新世纪计算机信息安全教程chap09

新世纪计算机信息安全教程重点内容：病毒概述病毒的机制病毒检测与查杀第9章计算机病毒及防范新世纪计算机信息安全教程一、病毒概述“计算机病毒”之所以叫做病毒，是因为它与医学上的病毒有着某些相同的特性，是由某些人利用计算机系统自身的脆弱性，因此这一名词是由生物医学上的“病毒”概念引申而来的。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。根据该定义，逻辑炸弹、蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，中华人民共和国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，其中第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”在Internet出现后，计算机病毒就应加入只要是对使用者造成不便的程序代码，就可以被归类为计算机病毒。计算机病毒必须满足两个条件：（1）可以自动执行。（2）可以自我复制。1、病毒的定义新世纪计算机信息安全教程一、病毒概述根据计算机病毒定义可以看出，病毒都具有一些相似的常规特点。另外，随着时代的发展，计算机病毒也不断变化，同时还具备一些时代特点。1.病毒常规特性计算机病毒程序有以下几种特征：（1）传染性。（2）隐蔽性。（3）潜伏性。（4）破坏性。（5）表现性。2.新时代病毒的特性近几年，危害严重的计算机病毒通常具有如下共同特点：（1）与经济利益挂钩。（2）“网页挂马”与ARP欺骗危害加剧。（3）现团队化的商业化运作方式。（4）变种数量成为病毒危害性的新标准。2、病毒的特性新世纪计算机信息安全教程一、病毒概述计算机病毒也是一段完整的程序代码，有着科学、严密、系统的分类方法。3、病毒的分类新世纪计算机信息安全教程一、病毒概述计算机病毒具有自我复制和传播的特点，从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。传统的手工传播计算机病毒的方式与现在通过Internet传播相比速度要慢得多。1.移动存储设备：可移动设备例如光盘、磁带、U盘、移动硬盘等，盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径之一。2.计算机网络：现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。3.点对点通信系统和无线网络：目前，这种传播途径还不是十分广泛，但预计在未来的信息时代，这种途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。4.电子邮件：现在很多蠕虫病毒都是通过电子邮件传播的，一般是在邮件的附件中夹带这病毒文件，单用户一旦双击运行附件的时候就会中毒。4、病毒的传播途径新世纪计算机信息安全教程一、病毒概述从实质上说，计算机病毒是一段程序代码，虽然病毒可能隐藏得很好，但也会留下许多痕迹。通过对这些蛛丝马迹的判别，就可以发现已经存在的计算机病毒。计算机用户可以根据以下现象判断自己的操作系统是否已经感染了病毒。5、病毒的表现形式新世纪计算机信息安全教程一、病毒概述计算机病毒的种类繁多，对计算机信息系统的危害主要有以下几个方面。1.破坏系统和数据2.耗费资源3.破坏功能4.影响计算机运行速度5.病毒错误与不可预见的危害6.病毒兼容性对系统运行的影响7.病毒给用户造成严重的心理压力6、病毒的主要危害新世纪计算机信息安全教程一、病毒概述Internet从原来的窄带发展到了现在的宽带，通信模式也从原来单一的数据传输，发展到现在的视频、影音等多媒体传输，计算机病毒也在不断发生着变化。在如今的网络时代，病毒的发展呈现出以下趋势：（1）病毒与黑客程序相结合。（2）蠕虫病毒更加泛滥。（3）病毒破坏性更大。（4）制作病毒的方法更简单。（5）传播速度更快，传播渠道更多。（6）病毒的实时检测更困难。（7）网关防病毒已成趋势。7、病毒的发展趋势新世纪计算机信息安全教程一、病毒概述计算机网络已经成为每一个现代人生活的一部分，网络信息安全也越来越多地影响着我们的日常生活。在向信息社会迈进的过程中，信息网络逐步成为不可或缺的基础设施，网络空间日益成为经济社会不可或缺的活动空间，网络安全已经成为国家安全的一个重要组成部分。计算机病毒的大肆传播不仅给人们的日常工作带来影响，甚至可能危及到国家的经济建设以及整个通信行业的健康发展。如何保障信息网络的安全可靠运行，越来越受到社会各界的高度关注和重视，已经成为世界各国政府主管部门、企业界和广大用户共同面临的一个严峻挑战。8、病毒与网络安全新世纪计算机信息安全教程二、病毒的机制计算机病毒是一种特殊的应用程序，它的存在是隐蔽的，例如普通应用程序的代码中，一旦用户运行应用程序，病毒代码也随之被触发，进而引导病毒代码中的破坏模块。整个过程都是在用户的不经意中发生的，等发现时已经无可挽回了。这些都是由计算机病毒自身的机制决定的。例如常见的网页病毒，就是利用扫描到的来访用户系统的漏洞悄悄潜入，当用户运行某些应用程序时就触发了病毒，随之就是连锁反应，甚至会影响到用户所在局域网、与该计算机相连的其他设备等，这类病毒的发作机制如图所示。新世纪计算机信息安全教程二、病毒的机制1.计算机病毒的寄生对象：就目前出现的各种计算机病毒来看，其寄生对象主要有两种，一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件（*.exe或*.com）中。2.计算机病毒的寄生方式：计算机病毒的寄生方式主要有两种，一种是采用替代法；另一种是采用链接法。3.计算机病毒的引导过程计算机病毒的引导过程一般包括以下3方面：（1）驻留内存：病毒若要发挥其破坏作用，一般要驻留内存，为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。（2）窃取系统控制权：在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。（3）恢复系统功能：病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。1、病毒的引导机制新世纪计算机信息安全教程二、病毒的机制计算机病毒的完整工作过程应包括以下几个环节和过程：（1）传染源：病毒总是依附于某些存储介质，例如光盘、硬盘等传染源。（2）传染媒介：病毒传染的媒介由工作的环境来定，可能是计算机网，也可能是可移动的存储介质，例如软磁盘等。（3）病毒激活：是指将病毒装入内存，并设置触发条件，一旦触发条件成熟，病毒就开始“工作”——自我复制到传染对象中，进行各种破坏活动等。（4）病毒触发：计算机病毒一旦被激活，立刻就发生作用，触发的条件是多样化的，可以是内部时钟，系统的日期，用户标识符，也可以是系统一次通信等等。（5）病毒表现：表现是病毒的主要目的之一，有时在屏幕上显示出来，有时则表现为破坏系统数据。可以这样说，凡是软件技术能够触发到的地方，都在其表现范围内。（6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。2、病毒的发生机制新世纪计算机信息安全教程二、病毒的机制破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址，使该中断向量指向病毒程序的破坏模块。这样，当系统或被加载的程序访问该中断向量时，病毒破坏模块即被激活。在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏活动，这种破坏活动不一定都是删除磁盘文件，有的可能是篡改某些文件的图标，例如“熊猫烧香”。而有的病毒，一旦发作，则会造成系统死机或删除磁盘文件，例如，“黑色星期五”病毒在激活状态下，只要判断当天既是13号又是星期五，则病毒程序的破坏模块即把当前感染该病毒的程序从磁盘上删除。计算机病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒，其破坏行为千奇百怪。通常情况下，病毒破坏目标和攻击部位主要是：系统数据区、可执行文件、内存、磁盘、网络带宽、屏幕显示、打印机、CMOS、主板等。3、病毒的破坏机制新世纪计算机信息安全教程三、病毒检测与查杀单机防病毒主要是指单个用户计算机上安装的病毒查杀软件，不接受任何病毒服务器的管理，通过直接自动连接到Internet下载最新病毒库，或者用户手动下载最新病毒库的方法，升级软件。另外，由于单机防病毒成本相对较低，实现简单，大多数小型局域网客户端也采用这种方式。电脑病毒之所以能够广泛传播，就是因为它具有一定的源头。对于家庭用户来说，只要平时多加注意，在一定程度上可以避免病毒的入侵。单机预防病毒应注意以下几点：（1）使用正版软件。（2）从可靠渠道上下载软件。（3）安装杀毒软件并及时进行升级。（4）对电子邮件提高警惕。（5）定期备份文件。如今针对单机用户的杀病毒软件很多，建议用户通过正规渠道购买正版软件，或者登录相关软件的官方网站，下载试用版或共享版。（1）瑞星2007。（2）金山毒霸。（3）NOD32。（4）NortonAntiVirus2007。1、单机防病毒新世纪计算机信息安全教程三、病毒检测与查杀计算机病毒对单机产生的危害毕竟是有限的，并且攻击者也不会得到什么好处，因此大多数计算机病毒都是针对网络发起的，并且通过网络快速传播。网络防病毒才是信息安全防范的重中之重。目前应用于局域网病毒防范的杀毒软件主要有Symantec网络防病毒、卡巴斯基、McAfee网络防病毒等。网络防病毒最突出的特点就是，客户端可以不必通过Internet连接到病毒服务器，进行病毒库升级，直接连接到局域网中的专用防病毒服务器即可。网络防病毒不仅便于管理员实现对局域网的统一管理，而且还可以节省大量的Internet带宽，提高网络利用效率。2、网络防病毒新世纪计算机信息安全教程三、病毒检测与查杀计算机病毒的一个主要特点就是传播速度快，因此当局域网感染病毒时并不是所有计算机同时瘫痪，恰恰相反最初只有为数不多的几台计算机出现轻微中毒现象，进而在整个网络中蔓延，最终导致网络瘫痪。由此看来，病毒大肆发作之前的亡羊补牢工作也是非常重要的，这就需要清楚哪几台计算机感染了病毒，来自哪些站点，以便将未被感染的计算机快速隔离，减小受灾范围。Sniffer是一款非常受欢迎的网络嗅探工具，可以对局域网中所有的网络流量进行分析、监测。借助于Sniffer，系统管理员可以方便地确定出多少的通信量属于哪个网络协议、占主要通信协议的主机是哪一台、大多数通信目的地是哪台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。3、查找病毒来源