第十三课计算机病毒及防治

1第十三章计算机病毒及防治2计算机病毒及防治病毒的威胁病毒的定义病毒的特征病毒的历史病毒的防治病毒原理病毒技术反病毒技术病毒攻防发展3计算机病毒及防治13.1病毒的威胁直接破坏计算机上的重要信息，主要表现为删除、篡改文件，格式化硬盘等；抢占系统资源，降低系统性能，如：大量复制垃圾文件，不断占用系统内存，甚至导致系统崩溃；窃取主机上的重要信息，如信用卡密码、管理员账号密码等；破坏计算机硬件；导致网络阻塞，甚至瘫痪；使邮件服务器、Web服务器不能提供正常服务。413.2病毒的定义计算机病毒是一个程序，一段可执行码；计算机病毒有独特的复制能力，可以很快地蔓延，又常常难以根除；可将自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，即随同文件一起蔓延开来；计算机病毒与计算机网络技术相结合，蔓延的速度更加迅速。5生物学中，病毒是指侵入动植物体等有机生命体中，具有感染性、潜伏性、破坏性的微生物、而且不同的病毒具有不同的诱发因素；“计算机病毒”一词是借用生物学病毒而使用的计算机术语；1983年，美国计算机安全专家FrederickCohen博士首次提出计算机病毒的存在，1989年进一步改进计算机病毒的定义；计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。613.3病毒的特征可执行性是一段能够执行的代码，既可以是二进制代码，也可以是一段脚本；传染性与传播性最早的计算机病毒，或者狭义的计算机病毒的定义，都是强调恶意程序的传染性或传播性特征；病毒要进行传染，就需要进行自我复制，常用的方法就是把自己的病原体代码注入到宿主程序中，当宿主程序运行时，病毒代码也能随之运行；病毒的传染性主要作用于一台主机上，而病毒要从一台主机蔓延到另一台主机，就需要其另一个特性：传播性，即通过网络或者存储介质进行传播。7破坏性破坏行为就是做了用户预料之外的事件；寄生性狭义的病毒一般不是完整的程序，通常是附加在其他程序中，就像生物界中的寄生现象；被寄生的程序称为宿主程序，或者称为病毒载体；欺骗性计算机病毒需要在受害者的计算机上获得可执行的权限，因为病毒首先要执行才能进行传染或者破坏；黑客常常会把带有病毒程序的名字起成一些用户比较关心的程序名字，欺骗用户执行这个程序。8隐蔽性和潜伏性计算机病毒要获得有效的传染和传播，就应该尽量在用户能够觉察的范围之外进行，大多数病毒都把自己隐藏起来；潜伏性是指病毒在相当长的时间里，病毒虽然在系统中存在，但不执行它的破坏功能，是用户难以察觉，而只有到达某个时间点或受其他条件的激发时才执行恶意代码；衍生性在原有病毒的基础上加以改动，衍生出另一种不同于原版病毒的新病毒。913.4病毒的历史1949年，电脑的先驱冯•诺伊曼提出一种“会自我繁殖的程序”——现在称为病毒；10年后，在贝尔实验室，病毒的概念在电子游戏“CoreWar”中形成，是病毒的雏形；20世纪60年代晚期到20世纪130年代早期，首次出现了和现代病毒本质上一样的东西，一个叫作“流浪的野兽（PervadingAnimal）”的程序；20世纪80年代，出现了“爬行者”病毒，可以通过网络进行传播；一个叫做“清除者（Reeper）”的程序被开发出来对付“爬行者”。1983年11月3日，费雷德•科恩研制出一种在运行过程中可以复制自身的破坏性程序，伦•爱德勒曼命名它为“病毒”；1986年初，巴锡特和阿姆杰德兄弟编写了Pakistan病毒，即Brain大脑病毒；1988年11月，第一个因特网病毒——“莫里斯的蠕虫(Morris’sWorm)”在美国感染了6000台电脑；101990年，第一个多态病毒“变色龙”的出现迫使杀毒软件不得不寻找新的方法来检测和发现病毒；“病毒制造工厂”的出现使开发新病毒变得相当容易；1992年晚期，第一个Windows病毒开发成功；1994年，光盘成为最主要的病毒传播渠道；1995年，DOS病毒技术的发展限于停滞，宏病毒开始出现；1996年，第一个Win95病毒——“博扎”——出现；1998年。有史以来影响最大的病毒之一——CIH——出现；第一个32位Windows环境下运行的多态病毒——青猴病（Marburg）——被发现；并且开始流行；2000年，脚本病毒成为主流；近几年流行的病毒：“梅丽莎”、“红色代码”、“尼姆达”、“巨无霸”等，网络、邮件称为病毒的主要传播途径。1113.5病毒的防治把各种查杀病毒的新技术应用于反病毒软件传统的病毒防治软件大都采用特征码扫描技术，而加密变形病毒的出现使特征码扫描技术一筹莫展；反病毒新技术，不断融入病毒防治软件；网络杀毒在本地网络的入口设置病毒防治系统，防治病毒进入本地局域网；在路由器、防火墙中加入反病毒模块；个人防火墙反病毒软件与防火墙相结合；开发具有反病毒和防黑客的二合一的防火墙；邮件杀毒对已知收到的邮件进行查杀；接收邮件时的实时查杀；数据备份拯救系统1213.6病毒原理13.6.1病毒的分类按攻击的操作系统分类攻击DOS系统的病毒也称DOS病毒，出现最早，变种最多，传播非常广泛，如小球病毒等攻击Windows系统的病毒也称Windows病毒；主要是宏病毒，有感染Word、Excel、Access的宏病毒攻击Unix或OS/2系统的病毒13按传播媒介分类单机病毒载体是软盘；病毒从软盘传入硬盘，感染系统，然后再感染其他的软盘，进而感染其他系统；网络病毒传播媒介是网络；往往造成网络堵塞，修改网页，甚至与其他病毒结合修改或破坏文件；14按链接方式分类源码型病毒在高级语言（如Fortran、C、Pascal等）编写的程序被编译之前，插入目标源程序中，经编译，成为合法程序的一部分；一般寄生在编译处理程序或链接程序中；入侵型病毒也称嵌入式病毒；在感染时往往对宿主程序进行一定的修改，通常是寻找宿主程序的空隙将自己嵌入进去，变为合法程序的一部分，使病毒程序和目标程序成为一体；这类病毒编写很难，对其杀毒也很困难；数量不多，破坏力极大；15外壳型病毒病毒程序一般链接在宿主程序的首尾，对原来的主程序不作修改或仅做简单修改；当宿主程序执行时，首先激活病毒程序，使病毒得以感染、繁衍和发作；易于编写，数量很多；操作系统型病毒病毒程序用自己的逻辑部分取代一部分操作系统中的合法程序模块，从而寄生在计算机磁盘的操作系统区；启动计算机时，能够先运行病毒程序，然后再运行启动程序；破坏力强，可是系统瘫痪，无法启动。16按表现（破坏）情况分类良性病毒指那些只表现自己，不破坏计算机系统的病毒；恶性病毒目的是有意或无意的破坏系统中的信息资源；常见的恶性病毒的破坏行为是删除计算机系统内存储的数据和文件；也有不删除任何文件，而是对磁盘乱写，对文件和数据内容进行改变；也有对整个磁盘或磁盘的特定扇区进行格式化，是信息全部消失。17按寄生方式分类引导型病毒也称磁盘引导型、引导扇区型、磁盘启动型、系统型病毒等；把自己的病毒程序放在软磁盘的引导区以及硬磁盘的主引导记录区或引导扇区，当作正常的引导程序，而将真正的引导程序搬到其他位置；文件型病毒指所有通过操作系统的文件系统进行感染的病毒；以感染可执行文件（.bat、.exe、.com、.sys、.dll、.ovl、.vxd等）的病毒为主，也可感染高级语言程序的源代码、开发库或编译过程中所生成的中间文件；18混合型病毒也称综合型、复合型病毒，兼具引导型和文件型病毒的特点，即既可以感染磁盘引导区，又可以感染可执行文件。13.6.2传统病毒引导区感染机制引导型病毒是IBMPC兼容机最早出现的病毒，也是最早进入我国的病毒；引导病毒感染软磁盘的引导扇区，以及硬磁盘的主引导记录或引导扇区；电脑的启动过程19电脑通电之后，首先是中央处理器（CPU）接收到一个复位指令；然后跳转到一个特定的地址开始执行，在IBMPC兼容机上，这个地址是十六进制的FFFF0，这个地址落到基本输入输出系统（BIOS）的地址范围内；基本输入输出系统在完成一些基本的硬件检测之后，根据用户的设置（在电脑的开机设置中，一般都有引导顺序这一项），确定将哪一个扇区加载到内存中开始执行：如果是从A盘（软盘）或者光盘引导，则将A盘或者可以引导光盘的引导扇区（第一个扇区）加载到内存中开始执行；如果是C盘（硬盘）引导，则将硬盘的主引导记录加载到内存中开始执行；如果是正常的主引导记录，会根据分区的信息加载适当的引导扇区到内存中，然后引导相应的操作系统。20必须明确两个概念：引导扇区和主引导记录引导扇区（BootSector）：对于软盘或光盘，是第一个扇区，对于硬盘是每一个分区的第一个扇区，如果一个分区在分区表中标记为可引导的，则这个分区的第一个扇区就是该分区的引导扇区；引导扇区包含引导记录程序，用于加载操作系统；主引导记录（MBR,MainBootRecord）：位于整个硬盘的0磁道0柱面1扇区（主引导扇区），主引导扇区总共有512字节，MBR占用了446字节，另外64字节交给硬盘分区表，表示整块硬盘的分区信息。主引导记录中包含了硬盘的一系列参数和一段主引导程序，主引导程序用来找出系统当前的活动分区，负责把对应的操作系统的引导记录（即当前活动分区的引导记录）装入内存，然后把控制权转给该分区的引导记录。21主引导记录或引导扇区都可能被病毒感染；当系统被感染后，正常主引导记录或者引导扇区的代码被病毒代码替换，电脑启动的时候首先运行的是病毒代码。可执行文件感染机制病毒往往用附加或插入的方式隐藏在可执行程序文件中，或采取分散及多处隐藏的方式；当病毒程序潜伏的文件被合法调用时，病毒程序也合法投入运行，并可将分散的程序在其非法占用的存储空间进行装配，构成完整的病毒体投入运行。进入运行状态的病毒再去扩散感染其他文件，以致磁盘所有可执行文件均被感染，甚至文件被毁坏。2213.6.3宏病毒什么是“宏”？微软的手册中说明：如果需要再Office软件中反复进行某项工作，就可以利用宏来自动完成这项工作；宏是一系列组合在一起的命令和指令，它们形成一个命令，以实现任务执行的自动化。用户可以创建并执行宏，以替代人工进行的一系列费时而单调的重复性操作，自动完成所需任务。什么是“宏病毒”？一种存储于文档、模板或加载宏程序中的计算机病毒；当打开已感染的文件或执行触发宏病毒的操作时，病毒就会被激活，并存储到Normal.dot模板或Personal.xls文件中；保存的每个文档都会自动被病毒“感染”，若有其他人打开该文件，宏病毒就会传播到他们的计算机中。宏病毒与以往的传统计算机病毒不同，它是只感染微软的文档的一种专向病毒；宏病毒与攻击DOS/Windows可行程序的病毒的机理完全不一样，它是用VB高级语言编写的病毒代码，直接混杂在文件中，并加以传播。2313.6.4网络病毒网络病毒的特点主要通过网络传播，在网络环境下才能发挥最大的破坏作用；寄生宿主广泛，可能会寄生在HTM、ASP等多种文件中；也可能隐藏在邮件中；甚至可能不感染任何对象，仅存于源宿主中，但可通过网络传播对计算机德端口、服务、数据、缓冲区进行攻击的指令。一般是利用Internet的开放性、操作系统及各类应用程序的漏洞来对计算机系统进行攻击，为了防范它，往往要对某些网络功能进行限制；一些病毒往往与黑客有联系，最典型的就是“木马”类病毒；发展趋势迅猛，传播速度快、危害范围广。24网络病毒的种类依据病毒的攻击手段，可将网络病毒分为蠕虫和木马两大类；蠕虫蠕虫是通过分布式网络来扩散传播特定信息或错误，破坏网络中的信息或造成网络服务中断的病毒；蠕虫病毒最主要的特点是：利用网络中软件系统的缺陷，进行自我复制和主动传播。木马25网络病毒的传