4.其他的反病毒技术
1. 智能引擎技术 智能引擎技术发展了特征码扫描法的优点， 改进了其弊端，使得病毒扫描速度不随病 毒库的增大而减慢。例如，瑞星杀毒软件 2003之后的版本即采用了此项技术，使病 毒扫描速度比2002版提高了一倍之多；
4.其他的反病毒技术
2. 计算机监控技术




3. 文件实时监控技术

通过利用操作系统底层接口技术，对系统 中的所有类型文件或指定类型的文件进行 实时的行为监控，一旦有病毒传染或发作 时就及时报警。从而实现了对病毒的实时、 永久、自动监控。这种技术能够有效控制 病毒的传播途径，但是这种技术的实现难 度较大，系统资源的占用率也会有所降低。



驻留主进程体内的线程同时观察注册表和远程进程的情况。它 实时查询注册表里 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run键下相关可执行文件的键值，如果被删除就立 即将其添加上。这就是对注册表的实时监视，使得每次开机时 都会运行我们的可执行文件。 而另一个功能则是监视驻留在远程进程体内辅助线程的运行情 况，如果该线程被关闭，立即通过创建远程线程将被关闭的线 程驻留到特定的进程内。 驻留在远程进程体内的辅助线程则监视主进程的运行情况，如 果主进程被kill了，它会确认程序的可执行文件是否也被删除掉 了。如果系统目录下的可执行文件不存在了，则用我们备份的 文件恢复可执行文件 然后再重新启动程序 这样你在任务管理 器里怎么也删除 行文件，然后再重新启动程序，这样你在任 务管理器里怎么也删除不了主进程。
实验4：宏病毒的原理与防治 进阶要求：完成MacroV说明.doc中第二个实验
宏病毒--传染


获取病毒样本 Application.VBE.ActiveVBProject.VBComponents(VirusN ame).Export ExportSource

感染模板-dot Set Tmp = NormalTemplate.VBProject.VBComponents Tmp.Import ExportSource
2. 虚拟执行技术

技术通过虚拟执行方法查杀病毒，可以对付加密、变形、 异型及病毒生产机生产的病毒，具有如下特点： 在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚 拟机器” 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文 件 在执行过程中，从虚拟机环境内截获文件数据，如果含有 可疑病毒代码，则杀毒后将其还原到原文件中，从而实现 对各类可执行文件内病毒的查杀
恶意软件的分析与防范
严飞 武汉大学计算机学院 yanfeiclass@
课时安排
1. 2. 3. 4. 5. 6. 7. 8. 恶意代码概述 计算机病毒 网络蠕虫 网页/移动恶意代码 后门、木马和Rootkit 常用检测技术和工具 课堂讨论与练习 期末考试
第二讲 传统的计算机病毒
一．生物病毒 二．计算机病毒的基本常识 三．计算机病毒相关技术
宏病毒防范
• 【工具】菜单中的【宏】-〉【安全性】
宏病毒防范

保护Normal模板 ：【工具】菜单中的【选项】
宏病毒防范
通过DisableAutoMacros宏指令来禁止使用 自动宏 Sub autoexec() WordBasic.DisableAutoMacros True End Sub
病毒的防治
人类为防治病毒所做出的努力
立体防护
网络版 单机版 防病毒卡
目前广泛应用的几种防治技术
1. 特征码扫描法 特征码扫描法是分析出病毒的特征病毒码 并集中存放于病毒代码库文件中，在扫描 时将扫描对象与特征代码库比较，如有吻 合则判断为染上病毒。该技术实现简单有 效，安全彻底；但查杀病毒滞后，并且庞 大的特征码库会造成查毒速度下降；

windows映像劫持技术(IFEO)（在RootKit部分介绍） 恢复ssdt 许多安全软件失效（在RootKit部分介绍） ssdt对抗inline• ook突破进程保护（在RootKit部分介绍） h ……

监控进程的运行状态，保护进程

实验5：T-Mouse•



一个基于“三线程”的诱鼠器。 主线程需要完成的任务有三个，分别是准备工作，创建辅助线 程和程序主要功能的实现。 准备工作：为程序运行过程中所需要的一些部件做好准备，其 中包括文件复制和保存，一般情况下是把可执行文件复制到系 统目录下。 创建辅助线程包括两个线程，一个驻留在主进程体内， 另一个通过创建远程线程驻留到其他正在运行的进程体内。
标准宏
FileSave
FileSaveA s FilePrint FileOpen
保存文件
改名另存为文件 打印文件 打开文件
Word宏病毒感染过程

编制语言VBA\WordBasic等 环境：VBE
打开被感 染的文档 把宏加载到 内存 运行自动宏 宏病毒将自 己复制到全 局模板 新建（打开） 的文档被感染

两个辅助线程相互实时监视，如果监视对象被关闭了，就重新 创建线程或进程。其实，在程序中选择的远程进程驻体为 Explorer.exe和Taskmgr.exe。在通常情况下，如果用户知道 了远程线程的驻体为资源管理器后，就会打开任务管理器来结 束Explorer，这时再把 为资源管理器后，就会打开任务管理器 来结束 p ，这时再把远程线程驻入到任务管理器中。也就是说， 只要Explorer或Taskmgr有一个存在，就不可能结束主进程。 如果有其他Kill进程的工具，你就可以将其关闭掉，只要资源 管理器和任务管理器均不存在时，就没有驻体来维持远程进程。 不过，如果我们选择的远程进程为随机的，这就不容易发现了； 如果我们选择的远程进程为系统文件（如smss.exe会话管理 器），那么你是不会安全的结束远程线程，除非系统崩溃。
病毒的自我保护手段（续）

垃圾指令（花指令）
病毒的自我保护手段（续）

置换寄存器
病毒的自我保护手段（续）

置换子程序


BdyBody病毒有8个子 程序，因此有8！ =4032个不同的病毒样 本 W32/Ghost有10个子程 序，因此有10！ =3628800个不同的病 毒样本
病毒的自我保护手段（续）
手工清除宏病毒的方法
1. 打开宏菜单，在通用模板中删除您认为是病毒 的宏。 2. 打开带有病毒宏的文档（模板），然后打开宏 菜单，在通用模板和病毒文件名模板中删除您 认为是病毒的宏。 3. 保存清洁文档。
预防宏病毒





对于已染毒的模板文件（Normal.dot），应先其 中的自动宏清除（AutoOpen、AutoClose、 AutoNew），然后将其置成只读方式。 对于其他已染毒的文件均应将自动宏清除，这样 就可以达到清除病毒的目的。 平时使用时要加强预防。对来历不明的宏最好删 除。 先禁止所有自动执行的宏。 安装反病毒软件。

使防病毒软件不能线程保护技术 修改注表导致无法进入安全模式

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot下修改 Minimal和Network为任意名称即可

窗口检测法

检测带有某些关键字的软件，如360、安全卫士……
文件实时监控 内存实时监控 脚本实时监控 邮件实时监控 注册表实时监控 参考： 或者 /zhcn/sysinternals/default.aspx
4.其他的反病毒技术
3. 嵌入式杀毒技术 嵌入式杀毒技术是对病毒经常攻击的应用 程序或对象提供重点保护的技术，它利用 操作系统或应用程序提供的内部接口来实 现。它对使用频度高、使用范围广的主要 的应用软件提供被动式的防护。如对MSOffice、Outlook、IE、Winzip、NetAnt等 应用软件进行被动式杀毒。

宏病毒的特点
1. 2. 3. 4. 5. 传播极快 制作、变种方便 破坏可能性极大 多平台交叉感染 地域性问题
宏病毒的共性
宏病毒会感染DOC文档文件和DOT模板文 件。 打开时激活，通过Normal模板传播。 通过AutoOpen，AutoClose，AutoNew和 AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指 令。

要达到宏病毒传染的目的，系统须具备以 下特性：
① 可以把特定的宏命令代码附加在指定文件上； ② 可以实现宏命令在不同文件之间的共享和传 递； ③ 可以在未经使用者许可的情况下获取某种控 制权。
可支持宏病毒的应用系统
Microsoft公司的WORD、EXCEL、Access、 PowerPoint、Project、Visio等产品； Inprise公司的Lotus AmiPro字处理软件； 此外，还包括AutoCAD、Corel Draw、 PDF等等。
感染文档-doc Set Doc = ActiveDocument.VBProject.VBComponents Doc.Import ExportSource

Word宏病毒发现方法




在Normal模板发现有AutoOpen等自动宏，FileSave等标 准宏或一些怪名字的宏，而自己又没有加载特殊模板，这 就有可能有病毒了。 当打开一个文档时，未经任何改动，立即就有存盘操作 打开以DOC为后缀的文件在另存菜单中只能以模板方式存 盘 无法使用“另存为（Save As）”修改路径 不能再被转存为其它格式的文件 DOC文件具备与DOT文档相一致的内部格式(尽管文件扩 展名未改变)。


检查父进程

检查父进程是否为Explorer.exe