必威体育精装版《网络信息安全》.ppt

* 宏病毒及其关键技术 3. 宏病毒的基本传播过程 （1）将宏病毒依附与一个Word文档； （2）通过电子邮件或移动存储设备，把该文档输入到一个系统； （3）一个被染毒的.doc文件被打开后，会通过Auto类宏来激活病毒，接着感染诸如normal.dot或powerup.dot等全局模板文件，得到系统的“永久”控制权。 （4）宏把自身拷贝到全局宏文件中； （5）下一次启动Word时，将激活全局宏，并在该宏执行时会进行自我复制并破坏系统。 * chfght * 脚本病毒及其关键技术 1. 脚本病毒的特点 脚本是嵌入到数据文档中执行一个任务的一组指令。最典型的脚本是嵌入到网页中的脚本，它们可以实现网站的点击计数器、格式处理器、实时时钟、鼠标效果、有哪些信誉好的足球投注网站引擎等功能。 脚本由脚本语言描述。常用的脚本语言有：VBScript、Jscript、JavaScript、PerScript等。并且，脚本不是由CPU直接执行，而是由某个程序解释，如嵌入在HTML文件（网页）中的脚本是由浏览器解释执行的。 脚本病毒是一些嵌入在应用程序、数据文档和操作系统中的恶意脚本。脚本病毒一般嵌入在CSC（CoreDraw）、Web（HTML、HTM、HTH、PHP）、INF（information）、REG（registry）等文件中，主要通过电子邮件和网页传播。 * chfght * 脚本病毒及其关键技术 脚本病毒中最有代表性的是用VBScript 编写的VBS病毒。VBS病毒具有如下一些特点： 编写简单、生产容易； 传播范围广、感染力强、破坏力大； 欺骗性强、变种多。 2. 脚本病毒的感染机制 脚本病毒直接通过自我复制感染文件，病毒中的绝大部分代码可以直接附加在同类程序中间。例如，新欢乐时光病毒是将自己的代码附加在.htm的尾部，并在顶部加入一条调用病毒代码的语句；而爱虫病毒则直接生成一个文件的副本，将病毒代码嵌入其中，同时将原文件名作为病毒文件的文件名前缀，以vbs作为后缀。 * chfght * 脚本病毒及其关键技术 下面是爱虫病毒的文件感染部分的关键代码： set fso = createobject(“scripting.filesystemobject”) ‘ 创建一个文件对象 set self = fso.opentextfile(wscript.scriptfullname,1) ’ 读当前打开文件（病毒文件） vbscopy = self.readall ’ 读取全部病毒代码到字符串变量vbscopy ┇ set ap = fso.opentextfile(目标文件.path, 2,true) ’ 写打开目标文件，为写病毒代码做准备 ap.write vbscopy ‘ 用病毒代码覆盖目标文件中的代码 ap.close set cop = fso.getfile(目标文件.path) ‘ 得到目标文件路径 cop.copy(目标文件.path “. vbs) ‘ 创建以.vbs为后缀的病毒文件 目标文件.delete(true) ‘ 删除目标文件 * chfght * 脚本病毒及其关键技术 3. 脚本病毒的文件有哪些信誉好的足球投注网站 寻找满足条件的感染对象，是病毒的一个重要机能。下面是一个VBS病毒的有哪些信誉好的足球投注网站函数。它采用递归算法遍历整个分区的目录和文件。 sub scan(folder_) ‘ 有哪些信誉好的足球投注网站函数scan定义 on error resume next ‘ 跳过错误，防止弹出错误窗口 set folder_ = fso.getfoder(folder_) set files = folder_.files ‘ 取当前目录的所有文件集合 for each file in files ‘ 对文件集合中的每个文件进行测试 ext = fso.GetExtensionName(file) ‘ 获取文件名后缀 ext = lcase(ext) ‘ 小写转换后缀名 if ext = “mp3” then ‘ 以“mp3”后缀作为条件 Wscript.echo(file) ‘ 用来模拟病毒感染或破坏模块 end if next set subfolders = folder-.subfolders for each subfolder in subfolders‘ 递归调用scan(),有哪些信誉好的足球投注网站其他目录 scan(subfolder) next end sub * chfght * 脚本病毒及其关键技术 4. 脚本病毒的传播手段 （1）通过电子邮件传播 通过电子邮件传播的关键是获得合法的电子邮件地址。下面是一个VBS病毒的传播算法，它是直接取Outlook地址簿