02计算机病毒概论

FUDANUNIVERSITY1计算机病毒及其防治ComputerVirusAnalysisandAntivirus主讲：廖志成FUDANUNIVERSITY2EpisodeII计算机病毒概论FUDANUNIVERSITY3FredCohen对计算机病毒的定义•Aprogramthatcan‘infect’otherprogramsbymodifyingthemtoincludeapossiblyevolvedcopyofitself.ComputerVirus-TheoryandExperiments,1984•计算机病毒是一种程序•它可以感染其它程序•感染的方式为在被感染程序中加入计算机病毒的一个副本•这个副本可能是在原病毒基础上演变来的FUDANUNIVERSITY4EugeneH.Spafford对计算机病毒的定义•Virusisapieceofcodethataddsitselftootherprograms,includingoperatingsystems.Itcannotrunindependentlyanditrequiresthatits'host'programberuntoactivateit.TheInternetwormprogram:ananalysis,1988•计算机病毒是一段代码•能把自身加到其它程序包括操作系统上•它不能独立运行，需要由它的宿主程序运行来激活它FUDANUNIVERSITY5G.C.Merriam对计算机病毒的定义•Acomputerprogramusuallyhiddenwithinanotherseeminglyinnocuousprogramthatproducescopiesofitselfandinsertsthemintootherprogramsandthatusuallyperformsamaliciousaction(asdestroyingdata).Merriam-Websterdictionary,1993FUDANUNIVERSITY6目前我国比较通用的定义•计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。《中华人民共和国计算机信息系统安全保护条例》第二十八条，1994FUDANUNIVERSITY7病毒的特性•主动传染性•破坏性（可执行）•寄生性•隐蔽性（潜伏和隐身）•不可预见性FUDANUNIVERSITY8部分术语和定义•病毒宿主virushost病毒能够感染的对象(如：文件、引导记录区等)。•病毒样本virussample含有计算机病毒、可独立运行并能结束自我进程的程序。•病毒样本库setofvirussample由各类病毒样本组成的集合。•流行病毒prevalentvirus(in-the-wildvirus)由两个以上不同地区的用户或反病毒厂商提供的出现过的病毒、蠕虫和黑客程序，并由检验机构认证后的病毒集合。•传染infecting计算机病毒将自身复制于其它程序或存储媒体中。FUDANUNIVERSITY9部分术语和定义•（实时）预防（Real-time）protecting运行染有计算机病毒的程序时，计算机病毒防治产品能够对其传染行为予以阻止。•检测病毒detectingvirus对于确定的测试环境，能够准确地报出病毒名称；该环境包括：内存、文件、扇区(引导区、主引导区)、网络等。•清除病毒cleaningvirus根据不同类型的病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复，该恢复过程不能破坏未被病毒修改的内容。•误报falsealarm指病毒防治产品将正常系统或文件报为含有病毒，或将正常操作报为病毒行为。FUDANUNIVERSITY10病毒的传播途径•移动存储设备（软盘、光盘、磁带、ZIP、JAZ、U盘/USB活动硬盘，IEEE1394活动存储设备，等等）•电子函件•BBS和新闻组•Web页面（恶意代码自动下载执行）•局域网（文件共享）•媒体文件中嵌入的恶意网页访问（等同于通过Web页面传播）FUDANUNIVERSITY11病毒的传播途径（续）•Internet（FTP、P2P等）•即时通讯软件（MSN，QQ等）•蓝牙设备（Bluetooth）•无线移动设备（Wi-Fi设备、PDA等）•手机彩信•专门的硬件芯片•...FUDANUNIVERSITY12病毒发作前的现象•系统随机性死机•计算机偶尔出现引导失败•Windows运行不稳定或无法正常启动•运行速度明显变慢、上网速度时快时慢•曾经正常运行的软件报内存不足、发生死机或非法错误•打印和通讯发生异常•系统文件的时间、长度发生变化、网络数据卷无法调用FUDANUNIVERSITY13病毒发作前的现象（续）•文档另存时无法以正常的文档格式保存•无意中要求对软盘进行写操作•磁盘空间迅速减少•基本内存发生变化•收到标题很诱人且夹带附件的电子函件•浏览器自动链接到一些陌生的网站FUDANUNIVERSITY14病毒发作时的现象•提示一段不相干的话•发出一段音乐•产生特定的图象•硬盘灯不断闪烁或长亮•强制进行游戏•Windows桌面图标发生变化•屏幕上突然全黑没有显示FUDANUNIVERSITY15病毒发作时的现象（续）•自动弹出对话框•鼠标键盘失去响应或自己在动•计算机突然自动重启或死机•自动发送电子函件或自动打开网页•不断往外发送网络数据包FUDANUNIVERSITY16病毒发作后的现象•系统无法启动•硬盘无法访问•系统文件丢失•CPU/内存等系统资源大量被占用•浏览器/应用程序标题等设置被修改•文件、目录被修改，发生混乱•数据和文档丢失FUDANUNIVERSITY17病毒发作后的现象（续）•部分文档自动加密码•丢失被病毒加密的有关数据•硬盘被格式化•网络通讯受阻，无法上网•造成计算机硬件故障FUDANUNIVERSITY18病毒的分类标准•按破坏性质划分良性病毒、恶性病毒•按所攻击的操作系统划分DOS病毒、Windows病毒、Linux病毒、Unix病毒…•按表观来划分简单病毒(也称伴随型病毒)、变形病毒•根据感染的途径及采用的技术划分引导型病毒、文件型病毒、混合型病毒...FUDANUNIVERSITY19通常采用的病毒分类方法•目前通常根据感染的途径及采用的技术来划分计算机病毒的种类。•传统分类•引导型病毒（BootSectorVirus）：只感染引导扇区•可执行文件型病毒（ExecutableVirus）：只感染可执行文件•混合型病毒（MultipartiteVirus）：既感染引导扇区又感染文件FUDANUNIVERSITY20目前流行的病毒分类•保留引导型病毒、混合型病毒类别•将可执行文件型病毒细分为DOS病毒、Windows病毒、Win32/PE病毒等•变形病毒（Polymorphic/MutationVirus）•宏病毒（MacroVirus）•电子函件病毒（EmailVirus）•脚本病毒（ScriptVirus）•网络蠕虫（Networkworm）•黑客程序（Hackprogram）FUDANUNIVERSITY21目前流行的病毒分类•木马/后门程序（Trojan/Backdoor/trapdoorprogram）•Java恶意代码（Javamaliciouscode）•恶意网页（maliciousHTML）•间谍程序（Spyware）•密码窃取程序（PasswordStealer）•ELF病毒•手机病毒•...FUDANUNIVERSITY22目前暂不被认为是病毒的…•垃圾邮件（Spam）•商业电子广告（UCE：UnsolicitedCommercialEmail）•广告软件（Ad-ware）•自动拨号软件（AutoDialer）•Spider软件，又称Robot或Crawler•各种软件的破解工具（Loader、patcher）•各种游戏的作弊工具（trainer、cheater）FUDANUNIVERSITY23病毒？非病毒？•网络谣言？（Hoaxes）•网络“钓鱼”？（Phishing）•逻辑炸弹？（Logicalbomb）FUDANUNIVERSITY24病毒“僵尸”•“僵尸”是指失去“活性”的病毒代码•不会被正常的程序流程所执行到•但是具有病毒的一切特征•可能会被特殊的调用所执行•一般被认为是病毒，按通常方法处理•造成“僵尸”的原因可能是不正确的病毒清除方法，或是多重感染FUDANUNIVERSITY25病毒的命名•国际上没有统一的命名规则•原则：同一厂商对同一病毒及变种的命名一致•一般采用病毒体字节数、病毒体内的特征字符串、发作的现象、发作的时间以及相关的事件、病毒的发源地、病毒生成的文件名，等等来命名病毒。•通常还会加上某些指明病毒属性的前缀，如W32/xxx，W97M.mmm等；还会加上后缀标识变种版本，一般为英文字母FUDANUNIVERSITY26WildList组织——充当“翻译者”•WildList组织会在其网站()上定期公布目前世界上“在野”（in-the-wild）的病毒，并有对此病毒的不同别名（alias）•提供一种不同厂商间病毒名的对应方法•目前各个厂商对病毒的命名都有向WildList组织的命名靠拢的趋势•中国的厂商有些例外FUDANUNIVERSITY27常见的病毒名前缀的含义•无前缀：DOS病毒或是可执行文件型病毒，或是较老的病毒•W16/Win/Win16/NE：感染16位Windows系统exe文件（NE格式）的病毒•W32/Win32/PE：感染32位Windows操作系统的病毒，一般以感染exe格式的文件（PE格式文件）为主•O97M/WM/W97M/X97M等：宏病毒•Troj/backdoor：木马程序/后门程序•Hack：黑客程序FUDANUNIVERSITY28常见的病毒名前缀的含义（续）•Spy/Spyware：间谍软件•WORM：网络蠕虫•VBS/JS：脚本病毒•Java：Java恶意代码•HTML：恶意网页•PWSteal：密码窃取程序FUDANUNIVERSITY29容易混淆的地方•进行dir操作不会感染病毒•复制光盘上带有病毒的文件到硬盘上会中病毒•FTP下载带毒文件会中病毒•Windows操作系统的自动预览不会激活病毒•使用OutlookExpress不双击打开邮件就不会中毒•用记事本程序打开带病毒的文件也会感染病毒•Linux/Unix不会感染病毒•未装反病毒软件就一定不安全•装了反病毒软件，系统不及时打补丁也不要紧•安装个人防火墙可以抵御住各种网络病毒