计算机病毒及防治

1、第3章 计算机病毒及防治3.1 计算机病毒概述3.2 计算机病毒的工作机理3.3 计算机病毒实例3.4 计算机病毒的检测和清除3.1 计算机病毒概述3.1.1 计算机病毒的概念和发展史1萌芽阶段2DOS平台阶段3Windows平台阶段4互联网阶段3.1.2 计算机病毒的特征计算机病毒一般具有以下几个特征。1传染性2非授权性3隐蔽性4潜伏性5破坏性6不可预见性3.1.3 计算机病毒的种类1按病毒的寄生方式分类（1）文件型病毒（2）引导型病毒（3）混合型病毒2按病毒的传染方法分类（1）驻留型病毒（2）非驻留型病毒3按病毒的破坏能力分类（1）无害性具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没

2、有其他影响。（2）无危害性这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出声音等。（3）危险性这类病毒在计算机系统操作中造成严重的错误。（4）非常危险性这类病毒会删除程序，破坏数据，清除系统内存区和操作系统中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大的。4按病毒特有的算法分类（1）伴随型病毒（2）“蠕虫”病毒（3）寄生型病毒5按病毒的链接方式分类（1）源码型病毒（2）嵌入型病毒（3）外壳病毒（4）操作系统型病毒3.2 计算机病毒的工作机理3.2.1 引导型病毒1引导区的结构2计算机的引导过程3引导型病毒的基本原理图3.1 转移型引导病毒的原理图3.2.2 文件型病毒（1）内

3、存驻留的病毒首先检查系统内存，查看内存是否已有此病毒存在，如果没有则将病毒代码装入内存进行感染。（2）对于内存驻留病毒来说，驻留时还会把一些DOS或者基本输入输出系统（BIOS）的中断指向病毒代码（3）执行病毒的一些其他功能，如破坏功能，显示信息或者病毒精心制作的动画等。（4）这些工作后，病毒将控制权返回被感染程序，使正常程序执行。3.2.3 混合型病毒混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒，它们可以感染可执行文件，也可以感染引导区，并使之相互感染，具有相当强的感染力。3.2.4 宏病毒宏病毒是计算机病毒历史上发展最快的病毒，它也是传播最广泛，危害最大的一类病毒。据国际计算

4、机安全协会（International Computer Security Association）的统计报道，在当前流行的病毒中，宏病毒占全部病毒的80%左右。宏病毒是一类使用宏语言编写的程序，依赖于微软Office办公套件Word、Excel和PowerPoint等应用程序传播。1宏病毒的特征（1）宏病毒与传统的文件型病毒有很大的不同。（2）宏病毒的感染必须通过宏语言的执行环境（如Word和Excel程序）的功能，不能直接在二进制的数据文件中加入宏病毒代码。（3）宏病毒是一种与平台无关的病毒，任何可以正确打开和理解Word文件宏代码的平台都可能感染宏病毒。（4）此外宏病毒编写容易，破坏性强

5、。它使用Visual Basic For Applications（VBA）这样的高级语言编写，编写比较简单，功能比较强大，只要掌握一些基本的“宏”编写手段，即可编写出破坏力很大的宏病毒。（5）宏病毒的传播速度极快。由于网络的普及，Email和FTP服务使人们更加方便快捷地获取信息，但同时也为宏病毒的传播提供了便利条件。而且，随着“无纸办公”方式的使用，微软Office软件已经成为办公人员不可缺少的工具，这也为宏病毒提供了广阔的天地。2宏病毒的感染机制3宏病毒的表现（1）有些宏病毒只进行自身的传播，并不具破坏性。（2）这些宏病毒只对用户进行骚扰，但不破坏系统。（3）有些宏病毒极具破坏性。3.2

6、.5 网络病毒1蠕虫病毒的传播过程蠕虫病毒的传播可以分为3个基本模块：（1）扫描由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。（2）攻击攻击模块按漏洞攻击步骤自动攻击步骤（1）中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。（3）复制复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动。2蠕虫病毒的入侵过程手动入侵一般可分为以下三步。（1）用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。（2）针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有效利用的信息。（3）利用获得的权限在主机上安装后门

7、、跳板、控制端和监视器等，并清除日志。（1）“扫描攻击复制”模式（2）蠕虫病毒传播的其他模式3蠕虫病毒的安全防御3.3 计算机病毒实例3.3.1 CIH病毒CIH病毒是一种文件型病毒，又称Win95.CIH、Win32.CIH以及PE_CIH，其宿主是Windows 95/98系统下的PE格式可执行文件（.EXE文件），在DOS平台和Windows NT/2000平台中病毒不起作用。1CIH病毒的驻留（病毒的引导）2病毒的传染3病毒的表现3.3.2 红色代码病毒3.3.3 冲击波病毒冲击波病毒的清除方法如下。（1）病毒通过微软的最新RPC漏洞进行传播，因此用户可以先进入微软网站，下载相应的系统

8、补丁，给系统打上补丁。（2）病毒运行时会建立一个名为“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为“msblast”的进程，用户可以用任务管理器将该病毒进程终止。（3）病毒运行时会将自身复制为%systemdir%msblast.exe，用户可以手动删除该病毒文件。（4）病毒还会修改注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项，在其中加入“windows auto update”=“msblast.exe”，进行自启动，用户可以手工清除该键值。（5）病毒会用到135、4444和

9、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选”功能来禁止这些端口。3.4 计算机病毒的检测和清除3.4.1 计算机病毒的检测计算机病毒的检测技术是指通过一定的技术手段判定计算机病毒的一门技术。现在判定计算机病毒的手段主要有两种：一种是根据计算机病毒特征来进行判断，另一种是对文件或数据段进行校验和计算，保存结果，定期和不定期地根据保存结果对该文件或数据段进行校验来判定。1特征代码法 特征代码法的实现步骤如下。（1）采集已知病毒样本。（2）在病毒样本中，抽取特征代码。（3）将特征代码纳入病毒数据库。（4）打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病

10、毒特征代码。病毒特征代码法的缺点如下。（1）不能检测未知病毒。（2）不能检查多形性病毒。（3）不能对付隐蔽性病毒（4）随着病毒种类的增多，逐一检查和搜集已知病毒的特征代码，不仅费用开销大，而且在网络上运行效率低，影响此类工具的实用性。2校验和法 运用校验和法查病毒可采用以下3种方式。（1）在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。 （2）在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。 （3）将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。3行为监测法 （1）占有INT 13H。所有的引导型病毒