信息安全技术-11病毒防范技术与杀病毒软件

信息安全技术第7讲

病毒防范技术7.1病毒防范技术与杀病毒软件7.2解析计算机蠕虫病毒第7-1讲

病毒防范技术与杀病毒软件计算机病毒实际上是一种在计算机系统运行过程中能够实现传染和侵害计算机系统功能的程序。在系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入一种能力，为攻击系统、网络提供条件。例如向系统中侵入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹；或通过窃听、冒充等方式来破坏系统正常工作。因特网是目前计算机病毒的主要传播源。针对病毒的严重性，我们应提高防范意识，做到所有软件都经过严格审查，经过相应的控制程序后才能使用；积极采用防病毒软件，定时对系统中的所有工具软件、应用软件进行检测，以防止各种病毒的入侵。第7-1讲

病毒防范技术与杀病毒软件1.计算机病毒的概念“病毒”一词源于生物学，人们通过分析研究发现，计算机病毒在很多方面与生物病毒有相似之处，以此借用生物病毒的概念。在《中华人民共和国计算机信息系统安全保护条例》中的相关定义是：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。”第7-1讲

病毒防范技术与杀病毒软件(1)病毒的产生和发展随着计算机应用的普及，早期就有一些科普作家意识到可能会有人利用计算机进行破坏，提出了“计算机病毒”这个概念。不久，计算机病毒便在理论、程序上都得到了证实。第7-1讲

病毒防范技术与杀病毒软件1949年，计算机的创始人冯·诺依曼发表《复杂自动机器的理论和结构》的论文，提出了计算机程序可以在内存中进行自我复制和变异的理论。

此后，许多计算机人员在自己的研究

工作中应用和发展了程序自我复制的

理论。第7-1讲

病毒防范技术与杀病毒软件1959年，AT＆T贝尔实验室的3位成员设计出具有自我复制能力、并能探测到别的程序在运行时能将其销毁的程序。1983年，FredCohen博士研制出一种在运行过程中可以复制自身的破坏性程序。并在全美计算机安全会议上提出和在VAXII/150机上演示，从而证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。第7-1讲

病毒防范技术与杀病毒软件随着计算机技术的发展，出现了一些具有恶意的程序。最初是一些计算机爱好者恶作剧性的游戏，后来有一些软件公司为防止盗版在自己的软件中加入了病毒程序。1988年，罗伯特·莫里斯(RoberMoms)制造的蠕虫病毒是首个通过网络传播而震撼世界的“计算机病毒侵入网络的案件”。后来，又出现了许多恶性计算机病毒。计算机病毒会抢占系统资源、删除和破坏文件，甚至对硬件造成毁坏，而网络的普及使得计算机病毒传播更加广泛和迅速。第7-1讲

病毒防范技术与杀病毒软件(2)恶意程序所谓恶意程序是指一类特殊的程序，它们通常在用户不知晓也末授权的情况下潜入进来，具有用户不知道(一般也不许可)的特性，激活后将影响系统或应用的正常功能，甚至危害或破坏系统。恶意程序的表现形式多种多样，有的是改动合法程序，让它含有并执行某种破坏功能；有的是利用合法程序的功能和权限，非法获取或篡改系统资源和敏感数据，进行系统入侵。第7-1讲

病毒防范技术与杀病毒软件根据恶意程序威胁的存在形式不同，将其分为需要宿主程序和不需要宿主程序可独立存在的威胁两大类，前者基本上是不能独立运行的程序片段，而后者是可以被操作系统调度和运行的自包含程序。第7-1讲

病毒防范技术与杀病毒软件第7-1讲

病毒防范技术与杀病毒软件也可以根据是否进行复制来区分这些恶意程序。前者是当宿主程序被调用时被激活起来完成一个特定功能的程序片段；后者是由程序片段(病毒)或由独立程序(蠕虫、细菌)组成，在执行时可以在同一个系统或某个其他系统中产生自身的一个或多个以后将被激活的副本。事实上，随着恶意程序彼此间的交叉和互相渗透(变异)，这些区分正变得模糊起来。恶意程序的出现、发展和变化给计算机系统、网络系统和各类信息系统带来了巨大的危害。第7-1讲

病毒防范技术与杀病毒软件1)陷门。是进入程序的秘密入口。知道陷门的人可以不经过通常的安全访问过程而获得访问权力。陷门技术本来是程序员为了进行调试和测试程序时避免繁琐的安装和鉴别过程，或者想要保证存在另一种激活或控制的程序而采用的方法。如通过一个特定的用户ID、秘密的口令字、隐蔽的事件序列或过程等，这些方法都避开了建立在应用程序内部的鉴别过程。第7-1讲

病毒防范技术与杀病毒软件当陷门被无所顾忌地用来获得非授权访问时，就变成了威胁。如一些典型的可潜伏在用户计算机中的陷门程序，可将用户上网后的计算机打开陷门，任意进出；可以记录各种口令信息，获取系统信息，限制系统功能；还可以远程对文件操作、对注册表操作等。第7-1讲

病毒防范技术与杀病毒软件在有些情况下，系统管理员会使用一些常用的技术来加以防范。例如，利用工具给系统打补丁，把已知的系统漏洞给补上；对某些存在安全隐患的资源进行访问控制；对系统的使用人员进行安全教育等。这些安全措施是必要的，但绝不是足够的。只要是在运行的系统，总是可能找出它的漏洞而进入系统，问题只是进入系统的代价大小不同。另外，信息网络的迅速发展是与网络所能提供的大量服务密切相关的。由于种种原因，很多服务也存在这样或那样的漏洞，这些漏洞若被入侵者利用，就成了有效进入系统的陷门。第7-1讲

病毒防范技术与杀病毒软件2)逻辑炸弹。在病毒和蠕虫之前，最古老的软件威胁之一就是逻辑炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码，被设置成当满足特定条件时就会“爆炸”，执行一个有害行为的程序，如改变、删除数据或整个文件，引起机器关机，甚至破坏整个系统等破坏话动。第7-1讲

病毒防范技术与杀病毒软件3)特洛伊木马。是指一个有用的或者表面上有用的程序或命令过程，但其中包含了一段隐藏的、激活时将执行某种有害功能的代码，可以控制用户计算机系统的程序，并可能造成用户的系统被破坏甚至瘫痪。特洛伊木马程序是一个独立的应用程序，不具备自我复制能力，但具有潜伏性，常常有更大的欺骗性和危害性，而且特洛伊木马程序可能包含蠕虫病毒程序。第7-1讲

病毒防范技术与杀病毒软件特洛伊木马的一个典型例子是被修改过的编译器。该编译器在对程序(例如系统注册程序)进行编译时，将一段额外的代码插入到该程序中。这段代码在注册程序中构造陷门，使得可以使用专门口令来注册系统。不阅读注册程序的源代码，永远不可能发现这个特洛伊木马。第7-1讲

病毒防范技术与杀病毒软件4)细菌。是一些并不明显破坏文件的程序，它们的惟一目的就是繁殖自己。一个典型的细菌程序除了在多进程系统中同时执行自己的两个副本，或者可能创建两个新的文件(每一个都是细菌程序原始源文件的一个复制品)外，可能不做什么其他事情。那些新创建的程序又可能将自己两次复制，依此类推，细菌以指数级地再复制，最终耗尽了所有的处理机能力、存储器或磁盘空间，从而拒绝用户访问这些资源。第7-1讲

病毒防范技术与杀病毒软件5)蠕虫。是一种可以通过网络进行自身复制的病毒程序。一旦在系统中激活，蠕虫可以表现得像计算机病毒或细菌。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬盘或文件系统中繁殖，而典型的蠕虫程序只会在内存中维持一个活动副本，甚至根本不向硬盘中写入任何信息。此外，蠕虫是一个独立运行的程序，自身不改变其他程序，但可携带一个具有改变其他程序功能的病毒。第7-1讲

病毒防范技术与杀病毒软件为了自身复制，网络蠕虫使用了某种类型的网络传输机制。例如电子邮件。网络蠕虫表现出有潜伏期、繁殖期、触发期和执行期的特征。第7-1讲

病毒防范技术与杀病毒软件2.计算机病毒的原理(1)病毒的特征(2)病毒的分类(3)病毒的传播(4)病毒的结构第7-1讲

病毒防范技术与杀病毒软件(1)病毒的特征计算机病毒的特征主要是传染性、隐蔽性、潜伏性和表现性。第7-1讲

病毒防范技术与杀病毒软件1)传染性。计算机病毒会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。这些媒体可以是程序、文件、存储介质甚至网络，并在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。一般地，若计算机在正常程序控制下工作，只要不运行带病毒的程序，则这台计算机总是正常的，例如反病毒技术人员整天就是在这样的环境下工作的。第7-1讲

病毒防范技术与杀病毒软件然而，一旦在计算机上运行，绝大多数病毒首先要做初始化工作，在内存中找一片安身之处，随后将自身与系统软件挂钩，再执行原来被感染的程序。这一系列的操作中，只要系统不瘫痪，系统每执行一个操作，病毒就有机会得以运行，危害未曾被感染的程序。病毒程序与正常系统程序在同一台计算机内争夺系统控制权时，结果会造成系统崩溃、导致计算机瘫痪。因此，反病毒技术要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权。第7-1讲

病毒防范技术与杀病毒软件一个好的抗病毒系统甚至应该能够识别出未知计算机病毒在系统内的行为，阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成抵御已知病毒的任务。第7-1讲

病毒防范技术与杀病毒软件2)隐蔽性。不经过程序代码分析或计算机病毒代码扫描，计算机病毒程序与正常程序是不容易区别的。在没有防护措施的情况下，计算机病毒程序一经运行取得系统控制权后，可以迅速传染其他程序，而在屏幕上没有任何异常显示。传染操作完成后，计算机系统以及被感染的程序仍能执行。这种现象就是计算机病毒传染的隐蔽性。第7-1讲

病毒防范技术与杀病毒软件3)潜伏性。病毒具有依附其他媒体寄生的能力，它可以在磁盘、光盘或其他介质上潜伏几天，甚至几年，不满足其触发条件时，除了传染以外不做其他破坏。触发条件一旦得到满足，病毒就四处繁殖、扩散、破坏。计算机病毒使用的触发条件主要有：利用计算机系统时钟、利用病毒体自带计数器、利用计算机内执行的某些特定操作等。第7-1讲

病毒防范技术与杀病毒软件4)表现性。当触发条件满足时，病毒在被感染的计算机上开始发作，表现出一定的症状和破坏性。根据计算机病毒的危害性不同，病毒发作时表现出来的症状可能有很大差别。从显示一些令人讨厌的信息，到降低系统性能，破坏数据(信息)，直到永久性摧毁计算机硬件和软件，造成系统崩溃，网络瘫痪等等。第7-1讲

病毒防范技术与杀病毒软件(2)病毒的分类分类方式不同，计算机病毒的类型也不同。通常，计算机病毒可做如下分类。按感染形式按寄生方式按攻击方式根据病毒操作的方式或使用的编程技术第7-1讲

病毒防范技术与杀病毒软件按感染形式分类，主要有：1)文件型病毒。通过在执行系列中插入指令把自己依附在可执行文件上。此种病毒感染文件，并寄生在文件中，进而造成文件损坏。2)引导型病毒：会在软盘或者硬盘的引导区、主引导记录(分区扇区)中插入指令。此时，如果计算机从被感染的磁盘引导时，病毒就会感染，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。第7-1讲

病毒防范技术与杀病毒软件3)混合型病毒：此种病毒具有兼顾引导型和文件型两种病毒的特性，不但能够感染和破坏硬盘的引导区，而且能感染和破坏文件。4)宏病毒：宏病毒不只是感染可执行文件，它可以感染一般软件文件。虽然宏病毒不会有严重的危害，但它仍是令人讨厌的事，因为它会影响系统的性能以及用户的工作效率。此种病毒是利用Office软件的宏指令产生的，所以称为宏病毒。第7-1讲

病毒防范技术与杀病毒软件计算机病毒传染的前提就是寻找病毒宿主，然后将自身寄生到宿主中。按寄生方式分类主要有：1)代替式病毒：计算机病毒用自身代码的部分或全部替代常规程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。2)连接式病毒：这种方式一般以传染文件为主，即病毒与宿主文件相连接时宿主文件的字节长度增加，但不破坏原合法程序的代码。第7-1讲

病毒防范技术与杀病毒软件3)转储式病毒：病毒将原合法的程序代码转储到存储介质的其他部位，而用病毒代码占据原合法程序的位置。4)填充式病毒：这种病毒有的传染引导程序，有的传染文件，病毒一般侵入宿主的空闲存储空间，这样就不会改变宿主程序的字节长度。第7-1讲

病毒防范技术与杀病毒软件按攻击方式分，可将病毒分为源码病毒、机器码病毒和混合码病毒；根据病毒模块存在的形式，如存在的形式为源码则称为源码病毒，如是机器码则称为机器码病毒，如两种形式都有则称为混合码病毒。第7-1讲

病毒防范技术与杀病毒软件源码病毒还可细分为Shell(命令解释程序)型和语言型。Shell型一般指接收标准输入并将命令转交给系统的命令解释器或程序。Shell型病毒包括各种操作系统的Shell程序。如UNIX的BShell、CShell，以及DOS的，Windows的cmd.exe等；语言型包括汇编语言、C语言、BASIC语言，FORTRAN语言和VisualC++、VisualBasic、VisualJ++等。第7-1讲

病毒防范技术与杀病毒软件根据病毒操作的方式或使用的编程技术分，有：1)隐蔽病毒：使用某种技术来隐蔽程序被感染的事实。例如当操作系统发出调用要得到的某些信息时，它记录下必要的信息，以便于以后欺骗操作系统和病毒程序的扫描。第7-1讲

病毒防范技术与杀病毒软件2)变形病毒：能变化，使得它们更难被鉴别出来。病毒的变化过程称为变异，变异中，病毒改变其大小和构成。通常，病毒扫描程序通过搜索已知的模式(大小、校验码、日期等)来检测病毒，一个经巧妙设计的变形病毒则可逃脱这些固定模式的检测，使传统的模式匹配法对此显得软弱无力。第7-1讲

病毒防范技术与杀病毒软件(3)病毒的传播计算机病毒一般通过某个入侵点进入系统来感染该系统。最明显、也是最常见的入侵点是从工作站传到工作站的软盘；在网络系统中，可能的入侵点包括服务器、E-mail附加部分、因特网BBS上下载的文件、网站、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、计算机实验室以及其他共享设备等。第7-1讲

病毒防范技术与杀病毒软件(4)病毒的结构虽然不同类型计算机病毒的机制和表现手法不尽相同，但其结构基本相似。一般说来都由以下3个程序模块组成。1)引导模块。2)传染模块。3)破坏与表现模块。第7-1讲

病毒防范技术与杀病毒软件1)引导模块。当被感染的应用程序开始工作时，病毒的引导模块将病毒由外存引入内存，并使病毒程序成为相对独立于宿主程序的部分，从而使病毒的传染模块和破坏模块进入待机状态。在某些病毒中，尤其是传染引导区的计算机病毒，其引导模块还承担将分开存储的病毒程序片断链接的任务。第7-1讲

病毒防范技术与杀病毒软件2)传染模块。由于计算机病毒具有复制自身(或变形后的自身)的能力，因此它能使其他程序同样具备这种传染能力。这一点是判断一个程序是否为病毒程序的必要条件，所以，这部分程序对一个病毒程序来说是不可缺少的，它主要负责捕捉传染的条件和传染的对象，在保证被传染程序可正常运行的情况下完成计算机病毒的复制传播任务。第7-1讲

病毒防范技术与杀病毒软件3)破坏与表现模块。破坏与表现模块是病毒程序的核心部分，也是病毒设计者意图的体现部分。这里的破坏不仅毁坏系统的软、硬件和磁盘上的数据、文件，而且还表现在显著降低整个系统的运行效率。这部分程序负责捕捉进入破坏程序的条件，在条件满足时开始进行破坏系统或数据的工作，甚至可以毁掉包括病毒程序本身在内的系统资源。一般计算机病毒并不是进入计算机系统就进行破坏，而是等待具备一定条件后才实施破坏。第7-1讲

病毒防范技术与杀病毒软件3.反病毒技术现在，成熟的反病毒技术已经能够可以做到对已知病毒的彻底预防和杀除，这主要涉及以下三大技术：1)实时监视技术。2)自动解压缩技术。3)全平台反病毒技术。第7-1讲

病毒防范技术与杀病毒软件1)实时监视技术。这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之外。该技术能时刻监视系统中的病毒活动、系统状况、软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统底层的无缝连接技术，实时监视器占用的系统资源极小，用户完全感觉不到对机器性能的影响。一般来说，只要反病毒软件实时地在系统中工作，病毒就无法侵入计算机系统。第7-1讲

病毒防范技术与杀病毒软件2)自动解压缩技术。目前在因特网、光盘以及Windows系统中接触到的大多数文件都以压缩状态存放，以便节省传输时间或节约存放空间，这就使得各类压缩文件成为计算机病毒传播的温床。如果用户从网上下载了一个带病毒的压缩文件包，或从光盘里运行一个压缩过的带毒文件，自己的系统就会被压缩文件包中的病毒感染。优秀的反病毒软件应结合压缩软件技术，使得无论何种压缩标准的软件都能做到边解压边杀毒。第7-1讲

病毒防范技术与杀病毒软件3)全平台反病毒技术。目前病毒活跃的平台主要有：Windows9x、Windows2000、WindowsXP等。为了使反病毒软件做到与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件。第7-1讲

病毒防范技术与杀病毒软件(1)病毒的防治策略系统对于计算机病毒的实际防治能力和效果要从防毒、查毒和解毒能力3方面来评判。1)防毒能力。指预防病毒侵入计算机系统的能力。根据系统特性，通过采取相应的系统安全措施预防病毒侵入计算机。第7-1讲

病毒防范技术与杀病毒软件2)查毒能力。指发现和追踪病毒来源的能力。对于确定的环境(包括内存、文件、引导区、网络等)，应该能够准确地发现计算机系统是否感染有病毒，并能给出统计报告，报告病毒的名称，来源等。此能力由查毒率和误报率来评判。3)解毒——指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复，其恢复过程不能