其運行原理２Win32文件型病毒編制技術(shù)３從ring3到ring0概述１PE文件結(jié)構(gòu)及其運行原理(1)PE文件格式總體結(jié)構(gòu)PE（PortableExecutable：可移植的執(zhí)行體）是Win32環(huán)境自身所帶的可執(zhí)行文件格式。它的一些特性繼承自Unix的Coff(CommonObjectFileFormat)文件格式。可移植的執(zhí)行體意味著此文件格式是跨win32平臺的，即使Windows運行在非Intel的CPU上，任何win32平臺的PE裝載器都能識別和使用該文件格式。當(dāng)然，移植到不同的CPU上PE執(zhí)行體必然得有一些改變。除VxD和16位的Dll外，所有win32執(zhí)行文件都使用PE文件格式。因此，研究PE文件格式是我們洞悉Windows結(jié)構(gòu)的良機。PE文件結(jié)構(gòu)總體層次分布DOSMZheader ‘MZ’格式頭 DOSstub Dos樁程序 PEheader PE文件頭 Sectiontable 節(jié)表 Section1 第1個節(jié) Section2 第2個節(jié) … … Sectionn 第n個節(jié) ２Win32文件型病毒編制技術(shù)Ring-3病毒的兼容性較好Ring-3病毒需要API的支持公開的未公開的技術(shù)包括：2.1病毒的重定技術(shù)為什么需要重定位？正常程序的變量和函數(shù)的相對地址都是預(yù)先計算好的。病毒是附加在宿主程序中的程序段，其問題在于：病毒變量和病毒函數(shù)的相對地址很難計算。解決方法：動態(tài)找一個參照點，然后再根據(jù)參照點的地址確定病毒函數(shù)和病毒變量的地址。calldeltadelta: popebp…leaeax,[ebp+(offsetvar1-offsetdelta)]參照量delta在內(nèi)存中的地址+變量var1與參考量之間的距離=變量var1在內(nèi)存中的真正地址舉例介紹dwVardd?call@F@@:popebxsubebx,offset@Bmoveax,[ebx+offs