1、为什么说蠕虫就是独立式得?(C)
A、蠕虫不进行复制
B、蠕虫不向其她计算机进行传播
C、蠕虫不需要宿主计算机来传播
D、蠕虫不携带有效负载
3、哪一项不就是特洛伊木马所窃取得信息?(D)
A、计算机名字
B、硬件信息
C、QQ用户密码
D、系统文件
4、哪一项不就是特洛伊木马得常见名字?(C)
A、TROJ_WIDGET、46
B、TROJ_FLOOD、BLDR
C、IWORM、KLEZ、H
D、TROJ_DKIY、KI、58
5、哪一项不就是蠕虫病毒得传播方式及特性?(B)
A、通过电子邮件进行传播
B、通过光盘、软盘等介质进行传播
C、通过共享文件进行传播
D、不需要再用户得参与下进行传播
6、哪一项不就是蠕虫病毒得常用命名规则?(D)
A、W32/KLEZG
B、IWORM、KLEZ、H
C、W32、KLEZ、H
D、TROJ_DKIY、KI、58
15、使用互联网下载进行传播得病毒就是?(A)
A、JAVA病毒
B、DOS病毒
C、WINDOWS病毒
D、宏病毒
17、PE_CIHVI1、2病毒会感染哪一种操作系统?(C)
A、DOS
B、UNIX
C、WINDOWS
D、LINUX
19、下列哪一项不就是我们常见得网络病毒?(A)
A、DOS病毒
B、蠕虫病毒
C、多态病毒
1、计算机病毒按寄生方式与感染途径可分为引导型病毒、文件型病毒与混合型病毒。
2、计算机病毒得基本特征为非法性、传染性、隐藏性、潜伏性、可触发性、破坏性、衍生性不可预见性。其中,隐藏性就是计算机病毒最基本得特征。
3、计算机病毒侵入系统后,一般不立即发作,而就是有一定得潜伏期。
4、计算机病毒造成得最显著得后果就是破坏计算机系统。
5、病毒得传染、破坏部分被其她掌握原理得人以其个人得企图进行任意改动,从而又衍生
出一种不同于原版本得新得计算机病毒(也称为变种),这就就是计算机病毒得衍生性。6、通过有线网络系统进行传播得方式有电子邮件、浏览、FTP文件传输、BBS 、
网络聊天工具。
三、简述题:
1、简述PE文件得组成结构:
(1)DOS部分,包括DOS文件头与DOS块;(2)PE文件头,包括PE文件头标志,PE文件表头,PE文件头可选部分;(3)节表;(4)节数据;
2、狭义得计算机病毒与蠕虫病毒得区别:
7、简述蠕虫得工作方式
答:蠕虫得工作方式一般就是“扫描→攻击→复制”
9、简述特洛伊木马得基本原理。
答:特洛伊木马包括客户端与服务器端两个部分,攻击者通常利用一种称为绑定程序(exebinder)得工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。只要用户运行该软件,特洛伊木马
得服务器就在用户毫无察觉得情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马,获取到木马服务器得信息之后,即可建立木马服务器与客户端程序之间得联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机得目得。
13、什么就是特洛伊木马?
答:特洛伊木马(也叫黑客程序或后门)就是指隐藏在正常程序中得一段具有特殊功能得恶意代码,一旦侵入用户得计算机,就悄悄在宿主计算机上运行,在用户毫无觉察得情况下,让攻击
者获得远程访问与控制系统得权限,进而在用户计算机中破坏或删除文件、修改注册表、记录键盘,或窃取用户信息,可能造成用户系统被破坏,甚至瘫痪。木马就是一种基于远程控制得黑客工具,就是一种恶意程序,具备计算机病毒得特征,我们常把它瞧作广义病毒得一个子类。目前很多木马程序为了在更大范围内传播,与计算机病毒相结合,因此,木马程序也可以瞧做一种伪装潜伏得网络病毒。
14、什么就是病毒得多态?
答:所谓病毒得多态,就就是指一个病毒得每个样本得代码都不相同,它表现为多种状态。采用多态技术得病毒由于病毒代码不固定,这样就很难提取出该病毒得特征码,所以只采用特征码查毒法得杀毒软件就是很难对这种病毒进行查杀得。
多态病毒就是改进了得加密病毒,由变化得解密头与加密得代码组成。多态病毒运行时,先执行得就是解密代码,对加密代码解密,然后执行刚解密得代码,也就就是实现传播得主体代码。
四、计算题
病毒感染PE文件,须对该文件作哪些修改?(相关内容参考另一个附件,带补充)
(1)给PE文件增加一个新节,病毒在添加新节时,都会将新添加得节得属性设置为可读、可写、可执行
(2)在新节中添加可执行得代码
(3)修改文件头,使得入口地址指向刚添加得节
(4)将全部节未对齐大小设置为对齐后得大小,制造不存在空洞得假象
PE病毒得感染过程:
1.判断目标文件开始得两个字节就是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)得个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。(Directory得偏移地址+数据目录占用得字节数=节表起始位置)
6.得到目前最后节表得末尾偏移(紧接其后用于写入一个新得病毒节) 节表起始位置+节得个数*(每个节表占用得字节数28H)=目前最后节表得末尾偏移。
7.开始写入节表
PE病毒得基本原理。1.病毒得重定位2.获取API函数地址3.搜索文件4.内存映射文件5.病毒感染其她文件6.病毒返回到Host程序
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件得,我觉得最有可能考得就是地址。需要用到得知识点如下:
(1)计算机病毒如何得知一个文件就是不就是PE文件?
答:最基本、简答得方法就就是先瞧该文件得前两个字节就是不就是4D5A,如果不就是,则已经说明不就是PE文件,如果就是,那么我们可以再DOS程序头中得偏移3CH处得四个字节找到PE字串得偏移位置(e_ifanew)。然后察瞧该偏移位置得四个字节就是否就是50\45\00\00,如果不就是,说明不就是PE文件,如果就是,那么我们认为它就是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)得偏移地址+数据目录占用得字节数;最后节表得末尾偏移(紧接其后用于写入一个新得病毒节)=节表起始位置+节得个数*(每个节表占用得字节数)。
她可能告诉您Directory(数据目录)得偏移地址、数据目录占用得字节数、节得个数以及每个
节表占用得字节数,让您计算新插入得病毒节得位置。
对下面几点进行补充:
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件得,我觉得最有可能考得就是地址。需要用到得知识点如下:
(1)计算机病毒如何得知一个文件就是不就是PE文件?
答:最基本、简答得方法就就是先瞧该文件得前两个字节就是不就是4D5A,如果不就是,则已经说明不就是PE文件,如果就是,那么我们可以再DOS程序头中得偏移3CH处得四个字节找到PE字串得偏移位置(e_ifanew)。然后察瞧该偏移位置得四个字节就是否就是50\45\00\00,如果不就是,说明不就是PE文件,如果就是,那么我们认为它就是一个PE 文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)得偏移地址+数据目录占用得字节数;最后节表得末尾偏移(紧接其后用于写入一个新得病毒节)=节表起始位置+节得个数*(每个节表占用得字节数)。
她可能告诉您Directory(数据目录)得偏移地址、数据目录占用得字节数、节得个数以及每个节表占用得字节数,让您计算新插入得病毒节得位置。
二、对下面几点进行补充:
(1)INT 13H调用可以完成磁盘(包括硬盘与软盘)得复位、读写、校验、定位、诊断、格式化等功能。
(2)简述一下嵌入文件得隐藏技术。(之前那道文件病毒得隐藏技巧答案就是错得,给得答案就是引导型病毒得隐藏技巧)
答:宏病毒得隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己得与ToolsMacro宏替代体统缺省得宏。
当然,宏病毒还有其她一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级得病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间得交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样得方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。
(3)简述一下蠕虫得行为特征。
答:1、主动攻击;2、行踪隐藏;3、利用系统、网络应用服务漏洞;4、造成网络拥塞;5、降低系统性能;6、产生安全隐患;7、反复性;8、破坏性。
植物病毒检测技术研究进展 刘茂炎 摘要:随着现代技术的发展特别是分子技术的发展,鉴定和检测病毒的方法越来越多,也越来越精确快速。以PCR为基础的基因工程技术已经广泛应用于病毒核酸分子的鉴定,其高灵敏度和高特异性是与PCR扩增反应的特异性引物相关联的;于此同时传统的鉴定检测技术依然有其发展优势。不论怎样的方法技术,都是以病毒的理化性质以及侵染性为基础的。在此基础上,甚至出现了某些边缘技术在病毒鉴定检测方面的应用。本文主要综述的是对植物病毒鉴定检测技术的研究进展。 关键词:植物病毒;检测技术;PCR 病毒在生物学上特征(如病毒的理化性质,包括病毒粒子的形态、大小、对理化因子的耐受性等)以及在寄主上的反应(如寄主范围、症状表现、传播方式等)是对病毒最直观的认识。常规的对植物病毒的鉴定检测方法有:生物学测定方法、血清学技术、电子显微镜技术、分子生物学技术等。生物学测定依据病毒的侵染性,观察寄主植株或其它生物的症状表现;血清学技术以病毒外壳蛋白(CP)为基础;电子显微镜技术依据病毒的形状大小的不同;分子生物学鉴定则以病毒核酸为基础。 1.生物学鉴定 最直接的方法是目测法,直接观察病毒对植物的病害症状。如烟草花叶病毒(tobacco mosaic virus,TMV),病害症状为叶上出现花叶症状,生长陷于不良状态,叶常呈畸形;玉米鼠耳病的诊断主要依据田间症状表现[1]。目测法因观察的主观性和症状的不确定性的影响而不精准。1929年美国病毒学家霍姆斯(Holmes)用感病的植物叶片粗提液接种指示植物,2~3天后接种叶片出现圆形枯斑,枯斑数与侵染性病毒的浓度成正比,能测出病毒的相对侵染力,对病毒的定性有着重要的意义,这种人工接种鉴定的方法就是枯斑和指示植物检测法。国内报道的水稻黑条矮缩病毒(Rice black-streaked dwarf fijivirus,RBSDV)可侵染28属57种禾本科植物,该病毒的主要传毒介体是灰飞虱(Laodelphax striatella),
历史上经典的计算机病毒有哪些 在当今历史上一些经典的计算机病毒有哪些呢?小编告诉你,有很多经典实例,下面由小编给你做出详细的历史上经典的计算机病毒介绍!希望对你有帮助! 历史上经典的计算机病毒介绍: 一、微软WMF漏洞被黑客广泛利用,多家网站被挂马 二、敲诈者 三、病毒假冒工行电子银行升级 四、魔鬼波病毒爆发 五、光大证券网站多款软件被捆绑木马 六、威金病毒大闹互联网 磁碟机、熊猫烧香、AV终结者、机器狗、灰鸽子,
电脑中毒了解决方法: 解释下用正版瑞星杀毒以后很多.exe的文件都被删除掉了 很多病毒都是感染可执行程序的破坏后使文件损坏 病毒一般不感染小型文件,病毒的源代码内有很多变量可控比如熊猫烧香的源代码(楼主去网上看看,蛮经典的--有分析) 杀毒的时候提示:windows 无法访问指定设备,路径或文件。您可能没有合适的权限访问这个项目。 只是由于病毒破坏了系统文件的缘故(建议备份重要文件后重新安装) 而且卡卡助手经常提示阻止了一些网页后缀都是.down的! 很明显这是木马下载器在向指定的网站下载病毒和木马
重装系统后C盘的病毒就没有了,但是其他盘可能有病毒的残留。但病毒已经不会随系统进程启动了。下载360后便可清除病毒残留 重新做系统也没用!各种版本的XP全试了!真郁闷~! 引导区的病毒会导致这种情况,用瑞星最新更新的病毒库因该可以搞定 重做系统没用,你用GHOST还原搞的吗?还是安装盘? 如果使还原系统一般不可靠,病毒会感染还原软件 我看你好像没什么重要文件,先把全部硬盘格式化后再安装系统比较理想。系统装好后下个杀软全盘杀一遍 (到安全模式中也行) 就这么多了,因该可以解决
2012.4 37 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学院 北京 100091 摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性 病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性 从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。
计算机病毒处理常用办法 1、预防病毒的好习惯 1)建立良好的安全习惯。 对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet 下载后未经杀毒处理的软件,不要共享有读写权限的文件夹或磁盘,机器间文件的拷贝要先进行病毒查杀; 2)经常升级安全补丁。 一部分病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、SQL Slamer、冲击波、震荡波等病毒,我们应密切关注病毒、漏洞预警,即使修补系统漏洞补丁; 3)使用复杂的用户口令。 有许多病毒是通过猜测用户口令的方式攻击系统的。因此使用复杂的口令,会提高计算机的病毒防范能力;一般来讲,复杂的口令须具备:长度8位或8位以上,口令中必须含字母、数字而且字母分大小写; 4)迅速隔离受感染的计算机。 当计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源; 5)了解一些病毒知识。 这样可以及时发现新病毒并采取相应措施,使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 6)安装专业的防毒软件进行全面监控。 在病毒日益增多的今天,应该使用防病毒软件进行病毒防范,在安装了防病毒软件之后,还要经常进行病毒库的升级,并打开实时监控(如文件双向监控)器进行监控。 2、怎样区别计算机病毒与故障 在清除计算机病毒的过程中,有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起,同时有些病毒发作现象又与硬件或软件的故障现象相类似,如引导型病毒等。这给用户造成了了困惑,许多用户往往在用各种病毒软件查不出病毒时就去格式化硬盘,不仅影响了工作、减少了硬盘的寿命,而且还不能从根本上解决问题。所以,有必要正确区分计算机的病毒与故障,下面的经验供用户参考: 1)计算机病毒的现象 在一般情况下,计算机病毒总是依附某一系统软件或用户程序中进行繁殖和扩散,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,往往有一定规律性地出现一些异常现象,比如: A. 屏幕显示异常。屏幕显示出不是由正常程序产生的画面或字符串, 出现显示混乱现象; B. 程序装载时间明显增长, 文件运行速度显著下降; C. 用户没有访问的设备出现异常工作信号; D. 磁盘出现莫名其妙的文件和坏块, 卷标发生变化; E. 系统自行引导; F. 丢失数据或程序, 文件字节数发生变化; G. 内存空间、磁盘空间异常减小; H. 异常死机或自动重启; I. 磁盘访问时间比平时明显增长; J. 系统引导时间明显增长。 2)与病毒现象类似的硬件故障 硬件的故障范围不太广泛,比较容易确认,但在处理计算机异常现象时易被忽略。排除硬件故障是解决问题的第一步。
计算机病毒知识测试题(单选) 1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机内存芯片损坏D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度
D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8.下列4项中,不属于计算机病毒特征的是______ A)潜伏性B)传染性C)激发性D)免疫性 9.下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒 B)计算机病毒是一种被破坏了的程序 C)反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能 D)感染过计算机病毒的计算机具有对该病毒的免疫性 10.确保单位局域网的信息安全,防止来自省局内网的黑客入侵,采用______以
实验二十三病毒核酸检测常用技术 (Techniques of Detecting Nucleic Acid of Viruses in Common Use ) 近年来随着分子生物学的发展,基因检测技术在微生物学实验室诊断中也取得了长足的进展。由于部分病原微生物的基因组已成功地被克隆并进行了核苷酸序列测定,因此根据病原微生物的基因特点,应用分子生物学技术检测样品中有无相应病原微生物的核酸,从而可以特异、灵敏地判定标本中是否含有相应的病原微生物。在微生物学的研究及感染性疾病的诊断中,最常使用的微生物核酸检测技术有PCR、RT-PCR、核酸杂交等技术,现对病毒核酸(DNA、RNA)的分离、PCR、RT-PCR、核酸杂交等技术的基本原理、操作方法、应用及影响因素等进行概述。 实验 1 PCR 检测传染性喉气管炎病毒核酸 【目的要求】 通过本实验使学生初步了解和熟悉病毒核酸(DNA)的分离与PCR技术的基本原理、操作方法、影响因素和应用。 【基本原理】 鸡传染性喉气管炎(Infectious laryngotracheitis, ILT)是由疱疹病毒科、α-疱疹病毒亚科的喉气管炎病毒(Infectious laryngotracheitis Virus, ILTV)引起的一种急性上呼吸道传染病, 常表现呼吸困难、产蛋鸡产蛋下降和死亡, 是危害养鸡业发展的重要疫病之一。但在临诊上极易与其它一些呼吸道疾病相混淆, 如禽流感、新城疫、传染性支气管炎、支原体感染等。常规检测IL TV 的方法有病原分离鉴定和血清学试验, 这些方法虽经典,但费时且敏感性差, 不能检测亚临床感染, 而传染性喉气管炎潜伏感染是疾病的一种重要表现形式。聚合酶链式反应(Polymerase Chain Reaction,PCR)是目前比较快速、敏感、特异的检测手段,已被广泛应用在病毒核酸检测方面。本实验以PCR方法检测鸡传染性喉气管炎病毒核酸为例,对PCR方法进行介绍。 PCR是体外酶促合成特异DNA片段的一种方法,典型的PCR由(1)高温变性模板;(2)引物与模板退火;(3)引物沿模板延伸三步反应组成一个循环,通过多次循环反应,使目的DNA得以迅速扩增。其主要步骤是:将待扩增的模板DNA置高温下(通常为93~94℃)使其变性解成单链;人工合成的两个寡核苷酸引物在其合适的复性温度下分别与目的基因两侧的两条单链互补结合,两个引物在模板上结合的位置决定了扩增片段的长短;耐热的DNA聚合酶(Taq酶)在72℃将单核苷酸从引物的3’端开始掺入,以目的基因为模板从5’→3’方向延伸,合成DNA的新互补链。如此反复进行,每一次循环所产生的DNA 均能成为下一次循环的模板,每一次循环都使两条人工合成的引物间的DNA特异区拷贝数扩增一倍,PCR产物得以2n的批数形式迅速扩增,经过25~30个循环后,理论上可使基因扩增109倍以上,实际上一般可达106~107倍(图23-1)。
《缉拿真凶──计算机病毒》教学案例 随着信息时代的到来,计算机已经走入千家万户,在我们使用的过程中,肯定出现过许多异常现象。到底是什么原因引起计算机工作异常呢?相信大部分学生都比较感兴趣。因此以此为切入点,引入新课。 但本课的容理论性较强,对于五年级的学生来说,如果用常规教学的模式来讲,就会显得枯燥无味。而且小学生一堂课上的注意力时间很短,所以本节课采取了角色扮演的形式,小组分工协作的方法,利用网络平台自主获取信息,处理信息的学习方式贯穿本节课。 【教学目标】 ·计算机病毒的定义。 ·了解计算机病毒的特点和危害。 ·当前计算机病毒传播的途径。 ·掌握预防计算机病毒的方法。 【教学重点】 ·了解计算机病毒的特点 ·知道计算机病毒的传播算途径 【教学难点】
掌握预防计算机病毒的方法 【课外延伸】 了解病毒、木马、黑客的关系。 【教学方法】 1.角色扮演 2.利用网络进行自主学习。 3.小组合作、互助。 【教学模式】 引课──小组分工──上网自主学习──小组获取信息、加工处理信息──各组汇报结果──师评、生评──归纳总结──德育渗透 【情感目标】 ·培养学生的信息安全意识。 ·培养学生正确的网络道德观。 ·培养学生团队合作精神。 【能力目标】 ·培养学生获取信息的能力、处理信息的能力。
·培养学生利用网络自主学习的能力。 【教学课时】 1课时 课前:在课间准备活动时,学生按顺序走进教室,播放杜娟唱歌的音乐,给学生制造轻松的气氛,并且预示大家准备上课了。 一、引课 师:同学们好 生:老师好 师:我有一个愿望,想与你们做朋友,因为你们的眼神告诉我你们很会学习,会捕获知识,而且你们是一个团结的集体,这让我非常喜欢们。 师:我呢,平时,喜欢在网上学习,下载软件,欣赏动漫。昨天我下载了一首我儿时最喜欢的歌曲,今天要与你们一起欣赏。 (播放课件,蓝精灵MV)----(播放到一半,突然计算机报错,提示需重新启动)(冲击波病毒症状) 师:嗯?怎么回事?谁的眼睛最亮,能不能告诉我们大家,刚才发生了什么奇怪的现象? 生:回答刚才看到的奇怪现象。
浅谈计算机病毒的检测技术 摘要:在互联网高速发展的今天,计算机病传染性越来越强,危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。 关键词:计算机病毒检测技术 一、引言 Internet改变了人们的生活方式和工作方式,改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时,计算机病毒的危害性也越来越大。在与计算机病毒的对抗中,早发现、早处置可以把损失降为最少。因此,本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同,检测范围不同,各有其优缺点。 二、计算机病毒的检测方法 (1)长度检测法 病毒最基本特征是感染性,感染后的最明显症状是引起宿主程序增长,一般增长几百字节。在现今的计算机中,文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法,就是记录文件的长度,运行中定期监视文件长度,从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后,由染毒文件长度增加大致可断定该程序已受感染,从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程序长度不变的病毒。 (2)病毒签名检测法 病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须解剖病毒。剖析一个病毒样本要花费很多时间,是一笔很大的开销。 (3)特征代码检测法
计算机病毒的查杀 一、训练目标 1. 了解常见计算机病毒 2. 了解常见木马与蠕虫病毒 3. 熟悉病毒的查杀 二、实训环境要求 安装XP或Windows Server 2003的计算机 三、实训内容 任务1:计算机病毒查杀 1.计算机病毒 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 2.木马 特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 3. 蠕虫 蠕虫(Worm)是通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。 1982年,Shock和Hupp根据The Shockwave Rider一书中的一种概念提出了一种“蠕虫”(Worm)程序的思想。 这种“蠕虫”程序常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。假如它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。 4. 病毒查杀 (二).防火墙配置 1.瑞星杀毒软件的安装由于软件的不断推出新的版本,如下的画面只能做为在安装不同版本的杀毒软件时进 行参考。若想了解最新的版本安装情况,可到.cn/KnowledgeBase/ProductSupport/demo.htm#这个网站下载最新的瑞星软件安装动画演示与升级演示。 第一步启动安装程序: 当把瑞星杀毒软件下载版安装程序保存到您的电脑中的指定目录后,找到该目录,双击运行此安装程序,就可以进行瑞星杀毒软件下载版的安装了。这时会给出安装提示,用户只要按照相应提示,就可以轻松进行安装了。 第二步填写“产品序列号”和“用户ID”: 当出现如下图所示的“验证产品序列号和用户ID”的框后,在“产品序列号”框中需要输入瑞星“产品序列号”,输入产品序列号后,下面打开用户ID的输入框,输入用户ID(12位)。 第三步填写完毕瑞星“产品序列号”和“用户ID”后,点击【下一步】,然后按照提示就可以继续安装。
植物的病毒检测技术 植物病毒病害是一类重要病害,几乎在各类作物上都有发生,严重影响农作物的产量和质量,用一般的方法难以防治,是生产上的一大难题。种植无病毒种子、苗木是一种非常有效的防治措施。因而如何对种子、苗木等无性繁殖材料以及在发病早期对植株进行快速准确地检测诊断就显得尤为重要。最初植物病毒检测主要依靠生物学性状,但生物学方法费时费力,检测周期长,而且易受环境条件的影响,反应不稳定、重复性差。目前植物病毒检测主要是血清学检测(以病毒外壳蛋白为基础)和核酸检测,前者主要包括ELISA、快速免疫滤纸测定、免疫胶体金技术、免疫毛细管区带电泳、免疫PCR 等;后者主要有PCR、分子信标、实时RT-PCR和核酸杂交等。 1 血清学检测方法 1.1 酶联免疫吸附测定(ELISA) 酶联免疫吸附测定是一种采用固相(主要为聚苯乙烯酶联板) 吸附,将免疫反应和酶的高效催化反应有机结合的方法,其基本原理是以酶催化的颜色反应指示抗原抗体的结合。该方法首先将同源特异抗体吸附在反应器皿底部,加入欲测试的含病毒的样品,病毒与抗体结合,病毒颗粒被固定,再加入标记的特异抗体和酶的底物,酶与底物反应后会出现有颜色的溶液其强度与病毒浓度成正比,用此方法可测定出病毒的浓度。ELISA方法简单,灵敏度高,特异性强,适于大量样品的检测,目前该方法已被广泛用于植物病毒检测。在此基础上加以改进又发展了一些新的检测方法,如A 蛋白酶联吸附(SPA-ELISA)、斑点免疫吸附(DIBA)、直接组织斑免疫测定( IDDTB) 、伏安酶联免疫分析[1]、快速ELISA 等。 1.2 快速免疫滤纸测定法(Rapid immuno-filter paper assay , RIPA) 快速免疫滤纸测定类似乳胶凝集反应,其原理是把待测病毒的抗体吸附在乳胶颗粒上,通过大颗粒乳胶间接反应小颗粒病毒的存在。所不同的是RIPA使用了一种红色乳胶,从而使检测更加简单和直观。RIPA[2]目测检测提纯TMV 的灵敏度分别可达 5ng/ml~50ng/ml 。 1.3 免疫胶体金技术( Immunogold2label as2say) 免疫胶体金技术最早起源于电镜方面的研究,由于金在生物学上是惰性的,且有良好的电荷分布,可以和蛋白质(如抗体、A 蛋白等)紧密结合,因此广泛应用于生物学和微生物学的各个领域。其原理是用柠蒙酸钠将氯金酸金离子还原为胶体金。胶体金颗粒在适当的条件下,以静电、非共价键方式吸附抗体IgG(或A蛋白)分子,从而形成稳定的IgG(或A蛋白) - 胶体金复合物。通过抗原抗体特异性结合,抗体(或A蛋白)胶体金复合物就可以结合在抗原上。金颗粒吸附在病毒粒体周围,从而得到明显的鉴别性和可见度[3] 。 随着技术的发展,1971年Taylor 等报道了免疫金染色技术( Immunogold staining) ,1981年Danscher又创建了免疫金- 银染色技术( Immunogold-silver staining) 。自1983年首次成功使用胶体金标记的抗体检测植物病毒以来,该技术逐渐被应用于植物病毒的检测。20 世纪80年代发展起来的斑点免疫金渗滤试验(Dot immunogold fitration assay) 是一种快速免疫胶体金诊断技术,该技术以硝酸纤维素膜为载体,利用微孔滤膜的渗滤浓缩和毛细管作用,使抗体抗原反应和洗涤在一特殊的渗滤装置中迅速完成,从而大大缩短了检测时间。在此基础上,又建立了更为简
计算机病毒的传播方式以及应对方法 摘要:目前计算机的应用遍及到社会各个领域,同时计算机病毒也给我们带来了巨大的破坏力和潜在威胁,为了确保计算机系统能够稳定运行以及信息的安全性,了解计算机病毒的一些特征、传播方式及防范措施十分必要。 关键词:计算机病毒分类传播方式预防查杀 一、计算机病毒的定义: 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括软件和硬件)的代码,统称为计算机病毒。它通常隐藏在一些看起来无害的程序中,能生成自身的拷贝并将其插入其他的程序中,执行恶意的行动,其具有以下几个特点: 1、传染性。计算机病毒会通过各种渠道从被感染的计算机扩散到未被感染的计 算机,在某些情况下造成被感染计算机工作失常甚至瘫痪。 2、潜伏性。有些计算机病毒并不是一侵入机器就对机器造成破坏,它可能隐藏 在合法的文件中,静静的呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。 3、隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序很难区分开来。 4、破坏性。任何计算机病毒侵入到机器中,都会对系统造成不同程度的影响, 轻者占有系统资源,降低工作效率,重者数据丢失,机器瘫痪。 除了上述四个特点,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机具有这些特点,给计算机病毒的预防、检测和清除工作带来了很大的麻烦。 二、计算机病毒的分类: 1、系统病毒。系统病毒的前缀为: Win32 、PE、Win95 、W3 2、W95 等。这种 病毒的公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。 2、蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的公有特性是通过网络或者 系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。 3、木马病毒。木马病毒其前缀是:Trojan,它是一种会在主机上未经授权就自 动执行的恶意程序。木马病毒通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,对用户的电脑进行远程控制。 4、Arp病毒。Arp病毒也是一种木马病毒,它是对利用Arp协议漏洞进行传播的 一类病毒的总称。由于其在局域网中威胁比较大,所以单独列举一下。此病毒通过路由欺骗或网关欺骗的方式来攻击局域网,使用户电脑无法找到正确的网关而不能上网。 5、后门病毒。后门病毒的前缀是:backdoor。该类病毒的公有特性是通过网络 传播,给系统开后门,给用户电脑带来安全隐患。
单选15题15分多选10题20分 名词5题20分简答5题25 分论述1题20分二选一 (除了多选题) 计算机病毒选择题 一、单选题 1、下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2、通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3、对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化 4、计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5、计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6、计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运 7、以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8、下列4项中,不属于计算机病毒特征的是______ A)潜伏性 B)传染性 C)激发性 D)免疫性
LAMP技术在病毒检测中的应用 发表时间:2013-01-31T16:04:31.107Z 来源:《医药前沿》2012年第31期供稿作者:吴昊1 孙立新2 叶松1 陆军1 杨庆贵2 [导读] LAMP(Loop-mediated Isothermal Amplification)环介导等温扩增技术,是近年来新兴的分子生物学检测技术 吴昊1 孙立新2 叶松1 陆军1 杨庆贵2 (1安徽理工大学医学院病原生物教研室安徽淮南 232001) (2江苏出入境检验检疫局医学媒介生物监测实验室江苏南京 210001) 【摘要】LAMP(Loop-mediated Isothermal Amplification)环介导等温扩增技术,是近年来新兴的分子生物学检测技术。因其特异性强、等温扩增,反应灵敏、操作简单、产物易检测,此项技术已被用于多种病原微生物的检测。本文综述了LAMP技术的原理以及其在几种常见病毒检测项目中的应用。 【关键词】 LAMP 技术原理病毒检测 【中图分类号】R319 【文献标识码】A 【文章编号】2095-1752(2012)31-0064-02 病原微生物带来的卫生问题时常出现,各种检测手段也不断更新。但由于非特异性扩增、反应操作程序复杂、及仪器昂贵等问题,很多方法在疾病爆发时筛查现场和监测站点的应用受到限制。 LAMP技术是由日本学者Notomi等[1]在2000年开发的一种新型快速的扩增技术,它能在一定温度范围内,通过一个步骤在短时间内对目的片段进行大量有效扩增。其具有高特异性、高效性、快速、低成本、易检测、结果易观察等特点,被广泛用于各种病原体检测和研究中并取得了一定的成就。 1 LAMP技术原理 1.1 扩增机制 LAMP技术利用能够特异性识别靶序列上的6个独立区域的两对内、外引物,及具有链置换活性的BstDNA聚合酶启动循环链置换反应来进行靶序列的扩增[1]。反应中,先由外部引物将内部引物扩增所需要的模板扩增出来,然后由内部引物对靶基因片段进行引导合成。由于内部引物所扩增出的片段含有与该引物5’端DNA片段的反相互补序列,因此这些反相互补序列之间形成茎-环结构,同时,另外一条内部引物与也可形成茎-环结构,片段的两端形成哑铃状结构,如此循环往复的过程最后形成花椰菜形状的茎-环结构,可在15min-60min之内实现109-1010倍的括增[2]。 1.2 结果观察 扩增后可以通过琼脂糖电泳后染色进行观察,更可通过扩增衍生物焦磷酸镁进行观察:阳性的样本会出现白色浑浊沉淀,而阴性则无此现象。同时也可以应用SYBR Green I染色,呈现绿色的为阳性,橙色的为阴性[2]。 2 病毒检测 2.1 日本脑炎病毒 日本脑炎又称乙脑,是由日本脑炎病毒(Japanese encephalitis virus)引起的一种常见的蚊媒传染病。JEV的检测方式很多,如血清学,病毒分离等,但耗时繁琐、敏感性特异性都较低。TORINIWA等[3]利用LAMP技术原理建立了快速Real-time RT-LAMP方法,该方法通过扩增JEV病毒的包膜(E)蛋白基因来定量检测JEV病毒,可将检测用时缩短至1h,检测下限为1PFU并与常规RT-PCR具有相似的敏感性。且不需特殊设备、操作方便,有利于推广其在基层的应用。 2.2 西尼罗河病毒 西尼罗河病毒(West Nile Virus,WNV)是引起西尼罗河热的病原体,近年来在世界部分地区的流行并造成了重大的损失。PARIDA 等[4]创立了一种一步法来检测WNV,通过凝胶电泳或者浊度仪来对扩增结果进行判定。结果显示其敏感性比常规RT-PCR高10倍。 2.3 甲型流感病毒 甲型流感病毒(AIV)具有高度传染性,致病性,以及致死率。对甲流病毒的检测方法主要为病毒分离,抗原和抗体检测以及PCR方法,但是过程费时繁琐。POON等[5]设计了特异性引物,利用LAMP技术成功的检测了H1-H3型的AIV,与PCR方法比较阳性符合率为100%,敏感度可达传统方法的100倍。LAMP技术由于其检测的简便快速且高度敏感,可更多的用于现场检测。 2.4 禽流感病毒的检测 禽流感是由禽类A型流感病毒引起的一种急性、高接触性的传染病,可带来重大损失。禽流感检测方法有各类血清学试验以及免疫学实验等。这些方法都存在着如试验周期较长,操作繁琐,检测材料受限制等不足。国内李启明等[8]对H5N1亚型禽流感病毒进行了RT-LAMP检测,验证和分析后证明其特异性与常规方法一致,并且其灵敏度可达到10个拷贝。侯佳蕾等[6]根据H5亚型禽流感病毒血凝素基因序列设计了引物,并建立了一种针对性的检测诊断方法。结果表明,该方法的灵敏度高于一步RT-PCR法。 2.5 口蹄疫病毒的检测 口蹄疫是由口蹄疫病毒(FMDV)引起的一种急性,热性,高度接触性传染病,主要侵害偶蹄兽并给经济带来极大威胁。血清学检测不足以确定整群动物是否带毒而PCR方法由于需要专门的仪器。吴绍强等[7]以灭活的亚洲I型口蹄疫细胞培养病毒为材料,设计引物并建立了口蹄疫病毒RT-LAMP检测法,为口蹄疫现场快速检测提供了有效的方法。 2.6 丙型肝炎病毒(HCV)的检测 HCV是一种常见的病毒,传播途径为母婴传播和血液传播。目前最常用的方法是ELLSA法检测抗原抗体或PCR法。但是由病毒的抗原量极少,所以常规免疫学方法常无法检测出病毒。PCR方法操作复杂繁琐,特异性较低。李启明等[8]利用LAMP技术的原理,利用特殊引物进行了LAMP扩增,成功的检测HCV基因,实验结果阳性符合率高达98%。这一成果证实了LAMP技术的优势。 2.7 严重急性呼吸窘迫综合征冠状病毒(SARS-CoV)的检测 SARS带来的阴影提醒人们对此类病毒检测的重要性。目前临床上对其检测的方法主要有2种。一是检测SARS-CoV抗体,虽然此法灵敏度较高,但在发病初期不能检出。二是Real-time PCR,这种方法可在发病早期检测出SARS-CoV,但是其需要熟练操作技术以及高成本仪器,不适于常规筛查。POON等[9]利用改良LAMP法对人群的鼻咽分泌物样本进行了检测。结果显示SARS病人中的SARS-CoV检出率为
【安全】常见病毒类型说明及行为分析0点 1、目前杀毒厂商对恶意程序的分类 nbsp; 木马病毒:TROJ_XXXX.XX nbsp; 后门程序:BKDR_XXXX.XX nbsp; 蠕虫病毒:WORM_XXXX.XX nbsp; 间谍软件:TSPY_XXXX.XX nbsp; 广告软件:ADW_XXXX.XX nbsp; 文件型病毒:PE_XXXX.XX nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒 POLYBOOT-B 2、病毒感染的一般方式 病毒感染系统时,感染的过程大致可以分为: 通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如: 打开后门等待连接 发起DDOS攻击 进行键盘记录 发送带计算机使用记录电子邮件 2.1 常见病毒传播途径 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对毒,它们传播、感染系统的方法也有所不同。 nbsp; 计算机病毒传播方式主要有: ü电子邮件 ü网络共享 ü P2P 共享 ü系统漏洞 ü浏览网页 ü移动磁盘传播 ü打开带毒影音文件 2.1.1电子邮件传播方式 nbsp; HTML正文可能被嵌入恶意脚本, nbsp; 邮件附件携带病毒压缩文件 nbsp; 利用社会工程学进行伪装,增大病毒传播机会 nbsp; 快捷传播特性
例:WORM_MYTOB,WORM_STRATION等病毒 2.1.2 网络共享传播方式 nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ nbsp; 通过空口令或弱口令猜测,获得完全访问权限 病毒自带口令猜测列表 nbsp; 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例:WORM_SDBOT 等病毒 2.1.3 P2P共享软件传播方式 nbsp; 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 nbsp; 通过P2P软件共享给网络用户 nbsp; 利用社会工程学进行伪装,诱使用户下载 例:WORM_PEERCOPY.A,灰鸽子等病毒 2.1.4 系统漏洞传播方式 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏nbsp; 病毒往往利用系统漏洞进入系统,达到传播的目的。 nbsp; 常被利用的漏洞 – RPC-DCOM 缓冲区溢出(MS03-026) – Web DAV (MS03-007) – LSASS (MS04-011) – Internet Explorer 中的漏洞(MS08-078) –服务器服务中允许远程执行代码的漏洞(MS08-067) (Local Security Authority Subsystem Service) 例:WORM_MYTOB 、WORM_SDBOT等病毒 2.1.5 网页感染传播方式 主要是通过恶意脚本 网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点: 1、代码灵活多变 利用直接的JAVA恶意脚本。 利用