计算机病毒的防治1

系统安全——计算机病毒防治1主讲：刘亚琦《办公自动化》12.1计算机病毒的定义随着计算机在社会各个领域的广泛运用，计算机病毒攻击与防治技术也在不断拓展。世界各地遭受计算机病毒感染和攻击的事件不计其数，严重地干扰了人类的生产生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，战争双方都曾利用计算机病毒发起攻击，破坏对方的计算机网络和系统，达到了一定的政治目的与军事目的。计算机病毒：指编制或在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。12.2计算机病毒的发展电脑病毒的概念其实源起相当早，电脑的先驱者冯•诺伊曼在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。1960年代初，美国麻省理工学院的一些青年研究人员，在做完工作后，利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序，然后输入到计算机中运行，并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。“病毒”一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序；另一部是约翰·布鲁勒尔（JohnBrunner）1975年的小说《震荡波骑士（ShakewaveRider）》，描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。《科学美国人》的月刊中，一位叫作杜特尼的专栏作家在讨论”磁芯大战”与苹果二型电脑时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个”病毒”的名字可以称呼了。到了1987年，第一个电脑病毒C-BRAIN终于诞生了。这个病毒程序是由一对巴基斯坦兄弟：巴斯特和阿姆捷特所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。1.第一代病毒第一代病毒的产生年代通常认为在1986至1989年之间,这一期间出现的病毒称之为传统病毒,是计算机病毒的萌芽和滋生时期｡此时计算机的应用软件少，而且大多是单机运行环境,因此病毒没有大量流行，流行病毒的种类也很有限,病毒的清除工作相对来说较容易｡2.第二代病毒第二代病毒又称为混合型病毒,其产生的年代在1989至1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段｡第二代病毒有如下特点：(1)病毒攻击的目标趋于混合型,即一种病毒既可感染磁盘引导扇区,又可感染可执行文件｡(2)病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和感染目标｡(3)病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被感染文件原来的建立日期和时间等等｡(4)病毒程序往往采取了自我保护措施,如加密技术､反跟踪技术,制造各种障碍,增加人们剖析病毒的难度,也增加了病毒的发现与杀除难度｡(5)出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大｡3.第三代病毒第三代病毒的产生是从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒｡所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,侵入宿主程序中的病毒程序大部分都是可变的,即在收集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点｡正是由于这一特点,传统的利用特征码法检测病毒的产品很难检测出此类病毒｡4.第四代病毒20世纪90年代中后期,随着因特网､远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传播至局域网内,再在局域网内传播扩散｡随着因特网的普及,电子邮件的使用,以及Office系列办公软件被广泛应用,夹杂于电子邮件内的Office宏病毒成为当时病毒的主流｡由于宏病毒编写简单､破坏性强和清除繁杂,加上微软对文档结构没有公开,给直接基于文档结构的宏病毒清除带来了诸多不便｡

这一时期的病毒的最大特点是利用Internet作为其主要传播途径,传播对象从传统的引导型和依附于可执行程序文件而转向流通性更强的文档文件中｡因而,病毒传播快,隐蔽性强､破坏性大｡这些都给病毒防治带来新的挑战｡根据多年对计算机病毒的研究，计算机病毒按照存储介质、破坏力等方法可分类如下：1、根据病毒存在的媒体根据病毒存在的媒体，病毒可以划分为：网络病毒通过计算机网络传播感染网络中的可执行文件文件病毒感染计算机中的用户文件（如：COM，EXE，DOC等）引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。2、根据病毒破坏的能力根据病毒破坏的能力可划分为以下几种：无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。12.3计算机病毒的分类这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。3、根据病毒特有的算法

根据病毒特有的算法，病毒可以划分为：伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM.病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒：除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按算法分为：练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒：它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒（又称幽灵病毒）：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。计算机受到病毒感染后，会表现出不同的症状，下边把一些经常碰到的现象列出来，但需要注意的是当前越来越多的计算机病毒是以窃取用户金融资料和隐私等为主要目的，往往在外部表现上并不明显。单纯破坏性的病毒集中在通过优盘等移动存储设备传播。 机器不能正常启动加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。 运行速度降低如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由病毒造成的。 磁盘空间迅速变小由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。 文件内容和长度有所改变一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也