第五讲 计算机病毒概述

第五讲病毒分析与防护2本章概要本章内容主要是计算机病毒的基础知识，包括：计算机病毒概念计算机病毒起源、历史和发展计算机病毒分类病毒的常见症状及传播途径3本章目标通过本章学习，学员应该了解计算机病毒的基本概念、分类方法、病毒的特征和传播途径等，为深入了解计算机病毒做好准备。•计算机病毒概述•计算机病毒起源、历史和发展•计算机病毒的分类•病毒的常见症状及传播途径病毒简史5什么是病毒?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。6什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序。7计算机病毒起源•计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的•有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚8计算机病毒历史•“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的青春》中提出•1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。•1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等•1989年全世界的计算机病毒攻击十分猖獗，其中米开朗基罗病毒给许多计算机用户造成极大损失。9计算机病毒历史•1991年在“海湾战争”中，美军第一次将计算机病毒用于实战•1992年出现针对杀毒软件的幽灵病毒，如One-half。•1996年首次出现针对微软公司Office的宏病毒。•1997年1997年被公认为计算机反病毒界的“宏病毒”年。•1998年出现针对Windows95/98系统的病毒，如CIH（1998年被公认为计算机反病毒界的CIH病毒年）。•1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。10计算机病毒发展1、DOS引导阶段1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有石头2。11计算机病毒发展2、DOS可执行阶段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为耶路撒冷,星期天病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。12计算机病毒发展3、批处理型阶段1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。13计算机病毒发展4、幽灵、多形阶段1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。14计算机病毒发展5、生成器阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是病毒制造机VCL15计算机病毒发展6、网络、蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,蠕虫是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。16计算机病毒发展7、Windows病毒阶段1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。17计算机病毒发展8、宏病毒阶段1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。18计算机病毒发展9、互连网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。19重大计算机病毒事件•1988年11月2日，Internet前身Arpanet网络遭到蠕虫的攻击，导致瘫痪，其始作俑者为康奈尔大学计算机科学系研究生罗伯特·莫里斯•1998年出现的CIH病毒是一个全新的新型病毒。这种病毒与DOS下的传统病毒有很大不同，它使用面向Windows的VXD技术编制。该病毒是第一个直接攻击，导致硬件不能正常工作的计算机病毒。它主要感染Windows95/98的可执行程序，发作时破坏计算机FlashBIOS芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。20重大计算机病毒事件•1999年4月出现的梅丽莎病毒，是第一个通过电子邮件传播的病毒，短短24小时之内就使美国数万台服务器、数十万台工作站瘫痪，造成损失高达10亿美元。21重大计算机病毒事件•2001年出现的Codered“红色代码”病毒是一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。出现当时导致了大量基于IIS的Web服务器瘫痪•2001年9月出现的尼姆达病毒则利用了诸多Windows系统漏洞，其传播速度更快，感染能力更强计算机病毒家族23安全威胁的分类ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojanSpywareDownloadersDroppersPasswordStealersBackdoors防间谍软件产品覆盖范围防病毒产品覆盖范围24传统病毒的分类DOS病毒Windows病毒宏病毒脚本病毒引导型病毒病毒的不同类型25引导型病毒计算机启动时使用了被病毒感染的磁盘启动病毒感染硬盘在此以后所有使用的磁盘都会感染26DOS病毒27Windows病毒31宏病毒32当被感染的文件用Word应用程序打开的时候，通常其中包含的宏代码就会复制到通用模板中去当病毒长驻在通用模板中时，它会自动生成一些额外的拷贝到别的被Word打开的文档中去通用模板用于文档设置和宏的基本设定Word文档中的宏病毒33当启动文件夹中有宏病毒时，它会在所有用Excel打开的电子表格中添夹自身的副本。当Excel启动的时候，在启动文件夹中的Excel文件中的宏会被自动执行。Excel文档中的宏病毒一个被感染病毒的电子表格文件被Excel打开时，它会自动在启动文件夹中添加一份自身的副本。34其它文件类型中的宏病毒35宏病毒某些症状被感染的文件的大小会增加当你关闭文件时程序会问你是否要保存所做的更改，而实际上你并没有对文件做任何改动。普通的文件被当作模板保存起来（针对Word宏病毒）36脚本病毒如果一封邮件或某个网页有恶意脚本恶意脚本会利用网页浏览器或者邮件程序脚本解释执行程序导致它们可以传播和复制到其它的邮件接收者和网页的使用者37点击Yes会执行该脚本，有可能含有恶意代码；而点击No则会显示下面的信息当接收到一封带有脚本的邮件时，会有以下的信息显示脚本病毒38脚本病毒查看脚本图标来看电子邮件中是否包含了脚本在其中脚本图标的样子39您可以在打开电子邮件之前，先将其保存为HTML格式来检查脚本病毒一旦保存为HTML格式以后，您就可以查看电子邮件中的脚本代码了40现代计算机病毒类型现代计算机病毒类型特洛伊木马程序蠕虫玩笑程序恶意程序dropper后门程序DDos攻击程序41特洛伊木马程序特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。42蠕虫计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。43玩笑程序玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。44玩笑程序常见表现特征：类似常见的普通可执行程序不会感染其它程序不会造成直接破坏可能给用户带来烦恼和困惑可能不容易中断和停止某些设备（例如鼠标或键盘）可能会暂时工作反常45病毒或恶意程序Droppers病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序在病毒或恶意程序植入后，可以感染文件和对系统造成破坏用于生成病毒或恶意程序的计算机程序46后门程序后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略47DDos攻击程序DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务48网络病毒的概念利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。49网络病毒的特点及危害破坏性强传播性强针对性强扩散面广传染方式多消除难度大50病毒——网络攻击的有效载体网络攻击的程序可以通过病毒经由多种渠道广泛传播攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查病毒的潜伏性和可触发性使网络攻击防不胜防许多病毒程序可以直接发起网络攻击植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。51病毒——网络攻击的有效载体网络的新威胁——病毒+网络攻击病毒症状与传播途径53病毒的常见症状•电脑运行比平常迟钝•程序载入时间比平常久•对一个简单的工作，磁盘似乎花了比预期长的时间•不寻常的错误信息出现•硬盘的指示灯无缘无故的亮了•系统内存容量忽然大量减少•可执行程序的大小改变了54病毒的常见症状•内存内增加来路不明的常驻程序•文件奇怪的消失•文件的内容被加上一些奇怪的资料•文件名称，扩展名，日期，属性被更改过55病毒的常见传播途径•文件传输介质例如CIH病毒，通过复制感染程序传播•电子邮件例如梅丽莎病毒，第一个通过电子邮件传播的病毒•网络共享例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播•文件共享软件例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传即•即时通讯软件例如MSN、QQ病毒病毒特性57直接操作病毒的特性常驻内存直接操作和常驻内存比较在病毒执行时，会选择一个或多个文件直接对其感染病毒会在内存中留下一份拷贝，同时监测计算机的活动情况．在某个特定的条件（例如文件的打开或者执行）下感染某个特定的文件．58病毒的特性隐形隐形病毒是指当在内存中运行后，会隐藏对文件或引导记录额感染操作。多态病毒多态病毒是指会产生不同形态，但功能却相同的病毒．59流行病毒举例•CODERED.A–感染IISWeb服务器–通过IISWeb服务器进行传播–在内存中而不是在文件中存在•PE_NIMDA.A–通过电子邮件传播–通过网络共享传播–通过IISWeb服务器传播–通过感染文件传播60CODERED.A病毒对