第7章 计算机病毒防治

第7章计算机病毒防治信息安全技术与应用第七章计算机病毒防治

计算机病毒的出现成为信息化社会的公害，是一种特殊的犯罪形式防治计算机病毒是一个系统工程，不仅要有强大的技术支持，而且要有完善的法律法规、严谨的管理体系、科学的规章制度以及系统的防范措施本章介绍了计算机病毒的发展历史、病毒特性、分类方法、传播途径和工作机理，列举了典型病毒的检查和清除方法，讨论了关于防治计算机病毒的管理和技术措施。信息安全技术与应用7.1

计算机病毒的特点与分类计算机病毒也是计算机程序，有着生物病毒相似的特性病毒驻留在受感染的计算机内，并不断传播和感染可连接的系统，在满足触发条件时，病毒发作，破坏正常的系统工作，强占系统资源，甚至损坏系统数据。病毒不但具有普通程序存储和运行的特点，还具有传染性、潜伏性、可触发性、破坏性、针对性、隐蔽性和衍生性等特征。信息安全技术与应用7.1.1

计算机病毒的发展计算机病毒是伴随计算机的发展而不断发展变化的。早在1949年计算机刚刚诞生时，计算机之父冯·诺依曼在《复杂自动机组织论》中便定义了病毒的基本概念“一部事实上足够复杂的机器能够复制自身”信息安全技术与应用7.1.1

计算机病毒的发展（续）

时间

名称

特点20世纪60年代初CoreWar通过复制自身来摆脱对方控制1981年ElkCloner通过磁盘进行感染1986年底Brain首次使用了伪装手段1987年Casade自我加解密1987年12月ChristmasTree第一个网络病毒，在VM/CMS操作系统下传播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕虫程序造成Internet的堵塞信息安全技术与应用7.1.1

计算机病毒的发展（续）首例能够破坏硬件的病毒CHI1998年6月第一个使用FTP进行传播Homer1997年4月第一个Linux环境下的病毒Bliss1997年2月攻击Windows操作系统病毒大规模出现宏病毒Concept1995年8月9日感染C语言和Pascal语言感染OBJ文件SrcVirShifter1993、1994年第一个多态病毒Chameleon1990年标志着计算机病毒开始入侵我国“小球”1989年4月格式化硬盘Yankee1989年特点名称时间信息安全技术与应用7.1.1

计算机病毒的发展（续）

时间

名称

特点1999年美丽杀宏病毒和蠕虫的混合物，通过电子邮件传播2000年VBS/KAK使用脚本技术2001年红色代码利用微软操作系统的缓冲区溢出的漏洞传播2001年Nimda利用电子邮件传播2001年网络神偷木马/黑客病毒，对本地及远程驱动器的文件进行任何操作2002年6月Perrum第一个从程序感染转变为数据文件感染的病毒2003年“2003蠕虫王”多元混合化，数小时内使全球主干网陷入瘫痪2004年频繁的变种病毒大量出现信息安全技术与应用7.1.1

计算机病毒的发展（续）

时间

名称

特点2005年我的照片特洛伊木马，窃取银行的账号和密码2006年“威金”病毒具备了木马和蠕虫的双重特征2007年“熊猫烧香”蓝屏、频繁重启以及系统硬盘中数据文件被破坏,最终导致企业局域网瘫痪2008年获利已经成为黑客传播病毒的唯一目标2009年U盘等移动存储介质成为病毒传播的主要途径之一2010年为了对抗“云安全”反病毒技术，许多病毒开始纷纷给自身“增肥”；网购木马初露端倪2011年“变形金刚”网购木马更加活跃、变种繁多，多个网购木马成功突破安全软件的防御，盗窃用户信息财产。2012年彩票类钓鱼网站成为黑客新宠，同时节假日及热点事件成为黑客们关注的焦点。信息安全技术与应用7.1.2

计算机病毒的特性

1.

传染性

2.

潜伏性

3.

可触发性

4.

破坏性

5.

针对性

6.

隐蔽性

7.

衍生性信息安全技术与应用传染性病毒通过修改磁盘扇区信息或文件内容，并把自身嵌入到一切符合其传染条件的未受到传染的程序之上，实现自我复制和自我繁殖，达到传染和扩散的目的。被感染的程序和系统将成为新的传染源，在与其它系统和设备接触时继续进行传播。被嵌入的程序叫做宿主程序。信息安全技术与应用潜伏性病毒在进入系统之后通常不会马上发作，可长期隐藏在系统中，除了传染外不做什么破坏，以提供足够的时间繁殖扩散。病毒在潜伏期，不破坏系统，因而不易被用户发现。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大。信息安全技术与应用可触发性病毒因某个事件或数值的出现，激发其进行传染，或者激活病毒的表现部分或破坏部分的特性称为可触发性。计算机病毒一般都有一个或者多个触发条件，病毒的触发机制用来控制感染和破坏动作的频率。病毒运行时，触发机制检查预定条件是否满足，满足条件时，病毒触发感染或破坏动作，否则继续潜伏。信息安全技术与应用破坏性病毒是一种可执行程序，病毒的运行必然要占用系统资源，如占用内存空间，占用磁盘存储空间以及系统运行时间等。病毒的破坏性主要取决于病毒设计者的目的。良性病毒：干扰显示屏幕，显示乱码，占用系统资源恶性病毒：有明确的目的，破坏数据、删除文件、加密磁盘甚至格式化磁盘、破坏硬件，对数据造成不可挽回的破坏。信息安全技术与应用针对性病毒是针对特定的计算机、操作系统、服务软件、甚至特定的版本和特定模版而设计的。小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。“CodeBlue（蓝色代码）”专门攻击WINDOWS2000操作系统。英文Word中的宏病毒模板在同一版本的中文Word中无法打开而自动失效。2002年1月8日出现的感染SWF文件的SWF.LFM.926病毒由于依赖Macro-media独立运行的Flash播放器，而不是依靠安装在浏览器中插件，使其传播受到限制。信息安全技术与应用隐蔽性大部分病毒都设计得短小精悍病毒通常都附在正常程序中或磁盘较隐蔽的地方病毒程序与正常程序是不容易区别开的病毒在潜伏期并不恶意破坏系统工作传染的隐蔽性存在的隐蔽性信息安全技术与应用衍生性很多病毒使用高级语言编写，通过分析计算机病毒的结构可以了解设计者的设计思想，从而衍生出各种新的计算机病毒，称为病毒变种。变种的主要传染和破坏的机理与母体病毒基本一致，只是改变了病毒的外部表象。变种病毒造成的后果可能比原版病毒更为严重。信息安全技术与应用7.1.3

计算机病毒分类1.按照计算机病毒的危害程度分类

2.按照传染方式分类

3.按照计算机病毒的寄生方式分类

4.其他一些分类方式信息安全技术与应用按照计算机病毒的危害程度分类良性病毒：不对计算机系统和数据进行彻底破坏的病毒占用系统资源，会导致整个系统运行效率降；与操作系统和应用程序争抢CPU的控制权，导致整个系统死锁，妨碍正常的系统操作在多个病毒交叉感染时也可造成系统崩溃。恶性病毒：能够损伤和破坏计算机系统及其数据，在其传染或发作时对系统产生彻底破坏作用的病毒目的明确，破坏数据、删除文件、加密磁盘、甚至格式化磁盘信息安全技术与应用按照传染方式分类引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。可细分为主引导记录病毒和分区引导记录病毒。文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。混合型病毒是指具有引导型病毒和文件型病毒两种寄生方式的计算机病毒。这种病毒既感染磁盘的引导区，又感染可执行文件，增加了病毒的传染性及存活率信息安全技术与应用按照计算机病毒的寄生方式分类源码型病毒是用高级语言编写的，攻击用高级语言编写的程序。这种病毒若不进行汇编、链接，就无法传染扩散。嵌入型病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。技术难度较大，一旦侵入后也较难消除。外壳型病毒寄生在宿主程序的前面或后面，并修改程序的第一条执行指令，使病毒先于宿主程序执行。易于编写，易于发现，通过文件的大小判别。信息安全技术与应用其他分类方式按照攻击的操作系统可分为：攻击DOS操作系统的、攻击Windows系统的、攻击UNIX系统的、攻击OS/2系统的病毒。按照计算机病毒激活的时间可分为：定时发作的病毒和不由时钟来激活的随机病毒。按照传播媒介可分为：以磁盘为载体的单机病毒和以网络为载体的网络病毒。按攻击的机型还可将病毒分为：攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒。信息安全技术与应用7.1.4

计算机病毒的传播第一种途径:通过不可移动的计算机硬件设备进行传播。设备中有计算机的专用ASIC（ApplicationSpecificIntegratedCircuit，特定用途集成电路）芯片和硬盘等。这种病毒极少，破坏力极强。第二种途径：通过移动存储设备传染。如软盘、U盘、可擦写光盘、MP3、存储卡、记忆棒等。第三种途径：通过计算机网络传播，是传播的主流途径，也是危害最大的传播途径。第四种途径：通过点对点通信系统和无线通道传播。信息安全技术与应用7.1.5计算机病毒机理下面通过例1介绍计算机病毒的结构。文件名为：autoexec.bat，其内容如下：

@echooff #关闭回显功能

echoThisisavirusdemonstrationprogram. #病毒示例程序

ifexistb:\autoexec.batgotovirus #检查时机

gotono-virus #时机不成熟则继续潜伏

:virus #时机成熟

b: #到b:盘

renameautoexec.batauto.bat #修改原文件名字

copya:\autoexec.batb: #复制自身

echoYouhaveavirus! #表现症状

:no-virus #正常程序入口

a:\auto.bat #执行正常程序信息安全技术与应用7.1.5计算机病毒机理病毒一般包含3个模块：引导模块将病毒程序引入内存并使其后面的两个模块处于激活状态；感染模块在感染条件满足时把病毒感染到所攻击的对象上；表现模块（破坏模块）在病毒发作条件满足时，实施对系统的干扰和破坏活动。并不是所有计算机病毒都由这3大模块组成，病毒在3个模块之间可能没有明显的界限。信息安全技术与应用7.1.5计算机病毒机理1.引导型病毒

2.外壳型病毒

3.宏病毒信息安全技术与应用引导型病毒引导型病毒是一种在ROMBIOS之后，系统引导时出现的病毒，先于操作系统，依托的环境是BIOS中断服务程序引导型病毒利用操作系统的引导模块放在固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据因而，引导型病毒改写磁盘上的引导扇区（BOOTSECTOR）的内容或改写硬盘上的分区表（FAT），占据该物理位置即可获得控制权病毒将引导区内容搬家转移或替换，待病毒程序被执行后，再将控制权交给引导区内容，使得带病毒的系统看似运转正常，从而隐藏病毒的存在信息安全技术与应用外壳型病毒作为典型的文件型病毒，外壳型病毒需要寄生的宿主程序，并修改宿主程序的第一条执行指令，使病毒先于宿主程序执行，随着宿主程序的使用而传染扩散。信息安全技术与应用

宏病毒Word载入文档时，先执行起始的宏，再载入资料内容，目的是使Word能够根据资料的不同需要，使用不同的宏工作。Word为普通用户事先定义一个共用的范本文档Normal.dot，里面包含了基本的宏。只要一启动Word，就会自动运行Normal.dot文件。感染了Word宏病毒的文档运行时，实现了病毒的自动运行，病毒把带病毒的宏移植到通用宏的代码段，实现对其它文件的感染。信息安全技术与应用7.2

计算机病毒检查与清除计算机病毒在感染健康程序后，会引起各种变化。每种计算机病毒所引起的症状都有一定的特点。计算机病毒的检测原理就是根据这些特征，来判断病毒的种类，进而确定清除办法。将感染计算机病毒的文件中的计算机病毒模块摘除，并使之恢复为可以正常使用的文件的过程称为计算机病毒清除并不是所有的染毒文件都可以安全地清除掉计算机病毒，也不是所有的文件在清除计算机病毒后都能恢复正常。信息安全技术与应用7.2.1计算机病毒的检测原理常用的计算机病毒检测方法有比较法、校验和法、特征扫描法、行为监测法、感染实验法和分析法等。计算机病毒检测从操作上可分为手工检测和自动检测两种手段。信息安全技术与应用7.2.2计算机病毒的清除原理以文件型病毒的清除为例，若病毒为外壳型病毒，可以按照病毒传染的逆过程，摘除病毒模块，恢复原有文件的代码和功能若病毒为覆盖型病毒，由于原有宿主程序信息的丢失，无法还原原有文件的功能，摘除病毒模块并保留剩余程序代码已无意义，只能将感染的文件彻底删除。信息安全技术与应用手工清除计算机病毒使用Debug、Regedit、SoftICE和反汇编语言等工具，凭借对计算机病毒的分析和了解，从感染计算机病毒的文件中摘除计算机病毒，并复原原有文件的功能。自动清除使用查杀软件自动清除计算机病毒并使之复原，其操作简单、效率高、风险小。清除具有一定的风险，可能破坏原有的文件数据，也可能根本就无法还原原有的文件。顽固的恶性病毒只有通过磁盘的低级格式化进行清理。信息安全技术与应用7.2.3

典型病毒清除方法

1.Sircam蠕虫病毒

2.圣诞节病毒

3.“欢乐时光”病毒

4.“冰河”木马病毒信息安全技术与应用7.3

计算机病毒防治措施由于网络和计算机的开放性和共享性，病毒也将伴随网络和计算机的发展而不断升级，因此，病毒和反病毒之间的对抗将是长期的。采取有效的预防措施，使病毒的波及范围、破坏作用减到最小。信息安全技术与应用7.3.1

计算机病毒防治管理措施1994年颁布了《中华人民共和国计算机信息系统安全保护条例》，其中规定：故意输入计算机病毒以及其他有害数据，危害计算机信息安全的要对个人和单位处以高额罚款，并依法追究刑事责任。1997年出台的新《刑法》中增加了有关对制作、传播计算机病毒进行处罚的条款。2000年5月，公安部颁布实施了《计算机病毒防治管理办法》。信息安全技术与应用7.3.1

计算机病毒防治管理措施（续）备好启动盘，并设置写保护。尽量不用软盘、U盘、移动硬盘或其他移动存储设备启动计算机，而用本地硬盘启动。定期对重要的资料和系统文件进行备份。可以通过比照文件大小、检查文件个数、核对文件名字来及时发现病毒。重要的系统文件和磁盘可以通过赋予只读功能，避免病毒的寄生和入侵。也可以通过转移文件位置，修改相应的系统配置来保护重要的系统文件。……信息安全技术与应用7.3.2计算机病毒防治技措施1.系统加固2.系统监控

3.软件过滤4.文件加密5.备份恢复信息安全技术与应用系统加固许多计算机病毒都是通过系统漏洞进行传播的构造一个安全的系统是国内外专家研究的热点常见的系统加固工作主要包括：信息安全技术与应用内核参数及配置调整系统最小化处理加强口令管理启动日志审计功能等。安装最新补丁禁止不必要的应用和服务禁止不必要的账号去除后门系统监控系统监控技术主要指对系统的实时监控，包括：注册表监控、脚本监控、内在监控、邮件监控、文件监控等。实时监控技术能够始终作用于计算机系统，监控访问系统资源的一切操作，并能够对其中可能含有的计算机病毒进行清除。大多数杀毒软件和工具都具有实施监测系统内存、定期查杀系统磁盘的功能，并可以在文件打开前自动对文件进行检查。信息安全技术与应用软件过滤软件过滤的目的是识别某一类特殊的病毒，以防止它们进入系统和复制传播，已被用来保护一些大、中型计算机系统。国外使用的一种T-cell程序集，对系统中的数据和程序用一种难以复制的印章加以保护，如果印章被改变，系统就认为发生了非法入侵。Digital公司的一