第十三课计算机病毒及防治

1、1第十三章 计算机病毒及防治2计算机病毒及防治n病毒的威胁n病毒的定义n病毒的特征病毒的历史病毒的防治病毒原理病毒技术反病毒技术病毒攻防发展3计算机病毒及防治计算机病毒及防治n13.1 病毒的威胁n直接破坏计算机上的重要信息，主要表现为删除、篡改文件，格式化硬盘等；n抢占系统资源，降低系统性能，如：大量复制垃圾文件，不断占用系统内存，甚至导致系统崩溃；n窃取主机上的重要信息，如信用卡密码、管理员账号密码等；n破坏计算机硬件；n导致网络阻塞，甚至瘫痪；n使邮件服务器、Web服务器不能提供正常服务。4n13.2 病毒的定义n计算机病毒是一个程序，一段可执行码；n计算机病毒有独特的复制能力，可以很快

2、地蔓延，又常常难以根除；n可将自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，即随同文件一起蔓延开来；n计算机病毒与计算机网络技术相结合，蔓延的速度更加迅速。5n生物学中，病毒是指侵入动植物体等有机生命体中，具有感染性、潜伏性、破坏性的微生物、而且不同的病毒具有不同的诱发因素；n“计算机病毒”一词是借用生物学病毒而使用的计算机术语；n1983年，美国计算机安全专家Frederick Cohen博士首次提出计算机病毒的存在，1989年进一步改进计算机病毒的定义；n计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计

3、算机指令或者程序代码。6n13.3 病毒的特征n可执行性n是一段能够执行的代码，既可以是二进制代码，也可以是一段脚本；n传染性与传播性n最早的计算机病毒，或者狭义的计算机病毒的定义，都是强调恶意程序的传染性或传播性特征；n病毒要进行传染，就需要进行自我复制，常用的方法就是把自己的病原体代码注入到宿主程序中，当宿主程序运行时，病毒代码也能随之运行；n病毒的传染性主要作用于一台主机上，而病毒要从一台主机蔓延到另一台主机，就需要其另一个特性：传播性，即通过网络或者存储介质进行传播。7n破坏性n破坏行为就是做了用户预料之外的事件；n寄生性n狭义的病毒一般不是完整的程序，通常是附加在其他程序中，就像生物

4、界中的寄生现象；n被寄生的程序称为宿主程序，或者称为病毒载体；n欺骗性n计算机病毒需要在受害者的计算机上获得可执行的权限，因为病毒首先要执行才能进行传染或者破坏；n黑客常常会把带有病毒程序的名字起成一些用户比较关心的程序名字，欺骗用户执行这个程序。8n隐蔽性和潜伏性n计算机病毒要获得有效的传染和传播，就应该尽量在用户能够觉察的范围之外进行，大多数病毒都把自己隐藏起来；n潜伏性是指病毒在相当长的时间里，病毒虽然在系统中存在，但不执行它的破坏功能，是用户难以察觉，而只有到达某个时间点或受其他条件的激发时才执行恶意代码；n衍生性n在原有病毒的基础上加以改动，衍生出另一种不同于原版病毒的新病毒。9n1

5、3.4 病毒的历史n1949年，电脑的先驱冯 诺伊曼提出一种“会自我繁殖的程序” 现在称为病毒；n10年后，在贝尔实验室，病毒的概念在电子游戏“Core War”中形成，是病毒的雏形；n20世纪60年代晚期到20世纪130年代早期，首次出现了和现代病毒本质上一样的东西，一个叫作“流浪的野兽（Pervading Animal）”的程序；n20世纪80年代，出现了“爬行者”病毒，可以通过网络进行传播；一个叫做“清除者（Reeper）”的程序被开发出来对付“爬行者”。n1983年11月3日，费雷德 科恩研制出一种在运行过程中可以复制自身的破坏性程序，伦 爱德勒曼命名它为“病毒”；n1986年初，巴锡

6、特和阿姆杰德兄弟编写了Pakistan病毒，即Brain 大脑病毒；n1988年11月，第一个因特网病毒 “莫里斯的蠕虫(Morriss Worm)”在美国感染了6000台电脑；10n1990年，第一个多态病毒“变色龙”的出现迫使杀毒软件不得不寻找新的方法来检测和发现病毒；n“病毒制造工厂”的出现使开发新病毒变得相当容易；n1992年晚期，第一个Windows病毒开发成功；n1994年，光盘成为最主要的病毒传播渠道；n1995年，DOS病毒技术的发展限于停滞，宏病毒开始出现；n1996年，第一个Win95病毒 “博扎”出现；n1998年。有史以来影响最大的病毒之一 CIH 出现；n第一个32位

7、Windows环境下运行的多态病毒青猴病（Marburg）被发现；并且开始流行；n2000年，脚本病毒成为主流；n近几年流行的病毒：“梅丽莎”、“红色代码”、“尼姆达”、“巨无霸”等，网络、邮件称为病毒的主要传播途径。11n13.5 病毒的防治n把各种查杀病毒的新技术应用于反病毒软件n传统的病毒防治软件大都采用特征码扫描技术，而加密变形病毒的出现使特征码扫描技术一筹莫展；n反病毒新技术，不断融入病毒防治软件；n网络杀毒n在本地网络的入口设置病毒防治系统，防治病毒进入本地局域网；n在路由器、防火墙中加入反病毒模块；n个人防火墙n反病毒软件与防火墙相结合；n开发具有反病毒和防黑客的二合一的防火墙；

8、n邮件杀毒n对已知收到的邮件进行查杀；n接收邮件时的实时查杀；n数据备份拯救系统1213.6 病毒原理n13.6.1 病毒的分类n按攻击的操作系统分类n攻击DOS系统的病毒 也称DOS病毒，出现最早，变种最多，传播非常广泛，如小球病毒等n攻击Windows系统的病毒 也称Windows病毒； 主要是宏病毒，有感染Word、Excel、Access的宏病毒n攻击Unix或OS/2系统的病毒13n按传播媒介分类n单机病毒 载体是软盘； 病毒从软盘传入硬盘，感染系统，然后再感染其他的软盘，进而感染其他系统；n网络病毒 传播媒介是网络； 往往造成网络堵塞，修改网页，甚至与其他病毒结合修改或破坏文件；1

9、4n按链接方式分类n源码型病毒 在高级语言（如Fortran、C、Pascal等）编写的程序被编译之前，插入目标源程序中，经编译，成为合法程序的一部分； 一般寄生在编译处理程序或链接程序中；n入侵型病毒 也称嵌入式病毒； 在感染时往往对宿主程序进行一定的修改，通常是寻找宿主程序的空隙将自己嵌入进去，变为合法程序的一部分，使病毒程序和目标程序成为一体； 这类病毒编写很难，对其杀毒也很困难； 数量不多，破坏力极大；15n外壳型病毒 病毒程序一般链接在宿主程序的首尾，对原来的主程序不作修改或仅做简单修改； 当宿主程序执行时，首先激活病毒程序，使病毒得以感染、繁衍和发作； 易于编写，数量很多；n操作系

10、统型病毒 病毒程序用自己的逻辑部分取代一部分操作系统中的合法程序模块，从而寄生在计算机磁盘的操作系统区； 启动计算机时，能够先运行病毒程序，然后再运行启动程序； 破坏力强，可是系统瘫痪，无法启动。16n按表现（破坏）情况分类n良性病毒 指那些只表现自己，不破坏计算机系统的病毒；n恶性病毒 目的是有意或无意的破坏系统中的信息资源； 常见的恶性病毒的破坏行为是删除计算机系统内存储的数据和文件； 也有不删除任何文件，而是对磁盘乱写，对文件和数据内容进行改变； 也有对整个磁盘或磁盘的特定扇区进行格式化，是信息全部消失。17n按寄生方式分类n引导型病毒 也称磁盘引导型、引导扇区型、磁盘启动型、系统型病毒

11、等； 把自己的病毒程序放在软磁盘的引导区以及硬磁盘的主引导记录区或引导扇区，当作正常的引导程序，而将真正的引导程序搬到其他位置；n文件型病毒 指所有通过操作系统的文件系统进行感染的病毒； 以感染可执行文件（.bat、.exe、.com、.sys、.dll、.ovl、.vxd等）的病毒为主，也可感染高级语言程序的源代码、开发库或编译过程中所生成的中间文件；18n混合型病毒 也称综合型、复合型病毒，兼具引导型和文件型病毒的特点，即既可以感染磁盘引导区，又可以感染可执行文件。n13.6.2 传统病毒n引导区感染机制n引导型病毒是IBM PC 兼容机最早出现的病毒，也是最早进入我国的病毒；n引导病毒感

12、染软磁盘的引导扇区，以及硬磁盘的主引导记录或引导扇区；n电脑的启动过程19 电脑通电之后，首先是中央处理器（CPU）接收到一个复位指令； 然后跳转到一个特定的地址开始执行，在IBM PC兼容机上，这个地址是十六进制的FFFF0，这个地址落到基本输入输出系统（BIOS）的地址范围内； 基本输入输出系统在完成一些基本的硬件检测之后，根据用户的设置（在电脑的开机设置中，一般都有引导顺序这一项），确定将哪一个扇区加载到内存中开始执行： 如果是从A盘（软盘）或者光盘引导，则将A盘或者可以引导光盘的引导扇区（第一个扇区）加载到内存中开始执行； 如果是C盘（硬盘）引导，则将硬盘的主引导记录加载到内存中开始执

13、行；如果是正常的主引导记录，会根据分区的信息加载适当的引导扇区到内存中，然后引导相应的操作系统。20n必须明确两个概念：引导扇区和主引导记录 引导扇区（Boot Sector）：对于软盘或光盘，是第一个扇区，对于硬盘是每一个分区的第一个扇区，如果一个分区在分区表中标记为可引导的，则这个分区的第一个扇区就是该分区的引导扇区； 引导扇区包含引导记录程序，用于加载操作系统； 主引导记录（MBR, Main Boot Record）：位于整个硬盘的0磁道0柱面1扇区（主引导扇区），主引导扇区总共有512字节，MBR占用了446字节，另外64字节交给硬盘分区表，表示整块硬盘的分区信息。 主引导记录中包含

14、了硬盘的一系列参数和一段主引导程序，主引导程序用来找出系统当前的活动分区，负责把对应的操作系统的引导记录（即当前活动分区的引导记录）装入内存，然后把控制权转给该分区的引导记录。21n主引导记录或引导扇区都可能被病毒感染；n当系统被感染后，正常主引导记录或者引导扇区的代码被病毒代码替换，电脑启动的时候首先运行的是病毒代码。n可执行文件感染机制n病毒往往用附加或插入的方式隐藏在可执行程序文件中，或采取分散及多处隐藏的方式；n当病毒程序潜伏的文件被合法调用时，病毒程序也合法投入运行，并可将分散的程序在其非法占用的存储空间进行装配，构成完整的病毒体投入运行。n进入运行状态的病毒再去扩散感染其他文件，以

15、致磁盘所有可执行文件均被感染，甚至文件被毁坏。22n13.6.3 宏病毒n什么是“宏”？n微软的手册中说明：如果需要再Office软件中反复进行某项工作，就可以利用宏来自动完成这项工作；n宏是一系列组合在一起的命令和指令，它们形成一个命令，以实现任务执行的自动化。n用户可以创建并执行宏，以替代人工进行的一系列费时而单调的重复性操作，自动完成所需任务。n什么是“宏病毒”？n一种存储于文档、模板或加载宏程序中的计算机病毒；n当打开已感染的文件或执行触发宏病毒的操作时，病毒就会被激活，并存储到Normal.dot模板或Personal.xls文件中；n保存的每个文档都会自动被病毒“感染”，若有其他人

16、打开该文件，宏病毒就会传播到他们的计算机中。宏病毒与以往的传统计算机病毒不同，它是只感染微软的文档的一种专向病毒；宏病毒与攻击DOS/Windows可行程序的病毒的机理完全不一样，它是用VB高级语言编写的病毒代码，直接混杂在文件中，并加以传播。23n13.6.4 网络病毒n 网络病毒的特点n主要通过网络传播，在网络环境下才能发挥最大的破坏作用；n寄生宿主广泛，可能会寄生在HTM、ASP等多种文件中；也可能隐藏在邮件中；甚至可能不感染任何对象，仅存于源宿主中，但可通过网络传播对计算机德端口、服务、数据、缓冲区进行攻击的指令。n一般是利用Internet的开放性、操作系统及各类应用程序的漏洞来对计

17、算机系统进行攻击，为了防范它，往往要对某些网络功能进行限制；n一些病毒往往与黑客有联系，最典型的就是“木马”类病毒；n发展趋势迅猛，传播速度快、危害范围广。24n网络病毒的种类n依据病毒的攻击手段，可将网络病毒分为蠕虫和木马两大类；n蠕虫 蠕虫是通过分布式网络来扩散传播特定信息或错误，破坏网络中的信息或造成网络服务中断的病毒； 蠕虫病毒最主要的特点是：利用网络中软件系统的缺陷，进行自我复制和主动传播。n木马25n网络病毒的传播方式n电子邮件 病毒体一般隐藏在邮件的附件中，只要执行附件，病毒就可能发作； 有些种类的邮件病毒，甚至没有附件，病毒体就隐藏在邮件中，只要打开或预览邮件，就会遇到麻烦。如

18、“梅丽莎”、“爱虫”等；n网页 为了增加网页的交互性、可视性，通常需要在网页中加入某些Java程序或ActiveX组件，这些程序和组件正是病毒的宿主； 如果浏览了包含病毒代码的网页，且浏览器没有限制Java或ActiveX的执行，结果就相当于执行了病毒程序。n文件传输 病毒搜寻网络共享目录，把病毒体拷入其中，远程执行或欺骗用户执行。26n脚本病毒n脚本病毒类似宏病毒，但它的执行环境不再局限于Office应用程序，而是扩展到网页、HTA（基于HTML的应用程序），甚至文本文件中；n脚本语言是介于HTML和Java、C+和Visual Basic 之类的编程语言之间的语言；n主要的脚本语言包括 活

19、动服务器页面（Active Server Page，ASP）,在Internet 服务器端执行的脚本； 微软可视化BASIC脚本语言（Microsoft Visual Basic Scripting Edition）,使用微软Windows操作系统内置的脚本引擎； 爪哇脚本语言（Java Script），使用浏览器内置的脚本引擎执行； 其它脚本语言，如PHP、REXX、PERL等。27n脚本病毒包括： 基于JAVAScript的脚本病毒 使用Javascript语言编写的病毒，主要运行在IE浏览器环境中，可以对浏览器的设置进行修改，主要的破坏是对注册表的修改，危害不是很大； 基于VBScrip

20、t的脚本病毒 使用VBScript语言编写的病毒，可以在浏览器环境中运行； 这种病毒和普通的宏病毒没有清晰的界限，可以在Office 中运行，可以执行的操作非常多； 可以修改硬盘上的东西、删除文件、执行程序等，危害非常大。28 基于PHP的脚本病毒 可感染PHP脚本文件，主要对服务器造成影响，对个人电脑影响不大； 目前，仅有一个“新世界（New World）”病毒存在； 脚本语言与木马程序相结合的病毒 除了使用脚本语言进行扩散以外，还会在受到入侵的计算机上安装一个名为特洛伊木马的程序，容许他人未经授权访问受到感染的计算机。29n13.6.5 其他病毒n“尼姆达”病毒n2001年9月18日，“尼

21、姆达”病毒首先在美国出现，学名叫w32.Nimda.Amm，也称“中国一号”，另外还有一个变种是w32.Nimda.Emm ；n尼姆达的行为特征 传播行为 通过电子邮件传播 通过Web服务器方式传播 通过局域网传播 通过感染可执行文件传播30 破坏行为 群发邮件，影响网络性能； 把guest用户添加到管理员组，并把C盘设置为共享，危及网络安全设置； 修改大量文件，降低系统性能。n手机病毒n手机病毒和计算机病毒一样，可以通过电脑执行从而向手机乱发短信；n严格的说，手机病毒应该是一种计算机病毒，该病毒只能通过计算机网络传播，而不能通过手机传播，所谓的手机病毒其实是电脑病毒程序启动了电信公司的一项服

22、务。3113.7 病毒技术n病毒技术概论n寄生技术n文件型病毒最常用的传染方法；n病毒在感染的时候，将病毒代码加入正常程序之中，原正常程序功能的全部或者部分被保留；n根据病毒代码加入方式的不同，病毒寄生技术可分为头寄生、尾寄生、插入寄生和空洞利用4种。32n头寄生原程序代码头原程序代码病毒代码原程序代码头原程序代码病毒代码原程序代码原程序代码头感染方式 1感染方式 2使用“头寄生”方式的病毒基本上感染的是批处理病毒和COM格式的文件，因为这些文件在运行的时候不需要重新定位，所以可以任意调换代码的位置而不会发生错误。33n尾寄生 由于在头部寄生不可避免的会遇到重新定位的问题，所以最简单也是最常用

23、的寄生方法就是直接将病毒代码附加到可执行程序的尾部。n插入寄生 病毒将自己插入被感染的程序中，可以整段的插入，也可以分成很多段； 有的病毒通过压缩原来代码的方法，保持被感染文件的大小不变。34n空洞利用 Windows可执行文件的结构非常复杂，里面都会有很多没有使用的部分，一般是空的段或每个段的最后部分，病毒寻找这些没有使用的部分，然后将病毒代码分散到其中，就实现了令人难以察觉的感染，因为被感染的文件的大小没有发生变化； 著名的CIH病毒就是使用了“空洞利用”寄生技术35n驻留技术n大部分病毒都包括内存驻留的部分，当被感染的文件执行之后，病毒的一部分功能模块进入内存，并且一直驻留在那里，即使程序执行完毕。n加密变形n病毒的入口处具有解密子（进行解密的关键代码），病毒主体代码被加密；n病毒运行时首先由得到控制权的解密代码对病毒主体进行循环解密，完成后将控