前缀 + 病毒名 + 后缀
病毒名为该病毒的名称及其家族。
1. 按病毒发作的时间命名 ：黑色星期五
2. 按病毒发作症状命名：“小球” 、“熊猫烧香”
3. 按病毒自身包含的标志命名：病毒中出现的字符
串、病毒标识、存放位置或病毒表现时自身宣布
的名称。 如：Stone（石头）病毒，爱虫病毒
4. 按病毒发现地命名 ：
《计算机病毒》第二讲
计算机病毒概述
复习
1. 计算机病毒的定义 、 出现的目的 2. 计算机病毒的特点 3. 计算机病毒的分类 4. 计算机病毒的命名 5. 计算机病毒的传播途径 6. 杀毒软件的查毒原理 （重点理解） （先了解，后面会学） （重点理解） （了解） （理解）
7. 计算机病毒的自我保护技术
按照计算机病毒的功能分类
Virus（感染型）：将病毒代码附加到被感染的
宿主文件中（PE文件、DOC文件） Worm（蠕虫）：利用系统漏洞、外发邮件、共 享目录、可传输文件的软件（MSN、QQ）等进行 传播。1988年莫里斯蠕虫
按照计算机病毒的功能分类
Trojan（木马）：是指在用户不知道也不允许的
2.计算机病毒的特点
1）传染性 2）破坏性 3）隐蔽性 4）可触发性 5）程序性（可执行性） 6）衍生性 7）不可预见性 8）欺骗性
3.计算机病毒的分类
按照计算机病毒侵入的系统分类
按照计算机病毒的传播介质分类
按照计算机病毒的传播方法分类
按照计算机病毒的破坏情况分类 按照计算机病毒的功能分类
7. 计算机病毒的自我保护技术
Trojan.PSW），Worm，Macro，PE，VBS，
BackDoor，Win32，Win95，…
后缀是为了区别在该病毒家族中各病毒的不同，
可以为字母，表示病毒是某一个家族的第几种变 种，或者为数字（数字一般是病毒的大小，以病 毒的大小来区分同一家族的不同病毒变种）。 如果一个病毒的变种数非常多，则可以用字母 与数字混合在一起做为病毒后缀 。
（卡巴斯基命名，四个部分组成） 灰鸽子：远程控制的后门软件 Worm.Win32.Delf.bd
Trojs.GEN（瑞星五个部分）
OnlineGames：盗窃网络银行、在线游戏密码
5.病毒的传播途径
6.杀毒软件查毒原理
查毒 杀毒
杀毒：确定相应的杀毒方法 感染型病毒-清除被感染程序中的病毒代码 独立程序的病毒-直接删除病毒文件
7. 计算机病毒自我保护技术
（4）变形--与多态技术不同的是每次加密的原始病
毒代码是变化的。 （5）加壳 （6） 直接对抗杀毒软件 终结反病毒软件或其部分功能
本章小结
1. 计算机病毒的定义 、 出现的目的 2. 计算机病毒的特点 3. 计算机病毒的分类 4. 计算机病毒的命名 5. 计算机病毒的传播途径 6. 杀毒软件的查毒原理 （重点理解） （先了解，后面会学） （重点理解） （了解） （理解）
复习
1. 计算机病毒的定义、出现的目的 2. 计算机病毒的特点 3. 计算机病毒的分类 4. 计算机病毒的命名
5. 计算机病毒的传播途径
6. 计算机病毒的对抗手段—杀毒软件查毒原理
7. 计算机病毒的自我保护技术
1.计算机病毒的定义、目的
一种人为编制的程序或指令集合，它通过不
同的途径潜伏或寄生在存储媒体上（如磁盘）或 程序里，当某种条件或时机成熟的时候，它会自 身复制并传播，使计算机的资源受到不同程度的 破坏等。 目的：游戏、玩笑、炫耀、经济政治利益 ……
4.计算机病毒的命名
Trojan.PSW.Win32.OnlineGames.GEN
前缀 病毒名 后缀
为了方便的表示病毒的类型和重要特征，一般
而言，病毒的名称可以分成三个部分：
前缀 + 病毒名 + 后缀
前缀表示该病毒发作的操作平台或者病 毒的类型，如:Trojan（ Trojan-Downloader 、
Jurusalem(耶路撒冷)病毒，Vienna(维也纳)病毒
5. 按病毒的字节长度命名： 以病毒传染文件时文
件的增加长度或病毒自身代码的长度来命名。
如：1575、2153、1701、1704、1514、4096 等
不同的反病毒公司可能对同一病毒的命名各不相同
Backdoor. Win32.Hupigon.zqf
理系统等系统组件，进而模拟代码执行过程，这样病
毒就是在虚拟机中模拟执行，而不是被真实的CPU执
行。
优点：检测加密和多态病毒、动态解密程序。
7. 计算机病毒自我保护技术
逃避检测和提高病毒的生命周期 （1）花指令--在指令流中插入很多的“垃圾数据”， 干扰反汇编软件的判断。 （2）加密--对病毒的某些主体代码采用固定的密钥 进行加密，对抗静态反汇编。 （3）多态--病毒加密后的每个样本的代码都不相同， 表现为多种状态，对抗静态扫描特征码的杀毒软件
Backdoor（后门）：是指在用户不知道也不允许
的情况下，在被感染的系统上以隐蔽的方式运行，可 以对被感染的系统进行远程控制（文件管理、进程控 制等），而且用户无法通过正常的方式禁止其运行。
按照计算机病毒的功能分类
后门通常是由攻击者入侵到目标计算机之后由攻
击者植入的，而木马通常是用户被欺骗后自己下载 的。
情况下，在被感染的系统上以隐蔽的方式运行， 而且用户无法通过正常的方式禁止其运行。 一般是以经济利益为目的 Trojan子类型—PSW：窃取用户密码的；DownLoader： 下载病毒并运行（如网站挂马）；Clicker：点击指定 的网页；Dropper：释放病毒的程序„„
按照计算机病毒的功能分类
（2） 启发式查毒
通过对有关指令序列的提取和分析逐步理解并确定 其蕴藏的真正动机。
分析病毒行为
优点：可能检测到未知病毒 缺点：误报 针对PE病毒：根据PE文件在格式上的特征制定启发式 分析方法，如代码是否从最后一节开始执行、是否重定位。
（3）基于虚拟机技术的行为判定
在扫描器中实现了一个虚拟机来仿真CPU、内存管
查毒原理
（1） 特征码查毒 （2）启发式查毒 （3）基于虚拟机技术的行为判定
（1） 特征码查毒
利用留在被感染文件中的病毒特征值（即每
种病毒所独有的十六进制代码串）进行检测。
优点：速度快，误报率低，是检测已知病毒最简
单、开销最小的方法。
缺点：无法检测新病毒
变形病毒增多，特征库体积庞大，速度下降
“灰鸽子后门”：修改注册表，上传下载文件，查 看系统信息、进程、服务，查看操作窗口，记录键盘， 控制远程语音视频设备、重启机器等。
按照计算机病毒的功能分类
Constructor病毒生成器：可以生成出不同功能
的病毒的程序
Joke（玩笑程序）：是指运行后不会对系统造
成破坏，但是会对用户造成心理恐慌的程序。