病毒防护技术

1、病毒防护技术大纲v概述v病毒原理v病毒技术v反病毒技术v病毒攻防发展概述v计算机病毒的定义v计算机病毒的特征v计算机病毒的历史v计算机病毒的分类名称由来v由生物医学上的“病毒”一词借用而来v与生物医学上“病毒”的异同同：都具有传染性、流行性、针对性等异：不是天生的，而是人为编制的具有特殊功能的程序v“计算机病毒”一词最早出现在美国作家thomas j.ryan于1977年出版的科幻小说the adolescence of p-1中计算机病毒定义v广义的定义：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒（computer virus）v1994年2月18日，我国正式颁布实施了中华人

2、民共和国计算机信息系统安全保护条例，在条理第28条中对计算机病毒的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码”。v此定义具有法律性、权威性。计算机病毒的特征v寄生性计算机病毒是一种特殊的计算机程序，它不是以独立的文件的形式存在的，它寄生在合法的程序中。病毒所寄生的合法程序被称做病毒的载体，也称为病毒的宿主程序。v传染性计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的首要条件计算机病毒的特征（cont.）v隐蔽性计算机病毒在发作之前，

3、必须能够将自身很好地隐蔽起来，不被用户发觉，这样才能实现进入计算机系统、进行广泛传播的目的。计算机病毒的隐蔽性表现为存在的隐蔽性与传染的隐蔽性。v潜伏性病毒程序为了达到不断传播并破坏系统的目的，一般不会在传染某一程序后立即发作，否则就暴露了自身。潜伏性越好，其在系统中的存在时间就会越长，其传染范围就会越大。计算机病毒的特征(cont.)v可触发性因某个特征或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。v破坏性降低系统的工作效率，占用系统资源，删除文件，导致网络阻塞，窃取文件等病毒的破坏性主要取决于计算机病毒设计者的目的计算机病毒的传播途径v通过不可移动的计算机硬件设备进行传播v通

4、过移动存储设备来传播：如软盘、u盘、光盘等v通过计算机网络进行传播v通过点对点通信系统和无线通道传播计算机病毒的历史v最早由冯诺伊曼提出一种可能性-现在称为病毒，但没引起注意。（1948年9月，冯诺伊曼提出了关于自我复制自动机系统的构想 ） v1975 年，美国科普作家约翰布鲁勒尔 (john brunner) 写了一本名为震荡波骑士(shock wave rider) 的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。 v1977 年夏天，托马斯捷瑞安 (thomas.j.ryan) 的科幻小说p-1的春天(the adolescence

5、of p-1) 成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 v1983 年 11 月 3 日，弗雷德科恩 (fred cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼 (len adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在 vax11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实验的演示，从而在实验上验证了计算机病毒的存在。 v1986 年初，在巴基斯坦的拉合尔 (

6、lahore)，巴锡特 (basit) 和阿姆杰德(amjad) 两兄弟经营着一家 ibm-pc 机及其兼容机的小商店。他们编写了pakistan 病毒，即brain。在一年内流传到了世界各地。 计算机病毒的历史v1991年在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统，使之瘫痪，保证了战斗的顺利进行，直至最后胜利。v1996年首次出现针对微软公司office的“宏病毒”。v1998年出现针对windows95/98系统的病毒，如cih。它主要感染windows95/98的可执行程序，发作时破坏计算机flash bios芯片中的系统程序，导致

7、主板损坏，同时破坏硬盘中的数据。v1999年happy99等完全通过internet传播的病毒出现。计算机病毒的历史v1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。 v1988 年 11 月 2 日，美国六千多台计算机被病毒感染，造成 internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点，连接着政府、大学、研究所和拥有政府合同的 250,000 台计

8、算机。这次病毒事件，计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特莫里斯 (robert t.morris)，当年 23 岁，是在康乃尔 (cornell) 大学攻读学位的研究生。 v罗伯特莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特莫里斯成了入侵 arpanet 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学 aiken 中心超级用户的特权。他也因此被判 3 年缓刑，罚款 1 万美元，他还被命令进行 400 小时的新区服务。v1988 年底，在我国的国家统计部门发现小球病毒。计算机病毒的分类v按攻击的操作系统分类v按传播媒介分类v按链接方

9、式分类v按危害程度分类v按寄生方式分类v按攻击机型分类v从广义病毒定义按攻击的操作系统分类v攻击dos系统的病毒v攻击windows系统的病毒v攻击unix系统的病毒（相对来说，为数不多，传播效率低，不易流行）v攻击os/2系统的病毒v攻击嵌入式操作系统的病毒。（特洛伊木马“自由a”）（palm）按传播媒介分类v单机病毒载体：磁盘早期的病毒都是单机病毒v网络病毒传播媒介：网络gpi病毒是世界上第一个专门攻击计算机网络的病毒当今的病毒大多都是网络病毒（redcode）按链接方式分类v源码型病毒：该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。

10、目前，该类病毒不多见。v入侵型病毒/嵌入型病毒：在感染时往往对宿主程序进行一定的修改，将自身嵌入到攻击目标中，代替宿主程序中不常用到的堆栈区或功能模块，而不是链接在它的首部或尾部。编写该类病毒比较困难。v外壳型病毒：寄生在宿主程序的前面或后面，并修改程序的第一个执行指令，使病毒先于宿主程序执行，并随着宿主程序的使用而传染扩散。该类病毒易于编写，数量最多。v操作系统型病毒：这种病毒在运行时，用自己的逻辑模块取代操作系统的部分合法程序模块。按危害程度分类v良性计算机病毒：不对计算机系统直接进行破坏，只是具有一定表现症状的病毒。v恶性计算机病毒：在其代码中包含有损伤和破坏计算机系统的操作，在其传染或

11、发作时会对系统产生直接的破坏作用，诸如窜改数据、格式化硬盘等。v中性病毒：对计算机系统不造成直接破坏，又没有表现症状，只是疯狂复制自身的病毒，也就是常说的蠕虫型病毒。按寄生方式分类v引导型病毒：通过磁盘引导区传染的病毒，主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。v文件型病毒：通过操作系统的文件系统传染的病毒，主要以感染可执行程序（.bat、.exe、.com、.sys、.dll、.ovl、.vxd等）为主，病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，并将自身驻留内存，然后设置触发条件，进行感染。v混合型病毒：既传染磁盘引导扇区又传染

12、可执行文件的病毒，综合了系统型和文件型病毒的特征。按攻击机型分类v攻击微型计算机的病毒v攻击小型机的计算机病毒v攻击工作站的计算机病毒v攻击便携式电子设备的病毒从广义病毒定义v逻辑炸弹v特洛伊木马v计算机蠕虫逻辑炸弹v逻辑炸弹：修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。逻辑炸弹也是由程序员插入其它程序代码中间的，但并不进行自我复制。特洛伊木马（trojan horse）v定义：泛指那些内部包含有为完成特殊任务而编制的程序，一种潜伏执行非授权功能的技术。它原本属于一类基于远程控制的工具。v原理：c/s模式，服务器提供服务，客户机接受服务。作为服务器的主机一般会打开一个默认的端口进

13、行监听，如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。例如：冰河木马特洛伊木马（trojan horse）v攻击步骤：设定好服务器程序；骗取对方执行服务器程序；寻找对方的ip地址；用客户端程序来控制对方的计算机。v特征和行为：木马本身不进行自我复制。被感染的计算机系统会表现出不寻常的行为或运行变慢。比如：有一个或多个不寻常的任务在运行；注册表和其他配置文件被修改；电子邮件会在用户不知情的情况下被发送等。特洛伊木马（trojan horse）v传播途径：作为电子邮件附件传播；隐藏在用户与其他用户进行交流的文档和其他文件中；

14、被其他恶意代码所携带，如蠕虫；会隐藏在从互联网上下载的捆绑的免费软件中。v预防：不要执行任何来历不明的软件或程序（无论是邮件中还是internet上下载的）。上网的计算机要必备防毒软件（切记及时升级）计算机蠕虫（worm）v定义：通过分布式网络来扩散传播特定信息或错误，破坏网络中的信息或造成网络服务中断的病毒。v主要特点：利用网络中软件系统的缺陷，进行自我复制和主动传播。但它与病毒在文件之间的传播不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统。v组成：主程序和引导程序主程序：一旦在机器上执行，就会通过读取公共配置文件以及收集当前网络状态信息，获得与当前机器联网的其他机器的信息和软

15、件缺陷，并主动尝试在这些远程机器上建立其引导程序。蠕虫王蠕虫王v病毒名称：worm.sqlexp.376v2003年1月25日，互联网上出现了“2003蠕虫王”病毒，其危害远远超过曾经肆虐一时的”红色代码”病毒。感染该蠕虫病毒后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用sqlserver2000的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力，在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。我国互联网运营单位的网络也部分出现了访问变慢现象，情况严重的网络甚至也曾一度瘫痪。v病毒特征：该蠕虫攻击安装有microsoft sql 的nt

16、系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码.1434/udp端口为microsoft sql开放端口。该端口在未打补丁的sql server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播,导致系统瘫痪，停止服务.攻击对象多为xp,nt,不攻击9x.病毒原理v传统病毒v宏病毒v网络病毒计算机病毒的逻辑结构v计算机病毒程序一般包括以下3个功能模块：病毒的引导模块：当病毒的宿主程序开始工作时将病毒程序从外存引入内存，使其与宿主程序独立，并且使病毒的传染模块和破坏模块处于活动状态，以监视系统运行。病毒的传染

17、模块：负责将病毒传染给其他计算机程序，使病毒向外扩散。它由两部分组成：病毒传染的条件判断部分和病毒传染程序主体部分。病毒的破坏（表现）模块：是病毒的核心部分，它体现了病毒制造者的意图。由两部分组成：病毒破坏的条件判断部分和破坏程序主体部分。传统病毒v传统病毒一般指早期的dos病毒，通常采用按照寄生方式的分类方法（引导型、文件型和混合型）。v引导型病毒的工作流程v文件型病毒的工作流程引导型病毒的工作流程文件型病毒的工作流程宏病毒v宏：是一系列组合在一起的命令和指令，它们形成一个命令，以实现任务执行的自动化。v宏病毒：是一种存储于文档、模板或加载宏程序中的计算机病毒。v特点：只感染微软数据（文档）

18、文件v机制：用vb高级语言编写的病毒代码，直接混杂在文件中，并加以传播。当打开受感染的文件或执行触发宏病毒的操作时，病毒就会被激活，并存储到normal.dot模板或personal.xls文件中，以后保存的每个文档都会自动被病毒感染。宏病毒的工作流程u盘病毒vu 盘病毒又称 autorun 病毒，是通过 autorun.inf 文件使对方所有的硬盘完全共享或中木马的病毒。随着 u 盘，移动硬盘，存储卡等移动存储设备的普及，u盘病毒也随之泛滥起来。国家计算机病毒处理中心早已发布公告称 u 盘已成为病毒和恶意木马程序传播的流行途径。 u盘病毒防治v防范查找数种免费专用杀毒软件备用。例如360安全

19、卫士。平时使用盘时，不要双击打开，最好是在插入盘前，按住shift键（按键的时间长一点），然后插入盘，然后用右键点击盘，选择“资源管理器”来打开盘。v检查抽空检查一下自己的盘，可以把盘插入电脑后把文件夹选项中隐藏受保护的操作系统文件选项钩掉，如果根目录下见到多出了autorun.inf、*.exe、等不明的文件，那可能就是“中招”了，应及时采取措施。v清除直接对autorun.inf文件进行删除。如果无法直接删除，就要先到进程管理里先结束相关进程再删除，如果还不行就到安全模式里删除。网络病毒v特点：破坏性强 传播性强 （网络病毒普遍具有较强的再生机制，一接触就可通过网络扩散与传染。根据有关资料

20、介绍，在网络上病毒传播的速度是单机的几十倍。）针对性强 （网络病毒并非一定对网络上所有的计算机都进行感染与攻击，而是具有某种针对性）扩散面广 （由于网络病毒能通过网络进行传播, 所以其扩散面限大）网络病毒v种类：根据攻击手段可分为蠕虫和木马两大类型v传播方式：电子邮件、网页、文件传输。如： 早期很多流行的病毒“ melissa” 、“ loveletter” 、“happytime”等都是通过邮件传播的网页病毒v网页病毒是利用网页来进行破坏的病毒，它使用一些script语言编写的一些恶意代码利用ie的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活

21、，可以利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。v目前的网页病毒都是利用js.activex、wsh共同合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。 （wsh，是“windows scripting host”的缩略形式，其通用的中文译名为“windows 脚本宿主”。对于这

22、个较为抽象的名词，我们可以先作这样一个笼统的理解：它是内嵌于 windows 操作系统中的脚本语言工作环境。 ）网页病毒的性质及特点 v这种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。一旦浏览含有该病毒的网页，即可以在你不知不觉的情况下马上中招，给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。网页病毒的表现v参见附件网页病毒的防治v屏蔽指定网页 v提高安全级别 （internet选项-“安全”选项卡，然后单击“自定义级别”按钮打开“安全设置”窗口，将“activex控件和插件”、“脚本”下的所有选项，都尽可能的设为“禁用”，同时将“重置自定义设置”设为“安全级-高”

23、即可。）v确保wsh安全 （windows 2000/xp操作更加简单，只需要打开文件夹选项窗口，然后在“文件类型”选项卡，找到“vbs vbscript script file”选项并将其删除即可。）v禁止远程注册表服务 （进入控制面板，在“管理工具”文件夹中打开“服务”项，然后双击右侧的“remote registry”，将其启动类型设为“已禁用”，并单击“停用”按钮即可。）病毒技术v寄生技术v驻留技术v加密变形技术v隐藏技术寄生技术v寄生技术：病毒在感染的时候，将病毒代码加入正常程序之中，原正常程序功能的全部或者部分被保留。v分类：头寄生、尾寄生、插入寄生（病毒代码插入宿主程序位置的不同

24、）空洞利用（例：cih）v是文件型病毒使用最多的技术驻留技术v驻留技术：当被感染的文件执行时，病毒的一部分功能模块进入内存，即使程序执行完毕，它们仍一直驻留在内存中。v 病毒需要实时地监控合适的感染对象和触发条件，它总是希望关键的代码能一直保留在内存中，得到机会就能运行。v 杀毒软件如果只清除文件中的病毒而没有清除内存中的病毒，则病毒在系统退出前仍有机会感染文件。加密变形技术v加密变形技术：是一个具有里程碑意义的病毒技术。在加密病毒的基础上改进，使病毒二进制代码对不同传染实例呈现多样性。v传统病毒在代码中总是具有自身的特点（如：标记已感染的字串、特殊的驻留代码、特殊的感染代码等），反病毒厂商就

25、利用这些特点编制特征码，用于病毒的检测。加密变形技术v通过自我加密，病毒的外观能够从一种形态变成另一种形态，并将感染过的文本和信息隐藏起来。 v大部分使用加密技术的病毒每次感染时都会改变形态，这样使杀毒软件更难辨认。由于这种病毒必须在解密后运行，因此可以通过分析加密路线来发现它们。v病毒加密的部分需要一把“密钥”来译解其隐藏的代码，这把钥匙就隐藏在病毒的固定 文本中，所以要发现和清除病毒只要找到这把密钥即可。 v多形病毒实际上是加密技术的深入，病毒在使用加密技术的同时，每个后代都使用不同的加密技术。也就是说，同一个病毒的病毒的不同样本之间会有天壤之别，甚至是负责加密其余部分的那些病毒代码也可以

26、做到形态各异。 v几种不同类型的病毒组合会演变为成千上万的异形体，迫使杀毒软件开发商投入大量的研究人员和开发时间，生成特殊的解毒算法，正是这样的斗争造成了今天的相持不下的景象。 隐藏技术v隐藏技术：病毒在进入用户系统之后，会采取种种方法隐藏自己的行踪，使病毒不易被用户和反病毒软件发现。甚至采用远程线程技术注入到系统进程之内。反病毒技术v计算机病毒检测技术v计算机病毒的清除v计算机病毒的免疫v计算机病毒的预防反病毒技术v病毒技术与反病毒技术存在着相互对立、相互依存的关系，二者都在彼此的较量中不断发展。v 从总体上讲，反病毒技术要滞后于病毒技术。v 计算机病毒的防治可以分为四个方面的内容：检测、清

27、除、免疫和预防。如何发现计算机病毒（1/2）v计算机病毒发作的时候，通常会出现以下几种情况：电脑运行比平常迟钝；程序载入时间比平常久；对一个简单的工作，硬盘似乎花了比预期长的时间；不寻常的错误信息出现；由于病毒程序的异常活动，造成对磁盘的异常访问。比如没没有存取磁盘，但磁盘指示灯却亮了；系统内存容量忽然大量减少；磁盘可利用空间突然减少；如何发现计算机病毒（2/2）v可执行程序的大小改变了；v由于病毒可能通过将磁盘扇区标记为坏簇的方式隐藏自己，磁盘坏簇会莫名其妙地增多；v程序同时存取多部磁盘；v内存中增加来路不明的常驻程序；v文件、数据奇怪地消失；v文件的内容被加上一些奇怪的资料；v文件名称、扩

28、展名、属性被更改过；v死机现象增多；v出现一些异常的画面或声音。计算机病毒检测技术（1/5）v比较法：进行原始的或正常的特征与被检测对象的特征比较。由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化，从这些特征的比较中可以发现异常，从而判断病毒的有无。优点：简单、方便，不需专用软件缺点：无法确认计算机病毒的种类和名称计算机病毒检测技术（2/5）v病毒校验和法：计算出正常文件的程序代码的校验和，并保存起来，可供被检测对象对照比较，以判断是否感染了病毒。优点：可侦测到各式的计算机病毒，包括未知病毒缺点：误判率高，无法确认病毒种类v分析法：该方法的使用人员主要是反计算机病毒的技术专业人员。计

29、算机病毒检测技术（3/5）v搜索法：用每一种计算机病毒体含有的特定字符串对被检测对象进行扫描。特征串选择的好坏，对于病毒的发现具有决定作用。如何提取特征串，则需要足够的相关知识。缺点：被扫描的文件很长时，扫描所花时间也越多；不容易选出合适的特征串；计算机病毒代码库未及时更新时，无法识别出新型计算机病毒；不易识别变形计算机病毒等。搜索法是目前使用最为普遍的计算机病毒检测方法。计算机病毒检测技术（4/5）v行为监测法：由于病毒在感染及破坏时都表现出一些共同行为，而且比较特殊，这些行为在正常程序中比较罕见，因此可通过检测这些行为来检测病毒的存在与否。优点：不仅可检测已知病毒，而且可预报未知病毒。缺点

30、：有可能误报。（卡巴斯基）v病毒行为软件模拟法：专门用来对付多态病毒，多态病毒在每次传染时都通过加密变化其特征码，使得搜索法失效。该方法监视病毒运行，待病毒自身密码破译后，再进行代码的分析。计算机病毒检测技术（5/5）v感染实验法：利用病毒最重要的基本特性传染性。检测时，先运行可疑系统中的程序，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和，如果发现有变化，可断言系统中有病毒。计算机病毒的清除v病毒的清除：指将染毒文件的病毒代码摘除，使之恢复为可正常运行的健全文件。v病毒的清除可用专用软件杀毒或手工进行。计算机病毒的免疫v病毒免疫原理：根据病毒签名来实现。由于有些病毒在感染其他程序时要先判断是否已被感染过，即欲攻击的宿主程序是否已有相应病毒签名，如有则不再感染。v因此，可人为地在“健康程序”中进行病毒签名，起到免疫效果。计算机病毒的预防v经常进行数据备份，特别是一些非常重要的数据及文件，以免被病毒侵入后无法恢复。v对于新购置的计算机、硬盘、软件等，先用查毒软件检测后方可使用。v尽量避免在无防毒软件的机器上或公用机器上使用可移动磁盘，以免感染病毒。v对计算机的使用权限进行严格控制，禁止来历不明的人和软件进入系统。v采用一套