4计算机病毒原理与防护.doc

课 时 2课时第4周 第 1-2 课时 2009 年 2 月 20 日课题：计算机病毒原理与防护一、教学目的：1、掌握计算机病毒的概念与基本原理；2、了解计算机病毒的表现形式；3、掌握计算机病毒的检测与防护措施。二、教学重点：计算机病毒的概念与基本原理。三、教学难点：计算机病毒的概念与基本原理。四、教学方法：以投影仪辅助讲解为主五、教学用具： 黑板、多媒体计算机、投影仪、CAI课件六、教学过程：1 计算机病毒简介 (1) 定义：根据国务院1994年2月18日正式颁布的中华人民共和国计算机信息系统安全保护条例，计算机病毒(Computer Virus)指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。(2)计算机病毒的历史1949年，计算机之父冯诺依曼在复杂自动机组织论中便定义了计算机病毒的概念即一种能够实际复制自身的自动机。 1960年，美国的约翰康维在编写生命游戏程序时，首次实现了程序的自我复制技术。1983年美国计算机安全专家考因在实验室中编写出第一个计算机病毒，从此，病毒就成为所有计算机用户的一个梦魇，也是当前信息网络安全最主要的威胁。1985年，专栏作家杜特尼（A.K.Dewdney）在科学美国人的月刊中在讨论磁芯大战时，首次把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个病毒的名字可以称呼了。1987年，一对巴基斯坦兄弟巴斯特（Basit）和阿姆捷特（Amjad）为了防止他们的软件被任意盗拷编写了历史上第一个电脑病毒C-BRAIN，只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。同期还出现了大麻、IBM圣诞树、黑色星期五等形形色色的计算机病毒，开启了一个广阔的市场杀毒软件。1988年11月2月。美国康乃尔大学23岁的研究生罗特莫里斯制作了一个蠕虫病毒，并将其投放到美国Internet网络上，致使计算机网络中的6000多台计算机受到感染，许多联网计算机被迫停机，直接经济损失达9600万美元，显现了病毒惊人的传播速度和破坏力。1989年出现可执行文件型病毒,利用DOS系统的执行机制工作,代表为耶路撒冷和星期天病毒,病毒代码在系统启动时截取控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中。1989年初，我国大连统计局的计算机上首次发现小球计算机病毒（大麻病毒）。到11月，我国约有1/10以上的计算机系统被计算机病毒光顾。公安部11局成立了金辰安全技术实业公司，强制销售杀毒软件Kill。1991年发现首例网络计算机病毒GPI，它突破了NOVELL公司的Netware网络安全机制。同年，在海湾战争中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统。1992年，多态性计算机病毒蜂拥而起，出现了针对杀毒软件的幽灵计算机病毒One-Half。还有一种实现机理与以往的文件型计算机病毒有明显区别的DIR2计算机病毒，该计算机病毒的传染速度、传播范围及其隐蔽性堪称所有计算机病毒之首。1996年以来，出现针对微软公司Office的Word宏（Macro）计算机病毒技术诞生并迅速发展。宏病毒主要感染WORD、EXCEL等文件。1996年9月开始在国内出现，并成为逐渐流行的计算机病毒。1998年，出现针对Windows95/98系统的计算机病毒CIH，是继DOS计算机病毒、Windows计算机病毒、宏病毒后的第四类新型计算机病毒。8月份从台湾传入国内，共有三个版本1.2/1.3/1.4，发作时间分别是4月26日/6月26日/每月26日。这是第一个直接攻击、破坏硬件的计算机病毒，破坏程度是迄今为止最严重的。它发作时破坏计算机Flash BIOS芯片中的系统程序，可导致技嘉、微星等部分厂商的主板损坏，硬盘上所有数据（包括分区表）被破坏，必须重新 FDISK 方才有可能挽救硬盘。同年4月，瑞星科技股份有限公司成立（其前身为1991年成立的北京瑞星电脑科技开发部），9月，瑞星杀毒软件(9.0)成功上市，成为全国截杀CIH病毒最有效的工具。 2000年的5月4日，一种通过国际INTERNET互连网络的电子邮件功能传播的爱虫计算机病毒迅速在世界各地蔓延，更大规模的发作，造成全世界空前的计算机系统破坏。前菲律宾AMA电脑学校学生奥尼尔德古斯曼承认他有可能无意之中传播了这种病毒，但拒绝承认这种病毒是他制造的。菲律宾司法部因罪证不足驳回了他的所有指控。2001年3月27日美丽杀手病毒大爆发，美国等发达国家损失惨重，大批网络瘫痪，受影响的计算机超过百万台，是继十年前莫利斯病毒后，给美国造成的第二次大面积计算机灾难。4月26日，CIH病毒在我国大爆发，受损计算机超过几十万台，硬件损坏、数据丢失，用户损失惨重。2005年1月10日，我国首例“网络僵尸”案成功告破，犯罪嫌疑人徐某被警方依法逮捕，犯罪嫌疑人对自己利用约6万台僵尸网络攻击北京某音乐网站的犯罪事实供认不讳。2006年12月，熊猫烧香作者李俊通过QQ与王磊联系，由王磊出资1600元租用南昌锋讯网络科技有限公司的服务器架设李俊的网站上，中了“熊猫烧香”病毒的计算机，可以自动访问李俊的网站。在两个多月时间里，数百万电脑被病毒破坏，李俊在网络上将该病毒销售给120余人，非法获利10余万元。李俊、王磊、张顺、雷磊4人，因涉嫌破坏计算机信息系统罪被移送仙桃市法院起诉。国际计算机安全协会的统计分析表明，计算机病毒正以每年超过50的速度增长。我国最大的防病毒厂商瑞星公司的报告显示，2004年上半年瑞星截获各种新型病毒11835个，2005年同期为26927个，而2006年同期则达到了119402个，相当于过去几年截获病毒数量的总和。2 计算机感染病毒的基本特征 传染性 ：计算机病毒的主要特征和判定依据。非授权可执行性：计算机病毒隐藏在合法的程序或数据中，伺机窃取系统的控制权。寄生性 ：计算机病毒一般不是以单独的程序文件形式存在，而是寄附在其他文件上。隐蔽性 ：病毒程序一般都编得很小、很巧妙，而且依附在一些常用的程序文件上或自动复制到磁盘中较隐蔽的地方。触发性 ：计算机病毒一般都有一个或几个触发条件，感染病毒的计算机只有在满足触发条件时，病毒程序才会发作。破坏性 ：计算机病毒轻者则占用系统资源，降低了计算机的工作效率，重则破坏和删除计算机中的信息数据，甚至毁坏计算机的硬件设备。3 计算机病毒的分类 (1)根据病毒存在的媒体，病毒可以划分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播并感染网络中的可执行文件；文件病毒感染计算机中的文件；引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（）。(2)根据入侵方式分为源码病毒、外壳病毒、嵌入型病毒和操作系统病毒。源码病毒在编程阶段被编入程序的源代码，与程序一起编译成可执行程序；外壳病毒附加在可执行程序的头部或尾部，在程序执行时伺机截取系统的控制权；嵌入型病毒针对性较强，它主要是攻击特定的程序，用它自身的病毒代码取代某个入侵程序的整个或部分模块；操作系统病毒用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能。 (3) 根据病毒的破坏能力分为无害型、无危险型、危险型和非常危险型。(4) 根据病毒特征算法分为伴随型病毒、蠕虫型病毒和寄生型病毒。 伴随型病毒不改变EXE文件本身，而是产生EXE文件的伴随体，具有与EXE文件同样的名字和不同的扩展名（COM）。 蠕虫型病毒通过计算机网络传播，一般除了内存不占用其它资源。寄生型病毒：除了伴随型和蠕虫型病毒之外的其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播。 (5) 根据病毒的传染方式分为引导型病毒、文件型病毒、宏病毒和电子邮件病毒。引导型病毒引导型病毒主要感染磁盘的BOOT区，一旦使用被感染的磁盘时它们就会抢先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。文件型病毒一般只传染磁盘上的可执行文件，在用户调用染毒的可执行文件时，计算机病毒抢先运行，驻留内存后伺机传染其他文件。宏病毒依赖于Office套装软件传播，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在我国流行甚广，已成为计算机病毒的主流。电子邮件病毒专指通过电子邮件这种特殊方式传播的计算机病毒，是一种特殊形式的文件型病毒。4 计算机病毒的表现现象 (1)计算机病毒发作前的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。以下是一些计算机病毒发作前常见的表现现象：平时运行正常的计算机突然经常性无缘无故地死机；操作系统无法正常启动；运行速度明显变慢；以前能正常运行的软件经常发生内存不足的错误；打印和通讯发生异常；没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘或要求打开写保护；以前能正常运行的应用程序经常发生死机或者非法错误；系统文件的时间、日期、大小发生变化；运行Word，打开Word文档后，该文件另存时只能以模板方式保存；磁盘空间迅速减少； 网络驱动器卷或共享目录无法调用；基本内存发生变化； 陌生人发来的电子函件。(2)计算机病毒发作时的表现现象 提示一些不相干的信息；播放一段的音乐； 显示特定的图象；硬盘灯不断闪烁；运行莫名其妙的软件； Windows桌面图标发生变化；计算机突然死机或重启；自动发送电子函件；鼠标自己在动。参考一：QQ尾巴病毒发作 参考二：爱虫病毒发作（If you receive this message reamber forever: A precious friend in all the world like only you! So think that!） 参考三：蠕虫病毒发作 (3)计算机病毒发作后的表现现象大多数计算机病毒都属于恶性病毒，以下列举一些恶性计算机病毒发作所造成的后果： 硬盘无法启动，原先保存在硬盘上的数据几乎完全丢失。 系统文件丢失或被破坏。文件目录发生混乱。 部分文件丢失或被破坏。 部分文档自动加密码。 Autoexec.bat文件被修改。使部分可软件升级主板的BIOS程序混乱，使系统主板报废。 网络瘫痪，无法提供正常的服务。5 计算机病毒的检测 (1)特征码搜索通过对受感染文件的分析，总结出病毒的特征码（特殊指令字符串）并保存在病毒代码库中，以此作为病毒的判定依据。这是现今杀毒软件用得最多也最广的杀毒检测方式。(2)校验和比对根据正常文件的信息（文件名、大小、日期、时间及内容等）计算校验和并保存，定期或每次使用文件前，检查根据文件现有信息算出的校验和与原来保存的校验和是否一致，判定文件是否已被感染。校验和法既能发现已知病毒又能发现未知病毒，但是不能识别病毒种类，对隐蔽性的病毒无效，且误报率较高，影响文件的运行速度。(3)行为检测（人工智能陷阱）通过对病毒进行观察和研究，总结出病毒所特有的共同行为，监视正常程序的运行行为，如果发现病毒的特征行为，向用户报警或阻塞可疑程序。常见病毒的行为特征主要有：盗用截留系统中断、修改内存总量和内存控制块、对可执行文件执行写入操作、修改引导扇区、执行格式化磁盘操作、与宿主程序切换、搜索API函数地址等。(4)启发式（先知）扫描在特征码检测技术的基础上，首先通过对病毒代码的分析，获得一些可疑操作指令的静态统计信息；然后按照安全和可疑的等级进行排序，并根据统计信息对各种可疑操作代码授以不同的权值；最后将可疑操作代码加权值的和与预定义的阀值进行比较作出存在病毒的预警或判断。(5)虚拟机技术（软件仿真扫描）虚拟机是一种软件仿真器或软件分析器，通过软件虚拟化、硬件虚拟化，让程序在一个虚拟/仿真环境中试运行。在杀毒软件中使用的虚拟机严格来说不能称为虚拟机，称为虚拟CPU或者通用解密器更合适。它首先从文件中确定并读取病毒入口代码，然后解释执行病毒头部的解密段，最后在执行完的机构中查找病毒的特征码。虚拟机技术是动态特征码扫描技术的关键，在与多态病毒进行对抗中发挥了巨大的作用。5 查杀计算机病毒 (1) 手工查杀病毒手工查杀病毒需要较高的计算机知识和病毒知识，必须有专家指导才能进行（杀毒软件的官方网站或信誉比较高的技术网站）。(2) 下载并安装免费杀毒软件（不要使用在线杀毒功能） 免费杀毒工具金山毒霸2006免费下载(3) 购买并安装正版杀毒软件 2006年杀毒软件测评 2007年杀毒软件测评(4) 养成随时关注最新病毒通报的习惯 瑞星病毒监测通报 金山毒霸监测通报6计算机病毒的防范 (1)严格遵守各单位制定的计算机病毒防治管理制度； (2)使用单位统一安装的杀毒软件； (3)及时升级杀毒软件、操作系统和各种应用软件补丁；(4)关闭电脑上不用的端口；(5)确保共享资源不带病毒；(6)禁止在计算机上使用来路不明的光盘；(7)不在可疑电脑上使用自己的U盘，不在自己的电脑上使用可疑的U盘； (8)不打开来历不明的邮件及附件；(9)不下载或安装来历不明的软件；(10)将浏览器的安全级别设为中级以上；(11)不浏览黄色网站，不打开可疑的网页；(12)不用网络就关闭网络连接，不用电脑就关闭电脑； (13)经常、及时做好重要信息的备份工作； (14)发现电脑感染病毒后应采取的措施：马上断开网络连接（拔掉网线也可