第9章 计算机病毒与防御

1、第9章 计算机病毒与防御本章要求p掌握计算机病毒的概念义p了解计算机病毒的发展史与危害p熟悉计算机病毒的主要特性p掌握计算机病毒的分类、查杀与防范方法。本章主要内容9.1 计算机病毒的概念计算机病毒的概念9.2 计算机病毒的种类计算机病毒的种类9.3 计算机病毒的查杀与防范方法计算机病毒的查杀与防范方法9.1.1 计算机病毒的定义计算机病毒的定义9.1.2 计算机病毒的发展史计算机病毒的发展史9.1.3 计算机病毒的危害计算机病毒的危害 9.1.4 计算机病毒的主要特性计算机病毒的主要特性 9.1.1 计算机病毒的定义计算机病毒的定义p在中华人民共和国计算机信息系统安全保护条例中被明确定义，计

2、算机病毒是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。p从广义上讲，一些恶意程序虽然不能自我复制，但会对计算机系统产生破坏或严重损害计算机使用者的利益，这些程序往往也被归类为计算机病毒，如木马程序等。9.1.2 计算机病毒的发展史计算机病毒的发展史p最早提出电脑病毒概念的是电脑的先驱者冯诺伊曼。在他的一篇论文复杂自动装置的理论及组识的进行里，勾勒出病毒程序自我繁殖的基本原理。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。 p第一次验证了计算机病毒存在的可能性是在1983年11月，美国电脑专家弗雷德

3、科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，并将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出，之后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功。但这个病毒程序仅存在于实验室，证明计算机病毒是可以被制造出来的，但其并没有对外扩散。p第一个真正的电脑病毒诞生于1987年。p这个病毒程序是由一对巴基斯坦兄弟：巴斯特和阿姆捷特所写。此兄弟二人在当地经营一家个人电脑的商店，由于当地盗拷软件的风气盛行，他们为了防止他们的软件被任意盗拷，编写出一个特殊的程序，只要有人盗拷他们的软件，这个程序就会发作，将盗拷者的硬盘剩余空间给吃掉。这个程序命名为Pakistani

4、 Brain(巴基斯坦大脑)，被公认为是世界上第一个计算机病毒，这个病毒在其后的一年时间里扩散到世界各地。 第一代病毒 p第一代病毒的产生年代通常认为在1986-1989年之间，这一期间出现的病毒称之为传统病毒，是计算机病毒的萌芽和滋生时期。 p这一阶段的计算机病毒具有如下的一些特点：（1）病毒攻击的目标比较单一，有些传染磁盘引导扇区，有些传染可执行文件。（2）病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染。（3）病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加、文件建立的日期和时间发生变化等等。这些特征容易被人工或查毒软件所发

5、现。（4）病毒程序不具有自我保护的措施，容易被人们分析和解剖，从而使得人们容易编制相应的消毒软件。 第二代病毒 p第二代病毒又称为混合型病毒，其产生的年代在1989-1991年之间，它是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段。 （1）病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可能传染可执行文件。（2）病毒程序不采用明显地截获中断向量的方法监视系统的运行，而采取更为隐蔽的方法驻留内存和传染目标。（3）病毒传染目标后没有明显的特征，如磁盘上不出现坏扇区，可执行文件的长度增加不明显，不改变被传染文件原来的建立日期和时间等等。（4）病毒程序往往采取了自我保护措施，如加密技术

6、、反跟踪技术，制造各种障碍，增加人们解剖、分析病毒的难度，也增加了病毒的发现与杀除难度。（5）出现许多病毒的变种，这些变种病毒较原病毒的传染性更隐蔽，破坏性更大。第三代病毒 p第三代病毒的产生是从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒。p所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时，侵入宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。第四代病毒p90年代中后期，随着因特网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制， 首先通过广域网传播至

7、局域网内，再在局域网内传播扩散。p随着因特网的普及，电子邮件的使用，以及Office系列办公软件被广泛应用，夹杂于电子邮件内的Office宏病毒成为当时病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂，加上微软对文档结构没有公开，给直接基于文档结构清除宏病毒带来了诸多不便。p这一时期的病毒的最大特点是利用Internet作为其主要传播途径，传播对象从传统的引导型和依附于可执行程序文件而转向流通性更强的文档文件中。因而，病毒传播快、隐蔽性强、破坏性大。这些都给病毒防治带来新的挑战。 新一代病毒p人类历史进入二十一世纪以来，互联网渗入每一户人家，网络成为人们日常生活和工作的不可缺少的一部分。一个

8、曾经未被人们重视的病毒种类遇到适合的滋生环境而迅速蔓延，这就是蠕虫病毒。p蠕虫病毒是一种利用网络服务漏洞而主动攻击的计算机病毒类型。与传统病毒不同，蠕虫不依附在其它文件或媒介上，而是独立存在的病毒程序，利用系统的漏洞通过网络主动传播，可在瞬间传遍全世界。p蠕虫已成为目前病毒的主流。 9.1.3 计算机病毒的危害计算机病毒的危害 p美国Techweb网站评出了20年来，破坏力最大的10种计算机病毒，可以看到这些病毒给人类社会的发展带来巨大的经济损失：pCIH (1998年) 该计算机病毒存在于Windows 95 / 98以EXE为后缀的可行性文件中。它不但会破坏计算机硬盘中的信息，而且还会破坏

9、BIOS，使系统无法启动，从而很难杀除。由于染毒的BIOS无法启动系统，故障现象与主板硬件损坏一样，所以CIH病毒被认为是第一个破坏计算机硬件系统的病毒。 CIH可利用所有可能的途径进行传播：软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾，在全球范围内造成了2000万-8000万美元的损失。 p梅利莎（Melissa,1999年） 这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件，它隐藏在一个Word97格式的文件里，以附件的方式通过电子邮件传播，善于侵袭装有Word97或Word2000的

10、计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置，使它感染的文件所具有的宏病毒预警功能丧失作用。 在发现Melissa病毒后短短的数小时内，该病毒即通过因特网在全球传染数百万台计算机和数万台服务器，因特网在许多地方瘫痪。1999年3月26日爆发，感染了15%-20%的商业PC，给全球带来了3亿6亿美元的损失。pI love you (2000年) 2000年5月3日爆发于中国香港，是一个用VBScript编写，可通过E-Mail散布的病毒，而受感染的电脑平台以Windows 95 / 98 / 2000为主。给全球带来100亿-150亿美元的损失。p红色代码 (Code Re

11、d，2001年) 该病毒能够迅速传播，并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器，遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据，最终导致网站瘫痪。其造成的破坏主要是涂改网页，有迹象表明，这种蠕虫有修改文件的能力。2001年7月13日爆发，给全球带来26亿美元损失。pSQL Slammer (2003年) 该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发，全球共有50万台服务器被攻击，但造成但经济损失较小。p冲击波（Blaster，2003年) 该病毒运行时会不停地利用IP扫描技术寻找网

12、络上系统为Windows2000或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。2003年夏爆发，数十万台计算机被感染，给全球造成20亿-100亿美元损失。 p大无极.F（Sobig.F，2003年) Sobig.f是一个利用互联网进行传播的病毒，当其程序被执行时，它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后，Sobig.f病毒将自己以附件的方式通过

13、电子邮件发给它从被感染电脑中找到的所有邮件地址，它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在2003年8月19日爆发，为此前Sobig变种，给全球带来50亿-100亿美元损失。p贝革热（Bagle，2004年) 该病毒通过电子邮件进行传播，运行后，在系统目录下生成自身的拷贝，修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发，给全球带来数千万美元损失。 pMyDoom (2004年) MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后，病毒就会以用户信箱内的电子邮件地址为目标，伪造邮件的源地址，向外发送大量带有病毒附件

14、的电子邮件，同时在用户主机上留下可以上载并执行任意代码的后门。2004年1月26日爆发，在高峰时期，导致网络加载时间慢50%以上。 pSasser (2004年) 该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞（ MS04-011漏洞信息）进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发，给全球带来数千万美元损失。9.1.4 计算机病毒的主要特性计算机病毒的主要特性p可执行性p隐蔽性p传染性p潜伏性p破坏性p可触发性9.2 计算机病毒的种类计算机病毒的种类9.2.1 文件型病毒 9.2.2 引导型病毒 9.

15、2.3 宏病毒 9.2.4 网页脚本程序病毒 9.2.5 蠕虫 9.2.6 特洛伊木马 9.2.1 文件型病毒 p文件型病毒是一种古老的病毒类型，病毒程序代码依附在一个可执行文件里面，通过修改程序文件入口地址，在启动程序文件时首先执行病毒程序代码，病毒代码通过修改系统中断的方法控制计算机系统后，再继续执行正常的程序代码，使用户察觉不到计算机病毒的存在。p病毒程序代码：嵌入正常可执行文件中。p病毒代码执行方法：执行程序时被“搭车”启动。p杀毒方法：将病毒代码从程序中剥离。9.2.2 引导型病毒 p引导型病毒也是一种古老的病毒类型。p引导型病毒侵占主引导区后，将原主引导程序移动到其它空闲扇区中。计

16、算机系统启动时，BIOS自动执行主引导区内的病毒程序，病毒程序控制了计算机系统之后再执行移到空闲扇区内的正常引导程序，使系统在病毒程序控制下启动。p病毒程序代码：替换正常的引导区程序，将正常引导程序移动到空闲扇区。p病毒代码执行方法：系统启动时自动被启动。p杀毒方法：用正常引导区程序覆盖被感染的引导区。9.2.3 宏病毒 p如果病毒程序利用宏的功能隐藏到Office文档中，就称为宏病毒。p建立宏的方法有两种，自动录制和使用VB脚本编写宏代码。p自动录制宏的方法比较简单，启动录制宏功能之后，Office系统会自动记录用户所做的一切操作，并将操作自动生成VB脚本的宏代码。这种自动录制宏的方法操作简

17、单，易于实现，为广大Office用户广泛使用。p另一种建立宏的方法是直接使用VB脚本编写宏代码。这种方法需要一定的计算机编程知识，不易被普通用户所掌握。但使用这种方法可以编制出各种功能强大的脚本程序，甚至可以编制出病毒程序。p在Office的宏中有一类宏叫做自动宏。当文档被打开后自动宏就会自动被启动，如果文档中含有自动宏病毒，打开文档的同时自动宏中的病毒程序就会被执行，使计算机系统被病毒所控制，从而造成病毒的进一步扩散或对系统进行破坏。p由于宏代码结构简单，容易学习和掌握，不需要很高深的计算机知识，只要略懂VB脚本语言的人都可以编写出宏病毒程序，因此在一段时期内宏病毒广泛传播，成为一个时期的主

18、要病毒类型。p病毒程序代码：使用VB脚本编制，藏匿于宏命令中。p病毒代码执行方法：文档被打开时由Office执行。p避免感染方法：禁用自动宏。 9.2.4 网页脚本程序病毒 p脚本，是使用一种特定的描述性语言，依据一定的格式编写的可执行文本，又称作宏或批处理文件。脚本通常可以由应用程序临时调用并执行。各类脚本目前被广泛地应用于网页设计中，因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。p网页脚本程序病毒以脚本代码的形式藏匿于网页中，用户浏览网页时由浏览器对脚本代码进行解释及执行，一旦用户浏览含有脚本病毒的网页，病毒程序将被执行并控制计算机系统，并将病毒

19、脚本传染到本机其它网页文件中。p用户也可以在客户机对浏览器进行合理配置，禁止脚本程序的运行，可以阻止脚本病毒的感染。方法是：IE浏览器、工具菜单、Internet选项、安全选项卡、自定义级别、安全设置，选中脚本选项，将脚本程序禁用，即可阻止脚本病毒的感染，但也会阻拦正常的脚本程序，使网站功能收到影响。p病毒程序代码：以脚本程序的形式存在于服务器网页文件中。p病毒代码执行方法：浏览器浏览网页时将代码下载并在客户机上执行。p预防方法：禁止或限制浏览器执行脚本程序。9.2.5 蠕虫 p蠕虫病毒和一般传统的病毒有着很大的区别。蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破

20、坏性等等，同时具有自己的一些特征，如不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等等。 蠕虫病毒的特点 p不依附于文件或磁盘扇区p利用系统漏洞进行传播p通过修改注册表启动或直接诱使用户点击启动p蠕虫病毒的杀除方法更简单，直接删除蠕虫病毒文件即可。p病毒程序代码：以独立文件的形式存在，利用系统漏洞以文件复制的方式传播。p病毒代码执行方法：诱惑用户点击执行或修改注册表而自动启动。p杀毒方法：直接删除病毒程序文件。9.2.6 特洛伊木马 p特洛伊木马，简称木马，其本质上不能算作病毒程序，它往往不具备病毒所特有的传染性，但是它对计算机系统和网络的破坏作用巨大，而且现在很多木马与病毒程序相结

21、合，同时具有木马和病毒的特征，所以，通常也把它归类为病毒。 p计算机世界中的特洛伊木马程序就如同特洛伊木马，将一段恶意代码隐藏在正常程序中，用户使用程序时木马代码悄悄控制住计算机系统，窃取计算机中的秘密，如：记录被攻击计算机的键盘操作和屏幕显示信息，此法很容易获得用户得到登录账户和密码。木马程序在获得对方秘密后常采用电子邮件或其它方式将窃得的机密信息传输给远方的木马操控者。p木马程序通常分为服务器和客户端两个部分。客户端由病毒的操控者掌握，而服务器端被埋藏于被攻击的计算机中，并诱使被攻击者执行木马程序，这一点与蠕虫病毒很象。p木马程序的主要目的是窃取计算机中的秘密并安全的发送给木马的操控者，而

22、传染性不是木马的主要目的。 p怎样发现计算机中是否感染木马程序？最有效的方法是在计算机中安装个人防火墙软件，监视所有的进出数据，如果发现有程序毫无道理的对外发送数据或自动发送电子邮件，可以怀疑可能有木马程序在。p木马程序代码：以独立文件的形式存在或依附于一个宿主文件。p木马代码执行方法：诱惑用户点击执行或修改注册表而自动启动。p杀除方法：直接删除木马程序文件。9.3 计算机病毒的查杀与防范方法计算机病毒的查杀与防范方法9.3.1 杀毒软件工作原理9.3.2 如何使用杀毒软件9.3.3 计算机病毒的预防 9.3.1 杀毒软件工作原理 目前常用的检测病毒方法有：p特征代码法p校验和法p行为监测法等

23、 特征代码法p每一个病毒都是一段程序，每一个新病毒一定有一段与众不同的程序代码。这个与众不同的代码就构成这段程序的特征。通过分析病毒程序，找出该病毒与众不同的特征代码，将其提取出来加入查毒软件病毒特征库，查毒软件在查毒过程中将每一个被检查的程序和病毒特征代码库中的病毒特征代码相比较，如果产生吻合就可以断定被检测的程序已被具有此种特征的病毒所感染。 特征代码法的特点 p需要不断更新病毒代码特征库p检测准确快速p可识别病毒名称、可做杀毒处理p不能检测未知的病毒p随着病毒数量的增多，查毒开销很大校验和法p软件作者在制作出软件后，计算出软件的校验和件，并将校验和与软件一起发布。如果软件被病毒所感染，校

24、验和就会发生变化，软件使用者或杀毒软件根据软件的校验和是否发生变化判断软件是否被病毒所感染。 校验和法的特点 p可以发现未知病毒p不能判断病毒的类型和名称，不能杀除病毒p误报率较高行为监测法p利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。p病毒程序要进行传染与破坏，传染与破坏行为是正常软件所不应有的，当程序运行时，监视其行为，如果发现了病毒行为，即可判定此程序已被病毒所感染，立即报警。 行为监测法的特点p可以发现未知病毒p不能判断病毒的类型和名称，不能杀除病毒p误报率较高9.3.2 如何使用杀毒软件p国际著名杀毒软件公司或产品有：卡巴斯基、诺顿、McAfee等p国内著名杀毒软件公司

25、或产品有：瑞星、江民、金山毒霸等p现代杀毒软件所采用的查毒、杀毒技术大同小异，工作原理与使用方法基本相同 p以国际著名品牌卡巴斯基为例介绍杀毒软件的安装、配置与使用方法p卡巴斯基(Kaspersky)杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件之一，查杀病毒性能高。它提供了所有类型的抗病毒防护：抗病毒扫描仪，监控器，行为阻断和完全检验。它支持几乎是所有的普通操作系统、e-mail通路和防火墙。卡p巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和IT出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。p卡巴斯基目前与安全卫士360合作，安装安全卫士360后可以获得卡巴

26、斯基半年的使用权。也可以到卡巴斯基官方网站下载30天试用期的试用版。p卡巴斯基可供免费试用的查毒产品主要有2种，即卡巴斯基反病毒软件6.0个人版和卡巴斯基互联网安全套装6.0个人版，二者区别不大。前者仅提供查杀病毒，后者还提供了网络安全功能。p卡巴斯基的安装 p卡巴斯基的配置与使用 9.3.3 计算机病毒的预防p文件型病毒代码寄生在可执行程序文件上，程序启动后病毒控制计算机系统并感染其他程序文件。p防范方法：不要启动来历不明的程序，安装杀毒软件，对所有新进的文件进行扫描。 p引导型病毒隐藏在系统磁盘主引导区内，启动系统时控制计算机系统。p防范方法：使用未感染病毒的磁盘启动系统，在系统健康时备份系统盘主引导区，被引导型病毒感染后使用健康的系统引导区备份数据恢复系统盘主引导区。使用杀毒软件扫描系统盘的引导区。p宏病毒寄生在Office文档的自动宏代码中，启动Office文档时宏被启动。p防范方法：禁止Office文档自动宏，使用杀毒软件检查Office文档。p禁用自动宏的方法：打开Office文档时按住Shift键，即