《网络信息安全》第21-22讲(6.1-6.4).ppt

1、第6章 病 毒 原 理,6.1 计算机病毒 6.2 病毒的防治 6.3 常用的反病毒技术 6.4 计算机病毒技术新动向,6.1 计算机病毒,1计算机病毒介绍 计算机病毒是一个程序，是一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。它可以快速蔓延，并难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 病毒发展史： 1982年，Rich Skerta 撰写了一个名为Elk Cloner的电脑程式，使其成为了电脑病毒史上第一种感染个人电脑（Apple II ）的电脑病毒； 1983年Fred Adleman首次在VAX

2、11/750上试验病毒，于1984年发表了名为电脑病毒 理论与实验（Computer Viruses Theory and Experiments）的文章； 1986年，Brain病毒在全世界传播； 1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元； 1999年，梅莉莎 （Melissa） 及 CIH 病毒； 2003年，冲击波 （Blaster）。,6.1 计算机病毒,1计算机病毒介绍 计算机病毒的定义： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者

3、程序代码。”（1994年2月18日颁布的中华人民共和国计算机信息系统安全保护条例第二十八条）,6.1 计算机病毒,1计算机病毒介绍 几个与计算机病毒相关的概念： 木马来自“特伊诺木马”。现在的木马程序一般是指，利用系统漏洞或用户操作不当进入用户的计算机系统，通过修改启动项目或捆绑进程方式自动运行，运行时有意不让用户察觉，将用户计算机中的敏感信息都暴露在网络中或接受远程控制的恶意程序。 蠕虫是指利用网络缺陷进行繁殖的病毒程序，其原始特征之一是通过网络协议漏洞进行网络传播。,6.1 计算机病毒,1计算机病毒介绍 几个与计算机病毒相关的概念： 脚本病毒利用脚本来进行破坏的病毒，其特征为本身是一个AS

4、CII码或加密的ASCII码文本文件，由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系统设置进行恶意配置或恶意调用系统命令造成危害。 目前，木马、蠕虫、脚本病毒这三种病毒在不断杂交中衍生，已经形成了“你中有我，我中有你”的多态特性。本书将它们统称为“病毒”，但这三种病毒的感染机制和编写方式是不同的。,6.1 计算机病毒,2计算机病毒的特征 1) 传染性 传染性是计算机病毒的基本特征，它是判断一段程序代码是否为计算机病毒的重要依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者存储介质，确定目标后会将自身代码插入其中，以达到自我繁殖的目的，然后通过自我复制迅速传播

5、。由于目前计算机网络日益发达，因此计算机病毒可以在极短的时间内，通过Internet网络传遍世界。,6.1 计算机病毒,2计算机病毒的特征 2) 隐蔽性 计算机病毒往往是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中，或者磁盘上标为坏簇的扇区中，以及一些空闲概率较大的扇区中，这是它的非法可存储性。如果不经过代码分析，病毒程序与正常程序很难区别开来。,6.1 计算机病毒,2计算机病毒的特征 3) 潜伏性 计算机病毒具有依附于其他媒体而寄生的能力，这种媒体称之为计算机病毒的宿主。依靠病毒的寄生能力，病毒传染给合法的程序和系统后并不立即发作，而是悄悄隐藏起来，只

6、是在时机成熟时才表现活跃。这样，病毒就可以在用户不察觉的情况下进行广泛传染。所以说病毒的潜伏性越好，它在系统中存在的时间越长，病毒传染的范围就越广，其危害性也就越大。,6.1 计算机病毒,2计算机病毒的特征 4) 破坏性 无论何种病毒程序，一旦它们侵入系统都会对系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间、占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像，影响系统的正常运行，还有一些病毒程序删除文件，加密磁盘中的数据，甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。因此，病毒程序的副作用是轻则降低系统工作效

7、率，重则导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。,6.1 计算机病毒,2计算机病毒的特征 5) 非授权可执行性 用户通常调用执行一个程序时，会把系统控制交给这个程序，并分配给它相应的系统资源(如内存)，从而使之能够运行以完成用户的需求，整个执行过程对用户是透明的。而计算机病毒是非法程序，它跟正常程序一样具有可存储性和可执行性。它隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序。,6.1 计算机病毒,3. 计算机病毒工作原理 1) 引导型病毒的工作原理 磁盘引导区是存放计算机初始化信息的

8、地方，计算机启动时，首先运行引导区的引导程序，然后由引导程序引导操作系统启动计算机。引导型病毒主要感染硬盘主引导扇区或软盘的DoS引导扇区，但是以前者最为常见。 引导型病毒把自己存放在引导区，当作正常的引导程序，而将真正的引导程序搬到其他位置。当计算机启动时，就会把病毒程序当作正常的引导程序来运行，使寄生在磁盘引导区的静态病毒进入计算机，这时病毒程序被激活，可以随时进行感染和破坏活动。,6.1 计算机病毒,3. 计算机病毒工作原理 1) 引导型病毒的工作原理 大麻病毒就是一种典型的引导型病毒，它也叫做“石头”病毒或“新西兰”病毒。大麻病毒名字来源于该病毒体内的一段信息，目前大麻病毒已有好几种变

9、种了。大麻病毒又叫新西兰病毒，因为最早在1988年初，在新西兰的惠灵顿市就有发现大麻病毒的报道。大约在1989年大麻病毒传入我国，成为在当时四处传播的一种主要病毒。病毒发作时，屏幕上会显示字符串：Your PC is now Stoned!,引导型病毒实例,6.1 计算机病毒,3. 计算机病毒工作原理 2) 文件型病毒的工作原理 文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。文件型病毒以感染可执行（.BAT,.EXE,.COM,.SYS,.DLL,.OVL,.VXD等）的文件为主，还有一些病毒可感染高级语言程序的源代码，开发库或编译过程中所生成的文件。 文件型病毒的编制方法一般是将病

10、毒程序植入正常程序中或是将病毒程序覆盖正常程序的部分代码，以源文件作为病毒程序的载体，将病毒程序隐藏其间。正常情况下，看不出程序有可变化，当一定的条件满足时，病毒发作，感染和破坏系统。,6.1 计算机病毒,3. 计算机病毒工作原理 2) 文件型病毒的工作原理 CIH是真正意义上的MS Windows病毒。它采用一种独特的方式感染可执行程序，它打入Windows内核，取得核心级控制权，被感染文件的大小没有任何改变。病毒的大小约在1 KB左右。跟其他文件型病毒一样，当受感染的可执行文件执行后，CIH病毒便驻留在内存中，通过修改INT 21H中断向量，使其指向病毒程序所在的内存地址，并保留正常的IN

11、T 21H中断向量。它会感染所接触到的其他PE格式执行程序。论其破坏方式主要有以下两个方面。,文件型病毒实例,6.1 计算机病毒,3. 计算机病毒工作原理 2) 文件型病毒的工作原理 (1) 攻击BIOS：CIH最异乎寻常之处是它对计算机BIOS的攻击。打开计算机时，BIOS(基本输入输出系统)首先取得系统的控制权，从CMOS中读取系统设置参数，初始化并协调有关系统设备的数据流，在这之后，系统控制权移交给硬盘或软盘的引导区，最后转达给操作系统。在CIH发作时，会试图向BIOS中写入垃圾信息，BIOS中的内容会被彻底洗去。这时，补救的办法只有更换BIOS，或是向固定在主板上的BIOS中重新写入原

12、来版本的程序。从这个角度上，CIH病毒被称为是首例直接攻击和破坏计算机硬件系统的病毒。,文件型病毒实例,6.1 计算机病毒,3. 计算机病毒工作原理 2) 文件型病毒的工作原理 (2) 覆盖硬盘：向硬盘写入垃圾内容也是CIH的破坏性之一，从实际的影响看，覆盖硬盘所带来的损失至少不逊于对BIOS的攻击。CIH发作时，调用IOS-SendCommand直接对硬盘进行存取，将垃圾代码以208个扇区为单位，循环写入硬盘，直到所有硬盘(含逻辑盘)的数据均被破坏为止。,文件型病毒实例,6.2 病 毒 的 防 治,1从用户的角度谈病毒防治 1) 计算机病毒的预防 计算机病毒防治的关键是做好预防工作，即防患于

13、未然。而预防工作从宏观上来讲是一个系统工程，要求全社会来共同努力。从国家来说，应当健全法律、法规来惩治病毒制造者，这样可减少病毒的产生；从各级单位而言，应当制定出一套具体措施，以防止病毒的相互传播；从个人的角度来说，每个人不仅要遵守病毒防治的有关措施，还应不断增长知识，积累防治病毒的经验，不仅不要成为病毒的制造者，而且也不要成为病毒的传播者。,6.2 病 毒 的 防 治,1从用户的角度谈病毒防治 1) 计算机病毒的预防 要做好计算机病毒的预防工作，建议从以下两方面着手： (1) 树立牢固的计算机病毒的预防思想：解决病毒的防治问题，最关键的一点是要在思想上给予足够的重视。要采取“预防为主，防治结

14、合”的八字方针，从加强管理入手，制定出切实可行的管理措施。由于计算机病毒的隐蔽性和主动攻击性，要杜绝病毒的传染，在目前的计算机系统总体环境下，特别是对于网络系统和开放式系统而言，几乎是不可能的。因此，以预防为主，制定出一系列的安全措施，可大大降低病毒的传染，而且即使受到传染，也可立即采取有效措施将病毒消除。,6.2 病 毒 的 防 治,1从用户的角度谈病毒防治 1) 计算机病毒的预防 要做好计算机病毒的预防工作，建议从以下两方面着手： (2) 堵塞计算机病毒的传染途径：堵塞传播途径是防治计算机病毒侵入的有效方法。根据病毒传染途径，确定严防死守的病毒入口点，同时做一些经常性的病毒检测工作，最好在

15、计算机中装入具有动态预防病毒入侵功能的系统，即可将病毒的入侵率降低到最低限度，同时也可将病毒造成的危害减少到最低限度。,6.2 病 毒 的 防 治,1从用户的角度谈病毒防治 2) 计算机病毒的检测和消除 要有效地阻止病毒的危害，关键在于及早发现病毒，并将其消除。目前计算机病毒的检测和消除办法有两种：一是人工方法，二是自动方法。 人工方法检测和消除病毒是借助于调试程序及工具软件等进行手工检测和消除处理。这种方法要求操作者对系统十分熟悉，且操作复杂，容易出错，有一定的危险性，一旦操作不慎就会导致意想不到的后果。这种方法常用于消除自动方法无法消除的新病毒。,6.2 病 毒 的 防 治,1从用户的角度

16、谈病毒防治 2) 计算机病毒的检测和消除 要有效地阻止病毒的危害，关键在于及早发现病毒，并将其消除。目前计算机病毒的检测和消除办法有两种：一是人工方法，二是自动方法。 自动检测和消除是针对某一种或多种病毒使用专门的反病毒软件自动对病毒进行检测和消除处理。这种方法不会破坏系统数据，操作简单，运行速度快，是一种较为理想和目前较为通用的检测及消除病毒的方法。,6.2 病 毒 的 防 治,2从技术的角度谈病毒防治 1) 病毒预防技术 计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏的，实际上它是一种特征判定技术，也可能是一种行为规则的判定技术。也就是说，计算机病毒的预防是根

17、据病毒程序的特征对病毒进行分类处理，而后在程序运行中凡有类似的特征点出现则认定是计算机病毒的。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作，以达到保护系统的目的。,6.2 病 毒 的 防 治,2从技术的角度谈病毒防治 1) 病毒预防技术 计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。计算机病毒的预防应该包括两个部分：对已知病毒的预防和对未知病毒的预防。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。,6.2 病 毒 的 防 治,

18、2从技术的角度谈病毒防治 2) 病毒检测技术 计算机病毒的检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种，一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序的自差异检测技术，即对某个文件或数据段进行检测并保存其结果，尔后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在。,6.2 病 毒 的 防 治,2从技术的角度谈病毒防治 2) 病毒检测技术 计算机病毒的检测技术已从早期的人工观察发

19、展到能自动检测到某一类病毒，今天又发展到能自动对多个驱动器和上千种病毒自动扫描检测。目前，有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。现在大多数商品化的病毒检测软件不仅能检查隐藏在磁盘文件和引导扇区内的病毒，还能检测内存中驻留的计算机病毒。而对于能自我变化的被称作Polymophics(多形性)病毒的检测还需要进一步研究。,6.2 病 毒 的 防 治,2从技术的角度谈病毒防治 3) 病毒消除技术 计算机病毒的消除技术是计算机病毒检测技术发展的必然结果，是病毒传染程序的一种逆过程。从原理上讲，只要病毒不进行破坏性的覆盖式写盘操作，病毒就可以被清除出计算机系统。安全

20、、稳定的计算机病毒清除工作完全基于准确、可靠的病毒检测工作。 病毒消除是在检测发现特定的计算机病毒基础上，根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。,6.2 病 毒 的 防 治,2从技术的角度谈病毒防治 4) 病毒免疫技术 计算机病毒的免疫技术目前没有很大发展。针对某一种病毒的免疫方法已没有人再用了，而目前尚没有出现通用的能对各种病毒都有免疫作用的技术，也许根本就不存在这样一种技术。现在，某些反病毒程序使用给可执行程序增加保护性外壳的方法，能在一定程度上起保护作用。若在增加保护性外壳前该文件已经被某种尚无法由检测程序识别的病毒感染，则此时作为免疫措施为该程

21、序增加的保护性外壳就会将程序连同病毒一起保护在里面。等检测程序更新了版本，能够识别该病毒时又因为保护程序外壳的“护驾”，而不能检测出该病毒。另外，某些如DIR 2类的病毒仍能突破这种保护性外壳的免疫作用。,6.3 常用的反病毒技术,1特征码技术 特征码技术是基于对已知病毒分析、查解的反病毒技术。目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同

22、一性，则可以对这种同一性进行描述，并通过对程序体与描述结果(亦即“特征码”)进行比较来查找病毒。,6.3 常用的反病毒技术,2实时监视技术 实时监视技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到反病毒软件对机器性能的影响，另一方面根本不用考虑病毒的问题。只要反病毒软件实时地在系统中工作，病毒就

23、无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装，今后计算机运行的每一秒钟都会执行严格的反病毒检查，使通过因特网、光盘、软盘等途径进入计算机的每一个文件都安全无毒，如有毒则自动进行杀除。,6.3 常用的反病毒技术,3虚拟机技术 虚拟机技术是启发式探测未知病毒的反病毒技术。 所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，从而观察病毒的执行过程。这个技术主要用来应对加壳和加密的病毒，因为这两类病毒在执行时最终还是要自身脱壳和解密的，这样，杀毒软件就可以在其“现出原形”之后对其进行查杀。 虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整

24、的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒。,6.4 计算机病毒技术新动向,1抗分析病毒技术 顾名思义，这种病毒技术是针对病毒分析者的。为了使病毒的分析者难以分析清楚病毒的原理，这种病毒综合采用了以下两种技术：其一是加密技术，这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。其二是反跟踪技术，其目的是使分析者无法动态跟踪病毒程序的运行。,6.4 计算机病毒技术新动向,2多态性病毒技术 多态性病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。这种病毒在每次感染时，放入宿主程序的代码互不相同，不断变化，

25、几乎就没有稳定的代码。所有采用特征代码法的检测工具都不能识别它们。多态性病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更加困难，并还会带来许多的误报。1990年的Tequila 病毒是第一个比较严重的多态病毒攻击。从该病毒的出现到编制出能够完全查出该病毒的软件，研究人员花费了九个月的时间。 1992 年，出现了第一个多态病毒引擎和病毒编写工具包。,6.4 计算机病毒技术新动向,3插入性病毒技术 一般病毒感染文件时，是将病毒代码放在文件头部，或者放在尾部，虽然可能对宿主代码作某些改变，但从总体上说，病毒与宿主程序有明显的界限。插入性病毒在不了解宿主程序的功能及结构

26、的前提下，能够将宿主程序在适当处拦腰截断，在宿主程序的中部插入病毒程序，并且能做到：病毒首先获得运行权；病毒不能被卡死；宿主程序不会因为插入病毒而卡死。很久以前，曾有文献介绍了此种病毒，直到1991年在保加利亚才发现了首例实战型病毒。这是最为简单的插入性病毒，感染的是简单的COM型文件。由于病毒是插入到文件的中部，因此如果不对病毒作剖析，仅仅采用一般的杀毒工具很难消除此类病毒。此类病毒给自动杀毒工具提出了新的难题。,6.4 计算机病毒技术新动向,4超级病毒技术 超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的技术。一般病毒攻击计算机时，往往窃取某些中断功能，要借助于DoS的帮助，才能完成操作。例如，在PC机中病毒要写盘，必须借助于原DoS的INT 13H，病毒作者知道，反病毒工具(软件的或硬件的)都是在DoS中设置许多陷阱，等待病毒来碰。一碰陷阱，病毒便被抓获。超级病毒作者以更高的技术编写了完全不借助于DoS系统而能攻击计算机的病毒，此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DoS系统，不会掉入反病毒陷阱，极难捕获。一般的软件或反病毒工具遇到此类病毒都会失效。,6.4 计算机病毒技术新动向,5破坏性感染病毒技术 破坏性感染病毒是针对计算机病毒消