第6章 典型计算机病毒的原理、防范和清除(1)课件

西安工业大学计算机病毒原理与攻防任课教师：乔奎贤E-mail： 西安工业大学第 6章 典型计算机病毒的原理、防范和清除6.1 计算机病毒防范和清除的基本原则和技术6.2 引导区病毒6.3 文件型病毒6.4 文件和引导复合病毒6.5 脚本病毒6.6 宏病毒6.7 特洛伊木马病毒6.8 蠕虫病毒6.9 黑客型病毒6.10 后门病毒6.11 32位 OS病毒6.12 压缩文件病毒6.13 安全建议西安工业大学6.1 计算机病毒防范和清除的基本原则和技术西安工业大学6.1.1 计算机病毒防范的概念和原则计算机病毒防范：指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒传播和破坏，恢复受影响的计算机系统和数据。防治计算机病毒应以预防为主。预防计算机病毒是主动的，主要表现在监测行为的动态性和防范方法的广谱性。防毒是从计算机病毒的寄生对象、内存驻留方式、传染途径等病毒相关环节入手进行动态监测和防范，一方面防止外界病毒向机内传染，另一方面抑制现有病毒向外传染。防毒是以病毒的机理为基础。 4西安工业大学6.1.1 计算机病毒防范的概念和原则防毒的重点： 控制计算机病毒的传染防毒的关键： 对计算机病毒进行判断防毒的难点： 如何快速、准确、有效地识别计算机病毒行为防毒对于不按现有病毒机理设计的新计算机病毒是无能为力的消毒是被动的，只能对现有计算机病毒进行剖析、选取特征串，才能设计相应的杀毒软件，对于未知病毒或特征串稍作修改的病毒就难于处理一方面，发现计算机病毒时，可能该计算机病毒已经流行起来或者已经造成破坏；另一方面，就是管理上的问题，许多人并不是警钟长鸣，也不可能随时随地去执行杀毒软件 计算机病毒的防治： 主动预防为主，被动处理结合5西安工业大学6.1.2 计算机病毒预防基本技术计算机病毒的预防技术：通过一定的技术手段防止病毒对系统进行传染和破坏，实际是一种特征判定技术，也可能是一种行为规则的判定技术计算机病毒的预防技术主要包括：u磁盘引导区保护u加密可执行程序u读写控制技术u系统监控技术等计算机病毒的预防包括：u对已知病毒的预防u对未知病毒的预防6西安工业大学6.1.2 计算机病毒预防基本技术目前在预防计算机病毒工具中采用的主要的技术：u将大量的消毒 /杀毒软件汇集一体u监测一些病毒经常要改变的系统信息如引导区、中断向量表、可用内存空间等u监测写盘操作对引导区 BR或主引导区 MBR的写操作报警u对文件形成一个密码校验和实现对程序完整性的验证7西安工业大学6.1.2 计算机病毒预防基本技术目前在预防计算机病毒工具中采用的主要的技术：u智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区分正常程序与病毒程序行为，是否误报警取决于知识库选取的合理性u智能监察型：设计病毒特征库（静态）、病毒行为知识库（动态）、受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机制。通过调整推理机制能够对付新类型病毒，误报和漏报较少8西安工业大学6.1.3 清除计算机病毒的一般性原则 清除计算机病毒：u去除计算机病毒程序，或使病毒程序不能运行；u尽可能恢复病毒破坏的系统或文件，将损失减少到最低程度9西安工业大学6.1.3 清除计算机病毒的一般性原则 清除病毒遵循一定的原则：病毒清除最好在无毒环境中进行在启动系统的系统盘和杀毒软件盘上加写保护在清除病毒前要确认系统或文件确实存在病毒，且准确判断出病毒的种类，以保证杀毒的有效性，另外要对染毒文件或系统进行备份杀毒工作要深入而全面尽量不要使用激活病毒的方法检测病毒一般不能用病毒标识符免疫方法清除病毒一定要干净彻底地清除计算机及磁盘上所有的同一病毒对于同一宿主程序被几个病毒交叉感染或重复感染的，要按感染的逆顺序从后向前依次清除病毒10西安工业大学6.1.4 清除计算机病毒的一般方法简单工具治疗指使用 Debug等简单工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除病毒代码专用工具治疗专用计算机病毒治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的病毒代码，使之得以恢复11西安工业大学6.1.5 治疗计算机病毒的一般过程1剖析计算机病毒样本对计算机病毒所做的剖析比为检测计算机病毒而做的剖析更为细致和精确。因为，检测计算机病毒只要把握计算机病毒的特征，能够识别计算机病毒即可，对感染计算机病毒的软件不做任何改动 2研制计算机病毒实验样本l修改计算机病毒的感染条件，使之放宽或变成无条件l修改计算机病毒表现动作的触发条件，使之放宽或者变成无条件恶作剧者大多是那些对计算机知识和技术均有兴趣的人，并且特别热衷那些别人认为是不可能做成的事情 12西安工业大学6.1.5 治疗计算机病毒的一般过程3摘除计算机病毒代码治疗计算机病毒要求对操作系统、文件结构和计算机病毒的具体特征等有足够了解，才能恰当地从染毒程序中摘除计算机病毒代码，使之恢复正常引导性计算机病毒剖析引导性计算机病毒时应注意的问题：u病毒占用 BOOT区还是主引导扇区？还是两者都占用？u病毒是否占用其它扇区？占用了多少扇区？原 BOOT区或引导扇区保存在何处？病毒其余代码保存在何处？病毒在文件分配表中是否标记了坏簇？13西安工业大学6.1.5 治疗计算机病毒的一般过程引导性计算机病毒治疗引导性计算机病毒时的主要处理：u在病毒程序中寻找原 BOOT区或主引导扇区代码存放的地址u将原 BOOT区或主引导扇区代码读入内存u将这些代码写回磁盘的 BOOT区或主引导扇区u若病毒在文件分配表中标记了坏簇，应将这些坏簇改为好簇，使这些磁盘空间可供 OS分配使用14西安工业大学6.1.5 治疗计算机病毒的一般过程文件型计算机病毒剖析文件型计算机病毒时应注意的问题：u病毒感染文件的类型（ .COM/.EXE）u病毒代码装入的部位u病毒代码的长度u病毒是否修改、移动和加密了宿主程序的部分代码 15西安工业大学6.1.5 治疗计算机病毒的一般过程文件型计算机病毒工具治疗 .COM型病毒的过程：u将染毒文件读入内存u找出计算机病毒代码与宿主程序的分界线u将宿主程序中被计算机病毒修改过的代码复原，将修复后的宿主程序写回磁盘16西安工业大学6.1.5 治疗计算机病毒的一般过程文件型计算机病毒工具治疗 .EXE型病毒的过程：u将染毒文件读入内存u找出计算机病毒代码与宿主程序的分界线。u计算如果将计算机病毒代码摘除，加载程序后的起始运行地址、程序长度等。根据计算结果修改文件头部的相应参数u将计算机病毒修改过的原宿主代码复原u设置恰当的文件长度和地址参数，并将宿主程序写回磁盘17西安工业大学6.1.6 计算机病毒预防技术预防计算机病毒软件：针对大量计算机病毒的共性进行科学的抽象和概括，可使计算机病毒预防工具的研制突破采集计算机病毒的局限简单的预防方法：用户养成良好的使用计算机的习惯软件备份软件试验和生产过程的控制18西安工业大学6.1.7 计算机病毒免疫技术一般情况下，计算机病毒的传染条件是检测被攻击对象是否存在传染标识。针对某一种计算机病毒进行的计算机病毒免疫l对于不设有感染标识的计算机病毒不能达到免疫的目的l当出现这种计算机病毒的变种不再使用这个免疫标志时，或出现新计算机病毒时，免疫标志发挥不了作用l某些计算机病毒的免疫标志不容易仿制，如非要加上这种标志不可则需对原来的文件要做大的改动19西安工业大学6.1.7 计算机病毒免疫技术针对某一种计算机病毒进行的计算机病毒免疫l由于计算机病毒的种类较多，又由于技术上的原因，不可能对一个对象加上各种计算机病毒的免疫标识，这就使得该对象不能对所有的计算机病毒具有免疫作用l这种方法能阻止传染，却不能阻止计算机病毒的破坏行为，仍然放任计算机病毒驻留在内存中 20西安工业大学6.1.7 计算机病毒免疫技术基于自我完整性检查的计算机病毒的免疫方法原理： 为执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。免疫外壳： 免疫外壳占 1KB3KB，执行程序时，免疫外壳首先得到运行，检查自身程序大小、校验和、生成日期和时间等情况。若无异常，再转去执行受保护的程序，否则发出警告，并提供自毁、重启、自我恢复和继续操作等处理操作21西安工业大学6.1.7 计算机病毒免疫技术基于自我完整性检查的计算机病毒的免疫方法l每个受到保护文件都要增加 1KB 3KB，需要额外的存储空间l现在使用中的一些校验码算法不能满足防计算机病毒的需要，这样被某些种类的计算机病毒感染的文件不能被检查出来l无法对付覆盖方式的文件型计算机病毒l有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行l当某些尚不能被计算机病毒检测软件检查出来的计算机病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个计算机病毒就像穿了 “保护盔甲 ”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散 22西安工业大学6.1.8 漏洞扫描技术漏洞扫描器：漏洞扫描器是审核和评价主机安全性的一个重要工具，能够主动发现主机系统的漏洞，及时修补漏洞一种自动检测远程或本地主机安全性弱点的程序，能从主机系统内部检测系统配置的缺陷，模拟系统管理员进行系统内部审核的全过程，发现能被黑客利用的种种误配置。对于内部漏洞扫描，漏洞扫描器通过以 Root身份登录目标主机，记录系统配置的各项主要参数，将之与安全配置标准库进行比较和匹配，从而分析配置的漏洞23西安工业大学6.1.8 漏洞扫描技术漏洞扫描是系统管理员日常工作之一，应制定科学的扫描周期制订扫描周期表的原则：u与系统配置修改挂钩，当配置修改完毕后即执行漏洞扫描u与漏洞库扫描器软件升级挂钩，当升级完毕后即执行漏洞扫描u与漏洞修补工作挂钩，当修补工作完毕即执行漏洞扫描u漏洞扫描工作是主机系统安全的初期工作，是发现漏洞的过程。若发现漏洞而不修补，漏洞扫描就毫无意义24西安工业大学6.1.8 漏洞扫描技术漏洞扫描是系统管理员日常工作之一，应制定科学的扫描周期漏洞修补措施的原则：u完成漏洞报告分析，主要分清漏洞产生的原因：系统管理员误配置、系统和软件自身的缺陷、黑客行为u对于系统管理员误配置，应及时参考有关手册，得出正确的配置方案并对误配置进行更正u对于系统和软件自身缺陷，应向开发商寻求升级或有关补丁u对于黑客行为，关键要明确其留下的木马或后门的原理和位置，并及时清除25西安工业大学6.1.8 漏洞扫描技术漏洞扫描是系统管理员日常工作之一，应制定科学的扫描周期漏洞库和系统配置标准规则的升级来源：u从开发商处获取升级信息u直接从 等安全网站下载漏洞信息u系统管理员根据自己的工作经验，自己编制漏洞库以进行升级26西安工业大学6.1.9 实时反病毒技术实时化反病毒概念的雏形：20世纪 80年代，将重要的 DOS引导文件和重要系统文件固化到计算机的 BIOS中，以避免被计算机病毒感染防计算机病毒卡：安装在系统主板上，实时监控系统的运行，对疑似计算机病毒的行为及时提出警告实时反计算机病毒技术：能够始终作用于计算机系统之中，监控访问系统资源的一切操作，并能对其中可能含有的计算机病毒代码进行清除27西安工业大学6.1.9 实时反病毒技术计算机病毒防火墙：对系统实施实时监控，对流入、流出系统的数据中可能含有的计算机病毒代码进行过滤计算机病毒防火墙的优越性：u对计算机病毒的过滤有良好的实时性。即病毒一旦入侵系统或从系统向其它资源感染时，会自动将其检测到并加以清除u能有效地组织病毒从网络向本地计算机系统的入侵u其 “双向过滤 ”功能保证了本地系统不会向远程（网络）资源传播计算机病毒u具有操作更简便、透明的优点28西安工业大学6.1.10 防范计算机病毒的特殊方法计算机病毒的检测的决定因素：取决于计算机病毒的藏身方式和作用特征计算机病毒的藏身方式：根据具体计算机病毒的实例分析，可知动态计算机病毒在内存中主要的藏身方式：内存最高端和内存最低端若内存小于 640KB，则说明系统可能已被病毒感染。藏身于内存用户最低端的病毒必然是文件型计算机病毒，一般可通过观察一个可知性文件运行后长度