计算机安全2.1病毒

计算机安全技术3/8/20261公安部举办了2006年度信息网络安全状况与计算机病毒疫情调查活动共收集有效调查问卷13824份，2005年5月至2006年5月，54%的被调查单位发生过信息网络安全事件

3/8/202622007年上半年瑞星公司共截获新病毒133717个，其中木马病毒83119个，后门病毒31204个，两者之和超过11万，相当于去年同期截获的新病毒总和。这两类病毒都以侵入用户电脑，窃取个人资料、银行账号等信息为目的，带有直接的经济利益特征。从统计数据看来，今年上半年的病毒数量比去年同期增加11.9%。3/8/20263根据瑞星公司的统计分析，今年上半年全国约有3500多万台电脑曾经被病毒感染，占到上网电脑数量的一半以上，中国大陆地区已经成为全球电脑病毒危害最严重的地区。3/8/20264计算机病毒的发展史自第一个真正意义上的计算机病毒于1983年走出实验室以来，人们对它的认识经历了“不以为然→谈毒色变→口诛笔伐，人人喊打→理性对待，泰然处之”四个阶段。3/8/20265

计算机病毒防治3/8/20266主要内容第一节计算机病毒概述

第二节计算机病毒分析

第三节计算机病毒的防范、检测、清除

第四节计算机病毒破坏后的恢复

计算机病毒防治3/8/20267计算机病毒产生的历史1977年，ThomasjRyan在科幻小说《P-1的青春》中幻想一种计算机病毒可以从一台计算机传染到另一台计算机，最终控制了7000台计算机。1983年美国计算机安全专家FredCohen博士在VAX-11上通过实验证明了计算机病毒的存在。1986年，巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒，成了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行。1987年10月，美国发现世界上第一例计算机病毒(Brain)1988年。小球病毒传入我国，在几个月之内迅速传染了20多个省、市，成为我国第一个病毒案例。此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷。3/8/20268计算机病毒的发展阶段——

萌芽阶段1萌芽阶段

这一阶段从1986年到1989年，这期间出现的病毒可以称为传统的病毒，是计算机病毒的萌芽时期。由于当时应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，病毒种类也比较有限，病毒清除相对比较容易。特点病毒攻击的目标单一，只传染引导扇区或可执行文件；病毒程序主要采取截取系统中断向量的方式监恐系统的运行状态，并在一定的触发条件下进行传播；病毒传染目标以后特征比较明显，容易被人发现；病毒不具有自我保护措施，容易让你分析其原理。3/8/20269计算机病毒的发展阶段——

综合发展阶段2综合发展阶段这个阶段从1989年到1992年，这个阶段是计算机病毒由简单到复杂，由原始走向成熟的阶段。特点：病毒攻击的目标趋于混合型病毒程序不采用明显的截获中断向量的方法监视系统，而采用更为隐蔽的方法驻留内存病毒感染目标后，没有明显的特征病毒开始采用自我保护措施，如加密技术，反跟踪技术，制造障碍等，增加了对病毒分析的难度病毒开始出现变种，隐蔽性更强，破坏更大3/8/202610计算机病毒的发展阶段——

成熟发展阶段3成熟发展阶段这个阶段从1992到1995年，病毒开始具有多态性质。病毒每次传染目标时，嵌入宿主程序中的病毒程序大部分可变种，正视由于这个特点，传统的特征码检测病毒法开始了新的探索研究。在这个阶段，病毒的发展主要集中在病毒技术的提高上，病毒开始向多维化方向发展，对反病毒厂商也提出了新的课题。3/8/202611计算机病毒的发展阶段——

网络病毒阶段4网络病毒阶段1995年到2000年，随着网络的普及，大量的病毒开始利用网络传播，蠕虫开始大规模的传播。由于网络的便利和信息的共享，很快又出现了通过E-mail传播的病毒。由于宏病毒编写简单、破坏性强、清除复杂，加上微软未对WORD文档结构公开，给清除宏病毒带来了不便。这一阶段的病毒，主要是利用网络来进行传播和破坏，同时为更多的病毒爱好者提供了更大的学习空间和舞台。

3/8/202612计算机病毒的发展阶段——

迅速壮大的阶段5.迅速壮大的阶段2000年以后，计算机病毒的发展可谓真正到了一个成熟繁荣的阶段，计算机病毒的更新和传播手段更加多样性，网络病毒的目的性也更强。出现了木马，恶意软件等为了特定目的而存在的程序。这个阶段的病毒的主要特点，技术综合利用，病毒变种速度大大加快，有些病毒程序一天甚至出现多次更新和变种。恶意软件和病毒程序直接把矛头对向了杀毒软件，国内更出现了“AV终结者”、熊猫烧香等关闭杀毒软件，屏蔽病毒字样的目的性很强，并在被感染的计算机后台大量下载其他病毒木马的恶意程序和病毒。计算机病毒技术和反病毒技术的竞争进一步激化，反病毒技术也面临着新的洗牌。3/8/202613计算机病毒的定义狭义定义

计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一种程序。

——FredCohen博士对计算机病毒的定义。广义定义

能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。我国定义

我国《中华人民共和国计算机信息系统安全保护条例》第二十八条："计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。3/8/202614计算机病毒的特征基本特征传染性自我复制，通过多种渠道传播潜伏性感染后不一定立刻发作；依附于其他文件、程序、介质，不被发现可触发性触发条件：日期、时间、文件类型破坏性破坏数据的完整性和可用性破坏数据的保密性系统和资源的可用性。3/8/202615计算机病毒的特征其它特征非授权可执行性寄生性寄生于其它文件、程序、隐蔽性程序隐蔽、传染隐蔽；不易被发现针对性针对特定的计算机、特定的操作系统多态性每一次感染后改变形态，检测更困难持久性难于清除3/8/202616计算机病毒的分类按宿主分类引导型病毒主引导区操作系统引导区直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。病毒可驻留在内存内并感染被访问的磁盘。 3/8/202617计算机病毒的分类按宿主分类文件型病毒操作系统应用程序宏病毒 文件型病毒是文件侵染者。通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时，感染文件把自身复制到其他文件中。 该类病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行系列。3/8/202618计算机病毒的分类按宿主分类复合型病毒 复合型病毒具有引导区型病毒和文件型病毒两者的特征。按危害分类良性病毒如：小球病毒。恶性病毒如：CIH病毒。3/8/202619计算机病毒的分类按传播媒介分为单机病毒DOS、Windows、Unix/Linux病毒等。网络病毒通过网络或电子邮件传播。按攻击平台分类：DOS病毒：MS-DOS及兼容操作系统上编写的病毒Windows病毒：Win32上编写的纯32位病毒程序，MAC病毒：Unix/Linux病毒：3/8/202620计算机病毒的危害性1、攻击系统数据区 攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。2、攻击文件 病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。3、攻击内存 内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。3/8/202621计算机病毒的危害性4、干扰系统运行，使运行速度下降 此类行为也是花样繁多，如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时，系统时间延迟程序启动，在时钟中纳入循环计数，迫使计算机空转，运行速度明显下降。5、干扰键盘、喇叭或屏幕，适应胡无法正常操作 病毒干扰键盘操作，如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时，会使计算机的喇叭发出响声。病毒扰乱显示的方式很多，如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。3/8/202622计算机病毒的危害性6、攻击CMOS，破坏系统硬件 在机器的CMOS中，保存着系统的重要数据，如系统时钟、磁盘类型和内存容量等，并具有校验和。有的病毒激活时，能够对CMOS进行写入动作，破坏CMOS中的数据。例如CIH病毒破坏计算机硬件，乱写某些主板BIOS芯片，损坏硬盘。7、干扰打印机 如假报警、间断性打印或更换字符。8、干扰网络正常运行 网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽、阻塞网络、造成拒绝服务等。3/8/202623历年重大病毒影响情况病毒名称出现时间造成的经济损失莫里斯蠕虫19886000台电脑停机，9600万美元美丽莎1999超过12亿美元爱虫2000100亿美元红色代码2001超过20亿美元求职信2001超过100亿美元SQL蠕虫王2003超过20亿美元3/8/202624计算机病毒的结构及工作机理计算机病毒的结构一般由引导模块、传染模块、表现模块三部分组成。传染条件判断传染代码传染模块表现及破坏条件判断破坏代码表现模块引导代码引导模块3/8/202625计算机病毒的结构及工作机理引导过程 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统表现过程 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。3/8/202626计算机病毒实例分析引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒3/8/202627计算机病毒实例分析引导型病毒引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。3/8/202628计算机病毒实例分析引导型病毒——主引导记录（MBR）主分区表(64字节）结束标记（2字节）引导代码及出错信息55AA主引导程序(446字节)分区1(16字节)分区2(16字节)分区3(16字节)分区4(16字节)A3/8/202629计算机病毒实例分析引导型病毒——系统引导过程PowerOnCPU&ROMBIOSInitializesLookforbootdeviceMBRbootPartitionTableLoadDOSBootSectorRunsLoadsIO.SYSMSDOS.SYSDOSLoaded3/8/202630。病毒计算机病毒实例分析引导型病毒——感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。。。引导系统病毒体。。。3/8/202631计算机病毒实例分析文件型病毒传染机理利用系统加载执行文件的缺陷传染目标各种能够获得系统控制权执行的文件传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒、CIH病毒3/8/202632计算机病毒实例分析文件型病毒

文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常3/8/202633计算机病毒实例分析文件型病毒——传染机理正常程序正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序病毒程序病毒程序正常程序程序头程序头3/8/202634计算机病毒实例分析宏病毒宏病毒一般是指利用软件所支持的宏命令或语言（如WordBasic）书写的一段寄生在支持宏的文档（如MicrosoftOffice文档）上的、具有复制、传染能力的宏代码。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows9X、WindowsNT、OS/2和Unix、Mac等操作系统上执行病毒行为。虽然宏病毒不会有严重的危害，但它会影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等。当打开文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化，极大地增强了它的传播能力。3/8/202635计算机病毒实例分析宏病毒传染机理利用处理的文件可以内嵌宏的功能传染目标doc、dot、xls、ppt、mdb等文件（Windows）传染途径各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能典型病毒“七月杀手”病毒、“美丽莎”病毒3/8/202636计算机病毒实例分析宏病毒——工作机理

有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒3/8/202637计算机病毒实例分析蠕虫病毒一个独立的计算机程序，不需要宿主自我复制，自主传播（Mobile）占用系统或网络资源、破坏其他程序不伪装成其他程序，靠自主传播利用系统漏洞；利用电子邮件（无需用户参与）3/8/202638计算机病毒实例分析蠕虫病毒传染机理利用系统或服务的漏洞传染目标操作系统或应用服务传染途径网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁，更新系统典型病毒RedCode，尼姆达、冲击波等3/8/202639计算机病毒实例分析蠕虫病毒实例

——莫里斯蠕虫事件发生于1988年，当时导致大约6000台机器瘫痪主要的攻击方法Rsh，rexec：用户的缺省认证Sendmail

的debug模式Fingerd的缓冲区溢出口令猜测3/8/202640计算机病毒实例分析蠕虫病毒实例

——RedCode

红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。2001年7月中旬，在美国等地大规模蔓延。2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。通过80端口传播。只存在与网络服务器的内存，不通过文件载体。溢出利用IIS缓冲区漏洞（2001年6月18日发布3/8/202641计算机病毒实例分析蠕虫病毒实例

——RedCodeI主要影响WindowsNT系统和Windows2000主要影响国外网络据CERT统计，至8月初已经感染超过25万台主要行为利用IIS的Index服务的缓冲区溢出缺陷进入系统检查c:\notworm文件是否存在以判断是否感染中文保护（是中文windows就不修改主页）攻击白宫！3/8/202642计算机病毒实例分析特洛伊木马程序名字来源：古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载3/8/202643计算机病毒实例分析特洛伊木马程序传播途径通过网络下载、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件不要轻易运行来路不明的文件典型例子BO、BO2k、Subseven、冰河、广外女生等3/8/202644病毒、蠕虫与木马的比较需要不需要需要宿主留下后门，窃取信息侵占资源,造成拒绝服务破坏数据完整性、系统完整性主要危害慢极快快传播速度依靠用户主动传播自主传播依赖宿主文件或介质传播方式伪装成其它文件独立的文件不以文件形式存在表现形式木马蠕虫病毒特性3/8/202645其他恶意程序后门(Backdoor)一种能让黑客未经授权进入和使用本系统的恶意程序僵尸(Bot)一种集后门与蠕虫一体的恶意程序.通常使用IRC(InternetRelayChat)接受和执行黑客命令.3/8/202646后门----恶意系统程序恶意系统程序是一种提供反侦测能力技术隐藏文件,进程,网络端口和连接,系统设置,系统服务可以在恶意程序之中,例如Berbew,也有独立软件,例如HackderDefender恶意系统程序历史首次出现在隐形病毒中,例如Brain1994年第一个恶意系统程序出现在SunOS,替换核心系统工具(ls,ps

等)来隐藏恶意进程3/8/202647僵尸僵尸生态系统僵尸僵尸网管理通道看守者从MyDoom.A开始进入鼎盛期打开后门TCPport3127-3198下载和执行程序利用被感染的计算机散发电子邮件数以百万计的感染计算机被出卖给了垃圾邮件的制造者3/8/202648僵尸网发展趋势源代码可在网上免费下载修改,编译,散发过去:集中管理一个

IRC服务器管理所有僵尸关闭服务器就破坏了僵尸网现在:提升注册多个IRC服务器通讯加密(AES-128或更强)今后:分布式(P2P)管理对照分析:Napster:集中管理,容易被关闭eDonkey:分布式管理,不容易被关闭3/8/202649广告软件/间谍软件

广告软件:弹出窗口及横幅形式向用户提供广告服务通常经过用户授权间谍软件:未经授权收集用户信息未经授权上传用户信息未经授权改变系统外表及行为3/8/202650广告软件/间谍软件的传播社会工程（欺骗）方法非软件或硬件漏洞电子邮件：附属可执行文件电子邮件：隐蔽真实联接弹出窗口伪装网站附属于其它免费或商业软件利用浏览器瑕疵自动下载及安装3/8/202651手段一:虚假安全警告3/8/202652手段二:“取消”实际为“是”3/8/202653手段三:重复3/8/202654手段四:附加安装软件3/8/202655利用浏览器缺陷一些浏览器缺陷可被利用绕过安全检测和用户提示，直接启动恶意程序例如，利用MS03-014缺陷自动下载及运行文件{u='/SpywareFile.chm';document.write('<objectdata="&#'+109+';s-its:mhtml'+':'+'file://C:\\foo.mht!'+u+'::/1.htm"type="text/x-scriptlet"></object>');}3/8/202656恶意软件发展趋势专业化集病毒，蠕虫，木马，后门，广告，间谍，恶意核心程序于一体。只感染一小部分计算机,以避免被发现。有自动更新功能。商业化以前:为制造轰动效应（上电台报纸）现在:钱

(有组织犯罪)散发出垃圾邮件发动中断服务袭击3/8/202657阻止恶意软件3/8/202658阻止恶意软件的有效措施主动防御措施:及时下载安装软件补丁运行漏洞扫描程序启用防火墙，关闭闲置端口减小攻击面，停止不需要的应用程序或服务使用最少特权帐户正确使用口令被动防御措施:安装使用防病毒软件定期备份重要文件3/8/202659网络进攻时序线发现漏洞完成补丁公布补丁黑客破解补丁开发蠕虫释放蠕虫NoExploit只有微软及发现者知道漏洞存在NoExploit只有微软及发现者知道漏洞存在NoExploit

公众知道漏洞存在，但不知道怎样攻击

NoExploit

知道怎样攻击，但病毒/蠕虫尚未出现

NoExploit

病毒/蠕虫尚未出现，但未被释放

Exploit病毒/蠕虫被释放;感染未被修补系统用户与黑客赛跑3/8/202660实例分析：Blaster蠕虫微软被通知漏洞存在公布补丁进攻样板程序出现蠕虫出现七月1日七月16日七月25日八月11日通知漏洞RPC/DCOM漏洞被发现微软启动最高级别快速反应程序安全公告公布MS03-026(7/16/03)继续与安全分析家，媒体，IT社区，合作伙伴，政府部门保持联系进攻样板程序X-focus(中国黑客组)出版进攻样板程序微软警告用户尽快安装补丁蠕虫Blaster蠕虫出现;变种及其它病毒同时出现(例如.“SoBig”)Blaster展现了安全分析师，软件公司，以及黑客之间的复杂的互动关系3/8/202661补丁越来越多进攻样板程序出现时间缩短进攻样板程序越来越多精巧151180331BlasterWelchia/NachiNimda25SQLSlammer补丁至蠕虫之间的天数网络进攻趋势3/8/202662公布补丁之后–暴露日期Forrester:“安装补丁结束了软件漏洞。当软件开发公司提供了补丁之后，是用户自己