【大学课件】信息安全技术----系讲16.doc

酉第十六讲: 计算机病毒及防止世界上到底有多少种计算机病毒，恐怕谁也不知道。下面介绍几类主要的病毒。A: 引导扇区病毒引导扇区是硬盘或软盘的第一个扇区。此扇区对于操作系统的装载起着十分重要的作用。软盘只有一个引导区。一旦软盘被格式化，引导区就已存在。引导区的作用是查找盘上有无IO.SYS和DOS.SYS命令。若有此命令，则可以引导；若无此命令，则显示“NO SYSTEM DISK”等信息。硬盘有两个引导区。其中0面0道1扇区称为主引导区，其内有主引导程序和分区表。主引导程序查找激活分区，该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。一般来说，引导扇区先于其他程序获得对CPU的控制，通过把自己放入引导扇区，病毒就可以立刻控制整个系统。病毒代码代替了原始的引导扇区信息，并把原始的引导扇区信息移到磁盘的其它扇区。当DOS需要访问引导数据信息时，病毒会引导DOS到贮存引导信息的新扇区，从而使DOS无法发觉信息被挪到了新的地方。 另外，病毒的一部分仍驻留在内存中。当新的磁盘插入时，病毒就会把自己写到新的磁盘上。当这个盘被用于另一台机器时，病毒就会以同样的方法传染到那台计算机引导扇区上。引导型病毒具有以下特点：隐蔽性强（一个高水平引导型病毒程序很难被发现）、兼容性强（几乎可以通用于DOS、WINDOWS和WIN95 等操作系统）、传染速度相对较慢（只有当带毒软盘启动时，才能传染到硬盘）、杀毒容易（只需改写引导区即可，如: fdisk/mbr ，kv200/k）。许多杀毒软件（比如：KV200、KV300等）都能查出所有引导型病毒。现在纯引导型病毒已很少了。比较著名的引导型病毒有：Pakistani Brain（巴基斯坦大脑）。这是一种最为流行的引导扇区病毒，它首先把原始的引导信息移动到磁盘的其它部分，然后将自己拷贝到引导扇区和磁盘其他的空闲部分。这种病毒可以破坏硬盘分区和文件定位数，使用户无法访问文件。此种病毒知道如何保护自己，它有许多办法逃避检测。Stoned（石头）。这是另一种广泛传播的引导扇区病毒，它会破坏目录和文件分配表。ExeBug。它是一种引导型、分体式 Stealth 型病毒。病毒自身存放于硬盘 MBR 和软盘 boot 扇区。此病毒在 EXE 文件头只存放一个引导部分。运行被感染的文件将会删除硬盘的某些扇区。这种病毒依靠引导来传播、依靠被感染的文件来实施破坏。这是一种恶性病毒。 Monkey。这仍然是一种引导型病毒。一旦硬盘被它感染，硬盘的分区表将会被移到第0轨第2磁区的位置并加以编码，而原放置分区表的磁区就被病毒的程式头占据。所以，如果用一个没毒的软盘开机，就会发现硬盘不见了。如果改用硬盘开机，则硬盘又重新出现了。B: 文件型病毒文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中，并等待程序运行。病毒会驻留在内存中，企图感染其它文件，并破坏系统。当病毒已经完成了工作后，其宿主程序才被运行，使系统看起来一切正常。和引导扇区病毒不同，文件型病毒把自己附着或追加在*.EXE和*这样的可执行文件上。根据附着类型不同，可将文件型病毒分为三类：覆盖型、前/后附加型和伴随型。覆盖型病毒。它简单地把自己覆盖到原始文件代码上。显然这会完全摧毁该文件，所以这种病毒比较容易被发现。当用户运行该文件时，病毒代码就会得到运行，而原始文件则不能正常运行。现在有些新型的覆盖型病毒可以盖写那些不影响宿主程序运行的部分代码，所以，人们也就不容易发现这种病毒。覆盖型病毒不改变文件长度，使原始文件看起来正常。但是，尽管这样，杀毒程序还是可以检测到这种病毒代码的存在。前/后附加型病毒。前附加型病毒把自己附加在文件的开始部分，后附加型正好相反。此类病毒会增加文件的长度。伴随型文件病毒。它为*.EXE文件创建一个相应的含有病毒代码的*文件。当有人运行*.EXE文件时，控制权就会转到*文件上，病毒代码便得以运行。伴随型病毒执行完后，控制权又会转回到*.EXE文件，这样用户不会发现任何问题。下面简要介绍两种文件型病毒：Lehigh病毒。这是一种广泛传播的文件型病毒，它将自己附加在and命令上，可以删除硬盘的一部分，导致硬盘失效。982病毒。这是一种能够删除CMOS RAM信息，使磁盘不能访问的文件型病毒。C: 宏病毒宏病毒是一种广泛流传的病毒，它在一定的条件下（如，每月13号）爆发，并且可以感染Word中的模板文件。比较典型的宏病毒是台湾号和号。当被它们感染的文档被打开后，就会给出一道数学题，要求用户回答。如果用户的答案错了，将会有十余个文档窗口被打开。然后，它又给出一道题，如果再算错了，将又会有十余个文档窗口被打开。如此继续下去，直到消耗完计算机上的系统资源为止。一般来说，宏病毒是这样传播的：宏病毒传播发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,并由此进一步感染随后打开和存贮的所有Doc文档。当Word打开一个*.doc文件时，首先检查里面有没有模板/宏代码,如果有则认为此文件不是普通的*.doc文件，而是一个模板文件, 并执行里面的auto类的宏。 已感染宏病毒的*.doc在被打开后，通过Auto宏或菜单、快捷键和工具栏里的特洛伊木马程序来激活，随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统的“永久”控制权。夺权后，当系统有文档存储动作时，病毒就把自身复制入此文档并储存成一个后缀为.doc的模板文件。 由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播。而Word在存储模板文件时,不能选择保存类型,只能存为文档模板，因此，可以很容易地判断出一个文件是否为一个模板文件。如果是一个以*.doc为后缀的模板文件，那么可以肯定的说，这是一个被染毒的文件，或者是一个宏病毒遗体。 D: 病毒实例除了引导型病毒和文件病毒之外，还有许多其它类型的病毒。比如，混合型病毒就是一类既能感染引导区，又能感染文件的病毒。混合型病毒并非文件型病毒和引导型病毒的简单叠加。其中有一个转换过程，这是最关键的。一般采取的方法是：文件中的病毒发作时将病毒写入引导区。染毒硬盘启动时，用引导型病毒的方法驻留内存。为了使读者对计算机病毒有更深刻的印像，下面介绍一些著名的病毒例子：Worm（蠕虫）。蠕虫不但具有普通病毒的破坏性，而且，还可以在英特网上旅行并破坏计算机。蠕虫可以旅行到一个计算机上，然后生成许多的自身拷贝，消耗大量的计算机时间，甚至使整个崩溃。Bomb（炸弹）。炸弹与普通病毒的共性是可以造成危害。但不同的是其触发方式不是依靠某种日期或时间而是依靠“编程触发方式”。这种触发方式决定程序何时开始爆发。一旦程序被触发了，炸弹就可以对系统进行许多不同形式的破坏。此种病毒经常被不满的雇员用来惩罚他们的老板或同事，也常被用来勒索钱财。特洛伊木马。这种程序看上去并无害，它可以假扮成计算机游戏、压缩工具、甚至防病毒软件，但实际上却起着破坏作用。这种破坏性程序一般隐蔽得很好，使用户无法觉察已受到了严重的破坏。特洛伊木马与普通病毒并不完全一样，它不能自行传播，而必须依靠宿主以其他假象出现，冒充一个正常的程序。活门。也称为后门。通常由系统设计人员设置在软件中用于进行测试或监控程序。活门一旦被非法入侵者利用，其后果将十分严重。愚弄。这是一种用来欺骗用户，使其在系统上做某些事情的程序。例如，它可能会给用户一种无意中从系统中退出的假象，并且显示一个登录