计算机病毒原理与防范 秦志光 张凤荔 1 第1章新

第 1章 计算机病毒概述计算机病毒原理与防范秦志光 , 张凤荔2018/8/9 1第 1章 计算机病毒概述u计算机病毒的产生与发展u计算机病毒的基本概念u计算机病毒的分类2018/8/9 2引言u 计算机病毒与医学上的 “病毒 ”不同，它不是天然存在的，而是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。 u 从广义上定义，凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。 u 计算机的信息需要存取、复制和传送，计算机病毒作为信息的一种形式可以随之繁殖、感染和破坏。 u 计算机病毒与反计算机病毒势必成为一个长期的技术对抗过程。计算机病毒主要由反计算机病毒软件来对付，而且反计算机病毒技术将成为一种长期的科研任务。 2018/8/9 31.1 计算机病毒的产生与发展u计算机病毒的起源u计算机病毒的发展背景u计算机病毒的发展历史2018/8/9 4计算机病毒的起源 u 科学幻想起源说 1977年，美国科普作家托马斯 .丁 .雷恩 P-1 的青春 一书u 恶作剧起源说 恶作剧者大多是那些对计算机知识和技术均有兴趣的人，并且特别热衷那些别人认为是不可能做成的事情 u 游戏程序起源说 20世纪 70年代，美国贝尔实验室的计算机程序员为了娱乐，在自己实验室的计算机上编制吃掉对方程序的程序， u 软件商保护软件起源说 软件制造商为了处罚那些非法复制者，在软件产品之中加入计算机病毒程序并由一定条件触发并传染。 Permit non-atomic domains (atomic indivisible)归纳起来，计算机系统、 Internet的脆弱性是产生计算机病毒的根本技术原因之一，计算机科学技术的不断进步，个人计算机的快速普及应用是产生计算机病毒的加速器。 2018/8/9 5计算机病毒的发展背景u 计算机病毒的祖先： “Core War”（磁芯大战 早在 1949年，计算机的先驱者冯 .诺依曼在他的一篇论文 复杂自动机组织论 中，提出了计算机程序能够在内存中自我复制，即已把计算机病毒程序的蓝图勾勒出来， 10年之后，在美国电话电报公司（ AT&T）的贝尔实验室中， 3个年轻程序员在工作之余想出一种电子游戏叫做 “Core War”（磁芯大战）。 u 计算机病毒的出现 1983年 , 科恩 .汤普逊（ Ken Thompson）公开地证实了计算机病毒的存在，而且还告诉所有听众怎样去写自己的计算机病毒程序。 u 计算机病毒 ”一词的正式出现 在 1985年 3月份的 科学美国人 里，杜特尼再次讨论 “Core War”和计算机病毒。在该文章中第一次提到 “计算机病毒 ”这个名称。 计算机病毒就伴随着计算机的发展而发展起来了。 2018/8/9 6计算机病毒的发展历史 (1)u 萌芽时期，磁芯大战 -0世纪 50年代末 60年代初 u 大型计算机的时代 -20世纪 60年代晚期 70年代早期 u 计算机病毒的思想基础 -美国科普作家约翰 .布鲁勒尔的 震荡波骑士 和托马斯 .捷 .瑞安的科幻小说 P-1的青春 u DOS引导阶段 -20世纪 80年代，独立程序员出现了职业化趋势 u DOS可执行阶段 -在 1989年出现可执行文件型计算机病毒u 伴随、批次型阶段 - 1992年出现，它们利用 DOS加载文件的优先顺序进行工作。u 幽灵、多形阶段 - 1994年，用汇编语言实现同一功能已经可以用不同的方式完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵计算机病毒就是利用这个特点，每感染一次就产生不同的代码。 2018/8/9 7计算机病毒的发展历史 (2)u 生成器、变体机阶段 -1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机地插入一些空操作和无关指令，也不影响运算的结果。 u 网络、蠕虫阶段 - 1995年，计算机病毒开始利用网络进行传播。u Windows阶段 - 利用 Windows系统进行工作的计算机病毒开始发展，它们修改（ NE， PE）文件u 宏病毒阶段 - Word宏语言也可以编制计算机病毒 u Internet阶段 -计算机病毒利用 Internet进行传播 u Java、邮件炸弹阶段 -利用 Java语言进行传播和资料获取的计算机病毒开始出现，典型的代表是 JavaSnake计算机病毒 2018/8/9 81.2 计算机病毒的基本概念u计算机病毒的生物特征 u计算机病毒的生命周期 u计算机病毒的传播途径 u计算机病毒发作的一般症状 2018/8/9 9计算机病毒的生物特征 u 宿主u 感染性u 危害性u 微小性u 简单性u 变异性u 多样性 u 特异性 u 相容性和互斥性 u 顽固性 2018/8/9 10计算机病毒的生命周期 u 开发期 -u 传染期 -将计算机病毒其复制并确认其已被传播出去。u 潜伏期 - 计算机病毒是自然地复制的。计算机病毒的危害在于暗中占据存储空间。u 发作期 - 带有破坏机制的计算机病毒会在达到某一特定条件时发作，一旦遇上某种条件，例如，某个日期或出现了用户采取的某特定行为。u 发现期 - 当计算机病毒被检测到并被隔离出来后，计算机病毒被通报和描述给反计算机病毒研究工作者。u 消化期 - 反计算机病毒开发人员修改他们的软件以使其可以检测到新发现的计算机病毒。u 消亡期 - 处于消亡期的某些计算机病毒已经在很长时间里不再是一个重要的威胁了。2018/8/9 11计算机病毒的传播途径 u 第一种途径：通过不可移动的计算机硬件设备进行传播。u 第二种途径：通过移动存储设备来传播。u 第三种途径：通过计算机网络进行传播。u 第四种途径：通过点对点通信系统和无线通道传播。u 其他未知途径：计算机工业的发展在为人类提供更多、更快捷的传输信息方式的同时，也为计算机病毒的传播提供了新的传播途径。2018/8/9 12计算机病毒发作的一般症状 u （ 1）计算机运行得比平常迟钝，程序载入时间比平常久；u （ 2）对一个简单的工作，磁盘机似乎花了比预期长的时间；u （ 3）不寻常、或与系统正在运行的软件无关的错误讯息出现；u （ 4）硬盘的指示灯无缘无故地亮了，或程序同时存取多部磁盘机；u （ 5）系统记忆体容量忽然大量减少，磁盘可利用的空间突然减少； u （ 6）可执行文档的大小改变了；u （ 7）记忆体内增加了来路不明的常驻程序；u （ 8）档案奇怪地消失或档案的内容被附加了一些奇怪的资料；u （ 9）档案名称、文档名、日期和属性被更改过。2018/8/9 131.3 计算机病毒的分类u 计算机病毒的基本分类 u 按照计算机病毒攻击的系统分类 u 按照计算机病毒的寄生部位或传染对象分类 u 按照计算机病毒的攻击机型分类 u 按照计算机病毒的链接方式分类 u 按照计算机病毒的破坏情况分类 u 按照计算机病毒的寄生方式分类 u 按照计算机病毒激活的时间分类 u 按照计算机病毒的传播媒介分类 u 按照计算机病毒特有的算法分类 u 按计算机病毒的传染途径分类 u 按照计算机病毒的破坏行为分类 u 按照计算机病毒的 “作案 ”方式分类 2018/8/9 14计算机病毒的基本分类 u 传统开机型计算机病毒u 隐形开机型计算机病毒u 档案感染型兼开机型计算机病毒u 目录型计算机病毒u 传统档案型计算机病毒u 千面人计算机病毒u 突变引擎病毒u 隐形档案型计算机病毒u 终结型计算机病毒u Word巨集计算机病毒2018/8/9 15按照计算机病毒攻击的系统分类u攻击 DOS系统的计算机病毒u攻击 Windows系统的计算机病毒u攻击 UNIX系统的计算机病毒u攻击 OS/2系统的计算机病毒2018/8/9 16按照计算机病毒的寄生部位或传染对象分类u磁盘引导区传染的计算机病毒u操作系统传染的计算机病毒u可执行程序传染的计算机病毒2018/8/9 17按照计算机病毒的攻击机型分类u攻击微型计算机的计算机病毒u攻击小型机的计算机病毒u攻击工作站的计算机病毒 2018/8/9 18按照计算机病毒的链接方式分类u源码型计算机病毒u嵌入型计算机病毒 u外壳型计算机病毒u操作系统型计算机病毒2018/8/9 19按照计算机病毒的破坏情况分类u良性计算机病毒 : 不包含有立即对计算机系统产生直接破坏作用的代码。u恶性计算机病毒 : 在其包含有损伤和破坏计算机系统的操作的代码，在其传染或发作时会对系统产生直接的破坏作用。2018/8/9 20按照计算机病毒的寄生方式分类u引导型计算机病毒 - 指寄生在磁盘引导区或主引导区的计算机病毒。u文件型计算机病毒 - 指能够寄生在文件中的计算机病毒。这类计算机病毒程序感染可执行文件或数据文件。u复合型计算机病毒 - 兼具引导型病毒和文件型病毒寄生方式的计算机病毒。2018/8/9 21按照计算机病毒激活的时间分类u计算机病毒可分为定时的和随机的两类。u定时计算机病毒仅在某一特定时间才发作 .u随机计算机病毒一般不是由时钟来激活的。 2018/8/9 22按照计算机病毒的传播媒介分类u单机计算机病毒 - 单机计算机病毒的载体是磁盘，常见的是计算机病毒从软盘或 U盘等移动载体传入硬盘，感染系统，然后再传染其他软盘或 U盘，软盘等移动载体又传染其他系统。u网络计算机病毒 - 网络计算机病毒的传播媒介不再是移动式载体，而是网络通道，这种计算机病毒的传染能力更强，破坏力更大。2018/8/9 23按照计算机病毒特有的算法分类u 伴随型计算机病毒 - 这一类计算机病毒并不改变文件本身，它们根据算法产生 .exe文件的伴随体，具有同样的名字和不同的扩展名（ .com），例如， Xcopy.exe的伴随体是 X，计算机病毒把自身写入 .com文件并不改变 .exe文件，当 DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的 .exe文件。u “蠕虫 ”型计算机病毒 - 这类计算机病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台计算机的内存传播到其他计算机的内存，寻找计算网络地址，将自身的计算机病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。u 寄生型计算机病毒 - 通过系统的功能进行传播，按算法可分为如下几种。 练习型计算机病毒 诡秘型计算机病毒 变型计算机病毒（又称幽灵计算机病毒）2018/8/9 24按计算机病毒的传染途径分类u 计算机病毒按其传染途径大致可分为两类：u 一是感染磁盘上的引导扇区 Boot Sector的内容的计算机病毒；u 二是感染文件型计算机的病毒。它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。u 混合型计算机病毒集感染引导型和文件型计算机病毒特性于一体。引导型计算机病毒会去改写（即一般所说的 “感染 ”）磁盘上的引导扇区 Boot Sector的内容，软盘或硬盘都有可能感染计算机病毒；或是改写硬盘上的分区表 FAT。如果用已感染计算机病毒的软盘来启动的话，则会感染硬盘。2018/8/9 25按照计算机病毒的破坏行为分类u 攻击系统数据区u 攻击文件 u 攻击内存 u 干扰系统运行 u 速度下降 u 攻击磁盘 u 扰乱屏幕显示 u 键盘 u 喇叭u 攻击 CMOS u 干扰打印机2018/8/9 26按照计算机病毒的 “作案 ”方式分类u暗藏型计算机病毒u杀手型计算机病毒u霸道型计算机病毒u超载型计算机病毒u间谍型计算机病毒u强制隔离型计算机病毒u欺骗型计算