病毒及反病毒软件

1、病毒及反病毒病毒及反病毒软件软件中国科学技术大学计算机科学与技术系：中国科学技术大学计算机科学与技术系：王悦王悦 PB13011058 肖宁肖宁 PB13011066王鑫王鑫 PB13011057 何敏哲何敏哲 PB13011064一、一、计算机病毒计算机病毒定义：计算机病毒是一种在定义：计算机病毒是一种在人为或非人为的情况下产生人为或非人为的情况下产生的、在用户不知情或未批准的、在用户不知情或未批准下，能自我复制或运行的计下，能自我复制或运行的计算机程序。算机程序。特点：电脑病毒具有的不良特点：电脑病毒具有的不良特征有特征有传染性传染性、隐蔽性隐蔽性、感感染性染性、潜伏性潜伏性、可激发性可激

2、发性、表现性或破坏性表现性或破坏性。1 1）传染性）传染性 计算机病毒不但本身具有破坏性，计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令被复制或产生变种，其速度之快令人难以预防。人难以预防。2 2）隐蔽性）隐蔽性一般的病毒仅在数一般的病毒仅在数KB左右，这样除左右，这样除了传播快速之外，隐蔽性也极强。了传播快速之外，隐蔽性也极强。部分病毒使用部分病毒使用“无进程无进程”技术或插技术或插入到某个系统必要的关键进程当中，入到某个系统必要的关键进程当中，所以在任务管理器中找不到它的单所以在任务管理器中找不到它的单独运行进程。而

3、病毒自身一旦运行独运行进程。而病毒自身一旦运行后，就会自己修改自己的文档名并后，就会自己修改自己的文档名并隐藏在某个用户不常去的系统文件隐藏在某个用户不常去的系统文件夹中夹中3 3）感染性）感染性某些病毒具有感染性，比如感染中毒用户某些病毒具有感染性，比如感染中毒用户计算机上的可执行文件，如计算机上的可执行文件，如exe、bat、scr、com格式，通过这种方法达到自我复制，格式，通过这种方法达到自我复制，对自己生存保护的目的。通常也可以利用对自己生存保护的目的。通常也可以利用网络共享的漏洞，复制并传播给邻近的计网络共享的漏洞，复制并传播给邻近的计算机用户群，使邻里通过路由器上网的计算机用户群

4、，使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序算机或网吧的计算机的多台计算机的程序全部受到感染。全部受到感染。4 4）潜伏性）潜伏性部分病毒有一定的部分病毒有一定的“潜伏期潜伏期”，在特定的，在特定的日子，如某个节日或者星期几按时爆发。日子，如某个节日或者星期几按时爆发。如同生物病毒一样，这使计算机病毒可以如同生物病毒一样，这使计算机病毒可以在爆发之前，以最大幅度散播开去。在爆发之前，以最大幅度散播开去。5 5）可激发性）可激发性根据病毒作者的意图，设置触发病根据病毒作者的意图，设置触发病毒攻击的条件，当条件满足后，病毒攻击的条件，当条件满足后，病毒就会爆发。毒就会爆发。6 6

5、）表现性）表现性病毒运行后，如果按照作者的设计，病毒运行后，如果按照作者的设计，会有一定的表现特征：如会有一定的表现特征：如CPU占用率占用率100%，在用户无任何操作下读写硬，在用户无任何操作下读写硬盘或其他磁盘数据，蓝屏死机，鼠盘或其他磁盘数据，蓝屏死机，鼠标右键无法使用等。标右键无法使用等。7 7）破坏性）破坏性某些威力强大的病毒，运行后直接某些威力强大的病毒，运行后直接格式化用户的硬盘数据，更为厉害格式化用户的硬盘数据，更为厉害一些可以破坏引导扇区以及一些可以破坏引导扇区以及BIOS，已，已经在硬件环境造成了相当大的破坏。经在硬件环境造成了相当大的破坏。病毒的种类病毒的种类根据中国国家

6、计算机病毒应急处理中心发根据中国国家计算机病毒应急处理中心发表的报告统计，占表的报告统计，占近近45%的病毒是木马程的病毒是木马程序，蠕虫占病毒总数的序，蠕虫占病毒总数的25%以上，脚本病以上，脚本病毒占毒占15%以上，其余的病毒类型分别是：以上，其余的病毒类型分别是：文档型病毒、破坏性程序和宏病毒文档型病毒、破坏性程序和宏病毒。木马程序：病毒作者未经对木马程序：病毒作者未经对方同意用过木马程序远程控方同意用过木马程序远程控制对方计算机，达到窃取用制对方计算机，达到窃取用户资料或者发动户资料或者发动dos攻击的攻击的作用。作用。蠕虫：计算机蠕虫和病毒的蠕虫：计算机蠕虫和病毒的区别在于蠕虫可以独

7、立存在。区别在于蠕虫可以独立存在。可能意图是占用带宽、消耗可能意图是占用带宽、消耗计算机资源、损坏文件等计算机资源、损坏文件等。 脚本病毒：脚本病毒通常是使用脚本语言编写的恶意代码，通过网页进脚本病毒：脚本病毒通常是使用脚本语言编写的恶意代码，通过网页进行的传播的病毒。可能会修改您的行的传播的病毒。可能会修改您的IE首页、修改注册表等信息，造成用户首页、修改注册表等信息，造成用户使用计算机不方便。使用计算机不方便。 宏病毒：宏病毒是一种使得应用软件的相关应用文档内含有被称为宏的宏病毒：宏病毒是一种使得应用软件的相关应用文档内含有被称为宏的可执行代码的病毒。一可执行代码的病毒。一个个电子表格电子

8、表格程序程序可能可能允许用户在一个文档中嵌入允许用户在一个文档中嵌入“宏命令宏命令”，使得某种操作得以自动运行；同样的操作也就可以将病毒，使得某种操作得以自动运行；同样的操作也就可以将病毒嵌入电子表格来对用户的使用造成破坏嵌入电子表格来对用户的使用造成破坏。破坏性程序：用好看的图标破坏性程序：用好看的图标来诱惑用户点击，使病毒运来诱惑用户点击，使病毒运行，直接对用户计算机产生行，直接对用户计算机产生破坏。破坏。文档型病毒：文件型病毒通文档型病毒：文件型病毒通常寄居于可执行文件（扩展常寄居于可执行文件（扩展名为名为.EXE或或.COM的文件），的文件），当被感染的文件被运行，病当被感染的文件被运

9、行，病毒便开始破坏计算机毒便开始破坏计算机。计算机病毒计算机病毒的传播主要通过文件拷贝、文件传送、的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传文件执行等方式进行，文件拷贝与文件传送需要传输媒介，文件执行则是病毒感染的必然途径（输媒介，文件执行则是病毒感染的必然途径（Word、Excel等宏病毒通过等宏病毒通过Word、Excel调用间接地执行）。调用间接地执行）。传播途径有网页、邮件、软件、插件、路由器、移传播途径有网页、邮件、软件、插件、路由器、移动存储设备等。动存储设备等。危害：危害： 占用性能，如占用内存，消耗占用性能，如占用内存，消耗cpu资源，中断干

10、扰资源，中断干扰合法程序的运行合法程序的运行 对存储设备如磁盘进行违背用户意愿的操作，如对存储设备如磁盘进行违背用户意愿的操作，如删除数据、格式化硬盘、改写数据、覆盖数据，删除数据、格式化硬盘、改写数据、覆盖数据，造成文件的损坏或者存储空间的消耗。造成文件的损坏或者存储空间的消耗。 向网络发送大量数据拥堵网络，发送邮件炸弹，向网络发送大量数据拥堵网络，发送邮件炸弹，进行洪水攻击等。进行洪水攻击等。 窃取用户隐私、机密文件、账号信息等。窃取用户隐私、机密文件、账号信息等。 给计算机用户造成心理危害给计算机用户造成心理危害病毒的传播与危害二、二、反病毒软件反病毒软件反反病毒软件的概念病毒软件的概念

11、反病毒软件，也称杀毒软件或防毒软反病毒软件，也称杀毒软件或防毒软件，是用于消除电脑病毒、特洛伊木件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软马和恶意软件等计算机威胁的一类软件。件。反病毒软件通常集成监反病毒软件通常集成监控识别、病毒扫描和清除控识别、病毒扫描和清除和自动升级等功能，有的和自动升级等功能，有的反病毒软件还带有数据恢反病毒软件还带有数据恢复等功能，是计算机防御复等功能，是计算机防御系统（包含反病毒软件，系统（包含反病毒软件，防火墙，特洛伊木马和其防火墙，特洛伊木马和其他恶意软件的查杀程序，他恶意软件的查杀程序，入侵预防系统等）的重要入侵预防系统等）的重要组成部分

12、。组成部分。一个杀毒软件一般由扫一个杀毒软件一般由扫描器、病毒库与虚拟机组描器、病毒库与虚拟机组成，并由主程序将他们结成，并由主程序将他们结为一体。为一体。反病毒软件的工作原理扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果直接取决于它的扫描器编译技术与算法的先件的杀毒效果直接取决于它的扫描器编译技术与算法的先进程度，而且杀毒软件不同的功能往往对应着不同的扫描进程度，而且杀毒软件不同的功能往往对应着不同的扫描器。因此，大多数杀毒软件都是由多个扫描器组成的。器。因此，大多数杀毒软件都是由多个扫描器组成的。病毒库存储的特征码形式取决于扫描

13、器采用的扫描技术病毒库存储的特征码形式取决于扫描器采用的扫描技术。它里面存储着病毒的特征码，大小为数十字节。特征码。它里面存储着病毒的特征码，大小为数十字节。特征码总的分来只有两个，文件特征码与内存特征码。文件特征总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，内存特征码存在于内存中码存在于一些未执行的文件里，内存特征码存在于内存中已运行的应用程序已运行的应用程序。虚拟机作为最近引进的概念，使病毒在一个由杀毒虚拟机作为最近引进的概念，使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的软件构建的虚拟环境中执行，与现实的CPU、硬盘、硬盘等完全隔离，通过分析病毒的作

14、用确定病毒的种类等完全隔离，通过分析病毒的作用确定病毒的种类以及清除方法。以及清除方法。1 1）脱壳技术）脱壳技术脱壳技术是一种十分常脱壳技术是一种十分常用的技术，可以对压缩文用的技术，可以对压缩文件、加壳文件、加花文件、件、加壳文件、加花文件、封装类文件进行分析的技封装类文件进行分析的技术术。反病毒软件所设计的关键技术反病毒软件所设计的关键技术2 2）自我保护技术）自我保护技术自我保护技术基本在自我保护技术基本在各个杀毒软件均含有，各个杀毒软件均含有，可以防止病毒结束杀毒可以防止病毒结束杀毒软件进程或篡改杀毒软软件进程或篡改杀毒软件文件。进程的自我保件文件。进程的自我保护有两种：单进程自我护

15、有两种：单进程自我保护，多进程自我保护保护，多进程自我保护。反病毒软件所设计的关键技术反病毒软件所设计的关键技术3 3）修复技术）修复技术对被病毒损坏的文件进对被病毒损坏的文件进行修复的技术，如病毒破行修复的技术，如病毒破坏了系统文件，杀毒软件坏了系统文件，杀毒软件可以修复或下载对应文件可以修复或下载对应文件进行修复。没有这种技术进行修复。没有这种技术的杀毒软件往往删除被感的杀毒软件往往删除被感染的系统文件后计算机崩染的系统文件后计算机崩溃，无法启动溃，无法启动。反病毒软件所设计的关键技术反病毒软件所设计的关键技术4 4）实时升级技术）实时升级技术每一次连接互联网，反每一次连接互联网，反病毒软

16、件都自动连接升级病毒软件都自动连接升级服务器查询升级信息，如服务器查询升级信息，如需要则进行升级。目前更需要则进行升级。目前更先进的云查杀技术，实时先进的云查杀技术，实时访问云数据中心进行判断，访问云数据中心进行判断，用户无需频繁升级病毒库用户无需频繁升级病毒库即可防御最新病毒。即可防御最新病毒。反病毒软件所设计的关键技术反病毒软件所设计的关键技术5 5）主动防御技术）主动防御技术主动防御技术是通过动主动防御技术是通过动态仿真反病毒专家系统对态仿真反病毒专家系统对各种程序动作的自动监视，各种程序动作的自动监视，自动分析程序动作之间的自动分析程序动作之间的逻辑关系，综合应用病毒逻辑关系，综合应用

17、病毒识别规则知识，实现自动识别规则知识，实现自动判定病毒，达到主动防御判定病毒，达到主动防御的目的。的目的。反病毒软件所设计的关键技术反病毒软件所设计的关键技术6 6）启发技术）启发技术在原有的特征值识别技术基础上，在原有的特征值识别技术基础上，根据反病毒样本分析专家总结的分析根据反病毒样本分析专家总结的分析可疑程序样本经验（移植入反病毒程可疑程序样本经验（移植入反病毒程序），在没有符合特征值比对时，根序），在没有符合特征值比对时，根据反编译后程序代码所调用的据反编译后程序代码所调用的win32API函数情况（特征组合、出现函数情况（特征组合、出现频率等）判断程序的具体目的是否为频率等）判断程

18、序的具体目的是否为病毒、恶意软件，符合判断条件即报病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的。解决了未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的单一通过特征值比对存在的缺陷。缺陷。反病毒软件所设计的关键技术反病毒软件所设计的关键技术7 7）虚拟机技术）虚拟机技术采用人工智能采用人工智能(AI)算法，算法，具备具备“自学习、自进化自学习、自进化”能力，能免疫大部分的能力，能免疫大部分的加壳和变种病毒，在海加壳和变种病毒，在海量病毒样本数据中归纳量病毒样本数据中归纳出一套智能算法，自己出一套智能算法，自己来发

19、现和学习病毒变化来发现和学习病毒变化规律。规律。反病毒软件所设计的关键技术反病毒软件所设计的关键技术第第一代：早期的防病毒卡、手动查杀的一代：早期的防病毒卡、手动查杀的dos版软件；代表版软件；代表产品有：产品有：kill、kv100、kv200、kv300、瑞星、早期、瑞星、早期vrv、早、早期期avxx。这种方式可以准确地清除病毒，可靠性很高。后。这种方式可以准确地清除病毒，可靠性很高。后来病毒技术发展了，特别是加密和变形技术的运用，使得来病毒技术发展了，特别是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。这种简单的静态扫描方式失去了作用。第二代：在线监控实时查杀的病毒防火墙

20、；代表产品有：第二代：在线监控实时查杀的病毒防火墙；代表产品有：vrv杀毒套装、杀毒套装、killxx版、版、kv3000预览版预览版第三代：防杀兼备、万能恢复；代表产品有：第三代：防杀兼备、万能恢复；代表产品有：360、金山、金山毒霸毒霸第四代（预测）：人工智能第四代（预测）：人工智能反病毒软件的发展反病毒软件的发展 1 2 3三、三、病毒病毒检测技术检测技术特征特征代码法代码法采集已知病毒样本，抽取特征代码采集已知病毒样本，抽取特征代码。如果。如果发现病毒特征代码，由于特征代码与病毒一一发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。对应，便可以断定，被查

21、文件中患有何种病毒。病毒病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。新病毒。优点：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。优点：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。缺点：不能检测未知病毒、搜集已知病毒的特征代码，不能检查多态性病毒，不能对付缺点：不能检测未知病毒、搜集已知病毒的特征代码，不能检查多态性病毒，不能对付隐蔽性病毒，费用开销大，在网络上效率低（在网络服务器上，因长时间检索会使整个网隐蔽性病毒，费用开销大，在

22、网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。络性能变坏）。几乎市场上所有反病毒软件都运用了这种方法。几乎市场上所有反病毒软件都运用了这种方法。这段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征这段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。描引擎。校验和校验和法法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地

23、或每次使用文件前，检查文件现文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染。否感染。优点优点：方法简单能发现未知病毒、被查文件的细微变化也能发现。：方法简单能发现未知病毒、被查文件的细微变化也能发现。缺点：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、缺点：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。不能对付隐蔽型病毒。如如360运用了此方法做辅助。运用了此方法做辅助。行为行为监测法监测法利用病毒的特有

24、行为特征性来监测病毒的方法，称为行利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。立即报警。这些做为监测病毒的行为特征如下：这些做为监测病毒的行为特征如下：A.A.占有占有INT 13H：引导型病毒占据：引导型病毒占据INT 13H功能，在其中放功能，在其中放置病毒所需的代

25、码。置病毒所需的代码。&127;B.B.修改系统内存总量：病毒常驻内存后，为了防止修改系统内存总量：病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。系统将其覆盖，必须修改系统内存总量。C.C.对对COM、EXE文件做写入动作：病毒要感染，必须写文件做写入动作：病毒要感染，必须写COM、EXE文件。文件。&127;D.D.病毒程序与宿主程序的切换：染毒程序运行中，先运病毒程序与宿主程序的切换：染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。行为。优点：可发现未知病毒、可相当准确地预报未

26、知的多数优点：可发现未知病毒、可相当准确地预报未知的多数病毒。病毒。缺点：可能误报警、不能识别病毒名称、实现时有一定缺点：可能误报警、不能识别病毒名称、实现时有一定难度。难度。360360安全卫士运用此方法监控计算机内的程序。安全卫士运用此方法监控计算机内的程序。软件软件模拟法模拟法将一些检测工具纳入软件模拟将一些检测工具纳入软件模拟法，这些工具开始运行时，使用法，这些工具开始运行时，使用特征代码法检测病毒，如果发现特征代码法检测病毒，如果发现隐蔽式病毒或多态病毒嫌疑时，隐蔽式病毒或多态病毒嫌疑时，即启动软件模拟模块，监视病毒即启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码的运行，待病毒自身的密码译码以后，再运用特征代码法来识别以后，再运用特征代码法来识别病毒的种类。病毒的种类。四、四、反病毒软件发展反病毒软件发展面临的问题面临的问题随着智能手机的不断普及，手机病毒成为随着智能手机的不断普及，手机病毒成为了病毒发展的下一个目标。手机病毒是一种了病毒发展的下一个目标。手机病毒是一种破坏性程序，和破坏性程序，和计算机计算机病毒（程序）一样具病毒（程序）一样具有传染性、破坏性。手机病毒可利用发送短有传染性、破坏性。手机病毒可利用发送短信、彩信，电子邮件，浏览网站，