Lect8-PPT补充
自含代码虚拟机(SCCE)
自含代码虚拟机工作起来象一个真正的CPU。一条指令取自内存,由SCCE解码,并被传送到相应的模拟这条指令的例程,下一条指令则继续这个循环。虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码,然后还会包括一个用于模拟每个可能在CPU 上执行的指令的例程集。
有限代码虚拟机(LCE)
有限代码虚拟机有点象用于通用解密的虚拟系统所处的级别。LCE实际上并非一个虚拟机,因为它并不真正的模拟指令,它只简单地跟踪一段代码的寄存器内容,也许会提供一个小的被改动的内存地址表,或是调用过的中断之类的东西。选择使用LCE而非更大更复杂的系统的原因,在于即使只对极少数指令的支持便可以在解密原始加密病毒的路上走很远,因为病毒仅仅使用了INTEL指令集的一小部分来加密其主体。
缓冲代码虚拟机(BCE)
缓冲代码虚拟机是SCCE的一个缩略版,因为相对于SCCE它具有较小的尺寸和更快的执行速度。在BCE中,一条指令是从内存中取得的,并和一个特殊指令表相比较。如果不是特殊指令,则它被进行简单的解码以求得指令的长度,随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。而特殊指令,只占整个指令集的一小部分,则在特定的小处理程序中进行模拟。
病毒习题补充
什么是宏病毒?其运作原理如何?
答:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
宏病毒的运作原理:一旦打开感染了宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
什么是脚本病毒和WSH?二者是何关系?
答:脚本病毒通常是JavaScript代码编写的恶意代码,一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。
WSH全称“Windows Scripting Host”,是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。
脚本病毒和WSH的关系:WSH是脚本病毒的执行环境
为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?
国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。
4、脚本病毒
脚本病毒的前缀是:Script。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。
6、后门病毒
后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒
后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒
玩笑病毒的前缀是:Joke。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。
查找相关资料,试述计算机病毒发展趋势与特点。
●基于Windows的计算机病毒越来越多
●计算机病毒向多元化发展
●新计算机病毒种类不断涌现,数量急剧增加
●计算机病毒传播方式多样化,传播速度更快
●计算机病毒造成的破坏日益严重
●病毒技术与黑客技术日益融合
●更多依赖网络、系统漏洞传播,攻击方式多种多样
硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?
主引导扇区(Boot Sector)由主引导记录(Master Boot Record,MBR)、主分区表即磁盘分区表(Disk Partition Table,DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。
DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?
一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下:
①用户点击或系统自动运行HOST程序;
②装载HOST程序到内存;
③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);
④从第一条语句开始执行(这时执行的其实是病毒代码);
⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;⑥HOST程序继续执行。
文件型病毒有哪些感染方式?
a寄生感染: 文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染
b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术采用TSR病毒技术 c 滋生感染 d链式感染
e OBJ、LIB和源码的感染
计算机病毒的感染过程是什么?
计算机病毒感染的过程一般有三步: (1)当宿主程序运行时,截取控制权; (2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
计算机病毒一般采用哪些条件作为触发条件?
病毒采用的触发条件主要有以下几种:
日期触发时间触发键盘触发
感染触发启动触发
访问磁盘次数/调用中断功能触发 CPU型号/主板型号触发打开或预览Email附件触发
随机触发
什么是病毒的重定位?病毒一般采用什么方法进行重定位?
回答一:重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。
病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到不同HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程,就是病毒的重定位。
回答二:
call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中……
lea eax,[ebp+(offset var1-offset delta)] ;这时eax中存放着var1在内存中的真实地址
如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offset var1-offset delta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址。
有时候我们也采用(ebp-offset delta)+offset var1的形式进行变量var1的重定位。
编写程序,利用INT 13H实现引导区的备份与恢复。
备份:
DEBUG(回车)
-A 100
XXXX:0100 MOV AX,201
XXXX:0103 MOV BX,200
XXXX:0106 MOV CX,1
XXXX:0109 MOV DX,80
XXXX:010C INT 13
XXXX:010E INT 3
XXXX:010F
-G=100
-R BX
BX 0200:0
-R CX ;-D 200 3FF显示Hex,注意标志55AA
CX 0001:200
-N BOOT.ZYD
-W
-Q
恢复:
DEBUG(回车)
-N BOOT.ZYD
-L 200
-A 100
XXXX:0100 MOV AX,0301
XXXX:0103 MOV BX,0200
XXXX:0106 MOV CX,0001
XXXX:0109 MOV DX,0080
XXXX:010C INT 13
XXXX:010E INT 3
XXXX:010F
-G=100
如何清除引导型病毒?
在恢复引导区之前,应清除内存中的病毒或使内存中的病毒处于灭活状态。用干净软盘引导启动系统,可以清除内存中的病毒,也可采用如下方法将内存中的病毒灭活: 1.在无毒环境下(例如用无毒的同版本系统盘启动),用无毒的Debug将中断向量表取出存在一个文件中。
2.当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常,内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。
病毒的清除方法比较简单,将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容,写入软盘引导扇区/硬盘主引导扇区即可。
PE病毒的感染过程是怎样的?如何判断一个文件是否感染了PE病毒(如Immunity)?针
对你的判断依据,采用何种手段可以更好地隐藏PE病毒?编程修复被Immunity感染的host_pe.exe文件。
PE病毒的感染过程
1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置)
6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)
节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表
脚本病毒有哪些弱点?如何防治和清除脚本病毒?
(1)VBS脚本病毒具有如下几个特点:
编写简单破坏力大感染力强传播范围大
病毒源码容易被获取,变种多欺骗性强
使得病毒生产机实现起来非常容易
(2)针对以上提到的VBS脚本病毒的弱点,可以采用如下集中防范措施:
●禁用文件系统对象FileSystemObject
●卸载WSH
●删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
●将WScript.exe更改名称或者删除
●自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用
●禁止OutlookExpress的自动收发邮件功能
●显示扩展名,避免病毒利用文件扩展名作文章
●将系统的网络连接的安全级别设置至少为“中等”
●安装、使用杀毒软件
宏病毒采用哪些传播方式?如何防治和清除宏病毒?
(1)宏病毒的传播方式
在Word或其他Office程序中,宏分成两种
①在某个文档中包含的内嵌宏,如FileOpen宏
②属于Word应用程序,所有打开的文档公用的宏,如AutoOpen宏
Word宏病毒一般都首先隐藏在一个指定的Word文档中,一旦打开了这个Word文档,
宏病毒就被执行,宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域,使得所有打开的文档都可使用这个宏当Word退出的时候,全局宏将被存储在某个全局的模板文档(.dot文件)中,这个文件的
名字通常是“normal.dot”,即normal模板
如果全局宏模板被感染,则Word再启动的时候将自动载入宏病毒并且自动执行
(2)宏病毒的防御
①禁止运行不安全的宏
②Word被宏病毒感染之后(实际上是Word使用的模板文档被感染),可以将其恢复正常
●退出Word,然后先到C盘根目录下查看是否存在Autoexec.dot文件,如果存在,而你又不知道它是什么时侯出现的,删除之
●找到Normal.dot文件,用先前的干净备份替换之或干脆删除之
●查看Normal.dot所在目录是否还存在其他模板文件,如果存在且不是你自己拷贝进去的,删除之
●重新启动Word,已经恢复正常
预防恶意网站可采取哪些措施?
1、禁止修改注册表。
2、及时打系统补丁,尤其是及时把IE升级到最新版本,可以在很大程度上避免IE漏洞带来的安全隐患。
3、用360浏览器或 Firefox 浏览网页。
4、下载安装微软最新的Microsoft Windows Script,可以很大程度上预防恶意修改。
5、相当多的恶意网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等禁止,或者把WSH (Windows Scripting Host)删除就在很大程度上避免中标。 1)禁止脚本运行 2)删除WSH
6、安装杀毒软件并打开网页监控、文件监控和内存监控。
7、把fdisk.exe、deltree.exe、https://www.doczj.com/doc/6b6334609.html,等危险的命令文件改名,以免被恶意代码利用,造成不必要的损失。
8、不要轻易访问浏览一些自己不了解的站点,特别是那些看上去美丽诱人的网址,否则吃亏的往往是我们。
9、为WINDOWS系统文件夹里的HOSTS文件设置只读属性。 10、禁止访问已知的恶意网页/站点。
如何预防木马?结合木马的藏身之所、隐藏技术,总结清除木马的方法。
预防木马:1、不要随便打开别人给你发过来的文件,(这个要小心,最好是打开病毒防火墙) 2、不要点一些不健康的网页,因为这些网页是最容易放一些不明的代码,也就是恶意代码; 3、就是系统了,你要把你的管理员帐号密码设置的相对麻烦一些,当然要好记咯。长度最好不要小于8位,也不要太长了。也不要太简单。大小写、特别的字符等等都可以的。还有要关心一些官方网站发布的SP,及时打上SP,网络设置要好一些,不要开一些不必要的通讯端口。总之,自己勤奋一些,养成一个好的上网、护理系统的习惯。手动查杀木马的主要步骤及系统命令的使用。
端口(netstat,FPort)PID、调用DLL、EXE文件(Tasklist)DLL查找对应的进程或服务(Tasklist,IceSword)
除相关的DLL、EXE gpedit.msc),禁止指定的应用程序运行。
简述木马传播途径。
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
途径:1、捆绑欺骗,2.网页木马法。 3、QQ冒名欺骗4、邮件冒名欺骗。5、危险下载点。6、文件夹惯性点击。
简述一下多态病毒的六个级别
答:根据病毒使用多态技术的复杂程度,多态病毒大致可以划分为6个级别:
(1)半多态 :病毒拥有一组解密算法,感染的时候从其中随机选择一种算法进行加密和感染。
(2)具有不动点的多态:病毒有一条或几条语句是不变的(把这些不变的语句叫做不动点),其他病毒指令都是可变的。
(3)带有填充物的多态:解密代码中包含一些没有实际用途的代码来干扰分析者的视线。
(4)算法固定的多态:解密代码所使用的算法是固定的,但是实现这个算法的指令和指令的次序是可变的。
(5)算法可变的多态:
使用了上面所有的技术,同时解密的算法也是可以部分或者全部改变的。
(6)完全多态 :算法多态,同时病毒体可以随机分布在感染文件的各个位置,但是在运行的时候能够进行拼装,并且可以正常工作。
计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
实际内存地址=基地址(即ImageBase值)+相对虚地址(RV A)。
节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;
最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
简述一下嵌入文件的隐藏技术。
宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和ToolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级的病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。
阐述计算机病毒的检测方法?并分析哪种检测方法是最有效的?
特征码检测法、校验和检测法、感染实验法。感染实验法是一种简单实用的检测病毒方法,这种方式的原理是利用病毒的最重要的基本特征感染性,所有的病毒都会感染,如果不会感染就不成其为病毒,如果系统中有异常行为,最新版本的检测工具也是检测不出来的,就可以做感染实验。
一.专业病毒分析师对提交的可疑文件进行分析的流程: 1.通过虚拟机模拟可疑文件的运行,检测他的动作。 2.反编译程序,通过汇编语言判断程序的性质 3.病毒分析师需要有熟练的各种分析软件的操作能力,还需要有强的汇编言知识,还需要对windows中程序底层运行方式有一定的了解 二.病毒的行为大致上分为4种: 1.对文件的操作 2.对注册表的的操作 3.对进程的操作 4.联网行为 所以,就要有分析这4种行为的工具. 三.具体分析过程 No.1 监视方法分析病毒. 分析过程中用到了大量的工具,这些工具分为专一型的,综合型的. ◆专一型的监视工具: 文件监视:FileMon 注册表监视:RegMon、Regsnap 进程监视:ProcView 网络监视:TcpView ◆综合型的监视工具: SSM:文件、注册表、进程、网络监视 E盾:文件、注册表、进程、网络监视 ProcMonitor:文件、注册表、进程监视 ◆内核分析、监视工具: 由于病毒大都会用内核方法隐藏自己,所以需要内核分析工具,常用的内核分析工具有下面的: IceSword SnipeSword Wsyscheck (推荐) ◆系统辅助分析工具: 其实有很多杀毒软件附带的工具就是很好的分析工具,举几个软件说下: 360安全卫士
卡卡上网安全助手 金山清理专家 ◆系统诊断工具: Sreng扫描报告 360安全卫士诊断工具 卡卡上网安全助手 瑞星听诊器 No.2反编译、调试方法分析病毒. 这种方法需要有更多的基础知识,需要了解系统内部工作原理和汇编语言.并且工具的运用也需要很多的训练… ※查壳工具 Peid FFI ※脱壳工具 FFI 各种壳的专用脱壳工具 ※反编译工具 W32dasm C32asm IDA pro ※文件hash校验工具 Hash HashCalc ※动态调试工具 OllyDbg SoftIce(这个比较难用) ※文件编辑工具
植物病毒检测技术研究进展 刘茂炎 摘要:随着现代技术的发展特别是分子技术的发展,鉴定和检测病毒的方法越来越多,也越来越精确快速。以PCR为基础的基因工程技术已经广泛应用于病毒核酸分子的鉴定,其高灵敏度和高特异性是与PCR扩增反应的特异性引物相关联的;于此同时传统的鉴定检测技术依然有其发展优势。不论怎样的方法技术,都是以病毒的理化性质以及侵染性为基础的。在此基础上,甚至出现了某些边缘技术在病毒鉴定检测方面的应用。本文主要综述的是对植物病毒鉴定检测技术的研究进展。 关键词:植物病毒;检测技术;PCR 病毒在生物学上特征(如病毒的理化性质,包括病毒粒子的形态、大小、对理化因子的耐受性等)以及在寄主上的反应(如寄主范围、症状表现、传播方式等)是对病毒最直观的认识。常规的对植物病毒的鉴定检测方法有:生物学测定方法、血清学技术、电子显微镜技术、分子生物学技术等。生物学测定依据病毒的侵染性,观察寄主植株或其它生物的症状表现;血清学技术以病毒外壳蛋白(CP)为基础;电子显微镜技术依据病毒的形状大小的不同;分子生物学鉴定则以病毒核酸为基础。 1.生物学鉴定 最直接的方法是目测法,直接观察病毒对植物的病害症状。如烟草花叶病毒(tobacco mosaic virus,TMV),病害症状为叶上出现花叶症状,生长陷于不良状态,叶常呈畸形;玉米鼠耳病的诊断主要依据田间症状表现[1]。目测法因观察的主观性和症状的不确定性的影响而不精准。1929年美国病毒学家霍姆斯(Holmes)用感病的植物叶片粗提液接种指示植物,2~3天后接种叶片出现圆形枯斑,枯斑数与侵染性病毒的浓度成正比,能测出病毒的相对侵染力,对病毒的定性有着重要的意义,这种人工接种鉴定的方法就是枯斑和指示植物检测法。国内报道的水稻黑条矮缩病毒(Rice black-streaked dwarf fijivirus,RBSDV)可侵染28属57种禾本科植物,该病毒的主要传毒介体是灰飞虱(Laodelphax striatella),
关于计算机病毒检测技术分析 【摘要】计算机的出现改变了人们的生活方式和工作方式,同时也改变了全球经济的结构,逐渐的成为人类物质社会最为重要的组成部分,随着互联网的迅速发展,网络安全问题也日益严重起来。计算机病毒给计算机系统的安全带来了严重的危害,并且造成的损失也比较大,一般认为,计算机网络系统的安全运行来自计算机病毒的攻击,那么研究分析计算机病毒检测技术也就有着极大的现实意义。本文探究了计算机病毒,以及计算机病毒的种类,并且着重分析研究了计算机病毒检测技术,以期提高计算机安全。 【关键词】计算机病毒;检测技术;分析 1.引言 对于计算机的安全广大的安全专家以及用户都是比较担忧的,虽然目前计算机反病毒的技术正在不断的更新,但是反病毒技术仍然是被动的,用户需要应付每一个出现的计算机病毒,并且随着互联网技术的逐渐普及,计算机病毒越来越多的泛滥而出。计算机病毒攻击的方式、传播的方式也在随着社会经济的发展逐渐的变化着,它能够隐形的依附在下载的视频或者资料中,或者利用图片传播等,计算机病毒的传播速度较快,并且危害性也相对较大,那么为了保证计算机的安全使用,就必须要提高计算机病毒检测技术,在计算机没被病毒侵害之前进行检测,并进行杀毒。 2.计算机病毒综述 计算机病毒是一种人为制造的,专门用来破坏或者攻击计算机软件系统,并复制本身传染其他应用程序的代码,随着计算机网络技术的逐渐发展和应用,计算机病毒已经成为信息系统安全的主要威胁之一[1]。计算机病毒能够像生物病毒一样进行繁殖,在程序正常运行的时候,能够进行运行自身复制,也就是说计算机病毒具有繁殖性,再有计算机病毒具有传染性,一旦病毒被复制或者是产生变种,那么它的传播速度是很难预防的,传染性是计算机病毒基本的特征。此外计算机病毒还具有潜伏性,这跟定时炸弹是差不多的,在之前设计好病毒爆发的时间,给人以措手不及,还具有隐蔽性、破坏性等特性。计算机病毒大致上被分为宏病毒、木马病毒、黑客工具、脚本病毒等种类,下面我们将对这些病毒进行系统的分析。 第一,宏病毒,这是脚本病毒中的一种,但是由于其特性故将其分为一类,宏病毒的前缀是Macro,第二前缀是Word、Excel等,较为著名的宏病毒有著名的美丽莎。 第二,脚本病毒,脚本病毒的前缀是Script[2],脚本病毒的共有特性是使用脚本语言编写的,借助网页进行传播的病毒。
认识和预防计算机病毒》教学设计 一、教学内容分析: 本专题内容是广东教育出版社出版的初中信息技术第一册第一章第六节的 部分内容。教材中的内容只是简单的介绍了一下病毒防治软件Norton Antivirus 清除病毒的方法。鉴于初中学生对计算机病毒已有耳闻,而且如今家庭电脑已是日益普及,计算机病毒更是让人防不胜防,在初一年级就有意识地介绍有关计算机病毒的基本常识(如计算机病毒的概念、特征、危害等)和杀毒软件的使用,对于乐此不疲的中学生来说是十分重要的一课,有利于帮助学生树立安全防范意识,在使用电脑过程中时刻关注计算机安全,学会防治病毒。 二、教学对象分析: 随着信息技术的日益发展,网络的广泛普及,在学生中进行网络安全教育显得尤为重要。本节内容的教学对象是初一年级的学生。学生都有相当一段时间的网龄,对网络和计算机安全有一定的认识,有一定的安全意识,但是还比较模糊,需要教师进一步引导。 三、教学目标: 知识与技能: (1)了解计算机病毒的概念,知道它是一种人为制作的程序。 (2)了解计算机病毒的一般特征、传播方式。 (3) 了解病毒对计算机信息安全的危害。 (4) 知道防治病毒的方法。 过程与方法: 通过让学生感受大量的事例,让学生深刻体会到采取安全防范措施的重要性。通过模拟使用瑞星杀毒软件,让学生懂得常用杀毒软件的使用,并学会下载、安装、升级杀毒软件。 情感态度与价值观: (1)帮助学生树立防范病毒意识,负责任、安全、健康地使用信息技术。(2)促进学生信息文化、道德修养与健康人格的育成。 四、教学重点及难点 了解计算机病毒的特征及其对计算机信息安全的危害。
五、教学策略 情境创设法,头脑风暴法、模拟试验法六、教学媒体选择 教材、powerpoint课件、flash动画七、教学过程设计 教学环节教师活动学生活动 设计意图 情景创设 相信很多同学和我一样,曾经收到这样类似的信 息: 由于跟这位朋友很熟,因此我就随手点了那个链 接,可我并没有看到什么,紧接着,我的电脑就开始 变得异常缓慢,不断弹出对话框: 究竟发生了什么事?我的电脑怎么了?(学生回 答:电脑中病毒了) 小调查:我们班有多少同学有过电脑中病毒的 经历呢? 提问:电脑中毒后有什么异常的现象呢? 学生发言、分享自己电脑中毒经历。 学生倾听老师 的经历,唤醒 记忆中相似的 情形; 积极思考,回 答问题。 积极举手,参与 调查 创设一个计算 机中毒过程的 情景,激起学 生的共鸣,引 发学生学习的 兴趣。 通过调查使学 生意识到:计 算机感染病毒 的比率很高。
2012.4 37 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学院 北京 100091 摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性 病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性 从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。
计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分,满分100分; 1.下面是关于计算机病毒的两种论断,经判断___; (1)计算机病毒也是一种程序,它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分,满分100分
1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化
4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运
计算机病毒的分析与防范 1.计算机病毒的引入 1983 年11 月3 日,弗雷德·科恩(Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机)伦·艾德勒曼(Len Adleman) 将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。 2.计算机病毒发展史 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。 1989年全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 1991年在“海湾战争”中,美军第一次将计算机病毒用于实战。 1992年出现针对杀毒软件的“幽灵”病毒,如One-half。 1997年1997年被公认为计算机反病毒界的“宏病毒”年。 1998年出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。 1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2000年出现了拒绝服务(Denial of Service)和恋爱邮件(Love Letter) 这次拒绝服务袭击规模巨大,致使雅虎,亚马逊书店等主要网站服务瘫痪。 2002年多变的混合式病毒求职信(Klez)及FunLove病毒席卷全球。 2003年,冲击波(Blaster)病毒于8月开始爆发。 2004年,MyDoom、网络天空(NetSky)及震荡波(Sasser)病毒出现。3.基础知识——计算机病毒的本质 计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界,病毒(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物,如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看
计算机病毒处理常用办法 1、预防病毒的好习惯 1)建立良好的安全习惯。 对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet 下载后未经杀毒处理的软件,不要共享有读写权限的文件夹或磁盘,机器间文件的拷贝要先进行病毒查杀; 2)经常升级安全补丁。 一部分病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、SQL Slamer、冲击波、震荡波等病毒,我们应密切关注病毒、漏洞预警,即使修补系统漏洞补丁; 3)使用复杂的用户口令。 有许多病毒是通过猜测用户口令的方式攻击系统的。因此使用复杂的口令,会提高计算机的病毒防范能力;一般来讲,复杂的口令须具备:长度8位或8位以上,口令中必须含字母、数字而且字母分大小写; 4)迅速隔离受感染的计算机。 当计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源; 5)了解一些病毒知识。 这样可以及时发现新病毒并采取相应措施,使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 6)安装专业的防毒软件进行全面监控。 在病毒日益增多的今天,应该使用防病毒软件进行病毒防范,在安装了防病毒软件之后,还要经常进行病毒库的升级,并打开实时监控(如文件双向监控)器进行监控。 2、怎样区别计算机病毒与故障 在清除计算机病毒的过程中,有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起,同时有些病毒发作现象又与硬件或软件的故障现象相类似,如引导型病毒等。这给用户造成了了困惑,许多用户往往在用各种病毒软件查不出病毒时就去格式化硬盘,不仅影响了工作、减少了硬盘的寿命,而且还不能从根本上解决问题。所以,有必要正确区分计算机的病毒与故障,下面的经验供用户参考: 1)计算机病毒的现象 在一般情况下,计算机病毒总是依附某一系统软件或用户程序中进行繁殖和扩散,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,往往有一定规律性地出现一些异常现象,比如: A. 屏幕显示异常。屏幕显示出不是由正常程序产生的画面或字符串, 出现显示混乱现象; B. 程序装载时间明显增长, 文件运行速度显著下降; C. 用户没有访问的设备出现异常工作信号; D. 磁盘出现莫名其妙的文件和坏块, 卷标发生变化; E. 系统自行引导; F. 丢失数据或程序, 文件字节数发生变化; G. 内存空间、磁盘空间异常减小; H. 异常死机或自动重启; I. 磁盘访问时间比平时明显增长; J. 系统引导时间明显增长。 2)与病毒现象类似的硬件故障 硬件的故障范围不太广泛,比较容易确认,但在处理计算机异常现象时易被忽略。排除硬件故障是解决问题的第一步。
实验二十三病毒核酸检测常用技术 (Techniques of Detecting Nucleic Acid of Viruses in Common Use ) 近年来随着分子生物学的发展,基因检测技术在微生物学实验室诊断中也取得了长足的进展。由于部分病原微生物的基因组已成功地被克隆并进行了核苷酸序列测定,因此根据病原微生物的基因特点,应用分子生物学技术检测样品中有无相应病原微生物的核酸,从而可以特异、灵敏地判定标本中是否含有相应的病原微生物。在微生物学的研究及感染性疾病的诊断中,最常使用的微生物核酸检测技术有PCR、RT-PCR、核酸杂交等技术,现对病毒核酸(DNA、RNA)的分离、PCR、RT-PCR、核酸杂交等技术的基本原理、操作方法、应用及影响因素等进行概述。 实验 1 PCR 检测传染性喉气管炎病毒核酸 【目的要求】 通过本实验使学生初步了解和熟悉病毒核酸(DNA)的分离与PCR技术的基本原理、操作方法、影响因素和应用。 【基本原理】 鸡传染性喉气管炎(Infectious laryngotracheitis, ILT)是由疱疹病毒科、α-疱疹病毒亚科的喉气管炎病毒(Infectious laryngotracheitis Virus, ILTV)引起的一种急性上呼吸道传染病, 常表现呼吸困难、产蛋鸡产蛋下降和死亡, 是危害养鸡业发展的重要疫病之一。但在临诊上极易与其它一些呼吸道疾病相混淆, 如禽流感、新城疫、传染性支气管炎、支原体感染等。常规检测IL TV 的方法有病原分离鉴定和血清学试验, 这些方法虽经典,但费时且敏感性差, 不能检测亚临床感染, 而传染性喉气管炎潜伏感染是疾病的一种重要表现形式。聚合酶链式反应(Polymerase Chain Reaction,PCR)是目前比较快速、敏感、特异的检测手段,已被广泛应用在病毒核酸检测方面。本实验以PCR方法检测鸡传染性喉气管炎病毒核酸为例,对PCR方法进行介绍。 PCR是体外酶促合成特异DNA片段的一种方法,典型的PCR由(1)高温变性模板;(2)引物与模板退火;(3)引物沿模板延伸三步反应组成一个循环,通过多次循环反应,使目的DNA得以迅速扩增。其主要步骤是:将待扩增的模板DNA置高温下(通常为93~94℃)使其变性解成单链;人工合成的两个寡核苷酸引物在其合适的复性温度下分别与目的基因两侧的两条单链互补结合,两个引物在模板上结合的位置决定了扩增片段的长短;耐热的DNA聚合酶(Taq酶)在72℃将单核苷酸从引物的3’端开始掺入,以目的基因为模板从5’→3’方向延伸,合成DNA的新互补链。如此反复进行,每一次循环所产生的DNA 均能成为下一次循环的模板,每一次循环都使两条人工合成的引物间的DNA特异区拷贝数扩增一倍,PCR产物得以2n的批数形式迅速扩增,经过25~30个循环后,理论上可使基因扩增109倍以上,实际上一般可达106~107倍(图23-1)。
浅谈计算机病毒的检测技术 摘要:在互联网高速发展的今天,计算机病传染性越来越强,危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。 关键词:计算机病毒检测技术 一、引言 Internet改变了人们的生活方式和工作方式,改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时,计算机病毒的危害性也越来越大。在与计算机病毒的对抗中,早发现、早处置可以把损失降为最少。因此,本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同,检测范围不同,各有其优缺点。 二、计算机病毒的检测方法 (1)长度检测法 病毒最基本特征是感染性,感染后的最明显症状是引起宿主程序增长,一般增长几百字节。在现今的计算机中,文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法,就是记录文件的长度,运行中定期监视文件长度,从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后,由染毒文件长度增加大致可断定该程序已受感染,从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程序长度不变的病毒。 (2)病毒签名检测法 病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须解剖病毒。剖析一个病毒样本要花费很多时间,是一笔很大的开销。 (3)特征代码检测法
植物的病毒检测技术 植物病毒病害是一类重要病害,几乎在各类作物上都有发生,严重影响农作物的产量和质量,用一般的方法难以防治,是生产上的一大难题。种植无病毒种子、苗木是一种非常有效的防治措施。因而如何对种子、苗木等无性繁殖材料以及在发病早期对植株进行快速准确地检测诊断就显得尤为重要。最初植物病毒检测主要依靠生物学性状,但生物学方法费时费力,检测周期长,而且易受环境条件的影响,反应不稳定、重复性差。目前植物病毒检测主要是血清学检测(以病毒外壳蛋白为基础)和核酸检测,前者主要包括ELISA、快速免疫滤纸测定、免疫胶体金技术、免疫毛细管区带电泳、免疫PCR 等;后者主要有PCR、分子信标、实时RT-PCR和核酸杂交等。 1 血清学检测方法 1.1 酶联免疫吸附测定(ELISA) 酶联免疫吸附测定是一种采用固相(主要为聚苯乙烯酶联板) 吸附,将免疫反应和酶的高效催化反应有机结合的方法,其基本原理是以酶催化的颜色反应指示抗原抗体的结合。该方法首先将同源特异抗体吸附在反应器皿底部,加入欲测试的含病毒的样品,病毒与抗体结合,病毒颗粒被固定,再加入标记的特异抗体和酶的底物,酶与底物反应后会出现有颜色的溶液其强度与病毒浓度成正比,用此方法可测定出病毒的浓度。ELISA方法简单,灵敏度高,特异性强,适于大量样品的检测,目前该方法已被广泛用于植物病毒检测。在此基础上加以改进又发展了一些新的检测方法,如A 蛋白酶联吸附(SPA-ELISA)、斑点免疫吸附(DIBA)、直接组织斑免疫测定( IDDTB) 、伏安酶联免疫分析[1]、快速ELISA 等。 1.2 快速免疫滤纸测定法(Rapid immuno-filter paper assay , RIPA) 快速免疫滤纸测定类似乳胶凝集反应,其原理是把待测病毒的抗体吸附在乳胶颗粒上,通过大颗粒乳胶间接反应小颗粒病毒的存在。所不同的是RIPA使用了一种红色乳胶,从而使检测更加简单和直观。RIPA[2]目测检测提纯TMV 的灵敏度分别可达 5ng/ml~50ng/ml 。 1.3 免疫胶体金技术( Immunogold2label as2say) 免疫胶体金技术最早起源于电镜方面的研究,由于金在生物学上是惰性的,且有良好的电荷分布,可以和蛋白质(如抗体、A 蛋白等)紧密结合,因此广泛应用于生物学和微生物学的各个领域。其原理是用柠蒙酸钠将氯金酸金离子还原为胶体金。胶体金颗粒在适当的条件下,以静电、非共价键方式吸附抗体IgG(或A蛋白)分子,从而形成稳定的IgG(或A蛋白) - 胶体金复合物。通过抗原抗体特异性结合,抗体(或A蛋白)胶体金复合物就可以结合在抗原上。金颗粒吸附在病毒粒体周围,从而得到明显的鉴别性和可见度[3] 。 随着技术的发展,1971年Taylor 等报道了免疫金染色技术( Immunogold staining) ,1981年Danscher又创建了免疫金- 银染色技术( Immunogold-silver staining) 。自1983年首次成功使用胶体金标记的抗体检测植物病毒以来,该技术逐渐被应用于植物病毒的检测。20 世纪80年代发展起来的斑点免疫金渗滤试验(Dot immunogold fitration assay) 是一种快速免疫胶体金诊断技术,该技术以硝酸纤维素膜为载体,利用微孔滤膜的渗滤浓缩和毛细管作用,使抗体抗原反应和洗涤在一特殊的渗滤装置中迅速完成,从而大大缩短了检测时间。在此基础上,又建立了更为简
计算机病毒的传播方式以及应对方法 摘要:目前计算机的应用遍及到社会各个领域,同时计算机病毒也给我们带来了巨大的破坏力和潜在威胁,为了确保计算机系统能够稳定运行以及信息的安全性,了解计算机病毒的一些特征、传播方式及防范措施十分必要。 关键词:计算机病毒分类传播方式预防查杀 一、计算机病毒的定义: 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括软件和硬件)的代码,统称为计算机病毒。它通常隐藏在一些看起来无害的程序中,能生成自身的拷贝并将其插入其他的程序中,执行恶意的行动,其具有以下几个特点: 1、传染性。计算机病毒会通过各种渠道从被感染的计算机扩散到未被感染的计 算机,在某些情况下造成被感染计算机工作失常甚至瘫痪。 2、潜伏性。有些计算机病毒并不是一侵入机器就对机器造成破坏,它可能隐藏 在合法的文件中,静静的呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。 3、隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序很难区分开来。 4、破坏性。任何计算机病毒侵入到机器中,都会对系统造成不同程度的影响, 轻者占有系统资源,降低工作效率,重者数据丢失,机器瘫痪。 除了上述四个特点,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机具有这些特点,给计算机病毒的预防、检测和清除工作带来了很大的麻烦。 二、计算机病毒的分类: 1、系统病毒。系统病毒的前缀为: Win32 、PE、Win95 、W3 2、W95 等。这种 病毒的公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。 2、蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的公有特性是通过网络或者 系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。 3、木马病毒。木马病毒其前缀是:Trojan,它是一种会在主机上未经授权就自 动执行的恶意程序。木马病毒通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,对用户的电脑进行远程控制。 4、Arp病毒。Arp病毒也是一种木马病毒,它是对利用Arp协议漏洞进行传播的 一类病毒的总称。由于其在局域网中威胁比较大,所以单独列举一下。此病毒通过路由欺骗或网关欺骗的方式来攻击局域网,使用户电脑无法找到正确的网关而不能上网。 5、后门病毒。后门病毒的前缀是:backdoor。该类病毒的公有特性是通过网络 传播,给系统开后门,给用户电脑带来安全隐患。
《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字 第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说,第二种为恶作剧,第三种为戏程序(70年代,贝尔实验室,Core War), 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒,传统的病毒, 第二代病毒(1989-1991年),混合型病毒(或“超级病毒”),采取了自我保护措施(如加密技术,反跟踪技术);第三代病毒(1992-1995年)多态性病毒(自我变形病毒)首创者Mark Washburn-----“1260病毒”;最早的多态性的实战病毒----“黑夜复仇者”(Dark Avenger)的变种MutationDark Avenger ;1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集(Virus Construction Sets)----“计算机病毒创建库”(Virus Create Library), ”幽灵”病毒;第四代病毒(1996-至今),使用文件传输协议(FTP)进行传播的蠕虫病毒,破坏计算机硬件的CIH,远程控制工具“后门”(Bank Orifice),”网络公共汽车”(NetBus)等。 2.计算机病毒的基本特征----1.程序性(利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序),2、传染性,3、隐蔽性(兼容性、程序不可见性)4、潜伏性(“黑色星期五”,“上海一号”,CIH),5、破坏性,6、可触发性,7、不可预见性,8、针对性,9、非授权可执行性,10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介(QQ,MSN等即时通讯软件,可移动存储设备,网页,网络主动传播,网络,“钓鱼”),2.与黑客技术相融合(“Nimda”,CodeRed,”求职信”),3.采取了诸多的自我保护机制(逃避、甚至主动抑制杀毒软件),4.采用压缩技术(压缩变形----特征码改变,压缩算法,“程序捆绑器”),5.影响面广,后果严重,6.病毒编写越来越简单,7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期(程序设计,传播),2.潜伏感染期,3.发病期,4.发现期,5.消化期,6.消亡期。 第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块(将病毒引入计算机内存,为传染模块和表现模块设置相应的启动条件),2.感染模块(两大功能-----1.依据引导模块设置的传染条件,做判断;2启动传染功能), 3.表现模块(两大功能----依据引导模块设置的触发条件,做判断;或者说表现条件判断子模块 2.1启动病毒,即表现功能实现子模块) 2.2.1计算机病毒的寄生方式-----1.替代法(寄生在磁盘引导扇区);2.链接法(链接在正常程序的首部、尾部、或中间)。 2.2.2.计算病毒的引导过程-----1。驻留内存,2.获得系统控制权, 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期,2.时间, 3.键盘 4.感染触发, 5.启动, 6.访问磁盘次数, 7.调用中断功能触发, 8.CPU型号/主板型号触发。 第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机,操作系统无法正常启动,运行速度异常, 4.内存不足的错误, 5.打印、通信及主机接口发生异常, 6.无意中要求对软盘进行写操作, 7.以前能正常运行的应用程序经常死机或者出现非法错误, 8.系统文件的时、日期和大小发生变化, 9.宏病毒的表现现象,10、磁盘空间迅速减少,11.网络驱动器卷或者共享目录无法调用,陌生人发来的电子邮件,13.自动链接到一些陌生的网站。
LAMP技术在病毒检测中的应用 发表时间:2013-01-31T16:04:31.107Z 来源:《医药前沿》2012年第31期供稿作者:吴昊1 孙立新2 叶松1 陆军1 杨庆贵2 [导读] LAMP(Loop-mediated Isothermal Amplification)环介导等温扩增技术,是近年来新兴的分子生物学检测技术 吴昊1 孙立新2 叶松1 陆军1 杨庆贵2 (1安徽理工大学医学院病原生物教研室安徽淮南 232001) (2江苏出入境检验检疫局医学媒介生物监测实验室江苏南京 210001) 【摘要】LAMP(Loop-mediated Isothermal Amplification)环介导等温扩增技术,是近年来新兴的分子生物学检测技术。因其特异性强、等温扩增,反应灵敏、操作简单、产物易检测,此项技术已被用于多种病原微生物的检测。本文综述了LAMP技术的原理以及其在几种常见病毒检测项目中的应用。 【关键词】 LAMP 技术原理病毒检测 【中图分类号】R319 【文献标识码】A 【文章编号】2095-1752(2012)31-0064-02 病原微生物带来的卫生问题时常出现,各种检测手段也不断更新。但由于非特异性扩增、反应操作程序复杂、及仪器昂贵等问题,很多方法在疾病爆发时筛查现场和监测站点的应用受到限制。 LAMP技术是由日本学者Notomi等[1]在2000年开发的一种新型快速的扩增技术,它能在一定温度范围内,通过一个步骤在短时间内对目的片段进行大量有效扩增。其具有高特异性、高效性、快速、低成本、易检测、结果易观察等特点,被广泛用于各种病原体检测和研究中并取得了一定的成就。 1 LAMP技术原理 1.1 扩增机制 LAMP技术利用能够特异性识别靶序列上的6个独立区域的两对内、外引物,及具有链置换活性的BstDNA聚合酶启动循环链置换反应来进行靶序列的扩增[1]。反应中,先由外部引物将内部引物扩增所需要的模板扩增出来,然后由内部引物对靶基因片段进行引导合成。由于内部引物所扩增出的片段含有与该引物5’端DNA片段的反相互补序列,因此这些反相互补序列之间形成茎-环结构,同时,另外一条内部引物与也可形成茎-环结构,片段的两端形成哑铃状结构,如此循环往复的过程最后形成花椰菜形状的茎-环结构,可在15min-60min之内实现109-1010倍的括增[2]。 1.2 结果观察 扩增后可以通过琼脂糖电泳后染色进行观察,更可通过扩增衍生物焦磷酸镁进行观察:阳性的样本会出现白色浑浊沉淀,而阴性则无此现象。同时也可以应用SYBR Green I染色,呈现绿色的为阳性,橙色的为阴性[2]。 2 病毒检测 2.1 日本脑炎病毒 日本脑炎又称乙脑,是由日本脑炎病毒(Japanese encephalitis virus)引起的一种常见的蚊媒传染病。JEV的检测方式很多,如血清学,病毒分离等,但耗时繁琐、敏感性特异性都较低。TORINIWA等[3]利用LAMP技术原理建立了快速Real-time RT-LAMP方法,该方法通过扩增JEV病毒的包膜(E)蛋白基因来定量检测JEV病毒,可将检测用时缩短至1h,检测下限为1PFU并与常规RT-PCR具有相似的敏感性。且不需特殊设备、操作方便,有利于推广其在基层的应用。 2.2 西尼罗河病毒 西尼罗河病毒(West Nile Virus,WNV)是引起西尼罗河热的病原体,近年来在世界部分地区的流行并造成了重大的损失。PARIDA 等[4]创立了一种一步法来检测WNV,通过凝胶电泳或者浊度仪来对扩增结果进行判定。结果显示其敏感性比常规RT-PCR高10倍。 2.3 甲型流感病毒 甲型流感病毒(AIV)具有高度传染性,致病性,以及致死率。对甲流病毒的检测方法主要为病毒分离,抗原和抗体检测以及PCR方法,但是过程费时繁琐。POON等[5]设计了特异性引物,利用LAMP技术成功的检测了H1-H3型的AIV,与PCR方法比较阳性符合率为100%,敏感度可达传统方法的100倍。LAMP技术由于其检测的简便快速且高度敏感,可更多的用于现场检测。 2.4 禽流感病毒的检测 禽流感是由禽类A型流感病毒引起的一种急性、高接触性的传染病,可带来重大损失。禽流感检测方法有各类血清学试验以及免疫学实验等。这些方法都存在着如试验周期较长,操作繁琐,检测材料受限制等不足。国内李启明等[8]对H5N1亚型禽流感病毒进行了RT-LAMP检测,验证和分析后证明其特异性与常规方法一致,并且其灵敏度可达到10个拷贝。侯佳蕾等[6]根据H5亚型禽流感病毒血凝素基因序列设计了引物,并建立了一种针对性的检测诊断方法。结果表明,该方法的灵敏度高于一步RT-PCR法。 2.5 口蹄疫病毒的检测 口蹄疫是由口蹄疫病毒(FMDV)引起的一种急性,热性,高度接触性传染病,主要侵害偶蹄兽并给经济带来极大威胁。血清学检测不足以确定整群动物是否带毒而PCR方法由于需要专门的仪器。吴绍强等[7]以灭活的亚洲I型口蹄疫细胞培养病毒为材料,设计引物并建立了口蹄疫病毒RT-LAMP检测法,为口蹄疫现场快速检测提供了有效的方法。 2.6 丙型肝炎病毒(HCV)的检测 HCV是一种常见的病毒,传播途径为母婴传播和血液传播。目前最常用的方法是ELLSA法检测抗原抗体或PCR法。但是由病毒的抗原量极少,所以常规免疫学方法常无法检测出病毒。PCR方法操作复杂繁琐,特异性较低。李启明等[8]利用LAMP技术的原理,利用特殊引物进行了LAMP扩增,成功的检测HCV基因,实验结果阳性符合率高达98%。这一成果证实了LAMP技术的优势。 2.7 严重急性呼吸窘迫综合征冠状病毒(SARS-CoV)的检测 SARS带来的阴影提醒人们对此类病毒检测的重要性。目前临床上对其检测的方法主要有2种。一是检测SARS-CoV抗体,虽然此法灵敏度较高,但在发病初期不能检出。二是Real-time PCR,这种方法可在发病早期检测出SARS-CoV,但是其需要熟练操作技术以及高成本仪器,不适于常规筛查。POON等[9]利用改良LAMP法对人群的鼻咽分泌物样本进行了检测。结果显示SARS病人中的SARS-CoV检出率为
计算机病毒如何检测 计算机老是出现一些故障,很多人会怀疑是不是中毒了,但又不会检测,该怎么办呢?下面由学习啦小编 给你做出详细的计算机病毒检测方法介绍!希望对你有 帮助! 计算机病毒检测方法一提早发现病毒对计算机的防护是很重要的。早发现,早处置,可以减少损失。现在介绍几种检测病毒的方法,虽然方法不尽相同,但各具所长。特征代码法、校验和法、行为监测法、软件模拟法病毒特征代码检测法 特征代码检测是目前较为普遍的病毒检测方法,是通过检测工具(反病毒软件)置入已知病毒特征代码来 检测病毒,但对从未见过的新病毒,却无法检测。在技术上需要不断更新程序版本,升级病毒特征代码。 文件校验和法 将计算出系统正常文件内容的校验和进行保存。并定期检查文件的校验和与原来保存的校验和是否一致,从而发现文件是否感染病毒,这种方法叫文件校验和法。 它既可发现已知病毒又可发现未知病毒,能观测文
件的细微变化。但是这种方法常常误报警,原因是病毒感染并非文件内容改变的惟一的非他性,还有可能是正常程序引起的。文件校验和法不是最好的方法,它会影响文件的运行速度。不能识别病毒名称、不能对付隐蔽型病毒。 行为特征监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒长期观察,研究、识别出病毒行为共同性和特殊性。当系统运行时,监视其行为,如果有病毒行为,会立即发出警报。行为特征监测法可以发现未知病毒、能相当准确地预报未知的多数病毒。但可能导致误报、不能识别病毒名称。 软件模拟法 由此演绎为虚拟机上进行的查毒,启发式查毒技术等,是相对成熟的技术。 计算机病毒检测方法二 1.程序或文件是否修改注册表启动项; 2.是否将自身或文件写入系统目录; 3.是否访问外链,开放端口。 4.直接看文件就提示这可能是病毒,可能是360原
马铃薯是我国重要的粮食作物和经济作物,马铃薯在定西市种植也有200多年的历史,在保障全市粮食有效供给和繁荣城乡经济中发挥了十分重要的作用,已由过去的“救命粮”变成了现在的“致富薯”,是定西最具生产潜力、市场优势和开发前景的特色农产品,也是农业增效、农民增收的第一大优势产业。近年来,定西市委、市政府对马铃薯产业高度重视,作为全市农业和农村经济发展的战略性主导产业来扶持,制定了“全市马铃薯产业发展规划”,省上也制定下发了“关于进一步加快发展马铃薯产业的意见”,提出了工作思路和具体目标,促进了本市马铃薯产业的快速发展。2013年全市种植面积达到319.84万亩,总产量506万t,是全国三大马铃薯集中产区之一。但是由于定西经济条件落后,全市的马铃薯种薯的病毒检测并未随着种植面积的扩大而提高和普及,以至于马铃薯各种病每年在生长期发生,严重影响了全市马铃薯的产量和质量。马铃薯病毒已成为马铃薯生产中的重要制约因素,急需大力提高马铃薯种薯的病毒检测,为马铃薯产业的持续快速发展把好第一增长关。 马铃薯病毒检测包括:基础试管苗、马铃薯原原种、大田种薯的检测。严格的检测大大提高了种薯合格率,而种植合格的种薯,每亩可以提高产量500kg 以上。马铃薯的病毒有6种,分别是马铃薯X病毒(PVX)、马铃薯Y病毒(PVY)、马铃薯S病毒(PVS)、马铃薯A病毒(PVA)、马铃薯M病毒(PVM)、马铃薯卷叶病毒(PLRV)。目前最常用的马铃薯病毒检测是用双抗体夹心酶免疫吸附测定法(DAS-ELISA)检测,是用于快速、灵敏、准确的血清学技术,是国际通用的检测方法之一。下面就本市引进的“马铃薯病毒DAS-ELISA检测”全套生产技术进行浅述。 1马铃薯病毒的概况 1.1马铃薯X病毒(PVX) 也称普通花叶病毒,是一种长520~550nm的线状病毒,有时在电镜下能看到病毒颗粒的中心孔。在病毒外壳由亚基形成时,可看到它的横纹,这一点是与马铃薯重花叶病毒在形态结构上的主要区别。一般减产5%~10%,症状是叶片从轻型花叶到叶片有较轻的皱缩。马铃薯X病毒靠汁液传播,也是传播最广泛的一种病毒。 1.2马铃薯Y病毒(PVY) 也称重花叶病毒,是马铃薯第二个重要病毒性病害,是一种长680~900nm的线状病毒,在电镜下找不到它的中心孔和外壳蛋白亚基的横纹,它比PVX更细一些、更长一些。通过感染的块茎长期存在并由蚜虫非持续性地传播,产量损失可达80%。症状随着病毒株系、马铃薯品种及环境条件变化很大。1.3马铃薯A病毒(PVA) 又称轻花叶病毒,在许多方面类似于马铃薯Y病毒。在某些品种中出现时,一般比马铃薯Y病毒轻,产量损失可达40%。马铃薯A病毒引起花叶(有时很严重),同时也发生脉缩和卷曲,叶片可能出现闪光。 1.4马铃薯S病毒(PVS) 也称潜隐性花叶病毒,感病块茎变小,一般减产 浅析马铃薯病毒检测技术 景彩艳 (甘肃省定西市农产品质量安全监督管理站定西743000) 摘要:随着科学技术的不断发展,马铃薯病毒检测技术在日益的完善,DAS-ELISA法已经成为马 铃薯病毒检测的常规方法。容易侵染马铃薯的病毒类型主要有6种,分别是马铃薯的PVX、PVY、PLRV、PVS、PVM、PVA病毒。马铃薯在生长的过程中,因受到各种不同病害的侵染,容易造成减产 和退化。血清学技术是马铃薯病毒检测的主要手段。 关键词:马铃薯病毒;血清学技术;双抗体夹心酶联免疫吸附法 215 --