计算机病毒与恶意代码防范技术
一,计算机病毒概述
- 计算机病毒是一段可执行的程序代码,它们附着在各种类型的文件上,随着文件从一个用户复制给另一个用户时,从而蔓延传播。
1,计算机病毒定义
- 我国法律对病毒的定义:
- 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
- 学术上对病毒的定义:
- 计算机病毒是一种能传染其他程序的程序,病毒是靠修改其他程序,并把自身的复制嵌入到其他程序而实现的。即:
- 计算机病毒是一个程序。
- 计算机病毒具有传染性,可以传染其他程序。
- 计算机病毒的传染方式是修改其他程序,把自身复制嵌入到其他程序中而实现的。
- 计算机病毒是一种能传染其他程序的程序,病毒是靠修改其他程序,并把自身的复制嵌入到其他程序而实现的。即:
- 病毒是通过磁盘,磁带和网络等作为媒介传播扩散且能“传染”其他程序的程序。
- 病毒能够实现自身复制且借助一定的载体存在,具有潜伏性,传染性和破坏性。
2,计算机病毒特征
- 计算机病毒一般具有以下特征:
- 非授权可执行性。
- 隐蔽性。
- 传染性。
- 潜伏性。
- 破坏性。
- 可触发性。
3,计算机病毒的危害
- 计算机病毒一般具有如下危害:
- 直接破坏计算机数据信息。
- 占用磁盘空间和对信息的破坏。
- 抢占系统资源。
- 影响计算机运行速度。
- 计算机病毒错误与不可预见的危害。
- 计算机病毒的兼容性对系统运行的影响。
- 给用户造成严重的心理压力。
二,计算机病毒工作原理和分类
1,计算机病毒的工作原理
1,计算机病毒的结构
- 计算机病毒与生物病毒一样,不能独立存活,而是通过寄生在其他合法程序上进行传播的。而感染有病毒的程序即称为病毒的寄生体(或宿主程序)。
1,病毒的逻辑结构
- 引导模块
- 一般病毒都是由引导模块从系统获取控制权,引导病毒的其他部分工作。
- 传染模块
- 传染模块负责计算机病毒的扩散传染任务,它是判断一个程序是否是病毒的首要条件,是各种病毒必不可少的模块。各种病毒传染模块大同小异,区别主要在于传染条件。
- 发作模块
- 发作模块主要完成病毒的表现和破坏,该模块也称为表现或破坏模块。
2,病毒的磁盘存储结构
- 不同类型的病毒,在磁盘上的存储结构是不同的。
1,磁盘空间结构
- 经过格式化后的磁盘应包括:主引导记录区(硬盘),引导记录区,文件分配表(FAT),目录区和数据区。
- 主引导记录区和引导记录区存放DOS系统启动时所用的信息。
- FAT是反映当前磁盘扇区使用状况的表。每张DOS盘含有两个完全相同的FAT表,即FAT1和FAT2,FAT2是一张备份表,FAT与目录一起对磁盘数据区进行管理。
- 目录区存放磁盘上现有的文件目录及其大小,存放时间等信息。
- 数据区存储和文件名对应的文件内容数据。
2,系统型病毒的磁盘存储结构
- 系统型病毒是值专门传染操作系统启动扇区的病毒,一般传染硬盘主引导扇区和磁盘DOS引导扇区。它的存储结构是:病毒的一部分存放在磁盘的引导扇区种,而另一部分则存放在磁盘其他扇区中。
3,文件型病毒的磁盘存储结构
- 文件型病毒是指专门感染系统中可执行文件,即扩展名为COM,EXE的文件。对于文件型的病毒,其程序依附在被感染文件的首部,尾部,中部或空闲部位,病毒程序并没有独立占用磁盘上的空白族。病毒程序所占用的磁盘空间依赖于其宿主程序所占用的磁盘空间,但是,病毒入侵后一定会使宿主程序占用的磁盘空间增加。绝大多数文件型病毒都属于外壳型病毒。
3,病毒的内存驻留结构
- 计算机病毒一般驻留在常规内存中,但随着病毒技术的发展,病毒同样也可以驻留在高端内存区,甚至是扩展或扩充内存区。
1,系统型病毒的内存驻留结构
- 系统型病毒是在系统启动时被装入的,此时,系统中断INT 21H还未设定,病毒程序要使自身驻留内存,不能采用系统功能调用的方法。为此,病毒程序将自身移动到适当的内存高度,采用修改内存向量描述字的方法,将0000:0413处的内存容量描述字减少适当的长度,使得存放在内存高端的病毒程序不会被其他程序所覆盖。
2,文件型病毒的内存驻留结构
- 病毒程序是在运行其宿主程序时被装入内存的,此时系统中断调用功能已设定,所以病毒程序一般将自身指令代码与宿主程序进行分离,并将病毒程序移动到内存高端或当前用户程序区最低内存地址,然后调用系统功能调用,将病毒程序常驻于内存。
- 文件型病毒按其驻留内存方式可分为以下几种:
- 高端驻留型:病毒通过申请一个与病原体大小相同的内存块来获得内存控制块链最后一个区域头,并通过减少一个区域头的分配块数来减少内存容量,而使病毒驻留高端可用区。
- 常规驻留型:病毒采用DOS功能调用中的常驻退出的调用方式,将病毒驻留在需要分配给宿主程序的空间中。
- 内存控制链驻留型:将病毒驻留在系统分配给宿主程序的位置,并为宿主程序重建一个内存块,通过修改内存控制块链,使得宿主程序结束后只收回宿主程序的内存空间,从而达到病毒驻留内存的目的。
- 设备程序补丁驻留型:将病毒作为补丁驻留到设备驱动程序区,并获得优先执行权。
- 不驻留内存型:是一种立即传染的病毒,每执行一个带病毒的程序,就主动在当前路径中搜索,查找到满足要求的可执行文件即进行传染。该类病毒不修改中断向量,不改动系统的任何状态,因而很难区分当前运行的程序是病毒还是正常的程序。
2,计算机病毒的作用机制
- 计算机病毒从结构上分为三大模块,每个模块各有其自己的工作原理,称为作用机制。计算机病毒的作用机制分别称为引导机制,传染机制和破坏机制。
1,中断与计算机病毒
-
中断是CPU处理外部突发事件的一个重要技术。能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理,处理完成后又立即返回断电,继续进行CPU原来的工作。中断类型可划分为:
-
CPU处理中断,规定了中断的优先权,由高到低为:
- 除法错。
- 不可屏蔽中断。
- 可屏蔽中断。
- 单步中断。
-
由于操作系统的开放性,用户可以修改扩充操作系统,使计算机实现新的功能。修改操作系统的主要方式之一就是扩充中断功能。
-
中断可以被用户程序所修改,从而使得中断服务程序被用户指定的程序所替代。病毒正是通过修改中断以使该中断指向病毒自身来进行发作和传染的。
2,计算机病毒的传染机制
- 传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程。传染性是计算机病毒的主要特征。
- 计算机病毒的主要传染方式:
- 病毒程序利用操作系统的引导机制或加载机制进入内存;当激素那几系统用一个已感染病毒的磁盘启动或者运行一个感染了病毒的文件时,病毒就进入内存。
- 从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实现的。位于内存中的病毒时刻监视着系统的每一个操作,只要当前的操作满足病毒所要求的传染条件,如读写一个没有感染过该种病毒的磁盘,或者执行一个没有感染过的程序文件,病毒程序就立即把自身复制或变异加到被攻击的目标上去,完成病毒的传染过程。
3,计算机病毒的破坏机制
- 通过修改某一中断向量入口地址,使该中断向量指向病毒程序的破坏模块。这样当系统或被加载的程序访问该中断向量时,病毒破坏模块被激活,在判断设定条件满足的情况下,对系统或磁盘上的文件进行破坏活动。
2,计算机病毒的分类
1,按照病毒攻击的系统分类
- 攻击DOS系统的病毒。
- 攻击Windows系统的病毒。
- 攻击UNIX系统的病毒。
- 攻击OS/2系统的病毒。
2,按照病毒的攻击机型分类
- 攻击微型计算机的病毒。
- 攻击小型机的计算机病毒。
- 攻击工作站的计算机病毒。
3,按照病毒的链接方式分类
- 源码型病毒
- 源码型病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到源程序中,经编译成为合法程序的一部分。
- 嵌入型病毒
- 将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。
- 外壳型病毒
- 将其自身包围在主程序的四周,对原来的程序不进行修改。
- 操作系统型病毒
- 把自己的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。
4,按照病毒的破坏情况分类
- 良性计算机病毒
- 良性计算机病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台计算机,并不破坏计算机内的数据。
- 恶性计算机病毒
- 恶行计算机病毒就是指其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。
5,按照病毒的寄生方式分类
- 引导型病毒
- 是指寄生在磁盘引导区或主引导区的计算机病毒。主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方
- 文件型病毒
- 是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。
- 复合型病毒
- 是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。
6,按照病毒的传播媒介分类
- 单机病毒
- 单机病毒的载体是磁盘。
- 网络病毒
- 传播媒介为网络。
三,计算机病毒的检测与防范
1,计算机病毒的检测
1,异常情况判断
- 屏幕显示出现异常。
- 扬声器发出与正常操作无关的声音。
- 磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作。
- 硬盘不能引导系统。
- 磁盘上的文件或程序丢失。
- 磁盘读/写文件明显变慢,访问的时间加长。
- 系统引导变慢或出现问题,有的出现“写保护错”提示。
- 系统经常死机或出现异常的重启动现象。
- 原来运行的程序突然不能运行,总是出现出错提示。
- 链接的打印机不能正常启动。
2,检测的主要依据
- 检查磁盘主引导扇区
- 引导病毒主要攻击磁盘上的引导扇区。硬盘存放主引导记录的主引导扇区一般位于0柱面0磁道1扇区。
- 当发现系统有异常现象时,特别是当发现与系统引导信息有关的异常现象时,可通过检查主引导扇区的内容来诊断故障。
- 检查FAT表
- 病毒隐藏在磁盘上,一般要对存放的位置做出“坏簇”信息标志反映在FAT表中。
- 检查中断向量
- 主要是检查系统的中断向量表,其备份文件一般为INT.DAT。病毒最常攻击的中断有:磁盘输入/输出中断(13H),绝对读,写中断(25H,26H),时钟中断(08H)等。
- 检查可执行文件
- 检查COM或EXE可执行文件的内容,长度,属性等,可判断是否感染了病毒。检查可执行文件的重点是在这些程序的头部即前面20字节左右。因为病毒主要改变文件的起始部分。
- 检查内存空间
- 病毒占用的内存空间一般是用户不能覆盖的。因此,可通过检查内存的大小和内存中的数据来判断是否有病毒。
- 通常采用一些简单的工具软件,如PCTOOLS,DEBUG等进行检查。
- 虽然内存空间很大,但有些重要数据存放在固定的地点,可首先检查这些地方,如DOS系统启动后,BIOS,变量,设备驱动程序等是放在内存中固定区域内(0:4000H~0:4FF0H)。
- 检查特征串
- 一些经常出现的病毒,具有明显的特征,既有特殊的字符串。根据它们的特征,可通过工具软件检查,搜索,以确定病毒的存在和种类。
- 缺点:只能检查和发现已知的病毒。
3,计算机病毒的检测手段
1,特征代码法
- 实现步骤
- 采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
- 在病毒样本中,抽取特征代码。依据的原则是:
- 抽取的代码比较特殊,不大可能与普通正常程序代码吻合。
- 抽取的代码要有适当的长度,一方面维持特征代码的唯一性,另一方面又不要有太长的空间和时间的开销。
- 在既感染COM文件,又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。
- 打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中含有何种病毒。
- 优缺点:
- 速度慢。
- 误报警率低。
- 不能检查多形性病毒。
- 不能对付隐蔽性病毒。
2,校验和法
- 实现步骤
- 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法称为校验和法,既可发现已知病毒,又可发现未知病毒。
- 校验和法查病毒的三种方式
- 在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
- 在应用程序中,放入检验和法自我检查功能,将我呢见正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值,实现应用程序的自检测。
- 将检验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
- 优缺点:
- 方法简单能发现未知病毒,被查文件的细微变化也能发现。
- 会误报警,不能识别病毒名称,不能对付隐蔽型病毒。
3,行为监测法
- 利用病毒的特有行为特征来监测病毒的方法,称为行为检测法。
- 行为特征:
- 占有INT 13H。
- 改DOS系统内存总量。
- 对COM,EXE文件进行写入动作。
- 病毒程序与宿主程序的切换。
- 优缺点:
- 可发现未知病毒,可相当准确地预报未知的多数病毒。
- 可能误报警,不能识别病毒名称,实现时有一定难度。
4,软件模拟法
- 使用特征代码法检测病毒,如果发现隐蔽病毒或多态性病毒嫌疑时,启动软件模拟模块,监视病毒的运行,待病毒自身的密码译码以后,再运用特征代码法来识别病毒的种类。
2,计算机病毒的防范
1,严格的管理
- 制定相应的管理制度,避免蓄意制造,传播病毒的事件发生。
2,有效的技术
- 将大量的消毒/杀毒软件汇集一体,检查是否存在已知病毒,如在开机时或在执行每个可执行文件前执行扫描程序。
- 检测一些病毒经常要改变的系统信息,如引导区,中断向量表,可用内存空间等,以确定是否存在病毒行为。
- 监测写盘操作,对引导区或主引导区的写操作报警。
- 对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。
- 智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区分正常程序与病毒程序行为,是否误报警取决于知识库选取的合理性。
- 智能监察型:设计病毒特征库,病毒行为知识库,受保护程序存取行为知识库等多个知识库及相应的可变推理机。
3,宏病毒的防范
-
所谓宏就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来地一种工具。利用简单地语法,把常用地动作编写成宏,当再工作时,就可以直接利用事先写好地宏自动运行,完成某项特定地任务,而不必再重复相同地动作。
-
处理宏病毒的反病毒软件主要分为两类:
- 常规反病毒扫描器
- 基于Word或者Excel宏的专门处理宏病毒的反病毒软件。
4,电子邮件病毒的防范
- 思想上高度重视,不要轻易打开来信中地附件文件。
- 不断完善“网关”如那件及病毒防火墙软件,加强对整个网络入口点地防范。
- 使用优秀地防病毒软件同时保护客户机和服务器。
- 使用特定的SMTP杀毒软件
- SMTP杀毒软件具有独特的功能,能在那些从因特网上下载的受感染邮件到达本地邮件服务器之前拦截它们,从而保持本地网络处于无毒状态。
3,计算机病毒的发展方向和趋势
1,计算机病毒的新特性
- 利用微软漏洞主动传播
- 局域网内快速传播
- 以多种方式传播
- 大量消耗系统与网络资源
- 双程序结构
- 运行后分成两部分,一个负责远程传播,一个负责本地传播。
- 用即时工具传播病毒
- 病毒与黑客技术的融合
- 应用软件漏洞成为网页挂马的新宠
2,计算机病毒发展的趋势及对策
- 趋势
- 变形病毒成为下一代病毒首要的特点。
- 与Internet和Intranet更加紧密地结合。
- 具有混合型特征,集文件传染,蠕虫,木马,黑客程序地特点于一身。
- 因为其扩散极快,不再追求隐藏性,而更加注重欺骗性。
- 利用系统和应用程序漏洞将成为病毒有力地传播方式。
- 对策
- 全面地与互联网结合。
- 快速反映地病毒检测网。
- 完善地在线升级服务。
- 对病毒经常攻击地应用程序提供重点保护。
- 提供完善,即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地让用户了解到新病毒的特点和解决方案。
四,恶意代码
- 恶意代码是一种程序,通常在人们没有察觉的情况下把代码寄宿到另一段程序中,从而达到破坏被感染计算机的数据,运行具有入侵性或破坏性的程序,破坏被感染系统数据的安全性和完整性的目的。
1,恶意代码的特征与分类
1,恶意代码的特征
- 恶意的目的
- 本身是程序
- 通过执行发生作用
2,恶意代码的分类
1,木马
- 木马程序表面上没有任何异常,但实际上却隐含着恶意企图。一些木马程序会通过覆盖系统文件的方式潜伏于系统中,还有一些木马以正常软件的形式出现。
- 木马类的恶意代码通常不容易被发现,主要是因为它们通常以正常应用程序的身份在系统中运行。
2,网络蠕虫
- 是一种可以自我复制的完全独立的程序,其传播过程不需要借助于被感染主机中的其他程序。
- 网络蠕虫通常是利用系统中的安全漏洞和设置缺陷进行自动传播,因此可以以非常快的速度传播。
3,移动代码
- 是能够从主机传输到客户端计算机上并执行的代码,通常是作为病毒,蠕虫,木马等的一部分被传送到目标计算机。
- 移动代码可以利用系统的安全漏洞进入入侵,如窃取系统账户密码或非法访问系统资源等。
4,复合型病毒
- 恶意代码通过多种方式传播就形成了复合型病毒。
2,恶意代码的关键技术
- 主要关键技术有生存技术,攻击技术和隐藏技术。
1,生存技术
- 主要包括4个方面:
- 反跟踪技术
- 反跟踪技术可以使恶意代码提高自身的伪装能力和防破译能力,增加其被检测与清除的难度。常见的反跟踪技术有两类:反动态跟踪技术和反静态跟踪技术。
- 反动态跟踪技术主要包括四大类:
- 禁止跟踪中断。
- 封锁键盘输入和屏幕显示,破坏各类跟踪调试软件的运行环境。
- 检测跟踪。
- 其他反跟踪技术。
- 反静态跟踪技术主要包括两大类:
- 对程序代码分块加密执行。
- 伪指令法。
- 反动态跟踪技术主要包括四大类:
- 反跟踪技术可以使恶意代码提高自身的伪装能力和防破译能力,增加其被检测与清除的难度。常见的反跟踪技术有两类:反动态跟踪技术和反静态跟踪技术。
- 加密技术
- 加密技术是恶意代码自我保护的一种有效手段,通过与反跟踪技术相配合,可以使分析者无法正常调试和阅读恶意代码,不能掌握恶意代码的工作原理,也无法抽取恶意代码的特征串。从加密内容划分,加密手段分为信息加密****,数据加密和程序代码加密三种。
- 模糊变换技术
- 同一种恶意代码具有多个不同的样本,几乎没有稳定的代码,从而使得采用基于特征的检测工具难以识别它们。目前模糊变换技术主要包括:
- 指令替换法
- 指令压缩法
- 指令扩展法
- 伪指令技术
- 重编译技术
- 同一种恶意代码具有多个不同的样本,几乎没有稳定的代码,从而使得采用基于特征的检测工具难以识别它们。目前模糊变换技术主要包括:
- 自动生产技术
- 主要包括计算机病毒生成器技术和多态性发生器技术。多态性发生器可以使恶意程序代码本身发生变化,并保持原有功能。
- 反跟踪技术
2,攻击技术
1,进程注入技术
- 当前操作系统中都提供有系统服务和网络服务,它们都在系统启动的时候自动加载。进程注入技术就是以上述服务程序的可执行代码作为载体,将恶意代码程序自身嵌入到其中,实现自身隐藏和启动的目的。
2,三线程技术
- 一个恶意代码进程同时开启三个线程,其中一个是主线程,负责具体的恶意功能,另外两个线程分别是监视线程和守护线程。
- 监视线程负责检查恶意代码的状态,守护线程注入其他可执行文件内,与恶意代码进程同步,一旦恶意代码线程被停止,守护线程会重新启动该线程,从而保证恶意代码执行的持续性。
3,端口复用技术
- 指重复利用系统已打开的服务端口传送数据,从而可以躲避防火墙对端口的过滤。端口服用一般不影响原有服务的正常工作,具有很强的隐蔽型。
4,对抗检测技术
- 采用的技术手段主要有:终止反恶意代码软件的运行,绕过反恶意代码软件的检测等。
5,端口反向连接技术
- 通常情况下,防火墙对进入内部网络的网络数据包具有严格的过滤策略,但对从内部发起的网络数据包疏于管理。端口反向连接技术就是利用防火墙的这种特性从被控制端主动发起向控制端的连接。
6,缓冲区溢出攻击技术
- 缓冲区溢出攻击主要是向存在溢出漏洞的服务程序发生精心构造的攻击代码,是获取远程目标主机管理权限的主要手段,是恶意代码进行主动传播的主要途径。
3,隐藏技术
1,本地隐藏技术
- 本地隐藏是指为了防止本地系统管理人员察觉而采取的隐蔽手段。
- 本地隐蔽的技术手段可以分为三类:
- 第一类是将恶意代码隐藏于合法程序中。
- 第二类是修改或替换某些系统管理命令或其依赖的系统调用。
- 第三类是分析管理命令的执行机制和弱点,然后利用发现的弱点避过管理命令的检查,可以达到不修改管理命令而实现隐藏的目的。
2,通信隐藏
- 使用加密算法对传输的内容进行加密能隐蔽通信内容。
- 对传输信道的隐蔽主要采用隐蔽通道技术。
- 在TCP/IP协议中,有许多冗余信息可以用来建立隐蔽信道。攻击者可以利用这些隐蔽信道绕过网络安全机制秘密地传输数据。
- 常见的网络通信隐蔽技术有http tunnel和icmp tunnel等。http tunnel是一种将网络通信内容用http协议进行二次封装的通信技术,可以有效穿透防火墙,躲避入侵检测系统检测。icmp tunnel则是一种将网络通信内容用icmp协议进行封装,模拟成常规的网络管理报文,也可以躲避入侵检测系统的检测。
3,网络蠕虫
1,网络蠕虫的定义
- 网络蠕虫是一种智能化,自动化,综合网络攻击,密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码。
- 网络蠕虫具有主动攻击,行踪隐藏,利用漏洞,造成网络拥塞,降低系统性能,产生安全隐患,反复性和破坏性等特征,网络蠕虫无须计算机用户干预即可自主运行,通过不断地获得网络中存在特定漏洞的计算机上的控制权限来进行传播。
2,网络蠕虫的功能模型
- 功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程,而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。
