第4章 计算机病毒与木马

第四章计算机病毒与木马本章学习要点•掌握计算机病毒定义、分类和结构•掌握计算机病毒的表现以及与计算机故障的区分•了解常见的计算机病毒的特点和检测技术•掌握木马的定义、分类•了解常见的木马应用和防护方法4.1计算机病毒概述•计算机病毒的概念起源非常早，在第一部商用计算机出现之前好几年，计算机的先驱者冯·诺依曼（JohnVonNeumann）在他的一篇论文《复杂自动装置的理论及组织的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的计算机专家都无法想象会有这种能自我繁殖的程序。4.1计算机病毒概述•1975年，美国科普作家约翰·布鲁勒尔（JohnBrLiiler）写了一本名为《震荡波骑士》的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。•1977年夏天，托马斯·捷·瑞安的科幻小说《P-1的春天》成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7000台计算机，造成了一场灾难。这是世界上第一个幻想出来的计算机病毒,仅仅在10年之后，这种幻想的计算机病毒在世界各地大规模泛滥。4.1计算机病毒概述•不过，这种具备感染性与破坏性的程序被真正称为“病毒”，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼的专栏作家在讨论“磁芯大战”与苹果二型计算机（当时流行的正是苹果二型计算机，那时，PC还未诞生）时，开始把这种程序称为病毒。•与《P-1的春天》成为畅销书差不多同一时间，美国著名的AT&T贝尔实验室中，3个年轻人在工作之余，很无聊地玩起一种游戏：彼此撰写出能够吃掉别人程序的程序来互相作战，这个叫做“磁芯大战”的游戏，进一步将计算机病毒“感染性”的概念体现出来。•1983年11月3日，一位南加州大学的学生弗雷德·科恩在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让计算机病毒具备破坏性的概念具体成形。•到了1987年，第一个计算机病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的计算机病毒始祖。4.1计算机病毒概述•这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。•计算机病毒的产生是一个历史问题，是计算机科学技术高度发展与计算机文明迟迟得不到完善这样一种不平衡发展的结果，它充分暴露了计算机信息系统本身的脆弱性和安全管理方面存在的问题。如何防范计算机病毒的侵袭已成为国际上亟待解决的重大课题。4.1计算机病毒概述4.1.2计算机病毒的定义•从广义上讲，凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的、可自我复制的计算机程序或指令集合都是计算机病毒。•在《中华人民共和国计算机信息系统安全保护条例》中明确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。4.1计算机病毒概述•计算机病毒具有非法性、隐蔽性、潜伏性、触发性、表现性、破坏性、传染性、针对性、变异性和不可预见性。单独根据某一个特性是不能判断某个程序是否是病毒的，必须对病毒的特性有一个全面的了解，下面对病毒的主要特性进行简单的介绍。4.1计算机病毒概述1．非法性•病毒的非法性是指病毒所做的操作都是在未获得计算机用户的允许下“悄悄地”进行的，它们绝大多数的操作是违背用户意愿和利益的。在正常情况下，计算机用户调用执行一个合法的程序时，把系统的控制权交给这个程序，并给其分配相应的系统资源。4.1计算机病毒概述2.隐藏性•隐藏性是病毒的一个最基本的特性。因为病毒都是“非法”的程序，不可能在用户的监视和意愿下光明正大地存在和运行。因此，病毒必须具备隐藏性，才能够达到传播和破坏的目的。4.1计算机病毒概述3.潜伏性•病毒感染了其他的合法程序、文件或系统后，不会立即发作，而是隐藏起来。当病毒的发作条件满足的时候，才进行破坏操作。4．可触发性•计算机病毒一般都有各自的触发条件。当这些触发条件满足的时候，病毒开始进行传播或者破坏。触发的实质是病毒的设计者设计的一种条件的控制，按照设计者的设计要求，病毒在条件满足的情况下进行攻击。4.1计算机病毒概述5.破坏性•破坏性是计算机病毒的另一主要特性。计算机病毒造成的最显著后果就是破坏计算机系统的正常运行使之无法正常工作。•病毒的破坏方式是多种多样的。4.1计算机病毒概述6.传染性•传染性是计算机病毒的一个重要特征，是判断一段程序代码是否是计算机病毒的一个重要依据。•病毒的传染可以通过各种渠道，比如可以通过软盘、光盘、电子邮件、计算机网络等迅速地传染给其他计算机。随着人们在工作和生活上对网络越来越依赖，E-mail的广泛使用甚至代替了大量的传统通信方式，计算机病毒的传播能力以惊人的速度发展。4.1计算机病毒概述•除了上述的几种特性，病毒还具有表现性、针对性、变异性等其他特性。要想对病毒进行全面的了解，首先就要对这些特性进行认识和分析，从总体上掌握病毒的特点。4.1计算机病毒概述4.1.3计算机病毒的分类•从计算机病毒问世以来，病毒的发展非常迅速。由于病毒的多样化发展，无法使用单一的分类方法进行区别，因此下面从不同的角度对病毒进行划分。（1）按照计算机病毒攻击的系统分类•攻击DOS系统的病毒——这类病毒出现最早、数量最多，变种也最多。•攻击Windows系统的病毒——由于Windows系统是多用户、多任务的图形界面操作系统，深受用户的欢迎，Windows系统正逐渐成为病毒攻击的主要对象。•攻击UNIX系统的病毒——当前，UNIX系统应用非常广泛，并且许多大型的网络设备均采用UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息安全是一个严重的威胁。（2）按照计算机病毒的链接方式分类计算机病毒所攻击的对象是计算机系统可执行的部分，因此按照计算机病毒的链接方式可以将病毒分成以下几类。•源码型病毒——该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。•嵌入型病毒——这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。（2）按照计算机病毒的链接方式分类外壳型病毒——将其自身包围在主程序的四周，对原来的程序不作修改。•操作系统型病毒——这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。（3）按照计算机病毒的破坏情况分类良性计算机病毒—指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。•恶性计算机病毒——指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这些操作代码都是刻意编写进病毒的，这是其本性之一。（4）根据计算机病毒传染方式进行分类•磁盘引导区传染的计算机病毒——磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。（4）根据计算机病毒传染方式进行分类•操作系统传染的计算机病毒——操作系统是使一个计算机系统得以运行的支持环境，它包括COM、EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。（4）根据计算机病毒传染方式进行分类可执行程序传染的计算机病毒。可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒就会被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。•对于以上后3种病毒的分类，实际上可以归纳为两大类：一类是引导扇区型传染的计算机病毒；另一类是可执行文件型传染的计算机病毒。（5）按照计算机病毒激活的时间分类•定时型病毒——定时病毒是在某一特定时间发作的病毒，它是以时间为发作的触发条件。•随机型病毒—与定时型病毒不同的是随机型病毒，此类病毒不是通过时钟进行触发的。（6）按照传播媒介分类•单机病毒——单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染给其他软盘，软盘又传染给其他系统。•网络病毒——网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。4.1计算机病毒概述•计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。混合型病毒集引导型和文件型病毒特性于一体。•以上所描述的是比较常见的几种计算机病毒的分类方式。另外，还应该了解更多的病毒分类方法，以便更好地认识各种计算机病毒。也需要花大力气了解一些非常有代表性的病毒。4.1.4计算机病毒的结构•计算机病毒与其他客观存在的事物一样，都有一定的结构。如果没有这些结构的支撑，它就无法体现计算机病毒的诸多特性，无法实现病毒的各种功能。因此，了解计算机病毒的结构，主要是了解计算机病毒的程序结构和计算机病毒的存储结构。1．计算机病毒的程序结构•各种计算机病毒程序大小不同、长短各异，但是它们一般都包含3个部分：引导模块、传染模块、表现或破坏模块，如下图所示。计算机病毒引导模块传染模块表现、破坏模块2．计算机病毒的存储结构从磁盘存储结构和内存驻留结构两方面介绍计算机病毒的存储结构。•（1）病毒的磁盘存储结构要了解病毒的磁盘存储结构，首先必须了解磁盘的空间划分。根据病毒磁盘的存储结构不同，病毒主要分成系统型病毒和文件型病毒。2．计算机病毒的存储结构•系统型病毒是指专门传染操作系统的启动扇区，主要是硬盘主引导区和DOS引导扇区的病毒。一般分作两部分，第一部分存放在磁盘引导扇区中，第二部分则存放在磁盘的其他扇区。•文件型病毒主要是指感染系统中的可执行文件或者依赖于可执行文件发作的病毒。一般附着在被感染的文件的首部、尾部，或者中间的空闲部分。2．计算机病毒的存储结构（2）病毒的内存驻留结构病毒一般都驻留在常规内存中，相对来讲，检测这些计算机病毒比较方便。文件病毒的内存驻留结构又可以分为高端驻留型、常规驻留型、内存控制链驻留型和设备程序补丁驻留型等。•系统型病毒是在系统启动时被装入的。此时，系统中断“INT21H”还没有设定，病毒程序要使自身驻留内存，不能采用系统功能调用的方法。2．计算机病毒的存储结构•文件型病毒是在其宿主程序的运行时被装入的，这时，系统的中断功能调用已经设定。因此，病毒一般将自身指令与宿主程序相分离，并将病毒程序移动到内存高端或者是当前用户内存区的最低端地址处，然后调用系统功能，使病毒程序常驻内存。•还有一些病毒是不用驻留内存的,每执行一次，就主动在当前路径中查找满足要求的可执行文件进行传染，它不修改中断向量，也不需要改动系统的任何状态，因而用户很难区分当前运行的程序是一个病毒还是一个正常运行的程序。4.2计算机病毒的危害4.2.1计算机病毒的表现只有根据计算机病毒的发作现象，才可能及时发现并清除病毒。这些常见的发作现象包括以下几个方面。•计算机运行速度的变化——主要现象包括：计算机的反应速度比平时迟钝很多；应用程序的载入比平时要多花费很长的时间；开机时间过长。•计算机磁盘的变化——主要现象包括：对一个简单的磁盘存储操作比预期时间长很多；当没有存取数据时，硬盘指示灯无缘无故地亮了；磁盘的可用空间大量地减少；磁盘的扇区坏道增加；磁盘或者磁盘驱动器不能访问。4.2计算机病毒的危害•计算机内存的变化——主要现象包括：系统内存的容量突然间大量地减少；内存中出现了不明的常驻程序。•计算机文件系统的变化——主要现象包括：可执行程序的大小被改变了；重要的文件