第4章新型计算机病毒的发展趋势及特点和技术 ppt课件

任课教师： 乔奎贤 E-mail： 计算机病毒原理与防范 第 4章 新型计算机病毒的发展 趋势及特点和技术 4.1 新型计算机病毒的发展趋势 4.2 新型计算机病毒发展的主要特点 4.3 新型计算机病毒的主要技术 西安工业大学4.1 新型计算机病毒的发展趋势 网络化 利用基于 Internet的编程语言与编程技术实现，易于修改以产生新的变 种，从而逃避反计算机病毒软件的搜索。如利用 Java、 ActiveX和 VBScript 等技术，使病毒潜伏在 HTML页面中。 例如： “爱虫 ”病毒、 “Kakworm”病毒 人性化 充分利用了心理学知识，针对人类的心理制造计算机病毒，其主题、文 件名更具人性化和极具诱惑性。 例如： “My-babypic”病毒 多样化 新计算机病毒可以是可执行文件、脚本语言和 HTML网页等多种形式， 并向电子邮件、网上贺卡、卡通图片、 ICQ和 OICQ等发展。 西安工业大学4.1 新型计算机病毒的发展趋势 隐蔽化 新一代计算机病毒更善于隐蔽自己、伪装自己，其主题会在传播中改变 ，或具有诱惑性的主题、附件名。 如：主页计算机病毒、 “维罗纳 ”病毒、 “Matrix”病毒 平民化 由于脚本语言的广泛使用，专用计算机病毒生成工具的流行，计算机病 毒的制造不再是计算机专家表现自己的高超技术。 智能化 可对外设、硬件设施物理性破坏，也可对人体实施攻击。 西安工业大学4.2 新型计算机病毒发展的主要特点 4.2.1 新型计算机病毒的主要特点 4.2.2 基于 Windows的计算机病毒 4.2.3 新型计算机病毒的传播途径 4.2.4 新型计算机病毒的危害 4.2.5 电子邮件成为病毒传播的主要媒介 4.2.6 新型计算机病毒的最主要载体 西安工业大学4.2.1 新型计算机病毒的主要特点 利用系统漏洞将成为计算机病毒有力的传播方式 局域网内快速传播 以多种方式快速传播 欺骗性增强 大量消耗系统与网络资源 更广泛的混合性特征 计算机病毒与黑客技术的融合 计算机病毒出现频度高，计算机病毒生成工具多，计算机病 毒的变种多 难于控制和彻底根治，容易引起多次疫情 西安工业大学4.2.2 基于 Windows的计算机病毒 1什么是 Windows 计算机病毒？ Windows 计算机病毒： 指能感染 Windows 可执行程序并可在 Windows 系统下运行的 计算机病毒。 Windows 计算机病毒分类： 感染 NE格式 (Windows3.X) 可执行程序的计算机病毒 感染 PE格式 (Windows95 以上 )可执行程序的计算机病毒 西安工业大学4.2.2 基于 Windows的计算机病毒 2为什么 Windows 计算机病毒这么多？ 一方面，随着人们对 Windows 操作系统认识的深入，系统功 能的强大而使系统庞大，不可避免地出现错误和漏洞；另一方 面， Windows 系统源码保密。 危害系统主机的非授权主机进程的表现形式： 病毒程序 蠕虫 木马 后门 漏洞 西安工业大学4.2.2 基于 Windows的计算机病毒 危害系统主机的非授权主机进程的表现形式： 病毒程序 病毒程序一般比较小巧，表现为强传染性，会传染它所能 访问的文件系统中的文件。 蠕虫 蠕虫是利用网络进行传播的程序。利用主机提供的服务缺 陷攻击目标机。目标机感染后，一般会随机选择一段 IP地址 进行扫描，寻找下一个有缺陷的目标进行攻击。 如： “Lion” 针对 DNS解析的服务程序 BIND； “冲击波 ”、 “震荡波 ” 针对 Windows 系统。 西安工业大学4.2.2 基于 Windows的计算机病毒 危害系统主机的非授权主机进程的表现形式： 木马 木马是网络攻击成功后有意放置的程序，用于与外界的攻击程序接口， 以非法访问被攻击主机为目的。绝大多数针对 Windows 系统。 后门 后门是写系统或网络服务程序的公司或个人放置在系统上，以进行非法 访问为目的的代码。只存在于不开放源码的操作系统中。 漏洞 漏洞是指由于程序编写过程中的失误，导致系统被非法访问 西安工业大学4.2.2 基于 Windows的计算机病毒 3 Windows 系统与计算机病毒的斗争 Windows 系统只有通过不断升级、完善，才可以减少受计算 机病毒骚扰的机会。 西安工业大学4.2.3 新型计算机病毒的传播途径 1传播途径 软盘 光盘 硬盘 BBS 网络 西安工业大学4.2.3 新型计算机病毒的传播途径 2计算机病毒传播呈现多样性 (1)隐藏在即时通信软件中的计算机病毒 即时通信 IM软件： ICQ、 QQ、 MSN Messenger 例如： “求职信 ”病毒：第一个通过 ICQ进行传播的恶性蠕虫 “爱情森林 ”系列病毒、 “QQ尾巴 ”病毒：通过腾讯 QQ进行传播 “MSN射手 ”病毒、 “W32.HLLW.Henpeck” 病毒：通过腾讯 MSN Messenger进行传播 通过即时通信软件传播病毒的原因： 用户数量庞大，有利于病毒的迅速传播； 软件内建有联系人清单，可方便地获取传播目标。 西安工业大学4.2.3 新型计算机病毒的传播途径 2计算机病毒传播呈现多样性 隐藏在即时通信软件中的计算机病毒 在 IRC中的计算机病毒 点对点计算机病毒 西安工业大学4.2.4 新型计算机病毒的危害 1计算机病毒肆虐： 以 “震荡波 ”病毒为例 2计算机病毒与 IT共存 据海外有关数据显示：全球每月产生新计算机病毒 300种，一年就达 40005000种。全球每年造成巨大的经济损失。 典型案例： “尼姆达 ”、 “美丽莎 ”、 “CIH”、 “Sircam”病毒 网络攻击手段： 密码攻击、分组窃听和 IP地址欺骗，以及拒绝服务（ Ddos）、未授权访问和特洛伊木马（ Trojan） 专家针对计算机病毒推荐的防范措施： 1及时关注微软公司官方网站公布的系统漏洞，下载正式补丁； 2购买专业杀毒软件厂商的软件及其后台服务，及时升级； 3定期备份计算机上的重要文件。 西安工业大学4.2.5 电子邮件成为计算机病毒传播的主要媒介 “BubbleBoy”病毒： 无需用户打开附件就能感染用户的计算机系统。 通过 E-mail进行传播的计算机病毒的主要特点： （ 1）传播速度快、传播范围广； （ 2）破坏力大、破坏性强。 典型案例： 2000年 5月 4日 “爱虫 ”计算机病毒的爆发 西安工业大学4.2.6 新型计算机病毒的最主要载体 目前，计算机网络成为计算机病毒传播的最主要载体。 1网络蠕虫成为最主要和破坏力量最大的计算机病毒类型 “蠕虫 ”病毒主要利用系统漏洞进行传播，在控制系统的同时， 为系统打开后门，成为一种黑客攻击工具。 “蠕虫 ”病毒编写简单，往往直接利用 VBS来编写。如 “欢乐时 光 ”病毒。 2恶意网页、木马和计算机病毒 西安工业大学4.2.6 新型计算机病毒的最主要载体 蠕虫（ Worm ）： 虽然蠕虫可以在计算机系统中繁殖，有的蠕虫甚至还可以在 内存、磁盘、网络中移动、爬行，但它们不依附于其他程序， 即不需要宿主对象。 严格地说，蠕虫与计算机病毒的一个最大区别在于：蠕虫程 序本身并不具备传染性。 在其他方面，蠕虫与计算机病毒又极为类似，它是计算机病 毒的 “近亲 ”，而被视为是另一种类型的计算机病毒 西安工业大学4.2.6 新型计算机病毒的最主要载体 目前，计算机网络成为计算机病毒传播的最主要载体。 1网络蠕虫成为最主要和破坏力量最大的计算机病毒类型 2恶意网页、木马和计算机病毒 恶意网页的特点： 在用户不知道情况下，修改用户浏览器选项； 修改用户注册表选项，锁定注册表，修改系统启动选项，以及在用户 桌面生成网页快捷访问方式。 格式化用户硬盘（很少出现）。 注意：在当前计算机病毒定义下，不能称恶意网页为计算机病毒，因为它不 能自我复制；也不能称为木马，因为它没有远程控制。 木马的最主要特点： 远程控制 西安工业大学4.2.6 新型计算机病毒的最主要载体 特洛伊木马（ Trojan Horse）： 借古罗马战争中的 “木马 ”战术而得名 原理： 木马实际上是一种在远程计算机之间建立起连接，使远 程计算机能通过网络控制本地计算机上的程序。 传播： 木马以合法而正常的程序（如计算机游戏、压缩工具乃 至防治计算机病毒软件等）面目出现，来达到欺骗并在用户计 算机上运行、产生用户所料不及的破坏后果之目的。 组成： 一般情况下，木马程序由服务器端程序和客户端程序组 成。其中服务器端程序安装在被控制对象的计算机上，客户端 程序是控制者所使用的。 西安工业大学4.2.6 新型计算机病毒的最主要载体 特洛伊木马（ Trojan Horse）： 危害： 通过远程控制对目标计算机进行危险的文件管理，包括 可从受害者的计算机查看、删除、移动、上传、下载、执行任 何文件；进行警告信息发送、键盘记录、记录机内保密信息、 关闭窗口、鼠标控制、计算机基本设置等非法操作 木马和远程控制软件的区别： 木马具有隐蔽性。例如国内的血 蜘蛛、国外的 PCAnyWhere 等远程控制软件，其服务器端在目 标计算机上运行时，目标计算机上会出现很醒目的标志；而木 马类软件的服务器在运行时则应用多种手段来隐藏自己。 类型： 远程访问木马 密码发送型木马 FTP型木马 键盘记录型木马 毁坏型木马 西安工业大学4.3 新型计算机病毒发展的主要技术 4.3.1 ActiveX与 Java 4.3.2 计算机病毒的驻留内存技术 4.3.3 修改中断向量表技术 4.3.4 计算机病毒隐藏技术 4.3.5 对抗计算机病毒防范系统技术 4.3.6 技术的遗传与结合 西安工业大学4.3.1 ActiveX与 Java 传统计算机病毒与新型计算机病毒： 1宿主程序： 传统计算机病毒： 一定有一个 “宿主 ”程序，如 .EXE文件、 .COM文件以及 .DOC文件 宏病毒：感染 Word ，如： “Taiwan No.1”病毒 新型计算机病毒： 完全不需要宿主程序 2寄生方式 传统计算机病毒： 寄生在可执行程序代码中，伺机对系统进行破坏 新型计算机病毒： 利用网页编写所用的 Java或 ActiveX语言编写的可 执行程序，当浏览网页时就会下载并在系统中执行。 西安工业大学4.3.1 ActiveX与 Java Java或 ActiveX语言： 用来编写具有动感十足的网页 Java或 ActiveX语言的执行方式： 将程序代码写在网页上，当访问网站时，用户浏览器将这些程序代码下 载，然后用用户的系统资源去执行。 例如： uActiveX控件病毒 “Exploder” ：能关闭 Windows95 系统，可见其 控制能力之强。 u利用 Java编写的包含恶意代码的程序： Application macros、 Navigator plug-ins、 Macintosh等应用程序 现在有些计算机病毒是在用户未知情况下所执行的一些操作 而感染传播的。 西安工业大学4.3.2 计算机病毒的驻留内存技术 1引导型病毒的驻留内存技术 引导型病毒是在计算机启动时从磁盘的引导扇区被 ROM BIOS中的引导程序读入内存的。在将控制权转交给正常引导程 序去做进一步的系统启动工作之前，将自身搬移到内存的高端 ，即 RAM的最高端，同时修改可用内存空间。 例如： “小球 ”、 “大麻 ”、 “米开朗琪罗 ”等病毒 引导型病毒总是以驻留内存的形式进行感染的。利用 DOS的 Chkdsk或 Pctools程序可发现内存总数的减少；利用 Debug不仅 可发现内存的减少，而且可发现病毒在内存的具体位置。 西安工业大学4.3.2 计算机病毒的驻留内存技术 2文件型病毒的不驻留内存技术 感染方法是只要被运行一次，就在磁盘中寻找一个未被该病 毒感染的文件进行感染。当程序运行结束，病毒连同其宿主程 序一起离开内存，不留任何痕迹。 其传染和扩散速度相对于内存驻留型病毒稍差些。 如： “维也纳 DOS648”、 “Taiwan”、 “Syslock”、 “W13” 等病 毒 西安工业大学4.3.2 计算机病毒的驻留内存技术 3文件型病毒的驻留内存技术 文件型病毒可以驻留在内存高端，也可驻留在内存低端 如： “1575”、 “DIR2”、 “4096”、 “新世纪 ”、 “中国炸弹 ”、 “旅行者 1202” 等病毒 采用 DOS的中断调用 27H和系统功能调用 31H。 文件型病毒可驻留在它被系统调入内存时所在的位置（往往是内存低端 ）。可被 DOS的 MEM和 Pctools的 MI查看到。 如： “1808”病毒 很多病毒采用了直接修改 MCB的方法。 可以驻留在内存的低端，也可搬移到内存高端，可以躲避监视。 如： “1575”、 “4096”等病毒 西安工业大学4.3.2 计算机病毒的驻留内存技术 Windows 环境下病毒的内存驻留（补充） 方法一：病毒作为一个应用程序 由于 Windows 操作系统本身就是多任务的，所以最简单的内 存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口 ( 可能是隐藏的 )、拥有自己的消息处理函数 方法二：病毒独立占用系统内存块 使用 DPMI申请一块系统内存，将病毒代码放置其中 方法三：病毒作为一个设备驱动程序 将病毒作为一个 VXD（ Win3.x 或者 Win9x 环境下的设备驱动 程序）或者在 Win NT Win2000 下的设备驱动程序 WDM 加载 到内存中运行 西安工业大学4.3.3 修改中断向量表技术 引导型病毒和驻留内存的文件型病毒大都要修改中断向量表 ，以达到将计算机病毒代码挂接入系统的目的。 对于引导型病毒，磁盘输入输出中断 13H是其传染磁盘的唯 一通道。通过将病毒的传染模块链入 13H磁盘读写中断服务程 序，就可在用户利用正常系统服务时感染软硬盘。 西安工业大学4.3.4 计算机病毒隐藏技术 采用 “隐藏 ”技术的计算机病毒表现形式： 计算机病毒进入内存后，若计算机用户不用专用软件或专门手 段去检查，则几乎感觉不到因计算机病毒驻留内存而引起的内 存可用容量的减少。 计算机病毒感染了正常文件后，该文件的日期和时间不发生变 化。因此用 DIR命令查看目录时，看不到某个文件因被计算机 病毒改写过造成的日期、时间有变化。 计算机病毒在内存中时，用 DIR命令看不见因计算机病毒的感 染而引起的文件长度的增加。 西安工业大学4.3.4 计算机病毒隐藏技术 采用 “隐藏 ”技术的计算机病毒表现形式： 计算机病毒在内存中时，若查看被该计算机病毒感染的文件， 则看不到计算机病毒的程序代码，只看到原正常文件的程序代 码。 计算机病毒在内存中时，若查看被计算机病毒感染的引导扇区 ，则只会看到正常的引导扇区，而看不到实际上处于引导扇区 位置的计算机病毒程序。 计算机病毒在内存中时，计算机病毒防范程序和其他工具程序 检查不出中断向量被计算机病毒接管，但实际上计算机病毒代 码已链接到系统的中断服务程序中 西安工业大学4.3.4 计算机病毒隐藏技术 1静态隐藏技术 静态隐藏技术：指计算机病毒代码依附在宿主程序上时所拥有 的固有的隐蔽性 一般由父病毒在感染目标程序时，依照目标程序的特性，产 生特定的子病毒，使其能隐蔽在宿主程序中而不被发现 秘密行动法 秘密行动法： 通过清除感染程序所留下的痕迹，恢复宿主文件 的特征，向查询者返回虚假信息，而达到隐藏病毒的目的 碎片技术： 利用 Windows 环境 PE可执行文件分段存储，而各段 有一些未使用的剩余空间这一特征，将自身分割成小块，隐藏 在内存空隙中，从而消除病毒改变文件长度的缺陷 西安工业大学4.3.4 计算机病毒隐藏技术 秘密行动法：引导型病毒的隐藏方法一 感染时，修改中断服务程序 使用时，截获 INT 13调用 读请求读请求 返回数据返回数据 返回数据 DOS应用程序 原来的 INT13H服务程序 DOS下的杀毒软件 病毒感染后的 INT13H服务程序 普通扇区普通扇区 被病毒感染的扇区 被病毒感染的扇区的原始扇区 读扇区调用 西安工业大学4.3.4 计算机病毒隐藏技术 秘密行动法：引导型病毒的隐藏方法二 针对杀毒软件对磁盘直接读写的特点，截获 INT 21H，然后 恢复感染区，最后，再进行感染。 感染后的 INT 21H功能 40H（加载一个程序执行） 执行反病毒程序 恢复被病毒感染的扇区为原来的内容 原来的 INT21H功能 重新感染扇区 返回 DOS命令解释程序（ COMMANDCOM） DOS命令解释程序（ COMMANDCOM） 西安工业大学4.3.4 计算机病毒隐藏技术 秘密行动法：文件型病毒的隐藏方法 拦截（ API, INT调用）访问 恢复 再感染 DOS INT21H调用 隐藏病毒扇区 列目录时显示感染前的文件大小 读写文件看到正常的文件内容 执行或者搜索时隐藏病毒 在支持长文件名的系统隐藏自身 INT13H（直接磁盘访问） 列目录功能 读写功能 (Read、 Write) 执行功能（ EXEC） 其他功能（ rename等） 视窗操作系统下，支持长文件名 的扩展 DOS调用 西安工业大学4.3.4 计算机病毒隐藏技术 自加密技术 计算机病毒可以对静态计算机病毒加密，同时也可以对进驻 内存的动态计算机病毒进行加密 Mutation Engine多态技术 采用特殊的加密技术，每感染一个对象，放入宿主程序的代 码都不相同，几乎没有任何特征代码串，从而能有效对抗采用 特征串搜索法类杀毒软件的查杀 插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下，能将 宿主程序在适当处截断，在宿主程序的中部插入病毒程序，并 做到使病毒能获得运行权，达到与宿主程序融为一体 西安工业大学4.3.4 计算机病毒隐藏技术 2动态隐藏技术 动态隐藏技术：指计算机病毒代码在驻留、运行和发作期间所 拥有的隐蔽性 计算机病毒利用操作系统的功能和漏洞，后台执行监视和感 染的功能，防止被一般的内存或进程管理程序发现 反 Debug跟踪技术 Debug主要利用系统中断 INT 1和 INT 3进行动态跟踪。计算 机病毒抑制跟踪的方法主要是修改 INT 1和 INT 3中断服务程序 入口地址的内容来破坏跟踪 此外，常见的其他反跟踪技术有：封锁键盘输入、封锁屏幕 输出等 西安工业大学4.3.4 计算机病毒隐藏技术 检测系统调试寄存器，防止计算机病毒被动态跟踪调试 现在的操作系统中出现了