第7章 计算机病毒及防范

第七章第七章计算机病毒及防范计算机病毒及防范小到个人，大到全世界，凡是在使用计算机的人无一不在受 计算机 病毒的困扰。对于那些侥幸未受病毒骚扰的人，也不能麻痹大意。对于计算机病毒，最好还是能防患于未然！为了能更好地做好防范工作，我们必须了解它的工作原理、传播途径、表现形式，同时必须掌握它的检测、预防和清除方法。 7-1计算机病毒基础知识 7-1-1 计算机病毒的定义 在条例第二十八条中明确指出： “ 计 算机病毒，是指 编 制或者在 计 算机程序中插入的破坏 计 算机功能或者 毁 坏数据、影响 计 算机使用，并能自我复制的一 组计 算机指令或者程序代 码 ” 。此定 义 具有法律性、 权 威性。 7-1-2 计算机病毒的历史 1949年，距离第一部商用计算机的出现还有好几年时，计算机的先驱者冯 诺依曼在他的一篇论文复杂自动机组织论，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来 。十年之后，在美国电话电报公司 (AT&T)的贝尔实验室中，三个年轻程序员道格拉斯 麦耀莱、维特 维索斯基和罗伯 莫里斯在工作之余想出一种电子游戏叫做 “ 磁芯大战 ” ，而它成了计算机病毒的祖先。 7-1-2 计算机病毒的历史（续）1977年夏天，托马斯 捷 瑞安的科幻小说 P-1的青春中，作者幻想了世界上第一个计算机病毒，可以从一台计算机传染到另一台计算机，最终控制了 7000台计算机，酿成了一场灾难，这是计算机病毒的思想基础。1983年 11月 3日，弗雷德 科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，伦 艾德勒曼将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出， 8小时后专家们在 VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5个实验的演示，从而在实验上验证了计算机病毒的存在。 7-1-2 计算机病毒的历史（续）1987年 10月，在美国，世界上第一例计算机病毒（ Brian） 发现，这是一种系统引导型病毒。它以强劲的执着蔓延开来。世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。1988年 11月 3日，美国康乃尔大学 23岁的研究生罗伯特 莫里斯将计算机病毒蠕虫投放到网络中，结果使美国 6千台计算机被病毒感染，造成 Internet不能正常运行。 这是一次非常典型计算机病毒入侵计算机网络的事件，引起了世界范围的轰动。 7-1-2 计算机病毒的历史（续）1991年，在 “ 海湾战争 ” 中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统，使之瘫痪，保证了战斗顺利进行，直至最后胜利。1998年，首例破坏计算机硬件的 CIH病毒出现，引起人们的恐慌。 1999年 4月 26日， CIH病毒在我国大规模爆发，造成巨大损失。 7-1-3 计算机病毒的结构 计 算机病毒的种 类虽 多，但 对 病毒代 码进行分析、比 较 可看出，它 们 的主要 结 构是类 似的，有其共同特点。整个病毒代 码虽短小但也包含三部分：引 导 部分， 传 染部分，表 现 部分。7-1-4 计算机病毒的特征 在计算机病毒所具有的众多特征中，传染性、潜伏性、触发性和破坏性是它的基本特征。其次，它还有隐蔽性、衍生性和持久性等。网 络时代，计算机病毒的新特点： 主动通过网络和邮件系统传播 传播速度极快 危害性极大 变种多 难于控制 难于根治、容易引起多次疫情 具有病毒、蠕虫和后门（黑客）程序的功能 7-2 计算机病毒的工作原理 7-2-1 计算机病毒的工作过程 计算机病毒的完整工作过程一般应包括以下几个环节：1传染源2传染媒介3病毒触发（激活）4病毒表现5传染7-2-2 计算机病毒的引导机制1. 计算机病毒的寄生对象 2. 计算机病毒的寄生方式 3. 计算机病毒的引导过程 计算机病毒的引导过程一般包括以下三方面。 驻留内存(2) 窃取系统控制权(3) 恢复系统功能7-2-3 计算机病毒的触发机制 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染、不发作或只传染不发作，这个条件就是计算机病毒的触发条件。实际上病毒采用的触发条件花样繁多，目前病毒采用的触发条件主要有以下几种。 日期触 发 2. 时间 触 发 3. 键盘 触 发 4. 感染触 发 5. 启 动 触 发 6. 访问 磁 盘 次数触 发 7. 调 用中断功能触 发 7-2-4 计算机病毒破坏行为 根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下： 攻击系统数据区 攻击文件 攻击内存 干扰系统运行 运行速度下降 攻击磁盘 攻击 CMOS 7-2-5 计算机病毒的传播 计算机病毒传播的一般过程在系统运行时，计算机病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。而病毒利用系统 INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中，再感染其他系统。 7-2-5 计算机病毒的传播 （续）2. 计算机病毒的传播途径 移动存储设备（包括软盘、磁带等） 网络和电子邮件 通信系统和通道 7-2-6 计算机病毒与故障、黑客软件的区别 1. 计算机病毒与计算机故障的区别 计 算机病毒表 现现 象 计算机在感染病毒后，总是有一定规律地出现异常现象： 屏幕显示异常，屏幕显示出不是由正常程序产生的画面或字符串，屏幕显示混乱。 程序装入时间增长，文件运行速度下降。 丢失数据或程序，文件字节数发生变化。 内存空间、磁盘空间减小。 异常死机。 系统引导时间增长，磁盘访问时间比平时增长7-2-6 计算机病毒与故障、黑客软件的区别（续）(2) 与病毒现象类似的硬件故障硬件的故障范围不太广泛，但是很容易被确认。在处理计算机的异常现象时很容易被忽略，只有先排除硬件故障，才是解决问题的根本。 电源电压不稳定 插件接触不良 软驱 故障 7-2-6 计算机病毒与故障、黑客软件的区别（续）(3) 与病毒 现 象 类 似的 软 件故障 出现 “ Invalid； drive；specification”(非法驱动器号 ) 引 导过 程故障 7-2-6 计算机病毒与故障、黑客软件的区别（续）计算机病毒与黑客软件的区别计算机病毒与黑客软件都有隐藏性、潜伏性、可触发性、破坏性和持久性等基本特点。它们的不同之处在于：病毒是寄生在其他的文件中，可以自我复制，可以感染其他文件，其目的是破坏文件或系统。而黑客软件，它不能寄生，不可复制和感染文件，其目的是盗取密码和远程监控系统 。7-3 计算机病毒的分类 按照寄生方式和传染途径分类计算机病毒按其寄生方式大致可分为两类：一是引导型病毒，二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。 7-3 计算机病毒的分类 （续）2按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。（ 1）单机病毒（ 2）网络病毒7-4 计算机病毒的发展趋势随着因特网的普及和广泛应用，计算机病毒在传播形式、病毒制作技术和病毒的形式方面有了根本的改变。在此通过对近年来计算机病毒的疫情特点分析，将计算机病毒的发展趋势归纳如下：1高频度2传播速度快，危害面广3病毒制作技术新4. 病毒形式多 样 化 5病毒生成工具 7-5 计算机病毒的检测、防范和清除 7-5-1计算机病毒的检测如何能够及早地发现新病毒呢？用户可做以下简单判断：首先应注意内存情况； 其次 应 注意常用的可 执 行文件（如 ） 的字 节 数 。检测 病毒方法有：特征代 码 法、校 验 和法、行 为监测 法、 软 件模 拟 法， 这 些方法依据的原理不同， 实现时 所需开 销 不同， 检测 范 围 不同，各有所 长 。 7-5-2 计算机病毒的防范 防范是对付计算机病毒的积极而又有效的措施，比等待计算机病毒出现之后再去扫描和清除能更有效地保护计算机系统。要做好计算机病毒的防范工作，首先是防范体系和制度的建立。其次，利用反病毒软件及时发现计算机病毒侵入，对它进行监视、跟踪等操作，并采取有效的手段阻止它的传播和破坏。 7-5-2 计算机病毒的防范（续）反病毒软件常用以下几种反病毒技术来对病毒进行预防和彻底杀除： 实时监视技术 全平台反病毒技 术 7-5-.3 计算机病毒的清除及常用反病毒软件 计算机病毒的清除： 文件型病毒清除(2) 引导型病毒的清除 (3) 内存解毒常用的反病毒软件：KV3000瑞星杀毒软件 2003版 Norton Antivirus 2003 7-6计算机染毒以后的危害修复措施 对病毒造成的危害进行修复，不论是手工修复还是用专用工具修复，都是危险操作，有可能不仅修不好，反而彻底破坏。因此，为了修复病毒危害，用户应采取以下措施：重要数据必须备