【文档说明】计算机病毒基本知识解析课件.ppt，共(109)页，1.753 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77278.html

以下为本文档部分文字说明：

2022/12/112022/12/11计算机与网络安全Computer&NetworkSecurity计算机病毒基本知识2022/12/122022/12/12内容计算机病毒概述计算机病毒的发展计算机病毒生命周期与特性计算机病毒传播途径与分类预防计算机病毒的

方法计算机病毒结构及变体2022/12/132022/12/13计算机病毒概述计算机病毒概念的提出20世纪70年代，托马斯·J·瑞恩(ThomasJ.Ryan)的科幻小说《P-1的春天一书中构思了一种能够自我

复制，利用通信进行传播的计算机程序，他借用生物学中的“病毒”一词，称之为“计算机病毒”。计算机病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。2022/12/142022/12/14病毒的

定义：《中华人民共和国计算机信息系统安全保护条例》，第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。此定义具有法律权威性。2022/1

2/152022/12/15携带有计算机病毒的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。2022/12/162022/12/16广义的计算机病毒特洛伊木马一种潜伏执行非授权功能的技术，它在正常程序中存放秘密指令，

使计算机在仍能完成原先指定任务的情况下，执行非授权功能。特洛伊木马的关键是采用潜伏机制来执行非授权的功能。特洛伊木马通常又称为黑客程序。蠕虫一个程序或程序序列，通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒的危害日益显著

，“爱虫”（ILOVEYOU）就是影响极大的一例。2022/12/172022/12/17病毒与蠕虫的差异2022/12/182022/12/18计算机病毒存在的原因计算机系统脆弱性是产生计算机病毒的客观因素。

Herschberg和Paans指出：计算机病毒将长期存在可追溯到冯·诺依曼关于自我复制机器的论点。1949年，计算机之父冯·诺依曼在《复杂自动机组织论》中定义了计算机病毒的概念——一种“能够实际复制自身的自动机”，他指出：一部事实上足够复杂的机器能够复制自身。这

一开拓性论点发表后的三十年里，引起了激烈的争论，反对者认为机器不能复制自身。2022/12/192022/12/19冯·诺依曼指出，一部足够复杂的机器具有复制其自身的能力。此处所说的“机器”不仅包含硬

件，而是包含硬件和软件的特殊组合，也即现在所谓的系统。争论持续了多年，最终证明冯·诺依曼是正确的。用一部复杂的机器(包含硬件和软件的组合)去复制其自身是很简单的:硬件被固定，编写一个程序去复制其自身。2022/12/1102022/12/110病毒利用了冯·诺依曼计算机结构体系。

把存储的软件当作数据处理，可以动态地进行修改，以满足变化多端的需求。操作系统和应用程序都是如此。病毒利用了系统中可执行程序可被修改的属性、去达到病毒自身的不同于系统或用户的特殊目的。冯·诺依曼体系与病毒的存在2022/12/1112022/12/11

1信息共享与病毒传播冯·诺依曼体系提供了病毒存在的可能，信息共享使病毒的存在成为现实。如果没有信息共享，病毒使不可能传播。信息共享使病毒程序和正常程序具有共用的部分，从而两者互相接触，有了由此到彼的桥梁。因此，信息共享使病毒有了

转移、发病的机会；而冯·诺依曼体系为病毒提供了进行感染、破坏的物质基础。因此，只要冯·诺依曼体系存在，只要有信息共享，病毒就将存在。反言之，要根除病毒，就要消除冯·诺依曼体系和信息共享。2022/12/1122022/12/11

2事实上，冯·诺依曼体系和信息共享这两件事物，将长期存在，哪一个也不能根除。事实已经证明，在信息被共享时，信息可以解释；在信息可以被转发的任何系统中，病毒可以通过系统进行传播。阻止病毒传播的唯一希望在于限制系统的功能。但这些功能是计算机广泛被使用的必需的功能。必须在计算机具有脆弱

性的前提下，来研究对付计算机病毒的策略。2022/12/1132022/12/113计算机病毒的历史计算机刚刚诞生，就有了计算机病毒的概念。1949年，冯·诺依曼便定义了计算机病毒的概念，即一种“能够实际复制自身的自动机”。1960年，美国的约翰·康维在编写“生命游戏”程序时，首先实

现了程序自我复制技术。他的游戏程序运行时，在屏幕上有许多“生命元素”图案在运动变化。这些元素过于拥挤时，会因缺少生存空间而死亡。如果元素过于稀疏会由于相互隔绝失去生命支持系统，也会死亡。只有处于合适环境的

元素才非常活跃，它们能够自我复制并进行传播。2022/12/1142022/12/114五十年代末六十年代初，美国电话电报公司（AT&T）贝尔实验室的三位年轻程序员道格拉斯·麦耀莱(DouglasMcIlr

oy)、维克特·维索斯基(VictorVysottsky)以及罗伯特·莫里斯(RobertT.Morris)也受到冯·诺依曼理论的启发，发明了“磁心大战（corewar）”游戏。玩这个游戏的两个人编制许多能自身复制、并可保存在磁心存储器中的程序，然后发出信号。双方的

程序在指令控制下就会竭力去消灭对方的程序。在预定的时间内，谁的程序繁殖得多，谁就得胜。这种有趣的游戏很快就传播到其他计算机中心。由于这种程序与生物医学上的“计算机病毒”同样具有传染和破坏的特性，所以后

来就把这种具有自我复制和破坏机理的程序称为计算机病毒。这就是所谓“病毒”的第一个雏形。2022/12/1152022/12/11520世纪70年代，美国作家雷恩在其出版的《p-1的青春》一书中构思了一种能够自我复制的计算机程序

，并第一次称之为“计算机病毒”。1982年，elkcloner病毒出现在苹果电脑中，这个由RichSkrenta编写的恶作剧程序，是世界上已知的第一个电脑病毒。当elkcloner发作时，电脑屏幕上会现出一段韵文：itwillgetonally

ourdisks（它会占领你所有的磁盘）itwillinfiltrateyourchips（潜入你的芯片）yesit’scloner!（是的，它就是克隆病毒！）itwillsticktoyoulikeglue（它会像胶水一样粘着你）itwillmodifyramtoo（也会修改

你的内存）sendinthecloner!（传播这个克隆病毒！）2022/12/1162022/12/1161983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在vax/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中

。20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。2022/12/1172022/12/1171987年世界各地的计算机用户几乎同时发现了形形色色的

计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。面对计算机病毒的突然袭击，众多计算机用户甚至专业人员都惊慌失措。1989年全世界的计算机病毒攻击十分猖獗，我国也未幸免。其中“米开朗基罗”病毒给许多计算机用户造成极大损失。1991年在

“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统并使之瘫痪，保证了战斗的顺利进行，直至最后胜利。1992年出现针对杀毒软件“幽灵”病毒，如One-half。1996年出现针对微软公司Office的“宏病毒”。1

997年被公认为计算机反病毒界的“宏病毒”年。“宏病毒”主要感染WORD、EXCEL等文件，常见的如：Twno.1、Setmd、Consept、Mdma等。1998年出现针对Windows95/98系统

的病毒，如CIH，1998年被公认为计算机反病毒界的CIH病毒年。2022/12/1182022/12/1181998年11月2日美国发生了“蠕虫计算机病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫计算机病毒是由美国CORNELL大学研究生莫里斯编写。虽然并

无恶意，但在当时，“蠕虫”在Internet上大肆传染，使得数千台联网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。美国6000多台计算机被计算机病毒感染，造成Internet不能正常运行。这一典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成

立了计算机应急行动小组。此次事件中遭受攻击的包括5个计算机中心和拥有政府合同的25万台计算机。这次计算机病毒事件，计算机系统直接经济损失达9600万美元。2022/12/1192022/12/119这个计算机病毒是历史

上第一个通过Internet传播的计算机病毒。它的设计者罗伯特·莫里斯正是利用系统存在的弱点编写了入侵Arpanet网的最大的电子入侵者，从而获准参加康奈尔大学的毕业设计，并获得哈佛大学Aiken中心超级用户的特权。他也因此被判3年缓刑，罚款1万美元，还被命令进行400小时的社区服务，

成为历史上第一个因为制造计算机病毒受到法律惩罚的人，从而揭开了世界上通过法律手段来解决计算机病毒问题的新一页。附注:此处的RobertT.Morris(Jr)是P.14中提到的RobertT.Morris(Sr)的儿子，当时大Morris刚好是负责A

rpanet网路安全。2022/12/120计算机病毒疫情监测周报（2012.10.14-2012.10.20）国家计算机病毒应急处理中心序号病毒名称病毒特点1“木马下载者”(Trojan_Downloader)及变种该木马通过网联网或是

网页挂马的方式进行传播感染,并且它会自动连接互联网络中的指定服务器，下载大量病毒、木马等恶意程序，导致计算机用户系统中的重要数据信息失密窃。2“U盘杀手”（Worm_Autorun）及变种该病毒是一个利用U盘等移动设备进行传播的蠕虫。a

utorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就

会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。3“代理木马”(Trojan_Agent)及变种它是一个木马家族，有很多的变种。“代理木马”及变种运行后，会在临时文件夹下释放病毒文件，修改注册表，实现其开机自动运行。迫使系统连接指定的服务器，在被

感染计算机上下载其它病毒、木马等恶意程序。4“灰鸽子”（Backdoor_GreyPigeon）及变种该变种比以前的更具有隐蔽性，伪装成操作系统中常用应用软件。将病毒文件命名为“原名称+空格.exe”或者删掉可执行扩展名.exe，使得变种原文件复制伪装成系统中正常

应用软件，并使用原应用文件的图标。5Hack_Kido及变种利用微软MS08-067漏洞发起攻击的黑客程序。该程序会启动攻击线程开始发起攻击。攻击线程会随机生成IP地址，并试图对该IP地址发起攻击。感染后，其会关闭系统自动更新、安全中心、W

inDefend等服务，并通过删除相关注册表项使“安全中心”和“WinDefend”不再可用。被感染的系统还会出现无法访问微软和一些安全软件站点的情况。2022/12/1212022/12/121几种典型的计算机病毒--CIH病毒陈盈豪：当时台湾的

一个大学生1998年2月，1.2版1998年4月26日，台湾少量发作1999年4月26日，全球发作破坏主板BIOS2022/12/1222022/12/122通过网络（软件下载）传播全球有超过6000万台的机器被感染第一个能够破坏计算机硬件

的病毒全球直接经济损失超过10亿美元几种典型的计算机病毒--CIH病毒2022/12/1232022/12/123几种典型的计算机病毒--美丽莎大卫.史密斯，美国新泽西州工程师在16小时内席卷全球互联网至少造成10亿美元的损失！通过email传播传播规模（

50的n次方，n为传播的次数）2022/12/1242022/12/124几种典型的计算机病毒--爱虫菲律宾“AMA”电脑大学计算机系的学生一个星期内就传遍5大洲微软、Intel等在内的大型企业网络系统瘫痪全球经济损失达几十亿美元2022/12/125通过电子邮件传播，向

地址本中所有用户发带毒邮件通过聊天通道IRC、VBS、网页传播能删除计算机内的部分文件制造大量新的电子邮件，使用户文件泄密、网络负荷剧增。一年后出现的爱虫变种VBS／LoveLetter．CM它还会在Windows目录下驻留一个染有CIH病毒的文件，并将其激活。

几种典型的计算机病毒--爱虫2022/12/126几种典型的计算机病毒--熊猫烧香2022/12/127几种典型的计算机病毒--熊猫烧香2022/12/128几种典型的计算机病毒--熊猫烧香2022/12/129几种典型的计

算机病毒--熊猫烧香2022/12/1306.7.5*典型木马病毒分析“冰河”是有名的用C++Builder编写的国产远程管理软件，其自我保护功能很强，主要由病毒安装模块、端口控制和通信模块、远程控制模块等程序模块组成病毒安装模块一般会把自己隐藏起来运行，安装方式通常有下列4种

：自我复制法、资源文件法、网页方式安装、类病毒捆绑法(如YAI)。自我复制法适用于本身就一个文件；资源文件法可以同时安装好几个文件；网页方式安装要先向微软交费换安全签证；类病毒捆绑法利用了病毒的原理几种典型的计算机病毒

--冰河木马2022/12/1316.7.5*典型木马病毒分析冰河使用Winsock控件来编写网络客户服务程序。该部分代码首先用G_Server.LocalPort=7626（冰河的默认端口，可以改为别的值）在网络服务端打开一端口，并进行监听（G_Server.Listen），在

客户端设置G_Client.RemoteHost=ServerIP（设远端地址为服务器地址）和G_Client.RemotePort=7626（设远程端口为冰河的默认端口），并用G_Client.Co

nnect(调用Winsock控件的连接方法)向服务器端口提出链接请求(ConnectRequest)，一旦服务端接到客户端的链接请求，就接受连接。几种典型的计算机病毒--冰河木马2022/12/1326.7.5*典型木马病毒分析远程控制模块主要是利用WindowsAPI，完成下列

功能：进行远程监控：控制远程计算机鼠标、键盘，并监视对方屏幕记录各种口令信息获取系统信息：偷取远程计算机名、当前用户名、更改计算机名、设置系统路径、获取系统目录、获取Windows安装目录、取得系统版本、取得当前显示分辨率、限制系统

功能几种典型的计算机病毒--冰河木马2022/12/1336.7.5*典型木马病毒分析冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们

发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。（百度百科）几种典型的计算机病毒--冰河

木马作者：黄鑫，西安电子科技大学计算机学院95级本科。冰河的开放端口7626据传为其生日号。2022/12/1342022/12/134计算机病毒的生命周期“计算机病毒”和生物世界的病毒一样，都是有其独特的生命周期。而“计算机病毒”的生命周期就是由以下几个步骤组成的一个循环：创

造期：孕育期：潜伏感染期：发作期：发现期：同化期：根除期：2022/12/1352022/12/135计算机病毒的特性计算机病毒与生物病毒有许多相似之处，同样有以下一些特性：计算机病毒的传染性：传

染和破坏是病毒最重要的特性计算机病毒的隐蔽性传染过程的隐蔽性病毒程序存在的隐蔽性2022/12/1362022/12/136计算机病毒的潜伏性：大部分的计算机病毒感染系统之后一般不会马上发作，只有在满足其特定条件时才启动其表现（破坏）模块。

病毒使用的触发条件主要有以下三种：利用计算机内的时钟提供的时间作为触发器利用计算机病毒体内自带的计数器作为触发器利用计算机内执行的某些特定操作作为触发器。计算机病毒的破坏性计算机病毒的针对性计算机病毒的衍生性计算机病毒的寄生性

计算机病毒的不可预见性病毒的侵入、传播和发作是不可预见的病毒的发展速度远远超出了我们的想象2022/12/1372022/12/137计算机病毒的传播途径计算机病毒具有自我复制和传播的特点，研究计算机病毒的传播途径极为重要。从计算机病毒的传

播机理分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。包括：不可移动的计算机硬件设备，即专用集成电路芯片进行传播；移动存储设备；网络；点对点通信系统和无线通信系统传播2022/12/1382022/1

2/138计算机病毒的分类计算机病毒的分类方法有许多种，比如：按照计算机病毒的破坏性质根据计算机病毒所攻击的操作系统根据计算机病毒的传播方式但是按照最通用的区分方式，即根据其感染的途径以及采用的技术区分，计算机病毒可分为：2022/12/139

2022/12/139文件型计算机病毒：这类病毒感染可执行文件，还可细分为驻留型计算机病毒、主动型计算机病毒、覆盖型计算机病毒、伴随型计算机病毒等。引导型计算机病毒：这类病毒影响软盘或者硬盘的引导扇区，不感染文件。其感染步骤为：首先，在内存中保留一个位置以便其他程序不能占

用该部分内存。然后，将自己复制到该保留区域。此后，计算机病毒不断截取操作系统服务。每次当操作系统调用文件存取功能时，计算机病毒就夺取系统控制权。并检查被存取的文件是否已经被感染毒，如果没有感染，计算机病毒就会执行复制恶意代码的操作。最后，病毒干净的引导扇区内容

写回到其原先的位置，并将控制权交换给操作系统。用户觉察不到有异样发生，但计算机病毒会继续发作。2022/12/1402022/12/140宏病毒：感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件，这些类型的文件都能够在文件内部嵌入宏（macro）。宏病毒不依赖于操

作系统，但可以使用户在文档中执行特定的操作。其功能有点类似于批命令，能够执行一系列的操作。需要注意的是，宏作为一种程序，同样可以被感染，因此也成为计算机病毒的目标。目录（链接）型病毒：此类计算机病毒能够

修改硬盘上存储的所有文件的地址，因此能够感染所有这些文件。当用户使用某些工具（如SCANDISK或CHKDSK）检测受感染的磁盘时，如果发现大量的文件链接地址的错误，这些错误可能都是由此类计算机病毒造成的

。此时不要试图用上述软件去修复，否则情况会更糟，因为这样做只会造成整个系统真正的混乱，其后果比计算机病毒本身产生的结果更坏！2022/12/141病毒所采用的技术花指令防止静态反汇编简单自加密对抗特征值查毒法多态一般就是用randomkey加密相同的vi

r主体代码，解码部分是变化的，存储在磁盘上的代码各不相同，防病毒软件无法简单地根据特征值扫描。变形每传染一次加密算法变化，原病毒体也发生变化每次感染后的代码主体都不相同，使查杀的难度增加，效果比多态好。2022/12/142典型反病毒技术特征值技

术虚拟机技术启发式扫描技术计算机病毒疫苗2022/12/1432022/12/143理论上预防计算机病毒的方法基本隔离法：取消信息共享，将系统“隔离”开来。病毒就不可能随着外部信息传播进来，也不会把系统内部的病毒传播出去。隔离策略是防治病毒最基本的方法。分割法：把用户分割成为不能互相传递

信息的封闭的子集，由于信息流的控制，子集被看作是系统分割成为相互独立的子系统。病毒就不会在子系统之间相互传染，而只能传染其中的某个子系统，使得整个系统不至于全部被感染。2022/12/1442022/12/144流模型法：对共享信息

流流过的距离设立阈值。信息只能在一定的区域中流动，以此建立防卫机制。若使用超过某一距离阈值的信息，就可能存在某种危险。限制解释法：即限制兼容，采用固定的解释模式，就可能不被病毒传染。例如对应用程序实行加密就可以及时检测出可执行文件是否受到病毒的感染，从而清除病毒的潜在威胁。要使

通用的系统共享和病毒防护共存，实际不可行，只能用综合权衡加以解决。2022/12/1452022/12/145计算机病毒结构的基本模式计算机病毒程序病毒安装模块(潜伏机制)病毒传染模块(再生机制)病毒激发模块(激发机制)图计算机病毒的结构模式一般情况下计算机

病毒程序具有三个主要部分安装模块：传染模块：传染模块为计算机病毒提供再生机制。病毒程序搜索程序对象，如无特定传染标志，病毒程序就对程序对象入侵并令其感染病毒；如已有特定标志，病毒程序就不再入侵此程序对象，传染标志是病毒程序的一种特定代码中标识符。激发模块：2022/12/146计算机病毒的

基本机制传染、破坏、触发传染机制指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。触发机制计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。破

坏机制良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。2022/12/1472022/12/147计算机病毒的传染方式计算机病毒的传染方式，大体上可归为以下方式：病毒程序的直接传

染方式：源病毒CV将病毒传播给程序对象P1，P2，…，Pn，程序Pi（1<=i<=n）中的CV是源病毒的再生病毒。CVP1„„CV源病毒再生病毒CVP2CVPn2022/12/1482022/12/148病毒程序的间接传染方式：源病毒CV将病毒传染给程序对象P1，染有再生病毒的

程序P1再将病毒传染给程序对象P2，以此继续传播下去。CVP1CV源病毒再生病毒CVP2CVPn2022/12/1492022/12/149病毒程序的纵横交错传染方式:只要源病毒产生，病毒程序就可以向一个计算机

系统或多个计算机系统进行扩散。假定在计算机系统1内，源病毒直接感染程序对象P1.1、P1.2、P1.3，程序P1.3又将再生病毒扩散给P1.4、……、P1.i。系统1的程序P1.1通过传播媒介可以将再生病毒传染给计算机系统2的程序P2.1和P2.2;类似地，程序对象P3

.1和P3.2被计算机系统2的P2.2中的病毒程序感染，造成在计算机系统3内产生一个计算机病毒群体。2022/12/1502022/12/150CVP1.1CV源病毒再生病毒CVP1.2CVP1.3CVP

1.4CVP1.iCVP2.1CVP2.2CVP2.3CVP2.4CVP2.5CVP2.jCVP3.1CVP3.2CVP3.3CVP3.k2022/12/1512022/12/151计算机病毒的寄生CVCVCVCV1CV2...CVnPPPP计算机病毒的寄生

往往涉及程序设计的技巧，病毒程序寄生的基本要求是潜伏性好，不易被人察觉或发现，可以采取各种不同的寄生方式：例如在程序对象的首部、尾部、中间或程序体内分散结构2022/12/1522022/12/152病毒中的加密技术计算机病毒采用加

密技术，在潜伏期的病毒程序以密文形式寄生在程序体内，可增加搜索和破译病毒程序的难度，不清楚病毒程序本身的内部结构和细节，难以进行检测和在程序体清除受感染的病毒程序，也难以防范已经传播开来的病毒程序的激发。一般情况下，采用加密技术的计算机病毒

，在病毒程序受到激发控制进入运行状态时，先用隐藏的密钥通过解密程序将密文状态的病毒程序恢复成明文，然后执行病毒程序。2022/12/1532022/12/153图：采用加密技术的病毒程序病毒解密程序CV1(密文)...CVn(密文)病毒密钥潜伏状态运行状态病毒解密程序CV1(密文)..

.CVn(密文)病毒密钥CV1(明文)...CVn(明文)2022/12/1542022/12/154图：再生病毒程序的分析与综合潜伏状态运行状态CV1CV2CVn...CV...CV1CV2CVn系统控制...2022/12/1552022/12/155

计算机病毒变体计算机病毒：计算机病毒是一种在计算机系统运行过程中能把自身精确拷贝或有修改地拷贝到其它程序体内的程序。计算机病毒变体（ComputerVirus-Variance）：在计算机系统运行过程中，计算机病毒

可以将自身程序有修改地拷贝到其它程序体内，其病毒再生体是来源于同一种病毒而出现形式不同的计算视病毒系列。计算机病毒变体的基本特征是病毒再生体存在的差异性2022/12/1562022/12/156病毒再生体的差异性再生机制差异性病毒标志的随机控制宿主程序的选择再生体的

程序形式潜伏机制差异性寄生位置选择嵌入病毒体的结构形式嵌入病毒体的内容选样病毒体长度控制激发机制差异性触发形式与条件选择症状形式2022/12/1572022/12/157计算机病毒变体是一种进化病毒(Evolutionary-V

irus)，病毒体再生过程中形成不同的表现形式，构成了一种计算机病毒族系。计算机病毒再生体的差异性，可以导致产生不同的计算机病毒。但是，这些不同的计算机病毒是源于同一种计算机病毒，而且是计算机病毒再生过程中产生的病毒变体系列。研究计算机病毒变体，有助于计算机病毒的分类和

检测，有助于了解数据文件病毒的机制及其防治方法。2022/12/1582022/12/158计算机病毒变体的再生机制具有产生再生病毒变体的计算机病毒，可以通过直接方式或间接方式进行再生病毒变体的传播CV-V1P1„„CV源病毒再生病毒CV-V2P2CV-VnPnCV源病毒再生病毒CV-V1P1

„„CV-V2P2CV-VnPn2022/12/1592022/12/159对于源病毒自身精确拷贝生成的再生计算机病毒，一般情况下，再生病毒不入侵源病毒，即源病毒对于自身的再生病毒具有免疫性再生病毒CVP源病毒CV2022/12/1602022/12/16

0对于源病毒有修改地产生再生病毒，再生病毒变体可入侵源病毒，进而生成源病毒变体。源病毒入侵程序P生成病毒变体CV—V，带有病毒变体的程序P可以入侵源病毒CV，进而使源病毒衍化成源病毒变体CV′。再生病毒CV-V

程序P源病毒CV源病毒CV12022/12/1612022/12/161计算机病毒变体在再生机制、寄生机制和激发机制方面都可以与入侵的计算机病毒存在差异，具有可变性和随机性特征。计算机病毒的再生病毒变体，在一定程度上还要受到被病毒入侵的宿

主体、时间、环境因素等多方面的影响。计算机病毒变体的再生机制具有随机性，其再生病毒体具有可变模式，对计算机病毒的防治提出了新的问题，并增加了解决问题的难度和复杂性。2022/12/1622022/12/162计算机病毒变体的基本属性计算机病毒

变体具有以下的属性：产生再生病毒变体的源病毒没有免疫能力，它将受再生病毒变体的攻击，并生成源病毒变体。已感染病毒变体的程序，可以多次受一同一种病毒所产生的病毒变体攻击，病毒变体入侵具有递归属性和层次性。2022/12/1632022/12/163现在来描述这个

过程：假定CV-Vi是第i次攻击的病毒变体P是CV-Vi的入侵对象则有CV-V1(P)→CV-V2(P)→…→CV-Vn(P)实际上，计算机病毒变体对程序的入侵是时间的动态变化过程，略去中间过程则有：P→CV-Vn(P)

值得注意，中间状态或中间过程中的再生病毒变体不再保留。2022/12/1642022/12/164如果考虑称入侵对象P可能产生的变化，则这个过程的描述应该是：假定CV-Vi是第i次攻击的病毒变体Pi-1是CV

-Vi的入侵对象Pi是CV-Vi的入侵结果则有CV-V1(P0)→CV-V2(P1)→…→CV-Vn(Pn-1)=Pn式中P0是病毒变体入侵前的软件Pn是感染病毒变体的当前状态的软件P1，P2，…，Pn-1是中是状态的软件略去中间过程则有P0→Pn，即P0→CV-Vn

(Pn-1)这里CV-Vn是第n次攻击的病毒变体，软件P0遭到病毒变体n次攻击后形成软件Pn。2022/12/1652022/12/165源病毒在系统中生成的病毒变体群体，其扩散链是系统状态的时间函数。在一定的时间内，计算机系统内部可以形成一个计算机病毒变体群体，任

何不同的病毒变体之间都可以相互扩散病毒，形成一个病毒集合体内不同层次不同病毒变体的交叉感染，病毒变体扩散是时间的动态函数。2022/12/1662022/12/166病毒变体病毒变体病毒变体病毒变体源病毒变体反馈扩散图：计算机病毒的变

体群体2022/12/167补充内容常见计算机病毒及防御2022/12/168传统计算机病毒防御文件型病毒一般采用以下一些方法安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新病毒引擎，最好每周更新一次，

并在有病毒突发事件时立即更新。经常使用防毒软件对系统进行病毒检查。对关键文件，如系统文件、重要数据等，在无毒环境下备份。在不影响系统正常工作的情况下对系统文件设置最低的访问权限。2022/12/169传统计算机病毒防御

宏病毒的预防与清除找到一个无毒的Normal.dot文件的备份，将位于“MSOffice\Template”文件夹下的通用模板Normal.dot文件替换掉；对于已染病毒的文件，先打开一个无毒Word文件，按照以下菜单打开对话框：工具->宏->安全性，设置安全性为高2022/12/

170脚本病毒脚本病毒概述脚本病毒依赖一种特殊的脚本语言（如：VBScript、JavaScript等）起作用，同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令，脚本病毒可以在多个产品环境中进行。脚本病毒具有如下特征编写简单由于脚本的简单性，使以前对病毒不了解的

人都可以在很短的时间里编出一个新型病毒。病毒源码容易被获取、变种多其源代码可读性非常强2022/12/171脚本病毒概述感染力强采用脚本高级语言可以实现多种复杂操作，感染其它文件或直接自动运行。破坏力强脚本病毒

可以寄生于HTML或邮件通过网络传播，其传播速度非常快。脚本病毒不但能够攻击被感染的主机，获取敏感信息，删除关键文件；更可以攻击网络或者服务器，造成拒绝服务攻击，产生严重破坏。传播范围广这类病毒通过HTML文档，Email附件或其它方式，可以在很短时间内传

遍世界各地。采用多种欺骗手段脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，2022/12/172脚本病毒原理脚本病毒的传播分析脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加

在其它同类程序中间：脚本病毒通过网络传播的几种方式通过电子邮件传播通过局域网共享传播感染HTML、ASP、JSP、PHP等网页通过浏览器传播通过U盘自动运行传播其它的传播方式2022/12/173脚本病毒原理脚本病毒的获得控制权的方法分析修改注册表项修改自

动加载项通过映射文件执行方式欺骗用户，让用户自己执行desktop.ini和folder.htt互相配合如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发folder.htt中的病毒代码。直接复制和调用可执行文件2022/12/174脚本

病毒防御脚本病毒要求被感染系统具有如下支持能力：VBScript代码是通过WindowsScriptHost来解释执行的，wscript.exe就是该功能的相关支持程序。绝大部分VBS脚本病毒运行的时候需要对象FileSystemObject的支持。通过网

页传播的病毒需要ActiveX的支持通过Email传播的病毒需要邮件软件的自动发送功能支持。2022/12/175脚本病毒防御采用以下方法防御脚本病毒可以通过打开“我的计算机”，依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将

后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。在IE设置中将ActiveX插件和控件以及Java相关的组件全部禁止，可以避免一些恶意代码的攻击。方法是：打开IE，点击“工具”→“Internet选项”→“安全

”→“自定义级别”，在“安全设置”对话框中，将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。禁用文件系统对象FileSystemObject，用regsvr32scrrun.dll/u这条命令就可以禁止文件系统对象。

禁止邮件软件的自动收发邮件功能Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。选择一款好的防病毒软件并做好及时升级。2022/12/176网络蠕虫网络蠕虫

概述网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点

。2022/12/177网络蠕虫概述网络蠕虫具有以下特征(2-1)主动攻击从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本，整个流程全由蠕虫自身主动完成。利用软件漏洞蠕虫利用系统的漏洞

获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。造成网络拥塞在传播的过程中，蠕虫需要判断其它计算机是否存活；判断特定应用服务是否存在；判断漏洞是否存在等等，这将产生大量的网络数据流量。同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量，当大量的机器感染蠕虫时

，就会产生巨大的网络流量，导致整个网络瘫痪。消耗系统资源蠕虫入侵到计算机系统之后，一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源；另一方面，许多蠕虫会恶意耗费系统的资源。2022/12/178网络蠕虫概述留下安全隐患大部分蠕虫会搜集、扩散、暴露系统敏感信

息（如用户信息等），并在系统中留下后门。行踪隐蔽蠕虫的传播过程中，不需要用户的辅助工作，其传播的过程中用户基本上不可察觉。反复性即使清除了蠕虫留下的任何痕迹，如果没有修补计算机系统漏洞，网络中的计算机还是会被重新感染。

破坏性越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越来越大。2022/12/179网络蠕虫工作机制网络蠕虫的工作机制分为3个阶段：信息收集、攻击渗透、现场处理信息收集按照一定的策略搜索网络中存活的主机

，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。攻击渗透通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。现

场处理当攻击成功后，开始对被攻击的主机进行一些处理工作，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任何动作，如恶意占用CPU资源；收集被攻击主机的敏感信息，可以危害被感染的主机，删除关键文件。2022/12/1

80网络蠕虫扫描策略(2-1)网络蠕虫扫描越是能够尽快地发现被感染主机，那么网络蠕虫的传播速度就越快。随机扫描随机选取某一段IP地址，然后对这一地址段上的主机扫描。由于不知道哪些主机已经感染蠕虫，很多扫描是无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散，网络上存在大量的蠕虫

时，蠕虫造成的网络流量就变得非常巨大。选择扫描选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。选择性随机扫描算法简单，容易实现，若与本地优先原则结合则能达到

更好的传播效果。红色代码和“Slammer”的传播采用了选择性随机扫描策略。2022/12/181网络蠕虫扫描策略(2-2)顺序扫描顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地址进行传播，根据本地优先原则，网络地址段顺序递增。基于目标列表的扫描基

于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表，搜寻感染目标。基于DNS扫描从DNS服务器获取IP地址来建立目标地址库，优点在于获得的IP地址块针对性强和可用性高。关键问题是如何从DNS服务器得到网络主机地址，以及DNS服务器是否存在足够的网络主机地址。2022/1

2/184网络蠕虫防御和清除给系统漏洞打补丁蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。清除正在运行的蠕虫进程每个进入内存的蠕虫一般会以进程的形式存在，只要清除了该进程，

就可以使蠕虫失效。删除蠕虫病毒的自启动项感染蠕虫主机用户一般不可能启动蠕虫病毒，蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。删除蠕虫文件可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置，对于那些正在运行或被调用的文件无法直接删除，可以借助于相

关工具删除。利用自动防护工具，如个人防火墙软件通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有那些恶意的流量。2022/12/185木马技术木马技术概述指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和

DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。这与战争中的木马战术十分相似，因而得名木马程序。2022/12/188木马技术概述木马特征隐蔽性隐蔽性是木马的首要

特征。木马类软件的SERVER端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。自动运行性木马程序通过修改系统配置文件，在目标主机系统启动时自动运行或加载。欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已

有的文件，以防用户发现。自动恢复性很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。系统一旦被植入木马，只删除某一个木马文件来进行清除是无法清除干净的。破坏或信息收集木马通常具有搜索Cache中的口令、设置口令、扫

描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。2022/12/189木马实现原理与攻击技术在了解木马攻击技术之前，需要先了解木马欺骗技术，木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有：伪装成其它类型的

文件，可执行文件需要伪装其它文件。如伪装成图片文件合并程序欺骗合并程序是可以将两个或两个以上的可执行文件(exe文件)结合为一个文件，以后只需执行这个合并文件，两个可执行文件就会同时执行。2022/12/190插入其它文件内部利用运行flash文件和影视文件具有可以执行脚本文件的特性，一

般使用“插马”工具将脚本文件插入到swf、rm等类型的flash文件和影视文件中伪装成应用程序扩展组件黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中。利用WinRar制作成自释放文件，把木马程序和其它常用程序

利用WinRar捆绑在一起，将其制作成自释放文件。在Word文档中加入木马文件，在Word文档末尾加入木马文件，只要别人点击这个所谓的Word文件就会中木马。木马实现原理与攻击技术2022/12/191一

个木马程序要通过网络入侵并控制被植入的计算机，需要采用以下四个环节：首先是向目标主机植入木马，通过网络将木马程序植入到被控制的计算机；启动和隐藏木马，木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序，为了防止被植入者发现和删除运行的木马程序，就需要将运行的木马程隐藏起来

。植入者控制被植入木马的主机，需要通过网络通信，需要采取一定的隐藏技术，使通信过程不能够使被植入者通过防火墙等发现。就是植入者通过客户端远程控制达到其攻击的目的，可以收集被植入者的敏感信息，可以监视被植入者的计算机运行和动作，甚至可以用来攻击网络中的其它系统。木马实现原理

与攻击技术2022/12/192植入技术，木马植入技术可以大概分为主动植入与被动植入两类。主动植入：就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机，这个行为过程完全由攻击者主动掌握。被动植入：是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能

的操作，只有这种操作执行，木马程序才有可能植入目标系统。木马实现原理与攻击技术2022/12/193主动植入技术主要包括：利用系统自身漏洞植入攻击者利用所了解的系统的安全漏洞及其特性主动出击。利用第三方软件漏洞植入。利用即时通信软件发送伪装的木马文件植入利用电子邮件发送植入木马木马实现

原理与攻击技术2022/12/194被动植入包括：软件下载一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后只要一运行这些程序，木马就会自动安装。利用共享文件学校或单位的局域网里为了学习和工作方便，会将许多硬盘或文件夹共享出来，甚至不加密码，具有可写权限。利用A

utorun文件传播这一方法主要是利用Autorun文件自动运行的特性，通过U盘植入。网页浏览传播这种方法利用Script/ActiveX控件、JavaApplet等技术编写出一个HTML网页，当浏

览该页面时，会在后台将木马程序下载到计算机缓存中，然后修改系统注册表，使相关键值指向“木马”程序。木马实现原理与攻击技术2022/12/1100木马危害窃取密码远程访问控制DoS攻击代理攻击程序杀手木马实现原理与攻击技术2022/12/1101木马的防御根据木马工作原理，木马检测一般

有以下一些方法：扫描端口大部分的木马服务器端会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。检查系统进程很多木马在运行期间都会在系统中生成进程。因此，检查进程是一种非常有效的

发现木马踪迹方法。检查ini文件、注册表和服务等自启动项监视网络通讯，木马的通信监控可以通过防火墙来监控2022/12/1102网络钓鱼网络钓鱼技术网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮

件，或者伪装成其Web站点，意图引诱收信人或网站浏览者给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。网络钓鱼的攻击方法主要有以下几种建立假冒网上银行、网上证券的网站，骗取用户帐号密码实施盗窃。犯罪分

子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金2022/12/1103发送电子邮件，以虚假信息引

诱用户中圈套攻击者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金利用虚假的电子商务进行诈骗此类犯罪活动

往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹网络钓鱼2022/12/1104利用QQ、MSN甚至手机短信等即时通信方式欺骗用户冒充软件运营商告诉某用户中奖或者免费获得游戏币等方式，这一方法

的主要欺骗目的是获取游戏币，或者通过移动服务上收取信息费。利用木马和黑客技术等手段窃取用户信息后实施盗窃活动木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马

程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。网络钓鱼2022/12/1105对于用户端，可以采用以下措施尽量不通过链接打开网页，而是直接输入域名访问网络。对于需要输入帐号和密码的网站再三确认.给网络浏

览器程序安装补丁，使其补丁保持在最新状态.利用已有的防病毒软件，实时防御钓鱼网站。网络钓鱼2022/12/1106僵尸网络概述僵尸网络是攻击者通过网络传播僵尸程序，利用一对多的命令与控制信道控制大量主机，攻击其它网络或主机，从

而得到自己恶意目的的网络。2022/12/1107一个僵尸网络由以下部分组成僵尸（Bot）：置于被控制主机，能够按照预定义的指令执行操作，具有一定智能的程序。僵尸计算机(Zombie)：是指被植入僵尸

的计算机。僵尸网络控制服务器可以将僵尸主机连接的IRC服务器，控制者通过该服务器向僵尸主机发送命令进行控制。僵尸主机Bot僵尸网络控制服务器攻击者僵尸网络2022/12/1108僵尸网络主要有以下危害分布式拒绝服务攻击

(DDoS)。发送垃圾邮件窃取秘密。取得非法利益资源作为攻击跳板僵尸网络2022/12/1109僵尸网络的工作原理分析僵尸网络一般采用以下几种手段感染受害主机主动攻击漏洞是通过攻击系统所存在的漏洞获得访问权，并将僵尸程序植入受害主机，从而感染成为

僵尸主机。邮件病毒通常在邮件附件中携带僵尸程序或者在邮件内容中包含下载执行僵尸程序的链接，使得接收者主机被感染成为僵尸主机。即时通信软件攻击者攻陷即时通信的用户，并利用好友列表发送执行僵尸程序的链接，从而进行感染。恶意网站脚本在提供Web服务的网站中，攻击者在HTML页面上绑

定恶意的脚本，当访问者浏览这些网站时就会执行恶意脚本，使得僵尸程序下载到主机上。欺骗安装伪装成有用的软件，在Web网站、FTP服务器、P2P网络中提供，诱骗用户下载并执行。2022/12/1110检测和分析僵尸网络主要采用以下方法:利用蜜罐(Honey

pot)发现网络流量研究IRCServer识别技术的研究僵尸网络的工作原理分析2022/12/1111恶意软件的查杀和防护恶意软件概述恶意软件的概念恶意软件也称恶意代码，具有扰乱社会和用户，甚至起着干扰破坏正常操作功能的代码程序。从广义的严格概念上讲，计算机病毒也是恶意软件的一种。狭义上

恶意软件是介于病毒和正规软件之间的代码程序。“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来危害。其特点是：它具有一定的实用价值，一般是为方便用户使用计算机工作、娱乐而开发，面向社会公众公开发布的软件，并且一般是免费的，不属于正规的

商业软件；同时也具有恶意软件的种种特征，给用户带来一定危害2022/12/1112恶意软件概述恶意软件的分类根据不同的特征和危害，困扰广大计算机用户的恶意软件主要有如下6类：（1）广告软件（Adware）（2）间谍软

件（Spyware）（3）浏览器劫持（4）行为记录软件（TrackWare）（5）恶意共享软件（maliciousshareware）（6）其它2022/12/11131.恶意软件的危害（1）强制弹出广告软件（2）浏览器劫持（恶意

网站）（3）后台记录（4）强制改写系统文件2.恶意软件的清除主要利用恶意软件清除工具进行清除，如超级巡警病毒分析的工具、恶意软件清理助手、超级兔子、Windows优化大师、金山清理专家等，其使用方法比较简单。恶意软件的查杀和防护2022/12/1114流氓软件具有以下特征强制安装流氓软件

一般通过与其它常用软件捆绑在一起，强行安装到用户计算机中。难以删除，或者无法彻底删除未提供通用的卸载方式，或卸载后仍然有活动程序的行为广告弹出在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上弹出广告的行为。恶意收集用户信息指未明确提示用户或

未经用户许可，恶意收集用户信息的行为。其它侵犯用户知情权、选择权的恶意行为。恶意软件的查杀和防护2022/12/1115浏览器劫持浏览器劫持是网页浏览器（IE等）被恶意程序修改的一种行为，恶意软件通过操纵浏览器的行为，可以使用户浏览器转移到特定网站，取得商业

利益，或者在用户计算机端收集敏感信息，危及用户隐私安全。2022/12/1116浏览器劫持通过以下技术实现浏览器辅助对象实现浏览器劫持利用HOOK钩子利用Winsock2SPI包过滤技术(ServiceProviderInterface，SPI）浏览器劫持2022/

12/1117浏览器劫持的防御方法直接使用IE浏览器的管理加载项，禁用恶意的加载项。使用专用工具卸载恶意插件，如安全卫士360、超级兔子等。专用工具查看是否有恶意的SPI，如冰刃IceSword.exe。浏览器劫持2022/12/11182022/1

2/1118Thanks