第5章 病毒分析与防御

1、第第5 5章章 病毒分析与防御病毒分析与防御 教学提示随着计算机技术和网络技术的飞速发展，计算机病毒也随之产生和发展，给我们的日常应用造成了很大的负面影响，要想解决这个棘手的问题，就要求我们对病毒有一个全面清楚的了解。本章讲述计算机病毒产生发展的历史、病毒的定义、病毒的产生原因及来源、病毒的特征、分类以及病毒传染后的表现、病毒机制与组成结构；并介绍病毒的发展趋势。教学要求本章要求了解计算机病毒发展的历史和病毒的发展趋势；掌握病毒的定义、特征、分类、传播方式和病毒的产生基理等。5.1 计算机病毒概述计算机病毒概述o我们要认识病毒，就要从病毒的产生、发展、分类、特性和传染途径的各个方面对病毒有个全

2、面的了解。 5.1.1 计算机病毒产生发展的历史计算机病毒产生发展的历史5.1.2 计算机病毒的定义计算机病毒的定义o 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。o 但随着Internet技术的发展，计算机病毒的定义正在逐步发生着变化，与计算机病毒的特征和危害有类似之处的“特洛伊木马”和“蠕虫”从广义的角度而言也可归为计算机病毒。特洛伊木马(Trojan horse)是一种黑客程序，是一种潜伏执行非授权功能的技术，它在正常程序中存放秘密指令，使计算机在仍能完成原先指定任务的情况下，执行非授权功能。“蠕虫”(W

3、orm)是一个程序或程序序列，通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁或系统崩溃。 5.1.3 计算机病毒的产生原因及来源计算机病毒的产生原因及来源o(1) 恶作剧类型，有些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发，其目的是自我表现一下，这类病毒一般都是良性的，不会有破坏操作。o(2) 报复心理型，有些人对社会不满或受到不公证的待遇，他就有可能会编制一些危险的程序。有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的

4、名字在工资报表中被删除，该程序立即发作，破坏整个系统。o(3) 版权保护类型，由于很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序附加在产品中。如：Pakistan病毒，其制作者是为了追踪那些非法复制他们产品的用户。o(4) 特殊目的类型，某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏，或用于军事目的。还有出于好奇，为了报复，为了祝贺，为了得到控制密码，为了未拿到所编制软件的报酬预留的陷阱等原因。 5.1.4 计算机病毒的特性计算机病毒的特性o 1计算机病毒的传染性o 2计算机病毒的可执行性 o 3计算机病毒的可触发性o 4计算机病毒的破坏性o 5计

5、算机病毒的非授权性o 6计算机病毒的隐蔽性5.1.5 计算机病毒的分类计算机病毒的分类o 1按照计算机病毒攻击的操作系统不同分类o 2按照病毒的攻击机型不同分类o 3按照计算机病毒的链接方式不同分类 o 4按照计算机病毒的破坏情况不同分类o 5按照传播媒介不同分类o 6按传染方式不同分类o 7根据病毒特有的算法不同分类5.1.6 计算机病毒感染的表现计算机病毒感染的表现o 在一般情况下，计算机在感染病毒后总有一些异常现象出现，其中具有代表性的行为有电脑动作比平常迟钝；程序载入时间比平时长，这是因为有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，将执行这些病毒，因而

6、会花更多时间来载入程序；对一个简单的工作，磁盘似乎花了比预期长的时间；不寻常的错误信息出现，表示病毒已经试图去读取磁盘并感染它，特别是当这种信息出现繁复时；硬盘的指示灯无缘无故地闪亮；系统内存忽然大量减少，有些病毒会消耗大量的内存，曾经执行过的程序，再次执行时，突然提示没有足够的空间可以利用；磁盘可利用的空间突然减少，这个信息表明病毒已经开始复制了；可执行文件的大小改变了，正常情况下，这些程序应该维持固定的大小，但有些不太高明的病毒会增加程序的大小；坏道增加，有些病毒会将某些磁道标注为坏道，而将自己隐藏其中，于是扫毒软体往往也无法检查病毒的存在，如Disk_Killer会寻找3或5个连续未用的

7、磁区，并将其标示为坏道；内存中增加来路不明的常驻程序或进程；文件奇怪地消失；文件的内容被加进一些奇怪的资料；文件名称、日期、属性等被修改过等。5.2 病毒机制与组成结构病毒机制与组成结构5.2.1 计算机病毒的组成结构计算机病毒的组成结构 o虽然计算机病毒的种类很多，但通过分析现有的计算机病毒，发现几乎所有的计算机病毒都是由3个部分组成，即引导模块、传染模块和表现模块。 5.2.2 计算机病毒的传染计算机病毒的传染o1计算机病毒的传染方式和途径o2计算机病毒的传染过程o3系统型病毒传染机理o4文件型病毒传染机理5.2.3 计算机病毒的触发机计算机病毒的触发机制制o 1时间触发o 2键盘触发o

8、3感染触发 o 4启动触发o 5访问磁盘次数触发o 6调用中断功能触发o 7CPU型号/主板型号触发5.2.4 计算机病毒的生存周期计算机病毒的生存周期o计算机病毒的产生过程可分为程序设计传播潜伏触发运行实行攻击。计算机病毒拥有一个完整的生命周期，从产生到彻底根除，下面就描述病毒生命周期的各个时期。5.3 病毒实例剖析 o 5.3.1 Nimda蠕虫病毒剖析 传播方式:o通过电子邮件从一个客户端感染另一个客户端o通过开放的网络共享从一个客户端感染另一个客户端o通过浏览被感染的网站从Web 服务器感染客户端o通过主动扫描或利用 “Microsoft IIS 4.0 / 5.0 directory

9、 traversal”的缺陷”从客户端感染Web 服务器o通过扫描 “Code Red” (IN-2001-09),和 “sadmind/IIS” (CA-2001-11) 留下的后门从客户端感染Web 服务器o感染Nimda 病毒的机器会不断向Windows 的地址薄中的所有的邮件发送携带了Nimda病毒的邮件的拷贝。o同样的，客户端机器会扫描有漏洞的IIS 服务器。Nimda 会搜寻以前的IIS蠕虫病毒留下的后门：Code Red II IN-2001-09 和 sadmind/IIS worm CA-2001-11； 它也试图利用IIS Directory Traversal 漏洞 (V

10、U #111677)。o初步分析表明, 该病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通过大量发送电子邮件和扫描网络可以导致网络的“拒绝服务”（DoS）。o 5.3.2 CodeRedII剖析o Code Red蠕虫能够迅速传播，并造成大范围的访问速度下降甚至阻断。红色代码蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日，向特定IP地址1()发动攻击。病毒最初于7月19日首次爆发，7月31日该病毒再度爆发，但由于大多数计算机用户都提前安装了修补软件

11、，所以该病毒第二次爆发的破坏程度明显减弱 。o“红色代码”病毒是通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。Code Red采用了一种叫做缓存区溢出的黑客技术，利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。o与其它病毒不同的是，“红色代码” 不同于以往的文件型病毒和引导型病毒，并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存，传染时不通过文件这一常规载体，而是借助这个服务器的网络连接攻

12、击其它的服务器，直接从一台电脑内存传到另一台电脑内存。当本地IIS服务程序收到某个来自“红色代码”发送的请求数据包时，由于存在漏洞，导致处理函数的堆栈溢出。当函数返回时，原返回地址已被病毒数据包覆盖，程序运行线跑到病毒数据包中，此时病毒被激活，并运行在IIS服务程序的堆栈中。o “红色代码II”病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别)，如果已存在此对象，表示此机器已被感染，病毒进入无限休眠状态，未感染则注册Atom并创建300个病毒线程，当判断到系统默认的语言ID是中华人民共和国或中国台湾时，线程数猛增到600个，创建完毕后初始化病毒体内的一

13、个随机数发生器，此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。巨大的病毒数据包使网络陷于瘫痪。o 5.3.3 CIH病毒oCIH病毒查杀:目前市面上大部分杀软如金山毒霸,江民杀毒软件等都能有效查杀此病毒,而且目前市面上绝大多数电脑都已使用win XP系统,此病毒对NT以上系统 (winNT, 2000, XP, 2003, VISTA, window 7等)已无危害 。oCIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看，这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地

14、广泛传播，随后进一步通过Internet传播到全世界各个角落。 oo CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：o 1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！o 2、某些主板上的Flash Rom中的BIOS信息将被清除。5.4 病毒的防范与清除o病毒有那么大的威胁，我们如何防范？万一不小心感染了病毒，怎样清除？怎样减少病毒对计算机的危害？首先要采取的措施就是病毒的防范，如果真的感染了要想办法

15、彻底清除。5.4.1 防范病毒o计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒的侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。5.4.2 检测病毒 o想要知道自己的计算机中是否染有病毒，最简单的方法是想要知道自己的计算机中是否染有病毒，最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。但是防病毒用较新的防病毒软件对磁盘进行全面的检测。但是防病毒软件对于病毒来讲，总是后发制人。如何能够及早地发现软件对于病毒来讲，总是后发制人。如何能够及早地发现新病毒呢？新病毒呢？o检测病毒方法有：特征代码法、校验和法、行为监测法、检测病毒方法

16、有：特征代码法、校验和法、行为监测法、软件模拟法，这些方法依据的原理不同，实现时所需的开软件模拟法，这些方法依据的原理不同，实现时所需的开销也不同，同时检测的范围也不同，各有所长。销也不同，同时检测的范围也不同，各有所长。 o软件模拟法软件模拟法开始使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监测病毒的运行，待病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。o特征代码法采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。校验和法： 根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级

17、、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法： 基于对病毒特有行为的判断特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。 特点：可用于对付多态病毒。5.5 病毒和反病毒的发展趋势病毒和反病毒的发展趋势5.5.1 病毒的发展趋势病毒的发展趋势o 随着计算机软、硬件水平的不断发展，近年来，计算机病毒技术也是突飞猛进，病毒对于人类造成的影响已经越来越大，从最早的单片机到现在的手机，病毒也随着世界的进步而不断发展，今天的病毒主要朝着智能对抗反病毒手段和有目的方向发展。 5.5.2 病毒清除技术的发展趋势病毒清除技术的发展趋势

18、o1实时监测技术o2自动解压缩技术o3跨平台反病毒技术5.5.3 防病毒系统的要求防病毒系统的要求o 1完整的产品体系和较高的病毒检测率 o 2功能完善的防病毒软件控制台o 3减少通过广域网进行管理的流量o 4对计算机病毒的实时防范能力o 5快速及时的病毒特征码升级5.6 本 章 实 训 o实训1：病毒代码特征分析o实训2：防病毒软件应用5.7 本章习题填空题o(1) 计算机病毒虽然种类很多，通过分析现有的计算机病毒，几乎所有的计算机病毒都是由3个部分组成，即_、_和_。o(2) 病毒不断发展，我们把病毒按时间和特征分成_个阶段。o(3) 病毒按传染方式可分为_型病毒、_型病毒和_型病毒3种。o(4) 目前病毒采用的触发条件主要有以下几种：_触发、键盘触发、感染触发、_触发、访问磁盘次数触发、调用中断功能触发和CPU型号/主板型号触发。o(5) 现在世界上成熟的反病毒技术已经完全可以彻底预防、彻底杀除所有的已知病毒，其中主要涉及以下3大技术：_技术、_技术和全平台反病毒技术。选择题o (1) ( )是病毒