信息安全及技术课件11(清华大学)

1、信息安全与技术信息安全与技术清华大学出版社第第11章计算机病毒与防章计算机病毒与防范技术范技术当前，计算机病毒已经威胁到了各个应用领域，由此而造成的破坏和经济损失触目惊心。在我国，计算机病毒也蔓延得很快，还出现了不少“国产”病毒。在网络普及率不高的情况下，单机（尤其是个人微型计算机）上的病毒发生率很高。随着计算机网络的普及和基于计算机的信息系统的建立，多机系统、多用户系统和网络上病毒的案例逐渐增加。世界上到底有多少种计算机病毒，恐怕谁也不知道。因此，我们必须看到未来，看到计算机病毒已经和即将对我国计算机应用造成的影响和破坏，需要更进一步地重视病毒技术和反病毒技术的研究，制定反病毒的对策。第一节

2、第一节 计算机病毒概述计算机病毒概述 一、计算机病毒的概念计算机病毒的概念自然环境中的生物病毒具有个体微小、无完整的细胞结构、含单一核酸以及寄生并繁殖于活体细胞内等特征。而本书所讨论的计算机病毒，不同于自然环境中的生物病毒，是一种人工编写的计算机程序代码。计算机病毒实际上是一段程序代码。类似自然界中的生物病毒，计算机病毒具有强大的复制能力，能够迅速地蔓延到网络上的每一台计算机。病毒能够将自己隐藏在各种类型的文件上。当用户复制感染了病毒的文件后，病毒就伴随着文件的副本蔓延开来。此外，某些计算机病毒能够利用被污染的程序传送病毒的载体。当你发现病毒载体似乎仅仅表现在文字或图像上时，它们可能已经损坏了

3、文件、再格式化了你的硬盘驱动器或引发了其它类型的灾害。有些计算机病毒危害性较小，它们通过占据内存空间降低了你的计算机性能。我们可以从多个角度对“计算机病毒”进行定义。国外普遍接受的定义是指一段附着在其它程序上的能够实现自我复制的程序代码。国内学术界存在以下几种“计算机病毒”的定义。一种定义是通过磁盘、磁带和网络等媒介传播，能“感染”其它程序的计算机程序。另一种定义是可以实现自身复制并且借助一定的载体存在的具备潜伏性、传染性和破坏性的程序。还有一种定义是人工设计的计算机程序，它通过不同的途径潜伏在存储媒体或程序中，当具备某种条件或时机时，它会自身复制并传播，使计算机资源受到不同程度的破坏等。计算

4、机病毒类似生物病毒，能够入侵网络中的计算机系统，危害正常工作的计算机。它可以破坏网络中的计算机系统，即具有破坏性；同时可以复制自身，即具有传染性。所以，计算机病毒就是可以通过特定途径潜伏在计算机存储介质（或程序）中，当某种条件具备时即被激活的，具有对计算机资源进行破坏作用的一组程序或指令集合。l在中华人民共和国计算机信息系统安全保护条例中明确定义，病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。l在这里我们需要指出计算机病毒也是一个程序，或者说是一段可执行的代码。而这个程序或者可执行代码对计算机功能或者存储在计算机

5、中的数据具有破坏性，并且具备传播性、隐蔽性、偷窃性等特性。二、计算机病毒的特征 1.破坏性2.隐蔽性3.潜伏性4.传染性5.不可预见性三、计算机病毒的分类 1.根据计算机病毒侵入的操作系统来划分（1）侵入DOS操作系统的病毒（2）侵入Windows操作系统的病毒（3）侵入UNIX操作系统的病毒（4）侵入OS/2操作系统的病毒 2.根据计算机病毒的链接方式来划分（1）源代码病毒（2）嵌入型病毒（3）外壳型病毒（4）操作系统型病毒3.根据计算机病毒的传染对象来划分计算机病毒具有传染性的本质属性，于是根据计算机病毒的传染方式进行划分，病毒包括以下几种。（1）磁盘引导型病毒（2）操作系统型病毒（3）感

6、染可执行程序的病毒（4）感染带有宏的文档4.根据计算机病毒的传播媒介来划分根据病毒的传播媒介，计算机病毒可以分为单机型病毒和网络型病毒两种。（1）单机型病毒（2）网络型病毒5.根据计算机病毒隐藏的媒体来划分根据病毒隐藏的媒体，计算机病毒可以分为网络型病毒，文件型病毒，引导区型病毒和混合型病毒四种。（1）网络型病毒（2）文件型病毒（3）引导区型病毒（4）混合型病毒6.根据计算机病毒传染的方式来划分根据病毒传播的媒介，我们可以将计算机病毒分为以下四种：（1）电子邮件病毒（2）USB盘病毒（3）网页病毒（4）计算机文件病毒7.根据计算机病毒的危害程度来划分不同的计算机病毒对计算机系统的危害程度差别很

7、大。根据危害程度，计算机病毒可分为良性病毒和恶性病毒两类。（1）良性病毒（2）恶性病毒8.根据计算机病毒的功能来划分根据病毒的功能来划分，计算机病毒可以分成几十种类型。不同的杀毒软件制造商，对计算机病毒的划分方法也存在差异，甚至病毒类型下面还有若干病毒的子类型，本书概括了以下一些常见的病毒类型。（1）感染型病毒 （2）蠕虫病毒 （3）后门程序 （4）木马病毒 （5）病毒工具 （6）病毒生成器 （7）搞笑程序 四、计算机病毒的破坏行为和作用机理计算机病毒的破坏行为和作用机理1计算机病毒的破坏行为（1）攻击计算机系统的数据区：少数恶性病毒攻击计算机的硬盘主引导扇区、Boot 扇区、FAT表、文件目

8、录等关键内容，且受损的数据无法进行恢复。（2）攻击系统文件：其表现为删除系统文件，修改系统文件的名称，替换系统文件的内容，删除部分程序代码等。（3）攻击系统内存：任何程序要想执行必须要获得系统的内存资源，这样内存也就进入了病毒攻击的范围。病毒攻击内存的方式主要有窃取内存的控制权，占用大量内存，更改内存总量。（4）干扰系统运行：拒绝和干扰用户指令的运行，系统内部堆栈溢出，侵占特殊数据区，更改时钟，自动重启计算机，导致计算机死机等。（5）系统速度降低：不少病毒的程序中存在无意义的空循环，导致计算机空转，系统速度明显降低。（6）攻击系统磁盘：删除硬盘中的数据，不存盘，存盘操作变为读取磁盘操作，存盘时

9、丢失数据等。（7）扰乱系统屏幕显示：字符显示错乱、跌落、环绕、倒置，光标下跌，滚屏、抖动，吃字符等。（8）攻击系统键盘：单击按键响铃，封锁键盘，替换字符，删除数据缓冲区中的字符，字符的重复输入。（9）攻击系统扬声器：发出异常的声音，如演奏曲子声、警笛声、炸弹噪声、鸟鸣声、嘟嘟声、嘀嗒声。（10）攻击系统CMOS：对系统CMOS 区进行非法写入操作，破坏系统CMOS区中的原有数据。（11）干扰系统打印机：导致打印机打印不连续，替换字符等。2计算机病毒的作用机理病毒的作用机理表现在其引导、传染和破坏三个方面，下面详细地介绍一下：（1）计算机病毒的引导机理（2）计算机病毒的传染机理（3）计算机病毒的

10、破坏机理第第2节节 计算机蠕虫病毒计算机蠕虫病毒一、蠕虫病毒的原理与特征蠕虫病毒的原理与特征1.蠕虫病毒的原理蠕虫病毒一般是由主程序和引导程序两部分构成。主程序成功入侵计算机后，就会读取网络公共配置文件，同时运行显示当前网络联机状态信息的计算机系统实用程序，来获取和染毒计算机联网的其它计算机的信息。这些计算机信息包含了一些系统的缺陷，蠕虫病毒正是利用这些系统缺陷，在这些远程计算机上建立病毒引导程序。请不要忽视这些被称为引导程序的小程序，恰恰是这些小程序将蠕虫病毒引入了病毒感染的每台计算机。2.蠕虫病毒的特征（1）独立性较强（2）寻找系统漏洞实施主动攻击（3）传播范围更广，传播速度更快（4）采用

11、高明的方法进行伪装和隐藏（5）使用先进的技术二、蠕虫病毒病毒实例分析 l以下我们对蠕虫病毒实例Worm.Win32.WebDown.a进行一下分析。l这种病毒的侵害对象为安装了Windows操作系统的计算机，病毒通过多种方式（枚举局域网网段IP地址、获取侵害计算机当前连接、下载IP地址信息等）获取侵害计算机的IP地址，然后针对这些地址进行试探性地传播。病毒的设计者使用VC6.0编写了该程序，并对其进行了加壳保护。1.检查传播方式病毒在网络传播的过程中，首先判断自己是否是以“%system32%IMEsvchost.exe”的方式服务方式传播，若不是则进行自身繁殖的初始化操作。2.病毒的初始化病

12、毒清除侵害对象硬盘中的文件“%system32%IMEsvchost.exe”，然后将自己复制为该文件，同时将该文件属性设置为系统和隐藏，最后病毒调用函数CreateProcessA启动该文件。病毒进行上述操作后，释放并执行批处理文件rs.bat，通过这种方法来销毁自己。3.以服务传播方式注册病毒通过调用一系列函数（StartServiceCtrlDispatcher、CreateServiceA等）注册名称为“Alerter COM+”、目标为“%system32%IMEsvchost.exe”的服务，接着使用函数StartServiceA启动这项服务。4.病毒的服务过程为了保证在同一时刻只

13、有一个服务实例在染毒计算机上运行，病毒调用函数CreateMutexA试着产生名称为“Alerter COM+”的互斥变量，如果失败的话则自动退出。5.在染毒计算机硬盘上建立AutoRun.inf文件实现自动启动6.窗口消息的处理7.干扰反病毒软件和自身繁殖8.病毒的传染代码第第3节计算机病毒的检测与防范节计算机病毒的检测与防范 一、计算机病毒的检测 从前面几节的介绍中，我们可以发现计算机病毒的隐蔽性非常强：病毒不发作的时候，计算机没有任何的异常；病毒一旦发作，轻则导致计算机速度减慢，重则导致计算机系统崩溃。因此，在日常的学习和工作中，计算机用户有必要了解计算机系统中是否存在病毒。普通计算机用

14、户可以根据下面的现象来辨别计算机系统中是否存在病毒。1计算机系统的启动速度明显变慢，并且计算机出现自动重启的异常现象。2计算机在工作的过程中，无缘无故出现死机的异常现象。3计算机系统桌面上的图标显示异常。4计算机系统桌面上出现了异常的摘要：奇怪的提示信息，异样的字符等。5计算机运行某一正版的软件时，系统经常提示内存空间不足。6计算机硬盘中存储的文件遭到破坏，文件中的数据被非法修改甚至丢失。7计算机的音箱无缘无故的发出奇怪的声音。8计算机系统不能够识别存在的固定硬盘。9当你的朋友抱怨你总是给他发送包含奇怪信息的邮件，或你的电子邮箱中出现了大量的来历不明的电子邮件。10计算机系统连接的打印机的速度

15、明显变慢，或者打印出一些奇怪的字符。11计算机系统中存储的文件并没有被修改但是文件长度有所增加。12计算机系统不能够正常地存储数据和文件。二、计算机病毒的防范 普通的计算机用户可以注意以下的方面，来有效地防范计算机病毒。1在本地的计算机上安装正版的反病毒软件2利用安全监视软件监视浏览器的运行3开启防火墙软件或反病毒软件附带的防火墙4及时更新病毒库5培养使用文件前先检测病毒的好习惯6谨慎使用盗版软件7专盘专用8及时备份9关闭未使用和不需要的服务和进程10及时修补系统安全漏洞三、计算机病毒的清除计算机病毒的清除1利用杀毒软件清除计算机病毒2格式化计算机硬盘重新安装操作系统3手动清除计算机病毒四、网

16、络病毒的防范措施 网络病毒防范涉及的问题很多，不仅包括技术上的更新问题，而且还包括人们强化防范网络病毒意识的问题，此外网络病毒防范的制度建设也起到关键的作用。因此，我们可以从以下几个方面来加强网络病毒的防范：1.加大宣传力度，强化公众的信息安全意识2.运用多种网络安全技术，为公众信息设置安全保障3.运用数据加密技术，加强网络通信安全4.加强信息安全技术管理，切实做到安全使用网络5.健全网络安全制度，强化网络安全第第4节软件防病毒技术节软件防病毒技术 一、计算机杀毒软件的运作机制计算机杀毒软件的运作机制反病毒专家们对各种病毒检测方法进行加工和整合，提出了一系列的核心反病毒技术，例如：“虚拟机脱壳

17、引擎”、“启发式杀毒”、“主动防御”以及“云查杀”等。各类杀毒软件产品也摆脱了单纯的病毒特征扫描检测，发展成为基于病毒家族体系的命名规则、基于多位循环校验和扫描机理，采用启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等多种先进反病毒技术并用的复合软件产品。下面我们分析一下多种反病毒技术之间的协同问题。从病毒检测的角度来说，病毒特征库对基于病毒的特征扫描技术而言是必备的，因为它能够准确地检测出现有的病毒，但是这种技术又要求及时更新特征库。对计算机系统来说，病毒实时监控技术也是必需的，这种技术能够有效地防御新型的病毒，但是这种技术的误检率较高，白白地消耗了宝贵的系统资源，也会

18、对计算机系统的工作产生不利的影响。考虑到以上因素，反病毒企业们大多在现有技术的基础上进行改进，在杀毒软件中应用最新的网络技术，来进一步地提高检测率，降低误检率和系统消耗。各大反病毒企业在近几年发布的安全套装中都集成了防火墙。不过要把病毒完全隔绝在计算机之外，仅靠防火墙的防护是不够的，计算机系统还要安装其它的病毒检测引擎，这些引擎会对来自外部的可疑举动实施检测。病毒检测引擎会进行以下方面的检测：病毒特征值的核对、基于行为检测的启发式扫描和“云查杀”。所谓“云查杀”就是利用大量的客户机对网络中软件行为的异常情况进行监测，获取网络病毒的最新信息并上报到服务器进行自动分析和处理，再把病毒的解决方案分发到每一台客户机。二、流行杀毒软件介绍 1.瑞星杀毒软件2.金山杀毒软件3.江民杀毒软件4.卡巴斯基