计算机病毒的概述

第二章计算机病毒的概述课程目标理解病毒的概念熟悉病毒的发展史掌握病毒的特点掌握病毒的分类掌握病毒的结构掌握病毒的识别与防治病毒的概念从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒的发展史1．DOS时代DOS是一个安全性较差的操作系统，所以在DOS时代，计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为：系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。2．Windows时代1995年8月，微软发布Windows95，标志着个人电脑的操作系统全面进入了Windows9X时代，而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。3．Internet时代可以这样说，网络病毒大多是Windows时代宏病毒的延续，它们往往利用强大的宏语言读取用户E-mail软件的地址簿，并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。病毒的特点1．传染性:传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。2．隐蔽性:计算机病毒进入计算机以后常常不是立即发生，它可以有足够的时间去实现感染和破坏作用。3．潜伏性:计算机病毒侵入计算机以后可潜伏在合法的文件中并不立即发作。经过一段时间或某些条件病毒便开始发作，触发计算机条件可以是某个日期、某个时间等。各种病毒潜伏期不同，短这数天、数月，长者可达数年之久。病毒的特点4．破坏性:计算机病毒可以破坏系统，删除或修改数据，占用系统资源，干扰计算机的正常工作，严重的可使整个系统陷于瘫痪。轻病毒与恶性病毒5．不可预见性6.诱发性计算机病毒的诱发因素是指触发病毒传染或触发病毒发作的控制条件。条件判断是病毒自身特有的功能，一种病毒一般设置一定的激发条件。病毒程序在运行时，每次都要检测激发（控制）条件，一旦条件成熟，病毒就开始发作。病毒的传播途径1.通过移动存储设备来传播（包括软盘、光盘、U盘等）。2.通过计算机网络进行传播。3.通过点对点通信系统和无线通道传播。病毒的结构计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分三部分组成。1.引导部分也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。2.传染部分作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统。3.表现部分是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。病毒的结构计算机病毒的分类病毒的命名地点出现的人名或特征字符发作时症状命名发作的时期时间来命名病毒的分类按病毒所攻击的计算机分类按病毒发作的时间分类（定时病毒和随机病毒）按病毒表现性质分类（良性病毒与恶性病毒）按传染对象来分类引导型病毒（攻击磁盘引导扇区系统启动时获得优先执行权，控制整个系统）文件型病毒（感染execom执行程序激活,dllovlsys某程序的配置、链接文件，执行某程序时病毒也就自动加载，方法为插入病毒代码整段或分散插入到这些文件的空白字节中）网络型病毒复合型病毒（具备“引导型”和“文件型”）连接方式分类源码型病毒入侵型病毒（可用自身代替正常程序的部分模块或堆栈区，因此这类病毒只攻击某些特定程序，针对性强，一般情况下也难以被发现，清除起来也较困难。）操作系统型病毒（将病毒部分加入或替代操作系统的部分功能。直接感染操作系统，危害性也较大）外壳型病毒（附在正常程序开头或结尾，大部份的文件型病毒都属于这一类）病毒的分类二、按破坏性分类1、良性病度:可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。2、恶性病毒:有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。病毒的危害1、攻击系统数据区。攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。2、攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。3、攻击内存。内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。病毒的危害4、干扰系统运行。不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。5、速度下降。不少病毒在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。6、攻击磁盘。攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。7、扰乱屏幕显示。字符显示错乱、跌落、环绕、倒置、光标下跌、滚屏、抖动、吃字符等。病毒的危害8、攻击键盘。响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。9、攻击喇叭。发出各种不同的声音，如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声10、攻击CMOS。对CMOS区进行写入动作，破坏系统CMOS中的数据。11、干扰打印机。间断性打印、更换字符等。病毒的识别与防治1.病毒发作常见的现象下列一些异常现象可以作为检测病毒的参考：程序装入时间比平时长，运行异常；有规律的发现异常信息；用户访问设备（例如打印机）时发现异常情况，如打印机不能联机或打印符号异常；磁盘的空间突然变小了，或不识别磁盘设备；程序和数据神秘的丢失了，文件名不能辨认；显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）；机器经常出现死机现象或不能正常启动；发现可执行文件的大小发生变化或发现不知来源的隐藏文件。2.病毒预防在计算机上安装病毒监控程序；使用他人的软盘、U盘要先查毒；不使用盗版软件；使用从网络上下载的软件要先查毒；不接受来历不明的电子邮件。3.病毒清除目前病毒的破坏力越来越强，几乎所有的软、硬件故障都可能与病毒有牵连，所以，当操作时发现计算机有异常情况，首先应怀疑的就是病毒在作怪，而最佳的解决办法就是利用杀毒软件对计算机进行一次全面的清查。病毒的识别与防治网络病毒及其防治网络病毒的特点网络病毒的传播网络病毒的防治网络反病毒技术的特点病毒防火墙的反病毒的特点网络病毒的特点1．传染方式多2．传播速度快3．清除难度大4．破坏性强网络病毒的传播1．文件病毒在网络上的传播与表现局域网：大多数公司使用局域网文件服务器，用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上其他可执行文件。用户在工作站上执行内存驻留文件带毒，当访问服务器上的可执行文件时进行感染。对等网：使用网络的另一种方式是对等网络，在端到端网络上，用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此，每个工作站都可以有效地成为另一个工作站的客户和服务器。而且，端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件，那么这台感染病毒计算机中的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。网络病毒的传播网络病毒的传播Internet：文件病毒可以通过Internet毫无困难地发送。而可执行文件病毒不能通过Internet在远程站点感染文件。此时Internet是文件病毒的载体。网络病毒的防治1．基于工作站的防治方法工作站病毒防护芯片:将防病毒功能集成在一个芯片上，安装于网络工作站，以便经常性地保护工作站及其通往服务器的途径。其基本原理是:网络上的每个工作站都要求安装网络接口卡，而网络接口上有一个BootROM芯卡，因为多数网卡的BootROM并没有充分利用，都会剩余一些使用空间，所以如果防毒程序够小的话，就槽内，用户可以免去许多繁琐的管理工作。可以安装在网络的BootROM的剩余空间内，而不必另插一块芯片。这样，将工作站存取控制与病毒保护能力合二为一地插在网卡的RPROM2．基于服务器的防治方法目前，基于服务器的防治病毒方法大都采用了以NLM（NetwWareLoadableModule）可装载模块技术进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上较有代表性的产品，如：Intel公司的LANdeskVirusProtect和Symantec公司的CenterPointAnti一Virus和S&SSoftwareInternational公司的Dr．Solomon’sAnti—VirusToolkit，以及我国北京威尔德电脑公司的LANClear网络病毒的防治网络反病毒技术的特点1．网络反病毒技术的安全度取决于“木桶理论”被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面，它同样也适用于这一理论。一个计算机网络，对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。2．网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则该技术符合“最小占用”原则，对网络运行效率不产生本质影响。网络反病毒产品是网络应用的辅助产品，因此对网络反病毒技术，尤其是网络病毒实时监测技术，在自身的运行中不应影响网络的正常运行。网络反病毒技术的应用，理所当然会占用网络系统资源（增加网络负荷、额外占用CPU、占用服务器内存等）。正由于此，网络反病毒技术应符合“最小占用”原则，以保证网络反病毒技术和网络本身都能发挥出应有的正常功能。网络反病毒技术的特点3.网络反病毒技术的兼容性是网络防毒的重点与难点网络上集成了那么多的硬件和软件，流行的网络操作系统也有好几种，按照一定网络反病毒技术开发出来的网络反病毒产品，要运行于这么多的软、硬件之上，与它们和平共处，实在是非常之难，远比单机反病毒产品复杂。这既是网络反病毒技术必须面对的难点，又是其必须解决的重点。网络反病毒技术的特点网络蠕虫的传统威胁消耗网络资源导致网络拥塞甚至瘫痪特点：不可控（感染范围、所阻塞的网络）攻击者不（直接）受益趋势：更强的能力（感染规模、蔓延速度）“定向”能力（IPv6地地址分配规则确定之后会更容易？）“自适应”能力争议：是否还是主要威胁？典型病毒介绍宏病毒电子邮件病毒几个病毒实例宏病毒1．宏病毒的定义所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的工作。所谓宏病毒，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。2．宏病毒的分类宏病毒根据传染的宿主的不同可以分为：传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统应用较多，所以大家谈论的宏病毒一般是指Word宏病毒。宏病毒3．Word宏病毒的特点（1）以数据文件方式传播，隐蔽性好，传播速度快，难于杀除（2）制作宏病毒以及在原型病毒上变种非常方便（3）破坏可能性极大宏病毒4．Word宏病毒的表现Word宏病毒在发作时，会使Word运行出现怪现象，如自动建文件、开窗口、内存总是不够、关闭WORD不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机